精华内容
下载资源
问答
  • 信息安全概论知识点

    千次阅读 多人点赞 2017-05-24 23:59:09
    信息安全概论知识点

    信息安全概论知识点

    一.名词解释

    1.信息安全:信息安全是指信息网络的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠地运行,信息服务不中断。

    2.安全漏洞:指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。

    3.缓冲区溢出:是一种非常普遍,非常危险的漏洞,在各种操作系统,应用软件中广泛存在。利用缓冲区溢出攻击,可以导致系统运行失败,系统死机,重新启动等后果。

    4.网络后门:是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

    5.计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

    6.恶意软件:俗称流氓软件,是对破坏系统正常运行的软件的总称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载,媒体播放等)和恶意行为(弹广告,开后门),给用户带来实质危害。

    7.防火墙:位于可行网络与不可信网络之间并对二者之间流动的数据包进行检查的一台,多台计算机或路由器。

    8.入侵检测:是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和遭遇袭击的迹象的一种机制。

    9.异常检测技术:也称基于行为的检测,是指根据使用者的行为或资源使用情况来判断是否发生入侵,而不依赖于具体行为是否出现来检测。

    10.误用检测技术:也称基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。

    11.VPN:是一种能够将物理上分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。

    12.对称加密算法:是用加密数据使用的密钥可以计算出用于解密数据的密钥。

    13.非对称加密算法:是指用于加密的密钥和用于解密的密钥是不同的,而且从加密的密钥无法推导出解密的密钥。

    14.散列函数:也称为Hash函数,杂凑函数,哈希函数,哈希算法,散列算法或消息摘要算法。它通过把单项数学函数应用于数据,将任意长度的一块数据转化成一定长的,不可逆转的数据。

    15.蜜罐:是当前最流行的一种陷阱及伪装手段。主要用于监视并探测潜在的攻击行为。

    二.简答:

    1.网络监听的工作原理

    当一个局域网采用共享Hub时,当用户发送一个报文时,这些报文会被发送到LAN上所有在线的机器。一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,即主机A不会捕获发向主机B的数据,而会简单地忽略这些数据。但是如果局域网中的某台计算机的网络接口处于混杂模式,那么它就可以捕获到网络上所有的报文和帧。如果一台计算机的网卡被设置成这种模式,那么它就是一个监听器或嗅探器。

    2.网络监听的防护和检测的主要方法                                                                

    (1)网络分段      (2)加密会话

    (3)使用检测工具   (4)观察异常情况

    3.缓冲区溢出的原理

    主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他命令,以达到攻击的目的。

    4.Dos攻击方式

    (1)SYN Flood工作原理:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK 一直维护着队列,造成了资源大量而不能向正常请求提供服务。

    (2)Smurf工作原理:该攻击向一个子网的广播地址发一个带有特定请求的包,并且将源地址伪装成想要攻击的主机地址。自网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

    5.计算机病毒的特征

    (1)传染性:基本特征

    (2)隐蔽性   (3)潜伏性    (4)破坏性

    6.普通病毒和蠕虫病毒的区别

                    普通病毒                蠕虫病毒

    存在形式:      寄存文件                独立程序

    传染机制:      寄主程序运行             主动攻击

    传染目标:      本地文件                网络计算机

    7.木马病毒的传播方式

    通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界透漏用户的信息。

    8.物理层常用的防护手段

    (1)物理位置选择(2)物理访问控制(3)防盗窃和防破坏

    (4)防雷击(5)防火(6)防水和防潮(7)防静电

    (8)温湿度控制(9)电力供应(10)电磁防护要求

    9.防火墙的发展历史及局限性

    发展历史:第一代:1984年  采用的技术:包过滤

              第二代:1989年  采用的技术:代理服务

              第三代:1992年  采用的技术:动态包过滤(状态监控)

              第四代:1998年  采用的技术:自适应代理服务

    局限性:(1)不能防止不经过它的攻击,不能防止授权访问的攻击。

           (2)只能对配置的规则有效,不能防止没有配置的访问。

           (3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。

           (4)不能针对一个设计上有问题的系统攻击。

    10.异常检测技术的原理及前提

    原理:该技术首先假设网络攻击行为是不常见的,区别于所有正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。

    前提条件:入侵活动是异常活动的一个子集,理想的情况是:一场活动集与入侵活动集相等。

    11.无用检测技术的原理及前提

    原理:首先要定义违背安全策略事件的特征,判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。

    前提:假设所有的网络攻击行为和方法都具有一定的模式或特征。

    12.VPN的作用

    它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。

    账号保护的主要方法及手段

    (1)保护guest账户(2)限制用户数量

    (3)管理员账户改名(4)建陷阱账户

    13.对称加密算法优缺点

    优点:加密速度快,保密度高。

    缺点:分发的困难问题几乎无法解决。密钥是保密通信的关键,发信方必须安全、妥善的把密钥送到收信方,不能泄露其内容,密钥的传输必须安全,如何才能把密钥安全送到收信方是对称加密体制的突出问题。

    14.非对称加密算法的优缺点

    优点:

    (1)公钥加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥。        

    (2)公钥在传递和发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者没有太大意义。         

    (3)密钥少便于管理,N个用户通信只需要N对密钥,网络中每个用户只需要保存自己的解密密钥。        

    (4)密钥分配简单,加密密钥分发给用户,而解密密钥由用户自己保留。

    缺点:加密算法复杂,加密和解密的速度比较慢。

    15.硬盘丢失数据的注意事项

    (1)在硬盘数据出现丢失后,请立即换机,不要在对硬盘进行任何写操作,那样会增大修复的难度,也会影响到修复的成功率。

    (2)每一步操作都应该是可逆的或者对故障硬盘是只读的。

    16.使用EasyRecovery软件的注意事项

    (1)最好在重新安装计算机操作系统完后,就把Easy Recovery软件安装上,这样一旦计算机有文件丢失现象就可以使用Easy Recovery软件进行恢复了。

    (2)不能在文件丢失以后再安装Easy Recovery文件恢复软件,因为这样的话Easy Recovery软件极有可能将要恢复的文件覆盖了,万一在没有安装Easy Recovery软件的情况下文件丢失,这时最好不要给计算机里再复制文件。可以将计算机硬盘拔下来,放到其他已经安装有Easy Recovery软件的计算机上进行恢复,或找专业的安全人员来处理。

    三.  问答题:

    1.信息安全体系结构

    应用安全:(1)数据库加固 (2)安全监控  (3)电子文档  (4)安全身份认证统一授权

    系统安全:(1)容灾备份   (2)系统加固  (3)HIDS NIDS  (4)漏洞扫描 系统防毒

    网络安全:(1)VLAN划分  (2)外网的入网访问控制  (3)网络安全边界防火墙 

    (4)VPN,传输安全   (5)网络防毒

    物理安全:(1)环境安全:防火,防水,磁泄露,防震

          (2)设备安全:防盗,物理隔离系统的设置,双网隔离设备

             (3)介质安全:防盗防电

    2. SQL Server 注入攻击的原理

    攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

    3.黑客攻击步骤

    (1)踩点  (2)扫描  (3)入侵  (4)获取权限   (5)提升权限 (6)清除日志

    4.常见的攻击手段

    (1)密码破解攻击 :字典攻击  混合攻击  暴力攻击  专业工具

    (2)缓冲区溢出攻击

    (3)欺骗攻击:源IP地址欺骗攻击   源路由欺骗攻击

    (4)DOS/DDOS攻击:DOS攻击 DDOS攻击

    (5)SQL注入攻击

    (6)网络蠕虫

    (7)社会工程学

    5.常见的防范手段:

