计算机网络安全课后习题答案

计算机网络安全(04751)

第一章绪论P2

第二章物理安全P6

第三章信息加密与P9

第四章防火墙技术P14

第五章入侵检测技术P18

第六章网络安全检测技术P21

第七章计算机病毒与恶意代码防X技术P23

第八章网络安全解决方案P27

第1章绪论

1.1.1计算机网络面临的主要威胁：①计算机网络实体

面临威胁1（实体为曲络中的关键设备）②计算机网络系统面临威

胁（典型4全威胁③恶意程序的威胁（如计算机病毒、网

络蠕虫、间卜某软件、木马程序&十算机网络威胁的潜在对手和动机（

恶意攻击/非恶意）|

典型的网络安全威胁：

政胁描述

窃听网络中传输的敏感信息被窃听

重传攻击者事先获得部份或者全部信息，以后将此信息发送给接受者

伪造攻击者将伪造的信息发送给接受者

篡改攻击者对合法用户之间的通信信息进行修改、删除或者插入，再发送给接受者

通过假目、身份攻击、系统漏洞等手段，获取系统访问权，从而使非法用户进入

期权访他

网络系统读取、删除、修改或者插入信息等

攻击者通过某种方法使系统响应减慢甚至瘫痪，阻挠合法用户获得服务

行为否认通信实体否认已经发生的行为

旁路控制攻击者发掘系统的缺陷或者安全脆弱性

电随射频截获攻击者从电子或者机电设备所发出的无线射频或者其他电磁辐胴中提取信息

人员疏忽授权的人为利益或者由于粗心将信息泄漏给未授权人

1.2.1计算机网络的不安全主要因素：

（1）偶发因素：如电源故障、设备的功能失常及软件开辟过程中留下的漏洞或者逻辑

错误等。

（2）自然宏亶」各种自然灾害对计算机系统构成严重的威胁。（3）人为

因素：人为因未对计算机网络的破坏也称为人对计算机网络的攻击。

可分为几个方面：①被动攻击②主动攻击③邻近攻击④分发攻击⑤内部人员攻击

1.2.2不安全的主要原因：①互联网原有不安全性②振作系统存在的安全问题③数据的

安全问题④［传输路线安全问题阊网络安全管理I的问题

1.3计算机网络安全的基本概念：计算机网络安全是一门涉及代算机科学、|网络技术、|

通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。

1.3.1计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在

一个网络环境里，信息数据的XX性、完整性及可使用性受到保护。

网络的安全问题包括两方面内容：一是网络的系统安全；二是网络的信息安全（最终目

的）。

13.2计算机网络安全的目标：①XX性②完整性③可用性④可控性⑤不可否认性

1.3.3计算机网络安全的层次：①物理安全②逻辑安全③联网安全④操作系统安全

.word..

1.3.4网络安全包括三个重要部份：①先进的技术②严格的管理③威酒的法律

1.4计算机网络安全体系结构

1.4.1网络安全基本模型：（P27图）

L4.2OSI安全体系结构：①术语②安全服务③安全机制

五大类安全服务，也称安全防护措施（P29）：①鉴别服务②数据XX性服务③访问控制

服务④数据完整性服务⑤抗抵赖性服务

对付典型网络威胁的安全服务

安全威胁安全服务

假冒攻击鉴别服务

非授权侵犯访问控征服务

窃听攻击数据XX性服务

完整性破坏数据完整性服务

服务否认抗抵赖服务

拒绝服务鉴别服务、访问控征服务和数据完整性服务等

八种基本的安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴

别交换机制、通信业务流填充机制、路由控制和公证机制

L4.3PPDR模型（P30）包含四个主要部份：Policy（安全策略）、Protection（防耳）、Detection（检

测）和Response（响应）［防护、检测和响应组成为了一个完整的、动态的安全循环。

PPDR模型通过一些典型的数学公式来表达安全的要求：+R⑵

EjQ+Rj如果P（=（）

pt：防护时间，入侵者攻击安全目标花费时间；

Dt：入侵开始到系统检测到入侵行为花费时间；

Rt：发现入侵到响应，并调整系统到正常状态时间；

Et：系统晨露时间；

安全的全新定义：及时的检测和响应就是安全；及时的检测和恢复就是安全；解

决安全问题的方向：提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。

1.4.4网络安全的典型技术：①物理安全#施②备份技术③审计.术④防病毒技术⑤入

侵检测技术⑹访问控制I技术行|终端安华技木⑨内外网隔离技术⑨安牟件检测拈木的数据同

.word..

