第一篇:信息安全概論考試總結
信息安全概論知識點
一.名詞解釋
1.信息安全:信息安全是指信息網絡的硬件,軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統連續可靠地運行,信息服務不中斷。
2.安全漏洞:指計算機系統具有的某種可能被入侵者惡意利用的屬性,在計算機安全領域,安全漏洞通常又稱作脆弱性。
3.緩沖區溢出:是一種非常普遍,非常危險的漏洞,在各種操作系統,應用軟件中廣泛存在。利用緩沖區溢出攻擊,可以導致系統運行失敗,系統死機,重新啟動等后果。
4.網絡后門:是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。
5.計算機病毒:是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。
6.惡意軟件:俗稱流氓軟件,是對破壞系統正常運行的軟件的總稱。惡意軟件介于病毒軟件和正規軟件之間,同時具備正常功能(下載,媒體播放等)和惡意行為(彈廣告,開后門),給用戶帶來實質危害。7.防火墻:位于可行網絡與不可信網絡之間并對二者之間流動的數據包進行檢查的一臺,多臺計算機或路由器。
8.入侵檢測:是從計算機網絡或計算機系統中的若干關鍵點搜集信息并對其進行分析,從中發現網絡或者系統中是否有違反安全策略的行為和遭遇襲擊的跡象的一種機制。
9.異常檢測技術:也稱基于行為的檢測,是指根據使用者的行為或資源使用情況來判斷是否發生入侵,而不依賴于具體行為是否出現來檢測。
10.誤用檢測技術:也稱基于知識的檢測,它是指運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來檢測。11.VPN:是一種能夠將物理上分布在不同地點的網絡通過公用骨干網,尤其是Internet連接而成的邏輯上的虛擬子網。
12.對稱加密算法:是用加密數據使用的密鑰可以計算出用于解密數據的密鑰。
13.非對稱加密算法:是指用于加密的密鑰和用于解密的密鑰是不同的,而且從加密的密鑰無法推導出解密的密鑰。
14.散列函數:也稱為Hash函數,雜湊函數,哈希函數,哈希算法,散列算法或消息摘要算法。它通過把單項數學函數應用于數據,將任意長度的一塊數據轉化成一定長的,不可逆轉的數據。
15.蜜罐:是當前最流行的一種陷阱及偽裝手段。主要用于監視并探測潛在的攻擊行為。
二.簡答:
1.網絡監聽的工作原理
當一個局域網采用共享Hub時,當用戶發送一個報文時,這些報文會被發送到LAN上所有在線的機器。一般情況下,網絡上所有的機器都可以“聽”到通過的流量,但對不屬于自己的報文則不予響應,即主機A不會捕獲發向主機B的數據,而會簡單地忽略這些數據。但是如果局域網中的某臺計算機的網絡接口處于混雜模式,那么它就可以捕獲到網絡上所有的報文和幀。如果一臺計算機的網卡被設置成這種模式,那么它就是一個監聽器或嗅探器。
2.網絡監聽的防護和檢測的主要方法
(1)網絡分段
(2)加密會話(3)使用檢測工具
(4)觀察異常情況 3.緩沖區溢出的原理
主要是通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他命令,以達到攻擊的目的。4.Dos攻擊方式
(1)SYN Flood工作原理:該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK后并不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由于沒有收到ACK 一直維護著隊列,造成了資源大量而不能向正常請求提供服務。(2)Smurf工作原理:該攻擊向一個子網的廣播地址發一個帶有特定請求的包,并且將源地址偽裝成想要攻擊的主機地址。自網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。5.計算機病毒的特征(1)傳染性:基本特征
(2)隱蔽性
(3)潛伏性
(4)破壞性 6.普通病毒和蠕蟲病毒的區別
普通病毒
蠕蟲病毒 存在形式:
寄存文件
獨立程序 傳染機制:
寄主程序運行
主動攻擊 傳染目標:
本地文件
網絡計算機 7.木馬病毒的傳播方式
通過網絡或者系統漏洞進入用戶的系統并隱藏,然后向外界透漏用戶的信息。
8.物理層常用的防護手段
(1)物理位置選擇(2)物理訪問控制(3)防盜竊和防破壞(4)防雷擊(5)防火(6)防水和防潮(7)防靜電(8)溫濕度控制(9)電力供應(10)電磁防護要求 9.防火墻的發展歷史及局限性
發展歷史:第一代:1984年
采用的技術:包過濾
第二代:1989年
采用的技術:代理服務
第三代:1992年
采用的技術:動態包過濾(狀態監控)
第四代:1998年
采用的技術:自適應代理服務 局限性:(1)不能防止不經過它的攻擊,不能防止授權訪問的攻擊。
(2)只能對配置的規則有效,不能防止沒有配置的訪問。
(3)不能防止通過社交工程手段的攻擊和一個合法用戶的攻擊行為。
(4)不能針對一個設計上有問題的系統攻擊。10.異常檢測技術的原理及前提
原理:該技術首先假設網絡攻擊行為是不常見的,區別于所有正常行為。如果能夠為用戶和系統的所有正常行為總結活動規律并建立行為模型,那么入侵檢測系統可以將當前捕獲到的網絡行為與行為模型相比,若入侵行為偏離了正常的行為軌跡,就可以被檢測出來。前提條件:入侵活動是異常活動的一個子集,理想的情況是:一場活動集與入侵活動集相等。11.無用檢測技術的原理及前提
原理:首先要定義違背安全策略事件的特征,判別所搜集到的數據特征是否在所搜集到的入侵模式庫中出現。
前提:假設所有的網絡攻擊行為和方法都具有一定的模式或特征。12.VPN的作用
它提供了通過公用網絡安全地對企業內部網絡進行遠程訪問的連接方式。
賬號保護的主要方法及手段
(1)保護guest賬戶(2)限制用戶數量(3)管理員賬戶改名(4)建陷阱賬戶 13.對稱加密算法優缺點 優點:加密速度快,保密度高。
缺點:分發的困難問題幾乎無法解決。密鑰是保密通信的關鍵,發信方必須安全、妥善的把密鑰送到收信方,不能泄露其內容,密鑰的傳輸必須安全,如何才能把密鑰安全送到收信方是對稱加密體制的突出問題。
14.非對稱加密算法的優缺點 優點:
(1)公鑰加密技術與對稱加密技術相比,其優勢在于不需要共享通用的密鑰。
(2)公鑰在傳遞和發布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲的公鑰對入侵者沒有太大意義。
(3)密鑰少便于管理,N個用戶通信只需要N對密鑰,網絡中每個用戶只需要保存自己的解密密鑰。
(4)密鑰分配簡單,加密密鑰分發給用戶,而解密密鑰由用戶自己保留。
缺點:加密算法復雜,加密和解密的速度比較慢。15.硬盤丟失數據的注意事項
(1)在硬盤數據出現丟失后,請立即換機,不要在對硬盤進行任何寫操作,那樣會增大修復的難度,也會影響到修復的成功率。(2)每一步操作都應該是可逆的或者對故障硬盤是只讀的。16.使用Easy Recovery軟件的注意事項
(1)最好在重新安裝計算機操作系統完后,就把Easy Recovery軟件安裝上,這樣一旦計算機有文件丟失現象就可以使用Easy Recovery軟件進行恢復了。
