参考文献
[1] 周世杰,陈伟,罗绪成,《计算机系统与网络安全技术》,高等教育出版社
(1.1信息及信息安全+1.2 信息安全体系)
1. 信息安全基本属性
2. 信息安全体系结构
信息安全体系(Information Security System)概念:指对信息和信息系统安全功能的抽象描述,它从整体上定义信息及信息系统所提供的安全服务、安全机制以及各种安全组件之间的关系和交互
主要包括:
安全服务:提供数据处理和数据传输安全性的方法
安全机制:保护信息与信息系统安全措施的总称
(2.1概述+其他)
1. 概述:
计算机网络是通信技术和计算机技术的结合体
2. 安全威胁
TCP/IP协议栈从底至上各层的安全威胁如下
物理层:窃听
链路层:窃听、假冒
网络层:假冒
传输层:UDP假冒;
TCP- SYN-Flooding,ACK Flooding, 序列号预测攻击,Land攻击
(3.3 防火墙与网络隔离)
1. 防火墙:
用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术
2. 包过滤路由器模型,单宿主堡垒主机模型,双宿主堡垒主机模型、子网屏蔽防火墙模型
3. 网络隔离
物理隔离 :指处于不同安全域的网络之间不能以直接或间接的方式相连接。
(4.1网络安全模型+4.3安全保护技术VPN+4.4 安全检测技术:入侵检测和网络扫描)
1. 网络安全模型
PDR, PPDR, PDRR, APPDRR, PADIMEE
2. 安全保护技术
加密技术:对信息进行重新编码,从而隐藏信息内容,防止秘密数据的泄漏。加密技术本质上是一种秘密变换技术,它是保障信息安全的最基本、最核心的技术,是所有通信安全的基石。
3.什么是入侵检测?什么是入侵检测系统?入侵检测使用的异常检测和误用检测的区别是什么?
入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 (2‘)
进行入侵检测的软件与硬件的组合便是入侵检测系统。 (2‘)
异常检测是总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。 (1‘)
误用检测是指收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 (1‘)
4. 网络扫描
端口扫描的基本原理是什么?端口扫描技术可以分成哪几类?
目的:通过对受保护网络内的主机或设备(路由器)开放的服务端口进行探测,发现可被利用的服务。
原理:向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。
分类:根据所使用通信协议的不同,网络通信端口可以分为TCP端口和UDP端口两大类,因此端口扫描技术也可以相应地分为TCP端口扫描技术和UDP端口扫描技术。
(5.3认证协议+ 5.4电子商务及其安全协议SET +5.5安全协议实例:传输层安全协议SSL和TLS)
1. 认证协议
认证(即身份认证)是声称者向验证者出示自己的身份的证明过程。认证目的是使别的成员(验证者)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。常见的协议包括用户口令认证协议(PAP)、挑战-握手认证协议(CHAP)、Kerberos认证协议和X.509认证协议等。
2. 电子商务及其安全协议SET
3. SSL和TSL
SSL安全套接层(secure socket layer)协议
TSL传输层安全(transport layer security)协议
底层:TLS记录协议,主要负责使用对称密码对消息进行加密
上层:握手协议,密码规格变更协议,警告协议和应用数据协议
握手协议负责在客户端和服务端商定密码算法和共享密钥,包括证书认证。
密码规格变更协议主要用于通告对方启用新的密码参数
报警协议主要用来处理协议过程中的错误或向对方发送报警信息
应用数据协议负责将TLS承载的应用数据传达给通信对象
(物理安全)P198
物理安全是为了保证计算机系统安全可靠运行,确保计算机系统在对信息进行采集,处理,传输,存储的过程中,不致受到人为或自然因素的危害,而使信息丢失,泄露或破坏,对计算机设备、设施、环境人员、系统等采取适当的安全措施。
