計算機三級網絡技術7教程文件

計算機三級網絡技術7重要知識點:網絡管理功能網絡管理協議27.1.1網絡管理的基本概念1．網絡管理的定義網絡管理是指對網絡運行狀態(tài)進行監(jiān)測和控制，使其能夠有效、可靠、安全、經濟地提供服務。任務就是通過監(jiān)測可以了解網絡狀態(tài)是否正常，是否存在瓶頸和潛在危機；通過控制可以對網絡狀態(tài)進行合理調節(jié)，從而提高效率，保證服務。37.1.1網絡管理的基本概念（續(xù)）2．網絡管理對象硬件資源包括物理介質（如網卡、雙絞線）、計算機設備（如打印機、存儲設備等）和網絡互聯設備（如網橋、路由器等）軟件資源主要包括操作系統、應用軟件和通信軟件等。3．網絡管理的目標滿足運營者及用戶對網絡的有效性、可靠性、開放性、綜合性、安全性和經濟性的要求。47.1.2網絡管理的功能包括5大功能域：配置管理故障管理性能管理計費管理安全管理51．配置管理功能：用于辨別、定義、控制和監(jiān)視通信網絡對象

負責網絡的建設、業(yè)務的展開及配置數據的維護

目的：實現某個特定功能或是使網絡性能達到最優(yōu)

包括資源清單管理、資源開通以及業(yè)務開通62．故障管理任務是發(fā)現和排除故障主要功能包括維護并監(jiān)測錯誤日志接收錯誤監(jiān)測報告并作出響應跟蹤辨認錯誤執(zhí)行診斷測試和糾正錯誤內容包括障礙管理故障恢復預防保障73．性能管理包括性能監(jiān)測、性能分析以及性能管理控制等功能目的是維護網絡服務質量和網絡運行效率。性能管理的一些典型功能包括：收集統計信息維護并檢查系統狀態(tài)日志確定自然和人工狀態(tài)下系統的性能改變系統的操作模式84．計費管理主要目的：記錄網絡資源的使用，控制和監(jiān)測網絡操作的費用和代價。主要作用：能夠測量和報告基于個人或團體用戶的計費信息，分配資源并計算傳輸數據的費用，然后給用戶開出賬單主要功能計算網絡建設及運營成本統計網絡及其所包含的資源利用率聯機收集計費數據計算用戶應支付的網絡服務費用和帳單管理95．安全管理目標：提供信息的隱隱蔽、認證和完整性保護機制，使網絡中的服務、數據以及系統免受侵擾和破壞主要內容：對授權機制、訪問控制、加密和解密關鍵字的管理

主要功能：風險分析功能安全服務功能告警功能日志功能和報告功能網絡管理系統保護功能107.1.3網絡管理模型網絡管理的基本模型網絡管理者：運行在計算機操作系統之上的一組應用程序，負責從各代理處收集管理信息，進行處理，獲取有價值的管理信息，達到管理的目的。代理：位于被管理的設備內部，是被管對象上的管理程序。管理者和代理之間的信息交換方式：從管理者到代理的管理操作從代理到管理者的事件通知11網絡管理模式

集中式管理是所有的網管代理在管理站的監(jiān)視和控制下協同工作而實現集成的網絡管理。在該模式中，至少有一個結點擔當管理站的角色，其他結點在網管代理模塊的控制下與管理站通信。

