计算机网络安全第二版期末复习重点

......1.1计算机络全概是么？计机络全络安有几基特？各个征的义什？概念网安全指网系统的件硬件以及系统中存储和传输的数据受到保不偶然的或者恶意的原因而遭到破坏、更、泄网系统连续可靠正常地运行网络服务不中断网络安全的属性特CIA三）机密性Confidentiality）保证信息与信息系统不被非授权的用实体或过程所获取与使用完整性（Integrity）信息在存贮或传输时不被修、破或发生信息包丢、乱序等可用性）信息与信息系统可被授权实体正常访问的特性，授权实体当需要时能够存取所需信息可控性对信息的存储于传播具有完全的控制能可以控制信息的流向和行为方真实性也就是可靠性指息的可用度包括信息的完整性准确性和发送人的身份证实等方面它也是信息安全性的基本要。1.2OSI安全系构及几方面OSI全体系结构主要关：安全性攻击任何危及企业信息系统安全的活。专业.专注

.......安全机制用来检测阻攻击或者从攻击态恢复到正常状态的过或实现该过程的设备安全服务加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目在于利用一种或多种安全机制进行反攻。1.3OSI的安服务安机都哪项安全制安全务间什关？安全服务OSI全体系结构定义了大类共个全服务1鉴服务who鉴别服务与保证通信的真实性有，提供对通信中对等实体和数据来源的鉴。）对等实体鉴该服务在数据交换连接建立时提识别一个或多个连接实体的身证实参与数据交换的对等实体确实是所需的实防止假冒）数据源鉴别该务对数据单元的来源提供确向接收方保证所接收到的数据单元来自所要求的源点它能防止重播或修改数据单元2访控制服务包括身份认证和权限验证用于防治未授权用户非法使用系统资该务可应用于对资源的各种访问类型如通资源的使用信资源的读写和删除进资源的执行或对资源的所有访。3数保密性服务为防止网络各系统之间交换的数据被截获或被非法存取而泄密供机密保护保密性是防止传输的数据遭到被动攻。包括连接保密性专业.专注

.......无连接保密性选择字段不保密性信息流保密性4数完整性服务用于防止非法实体对交换数据的修插、删除以及在数据交换过程中的数据丢带恢复的连接完

不带恢复的连接完整选择字段的连接完整无接完整选择字段无连接完整5不抗否认服务用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为具有源点证明的不能否认具有交付证明的不能否认为了实现安全服务OSI安全体系结构还定义了安全机制特定安全机制

在特定的协议层实现加密机制数签名机制访控制机制、数完整性机制鉴别交换机制、通信业务填充机制路由选择机制公机关系加

数字

访

教

认

流

路

公服机

密

签名

控制

完整

交换

填充

控制

证性专业.专注

.同实认数源证访控保性

......YYYYYYY

Y流保

Y

Y

Y性数完性不否性可性

YYYYYYY1.4简述络全略意？它主包哪个面略意义络安全系统的灵魂与核心是一个特定的环境里，为保提供一定级别的安全保护所必须遵守的规则集合网安全策的提出，为了实现各种网络安全技术的有效集成构可靠的网络安全系统网络安全策略包含方策略物理安全策略专业.专注

.......访问控制策略防火墙控制信息加密策略网络安全管理策略2.2根据自基的学理，分公密体与对密体的进公钥密码体对密码1:1)在用户数目比较多时传对称密码体制密钥产存和分发是很大问。公钥密码体制用户只需掌握解密密钥，而将加密密钥和加密函数公开。变了密钥分发方式便利密钥管理不用于加，还广泛用于消息鉴数字签名和身份认证2.3与对密体比，公钥码制应中哪优点?公钥密码体制最大优点适应网络的开放性要密码管理比对称密码简单又足新的应用要。通信各方都可以访问公钥，私钥通信方本地产生不必进行分配。何时刻都可以更改私钥只修改相应的公钥替代来的公。2.4有哪常的码析击法，各什特？惟密文攻击仅知加密算法和密最防范已知明文攻击：知加密算法待密文，同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式如准化的文件选择明文攻击：攻者选择对其有利的明获到了其相应的密。选择密文攻击事搜集一定数的密，获的对应的明文3.2什么MAC？其实的本理什？MAC是息别又密码校验。专业.专注

