第一篇:信息安全与网络安全复习总结
一、概述
1、计算机安全与网络安全的区别 P1
计算机安全:负责信息存储和处理过程的安全事务,主要防止病毒和非法访问。
网络安全:负责信息传输过程的安全事务,主要防止用户非法接入、窃取或篡改传输过程中的信息。
计算机安全与网络安全都是信息安全的组成部分。
2、病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码。P23、网络安全体系结构由两部分组成:网络安全基础---加密、报文摘要算法、数字签名技术
及认证和各种安全协议;作用于网络每层的安全技术。P134、计算机网络安全的目标:保证网络用户不受攻击;机密信息不被窃取;所有网络服务能
够正常进行。P15
二、黑客攻击机制P191、窃取与截获的区别
窃取是非法获得信息副本,但不影响信息正常传输;
截获是不仅非法获得信息,且终止或改变信息传输过程;
2、DOS攻击和Smurf攻击的区别:P21
拒绝服务攻击(DOS),就是用某种方法耗尽网络设备或服务器资源,使其不能正常提供服务的一种攻击手段。
SYN泛洪攻击—消耗服务器资源
Smurf攻击—耗尽网络带宽,使被攻击终端不能和其他终端正常通信的攻击手段。
3、黑客攻击过程P27
收集信息;收集攻击目标主机系统或网络的相关信息
网络接入:拨号、无线局域网、以太网
主机系统信息:操作系统类型、版本、服务类型、软件
网络拓扑结构: 传输路径、设备类型、网络类型
侦察---攻击目标的缺陷、攻击方法;
域名、IP地址
防火墙的漏洞
软件的缺陷
允许建立TCP连接的端口号
能否放置木马
攻击---攻击目的和方法
瘫痪目标系统---拒绝服务攻击
控制目标---利用漏洞上载恶意代码(放置木马)
5、缓冲区溢出原理:通过往没有边界检测的缓冲区写超出其长度的内容,造成该函数缓冲区的溢出,溢出的数据覆盖了用于保留另一函数的返回地址的存储单元,使程序转而执行其它指令,以达到攻击的目的。P326、信息安全由网络安全、操作系统安全和应用程序安全三部分组成,其中操作系统安全和
应用程序安全统称为计算机安全。P33
第三章 网络安全基础
1、对称加密与公钥加密区别
对称加密:加密和解客的密钥相同(单钥)
公钥加密:加密和解客的密钥不相同(双钥)
2、公钥加密和数字签名的区别
3、报文摘要与消息认证的区别
4、密文安全性完全基于密钥的安全性
5、对称加密包括:流密码和分组密码体制
6、Feistel分组密码结构及其在DES中的应用
Feistel结构是一种分组密码体制下的加密运算过程。它的输入是由明文分割后产生的固定为2W分的数据组和密钥K,每组数据分为左、右两部分;经过n次的迭代运算后,输出2W位的密文。其中每次迭代的密钥由原始密钥K经过子密钥生成运算产生子密钥集{k1,k2,…,kn},且上一次迭代运算的结果作为下一次运算的输入。
数据加密标准(DES)采用feistel分组密码结构。大致可分为:初始置换,迭代过程,逆置换和,子密钥生成7、DES中的S盒计算:将48比特压缩成32比特
输入6比特:b1b2b3b4b5b6
输出4比特:S(b1b6 ,b2b3b4b5)
8、DES中CBC模式的优良特性
由于加密分组链接模式中每一组数据组和前一组数据组对应的密文异或运算后作为加密运算模块的输入,因此即使密钥相同的两组相同数据组加密运算后产生的密文也不会相同,增加了加密算法的安全性。
9、RSA公钥加密体制
公开密钥: PK={e, n}
秘密密钥: SK={d, n}
加密过程:把待加密的内容分成k比特的分组,k≤ log2n,并写成数字,设为M,则:C=Memodn
解密过程:M = Cdmodn
密钥产生:
1.取两个大素数 p, q , pq, 保密;
2.计算n=pq,公开n;
3.计算欧拉函数ф(n)=(p-1)(q-1);
4.选择整数e,使得 e与ф(n)互素;0 5.计算求满足ed=1 mod(n)的d.将d 保密,丢弃p, q10、Diffie-Heilman密钥交换算法 系统参数产生 1.)取大素数 p,2.)计算对应的本原元,公开(p, ); 用户A取整数XA,计算YA=axa mod p 公告YA给用户B; 用户A取整数XB,计算YB=a xb mod p 公告YB给用户A; KA=YBxa mod p,KB=YAxb mod p,KA=KB11、认证中心的作用及证书的表示 认证中心的作用是证明公钥和用户的绑定关系 证书的表示:1)用明文方式规定的用于确认公钥PKB和用户B之间绑定关系的证明 2)用认证中心的私钥SKCA对上述明文的提出报文摘要进行解密运算后生成的密文Dskca(MD(P)).证书的主要内容包括:版本、证书序号、签名算法标识符、签发者名称、起始时间、终止时间、用户名称、用户公钥信息、签发者唯一标识符、用户唯一标识符、扩展信息、Dskca(MD(P)).12、Kerberos认证系统的组成 认证服务器---------------身份认证, 通行证签发服务器------获取服务通行证,确认客户是否授权访问某个应用服务器 应用服务器---------------访问服务器 13、安全协议层 TLS(运输层安全协议)运输层 IPSec网络层 802.1x(基于端口的接入控制协议)数据链路层(?) 