月度归档： 2014 年 8 月

RSA加密算法的基础是选择两个大素数p和q，然后计算它们的乘积n = p * q。在这个例子中，我们选择了p = 37和q = 53。

首先，我们需要计算n的值： n=p×q=37×53=1961n=p×q=37×53=1961

接下来，我们需要确定模数n的位数。在计算机科学中，位数是指表示一个数所需要的二进制位的数量。

即2的n次方小于1961 即n=11

案例1：

某测评公司依照《计算机信息系统安全保护等级划分准则》、《网络安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及某大学对信息系统等级保护工作的有关规定和要求，对该大学的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导该大学信息化人员将定级材料提交当地公安机关备案。

问题1 测评公司小李分析了某大学现有网络拓扑结构，认为学校信息系统网络系统未严格按“系统功能、应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分。导致网络结构没有规范化、缺少区域访问控制和网络层防病毒措施、不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围，从而使得网络和安全管理人员无法对网络安全进行有效的管理。

因此，小李按照学校系统的重要性和网络使用的逻辑特性划分安全域，具体将学校网络划分为外部接入域、核心交换域、终端接入域、核心数据域、核心应用域、安全管理域、存储网络域共7个域，具体拓扑如图1所示。请将7个域名称，填入图1（1）~（7）空中。

【问题2】（8分）

某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。

（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

【问题3】（6分）

测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上，构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。

通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；

通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于（9）测评；

通过访谈系统建设负责人，检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于（10）测评。

【问题4】（4分）

简述部署漏洞扫描系统带来的好处。

1） 外部接入域 2）核心交换域 3）核心数据域 4）存储网络域 5）核心应用域 6）终端接入域 7） 安全管理域

【问题2】（8分）

某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。

（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

【问题3】（6分）

测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上，构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。

通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；

通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于（9）测评；

通过访谈系统建设负责人，检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于（10）测评。

【问题4】（4分）

简述部署漏洞扫描系统带来的好处。

参考答案:

【问题1】（7分）

（1）外部接入域（2）核心交换域（3）核心数据域

（4）存储网络域（5）核心应用域（6）终端接入域（7）安全管理域

【问题2】（8分）

（1）存在问题（1分）；具体问题是核心交换域核心交换机只有一台（1分），存在单点故障的可能（1分）；解决办法是增加一台核心交换机，做双核心（1分）。

（2）存在问题（1分）；具体问题是WAF只能做Web应用防护（1分），不合适架设在其他应用服务器前（1分）。解决办法是将WAF设备只部署在Web应用服务前。

【问题3】（6分）

（8）物理安全

（9）网络安全

（10）系统建设管理

【问题4】（4分）

部署漏洞扫描系统，可周期性对网络中的设备、服务器进行安全漏洞扫描，发现安全漏洞，及时进行补丁更新，落实安全管理在安全运维方面的要求。

【问题5】

目前数据中心的核心业务系统数据约10T，档案归档数据约30T。 核心业务与归档数据的年数据增长量约20%。目前各类设备日志数据约20T，年增长数据量约10%，按照信息系统等级保护的要求，各类设备的日志数据至少保存（1） 个月。按照此要求，小张为该高校提供了一套较为完整的SAN存储方案，为了满足该校未来5年存储需求，要求SAN的数据存储容量多少T？

6个月   10*(1+20%)^5 + 30*(1+20%)^5+10*(1+10%)^5>=132T

案例2

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

某集团公司在在全国各省均有分公司，由于公司的信息化系统需要升级改造，现管理员决定在总部与分公司之间通过IPSEC VPN建立连接。根据拓扑图1-1，完成下列问题。

[问题1](3分)

该公司所选用的VPn技术为IPSec。它工作在TCP/IP协议栈的（1）层，能为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。其中能够确保数据完整性，但是不确保数据机密性的协议是（2），既能报数数据传输的机密性又能保证数据完整性的是协议是（3）。

网络层、AH协议、ESP协议

[问题2]（8分）：请将相关配置补充完整。

总部防火墙firewall1的部分配置如下。

…

# 配置Trust域与Untrust域的安全策略，允许封装前和解封后的报文能通过

[FIREWALL1] （5）

[FIREWALL1-policy-security] rule name 1

[FIREWALL1-policy-security-rule-1] source-zone （6）

[FIREWALL1-policy-security-rule-1] destination-zone untrust

[FIREWALL1-policy-security-rule-1] source-address （7）

[FIREWALL1-policy-security-rule-1] destination-address（8）

[FIREWALL1-policy-security-rule-1] quit

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule （9）ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FIREWALL1-acl-adv-3000] quit