.......其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据即并附加到消息后面传输接方利用与发方共享的密钥进行鉴MAC提供消息整性保可以在不安全的信道中传输因MAC的生成需要密钥。3.3散列数该有些全性？单向性对于任意给定的散列码寻x使在算上不可。强对抗碰撞输是任意长度；输是固定长度的数给h和M容易计算寻任何的使H(M1)=h(M2)在计算上不可。（）弱对抗碰撞对任意给定的分组寻不等于的M’使得在计算上不可行3.4什是数字签名数字签名具有哪些特？数字签名是附加在数据单元上的一些数据或是对数据单元所作的密码变换种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性，并保数据防被人如收进行伪造数字签名的特征可验证信接收方必须能够证发送方的签名是否真实有不可伪造性除了签名人之外任人都不能伪造签名人的合法签不可否认性发送方发送签名消息无抵赖发送行；接收方在收到消息也无法否认接收行。（）数据完整性发送方能够对消息的完整性进行校具消息鉴别的作用4.1用户证主方有些？各具什特？基于口令的认证基智能卡的认基于生物特征的认。基于口令的认证最简最实现最易理解和接。专业.专注

.......基于智能卡的认证的特点：双因认证带有安全存储空间硬件实现加密算法便于携带安全可基于生物特征的认证不易遗忘或丢失防性能好易伪造或被盗“随携带方使用但本只适用于安全级别比较高的场4.2简述X.509书包的息版本号序列号签算法标识、签者有期证书主体名证主体的公钥息签发者唯一标识证主体唯一标扩签。4.3一个整应用统括些成分各自具什功？一个完整的应系统必须具有权威认证机构、数证书库、密钥备份及恢复系统证书作废系统应接）等本构成部分认证机构）即数字证书的申请及发机CA必具权威性的特；数字证书库：用存储已签发的数字证书及公钥，用可由此获得所需的其他用户的证书及公钥密钥备份及恢复系统如果户失了用于解密数据的密钥数据将无法被解密，这将造成合法数据丢失为免这种情况，PKI提备份与恢复密钥的机制。须注意密钥的备份与恢复必须由可信的机构来完成且密钥份与恢复只能针对解密密钥，签私钥为确保其唯一性而不能够作备证书作废系统证书作废处理系是PKI的一个必备的组件与常生活中的各种身份证件一样证书有效期以内可能需要作废原可能是密钥介质丢失或用户身份变更等。为实现这一点PKI须提供作废证书的一系列机应用接口）：PKI的价值在于使用户能够方便地使用加、数字签名等安全服务因此一个完整的PKI必提供良好的应用接口系统使各种各样的应用能够以安全一专业.专注

.......可信的方式与PKI交确安全网络环境的完整性和易用4.4简述CA的基本责。制定并发布本地CA策；对下属各成员进行身份认证和鉴发布本CA的书或者代替上级布证书产生和管理下属成员的证；证实RA的书，返回证书制作的确认信，或返回已制作的证书接受和认证对所签发证书的撤销申；产生和发布所签发证书和CRL；保存证信息审信息和所制定的策略第章1.简述对机ARP骗机制中间人C充响以假的—扰乱A的列，A发给B的数据发给了。2.IPsec中传模和道式何区？ESP在道模式中加密和认证可整内包内部报隧道模式中认证整个内部包外部头的中部。当IPsec被用于端到端的应用，传输模式更合理一些在防墙防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中，通采隧道模式且输模式并不是必需的因为隧道模式可以完全替代传输模但隧道模式下的IP据包有两个IP，处理开销相对较大3.AH协议ESP协议自供些全务？专业.专注

.......AH协为IP数包提供数据完整性校验和身份认还可选择的抗重放攻击保但不提供数据加密服ESP协为IP数包提供数据完整性校、身认证和数据加，以及可选择的抗重放攻击保护即除提的所有服务提供数据保密服，保密服务包括报文内容保密和流量限制保第章1.恶意码存术要括几方面分别述原理（）反跟踪技术反跟踪技术可以提高恶意代码的伪装能力和防破译能增检测与清除的难度反动态跟踪：禁跟踪中断、封键盘输和屏幕显示、检测调试器跟踪法其反跟踪技术

反静态跟踪对意程序代码分块加密执行伪指令。（）加技加密技术是恶意代码自我保护的一种有效手，通与反跟踪技术相配合以使分析者无法正常调试和阅读恶意代码不能掌握恶意代码的工作原理，也法抽取恶意代码的特征串。从加内容划分密手段分为信息加密数加密和程序代码加密三种模糊变换技恶代码每次感一个对象嵌入宿主的代码都不相。自动生产技计机病毒生产使得对计算机病毒一无所知的普通用，也组合出功能各异的计算机病毒2.蠕虫码括些块分别有什功？蠕虫代码的功能模块至少需要包含扫描模、攻击模块和复制模块三个部分蠕虫的扫描功能模块负责探测网络中存在漏洞的主攻击模块针对扫描到的目标主机的漏洞或缺陷，取相应的技术攻击主机直获得主机的管理员权限并得一个专业.专注