(2)不能在文件丟失以后再安裝Easy Recovery文件恢復軟件,因為這樣的話Easy Recovery軟件極有可能將要恢復的文件覆蓋了,萬一在沒有安裝Easy Recovery軟件的情況下文件丟失,這時最好不要給計算機里再復制文件。可以將計算機硬盤拔下來,放到其他已經安裝有Easy Recovery軟件的計算機上進行恢復,或找專業的安全人員來處理。
三. 問答題:
1.信息安全體系結構
應用安全:(1)數據庫加固(2)安全監控
(3)電子文檔
(4)安全身份認證統一授權
系統安全:(1)容災備份
(2)系統加固
(3)HIDS NIDS(4)漏洞掃描 系統防毒
網絡安全:(1)VLAN劃分
(2)外網的入網訪問控制
(3)網絡安全邊界防火墻
(4)VPN,傳輸安全
(5)網絡防毒
物理安全:(1)環境安全:防火,防水,磁泄露,防震
(2)設備安全:防盜,物理隔離系統的設置,雙網隔離設備
(3)介質安全:防盜防電 2.SQL Server 注入攻擊的原理
攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串,欺騙服務器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。3.黑客攻擊步驟
(1)踩點
(2)掃描
(3)入侵
(4)獲取權限
(5)提升權限(6)清除日志 4.常見的攻擊手段
(1)密碼破解攻擊 :字典攻擊
混合攻擊
暴力攻擊
專業工具(2)緩沖區溢出攻擊
(3)欺騙攻擊:源IP地址欺騙攻擊
源路由欺騙攻擊(4)DOS/DDOS攻擊:DOS攻擊
DDOS攻擊(5)SQL注入攻擊(6)網絡蠕蟲(7)社會工程學 5.常見的防范手段:
(1)拋棄基于地址的信任策略(2)使用加碼方法(3)進行包過濾(4)防火墻技術
(5)確定所有服務器采用最新系統,并打上安全補丁。6.防火墻的體系結構(1)雙重宿主主機體系結構
原理:雙重宿主主機體質圍繞雙重宿主主機構建。雙重宿主主機至少有兩個網絡接口,這樣的知己可以充當外部網絡和內部網絡之間的路由器,所以它能夠使內部網絡和外部網絡的數據包直接路由通過。然而雙重宿主主機的防火墻體系結構不允許這樣直接地通過。因此IP數據包并不是從一個網絡直接發送到另一個網絡。外部網絡能與雙重宿主主機通信,內部網絡也能與雙重宿主主機通信,但是外部網絡與內部網絡不能直接通信,他們之間的通信必須經過過濾和控制,一般在雙重宿主主機上安裝代理服務器軟件,可以為不同的服務提供轉發,并同時根據策略進行過濾和控制。雙重宿主主機體系結構連接內部網絡和外部網絡,相當于內部外部網絡的跳板,能夠提供級別比較高的控制,可以完全禁止內部網絡對外部網絡的訪問。(2)被屏蔽主機體系結構
原理:被屏蔽主機體系結構防火墻使用一個路由器把內部網絡和外部網絡隔開,在這種體系結構中,主要的安全防護功能由數據包過濾提供。
(3)被屏蔽子網體系結構
原理:被屏蔽子網體系結構將額外的安全層添加到被屏蔽主機體系結構,即通過添加周邊網絡更進一步把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單形式是兩個屏蔽路由器,每一個都連接到周邊網絡。一個位于周邊網絡與內部網絡之間,另一個位于周邊網絡與外部網絡之間。
第二篇:信息安全概論
第一章
1、信息安全的基本屬性:(1)可用性(2)機密性(3)非否認性(4)可控性(5)真實性(6)完整性
2、信息安全技術是指保障信息安全的技術,具體來說,它包括對信息的偽裝、驗證及對信息系統的保護等方面。
3、信息安全劃分四個階段:(1)通信安全發展時期(2)計算機安全發展時期(3)信息安全發展時期(4)信息安全保障發展時期。
4、信息安全威脅有:(1)信息泄露(2)篡改(3)重寫(4)假冒(5)否認(6)非授權使用(7)網絡與系統攻擊(8)惡意代碼(9)災害、故障與人為破壞。
第二章
1、密碼技術提供:完整性、真實性、非否認性等屬性。
2、密碼學分為:密碼編碼學和密碼分析學。
3、按密鑰使用方法的不同,密碼系統主要分為對稱密碼、公鑰密碼。
4、密碼分析也可稱為密碼攻擊。
5、密碼分析分為4類:(1)唯密文攻擊(2)已知明文攻擊(3)選擇明文攻擊(4)選擇密文攻擊。第三章
1、系統實體標識:(1)系統資源標識(2)用戶、組和角色標識(3)與數字證書相關的標識。
2、威脅與對策:(1)外部泄密(2)口令猜測(3)線路竊聽(4)重放攻擊(5)對驗證方的攻擊。
3、PKI:公開密鑰基礎設施。(PKI中最基本的元素就是數字證書)
4、PKI的組成:(1)認證和注冊機構(2)證書管理(3)密鑰管理(4)非否認服務(5)系統間的認證(6)客戶端軟件。
5、PKI支撐的主要安全功能:基于PKI提供的公鑰證書和私鑰,用戶之間可以進行相互的實體認證,也可以進行數據起源的認證。
6、公鑰認證的一般過程是怎樣的? 公鑰來加密,只有擁有密鑰的人才能解密。通過公鑰加密過的密文使用密鑰可以輕松解密,但通過公鑰來猜測密鑰卻十分困難。
7、簡述PKI的構成和基本工作原理。PKI的構成:(1)認證和注冊機構(2)證書管理(3)密鑰管理(4)非否認服務(5)系統間的認證(6)客戶端軟件 基本原理:PKI就是一種基礎設施,其目標就是要充分利用公鑰密碼學的理論基礎,建立起一種普遍適用的基礎設施,為各種網絡應用提供全面的安全服務 第四章
1、訪問控制策略:自主訪問控制策略(DAC)、強制訪問控制策略(MAC)、基于角色訪問控制策略(RBAC)。
(HRU模型 Bell-Lapadula模型 BIBA模型 Dion模型。)
2、PMI技術:授權管理基礎設施。
3、PMI基本屬性要素:屬性證書、屬性權威機構及PMI模型。第五章
1、信息隱藏主要包括數字水印技術和隱寫技術。
2、魯棒水印:是一種主要面向數字內容版權保護的信息隱藏技術,他通過原
內容的感知冗余中隱藏地嵌入包含版權信息的數據。
3、脆弱水印技術將防偽信息隱藏在數字內容中,目的是以后通過檢查發現篡改,由于防偽信息和被保護數據融合,方便地支持了電子圖文的流動。(脆弱水印是一種保護數據完整性和真實性的技術)第六章
1、網絡與系統攻擊手段主要包括網絡與系統調查、口令攻擊、拒絕服務攻擊、緩沖區溢出攻擊等。
2、口令攻擊的破解方法:(1)詞典生成(2)口令截收和欺騙(3)非技術手段。
3、拒絕服務攻擊的主要類型和基本原理是什么? 主要類型:(1)利用系統漏洞(2)利用網絡協議(3)利用合理服務請求(4)分布式拒絕服務攻擊。基本原理:攻擊者通過發送大量的服務或操作請求,致使服務程序出現難以正常運行的情況。第七章
1、防火墻的基本類型:(1)包過濾防火墻(2)代理網關(3)包檢查型防火墻(4)混合型防火墻。
2、入侵檢測系統需要解決三個方面的問題:(1)需要充分并可靠地采集網絡和系統中數據,提取描述網絡和系統行為的特征;(2)必須根據以上數據和特征,高效并準確地判斷網絡和系統行為的性質;(3)需要對網絡和系統入侵提供響應手段。
3、IDS數據源主要可分為兩類:(1)基于主機的IDS(2)基于網絡的IDS。
4、“蜜罐”技術是指一類對攻擊、攻擊者信息的收集技術。
5、“蜜罐”主要采用的技術:(1)偽裝和引入(2)信息的控制(3)數據捕獲和分析。
6、信息安全應急響應一般分為前期響應、中期響應、后期響應三個階段。
7、IDS主要的分析檢查方法:誤用檢測、異常檢測、其他檢測。8防火墻的原理是什么?
