第一篇:信息安全理論與技術總結
第一章 信息安全基礎知識
信息安全特征:保密性、完整性、可用性、可控性、可審查性 信息安全含義:系統安全、系統中信息安全、管理安全
網絡安全含義:運行系統安全、網絡上系統信息的安全、網絡上信息傳播的安全、網絡上信息內容的安全 信息安全服務與目標主要是指保護信息系統 ISO安全體系結構:安全服務、安全機制、安全管理
安全服務:認證服務、訪問控制服務、數據保密性服務、數據完整性服務、不可否認服務
安全機制:加密機智、數字簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、業務填充機制、路由控制機制、公證機制
安全管理:系統安全管理、安全服務管理、安全機制管理
網絡安全防范體系:關于網絡安全防范系統的最高層概念抽象,他由各種網絡安全防范單元組成,各組成單元按照一定的規則關系,能夠有機集成起來,共同實現網絡安全目標 網絡安全體系:組織體系、技術體系、管理體系 PDRR:防護、檢測、恢復、響應
PPDR:安全策略、防護、檢測、恢復、響應
PPDR:安全=風險分析+執行策略+系統實施+漏洞檢測+實時響應 PPDR方向:提高系統的防護時間,降低檢測時間和響應時間
五層網絡安全模型:網絡、操作系統、用戶、應用程序、數據是否安全 TCSEC:D無保護級、C自主保護級、B強制保護級、A驗證保護級 網絡與信息安全=信息安全技術+信息安全管理體系
ISMS建設:定義信息安全策略、定義NISMS范圍、進行信息安全風險評估、信息安全風險管理、確定管制目標和選擇管制措施、準備信息安全適用性說明
第三章密鑰管理技術
密鑰類型:數據加密密鑰(會話密鑰)、密鑰加密密鑰、主密鑰
會話密鑰:用戶一次通話或交換數據是使用的密鑰,大多是臨時的,動態的 密鑰加密密鑰:用于對會話密鑰或下層密鑰進行保護
主密鑰:主要用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護,主密鑰是用戶選定或系統分配給用戶的,分發基于物理渠道或其他可靠的方法
集中式密鑰分配方案:由一個可信賴的聯機服務器作為密鑰分配中心或密鑰傳遞中心 具體過程:假定A是發起方,B為響應方,并且A、B與KDC有共享的密鑰Ka、Kb ①.A->KDC:IDA//IDB//N1:A向KDC發送A和B的身份IDA、IDB和本次業務唯一標識符N1,每次請求所使用的N1都不同。②.KDC->A:EKa[Ks//IDA//IDB//N1//EKb[Ks//IDA]]:KDC對A應答,信息由Ka加密,Ks是A和B的會話密鑰 ③.A->B:EKb[Ks//IDA]:A收到信息后將Ks存起來并將加密過的共享密鑰發送給B ④.B->A:EKs[N2]:B用共享密鑰加密另一個隨機數N2發送給A ⑤.A->B:EKS[f(N2)]:A響應B發送的信息,并用某種函數進行計算并加密后發送給B
分布式密鑰分配方案:網絡通信中各個通信方具有相同的地位,他們之間的密鑰分配取決于它們之間的協商
①.A->B:IDA//N1:A向B發出請求,包括A的標識符IDA和標識符N1 ②.B->A:EMKm[Ks//IDA//IDB//f(N1)//N2]:B使用A共享的主密鑰MKm加密共享密鑰Ks、A和B的標識符、f(N1)和隨機數N2 ③.A->B:EKs[F(n2)]:A使用B產生的會話密鑰Ks對f(N2)進行加密,并發送給B
非對稱密碼技術的密鑰分配方案:
①.簡單分配:
a)A->B:PKA//IDA:A將A的公鑰和身份識別號發送給B b)B->A:EPKA[KS]:B用A的公鑰加密后的KS發送給A ②.具有保密和認證功能的密鑰分配:
a)A->B:EPKB[N1//IDA] b)B->A:EPKA[N1//N2] c)A->B:EPKB[N2] d)B->A:EPKB[ESKA[KS]]
第四章 數字簽名和認證技術
數字簽名的要求:簽名是可信的,簽名是不可偽造的,簽名是不可復制的,簽名的消息是不可改變的,簽名是不可抵賴的
數字簽名的步驟:
①.使用單向散列算法算出原始數據的hash ②.發送方用自己的私鑰加密hash ③.發送方把原始數據和加密的hash發送給對方
④.接收方用發送方的公鑰解密,并用相同的hash函數對數據進行計算hash ⑤.如果計算所出來的hash值與發方發送的相同則可以確定確實是發方的
數字證書的用處:確保信息是由簽名者自己發送的,保證信息自簽發后未做過任何修改 認證信息類型:所知道的秘密、所擁有的實物、生物特征信息、上下文信息
認證的用途:驗證網絡資源訪問者的身份、發送者和接收者的真實性、網絡信息的完整性
認證技術:靜態密碼、IC卡、短信密碼、動態口令牌、USB Key、數字簽名、生物識別、雙因素身份認證、身份零知識證明
第五章 訪問控制技術
訪問控制:針對越權使用的防御措施,保證網絡資源不被非法使用和非法訪問 基本目標:防止對任何資源進行未授權的訪問 作用:機密性、完整性
訪問控制策略:自主訪問控制、強制訪問控制、基于角色的訪問控制 自主訪問控制:
特點:靈活性高 缺點:安全性低
分類:基于個人的策略、基于組的策略
訪問控制的常用實現方法:訪問控制表、訪問能力表、安全標簽、基于口令的機制
防火墻:防火墻是設置在被保護網絡和外部網絡之間的一道屏障,這道屏障的作用是阻斷來自外部對本網絡的威脅和入侵
