信息安全技术基础--期末考点总结

关于QQ、网银、大师、360等讨论题，你们有谁整理出答案来了hmac是用hash函数做mac的技术就是分解n啊,不分解n比分解n更难大家都知道溢出现象一不小心就会发生，所以微软和VC做了预先准备，在临时变量之间设置了缓冲隔离带，万一有溢出，尽可能避免影响到别人，也尽早尽量发现,在debug模式下才有此举，在release模式下隔离带就没有饿了。

缓冲区：网银安全;1、Ssl加密，https2、输入银行账号和密码时的控件：特殊机制3、对抗口令监听的软件（硬件对抗不了)4、开通网银时的那句话来鉴别这不是钓鱼网5、手机交易吗6、U盾7、有没有可能网站不存口令8若是不可能，存了口令，认证期间不要在网上传，传的时候hash一下，传hash值，用随机数挑战，随机数和口令hash。

9、网银ssl加密后给服务器Qq登陆方面。

重新设你的密保，复杂一点的，QQ密码也复杂一点，QQ盗号从单纯的“偷窥”、“键盘钩子”木马、“屏幕快照”木马，到聊天记录监视和“网络钓鱼”输入账号密码的时候可能网吧里面就双黑色的眼睛正盯着你的键盘可能电脑里面还有你看不到的“眼睛”也监控着你的键盘，然后把获取的账号信息发送出去，而这类木马占了QQ盗号木马的99％以上。

