第一章:1.3.2:1、GB17859-1999标准规定了计算机系统安全保护能力的五个等级,即:用户资助保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。2、目前正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分析保护管理规范》。3、涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级;4、秘密级,信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术的要求。机密级,信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门。信息系统中的机密级信息含量较高或数量较多;信息系统使用单位对信息系统的依赖程度较高;绝密级,信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求。5、安全监控可以分为网络安全监控和主机安全监控1.3.3信息安全风险评估与管理1、一般可通过以下途径达到降低风险的目的:避免风险、转移风险、减少威胁、减少脆弱性、减少威胁可能的影响、检测以外事件,并做出响应和恢复。1.4信息安全标准化知识1、国家标准化指导性技术文件,其代号为“GB/Z”;推荐性国家标准代号为“GB/T”2、目前国际上两个重要的标准化组织,即国际标准化组织ISO和国际电工委员会IEC。ISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准;SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。3、信息安全标准体系与协调工作组(WG1),主要负责研究信息安全标准体系、跟踪国际信息安全标准发展态势,研究、分析国内信息安全标准的应用需求,研究并提出了新工作项目及设立新工作组的建议、协调各工作组项目。涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)和鉴别与授权工作组(WG4)。信息安全测评工作组(WG5),负责调研国内外测评标准现状与发展趋势,研究提出了我国统一测评标准体系的思路和框架,研究提出了系统和网络的安全测评标准思路和框架,研究提出了急需的测评标准项目和制定计划。1.5信息安全专业英语1、cryptography:密码;plaintext明文;ciphertext密文;concealment隐藏;cryptology密码学;2、symmetric-key对称密钥;Symmetric-keycryptographyreferstoencryptionmethodsinwhichboththesenderandreceiversharethesamekey(or,lesscommonly,inwhichtheirkeysaredifferent,butrelatedinaneasilycomputableway).对称密钥加密是指加密方法,在该方法中,发送者和接收者共享相同的密钥3、asymmetrickey非对称密钥;Digita1signatures数字签名RSAandDSAaretwoofthemostpopulardigitalsignatureschemes4、ellipticcurvecryptography椭圆曲线密码5、Cryptanalysis密码分析;quantumcomputer量子计算机;6、Antivirussoftware杀毒软件Network-attachedstorage(NAS,网络附加存储):isfile-levelcomputerdatastorageconnectedtoacomputernetworkprovidingdataaccesstoheterogeneousnetworkclients.7、PenetrationTestingTools渗透测试工具第二章:密码学2.1密码学的基本概念1、密码学的安全目标包括三个重要方面:保密性、完整性和可用性2.1.2密码体制1、一个密码系统,通常简称为密码体制,由五部分组成。明文空间M,它是全体明文的集合。密文空间C,它是全体密文的集合。密钥空间K,它是全体密钥的集合。其中每一个密钥K均由加密密钥Ke和解密密钥Kd组成,即K=Ke,Kd.加密算法E,它是一族由M到C的加密交换。解密算法D,它是一族由C到M的解密交换。对于明文空间M中的每一个明文M,加密算法E在密钥Ke的控制下将明文M加密成密文C:C=E(M,Ke).而解密算法D在密钥Kd的控制下将密文C解密出同一明文M:M=D(C,Kd)=D(E(M,Ke),Kd)如果一个密码体制的Kd=Ke,或由其中一个很容易推出另一个,则称为单密钥密码体制或对称密码体制或传统密码体制。否则称为双密钥密码体制。进而,如果在计算上Kd不能由Ke推出,这样将Ke公开也不会损害Kd的安全,于是便可将Ke公开。这种密码体制称为公开密钥密码体制,简称为公钥密码体制。2、密码分析者攻击密码的方法主要有三种:穷举攻击、数学分析攻击、基于物理的攻击;2.2.2DES算法1、DES算法的设计目标是,用于加密保护静态存储和传输信道中的数据,安全使用10-15年。2、DES是一种分组密码。明文、密文和密钥的分组长度都是64位。3、3DES密钥长度是168位,完全能够抵抗穷举攻击。3DES的根本缺点在于用软件实现该算法的速度比较慢。第三章:3.1计算机网络基本知识1、由于Internet规模太大,所以常把它划分成许多较小的自治系统(AutonomousSystem,AS).通常把自治系统内部的路由协议称为内部网关协议,自治系统之间的协议称为外部网关协议。