基本功能:網絡安全的屏障、控制對主機系統的訪問、強化網絡安全策略、對網絡存取和訪問進行監控審計 附加功能:NAT、VPN 缺點:不能防范內部網絡的攻擊、不經由防火墻的攻擊、病毒或文件的傳輸、利用標準網絡協議中缺陷進行的攻擊、利用服務器漏洞進行的攻擊、新的網絡安全問題、限制了有用的網絡服務
基本結構:屏蔽路由器、雙宿主機防火墻(堡壘主機)、屏蔽主機防火墻(屏蔽路由器和堡壘主機)、屏蔽子網防火墻(內外網之間建立被隔離的子網)類型:
①.數據包過濾路由器:對數據包實施有選擇的通過規則、選擇依據,只有滿足規則的數據包才會被轉發到相應的網絡接口,其余數據包則從數據流中刪除。②.應用層網關:又稱代理服務器,包過濾在網絡層攔截所有的信息流,代理技術針對的是某一程序,在應用層上實現防火墻的功能。③.電路級網關技術 ④.狀態檢測技術
網絡服務訪問權限策略:定義在網絡中允許的或禁止的網絡服務,而且還包括對撥號訪問和SLIIP/PPP連接的限制 防火墻設計策略:黑名單、白名單
防火墻攻擊策略:掃描防火墻策略、通過防火墻認證機制策略(IP欺騙、TCP序號攻擊)、利用防火墻漏洞策略 第四代防火墻的主要技術與功能:多端口結構、透明的訪問方式、靈活的代理系統、多級的過濾技術、網絡地址轉換技術、internet網關技術、安全服務器網絡、用戶鑒別與加密、用戶定制服務、審計和告警功能 入侵檢測系統模型:事件產生器、事件分析器、響應單元、事件數據庫
入侵檢測技術分類:基于誤用的入侵檢測系統(基于特征)、基于異常的入侵檢測系統
入侵檢測系統的組成:數據采集模塊、入侵分析引擎模塊、應急處理模塊、管理配置模塊和相關輔助模塊 入侵檢測系統的分類:基于主機、基于網絡、分布式、基于網絡的分布式
第六章惡意代碼及防范技術
惡意代碼:故意執行危害信息安全的惡意任務的代碼
主要危害:破壞數據、占用磁盤存儲空間、搶占系統資源、影響計算機運行速度
命名機制:<病毒前綴>.<病毒名>.<病毒后綴>,常見病毒前綴木馬為Trojan,蠕蟲為Worm 惡意代碼的生存周期:設計-傳播-感染-觸發-運行-消亡
傳播機制:互聯網、局域網、移動存儲設備、無線設備和點對點系統 感染機制:感染執行文件、感染引導區、感染結構化文檔
觸發機制:日期觸發、時間觸發、鍵盤觸發、感染觸發、啟動觸發、訪問磁盤次數觸發、調用中斷功能觸發、型號觸發
分析方法:基于代碼特征、基于代碼語義、基于代碼行為、檢測方法:基于特征碼、啟發式檢測法、基于行為的檢測法、完整性檢測法、基于特征函數的檢測方法
第七章網絡攻擊與防御技術
掃描技術:IP掃描(ping、icmp)、端口掃描(SYN、UDP數據包)、漏洞掃描
嗅探方法:MAC洪范:向交換機發送大量虛假MAC和IP的包,使交換機進入類似hub的工作方式
MAC欺騙:偽造MAC
ARP欺騙
其他信息收集技術:利用公開服務、網絡拓撲檢測(tracert)、系統類型檢測 網絡欺騙:
①.IP欺騙:
a)找一臺被目標主機信任的主機 b)使被信任的主機喪失工作能力
c)偽裝成被信任的主機,向目標主機發送syn d)猜測或嗅探SYN+ACK的值
e)向目標主機發送ACK來建立連接
②.電子郵件欺騙:偽造電子郵件頭(利用SMTP)③.Web欺騙(釣魚網站)④.ARP欺騙
a)對路由器ARP緩存表的欺騙
i.截獲網關數據 ii.按照一定的頻率發給路由器錯誤的內網MAC地址 iii.真實的地址信息無法通過更新保存在路由器的ARP緩存中,正常PC無法收到消息 b)偽造網關:建立假網關,被欺騙的pc都向假網關發送數據
口令攻擊:
①.主動口令攻擊
a)字典攻擊 b)強力攻擊 c)組合攻擊 ②.被動口令攻擊
a)網絡數據流竊聽 b)重放 c)釣魚
緩沖區溢出:用戶輸入的數據長度超過哦程序為其分配的內存空間,這些數據就會覆蓋程序為其他數據分配的內存空間。
C語言中可能產生溢出的函數:strlen、strcpy、malloc、strcat等 緩沖區溢出類型:棧溢出、堆溢出、整型溢出:
①.存儲溢出 ②.計算溢出 ③.符號問題
拒絕服務(DoS):導致計算機系統崩潰、貸款耗盡或硬盤被填滿,導致不能提供正常的服務 拒絕服務攻擊:帶寬攻擊(以極大的通信量沖擊網絡)、連通性攻擊(大量連接請求沖擊計算機)攻擊方式:利用系統漏洞、利用協議漏洞
①.SYN Flood(發送大量TCP連接請求)
②.UDP Flood(發送大量偽造源地址的UDP包)③.Land(發送大量源地址與目的地址相同的包)④.死ping(發送超過65535字節的ICMP包)
第八章系統安全技術
五大類安全服務:認證(鑒別)、訪問控制、數據保密性、數據完整性、抗否認性
八大類安全機制:加密、數字簽名、訪問控制、數據完整性、認證、業務流填充、路由控制、公證 IPSec協議:鑒別首部協議(AH)(源鑒別和數據完整性)、封裝安全性載荷協議(ESP)(鑒別、數據完整性、機密性)
IPSec功能:認證功能(AH)(無連接完整性和真實性)、認證和機密組合功能(ESP)(數據機密性、有限抗流量分析、無連接完整性、數據源認證、抗重傳)、密鑰交換功能(真實性、可靠性)IPSec目標:保護IP數據包安全、為抵御網絡攻擊提供防護措施
SSL(安全套接層):握手協議(協商加密參數)、記錄協議(交換數據)、警告協議(告知何時終止)連接步驟:
①.客戶機連接到服務器,并要求服務器驗證它自身的身份 ②.服務器通過發送的數字證書來證明身份