14、EAP(扩展认证协议)的特点P65 与应用环境无关的、用于传输认证协议消息的载体协议,所有应用环境和认证协议都和这种载体协议绑定 15、IPSec体系结构P75 IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括认证首部协议 Authentication Header(AH)、封装安全净荷协议Encapsulating Security Payload(ESP)、安全关联和密钥管理协议Internet Security Association and Key Management Portocol(ISAKMP)和用于网络认证及加密的一些算法 1)安全关联:用于确定发送者至接收者传输方向的数据所使用的加密算法和加密密钥、MAC算法和MAC密钥和安全协议等。安全关联用安全参数索引SPI、目的IP地址和安全协议标识符唯一标识; 2)AH:认证首部的作用是认证发送者,数据完整性检测; 认证首部AH包含安全参数索引SPI,序号、认证数据等。 运输模式:在IP分组首部和净荷之间插入AH,封装成AH报文 隧道模式:在外层IP首部和净荷之间插入AH,封装成AH报文 3)ESP;ESP的作用是实现保密传输、发送者认证和数据完整性检测 ESP首部包含安全参数和序号 ESP尾部包含填充数据、8位填充长度字段和8位下一个首部 运输模式:在IP分组首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 隧道模式:在外层IP首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 4)ISAKMP;ISAKMP的作用:一是认证双方身份,当然,每一方在认证对方身份前,应 该具有授权建立安全关联的客户名录。二是建立安全关联,建立安全关联的过程是通过协商确定安全协议、加密密钥、MAC密钥和SPI的过程; 16、TLS协议的体系结构P60 握手协议参数切换协议报警协议TLS记录协议 TCP IP 第四章 安全网络技术 1、IPSec协议为什么不适用端点之间的身份认证?P92 路由协议是基于IP的高层协议,在它建立终端之间的传输路径前,终端之间并不能实现端到端传输,所以IPSec协议并不适合用于实现传输路由消息的两个端点之间的身份认证和路由消息的完整性检测,需要开发专用技术用于解决路由消息的正确传输问题。 2、信息流的管制在SYN攻击中的应用 信息流管制的方法是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。 SYN泛洪攻击是指黑客终端伪造多个IP,向Web服务器建立TCP连接请求,服务器为请求分配资源并发送确认响应,但是这些确认响应都不能到达真正的网络终端。因此只要在边缘服务器中对接入网络的信息流量进行管制,就能有效地抑制SYN攻击。 3、NATP106 NAT(Network Address Translation),网络地址转换,在边缘路由器中实现的本地IP地址和全球IP地址之间的转换功能。 第五章 无线局域网安全技术 1、解决无线局域网安全问题的方法?P116 认证:解决接入控制问题,保证只有授权终端才能和AP通信,并通过AP接入内部网络; 加密:解决终端和AP之间传输的数据的保密性问题 2、WEP安全缺陷 ……P121-125 共享密钥认证机制的安全缺陷 一次性密钥字典; 完整性检测缺陷; 静态密钥管理缺陷3、802.11i的两种加密机制P125 临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP) 计数器模式密码块链消息完整码协议(CTR with CBC-MAC Protocol,CCMP) 4、802.1x认证机制P131-136 双向CHAP认证机制…… EAP-TLS认证机制…… 动态密钥分配机制…… 第六章 虚拟专用网络 1、专用网络与虚拟专用网络的区别: P141-142 专用网络----费用昂贵、协商过程复杂、利用率低; 网络基础设施和信息资源属于单个组织并由该组织对网络实施管理的网络结构;子网互联通过(独占点对点的专用链路)公共传输网络实现。 虚拟专用网络----便宜,接入方便,子网间传输路径利用率较高 通过公共的分组交换网络(如Internet)实现子网之间的互联,并具有专用点对点链路的带 宽和传输安全保证的组网技术。 2、基于IP的VPN结构P143 在IP网络的基础上构建的性能等同于点对点专用链路的隧道,并用隧道实现VPN各子网间的互联。根据隧道传输的数据类型可分为IP隧道和第2层隧道,IP隧道传输IP分组,第2层隧道传输链路层帧。 3、VPN的安全机制:IPSecP147-148 IP分组和链路层帧在经过隧道传输之前,在隧道两端建立双向的安全关联,并对经过隧道舆的数据进行加密、认证和完整性检测,即IPSec 加密:保证数据经过IP网络传输时不被窃取 认证:保证数据在隧道两端之间的传输 完整性检测:检测数据在传输中是否被篡改 4、VPN需实现的功能P149 1)实现子网之间使用本地IP地址的ip分组的相互交换; 2)实现隧道的封闭性、安全性,使外部用户无法窃取和篡改经过隧道传输的数据 第七章 防火墙 1、防火墙的功能P173 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备,尤其适用于内部网络和外部网络之间的连接处。 