自考计算机网络安全复习资料Word文档格式.docx
- 文档编号:20916404
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:17
- 大小:35.07KB
自考计算机网络安全复习资料Word文档格式.docx
《自考计算机网络安全复习资料Word文档格式.docx》由会员分享,可在线阅读,更多相关《自考计算机网络安全复习资料Word文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
①术语②安全服务③安全机制
五大类安全服务,也称安全防护措施(P29):
①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务
1.4.3PPDR模型(P30)包含四个主要部分:
Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
防护、检测和响应组成了一个完整的、动态的安全循环。
PPDR模型通过一些典型的数学公式来表达安全的要求:
①Pt>
Dt+Rt②Et=Dt+Rt,如果Pt=0
1.4.4网络安全的典型技术:
①物理安全措施②数据传输安全技术③内外网隔离技术④入侵检测技术⑤访问控制技术⑥审计技术⑦安全性检测技术⑧防病毒技术⑨备份技术⑩终端安全技术
1.6.1网络安全威胁的发展趋势:
①与Internet更加紧密结合,利用一切可以利用的方式进行传播;
②所有病毒都有混合型特征,破坏性大大增强;
③扩散极快,更加注重欺骗性;
④利用系统漏洞将成为病毒有力的传播方式;
⑤无线网络技术的发展,使远程网络攻击的可能性加大;
⑥各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情况和窃取资料;
⑦各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁;
⑧各种攻击技术的隐秘性增强,常规防范手段难以识别;
⑨分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性;
⑩一些政府部门的超级计算机资源将成为攻击者利用的跳板;
11)网络管理安全问题日益突出。
1.6.2网络安全主要实用技术的发展①物理隔离②逻辑隔离③防御来自网络的攻击④防御网络上的病毒⑤身份认证⑥加密通信和虚拟专用网⑦入侵检测和主动防卫⑧网管、审计和取证
课后题:
2、分析计算机网络的脆弱性和安全缺陷
3、分析计算机网络的安全需求(P24)
4、计算机网络安全的内涵和外延是什么?
(P24)
内涵:
外延:
从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义随着“角度”的变化而变化。
5、论述OSI安全体系结构(P28)
OSI安全体系结构中定义了鉴别、访问控制、数据机密性、数据完整性和抗抵赖五种网络安全服务,以及加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制八种基本的安全机制。
6、简述PPDR安全模型的结构(P30)
7、简述计算机网络安全技术及其应用(P32)
8、简述网络安全管理意义和主要内容(P34)
第二章物理安全
2.1物理安全主要包括:
①机房环境安全②通信线路安全③设备安全④电源安全
2.1.1机房的安全等级分为三个基本类别:
A类:
对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B类:
对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
C类:
对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
2.1.1机房安全要求(P42)和措施:
①机房的场地,选址避免靠近公共区域,避免窗户直接邻街,机房布局应使工作区在内,生活辅助区在外;
机房不要在底层或顶层。
措施:
保证所有进出计算机机房的人都必须在管理人员的监控之下,外来人员进入机房,要办理相关手续,并检查随身物品。
②机房的防盗要求,对重要的设备和存储媒体应采取严格的防盗措施。
早期采取增加质量和胶粘的防盗措施,后国外发明了一种通过光纤电缆保护重要设备的方法,一种更方便的措施类似于超市的防盗系统,视频监视系统是一种更为可靠的防盗设备,能对计算机网络系统的外围环境、操作环境进行实时的全程监控。
③机房的三度要求(温度(18-22度)、湿度(40%-60%为宜)、洁净度(要求机房尘埃颗粒直径小于0.5μm))为使机房内的三度达到规定的要求,空调系统、去湿机和除尘器是必不可少的设备。
④防静电措施:
装修材料避免使用挂毯、地毯等易吸尘,易产生静电的材料,应采用乙烯材料,安装防静电地板并将设备接地。
⑤接地与防雷要求:
1.地线种类:
A保护地B直流地C屏蔽地D静电地E雷击地2.接地系统:
A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D直流地、保护地共用地线系统E建筑物内共地系统3、接地体:
A地桩B水平栅网C金属接地板D建筑物基础钢筋4.防雷措施,使用接闪器、引下线和接地装置吸引雷电流。
机器设备应有专用地线,机房本身有避雷设备和装置。
⑥机房的防火、防水措施:
为避免火灾、水灾,应采取的措施为:
隔离、火灾报警系统、灭火设施(灭火器,灭火工具及辅助设备)、管理措施
2.3.1硬件设备的使用管理:
①要根据硬件设备的具体配置情况,制定切实可靠的硬件设备的操作使用规程,并严格按操作规程进行操作;
②建立设备使用情况日志,并严格登记使用过程的情况;
③建立硬件设备故障情况登记表,详细记录故障性质和修复情况;
④坚持对设备进行例行维护和保养,并指定专人负责。
2.3.2电磁辐射防护的措施:
一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
另一类是对辐射的防护,又分为两种:
一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。
为提高电子设备的抗干扰能力,主要措施有①屏蔽②滤波③隔离④接地,其中屏蔽是应用最多的方法。
2.4.电源对电设备安全的潜在威胁:
①脉动与噪声②电磁干扰
2.4供电要求(P53),供电方式分为三类:
①一类供电:
需建立不间断供电系统②二类供电:
需建立带备用的供电系统③三类供电:
按一般用户供电考虑。
1、简述物理安全在计算机网络信息系统安全中的意义。
2、物理安全主要包含哪些方面的内容?
