信息安全期末重点复习
简述信息安全、网络安全、计算机系统安全和密码安全的关系
信息安全与网络安全、计算机系统安全和密码安全密切相关,但涉及的保护范围不同。信息安全包含网络安全,网络安全包含计算机系统安全,计算机系统安全包含密码安全。其中:(1)信息安全所涉及的保护范围包括所有信息资源;(2)计算机系统安全将保护范围限定在计算机系统硬件、软件、文件和数据范畴,安全措施通过限制使用计算机的物理场所和利用专用软件或操作系统来实现;(3)密码安全是信息安全、网络安全和计算机系统安全的基础与核心,也是身份认证、访问控制、拒绝否认和防止信息窃取的有效手段。
信息安全策略一般包括哪些内容?
信息安全策略是保障机构信息安全的指导文件。一般而言,信息安全策略包括总体安全策略和具体安全管理实施细则。 其中:(1) 总体安全策略包括:1)均衡性原则;2)时效性原则;3)最小限度原则。(2)安全策略内容包括:1)硬件物理安全;2)网络连接安全;3)操作系统安全;4)网络服务安全;5)数据安全;6)安全管理责任;7)网络用户安全责任。
PPDR信息安全模型由那几部分组成?说明每部分的作用
PPDR信息安全模型由安全策略、保护、检测和响应四个部分组成。(1)安全策略是PPDR模型的核心,是围绕安全目标、依据信息系统具体应用、针对信息安全等级在信息安全管理过程中必须遵守的原则。 (2)安全保护是网络安全的第一道防线,包括安全细则、安全配置和各种安全防御措施,能够阻止绝大多数网络入侵和危害行为。 (3)入侵检测是网络信息安全的第二道防线,目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁信息安全的异常行为,通过安全监控中心掌握整个网络与信息系统的运行状态,采用与安全防御措施联动方式尽可能降低威胁网络安全与信息系统安全的风险。 (4)应急响应是能够在信息系统受到危害之前,采用用户定义或自动响应方式及时阻断进一步的破坏活动。
列举各种可能的安全管理漏洞。
1.某系统弱口令导致黑客入侵。2.系统缺省安全配置,导致可直接被入侵。3.某系统管理员权限可任意调用,导致系统被入侵,等微信操作。4.某系统管理员操作不当导致主机端口配置信息,账号等暴露在公网之上,其他人员可任意下载,得到管理权限。
说明信息安全威胁的类别以及各自破坏的目标。
信息安全威胁主要分为自然因素和人为因素。(1)自然因素包括:硬件故障、软件故障、电磁干扰、电磁辐射和各种自然灾害。物理故障和自然灾害破坏了信息的完整性和有效性,电磁辐射破坏了信息的保密性。(2)人为因素包括:分为意外损坏和蓄意攻击。1)意外损坏包括了一些操作失误,主要影响了信息的完整性和有效性。2)蓄意攻击包括:网络攻击、计算机病毒、特洛伊木马、网络窃听、邮件截获、滥用特权等。网络攻击、计算机病毒、滥用特权破坏了保密性、完整性和有效性。特洛伊木马、网络窃听和邮件截获破坏了完整性和有效性。
简述DES加密算法的优缺点。
(1)DES算法具有算法容易实现、速度快、通用性强等优点;(2)但也有密钥位数少、保密强度较差和密钥管理复杂等缺点。
假设密钥是andyou,使用Playfair算法加密“computer engineering”(要求有解题步骤)。
在使用RSA的公钥体制中,已截获发给某用户的密文为c=2,该用户的公钥e = 3, n =33,请计算该用户的私钥d和明文m。(要求有解题步骤)
(1)n=pq (p和q都是素数),n=33故解出p=3 ,q=11;
(2)Φ(n)=(p-1)(q-1)=20 ;
(3)又因为ed≡1 modΦ(n),而e=3故可解出d=7;
(4)m= cd mod n=27 mod 33=29。
数字签名具有哪些特征?
(1)签名是可信的。当Bob用Alice的公钥验证信息时,他知道是由Alice签名的。
(2)签名是不可伪造的。只有Alice知道她的私钥。
(3)签名是不可重用的。签名是文件的函数,并且不可能转换成另外的文件。
(4)被签名的文件是不可改变的。如果文件有任何改变,文件就不可能用Alice的公钥验证成功。
(5)签名是不可抵赖的。Bob不用Alice的帮助就能验证Alice的签名.