分布式管理兩種模式將數據采集、監(jiān)視以及管理分散開來，它可以從網絡上的所有數據源采集數據而不必考慮網絡拓撲結構。127.1.4網絡管理協議網絡管理協議的發(fā)展國際標準化組織ISO:CMIS和CMIPInternet工程任務組IETF:SNMP協議（簡單網絡管理協議），也稱SNMPV1。近年來SNMP已經超越了傳統的TCP/IP環(huán)境，成為網絡管理方面事實上的標準。在1992年IETF開始了SNMPV2的開發(fā)工作，提高了協議的安全性。1997年，IETF成立了SNMPV3工作組，其重點是安全、可管理的體系結構和遠程配置。13SNMP協議(續(xù))SNMP是最常用的計算機網絡管理協議，可用于管理目前市場上大多數的組網設備。SNMP位于ISOOSI參考模型的應用層，它遵循ISO的管理者-代理網絡管理模型。SNMP的體系結構主要由SNMP管理者、SNMP代理者兩個部分組成。每一個支持SNMP的網絡設備中都包含一個代理，代理隨時記錄網絡設備的各種信息；網絡管理程序再通過SNMP通信協議收集代理所記錄的信息。從被管理設備中收集數據有輪詢和基于中斷兩種方法。14SNMP協議(續(xù))輪詢方法的基本過程是：代理軟件不斷收集統計數據，并把這些數據記錄到一個管理信息庫（MIB）中；網絡管理員通過向代理的MIB發(fā)出查詢信號可以得到這些信息。這種方法的缺點在于信息的實時性，尤其是處理錯誤的實時性，管理員必須不斷地輪詢SNMP代理，以全面地查看一天的通信流量和變化率。當有異常事件發(fā)生時，相對于輪詢方法，基于中斷的方法可以立即通知管理工作站，實時性很強。這種方式的缺點是自陷必須轉發(fā)大量信息，要消耗管理設備更多資源和時間。將以上兩種方法結合的陷入制導輪詢法可能是執(zhí)行網絡管理的最有效的方法。15CMIP協議采用了報告機制具有即時性的特點所有功能要通過應用層的相關協議來實現建立了安全管理機制提供授權、訪問機制、安全日志等功能CMIP協議比較復雜，實施起來花費較高16【例7-1】網絡管理的功能是（）A）配置管理、故障管理、性能管理、計費管理、安全管理B）配置管理、故障管理、性能管理、網站管理、安全管理C）操作系統管理、故障管理、性能管理、網站管理、安全管理D）操作系統管理、故障管理、配置管理、網站管理、安全管理答案:A【例7-2】網絡管理的目標是最大限度地增加網絡的可用時間，提高網絡設備的利用率，改善網絡性能、服務質量和_______。答案:安全性【例7-3】在故障管理的圖形報告中，用哪種顏色代表設備運行正常，但處于錯誤狀態(tài)（）A）灰色B）藍色C）橙色D）黃色答案：B例題17【例7-4】下列各項中不屬于配置管理的內容是（）A）網絡資源之間關系的監(jiān)視和控制B）定義新的管理對象C）識別管理對象D）接收差錯報告并作出反應答案:D【例7-5】以下（）不是目前使用的標準網絡管理協議A）SNMPB）CMIS/CMIPC）TCP/IPD）LMMP答案：C【例7-6】目前下列哪個網絡管理協議因其簡單性得到了業(yè)界的廣泛支持，成為了最流行網絡管理協議（）A）SNMPB）LMMPC）CMIPD）CMIS答案：A例題187.2信息安全技術概述

19重要知識點:信息技術的安全等級207.2.1信息安全的概念指信息網絡的硬件、軟件以及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續(xù)、可靠、正常地運行，信息服務不中斷

要實現的目標。真實性保密性完整性可用性不可抵賴性可控制性可審查性217.2.2信息安全策略信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。信息安全的實現要靠先進的技術、嚴格的安全管理、法律約束與安全教育。

227.2.3信息技術的安全性等級網絡安全性標準（DoD5200.28_STD），即可信任計算機標準評估準則。該標準將網絡安全性等級劃分為A、B、C、D共四類，其中A類安全等級最高，D類安全等級最低。這4類安全等級還可以細化為7個級別，這些級別的安全性從低到高的順序是D1、C1、C2、B1、B2、B3和A1。