常见的内部网关协议有RIP协议和OSPF协议;外部网关协议有BGP协议。2、路由信息协议RIP(RoutingInformationProtocol)是一种分布式的基于距离向量的路由选择协议,它位于应用层,该协议所定义的距离就是经过的路由器的数目,距离最短的路由就是最好的路由。它允许一条路径最多只能包含15个路由器。3、开放最短路径有限协议OSPF(OpenShortestPathFirst)是分布式的链路状态路由协议。链路在这里代表该路由器和哪些路由器是相邻的,即通过一个网络是可以连通的。链路状态说明了该通路的连通状态以及距离、时延、带宽等参数。在该协议中,只有当链路状态发生变化时,路由器采用洪范法向所有路由器发送路由信息。4、外部网关协议BGP(BorderGatewayProtocol)是不同自治系统的路由器之间的交换路由信息的协议。由于资质系统之间的路由选择,要寻找最佳路由是不现实的。因此,BGP只是尽力寻找一条能够达目的网络的比较好的路由。5、因特网组管理协议(InternetGroupManagementProtocol,IGMP)是在多播环境下使用的协议。IGMP使用IP数据报传递其豹纹,同时它也向IP提供服务。6、ARP协议:根据IP地址获取MAC地址;RARP协议:根据MAC地址获取IP地址;7、Internet控制报文协议ICMP(InternetControlMessageProtocol):ICMP协议允许路由器报告差错情况和提供有关异常情况的报告。8、TCP是面向连接的协议,提供可靠的、全双工的、面向字节流的,端到端的服务。9、TCP使用三次握手来建立连接,大大增强了可靠性。具体过程如下:TCP连接释放机制TCP的释放分为:半关闭和全关闭两个阶段。半关闭阶段是当A没有数据再向B发送时,A向B发出释放连接请求,B收到后向A发回确认。这时A向B的TCP连接就关闭了。但B仍可以继续向A发送数据。当B也没有数据向A发送时,这时B就向A发出释放连接的请求,同样,A收到后向B发回确认。至此为止B向A的TCP连接也关闭了。当B确实收到来自A的确认后,就进入了全关闭状态。如图所示。10、TCP的拥塞控制主要有以下四种方法:慢开始、拥塞避免、快重传和快恢复。为了防止cwnd增长过大引起网络拥塞,还需设置一个慢开始门限ssthresh状态变量。ssthresh的用法如下:当cwndssthresh时,使用慢开始算法。当cwndssthresh时,改用拥塞避免算法。当cwnd=ssthresh时,慢开始与拥塞避免算法任意。快重传配合使用的还有快恢复算法,有以下两个要点:①当发送方连续收到三个重复确认时,就执行“乘法减小”算法,把ssthresh门限减半。但是接下去并不执行慢开始算法。②考虑到如果网络出现拥塞的话就不会收到好几个重复的确认,所以发送方现在认为网络可能没有出现拥塞。所以此时不执行慢开始算法,而是将cwnd设置为ssthresh的大小,然后执行拥塞避免算法。如下图:3.2.3暗网1、暗网是指那些存储在网络数据库里,不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。3.3.2网络监听1、网卡有几种接受数据帧的状态,如unicast,broadcast,multicast,promiscuous等,unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous即混杂模式,是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式。2、Sniffer的工作前提是:网络必须是共享以太网。把本机上的网卡设置成混杂模式;3、检测网络监听的手段:反应时间、DNS测试、利用ping进行监测、利用ARP数据包进行监测。3.3.3口令破解1、常用的一些破解工具:InsideproSAMInside可以有效破解windows口令,QQ杀手2008版可以破解QQ密码,Cain可以破解屏保AccessDatebase和CiscoPIXFirewall等口令,MessenPass可以恢复出MSN和YahooMessenger等的口令。3.3.4拒绝服务攻击1、要对服务器实施拒绝服务攻击,实质上的方式就是两个:服务器的缓冲区满,不接受新的请求、使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。2、SYNFlooding(同步包风暴)攻击:它是通过创建大量的“半连接”来进行攻击,任何连接收到Internet上并提供基于TCP的网络服务的主机和路由器都可能成为这种攻击的目标。3、利用处理程序错误的拒绝服务攻击,这些攻击包括PingofDeath攻击、Teardrop攻击、Winnuke攻击、以及Land攻击等。4、Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误,即在组装IP包时只检查了每段数据是否过长,而没有检查包中有效数据的长度是否过小。5、Winnuke攻击针对Windows系统上一般都开放的139端口,这个端口由netBIOS使用。只要往该端口发送1字节TCPOOB数据,就可以使Windows系统出现蓝屏错误,并且网络功能完全瘫痪。除非重新启动,否则不能再用。6、Land攻击:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。3.3.8网络欺骗1、ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携带主句A的IP地址Ia----物理地址AA:AA:AA:AA),请求IP地址为Ic的主机C回答物理地址Pc,网上所有的主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含