----------------------------------------------   下面的这一段配置的作用是（10）

 [FIREWALL1-policy-security] rule name 3

[FIREWALL1-policy-security-rule-3] source-zone local

[FIREWALL1-policy-security-rule-3] destination-zone untrust

[FIREWALL1-policy-security-rule-3] source-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-3] destination-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-3] action permit

 

----------------------------------------------   下面的这一段配置的作用是（11）

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FIREWALL1-acl-adv-3000] quit

----------------------------------------------   下面的这一段配置的作用是（12）

[FIREWALL1] ipsec proposal tran1

[FIREWALL1-ipsec-proposal-tran1] encapsulation-mode tunnel

[FIREWALL1-ipsec-proposal-tran1] transform esp

[FIREWALL1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256

[FIREWALL1-ipsec-proposal-tran1] esp encryption-algorithm aes

[FIREWALL1-ipsec-proposal-tran1] quit

(5) security-policy  (6) trust  （7） 192.168.1.0 24(8) 192.168.2.0 24    (9) permit  （10）配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过FIREWALL1（11）  配置访问控制列表，定义需要保护的数据流。 （12）配置名称为tran1的IPSec安全提议

问题3：在采用IKE动态协商方式建立IPSec隧道时，SA有两种：分别是IKE SA和IPSec SA，简述这两种SA的区别。

建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数【2分】，建立IPSec SA的目的是为了协商用于保护用户数据的安全参数【2分】，但在IKE动态协商方式中，IKE SA是IPSec SA的基础。

问题4：IKE协商阶段有两种模式，分别是主模式和野蛮模式。管理员检查配置后发现，VPN两端都是基于IP地址实现预共享秘钥，并且公司希望创建VPN时，需要对对端身份进行保护，确保较高的安全性。因此应该选择哪种模式？为什么？

1.两端时基于IP地址的形式进行预共享秘钥，适合用主模式。【2分】

2.只有主模式才能对对端身份进行保护，安全性较高。【2分】

问题5：IPSec提供的两种封装模式分别是传输Transport模式和隧道Tunnel模式，基于公司对传输数据的要求，适合选择的模式是哪一种？为什么？

隧道模式 【1分】

1.传输模式在处理前后IP头部保持不变，主要用于End-to-End的应用场景。【2分】

2. 隧道模式则在处理之后再封装了一个外网IP头，主要用于Site-to-Site的应用场景。【2分】

案例3

随着信息技术的发展，企业的信息系统越来越成为企业生存发展的核心资源，为了确保核心资源信息安全，需在不同位置部署不同的安全设备，进行安全防范。

为了避免公司电子商务平台Web服务器被非法攻击和篡改，需要部署（D）

为了提高管理员应对网络攻击的管理能力，需要部署（F），对日志进行备份和后期对网络攻击行为进行进一步分析，提高安全防御能力。

为了规范公司员工的网络行为，避免工作时间处理非工作业务，可以部署（G）。

为了确保公司关键商业数据，需要对数据进行备份，部署（H），可以实现虚拟化备份。

为了规范管理员对商品的打折，上架，下架等处理，需要部署（E）对商品数据的修改/删除等行为进行监管。

A.入侵检测系统 B. 漏洞扫描系统 C. 入侵防御系统 D.WAF 

E.数据库审计 F.日志备份与审计 G.上网行为管理系统    H.备份一体机

为了满足总部海量数据的分析处理，要求数据中心的服务器能高效利用硬件资源，公司决定在数据中心区进行服务器虚拟化，适合采用的方式是（6），它的特点包括（7）（8）（9）。【从操作系统支持，运维效率和性能等方面回答】

(6),裸金属架构/原生架构

7～9,特点：（可以交换顺序）

1.可支持多操作系统多应用

2.运维高效便捷

3.资源利用率高

某天，网络管理员检测到部分攻击日志如图2所示，则该攻击为(一句话) 攻击， 图3访问日志所示的攻击行为是(SQL注入) 攻击。 可以发现并利用给定的URL漏洞的自动化的工具是(SQLMAP)。

SQLMap 是一个开源的渗透测试工具，主要用于自动化检测和利用 SQL 注入漏洞。它支持多种数据库管理系统（DBMS），包括 MySQL、Oracle、Microsoft SQL Server、PostgreSQL 等，并且具有非常强大的功能来帮助安全研究人员和渗透测试人员快速识别并利用 Web 应用程序中的 SQL 注入弱点。

