信息安全技術(shù)基礎--期末考點總結(jié)

1、4信息安全就是只遭受病毒攻擊，這種說法正確嗎？不正確，信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷，最終實現(xiàn)業(yè)務連續(xù)性。信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全本身包括的范圍很大，病毒攻擊只是威脅信息安全的一部分原因，即使沒有病毒攻擊，信息還存在偶然泄露等潛在威脅，所以上述說法不正確。5.網(wǎng)絡安全問題主要是由黑客攻擊造成的，這種說法正確嗎？不正確。談到信息安全或者是網(wǎng)絡安全，很多人自然而然地聯(lián)想到黑客

2、，實際上，黑客只是實施網(wǎng)絡攻擊或?qū)е滦畔踩录囊活愔黧w，很多信息安全事件并非由黑客（包括內(nèi)部人員或還稱不上黑客的人）所為，同時也包括自然環(huán)境等因素帶來的安全事件。補充：信息安全事件分類有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件設備設施故障、災害性事件、其它事件3.信息系統(tǒng)的可靠性和可用性是一個概念嗎？它們有什么區(qū)別？不是。信息安全的可靠性：保證信息系統(tǒng)為合法用戶提供穩(wěn)定、正確的信息服務。信息安全的可用性：保證信息與信息系統(tǒng)可被授權(quán)者在需要的時候能夠訪問和使用。區(qū)別：可靠性強調(diào)提供服務的正確、穩(wěn)定，可用性強調(diào)提供服務訪問權(quán)、使用權(quán)。5.一個信息系統(tǒng)的可靠性可以從哪些方面度量？

3、可以從抗毀性、生存性和有效性三個方面度量,提供的服務是否穩(wěn)定以及穩(wěn)定的程度，提供的服務是否正確。7.為什么說信息安全防御應該是動態(tài)和可適應的？信息安全防御包括（1）對系統(tǒng)風險進行人工和自動分析，給出全面細致的風險評估。（2）通過制訂、評估、執(zhí)行等步驟建立安全策略體系（3）在系統(tǒng)實施保護之后根據(jù)安全策略對信息系統(tǒng)實施監(jiān)控和檢測（4）對已知一個攻擊（入侵）事件發(fā)生之后進行響應等操作保障信息安全必須能夠適應安全需求、安全威脅以及安全環(huán)境的變化，沒有一種技術(shù)可以完全消除信息系統(tǒng)及網(wǎng)絡的安全隱患，系統(tǒng)的安全實際上是理想中的安全策略和實際執(zhí)行之間的一個平衡。實現(xiàn)有效的信息安全保障，應該構(gòu)建動態(tài)適應的、合理

4、可行的主動防御，而且投資和技術(shù)上是可行的，而不應該是出現(xiàn)了問題再處理的被動應對。4.什么是PKI？“PKI是一個軟件系統(tǒng)”這種說法是否正確？PKI是指使用公鑰密碼技術(shù)實施和提供安全服務的、具有普適性的安全基礎設施，是信息安全領(lǐng)域核心技術(shù)之一。PKI通過權(quán)威第三方機構(gòu)授權(quán)中心CA(Certification Authority)以簽發(fā)數(shù)字證書的形式發(fā)布有效實體的公鑰。正確。PKI是一個系統(tǒng)，包括技術(shù)、軟硬件、人、政策法律、服務的邏輯組件，從實現(xiàn)和應用上看，PKI是支持基于數(shù)字證書應用的各個子系統(tǒng)的集合。5.為什么PKI可以有效解決公鑰密碼的技術(shù)應用？PKI具有可信任的認證機構(gòu)（授權(quán)中心），在公鑰

