第一篇:网络与信息安全知识点总结
1.计算机病毒最本质的特点 破坏性
2.一个密文块损坏会造成连续两个明文块损坏的DES工作模式
密码分组链接CBC
3.为了避免访问控制表过于庞大的方法 分类组织成组
4.公钥密码算法不会取代对称密码的原因
公钥密码算法复杂,加解密速度慢,不适合加密大量数据 5.入侵检测系统的功能部件
事件生成器,事件分析器,事件数据库,响应单元,目录服务器 6.访问控制实现方法
访问控制矩阵,列:访问控制表,行:访问能力表 7.PKI的组成
权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)
8.公钥密码的两种基本用途 数据加密、数字签名
9.SHA-1算法的输出为多少比特的消息摘要 160比特
10.Kerberos的设计目标
解决分布式网络下,用户访问网络使得安全问题,阻止非授权用户获得其无权访问的服务或数据。11.PKI管理对象
证书、密钥、证书撤销列表 12.防火墙的基本技术
包过滤技术,代理服务技术,状态检测技术,自适应代理技术。13.防止行为抵赖,属于什么的研究范畴 数字签名
14.完整的数字签名过程包括哪两个过程 签名过程、验证签名过程 15.用户认证的依据主要包括哪些
用户所知道的东西:如口令、密码;
用户所拥有的东西:如智能卡、身份证;
用户所具有的生物特征:如指纹、声音、DNA。16.入侵检测的分类
根据信息来源分为:基于主机的IDS、基于网络的IDS 根据检测方法分为:异常入侵检测、误用入侵检测 17.访问控制的分类 自主访问控制、强制访问控制、基于角色的访问控制 18.PKI的信任模型哪些
层次模型、交叉模型、混合模型 19.数字签名的分类
按照签名方式:直接数字签名、仲裁数字签名
按照安全性:无条件安全的数字签名、计算上安全的数字签名 按照可签名次数:一次性数字签名、多次性数字签名 20.密码分析攻击分为哪几种,各有什么特点?
已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击 21.为什么说“消息鉴别无法处理内部矛盾,而数字签名可以”?
消息鉴别通过验证消息的完整性和真实性,可以保证不受第三方攻击,但不能处理通信双方内部的相互攻击。数字签名相当于手写签名,可以防止相互欺骗和抵赖。
22.有哪几种访问控制策略?各有什么特点、优缺点?
1、自主访问控制(由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源)特点:(1)基于对主体及主体所在组的识别来限制对客体的访问(2)比较宽松,主体访问权限具有传递性
缺点:通过继承关系,主体能获得本不应具有的访问权限
2、强制访问控制
为所有主体和客体指定安全级别
不同级别标记了不同重要程度和能力的实体
不同级别的实体对不同级别的客体的访问是在强制的安全策略下实现 访问策略:下读/上写
3、基于角色的访问控制 特点:(1)提供了三种授权管理的控制途径(2)改变客体的访问权限(3)改变角色的访问权限(4)改变主体所担任的角色
(5)系统中所有角色的关系结构层次化,易管理(6)具有较好的提供最小权利的能力,提高安全性(7)具有责任分离的能力 实现:
访问控制矩阵
列——访问控制表(Access Control List)行——访问能力表(Access Capabilities List)23.论述异常检测模型和误用检测模型的区别? 24.对经凯撒密码加密的密文“XXX_XX_XXX_XXXXXX”解密,写出明文。据此说明替换密码的特征。(空格用符号“_”表示)Caesar密码是k=3时的移位替换密码,密文=明文右移3位,明文=密文左移3位 25.论述数字签名与手写签名的异同点。相同点:
(1)签名者不能否认自己的签名
(2)签名不能伪造,且接受者能够验证签名(3)签名真伪有争议时能够得到仲裁 不同点:
(1)传统签名与被签文件在物理上不可分;数字签名则不是,需要与被签文件进行绑定。
(2)传统签名通过与真实签名对比进行验证;数字签名用验证算法。(3)传统签名的复制品与原件不同;数字签名及其复制品是一样的。26.下图描述的是基于对称密码体制的中心化密钥分配方案,请补充完整图中编号①~⑤的消息表达式,并详细描述一下每个步骤的具体内容。
27.网银转账操作过程中转账金额被非法篡改,这破坏了信息的什么安全属性 完整性
