信息安全技术与应用-知识点总结【太原理工大学】

刚发题型，选择20，判断10，简答30，综合40

最好把知识点过一遍，心里有个底

看着长其实不多，一个小时就整理出来了，大概看一下每章涉及的内容，选判简答多拿分，大题放一放也能过 :)

第一章、信息安全概述

第一章的信息安全概述主要涉及了信息安全的一些基本概念、原则和法律法规。

### 1. 安全特性
- **保密性**：确保信息不被未授权的人或系统获取。
- **完整性**：确保信息未经授权不能被改变。
- **可控性**：对信息的访问和使用进行控制，以保证信息的合法使用。

### 2. 网络安全策略
- **均衡性**：在安全需求和易用性之间寻求平衡。
- **时效性**：安全策略应随着环境和技术的变化而更新。
- **最小化**：以最小的成本和复杂性实现所需的安全级别。

### 3. 法律法规
- **中华人民共和国治安管理处罚条例**：涉及违反国家规定的计算机信息系统侵入行为。
- **中华人民共和国刑法**：规定了犯罪行为及其相应的法律后果。
- **中华人民共和国保守国家秘密法**：保护国家秘密，防止泄露。
- **中华人民共和国电子签名法**：规范电子签名的使用，确保其合法性。

### 4. 安全产品许可
- **计算机信息系统安全专用产品销售许可证**：安全专用产品在市场销售前必须获得的许可。

### 5. 安全评估标准
- **ISO/IEC 15408**：国际通用信息安全评价标准，定义了不同的安全保证等级（EALs），其中EAL1级别最低，EAL7级别最高。

### 6. 安全漏洞标准化
- **CVE (Common Vulnerabilities and Exposures)**：专门从事安全漏洞名称标准化工作的机构。

### 7. 网络安全模型
- **PPDR (Prevention, Detection, Response, and Recovery)**：预防、检测、响应和恢复网络安全模型。

### 8. 信息安全等级保护
- **重要程度**：根据信息和信息系统的重要性以及遭到破坏后的危害程度确定保护等级。

### 9. 信息安全等级保护原则
- **分等级管理**：对信息安全分等级进行建设、管理和监督。

### 10. 信息安全目标
- 确保网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。

### 11. 信息安全策略原则
- **均衡性**：在安全需求、易用性、效能和安全成本之间保持平衡。
- **时效性**：信息安全策略应随环境变化调整。
- **最小限度共性**：以最小限度原则配置满足安全策略定义的网络服务、用户权限和信任关系。

第二章

第二章的知识点主要围绕密码学的概念、算法、安全规则以及加密和解密的过程。

### 1. 密码学的分支
- **密码编码学**：研究信息的加密和解密变换，以保护信息在传输过程中不被未授权者获取。
- **密码分析学**：研究如何在不知密钥的情况下，通过分析加密信息来破译密码。

### 2. 数学基础
- **最大公约数 (GCD)**：两个或多个整数共有的最大正整数约数。
- **最小公倍数 (LCM)**：能够同时被这些整数整除的最小正整数。

### 3. 算法复杂性
- **时间复杂性**：算法执行所需时间的量度。
- **空间复杂性**：算法执行过程中所需的存储空间量度。

### 4. 加密和解密
- **加密算法**：将明文转换为密文的过程，使非授权者难以解读信息。
- **解密算法**：将密文恢复为明文的过程。

### 5. 密码系统的安全规则
- **机密性**：确保信息不被未授权者读取。
- **完整性**：确保数据在传输过程中不被篡改。
- **认证性**：验证信息的来源和真实性。

### 6. 加密方式
- **对称加密**：加密和解密使用相同的密钥。
- **非对称加密**：加密和解密使用不同的密钥，通常称为公钥和私钥。

### 7. 网络加密方式
- **链路加密**：对整个通信链路中的所有数据进行加密。
- **端点加密**：只在通信的两端进行加密。

### 8. 特定算法和协议
- **PGP (Pretty Good Privacy)**：使用公钥和传统加密的混合算法。
- **RSA**：一种非对称加密算法，常用于数字签名和密钥交换。
- **Diffie-Hellman**：一种密钥交换协议，允许双方在不安全的通信信道上交换密钥。

