信息安全原理与技术

第一章信息安全概述1、信息安全的五个属性及其含义。（1）机密性：是指确保只有那些被授予特定权限的人才能够访问到信息。（2）完整性：是指保证信息和处理方法的正确性和完整性。（3）可用性：指确保那些已被授权的用户在他们需要的时候，确定可以访问得到所需要的信息。（4）不可否认性：信息的不可否认性也称抗抵赖，不可抵赖性，是传统的不可否认需求在信息社会的延伸。（5）可控性：指能够控制使用信息资源的人或主题的使用方式。2、信息安全和网络安全的区别。（点和线的问题？）信息安全涵盖了网络安全。信息网络系统包括了线和点两类实体，即网络资源和信息资源。线代表网络本身，包括网络线路和网络设备，信息经过线（网络）传输；而点指由线连接在一起的各类应用设备。信息在点中进行存储和处理。网络安全考虑的主要是线的问题，即如何通过合理的网络架构，配置和管理，解决信息在传输过程中的安全问题，提高安全等级来保障和配合应用服务的整体性安全运作；信息安全的范畴不光是线的安全问题，即通信在网络传输中的安全问题，而且还包括计算机本身固有的安全问题，如系统硬件，操作系统，应用软件，操作流程。3、主动攻击和被动攻击的例子。主动攻击：中断，篡改，伪造；被动攻击：截获。4、信息安全发展的三个阶段，及其各个阶段分别实现了信息安全的那些属性。P13信息保密阶段：保密性；2.信息安全阶段：保密性，完整性，可用性；3.通信保障阶段：保密性，完整性，可用性，不可否认性，可控性。5、P2DR模型的原理。P23第二章信息安全体系结构1、OSI、TCP/IP体系结构模型。OSI提供的五种服务，八种机制是那些。及其每个服务和机制之间的关系。P30OSI提供的5大服务：（1）认证服务：提供对通信中对等实体和数据来源的认证。（2）访问控制服务：对资源提供保护，以阻止其非授权的实体使用和操纵。（3）数据保密性服务：确保信息不被泄漏或暴露给未授权的实体。（4）数据完整性服务：对数据提供保护，以阻止未授权实体改变，删除或替代操作。（5）抗否认性服务：防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。OSI八大安全机制：1.加密机制2.数字签名机制3访问控制机制4数据完整性机制5认证交换机制6.通信业务填充机制7.路由控制机制8.公证机制关系：2、因特网安全体系结构，重点掌握IPsec、安全联盟、隧道、AH、ESP。IPsec是指IETF以RFC形式公式的一组安全ip协议集，是ip数据报为ip业务提供保护的安全协议标准，其基本目的就是把安全机制引入Ip协议，用现代密码学方法支持机密性和认证性服务，从而使用户能有选择的使用，并得到所期望的安全服务。安全联盟(SA):安全联盟是IPSec的一个基本的概念，SA是发送者和接收者这两个IPSec系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组连接相关的安全信息参数的集合，它为其所携带的业务流提供安全保护。SA是单向的。安全协议AH和ESP的执行都依赖于SA.隧道：隧道就是把一个数据包封装在另一个新包里面，整个源数据包作为新包的有效负载部分，并在前面添加一个新的IP头。通过隧道技术用户可以对外隐藏内部数据和网络细节。Ip隧道的直接目标就是对整个IP数据包提供完全的保护。AH:IP认证头AH是为IP数据项提供强认证的一种安全机制，它能为IP数据项提供无连接完整性，数据起源认证和抗重放攻击。ESP:ESP将需要保护的用户数据进行加密后再封装到IP数据包中，主要支持IP数据项的机密性。ESP也提供安全服务，AH和ESP认证范围不同，ESP只认证ESP头之后的信息。认证的范围比AH小。3、传输模式、隧道模式的区别。传输模式仅对IP数据项的上层协议数据部分提供保护，用于两个主机之间。隧道模式对整个IP数据项提供保护，只要通信双方有一方是安全网关，就必须用隧道模式。4、信息系统安全体系框架，包含了那些管理体系。P59信息系统安全体系结构包含技术体系，组织体系，管理体系。管理体系包括了培训管理，制度管理，法律管理。