精华内容
下载资源
问答
  • 信息技术宽带网络信息 安全技术及其应用 宽带网络信息安全技术及其应用 摘要 伴随着信息技术的飞速发展,人们在享受信息技术带来的便利的同时, 却不得不面对日益严重的信息安全问题信息安全已经引起政府!企 业和个人...
  • 信息安全技术及其应用;定义与范围;培训目标;一信息安全技术中的基本概念;1.1.常用密码技术;1.1.1对称密码技术;1.1.2非对称密码技术;1.1.3 HASH算法;1.1.4数字签名;1.1.5 数字信封;1.1.6 程序资源;1.2 PKI基础数字...
  • {管理信息化信息技术}宽 带网络信息安全技术及其 应用 宽带网络信息安全技术及其应用 摘要 伴随着信息技术的飞速发展,人们在享受信息技术带来的便利的同时, 却不得不面对日益严重的信息安全问题信息安全已经引起政府...
  • (1)系统扫描:侧重于主机系统的平台安全基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。 (2)网络扫描:侧重于系统提供的网络应用和服务相关的协议分析。扫描器与待查系统

    一、安全扫描技术

    1.1 安全扫描技术概念

    1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。

    2、安全扫描技术分为系统扫描和网络扫描两大类。
    (1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。
    (2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。

    3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞攻击敌方。

    4、安全扫描技术可以有效地提高安全性:
    (1)提前告警存在的漏洞,从而预防入侵和误用。
    (2)检查系统中由于入侵或误操作产生的新漏洞。

    1.2 安全扫描技术分析

    1、扫描器工作流程:
    (1)发现目标主机或网络。
    (2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
    (3)测试哪些服务具有安全漏洞。

    2、端口扫描技术:
    (1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
    (2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外开放的服务。
    (3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

    3、全开扫描:
    (1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
    (2)优点:快速、准确、不需要特殊权限。
    (3)缺点:很容易被检测到。

    4、半开扫描:(SYN扫描)
    (1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
    (2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。

    5、秘密扫描:
    (1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYN|ACK扫描为例说明。
    (2)SYN|ACK扫描省掉了三次握手的第一步,直接发送SYN|ACK包到server端,根据server 的应答推测端口是否打开。

    6、系统类型测试技术:
    (1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于攻击者很重要。
    (2)攻击者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行攻击。
    (3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。

    7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

    8、DNS信息:主机信息有时可能通过DNS记录泄露。

    9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。

    二、病毒防治技术

    2.1 病毒的概念与起源

    1、具有传染和破坏的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

    2、从广义上讲,凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

    2.2 病毒的主要特征

    1、传染性
    (1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
    (2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
    (3)正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

    2、隐蔽性
    (1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
    (2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
    (3)现在的计算机病毒一般都具有很强的反侦察能力。
    (4)计算机病毒一旦被发现会迅速出现变种。

    3、潜伏性:
    大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现(破坏)模块。

    4、破坏性(表现性):
    任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

    5、不可预见性:
    从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。

    6、触发性:
    满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或破坏操作。

    7、针对性:
    有一定的环境要求,并不一定对任何系统都能感染。

    2.3 病毒的一般结构与作用机理

    1、病毒的一般结构:
    (1)计算机病毒代码的结构一般包括三大功能模块,即引导模块传染模块破坏(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
    (2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

    2、病毒的作用机理:
    (1)计算机病毒有两种状态,静态和动态。
    (2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和破坏功能。
    (3)动态病毒是指已进入内存,正处于运行状态,它时刻监视系统的运行状态,一旦传染条件满足,即调用传染代码和破坏代码.使病毒得以扩散。
    (4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。

    3、病毒工作流程

    2.4 蠕虫病毒

    1、蠕虫病毒:是一种通过网络传播的恶性病毒,除具有病毒的一般共性外,还具有自己的特征,下表列出了蠕虫病毒与普通病毒的主要区别。

    2、蠕虫病毒的传播途径:
    (1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
    (2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
    (3)电子邮件:钓鱼邮件、邮件客户端软件。

    3、蠕虫病毒的危害:
    (1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
    (2)感染主机的系统管理员权限将被窃取。

    4、蠕虫病毒的一般结构:
    (1)传播模块:负责蠕虫的传播。
    (2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动攻击安全系统。
    (3)目的功能模块:实现对计算机的控制、监视、窃取和破坏等功能。

    5、蠕虫病毒的传播过程:
    传播模块:由扫描模块、攻击模块和复制模块组成。
    (1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可传播对象。
    (2)攻击模块:按漏洞攻击步骤自动攻击找到的对象,取得该主机的权限,获得一个shell。
    (3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。

    6、蠕虫病毒防治
    (1)正确配置操作系统和系统软件。
    (2)经常进行操作系统和系统软件的升级。
    (3)使用正版杀毒软件并保持病毒库最新。
    (4)不要打开不明身份的邮件。
    (5)留意权威网站的安全公告。

    三、黑客攻击方法与防范

    3.1 黑客攻击套路

    1、确定攻击目标:
    (1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
    (2)使用Google搜索敏感信息:口令文件、财务信息、安全工具扫描报告等。

    2、收集目标信息:
    (1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
    (2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
    (3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。

    3、寻找目标漏洞:
    (1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
    (2)使用工具进行端口服务扫描:确定目标系统上开启了哪些服务。
    (3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。

    4、进行攻击:
    系统攻击、网络攻击、软件攻击。

    3.2 黑客攻击手段及防范措施

    1、系统攻击:取得合法身份前的攻击手段

    2、网络攻击:
    (1)攻击网络设备。
    (2)无线攻击
    (3)攻击防火墙
    (4)拒绝服务攻击

    3、软件攻击
    (1)缓冲区溢出攻击
    (2)Web攻击
    (3)攻击互联网用户

    四、安全审计

    1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。

    2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。

    3、安全审计的目标:
    (1)对潜在的攻击者起到震慑和告警作用。
    (2)对已发生的系统破坏行为,提供有效的追究责任的证据。
    (3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。

    4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器日志记录器日志分析器报告机制等部分。

    5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。

    6、日志记录器:将审计发生器抽取的事件素材记录到制定位置上从而形成日志文件。

    7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。

    8、对于一个事件,日志应包括事件发生的时间引发事件的用户事件类型事件成败等。

    五、访问控制技术

    1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。

    2、访问控制构成要素:
    (1)主体:提出访问请求,如用户或其启动的进程、服务等。
    (2)客体:被访问对象,如信息、文件等集合体或网络设备等。
    (3)控制策略:主体对客体访问规则的集合,体现了授权。

    3、访问控制的主要功能:
    (1)保证合法主体访问受保护的网络资源
    (2)防止非法主体进入受保护网络资源
    (3)防止合法主体对受保护网络资源进行非授权访问。

    4、访问控制的内容:
    (1)认证:主客体之间进行身份鉴别,确定主体是谁。
    (2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的合法使用,同时防止非法用户侵权进入系统。还要防止合法用户的越权行为。
    (3)安全审计:系统自动根据用户访问权限,对计算机网络环境下的有关活动进行系统、独立地检查验证,并做出相应评价与审计。

    5、访问控制的类型
    (1)自主访问控制(DAC):一种接入控制服务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
    (2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
    (3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色成员而得到角色的权限。

    6、RBAC支持的三个著名安全原则:
    (1)最小权限原则:将角色配成完成任务所需的最小权限集。
    (2)责任分离原则:让独立、互斥的角色协同完成特定任务。
    (3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。

    7、访问控制实现机制
    (1)访问控制列表(ACL):
    以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
    (2)能力关系表:
    以用户为中心建立访问权限表。与ACL相反,表中规定了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。

    六、防火墙技术

    1、防火墙从本质上讲是一种访问控制系统,除了可以用来保护与互连网相连的内部网外,还可以用于保护其他网络对象,如子网或主机。

    2、防火墙示意图

    3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

    4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是表里如一。

    5、防火墙的设计目标:
    (1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
    (2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
    (3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

    6、防火墙使用的通用技术:
    (1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
    (2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
    (3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
    (4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。

    7、防火墙的主要功能:
    (1)防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络。
    (2)防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
    (3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
    (4)防火墙可以用作VPN的平台。

    8、防火墙的局限性:
    (1)防火墙不能对绕过防火墙的攻击提供保护。
    (2)防火墙不能对内部的威胁提供支持,例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
    (3)防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

    9、防火墙一般结构

    展开全文
  • 信息安全技术及应用 常规加密技术

    千次阅读 2016-06-21 11:36:52
    一、密码技术与常规加密概述1.1 密码...明文:加密变换前的原始信息。 加密算法:加密变换时使用的算法。 密文:经过加密变换后的信息。 解密算法:解密变换时使用的算法,是加密算法的逆过程。加密和解密算法是相