③.服務器發出請求對客戶端的證書進行驗證(因缺乏公鑰體系結構當今大多數服務器不進行客戶端驗證)④.協商用于加密消息的加密算法和用于完整性檢查的哈希函數 ⑤.客戶機和服務器生成會話密鑰
a)客戶機生成一個隨機數,并使用服務器的公鑰對它進行加密發送給服務器 b)服務器用更加隨機的數據相應 c)使用哈希函數用隨機數據生成密鑰
SSL基本屬性:連接是私有的、可以使用非對稱加密、連接是可靠的 TLS(傳輸層安全):提供保密性和數據完整性
組成:TLS記錄協議和TLS握手協議
TLS握手協議:改變密碼規格協議、警惕協議、握手協議
第十章 PKI技術
PKI:用公開密鑰的概念和技術來實施和提供安全服務的具有普適性的安全基礎設施
研究對象:數字證書、CA、證書用戶、證書注冊機構、證書儲存、證書服務器、證書狀態查詢服務器、證書驗證服務器
服務:認證、完整性、機密性、不可否認性
PKI結構:PKI策略、軟硬件系統、CA、注冊機構(RA)、證書發布系統、PKI應用
PKI策略:建立和定義了一個組織在信息安全方面的指導方針,同時定義了密碼系統使用的處理方法和原則
CA:管理公鑰整個生命周期;作用有發放證書、規定證書有效期、通過廢除列表(CRL)來廢除證書
RA:獲取并認證用戶的身份,向CA提出證書請求
證書發放系統:負責證書的發放
PKI應用:VPN、安全電子郵件、Web安全、電子商務等
第二篇:信息安全技術總結
第1章 信息安全概述
1.廣義的信息安全是指網絡系統的硬件,軟件及其系統中的信息受到保護.2.信息安全威脅從總體上可以分為人為因素的威脅和非人為因素的威脅。人為因素的威脅包括無意識的威脅和有意識的威脅。非人為因素的威脅包括自然災害、系統故障和技術缺陷等。
3.信息安全不僅涉及技術問題,而且還涉及法律、政策和管理問題。信息安全事件與政治、經濟、文化、法律和管理緊密相關。
4.網路不安全的根本原因是系統漏洞、協議的開放新和人為因素。人為因素包括黑客攻擊、計算機犯罪和信息安全管理缺失。
5.保密性、完整性、可用性、可控性和不可否認性是從用戶的角度提出的最基本的信息服務需求,也稱為信息安全的基本特征。
6.ISO基于OSI參考互連模型提出了抽象的網絡安全體系結構,定義了五大類安全服務(認證(鑒別))服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務、八大種安全機制(加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、業務流填充機制、路由控制機制和公證機制)和完整的安全管理標準。
7.信息安全既涉及高深的理論知識,又涉及工程應用實踐。一個完整的信息安全保障體制系框架由管理體系、組織機構體系和技術體系組成。技術體系可劃分為物理安全、網絡安全、信息安全、應用安全和管理安全五個層次,全面揭示了信息安全研究的知識體系和工程實施方案框架。
第2章 信息保密技術
1.密碼學的發展大致經歷了手工加密階段、機械加密階段和計算機加密階段。密碼技術是現代信息安全的基礎和核心技術,它不僅能夠對信息加密,還能完成信息的完整性驗證、數字簽名和身份認證等功能。按加密密鑰和解密密鑰是否相同,密碼體制可分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又可分為序列密碼和分組密碼。2.移位密碼、仿射密碼、維基利亞密碼和置換密碼等是常用的古典密碼案例,雖然在現代科技環境下已經過時,但它們包含的最基本的變換移位和代替在現代分組密碼設計中仍然是最基本的變換。3.對稱密碼體制要求加密、解密雙方擁有相同的密鑰,其特點是加密速度快、軟/硬件容易實現,通常用于傳輸數據的加密。常用的加密算法有DES、IDEA。對稱密碼算法根據加密分組間的關聯方式一般分為4種:電子密碼本(ECB)模式、密文鏈接(CBC)模式、密文反饋(CFB)模式和輸出反饋(OFB)模式。4.非對稱密碼體制的加密密鑰和解密密鑰是不同的。非對稱密碼被用做加密時,使用接收者的公開密鑰,接收方用自己的私有密鑰解密;用做數字簽名時,使用發送方(簽名人)的私有密鑰加密(或稱為簽名),接收方(或驗證方)收到簽名時使用發送方的公開密鑰驗證。常有的算法有RSA密碼算法、Diffie-Hellman密鑰交換算法、ELG amal加密算法等。5.加密可以用通信的三個不同層次來實現,即節點加密、鏈路加密和端到端加密。節點加密是指對源節點到目的節點之間傳輸的數據進行加密,不對報頭加密;鏈路加密在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,在節點處,傳輸數據以文明形式存在,側重于在通信鏈路上而不考慮信源和信宿;端到端加密是對源端用戶到目的端用戶的數據提供保護,傳輸數據在傳輸過程中始終以密文形式存在。
6.序列密碼要求具有良好的偽隨機特性。產生密鑰流的常見方法有線性同余法、RC4、線性反饋移位寄存器(LFSR)、非線性反饋移位寄存器、有限自動機和混沌密碼等。序列密碼主要用于軍事、外交和其他一些重要領域、公開的加密方案并不多。
7.加密算法:指將明文轉換成密文的變換函數,表示為C=Ek(M).8.解密算法:指將密文轉換為明文的變換函數,表示為M=DK(C).第3章 信息隱藏技術
1.信息隱藏是將秘密信息隱藏在另一非機密的載體信息中,通過公共信道進行傳遞。秘密信息引產后,攻擊者無法判斷載體信息中是否隱藏信息,也無法從載體信息中提取或去除所隱藏的秘密信息。信息隱藏研究的內容包括了隱寫術(隱藏算法)、版權標識、隱通道和匿名通信等。