28.安全散列函数的计算步骤
29.高级数据加密标准的前身 Rijndael对称分组密码算法
30.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为什么攻击 回放攻击
31.数字证书的组成
数字证书是一段包含用户身份信息、公钥信息及CA数字签名的数据。X.509证书格式:
版本号1、2、3,证书序列号、签名算法表示符、颁发者名称、有效期、主体、主体公钥信息、颁发者唯一标识符、主体唯一标识符、扩展域、颁发者签名 32.数字签名要预先使用单向Hash函数进行处理的原因
缩小签名密文的长度,加快数字签名和验证签名的运算速度。33.包过滤防火墙是在网络模型的哪一层对数据包进行检查 网络层
34.在身份认证的方式中,最安全的是哪种 数字证书
35.Kerberos最严重的问题 严重依赖于时钟同步
36.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于多少 2^64 37.MAC码可以在不安全的信道中传输的原因 因为MAC码的生成需要密钥 38.消息鉴别的分类
直接鉴别、基于MAC(消息鉴别码)的鉴别、基于散列函数的鉴别 39.实现混淆和扩散的常用手段
乘积、迭代、合理选择轮函数、经过若干次迭代 40.一次一密的安全性取决于什么 密钥的随机性
41.DES算法的密钥长度
密钥长度64比特,每8比特为一奇偶校验位,有效密钥长度56比特,存在弱密钥和半弱密钥,子密钥48位。42.RSA算法的安全性基于什么 大整数素因子分解困难问题
43.从技术上讲,密码体制的安全性取决于什么 密码算法的保密强度
44.若Alice发送给Bob的消息表达式为XXXXXXXXXXXX,则
a)请画出Alice生成此消息,以及Bob检验消息的完整流程。b)请说明在这个流程中可以实现哪些安全服务及其原因。
c)在这个流程中不可以实现哪些安全服务,如果要加上这些安全服务,请给出你的设计方案并说明原因。
45.OTP在实际使用中的难点?
使用与消息一样长且无重复的随机密钥来加密消息,另外,密钥只对一个消息进行加解密,之后丢弃不用。每一条新消息都需要一个与其等长的新密钥。一次一密提供安全性存在两个基本难点:(1)、产生大规模随机密钥有实际困难。(2)、更令人担忧的是密钥的分配和保护。对每一条发送的消息,需要提供给发送方和接收方等长度的密钥。
因为上面这些困难,一次一密实际很少使用,主要用于安全性要求很高的低带宽信道。
46.阐述消息认证码MAC的基本概念、原理和作用 【基本概念】消息鉴别码(MessageAuthenticationCode)也叫密码校验和(cryptographic checksum),鉴别函数的一种。密码学中,通信实体双方使用的一种验证机制,保证消息数据完整性的一种工具。构造方法由M.Bellare提出,安全性依赖于Hash函数,故也称带密钥的Hash函数。消息认证码是基于密钥和消息摘要所获得的一个值,可用于数据源发认证和完整性校验。【原理】将任意长的消息M,经共享密钥K控制下的函数C作用后,映射到一个简短的定长数据分组,并将它附加在消息M后,成为MAC,MAC=Ck(M)。接收方通过重新计算MAC进行消息鉴别,如果ReceivedMAC=ComputedMAC,则接收者可以确信消息M为被改变。接收者可以确信消息来自其共享密钥的发送者。如果消息中含有序列号(如HDLC,X.25,TCP),则可以保证正确的消息顺序。
【作用】消息鉴别码(MAC)只能鉴别,仅仅认证消息M的完整性(不会被篡改)和可靠性(不会是虚假的消息或伪造的消息),并不负责信息M是否被安全传输。
47.什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点? 数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。
认证中心颁发的数字证书均遵循X.509 V3标准。X.509 V3标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。数字证书特点:(1)、数字证书确保了公钥的最安全有效分配。(2)、向持证人索要公钥数字证书,并用CA的公钥验证CA的签名,便可获得可信公钥。(3)、数字证书的可信依赖于CA的可信。48.防火墙应满足的基本条件是什么?