散列函数和消息认证码有什么区别?它们可以提供什么功能?
(1)消息认证码和散列函数都属于认证函数。消息认证码是一种使用密钥的认证技术,它利用密钥来生成一个固定长度的短数据块,并将该数据块附加在消息之后。而散列函数是将任意长的消息映射为定长的hash值的函数,以该hash值作为认证符。散列函数也称为消息的“指纹”。但是散列函数用于认证时,通常和数字签名结合使用。(2)它们都可以提供消息认证,认证内容包括:消息的源和宿;消息内容是否曾受到偶然的或有意的篡改;消息的序号和时间栏。
解释身份认证的基本概念
身份认证是指计算机及网络系统确认操作者身份的过程。它用来防止计算机系统被非授权用户或进程侵入,保证以数字身份进行操作的操作者就是这个数字身份合法的拥有者。
简述OpenID和OAuth认证协议的功能与区别。
OpenID(Open Identity)是一个开放的、基于URI/URL的、去中心化的身份认证协议,也是一个开放的标准。通过OpenID,任何人都能够使用一个URL在互联网上用统一的方式来认证自己。一次注册,可以在多个网站上登录,从而实现了跨域的单点登录的功能,用户再无须进行重复的注册和登录。OAuth(Open Authorization)协议是一个开放的授权协议,其目标是为了授权第三方在可控范围下访问用户资源。OAuth和OpenID的区别在于应用场景的区别,OAuth用于为用户授权,是一套授权协议;OpenID是用来认证的,是一套认证协议。两者是互补的。一般支持OpenID的服务都会使用到OAuth。
简述什么是基于角色的访问控制RBAC
基于角色的访问控制是在用户和访问权限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问。
PKI的主要组成是什么?它们各自的功能各是什么?
PKI主要组成部分包括:包括PKI策略、软硬件系统、认证机构(Certificate Authority,简称CA)、注册机构(Register Authority,简称RA)、证书发布系统和PKI应用接口等。各自的功能如下:PKI安全策略建立和定义了一个信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。证书机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书撤销列表(Certificate Revocation Lists,简称CRL)确保必要时可以撤销证书。 注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。证书发布系统负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现存的,也可以是PKI方案中提供的。PKI应用接口是提供在PKI平台之上为所有应用提供一致、可信的使用公钥证书及相关服务的接口。一个PKI系统还必须包括相应的证书库存储证书。证书存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
按防火墙技术原理分类,主要有哪些防火墙?
包过滤防火墙、代理服务器防火墙(应用级网关和电路级网关)、状态检测防火墙和自适应防火墙等。
简述包过虑防火墙与代理防火墙的优缺点。
简述状态包检测防火墙的工作原理。
(1)状态包检测防火墙利用一个检测模块从网络层捕获数据包,并抽取与应用层状态有关的信息,并以此作为决定对该连接是接受还是拒绝;(2)检测模块维护一个动态的状态信息表,当数据到达防火墙的接口时,防火墙判断数据包是不是一个已经存在的连接,如果是就对数据包进行特征检测,并依据策略是否允许通过,如果允许就转发到目的端口并记录日志,否则就丢弃;(3)状态检测防火墙包括:一个过滤规则集;对通过它的每一个连接都进行跟踪,获取相关的通信和应用程序的状态信息,形成一个当前连接的状态列表,用于后续的访问控制。
在防火墙体系结构中,为什么要引入非军事区(demilitarized zone,DMZ)?
(1)为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段中,这个网段被称为非军事区,也被称为停火区或周边网络。(2)DMZ是防火墙的重要概念,在实际应用中经常用到。(3)DMZ位于内部网之外,使用与内部网不同的网络号连接到防火墙,并对外提供公共服务。(4)DMZ通过隔离内外网络,并为内外网之间的通信起到缓冲作用。
为什么说屏蔽子网防火墙中的DMZ为内部网增加了安全级别?
在该防火墙体系结构中,因为堡垒主机不直接与内部网的主机交互使用,所以内部网中两个主机间的通信不会通过堡垒主机,即使黑客侵入堡垒主机,他也只能看到从Internet 和一些内部主机到堡垒主机的通信以及返回的通信,而看不到内部网络主机之间的通信。所以DMZ为内部网增加了安全级别。
简述实时入侵检测原理?