    (1)抛弃基于地址的信任策略

    (2)使用加码方法

    (3)进行包过滤

    (4)防火墙技术

    (5)确定所有服务器采用最新系统,并打上安全补丁。

    6.防火墙的体系结构

    (1)双重宿主主机体系结构

    原理:双重宿主主机体质围绕双重宿主主机构建。双重宿主主机至少有两个网络接口,这样的知己可以充当外部网络和内部网络之间的路由器,所以它能够使内部网络和外部网络的数据包直接路由通过。然而双重宿主主机的防火墙体系结构不允许这样直接地通过。因此IP数据包并不是从一个网络直接发送到另一个网络。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信,但是外部网络与内部网络不能直接通信,他们之间的通信必须经过过滤和控制,一般在双重宿主主机上安装代理服务器软件,可以为不同的服务提供转发,并同时根据策略进行过滤和控制。双重宿主主机体系结构连接内部网络和外部网络,相当于内部外部网络的跳板,能够提供级别比较高的控制,可以完全禁止内部网络对外部网络的访问。

    (2)被屏蔽主机体系结构

    原理:被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔开,在这种体系结构中,主要的安全防护功能由数据包过滤提供。

    (3)被屏蔽子网体系结构

    原理:被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,即通过添加周边网络更进一步把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单形式是两个屏蔽路由器,每一个都连接到周边网络。一个位于周边网络与内部网络之间,另一个位于周边网络与外部网络之间。

     

    展开全文
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性 信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...

    Heap Spary技术是在 shellcode 的前面加上大量的滑板指令,非常占用内存,系统开启 DEP 进行防范

    DEP 数据执行保护,数据不能执行

    ASLR 地址随机化

    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性

    信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全

    保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略

    进程与cpu的通信是通过共享存储器系统、消息传递系统、管道通信完成。

    Windows有3个环境子系统POSIX、OS/2、win32

    P2DR模型:Policy(策略)、Protection(防护)、Detection(检测)、Response(响应),核心是策略

    S/MIME可为电子邮件提供数字签名和数据加密功能

    Owasp十大威胁第一为sql注入

    系统开发五个阶段:规划、分析、设计、实现和运行

    基本安全要求:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复

    应急计划三元素:事件响应、灾难恢复、业务持续性计划

    信息安全的发展大致经历了三个阶段:通信保密阶段、计算机安全阶段、信息安全保障阶段

    强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体

    根据加壳原理的不同,软件加壳技术包括压缩保护壳和加密保护壳

    计算机系统安全评估的第一个正式标准是:可信计算机评估标准 tcsec

    保护、检测、响应(PDR)、策略是确保信息系统和网络系统安全的基本策略

    2005年4月《中华人民共和国电子签名法》正式施行

    密码

    对称密码:常考的算法DES(64位)、IDE(64位)、AES(128位),其中对称密码又分为分组密码和序列密码

    DES:分组密码,数据分组长度为64位,密文分组长度也是64位,密钥长度也是64位,其中有效密钥长度为56位(这个常考),其余8位作为奇偶校验

    AES算法:分组密码,分组长度为128位

    序列密码:祖冲之算法

    对称密钥最大的缺点是密钥管理困难

    非对称密码:RSA算法(重点,要理解它是怎么加密和解密的,提示mod是求余的意思,肯定会考,出现在综合题,一般考,建议在RSA中使用1024位的n,密文中尽量少出现1,答案一般就是1024和1)

    Diffie-Hellman算法:仅限于密钥交换的用途

    还有DSA、ElGamal算法

    数字签名

    MD5算法

    MD5算法首先将任意长度的消息填充为512的倍数,然后进行处理

    消息摘要算法md5可以对任意长度的明文,产生128位的消息摘要

    SHA与md5算法最大区别在于其摘要长32bit,产生160位的消息摘要,故耗时要比md5长

    我国居民二代身份证正在使用256位的椭圆曲线密码

    电子商务系统正在使用1024位的RSA密码

    目前可用于密码破译的量子计算算法主要有Grover算法和shor

    密码攻击类型:1.惟密文攻击 2.已知明文攻击 3.选择明文攻击 4.选择密文攻击

    数字证书的内容:证书颁发机构的名称、证书本身的数字签名、证书持有者公钥、证书签名用到的Hash算法

    Vpn主要采用4项关键技术:1.隧道技术 2.加解密技术 3.密钥管理技术 4.用户与设备身份认证技术

    Vpn隧道协议主要分为第二、第三层隧道协议

    第二层隧道协议有L2F、PPTP、L2TP等

    第三层隧道协议有IPsec、GRE等

    IPsec是在网络层提供通信安全的一组协议

    在IPsec协议族中,有两个主要的协议:认证报头(AH)协议和封装安全负载(ESP)协议

    AH协议提供了身份认证和数据完整性校验功能,没有提供数据加密

    ESP协议提供了身份认证、数据完整性校验和数据加密功能(这两个协议经常考,他们的区别就是一个提供加密一个没有提供)

    SSL协议包括两个子协议:SSL记录协议和SSL握手协议

    SSL记录协议建立在可靠的传输协议之上(如TCP),为高层协议提供数据封装、压缩、加密等

    SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证,协商加密算法,交换密钥

    考点

    不属于哈希函数应用的是数据加密

    RBAC不属于强制访问控制模型,BLP、Biba、Chinese wall属于,Chinese wall模型也属于混合策略模型

    Biba模型利用下读/上写的原则来保证数据的完整性

    Biba模型改正了BLP模型所忽略的信息完整性问题,但在一定程度上忽略了保密性

    Unix\Linux超级用户账号可以有多个,在unix系统中,只要将用户的UID和GID设置为0就可以将其变为超级用户,但并不是所有的超级用户可以很容易登录到unix系统中,这是因为unix系统使用了可插入认证模块(PAM)进行认证登录,PAM要求超级用户只能在指定的终端上访问

    在windows系统中,查看当前已经启动的服务列表的命令是net start

    可为电子邮件提供数字签名和数据加密功能的是S/MIME

    SMTP:简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。

    POP3:邮局协议的第三个版本,它是规定个人计算机如何连接到互联网的邮件服务器进行收发邮件的协议。

    SET:安全电子交易协议

    NIDS的探测器要连接的设备是交换机

    私有ip地址范围

    A:10.0.0.0~10.255.255.255即10.0.0.0/18

    B:172.16.0.0~172.31.255.255即172.16.0.0/12

    C:192.168.0.0~192.168.255.255即192.168.0.0/16

    微软公司漏洞分为四级:第一级:紧急 第二级:重要 第三级:警告 第四级:注意

    《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级,系统审计保护级,安全标记保护级,结构化保护级和访问验证保护级五个等级。

    访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵的元素则表示主体可以对客体的访问模式(考试时可能行列互换)

    RADIUS属于集中式访问控制

    电子签名法被称为“中国首部真正意义上的信息化法律”

    填空题 括号里的是空

    计算机系统安全评估的第一个正式标准是可信计算机评估标准(可信计算机评估标准)

    1949年,香农(shannon)发表的《保密系统的通信理论》是现代通信安全的代表作,是信息安全发展的重要里程碑(香农)

    LATF提出的信息保障的核心思想是纵深防御战略(纵深防御)

    自主访问控制模型的实现机制是通过访问控制矩阵实施的(访问控制矩形)