2.隱寫術是指把秘密信息潛入到看起來普通的載體信息(尤其是多媒體信息)種,用于存儲或通過公共網絡進行通信的技術。古代隱寫術包括技術性的隱寫術、語言學中的隱寫術和用于版權保護的隱寫術。
3.信息隱藏的目的在于把機密信息隱藏域可以公開的信息載體之中。信息載體可以使任何一種多媒體數據,如音頻、視頻、圖像,甚至文本數據等,被隱藏的機密信息也可以是任何形式。信息隱藏設計兩個算法:信息潛入算法和信息提取算法。常見的信息隱藏算法有空間域算法和變換域算法。4.數字水印是在數字化的信息載體(指多媒體作品)中嵌入不明顯的記號(包括作品的版權所有者和發行者等),其目的不是為了隱藏火傳遞這些信息,而是在發現盜版貨發生知識產權糾紛時候,用來證明數字作品的真實性。被嵌入的標識與源數據緊密結合并隱藏其中,成為源數據不可分割的一部分,并可以經歷一些不破壞資源數據的使用價值的操作而存活下來。
5.隱通道是指系統中利用那些本來不是用于通信的系統資源,繞過強制春去控制進行非法通信的一種機制。根據隱通道的形成,可分為存儲隱通道和事件隱通道:根據隱通道是否存在噪音,可分為噪音隱通道和無噪音隱通道;根據隱通道所涉及的同步變量或信息的個數,可分為聚集隱通道和非聚集隱通道。隱通道的主要分析方法有信息流分析方法、非干擾分析方法和共享資源矩陣方法。6.匿名通信是指通過一定了的方法將業務流中的通信關系加以隱藏、使竊聽者無法直接獲知或退職雙方的通信關系或通信雙方身份的一種通信技術。匿名通信的重要目的就是隱藏通信雙方的身份或通信關系,從而實現對網絡用戶各個人通信及涉密通信的更好的保護。
7.信息隱藏具有五個特性:安全性,魯棒性,不可檢測性,透明性,自恢復性.第4章 消息認證技術
1.用做消息認證的摘要函數具有單向性、抗碰撞性。單向函數的優良性質,使其成為公共密碼、消息壓縮的數學基礎。
2.消息認證碼指使用收、發雙方共享的密鑰K和長度可變的消息M,輸出長度固定的函數值MAC,也稱為密碼校驗和。MAC就是帶密鑰的消息摘要函數,或稱為一種帶密鑰的數字指紋,它與普通摘要函數(Hash函數)是有本質區別的。3.消息完整性校驗的一般準則是將實際的到的信息的數字指紋與原數字指紋進行比對。如果一致,則說明消息是完整的,否則,消息是不完整的。因產生數字指紋不要求具有可逆性,加密函數、摘要函數均可使用,且方法很多。4.MD5和SHA-1算法都是典型的Hash函數,MD5算法的輸出長度是128 bit,SHA-1算法的輸出長度是160 bit。從抗碰撞性的角度來講,SHA-1算法更安全。為了抵抗生日攻擊,通常建議消息摘要的長度至少應為128 bit。
第5章 密鑰管理技術
1.密碼系統中依據密鑰的重要性可將密鑰大體上分為會話密鑰、密鑰加密密鑰和主密鑰三大類。主密鑰位于密鑰層次的最高層,用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護,一般存在于網絡中心、主節點、主處理器中,通過物理或電子隔離的方式受到嚴格的保護。
2.密鑰在大多數情況下用隨機數生成器產生,但對具體的密碼體制而言,密鑰的選取有嚴格的限制。密鑰一般需要保密存儲。基于密鑰的軟保護指密鑰先加密后存儲。基于硬件的物理保護指密鑰存儲于與計算機隔離的智能卡、USB盤或其他存儲設備中。3.密鑰分為網外分配方式和網內分配方式。前者為人工分配,后者是通過計算機網絡分配。密鑰的分配分為秘密密鑰的分配和公開密鑰的分配。秘密密鑰既可用加密辦法由通信雙方確定,又可使用KDC集中分配。公開密鑰有廣播式公開發布、建立公鑰目錄、帶認證的密鑰分配、使用數字證書分配等4種形式。
4.密鑰共享方案可將主密鑰分解為多個子密鑰份額,由若干個人分別保管,這些保管的人至少要達到一定數量才能恢復這個共享密鑰。基于密鑰共享門限思想的會議密鑰廣播方案能夠較好地解決網絡通信中信息的多方安全傳遞問題。5.密鑰托管允許授權者監聽通信內容和解密密文,但這并不等于用戶隱私完全失控,適當的技術手段在監管者和用戶之間的權衡是值得研究的。
第6章 數字簽名技術 1.判斷電子數據真偽的依據是數字簽名。數字簽名其實就是通過一個單向函數對電子數據計算產生別人無法識別的數字串,這個數字串用來證明電子數據的來源是否真實,內容是否完整。數字簽名可以解決電子數據的篡改、冒充、偽造和否認等問題。
2.本章介紹了三種數字簽名方案,其中RSA數字簽名的安全性是基于大整數因子分解的困難問題,Schnorr數字簽名方案和DSA數字簽名方案的安全性是基于素數域上離散對數求解的困難問題。其共性是簽名過程一定用到簽名人的私鑰,驗證過程一定用到簽名人的公鑰。
3.為適應特殊的應用需求,各種數字簽名方案相繼被提出,本章介紹了盲簽名、代理簽名、簽名加密、多重簽名、群簽名和環簽名等基本概念。
4.數字簽名應用的公鑰基礎設施,稱為PKI。目前,我國各省市幾乎都建立了CA中心,專門為政府部門、企業、社會團體和個人用戶提供加密和數字簽名服務。
5.iSignature電子簽章系統是一套基于Windows平臺的應用軟件,它可以對Word、Excel、Html文件進行數字簽名,即加蓋電子印章,只有合法用戶才能使用。
第7章 物理安全
