信息系统安全期末复习总结

目录

知识点总结

简答题总结


知识点总结

1.信息系统安全:信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
2.PORR模型:
保护、检测、响应、恢复
3.被动攻击:攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息做任何修改。有搭线监听、无线截获、流量分析等。重点在于预防而不是检测。
4.主动攻击:对数据进行篡改和伪造。重点在于检测并从攻击造成的破坏中及时恢复。

信息系统安全期末复习总结_第1张图片

5.信息系统安全的目标:
针对信息抵赖(伪装)提出不可否认,拒绝服务提出可用性,信息窃取提出保密性,信息篡改和重放提出完整性,信息冒充提出认证
①机密性:保证信息不被非法访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用
②完整性:保证信息的真实性,即信息在生成、传输、存储和使用过程中不应被第三方篡改
③可用性:保障信息资源随时可提供服务,即授权用户可根据需要随时访问所需信息
④认证:确保一个实体没有试图冒充别的实体
⑤不可否认性:信息系统的信息交互过程中,确信参与者的真实同一性,避免在一次通信中涉及到的实体不承认参与了该通信的全部或一部分。

6.信息系统安全的基本属性:机密性、完整性、可用性(CIA)
7.信息系统结构:计算机硬件、操作系统、数据库系统等平台软件、应用程序或实用程序
8.物理安全包括环境安全、设备安全、介质安全、系统安全四个方面。环境安全是指为保证信息系统安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而避免或降低各种安全风险。设备安全是指为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备可靠运行所带来的安全风险,对硬件设施及部件所采取的的适当安全措施。介质安全是指存储信息的介质的安全,能够安全保管、防盗、防损坏和防霉。系统安全是指为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整性、可用性带来的安全威胁。
9.容错技术通过冗余设计来实现,分为硬件容错、软件容错、数据容错、时间容错
10.软件容错用于提高软件系统的可靠性,通过提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性。主要由于恢复块方法和N版本程序设计
11.灾难恢复指标:RPO恢复点指标:灾难发生后,系统和数据必须恢复到的时间点要求,代表了灾难发生时允许丢失多长时间的数据量,可接受的数据损失程度;RTO恢复时间指标:灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求,代表了系统恢复的时间,可接受的系统停顿时间。
12.身份认证:是验证主体的真实身份与其所声称的身份是否一致的过程;身份认证是信息系统的第一道安全防线。身份认证包括标识和鉴别,标识是系统为区分用户身份而建立的用户标识符,用户标识符必须是唯一的且不能伪造;鉴别将用户标识符与用户物理身份联系的过程
13.身份认证技术包括:基于口令的认证(最常用)、基于智能卡的认证方式、基于生物特征的认证方式,根据认证需要又分为单向认证、双向认证和信任的第三方认证
14.一次性口令实现技术:同步认证技术和异步认证技术,同步认证技术分为基于时间同步认证技术和基于事件同步认证技术,异步认证技术又称挑战/应答认证技术。
15.USB key认证模式有基于挑战/应答的双因素认证技术和基于PKI数字证书的认证
16.3A认证(基本措施):身份认证、访问控制、审计。访问控制三要素:主体、客体、访问控制策略
17.访问控制类型:自主访问控制、强制访问控制、基于角色的访问控制
18.DAC自主访问控制是指资源的所有者对于其所拥有的的资源可以自主得将权限分给其他主体。实现机制:访问控制矩阵、访问控制列表、访问能力列表。访问控制矩阵是最初实现访问控制机制的概念模型,利用二维矩阵规定了任意主体和任意客体之间的访问权限。访问控制列表是以文件为中心建立的访问权限表。访问能力表是以用户为中心建立的访问权限表。缺点:无法抵御特洛伊木马的攻击
19.MAC强制访问控制是指每个用户及文件都被赋予一定的安全级别,系统通过比较用户和访问文件的安全级别来决定用户是否可以访问该文件,并强制主体服从访问控制策略。有BLP模型和Biba模型和Dion模型。BLP模型的安全属性包括安全级别(绝密、机密、秘密、公开)及一个或多个安全范畴,两个基本规则:简单安全性:主体的保密级别不小于客体的保密级别,主体只能向下读;*特性:客体的保密级别不小于主体的保密级别,主体只能向上写。BLP模型只能下读上写,强调信息的机密性保护。Biba模型只能上读下写,强调信息的完整性保护
20.RBAC基于角色的访问控制指根据用户在组织中所处的角色进行授权和访问控制。RBAC0模型:用户、角色、操作、对象、会话,基本元素:用户、角色、权限
21.RBAC的特点:便于授权管理,用户的授权是通过赋予相应的角色来完成的,降低了授权管理的复杂度;便于实施职责分离,通过定义角色约束,防止用户超越其正常的职责范围;便于实施最小权原则,一定的角色就确定了其工作职责,而角色所能完成的操作蕴含了其完成工作所需要的最小权限。具有灵活性、方便性和安全性的特点
22.操作系统的地址转换:程序装入内存后,需要进行从逻辑地址到物理地址的转换,包括静态地址重定位和动态地址重定位。
23.审计的最小特权的思想:系统不应赋予用户超过其执行任务所需特权以外的特权,或者说仅给用户赋予必不可少的特权。
24.数据库备份技术:日志,是用来记录事务对数据库的更新操作;数据备份;数据库恢复技术:事务故障的恢复、系统故障的恢复、介质故障的恢复
25.C2安全级:将C1的DAC进一步细化,保护粒度要达到单个用户和单个客体一级,增加了审计功能,提供客体重用功能,实施用户登录过程,对用户身份进行验证,实现资源隔离
26.CC标准:分为第三部分,第一部分简介和一般模型介绍了CC中有关术语基本概念和一般模型及评估有关的一些框架,第二部分安全功能要求按类-族-组件的方式提出安全功能要求,提供了表示评估对象安全功能要求的标准方法,第三部分安全保证要求定义了评估级别
27.风险评估方法:定量的评估方法、定性的评估方法、定量与定性结合的评估方法;定量的评估方法是指运用数量指标来对风险进行评估,通过对风险相关的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率而好成本等)赋值实现对风险评估结果的量化。定性的评估方法是主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。
28.风险评估过程:

信息系统安全期末复习总结_第2张图片

29.风险计算:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)),R表示安全风险计算函数,A表示资产,T表示威胁出现频率,V表示脆弱性,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示安全时间发生的可能性,F表示安全事件发生后产生的损失
30.计算机病毒的基本结构:感染标记、感染模块、触发模块、破坏模块、主控模块。主控模块在总体上控制病毒程序的运行,基本动作如下:调用感染模块,进行感染,调用触发模块,接收其返回值,如果返回真,执行破坏模块,返回假,还行后续程序。
31.病毒检测:长度检测法、病毒签名检测法、特征代码检测法、校验和法、行为检测法、软件模拟法、感染实验法
32.木马的功能:窃取数据、远程控制、远程文件管理、打开未授权的服务
33.木马检测:检查本地文件、检查端口及连接、检查系统进程、检查注册表、检查系统配置文件
34.蠕虫和病毒的区别:都具有传染性和复制功能。蠕虫通过网络传播,但病毒不一定。病毒主要感染文件系统,在传染过程中,计算机使用者是传染的触发者,需要用户运行一个程序或打开文档以调用恶意代码,而蠕虫主要利用计算机系统漏洞进行传染,不需要宿主文件,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,无需人为干预
35.缓冲区溢出攻击的原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的
36.格式化字符串漏洞产生于数据输出函数printf等对输出格式解析的缺陷
37.XSS跨站脚本攻击:反射型、存储型、DOM型

