《信息安全总结》

信息安全总结

1.信息安全与网络安全的区别

在对象范围方面，“信息安全”涵盖了“网络安全”。

信息安全工作的对象不仅涵盖了网络安全的所有问题，即信息在网络传输中的安全问题，而且还包括计算机本身的固有安全问题，如系统硬件、操作系统、应用软件、操作流程等等。

2.信息通信过程中的威胁

信息系统的用户在进行通信的过程中，常常受到两方面的攻击：

主动攻击。攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性。

被动攻击。攻击者非法截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄漏而无法察觉，给用户带来巨大的损失。

中断（interruption）：是指威胁源使系统的资源受损或不能使用，从而暂停数据的流动或服务，属于主动攻击。截获（interception）：是指某个威胁源未经允许而获得了对一个资源的访问，并从中盗窃了有用的信息或服务，属于被动攻击。

篡改（modification）。是指某个威胁源未经许可却成功地访问并改动了某项资源，因而篡改了所提供的信息服务，属于主动攻击。

伪造（fabrication）。是指某个威胁源未经许可而在系统中制造出了假消息源、虚假的信息或服务，属于主动攻击。

3.威胁的具体表现形式

伪装。某个具有合法身份的威胁源成功地假扮成另一个实体（用户或程序），随后滥用后者的权利。这时的威胁源可以是用户，也可以是程序，受威胁对象与此类同。非法连接

威胁源以非法手段形成合法身份，使得网络实体（用户或连接）与网络资源之间建立了非法连接。威胁源可以是用户，也可以是程序，受威胁对象则是各种网络资源。

拒绝服务

攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载，从而导致系统的资源对合法用户的服务能力下降或丧失；或是由于信息系统或其组件在物理上或逻辑上受到破坏而中断服务。

否认

网络用户虚假地否认提交过信息或接收到信息。信息泄漏信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的实体

通信流量分析

攻击者观察通信协议中的控制信息，或对传送中的信息的长度、频率、源和目的进行分析。

改动信息流对正确的通信信息序列进行非法的修改、删除、重排序或重放。篡改或破坏数据

以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除或重放等操作而使数据的完整性受到破坏。

推断或演绎信息统计数据含有原始信息的踪迹，非法用户利用公布的统计数据，推导出某个信息的原来值。

旁路控制

攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。

特洛伊木马

软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全后门或陷门

后门是进入系统的一种方法，通常它是由设计者有意建立起来的。陷门在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。陷门是后门的一种形式。

抵赖这是一种来自用户的攻击，比如。否认自己曾经发布过的某条消息、伪造一份对方来信等。

重放

出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。计算机病毒

所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。

人员不慎

一个授权的人为了钱或某种利益，或由于粗心，将信息泄露给一个非授权的人

物理侵入侵入者绕过物理控制而获得对系统的访问。窃取重要的安全物品，如硬盘、令牌或身份卡被盗等。

业务欺骗构造一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息，如网上钓鱼、网上传销、网上诈骗等。

4.构成威胁的因素

归结起来，针对信息系统的威胁主要有以下3个因素：①环境和自然灾害因素

易受环境和灾害的影响。温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作。②人为因素

人为因素可分为有意和无意。

有意的是指人为的恶意攻击、违纪、违法和犯罪以及泄密行为。这是信息系统所面临的最大威胁。

无意的是指人为的无意失误，如操作员安全配置不当造成的安全漏洞，信息丢失，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

③计算机系统自身因素

尽管近年来计算机网络安全技术取得了巨大的进展，但现在计算机硬件系统、操作系统和应用系统等的漏洞越来越多。

计算机硬件系统的故障计算机软件系统的漏洞网络和通信协议的缺陷

5.密码技术是信息安全的核心和关键。其主要包括密码编码（密码算法设计）、密码分析（密码破译）、认证、鉴别、数字签名、密钥管理和密钥托管等技术。

密码学发展至今，已有两大类密码系统。第一类为对称密钥（symmerickey）密码系统，第二类为非对称密钥（publickey）密码系统。

6.新的防病毒产品集中体现在网络防病毒上，主要有下面几种重要技术：①数字免疫系统②监控病毒源技术③主动内核技术④“集中式管理、分布式杀毒”技术⑤安全网管技术

7.虚拟专用网vpn（virtualprivatenetwork）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互连。