1.物理安全是針對計算機網絡系統的硬件設施來說的,既包括計算機網絡設備、設施、環境等存在的安全威脅,也包括在物理介質上數據存儲和傳輸存在的安全問題。物理安全是計算機網絡系統安全的基本保障,是信息安全的基礎。2.環境安全是指對系統所在環境(如設備的運行環境需要適當的溫度、濕度,盡量少的煙塵,不間斷電源保障等)的安全保護。環境安全技術是指確保物理設備安全、可靠運行的技術、要求、措施和規范的總和,主要包括機房安全設計和機房環境安全措施。
3.廣義的設備安全包括物理設備的防盜,防止自然災害或設備本身原因導致的毀壞,防止電磁信息輻射導致的信息的泄漏,防止線路截獲導致的信息的毀壞和篡改,抗電磁干擾和電源保護等措施。狹義的設備安全是指用物理手段保障計算機系統或網絡系統安全的各種技術。常見的物理設備安全技術有訪問控制技術、防復制技術、硬件防輻射技術以及通信線路安全技術。
第8章 操作系統安全
1.漏洞是指系統中存在的弱點或缺點,漏洞的產生主要是由于程序員不正確和不安全編程所引起的。按照漏洞的形成原因,漏洞大體上可以分為程序邏輯結構漏洞、程序設計錯誤漏洞、開放式協議造成的漏洞和人為因素造成的漏洞。按照漏洞被人掌握的情況,漏洞又可以分為已知漏洞、未知漏洞和0day漏洞。
2.Windows系統的安全性根植于Windows系統的核心層,它為各層次提供一致的安全模型。Windows系統安全模型由登錄流程(Login Process,LP)、本地安全授權(Local Security Authority,LSA)、安全帳號管理器(Security Account Manger,SAM)和安全引用監視器(Security Reference Monitor,SRM)組合而成。
3.Windows注冊表是一個二進制數據庫,在結構上有HKEY_LOCAL_MACHINE、HKEY_CURRENT_CONFIG、HKEY_CURRENT_USER、HKEY_CLASSES_ROOT、HKEY_USERS 5個子樹。用戶可以通過設定注冊表編輯器的鍵值來保障系統的安全。
4.帳號是Windows網絡中的一個重要組成部分,它控制用戶對資源的訪問。在Windows 2000中有兩種主要的帳號類型: 域用戶帳號和本地用戶帳號。另外,Windows 2000 操作系統中還有內置的用戶帳號。內置的用戶帳號又分為Administrator 帳號和Guest帳號等。Administrator帳號被賦予在域中和計算機中,具有不受限制的權利。Guest帳號一般被用于在域中或計算機中沒有固定帳號的用戶臨時訪問域或計算機,該帳號默認情況下不允許對域或計算機中的設置和資源做永久性的更改。
5.Windows系統的安全策略可以從物理安全.安裝事項.管理策略設置方面來考慮.管理策略上有打開審核策略.開啟賬號策略,開啟密碼策略,停用Guest賬號,限制不必要的用戶數量.為系統Administrator賬戶改名.創建一個陷阱賬戶,關閉不必要的服務,關閉不必要的端口.設置目錄和文件權限,關閉IPC和默認共享,禁止空連接,關閉默認共享等手段及備份數據,使用配置安全工具等.第9章 網絡安全協議
1.由于TCP/IP協議在最初設計時是基于一種可信環境的,沒有考慮安全性問題,因此它自身存在許多固有的安全缺陷。網絡安全協議是為了增強現有TCP/IP網絡的安全性而設計和制定的一系列規范和標準。
2.目前已經有眾多的網絡安全協議,根據TCP/IP分層模型相對應的主要的安全協議有應用層的S-HTTP、PGP,傳輸層的SSL、TLS,網絡層的IPSec以及網絡接口層的PPTP、L2TP等。
3.SSL協議是在傳輸層提供安全保護的協議。SSL協議可提供以下3種基本的安全功能服務: 信息機密、身份認證和信息完整。SSL協議不是一個單獨的協議,而是兩層協議,最主要的兩個SSL子協議是SSL握手協議和SSL記錄協議。SSL記錄協議收到高層數據后,進行數據分段、壓縮、認證、加密,形成SSL記錄后送給傳輸層的TCP進行處理。SSL握手協議的目的是使客戶端和服務器建立并保持用于安全通信的狀態信息,如SSL 協議版本號、選擇壓縮方法和密碼說明等。
4.IPSec協議由兩部分組成,即安全協議部分和密鑰協商部分。安全協議部分定義了對通信的各種保護方式;密鑰協商部分定義了如何為安全協議協商保護參數,以及如何對通信實體的身份進行鑒別。安全協議部分包括AH和ESP兩個安全協議,通過這兩個協議為IP協議提供基于無連接的數據完整性和數據機密性,加強IP協議的安全性。密鑰協商部分主要是因特網密鑰交換協議(IKE),其用于動態建立安全關聯(SA),為IPSec的AH 和ESP協議提供密鑰交換管理和安全關聯管理,同時也為ISAKMP提供密鑰管理和安全管理。
第10章 應用層安全技術
1.應用系統的安全技術是指在應用層面上解決信息交換的機密性和完整性,防止在信息交換過程中數據被非法竊聽和篡改的技術。2.隨著用戶對Web服務的依賴性增長,特別是電子商務、電子政務等一系列網絡應用服務的快速增長,Web的安全性越來越重要。Web安全技術主要包括Web服務器安全技術、Web應用服務安全技術和Web瀏覽器安全技術。
3.電子郵件的安全問題備受人們關注,其安全目標包括郵件分發安全、郵件傳輸安全和郵件用戶安全。
4.身份認證是保護信息系統安全的第一道防線,它限制非法用戶訪問網絡資源。常用的身份認證方法包括口令、密鑰、記憶卡、智能卡、USB Key和生物特征認證。
