《信息安全知识与安全测试》由会员分享,可在线阅读,更多相关《信息安全知识与安全测试(10页珍藏版)》请在金锄头文库上搜索。
1、1 目目 录录 知识点 . 1 重点 . 1 分值 . 1 有关信息安全的法律法规如下。 . 1 1. 数据安全策略 . 1 2. 用户认证机制 . 2 3. 数据加密和解密 . 3 4. 加密技术通常分为两大类,即对称式和非对称式。 . 3 5. 常见加密算法介绍如下 . 4 6. 信息安全的相关国家标准 . 5 7. DMZ (Demilitarized Zone,隔离区) . 5 8. DMZ 服务配置的要点如下。 . 6 9. 漏洞扫描 . 6 10. 特洛伊木马(Trojan horse) . 7 11. 渗透测试(Penetration Test) . 8 12. 入侵检测(Int
2、rusion Detection) . 8 13. 口令的安全性 . 9 14. 加密传输的方式 . 9 15. 系统的安全防护体系 . 10 16. 服务器操作系统的安全评测内容如下。 . 10 17. 日志 . 10 第第 1515 章章 信息安全知识与安全测试信息安全知识与安全测试 知识点知识点 (1)信息安全基本概念。 (2)计算机病毒及防范。 (3)网络入侵手段及防范。 (4)加密与解密机制。 (5)安全测试的内容、策略和方法。 重点重点 加密解密机制、网络入侵和安全测试等,需要掌握漏洞扫描、渗透测试、入侵检测和特洛伊木马等概念和原 理,熟悉常见的加密算法及其适用范围。掌握有关安全防
3、护体系、安全日志及安全测试的方法和原则。 分值分值 总分在 15 分以上 有关信息安全的法律法规如下。有关信息安全的法律法规如下。 (1)中华人民共和国计算机信息系统安全保护条例 ,1994 年发布施行。 (2)信息安全等级保护管理办法公通字2007143 号。 1. 1. 数据安全策略数据安全策略 2 数据安全数据安全包括两方面的含义,一是数据本身的安全,主要指采用现代密码技术对数据进行主动保护,如数据 保密、数据完整性和双向身份认证等;二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动 防护,如通过磁盘阵列、数据备份和异地容灾等手段保证数据的安全。 数据安全的防护技术如下。数据安
4、全的防护技术如下。 (1)磁盘阵列:将多个类型、容量、接口,甚至品牌一致的专用磁盘或普通硬盘连成一个阵列,使其以更快的 速度,以及准确且安全的方式读写磁盘数据,从而达到数据读取速度和安全性的一种手段。 (2)数据备份:包括备份的可计划性、自动化操作,以及历史记录的保存或日志记录。 (3)双机容错:目的在于保证系统数据和服务的在线性,即当某一系统发生故障时仍然能够正常地为网络系统 提供数据和服务,使得系统不至于停顿,即保证数据不丢失和系统不停机保证数据不丢失和系统不停机。 (4) NAS (Network Attached Storage :网络附属存储):是一种将分布且独立的数据整合为大型集中
5、化管理的数据 中心,以便访问不同主机和应用服务器的技术。NAS 解决方案通常配臵为文件服务的设备,由工作站或服 务器通过网络协议和应用程序来访问文件,大多数 NAS 连接在工作站客户机和 NAS 文件共享设备之间。 (5)数据迁移:由在线和离线存储设备共同构成一个协调工作的存储系统,在二者间动态地管理数据。使得访 问频率高的数据存放于性能高的在线存储设备中,而访问频率低的数据存放于较为廉价的离线存储设备中。 (6)异地容灾:以异地实时备份为基础的高效且可靠的远程数据存储。在各单位的 IT 系统中提供服务的核心部 分称为“生产中心” ,同时为其配备一个异地远程的备份中心。当火灾或地震等灾难发生时
6、,一旦生产中心 瘫痪,备份中心会接管生产,继续提供服务。 (7) SAN (Storage Area Network,存储域网络):是一个专有且集中管理的信息基础结构, 支持服务器和存储之间 任意的点到点的连接。SAN 集中体现了功能分拆的思想,提高了系统的灵活性和数据的安全性,它以数据 存储为中心,采用可伸缩的网络拓扑结构,通过具有较高传输速率的光通道连接方式,提供 SAN 内部任意 节点之间的多路可选择的数据交换,并且将数据存储管理集中在相对独立的存储区域网内。 2. 2. 用户认证机制用户认证机制 计算机及网络系统中常用的身份认证方式如下。 (1)用户名/密码方式:基于“what you
