信息安全技术知识点

Chap1

1. 信息安全的基本属性

• 保密性 ：确保信息不被泄露或呈现给非授权的人。
• 完整性 ：确保数据的一致性，特别要防止未授权的生成、修改或毁坏数据。
• 可用性 ：确保合法用户不会无缘无故地拒绝访问信息或资源。
• 合法使用性 ：确保资源不被非授权的人或以非授权的方式使用。

2.安全攻击：被动攻击和主动攻击

1 主动攻击
主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改、重放和重排信息内容造成信息破坏,使系统无法正常运行。包括拒绝服务攻击（DoS）、分布式拒绝服务（DDos）、信息篡改、资源使用、欺骗、伪装、等攻击方法。

2 被动攻击
被动攻击是攻击者非常截获、窃取通信线路中的信息, 主要是收集信息而不是进行访问，并不涉及数据的任何改变，使信息保密性遭到破坏, 数据的合法用户对这种活动一点也不会觉察到，给用户带来巨大的损失。被动攻击包括嗅探、信息收集等攻击方法。

3.信息安全模型

一个常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery)，即防护、检测、响应、恢复)模型，可以描述网络安全防御体系的主体架 构。

PDRR由以下4部分构成:

P：Protection（防护）.主要内容有加密机制,数字签名机制,访问控制机制,认证机制,信息隐藏,防火墙技术等.

D：Detection（检测）.主要内容有入侵检测,系统脆弱性检测,数据完整性检测,攻击性检测等.

R：Recovery（恢复）.主要内容有数据备份,数据恢复,系统恢复等.

R：Reaction（响应）.主要内容有应急策略,应急机制,应急手段,入侵过程分析,安全状态评估等.

安全生命周期模型

P：Protection（防护）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性

D：Detection（检测）：提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性

R：Reaction（响应）：对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常的服务

R：Recovery（恢复）：一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务

Chap2

1.古典密码：维吉尼亚密码和周期置换密码

维吉尼亚密码

维吉尼亚密码便是移位密码的推广

实际上就是每个明文加上对应的密钥字。
举例如下：若密钥为CIPHER即 k = ( 2 , 8 , 15 , 7 , 4 , 17 )
明文是以下字符串：

T H I S C R Y P T O S Y S T E M I S N O T S E C U R E

我们根据字母表将字符串翻译成数字：

( 19 , 7 , 8 , 18 , 2 , 17 , 24 , 15 , 19 , 14 , 18 , 24 , 18 , 19 , 4 , 12 , 8 , 18 , 13 , 14 , 19 , 18 , 4 , 2 , 20 , 17 , 4 )
然后将其按照密钥个数进行分组，分别与集合 K KK 相加，得到密钥：

( 21 , 15 , 23 , 25 , 6 , 8 , 0 , 23 , 8 , 21 , 22 , 15 , 20 , 1 , 19 , 19 , 12 , 9 , 15 , 22 , 8 , 25 , 8 , 19 , 22 , 25 , 19 )

因此密文为：

V P X Z G I A X I V W P U B T T M J P W I Z I T W Z T

周期置换密码：

• 原理： 周期置换密码是通过将明文按照一定的周期重新排列来加密的。一种常见的例子是栅栏密码。

• 步骤：

  • 选择一个加密的周期数（例如3）。
  • 将明文按照周期分组。
  • 重新排列每个组内的字母，形成密文。

2.对称加密与非对称加密体制加解密过程与特点

1.对称加密

概念：加密算法是公开的，靠的是秘钥来加密数据，使用一个秘钥加密，必须使用相同的秘钥才解密。

优点： 算法公开、计算量小、加密速度快、加密效率高

缺点：在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥

常见算法：DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES

2.非对称

概念：加密和解密使用不同的秘钥，一把公开的公钥，一把私有的私钥。公钥加密的信息只有私钥才能解密，私钥加密的信息只有公钥才能解密。
优点：安全，即使密文被拦截、公钥被获取，但是无法获取到私钥，也就无法破译密文。作为接收方，务必要保管好自己的密钥。
缺点：加密算法及其复杂，安全性依赖算法与密钥，而且加密和解密效率很低。
常见算法：RSA、DSA、ECC

Chap3

1.哈希函数

主要是用于数据完整性保护和数字签名

哈希函数的基本特性：唯一性、一致性、单向性、随机性等

2.哈希函数的攻击分析

如果不同的输入得到了同一个哈希值，就发生了"哈希碰撞"（collision）。

生日攻击：

哈希碰撞的概率取决于两个因素（假设哈希函数是可靠的，每个值的生成概率都相同）。

• 取值空间的大小（即哈希值的长度）
• 整个生命周期中，哈希值的计算次数

这个问题在数学上早有原型，叫做"生日问题"（birthday problem）：一个班级需要有多少人，才能保证每个同学的生日都不一样？

答案很出人意料。如果至少两个同学生日相同的概率不超过5%，那么这个班只能有7个人。事实上，一个23人的班级有50%的概率，至少两个同学生日相同；50人班级有97%的概率，70人的班级则是99.9%的概率（计算方法见后文）。

这意味着，如果哈希值的取值空间是365，只要计算23个哈希值，就有50%的可能产生碰撞。也就是说，哈希碰撞的可能性，远比想象的高。实际上，有一个近似的公式。

$$ \sqrt{\Pi*N/2} $$

上面公式可以算出，50% 的哈希碰撞概率所需要的计算次数，N 表示哈希的取值空间。生日问题的 N 就是365，算出来是 23.9。这个公式告诉我们，哈希碰撞所需耗费的计算次数，跟取值空间的平方根是一个数量级。

这种利用哈希空间不足够大，而制造碰撞的攻击方法，就被称为生日攻击（birthday attack）。

消息认证与普通消息摘要的区别

Chap4

1.数字签名的定义

数字签名是一种用于保证数字信息的完整性、真实性和不可抵赖性的技术。数字签名通常是由发送方使用私钥对消息进行加密，生成一个特定的签名值，并将签名值与消息一起发送给接收方。接收方可以使用发送方的公钥对签名值进行解密和验证，从而确定消息的真实性和完整性。

