第一篇:信息安全考點、內容
一、信息與信息安全(名詞解析)
(1)信息:指事物運動的狀態和方式,是事物的一種屬性,在引入必要約束條件后可以形成特定的概念體系。通常情況下,可理解為消息、信號、數據、情報和知識。
(2)信息安全:保護信息系統的硬件、軟件及相關數據,使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行。
二、我國法律制度的構成(憲法、法律、行政法、地方性法規、自治單行條例)(辨別)
立法層次看,全國人大及其常委會制定國家法律(中華人民共和國刑法、中華人民共和國計算機信息系統安全保護條例),國務院及其所屬部門分別制定行政法規和部門規章(計算機信息網絡國際互聯網安全保護管理辦法、計算機病毒防治管理辦法),一般地方的有關國家權力機關和政府制定地方性法規和地方政府規章(廣東省計算機系統安全保護管理規定、武漢市電子政務建設管理暫行辦法)。
三、地方立法權的主體(較大的市,福建有廈門、福州)
一般是省、自治區、直轄市的人大及其常委會和較大市的地方人大及其常委會,另外還有民族自治地方的人大。
四、各種法律責任的構成
(1)不滿14周歲,完全不負刑事責任,滿16周歲完全負刑事責任。(2)民事權利分為財產權(物權、債權、知識權)、人身權(人格權、身份權)
(3)民事責任有10種,可同時使用;刑事責任分主刑(死刑)附加刑(罰金、驅逐);行政責任(罰款、警告)
五、法律事實
指是否與當事人的意志有關,可以把法律事實分為事件包括自然事件(無人參與)、社會事件(有人參與)(與當事人意志無關),行為包括合法、違法(與當事人意志有關)
六、犯罪的基本特征(多選)
社會危害性(本質)、刑事違法性、應受刑罰處罰性
七、犯罪的構成要件(多選)
犯罪客體、犯罪客觀方面、犯罪主體、犯罪主觀方面
八、法律關系及其三要素(選)
法律關系:是法律在調整人們行為的過程中形成的權利義務關系。三要素:主體、客體、內容
九、法律關系主體(選)
公民(自然人)、各種機構和組織、國家
十、法律關系客體(選、判斷)
物、行為、智力成果
十一、法律規范
概念:指通過國家的立法機關制定的或者認可的,用以引導、約束人們行為的行為規范的一種。
授權性(有權。、享有。權利、可以。)義務性(有。義務、要。、必須。)職權性
十二、國家安全的構成要素
國家安全一般法律制度、國防安全法律制度、經濟安全法律制度、網絡信息安全法律制度、生態安全法律制度、社會公共安全法律制度
十三、計算機信息系統安全保護重點
國家事務、經濟建設、國防建設、尖端科學技術等重要領域
十四、信息安全法律規范基本原則
(1)誰主管誰負責原則
(2)突出重點原則
(3)預防為主原則
(4)安全審計原則(5)風險管理原則
十五、風險管理:又名危機管理,指如何在一個肯定有風險的環境里把風險減至最低的管理過程。
十六、互聯網上網服務場所的管理權
(1)縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,并負責對依法設立的互聯網上網服務營業場所經營單位經營活動的監督管理;(2)公安機關負責對互聯網上網服務營業場所經營單位的信息網絡安全、治安及消防安全的監督管理;
(3)工商行政管理部門負責對互聯網上網服務營業場所經營單位登記注冊和營業執照的管理,并依法查處無照經營活動;
(4)電信管理等其他有關部門在各自職責范圍內,依照本條例和有關法律、行政法規的規定,對互聯網上網服務營業場所經營單位分別實施有關監督管理。
十七、國際互聯網及互聯網絡
(1)國際互聯網:指中華人民共和國境內的計算機互聯網絡、專業計算機信息網絡、企業計算機信息網絡,以及其他通過專線進行國際聯網的計算機信息同外國的計算機信息網絡相連接。
(2)已建立中國公用計算機互聯網、中國金橋信息網、中國教育和科研計算機網、中國科學技術網四個互聯網絡
十八、病毒、木馬、流氓軟件
病毒從本質上講,它是一段電腦程序。它具有傳播性、破壞性及自我繁殖能力的特點。其中自我繁殖及傳播性是病毒的最大特征。“木馬”,是黑客常用的攻擊方法。它通過在你的電腦系統隱藏一個會在Windows啟動時悄悄運行的程序,采用服務器/客戶機的運行方式,從而達到在你上網時控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、登錄注冊表等等。
“流氓軟件”是介于病毒和正規軟件之間的軟件。計算機病毒指的是:自身具有、或使其它程序具有破壞系統功能、危害用戶數據或其它惡意行為的一類程序。這類程序往往影響計算機使用,并能夠自我復制。正規軟件指的是:為方便用戶使用計算機工作、娛樂而開發,面向社會公開發布的軟件。“流氓軟件”介于兩者之間,同時具備正常功能(下載、媒體播放等)和惡意行為(彈廣告、開后門),給用戶帶來實質危害。
十九、知識產權的概念組成及特征
(1)概念:是基于創造性智力成果和工商業標記,依法產生的權利的總稱。(2)組成:工業產權(專利權、商標權)+版權(作者權、鄰接權)(3)特征:客觀無形性、雙重性、專有性、地域性、時間性
二十、著作權的分類及其保護期限
(1)各類作品的作者依法享有的權利,還包括藝術表演者、錄音錄像制作者廣播電視節目制作者依法享有的權利。
(2)分類:著作人身權(一生)(公開發表權(終身和死后50年)、署名權、修改權、完整權(時間不受限))、財產權(5-17年)(重制權、公開口述權、公開播送權、公開上映權、公開演出權、公開傳輸權、公開展示權、改作權、散布權、出租權)
二十一、作品及其特點(如何辨別)
(1)概念:指文學藝術和科學領域內,具有獨創性并能以某種有形形式復制的智力創作結果
(2)特點:具有獨創性
(3)辨別:文字作品、口述作品、音樂作品、戲劇作品、曲藝作品、舞蹈作品、雜技藝術作品、美術作品、建筑作品、攝影作品、電影作品和類似電影制作方法創作的作品、工程設計圖、產品設計圖、地圖、示意圖等圖形類產品、計算機軟件、數據庫或其他材料的集合體、法律、行政法規定的其他作品。
