整理網(wǎng)絡(luò)安全技術(shù)期末考試

1、精品文檔精品文檔期末考試復(fù)習(xí)1 考試形式：閉卷2、考試時(shí)間：2 小時(shí)3、 試卷題型及分?jǐn)?shù)分配： 6 種題型，共 100 分。（1） 單項(xiàng)選擇題：1 分/題 X20 題=20 分；（2）填空題：1 分/空 X10 空=10 分；（3）判斷題：1 分/題 X10 題=10 分；（4）名詞解釋：5 分/題 X4 題=20 分；（5）簡答題：8 分/題 X3 題=24 分；（6）論述題：16 分/題 X1 題=16 分。4、考試范圍第一章：網(wǎng)絡(luò)技術(shù)基礎(chǔ)（1）計(jì)算機(jī)網(wǎng)絡(luò)的分類計(jì)算機(jī)網(wǎng)絡(luò)可分為局域網(wǎng)、廣域網(wǎng)和城域網(wǎng)。局域網(wǎng)：局域網(wǎng)（Local Area Network，簡稱 LAN）是將較小地理區(qū)域內(nèi)的計(jì)

2、算機(jī)或數(shù)據(jù)終 端設(shè)備連接在一起的通信網(wǎng)絡(luò)。局域網(wǎng)覆蓋的地理范圍比較小，它常用于組建一個(gè)企業(yè)、校園、樓宇和辦公室內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)。 廣域網(wǎng)：廣域網(wǎng)（Wide Area Network ，簡稱 WAN）是在一個(gè)廣闊的地理區(qū)域內(nèi)進(jìn)行數(shù)據(jù)、 語音、圖像等信息傳輸?shù)耐ㄐ啪W(wǎng)絡(luò)。廣域網(wǎng)覆蓋的地理區(qū)域較大，它可以覆蓋一個(gè)城市、一個(gè)國家、一個(gè)洲乃至整個(gè)地球。廣域網(wǎng)覆蓋的范圍比局域網(wǎng)（LAN ）和城域網(wǎng)（MAN ）都廣。廣域網(wǎng)的通信子網(wǎng)主要使用 分組交換技術(shù)。廣域網(wǎng)的通信子網(wǎng)可以利用公用分組交換網(wǎng)、衛(wèi)星通信網(wǎng)和無線分組交換網(wǎng)，它將分布在不同地區(qū)的局域網(wǎng)或計(jì)算機(jī)系統(tǒng)互連起來，達(dá)到資源共享的目的。 如互聯(lián)網(wǎng)是世界范圍內(nèi)

3、最大的廣域網(wǎng)。城域網(wǎng)：城域網(wǎng)（Metropolitan Area Network ，簡稱 MAN）是介于局域網(wǎng)和廣域網(wǎng)之間的一種 高速網(wǎng)絡(luò)，它的覆蓋范圍在一個(gè)城市內(nèi)。屬寬帶局域網(wǎng)。由于采用具有有源交換元件的局域 網(wǎng)技術(shù)，網(wǎng)中傳輸時(shí)延較小，它的傳輸媒介主要采用光纜，傳輸速率在100 兆比特/秒以上。（2）DNS 服務(wù)器的概念DNS 服務(wù)器是計(jì)算機(jī) 域名系統(tǒng)（Domain Name System 或 Domain Name Service）的縮 寫，它是由解析器和 域名服務(wù)器 組成的。域名服務(wù)器 是指保存有該網(wǎng)絡(luò)中所有 主機(jī)的域名和 對應(yīng) IP 地址，并具有將域名轉(zhuǎn)換為 IP 地址功能的服務(wù)器。其

4、中域名必須對應(yīng)一個(gè)IP 地址，而 IP 地址不一定有域名。 域名系統(tǒng) 采用類似目錄樹的等級結(jié)構(gòu)。 域名服務(wù)器 為客戶機(jī)/服務(wù) 器模式中的服務(wù)器方，它主要有兩種形式：主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為 IP 地址的過程就稱為域名解析”。（3）TCP/IP 協(xié)議的概念及各層的功能。TCP/IP 協(xié)議TCP/IP 是 Transmission Control Protocol/Internet Protocol （傳輸控制協(xié)議 /互聯(lián)網(wǎng)協(xié)議）的縮 寫。美國國防部高級研究計(jì)劃局DARPA 為了實(shí)現(xiàn)異種網(wǎng)絡(luò)之間的互連與互通，大力資助互聯(lián)網(wǎng)技術(shù)的開發(fā)， 于 1977 年到 1979 年間推出目前形式的 T

5、CP/IP 體系結(jié)構(gòu)和協(xié)議。 在 1980 年左右， ARPA開始將 ARPANET 上的所有機(jī)器轉(zhuǎn)向 TCP/IP 協(xié)議，并以 ARPANET 為主干 建立了 Internet。TCP/IP 也是一個(gè)分層的網(wǎng)絡(luò)協(xié)議，不過它與OSI 模型所分的層次有所不同。TCP/IP 從底至頂分為網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等4 個(gè)層次。網(wǎng)絡(luò)接口層：這是 TCP/IP 協(xié)議的最低一層，包括有多種邏輯鏈路控制和媒體訪問協(xié)議。精品文檔精品文檔網(wǎng)絡(luò)接口層的功能是接收 IP 數(shù)據(jù)報(bào)并通過特定的網(wǎng)絡(luò)進(jìn)行傳輸，或從網(wǎng)絡(luò)上接收物理幀， 抽取出 IP 數(shù)據(jù)報(bào)并轉(zhuǎn)交給網(wǎng)際層。網(wǎng)絡(luò)層 （IP 層） ： 該層包括以下協(xié)議：

