第一篇:信息安全總結
1:網絡安全的五種屬性,并解釋其含義: 7:CA之間的信任模型有哪幾個,分別描述。
保密性:Confidentiality 保密性是指保證信息不能被非授權訪問,即使非授權用戶得到信息也單CA信任模型:整個PKI中只有一個CA,為所有的終端用戶簽發和管理證書,PKI中的所無法知曉信息內容,因而不能使用。通常通過訪問控制阻止非授權用戶獲得機密信息,通過加有終端用戶都信任這個CA。每個證書路徑都起始于改CA的公鑰,改CA的公鑰成為PKI系密變換阻止非授權用戶獲知信息內容。統中的唯一用戶信任錨。
完整性:Integrity完整性是指維護信息的一致性,即信息在生成、傳輸、存儲和使用過程中不優點:容易實現,易于管理,只需要一個根CA,所有終端用戶就可以實現相互認證;
應發生人為或非人為的非授權篡改。一般通過訪問控制阻止篡改行為,同時通過消息摘要算法缺點:不易擴展到支持大量用戶或者不同的群體用戶。終端的用戶群體越大,支持所有的必要來檢驗信息是否被篡改。信息的完整性包括兩個方面:(1)數據完整性:數據沒有被未授權篡應用就會越困難。
改或者損壞;(2)系統完整性:系統未被非法操縱,按既定的目標運行。嚴格分級信任模型:以主從CA關系建立的分級PKI結構,有一個根CA,根CA下有零層或可用性:Availability可用性是指保障信息資源隨時可提供服務的能力特性,即授權用戶根據需多層子CA,根CA為子CA頒發證書,子CA為終端用戶頒發證書。終端進行交互時,通過根要可以隨時訪問所需信息。可用性是信息資源服務功能和性能可靠性的度量,涉及到物理、網CA來對對證書進行有效性和真實性的認證。信任關系是單向的,上級CA可以而且必須認證絡、系統、數據、應用和用戶等多方面的因素,是對信息網絡總體可靠性的要求。下級CA,而下級不能認證上級CA。
可控性:確保個體的活動可被跟蹤。優點:
可靠性:即行為和結果的可靠性、一致性。增加新的信任域用戶比較容易;
不可抵賴性:信息還要求真實性,即個體身份的認證,適用于用戶、進程、系統等;包括對等證書由于單向性,容易擴展,可生成從終端用戶到信任錨的簡單明確路徑;
實體認證和數據源點認證;對等實體認證是指網絡通信必須保證雙方或是多方間身份的相互確證書路徑相對較短;
認;數據源點(主機標識)認證是指在安全級別較高的網絡通信中需要對數據源點進行認證,證書短小、簡單,用戶可以根據CA在PKI中的位置來確定證書的用途。
以阻止各種惡意行為。缺點:單個CA的失敗會影響到整個PKI系統。與頂層的根CA距離越小,則造成的影響越大;建造一個統一的根CA實現起來不太顯示。
2:網絡安全服務包括哪些? 網狀信任模型:
對等實體認證服務:網絡通信必須保證雙方或多方間身份,特別對等實體身份的相互確認,這也成分布式信任模型,CA之間交叉認證。將信任分散到兩個或者多個CA上。
是網絡間有效通信的前提;對等實體主要指用戶應用實體; 優點:具有較好的靈活性;從安全性削弱的CA中恢復相對容易,并且只是影響到相對較少的數據源點認證服務:高安全級別的網絡通信需要對數據源點進行認證,以阻止各種可能的惡意用戶;
攻擊行為。這里,數據源點主要指主機標識,增加新的信任域比較容易。
數據保密服務:信息不泄露給非授權的用戶、實體或過程,或供其利用的特性; 缺點:路徑發現比較困難;擴展性差。
數據完整性服務:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中不被修改、橋CA信任模型:
不被破壞和丟失的特性; 也稱中心輻射式信任模型,用于克服分級模型和網絡模型的缺點和連接不同的PKI體系。橋訪問控制服務:通信雙方應該能夠對通信、通信的內容具有不同強度的控制能力,這是有效和CA與不同的信任域建立對等的信任關系,允許用戶保持原有的信任域。這些關系被結合起來高效通信的保障; 就形成了信任橋,使得來自不同的信任域用戶通過指定信任級別的橋CA相互作用。類似網絡可用性:可被授權實體訪問并按需求使用的特性。例如網絡環境下拒絕服務、破壞網絡和有關中的HUB集線器。
系統的正常運行等都是對可用性的攻擊。優點:
現實性強;分散化的特性比較準確地代表了現實世界證書之間的交互關系
3:可信計算機系統評估準則將信息安全分為幾級,各級的主要特征。證書路徑較易發現;用戶只需要知道到橋的路徑就可以了
分為7級 證書路徑較短;橋CA與網狀信任相比有更短的可信任路徑
(最小保護)D級:該級的計算機系統除了物理上的安全設施外沒有任何安全措施,任何人只要WEB信任模型: 啟動系統就可以訪問系統的資源和數據,如DOS,Windows的低版本和DBASE均是這一類(指構建在瀏覽器的基礎上,瀏覽器廠商在瀏覽器中內置了多個根CA,每個根CA相互間是平行不符合安全要求的系統,不能在多用戶環境中處理敏感信息)。的,瀏覽器用戶信任這多個根CA并把這多個根CA作為自己的信任錨。各個嵌入的根CA并(自主保護類)C1級:具有自主訪問控制機制、用戶登錄時需要進行身份鑒別。不是被瀏覽器廠商顯示認證,而是物理地嵌入到軟件中來發布,作為對CA名字和它的密鑰的(自主保護類)C2級:具有審計和驗證機制((對TCB)可信計算機基進行建立和維護操作,防止外安全綁定。
部人員修改)。如多用戶的UNIX和ORACLE等系統大多具有C類的安全設施。優點:方便簡單,操作性強,對終端用戶的要求較低,用戶只需簡單地信任嵌入的各個根CA。(強制安全保護類)B1級:引入強制訪問控制機制,能夠對主體和客體的安全標記進行管理。缺點:安全性較差;若有一個根CA損壞,即使其他的根CA完好,安全性也將被破壞 B2級:具有形式化的安全模型,著重強調實際評價的手段,能夠對隱通道進行限制。(主要是根CA與終端用戶的信任關系模糊;終端用戶與嵌入的根CA間交互十分困難,終端用戶無法對存儲隱通道)知道瀏覽器中嵌入了哪個根,根CA也無法知道它的依托方是誰。
B3級:具有硬件支持的安全域分離措施,從而保證安全域中軟件和硬件的完整性,提供可信通擴展性差。根CA預先安裝,難于擴展 道。對時間隱通道的限制。以用戶為中心的信任模型: A1級:要求對安全模型作形式化的證明,對隱通道作形式化的分析,有可靠的發行安裝過程。每個用戶都直接決定信賴和拒絕哪個證書,沒有可行的第三方作為CA,終端用戶就是自己的 根CA; 4:分組密碼與流密碼對稱密碼與非對稱密碼 優點:安全性強;在高技術高利害關系的群體中比較占優勢; 按加密方式的不同可分為分組密碼與流密碼: 用戶可控性強:每個用戶可以決定是否信賴某個證書 流密碼(Stream Cipher)(或稱序列密碼)和分組密碼(Block Cipher)缺點:使用范圍較窄;需要用戶有非常專業的安全知識 區別是:流密碼是將明文消息按字符逐位加密;分組密碼是將明文消息先進行分組,再逐組加在公司、政府、金融機構不適宜;在這些組織中需要有組織地方式控制公約的使用。密。按密鑰的特點分為對稱密碼和非對稱密碼: 8:攻擊的步驟 對稱密碼體制(Symmetric Cryptosystem):單鑰(One-Key)體制或私鑰(Private Key)體制或進行網絡攻擊是一件系統性很強的工作,其主要工作流程是:收集情報,遠程攻擊,清除日志,傳統密碼體制(Classical Cryptosystem);加密解密密碼相同;密鑰必須保密存放;通信前,收留下后門。
發雙方必須實現密鑰共享;主要應用于數據加解密、可以實現數據保密性、認證等安全服務。非對稱密碼體制(Asymmetric Cryptosystem):雙鑰(Two-Key)或公鑰(Public Key)9:可以通過哪些方法搜集信息。
加密解密密碼不同;私鑰保密存放,公鑰公開存放;通信前,收發雙方無需實現密鑰共享;可IP掃描 端口掃描 漏洞掃描 操作系統掃描 社會工程
應用于數據加解密、數字簽名、密鑰交換等方面,實現數據保密、認證、數據完整性、不可否
認性等安全服務。10:操作系統的訪問控制方法
自主訪問控制(Discretionary Access Control)
5:保證密碼系統安全就是要保證密碼算法的安全性,這種說法是否錯誤,并解釋。基本思想:
說法錯誤,系統的保密性不依賴于對加密體制或算法的保密,而僅依賴于密鑰的安全性。對于對象(object)的創建者為其所有者(owner),可以完全控制該對象
當今的公開密碼系統,加密解密算法是公開的。對象所有者有權將對于該對象的訪問權限授予他人(grantee)
不同的DAC模型:
6:PKI,PKI的組成部分,各部分的作用。Strict DAC: grantee不能授權他人 PKI,Public Key Infrastructure是一個用公鑰概念與技術來實施和提供安全服務的具有普適性的Liberal DAC: grantee可以授權他人 安全基礎設施。PKI根據grantee可以繼續授權的深度可以分為一級的和多級的是生成、管理、存儲、分發和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策存在的問題:不易控制權限的傳遞;容易引起權限的級聯吊銷;
略和規程的總和。強制訪問控制(Mandatory Access Control)
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系強制訪問控制是系統獨立于用戶行為強制執行訪問控制,它也提供了客體在主體之間共享的控統、應用接口(API)等基本構成部分; 制,但強制訪問控制機制是通過對主體和客體的安全級別進行比較來確定授予還是拒絕用戶對認證機構(CA):即數字證書的申請及簽發機關,CA必須具備權威性的特征; 資源的訪問,從而防止對信息的非法和越權訪問,保證信息的保密性。與自主訪問控制不同的數字證書庫:用于存儲已簽發的數字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公是,強制訪問控制由安全管理員管理,由安全管理員根據一定的規則來設置,普通數據庫用戶鑰; 不能改變他們的安全級別或對象的安全屬性;自主訪問控制盡管也作為系統安全策略的一部分,密鑰備份及恢復系統:如果用戶丟失了用于解密數據的密鑰,則數據將無法被解密,這將造成但主要由客體的擁有者管理基本假定,合法數據丟失。為避免這種情況,PKI提供備份與恢復密鑰的機制。但須注意,密鑰的備份與主體和客體的安全標記一旦指定,不再改變 恢復必須由可信的機構來完成。并且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰為確保其存在的問題:僅有唯一的管理員,無法實現管理的分層 關系復雜,不易實現
唯一性而不能夠作備份。11:簡述網絡嗅探的原理 證書作廢系統:證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一以太網的數據傳輸是基于“共享”原理的:所有的同一本地網范圍內的計算機共同接收到相同的樣,證書有效期以內也可能需要作廢,原因可能是密鑰介質丟失或用戶身份變更等。為實現這一數據包。這意味著計算機直接的通訊都是透明可見的。正常情況下,以太網卡都構造了硬件的“過點,PKI必須提供作廢證書的一系列機制。濾器”這個過濾器將忽略掉一切和自己無關的網絡信息。事實上是忽略掉了與自身MAC地址不應用接口(API):PKI的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務,因此一符合的信息。嗅探程序正是利用了這個特點,它主動的關閉了這個嗅探器,設置網卡為個完整的PKI必須提供良好的應用接口系統,使得各種各樣的應用能夠以安全、一致、可信的“混雜模式”。因此,嗅探程序就能夠接收到整個以太網內的網絡數據信息,從而實現嗅方式與PKI交互,確保安全網絡環境的完整性和易用性。探功能。12:什么是網絡蠕蟲,描述其特征。網絡蠕蟲是一種智能化、自動化,綜合網絡攻擊、密碼學和計算機病毒技術,無須計算機使用 者干預即可運行的攻擊程序或代碼。特征:具有病毒的特征,傳染性,隱蔽性,破壞性;不利用文件寄生,可以主動傳播,并且通過網絡可快速傳播,容易造成網絡擁塞;具有智能化、自動化和高技術化;
13:什么是木馬技術,木馬技術有哪些植入方式。
木馬本質上是一個客戶端、服務器端的網絡軟件系統,包括主控端和被控端兩個程序,其中主控端安裝在攻擊者自己的計算機上,用于遠程遙控被攻擊主機,被控端則通過各種隱秘手段植入到被攻擊者的計算機中,從而實現攻擊者的遠程遙控。
木馬的植入是指木馬程序在被攻擊系統中被激活,自動加載運行的過程。常見的植入方式有:通過E-MAIL方式,軟件下載,利用共享和Autorun方式,通過網頁將木馬轉換為圖片格式,偽裝成應用程序擴展程序,利用WinRar制作自釋放文件,將木馬和其他文件捆綁在一起,基于DLL和遠程線程插入。木馬的自動運行方式有:修改系統配置文件的自動啟動選項、加載自動啟動的注冊表項、修改文件關聯加載。14:僵尸網絡的工作機制,并解釋其含義。
