1、學習好資料 歡迎下載網絡信息安全期末復習要點信息安全的任務是保障信息存儲、 傳輸、處理等過程中的安全， 具體的有：機密性；完整性；不可抵賴性；可用性。域。網絡信息安全系統的三要素 :安全服務（安全任務） 、安全機制和安全應用網絡安全防范體系層次：根據網絡的應用現狀和網絡的結構，安全防范體系的層次可劃分為：物理層安全、系統層安全、網絡層安全、應用層安全、安 全管理。網絡信息安全的技術：密碼技術，身份認證，數字簽名，防火墻，入侵檢 測，漏洞掃描。數字簽名就是附加在數據單元的一些數據，或是對數據單元所作的密碼變 換。這種數據或變換云允許數據單元的接收者用以確認數據單元的來源和數據 單元的完整性，并保

2、護數據，防止被人進行偽造。基本要求：簽名是可信的；簽名不可偽造；簽名不可重用，簽名是文件的 一部分，不能移到別的文件上去；簡明的文件事不可改變的，在文件上簽名就 不能改變；簽名是不可抵賴的。目前使用最多的數字簽名有兩類： 一類是 使用對稱密碼系統和需要仲裁者 的簽名方案；還有一類是基于公開秘鑰體制的數字簽名。簽名的過程： 1 發送者產生文件的單向散列值；2 發送者用私人密鑰對散列 加密，以實現對文件的簽名； 3 發送者將文件盒散列簽名發送給接受者；4 接受 者根據發送者發送的文件產生文件的單向散列值，然后用數字簽名算法對散列 值運算，同時用發送者的公開密鑰對簽名的散列解密，簽名的散列值語氣產生

3、 的散列值匹配，則簽名有效。公鑰基礎設施 PKI 主要的功能組件包括認證機構，證書庫，證書撤銷，密 鑰備份和恢復，自動密鑰更新，秘鑰歷史檔案，交叉認證，支持不可否認，時 間戳，客戶端軟件等。PKI 從根本上來說，只提供三種主要的核心服務，即認證，完整性，機密 性。認證：指向一個實體確認另一份實體確實就是用戶自己；完整性：指向一 個實體確保數據沒有被有意或則無意的修改。機密性：指向一個實體確保除了 接受者，無人能夠讀懂數據的關鍵部分。PKI 信任模型：因經 CA 與 CA 之間需要相互交流和信任，這就是 互，即 PKI 信任模型。PKI 信任模型主要有 4 種模型，即嚴格層次結構、分布式信任結構

4、、PKI 交WEB模型、以用戶為中心的信任。PKI 嚴密層次結構：嚴格層次結構的 CA 之間存在嚴格的上下級關系，下 級完全聽從并執行上級的規定。在這種結構中，信任關系是單向的。只允許上學習好資料 歡迎下載一級 CA 給下一級 CA 或則終端用戶頒發證書。優點： 1，具備良好的擴展性； 2，很容易找到證書路徑；3，證書路徑處 理相對較短； 4，根據 CA 位置，隱性地知道使用限制。缺點：根節點一旦泄密遺失， PKI 崩潰 損失巨大。擴展結構時，部分或所 有需要根據情況調整信任點。IPSec保護 IP 數據報的安全 IPsec包含三個重要的協議 AH 、ESP、IKE。IEK 協議負責秘鑰管理。

5、AH 為 IP 數據包提供 3 種服務（ AH 只認證不加密），無連接的數據完整性 驗證（哈希函數產生的校驗） 、數據源身份認證（添加共享密鑰） 、防重放攻擊（AH 報頭中的序列號）。ESP（基本功能是加密）提供 流加密。AH 的三種服務，還包括數據包加密、數據解釋域（ DOI）為使用 IKE 進行協商的的協議統一分配標識符。IPSec的兩種運行模式：傳輸模式 （保護的只是 IP 的有效負載），隧道模式（保護整個 IP 數據包） SSL 提供 Internet 通信的安全協議，用于瀏覽器 與服務器之間的身份認證和加密數據傳輸。SSL 由多個協議組成并采用兩層體系結構：上層有 SSL 握手協議、