将账号密码加密，QQ账号密码信息本地存放，无须注册。

不用注册的方式比较安全，不用担心信息在传递过程中出现问题在加密通道中输入QQ账号密码后自动删除所有临时信息注意电脑系统的清洁检测键盘钩子程序和木马以及打开的qq是不是按照目录下的qq.exe聊天时可以进行身份认证确定和你聊天的确实是那个人所以现在比较高级的就是用二维码登陆⊙.⊙手机确认一下使用qq交换文件的话，服务器会不会有记录？QQ加密外挂Pkcs5密钥分发：1，公钥CA2：对称密钥diffie hellman文件加密的惨剧：360加密：无纸化办公：单表统计规律：文件共享密码学和网络信息安全能帮助我们干什么通信安全偷听和保密分组网络的存储-转发假冒和抵赖无纸化支持办公和电子商务活动签章、支付安全和抵赖问题数字签名系统安全漏洞、病毒等问题系统访问安全体现恶意代码病毒、木马、攻击程序数据驱动黑客攻击破坏(漏洞,引诱) 未授权使用系统和软件漏洞NOS系统软件系统安全手段硬件、NOS、系统软件防火墙软件、硬件身份认证访问控制和授权kerberos审计/入侵检测LOG，IDS网络管理员关于签名手写签名数字签名纸版文件数字文件手写签名数字小文件同一页纸如何绑定必须的特性：不可伪造不可重用不可改变不可抵赖四种技术手段加密鉴别/数字签名身份消息来源和真实性防抵赖签名和验证完整性校验网络安全模型系统安全病毒、木马、漏洞、黑客、攻击等防火墙、信息过滤和入侵监测等传输安全加密防信息泄密鉴别和认证：消息来源、身份核认、防抵赖等完整性* 密码学加密算法、鉴别和签名算法、安全协议等* 安全系统互操作、部署、运行、监控等密码分析学目标：恢复密钥或明文唯密文攻击只有一些密文已知明文攻击知道一些过去的(明文及其密文)作参考和启发选择密文攻击有一台解密机（能解密选择的密文）选择明文攻击缴获有一台加密机（还能加密选择的明文）Feistel参数特性分组大小密钥大小循环次数一般仅几轮是不够的，得十几轮才好，如16轮子钥产生算法越复杂越好轮函数Round关键其他考虑速度（尤其是软件实现的速度）便于分析（使用简洁的结构）不是Feistel结构的AES、IDEA* 绝大数分组密码属于或类似Feistel结构多轮每轮有XOR（或能恢复的操作）轮函数DES参数Feistel体制分组密码分组大小64bit，密钥大小56bit，轮数16轮S-Boxes对DES的争议集中在密钥空间太小Key space从Lucifer的2^128降到DES的2^56DES Challenge III, 22 hours 15 minutesS盒S-BoxesS盒的设计准则？陷门？trapdoors by NSA (?)“Form surprise to suspicion”从惊喜(甚至能够抵御很后来才发现的各种攻击)到怀疑(n年前就如此厉害的NSA现在究竟有多厉害)DES总结DES算法对个人用户仍值得信赖DES算法本身没有大的缺陷对DES攻击方法复杂度为2^47DES使用的2^56密钥空间不够大，蛮力攻击目前已能够奏效(DES Challenges III)，所以关键场合不能使用了DES已经不再是推荐标准DES还是AES，或者RC4、RC5、IDEA、BFFree/OpenDES模块仍广泛存在保护和延续DES投资对DES的改造使用现存的软件硬件在强度上提高AES(=Rijndael)算法基本参数分组大小128bits，被分为4组×4字节处理密钥典型128、192、256bits非Feistel结构设计出发点安全，抵抗已知的攻击方法代码紧凑，速度够快，适合软硬件实现结构简单/简明/简对称算法的应用：7.1 密码功能的设置7.2 传输保密性↓7.3 密钥分配↓7.4 随机数↓7.a 案例分析随机数的用途用做会话密钥[需保密]用来产生公钥[需保密]如产生RSA密钥时素数p和q鉴别方案中用来避免重放攻击nonce [不需保密]每次使用不同的随机数很多挑战-应答协议里的挑战值[不需保密]salt in /etc/passwd etc [不需保密]* 安全不仅依赖于密钥的保密，也依赖于随机数的质量非对称算法密钥：K ＝（K d，K e）加密：E （P ，K e）＝C解密：D （C ，K d）＝P要求：从K e K dK d称为私钥，K e称为公钥公钥加密算法：加密（如果有人要给该用户A发送消息P）他先获得该用户的公开钥K e加密C = E（P，K e）传输解密D（C，K d）＝P除非拥有K d，象该用户A ，否则不能解开RSA算法参数建立：找素数选取两个512bit的随机素数p,q计算模n 和Euler 函数φ(n)n ＝pqφ(n)=(p-1)(q-1)找ed≡1 mod φ(n)选取数e ，用扩展Euclid 算法求数d发布发布(e,n) ，这是公钥k ed 保密，(d, n) 是私钥k dRSA加解密：加密明文分组m 做为整数须小于nc = m e mod n解密m = c d mod nRSA的正确性证明依据Euler 定理，在mod n 的含义下c d＝(m e)d＝m ed mod n＝m kφ(n)+1 mod n＝(mφ(n))k m1 mod n＝m mod n// 据Euler定理RSA计算实例：选p＝7，q＝17则n＝pq＝119且φ(n)＝(p-1)(q-1)＝6×16＝96取e＝5则d＝77 (5×77 ＝385 ＝4×96 ＋1≡1 mod 96) 公钥（5 ，119 ），私钥（77 ，119 ）加密m ＝19则c ＝m e mod n= 195 mod 119 = 66 mod 119解密c ＝66m ＝c d mod n = 6677mod 119 ＝19 mod 119程序功能：用p和q为素数，则n＝pq且f(n)=(p-1)(q-1)e为加密指数，则求得解密指数d满足ed=1 mod f(n) 加密明文x，则得密文y=x^e mod n解密密文y，则得解密明文x2＝y^d mod n注意：e必须和fn互素用法：pqex <p> <q> <e> <x>p 和q 都是素数e 和(p-1)(q-1) 互素x 小于pq模幂乘：97221 % 2003 （都在模2003意义下）97221＝97128+64+16+8+4+1＝97128 9764 9716 978 974 971依次计算971、972、974、978、9716 (97128)一直平方下去即可，并保持模2003如果某次方在1 式出现，则累乘累积开始是1* 乘法次数O(log2Y)攻击RSA枚举所有可能明文m，用e加密和c比较枚举所有可能的私钥d（已知明文）数学方法分解n=pq ，就可以计算φ(n) ，就可从e 求得d不分解n ，而直接求φ(n)，再求d不求φ(n) ，直接求d对RSA的理解形式简单，易于理解，研究深入支持广泛既能用来加密，可以用来加密回话密钥，又可签名它的对称性使它可以可以用来加/解密，同时也可以用来做签名/验证。