输安全技术

1.6.1网络安全威胁的发展趋势：

①与Internet更加密切结合，|利用一切可以利用的方式进行传播:

②所有病毒都有混合型特征,破坏性大氏增强;

③扩散极快］更加注重欺骗性|

④利用I系统漏洞将成为病毒有力的传播方式;

⑤无线网络忸术的发展,使恒程网络攻击愀可能性加大;

⑥各种境外情报、谍报人员将越来越多地通过信息网络黑道采集情况和窃取资料;

⑦各种病毒、蠕虫和后门技术越来越智能化,并浮现整合趋势，形成混合性威胁：

⑧各种攻击技术的隐秘性增强,常规防X手段难以识别;

⑨分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性：

⑩一些政府部门的超级计算机资源将成为攻击者利用的跳板;

11）网络管理安全问题日益突出。

1.6.2网络安全主要实用技术的发展：①物理隔离②逻辑隔离③身份认证④谭防网络上

的病毒⑤谨防来自网络的攻击⑥加密通信和虚拟专用网⑦入侵检测和主动防卫⑧网管、审计

和取证

课后题：

1、计算机网络面临的典型安全威胁有哪些？

①窃听（传输中的敏感信息被窃听）②重传（事先获得部份或者全部信息再发送给接收者）

③伪造（伪造信息发送给接收者）④篡改（修改、删除或者插入后再发送给接收者）⑤非授

权访问（假冒、身份攻击、系统漏洞手段获取访问权，读取、删除、修改和插入信息）⑥拒

绝服务攻击（使系统响应减慢或者瘫痪，阻挠合法用户获取服务）⑦行为否认（否认已经发

生的行为）⑧旁路控制（发掘系统缺陷或者脆弱性）⑨电磁/射频截获（无线射频或者电磁辐

射提取信息）⑩人员疏忽（利益或者粗心泄秘）。

2、分析计算机网络的脆弱性和安全缺陷。

计算机网络是颇具诱惑力的受攻击目标，无论是个人、企业，还是政府机构，只要使用

计算机网络，都会感受到网络安全问题所带来的威胁。无论是局域网还是广域网，都存在着

自然和人为等诸多脆弱性和潜在威肋，。计算机网络面临的主要威胁①计算机网络实体面临威

胁（实体为网络中的关键设备）②计算机网络系统面临威胁（典型安全威胁）③恶意程序的

威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）④计算机网络威胁的潜在对手和动

机（恶意攻击/非恶意）。

普通来说，计算机网络本身的脆弱性和通信设施的脆弱性共同构成为了计算机网络的潜

在威胁％一方面，计算机网络的硬件和通信设施极易受自然环境和人为的物理破坏；另一方面,

计算机网络的软件资源和数据信息易受到非法窃取、复制、篡改等。计算机网络的不安全主

要因素和原因。计算机网络的不安全主要因素：（1）偶发因素•：如电源故障、设备的功能失

常及软件开辟过程中留下的漏洞或者逻辑错误等。（2）自然灾害：各种自然灾害对计算机系统

构成严重的威胁。（3）人为因索：人为因素对计算机网络的破坏也称为人对计算机网络的攻

击C可分为几个方面：①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击C不安

.word..