僵尸網絡 Botnet 是指采用一種或多種傳播手段,將大量主機感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵尸網絡。
攻擊者在公共或者秘密設置的IRC聊天服務器中開辟私有聊天頻道作為控制頻道,僵尸程序中預先就包含了這些頻道信息,當僵尸計算機運行時,收取頻道中的消息。攻擊者則通過控制頻道向所有連線的僵尸程序發送指令。從而就可以發動各種各樣的攻擊。攻擊機制如下圖所示:
15:什么是防火墻,解釋防火墻的基本功能,及其局限性。
概念:為了保護計算機系統免受外來的攻擊,在內網與外網Internet在保持內部網絡與外部網絡的連通性的同時,通過強制實施統一的安全策略,防止對重要信息資源的非法存取和訪問以達到保護系統安全的目的。基本功能:
過濾進出網絡的數據; 管理進出網絡的訪問行為; 封堵某些禁止的業務;
記錄進出網絡的信息和活動; 對網絡的攻擊進行將側和報警。局限性:
使用不便,認為防火墻給人虛假的安全感
對用戶不完全透明,可能帶來傳輸延遲、瓶頸及單點失效 無法防范通過防火墻以外途徑的攻擊; 不能防范來自內部用戶的攻擊;
不能防止傳送已感染病毒的軟件或文件; 無法防止數據驅動型的攻擊。
16:簡述包過濾防火墻,電路級網關防火墻和應用級網關防火墻的工作原理。
包過濾防火墻對所接收的每個數據包做允許拒絕的決定。防火墻審查每個數據報以便確定其是否與某一條包過濾規則匹配。過濾規則基于可以提供給IP轉發過程的包頭信息。包的進入接口和出接口如果有匹配并且規則允許該數據包,那么該數據包就會按照路由表中的信息被轉發。如果匹配并且規則拒絕該數據包,那么該數據包就會被丟棄。如果沒有匹配規則,用戶配置的缺省參數會決定是轉發還是丟棄數據包。優點:速度快、性能高、對用戶透明
缺點:維護比較困難、安全性低、不提供有用的日志、不能根據狀態信息進行有用的控制、不能處理網絡層以上的信息、無法對網絡上流的信息進行有效地控制。如圖:
電路級網關防火墻
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關是在OSI模型中會話層上來過濾數據包。只依賴于TCP連接,并不進行任何附加的包處理或過濾。電路級網關首先從客戶端獲的一個TCP鏈接請求,認證并授權該客戶端,并代表客戶端向源服務器建立TCP連接。如果成功建立好TCP連接,電路級網關則簡單地在兩個連接之間傳遞數據。另外,電路級網關還提供一個重要的安全功能:代理服務器。通過網絡地址轉移(NAT)將所有內部網絡的IP地址映射到一個“安全”的網關IP地址,這個地址是由防火墻使用。最終,在設有電路級網關的網絡中,所有輸出地數據包好像是直接由網關產生的,從而就避免了直接在受信任網絡與不信任網絡間建立連接。對不信任網絡只知道電路級網關的地址,從而就可以避免對內部服務器的直接攻擊。應用網關防火墻(Application GateWay Firewall)
應用層網關防火墻檢查所有的應用層的信息包,并將檢查的內容信息放入決策國策很難過,從而提高網絡的安全性。然而,應用網關防火墻是通過打破客戶機、服務器模式實現的。每個客戶機、服務器通信需要兩個連接:一個是從客戶端到防火墻,另一個是從防火墻到服務器。另外,每一個代理需要一個不同的應用進程,或是一個后臺運行的服務程序,對每一個新的應用必須添加針對此應用的服務程序,否則就不能使用該服務,如圖:
17:防火墻的體系結構有哪幾種,分別說明其特點。屏蔽路由器
由但以分組的包過濾防火墻或狀態檢測型防火墻來實現。通常防火墻功能由路由器提供,改路由器在內部網絡與Internet之間根據預先設置的規則對進入內部網絡的信息進行過濾。特點:數據轉發速度快,網絡性能損失小,易于實現,費用低 缺點:安全性較低,易被攻破。
雙重宿主主機體系結構(Dual Home GateWay)采用單一的代理服務器防火墻來實現,至少有兩個網絡接口,這樣的主機可以充當與這些接口相連的網絡之間的路由器,它能從一個網絡接收IP數據包并將之發往另一網絡。受到保護的內網與Internet之間不能直接建立連接,必須通過這種代理主機才可以。
特點:主機的安全至關重要,必須支持多用戶的訪問,性能很重要; 缺點:一旦雙重宿主主機被攻破,內部網絡將會失去保護。屏蔽主機體系結構
采用雙重防火墻來實現,一個是屏蔽路由器,構成內部網絡的第一道安全防線,一個是堡壘主機,構成內部網絡的第二道安全防線,屏蔽路由器基于下列規則進行屏蔽:堡壘主機是內部網絡的唯一系統,允許外部網絡與堡壘主機建立聯系,并且只能通過與堡壘主機建立連接來訪問內部網絡提供的服務。堡壘主機具有較高的安全級別。特點:安全性更高雙重保護:實現網絡層安全、應用層安全
缺點:屏蔽路由器是否安全配置至關重要,一旦屏蔽路由器被損害,堡壘主機將會被穿越,整個內部網絡對入侵者開放。屏蔽子網體系結構
屏蔽子網體系結構在本質上與屏蔽主機體系結構一樣,堡壘主機位于周邊網絡上,周邊網絡和內部網絡被內部路由器分開。周邊網絡的作用:即使堡壘主機被入侵者控制,它仍可消除對內部網的偵聽。外部路由器的作用:保護周邊網絡和內部網絡的安全。內部路由器:保護內部網絡不受外部網絡和周邊網絡的侵害。特點:有三重屏障,安全性更高,比較適合大型的網絡系統,成本也較高。
18:入侵檢測系統由哪些部分組成,各自的作用是什么? 事件產生器(Event Generators)
事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。是入侵檢測的第一步,采集的內容包括系統日式、應用程序日志、系統調用、網絡數據、用戶行為、其它IDS信息。
事件分析器(Event analyzers)
事件分析器分析得到的數據,并產生分析結果。分析是入侵檢測系統的核心。響應單元(Response units)
響應單元則是對分析結果作出作出反應的功能單元,功能包括:告警和事件報告、終止進程強制用戶退出、切斷網絡連接修改防火墻配置、災難評估自動恢復、查找定位攻擊者。事件數據庫(Event databases)
事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
19:根據數據的來源不同,入侵檢測系統可以分為哪些種類,各自有什么優缺點? 基于主機的入侵檢測系統
概念:安裝在單個主機或服務器系統上,對針對主機或是服務器系統的入侵行為進行檢測和響應,對主機系統進行全面保護的系統。優點:
性價比高:在主機數量較少的情況下比較適合;
監控粒度更細、配置靈活、可用于加密的以及交換的環境; 可以確定攻擊是否成功; 對網絡流量不敏感;
不需增加額外的硬件設備; 缺點:
不適合大型的網絡中大量主機的檢測,偵測速度較慢,只能運行于特定的操作系統中 基于網絡的入侵檢測系統
概念:基于網絡的入侵檢測系統用原始的網絡包作為數據源,它將網絡數據中檢測主機的網卡設為混雜模式,該主機實時接收和分析網絡中流動的數據包,從而檢測是否存在入侵行為,基于網絡的IDS通常利用一個運行在隨機模式下的網絡適配器來實時檢測并分析通過網絡的所有通信業務他的攻擊辨識模塊通常使用四種常用技術來標識攻擊標志:模式、表達式或自己匹配;頻率或穿越閥值;低級時間的相關性;統計學意義上的非常規現象檢測,一旦檢測到了攻擊行為,IDS響應模塊就提供多種選項以通知,報警并對攻擊采取響應的反應,尤其適應于大規模網絡的NIDS可擴展體系結構,知識處理過程和海量數據處理技術等。優點:視野更寬、隱蔽性好、攻擊者不易轉移證據; 偵測速度快 通常能在秒級或是微秒級發現問題;
使用較少的監測器 使用一個監測器就可以保護一個網段; 操作系統無關性; 占用資源少; 缺點:
網絡入侵檢測系統只能夠檢查它直接相連的網絡,不能監測不同網段的網絡包; 在使用交換以太網的環境中會出現監測范圍的限制; 成本較高;
由于采用特征監測的方法,可以監測出一般的普通攻擊,但是很難實現一些復雜的需要大量計算的攻擊檢測;
產生大量的數據分析流量; 難以監測加密的會話過程; 協同能力較差;
由于各有優缺點,所以采用兩者聯合的方式會達到更好的監測效果。
20:簡述入侵檢測IPS和IDS的區別,在網絡安全綜合方案中各發揮什么作用。
IDS 是一種入侵檢測系統,能夠發現攻擊者的攻擊行為和蹤跡,但是自身確是不作為,通過與防火墻等安全設備聯動進行防護。IPS則是一種主動的、智能的入侵檢測、防范、阻止系統,相當于防火墻和IDS的結合,可以預先對入侵活動和攻擊性網絡流量進行攔截,避免造成任何損失,而非在入侵流量傳送時才發出警報。IPS檢測攻擊的方法也與IDS不同。一般來說,IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包,確定這種數據包的真正用途,然后決定是否允許這種數據包進入你的網絡。最主要的區別就是:IPS(Intrusion Prevention System)具有自動攔截和在線運行的能力。
在網絡安全綜合方案中各發揮的作用:
入侵檢測系統注重的是網絡安全狀況的監管。為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,并統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。入侵檢測系統的核心價值在于通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整。入侵檢測系統需要部署在網絡內部,監控范圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據。
入侵防御系統關注的是對入侵行為的控制。與防火墻類產品、入侵檢測產品可以實施的安全策略不同,入侵防御系統可以實施深層防御安全策略,即可以在應用層檢測出攻擊并予以阻斷。而為了實現對外部攻擊的防御,入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統,入侵防御系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。而入侵防御系統的核心價值在于安全策略的實施對黑客行為的阻擊,入侵防御系統則必須部署在網絡邊界,抵御來自外部的入侵。
第二篇:信息安全總結
1.信息安全與網絡安全的區別
? 在對象范圍方面,“信息安全”涵蓋了“網絡安全”。
? 信息安全工作的對象不僅涵蓋了網絡安全的所有問題,即信息在網絡傳輸中的安全問題,而且還包括計算機本身的固有安全問題,如系統硬件、操作系統、應用軟件、操作流程等等。
2.信息通信過程中的威脅
? 信息系統的用戶在進行通信的過程中,常常受到兩方面的攻擊:
? 主動攻擊:攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統內部,破壞信息的真實性、完整性及系統服務的可用性。
? 被動攻擊:攻擊者非法截獲、竊取通信線路中的信息,使信息保密性遭到破壞,信息泄漏而無法察覺,給用戶帶來巨大的損失。
中斷(interruption):是指威脅源使系統的資源受損或不能使用,從而暫停數據的流動或服務,屬于主動攻擊。截獲(interception):是指某個威脅源未經允許而獲得了對一個資源的訪問,并從中盜竊了有用的信息或服務,屬于被動攻擊。
? 篡改(modification):是指某個威脅源未經許可卻成功地訪問并改動了某項資源,因而篡改了所提供的信息服務,屬于主動攻擊。
偽造(fabrication):是指某個威脅源未經許可而在系統中制造出了假消息源、虛假的信息或服務,屬于主動攻擊。3.威脅的具體表現形式
? 偽裝:某個具有合法身份的威脅源成功地假扮成另一個實體(用戶或程序),隨后濫用后者的權利。這時的威脅源可以是用戶,也可以是程序,受威脅對象與此類同。? 非法連接
威脅源以非法手段形成合法身份,使得網絡實體(用戶或連接)與網絡資源之間建立了非法連接。威脅源可以是用戶,也可以是程序,受威脅對象則是各種網絡資源。
? 拒絕服務
攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試而產生過量的系統負載,從而導致系統的資源對合法用戶的服務能力下降或喪失;或是由于信息系統或其組件在物理上或邏輯上受到破壞而中斷服務。
? 否認
網絡用戶虛假地否認提交過信息或接收到信息。? 信息泄漏 信息泄漏指敏感數據在有意或無意中被泄漏、丟失或透露給某個未授權的實體
? 通信流量分析
攻擊者觀察通信協議中的控制信息,或對傳送中的信息的長度、頻率、源和目的進行分析。
? 改動信息流 對正確的通信信息序列進行非法的修改、刪除、重排序或重放。? 篡改或破壞數據
