信息安全学习笔记(2)

昨天看《我是歌手》去了,今天又刚看完电影回来,赶紧补作业。。。

—–

三、恶意代码与安全漏洞

恶意代码类型有:二进制代码,二进制文件,脚本语言,宏等等

常见的主要是病毒、木马和蠕虫

传染的独立型恶意代码的危害性最大

传播方式主要有:主动放置、网页、邮件、漏洞、移动存储、共享、网络通讯、软件捆绑等

—–

恶意代码的关键技术:加载,隐蔽,生存

加载:启动项,注册表,服务,组策略,感染文件合并,浏览器插件,修改文件关联(修改注册表)等等

隐藏:进程迷惑,DLL注入,端口复用,无端口,流文件等

生存:进程守护,超级权限,反跟踪,反分析,模糊变换等

—–

恶意代码检测技术:模式匹配(病毒库,扫描;准确,易于管理,但是滞后,效率低),校验和(完整性保护),行为检测(能检测未知恶意代码,但误报率高)

另外还有恶意代码的分析技术,清除技术,预防技术和基于互联网的防御(蜜罐,云查杀等)

—–

信息安全漏洞,即脆弱性,类似于基因天生的缺陷,不可避免

漏洞是信息安全的核心,漏洞也是一种战略资源(美国提出:海,陆,空,太空,网络空间)

常用漏洞库:

CVE,通用漏洞披露,统一编号,是国际通用标准

NVD,采用CVE编号,扩充了一些属性,美国所有

Secunia,漏洞挖掘,曾和微软合作

CNNVD,中国本地化漏洞库

安装补丁是漏洞消减的技术手段之一,另外还可以安全加固

—–

四、软件安全开发

平均每1000行代码存在10到20个缺陷

用户应提出除交付期和软件功能之外的软件安全方面的压力

软件漏洞来源于:需求分析阶段,总体设计阶段,代码编制阶段

越早发现漏洞,越少的修复时间和开销

—–

安全开发周期,Security Development Lifecycle,SDL是微软提出的从安全角度指导软件开发过程的管理模式

七个阶段:培训,需求,设计,实现,验证,发布,响应

安全设计原则:最小特权原则,职责分离原则,纵深防御原则,默认安全原则,减少攻击面原则,心理可接受原则,隐私保护原则

减少攻击面,即减少入口点,包括网络输入输出和文件输入输出

威胁建模:了解系统面临的安全威胁,确定风险并通过措施来缓解

—–

软件安全开发:溢出攻击(数据代码不分,堆栈溢出数据变代码指令),跨站脚本(数据不要直传),SQL注入(对输入验证)

Fuzz测试,黑盒测试,构造畸形数据

找到所有入口点,权限分类,可访问点

任何的崩溃都是漏洞

 

下节学习:五、信息安全保障基本知识;六、信息安全工程

信息安全学习笔记(1)

一、密码学基础

密码学的发展:古典密码,近代密码,现在密码,公钥密码

古典和近代密码:算法不能公开,主要方法是代替和换位

现代密码:安全在于密钥而不是算法的保密

科克霍夫假设:密码分析者知道双方使用的密码系统,包括明文的统计特性、加解密体制等,唯一不知道的是密钥。

在理想密码系统中,密文的所有统计特性都与所使用的密钥独立:扩散和混乱方法

—–

密码算法分类:对称密码算法,非对称密码算法,哈希密码算法

对称密码算法:DES(56位),三重DES(168位),IDEA(128位),AES(128/192/256位)

对称密码算法优缺点:效率高,算法简单,系统开销小;适合加密大量数据;明文长度与密文长度相等;缺点是需要以安全方式进行密钥交换;密钥管理复杂

DES是应用最广泛的对称密码算法,IDEA在欧洲应用较多,AES将是未来最主要的最常用的对称密码算法

—–

单向陷门函数:单向的,但已知某个值时可以反向计算

非对称密码算法,即公钥密码算法:RSA,ECC,DH,DSA等

RSA公钥用来加密和签名校验,私钥用来解密和签名

DH算法主要用于密钥交换,DSA算法主要用来签名

公钥密码体制的优缺点:解决密钥传递的问题(公钥私钥成对,初始时可选择);减少密钥持有量;提供签名服务等;缺点是计算复杂,加密后密文变长

—–

哈希密码算法:MD5(128位),SHA1(160位);单向性,碰撞性,散列性

哈希密码算法生成等长摘要,可以附加消息鉴别码,即带key的Hash

数字签名使用哈希后的摘要用私钥加密,具有唯一性和可验证性

—–

二、密码学应用

PKI指公钥基础设施Public Key Infrastructure,利用公开密钥技术建立的提供信息安全服务的在线基础设施。利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全

CA即认证中心Certificate Authority,共同信任的第三方,为公钥签名,发放公钥证书

加密模型:使用对方的公钥加密,解决机密性问题

签名模型:使用自己的私钥签名,解决完整性和认证,抗抵赖问题

数字信封:使用公钥加密对称密钥,结合两种加密方法,融合了各自的优点

SSL协议即使用了各种加密方法:对称加密信息,非对称加密对称密钥,哈希校验和签名

PKI/CA组成:CA,RA,LDAP,App

CRL:证书撤销列表,也称“证书黑名单”

证书:格式X.509,主要包括:证书颁发机构,持有者名字,公钥,有效期,颁发机构签名

国内的CA不具备信息交互的功能,主要是解决完整性和抗抵赖性问题

—–

VPN在各层的应用:数据链路层,网络层,传输层,应用层

VPN隧道技术:L2TP,PPTP,IPSec,SSL

按体系结构分类VPN:网关到网关,主机到网关,主机到主机

VPN最主要就是在分组交换的公用网络上使用加密传输建立虚拟的专用网络

VPN的基本功能:加密数据,信息认证和身份认证,提供访问控制

 

下节学习:三、恶意代码及安全漏洞;四、软件安全开发