主要功能

• 自动检测：自动检测 SQL 注入漏洞。
• 数据提取：从数据库中提取数据，如表名、列名、数据等。
• 访问文件系统：在某些情况下，可以读写服务器上的文件。
• 操作系统命令执行：在某些配置下，可能允许执行操作系统级别的命令。
• 数据库接管：在一些情况下，可以完全控制目标数据库。
• 绕过安全机制：能够绕过各种防护措施，如 WAFs（Web 应用防火墙）。

使用场景

• 安全性评估：用于对 Web 应用进行安全审计，以发现潜在的安全问题。
• 教育目的：作为教学工具，帮助学习者理解 SQL 注入的工作原理及其防范方法。
• 合法授权下的渗透测试：在获得适当许可的情况下，用于模拟攻击者的操作，从而提高系统的安全性。

案例4

试题三（共25分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

案例一：

2021年5月9日，美国宣布进入国家紧急状态，原因是当地最大燃油管道运营商遭网络攻击下线。据报道称，美国最大的成品油管道运营商ColonialPipeline在当地时间周五(5月7日)因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。受影响的Colonial管道每天运输汽油、柴油、航空燃油等约250万桶，其中美国东海岸近一半燃油供应依赖于此。该事件涉事的黑客团队DarkSide索要高达数百万美元虚拟币。该事件也是2021年造成实质影响最大的网络安全事件。

案例二：

某企业系统管理员接到业务使用人员的反馈，得知相关系统服务器业务突然无法访问，管理员登入服务器后发现服务器操作系统内的相关应用程序和数据均无法正常访问，且服务器桌面上收到一封醒目的勒索告知书。管理员采取了如下措施：

第一，根据网上非权威的解密方式或解密工具，对中毒主机磁盘的文件进行反复读写，尝试破解；

第二，管理员想要自行研究中毒文件，使用U盘拷贝出源中毒服务器的中毒文件；

第三，为了快速恢复生产，进行了重装系统，使用备份数据恢复业务后，暂时恢复了业务；

Kerberos是一种广泛使用的网络认证协议，它旨在提供一种安全的方法来验证用户的身份并管理密钥，从而实现安全的数据传输。Kerberos的设计目的是解决传统密码认证中存在的问题，如密码在传输过程中的安全性、单点故障等问题。下面详细介绍Kerberos密钥管理原理及其工作流程。

Kerberos密钥管理原理

Kerberos密钥管理基于以下概念：

KDC 是服务提供和客户端的信任机构

1. 信任关系：
   • Kerberos认证服务器 (KDC)：Kerberos Domain Controller，负责颁发票据和密钥。
   • 客户端：请求访问服务的实体。
   • 服务：提供某种功能的实体，例如文件服务器或数据库服务器。
   • 所有的客户端和服务都需要在KDC注册，并拥有一个唯一的密钥。
2. 密钥分发中心 (KDC)：
   • KDC由两部分组成：Authentication Server (AS) 和 Ticket Granting Server (TGS)。
   • AS 负责验证客户端的身份，并颁发票据授予票据（Ticket-Granting Ticket, TGT）。
   • TGS 根据TGT为客户端请求的服务颁发服务票据（Service Ticket）。
3. 时间同步：
   • 为了防止重放攻击，Kerberos要求所有参与方的时间同步。
4. 票据 (Ticket)：
   • 票据是Kerberos协议中的重要组成部分，它包含了用于验证客户端和服务端身份的信息。

Kerberos工作流程

1. 客户端向AS请求TGT(KDC中的TGT)：
   • 客户端向AS发送认证请求，请求一个TGT。
   • AS验证客户端的凭据，并使用共享密钥加密一个TGT，其中包括客户端的名称、服务端的名称和一个时间戳。
   • AS将TGT发送给客户端。
2. 客户端向TGS请求服务票据：
   • 客户端使用TGT向TGS请求一个服务票据。
   • TGS验证TGT，并使用服务端的密钥加密一个服务票据，其中包括客户端的名称、服务端的名称和一个时间戳。
   • TGS将服务票据发送给客户端。
3. 客户端向服务端请求服务：
   • 客户端向服务端发送服务请求，附带服务票据。
   • 服务端验证服务票据，并使用其密钥解密票据，验证客户端的身份。
   • 服务端为客户端提供服务。