    一、密码技术与常规加密概述

    1.1 密码系统

    密码学:包含密码编码学和密码分析学两部分内容。前者是研究如何通过编码来保证信息的机密性,后者则研究如何破译密码。

    一般加密模型
    一般加密模型

    密码系统的主要功能:完成信息的加密变换和解密变换。
    明文:加密变换前的原始信息。
    加密算法:加密变换时使用的算法。
    密文:经过加密变换后的信息。
    解密算法:解密变换时使用的算法,是加密算法的逆过程。加密和解密算法是相关的。

    密钥(Key):在加密和解密变换过程中引入一个相同或两个不同但相关的参数,该参数称为密钥。分为加密密钥解密密钥

    主要取决于密钥的安全性。要经常更换密钥。密码系统的安全性
    密码系统的描述:(P,C,E,D, Ke Kd ) (明文(P)、密文(C)、加密算法(E)、解密算法(D)、加密密钥( Ke )和解密密钥( Kd ))


    密码系统的使用:
    - 加密过程和解密过程位于同一系统中。信息的存储加密
    - 加密过程和解密过程位于不同系统中。信息的传输加密

    1.2 密码体制

    根据加密和解密过程中使用的密钥是否相同进行分类:对称密码体制和非对称密码体制。

    对称密码体制:加密和解密算法使用相同的密钥。也称为常规密钥密码体制单密钥密码体制秘密密钥密码体制
    非对称密码体制:加密和解密算法使用不同但相关的一对密钥。也称为公开密钥密码体制双密钥密码体制

    根据密文数据段是否与明文数据段在整个明文中的位置相关,可将密码系统分为分组密码体制和序列密码体制。

    分组密码体制:密文仅与加密算法和密钥有关。(常用)
    序列密码体制:密文除了与加密算法和密钥有关外,还与被加密明文部分在整个明文中的位置有关。

    根据加密变换是否可逆,可将密码系统分为单向函数密码体制和双向变换密码体制。

    单向函数密码体制:将明文加密成密文,但却不能将密文转换成明文。用于不需要解密的场合,如报文鉴别。
    双向变换密码体制:如:现在常用的加密算法。

    根据在加密过程中是否引入客观随机因素,可将密码系统分为确定型密码体制和随机密码体制。

    确定型密码体制:一旦明文和密钥确定后,密文也就唯一地确定了。(常用)
    随机密码体制:对于给定的明文和密钥,总存在一个较大的密文集合与之对应,最终的密文是根据客观随机因素在密文集中随机选取的。

    1.3 常规加密模型

    常规加密模型

    常规加密:又称为对称加密或单密钥加密,是在公钥加密研制以前使用的惟一加密类型,仍广泛使用。
    在使用常规加密的通信系统中,安全通信的双方共享同一个密钥K。
    加密和解密算法公开,密钥保密。因此,常规加密密钥也称为秘密密钥(Secret Key)。



    决定常规加密安全性的主要因素:
    - 加密算法必须足够强大,使得仅根据密文就能破译出消息是不切实际的。
    - 在算法一定和公开的前提下,常规加密的安全性取决于密钥的安全性。在密钥不泄露的前提下,其安全性与密钥长度和更新频度有关。



    保证常规加密算法强度的方法:扩散和扰乱。
    - 扩散:让明文和密钥的每个字符影响尽可能多的密文字符,从而使明文和密钥的统计特征被扩散。
    - 扰乱:使密文的统计特征与明文和密钥的关系尽可能复杂化,这样,即使攻击者掌握了密文的某些统计特征,也无法从中推测出密钥和明文。

    密码分析:由密文试图获得明文、密钥或这两者的过程称为密码分析。

    常见的密码分析方法:强行攻击、统计分析、差分密码分析、线性密码分析和代数攻击等。
    密码破译者所使用的策略取决于加密方案的性质以及可供密码破译者使用的信息。



    对加密消息进行攻击的类型:
    - 仅有密文:可用的信息仅有密文和加密算法。方法一:对所有可能的密钥进行尝试(强行攻击)。方法二:对密文本身进行统计分析。
    - 已知明文:除密文和加密算法外,分析员还能够获取一段或多段明文- 密文对,或者分析员可能知道某种明文模式将出现在一个消息中。
    如果攻击者能够设法在源系统插入由该攻击者所选择的信息,则可进行选择明文攻击。

    如果一个加密算法满足下述两个条件之一,就称此算法在计算上是安全的。
    - (1)破译该密码的成本超过被加密信息的价值。
    - (2)破译该密码的时间超过该信息有用的生命周期。

    1.4 经典加密技术

    替代技术:将明文中的每个元素(字母、比特、比特组合或字母组合)映射为另一种元素的技术。明文的元素被其他元素所代替而形成密文。
    置换技术:置换是在不丢失信息的前提下对明文中的元素进行重新排列。

    二、现代常规加密技术

    2.1 序列密码和分组密码

    序列密码(流密码):
    在该密码体制中,将明文P看成连续的比特流(或字符流) p1 p2 …,用密钥序列K= k1 k2 …中的第i个元素 ki 对明文中的第i个元素 pi 进行加密。
    即: EK (P)= EK1 ( p1 ) EK2 ( p2 ) …

    序列密码工作过程

    这种体制的保密性完全在于密钥的随机性。如果密钥是真正的随机数,则这种体制就是理论上不可破的。这也称为一次一密乱码本体制。
    该体制所需的密钥量很大,目前常用伪随机序列的密钥序列,序列周期一般为 1050



    分组密码(block cipher):
    将明文划分成固定的n比特的数据组,然后以组为单位,在密钥的控制下进行一系列的线性或非线性的变换而得到密文。


    分组密码的主要特点:
    - 一次变换一组数据,不需要同步。适合分组交换网传输。
    - 给定密钥后,明文分组相同,密文分组也相同。



    分组密码的操作模式:
    (1)电子密码本(ECB):最基本的操作模式。
    将明文P划分为长度为 w 比特的明文分组(P1, P2 , … , Pn ) 最后一个分组通常需要填空。
    每个明文分组使用同样的密钥K进行加密。
    每个明文分组在加密时独立处理。
    w 比特的明文分组与w比特的密文分组一一对应。类似密码本。



    电子密码本模式特点:
    - 相同的明文分组产生相同的密文分组。
    - 易受统计分析攻击。
    - 可并行处理,加、解密速度快,应用广泛。

    (2)密码分组链接模式(CBC):
    将明文P分组( P1 , P2 , … , Pn ) 。
    每个明文分组使用同样的密钥K进行加密。
    每个明文分组在加密前,先与上一次加密输出的密文分组进行按位异或,而后再进行加密处理。
    对第一个明文分组进行处理时,还没有密文分组可用,需要引入一个初始向量IV与该分组异或。



    密码分组链接模式特点:
    - 通过将明文分组与前一个密文分组异或,实现了明文模式的隐藏,抗统计分析攻击。
    - 不能并行加密,加密速度较慢。
    - 适用于高结构化信息的加密传输。

    2.2 数据加密标准DES

    DES加密原理:
    加密前对整个明文进行分组,每组长64位,然后对每个64位二进制数据块分别进行加密,产生一组64位密文数据。最后将各组密文串接起来,即得出整个密文。使用的密钥为64位,实际密钥长度为56位(有8位用于其他目的)。



    DES加密算法特点:是一种分组密码。

    DES加密算法流程图

    DES加密过程分为两条主线:明文的加密处理和子密钥的产生。



    明文加密处理由三个阶段构成:
    第一阶段:初始置换
    第二阶段:标准的Feistel结构,循环次数16次。
    第三阶段:完成初始置换的逆置换。


    加密方程: Ri=Li1 f(Ri1,Ki )


    DES算法的缺点:
    - 相同的明文产生相同的密文。
    - 密钥太短,分组太短。
    - 密文仅与明文分组和密钥相关(电子密码本模式)



    DES的保密性:仅取决于对密钥的保密,而算法是公开的。

    三、常用常规加密算法介绍

    3.1 国际数据加密算法IDEA

    IDEA每次加密的明文分组长度为64比特,加密时将这64比特分为4个16比特的子分组。
    IDEA的密钥长度为128比特,加密时将密钥生成52个16比特的子密钥。
    IDEA使用了8轮循环,8轮循环后再经过一个输出变换形成密文。
    每轮循环使用6个16位的子密钥,最后的输出变换使用4个16位的子密钥。
    IDEA的解密算法与加密算法相同,解密算法的52个子密钥由加密子密钥导出。

