信息安全概论复习资料.docx
- 文档编号:23925387
- 上传时间:2023-05-22
- 格式:DOCX
- 页数:53
- 大小:89.92KB
信息安全概论复习资料.docx
《信息安全概论复习资料.docx》由会员分享,可在线阅读,更多相关《信息安全概论复习资料.docx(53页珍藏版)》请在冰豆网上搜索。
信息安全概论复习资料
第1章信息安全概述
1、信息的定义:
信息是一种消息,通常以文字或声音、图像的形式来表现,是数据按有意义的关联排列的结果。
信息由意义和符号组成。
简单说,信息就是指以声音、语音、文字、图像、动画、气味等方式所表示的实际内容。
2、信息安全的定义(名词解释):
指信息网络的硬件、软件及其系统中数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连接可靠或靠正常地运行,信息服务不中断。
3、信息安全是一门涉及计算机科学、网络科学、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
4、P2DR2(Policy,Protection,Detection,Response,Restore)动态安全模型概述:
由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域的路由及安全策略分析及制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应的安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构成多层次、全方位和立体的区域网络安全环境。
5、
P2DR2动态安全模型
6、P2DR2模型的时间域分析:
(简答题)
P2DR2模型可通过数学公式表达安全要求:
公式1:
Pt>Dt+Rt
Pt(防护时间):
入侵者发起攻击,每一步都需要花费时间,攻击成功所花费的时间。
Dt(检测时间):
入侵发生的同时,检测系统也在发挥作用,检测到入侵行为所花费的时间。
Rt(响应时间):
检测到入侵后,系统做出应有的响应动作所花费的时间。
如果上述数学公式满足,即防护时间大于检测时间加上响应时间,就说明在入侵者危害安全目标之前就能被检测到并得到及时处理。
公式2:
Et=Dt+Rt,如果Pt=0。
公式的前提是假设防护时间为0。
Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。
Rt代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
那么Dt及Rt的和就是该安全目标系统的暴露时间Et。
针对需要保护的安全目标,Et越小系统就越安全。
7、安全的定义:
及时的检测和响应就是安全,及时的检测和恢复就是安全。
8、信息安全体系结构层次:
●物理层安全:
通信线路的安全、物理设备的安全、机房的安全。
主要体现在通信线路的可靠性,软件硬件设备安全性,设备的备份,防灾害、防干扰能力,设备的运行环境,不间断电源的保障等。
●网络层安全:
主要体现在网络方面的安全性,包括网络层的身份认证,网络资源的访问控制,数据传输的保密及完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
网络层常用的安全工具:
防火墙系统、入侵检测系统、VPN系统、网络蜜罐等。
●系统层安全:
主要体现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
●应用层安全:
采用的应用软件和业务数据的安全性,包括数据库软件、Web服务、电子邮件系统、防病毒软件等。
●管理层安全:
包括安全技术和设备的管理、安全管理制度、部门及人员的组织规则等。
9、信息安全目标:
最初:
保密性、完整性和可用性(Confidentiality、Integrity、Availability,CIA)。
扩展:
保密性、完整性、可用性、(真实性、不可否认性、可追究性、可控性)
第2章网络安全基础
1、OSI参考模型(开放系统互联的体系结构OpenSystemsInterconnection)
2、OSI参考模型分为七层:
物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
3、协议:
对等层之间互相通信需要遵守一定的规则,如通信和内容、通信的方式。
4、协议栈:
某个主机上运行的某种协议的集合。
5、IMP:
接口报文处理机(InterfaceMessageProcessor)
6、TCP/IP参考模型分为四个层次:
应用层、传输层、网络互连层和主机到网络层。
7、ARPANET(AdvancedResearchProjectsAgencyNetwork):
美国国防部高级研究计划局计算机网。
8、IP协议:
InternetProtocol。
9、TCP(TransmissionControlProtocol):
传输控制协议。
10、UDP(UserDatagramProtocol):
用户数据报协议。
11、TransferProtocol):
文件传输协议。
12、HTTP(HyperTextTransferProtocol):
超文本链接协议。
13、Web服务:
也可称为WideWeb)服务,主要功能是提供网上信息浏览服务。
1 MicrosoftIIS:
