网络安全读书笔记.docx
《网络安全读书笔记.docx》由会员分享,可在线阅读,更多相关《网络安全读书笔记.docx(11页珍藏版)》请在冰豆网上搜索。
网络安全读书笔记
网络安全读书笔记
【篇一:
网络安全读后感】
网络安全读后感
随着网络的普及,我们已迈入了信息时代的21世纪,在大家的生活中电脑已经成为了必不可少的东西。
人们足不出户就可以再电脑上了解社会上的一切信息。
做到了吃在“电脑”,穿在“电脑”,购物在“电脑”,甚至可以在电脑上进行交友,电脑、网络简直成了万能的东西,给我们的生活带来了不少便捷,但是网络并不是没有风险的,在网络中也存在一些安全问题。
当你在进行网络活动的时候,你的电脑有可能正在遭受着危险,你的个人信息遭到了泄露。
因此在我们使用电脑的同时要注意自己的电脑是否遭到了危险。
新世纪、新方法,信息化大大加快人们生活的节奏,同时也提高了人们办事的效率,就拿邮件来说,以往人们需要通过书信的方式,寄信才能向对方传达自己想要告诉对方的事。
现在呢?
可谓是大大地不同,E-mail的普及,形形色色的邮箱到处可见,你只要在电脑上打上你要发的内容,轻轻的点一下发送就可以将东西及时传到对方的手中,节省了大量的时间,同时工作效率也得到了提高。
发邮件是如此,购物也不例外啊,随着电子商务的发展,网购成了生活中必不可少的东西,淘宝和京东商城大家一定不会陌生,人们不用为买东西跑到很远的地方而感到烦恼,打开电脑,轻轻的点几下货物就会送到家门口。
十分的方便快捷。
还有qq这个或许是人们最常用的交流平台,在这里你可以找到很多好友并一起分享自己的快乐,等等,总之网络给我们带来了很多好处,但是在你使用时你知道在这之中也存在危险,当你在购物时,需要通过网络从你的网银卡中扣除一定的金钱,但是如果出错或者是错误的网站,卡中的钱就悄悄的流失,你不知道是怎么回事,这种事情屡见不鲜,电视上经常有报导。
qq上的被陌生人骗去金钱,感情用事更是常见的事,这些都是网络存在的问题,你不知道对方的信息。
在网站注册都需要一些个人信息,这就导致了我们的信息容易外泄。
不久前一个网站就遭受到了入侵,在这个网站注册的人的信息遭到了外泄,大家感到不安,各大网站虽然都有安全防护,但是现在的黑客都有很强的能力。
现在“山寨版”的网站在网络上横行,在正版和山寨之间你根本分不清哪个是真的,山寨版到达了以假乱真的地步,被其欺骗的人不在少数。
大家在浏览网页的同时要注意其网页排布,不要被欺骗。
网络虽好但并不是万能的,在网络上有很多的陷阱,有很多的骗局,当你每打开一个网页的时候你应该注意其网页的是否正规,不要上了不法分子的当,被骗去钱物,注意自,
己在网络上的信息公布,不要去打开那些不安全的网络,支付钱财等方式更要注意自己的账户的安全。
黑客大家更要注意,熊猫烧香病毒入侵了不少人的电脑。
网络虽好,大家也要注意自己的信息和自己的账户的安全,不要特意上别人的当,时刻关注与自己相关的事。
注意自己的安全,了解网络存在的安全,为自己能健康上网打下基础,同时也为自己的安全提供保障。
养成健康上网的好习惯,不要让那些有机分有可乘之机,这样不但加强了自身的安全保障,也让自己不在为自己在网络上的信息而担忧。
【篇二:
网络安全学习笔记】
电脑网络的不安全因素:
一般来说,电脑网络本身的脆弱性和通信设施的脆弱性共同构成了电脑网络的潜在威胁。
一方面,电脑网络的硬件和通信设施极易遭受自然环境的影响,以及自然灾害和人为的物理破坏;另一方面,电脑网络的软件资源和数据信息易受到非法的窃取、复制、篡改和毁坏;再有,电脑网络硬件的自然损耗和自然失效,以及软件的逻辑错误,同样会影响系统的正常工作,造成电脑网络系统内信息的损坏、丧失和安全事故。
不安全的因素:
偶发因素、自然灾害、人为因素。
人为因素又分为被动攻击、主动攻击、邻近攻击、内部人员攻击。
互联网的不安全性:
互联网是开放的、国际的、自由性的网络。