6、 IP（ /Internet Protocol， 網(wǎng)際協(xié)議） 、 ICMP（Internet Control MessageProtocol ， 因特網(wǎng)控制報(bào)文協(xié)議）、ARP（Address Resolution Protocol ， 地址 解析協(xié)議） 、RARP（ ReverseAddress Resolution Protocol ，反向地址解析協(xié)議） 。該層負(fù)責(zé)相 同或不同網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信，主要處理數(shù)據(jù)報(bào)和路由。在IP 層中，ARP 協(xié)議用于將IP 地址轉(zhuǎn)換成物理地址， RARP 協(xié)議用于將物理地址轉(zhuǎn)換成 IP 地址， ICMP 協(xié)議用于報(bào)告 差錯(cuò)和傳送控制信息。 IP 協(xié)議在 T

7、CP/IP 協(xié)議組中處于核心地位。傳輸層：該層提供 TCP （傳輸控制協(xié)議）和 UDP（ User Datagram Protocol，用戶數(shù)據(jù)報(bào) 協(xié)議） 兩個(gè)協(xié)議，它們都建立在 IP 協(xié)議（網(wǎng)絡(luò)協(xié)議 ） 的基礎(chǔ)上， 其中 TCP 提供可靠的面向連 接服務(wù)， UDP 提供簡單的無連接服務(wù)。傳輸層提供端到端，即應(yīng)用程序之間的通信，主要 功能是數(shù)據(jù)格式化、數(shù)據(jù)確認(rèn)和丟失重傳等。應(yīng)用層： TCP/IP 協(xié)議的應(yīng)用層相當(dāng)于 OSI 模型的會(huì)話層、表示層和應(yīng)用層，它向用戶提 供一組常用的應(yīng)用層協(xié)議，其中包括：Telnet （遠(yuǎn)程登錄）、SMTP （簡單郵件傳輸協(xié)議）、DNS （域名系統(tǒng)）等。此外，在應(yīng)用

8、層中還包含有用戶應(yīng)用程序，它們均是建立在TCP/IP協(xié)議組之上的專用程序。第二章：網(wǎng)絡(luò)安全概述（ 1）網(wǎng)絡(luò)安全的定義，會(huì)從用戶和運(yùn)營商（管理者）的角度解釋什么是網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)安全從其本質(zhì)來講就是網(wǎng)絡(luò)上的信息安全。 他涉及的領(lǐng)域相當(dāng)廣泛。 這是因?yàn)槟壳暗墓?用通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。 從廣義來說， 凡是涉及到網(wǎng)絡(luò)上信息的保 密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)， 不受偶然的或者惡意的原 因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 從用戶的角度來說，他們希望涉及

9、到個(gè)人隱私和商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密 性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段對用戶 的利益和隱私造成損害和侵犯。 同時(shí)他們希望當(dāng)用戶的信息保存在某個(gè)計(jì)算機(jī)系統(tǒng)上時(shí)，不受其他非法用戶的非授權(quán)訪問和破壞。從網(wǎng)絡(luò)運(yùn)營商和管理者的角度來說， 他們希望對本地網(wǎng)絡(luò)信息的訪問、 讀寫等操作受到保護(hù) 和控制，避免出現(xiàn)“陷門” 、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源的非法占用和非法控制 等威脅，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。因此，人們在不同的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用中對網(wǎng)絡(luò)安全的理解是不同的。（ 2）網(wǎng)絡(luò)安全有哪些安全屬性，各個(gè)安全屬性是如何定義的。網(wǎng)絡(luò)安全的屬性機(jī)密性：

10、 機(jī)密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上有不同的機(jī)密性及相應(yīng)的防范措施。在物理層， 要保證系統(tǒng)實(shí)體不以電磁的方式 （電磁輻射、電磁泄漏 ）向外泄漏信息，主要的防范措施是電磁屏蔽技術(shù)、加密 干擾技術(shù)等。 在運(yùn)行層面， 要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)， 使系統(tǒng)任何時(shí)候不被非授權(quán)人所 使用，對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等采取漏洞掃描、隔離、 防火墻、訪問控制、入侵檢測、審計(jì)取證等防范措施。這類屬性有時(shí)也稱為可控性。在數(shù)據(jù)處理、傳輸層面，要保證數(shù)據(jù)在傳輸、存儲(chǔ)過程中不被非法獲取、解析，主要防范措 施是數(shù)據(jù)加密技術(shù)。完整性