(監視 拒絕 隔離 可疑文件。)第八章
1、日志和審計是兩個緊密相關的概念。
2、審計事件通常包括系統事件、登錄事件、資源訪問、操作、特權使用、賬號管理和策略更改等類別。
3、事件分析與追蹤:(1)檢查進程(2)檢查通信連接(3)檢查登錄用戶(4)分析日志(5)文件系統分析(6)地址追蹤(7)假冒地址追蹤。
4、電子證據:利用計算機和其他數字工具進行犯罪的一些證據以電子信息的形式存儲在計算機存儲系統或網絡中。
5、數字取證:利用計算機和其他數字工具進行犯罪的一些證據以電子信息的形式存儲在計算機存儲系統或網絡中,它們就是電子證據。第九章
1、操作系統安全技術主要包括:(1)內存分離和進程分離(2)賬戶系統與特權管理(3)訪問控制(4)文件保護(5)內核安全技術(6)安全審計(7)形式化驗證。
2、典型數據庫特色的安全需求:(1)
數據完整性(2)操作可靠性(3)存儲
可靠性(4)敏感數據保護。
3、可信計算的基本思想是:如果可以從計算平臺的源頭實施可靠的防范,這些不安全因素可以被有效控制。
4、TCPA 可信計算平臺聯盟TPM 可信平臺模塊。第十章
1、OSI(國際標準化組織)安全體系結構:1-4層的安全服務以“底層網絡安全協議”的方式提供,包括傳輸層安全協議(TLSP)和網絡層安全協議(NLSP);5-7層的安全服務以“安全組件”的方式提供,包括系統安全組件和安全通信組件。
2、IPSex協議:應用于網絡層。
3、SET(電子商務協議)標準:主要目的是保護互聯網上信用卡交易安全。第十一章
1、常見的惡意代碼:計算機病毒、蠕蟲和特洛伊木馬。
2、計算機病毒:是一類具有傳染、隱蔽、破壞等能力的惡意代碼。(CIH病毒、蠕蟲、特洛伊木馬)
3、惡意代碼檢測方法主要有:(1)
特征代碼法(2)校驗和法、行為監測法(3)軟件模擬法(4)比較法(5)感染實驗法 第十二章
1、內容安全技術主要用于不良內容傳播控制、數字版權侵權控制、敏感內容泄露及其控制等方面。
2、內容安全技術分為被動內容安全技術和主動內容安全技術,被動內容安全技術不事先預處理被監管的內容,主動內容安全技術對被監管的內容進行預處理。第十三章1、1999年,我國頒布了國家標準《計算機信息系統安全保護等級劃分準則》 2、2001年5月,成立了“中國信息安全產品測評認證中心”。
3、2001年,我國根據CC頒布了國家標準《信息技術 安全技術 信息技術安全性評估準則》
4、2007年,我國成立了“中國信息安全認證中心”。
5、設計人員或分析人員已經可以采用安全模型、協議形式化分析和可證明安全性方法等手段對安全策略、安全協議或密碼算法進行驗證。第十四章
1、安全策略主要應明確以下問題:(1)安全目標(2)訪問主體(3)訪問客體(4)訪問方式。
2、在進行風險評估前,一般需要先分析信息系統的威脅、脆弱性和可能的攻擊。
第三篇:信息安全概論課程學習總結
信息安全概論課程學習總結
本學期經過一學期的對于信息安全概論課程的學習,對于信息安全所涉及的領域、信息安全科目所包含的知識以及信息安全專業學習所需要的相關知識儲備和相關發展方向有了簡單程度上的相應了解。于此,對于本學期所學信息安全概論的課程進行梳理與詳述。
本學期信息安全概論課程內容大致可分為這幾部分:信息安全概述、數字水印、僵尸網絡、電子商務中的安全技術、操作系統基礎知識、網絡安全導論、密碼學概論以及身份認證技術概述。
一、信息安全概述
信息安全之目的在于將信息系統之脆弱性降到最低,即將信息系統的任何弱點減小至最少。信息安全的屬性為:機密性、完整性、可用性、不可否認性以及可控性。
1.機密性,是指保護數據不受非法截獲和未經授權瀏覽。此之于敏感數據之傳輸甚為緊要,對于通信網絡中處理用戶的私人信息是十分必須且關鍵的。
2.完整性,是指保障數據在被傳輸、接受或者存儲時的完整以及未發生篡改。此之于保證重要數據之精確性是必不可少的。
3.可用性,是指當發生突發事件時,用戶依然可以得到并使用數據且服務處于正常運轉狀態,例如發生供電中斷以及相應地自然災害與事故使。
4.不可否認性,是指行為人不能否認其信息之行為。此之于可用于防止參與某次通信交換的一方在事后否認本次交換曾經發生過的情況。
5.可控性,是指對于信息即信息系統實施安全監控。此之于可用于確保管理機制對信息之傳播及內容具有控制能力。
信息安全的研究內容包括:安全檢測與風險評估、網絡信任體系、可信計算、訪問控制、身份認證、密碼技術、內容安全、安全協議、惡意行為及惡意代碼檢測、信息隱藏、網絡監控、入侵檢測、防火墻、無線通信安全、嵌入式安全、云安全以及量子密碼等。
與信息安全相關的法規在世界各國也都有了長足的發展。
美國于1998年5月22日總統令《保護美國關鍵基礎設施》,就圍繞“信息保障”成立了多個組織,包括:全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應行動組等十多個全國性機構。1998年美國國家安全局制定了《信息保障技術框架》,確定了包括網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的“深度防御策略”。而后,于2000年1月,發布《保衛美國計算機空間—保護信息系統的國家計劃》。分析了美國關鍵基礎設施所面臨的威脅,制定出聯邦政府關鍵基礎設施保護計劃,以及關鍵基礎設施保障框架。
與此同時,俄羅斯于1995年頒布《聯邦信息、信息化和信息保護法》,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。又于1997年出臺《俄羅斯國家安全構想》。明確提出“保障國家安全應把保障經濟安全放在第一位”,而“信息安全又是經濟安全的重中之重。而后的2000年普京總統批準了《國家信息安全學說》,明確了聯邦信息安全建設的任務、原則和主要內容。第一次明確了俄羅斯在信息領域的利益是什么,受到的威脅是什么,以及為確保信息安全首先要采取的措施等。
日本也緊跟步伐,出臺《21世紀信息通信構想》和《信息通信產業技術戰略》,強調“信息安全保障是日本綜合安全保障體系的核心”。加緊建立與信安全相關的政策和法律法規,發布了《信息通信網絡安全可靠性基準》和《IT安全政策指南》。成立了信息安全措施促進辦公室,綜合安全保障閣僚會議、IT安全專家委員會和內閣辦公室下的IT安全分局。
在我國現已頒布《中華人民共和國計算機安全保護條例》、《中華人民共和國商用密碼管理條例》、《計算機信息網絡國際聯網管理暫行辦法》、《計算機信息網絡安全保護管理辦法》、《計算機信息系統安全等級劃分標準》以及在《刑法》的修訂過程中增加了有關于計算機犯罪的條款。我國的信息安全法律法規發展現在已經頗具規模。
二、數字水印
數字水印,是指將一些標識信息直接嵌入數字載體當中或是間接表示且不影響原載體的使用價值,也不容易被探知和再次修改,仍能被生產方識別和辨認的技術。數字水印技術是對抗盜版等不法行為的一種行之有效的防偽方式。
三、僵尸網絡
僵尸網絡,是指通過各種手段在大量計算機中植入特定的惡意程序,使控制者能夠通過相對集中的若干計算機直接向大量計算機發送指令的攻擊網絡。被植入惡意程序的計算機就如同僵尸一般受控于攻擊者,進而從事攻擊破壞活動。
