information security

1. PDRR信息防护模型PDRR（信息安全保障体系）（既防护、检测、反应、恢复）模型，可以描述网络安全的整个环节。P:Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性；保护是最基本的被动防御手段，即信息系统的外围防线D:Detection(检测):提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性；检测的目的是针对突破“外围防线”后的攻击行为进行探测预警R:Reaction(反应):对危及安全的时间、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常的服务；反应是接到检测报警后针对攻击采取的控制手段R:Recovery(恢复):一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务搜索发现；恢复是针对攻击入侵引起的破坏后果进行补救，是最后的减灾方法，如果前面的保障过程有效地控制了入侵行为，则恢复过程无需启动。 描述过程：当系统受到攻击时，首先进行保护，保护成功则免受攻击，保护失败的话，就进行检测，检测成功，系统直接反应，反应成功，免受攻击，反应失败就进行恢复，检测失败也要进行恢复。（自我白话过程，非重点）
2. 2. 加密，对称加密 非对称加密的区别 优缺点 典型算法典型算法：凯撒密码，playfair算法凯撒密码算法：对应算法的密码的26个字母往后移3位就是密文Playfair算法（在该网址上学习）：https://blog.csdn.net/qq_27547427/article/details/50854889 对称密码体制（Symmetric Encryption）也称为秘密密钥密码体制、单密钥密码体制或常规密码体制。对称密码：同一个密钥可以同时用作信息的加密和解密（1）优点：加密、解密处理速度快，保密度高等。（2）缺点：①密钥是保密通信的关键，如何才能把密钥安全送到收信方是对称加密的突出问题，安全性低，②n个合作者，就需要n个不同的密钥，使得密钥的分发复杂。③通信双方必须统一密钥④对称密码算法还存在数字签名认证问题（通信双方拥有同样的消息，接收方可以伪造签名，发送方也可以否认发送过某消息）。非对称密码：因为公钥与私钥不同，且公钥与私钥必须存在成对（key pair）与唯一对应的数学关系，使得由公钥去推导私钥在计算上不可行优点：网络中的每一个用户只需要保存自己的私钥，每个用户仅需产生一对密钥。密钥少，便于管理；密钥分配简单，不需要秘密的通道和复杂的协议来传送密钥。公钥可基于公开的渠道（如密钥分发中心）分发给其他用户，而私钥则由用户自己保管；可以实现数字签名。缺点：与对称密码体制相比，公钥密码体制的加密、解密处理速度较慢，同等安全强度下公钥密码体制的密钥位数要求多一些。 补充知识点（了解）对称密码体制分为两类：一类是对明文的单个位（或字节）进行运算的算法，称为序列密码算法，也称为流密码算法（Stream cipher）；另一类算法是把明文信息划分成不同的块（或小组）结构，分别对每个块（或小组）进行加密和解密，称为分组密码算法（Block cipher）。 3. 认证和授权（CA）认证的过程，包含组成部分CA认证是指电子商务认证授权机构。它是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。 从最终使用者来看，数字证书可分为系统证书和用户证书。从证书的用途来看，数字证书可分为签名证书和加密证书。 数字证书的组成部分（1）系统证书（CA系统自身的证书）：CA中心的证书、业务受理点的证书以及CA系统操作员的证书（2）用户证书包括：个人数字证书、机构数字证书、个人签名证书、机构签名证书、设备数字证书（3）签名与加密证书：签名证书用于对用户信息进行签名，以保证信息的不可否认性；加密证书用于对用户传送信息进行加密以保证信息的真实性和完整性。签名密钥对由签名私人密钥和验证公开密钥组成。加密密钥对由加密公开秘钥和解密私人密钥组成。（4）X.509数字证书：版本、序列号、签名算法标识、签名者、有效期、主体、主体公开密钥信息、CA的数字签名、可选项等 4. 入侵检测系统 作用 概念概念：一种对网络传输进行即时监视，在发生可疑传输时发生警报或采取主动反应措施的网络安全设备作用：监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。 5. VPN 什么是VPN 类型都有什么 VPN（虚拟专用网络）：指的是在公用网络上建立的专用网络。其具有稍微高于公共网络的使用价格，基本接近于专用网络的应用性能，具有极佳的性价比。 VPN 分为两类：专线类和协议类专线类：物理专线专用网、虚电路虚拟专用网、MPLS虚拟专用网。协议类：远程接入VPN，内联网VPN、外联网VPN。 6. 监听和扫描的概念是什么 网络扫描：扫描技术是主要的一种信息收集型攻击。网络扫描的目的就是利用各种工具对踩点所确定的攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。 扫描的策略：主动式策略、被动式策略主动式策略是基于网络的，通过一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现漏洞，可能对系统造成破坏。