作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1)、所有从内到外和从外到内的通信量都必须经过防火墙。(2)、只有被认可的通信量,被访问控制策略授权后,才允许传递。(3)、防火墙本身具有高可靠性。49.用置换矩阵E=〔0123412304〕对明文XXX_XX_XX加密,并给出其解密矩阵及求出可能的解密矩阵总数。(10分)
50.RSA的两种用法是什么?RSA为什么能实现数字签名? 数据加密和数字签名
数字签名用于发送方身份认证和验证消息的完整性,要求具有唯一性、不可抵赖、不可伪造等特性。
RSA的私钥是仅有的使用者知道的唯一密钥,具有唯一性:使用该密钥加密消息(即数字签名)加密者无法抵赖,具有不可抵赖性;RSA加密强度保证了私钥破译计算不可行,因而难于伪造,具有保密性。因而RSA符合数字签名的要求,能够实现数字签名。
第二篇:网络与信息安全检查总结[推荐]
网络与信息安全检查总结
根据上级网络安全管理文件精神,我单位成立了网络信息安全工作领导小组,在组长XXX的领导下,制定计划,明确责任,具体落实,对全单位各系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强网络信息系统安全管理工作,我单位成立了网络与信息系统安全工作领导小组,做到分工明确,责任具体到人。安全工作领导小组组长为XXX,副组长XXX,成员有XXX、XXX、XXX。分工与各自的职责如下:XX为计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。XXX负责计算机网络与信息安全管理工作的日常事务。XXX负责计算机网络与信息安全管理工作的日常协调、网络维护和日常技术管理工作。
二、我单位信息安全工作情况
我单位在信息安全管理方面,制定了一系列的管理制度。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。存储介质管理,完善了《存储介质管理制度》。运行维护管理,建立了《信息网络系统日常运行维护制度》。
1、技术防护方面 系统安装正牌的防病毒软件和防火墙,对计算机病毒、有害电子邮件采取有效防范,根据系统服务需求,按需开放端口,遵循最小服务配置原则。一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。
2、微软公司将自2014年4月8日起,停止Windows XP桌面操作系统的用户支持服务,同时也停止系统和安全补丁的推送,由于我单位部分计算机仍在使用XP系统,我单位网络信息安全小组积极应对这一情况,对部分能够升级的电脑升级到了WIN7系统,对未能升级的内网电脑,我单位联系上级信息安全部门对网络安全状况进行了评估,并修改了网络安全策略,保证了系统的安全运行。
3、应急处理方面
拥有专门的网络安全员,对突发网络信息安全事故可快速安全地处理。
4、容灾备份
对数据进行即时备份,当出现设备故障时,保证了数据完整。
三、自查发现的主要问题和面临的威胁分析
四、1、发现的主要问题和薄弱环节
在本次检查过程中,也暴露出了一些问题,如:由于投入不足,光电系统出现故障,致使系统设备停止运行,虽然不会丢失数据,但是服务会出现中断。
自查中发现个别人员计算机安全意识不强。在以后的工作中我们将继续加强对计算机安全意识教育和防范技能训练让干部职工充分认识到计算机泄密后的严重性与可怕性。
2、面临的安全威胁与风险 无
3、整体安全状况的基本判断
我单位网络安全总体状况良好,未发生重大信息安全事故。
四、改进措施及整改效果
五、1.改进措施
为保证网络安全有效地运行,减少病毒和黑客的侵入,我单位对相关网络系统操作人员就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
2.整改效果
经过培训教育,全体干部职工对网络信息安全有了更深入的了解,并在工作中时刻注意维护信息安全。
第三篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第四篇:网络与信息安全自查报告
网络与信息安全自查报告
(参考格式)
一、自查报告名称
×××(部门/单位名称)信息安全自查报告