5.PKI是能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所需要的密鑰和證書管理的密鑰管理平臺,是目前網絡安全建設的基礎與核心。PKI由認證中心(CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統和應用接口等部分組成。
第11章 網絡攻擊技術
1.網絡攻擊的過程分為三個階段: 信息收集、攻擊實施、隱身鞏固。
2.信息收集是指通過各種方式獲取所需要的信息。網絡攻擊的信息收集技術主要有網絡踩點、網絡掃描和網絡監聽。踩點就是攻擊者通過各種途徑對所要攻擊的目標進行多方面的調查和了解,摸清楚對方最薄弱的環節和守衛最松散的時刻,為下一步入侵提供良好的策略。網絡掃描是一種自動檢測遠程或本地主機安全脆弱點的技術。網絡監聽是一種監視網絡狀況、監測網絡中數據的技術。3.攻擊實施是網絡攻擊的第二階段。常見的攻擊實施技術有社會工程學攻擊、口令攻擊、漏洞攻擊、欺騙攻擊、拒絕服務攻擊等。所謂“社會工程學攻擊”,就是利用人們的心理特征,騙取用戶的信任,獲取機密信息、系統設置等不公開資料,為黑客攻擊和病毒感染創造有利條件。4.隱身鞏固是網絡攻擊的第三階段。網絡隱身技術是網絡攻擊者保護自身安全的手段,而鞏固技術則是為了長期占領攻擊戰果所做的工作。
第12章 網絡防御技術
1.網絡防御技術分為兩大類: 被動防御技術和主動防御技術。被動防御技術是基于特定特征的、靜態的、被動式的防御技術,主要有防火墻技術、漏洞掃描技術、入侵檢測技術和病毒掃描技術等。主動防御技術是基于自學習和預測技術的主動式防御技術,主要有入侵防御技術、計算機取證技術、蜜罐技術和網絡自生存技術等。
2.防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統,其主要功能有: 限制他人進入內部網絡,過濾掉不安全服務和非法用戶;防止入侵者接近其他防御設施;限定用戶訪問特殊站點;為監視Internet的安全提供方便。3.入侵檢測技術是指通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象的技術。一個完整的入侵檢測過程包括3個階段: 信息收集、數據分析和入侵響應。
4.計算機取證也稱數字取證、電子取證,是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為,利用計算機軟、硬件技術,按照符合法律規范的方式,對能夠為法庭接受的、足夠可靠和有說服性的、存在于計算機、相關外設和網絡中的電子證據的識別、獲取、傳輸、保存、分析和提交認證的過程。計算機取證技術主要包括計算機證據獲取技術、計算機證據分析技術、計算機證據保存技術和計算機證據提交技術等。
5.蜜罐是一個資源,它的價值在于它會受到攻擊或威脅,這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題,它們僅為我們提供額外的、有價值的信息。從應用層面上分,蜜罐可以分為產品型蜜罐和研究型蜜罐;從技術層面上分,蜜罐可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。
第13章 計算機病毒
1.計算機病毒是一段附著在其他程序上的可以實現自我繁殖的程序代碼。傳染性是病毒的最基本的特征,此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發性、誘惑欺騙性等特性。
2.計算機病毒的感染動作受到觸發機制的控制,病毒觸發機制還控制了病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運行,協調其他模塊的運作。染毒程序運行時,首先運行的是病毒的主控模塊。 3.計算機病毒從其發展來看分為4個階段。早期病毒攻擊的目標較單一,病毒傳染目標以后的特征比較明顯,病毒程序容易被人們分析和解剖。網絡時代,病毒與黑客程序結合,傳播速度非常快,破壞性更大,傳播渠道更多,實時檢測更困難。
4.引導型病毒和文件型病毒是典型的DOS時代的病毒,對它們工作機理的研究同樣具有重要的意義.宏病毒不感染EXE和COM文件,它是利用Microsoft Word的開放性專門制作的具有病毒特點的宏的集合.宏病毒在1997年非常流行,并且該年成為“宏病毒年”,網頁腳本病毒和蠕蟲病毒是隨著網絡的發展而發展起來的,它們往往和木馬程序結合在一起侵入主機.5.反病毒技術因病毒的出現而出現.并且必將伴隨著病毒的長期存在而長期存在下去.反病毒技術一般有特征值掃描技術.啟發式分析技術,完整性驗證技術.虛擬機技術,沙箱技術及計算機免疫技術,動態陷阱技術,軟件模擬技術,數據挖掘技術,預先掃描技術和安全操作系統技術等.第14章 信息安全法律與法規
1.計算機犯罪是指非法侵入受國家保護的重要計算機信息系統及破壞計算機信息系統并造成嚴重后果的應受刑法處罰的危害社會的行為。計算機犯罪是一種新的社會犯罪現象,其犯罪技術具有專業性、犯罪手段具有隱蔽性、犯罪后果具有嚴重的危害性、犯罪空間具有廣泛性、犯罪類型具有新穎性、犯罪懲處具有困難性等明顯特點。
2.信息安全法律法規在信息時代起著重要的作用。它保護國家信息主權和社會公共利益;規范信息主體的信息活動;保護信息主體的信息權利;協調和解決信息社會產生的矛盾;打擊和懲治信息空間的違法行為。