### 9. 熵和信息量
- **熵**：表示事物的不确定度、无序度、模糊度、混乱程度的量。
- **信息量**：表示事物的可确定度、有序度、可辨度（清晰度）、结构化（组织化）程度、复杂度、特异性或发展变化程度的量。

### 10. RSA算法的局限性
- 安全性有限：基于大整数分解问题的难解性。
- 运算速度慢：涉及大数计算，速度较慢，一般用于少量数据加密。

### 11. 算法与问题复杂性的区别
- **算法复杂性**：具体算法解决问题的复杂程度。
- **问题复杂性**：问题本身的固有复杂程度。

### 12. 数字签名
- 是一种身份认证技术，确保信息的认证性和不可否认性。

### 13. 链路加密的缺点
- 需要对整个连接中的每段连接进行加密保护，可能导致较大的开销和管理复杂性。

第三章、身份认证与访问控制

第三章《身份认证与访问控制》的知识点主要涉及身份验证技术、生物特征识别、动态口令、访问控制模型以及相关概念。

### 1. 身份认证技术
- **基于信息秘密的身份认证**：如动态口令，用户必须知道一个秘密信息才能完成认证。
- **生物特征身份认证**：利用个体的生物特征进行认证，如指纹、虹膜、视网膜和语音。

### 2. 生物特征识别
- **易造成磨损和不易提取采样的方式**：某些生物特征，如指纹，可能因日常活动而磨损，影响识别的准确性。

### 3. 动态口令认证
- **缺点**：不易记忆，可能需要额外的设备或应用程序来生成和展示口令。
- **生成技术**：主流的动态口令牌基于时间同步技术。

### 4. 生物特征的稳定性
- **稳定性**：身份认证可利用的生物特征需在一段时间内保持不变，以确保认证的可靠性。

### 5. 身份鉴别方法
- **数字签名**：能完整实现身份鉴别，提供消息的完整性和认证性。

### 6. 主客体关系
- **访问控制**：涉及网络用户、系统进程、文件和数据等主体与客体之间的关系。

### 7. 访问控制表 (ACL) 特点
- **特点**：直观、易于理解，但可能不易实现最小权限原则。

### 8. BLP 强制访问控制模型
- **规则**：主体必须按照“向下读，向下写”的原则访问客体，即只能从安全级别低的客体读取数据，向安全级别高的客体写入数据。

### 9. 基于角色的访问控制 (RBAC)
- **授权管理**：简化了主体与客体间的授权管理，通过角色分配权限，灵活实现访问控制。

### 10. 报文鉴别
- **合法性确认**：确保信息在存储和传输过程中的实体合法性。

### 11. 一次一密
- **安全性**：可以有效防止一次性口令窃取导致的永久访问权问题。

### 12. 生物特征识别过程
- **验证**：将读取到的用户生物特征信息与数据库中的数据比较，通过相似程度来鉴别身份。

### 13. 虹膜识别
- **错误率**：虹膜识别的错误率通常较低，是一种高精度的生物特征识别方法。

### 14. 访问能力表
- **权限指定**：可以对特定资源指定任意用户的访问权限。

### 15. BLP 模型与信息流
- **信息流向**：保证信息流总是从低安全级别的实体流向高安全级别的实体。

### 16. MAC 模型
- **安全性**：通过梯度安全标识阻止特洛伊木马等恶意软件泄露系统信息。

### 17. 身份认证与完整性
- **区别**：身份认证关注的是确认实体的真实性，而不仅仅是完整性。

### 18. 短信口令认证
- **比较**：与基于 IP 或 MAC 地址的身份认证不同，短信口令认证依赖于手机号码。

第四章

第四章的内容主要围绕防火墙的相关知识展开，包括防火墙的类型、放置位置、分类、优点、体系结构、工作机制以及防火墙的局限性等方面。

### 1. 防火墙的类型
- **包过滤防火墙**：根据数据包的头部信息（如源地址、目的地址、端口号等）来决定是否允许数据包通过。
- **代理服务器防火墙**：在网络层和传输层提供代理服务，对数据进行更深层次的检查和控制。

### 2. 防火墙的放置位置
- 防火墙应该放置在网络的**边界**，以监控和控制进出网络的数据流。

### 3. 防火墙的分类
- **软件防火墙**：安装在操作系统上的软件，用于提供网络安全。
- **硬件防火墙**：独立的硬件设备，通常提供更高的安全性和性能。
- **专用防火墙**：为特定目的或环境设计的防火墙。

### 4. 防火墙的优点
- 防止非授权用户进入内部网络。
- 利用NAT技术缓解地址空间的短缺。
- 方便地监视网络安全性并报警。

### 5. 防火墙的体系结构
- **双宿主主机体系结构**：使用一台具有两个网络接口的主机作为防火墙。
- **堡垒主机过滤体系结构**：在网络中部署多个防火墙，形成多层防御。
- **被屏蔽子网体系结构**：在内网和外网之间设置一个隔离区（DMZ），用于放置需要对外提供服务的服务器。