二、自查报告组成
自查报告包括主报告和检查情况报告表两部分。
三、主报告内容要求
(一)信息安全自查工作组织开展情况
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)信息安全工作情况
对照《检查通知》要求,逐项、详细描述本部门(单位)在安全管理、技术防护、应急处置与灾备等方面工作的检查结果。
(三)自查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(四)改进措施与整改效果
1.改进措施
2.整改效果
(五)关于加强信息安全工作的意见和建议
四、信息安全检查情况报告表要求
检查情况报告表应如实填写,不要出现漏项、错项、前后不一致等情况。
第五篇:网络与信息安全自查报告
网络与信息安全自查报告
接供电局《开展网络信息安全生产专项检查》的通知,我公司深刻领会文件精神,积极组织落实,认真对照,对网络安全基础设施建设情况,网络与信息安全防范技术情况进行了自查,现将自查情况汇报如下:
一、自查工作组织开展情况:
此次自查工作由生产技术部牵头,安环部,热电分厂,电石分厂负责具体落实。对所属的分散控制系统(DCS),计算机监控系统,负荷控制系统进行检查,集体如下:热电所选用的控制系统为杭州和利时自动化有限公司的MACSV系统,完成对数据的采集,控制和监控。MACSV系统网络分为监控网络,系统网络和控制网络三个层次,三种网络以“站”的形式连接。包括数据站,工程师站,操作员站和现场控制站;涉及的版本号为MACSV5.2.4 中英文正式版,MACSV6.5.1和6.5.2 #3机炉和供热,操作系统版本WINXP+SP3;主从服务器系统版本为WIN SEVER2003;监控网络采用TCP/IP通讯协议,冗余高速工业以太网链接,系统网络采用HSIE通讯协议,冗余高速工业以太网链接,控制网络采用profibus-DP现场总线,位于现场控制站内部。
二、网络与信息安全工作情况:
1、硬件安全:包括防雷,防火和UPS电源链接等,运维人员每天坚持巡查,排除安全隐患,服务器,交换机,现场控制站等都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不会因突然断电导致设备无法运行或损坏。此外,局域网内所有计算机USB接口实行完全封闭,有效避免了因外接设备(如U盘,硬盘,其他移动设备)而引起中毒或泄密的发生。
2、网络安全:包括网络结构、密码管理、IP管理等;交换机、路由器、光纤收发器等都有备品备件,发生故障可以在第一时间更换,保证设备的稳定运行。
3、应急处置:我厂系统服务器运行安全,稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行半小时以上。虽然系统长期稳定,运行良好,但我厂依然定了应急处置预案,并定期进行事故应急演练。
总体来说,我厂对网络与信息完全工作非常重视,未发生过重大安全事故,各系统运转稳定。但自查中也发现了不足之处,如目前没有专门的技术人员,日常检查维护由热工人员担任,而且热工人员也没有经过专门的信息安全培训,安全力量有限。今后还需要加强信息技术人员的培养,更进一步提高信息安全技术水平,提高系统运行的安全性和工作效率。
4、技术防护:
1.1物理环境安全;程师站、算机房不断改造,均有门禁,防盗上锁;监视器防火防灾报警装置,供电和通信系统采用双线冗余;人员出入有出入登记制度;
1.2运维管理;根据内容要求,设备,系统的运维都有相应的日志记录和程序变更记录,以及强制单的管理和记录,并将工程师站和操作员站分离,有独自的登录账号和密码,并分别配有加密狗保证系统的运行安全。
三、网络安全存在以下几点不足:1、2、3、安全防范意识较为薄弱;
病毒监控能力有待高;
遇到恶意攻击,计算机病毒侵袭等突发事件处理不够及时。
四、整改办法与措施:
1、加强计算机操作技术水平,网络安全技术方面的培训;强化计算机操作人员对病毒,信息安全的防范意识。
2、加强计算机维护人员在计算机技术,网络技术方面的学习,不断提高计算机主管人员的技术水平。
意见建议:
建议按列支相关经费,组织相关人员进行培训,应急演练,改造等工作的开展。
热电分厂检修车间热工班
2016.6.14
点击咨询 