(2.1)
3、计算机机房安全等级的划分标准是什么?
(2.1.1)
4、计算机机房安全技术主要包含哪些方面的内容?
5、保障通信线路安全技术的主要技术措施有哪些?
①电缆加压技术②对光纤等通信线路的防窃听技术(距离大于最大长度限制的系统之间,不采用光纤线通信;
加强复制器的安全,如用加压电缆、警报系统和加强警卫等措施)
6、电磁辐射对网络通信安全的影响主要体现在哪些方面,防护措施有哪些?
影响主要体现在:
计算机系统可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。
防护措施:
电磁防护层主要是通过上述种种措施,提高计算机的电磁兼容性,提高设备的抗干扰能力,使计算机能抵抗强电磁干扰,同时将计算机的电磁泄漏发射降到最低,使之不致将有用的信息泄漏出去。
7、保障信息存储安全的主要措施有哪些?
(P52)
①存放数据的盘,应妥善保管;
②对硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时加密,以确保数据的安全;
③存放数据的盘,管理须落实到人,并登记;
④对存放重要数据的盘,要备份两份并分两处保管;
⑤打印有业务数据的打印纸,要视同档案进行管理;
⑥凡超过数据保存期的,须经过特殊的数据清除处理;
⑦凡不能正常记录数据的盘,需经测试确认后由专人进行销毁,并做好登记;
⑧对需要长期保存的有效数据,应质量保证期内进行转存,并保证转存内容正确。
8、简述各类计算机机房对电源系统的要求。
(P53)
电源系统安全应该注意电源电流或电压的波动可能会对计算机网络系统造成的危害。
A、B类安全机房要求,C类安全机房要求。
第三章信息加密与PKI
信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。
3.1.1密码学的发展历程大致经历了三个阶段:
古代加密方法、古典密码和近代密码。
3.1.2密码学的基本概念:
密码学作为数学的一个分支,是研究信息系统安全保密的科学,是密码编码学和密码分析学的统称。
在密码学中,有一个五元组:
明文,密文,密钥,加密算法,解密算法,对应的加密方案称为密码体制。
明文(Plaintext):
是作为加密输入的原始信息,即消息的原始形式,通常用m或p表示。
所有可能明文的有限集称为明文空间,通常用M或P来表示。
密文(Ciphertext):
是明文经加密变换后的结果,即消息被加密处理后的形式,通常用c表示。
所有可能密文的有限集称为密文空间,通常用C表示。
密钥(Key):
是参与密码变换的参数,通常用K表示。
一切可能的密钥构成的有限集称为密钥空间,通常用K表示。
加密算法:
是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用E表示,即c=Ek(p)
解密算法:
是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用D表示,即p=Dk(c)
对于有实用意义的密码体制而言,总是要求它满足:
p=Dk(Ek(p)),即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。
3.1.3加密体制的分类:
从原理上可分为两大类:
即单钥或对称密码体制和双钥或非对称密码体制
单钥密码体制与双钥密码体制的区别:
单钥密码体制的本质特征是所用的加密密钥和解密密钥相同,或实质上等同,从一个可以推出另一个。
单钥密码的特点是无论加密还是解密都使用同一个密钥,因此,此密码体制的安全性就是密钥的安全。
如果密钥泄露,则此密码系统便被攻破。
最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。
按照加密模式的差异,单钥密码体制有序列密码和分组密码两种方式,它不仅可用于数据加密,还可用于消息认证。
单钥密码的优点是:
安全保密度高,加密解密速度快。
缺点是:
1)密钥分发过程十分复杂,所花代价高;
2)多人通信时密钥组合的数量会出现爆炸性膨胀,使分发更加复杂化;
3)通信双方必须统一密钥,才能发送保密的信息;
4)数字签名困难。
双钥密码体制的原理是,加密密钥与解密密钥不同,而且从一个难以推出另一个。
两个密钥形成一个密钥对,其中一个密钥加密的结果,可以用另一个密钥来解密。
双钥密码是:
1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。
