《2022年全国计算机等级考试三级信息安全技术知识点总结汇编2.docx》由会员分享,可在线阅读,更多相关《2022年全国计算机等级考试三级信息安全技术知识点总结汇编2.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学习好资料第一章 信息安全保证概述1.1 信息安全保证背景1.1.1 信息技术及其进展阶段信息技术两个方面:生产:信息技术产业;应用:信息技术扩散信息技术核心:微电子技术,通信技术,运算机技术,网络技术第一阶段,电讯技术的创造;其次阶段,运算机技术的进展;第三阶段,互联网的使用1.1.2 信息技术的影响积极:社会进展,科技进步,人类生活消极:信息泛滥,信息污染,信息犯罪1.2 信息安全保证基础1.2.1 信息安全进展阶段通信保密阶段( 20 世纪四十岁月) :隐秘性,密码学运算机安全阶段 ( 20 世纪六十和七十岁月) :隐秘性、拜访掌握与认证,公钥密码学 (DiffieHellman , D
2、ES),运算机安全标准化(安全评估标准)信息安全保证阶段: 信息安全保证体系 (IA ),PDRR 模型:爱护(protection )、检测(detection)、响应 response、复原( restore),我国 PWDRRC 模型: 爱护、 预警(warning )、监测、应急、复原、反击( counter-attack ),BS/ISO7799 标准(有代表性的信息安全治理体系标准):信息安全治理实施细就、信息安全治理体系规范1.2.2 信息安全的含义一是运行系统的安全,二是系统信息的安全:口令鉴别、 用户存取权限掌握、数据存取权限方式掌握、审计跟踪、数据加密等信息安全的基本属性:
3、完整性、隐秘性、可用性、可掌握性、不行否认性1.2.3 信息系统面临的安全风险1.2.4 信息安全问题产生的根源:信息系统的复杂性,人为和环境的威逼1.2.5 信息安全的位置和作用1.2.6 信息安全技术核心基础安全技术:密码技术安全基础设施技术:标识与认证技术,授权与拜访掌握技术基础设施安全技术:主机系统安全技术,网络系统安全技术应用安全技术: 网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术,恶意代码监测与防护技术支撑安全技术:信息安全评测技术,信息安全治理技术1.3 信息安全保证体系1.3.1 信息安全保证体系框架生命周期:规划组织,开发选购,实施交付,运行爱
4、护,废弃保证要素:技术,治理,工程,人员安全特点:隐秘性,完整性,可用性1.3.2 信息系统安全模型与技术框架P2DR 安全模型: 策略( policy ),防护, 检测, 响应; 防护时间大于检测时间加上响应时间, 安全目标暴露时间 =检测时间 +响应时间,越小越好;提高系统防护时间,降低检测时间和响应时间信息保证技术框架(IATF ):纵深防备策略() :人员,技术,操作;技术框架焦点域:爱护本地运算机,爱护区域边界,爱护网络及基础设施,爱护支撑性基础设施1.4 信息安全保证基本实践更多精品文档1.4.1 国内外信息安全保证工作概况1.4.2 信息安全保证工作的内容确定安全需求,设计和实施
5、安全方案,进行信息安全评测,实施信息安全监控其次章 信息安全基础技术与原理2.1 密码技术2.1.1 对称密码与非对称密码对称密钥密码体制:发送方和接收方使用相同的密钥 非对称密钥密码体制:发送方和接收方使用不同的密钥对称密钥体制:加密处理速度快、保密度高,密钥治理分发复杂代价高、数字签名困难分组密码:一次加密一个明文分组:DES, IDEA , AES ;序列密码:一次加密一位或者一个字符: RC4,SEAL加密方法:代换法:单表代换密码,多表代换;置换法安全性:攻击密码体制:穷举攻击法(对于密钥长度128 位以上的密钥空间不再有效),密码分析学;典型的密码攻击:唯密文攻击,已知明文攻击,挑
