全国计算机等级考试三级信息安全技术知识点总结_第1页
全国计算机等级考试三级信息安全技术知识点总结_第2页
全国计算机等级考试三级信息安全技术知识点总结_第3页
全国计算机等级考试三级信息安全技术知识点总结_第4页
全国计算机等级考试三级信息安全技术知识点总结_第5页
已阅读5页,还剩7页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

千里之行,始于足下。第2页/共2页精品文档推荐全国计算机等级考试三级信息安全技术知识点总结第一章信息安全保障概述

1.1信息安全保障背景

1.1.1信息技术及其进展时期

信息技术两个方面:生产:信息技术产业;应用:信息技术扩散

信息技术核心:微电子技术,通信技术,计算机技术,网络技术

第一时期,电讯技术的发明;第二时期,计算机技术的进展;第三时期,互联网的使用

1.1.2信息技术的妨碍

积极:社会进展,科技进步,人类日子

消极:信息泛滥,信息污染,信息犯罪

1.2信息安全保障基础

1.2.1信息安全进展时期

通信保密时期(20世纪四十年代):机密性,密码学

计算机安全时期(20世纪六十和七十年代):机密性、拜访操纵与认证,公钥密码学(DiffieHellman,DES),计算机安全标准化(安全评估标准)

信息安全保障时期:信息安全保障体系(IA),PDRR模型:爱护(protection)、检测(detection)、响应(response)、恢复(restore),我国PWDRRC模型:爱护、预警(warning)、监测、应急、恢复、反击(counter-attack),BS/ISO7799标准(有代表性的信息安全治理体系标准):信息安全治理实施细则、信息安全治理体系规范

1.2.2信息安全的含义

一是运行系统的安全,二是系统信息的安全:口令鉴不、用户存取权限操纵、数据存取权限方式操纵、审计跟踪、数据加密等

信息安全的基本属性:完整性、机密性、可用性、可操纵性、别可否认性

1.2.3信息系统面临的安全风险

1.2.4信息安全咨询题产生的根源:信息系统的复杂性,人为和环境的威胁

1.2.5信息安全的地位和作用

1.2.6信息安全技术

核心基础安全技术:密码技术

安全基础设施技术:标识与认证技术,授权与拜访操纵技术

基础设施安全技术:主机系统安全技术,网络系统安全技术

应用安全技术:网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术,恶意代码监测与防护技术

支撑安全技术:信息安全评测技术,信息安全治理技术

1.3信息安全保障体系

1.3.1信息安全保障体系框架

生命周期:规划组织,开辟采购,实施交付,运行维护,废弃

保障要素:技术,治理,工程,人员

安全特征:机密性,完整性,可用性

1.3.2信息系统安全模型与技术框架

P2DR安全模型:策略(policy),防护,检测,响应;防护时刻大于检测时刻加上响应时刻,安全目标暴露时刻=检测时刻+响应时刻,越小越好;提高系统防护时刻,落低检测时刻和响应时刻

信息保障技术框架(IATF):纵深防备策略():人员,技术,操作;技术框架焦点域:爱护本地计算机,爱护区域边界,爱护网络及基础设施,爱护支撑性基础设施

1.4信息安全保障基本实践

1.4.1国内外信息安全保障工作概况

1.4.2信息安全保障工作的内容

确定安全需求,设计和实施安全方案,举行信息安全评测,实施信息安全监控

第二章信息安全基础技术与原理

2.1密码技术

2.1.1对称密码与非对称密码

对称密钥密码体制:发送方和接收方使用相同的密钥

非对称密钥密码体制:发送方和接收方使用别同的密钥

对称密钥体制:

加密处理速度快、保密度高,密钥治理分发复杂代价高、数字签名困难

分组密码:一次加密一具明文分组:DES,IDEA,AES;序列密码:一次加密一位或者一具字符:RC4,SEAL

加密办法:代换法:单表代换密码,多表代换;置换法

安全性:攻击密码体制:穷举攻击法(关于密钥长度128位以上的密钥空间别再有效),密码分析学;典型的密码攻击:唯密文攻击,已知明文攻击,挑选明文攻击(加密算法普通要可以反抗挑选明文攻击才以为是最安全的,分析办法:差分分析和线性分析),挑选密文攻击