数字签名基于公钥密码体制

2.数字签名的基本假设条件

1. 私钥保密性: 数字签名使用非对称加密，发送者使用私钥进行签名，公钥用于验证签名。假设私钥只有签名者知道，不会泄露给其他人，以确保签名的真实性和可靠性。
2. 公钥的真实性: 接收者使用签名者的公钥来验证签名的有效性。基本假设是公钥确实属于声称的发送者，而不是被替换或伪造的。安全的数字证书机构通常用于确认公钥的真实性。
3. 算法的安全性: 数字签名算法是基于数学难题的，例如RSA、DSA或ECDSA。这些算法的安全性基于数学难题的难以破解，比如大数分解问题或离散对数问题。
4. 消息的完整性: 数字签名要求消息在签名之前不能被篡改。签名的有效性取决于消息的完整性。任何对消息的修改都会使得签名验证失败。

3.数字签名的基本条件

1. 身份认证: 数字签名能够验证信息发送者的身份，确保接收者知道信息确实来自特定的个人或实体。
2. 完整性保护: 数字签名确保信息在传输过程中没有被篡改或修改。一旦签名生成，任何对信息的修改都会导致签名失效。
3. 不可否认性: 签名者不能否认曾经签署过特定的信息。数字签名是可 验证的，因此签名者无法在签署后否认他们的签名有效性。
4. 数据完整性验证: 签名同时确保信息完整性和真实性，保证信息在传输过程中不会被修改或损坏。
5. 时间戳（可选）: 有时数字签名需要与时间戳结合使用，以确保签名的时间有效性和一致性。

4.数字签名过程

1. 选择签名算法和密钥对: 签名者选择适当的加密算法，并生成一对密钥：私钥和公钥。私钥用于签名，公钥用于验证签名。
2. 生成消息摘要: 签名者使用哈希函数对要签名的消息进行摘要处理，得到消息的哈希值。这个哈希值是一个固定长度的数据串，代表了原始消息的内容。
3. 使用私钥进行签名: 签名者使用私钥对消息的哈希值进行加密，生成数字签名。这个数字签名与原始消息相关联，证明了消息的完整性和来源。
4. 附加数字签名: 数字签名会与原始消息一起发送或附加在消息上。
5. 验证签名: 接收者收到消息和数字签名后，使用签名者的公钥解密数字签名，得到消息的摘要。接着，接收者使用相同的哈希函数对原始消息计算摘要。如果这两个摘要相匹配，则数字签名有效，消息完整且未被篡改。

5.代理签名的性质及群签名的性质

代理签名和群签名是数字签名的扩展形式，具有不同的性质和特点：

代理签名的性质：

1. 代理能力: 允许某人（代理者）代表其他人（原签名者）签署文件，而无需原签名者的直接参与。代理签名者可以使用原签名者的授权进行签名。
2. 不可伪造性: 代理签名应保证在代理者的授权下进行，防止未经授权的代理签名发生。
3. 不可抵赖性: 原签名者不得否认他们委托代理者签署文件的事实，即便签名者未直接参与签名，但在被授权的情况下，签名者不可否认签署文件。
4. 身份认证: 代理签名也涉及身份认证，要求验证代理者的身份和被代理者的授权。

群签名的性质：

1. 匿名性: 群签名允许一个群体中的成员共同生成签名，但无法确定是群体中的哪个成员生成了签名，保护了成员的匿名性。
2. 不可否认性: 群签名具有不可否认性，即使签名是由群体中的成员共同生成的，但任何一个成员都不能单独否认自己的参与。
3. 部分验证性: 群签名可以部分验证，即只有部分成员合作才能验证签名的有效性。不需要所有成员的合作，仅需要部分成员验证即可确认签名的真实性。

Chap5

1.PKI 的基本概念、提供的安全服务

PKI（Public Key Infrastructure，公钥基础设施）是一个包括公钥加密、数字证书、证书颁发机构（CA）等组件的体系结构，用于管理公钥和数字证书的分发、存储、验证和撤销。

基本概念：

1. 公钥加密: 使用非对称加密算法，生成一对密钥：公钥和私钥。公钥用于加密，私钥用于解密。公钥可以公开分发，私钥则保密。
2. 数字证书: 数字证书是证明个体身份的数字文档，包含了个体的公钥、身份信息以及由CA签名的认证信息。
3. 证书颁发机构（CA）: 负责验证个体身份信息，并将其公钥与身份信息绑定在数字证书中，然后对证书进行数字签名。CA被信任，其签发的证书可被其他用户信任。

提供的安全服务：

1. 身份认证: PKI能够确保参与通信的实体是其所宣称的身份。这通过数字证书的验证和CA信任体系来实现。
2. 数据加密: 使用公钥加密传输机密信息，确保只有私钥持有者才能解密和访问信息。
3. 数据完整性: 通过数字签名和验证保证信息在传输过程中没有被篡改。
4. 不可否认性: 使用数字签名技术，防止消息发送者否认曾经发送过特定信息。
5. 密钥管理: PKI提供了安全地生成、存储、分发和撤销密钥的机制，确保密钥的安全性和合规性。

PKI的目标是提供安全的通信和数据交换机制，通过建立信任、保障数据完整性和机密性，以及实现身份认证和不可否认性来确保信息安全。

2.数字证书的主要内容

版本号、证书有效起止日期、主体标识、主体公钥信息、认证机构标识、证书拥有者名称、认证机构签名等内容

3.X.509 证书

X.509证书是PKI中最常用的数字证书标准之一，用于在公钥基础设施中验证实体的身份。它包含了特定实体（通常是个人、组织或设备）的公钥以及与该公钥相关联的身份信息，由证书颁发机构（CA）签发和管理。