密钥管理

Kerberos密钥管理的关键特性包括：

1. 密钥的分发：
   • KDC负责管理所有客户端和服务端的密钥。
   • 客户端和服务端的密钥是预先分配的，并存储在KDC的安全数据库中。
2. 临时密钥的使用：
   • Kerberos使用临时密钥（session keys）来保护数据传输，这些密钥仅在一次会话中有效。
   • 临时密钥是由KDC在票据中生成的，并通过加密的方式发送给客户端和服务端。
3. 密钥的安全存储：
   • 客户端和服务端的永久密钥存储在KDC的安全数据库中，并受到严格保护。
4. 密钥的生命周期管理：
   • Kerberos支持密钥的周期性更换，以减少密钥泄露的风险。

数字证书、数字签名、数字信封之间的关系

数字签名、数字信封和数字证书是数字安全领域中三个非常重要的概念，它们各自有不同的用途。下面是这三个概念的具体用途：

数字签名 (Digital Signature)

• 定义：数字签名是一种使用非对称加密技术来验证电子文档真实性和完整性的加密方法。
• 用途：
  • 数据完整性：确保数据在传输过程中没有被篡改。
  • 身份验证：确认文档确实来自声称的发送者。
  • 不可否认性：防止发送者否认发送了文档或消息。
  • 法律效力：在很多情况下，数字签名可以被视为具有法律效力的电子签名。

数字信封 (Digital Envelope)

• 定义：数字信封是一种加密技术，它结合了对称加密和非对称加密技术，用于保护数据的机密性。
• 用途：
  • 数据加密：保护数据在传输过程中的机密性，防止未经授权的访问。
  • 密钥分发：安全地分发对称密钥，这些密钥用于加密和解密数据。
  • 高效加密：通过使用对称加密算法来加密数据，而非对称加密算法来加密对称密钥，从而实现高效的加密和解密过程。

数字证书 (Digital Certificate)

• 定义：数字证书是一种由可信第三方签发的电子文档，用于证明公钥的所有者身份。
• 用途：
  • 身份验证：确保公钥确实属于声称的持有者。
  • 信任建立：通过权威机构（CA，Certificate Authority）的验证，建立客户端和服务端之间的信任关系。
  • 加密通信：在Web浏览器与网站之间建立安全的HTTPS连接，用于保护敏感数据的传输。
  • 电子邮件加密：用于加密电子邮件，确保只有预期的收件人才能阅读邮件内容。
  • 软件签名：确保软件的来源可靠，并且没有被篡改。

总结

• 数字签名用于验证数据的完整性和发送者的身份。
• 数字信封用于保护数据的机密性，通过结合对称加密和非对称加密来实现高效的数据加密。
• 数字证书用于建立信任关系，确保公钥的所有者身份，并支持安全通信。

这些技术通常组合使用，以提供全面的安全解决方案。例如，在HTTPS协议中，数字证书用于验证网站的身份，而数字签名和数字信封则用于加密和解密数据传输。

对称加密的过程

1. 密钥生成：
   • 在对称加密中，首先需要生成一个密钥。这个密钥将用于加密和解密数据。
   • 密钥应该足够强大，以抵御暴力破解攻击。现代对称加密算法通常使用128位、192位或256位长度的密钥。
2. 加密过程：
   • 明文：需要加密的原始数据。
   • 加密算法：选择一个对称加密算法，如AES（Advanced Encryption Standard）、DES（Data Encryption Standard）或3DES（Triple DES）等。
   • 加密：使用选定的加密算法和密钥对明文进行加密，生成密文。
3. 解密过程：
   • 密文：加密后的数据。
   • 解密算法：使用相同的加密算法进行解密。
   • 解密：使用相同的密钥对密文进行解密，恢复成原始的明文

示例

假设我们使用AES加密算法进行对称加密。

1. 生成密钥：
   • 生成一个256位的AES密钥。
2. 加密过程：
   • 明文：Hello, World!
   • 加密算法：AES-256
   • 加密：使用AES-256算法和密钥对明文进行加密，得到密文。
3. 解密过程：
   • 密文：通过加密步骤得到的密文
   • 解密算法：AES-256
   • 解密：使用相同的AES-256算法和密钥对密文进行解密，得到原始的明文Hello, World!。

