[计算机]信息安全复习.doc

《[计算机]信息安全复习.doc》由会员分享，可在线阅读，更多相关《[计算机]信息安全复习.doc（7页珍藏版）》请在三一办公上搜索。

1、信息安全复习提纲选择题42x1.5=63 3大题：27分选择题：第一部分：TCP/IP1. TCP：提供面向连接的可靠传输的服务；2. IP：提供面向无连接不可靠数据包传输的服务；3. 建立TCP连接的三次握手：第一次SYN SEQ=X ；第二次SYN，ACK SEQ=Y ACK=X+1；第三次 ACK SEQ=X+1 ACK=Y+1。1源主机发送一个同步标志位（SYN）置1的TCP数据段。2目标主机发回确认数据段，此段中的同步标志位（SYN）同样被置1，且确认标志位（ACK）也置1，同时在确认序号字段表明目标主机期待收到源主机下一个数据段的序号（即表明前一个数据段已收到并且没有错误）。3源主

2、机再回送一个数据段，同样带有递增的发送序号和确认序号。至此为止，TCP会话的三次握手完成。接下来，源主机和目标主机可以互相收发数据。4. IP欺骗：利用主机之间的正常信任关系，伪造某台主机的IP地址来发动攻击。5. IP报头（图表）：参考书籍！6. ICMP（Internet控制消息协议）：ping攻击、Tracert（跟踪路由的命令）都是基于ICMP；（外延）ICMP是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。7. IGMP（Internet组管理协议）：是一种互联网协议，提供这样一种方法， 使得互联网上的主机向临近路由器报告它的广播组成员。8. 网络层攻击：I

3、P欺骗；RIP路由选择攻击。9. IPSec：应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和网络认证及加密算法等。10. 域名系统DNS（工作流程）：第一步：客户机提出域名解析请求,并将该请求发送给本地的域名服务器。第二步：当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。第三步：如果本地的缓存中没有该纪录,则本地域名

4、服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。第四步：本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。第五步：重复第四步,直到找到正确的纪录。第六步：本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。第二部分：安全概论1. 安全攻击：任何危及系统信息安全的活动。2. 安全机制：用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。机制手段：特定：加密， 数字签名， 访问控制，数据完整性，认证交换，流量填充，路

5、由控制，公证等；普遍：可信功能，安全标签，事件检测，安全审计跟踪，安全恢复3. 安全服务：加强数据处理系统和信息传输的安全的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。4. 安全攻击： 1威胁：利用脆弱性的潜在危险2攻击：有意违反安全服务和侵犯系统安全策略的智能行为3威胁和攻击的意义是相同的4攻击的类型a) 被动攻击：试图了解或利用系统的信息但不影响系统资源。两种：消息内容的泄漏；流量分析；手段：搭线监听； 无线截获； 其他截获。 特点：不易被发现；重点在于预防 ，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。 b) 主动攻击：试图改变系统资源或影响系

6、统运作。涉及某些数据流的篡改或虚假流的产生。 四种主动攻击：假冒，重放，篡改消息，拒绝服务。特点：能够检测出来；不易有效防止；措施：自动审计、入侵检测和完整性恢复等。5. 安全服务：1强化一个组织的数据处理系统和信息传输中的安全性2对安全攻击的反击3采用一个或更多的安全机制 4对文档进行安全地分发；例如签名，对信息进行保护以免披露、损害或毁坏 6. 安全服务特性：可认证性；访问控制；机密性；完整性；不可否认性；可用性。第三部分：防火墙1. 接入法：防火墙用串接，入侵检测系统IDS用旁路2. 设置：1双宿主机网关2屏蔽主机网关3屏蔽子网3. 作用：1设立单一阻塞点，简化了安全管理2 提供了一个监