構成僵尸網絡的組成為:僵尸主控機、“僵尸”:被入侵的計算機、指揮和控制協定。
現如今僵尸網絡已成為會聯網的主要威脅,因為大量的計算機被控制,展開猛烈的攻擊、破壞、收集敏感數據和增加更多的被控制的計算機,網絡允許受控計算機的運行。其攻擊的方式為:DDoS 攻擊、垃圾郵件、Clickfruad、惡意傳播、非法入侵、Manipulating online polls。僵尸網絡的主要目的還是金錢的驅使。
四、電子商務中的安全技術 1.應用背景
2.加密技術 3.在線支付協議
五、操作系統基礎知識 第一部分,OS有關概念。1.計算機硬件組成。2.OS的目標及功能。
3.操作系統的發展。按計算機換代李成劃分:
第一代(1945至1955)——電子真空管和插件板,機器語言、沒有OS、體積大速度慢。
第二代(1955至1965)——晶體管和批處理,有Fortran和匯編、按批處理作業,有了監控程序。
第三代(1965至1980)——集成電路和多道程序,多道程序、聯機即時外設操作,操作系統走向成熟。第四代(1980至1990)——個人機時代,大規模集成電路,有了成熟的操作系統產品MS-dos、Windows、UNIX。后第四代(90年以后)——網絡OS、分布式OS。
第二部分,OS研究的主要成就。1.創建了并行調度概念。2.形成了儲存器管理理論。3.建立信息保護和信息安全機制。4.實現資源調度和資源管理。5.提出了OS構建理論。第三部分,典型OS分類介紹。1.批處理操作系統。2.分時操作系統。3.實時操作系統。4.多處理操作系統。5.網絡操作系統。6.布式操作系統。7.個人計算機操作系統。第四部分,OS核心技術簡述。1.并發性問題。2.存儲管理技術。3.文件管理技術。4.I/O管理技術。5.系統安全與防范技術。第五部分,OS技術面臨的挑戰。
六、網絡安全導論
網絡安全,是指網絡系統的硬件、軟件及其中數據受到保護,不受偶然的或者惡意的破壞、更改、泄露,保證系統連續可靠地運行,網絡服務不中斷的措施。
1.攻擊、服務和機制。2.網絡安全模型。3.加密。
4.身份驗證和數字簽名。5.IPSec、S/MIME和SSL。6.防火墻、IDS和蜜罐技術。
七、密碼學概論 密碼技術的發展歷史:
第一階段(1949年前),古典密碼學發展階段。此階段的發展情況為,采用隱寫術,暗語、隱語、藏頭詩等,而采用的變換方式為手工或者機械變換的方式來實現。具有代表性的密碼有:單表代換密碼:Capesar密碼、仿射密碼;多表代換密碼:Vigenere密碼、Hill密碼等;轉輪密碼:Enigma、Red密碼等。
第二階段(1949年至1976年),近代密碼學階段。
1949年,Shannon發表了《保密系統的通信理論》,用信息論的觀點分析了密碼學的基本原理,奠定了密碼學的理論基礎。而后,1967年David Kahn出版了《破譯者》一書,促進了密碼學的理論發展。
第三階段(1976年至今),現代密碼學階段。
1976年,Diffie、Hellman發表《密碼學新方向》,開辟了公鑰密碼學的新領域。同年,美國建立DES為聯邦標準。現代密碼學的主要發展方向為:混沌密碼學、量子密碼學、橢圓曲線密碼學。
八、身份認證技術概述
1.身份認證,是指計算機及網絡系統確認操作者身份的過程,其目的是使通信雙方建立信任關系。在信息安全理論體系中,加密和認證是兩個最重要的分支。2.身份認證的發展歷史:
第一階段,最早的身份認證技術往往是以對罪犯的身份認證聯系在一起的,由于古代技術的落后,身份認證主要借助于一些附加于人體的特征來進行身份認證。第二階段,根據人體骨骼長度進行身份識別。
第三階段,指紋身份識別。隨著計算機技術的發展,目前指紋技術已經成為一種成熟易用的技術,其應用領域已相當廣泛。
3.古代身份認證的方法:根據你所知道的信息來證明身份;根據你所擁有的東西來證明身份;根據你獨一無二的身體特征來證明身份。然而這三種方法都存在一定缺陷,也許你知道的信息別人也知道,也學你所擁有的東西別人也擁有或者你的東西已丟失,對于特定身體特征的證明也存在一定的不便。
4.數字身份認證技術:用戶名/密碼認證方式;數字證書;智能卡;生物特征認證;零知識身份認證。以上對本學期所學相關知識根據感興趣情況進行了各有詳略的概述,現在對本人較為感興趣的單個方面進行較為具體的論述。由于本人經常網購,所以對于電子商務方面的安全問題較為感興趣,對于課程所涉及的相關問題及知識進行一下較為詳盡的論述。
電子商務是指憑借電子手段而進行的商業活動。當前電子商務面臨的主要問題為:付款、認證問題;商品投送保證問題;標準問題;稅收問題;安全與法律問題。電子商務安全機制具有保密性、完整性、可靠性和不可否認性。保密性是指必須實現該信息對除特定收信人以外的任何人都是不可讀取的。這樣一來加密就顯得尤為重要,加密是指通過密碼算術對數據進行轉化,使之成為沒有正確密鑰任何人都無法讀懂的報文,而這些以無法讀懂的形式出現的數據一般被稱為密文。按照國際上通行的慣例,將這些方法按照雙方收發的密鑰是否相同的標準劃分為兩大類:第一,常規算法。加密密鑰和解密密鑰是相同或等價的。第二,公鑰加密算法。可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證,但算法復雜,加密數據的速率較低。
現在進行進一步的論述。對稱加密算法有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。著名的對稱加密算法有:美國的DES及其各種變形、歐洲的IDEA、日本的FEALN、LOKI 91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等,其中影響最大的DES與AES。公鑰密碼可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證,但算法復雜,加密數據的速率較低。DES是IBM公司1977年為美國政府研制的一種算法,以56位密鑰為基礎的密碼塊加密。它的加密過程為:一次性把64位明文塊打亂置換;把64位明文塊拆成兩個32位塊;用加密DES密鑰把每個32位塊打亂位置16次;使用初始置換的逆置換。但是DES的安全性受到了很大的挑戰,1999年1月,EFF和分散網絡用不到一天的時間,破譯了56位的DES加密信息,DES的統治地位受到了嚴重的影響。目前橢圓曲線加密技術(EEC)正在興起,該技術具有安全性能高、計算量小處理速度快、儲存空間占用小以及帶寬要求低的特點,正在逐步受到人們的青睞。ECC的這些特點使它必將取代RSA,成為通用的公鑰加密算法。所有這些算法的安全性都基于密鑰的安全性;而不是基于算法的細節的安全性。