.......攻击成功后复制模块就负责将蠕虫代码自身复制并传输给目标主。第章1.列出简定防墙据体实技的类。（从作原理角度，防火墙技术主要可分为网络层防火墙技术和应用层防火墙技术根防火墙的硬件环境的，可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙根据防火墙功能的不同可将防火墙分为防火墙防墙E-mail防墙病防火墙个防火墙等各种专用防火。7.2什么防墙它有哪功和限在计算机网络安全领是个软件或硬件设备的组合而成起过滤和封锁作用的计算机或网络系统它般布置在本地网可内部网和不安全和不可信赖的外网络之间作用隔离风险区域和安全区域的连接；阻不望或未授权的通信进出内部网络通过边界控制强化内部网络的安，同时不影响内部网络对外部网路的访。防火墙的典型功1.访控制功能是火墙最基本和最重要的功能，通禁止和允许特定用户访问特定资源保护内部网络的资源和数2.内控制功能根据数据内容进行控制如滤垃圾邮件限制外部只能访问本地Web服务器的部分功等3.日功能：防墙需要完整的记录网络访问的情况。旦网络发生了入侵或者遭到破换可以对日志进行审计和查查事。4.集管理功能在火墙上集中实施安全管理用过程中还可以根据情况改变安全策略5.自安全和可用性防火墙要证自己的安全，不被非法侵入，保证常的工作。防专业.专注

.......墙还要保证可用否网络就中内部网的计算机无法访问外部网的资防火墙的局限性不能防御不经由防护墙的攻击不能防范来自内部的攻击不能防止病毒感染程序和文件出入内部不能防止数据驱动式攻击电邮件复制本地机执行后攻击7.3简述火的个展段：第一代防火墙基于路由器:路器防火墙一；采用的主要是包过滤技术第二代防火墙由一系列具有防火墙功能的工具集组成将过滤功能从路由器中独立出来，加入告警和审计功能因是纯软件产随意对系统管理员技术要求高第三代防火墙为应用层防火墙它建立在用操作系统之上包括分组过滤功能装有专用的代理系统监控所有协议的数据和指令，保用户编程和用户可配内核参数的配置第四代防火墙为动态包过滤技术：也作态检测技术该术能够对多种通信协议数据包做出通信状态的动态响。8.1简述络击过：隐自身利技术手段隐藏自己真实的地址通常有两种方：第一种是入侵网络中一台防护较弱的主肉）利这台主机进行攻。第二种是网络代理跳板2.踩和扫描：网络点就是通过各种途径对攻击目标尽可能多了解信息分析得到攻击系统可能存在的漏洞。网络扫就是利用各种工具探测目标网络的每台主机以寻找该系统的安全漏洞有种常用的扫描策略一种是主动式策略基于网络另种是被动式策略基于主专业.专注

.......3.侵系统并提升权限一种常见的攻击方法是先以普通用户身份登录目标主机然利用系统漏洞提升自己的权。4.种后门入者在被侵入主机上种植一些供自己访问的后门。马是另外一种长期主流对方主机的手远控制功比后门更。网隐身在侵完毕后清除被入侵主机上的登录日志及其他相关日8.2在DDos攻击程，都哪角色分别成么能？在整个攻击过程共部组攻、主控端代理服务器和被攻击者其中每一个组成在攻击中扮演不同的角。攻者主：由攻击者本人使攻者通过它发布实施的令是个DDos攻击中的主控台令2.主傀儡机：不属击者所有的计算机，而是攻击者非法侵入并控制的一些主机攻者在这些计算机上安装特定的主控软通这些主机再分别控制大量的攻击傀儡攻傀儡：攻击傀儡机是攻击的直接执行直接向被攻击主机发起攻被击者是DDos攻的直接受害，目前多为一些大型企业的网站或数据库系。8.4什么蜜？蜜的主功是么蜜罐系统是试图将攻击从关键系统引诱开并能记录其一举一动的诱骗系蜜罐的功能是：转移击重要系统的攻击者；2.收集攻击者活的信息3.希攻者在系统中逗留足够长的时间使管理员能对此攻击做出响。9.1什么隧？隧的主功有些计算机网络中的隧道是逻辑上的概，是在公共网络中建立的一个逻辑的点对点连接网络隧道技术的核心内容是封”。隧技术是指包括数据封装传和封装在内的全过程专业.专注