Microsoft的Web服务器产品InternetInformationServer(IIS),IIS是允许在公共Intranet或Internet上发布信息的Web服务器。
2 IBMWebSphere:
WebSphereApplicationServer是一种功能完善、开放的Web应用程序服务器,是IBM电子商务计划的核心部分,它基于Java的应用环境,用于建立、部署和管理Internet和IntranetWeb应用程序。
3 BEAWebLogic:
BEAWebLogicServer是一种多功能、基于标准的Web应用服务器,为企业构建自己的应用提供了坚实的基础。
4 Apache:
源于NCSAhttpd服务器。
5 Tomcat:
Tomcat是一个开放源代码、运行Servlet和JSPWeb应用软件的基于Web应用软件容器。
14、FTP的作用:
让用户连接上一个远程计算机(这些计算机上运行着FTP服务程序),查看远程计算机有哪些文件,然后把文件从远程计算机上复制到本地计算机,或把本地计算机的文件传送到远程计算机上。
15、FTP的两种模式:
ØStandard:
Port方式(主动方式),客户端发送PORT命令到FTP服务器。
ØPassive:
PASV方式(被动方式),客户端发送PASV命令到FTP服务器。
16、常用FTP工具:
Cute、FlashFXP、Turbo、AceFTP等。
17、电子邮件服务特性:
使用简易、投递迅速、收费低廉、易于保存、便于畅通无阻。
18、电子邮件的工作源理:
首先,当将E-mail输入计算机开始发送时,计算机会将信件“打包”,送到所属服务商的邮件服务器(发信的邮局即为“SMTP邮件服务器”,收信的邮局即为“POP3邮件服务器”)上。
然后,邮件服务器根据收件人地址,按照当前网上传输的情况,寻找一条最不拥挤的路径,将信件传到下一个邮件服务器。
接着,这个服务器也如法炮制,将信件往下传送。
最后,E-mail被送到用户服务商的服务器上,保存在服务器上的用户E-mail信箱中。
19、Telnet服务:
是TCP/IP网络的登录和仿真程序。
基本功能是允许用户登录进入远程主机系统。
20、使用Telnet协议进行远程登录时需要满足三个条件:
●在本地计算机上必须装有包含Telnet协议的客户程序;
●必须知道远程主机的IP地址或域名;
●必须知道登录标识及口令;
21、Telnet远程登录服务的4个过程:
●本地及远程主机建立连接。
●将本地终端输入的用户名和口令,以及以后输入的任何命令或字符以NVT(NetVirtualTerminal)格式传送到远程主机。
●将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端,包括输入命令回显和命令执行结果。
●最后,本地终端对远程主机远行撤销连接,该过程是撤销一个TCP连接。
22、ping命令:
一般用于检测网络是否通畅以及网络连接速度,其结果越大,说明速度越慢。
●PingIP,例如ping127.0.0.1。
●PingURL,例如ping。
●PingIP-t,连续对IP地址执行ping命令,直到被用户以
●PingIP-l3000,指定ping命令中的数据长度为3000字节,而不是缺省的32字节。
●PingIP-ncount,指执行特定次数(count次)的ping命令。
23、ipconfig命令:
ipconfig可用于显示当前的TCP/IP配置的设置值,这些信息一般用来检验人工配置的TCP/IP设置是否正确。
●Ipconfig,当使用ipconfig不带任何参数选项时,它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。
●Ipconfig/all,当使用all参数时,ipconfig能为DNS和WINS服务器显示它已经配置、并且所要使用的附加信息,并显示内置于本地网卡中的物理地址(MAC)。
24、netstat命令:
用于显示及IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口和网络连接情况。
●netstat-a,本选项显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED)、也包括监听连接请求(LISTENING)的那些连接。
●netstat-n,显示所有已建立的有效连接。
●netstat-r,本选项可以显示关于路由表的信息。
25、arp命令:
是地址转换协议的意思,它也是一个重要的命令,用于确定对应IP地址的网卡物理地址。
●arp-a/-g,可以看到IP地址和物理地址。
26、net命令:
net命令有很多函数用于核查计算机之间的NetBIOS连接,可以查看管理网络环境、服务、用户、登录等信息内容。
●netshare,作用是用来创建、删除或显示共享资源。
●netstart,作用是启动服务,或显示已启动服务的列表。
27、at命令:
是Windows系列操作系统中内置的命令,at命令可在指定时间和日期、在指定计算机上运行命令和程序。
1 定时关机:
at22:
00ShutDown-S-T40,该命令运行后,到了22:
00点,计算机会出现“系统关机”对话框,并默认40秒延时自动关机。
2 定时提醒:
at11:
00netsend10.10.36.122“及朋友约会的时间到了,快点准备出发吧!