在在線電子商務中協議十分重要,在線支付協議有SSL協議、SET協議。SSL是Netscape公司在網絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。SSL目前已成為Internet上保密通信的工業標準。現行Web瀏覽器普遍將HTTP和SSL相結合,來實現安全通信。SSL采用公開密鑰技術,其目標是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶機兩端同時實現支持。它能使客戶/服務器應用之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選擇對客戶進行認證。SSL是對計算機之間整個會話進行加密的協議,采用了公開密鑰和私有密鑰兩種加密方法。SSL在兩個結點間建立安全的TCP連接,基于進程對進程的安全服務和加密傳輸信道,通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證,安全強度高。其主要工作流程為:網絡連接建立;與該連接相關的加密方式和壓縮方式選擇;雙方的身份識別;本次傳輸密鑰的確定;加密的數據傳輸;網絡連接的關閉。應用數據的傳輸過程:應用程序把應用數據提交給本地的SSL;發送端根據需要,使用指定的壓縮算法,壓縮應用數據;發送端使用散列算法對壓縮后的數據進行散列,得到數據的散列值;發送端把散列值和壓縮后的應用數據一起用加密算法加密;密文通過網絡傳給對方;接收方用相同的加密算法對密文解密,得到明文;接收方用相同的散列算法對明文中的應用數據散列;計算得到的散列值與明文中的散列值比較。SSL是一個面向連接的協議,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議并不能協調各方間的安全傳輸和信任關系。SSL在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SET是由VISA和MASTCARD于1997年5月聯合開發的,為了在Internet上進行在線交易時保證用卡支付的安全而設立的一個開放的規范。由于得到了IBM、HP、Microsoft、NetScape、VeriFone、GTE、VeriSign等很多大公司的支持,它已形成了事實上的工業標準,目前它已獲得IETF標準的認可。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。SET協議比SSL協議復雜,它不僅加密兩個端點間的單個會話,它還可以加密和認定三方間的多個信息。SET協議可通過雙重簽名的方法將信用卡信息直接從客戶方透過商家發送到商家的開戶行,而不容許商家訪問客戶的帳號信息,這樣客戶在消費時可以確信其信用卡號沒有在傳輸過程中被窺探,而接收SET交易的商家因為沒有訪問信用卡信息,故免去了在其數據庫中保存信用卡號的責任。
基于SET的電子交易流程為:持卡人使用瀏覽器在商家的WEB主頁上查看在線商品目錄瀏覽商品;持卡人選擇要購買的商品;持卡人填寫定單,包括:項目列表、價格、總價、運費、搬運費、稅費。定單可通過電子化方式從商家傳過來,或由持卡人的電子購物軟件建立。有些在線商場可以讓持卡人與商家協商物品的價格;持卡人選擇付款方式。此時SET開始介入;持卡人發送給商家一個完整的定單及要求付款的指令。在SET中,定單和付款指令由持卡人進行數字簽名。同時利用雙重簽名技術保證商家看不到持卡人的帳號信息;商家接受定單后,向持卡人的金融機構請求支付認可,通過Gateway到銀行,再到發卡機構確認,批準交易,然后返回確認信息給商家;商家發送定單確認信息給顧客。顧客端軟件可記錄交易日志,以備將來查詢;商家給顧客裝運貨物,或完成訂購的服務。到此為止,一個購買過程已經結束。商家可以立即請求銀行將錢從購物者的帳號轉移到商家帳號,也可以等到某一時間,請求成批劃帳處理。在認證操作和支付操作中間一般會有一個時間間隔。
第四篇:信息安全概論論文
淺析高校校園網信息安全的現狀與防范
摘要:信息安全是高校信息化建設的根本保證,高校通過制定一系列校園網信息安全來保障校園網的安全。本文概述了高校校園網信息安全的現狀,提出了保障高校校園網信息安全的防范措施,為科學地構建高校校園網信息安全體系提供了參考。
隨著高校校園網絡的不斷擴建和升級,網絡規模日益龐大。在方便信息傳遞,實現資源共享,提高工作效率的同時,高校校園網的信息安全問題已成為高校日常工作中不可或缺的重要組成部分。校園網作為高校教學應用的內部網及教職工對外交流的窗口,具有開放共享的特點,使校園網的信息安全受到極大的危險。近年來高校中的信息安全事件時有發生,信息的泄密、數據的破壞、服務無法正常進行等屢屢發生,有些甚至導致校園網癱瘓,給高校校園網的管理和維護帶來了嚴重挑戰。
關鍵詞:校園網;信息安全;現狀防范; 安全威脅;網絡安全;安全規劃;防火墻;入侵檢測
1.引言
隨著Internet的迅速發展和應用的普及,計算機網絡已經深入教育、政府、商業、軍事等各行各業,計算機校園網是信息化建設的基礎設施,在教學支持服務、教學教務管理、行政管理和校內外信息溝通等方面起著舉足輕重的作用。然而計算機網絡所具有的開放性、互連性和共享性等特征使網上信息安全存在著先天不足,再加上系統軟件中的安全漏洞以及所欠缺的嚴格管理,致使網絡易受黑客、惡意軟件的攻擊。在現有的校園網絡環境中,安全問題成為當前各信息網絡中心工作人員考慮得最多的問題。了解和分析這些安全隱患,采取正確的策略來抵御威脅,是校園網安全建設的根本,也是校園網絡正常發揮作用的保障。當然 要保證網絡的絕對安全是不可能的,必須根據網絡的現有狀況,對安全需求進行分析,采取必要的網絡安全策略,使網絡安全問題所造成的影響降到最低。在校園網建設中,很多校園網由于系統管理不善,安全保障措施不力,病毒通過系統漏洞、郵件等途徑在校園網傳播和泛濫,導致校園網成為計算機病毒滋生和泛濫的溫床,給校園網信息系統的應用、管理和維護帶來巨大的負面影響。
2.高校校園網信息安全的現狀
高校本身是研究和探索新科技、傳授新知識的場所,儲存了大量的科研成果和技術資料,是信息安全受到威脅的“集中營”。例如今年四月份,我校的域名被攻擊,導致我校的主頁面打不開、網速變慢等一些問題,給老師和同學們帶來了不便。
2.1工作人員對信息系統的應急處理能力不強,防范水平不高。
高校辦公室工作人員大都是非計算機專業的人員,計算機知識相對缺乏,對信息安全的防范意識尤為薄弱,缺乏對系統的基本維護能力,這勢必給高校校園網的信息安全造成威脅。
2.2信息安全管理觀念薄弱,負責信息安全人員的意識不強。
高校校園網用戶對安全意識以及防范能力沒有足夠重視,且認為防范信息安全是網絡信息或專業人員的事情,與個人無關。負責信息安全人員把計算機安裝還原卡當作“萬事通”,只對出問題的計算機進行檢查并未對高校網絡檢查等。2.3信息安全保障管理機構和組織隊伍不健全
對于高校校園網,信息瀏覽人數多,流量大,加大了信息安全人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應、快速解決,不能很好地保證校園網絡方便、快捷、規范地運行。2.4信息系統安全保障的必要設施短缺
信息系統軟硬件的內在缺陷不僅直接造成系統癱瘓,還會為一些人為的惡意攻擊提供機會。應用軟件的缺陷造成計算機信息系統的故障,降低系統安全性能,而設備的不完善、不更新,也給惡意攻擊有機可乘。2.5信息安全管理制度和標準缺乏開發性