全的主要原因：①互联网具有不安全性②操作系统存在的安全问题③数痞的安全问题④传输

路线安全问题⑤网络安全管理的问题。

3、分析计算机网络的安全需求（P24）

计算机网络安全的基本概念：计算机网络安全是一门涉及计算机科学、网络技术、通信

技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。

计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在一个网

络环境里，信息数据的XX性、完整性及可使用性受到保护。

网络的安全问题包括两方面内容：一是网络的系统安全；二是网络的信息安全（最终目

的）。

计算机网络安全的目标：①XX性②完整性③可用性④可控性⑤不可否认性

计算机网络安全的层次：①物理安全②逻辑安全③联网安全④操作系统安全

网络安全包括三个重要部份：①先进的技术②严格的管理③威严的法律

4、计算机网络安全的内涵和外延是什么？（P24）

内涵：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数

据的XX性、完整性及可使用性受到保护。

外延：从广义来说，凡是涉及网络上信息的XX性、完整性、可用性、不可否认性和

可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义随着“角度”的变化

而变化。

5、论述OSI安全体系结构（P28）

OSI安全体系结构中定义了鉴别、访问控制、数据XX性、数据完整性和抗抵赖五种网

络安全服务，以及加密机制、数孑签名机制、访问控制机制、数据完整性机制、鉴别交换机

制、通信业务流填充机制、路由控制和公证机制八种基本的安全机制。

6、简述PPDR安全模型的结构（P30）

PPDR模型包含四个主要部份：Policy（安全策略）、Protection（防护）、Detection（检测）和

Response（响应）。防护、检测和响应组成为了一个完整的、动态的安全循环。

PPDR模型通过一些典型的数学公式来表达安全的要求：①Pt>Dt+Rt②Et=Dt+Rt,

如果Pt=O

Pl：防护时间，入侵者攻击安全目标花费时间；Dt：入侵开始到系统检测到入侵行为花

费时间；Rt：发现入侵到响应，并调整系统到正常状态时间；Et：系统晨露时间；

及时的检测和响应就是安全；及时的检测和恢复就是安全；

提高系统的防护时间Pt,降低检测时间Dt和响应时间Rto

7、简述计算机网络安全技术及其应用（P32）

网络安全的典型技术：①物理安全措施②数据传输安全技术③内外网隔离技术④入侵检

测技术⑤访问控制技术⑥审计技术⑦安全性检测技术⑧防病毒技术⑨备份技术⑩终端安全

技术

网络安全威胁的发展趋势：①与Iniemet更加密切结合，利用一切可以利用的方式进行传

播；②所有病毒都有混合型特征，破坏性大大增强；③扩散极快，更加注重欺骗性；④利

.word..

用系统漏洞将成为病毒有力的传播方式；⑤无线网络技术的发展，使远程网络攻击的可能性加

大；⑥各种境外情报、谍报人员将越来越多地通过信息网络渠道采集情况和窃取资料；⑦各种

病毒、蠕虫和后门技术越来越智能化，并浮现整合趋势，形成混合性威胁；⑧各种攻击技

术的隐秘性增强，常规防X手段难以识别；⑨分布式计算技术用于攻击的趋势增强，威胁

高强度密码的安全性：⑩一些政府部门的超级计算机资源将成为攻击者利用的跳板；11)网

络管理安全问题日益突出。

网络安全主要实用技术的发展①物理隔离②逻辑隔离③谨防来自网络的攻击④谨防网

络上的病毒⑤身份认证⑥加密通信和虚拟专用网⑦入侵检测和主动防卫⑧网管、审计和取证

8、简述网络安全管理意义和主要内容(P34)

面对网络安全的的脆弱性，除了采用各种技术和完善系统的安全XX措施外，必须加强

网络的安全管理，诸多的不安全因素恰恰存在于组织管理方面。据权威机构统计表明：信息

安全大约60%以上的问题是由于管理造成的。也就是说，解决信息安全问题不应仅从技术方

面着尹,同时更应加强信息安全的管理工作。主要内容：①网络安全管理的法律法规②速算

机网络安全评价标准③计算机网络安全技术发展趋势

第2章物理安全

2.1物理安全主要包括：①出匿处境安全可控性强、损失大；内容有防火与防盗、防雷

与接地、防尘与防静电，防地震。②通信路硅安全路线防窃听技术。设备安全防电慈辐射

泄漏、防路线截获、防电磁干扰及电源保护。(力电源安生防电源供应、输电路线安全、电源

稳定性。

2.1.1机房的安全等级分为三个基本类别：

A类：对计算机机房的安全有严格的要求L有完善|的计算机机房|安全措施.

B类：对计算机机房的安全机较严格的要求,有较完善的计算机机房安全措施。

C类：对计算机机房的安全机基本的要求,有基本的计算机机房安全措施。

A类机房要求内部装修、供配电系统、空调系统、火灾报警和消防设施、防水、防静电、防

雷击、防鼠害；对防火、场地选择、防电磁泄漏有要求。

2.1.1机房安全要求(P42)和措施：

安全类别

A类机房B类机房C类机房

安全项目

场地选择

放火■■

内部装修+■

供配电系统

4-一

空调系统+■.

火灾报警和消防设施+■■

防水4-一

防静电+■

.word..

