计算机安全复习重点

计算机安全复习重点第一章计算机安全概述•计算机系统资源包含什么硬件，软件，数据以及通信设施和网络•计算机安全的三个目标及其分别的含义为自动化信息系统提供的保护，以达到保持信息系统资源的机密性(Confidentiality)，完整性(Integrity)和可用性(Availability)为目标。机密性：数据机密性：确保隐私或机密信息不能由非授权个人利用，或不能披露给非授权个人。隐私性：确保个人能够控制个人信息的收集和存储，也能够控制这些信息可以由谁披露或向谁披露。机密性缺失：非授权信息完整性：数据完整性：确保信息和程序只能在指定的和授权的方式下才能够被改变。系统完整性：确保系统在未受损的方式下执行预期的功能，避免对系统进行有意或无意的非授权操作。完整性缺失：非授权的信息被修改或破坏。可用性：确保系统能够迅速地进行工作，并且不能拒绝对授权用户的服务。可用性缺失：对信息或信息系统的访问和使用的破坏。拒绝服务(DoS,denialofservice)攻击将破坏可用性。注意Dos和DDoS(分布式拒绝服务攻击)。•威胁定义，威胁的分类及其对应的攻击方式；威胁代理定义计算机系统资源的脆弱性：泄露(机密性)，恶意破坏(完整性)和不可用(可用性)。威胁：利用计算机系统资源的脆弱性产生的潜在安全危害。威胁的分类及其对应的攻击方式：非授权泄漏：实体未授权而获得数据访问——破坏机密性攻击方式有暴露，截获，推理，入侵欺骗：导致授权实体接受虚假数据并相信其正确性的情况或事件——破坏完整性攻击方式有冒充(特洛伊木马)，伪造，抵赖破坏：中断或阻止系统服务和功能正常运行的情况或事件。——破坏可用性或完整性攻击方式有失能，损坏，阻碍篡夺：导致系统服务或功能被非授权实体控制的事情或情况——破坏完整性攻击方式有误用，盗用威胁代理：执行攻击的代理(攻击者)•攻击的定义，分类攻击：被实施的威胁，如果成功将会导致不期望的安全侵害和或威胁后果。攻击分为主动攻击，被动攻击，内部攻击和外部攻击。•对策、风险定义对策：对付攻击所采取的任何手段①能够成功防止特定类型的攻击②防止不可能时，检测攻击，并从攻击造成的后果中恢复。风险：执行对策后，可能存在残余的脆弱性，被威胁代理利用。---资产所有者通过制定其他约束来实现最小化风险。第二章密码学•密码学术语解释研究如何隐秘地传递信息。密码学是关于如何在敌人存在的环境中通信。•密码学发展阶段两个阶段：古典密码(1949年以前)和现代密码(1949年之后)，标志是香农发表《保密系统信息理论》古代密码还不是科学，而是艺术，出现了一些密码算法和加密设备，密码算法的基本手段替换和置换，针对的是字符，简单的密码分析手段出现。主要特点是：信息的安全基于加密算法的保密。现代密码使用大量的数学，计算机使得基于复杂计算的密码成为可能。主要特点是：数据的安全基于密钥而不是算法的保密。•凯撒密码和棋盘密码的原理，知道如何加解密凯撒密码算法：每个字母使用它之后的第3个字母代替。棋盘密码算法：5x5的字符矩阵，用下标xy标记字符。•加密、解密、密码体制、明文、密文、密钥的概念加密：将消息进行编码，以模糊其含义的过程。解密：是加密的逆过程，将加密过的消息变回其原始形式。密码体制：用于加密和解密的系统明文：消息的初始形式，原始可理解的消息或数据密钥：用来加密消息的一组秘密的数据密文：加密后的形式，不可直观理解，依赖于明文和密钥•对称密码概念加密和解密的密钥相同。P=D(K,E(K,P))•分组密码的两个设计原则及含义混乱和扩散。混乱：确保密文和明文没有明显的联系，密文尽量随机；替换。使得密文和明文关系尽可能复杂化，以防止统计分析。扩散：将明文中一位的影响扩展到密文中的多位；置换。希望明文和密钥的一比特改变都在某种程度上影响密文的变化以防止统计分析攻击。•DES分组密码算法①分组加密：明文和密文为64位分组长度②对称算法：加解密使用同一算法③密钥长度：56位(一个分组64位的每个第8位为奇偶校验位)，长期使用。