计算机网络安全04751超强笔记.docx
《计算机网络安全04751超强笔记.docx》由会员分享,可在线阅读,更多相关《计算机网络安全04751超强笔记.docx(17页珍藏版)》请在冰豆网上搜索。
![计算机网络安全04751超强笔记.docx](https://file1.bdocx.com/fileroot1/2022-10/15/e8c6aabe-7ccc-476f-b61d-9f4cf91782e4/e8c6aabe-7ccc-476f-b61d-9f4cf91782e41.gif)
计算机网络安全04751超强笔记
计算机网络安全04751超强笔记
4751计算机网络安全
第1章结论
一、识记
1、计算机网络系统面临的典型安全威胁
答:
窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2、计算机网络安全的定义
答:
计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
3、计算机网络安全的目标
答:
①保密性;②完整性;③可用性;④不可否认性;⑤可控性。
4、P2DR模型的结构
答:
PPDR模型是一种常用的网络安全模型,包含四个主要部分:
Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
5、网络安全的主要技术
答:
①物理安全措施;②数据传输安全技术;③内外网隔离技术;④入侵检测技术;⑤访问控制技术;⑥审计技术;⑦安全性检测技术;⑧防病毒技术;⑨备份技术。
二、领会
1、OSI安全体系结构P.28
答:
OSI安全体系结构不是能实现的标准,而是关于如何设计标准的标准。
(1)安全服务。
OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施。
①鉴别服务;②访问控制服务;③数据机密性服务;④数据完整性服务;⑤抗抵赖性服务。
(2)安全机制。
其基本的机制有:
加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制。
2、计算机网络安全管理的主要内容P.26
答:
①网络安全体系结构;②网络攻击手段与防范措施;③网络安全设计;④网络安全标准、安全评测及认证;⑤网络安全检测技术;⑥网络安全设备;⑦网络安全管理,安全审计;⑧网络犯罪侦查;⑨网络安全理论与政策;⑽网络安全教育;⑾网络安全法律。
概括起来,网络安全包括以下三个重要部分:
①先进的技术;②严格的管理;③威严的法律。
3、网络安全威胁的发展趋势P.35
答:
网络安全威胁的发展趋势
(1)与Internet更加紧密地结合,利用一切可以利用的方式进行传播。
(2)所有的病毒都具有混合型特征,集文件传染、蠕虫、木马和黑客程序的特点于一身,破坏性大大增强。
(3)其扩散极快,而更加注重欺骗性。
(4)利用系统漏洞将成为病毒有力的传播方式。
(5)无线网络技术的发展,使远程网络攻击的可能性加大。
略。
典型的安全管理协议有公用管理信息协议(CMIP)、简单网络管理协议(SNMP)和分布式安全管理协议(DSM)。
②认证体制。
在安全管理协议的控制和密码体制的支持下,完成各种认证功能。
典型的认证体制有Kerberos体制、X.509体制和LightKryptonight体制。
③密码体制。
是认证技术的基础,它为认证体制提供数学方法支持。
典型的密码体制有DES体制、RSA体制。
4、常用的数据加密方式P.75
答:
①链路加密;②节点加密;③端到端加密。
5、认证体制应满足的条件P.77
答:
一个安全的认证体制应该至少满足以下要求
①意定的接收者能够检验和证实消息的合法性、真实性和完整性。
②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。
③除了合法的消息发送者外,其他人不能伪造发送消息。
6、PKI的基本概念和特点P.83
答:
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。
特点:
透明性、一致性。
附:
1、密码学的发展经历了三个阶段:
古代加密方法、古典密码和近代密码。
2、身份认证常用的方式主要有两种:
通行字(口令)方式和持证方式。
P.79
二、领会
1、单钥密码体制与双钥密码体制的区别P.61
答:
①单钥密码体制的加密密钥和解密密钥相同,从一个可以推出另外一个;双钥密码体制的原理是加密密钥与解密密钥不同,从一个难以推出另一个。
②单钥密码体制基于代替和换位方法;双钥密码算法基于数学问题求解的困难性。
③单钥密码体制是对称密码体制;双钥密码体制是非对称密码体制。
2、DES、IDEA、RSA加密算法的基本原理
答:
DES即数据加密标准(DateEncryptionStandard)于1977年由美国国家标准局公布,是IBM公司研制的一种对二元数据进行加密的分组密码,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展。
密钥长度为64bit,其中有效密钥长度56bit,其余8bit为奇偶校验。
DES的整个体制是公开的,系统的安全性主要依赖于密钥的保密,其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP-1及16个子密钥产生器构成。
P.66
IDEA是InternationalDataEncryptionAlgorithm的缩写,即国际数据加密算法。
它是根据中国学者朱学嘉博士与著名密码学家JamesMassey于1990年联合提出的建议标准算法PES改进而来的。
它的明文与密文块都是64bit,密钥长度为128bit,作为单钥体制的密码,其加密与解密过程雷同,只是密钥存在差异,IDEA无论是采用软件还是硬件实现都比较容易,而且加解密的速度很快。
P.69
RSA体制是由R.L.Rivest和L.Adleman设计的用数论构造双钥的方法,它既可用于加密,也可用于数字签名。
RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。
P.72
3、认证的三个目的P.77
答:
认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术,其目的:
一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
三是消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放或延迟等攻击。
4、手写签名与数字签名的区别P.78
答:
手写签名与数字签名的主要区别在于:
一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
二是手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
5、数字签名与消息认证的区别P.82
答:
数字签名与消息认证的区别是:
消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。
当收发者之间没有利害冲突时,这种方式对于防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
6、PKI认证技术的组成P.84
答:
公钥基础设施(PublicKeyInfrastructure,PKI),主要包括①CA认证机构。
CA作为数字证书签发机构,是PKI的核心,是PKI应用中权威的、可信任的,公正的第三方机构。
②证书库。
是CA颁发证书和撤销证书的集中存放在,是网上的一种公共信息库,供广大用户进行开往式查询。
③证书撤销。
④密钥备份和恢复。
⑤自动更新密钥。
⑥密钥历史档案。
⑦交叉认证。
⑧不可否认性。
⑨时间戳。
⑩客户端软件。
三、应用
将给定的明文按照给定的古典或单钥密码算法变换成密文P.64
答:
教材中例子P.64
凯撒(Caesar)密码是对英文26个字母进行移位代替的密码,其q=26。
这种密码之所以称为凯撒密码,是因为凯撒使用过K=3(表示密文为该字母后第3个字母)的这种密码。
使用凯撒密码,若明文为
M=Casesarcipherisashiftsubstitution
则密文为
C=Fdvhvduflskhulvdvkliwvxevwlwxwlrq
教材中课后习题P.99第4题:
选择凯撒(Caesar)密码系统的密钥K=6。
若明文为Caesar,密文是什么。
答:
密文为Igkygx
第4章防火墙技术
一、识记
1、防火墙的基本概念P.103
答:
防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
2、防火墙的体系结构类型P.106
答:
防火墙的体系结构一般有以下几种
①双重宿主主机体系结构;②屏蔽主机体系结构;③屏蔽子网体系结构。
3、个人防火墙的特点
答:
个人防火墙的优点:
①增加了保护级别,不需要额外的硬件资源。
②个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。
③个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,如IP地址之类的信息等。
个人防火墙的缺点:
①个人防火墙对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁。
②个人防火墙在运行时需要战用个人计算机的内存、CPU时间等资源。
③个人防火墙只能对单机提供保护,不能保护网络系统。
4、防火墙的发展趋势
答:
①优良的性能;②可扩展的结构和功能;③简化的安装与管理;④主动过滤;⑤防病毒与防黑客;⑥发展联动技术。
二、领会
1、防火墙的主要功能P.104
答:
无论何种类型的防火墙都应具备五大基本功能:
(1)过滤进、出网络的数据
(2)管理进、出网络的访问行为
(3)封堵某些禁止的业务
(4)记录通过防火墙的信息内容和活动
(5)对网络攻击检测和告警
2、防火墙的局限性P.105
答:
主要体现在以下几个方面
(1)网络的安全性通常是以网络服务的开放性和灵活性为代价
防火墙通常会使网络系统的部分功能被削弱。
①由于防火墙的隔离作用,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;
②由于在防火墙上附加各种信息服务的代理软件,增大了网络管理开销,减慢了信息传输速率,在大量使用分布式应用的情况下,使用防火墙是不切实际的。
(2)防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失
①只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
②不能解决来自内部网络的攻击和安全问题;
③不能防止受病毒感染的文件的传输;
④不能防止策略配置不当或错误配置引起的安全威胁;
⑤不能防止自然或人为的故意破坏;
⑥不能防止本身安全漏洞的威胁。
3、各类防火墙的特点
4、数据包过滤技术的工作原理P.110
答:
包过滤防火墙工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。
它的优点是效率比较高,对用户来说是透明的。
缺点是对于大多数服务和协议不能提供安全保障,无法有效地区分同一IP地址的不同用户,并且包过滤防火墙难于配置、监控和管理,不能提供足够的日志和报警。
数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,这通常安装在路由器上。
数据包过滤防火墙的缺点有两个:
一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;
二是数据包的源地址、目的地址及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
5、代理服务技术的工作原理P.116
答:
代理服务器(Proxy)技术是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
所谓代理服务器,是指代表客户处理连接请求的程序。
当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进一步处理后,将答复交给发出请求的最终客户。
代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用