第三章访问控制与防火墙1、什么叫访问控制，常用的访问控制之间的区别，重点掌握自主访问控制和强制访问控制的区别。访问控制是按照事先确定的规则决定主体对客体的访问是否合法，访问控制包括3个要素：主体、客体和控制策略。自主访问控制的用户不能直接改变强制访问的控制属性，因此用户可以利用自主访问控制来防范其他用户对自己客体的攻击，而强制访问控制则提供一个不可逾越的、更强的安全防护层，以防止其他用户偶然或故意滥用自主访问控制。2、基于角色的访问控制的原理。在用户和访问许可权之间引入角色的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而用户可以根据实际的工作需要动态地激活自己拥有的角色，从而避免了用户无意中危害系统安全。3、防火墙的概念，防火墙部署在什么位置，掌握防火墙的匹配条件和规则。防火墙是一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。防火墙规则：由匹配条件和处理方式构成。防火墙部署在计算机和它所连接的网络之间。基本匹配条件：“向外”与“向内”的流量网络层：匹配条件关注1）IP源地址2）IP目的地址3）协议传输层：匹配条件关注1）源端口2）目的端口应用层：匹配条件：各种应用层的协议4、默认拒绝和默认允许的区别。默认拒绝：规则库主要由处理方式为Accept的规则构成，不能与规则库匹配的信息都禁止通过。默认允许：规则库主要由处理方式为Reject或Drop的规则构成，不能与规则库匹配的都允许通过。默认允许与默认拒绝相比，规则较低，但使用方便，规则的配置较为灵活。5、常用的防火墙技术。掌握包过滤、代理技术、状态检测的优缺点。数据包过滤技术优点：简单适用，速度快，性能高，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。缺点：首先数据包过滤路由器的安全规则制定非常复杂，且不易配置和维护。代理技术的优点：能够支持可靠的用户认证并提供详细的注册信息；相对于数据包过滤路由器来说更容易配置和测试；完全控制会话可以提供很详细日志和安全审计功能；可以隐藏内部网的IP地址，保护内部主机免受外部主机的攻击；可以解决合法IP地址不够用的问题。缺点：由于不同的应用服务要用不同的代理服务程序，所以能提供的服务和可伸缩性是有限的；不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理，会造成明显的性能下降。状态检测的优点：提供检测所有OSI七层的能力，而不改变目前的直接连接模式。提供完整的动态数据包过渡功能，而且能够提供较快的速度。缺点：单线程的状态检测对性能有很大的影响。直接连接不适合高安全性。依赖于操作系统的安全性。工作在动态数据包过滤模式，并没有很高的安全性。6、防火墙的实现技术、性能和功能指标。重点掌握防火墙硬件的实现技术。防火墙硬件实现技术：Intelx86架构工控机，ASIC硬件加速技术，网络处理器（NP）加速技术。防火墙性能指标：最大位转发率、吞吐量、延时、丢包率、背靠背、缓冲、最大并发连接数、最大并发连接建立速率、最大策略数、平均无故障间隔时间、支持的最大用户数。防火墙功能指标：产品类型、LAN接口、协议支持、加密支持、认证支持、访问控制、防御功能、安全特性、管理功能、记录和报表功能7、防火墙的局限性。（1）防火墙只能防范经过防火墙的攻击。没有经过防火墙的数据，防火墙不能检查。（2）防火墙防外不防内。（3）防火墙由于在配置和管理上比较复杂，所以容易造成安全漏洞。（4）防火墙无法防范病毒，抵御数据驱动式的攻击。（5）防火墙不能防止利用标准网络协议中的缺陷以及服务器系统的漏洞进行的攻击。（6）防火墙不能防止本身的安全漏洞的威胁。8、什么事物理隔离。中国电子政务网之间与外网之间是什么关系。物理隔离是指内外网络在物理上是完全独立、断开的，没有任何物理连接，但在逻辑上则保持连接，能够进行适度的数据交换。关系：电子政务内网和电子政务外网之间是物理隔离，电子政务外网与公网之间是逻辑隔离。9、物理隔离用什么设备，物理隔离和逻辑隔离，物理隔离的技术。P92物理隔离设备：物理隔离网闸。