    恶意行为的监测方式主要分为两类:主机监测和网络监测(主机或网络)

    进程与cpu通信是通过中断信号来完成的(中断)

    在unix/linux系统中,服务是通过inetd进程或启动脚本来启动(inetd 经常考,重点)

    在unix/linux系统中,主要的审计工具是syslogd守护进程(syslogd 重点)

    在unix系统中,改变文件拥有权的命令是chown

    lastlog列出用户最后登录的时间和登录终端的地址(lastlog)

    CA通过发布证书黑名单,公开发布已经废除的证书(证书黑名单 重点)

    代理防火墙在应用层进行过滤,包过滤技术主要在网络层和传输层(应用层、网络层、传输层)

    要实现消息认证,产生认证码的函数类型有三类:消息加密、消息认证和哈希函数(三个都可能考)

    国家信息安全漏洞库CNNVD(CNNVD)

    访问控制方法实现方法:1.行政性访问控制,2.逻辑性访问控制 3.技术性访问控制 4.物理性访问控制

    基于USB KEY的身份认证系统主要有两种认证模式,挑战/应答和基于PKI体系的认证模式

    对于数据库的安全防护分三个阶段:事前检查、事中监控和事后审计

    证书的起始端被称为信任锚(信任锚)

    证书链由两个环节组成:信任锚和已签名证书环节

    IDS可以分为NIDS和HIDS

    IDS的异常检测技术主要通过统计分析方法和神经网络方法实现(考两个方法)

    IDS入侵检测可根据入侵行为的方式和原理分为基于统计分析原理的异常检测和基于模式匹配原理的误用检测(异常检测和误用检测)

    IDS包括控制台和探测器两部分

    每个事务均以BEGIN TRANSACTION语句显式开始,以COMMIT或ROLLBACK语句结束

    IATF提出了三个主要核心要素:人员、技术和操作

    AAA是指认证、授权和审计

    渗透测试的对象主要是数据库的身份验证系统和服务监听系统

    事故响应阶段有:计划、检测、反应、恢复

    用户使用的端口一般介于1023和65535之间。(综合题里的防火墙也会用到这个知识点)

    P2DR核心是策略

    Windows有3种类型的事件日志:系统日志,应用程序日志、安全日志

    系统安全维护的步骤为报告错误,处理错误、处理错误报告

    EIP存放的指针始终指向返回地址(返回地址)

    信息安全的内因是信息系统的复杂性,外因是人为的和环境的威胁(复杂性,人为的和环境的)

    信息安全技术的核心是密码(密码)

    基于角色的访问控制模型的要素包括用户、角色、许可等基本定义(用户,角色,许可)

    公共密钥基础设施(PKI),使用公钥密码学技术,核心机构是数字签发机构,数字证书存储格式中 X.509 是最基本的证书存储格式

    如果所有外键参考现有的主键,则说明一个数据库具有参照完整性(参照)

    数据流分析技术,污点传播分析技术

    展开全文
  • 网络原理知识点总结

    千次阅读 2019-08-15 17:46:55
    立志做一份最全面最通俗的网络原理知识点总结 网络原理知识点总结 网络协议层体系结构 七层体系结构概念清晰,结构完整,但是过于繁琐 折中使用五层讲解 子网划分 在A类IP地址中,每个A类网络可能有16,777,214台...

    /立志为自己做一份最全面最通俗的网络原理知识点总结

    网络原理知识点总结

    网络协议层体系结构

    七、四、五层网络结构
    七层体系结构概念清晰,结构完整,但是过于繁琐
    折中使用五层讲解

    子网划分

    在A类IP地址中,每个A类网络可能有16,777,214台主机,它们处于同一广播域。在同一广播域中有这么多主机是不可能的,网络会因为广播通信而饱和。另一方面,IP地址资源越来越少。为实现更小的广播域,就需要进一步分成更小的网络。划分子网后,通过使用掩码,把子网隐藏起来,使得从外部看网络没有变化,这就是子网掩码。

    子网掩码

    子网掩码可以分离出IP地址中的网络地址和主机地址,两台计算机要通讯,首先要判断是否处于同一个广播域内,即网络地址是否相同。如果网络地址相同,表明接受方在本网络上,那么可以把数据包直接发送到目标主机,否则就需要路由网关将数据包转发送到目的地。

    如何设置子网掩码呢?

    这里博主举一个最常见的例子:
    某个小型公司有四个部门:行政、研发、营销、售后,每个部门各40台计算机接入公司局域网交换机,如果要在192.168.1.0网段为每个部门划分子网,子网掩码应该怎么设置,每个子网的地址范围分别是什么?

    1. 192.168.1.0网段共256个地址,划分4个子网,每个子网需要64个地址;
    2. 64是2的6次方,子网掩码应该以6个0结尾,剩下的用1补齐,由26个1和6个0组成,转换成十进制是255.255.255.192;
    3. 每个子网共64个IP地址,掐头去尾后可用地址只有62个,第1个子网的可用IP地址范围是:192.168.1.1-62,第2个子网可用IP地址范围是192.168.1.65-126,第3个子网的可用IP地址范围是:192.168.1.129-190,第4个子网可用IP地址范围是192.168.1.193-254;
    4. 该公司各部门计算机按照3中的IP地址范围进行设置,所有计算机的子网掩码都必须设置为255.255.255.192,设置完毕后各部门内的计算机能正常联网,不同部门间的计算机无法直接联通。

    192.168.0.1/24是什么意思?

    后面这个数字标示了我们的网络号的位数,也就是子网掩码中前多少号为1

    129.168.1.1 /24 这个24就是告诉我们网络号是24位

    也就相当于告诉我们了

    子网掩码是:11111111 11111111 11111111 00000000

    五层体系各层协议

    协议层
    应用层见下文
    运输层TCP,UDP
    网络层IP,ICMP,ARP,RARP
    数据链路层PPP,以太网协议
    物理层802.11协议簇 ,RJ-45

    ICMP:IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息(ping命令原理
    ARP:IP地址转MAC
    RARP:MAC转IP,作用是完成硬件地址到IP地址的映射
    PPP:点对点连接上传输多协议数据包标准方法
    NAT协议:网络地址转换属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,
    DHCP协议:动态主机配置协议,一个局域网的网络协议,使用UDP协议工作,用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。

    TCP/UDP

    在这里插入图片描述

    TCP三次握手/四次挥手

    非常重要参考9w阅读量大佬的博客自己总结加深记忆

    三次握手过程

    三次握手图

    四次挥手过程

    四次挥手

    常见面试题

    【问题1】为什么连接的时候是三次握手,关闭的时候却是四次握手?

    答:因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,“你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了,我才能发送FIN报文,因此不能一起发送。故需要四步握手。

    【问题2】为什么TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态?

    答:虽然按道理,四个报文都发送完毕,我们可以直接进入CLOSE状态了,但是我们必须假象网络是不可靠的,有可以最后一个ACK丢失。所以TIME_WAIT状态就是用来重发可能丢失的ACK报文。在Client发送出最后的ACK回复,但该ACK可能丢失。Server如果没有收到ACK,将不断重复发送FIN片段。所以Client不能立即关闭,它必须确认Server接收到了该ACK。Client会在发送出ACK之后进入到TIME_WAIT状态。Client会设置一个计时器,等待2MSL的时间。如果在该时间内再次收到FIN,那么Client会重发ACK并再次等待2MSL。所谓的2MSL是两倍的MSL(Maximum Segment Lifetime)。MSL指一个片段在网络中最大的存活时间,2MSL就是一个发送和一个回复所需的最大时间。如果直到2MSL,Client都没有再次收到FIN,那么Client推断ACK已经被成功接收,则结束TCP连接。

    【问题3】为什么不能用两次握手进行连接?

