自考计算机网络安全大纲要求及习题Word格式.docx
《自考计算机网络安全大纲要求及习题Word格式.docx》由会员分享,可在线阅读,更多相关《自考计算机网络安全大纲要求及习题Word格式.docx(32页珍藏版)》请在冰豆网上搜索。
3.应用
分析给定网络可能存在的网络威胁
4.习题
计算机网络面临的典型安全威胁有哪些?
(10)
窃听、重传、伪造、篡改、
非授权访问、拒绝服务攻击、行为否认、旁路控制、
电磁/射频截获、人员疏忽
分析计算机网络的脆弱性和安全缺陷
脆弱性:
计算机网络是颇具诱惑力的受攻击目标,无论是个人、企业,还是政府机构,只要使用计算机网络,都会感受到网络安全问题所带来的威胁。
无论是局域网还是广域网,都存在着偶发、自然和人为(被动、主动、邻近、内部、分发)等诸多脆弱性。
一方面,计算机网络的硬件和通信设施极易受自然环境和人为的物理破坏;
另一方面,计算机网络的软件资源和数据信息易受到非法窃取、复制、篡改等。
安全缺陷:
互联网不安全性,开放/国际/自由/协议;
OS和数据库的安全缺陷;
数据;
传输线路;
网络安全管理不当
分析计算机网络的安全需求
计算机网络安全的内涵和外延是什么?
内涵:
计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
外延:
从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义随着“角度”的变化而变化。
论述OSI安全体系结构
1982-1988,ISO7498-2,国内对应标准为GB/T9387.2-1995
(1)给出了标准中部分术语的正式定义
(2)定义了五大类安全服务(安全防护措施)
鉴别服务(针对假冒、拒绝服务)
访问控制服务(针对非授权侵犯、拒绝服务)
数据机密性服务(针对窃听)
数据完整性(针对安全性破坏、拒绝服务)
抗抵赖性服务(针对否认)
(3)给出八种用以实现安全服务的安全机制
加密、数签、访控、数据完整性、鉴别交换
通信业务流填充、路由控制、公证
不是能实现的标准,而是关于如何设计标准的标准,定义了许多术语和概念,建立了一些重要的结构性准则。
简述P2DR安全模型的结构
是一种常用网络安全模型,包括安全策略、防护、检测、响应四个部分。
该模型认为,安全技术措施是围绕安全策略的具体需求,防护、检测、响应有序地组织在一起,构成一个完整的、动态的安全防护体系。
该模型以基于时间的安全理论的数学模型作为其论述基础,信息安全有关活动都要消耗时间,可以用时间来衡量体系的安全性和安全能力。
Pt>
Dt+Rt;
Et=Dt+Rt,ifPt=0
以上公式指出,及时的检测和响应(恢复)就是安全,对待网络安全,不能依靠静态防护和单技术手段,而应持动态发展的观点。
简述计算机网络安全技术及其应用
简述网络安全管理意义和主要内容
面对网络安全的的脆弱性,除了采用各种技术和完善系统的安全保密措施外,必须加强网络的安全管理,诸多的不安全因素恰恰存在于组织管理方面。
据权威机构统计表明:
信息安全大约60%以上的问题是由于管理造成的。
也就是说,解决信息安全问题不应仅从技术方面着手,同时更应加强信息安全的管理工作。
主要内容:
①网络安全管理的法律法规②计算机网络安全评价标准
网络安全的层次和内容
层次:
物理安全;
逻辑安全;
OS安全;
联网安全
内容:
①先进的技术②严格的管理③配套的法律
第二章物理安全
物理安全包含的主要内容
①机房环境安全②通信线路安全③设备安全④电源安全
机房安全要求和措施
①人员进出:
减少无关人员进出机房机会,注意机房选址,布局,办理人员、物品进出登记手续并有效监控。
②防盗:
对重要的设备和存储媒体应采取严格的防盗措施。
措施:
增加质量,胶粘,光纤电缆保护重要设备,视频监视。
③三度:
温度(18-22度)、湿度(40%-60%为宜)、洁净度(要求机房尘埃颗粒直径小于0.5μm)配备空调系统、去湿机和除尘器。
④防静电:
装修材料避免使用挂毯、地毯等易吸尘,易产生静电的材料,应采用乙烯材料,安装防静电地板并将设备接地。
⑤接地防雷:
1.地线种类:
A保护地B直流地C屏蔽地D静电地E雷击地2.接地系统:
A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D直流地、保护地共用地线系统E建筑物内共地系统3、接地体:
A地桩B水平栅网C金属接地板D建筑物基础钢筋4.防雷措施,使用接闪器、引下线和接地装置吸引雷电流。
机器设备应有专用地线,机房本身有避雷设备和装置。
⑥防火防水:
为避免火灾、水灾,应采取的措施为:
隔离、火灾报警系统、灭火设施(灭火器,灭火工具及辅助设备)、管理措施。
硬件设备的使用管理
1要根据硬件设备的具体配置情况,制定切实可靠的硬件设备的操作使用规程,并严格按操作规程进行操作;
2建立设备使用情况日志,并严格登记使用过程的情况;
3建立硬件设备故障情况登记表,详细记录故障性质和修复情况;
④ 坚持对设备进行例行维护和保养,并指定专人负责。
电源对用电设备安全的潜在威胁
①脉动与噪声②电磁干扰
机房安全等级划分标准(3,见习题)
通信线路安全技术(3,见习题)
电磁辐射的防护措施
A.对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
B.对辐射的防护:
采用各种电磁屏蔽措施:
设备、接插件,下水管暖气管金属门窗屏蔽隔离;
对干扰的防护措施,利用干扰装置产生伪噪声来掩盖目标系统工作频率和信息特征;
抗干扰方面,除芯片部件上提高抗干扰能力还有①屏蔽②滤波③隔离④接地
机房供电的要求(14)和方式(3)
供电要求:
1专用可靠供电线路;
2供电设备容量有余量;
3符合电源技术指标;
4宜采用干式变压器;
5电源室到电源系统分电盘电缆符合规定,载流量应减少50%;
6防触电;
7耐燃铜芯屏蔽电缆;
8设备走线不与空调、电源走线平行,应垂直交叉,防延燃措施;
9铜芯电缆,混用必须采用过渡头;
10接点镀锡铅,冷压连接;
11应急电话应急断电;
12封闭式蓄电池,半封闭或开启式设专用房间,防腐防爆排风
13专用地线
14应急照明,安全口指示灯
供电方式:
1一类供电:
需建立不间断供电系统
2二类供电:
需建立带备用的供电系统
③三类供电:
按一般用户供电考虑。
根据所需建设的网络系统要求,分析机房安全、通信线路安全和供电的需求。
简述物理安全在计算机网络信息系统安全中的意义
物理安全是整个计算机网络系统安全的前提。
物理安全是保护计算机网络设备、设施及其他媒体免遭地震、水灾和火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏过程。
物理安全在整个计算机网络信息系统安全中占有重要地位,也是其它安全措施得以实施并发挥正常作用的基础和前提条件。
物理安全主要包含哪些方面的内容?
计算机机房安全等级的划分标准是什么?
机房的安全等级分为三个基本类别:
A类:
对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B类:
对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
C类:
对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
计算机机房安全技术主要包含哪些方面的内容?
1安全保卫技术,包括防盗报警、实时监控、安全门禁等
2环境条件保持技术,加装通风设备、排烟设备、专业空调设备
3用电安全技术,包括电源分离,有效接地,过载保护、防雷等
4安全管理技术,制订严格管理制度,要求进出人员严格遵守
保障通信线路安全的主要技术措施有哪些?
1电缆加压技术(压力减小自动报警,加压电缆同事有屏蔽功能)
2对光纤等通信线路的防窃听技术(距离大于最大长度限制的系统之间,不采用光纤线通信;
加强复制器的安全,如用加压电缆、警报系统和加强警卫等措施)
3禁止Modem接入,号码保密,增加扩展号码。
电磁辐射对网络通信安全的影响主要体现在哪些方面,防护措施有哪些?
影响主要体现在:
计算机系统可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。
A.对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
采用各种电磁屏蔽措施,设备、接插件,下水管暖气管金属门窗屏蔽隔离;
通过上述种种措施,提高计算机的电磁兼容性,提高设备的抗干扰能力,使计算机能抵抗强电磁干扰,同时将计算机的电磁泄漏发射降到最低,使之不致将有用的信息泄漏出去。
保障信息存储安全的主要措施有哪些?