在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
什么是异常检测(Anomaly Detection )?
首先总结正常操作应该具有的特征;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
简述误用检测的特点?
1)如果入侵特征与正常的用户行为匹配,则系统会发生误报;(2)如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报;(3)攻击特征的细微变化,会使得误用检测无能为力。
简述NIDS的优点。
(1)检测范围广,监测主机数量大时相对成本低;
(2)能监测主机IDS所不能监测到的某些攻击(如DOS);(3)独立性和操作系统无关性;(4)能够检测未成功的攻击和不良企图;(5)实时检测和响应;(6)攻击者转移证据很困难;(7)安装方便。
简述入侵检测系统与入侵防御系统的异同。
(1)IPS与IDS在检测方面的原理相同,首先由信息采集模块实施信息收集,内容包括系统、网络、数据及用户活动的状态和行为,然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信号分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析;最后由反应模块对分析结果做出相应的反应。(2)IPS与IDS主要的不同点有:1)入侵检测系统的功能是通过监视网络和系统中的数据流,检测是否存在有违反安全策略的行为或企图,若有则发出警报通知管理员采取措施;IPS能够提供主动性的防御,在遇到攻击时能够检测并尝试阻止入侵。2)IPS串联在网络上,利用了OSI参考模型的所有七层信息,对攻击进行过滤,提供了一种主动的、积极的入侵防范。而IDS只是旁路并联安装,检测入侵行为。3)IDS使用非确定性的方法从现在和历史的通信流中查找威胁或者潜在的威胁,包括执行通信流、通信模式和异常活动的统计分析。IPS必须是确定性的,它所执行的所有丢弃通信包的行为必须是正确的。
无线局域网有哪些主要的安全威胁?
1、无线局域监听:利用无线集线器将无线交换网络转换成共享网络,就有可能实现对无线交换网络的监听。2、无线局域网欺诈:利用默认配置漏洞、加密漏洞、密钥管理漏洞和服务设置标识漏洞等突破身份认证的封锁,假冒合法无线客户端或无线AP骗取WLAN的信任,窃听重要机密信息或非法访问网络资源的攻击行为。 3、无线AP欺诈:在WLAN覆盖范围内秘密安装无线AP,窃取通信、WEP共享密钥、SSID、MAC地址、认证请求和随机认证响应等保密信息的恶意行为。 4、无线局域网劫持:通过伪造ARP缓存表使会话流向指定恶意无线客户端的攻击行为。
WPA采用哪些技术加强了WLAN的安全性?
1、提供比较完善的数据加密和用户身份认功能。2、采用具有消息完整性校验(MIC)功能的TKIP加密技术代替了容易破译的WEP加密体制,并且将初始向量、密钥长度分别扩大到了48位和128位,提高了TKIP密钥的难度。3、使用IEEE802.1x认证协议、扩展认证协议EAP或预先共享密钥技术,提供了无线客户端和认证服务器之间的双向认证。4、兼容WEP,容易通过软件或固件升级现有WEP无线AP和无线网络适配器,而不会影响无线网络的性能。
WEP有哪些安全漏洞?
1、WEP默认配置漏洞:多数用户在安装无线网络适配器和无线AP设备时,只要求这些设备能够正常工作就行,很少考虑启用并正确配置无线安全性,通常使用默认配置。2、WEP加密漏洞:如果所有WEP帧都采用相同的密钥和初始向量加密,即使不知道共享密钥,利用重复使用的初始向量完全有可能破译出加密的WEP帧。WEP采用共享密钥加密和解密数据,如果需要更改密钥,就必须告知与之通信的所有节点,了解秘密的人越多,秘密信息也就变成了公开信息。3、WEP密钥管理漏洞:WEP并没有提供真正意义上的密钥管理机制,需要依赖Internet工程任务组提出的远程认证拨号用户服务和扩展认证协议等外部认证服务,但多数小型企业或办公室在部署WLAN时,并不会使用造价昂贵的专用认证服务器。4、服务器设置标识漏洞:同一个厂商的OUI是完全相同的,因此无论是使用前半个还是后半个MAC地址作为默认SSID,检索或推测出默认SSID并不是一件十分困难的事情。