6、 SSL 修 改密碼規格協議和 SSL 告警協議；往下有 SSL 記錄協議、 TCP,UDP. SSL 連接：連接時提供恰當類型服務的傳輸。SSL 回話：會話是客戶與服務器之間的關聯，會話通過握手協議來 創建。SSL 握手協議兩個階段：第一階段用于建立私密性通信信道；第二階段用 于客戶認證。SSL 安全電子交易協議）協議目標：名技術SET 交易流程： SET 中采用了雙重簽常用的入侵方法：口令入侵、特洛伊木馬術、監聽法、系統漏洞Email 技術、利用堆棧、攻擊代碼、 函數調用傳遞的參數、 函數返回地址、 函數的局部變量、緩沖區 在函數返回地址位置重復若干次返回地址，在溢出數據中添加前面增加個

7、NOP 指令 緩沖溢出原理：借著在程序緩沖區編寫超出其長度的代碼 ,造成溢出 ,從而破 壞其堆棧 ,使程序執行攻擊者在程序地址空間中早已安排好的代碼 ,以達到其目 的。學習好資料 歡迎下載避免的方法： 1、強制寫正確的代碼的方法。2、通過操作系統使得緩沖區不可執行， 從而阻止攻擊者殖入攻擊代碼。3、利用編譯器的邊界檢查來實現緩沖區的保護。 4、在程序指針失效前進行完整性檢查常用的反病毒技術：特征碼技術、實時監聽技術、虛擬機技術防火墻技術只關心端口 源地址 目標地址 數據包頭標志位，不關心內容防火墻一般采用兩種技術：數據報過濾和代理服務。IP 層，目的地址，端口號，數據的對話協議，數據包頭中的標

8、志位靜態包過濾型防火墻（ IP 層）：依據事先設定的過濾規則，檢查數據流的每個數據包，確定是否允許該數據報通過。優點是：實現邏輯比較簡單、對網絡性能影響較小、有較強的透明性、與應用層無關、是最快的防火墻。弱點是：配置時需要對IP、UDP、TCP 等各種協議比較了解、容易被地址欺騙、不能提供應用層用戶的鑒別服務、允許外部用戶直接與內部主機相連。幾種防火墻的對比：靜態包過濾防火墻：不檢查數據區， 包過濾防火墻不建立連接狀態表，前后報文無關，應用層控制很弱。動態包過濾型（狀態檢測）防火墻：不檢查數據區，建立連接狀態表，前 后報文相關，應用層控制很弱。應用代理（應用網關）防火墻：不檢查 IP、TCP

9、報頭，不建立連接狀態表，網絡層保護比較弱。復合型防火墻：可以檢查整個數據包內容，根據需要建立連接狀態表，網 絡層保護強，應用層控制細，會話控制較弱。（入侵檢測系統）技術：通過對計算機網絡或則計算機系統的若干 關鍵點搜集信息并對器進行分析，從中發網絡或系統是否違反安全策略的行為 和被攻擊的跡象。IDS 分類：基于網絡的IDS 和基于主機的異常檢查是通過計算審計數據與一個期望的正常行為描述的模型之間的偏 差來判斷入侵與否濫用檢查（特征匹配檢測）是通過掃描審計數據看是否與已 知攻擊特征來判斷入侵與否。檢測引擎的常用技術：統計方法、專家系統、神經網絡、狀態轉移 分析、 Petri 網、計算機免疫、 Agent 技術、其他檢測技術。蜜罐的特點與分類產品型、研究型、低交互型、高交互型優點： 收集數據保真度高， 能收集到新的攻擊技術， 不需要強大的資源支持，比較簡單，不是單一系統而是一個網絡缺點：投入精力和時間， 視圖有限，不能使用旁路監聽等技術對整個網絡監控，不能直接防護有漏洞的系統，帶來 一定的安全風險學習好資料 歡迎下載蜜罐的主要技術：網絡欺騙、端口重定向、報警、數據控制、數據捕獲