信息安全概论知识点一.名词解释1.信息安全:信息安全是指信息网络的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠地运行,信息服务不中断。2.安全漏洞:指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。3.缓冲区溢出:是一种非常普遍,非常危险的漏洞,在各种操作系统,应用软件中广泛存在。利用缓冲区溢出攻击,可以导致系统运行失败,系统死机,重新启动等后果。4.网络后门:是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。5.计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。6.恶意软件:俗称流氓软件,是对破坏系统正常运行的软件的总称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载,媒体播放等)和恶意行为(弹广告,开后门),给用户带来实质危害。7.防火墙:位于可行网络与不可信网络之间并对二者之间流动的数据包进行检查的一台,多台计算机或路由器。8.入侵检测:是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和遭遇袭击的迹象的一种机制。9.异常检测技术:也称基于行为的检测,是指根据使用者的行为或资源使用情况来判断是否发生入侵,而不依赖于具体行为是否出现来检测。10.误用检测技术:也称基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。11.VPN:是一种能够将物理上分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。12.对称加密算法:是用加密数据使用的密钥可以计算出用于解密数据的密钥。13.非对称加密算法:是指用于加密的密钥和用于解密的密钥是不同的,而且从加密的密钥无法推导出解密的密钥。14.散列函数:也称为Hash函数,杂凑函数,哈希函数,哈希算法,散列算法或消息摘要算法。它通过把单项数学函数应用于数据,将任意长度的一块数据转化成一定长的,不可逆转的数据。15.蜜罐:是当前最流行的一种陷阱及伪装手段。主要用于监视并探测潜在的攻击行为。二.简答:1.网络监听的工作原理当一个局域网采用共享Hub时,当用户发送一个报文时,这些报文会被发送到LAN上所有在线的机器。一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,即主机A不会捕获发向主机B的数据,而会简单地忽略这些数据。但是如果局域网中的某台计算机的网络接口处于混杂模式,那么它就可以捕获到网络上所有的报文和帧。如果一台计算机的网卡被设置成这种模式,那么它就是一个监听器或嗅探器。2.网络监听的防护和检测的主要方法(1)网络分段(2)加密会话(3)使用检测工具(4)观察异常情况3.缓冲区溢出的原理主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他命令,以达到攻击的目的。4.Dos攻击方式(1)SYNFlood工作原理:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着队列,造成了资源大量而不能向正常请求提供服务。(2)Smurf工作原理:该攻击向一个子网的广播地址发一个带有特定请求的包,并且将源地址伪装成想要攻击的主机地址。自网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。5.计算机病毒的特征(1)传染性:基本特征(2)隐蔽性(3)潜伏性(4)破坏性6.普通病毒和蠕虫病毒的区别普通病毒蠕虫病毒存在形式:寄存文件独立程序传染机制:寄主程序运行主动攻击传染目标:本地文件网络计算机7.木马病毒的传播方式通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界透漏用户的信息。8.物理层常用的防护手段(1)物理位置选择(2)物理访问控制(3)防盗窃和防破坏(4)防雷击(5)防火(6)防水和防潮(7)防静电(8)温湿度控制(9)电力供应(10)电磁防护要求9.防火墙的发展历史及局限性发展历史:第一代:1984年采用的技术:包过滤第二代:1989年采用的技术:代理服务第三代:1992年采用的技术:动态包过滤(状态监控)第四代:1998年采用的技术:自适应代理服务局限性:(1)不能防止不经过它的攻击,不能防止授权访问的攻击。(2)只能对配置的规则有效,不能防止没有配置的访问。(3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。(4)不能针对一个设计上有问题的系统攻击。10.异常检测技术的原理及前提原理:该技术首先假设网络攻击行为是不常见的,区别于所有正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。