④设计原则：混乱、扩散加密过程：(公开)置换(IP-P’)——》16轮Feistel结构——》逆置换-密文解密过程与加密过程完全相同。•消息认证的目的，如何使用对称密码或哈希函数实现消息认证消息认证的目的：信源识别，检验发送信息的完整性。通过使用对称密码或哈希函数实现消息认证。对称密码：1.发送者和接收者协商密码的对称密钥K2.发送消息时，发送(m,C)，C=E(m,K)。3.接收者接收到(m,C)后，计算E(m,K),判断是否与C相同从而实现消息认证。哈希函数实现：利用哈希函数生成消息的一个固定长度码字，成为消息认证码。1.发送者和接收者协商密码的串K2.发送消息时，发送(m,C)，C=H(m,K)。3.接收者接收到(m,C)后，计算H(m,K),判断是否与C相同从而实现消息认证。注：哈希函数不使用密钥，是多对一的映射。•哈希函数的定义，要求，应用举例定义：H:{0,1}*-{0,1}m输入为任意长度的消息M，输出为一个固定长度m的散列值的运算函数；不使用密钥，是所有消息位的函数。要求：1.对于任意给定的x，计算H(x)比较容易。2.单向性(抗原像性)：对于任意给定的H(x)，找到x=H(x)不可行3.抗弱碰撞性：给定一个x，找到一个y，y≠x，使得H(x)=H(y)不可行4.抗强碰撞性：找到任何满足H(y)=H(x),的一对(x,y)在计算上不可行。应用：口令存储，入侵检测。•公钥加密（或称为非对称加密）概念；公钥加密的密钥生成过程公钥密码使用两个密钥(公钥，私钥)进行加解密操作。加密与解密由不同的密钥完成，公钥可以被任何知道可用来加密消息，私钥只为接收者本人知道用来解密消息。公钥加密的密钥生成过程：1.用户生成一对密钥(PK,SK)2.用户将(PK,SK)和个人信息发给证书颁发中心CA3.CA为改密钥对生成一个证书(证明该密钥合法性)4.CA公开列表(用户信息,PK)5.其他用户下载列表就可以获取PK向对应用户发信息。•数字签名的性质不可伪造真实性不可变不可重用任何人都可以验证签名第三章用户认证和访问控制•用户认证的4种认证方法基于口令的认证基于令牌的认证生物特征认证远程用户认证•存储口令使用盐值的原理存储口令时，加入盐值与口令一起进行哈希并且将其哈希值和盐值存储到口令文件中，防止复制的口令在口令文件中可见，显著地增加离线字典攻击的难度，使得攻击者几乎不可能发现一个用户是否在两个或以上的系统中使用了相同口令。•远程用户认证的质询-响应协议1.用户发送其身份ID2.远程主机发送一个随机数r3.用户计算f(r’,h(ID))返回给主机4.主机自己计算该值，然后匹配•访问控制机制中的主体、客体、访问权概念主体：能够访问客体的实体，包括所有者，组和世界客体：外界对其访问受到控制的资源，包括文件记录等访问权：描述主体可以访问客体的方式，包括读写权等。•访问控制机制分类及其分别的含义自主访问控制：一个实体可以被授权按自己的意志使得另一个实体能够访问某些资源的机制。强制访问控制：具有访问某种资源的许可实体不能按其意志授予其他实体访问该资源的权限的机制基于角色的访问控制：RBAC为角色分配访问权限，而不是为单独的用户或用户组分配的机制第四章入侵检测•入侵者概念最受公众关注的两个安全威胁：入侵者和病毒。入侵者(黑客)分为以下三类：1.假冒者：冒用合法账户(外部用户)2.违法者：访问未授权资源的合法用户，或错误使用访问权限的合法用户(内部用户)3.秘密用户：获取对系统的超级控制权，逃避审计和访问控制。•安全入侵、入侵检测定义安全入侵：一个安全事件或多个安全事件的组合构成一个安全事故，在安全事故中入侵者在未经授权的情况下获取或尝试获取一个系统(或系统资源)的访问权。入侵检测：一种监控并分析系统事件的安全服务，目标是发现未经授权而访问系统资源的尝试活动，并提供实时或近似实时的报警。基本目的：检测入侵，记录可疑事件，并发送报警。•入侵检测系统组件IDS包括三个逻辑组件：1.