《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)總結(jié)

1、學(xué)習(xí)好資料 歡迎下載網(wǎng)絡(luò)信息安全期末復(fù)習(xí)要點(diǎn)信息安全的任務(wù)是保障信息存儲(chǔ)、 傳輸、處理等過(guò)程中的安全， 具體的有：機(jī)密性；完整性；不可抵賴(lài)性；可用性。域。網(wǎng)絡(luò)信息安全系統(tǒng)的三要素 :安全服務(wù)（安全任務(wù)） 、安全機(jī)制和安全應(yīng)用網(wǎng)絡(luò)安全防范體系層次：根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)的結(jié)構(gòu)，安全防范體系的層次可劃分為：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安 全管理。網(wǎng)絡(luò)信息安全的技術(shù)：密碼技術(shù)，身份認(rèn)證，數(shù)字簽名，防火墻，入侵檢 測(cè)，漏洞掃描。數(shù)字簽名就是附加在數(shù)據(jù)單元的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變 換。這種數(shù)據(jù)或變換云允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù) 單元的完整性，并保

2、護(hù)數(shù)據(jù)，防止被人進(jìn)行偽造。基本要求：簽名是可信的；簽名不可偽造；簽名不可重用，簽名是文件的 一部分，不能移到別的文件上去；簡(jiǎn)明的文件事不可改變的，在文件上簽名就 不能改變；簽名是不可抵賴(lài)的。目前使用最多的數(shù)字簽名有兩類(lèi)： 一類(lèi)是 使用對(duì)稱(chēng)密碼系統(tǒng)和需要仲裁者 的簽名方案；還有一類(lèi)是基于公開(kāi)秘鑰體制的數(shù)字簽名。簽名的過(guò)程： 1 發(fā)送者產(chǎn)生文件的單向散列值；2 發(fā)送者用私人密鑰對(duì)散列 加密，以實(shí)現(xiàn)對(duì)文件的簽名； 3 發(fā)送者將文件盒散列簽名發(fā)送給接受者；4 接受 者根據(jù)發(fā)送者發(fā)送的文件產(chǎn)生文件的單向散列值，然后用數(shù)字簽名算法對(duì)散列 值運(yùn)算，同時(shí)用發(fā)送者的公開(kāi)密鑰對(duì)簽名的散列解密，簽名的散列值語(yǔ)氣產(chǎn)生

3、 的散列值匹配，則簽名有效。公鑰基礎(chǔ)設(shè)施 PKI 主要的功能組件包括認(rèn)證機(jī)構(gòu)，證書(shū)庫(kù)，證書(shū)撤銷(xiāo)，密 鑰備份和恢復(fù)，自動(dòng)密鑰更新，秘鑰歷史檔案，交叉認(rèn)證，支持不可否認(rèn)，時(shí) 間戳，客戶(hù)端軟件等。PKI 從根本上來(lái)說(shuō)，只提供三種主要的核心服務(wù)，即認(rèn)證，完整性，機(jī)密 性。認(rèn)證：指向一個(gè)實(shí)體確認(rèn)另一份實(shí)體確實(shí)就是用戶(hù)自己；完整性：指向一 個(gè)實(shí)體確保數(shù)據(jù)沒(méi)有被有意或則無(wú)意的修改。機(jī)密性：指向一個(gè)實(shí)體確保除了 接受者，無(wú)人能夠讀懂?dāng)?shù)據(jù)的關(guān)鍵部分。PKI 信任模型：因經(jīng) CA 與 CA 之間需要相互交流和信任，這就是 互，即 PKI 信任模型。PKI 信任模型主要有 4 種模型，即嚴(yán)格層次結(jié)構(gòu)、分布式信任結(jié)構(gòu)