237.2.3信息技術的安全性等級（續(xù)）在我國，以《計算機信息系統安全保護等級劃分原則》（GB17859-1999）為指導，將信息和信息系統的安全保護分為5個等級。自主保護級指導保護級監(jiān)督保護級強制保護級?？乇Ｗo級24【例7-7】按照美國國防部安全準則，UNIX系統能夠達到的安全級別為（）A）C1B）C2C）B1D）B2答案:B【例7-8】在歐洲的信息技術安全評測準則中要評估與安全機制對應的源代碼和/或硬件設計圖的評估級別是（）A）E0B）E6C）E3D）E5答案：C提示：本題的同類題出現在2005年9月考試中例題257.3網絡安全問題與安全策略26重要知識點:服務攻擊與非服務攻擊安全威脅277.3.1網絡安全的基本概念保護網絡程序、數據或設備，使其免受非授權使用或訪問保護內容包括：保護信息和資源、保護客戶機和用戶、保證私有性。目標是確保網絡系統的信息安全，主要包括信息的存儲安全和信息的傳輸安全信息的存儲安全一般通過設置訪問權限、身份識別、局部隔離等措施來保證。信息的傳輸安全主要是指信息在動態(tài)傳輸過程中的安全，主要涉及到對網絡上信息的監(jiān)聽、對用戶身份的假冒、對網上信息的篡改、對信息進行重放等問題。網絡安全措施社會的法律政策、企業(yè)的規(guī)章制度以及網絡安全教育。技術方面的措施。審計與管理措施。287.3.2OSI安全框架OSI安全框架是由國際電信聯盟推薦的X.800方案，它主要關注3部分：安全攻擊在X.800中將安全攻擊分為被動攻擊和主動攻擊兩類從網絡高層的角度劃分，攻擊方法可以分為服務攻擊和非服務攻擊兩大類。安全機制X.800將安全機制分為特定安全機制和普遍的安全機制兩大類。安全服務X.800將安全服務定義為通信開放系統協議層提供的服務，從而保證系統或數據傳輸有足夠的安全性。29【例7-9】網絡安全的基本目標是實現信息的機密性、_______、可用性和_______。答案:完整性合法性【例7-10】在網絡系統中，當信息從信源向信宿流動時，受到攻擊的類型包括中斷、截取、修改和_______。答案:偽造或捏造【例7-11】以下網絡攻擊中，哪種不屬于主動攻擊（）A）重放攻擊B）拒絕服務攻擊C）通信量分析攻擊D）假冒攻擊答案：C提示：本題為2007年4月考題例題30被動攻擊和主動攻擊被動攻擊對信息的保密性進行攻擊，即通過竊聽網絡上傳輸的信息并加以分析從而獲得有價值的情報，但它并不修改信息的內容目標是獲得正在傳送的信息，其特點是偷聽或監(jiān)視信息的傳遞被動攻擊主要手段：信息內容泄露：信息在通信過程中因被監(jiān)視竊聽而泄露，或者信息從電子或機電設備所發(fā)出的無線電磁波中被提取出來而泄露。通信量分析：通過確定通信位置和通信主機的身份，觀察交換消息的頻度和長度，并利用這些信息來猜測正在進行的通信特性。31被動攻擊和主動攻擊主動攻擊攻擊信息來源的真實性、信息傳輸的完整性和系統服務的可用性有意對信息進行修改、插入和刪除主動攻擊主要手段：假冒：一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。重放：涉及被動捕獲數據單元及其后來的重新傳送，以產生未經授權的效果。修改消息：改變了真實消息的部分內容，或將消息延遲或重新排序，導致未授權的操作。拒絕服務：禁止通信實體的正常使用或管理。32服務攻擊和非服務攻擊服務攻擊針對某種特定網絡服務的攻擊例如：針對E-mail服務、Telnet、FTP、HTTP等服務的專門攻擊原因：TCP/IP協議缺乏認證、保密措施。非服務攻擊不針對某項具體應用服務，而是基于網絡層等低層協議而進行原因：TCP/IP協議（尤其是IPv4）自身的安全機制不足33【例7-12】從網絡高層協議角度看，攻擊方法可以概括為：服務攻擊與___。答案:非服務攻擊【例7-13】基于網絡底層協議，利用實現協議時的漏洞達到攻擊目的，這種攻擊方式稱為（）A）被動攻擊B）人身攻擊C）服務攻擊D）非服務攻擊答案：D【例7-14】預測（假冒）TCP初始序號和利用TCP/UDP數據包的DOS攻擊（非授權使用）屬于TCP/IP中（）的安全性范疇。A）網絡層的安全性B）傳輸層的安全性C）應用層的安全性D）以上都不是答案：B【例7-15】有一種攻擊是不斷對網絡服務系統進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統響應減慢甚至癱瘓，這種攻擊叫作（）A）重放攻擊B）反射攻擊C）拒絕服務攻擊D）服務攻擊答案：C例題347.3.3網絡安全模型網絡安全模型1網絡安全模型2357.4加密技術36重要知識點:對稱加密技術公鑰加密技術377.4.1密碼學基本術語明文：原始的消息。密文：加密后的消息。加密：從明文到密文的變換過程。解密：從密文到明文的變換過程。密碼編輯學：研究各種加密方案的學科。密碼分析學：研究破譯密碼獲得消息的學科。密碼學：密碼編碼學和密碼分析學統稱為密碼學。38密碼編碼學密碼編碼學系統具有以下3個獨立特征轉換明文為密文的運算類型所有的加密算法都基于代換和置換兩個原理。所用的密鑰數如果發(fā)送法和接收方使用相同的密鑰，這種密碼就稱為對稱密碼、單密鑰密碼或傳統密碼；如果收發(fā)雙方使用不同的密鑰，這種密碼就稱為非對稱密碼、雙鑰密碼或公鑰密碼。處理明文的方法加密算法可以分為分組密碼和流密碼。分組密碼每次處理一個輸入分組，相應地輸出一個輸出分組；而流密碼則是連續(xù)地處理輸入元素，每次輸出一個元素。39密碼分析學密碼分析學依賴于算法的性質和明文的一般特征或某些明密文對窮舉攻擊需要對一條密文嘗試所有可能的密鑰，直到把它轉化為可讀的有意義的明文?；诿艽a分析者知道的信息類型，密碼攻擊的類型主要有：惟密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文攻擊、和選擇文本攻擊。40加密算法的安全性若一個加密算法能滿足以下兩個條件之一就認為該算法是在計算上是安全的：一是破譯的代價超出加密信息本身的價值二是破譯的時間超出了信息的有效期41代換與置換技術代換法是將明文字母替換成其他字符、數字或符號的方法。典型的算法包括Caesar密碼、單表代換密碼、playfair密碼、Hill密碼、多表代換密碼以及一次一密等。置換密碼的加密方法是通過置換而形成新的排列。如柵欄技術，按照對角線的順序寫入明文，而按行的順序讀出作為密文。427.4.2對稱加密技術對稱加密的模型對稱加密模型由5個組成部分：明文、加密算法、密鑰、密文和解密算法。43數據加密標準數據加密標準DESDES——數據加密標準DES是一種分組密碼在加密前，先對整個明文進行分組。每一個組長為64位。然后對每個64位二進制數據進行加密處理，產生一組64位密文數據使用的密鑰為64位，實際密鑰長度為56位，有8位用于奇偶校驗。44DES加密的過程為：64位的明文經過初始置換而被重新排列。進行16輪的相同函數的作用，每輪的作用中都有置換和代換，最后一輪迭代的輸出有64位，將其左半部分和右半部分互換產生預輸出，預輸出再被與初始置換互逆的逆初始置換作用產生64位的密文。45其他常用的對稱加密算法目前經常使用的對稱加密算法還有：三重DES、高級加密標準（AES）、Blowfish算法和RC5算法。三重DES：使用多個密鑰對DES進行三次加密，克服了DES不能抵御窮舉攻擊的弱點，但該算法用軟件實現起來速度比較慢。高級加密標準（AES）：2001年NIST將Rijndael作為AES算法，它的密鑰長度為128、192或256位，分組長度為128位。AES性能不低于3DES，同時具有良好的執(zhí)行性能。46