1.信息安全的发展过程：1.通信安全2.信息安全阶段3.信息保障2.信息安全的基本要素：1.保密性2.完整性3.可用性3.信息安全技术包括以下几种：1.物理安全技术2.系统安全技术3.网络安全技术4.应用安全技术5.数据加密技术6.认证授权技术7.访问控制技术8.审计跟踪技术9.防病毒技术10.灾难恢复和备份技术。

4.攻击的种类;1.主动攻击2.被动攻击5.攻击行为：1.预攻击预测2密码破解攻击3.缓冲区溢出攻击4.欺骗攻击5.DOS，DDOS攻击6.CGI攻击7.SQL注入攻击8.木马攻击9.网络蠕虫10.恶意软件6.密码体制的相同点和不同点：7.DES主要采用替换和移位方法加密56位密钥对64位16轮编码AES主要采用128密钥10轮编码8.防火墙的概念：一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

9.10.防火墙的功能：1 防火墙是网络安全的屏障2 防火墙可以强化网络安全策略3 对网络存取和访问进行监控审计5 部署NAT4.防止内部信息泄露6 向客户发布信息7 支持VPN11.防火墙的分类:防火墙的存在形式：1.软件防火墙、硬件防火墙2.根据保护对象分为：单机防火墙、网络防火墙3.根据防范方式和侧重点的不同可分为四类:1.包过滤2.应用层代理3.电路层代理3.状态检查12.防火墙的体系结构：1.包过滤防火墙2.双重宿主主机防火墙3.屏蔽主机防火墙4.屏蔽子网防火墙5.其它的防火墙13.防火墙的硬件实现技术：(1). Intel X86架构工控(2). ASIC硬件加速技术(3). 网络处理器（NP）加速技术14.入侵监测系统（IDS)的作用和功能：A.监督并分析用户和系统的活动；B检查系统配置和漏洞；C检查关键系统和数据文件的完整性；D识别代表已知攻击的活动模式；E对反常行为模式的统计分析；F对操作系统的校验管理，判断是否有破坏安全的用户活动。

4．信息安全就是只遭受病毒攻击，这种说法正确吗?不正确，信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行,信息服务不中断，最终实现业务连续性。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。

信息安全本身包括的范围很大，病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击，信息还存在偶然泄露等潜在威胁,所以上述说法不正确。

5。

网络安全问题主要是由黑客攻击造成的，这种说法正确吗？不正确。

谈到信息安全或者是网络安全,很多人自然而然地联想到黑客，实际上，黑客只是实施网络攻击或导致信息安全事件的一类主体，很多信息安全事件并非由黑客（包括内部人员或还称不上黑客的人)所为，同时也包括自然环境等因素带来的安全事件。

补充：信息安全事件分类有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件设备设施故障、灾害性事件、其它事件3.信息系统的可靠性和可用性是一个概念吗？它们有什么区别?不是。

信息安全的可靠性：保证信息系统为合法用户提供稳定、正确的信息服务。

信息安全的可用性：保证信息与信息系统可被授权者在需要的时候能够访问和使用。

区别：可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。

5。

一个信息系统的可靠性可以从哪些方面度量？可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。

7.为什么说信息安全防御应该是动态和可适应的？信息安全防御包括（1）对系统风险进行人工和自动分析,给出全面细致的风险评估。

（2）通过制订、评估、执行等步骤建立安全策略体系（3）在系统实施保护之后根据安全策略对信息系统实施监控和检测（4）对已知一个攻击（入侵）事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化，没有一种技术可以完全消除信息系统及网络的安全隐患，系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。

安全服务：加强数据处理系统和信息传输的安全性的一种服务。

其目的在于利用一种或多种安全机制阻止安全攻击安全机制：用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。