被动式策略是基于主机上，对系统中不适合的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查，不会对系统造成破坏。 主动式扫描一般分为：活动主机探测、ICMP查询、网络PING扫描、端口扫描、标识UDP和TCP服务、指定漏洞扫描、综合扫描 扫描方式分为：慢速扫描和乱序扫描；慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。 网络扫描工具：流光、Nmap、Superscan、X-Scan 网络监听：是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法。网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网络段在同一物理通道上传输的所有信息，而不管这些信息的发送的方和接收方是谁，而攻击者及可能在两端进行数据的监听了。 7. 协议安全：SSL SET 认证体制的功能 区别 SSL：是安全套接层协议，是指将公钥和私钥技术相组合的安全网络通讯协议。其通信目标：秘密性、完整性、认证性。其运行步骤：接通阶段、密码交换阶段、会谈密码阶段、检验阶段、客户认证阶段、结束阶段 SET：是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。（注意填空）SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。（了解）SET安全协议要达到的目标主要有五个：（1）保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。（2）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。（3）解决多方认证问题。不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。（4）保证网上交易的实时性，使所有的支付过程都是在线的。（5）效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 SET协议规范所涉及的对象有：（填空）（1）消费者 （2）在线商店 （3）收单银行 （4）电子货币（如智能卡、电子现金、电子钱包）发行公司，以及某些兼有电子货币发行的银行。 （5）认证中心（CA） SSL和SET的比较（1）认证机制：SET的安全要求较高，因此,所有参与SET交易的成员（持卡人、商家、支付网关等）都必须先申请数字证书来识别身份，而在SSL中只有商店端的服务器需要认证，客户端认证则是有选择性的。（2）设置成本：持卡者希望申请SET交易，除了必须先申请数字证书之外，也必须在计算机上安装符合SET规格的电子钱包软件，而SSL交易则不需要另外安装软件。（3）安全性：一般公认SET的安全性较SSL高，主要是因为整个交易过程中，包括持卡人到商店端、商店到付款转接站再到银行网络，都受到严密的保护，而SSL的安全范围只限于持卡人到商店端的信息交换。 （4）基于Web的应用：SET是为信用卡交易提供安全的，它更通用一些。然而，如果电子商务应用只通过Web或是电子邮件，则可能并不需要SET。 8. 数据备份的种类本地备份、异地备份、可更新备份、不可更新备份、完全备份、差分备份、增量备份、按需备份、动态备份、镜像备份 9. 加密 DES RSA加密原理和算法DES加密原理：DES 是分组加密算法，它以64位（二进制）为一组，对称数据加密，64位明文输入，64位密文输出。密钥长度为56位，但密钥通常表示为64位，并分为8组，每组第8位作为奇偶校验位，以确保密钥的正确性，这样对用户来说每组密钥仍是56位。利用密钥，通过传统的换位、替换和异或等变换，实现二进制明文的加密与解密。 DES算法概要：1．对输入的明文从右向左按顺序每64位分为一组（不足64位时，在高位补0），并按组进行加密或解密。2．进行初始换位。3．将换位后的明文分成左、右两个部分，每部分为32位长。4．进行16轮相同的变换，包括密钥变换。5．将变换后左右两部分合并在一起。6．逆初始变换，输出64位密文。 RSA加密原理和算法RSA算法过程：1. 选择密钥（1） 选择两个不同的素数p，q（2） 计算公开模数r=p×q（3） 计算欧拉函数φ（r）=（p-1）（q-1）（4） 选择一个与φ（r）互质的量k，即保证gcd（φ（r），k）=1时，选择k。可以令sp=k或pk=k 因为与φ（r）互质的数的个数可能不止一个，所以k的值是有选择的。可以先设k为一个初值，并且k＜φ（r）,然后试探法求出满足条件φ（r）与k的最大公约数为1，即gcd（φ（r），k）=1.注意：如果选择一个密钥的值大于φ（r）的值得话，就不能正确求出另一个密钥（5） 根据skpk=1 mod φ（r），已知sk或pk用乘逆算法求pk或sk 2. 加密RSA算法加密是针对十进制数加密的，将明文P分成块P（i）,并要求每块长度小于r值，即P=P（1）P（2）···P（i）····。然后每块明文自乘pk次幂或sk次幂，再按模r求余数，就得到密文了 密文C（i）=P（i）^pk mod r 密文序列C=C(1)C(2)···C(i)··· 注意，如果选P（i）≥r，将不能得到正确的加密和解密结果3. 