简答题总结

简述主动攻击与被动攻击的特点,并列举攻击方式。
被动攻击是攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息做任何修改。有搭线监听、无线截获、流量分析等。主动攻击指对数据进行篡改和伪造。有篡改、重放、伪装、拒绝服务攻击
信息系统的安全目标有哪些?如何理解?
①机密性:保证信息不被非法访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用
②完整性:保证信息的真实性,即信息在生成、传输、存储和使用过程中不应被第三方篡改
③可用性:保障信息资源随时可提供服务,即授权用户可根据需要随时访问所需信息
④认证:确保一个实体没有试图冒充别的实体
⑤不可否认性:信息系统的信息交互过程中,确信参与者的真实同一性,避免在一次通信中涉及到的实体不承认参与了该通信的全部或一部分
灾难恢复的指标是什么?分别代表什么含义?
RPO恢复点指标:灾难发生后,系统和数据必须恢复到的时间点要求,代表了灾难发生时允许丢失多长时间的数据量,可接受的数据损失程度;RTO恢复时间指标:灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求,代表了系统恢复的时间,可接受的系统停顿时间。
什么是字典攻击和重放攻击?什么是一次性口令认证?

字典攻击指攻击者利用各种手段收集用户可能使用的口令构成口令字典,借助于破解工具逐一尝试字典中的口令进行密码破解。重放攻击指攻击者将截获的信息直接发送给认证服务器。一次性口令认证指在用户的每次登陆过程中加入不确定因素以生成动态变化的示证信息,从而提高登陆的安全性。
简述基于PKI技术体系的USB key认证原理
USB Key中预置了加密算法、摘要算法、密钥生成算法等,可以利用密钥生成算法首先为用户生成一对公私钥,私钥保存在USB key中,公钥可以导出向CA申请数字证书,数字证书也保存在USB key中,再进行客户端身份认证时,客户端向服务器发送数字证书,服务端利用CA的公钥验证数字证书的真实性,完成对客户端身份的认证。
设计一个利用公钥密码体制实现双向认证的协议
A客户端B服务端。A产生随机数a,用B的公钥加密后发送给B,B收到后用自己的私钥解密得到a,产生一个随机数b附在a后,用A的公钥进行加密并发送,A收到后用自己的私钥加密验证随机数a,从而验证B的身份,再把分离出的随机数b加密发送给B,B收到后验证b,从而验证A的身份。
什么是自主访问控制?实现方法有哪些?
指资源的所有者对于其所拥有的的资源可以自主得将权限分给其他主体。实现机制:访问控制矩阵、访问控制列表、访问能力列表
什么是强制访问控制?如何利用MAC抵御特洛伊木马的攻击?
是指每个用户及文件都被赋予一定的安全级别,系统通过比较用户和访问文件的安全级别来决定用户是否可以访问该文件,并强制主体服从访问控制策略。运用*特性可以防御,因为木马窃取敏感文件的方式有两种,一种是通过修改敏感文件的访问权限,但在MAC下,杜绝了用户修改客体安全属性的可能,二是伪装成正常的程序,利用合法的用户身份读取敏感信息,但由于*特性,能阻止正在机密安全级上运行的木马,把机密信息写到低安全级别的文件中。
基于角色的访问控制有哪些优点?
便于授权管理,用户的授权是通过赋予相应的角色来完成的,降低了授权管理的复杂度;便于实施职责分离,通过定义角色约束,防止用户超越其正常的职责范围;便于实施最小权原则,一定的角色就确定了其工作职责,而角色所能完成的操作蕴含了其完成工作所需要的最小权限。具有灵活性、方便性和安全性的特点
什么是最小特权管理?
系统不应赋予用户超过其执行任务所需特权以外的特权,或者说仅给用户赋予必不可少的特权
计算机病毒和蠕虫的区别?
都具有传染性和复制功能。蠕虫通过网络传播,但病毒不一定。病毒主要感染文件系统,在传染过程中,计算机使用者是传染的触发者,需要用户运行一个程序或打开文档以调用恶意代码,而蠕虫主要利用计算机系统漏洞进行传染,不需要宿主文件,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,无需人为干预

你可能感兴趣的:(学习,安全,复习,信息系统安全)