7、控安全事件（审计、报警）的实施地点3 提供了与网络安全无关的功能实现平台： NAT NAT，审计和记录 internet 使用4 IPsec 平台4.隔离：在内网与外网之间设置安全策略以隔离不安全数据进入内网。？5.功能：1.过滤不安全的数据。2.过滤不安全的服务和非法用户。3.控制对特殊网站的访问4.审计和记录互联网的使用。5.防止暴露内部网的结构。6.对内部网络进行管理。7.实现公司的安全策略。6.四种安全策略技术：服务控制、方向控制、用户控制、行为控制。7.布局：安装在路由器与内网之间。8，分类：1简单包过滤防火墙 2状态检测包过滤防火墙 3应用代理防火墙 4包过滤和应用代理复合型防火墙

8、 9.防火墙与IDS的区别：防火墙是过滤IP数据包；IDS是阻断不安全链接。10.应用：1控制来自互联网对内部网络的访问 2控制来自第三方局域网对内部网络的访问3 控制局域网内部不同部门网络之间的访问4控制对服务器中心的网络访问11.防火墙的局限性：􀂃 不能防御绕过它的攻击 􀂃 不能消除来自内部的威胁 􀂃 不能防止病毒感染过的程序和文件出入网络 第四部分：IDS1IDS入侵检测系统：是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。功能：1监测、分析系统和用户行为（异常行为）2识别攻击行为和越权访问3评估关键

9、资源和文件的完整性4提供有效的审计信息5发现安全漏洞2.IDS与IPS区别：IDS是一种旁路监听设备，在网络之外起到警报作用。IPS位于防火墙和网络设备之间的设备。检测到攻击时会阻止恶意的通信，在网络前面起到防御的作用。 3. 基于网络的ID检测：包嗅探和网络监测。4. 基于规则的检测：定义一个规则集，用于判断给定行为是否为入侵行为。 异常检测：定义规则，用于检测现在的行为与以前使 用的模式的偏差 渗透鉴别：用专家系统来检查可疑行为 7.集线器：集线器不能判断数据包的目的地和类型，所以广播包也依然转发，而且所有设备发出数据以广播方式发送到每个接口，这样集线器也连接了一个广播域的网络。8网卡设置

10、模式：普通模式是网卡只接收发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。；混杂模式是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址。9.入侵行为：1监听，2隐藏技术，3口令入侵，4病毒，5，木马 10.ARP：是地址解析协议，是一种将IP地址转化成物理地址的协议。SNMP：简单网络管理协议，可以在IP，IPX，AppleTalk，OSI及其他传输协议上被使用。11.VPN 3题：为虚拟专用网，通过 VPN 技术可以 使用户通过 Internet 远程连接到企业内部网，访问企业内部网资源，同时保证内部网的安全性。应用环境：1提供远程的、移动的工作人员访问中心的网

11、络资源。2安全地互联各个分支的部门，实现公司内联网。3提供给合作伙伴、客户通过控制可以访问指定的网络资源。 技术：1隧道技术 2加密技术3密钥管理技术4使用者和设备身份认证技术12.IDS性能指标（少）：1检测率、虚警率及检测可信度（最重要的指标）2入侵检测系统本身的抗攻击能力 3延迟时间 4资源的占用情况 5系统的可用性及使用的友好程度 6日志、报警、报告以及响应能力 第五部分：安全应用技术1. Web安全：1.SSL是安全套接层（加强HTTP安全，443端口），在互联网上提供安全保密的通讯协议；2.SSH是提供安全登录和远程命令执行的软件包（用于Telnet、FTP的安全，22端口）2.

12、端口号：Web（80）；SMTP（25）；POP3(110);FTP(记住21发送)/(20接收)3. RAID：2题：RAID0：无冗余磁盘列阵，一块硬盘破坏全部被破坏；RAID1（镜像阵列）：冗余磁盘列阵，任何一块被破坏不会影响到系统；RAID5：三块磁盘实现的磁盘冗余，一块磁盘破坏，可以按奇偶校验码恢复数据。4. 病毒攻击：2题 1 获取口令2放置木马3 IP欺骗4电子邮件攻击5节点攻击6网络监听 7系统漏洞 8利用账号攻击9偷取特权5. WLAN：2题 无线局域网(Wireless LAN,WLAN)是使用无线电波传输数据的局域网。应用环境：商务区，大学，机场，及其他公共区域。无线局域