11、： 完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡 改，主要防范措施是校驗(yàn)與認(rèn)證技術(shù)。 在運(yùn)行層面，要保證數(shù)據(jù)在傳輸、存儲(chǔ)等過程中不被非法修改，防范措施是對數(shù)精品文檔精品文檔據(jù)的截獲、 篡改與再送采取完整性標(biāo)識(shí)的生成與檢驗(yàn)技術(shù)。 要保證數(shù)據(jù)的發(fā)送源頭不被偽造， 對冒充信 息發(fā)布者的身份、 虛假信息發(fā)布來源采取身份認(rèn)證技術(shù)、 路由認(rèn)證技術(shù)， 這類屬性也可稱為 真實(shí)性?？捎眯裕?可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用， 主要防范措施是確保信息 與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下。在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常運(yùn)行，主要防范措施是對電磁炸彈、 信號

12、插入采取抗干擾技術(shù)、 加固技術(shù)等。 在運(yùn)行層面， 要保證系統(tǒng)時(shí)刻能為授權(quán)人提供服務(wù)， 對網(wǎng)絡(luò)被阻塞、 系統(tǒng)資源超負(fù)荷消耗、 病毒、 黑客等導(dǎo)致系統(tǒng)崩潰或死機(jī)等情況采取過載保 護(hù)、防范拒絕服務(wù)攻擊、生存技術(shù)等防范措施。保證系統(tǒng)的可用性， 使得發(fā)布者無法否認(rèn)所發(fā)布的信息內(nèi)容， 接收者無法否認(rèn)所接收的信息 內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名防范措施，這類屬性也稱為抗否認(rèn)性。從上面的分析可以看出，維護(hù)信息載體的安全與維護(hù)信息自身的安全兩個(gè)方面都含有機(jī)密 性、完整性、可用性這些重要屬性。（ 3） GB17859 把計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分的5 個(gè)等級。我國的 GB17859 中，去掉了這兩個(gè)級別，對其

13、他 5 個(gè)級別也賦予了新意。 C1 、 C2、 B1、 B2、B3 4、考試范圍第三章：主機(jī)網(wǎng)絡(luò)安全及訪問控制安全 （1）主機(jī)網(wǎng)絡(luò)安全的概念。計(jì)算機(jī)安全分為兩部分， 一個(gè)是主機(jī)安全， 一個(gè)是網(wǎng)絡(luò)安全。 主機(jī)安全主要是考慮保護(hù)合法 用戶對于授權(quán)資源的使用， 防止非法入侵者對于系統(tǒng)資源的侵占與破壞。 其最常用的辦法是 利用操作系統(tǒng)的功能，如 Unix 的用戶認(rèn)證、文件訪問權(quán)限控制、帳號審計(jì)等。網(wǎng)絡(luò)安全主 要考慮的是網(wǎng)絡(luò)上主機(jī)之間的訪問控制，防止來自外部網(wǎng)絡(luò)的入侵， 保護(hù)數(shù)據(jù)在網(wǎng)上傳輸時(shí) 不被泄密和修改。其最常用的方法是防火墻、加密等。主機(jī)網(wǎng)絡(luò)安全技術(shù)是一種主動(dòng)防御的安全技術(shù)， 它結(jié)合網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)

14、特性和操作系統(tǒng)特性 來設(shè)置安全策略， 可以根據(jù)網(wǎng)絡(luò)訪問的訪問者及訪問發(fā)生的時(shí)間、 地點(diǎn)和行為來決定是否允 許訪問繼續(xù)進(jìn)行， 實(shí)現(xiàn)對于同一用戶在不同的場所擁有不同的權(quán)限， 從而保證合法用戶的權(quán) 限不被非法侵占。（ 2）訪問控制的兩種類型。 （系統(tǒng)、網(wǎng)絡(luò)） 入侵檢測系統(tǒng)通常分為基于主機(jī)和基于網(wǎng)絡(luò)兩類。 基于主機(jī)入侵檢測的主要特征是使用主機(jī)傳感器監(jiān)控本系統(tǒng)的信息。 這種技術(shù)可以用于分布 式、加密、 交換的環(huán)境中監(jiān)控， 把特定的問題同特定的用戶聯(lián)系起來。 它能夠?qū)崟r(shí)監(jiān)視可疑 的連接， 檢查系統(tǒng)日志， 監(jiān)視非法訪問和典型應(yīng)用。 它還可針對不同操作系統(tǒng)的特點(diǎn)判斷應(yīng) 用層的入侵事件，對系統(tǒng)屬性、文件屬性、敏

15、感數(shù)據(jù)、攻擊進(jìn)程結(jié)果進(jìn)行監(jiān)控。它能夠精確 地判斷入侵事件， 并對入侵事件迅速做出反應(yīng)， 結(jié)合主機(jī)上的包過濾功能模塊切斷來自可疑 地址的網(wǎng)絡(luò)連接。 基于網(wǎng)絡(luò)的入侵檢測主要特征是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽器收集的信息。 它使用原始的網(wǎng) 絡(luò)包作為數(shù)據(jù)源， 它將網(wǎng)絡(luò)數(shù)據(jù)中檢測主機(jī)的網(wǎng)卡設(shè)為混雜模式， 該主機(jī)實(shí)時(shí)接收和分析網(wǎng) 絡(luò)中流動(dòng)的數(shù)據(jù)包， 從而檢測是否存在入侵行為， 但它不能審查加密數(shù)據(jù)流的內(nèi)容， 對高速精品文檔精品文檔網(wǎng)絡(luò)不是特別有效。(3)掌握基于角色的訪問控制模型，會(huì)畫出 RBAC96 模型圖?；诮巧脑L問控制(Role- Based Access Co ntrol,RBAC)的基本思想就是

