自考网络安全保过的复习资料.docx

1、自考网络安全保过的复习资料自考计算机网络安全复习资料(第一章绪论)第一章绪论1.1.1、计算机网络面临的主要威胁：计算机网络实体面临威胁（实体为网络中的关键设备）计算机网络系统面临威胁（典型安全威胁）恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）计算机网络威胁的潜在对手和动机（恶意攻击/非恶意）2、典型的网络安全威胁：窃听重传伪造篡改非授权访问拒绝服务攻击行为否认旁路控制电磁/射频截获人员疏忽1.2.1计算机网络的不安全主要因素：（1）偶发因素：如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。（2）自然灾害：各种自然灾害对计算机系统构成严重的威胁。（3）人为因素

2、：人为因素对计算机网络的破坏也称为人对计算机网络的攻击。可分为几个方面：被动攻击主动攻击邻近攻击内部人员攻击分发攻击1.2.2不安全的主要原因：互联网具有不安全性操作系统存在的安全问题数据的安全问题传输线路安全问题网络安全管理的问题1.3计算机网络安全的基本概念：计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。1.3.1计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。网络的安全问题包括两方面内容：一是网络的系统安全；二是网络的信息安全（最

3、终目的）。1.3.2计算机网络安全的目标：保密性完整性可用性不可否认性可控性1.3.3计算机网络安全的层次：物理安全逻辑安全操作系统安全联网安全1.3.4网络安全包括三个重要部分：先进的技术严格的管理威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型：(P27图) 1.4.2OSI安全体系结构：术语安全服务安全机制五大类安全服务，也称安全防护措施（P29）：鉴别服务数据机密性服务访问控制服务数据完整性服务抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、

4、检测和响应组成了一个完整的、动态的安全循环。PPDR模型通过一些典型的数学公式来表达安全的要求：PtDt+RtEt=Dt+Rt，如果Pt01.4.4网络安全的典型技术：物理安全措施数据传输安全技术内外网隔离技术入侵检测技术访问控制技术审计技术安全性检测技术防病毒技术备份技术终端安全技术1.6.1 网络安全威胁的发展趋势：与Internet更加紧密结合，利用一切可以利用的方式进行传播；所有病毒都有混合型特征，破坏性大大增强；扩散极快，更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式；无线网络技术的发展，使远程网络攻击的可能性加大；各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情况和窃

5、取资料；各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁；各种攻击技术的隐秘性增强，常规防范手段难以识别；分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性；一些政府部门的超级计算机资源将成为攻击者利用的跳板；11）网络管理安全问题日益突出。1.6.2网络安全主要实用技术的发展物理隔离逻辑隔离防御来自网络的攻击防御网络上的病毒身份认证加密通信和虚拟专用网入侵检测和主动防卫网管、审计和取证课后题：2、分析计算机网络的脆弱性和安全缺陷3、分析计算机网络的安全需求（P24）4、计算机网络安全的内涵和外延是什么？（P24）内涵：计算机网络安全是指利用管理控制和技术措施，保证在

6、一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。外延：从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义随着“角度”的变化而变化。5、论述OSI安全体系结构（P28） OSI安全体系结构中定义了鉴别、访问控制、数据机密性、数据完整性和抗抵赖五种网络安全服务，以及加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制八种基本的安全机制。6、简述PPDR安全模型的结构（P30）7、简述计算机网络安全技术及其应用（P32）8、简述网络安全管理意义和主要内容

7、（P34）自考计算机网络安全复习资料(第二章 物理安全)第二章 物理安全2.1物理安全主要包括：机房环境安全通信线路安全设备安全电源安全2.1.1机房的安全等级分为三个基本类别：A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。2.1.1机房安全要求（P42）和措施：机房的场地，选址避免靠近公共区域，避免窗户直接邻街，机房布局应使工作区在内，生活辅助区在外；机房不要在底层或顶层。措施：保证所有进出计算机机房的人都必须在管理人员的监控之下，外来人

8、员进入机房，要办理相关手续，并检查随身物品。 机房的防盗要求，对重要的设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明了一种通过光纤电缆保护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统是一种更为可靠的防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。机房的三度要求（温度（18-22度）、湿度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5m）为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。防静电措施：装修材料避免使用挂毯、地毯等易吸尘，易产生静电的材料，应采用乙烯材料，安装防静

