信息安全考试重点资料.doc

信息是一种消息，通常以文字或声音、图像的形式来表现，是数据按有意义的关联排列的结果。信息由意义和符号组成。简单的说，信息就是指以声音、语言、文字、图像、动画、气味等方式所表示的内容。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全问题可以定位在五个层次：物理安全、网络安全、系统安全、应用安全和安全管理信息安全具有三个目标：机密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。完整性：保证数据的一致性，防止数据被非法用户篡改。可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。常用的网络命令 1、ping命令是DOS命令，一般用于检测网络是否通畅以及网络连接速度，其结果值越大，说明速度越慢。用法有以下：ping IP，ping URL，ping IP -t，ping IP -l 3000，ping IP -n count 2、ipconfig命令 ipconfig 可用于显示当前的TCP/IP配置的设置值，这些信息一般用来检验人工配置的TCP/IP设置是否正确。用法有 ipconfig，ipconfig/all 3、netstat命令 用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。用法有 netstat -a，netstat -n，netstat -r 4、arp命令 用于确定对应IP地址的网卡物理地址。 5、net命令用于核查计算机之间的NetBIOS连接，可以查看管理网络环境、服务、用户、登录等信息内容。用法有 net share，net start 6、at命令是Windows系列操作系统中内置的命令。At命令可在指定时间和日期、在指定计算机上运行命令和程序。7、tracert命令显示用于将数据包从计算机传递到目标位置的一组IP路由器，以及每个跃点所需的时间，用法有tracert IP或tracert URL，tracert IP -d或tracert URL -d 8、route命令是用来显示、添加和修改路由表项的，用法如下route print，route add，route change，route delete9、 nbtstat命令用来释放和刷新NetBIOS名称，用于提供关于NetBIOS的统计数据，用法如下 nbtstat -n，nbtstat -c，nbtstat -r，nbtstat -a IP攻击是对系统安全策略的一种侵犯，是指任何企图破坏计算机资源的完整性、机密性以及可用性的活动。攻击的分类：按照威胁的来源分类1）外来人员攻击2）内部人员攻击，按照安全属性分类1)阻断攻击2）截取攻击3）篡改攻击4）伪造攻击，按照攻击方式分类1）被动攻击2）主动攻击，按照入侵者的攻击目的分类1）拒绝服务攻击2）利用型攻击3）信息收集型攻击4）假消息攻击网络踩点也就是信息收集，踩点技巧归纳中收集的信息包括：域名，IP地址，TCP和UDP服务，系统体系结构，设备旗标，网络拓扑结构，认证控制网络扫描是进行信息收集的一项必要工作，可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。安全漏洞是指计算机系统具有的某种可能被入侵者恶意利用的属性。为什么进行网络扫描：很多入侵者常常通过发现存活的目标及其存在的安全漏洞，然后通过漏洞入侵目标系统。为了解决安全问题，网络管理员也常借助于扫描器对所管辖的网络进行扫描，以发现自身系统中的安全隐患，然后修补漏洞排除隐患。为了解决安全隐患和提高扫描效率，很多公司和开源组织开发了各种各样的漏洞评估工具。发现目标的扫描有Ping扫描和ICMP查询两种，都是用来确定目标主机是否存活。端口扫描就是发送信息到目标计算机的所需要扫描的端口，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。端口扫描原理：端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来贩毒案服务端口是打开还是关闭，从而得知端口提供的服务或消息。常见的端口扫描技术有TCP connect全连接扫描，TCP SYN半连接扫描，秘密扫描，间接扫描。扫描工具：Nmap-扫描器之王，Nessus-分布式扫描器，X-Scan扫描器。网络监听可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它又同时又带来了信息失窃等安全隐患。网络监听工具：Sniffer Pro，Ethereal，Sniffit，Dsniff其中Sniffer Pro是NAI推出的图形化嗅探器。黑客攻击的一般流程是：踩点扫描入侵获取权限提升权限清除日志信息踩点：获得信息的过程。扫描：是进行信息收集的一项必要工作，可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。入侵：在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。攻击的方法与技术：密码破解攻击，缓冲区溢出攻击，欺骗攻击，Dos/DDos攻击，SQL注入攻击，网络蠕虫和社会工程攻击等。密码破解攻击有字典攻击，混合攻击，暴力攻击，专业攻击LC5缓冲区溢出攻击主要是通过网程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而达到破坏程序的堆栈，是程序转而执行其他指令，以达到攻击的目的。欺骗攻击有：源IP地址欺骗攻击，源路由欺骗攻击。SQL注入攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。木马是一种基于远程控制的黑客工具，具有隐蔽性和非法授权性的特点。其传播方式有：通过E-mail，通过软件下载。常见的木马攻击类型：密码发送型木马，键盘记录型木马，毁坏型木马，FTP型木马。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征：传染性，隐蔽性，潜伏性，破坏性。计算机病毒的命名格式.，病毒前缀是指一个病毒的种类，是用来区别病毒的种族分类。病毒名是指一个病毒的家族特征，是用来区别和标志病毒家族的。病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种。恶意软件也称为流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能和恶意行为，给用户带来实质性危害。