8.信息安全发展趋势

可信化：这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。网络化：网络化成为信息安全技术的又一趋势。

集成化：即从单一功能的信息安全技术与产品，向多种功能融于某一个产品标准化

抽象化。是指公理化研究方法逐步成为信息安全的基本研究工具。

9.所谓信息安全保障体系，就是关于信息安全防范系统的最高层概念抽象，它由各种信息安全防范单元组成，各组成单元按照一定的规则关系，能够有机集成起来，共同实现信息安全目标。

信息安全保障体系由组织体系、技术体系和管理体系组成。

10.密码学与密码体制

密码学包括密码设计与密码分析两个方面，密码设计主要研究加密方法，密码分析主要针对密码破译，即如何从密文推演出明文、密钥或解密算法的学问。这两种技术相互依存、相互支持、共同发展。

加密算法的三个发展阶段：①古典密码②对称密钥密码（单钥密码体制）③公开密钥密码（双钥密码体制）

对称密码体制的优点是：安全性高且加、解密速度快

其缺点是。进行保密通信之前，双方必须通过安全信道传送所用的密钥。这对于相距较远的用户可能要付出较大的代价，甚至难以实现。

非对称密码体制的优点是：密钥管理方便

其缺点是：加、解密速度较慢

解密与密码分析①共同点“解密（脱密）”和“密码分析（密码破译）”都是设法将密文还原成明文。②不同点

二者的前提是不同的，“解密（脱密）”掌握了密钥和密码体制，而密码分析（破译）则没有掌握密钥和密码体制11.入侵检测（intrusiondetection）的定义是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

12.ids功能与模型

上图模型中包含6个主要部分：

①实体（subjects）。在目标系统上活动的实体，如用户。

②对象（objects）。指系统资源，如文件、设备、命令等。

③审计记录（auditrecords）。由主体、活动（action）、异常条件（exception-condition）、资源使用状况（resource-usage）和时间戳（time-stamp）等组成。

④活动档案（activeprofile）。即系统正常行为模型，保存系统正常活动的有关信息。

⑤异常记录（anomalyrecord）。由事件、时间戳和审计记录组成，表示异常事件的发生情况。

⑥活动规则（activerule）。判断是否为入侵的准则及相应要采取的行动。

cidf模型

上图所示的模型中，入侵检测系统分为4个基本组件：

①事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，但并不分析它们，并将这些事件转换成cidf的gido格式传送给其他组件；

②事件分析器分析从其他组件收到的gido，并将产生的新的gido再传送给其他组件；

③事件数据库用来存储gido，以备系统需要的时候使用；

④响应单元处理收到的gido，并根据处理结果，采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。

入侵响应是入侵检测技术的配套技术，一般的入侵检测系统会同时使用这两种技术。入侵响应技术可分为主动响应和被动响应两种类型。

主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制，作为任务的一个重要部分，入侵检测系统应该总能以日志的形式记录下检测结果。