    答:3次握手完成两个重要的功能,既要双方做好发送数据的准备工作(双方都知道彼此已准备好),也要允许双方就初始序列号进行协商,这个序列号在握手过程中被发送和确认。 现在把三次握手改成仅需要两次握手,死锁是可能发生的。作为例子,考虑计算机S和C之间的通信,假定C给S发送一个连接请求分组,S收到了这个分组,并发 送了确认应答分组。按照两次握手的协定,S认为连接已经成功地建立了,可以开始发送数据分组。可是,C在S的应答分组在传输中被丢失的情况下,将不知道S 是否已准备好,不知道S建立什么样的序列号,C甚至怀疑S是否收到自己的连接请求分组。在这种情况下,C认为连接还未建立成功,将忽略S发来的任何数据分 组,只等待连接确认应答分组。而S在发出的分组超时后,重复发送同样的分组。这样就形成了死锁。

    【问题4】如果已经建立了连接,但是客户端突然出现故障了怎么办?

    TCP还设有一个保活计时器,显然,客户端如果出现故障,服务器不能一直等下去,白白浪费资源。服务器每收到一次客户端的请求后都会重新复位这个计时器,时间通常是设置为2小时,若两小时还没有收到客户端的任何数据,服务器就会发送一个探测报文段,以后每隔75秒钟发送一次。若一连发送10个探测报文仍然没反应,服务器就认为客户端出了故障,接着就关闭连接。

    TCP如何保证传输可靠性

    1. 校验和
    2. 序列号
    3. 超时重传
    4. 连接管理
    5. 流量控制
    6. 拥塞控制

    校验和

    计算方式:在数据传输的过程中,将发送的数据段都当做一个16位的整数。将这些整数加起来。并且前面的进位不能丢弃,补在后面,最后取反,得到校验和。
    发送方:在发送数据之前计算检验和,并进行校验和的填充。
    接收方:收到数据后,对数据以同样的方式进行计算,求出校验和,与发送方的进行比对。
    注意:校验和一致不一定传输成功,校验和错误,数据一定传输失败。

    在这里插入图片描述

    序列号

    序列号:TCP传输时将每个字节的数据都进行了编号,这就是序列号。
    确认应答:TCP传输的过程中,每次接收方收到数据后,都会对传输方进行确认应答。也就是发送ACK报文。这个ACK报文当中带有对应的确认序列号,告诉发送方,接收到了哪些数据,下一次的数据从哪里发。
    序列号的作用不仅仅是应答的作用,有了序列号能够将接收到的数据根据序列号排序,并且去掉重复序列号的数据。这也是TCP传输可靠性的保证之一。

    超时重传

    在进行TCP传输时,由于确认应答与序列号机制,也就是说发送方发送一部分数据后,都会等待接收方发送的ACK报文,并解析ACK报文,判断数据是否传输成功。如果发送方发送完数据后,迟迟没有等到接收方的ACK报文,这该怎么办呢?而没有收到ACK报文的原因可能是什么呢?

    首先,发送方没有介绍到响应的ACK报文原因可能有两点:

    1、数据在传输过程中由于网络原因等直接全体丢包,接收方根本没有接收到。
    2、接收方接收到了响应的数据,但是发送的ACK报文响应却由于网络原因丢包了。
    为了解决以上问题,TCP引入超时重传机制。简单理解就是发送方在发送完数据后等待一个时间,时间到达没有接收到ACK报文,那么对刚才发送的数据进行重新发送。如果是刚才第一个原因,接收方收到二次重发的数据后,便进行ACK应答。如果是第二个原因,接收方发现接收的数据已存在(判断存在的根据就是序列号,所以上面说序列号还有去除重复数据的作用),那么直接丢弃,仍旧发送ACK应答。、
    快速重传:不需要等带到固定时间,发送方收到3个冗余的ACK就开始重传

    拥塞控制

    慢开始,拥塞避免
    快重传,快恢复
    在这里插入图片描述

    基于TCP/UDP的应用层协议

    基于TCP

    协议及端口号功能描述
    FTP -21文件传输协议
    SSH -22Linux远程登陆
    Telnet -23用于远程登陆的端口
    SMTP-25邮件发送协议
    POP3-110邮件接受协议
    HTTP -80超文本传输协议

    基于UDP

    协议及端口号功能描述
    DNS -53于域名解析服务,将域名地址转换为IP地址
    SNMP -161简单网络管理协议,是用来管理网络设备的。
    TFTP -69简单文件传输协议

    HTTP 状态码

    100-199:信息性状态码,通常和url协议相关,表示接收的请求正在处理
    200-299:成功状态码,用于表示请求正常处理完毕
    300-399:重定向状态码,表示要么有缓存,要么做了重定向用于跳转
    301 永久性重定向 表示旧网址已经移除
    302 暂时性重定向 表示旧网址仍然可以访问,临时跳转
    400-499:客户端错误状态码,表示服务器无法处理请求
    401:未授权
    403:禁止访问
    404:服务端未找到
    405:不允许此方法
    500-599:服务器错误状态码,表示服务器处理请求出错

    HTTP为什么是无状态的

    HTTP无状态协议,是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。
    用于保持HTTP连接状态的技术,一个是Cookie,而另一个则是Session。HTTP本身是一个无状态的连接协议,为了支持客户端与服务器之间的交互,我们就需要通过不同的技术为交互存储状态,而这些不同的技术就是Cookie和Session。

    HTTP1.0 和1.1的区别

    1、最重要的长连接,keep-alive,在一个TCP连接上可以传送多个HTTP请求和响应,减少了多次建立和关闭连接的消耗和延迟
    2、Host头的处理,随着虚拟主机的发展,一个IP地址可以绑定多个主机,在1.1中,请求和响应消息都应支持Host头域
    3、新增了24个响应码
    4、带宽优化,http1.0中存在一定的带宽浪费现象,客户端只需要请求对象的一部分,服务器端却把整个整个对象传送过来,1.1在头部增加了range关键字可以取对象的部分
    5、缓存处理更加多样

    HTTP 2.0

    HTTP 2.0的几个特性
    1、多路复用,1.x一个域名发送的请求是有限的,多路复用允许同时通过单一的 TCP连接发起多重的请求-响应消息,降低了延迟同时提高了带宽的利用率
    2、请求优先级。多路复用带来一个新的问题是,在连接共享的基础之上有可能会导致关键请求被阻塞。2.0允许给每个request设置优先级,这样重要的请求就会优先得到响应。比如浏览器加载首页,首页的html内容应该优先展示,之后才是各种静态资源文件,脚本文件等加载,这样可以保证用户能第一时间看到网页内容。
    3、采用二进制格式,HTTP1.x的解析是基于文本。基于文本协议的格式解析存在天然缺陷,文本的表现形式有多样性,要做到健壮性考虑的场景必然很多,二进制则不同,只认0和1的组合。基于这种考虑HTTP2.0的协议解析决定采用二进制格式,实现方便且健壮
    4、header压缩,HTTP1.x的header带有大量信息,而且每次都要重复发送,HTTP2.0使用encoder来减少需要传输的header大小,通讯双方各自cache一份header fields表,既避免了重复header的传输,又减小了需要传输的大小。
    5、服务端推送,服务器会把同源的客户端需要的文件一并发送过去放入浏览器缓存中,比如客户端请求style.css,服务端会把style.js也一并发过去,当客户端需要时直接取缓存。