二十二、時事新聞的理解
時事新聞是指通過報紙、期刊、電臺、電視臺等傳播媒介報道的單純事實消息,不受著作權保護。
二十三、專利權客體的類型及保護期限
(1)發明(20年,申請之日起,不可延)(2)實用新型(10年)(3)外觀設計(10年)二
十四、專利的特點
新穎性、創造性、實用性 二
十五、專利的限制(大題)
(二)不視為侵犯專利權的行為
1.專利權人制造、進口或者經專利權人許可而制造、進口的專利產品或者依照專利方法直接獲得的產品售出后,使用、許諾銷售或者銷售該產品的。
2.在專利申請日前已經制造相同產品、使用相同方法或者已經做好制造、使用的必要準備,并且僅在原有范圍內繼續制造、使用的。
3.臨時通過中國領陸、領水、領空的外國運輸工具,依照其所屬國同中國簽訂的協議或者共同參加的國際條約,或者依照互惠原則,為運輸工具自身需要而在其裝置和設備中使用有關專利的。
4.專為科學研究和實驗而使用有關專利的。二
十六、專利侵權行為(大題)
專利侵權行為是指在專利權有效期限內,行為人未經專利權人許可又無法律依據,以營利為目的實施他人專利的行為。它具有以下特征:
1.侵害的對象是有效的專利。專利侵權必須以存在有效的專利為前提,實施專利授權以前的技術、已經被宣告無效、被專利權人放棄的專利或者專利權期限屆滿的技術,不構成侵權行為。專利法規定了臨時保護制度,發明專利申請公布后至專利權授予前,使用該發明的應支付適當的使用費。對于在發明專利申請公布后至專利權授予前使用發明而未支付適當費用的糾紛,專利權人應當在專利權被授予之后,請求管理專利工作的部門調解,或直接向人民法院起訴。
2.必須有侵害行為,即行為人在客觀上實施了侵害他人專利的行為。
3.以生產經營為目的。非生產經營目的的實施,不構成侵權。
4.違反了法律的規定,即行為人實施專利的行為未經專利權人的許可,又無法律依據。
二十七、商標
指商品的生產者或經營者用來標明自己、區別他人同類商品的標志。二
十八、商標強制注冊的商品(人用藥品和煙草制品)二
十九、商標權的保護期限(10年,核準之日算。可延)三
十、商標侵權行為
(1)商標侵權行為是指未經商標注冊人的許可,在同一種商品或者類似商品上使用與其注冊商標相同或者近似的商標
(2)侵權行為:
(一)未經商標注冊人的許可,在相同商品或者類似商品上使用與其注冊商標相同或者近似的商標,可能造成混淆的;
(二)銷售侵犯注冊商標權的商品的;
(三)偽造、擅自制造與他人注冊商標標識相同或者近似的商標標識,或者銷售偽造、擅自制造的與他人注冊商標標識相同或者近似的標識的;
(四)未經商標注冊人同意,更換其注冊商標并將該更換商標的商品又投入市場的;
(五)在相同或者類似商品上,將與他人注冊商標相同或者近似的標志作為商品名稱或者商品裝潢使用,誤導公眾的;
(六)故意為侵犯他人商標權行為提供倉儲、運輸、郵寄、隱匿、加工、生產工具、生產技術或者經營場地等便利條件的;
(七)將與他人注冊商標相同或者相近似的文字作為企業的字號在相同或者類似商品上使用,或者以其他方式作突出其標識作用的使用,容易使相關公眾產生誤認的;
(八)復制、摹仿、翻譯他人注冊的馳名商標或其主要部分在不相同或者不相類似商品上作為商標使用,誤導公眾,致使該馳名商標注冊人的利益可能受到損害的;
(九)將與他人注冊商標相同或者相近似的文字注冊為域名,并且通過該域名進行相關商品宣傳或者商品交易的電子商務,容易使相關公眾產生誤認的。
(十)給他人的注冊商標專用權造成其他損害的。三
十一、不正當競爭行為
(1)概念:指經營者在市場競爭中,采取非法的或者有悖于公認的商業道德的手段和方式,與其他經營者相競爭的行為。
(2)市場混淆、商業賄賂、虛假宣傳、侵犯商業秘密、低價傾銷、不正當有獎銷售、商業詆毀
三
十二、混淆行為
指經營者在市場經營活動中,以種種不實手法對自己的商品或服務作虛假表示、說明或承諾,或不當利用他人的智力勞動成果推銷自己的商品或服務,使用戶或者消費者產生誤解,擾亂市場秩序、損害同業競爭者的利益或者消費者利益的行為。
(1)假冒他人的注冊商標。(2)與知名商品相混淆。(3)擅自使用他人的企業名稱或姓名,引人誤認為是他人的商品。(4)偽造、冒用各種質量標志和產地的行為。三
十三、商業賄賂行為
商業賄賂是指經營者為爭取交易機會,暗中給予交易對方有關人員或者其他能影響交易的相關人員以財物或其他好處的行為。行為要點:
(1)行為的主體是經營者和受經營者指使的人(包括其職工);其他主體可能構成賄賂行為,但不是商業賄賂。
(2)行為的目的是爭取市場交易機會,而非其他目的(如政治目的、提職、獲取職稱等)。
(3)有私下暗中給予他人財物和其他好處的行為,且達到一定數額。如若只是許諾給予財物,不構成該行為;給予的財物或好處數額過小,如為聯絡感情贈送小禮物,亦不構成該行為。
(4)該行為由行賄與受賄兩方面構成。一方行賄,另一方不接受,不構成商業賄賂;一方索賄,另一方不給付,也不構成商業賄賂。三
十四、不正當有獎銷售
(1)謊稱有獎銷售或對所設獎的種類,中獎概率,最高獎金額,總金額,獎品種類、數量、質量、提供方法等作虛假不實的表示;(2)采取不正當手段故意讓內定人員中獎;(3)故意將設有中獎標志的商品、獎券不投放市場或不與商品、獎券同時投放,或者故意將帶有不同獎金金額或獎品標志的商品、獎券按不同時間投放市場;(4)抽獎式的有獎銷售,最高獎的金額超過5000元(以非現金的物品或者其他經濟利益作為獎勵的,按照同期市場同類商品或者服務的正常價格折算其金額);(5)利用有獎銷售手段推銷質次價高的商品;(6)其他欺騙性有獎銷售行為。三
十五、侵犯商業秘密行為