3.從國外來看,信息安全立法的歷程也不久遠。美國1966年頒布的《聯邦計算機系統保護法案》首次將計算機系統納入法律的保護范疇。1987年頒布的《計算機安全法》是美國關于計算機安全的根本大法。我國1994年2月頒布了《計算機信息系統安全保護條例》,該條例是我國歷史上第一個規范計算機信息系統安全管理、懲治侵害計算機安全的違法犯罪的法規,在我國信息安全立法史上具有非常重要的意義。
4.我國在1997年修改《刑法》后,專門在第285條和第286條分別規定了非法入侵計算機信息系統罪和破壞計算機信息系統罪等。
第15章 信息安全解決方案
1.安全體系結構理論與技術主要包括: 安全體系模型的建立及其形式化描述與分析,安全策略和機制的研究,檢驗和評估系統安全性的科學方法和準則的建立,符合這些模型、策略和準則的系統的研制(比如安全操作系統、安全數據庫系統等)。
2.網絡安全研究內容包括網絡安全整體解決方案的設計與分析以及網絡安全產品的研發等。目前,在市場上比較流行的安全產品有防火墻、安全路由器、虛擬專用網(VPN)、安全服務器、PKI、用戶認證產品、安全管理中心、入侵檢測系統(IDS)、安全數據庫、安全操作系統等。
3.網絡安全需求包括物理安全需求、訪問控制需求、加密需求與CA系統構建、入侵檢測系統需求、安全風險評估系統需求、防病毒系統需求、漏洞掃描需求、電磁泄漏防護需求。網絡威脅一般包含邊界網絡設備安全威脅、信息基礎安全平臺威脅、內部網絡的失誤操作行為、源自內部網絡的惡意攻擊與破壞和網絡病毒威脅等。
4.根據網絡系統的實際安全需求,結合網絡安全體系模型,一般采用防火墻、入侵檢測、漏洞掃描、防病毒、VPN、物理隔離等網絡安全防護措施。
第三篇:信息安全技術學習總結
信息安全技術學習總結
暑假期間,為了提高自己的專業技能,學習相關信息安全領域知識和信息安全專業建設經驗,我申請參加了信息安全技術“國培”。在承辦學校的組織和安排下,企業老師、學校專業建設專家、骨干教師等按階段給我們授課,指導我們實踐。忙碌緊張的近一月時間彈指一揮間,在這短短一個月的時間里,通過承辦單位提供的學習、交流平臺,得以和同行與專家共同交流我們收獲頗豐。通過聆聽企業專家和老師的授課,使我獲益匪淺,提高了自身的專業水平與知識素養,完善了教學理念。他們以豐富的案例和淵博的知識及精湛的理論闡述,給了我強烈的感染和深深的理論引領,使我每一天都有新的收獲。
“國培計劃”不僅給了我一次難得的學習機會,也使我結交了一群優秀的同行朋友,一起探討了不少疑惑,經過這一階段的學習,我受益匪淺,為今后的教學和專業建設打下了扎實的基礎。
近一個月的學習,企業教師和學院的老師為我們系統的講解了數據存儲、數據安全及數據恢復等方面的內容。讓我們了解了數據存儲技術最新的發展,數據存儲在大數據、虛擬化和云計算等方面的應用。結合實例讓我們學習了數據存儲方面的知識,raid技術,san,nas,集群等最新的數據存儲技術。通過實踐也讓我們接觸了硬盤數據恢復等技能。并初步掌握了硬盤數據恢復技術。
在這個快速發展的社會,信息技術的高速發展和社會的瞬息萬變,信息安全越來越重要。我們只有不斷的學習,不斷地更新陳舊的知識才能教書和育人,進行專業建設、課程建設。總之,在今后的教學工作中,我會把所學信息安全相關知識應用到工作實際中去,并繼續努力學習相關知識技術,好好鉆研教學業務,讓自己理論水平更高、實踐能力更強,發展進步更快。“學無止境”,教書育人,教育工作者路很長,職教工作者更應努力先行,盡力而為,完善自我,施益社會!
第四篇:信息安全技術
1、信息安全的概念,信息安全理念的三個階段(信息保護-5特性,信息保障-PDRR,綜合應用-PDRR+管理)
信息安全是指信息網絡的硬件、軟件及其系統中的數據得到保護,不受偶然的或者惡意的原因遭到破壞、更改、泄露,系統連續、可靠地正常運行,信息服務不中斷。
三階段:
1)信息保護階段(5特性)機密性、完整性、可用性、可控性、不可抵賴性
2)信息保障階段
PDRR模型:保護、檢測、相應、恢復的有機結合。
3)綜合保護階段=PDRR+安全管理
2、ISC2的五重保護體系,信息安全體系-三個方面,信息安全技術體系
62.653、信息系統安全,等級保護,認證
68.734、物理安全的概念,涉及的三個方面的內容
785、災難備份的概念,安全備份三要素,備份的方式、存儲技術
90.91.926、操作系統安全的概念,5大技術要求
106-1137、訪問控制:概念,類型,控制過程
107.108.控制過程1148、安全審計的概念、作用
1139、風險評估的概念
15010、加密技術的一般概念,密碼體制及類型,公鑰體制的特點
172.174.11、信息加密傳輸、發送者身份認證的實現方式。數字簽名、身份認證、消息認證、信息隱藏的概念。
177.188.187.189.12、PKI的概念和組成。
192.13、防火墻的概念、作用、特點、技術分類
211.212.213.22014、入侵檢測的概念、系統組成,四類主要技術
231.234.24115、VPN的概念、常用隧道協議,IPSec兩種封裝模式的特點、三個主要協議的作用,VPN的應用模式
262.270.28116、信息安全職業道德主要關注的問題
17、什么是計算機犯罪?有哪三種主要形式?
18、信息系統安全保護法律規范由哪三類內容構成?
19、信息系統安全等級保護分級的衡量標準是什么?相關的主要標準與政策有哪些?分別有什么作用?