异常检测和误用检测。根据入侵检测所采用的技术，可以分为异常检测和误用检测。

异常检测（abnormaldetection）。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。

误用检测（misusedetection）。误用入侵检测（也称滥用入侵检测）是指利用已知系统和应用软件的弱点攻击模式来检测入侵。

基于主机和网络的检测。按照入侵检测输入数据的来源和系统结构，可以分为：

基于主机的入侵检测系统（hids）。基于网络的入侵检测系统（nids）。混合型入侵检测系统。

离线检测和在线检测。根据入侵检测系统的工作方式分为离线检测系统和在线检测系统。

离线检测系统。在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统。

在线检测。实施联机的检测系统，它包含对实时网络数据包分析，对实时主机审计分析。

集中式、等级式和协作式。按照体系结构，ids可分为集中式、等级式和协作式3种。

入侵检测系统性能

准确性。检测系统具有低的假报警率和漏警率。

执行性：入侵检测系统处理审计事件的比率。如果执行性很低，则无法实现入侵检测系统的实时检测。完整性：如果一个入侵检测系统不能检测一个攻击则认为是不完整的。

容错性。入侵检测系统本身应具备抵抗攻击的能力。

实时性：系统能尽快地察觉入侵企图，以便制止和限制破坏13.入侵检测系统与防火墙的区别

“防火墙”是在被保护网络周边建立的、分隔被保护网络与外部网络的系统。

采用防火墙技术的前提条件是。被保护的网络具有明确定义的边界和服务；网络安全的威胁仅来自外部网络。

但仅仅使用防火墙保障网络安全是远远不够的。

入侵检测是防火墙的合理补充，为网络安全提供实时的入侵检测并采取相应的防护手段。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下，能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

ids一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其主要目的在于：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗入侵，及时提供重要信息，阻止事件的发生和事态的扩大。

14.异常检测技术有以下优点：①·能够检测出新的网络入侵方法的攻击；②·较少依赖于特定的主机操作系统；③·对于内部合法用户的越权违法行为的检测能力较强。缺点：①·误报率高；②·行为模型建立困难；③·难以对入侵行为进行分类和命名。

①神经网络异常检测这种方法的优点是。①·不依赖于任何有关数据种类的统计假设；②·具有较好的抗干扰能力；③·能自然的说明各种影响输出结果测量的相互关系。

其缺点是。①·网络拓扑结构以及各元素的权重很难确定；②·在设计网络的过程中，输入层输入的命令个数的大小难以选取。若设置太小，则工作就差；若设置太高，网络中需要处理的数据就会太多，降低了网络的效率。

15.误用检测技术有以下优点：·①检测准确度高；②·技术相对成熟；③·便于进行系统防护。误用检测技术有以下不足：①·不能检测出新的入侵行为；②·完全依赖于入侵特征的有效性；

③·维护特征库的工作量大；④·难以检测来自内部用户的攻击。

16.

vpn的定义

vpn是将物理分布在不同站点的网络通过公用骨干网，尤其是internet连接而成的逻辑上的虚拟子网。为了保障信息的安全，vpn技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。

所谓虚拟，是针对传统的企业“专用网络”而言的，是指用户不再需要拥有实际的长途线路，而是使用internet公众数据网络的长途数据网络。

所谓专用，表示vpn是被特定企业或用户私有的，并不是任何公共网络上的用户都能够使用已经建立的vpn通道，而是只有经过授权的用户才可以使用。

所谓网络，表示这是一种专门的组网技术和服务，企业为了建立和使用vpn必须购买和配备相应的网络设备。

vpn的作用与特点

一个vpn至少要提供数据加密、信息认证和身份认证以及访问权限控制等功能。vpn有以下特点：

①费用低

②灵活性大③易于管理维护

vpn的分类

①远程访问虚拟网（accessvpn）。又称为拨号vpn，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。

采取了各种安全防护措施并不意味着网络系统的安全性就得到了完全的保障，网络的状况是动态变化的，而各种软件系统的漏洞层出不穷，都需要采取有效的手段对网络的运行进行监测。这是模型一个非常重要的环节，是整个模型动态性的体现。能够保证模型随着事件的递增，防御能力也随着提升。

响应（response）

它在安全系统中占有最重要的地位，是解决安全潜在性的最有效的方法。在检测到安全漏洞和安全事件之后必须及时做出正确的响应，从而把系统调整到安全状态。