(1)侵犯商業秘密行為是指以不正當手段獲取、披露、使用他人商業秘密的行為。(2)1)以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密;(2)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密;(3)根據法律和合同,有義務保守商業秘密的人(包括與權利人有業務關系的單位、個人,在權利人單位就職的職工)披露、使用或者允許他人使用其所掌握的商業秘密。第三人明知或應知前款所列違法行為,獲取、使用或者披露他人的商業秘密,視為侵犯商業秘密。在實踐中,第三人的行為可能與侵權人構成共同侵權。
三
十六、國家秘密與商業秘密
(1)國家秘密:指關系國家安全和利益,依照法定程序確定,在某一確定的時間內只限于一定范圍的人員知道;
(2)商業秘密:指不為公眾所知悉,能為權利人帶來經濟利益,具有實用性并經權利人采取保密措施的技術信息和經營信息。
三
十七、詆毀商譽行為
(1)指經營者捏造、散布虛假事實,損害競爭對手的商業信譽、商品聲譽,從而削弱其競爭力的行為。(2)詆毀商譽的行為要點如下:
(1)行為的主體是市場經營活動中的經營者,其他經營者如果受其指使從事詆毀商譽行為的,可構成共同侵權人。新聞單位被利用和被唆使的,僅構成一般的侵害他人名譽權行為,而非不正當競爭行為。
(2)經營者實施了詆毀商譽行為,如通過廣告、新聞發布會等形式捏造、散布虛假事實,使用戶、消費者不明真相產生懷疑心理,不敢或不再與受詆毀的經營者進行交易活動。若發布的消息是真實的,則不構成詆毀行為。
(3)詆毀行為是針對一個或多個特定競爭對手的。如果捏造、散布的虛假事實不能與特定的經營者相聯系,商譽主體的權利便不會受到侵害。應注意的是,對比性廣告通常以同行業所有其他經營者為競爭對手而進行貶低宣傳,此時應認定為商業詆毀行為。
(4)經營者對其他競爭者進行詆毀,其目的是敗壞對方的商譽,其主觀心態出于故意是顯而易見的。
第二篇:信息安全考點總結
關于QQ、網銀、大師、360等討論題,你們有誰整理出答案來了 hmac是用hash函數做mac的技術 就是分解n啊,不分解n比分解n更難
大家都知道溢出現象一不小心就會發生,所以微軟和VC做了預先準備,在臨時變量之間設置了緩沖隔離帶,萬一有溢出,盡可能避免影響到別人,也盡早盡量發現,在debug模式下才有此舉,在release模式下隔離帶就沒有餓了。緩沖區: 網銀安全;
1、Ssl加密,https
2、輸入銀行賬號和密碼時的控件:特殊機制
3、對抗口令監聽的軟件(硬件對抗不了)
4、開通網銀時的那句話來鑒別這不是釣魚網
5、手機交易嗎
6、U盾
7、有沒有可能網站不存口令
8若是不可能,存了口令,認證期間不要在網上傳,傳的時候hash一下,傳hash值,用隨機數挑戰,隨機數和口令hash。
9、網銀ssl加密后給服務器
Qq 登陸方面。
重新設你的密保,復雜一點的,QQ密碼 也復雜一點,QQ盜號從單純的“偷窺”、“鍵盤鉤子”木馬、“屏幕快照”木馬,到聊天記錄監視和“網絡釣魚”
輸入賬號密碼的時候可能網吧里面就雙黑色的眼睛正盯著你的鍵盤可能電腦里面還有你看不到的“眼睛”也監控著你的鍵盤,然后把獲取的賬號信息發送出去,而這類木馬占了QQ盜號木馬的99%以上。
將賬號密碼加密,QQ賬號密碼信息本地存放,無須注冊。不用注冊的方式比較安全,不用擔心信息在傳遞過程中出現問題 在加密通道中輸入QQ賬號密碼后自動刪除所有臨時信息 注意電腦系統的清潔 檢測鍵盤鉤子程序和木馬
以及打開的qq是不是按照目錄下的qq.exe 聊天時可以進行身份認證
確定和你聊天的確實是那個人 所以現在比較高級的就是用二維碼登陸⊙.⊙ 手機確認一下
使用qq交換文件的話,服務器會不會有記錄? QQ加密外掛 Pkcs5 密鑰分發: 1,公鑰
CA 2:對稱密鑰
diffie hellman 文件加密的慘劇: 360加密: 無紙化辦公: 單表統計規律: 文件共享
密碼學和網絡信息安全能幫助我們干什么 通信安全 偷聽和保密
分組網絡的存儲-轉發 假冒和抵賴 無紙化支持 辦公和電子商務活動 簽章、支付安全和抵賴問題 數字簽名 系統安全 漏洞、病毒等問題 系統訪問安全體現
惡意代碼
病毒、木馬、攻擊程序 數據驅動 黑客
攻擊破壞(漏洞,引誘)未授權使用 系統和軟件漏洞 NOS 系統軟件
系統安全手段
硬件、NOS、系統軟件 防火墻 軟件、硬件 身份認證 訪問控制和授權 kerberos 審計/入侵檢測 LOG,IDS 網絡管理員 關于簽名 手寫簽名 數字簽名
紙版文件 數字文件 手寫簽名 數字小文件 同一頁紙 如何綁定 必須的特性:
不可偽造 不可重用 不可改變 不可抵賴
四種技術手段 加密
鑒別/數字簽名 身份
消息來源和真實性 防抵賴 簽名和驗證 完整性 校驗 網絡安全模型 系統安全
病毒、木馬、漏洞、黑客、攻擊等 防火墻、信息過濾和入侵監測等 傳輸安全 加密防信息泄密
鑒別和認證:消息來源、身份核認、防抵賴等 完整性 * 密碼學
加密算法、鑒別和簽名算法、安全協議等 * 安全系統
互操作、部署、運行、監控等 密碼分析學
目標:恢復密鑰或明文 唯密文攻擊 只有一些密文 已知明文攻擊
知道一些過去的(明文及其密文)作參考和啟發 選擇密文攻擊
有一臺解密機(能解密選擇的密文)選擇明文攻擊
繳獲有一臺加密機(還能加密選擇的明文)
Feistel參數特性 分組大小 密鑰大小 循環次數
一般僅幾輪是不夠的,得十幾輪才好,如16輪 子鑰產生算法 越復雜越好 輪函數Round 關鍵 其他考慮
速度(尤其是軟件實現的速度)便于分析(使用簡潔的結構)不是Feistel結構的 AES、IDEA
* 絕大數分組密碼屬于或類似Feistel結構 多輪
每輪有XOR(或能恢復的操作)輪函數 DES 參數
Feistel體制分組密碼
分組大小 64bit,密鑰大小 56bit,輪數 16輪 S-Boxes
對DES的爭議集中在 密鑰空間太小
Key space 從Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的設計準則?
