信息系统监理师重要知识点精讲

1、信息系统监理师重要知识点精讲(三)希赛小编为打算参加 2017 上 半年信息系统监理 师考试的你 们准备了一些信息系统监理师教程的知识点，希望对大家有所帮 助。入侵检测系统入侵检测系统( Intrusion Detection System )简称 IDS, 它 定义了安全策略，主要执行如下任务。监视、分析用户及网络系统的日常活动。识别已知的攻击活动模式并报警。统计和分析异常行为模式。评估重要系统和数据文件的完整性。操作系统的审计跟踪管理，并识别用户违反安全策略 的行为。一个成功的入侵检测系统不仅可使系统管理员时刻了解网络 系统，还能为制定网络安全策略提供依据。它应该配置简单，使 非专业人员非

2、常容易地获得网络安全。入侵检测的规模还应根据 网络规模、系统构造和安全需求的改变而改变。在发现入侵后， 这个系统会及时做出响应，包括切断网络连接、记录事件和报警 等。入侵检测系统可分类入侵检测，通过研究入侵行为的过程与 特征，使安全系统对入侵事件和入侵过程做出实时响应。按输入数据的来源来看，入侵检测系统可以分为以下两种。基于主机：输入数据来源于系统的审计日志，一般只能检测 该主机上发生的入侵。基于网络：输入数据来源于网络的信息流，能够检测该网段 上发生的网络入侵。总体来讲，入侵检测系统的功能如下。监视用户和系统的运行状况，查找用户的越权操作。检测系统配置的正确性和安全漏 洞，并提示管理员修 补

3、漏洞。统计分析用户的非正常活动，发现入侵行为的规律。检查系统程序和数据的一致性与正确性，如计算和比较文件系统的校验和并实时反应检测到的入侵行为。广域网安全篇广域网上存在哪些不安全地方 ?由于广域 网采用公网 传输数 据, 因而在广域网上进行传 输时信息也 可能会被不 法分子截取。如 分支机构从异地上发一个信息到总部时,这个信息包就有可能被 人 截 取 和 利 用 。如 果 没 有 专 门 的 软 件 对 数 据 进 行 控 制 , 所 有 的 广 域 网通信都将不受限制地进行传输,因此任何一个对通信进行监测 的人都可以对通信数据进行截取。这种形式的“攻击”是相对比 较容易成功的, 只要使用现在

4、可以很容易得到的“ 包检测 ”软件即 可 。对 付 这 类 攻 击 的 办 法 就 是 对 传 输 的 信 息 进 行 加 密 , 或 者 是 至 少 要对包含敏感数据的部分信息进行加密。由于广域网采用互联网传输数据，因而在传输时信息也可能 会被不法分子截取。如分支机构从异地发送一个信息到总部时， 这个信息包有可能被人截取和利用。因此在广域网上发送和接收 信息时要保证如下方面。除了发送方和接收方外，其他人不可知悉信息（隐私性）。传输过程中信息不被窜改（真实性）。发送方能确认接收方不是假冒的（非伪装性）发送方不能否认自己的发送行为（非否认性）如果没有专门的软件控制，所有的广域网通信都将不受限制

5、地传输，因此任何一个监测通信的人都可以截取通信数据。这种 形式的攻击相对比较容易成功，只要使用现在很容易得到的包检 测软件即可。如果 从 一 个 联网 的 UNIX 工 作 站上 使 用跟 踪路 由 命令 ，即可 看 到数据从客户机传送到服务器要经过多少种不同的节点和系统， 所有这些都被认为是最容易受到黑客攻击的目标。一般地，一个 监 听 攻击 只 需 通 过在 传输 数 据的 末尾 获 取 IP 包的 信 息即 可 以完 成，这种方法并不需要特别的物理访问。如果具有直接物理访问 网络的权限，还可以使用网络诊断软件窃听。对付这类攻击的方法是加密传输的信息，或者是至少要加密 包含敏感数据的部分信

6、息。加密技术分类加密型网络安全技术的基本思想是不依赖于网络中数据路径 的 安 全 性 ，而 是 通 过 对 网 络 数 据 的 加 密 来 保 障 网 络 的 安 全 可 靠 性 ， 因而这一类安全保障技术的基石是数据加密技术及其在分布式系 统中的应用。数据 加 密 技 术可 以 分 为 3 类 ， 即对 称型 加 密、 不对 称 型加 密 和不可逆加密。其中对称型加密使用单个密钥加密或解密数据，其特点是计 算量小、加密效率高。但是此类算法不宜在分布式系统中使用， 主要原因是密钥管理困难，导致使用成本较高。这类算法的代表 是在计算机网络系统中广泛使用的DES算法（ DigitalEncrypt

7、ionStandard,数 字 加 密 标 准 ） 。不对称型加密算法也称“公 用密钥算法”, 其特 点是有两个密 钥(即公用密钥和私有密钥)，只有二者搭配使用才能完成加密 和解密的全过程。它特别适用于分布式系统中的数据加密，并在 互联网中得到了广泛应用。其中公用密钥在网上公布，为数据源 加密数据使用，而用于解密的相应私有密钥则由数据的接收方妥 善保管。不对称加密的另一种用法称为“数字签名”( digitalsignature ) ， 即 数 据 源 使 用 其 私 有 密 钥 加 密 数 据 的 校 验 和 ( checksum ) 或 其 他 与 数 据 内 容 有 关 的 变 量 ， 而

8、 数 据 接 收 方 则用相应的公用密钥解读数字签名，并将解读结果用于对数据完 整性的检验。在网络系统中得到应用的不对称加密算法有RSA算 法和美国国家标准局提出的DSA算法( DigitalSignatureAlgorithm,数 字 签 名 算 法 ) 。 不 对 称 加 密 法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的 合法性。不可逆加密算法的特征是加密过程不需要密钥，并且经过加 密的数据无法被解密，只有输入同样数据经过同样不可逆加密算 法才能得到相同的加密数据。 不可逆加密算法不存在密钥保管和 分发问题，适合于在分布式网络系统中使用。 但是加密计算的工 作量相当可观，所以

9、通常用于数据量有限情形下的加密，例如计 算机系统中的口令就是利用不可逆算法加密的。 近来随着计算机 系统性能的不断改善，不可逆加密的应用逐渐增加。 在计算机网 络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局 建议的可靠不可逆加密标准(SecureHashSta ndard,SHS )。加密技术用于网络安全通常有两种形式，即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议等所需的信息 从而保证网络的连通性和可用性不受损害。在网络层上实现的加 密技术对于网络应用层的用户通常是透明的。此外，通过适当的 密钥管理机制，使用这一方法还可以在互联网上建立虚拟专用网 络并保障其中信息的安全 性。 SKIP 协议即是近来 IETF 在这一 方 面的努力之一。面向应用服务的加密技术目前较 为流行，例 如使用 Kerberos 服 务 的 Telnet 、NFS 和 rlogion 等 ，以 及 用