    HTTPS

    输入url按下回车后发生了什么

    第一步:浏览器输入域名

    例如输入:www.csdn.net/

    第二步:浏览器查找域名的IP地址

    浏览器会把输入的域名解析成对应的IP,其过程如下:

    1.查找浏览器缓存:因为浏览器一般会缓存DNS记录一段时间,不同浏览器的时间可能不一样,一般2-30分钟不等,浏览器去查找这些缓存,如果有缓存,直接返回IP,否则下一步。

    2.查找系统缓存:浏览器缓存中找不到IP之后,浏览器会进行系统调用(windows中是gethostbyname),查找本机的hosts文件,如果找到,直接返回IP,否则下一步。

    3.查找路由器缓存:如果1,2步都查询无果,则需要借助网络,路由器一般都有自己的DNS缓存,将前面的请求发给路由器,查找ISP 服务商缓存 DNS的服务器,如果查找到IP则直接返回,没有的话继续查找。

    4.递归查询:如果以上步骤还找不到,则ISP的DNS服务器就会进行递归查询,所谓递归查询就是如果主机所询问的本地域名服务器不知道被查询域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其他根域名服务器继续发出查询请求报文,而不是让该主机自己进行下一步查询。(本地域名服务器地址是通过DHPC协议获取地址,DHPC是负责分配IP地址的)

    5.迭代查询:本地域名服务器采用迭代查询,它先向一个根域名服务器查询。本地域名服务器向根域名服务器的查询一般都是采用迭代查询。所谓迭代查询就是当根域名服务器收到本地域名服务器发出的查询请求报文后,要么告诉本地域名服务器下一步应该查询哪一个域名服务器,然后本地域名服务器自己进行后续的查询。(而不是替代本地域名服务器进行后续查询)。

    本例子中:根域名服务器告诉本地域名服务器,下一次应查询的顶级域名服务器dns.net的IP地址。本地域名服务器向顶级域名服务器dns.net进行查询。顶级域名服务器dns.net告诉本地域名服务器,下一次应查询的权限域名服务器dns.csdn.net的IP地址。本地域名服务器向权限域名服务器dns.csdn.net进行查询。权限域名服务器dns.csdn.net告诉本地域名服务器,所查询的主机www.csdn.net的IP地址。本地域名服务器最后把结果告诉主机。

    第三步 :浏览器与目标服务器建立TCP连接

    第四步:浏览器通过http协议发送请求

    浏览器向主机发起一个HTTP-GET方法报文请求。请求中包含访问的URL,也就是http://www.csdn.com/ ,KeepAlive,长连接,还有User-Agent用户浏览器操作系统信息,编码等。值得一提的是Accep-Encoding和Cookies项。Accept-Encoding一般采用gzip,压缩之后传输html文件。Cookies如果是首次访问,会提示服务器建立用户缓存信息,如果不是,可以利用Cookies对应键值,找到相应缓存,缓存里面存放着用户名,密码和一些用户设置项。

    第五步:某些服务会做永久重定向响应

    对于大型网站存在多个主机站点,了负载均衡或者导入流量,提高SEO排名,往往不会直接返回请求页面,而是重定向。返回的状态码就不是200OK,而是301,302以3开头的重定向码,浏览器在获取了重定向响应后,在响应报文中Location项找到重定向地址,浏览器重新第一步访问即可。

    重定向的作用:重定向是为了负载均衡或者导入流量,提高SEO排名。利用一个前端服务器接受请求,然后负载到不同的主机上,可以大大提高站点的业务并发处理能力;重定向也可将多个域名的访问,集中到一个站点;由于baidu.com,www.baidu.com会被搜索引擎认为是两个网站,照成每个的链接数都会减少从而降低排名,永久重定向会将两个地址关联起来,搜索引擎会认为是同一个网站,从而提高排名。

    第六步:浏览器跟踪重定向地址

    当浏览器知道了重定向后最终的访问地址之后,重新发送一个http请求,发送内容同上。

    第七步:服务器处理请求

    服务器接收到获取请求,然后处理并返回一个响应。

    第八步:服务器发出一个HTML响应

    返回状态码200 OK,表示服务器可以响应请求,返回报文,由于在报头中Content-type为“text/html”,浏览器以HTML形式呈现,而不是下载文件。

    第九步:释放TCP连接

    第十步:浏览器显示页面
    在浏览器没有完整接受全部HTML文档时,它就已经开始显示这个页面了,浏览器接收到返回的数据包,根据浏览器的渲染机制对相应的数据进行渲染。渲染后的数据,进行相应的页面呈现和脚步的交互。
    第十一步:浏览器发送获取嵌入在HTML中的其他内容

    DNS是基于TCP还是UDP

    DNS占用53号端口,同时使用TCP和UDP协议。那么DNS在什么情况下使用这两种协议?

    首先了解一下TCP与UDP传送字节的长度限制:
    UDP报文的最大长度为512字节,而TCP则允许报文长度超过512字节。当DNS查询超过512字节时,协议的TC标志出现删除标志,这时则使用TCP发送。通常传统的UDP报文一般不会大于512字节。

    区域传送时使用TCP,主要有一下两点考虑:
    1.辅域名服务器会定时(一般为3小时)向主域名服务器进行查询以便了解数据是否有变动。如有变动,则会执行一次区域传送,进行数据同步。区域传送将使用TCP而不是UDP,因为数据同步传送的数据量比一个请求和应答的数据量要多得多。
    2.TCP是一种可靠的连接,保证了数据的准确性。

    域名解析时使用UDP协议:
    客户端向DNS服务器查询域名,一般返回的内容都不超过512字节,用UDP传输即可。不用经过TCP三次握手,这样DNS服务器负载更低,响应更快。虽然从理论上说,客户端也可以指定向DNS服务器查询的时候使用TCP,但事实上,很多DNS服务器进行配置的时候,仅支持UDP查询包。

    Cookia和Session

    1、Cookie和Session都是会话技术,Cookie是运行在客户端,Session是运行在服务器端。
    2、Cookie有大小限制以及浏览器在存cookie的个数也有限制,单个cookie保存的数据不能超过4K,很多浏览器一个站点最多保存20个Cookia,Session是没有大小限制和服务器的内存大小有关。
    3、Cookie有安全隐患,通过拦截或本地文件找得到你的cookie后可以进行攻击。
    4、Session是保存在服务器端上会存在一段时间才会消失,如果session过多会增加服务器的压力。

    Post 和Get

    POST和GETS
    *
    GET - 从指定的资源请求数据。
    *
    POST - 向指定的资源提交要被处理的数据

    GET在浏览器回退时是无害的,而POST会再次提交请求。
    GET产生的URL地址可以被Bookmark,而POST不可以。
    GET请求会被浏览器主动cache,而POST不会,除非手动设置。
    GET请求只能进行url编码,而POST支持多种编码方式。
    GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。
    GET请求在URL中传送的参数是有长度限制的,而POST么有。
    对参数的数据类型,GET只接受ASCII字符,而POST没有限制。
    GET比POST更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。
    GET参数通过URL传递,POST放在Request body中

    GET和POST还有一个重大区别
    简单的说:
    GET产生一个TCP数据包;POST产生两个TCP数据包。

    长的说:
    对于GET方式的请求,浏览器会把http header和data一并发送出去,服务器响应200(返回数据);
    而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)