陷門? trapdoors by NSA(?)“Form surprise to suspicion”
從驚喜(甚至能夠抵御很后來才發現的各種攻擊)到懷疑(n年前就如此厲害的NSA現在究竟有多厲害)DES總結
DES算法對個人用戶仍值得信賴 DES算法本身沒有大的缺陷 對DES攻擊方法復雜度為2^47 DES使用的2^56密鑰空間不夠大,蠻力攻擊目前已能夠奏效(DES Challenges III),所以關鍵場合不能使用了 DES已經不再是推薦標準
DES還是AES,或者RC4、RC5、IDEA、BF Free/Open DES模塊仍廣泛存在 保護和延續DES投資 對DES的改造
使用現存的軟件硬件在強度上提高
AES(=Rijndael)算法
基本參數
分組大小128bits,被分為4組×4字節處理 密鑰典型128、192、256bits 非Feistel結構 設計出發點
安全,抵抗已知的攻擊方法
代碼緊湊,速度夠快,適合軟硬件實現 結構簡單/簡明/簡 對稱算法的應用: 7.1 密碼功能的設置
7.2 傳輸保密性
7.3 密鑰分配
7.4 隨機數
↓ ↓ ↓
7.a 案例分析
隨機數的用途
用做會話密鑰 [需保密] 用來產生公鑰 [需保密] 如產生RSA密鑰時素數p和q 鑒別方案中用來避免重放攻擊 nonce [不需保密] 每次使用不同的隨機數
很多挑戰-應答協議里的挑戰值 [不需保密] salt in /etc/passwd etc [不需保密] *
非對稱算法
密鑰:K =(Kd,Ke)
加密:E(P,Ke)= C 解密:D(C,Kd)= P 要求:從Ke
Kd 安全不僅依賴于密鑰的保密,也依賴于隨機數的質量
Kd 稱為私鑰,Ke 稱為公鑰
公鑰加密算法: 加密(如果有人要給該用戶A發送消息P)
他先獲得該用戶的公開鑰Ke
加密
傳輸
解密
D(C,Kd)=P
C = E(P,Ke)
除非擁有Kd,象該用戶A,否則不能解開
RSA算法參數建立: 找素數
選取兩個512bit的隨機素數p,q 計算模n 和Euler 函數φ(n)n =pq φ(n)=(p-1)(q-1)找ed≡1 mod φ(n)選取數e,用擴展Euclid 算法求數d 發布
發布(e,n),這是公鑰ke d 保密,(d, n)是私鑰 kd
RSA加解密:
加密
明文分組m 做為整數須小于n
解密
m = cd mod n RSA的正確性 證明
依據Euler 定理,在mod n 的含義下
cd=(me)d=med
c = me mod n
mod n
=mkφ(n)+1
mod n
=(mφ(n))km1
mod n =m
mod n // 據Euler定理
RSA計算實例:
選p=7,q=17 則n=pq=119 且φ(n)=(p-1)(q-1)=6×16=96 取e=5 則d=77(5×77 =385 =4×96 +1≡1 mod 96)公鑰(5,119),私鑰(77,119)
加密m =19 則c =me mod n= 195 mod 119 = 66 mod 119
解密c =66 m =cd mod n = 6677mod 119 =19 mod 119 程序功能:
用p和q為素數,則n=pq且f(n)=(p-1)(q-1)e為加密指數,則求得解密指數d滿足ed=1 mod f(n)加密明文x,則得密文y=x^e mod n 解密密文y,則得解密明文x2=y^d mod n 注意:e必須和fn互素 用法:pqex
e 和(p-1)(q-1)互素
x 小于pq 模冪乘:
97221 % 2003
(都在模2003意義下)
972
21= 97128+64+16+8+4+1
= 97128 9764 9716 978 974 971
依次計算971、972、974、978、一直平方下去即可,并保持模2003 如果某次方在1 式出現,則累乘
累積開始是1 *
乘法次數O(log2Y)攻擊RSA
9716… 97128 枚舉
枚舉所有可能明文m,用e加密和c比較 枚舉所有可能的私鑰d(已知明文)
數學方法
分解n=pq,就可以計算φ(n),就可從e 求得d
不分解n,而直接求φ(n),再求d
不求φ(n),直接求d
對RSA的理解
形式簡單,易于理解,研究深入支持廣泛 既能用來加密,可以用來加密回話密鑰,又可簽名
它的對稱性使它可以可以用來加/解密,同時也可以用來做簽名/驗證。
安全性的模糊(疑為等價于因子分解的難度)隨機素數產生并不容易
運算量大,速度受局限,尤其在嵌入式設備中 對稱短發和公鑰算法的比較 安全性 速度
典型相差1000倍
密鑰管理
對稱算法需要額外安全信道
公鑰:證書中心CA 混合密碼體制
公鑰算法用于簽名和認證
用公鑰算法傳輸會話密鑰
用會話密鑰/ 對稱算法加密批量(bulk)數據
公鑰算法太慢
公鑰的分配方法:
臨時索要公鑰/自由的擴散/PGP的公鑰環 2.公開的目錄服務(在線方式)3.公鑰授權(在線中心方式)4.通過證書中心CA(離線中心方式
公鑰授權:在線中心 有在線中心幫助的公鑰交換
A 以帶時間戳的信息向中心請求B 的當前公鑰
中心用私鑰PRauth簽署的消息回復A,包括:
原始請求和原始時間戳,B 的公鑰PUb,A 用B 的公鑰加密:將自己的身份IDa 和會話標識號N1包含在加密的消息里 B 也如法取得A 的公鑰
B 用A 的公鑰加密:N1 和N2 A 用B 的公鑰加密N2,以最后確認會話
在線中心容易成為單點故障和性能瓶頸
Certificate Authentication
CA是受信任的權威機構,有一對公鑰私鑰。
每個用戶自己產生一對公鑰和私鑰,并把公鑰提交給CA申請證書。CA以某種可靠的方式核對申請人的身份及其公鑰,并用自己的私鑰“簽發”證書。
證書主要內容:用戶公鑰,持有人和簽發人的信息,用途,有效期間,簽名等。
證書在需要通信時臨時交換,并用CA的公鑰驗證。
有了經CA簽名保證的用戶公鑰,則可進行下一步的身份驗證和交換會話密鑰等。
Diffie-Hellman密鑰
目的:使兩用戶能安全的交換密碼,以便在后續的通信中用改密碼對消息加密
算法的有效性是建立在計算離散對數是很困難這件事的基礎上 步驟
隨機 交換y 算k 選取大素數q 和它的一個生成元g,這些參數公開 A選擇隨機數Xa,B選擇隨機數Xb
A 計算Ya =g^Xa mod q,B 計算Yb =g^Xb mod q
交換Ya,Yb
A 計算K =Yb^Xa mod q,B 計算K' =Ya^Xb mod q
事實上,K =K'
舉例 q=97,g=5
A選Xa=36,B選Xb=58,則
Ya=5^36%97=50,Yb=5^58%97=44 交換50,44 A算K=44^36%97=75,B算K’=50^58%97=75 分析(別人怎么計算K?)
別人看到了Ya和Yb,但需要計算Xa或Xb,即要算離散對數 Ya=g^Xa mod q,或Yb=g^Xb mod q.b ElGamal加密 準備
1素數p,Zp*中本原元g,公開參數 2私鑰a,公鑰b=ga mod p 加密
1對明文1<=m<=p-1,選隨機數k 2密文(c1, c2)c1=gk mod p, c2=mbk mod p 解密
1m=c2(c1a)-1=mbk((gk)a)-1
=m(ga)k(g-ka)
=m mod p C2和c1a 先求模再相處 ElGamal加密基于離散對數難題 缺點 需要隨機數
密文長度加倍
背景循環群: 從Zp* 到EC 點加群
認證和加密不同。