传感器负责收集数据，输入类型：网络数据包，日志文件，系统调用痕迹2.分析器负责确定是否发生了入侵，从一个或多个传感器或分析器接受输入。提供指导，用于判定什么活动是入侵导致的后果。3.用户接口通过用户接口查看系统输出。•审计记录概念、格式审计记录是用于入侵检测的一个基本工具，用户正在进行的活动的记录作为入侵系统IDS的输入。一般采用原始审计记录和检测专用的审计记录两种方法进行。审计记录的格式：主体动作客体异常条件资源使用时间戳动作发起者对客体的操作动作接收者异常返回资源使用量发生的时间•入侵检测的两种方法异常检测：依据合法用户的行为规则来判定用户行为的不合法性。①阀值检测：为各种事件发生的频率定义阀值②基于配置文件的检测：建立用户活动配置文件，检测单个账户行为变化。特征检测：根据一组规则或攻击模式，来确定给定的行为是否为入侵者行为。•掌握入侵检测系统的分类及其各自概念1.基于主机的入侵检测系统(HIDS)监测一台主机的特征和该主机发生的与可以活动相关的事件2.基于网络的入侵检测系统(NIDS)监测特定的网段或设备的流量并分析网络、传输和应用协议，用以识别可疑的活动3.分布式基于主机的入侵检测系统(DIDS)保护由局域网或互联网连接的分布式主机集合的安全4.分布式自适应入侵检测系统•蜜罐的概念和功能把攻击者引导到一个经过特殊装备的系统上，这种系统称为蜜罐。功能：1转移攻击者对重要系统的访问2收集有关攻击者活动的信息3鼓励攻击者在系统中逗留足够长的时间，以便于管理员对此攻击做出响应第五章恶意软件•恶意软件的概念、分类概念：利用计算机系统漏洞来对计算机系统造成威胁的程序分类：1按照是否依附于宿主程序寄生程序：依附于主程序，病毒、逻辑炸弹、后门非寄生程序：独立于宿主程序，蠕虫、bot程序2按是否进行复制不进行复制：触发执行的程序或程序片段，逻辑炸弹、后门、bot程序进行复制：程序或程序片段，执行时生成一个或多个自身的拷贝，在合适的时机在当前系统或其他系统中被激活，病毒、蠕虫•病毒组成部分、四个经历阶段、病毒的几种分类病毒：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的依附在宿主程序上一组计算机指令或程序代码。病毒的三个组成部分：感染机制(病毒传播和自我复制的方法)触发条件(激活或交付病毒有效载荷的事件或条件)有效载荷(病毒除传播以外的活动，包括破坏活动或无破坏但值得注意的活动)病毒的四个经历阶段：潜伏阶段：处于休眠状态传播阶段：拷贝自身出入其他程序或硬盘上某个与系统相关的区域，会发生变异触发阶段：被激活以执行预先设定的功能执行阶段：执行病毒功能病毒的分类：按感染对象分类：感染引导扇区病毒；感染可执行文件病毒；宏病毒。按隐藏方式分类：加密型病毒；隐蔽性病毒；多态病毒；变形病毒。•反病毒方法预防，检测，识别，清除。•蠕虫和病毒的区别、蠕虫传播工具蠕虫能够自我复制，独立于宿主程序，通过网络大量传播自身拷贝的恶意代码，占据内存空间使得计算机速度变慢，但是不会改变或删除文件。蠕虫与病毒的区别：1.病毒可通过任何介质进行传播，蠕虫通过网络2.病毒的自身拷贝必须嵌入到其他程序中来传播，蠕虫自身拷贝都是以独立程序的形式传播蠕虫的传播工具：电子邮件工具，远程执行能力和远程登陆能力。•如何构造僵尸网络、扫描方式Bot具有远程执行功能，至少在开始阶段，由中央程序控制。建立僵尸网络1攻击者通过扫描或特征码识别找到大量存在漏洞的主机，获得访问权，并用bot软件感染它们。2被感染的机器上的bot软件继续扫描并感染其他主机，直到组成大型分布式网络。扫描方式1.随机扫描2.攻击列表3.拓扑扫描4.本地子网扫描•Rootkit概念Rootkit是安装在系统中用来支持以管理员权限对系统进行访问的一组程序。黑客会在入侵的主机中安装Rootkit。Rootkit通过破坏系统对进程、文件、注册表的监控和报告机制来实现隐藏。•木马的组成和原理木马是一个有用的或表面上看起来有用的程序或命令过程，内部隐藏