    3.2 RC5数据加密算法

    RC5的参数包括字长w、循环轮数r和密钥长度b。
    字长w的单位为比特,允许取值为16、32或64。
    分组长度为2w,允许取值32、64或128比特。
    循环轮数r允许的取值为0,1,2,…,255。循环轮数越多安全性越好。
    密钥长度b的单位为字节,允许取值为0, 1, 2, …, 255,对应的二进制位是0, 8, 16, …, 2040。选择合适的密钥长度可以在速度和安全性之间进行折衷。



    RC5算法由三部分组成:密钥扩展算法、加密算法和解密算法。


    RC5的主要特点:
    (1)适合于硬件和软件实现:RC5只使用了微处理器上常见的初等计算操作,加法/减法操作、按位异或操作、循环移位操作。
    (2)快速:RC5算法结构简单,且面机器字,基本操作每次对数据的整个字进向行。
    (3)对不同字长的处理器有适应性:字中的比特数是RC5中的一个参数。
    (4)可变的循环次数
    (5)可变长度的密钥
    (6)较低的内存需要使得RC5适合于智能卡和其他具有有限内存的设备。
    (7)高安全性:RC5可通过选择合适的参数提供高安全性。

    RC5算法流程图
    RC5算法流程图

    3.3 高级加密标准AES

    Rijndael算法的主要优点是:
    (1)设计简单。无论采用硬件还是软件形式,无论是否采用反馈模式,算法都显示出非常好的性能。
    (2)内存需求非常低,很适合用于受限环境中。
    (3)操作简单,在所有平台上运行良好,支持并行处理,并可抵御时间和空间上的攻击。
    (4)在分组和密钥大小方面具有一定的灵活性。

    展开全文
  • 一、互联网安全协议概述1.1 互联网协议体系TCP/IP协议的体系结构IP数据报格式TCP/UDP报文段格式 Web技术构成:HTTP协议、HTML标记语言。 TCP/IP协议栈中安全机制的相对位置:网络层、运输层和应用层。1.2 互联网...

    一、互联网安全协议概述

    1.1 互联网协议体系

    TCP/IP协议的体系结构

    TCP/IP协议的体系结构

    IP数据报格式及TCP/UDP报文段格式

    IP数据报格式及TCP/UDP报文段格式

    Web技术构成:HTTP协议、HTML标记语言。

    TCP/IP协议栈中安全机制的相对位置:网络层、运输层和应用层。

    1.2 互联网安全协议

    1、将安全机制放置在网络层:如IPSec协议,好处是对最终用户和应用程序透明。

    2、将安全机制放置在运输层:如SSL协议,好处是对最终用户和应用程序透明。

    3、将安全机制放置在应用层:好处是与应用有关的安全服务被嵌入到特定的应用程序中,可根据需要制定安全服务。

    4、网络安全协议是各种安全服务的集成,通过安全协议的设计和编程实现,形成更高的安全服务,在提供安全服务的同时方便用户使用。

    5、各种网络安全协议在实际使用时,需要安装相关程序进行设置。

    二、IP安全协议与VPN

    2.1 VPN概念与构成

    VPN:以公共开放网络作为通信平台,通过在相关网络层次中附加多种安全技术(加密、鉴别和访问控制),向用户提供类似于专用网络性能的一种网络安全技术。

    2.1.1 VPN常见的应用模式

    1、内部网VPN:适用于同一企业或组织内部的远程分支机构局域网的连接。
    特点:数据通信量较大,连接时间较长。

    2、外部网VPN:适用于不同企业或组织之间的内部网的连接。
    特点:安全策略存在较大差异,对访问控制要求较高。

    3、远程访问VPN:远程移动用户、单机接入等。

    2.1.2 VPN功能

    1、数据封装:通过构造虚拟专用网隧道,使远程用户能够用内部网的地址和协议传递信息。

    2、数据加密:通过对传输数据的加密,隐藏内部网的协议、地址和数据。

    3、报文鉴别和身份鉴别:提供报文鉴别和身份鉴别。

    2.1.3 隧道协议

    1、隧道技术:其基本方法是在内网与公网接口处,将要传输的数据作为载荷封装在一种可在公用网上传输的数据格式中,在目的内网与公网接口处,将数据封装除去取出载荷。

    2、隧道技术的主体是隧道协议。

    3、隧道,实质上是一种封装,是将一种协议封装在另一种协议中传输,从而实现内部网络协议对公用网络的透明性。

    4、安全隧道:在隧道中引入密码技术和鉴别技术,使公用网具有和内部网类似的安全性。

    5、VPN使用的隧道技术涉及三种数据格式
    (1)用户数据包格式
    (2)封装格式
    (3)公用网传输格式

    6、三个数据格式对应得数据格式

    (1)乘客协议:内部网使用的协议在VPN中称为乘客协议。

    (2)隧道协议:用于封装乘客协议的封装协议被称为隧道协议。

    (3)传输协议:在VPN中,内部网数据以公用网作为传输载体,因此,用户数据包经隧道协议封装后还必须以公用网的传输格式进行封装。公用网使用的协议为传输协议。

    IP协议是目前最常见的传输协议。IP协议具有路由器功能强大,可运行于不同的传输介意,应用面广等特点。

    2.2 IPSec概述

    1、用因特网进行互连,IP层适合设置安全机制。在IP层实现的安全机制也称为IPSec。

    2、IP层的安全包含了三个功能域:鉴别、机密性和密钥管理。
    (1)鉴别:提供报文信源鉴别和完整性鉴别。
    (2)机密性:通过报文加密可防止第三方窃听报文。
    (3)密钥管理:处理密钥的安全交换。

    3、IPSec协议运行在内网与外网相连的网络设备上,如路由器或防火墙。

    4、IPSec网络设备一般将对进入广域网的所有通信量进行加密和压缩,对所有来自广域网的通信量进行解密和解压。这些操作对于局域网上的工作站和服务器是透明的。

    5、IPSec优点:
    (1)当在防火墙或路由器中实现IPSec时,IPSec能够对所有穿越边界的数据通信量提供安全防护。同时又不会在内部引起与安全有关的处理负荷。
    (2)防火墙内部的IPSec可以抵制旁路,如果从外界进来的所有通信量必须使用IP,并且防火墙是从Internet进入内部的唯一入口。
    (3)IPSec在运输层(TCP,UDP)以下,因此对于应用程序时透明的。
    (4)IPSec对终端用户是透明的,没有必要对用户进行安全培训,给每个用户下发密钥,或在用户离开组织是取消其密钥。

    6、IPSec提供的安全服务
    (1)无连接完整性和访问控制。
    (2)数据源的鉴别。
    (3)拒绝重放的分组。
    (4)机密性(加密)。
    (5)有限的通信量机密性。

    7、IPSec使用两个协议来提供上述的安全服务:首部鉴别协议(AH)和封装安全载荷协议(ESP)。
    首部鉴别协议(AH):对IP数据报提供鉴别服务。
    封装安全载荷协议(ESP):对IP数据报提供鉴别和机密性服务。该协议是加密/鉴别混合协议。
    AH和ESP可单独使用,也可结合使用。

    2.3 IPSec协议

    2.3.1 安全关联SA

    1、安全关联是发送方与接送方间的一种单向关系。通常与一个或者一组给定的网络连接相关,为所承载的网络流量提供安全服务。

    2、如果需要一个对等的关系用于双向的安全交换,就要有两个安全关联。一个SA可用于AH或ESP,但不能同时用于两者。

    3、每个安全关联可表示为一个三元组:
    (1)安全参数索引(SPI):SPI是一个32比特的值,用于区别相同目的地和协议的不同安全关联。SPI出现在AH和ESP的首部中,接收方根据首部中的SPI确定对于的SA。
    (2)IP目的地址(IPDA):目前只允许单播地址;这是SA的目的端点的地址,可能是终端用户系统或者是网络系统,如防火墙或路由器。
    (3)安全协议标识(SPR):指出这个关联是一个AH或ESP的安全关联。

    2.3.2 安全关联数据库

    1、安全策略数据库(SPD):定义了对从主机或安全网关出入站的IP通信流量的处理策略。SPD包含一个策略列表,每个表项标明如何处理与该策略相匹配的信息流,IPSec定义了三种处理方法:旁路、丢弃或者进行IPSec安全处理。

