信息安全概论总复习总结.doc

信息安全概论总复习总结1、根据TCP/IP协议，共有0-65535个端口，可分为私有端口、注册端口、公认端口，其中公认端口的范围为： 01023；私有端口的范围为： 4915265535；注册端口的范围为： 102449151 。2、IPSec通过安全策略为用户提供一种描述安全需求的方法，允许用户使用安全策略来定义 保护对象、 安全措施 以及 密码算法 等。3.IPsec的加密算法只用于（ESP协议）。 4.计算机病毒的特性有（传染性、隐蔽性、潜伏性、破坏性）。 5.特洛伊木马的特性主要有（隐蔽性、欺骗性、特殊功能性）。 6.一个典型的PKI系统组成主要有（公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础）。7.包过滤和代理是两种实现防火墙功能的常见技术，其中包过滤技术工作在（网络层）层，代理防火墙工作在（应用层）层。8.包过滤防火墙的过滤依据主要有（ip源地址；ip目的地址；协议类型；tcp或udp的目的端口；tcp或udp的源端口；icmp消息类型；tcp报头的ack位。）9.按照检测技术的不同，可以将入侵检测分为（异常检测系统和误用检测系统），按照数据来源，可以分为（基于主机检测系统和基于网络检测系统）。 10、信息安全模型P2DR模型中各个字母分别代表（策略、防护、检测、响应）。 11、常用的服务及其对应的端口号。ftp：2122，http：80，telnet：23，snmp：161，SMTP:25，POP3：11012、运行保护中各保护环对应的内涵。（安全操作系统的运行保护是基于一种保护环的等级结构实现的，这种保护环称为运行域，一般的系统设置了不少于34个环，理解可答可不答）R0：操作系统，它控制整个计算机系统的运行；R1：受限使用的系统应用环，如数据库管理系统或事务处理系统；R2：应用程序环，它控制计算机对应用程序的运行；R3：受限用户的应用环，他控制各种不同用户的应用环。13、安全策略的实施原则。(1)最小特权原则：主体执行操作时，按照主体所需权利的最小化原则分配给主体权利（2）最小泄露原则：主体执行任务时，按照主体所需要知道的信息最小化的原则给主体权利（3）多级安全策略：指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS），秘密（S），机密（C），限制（RS）和无级别（U）5级来划分。14、朴素模式匹配算法的时间复杂度:文本串长n； 模式串长m。最坏情况下匹配搜索次数为 m*(n-m+1) 。15、KMP算法主要是消除了 主串 指针的回溯，从而使算法效率有了某种程度的提高。1、假如你要向你的朋友发送某个信息，为了实现信息的不可否认性、完整性、机密性，你会怎样做，画图说明你的方案。2、IPSEC安全协议中，其工作模式及其体系结构。答：1、隧道模式：保护整个ip数据包；传输模式：保护ip包头。2、体系结构：ah（认证报头协议）协议、esp（封装安全负荷）协议、ike（秘钥交换）协议3、在访问控制中，什么是主体，什么是客体，分别举例说明。答：主体：可导致信息在客体间流动或使系统状态发生变化的主动实体。例子：用户、进程。客体：包含或接收信息的被动实体。例子：页面、段、文件、目录、进程、硬件设备，4、CA的信任模型主要有哪几种，各有什么特点。答：1.严格层次信任模型：优点：（1）到达一个特定最终实体只有唯一的信任路径，证书信任路径构建简单；（2）它建立在严格的层次机制之上，建立的信任关系可信度高。 缺点：（1）根CA密钥的安全最重要，一旦泄漏整个信任系统瓦解；（2）根CA策略制定要考虑各个参与方，这会使策略比较混乱。2.桥信任模型：优点：现实性强，证书路径较易发现，证书路径相对较短。缺点：证书路径的有效发现和确认不很理想，大型PKI的目录的互操作性不方便，且证书复杂。3.网状信任模型：优点：信任关系可以传递；缺点：存在多条信任路径，要进行路径选择。 4.对等信任模型：优点：信任路径构建简单，信任关系可信度高；缺点：限制自己只允许直接信任，所以证书量大。 5、SSL握手协议过程中创建一个会话。答：（1）hello阶段；（2）加解密参数传输（3）server确认（4）会话数据传输6、IPSec中密钥交换协议IKE主要提供的功能分别是什么？答：（1）协商服务（2）身份认证服务（3）密钥管理（4）安全交换2、对称密码体制与非对称密码体制下密钥数量计算问题。n*(n-1)/2;2n3、IPSEC中AH协议中载荷长度计算公式。载荷长度 n=验证数据长度（bit）/32(bit) +14、门限秘密共享方案中的秘密与多项式重构计算问题。例题：Shamir在1979年提出利用有限域GF(p)上的k-1次多项式构造秘密共享的(k,n)门限体制。一个(3,5)门限方案，若已知随机素数p为17，当x=1，2，3，4，5时，对应的5个秘密份额为S1=8、S2=7、S3=10、S4=0、S5=11，请采用LaGrange拉格朗日插值法从秘密份额中选择S1、S3、S5个重构多项式h(x)和秘密S。（15分）解：h(x)=8(x-3)(x-5)/(1-3)(1-5)+10(x-1)(x-5)/(3-1)(3-5)+11(x-1)(x-3)/(5-1)(5-3) mod 17= x2-8x+15 -5(x2-6x+5)/2+11(x2-4x+3)/8 mod 17= x2-8x+15 mod 17 + (5(x2-6x+5)/ (-2) mod 17 +11(x2-4x+3)/8 mod 17h(x)= x2-8x+15 mod 17 +(5(x2-6x+5)*8) mod 17-22(x2-4x+3) mod 17=19 x2-160x+149 mod 17=2x2+10x+13 mod 17多项式h(x)= 2x2+10x+13 秘密S=13。5、入侵检测模型与HIDS、NIDS的优缺点。HIDS:基于主机的模型 优点：性价比高；更加细致，容易监测一些活动；视野集中；易于用户剪裁；有较少的主机；对网络流量不敏感。缺点：代价大；不监测网络上的情况；对入侵行为分析工作量随主机增加而增加。NIDS：基于网络的模型 优点：侦测速度快；隐蔽性好；视野更宽；较少的监测器；占的资源少 缺点：只检查直接连接网段通信；不能监测不同网段的网络包；实现复杂，需要大量计算和分析，工作量大。6、包过滤型防火墙的作用就是在网络中的适当位置对数据包实施有选择的通过。选择依据为系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。包过滤一般要检查哪些内容，配置包过滤包括哪些步骤。答：检查内容：ip源地址；ip目的地址；协议类型；tcp或udp的目的端口；tcp或udp的源端口；icmp消息类型；tcp报头的ack位。配置步骤：（1）必须知道什么是应该和不应该被允许的，必须制定一个安全策略。（2）必须正式规定允许的包类型、包字段和逻辑表达式。（3）必须用防火墙支持的语法重写表达式。7、描述利用KMP单模匹配算法进行模式匹配过程。例如：T=ababcabcacbab；P=abcac8、某公司有一B类网123.45。该网的子网/24，有一合作网络135.79 。管理员希望：禁止一切来自Internet的对公司内网的访问；允许来自合作网络的所有子网/16访问公司的子网123.4