6、选明文攻击(加密算法一般要能够抗击挑选明文攻击才认为是最安全的,分析方法:差分分析和线性分析),挑选密文攻击基本运算:异或,加,减,乘,查表设计思想:扩散,混淆;乘积迭代:乘积密码,常见的乘积密码是迭代密码,DES, AES数据加密标准DES :基于 Feistel 网络, 3DES ,有效密钥位数:56国际数据加密算法IDEA :利用 128 位密钥对 64 位的明文分组,经连续加密产生64 位的密文分组高级加密标准AES : SP 网络分组密码:电子密码本模式ECB ,密码分组链模式CBC ,密码反馈模式 CFB,输出反馈模式 OFB ,计数模式 CTF非对称密码:基于难解问题设计密码是非
7、对称密码设计的主要思想,NP 问题 NPC 问题克服密钥安排上的困难、易于实现数字签名、安全性高,降低了加解密效率RSA :基于大合数因式分解难得问题设计;既可用于加密,又可用于数字签名;目前应用最广泛ElGamal :基于离散对数求解困难的问题设计椭圆曲线密码ECC :基于椭圆曲线离散对数求解困难的问题设计通常采纳对称密码体制实现数字加密,公钥密码体制实现密钥治理的混合加密机制2.1.2 哈希函数单向密码体制,从一个明文到密文的不行逆的映射,只有只有加密过程,没有解密过程可将任意长度的输入经过变换后得到固定长度的输出(原消息的散列或消息摘要)应用:消息认证(基于哈希函数的消息认证码),数字签
8、名(对消息摘要进行数字签名口令的安全性,数据完整性)消息摘要算法MD5 : 128 位安全散列算法SHA : 160 位SHA 比 MD5 更安全, SHA 比 MD5 速度慢了 25%, SHA 操作步骤较 MD5 更简洁2.1.3 数字签名通过密码技术实现,其安全性取决于密码体制的安全程度一般数字签名: RSA , ElGamal ,椭圆曲线数字签名算法等特别数字签名:盲签名,代理签名,群签名,不行否认签名,具有消息复原功能得签名等常对信息的摘要进行签名美国数字签名标准DSS:签名算法 DSA应用:鉴权:重放攻击;完整性:同形攻击;不行抵赖2.1.4 密钥治理包括密钥的生成,储备,安排,启
9、用与停用,掌握,更新,撤销与销毁等诸多方面密钥的安排与储备最为关键借助加密,认证,签名,协议和公证等技术密钥的隐秘性,完整性,真实性密钥产生: 噪声源技术 (基于力学, 基于电子学, 基于混沌理论的密钥产生技术) ;主密钥,加密密钥,会话密钥的产生密钥安排:安排手段:人工分发(物理分发),密钥交换协议动态分发密钥属性:隐秘密钥安排,公开密钥安排密钥安排技术:基于对称密码体制的密钥安排,基于公钥密码体制的密钥安排密钥信息交换方式:人工密钥分发,赐予中心密钥分发,基于认证密钥分发 人工密钥分发:主密钥基于中心的密钥分发: 利用公开密钥密码体制安排传统密码的密钥;可信第三方: 密钥分发中心 KDC
10、,密钥转换中心 KTC ;拉模型,推模型;密钥交换协议:Diffie-Hellman算法 公开密钥安排:公共发布;公用目录;公约授权:公钥治理机构;公钥证书:证书治理机构CA ,目前最流行密钥储备:公钥储备私钥储备: 用口令加密后存放在本地软盘或硬盘;存放在网络目录服务器中:私钥储备服务PKSS;智能卡储备; USB Key 储备2.2 认证技术2.2.1 消息认证产生认证码的函数:消息加密:整个消息的密文作为认证码消息认证码( MAC ):利用密钥对消息产生定长的值,并以该值作为认证码;基于DES 的MAC 算法哈希函数:将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码2.2.2 身