5、密碼技術(shù)的基礎上實現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放、撤銷等功能，并包括實現(xiàn)這些功能的硬件、軟件、人力資源、相關(guān)政策和操作規(guī)范，以及為PKI體系中的各個成員提供全部的安全服務。簡單地說，PKI是通過權(quán)威機構(gòu)簽發(fā)數(shù)字證書、管理數(shù)字證書，通信實體使用數(shù)字證書的方法、過程和系統(tǒng)。實現(xiàn)了PKI基礎服務實現(xiàn)與應用分離，有效解決公鑰使用者獲得所需的有效的、正確的公鑰問題。1什么是安全協(xié)議？安全協(xié)議與傳統(tǒng)的網(wǎng)絡協(xié)議有何關(guān)系與區(qū)別？答：安全協(xié)議是為了實現(xiàn)特定的安全目標，以密碼學為基礎的消息交換協(xié)議，其目的是在網(wǎng)絡環(huán)境中提供各種安全服務。網(wǎng)絡協(xié)議為計算機網(wǎng)絡中進行數(shù)據(jù)交換而建立的規(guī)則、標準或約定的集合，它是面向計算

6、機網(wǎng)絡的，是計算機通信時采用的語言。網(wǎng)絡協(xié)議使網(wǎng)絡上各種設備能夠相互交換信息。常見的協(xié)議有：TCP/IP協(xié)議等。網(wǎng)絡協(xié)議是由三個要素組成：語義、語法、時序。人們形象地把這三個要素描述為：語義表示要做什么，語法表示要怎么做，時序表示做的順序。區(qū)別與聯(lián)系：兩者都是針對協(xié)議實體之間通信問題的協(xié)議，網(wǎng)絡協(xié)議是使具備通信功能，安全協(xié)議旨在通信的同時，強調(diào)安全通信。1.為什么說WLAN比有線網(wǎng)絡更容易遭受網(wǎng)絡攻擊？（1）有線網(wǎng)絡中存在的網(wǎng)絡安全威脅在WLAN中都存在。（2）WLAN固有的特點-開放的無線通信鏈路，使得網(wǎng)絡安全問題更為突出，從而WLAN面臨更多的安全隱患。例如：在兩個無線設備間傳輸未加密的敏

7、感數(shù)據(jù)，容易被截獲并導致泄密。惡意實體更容易干擾合法用戶的通信，更容易直接針對無線連接或設備實施拒絕服務攻擊DoS，并坑你跟蹤他們的行為。11如果讓你來設計WLAN安全機制，請論述你將考慮的方面以及設計思路。WLAN需要解決的問題（138）：01. 訪問控制。只有合法的實體才能夠訪問WLAN及其相關(guān)資源。02. 鏈路保密通信。無線鏈路通信應該確保數(shù)據(jù)的保密性、完整性及數(shù)據(jù)源的可認證性?；谏鲜鲂枨螅琖LAN安全機制應該包括實體認證、鏈路加密和完整性保護、數(shù)據(jù)源認證等，此外應該考慮防止或降低無線設備遭受DoS攻擊。大致設計思路：采用基于密碼技術(shù)的安全機制，借鑒全新的WLAN安全基礎架構(gòu)健壯安全網(wǎng)

8、絡關(guān)聯(lián)RSNA設計建立過程：（1）基于IEEE 802.1X或預共享密鑰PSK實現(xiàn)認證與密鑰管理，建立RSNA。（2）在RSNA建立過程中，使用協(xié)議棧中一些相關(guān)標準協(xié)議，確保協(xié)議的安全性。（3）密鑰管理協(xié)議部分：采用4次握手密鑰協(xié)商協(xié)議用于在STA與AP之間協(xié)商產(chǎn)生和更新共享臨時密鑰，以及密鑰使用方法。（4）STA與AP之間相互認證之后，使用數(shù)據(jù)保密協(xié)議保護802.11數(shù)據(jù)幀。6.若一個單位部署防火墻時，需要對外提供Web和E-mail服務，如何部署相關(guān)服務器？答：部署過程如下圖：部署：在內(nèi)部網(wǎng)與Internet之間設置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)和屏蔽子網(wǎng)與Internet之間各設