电脑网络安全,广义上说是但凡涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域;具体上来说是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
电脑网络安全的目标:
保密性、完整性、可用性、不可否认性、可控性。
osi安全体系结构中定义了五大类安全服务,也称为安全防护措施,分别为鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。
ppdr模型具体内容是安全策略〔policy)、保护〔protection)、检测〔detection)和响应〔response)。
。
网络安全技术可从以下几个方面来分析:
一、物理安全措施:
环境安全、设备安全、媒体安全。
二、数据传输安全技术:
通常采用的是数据传输加密技术、数据完整性鉴别技术及防抵赖技术。
数据传输加密技术可从三个不同的层次来分别,分别是链路加密、节点加密、端到端加密。
一般常用的是链路加密和端到端加密。
防抵赖技术常用的方法是数字签名。
三、访问控制技术:
受托者指派和继承权限屏蔽是实现这种技术的两种方式。
四、防病毒技术包括预防病毒、检测病毒、消除病毒。
网络安全威胁和攻击机制的发展趋势:
一、与internet更加紧密地结合,利用一切可以利用的方式进行传播。
二、所有的病毒都具有混合型特征,集文件传染、蠕虫、木马和黑客程序的特点于一身,破坏性大大增强。
三、其扩散极快,而更加注重欺骗性。
四、利用系统漏洞将成为病毒有力的传播方式。
五、无疑网络技术的发展,使远程网络攻击的可能性加大。
六、各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
七、各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。
八、各种攻击技术的隐秘性增强,常规防范手段难以识别。
九、分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性。
十、一些政府部门的超级电脑资源将成为攻击者利用的跳板。
十一、网络管理安全问题日益突出。
要确保电脑网络的安全,就必须依靠先进的技术、严格的管理、
配套的法律。
物理安全主要包括以下几个方面:
机房环境安全、通信线路安全、设备安全、电源安全。
电脑机房安全技术措施主要包括防盗报警、实时监控、安全门禁等。
电脑机房的安全等级分为a类、b类、c类三个等级。
通信线路安全的实现技术:
电缆加压技术。
电磁干扰可以通过两个途径来影响电子设备的工作。
一条是电子设备辐射的电磁波通过电路耦合到另一台电子设备中引起干扰;一条是通过连接的导线、电源线、信号线等耦合而引起相互之间的干扰。
其防护措施:
屏蔽、隔离、滤波、吸涉及接地等,其中屏蔽是应用最多的方法。
密码学的发展大致经历了三个阶段:
古代加密方法、古典密码、近代密码。
密码体制从原理上可分为两大类:
单钥或对称密码体制和双钥或非对称密码体制。
单钥密码体制的算法有des算法,它的优点是加密、解密处理速度快、保密度高等,其缺点主要是密钥是保密通信安全的关键,发信方必须安全、妥善地把密钥护送到收信方,不能泄露其内容;多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化;通信双方必须统一密钥,才能发送保密的信息;还存在
数字签名困难问题。
双密钥体制的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单,还可以用于数字签名等新功能。
缺点是算法比较复杂,加解密速度慢,典型的算法是rsa密码体制。
加密算法就其发展经历了三个阶段:
古典密码、对称密钥密码和公开密钥密码。
按加密模式来分,对称算法又分为序列密码和分组密码。