16、根據(jù)安全策略劃分 出不同的角色，資源訪問許可被封裝在角色中，用戶被指派到角色，用戶通過角色間接地訪 問資源。b. RBAC 的最大優(yōu)點(diǎn)在于它能夠靈活表達(dá)和實(shí)現(xiàn)組織的安全政策，使管理員從訪問控制底層的具體實(shí)現(xiàn)機(jī)制中脫離出來，十分接近日常的組織管理規(guī)則。 RBAC 被認(rèn)為是一種更普遍適 用的訪問控制模型，可以有效地表達(dá)和鞏固特定事務(wù)的安全策略，有效緩解傳統(tǒng)安全管理處理瓶頸問題。c. 角色與組的差別：角色既是用戶的集合，又是操作許可的集合；組通常是作為用戶的集合，而不是操作許可 的集合。圖1 RBAC96模型第四章：密碼技術(shù)(1) 比較對稱式密碼體制和非對稱密碼體制。對稱密碼技術(shù)就是加密密鑰和解密密

17、鑰相同的這類密碼體制，它采用的解密算法是加密算法的逆運(yùn)算。該體制的特點(diǎn)是在保密通信系統(tǒng)發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方通信所用的秘密密鑰必須妥善保管。對稱密碼技術(shù)的安全性依賴于以下兩個(gè)因素：第一，加密算法必須是足夠強(qiáng)的，僅僅基于密文本身去解密信息在實(shí)踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而角色層次精品文檔精品文檔不是算法的秘密性。因此，沒有必要確保算法的秘密性，而需要的是保證密鑰的秘密性。目前計(jì)算機(jī)網(wǎng)絡(luò)主要采用兩種密碼體制：對稱密鑰體制和非對稱密鑰體制。對稱密鑰體制的加密密鑰和解密密鑰是相同的，只要知道加密密鑰就能推算出解密密鑰，通信雙方分別持有加密密鑰和解密密

18、鑰。在使用對稱密碼技術(shù)進(jìn)行秘密通信時(shí)，任意兩個(gè)不同用戶之間都應(yīng)該使用互不相同的密鑰。如果一個(gè)網(wǎng)絡(luò)中有 n 個(gè)用戶，他們之間可能會(huì)進(jìn)行秘密通信，這時(shí)網(wǎng)絡(luò)中共需 n（n 1）/2 個(gè)密鑰（其中每個(gè)用戶都需要保存 n 1 個(gè)密鑰）這樣巨大的密鑰量給密鑰分 配和密鑰管理都帶來了極大的困難。（2）公鑰密碼體制的概念，會(huì)畫出公鑰密碼技術(shù)示意圖，分析公鑰密碼體制的優(yōu)缺點(diǎn)。采用非對稱密碼技術(shù)的每個(gè)用戶都有一對密鑰：一個(gè)是可以公開的（稱為加密密鑰或公鑰），可以像電話號碼一樣進(jìn)行注冊公布；另一個(gè)則是秘密的（稱 為 秘 密 密 鑰 或 解 密 密 鑰 或 私 鑰 ,它由用戶嚴(yán)格保密保存）。它的主要特點(diǎn)是將加密和解密

19、能力分開，因而可以實(shí)現(xiàn)多個(gè)用戶_ 0-0 _ _加密的信息只能由一個(gè)用戶解讀，Yf茗文.東m-DVWQ1-*用戶前者 可以用于公共網(wǎng)絡(luò)中實(shí)現(xiàn)通信保下圖是公鑰密碼技術(shù)示意圖密，而后者可以用于實(shí)現(xiàn)對用戶的認(rèn)證。對明文m圖4-4公鉗密碼示意圖4、考試范圍第四章：密碼技術(shù)（3）知道對稱密碼體制常用算法（置換、DES、3DES ）、非對稱密碼體制常用算法 （RSA ）。置換法凱撒算法的推廣是移動(dòng) K 位。 單純移動(dòng) K 位的置換算法很容易被破譯，比較好的置換算法是進(jìn)行映像。例如，將 26 個(gè)字母映像到另外 26 個(gè)特定字母中，如下表所示，利用置換發(fā)可將 attack 加密，變換為 QZZQEA。加密算法

20、要達(dá)到的目的（通常稱為DES 密碼算法要求）主要為以下四點(diǎn)：1提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺的修改。2具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過可能獲得的利益，同時(shí)又要便于理解和掌握。3DES 密碼體制的安全性應(yīng)該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎(chǔ)。4實(shí)現(xiàn)經(jīng)濟(jì)，運(yùn)行有效，并且適用于多種完全不同的應(yīng)用。DES 主要采用替換和移位的方法加密。DES 算法的入口參數(shù)有三個(gè)： Key、Data、Mode。其中 Key 為 8 個(gè)字節(jié)共 64 位，是 DES 算法的工作密鑰；Data 也為 8 個(gè)字節(jié) 64 位，是要被加密或被解密的數(shù)據(jù)； Mode 為 DES 的