1数据盘防磁、防潮、防火、防盗
2级别、权限、加密
3管理到人、建立登记
4备份分开存放
5打印输出的文件管理
6数据清除
7专人销毁
8长期数据转存
简述各类计算机机房对电源系统的要求
电源系统安全应该注意电源电流或电压的波动可能会对计算机网络系统造成的危害。
GB9361-88对A、B类安全机房要求:
C类安全机房满足GB2887-2000中规定的三类供电要求。
第三章信息加密和PKI
信息加密技术
信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。
密码学五元组:
明文、密文、密钥、加密算法、解密算法的基本概念
明文:
消息的原始形式,作为加密输入的原始信息,记作m或p。
所有可能明文的有限集称为明文空间,记作M或P
密文:
明文经加密变换后的结果,即消息被加密处理后的形式,记作e。
密文空间C
密钥:
参与密码变换的参数,记作k。
密钥空间K
加密算法:
将明文变换为密文的变换函数。
相应的变换过程即编码过程称为加密,记作E,c=Ek(p)
解密算法:
将密文恢复为明文的变换函数。
相应的变换过程即解码过程称为解密,记作D,p=Dk(c)
对于有实用意义的密码体制而言,总是要求它满足:
p=Dk(Ek(p)),即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。
加密体制的分类
单钥(对称)密码体制;
双钥(公开)密码体制
认证技术的分层模型
从上到下分三个层次:
安全管理协议、认证体制、密码体制。
安全管理协议主要任务是在安全体制支持下,建立、强化、实施整个网络系统的安全策略;
认证体制在安全管理协议的控制和密码体制支持下,完成各种认证功能;
密码体制是认证技术的基础,它为认证体制提供数学方法支持
常用的数据加密方式
链路加密;
节点加密;
端到端加密
认证体制应满足的条件
1意定的接收者能够检验和证实消息的合法性、真实性和完整性;
2消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;
③ 除了合法的消息发送者外,其他人不能伪造发送消息。
PKI的基本概念和特点
公开密钥基础设施PKI,用公钥密码算法原理和技术,提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。
产生:
针对电子政务和电子商务在下列安全需求而产生①认证需求②访问控制需求③保密需求④数据完整性需求⑤不可否认需求
特点:
节省费用;
互操作性;
开放性;
提供一致的解决方案;
可验证性;
可选择性
单钥密码体制和双钥密码体制的区别
单钥密码体制加解密密钥相同或等同;
双钥密码体制加解密密钥不同。
DES、IDEA、RSA加密算法的基本原理
数据加密标准DES,1997年美国国家标准局公布(IBM公司研制),是对二元数据加密的分组密码。
m=n×
64bit,c=n×
64bit,k=64bit-8bit(去掉8n(n=1->
8)bit)。
其加密算法包含四个部分:
①初始置换IP②16轮迭代的乘积变换③逆初始置换IP-1④16个子密钥产生器,记作DES(m)=IP-1•T16•T15…T2•T1•IP(m)
国际数据加密算法IDEA,1990年朱学嘉与JamesMassey提出的PES改进而来,密钥长度为128bit。
软硬件实现容易,加解密速度快(比DES慢,但适于ASIC),对线性和差分安全。
加解密过程与DES雷同,只是密钥存在差异。
RSA是Rivest,Shamir,Adleman设计的用数论(大数分解和素数检测)构造双钥算法,基于分解两个大质数之积的困难性,用于加密和数签。
步骤如下①生成公钥(n,e)和私钥(n,d),pq互质,n=pq,d与(p-1)(q-1)互质,de≡1mod(p-1)(q-1),(理解:
de-1能被(p-1)(q-1)整除)②公开公钥③用私钥加密,密文传给对方④对方用公钥解密。
有分解模、迭代、选择明文、公用模、低加密指数、定时等攻击手段,但成功概率微乎其微。
认证的三个目的
消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
消息序号和操作时间等的认证,防止消息重放或延迟等攻击。
手写签名与数字签名的区别
手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
数字签名与消息认证的区别
消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。
当收发者之间没有利害冲突时,这种方式对防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
PKI认证技术的组成
主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。
①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件
将给定的明文按照给定的古典或单?
双钥密码算法变换成密文
明文M=”C”,用凯撒密码加密,k=3
解:
ek(c)=(k+m)modq,代入m=3,k=3,q=26,c=6mod26=6,故密文C=”F”
明文M=”C”,用RSA加密,公钥k1为n=33,e=3,私钥k2为p=3,q=11,d=7
将A-Z编码为00-25,字母C对应02,
使用公钥加密过程,E(m)=memodn=c,c=Ek1(“C”)=memodn=23mod33=8,故密文C=”H”
使用私钥解密过程,D(c)=cdmodn=m,m=Ek2(“H”)=cdmodn=87mod33=2,故明文M=”C”
简述信息加密技术对于保障信息安全的重要作用
1保障信息安全的基石,代价小,保护强
2广泛应用于政治、经济、军事、外交、情报等重要部门
3用于加解密,还是身份认证、访问控制、数字签名的基础
简述加密技术的基本原理,并指出有哪些常用的加密体制及其代表算法
加密体制从原理上分为两大类:
即单钥(对称)密码体制(代表算法:
DES,IDEA)和双钥(公开,非对称)密码体制(代表算法:
RSA,ElGamal)。
试分析古典密码对于构造现代密码有哪些启示?
