《信息安全总结》由会员分享,可在线阅读,更多相关《信息安全总结(12页珍藏版)》请在金锄头文库上搜索。
1、1. 信息安全与网络安全的区别在对象范围方面,“信息安全”涵盖了“网络安全”。信息安全工作的对象不仅涵盖了网络安全的所有问题,即信息在网络传输中的安全 问题,而且还包括计算机本身的固有安全问题,如系统硬件、操作系统、应用软件、 操作流程等等。2. 信息通信过程中的威胁信息系统的用户在进行通信的过程中,常常受到两方面的攻击:主动攻击:攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内 部,破坏信息的真实性、完整性及系统服务的可用性。被动攻击:攻击者非法截获、窃取通信线路中的信息,使信息保密性遭到破 坏,信息泄漏而无法察觉,给用户带来巨大的损失。中断(interruption):是指威胁源使系
2、统的资源受损或不能使用,从而暂停数据的流动或服 务,属于主动攻击。截获(interception):是指某个威胁源未经允许而获得了对一个资源的访问,并从中盗窃了 有用的信息或服务,属于被动攻击。篡改(modification):是指某个威胁源未经许可却成功地访问并改动了某项资源,因 而篡改了所提供的信息服务,属于主动攻击。伪造(fabrication):是指某个威胁源未经许可而在系统中制造出了假消息源、虚假的信息或 服务,属于主动攻击。3. 威胁的具体表现形式伪装:某个具有合法身份的威胁源成功地假扮成另一个实体(用户或程序),随后滥 用后者的权利。这时的威胁源可以是用户,也可以是程序,受威胁对
3、象与此类同。非法连接威胁源以非法手段形成合法身份,使得网络实体(用户或连接)与网络资源之间建立了非 法连接。威胁源可以是用户,也可以是程序,受威胁对象则是各种网络资源。拒绝服务攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载,从而导 致系统的资源对合法用户的服务能力下降或丧失;或是由于信息系统或其组件在物理上或逻 辑上受到破坏而中断服务。否认网络用户虚假地否认提交过信息或接收到信息。信息泄漏信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的 实体通信流量分析攻击者观察通信协议中的控制信息,或对传送中的信息的长度、频率、源和目的进行分析。改动信息流对正确的通信
4、信息序列进行非法的修改、删除、重排序或重放。 篡改或破坏数据以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除或重放等操作而使数据 的完整性受到破坏。推断或演绎信息统计数据含有原始信息的踪迹,非法用户利用公布的统计数据,推 导出某个信息的原来值。旁路控制攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或 特权。特洛伊木马软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破 坏用户的安全后门或陷门 后门是进入系统的一种方法,通常它是由设计者有意建立起来的。陷 门在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安 全策略。陷门是后门的一种形式。抵赖
5、 这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份 对方来信等。重放 出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。计算机病毒所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染和侵 害的功能程序。人员不慎 一个授权的人为了钱或某种利益,或由于粗心,将信息泄露给一个非授 权的人物理侵入侵入者绕过物理控制而获得对系统的访问。窃取 重要的安全物品,如硬盘、令牌或身份卡被盗等。业务欺骗构造一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息,如 网上钓鱼、网上传销、网上诈骗等。4. 构成威胁的因素归结起来,针对信息系统的威胁主要有以下3个因素: 环境和自
6、然灾害因素易受环境和灾害的影响。温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电 磁场、电磁脉冲等,均会破坏数据和影响信息系统的正常工作。 人为因素人为因素可分为有意和无意。有意的是指人为的恶意攻击、违纪、违法和犯罪以及泄密行为。这是信息系统所面 临的最大威胁。无意的是指人为的无意失误,如操作员安全配置不当造成的安全漏洞,信息丢失, 用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人 共享等都会对网络安全带来威胁。 计算机系统自身因素尽管近年来计算机网络安全技术取得了巨大的进展,但现在计算机硬件系统、操作系统和应 用系统等的漏洞越来越多。计算机硬件系统的故障计算
7、机软件系统的漏洞网络和通信协议的缺陷5. 密码技术是信息安全的核心和关键。其主要包括密码编码(密码算法设计)、密码分析(密 码破译)、认证、鉴别、数字签名、密钥管理和密钥托管等技术。 密码学发展至今,已有两大类密码系统:第一类为对称密钥(Symmeric Key)密码 系统,第二类为非对称密钥(Public Key)密码系统。6. 新的防病毒产品集中体现在网络防病毒上,主要有下面几种重要技术: 数字免疫系统监控病毒源技术主动内核技术集中式管理、分布式杀毒”技术安全 网管技术7. 虚拟专用网VPN(Virtual Private Network)是在公共数据网络上,通过采用数据加密技术 和访问控