安全攻击：任何危及系统信息安全的活动。

威胁：侵犯安全的可能性，在破坏安全或引起危害的环境，可能性行为或时间的情况下，会出现这种威胁。

也就是说，威胁是利用脆弱性潜在危险。

攻击：对系统安全的攻击，它来源于一种具有智能的威胁。

也就是说，有意违反安全服务和侵犯系统安全策略的（特别是在方法或技巧的）智能行为。

认证：保证通信的实体是它所声称的实体。

存取控制：阻止对资源的非授权使用。

数据保密性：保护数据免于非授权泄露。

连接保密性：保护一次连接中所有的用户数据无连接保密性：保护单个数据块里的所有用户数据选择域保密性：对一次连接或单个数据块里选定的数据部分提供保密性流量保密性：保护那些可以通过观察流量而获得的信息数据完整性：保证收到的数据确实是授权实体所发出的数据具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，且试图恢复之。

无恢复的连接性完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，但不尝试恢复。

选择域连接完整性：提供一次连接中传输的单个数据块用户数据中选定部分的数据完整性，并判断选定域是否被修改不可否认性：防止整个或部分通信过程中，任一通信实体进行否认的行为源不可否认：证明消息是有特定方发出的宿不可否认性：证明消息被特定方收到加密：运用数学算法将数据转换成不可知的形式。

数据的变换和复原依赖于算法和零个或多个加密密钥数字签名：附加于数据元之后的数据，是对数据元的密码变换，以使得可证明数据源和完整性，并防止伪造认证交换：通过信息交换来保证实体身份的各种机制流量填充：在数据流空隙中插入若干位以阻止流量分析路由控制：能够为某些数据选择特殊的物理上安全的路线并允许路由变化。

•名词解释•信息安全：是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

•被动攻击：是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。

常见手段：搭线监听；无线截获；其他截获。

不易被发现重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络。

•主动攻击：涉及某些数据流的篡改或虚假流的产生。

通常分为：假冒，重放，篡改消息，拒绝服务。

能够检查出来不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复。

•密码学：是关于加密和解密变换的一门科学，是保护数据和信息的有力武器•密码学的基本概念：•明文（消息）：被转换之前的消息。

•密文：明文经密码变换成一种隐蔽的形式。

•加密：将明文变为密文的过程。

•解密：加密的逆过程，即由密文恢复出原明文的过程。

•加密员或密码员：对明文进行加密操作的人员。

•密钥：加解密过程中的关键元素、用来控制加密和解密算法操作的数据处理。

•分组密码：就是先把明文划分成许多组，每个明文分组被当作一个整体来产生一个等长（通常）的密文分组。

通常使用的是64位或128位分组的大小。

•流密码（序列密码）：每次加密数据流中的一位或一个字节。

•认证：即鉴别、确认，它是证明某事是否名副其实，或是否有效的一个过程。

•消息认证：验证所受到的消息确定是来自真正的发送方且未被修改过。

•身份认证：是验证主体的真实身份与其所声称的身份是否符合的过程。

•数字证书（公钥证书）：分配公钥的最安全有效的方法是采用数字证书，它由证书管理机构CA为用户建立，实际上是一个数据结构。

其中的数据项有该用户的公钥、用户的身份和时间戳等。

•公钥基础设施(PKI)：PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务服务所必须的密钥和证书管理。