对称加密算法

常见的对称加密算法包括：

1. AES（Advanced Encryption Standard）：目前最广泛使用的对称加密标准之一，支持128位、192位和256位密钥长度。
2. DES（Data Encryption Standard）：早期的对称加密标准，现在被认为不够安全，已被AES取代。使用56位加密
3. 3DES（Triple DES）：通过三次应用DES算法来增强安全性。112位密钥、三个密钥k1/K2/K3 K1=K3(56*2) K2用于解密。
4. 3DES中的K1=K3，加密过程是使用K1对M进行DES加密得到C1，然后使用K2对C1进行DES解密得到C2，最后使用K1对C2进行DES加密得到C3。
5. IDEA （128位密钥）
6. Blowfish：一种较早的对称加密算法，支持可变长度的密钥。
7. Twofish：一种设计用于替代DES的对称加密算法，支持128位、192位和256位密钥长度。
8. RC-5、RC-4

对称加密的应用场景

对称加密通常用于以下场景：

• 数据加密：加密文件、数据库、备份等。
• 网络通信：加密传输的数据，如SSL/TLS中的数据加密部分。
• 即时通讯：加密聊天消息。
• 硬件加密：加密硬件设备，如USB闪存盘、硬盘等。

对称加密有2种：置换和代换 ABC 代换为CBA ABC 转换XYZ

对称加密有常规加密算法和共享加密算法

公钥加密算法（常用于数字签名）

由B产生一对密钥，

RSA 算法举例

以下是一个简单的 RSA 加密算法的举例：

首先，选择两个大质数 p 和 q ，假设 p = 5 ， q = 11 。

计算 n = p * q = 5 * 11 = 55 。

计算欧拉函数 φ(n) = (p - 1) * (q - 1) = 4 * 10 = 40 。

选择一个整数 e ，使得 1 < e < φ(n) ，并且 e 与 φ(n) 互质。假设 e = 7 。

计算 d ，使得 (e * d) % φ(n) = 1 。通过计算可得 d = 23 。

此时，公钥为 (n, e) ，即 (55, 7) ，私钥为 (n, d) ，即 (55, 23) 。

假设要加密的明文 m = 9 。

加密过程： c = m^e % n = 9^7 % 55 = 47 ，得到密文 c = 47 。

解密过程： m = c^d % n = 47^23 % 55 = 9 ，成功解密得到明文 m = 9 。

需要注意的是，在实际应用中，p 和 q 会选择非常大的质数，以保证加密的安全性。

DH算法（密钥交换算法）

DH 公钥加密算法

以下是一个简单的 Diffie-Hellman（DH）算法的举例：

假设 Alice 和 Bob 想要通过 DH 算法协商一个共享密钥。

首先，选取一个大的素数 p 和一个本原根 g 。假设 p = 23 ， g = 5 。

Alice 选择一个秘密整数 a = 6 ，然后计算 A = g^a mod p = 5^6 mod 23 = 8 ，并将 A = 8 发送给 Bob。

Bob 选择一个秘密整数 b = 15 ，计算 B = g^b mod p = 5^15 mod 23 = 19 ，并将 B = 19 发送给 Alice。

Alice 收到 B 后，计算共享密钥 K = B^a mod p = 19^6 mod 23 = 2 。

Bob 收到 A 后，计算共享密钥 K = A^b mod p = 8^15 mod 23 = 2 。

这样，Alice 和 Bob 就成功地协商出了相同的共享密钥 K = 2 ，而在这个过程中，他们的秘密整数 a 和 b 并没有在网络中传输，攻击者即使获取了 A 、 B 、 p 和 g ，也很难通过计算得出 a 和 b ，从而保证了密钥协商的安全性。

需要注意的是，在实际应用中，p 通常是一个非常大的数，以确保安全性。

数字信封

甲事先获得乙的公钥，具体加解密过程如下：

1. 甲使用对称密钥对明文进行加密，生成密文信息。
2. 甲使用乙的公钥加密对称密钥，生成数字信封。
3. 甲将数字信封和密文信息一起发送给乙。
4. 乙接收到甲的加密信息后，使用自己的私钥打开数字信封，得到对称密钥。
5. 乙使用对称密钥对密文信息进行解密，得到最初的明文。

数字签名

数字签名不保证信息的机密性，基于非对称加密算法，用于核实发送方的身份。这里的密文不是加密的。

数字签名是一种用于验证数字文档的真实性和完整性的加密技术。它使用非对称加密算法来确保数据的来源可靠并且未被篡改。

数字签名与数字信封的区别

数字信封和数字签名都是在信息安全领域内广泛使用的加密技术，但它们的目的和使用场景有所不同。下面是这两种技术的主要区别：

数字信封 (Digital Envelope)