X.509证书的组成部分：

1. 版本号（Version）: 标识证书的版本信息，例如X.509 v3。
2. 序列号（Serial Number）: 由CA分配的唯一序列号，用于标识该证书的唯一性。
3. 签发者（Issuer）: 证书的颁发者，即证书颁发机构（CA）的信息。
4. 有效期（Validity）: 包括证书的生效日期和失效日期，指定证书的可用期限。
5. 主体（Subject）: 证书所描述的实体信息，通常是个人、组织或设备的身份信息。
6. 公钥（Public Key）: 包含实体的公钥，用于加密和验证签名。
7. 扩展字段（Extensions）: 可能包含其他的信息，如密钥用途、证书策略、颁发者信息等扩展属性。
8. 数字签名（Signature）: CA使用自己的私钥对证书信息进行签名，以确保证书的完整性和真实性。

X.509证书的应用：

1. SSL/TLS协议: 在网站和浏览器之间建立安全连接时，使用服务器端的X.509证书来验证服务器身份。
2. 身份验证: 用户认证、电子邮件签名、加密和数字签名等场景，均可使用X.509证书。
3. VPN和身份管理: 在虚拟专用网络（VPN）和身份管理系统中用于身份验证和加密通信。

X.509证书作为公钥基础设施中的核心组件，提供了一种可信任、安全的机制，用于验证实体的身份和确保通信的安全性。

Chap6

1.密钥种类

对称密钥（Symmetric Key）：

1. 对称加密密钥（Symmetric Encryption Key）: 用于对称加密算法，同一个密钥用于加密和解密数据，如AES（高级加密标准）和DES（数据加密标准）等算法所使用的密钥。

非对称密钥（Asymmetric Key）：

1. 公钥（Public Key）: 用于非对称加密算法中的加密操作，可以公开分发。
2. 私钥（Private Key）: 与公钥成对出现，用于非对称加密算法中的解密操作，必须保密存储。

混合密钥（Hybrid Key）：

1. 会话密钥（Session Key）: 用于保护特定通信会话的临时密钥，通常是对称密钥。在安全通信开始时，使用非对称加密建立通信，然后生成一个临时的对称会话密钥，以提高通信效率和安全性。

数字签名密钥（Digital Signature Key）：

1. 签名私钥（Signing Private Key）: 用于生成数字签名，在数字签名过程中使用。
2. 验证公钥（Verification Public Key）: 用于验证数字签名的真实性和完整性。

密钥衍生（Key Derivation）：

1. 派生密钥（Derived Key）: 通过密钥衍生函数从另一个密钥中派生出来的密钥，用于各种安全协议和应用中，例如衍生会话密钥或者用于其他用途的子密钥。

2.密钥的分配与协商

对称密钥的分配与协商：

1. 预共享密钥（Pre-Shared Key）: 通信双方预先共享密钥，通常在系统部署前提前配置好。这个方法常用于较小规模的网络。
2. 密钥交换协议（Key Exchange Protocols）: 使用安全协议，如Diffie-Hellman密钥交换（DH）或其变体，允许通信双方在通信开始前协商并生成共享的对称密钥。

非对称密钥的分配与协商：

1. 证书颁发机构（CA）和数字证书: 通信双方使用CA签发的数字证书进行身份验证和密钥交换，确保接收方能够安全地获得发送方的公钥。
2. 密钥协商协议（Key Agreement Protocols）: 如基于非对称加密的协议，允许通信双方在通信开始前生成共享的对称密钥。

密钥协商的过程：

1. 密钥协商的发起: 通信双方通过协商协议开始密钥协商过程，要求生成一个共享密钥。
2. 密钥协商的验证: 通信双方验证对方的身份，并确保通信双方能够互相信任，以防止中间人攻击。
3. 密钥的生成和协商: 通过密钥协商协议，通信双方使用算法生成共享的对称密钥或会话密钥。
4. 密钥的使用: 生成的密钥用于保护通信数据的加密和解密，确保通信的安全性和隐私性。

3.网络加密技术

网络加密技术是保护网络通信和数据传输安全的方法和工具集合，用于确保数据的保密性、完整性和身份验证。这些技术可以分为几个主要类别：

1. 对称加密：

• 描述：使用相同的密钥对数据进行加密和解密。常见算法包括AES（高级加密标准）和DES（数据加密标准）。
• 应用：保护大量数据的机密性，但需要确保安全地传输密钥。

2. 非对称加密：

• 描述：使用公钥和私钥进行加密和解密。公钥用于加密，私钥用于解密。常见算法包括RSA、DSA和ECC。
• 应用：实现安全的密钥交换、数字签名和身份验证。

3. 哈希函数：

• 描述：将数据映射为固定长度的唯一输出，不可逆转。常见算法包括SHA-256和MD5。
• 应用：验证数据完整性，生成数据摘要用于数字签名，密码存储等。

4. SSL/TLS协议：

• 描述：基于非对称加密和对称加密技术，用于保护网络通信的安全协议。
• 应用：在Web浏览器和服务器之间建立安全连接，确保数据传输的保密性和完整性。

5. VPN（Virtual Private Network）：

• 描述：使用加密隧道将公共网络上的通信数据加密，实现远程访问和安全连接。
• 应用：远程办公、保护数据传输和访问受限资源。

6. 数字证书和PKI：

• 描述：使用证书颁发机构（CA）和数字证书进行身份验证和密钥管理。
• 应用：确保通信双方的身份真实性，提供加密密钥的安全分发和管理。

7. 零知识证明（Zero-Knowledge Proof）：

• 描述：证明某些信息是正确的，而不需透露具体的信息内容。
• 应用：身份验证、密码学协议中的信息验证等场景。

Chap7

1.TCP/IP 的安全问题

1. 数据的机密性：

• 窃听攻击（Eavesdropping）: 未加密的数据传输容易受到窃听，黑客可以截取传输的数据并进行分析，导致机密信息泄露。

2. 数据的完整性：

• 数据篡改（Data Tampering）: 攻击者可能在传输过程中篡改数据包，导致信息被篡改或损坏，破坏数据的完整性。

3. 身份认证问题：

• IP地址欺骗（IP Spoofing）: 攻击者伪装自己的IP地址，使其看起来像是合法用户，用于进行恶意攻击或欺骗。

4. 拒绝服务攻击（DoS/DDoS）：

• 拒绝服务（Denial of Service）: 攻击者通过发送大量无效请求或占用资源，使得合法用户无法访问服务。
• 分布式拒绝服务（DDoS）: 大量分布在不同地区的机器同时攻击一个目标，更有效地造成服务不可用。