### 6. 防火墙的工作机制
- **分组过滤**：检查数据包的头部信息，不检查数据内容。
- **状态检测**：跟踪通信连接的状态，提供更细致的控制。
- **代理服务**：在应用层上对数据进行代理，实现更深层次的检查。

### 7. 防火墙的局限性
- 防火墙不能修复脆弱的管理措施或设计有问题的安全策略。
- 防火墙不能彻底识别垃圾邮件、广告和木马。
- 防火墙不能防止来自内部的攻击。

### 8. 其他知识点
- **DMZ**：一个单独的网段，用于放置需要对外提供服务的服务器。
- **NAT**：网络地址转换技术，用于隐藏内部网络的IP地址。
- **电路级网关**：在传输层上工作，建立、维护和终止电路。

第五章

第五章的内容主要涉及网络攻击技术、网络信息采集、漏洞扫描、端口扫描、网络窃听、拒绝服务攻击、缓冲区溢出攻击、特洛伊木马和蠕虫等网络安全领域的知识点。

### 1. 攻击技术分类
- **破坏型攻击**：旨在破坏系统的正常运行。
- **入侵型攻击**：目的是非法获取系统访问权限。

### 2. 系统命令
- **host 命令**：用于在 Linux/Unix 系统中进行 Internet 域名查询。
- **nbtstat 命令**：是 Windows 操作系统用于网络相关信息查询的命令。

### 3. 网络窃听
- 需要将网卡设置为**混杂模式**，以便捕获网络上的数据包。

### 4. DoS 攻击
- **目标资源匮乏型**：通过消耗目标服务器资源导致服务不可用。
- **网络带宽消耗型**：通过大量流量占用网络带宽，使合法用户无法访问。

### 5. 缓冲区溢出攻击
- 利用程序漏洞，通过向内存区域填充过量数据导致溢出，可能使应用程序或系统崩溃。

### 6. 配置漏洞
- 分为**系统配置漏洞**和**网络结构配置漏洞**。

### 7. 特洛伊木马
- 具有**有效性**、**隐蔽性**、**顽固性**、**易植入性**等特点。
- 相关技术包括植入、自动加载运行、隐藏、连接和远程监控技术。

### 8. 蠕虫
- 具有自我繁殖、利用漏洞攻击、复杂传播方式、快速传播、强破坏性等特点。
- 防范措施包括安装杀毒软件、升级病毒库、提高安全意识等。

### 9. 信息采集与漏洞扫描
- **信息采集**：收集网络拓扑结构、服务类型、系统信息等。
- **漏洞扫描**：确定操作系统类型、版本、服务器守护进程等，分为网络扫描、操作系统扫描等。

### 10. 堆栈指纹扫描技术
- 利用 TCP/IP 协议差异，通过发送特殊数据包并分析回应来识别操作系统和服务。

### 11. 端口扫描技术
- 包括 TCP 端口扫描、SYN 扫描、FIN 扫描、NULL 扫描、Xmas tree 扫描、UDP 扫描等。

### 12. 拒绝服务攻击 (DoS)
- 通过消耗资源使系统过载或崩溃，难以区分真假数据包，使用非法数据包。

### 13. 分布式拒绝服务攻击 (DDoS)
- 由攻击者、主控端、代理端和受害者组成，主控端发布命令，代理端执行攻击。

### 14. SYN FLOOD 攻击
- 利用 TCP 协议的设计漏洞，通过大量半连接使服务器资源耗尽。

### 15. 循环攻击
- 利用 echo (端口 7) 和 chargen (端口 19) 服务，通过伪造数据包使两台主机之间产生大量无用数据交换。

### 16. 安全命令使用
- 如何使用 net 命令映射网络共享点，如何使用 ping 命令进行网络测试。

### 17. 计算题
- 如何通过 ping 命令返回的 TTL 值推算源地址到目标地址之间的路由器数量。

