网络安全100问——信息安全概论
前言
NISP一级认证
这篇就当作是自己的知识总结吧
我会一直更新下去
一、非对称加密和对称加密的区别
非对称加密和对称加密在加密和解密过程、加密解密速度、传输的安全性上都有所不同,具体介绍如下:
1、加密和解密过程不同
对称加密过程和解密过程使用的同一个密钥,加密过程相当于用原文+密钥可以传输出密文,同时解密过程用密文-密钥可以推导出原文。但非对称加密采用了两个密钥,一般使用公钥进行加密,使用私钥进行解密。
2、加密解密速度不同
对称加密解密的速度比较快,适合数据比较长时的使用。非对称加密和解密花费的时间长、速度相对较慢,只适合对少量数据的使用。
3、传输的安全性不同
对称加密的过程中无法确保密钥被安全传递,密文在传输过程中是可能被第三方截获的,如果密码本也被第三方截获,则传输的密码信息将被第三方破获,安全性相对较低。
非对称加密算法中私钥是基于不同的算法生成不同的随机数,私钥通过一定的加密算法推导出公钥,但私钥到公钥的推导过程是单向的,也就是说公钥无法反推导出私钥。所以安全性较高。
现如今,加密主要使用混合加密的方式,通过混合加密把两种加密的优点都统筹起来。
二、哈希函数是怎样确保文件一致的?
哈希(Hash)函数又称为散列函数、杂凑函数。它是一种单向密码体制,即一个从明文到密文的不可逆映射,只有加密过程,没有解密过程。
哈希函数的定义就是一个函数,将无限域的输入值映射到有限域的一个函数,具体的这个函数是什么,其实并不是固定的,但是也不是随意的,但是只要能够符合以下的几个性质,并且能够有效地运用到具体的实际当中就可以称作哈希函数,比较著名的哈希函数有MD5,SHA1等密码领域的算法。
消息摘要算法MD5可以对任意长度的明文产生128位的消息摘要。
MD5算法是按512位进行处理的,对于任意长度的消息将首先通过填充的方法使其成为512的倍数。首先,要对任意长度的信息进行填充,使信息的长度等于L*512+448,即长度≡448 mod 512 .填充的方法为:首先在消息后面先添加一个位“1”,再依次添加位“0”,直到长度满足条件;然后,将原始消息的长度以64位表示,添加在最后面,使得信息长度恰好达到512位的倍数。
通过这样的方法,如果最后发送过来的文件哈希值和你收到文件计算出的哈希值不一样,那么传输过来的文件就是有缺陷的。通过计算哈希值的方法可以检测出文件是否出现问题。
三、身份认证
这里主要是用户对主机的认证
主机对主机的认证
分为三种 :
1.静态口令 也就是常说的密码
2.动态短信口令认证 也就是我们常常受到的短信验证
3.动态口令牌认证
这个是权威机构发的比如说银行的U盾。使用一个硬件设备去实时生成一个密码。或者是使用生物技术
这三种密码安全程度是递增的。
四、关于访问控制
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
访问控制的主要功能包括:
保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,防止合法用户对受保护的网络资源进行非授权的访问。
访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。
当用户身份和访问权限验证之后,还需要对越权操作进行监控。
因此,访问控制的内容包括认证、控制策略实现和安全审计。
对于访问的权限控制,通过对不同对象划分不同的访问权限来达到对于系统的安全控制
安全审计是对于访问控制的必要补充
五、防火墙
1、什么是防火墙
1)官方定义:防火墙,用于保护一个网络免受另一个网络的攻击和入侵行为,其本质是控制
2)网络安全市场,存在一种设备名为ISR,全称叫集成多业务路由器Router
3)现在市面上的防火墙,主要以以下几种形态存在 :
①硬件防火墙(独立)
②防火墙模块(能够集成到支持的设备中)
③虚拟化防火墙,(基于软件层面实现的一种应用)
4)为何虚拟防火墙只是一个趋势,没有成为主流?
①虚拟防火墙性能和稳定性上的限制,目前硬件防火墙在这两点是优于虚拟防火墙的
2、防火墙发展历史
1)第一代,包过滤防火墙
①访问控制列表Access Control List
在Routing&Switching主要学习访问控制列表有两种
-标准访问控制列表,简单,高效,但是控制元素单一,只能基于IP
-扩展访问控制列表,相对标准访问控制列表复杂,但是挖制元素更为丰富,例如基于源目IP地址,源目端口号,协议
2)第二代,代理防火墙
①类似于中间人(中介) ,能够代替请求发起者,向被请求者发送数据包
②功能单一,性能有限,没有成为防火墙市场主流
③目前,代理防火墙模型被用于SSL VPN中
3)第三代,状态检测防火墙
①什么是初始化流量?
