网络安全概论(每章重点)

1、第一章 网络安全问题（没有写上题型的一般为选择题） 安全漏洞是网络攻击的客观原因。使用漏洞的一个典型例子是缺省口令。 简答：主要的网络攻击方式：1、拒绝服务攻击，攻击者通过向目标系统建立大量的连接请求，阻塞通信息道、延缓网络传输，挤占目标机器的服务 缓冲区，一直目标计算机疲于应付，直至瘫痪。2、入侵攻击， 攻击者利用操作系统内在的缺陷或者对方使用的程序语言本身所具有的安全隐患等， 非法进入本地或远 程主机系统，获得一定的操作权限进而窃取信息、删除文件、埋设后门、甚至瘫痪目标系统等行为。3、病毒攻击，随着计算机网络技术的发展，计算机病毒的范畴有了狂战，除了一般以意义的病毒外，广义上的病毒还 包括

2、木马、后门、逻辑炸弹、蠕虫等有害代码会恶意逻辑。4、邮件攻击，邮件攻击的方式有对邮件服务器攻击、修改或丢失邮件、否认邮件来源。此外邮件攻击如果跟其他攻击 方式，则其威力机会大大增加了。5、幼儿攻击，通过建立幼儿网站，当用户浏览网页时，便会遭到不同形式的攻击。 名解：特洛伊木马（程序）是隐藏着恶意代码的程序，这些程序表面是合法的，能为用户提供所期望的功能，当其中 的恶意代码会执行不为用户所指的破坏功能，他与病毒的区别是，特洛伊木马不感染其他文件，而且破坏行为隐蔽， 一般用户很难觉察，因而也很难发现它的存在。在网络安全领域中，网络信息的基本安全特性有了新的含义和名称：保密性、完整性、可用性PPDR

3、是 policy （策略）、protection （保护）、 detection （监察）和 response （反应）的缩写。 网络安全分为 3 层次：感知曾、技术层和物理层第二章密码学方法 根据密钥的特点，密码提示可分为私钥（又称单钥、对称）密码体制和公钥（又称双钥、非对称）密码体制 私钥体制的热点：机密密钥和解密密钥相同（二者值相等） 公钥体制的特点：机密密钥和解密密钥不相同（二者值不相等，属性也不相同） ，一个是可以公开的公钥，一个是需要 保密的私钥。公钥体制大大简化了复杂的密钥分配管理问题，但公钥算法要比私钥算法慢得多，约为 1000 倍。 流密码方式只适用于私钥加密机制 现有的公钥

4、密码体制都采用分组密码。私钥体制采用流密码或分组密码方式，公钥体制采用分组密码方式 目前是用的流密码算法主要有： A5算法、 FISH算法、 RC4算法、 WAKE算法 A5 算法有欧州 GSM标准中规定的机密算法，用于数字移动电话的加密。DES（美国商用数据加密标准）是一种队二元数据的加密算法 简答：密码系统安全性的基本要求是：1、密码体制即便不是在理论上不可破的，也应该在实际上是不可破的2、整个密码系呕吐那个的安全性系于密钥上，即使密码算法被公布，在密钥不泄露的情况下，密码系统的安全性也可 以得到保证。3、密钥空间必须足够大，这是因为，如果密钥空间小的话，攻击者可以采用已知明文甚至惟密文攻

5、击，穷举整个密钥 空间从而攻破密码系统。4、加解密算法必须是计算机上可行的，并且能够被方便的使用和实现。5、对密码系统还存在一些其他要求， 比如能偶抵抗已经出现的一些攻击方法； 加密后得到的密文长度与明文长度的壁 纸最好是 1消息认证的目的主要有：消息完整性的认证、身份认证、消息的序号和操作时间（时间性）等的认证 名解：在以计算机文件为基础的现代事物处理过程中，应该采用电子形式的签名，即数字签名法 简答：一种完善的数字签名应满足的要求1、收方能够确认会正式发方的签名2、发方发出签名的消息给收方后，就不能否认他所签发的消息3、收方对已经收到的前民消息不能否认4、第三者可以确认收发双方之间的消息传

6、送，但不能这一过程 数字签名的种类： 1、对整体消息的签名； 2、对压缩消息的签名 一个签名体制一般含有两个部分：签名算法和验证算法 不可否认签名与普通数字签名最本质的区别在于：对于不可否认签名，在得不到 签名者 配合的情况下其他人不能正确 进行签名认证。PGP是以基于公钥加密体系的邮件加密软件 简答： PGP的原理是 ? 首先产生一对钥匙，一个是公钥，一个是私钥。当要传送一封保密信或文件给对方时，首先必须取得对方的公钥，并 将它加入自己的公钥环中；接下来利用对方的公钥将信件加密后再传给对方。当对方收到加密的信件后，对方必须利 用其相对应的私钥来解密。第三章 PKI名解： PKI 即公钥基础设