第六章、入侵检测系统

第六章的内容主要围绕入侵检测系统（IDS）的相关知识展开，包括入侵检测系统的体系结构、分类、功能模块、性能指标以及相关的技术工具。

### 1. 入侵检测系统体系结构
- 入侵检测系统由**事件发生器**、**事件分析器**、**响应单元**和**事件数据库**四个独立组件构成。

### 2. 入侵检测系统分类
- **基于主机的 IDS (HIDS)**：监控单个主机上的活动，如登录尝试、文件访问等。
- **基于网络的 IDS (NIDS)**：监控整个网络的数据流，寻找可疑的网络活动。

### 3. 检测原理分类
- **异常检测**：根据用户行为的正常模式来判定当前活动是否偏离了正常活动规律。
- **误用检测**：根据事先定义的规则或已知攻击特征来判断入侵的产生。

### 4. 性能指标
- **检测率和误报率**：综合反映了系统识别入侵的能力，是 IDS 最重要的性能指标。

### 5. NIDS 体系结构
- 由**网络传感器**和**中心控制台**组成。

### 6. Snort 入侵检测系统
- Snort 的核心模块是**入侵检测引擎**。
- 处理插件的源文件名都以`sp_`开头。
- Snort 检测规则格式中包括IP地址、端口等，规则操作有alert等选项。

### 7. 入侵检测技术核心问题
- 检测率与误报率的平衡，以及如何有效识别和响应安全威胁。

### 8. 入侵检测系统定义
- 入侵检测系统是一种主动的网络安全技术，用于检测和响应恶意活动。

### 9. 主要模块作用及关系
- **事件发生器**：生成关于安全事件的信息。
- **事件分析器**：分析事件数据，识别潜在的安全威胁。
- **响应单元**：对确认的攻击采取响应措施。
- **事件数据库**：存储事件信息，供分析和审计使用。

### 10. 性能指标含义
- **检测率**：系统正确识别攻击的比率。
- **误报率**：系统将正常行为错误识别为攻击的比率。
- **系统资源占用率**：系统运行对计算资源的消耗。
- **系统扩展性**：系统适应不同规模网络环境的能力。
- **最大数据处理能力**：系统处理数据流的最大速率。

### 11. 异常检测与误用检测
- **异常检测**：依赖于对正常行为的理解，可能存在较高的漏报率。
- **误用检测**：依赖于已知攻击特征，具有较高的检出率和较低的误报率。

### 12. 离线检测
- 在获取攻击特征需要消耗大量计算资源的条件下，采用离线检测可以降低系统负担。

### 13. HIDS 与 NIDS
- **HIDS**：通常采用客户端-服务器的分布式体系结构。
- **NIDS**：由多个传感器和中心控制台组成。

### 14. 开放源码工具
- **Tcpdump**、**Windump** 或 **Ethereal**（Wireshark 的前身）是常用的数据包采集与分析工具。

第七章

第七章的内容主要涉及计算机病毒、网络病毒、宏病毒、后门程序、恶作剧程序和垃圾邮件等恶意软件的相关知识，以及防火墙等网络安全工具的功能。

### 1. 计算机病毒的定义
- 计算机病毒是一种有“问题”的程序，它具有传染性，能够在条件合适时运行并破坏计算机的正常工作。

### 2. 病毒类型
- **引导区病毒**：主要感染启动记录，影响系统的启动。
- **文件型病毒**：感染特定类型的文件，如Office文档中的宏病毒。
- **混合型病毒**：结合了多种病毒特性。
- **宏病毒**：使用应用程序（如Word）的宏编程语言编写的病毒。