    参考博客:
    https://blog.csdn.net/qq_38950316/article/details/81087809
    https://blog.csdn.net/jiao_0509/article/details/82491299
    https://blog.csdn.net/liuchenxia8/article/details/80428157

    展开全文
  • 信息系统安全知识点总结

    千次阅读 2020-06-21 21:14:01
    细节内容请参照LowBee 信息系统安全客观题-选择客观题-填空主观题演讲内容名词解释零知识证明DSAHMQV 客观题-选择 ... 网络信息安全攻击的阶段包括:侦查、扫描、获取访问、维持访问和掩盖行踪 用

    细节内容请参照LowBee

    客观题-选择

    1. 安全管理评估工具通常不包括(D)
      A 问卷调查    B 检查列表
      C 访谈提纲    D 漏洞扫描
    2. 风险评估的三个要素是(D)
      A 政策、结构和技术    B 组织、技术和信息
      C 硬件、软件和人    D 资产、威胁和脆弱性
    3. 信息系统安全风险评估的方法(A)
      A 定性评估和定量评估相结合    B 定性评估
      C 定量评估    D 定点评估
    4. 以下那组全部都是多边安全模型(C)
      A BLP和BIBA    B BIBA和C-W
      C BN和BMA    D C-W和BN
    5. 信息安全需求不包括(D)
      A 保密性、完整性    B 可用性、可控性
      C 不可否认性    D 语义正确性
    6. 下面术语被动攻击手段的是(C)
      A 假冒    B 修改信息
      C 窃听    D 拒绝服务
    7. 我国信息系统安全等级保护共分为几级(D)
      A 二级    B 三级
      C 四级    D 五级
    8. 为了避免第三方偷看web浏览器与服务器交互的敏感信息,通常需要(A)
      A 采用SSL技术    B 在浏览器中加在数字签名
      C 采用数字签名技术    D 将服务器放入可信站点区
    9. 关于安全套接层协议的描述中,错误的是(D)
      A 可保护传输层的安全    B 可提供数据加密服务
      C 可提供消息完整性服务    D 可提供数据源认证服务
    10. 为了防御网络监听,最常用的方法是(A)
      A 信息加密    B 采用物理传输(非网络)
      C 无线网传输    D 使用专线传输
    11. 有关PKI技术的说法,那些是确切的(B)
      A 又称秘密密钥加密技术,收信和发信访使用不同的密钥
      B 又称公开密钥加密技术,收信和发信访使用不同的密钥
      C 又称公开密钥加密技术,收信和发信访使用相同同的密钥
      D 又称秘密密钥加密技术,收信和发信访使用相同的密钥
    12. 下面哪一个情景属于身份验证(Authentication)过程(A)
      A 用户依照系统提示输入用户名和口令
      B 用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改
      C 用户使用加密软件对自己编写的Office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
      D 某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记录在系统日志中
    13. 加密算法分为(B)
      A 对称加密与数字签名    B 对称加密与非对称加密
      C 非对称加密与摘要    D 数字签名与摘要
    14. 我国的计算机信息系统实行什么保护制度(B)
      A 谁主管谁保护    B 等级保护制度
      C 认证认可制度    D 全面防制度
    15. 一下不属于Win2000中的ipsec过滤行为的是(D)
      A 允许    B 阻塞
      C 协商    D 证书
    16. 以下关于蜜罐说法正确的是(A)
      A 可以用来保护和保存口令的一个网络仓库
      B 可以用来保存备份媒体的安全地点
      C 可以安放在网络上的一个假系统,用以吸引攻击者
      D 一种特殊的防火墙
    17. 关于信息系统安全审计,下列说法不正确的是(B)
      A 安全审计是对信息系统所有操作、活动的记录和检查
      B 安全审计不属于信息系统安全管理的范畴
      C 安全审计的目的是辅助识别和分析未经授权的动作和攻击
      D 安全审计的存在可对某些潜在的侵犯安全的攻击者起到威慑作用
    18. NMAP是(B)
      A 网络协议    B 扫描工具
      C 安全防护工具    D 病毒
    19. 身份认证需要解决的关键问题和主要作用是(B)
      A 身份的确认、应用的限制
      B 身份的确认、权限的控制
      C 应用的限制、权限的控制
      D 应用的限制、用户的管理
    20. 加密、认证实施中首要解决的问题是(C)
      A 信息的包装与用户授权
      B 信息的分布与用户的分级
      C 信息的分级与用户的分类
      D 信息的存储与用户的管理

    客观题-填空

    • 计算机病毒的生命周期一般包括:潜伏、传播、触发和发作四个阶段
    • 网络信息安全攻击的阶段包括:侦查、扫描、获取访问、维持访问和掩盖行踪
    • 用户的身份认证是许多应用系统的第一道防线,认证技术主要是解决网络通信过程中双方的身份认可,主要抵御主动攻击,可分为身份标识和身份认证两个部分;经典的认证方式包括:基于口令的身份认证、使用基于PKI的AKE认证、基于哈希摘要的认证、基于生物特征的身份认证、基于位置的身份认证、质询-响应式身份认证(主要记住前三个)
    • PKI-CA1的核心职责是签发和管理证书
    • Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务,也能达到单点登录的效果,即当Client通过了Kerberos server的认证后,便可以访问多个Real Server。Kerboros主要包含四部分:
      Client: Application Client 应用客户端
      AS: Authentication Server 用来认证用户身份
      TGS: Ticket-Granting Service 用来授权服务访问
      SS: Service Server 用户所请求的服务
      其中AS和TGS同属于KDC(Kerberos Distribution Center,即票证分发中心);所以票证分发服务具有三个子服务:AS(身份认证)、TGS(票证授予)和AD(账户数据库)
    服务作用
    AS(Authentication Service)根据AD中存储的账户信息对用户进行身份认证,如果成功则颁发给用户TGT(Ticket Granting Ticket认购权证)
    TGS(Ticket GrantingService)根据TGT确定为合法用户,并颁发票据凭证
    AD(Account Database)辅助AS对用户进行身份认证,存储账户名和密码并维护黑白名单
    • 电子交易在当今社会无处不在,对于其交易安全的保障也成为一个被关注的重点,于是SET安全电子交易协议营运而生。它是一种以信用卡为基础的在因特网上交易的付款协议。基本原理是在SET中引入的一个重要的创新—双重签名,它可以巧妙地把发送给不同的接收者的两条消息联系起来,而又很好地保护了消费者的隐私,并利用了RSA和DES等密码学算法保证其安全性;工作机制是利用公钥体系(RSA)对通信双方进行认证,用对称加密算法(DES)对信息加密传输,并用散列函数算法来鉴别信息的完整性。SET协议有着广泛的应用,如应用于网上购物,电子信用卡,电子交易以为交易用户提供安全保障
    • SSL提供的安全内容:机密性、完整性和认证性
    • RSA、ECC、Diff-hallman、RC42等算法以及其中包含的基于大整数分解和离散对数的困难假设可以用于秘钥交换;其中经典的Diffie-Hellman算法是基于离散对数的困难问题的。
    • 安全模型是信息系统安全中一个重要的概念,其中经典的安全模型有BLP(贝尔拉普杜拉模型、贝拉模型)、Biba(毕巴模型)、Clark-Wilson(克拉克威尔逊模型或C-W)以及BN(中国墙策略模型)3;其中可以提供机密性保护的有BLP和BN;可以提供完整性保护的有Biba和C-W;随着信息安全的发展,后来又提出了更复杂的多边安全模型,BN和BMA4是经典的多边安全模型,其中经典的BMA提供了对于完整性和可用性的安全性保护,而BN提供的是对于机密性和完整性的安全性保护
    模型模型特征
    BLP保密性、军事安全、中央集权信息系统、较低的执行开销
    Biba完整性、强制访问控制、难于应用,中央集权信息系统
    C-W完整性、商业安全、能应用面向对象系统、能作为与应用无关的策略
    BN保密性、金融制度、可能有副作用、安全管理的开销较大