服务控制:不同网络间只允许传输与特定服务相关的信息流。 用户控制:不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。2网络防火墙的位置:内网和外网和连接点 3、单穴与双穴堡垒主体结构和性质区别P190-191 单穴堡垒主机只有一个接口连接内部网络; 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问; 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。 双穴指堡垒主机用一个接口连接内部网络,用另一个接口连接无状态分组过滤器,并通过无状态分组过滤器连接外部网络;这种结构保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问; 4、统一访问控制的需求及实现(?)P193-195 需求: (1)移动性---终端用户不再固定到某一个子网; (2)动态性---终端用户的访问权限是动态变化的; (3)访问权限的设置是基于用户的统一访问控制:在网络中设置统一的安全控制器,实施动态访问控制策略的网络资源访问控制系统。由UAC代理、安全控制器和策略执行部件组成。 第八章 入侵防御系统 1、入侵防御系统的分类P205-206 入侵防御系统分为主机入侵防御系统和网络入侵防御系统 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程,以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施反制过程,以此保 护重要网络资源; 2、主机入侵防御系统的工作原理及目的P223-224 工作原理:首先截获所有对主机资源的操作请求和网络信息流,然后根据操作对象、系统状态、发出操作请求的应用进程和配置的访问控制策略确定是否允许该操作进行,必要时可能需要由用户确定该操作是否进行。 目的:防止黑客对主机资源的非法访问 4、网络入侵防御系统的工作过程 1) 2) 3) 4)报警; 5) 第九章 网络管理和监测 1、网络管理的功能P231 故障管理 计费管理 配置管理 性能管理 安全管理 2、网络管理系统结构P232 由网络管理工作站、管理代理、管理信息库(MIB)、被管理对象(网络管理的基本单位)和网络管理协议(SNMP)组成。 3、SNMP SNMP的功能是在管理工作站和管理代理之间传输命令和响应 4、网络性能瓶颈P244 1)监测过载结点 2)分析流量组成3)限制终端流量 第十章 安全网络设计实例 1、网络安全主要的构件 P247-248 接入控制和认证构件 分组过滤和速率限制构件 防火墙 入侵防御系统 VPN接入构件 认证、管理和控制服务器 2、安全网络设计步骤P248-249 1)确定需要保护的网络资源---只对网络中重要且容易遭受攻击的网络资源实施保护; 2)分析可能遭受的攻击类型; 3)风险评估----使设计过程变得有的放矢; 4)设计网络安全策略; 5)实现网络安全策略; 6)分析和改进网络安全策略。 第十一章 应用层安全协议 1、彻底解决Web安全需要什么?---构建网络安全体系P2592、网络体系结构中安全协议P259-260 网络层---IPSec:在网络层上实现端到端的相互认证和保密传输 运输层---TLS:在运输层上实现端到端的相互认证和保密传输 应用层---SET:安全电子交易协议,实现网络安全电子交易 3、SET的组成: (a)持卡人; (b)商家; (c)支付网关; (d)认证中心链; (e)发卡机构; (f)商家结算机构。 4、数字封面的设计原理…… P265-266 用指定接收者证书中的公钥加密对称密钥,结果作为数字封面 数字封面=EPKA(KEY),E是RSA加密算法 5、双重签名原理及其实现 双重签名(DS)= DSKC(H(H(PI)||H(OI))); 双重签名: (1)双重签名的目的: 将每次电子交易涉及的购物清单OI和支付凭证PI绑定在一起; 商家A’----需要OI和PIMD=H(PI), 不允许获得PI; 支付网关G----需要PI和OIMD=H(OI), 不需要OI (2)持卡人用私钥SKC和公钥解密算法DSKC(.),生成双重签名 DS= DSKC(h’),h’=H(PIMD||OIMD); ----向商家发送{DS,OI,PIMD}; ----向支付网关发送{DS,PI,OIMD}; (3)用帐户C的公钥PKC和公钥加密算法EPKC(.),商家验证双重签名 EPKC(DS)= H(PIMD||H(OI)); (4)用帐户C的公钥PKC和公钥加密算法EPKC(.),支付网关G验证双重签名EPKC(DS)= H(OIMD||H(PI)); 6、PSG的功能 主要实现发送端认证、消息压缩、加密及码制转换等功能 7、防火墙在信息门户网站的配制 防火墙配置要求只允许内部网络用户访问门户网站,只允许门户网站发起对服务器的访问过程,以此保证内部网络用户必须通过门户网站实现对服务器的访问。 