《信息安全考试范围》由会员分享,可在线阅读,更多相关《信息安全考试范围(12页珍藏版)》请在金锄头文库上搜索。
1、不完全版使用方法:结合书本、PPT 以及何学长的复习.pdf 一起看。第一章 概述1.3 P8-9 什么是信息安全;信息安全的属性(5 个)1.4.2 & 1.5.1 列举 5 种以上常见的安全威胁,并阐述其对应的安全措施。 (清楚 1.4.2 和 1.5.1 的对应关系)例:计算机病毒 对应 反病毒技术重点看 1.5.1 结合后面的具体内容来看。注:PPT 中补充数据备份的内容,几种数据备份方式的特点和区别。1.5.2 1.5.3一个完整的信息安全系统必须包含技术、管理、法律三个方面。简答题:一句话表示;应用题:涉及具体内容P20 网络安全防范 6 种机制第二章 密码学2.1 古典密码:除了
2、书上讲的,凯撒密码、一次一密 都要会计算密码体制的数学化描述:一个五元组(P,C,K,E,D)满足: P 是可能明文的有限集; C 是可能密文的有限集; 密钥空间K 是可能密钥的有限集; 对每一个 k,有一个加密规则 ek 和解密规则 dk,对任一明文 x 有:dk(ek(x)=x补充:数字签名的数学化描述:这一节可能还会出一道仿射密码或凯撒密码或者一次一密2.2 分组密码:只考一道大题:S 盒的查找比如:知道一个 S3,告诉 6 位输入,求 4 位输出S 盒的功能:把 6 位输入变为 4 位的输出,了解它的过程填空题:DES 加密 用多少 bit 的密钥?分组长度是多少? 和 AES 进行比
3、较;有多少轮?轮密钥产生的每一个轮有多少比特?简要阐述 AES 的加密过程。经过若干轮,每一轮中进行 4 个步骤:轮密钥加、字节代换、行移位、列混合。2.3 公钥密码:RSA、Elgamal :加密解密& 签名 四个考点;两两搭配 每卷各 20 分详细看 PPT流密码:请简要阐述流密码的绝对安全性。一次一密为什么安全?2.5 & 2.6(A、B 卷各考一个填空)信息隐藏技术;电子信封技术 信息隐藏有哪两个分支(隐写术、数字水印)?信息隐藏利用载体的冗余(数据冗余、空间冗余等)来达到隐藏信息的目的。第三章 信息认证信息认证技术信息认证技术主要用于防止“主动攻击” ,如伪装、篡改等信息认证的目的:
4、 验证信息发送者的合法性,即实体认证:包括信源信宿的认证和识别 验证消息的完整性以及数据在传输和存储过程中是否篡改、重放或延迟数字签名(数学化描述)签名体制=四元组 (M , S , K , V)M:明文空间,S: 签名的集合, K:密钥空间,V :验证函数的值域,由真、伪组成。(1) 签名生成算法:对每一mM 和每一kK,易于计算对m 的签名:S=Sigk(m)S,签名算法或签名密钥是秘密的;(2) 验证算法:Verk(S, m) 真,伪 =0,1验证算法是公开的,已知m,S,易于证实S 是否为m 的签名,以便他人进行验证。体制的安全性:从 m 和其签名 S 难于推出 K 或伪造一个 m使
5、m和 S 可被证实为真。数字签名应的性质签名是可信的,任何人可以方便验证。签名是不可伪造的,伪造签名是困难的。签名是不可复制的。签名的消息不可改变,否则能发现不一致性。签名是不可抵赖的,签名者不能否认签名。HASH 函数概念,常见的 hash 算法(MD5、SHA)RSA 签名,Elgamal 签名盲签名与群签名(理解)身份认证技术分类:1. 条件安全认证系统与无条件安全认证系统2有保密功能的认证系统与无保密功能的认证系统3. 有仲裁人认证系统与无仲裁人认证系统常见的身份认证技术:基于口令的认证(PAP 认证、 CHAP 认证) ;双因子身份认证技术(口令+智能安全存储介质);生物特征认证技术