消息認證是驗證消息完整性的一種機制,能發現對消息的篡改或假冒。
使用對稱算法可產生消息鑒別碼MAC 使用公鑰算法可對消息進行簽名
身份認證是鑒別通信對方的身份是否屬實。
Hash函數是一個單向的消息摘要函數,在產生MAC、簽名中有重要用途。認證函數: 對稱加密
2.公鑰加密
3.消息認證碼(MAC)
4.散列函數(Hash)
認證需要給密文添加結構特征 公鑰加密認證方法:
A可以先使用自己的私鑰加密消息(這是數字簽名),再用B的公鑰加密,這樣可以提供認證。亦需要給明文消息添加結構特征 消息認證碼mac
利用密鑰來生成一個固定長度的短數據塊,并將該數據附在消息之后(假定雙方共享密鑰)
發送方利用密鑰從明文產生一個固定長度的短數據塊(MAC),和消息一起傳輸。
接收方考察是否一致,以判斷MAC和/或消息是否被改動過。
MAC:CBC模式最后一個分組 MAC函數
計算明文M在密鑰K的作用下的特征碼 M || MAC(M, K)
驗證時,判斷明文M 和MAC 碼是否一致
HMACK:帶key的HASH函數
利用HASH函數從報文和密鑰產生MAC碼
先計算特征,再把特征加密的思想,或 直接把散列函數和Key結合得MAC
HMAC = HashKey(Message)
一種實現,比如
HMAC = Hash(Key || Message)HMACK的含義和用途 HASH函數定義:
對于任意給定的報文,產生固定長度的摘要信息是消息認證的一種變形,輸入是大小可變的消息M,輸出固定大小的散列碼H(M),與MAC不同,HACH并不使用密鑰,它僅是輸入消息的函數,是所有消息位的函數。
Hash函數強調單向性和抗沖突特性
單向性質:給定h,要找x 使H(x)=h 是困難的
弱抗碰撞特性:
對于給定的y,找x,使H(x)=H(y)是困難的
強抗碰撞特性(生日攻擊):
* 如果碰撞則意味著數字簽名容易被偽造/欺騙 Hash函數的用途總結下先
Hash函數的用途總結下先 給明文增加結構特征以保護密文 產生MAC碼(HMAC)找x 和y,使H(x)=H(y)是困難的 數字簽名前HASH代表參與 從口令衍生密鑰 挑戰-應答認證協議中 也用來產生隨機數 PKCS5用口令到K
數字簽名:
是一種認證機制,使得消息的產生者可以添加一個起簽名作用的碼字。通過計算消息的散列值并用產生者的私鑰加密散列值來生成簽名。簽名保證了消息的來源個完整性。
兩種模式: 1私鑰簽名:
輸入
報文明文、私鑰
m^d = s 輸出
報文明文、報文密文(簽名)
(m, s)
驗證
不可偽造 不可改變
2散列簽名 討論
s^e =? M 私鑰(其實是公鑰)的管理: 和身份綁定、更新等 簽名過程太慢: 啟用散列函數
改進
對報文的散列值用私鑰加密得到和n 等寬的簽名值
使用證書的鑒別過程:例如ssl A要和B通信,A要弄清楚B是否是他所期望的真的B
A->B:A向B請求證書 A<-B:B的證書
A
:A檢查B的證書是否是A所信任的中心簽發的 A->B:A給B一個隨機報文,讓B簽個名來看看 B
:B簽名,在簽名之前可施加自己的影響成分 A<-B:B的簽名
A
:檢驗是否通過了B的證書里的公鑰的驗證
第三篇:信息安全復習總結內容
復習總結
第一章 信息安全概述
1.信息安全、網絡安全的概念對信息的安全屬性的理解;常見的安全威脅有哪些?信息安全保障(IA)發展歷史信息保障(IA)的定義
第二章 我國信息安全法律法規和管理體制(了解)
第三章 密碼學基礎
1.按照密鑰的特點對密碼算法的分類
對稱密碼算法的優缺點;非對稱密碼算法的優缺點;
2.基于公鑰密碼的加密過程;基于公鑰密碼的鑒別過程
3.密鑰管理中的主要階段
4.哈希函數和消息認證碼;消息認證方案
5.數字簽名、數字信封的原理
第四章 密碼學應用(PKI和VPN)
(一)PKI
1.PKI、CA定義
2.SSL協議的工作流程
3.SSL在網絡購物、電子商務、電子政務、網上銀行、網上證券等方面的應用
(二)VPN
1.VPN概述
--為什么使用VPN
--什么是VPN
--VPN關鍵技術(隧道技術、密碼技術、QoS技術)
--VPN分類(Access VPN和網關-網關的VPN連接)
2.IPSec 的組成和工作原理
IPSec安全協議(ESP機制、傳輸模式與隧道模式的特點及優缺點;AH、傳輸模式與隧道模式的特點)
3.VPN的安全性
第五章 訪問控制與審計監控
1.訪問控制模型
(1)自主訪問控制模型(DAC Model)
-----訪問控制的實現機制:訪問控制表、訪問控制矩陣、訪問控制能力列表、訪問控制安全標簽列表
(2)強制訪問控制模型(MAC Model)
-----Bell-LaPadula模型、Biba模型
(3)基于角色的訪問控制模型
2.安全審計的內容和意義
3.防火墻的功能、防火墻的局限性
4.防火墻的分類(個人防火墻、軟件防火墻、一般硬件防火墻和純硬件防火墻的特點、典
型應用)防火墻的體系結構
分組過濾路由器、雙宿主機、屏蔽主機和屏蔽子網的特點、優缺點防火墻的實現技術
數據包過濾、代理服務和狀態檢測技術的工作原理/過程、優缺點;
第六章 入侵檢測技術
1.IDS基本結構(事件產生器、事件分析器、事件數據庫和響應單元)
2.入侵檢測技術
(1)異常檢測技術的原理和優缺點
(2)誤用/濫用檢測技術的原理和優缺點)
第七章 病毒防護技術概述(計算機病毒定義、特征、傳播途徑和分類)
惡意代碼:特洛伊木馬的攻擊步驟、特征和行為、傳播途徑;計算機蠕蟲的主要特點、組成 2 病毒原理
計算機病毒的邏輯結構
傳統病毒、引導型和文件型病毒的工作流程
宏病毒及其特點、機制、工作流程
網絡病毒的特點、種類、傳播方式病毒技術(寄生技術、駐留技術、加密變形技術、隱藏技術)反病毒技術
計算機病毒檢測技術、計算機病毒的清除、計算機病毒的免疫、計算機病毒的預防
第八章 網絡攻擊與防范
1.典型的網絡攻擊的一般流程
2.常見的網絡攻擊的手段和攻擊原理舉例
第九章Windows 操作系統安全和Web安全(做實驗)
第十章 補充內容
1.業務連續性計劃(了解)
數據備份技術(做實驗)
災難恢復技術
安全應急響應安全管理(了解)
風險評估
人員和機構管理
信息安全管理標準信息系統安全方案設計方法(理解)(寫報告:XXXXX信息系統安全方案設計)
1)信息系統基本結構及資源分析,包括:網絡結構、資源分析(硬件、軟件和數據資源; 服務與應用)
2)安全風險分析(資源分析、脆弱性分析、威脅分析)
3)安全需求分析
方法:(1)按對信息的保護方式進行安全需求分析
(2)按與風險的對抗方式進行安全需求分析
4)系統安全體系
(1)建立安全組織體系: 安全組織建立原則、安全組織結構、安全組織職責
(2)建立安全管理體系: 法律管理、制度管理、培訓管理
5)安全解決方案
(1)物理安全和運行安全
(2)網絡規劃與子網劃分(網絡拓撲)
(3)網絡隔離與訪問控制
(4)操作系統安全增強
(5)應用系統安全
(6)重點主機防護
(7)連接與傳輸安全
(8)安全綜合管理與控制
////////////////////////////////////////////////////////////////////////////
報告格式:
XXXXX信息系統安全方案設計
一、XXXXX安全背景與現狀
1.某單位組織機構和信息系統簡介
包括哪些部門,具有什么職能,需要保護的相關數據有哪些等等,對信息系統的使用情況說明。
2.用戶安全需求分析
日常情況下,該單位各部門在使用信息系統時,會有哪些安全隱患?