21、工作方式，有兩種：加密或解密。DES 算法是這樣工作的：如Mode 為加密，則用 Key 去把數(shù)據(jù) Data 進(jìn)行加密，生成 Data的密碼形式（64 位）作為 DES 的輸出結(jié)果；女口 Mode 為解密，則用 Key 去把密碼形式的數(shù) 據(jù) Data 解密，還原為 Data 的明碼形式（64 位）作為 DES 的輸出結(jié)果。在通信網(wǎng)絡(luò)的兩端， 雙方約定一致的 Key，精品文檔精品文檔在通信的源點(diǎn)用 Key 對核心數(shù)據(jù)進(jìn)行 DES 加密，然后以密碼形式在 公共通信網(wǎng)(如電話網(wǎng))中傳輸?shù)酵ㄐ啪W(wǎng)絡(luò)的終點(diǎn)，數(shù)據(jù)到達(dá)目的地后，用同樣的 Key 對 密碼數(shù)據(jù)進(jìn)行解密，便再現(xiàn)了明碼形式的核心數(shù)據(jù)。這樣，便保證

22、了核心數(shù)據(jù)(如 PIN 、 MAC 等)在公共通信網(wǎng)中傳輸?shù)陌踩院涂煽啃?。DES 技術(shù)特點(diǎn)：分組加密算法：明文和密文為 64 位分組長度；對稱算法：加密和解密除密鑰編排不同外，使用同一算法；DES 的安全性不依賴于算法的保密，安全性僅以加密密鑰的保密為基礎(chǔ)； 密鑰可為任意的 56 位數(shù)，具有復(fù)雜性，使得破譯的開銷超過可能獲得的利益； 采用替代和置換的組合，共 16 輪；只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運(yùn)算，易于實(shí)現(xiàn)IDEA 算法中明文和密文的分組長度都是 64 位，密鑰長 128 位，該算法既可用于加密，也 可用于解密。設(shè)計(jì)原則采用的是基于“相異代數(shù)群上的混合運(yùn)算”的設(shè)計(jì)思想， 3 個(gè)不同的 代數(shù)群

23、 (異或、模 216 加和模 216+1 乘 )進(jìn)行混合運(yùn)算，所有這些運(yùn)算 (僅有運(yùn)算，沒有位的 置換)都在 16 位子分組上進(jìn)行，無論用硬件還是軟件實(shí)現(xiàn)，都非常容易(對 16 位微處理器尤其有效 )類似于 DES，IDEA 算法也是一種數(shù)據(jù)塊加密算法，它設(shè)計(jì)了一系列加密輪次，每輪加密都 使用從完整的加密密鑰中生成的一個(gè)子密鑰。與 DES 的不同處在于，它采用軟件實(shí)現(xiàn)和采 用硬件實(shí)現(xiàn)同樣快速。在公鑰密碼體制中， RSA 是一個(gè)較為完善的公鑰密碼算法，不僅能夠同時(shí)用于加密和數(shù)字 簽名，而且易于理解和操作，是被廣泛研究的公鑰密碼算法，從提出到現(xiàn)在 20 多年，經(jīng)歷 了各種攻擊的考驗(yàn)，逐漸為人們所接

24、受，被普遍認(rèn)為是目前最優(yōu)秀的公鑰密碼算法之一。RSA 的安全性依賴于大整數(shù)的因子分解難度。RSA 是基于大整數(shù)難分解的公鑰密碼技術(shù)。 RSA 是基于這樣一個(gè)十分簡單的數(shù)論事實(shí)而設(shè) 計(jì)的： 將兩個(gè)大的素?cái)?shù)相乘十分容易， 但想分解它們是十分困難的， 因此將乘積公開作為加 密密鑰。基于大整數(shù)分解的公鑰密碼體制的安全性主要依賴于大整數(shù) (大合數(shù) )的難分解問 題。目前較好的大整數(shù)分解算法包括：二次篩選法(Qadratic Sieve, QS)、橢圓曲線法(EllipticCurve Method，ECM) 、pollard 的蒙特卡羅算法 (pollard s Monte Carlo Algorith

25、m) 、數(shù)域篩 選法(NumberField Sieve， NES)等。最好的分解算法是 NFS(數(shù)域篩選法)，若 B 為實(shí)現(xiàn)者,則 RSA 算法的實(shí)現(xiàn)步驟如下：1B 尋找兩個(gè)大素?cái)?shù) p 和 q。2B 計(jì)算出 n=pq 和(n)= ( p-1) ( q-1)。3B 選擇一個(gè)隨機(jī)數(shù) e(0ej(n)，滿足(e,(n) =1。4B 使用歐幾里得擴(kuò)展算法計(jì)算d=e-1mod(n)。5B 在目標(biāo)中公開 n 和 e 作為他的公開密鑰，保密p、q 和 d。三種可能攻擊 RSA 算法的方法是：強(qiáng)行攻擊：這包含對所有的私有密鑰都進(jìn)行嘗試； 數(shù)學(xué)攻擊：有幾種方法，實(shí)際上都等效于對兩個(gè)素?cái)?shù)乘積的因子分解；定時(shí)攻擊