.......隧道的功能1.将据传输到特定的目的地在隧道两端建立一个虚拟通道从道的一端传到隧道的另一端2.隐私有的网络地址在隧道开通器和隧道终止器之间建立一条专用通道私网络之间的通信内容经过隧道开通器封装后通过公共网络的虚拟专用通道进行传。3.协数据传递隧只需连接两个使用相同通信协议网络关心网络内部使用的通信协议4.提数据安全支持隧道中传的数据是经过加密和认证处理的，可以保证数据在传输过程中的安全性9.2画图述的系构？体

系

结

构

图

：PSTN/ISDN

PPTP道Internet

企是个面向连接的协和维护它们的连接状和间两种连接控制连数连控制连接建立过程：和建一个连。或者向对方发送一个请求信请求建立一个连。收请求的或PNS发一条响应消息。控连接建立以后下一步是数据连接即道的建立。数据连接是一个三次握手的机制请响和连接确。9.3SSLVPN用哪关技术分别成些能？专业.专注

.......现的关键技术是代、应代端转和网络扩。Web代技：代理技术提供内部应用服务器和远程用户Web客户端的访问中介应用转换技术通把非Web应的协议转译为用实现与客户端浏器的通信端转发技端转发器监听特定应用程序定义的端综题1现一中企的子务统了高行益服质，划开络付能请用学知为企分当网安的全胁，作出企的全求析并出个络付全方，并对自所采的络全准议、用况优缺进分。当前网络安全的安全威胁有安漏洞、主机入侵、病毒蠕虫木绝服务攻击间谍软件垃邮件和网络钓鱼僵尸网恶网站和流氓软件黑客该企业的安全需求分进漏扫描和入侵检、部署蜜罐系。网络支付安全的方案采用已有的网上支付或者支付宝等支付方投建设自己的网络支付环境和支付方综题2分当淘网络付哪种决案分各支解方中户支方性安性观，自己设一网支方，论该方中何理全便问题淘宝网采用的电子支付解决方：网上银行和支付。对于支付宝手段支宝安全性是非常高的同支宝也是非常方便的用户对于支付宝的方便性和安全性都是非常肯定专业.专注

.......对于网上银行手段，网银行的全性用户也都比较认可但是大部分用户反映网上银行相对于支付宝来说不方便网络支付方案：采用了快钱网上支付网汇通在线支付移动手机支付、网银付和支付宝结合的支付方。综题3、盾安支流、网所用的全务安机、硬件码护由于盾采用了使用以物理介质为基础的个人客户证书建基于公钥技术的个人证书认证体系PIN码黑需要同时取得用户的U盾件以及用户的码才可以登录系统即用户的码被泄漏只要用户持有的盾被盗取合用户的身份就不会被仿冒如用户的U盾失拾者由于不知道用户PIN码也法仿冒合法用户的身份、安全的密钥存放U盾密钥存于内部的智能芯片之中，用户无法从外部直接读取，对钥文件的读写和修改都必须由盾内部的的用相应的程序文件执行而盾接口的外面没有任何一条命令能够对密钥区的内进行读出修改新和删除这可以保证黑客无法利用非法程序修改密、双钥密码体制为了提高交易的安全U盾用了双钥密码体制保证安全性在盾初始化的时候先将密码算法程序制在中然通过产生公私密对的程序生成一对公私密，公私密钥产生后公可以导出到盾外，而私钥则存储于密钥区不许外部访进行数字签名时以及非对称解密运算时，凡是私钥参与的密码运算只在芯片内部即可完成，全过程中私钥可以不出盾质以来保证U盾为存储介质的数字证书认证在安全专业.专注

.......上无懈可击、硬件实现加密算法U盾置或能卡芯片可实现数据摘要、数加解密签名的各种算法加解密运算在盾进，保证了用户密钥不会出现在计算机内存当前金融机构竞相推出各种网络金融服务网银行，电银行，手机支付，信支付等新型服务请设计网络银电子支付的网络安全用户调查方综题4调查目的了用户对于网络银的使用行为热点安全问题网安全支付调查问卷设计：请你是否拥有银行信卡或储蓄）是