一、网络攻击和防御包括哪些内容 攻击性技术包括以下几个方面:1网络监听。自己不主动去攻击别人,而在计算机上设置一个程序,去监听目标计算机与其它计算机通信的数据。2网络扫描。利用程序去扫描计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。3网络入侵。当探测发现堆放存在漏洞后,入侵到目标计算机获取信息4网络后门。成功入侵目标计算机后,为了实现队战利品的长期控制,在目标计算机中种植木马风后门5网络隐身。入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。 防御技术:1安全操作系统和操作系统的安全配置。操作系统是网络安全的关键。2加密技术。为防止被监听和数据被盗取,将所有的数据进行加密3防火墙技术。利用防火墙,对传输的数据进行限制,从而防止被入侵4入侵检测。如果网络文件最终被突破,需要即时发出被入侵的警报5网络安全协议。保证传输的数据不被窃取和监听。 二、蜜罐:是一种计算机网络中专门被吸引并诱骗那些试图非法入侵他人计算机系统的人而设计的陷阱。设置蜜罐的目的主要用于被监听被攻击,从而研究网络安全的相关技术和方法。 三、DoS攻击 DoS攻击是一种实现简单但又很有效的攻击方式。攻击的目的是让被攻击的主机拒绝用户的正常服务访问,破坏系统的正常运行,最终使用户的部分internet链接和网络系统失效。最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。 四、为什么需要网络踩点:就是通过各种途径队所要。常见的踩点方式:在域名极其注册机构的查询,公司性质的了解,对主页进行分析,邮件地址的搜集和目标ip地址的查询。踩点得目的:探查对方的各方情况,确定攻击的时机。摸清对方最薄弱的环节,和首位最松散的时刻,为下一步的入侵提供良好的策略。 五、对称加密与非对称解密:在一个加密系统中,加密和解密用同一个密钥,叫对称加密,也叫单密钥加密。如果系统采用双密钥,两个相互关联的密码,一个加密,一个解密,叫非对称加密,攻钥加密。 六、在网络入侵中,将自己伪装成合法用户来攻击系统的行为,称为冒充。复制合法用户发出的数据,然后进行重发以欺骗接受者的行为称为重放。终止或干扰服务器,为合法用户提供服务的行为,称为服务拒绝。 七、在LAND攻击中,LAND报文中的原ip地址和目的的地址相同。 八、防火墙将网络分割成两部分,…即两个不同的安全域队伍接入int的局域网,…其中局域网属于可信赖的安全域,而int属于不可信赖的非安全域。 九、VPN系统中的身份认证技术包括:用户身份认证和信息认证两种类型。 十、PKI(公钥基础设施)是利用密码学中的公钥概符合标准的一整套安全基础平台。PKI能为各种不同安全需求的客户提供各种不同的网上安全服务所需要的密钥和证书。这些安全服务主要包括:身份识别与鉴别(认证),数据保密性,数据完整性,不可否认行性及时间戳服务等,从而达到网上传递信息的安全,真实,完整和不可抵赖得目的。PKI的技术基础之一是公开密钥体制,技术基础之二实加密机制。 十一、防火墙分路由模式和透明模式两类。当用防火墙连接同一网状的不同设备时,可采用用户身份认证防火墙,而用防火墙两个完全不同网络时,则需要使用信息认证防火墙。 十二、DNSSCE(域名系统安全扩展)是在原有的域名系统DNS上通过公钥技术对DNS信息进行数字签名,从而提供DNS的安全认证和信息完整性检验。发送方首先使用Hash函数,对要发送的DNS信息进行计算,得到固定长度的“”信息摘要,对信息摘要用私钥进行加密,此过程实现了对“信息摘要”的秋衣签名,最后将要发送到DNS信息,该DNS信息的“信息摘要”以及该信息摘要的数字签名,一起发送出来。接收方首先采用攻钥系统中的对应攻钥对接收到的信息摘要的数字签名进行解密,得到解密后的“信息摘要”、用与发送方相同的Hash函数对接收到的DNS信息运算,得到运算后的信息摘要。最后,对解密后的信息摘要和运算后的比较,如果两者值相同,就可以确认接收到的DNS信息是完整的,即是由正确的DNS服务器得到相应。 【补充】 1.在密码学中,密码算法对明文处理方式是不 同的,可把密码系统分为:序列密码和分组密码。 2.PKA 的技术基础包括:公开密钥体制和加密 体制。 3.DNS可同时调用TCP和UDP的53端口,其中 UDP53用于DNS客户端与DNS服务器的通信,而TCP53端口用于DNS区域间的复制。 4.和病毒相比,蠕虫的特点是消耗计算机内存 和网络带宽。 5.DNS的缓存中毒:DNS为提高查找效率,采 用了缓存机制,把用户查询过的最新记录放在缓存中并设置生存周期。缓存中的记录一旦被查询DNS服务器可将记录直接反给客户端。DNS缓存中毒是在缓存中存入大量错误数据记录,这些记录是攻击者伪造的由于DNS服务器之间会进行记录的同步复制,因此生存周期内缓存中毒的DNS服务器可能将错误的记录发给其他DNS服务器。6.机密性:确保信息不暴露给未经授权的人和应用进程。完整性:只有得到允许的人或应用进程才能修改数据并且能判断出数据是否被修改。可用性:只有得到授权的用户在需要时才能访问数据。