信息安全与网络安全复习总结

一、概述1、计算机安全与网络安全的区别 P1计算机安全：负责信息存储和处理过程的安全事务，主要防止病毒和非法访问。网络安全：负责信息传输过程的安全事务，主要防止用户非法接入、窃取或篡改传输过程中的信息。计算机安全与网络安全都是信息安全的组成部分。2、 病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码。 P23、 网络安全体系结构由两部分组成：网络安全基础 ---加密、报文摘要算法、数字签名技术及认证和各种安全协议；作用于网络每层的安全技术。P134、 计算机网络安全的目标：保证网络用户不受攻击；机密信息不被窃取；所有网络服务能够正常进行。P15二、黑客攻击机制P191、窃取与截获的区别窃取是非法获得信息副本，但不影响信息正常传输；截获是不仅非法获得信息，且终止或改变信息传输过程；2、 DOS攻击和Smurf攻击的区别： P21拒绝服务攻击（DOS），就是用某种方法耗尽网络设备或服务器资源，使其不能正常提供服务的一种攻击手段。SYN泛洪攻击—消耗服务器资源Smurf攻击—耗尽网络带宽，使被攻击终端不能和其他终端正常通信的攻击手段。3、黑客攻击过程 P27收集信息；收集攻击目标主机系统或网络的相关信息网络接入：拨号、无线局域网、以太网主机系统信息：操作系统类型、版本、服务类型、软件网络拓扑结构：传输路径、设备类型、网络类型侦察---攻击目标的缺陷、攻击方法；域名、IP地址防火墙的漏洞软件的缺陷允许建立TCP连接的端口号能否放置木马攻击---攻击目的和方法瘫痪目标系统---拒绝服务攻击控制目标---利用漏洞上载恶意代码（放置木马）5、缓冲区溢出原理：通过往没有边界检测的缓冲区写超出其长度的内容，造成该函数缓冲区的溢出，溢出的数据覆盖了用于保留另一函数的返回地址的存储单元，，使程序转而执行其它指令，以达到攻击的目的。 P326、信息安全由网络安全、操作系统安全和应用程序安全三部分组成，其中操作系统安全和应用程序安全统称为计算机安全。 P33第三章网络安全基础1、 对称加密与公钥加密区别对称加密：加密和解客的密钥相同（单钥）公钥加密：加密和解客的密钥不相同（双钥）2、 公钥加密和数字签名的区别3、报文摘要与消息认证的区别4、 密文安全性完全基于密钥的安全性5、 对称加密包括：流密码和分组密码体制6、 Feistel分组密码结构及其在DES中的应用Feistel结构是一种分组密码体制下的加密运算过程。 它的输入是由明文分割后产生的固定为2W2W分的数据组和密钥 K，每组数据分为左、右两部分；经过 n次的迭代运算后，输出2W位的密文。其中每次迭代的密钥由原始密钥 K经过子密钥生成运算产生子密钥集{k1,k2,…,kn},且上一次迭代运算的结果作为下一次运算的输入。数据加密标准(DES)采用feistel分组密码结构。大致可分为：初始置换，迭代过程，逆置换和，子密钥生成7、 DES中的S盒计算：将48比特压缩成32比特输入6比特：b1b2b3b4b5b6输出4比特：S(b1b6, b2b3b4b5)8、 DES中CBC模式的优良特性由于加密分组链接模式中每一组数据组和前一组数据组对应的密文异或运算后作为加密运算模块的输入，因此即使密钥相同的两组相同数据组加密运算后产生的密文也不会相同，加了加密算法的安全性。9、 RSA公钥加密体制公开密钥：PK={e,n}秘密密钥：SK={d,n}加密过程：把待加密的内容分成 k比特的分组，k<log2n,并写成数字，设为贝C=Memodn解密过程：M=Cdmodn密钥产生：取两个大素数p,q,p=q,保密；计算n=pq,公开n;3•计算欧拉函数©(n)=(p-1)(q-1)；选择整数e使得e与©(n)互素；0<e<©(n)-15•计算求满足ed=1mod (n)的d将d保密，丢弃p,q10、 Diffie-Heilman密钥交换算法系统参数产生)取大素数p,)计算对应的本原元〉，公开(p,：)；用户A取整数XA，计算YA=axamodp公告YA给用户B;用户A取整数XB,计算YB=axbmodp公告YB给用户A;xa xbKA=YBmodp,KB=YAmodp,KA=KB11、认证中心的作用及证书的表示认证中心的作用是证明公钥和用户的绑定关系证书的表示：1证书的表示：1)用明文方式规定的用于确认公钥PKB和用户B之间绑定关系的证明用认证中心的私钥SKCA对上述明文的提出报文摘要进行解密运算后生成的密文Dskca(MD(P)).