逻辑隔离主要通过逻辑隔离器实现，逻辑隔离器是一种不同网络间的隔离部件，被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道。物理隔离3种技术：单向连接、网络开关、实时交换。10、隔离网闸的原理与特点。原理：隔离网闸技术原理是利用专用硬件保证两个网络在链路层断开的前提下实现数据安全传输和资源共享。特点：（1）真正的物理隔离（2）抗攻击内核（3）完全支持所有的互联网标准（4）支持身份认证第四章安全审计与入侵检测1、什么是审计，审计的目的是什么，依据什么来审计。审计：采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。审计目的：防止越权操作。根据适当安全结构的安全策略，确保与开发系统互连的安全有关的事件得到处理。1）辅助辨识和分析未经授权的活动或攻击；2）帮助保证那些实体响应行动处理这些活动。3）促进开发改进的损伤控制处理程序。4）认可与已建立的安全策略的一致性。5）报告那些可能与系统控制不相适应的信息。6）辨识可能需要的对控制，策略和处理程序的改变。审计依据：日志文件。入侵检测的定义及其组成，IDS的组成，常用的IDS的组成及其功能，分类。入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。组成：1、Denning模型：1）实体2）对象3）审计记录4）活动档案5）异常记录6）活动规则2、CIDF模型：1）IDS的体系结构（图）2）通信机制3）描述语言4）应用编程接口（API）功能：1）检测和分析用户与系统的活动。2）审计系统配置和脆弱性。3）评估关键系统和数据文件的一致性。4）识别反映已知攻击的活动模式。5）非正常活动模式的统计分析。6）操作系统的审计跟踪管理，通过用户的活动识别违规操作。分类：1）异常检测和误用检测2）基于主机和网络的检测3）离线检测和在线检测2、什么是异常检测，误用检测，两者有什么不同。异常检测：根据使用者的行为或资源使用状况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测。也被称为基于行为的检测。误用检测：将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。也称为基于知识的检测或模式匹配检测。区别：在入侵检测系统的配置方面，基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多；基于异常检测技术的入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量。3、入侵容忍系统、IPS的概念及其作用，IPS与1。，、防火墙的区别。入侵容忍ITS：指网络系统在遭受入侵破坏，而一些安全技术都失败时，入侵容忍就可以作为系统的最后一道防线，即使系统的某些组件遭受攻击者的破坏，但整个系统仍能提供全部或降级的服务。入侵防御系统IPS：具备IDS的检测能力，同时具备实时中止网络入侵的新型安全技术设备。IPS与IDS、防火墙的区别：1、IDS是动态安全技术，但不会主动在攻击发生前阻断它们，是被动的。而IPS则倾向于提供主动性的防护。2、防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，拦截不符合安全策略的数据包。而IPS是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。IPS是嵌入到网络流量中实现的。第五章：网络通信安全1、虚拟专用网VPN的概念虚拟专用网VPN是依靠ISP和其他NSP在公共网络中建立专用的数据通信网络的技术。所谓虚拟，是指用户不再需要拥有实际的长途线路，而是使用Internet公众数据网络的长途数据网络。所谓专用网，是指用户可以为自己制定一个最符合自己需求的网络。分类:远程访问虚拟网；企业内部虚拟网；企业扩展虚拟网。作用：提供数据加密，信息认证，身份认证，访问权限控制。特点：费用低，灵活性大，易于管理维护。