我國的信息安全管理制度結構比較單一,層次較低,難以適應信息網絡技術發展的需要和日新月異帶來的信息安全問題。我國現行的信息安全管理制度基本上 是一些保護條例、管理辦法,缺少系統規范網絡行為的相應法律。
3.校園網絡面臨的安全威脅
中國的校園網一般都最先應用最先進的網絡技術,網絡應用普及,用戶群密集而且活躍。然而校園網由于自身的特點也是安全問題比較突出的地方,它既存在著自然因素導致的安全隱患,也存在著人為等諸多因素導致的危險,同時校園網絡的安全管理也更為復雜、困難。3.1 校園網的物理安全及自身的缺陷威脅
① 系統漏洞。系統漏洞是造成系統的安全風險的主要因素。雖然操作系統的功能及安全性日趨完善, 但仍存在著很多漏洞。由于操作系統的程序是可以動態鏈接的,包括I/O的驅動程序與系統服務均可以采用打補丁的方式進行升級。但這種軟件廠商使用的方法同樣也為黑客打開方便之門。如有名的Windows DCOM蠕蟲病毒就是利用Windows DCOM MS03-26漏洞進行攻擊的。另一方面系統管理員或使用人員對復雜的系統和自身的安全機制了解不夠、配置不當,從而形成安全隱患。還有操作系統自身設置不當也會留下安全隱患。
② 系統架構缺乏安全策略。多數校園網普遍采用基于以太網技術且采用開放的網絡架構,本身就不具備必要的安全策略。雖然隨著技術不斷更新,安全管理方面有所變化,但大多數校園網管還是采用一種單
一、被動、缺乏主動性和靈活性的基于網絡設備的集中式的安全策略,根本無法適應現行的網絡規范。另外,大多的校園網用戶并發上網現象普遍突出,集中式管理往往又會造成用戶認證時間過長或認證無效等問題。
③ 物理安全威脅。網絡周邊環境和物理特性引起的計算機系統、網絡服務器等網絡設備和物理鏈路等基礎設施的不可用,如設備被盜、被毀壞,鏈路老化或被有意或者無意的破壞。因電子輻射造成信息泄露、設備意外故障、停電、雷擊以及其它自然災害、有害氣體的破壞等等物理方面的因素,對校園網的正常運行構成威脅。
3.2 來自校園網內部的安全威脅
高校學生他們會把學校的網絡當作一個實驗環境,測試各種網絡功能。一些學生用自己的計算機和操作系統配置一個DHCP SEVER使在網絡上的計算機從假冒的 DHCP SEVER了解到IP地址,導致合法用戶不能登陸到DHCP提供的正確IP 地址而無法使用網絡資源。另外很多學生通過網絡在線看電影、聽音樂、聊天,占據了寶貴的網絡資源,很容易造成網絡堵塞和病毒傳播。總之,來自校園網內部的安全隱患所造成的破壞力、影響、威脅都是非常大的。3.3 來自外部互聯網的安全威脅
幾乎所有校園網絡都是利用Internet 技術構建的,同時又與 Internet 相連。網絡用戶可以直接訪問互聯網的資源,同樣任何能上互聯網的用戶也可以直接訪問校園網的資源。這對宣傳學校、擴大學校的影響和知名度很有好處,但Internet 的共享性和開放性使網上信息安全存在先天不足,在帶來方便的同時,也帶來安全風險。
3.4 黑客、拒絕式服務、病毒帶來的安全威脅
① 黑客攻擊。隨著網絡的迅猛發展,黑客攻擊活動日益猖獗。校園網在接入Internet的時候,即使有防火墻的保護,由于技術本身的局限或錯誤配置等原因,仍很難保證校園網不遭到黑客攻擊。
② 拒絕式服務。是指惡意地向被攻擊服務器發送信息洪流,占用計算機設備的資源而造成正常的服務請求被中斷,使網絡運行速度變慢甚至處于一種癱瘓狀態。
③ 病毒的危害。網絡病毒, 無論是在傳播速度, 破壞性, 還是在傳播范圍等方面都遠遠超過了單機病毒。如當今流行的蠕蟲病毒, 通過電子郵件、網絡共享或主動掃描等方式從客戶端感染校園網的web服務器。還有通過網絡傳播病毒或惡意腳本文件,干擾用戶的正常使用,如凍結注冊表、修改設置等。計算機病毒對計算機的攻擊,輕則使系統變慢,破壞文件,重則使硬件遭到破壞,網絡遭到病毒攻擊,則使網絡堵塞及癱瘓。
4.校園網絡的安全對策
如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,達到辦公、教學以及學生上網的多種需求成為了一個難題。網絡安全問題 , 不是單純的技術問題,而是一個系統工程。因此必須從系統的觀點去考慮。下面就校園網安全問題提出一些對策、措施。4.1 物理安全措施
物理安全的目的是保護路由器、交換機、工作站、各種網絡服務器、打印機 等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;確保網絡設備有一個良好的電磁兼容工作環境;妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行破壞活動。其中包括:設立實物安全周界,實物進入控制,設施安全考慮(防塵、防火、防洪、防雷等),安全區域內工作的規范規程,設備供電安全,通信電纜安全(防搭線),設備維護,運行日志以及電磁屏蔽、抑制和防止電磁泄漏等相關制度與技術。4.2 系統配置及軟件設置安全措施
要從系統配置及軟件設置上使得網絡更安全,主要做到以下幾個方面:一要關閉不必要的服務端口,取消服務器上不用的服務和協議種類。二要設置系統運行日志。通過運行系統日志,記錄下所有用戶使用系統的情形,分析日志文件,發現異常情況,及時防范。三要及時安裝系統補丁和更新服務方軟件。新版本的服務軟件能夠提供更多更好的功能,保證這些設備更有效更安全地運行。四要定期檢查系統安全性。通過安全檢測工具,在防火墻外對網絡內所有的服務器和客戶機進行端口掃描,并檢查用戶口令的安全性以及各用戶對網絡設備訪問的合法性等。五要封鎖系統安全漏洞。黑客之所以得以非法訪問系統資源和數據,很多情況下是因為操作系統和各種應用軟件的設計漏洞或者管理上的漏洞所致。在制定訪問控制策略時,不要忘記封鎖系統安全漏洞。4.3 校園網絡電子郵件安全策略
保障電子郵件安全的唯一一種辦法是讓攻擊者截獲了數據包但無法閱讀它。目前在校園網絡上可以采用如下策略來實現電子郵件的安全:
一、利用S/MIME來實現。S/MIME是一種安全的電子郵件格式,它采用一種消息加密與數字簽名格式,是一種已被接受的標準。
二、利用PGP。PGP是一個基于RSA公鑰加密體系的郵件加密軟件。可以用它對你的郵件保密,以防止非授權者閱讀,它還能對你的郵件加上數字簽名從而使收信人可以確信郵件是你發來的。讓你可以安全地與人們通訊,事先并不需要任何保密的渠道用來傳遞密鑰。
三、利用PEM。PEM是增強Internet電子郵件隱秘性的標準草案,它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能,允許使用公開密鑰和專用密鑰的加密方式,并能夠支持多種加密工具。
四、利用MOSS。MOSS(MIME對象安全服務)是將PEM和MIME兩者的特性進行了結合。
五、采用安全網關。最便捷的途徑是 采用電子郵件安全網關,即電子郵件防火墻。使進入或輸出的每一條消息都經過網關,從而使安全政策可以被執行。4.4 正確配置路由器