证书的主要内容包括：版本、证书序号、签名算法标识符、签发者名称、起始时间、终止时间、用户名称、用户公钥信息、签发者唯一标识符、用户唯一标识符、扩展信息、Dskca(MD(P)).12、Kerberos认证系统的组成认证服务器 身份认证，通行证签发服务器------获取服务通行证，确认客户是否授权访问某个应用服务器应用服务器 访问服务器13、安全协议 层TLS(运输层安全协议)TLS(运输层安全协议)IPSec802.1X(基于端口的接入控制协议)14、EAP(扩展认证协议)的特点与应用环境无关的、用于传输认证协议种载体协议绑定运输层网络层数据链路层 (?)P65体协议，所有应用环境和认证协议都和这15、IPSec体系结构 P75IPSec协议不是一个单独的协议，它给出了应用于 IP层上网络数据安全的一整套体系结构，包括认证首部协议AuthenticationHeader(AH)、圭寸装安全净荷协议EncapsulatingSecurityPayload(ESP)、安全关联和密钥管理协议InternetSecurityAssociationandKeyManagementPortocol(ISAKMP)和用于网络认证及加密的一些算法安全关联：用于确定发送者至接收者传输方向的数据所使用的加密算法和加密密钥、MAC算法和MAC密钥和安全协议等。安全关联用安全参数索引 SPI、目的IP地址和安全协议标识符唯一标识；AH:认证首部的作用是认证发送者，数据完整性检测；认证首部AH包含安全参数索引SPI，序号、认证数据等。运输模式：在IP分组首部和净荷之间插入AH，封装成AH报文隧道模式：在外层IP首部和净荷之间插入AH，封装成AH报文ESP;ESP的作用是实现保密传输、发送者认证和数据完整性检测ESP首部包含安全参数和序号ESP尾部包含填充数据、8位填充长度字段和8位下一个首部运输模式：在IP分组首部和净荷之间插入ESP首部，在净荷后面插入ESP尾部隧道模式：在外层IP首部和净荷之间插入ESP首部，在净荷后面插入ESP尾部ISAKMP;ISAKMP的作用：一是认证双方身份，当然，每一方在认证对方身份前，应该具有授权建立安全关联的客户名录。 二是建立安全关联，建立安全关联的过程是通过协商确定安全协议、加密密钥、 MAC密钥和SPI的过程；TLS握手协议TLS安全参数切换协议TLS报警协议HTTPTLS记录协议TCPIP第四章安全网络技术1、IPSec协议为什么不适用端点之间的身份认证？ P92路由协议是基于IP的高层协议，在它建立终端之间的传输路径前，终端之间并不能实现端到端传输，所以IPSec协议并不适合用于实现传输路由消息的两个端点之间的身份认证和路由消息的完整性检测，需要开发专用技术用于解决路由消息的正确传输问题。2、 信息流的管制在SYN攻击中的应用信息流管制的方法是限制特定信息流的流量，特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列，这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。SYN泛洪攻击是指黑客终端伪造多个IP，向Web服务器建立TCP连接请求，服务器为请求分配资源并发送确认响应，但是这些确认响应都不能到达真正的网络终端。 因此只要在边缘服务器中对接入网络的信息流量进行管制，就能有效地抑制 SYN攻击。3、 NAT P106NAT(NetworkAddressTranslation)，网络地址转换，在边缘路由器中实现的本地 IP地址和全球IP地址之间的转换功能。第五章无线局域网安全技术1、解决无线局域网安全问题的方法？ P116认证：解决接入控制问题，保证只有授权终端才能和 AP通信，并通过AP接入内部网络；加密：解决终端和AP之间传输的数据的保密性问题2、 WEP安全缺陷…… P121-125共享密钥认证机制的安全缺陷一次性密钥字典；完整性检测缺陷；静态密钥管理缺陷3、 802.11i的两种加密机制P125临时密钥完整性协议(TemporalKeyIntegrityProtocol,TKIP)计数器模式密码块链消息完整码协议(CTRwithCBC-MACProtocol,CCMP)4、802.1x认证机制 P131-136双向CHAP认证机制……EAP-TLS认证机制……动态密钥分配机制 第六章虚拟专用网络1、专用网络与虚拟专用网络的区别： P141-142专用网络----费用昂贵、协商过程复杂、利用率低；网络基础设施和信息资源属于单个组织并由该组织对网络实施管理的网络结构； 子网互联通过(独占点对点的专用链路)公共传输网络实现。虚拟专用网络----便宜，接入方便，子网间传输路径利用率较高通过公共的分组交换网络(如Internet)实现子网之间的互联， 并具有专用点对点链路的带宽和传输安全保证的组网技术。2、 基于IP的VPN结构 P143在IP网络的基础上构建的性能等同于点对点专用链路的隧道， 并用隧道实现VPN各子网间的互联。