常见的网络数据加密方式主要有链路加密、节点加密、端到端加密。
链路加密是对网络中两个相邻节点之间传输的数据进行加密保护;节点加密是指在信息传输路过的节点处进行解密和加密;端到端加密是指对一对用户之间的数据连续地提供保护。
认证的目的有三个:
一是消息完整性认证;二是身份认证;三是消息的序号和操作时间等的认证。
认证技术可以分为三个别层次:
安全管理协议、认证体制、密码体制。
数字签名是一种实现消息完整性认证和身份认证的重要技术。
身份认证的目的是验证信息收发方是否持有合法的身份认证符,可分为直接身份认证和间接身份认证。
pki〔公开密钥基础设施〕是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用pki平台提供的安全服务
进行安全通信,它主要包括认证机构ca、证书库、密钥备份、证书作废处理系统和pki应用接口系统等。
ca是pki的核心。
pki的特点:
一是节省费用;二是互操作性;三是开放性;四是一致的解决方案;五是可验证性;六是可选择性。
防火墙是一种将内部网络和外部网络分开的方法,是提供信息安全服务、实现网络和信息系统安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。
防火墙的功能:
过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
对网络攻击检测和告警的表达:
一是控制不安全的服务;二是站点访问控制;三是集中安全服务;四是强化私有权;五是网络连接的日志记录及使用统计。
防火墙的局限性:
一是网络的安全性通常是以网络服务的开放性和灵活性为代价;二是防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
防火墙的体系结构:
双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。
从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙,它们的实现技术主要有包过滤技术、代理服务技术、状态检测技术和nat技术等。
包过滤技术工作在网络层,它的缺陷:
一是
【篇三:
网络安全教程读书笔记】
网络安全教程读书笔记
第4章数据加密技术
一、数据加密概述
在信息时代,信息本身是把双刃剑,一方面它服务于我们的生产、生活、使我们受益;一方面,信息的泄露可能对我们构成巨大的威胁。
因此,客观上就需要一种有力的安全措施来保护机密数据不被窃取或篡改。
数据加密与解密从宏观上讲是非常简单的,很容易理解。
加密与解密的一些方法也是非常直接的,而且非常容易掌握的,可以方便地对机密数据进行加密和解密。
加密是指发送方将一个信息〔或称为明文〕经过加密钥匙及加密函数转换,变成无意义的密文,而接收方将此密文经过解密,解密密钥复原成明文。
加密技术是网络安全技术的基石。
任何一个加密系统至少包括以下4个部分:
〔1〕明文〔未加密的报文〕
〔2〕密文〔加密后的报文〕
〔3〕加密解密设备或算法
〔4〕加密解密的密钥
电脑网络中的加密可以在不同层次上进行,最常见的是在应用层、链路层和网络层进行加密。
数据加密可以分为两种途径:
一种是通过硬件实现数据加密,另一种是通过软件实现数据加密。
通常所说的数据加密是指通过软件对数据进行加密。
通过硬件实现网络数据加密的方法有3种:
;链路层加密、节点加密和端对端加密。
常用软件加密算法分为对称加密和非对称加密。
二、数据加密标准
des(dataencryptionstandard数据加密标准)由ibm公司研制,并于1977年被美国国家标准局确定为联邦信息标准中的一项。
iso也已将des定为数据加密标准。
des是世界上最早被公认的实用密码算法标准,目前它已经受了长达20余年的实践考验。
des使用相同的算法对数据进行加密和解密,所使用的加密密钥和解密密钥也是相同的。