26、：這依賴于解密算法的運(yùn)行時(shí)間。a產(chǎn)生密鑰很麻煩，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，因而難以做到一次 一密。b.分組長度太大，為保證安全性，n 至少也要 600 bits 以上，使運(yùn)算代價(jià)很高，尤其是速度較慢, 較對稱密碼算法慢幾個(gè)數(shù)量級；且隨著大數(shù)分解技術(shù)的發(fā)展,這個(gè)長度還在增加,不 利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。用 RSA 或其它公開密匙密碼算法進(jìn)行數(shù)字簽名的最大方便是沒有密匙分配問題(網(wǎng)絡(luò)越復(fù) 雜、網(wǎng)絡(luò)用戶越多,其優(yōu)點(diǎn)越明顯)（ 4）知道網(wǎng)絡(luò)加密的三種方法。 （鏈路、節(jié)點(diǎn)、端到端） 一般的網(wǎng)絡(luò)數(shù)據(jù)加密可以在通信的三個(gè)層次來實(shí)現(xiàn):鏈路加密、節(jié)點(diǎn)加密和端到端加密。數(shù)據(jù)加密是通過加密機(jī)構(gòu)把各種原始的數(shù)字信號（明文

27、） ，經(jīng)某種特定的加密算法變換成與 明文完全不同精品文檔精品文檔的數(shù)字信號，即密文的過程。 網(wǎng)絡(luò)節(jié)點(diǎn)間通信的信息是指用戶之間要交換的數(shù)據(jù)、文件 （稱作報(bào)文）和消息頭部（稱為報(bào) 頭）。一般情況下，報(bào)頭包含路徑選擇信息及對報(bào)文的說明，如指定的終點(diǎn)、報(bào)文順序號、報(bào)文的識(shí)別號、報(bào)文的分類、報(bào)文的格式等。鏈路加密是指在鏈路上傳輸?shù)臄?shù)據(jù)是加密的， 而在節(jié)點(diǎn)中的信息是以明文的形式出現(xiàn)。 鏈路 加密是最常用的一種加密方式，它僅是在物理層前的數(shù)據(jù)鏈路層對傳輸數(shù)據(jù)進(jìn)行加密。優(yōu)點(diǎn)： 由于在每一個(gè)中間傳輸節(jié)點(diǎn)消息均被解密后重新進(jìn)行加密，因此， 包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)。 這樣，鏈路加密就掩蓋

28、了被傳輸消息的源點(diǎn)與終點(diǎn) 缺點(diǎn)：鏈路加密通常用在點(diǎn)對點(diǎn)的同步或異步線路上， 它要求先對在鏈路兩端的加密設(shè)備進(jìn)行同 步，然后使用一種鏈模式對鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。 這就影響了網(wǎng)絡(luò)的性能和可管理性。 在一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)， 鏈路加密僅在通信鏈路上提供安全性， 消息以明文形式存在， 因此所有 節(jié)點(diǎn)在物理上必須是安全的， 否則就會(huì)泄漏明文內(nèi)容。 然而保證每一個(gè)節(jié)點(diǎn)的安全性需要較 高的費(fèi)用，為每一個(gè)節(jié)點(diǎn)提供加密硬件設(shè)備和一個(gè)安全的物理環(huán)境所需要的費(fèi)用由以下幾部 分組成： 保護(hù)節(jié)點(diǎn)物理安全的雇員開銷， 為確保安全策略和程序的正確執(zhí)行而進(jìn)行審計(jì)時(shí)的 費(fèi)用，以及為防止安全性被破壞時(shí)帶來損失而參加保險(xiǎn)的費(fèi)用。在傳

29、統(tǒng)的加密算法中， 用于解密消息的密鑰與用于加密的密鑰是相同的， 該密鑰必須被秘 密保存，并按一定規(guī)則進(jìn)行變化。這樣， 密鑰分配在鏈路加密系統(tǒng)中就成了一個(gè)問題， 因?yàn)?每一個(gè)節(jié)點(diǎn)必須存儲(chǔ)與其相連接的所有鏈路的加密密鑰， 這就需要對密鑰進(jìn)行物理傳送或者 建立專用網(wǎng)絡(luò)設(shè)施。 而網(wǎng)絡(luò)節(jié)點(diǎn)地理分布的廣闊性使得這一過程變得復(fù)雜， 同時(shí)增加了密鑰 連續(xù)分配時(shí)的費(fèi)用。盡管節(jié)點(diǎn)加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性，但它在操作方式上與鏈路加密是類似的: 兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩裕?都在中間節(jié)點(diǎn)先對消息進(jìn)行解密， 然后進(jìn)行加 密。因?yàn)橐獙λ袀鬏數(shù)臄?shù)據(jù)進(jìn)行加密，所以加密過程對用戶是透明的。節(jié)點(diǎn)加密要求報(bào)