Blowfish算法該算法由BruceSchneier設計的，是一個可變密鑰長度的分組密碼算法，分組長度為64位。算法由密鑰擴展和數據加密兩部分組成，密鑰擴展把長度可達448位的密鑰轉變成總共4168字節(jié)的幾個子密鑰；數據加密由一個簡單函數迭代16輪，每一輪由密鑰相關的置換、密鑰相關和數據相關的代換組成。RC5RC5的分組長度和密鑰長度都是可變的可以在速度和安全性之間進行折中477.4.3公鑰加密公鑰密碼體制公鑰算法依賴于一個加密密鑰和一個與之相關的解密密鑰。公鑰加密體制有6個組成部分：明文、加密算法、公鑰、私鑰、密文和解密算法。

487.4.3公鑰加密(續(xù))公鑰加密的步驟如下：每個用戶都生成一對加密和解密時使用的密鑰。每個用戶都把他的公鑰放在一個公共地方，私鑰自己妥善保管。發(fā)送用戶要向接收用戶發(fā)送機密消息，就用接收用戶的公鑰加密消息。當接收用戶收到消息時，可以用自己的私鑰進行解密。49公鑰密碼體制的應用公鑰密碼體制的應用可分為以下3種：加密/解密。數字簽名。發(fā)送方利用其私鑰對消息“簽名”。密鑰交換50RSA算法RSA算法是1978年由Rivest、Shamir和Adleman三個人提出的，被認為是迄今為止理論上最為成熟完善的一種公鑰密碼體制。該體制的構造基于Euler定理，它利用了如下的基本事實：尋找大素數是相對容易的，而分解兩個大素數的積在計算上是不可行的。RSA算法的安全性建立在難以對大數提取因子的基礎上。與DES相比，缺點是加密、解密的速度太慢。51RSA是一種分組密碼，其明文和密文均是0至n-1之間的整數（n的大小為1024位二進制數或309位十進制數）。明文以分組為單位進行加密，每個分組的二進制值均小于n。密鑰的選取過程如下：選取兩個大質數p和q。計算n=pq，z=（p-t）（q-1）。選擇小于n的整數e，并且和z沒有公約數。找到數d，滿足ed-1被z整除。公鑰是數對（n，e），私鑰是數對（n，d）。52其他的公鑰加密算法Elgamal公鑰體制基于離散對數的公鑰密碼體制密文不僅信賴于待加密的明文，而且信賴于用戶選擇的隨機參數，即使加密相同的明文，得到的密文也是不同的。加密算法的非確定性背包公鑰體制基本原理：背包問題537.4.4密鑰管理