    2、安全关联数据库(SAD):包含了与SA相关的各种安全参数。每个SA在SAD中都有一个对应得表项。

    SAD表项涉及的主要字段:
    (1)序号计数器:用于产生AH或ESP首部中序号字段的32位值。
    (2)序号计数器溢出:一个标记,用于指示序号计数器的溢出是否可审计的事件,并禁止在该SA上继续传输分组。
    (3)抗重放窗口:一个32位计数器,用来确定进入AH或ESP报文分组是否是重放。
    (4)AH信息:AH使用的鉴别算法、密钥等信息。
    (5)ESP加密信息:ESP加密算法、密钥、初始向量模式、初始向量等信息。
    (6)ESP鉴别信息:ESP使用的鉴别算法、密钥等。
    (7)SA生存期:一个时间段,该时间段到期后,SA必须被终止或者被一个新的SA取代。
    (8)IPSec协议模式:指明该SA上通信流量的AH或ESP模式。AH和ESP都具有隧道模式和传输模式。
    (9)路径MTU:不经分片可传送的分组最大长度。

    2.3.3 SA选择器

    1、对于每个从提供IPSec服务的设备发出的报文分组,设备将检查分组的相应字段,并根据选择器进行SPD查找,由此确定安全关联,然后根据安全关联完成对应的IPSec处理。

    2、选择器用于过滤通信流量,目的是将输出的流量映射到特定的安全关联。

    3、选择器可使用的参数:IP地址、端口号、协议等。

    4、SA选择器、SPD、SAD之间的关系:

    5、IPSec工作流程

    (1)主机A上用户向主机B上用户发送一消息。
    (2)主机A上的IPSec驱动程序检查SA选择器,查看数据包是否需要保护及需要何种保护。
    (3)IPSec驱动程序通知IKE开始安全协商。
    (4)主机B上IKE收到请求安全协商通知。
    (5)两台主机建立第一阶段SA,各自生成共享主密钥。如第一阶段SA已建立,则直接进入第二阶段SA协商。
    (6)协商建立第二阶段SA对:入站SA和出站SA。
    (7)主机A上的IPSec驱动程序使用出站SA对数据包进行安全处理。
    (8)IPSec驱动程序将处理后的数据包交给IP层,再由IP层将数据包发给主机B。

    2.3.4 鉴别首部AH

    1、功能:AH用于为IP数据报提供无连接完整性和数据源鉴别,并提供防重放保护。但不能防止被窃听,只适合用于传输没机密数据。

    2、工作原理:在每个IP分组上添加一个鉴别首部。此首部包含一个带密钥的散列值,散列值根据整个数据包计算,对数据的任何改变将致使散列值无效——完整性保护。鉴别特征使得端系统能够鉴别用户或应用的身份。

    3、AH首部格式

    (1)下个首部(Next Header):8位,标识AH首部后面的下一个有效载荷,其值为IP协议号。
    (2)有效载荷长度(Payload Length):8位,以32位字为单位,AH首部中鉴别数据的长度。
    (3)保留(Reserved):16位。必须置0,将来使用。
    (4)安全参数索引(SPI):32位,用于标识一个安全关联。
    (5)序列号(Sequence Number):32位,唯一标识了每个报文分组,为安全关联提供反重放保护。
    (6)鉴别数据(Authentication Data):长度可变,但为字长的整数倍,不足时可通过填充达到。鉴别数据包含完整性校验值ICV。

    三、Web安全协议

    3.1 Web安全协议概述

    1、目前用来保护Web页面传输安全的协议主要有两个:HTTPS和S-HTTP
    (1)HTTPS:表示“Hypertext Transfer Protocol over Secure Socket Layer”。HTTPS不是独立的协议,而是HTTP协议与SSL/TLS协议的组合。当使用HTTPS访问页面时,端口号为443。
    (2)S-HTTP:表示“Secure Hypertext Transfer Protocol”。S—HTTP是独立的安全超文本传输协议,可与HTTP共存并相互兼容。只有在双方经过协商都使用S-HTTP时,才进行安全的页面传输。由于HTTPS的出现,S-HTTP已基本不用。

    2、SSL/TLS安全套接层协议:工作在运输层与应用层之间,可为各种应用层协议提供安全服务。

    3、SSL(Secure Socket Layer)是一个用来保证传输安全的Internet协议。该协议通过在两个实体(客户和服务器)之间建立一个安全通道,来实现文件在Internet中传输的保密性。

    3.2 SSL协议概念与结构

    1、SSL协议概念与结构

    2、SSL握手协议:在服务器端与客户端在开始传输数据之前,相互鉴别并交换必要的信息以建立安全会话状态。

    3、SSL记录协议:为不同的高层协议提供基本的安全服务,特别是超文本传输协议。SSL记录协议建立在可靠的传输协议上,用来安全封装高层的协议。

    4、修改密文协议:修改会话密文族。

    5、告警协议:将SSL有关告警传送对方实体。告警级别非为警告和致命,用来说明事件的严重等级。如果是致命的,SSL将立刻终止该连接。

    6、SSL会话:SSL会话是客户和服务器之间的关联,会话通过握手协议来创建。会话定义了加密安全参数的一个集合,该集合可以被多个连接所共享。会话可以用来避免为每个连接进行新的安全参数的协商。

    7、SLL连接:等同于网络连接,只是增加了安全防护。对于SSL来说,每个连接与一个会话相联系。

    8、会话状态的一些参数:
    (1)会话标识符:服务器选择的任意字节序列,用来标识活动的或可恢复的会话状态。
    (2)对方的证书:对方的X509.v3证书。状态的这个元素可以为空。
    (3)压缩方法:在加密之前用来压缩数据的算法。
    (4)密文规约:指明大块数据加密算法,用于MAC计算的散列算法,它还定义了加密属性。
    (5)主密钥:48字节客户/服务器之间的共享密钥。
    (6)可重用否:一个标志,用于指明该会话是否可以用来初始化一个新的连接。

    9、连接状态的一些参数:
    (1)服务器和客户端随机数:服务器和客户为每个连接选择的字节序列。
    (2)MAC密钥:对发送数据进行MAC操作的密钥。
    (3)写密钥:对数据加密和解密的常规加密密钥。
    (4)初始化向量:当使用CBC模式的分组加密时,为每个密钥维护的初始化向量。
    (5)序号:每一方为每个连接的传输和接收报文维持着单独的序号。

    10、会话主密钥与连接中使用密钥的关系:
    (1)有会话主密钥生成各种连接的加密参数。
    (2)客户写MAC密钥,服务器写MAC密钥,客户写密钥,服务器写密钥,客户写IV以及服务器写IV。

    3.3 SSL记录协议

    1、SSL记录协议为SSL连接提供两种服务:
    (1)机密性:握手协议定义了共享的会话密钥、由该密钥生成用于对SSL有效载荷进行常规加密的密钥。记录协议使用该密钥进行加密和解密。
    (2)报文完整性:用会话密钥生成报文鉴别码(MAC)密钥,进行报文的鉴别。

    2、SSL记录协议进行的操作:

    (1)记录协议接收要传输的应用报文,将数据分片,可选地压缩数据,应用MAC,加密,增加首部,然后再TCP报文段中传输结果单元。
    (2)被接收的数据被解密、验证、解压和重新装配,然后交付给高层的用户。

    3、SSL记录协议层报文格式

    (1)内容类型(8bit):指明所携带的高层协议类型(如:修改密文、告警、握手和应用数据)。
    (2)主要版本(8bit):指示使用SSL的主要版本。对于SSLv3,字段为0.
    (3)压缩长度(16bit):明文数据片以字节为单位的长度(如果使用压缩就是压缩数据片的长度)。

    3.4 SSL握手协议

    1、握手协议的作用:使服务器和客户能够相互鉴别对方的身份、协商加密和MAC算法以及加密密钥。即建立交换实体之间的会话或改变会话的状态。

    2、握手协议报文由三个字段组成:
    (1)类型字段:用来说明报文的类型,握手协议报文中的常见类型将在下面介绍。
    (2)长度字段:表示以字节为单位的报文长度。
    (3)报文体:则用来携带不同类型报文的参数。

    四、安全电子交易协议SET

    SET协议提供了三种服务:
    (1)在交易涉及的各方之间提供安全的通信信道。
    (2)使用X.509v3数字证书进行身份鉴别。
    (3)保证机密性,信息只是在必要的时候、必要的地方菜对交易各方可用。

    4.1 SET协议概述

    1、SET协议的特点:
    (1)信息机密性:卡用户的账号和支付信息在网上传输时时加密的,SET防止商人得到卡用户的信用卡号码,该信息值对发卡银行有用。
    (2)数据完整性:卡用户发送给商人的支付信息包括订购信息、个人数据和支付提示。SET协议保证这些信息的内容在传输时不被修改。
    (3)卡用户账号的鉴别:SET协议允许商人验证卡用户是否是有效卡账号的合法用户。
    (4)商人的鉴别:SET允许卡用户验证商人与金融机构之间的关系及是否允许商人接受支付信用卡。
    (5)互操作性:可以在不同的硬、软件平台上应用该规范。不论是持卡人还是商人,只要其SET软件符合标准并兼容旧可以进行安全交易。
    (6)与IPSec和SSL/TLS不同,SET对每种加密算法仅提供了一种选择。这是因为SET是满足单个需求集合的单个应用,而IPSec和SSL/TLS是要支持一定范围的应用。