优点:
由于双钥密码体制的加密和解密不同,可以公开加密密钥,且仅需保密解密密钥,所以密钥管理问题比较简单。
双钥密码还有一个优点是可以拥有数字签名等新功能。
最有名的双钥密码体系是:
1977年由Rivest,Shamir和Ad1eman人提出的RSA密码体制。
双钥密码的缺点是:
双钥密码算法一般比较复杂,加解密速度慢。
3.2加密算法就其发展而言,共经历了古典密码、对称密钥密码(单钥密码体制)和公开密钥密码(双钥密码体制)三个发展阶段。
3.2.1古典密码算法(P64):
①简单代替密码或单字母密码②多名或同音代替③多表代替④多字母或多码代替。
现代密码按照使用密钥方式不同,分为单钥密码体制和双钥密码体制两类。
3.2.2DES、IDEA、RSA加密算法的基本原理;
(P66)
3.3常见的网络数据加密方式有:
链路加密、节点加密和端到端加密。
3.4.1认证技术的分层模型(P77图)认证技术可以分为三个层次:
安全管理协议、认证体制和密码体制。
认证的三个目的:
一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
二是身份认证,即验证消息的收发者是否持有正确的身份认证符;
三是消息的序号和操作时间等的认证,其目的是防止消息重放或延迟等攻击。
3.4.2认证体制应满足的条件(要求):
①意定的接收者能够检验和证实消息的合法性、真实性和完整性;
②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;
③除了合法的消息发送者外,其他人不能伪造发送消息。
3.4.3手写签名与数字签名的区别:
一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
二是手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
3.4.6数字签名与消息认证的区别:
消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。
当收发者之间没有利害冲突时,这种方式对防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
3.5.1PKI的基本概念:
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。
PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。
特点:
①节省费用②互操作性③开放性④一致的解决方案⑤可验证性⑥可选择性
3.5.2PKI认证技术的组成:
主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。
①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件
3.6PGP和GnuPG是两个常用的公钥加密软件,PGP软件由于采用了专利算法受到美国政府的软件出口限制,GnuPG作为PGP的代替软件,属于开源免费软件,可以自由使用。
1、简述信息加密技术对于保障信息安全的重要作用。
2、简述加密技术的基本原理,并指出有哪些常用的加密体制及其代表算法。
信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。
加密体制的分类:
即单钥或对称密码体制(代表算法:
DES算法,IDEA算法)和双钥或非对称密码体制(代表算法:
RSA算示,ElGamal算法)。
3、试分析古典密码对于构造现代密码有哪些启示?
(P64)
4、选择凯撒(Caesar)密码系统的密钥k=6。
若明文为caesar,密文是什么。
密文应为:
igkygx
5、DES加密过程有几个基本步骤?
试分析其安全性能。
加密过程可表示为:
DES(m)IP-1?
T16?
T15……T2?
T1?
IP(m)
DES:
输入-64bit明文数据-初始置换IP-乘积变换(在密钥控制下16次迭代)-逆初始置换IP-1-64bit密文数据
RSA算法的安全性建立在数论中的“大数分解和素数检测”的理论基础上。
6、在本章RSA例子的基础上,试给出m=student的加解密过程。
(P72)
7、RSA签名方法与RSA加密方法对密钥的使用有什么不同?