防雷击4-

防鼠害+■

防电磁池漏*

说明：+表示要求；-表示有要求或者增加要求q

①机房的安全要求，机房的场地，选址避免挨注公共区域,避免窗户直接邹珞，机层布

局应使工作区在内,生活辅助区在夕小机房不要在底层或者或层。措施：保证赃任进出计算

机机房的人都必须在管理人员的监控之下，外来人员进入机房,要办理相关手续,并检查随身

物品。

②机房的防盗要求，对重要的设备和存储媒体应采取严格的防盗措施。措施：早期采取

增加质量和胶粘的防盗措施，后国外发明了一种通过光纤电缆保护重要设备的方法,一种更

方便的措施类似于超市的防盗系统,视频监视系统用一种更为可靠的防盗设备,能对计算机

网络系统的外围环境、操作环境进行实时的全程监控。

③机房的三度要求圈度（18.22度）、I他度（40%-60%为宜）、|洁净度（要求机房尘埃

颗粒直径小于05um））为使机房内的三度达到规定的要求,空调系统、去湿机和除尘器是

必不可少的设备。

④防静电措施：装修材料避免使用挂毯、地毯等易吸尘,易产生静电的材料，应采用乙

燧材料，安装I防静电地板昨将I设备接地。

⑤接地与防雷要求：

].地线种类：A保护地B直流地C屏蔽地D静电地E雷击地

2.接地系统：A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D直流

地、保护地共用地线系统E建造物内共地系统

3、接地体：A地桩B水平栅网C金属接地板D建造物基础钢筋

4.防雷措施，使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地线L机

房本身有避雷设备和装置,

⑥机房的防火、防水措施：为避免火灾、水灾，应采取的措施为：隔离、火灾报警系统、灭

火设施（灭火器,灭火工具及辅助设备）、管理措施I

23.1硬件设备的使用管理：

①要根据硬件设备的具体配置情况，制定切实可靠的硬件设备的操作使用规程，I并严格

按操作规程进行操作；

②建立设备使用情况日志L并严格登记使用过程的情况；

③建立硬件设备故障情况登记表,详细记录故障性质和修复情况；

④坚持对设备进行例行维护和保养,并指定专人负责。

2.3.2电磁辐射防护的措施：-类是对传导发射的防护,主要采取对电源线和信号线加

装性能良好的滤波器,减小传输阻抗和导线间的交叉耦介；另一类是对辐射的防护,又分为

两种：一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。

为提高电子设备的抗干扰能力，主要措施有①屏蔽②滤波③隔离④接地，其中屏蔽是应

用最多的方法。

2.4.电源对用电设备安全的潜在威胁：①脉动与噪声②电磁干扰

.word..

2.4供电要求(P53),供电方式分为三类：①一类供电：需建立彳洞新供电系统②二类

供电：需建立储备用的供J系统③三类供电：按L8用户供电।考虑。

课后题：

1、简述物理安全在计算机网络信息系统安全中的意义。

物理安全是整个计算机网络系统安全的前提。物理安全是保护计算机网络设备、设施及

其他媒体免遭地震、水灾和火灾等环境事故、人为操作失误或者各种计算机犯罪行为导致的

破坏过程。物理安全在整个计算机网络信息系统安全中占有重要地位，也是其它安全措施得

以实施并发挥正常作用的基础和前提条件。

2、物理安全主要包含哪些方面的内容？(2.1)

①机房环境安全可控性强、损失大；内容有防火与防盗、防雷与接地、防尘与防静电，

防地震。②通信路线安全路线防窃听技术。③设备安全防电慈辐射泄漏、防路线截获、防

电磁干扰及电源保护。④电源安全防电源供应、输电路线安全、电源稳定性。

3、计算机机房安全等级的划分标准是什么？(2.1.1)

机房的安全等级分为三个基本类别：

A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。

B类：对计算机机房的安全有较严格的要求，有较完善的计算机双房安全措施。

C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

A类机房要求内部装修、供配电系统、空调系统、火灾报警和消防设施、防水、防静

电、防雷击、防鼠害：对防火、场地选择、防电磁泄漏有要求。

4、计算机机房安全技术主要包含哪些方面的内容？(2.1.1)

机房安全要求(P42)和措施：

房的场地，选址避免挨近公共区域，避免窗户直接邻街，机房布局应使工作区在内，

生活辅助区在外；机房不要在底层或者顶层。措施：保证所有进出计算机机房的人都必须在管

理人员的监控之下，外来人员进入机房，要办理相关手续，并检查随身物品。

②机房的防盗要求，对重要的设备和存储媒体应采取严格的防盗措施。措施：早期采取

增加质量和胶粘的防盗措施，后国外发明了一种通过光纤电缆保护重要设备的方法，一种更

方便的措施类似于超市的防盗系统，视频监视系统是一种更为可靠的防盗设备，能对计算机

网络系统的外围环境、操作环境进行实时的全程监控。

③机房的三度要求(温度(18-22度)、湿度(4()%-60%为宜)、洁净度(要求机房尘埃

颗粒直径小于0.5nm))为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是

必不可少的设备。

④防静电措施：装修材料避免使用挂毯、地毯等易吸尘，易产生静电的材料，应采用乙

烯材料，安装防静电地板并将设备接地。

⑤接地与防雷要求：1.地线种类：A保护地B直流地C屏蔽地D静电地E雷击地2.接

地系统：A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D直流地、保

.word..