可控性:能够为授权范围内的信息流向和行为方式进行控制。7.PMI(授权管理基础设施):PMI以资源管理为核心,对资源访问控制权统一交由授权机构处理,PMI能与PKI紧密集成并系统的建立起对认可用户的特定授权,对权限管理进行系统的定义和描述,完整的提供授权服务所需过程。8.防火墙:设置在不同网络之间或网络安全域之间的一系列的部件的组合,通过检测、限制、更改进入不同网络或不同安全域的数据流,尽可能的对外屏蔽网络内部的信息结构和运行状况,以防止发生不可预测的潜在破坏性的入侵,实现网络的安全保护。9.UPN(虚拟专用网):UPN是利用Internet等公共网络的基础设施,通过隧道技术为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接,其中虚拟是指用户不需要建立自己专用的物理线路,而是利用因特网资源建立一条逻辑上的专用数据通道,专用网络是指这一虚拟出来的网络,不是任何连在公共网络上的用户都可使用的,只有经过授权的用户才可以使用,且传输的数据经过了加密和认证,保证了传输内容的完整性和机密性。10.个人防火墙的只要功能和应用特点:防火墙是指设置在不同网络之间或网络安全域之间的一系列的部件的组合,通过检测、限制、更改进入不同网络或不同安全域的数据流,尽可能的对外屏蔽网络内部的信息结构和运行状况,以防止发生不可预测的潜在破坏性的入侵,实现网络的安全保护。个人防火墙是依靠安装在个人计算机上的软件系统,它能够监视计算机的通信状况,一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接,以此实现对个人计算机上重要数据的安全保护,个人防火墙是在企业防火墙的基础上发展起来的采用的技术,也与企业防火墙基本相同,但在规则的设置防火墙的管理等方面,进行了简化,使非专业的普通用户能够容易的安装和使用,为了防止安全威胁对个人计算机产生的破坏个人防火墙主要功能如下:防止因特网上的用户攻击;阻断木马及其他恶意软件的攻击;为移动计算机提供安全保护与其他安全产品进行集成。11.有关拒绝服务攻击(DoS)的实现方法:DDoS(分布拒绝服务攻击)攻击是利用一批受控制的主机向一台主机发起攻击,其攻击的强度和造成的威胁要比DoS攻击严重的多,破坏性也更强,在整个DDoS攻击中共有四部分组成:攻击者;主控端;代理服务器和被攻击者。攻击者是指整个DDoS攻击的主控台负责向主控端发攻击命令,主控端是攻击者非法侵入并控制的一些主机,通过这些主机再分别控制大量的代理服务器,代理服务器也是攻击者侵入并控制的一批主机,同时攻击者也需要再入侵这些主机并获得对这些主机的写入权限后在上面安装并运行攻击程序,接收和运行主控端发来的命令。被攻击者是DDoS攻击的对象,多为一些大型企业的网站和数据库系统。 教学内容信息与网络安全课型新课 教学 目 标知识 与技能让学生了解网络安全的重要性、计算机病毒、病毒的特点和传播方式等内容。过程 与方法:通过举例讲解让学生了解网络安全和计算机病毒相关知识。 情感态度 与价值观:通过本部分内容的了解,培养学生文明上网的意识。 教材分析 本节内容主要讲解网络安全的相关内容。 教学流程教师指导学生活动设计意图 一、课前准备 二、引入: 三、教学过程:概述,网络中的信息。 今天我们就来看看信息与网络安全。 1、计算机病毒是怎么回事。让学生倾听网络中的信息,并回答教师相关问题。 学生倾听 学生倾听并并在老师的引导下说出自己遇到过“怪异”情况。让学生对信息与网络安全有大概的了解。 引入 让学生明白计算机病毒无处不在。 复习总结 第一章 信息安全概述 1.信息安全、网络安全的概念对信息的安全属性的理解;常见的安全威胁有哪些?信息安全保障(IA)发展历史信息保障(IA)的定义 第二章 我国信息安全法律法规和管理体制(了解) 第三章 密码学基础 1.按照密钥的特点对密码算法的分类 对称密码算法的优缺点;非对称密码算法的优缺点; 2.基于公钥密码的加密过程;基于公钥密码的鉴别过程 3.密钥管理中的主要阶段 4.哈希函数和消息认证码;消息认证方案 5.数字签名、数字信封的原理 第四章 密码学应用(PKI和VPN) (一)PKI 1.PKI、CA定义 2.SSL协议的工作流程 3.SSL在网络购物、电子商务、电子政务、网上银行、网上证券等方面的应用 (二)VPN 1.VPN概述 --为什么使用VPN --什么是VPN --VPN关键技术(隧道技术、密码技术、QoS技术) --VPN分类(Access VPN和网关-网关的VPN连接) 2.IPSec 的组成和工作原理 IPSec安全协议(ESP机制、传输模式与隧道模式的特点及优缺点;AH、传输模式与隧道模式的特点) 3.VPN的安全性 第五章 访问控制与审计监控 1.访问控制模型 (1)自主访问控制模型(DAC Model) -----访问控制的实现机制:访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表 (2)强制访问控制模型(MAC Model) -----Bell-LaPadula模型、Biba模型 (3)基于角色的访问控制模型 2.安全审计的内容和意义 3.