安全复习资料

1、计算机系统安全复习资料第_章1、计算机安全：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、 软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。（数据：包含数、文字、图像、 声音、软件等）2、计算机系统安全属性：:可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统 的可用性与保密性之间存在一定的矛盾。）可靠性：系统在规定条件下和规定的时间内、完成规定功能的概率完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对 系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行 为。）保密性：对信息资源开放范围的控制。（数据

2、加密、访问控制、防计算机电磁泄漏等安全措施） 不可抵赖性：保证通信双方信息真实同一。（源发证明、交付证明。） 此外：可控性、可审查性、认证、访问控制3、计算机系统安全标准：国外计算机系统安全标准：7个安全级别按安全程度从最低到最高依次是D、C1、C2、B1、B2、B3、A1 国内计算机系统安全标准：5个等级：自主安全级、系统审计保护级、安全标记保护级、机构化保护级和访问验证 保护级4、计算机系统安全的范畴（看看了解，书第三页）5、安全威胁是指对安全的一种潜在侵害。威胁的实施称为攻击。6、安全威胁的分类从威胁的来源看可分为内部威胁和外部威胁。从造成的结果上看可以分成主动威胁和被动威胁。从威胁的动

3、机上看分为偶发威胁和故意威胁。7、威胁的表现形式（13种）（I）假冒；（2）未授权访问；（3）拒绝服务；（4）否认（抵赖）；（5）窃听；（6）篡改；（7）复制与重放（重演）；（8）业务流量、流向分析；（9）隐藏信道（阈下信道、隐通道）；（10）人为失误；（II）自然灾害与人为破坏；（12）恶意代码；（13 ）不良信息8、P2）R安全模型安全具有动态性和整体性。安全=风险分析+执行策略+系统实施+漏洞监测+实时响应该体系包括了网络安全的整个环节，即保护，检测，响应，恢复保护：采用一切手段（主要指静态防护手段）保护信息系统的五大特性检测：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻

4、击响应：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损 失降到最低恢复：及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效 途径9、安全体系结构安全策略：指在一个特定的环境里（安全区域），为保证提供一定级别的安全保护所必 须遵守的一系列条例、规则。概括地说，一种安全策略实质上表明：当所论及的那个系统在进行一般操作时，在安 全范围内什么是允许的，什么是不允许的。策略通常不作具体规定，它只提出什么是最 重要的，而不确切地说明如何达到所希望的这些结果。策略建立起安全技术规范的最高 一级。安全策略具备普遍的指导意义，它针对信息系统安全所面临的各种威胁进行安全风险

5、分 析，提出控制策略，建立安全模型和安全等级，对安全系统进行评估并为系统的配置管 理和应用提供基本的框架。安全体系模型第一章1、物理安全是指保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事 故（如电磁污染等）以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。2、物理安全包括三方面：环境安全，设备安全，媒体安全第三章（了解）1、可用性（Availability）:系统在执行任务的任意时刻能正常工作的概率。系统 可用性用可用度来度量。系统在t时刻处于正确状态的概率称为可用度，用A（t）来表示。A = MTBF / （MTBF + MTRF），即：A =平均无故障时间/ （平均无

6、故障时间+平均修复时间）2、提高计算机可靠性的措施：避错，容错避错即提高软硬件的质量，以抵御故障的发生。容错容错是用冗余的资源使计算机具有容忍故障的能力，即在产生故障的情况下，仍有能力将 指定的算法继续完成。容错主要依靠冗余设计来实现，以增加资源换取可靠性。由于资源的不同，冗余技术分 为硬件冗余、软件冗余、时间冗余和信息冗余。可以是元器件级、部件级的、系统级的 冗余设计。3、磁盘列阵（RAID）将一组磁盘驱动器逻辑上联系起来，作为一个磁盘驱动器来使用。第四章1、基于密钥的算法通常有两种：对称算法和公开密钥算法对称算法可以分为两类：序列密码（流密码）和分组密码2、高级加密标准（AES）AES被设

7、计为支持128/ 192 / 256位数据块大小；支持128 / 192/ 256位密钥长度3、RSA算法例：在RSA算法中，选择两个质数p=17，q=11，加密密钥为e=7，计算解密密钥d答：1）、模数 n=p*q=17*11=1872） 、秘密的欧拉函数（n） = （17-1） * （11-1） =1603）、随机选取整数 e=74）、计算 d， d*e=1 mod 1607d=1 mod 160d=23第七章1、（三考一）认证：对用户身份或用户访问对象的资格的验证。认证能防止攻防者假冒合法用户获取访问权限授权：是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。这 种权限包

8、括读，写，执行及从属全等审计：每一个人都应该为自己所做的操作负责，所以在做完事情后读都要留下记录，以便核查责任。2、kerberos认证过程（6步）（看图说出过程）（1）、客户请求票据许可票据用户登录工作站，请求主机服务C AS : IDC | | IDts | TS1（2）认证服务器发放票据许可票据和会话密钥AS在数据库中验证用户的访问权限，生成Tickettgs和会话密钥，用由用户口 令导出的密钥加密AS C : EKcKct| IDts | TS2 | Lifetime? | Ticket其中 Ticket =EKts Kc | | IDC | ADC | IDts | TS2 | Li