护地共用地线系统E建造物内共地系统3、接地体：A地桩B水平栅网C金属接地板D建筑

物基础钢筋4.防雷措施，使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地

线，机房本身有避雷设备和装置。

⑥机房的防火、防水措施：为避免火灾、水灾，应采取的措施为：隔离、火灾报警系统、灭

火设施（灭火器，灭火工具及辅助设备）、管理措施

5、保障通信路线安全技术的主要技术措施有哪些？

①一电缆加压技术②对光纤等通信路线的防窃听技术（距离大于最大长度限制的系统之

间，不采用光纤线通信；加强复制器的安全，如用加压电缆、警报系统和加强警卫等措施）

6、电磁辐射对网络通信安全的影响主要体现在哪些方面，防护措施有哪些？

影响主要体现在：计算机系统可能会通过电磁辐射使信息被截获而失密，计算机系统中

数据信息在空间中扩散。

防护措施：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波

器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又分为两种：一种是采用

各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有①

屏蔽②滤波③隔离④接地，其中屏蔽是应用最多的方法。

电磁防护层主要是通过上述种种措施，提高计算机的电磁兼容性，提高设备的抗干扰能

力，使计算机能反抗强电磁干扰，同时将计算机的电磁泄漏发射降到最低，使之不致将实用

的信息泄漏出去。

7、保障信息存储安全的主要措施有哪些？（P52）

①存放数据的盘，应妥善保管；②对硬盘上的数据，要建立有效的级别、权限，并严格

管理，必要时加密，以确保数据的安全；③存放数据的盘，管理须落实到人，并登记；④对

存放重要数据的盘，要备份两份并分两处保管；⑤打印有业务数据的打印纸，要视同档案进行

管理；⑥凡超过数据保存期的，须经过特殊的数据清除处理；⑦凡不能上常记录数据的盘，需

经测试确认后由专人进行销毁，并做好登记；⑧对需要长期保存的有效数据，应质量保证期内

进行转存，并保证转存内容正确。

8、简述各类计算机机房对电源系统的要求。（P53）

电源系统安全应该注意电源电流或者电压的波动可能会对计算机网络系统造成的危害。

A、B类安全机房要求，C类安全机房要求。

第3章信息加密与PKI

信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它⑼数学计算为

基础，信息论和复杂性理论日其两个重要组成部份。

3.1.1密码学的发展历程大致经历了三个阶段：古代加密方法；市典密码和近代密码。|

3.1.2密码学的基本概念：密码学作为数学的一个分支，是研究信息系统安全XX的科学，

.word..

是密码编码学和密码分析学的统称。

在密码学中，有一个五元组：明文，密文，密钥，加密算林，解密算」,对应的加密力

案称为密码体制I

明文(Plaintext)：是作为加密输入的原.信息，加消息的原始形式,通常用m或登讯示。

所有可能明可的有限集称为加文和间，通押用M或者P来表示。

密文(Ciphertext)：是明文经力II密变换后的结果，I即消息被加密处理后的形式,通常用c

表示。所有可能屏文的有限集刊为引文空间，|通常用C表示。

密钥(Key)：是参预密码变换的参数，通常用k表示。一切可能的密钥构成的有限集称为

密钥空间，加常用K甑。

加密算法(EncryptionAlgorithm)：是将明文变换为密文的变换函数，相应的变换过程

称为加密,即编码的过程,通常用旦声示，即c=E伊)

解密算法(DecryplionAlgorithm)：是将密文恢复为明文的变换函数，相应的变换过程

称为解密,即解码的过程,通常用B表示，BPp=D(c)

对于有实用意义的密码体制而言，总是要求它满足：p=D(E(p)),即用加密算法

得到的曾文总是能用一定的做整算法恢复出原始的明文，

3.1.3加密体制的分类：从原理上可分为两大类：即巾钥或者对称密码体油和双钥或者1

对

I称密码体制I

单钥密码体制与双钥密码体制的区别：

单钥密码体制的本质特征是所用的加密密钥张破密密钥相同，I或者实质上等同，从一个I

可以推出另一个。单钥密码的位点是无论加密还是解密都使用同一个密钥,因此，此密码体

制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码

莫法77年美国国家标准局颁布的DES算法。按照加密模式的差异，单钥密码体制有序列密

码和分组密码两种方式,它不仅可用于数据加'密,还可用于消息认证。单钥密码的优点是：

安全XX度高，加密解密速度快。缺点是：1)密钥分发过程十分复杂,所花代价高;2)多人

通信时密钥组合的数量会浮现爆炸性膨胀，使分发更加复杂化；3)通信双方必须统一密钥，

才干发送XX的信息；4)求字签名艰难』

双钥密码体制的原理是，加密密钥与解密密钥不同而且从卜个难以推出另一个」两个

密钥形成一个密钥对,其中一个密钥加密的结果，可以用另一个密钥来解密。双钥密码是：

1976年W.Diffie和MEHeilinan提出的一种新型密码体制。优点：由于双钥密码体制的加密和解

密不同，可以公升|加密密钥，U仅需XX解密密钥，所|以密钥管理问题比较简单。双钥密

码还有一个优点是可以用于数字签名等新功能。最有名的双钥密码体系是：1977年由

Rivest,Shamir和Adieman人提出的RSA密码体制。|双钥密码的缺点是:双钥密码算法普通比

较复杂，加解密速度慢。

3.2加密算法就其发展而言，共经历了古典密码、对称密钥密码(单钥密码体制)和公

开密钥密码(双钥密码体制)三个发展阶段。

3.2.1古典密码算法(P64)：①简单代替密码或者单字母密码②多名或者同音代替③多表

代替④多字母或者多码代替。现代密码按照使用密钥方式不同，分为单钥密码体制和双钥密

码休

.word..

