1:网络安全的五种属性,并解释其含义:
保密性:Confidentiality 保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法知晓信息内容,因而不能使用。通常通过访问控制阻止非授权用户获得机密信息,通过加密变换阻止非授权用户获知信息内容。 完整性:Integrity完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面:(1)数据完整性:数据没有被未授权篡改或者损坏;(2)系统完整性:系统未被非法操纵,按既定的目标运行。 可用性:Availability可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。
h2so4
可控性:确保个体的活动可被跟踪。
可靠性:即行为和结果的可靠性、一致性。
不可抵赖性:信息还要求真实性,即个体身份的认证,适用于用户、进程、系统等;包括对等实体认证和数据源点认证;对等实体认证是指网络通信必须保证双方或是多方间身份的相互确认;数据源点(主机标识)认证是指在安全级别较高的网络通信中需要对数据源点进行认证,以阻止各种恶意行为。
2:网络安全服务包括哪些?
对等实体认证服务:网络通信必须保证双方或多方间身份,特别对等实体身份的相互确认,这是网络间有效通信的前提;对等实体主要指用户应用实体;
数据源点认证服务:高安全级别的网络通信需要对数据源点进行认证,以阻止各种可能的恶意攻击行为。这里,数据源点主要指主机标识,
数据保密服务:信息不泄露给非授权的用户、实体或过程,或供其利用的特性;
数据完整性服务:数据未经授权不能进行改变的特性。即信息在存储或传输过程中不被修改、不被破坏和丢失的特性;
访问控制服务:通信双方应该能够对通信、通信的内容具有不同强度的控制能力,这是有效和高效通信的保障;
可用性:可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都是对可用性的攻击。
3:可信计算机系统评估准则将信息安全分为几级,各级的主要特征。
分为7级
(最小保护)D级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系统就可以访问系统的资源和数据,如DOS,Windows的低版本和DBASE均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。
(自主保护类长兴电视台)C1级:具有自主访问控制机制、用户登录时需要进行身份鉴别。
(自主保护类)C2级:具有审计和验证机制((对TCB)可信计算机基进行建立和维护操作,防止外部人员修改)。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。
(强制安全保护类)B1级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
B2级:具有形式化的安全模型,着重强调实际评价的手段,能够对隐通道进行限制。(主要是对存储隐通道)
B3级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间隐通道的限制。
A1级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。
4:分组密码与流密码 对称密码与非对称密码
按加密方式的不同可分为分组密码与流密码:
流密码(Stream Cipher)(或称序列密码)和分组密码(Block Cipher)
区别是:流密码是将明文消息按字符逐位加密;分组密码是将明文消息先进行分组,再逐
组加密。
对称密码体制(Symmetric Cryptosystem):单钥(One-Key)体制或私钥(Private Key)体制或传统密码体制(Classical Cryptosystem);加密解密密码相同;密钥必须保密存放;通信前,收发双方必须实现密钥共享;主要应用于数据加解密、可以实现数据保密性、认证等安全服务。
非对称密码体制(Asymmetric Cryptosystem):双钥(Two-Key)或公钥(Public Key)密码体制。 加密解密密码不同;私钥保密存放,公钥公开存放;通信前,收发双方无需实现密钥共享;可应用于数据加解密、数字签名、密钥交换等方面,实现数据保密、认证、数据完整性、不可否认性等安全服务。
5:保证密码系统安全就是要保证密码算法的安全性,这种说法是否错误,并解释。松江清真寺