5. ICMP攻击：

• ICMP洪泛攻击（ICMP Flooding）: 利用ICMP（Internet Control Message Protocol）洪泛网络，耗尽带宽和系统资源。

6. IP层面的安全性问题：

• IP协议的天生不安全性: IP协议本身缺乏加密和身份验证机制，容易受到伪造、篡改和拒绝服务等攻击。

7. 路由安全问题：

• 路由劫持（Route Hijacking）: 攻击者通过操纵路由器或协议，重定向流量，截取或篡改数据。

8. ARP欺骗：

• ARP欺骗（ARP Spoofing）: 攻击者伪装自己的MAC地址，使网络中的其他设备错误地将数据发送到攻击者那里。

2.SSL 协议

SSL（Secure Sockets Layer）协议是用于保护互联网通信安全的加密协议，它确保在Web浏览器和服务器之间传输的数据私密、完整和安全。SSL已经被其更安全的后续版本TLS（Transport Layer Security）所取代，但人们仍然通常将TLS和SSL通用地称为SSL。

3.SSL 协议的工作原理

1. 握手阶段（Handshake）：

   • 协商密钥: 客户端向服务器发送连接请求，服务器返回证书，包含公钥和服务器信息。
   • 密钥交换和验证: 客户端验证证书的有效性，生成会话密钥，并使用服务器的公钥对会话密钥进行加密传输。
   • 完成握手: 会话密钥生成后，客户端和服务器已就加密套件和密钥达成共识。

2. 加密通信阶段（Encrypted Communication）：

   • 加密数据传输: 客户端和服务器使用会话密钥加密和解密通信中的数据。
   • 确保机密性和完整性: SSL/TLS保证传输的数据在通信过程中不被窃听或篡改。

3. 终止连接（Connection Termination）：

   • 正常断开连接: 完成数据传输后，双方完成通信，断开连接。
   • 异常断开连接: 如果连接出现异常，SSL/TLS协议会尽力保护通信的安全性。

Chap8

1.计算机病毒的特性

1. 自我复制能力：

• 传播方式: 病毒能够通过多种方式传播，包括通过网络、可移动设备、邮件附件、恶意链接等，以侵入其他系统和文件。

2. 损害系统或文件：

• 文件破坏: 病毒可修改、损坏或删除文件，导致系统不稳定甚至无法正常运行。
• 系统崩溃: 某些病毒可能导致系统崩溃或严重故障。

3. 隐蔽性与伪装性：

• 隐匿性: 病毒可能隐藏在系统中，难以被察觉或发现。
• 伪装性: 有些病毒会伪装成合法文件或程序，以躲避安全检测。

4. 破坏或窃取数据：

• 数据破坏: 病毒可破坏敏感数据，例如擦除硬盘数据或加密文件勒索。
• 数据窃取: 某些病毒可窃取用户的敏感信息，如密码、银行信息等。

5. 启动和执行恶意代码：

• 植入后门: 病毒可能在系统中植入后门，使攻击者远程控制受感染的计算机。
• 执行其他恶意软件: 病毒可用作载荷，下载和执行其他恶意软件。

6. 利用漏洞和传播途径：

• 利用漏洞: 病毒可能利用系统或应用程序的漏洞，入侵系统。
• 多种传播途径: 病毒可利用网络、社交工程、USB设备等多种途径传播。

7. 隐私和安全威胁：

• 威胁个人隐私: 病毒可能泄露用户个人隐私信息。
• 网络安全威胁: 病毒可对网络安全造成严重威胁，例如拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）。

2.计算机病毒的主要传播途径

1. 可执行文件传播：

• 下载不安全文件或软件: 从不受信任的网站、文件分享平台或通过不安全的下载渠道下载软件或文件，这些软件可能被感染或是携带病毒。
• 可移动设备: 使用感染病毒的USB闪存驱动器、移动硬盘或其他可移动存储设备连接到计算机，传播病毒到系统。

2. 电子邮件和附件：

• 恶意附件: 通过电子邮件发送包含病毒的恶意附件，用户打开附件后病毒开始传播。
• 欺骗性链接: 电子邮件中包含恶意链接，用户点击链接后被重定向至感染病毒的网站。

3. 社交工程：

• 假冒程序或文件: 攻击者通过社交工程技巧，诱使用户下载并执行看似合法但实际上是感染病毒的程序或文件。
• 点击欺诈性弹窗或广告: 在浏览器中点击具有欺骗性的弹窗或广告，导致系统感染病毒。