3.描述所面臨的主要風險(如:頁面被篡改、在線業務被攻擊、機密數據外泄等)
二、安全需求分析
(1)按對信息的保護方式進行安全需求分析
(2)按與風險的對抗方式進行安全需求分析
三、安全解決方案
(1)物理安全和運行安全
(2)選擇和購買安全硬件和軟件產品(防火墻、入侵檢測系統、防病毒軟件、掃描軟件)
(3)網絡規劃與子網劃分(畫:網絡拓撲圖)
(4)網絡隔離與訪問控制(防火墻的正確配置)
(5)操作系統安全增強(操作系統補丁升級)
(6)應用系統安全(漏洞掃描)
(7)重點主機防護
(8)連接與傳輸安全
(9)安全綜合管理與控制
四、安全運維措施(業務連續性計劃)
(1)數據備份(選擇哪種數據備份技術、安排備份計劃、信息備份和設備備份)
(2)日志審計和備份
(3)制定災難恢復
(3)制定安全應急響應
可供選擇的題目:
應用案例一:某市某機關單位
應用案例二:某校園網
應用案例三:國家某部委全國信息網絡系統
應用案例四:電子政務安全應用平臺
…………………………………………………………………等等
第四篇:信息安全技術基礎--期末考點總結
4.信息安全就是只遭受病毒攻擊,這種說法正確嗎?
不正確,信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。
信息安全本身包括的范圍很大,病毒攻擊只是威脅信息安全的一部分原因,即使沒有病毒攻擊,信息還存在偶然泄露等潛在威脅,所以上述說法不正確。5.網絡安全問題主要是由黑客攻擊造成的,這種說法正確嗎?
不正確。談到信息安全或者是網絡安全,很多人自然而然地聯想到黑客,實際上,黑客只是實施網絡攻擊或導致信息安全事件的一類主體,很多信息安全事件并非由黑客(包括內部人員或還稱不上黑客的人)所為,同時也包括自然環境等因素帶來的安全事件。補充:信息安全事件分類
有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件 設備設施故障、災害性事件、其它事件
3.信息系統的可靠性和可用性是一個概念嗎?它們有什么區別?
不是。
信息安全的可靠性:保證信息系統為合法用戶提供穩定、正確的信息服務。
信息安全的可用性:保證信息與信息系統可被授權者在需要的時候能夠訪問和使用。區別:可靠性強調提供服務的正確、穩定,可用性強調提供服務訪問權、使用權。5.一個信息系統的可靠性可以從哪些方面度量?
可以從抗毀性、生存性和有效性三個方面度量,提供的服務是否穩定以及穩定的程度,提供的服務是否正確。
7.為什么說信息安全防御應該是動態和可適應的?
信息安全防御包括(1)對系統風險進行人工和自動分析,給出全面細致的風險評估。(2)通過制訂、評估、執行等步驟建立安全策略體系(3)在系統實施保護之后根據安全策略對信息系統實施監控和檢測(4)對已知一個攻擊(入侵)事件發生之后進行響應等操作
保障信息安全必須能夠適應安全需求、安全威脅以及安全環境的變化,沒有一種技術可以完全消除信息系統及網絡的安全隱患,系統的安全實際上是理想中的安全策略和實際執行之間的一個平衡。實現有效的信息安全保障,應該構建動態適應的、合理可行的主動防御,而且投資和技術上是可行的,而不應該是出現了問題再處理的被動應對。4.什么是PKI?“PKI是一個軟件系統”這種說法是否正確?
PKI是指使用公鑰密碼技術實施和提供安全服務的、具有普適性的安全基礎設施,是信息安全領域核心技術之一。PKI通過權威第三方機構——授權中心CA(Certification Authority)以簽發數字證書的形式發布有效實體的公鑰。
正確。PKI是一個系統,包括技術、軟硬件、人、政策法律、服務的邏輯組件,從實現和應用上看,PKI是支持基于數字證書應用的各個子系統的集合。5.為什么PKI可以有效解決公鑰密碼的技術應用?
PKI具有可信任的認證機構(授權中心),在公鑰密碼技術的基礎上實現證書的產生、管理、存檔、發放、撤銷等功能,并包括實現這些功能的硬件、軟件、人力資源、相關政策和操作規范,以及為PKI體系中的各個成員提供全部的安全服務。簡單地說,PKI是通過權威機構簽發數字證書、管理數字證書,通信實體使用數字證書的方法、過程和系統。
實現了PKI基礎服務實現與應用分離,有效解決公鑰使用者獲得所需的有效的、正確的公鑰問題。1.什么是安全協議?安全協議與傳統的網絡協議有何關系與區別?
答:安全協議是為了實現特定的安全目標,以密碼學為基礎的消息交換協議,其目的是在網絡環境中提供各種安全服務。
網絡協議為計算機網絡中進行數據交換而建立的規則、標準或約定的集合,它是面向計算機網絡的,是計算機通信時采用的語言。網絡協議使網絡上各種設備能夠相互交換信息。常見的協議有:TCP/IP協議等。網絡協議是由三個要素組成:語義、語法、時序。人們形象地把這三個要素描述為:語義表示要做什么,語法表示要怎么做,時序表示做的順序。
區別與聯系:兩者都是針對協議實體之間通信問題的協議,網絡協議是使具備通信功能,安全協議旨在通信的同時,強調安全通信。
1.為什么說WLAN比有線網絡更容易遭受網絡攻擊?
(1)有線網絡中存在的網絡安全威脅在WLAN中都存在。(2)WLAN固有的特點----開放的無線通信鏈路,使得網絡安全問題更為突出,從而WLAN面臨更多的安全隱患。例如:在兩個無線設備間傳輸未加密的敏感數據,容易被截獲并導致泄密。惡意實體更容易干擾合法用戶的通信,更容易直接針對無線連接或設備實施拒絕服務攻擊DoS,并坑你跟蹤他們的行為。
11.如果讓你來設計WLAN安全機制,請論述你將考慮的方面以及設計思路。
WLAN需要解決的問題(138):
01.訪問控制。只有合法的實體才能夠訪問WLAN及其相關資源。02.鏈路保密通信。無線鏈路通信應該確保數據的保密性、完整性及數據源的可認證性。
基于上述需求,WLAN安全機制應該包括實體認證、鏈路加密和完整性保護、數據源認證等,此外應該考慮防止或降低無線設備遭受DoS攻擊。
大致設計思路:采用基于密碼技術的安全機制,借鑒全新的WLAN安全基礎架構—健壯安全網絡關聯RSNA設計建立過程:
(1)基于IEEE 802.1X或預共享密鑰PSK實現認證與密鑰管理,建立RSNA。(2)在RSNA建立過程中,使用協議棧中一些相關標準協議,確保協議的安全性。(3)密鑰管理協議部分:采用4次握手密鑰協商協議—用于在STA與AP之間協商產生和更新共享臨時密鑰,以及密鑰使用方法。(4)STA與AP之間相互認證之后,使用數據保密協議保護802.11數據幀。
6.若一個單位部署防火墻時,需要對外提供Web和E-mail服務,如何部署相關服務器? 答:部署過程如下圖:
Web服務器FTP服務器Email服務器Internet屏蔽子網外部防火墻內部防火墻服務器內部網絡
部署:在內部網與Internet之間設置一個獨立的屏蔽子網,在內部網與屏蔽子網和屏蔽子網與Internet之間各設置一個屏蔽路由器(防火墻)。
這種防火墻部署也稱為DMZ部署方式:提供至少3個網絡接口:一個用于連接外部網絡—通常是Internet,一個用于連接內部網絡,一個用于連接提供對外服務的屏蔽子網。DMZ是一個安全系統與非安全系統之間的一個緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間,放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。9.什么是入侵檢測系統?如何分類?