7、施，就是利用公钥密码理论和技术建立的提供安全服务的基础设施， PKI 是提供公钥机密和数 字签名服务的系统，目的是为了管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认（抵 赖）性。机密密钥对是为了确保文件的机密性和完整性 签名密钥对是为了使达到数据的真实性和不可抵赖性的要求 论述： PKI 的作用PKI 通过以下几个方面保护用户的信息资产1、身份认证，使用数字证书保证个人用户、组织、 web 站点的操作员及装用网路设备等实体在 internet 加一种安全 的验证各方的身份2、完整性认证，使用数字证书，可以验证朱自签名，保证数据在线传输时没有被篡改或者受到破坏3、私有性，

8、使用数字证书交换密钥，在对数据加密，保证信息在线传输途中不被侦听4、访问控制，数字证书替代了传统的用户名和口令的访问控制机制，用户名和口令很容易被猜到、破解或对视，而数 字证书则没有这个问题5、授权交易，通过数字证书，可以控制在线特权操作，通过不同身份、不同特权的用户持有不同的证书来进行身份、 权利控制6、不可抵赖习惯，用数字证书进行身份认证，并对交易签名，是交易双方对交易不可以否认，这在交易中是必须的 PKI 为用户提供给了一种手段，是用户在利用 internet 带来的速度和效率的同时，可以更好的保护商业敏感信息不被 真挺，篡改，未授权存取 简答： PKI 是以中国遵循标准的密钥管理平台，

9、主要包括五个模块1、CA（认证中心）2、证书库3、密钥管理系统（生成、备份、恢复和更新）4、证书撤销管理系统5、pki 应用接口系统名解： ca 机构又称为证书认证中性，他是数据证书的签发机构，是pki 的核心，并且是 pki 应用中权威的、可信任的、公正的第三方机构，承担公钥系统中公钥的合法检测的责任。ca 管理的核心问题是密钥的管理 在网上传输信息时，普遍使用的是 X.509 格式的数字证书 证书撤销的实现方法有很多种： 1、利用周期性的发布机制 2、在线查询机制 pkcs 是有 rsa 实验室与全世界的安全系统开发者们共同制定的公开密钥标准 ocsp 是指在线证书状态协议，是有 ietf

10、 颁布的用于监察数字证书在某一交易时刻是否仍然有效的标准 tsp 是时间戳协议的缩写第四章防火墙技术 名解：防火墙是综合采用适当技术，通过对网络左拓扑结构和服务类型上的隔离，在被保护网络周边建立的，分割被 保护网络与外部网络的系统，适合于专网中使用，特别是在专网与公共网络互联时使用 包过滤防火墙也称为网络层防火墙，通常是安装在路由器上的 包过滤防火墙的核心是他的安全策略（也叫做包过滤算法）的设计 包过滤是最早使用防火墙技术 包过滤技术是在网络层拦截所有试图通过的信息流，而代理技术是在应用层实现防火墙功能 应用网关防火墙也叫代理服务器防火墙，具有和好的安全控制及时，被认为是最安全的防火墙技术 电

11、路级网网关是在 osi 模型中的会话层上来过滤数据包的 双宿主主机采用主机取代路由器执行安全控制功能屏蔽主机结构中最容易受攻击的是堡垒主机 屏蔽子网结构就是在内部网络和外部网络之间在增加一个子网，称之为非军事区 DMZ 简答：代理技术的主要有点事1、安全性高：代理技术能够支持可靠地用户认证并提供详细的注册信息2、配置简单：相对包过滤路由器来说应用层的过滤规则更容易配置和测试3、日志完备：代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能4、隐秘内网：提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机，这样可以隐藏外部网的 ip 地址，可 以保护内部主机

12、免受外部主机的进攻5、扩充地址，通过代理访问 internet 可以解决合法的 ip 地址不够用的问题，因为 internet 所见到的只是代理服务 器的地址，内部的 ip 地址通过代理方位 internet 。socks 客户程序都首先建立一个与 socks 服务器的连接（端口号为 1080）socks 技术的最大缺点是没有很强的用户认证体制名解：地址转换技术（ NAT）是将一个 ip 地址用另一个 ip 地址代替， NAT有两个用途 1、隐藏内部网络的 ip 地址，是 外部网络上的主机无法判断内部网络的情况；2、解决合法 ip 地址优先，不能满足访问外部网络需要的问题，因此需要转换 ip