传统意义的物理安全包括设备安全,环境安全/设施安全以及介质安全。
(7.3计算机系统的容灾技术)
容灾技术是指对可能引起生产系统服务停止的问题所采用的防范和保护技术,包括数据容灾技术和应用容灾技术。
数据容灾技术包括数据复制技术、数据备份技术和数据管理技术等
而应用容灾包括系统迁移技术、灾难检测技术和系统恢复技术等等。
(8.3访问控制+8.4和8.5操作系统安全)
1. 访问控制 ppt141 P243
8.4 P253
8.5 P256
1. SET协议(Secure Electronic Transaction)使用了双重数字签名技术。请简述双重数字签名的目的和基本过程。
SET协议中,持卡人进行支付时需要对订单信息和支付信息同时进行签名,因此称为双重数字签名。
双重数字签名允许商家验证持卡人对订单信息和支付信息的签名,但只能看到订单信息,而不知道支付信息的具体内容。这样的目的是保护用户的个人信息的隐私性。(2‘)
持卡人将支付信息摘要,订单信息和双重数字签名用数字信封加密后发送给商家,(2‘)
将订单信息摘要、支付信息和双重数字签名用数字信封加密后经商家转发给支付网关。商家解开信封,生成订单的摘要后和账号的摘要连接起来,用持卡人证书的签名公钥即可认证签名(2‘)
2. 什么是异常检测?什么是误用检测?那种检测方法误报率较低?
异常检测是总结正常的操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵(2‘)
误用检测是指收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统中的行为与库中的记录相匹配时,系统就认为这种行为是入侵。(2‘)
误用检测的误报率低。(2‘)
3. 简述TLS安全协议的概念及功能
TLS即Transport Layer Security安全传输层协议。在客户端和服务器两实体之间建立一个安全的通道,防止敌手的侦听、篡改以及消息伪造。TLS协议基于可靠的传输协议(如TCP协议),其组成主要包括TLS记录层协议和TLS握手协议。(3‘)
TLS记录层协议利用密钥协商协议和对称加密机制,可以为通信双方提供一个安全通道,用于数据的安全性传输,此外,TLS记录层协议还包括了消息的完整性校验功能,从而确保消息传输的完整性。
TLS握手协议用于通信实体之间的相互认证和密钥协商。
TLS协议位于OSI模型中的应用层和传输层之间,对于参与通信的客户端和服务器来说,TLS协议是透明的。(3‘)
4. 什么是拒绝服务攻击?SYN Flooding式针对TCP协议的一种拒绝服务攻击方法,请叙述SYN Flooding攻击的基本原理
拒绝服务攻击指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络宽带,从而阻止正常用户的访问。(2)
SYN Flooding攻击是拒绝服务攻击的一种。根据TCP协议,在数据传输之前,两个节点之间必须首先通过“三次握手”方式建立连接。服务器首先发开侦听端口,侦听到达的请求。当客户端请求服务时,客户端发起一个TCP SYN包;服务器端接收到该请求后,如果能够响应该请求,即回复一个TCP ACK SYN包,同时分配响应的资源记录客户请求信息,然后等待客户端的ACK包,以便完成三次握手过程。(2)
在这个过程中,客户端可以不理会服务端的TCP ACK SYN包,而是继续发送假冒的TCP SYN包,在没有超时之前服务器端都会分配资源保持客户端请求的状态信息。服务端的资源总是有限的,如果达到足够多的假冒TCP SYN包,就会造成服务器资源的枯竭,因而无法为新到达的合法访问分配资源。(2)
5. 简述包过滤技术基本原理及其优缺点
防火墙在网络层中根据数据包的包头信息进行判断,允许该包通过或者阻断。其原理是根据数据包的源IP地址、目的IP地址、源端口号、目的端口号、包类型和数据包头中的各种标志位等因素来确定是否允许数据包通过。其核心是安全策略即过滤规则的设计。(2‘)
包过滤技术的优点:其容易实现、费用少、对性能的影响不大和对流量的管理较出色。
包过滤技术的缺点:
6. 数字证书的作用是什么?X.509版本3中规定的数字证书包括了哪些内容?