答:入侵檢測系統:通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。分類:主機型IDS、網絡型IDS 主機型IDS:安裝在服務器或PC機上的軟件,監測到達主機的網絡信息流 網絡型IDS:一般配置在網絡入口處或網絡核心交換處,通過旁路技術監測網絡上的信息流。10.網絡入侵檢測系統是如何工作的?
1)截獲本地主機系統的網絡數據,查找出針對本地系統的非法行為。2)掃描、監聽本地磁盤文件操作,檢查文件的操作狀態和內容,對文件進行保護、恢復等。3)通過輪詢等方式監聽系統的進程及其參數,檢查出非法進程。4)查詢系統各種日志文件,報告非法的入侵者。
Internet防火墻Web/E-mail/FTP核心交換機網絡IDS位置主機IDS位置辦公大樓
15.入侵檢測技術和蜜罐技術都是用于檢測網絡入侵行為的,它們有什么不同?
入侵檢測系統是根據人定義的規則、模式阻止非授權訪問或入侵網絡資源的行為。其收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象,其前提即已知非法訪問規則和入侵方式,否則容易產生誤判。
蜜罐(Honeypot)技術則是可以在不確定攻擊者手段和方法前提下發現攻擊。發現自身系統已知或未知的漏洞和弱點。它可以看成是一種誘導技術,目的是發現惡意攻擊和入侵。蜜罐技術可以運行任何的操作系統和任意數量的服務,蜜罐上配置的服務決定了攻擊者可用的損害和探測系統的媒介。
16.如果你是一個單位的網絡安全管理員,如何規劃部署網絡安全產品?
答:安裝安全的無線路由器(防火墻)、選擇安全的路由器名字、定制密碼、隱藏路由器名字、限制網絡訪問、選擇一種安全的加密模式、考慮使用入侵檢測系統或蜜罐等高級技術。
2.信息隱藏與傳統數據加密有什么區別?信息隱藏過程中加入加密算法的優點是什么?
信息隱藏就是利用特定載體中具有隨機特性的冗余部分,將有特別意義的或重要的信息嵌入其中掩飾其存在,嵌入的秘密信息稱為隱藏信息,現代信息隱藏通常要把傳輸的秘密信息寫到數字媒介中,如圖像、聲音、視頻信號等,其目的在于將信息隱藏的足夠好,以使非法用戶在截獲到媒介物時不會懷疑媒介中含有隱藏信息。
傳統數據加密指通過加密算法和加密密鑰將明文轉變為密文,其目的是使明文信息不可見,它的核心是密碼學。
優點:由于隱藏算法必須能夠承受一定程度的人為攻擊,保證隱藏信息不會破壞,所以信息隱藏中使用加密算法,增強了隱藏信息的抗攻擊能力,更加有利于對信息的安全性保護,5.什么是數字水印?數字水印技術與信息隱藏技術有什么聯系和區別?
數字水印是指嵌入在數字產品中的、不可見、不易移除的數字信號,可以是圖像、符號、數字等一切可以作為標識和標記的信息,其目的是進行版權保護、所有權證明、指紋(追蹤發布多份拷貝)和完整性保護等。
聯系和區別:
信息隱藏與數字水印都是采用信息嵌入的方法,可以理解為信息隱藏的概念更大,但通常講到的信息隱藏是隱秘和保護一些信息傳遞,而數字水印是提供版權證明和知識保護,二者目的不同。
8.如何對數字水印進行攻擊?
從數字水印的2個主要性質:魯棒性、不可見性入手。
基于攻擊測試評價,分析數字水印的魯棒性,結合使用峰值信噪比PSNR分析數字水印不可見性,使用低通濾波、添加噪聲、去噪處理、量化、幾何變換(縮放、旋轉、平移、錯切等)、一般圖像處理(灰度直方圖調整、對比度調整、平滑處理、銳化處理等)、剪切、JPEG壓縮、小波壓縮等方式綜合完成數字水印進行攻擊。9.RSA及公鑰密碼體制的安全基礎:
RSA密碼系統的安全性依賴兩個數學問題:大數分解問題、RSA問題。由于目前尚無有效的算法解決這兩個問題的假設,已知公鑰解密RSA密文是不容易的。10.保密通信系統模型圖
竊聽者明文m加密(Encrypttion)密 文c=E k1(m)搭線信道公眾信道解密(Decryption)明文m=Dk2(c)發送方加密密鑰k1秘密信道解密密鑰k2接收方
11.簡述公鑰密碼體制在信息安全保護中的意義:
公鑰加密系統中任何主體只擁有一對密鑰—--私鑰和公鑰,公開其公鑰,任何其他人在需要的時候使用接收方的公鑰加密信息,接收方使用只有自己知道的私鑰解密信息。這樣,在N個人通信系統中,只需要N個密鑰對即可,每個人一對。公鑰加密的特點是公鑰是公開的,這很好地解決了對稱密碼中密鑰分發與管理問題。12.AES 由多輪操作組成,輪數由分組和密鑰長度決定。AES在4×n字節的數組上操作,稱為狀態,其中n是密鑰字節數除4。AES的數據結構:以字節為單位的方陣描述:輸入分組in、中間數組State、輸出分組out、密鑰分組K。排列順序:方陣中從上到下,從左到右
AES算法輪操作過程:
輪變換包括以下子步驟:
(1)字節替換:執行一個非線性替換操作,通過查表替換每個字節。(2)行移位:狀態(矩陣)每一行以字節為單位循環移動若干個字節。(3)列混合:基于狀態列的混合操作。
(4)輪密鑰加:狀態的每一個字節混合輪密鑰。輪密鑰也是由蜜月調度算法產生。需要注意的是,最后一輪(第10輪)操作與上述輪操作略有不同,不包括列混合操作,即只包括字節替換、行移位和密鑰疊加操作。加密128比特明文輪密鑰加主密鑰Kw[0,3]密鑰擴展128比特明文輪密鑰加逆字節替換逆行移位逆列混合第9輪第10輪第1輪字節替換行移位列混合輪密鑰加w[4,7]輪密鑰加逆字節替換第9輪字節替換行移位列混合輪密鑰加w[36,39]逆行移位逆列混合輪密鑰加逆字節替換逆行移位w[40,43]輪密鑰加128比特密文第1輪第10輪字節替換行移位輪密鑰加128比特密文解密 13.簡述PKI的功能:
PKI功能包括數字證書管理和基于數字證書的服務。
01.數字證書是PKI應用的核心,它是公鑰載體,是主題身份和公鑰綁定的憑證。因此,證書管理是PKI的核心工作,即CA負責完成證書的產生、發布、撤銷、更新以及密鑰管理工作,包括完成這些任務的策略、方法、手段、技術和過程。
02.PKI服務:PKI的主要任務是確立證書持有者可信賴的數字身份,通過將這些身份與密碼機制相結合,提供認證、授權或數字簽名等服務。當完善實施后,能夠為敏感通信和交易提供一套信息安全保障,包括保密性、完整性、認證性和不可否認性等基本安全服務。
03.交叉認證。為了在PKI間建立信任關系,引入了“交叉認證”的概念,實現一個PKI域內用戶可以驗證另一個PKI域內的用戶證書。
14.信息安全威脅主要來自人為攻擊,其大致可分為主動攻擊和被動攻擊兩大類型。15.現代密碼系統按其原理可分為兩大類: 對稱加密系統和 非對稱加密系統。16.安全的定義 只有相對的安全,沒有絕對的安全。安全的意義在于保護信息安全所需的代價與信息本身價值的對比,因此信息安全保護是一種效能的折衷。可將信息系統的安全性定義為以下三種:
01.理論安全性:即使具有無限計算資源,也無法破譯。
02.可證明安全性:從理論上可以證明破譯一個密碼系統的代價/困難性不低于求解某個已知的數學難題。03.計算安全性:使用已知的最好算法和利用現有的最大的計算資源仍然不可能在合理的時間完成破譯一個密碼系統。
3種又可區分為理論安全性和實際安全性兩個層次,其中實際安全性又包括兩個層次:可證明安全性和 計算安全性。16.1如何攻擊密碼系統?