11、份认证身份认证系统:认证服务器、认证系统客户端、认证设备系统主要通过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件进行实现认证手段: 静态密码方式动态口令认证:动态短信密码,动态口令牌(卡)USB Key 认证:挑战 /应答模式,基于 PKI 体系的认证模式生物识别技术认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证2.3 拜访掌握技术拜访掌握模型:自主拜访掌握( DAC ):拜访矩阵模型:拜访才能表(CL ),拜访掌握表( ACL );商业环境中,大多数系统,如主流操作系统、防火墙等强制拜访掌握( DAC ):安全标签:具有偏序关系的等级分类标签,非等级分类标
12、签,比较主体和客体的安全标签等级,拜访掌握安全标签列表(ACSLL );拜访级别:最高隐秘级,隐秘级,隐秘级,无级别及;Bell-Lapadula 模型:只答应向下读、向上写,保证数据的保密性, Biba 不答应向下读、向上写,爱护数据完整性;Chinese Wall 模型:多边安全系统中的模型,包括了MAC 和 DAC 的属性基于角色的拜访掌握(RBAC ):要素:用户,角色,许可;面对企业,大型数据库的权限治理;用户不能自主的将拜访权限授权给别的用户;MAC 基于多级安全需求, RBAC 不是2.3.2 拜访掌握技术集中拜访掌握:认证、授权、审计治理(AAA治理)拨号用户远程认证服务RAD
13、IUS :供应集中式 AAA治理; 客户端 /服务器协议, 运行在应用层,使用 UDP 协议;组合认证与授权服务终端拜访掌握器拜访掌握系统TACACS : TACACS+ 使用 TCP;更复杂的认证步骤;分隔认证、授权、审计Diameter :协议的实现和 RADIUS 类似,采纳 TCP 协议,支持分布式审计非集中式拜访掌握:单点登录 SSOKerberos:使用最广泛的身份验证协议;引入可信的第三方;Kerberos 验证服务器;能供应网络信息的保密性和完整性保证;支持双向的身份认证SESAME :认证过程类似于Kerberos2.4 审计和监控技术2.4.1 审计和监控基础审计系统:日志
14、记录器:收集数据,系统调用Syslog 收集数据;分析器:分析数据;通告器:通报结果2.4.2 审计和监控技术恶意行为监控: 主机监测: 可监测的地址空间规模有限; 网络监测: 蜜罐技术(软件 honeyd), 蜜网(诱捕网络) :高交互蜜罐、低交互蜜罐、主机行为监视模块网络信息内容审计:方法:网络舆情分析:舆情分析引擎、自动信息采集功能、数据清理功能;技术:网络信息内容猎取技术(嗅探技术)、网络内容仍原分析技术;模型:流水线模型、分段模型;不良信息内容监控方法:网址、网页内容、图片过滤技术第三章 系统安全3.1 操作系统安全3.1.1 操作系统安全基础基本安全实现机制:CPU 模式和爱护环:
15、内核模式、用户模式进程隔离:使用虚拟地址空间达到该目的3.1.2 操作系统安全实践UNIX/Linux系统:文件系统安全:全部的事物都是文件:正规文件、目录、特别文件(/dev 下设备文件) 、链接、 Sockets;文件系统安全基于i 节点中的三层关键信息:UID 、GID 、模式;模式位,权限位的八进制数表示; 设置 SUID(使一般用户完成一些一般用户权限不能完成的事而设置)和 SGID ,表达在全部者或同组用户权限的可执行位上;chmod 转变文件权限设置、 chown 、chgrp;unmask 创建文件默认权限账号安全治理: /etc/passwd、/etc/shadow;伪用户账
16、号; root 账户治理:超级用户账户可不止一个,将 UID 和 GID 设置为 0 即可,使用可插入认证模块PAM 进行认证登录日志与审计:日志系统:记录连接时间的日志:/var/log/wtmp 、/var/run/utmp ,进程统计:pacct 与 acct,错误日志: /var/log/messagesWindows 系统:Windows 安全子系统: winlogon 和图形化标识和验证GINA 、本地安全认证、安全支持供应者的接口( SSPI)、认证包、安全支持供应者、网络登录服务、安全账号治理器(SAM ) 登录验证: Kerberos用户权力与权限:用户权限:目录权限、文件权