9、置一個屏蔽路由器（防火墻）。這種防火墻部署也稱為DMZ部署方式：提供至少3個網(wǎng)絡接口：一個用于連接外部網(wǎng)絡通常是Internet，一個用于連接內(nèi)部網(wǎng)絡，一個用于連接提供對外服務的屏蔽子網(wǎng)。DMZ是一個安全系統(tǒng)與非安全系統(tǒng)之間的一個緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間，放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。9.什么是入侵檢測系統(tǒng)？如何分類？答：入侵檢測系統(tǒng)：通過收集和分析計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。分類：主機型IDS、網(wǎng)絡型IDS主機型IDS:安裝在服務器或PC機上的軟件，監(jiān)測到

10、達主機的網(wǎng)絡信息流網(wǎng)絡型IDS:一般配置在網(wǎng)絡入口處或網(wǎng)絡核心交換處，通過旁路技術(shù)監(jiān)測網(wǎng)絡上的信息流。10.網(wǎng)絡入侵檢測系統(tǒng)是如何工作的？1）截獲本地主機系統(tǒng)的網(wǎng)絡數(shù)據(jù)，查找出針對本地系統(tǒng)的非法行為。2）掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對文件進行保護、恢復等。3）通過輪詢等方式監(jiān)聽系統(tǒng)的進程及其參數(shù)，檢查出非法進程。4）查詢系統(tǒng)各種日志文件，報告非法的入侵者。15.入侵檢測技術(shù)和蜜罐技術(shù)都是用于檢測網(wǎng)絡入侵行為的，它們有什么不同？入侵檢測系統(tǒng)是根據(jù)人定義的規(guī)則、模式阻止非授權(quán)訪問或入侵網(wǎng)絡資源的行為。其收集和分析計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是

11、否存在違反安全策略的行為和被攻擊的跡象，其前提即已知非法訪問規(guī)則和入侵方式，否則容易產(chǎn)生誤判。蜜罐(Honeypot)技術(shù)則是可以在不確定攻擊者手段和方法前提下發(fā)現(xiàn)攻擊。發(fā)現(xiàn)自身系統(tǒng)已知或未知的漏洞和弱點。它可以看成是一種誘導技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。蜜罐技術(shù)可以運行任何的操作系統(tǒng)和任意數(shù)量的服務，蜜罐上配置的服務決定了攻擊者可用的損害和探測系統(tǒng)的媒介。16.如果你是一個單位的網(wǎng)絡安全管理員，如何規(guī)劃部署網(wǎng)絡安全產(chǎn)品？答：安裝安全的無線路由器（防火墻）、選擇安全的路由器名字、定制密碼、隱藏路由器名字、限制網(wǎng)絡訪問、選擇一種安全的加密模式、考慮使用入侵檢測系統(tǒng)或蜜罐等高級技術(shù)。2.信息隱藏

12、與傳統(tǒng)數(shù)據(jù)加密有什么區(qū)別？信息隱藏過程中加入加密算法的優(yōu)點是什么？信息隱藏就是利用特定載體中具有隨機特性的冗余部分，將有特別意義的或重要的信息嵌入其中掩飾其存在，嵌入的秘密信息稱為隱藏信息，現(xiàn)代信息隱藏通常要把傳輸?shù)拿孛苄畔懙綌?shù)字媒介中，如圖像、聲音、視頻信號等，其目的在于將信息隱藏的足夠好，以使非法用戶在截獲到媒介物時不會懷疑媒介中含有隱藏信息。傳統(tǒng)數(shù)據(jù)加密指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，其目的是使明文信息不可見，它的核心是密碼學。優(yōu)點：由于隱藏算法必須能夠承受一定程度的人為攻擊，保證隱藏信息不會破壞，所以信息隱藏中使用加密算法，增強了隱藏信息的抗攻擊能力，更加有利于對信息的安全