9、电地板并将设备接地。 接地与防雷要求：1.地线种类：A保护地B直流地C屏蔽地D静电地E雷击地2.接地系统：A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D 直流地、保护地共用地线系统E建筑物内共地系统3、接地体：A地桩B水平栅网C金属接地板D建筑物基础钢筋4.防雷措施，使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地线，机房本身有避雷设备和装置。机房的防火、防水措施：为避免火灾、水灾，应采取的措施为：隔离、火灾报警系统、灭火设施（灭火器，灭火工具及辅助设备）、管理措施2.3.1 硬件设备的使用管理：要根据硬件设备的具体配置情况，制定切实可靠的硬件设备的操作使用规程，并严格

10、按操作规程进行操作；建立设备使用情况日志，并严格登记使用过程的情况；建立硬件设备故障情况登记表，详细记录故障性质和修复情况；坚持对设备进行例行维护和保养，并指定专人负责。2.3.2电磁辐射防护的措施：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有屏蔽滤波隔离接地，其中屏蔽是应用最多的方法。2.4.电源对电设备安全的潜在威胁：脉动与噪声电磁干扰2.4供电要求（P53），供电方式分为三类：一类供电：需建立不间断供电系统二

11、类供电：需建立带备用的供电系统三类供电：按一般用户供电考虑。课后题：1、简述物理安全在计算机网络信息系统安全中的意义。2、物理安全主要包含哪些方面的内容？（2.1）3、计算机机房安全等级的划分标准是什么？（2.1.1）4、计算机机房安全技术主要包含哪些方面的内容？（2.1.1）5、保障通信线路安全技术的主要技术措施有哪些？ 电缆加压技术对光纤等通信线路的防窃听技术（距离大于最大长度限制的系统之间，不采用光纤线通信；加强复制器的安全，如用加压电缆、警报系统和加强警卫等措施）6、电磁辐射对网络通信安全的影响主要体现在哪些方面，防护措施有哪些？影响主要体现在：计算机系统可能会通过电磁辐射使信息被截获

12、而失密，计算机系统中数据信息在空间中扩散。防护措施：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有屏蔽滤波隔离接地，其中屏蔽是应用最多的方法。电磁防护层主要是通过上述种种措施，提高计算机的电磁兼容性，提高设备的抗干扰能力，使计算机能抵抗强电磁干扰，同时将计算机的电磁泄漏发射降到最低，使之不致将有用的信息泄漏出去。7、保障信息存储安全的主要措施有哪些？（52）存放数据的盘，应妥善保管；对硬盘上的数据，要建立有效的级别、

13、权限，并严格管理，必要时加密，以确保数据的安全；存放数据的盘，管理须落实到人，并登记；对存放重要数据的盘，要备份两份并分两处保管；打印有业务数据的打印纸，要视同档案进行管理；凡超过数据保存期的，须经过特殊的数据清除处理；凡不能正常记录数据的盘，需经测试确认后由专人进行销毁，并做好登记；对需要长期保存的有效数据，应质量保证期内进行转存，并保证转存内容正确。8、简述各类计算机机房对电源系统的要求。（53）电源系统安全应该注意电源电流或电压的波动可能会对计算机网络系统造成的危害。、类安全机房要求，C类安全机房要求。自考计算机网络安全复习资料(第三章 信息加密与PKI)第三章 信息加密与PKI信息加密

14、技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。3.1.1密码学的发展历程大致经历了三个阶段：古代加密方法、古典密码和近代密码。3.1.2密码学的基本概念：密码学作为数学的一个分支，是研究信息系统安全保密的科学，是密码编码学和密码分析学的统称。在密码学中，有一个五元组：明文，密文，密钥，加密算法，解密算法，对应的加密方案称为密码体制。明文（Plaintext）：是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集称为明文空间，通常用M或P来表示。密文（Ciphertext）:是明文经加密变换后的结果