    2、SET要求的事件序列:
    (1)消费者开通账号。消费者从支持电子支付和SET的银行处获得信用卡账号。
    (2)消费者获得证书。经过适当的身份验证之后,消费者将收到包含帐户信息摘要的X.509v3数字证书。证书将消费者的密钥对和信用卡捆绑在一起(通过证书的扩展字段)。
    (3)商家获得证书。接受特定信用卡的商家必须获得两个X.509v3证书:一个用于报文签名,一个用于密钥交换。商人还需要支付网关的证书。
    (4)消费者提出一项订购。消费者通过浏览商家的网站来选择商品并确定价格。然后,将要购买的商品清单发送给商家,商家返回包含了商品列表、价格、总价格和订购号码的表格。
    (5)商家被验证。除了订购表格之外,商家还发送自己的证书。消费者可以验证商家的合法性。
    (6)发送订购和支付信息。消费者将订单、支付信息以及证书一起发送给商家,订单确认对订购表格中商品的购买,支付包含了信用卡的细节,支付信息被加密使商家不可阅读,消费者的证书使商家可以鉴别消费者。
    (7)商家请求支付认可。商家将支付信息发送给支付网关,请求核准消费者的存款是否足以支付这次购买。
    (8)商家确认该项订购。商家将订购的确认发送给消费者。
    (9)商家提供货物或服务。商家将货物递送给消费者,或者为消费者提供服务。
    (10)商家请求支付。这个请求被发送给支付网关,后者处理所有的支付细节。

    4.2 双向签名

    1、双向签名的目的:连接两个发送给不同接收者的报文。

    2、双向签名的构造过程:消费者取得PI的散列码和OI的散列码,将这两个散列码拼接起来,再取得拼接结果的散列码。之后,使用其私有密钥对最后的散列码进行签名,就创建了双向签名。即:DS= ESKc [H(H(PI)||H(OI))]

    3、双向签名的验证过程:
    (1)商家验证双向签名:假设商家获得了双向签名(DS)、OI和PI的报文摘要(PIMD),以及从消费者证书中取得的公开密钥。然后商家可以计算这两个数值: H(PIMD||H(OI))、 DPKc [DS],如果两个值相等,商家就验证了该签名。
    (2)银行验证双向签名:如果银行获得了DS、PI和OI的报文摘要(OIMD)以及消费者的公开密钥,那么银行可以计算下面的数值:H(H(PI)||OIMD)、 DPKc [DS],如果两个值相等,银行就验证了该签名。

    4.3 交易处理

    4.3.1 购买请求

    购买请求阶段需要交换四个报文:发起请求、发起响应、购买请求和购买响应。

    1、发起请求报文:(卡用户→商家)
    目的:请求商家和支付网关的证书(身份鉴别)。
    明文传输。
    报文主要内容:{请求/响应对ID、现时C、信用卡商标、发卡行标识}

    2、发起响应报文:(商家→卡用户)
    商家生成响应,并用自己的私有密钥对其签名。
    报文主要内容:{请求/响应对ID、现时C、现时M、交易ID、商家证书、支付网关证书}

    3、购买请求:(卡用户→商家)
    收到响应报文后,卡用户首先检验报文的合法性,然后通过相应的CA签名来验证商家证书和支付网关证书。
    创建OI和PI(商家赋予的交易ID被放在OI和PI中)。接下来,卡用户准备购买请求报文。为了这个目的,卡用户生成了一次性的对称加密密钥 KS

    4、购买响应:(商家→卡用户)
    商家收到了购买请求报文后,进行如下处理:
    验证卡用户的证书。
    使用消费者证书中的公开密钥来验证双向签名。
    处理订购信息,并将支付信息转交给支付网关。
    等待支付网关的确认,然后向卡用户发送购买响应报文。

    4.3.2 支付认可

    1、认可请求:(商家→支付网关)
    商家向支付网关发送一个认可请求报文,该报文由以下几个部分组成:
    与购买有关的信息:(来自消费者)
    PI:支付信息。
    双向签名DS:用消费者的私有密钥签名。
    OI报文摘要(OIMD)
    数字信封:封装会话密钥。

    2、认可响应:(支付网关→商家)
    支付网关收到商家认可请求后,完成下列工作:
    验证所有的证书。
    解密商家数字信封,然后解密认可数据块并验证认可数据块中商家的签名。
    解密卡用户数字信封,然后解密支付数据块并验证支付数据块的双向签名。
    验证商家交易ID与消费者PI中的交易ID是否匹配。
    向发卡行请求和接收一个认可。

    4.3.3 支付获取

    1、获取请求:(商家→支付网关)
    商家生成、签署和加密获取请求数据块,数据块中包括了支付的数量和交易ID。
    报文还包括以前收到的关于本交易的加密获取权标(在认可响应中)。
    商家证书。

    2、获取响应:(支付网关→商家)
    支付网关收到获取请求报文后,进行如下处理:
    解密并验证获取请求数据块。
    解密并验证获取权标块。
    检查获取请求和获取权标的一致性。
    创建清算请求并通过私有支付网络发送给发卡行,这个请求引起资金被划拨到商人的账户中。

    3、SET协议的报文交互

    展开全文
  • 信息安全技术及其应用.ppt
  • 计算机网络信息安全及其防火墙技术应用.pdf
  • 互联网中信息安全技术的重要性及其应用.pdf
  • 计算机网络信息安全及其防火墙技术应用研究.pdf
  • 互联网中信息安全技术的重要性及其应用研究.pdf
  • 电子信息技术应用特点及其在煤矿安全生产中应用研究.pdf
  • 新环境下的计算机网络信息安全及其防火墙技术应用.pdf
  • 基于新环境下探讨计算机网络信息安全及其防火墙技术应用.pdf
  • 数据挖掘技术及其在煤矿信息安全管理中的应用研究.pdf
  • 主动防御新技术及其在电力信息网络安全中的应用.pdf
  • 信息安全技术与实施入侵检测技术与应用学习目标理解入侵检测技术的概念理解入侵检测系统的分类及其优缺点掌握入侵检测技术性能指标对系统的其影响本章要点入侵检测系统的分类及其优缺点入侵检测系统的工作原理入侵...
  • 电子信息工程中的计算机技术应用及其安全研究.pdf
  • 全仿真技术发展的趋势,然后,对仿真技术信息安全研究中应用面临的技术瓶颈及其可能的解决途径进行了分析,并提出了合适 的解决方法,最后对信息安全仿真技术应用前景进行了展望。该文可以对信息安全仿真技术研究起...
  • 摘要在应用互联网时会有大量计算机网络信息出现因技术等各方面因素的影响针对计算机网络信息的管理很难做到安全有效而虚拟专用网络技术在这一过程中发挥着显著的作用本文在分析虚拟专用网络技术及其特点的基础上探索...
  • 课程紧跟软考信息安全工程师考试大纲,通过作者多年的软考辅导经验实际的信息安全工作实战经历,本视频课程对信安考试中的所有知识点进行了详细的讲解总结;对于考试中重点考、反复考的知识点做了强化训练;对于...
  • 本文旨在分析区块链背景技术发展前景及其在某一特定方面的应用
  • 文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征
  • 全国计算机信息安全技术

    千次阅读 2019-06-11 21:31:45
    掌握信息安全技术的基本概念、原理、方法和技术  3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能  4. 掌握信息安全设备的安装、配置和使用的基本方法  5. 了解信息系统安全设施...