根据隧道传输的数据类型可分为IP隧道和第2层隧道，IP隧道传输IP分组，第2层隧道传输链路层帧。3、 VPN的安全机制：IPSec P147-148IP分组和链路层帧在经过隧道传输之前，在隧道两端建立双向的安全关联，并对经过隧道舆的数据进行加密、认证和完整性检测，即 IPSec加密：保证数据经过IP网络传输时不被窃取认证：保证数据在隧道两端之间的传输完整性检测：检测数据在传输中是否被篡改4、 VPN需实现的功能 P1491） 实现子网之间使用本地IP地址的ip分组的相互交换；2） 实现隧道的封闭性、安全性，使外部用户无法窃取和篡改经过隧道传输的数据第七章防火墙1、防火墙的功能 P173防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备， 尤其适用于内部网络和外部网络之间的连接处。服务控制：不同网络间只允许传输与特定服务相关的信息流。方向控制：不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。用户控制：不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。行为控制：不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。2网络防火墙的位置：内网和外网和连接点3、单穴与双穴堡垒主体结构和性质区别 P190-191单穴堡垒主机只有一个接口连接内部网络；堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问；单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无 状态分组过滤器的传输控制功能。双穴指堡垒主机用一个接口连接内部网络， 用另一个接口连接无状态分组过滤器， 并通过无状态分组过滤器连接外部网络；这种结构保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问；4、 统一访问控制的需求及实现（？） P193-195需求：（1） 移动性---终端用户不再固定到某一个子网；（2） 动态性---终端用户的访问权限是动态变化的；（3）访问权限的设置是基于用户的统一访问控制：在网络中设置统一的安全控制器， 实施动态访问控制策略的网络资源访问控制系统。由UAC代理、安全控制器和策略执行部件组成。第八章入侵防御系统1、入侵防御系统的分类 P205-206入侵防御系统分为主机入侵防御系统和网络入侵防御系统主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；网络入侵防御系统通过检测流经关键网段的信息流， 发现攻击行为，实施反制过程，以此保护重要网络资源；2、主机入侵防御系统的工作原理及目的 P223-224工作原理：首先截获所有对主机资源的操作请求和网络信息流， 然后根据操作对象、系统状态、发出操作请求的应用进程和配置的访问控制策略确定是否允许该操作进行， 必要时可能需要由用户确定该操作是否进行。目的：防止黑客对主机资源的非法访问4、网络入侵防御系统的工作过程1） 捕获信息;2） 检测异常信息；3） 反制异常信息；4） 报警;5） 登记。第九章网络管理和监测1、 网络管理的功能 P231故障管理计费管理配置管理性能管理安全管理2、网络管理系统结构 P232由网络管理工作站、管理代理、管理信息库（ MIB）、被管理对象（网络管理的基本单位）和网络管理协议（SNMP）组成。3、 SNMPSNMP的功能是在管理工作站和管理代理之间传输命令和响应4、网络性能瓶颈 P2441） 监测过载结点2） 分析流量组成3） 限制终端流量第十章安全网络设计实例1、网络安全主要的构件 P247-248接入控制和认证构件分组过滤和速率限制构件防火墙入侵防御系统VPN接入构件认证、管理和控制服务器2、安全网络设计步骤 P248-2491） 确定需要保护的网络资源---只对网络中重要且容易遭受攻击的网络资源实施保护；2） 分析可能遭受的攻击类型；3） 风险评估----使设计过程变得有的放矢；4） 设计网络安全策略；5） 实现网络安全策略；6） 分析和改进网络安全策略。第十一章应用层安全协议P2591、彻底解决Web安全需要什么？---构建网络安全体系2、网络体系结构中安全协议 P259-260P259网络层---IPSec:在网络层上实现端到端的相互认证和保密传输运输层---TLS：在运输层上实现端到端的相互认证和保密传输应用层---SET:安全电子交易协议，实现网络