制两类。

.word..

3.2.2数据加密标准DES、国际数据加密算法IDEA、RSA加密算法的基本原理；（P66）

3.3常见的网络数据加密方式有：链路加密、节点加密和端到端加密。

3.4.1认证技术的分层模型（P77图）认证技术可以分为三个层次：安全管理协议、认证

体制和密码体制。

认证技术的分院模型

认证的三个目的：一是消息完整性认证,即验证信息在传送或者存储过程中是否被篡改;

二是身份认证,即验证消息的收发者是否持有正确的身份认证符；三是消息的序号和操作时

间等的认证,其目的是防止消息重放或者延迟等攻击。

3.4.2认证体制应满足的条件（要求）：

①意定的接收者能够检验和证实消息的合法性、真实性和完整性:

②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消

息；

③除了I合法的消息发送者麻,其他人|不能伪造发送消息。

3.4.3手写签名与数字签名的区别：一是手写签名是不变的，|而他字签名对不同的消息才

不同的，即手写签名因人而异，数字签名因消息而异；二是手写签名是易被摹拟的，无论

哪种文字的手写签名，伪造者都容易摹仿，而改字签名是在密钥控制下产生的，|在没有密钥

的情况下，摹仿者几乎无法摹仿的数字签名L

346数字签名与消息认证的区别：消息认证可以匡助接收方验证消息发送者的身份及

消息是否被篡改。当收发者之间没有厉害冲突时，这种方式对防止第三者破坏是有效的，但

当存在厉害冲突时,单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技

术来辅助进行更有效的消息认证。

3.5.1PKI的基本概念：PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型

基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,

能够为所有应用诱时地提供采用加密和数字签名等密加服务所需要的密钥和证书管理。I

PKI特点：①怙省费用②互操作性③开放性④一致的解决方案⑤可验证性⑥可选择性

352PKI认证技术的组成：中要/认证机构CA、证书库、密钥备份、证书作废处理系

统和PKI应用接11正统等。①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更

新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件

.word..

3.6PGP和GnuPG是两个常用的公钥加密软件，PGP软件由于采用子专利算法受到美国

政府的软件出口限制，GnuPG作为PGP的代替软件，属于开源免费M,可以自由使用。

课后题：

1、简述信息加密技术对于保障信息安全的重要作用。

力瞰术是保障信息安全的基石，它以很小的代价，对信息一种强有力的安全保护。长

期以来，密码技术被广泛应用于政治、经济、军事、外交、情报等重要部门。近年来，随着

计算机网络和通信技术的发展，密码学得到了前所未有的重视并迅速普及,同时其应用领域

也广为拓展。如今，密码技术不仅服务于信息的加密和解密，还是身份认证、访问控制及数

字签名等多种安全机制的基础。

2、简述加密技术的基本原理，并指出有哪些常用的加密体制及其代表算法。

信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为

基础，信息论和复杂性理论是其两个重要组成部份。加密体制的分类：从原理上可分为两大

类：冏单钮或者对称察码海制/代制算法.DFV算法，IDFA)法、麻双钮或者非对称索码

体制_____沫珠篁法：RSA算示,ElGamal算法)。

3、试分析古典密码对于构造现代密码有哪些启示？(P64)

古典密码大都匕盛简单，可用手工或者机械操作实现加解密，虽然现在很少采用，但研

究这些密码算法的原理，对于理解、构造和分析现代密码是十分有益的。古典密码算法主

要有代码加密、代替加密、变位加密和一次性密码簿加密等几种算法......

4、选择凯撒(Caesar)密码系统的密钥k=6。若明文为caesar,密文是什么。密文应为：

abcdefghyklmnopqrstuwvxyz

5、DES加密过程有几个基本步骤？试分析其安全性能。

力唯过程可表示为：DES(m)lP-l-T16*T15……T2・Tl・IP(m)

①初始转换IP及其逆初始置换IP-1②乘积变换③选择扩展运算、选择压缩运算和转换

运算

DES安全性分析：DES的浮现是密码学上的一个创举，由于其公开了密码体制及其设

id细节，因此其安全性彻底依赖于其所用的密钥，关于DES学术界普遍印象是密钥仅有56bit

有点偏短。

6、在本章RSA例子的基础上，试给出m=student的加解密过程。(P72)

abcdefghijk(10)lmnopqrstu(20)vwxyz

m的十辨编码为18192003041319;

互素一若两个整数的最大公因数是L则称这两个整数互质(互素)。

设p=3,q=ll;产生两个大素数，XX的

则计算n和(p(n)XX的

n=3Xll

(p(n)=(p-l)(q-l)=2X10

蝌T随机数，要求0<e<(p(n),并且(e,(p(n))=l(e和cp互素)

自诵i寸计算得出d,deElmodq(n)(与n互素的数中诜取与(p(n)互素的数可通i寸Eucliden

.word..