数字证书的作用是绑定用户名称和公钥信息,以抵抗公钥替换攻击。 (2‘)
数字证书包括了版本号、序列号、签名算法、(1‘)
签发者和主体(1‘)
有效期、主体公钥信息、(1’)
签发者唯一标识符、主体唯一标识符、证书扩展、签名值(1‘)。
7. OSI模型与TCO/IP协议的区别与联系
联系:
区别:
8. 入侵检测系统的主要技术指标有哪些?
9. X.509证书包含的主要内容有哪些
数字证书的作用是绑定用户名称和公钥信息,以抵抗公钥替换攻击。
数字证书包括了版本号、序列号、签名算法、
签发者和主体、
有效期、主体公钥信息、
签发者唯一标识符、主体唯一标识符、证书扩展、签名值
10. 列举计算机系统的容错技术,并分别简要说明每种技术
容错技术是指在一定程度上容忍故障的技术,主要靠冗余设计来实现,以增加资源的办法换取可靠性。由于资源不同,冗余技术主要分为以下四种:
11. 描述windows系统用户登录过程
在这一过程中,Windows子系统会启动winlogon.exe,这是一系统服务,用于提供对Windows用户的登录注销的支持。Winlogon.exe可以完成如下一些工作:
1、启动服务子系统(services.exe),也称服务控制管理器(ServiceControlManager,SCM)
2、启动本地安全授权(LocalSecurityAuthority,LSA)过程(Isass.exe)
3、在开始登录提示的时候,对C+Alt+De丨组合键进行分析处理。
4、一个图形化的识别和认证组件收集用户的帐号和密码,然后将这些信息安全地传送给LSA以进行认证处理。如果用户提供的信息是正确的,能够通过认证,就允许用户对系统进行访问。
· 要注意的是,如果您的计算机中,只有Administrator这一个用户,那么在欢迎屏幕中就会显示Administrator用户项。如果您的计算机中不仅有Administrator用户,还有别的可以交互登录的用户,那么欢迎屏幕中就只显示出Administrator之外的用户,而不显示
Administrator用户。
※直接在欢迎屏幕中按下两次Crt丨+Alt+De|组合键,即可打开标准的登录窗口,可以再输入Administrator之外的用户名和密码,以便用最高管理员的身份登录。'
12. 链路加密与端到端加密的区别是什么?
(l)在端系统和中间系统中的安全性:链路加密中,消息在发送主机时为明文,消息在中间节点为明文。端到端加密时,消息在发送主机和中间节点都为密文。
(2)用户的作用:
[1]链路加密是由发送主机应用,而端到端加密是由发送进程应用;
[2]链路加密是对用户透明的,而端到端加密是应用用户加密,
[3]链路力日密是由主机维护加密设施,而端到端加密是由用户决定算法;
[4]链路加密中所有用户用一个设施,而在端到端加密中由用户选择加密方案;
[5]链路加密可以由硬件完成,而端到端加密是由软件实现,
[6]链路力日密中所有或没有报文被加密,而端到端加密中对每个报文有用户决定是否加密。
(3)实现上的考虑.
[1]链路加密中每对主机和中间结点、每个中间结点和中间结点之间都需要密钥,而端到端加密每个用户对需要一个密钥;
[2]链路加密提供主机认证,而端到端加密提供用户认证
13. 公钥密码体制的主要成分是什么?公钥密码体制的三种应用是什么?
明文:算法的输入。它们可以是可读信息与各种交换。
加密算法:加密算法对明文进行的各种变换。
公钥与私钥:这对密钥中一个用于加密,一个用于解密。
密文:算法输出。以对给定的明文与密钥,产生的密文。
解密算法:该算法接收密文与密钥,产生原始的明文。
公钥密码体制的三种应用:加密与解密。数字签名,密钥交换。
公钥和私钥的作用是什么?
公钥与私钥都可以用来加密与解密。公钥加密,私钥解密的系统就是加密系统。私钥加密,公钥解密,就是认证系统。