    BLP模型基于两种规则来保障数据的机密性
    下读规则:主体不能读安全级别高于它的数据
    上写规则:主体不可写安全级别低于它的数据
    BIBA模型基于两种规则来保障数据的完整性的保密性:
    上读规则,主体不能读取安全级别低于它的数据
    下写规则:主体不能写入安全级别高于它的数据
     BIBA模型并没有用来设计安全操作系统,但大多数完整性保障机制都基于Biba模型的两个基本属性构建

    • TCSEC:可信计算机系统评估标准的4类7级分别是D、C1、C2、B1、B2、B3、A1,其中A1安全等级最高。
    • 可信计算的需求:解决计算机和网络结构上的不安全,从根本上提高安全性,确保完成计算任务的逻辑组合不被篡改和破坏,实现正确计算。
    • WIFI网络安全接入是一种保护无线网络安全的系统,WIFI加密的认证方式包括WPA、WPA2、WPA-PSK、WPA2-PSK

    主观题

    演讲内容

    • 题:任选一个信息系统安全相关的话题,或者当前出现的话题为例。阐述你对当前信息系统安全的理解。

    答:话题:零知识证明应用之区块链效率提升
    Rollup方法:Rollup是由于主链的负荷过大,于是可以在主链之外多开启若干小型服务器,用于接收交易以及交易的认证,然后再批量性的把一段时间内累积的交易全部更新到主链上去。但这种方式只适用于小批量交易更新,如果这个更新过程仍然需要向主链发送大批量的交易信息,则Rollup的意义就不复存在,因为它并不会减少任何主链的负荷。在这个更新的过程中需要使用SNARK:通过SNARK,Rollup服务器可以把非常简短的证明提交给主链,证明一大批的交易都没有问题,主链只需要根据最后的结果增加或减少一些UTXO就可完成交易信息更新。通过Rollup,我们可以大大的减少主链的负荷,把更多的验证外包出去。

    名词解释

    • 机密性(Confidential):防止私密或机密的信息泄露给非授权的实体
    • 完整性:分为数据完整性和系统完整性。数据完整性确保数据(包括软件代码)只能按照授权的指定方式进行修改的属性;系统完整性指系统没有受到未经授权的操控进而完好无损地执行预定功能的属性
    • 可用性:确保系统及时工作并向授权用户提供所需服务的属性
    • 认证原则:信息需要明确的身份证明,通过认证过程保证正确的消息来源,与信息接收方建立信任关系,缺乏认证机制可能会导致伪造
    • 不可抵赖原则:信息的发送者不可否认已发出的信息
    • 访问控制原则:指定控制用户能够访问哪些信息,能够有什么样的操作,通常包括角色管理与规则管理
    • 身份标识:为用户建立能够确定其身份状况的信息的过程称为对用户进行身份标识
    • 身份认证:系统确认用户的合法身份的过程称为对用户身份认证
    • PKI:公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
    • 安全:指采取技术和管理的安全保护手段,保护软硬件与数据不因偶然的或恶意的原因而遭受到破坏、更改、暴露
    • 可信计算:在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性

    零知识证明

    • 定义:证明者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的
    • 性质
    • 完备性Completeness:如果证明者和验证者都是诚实的,并遵守证明过程的每一步,并进行正确的计算,那么这个证明一定会成功,验证者也一定能够接受证明者
    • 可靠性Soundness:没有人能够假冒证明者,从而使这个证明成功
    • 零知识性Zero-Knowledge:证明过程执行完后,验证者只会得悉“证明者拥有这项知识”,而没有获得关于这项知识本身的任何信息
    • Fiat-Shamir鉴别协议
    • 假设选择一个与n互素的秘密s(mod n)并计算v≡s2作为公开秘钥,以下协议过程执行t次
    • 证明者P随机选r(0<r<n),并且发送x≡r2(mod n)给验证者V
    • V选择一个挑战(问题)e=0或者1,并发送给P
    • P发送回答y≡rse给V如果有y2≡xve,则V接受证明,否则拒绝证明
    • 安全性分析:挑战e要求A有能力回答两个问题,其中一个需要P掌握的秘密知识s,另一个相对容易的问题是用来阻止欺骗的。一个知道s的证明者可以回答两个问题,但是其他人只能至多回答其中的一个问题,因此有1/2的可能不被发现。协议需要执行t次,则欺骗的可能性减小到2-t,只有在V全部问题都被回答正确的情况下才接受P的身份。

    DSA

    在这里插入图片描述

    • 安全性分析:r不依赖于消息,是用户随机生成的x和全局公钥的函数,故对一个消息存在多个基于离散对数的困难问题:
    • 从r恢复k是困难的
    • 从s恢复x是不可行的
      这就保证从签名无法逆推出任何私钥的相关信息,无法伪造签名

    HMQV

    前提:Alice(A)已有私钥a,并且公开自己的公钥PKA=ga,类似的Bob(B)已有私钥b,并且公开自己的公钥PKB=gb,且已经进行完毕身份认证,并双方均获得对方的身份信息:idA,idB

    • A选择一个随机数x,并用X=gx隐藏该值,同理B产生随机数y和Y
    • 进行秘钥交换:A将X发送给B,B同理将计算的Y发送给A
      双方计算承诺d=H(X,idB),e=H(Y,idA)以及σA=(Y·PKBe(x+da)=g(x+da)(y+eb),σB=(X·PKAdy+eb=g(x+da)(y+eb)
    • 最后双方各自计算会话秘钥KA=H(σA)=H(σB)=KB
    • 注:HMQV在密钥协商过程中只交换XY,没有自己的个人信息(sid,cid等),这些个人信息的交换早在本协议之前就已经通过SSL完成了交互。这个叫做authenticatied key exchange,表示双方是已经认证后,来建立一个session key,默认authentication阶段已经完成。这就很好的抵御了中间人攻击,因为这样中间人是无法冒充身份的,因为早在这之前,双方已经知道想要发给的对方是谁,中间人冒充只会得到错误的结果。这是相对于D-F协议的最大改进
    • 安全性分析:由于中间人不能得知双方的ID,所以不能求得中间值e和d,此外,中间人解决离散对数困难问题,破解得到用户服务器双方的私钥也是不可行的,所以不能计算得到回话秘钥。而对于重放攻击,破坏了协议的规则,且x是随机的,所以重放攻击是不可行的;篡改攻击显然会使协商失败,所以也可抵御篡改攻击。

    1. PKI:公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能;CA证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 ↩︎

    2. RC4(来自Rivest Cipher 4的缩写)是一种流加密算法,密钥长度可变。它加解密使用相同的密钥,因此也属于对称加密算法。 ↩︎

    3. 1989年Brewer和Nash提出的兼顾保密性和完整性的安全模型,又称BN模型。主要用来解决商业中的利益冲突问题,目标是防止利益冲突的发生。中医墙模型对数据的访问控制是根据主体已经具有的访问权力来确定是否可以访问当前数据。 ↩︎