密鑰的分發(fā)密鑰分發(fā)中心（KDC）是一個獨立的可信網絡實體，是一個服務器，它同每個注冊用戶共享不同的秘密對稱密鑰。KDC知道每個用戶的秘密密鑰，每個用戶可以通過這個秘密密鑰同KDC進行安全通信54密鑰的驗證認證中心（CA）用于驗證一個公共密鑰是否屬于一個特殊實體（一個個人或者網絡實體）。一旦一個公共密鑰被認證了，那么它就可以從任何地方發(fā)出，包括一個公共密鑰服務器、一個個人網頁或者一張磁盤。CA的主要作用有兩個方面。一是驗證實體的身份；二是產生一個證書，將這個公共密鑰和身份進行綁定，這個證書由CA進行數字簽名。證書中包括公共密鑰和關于公共密鑰所有者的全球唯一的標識信息。55【例7-16】下面關于加密的說法正確的是（）。A）經過變換后得到的數據稱為明文B）加密是將原數據變換成一種隱藏的形式的過程C）需要進行變換的原數據稱為密文D）以上都不對答案：B【例7-17】下面哪一種加密算法屬于對稱加密算法（）A）RSAB）DSAC）DESD）RAS答案：C提示：本題的同類題出現在2006年4月考試中【例7-18】下面加密算法中,屬于公鑰加密技術的是（）A）DESB）TDEAC）RC-5D）RSA答案：D例題567.5認證技術57重要知識點:消息認證身份認證數字簽名587.5.1消息認證1．消息認證的概念消息認證就是使意定的接收者能夠檢驗收到的消息是否真實的方法，又稱為完整性校驗，它在銀行業(yè)稱為消息認證，在OSI安全模型中稱為封裝。消息認證的內容應包括：證實消息的信源和信宿；消息內容是否曾經受到偶然或有意地篡改；消息的序號和時間性是否正確。2．消息認證的方法認證信息的來源認證信息的完整性認證信息的序號和時間593.消息認證的模式消息認證的模式有單向認證和雙向認證。在單向認證中，由接收者驗證發(fā)送者的身份和發(fā)送消息的完整性；在雙向認證中，接收雙方互相確定對方的身份和發(fā)送消息的完整性。4.認證函數可用做認證的函數有信息加密函數、信息認證碼和散列函數3種。607.5.2數字簽名數字簽名的需求簽名必須依賴于要簽名報文的比特模式簽名必須使用對發(fā)送者來說是唯一的信息，以防偽造和抵賴。數字簽名的產生必須相對簡單。數字簽名的識別和證實必須相對簡單。偽造數字簽名具有很高的計算復雜行。保留一個數字簽名的備份在存儲上現實可行的。61數字簽名的創(chuàng)建利用公鑰密碼體制，數字簽名是一個加密的消息摘要，附加在消息后面。如果A想在發(fā)給B的消息中創(chuàng)建一個數字簽名，操作過程如下：A創(chuàng)建一個公鑰/私鑰對，并將公鑰給接收方B。A把消息作為一個單項散列函數的輸入，散列函數的輸出就是消息摘要。A用私鑰加密信息摘要，就得到數字簽名。62數字簽名的驗證在接收方，B需要遵循以下步驟來驗證A的數字簽名。B把收到的數據分離成消息和數字簽名。B使用A的公鑰對數字簽名解密，從而得到消息摘要。B把消息作為A所使用的相同散列函數的輸入，得到一個消息摘要。B比較這兩個信息摘要，看它們是否相互匹配。637.5.3身份認證身份認證又稱身份識別，它是通信和數據系統中正確識別通信用戶或終端身份的重要途徑。身份認證的常用方法有口令認證持證認證生物識別641．口令機制口令是由數字、字母組成的長為5~8的字符串，有時也包括特殊字符和控制字符等。

常用于操作系統登錄、Telnet和rlogin等口令系統最嚴重的脆弱點是外部泄露和口令猜測，另外還有線路竊聽、威脅驗證者和重放等。保護口令措施：對用戶和系統管理者進行教育，增強他們的安全意識；建立嚴格的組織管理辦法和執(zhí)行手續(xù)；確保口令必須被定期地改變；保證每個口令只與一個人有關；確?？诹顝膩聿槐辉佻F在終端上；使用易記的口令。651．口令機制被猜測措施：限制非法認證的次數；實時延遲插入到口令驗證過程阻止一個計算機自動口令猜測程序的生產串防止太短的口令以及與用戶名／賬戶名或用戶特征相關的口令確保口令被定期地改變；取消安裝系統時所用的預設口令；使用機器產生的而不是用戶選擇的口令。662．持證認證持證為個人持有物，如磁卡、智能卡等磁卡常和個人標識號PIN一起使用智能卡將微處理器芯片嵌在宿卡上來代替無源存儲磁條，存儲信息遠遠大于磁條的250字節(jié)，且具有處理功能，卡上的處理器有4K字節(jié)的小容量EPROM3．生物識別

