信息安全

版权声明:未经王小波同学允许不得转载本文内容,否则将视为侵权;博主qq:1419758909;反正也没人转载~ https://blog.csdn.net/qq_38900441/article/details/85224070

第二章 什么是信息安全

保密性(Confidentiality):保密性是指保证信息与信息系统不被非授权者所获取与使用。

完整性(Integrity):指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。

可用性(Availability):可用性是指保证信息与信息系统可被授权人正常使用。

可认证性( Authenticity ):能够核实和信赖一个合法的传输、消息或消息源的真实性。

不可否认性(Non-repudiation):保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致,使其以后不能否认信息过程。

可控性(Controllability):能够阻止未授权的访问

四项安全能力:

基础支撑能力

防护对抗能力

应急容灾能力

自主可控能力

 

狭义的信息安全,是指一个组织或个人通过预防、检测和恢复等手段来保证其信息系统和信息网络及其数据、内容等不被破坏或泄露、不被非法更改,信息系统保持连续可靠运行、信息服务不中断。

保密性、完整性和可用性是最常见的几个目标

 

第三章 信息的状态和攻防

缓冲区溢出攻击向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,以达到攻击的目的。

 

第四章 常见攻击方法

ARP原理:

源主机在发出ARP请求,接收到ARP应答后将目的主机的IP地址与物理地址映射关系存入自己的高速缓冲区。目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区。可以通过arp –a命令在DOS 状态下查看本机最近获得的arp表项。ARP请求是广播发送的,网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。

病毒一般分成主控模块、传染模块、破坏模块和触发模块4 个部分

(macro):是微软为其office软件设计的一种特殊功能,其目的是为了在使用该软件时避免重复相同的工作。而宏病毒是一种特殊的宏,它通过使用应用程序的宏语言(VRA)生成与文档相联系的病毒。

蠕虫  木马

拒绝服务攻击(Denial  of  Service,简称DoS)的主要目的是使被攻击的网络或服务器不能提供正常的服务。

拒绝服务攻击的攻击方式有很多种:

SYN Flood攻击

Land攻击

Smurf攻击

Ping of Death攻击

第五章 身份认证

信息安全领域的认证主要是指确定实体的身份来源和完整性,分为身份认证消息认证两大类。

身份认证:就是证实对象身份的过程,即验证者确信一个实体正是符合某种条件的实体,没有被假冒。

消息认证:鉴定某个指定的数据是否来源于某个特定的实体,没有被篡改。

身份认证和消息认证的区别
身份认证   身份认证只证实实体的身份 身份认证一般都是实时的

消息认证  消息认证除了消息的合法和完整外,还需要明确消息的含义。消息认证一般不提供时间性。

一个身份认证系统最少由示证者、示证信息、验证者、验证信息和验证协议五部分组成

至少需要三方:示证者 验证者 可信赖第三方

身份证认证的方法:

示证者所知道的秘密 •如口令、密码、身份证号码、个人识别码(PIN)、出生日期等等。

示证者所拥有的信物 •如证章、信用卡、ID卡、证书、密钥盘等信物。     

示证者所具有的生物特征•指纹技术和DNA指纹技术 ,虹膜和视网膜、字迹、甚至敲击键盘的方式 等。

示证者所在的位置  ,如:实体的IP地址,实体所在的大地测量位置(GPS)、特定的大门、特殊的终端、特别的访问设备等等。

挑战应答协议

Kerberos协议

Kerberos是由美国麻省理工学院人员开发的一种基于可信赖第三方的认证服务系统,能够是网络用户互相证明自己的身份。目前广泛使用的版本是Kerberos 5.0。

零知识证明

它是指示证者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。

 

第六章 访问控制

什么是访问控制?