第五篇:鉆井工程理論與技術復習總結
1簡述地層沉積欠壓實產生異常高壓的機理。
答:異常高壓的形成是多種因素綜合作用的結果,對于沉積巖地層的異常高壓,目前世界上公認的成因是由于沉積物快速沉降,壓實不均勻造成的。在穩定沉積過程中,若保持平衡的任意條件受到影響,正常的沉積平衡就破壞。如沉積速度很快,巖石顆粒沒有足夠的時間去排列,孔隙內流體的排出受到限制,基巖無法增加它的顆粒與顆粒之間的壓力,即無法增加它對上覆巖層的支撐能力。由于上覆巖層繼續沉積,負荷增加,而下面基巖的支撐能力沒增加,孔隙中的流體必然開始部分地支撐本來應的巖石顆粒所支撐的那部分上覆巖層壓力,從而導致了異常高壓。
2簡述在正常壓實的地層中巖石的密度、強度、孔隙度、聲波時差和dc指數隨井深變化的規律。答:在正常壓實的地層中巖石的密度隨井深的增加而增加;強度隨井深的增加而增加;孔隙度隨井深的增加而減小;聲波時差隨井深的增加而減小;dc指數隨井深的增加而增大。
3.某井井深2000m,地層壓力25MPa,求地層壓力當量密度。
3解:?h?P(g/cm)0.00981H?250.00981?2000?1.276????h4.某井垂深2500m,井內鉆井液密度為1.18 g/cm,若地層壓力為27.5MPa,求井底壓差。解:?P?Pb?Ph??gh?27.5?2500?1.18?0.00981?27.5?1.44?MPa? 5.某井井深3200m,產層壓力為23.1MPa,求產層的地層壓力梯度。解:Gh?PhH?23.13200?0.0072?MPa/m?
6.巖石硬度與抗壓強度有何區別?
答:巖石硬度是巖石表面的局部抵抗外力壓入的能力,抗壓強度則是巖石整體抗壓的能力。
7.巖石的塑性系數是怎么樣定義的嗎?簡述脆性、塑脆性和塑性巖石在壓入破碎時的特性。答:(1)巖石的塑性系數是表征巖石塑性和脆性大小的參數;
(2)脆性巖石在壓入破碎時的特性:只有彈性為變形無塑性變形;
塑脆性巖石在壓入破碎時的特性:先產生彈性變形后產生塑性變形,最后發生塑性破碎;塑性巖石在壓入破碎時的特性:只有塑性變形而無脆性破碎。
8.什么時巖石的可鉆性?我國石油部門采用什么方法評價巖石的可鉆性?將地層按可鉆性分為幾級嗎?(1)巖石的可鉆性是指巖石破碎的難易性,它反映了巖石抵抗鉆頭的破碎能力。(3)按可鉆性可將地層分為10級。
.評價鉆頭性能的指標有哪幾項?答:評價鉆頭性能的指標有鉆頭進尺、鉆頭工作壽命、鉆頭平均機械鉆速、鉆頭單位進尺成本。9.PDC的含義是什么?有哪些特點?
答:PDC的含義是聚晶金剛石復合片,它是以金剛石粉為原料,加入粘結劑在高溫高壓下燒結而成;它既具有金剛石的硬度和耐磨性,弱點是熱穩定性差,350OC以上加速磨損,抗沖擊能力差。
10.鉆柱主要由哪幾個部分組成?其主要功用有哪些嗎? 答:(1)鉆柱主要由方鉆桿、鉆桿段和下部鉆具組合三大部分組成。(2)它主要功能有為鉆井液流動通道、給鉆頭提供鉆壓、傳遞扭矩、起下鉆頭、計量井深、觀察和了解井下情況、進行其它特殊作業、鉆桿測試。11為什么鉆柱下部使用鉆鋌而不使用鉆桿?
答:由于鉆鋌的壁厚大,具有較大的重力和剛度,所以在鉆進過程中它能起到給鉆頭施加鉆壓、保證壓縮條件下的必要強度、減輕鉆頭的振動、擺動和跳動等、控制井斜。
12.井下鉆柱受到哪些力作用?最主要的作用力是什么? 答:(1)井下鉆柱受到自重產生的拉力、鉆壓產生的壓力、鉆井液的浮力、摩擦阻力、循環壓降產生的附加拉力、起下鉆時產生的動載荷、扭矩、彎曲應力、離心力、外擠力、振動產生的交變應力;
(2)最主要的作用力是軸向力。
13.何謂鉆柱中性點?為什么要保證中性點落在鉆鋌上? 答:鉆柱上軸向力等于零的點稱為鉆柱中性點;中性點是鉆柱受拉與受壓的分界點,在它附近會產生拉壓交變載荷,所以在鉆柱設計中,中性點要落在剛度大,抗彎能力強的鉆鋌上,而不能落在強度較弱的鉆桿上。
14.在條件允許的情況下,為什么要盡可能選用大尺寸的鉆柱?
答:使用大尺寸的鉆柱具有以下優點:
一、可用較少鉆鋌滿足所需鉆壓的要求,減少鉆鋌,也可減少起下鉆時連接鉆鋌的時間;
二、提高了鉆頭附近鉆柱的剛度,有利于改善鉆并沒鉆頭工況;
三、鉆鋌和井壁的間隙較小,可減少連接部分的疲勞破壞;
四、有利于防斜。
15.什么叫復合鉆柱,使用復合鉆柱有何優點? 答:(1)復合鉆柱是采用不同尺寸、或不同壁厚、或不同鋼級的鉆桿組成的鉆桿柱。
(2)使用復合鉆柱具有很多優點,它既能滿足強度要求,又能減輕鉆柱的重力,允許在一定鉆機負荷能力下鉆達更大的井深。
16.什么叫最大安全靜拉載荷?如何確定鉆柱的最大安全靜拉載荷? 答:(1)最大安全靜拉載荷是指允許鉆桿所承受的由鉆柱重力引起的最大載荷。
(2)目前確定鉆柱的最大安全靜拉載荷的方法有三種:安全系數法、設計系數法、拉力余量法,分別用這三種方法求解最大安全靜拉載荷,然后從三者中取最低者作為最大安全靜拉載荷。
17、鉆柱的哪些部位受力最嚴重?最主要的作用力是什么?(P91)
答:(1)鉆進時:鉆柱下部受力最為嚴重,同時受到軸向壓力、扭矩和彎曲力矩作用。井口處鉆柱受力比較嚴重,所受拉力、扭矩都最大。
(2)起下鉆時:井口處受力最嚴重,受到最大拉力。
點擊咨詢 