17、限;共享权限日志与审计:系统日志、应用程序日志、安全日志安全策略:密码策略;锁定策略;审核策略;用户全力指派;安全选项;装载自定义安全模板; windows 加密文件系统可信运算技术:可信运算平台联盟( TCPA),可信运算组织(TCG )可信 PC,可新平台模块(TPM ),可信软件栈( TSS),可信网络连接(TNC )可信平台模块( TPM ):具有密码运算才能和储备才能,是一个含有密码运算部件和储备部件的小型片上系统;物理可信、治理可信的;可信密码模块( TCM ):中国可信运算平台:三个层次:可信平台模块(信任根)、可信软件栈、可信平台应用软件;我国:可信密码模块、可信密码模块服务模
18、块、安全应用可信网络连接( TNC ):开放性、安全性3.2 数据库安全3.1.1 数据库安全基础统计数据库安全现代数据库运行环境:多层体系结构,中间层完成对数据库拜访的封装数据库安全功能: 用户标识和鉴定存取掌握:自主存取掌握:用户权限有两个要素组成:数据库对象和操作类型,GRANT语句向用户授予权限, REVOKE语句收回授予的权限,角色:权限的集合;强制存取掌握:主体和客体,敏锐度标记:许可证级别(主体)、密级(客体) ,第一要实现自主存取掌握审计:用户级审计、系统审计;AUDIT设置审计功能, NOAUDIT取消审计功能数据加密视图与数据保密性: 将视图机制与授权机制结合起来使用,第一
19、用视图机制屏蔽一部分保密数据,然后在视图上再进一步定义存取权限数据完整性:语义完整性,参照完整性,实体完整性 约束:优先于使用触发器、规章和默认值默认值: CREATE DEFAULT规章: CREATE RULE , USE EXEC sp_bindefault , DROP RULE事务处理: BEGAIN TRANSACTION,COMMIT ,ROLLBACK;原子性、 一样性、 隔离性、长久性;自动处理事务、隐式事物、用户定义事物、分布式事务3.2.2 数据库安全实践数据库十大威逼:过度的特权滥用;合法的特权滥用;特权提升;平台漏洞;SQL注入;不健全的审计;拒绝服务;数据库通信协议
20、漏洞;不健全的认证;备份数据库暴露安全防护体系:事前检查,事中监控,事后审计数据库安全特性检查:端口扫描(服务发觉) :对数据库开放端口进行扫描;渗透测试:黑盒式的安全监测,攻击性测试, 对象是数据库的身份验证系统和服务监听系统,监听器安全特性分析、 用户名和密码渗透、漏洞分析;内部安全监测:安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测数据库运行安全监控:网络嗅探器、数据库分析器、SQL 分析器、安全审计第四章 网络安全4.1 网络安全基础4.1.1 TCP/IP 体系架构4.1.2 网络协议数据链路层协议:地址解析协议(ARP ),逆向地址解析协议(RARP )网络层协议: I
21、P 协议, Internet 掌握报文协议( ICMP ):发送出错和掌握消息,供应了一个错误侦测与回馈机制传输层协议: TCP 协议, UDP 协议应用层协议: HTTP , SMTP 和 POP3, DNS4.2 网络安全威逼技术4.2.1 扫描技术互联网信息搜集IP 地址扫描: 操作系统命令 ping(网络故障诊断命令) 、tracer,自动化的扫描工具Namp 、Superscan端口扫描: Namp 软件; TCP 全连接扫描, TCP SYN 扫描, TCP FIN 扫描, UDP 的 ICMP端口不行达扫描, ICMP 扫描;乱序扫描和慢速扫描漏洞扫描:网络漏洞扫描:模拟攻击技术