防火墙的功能、防火墙的局限性 4.防火墙的分类(个人防火墙、软件防火墙、一般硬件防火墙和纯硬件防火墙的特点、典 型应用)防火墙的体系结构 分组过滤路由器、双宿主机、屏蔽主机和屏蔽子网的特点、优缺点防火墙的实现技术 数据包过滤、代理服务和状态检测技术的工作原理/过程、优缺点; 第六章 入侵检测技术 1.IDS基本结构(事件产生器、事件分析器、事件数据库和响应单元) 2.入侵检测技术 (1)异常检测技术的原理和优缺点 (2)误用/滥用检测技术的原理和优缺点) 第七章 病毒防护技术概述(计算机病毒定义、特征、传播途径和分类) 恶意代码:特洛伊木马的攻击步骤、特征和行为、传播途径;计算机蠕虫的主要特点、组成 2 病毒原理 计算机病毒的逻辑结构 传统病毒、引导型和文件型病毒的工作流程 宏病毒及其特点、机制、工作流程 网络病毒的特点、种类、传播方式病毒技术(寄生技术、驻留技术、加密变形技术、隐藏技术)反病毒技术 计算机病毒检测技术、计算机病毒的清除、计算机病毒的免疫、计算机病毒的预防 第八章 网络攻击与防范 1.典型的网络攻击的一般流程 2.常见的网络攻击的手段和攻击原理举例 第九章Windows 操作系统安全和Web安全(做实验) 第十章 补充内容 1.业务连续性计划(了解) 数据备份技术(做实验) 灾难恢复技术 安全应急响应安全管理(了解) 风险评估 人员和机构管理 信息安全管理标准信息系统安全方案设计方法(理解)(写报告:XXXXX信息系统安全方案设计) 1)信息系统基本结构及资源分析,包括:网络结构、资源分析(硬件、软件和数据资源; 服务与应用) 2)安全风险分析(资源分析、脆弱性分析、威胁分析) 3)安全需求分析 方法:(1)按对信息的保护方式进行安全需求分析 (2)按与风险的对抗方式进行安全需求分析 4)系统安全体系 (1)建立安全组织体系: 安全组织建立原则、安全组织结构、安全组织职责 (2)建立安全管理体系: 法律管理、制度管理、培训管理 5)安全解决方案 (1)物理安全和运行安全 (2)网络规划与子网划分(网络拓扑) (3)网络隔离与访问控制 (4)操作系统安全增强 (5)应用系统安全 (6)重点主机防护 (7)连接与传输安全 (8)安全综合管理与控制 //////////////////////////////////////////////////////////////////////////// 报告格式: XXXXX信息系统安全方案设计 一、XXXXX安全背景与现状 1.某单位组织机构和信息系统简介 包括哪些部门,具有什么职能,需要保护的相关数据有哪些等等,对信息系统的使用情况说明。 2.用户安全需求分析 日常情况下,该单位各部门在使用信息系统时,会有哪些安全隐患? 3.描述所面临的主要风险(如:页面被篡改、在线业务被攻击、机密数据外泄等) 二、安全需求分析 (1)按对信息的保护方式进行安全需求分析 (2)按与风险的对抗方式进行安全需求分析 三、安全解决方案 (1)物理安全和运行安全 (2)选择和购买安全硬件和软件产品(防火墙、入侵检测系统、防病毒软件、扫描软件) (3)网络规划与子网划分(画:网络拓扑图) (4)网络隔离与访问控制(防火墙的正确配置) (5)操作系统安全增强(操作系统补丁升级) (6)应用系统安全(漏洞扫描) (7)重点主机防护 (8)连接与传输安全 (9)安全综合管理与控制 四、安全运维措施(业务连续性计划) (1)数据备份(选择哪种数据备份技术、安排备份计划、信息备份和设备备份) (2)日志审计和备份 (3)制定灾难恢复 (3)制定安全应急响应 可供选择的题目: 应用案例一:某市某机关单位 应用案例二:某校园网 应用案例三:国家某部委全国信息网络系统 应用案例四:电子政务安全应用平台 …………………………………………………………………等等 信息安全导论论文 论文标题:网络安全与防护 班级:1611203班 姓名:刘震 学号:16112032 4网络安全与防护 摘要: 网络已经成为了人们生活中不可缺少的重要元素,没有了网络,人们现代化的生活将会出现很大的不便。但是网络出现的安全性问题不禁令人担忧,对于愈发依赖于网络的人们,我们应该怎么避免出现安全性问题呢? 提出问题: 随着电子信息业的发展,Internet正越来越多地离开了原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用也已经渗透到金融、商务、国防等关键的要害。因此,网络安全包括其上的信息数据安全和网络设备服务的安全运行,已经成为国家、政府、企业甚至个人利益休戚相关的事情。所以,如何保障网络安全,俨然成为了现代计算机发展中一个重要的话题。分析问题: 一、网络发展的现状 我们幸运的生长在一个网络时代,虽然从计算机诞生到现如今不到70年的时间,但是在这短短的70年时间内,计算机的发展史超乎想象的,从最初的需要占用几个房间的原始计算机到现在随身可以携带的笔记本,计算机已经普及到了平常的老百姓家。而计算机网络的发展相对于计算机的历史来说则更是短的多,然而网络给人们带来的方便和快捷却是之前人类的任何一项技术都不能比拟的。现如今,网络早已渗透到各个领域,如网上银行,网上购物,上网查询资料,看电影,听音乐,现在更是出现了云空间,可以将用户的文件上传并且存储,在需要时,只要有网络便可以轻松下载,随时随地可以获得自己想要的信息。