2、VPN的实现技术1、密码技术：密码技术大体上可以分为对称密钥加密和非对称密钥加密两类，另外密钥管理也是非常重要的技术。2、身份认证技术：认证技术防止数据的伪造和被纂改，它采用一种称为“报文摘要”的技术。3、隧道技术：VPN的核心技术。有自愿隧道和强制隧道两种。3、隧道技术的原理。隧道技术是一种通过使用互联网的基础设施在网络之间传递数据的方式。隧道技术通过对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，隧道协议将在隧道中传递的不同协议的数据帧或包，并重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互连网络传递。隧道技术是指包裹数据封装、传输和解包在内的全过程。4、VPN的隧道协议有无加密及其位置。加密：点到点隧道协议（PPTP）、第2层隧道协议（L2TP）、IP安全协议（IPSec）、Socks、SSLVPN。无加密：第2层转发协议（L2F）、通用路由封装协议（GRE）。几种隧道协议VPN位置：数据链路层：PPTP、L2F、L2TP网络层：IPSec传输层：Socksv5会话层：SSL5、网络攻击有哪些阶段及其特征。（3个阶段）1、攻击的准备阶段：1）确定攻击目标2）准备攻击工具3）收集目标信息2、攻击的实施阶段：1）隐藏自己的位置2）利用收集到的信息获取账号和密码，登录主机。3）利用漏洞、后门获取控制权并窃取网络资源和特权。3、攻击的善后阶段：对日志文件中有关自己的那一部分进行修改。6、拒绝服务攻击（DoS）与防范措施。拒绝服务攻击（DoS）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。常见的拒绝服务攻击有：1、SYN泛洪（SYNFlooding）2、Smurf攻击3、死亡之ping（pingofdeath）4、泪滴攻击（teardrop）5、land攻击6、电子邮件炸弹拒绝服务攻击的防范：1、主机设置：1）关闭不必要的服务2）将数据包的连接数从默认值128或512修改为2048或更大，以加长每次处理数据包队列的长度，以缓解和消化更多数据包的连接。3）将连接超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包。4）及时更新系统、安装补丁。2、防火墙的设置：1）禁止对主机非开放服务的访问。2）限制同时打开的数据包最大连接数。3）限制特定IP地址的访问。4）启用防火墙的防DDoS的属性。5）严格限制对外开放服务器的向外访问，以防止自己的服务器被当作工具攻击他人。6）RandomDrop算法3、路由器设置：1）CiscoExpressForwarding2）使用Unicastreverse-path3）访问控制列表（ACL）过滤4）设置数据包流量速率5）升级版本过低的IOS6）为路由器建立logserver4、利用负载均衡技术。第六章：系统安全系统安全包括数据库安全和系统安全两方面。1、操作系统面临的威胁。1）病毒和蠕虫：病毒是能够进行自我复制的一组计算机指令或者程序代码。蠕虫类似于病毒，它可以侵入合法的数据处理程序，更改或破坏这些数据。2）逻辑炸弹：逻辑炸弹是加在应用程序上的程序。一般逻辑炸弹都被添加在被感染应用程序的起始处，每当主应用程序运行时就会运行逻辑炸弹。3）特洛伊木马：特洛伊木马是一段计算机程序，表面上在执行合法任务，实际上却具有用户不曾料到的非法功能。4）隐蔽通道：隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。5）天窗：天窗是嵌在操作系统里的一段非法代码，入侵者利用该代码提供的方法侵入操作系统而不受检查。2、操作系统的加固指南。1、端口和进程。2安装系统补丁。3、密码强度及存储。4、用户账户。5、用户特权。6、文件系统安全。7、远程访问的安全。8、服务标题、操作系统指纹。3、数据库安全需求。1、数据库的完整性。2、数据元素的完整性。3、审计性。4、可用性。5、访问控制。6、用户认证。4、数据库安全技术包含哪些？数据库的完整性控制、数据库的安全性控制和数据库的加密技术三种。