22、;主机漏洞扫描:漏洞特点匹配技术、补丁安装信息的检测弱口令扫描:基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术综合漏洞扫描: Nessus扫描防范技术:防火墙,用安全监测工具对扫描行为进行监测4.2.2 网络嗅探非主动类信息猎取攻击技术防范:实现对网络传输数据的加密,VPN 、SSL、SSH 等加密和传输的技术和设备,利用网络设备的物理或者规律隔离的手段4.2.3 网络协议欺诈IP 地址欺诈:和其他攻击技术相结合ARP 欺诈:中间人欺诈(局域网环境内实施),假装成网关欺诈(主要针对局域网内部主机与外网通信的情形) ;防范: MAC 地址与 IP 地址双向静态绑定TCP 欺诈:将外部
23、运算机假装成合法运算机;非盲攻击:网络嗅探,已知目标主机的初始序列号,盲攻击:攻击者和目标主机不在同一个网络上DNS 欺诈:基于 DNS 服务器的欺诈,基于用户运算机的DNS 欺诈4.2.4 诱骗式攻击网站挂马:攻击者胜利入侵网站服务器,具有了网站中网页的修改权限技术:框架挂马:直接加在框架代码和框架嵌套挂马;JS脚本挂马; b ody 挂马;假装欺诈挂马防范: Web 服务器,用户运算机诱骗下载:主要方式: 多媒体类文件下载,网络嬉戏软件和插件下载,热门应用软件下载,电子书爱好者, P2P 种子文件文件捆绑技术:多文件捆绑方式,资源融合捆绑方式,漏洞利用捆绑方式钓鱼网站社会工程4.2.5 软
24、件漏洞攻击利用技术软件漏洞:操作系统服务程序漏洞,文件处理软件漏洞,浏览器软件漏洞,其他软件漏洞软件漏洞攻击利用技术:直接网络攻击; 诱骗式网络攻击:基于网站的诱骗式网络攻击,网络传播本地诱骗点击攻击4.2.6 拒绝服务攻击实现方式:利用目标主机自身存在的拒绝服务性漏洞进行攻击,耗尽目标主机CPU 和内存等运算机资源的攻击,耗尽目标主机网络带宽的攻击分类: IP 层协议的攻击:发送ICMP 协议的恳求数据包,Smurf 攻击; TCP 协议的攻击:利用 TCP 本身的缺陷实施的攻击,包括SYN-Flood和 ACK-Flood攻击,使用伪造的源IP 地址,利用 TCP 全连接发起的攻击,僵尸主
25、机;UDP 协议的攻击;应用层协议的攻击:脚本洪水攻击分布式拒绝服务( DDos):攻击者,主控端,代理端,僵尸网络防范:支持 DDos 防备功能的防火墙4.2.7 Web 脚本攻击针对 Web 服务器端应用系统的攻击技术:注入攻击: SQL 注入,代码注入,命令注入,LDAP 注入, XPath 注入;防范:遵循数据与代码分别的原就拜访掌握攻击,非授权的认证和会话攻击针对 Web 客户端的攻击技术:跨站脚本攻击( XSS):反射型 XSS(非长久性的跨站脚本攻击) ,储备型 XSS(长久型的跨站脚本攻击) ,DOM-based XSS(基于文档对象模型的跨站脚本攻击):从成效上来说属于反射型
26、 XSS跨站点恳求伪造攻击( CSRF):伪造客户顿恳求;防范:使用验证码,在用户会话验证信息中添加随机数点击劫持攻击4.2.8 远程掌握木马:具有远程掌握、 信息偷取、隐匿传输功能的恶意程序;通过诱骗的方式安装;一般没有病毒的的感染功能;特点:假装性,隐匿性,窃密性,破坏性;连接方式: C/S 结构;最初的网络连接方法; 反弹端口技术: 服务器端主动的发起连接恳求, 客户端被动的等待连接;木马隐匿技术:线程插入技术、DLL动态劫持技术、 RootKit (内核隐匿技术)Wwbshell :用 Web 脚本写的木马后门,用于远程掌握网站服务器;以ASP、PHP、ASPX 、JSP等网页文件的形