    考试大纲

      基本要求

      1. 了解信息安全保障工作的总体思路和基本实践方法

      2. 掌握信息安全技术的基本概念、原理、方法和技术

      3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能

      4. 掌握信息安全设备的安装、配置和使用的基本方法

      5. 了解信息系统安全设施部署与管理基本技术

      6. 了解信息安全风险评估和等级保护原理与方法

      7. 了解信息安全相关的标准、法律法规和道德规范

      考试内容

      一、信息安全保障概述

      1. 信息安全保障的内涵和意义

      2. 信息安全保障的总体思路和基本实践方法

      二、信息安全基础技术与原理

      1. 密码技术

      (1)对称密码与非对称密码

      (2)哈希函数

      (3)数字签名

      (4)密钥管理

      2. 认证技术

      (1)消息认证

      (2)身份认证

      3. 访问控制技术

      (1)访问控制模型

      (2)访问控制技术

      4. 审计和监控技术

      (1)审计和监控基础

      (2)审计和监控技术

      三、系统安全

      1. 操作系统安全

      (1)操作系统安全基础

      (2)操作系统安全实践

      2. 数据库安全

      (1)数据库安全基础

      (2)数据库安全实践

      四、网络安全

      1. 网络安全基础

      2. 网络安全威胁技术

      3. 网络安全防护技术

      (1)防火墙

      (2)入侵检测系统与入侵防御系统

      (3)PKI

      (4)VPN

      (5)网络安全协议

      五、应用安全

      1. 软件漏洞概念与原理

      2. 软件安全开发

      3. 软件安全检测

      4. 软件安全保护

      5. 恶意程序

      6. Web 应用系统安全

      六、信息安全管理

      1. 信息安全管理体系

      2. 信息安全风险评估

      3. 信息安全管理措施

      七、信息安全标准与法规

      1. 信息安全标准

      2. 信息安全法律法规与国家政策

      3. 信息安全从业人员道德规范

      考试方式

      上机考试,考试时长 120 分钟,满分 100 分。 包含:选择题(60 分)、填空题(20 分)、综合应用题(20 分)。


    复习

    第一章信息安全保障概述

    1.1信息安全保障背景

    1.1.1信息技术及其发展阶段

    信息技术两个方面:生产:信息技术产业;应用:信息技术扩散

    信息技术核心:微电子技术,通信技术,计算机技术,网络技术

    第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用

    1.1.2信息技术的影响

    积极:社会发展,科技进步,人类生活

    消极:信息泛滥,信息污染,信息犯罪

    1.2信息安全保障基础

    1.2.1信息安全发展阶段

    通信保密阶段(20世纪四十年代):机密性,密码学

    计算机安全阶段(20世纪六十和七十年代):机密性、访问控制与认证,公钥密码学(Diffie

    Hellman,DES),计算机安全标准化(安全评估标准)

    信息安全保障阶段:信息安全保障体系(IA),PDRR模型:保护(protection)、检测(detection)、响应(response)、恢复(restore),我国PWDRRC模型:保护、预警(warning)、监测、应急、恢复、反击(counter-attack),BS/ISO 7799标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规范

    1.2.2信息安全的含义

    一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等

    信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性

    1.2.3信息系统面临的安全风险

    1.2.4信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁

    1.2.5信息安全的地位和作用

    1.2.6信息安全技术

    核心基础安全技术:密码技术

    安全基础设施技术:标识与认证技术,授权与访问控制技术

    基础设施安全技术:主机系统安全技术,网络系统安全技术

    应用安全技术:网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术,恶意代码监测与防护技术

    支撑安全技术:信息安全评测技术,信息安全管理技术

    1.3信息安全保障体系

    1.3.1信息安全保障体系框架

    生命周期:规划组织,开发采购,实施交付,运行维护,废弃

    保障要素:技术,管理,工程,人员

    安全特征:机密性,完整性,可用性

    1.3.2信息系统安全模型与技术框架

    P2DR安全模型:策略(policy),防护,检测,响应;防护时间大于检测时间加上响应时间,安全目标暴露时间=检测时间+响应时间,越小越好;提高系统防护时间,降低检测时间和响应时间

    信息保障技术框架(IATF):纵深防御策略():人员,技术,操作;技术框架焦点域:保护本地计算机,保护区域边界,保护网络及基础设施,保护支撑性基础设施

    1.4信息安全保障基本实践

    1.4.1国内外信息安全保障工作概况

    1.4.2信息安全保障工作的内容

    确定安全需求,设计和实施安全方案,进行信息安全评测,实施信息安全监控


    第二章信息安全基础技术与原理

    2.1密码技术

    2.1.1对称密码与非对称密码

    对称密钥密码体制:发送方和接收方使用相同的密钥

    非对称密钥密码体制:发送方和接收方使用不同的密钥

    对称密钥体制:

    加密处理速度快、保密度高,密钥管理分发复杂代价高、数字签名困难

    分组密码:一次加密一个明文分组:DES,IDEA,AES;序列密码:一次加密一位或者一个字符:RC4,SEAL

    加密方法:代换法:单表代换密码,多表代换;置换法

    安全性:攻击密码体制:穷举攻击法(对于密钥长度128位以上的密钥空间不再有效),密码分析学;典型的密码攻击:唯密文攻击,已知明文攻击,选择明文攻击(加密算法一般要能够抵抗选择明文攻击才认为是最安全的,分析方法:差分分析和线性分析),选择密文攻击

    基本运算:异或,加,减,乘,查表

    设计思想:扩散,混淆;乘积迭代:乘积密码,常见的乘积密码是迭代密码,DES,AES

    数据加密标准DES:基于Feistel网络,3DES,有效密钥位数:56

    国际数据加密算法IDEA:利用128位密钥对64位的明文分组,经连续加密产生64位的密文分组

    高级加密标准AES:SP网络

    分组密码:电子密码本模式ECB,密码分组链模式CBC,密码反馈模式CFB,输出反馈模式OFB,计数模式CTF

    非对称密码:

    基于难解问题设计密码是非对称密码设计的主要思想,NP问题NPC问题

    克服密钥分配上的困难、易于实现数字签名、安全性高,降低了加解密效率

    RSA:基于大合数因式分解难得问题设计;既可用于加密,又可用于数字签名;目前应用最广泛

    ElGamal:基于离散对数求解困难的问题设计

    椭圆曲线密码ECC:基于椭圆曲线离散对数求解困难的问题设计

    通常采用对称密码体制实现数字加密,公钥密码体制实现密钥管理的混合加密机制

    2.1.2哈希函数

    单向密码体制,从一个明文到密文的不可逆的映射,只有只有加密过程,没有解密过程

    可将任意长度的输入经过变换后得到固定长度的输出(原消息的散列或消息摘要)

    应用:消息认证(基于哈希函数的消息认证码),数字签名(对消息摘要进行数字签名口令的安全性,数据完整性)

    消息摘要算法MD5:128位

    安全散列算法SHA:160位

    SHA比MD5更安全,SHA比MD5速度慢了25%,SHA操作步骤较MD5更简单

    2.1.3数字签名

    通过密码技术实现,其安全性取决于密码体制的安全程度

    普通数字签名:RSA,ElGamal,椭圆曲线数字签名算法等

    特殊数字签名:盲签名,代理签名,群签名,不可否认签名,具有消息恢复功能得签名等

    常对信息的摘要进行签名

    美国数字签名标准DSS:签名算法DSA

    应用:鉴权:重放攻击;完整性:同形攻击;不可抵赖

    2.1.4密钥管理

    包括密钥的生成,存储,分配,启用与停用,控制,更新,撤销与销毁等诸多方面密钥的分配与存储最为关键

    借助加密,认证,签名,协议和公证等技术

    密钥的秘密性,完整性,真实性

    密钥产生:噪声源技术(基于力学,基于电子学,基于混沌理论的密钥产生技术);主密钥,加密密钥,会话密钥的产生

    密钥分配:

    分配手段:人工分发(物理分发),密钥交换协议动态分发

    密钥属性:秘密密钥分配,公开密钥分配

    密钥分配技术:基于对称密码体制的密钥分配,基于公钥密码体制的密钥分配

    密钥信息交换方式:人工密钥分发,给予中心密钥分发,基于认证密钥分发

    人工密钥分发:主密钥

    基于中心的密钥分发:利用公开密钥密码体制分配传统密码的密钥;可信第三方:密钥分发中心KDC,密钥转换中心KTC;拉模型,推模型;密钥交换协议:Diffie-Hellman算法

    公开密钥分配:公共发布;公用目录;公约授权:公钥管理机构;公钥证书:证书管理机构CA,目前最流行

    密钥存储:

    公钥存储

    私钥存储:用口令加密后存放在本地软盘或硬盘;存放在网络目录服务器中:私钥存储服务PKSS;智能卡存储;USB Key存储

    2.2认证技术

    2.2.1消息认证

    产生认证码的函数:

    消息加密:整个消息的密文作为认证码

    消息认证码(MAC):利用密钥对消息产生定长的值,并以该值作为认证码;基于DES的MAC算法

    哈希函数:将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码

    2.2.2身份认证

    身份认证系统:认证服务器、认证系统客户端、认证设备

    系统主要通过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件进行实现

    认证手段:静态密码方式

    动态口令认证:动态短信密码,动态口令牌(卡)