4. 操作系统漏洞利用：

• 未修补漏洞: 攻击者利用系统或软件中未修复的漏洞，通过恶意代码渗透系统，传播病毒。

5. 文件分享和下载：

• P2P文件共享: 从点对点（P2P）文件共享网络下载文件，这些文件可能被感染或携带病毒。

6. 受感染网络和设备：

• 感染的计算机: 受感染的计算机可能成为病毒的来源，并通过网络传播到其他系统。

7. 受感染的网站和广告：

• 恶意网站和广告: 访问恶意网站或点击携带恶意代码的广告，导致系统被感染。

3.典型病毒的特征与防治

1. 文件型病毒：

• 特征：侵入并感染文件，可在执行时传播。
• 防治：使用实时防病毒软件扫描和监测文件，定期更新病毒库和系统补丁。

2. 蠕虫型病毒：

• 特征：自我复制能力强，能够迅速传播到其他系统。
• 防治：及时更新系统补丁，使用防火墙和入侵检测系统来监测和阻止蠕虫的传播。

3. 木马程序（Trojans）：

• 特征：伪装成合法软件，窃取信息或提供攻击者远程访问权限。
• 防治：谨慎下载软件，使用防病毒软件扫描下载的文件，定期备份系统和重要数据。

4. 勒索软件（Ransomware）：

• 特征：加密用户文件并勒索钱财，可能导致数据丢失或泄露。
• 防治：定期备份数据，避免点击未知链接或附件，使用防病毒软件及防火墙。

5. Adware和Spyware：

• 特征：广告软件（Adware）可能弹出广告，间谍软件（Spyware）则收集用户隐私信息。
• 防治：使用反间谍软件和广告拦截工具，保持系统软件更新，谨慎下载应用。

6. 社交工程攻击：

• 特征：利用人们的社交行为进行欺骗，诱使用户执行恶意操作。
• 防治：加强网络安全意识培训，教育用户识别和避免社交工程攻击。

4.计算机病毒的检测技术

1. 签名检测：

• 特征匹配: 使用已知病毒样本的特征码（病毒签名）进行匹配和识别。
• 优势: 可以快速识别已知病毒，有着较高的准确性。
• 劣势: 无法识别新型病毒，需要持续更新病毒库。

2. 行为检测：

• 分析程序行为: 监视程序执行时的行为模式，例如文件操作、注册表更改、网络通信等。
• 优势: 能够检测未知病毒或变种，对于零日攻击有一定的应对能力。
• 劣势: 可能会产生误报，对于系统资源开销较大。

3. 启发式检测：

• 模拟执行: 将程序运行于虚拟环境中，观察其行为并判断是否具有病毒行为。
• 优势: 能够发现一些未知病毒和变种，减少误报。
• 劣势: 需要大量计算资源和时间，对性能有一定影响。

4. 沙箱分析：

• 隔离环境: 将可疑文件或程序放入隔离的安全环境中进行分析，观察其行为特征。
• 优势: 提供更安全的环境，对于恶意软件进行深度分析。
• 劣势: 需要专门的环境和技术支持，有一定的操作门槛。

5. 基于机器学习和人工智能：

• 模式识别: 使用机器学习算法识别病毒样本的特征模式，发现并预测新型病毒。
• 优势: 能够学习和识别复杂的病毒变种，对于未知病毒具有一定的适应性。
• 劣势: 需要大量训练数据和不断优化算法，也可能会受到对抗性样本的影响。

Chap9

1.网络攻击的定义、网络攻击的一般过程

网络攻击是指通过互联网或网络渠道对计算机系统、网络基础设施、个人用户或组织进行恶意活动，旨在获取未授权的访问、破坏、篡改或窃取信息，并对网络或系统造成损害。

1. 侦查阶段（Reconnaissance）：

• 目标收集: 攻击者收集关于目标系统或网络的信息，包括IP地址、系统架构、网络拓扑和已知漏洞等。
• 扫描与侦察: 使用工具和技术扫描目标系统，寻找潜在的弱点和漏洞，确定攻击路径。

2. 入侵阶段（Incursion）：

• 利用漏洞: 攻击者利用已知的系统漏洞、密码破解、社交工程等方式，入侵目标系统或网络。
• 安装后门: 在系统中植入后门或恶意软件，以便未来访问或控制系统。

3. 升级权限（Escalation of Privilege）：

• 提升权限: 攻击者试图获取更高的系统权限，以获取更多系统资源或数据，扩大攻击影响范围。

4. 渗透和横向移动（Pivoting）：

• 内部渗透: 在系统内部移动和横向扩展，尝试进一步侵入其他系统或服务器。
• 获取敏感信息: 尝试访问、窃取或篡改敏感数据。

5. 操作和控制（Maintaining Access）：

• 持续访问与控制: 攻击者努力保持对系统的访问权限，并悄悄地控制系统或网络资源。

6. 毁坏和篡改（Destruction and Alteration）：

• 破坏数据或系统: 攻击者可能有意删除、篡改或损坏数据，造成系统不稳定或无法正常运行。

7. 掩盖行迹（Covering Tracks）：

• 清除痕迹: 攻击者试图覆盖他们的行踪，删除日志文件或操作痕迹，以隐藏攻击的痕迹。

2.DOS 攻击、缓冲区溢出攻击

1. DOS 攻击（拒绝服务攻击）：

• 定义：DOS攻击旨在通过向目标系统发送大量无效请求，使其资源耗尽或无法正常提供服务，使合法用户无法访问服务。
• 类型：常见的DOS攻击类型包括UDP Flood、SYN Flood、HTTP Flood等。
• 防范：使用防火墙、入侵检测系统（IDS/IPS）和DDoS防护服务，以过滤和阻止恶意流量。

2. 缓冲区溢出攻击：

• 定义：缓冲区溢出攻击利用程序设计上的漏洞，将超出预设内存范围的数据写入程序的缓冲区，从而覆盖或改变原始程序的执行路径，可能导致系统崩溃或远程执行恶意代码。
• 实现：攻击者通过向程序输入超长数据，覆盖程序内存中的关键数据，例如函数返回地址等。
• 防范：采用安全编程实践，如边界检查、使用安全的函数和编码技术（如ASLR、DEP）来预防缓冲区溢出漏洞。

3.木马攻击

木马（Trojan horse）攻击指的是恶意软件通过伪装成合法软件的方式进入系统，并在用户不知情的情况下执行恶意代码，以获取未授权的访问权限或进行其他恶意活动。这种攻击方式得名于希腊神话中的木马故事，暗示着隐藏在看似无害的东西背后隐藏着危险。

