个人总结,仅供参考,欢迎加好友一起讨论
| 对称加密算法也称为私钥加密算法。是指加密密钥和解密密钥相同。 1 加密强度不高,但效率高,适合较大数据加密 2 密钥分发困难 | |
| DES | 替换+移位、56位密钥、64位数据块、速度快、密钥易产生、共享密钥 三重DES:三次加密DES,112位密钥 |
| RC-5 | RSA数据安全公司的很多产品都使用了RC-5 |
| IDEA | 128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低 |
| AES | 高级加密标准,又称Rijndael加密法,是美国政府采用的一种区块加密标准。 |
| 非对称加密算法也称为公钥加密算法,是指加密密钥和解密密钥完全不同,其中一个为公钥,另一个为私钥,并且不可能从任何一个推导出另一个。它的优点在于可以适应开放性的使用环境,可以实现数字签名与验证。 公钥加密,私钥解密 加密速度慢 | |
| RSA | 2048位(或1024位)密钥、计算量极大、难破解,算法的密钥长度为512位 |
| Elgamal | 安全性依赖于计算有限域上离散对数这一难题 |
| ECC | 椭圆曲线算法 |
例题1:
例题1解析与答案:
答案:A
解析:题目描述“传输大量数据”,选“对称加密”
信息摘要:单向散列函数、固定长度的散列值。(信息摘要的算法不能用来加密解密)
常用的消息摘要算法有MD5,SHA等,市场上广泛使用的MD5,SHA算法的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性高于MD5.
目前主要是使用基于非对称加密算法的数字签名,包括普通数字签名和特殊数字签名
数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生,,数字签名为了证明自己发的,用私钥加密,公钥解密
例题2:
例题2解析与答案:
答案:C B
解析:略
数字证书又称为数字标识,是由认证中心(Certificate Authority, CA)签发的对用户的公钥的认证。数字证书的内容应包括CA的信息、用户信息、用户公钥、CA签发时间和有效期等。目前,国际上对证书的格式和认证方法遵从X.509体系标准。
Https有效地解决了钓鱼网站的问题。银行使用的USBKey就是数字证书,USBKey里面还包括了你的私钥信息
数字证书内容:
用接收者的公钥去加密一个对称密钥,并发送给对方去,同时原文使用公钥加密 公钥是数字,这个数字是否被黑客改过都不知道。通过数字证书把公钥保护起来。
数字信封就是发送方将原文用对称密钥进行加密,将对称密钥用非对称方式加密后传给接收方的过程。
接收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得到原文。
场景描述:
基本结构:
例题3:
例题3解析与答案:
答案:D
解析:略
例题4:
例题4解析与答案:
答案:C
解析:SSL如果使用Web登录邮箱,需要SSL和HTTPS进行安全保护
MIME是电子邮箱的信息格式
例题5:
例题5解析与答案:
答案:D
解析:略
| 被动攻击:收集信息为主,破坏保密性。 | ||
|---|---|---|
| 攻击类型 | 攻击名称 | 描述 |
| 被动攻击 | 窃听/网络监听 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 |
| 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 | |
| 非法登录 | 有些资料将这种方式归为被动攻击方式。 |
| 主动攻击:中断(破坏可用性),篡改(破坏完整性),伪造(破坏真实性)。 | ||
|---|---|---|
| 攻击类型 | 攻击名称 | 描述 |
| 主动攻击 | 假冒身份 | 通过欺骗通信系统或用户达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的,黑客大多是采用假冒进行攻击。 |
| 抵赖 | 这是一种来自用户的攻击,比如否认自己曾经发布过的某条消息,伪造一份对方来信等。 | |
| 旁路控制 旁路攻击 |
攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 | |
| 重放攻击 | 所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。加时间戳能识别并应对重放攻击。 | |
| DOS攻击 | 拒绝服务攻击,它是对信息或其他资源的合法访问被无条件地阻止。 | |
| DDOS攻击 | 分布式拒绝服务攻击,它在DOS攻击基础之上利用控制成百上千台计算机,组成一个DDOS攻击群,同一时刻对目标发起攻击。 |
例题6:
例题6解析与答案:
答案:A
解析:略
例题7:
例题7解析与答案:
答案:D
解析:略
访问控制功能。
这是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护内部网络的资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源,包括服务控制、方向控制、用户控制和行为控制等功能。
内容控制功能。
根据数据内容进行控制,例如,防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地Web服务器中一部分信息。
全面的日志功能。
防火墙需要完整地记录网络访问情况,包括内、外网进出的访问,以检查网络访问情况。一旦网络发生了入侵或者遭到了破坏,就可以对日志进行审计和查询。
集中管理功能。
在一个安全体系中,防火墙可能不止一台,因此,防火墙应该是易于集中管理的。
自身的安全和可用性。
防火墙要保证自身的安全,不被非法侵入,保证正常的工作。如果防火墙被侵入,安全策略被修改,这样,内部网络就变得不安全。同时,防火墙也要保证可用性,否则网络就会中断,网络连接就会失去意义。
流量控制。
针对不同的用户限制不同的流量,可以合理使用带宽资源。
网络地址转换(Network Address Translation, NAT)。
NAT是通过修改数据包的源地址(端口)或者目的地址(端口)来达到节省IP地址资源,隐藏内部IP地址功能的一种技术。
VPN(Virtual Private Network,虚拟专用网)。
只利用数据封装和加密技术,使本来只能在私有网络上传送的数据能够通过公共网络进行传输,使系统费用大大降低。
防火墙是一种静态安全技术。网络层防火墙效率高但工作的层次较低;应用层正好相反,应用层防火墙效率低但工作层次高。防火墙工作层次:工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作者效率越低,则安全性越高。
电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙
双宿/多宿主机模式,屏蔽主机模式,屏蔽子网模式
入侵检测系统(Intrusion-detection system, IDS)一般有两种分类方法:
防火墙与入侵检测的区别:
入侵检测技术4个模块(系统个构成):
入侵检测技术分析方法:
模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
统计分析:首先给系统对象建立正常使用时的特征文件,这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
| 物理环境的安全性 | 包括通信线路、物理设备和机房的安全等 |
| 操作系统的安全性 | 主要表现在3个方面,一是由操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制和系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁 |
| 网络的安全性 | 主要体现在计算机网络方面,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等 |
| 应用的安全性 | 由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。此外,还包括病毒对系统的威胁 |
| 管理的安全性 | 包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等 |
例题8:
例题8解析与答案:
答案:D
解析:略
例题9:
例题9解析与答案:
答案:C D
解析:略
| 身份认证 | 用户名+口令,数字证书,生物特征识别。 |
| 访问控制 | 自主访问控制,强制访问控制,基于角色的访问控制,基于任务的访问控制,基于对象的访问控制。 |
| 系统 | PKI/CA,Kerberos。 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 |
例题10:
例题10解析与答案:
答案:C B
解析:利用公钥加密算法实现的数字签名方案
发送方A要发送给接收方B的报文P,经过A的私钥签名和B的公钥加密后形成报文EB(DA§)发送给B
B利用自己的私钥DB和A的公钥EA对消息EB(DA§) 进行解密和认证后得到报文P
并且保存经过A签名的消息DA§作为防止A抵赖的证据