13、网最通用的标准是IEEE定义的802.11系列标准。6. VLAN虚拟局域网：1题 VLAN是一个在物理网络上根据用途，工作组等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。7. Y5（无线路由器）：带有无线覆盖功能的路由器，应用于用户上网和无线覆盖。8. 无线网络安全设置：1未经授权用户的接入使用身份认证，防止未经授权用户的接入.2利用MAC过滤阻止未经授权的接入.3 使用AP特有的用户隔离技术，避免网上邻居的攻击4修改默认的SSID以及禁止SSID广播5.使用先进的WEP加密技

14、术6. 通过设置防火墙攻击手段：1、插入攻击：插入攻击没有经过安全过程或安全检查以部署非授权的设备或创建新的无线网络为基础。2、漫游攻击者：攻击者使用网络扫描器进行扫描，(如Netstumbler等工具)。3、欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可情况下，就设置或存在的接入点。5、窃取网络资源：从邻近的无线网络访问互联网，这样会占用大量的网络带宽，严重影响网络性能。 被攻击原因：1. 使用默认的SSID，2.没有禁用SSID广播3.不设置防止外界的连接4.用户不懂得如何设置。9. 指定端口号访问用冒号：例：808010. DMZ（非军事区）应用：作用是把web,e-ma

15、il,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离。11. NAT（网络地址转换）应用：NAT的作用就是修改IP包的源、目的地址或者源、目的端口，NAT设备(服务器、防火墙或路由器)会记录它是如何转换的，当相应的IP包通过时，它会对相应的IP包做反向转换。简言之，就是通过地址转换访问不同网段的信息。NAT的应用环境：情况1:一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开。情况2:一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现

16、多个用户同时公用一个合法IP与外部Internet 进行通信。NAT与路由器区别：NAT是把内部私有IP地址翻译成合法IP地址；路由器就是連接在两个以上网络设备之间传递分组。12. NTFS：Windows操作系统支持的为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。多重NTFS权限：1权限是累积的2文件权限优于文件夹权限3拒绝权限优于其他权限IIS搭建的WEB、FTP服务都应将文件存储在NTFS分区中并利用NTFS的权限增加安全性！13. IIS配置（权限）：实质是设置NTFS的权限：选择文件夹，属性，安全，在用户组中选择一个用户，单击高级，打开WEB高级安全设置。IIS安装安全：1

17、避免安装在主域控制器2避免安装在系统分区3避免安装在非NTFS分区4只安装必需的组件第六部分：密码1.对称4题：定义：又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。对称密码术的优点在于效率高，算法简单，系统开销小，适合加密大量数据。对称密码安全的两个必备条件：1加密算法必须是足够强的2惟有发送者和接收者知道的秘密密钥。（对算法做保密不可能，由于其算法是公开的，其安全性依赖于分组的长度和密钥的长度，所以要对密钥做安全管理。）攻击方法包括：穷举攻击，字典攻击、查表攻击，差分密码分析，线性密码分析。2.非对称3题 定义：非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一

18、样的，一个称为公钥，用于加密，是公开的，另一个称为私钥，用于解密，是保密的。应用：加密/解密 (提供保密性)；数字签名 (提供认证)；密钥分配 (会话密钥)。攻击方法：穷举搜索 (对于给定的数字规模是不可行的)、数学攻击、计时攻击、选择密文攻击。3.非对称与对称的区别：n 公钥/双钥/非对称 密码都是指使用两个密钥: q 公钥：可以对任何人公开的密钥，用于加密消息或验证签名。 q 私钥：只能由接收者私存，用于解密消息或签名。n 非对称/单钥q 用于加密消息或验证签名的人不能进行消息的加密或消息的签名。4、密钥管理安全性的区别：对称密钥算法由于其算法是公开的，其保密性取决于对密钥的保密。由于加解

19、密双方采用的密钥是相同的，因此密钥的分发、更换困难。而非对称密钥算法由于密钥已事先分配，无需在通信过程中传输密钥，安全性大大提高，也解决了密钥管理问题。具体算法：DES（数据加密标准）：DEA算法（数据加密算法），密钥长度56位。AES（高级加密标准）：是分组密钥，算法输入128位数据，密钥长度也是128位。RSA算法是利用素数（即质数）的因式不可分解性。AES三个密钥长度:128,192,256位。（通常用对称加密，再用非对称对对称的密钥进行加密。5DES加密流程：解密与加密算法相同，子密钥倒序。6. 密码机：（转轮密码（转轮机）：实现了复杂多变的 多表代换 密码，多层加密；采用一系列转轮，

