计算机网络安全04751超强笔记.docx

1、计算机网络安全04751超强笔记计算机网络安全04751超强笔记4751计算机网络安全第1章 结论一、识记1、计算机网络系统面临的典型安全威胁答：窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。2、计算机网络安全的定义答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。3、计算机网络安全的目标答：保密性；完整性；可用性；不可否认性；可控性。4、P2DR模型的结构答：PPDR模型是一种常用的网络安全模型，包含四个主要部分：Policy（安全策略）、Protection（防护）、Detect

2、ion（检测）和Response（响应）。5、网络安全的主要技术答：物理安全措施；数据传输安全技术；内外网隔离技术；入侵检测技术；访问控制技术；审计技术；安全性检测技术；防病毒技术；备份技术。二、领会1、OSI安全体系结构P.28答：OSI安全体系结构不是能实现的标准，而是关于如何设计标准的标准。（1）安全服务。OSI安全体系结构中定义了五大类安全服务，也称为安全防护措施。鉴别服务；访问控制服务；数据机密性服务；数据完整性服务；抗抵赖性服务。（2）安全机制。其基本的机制有：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制。2、计算机网络

3、安全管理的主要内容P.26答：网络安全体系结构；网络攻击手段与防范措施；网络安全设计；网络安全标准、安全评测及认证；网络安全检测技术；网络安全设备；网络安全管理，安全审计；网络犯罪侦查；网络安全理论与政策；网络安全教育；网络安全法律。概括起来，网络安全包括以下三个重要部分：先进的技术；严格的管理；威严的法律。3、网络安全威胁的发展趋势P.35答：网络安全威胁的发展趋势（1）与Internet更加紧密地结合，利用一切可以利用的方式进行传播。（2）所有的病毒都具有混合型特征，集文件传染、蠕虫、木马和黑客程序的特点于一身，破坏性大大增强。（3）其扩散极快，而更加注重欺骗性。（4）利用系统漏洞将成为病

4、毒有力的传播方式。（5）无线网络技术的发展，使远程网络攻击的可能性加大。略。典型的安全管理协议有公用管理信息协议（CMIP）、简单网络管理协议（SNMP）和分布式安全管理协议（DSM）。认证体制。在安全管理协议的控制和密码体制的支持下，完成各种认证功能。典型的认证体制有Kerberos体制、X.509体制和Light Kryptonight体制。密码体制。是认证技术的基础，它为认证体制提供数学方法支持。典型的密码体制有DES体制、RSA体制。4、常用的数据加密方式P.75答：链路加密；节点加密；端到端加密。5、认证体制应满足的条件P.77答：一个安全的认证体制应该至少满足以下要求意定的接收者能

5、够检验和证实消息的合法性、真实性和完整性。消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息。除了合法的消息发送者外，其他人不能伪造发送消息。6、PKI的基本概念和特点P.83答：PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。特点：透明性、一致性。附：1、密码学的发展经历了三个阶段：古代加密方法、古典密码和近代密码。2、身份认证常用的方式主要有两种：通行字（口令）方式和持证方式。P.79二、领会1、单钥密码体制与双钥密码体制的区别P.61答：单钥密码体制的加密密钥和解密密钥相同，从一个可以推出另外一个

6、；双钥密码体制的原理是加密密钥与解密密钥不同，从一个难以推出另一个。单钥密码体制基于代替和换位方法；双钥密码算法基于数学问题求解的困难性。单钥密码体制是对称密码体制；双钥密码体制是非对称密码体制。2、DES、IDEA、RSA加密算法的基本原理答：DES即数据加密标准（Date Encryption Standard）于1977年由美国国家标准局公布，是IBM公司研制的一种对二元数据进行加密的分组密码，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展。密钥长度为64bit，其中有效密钥长度56bit，其余8bit为奇偶校验。DES的整个体制是公开的，系统的安全性主要依赖于密钥的

7、保密，其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP-1及16个子密钥产生器构成。P.66IDEA是International Data Encryption Algorithm的缩写，即国际数据加密算法。它是根据中国学者朱学嘉博士与著名密码学家James Massey于1990年联合提出的建议标准算法PES改进而来的。它的明文与密文块都是64bit，密钥长度为128bit，作为单钥体制的密码，其加密与解密过程雷同，只是密钥存在差异，IDEA无论是采用软件还是硬件实现都比较容易，而且加解密的速度很快。P.69RSA体制是由R.L.Rivest和L.Adleman设计的用数论构造

8、双钥的方法，它既可用于加密，也可用于数字签名。RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。P.723、认证的三个目的P.77答：认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术，其目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，其目的是防止消息重放或延迟等攻击。4、手写签名与数字签名的区别P.78答：手写签名与数字签名的主要区别在于：一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异；二

9、是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。5、数字签名与消息认证的区别P.82答：数字签名与消息认证的区别是：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对于防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证。6、PKI认证技术的组成P.84答：公钥基础设施（Public Key Infrastructure，PKI），主要包括CA认证机构。CA作为数字证

10、书签发机构，是PKI的核心，是PKI应用中权威的、可信任的，公正的第三方机构。证书库。是CA颁发证书和撤销证书的集中存放在，是网上的一种公共信息库，供广大用户进行开往式查询。证书撤销。密钥备份和恢复。自动更新密钥。密钥历史档案。交叉认证。不可否认性。时间戳。客户端软件。三、应用将给定的明文按照给定的古典或单钥密码算法变换成密文P.64答：教材中例子P.64凯撒（Caesar）密码是对英文26个字母进行移位代替的密码，其q=26。这种密码之所以称为凯撒密码，是因为凯撒使用过K3(表示密文为该字母后第3个字母)的这种密码。使用凯撒密码，若明文为MCasesar cipher is a shift

11、substitution则密文为CFdvhvdu flskhu lv d vkliw vxevwlwxwlrq教材中课后习题P.99第4题：选择凯撒（Caesar）密码系统的密钥K6。若明文为Caesar，密文是什么。答：密文为Igkygx第4章 防火墙技术一、识记1、防火墙的基本概念P.103答：防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。2、防火墙的体系结构类型P.106答：防火墙的体系结构一般有以下几种双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。3、个人防火墙的特

12、点答：个人防火墙的优点：增加了保护级别，不需要额外的硬件资源。个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如IP地址之类的信息等。个人防火墙的缺点：个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。个人防火墙在运行时需要战用个人计算机的内存、CPU时间等资源。个人防火墙只能对单机提供保护，不能保护网络系统。4、防火墙的发展趋势答：优良的性能；可扩展的结构和功能；简化的安装与管理；主动过滤；防病毒与防黑客；发展联动技术。二、领会1、防火墙的主要功能P.104答：无论何种类型的防火墙

13、都应具备五大基本功能：（1）过滤进、出网络的数据（2）管理进、出网络的访问行为（3）封堵某些禁止的业务（4）记录通过防火墙的信息内容和活动（5）对网络攻击检测和告警2、防火墙的局限性P.105答：主要体现在以下几个方面（1）网络的安全性通常是以网络服务的开放性和灵活性为代价防火墙通常会使网络系统的部分功能被削弱。由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。（2）防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失只能防

14、范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；不能解决来自内部网络的攻击和安全问题；不能防止受病毒感染的文件的传输；不能防止策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。3、各类防火墙的特点4、数据包过滤技术的工作原理P.110答：包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。数据包过滤技术是在网络

15、层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，这通常安装在路由器上。数据包过滤防火墙的缺点有两个：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。5、代理服务技术的工作原理P.116答：代理服务器（Proxy）技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用