息安全复习.pptVIP

第四章-考试重点 侧重基本概念及理解基本过程 约10-20分 主要题型：选择、简答、问答 SSL协议 连接和会话的关系 连接是传输层中的概念。 SSL会话联系客户端和服务器，由SSL握手协议建立，制定一系列加密的安全参数。这些安全参数可被连接多次使用。 连接是短暂的，对应一个会话，而一个会话可被多次连接使用。 SSL 握手协议 SSL记录协议 SSL 告警协议 SSL修改密文协议 Set协议 * IPSec 协议 －2 IPSec的安全体系结构 体系结构 安全封装载荷(ESP)协议 (ESP)协议 认证头(AH)协议 认证算法 加密算法 解释域DOI 密钥管理 定义IPSec技术的一般性概念、安全需求、定义和机制 插入IP数据包内的ESP协议头。机密性、数据完整性、数据源认证和抗重传攻击 插入IP数据包内的AH协议头。数据完整性、数据源认证和抗重传攻击 互联网密码管理协议IKMP 第五章-考试重点 侧重分析理解 约15-25分 主要题型：选择、简答、分析 * 4包过滤的设置 按地址过滤 下面是一个最简单的数据包过滤方式，它按照源地址进行过滤。如认为网络202.110.8.0是一个危险的网络，那么就可以用源地址过滤禁止内部主机和该网络进行通信。 * 4包过滤的设置 按服务过滤 例如，假设安全策略是禁止外部主机访问内部的E-mail服务器(SMTP，端口25)，允许内部主机访问外部主机。 无疑按服务过滤的安全性要比单纯按地址过滤高。 * 说明： 规则按从前到后的顺序匹配，字段中的“*”代表任意值，没有被过滤器规则明确地允许的包将被拒绝。 就是说，每一条规则集都跟随一条含蓄的规则，就像表中的规则C：没有明确允许的就被禁止。 任何一种协议都是建立在双方的基础上的，信息流也是双向的，所以在考虑允许内部用户访问Internet时，必须允许数据包不但可以出站而且可以入站。同理，若禁止一种服务，也必须从出站和入站两个方面制定规则，这就是在后面的规则列表中，规则总是成对出现，而且总是成对讲解的原因。 * ACK在数据包过滤中的作用 例，若只允许客户端建立一个从内部到因特网上服务器的telnet会话，但不允许反向建立。 所有的TCP/IP客户程序都使用大于1023的随机分配端口号。1024以下的端口保留为服务器上的服务所用。 信息安全复习 题型分布 选择题（10题*1分） 简答题（8题*5分） 分析计算题（5题，50分） 第一章-考试重点 侧重基本概念 约5分 主要题型：简答题、选择题 网络信息系统安全的目标 网络信息系统安全的目标 保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 抗否认性（Non-repudiation） 可控性（Controllability） 系统安全三个领域 网络信息系统安全包括物理安全、运行安全、管理和策略三个主要的领域。 管理 安全 物理 运行 访问控制 它是在身份识别的基础上，根据身份对提出的资源请求加以控制。 访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。 访问控制中的三个元素 访问的发起者称为主体，通常是进程，程序或用户 包括各种资源称为客体如文件，设备，信号量，内存，用户 保护规则，定义了主体与客体的可能的相互作用途径。 访问控制 访问控制的两个重要过程： 1、通过鉴别（authentication）来检验主体的合法身份 2、通过授权（authorization）来限制用户对资源的访问级别 BLP保密模型 基于两种规则来保障数据的机密度与敏感度： 规则1 (不)上读:主体不可读安全级别高于它的数据； 规则2 (不)下写:主体不可写安全级别低于它的数据。 例如，有一个安全级别为“高密”的用户，想要访问安全级别为“秘密”的文档，他将能够成功读取该文件，但不能写入；而安全级别为“秘密”的用户访问安全级别为“高密”的文档，则会读取失败，但他能够写入。这样，文档的保密性就得到了保障。 BIBA完整性模型 基于两种规则来保障数据的完整性 规则1　下读：主体不能读取安全级别低于它的数据； 规则2　上写：主体不能写入安全级别高于它的数据。 一个安全级别为“机密”的用户要访问级别为“秘密”的文档，他将被允许写入该文档，而不能读取。如果他试图访问“高密”级的文档，那么读取操作将被允许，而写入操作将被拒绝。这样，就使资源的完整性得到了保障。 第二章-考试重点 侧重算法、能够计算 约20分 主要题型：计算题、问答题 对称-公开密钥算法流程 基于密钥的算法通常有两类 对称密钥算法 公开密钥算法 明文 加密 密文 解密 明文 密钥 密钥 明文 加密 密文 解密 明文 公钥 私钥 恺撒密码 恺撒