(P74)
RSA加密方法是在多个密钥中选用一部分密钥作为加密密钥,另一些作为解密密钥。
RSA签名方法:
如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名私密钥,k3作为公开的验证签名用密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。
8、试简述解决网络数据加密的三种方式。
(P75)
常见的网络数据加密方式有:
①链路加密:
对网络中两个相邻节点之间传输的数据进行加密保护。
②节点加密:
指在信息传输路过的节点处进行解密和加密。
③端到端加密:
指对一对用户之间的数据连续的提供保护。
9、认证的目的是什么,试简述其相互间的区别。
(P77)
10、什么是PKI?
其用途有哪些?
(P83)
11、简述PKI的功能模块组成。
主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。
12、通过学习,你认为密码技术在网络安全实践中还有哪些应用领域?
举例说明。
(P76)
第四章 防火墙技术
4.1.1防火墙的基本概念:
是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
4.1.2防火墙的主要功能:
①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些禁止的业务④记录通过防火墙的信息和内容⑤对网络攻击检测和告警
4.1.3防火墙的局限性:
①网络的安全性通常是以网络服务的开放性和灵活性为代价②防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
4.2防火墙的体系结构:
双重宿主主机体系结构;
屏蔽主机体系结构;
屏蔽子网体系结构。
(图见P106)
4.3防火墙可以分为网络层防火墙和应用层防火墙,这两类防火墙的具体实现技术主要有骗子滤技术、代理服务技术、状态检测技术和NAT技术等。
4.3.1骗子滤技术的工作原理(P110):
工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。
骗子滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。
4.3.1骗子滤技术的缺陷:
①不能彻底防止地址欺骗②无法执行某些安全策略③安全性较差④一些应用协议不适合于数据骗子滤⑤管理功能弱
4.3.2代理服务技术是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
4.3.2代理服务技术的工作原理(P116):
所谓代理服务器,是指代表客户处理连接请求的程序。
当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请求的最终客户。
代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。
代理防火墙工作于应用层,且针对特定的应用层协议。
4.3.2代理技术的优点:
①代理易于配置②代理能生成各项记录③代理能灵活、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其它安全手段集成。
4.3.2代理技术的缺点:
①代理速度较路由器慢②代理对用户不透明③对每项服务代理可能要求不同的服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层协议的安全性。
4.3.3状态检测技术的工作原理(P119):
也称为动态骗子滤防火墙。
基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性,检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。
状态检测防火墙监视和跟踪每一个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。
4.3.3状态检测技术的特点:
①高安全性②高效性③可伸缩性和易扩展性④应用范围广
4.3.4NAT技术的工作原理(P121):
网络地址转换,是一个internet工程任务组的标准,允许一个整体机构以一个公用IP地址出现在互联网上。
即是一种把内部私有IP地址翻译成合法网络IP地址的技术。
NAT有三种类型:
静态NAT、动态NAT和网络地址端口转换NAPT。
4.6.2个人防火墙的主要功能:
①IP数据骗子滤功能②安全规则的修订功能③对特定网络攻击数据包的拦截功能④应用程序网络访问控制功能⑤网络快速切断、恢复功能⑥日志记录功能⑦网络攻击的报警功能⑧产品自身安全功能
4.6.3个人防火墙的特点:
①增加了保护级别,不需要额外的硬件资源;
②除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;
③是对公共网络中的单位系统提供了保护,能够为用户陷隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
缺点:
①对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁;
②在运行时需要战胜个人计算机的内存、CPU时间等资源;
③只能对单机提供保护,不能保护网络系统。
4.7防火墙的发展趋势(P142):
①优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤⑤防病毒与防黑客⑥发展联动技术
1、简述防火墙的定义。
(P103)2、防火墙的主要功能。
(P135)
3、防火墙的体系结构有哪几种?
简述各自的特点。
(P106)
防火墙的体系结构:
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络往另一个网络发送数据包。
双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障的,而被屏蔽主机体系结构则不同,在屏蔽主机体系结构中,提供安全保护的主机仅仅与被保护的内部网络相连.
屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。
4、简述骗子滤防火墙的工作机制和骗子滤模型。
(P110,P111图)
骗子滤型防火墙一般有一个包检查模块,可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控制传输的数据内容,因为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 自考 计算机 网络安全 复习资料