信息安全考研基础

基础
Created At :
Views 👀 :
  1. 信息安全考研基础
  2. 前言
  3. 信息安全基础
    1. 信息安全的基本特征
    2. 网络安全的四层含义
    3. 网络安全结构层次
    4. 网络信息安全策略
    5. ISO/OSI安全体系3个组成
    6. 网络安全体系2个模型
    7. 信息系统安全5个等级
    8. 安全评测认证体系
  4. 密钥管理
    1. 密码学基础
    2. 密钥类型
    3. 密钥分配
      1. 集中式密钥分配体质
      2. 分布式密钥分配体制
  5. PKI技术
    1. 基础知识
    2. PKI的基本组成
    3. 数字证书
      1. 证书结构
      2. 证书类型
      3. 证书认证过程
  6. 常见安全设备的基本概念及原理、类型
    1. 防火墙
    2. 防火墙的结构
      1. 屏蔽路由器
      2. 双宿主防火墙
      3. 屏蔽主机防火墙
      4. 屏蔽子网防火墙
    3. 防火墙类型
    4. 入侵检测系统(IDS)
    5. VPN
      1. 隧道技术
      2. 不同层的隧道协议
      3. VPN的4种建立方式
  7. 密码学基础
    1. 对称加密算法
      1. 原理
    2. 非对称加密算法

信息安全考研基础

前言

本篇博客不是技术流的,是针对本人的院校发布的考研大纲提供的信息安全方面的知识大纲所写的基础知识总结。

1、信息安全基础
(1)    信息安全基本特征
(2)    信息安全体系结构
(3)    信息安全等级与标准
2、密钥管理
(1) 密钥管理原理
(2) 密钥分配方案
3、PKI
(1)    PKI基本概念和原理
(2)    数字证书概念和原理
4、常见安全设备的基本概念及原理、类型
(1)    防火墙
(2)    入侵检测
(3)    VPN
5、密码学基础
(1)    对称密码算法原理及应用
(2)    非对称密码算法原理及应用

可以看到一共有五个部分啊,我们每个部分的各种知识都放进来,方便看看。同时也是对大纲的一种理解加深。

信息安全基础

信息安全的基本特征

保密性(confidentiality):信息加密、解密;信息划分密级,对用户分配不同权限,对不同权限的用户访问的对象进行访问控制;防止硬件辐射泄露、网络截获、窃听等

完整性(integrity):严格控制对系统中数据的写访问。只允许许可的当事人进行更改

可用性(availability):可以保证合法用户在需要时可以访问信息及相关资产。在坚持严格的访问控制机制的条件下,为用户提供方便和快速的访问接口。提供安全性的访问工具。即使在突发事件下,依然能够保障数据和服务的正常使用,例如可防范病毒及各种恶意代码攻击包括DDos攻击,可进行灾难备份

口诀:保完用

网络安全的四层含义

• 运行系统安全:系统本身
• 网络上系统信息的安全:系统权限
• 网络上信息传播的安全:防止有害信息传播
• 网络上信息内容的安全:防止利用安全漏洞进行窃听,冒充和诈骗

网络安全结构层次

物理安全
安全控制
安全服务

网络信息安全策略

• 物理安全策略:保护计算机系统等硬件设备面手攻击,验证身份和使用权限

• 访问控制策略:网络安全防范和保护的主要策略。保证网络资源不被非法使用和访问
入网访问控制
网络权限控制
目录级安全控制
属性安全控制
网络服务器安全控制
网络检测和锁定控制
网络端口和节点的安全控制

• 防火墙控制

• 信息加密策略:保护网上传输的数据

• 网络安全管理策略

口诀:物访防信安

ISO/OSI安全体系3个组成

ISO:国际标准化组织

OSI:开放系统互连通信参考模型
安全服务:5类,认证,访问控制,数据保密性,数据完整性,不可否认性
安全机制:8类,加密,数字签名,访问控制,数据完整性,鉴别交换,业务填充,路由控制,公证
安全管理:3类,系统安全管理,安全服务管理,安全机制管理

网络安全体系2个模型

PDRR:Protection, Detection, Response, Recovery
保护,检测,响应,恢复

PPDR: Policy, Protection, Detection, Response
安全策略,防护,检测,响应

信息系统安全5个等级

• 自主保护级
• 系统审计保护级
• 安全标记保护级
• 结构化保护级
• 访问验证保护级

口诀:自系安结访

安全评测认证体系

TCSEC(可信任计算机标准评估准则):现行的网络安全准则,分为3个部分

• 简介和一般模型
• 安全功能要求
• 安全保证要求

7种评估保证级:(功结功系半半形)
◦ 1:评估保证级别1(EAL1):功能测试
◦ 2:EAL2:结构测试
◦ 3:功能测试和校验
◦ 4:系统地设计,测试和评审
◦ 5:半形式化设计和测试
◦ 6:半形式化验证的设计和测试
◦ 7:形式化验证的设计和测试