9、fetime（3）库户请求服务器票据e c c 幄2工作站提示用户输入口令，用来对收到的报文进行解密，然后将Tickettgs以及包 含用户名称、网络地址和事件的认证符发给TGSC TGS : IDv | | Tickett | | AuthenticatorAuthenticator = Ek t ID |AD |TS3Ticketts = EKtKctjIDCj| ADC| 1叽 | TS2 | Lifetime TOC o 1-5 h z （4） TGS发放成务器票据和会话密钥2TGS对票据和认证符进行解密，验证请求，然后生成服务许可票据TicketvTGS C : EKctsKcv |

10、 IDv | TS4 | TicketTicket = E K |ID |AD | ID |TS |Lifetime vK vc,vCCv44（5）客户请求服务工作站将票据和认证符发给服务器C V : Ticket | | AuthenticatorTicket = E K |ID |AD |ID |TS | |Lifetime v K v cv c c v 44Authenticator = Ek ID |AD |TS7（6） S提供服务器认证信息C C 7服务器验证票据Ticketv和认证符中的匹配，然后许可访问服务。如果需要双向认证，服务器返回一个认证符V C : EKcv TS7+13

11、、安全的口令基于单向函数掺杂口令SKEYEKE协议第八章1、访问控制：就是在身份认证的基础上，依据授权对提出的资源访问请求加以控制。访问控制是安全防范和保护的主要策略，它可以限制对关键资源的访问，防止非 法用户的入侵或合法用户的不慎操作所造成的额破坏。2、访问控制的策略机密性策略完整性策略混合策略一基于角色的访问控制第九章1、防火墙：防火墙是一种用来加强网络之间访问控制的特殊网络设备，常常被安装在手保护的内部网络连接到的Internet结点上。2、防火墙的位置：一般位于内部网络和Internet之间，要求所有进出网络的通信流都通过防火墙，所有穿过防火墙的通信流必须得到授权。3、防火墙的用途：a

12、、检测b、过滤c、记录d、跟踪4、服务访问政策:a、不允许从Internet访问内部网点，但要允许从内部网点访问Internet。b、允许从Internet进行某些访问，但只许访问经过选择的系统，如Web 服务器和电子邮件服务器。5、使用防火墙的好处：（了解）:防止易受攻击的服务：防火墙可以过滤不安全的服务来降低子网上主系统所冒的风 险:控制访问网点系统：有能力控制对网点系统的访问。例如，除了邮件服务器或信息 服务器等特殊情况外，网点可以防止外部对其主系统的访问。:集中安全性：保证可信网络和不可信网络之间的流量必须通过防火墙，因此，可以 在防火墙设置统一的策略管理，而不是分散到每个主机中。:增

13、强的保密、强化私有权：使用防火墙系统，站点可以防止finger以及DNS域名服 务。:有关网络使用、滥用的记录和统计:政策执行：防火墙可提供实施和执行网络访问政策的工具。事实上，防火墙可向用 户和服务提供访问控制。6、网络政策：高级政策和低级政策7、防火墙的体系结构一般有：-屏蔽路由器结构-双重宿主主机体系结构；-屏蔽主机体系结构；-屏蔽子网体系结构。8、防火墙的功能：包过滤功能网络地址转换代理服务器加密认证加密隧道9、包过滤：包过滤又称IP过滤，其原理在于监视并过滤网络上流入、流出的IP包，拒绝发送可疑的包。10、包过滤的工作原理（书p163）11、常用的服务端口服务名称端口号协议ftp21

14、TCPtelnet23TCPSntp25TCPTftp69UDPNtcp80TCPPop3110TCPsnmp161UDP12、防火墙的网络地址转换功能：是指将内部主机的IP地址转换为某一固定或者某范围内 的某个IP地址，而使从网络外部无法探测到它们。13、网络地址转换（NAT）类型静态NAT动态地址NAT端口转换NAPT14、代理服务：在防火墙主机上的一些特定的应用程序或服务程序，其基于软件的和过滤的 数据包的防火墙，以路由器为基础的防火墙的工作方式有所不同。15、代理服务器必须完成的功能（理解）书p169代理服务器的工作原理第十章1、漏洞：是指硬件、软件或策略上的缺陷，从而可使攻击者能够在

15、未经授权的情况下访问 系统。2远程攻击的步骤：寻找目标主机收集目标信息获取目标主机的一般权限获取目标主机的管理权限隐藏自己的行踪破坏目标主机或以此为跳板攻击其他主机开辟后门，方便以后入侵3、缓冲区溢出：指的是一种系统攻击的手段，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达 到攻击的目标。造成缓冲区溢出的原因：是程序中没有仔细检查用户输入的参数。4、扫描器：是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。5、病毒的结构包含三部分：引导部分、传染部分和表现部分。引导部分的作用：是将病毒主体加载到内存，为传染部分做准备（如驻留内存、修改 中断、修改高端内存、保存原中断向量等操作）。传染部分的作用：是将病毒代码复制到传染目标上去。表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。6、拒绝服务：使网络信息系统由于某种原因不能为授权用户提供正常的服务，导致服务质量下降甚至不能提供服务，系统性能遭到不同程度的破坏，降低了系统资源 的可用性。7、病毒与蠕虫的比较普通病毒蠕虫存在形式寄存文件独立程序传染机