27、式存在;被网站治理员可利用进行网站治理、服务器治理等4.3 网络安全防护技术4.3.1 防火墙一般部署在网络边界,也可部署在内网中某些需要重点防护的部门子网的网络边界功能: 在内外网之间进行数据过滤;对网络传输和拜访的数据进行记录和审计;防范内外网之间的反常网络行为;通过配置NAT 提高网络地址转换功能分类:硬件防火墙: X86 架构的防火墙(中小企业) ,ASIC 、NP 架构的防火墙(电信运营商);软件防火墙(个人运算机防护)防火墙技术:包过滤技术:默认规章; 主要在网络层和传输层进行过滤拦截,不能阻挡应用层攻击,也不支持对用户的连接认证,不能防止IP 地址欺诈状态检测技术 (动态包过滤技
28、术) :增加了对数据包连接状态变化的额外考虑,有效阻挡 Dos攻击地址翻译技术:静态NAT , NAT 池,端口地址转换PAT应用级网关(代理服务器):在应用层对数据进行安全规章过滤体系结构:双重宿主主机体系结构:至少有两个网络接口, 在双重宿主主机上运行多种代理服务器,有强大的身份认证系统屏蔽主机体系结构: 防火墙由一台包过滤路由器和一台堡垒主机组成,通过包过滤实现了网络层传输安全的同时,仍通过代理服务器实现了应用层的安全屏蔽子网体系结构: 由两个包过滤路由器和一台堡垒主机组成;最安全,支持网络层、传输层、应用层的防护功能;添加了额外的爱护体系,周边网络(非军事区,DMZ )通常放置堡垒主机
29、和对外开放的应用服务器;堡垒主机运行应用级网关防火墙的安全策略4.3.2 入侵检测系统和入侵防备系统入侵检测系统( IDS ):掌握台:在内网中,探测器:连接交换机的网络端口分类:依据数据采集方式:基于网络的入侵检测系统(NIDS )、基于主机的入侵检测系统(HIDS );依据检测原理:误用检测型入侵检测系统、反常检测型入侵检测系统技术:误用检测技术:专家系统、模型推理、状态转换分析;反常检测技术:统计分析、神经网络;其他入侵检测技术:模式匹配、文件完整性检验、数据挖掘、运算机免疫方法体系结构:集中式结构:单一的中心掌握台;分布式结构:建立树形分层结构部署:一个掌握台可以治理多个探测器,掌握台
30、可以分层部署,主动掌握台和被动掌握台入侵防备系统( IPS):部署:网络设备:网络中需要爱护的关键子网或者设备的网络入口处,掌握台不足:可能造成单点故障,可能造成性能瓶颈,漏报和无保的影响4.3.3PKI公共密钥基础设施是创建、 治理、储备、分布和作废数字证书的一场系列软件、硬件、人员、策略和过程的集合组成:数字证书是 PKI 的核心;安全策略;证书认证机构(CA );证书注册机构;证书分发机构;基于 PKI 的应用接口数字证书信任模式:单证书认证机构信任模式,层次信任模型,桥证书认证机构信任模型4.3.4VPN利用开放的物理链路和专用的安全协议实现规律上网络安全连接的技术网络连接类型:远程拜
31、访型VPN ( Client-LAN )客户机和服务器都安装VPN 软件;网络到网关类型的VPN (LAN-LAN)客户端和服务器各悠闲自己的网络边界部署硬件VPN 网关设备VPN 协议分类:网络隧道技术其次层隧道协:封装数据链路层数据包;介于二、三层之间的隧道协议;第三层隧道协议 IPSec,通用路由封装协议( GRE );传输层的 SSL VPN 协议: SSL 协议工作在 TCP/IP 和应用层之间4.3.5 网络安全协议Internet 安全协议( IPSec):引入加密算法、数据完整性验证和身份认证;网络安全协议:认证协议头( AH )、安全载荷封装( ESP,传输模式、隧道模式) ,密钥协商协议:互联网密钥交换协议( IKE )传输层安全协议( SSL):解决点到点数据安全传输和传输双方身份认证的网络安全传输协议;记录协议和握手协议应用层安全协议:Kerberos 协议; SSH 协议:加密全部传输的数据,能防止DNS 欺诈和 IP 欺诈;安全超文本传输协议 ( SHTTP );安全多用途网际邮件扩充协议( S/MIME );安全电子交易协议 ( SET)