4、、PKI 交WEB模型、以用戶(hù)為中心的信任。PKI 嚴(yán)密層次結(jié)構(gòu)：嚴(yán)格層次結(jié)構(gòu)的 CA 之間存在嚴(yán)格的上下級(jí)關(guān)系，下 級(jí)完全聽(tīng)從并執(zhí)行上級(jí)的規(guī)定。在這種結(jié)構(gòu)中，信任關(guān)系是單向的。只允許上學(xué)習(xí)好資料 歡迎下載一級(jí) CA 給下一級(jí) CA 或則終端用戶(hù)頒發(fā)證書(shū)。優(yōu)點(diǎn)： 1，具備良好的擴(kuò)展性； 2，很容易找到證書(shū)路徑；3，證書(shū)路徑處 理相對(duì)較短； 4，根據(jù) CA 位置，隱性地知道使用限制。缺點(diǎn)：根節(jié)點(diǎn)一旦泄密遺失， PKI 崩潰 損失巨大。擴(kuò)展結(jié)構(gòu)時(shí)，部分或所 有需要根據(jù)情況調(diào)整信任點(diǎn)。IPSec保護(hù) IP 數(shù)據(jù)報(bào)的安全 IPsec包含三個(gè)重要的協(xié)議 AH 、ESP、IKE。IEK 協(xié)議負(fù)責(zé)秘鑰管理。

5、AH 為 IP 數(shù)據(jù)包提供 3 種服務(wù)（ AH 只認(rèn)證不加密），無(wú)連接的數(shù)據(jù)完整性 驗(yàn)證（哈希函數(shù)產(chǎn)生的校驗(yàn)） 、數(shù)據(jù)源身份認(rèn)證（添加共享密鑰） 、防重放攻擊（AH 報(bào)頭中的序列號(hào)）。ESP（基本功能是加密）提供 流加密。AH 的三種服務(wù)，還包括數(shù)據(jù)包加密、數(shù)據(jù)解釋域（ DOI）為使用 IKE 進(jìn)行協(xié)商的的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。IPSec的兩種運(yùn)行模式：傳輸模式 （保護(hù)的只是 IP 的有效負(fù)載），隧道模式（保護(hù)整個(gè) IP 數(shù)據(jù)包） SSL 提供 Internet 通信的安全協(xié)議，用于瀏覽器 與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL 由多個(gè)協(xié)議組成并采用兩層體系結(jié)構(gòu)：上層有 SSL 握手協(xié)議、

6、 SSL 修 改密碼規(guī)格協(xié)議和 SSL 告警協(xié)議；往下有 SSL 記錄協(xié)議、 TCP,UDP. SSL 連接：連接時(shí)提供恰當(dāng)類(lèi)型服務(wù)的傳輸。SSL 回話：會(huì)話是客戶(hù)與服務(wù)器之間的關(guān)聯(lián)，會(huì)話通過(guò)握手協(xié)議來(lái) 創(chuàng)建。SSL 握手協(xié)議兩個(gè)階段：第一階段用于建立私密性通信信道；第二階段用 于客戶(hù)認(rèn)證。SSL 安全電子交易協(xié)議）協(xié)議目標(biāo)：名技術(shù)SET 交易流程： SET 中采用了雙重簽常用的入侵方法：口令入侵、特洛伊木馬術(shù)、監(jiān)聽(tīng)法、系統(tǒng)漏洞Email 技術(shù)、利用堆棧、攻擊代碼、 函數(shù)調(diào)用傳遞的參數(shù)、 函數(shù)返回地址、 函數(shù)的局部變量、緩沖區(qū) 在函數(shù)返回地址位置重復(fù)若干次返回地址，在溢出數(shù)據(jù)中添加前面增加個(gè)

7、NOP 指令 緩沖溢出原理：借著在程序緩沖區(qū)編寫(xiě)超出其長(zhǎng)度的代碼 ,造成溢出 ,從而破 壞其堆棧 ,使程序執(zhí)行攻擊者在程序地址空間中早已安排好的代碼 ,以達(dá)到其目 的。學(xué)習(xí)好資料 歡迎下載避免的方法： 1、強(qiáng)制寫(xiě)正確的代碼的方法。2、通過(guò)操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行， 從而阻止攻擊者殖入攻擊代碼。3、利用編譯器的邊界檢查來(lái)實(shí)現(xiàn)緩沖區(qū)的保護(hù)。 4、在程序指針失效前進(jìn)行完整性檢查常用的反病毒技術(shù)：特征碼技術(shù)、實(shí)時(shí)監(jiān)聽(tīng)技術(shù)、虛擬機(jī)技術(shù)防火墻技術(shù)只關(guān)心端口 源地址 目標(biāo)地址 數(shù)據(jù)包頭標(biāo)志位，不關(guān)心內(nèi)容防火墻一般采用兩種技術(shù)：數(shù)據(jù)報(bào)過(guò)濾和代理服務(wù)。IP 層，目的地址，端口號(hào)，數(shù)據(jù)的對(duì)話協(xié)議，數(shù)據(jù)包頭中的標(biāo)