    4. BMA模型以英国医学协会(BMA,British Medical Association)提出的攻击模型、安全策略以及结构为基础,后因其通用性而被国际安全领域定义为一种经典的多边安全模型。 ↩︎

    展开全文
  • 信息安全学习----渗透测试知识点

    万次阅读 2021-02-16 21:43:32
    信息安全学习----渗透测试知识点 信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库...
  • 信息安全概论期末复习知识点

    千次阅读 2018-06-30 16:49:27
    信息安全定义 1 信息安全的定义:在技术上和管理上为数据处理系统建立的安全保护,保护信息系统的硬件、软件及相关数据不因偶然或者恶意的原因遭到破坏、更改及泄露。 1 威胁类型 1)信息泄露 2)信息伪造 3)...
  • 《数据库原理知识点整理+习题

    万次阅读 多人点赞 2019-06-29 19:52:17
    数据库基本知识点整理,面试、考研、刷题必备~
  • 网络原理基础知识点总结

    千次阅读 多人点赞 2020-06-09 23:15:23
    关于网络原理的基础知识与经典面试题,你需要知道的都在这里
  • 计算机网络原理知识点汇总 -- 物理层数据通信基础数据通信系统模型物理介质导引型传输介质非导引型传输介质信道与信道容量信道传输特性信道容量信噪比和分贝转换基带传输基带传输的基本概念数字基带传输编码频带传输...
  • 通信原理 面试题知识点复习

    万次阅读 多人点赞 2020-07-05 21:26:29
    北交保研夏令营面试——通信原理篇 (通信原理) 第一章(4个) 信息、消息、信号,信息(重点信息概念) 信息:消息的内涵。对于接受者来讲就是,消息中的不确定度,不确定越多包含的信息量越大。 消息:信息的物理...
  • 数据库原理概论理论知识点总结

    万次阅读 多人点赞 2020-03-22 10:27:59
    数据库原理概论复习指南!
  • 无线传感器网络技术原理及应用 知识点

    万次阅读 多人点赞 2019-07-03 16:48:48
    无线传感器网络技术原理及应用 知识点 1.无线传感器与自组网的区别  1. 传感器网络是集成了监测、控制以及无线通信的网络系统,节点数目更为庞大(上千甚至上万),节点分布更为密集。  2. 由于环境的影响和...
  • 信息安全原理与实践(第2版)

    千次阅读 2019-01-08 08:01:47
    信息安全原理与实践(第2版)》 基本信息 原书名:Information Security: Principles and Practice, 2nd Edition 作者: (美)Mark Stamp 译者: 张 戈 丛书名: 安全技术经典译丛 出版社:清华大学出版社 ...
  • 知识点总结】大数据技术原理与应用

    千次阅读 多人点赞 2020-11-05 10:23:16
    本文是对《大数据与云计算导论》课程知识点的应试总结。基本涵盖了《大数据技术原理与应用》的重点内容。 思维导图由@福尔摩东整理 第一章 大数据概述 1、三次信息化浪潮 信息化浪潮 发生时间 标志 解决的问题 ...
  • 数据库原理--面试知识点

    万次阅读 多人点赞 2018-09-03 22:50:05
    (5)存储过程可被作为一种安全机制来充分利用:系统管理员通过执行某一存储过程的权限进行限制,能够实现对相应的数据的访问权限的限制,避免了非授权用户对数据的访问,保证了数据的安全。 2.索引 是什么...
  • 网络信息安全知识框架

    万次阅读 多人点赞 2018-12-30 22:10:32
    如需要下列知识的详细内容,欢迎评论或私信联系我。 第0章 基础概述 1.网络信息安全的原则(包括...1.1 网络安全的概念 (信息安全的4个层面、信息安全所涉及学科、研究信息安全的重要性、网络安全的概念) 1.2 ...
  • 网络安全知识点整理

    万次阅读 2019-03-13 12:00:03
    信息安全实体 用户实体 高层管理 中层管理 系统管理员 网络管理员 应用管理员 开发人员 租赁商 承包商 用户 游客 设备实体 服务器 交换机 路由器 防火墙 防毒墙 web防火墙 dos防火墙 安全网关 ...
  • 这个也是超详细的,自己遇到的问题,然后总结下来的,有查的和自己理解的,很多,对于做java web开发的同学很有帮助。笔记如下:1、面向对象的特征有哪些方面 1.抽象:抽象就是忽略一个主题中与当前目标无关的那些...
  • 计算机网络安全编程知识点

    千次阅读 2018-05-12 20:35:04
    安全操作系统和操作系统的安全配置 加密技术,防火墙技术,入侵检测,网络安全协议。 2.网络安全的层次体系 1.物理安全 防盗,防火,防静电,防雷击,防电磁泄露 2.逻辑安全 需口令,文件许可等来实现。...
  • 2020年江西信息技术高考考点知识点、历年真题解析 复习资料 /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 2020年江西信息技术第一...
  • 自2013年1月份以来,工作忙碌。...书名: InformationSecurity: Principles and Practice,信息安全原理与实践 十年前我在北京大学为计算机系研究生讲授“网络与信息安全”课程,那段时间正是信息安全
  • 三级计算机信息安全基础知识

    千次阅读 多人点赞 2019-05-17 09:11:01
    2.1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级: 第一级:用户自主保护级; 第二级:...
  • Servlet第一章知识点总结——Web工作原理   知识点预览 1. HTTP 2. HTTP处理流程 3. 服务器的缺陷 4. 辅助应用程序之CGI(Common Gateway Interface) 5. Servlet容器 6. Servlet规范 7. Servlet
  • 【最全】《数据库原理及应用》知识点整理+习题

    千次阅读 多人点赞 2020-05-26 10:57:22
    第9章 关系查询处理和查询优化 查询处理步骤 查询优化策略 代数优化 理优化 第10章 数据库恢复技术 事务的基本概念 故障的种类 恢复的实现技术及策略 数据转储 登记日志文件(Logging) 恢复策略 具有检查的恢复...
  • 服务访问 IEEE802参考模型的系统中,上下层间利用服务访问(SAP)定义接口 10.曼彻斯特编码编码 标准曼彻斯编码:每一位的中间有电平跳变,既作为时钟信号,又作为数据信号;由高电平跳变到低电平表示数字信号1,...
  • 计算机网络知识点汇总(谢希仁 第七版)

    万次阅读 多人点赞 2018-09-18 17:34:34
    万维网的信息检索 动态主机配置协议 应用进程跨网络的通信 P2P应用 第七章 网络安全 重要内容 网络攻击 密码体制 数字签名 鉴别 密匙分配 互联网使用的安全协议 系统安全:防火墙与入侵检测 第八章 互联网上的音视频...
  • 剑指Offer——知识点储备-Java基础

    万次阅读 多人点赞 2016-10-21 23:54:52
    剑指Offer——知识点储备-Java基础网址来源: http://www.nowcoder.com/discuss/5949?type=0&order=0&pos=4&page=2 参考资料:(java方面的一些面试答案) ...
  • 计算机网络核心知识点总结&面试笔试要点

    万次阅读 多人点赞 2019-08-21 22:22:23
    每一个节点根据交换的信息更新自己的节点信息,如下图:    RIP协议的过程:     (1)路由器初始化路由信息(两个向量Dᵢ和Sᵢ);     (2)对相邻路由器X发过来的信息,对信息的内容进行修改(下一跳...
  • Java基础知识点梳理(详细)

    万次阅读 多人点赞 2018-03-08 18:00:03
    Java基础知识点全面梳理(详细)

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 115,468
精华内容 46,187
关键字:

信息安全原理知识点