4.漏洞扫描

漏洞扫描是指利用专门设计的软件工具对计算机系统、应用程序或网络进行自动化的安全检测，以发现可能存在的安全漏洞或弱点。这些漏洞可能是由于系统配置错误、未及时更新补丁、软件设计缺陷或配置错误引起的。漏洞扫描旨在及时发现这些漏洞，并为其修补或防范提供建议。

漏洞扫描的主要类型和方法：

1. 主动扫描：

   • 端口扫描：探测目标系统的开放端口，并识别可能的服务和应用程序。
   • 服务识别：识别每个开放端口背后的服务和应用程序。
   • 漏洞扫描：使用已知的漏洞签名或模式，检测目标系统中存在的已公开的漏洞。

2. 被动扫描：

   • 行为分析：监视系统和应用程序的行为模式，识别不寻常的行为或异常活动。
   • 日志分析：分析系统日志和事件记录，识别潜在的安全威胁和异常行为。

漏洞扫描工具：

• 开源工具：如Nmap、OpenVAS、Nessus等，提供多种扫描功能，适用于不同类型的漏洞检测。
• 商业工具：如Qualys、Rapid7等，提供更广泛和专业的漏洞扫描和管理功能，适用于企业级环境。

漏洞扫描的目的与优势：

• 安全评估：评估系统和网络安全性，并识别潜在的威胁和弱点。
• 预防性修复：及早发现并修补漏洞，避免遭受潜在攻击或数据泄露。
• 合规性：满足安全标准和合规性要求，如PCI DSS、HIPAA等。

Chap10

1.防火墻的基本概念

防火墙（Firewall）是一种网络安全设备或软件，用于监控、过滤和控制网络流量的进出，以保护网络免受未经授权的访问、恶意攻击或不良流量的侵害。其基本概念包括以下几个方面：

1. 访问控制：

• 出入流量管理：根据预设的规则和策略，控制允许或拒绝进出网络的数据流量。
• 过滤规则：根据源地址、目标地址、端口号、协议类型等信息进行过滤和匹配。

2. 安全策略实施：

• 阻挡恶意流量：拦截来自恶意来源的攻击、病毒、木马等网络威胁。
• 授权合法流量：允许合法的、经授权的流量通过网络。

3. 网络隔离和保护：

• 内外网隔离：将内部网络和外部网络进行隔离，减少内部网络受到外部攻击的风险。
• 应用层防护：对网络传输的数据进行深度检查，保护应用层安全。

4. 功能与类型：

• 状态检测：监视网络连接状态，允许或拒绝基于连接状态的流量。
• 代理和网关型：代理型防火墙和网关型防火墙分别以代理和网关方式连接网络，提供不同的安全功能。
• 软件与硬件防火墙：软件防火墙基于软件程序实现，硬件防火墙以专用硬件为基础，两者功能类似但实现方式不同。

5. 日志和监控：

• 记录和审计：记录网络流量和事件日志，用于审计、调查和分析网络活动。
• 实时监控：实时监测网络流量和事件，快速发现异常行为和安全威胁。

2.防火墙工作模式

1. 数据包过滤模式（Packet Filtering）：

• 基本原理：根据预设的规则检查数据包的源地址、目标地址、端口和协议等信息，决定是否允许通过防火墙。
• 工作方式：每个数据包独立地进行检查和过滤，基于单个数据包的信息进行决策。
• 优势：简单高效，对网络性能影响较小。
• 劣势：无法检测应用层数据，容易受到 IP 欺骗（IP spoofing）等攻击。

2. 状态检测模式（Stateful Inspection）：

• 基本原理：维护一个连接状态表，记录网络连接的状态信息，对数据包进行综合分析和判断。
• 工作方式：检查数据包的状态信息，根据连接状态表进行判断，判断数据包是否属于已建立的合法连接。
• 优势：能够对数据包进行更全面的检查，对 TCP/UDP 连接进行跟踪和管理。
• 劣势：对系统性能有一定的影响，因为需要维护连接状态表。

3. 应用层代理模式（Application Proxy）：

• 基本原理：在防火墙内部部署代理服务器，对特定的应用层协议进行代理转发，实现更深度的检查和控制。
• 工作方式：对数据包中的应用层协议进行解析和检查，再将数据转发给目标主机。
• 优势：提供最高级别的安全，能够检测和阻止应用层的攻击。
• 劣势：对网络性能有较大的影响，需要更多的资源和处理时间。

3.防火墙的功能

1. 访问控制和流量过滤：

• 允许或拒绝流量：根据设定的策略和规则，控制数据包的进出，允许或拒绝特定IP地址、端口或协议的流量。
• 数据包检查：检查数据包的源地址、目标地址、端口、协议等信息，并根据规则决定是否允许通过。

2. 状态检测和连接跟踪：

• 维护连接状态：记录网络连接状态信息，监视连接建立和终止过程。
• 状态跟踪：实时跟踪 TCP 和 UDP 连接状态，保证数据包符合已建立的合法连接。

3. NAT（网络地址转换）：

• 地址转换：实现内部私有IP地址到公网IP地址的转换，保护内部网络结构不被外部直接访问。

4. VPN 支持：

• 虚拟专用网络：提供VPN功能，建立安全的加密通道，保证数据在公共网络上的安全传输。

5. 应用层代理和内容过滤：

• 代理服务：对特定应用层协议进行代理，实现更深层次的检查和过滤，如HTTP、FTP等。
• 内容过滤：监控和过滤特定内容，阻止恶意网站访问、限制特定内容的下载等。

6. 防御性措施：

• 阻挡攻击：防御DoS、DDoS攻击、端口扫描和嗅探等网络攻击。
• 攻击检测：监测并检测潜在的攻击行为，发现并拦截恶意流量。

7. 日志和审计：

• 记录日志：记录网络流量、连接状态和安全事件的日志。
• 审计功能：对网络活动进行审计和分析，识别潜在的安全风险和威胁。

Chap11

1.入侵检测系统的概念与基本功能

入侵检测系统（Intrusion Detection System，IDS）是一种安全工具，用于监视网络或系统的活动，并识别可能存在的安全事件或潜在的攻击行为。其基本概念和主要功能包括以下几个方面：