8、制技术,实现两个或多个可信内部网之间的互连。8. 信息安全发展趋势可信化:这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算 机安全。网络化:网络化成为信息安全技术的又一趋势。集成化:即从单一功能的信息安全技术与产品,向多种功能融于某一个产品标准化抽象化:是指公理化研究方法逐步成为信息安全的基本研究工具。9. 所谓信息安全保障体系,就是关于信息安全防范系统的最高层概念抽象,它由各种信息安 全防范单元组成,各组成单元按照一定的规则关系,能够有机集成起来,共同实现信息安全 目标。信息安全保障体系由组织体系、技术体系和管理体系组成。10. 密码学与密码体制密码学包括密码设计与密码分析两
9、个方面,密码设计主要研究加密方法,密码分析主要 针对密码破译,即如何从密文推演出明文、密钥或解密算法的学问。这两种技术相互依存、 相互支持、共同发展。加密算法的三个发展阶段:古典密码对称密钥密码(单钥密码体制)公开密钥 密码(双钥密码体制)对称密码体制的优点是:安全性高且加、解密速度快其缺点是:进行保密通信之前,双方必须通过安全信道传送所用的密钥。这对于相距较远的 用户可能要付出较大的代价,甚至难以实现。非对称密码体制的优点是:密钥管理方便其缺点是:加、解密速度较慢 解密与密码分析共同点“解密(脱密)”和“密码分析(密码破译)”都是设法将密文还原成明文。不同点二者的前提是不同的,“解密(脱密)
10、”掌握了密钥和密码体制,而密码分析(破译)则 没有掌握密钥和密码体制11. 入侵检测(Intrusion Detection)的定义是指通过从计算机网络或计算机系统中的若干关键 点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击 的迹象的一种安全技术。12.IDS功能与模型上图模型中包含6个主要部分: 实体(Subjects):在目标系统上活动的实体,如用户。 对象(Objects):指系统资源,如文件、设备、命令等。 审计记录(Audit records):由主体、活动(Action)、异常条件(Exception-Condition) 资源使用状况(Resou
11、rce-Usage)和时间戳(Time-Stamp)等组成。 活动档案(Active Profile):即系统正常行为模型,保存系统正常活动的有关信息。 异常记录(Anomaly Record):由事件、时间戳和审计记录组成,表示异常事件的发 生情况。 活动规则(Active Rule):判断是否为入侵的准则及相应要采取的行动。 CIDF模型上图所示的模型中,入侵检测系统分为4个基本组件: 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,但并不分析它们, 并将这些事件转换成CIDF的GIDO格式传送给其他组件; 事件分析器分析从其他组件收到的GIDO,并将产生的新的GIDO再传送给其
12、他组件; 事件数据库用来存储GIDO,以备系统需要的时候使用; 响应单元处理收到的GIDO,并根据处理结果,采取相应的措施,如杀死相关进程、 将连接复位、修改文件权限等。入侵响应是入侵检测技术的配套技术,一般的入侵检测系统会同时使用这两种技术。入侵响应技术可分为主动响应和被动响应两种类型。主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制,作为任务的一 个重要部分,入侵检测系统应该总能以日志的形式记录下检测结果。异常检测和误用检测。根据入侵检测所采用的技术,可以分为异常检测和误用检测。 异常检测(Abnormal Detection)0异常入侵检测是指能够根据异常行为和使 用计算机资源
13、的情况检测出来的入侵。 误用检测(Misuse Detection)。误用入侵检测(也称滥用入侵检测)是指利 用已知系统和应用软件的弱点攻击模式来检测入侵。基于主机和网络的检测。按照入侵检测输入数据的来源和系统结构,可以分为: 基于主机的入侵检测系统(HIDS) o 基于网络的入侵检测系统(NIDS) o混合型入侵检测系统。离线检测和在线检测。根据入侵检测系统的工作方式分为离线检测系统和在线检测 系统。离线检测系统。在事后分析审计事件,从中检查入侵活动,是一种非实时工 作的系统。在线检测。实施联机的检测系统,它包含对实时网络数据包分析,对实时主 机审计分析。集中式、等级式和协作式。按照体系结构
14、,IDS可分为集中式、等级式和协 作式3种。入侵检测系统性能准确性:检测系统具有低的假报警率和漏警率。执行性:入侵检测系统处理审计事件的比率。如果执行性很低,则无法实现入侵检 测系统的实时检测。完整性:如果一个入侵检测系统不能检测一个攻击则认为是不完整的。容错性:入侵检测系统本身应具备抵抗攻击的能力。实时性:系统能尽快地察觉入侵企图,以便制止和限制破坏13. 入侵检测系统与防火墙的区别 “防火墙”是在被保护网络周边建立的、分隔被保护网络与外部网络的系统。采用防火墙技术的前提条件是:被保护的网络具有明确定义的边界和服务;网络安 全的威胁仅来自外部网络。但仅仅使用防火墙保障网络安全是远远不够的。入
15、侵检测是防火墙的合理补充,为网络安全提供实时的入侵检测并采取相应的防护 手段。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下,能 对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 IDS 一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主 要目的在于:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为对抗 入侵,及时提供重要信息,阻止事件的发生和事态的扩大。14. 异常检测技术有以下优点:能够检测出新的网络入侵方法的攻击;较少依赖于 特定的主机操作系统;对于内部合法用户的越权违法行为的检测能力较强。缺点:误报率高;行为模型建立困难;难以对入侵行为进行分类和命名。神经网络异常检测这种方法的优点是:不依赖于任何有关数据种类的统计假设;具有较好的抗干 扰能力;能自然的说明各种影响输出结果测量的相互关系。其缺点是:网络拓扑结构以及各元素的权重很难确定;在设计网络的过程中, 输入层输入的命令个数的大小难以选取。若设置太小,则工作就