以非法手段竊得對信息的管理權,通過未授權的創建、修改、刪除或重放等操作而使數據的完整性受到破壞。
? 推斷或演繹信息 統計數據含有原始信息的蹤跡,非法用戶利用公布的統計數據,推導出某個信息的原來值。
? 旁路控制
攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。
? 特洛伊木馬
軟件中含有一個察覺不出的或者無害的程序段,當它被執行時,會破壞用戶的安全 ? 后門或陷門
后門是進入系統的一種方法,通常它是由設計者有意建立起來的。陷門在某個系統或某個部件中設置的“機關”,使得在特定的數據輸入時,允許違反安全策略。陷門是后門的一種形式。
? 抵賴 這是一種來自用戶的攻擊,比如:否認自己曾經發布過的某條消息、偽造一份對方來信等。
? 重放
出于非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送。? 計算機病毒
所謂計算機病毒,是一種在計算機系統運行過程中能夠實現傳染和侵害的功能程序。
? 人員不慎
一個授權的人為了錢或某種利益,或由于粗心,將信息泄露給一個非授權的人
? 物理侵入 侵入者繞過物理控制而獲得對系統的訪問。? 竊取 重要的安全物品,如硬盤、令牌或身份卡被盜等。
? 業務欺騙 構造一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息,如網上釣魚、網上傳銷、網上詐騙等。
4.構成威脅的因素
歸結起來,針對信息系統的威脅主要有以下3個因素: ①環境和自然災害因素
易受環境和災害的影響。溫度、濕度、供電、火災、水災、地震、靜電、灰塵、雷電、強電磁場、電磁脈沖等,均會破壞數據和影響信息系統的正常工作。②人為因素
? 人為因素可分為有意和無意。
? 有意的是指人為的惡意攻擊、違紀、違法和犯罪以及泄密行為。這是信息系統所面臨的最大威脅。
? 無意的是指人為的無意失誤,如操作員安全配置不當造成的安全漏洞,信息丟失,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
③計算機系統自身因素
盡管近年來計算機網絡安全技術取得了巨大的進展,但現在計算機硬件系統、操作系統和應用系統等的漏洞越來越多。
? 計算機硬件系統的故障 ? 計算機軟件系統的漏洞 ? 網絡和通信協議的缺陷
5.密碼技術是信息安全的核心和關鍵。其主要包括密碼編碼(密碼算法設計)、密碼分析(密碼破譯)、認證、鑒別、數字簽名、密鑰管理和密鑰托管等技術。
? 密碼學發展至今,已有兩大類密碼系統:第一類為對稱密鑰(Symmeric Key)密碼系統,第二類為非對稱密鑰(Public Key)密碼系統。
6.新的防病毒產品集中體現在網絡防病毒上,主要有下面幾種重要技術: ①數字免疫系統②監控病毒源技術③主動內核技術④“集中式管理、分布式殺毒”技術⑤安全網管技術
7.虛擬專用網VPN(Virtual Private Network)是在公共數據網絡上,通過采用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互連。8.信息安全發展趨勢
? 可信化:這個趨勢是指從傳統計算機安全理念過渡到以可信計算理念為核心的計算機安全。? 網絡化:網絡化成為信息安全技術的又一趨勢。
? 集成化:即從單一功能的信息安全技術與產品,向多種功能融于某一個產品 ? 標準化
? 抽象化:是指公理化研究方法逐步成為信息安全的基本研究工具。
9.所謂信息安全保障體系,就是關于信息安全防范系統的最高層概念抽象,它由各種信息安全防范單元組成,各組成單元按照一定的規則關系,能夠有機集成起來,共同實現信息安全目標。
? 信息安全保障體系由組織體系、技術體系和管理體系組成。10.密碼學與密碼體制
密碼學包括密碼設計與密碼分析兩個方面,密碼設計主要研究加密方法,密碼分析主要針對密碼破譯,即如何從密文推演出明文、密鑰或解密算法的學問。這兩種技術相互依存、相互支持、共同發展。
加密算法的三個發展階段:①古典密碼②對稱密鑰密碼(單鑰密碼體制)③公開密鑰密碼(雙鑰密碼體制)
對稱密碼體制的優點是: 安全性高且加、解密速度快
其缺點是:進行保密通信之前,雙方必須通過安全信道傳送所用的密鑰。這對于相距較遠的用戶可能要付出較大的代價,甚至難以實現。
非對稱密碼體制的優點是: 密鑰管理方便
其缺點是:加、解密速度較慢
? 解密與密碼分析①共同點 “解密(脫密)”和“密碼分析(密碼破譯)”都是設法將密文還原成明文。②不同點
二者的前提是不同的,“解密(脫密)”掌握了密鑰和密碼體制,而密碼分析(破譯)則沒有掌握密鑰和密碼體制 11.入侵檢測(Intrusion Detection)的定義是指通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。12.IDS功能與模型
上圖模型中包含6個主要部分:
① 實體(Subjects):在目標系統上活動的實體,如用戶。
② 對象(Objects):指系統資源,如文件、設備、命令等。
③ 審計記錄(Audit records):由主體、活動(Action)、異常條件(Exception-Condition)、資源使用狀況(Resource-Usage)和時間戳(Time-Stamp)等組成。
④ 活動檔案(Active Profile):即系統正常行為模型,保存系統正常活動的有關信息。
⑤ 異常記錄(Anomaly Record):由事件、時間戳和審計記錄組成,表示異常事件的發生情況。
⑥ 活動規則(Active Rule):判斷是否為入侵的準則及相應要采取的行動。
? CIDF模型
上圖所示的模型中,入侵檢測系統分為4個基本組件:
①事件產生器的任務是從入侵檢測系統之外的計算環境中收集事件,但并不分析它們,并將這些事件轉換成CIDF的GIDO格式傳送給其他組件;
②事件分析器分析從其他組件收到的GIDO,并將產生的新的GIDO再傳送給其他組件;
③事件數據庫用來存儲GIDO,以備系統需要的時候使用;
④響應單元處理收到的GIDO,并根據處理結果,采取相應的措施,如殺死相關進程、將連接復位、修改文件權限等。
? 入侵響應是入侵檢測技術的配套技術,一般的入侵檢測系統會同時使用這兩種技術。? 入侵響應技術可分為主動響應和被動響應兩種類型。
? 主動響應和被動響應并不是相互排斥的。不管使用哪一種響應機制,作為任務的一個重要部分,入侵檢測系統應該總能以日志的形式記錄下檢測結果。
? 異常檢測和誤用檢測。根據入侵檢測所采用的技術,可以分為異常檢測和誤用檢測。
? 異常檢測(Abnormal Detection)。異常入侵檢測是指能夠根據異常行為和使用計算機資源的情況檢測出來的入侵。
? 誤用檢測(Misuse Detection)。誤用入侵檢測(也稱濫用入侵檢測)是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。
? 基于主機和網絡的檢測。按照入侵檢測輸入數據的來源和系統結構,可以分為:
? 基于主機的入侵檢測系統(HIDS)。? 基于網絡的入侵檢測系統(NIDS)。? 混合型入侵檢測系統。
? 離線檢測和在線檢測。根據入侵檢測系統的工作方式分為離線檢測系統和在線檢測系統。
? 離線檢測系統。在事后分析審計事件,從中檢查入侵活動,是一種非實時工作的系統。
? 在線檢測。實施聯機的檢測系統,它包含對實時網絡數據包分析,對實時主機審計分析。
? 集中式、等級式和協作式。按照體系結構,IDS可分為集中式、等級式和協作式3種。
入侵檢測系統性能
? 準確性:檢測系統具有低的假報警率和漏警率。
? 執行性:入侵檢測系統處理審計事件的比率。如果執行性很低,則無法實現入侵檢測系統的實時檢測。? 完整性:如果一個入侵檢測系統不能檢測一個攻擊則認為是不完整的。
? 容錯性:入侵檢測系統本身應具備抵抗攻擊的能力。
? 實時性:系統能盡快地察覺入侵企圖,以便制止和限制破壞 13.入侵檢測系統與防火墻的區別
? “防火墻”是在被保護網絡周邊建立的、分隔被保護網絡與外部網絡的系統。
? 采用防火墻技術的前提條件是:被保護的網絡具有明確定義的邊界和服務;網絡安全的威脅僅來自外部網絡。
? 但僅僅使用防火墻保障網絡安全是遠遠不夠的。
? 入侵檢測是防火墻的合理補充,為網絡安全提供實時的入侵檢測并采取相應的防護手段。
? 入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下,能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
? IDS一般不是采取預防的措施以防止入侵事件的發生,入侵檢測作為安全技術其主要目的在于:識別入侵者;識別入侵行為;檢測和監視已成功的安全突破;為對抗入侵,及時提供重要信息,阻止事件的發生和事態的擴大。
14.異常檢測技術有以下優點: ①·能夠檢測出新的網絡入侵方法的攻擊; ②·較少依賴于特定的主機操作系統; ③·對于內部合法用戶的越權違法行為的檢測能力較強。缺點:①·誤報率高;②·行為模型建立困難; ③·難以對入侵行為進行分類和命名。
①神經網絡異常檢測 這種方法的優點是:①·不依賴于任何有關數據種類的統計假設; ②·具有較好的抗干擾能力;③·能自然的說明各種影響輸出結果測量的相互關系。
其缺點是: ①·網絡拓撲結構以及各元素的權重很難確定;②·在設計網絡的過程中,輸入層輸入的命令個數的大小難以選取。若設置太小,則工作就差;若設置太高,網絡中需要處理的數據就會太多,降低了網絡的效率。
15.誤用檢測技術有以下優點: ·①檢測準確度高; ②·技術相對成熟; ③·便于進行系統防護。誤用檢測技術有以下不足: ①·不能檢測出新的入侵行為;② ·完全依賴于入侵特征的有效性;
③·維護特征庫的工作量大; ④·難以檢測來自內部用戶的攻擊。
16.VPN的定義
VPN是將物理分布在不同站點的網絡通過公用骨干網,尤其是Internet連接而成的邏輯上的虛擬子網。為了保障信息的安全,VPN技術采用了鑒別、訪問控制、保密性、完整性等措施,以防止信息被泄露、篡改和復制。
所謂虛擬,是針對傳統的企業“專用網絡”而言的,是指用戶不再需要擁有實際的長途線路,而是使用Internet公眾數據網絡的長途數據網絡。
所謂專用,表示VPN是被特定企業或用戶私有的,并不是任何公共網絡上的用戶都能夠使用已經建立的VPN通道,而是只有經過授權的用戶才可以使用。
所謂網絡,表示這是一種專門的組網技術和服務,企業為了建立和使用VPN必須購買和配備相應的網絡設備。
VPN的作用與特點
一個VPN至少要提供數據加密、信息認證和身份認證以及訪問權限控制等功能。VPN有以下特點:
①費用低
②靈活性大 ③易于管理維護
VPN的分類
①遠程訪問虛擬網(Access VPN)。又稱為撥號VPN,是指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。
Access VPN 包括模擬撥號、ISDN、數字用戶線路(xDSL)、移動IP和電纜技術,能夠安全的連接移動用戶、遠程工作者或分支機構。Access VPN最適用于公司內部經常有流動人員遠程辦公的情況。
② 企業內部虛擬網(Intranet VPN)
③企業擴展虛擬網(Extranet VPN)
VPInternet VP
客戶端VPN公司總部網關VPN接入ISP網關VPN接入 合作伙伴
17.VPN的實現技術 ①密碼技術
? 對稱密鑰加密。對稱密鑰加密的優點是運算量小、速度快,適合于加密大量數據的情況;缺點是密鑰的管理比較復雜。
? 非對稱密鑰加密。其速度較慢,適合加密大量數據的情況,而是經常用于關鍵數據的加密
密鑰管理技術
密鑰的分發有兩種方法:一種是通過手工配置的方式,另一種是采用密鑰交換協議動態分發。
手工配置的方法只適合于簡單網絡的情況。密鑰交換協議采用軟件方式動態生成密鑰,保證密鑰在公共網絡上安全地傳輸而不被竊取,適合于復雜網絡的情況,而且密鑰可快速更新,可以顯著提高VPN應用的安全性。
②身份認證技術
從技術上說,身份認證基本上可以分為兩類;非PKI體系和PKI體系的身份認證。非PKI體系的身份認證基本上采用的是UID+PASSWORD模式。PKI體系目前常用的方法是依賴于 CA(Certificate Authority,數字證書簽發中心)所簽發的符合 X 509規范的標準數字證書。
③隧道技術 VPN的核心是被稱為“隧道”的技術。隧道技術是一種通過使用互聯網的基礎設施在網絡之 間傳遞數據的方式。
? 自愿隧道(Voluntary tunnel)
用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時,用戶端計算機作為隧道客戶方成為隧道的一個端點。