1. 基本概念：

• 监控和检测：持续监视网络或系统的数据流量、用户行为、文件系统、日志等活动。
• 分析和识别：分析检测到的数据，识别异常行为、安全事件或潜在的攻击模式。
• 警报和响应：当发现异常行为或可疑活动时，生成警报并采取预定义的响应措施。

2. 基本功能：

• 实时监测：持续监控网络流量、系统日志和活动，寻找异常或不寻常的模式。
• 异常检测：识别与正常行为不符的模式，如异常流量、未经授权的访问等。
• 攻击检测：识别已知攻击模式、攻击签名或攻击特征，发现潜在的攻击。
• 行为分析：分析用户行为、网络流量和系统活动，以识别潜在的威胁。
• 响应机制：触发警报、通知管理员或采取自动化的响应措施，如断开连接、阻止流量等。

2.入侵检测系统的通用模型

1. 数据采集：

• 网络流量监控：在网络入侵检测系统中，通过监控网络流量，获取传输的数据包信息。
• 主机监控：在主机入侵检测系统中，监视主机的活动，收集系统日志、文件访问信息、进程信息等。

2. 数据预处理：

• 数据清洗：处理采集的原始数据，去除噪声、无关信息或重复数据。
• 数据规范化：将数据格式化、标准化，以便后续处理和分析。

3. 特征提取：

• 特征工程：从清洗的数据中提取特征，用于识别异常或攻击行为。
• 模式识别：利用特征来识别正常行为和异常行为之间的模式差异。

4. 威胁检测：

• 攻击检测：使用签名、规则、行为分析等方法来检测已知的攻击模式。
• 异常检测：检测不符合正常行为模式的异常行为，可能表示潜在的威胁。

5. 决策和响应：

• 警报触发：识别到异常或潜在攻击后触发警报，通知相关人员进行进一步调查。
• 响应机制：根据策略和配置，自动化或手动采取针对检测到威胁的响应措施。

6. 记录和报告：

• 事件记录：记录检测到的事件、警报和响应过程的详细信息。
• 报告生成：生成报告，包括检测到的威胁、警报、响应结果等，用于审计、分析和改进安全策略。

3.典型的入侵检测技术

1. 签名检测：

• 描述：基于已知攻击模式或特征的签名匹配进行检测。
• 工作原理：与已知的攻击特征进行比对，当检测到与签名相匹配的数据包或行为时，发出警报。
• 优势：适用于检测已知攻击模式。
• 劣势：无法检测新型、未知攻击模式。

2. 异常检测：

• 描述：基于设定的正常行为模式，检测出与正常行为差异较大的异常行为。
• 工作原理：通过分析系统、网络或用户的行为模式，发现不符合正常模式的行为。
• 优势：可检测未知攻击，对零日漏洞有一定的检测能力。
• 劣势：容易产生误报，需要准确的基线行为模式。

3. 深度学习和机器学习：

• 描述：利用机器学习或深度学习算法识别攻击模式。
• 工作原理：通过训练算法，使其识别恶意行为或攻击模式，并在实时数据中进行检测。
• 优势：能够学习和适应新型攻击模式，提高检测精度。
• 劣势：需要大量数据进行训练，容易受到对抗性攻击。

4. 协议分析：

• 描述：检测网络协议中的异常或非法行为。
• 工作原理：分析网络通信中的协议信息，检测异常的协议行为。
• 优势：针对特定协议的攻击有较好的检测效果。
• 劣势：可能受到加密通信和隧道技术的影响。

Chap12

1.身份认证的概念与分类

身份认证是指确认用户、系统或实体所声明的身份是否真实和有效的过程。这个过程通常包括验证用户提供的标识信息（如用户名、密码、生物特征、证书等），以确保其所声称的身份是合法、可信的。身份认证可以根据多种标准和方式进行分类：

1. 根据验证方式：

• 基于知识的认证：用户提供密码、PIN码等只有他们知道的信息。
• 基于所有权的认证：用户提供拥有的物品或设备，如智能卡、USB密钥等。
• 基于生物特征的认证：使用生物特征，如指纹、虹膜、声音等进行识别。
• 基于位置的认证：基于用户所处位置或访问位置进行验证。

2. 根据认证级别：

• 单因素认证：仅使用一种验证方式，如仅密码、指纹等。
• 双因素认证：同时使用两种不同类型的验证方式，如密码+短信验证码。
• 多因素认证：使用多种不同类型的验证方式，如密码+指纹+硬件令牌等。

3. 根据实施场景：

• 本地认证：在本地系统或设备上进行验证。
• 远程认证：通过网络或其他远程方式进行验证，常用于Web应用、云服务等。

4. 根据技术实现：

• 挑战-应答认证：通过提出问题和回答问题的方式进行验证。
• 令牌认证：使用硬件或软件生成的令牌进行验证。
• 证书认证：基于数字证书对用户进行验证。

2.基于口令的认证和基于密码技术的认证

基于口令的认证：

• 定义：口令是用户所选择的短语、词语或数字组合，用于身份验证的一种方式。通常以文本形式输入，用于确认用户的身份。
• 特点：口令可能包括易于记忆的词语、短语或数字，不一定要求具备特殊的复杂性，但是应该足够复杂以防止被猜测或推测。
• 应用场景：常见于许多系统、网站和应用程序，允许用户使用自己设置的口令进行登录或身份验证。
• 安全性：口令容易受到猜测、字典攻击或社会工程学攻击的影响，因此强调复杂性和定期更改以提高安全性。