基本运算:异或,加,减,乘,查表

设计思想:扩散,混淆;乘积迭代:乘积密码,常见的乘积密码是迭代密码,DES,AES

数据加密标准DES:基于Feistel网络,3DES,有效密钥位数:56

国际数据加密算法IDEA:利用128位密钥对64位的明文分组,经延续加密产生64位的密文分组

高级加密标准AES:SP网络

分组密码:电子密码本模式ECB,密码分组链模式CBC,密码反馈模式CFB,输出反馈模式OFB,计数模式CTF

非对称密码:

基于难解咨询题设计密码是非对称密码设计的要紧思想,NP咨询题NPC咨询题

克服密钥分配上的困难、易于实现数字签名、安全性高,落低了加解密效率

RSA:基于大合数因式分解难得咨询题设计;既可用于加密,又可用于数字签名;目前应用最广泛

ElGamal:基于离散对数求解困难的咨询题设计

椭圆曲线密码ECC:基于椭圆曲线离散对数求解困难的咨询题设计

通常采纳对称密码体制实现数字加密,公钥密码体制实现密钥治理的混合加密机制

2.1.2哈希函数

单向密码体制,从一具明文到密文的别可逆的映射,惟独惟独加密过程,没有解密过程

可将任意长度的输入通过变换后得到固定长度的输出(原消息的散列或消息摘要)

应用:消息认证(基于哈希函数的消息认证码),数字签名(对消息摘要举行数字签名口令的安全性,数据完整性)

消息摘要算法MD5:128位

安全散列算法SHA:160位

SHA比MD5更安全,SHA比MD5速度慢了25%,SHA操作步骤较MD5更简单

2.1.3数字签名

经过密码技术实现,其安全性取决于密码体制的安全程度

一般数字签名:RSA,ElGamal,椭圆曲线数字签名算法等

特别数字签名:盲签名,代理签名,群签名,别可否认签名,具有消息恢复功能得签名等

常对信息的摘要举行签名

美国数字签名标准DSS:签名算法DSA

应用:鉴权:重放攻击;完整性:同形攻击;别可抵赖

2.1.4密钥治理

包括密钥的生成,存储,分配,启用与停用,操纵,更新,撤销与销毁等诸多方面密钥的分配与存储最为关键

借助加密,认证,签名,协议和公证等技术

密钥的隐秘性,完整性,真实性

密钥产生:噪声源技术(基于力学,基于电子学,基于混沌理论的密钥产生技术);主密钥,加密密钥,会话密钥的产生

密钥分配:

分配手段:人工分发(物理分发),密钥交换协议动态分发

密钥属性:隐秘密钥分配,公开密钥分配

密钥分配技术:基于对称密码体制的密钥分配,基于公钥密码体制的密钥分配

密钥信息交换方式:人工密钥分发,赋予中心密钥分发,基于认证密钥分发

人工密钥分发:主密钥

基于中心的密钥分发:利用公开密钥密码体制分配传统密码的密钥;可信第三方:密钥分发中心KDC,密钥转换中心KTC;拉模型,推模型;密钥交换协议:Diffie-Hellman算法

公开密钥分配:公共公布;公用名目;公约授权:公钥治理机构;公钥证书:证书治理机构CA,目前最流行

密钥存储:

公钥存储

私钥存储:用口令加密后存放在本地软盘或硬盘;存放在网络名目服务器中:私钥存储服务PKSS;智能卡存储;USBKey存储

2.2认证技术

2.2.1消息认证

产生认证码的函数:

消息加密:整个消息的密文作为认证码

消息认证码(MAC):利用密钥对消息产生定长的值,并以该值作为认证码;基于DES的MAC算法

哈希函数:将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码

2.2.2身份认证

身份认证系统:认证服务器、认证系统客户端、认证设备

系统要紧经过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件举行实现

认证手段:

静态密码方式

动态口令认证:动态短信密码,动态口令牌(卡)