B.否你否已开通网上银行业是

否您近一年是否使用过网上银？是

否从第一次使用网上银行到现在已有多长时？不个

B.2月以上到个

C.6个以上到1年

其它您用过的网上银行是下列中的哪几？A.中银行中工商银行C.中农银行中建设银行交银行招银行民生银行光银行中邮政储蓄其它您常使用的网上银行业务有以下哪几专业.专注

.......账信息查询余额、交明细等转账汇

C.信卡还款人理财业务（如基金买卖债买卖证券资金存管等E.个人贷款务网支付/缴H.其它您用网上银行的原因是什？

G.积管理使方，节省时间精力去业不方便

网购物便有些交易必须使用网上银行E.其在用网上银行您看重哪些因？交安全性B.功能多样性手费便宜服质量高E.银行品牌或影响力其在用网上银行进行网上支付您均每次支付的金额是多？A.50元下B.50-100元

元

元以上你否会继续使用网上银行肯会可会估不会肯不会您为我国网上银行建设的现状如何很一般C不您为我国网上银行的发展前景如何您的年龄您的性别男您学历初、中专高大本硕士博士及以上E.其专业.专注

.......您职业政/事单位公务员企员工自职业者在学生E.无业失其您每月可支配收入（如学生的请依据每月的消数额填）*A.500元及以以-元元以上元元上元E.3000元上元

元上元元以拟发放对象和样本数某通小区居民对于消费者而言要证网上交易的安全首先你使用的计算机要安全。具的措施包括有安装防病毒软件（并期更新毒库、安个人防火墙给系统和网页浏览器常更新安全补丁不随意接受等天工具中传来的文不要轻易打开电子邮件中附件等等次保连接的安全进入站先确保网址的正确性提交任何关于你自己的敏感信息或私人信息，尤其是的信用卡号之前一定要确认数据已经加密并是通过安全连接传输浏器和Web站的服务器都要支持相关协第三保自己的隐私在设置密码时最好以数字和字母相结，不使用容易破解的信息作为你的密码花几分钟阅读一下电子商务公司的隐私保护条款，些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明量少暴露你的私人信息，填在线表格时要格外小心是必填的信息就不要主动提供。后不轻运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给，并带有一些欺骗性主题骗你说一些帮我测试一下程序之类的话你定要警惕了对待这些表上很友好跟善意的邮件附件我们应该做的是立即删除这些来历不明的文件除以上介绍的安全保护措施以外，最不要专业.专注

.......在公共场所使用网络银行，比如巴公图书馆等每次使用完网络银行后应该单击页面中相应的退出登陆按钮正确退出。综述题5目前国已经举行两届的国家网络全宣传周活动,并立了青少年网络安全教育基地请您设计一下该基地的教学大纲及活动方.教大:、教学内容本课程学分2教学内容章目第一章网络全基础知识第二章物理环境安全第三章操作统安全第四章网络信安全第五章密码基本理论第六章防火技术第七章病毒WEB安

讲课43831

学时分配上机222

小计433651合

计

6

、具体要第一章网络全基础知识[目要]通本章教使生了解网络全的概念和现，认识网络存在的威。[教内]网安全的基本概，网数据传输中面临的威，网络安全机制专业.专注

.......[重难]网安全机制第二章物理环境安全[目的要求通过本章教学求学生了解物理与环境对网络安全的影响学如何防护和保护设备的正常运行[教内]物与环境对网络安全的影，防护和保护设备的正常运行及基本方。。[重难]物与环境对网络安全的影响第三章操作统安全[目要]通本章教要学生了操作统的陷门和安全隐[教内]学各个操作系统的陷门和安全隐掌握如何防御恶性攻击操作系。[重难]操系统的陷门第四章网络信安全[的要求]过本章教学要求学生了网络安全协议的工作原和其漏洞解网络通信的安全机制和防御方[教学内容网络安全协议的工作原理和其安全性了网络通信的安全机制和防御方法如何设计安全的防御机制[重难]网安全协议的工作原理和其安全性第五章密码基本理论[目的要求通过本章教学求学生了解网络中使用的密码技术掌基本密码的设计原理和使用方法。[教内]古密码学基本内，现典型密码的设计原。[重难]现典型密码的设计原理第六章防火技术专业.专注

.......[目要]通本章教学要学生了解防火墙的基本概，类型配等[教内]防墙的安全设功能类型配置和防火墙系统[重难]防墙类型和配置第七章病毒WEB安[目要]通本章教要学生了解现病毒和安全性[教内]病的种类和数以防；WEB安全技术介绍[重难]病的种类和数以防