• 目的：保护数据的机密性，即确保数据在传输过程中不被第三方窃听或读取。
• 工作原理：
  • 发送方使用一个对称加密算法（如AES）对消息进行加密。
  • 发送方再使用接收方的公钥加密这个对称密钥，形成“数字信封”。
  • 接收方使用自己的私钥解密数字信封，获取对称密钥。
  • 接收方使用对称密钥解密消息。
• 优点：对称加密算法通常比非对称加密算法更快，因此可以有效地保护大量数据的机密性。
• 缺点：不提供发送者身份验证或防止数据篡改的功能。

数字签名 (Digital Signature)

• 目的：验证数据的完整性和发送者的身份，确保数据没有被篡改并且确实来自声明的发送者。
• 工作原理：
  • 发送方使用哈希函数计算消息的摘要。
  • 发送方使用自己的私钥对摘要进行加密，生成数字签名。
  • 发送方将消息和数字签名一同发送给接收方。
  • 接收方使用发送方的公钥解密数字签名，得到原始摘要。
  • 接收方独立地计算接收到的消息的摘要，并与从数字签名中解密出的摘要进行比较。
• 优点：提供了数据完整性和发送者身份认证。
• 缺点：通常较慢，不适合直接用于加密大量数据。

主要区别总结

1. 用途：
   • 数字信封：主要用于保护数据的机密性。
   • 数字签名：主要用于验证数据的完整性和发送者的身份。
2. 加密密钥：
   • 数字信封：使用公钥加密对称密钥，对称密钥用于加密数据。
   • 数字签名：使用私钥加密消息摘要。
3. 解密密钥：
   • 数字信封：接收方使用私钥解密数字信封获得对称密钥，然后使用对称密钥解密数据。
   • 数字签名：接收方使用发送方的公钥解密数字签名以验证其真实性。
4. 安全性：
   • 数字信封：保证数据在传输过程中的保密性。
   • 数字签名：保证数据的真实性和完整性。
5. 效率：
   • 数字信封：通过结合使用对称加密和非对称加密提高效率。
   • 数字签名：仅使用非对称加密，处理速度较慢。

在实际应用中，为了同时提供数据的机密性和完整性验证，通常会将数字信封和数字签名结合起来使用。例如，发送方先使用对称密钥加密消息，然后对这个密钥进行数字签名，最后将加密过的密钥和消息一起封装进数字信封中。接收方则先验证数字签名，确认密钥的有效性后，再使用该密钥解密消息。这样既确保了消息的机密性也验证了其完整性和来源的真实性。

哈希算法

哈希算法=报文摘要算法=HASH算法=散列算法=数字指纹

3DES 加密过程

3DES中的K1=K3，加密过程是使用K1对M进行DES加密得到C1，然后使用K2对C1进行DES解密得到C2，最后使用K1对C2进行DES加密得到C3。

ECC（Elliptic Curve Cryptography，椭圆曲线密码学）是一种基于椭圆曲线数学理论的公钥加密技术。与传统的RSA等公钥加密算法相比，ECC在相同安全强度下所需的密钥长度更短，计算效率更高，因此在资源受限的环境中（如移动设备和物联网设备）特别受欢迎。

IS-IS（Intermediate System to Intermediate System）协议是一种链路状态路由协议，用于在网络中的路由器之间交换路由信息。它是专门为大规模网络设计的一种内部网关协议（IGP），在现代互联网和服务提供商网络中被广泛使用。下面是关于IS-IS协议的一些关键特点和概念概述：

基本概念

1. 术语定义：
   • Intermediate System (IS)：在 IS-IS 中，路由器被称为 Intermediate System。
   • End System (ES)：终端设备或主机被称为 End System。
2. 区域划分：
   • Level-1 IS：负责区域内路由，即在同一区域内交换路由信息。
   • Level-2 IS：负责区域间路由，即在不同区域之间交换路由信息。
   • Level-1-2 IS：同时承担 Level-1 和 Level-2 路由功能的路由器。
3. 邻居关系：
   • Point-to-point：两个 IS 直接相连形成点到点的邻居关系。
   • Broadcast Multi-access (BMA)：在广播多路访问网络（如以太网）中形成的邻居关系。
   • Non-Broadcast Multi-access (NBMA)：非广播多路访问网络（如帧中继）中的邻居关系。
4. Hello 协议：
   • 用于发现邻居并建立邻居关系。
   • 在点到点链路上，Hello 协议简单且频繁；在广播多路访问网络中，Hello 协议会选举一个 Designated Intermediate System (DIS) 来减少广播流量。
5. 链路状态数据库 (LSDB)：
   • 每个 IS 维护一个链路状态数据库，其中包含它所知道的所有链路的状态信息。
   • 链路状态信息通过 LSPs (Link State PDUs) 传播。
6. 最短路径优先算法 (SPF)：
   • 使用 SPF 算法计算到达目的地的最佳路径。
   • SPF 算法基于 IS-IS 的链路状态数据库来构建一棵树形结构，从而确定最优路径。