des采用56位长的密钥将64位长的数据加密成等长的密文。
在des加密过程中,先对64位长的明文进行初始置换,然后将其分割成左右各32位长的字块,经过16次迭代,进行循环移位与变换,最后再进行逆变换得出64位长的密文。
des的解密过程与解密过程很相似,只需将密钥的使用顺序进行颠倒。
des算法采用了散布、混乱等基本技巧,构成其算法的基本单元是简单的置换、代替和模2加。
des的整个算法结构是公开的,其安全性由密钥保证。
三、国际数据加密标准
国际数据加密算法〔idea〕是由瑞士的学者提出。
在1990年正式公布并在以后得到增强与完善。
这种算法是在des算法的基础上发展出来的,类似与三重des。
idea也是针对des具有密钥太短的缺点而提出的。
idea的密钥为128位,这么长的密钥在今后假设干年内应该是安全的。
类似于des,idea算法也是一种数据块加密算法,它设计了一系列加密轮次,每轮加密都使用从完整的加密密钥中生成的一个子密钥。
与des的不同之处在于,它采用软件实现,但与硬件实现的速度一样快。
四、单向函数
单向函数的概念是公开密钥密码的中心。
尽管它本身并不是一个协议,但在本书中所讨论的大多数协议来说却是一个基本结构模块。
单向函数是一类计算起来相对容易,但求逆却非常困难的函数。
也就是说,已知x,我们很容易计算出f(x)。
但已知f(x),却难于计算出x.。
在这里,“难”定义为:
即使世界上所有的电脑都用来计算,从f(x)计算出x也要花费数百万年的时间。
五、单向hash函数
单项hash函数有:
压缩函数、缩短函数、消息摘要、指纹、密码校验和、信息完整性检验〔dic〕和操作检验码〔mdc〕。
单向hash函数是现代密码学的核心。
单向hash函数是许多协议的另一结构模块。
hash函数长期以来一直在电脑科学中使用,无论是从数学角度还是从别的角度看,hash函数就是把可变输入长度串〔叫做预映射,pre-image〕转换成固定长度〔经常更短〕输出串〔叫做hash值〕的一种函数。
简单的hash函数就是对预映射的处理,并且返回由所有入字节转换成的单一字节。
六、公开密钥密码体制
传统的加密方法是加密、解密使用相同的密钥,由发送者和接收者分别保存,在加密和解密时使用。
采用这种方法的主要问题是密钥的生成、注入、存储、管理及分发等过程很复杂,特别是随着用户的增加,密钥的需求量成倍增加。
在网络通信中,大量密钥的分配是一个难以解决的问题。
在公开密钥密码体制下,加密密钥不等于解密密钥。
加密密钥可对外公开,使任何用户都可将传送次用户的信息公开密钥加密发送,而解密密钥是对外保密的。
虽然解密密钥理论上可以由加密密钥公开不会危害密钥的安全。
七、rsa算法
数学上的单向陷门函数的特点是在一个方向上求值很容易,但其逆向计算却很困难。
许多形式为y=f(x)的函数,对于给定的自变量x值,很容易计算出函数y的值;而由给定y值,在很多情况下依照函数关系f(x)计算x值则十分困难。
rsa〔rivest-shamir-adelman〕与1978年出现,目前已被iso推荐为公钥数据加密标准。
rsa算法基于一个十分简单的数论事实:
将两个大素数相乘十分容易,但是分解它们的乘积却非常困难,因此可以将乘积公开做为加密密钥。
des并不能取代rsa,它们的优缺点正好互补。
rsa的密钥很长,加密速度慢,而采用des,正好弥补了rsa的缺点。
即des用于明文加密,rsa用于des密钥加密。
八、密钥管理
密钥管理是密码学领域中最困难的部分。
设计安全的密钥算法和协议是困难的,但可以依靠大量的深入研究来解决。
但是,对密钥进行保密更为困难。
密码分析者经常通过密码管理来破译对称密钥和公钥体制。
1.密钥生成
〔1〕减少的密钥空间
〔2〕弱密钥选择
人们选择自己的密钥时,常常喜欢选择更容易记忆的密钥。
这就是所谓的弱密钥。
〔3〕随机密钥