13、地址以提供更多的地址空间。第五章 网络安全协议与 vpn名解 ssl 安全套接层协议是 Netscape 公司 1995 年推出的一种安全通信协议，用于 web 浏览器和服务器之间的通信的 安全洗衣，数要是使用公开密钥体制和 X.509 数字证书技术保护信息传输的机密性和完整性，但他不能保证信息的不 可抵赖性。ssl 是对计算机之间整个会话进行加密的协议，被广泛应用于 internet 的处理财务上的敏感信息上ssl 协议分为两层： ssl 握手协议和 ssl 记录协议ssl 记录协议属于传输层的协议，他工作与 tcp 上set 协议主要使用电子认证技术，其认证过程使用 rsa 和 des 算

14、法，因此可以为电子商务提供很强的安全保护，是目前 点知商务中最重要的协议 名解：安全电子交易规范是一种为基于信用卡二进行的电子交易提供安全措施的规则，是一种能广泛应用于 internet 的安全电子付款协议，它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里，扩展到消费者的个人 计算机中。论述： ssl 协议和 set 协议的差别1、用户接口方面： ssl 协议已经被浏览器和 web 服务器内置，无需安装专门的软件；而set 协议中客户端需要安装专门的电子钱包软件，在商家服务器和隐含网络上也需要安装相应的软件2、处理速度方面： set 协议非常复杂庞大，处理速度慢（一次典型的 se

15、l 交易过程先不要 9 次数字证书验证、 6 次数 字签名验证、 7次传递证书、 5次签名、 4次对称加密和 4次非对称加密，交易过程大约需要1.52 分钟）。而 ssl协议简单，处理速度快3、认证要求方面： ssl 中只有商家服务器的认证是必须的，客户端认证则是可选的，相比之下， set 协议的认证要求 较高，所有参与 set 交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多 方认证问题。4、安全性方面： set 协议采用了公钥加密、消息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否 认性，且 set 采用了双重签名来保证个参与方信息的相互隔离

16、； ssl 协议虽然也采用了公钥加密、消息摘要和 mac 检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但是却反一套完整的认证体系，不能提供完备的防抵 赖功能，因此， set 协议的安全性要比 ssl 的高5、协议层次和功能方面： ssl 属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能。 set 协 议位于应用层，不仅规范了整个电子商务的商务性，制定了严格的机密和认证标准，具备商务性、协调性和集成性 的功能ipsec 是工作在第三层的，提供网络及的安全 , 是 ipv6 的一个组成部分，也是 ipv4 的一个可选扩展协议简答： ipsec 是通过采用密码学方法和安

17、全操作控制方法来时县安全服务的，其通过三个协议来实现安全服务1、认证头 AH协议，人通信双方能验证数据在传输过程中有没有被篡改，并能验证发方的身份2、封装安全载荷 ESP协议，用于风霜加密的 ip 包，防止传输过程中的欺骗3、密钥管理协议，允许双方协商加密密钥和加密方法 设计认证头 AH协议的目的是用来增加 ip 数据的安全性 ike 的机制有：主模式交换；野蛮模式交换；快速模式交换；新祖母是交换；ISAKMP信息交换名解： vpn 中文名为虚拟专用网，是指利用安全协议等措施在不安全公共网络上建立安全“隧道” ，以实现保密通信的 机制，“专用网”是指专攻特定组织机构（如企业，学校）使用的远程网

18、络。vpn 的安全性主要是通过 SOCK v5 、 ipsec 、 pptp 、 l2tp 四种安全协议实现的 ppip/l2tp 的优点是支持流量控制，通过减少对丢弃包改善网络的性能，这样可以减少重传。 vpn 管理中心是整个 vpn 的核心部分。vpn 的优点：廉价的网络接入；严格的用户认证；高强度的数据保密 ipsec vpn 需要先完成客户端得配置才能建立通信信道，并且配置复杂 ssl vpn 是指以 http 为基础的 vpn，但包括可知此的 ssl 的应用程序 tsl 传输层安全协议必须首先进行配置，包括使用公钥与对称密钥加密以交换信息 ssl 可以利用 各种公钥（ rsa 、 d

19、sa）算法、对称密钥算法（ des、 3des 、 rc4 ）和完整性（ md5、 sha 1）算法 简答： ssl vpn 有以下优缺点？ ssl vpn 有以下优点1、他的 https 客户端程序，已经预先安装在了终端设备中，因此不需要再次安装2、像 microsoft outlook 与 eudora 这类流行的有机韩客户端 / 服务器程序所支持的 ssl https 功能，同样也与市场 上主要的 web 服务器捆绑销售，或者通过专门的软硬件供货商获得3、ssl vpn 可以在 nat 代理装置上以透明模式工作4、ssl vpn 不会受到安装在客户端与服务器之间防火墙的影响ssl vpn