解密 RSA算法解密与加密基本相同，将每块密文自乘sk次幂或pk次幂，再按模r求余数，就得到明文了 明文P（i）=C（i）^sk mod r 明文 P=P(1)P(2)…P(i)… 4. 平方-乘算法用“平方-乘算法”来计算m^a mod r ，它将极大提高计算m^a mod r的速度，并且避免了计算机数值溢出现象的发生 10. 认证的方法、认证的应用 kerberos模式（kerberos原理见资料） Kerberos是一种网络身份验证协议，Kerberos要解决的问题是：在一个开放的分布式网络环境中，如果工作站上的用户希望访问分布在网络中服务器上的服务和数据时，我们希望服务器能对服务请求进行鉴别，并限制非授权用户的访问11. 数字签名，数字信封的工作过程（大的图说明每个过程代表什么）备注：资料上 12. PKI认证体系结构，公钥基础设施（PKI），组成部分，功能PKI认证体系结构：公钥基础设施：PKI就是通过使用公开密钥技术和数字证书来提供网络信息安全服务的基础设施，是在统一的安全认证标准和规范基础上提供在线身份认证、证书认证CA（Certificate Authority）、数字证书、数字签名等服务。PKI至少具有认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统五个基本系统，构建PKI也将围绕这五大系统来构建。 1.认证机构CA CA的主要功能就是签发证书和管理证书，其主要职责包含下面几个方面: （1）验证并标识证书申请者的身份; （2）确保CA用于签名证书的非对称密钥的质量和安全性; （3）确保整个签证过程的安全性，确保签名私人密钥的安全性; （4）管理证书信息资料，包括公开密钥证书序列号、CA标识等的管理; （5）确定并检查证书的有效期限; （6）确保证书用户标识的唯一性; （7）发布并维护作废证书表; （8）向申请人发通知。 2.数字证书库3.密钥备份及恢复4.证书作废处理系统5.密钥和证书的更新6.证书历史档案7.PKI应用接口 对PKI的性能要求 作为网络安全环境的一种基础设施，PKI必须具有良好的性能。（1）透明性和易用性。（2）可扩展性。（3）互操作性。 （4） 支持多应用 （5）支持多平台。 PKI的标准 1．ASN.1 （Abstract Syntax Notation One）是描述在网络上传输信息格式的标准方法。2．X.500是一个将局部目录服务连接起来，构成全球分布式目录服务系统的协议，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。3．X.509为X.500用户名称提供了通信实体的鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。 4．PKCS系列标准由RSA实验室针对PKI体系的加解密、签名、密钥交换、分发格式及行为等制订的PKCS系列标准（PKCS #1～PKCS #15）。 5．OCSP在线证书状态协议是因特网工程技术小组IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。6．轻量级目录访问协议LDAP是X.500目录访问协议的一个子集，它简化了X.500目录访问协议，并且在功能、数据表示、编码和传输方面都进行了相应的修改。7．PKIX系列协议定义了X.509证书在Internet上的使用，包括证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些协议的轮廓结构等。 13. 防火墙的体系结构防火墙分类：包过滤防火墙、状态检测防火墙、应用服务代理防火墙体系结构：屏蔽路由器、双宿主机网关、屏蔽单宿堡垒主机、屏蔽双宿堡垒主机、屏蔽子网 14. 信息隐藏 数字水印 信息隐藏基本思想起源于古代的伪装术信息隐藏：主要研究如何将某一机密信息隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息。古代的信息隐藏称为古代密码术和古代隐写术 信息隐藏技术：信息嵌入算法，利用密钥来实现秘密通信的隐藏；隐藏信息检测和提取算法，利用密钥从隐藏载体中检测和提取出秘密信息； 数字水印：数字水印技术就是将指定的数字、序列号、文字、图像标志等版权信息嵌入到数据产品中，以起到版权保护、秘密通信、数据文件的真伪鉴别和产品标识等作用。数字水印技术包括嵌入、检测和提取见资料数字水印 15. 计算机攻防的方法 对个人入侵采取的方式，防护措施攻击方法：监听、扫描、假冒、篡改、恶意攻击、阻断服务防护方法：数据流加密、访问控制、数据流过滤 对个人入侵采取的方式：防护措施：网络访问控制技术、防火墙技术、数据加密技术、入侵检测技术、网络安全管理1）杀死这个进程来切断黑客与系统的连接。 （2）使用工具询问他们究竟想要做什么。（3）跟踪这个连接，找出黑客的来路和身份。 （4）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。（5）ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统，这种情况不太好，因为这需要事先与电话公司联系。（6） 使用who和netstat可以发现入侵者从哪个主机上过来，然后可以使用finger命令来查看哪些用户登录进远程系统。（7）修复安全漏洞并恢复系统，不给黑客留有可乘之机