IS-IS 的优势

• 可扩展性：适用于大型网络。
• 快速收敛：当网络拓扑发生变化时能够快速重新计算路由。
• 简单性：相对简单的配置和管理。
• 多层支持：支持 IPv4 和 IPv6 等多种网络层协议。
• 安全性：提供了认证机制来保护网络免受未经授权的访问。

应用场景

IS-IS 主要应用于服务提供商网络、大型企业网络等场景，特别是在需要支持多层协议和大规模网络部署的情况下。IS-IS 的设计使其非常适合在广域网 (WAN) 环境中使用，并且它还支持虚拟路由器冗余协议 (VRRP) 和多协议标签交换 (MPLS) 等特性。

一句话木马

一句话木马是一种简短的脚本代码，通常用于远程控制Web服务器。这种木马之所以被称为“一句话”，是因为它的代码通常非常短小，可以轻松地通过HTTP POST请求等方式上传到Web服务器。一句话木马的主要目的是提供一个后门，使攻击者能够在没有授权的情况下访问和控制Web服务器。

常见的一句话木马形式:

php 的一句话木马:php@eval ($_POST [‘pass’])
asp 的一句话是:eval (request (“pass”))
asp 的一句话是:@Page Language=”Jscript” eval (Request.Item [“pass”],”unsafe”)

• 防御方法:
  1. 限制文件上传类型。禁止用户上传 php 文件。
  2. 禁止上传目录的可执行权限。
  3. 禁用 eval 函数等等。
• 4.使用WAF

APT攻击

APT (Advanced Persistent Threat，高级持续性威胁)，是一种针对特定目标进行长期持续性网络攻击的攻击模式。

典型的 APT 攻击一般会带有以下特征：持续性 攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期 (例如设备升级、应用更新等)，而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备 (如智能手机、PAD、(USB 等等)，并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：攻击者会针对收集到的目标系统中常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在 APT 攻击中，攻击者会利用 0DAY 漏洞进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

APT 防御措施

目前，防御 APT 攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知 FW 实施阻断。

内网电脑中毒常见的措施

如果是可以传播病毒类型，则断开网络、升级操作系统补丁修复漏洞、隔离主机、屏蔽相应的端口、备份数据。

SQL 注入

SQL注入是一种常见的安全漏洞，攻击者通过在输入中插入恶意的SQL代码来操纵数据库查询。为了防范SQL注入攻击，可以采取以下措施：

• 1. 使用参数化查询或预编译语句
• 参数化查询：这是最有效的防止SQL注入的方法之一。参数化查询将数据与SQL命令分离，确保用户输入不会被解释为SQL代码。
• 预编译语句：在执行之前编译SQL语句，并绑定参数值，这样可以有效防止SQL注入。
• 2. 输入验证和清理
• 输入验证：对所有用户输入进行严格的验证，确保输入符合预期的格式和类型。例如，数字字段只允许数字输入。
• 输入清理：去除或转义特殊字符（如单引号、双引号、分号等），以防止它们被用作SQL代码的一部分。
• 3. 最小权限原则
• 数据库用户权限：为应用程序使用的数据库用户分配最小必要的权限。例如，如果应用只需要读取数据，则不要赋予其写入或删除数据的权限。
• 限制敏感操作：避免使用管理员级别的账户运行应用程序，而是使用具有有限权限的账户。
• 4. 存储过程
• 使用存储过程：存储过程可以在数据库服务器上预先定义并编译，减少SQL注入的风险。但是，需要注意的是，即使使用存储过程，仍然需要正确处理输入参数，否则仍可能受到注入攻击。
• 5. 错误信息管理
• 隐藏详细错误信息：不要向用户显示详细的错误信息，因为这些信息可能包含有助于攻击者的信息。应该记录错误日志并在前端显示通用的错误消息。
• 6. 使用ORM（对象关系映射）框架
• ORM框架：使用如Hibernate、Entity Framework等ORM框架可以帮助开发者自动处理SQL查询，从而减少SQL注入的风险。但需要注意的是，即使是ORM框架，也需要正确配置和使用。
• 7. Web应用防火墙（WAF）
• WAF：部署Web应用防火墙可以检测并阻止一些常见的SQL注入攻击。WAF可以作为额外的安全层，但它不能替代上述其他防护措施。
• 8. 定期安全审计和更新
• 代码审查：定期进行代码审查，检查是否有潜在的SQL注入漏洞。
• 安全补丁：及时更新和打补丁，特别是数据库管理系统和应用程序框架的安全补丁。
• 9. 使用安全编码实践
• 培训开发人员：确保开发人员了解SQL注入的风险，并掌握预防SQL注入的最佳实践。
• 遵循安全编码指南：遵守OWASP（开放网络应用安全项目）等组织提供的安全编码指南