”,其中netsend是Windows内部程序,可以发送消息到网络上的其他用户、计算机。
3 自动运行批处理文件:
at2:
00AM/Every:
SaturdaybackUp.bat。
4 取消已经安排的计划:
at5/delete。
28、tracert命令:
显示用于将数据包从计算机传递到目标位置的一组IP路由器,以及每个跃点所需的时间。
●tracertIP或tracertURL,该命令返回到达IP地址所经过的路由器列表,URL表示网址。
●tracertIP-d或tracertURL-d,通过使用-d选项,将更快地显示路由器路径,因为tracert不会尝试解析路径中路由器的名称。
29、route命令:
用来显示、添加和修改路由器由表项的。
●routeprint:
用于显示路由表中的当前项目,在单路由器网段上的输出;由于用IP地址配置了网卡,因此所有的这些项目都是自动添加的。
●routeadd:
可以将路由项目添加给路由表。
●routechange:
可以使用该命令来修改数据的传输路由,但不能使用它来改变数据的目的地。
●routedelete:
使用该命令可以从路由表中删除路由。
30、nbtstat命令:
可以使用nbtstat命令释放和刷新NetBIOS名称。
●nbtstat-n:
该命令显示寄存在本地的名字和服务程序。
●nbtstat-c:
用于显示NetBIOS名字高速缓存中的内容。
●nbtstat-r:
用于清除和重新加载NetBIOS名字高速缓存。
31、(简答题)什么是计算机网络的OSI参数参考模型?
它的主要内容是什么?
答:
OSI是OpenSystemInterconnection的缩写,意为开放式系统互联。
国际标准化组织(ISO)制定了OSI模型,该模型定义了不同计算机互联的标准,是设计和描述计算机网络通信的基本框架。
OSI模型把网络通信的工作分为7层,分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
32、(简答题)什么是计算机网络的TCP/IP参考模型?
它的主要内容是什么?
答:
TCP/IP参考模型是计算机网络的祖父ARPANET和其后继的因特网使用的参考模型。
ARPANET是由美国国防部赞助的研究网络。
逐渐地它通过租用的电话线连结了数百所大学和政府部门。
当无线网络和卫星出现以后,现有的协议在和它们相连的时候出现了问题,所以需要一种新的参考体系结构。
这个体系结构在它的两个主要协议出现以后,被称为TCP/IP参考模型。
基于TCP/IP的参考模型将协议分成四个层次,它们分别是:
应用层、传输层、网络互连层、主机到网络层。
33、(名词解释)什么是电子邮件服务?
答:
电子邮件服务(Email服务)是目前最常见、应用最广泛的一种互联网服务。
通过电子邮件,可以及Internet上的任何人交换信息。
电子邮件的快速、高效、方便以及价廉,越来越得到了广泛的应用,目前只要是上过网的网民就肯定用过电子邮件这种服务。
目前,全球平均每天约有几千万份电子邮件在网上传输。
34、(名词解释)什么是Web服务?
答:
Web服务是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的互操作的应用程序。
第三章网络扫描及网络监听
1、(名词解释)攻击:
是对系统安全策略的一种侵犯,是指任何企图破坏计算机资源的完整性(未授权的数据修改)、机密性(未授权的数据泄漏或未授权的服务的使用)以及可用性(拒绝服务)活动。
2、攻击的分类:
●按照威胁的来源分类:
外来人员攻击;内部人员攻击。
●按照安全属性分类:
阻断攻击;截取攻击;篡改攻击;伪造攻击。
●按照攻击方式分类:
被动攻击;主动攻击。
●按照入侵者的攻击目的的分类:
拒绝服务攻击;利用型攻击;信息收集型攻击;假消息攻击。
●按照入侵者使用的技术手段分类:
网络信息收集技术;目标网络权限提升技术;目标网络渗透技术;目标网络摧毁技术。
3、安全漏洞:
指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。
4、漏洞的来源:
●软件或协议设计时的瑕疵。
●软件或协议实现中的弱点。
●软件本身的瑕疵。
●系统和网络的错误配置。
5、扫描的类型:
地址扫描、端口扫描、漏洞扫描。
6、目标扫描:
●Ping扫描:
扫描最基本的步骤是在一定IP地址范围内执行Ping扫描,以此来确定目标主机是否存活。
●ICMP查询:
如果目标主机阻塞了ICMP回显请求报文,仍然可以通过使用其他类型的ICMP报文探测目标主机是否存活,并收集到各种关于该系统的有价值的信息。
7、TCP扫射(原理):
如果向目标发送一个SYN报文,则无论收到一个SYN/ACK报文还是一个RST报文,都表明目标处于存活状态。
或向目标发送一个ACK报文,如果收到一个RST报文则表明目标存活。
8、UDP扫射(原理):
如果向目标特定端口发送一个UDP数据报之后,接收到ICMP端口不可达的错误,则表明目标存活,否则表明目标不在线或者目标的相应UDP端口是打开的。
9、端口分类:
●标准端口范围0~1023,一般固定分配给一些服务,比如21端口分配给FTP服务,25端口分配给SMTP服务,80端口分配给HTTP服务。
●非标准端口的范围1024~65535,这些端口一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。
10、端口扫描原理:
端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断服务端口是打开还是关闭,从而得知端口提供的服务或信息。
只是扫描到相应的端口开着,就能知道目标主机上运行着什么服务,然后入侵者才能针对这些服务进行相应的攻击。
11、端口扫描分类:
●全连接扫描(TCPconnect扫描):
是TCP端口扫描的基础,现有的全连接扫描有TCPconnect扫描和TCP反向ident扫描等。
扫描主机通过TCP/IP协议的三次握手及目标主机的指定端口建立一次完整的连接。
连接由系统调用connect开始。
如果端口开放,则连接将建立成功;否则,若返回-1则表示端口关闭。
建立连接成功则会响应扫描主机的SYN/ACK连接请求,这一响应表明目标端口处理监听(打开)的状态。
如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的响应。
●半连接扫描(TCPSYN扫描):