5、库内、库外加密技术的特点。库内加密：库内加密在DBMS内核层实现加密，加/解密过程对用户与应用透明。优点是加密功能强，并且加密功能几乎不会影响DBMS原有的功能，这一点与库外加密方式对比时更为明显。缺点是性能影响较大和密钥管理安全风险大。库外加密：在库外加密方式中，加/解密过程发生在DBMS之外。其优点是不会加重数据库服务器的负载并可实现网上传输加密。缺点是加密后数据库功能会受一些限制。6、数据库备份的方式、分类。数据库备份方式有：全备份、增量备份、差分备份。库备份，事务日志备份，文件备份。数据库备份的分类：1、离线数据库备份。2.、在线数据库备份。3、数据库增量备份：逻辑增量备份和物理增量备份。7、日志文件的作用。日志文件可以用来进行实物故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复。8、恢复机制两个关键问题：一：如何建立冗余数据，二：如何利用这些冗余数据实施数据库恢复。故障及其相应的恢复策略。1、事务故障的恢复策略：第一步：反响扫描日志文件，即从最后向前扫描，查找该事务的更新操作。第二步：对该事务的更新操作执行逆操作。第三步：继续反向扫描日志文件，查找该事务的其他更新操作，并做同样处理。第四步：如此处理下去，直至读到此事务的开始标记，事务故障恢复就完成了。2、系统故障的恢复策略：第一步：正向扫描日志文件，找出在故障发生前已提交的事务，将其事务标记记入重做队列。第二步：对撤销队列中的各个事务进行撤销(UNDO)处理。第三步：对重做队列中的各个事务进行重做(REDO)处理。3、介质故障的恢复策略：第一步：装入最新的数据库后备副本，使数据库恢复到最近一次转存时的一致性状态。第二步：装入相应的日志文件副本，重做已完成的事务。9、检查点的好处。改善恢复效率。第七章：应用安全1、Web站点的安全威胁及其恢复技术。Web站点的威胁：1、对Web的依赖。2、黑客的攻击。3、病毒的干扰。4、工业间谍。5、恶意代码。6、舞弊和盗窃。7、不满的员工。8、错误或失误。9、网关接口的漏洞。10、机密性缺口。11、Web诈骗。12、网上钓鱼。恢复技术：Inforguard:1）、四重防护技术。2）、高效同步技术。3）、安全传输。Webguard:（网站监控与恢复，发布与同步，报警，日志备份，用户认证，篡改分析，审计等）2、电子邮件包含哪些协议（技术）。1）、使用安全的邮件客户端。2）、使用纯文本。3）、使用多层防御。4）、合理运用反病毒工具。5）、垃圾邮件过滤器。6）、在思想上和制度上。3、应用程序安全有哪几类？应用程序的安全问题（1、耗时程序。2、死锁问题。3、病毒程序。4、蠕虫程序。），安全程序的开发，开发工具的安全第八章数据备份与恢复1、数据备份有哪些类型。1）按备份的数据量划分：1完全备份2增量备份3差分备份4按需备份2）按备份状态划分：1物理备份（包括冷备份热备份）2逻辑备份3）按备份的层次划分：1硬件冗余2软件备份4）备份的地点划分：1本地备份2异地备份2、常用的备份设备及其特点，重点：磁盘技术。P362的表格需要注意。设备：1磁带设备（磁带机和磁带库）2磁盘阵列（RAID技术：速度，安全）3光盘库3、企业常用数据备份技术：DAS（存储设备是通过电缆直接到服务器上）、NAS（是一台服务器，连接在网络上，具备资料存储功能的装置特点：集中化的网络文件服务器提供文件级的数据访问功能）、SAN（存储区域网采用高速的光纤通道为传输媒体针对大量，面向数据块的数据传输）网络结构，双机备份（双机互备模式和双机热备份模式）4、心跳线的作用。功能是：侦测，在集群结点间保持着间歇的通信信号。周期性的检测各个结点的状态，如果连续没有收到心跳信号到了一定的数目，则认为相应的系统已经出现故障。5、灾难恢复的定义，常用的灾难备份恢复软件。定义：在发生灾难性事故的时候，用户能利用已备份的数据或其他手段，及时对原系统进行恢复，以保证数据的安全性以及业务的连续性。常用软件：1）Symantec公司的Norton安全软件系列2）Symantec公司的VeritasStorageFoundation及