好密钥是指那些由自动处理设备生成的随机的位串。
如果密钥为64位长,每一个可能的64位密钥必须具有相等的可能性。
这些密钥要么从可靠的随机源中产生,要么从安全的伪随机发生器中产生
〔4〕
ansix9.17标准规定了一种密钥生成方法。
并不生成容易记忆的密钥,更适合在一个系统中产生会话密钥或伪机数。
用来生成密钥的加密算法是三重des,就像其他算法一样容易。
2.非对称密钥空间
假设有一批加密设备,并且使用了一个安全的算法,但又怕这些设备落入敌手,破坏了加密,为此他们可以将算法加入到一个防篡改模块中。
防篡改模块就是能够从特殊保密形式的密钥进行解密的模块,而其他的密钥都会引起模块用非常弱的算法解密。
这样做可以使那些不知道这个特殊形式的攻击者几乎无法获取密钥。
3.发送密钥
4.验证密钥
在实际应用中,对于接受者如何判断受到的密钥确实来字发送者,仍存在着许多需要解决的问题。
例如,恶意的主动攻击者可以传送一个加密和签名的消息而将它伪装成来自发送者,当接收者试图访问公钥数据库验证发送者的签名时,恶意的主动攻击者可以用他自己的公钥来代替。
他可以发明自己的假kdc,并把真正的kdc公钥换成他自己产生的公钥,从而到达欺骗接收者的目的。
(1)密钥传输中的错误检测
(2)密钥在解密过程中的错误检测
5.使用密钥
软件加密是不可靠的。
无法预测什么时候操作系统将会中止加密的运行,将一些东西写在磁盘上,或处理另一些急需的工作。
当操作系统再次返回被中止的加密任务时,操作系统已把加密程序写在磁盘上,并同时将密钥也写了下来。
这些密钥未被加密,在电脑重新覆盖那个存储区之前,一直留在磁盘上。
当攻击者采用好的工具彻底搜索该硬盘驱动器时,密钥可能还放在那里。
在一个可抢先的多任务环境中,可以给加密操作设置足够高的优先权可以防止被中断。
尽管这样可以减轻危险度,但仍存在一定风险。
6.更新密钥
为了确保密钥的安全性每天都需要改变加密的数据链路的密钥,但这样做十分费时。
更好的解决方法是直接从旧的密钥中产生新密钥,这又称为密钥更新。
7.存储密钥
最简单的密钥存储是单用户的密钥存储,一些系统采用简单方法:
密钥存放于发送者的脑子中,而决不能放在系统中,发送者记住密钥,并只在对文件加密或解密时才输入密钥。
公开密钥密码使密钥容易管理,但也存在着问题。
无论网络上有多少人,每个人只有一个公开密钥。
如果发送者给接收者传送一段信息,就必须知道接收者的公开密钥。
〔1〕公钥证书
〔2〕分布式密钥管理
九、通信加密
在电脑网络中,通信加密〔在传输过程中的数据加密〕分为链路加密、节点加密和端到端加密。
〔1〕链路加密
〔2〕节点加密
〔3〕端到端加密
十、加密数据存储
1.非关联化密钥
对硬盘进行加密有两种方法:
用一个单独的密钥对所有数据进行加密。
但这给分析者提供了大量用于分析的密文,并使多个用户只查看硬盘的一部分的操作成为不可能;用不同的密钥对各个文件单独进行加密,这迫使用户记住每个文件的密钥。
2.驱动级与文件级加密
有两种级别的硬盘加密:
文件级和驱动器级,
3.加密驱动器的随机存取
十一、硬件加密与加密芯片
1.硬件加密
目前,所有加密产品都是以特定的硬件形式出现的。
这些加/解密盒子被嵌入到通信线路中,然后对所有通过的数据进行加密。
虽然软件加密在今天日趋流行,但是在商业和军事方面的应用中,硬件加密仍是主流。
它速度快,安全性高,易于安装。
市场上有3种基本的加密硬件:
自带加密模块,用于通信链路的专用加密盒以及可插入个人电脑的插卡。
2.加密芯片
密码虽然可为私人提供信息保密服务,但是它首先是维护国家利益的工具。
正是基于这个出发点,考虑到des算法公开后带来的种种问题,美国国家保密局从19085年开起开始着手考虑制定新的商用数据加密标准,以取代des。
1990年开始试用,1993年正式使用,主要用于通信系统中,和电脑通信的安全保护。
十二、加密技术的应用
1.数字签名
