一、信息安全基础知识
1.1 信息安全的概念
1.2 信息存储安全
一个完整的信息安全系统包括三类措施技术方面的安全措施、管理方面的安全措施和政策法律方面的安全措施。技术措施包括信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、数据备份和灾难恢复等方面
(1)信息使用安全
- 用户的表示与验证
- 隔离限制法
- 限制权限法
- 用户存取权限控制
(2)系统安全监控
(3)计算机病毒防治
1.3 网络安全
(1)网络安全漏洞
(2)网络安全威胁
(3)安全措施的目标
四、信息加解密技术
4.2 对称密钥加密算法
许多密码设计者认 为 168 位的密钥已经超过了实际需要,所以便在第 1 层和第 3 层中使用相同的密钥,产生一个有效长度为 112 位的密钥。之所以没有直接采用两重 DES, 是因为第 2 层 DES 不是十分安全, 它对一种称为“中间可遇”的密码分析攻击极为脆弱,所以最终还是采用了利用两个密钥进行三重 DES 加密操作。
4.4 第三方认证服务
- PKI/CA
PKI/CA 是基于非对称密钥体系的,解决了网络通信安全的种种障碍,由最终用户、认证中心和注册机构组成 - Kerberos
- Kerberos 是一种基于对称密钥体系的网络认证协议,提供强大的认证服务。其认证过程不依赖于主机操作系统的认证,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在这种情况下 。
- Kerberos 作为可信任的第三方认证服务,通过传统的密码技术执行认证服务,通过密钥分发中心(KDC)减少密钥体制所固有的交换密钥时所面临的风险,常提供两种服务 AS 认证服务和 TGS 授予票据服务。
- Kerberos 系统采用了时间戳方案,即发送的数据包带有时间戳,服务器可以根据时间戳判断是否为重放包,以此防止重放攻击的发生
六、访问控制及数字签名技术
6.2 数字签名
- 消息摘要是对原始信息提取特征值,可以防止信息被篡改
- 对消息摘要进行加密,在私钥加密的情况下,公钥解密,由于公钥可以被任何人获取,所以无法防止窃听,但可以防止抵赖
七、信息安全的抗攻击技术
7.1 秘钥的选择
7.2 拒绝服务攻击与防御
Dos(Denial of Service)
7.3 欺骗攻击与防御
- ARP欺骗
- DNS欺骗
- IP欺骗 SYN Flood (同步包风暴):该攻击利用 TCP 三次握手的漏洞,向目标计算机发送大量的TCP连接请求(SYN报文)并不回应目标计算机的 SYN-ACK 报文,导致目标计算机等待连接,形成大量的半连接造成资源浪费,最终导致服务不可用。攻击者还可以伪造源地址向目标计算机发起攻击
- TCP/IP漏洞
- Land 攻击:该攻击利用打造的 SYN 包向同一机器发送数据包,使存在漏洞的机器崩溃
- Ping of Death 攻击:攻击者故意发送大于 65535 字节的 ip 数据包给目标服务器,导致服务器被冻结、宕机或重新启动
- Teardrop 攻击:攻击者向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
- SQ L注入攻击 黑客可以通过提交数据库查询代码获取他想得知的数据,造成安全隐患
7.9 攻击类型
主动攻击
主动攻击可能会修改信息或危害系统完整性和可用性,如篡改、伪装、重放和拒绝服务攻击。
主动攻击相对于被动攻击容易被检测,但也更难以防范,因为攻击者有多种攻击方法
被动攻击
被动攻击是旨在获取信息而不改变系统或数据的攻击方式,如窃听和流量分析
物理攻击
物理攻击是指攻击者直接接触到系统硬件、软件和周边环境设备,通过破坏使系统无法工作,甚至无法恢复数据和程序
分发攻击
分发攻击则是在软硬件开发后到安装期间或传输过程中恶意修改,可能引入后门程序等恶意代码,以非授权方式访问信息或系统。