密钥管理

密码学基础

image-20231008141959237

image-20231008142004143

image-20231008142009253

密钥类型

image-20231008142036789

会话密钥:保护传输数据(数据加密密钥),保护文件(文件密钥),供通信双方使用(称为专用密钥),使用对称密码算法生成。

密钥加密密钥:对会话密钥或下层密钥进行保护,也称为次主密钥,二级密钥。

主密钥

基本密钥(初始密钥\用户密钥):用户选定或系统分配,可在较长时间一对用户所专用。

密钥分配

以下仅考虑在对称密码技术中的密钥分配

集中式密钥分配体质

需要密钥分配中心(KDC)或密钥转递中心(KTC)
典型代表是Kerboros协议

image-20231008142841165 image-20231008142852127

分布式密钥分配体制

image-20231008143246713

PKI技术

基础知识

概念:PKI(Public Key Infrastructure):公钥基础设施,支持公开密钥管理并提供真实性保密性完整性可追究性服务的基础设施

PKI提供的几种安全服务及对应的技术:向一个实体确认另一个实体是自己。使用数字签名实现

• 完整性:向一个实体确保数据没有被修改。使用数字签名和消息认证码(MAC),MAC使用对称分组密码或密码杂凑函数
• 机密性:向一个实体确保除了接收者,无人可读懂数据的关键部分。采用对称密码加密,需要建立密钥交换和密钥传输协议
• 不可否认性:使用数字签名实现

应用PKI的几种协议:
• IPSec:处在网络层,架设VPN
• S/MIME:处在应用层,安全的电子邮件协议
• SSL:处在传输层,保证浏览器和服务器之间的加密通信

PKI的基本组成

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;

数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;

密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

数字证书

数字证书是公开密钥体系的一种密钥管理媒介它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性,又称为数字ID。数字证书简称证书,它是一个经证书授权中心CA数字签名的文件,包含拥有者的公钥及相关身份信息。数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。

证书结构

image-20231008150155370

证书类型

自签名证书:自签名证书又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。
CA证书:CA自身的证书。如果PKI系统中没有多层级CA,CA证书就是自签名证书;如果有多层级CA,则会形成一个CA层次结构,最上层的CA是根CA,它拥有一个CA“自签名”的证书。
本地证书:CA颁发给申请者的证书。
设备本地证书:设备根据CA证书给自己颁发的证书,证书中的颁发者名称是CA服务器的名称。

证书认证过程

  1. 证书拆封:使用CA的公钥验证证书的数字签名,验证证书是否为CA所颁发
  2. 序列号验证:验证证书的真伪
  3. 有效期验证
  4. 撤销列表查询

常见安全设备的基本概念及原理、类型

防火墙

内网:防火墙内的网络
外网:防火墙外的网络
受信主机和非受信主机分别指内网和外网的主机
内网中需要向外提供服务的服务器放在的网段即为非军事化区

NAT
工作在传输层
作用:解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机

防火墙的结构

屏蔽路由器

image-20231008143955460

双宿主防火墙

image-20231008144140749

屏蔽主机防火墙

image-20231008144202131

屏蔽子网防火墙

image-20231008144233974

防火墙类型

数据包过滤路由器,代理网关(应用层网关),状态检测
包过滤是在网络层拦截所有信息流,代理在应用层实现防火墙的功能
代理服务安全性>包过滤,应用层的防火墙性能会有明显下降,故代理服务性能<包过滤

image-20231008144622628

入侵检测系统(IDS)

基于误用(特征)的入侵检测
将入侵行为按照某种方式进行特征编码,与模式数据库中的内容进行模式匹配,从而发现入侵行为
优点:只需要收集相关的数据集合,减小系统负担
缺点:需要不断升级网络入侵和系统误用模式数据库,不能检测未知的入侵方式

基于异常的入侵检测
对计算机或网络资源进行统计分析,定义一组系统正常情况的阈值,将系统运行时的数值与阈值相比较,判断是否被入侵
优点:可检测到未知或更复杂的入侵
缺点:误报,漏报率高,不适应用户行为的突然改变

VPN

这个曾经考过了,em。。只能说再考的概率稍微小点,但是还是得背下来。

VPN的概念和特点

VPN:虚拟专用网。通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道

特点
• 安全保障:在公用网络上建立一个逻辑的,点对点的连接(建立一个隧道),并使用加密技术对隧道加密
• 服务质量保证:流量预测和流量控制策略,防止阻塞发生
• 可扩充性和灵活性:支持通过IntranetExtranet的任何类型的数据流
• 可管理性

隧道技术

隧道技术是指通过使用互联网络的基础设施在网络之间传递数据的一种方式
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道
隧道技术包括 数据封装-传输-解包 的全过程

不同层的隧道协议

• 数据链路层:PPTP,L2TP,L2F
• 网络层:IPSec
• 运输层:SSL
• 应用层:set

VPN的4种建立方式

• Host 对 Host:主机要支持IPSec,VPN网关不需支持
• Host 对 VPN网关:均需支持IPSec
• VPN 对 VPN网关:主机不需支持IPSec,VPN网关需支持
• Remote User 对 VPN网关:均需支持IPSec

密码学基础

对称加密算法

对称加密算法是一种使用同一个密钥进行加密和解密的算法。加密和解密过程使用相同的密钥,因此也被称为“共享密钥加密算法”或“单密钥加密算法”。

原理

对称加密算法的原理是通过对数据进行按位异或、替换、置换等运算,将明文转换为密文。在解密时,使用相同的密钥对密文进行逆向运算,将密文恢复为明文。

对称加密算法的工作方式包括分组密码和流密码两种。分组密码将明文分成固定长度的数据块进行加密,而流密码将明文和密钥作为输入,逐位产生密文。

image-20231008150727026

非对称加密算法

加密和解密所用的密钥是不一样的,所以叫“非对称”。
非对称加密算法的这两个密钥,一个称为公钥,一个称为私钥。

常见的有:RSA、ECC

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。后续可能会有评论区,不过也可以在github联系我。

©2016-2020 Yelog

Built with Hexo and 3-hexo theme