古典密码大都比较简单,可用手工或机械操作实现加解密,虽然现在很少采用,但研究这些密码算法的原理,对于理解、构造和分析现代密码是十分有益的。
古典密码算法主要有代码加密、代替加密、变位加密和一次性密码簿加密等几种算法。
选择凯撒Caesar密码系统的密钥k=6。
若明文为Caesar,密文是什么
M=”Caesar”,k=6,q=26,由ek(c)=(k+m)modq,
依次代入m=3,1,5,19,1,18,得c=9,7,11,25,7,24,则密文C=”Igkygx”
DES加密过程有几个基本步骤?
试分析其安全性能
①初始置换IP②16轮迭代的乘积变换③逆初始置换IP-1④16个子密钥产生器
记作DES(m)=IP-1•T16•T15…T2•T1•IP(m)
安全性分析:
体制细节公开,安全性依赖于密钥;
56bit密钥偏短;
穷举、微分分析法、线性逼进法;
广泛应用
在本章RSA例子的基础上,试给出m=student的加解密过程
解:
根据题意,明文M=”student”,用RSA加密,公钥k1为n=33,e=3,私钥k2为p=3,q=11,d=7
将a-z编码为00-25,A-Z编码为26-51,明文M对应编码序列为18,19,20,03,04,13,18
使用公钥加密过程,E(m)=memodn=c,c=Ek1(“s”)=memodn=183mod33=24,故密文C1=”y”
使用私钥解密过程,D(c)=cdmodn=m,m=Ek2(“y”)=cdmodn=247mod33=18,故明文M1=”s”
其余略,C对应编码序列为24,28,14,27,31,19,24,C=”yCoBFty”
RSA签名方法与RSA加密方法对密钥的使用有什么不同
RSA加密方法是在多个密钥中选用一部分密钥作为加密密钥,另一些作为解密密钥。
RSA签名方法:
如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名私密钥,k3作为公开的验证签名用密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。
试简述解决网络数据加密的三种方式
1链路加密:
对网络中两个相邻节点之间传输的数据进行加密保护。
2节点加密:
指在信息传输路过的节点处进行解密和加密。
3端到端加密:
指对一对用户之间的数据连续的提供保护。
认证的目的是什么?
试简述其相互间的区别
什么是PKI?
其用途有哪些?
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。
PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。
简述PKI的功能模块组成
主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。
通过学习,你认为密码技术在网络安全实践中还有哪些重要的应用领域?
举例说明
电子商务和VPN
第四章防火墙技术
防火墙的基本概念
是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
是分离器,限制器,分析器,具有较强抗攻击能力。
防火墙的体系结构类型
双重宿主主机体系结构;
屏蔽主机体系结构;
屏蔽子网体系结构。
个人防火墙的特点
优点:
①增加了保护级别,不需要额外的硬件资源②抵挡内外攻击③保护单个系统,隐蔽用户信息。
缺点:
①单接口,本身易受威胁②占用个人计算机的内存、CPU时间等资源③只能对单机提供保护,不能保护网络系统。
防火墙的发展趋势
①更加优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤
⑤防病毒与防黑客⑥发展联动技术
防火墙的主要功能
①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些禁止的业务
④记录通过防火墙的信息和内容⑤对网络攻击检测和告警
防火墙的局限性
A.以网络服务的开放性、灵活性为代价,功能被削弱
① 隔离使内外信息交流受到阻碍
② 附加代理软件增大网管开销,减慢信息传输速率,不适合大量分布式环境
B.只是整个网络安全防护体系的一部分,并非万无一失。
1对绕过防火墙的访问和攻击无效
2不能解决内网攻击和安全问题
3不能防止受病毒感染的文件的传输
4不能防止策略配置不当或错误配置引起的安全威胁
5不能防止自然或人为故意破坏
6不能防止本身安全漏洞的威胁
各类防火墙的特点
防火墙可以分为网络层防火墙和应用层防火墙,这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。
数据包过滤技术的工作原理
工作在网络层,通常基于IP数据包的源目地址、源目端口进行过滤。
包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表ACL。
通过检查数据流中每个数据包的源目地址、端口号、协议状态等因素或它们的组合,来确定是否允许该数据包通过。
代理服务技术的工作原理
代理服务器指运行代表客户处理连接请求的程序,客户连接意图,核实后传递到真实服务器,接受服务器应答,处理后传给最终客户。
起中间转接和隔离作用,又叫代理防火墙,其工作于应用层,针对特定的应用程序,可以记录和控制所有进出流量。
代理工作方式图包括真实客户端,内部网络,代理服务器(请求,转发响应),应用协议分析,
升级会员 