生物識別依據人類自身所固有的生理或行為特性特征，包括指紋識別、虹膜識別、臉像識別、掌紋識別、聲音識別、簽名識別、筆跡識別、手形識別、步態(tài)識別以及多種生物特征融合識別等。677.5.4常用的身份認證協議一個安全的身份識別協議至少應滿足以下兩個條件：識別者A能向驗證者B證明他的確是A。在識別者A向驗證者提供了證明他的身份信息后，驗證者B不能取得A的任何有用的信息。目前滿足上述條件的協議主要有：一次一密機制X.509認證協議Kerberos認證協議68一次一密機制請求應答機制：用戶登錄時，系統隨即提示一條信息，用戶根據信息產生一個口令，完成一次登錄。詢問應答方式：驗證者提出問題，由識別者回答，然后由驗證者驗證其真?zhèn)?。X.509認證協議X.509定義了一種通過X.500目錄提供認證服務的框架。X.500是對分布式網絡中存儲用戶信息的數據庫所提供的目錄檢索服務的協議標準，而X.509是利用公鑰加密技術對X.500的服務所提供認證服務的協議標準。Kerberos認證協議Kerberos基于對稱密鑰體制，一般采用DES，它與網絡上的每個實體共享一個不同的密鑰，通過是否知道秘密密鑰來驗證身份。69【例7-19】以下哪項不屬于防止口令猜測的措施（）。A）嚴格限定從一個給定的終端進行非法認證的次數B）確?？诹畈辉诮K端上再現C）防止用戶使用太短的口令D）使用機器產生的口令答案：B【例7-20】以下哪種方法不屬于身份認證（）A）口令機制B）個人特征C）個人持證D）消息認證答案：D【例7-21】用戶A通過計算機網絡向用戶B發(fā)送消息，表示自己同意簽訂某個合同，隨后用戶A反悔，不承認自己發(fā)過該條消息。為了防止這種情況，應采用（）A）數字簽名技術B）消息認證技術C）數據加密技術D）身份認證技術答案：A例題707.6安全技術應用71重要知識點:身份認證協議電子郵件的安全727.6.1安全電子郵件1．PGPPGP是PhilZimmermann在1991年提出的一個安全電子郵件加密方案，它已經成為事實上的標準。PGP的操作由5種服務組成：鑒別、機密性、壓縮、電子郵件的兼容性和分段。PGP利用了4種類型的密鑰：一次性會話的常規(guī)密鑰、公開密鑰、私有密鑰和基于口令短語的常規(guī)密鑰。當PGP安裝之后，為用戶產生一個公共密鑰對，這個密鑰可以公布在用戶的個人網站或者放在公共密鑰服務器上。私密密鑰用密碼進行保護，每次用戶訪問這個密鑰的時候必須輸入密碼。737.6.1安全電子郵件(續(xù))2．S/MIMES/MIME的功能如下：加密的數據。對于一個或多個接收者而言，它是由任意類型的加密內容和加密內容的加密密鑰組成的。簽名的數據。通過取得要簽名的內容的報文摘要，然后使用簽名者的私鑰對該摘要進行加密，形成數字簽名。透明簽名的數據。簽名的數據形成了內容的數字簽名。簽名并且加密的數據。只簽名和只加密的實體可以遞歸使用，因此加密的數據可以被簽名，簽名或透明的簽名數據可以被加密。747.6.2網絡層安全——IPSecIP安全協議（簡稱為IPSec）是在網絡層提供安全的一組協議。在IPSec協議族中，有兩個主要的協議：身份認證頭（AH）協議和封裝安全負載（ESP）協議。AH協議提供了源身份認證和數據完整性，但是沒有提供秘密性ESP協議提供了數據完整性、身份認證和秘密性。對于AH和ESP協議，源主機在向目的主機發(fā)送安全數據報之前，源主機和網絡主機進行握手，并建立網絡層邏輯連接，這個邏輯連接稱為安全協定（SA）。SA唯一定義為一個三元組，包括安全協議標識符、單工連接的源IP地址和稱為安全參數索引的32位連接標識符。75AH協議在發(fā)送數據報時，AH頭在原有IP數據報數據和IP頭之間。這樣，AH頭增加了原有數據字段，被封裝為標準的IP數據報。在IP頭的協議字段，值51用來表明數據報包含AH頭。當目的主機接收到帶有AH頭的IP數據報后，它確定數據報的SA，通過處理身份驗證數據段來驗證數據報的完整性。ESP協議采用ESP協議，源主機可以向目的主機發(fā)送安全數據報。安全數據報是用頭部、尾部字段來封裝原來的IP數據報，然后將封裝后的數據插入到IP數據報的數據字段。對于IP數據報頭的協議字段，值50用來表示數據報包含ESP頭和ESP尾。