? 強制隧道(Compulsorytunnel)
由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點。
18.第二層隧道協議-
點到點隧道協議(PPTP)
? PPTP的一個主要優勢在于微軟平臺的支持。PPTP能夠提供流量控制,減少擁塞的可能性,降低由包丟失而引發的重傳率。
? PPTP是PPP協議的擴展,它主要增強了PPP協議的認證、壓縮和加密功能。19.第2層轉發協議L2F ? L2F的主要缺陷是沒有把標準加密方法包括在內,因此它基本上已經成為一個過時的隧道協議。
? 設計L2F協議的初衷是出于對公司職員異地辦公的支持。
? 通過L2F協議,用戶可以通過因特網遠程撥入總部進行訪問,這種虛擬撥入具有如下特性:
? 無論是遠程用戶還是位于總部的本地主機都不必因為使用該撥號服務而安裝任何特殊軟件,只有ISP的NAS和總部的本地網關才安裝有L2F服務,而對遠程用戶和本地主機,撥號的虛擬連接是透明的; ? 對遠程用戶的地址分配、身份認證和授權訪問等方面對總部而言都與專有撥號一樣可控;
? ISP和用戶都能對撥號服務進行記賬(如撥號起始時間、關閉時間、通信字節數等),以協調費用支持。
20.PPTP、L2F與 L2TP比較
? 對底層傳輸介質的要求
PPTP協議要求底層傳輸介質必須為IP網絡;而L2F與L2TP協議對底層介質沒有特別的要求,只要求底層介質能提供面向分組的點對點連接。
? 消息的構造方式
PPTP協議采用了固化的消息構造,因此不利于針對不同需要的選擇,不具有靈活性;L2F采用了選項構造消息的方式,L2TP采用了用屬性構造消息的方式,都能依據不同的需求靈活地選擇構造消息,這樣也有利于減輕通信的負荷和配置表述。
? 端對端身份的認證
PPTP協議的身份認證機制安全依賴于PPP協議的認證過程,而沒有自己的認證方案,因此協議獨立性不夠,而且認證的安全性值得懷疑;而L2TP和L2F都能在隧道建立階段、會話建立階段以及通信過程中對端對端身份進行認證。
? 隧道和會話的維護
PPTP協議和L2TP協議都提供了隧道和會話的維護消息機制,但L2F卻沒有。
? 流量控制特征
PPTP協議采用擴展GRE封裝中的序列號字段和確認字段對流量進行控制,并由此而 采用了發送和接收滑動窗口機制,以及自適應超時調整機制;L2TP協議通過提供基于會話的計數和計時器,以及L2TP頭的Nr和Ns字段,并采用發送和接收滑動窗口機制。
自適應超時調整機制為L2TP隧道通信提供了傳輸層服務;相比之下,L2F這方面的功能則顯得相當弱小,它提供了一個序列號字段,只能在一定程度上保證分組順序到達。
? 其他特征
L2F、PPTP和L2TP協議都只是一種對第二層分組的封裝傳輸工具,它們本身不對傳輸工具提供完整性、機密性等保護。
PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附加包頭用于數據在互聯網絡上的傳輸;PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。
使用L2TP,用戶可以針對不同的服務質量創建不同的隧道;L2TP可以提供包頭壓縮。
L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。
21.通用路由封裝協議(GRE)
? 由于GRE協議提出較早,也存在著如下的一些缺點:
① GRE只提供了數據包的封裝,而沒有加密功能來防止網絡監聽和攻擊,所以在實際環境中經常與IPSec一起使用。由IPSec提供用戶數據的加密,從而給用戶提供更好的安全性。
② 由于GRE與IPSec采用的是同樣的基于隧道的VPN實現方式,所以IPSec VPN在管理、組網上的缺陷,GRE VPN也同樣具有。
③ 同時由于對原有 IP報文進行了重新封裝,所以同樣無法實施 IP QoS策略。
22.IP安全協議
? IPSec是一個標準的第三層安全協議,但它絕非一個獨立的安全協議,而是一個協議包。
? 由于它工作在網絡層,因此可以用于兩臺主機之間、網絡安全網關之間(如防火墻、路由器)或主機與網關之間。
? IPSec作為網絡層安全協議,實現了基于IP數據包的安全保護,能為上層協議提供透明的安全服務,其開放性和靈活性是其具有廣泛的應用和良好的發展前景。
23.SOCKS v5工作在OSI(Open System Internet)模型中的第五層——會話層,可作為建立高度安全的VPN基礎。
? SOCKS v5協議的優勢在于訪問控制,因此適用于安全性較高的VPN。
? 它的優點是能夠非常詳細地進行訪問控制;能同低層協議一起使用;用SOCKS v5的代理服務器可隱藏網絡地址結構;能為認證、加密和密鑰管理提供“插件”模塊,讓用戶自由地采用所需要的技術;SOCKS v5可根據規則過濾數據流。
? 它也有不少令人遺憾之處:性能比低層次協議差,必須制定更復雜的安全管理策略。
24.操作系統安全
操作系統(Operating System)是一組面向機器和用戶的程序,是用戶程序和計算機硬件之間的接口,其目的是最大限度地、高效地、合理地使用計算機資源,同時也對系統的所有資源(軟件和硬件資源)進行有效的管理 在使用操作系統安全這個概念時,通常具有兩層含義:一是指操作系統在設計時提供的權限訪問控制、信息加密性保護、完整性鑒定等安全機制所實現的安全;其次,是指操作系統在使用過程中通過系統配置,以確保操作系統盡量避免由于實現時的缺陷和具體應用環境因素而產生的不安全因素。
25.Windows系列漏洞
①Windows Web Server(IIS)漏洞
a.不能正確處理某些請求 b.緩沖區溢出。產生于ISAPI擴展(ASP、HTR、IDQ等),著名例子為CodeRed、CodeRedII蠕蟲。c.應用樣本。應用樣本用于演示服務器環境功能的樣本程序,未經過嚴格測試。
②MRDS組件漏洞 ③NetBIOS漏洞 ④匿名登錄 ⑤LAN Manager身份鑒別漏洞
LM散列的主要脆弱性在于:
1·長的口令被截成14個字符;2 ·短的口令被填補空格變成14個字符;3 ·口令中所有的字符被轉換成大寫;·口令被分割成兩個7個字符的字符串。⑥IE瀏覽器漏洞
作為微軟的默認瀏覽器,IE有許多致命漏洞。所有漏洞歸結為以下幾類: ·Web頁面欺騙;·ActiveX控制漏洞; ·Active腳本漏洞;·錯誤解釋MIME-type、content-type及緩沖區溢出,結果為,暴露cookies、本地文件及數據,下載及執行任意代碼,或完全接管系統。
⑦遠程訪問注冊表漏洞
在微軟的所有操作系統中,使用了注冊表來管理軟件、存儲設備配置信息及用戶設置,某些不正確的權限設置,允許遠程交互訪問注冊表。
⑧Windows腳本主機服務漏洞
WSH(Windows腳本主機服務)允許任意以.vbs擴展名結尾的文本文件被系統解釋為Visual基本腳本來執行。當WSH允許時,用戶無意間下載惡意腳本文件,很可能通過WSH服務自動在系統中執行。
⑨賬號無口令或口令強度太弱
26.系統平臺的加固指南 ①端口和進程 ②安裝系統補丁③密碼強度及存儲 ④用戶賬戶
用戶賬戶管理的弱點有5個方面:弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶,以及廢棄賬戶。⑤用戶特權 ⑥文件系統安全 ⑦遠程訪問的安全 ⑧服務標題、操作系統指紋
27.數據庫安全的重要性
首先,數據庫安全對于保護組織的信息資產非常重要。
其次,保護數據庫系統所在網絡系統和操作系統非常重要,但僅僅如此遠不足以保證數據庫系統的安全。
此外,數據庫安全的不足不僅會損害數據庫本身,而且還會影響到操作系統和整個網絡基礎設施的安全。
最后,數據庫是電子商務、電子政務、ERP等關鍵應用系統的基礎,它的安全也是這些應用系統的基礎。28.數據庫安全威脅
(1)根據違反數據庫安全性所導致的后果將安全威脅進行劃分 ①非授權的信息泄露; ②非授權的數據修改; ③拒絕服務。
(2)根據發生的方式將安全威脅進行劃分
根據發生的方式,安全威脅可以分為有意和無意的。無意的安全威脅包括以下幾類: ①自然或意外災害; ②系統軟硬件中的錯誤;③人為錯誤。有意的安全威脅可以分為兩類: ①授權用戶;②惡意代理。29.數據庫安全需求
數據庫作為重要的數據存儲地,其安全問題特別要注意以下3個方面:完整性、保密性和可用性。對于數據庫應考慮一下幾個方面的安全需求:
(1)數據庫完整性。數據庫的完整性是DBMS、操作系統和用戶3方面的責任。
(2)數據元素的完整性。數據庫元素的完整性指的是數據庫元素的正確性和準確性,在DBMS中對數據元素的完整性采用3種維護方式:
①字段檢查:防止輸入數據錯誤;
②訪問控制:保證數據庫的完整性、真實性和一致性;
③更改日志文件:管理員可以根據日志文件隨時修改錯誤和撤銷非法的修改。
(3)審計性。數據庫的應用中需要對數據庫的所有訪問產生審計記錄,用以幫助在事后查看什么人對數據庫進行了什么操作,帶來了什么影響,以便維護數據庫的完整性。
(4)可用性。數據庫內的數據能被用戶進行讀取,但不是在任何時候都可被任何用戶讀取和使用的。
(5)訪問控制。DBMS必須對用戶訪問的數據進行規定,哪些數據可以訪問,哪些不能訪問。
(6)用戶認證。DBMS應具有嚴格的用戶身份識別和認證。
日志文件是用來記錄事務對數據庫的更新操作的文件。數據庫備份就是指制作數據庫結構和數據的復制,以便在數據庫遭到破壞的時候能夠修復數據庫。目前數據庫的備份技術很多,如全備份、增量備份、差分備份等,數據庫恢復就是指在數據庫遭到破壞時,把數據庫從錯誤狀態恢復到某一已知的正確狀態
如果備份時數據庫不可以被應用所訪問,那么我們稱這種備份為離線備份或冷備份。冷備份可以通過關閉數據庫然后進行文件備份來實現。離線數據庫備份是簡單的,也是被認為有效的備份技術。
在線數據庫備份: 現在大多數的數據庫都可以在應用進行數據訪問時進行數據備份。數據庫增量備份
①邏輯增量備份
②物理增量備份
30.計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼”。
31.可以采用網絡蠕蟲預警機制,采取有效措施阻止網絡蠕蟲的大規模探測、滲透和自我復制。要借助于一切現有的軟、硬件條件和技術才能在最大程度下對蠕蟲進行防治 32.防止特洛伊木馬的主要方法有:① 時刻打開殺毒軟件,并及時更新反病毒軟件。② 安裝特洛伊木馬刪除軟件。③ 建立個人防火墻。④ 不要執行來歷不明的軟件和程序。⑤ 經常升級系統。33.防范計算機病毒的基本方法
① 不輕易上一些不正規的網站,在瀏覽網頁的時候,很多人有獵奇心理,而一些病毒、木馬制造者正是利用人們的獵奇心理,引誘大家瀏覽他的網頁,甚至下載文件,殊不知這樣很容易使機器染上病毒。
② 千萬提防電子郵件病毒的傳播,能發送包含ActiveX控件的HTML格式郵件可以在瀏覽郵件內容時被激活,所以在收到陌生可疑郵件時盡量不要打開,特別是對于帶有附件的電子郵件更要小心,很多病毒都是通過這種方式傳播的,甚至有的是從你的好友發送的郵件中傳到你機器上感染你的計算機。
③對于渠道不明的光盤、軟盤、U盤等便攜存儲器,使用之前應該查毒。對于從網絡上下載的文件同樣如此。因此,計算機上應該裝有殺毒軟件,并且及時更新。
④經常關注一些網站、BBS發布的病毒報告,這樣可以在未感染病毒的時候做到預先防范。⑤ 對于重要文件、數據做到定期備份。
⑥ 不能因為擔心病毒而不敢使用網絡,那樣網絡就失去了意義。只要思想上高度重視,時刻具有防范意識,就不容易受到病毒侵擾。1.P2DR模型
? 策略(Policy)
它是模型的核心, 負責制定一系列的控制策略、通信策略和整體安全策略一個策略體系的建立包括安全策略的制定、評估和執行等。
? 防護(Protection)
通過采用一些傳統的靜態安全技術和方法來實現,主要有防火墻、加密、認證等。通過防火墻監視、限制進出網絡的數據包, 防范外對內以及內對外的非法訪問, 提高網絡的防護能力。
? 檢測(Detection)
采取了各種安全防護措施并不意味著網絡系統的安全性就得到了完全的保障, 網絡的狀況是動態變化的, 而各種軟件系統的漏洞層出不窮, 都需要采取有效的手段對網絡的運行進行監測。這是模型一個非常重要的環節, 是整個模型動態性的體現。能夠保證模型隨著事件的遞增, 防御能力也隨著提升。
? 響應(Response)
它在安全系統中占有最重要的地位, 是解決安全潛在性的最有效的方法。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應, 從而把系統調整到安全狀態。
第三篇:信息安全總結
1.信息安全工程應考慮的因素?