對于大多數校園網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數校園網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。經過恰當的設置,邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。
一、修改默認的口令。據國外調查顯示,80%的安全突破事件是由薄弱的口令引起的。
二、關閉IP直接廣播(IP Directed Broadcast)。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。
三、如果可能,關閉路由器的HTTP設置。
四、封鎖ICMP ping請求。ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。
五、關閉IP源路由。IP協議允許一臺主機指定數據包通過你的網絡的路由,而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是,這種用途很少應用。除非指定這項功能只能用于診斷故障,否則應該關閉這個功能。
六、確定你的數據包過濾的需求。在這種規定中,除了網路功能需要的之外,所有的端口和IP地址都必要要封鎖。
七、建立準許進入和外出的地址過濾政策。在你的邊界路由器上建立策略以便根據IP地址過濾進出網絡的違反安全規定的行為。
八、審閱安全記錄。審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法。利用出網的記錄,用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。4.5 建立統一的身份認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密性服務和不可否認服務等。校園網與Internet沒有實施物理隔離,但是,對于運行內部管理信息系統的內網 , 建立其統一的身份認證系統仍然是非常必要的 , 以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管 理。只有建立了基于校園網絡的全校統一身份認證系統,才能徹底的解決用戶上網身份問題。同時也為校園信息化的各項應用系統提供了安全可靠的保證。校園網用戶不但要通過統一的身份認證系統確認,而且合法用戶上網的行為也要受到統一的監控。
4.6 服務器訪問控制策略
像服務器這樣的網絡基礎設備,避免非法入侵的有效方法是去掉不必要的網絡訪問,在所需要的網絡訪問周圍建立訪問控制。限制諸如chargen、echo、日期等這些簡單的TCP 協議。因為很多網絡測試工具可以利用這些特定的協議, 對網絡實施DOS 入侵。
4.7培養高素質的安全運行維護隊伍
高校可以組建一支以學生為主體的安全運行維護隊伍,由網絡中心統一領導,中心專業老師負責對學生等用戶進行安全管理方面的培訓和指導,加強校園網的管理和維護力量,力爭對突發安全事件做到及時響應,快速解決,保證校園網方便、快捷、規范地運行。這樣不但能解決由于經費和維護人員不足造成的困難,而且也可以通過讓學生參與校園網的管理維護,來鍛煉他們的實際動手能力,為今后的工作奠定良好的基礎。4.8制定完善安全管理規章制度
安全管理貫穿于安全防范體系的始終,是保證網絡安全的基礎。各部門配備專職的信息安全管理人員,落實建立信息安全責任制度和工作章程,負責并保證組織內部的信息安全。管理人員必須做到及時進行漏洞修補、定期軟件升級和定期安全系統巡檢,保證對網絡的監控和管理。同時必須制訂一系列的安全管理制度,并遵循可操作、動態性、管理與技術的有機結合等原則,使校園網的信息安全工作進一步走向規范化和制度化。4.9利用多種形式進行信息安全教育
高校應利用多種形式進行信息安全教育:①是利用行政手段,通過各種會議進行信息安全教育;②是利用教育手段,通過信息安全學術研討會、安全知識競賽、安全知識講座等進行信息安全教育;③是利用學校傳播媒介、輿論工具等手段,通過校刊、校報、校園網絡、廣播、宣傳欄等進行信息安全教育。建議我校開展全校學生的信息安全教育。4.10構建良好的校園文化氛圍
信息安全是高校實現教育信息化的頭等大事,除先進的安全技術、完善的安全管理外,良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。
5.結束語
校園網信息安全是一項復雜的系統工程,不能僅僅依靠某一方面的安全策略,而需要仔細考慮系統的安全需求,網絡信息安全涉及的內容既有技術方面的問題,又有管理方面的問題,應加強從網絡信息安全技術和網絡信息安全管理兩個方面來進行網絡信息安全部署,盡可能的為校園網提供安全可靠的網絡運行環境。面對日益復雜的高校校園網信息安全及與日俱增的安全威脅,高校校園網的安全建設必須以了解校園網信息安全的現狀為前提。通過信息安全培訓加強所有用戶的安全意識,從而完善安全防范體系賴以生存的大環境,有效地實現校園網可靠、穩定地運行,創造出一個安全、便捷的網絡應用環境,有效地保障校園網的安全,提高網絡信息的保密性、完整性和可用性。
參考文獻: [1] 段云所.信息安全概論.高等教育出版社.2003.9 [2] 高峽,陳智罡,袁宗福.網絡設備互聯學習指南.科學出版社2009.4 [3] 張武軍.高校校園網安全整體解決方案研究.電子科技.2006 年第3 期.[4] 朱海虹.淺談網絡安全技術.科技創新導報,2007,32:32. [5] 符彥惟.計算機網絡安全實用技術.清華大學出版社.2008.9 [6] 王育民.通信網的安全—理論與技術.西安電子科技大學出版社.2000 [7] 段云所.個人防火墻.人民郵電出版社.2002 [8] 黎萍等.網絡安全與管理與Windows2000.人民郵電出版社.2000 [9] 唐正軍.網絡入侵檢測系統的設計與實現.電子工業出版社.2000 [10] 盧開成.計算機密碼學.清華大學出版社.1998
第五篇:信息安全概論總復習總結
信息安全概論總復習總結
1、根據TCP/IP協議,共有0-65535個端口,可分為私有端口、注冊端口、公認端口,其中公認端口的范圍為: 0——1023;私有端口的范圍為: 49152——65535;注冊端口的范圍為: 1024——49151。
2、IPSec通過安全策略為用戶提供一種描述安全需求的方法,允許用戶使用安全策略來定義 保護對象、安全措施 以及 密碼算法 等。3.IPsec的加密算法只用于(ESP協議)。
4.計算機病毒的特性有(傳染性、隱蔽性、潛伏性、破壞性)。5.特洛伊木馬的特性主要有(隱蔽性、欺騙性、特殊功能性)。
6.一個典型的PKI系統組成主要有(公鑰證書、證書管理機構、證書管理系統、圍繞證書服務的各種軟硬件設備以及相應的法律基礎)。
7.包過濾和代理是兩種實現防火墻功能的常見技術,其中包過濾技術工作在(網絡層)層,代理防火墻工作在(應用層)層。