30、頭和路由信息以明文形式傳輸端對端加密提供傳輸一端到另一端的全程保 密。數(shù)據(jù)在通過各節(jié)點(diǎn)傳輸時(shí)一起對數(shù)據(jù)進(jìn)行保護(hù),數(shù)據(jù)只在終點(diǎn)才進(jìn)行解密 ,在整個(gè)傳輸過程中是以一個(gè)確定的密鑰和算法進(jìn)行加密的（見圖 2） ,在中間節(jié)點(diǎn)或與它們有關(guān)的安全模塊內(nèi),永遠(yuǎn)不會(huì)以明碼的形式出現(xiàn)。加密可通過在用戶和主機(jī)之間加硬件來實(shí)現(xiàn),也可通過主機(jī)計(jì)算機(jī)軟件實(shí)現(xiàn)。 無論是硬件或軟件加密方式 ,加密都是在 OSI 模型的第 7 層 （應(yīng)用層 ）或第 6 層（表示層 ）實(shí)現(xiàn)。（5）掌握數(shù)字簽名的概念、數(shù)字簽名的過程。數(shù)字簽名 （Digital Signature） ：又稱公鑰數(shù)字簽名、電子簽章，是一種類似寫在紙上的普通的 物理簽

31、名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)， 用于鑒別數(shù)字信息的方法。 一套數(shù)字簽名 通常定義兩種互補(bǔ)的運(yùn)算， 一個(gè)用于簽名， 另一個(gè)用于驗(yàn)證數(shù)字簽名即是只有信息發(fā)送者使 用公開密鑰算法的主要技術(shù)產(chǎn)生的別人無法偽造的一段數(shù)字串。 數(shù)字簽名是非對稱密鑰加密 技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。 “數(shù)字簽名”的問題，即如何給一個(gè)計(jì)算機(jī)文件進(jìn)行簽字。數(shù) 字簽名可以用對稱密碼算法實(shí)現(xiàn)， 也可以用公鑰密碼算法實(shí)現(xiàn)。 對稱密碼算法除了文件簽字 者和文件接受者雙方， 還需要第三方認(rèn)證； 通過公鑰加密算法的實(shí)現(xiàn)方法， 由于用秘密密鑰 加密的文件， 需要靠公開密鑰來解密， 因此這可以作為數(shù)字簽名， 簽名者用秘密密鑰加密一 個(gè)簽

32、名（可以包括姓名、證件號碼、短信息等信息） ，接收人可以用公開的、自己的公開密 鑰來解密， 如果成功， 就能確保信息來自該公開密鑰的所有人在公鑰密碼體制實(shí)現(xiàn)數(shù)字簽名 的基本原理很簡單，假設(shè) A 要發(fā)送一個(gè)電子文件給 B，A、B 雙方只需經(jīng)過下面三個(gè)步驟即 可：1） A 用其私鑰加密文件，這便是簽字過程。2） A 將加密的文件送到 B。3） B 用 A 的公鑰解開 A 送來的文件。（ 6） DES 算法的密鑰位數(shù)（ 64），實(shí)際加密時(shí)僅用到其中的位數(shù)（ 56）。 第五章：數(shù)字水印技術(shù)（ 1）常用水印攻擊的方法。 IBM 攻擊 StirMark 攻擊馬賽克攻擊串謀攻擊跳躍攻 擊魯棒性精品文檔精品文

33、檔攻擊表示攻擊（ 2）信息隱藏的概念。 而信息隱藏則主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的 信息中，然后通過公開信息的傳輸來傳遞機(jī)密信息。（ 3）數(shù)字水印技術(shù)的三個(gè)過程。 （嵌入、檢測、提取） 信息隱藏技術(shù)主要由下述兩部分組 成：1信息嵌入算法，它利用密鑰來實(shí)現(xiàn)秘密信息的隱藏。2隱蔽信息檢測 /提取算法 （檢測器 ），它利用密鑰從隱蔽載體中檢測 /恢復(fù)出秘密信息。在密 鑰未知的前提下，第三者很難從隱秘載體中得到或刪除，甚至發(fā)現(xiàn)秘密信息。第六章：入侵檢測（1） 入侵檢測的概念、類型、性能指標(biāo)。入侵檢測（ Intrusion Detection ），顧名思義，就是 對入侵行為的發(fā)覺。 他通

34、過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分 析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。1） 按照數(shù)據(jù)來源的不同，入侵檢測系統(tǒng)可以分為基于主機(jī)、基于網(wǎng)絡(luò)和混合性入侵檢測系 統(tǒng)三類。2） 根據(jù)數(shù)據(jù)檢測方法不同，入侵監(jiān)測系統(tǒng)可分為異常檢測模型和誤用檢測模型兩類。3） 根據(jù)數(shù)據(jù)分析發(fā)生的時(shí)間不同，可以分為脫機(jī)分析和聯(lián)機(jī)分析兩類。4） 按照系統(tǒng)各個(gè)模塊運(yùn)行的分布方式不同，可以分為集中式和分布式兩類。性能指標(biāo) （1）檢測率和誤報(bào)率（ 2）系統(tǒng)資源占用率（ 3）系統(tǒng)擴(kuò)展性（ 4）最大數(shù)據(jù)處理能 力（2） 入侵檢測的三個(gè)階段。4、考試范圍第七章：黑客攻擊及防備技術(shù)（1）

35、木馬程序的概念。（2） 黑客利用 IP 地址攻擊的方法。 源 IP 地址欺騙攻擊：許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。第八章：防火墻技術(shù)（1）防火墻的概念。 防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和 Internet精品文檔之間）的軟件或硬件設(shè)備的組合，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的 安全策略，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。（2） 防火墻的作用。防火墻是在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一道屏障， 通過相應(yīng)