答:①信息安全具有全面性;②信息安全具有生命周期性;③信息安全具有動態性;④信息安全具有層次性;⑤信息安全具有相對性;
2.信息安全含義?答:①信息安全是指防止信息資源被故意的或偶然的非授權泄露、更改和破壞,或者信息被非法系統辨認、控制和否認。即確保信息的完整性、秘密性、可用性和不可否認性。②信息安全是使信息避免一系列威脅,保障商務的連續性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報,涉及的是機密性、完整性、可用性和不可否認性。③信息安全就是指實體安全、運行安全、數據安全和管理安全四個方面。3.信息安全目標(4性)?
答:①機密性;②完整性;③可用性;④不可否認性;其他特性:⑤可控性;⑥可審查性;⑦認證性;⑧可靠性。4.信息安全的重要性?
答:①社會信息化提升了信息的地位;②社會對信息技術的依賴性增強;③虛擬的網絡財富日益增長;④信息安全已成為社會的焦點問題。
5.信息安全研究的內容?(圖自己搞)
答:①信息安全是一門交叉學科,涉及多方面的理論和應用知識。除了數學、通信、計算機等自然科學外,還涉及法律、心理學等社會科學。我們只從自然科學的角度介紹信息安全的研究內容。②信息安全研究大致可以分為基礎理論研究、應用技術研究、安全管理研究等。基礎研究包括密碼研究、密碼應用研究;應用技術研究則包括安全實現技術、安全平臺技術研究;安全管理研究包括安全標準、安全策略、安全測評等。6.信息保障的含義?
答:為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統的入侵檢測能力,系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力。7.信息安全模型(PD2R)?
答:保護,檢測,反應,恢復。①保護,采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認性。②檢測,利用高級術提供的工具檢查系統存在的可能提供黑客攻擊、白領犯罪、病毒泛濫脆弱性。③反應,對危及安全的事件、行為、過程及時作出響應處理,杜絕危害的進一步蔓延擴大,力求系統尚能提供正常服務。④恢復,一旦系統遭到破壞,盡快恢復系統功能,盡早提供正常的服務。8.密碼學的基本概念?
答:密碼學(Cryptology)是結合數學、計算機科學、電子與通訊等諸多學科于一體的交叉學科,是研究信息系統安全保密的一門科學。包括:①密碼編碼學: 主要研究對信息進行編碼,實現對信息的隱蔽。②密碼分析學:主要研究加密消息的破譯或消息的偽造.9.密碼系統的體制?
答: 一個密碼系統(體制)至少由明文、密文、加密算法和解密算法、密鑰五部分組成。①信息的原始形式成為明文;②經過變換加密的明文稱為密文;③對明文進行編碼生成密文的過程稱為加密,編碼的規則稱為加密算法;④將密文恢復出明文的過程稱為解密,解密的規則稱為解密算法;⑤密鑰是唯一能控制明文與密文之間變換的關鍵。10.密碼體制的分類?
答:①對稱密碼體制。加密密鑰和解密密鑰相同,或者雖然不相同,但由其中的任意一個可以很容易地推出另一個,又稱傳統密碼體制、秘密密鑰體制或單密鑰體制。②非對稱密碼體制。加密密鑰和解密密鑰不相同,并且從一個很難推出另一個,又稱公開密鑰體制。公開密鑰體制用一個密鑰進行加密,而用另一個進行解密。其中一個密鑰可以公開,成為公開密鑰,簡稱公鑰;另一個密鑰成為私人密鑰,簡稱私鑰。11.密碼分析常用的4種方法?
答:密碼分析學:主要研究加密消息的破譯或消息的偽造。有4種常用分析方法:①唯密文攻擊;②已知明文攻擊;③選擇明文攻擊;④選擇密文攻擊。12.現代密碼學的重要事件?
答:①1949年Shannon發表題為《保密通信的信息理論》,為密碼系統建立了理論基礎,從此密碼學成了一門科學。(第一次飛躍)②1976年后,美國數據加密標準(DES)的公布使密碼學的研究公開,密碼學得到了迅速發展。③1976年,Diffe和Hellman提出公開密鑰的加密體制的實現,1978年由Rivest、Shamire和Adleman 提出第一個比較完善的公鑰密碼體制算法(第二次飛躍)。13.對稱密碼算法的分類?
答:序列密碼和分組密碼。①序列密碼是對稱密碼體制中的一類,主要用于政府、軍事等領域;序列密碼的加密過程是先把明文轉換成明文數據序列,然后同密鑰序列進行逐位加密生成密文序列發送給接收者。接收者用相同的密鑰序列對密文序列進行逐位解密以恢復出明文序列。②分組密碼是現代密碼學中的重要體制之一,也是應用最為廣泛、影響最大的一種密碼體制;分組密碼的加密原理是將明文按照某一規定的n bit長度分組(最后一組長度不夠時要用規定的值填充,使其成為完整的一組),然后使用相同的密鑰對每一分組分別進行加密。
14.分組密碼設計思想?
答:擴散和混亂。①所謂擴散,是指要將算法設計得使每一比特明文的變化盡可能多地影響到輸出密文序列的變化,以便隱蔽明文的統計特性;擴散的另一層意思是將每一位密鑰的影響也盡可能迅速地擴展到較多的輸出密文比特中去。即擴散的目的是希望密文中的任一比特都要盡可能與明文、密文相關聯,或者說,明文和密鑰中任何一比特值得改變,都會在某種程度上影響到密文值的變化,以防止統計分析攻擊。②所謂混亂,是指在加密變換過程中是明文、密鑰以及密文之間的關系盡可能地復雜化,以防密碼破譯者采用統計分析法進行破譯攻擊。
15.對稱密碼算法的優缺點?
答:優點:①效率高,算法簡單,系統開銷小;②適合加密大量數據;③明文長度與密文長度相等;缺點:①需要以安全方式進行密鑰交換;②密鑰管理復雜。16.公鑰密碼算法的分類?
答:①背包問題;②基于大整數素因子分解問題,RSA,Rabin等;③基于有限域乘法群上的離散對數問題,Elgamal(DSA);④橢園曲線上的離散對數問題,ECC。17.RSA公鑰密碼?
答:在Diffie和Hellman提出公鑰的設想后兩年,先后有Merkle和Hellman提出了MH背包公鑰密碼,Rivest、Shamir、Adleman聯合提出的簡稱為RSA公鑰密碼系統。RSA雖稍后于MH背包公鑰系統,但它到目前為止仍不失為最有希望的一種公鑰密碼。RSA的基礎是數論的歐拉定理,它的安全性依賴于大對數的因數分解的困難性。18.公鑰密碼體制的優缺點?
答:優點:①解決密鑰傳遞的問題;②大大減少密鑰持有量;③提供了對稱密碼技術無法或很難提供的服務(數字簽名)。缺點:①計算復雜、耗用資源大;②非對稱會導致得到的密文變長。
19.散列(Hash)函數的基本概念?
答:散列方法的主要思想是根據結點的關鍵碼值來確定其存儲地址:以關鍵碼值K為自變量,通過一定的函數關系h(K)(稱為散列函數),計算出對應的函數 值來,把這個值解釋為結點的存儲地址,將結點存入到此存儲單元中。檢索時,用同樣的方法計算地址,然后到相應的單元里去取要找的結點。通過散列方法可以對 結點進行快速檢索。散列(hash,也稱“哈希”)是一種重要的存儲方式,也是一種常見的檢索方法。
20.密鑰類型?
答:①基本密鑰;②會話密鑰;③密鑰加密密鑰;④主機主密鑰;⑤在公鑰體制下還有公開密鑰、秘密密鑰、加密密鑰、簽名密鑰之分。
21.密鑰管理重要階段?
答:①密鑰生成;②密鑰使用;③密鑰更新;④密鑰備份;⑤密鑰恢復;⑥密鑰存檔;⑦密鑰吊銷;⑧密鑰銷毀。
22.認證技術包括哪幾個方面?
答:身份認證和消息認證。①身份認證:某一實體確信與之打交道的實體正是所需要的實體。只是簡單地認證實體本身的身份,不會和實體想要進行何種活動相聯系。②消息認證:鑒定某個指定的數據是否來源于某個特定的實體。不是孤立地鑒別一個實體,也不是為了允許實體執行下一步的操作而認證它的身份,而是為了確定被認證的實體與一些特定數據項有著靜態的不可分割的聯系。
23.散列函數和消息認證碼之間有什么區別?
答:①消息認證碼(MAC,Messages Authentication Codes),是與密鑰相關的的單向散列函數,也稱為消息鑒別碼或是消息校驗和。②MAC與單向散列函數一樣,但是還包括一個密鑰。不同的密鑰會產生不同的散列函數,這樣就能在驗證發送者的消息沒有經過篡改的同時,驗證是由哪一個發送者發送的。
24.三種訪問控制策略?
答:①自主訪問控制;②強制訪問控制;③基于角色的訪問控制。
25.口令認證實現身份認證的優缺點?
答:缺點:①攻擊者可能直接從口令表中獲取用戶口令。②攻擊者可能在傳輸線路上截獲用戶口令。③用戶和系統的地位不平等,只有系統強制性地驗證用戶的身份,用戶無法驗證系統的身份。優點:使用多種字符,擁有足夠的長度,盡量隨機,并能定期更換。
26.什么是基于角色的訪問控制?
答:基于角色的訪問控制(RBAC)是實施面向企業安全策略的一種有效的訪問控制方式。其基本思想是,對系統操作的各種權限不是直接授予具體的用戶,而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。一旦用戶被分配了適當的角色后,該用戶就擁有此角色的所有操作權限。這樣做的好處是,不必在每次創建用戶時都進行分配權限的操作,只要分配用戶相應的角色即可,而且角色的權限變更比用戶的權限變更要少得多,這樣將簡化用戶的權限管理,減少系統的開銷。27.惡意代碼和病毒有什么區別及其解決方法?