6、(手写签名识别,指纹识别技术,语音识别技术,视网膜识别技术,虹膜识别技术,脸型识别技术) ;基于零知识证明的识别技术What you know; what you have; who you are. 具体实现:1. 用户名与口令(挑战应答式口令防止重放攻击,添加随机字符串抵抗字典式攻击)2. 硬件实现:安全令牌(时间令牌,挑战应答式令牌) ;智能卡(个人标识号 PIN) ;双向认证3. 双向认证信息认证是访问控制的前提第四章 PKI 与 PMI 认证技术X.509 数字证书CA 颁发的数字证书采用 X.509 V3 标准基本格式包括以下项目:版本号(v3)证书序列号(唯一的)算法标识符(如
7、RSA with SHA-1)证书颁发者(证书颁发者的可识别名 DN,符合 X.500 格式)有效期证书持有者(证书持有者的可识别名 DN,符合 X.500 格式)证书持有者公钥(公钥信息以及相应的算法信标识符)颁发者唯一标识符(可选项)持有者唯一标识符(可选项)扩展部分证书颁发者(CA )已经验证了证书持有者的身份,通过将颁发者自己签名的证书放入主机计算机的可信根 CA 证书存储区中,主机将颁发者指定为可信根颁发机构。PKI 系统1. 证书颁布2. 证书更新3. 证书废除4. 证书和 CRL 公布5. 证书状态的在线查询6. 证书认证4.3 信任模型(PPT 为主) ;包括授权常见信任模型:
8、1) 通用层次结构:考虑两类认证机构:一个子CA向最终实体(用户、网络服务器、用户程序代码段等)颁发证书;中介CA对子CA或其他中介CA颁发证书。双向信任关系。 2) 网状模型:所有的跟CA之间是对等的关系,都有可能进行交叉认证。 3) 桥模型:桥模型实现交叉认证中心,在不同的信任域之间建立桥CA,为不同信任域的根CA颁发交叉认证的证书。 4) 信任链模型:一套可信任的根的公钥被提供给客户端系统,为了被成功地验证,证书一定要直接或间接地与这些可信任根相连接。例如浏览器中的证书。 书P140 层次信任模型:所有的信任用户都有一个可信任的根,层次信任关系是一种链式的信任关系,正如一个数,那么从根节
9、点到叶子节点的通路构成了简单唯一的信任路径,其管理方向是不可逆的。优点在于结构简单,易于实现。缺点是在不同的父亲节点下的叶节点之间无法通过相互关系来验证信任。图对等信任模型:是指两个或两个以上的对等的信任域间建立的信任关系,实现交叉认证,其中建立交叉认证的两个实体间是对等的关系。适合表示动态变化的信任组织机构,但是在建立有效的认证路径时,很难在整个信任域中确定R2 是XK的最适当的信任源。网状信任模型:是对等模型的扩充,通过建立一个网络拓扑结构的信任模型来实现信任域之间的间接信任关系。结构复杂,跨越多个不同规模和类型的可信域建立的非层次信任路径被认为是不可信的;网络资源和时限是另一个问题。信任
10、管理的两个方面:对信任链的维护和管理、对信任域间信任关系的管理和维护。第五章 密钥管理技术密钥种类分类初始密钥:由用户选定或者系统分配的,在较长的一段时间内由一个用户专用的秘密密钥。要求它既安全又便于更换。会话密钥(数据加密密钥):是两个通信终端用户在一次会话或交换数据时使用的密钥。由系统通过密钥交换协议动态产生。丢失由于密钥加密的数据量有限,对系统的保密性影响不大。密钥加密密钥:用于传送会话密钥时采用的密钥。主密钥:对密钥加密密钥进行加密的密钥,存在主机的处理器中。密钥种类分类密钥的分配两个问题:密钥的自动分配机制,自动分配密钥以提高系统的效率应尽可能减少系统中驻留的密钥量。1. 人工发放密
11、钥2. 基于中心的密钥发放3. 基于认证的密钥发放:公钥加密系统、密钥交换协议对称密钥交换Diffle-Hellman 密钥交换协议两方 Diffie-Hellman密钥交换算法三方 Diffie-Hellman密钥交换算法安全性基于在有限域上求解离散对数的困难性Alice、Bob 和Coral 三方协定一个大素数n 和整数g(这两个数可以公开) ,其中g 是n 的本原元。秘密密钥k=gxyz mod n(1 ) Alice 选取随机大整数 x,发送X=gx mod n 给Bob。Bob 选取随机大整数y,发送Y=gy mod n 给Coral 。Coral 选取随机大整数z,发送Z=gz m