15、，即消息被加密处理后的形式，通常用c表示。所有可能密文的有限集称为密文空间，通常用C表示。密钥（Key）：是参与密码变换的参数，通常用K表示。一切可能的密钥构成的有限集称为密钥空间，通常用K表示。加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示，即c=Ek（p）解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D表示，即p=Dk（c）对于有实用意义的密码体制而言，总是要求它满足： p=Dk（Ek（p），即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。3.1.3加密体制的分类：从原理上可分为两大类：即单钥或

16、对称密码体制和双钥或非对称密码体制单钥密码体制与双钥密码体制的区别：单钥密码体制的本质特征是所用的加密密钥和解密密钥相同，或实质上等同，从一个可以推出另一个。单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。按照加密模式的差异，单钥密码体制有序列密码和分组密码两种方式，它不仅可用于数据加密，还可用于消息认证。单钥密码的优点是：安全保密度高，加密解密速度快。缺点是：1）密钥分发过程十分复杂，所花代价高；2）多人通信时密钥组合的数量会出现爆炸性膨胀，使分发更加复

17、杂化；3）通信双方必须统一密钥，才能发送保密的信息；4）数字签名困难。双钥密码体制的原理是，加密密钥与解密密钥不同，而且从一个难以推出另一个。两个密钥形成一个密钥对，其中一个密钥加密的结果，可以用另一个密钥来解密。双钥密码是：1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。优点：由于双钥密码体制的加密和解密不同，可以公开加密密钥，且仅需保密解密密钥，所以密钥管理问题比较简单。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密码体制。双钥密码的缺点是：双钥密码算法一般比较复杂，

18、加解密速度慢。3.2加密算法就其发展而言，共经历了古典密码、对称密钥密码（单钥密码体制）和公开密钥密码（双钥密码体制）三个发展阶段。3.2.1古典密码算法（P64）：简单代替密码或单字母密码多名或同音代替多表代替多字母或多码代替。现代密码按照使用密钥方式不同，分为单钥密码体制和双钥密码体制两类。3.2.2DES、IDEA、RSA加密算法的基本原理；（P66）3.3常见的网络数据加密方式有：链路加密、节点加密和端到端加密。3.4.1认证技术的分层模型（P77图）认证技术可以分为三个层次：安全管理协议、认证体制和密码体制。认证的三个目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；

19、二是身份认证，即验证消息的收发者是否持有正确的身份认证符；三是消息的序号和操作时间等的认证，其目的是防止消息重放或延迟等攻击。3.4.2认证体制应满足的条件（要求）：意定的接收者能够检验和证实消息的合法性、真实性和完整性；消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息；除了合法的消息发送者外，其他人不能伪造发送消息。3.4.3 手写签名与数字签名的区别：一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异；二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模

20、仿者几乎无法模仿出数字签名。3.4.6 数字签名与消息认证的区别：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证。3.5.1PKI的基本概念：PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。特点：节省费用互操作性开放性一致的解决方案可验证性

21、可选择性3.5.2PKI认证技术的组成：主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA证书库证书撤销密钥备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件3.6 PGP和GnuPG是两个常用的公钥加密软件，PGP软件由于采用了专利算法受到美国政府的软件出口限制，GnuPG作为PGP的代替软件，属于开源免费软件，可以自由使用。课后题：1、简述信息加密技术对于保障信息安全的重要作用。2、简述加密技术的基本原理，并指出有哪些常用的加密体制及其代表算法。 信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为基础，信息

22、论和复杂性理论是其两个重要组成部分。加密体制的分类：从原理上可分为两大类：即单钥或对称密码体制（代表算法：DES算法，IDEA算法）和双钥或非对称密码体制（代表算法：RSA算示，ElGamal算法）。3、试分析古典密码对于构造现代密码有哪些启示？（P64）4、选择凯撒（Caesar）密码系统的密钥k=6。若明文为caesar，密文是什么。密文应为：igkygx5、DES加密过程有几个基本步骤？试分析其安全性能。 加密过程可表示为：DES(m)IP-1?T16?T15T2?T1?IP(m)DES：输入64bit明文数据初始置换IP乘积变换（在密钥控制下16次迭代）逆初始置换IP-164bit密文