7、 know”的验证手段。每个用户的密码由用户设定,只有自己才知道。只 要能够正确输入密码,计算机则认为操作者即合法用户。但是用户密码一方面容易泄漏;另一方面由于是静 态数据,在验证过程中需要在计算机内存和网络中传输,而每次验证使用的验证信息都是相同的,很容易被 驻留在计算机内存中的木马程序或网络中的监听设备截获。因此从安全性上讲,用户名用户名/ /密码方式一种是极密码方式一种是极 不安全的身份认证方式。不安全的身份认证方式。 (2)智能卡认证:智能卡是一种内臵集成电路的芯片,其中存有与用户身份相关的数据。由专门的厂商通过专 门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时将其插
8、入专用的读卡器读取其中的 信息,以验证用户的身份。智能卡认证是基于“what you have”的手段,通过智能卡硬件的不可复制性来保 证用户身份不会被仿冒。 然而由于每次从智能卡中读取的数据是静态的, 通过内存扫描或网络监听等技术还 是很容易截取到用户的身份验证信息,因此仍然存在安全隐患仍然存在安全隐患。 (3)动态口令:动态口令技术是一种让用户密码按照时间或使用次数不断变化,并且每个密码只能使用一次的 技术。它采用一种称为“动态令牌”的专用硬件,内臵电源、密码生成芯片和显示屏。密码生成芯片运行专 门的密码算法, 根据当前时间或使用次数生成当前密码并显示在显示屏上。 认证服务器采用相同的算法
9、计算 当前的有效密码。 用户使用时只需要将动态令牌上显示的密码输入客户端计算机即可实现身份认证。 由于每 次使用的密码必须由动态令牌来产生, 而只有合法用户才能持有该硬件, 所以只要通过密码验证就可以认为 该用户的身份。由于用户每次使用的密码均不相同,所以即使黑客截获了一次密码,也无法利用这个密码来 仿冒。 (4)数字证书:由权威机构,即 CA 证书授权(Certificate Authority)中心发行,并能提供在 Internet 上进行身份验 证的一种权威性电子文档,人们可以在 Internet 交往中用其证明自己的身份并识别对方的身份。 数字证书的工作原理:通常数字证书采用公钥体制,
10、即利用一对互相匹配的密钥进行加密和解密。每个用户3 自己设定一把特定且仅为本人所有的私有密钥(私钥),用其解密和签名;同时设定一把公共密钥(公钥)并由 本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥加 密数据,而接收方则使用自己的私钥解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有 密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。 基于应用角度,基于应用角度,数字证书可以分为以下几种。数字证书可以分为以下几种。 服务器证书: 安装于服务器上,用来证明服务器的身份和通信加密,可以用来防止假冒
11、站点。 电子邮件证书:用来证明电子邮件发件人的真实性。 客户端个人证书:用来进行身份验证和电子签名。 目前数字证书的格式普遍采用 X.509 V3 国际标准,其中包括证书序列号、证书持有者名称、证书颁发者名 称、证书有效期、公钥和证书颁发者的数字签名等。 (5) USB Key 认证:采用软硬件相结合软硬件相结合、一次一密一次一密的强双因子认证模式很好地解决了安全性与易用性之间的矛 盾。 USB Key 是一种 USB 接口的硬件设备, 其中内臵单片机或智能卡芯片用于存储用户的密钥或数字证书, 利用 USB Key 内臵的密码算法实现对用户身份的认证。基于 USB Key 身份认证系统主要有两种应用模式, 一是基于冲击/响应的认证模式;二是基于 PKI 体系的认证模式。 (6)生物识别技术:指通过可测量的身体或行为可测量的身体或行为等生物特征进行身份认证的一种技术,生物特征指唯一可以测 量或可自动识别和验证的生理特征或行为方式。 它分为身体特征和行为特征两类, 身体特征包括指纹、 掌型、 视网膜、虹膜、人体气味、脸型、手的血管和 DNA 等;行为特征包括签名、语音和行走步态等。 与传统身份认证技术相比,生物识别技术具有以下特