计算机信息安全技术知识点一、知识概述《计算机信息安全技术》①基本定义：简单说，计算机信息安全技术就是保护计算机里信息不被偷、不被改、不被破坏的技术。

就像我们给自家房子加锁，给贵重物品装保险箱一样，计算机里的数据也需要保护，这就是计算机信息安全技术干的事儿。

②重要程度：在计算机学科里那可是超级重要的。

现代社会太多重要信息在计算机里了，像银行转账信息、公司机密等。

要是安全没保障，就像家里门没锁，小偷随便进，后果不堪设想。

③前置知识：首先要对计算机系统有点了解，知道操作系统、网络这些是怎么回事。

就好比你要保护一个房子，得先知道房子有哪些门、窗这些基本结构吧。

④应用价值：在银行保障客户资金交易安全、企业保护商业机密、个人隐私不被泄露等方面广泛应用。

比如，网上购物时，确保你的信用卡信息不被黑客盗取。

二、知识体系①知识图谱：它在计算机学科里犹如房子的防护体系，和操作系统安全、网络安全等知识紧密相连。

②关联知识：和密码学息息相关，密码就像一把锁的钥匙，对保护信息很重要。

还和计算机网络知识有联系，因为信息在网络中才会面临各种威胁。

③重难点分析：- 掌握难度：有一定难度，因为安全威胁多种多样，技术也在不断更新。

就像敌人一直在变招，我们得不断学习新的防守方法。

- 关键点：要理解各种安全攻击的原理，才能有针对性地防范。

④考点分析：- 在考试中的重要性：非常重要，无论是计算机专业的课程考试还是相关的资格认证考试。

- 考查方式：可能会考查安全技术的概念、特定安全机制的原理和应用场景等。

三、详细讲解【理论概念类】①概念辨析：- 计算机信息安全包括物理安全和逻辑安全。

物理安全就是计算机硬件不受损坏，像机房要防火、防水、防盗。

逻辑安全更抽象，指数据安全，如防止数据被篡改、删除、泄露等。

这就好比人的身体安全（物理安全）和思想安全（逻辑安全），两者都重要。

②特征分析：- 完整性，数据不能被破坏或者篡改。

举例来说，网上买东西时，商品价格数据要是被改了，那商家或者买家可就亏大了。

1、信息安全的概念，信息安全理念的三个阶段（信息保护-5特性，信息保障-PDRR，综合应用-PDRR+管理）概念：信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

三个阶段：（1）信息保护阶段：信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性。

（2）信息综合保障阶段--PDRR模型（3）信息安全整体解决方案：在PDRR技术保障模型的前提下，综合信息安全管理措施，实施立体化的信息安全防护。

即整体解决方案＝PDRR模型+ 安全管理。

2、ISC2的五重保护体系，信息安全体系-三个方面，信息安全技术体系国际信息系统安全认证组织（International Information Systems Security Certification Consortium，简称ISC2）将信息安全划分为5重屏障共10大领域。

（1）．物理屏障层（2）．技术屏障层（3）．管理屏障层（4）．法律屏障层（5）．心理屏障层信息安全体系-三个方面：信息安全技术体系、信息安全组织机构体系、信息安全管理体系信息安全技术体系：划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

1）物理安全技术（物理层安全）。

该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。

2）系统安全技术（操作系统的安全性）。

该层次的安全问题来自网络内使用的操作系统的安全，主要表现在三个方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

3）网络安全技术（网络层安全）。

主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。

信息安全事件分类：1.有害程序事件 2.网络攻击事件3.信息破坏事件 4.信息内容安全事件5. 设备设施故障6. 灾害性事件信息安全属性:保密性、完整性、鉴别性、不可否认性、可用性、可靠性、可追究性、可控性、保障。

信息安全保障包括人、政策（包括法律、法规、制度、管理）和技术三大要素。

内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性。

保证信息、信息系统的安全性目的。

主动信息安全防御模型风险评估、制定策略、实施保护、实实时监测、及时响应、快速恢复。

风险评估：风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析 信息安全技术原则：最小化原则、分权制衡原则、安全隔离原则 数据保密通信模型：对称密码体制分类:分组密码、流密码Feistel 网络结构及其特点：实现分组密码在设计中强调的两个思想“扩散”和“混乱”，扩散即将明文及密钥的影响尽可能迅速地散布到较多的输出密文中，典型的操作就是“置换”；混乱的目的在于使作用于明文的密钥和密文之间的关系复杂化。

特点：加密时将明文分组作长度相同的左右两部分，右半部分输入直接作为输出的左半部分，同时右半部分经过F 变换后得到的与左半部分异或操作后得到的作为输出的右半部分，每一轮都是这样操作，即一轮的输入经过上述变换后作为下一轮的输出。

公钥密码体制主要有两类：基于大整数因子分解问题的公钥密码体制,如RSA 体制、基于离散对数问题的公钥密码体制，如ElGmal 密码体制 基于公要密码的数字签名：数字签名可以实现3个安全属性：鉴别性：实体和消息的真实性认证、完整性、不可否认性 一个数字签名体制是一个七元组（明文M ，密文S ，私钥SK ，公钥PK ，密钥生成算法Gen ，签名算法Sig ，加密算法Ver ）带签名的加密封装：签名 验证加密 解密安全的三个层次：1.理论安全性：如果具有无限计算资源的密码分析者也无法破译一个密码系统，则称该密码系统是理论安全的。