20、每一个都是一个代替表， 转轮可以依次旋转加密每个字母。（代换法）：将明文字母替换成其他字母、数字或符号的方法 ;如果把明文看成是 0或11的序列，那么密文就是00或11比特序列的另一种表达。（置换法）：思想：以列（行）优先写出明文，以行（列）优先读出各字母作为密文 两者区别：4. 公钥功能：加密信息和验证签名 ；私钥功能：解密信息和签名。5. 公钥体制是为了解决传统密码中最困难的两个问题而提出：密钥分配、数字签名。6. 认证服务器 (AS) ；认证中心发放(CA)2题： Kerberos认证：基于对称密钥体制；X.509认证：基于公开密钥体制和数字签名。 数字签名：是一种认证技术，其中的一些方

21、法可用来抗发送方否认攻击。7.散列MD5：Hash函数：将任意长消息映射为定长的hash值作为认证符。1浓缩任意长的消息M到一个固定长度的取值 h = H(M) 2通常假设hash函数是公开的且不使用密钥（MAC使用密钥）3Hash函数用户检测对消息的改变4常用于产生数字签名8.MAC 特性：MAC码是一个密码校验和 MAC = CK(M)q 消息M的长度是可变的q 密钥K是要保密的，且收发双方共享。q 产生固定长度的认证码MAC算法是一个多对一的函数q 多个消息对应同一MAC值q 但是找到同一MAC值所对应的多个消息应该是困难的。大题部分：3大题1.RSA密钥的建立：每一个用户通过以下方法产

22、生一个公钥/私钥对: a) 随机地选择两个大的素数 p, q b) 计算方案中的模数 n = p.qi. (n) = (p-1) (q-1) c) 随机地选择一个加密密钥ei. 满足 1 e (n), (e, (n) = 1 d) 求解下面的方程，以得到解密密钥d i. e.d 1 mod (n) and 0 d n e) 公开公钥: PU = e, n f) 保密私钥: PR = d, n 举例：选择素数: p = 17 & q = 11计算 n = p q =17 x 11 = 187计算 (n) = (p1) (q-1) = 16 x 10 = 160选择 e: gcd(e, 160)

23、= 1; 选择 e = 7确定 d: d e = 1 mod 160 且 d 160 d = 23 因为 23 x 7=161= 10x160+1公钥 PU = 7, 187 私钥 PR = 23, 187 2. RSA 的使用：为了加密消息M，发送方:a) 获得接收方的公钥 PU = e, n b) 计算: C = Me mod n, 其中 0 M n为了解密密文C，接收者:c) 使用自己的私钥 PR = d, n d) 计算: M = Cd mod n 消息M一定要比模数 n小 (如果需要的话，可以进行分组)举例：明文消息 M = 88 ( 注意88 187)加密:C = 887 mod

24、187 11 解密:M = 1123 mod 187 88 3. PGP加解密过程（画图）：PGP技术是基于非对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。 4. 小型网络规划（画图）详情请看书！5. 密钥分配方法对称密码的密钥分配：密钥由A选择，并亲自交给B；第三方选择密钥后，亲自交给A和B；如果A和B使用过某密码，其中一方可以用它加密一个新密钥后再发送给另一方；A和B与第三方均有秘密通道，则第三方可以将密钥分别秘密发送给A和B非对称密码的公钥分配方法：公开发布；公开可访问目录；公钥授权公钥证书；6. IIS配置：打开IIS：开始程序管理工具Internet服务管理器。权限设置：选择文件夹，属性，安全，在用户组中选择一个用户，单击高级，打开WEB高级安全设置。7. Dos(分布式拒绝服务)攻击过程（画图）: 8.MAC消息认证码 过程（画图）! 注意：路由器、交换机如何画？参考书籍！