恶意软件有以下特征：强制安装，难以卸载，浏览器劫持，广告弹出，恶意卸载，恶意捆绑等网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。比如设备被盗，设备老化，意外故障，无线电磁辐射泄密等。防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。内部网络与外部网络所有通信的数据包都必须经过防火墙，防火墙只放行合法的数据包。防火墙的规则：1）接受允许通过 2）拒绝拒绝信息通过，通知发送信息的信息源 3）丢弃直接丢弃信息，不通知信息源。防火墙的优点主要包括：1）可以完成整个网络安全策略的实施。2）可以限制对某种特殊对象的访问。3）具有出色的审计功能，对网络连接的记录、历史记录、故障记录等都具有很好的审计功能、4）可以对有关的管理人员发出警告。5）可以将内部网络结构隐藏起来。防火墙的缺点、弱点：1）不能防止不经过它的攻击，不能防止授权访问的攻击。2）只能对配置的规则有效，不能防止没有配置的访问。3）不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。4）不能防止针对一个设计上有问题的系统攻击。防火墙技术包括1）包过滤技术 是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。2）应用网关技术 接受内、外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全协议的信息被拒绝或丢弃。3）电路级网关技术 常被称为线路级网关，它工作在会话层，在两个主机首次建立TCP连接时创建一个电子屏障，它作为服务器接收外来请求、转发请求，与被保护主机连接时，则担当客户机的角色，起代理服务的作用。4）状态监测技术 当数据包达到防火墙的接口时，防火墙判断数据包是不是属于一个已经存在的连接，如果是就对数据包进行特征检测，并判断策略是否允许通过，如果允许就转发到目的端口并记录日志，否则就丢掉数据包。5）代理服务器技术 代理服务器防火墙作用在应用层，用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。6）网络地址转换技术（NAT） 堡垒主机是网络上最容易遭到非法入侵的设备，构建堡垒主机应注意以下几点：1）选择合适的操作系统，它需要可靠性好，支持性好，可配置性好。2）堡垒主机的安装位置3）堡垒主机提供的服务4）保护系统日志5）进行监测和备份。防火墙的性能指标有：吞吐量、报文转发率、最大并发连接数、每秒新建连接数。FDT指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。防火墙的常见产品：Check Point FireWall-1，Gauntlet，NetEye，天网防火墙，瑞星防火墙，Linux自带防火墙iptables。入侵检测技术包括异常检测技术和误用检测技术。异常检测也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。入侵检测有四种可能性：是入侵但非异常；非入侵但表现异常；非入侵且非异常；是入侵且异常。该技术包括的方法：1）用户行为概率统计模型2）预测模式生成3)神经网络。误用检测技术也称基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背安全策略事件的特征，判别所搜集到的数据特征是否在所搜集的入侵模式库中出现。该技术包括的方法：1）专家系统2）模型推理3）状态转换分析4）模式匹配5）键盘监控VPN是一种能够将物理上分布在不同地点的网络通过公共骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。VPN安全技术有：1）隧道技术2）加密技术3）身份认证技术：安全口令，PPP认证协议，使用认证机制的协议4）密钥管理技术密码学是研究编制密码和破解密码的技术科学。密码体制的基本类型：1）错乱安全规定的图形和线路，改变明文字母或数码等的位置成为密文。2）代替用一个或多个代替表将明文字母或数码等代替密文3）密本用预先编定的字母或数字密码组，代替一定的词组单词等变明文为密文4）加乱用有限元素组成的一串序列作为乱数，按规定的算法，同明文序列等变明文为密文。进行明密变换的法则称为密码的体制，指示这种变换的参数称为密钥。密码体制的分类：对称密码体制和非对称密码体制。对称密码体制又称单钥或私钥或传统密码体制。非对称密码体制又称双钥或公钥密码体制。对密码的攻击类型有：1）唯密文攻击2）已知明文攻击3）选择明文攻击4）选择密文攻击。古典密码学有：古典加密方法，代替密码，换位密码。对称密码学有：DES加密算法 是一种常规密码体制的密码算法，是64位的比特。非对称加密算法是指用于加密的密钥与用于解密的密钥是不同的，而且从加密的密钥无法推导出解密的密钥。RSA算法是目前应用最为广泛的公钥密码算法。散列函数也称为Hash函数、杂凑函数、哈希算法、散列算法。它通过把一个单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆的数据。可以敏感地检测到数据是否被篡改。散列函数的特点：1）接受的输入报文数据没有长度限制。2）对输入任何长度的报文数据能够生成该电文固定长度的摘要输出3）从报文能方便地算出摘要4）极难从指定的摘要生成一个报文，而由该报文又反推算出该指定的摘要5）两个不同的报文极难生成相同的摘要。Hash算法在信息安全反面主要体现在：1）文件校验2）数字签名3）鉴权协议。MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由4个32位分组组成，将这4个32位分组级联后将生成一个126位散列值。数字签名就是通过某种密码算法运算生成一系列字符及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可以进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。数字签名目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为管理机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、杭抵赖等各种必要的安全保障，满足各种应用系统的安全需求。PKI是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。PKI的作用：1）对身份合法性进行验证2）实现数据保密性和完整性3） 实现数据传输安全性4）实现