整个沟通开始的第-个数据包,就是初始化流量,或叫首包流量
②什么是状态化表项?
当首包穿越防火墙时,防火墙会记录该数据包的信息(例如源目IP地址、源目端口号、协议)
然后把以上信息存放到状态化表项
③什么是状态检测技术?
此时,返回的流量,防火墙首先检查是否存在匹配该流量的状态化表项
如果有,则流量直接放行
如果没有,检查访问控制策略,
若访问控制策略放行,则流量可以转发
若访问控制策略没有放行,则流量直接被丢弃
原文链接.
六、关于远程控制
1)木马 通过命令行远程控制
2)端口反弹 内网——>到外网 穿过硬件防火墙
3)线程插入 木马藏进常见的进程中
4) rootkit 技术
七、无线安全
1)修改admin密码
2)wep加密传输 ps:虽然因为种种原因已经被抛弃了,但是不可否认这是一种经典的加密算法
3) 禁用DHCP
4)修改SNMP字符串
5)禁止SSID广播
6) 禁止远程管理
7)MAC地址过滤
8)WPA用户认证
八、操作系统风险
1)漏洞和漏洞扫描
对系统可能存在的漏洞进行扫描,来找出可能被用于攻击的漏洞
这里主要寻找两种,第一种,系统本来就有的漏洞。
第二种,配置不当产生的漏洞。
2)恶意代码
主要是指以危害信息的安全等不良意图的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息
计算机病毒:显著特点:依附性 需要依附于其他文件进行繁殖; 隐蔽性
(最常见的分类 引导型病毒:感染磁盘的引导系统,在系统启动时载入内存;文件型病毒:感染各类文件,在文件执行时载入内存)
蠕虫:不需要依附于其他文件,可以再计算机系统自行繁殖;蠕虫 恶意代码一旦被激活常通过以下步骤复制自己:a) 搜索系统或网络,确 认下一步的感染目标 b)建立与其他系统或远程主机的连接 c)将自身复 制到其他系统或远程主机,并尽可能激活他们
特洛伊木马:通过冒名顶替的方式,伪装成能够正常功能或在系统 中正常运行的程序,随后与攻击者建立远程连接为攻击者打开入侵的通道
主要通过系统的漏洞
恶意代码危害:
1.攻击系统,造成信息系统瘫痪或操作异常
2.危害数据文件的安全存储和使用
3.泄露文件,配置或隐私信息
4.肆意占用资源,影响系统或网络的性能
恶意代码的基本特征:
1.恶意代码是一类程序,也是由人编制的,而不是在计算机环境或系 统中自生的
2.恶意代码对系统具有破坏性或威胁性
3.恶意代码具有潜伏性、传染性、依附性
恶意代码的机理
(1)恶意代码的生命周期:
编制代码 传播 感染 触发 运行
(2)恶意代码机理:
1)传播机制:
a)文件流动
b)网页脚本和插件
c)电子邮件
d)数字内容播放:一些视频和音频播放器支持显示网页或用弹出窗口显示它们,然而播放器缺乏浏览器那样的安全检查,因此更容易 受通过网页的恶意代码攻击
e)网络攻击:在信息系统存在安全漏洞时,网络攻击可能使攻击者截获系统的控制权,实施非授权的操作
f)自我传播
2)感染机制:
a)感染引导系统:
恶意代码在侵入计算机系统后,可以选择感染操作系统。在每次计算机启动中,BIOS首先被执行,之后主引导记录(MBR,Master Boot Record)和分区引导记录中的代码被执行;感染的方法一般是将原来的引导代码存储到其他扇区中,用病毒代码 替换它。
病毒修改主引导记录(图12-2),这样在系统启动中,病毒程序 先于原引导程序执行,在执行中,病毒程序可以直接破坏,如果造成不能启动或修改BIOS已经设置好的中断向量,它们原来指向的BIOS中的中断程序,现在指向病毒程序,被病毒修改的中断程序(如图12-3),病毒程序再指向原来的中断程序,这样等中断程序调用来后病毒可以截获控制权并可以在执行完后调用原来的中断程序
3)端口扫描威胁
总结
未完待续~~~~