访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。

确保只有符合控制策略的主体才能合法的访问相关资源

访问控制的基本目标:

 防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;

访问控制策略制定的原则(必考)

(1)最小权限原则:分配给系统中的每一个程序和每一个用户的权限应该是它们完成工作所必须享有的权限的最小集合。换句话说,如果主体不需要访问特定客体,则主体就不应该拥有访问这个客体的权限。

(2)最小泄露原则:主体执行任务时所需知道的信息应该最小化。

自主访问控制:对某个客体具有所有权的主体能够自主地将对该课题的一种访问权授予其他主体,并可在随后的任何时刻将这些权限收回

强制访问控制:根据主体被信任的程度和客体所含信息的保密性和敏感程度决定主体对客体的访问权

基于角色的访问控制:将访问权限分配给一定的角色,用户根据自己的角色获得相应的访问许可权

访问控制矩阵:

通过矩阵的形式来表示访问控制策略是一个常用方法

访问控制矩阵中每一行代表一个用户,每一列代表一个系统资源

 

第七章 防火墙

防火墙概念和目的

概念:防火墙是位于两个或多个网络之间,实施网间访问控制策略的一组组件

目的:保护内部网络不受来自外部网络的攻击,从而创建一个安全的内网环境

防火墙采用的技术:

包过滤技术

应用代理技术

网络地址转换技术

(状态检测技术与流过滤技术)

DMZ概念:

两个防火墙之间的空间被称为DMZ

第九章:密码学与信息安全

密码体制可分为对称体制和非对称体制(公钥体制)

对称密码算法:RC4,DES,AES

公钥密码算法:RSA、ECC、ElGamal

1949Shannon发表的论文“保密系统的通信原理”奠定了密码学的数学理论基础。p1949Shannon发表的论文“保密系统的通信原理”奠定了密码学的数学理论基础。(现代密码的开拓者)

1976DiffieHellman的论文“密码学的新方向”奠定了公钥密码学的基础。(公钥密码的思想)

对称密码又分为流密码和分组密码

公钥密码体制概述

在公钥密码体制中,每一个用户都拥有一对个人密钥k=(pk,sk),其中pk是公开的,任何用户都可以知道,sk是保密的,只有拥有者本人知道。假如Alice要把消息m保密地发送给Bob,则Alice利用Bob的公钥pk加密明文m,得到密文 ,并把密文传送给BobBob得到Alice传过来的c后,利用自己的私钥sk解密密文c得到明文。

公钥密码体制中的加密密钥和解密密钥是不同的。

第十章:数字签名与消息认证

数字签名是利用密码运算实现“手写签名”效果的一种技术,它通过某种数学变换来实现对数字内容的签名和盖章。

具有不可伪造,不可抵赖、可验证特点

Hash函数

单向性

抗弱碰撞性

抗强碰撞性

消息认证是指验证者验证所接收到的消息是否确实来自真正的发送方、并且消息在传送中没被修改的过程。

消息认证是抗击伪装、内容篡改、序号篡改、计时篡改和信源抵赖的有效方法。

消息认证码(Message authentication code,简称:MAC):也称密码校验和,是指消息被一密钥控制的公开单向函数作用后、产生的固定长度的数值,即MAC=CK(M)。(又称:带密钥的hash函数)。保证消息数据完整性。

 

现代密码体制中,密码算法都是公开的,密码系统的安全性完全依赖于密钥的安全。

 

密钥的产生和分发办法不外乎三种形式:

(1)一方产生,然后安全的传给另一方;

(2)两方协商产生;

(3)通过可信赖第三方的参与产生。

数字证书:

数字证书也称公钥证书,是由一个可信机构颁发的,证明公钥持有者身份的一个电子凭据

公钥基础设施PKI

公钥基础设施是用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能的基础设施。简单的讲:PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI的构建和实施主要围绕认证机构CA 、证书和证书库、密钥备份及恢复系统 、证书作废处理系统、证书历史档案系统 和多PKI间的互操作性来进行。

第十二章

IPSec(IP Security)协议簇产生于IPv6的制定之中,目的是提供IP层的安全性,IPSec通过支持一系列的加密算法来确保通信双方数据的保密性和完整性。

AH协议提供数据源认证和完整性保证

ESP协议还可以利用加密技术保障数据的保密性

IPSec的两种实现方式:传输模式和隧道模式

SSL安全协议主要用于web的安全传输协议

目的是为客户和服务器之间的数据传输提供安全保证

 

 

 

 

 

 

 

 

 

 

展开阅读全文

没有更多推荐了,返回首页