6.7 信息安全章节回顾
本课核心知识点整理
复盘时先抓“目标”,再抓“技术”
信息安全题最怕把相近名词背成一团。复盘时建议按下面的顺序判断:
text
题干现象 -> 破坏了哪个安全目标 -> 应选哪类技术 -> 排除项为什么不匹配例如题干说“防止发送方事后否认发送过消息”,目标是不可否认,技术应选数字签名,而不是单纯加密。
本章高频边界
| 易混组合 | 一句话区分 |
|---|---|
| 对称加密 vs 非对称加密 | 对称是一把共享密钥,非对称是公钥/私钥成对 |
| 加密 vs 摘要 | 加密保护内容不被看见,摘要检查内容是否变化 |
| 摘要 vs 数字签名 | 摘要只是指纹,签名是用私钥保护摘要并可验证身份 |
| 数字签名 vs 数字证书 | 签名证明消息来源,证书证明“身份与公钥绑定” |
| 认证 vs 授权 | 认证问“你是谁”,授权问“你能做什么” |
| IDS vs 漏洞扫描 | IDS 发现可疑入侵行为,漏洞扫描发现系统弱点 |
| IDS vs IPS | IDS 告警,IPS 更强调阻断 |
| 防火墙 vs DMZ | 防火墙是边界控制设备/技术,DMZ 是对外服务缓冲区 |
加密与认证复盘卡
| 考点 | 必背判断 |
|---|---|
| 对称加密 | 速度快,适合大量数据;问题是密钥分发和管理 |
| 非对称加密 | 公钥公开、私钥保密;适合密钥交换、签名、证书体系 |
| 数字信封 | 用对称密钥加密数据,用接收方公钥加密对称密钥 |
| 信息摘要 | 单向、固定长度、雪崩效应;用于完整性校验 |
| 数字签名 | 发送方私钥签名,接收方公钥验证 |
| 数字证书 | CA 对主体身份和公钥绑定关系进行签名背书 |
技术迭代的核心原因也要会说:对称加密快但密钥分发困难,所以引入非对称加密解决密钥交换和身份问题;非对称加密慢,所以实际系统又使用数字信封把两者结合起来。
网络安全协议复盘卡
| 协议 | 考点句 |
|---|---|
| SSL/TLS | 位于应用层协议与传输层之间,为上层应用提供安全通道 |
| HTTPS | HTTP 加 TLS/SSL,默认端口 443 |
| IPSec | 网络层安全协议,保护 IP 层数据 |
| SSH | 安全远程登录,替代明文 Telnet |
| S/MIME/PGP | 邮件加密、签名和认证 |
看到“安全 Web 通信”优先想 HTTPS;看到“网络层保护 IP 包”优先想 IPSec;看到“远程登录安全”优先想 SSH。
网络威胁复盘卡
| 题干现象 | 类型 | 防护方向 |
|---|---|---|
| 只窃听、分析流量 | 被动攻击 | 加密、流量保护 |
| 修改、伪造、删除消息 | 主动攻击 | 摘要、签名、认证 |
| 截获合法报文后再次发送 | 重放攻击 | 时间戳、随机数、序列号 |
| 大量请求导致服务不可用 | 拒绝服务 | 限流、清洗、冗余 |
| 伪装成正常程序,暗中开放后门 | 木马 | 终端防护、最小权限、行为检测 |
| 自我复制和传播 | 病毒/蠕虫 | 防病毒、补丁、隔离 |
安全控制复盘卡
| 控制技术 | 关键词 |
|---|---|
| 包过滤防火墙 | 源 IP、目的 IP、端口、协议、报文头 |
| 状态检测防火墙 | 连接状态、会话表 |
| 应用代理防火墙 | 代理通信、检查应用层内容 |
| DMZ | 对外服务区、非军事区、内外网之间 |
| 漏洞扫描 | 风险评估、发现漏洞、补丁建议 |
| 入侵检测 | 可疑行为、攻击模式、告警 |
| 访问控制 | 主体、客体、权限、授权 |
| 管理安全 | 人员、制度、组织规范 |
一张复盘流程图
例题
复盘信息安全题时,更可靠的方法是:
把“对称加密速度快”和“非对称加密便于密钥传递”结合起来的典型机制是:
题干强调“根据可疑行为模式判断并告警”,更可能考:
自查要点
- 为什么复盘时要先判安全目标?
- 数字信封为什么是对称和非对称加密的组合?
- CA 签名在数字证书中证明了什么?
- SSL/TLS 与 HTTPS 的关系是什么?
- 漏洞扫描、IDS、防火墙三者如何一句话区分?