算法得出。是XX的，用于解密)

取e=3,0<3<20(3,20)=1

则d=7;7X3=lmod20

将n=33和e=3公开；

m加密为对m进行加密变换,E(m)=m~emodn=c

E(s)=18-3=24mod33

E(t)=19-3=28mod33

E(u)=20~3=14mod33

E(d)=3~3=27mod33

E(e)=4~3=31mod33

E(n)=13~3=19mod33

E(t)=19~3=28mod33

c=E(m)=24281427311928它对应的密文为f*。*九*

c解密为对c进行解密变换D(c)=c~dmodn=(m~emodn)~dmodn=m-edmodn=m

modn

D(y)-24~7-18mud33

D(*)=28-7=19mod33

D(O)=14-7=20mod33

D(*)=27~7=03mod33

D(*)=31-7=04mod33

D(t)=19-7=13mod33

D(*)=28~7=19mod33

则还原明文为m=18192003041319即student

7、RSA签名方法与RSA加密方法对密钥的使用有什么不同？(P74)

RSA加密方法是在多个密钥中选用一部份密钥作为加密密钥，另一些作为解密密钥。

RSA签名方法：如有kl/k2/k3三个密钥，可将kl作为A的签名私密钥，k2作为B的签名私密

钥，k3作为公开的验证签名用密钥，实现这种多签名体制，需要一个可信赖中心对A和B

分配秘密签名密钥。

8、试简述解决网络数据加密的三种方式。(P75)

常见的网络数据加密方式有：①链路加密：对网络中两个相邻节点之间传输的数据进行

加密保护。②节点加密：指在信息传输路过的节点处进行解密和加密。③端到端加密：指对

一对用户之间的数据连续的提供保护。

9、认证的目的是什么，试简述其相互间的区别。(P77)

认证的三个目的：一是消息完整性认证，即验证信息在传送或者存储过程中是否被篡改;

二是身份认证，即验证消息的收发者是否持有正确的身份认证符；三是消息的序号和操作时

间等的认证，其目的是防止消息重放或者延迟等攻击。

10、什么是PKI?其用途有哪些？(P83)

PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用

.word..

PKI平台提供的安全服务进行安全通信。PKI采用标准的‘密钥管理规则，能够为所有应用透

明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。

11、简述PKI的功能模块组成。

主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系

统等。①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史

档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件

12、通过学习，你认为密码技术在网络安全实践中还有哪些应用领域？举例说明。(P76)

加密技术在其它领域也时常发挥作用，如电子商务和VPN。(P76)

第4章防火墙技术

4.1.1防火墙的基本概念：是位于被保护网络和外部网络之间执行访问控制策略的一个

或者一组系统，包括硬件和软件,它构成一道屏障，以防止发生对被保护网络的不可预测的、

潜在破坏性的侵扰。

4.1.2防火墙的主要功能：

①过滤进、出网络的数据

②管理进、出网络的访问行为

③封堵某些禁止的业务

④记录通过防火墙的信息和内容|

⑤对网络攻击检测和告警

4.1.3防火墙的局限性：

①网络的安全性通常是以网络服务的开放性和灵便性为代价

②防火墙只是整个I网络安全防护体系的一部份,而且防火墙并非万无一失。

4.2防火墙的体系结构：双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结

构。(图见P106)

4.3防火墙可以分为网络层防火墙和应用层防火墙,这两类防火墙的具体实现技术主要

有包过滤技术、代理服务技术、状态检测技术和NAT技术等。________________

4.3.1包过滤技术的工作原理(P110)：工作在网络层，通常基于IP数据包的源地址、目的.

地址、源端口和口的端「I进行过滤。包过滤技术是在网络层对数据包进行选择，选择的依_

据是系统内设置的过滤逻辑,1被称为访问控制列表L通过检查数据流中每一个数据包的源地址、

目的地址、所用的端口号和协议状态等因素或者它们的组合，来确定是否允许该数据包通过。

4.3.1包过滤技术的缺陷：①不能彻底防止地址欺骗品无法执行某些安全策略③安全性

较差④--时应用协议不适合于数据包过滤⑤管理功能弱

4.3.2代理服务技术(Proxy)是一种较新型的防火墙技术，它分为应用层网关和电路层网

关。

4.3.2代理服务技术的工作原理(P116)：所谓代理服务器，是指耐表客户处理连接请求的I

程序。当代理服务器得到一心客户的盅接意图时,它将核实客户请求，#用特定的安全化

的proxy应用程序来处理连接请求,将处理后的请求传递到真正的服务器上,然后接受服务

.word..