可以说,如果现在没有了网络,我们的生活会在一段时间内变得一塌糊涂,毕竟现在的人们太过依赖于网络。 二、信息泛滥的信息时代 俗话说的好,网络是一把双刃剑。目前,网络上的色情内容泛滥,已引起广泛的社会关注,利用互联网向儿童传播色情和诱导儿童犯罪等现象日趋严重。同时,网络游戏也是导致学生荒废学业的一个重要原因。 以上所说的只是网络负面影响的一部分而已,可以说网络上的不良信息多如牛毛,而他们的传播对象多为没有抵抗力的学生,甚至有学生在网上玩暴力游戏之后在现实生活失控的案例。 三、病毒泛滥的信息时代 网络病毒在计算机网络普及的现代早已经不是什么新鲜的名词了,但是对它们的历史却是很少有人了解。 从1982年攻击个人计算机的第一款全球病毒诞生到现在已经有了31年的时间,在这些年间,病毒的种类和破坏方式不断的翻新。 2000年,一个叫做“爱虫”的病毒就以极快的速度感染了全球范围内的个人计算机系统。这是一种蠕虫类脚本病毒,通过电子邮件附件进行传播,对电子邮件系统产生极大的危害。该病毒在数小时内就感染了大量的个人计算机,几乎 使得整个计算机网络瘫痪。 2001年,在PC机迎来它20岁生日的时候,“CAM先生”和“红色代码”病毒侵袭了全球的计算机系统,在短短数天的时间里已经让美国损失了近20亿美元。同年,美国将近数百万的电脑被“求职信”病毒攻击导致瘫痪。 2003年,电脑病毒“冲击波”突袭,全球混乱。2004年,又出现了“震荡波”,并且由于其较大的破坏性,被人们戏称为“毒王”。 再说说国内此时的情况。21世纪初期是我国计算机用户急速增长的一个时间段,但是由于中国新增的用户网络安全意识较差,导致国内地域化的病毒爆发频繁。就比如2007年的“熊猫烧香”,它会使所有的程序图标都变成“熊猫烧香”,并使其不能运行,更可恶的是,该病毒还会删除扩展名为“gho”的文件,使用户无法使用ghost软件恢复操作系统。 进入2008年,一种利用系统漏洞从网络入侵的病毒——“扫荡波”开始蔓延。它的快速传播带有一定的讽刺性,当时恰逢微软打击盗版系统的黑屏事件,大批用户关闭了系统的自动更新功能,从而让该病毒有机可乘。 有金山云安全检测中心与2010年1月4日发布的最新数据显示,仅元旦三天,互联网新增的病毒、木马数已经接近50万。在元旦的前后一个月时间里,全球业已有7.5万台电脑感染“僵尸”病毒,还有80万电脑受到感染的“隐身猫”病毒。 四、网络隐患的原因 1.现代网络速度快并且规模大。当今的网络传播的媒介已经不像网络刚刚诞生时那样的单一,现在的网络通过光纤传播,有的容量甚至已经达到了3.2Tbps!同时,现在的网络也四通八达的,在国内任何一个网站都可以轻松的找到(国外的需要翻墙),感染病毒的概率也因此增大。 2.方案设计的问题。在实际的网络布线中,不可能像理论的那么完美,经常会出现一些为了实现某些异构网络间信息的通信,往往会牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。但有些特定的环境会有特定的安全需求,所以不存在可以通用的设计方案。如果设计者的安全理论与实践水平不够的话,他设计出来的方案可能会出现很多的漏洞。 3.系统的安全漏洞。随着软件系统规模的扩大,系统的安全漏洞也不可避免。就算是微软这样的国际型的公司设计出来的标志性产品windows操作系统,也必须不断的更新来弥补系统原先的漏洞,而且就算更新也不可能将系统的漏洞完全杜绝。不仅仅是操作系统,还有我们应用的软件,他们之所以在不断的更新也是为了弥补其中的漏洞。而软件或者系统漏洞的出现可能只是因为程序员的一个疏忽,设计中的一个小缺陷而已。 4.网络协议的安全问题。因特网最初设计考虑时该往不会因局部的故障而影响信息的传输,因此基本没有考虑过安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在严重的不适应性。同时,作为因特网核心的TCP/IP协议更存在着很大的安全隐患,缺乏强健的安全机制,这也是网络不安全的主要因素之一。 5.人为因素。计算机病毒不会凭空而生,其根本原因还是在于人。而人为因素也存在以下两种。 (1)人为的无意失误。比如说操作员安全配置不当,用户的安全意识不强,用户口令选择不慎,或者用户将自己的账号轻易借给他人或与别人共享,这些行为都有可能给网络安全带来威胁。 (2)人为的恶意攻击。黑客这个词大家想必也不陌生,但是真正了解他们的人也不多。在普通的计算机用户眼中,他们或许是一群神秘的人,他们拥有着常人无法达到的计算机技术,只是他们用他们的技术来干一些违法的事情,比如侵入别人的电脑,盗取用户信息,或者侵入公司的数据库,盗取有用资料卖给敌对的公司,更有甚者侵入国家安全部门盗取国家机密!黑客的攻击分为主动攻击和被动攻击。主动攻击是以各种方式有选择地破坏信息的有效性和完整性,而被动攻击则是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。黑客活动几乎覆盖了所有的操作系统,包括windows,Unix,Linux等等。而且黑客的攻击比病毒攻击更具有目的性,因此也更具有危害性。