13、性保護，5.什么是數(shù)字水印？數(shù)字水印技術(shù)與信息隱藏技術(shù)有什么聯(lián)系和區(qū)別？數(shù)字水印是指嵌入在數(shù)字產(chǎn)品中的、不可見、不易移除的數(shù)字信號，可以是圖像、符號、數(shù)字等一切可以作為標識和標記的信息，其目的是進行版權(quán)保護、所有權(quán)證明、指紋（追蹤發(fā)布多份拷貝）和完整性保護等。聯(lián)系和區(qū)別：信息隱藏與數(shù)字水印都是采用信息嵌入的方法，可以理解為信息隱藏的概念更大，但通常講到的信息隱藏是隱秘和保護一些信息傳遞，而數(shù)字水印是提供版權(quán)證明和知識保護，二者目的不同。8.如何對數(shù)字水印進行攻擊？從數(shù)字水印的2個主要性質(zhì)：魯棒性、不可見性入手?；诠魷y試評價，分析數(shù)字水印的魯棒性，結(jié)合使用峰值信噪比PSNR分析數(shù)字水印不可見

14、性，使用低通濾波、添加噪聲、去噪處理、量化、幾何變換(縮放、旋轉(zhuǎn)、平移、錯切等)、一般圖像處理(灰度直方圖調(diào)整、對比度調(diào)整、平滑處理、銳化處理等)、剪切、JPEG壓縮、小波壓縮等方式綜合完成數(shù)字水印進行攻擊。9.RSA及公鑰密碼體制的安全基礎：RSA密碼系統(tǒng)的安全性依賴兩個數(shù)學問題：大數(shù)分解問題、RSA問題。由于目前尚無有效的算法解決這兩個問題的假設，已知公鑰解密RSA密文是不容易的。10.保密通信系統(tǒng)模型圖11.簡述公鑰密碼體制在信息安全保護中的意義：公鑰加密系統(tǒng)中任何主體只擁有一對密鑰-私鑰和公鑰，公開其公鑰，任何其他人在需要的時候使用接收方的公鑰加密信息，接收方使用只有自己知道的私鑰解密

15、信息。這樣，在N個人通信系統(tǒng)中，只需要N個密鑰對即可，每個人一對。公鑰加密的特點是公鑰是公開的，這很好地解決了對稱密碼中密鑰分發(fā)與管理問題。12. AES由多輪操作組成，輪數(shù)由分組和密鑰長度決定。AES在4n字節(jié)的數(shù)組上操作，稱為狀態(tài)，其中n是密鑰字節(jié)數(shù)除4。AES的數(shù)據(jù)結(jié)構(gòu)：以字節(jié)為單位的方陣描述：輸入分組in、中間數(shù)組State、輸出分組out、密鑰分組K。排列順序：方陣中從上到下，從左到右AES算法輪操作過程：輪變換包括以下子步驟：（1） 字節(jié)替換：執(zhí)行一個非線性替換操作，通過查表替換每個字節(jié)。（2） 行移位：狀態(tài)（矩陣）每一行以字節(jié)為單位循環(huán)移動若干個字節(jié)。（3） 列混合：基于狀態(tài)列的

16、混合操作。（4） 輪密鑰加：狀態(tài)的每一個字節(jié)混合輪密鑰。輪密鑰也是由蜜月調(diào)度算法產(chǎn)生。需要注意的是，最后一輪（第10輪）操作與上述輪操作略有不同，不包括列混合操作，即只包括字節(jié)替換、行移位和密鑰疊加操作。13.簡述PKI的功能：PKI功能包括數(shù)字證書管理和基于數(shù)字證書的服務。01. 數(shù)字證書是PKI應用的核心，它是公鑰載體，是主題身份和公鑰綁定的憑證。因此，證書管理是PKI的核心工作，即CA負責完成證書的產(chǎn)生、發(fā)布、撤銷、更新以及密鑰管理工作，包括完成這些任務的策略、方法、手段、技術(shù)和過程。02. PKI服務：PKI的主要任務是確立證書持有者可信賴的數(shù)字身份，通過將這些身份與密碼機制相結(jié)合，提