23、数据 RSA算法的安全性建立在数论中的“大数分解和素数检测”的理论基础上。6、在本章RSA例子的基础上，试给出m=student的加解密过程。（P72）7、RSA签名方法与RSA加密方法对密钥的使用有什么不同？（P74）RSA加密方法是在多个密钥中选用一部分密钥作为加密密钥，另一些作为解密密钥。RSA签名方法：如有k1/k2/k3三个密钥，可将k1作为A的签名私密钥，k2作为B的签名私密钥，k3作为公开的验证签名用密钥，实现这种多签名体制，需要一个可信赖中心对A和B分配秘密签名密钥。8、试简述解决网络数据加密的三种方式。（P75）常见的网络数据加密方式有：链路加密：对网络中两个相邻节点之间传输

24、的数据进行加密保护。节点加密：指在信息传输路过的节点处进行解密和加密。端到端加密：指对一对用户之间的数据连续的提供保护。9、认证的目的是什么，试简述其相互间的区别。（P77）认证的三个目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符；三是消息的序号和操作时间等的认证，其目的是防止消息重放或延迟等攻击。10、什么是PKI？其用途有哪些？（P83）PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和

25、数字签名等密码服务所需要的密钥和证书管理。11、简述PKI的功能模块组成。主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA证书库证书撤销密钥备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件12、通过学习，你认为密码技术在网络安全实践中还有哪些应用领域？举例说明。（P76）自考计算机网络安全复习资料(第四章防火墙技术)4.1.1防火墙的基本概念：是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。4.1.2防火墙的主要功能：过滤进、出网

26、络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警4.1.3防火墙的局限性：网络的安全性通常是以网络服务的开放性和灵活性为代价防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。4.2防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。（图见P106）4.3防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有骗子滤技术、代理服务技术、状态检测技术和NAT技术等。4.3.1 骗子滤技术的工作原理（P110）：工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。骗子滤技

27、术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。4.3.1骗子滤技术的缺陷：不能彻底防止地址欺骗无法执行某些安全策略安全性较差一些应用协议不适合于数据骗子滤管理功能弱4.3.2代理服务技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。4.3.2 代理服务技术的工作原理（P116）：所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，

28、将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。4.3.2代理技术的优点：代理易于配置代理能生成各项记录代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理能为用户提供透明的加密机制代理可以方便地与其它安全手段集成。4.3.2代理技术的缺点：代理速度较路由器慢代理对用户不透明对每项服务代理可能要求不同的服务器代理服务不能保证免受所有协议弱点的限制代理不能改进底层协议的安全性。4.3.3

29、 状态检测技术的工作原理（P119）：也称为动态骗子滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性，检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。4.3.3状态检测技术的特点：高安全性高效性可伸缩性和易扩展性应用范围广4.3.4NAT 技术的工作原理（P121）：网络地址转换，是一个internet工程任务组的标准，允许一个整体机构以一个公用IP地址出

30、现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT有三种类型：静态NAT、动态NAT和网络地址端口转换NAPT。4.6.2个人防火墙的主要功能：IP数据骗子滤功能安全规则的修订功能对特定网络攻击数据包的拦截功能应用程序网络访问控制功能网络快速切断、恢复功能日志记录功能网络攻击的报警功能产品自身安全功能4.6.3 个人防火墙的特点：优点：增加了保护级别，不需要额外的硬件资源；除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；是对公共网络中的单位系统提供了保护，能够为用户陷隐蔽暴露在网络上的信息，比如IP地址之类的信息等。缺点：对公共网络只有一个物理接口，导致个人防火墙本

31、身容易受到威胁；在运行时需要战胜个人计算机的内存、CPU时间等资源；只能对单机提供保护，不能保护网络系统。4.7防火墙的发展趋势（P142）：优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客发展联动技术课后题：1、简述防火墙的定义。（P103）2、防火墙的主要功能。（P135）3、防火墙的体系结构有哪几种？简述各自的特点。（P106）防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络往另一个网络发送数据包。双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障的，而被屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全保护的主机仅仅与被保护的内部网络相连.屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。4、简述骗子滤防火墙的工作机制和骗子滤模型。（P110，P111图）