前提条件:入侵活动是异常活动的一个子集,理想的情况是:一场活动集与入侵活动集相等。11.无用检测技术的原理及前提原理:首先要定义违背安全策略事件的特征,判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。前提:假设所有的网络攻击行为和方法都具有一定的模式或特征。12.VPN的作用它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。账号保护的主要方法及手段(1)保护guest账户(2)限制用户数量(3)管理员账户改名(4)建陷阱账户13.对称加密算法优缺点优点:加密速度快,保密度高。缺点:分发的困难问题几乎无法解决。密钥是保密通信的关键,发信方必须安全、妥善的把密钥送到收信方,不能泄露其内容,密钥的传输必须安全,如何才能把密钥安全送到收信方是对称加密体制的突出问题。14.非对称加密算法的优缺点优点:(1)公钥加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥。(2)公钥在传递和发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者没有太大意义。(3)密钥少便于管理,N个用户通信只需要N对密钥,网络中每个用户只需要保存自己的解密密钥。(4)密钥分配简单,加密密钥分发给用户,而解密密钥由用户自己保留。缺点:加密算法复杂,加密和解密的速度比较慢。15.硬盘丢失数据的注意事项(1)在硬盘数据出现丢失后,请立即换机,不要在对硬盘进行任何写操作,那样会增大修复的难度,也会影响到修复的成功率。(2)每一步操作都应该是可逆的或者对故障硬盘是只读的。16.使用EasyRecovery软件的注意事项(1)最好在重新安装计算机操作系统完后,就把EasyRecovery软件安装上,这样一旦计算机有文件丢失现象就可以使用EasyRecovery软件进行恢复了。(2)不能在文件丢失以后再安装EasyRecovery文件恢复软件,因为这样的话EasyRecovery软件极有可能将要恢复的文件覆盖了,万一在没有安装EasyRecovery软件的情况下文件丢失,这时最好不要给计算机里再复制文件。可以将计算机硬盘拔下来,放到其他已经安装有EasyRecovery软件的计算机上进行恢复,或找专业的安全人员来处理。三.问答题:1.信息安全体系结构应用安全:(1)数据库加固(2)安全监控(3)电子文档(4)安全身份认证统一授权系统安全:(1)容灾备份(2)系统加固(3)HIDSNIDS(4)漏洞扫描系统防毒网络安全:(1)VLAN划分(2)外网的入网访问控制(3)网络安全边界防火墙(4)VPN,传输安全(5)网络防毒物理安全:(1)环境安全:防火,防水,磁泄露,防震(2)设备安全:防盗,物理隔离系统的设置,双网隔离设备(3)介质安全:防盗防电2.SQLServer注入攻击的原理攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。3.黑客攻击步骤(1)踩点(2)扫描(3)入侵(4)获取权限(5)提升权限(6)清除日志4.常见的攻击手段(1)密码破解攻击:字典攻击混合攻击暴力攻击专业工具(2)缓冲区溢出攻击(3)欺骗攻击:源IP地址欺骗攻击源路由欺骗攻击(4)DOS/DDOS攻击:DOS攻击DDOS攻击(5)SQL注入攻击(6)网络蠕虫(7)社会工程学5.常见的防范手段:(1)抛弃基于地址的信任策略(2)使用加码方法(3)进行包过滤(4)防火墙技术(5)确定所有服务器采用最新系统,并打上安全补丁。6.防火墙的体系结构(1)双重宿主主机体系结构原理:双重宿主主机体质围绕双重宿主主机构建。双重宿主主机至少有两个网络接口,这样的知己可以充当外部网络和内部网络之间的路由器,所以它能够使内部网络和外部网络的数据包直接路由通过。然而双重宿主主机的防火墙体系结构不允许这样直接地通过。因此IP数据包并不是从一个网络直接发送到另一个网络。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信,但是外部网络与内部网络不能直接通信,他们之间的通信必须经过过滤和控制,一般在双重宿主主机上安装代理服务器软件,可以为不同的服务提供转发,并同时根据策略进行过滤和控制。双重宿主主机体系结构连接内部网络和外部网络,相当于内部外部网络的跳板,能够提供级别比较高的控制,可以完全禁止内部网络对外部网络的访问。(2)被屏蔽主机体系结构原理:被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔开,在这种体系结构中,主要的安全防护功能由数据包过滤提供。(3)被屏蔽子网体系结构原理:被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,即通过添加周边网络更进一步把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单形式是两个屏蔽路由器,每一个都连接到周边网络。一个位于周边网络与内部网络之间,另一个位于周边网络与外部网络之间。