8、志位靜態(tài)包過(guò)濾型防火墻（ IP 層）：依據(jù)事先設(shè)定的過(guò)濾規(guī)則，檢查數(shù)據(jù)流的每個(gè)數(shù)據(jù)包，確定是否允許該數(shù)據(jù)報(bào)通過(guò)。優(yōu)點(diǎn)是：實(shí)現(xiàn)邏輯比較簡(jiǎn)單、對(duì)網(wǎng)絡(luò)性能影響較小、有較強(qiáng)的透明性、與應(yīng)用層無(wú)關(guān)、是最快的防火墻。弱點(diǎn)是：配置時(shí)需要對(duì)IP、UDP、TCP 等各種協(xié)議比較了解、容易被地址欺騙、不能提供應(yīng)用層用戶(hù)的鑒別服務(wù)、允許外部用戶(hù)直接與內(nèi)部主機(jī)相連。幾種防火墻的對(duì)比：靜態(tài)包過(guò)濾防火墻：不檢查數(shù)據(jù)區(qū)， 包過(guò)濾防火墻不建立連接狀態(tài)表，前后報(bào)文無(wú)關(guān)，應(yīng)用層控制很弱。動(dòng)態(tài)包過(guò)濾型（狀態(tài)檢測(cè)）防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前 后報(bào)文相關(guān)，應(yīng)用層控制很弱。應(yīng)用代理（應(yīng)用網(wǎng)關(guān)）防火墻：不檢查 IP、TCP

9、報(bào)頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng) 絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)，會(huì)話控制較弱。（入侵檢測(cè)系統(tǒng)）技術(shù)：通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或則計(jì)算機(jī)系統(tǒng)的若干 關(guān)鍵點(diǎn)搜集信息并對(duì)器進(jìn)行分析，從中發(fā)網(wǎng)絡(luò)或系統(tǒng)是否違反安全策略的行為 和被攻擊的跡象。IDS 分類(lèi)：基于網(wǎng)絡(luò)的IDS 和基于主機(jī)的異常檢查是通過(guò)計(jì)算審計(jì)數(shù)據(jù)與一個(gè)期望的正常行為描述的模型之間的偏 差來(lái)判斷入侵與否濫用檢查（特征匹配檢測(cè)）是通過(guò)掃描審計(jì)數(shù)據(jù)看是否與已 知攻擊特征來(lái)判斷入侵與否。檢測(cè)引擎的常用技術(shù)：統(tǒng)計(jì)方法、專(zhuān)家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、狀態(tài)轉(zhuǎn)移 分析、 Petri 網(wǎng)、計(jì)算機(jī)免疫、 Agent 技術(shù)、其他檢測(cè)技術(shù)。蜜罐的特點(diǎn)與分類(lèi)產(chǎn)品型、研究型、低交互型、高交互型優(yōu)點(diǎn)： 收集數(shù)據(jù)保真度高， 能收集到新的攻擊技術(shù)， 不需要強(qiáng)大的資源支持，比較簡(jiǎn)單，不是單一系統(tǒng)而是一個(gè)網(wǎng)絡(luò)缺點(diǎn)：投入精力和時(shí)間， 視圖有限，不能使用旁路監(jiān)聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)監(jiān)控，不能直接防護(hù)有漏洞的系統(tǒng)，帶來(lái) 一定的安全風(fēng)險(xiǎn)學(xué)習(xí)好資料 歡迎下載蜜罐的主要技術(shù)：網(wǎng)絡(luò)欺騙、端口重定向、報(bào)警、數(shù)據(jù)控制、數(shù)據(jù)捕獲