12、od n 给Alice。(2 ) Alice 计算X1=Zx mod n 给Bob。Bob 计算Y1=Xy mod n 给Coral。Coral 计算Z1=Yzmod n 给Alice。(3 ) Alice 计算k=Z1x mod n作为秘密密钥Bob 计算k=X1y mod n作为秘密密钥Coral 计算 k=Y1z mod n 作为秘密密钥加密密钥交换协议:EKE , IKE,KINT非对称密钥技术第六章 访问控制技术访问控制的概念:访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。身份认证是
13、访问控制的前提条件访问控制包含 3 个要素:主体、客体和控制策略。多级安全信息系统,有层次的安全级别:TS,S,C,RS,U访问控制包括: 认证、控制策略的实现、审计三方面。简答论述:三种访问控制:1. 自主访问控制 DAC(任意访问控制):是根据主体的身份及允许访问的权限,允许合法用户访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。重点:组成 最好能画图:以客体(文件)为中心建立的访问控制表 ACL;对客体而言,对哪些主体的访问控制规则。以主体为中心建立访问能力表 AC
14、CL;对于主体而言,对哪些客体的访问控制规则。访问控制矩阵 ACM:通过矩阵形式表示访问控制规则和授权用户权限的方法。列是用户主体,行是对应客体的操作。2. 强制访问控制 MAC:根据客体的敏感度、用户是否在合适的安全级别进行操作和用户是否有访问客体的权限实现对客体的访问控制。主体和客体都被赋予一定的安全级别,用户不能改变自身和客体的安全级别,只有管理员才能够确定用户和组的访问权限。强访问控制将安全级别进行排序,规定高级别可以单向访问低级别,也可以规定低级别单向访问高级别。1) 下读/上写策略,保障信息机密性。-BLP 模型rd,当且仅当 SC(s)SC(o),允许读操作;wu,当且仅当 SC
15、(s) SC(o),允许写操作。2) 上读/下写策略,保障信息完整性。-BIba 模型ru,当且仅当 SC(s)SC(o),允许读操作;wd,当且仅当 SC(s)SC( o),允许写操作3. 基于角色的访问控制:根据分配给主体的角色来管理访问和权限的处理过程。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。角色是与一个特定活动相关联的一组动作和责任。看看 特点:1) 提供灵活的授权管理途径。即改变客体的访问权限、改变角色的访问权限以及改变主体所担任的角色。2) 灵活、高效的授权管理。企业的组织结构或系统的安全需求有变化,系统管理员只变更角色权限即可。3) 角色的关系
16、可以实现层次化,便于管理。可以用面向对象的方法(类和继承等概念)来表示角色之间层次关系。4) 主体与客体无直接联系。角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,主体只有通过角色才享有的权限,从而访问相应的客体。4. 基于任务的访问控制模型 TBAC 是从应用层和企业层角度解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务管理的过程中提供动态实时的安全管理。是一种上下文相关的、基于实例的访问控制模型。填空 审计的定义:根据一定的策略,通过记录、分析历史操作事件发现和改进系统性能和安全。审计的基础是事件记录。审计是对访问控制的必要补充,是访问控制的重要内容,审计和监控是实现系统安全的最后一道防线简答:审计的作用:1) 对潜在的攻击者起到震摄或警告。2) 对于已经发生的系统破坏行为提供有效的追纠证据。3) 为系统管理员提供有价值的系统使用日志从而帮助系统管理员