若端口扫描没有一个完整的TCP连接,在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称间接扫描。
现有的半连接扫描有TCPSYN扫描和IPID头dumb扫描等。
SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。
缺点是在大总分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
●秘密扫描:
使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口时,数据包会被丢掉,并且会返回一个RST数据包;否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
跟SYN扫描类似,秘密扫描也需要自己构造IP包。
12、(简答题)漏洞扫描技术原理:
答:
在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息及网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱口令等。
若模拟攻击成功,则表明目标主机系统存在安全漏洞。
13、漏洞扫描分类:
CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描。
14、扫描工具:
●Nmap:
扫描器之王
●Nessus:
分布式的扫描器
●X-Scan:
国内最好的扫描器
15、网络监听:
可以有效地对网络数据、流量进行侦听、分析,从而排除网络故障,但它同时又带来了信息失窃等安全隐患。
16、Hub工作原理:
答:
当一台机器向另一台机器发送数据时,共享Hub先接收数据,然后再把它接收到的数据转发给Hub上的其他每一个接口,所以在共享Hub所连接的同一网段的所有设备的网卡都能接收到数据。
17、网卡的工作原理:
答:
收到传输来的数据时,网卡内的程序先接收数据头的目的MAC地址,根据计算机上网卡驱动程序设置的接收模式判断该不该接收,认为接收就产生中断信号通知CPU,认为不该接收的就丢弃不管。
18、(简答题)网络监听的工作原理:
答:
当一个局域网采用共享Hub时,当用户发送一个报文时,这些报文会被发送到LAN上所有在线的机器。
一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,即主机A不会捕获发向主机B的数据,而会简单地忽略这些数据。
但是,如果局域网中的某台计算机的网络接口处于混杂模式,那么它就可以捕获到网络上所有的报文和帧。
如果一台计算机的网被设置成这种模式,那么它就是一个监听器或嗅探器。
19、网络监听的危害:
●能够捕获口令。
●能够捕获专用的或机密的信息。
●可以用来危害网络邻居的安全。
●获得进一步攻击所需要的信息。
20、网络监听的预防和检测方法:
●网络分段;
●加密会话;
●使用检测工具;
●观察异常情况。
21、常见的网络监听工具:
SnifferPro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。
第四章黑客攻击技术
1、攻击的流程:
1)踩点
2)扫描
3)入侵
4)获取权限
5)提升权限
6)清除日志
2、攻击的方法和技术:
密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、SQL注入攻击、网络蠕虫和社会工程攻击。
3、密码破解攻击:
1)字典攻击(Dictionaryattack)
2)混合攻击(Hybridattack)
3)暴力攻击(Bruteforceattack)
4)专业工具
1 系统账户破解工具LC5
2 Word文件密码破解工具WordPasswordRecoveryMaster
3 邮箱口令破解工具黑雨
4 RAR压缩文件破解工具InteloreRARPasswordRecovery
5 PowerPoint文件破解工具Powerpoint-Password-Recovery.exe
4、缓冲区溢出攻击的原理:
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。
造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
5、欺骗攻击
●源IP地址欺骗攻击
●源路由欺骗攻击
6、防止源IP地址欺骗行为的措施:
●抛弃基于地址的信任策略
●使用加密方法
●进行包过滤
7、防范源路由欺骗攻击的措施:
●对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
●在路由器上使用命令noipsource-route关闭路由。
8、(名词解释)DoS攻击:
拒绝服务(DenialofService,DoS)攻击指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。
是目前黑客广泛使用的一种攻击手段。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
9、常见的DoS攻击方式:
1)SYNFlood:
该攻击以多个随机的源主机地址向目标发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成资源的大量消耗而不能向正常请求提供服务。
2)Smurf:
该攻击向一个子网的广播地址发一个带有特定请求的包,并且将源地址伪装成想要攻击的主机地址。
子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
3)(名词解释)Land-based:
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以选成被攻击主机因试图及自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4)PingofDeath:
根据TCP/IP的规范,一个包的长度最大为65536字节。
尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。
当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,访攻击会造成主机的死机。
5)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 概论 复习资料