答:①惡意代碼和病毒都具有對正常程序的危害性。但惡意代碼卻并不見得有傳播性。病毒是可以自我復制的,但惡意代碼只是被植入的,病毒可以通過介質傳播,但惡意代碼是隱藏在正常代碼中的,兩者不一樣。②惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。按傳播方式,惡意代碼可以分成五類:病毒,木馬,蠕蟲,移動代碼和復合型病毒。③計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒往往還具有自我復制能力,很強的感染性,一定的潛伏性,特定的觸發性和很大的破壞性等。④解決方法:禁止使用電腦,格式化硬盤,下載運行木馬程序,注冊表的鎖定。28.散列算法的特點? 答:①H能夠應用到任意長度的數據上。②H能夠生成大小固定的輸出。③對干任意給定的x,H(x)的計算相對簡單。④對于給定的散列值h,要發現滿足H(x)=h的x在計算上是不可行的。⑤對于給定的消息x,要發現另一個消息y滿足H(y)=H(x)在計算上是不可行的,則稱H為弱單向Hash函數。⑥對于單向函數H,若要找任意一對消息x,y。且x≠y,使滿足H(y)=H(x)在計算上是不可行的,則稱H為強單向Hash函數。⑦主要的散列算法: MD5(128位)、SHA(160位)等。
29.密鑰存儲?
答:①文件形式。②加密形式。③利用確定算法來生成密鑰。④存入專門密碼裝置中(存儲型、智能型)。⑤多個密鑰分量形式存儲。30.數字簽名含義?
答:所謂數字簽名(Digital Signature),也稱電子簽名,是指附加在某一電子文檔中的一組特定的符號或代碼,它是利用數學方法和密碼算法對該電子文檔進行關鍵信息提取并進行加密而形成的,用于標識簽發者的身份以及簽發者對電子文檔的認可,并能被接收者用來驗證該電子文檔在傳輸過程中是否被篡改或偽造。
31.數字簽名滿足的條件?
答:①簽名是可以被確認的;②簽名是不可偽造的;③簽名是不可重用的;④簽名是不可抵賴的;⑤第三方可確認簽名但不能篡改; 32.PKI的含義?
答:①PKI(Public Key Infrastructure)是一個用公鑰概念與技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供數字簽名服務。②PKI是生成、管理、存儲、分發和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規程的總和。33.證書驗證? 答:①使用CA證書驗證終端實體證書有效性。②檢查證書的有效期,確保該證書是否有效。③檢查該證書的預期用途是否符合CA在該證書中指定的所有策略限制。④在證書撤銷列表(CRL)中查詢確認該證書是否被CA撤銷。34.完全備份 差量備份 增量備份
存儲空間
消耗時間 執行頻率 大
長
長
中等 中等 中等
小 短 短 復雜 恢復過程 簡單
簡單 35.病毒程序與正常程序的區別?
答:①正常程序是具有應用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式獨立存在,一般沒有文件名,它隱藏在正常程序和數據文件中,是一種非完整的程序。②正常程序依照用戶的命令執行,完全在用戶的意愿下完成某種操作,也不會自身復制;而病毒在用戶完全不知的情況下運行,將自身復制到其他正常程序中,而且與合法程序爭奪系統的控制權,甚至進行各種破壞。
36.計算機病毒的狀態?①②③④⑤⑥⑦⑧⑨⑩
答:①靜態:存在于輔助存儲介質上的計算機病毒;②能激活態:內存中的病毒代碼能夠被系統的正常運行機制執行;③激活態:系統正在執行病毒代碼;④失活態:內存中的病毒代碼不能被系統的正常運行機制執行;
37.計算機病毒的組成?
答:①引導模塊:病毒的初始化部分,它隨著系統或宿主程序的執行而進入內存;②感染模塊:病毒進行感染動作的部分,負責實現感染機制。③觸發模塊:根據預定條件滿足與否,控制病毒的感染或破壞動作。(可選)④破壞模塊:負責實施病毒的破壞動作。⑤主控模塊:在總體上控制病毒程序的運行。38.入侵檢測原理?
答:異常檢測;誤用檢測。39.安全協議的含義?
答: 在網絡協議中使用加密技術、認證技術等密碼技術以保證信息交換的安全的網絡協議。具體地說就是建立在密碼體系上的一種互通協議,為需要安全的各方提供一系列的密鑰管理、身份認證及信息完整性等措施以保證通信或電子交易的完全完成。
40.網絡信息安全協議的種類?
答:①密鑰安全協議:指參與協議的雙方或多方之間建立的通信中的會話密鑰。②認證協議: 主要用來在信息交換過程中防止信息的假冒、被篡改或否認。③密鑰交換和認證協議:將密鑰技術與認證技術相結合,同時完成信息的加密與認證的功能。
41.計算機病毒特征?
答:①可執行性:病毒是一段可執行程序,但不是一個完整的程序;②傳染性:病毒的基本特征,必備的特征;③非授權性:強調病毒程序的執行對用戶是未知的;④依附性:病毒的寄生方式(靜態);⑤潛伏性:由可觸發性決定的(動態);⑥可觸發性:病毒在一定條件下激活或發作;⑦不可預見性:指病毒的實現機制;⑧針對性:病毒一般是對特定的操作系統的;⑨破壞性:病毒的表現特征; 42.網路信息安全協議的特點?
答:①使用加密技術來保證信息在傳輸中安全。②使用數字摘要技術來保證信息的完整性。③使用認證技術來保證信息的認證性。④使用第三方認證保證交易雙方的不可否認。⑤可直接在Internet上使用,特別是能夠在Http頁面上使用。43.IPSec的工作模式?①②③④⑤⑥⑦⑧⑨⑩
答:①AH傳輸模式;②AH隧道模式;③ESP傳輸模式;④ESP隧道模式。
44.幾個名字解釋?(自己去搞,懶得敲英文了)
答:消息認證,身份認證,訪問控制,數字簽名,防火墻,入侵檢測,信息安全,信息系統安全,完整性(integrity),PKI,TCSEC,ITSEC,OECD(organization for economic cooperation and development,國際經濟合作與發展組織),CC(common criteria,通用準則),TOE(評估對象),PP(保護輪廓),BS7999(英國標準),信息保障(information assurance),信息安全(information security),對稱密碼體制(symmetric cryptosystem),非對稱密碼體制(asymmetric cryptosystem),高級加密標準(advanced encryption standard),數字簽名標準(digital signature standard),公鑰基礎設施(public key infrastructure,PKI),時間戳權威(time stamp authority,TSA)
PS:以上信息純屬個人總結,只是給你們參考參考,不存在什么考題之類的,也不是什么我總結的東西就是必考的,但是是絕對有參考價值的東西。嘿嘿...若沒考上面的也不要怪我哦...嘿嘿...
第四篇:信息安全技術總結
第1章 信息安全概述
1.廣義的信息安全是指網絡系統的硬件,軟件及其系統中的信息受到保護.2.信息安全威脅從總體上可以分為人為因素的威脅和非人為因素的威脅。人為因素的威脅包括無意識的威脅和有意識的威脅。非人為因素的威脅包括自然災害、系統故障和技術缺陷等。
3.信息安全不僅涉及技術問題,而且還涉及法律、政策和管理問題。信息安全事件與政治、經濟、文化、法律和管理緊密相關。
4.網路不安全的根本原因是系統漏洞、協議的開放新和人為因素。人為因素包括黑客攻擊、計算機犯罪和信息安全管理缺失。
5.保密性、完整性、可用性、可控性和不可否認性是從用戶的角度提出的最基本的信息服務需求,也稱為信息安全的基本特征。
6.ISO基于OSI參考互連模型提出了抽象的網絡安全體系結構,定義了五大類安全服務(認證(鑒別))服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務、八大種安全機制(加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、業務流填充機制、路由控制機制和公證機制)和完整的安全管理標準。
7.信息安全既涉及高深的理論知識,又涉及工程應用實踐。一個完整的信息安全保障體制系框架由管理體系、組織機構體系和技術體系組成。技術體系可劃分為物理安全、網絡安全、信息安全、應用安全和管理安全五個層次,全面揭示了信息安全研究的知識體系和工程實施方案框架。
第2章 信息保密技術
1.密碼學的發展大致經歷了手工加密階段、機械加密階段和計算機加密階段。密碼技術是現代信息安全的基礎和核心技術,它不僅能夠對信息加密,還能完成信息的完整性驗證、數字簽名和身份認證等功能。按加密密鑰和解密密鑰是否相同,密碼體制可分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又可分為序列密碼和分組密碼。2.移位密碼、仿射密碼、維基利亞密碼和置換密碼等是常用的古典密碼案例,雖然在現代科技環境下已經過時,但它們包含的最基本的變換移位和代替在現代分組密碼設計中仍然是最基本的變換。3.對稱密碼體制要求加密、解密雙方擁有相同的密鑰,其特點是加密速度快、軟/硬件容易實現,通常用于傳輸數據的加密。常用的加密算法有DES、IDEA。對稱密碼算法根據加密分組間的關聯方式一般分為4種:電子密碼本(ECB)模式、密文鏈接(CBC)模式、密文反饋(CFB)模式和輸出反饋(OFB)模式。4.非對稱密碼體制的加密密鑰和解密密鑰是不同的。非對稱密碼被用做加密時,使用接收者的公開密鑰,接收方用自己的私有密鑰解密;用做數字簽名時,使用發送方(簽名人)的私有密鑰加密(或稱為簽名),接收方(或驗證方)收到簽名時使用發送方的公開密鑰驗證。常有的算法有RSA密碼算法、Diffie-Hellman密鑰交換算法、ELG amal加密算法等。5.加密可以用通信的三個不同層次來實現,即節點加密、鏈路加密和端到端加密。節點加密是指對源節點到目的節點之間傳輸的數據進行加密,不對報頭加密;鏈路加密在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,在節點處,傳輸數據以文明形式存在,側重于在通信鏈路上而不考慮信源和信宿;端到端加密是對源端用戶到目的端用戶的數據提供保護,傳輸數據在傳輸過程中始終以密文形式存在。
6.序列密碼要求具有良好的偽隨機特性。產生密鑰流的常見方法有線性同余法、RC4、線性反饋移位寄存器(LFSR)、非線性反饋移位寄存器、有限自動機和混沌密碼等。序列密碼主要用于軍事、外交和其他一些重要領域、公開的加密方案并不多。
7.加密算法:指將明文轉換成密文的變換函數,表示為C=Ek(M).8.解密算法:指將密文轉換為明文的變換函數,表示為M=DK(C).第3章 信息隱藏技術
1.信息隱藏是將秘密信息隱藏在另一非機密的載體信息中,通過公共信道進行傳遞。秘密信息引產后,攻擊者無法判斷載體信息中是否隱藏信息,也無法從載體信息中提取或去除所隱藏的秘密信息。信息隱藏研究的內容包括了隱寫術(隱藏算法)、版權標識、隱通道和匿名通信等。
2.隱寫術是指把秘密信息潛入到看起來普通的載體信息(尤其是多媒體信息)種,用于存儲或通過公共網絡進行通信的技術。古代隱寫術包括技術性的隱寫術、語言學中的隱寫術和用于版權保護的隱寫術。
3.信息隱藏的目的在于把機密信息隱藏域可以公開的信息載體之中。信息載體可以使任何一種多媒體數據,如音頻、視頻、圖像,甚至文本數據等,被隱藏的機密信息也可以是任何形式。信息隱藏設計兩個算法:信息潛入算法和信息提取算法。常見的信息隱藏算法有空間域算法和變換域算法。4.數字水印是在數字化的信息載體(指多媒體作品)中嵌入不明顯的記號(包括作品的版權所有者和發行者等),其目的不是為了隱藏火傳遞這些信息,而是在發現盜版貨發生知識產權糾紛時候,用來證明數字作品的真實性。被嵌入的標識與源數據緊密結合并隱藏其中,成為源數據不可分割的一部分,并可以經歷一些不破壞資源數據的使用價值的操作而存活下來。