基于密码技术的认证：

• 定义：密码技术涉及使用加密和散列算法来保护用户凭证，并在用户验证时比对密码或密码的散列值来确认身份。
• 特点：密码技术可以将用户密码存储为散列值，而不是以明文形式存储，增加了安全性。通常伴随着加密、散列函数、加盐等技术。
• 应用场景：常用于系统或服务中，以安全方式存储和验证用户密码。
• 安全性：相对于口令，基于密码技术的认证更安全，因为密码通常以哈希值的形式存储，使得即使泄露也不易被逆向破解

3.资产类认证与本征类认证

资产类认证（Asset-Based Authentication）：

• 定义：这种认证方式基于用户拥有或可控制的资产来进行验证，而不是依赖于用户记住的秘密信息（比如密码）或特定的硬件。
• 特点：资产可以是用户拥有的设备、物理令牌、智能卡、USB密钥等，通过这些实体资产完成认证流程。
• 应用场景：常见于物理令牌或硬件设备，用户需要携带或拥有这些资产以证明其身份。

本征类认证（Inherent Authentication）：

• 定义：这种认证方式基于用户身体、生理特征或行为模式等不可变或难以模仿的本征特征来进行验证。
• 特点：本征特征可以包括生物识别信息，比如指纹、虹膜、面部识别、声纹识别等，也可以包括行为特征，比如敲击键盘的方式、手持设备的方式等。
• 应用场景：常见于生物识别技术，用于识别和验证用户身份。

Chap13

1.访问控制的概念

访问控制是一种安全机制，用于管理系统或资源对用户、程序或实体的访问权限，确保只有授权的用户或实体可以获取特定资源或执行特定操作。其核心目标是保护系统和数据免受未经授权的访问、损坏或泄露。

主要概念：

1. 授权：授予用户或实体访问资源或执行操作的权利。
2. 认证：确认用户或实体的身份，验证其所声称的身份是否合法和有效。
3. 身份验证：确认用户或实体的身份是否合法有效。
4. 权限管理：定义和分配用户或实体可以执行的特定操作或访问资源的权限级别。

2.自主访问控制技术、访问控制矩阵、ACL、ACCL

自主访问控制（Discretionary Access Control，DAC）：

• 定义：是一种访问控制模型，其中资源的所有者拥有控制对其资源的访问权限的自主权。
• 特点：由资源的所有者或创建者来决定谁可以访问资源及以何种方式访问。
• 优点：灵活，资源的所有者可以自行控制资源的访问，方便管理。
• 缺点：不适用于高度敏感或关键的系统，因为它很难提供严格的访问控制。

访问控制矩阵（Access Control Matrix）：

• 定义：是一种表示访问控制策略的抽象模型，以矩阵形式表示资源和用户之间的访问权限关系。
• 特点：以行列形式表示资源和主体（用户、进程等），交叉点表示对资源的访问权限。
• 优点：清晰明确地展示了系统中所有资源和主体之间的权限关系。
• 缺点：对于大型系统，矩阵可能变得庞大且难以管理。

访问控制列表（Access Control List，ACL）：

• 定义：是一种用于控制资源访问的权限列表，通常与文件、目录或网络设备等资源相关联。
• 特点：指定了资源上的用户或用户组以及他们对资源的访问权限。
• 优点：灵活且易于实现，能够直观地管理资源的权限。
• 缺点：对于复杂系统，ACL 可能变得冗长，难以管理和维护。

3.自主访问控制及强制访问控制的优缺点

自主访问控制（Discretionary Access Control，DAC）：

优点：

1. 灵活性高：资源的所有者有权决定授权给谁以及授予何种权限，有助于适应多样化的访问需求。
2. 简单实施：易于实施和管理，因为资源的控制权在资源的所有者手中，可以随时进行修改。

缺点：

1. 安全性较低：因为权限控制在资源所有者手中，容易受到误操作、疏忽或恶意操作的影响，可能导致数据泄露或损坏。
2. 难以做到严格控制：难以实施对高度敏感或关键资源的严格控制，缺乏强制性的安全策略。

强制访问控制（Mandatory Access Control，MAC）：

优点：

1. 高度安全：强制性的访问控制可以提供更高级别的安全性，确保只有授权用户可以访问资源。
2. 严格的安全策略：允许对数据和系统实施更严格的安全策略，可以保护关键数据和资源。

缺点：

1. 管理和维护成本高：实施 MAC 需要复杂的安全政策、标签和规则，管理和维护成本较高。
2. 灵活性较差：相比 DAC，MAC 对用户的灵活性较差，权限控制更为严格，可能造成访问限制过多。

4.基于角色的访问控制模型及其优缺点

基于角色的访问控制（Role-Based Access Control，RBAC）是一种广泛应用的访问控制模型，它将权限分配给角色，用户被分配到一个或多个角色，从而简化了权限管理。

优点：

1. 简化权限管理：RBAC 通过将权限赋予角色，而不是直接分配给用户，降低了权限管理的复杂性。
2. 灵活性：当用户的角色变化时，可以轻松地修改角色的权限，而无需单独修改每个用户的权限。
3. 降低错误风险：减少了人为错误的风险，因为权限管理是基于角色的，而不是针对个别用户的。
4. 便于审计：由于权限是基于角色分配的，审计和追踪权限使用变得更容易。

缺点：

1. 角色爆炸：在大型组织中，可能会出现角色数量庞大，管理和维护这些角色可能变得复杂。
2. 固定的角色权限：RBAC 模型下，角色的权限是固定的，无法灵活地应对某些用户需要临时权限的情况。
3. 复杂的实施：在实施 RBAC 时，需要详细规划角色、权限和用户的关系，可能需要投入较大的工作量。
4. 权限失控风险：如果角色的分配不合理或者权限不适当，可能导致某些用户获得了不应该拥有的权限，造成安全风险。

概念：

• 角色（Role）：一组权限的集合，用户被分配到一个或多个角色。
• 权限（Permission）：角色拥有的操作或访问资源的权利。
• 用户（User）：系统的实际用户，被分配到一个或多个角色