8.包過濾防火墻的過濾依據主要有(ip源地址;ip目的地址;協議類型;tcp或udp的目的端口;tcp或udp的源端口;icmp消息類型;tcp報頭的ack位。)9.按照檢測技術的不同,可以將入侵檢測分為(異常檢測系統和誤用檢測系統),按照數據來源,可以分為(基于主機檢測系統和基于網絡檢測系統)。
10、信息安全模型P2DR模型中各個字母分別代表(策略、防護、檢測、響應)。
11、常用的服務及其對應的端口號。
ftp:21〃22,http:80,telnet:23,snmp:161,SMTP:25,POP3:110
12、運行保護中各保護環對應的內涵。
(安全操作系統的運行保護是基于一種保護環的等級結構實現的,這種保護環稱為運行域,一般的系統設置了不少于3—4個環,理解可答可不答)R0:操作系統,它控制整個計算機系統的運行;
R1:受限使用的系統應用環,如數據庫管理系統或事務處理系統; R2:應用程序環,它控制計算機對應用程序的運行;
R3:受限用戶的應用環,他控制各種不同用戶的應用環。
13、安全策略的實施原則。
(1)最小特權原則:主體執行操作時,按照主體所需權利的最小化原則分配給主體權利
(2)最小泄露原則:主體執行任務時,按照主體所需要知道的信息最小化的原則給主體權利
(3)多級安全策略:指主體和客體間的數據流向和權限控制按照安全級別的絕密(TS),秘密(S),機密(C),限制(RS)和無級別(U)5級來劃分。
14、樸素模式匹配算法的時間復雜度:文本串長n; 模式串長m。最壞情況下匹配搜索次數為 m*(n-m+1)。
15、KMP算法主要是消除了 主串 指針的回溯,從而使算法效率有了某種程度的提高。
1、假如你要向你的朋友發送某個信息,為了實現信息的不可否認性、完整性、機密性,你會怎樣做,畫圖說明你的方案。
2、IPSEC安全協議中,其工作模式及其體系結構。
答:
1、隧道模式:保護整個ip數據包;傳輸模式:保護ip包頭。
2、體系結構:ah(認證報頭協議)協議、esp(封裝安全負荷)協議、ike(秘鑰交換)協議
3、在訪問控制中,什么是主體,什么是客體,分別舉例說明。
答:主體:可導致信息在客體間流動或使系統狀態發生變化的主動實體。例子:用戶、進程。
客體:包含或接收信息的被動實體。例子:頁面、段、文件、目錄、進程、硬件設備,……
4、CA的信任模型主要有哪幾種,各有什么特點。答:1.嚴格層次信任模型:優點:(1)到達一個特定最終實體只有唯一的信任路徑,證書信任路徑構建簡單;(2)它建立在嚴格的層次機制之上,建立的信任關系可信度高。缺點:(1)根CA密鑰的安全最重要,一旦泄漏整個信任系統瓦解;(2)根CA策略制定要考慮各個參與方,這會使策略比較混亂。
2.橋信任模型:優點:現實性強,證書路徑較易發現,證書路徑相對較短。缺點:證書路徑的有效發現和確認不很理想,大型PKI的目錄的互操作性不方便,且證書復雜。
3.網狀信任模型:優點:信任關系可以傳遞;缺點:存在多條信任路徑,要進行路徑選擇。
4.對等信任模型:優點:信任路徑構建簡單,信任關系可信度高;缺點:限制自己只允許直接信任,所以證書量大。
5、SSL握手協議過程中創建一個會話。答:(1)hello階段;(2)加解密參數傳輸(3)server確認(4)會話數據傳輸
6、IPSec中密鑰交換協議IKE主要提供的功能分別是什么? 答:(1)協商服務(2)身份認證服務(3)密鑰管理(4)安全交換
2、對稱密碼體制與非對稱密碼體制下密鑰數量計算問題。
n*(n-1)/2;2n
3、IPSEC中AH協議中載荷長度計算公式。
kdAkmessagesign||Z||EC||HkEPkdBDPkkeAkeBkDCZ-1DPsignA(keA,kdA)HmessageH’B(keB,kdB)k比較載荷長度 n=?驗證數據長度(bit)/32(bit)? +1
4、門限秘密共享方案中的秘密與多項式重構計算問題。
例題:Shamir在1979年提出利用有限域GF(p)上的k-1次多項式h(x)?ak?1xk?1???a1x?a0modp構造秘密共享的(k,n)門限體制。一個(3,5)門限方案,若已知隨機素數p為17,當x=1,2,3,4,5時,對應的5個秘密份額為S1=
8、S2=
7、S3=
10、S4=0、S5=11,請采用LaGrange拉格朗日插值法從秘密份額中選擇S1、S3、S5個重構多項式h(x)和秘密S。(15分)
解:h(x)=8(x-3)(x-5)/(1-3)(1-5)+10(x-1)(x-5)/(3-1)(3-5)+11(x-1)(x-3)/(5-1)(5-3)mod 17= x2-8x+15-5(x2-6x+5)/2+11(x2-4x+3)/8 mod 17= x2-8x+15 mod 17 +(5(x2-6x+5)/(-2))mod 17 +11(x2-4x+3)/8 mod 17 h(x)= x2-8x+15 mod 17 +(5(x2-6x+5)*8)mod 17-22(x2-4x+3)mod 17=19 x2-160x+149 mod 17=2x2+10x+13 mod 17 多項式h(x)= 2x2+10x+13
秘密S=13。
5、入侵檢測模型與HIDS、NIDS的優缺點。
HIDS:基于主機的模型 優點:性價比高;更加細致,容易監測一些活動;視野集中;易于用戶剪裁;有較少的主機;對網絡流量不敏感。缺點:代價大;不監測網絡上的情況;對入侵行為分析工作量隨主機增加而增加。
NIDS:基于網絡的模型 優點:偵測速度快;隱蔽性好;視野更寬;較少的監測器;占的資源少 缺點:只檢查直接連接網段通信;不能監測不同網段的網絡包;實現復雜,需要大量計算和分析,工作量大。
6、包過濾型防火墻的作用就是在網絡中的適當位置對數據包實施有選擇的通過。選擇依據為系統內設置的過濾規則,只有滿足過濾規則的數據包才被轉發到相應的網絡接口,其余數據包則被丟棄。包過濾一般要檢查哪些內容,配置包過濾包括哪些步驟。
答:檢查內容:ip源地址;ip目的地址;協議類型;tcp或udp的目的端口;tcp或udp的源端口;icmp消息類型;tcp報頭的ack位。配置步驟:(1)必須知道什么是應該和不應該被允許的,必須制定一個安全策略。(2)必須正式規定允許的包類型、包字段和邏輯表達式。(3)必須用防火墻支持的語法重寫表達式。
7、描述利用KMP單模匹配算法進行模式匹配過程。例如:T={ababcabcacbab};P={abcac}
8、某公司有一B類網123.45。該網的子網123.45.6.0/24,有一合作網絡135.79。管理員希望:①禁止一切來自Internet的對公司內網的訪問;②允許來自合作網絡的所有子網135.79.0.0/16訪問公司的子網123.45.6.0/24;③禁止合作網絡的子網135.79.99.0/24的對123.45.0.0/16訪問權。請設計合理的過濾規則。
規
則
A B C 源
地
址
目的地
址
123.45.6.0/24
123.45.0.0/16 0.0.0.0/0
過濾操作
允許 拒絕 拒絕
135.79.0.0/16
135.79.99.0/24 0.0.0.0/0
點擊咨詢 