767.6.3Web安全Web所面臨的威脅Web服務器安全威脅Web瀏覽器安全威脅及瀏覽器與服務器之間的網絡通信量安全威脅77Web流量安全性方面Web流量安全性方法可以分為網絡級、傳輸級、應用級。網絡級。提供Web安全性的一種方法是使用IPSec協議。IPSec具有過濾功能，以便僅用IPSec處理所選的流量。傳輸級。提供Web安全性的另一個相對通用的解決方法是在TCP上實現安全性。這種方法的例子有安全套接層（SSL）和運輸層安全（TLS）的InternetSSL標準。應用級。與應用有關的安全服務被嵌入到特定的應用程序中，這種方法的一個重要的例子是安全的電子交易（SET）。787.7入侵檢測技術與防火墻79重要知識點:防火墻的基本概念防火墻的設計策略807.7.1入侵者入侵者通常是指黑客和解密高手。入侵者大致分為3類。假冒者：指未經授權使用計算機的人和穿透系統的存取控制冒用合法賬號的人。非法者：指未經授權訪問數據、程序和資源的合法用戶；或者已經獲得授權訪問，但是錯誤使用權限的合法用戶。秘密用戶：奪取系統超級控制并使用這種控制權逃避審計和訪問控制或者抑制審計記錄的個人。817.7.2入侵檢測技術入侵檢測技術可以分為統計異常檢測和基于規(guī)則的檢測。統計異常檢測：收集一段時間內合法用戶的行為，然后用統計測試來觀測其行為，判定該行為是否是合法用戶的行為?；谝?guī)則的檢測：包括嘗試定義用于確定給定行為是否是入侵者行為的規(guī)則集合。82審計記錄入侵檢測的一個基礎工具是審計記錄。用戶活動的記錄應作為入侵檢測系統的輸入，記錄的獲得有兩種方法。原有的審計記錄：幾乎所有的多用戶操作系統都有收集用戶行為的審計軟件，通過這種方法獲得的審計記錄可能沒有包含需要的信息。專門用于檢測的審計記錄：可以實現一個收集機制來生成只包含入侵檢測系統所需信息的審計記錄。83統計異常檢測統計異常檢測分為兩大類：閾值檢測和基于輪廓的檢測。閾值檢測與在一個時間區(qū)間內對專門的事件類型的出現次數有關。如果次數超出了被認為是合理的數值，那么就假定出現了入侵。閾值分析本身效率不高，并且閾值和時間區(qū)間必須是提前選定的?；谳喞漠惓z測集中于刻畫單獨用戶或相關用戶組的過去行為特性，然后檢測出明顯的偏差。這種方法的基礎在于對審計記錄的分析，入侵檢測模型會分析進入的審計記錄以確定與平均行為的偏差。可用于基于輪廓的入侵檢測的度量機制有計數器、標準值、間隔定時器、資源利用。利用這些度量機制，可以進行不同的檢測來確定當前行為是否在可接受的限度之內。84基于規(guī)則的入侵檢測基于規(guī)則的技術通過觀察系統中的事件，應用一個決定給定活動模式是否可疑的規(guī)則集來檢測入侵行為，分為異常檢測和滲透鑒別兩個方面?；谝?guī)則的異常檢測方法是基于對過去行為的觀察，分析歷史的審計記錄來識別出使用模式，并自動生成描述那些模式的規(guī)則；然后觀察當前的行為，每個事務都和規(guī)則集相匹配，以確定它是否符合任何觀察的歷史行為模式?；谝?guī)則的滲透鑒別采用了基于專家系統技術的方法。這樣的系統的關鍵特征是要使用規(guī)則來鑒別已知的滲透，或利用已知弱點的滲透，也可以定義鑒別可以行為的規(guī)則。這樣的規(guī)則不是通過對審計記錄的自動分析生成的，而是由“專家”生成的。這種方法的強度依賴于在建立規(guī)則時所涉及的人的技能。85分布式入侵檢測分布式入侵檢測是要保護局域網內或內部互聯網絡內所有的主機安全。加利福尼亞大學建立的互聯網安全監(jiān)視器是分布式入侵檢測系統的一個很好的例子。867.7.3防火墻的特性防火墻的定義防火墻是指為了增強駐地網的安全性而嵌入到駐地網和Internet之間，從而建立受控制的連接并形成外部安全墻或者說是邊界，用來防止駐地網收到來自Internet的攻擊，并在安全性將受到影響的地方形成阻塞點。防火墻的設計目標所有從內到外和從外到內的通信量都必須經過防火墻。只有被授權的通信才能通過防火墻。防火墻對于滲透是免疫的。872．