### 3. 防火墙的功能
- 防火墙是一种保证网络安全的工具，它能够过滤“异”类邮件，进行身份验证，但不具备流量统计的功能。

### 4. 病毒的特征和行为
- 计算机病毒是一段程序，它可以通过网络传播，消耗内存、减缓系统运行速度，造成引导失败或破坏扇区。

### 5. 病毒的传播途径
- 病毒可以通过非法拷贝软件、网上下载软件、电子邮件传播等方式主动传播，但不包括接口输入。

### 6. 病毒的危害
- 计算机病毒破坏的主要对象是程序和数据。

### 7. 病毒的分类
- 按照危害程度，病毒可分为良性和恶性。

### 8. 宏病毒的特点
- 宏病毒会将自己复制到Word访问的其他文档中，当宏病毒常驻模板时，用户执行某些操作时就会被感染。

### 9. 后门程序
- 后门程序是为计算机系统秘密开启访问入口的程序。

### 10. 恶作剧程序
- 恶作剧程序可能表现为自动弹出光驱等行为。

### 11. 垃圾邮件
- 大量的垃圾邮件消耗带宽和网络存储空间，可以造成DoS攻击。

### 12. 病毒的基本特征
- 计算机病毒的基本特征是传染性。

### 13. 病毒的清除
- 手工清除病毒是指用户自己动手利用查杀软件清除病毒，顽固的病毒可能无法通过查杀软件清除。

### 14. 其他病毒特性
- 病毒不会感染只含数据的文件格式，但这种说法可能过于绝对，因为某些宏病毒可以感染数据文件。

### 15. 特定病毒描述
- “鬼影”病毒主要感染计算机中的可执行文件或数据文件，CodeBlue专门针对的是Word中的宏模板。

第八章

第八章的内容主要围绕安全通信协议，特别是SSH和VPN（虚拟私人网络）相关的知识点。以下是对这些知识点的提炼和讲解：

### 1. SSH协议
- **SSH**（Secure Shell）是一种应用层协议，用于在不安全的网络上提供安全的数据通信通道。
- **基于**：SSH 基于 TCP 协议。
- **使用端口**：SSH 默认使用端口 22。
- **组成部分**：SSH 由传输层协议、用户认证协议和连接协议三部分组成。
- **安全功能**：SSH 提供对用户口令的保护、身份认证和数据完整性保护，但不能防止流量分析。
- **不提供的功能**：SSH 不提供通配符扩展或命令记录功能。

### 2. VPN技术
- **VPN**（Virtual Private Network）是一种常用于连接中大型企业或团体内部网络的技术，以便远程用户和分支机构访问公司的内部网络资源。
- **不适合VPN的情况**：VPN 不适合语音或视频实时通信，因为这些通信对带宽和时延有较高要求。
- **适用场景**：VPN 适用于位置众多、站点分布范围广、宽带和时延要求不高的场景。

### 3. IPSec协议
- **IPSec**（Internet Protocol Security）是一个框架，包括一系列协议，用于在IP层上加密和认证数据。
- **使用IPSec的协议**：第 2 层隧道协议（L2TP）可以使用 IPSec 机制进行身份验证和数据加密。

### 4. 隧道协议
- **点对点隧道协议**（PPTP）是数据链路层的协议。
- **第 2 层隧道协议**（L2TP）是网络层的协议。

### 5. 加密协议
- **IPSec**：是一个能够很好解决隧道加密和数据加密问题的协议。

### 6. VPN类型
- **专用VPN**：提供全系列的网关硬件、客户端软件、以及专门的管理软件。

通过上述提炼和讲解，可以对SSH和VPN这两种安全通信协议有一个基本的了解。SSH主要用于安全的远程登录和命令执行，而VPN则用于构建安全的网络连接，允许通过因特网安全地访问企业内部网络。IPSec是VPN常用的加密协议，用于在IP层上提供数据的加密和认证。