    USB Key认证:挑战/应答模式,基于PKI体系的认证模式

    生物识别技术

    认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证

    2.3访问控制技术

    访问控制模型:

    自主访问控制(DAC):访问矩阵模型:访问能力表(CL),访问控制表(ACL);商业环境中,大多数系统,如主流操作系统、防火墙等

    强制访问控制(DAC):安全标签:具有偏序关系的等级分类标签,非等级分类标签,比较主体和客体的安全标签等级,,访问控制安全标签列表(ACSLL);访问级别:最高秘密级,秘密级,机密级,无级别及;Bell-Lapadula模型:只允许向下读、向上写,保证数据的保密性,Biba不允许向下读、向上写,保护数据完整性;Chinese Wall模型:多边安全系统中的模型,包括了MAC和DAC的属性

    基于角色的访问控制(RBAC):要素:用户,角色,许可;面向企业,大型数据库的权限管理;用户不能自主的将访问权限授权给别的用户;MAC基于多级安全需求,RBAC不是

    2.3.2访问控制技术

    集中访问控制:

    认证、授权、审计管理(AAA管理)

    拨号用户远程认证服务RADIUS:提供集中式AAA管理;客户端/服务器协议,运行在应用层,使用UDP协议;组合认证与授权服务

    终端访问控制器访问控制系统TACACS:TACACS+使用TCP;更复杂的认证步骤;分隔认证、授权、审计

    Diameter:协议的实现和RADIUS类似,采用TCP协议,支持分布式审计

    非集中式访问控制:

    单点登录SSO

    Kerberos:使用最广泛的身份验证协议;引入可信的第三方。Kerberos验证服务器;能提供网络信息的保密性和完整性保障;支持双向的身份认证

    SESAME:认证过程类似于Kerberos

    2.4审计和监控技术

    2.4.1审计和监控基础

    审计系统:日志记录器:收集数据,系统调用Syslog收集数据;分析器:分析数据;通告器:通报结果

    2.4.2审计和监控技术

    恶意行为监控:主机监测:可监测的地址空间规模有限;网络监测:蜜罐技术(软件honeyd),蜜网(诱捕网络):高交互蜜罐、低交互蜜罐、主机行为监视模块

    网络信息内容审计:方法:网络舆情分析:舆情分析引擎、自动信息采集功能、数据清理功能;技术:网络信息内容获取技术(嗅探技术)、网络内容还原分析技术;模型:流水线模型、分段模型;不良信息内容监控方法:网址、网页内容、图片过滤技术


    第三章系统安全

    3.1操作系统安全

    3.1.1操作系统安全基础

    基本安全实现机制:

    CPU模式和保护环:内核模式、用户模式

    进程隔离:使用虚拟地址空间达到该目的

    3.1.2操作系统安全实践

    UNIX/Linux系统:

    文件系统安全:所有的事物都是文件:正规文件、目录、特殊文件(/dev下设备文件)、链接、Sockets;文件系统安全基于i节点中的三层关键信息:UID、GID、模式;模式位,权限位的八进制数表示;设置SUID(使普通用户完成一些普通用户权限不能完成的事而设置)和SGID,体现在所有者或同组用户权限的可执行位上;chmod改变文件权限设置、chown、chgrp;unmask创建文件默认权限

    账号安全管理:/etc/passwd、/etc/shadow;伪用户账号;root账户管理:超级用户账户可不止一个,将UID和GID设置为0即可,使用可插入认证模块PAM进行认证登录

    日志与审计:日志系统:记录连接时间的日志:/var/log/wtmp、/var/run/utmp,进程统计:pacct与acct,错误日志:/var/log/messages

    Windows系统:

    Windows安全子系统:winlogon和图形化标识和验证GINA、本地安全认证、安全支持提供者的接口(SSPI)、认证包、安全支持提供者、网络登录服务、安全账号管理器(SAM)

    登录验证:Kerberos

    用户权力与权限:用户权限:目录权限、文件权限;共享权限

    日志与审计:系统日志、应用程序日志、安全日志

    安全策略:密码策略;锁定策略;审核策略;用户全力指派;安全选项;装载自定义安全模板;windows加密文件系统

    可信计算技术:

    可信计算平台联盟(TCPA),可信计算组织(TCG)

    可信PC,可新平台模块(TPM),可信软件栈(TSS),可信网络连接(TNC)

    可信平台模块(TPM):具有密码运算能力和存储能力,是一个含有密码运算部件和存储部件的小型片上系统;物理可信、管理可信的;

    可信密码模块(TCM):中国

    可信计算平台:三个层次:可信平台模块(信任根)、可信软件栈、可信平台应用软件;我国:可信密码模块、可信密码模块服务模块、安全应用

    可信网络连接(TNC):开放性、安全性

    3.2数据库安全

    3.2.1数据库安全基础

    统计数据库安全

    现代数据库运行环境:多层体系结构,中间层完成对数据库访问的封装

    数据库安全功能:

    用户标识和鉴定

    存取控制:自主存取控制:用户权限有两个要素组成:数据库对象和操作类型,GRANT语句向用户授予权限,REVOKE语句收回授予的权限,角色:权限的集合;强制存取控制:主体和客体,敏感度标记:许可证级别(主体)、密级(客体),首先要实现自主存取控制

    审计:用户级审计、系统审计;AUDIT设置审计功能,NOAUDIT取消审计功能

    数据加密

    视图与数据保密性:将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上再进一步定义存取权限

    数据完整性:

    语义完整性,参照完整性,实体完整性

    约束:优先于使用触发器、规则和默认值

    默认值:CREATEDEFAULT

    规则:CREATE RULE,USE EXEC sp_bindefault,DROP RULE

    事务处理:BEGAIN

    TRANSACTION,COMMIT,ROLLBACK;原子性、一致性、隔离性、持久性;自动处理事务、隐式事物、用户定义事物、分布式事务

    3.2.2数据库安全实践

    数据库十大威胁:

    过度的特权滥用;合法的特权滥用;特权提升;平台漏洞;SQL注入;不健全的审计;拒绝服务;数据库通信协议漏洞;不健全的认证;备份数据库暴露

    安全防护体系:事前检查,事中监控,事后审计

    数据库安全特性检查:

    端口扫描(服务发现):对数据库开放端口进行扫描;渗透测试:黑盒式的安全监测,攻击性测试,对象是数据库的身份验证系统和服务监听系统,监听器安全特性分析、用户名和密码渗透、漏洞分析;内部安全监测:安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测

    数据库运行安全监控:网络嗅探器、数据库分析器、SQL分析器、安全审计


    第四章网络安全

    4.1网络安全基础

    4.1.1TCP/IP体系架构

    4.1.2网络协议

    数据链路层协议:地址解析协议(ARP),逆向地址解析协议(RARP)

    网络层协议:IP协议, Internet控制报文协议(ICMP):发送出错和控制消息,提供了一个错误侦测与回馈机制

    传输层协议:TCP协议,UDP协议

    应用层协议:HTTP,SMTP和POP3,DNS

    4.2网络安全威胁技术

    4.2.1扫描技术

    互联网信息搜集

    IP地址扫描:操作系统命令ping(网络故障诊断命令)、tracer,自动化的扫描工具Namp 、Superscan

    端口扫描:Namp软件;TCP全连接扫描,TCP SYN扫描,TCP FIN扫描,UDP的ICMP端口不可达扫描,ICMP扫描;乱序扫描和慢速扫描

    漏洞扫描:网络漏洞扫描:模拟攻击技术;主机漏洞扫描:漏洞特征匹配技术、补丁安装信息的检测

    弱口令扫描:基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术

    综合漏洞扫描:Nessus

    扫描防范技术:防火墙,用安全监测工具对扫描行为进行监测

    4.2.2网络嗅探

    非主动类信息获取攻击技术

    防范:实现对网络传输数据的加密,VPN、SSL、SSH等加密和传输的技术和设备,利用网络设备的物理或者逻辑隔离的手段

    4.2.3网络协议欺骗

    IP地址欺骗:和其他攻击技术相结合

    ARP欺骗:中间人欺骗(局域网环境内实施),伪装成网关欺骗(主要针对局域网内部主机与外网通信的情况);防范:MAC地址与IP地址双向静态绑定

    TCP欺骗:将外部计算机伪装成合法计算机;非盲攻击:网络嗅探,已知目标主机的初始序列号,盲攻击:攻击者和目标主机不在同一个网络上

    DNS欺骗:基于DNS服务器的欺骗,基于用户计算机的DNS欺骗

    4.2.4诱骗式攻击

    网站挂马:

    攻击者成功入侵网站服务器,具有了网站中网页的修改权限

    技术:框架挂马:直接加在框架代码和框架嵌套挂马;JS脚本挂马;b ody挂马;伪装欺骗挂马

    防范:Web服务器,用户计算机

    诱骗下载:

    主要方式:多媒体类文件下载,网络游戏软件和插件下载,热门应用软件下载,电子书爱好者,P2P种子文件

    文件捆绑技术:多文件捆绑方式,资源融合捆绑方式,漏洞利用捆绑方式

    钓鱼网站

    社会工程

    4.2.5软件漏洞攻击利用技术

    软件漏洞:操作系统服务程序漏洞,文件处理软件漏洞,浏览器软件漏洞,其他软件漏洞

    软件漏洞攻击利用技术:直接网络攻击;诱骗式网络攻击:基于网站的诱骗式网络攻击,网络传播本地诱骗点击攻击

    4.2.6拒绝服务攻击

    实现方式:利用目标主机自身存在的拒绝服务性漏洞进行攻击,耗尽目标主机CPU和内存等计算机资源的攻击,耗尽目标主机网络带宽的攻击

    分类:IP层协议的攻击:发送ICMP协议的请求数据包,Smurf攻击;TCP协议的攻击:利用TCP本身的缺陷实施的攻击,包括SYN-Flood和ACK-Flood攻击,使用伪造的源IP地址,利用TCP全连接发起的攻击,僵尸主机;UDP协议的攻击;应用层协议的攻击:脚本洪水攻击

    分布式拒绝服务(DDos):攻击者,主控端,代理端,僵尸网络

    防范:支持DDos防御功能的防火墙

    4.2.7Web脚本攻击

    针对Web服务器端应用系统的攻击技术:

    注入攻击:SQL注入,代码注入,命令注入,LDAP注入,XPath注入;防范:遵循数据与代码分离的原则

    访问控制攻击,非授权的认证和会话攻击

    针对Web客户端的攻击技术:

    跨站脚本攻击(XSS):反射型XSS(非持久性的跨站脚本攻击),存储型XSS(持久型的跨站脚本攻击),DOM-based XSS(基于文档对象模型的跨站脚本攻击):从效果上来说属于反射型XSS

    跨站点请求伪造攻击(CSRF):伪造客户顿请求;防范:使用验证码,在用户会话验证信息中添加随机数

    点击劫持攻击

    4.2.8远程控制

    木马:

    具有远程控制、信息偷取、隐藏传输功能的恶意程序;通过诱骗的方式安装;一般没有病毒的的感染功能;特点:伪装性,隐藏性,窃密性,破坏性;

    连接方式:C/S结构;最初的网络连接方法;反弹端口技术:服务器端主动的发起连接请求,客户端被动的等待连接;木马隐藏技术:线程插入技术、DLL动态劫持技术、RootKit(内核隐藏技术)

    Wwbshell:用Web脚本写的木马后门,用于远程控制网站服务器;以ASP、PHP、ASPX、JSP等网页文件的形式存在;被网站管理员可利用进行网站管理、服务器管理等

    4.3网络安全防护技术

    4.3.1防火墙

    一般部署在网络边界,也可部署在内网中某些需要重点防护的部门子网的网络边界

    功能:在内外网之间进行数据过滤;对网络传输和访问的数据进行记录和审计;防范内外网之间的异常网络行为;通过配置NAT提高网络地址转换功能

    分类:硬件防火墙:X86架构的防火墙(中小企业),ASIC、NP架构的防火墙(电信运营商);软件防火墙(个人计算机防护)

    防火墙技术:

    包过滤技术:默认规则;主要在网络层和传输层进行过滤拦截,不能阻止应用层攻击,也不支持对用户的连接认证,不能防止IP地址欺骗

    状态检测技术(动态包过滤技术):增加了对数据包连接状态变化的额外考虑,有效阻止Dos攻击

    地址翻译技术:静态NAT,NAT池,端口地址转换PAT

    应用级网关(代理服务器):在应用层对数据进行安全规则过滤

    体系结构:

    双重宿主主机体系结构:至少有两个网络接口,在双重宿主主机上运行多种代理服务器,有强大的身份认证系统

    屏蔽主机体系结构:防火墙由一台包过滤路由器和一台堡垒主机组成,通过包过滤实现了网络层传输安全的同时,还通过代理服务器实现了应用层的安全

    屏蔽子网体系结构:由两个包过滤路由器和一台堡垒主机组成;最安全,支持网络层、传输层、应用层的防护功能;添加了额外的保护体系,周边网络(非军事区,DMZ)通常放置堡垒主机和对外开放的应用服务器;堡垒主机运行应用级网关

    防火墙的安全策略

    4.3.2入侵检测系统和入侵防御系统

    入侵检测系统(IDS):

    控制台:在内网中,探测器:连接交换机的网络端口

    分类:根据数据采集方式:基于网络的入侵检测系统(NIDS)、基于主机的入侵检测系统(HIDS);根据检测原理:误用检测型入侵检测系统、异常检测型入侵检测系统

    技术:误用检测技术:专家系统、模型推理、状态转换分析;异常检测技术:统计分析、神经网络;其他入侵检测技术:模式匹配、文件完整性检验、数据挖掘、计算机免疫方法

    体系结构:集中式结构:单一的中央控制台;分布式结构:建立树形分层结构

    部署:一个控制台可以管理多个探测器,控制台可以分层部署,主动控制台和被动控制台

    入侵防御系统(IPS):

    部署:网络设备:网络中需要保护的关键子网或者设备的网络入口处,控制台

    不足:可能造成单点故障,可能造成性能瓶颈,漏报和无保的影响

    4.3.3PKI

    公共密钥基础设施是创建、管理、存储、分布和作废数字证书的一场系列软件、硬件、人员、策略和过程的集合

    组成:数字证书是PKI的核心;安全策略;证书认证机构(CA);证书注册机构;证书分发机构;基于PKI的应用接口

    数字证书

    信任模式:单证书认证机构信任模式,层次信任模型,桥证书认证机构信任模型

    4.3.4VPN

    利用开放的物理链路和专用的安全协议实现逻辑上网络安全连接的技术

    网络连接类型:远程访问型VPN(Client-LAN)客户机和服务器都安装VPN软件;网络到网关类型的VPN(LAN-LAN)客户端和服务器各自在自己的网络边界部署硬件VPN网关设备

    VPN协议分类:网络隧道技术

    第二层隧道协:封装数据链路层数据包;介于二、三层之间的隧道协议;第三层隧道协议IPSec,通用路由封装协议(GRE);传输层的SSL VPN协议:SSL协议工作在TCP/IP和应用层之间

    4.3.5网络安全协议

    Internet安全协议(IPSec):引入加密算法、数据完整性验证和身份认证;网络安全协议:认证协议头(AH)、安全载荷封装(ESP,传输模式、隧道模式),密钥协商协议:互联网密钥交换协议(IKE)

    传输层安全协议(SSL):解决点到点数据安全传输和传输双方身份认证的网络安全传输协议;记录协议和握手协议

    应用层安全协议:

    Kerberos协议;SSH协议:加密所有传输的数据,能防止DNS欺骗和IP欺骗;安全超文本传输协议(SHTTP);安全多用途网际邮件扩充协议(S/MIME);安全电子交易协议(SET)

    展开全文
  • 信息安全技术

    千次阅读 2010-03-07 09:48:00
    信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术应用数学、数论、信息论等多种学科的综合性学科。实现目标: ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。 ◆ ...
  • 计算机三级信息安全技术

    万次阅读 多人点赞 2020-09-08 22:13:46
    2. 掌握信息安全技术的基本概念、原理、方法和技术 3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能 4. 掌握信息安全设备的安装、配置和使用的基本方法 5. 了解信息系统安全设施部署与...
  • PKI/PMI技术及应用一、PKI技术1.概念2.PKI机制3.PKI组成4.认证机构(CA)5.数字证书二、PMI技术1.概念2. PMI与PKI的区别:3. PMI组成 一、PKI技术 1.概念 公钥基础设施( PKI )是利用密码学中的公钥概念和加密技术为...
  • 参考教材:网络安全技术及应用 第3版 主编贾铁军等 写此文是为了便于集中式 有重点 突击复习,可以打印出来,便于识记背诵。 第1章 网络安全基础填空题简答题论述题 填空题 网络安全的目标 是在计算机网络的 信息...
  • 2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并...
  • 中间件技术及其应用

    千次阅读 2009-12-09 12:38:00
    中间件技术及其应用 作者:谷和启 来源:51CMM 一、概述1、中间件的概念 随着计算机技术的飞速发展,各种各样的应用软件需要在各种平台之

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 430,554
精华内容 172,221
关键字:

信息安全技术及其应用