器应答，并进行下一步处理后，将答复交给发出请求的谩络客户h代理服务器在外部网络向

内部网络申请服务时发挥了中•间轮妾孤隔的作用，所以又叫代理防火墙,।代

理防火墙工作于应用层I且针对特产的应用号协议。

4.3.2代理技术的优点：①代理易于配置②代理今生成各项记录感代理能灵便、彻底地I

I控制进出流量、内表④代理能过滤数据内容⑤代理油为用户提供透明的加密机制⑥代理可以

|方便地与其它安全手段集成|

4.3.2代理技术的缺点：①代理标度较路由器慢©)代理。用户不透明③升每项服务代理|

可能要求不同的服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层

协议的安全性。

4.3.3状态检测技术的工作原理(P1I9)：也称为动态包过滤防火墙。基卜状态检测技术的

防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性,检测引擎

在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，

并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和

I跟踪每一个I有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。

4.3.3状态检测技术的特点：①高安全性②高效性③可伸缩性和易扩展性④应用X围广

4.3.4NAT技术的工作原理(P121)：网络地址转换，足•个internet工程任务组的标准，允

许一个整体机构以一个公用IP地址浮现在互联网上。即是一种把可部私有IP地址翻译成合法|

I网络IP地址的技术。Nh有三种类型:静态NAT、动IdNAT和网％地址端口转换I

NAPTo

4.6.2个人防火墙的主要功能：①IP数据包过3虑功能②安全规则的修订功能③对特定网

络攻击数据包的拦截功能④应用程序网络访问控制功能⑤网络快速切断、恢复功能⑥日志记

录功能⑦网络攻击的报警功能⑧产品自身安全功能

4.6.3个人防火墙的特点：

优点：①增加了保护级别,不需要额外的硬件资源:

②除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;

③是对公共网络中的单位系统提供了保护，能够为用户■生露在网络上的信息」比如

llP地址屁类的信息等。

缺点：①对公共网络惟独•个物理接口|，导致个人防火墙本身容易受到威胁I

②在运行时需要占用个人计算机的内存、CPU柯•间等资源;

③只能对单机提供保护,|不能保护网络区统。

4.7防火墙的发展趋势(P142)：①优良的性能②可扩展的结构和功能③简化的安装与管

理④主动过滤⑤防病毒与防黑客⑥发展联动技术

课后题：

1、简述防火墙的定义。(P103)

4.1.1防火墙的基本概念：是位于被保护网络和外部网络之间执行访问控制策略的一个

或者一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、

潜在破坏性的侵扰。

2,防火墙的主要功能.(P135)

.word..

4.1.2防火墙的主要功能：①过滤进、出网络的数据②管理进、出网络的访问行为③封

堵某些禁止的业务④记录通过防火墙的信息和内容⑤对网络攻击检测和告警

3、防火墙的体系结构有哪几种？简述各自的特点。(P106)

防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。

双重宿主主机体系结构是环绕具有双重宿主的主机计算机而构筑的，该计算机至少有两

个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络

往另一个网络发送数据包。

双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障

的，而被屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全保护的主机仅仅与被

保护的内部网络相连.

屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一

步地把内部网络与Internet隔离开。

4、简述包过滤防火墙的工作机制和包过滤模型。(P110,P111图)

包过滤型防火墙普通有一个包检查模块，可以根据数据XX中的各项信息来控制站点与

站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据内容，因为内容是

应用层数据。包过滤模型P111

TCP/IP与过滤规则匹配审计转发包丢弃包

5、简述包过滤的工作过程。(P112)

源地址目的地址协议类型源端口目的端口ICMP消息类型

不让外用TELNET登陆允许SMTP往内部发允许NNTP往内部发新闻

不能识别用户信息不能识别文件信息可以提供整个网络保护

6、简述代理防火墙的工作原理，并阐述代理技术的优缺点。(P116)

所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连

接意图时，它将核实客户请求，井用特定的安全化的proxy应用程序来处理连接请求，将处

理后的请求传递到真正的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给

发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离

内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应

用层协议。

优点：①代理易于配置②代理能生成各项记录③代理能灵便、彻底地控制进出流量、内

容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其他安

全手段集成

缺点：①代理速度较路由器慢②代理对用户不透明③对于每项服务代理可能要求不同的

服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层协议的安全性

7、简述状态检测防火墙的特点。(P120)

状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，克服了两者的不足，

能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否允许通过。优点：

①高安全性②高效性③可伸缩性和易扩展性④应用X围广。不足：对大量状态信息的处理

过程可能会造成网络连接的某种迟滞。

.word..

8、简述NAT技术的工作原理(P121)

4.3.4NAT技术的工作原理(PI21)：网络地址转换，是一个internet工程任务组的标准，允

许一个整体机构以一个公用IP地址浮现在互联网上。即是一种把内部私有IP地址翻译成合法

网络IP地