计算机网络信息安全.docVIP

信息安全：防止信息网络的硬件、软件及其系统中的数据，不受偶然或者恶意的破坏、更改、泄露，使系统连续可靠正常地运行。 网络安全：计算机网络环境下的信息安全，包括网络的系统安全和信息安全。 信息的安全需求 保密性：对信息资源开放范围的控制。 完整性：保证计算机系统中的信息处于完整或未受损的状态。 可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。 可审查性：对出现的网络安全问题提供调查的依据和手段。 抗抵赖性：任何的发生的行为，事后都能被证实。 网络不安全因素 自身缺陷：物理安全缺陷、逻辑安全缺陷、操作系统安全缺陷、协议本身的缺陷。 开放性：业务基于公开的协议、远程访问使得各种攻击无需到现场就能得手。 黑客攻击：利用各类工具、病毒等对主机进行非法操作。 入侵过程 第一步：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。 第二步：针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。 第三步：利用获得的权限在主机上安装后门、跳板、控制端、监视器等等，清除日志。 密码算法：DES（数据加密标准）、RSA（公开密钥体制，著名的数字签名算法）、ECC（椭圆曲线离散对数密码体制）。 PDRR安全模型 保护（Protect）：采用一切手段保护信息系统的五大特性。 检测（Detection）：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击。 响应（Response）：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低。 恢复（Recovery）：及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径。 网络攻击：利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。 拒绝服务攻击DoS(Denial of Service)：是个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统和信息的合法访问的攻击。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 密码学：是研究信息系统安全保密的科学。 密码编码学：主要研究对信息进行编码，实现对信息的隐蔽。 密码分析学：主要研究加密消息的破译或消息的伪造。 对称加密算法：加密和解密使用相同密钥的加密算法。 非对称加密算法：加密和解密使用不同密钥的加密算法（加密解密速度没有对称加密解密的速度快）。 公开密钥的应用 算法 加/解密 数字签名 密钥交换 RSA 是 是 是 DSS 否 是 否 Dieffie-Hellman 否 否 是 散列函数 概念：以一个变长的报文作为输入，并产生一个定长的散列码作为输出。 特点：a、输入长度任意 b、输出长度固定 c、对于给定输入，计算输出散列值是容易的 d、给定散列函数的描述，找到两个不同的输入消息散列到同一个值计算上是不可行的 由RSA公司发明的MD5算法就是用的散列函数。 消息认证 概念：用来保护通信双方免受第三方的攻击。 认证方案：发送方将消息和认证密钥输入认证算法，得到消息的认证标签，将消息与认证标签一起发送，接收方将同样的认证密钥和收到的消息输入认证算法，检验计算结果是否与收到的认证标签相同，若相同，则认为消息未被篡改，否则认为消息补篡改。 PKI（Public Key Infrastructure ）公钥基础设施 概念：是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 组成：注册机构（RA）、认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口 双重宿主主机体系结构（Dual-Homed Host Architecture ） 被屏蔽主机体系结构（Screened Host Architecture ） 被屏蔽子网体系结构（Screened Subnet Architecture ） 防火墙特点： 所有的从外部到内部或内部到外部的通信都必须经过它． 只有被内部访问策略授权的通信，才能被允许通过． 系统本身具有很强的可靠性． 隔离技术 物理隔离： 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。 在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备，内部网与外部网信息要分开存储。 逻辑隔离：物理上有连接，但采用一定的技术实现在网络层次结构上的高层隔离。 扫描技术 漏洞起因： 操作系统和软件的庞大，导致对代码安全性考虑难以周全，开发群体规模大，各开发组的合作、接口的一致性，人员离职的后继出现问题，接手者没有完全理解程序。