防火墻的分類包過濾防火墻在網絡層依據系統的過濾規(guī)則，對數據包進行選擇和過濾，這種規(guī)則又稱為訪問控制表（ACLs）通過檢查數據流中的每個數據包的源地址、目標地址、源端口、目的端口及協議狀態(tài)或它們的組合來確定是否允許該數據包通過通常安裝在路由器上應用網關也稱代理服務器在應用層上建立協議過濾和轉發(fā)功能針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告通常安裝在專用工作站系統上884種常用技術防火墻用來控制訪問和執(zhí)行站點安全策略有4種常用技術。服務控制：確定可以訪問Internet服務的類型。方向控制：決定哪些特定的方向上服務請求可以被發(fā)起并通過防火墻。用戶控制：根據哪個用戶嘗試訪問服務來控制對一個服務的訪問。行為控制：控制怎樣使用特定的服務。89防火墻的功能防火墻定義了單個阻塞點，通過它就可以把未授權用戶隔離到受保護網絡之外，禁止危及安全的服務進入或離開網絡，防止各種IP盜用和路由攻擊。通過防火墻可以監(jiān)視與安全有關的事件。在防火墻系統中可以采用監(jiān)聽和警報技術。防火墻可以為幾種與安全無關的因特網服務提供方便的平臺。其中包括網絡地址翻譯和網絡管理功能部件，前者把本地地址映射成因特網地址，后者用來監(jiān)聽或記錄因特網的使用情況。防火墻可以用作IPSec平臺。907.7.4防火墻的分類最常用的防火墻有包過濾路由器、應用級網關和電路級網關。1.包過濾路由器包過濾路由器依據一套規(guī)則對收到的IP包進行處理，決定是轉發(fā)還是丟棄。過濾的具體處理方法視數據包所包含的信息而定，如源IP地址、目的IP地址、源和目的傳輸層地址、IP協議域和接口等。包過濾器可以看作一個規(guī)則表，由規(guī)則表和IP報頭或TCP數據頭內容的匹配情況來執(zhí)行過濾操作。如果有一條規(guī)則與數據包的狀態(tài)匹配，就按照這條規(guī)則來執(zhí)行過濾操作；如果不匹配就執(zhí)行默認操作。默認的策略有兩種：默認丟棄策略：所有未明確允許轉發(fā)的數據包都被丟棄。默認轉發(fā)策略：所有未明確規(guī)定丟棄的數據包都被轉發(fā)。912.應用級網關應用級網關也稱代理服務器，其工作的過程大致為：用戶使用Telnet和FTP之類的TCP/IP應用程序時，建立一個到網關的連接，網關要求用戶出示將要訪問的異地機器的正確名稱。若用戶給出了一個有效的用戶ID和驗證信息，網關就建立一個到異地機器的應用連接，并開始在訪問者和被訪問者之間傳遞包含著應用數據的TCP數據段。如果網關無法執(zhí)行某個應用程序的代理碼，服務就無法執(zhí)行，也不能通過防火墻發(fā)送。923.電路級網關電路級網關不允許一個端到端的直接TCP連接，它由網關建立兩個TCP連接，一個連接網關和網絡內部的TCP用戶，一個連接網關和網絡外部的TCP用戶。連接建立之后，網關就起著一個中繼的作用，將數據段從一個連接轉發(fā)到另一個連接。它通過決定哪個連接被允許建立來實現對其安全性的保障。93【例7-22】關于防火墻的功能，以下哪一種描述是錯誤的？（）。A）防火墻可以檢查進出內部網的通信量B）防火墻可以使用應用網關技術在應用層上建立協議過濾和轉發(fā)功能C）防火墻可以使用過濾技術在網絡層對數據包進行選擇D）防火墻可以阻止來自內部的威脅和攻擊答案：D【例7-23】有關防火墻的說法錯誤的是（）A）防火墻能夠防止感染病毒的程序或文件的輸出B）防火墻由硬件和軟件兩部分構成C）防火墻無法阻擋內部的攻擊D）防火墻可以記錄和統計網絡利用數據以及非法使用數據的情況答案：A【例7-24】下列關于防火墻功能的說法中錯誤的是（）A）防火墻能夠控制進出網絡的信息流向和信息包B）防火墻能夠提供使用流量的日志和審計C）防火墻顯示內部IP地址及網絡機構的細節(jié)D）防火墻提供虛擬專用網（VPN）功能答案：C【例7-25】防火墻中的數據包過濾技術是在哪一層對數據包進行過濾（）A）網絡層B）會話層C）數據鏈路層D）物理層答案：A例題947.8計算機病毒問題與防護957.8.1計算機病毒計算機病毒的定義計算機病毒是一個程序、一段可執(zhí)行代碼，它對計算機的正常使用進行破壞，使得計算機無法正常使用，甚至整個操作系統或硬盤損壞。計算機病毒不是獨立存在的，它隱藏在其他可執(zhí)行的程序之中，既有破壞性，又