同时,网络犯罪的隐蔽性好,并且杀伤力强,因此成为网络安全的主要威胁之一。 6.管理上的因素。网络系统的严格管理是企业、机构以及用户免受攻击的重要措施。但是事实上,很多的企业、用户的网站或系统都疏于安全方面的管理。在美国,很多公司对黑客的攻击准备不足,甚至还有可能是公司的内部人员泄露机密,这样对公司造成的损失是不必要的,如果企业加强安全管理,就可以避免这些不必要的损失。 五、网络攻击常用技术 1.口令的破解。这是黑客常用的方法之一,也是黑客利用系统通常没有设置口令或者口令设置的不科学、太简单,来轻易的侵入系统。具体的方法有穷举法,字典发,缺省的登陆界面攻击法等等。 2.计算机病毒攻击法。这是一种较为常见的攻击方法,从计算机网络诞生到现在,影响巨大的计算机病毒攻击事件不胜枚举。特别闻名的有“爱虫”,“梅丽莎”,“熊猫烧香”等等。 3.拒绝服务攻击。这是新的一种黑客攻击方法,黑客采用“无法向用户提供服务”的攻击方式,向各大网站发送了及其大量的信息(垃圾邮件),致使这些网站的计算机无法容纳,从而是用户无法进入网站。 4.网络监听。这亦是黑客们常用的工具。网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息已明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。 5.特洛伊木马。这是一种将木马程序植入到系统文件中,用跳转指令来控制木马。其传播方式有e-mail传播,和将木马程序捆绑在软件的安装程序上,在用户不知情的情况下下载安装,便可将木马程序安装到用户的计算机上。 6.后门以及缓冲区溢出。任何系统都是有bug的,即使是微软的Windows。黑客会对Windows系统Cmd.exe的访问权限进行攻击,就可以获得一般用户的身份及权限。不过系统漏洞一旦被发现,生产商就会立即发补丁纠正,所以一般不会有流传很广或者能够使用很长时间的系统漏洞。 解决问题 对于上述网络安全隐患,我认为真正的解决方法,也就是完全消除网络安全隐患的方法是不存在的,除非你拔出网线,这辈子都不在与互联网打交道,否则的话,你就需要面对网络的安全隐患。但是对于安全的问题,我想应该是可以不断的优化的。 对于网络布线方案的设计,人们在不断的寻找最优解。虽然也许不存在这样的最优解,但是我想只要是优秀的设计师,应该可以统筹兼顾。 至于系统的安全漏洞,我只想说,人无完人,一个庞大的系统,不出现漏洞 是不可能的,尤其是我们在编写代码的时候还需要考虑机器的情况,为了适应机器,可能会不得已的使用一些算法,从而造成一些漏洞。或者是相反的情况,有的时候计算机的硬件虽然可以跟得上,但是我们还没有一个好的算法来实现某些问题,所以不得不用有漏洞的那些算法,所以说我们对于某些算法的优化做的还不是很好,在未来或许会出现很多非常优秀的算法,这样也可以避免掉一些系统的漏洞。 而对于黑客,我们可以用法律来强制性的限制他们。或者在平时加强对计算机人员的思想道德教育,让黑客认识到他们所作的会给人们带来怎样的损失。 但是这些都只是从主观上来降低网络安全隐患,从客观上来说,我们需要做到以下几点: 1.硬件系统的安全防护。在物理设备上进行必要的设置,避免黑客获得硬件设备的远程控制权指的是安全设置安全。比如加载严格的访问列表,口令加密,对一些漏洞端口禁止访问等。 2.防火墙技术。在网络的访问中,有效拦截外部网络对内部网络的非法行为,可以有效保障计算机系统安全的互联网设备就是防火墙。入侵者想要侵入用户的电脑必须经过防火墙的防线,用户可以将防火墙配置成多种不同的保护级别。一个好的防火墙可以再很大的程度上阻止黑客的入侵。但是世上没有不透风的墙,再好的防火墙也会有被发现漏洞的一天,所以防火墙一定要及时更新。 3.漏洞的修补。计算机软件生产厂商一旦发现自己发布的软件出现漏洞的话,应该做到对漏洞进行安全分析,并且及时发布补丁,以免漏洞被不法分子利用,造成不必要的损失。 4.加强网络安全管理。网络需要一套完整的规章制度和管理体制,并且要加强计算机安全管理制度的建设。同时还要加强网络相关技术人员安全知识教育,对技术员和网络管理员的职业道德与专业操作能力要不断的加强。对于企业计算机网络的安全,各企业需要与相关技术人员签订保密协议,并根据公司的规定做好数据备份。最主要的是要对相关人员加强安全知识教育,鼓励相关人员持证上岗,加强他们的只是储备,并强化实践学习。 总结 网络时代的网络也是日新月异。从之前的物理传输变成了现在的无线传输,wifi和平板即将成为未来一段时间的主潮流。网络的发展其安全问题必然十分重要,但是在未来那个wifi开放的时代,应该怎样保证网络的安全,这也是一个重要的问题。 通过这门课的学习,我也大概了解了我所学习的专业所需要掌握的知识以及其重要性,希望通过日后的学习能够加强我的个人能力,为信息安全作出一些贡献。 参考文献: 《身边的网络安全》 机械工业出版社 王彬 李广鹏 史艳艳编著2011年出版 《网络安全》 东北财经大学出版社薛伟 史达编著2002年出版 《浅谈互联网网络安全隐患及其防范措施》网络文档 百度百科 计算机网络第二篇:信息与网络安全[最终版]
第三篇:信息与网络安全教案
第四篇:信息安全复习总结内容
第五篇:信息安全导论论文——网络安全
点击咨询 