17、供認證、授權(quán)或數(shù)字簽名等服務。當完善實施后，能夠為敏感通信和交易提供一套信息安全保障，包括保密性、完整性、認證性和不可否認性等基本安全服務。03. 交叉認證。為了在PKI間建立信任關(guān)系，引入了“交叉認證”的概念，實現(xiàn)一個PKI域內(nèi)用戶可以驗證另一個PKI域內(nèi)的用戶證書。14信息安全威脅主要來自人為攻擊，其大致可分為 主動攻擊 和 被動攻擊 兩大類型。15.現(xiàn)代密碼系統(tǒng)按其原理可分為兩大類： 對稱加密系統(tǒng) 和 非對稱加密 系統(tǒng)。16安全的定義只有相對的安全，沒有絕對的安全。安全的意義在于保護信息安全所需的代價與信息本身價值的對比，因此信息安全保護是一種效能的折衷?？蓪⑿畔⑾到y(tǒng)的安全性定義為以下三

18、種：01. 理論安全性：即使具有無限計算資源，也無法破譯。02. 可證明安全性：從理論上可以證明破譯一個密碼系統(tǒng)的代價/困難性不低于求解某個已知的數(shù)學難題。03. 計算安全性：使用已知的最好算法和利用現(xiàn)有的最大的計算資源仍然不可能在合理的時間完成破譯一個密碼系統(tǒng)。3種又可區(qū)分為理論安全性和實際安全性兩個層次，其中實際安全性又包括兩個層次：可證明安全性 和 計算安全性。16.1如何攻擊密碼系統(tǒng)？惟密文攻擊：破譯者已知的東西只有兩樣：加密算法、待破譯的密文。已知明文攻擊：破譯者已知的東西包括加密算法和經(jīng)密鑰加密形成的一個或多個明-密文對，即知道一定數(shù)量的密文和對應的明文。選擇明文攻擊：破譯者除了知

19、道加密算法外，他還可以選定明文消息，并可以知道該明文對應的加密密文。選擇密文攻擊：破譯者除了知道加密算法外，還包括他自己選定的密文和對應的、已解密的明文，即知道選擇的密文和對應的明文。選擇文本攻擊：是選擇明文攻擊與選擇密文攻擊的結(jié)合。破譯者已知的東西包括：加密算法、破譯者選擇的明文消息和它對應的密文，以及破譯者選擇的猜測性密文和它對應的解密明文。17消息認證（如何主體的身份或消息的真實性？）被認證的主體包括兩類：01. 消息的發(fā)送實體，人或設備（實現(xiàn)技術(shù)，例如：數(shù)字簽名）02. 對消息自身的認證，順序性、時間性、完整性（時間戳服務、消息標識等方法）由中國制定的無線網(wǎng)絡安全國際標準是GB 156

20、29.11；公鑰基礎設施PKI通過 控制中心CA 以簽發(fā) 數(shù)字證書 的形式發(fā)布有效的實體公鑰。18.網(wǎng)路安全協(xié)議：18.1數(shù)字簽名工作過程： 19.密碼體制分類（根據(jù)密鑰情況分類）對稱密鑰密碼體制：加密與解密使用相同密鑰(單鑰)優(yōu)點（為什么使用對稱密碼加密消息呢？）：加解密速度快、效率高、加密算法簡單、易于實現(xiàn)，計算開銷小。缺點：密鑰分發(fā)困難，即在通信雙方共享的密鑰一般需要帶外傳遞，總之，通信雙方最初的共享密鑰必須通過安全的方式傳遞交換。對稱加密密鑰使用 接受者 公鑰，數(shù)字簽名使用 發(fā)送者 的私鑰。公鑰密碼體制：加密與解密使用不同密鑰(雙鑰) 公、私鑰成對出現(xiàn)，公鑰加密、私鑰解密。20. 對稱密碼體制分類分組密碼先將明文劃分成若干等長的塊分組（如64b），然后再分別對每個分組進行加密，得到等長的密文分組；解密過程也類似。有些密碼體制解密算法與加密算法完全一樣，如DES。序列密碼是把明文以位或字節(jié)為