5.隱通道是指系統中利用那些本來不是用于通信的系統資源,繞過強制春去控制進行非法通信的一種機制。根據隱通道的形成,可分為存儲隱通道和事件隱通道:根據隱通道是否存在噪音,可分為噪音隱通道和無噪音隱通道;根據隱通道所涉及的同步變量或信息的個數,可分為聚集隱通道和非聚集隱通道。隱通道的主要分析方法有信息流分析方法、非干擾分析方法和共享資源矩陣方法。6.匿名通信是指通過一定了的方法將業務流中的通信關系加以隱藏、使竊聽者無法直接獲知或退職雙方的通信關系或通信雙方身份的一種通信技術。匿名通信的重要目的就是隱藏通信雙方的身份或通信關系,從而實現對網絡用戶各個人通信及涉密通信的更好的保護。
7.信息隱藏具有五個特性:安全性,魯棒性,不可檢測性,透明性,自恢復性.第4章 消息認證技術
1.用做消息認證的摘要函數具有單向性、抗碰撞性。單向函數的優良性質,使其成為公共密碼、消息壓縮的數學基礎。
2.消息認證碼指使用收、發雙方共享的密鑰K和長度可變的消息M,輸出長度固定的函數值MAC,也稱為密碼校驗和。MAC就是帶密鑰的消息摘要函數,或稱為一種帶密鑰的數字指紋,它與普通摘要函數(Hash函數)是有本質區別的。3.消息完整性校驗的一般準則是將實際的到的信息的數字指紋與原數字指紋進行比對。如果一致,則說明消息是完整的,否則,消息是不完整的。因產生數字指紋不要求具有可逆性,加密函數、摘要函數均可使用,且方法很多。4.MD5和SHA-1算法都是典型的Hash函數,MD5算法的輸出長度是128 bit,SHA-1算法的輸出長度是160 bit。從抗碰撞性的角度來講,SHA-1算法更安全。為了抵抗生日攻擊,通常建議消息摘要的長度至少應為128 bit。
第5章 密鑰管理技術
1.密碼系統中依據密鑰的重要性可將密鑰大體上分為會話密鑰、密鑰加密密鑰和主密鑰三大類。主密鑰位于密鑰層次的最高層,用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護,一般存在于網絡中心、主節點、主處理器中,通過物理或電子隔離的方式受到嚴格的保護。
2.密鑰在大多數情況下用隨機數生成器產生,但對具體的密碼體制而言,密鑰的選取有嚴格的限制。密鑰一般需要保密存儲。基于密鑰的軟保護指密鑰先加密后存儲。基于硬件的物理保護指密鑰存儲于與計算機隔離的智能卡、USB盤或其他存儲設備中。3.密鑰分為網外分配方式和網內分配方式。前者為人工分配,后者是通過計算機網絡分配。密鑰的分配分為秘密密鑰的分配和公開密鑰的分配。秘密密鑰既可用加密辦法由通信雙方確定,又可使用KDC集中分配。公開密鑰有廣播式公開發布、建立公鑰目錄、帶認證的密鑰分配、使用數字證書分配等4種形式。
4.密鑰共享方案可將主密鑰分解為多個子密鑰份額,由若干個人分別保管,這些保管的人至少要達到一定數量才能恢復這個共享密鑰。基于密鑰共享門限思想的會議密鑰廣播方案能夠較好地解決網絡通信中信息的多方安全傳遞問題。5.密鑰托管允許授權者監聽通信內容和解密密文,但這并不等于用戶隱私完全失控,適當的技術手段在監管者和用戶之間的權衡是值得研究的。
第6章 數字簽名技術 1.判斷電子數據真偽的依據是數字簽名。數字簽名其實就是通過一個單向函數對電子數據計算產生別人無法識別的數字串,這個數字串用來證明電子數據的來源是否真實,內容是否完整。數字簽名可以解決電子數據的篡改、冒充、偽造和否認等問題。
2.本章介紹了三種數字簽名方案,其中RSA數字簽名的安全性是基于大整數因子分解的困難問題,Schnorr數字簽名方案和DSA數字簽名方案的安全性是基于素數域上離散對數求解的困難問題。其共性是簽名過程一定用到簽名人的私鑰,驗證過程一定用到簽名人的公鑰。
3.為適應特殊的應用需求,各種數字簽名方案相繼被提出,本章介紹了盲簽名、代理簽名、簽名加密、多重簽名、群簽名和環簽名等基本概念。
4.數字簽名應用的公鑰基礎設施,稱為PKI。目前,我國各省市幾乎都建立了CA中心,專門為政府部門、企業、社會團體和個人用戶提供加密和數字簽名服務。
5.iSignature電子簽章系統是一套基于Windows平臺的應用軟件,它可以對Word、Excel、Html文件進行數字簽名,即加蓋電子印章,只有合法用戶才能使用。
第7章 物理安全
1.物理安全是針對計算機網絡系統的硬件設施來說的,既包括計算機網絡設備、設施、環境等存在的安全威脅,也包括在物理介質上數據存儲和傳輸存在的安全問題。物理安全是計算機網絡系統安全的基本保障,是信息安全的基礎。2.環境安全是指對系統所在環境(如設備的運行環境需要適當的溫度、濕度,盡量少的煙塵,不間斷電源保障等)的安全保護。環境安全技術是指確保物理設備安全、可靠運行的技術、要求、措施和規范的總和,主要包括機房安全設計和機房環境安全措施。
3.廣義的設備安全包括物理設備的防盜,防止自然災害或設備本身原因導致的毀壞,防止電磁信息輻射導致的信息的泄漏,防止線路截獲導致的信息的毀壞和篡改,抗電磁干擾和電源保護等措施。狹義的設備安全是指用物理手段保障計算機系統或網絡系統安全的各種技術。常見的物理設備安全技術有訪問控制技術、防復制技術、硬件防輻射技術以及通信線路安全技術。
第8章 操作系統安全
1.漏洞是指系統中存在的弱點或缺點,漏洞的產生主要是由于程序員不正確和不安全編程所引起的。按照漏洞的形成原因,漏洞大體上可以分為程序邏輯結構漏洞、程序設計錯誤漏洞、開放式協議造成的漏洞和人為因素造成的漏洞。按照漏洞被人掌握的情況,漏洞又可以分為已知漏洞、未知漏洞和0day漏洞。
2.Windows系統的安全性根植于Windows系統的核心層,它為各層次提供一致的安全模型。Windows系統安全模型由登錄流程(Login Process,LP)、本地安全授權(Local Security Authority,LSA)、安全帳號管理器(Security Account Manger,SAM)和安全引用監視器(Security Reference Monitor,SRM)組合而成。
3.Windows注冊表是一個二進制數據庫,在結構上有HKEY_LOCAL_MACHINE、HKEY_CURRENT_CONFIG、HKEY_CURRENT_USER、HKEY_CLASSES_ROOT、HKEY_USERS 5個子樹。用戶可以通過設定注冊表編輯器的鍵值來保障系統的安全。
4.帳號是Windows網絡中的一個重要組成部分,它控制用戶對資源的訪問。在Windows 2000中有兩種主要的帳號類型: 域用戶帳號和本地用戶帳號。另外,Windows 2000 操作系統中還有內置的用戶帳號。內置的用戶帳號又分為Administrator 帳號和Guest帳號等。Administrator帳號被賦予在域中和計算機中,具有不受限制的權利。Guest帳號一般被用于在域中或計算機中沒有固定帳號的用戶臨時訪問域或計算機,該帳號默認情況下不允許對域或計算機中的設置和資源做永久性的更改。
5.Windows系統的安全策略可以從物理安全.安裝事項.管理策略設置方面來考慮.管理策略上有打開審核策略.開啟賬號策略,開啟密碼策略,停用Guest賬號,限制不必要的用戶數量.為系統Administrator賬戶改名.創建一個陷阱賬戶,關閉不必要的服務,關閉不必要的端口.設置目錄和文件權限,關閉IPC和默認共享,禁止空連接,關閉默認共享等手段及備份數據,使用配置安全工具等.第9章 網絡安全協議
1.由于TCP/IP協議在最初設計時是基于一種可信環境的,沒有考慮安全性問題,因此它自身存在許多固有的安全缺陷。網絡安全協議是為了增強現有TCP/IP網絡的安全性而設計和制定的一系列規范和標準。
2.目前已經有眾多的網絡安全協議,根據TCP/IP分層模型相對應的主要的安全協議有應用層的S-HTTP、PGP,傳輸層的SSL、TLS,網絡層的IPSec以及網絡接口層的PPTP、L2TP等。
3.SSL協議是在傳輸層提供安全保護的協議。SSL協議可提供以下3種基本的安全功能服務: 信息機密、身份認證和信息完整。SSL協議不是一個單獨的協議,而是兩層協議,最主要的兩個SSL子協議是SSL握手協議和SSL記錄協議。SSL記錄協議收到高層數據后,進行數據分段、壓縮、認證、加密,形成SSL記錄后送給傳輸層的TCP進行處理。SSL握手協議的目的是使客戶端和服務器建立并保持用于安全通信的狀態信息,如SSL 協議版本號、選擇壓縮方法和密碼說明等。
4.IPSec協議由兩部分組成,即安全協議部分和密鑰協商部分。安全協議部分定義了對通信的各種保護方式;密鑰協商部分定義了如何為安全協議協商保護參數,以及如何對通信實體的身份進行鑒別。安全協議部分包括AH和ESP兩個安全協議,通過這兩個協議為IP協議提供基于無連接的數據完整性和數據機密性,加強IP協議的安全性。密鑰協商部分主要是因特網密鑰交換協議(IKE),其用于動態建立安全關聯(SA),為IPSec的AH 和ESP協議提供密鑰交換管理和安全關聯管理,同時也為ISAKMP提供密鑰管理和安全管理。
第10章 應用層安全技術
1.應用系統的安全技術是指在應用層面上解決信息交換的機密性和完整性,防止在信息交換過程中數據被非法竊聽和篡改的技術。2.隨著用戶對Web服務的依賴性增長,特別是電子商務、電子政務等一系列網絡應用服務的快速增長,Web的安全性越來越重要。Web安全技術主要包括Web服務器安全技術、Web應用服務安全技術和Web瀏覽器安全技術。
3.電子郵件的安全問題備受人們關注,其安全目標包括郵件分發安全、郵件傳輸安全和郵件用戶安全。
4.身份認證是保護信息系統安全的第一道防線,它限制非法用戶訪問網絡資源。常用的身份認證方法包括口令、密鑰、記憶卡、智能卡、USB Key和生物特征認證。
5.PKI是能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所需要的密鑰和證書管理的密鑰管理平臺,是目前網絡安全建設的基礎與核心。PKI由認證中心(CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統和應用接口等部分組成。
第11章 網絡攻擊技術
1.網絡攻擊的過程分為三個階段: 信息收集、攻擊實施、隱身鞏固。
2.信息收集是指通過各種方式獲取所需要的信息。網絡攻擊的信息收集技術主要有網絡踩點、網絡掃描和網絡監聽。踩點就是攻擊者通過各種途徑對所要攻擊的目標進行多方面的調查和了解,摸清楚對方最薄弱的環節和守衛最松散的時刻,為下一步入侵提供良好的策略。網絡掃描是一種自動檢測遠程或本地主機安全脆弱點的技術。網絡監聽是一種監視網絡狀況、監測網絡中數據的技術。3.攻擊實施是網絡攻擊的第二階段。常見的攻擊實施技術有社會工程學攻擊、口令攻擊、漏洞攻擊、欺騙攻擊、拒絕服務攻擊等。所謂“社會工程學攻擊”,就是利用人們的心理特征,騙取用戶的信任,獲取機密信息、系統設置等不公開資料,為黑客攻擊和病毒感染創造有利條件。4.隱身鞏固是網絡攻擊的第三階段。網絡隱身技術是網絡攻擊者保護自身安全的手段,而鞏固技術則是為了長期占領攻擊戰果所做的工作。
第12章 網絡防御技術
1.網絡防御技術分為兩大類: 被動防御技術和主動防御技術。被動防御技術是基于特定特征的、靜態的、被動式的防御技術,主要有防火墻技術、漏洞掃描技術、入侵檢測技術和病毒掃描技術等。主動防御技術是基于自學習和預測技術的主動式防御技術,主要有入侵防御技術、計算機取證技術、蜜罐技術和網絡自生存技術等。
2.防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統,其主要功能有: 限制他人進入內部網絡,過濾掉不安全服務和非法用戶;防止入侵者接近其他防御設施;限定用戶訪問特殊站點;為監視Internet的安全提供方便。3.入侵檢測技術是指通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象的技術。一個完整的入侵檢測過程包括3個階段: 信息收集、數據分析和入侵響應。