36、的訪 問控制策略 （允許、拒絕、監(jiān)測、記錄）控制進(jìn)出網(wǎng)絡(luò)的訪問行為。第九章：數(shù)據(jù)庫安全（1）數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的概念。數(shù)據(jù)庫系統(tǒng)是指在計(jì)算機(jī)系統(tǒng)中引入數(shù)據(jù)庫后的軟硬件系統(tǒng)構(gòu)成，一般由數(shù)據(jù)庫、數(shù)據(jù)庫管理系統(tǒng)（及其開發(fā)工具）、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理員和用戶構(gòu)成。數(shù)據(jù)庫系統(tǒng)是在文件系統(tǒng) 的基礎(chǔ)上發(fā)展起來的。數(shù)據(jù)庫管理系統(tǒng)是位于用戶與操作系統(tǒng)之間的一層數(shù)據(jù)管理軟件。其作用是科學(xué)、有效地組織和存儲(chǔ)數(shù)據(jù)，高效地獲取和維護(hù)數(shù)據(jù)。DBMS 在數(shù)據(jù)庫建立、運(yùn)用和維護(hù)時(shí)對數(shù)據(jù)庫進(jìn)行統(tǒng)一管理和控制，使用戶能方便地定義 數(shù)據(jù)和操縱數(shù)據(jù)，并能夠保證數(shù)據(jù)的安全性、完整性，在多個(gè)用戶同時(shí)使用數(shù)據(jù)庫時(shí)進(jìn)行并 發(fā)控制，在

37、發(fā)生故障后對系統(tǒng)進(jìn)行恢復(fù)。（2）數(shù)據(jù)庫安全的定義，掌握數(shù)據(jù)庫的三種備份方式。數(shù)據(jù)庫安全就是保證數(shù)據(jù)庫信息的保密性、完整性、一致性和可用性。保密性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被泄露和未授權(quán)的獲??； 完整性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被破壞和刪除；一致性指確保數(shù)據(jù)庫中的數(shù)據(jù)滿足實(shí)體完整性、參照完整性和用戶定義完整性要求；可用性指確保數(shù)據(jù)庫中的數(shù)據(jù)不因人為的和自然的原因?qū)κ跈?quán)用戶不可用。數(shù)據(jù)庫安全的定義1）物理數(shù)據(jù)庫的完整性：數(shù)據(jù)庫中的數(shù)據(jù)不被各種自然的或物理的問題而破壞，如電力問 題或設(shè)備故障等。2）邏輯數(shù)據(jù)庫的完整性：對數(shù)據(jù)庫結(jié)構(gòu)的保護(hù)，比如對其中一個(gè)字段的修改不應(yīng)該破壞其 他字段。3）元素安全性：存儲(chǔ)在數(shù)

38、據(jù)庫中的每個(gè)元素都是正確的。4） 可審計(jì)性：可以追蹤存取和修改數(shù)據(jù)庫元素的用戶。5）訪問控制：確保只有授權(quán)的用戶 才能訪問數(shù)據(jù)庫，這樣不同的用戶被限制在不同的訪問方式。6）身份驗(yàn)證：不管是審計(jì)追蹤或者是對某一數(shù)據(jù)庫的訪問都要經(jīng)過嚴(yán)格的身份驗(yàn)證。7）可用性：對授權(quán)的用戶應(yīng)該隨時(shí)可進(jìn)行應(yīng)有的數(shù)據(jù)庫訪問。 數(shù)據(jù)庫備份的種類a.冷備份（Cold Standby）冷備份通常是通過定期的對生產(chǎn)系統(tǒng)數(shù)據(jù)庫進(jìn)行備份，并將備份數(shù)據(jù)存儲(chǔ)在磁帶、磁盤等介質(zhì)上。b.熱備份（Warm Standby）熱備份的實(shí)現(xiàn)通常需要一個(gè)備用的數(shù)據(jù)庫系統(tǒng)。c.完全熱備份（Hot Standby）完全熱備份是最高級別的數(shù)據(jù)庫備份方式。

39、完全熱備需要一個(gè)與生產(chǎn)數(shù)據(jù)庫一樣處于激活狀態(tài)的備份數(shù)據(jù)庫系統(tǒng)。4*1表 9-1 T2SEC 安金級別劃分克+安全圾別1定義驗(yàn)證設(shè)計(jì) tVeritied Design) 4（3）知道 TCSEC 的七種 安全級別。安全城(Security Dojnains) TCSEC（ TDI ）將系統(tǒng)劃分為四組家結(jié)構(gòu)化保護(hù)(Structural Protectioii)B2，B3) ； A( A1 )，標(biāo)記安全保護(hù)(Labeled Security Protection)受控刖存取保護(hù)(Controlled Access Protection)自主安全保護(hù)(Difu工 Etianaiy Security Piatection)-精品文檔2叢小保護(hù)(lininal Pyotection)精品文檔精品文檔4、考試范圍第十章：網(wǎng)絡(luò)安全管理(1)知道網(wǎng)絡(luò)管理的五大功能。在 OSI 網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理的5 大功能：配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理， 第十一章：電子商務(wù)安全(1)電子商務(wù)的概念。電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境 下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不 謀面地進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者的 網(wǎng) 上購物、商戶之間的