数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者发送的信息真实性的一个证明。
2.数字时间戳
在电子交易中,需要对交易文件的日期和时间信息采取安全措施,而数字时间戳〔dts〕,可对电子文件发表时间提供安全保护和证明。
3.数字证书和认证系统
〔1〕数字证书
数字证书可以用于电子邮件、电子商务等各方面。
数字证书的内部格式是由ccittx.509国际标准所制定的。
〔2〕认证系统
在电子交易中,无论是数字时间戳服务还是数字凭证的发放,都不是靠交易双方自己来完成〔无法保证公正性〕,而需要有一个具有权威性和公正性的第三方来完成。
认证中心ca就是承担网上安全电子交易认证服务,能签发数字证书并能确认用户身份的服务机构。
认证中心的主要任务是受理数字凭证的申请,签发数字证书及对数字证书进行管理。
4.电子商务
〔1〕支付网关
支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:
将公网传来的数据包解密,并按照银行系统内部通信协议将数据重打包;接收银行系统内部传来的相应消息,将数据转换为公网传送的数据格式,并对其进行加密。
〔2〕信用卡服务系统
pos系统并不仅仅指消费者在商场中常见的eos收款机或电子算盘,真正的pos系统是指经过优化的一种销售解决反案,它具有强大的财力和技术后盾的信息管理系统。
〔3〕电子柜员机
支付型电子商务是通过电子柜员机软件系统接入公网,其主要任务是负责处理用户的申请,并和银行〔通过支付网关〕进行通信,发送和接收加密信息,存储签名钥匙和交换钥匙,申请和接受认证等。
并随时与数据库进行通信以便存储和填写订单及保留和处理记录。
〔4〕电子数据交换〔edi〕
edi是电子商务环节〔如pos系统〕的作业能够顺利实现的基础。
edi包括硬件和软件两大部分,硬件主要是电脑网络,软件包括电脑软件和edi标准。
从硬件方面,出于
安全考虑,以前的edi一般在专用网络〔即van〕上实现的,但目前互联网作为一个费用更低,服务更好的系统,正在逐渐成为edi的另一种更为合适的硬件载体。
第五章网络攻击、检测与防范技术
一、网络攻击技术
1.网络攻击的定义
任何以干扰、破换网络系统为目的的非授权行为都称之为网络攻击。
法律上对自己网络攻击的定义有两种观点:
第一种是指攻击仅仅发身个在入侵行为完全完成,并且入侵者已在目标网络内;另一种观点是指可能使一个网络受到破坏的所有行为,即从一个入侵者开始在目标机傻瓜内的那个时期起,攻击就开始进行了。
入侵者对网络发起攻击点是多种多样的,可以发生在家、办公室或车上。
2.常见的网络安全问题
〔1〕病毒
〔2〕内部威胁和无意破坏
〔3〕系统的漏洞和陷门
〔4〕网上的蓄意破坏
〔5〕侵犯隐私或机密资料
〔6〕拒绝服务
3.网络攻击的手段
〔1〕服务器拒绝攻击
〔2〕利用型攻击
通过密码猜测和特洛伊木马来对网络进行攻击。
〔3〕信息收集型攻击
网络攻击者经常在正式攻击之前,进行试探性的攻击,目标是获取系统有用的信息。
利用扫描技术扫描断口,反向映射,慢速扫描,体系结构探测。
利用信息服务包括dns域转换,finger服务,ldap服务。
〔4〕假消息攻击
假消息攻击包括dns调整缓存污染和伪造电子邮件。
〔5〕逃避检测攻击
黑客已经进入有组织有计划地进行网络攻击的阶段,黑客组织已经发展出不少逃避检测的技巧。
但是,攻击检测系统的研究方向之一就是要逃避企图加以克服。
4.常用的网络攻击工具
〔1〕dos攻击工具
〔2〕木马程序
5.网络攻击使用的操作系统
〔1〕unix
〔2〕windows
〔1〕攻击的准备阶段
攻击者的来源有两种,一种是内部人员利用工作时机和权限来获取非合法的全县而进行攻击。
另一种是外部人员入侵,包括远程入侵及网络结点介入入侵等。
包括确定攻击的目的和信息收集。
〔2〕攻击的实施阶段
攻击者首先获得权限然后使自己的权限扩大。