说法错误,系统的保密性不依赖于对加密体制或算法的保密,而仅依赖于密钥的安全性。对于当今的公开密码系统,加密解密算法是公开的。
6:PKI,PKI的组成部分,各部分的作用。
PKI,Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分;
认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名
私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
单CA信任模型:整个PKI中只有一个CA,为所有的终端用户签发和管理证书,PKI中的所有终端用户都信任这个CA。每个证书路径都起始于改CA的公钥,改CA的公钥成为PKI系统中的唯一用户信任锚。
优点:容易实现,易于管理,只需要一个根CA,所有终端用户就可以实现相互认证;
缺点:不易扩展到支持大量用户或者不同的体用户。终端的用户体越大,支持所有的必要应用就会越困难。
严格分级信任模型:以主从CA关系建立的分级PKI结构,有一个根CA,根CA下有零层或多层子CA,根CA为子CA颁发证书,子CA为终端用户颁发证书。终端进行交互时,通过根CA来对对证书进行有效性和真实性的认证。信任关系是单向的,上级CA可以而且必须认证下级CA,而下级不能认证上级CA。
优点:
增加新的信任域用户比较容易;
证书由于单向性,容易扩展,可生成从终端用户到信任锚的简单明确路径;
证书路径相对较短;
证书短小、简单,用户可以根据CA在PKI中的位置来确定证书的用途。
项链的主人公缺点:单个CA的失败会影响到整个PKI系统。与顶层的根CA距离越小,则造成的影响越大;
建造一个统一的根CA实现起来不太显示。
网状信任模型:
也成分布式信任模型,CA之间交叉认证。将信任分散到两个或者多个CA上。
优点:具有较好的灵活性;从安全性削弱的CA中恢复相对容易,并且只是影响到相对较少的用户;
增加新的信任域比较容易。
缺点:路径发现比较困难;扩展性差。
桥CA信任模型:
也称中心辐射式信任模型,用于克服分级模型和网络模型的缺点和连接不同的PKI体系。桥CA与不同的信任域建立对等的信任关系,允许用户保持原有的信任域。这些关系被结合起来就形成了信任桥,使得来自不同的信任域用户通过指定信任级别的桥CA相互作用。类似网络中的HUB集线器。
优点:
现实性强;分散化的特性比较准确地代表了现实世界证书之间的交互关系
证书路径较易发现;用户只需要知道到桥的路径就可以了
证书路径较短;桥CA与网状信任相比有更短的可信任路径
WEB信任模型:
构建在浏览器的基础上,浏览器厂商在浏览器中内置了多个根CA,每个根CA相互间是平行的,浏览器用户信任这多个根CA并把这多个根CA作为自己的信任锚。各个嵌入的根CA并不是被浏览器厂商显示认证,而是物理地嵌入到软件中来发布,作为对CA名字和它的密钥的安全绑定。
优点:方便简单,操作性强,对终端用户的要求较低,用户只需简单地信任嵌入的各个根CA。
缺点:安全性较差;若有一个根CA损坏,即使其他的根CA完好,安全性也将被破坏
根CA与终端用户的信任关系模糊;终端用户与嵌入的根CA间交互十分困难,终端用户无法知道浏览器中嵌入了哪个根,根CA也无法知道它的依托方是谁。
扩展性差。根CA预先安装,难于扩展
以用户为中心的信任模型:
每个用户都直接决定信赖和拒绝哪个证书,没有可行的第三方作为CA,终端用户就是自己的根CA;
优点:安全性强;在高技术高利害关系的体中比较占优势;
用户可控性强:每个用户可以决定是否信赖某个证书
缺点:使用范围较窄;需要用户有非常专业的安全知识
在公司、政府、金融机构不适宜;在这些组织中需要有组织地方式控制公约的使用。
8:攻击的步骤
石宗源简历
防暴警察进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,清除日志,留下后门。
9:可以通过哪些方法搜集信息。
IP扫描 端口扫描 漏洞扫描 操作系统扫描 社会工程
10:操作系统的访问控制方法
自主访问控制(Discretionary Access Control)
基本思想:
对象(object)的创建者为其所有者(owner),可以完全控制该对象
对象所有者有权将对于该对象的访问权限授予他人(grantee)
不同的DAC模型:
Strict DAC: grantee不能授权他人
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议