20、 有以下缺点1、ssl vpn 不适用左点对点的 vpn ，后者通常采用的是 ipsec/ike 技术2、ssl vpn 需要烤房网络防火墙中的 https 连接端口3、ssl vpn 通常需要其他安全配置，例如用第三方技术验证“非信任”设备的安全性4、第六章网络安全体系与标准简答： iso7498 2 中描述的安全服务指为实现安全功能所需要提供的各种服务手段包括1、鉴别：对等实体鉴别和数据原发鉴别2、访问控制3、数据机密性（连接机密性、无连接机密性、选择字段机密性）4、数据完整新：待回复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性5、抗抵赖性：有数据原发证明的抗抵赖、有交付证明的

21、抗抵赖 安全机制中能提供抗抵赖安全服务的是：数字签名 在 tcp/ip 中能提供抗抵赖服务的层是：应用层 联合公共准则 CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则 1999 年有公安部主持制定的中华人民共和国国家标准GB17895，即 1999计算机信息安全保护等级划分准则颁布，2001 年 1 月 1 日开始实施 名解：测评认证是现代质量认证制度的重要内容，其实是有以个重力的权威机构，通过科学、规范、公正的测评和评 估，向消费者、购买者（即需方）正式生产者或供方提供的产品和服务，符合公开、客观和先进的标准。 简答：信息安全测评认证的重要性 首先，对我国按国际惯例建立和

22、实施的有关信息产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制 制度等方面的决策，提供科学公正的技术依据 其次，对各方用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供权威公正的专业指导 最后，对信息安全产品的研究、开发、生产企业和提供其他信息安全服务的企业，进行严格规范与科学引导，提高其 市场竞争力和技术进步水平 中国信息安全产品测评认证中心代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性 评价的机构。第七章单电子商务与政务系统安全 名解：安全策略是为了发布、管理和保护敏感信息资源而制定的一组法律、法规和措施的综合，是对信息资源使用、 管理规

23、则的正是描述，是网络内所有成员都必须遵守的规则。安全策略是网络信息安全的灵魂和核心 风险分析是有效保证信息安全的前提条件 基于 internet 的开放电子商务的最大问题是安全问题在支付型电子商务系统中，用户端软件成为电子钱包。 电子商务系统中的安全技术：采用数字信封技术保证数据的传输安全；采用数字签名技术进行身份认证并同时保证数 据的完整性，完成交易防抵赖；采用口令技术或公开密钥技术进行身份认证。 数字信封技术在外层使用公开密钥加密技术；内层使用的是对称密钥加密技术 名解：电子政务是指政府运用现代计算机和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现 政府组织结构和工作流程

24、的重组优化，超越时间、空间和部门分隔的制约，向社会提供货高效优质、规范透明和全方 位的管理和服务。论述：电子政务面临的安全问题及其解决的机制？（老师没有划出解决的机制的答案自己发挥） 电子政务信息系统的安全取决于特定的安全环境1、当前电子政务所棉铃的社会环境威胁有非法访问；破坏信息的完整性；假冒；破坏系统的可用 ; 接受和辐射侦测； 重放；抵赖；2、技术环境的脆弱来源于嘻嘻系统技术上和管理上的缺陷，包括缺陷或漏洞；后门3、无力自然环境恶化是指系统物理基础的支持能力下降或消失，包括电力供应不做或中断、电压波动、经典或强磁场 的影响，以及自然灾害的发生等。简答：电子政务的信息安全机制和体系结构 电

25、子政务的信息安全机制是指实现安全目标的支持元素。作为大多数信息安全能力的共同基础，支撑机制是最常用的 安全机制。而且，支撑机制总是和其他机制互相关联。支撑机制包括：标识和命名、密钥管理、安全管理、系统管理。 防护机制被用于防止安全事故的发生。防护机制包括：受保护的通信、身份鉴别、授权、访问控制、拒绝否认、事务 隐私。因为不存在完美无缺的信息安全防护机制组合，所以电子政务系统中有必要检测安全事故的发生并采取有效措施减少 安全事故的负面赢驷昂。检测和恢复机制包括：审计、入侵检测、王正兴验证、安全状态重置 电子政务系统的全部信息安全服务最终都依赖于操作系统安全服务第八章输入法漏洞是在 windows 2000 操作系统中一些典型的安全漏洞及其对策，资料来源于“中国网侠联盟”exim 格式化字串漏洞在 linux 系统下VIM stasusline文本嵌入命令执行漏洞是在 linux 系统下的漏洞， Redhat 是 linux 系统之一第九章1. （名解）入侵测技术是一种主动