USBKey认证:挑战/应答模式,基于PKI体系的认证模式

生物识不技术

认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证

2.3拜访操纵技术

拜访操纵模型:

自主拜访操纵(DAC):拜访矩阵模型:拜访能力表(CL),拜访操纵表(ACL);商业环境中,大多数系统,如主流操作系统、防火墙等

强制拜访操纵(DAC):安全标签:具有偏序关系的等级分类标签,非等级分类标签,比较主体和客体的安全标签等级,,拜访操纵安全标签列表(ACSLL);拜访级不:最高隐秘级,隐秘级,机密级,无级不及;Bell-Lapadula模型:只允许向下读、向上写,保证数据的保密性,Biba别允许向下读、向上写,爱护数据完整性;ChineseWall模型:多边安全系统中的模型,包括了MAC和DAC的属性

基于角群的拜访操纵(RBAC):要素:用户,角XXX,许可;面向企业,大型数据库的权限治理;用户别能自主的将拜访权限授权给不的用户;MAC基于多级安全需求,RBAC别是

2.3.2拜访操纵技术

集中拜访操纵:

认证、授权、审计治理(AAA治理)

拨号用户远程认证服务RADIUS:提供集中式AAA治理;客户端/服务器协议,运行在应用层,使用UDP协议;组合认证与授权服务

终端拜访操纵器拜访操纵系统TACACS:TACACS+使用TCP;更复杂的认证步骤;分隔认证、授权、审计

Diameter:协议的实现和RADIUS类似,采纳TCP协议,支持分布式审计

非集中式拜访操纵:

单点登录SSO

Kerberos:使用最广泛的身份验证协议;引入可信的第三方。Kerberos验证服务器;能提供网络信息的保密性和完整性保障;支持双向的身份认证

SESAME:认证过程类似于Kerberos

2.4审计和监控技术

2.4.1审计和监控基础

审计系统:日志记录器:收集数据,系统调用Syslog收集数据;分析器:分析数据;通告器:通报结果

2.4.2审计和监控技术

恶意行为监控:主机监测:可监测的地址空间规模有限;网络监测:蜜罐技术(软件honeyd),蜜网(诱捕网络):高交互蜜罐、低交互蜜罐、主机行为监视模块

网络信息内容审计:办法:网络舆情分析:舆情分析引擎、自动信息采集功能、数据清理功能;技术:网络信息内容猎取技术(嗅探技术)、网络内容还原分析技术;模型:流水线模型、分段模型;别良信息内容监控办法:网址、网页内容、图片过滤技术

第三章系统安全

3.1操作系统安全

3.1.1操作系统安全基础

基本安全实现机制:

CPU模式和爱护环:内核模式、用户模式

进程隔离:使用虚拟地址空间达到该目的

3.1.2操作系统安全实践

UNIX/Linux系统:

文件系统安全:所有的事物基本上文件:正规文件、名目、特别文件(/dev下设备文件)、链接、Sockets;文件系统安全基于i节点中的三层关键信息:UID、GID、模式;模式位,权限位的八进制数表示;设置SUID(使一般用户完成一些一般用户权限别能完成的事而设置)和SGID,体如今所有者或同组用户权限的可执行位上;chmod改变文件权限设置、chown、chgrp;uXXXask创建文件默认权限

账号安全治理:/etc/passwd、/etc/shadow;伪用户账号;root账户治理:超级用户账户可别止一具,将UID和GID设置为0即可,使用可插入认证模块PAM举行认证登录

日志与审计:日志系统:记录连接时刻的日志:/var/log/wtmp、/var/run/utmp,进程统计:pacct与acct,错误日志:/var/log/messages

Windows系统:

Windows安全子系统:winlogon和图形化标识和验证GINA、本地安全认证、安全支持提供者的接口(SSPI)、认证包、安全支持提供者、网络登录服务、安全账号治理器(SAM)

登录验证:Kerberos

用户权力与权限:用户权限:名目权限、文件权限;共享权限

日志与审计:系统日志、应用程序日志、安全日志

安全策略:密码策略;锁定策略;审核策略;用户全力指派;安全选项;装载自定义安全模板;windows加密文件系统

可信计算技术:

可信计算平台联盟(TCPA),可信计算组织(TCG)

可信PC,可新平台模块(TPM),可信软件栈(TSS),可信网络连接(TNC)

可信平台模块(TPM):具有密码运算能力和存储能力,是一具含有密码运算部件和存储部件的小型片上系统;物理可信、治理可信的;

可信密码模块(TCM):中国

可信计算平台:三个层次:可信平台模块(信任根)、可信软件栈、可信平台应用软件;我国:可信密码模块、可信密码模块服务模块、安全应用

可信网络连接(TNC):开放性、安全性

3.2数据库安全

3.1.1数据库安全基础

统计数据库安全

现代数据库运行环境:多层体系结构,中间层完成对数据库拜访的封装

数据库安全功能:

用户标识和鉴定

存取操纵:自主存取操纵:用户权限有两个要素组成:数据库对象和操作类型,GRANT语句向用户授予权限,REVOKE语句收回授予的权限,角群:权限的集合;强制存取操纵:主体和客体,敏感度标记:许可证级不(主体)、密级(客体),首先要实现自主存取操纵

审计:用户级审计、系统审计;AUDIT设置审计功能,NOAUDIT取消审计功能

数据加密

视图与数据保密性:将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上再进一步定义存取权限

数据完整性:

语义完整性,参照完整性,实体完整性

约束:优先于使用触发器、规则和默认值

默认值:CREATEDEFAULT

规则:CREATERULE,USEEXECsp_bindefault,DROPRULE

事务处理:BEGAINTRANSACTION,COMMIT,ROLLBACK;原子性、一致性、隔离性、持久性;自动处理事务、隐式事物、用户定义事物、分布式事务

3.2.2数据库安全实践

数据库十大威胁:

过度的特权滥用;合法的特权滥用;特权提升;平台漏洞;SQL注入;别健全的审计;拒绝服务;数据库通信协议漏洞;别健全的认证;备份数据库暴露

安全防护体系:事前检查,事中监控,事后审计

数据库安全特性检查:

端口扫描(服务发觉):对数据库开放端口举行扫描;渗透测试:黑盒式的安全监测,攻击性测试,对象是数据库的身份验证系统和服务监听系统,监听器安全特性分析、用户名和密码渗透、漏洞分析;内部安全监测:安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测

数据库运行安全监控:网络嗅探器、数据库分析器、SQL分析器、安全审计

第四章网络安全

4.1网络安全基础

4.1.1TCP/IP体系架构

4.1.2网络协议

数据链路层协议:地址解析协议(ARP),逆向地址解析协议(RARP)

网络层协议:IP协议,Internet操纵报文协议(ICMP):发送出错和操纵消息,提供了一具错误侦测与回馈机制

传输层协议:TCP协议,UDP协议

应用层协议:HTTP,SMTP和POP3,DNS

4.2网络安全威胁技术

4.2.1扫描技术

互联网信息搜集

IP地址扫描:操作系统命令ping(网络故障诊断命令)、tracer,自动化的扫描工具Namp、Superscan

端口扫描:Namp软件;TCP全连接扫描,TCPSYN扫描,TCPFIN扫描,UDP的ICMP端口别可达扫描,ICMP扫描;乱序扫描和慢速扫描

漏洞扫描:网络漏洞扫描:模拟攻击技术;主机漏洞扫描:漏洞特征匹配技术、补丁安装信息的检测

弱口令扫描:基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术

综合漏洞扫描:Nessus

扫描防范技术:防火墙,用安全监测工具对扫描行为举行监测

4.2.2网络嗅探

非主动类信息猎取攻击技术

防范:实现对网络传输数据的加密,VPN、SSL、SSH等加密和传输的技术和设备,利用网络设备的物理或者逻辑隔离的手段

4.2.3网络协议欺骗

IP地址欺骗:和其他攻击技术相结合

ARP欺骗:中间人欺骗(局域网环境内实施),伪装

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论