惟密文攻擊:破譯者已知的東西只有兩樣:加密算法、待破譯的密文。
已知明文攻擊:破譯者已知的東西包括加密算法和經密鑰加密形成的一個或多個明-密文對,即知道一定數量的密文和對應的明文。
選擇明文攻擊:破譯者除了知道加密算法外,他還可以選定明文消息,并可以知道該明文對應的加密密文。
選擇密文攻擊:破譯者除了知道加密算法外,還包括他自己選定的密文和對應的、已解密的明文,即知道選擇的密文和對應的明文。
選擇文本攻擊:是選擇明文攻擊與選擇密文攻擊的結合。破譯者已知的東西包括:加密算法、破譯者選擇的明文消息和它對應的密文,以及破譯者選擇的猜測性密文和它對應的解密明文。
17.消息認證(如何主體的身份或消息的真實性?)
被認證的主體包括兩類:
01.消息的發送實體,人或設備(實現技術,例如:數字簽名)02.對消息自身的認證,順序性、時間性、完整性(時間戳服務、消息標識等方法)由中國制定的無線網絡安全國際標準是GB 15629.11;
公鑰基礎設施PKI通過 控制中心CA以簽發 數字證書 的形式發布有效的實體公鑰。18.網路安全協議:
應用層傳輸層網絡層數據鏈路層物理層HTTPS, SSH, PGP, Kerberos,SETSSL, TLS, SOCK5IPSecPPP-PAP/CHAP,WEP物理層安全
18.1數字簽名工作過程:
簽名者私鑰簽名s摘要h(m)Hash消息m簽名者消息m簽名者公鑰有效驗證摘要h(m)Hash無效簽名簽名驗證者 19.密碼體制分類(根據密鑰情況分類)
對稱密鑰密碼體制:加密與解密使用相同密鑰(單鑰)優點(為什么使用對稱密碼加密消息呢?):加解密速度快、效率高、加密算法簡單、易于實現,計算開銷小。
缺點:密鑰分發困難,即在通信雙方共享的密鑰一般需要帶外傳遞,總之,通信雙方最初的共享密鑰必須通過安全的方式傳遞交換。對稱加密密鑰使用接受者 公鑰,數字簽名使用 發送者 的私鑰。
公鑰密碼體制:加密與解密使用不同密鑰(雙鑰)公、私鑰成對出現,公鑰加密、私鑰解密。
20.對稱密碼體制分類
分組密碼先將明文劃分成若干等長的塊——分組(如64b),然后再分別對每個分組進行加密,得到等長的密文分組;解密過程也類似。有些密碼體制解密算法與加密算法完全一樣,如DES。
序列密碼是把明文以位或字節為單位進行加密,一般是與密鑰進行混合(如異或)獲得密文序列。也稱流密碼。
分組密碼設計的兩個思想 擴散:即將明文及密鑰的影響盡可能迅速地散布到較多的輸出密文中,典型操作就是“置換”。
混淆:目的在于使作用于明文的密鑰和密文之間的關系復雜化,使得明文和密文、密文和密鑰之間的統計相關性極小化,從而使統計分析攻擊不能奏效。混淆通常采用“代換”操作。
公鑰密碼的算法就是一種陷門單向函數f 21.數字簽名與消息加密組合方案
公鑰(接收者)私鑰(接收者)密鑰加密解密密鑰明文明文明文加密密文密文|簽名摘要簽名密文解密Hash摘要有效解密簽名私鑰(發送者)公鑰(發送者)接收者驗證無效Hash簽名發送者 22.DES DES是一種分組密碼算法,加密和解密使用相同的密鑰。DES的分組長度為64比特位。使用64比特密鑰(其中包括8比特奇偶校驗位),密鑰通過擴展后,經過16輪對明文分組的代換和置換。
DES工作過程:(1)初始置換及其逆置換(2)f函數(乘機變換)[擴展、密鑰混合、替換、置換P ] DES的安全性分析:S盒是DES的核心,也是DES算法最敏感的部分,所有替換都是固定的,甚顯神秘。許多密碼學家曾擔心NSA設計S盒時隱藏了某些陷門。DES算法具有很好的雪崩效應。64比特明文初始置換IP56比特密鑰(去除奇偶校驗位)置換PC128bits28bits<<<置換PC248bits32bits左循環移位K132bitsL0第1輪R0 <<
(1)最小化原則:受保護的敏感信息只能在一定范圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要,僅被授予其訪問信息的適當權限。
(2)分權制衡原則:每個授權主體只能擁有其中一部分權限,使它們之間相互制約、相互監督,共同保證信息系統的安全。
(3)安全隔離原則:將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
第五篇:計算機網絡信息安全檢查內容[最終版]
2015上半年計算機網絡信息安全
檢 查 內 容
一、主要檢查內容:
1.信息設備“十個禁止”和信息系統“五個不得”保密安全管理情況。
2.涉密計算機和涉密移動存儲專用管理系統配備和管理使用情況。
3.計算機終端設備是否存在“一機兩網”現象或擅自擴大互聯網接入范圍的情況。
4.計算機信息網絡設備及信息系統安全防護情況。5.信息設備機房(含網絡配線間)管理使用情況等。
二、內網終端計算機檢查內容
1.有無鐵路總公司嚴禁的“一機兩用”現象。
2.辦公計算機是否保存非法、不健康資料,是否存在游戲、聊天等非辦公軟件資料。
3.有無盜用他人帳號、擅自更改計算機IP地址行為,或干擾網絡和系統正常運行的行為。
4.是否存在雙網卡、無線網卡等“一機兩網”隱患。5.是否安裝鐵路總公司規定的防病毒軟件,系統補丁和病毒庫升級是否及時。
6.內網計算機是否按規定設置8位以上安全開機密碼,瀏覽器歷史記錄是否保留60天以上。
7.登錄辦公網用戶密碼是否為8位以上強口令。
三、外網終端計算機檢查內容
1.接入互聯網計算機是否存有企業內部重要信息。2.互聯網接入是否規范,有無擅自擴大接入范圍。3.是否安裝防病毒軟件并及時升級。
4.有無安裝、使用網絡聊天、炒股、游戲等軟件。5.有無通過互聯網電子郵箱違發送內部重要資料。6.有無外網與專用重要計算機之間的移動存儲介質交叉使用情況。
點擊咨詢 