4.計算機取證也稱數字取證、電子取證,是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為,利用計算機軟、硬件技術,按照符合法律規范的方式,對能夠為法庭接受的、足夠可靠和有說服性的、存在于計算機、相關外設和網絡中的電子證據的識別、獲取、傳輸、保存、分析和提交認證的過程。計算機取證技術主要包括計算機證據獲取技術、計算機證據分析技術、計算機證據保存技術和計算機證據提交技術等。
5.蜜罐是一個資源,它的價值在于它會受到攻擊或威脅,這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題,它們僅為我們提供額外的、有價值的信息。從應用層面上分,蜜罐可以分為產品型蜜罐和研究型蜜罐;從技術層面上分,蜜罐可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。
第13章 計算機病毒
1.計算機病毒是一段附著在其他程序上的可以實現自我繁殖的程序代碼。傳染性是病毒的最基本的特征,此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發性、誘惑欺騙性等特性。
2.計算機病毒的感染動作受到觸發機制的控制,病毒觸發機制還控制了病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運行,協調其他模塊的運作。染毒程序運行時,首先運行的是病毒的主控模塊。 3.計算機病毒從其發展來看分為4個階段。早期病毒攻擊的目標較單一,病毒傳染目標以后的特征比較明顯,病毒程序容易被人們分析和解剖。網絡時代,病毒與黑客程序結合,傳播速度非常快,破壞性更大,傳播渠道更多,實時檢測更困難。
4.引導型病毒和文件型病毒是典型的DOS時代的病毒,對它們工作機理的研究同樣具有重要的意義.宏病毒不感染EXE和COM文件,它是利用Microsoft Word的開放性專門制作的具有病毒特點的宏的集合.宏病毒在1997年非常流行,并且該年成為“宏病毒年”,網頁腳本病毒和蠕蟲病毒是隨著網絡的發展而發展起來的,它們往往和木馬程序結合在一起侵入主機.5.反病毒技術因病毒的出現而出現.并且必將伴隨著病毒的長期存在而長期存在下去.反病毒技術一般有特征值掃描技術.啟發式分析技術,完整性驗證技術.虛擬機技術,沙箱技術及計算機免疫技術,動態陷阱技術,軟件模擬技術,數據挖掘技術,預先掃描技術和安全操作系統技術等.第14章 信息安全法律與法規
1.計算機犯罪是指非法侵入受國家保護的重要計算機信息系統及破壞計算機信息系統并造成嚴重后果的應受刑法處罰的危害社會的行為。計算機犯罪是一種新的社會犯罪現象,其犯罪技術具有專業性、犯罪手段具有隱蔽性、犯罪后果具有嚴重的危害性、犯罪空間具有廣泛性、犯罪類型具有新穎性、犯罪懲處具有困難性等明顯特點。
2.信息安全法律法規在信息時代起著重要的作用。它保護國家信息主權和社會公共利益;規范信息主體的信息活動;保護信息主體的信息權利;協調和解決信息社會產生的矛盾;打擊和懲治信息空間的違法行為。
3.從國外來看,信息安全立法的歷程也不久遠。美國1966年頒布的《聯邦計算機系統保護法案》首次將計算機系統納入法律的保護范疇。1987年頒布的《計算機安全法》是美國關于計算機安全的根本大法。我國1994年2月頒布了《計算機信息系統安全保護條例》,該條例是我國歷史上第一個規范計算機信息系統安全管理、懲治侵害計算機安全的違法犯罪的法規,在我國信息安全立法史上具有非常重要的意義。
4.我國在1997年修改《刑法》后,專門在第285條和第286條分別規定了非法入侵計算機信息系統罪和破壞計算機信息系統罪等。
第15章 信息安全解決方案
1.安全體系結構理論與技術主要包括: 安全體系模型的建立及其形式化描述與分析,安全策略和機制的研究,檢驗和評估系統安全性的科學方法和準則的建立,符合這些模型、策略和準則的系統的研制(比如安全操作系統、安全數據庫系統等)。
2.網絡安全研究內容包括網絡安全整體解決方案的設計與分析以及網絡安全產品的研發等。目前,在市場上比較流行的安全產品有防火墻、安全路由器、虛擬專用網(VPN)、安全服務器、PKI、用戶認證產品、安全管理中心、入侵檢測系統(IDS)、安全數據庫、安全操作系統等。
3.網絡安全需求包括物理安全需求、訪問控制需求、加密需求與CA系統構建、入侵檢測系統需求、安全風險評估系統需求、防病毒系統需求、漏洞掃描需求、電磁泄漏防護需求。網絡威脅一般包含邊界網絡設備安全威脅、信息基礎安全平臺威脅、內部網絡的失誤操作行為、源自內部網絡的惡意攻擊與破壞和網絡病毒威脅等。
4.根據網絡系統的實際安全需求,結合網絡安全體系模型,一般采用防火墻、入侵檢測、漏洞掃描、防病毒、VPN、物理隔離等網絡安全防護措施。
第五篇:信息安全學習總結
信息安全學習總結
信息安全學習總結1
安徽省20xx年高職教師計算機網絡信息安全“雙師宿州”培訓在安徽職業技術學院舉行,時間為7月x日——7月x日。本次培訓班教師都是來自行業或專業的資深專家,有著豐富的網絡安全與攻防經驗,幫助許多學校和企業進行了網絡安全與病毒防范等相關工作的培訓與指導,本人知識和技能經過培訓學習獲得了很大進步。
一、完備的實訓條件和培訓計劃讓我受益匪淺。首先,我要對安徽職業技術學院信息工程系的老師們冒著酷暑辛勤付出表示衷心感謝。特別是班主任董武對我們的無微不至的關懷,給我們賓至如歸的感覺,讓我們能夠安心學習,沒有任何后顧之憂。信息工程系的老師們,不但精心組織了資深專家教學,還給我們提供了條件完備的網絡信息安全實訓實驗條件,所提供的國家示范性高職院校建設項目成果教材《網絡安全與病毒防護》和《路由與交換技術》,為我們的學習提供了珍貴資料,讓我們的實訓更有針對性。
二、在這十天的培訓中,按照軟件項目流程安排了豐富的學習內容。既有專業教師的'高屋建瓴的講授,也有來自企業的專家傳經送寶;既有理論的深度廣度,又有實戰的驚心動魄,既有教學的經驗總結,又有全國大賽的精彩分析,很我深有受益。
本次培訓學習內容包含五個方面:
1、孫街亭老師和李京文老師結合國家示范性高職院校建設給我們就“專業建設”進行了言簡意賅的分析說明。
2、來自H3C的企業專家結合實際,給我們就“網絡架構與路由配置”進行了詳細介紹;另外,我們還專門考察了新華學院信息工程學院網絡實驗中心,有效的對所學知識進行了實地驗證,加深理解。
3、戴潔老師和孫武老師重點圍繞《網絡安全與病毒防護》課程的教學與實訓等環節,結合實訓室模擬教學系統,進行了深入淺出的講授,就信息安全體系結構和主機系統加固、網絡攻擊與防御、病毒防御、密碼學與認證技術和數據備份與災難恢復分四個專題進行理論研討和實訓操作。戴潔老師所提供的實驗實訓案例,有效地化解了我們對知識重點和難點的掌握難度。
4、唐笑林老師和李京文老師重點指導和演示了“網絡攻防實戰”,既有針對個人計算機及Web的入侵,又有服務器提取權限的實戰。通過實際的進攻,讓我獲得了豐富的實戰經驗,對所獲得技能技巧有了更深刻的理解。
5、來自神州數碼的王岳老師結合20xx年的全國高職學生信息安全大賽真題,對“入網檢測技術”和大賽中所需要注意的技巧做了深入淺出的說明,并應學員的要求提供了大賽所需的實用工具軟件。
三、本次學習我個人認為還是比較有價值的,開闊了視野,掌握了技能,也增進了對省內兄弟院校的了解。
通過系統的學習,本人收獲很大:
1、了解了更多的教學模式,加強了對網絡信息安全課程教學改革的信心。
2、提高了信息安全意識,更深刻的理解了信息安全威脅,掌握了相應的攻防技術,以及指導學生大賽需要注意的技巧和技能。
3、加深對常用安全檢測工具的使用技巧技能的應用理解,獲得了更多網絡安全防護的工具軟件。
本次培訓學習也為我們提供了一次很好的交流平臺。在學習之余,我與其他院校的老師討論了信息安全專業的教學以及本專業的發展規劃和學生將來的就業情況,大家交流了自己學校的專業發展和教學方法、教學改革,教科研課題申報技巧等,還結識了不少新朋友,通過交流、溝通,交換意見,大家取長補短,相互學習,共同進步。
信息安全學習總結2
通過學習計算機與網絡信息安全,使我更加深刻的理解網絡信息安全的重要性。網絡信息安全是保護個人信息的完整性和保密性的重要條件,只有明白了網絡信息安全的基礎知識,我們才能更加的了解網絡信息安全在如今信息化時代的重要性!
如今信息化的時代,我們每個人都需要跟著時代的步伐,那么我們不缺乏使用電腦信息工具,那么我們需要了解網絡的好處和風險,利弊都有,我們需要把弊端降到最低,把利處合理利用,使我們在網絡時代不會落后;現在我們每個人的信息都會在網絡上面,只是看你如何保護自己的信息呢?你的個人電腦會不會被黑客攻擊?你注冊的會員網站會不會泄露你的信息呢?等等!所有這些,都可視為網絡信息安全的一部分。
經過學習我才更加的認識到網絡安全的重要性,因為我們每個人都基本在使用電腦,個人電腦有沒有被黑客攻擊,病毒侵害呢?每個人的個人電腦都會存儲好多個人信息和重要文本文件,那么我們為了保障這些文本信息的安全不被篡改,我們就需要更加深刻的認識網絡信息安全的重要性,并不斷學習和提高自己的網絡安全技能,可以保護好自己的.網絡信息安全。比如我們的個人電腦大家估計在不經意間已經把自己的好多重要文件給共享了,你其實不想讓大家知道你的秘密文件的,卻不知道怎么都把這些文件給共享給大家了,好多黑客可以很容易侵入到你的個人電腦的,所以我們需要更多的了解網絡安全的基本知識。
另外我們每天的新聞都會有好多網絡犯罪案件,這些都是個人信息的泄露,不是個人網上銀行密碼被盜,就是網絡個人信息泄露犯罪,所以這些呢都是需要我們重視的,如今第三方支付平臺和網上零售等的不斷發展我們更是需要提高對計算機網絡信息安全的認識,特別是對計算機類專業的學習,更是提出了一個新的要求,那就是我們必須擁有豐富的網絡信息安全的知識,我們僅僅知道文本等的加密那是完全不夠的,時代在進步我們更需要進步,所以我們需要在了解計算機網絡安全基礎知識的同時,進一步提高自己的信息安全知識。
網絡信息安全需要簡單的認識到文件的加密解密,病毒的防護,個人網絡設置,加密解密技術,個人電腦的安全防護,生活中的網絡泄密和不經意間的個人信息泄露,等等;有時候我們個人的信息是自己泄露的,只是我們沒有留意,我們的陌生人可以簡單的通過你的個人主頁,你的網絡言論中分析得到你的個人資料,你會不經意間說明你的所在的城市小區等等,這都是不經意間出現的,那么你的不留意有可能就被另外一些人所利用了,所以我們需要注意在網絡信息時代的用詞和個人信息的保護,提高防護意識!
信息安全學習總結3
隨著計算機網絡技術的快速發展,信息技術正以驚人的速度滲透到金融行業的各個領域。但是,信息技術又是一把“雙刃劍”,它為銀行經營管理帶來巨大發展機遇的同時,也帶來了嚴峻的挑戰,網絡信息的安全性變得越來越重要。
特別是如同瘟疫般的計算機病毒以及危害公共安全的惡意代碼的廣泛傳播,涉及到計算機的犯罪案件迅速增長,造成的損失也越來越大。鑒于此,對于初入建行的我們而言,學好銀行信息安全知識顯得尤為重要。
下午,個金部的周經理給我們詳細講解了一些有關銀行的信息安全知識,并介紹了建行的郵件都辦公系統的使用方法,周經理的講授深入淺出,讓我們在較短的時間內對建行員工在信息安全方面應該掌握的知識有了一個比較全面的了解,也為我們今后正式走上工作崗位奠定了基礎。
通過下午的學習,我們了解到了一些常犯的信息安全方面的.錯誤,比如:開著電腦離開,就像離開家卻忘記關燈那樣;輕易相信來自陌生人的郵件,好奇打開郵件附件;使用容易猜測的口令,或者根本不設口令;事不關己,高高掛起,不報告安全事件等等。也知道了在今后的工作中我們在信息安全方面該如何要求自己:
1、建立對信息安全的敏感意識和正確認識
2、清楚可能面臨的威脅和風險
3、遵守各項安全策略和制度
4、在日常工作中養成良好的安全習慣。
信息安全對于金融機構尤其是銀行來說是至關重要的,只要出現一點問題,不僅會對企業造成嚴重的損失,還會對人民的財產造成威脅。因此,作為金融機構必須建立一個完整的信息安全系統。而對于我們建行員工而言,必須學好銀行信息安全知識,能正確識別相關風險并及時報告,防微杜漸,努力提升自己的信息安全水平。
點擊咨詢 