网络钓鱼

网络钓鱼是一种常见的网络安全威胁，攻击者通过伪装成可信实体（如银行、社交媒体平台或其他服务提供商）来诱骗用户提供敏感信息，如用户名、密码或信用卡信息。以下是一些有效的防范措施：

• 1. 教育和培训
• 用户意识：定期对员工和用户进行安全意识培训，教育他们识别钓鱼邮件、短信和网站的特征。
• 模拟演练：通过模拟钓鱼攻击来测试员工的反应，并提供反馈和进一步的培训。
• 2. 使用多因素认证（MFA）
• 增强安全性：启用多因素认证可以增加账户的安全性，即使密码被窃取，攻击者也难以访问账户。
• 3. 验证发送者身份
• 检查发件人地址：仔细检查电子邮件的发件人地址，确保它与官方域名一致。
• 警惕紧急请求：对任何要求立即采取行动或包含紧迫性的消息保持警惕。
• 4. 不点击可疑链接
• 手动输入URL：如果收到需要登录某个网站的邮件，不要点击邮件中的链接，而是手动输入官方网站的URL。
• 鼠标悬停检查：将鼠标悬停在链接上查看其实际指向的URL，以确保其真实性。
• 5. 检查网站的安全性
• HTTPS：确保网站使用HTTPS协议，这表示数据传输是加密的。
• 安全证书：检查网站的安全证书是否有效，避免访问没有有效证书的网站。
• 6. 安装和更新安全软件
• 防病毒软件：安装并定期更新防病毒软件，以检测和阻止恶意软件。
• 防火墙：配置和使用防火墙来监控和控制网络流量。
• 7. 谨慎处理个人信息
• 保护个人数据：不要轻易在不可信的网站上输入个人信息，尤其是敏感信息。
• 隐私设置：在社交媒体和其他在线平台上加强隐私设置，限制个人信息的公开程度。
• 8. 使用垃圾邮件过滤器
• 邮件过滤：使用垃圾邮件过滤器来自动筛选出潜在的钓鱼邮件。
• 黑名单：将已知的钓鱼邮件发送者加入黑名单。
• 9. 报告可疑活动
• 内部报告机制：建立一个简单易用的内部报告机制，鼓励员工报告可疑邮件或活动。
• 外部报告：向相关机构（如ISP、反欺诈组织等）报告可疑的钓鱼活动。
• 10. 使用最新的浏览器和操作系统
• 保持更新：使用最新版本的浏览器和操作系统，因为这些版本通常包含了最新的安全补丁和防护措施。
• 11. 双重检查信息
• 独立验证：对于涉及金钱交易或重要信息变更的请求，通过其他渠道（如电话）独立验证信息的真实性。
• 12. 避免使用公共Wi-Fi
• 安全连接：尽量避免在公共Wi-Fi网络上进行敏感操作，因为这些网络可能不安全。

网络常见防护设备

• 根据公安部要求，公司需要针对某业务系统开展等保三级测评，结合该公司网络拓扑图，需要购置相关安全设备。
• 针对要求点“应在关键网网络节点检测、防止或限制从外部或内部发起的网络攻击行为”选购的设备是（IPS/IDS）；
• 针对要求点“应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析”选购的设备是（安全审计）；
• 针对要求点“应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并针对这些操作进行审计”选购的是设备是（堡垒机）；
• 针对要求点“应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞”选购的设备是（漏洞扫描器）。