1、 第一章1. 什么是osi安全體系結(jié)構(gòu)？為了有效評估某個機構(gòu)的安全需求，并選擇各種安全產(chǎn)品和策略，負責(zé)安全的管理員需要一些系統(tǒng)性的方法來定義安全需求以及滿足這些安全需求的方法，這一套系統(tǒng)體系架構(gòu)便稱為安全體系架構(gòu)。2. 被動和主動威脅之間有什么不同？被動威脅的本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸，主動威脅包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加。3. 列出并簡要定義被動和主動安全攻擊的分類？被動攻擊：消息內(nèi)容泄漏和流量分析。主動攻擊：假冒，重放，改寫消息和拒絕服務(wù)。4. 列出并簡要定義安全服務(wù)的分類認證，訪問控制，數(shù)據(jù)機密性，數(shù)據(jù)完整性，不可抵賴性。5. 列出并簡要定義安全機制的分類。特定安全機制：為提供osi

2、安全服務(wù)，可能并到適當(dāng)?shù)膮f(xié)議層中。普通安全機制：沒有特定osi安全服務(wù)或者協(xié)議層的機制。 第二章1. 對稱密碼的基本因素是什么？明文，加密算法，秘密密鑰，密文，解密算法。2. 加密算法使用的兩個基本功能是什么？替換和排列組合3. 分組密碼和流密碼區(qū)別是什么？分組時若干比特同時加密。比如DES是64bit的明文一次性加密成密文。流密碼是一個比特一個比特的加密，密碼分析方面有很多不同。比如說密碼中，比特流的很多統(tǒng)計特性影響到算法的安全性。密碼實現(xiàn)方面有很多不同，比如流密碼通常是在特定硬件設(shè)備上實現(xiàn)。分組密碼可以在硬件實現(xiàn)，也可以在計算機軟件上實現(xiàn)。4. 攻擊密碼的兩個通用方法是什么？密碼分析與窮舉

3、法（暴力解碼）5. 為什么一些分組密碼操作模式只使用了加密，而其他的操作模式使用了加密又使用了解密出于加密與解密的考慮，一個密碼模式必須保證加密與解密的可逆性。在密碼分組鏈接模式中，對明文與前一密文分組異或后加密，在解密時就要先解密再異或才能恢復(fù)出明文；在計數(shù)器模式中，對計數(shù)器值加密后與明文異或產(chǎn)生密文，在解密時，只需要相同的計數(shù)器加密值與密文異或就可得到明文。6. 為什么3DES的中間部分是解密而不是加密？3DES加密過程中使用的解密沒有密碼方面的意義。唯一好處是讓3des使用者能解密原來單重des使用者加密的數(shù)據(jù)。 第三章1.消息認證的三種方法：利用常規(guī)加密的消息認證、消息認證碼、單向散列

4、函數(shù)2什么是mac？一種認證技術(shù)利用私鑰產(chǎn)生一小塊數(shù)據(jù)，并將其附到信息上的技術(shù)。3簡述圖3.2的三種方案a使用傳統(tǒng)加密：消息在散列函數(shù)的作用下產(chǎn)生一個散列值，對散列值進行傳統(tǒng)加密后附加到消息上傳送，解密時，把消息上附帶的加密散列值解密得到散列值與消息產(chǎn)生的散列值比較如果不一樣則消息被篡改為偽消息。b使用公鑰加密：過程與傳統(tǒng)加密相似，只是在對散列值加密時采用了公鑰加密方式。c使用秘密值：把秘密值與消息連接，再經(jīng)過散列函數(shù)產(chǎn)生一個散列值，把散列值附加到消息上傳送，解密時，把秘密值與消息連接塊經(jīng)過散列函數(shù)產(chǎn)生的散列值與接收的加密散列值解密后的散列值比較，若一樣，則不是偽消息，否則是偽消息。4、對于消

5、息認證，散列函數(shù)必須具有什么性質(zhì)才可以用 1 H 可使用于任意長度的數(shù)據(jù)塊 2 H 能生成固定長度的輸出 3 對于任意長度的x ，計算H （x ）相對容易，并且可以用軟/ 硬件方式實現(xiàn) 4 對于任意給定值h, 找到滿足H(x)=h 的x 在計算機上不可行5 對于任意給定的數(shù)據(jù)塊x, 找到滿足H （y）=H(x) ，的y=!x 在計算機上是不可行的。6 找到滿足H （x）=H(y) 的任意一對（x,y）在計算機上是不可行的。 4、公鑰加密系統(tǒng)的基本組成元素是什么？明文，加密算法，公鑰和私鑰，密文，解密算法 5、列舉并簡要說明公鑰加密系統(tǒng)的三種應(yīng)用 加密/ 解密，發(fā)送者用接收者公鑰加密信息。數(shù)字簽

6、名，發(fā)送者用自己的私鑰“簽名”消息；密鑰交換 ：雙方聯(lián)合操作來交換會話密鑰。第四章1. 會話密鑰與主密鑰的區(qū)別是什么？主密鑰是指主機與kdc之間通信使用的共享密鑰。而會話密鑰是兩臺主機建立連接后，產(chǎn)生的一個唯一的一次性會話密鑰。2 、一個提供全套kerberos 服務(wù)的環(huán)境由那些實體組成？ 一臺Kerberos 服務(wù)器，若干客戶端和若干應(yīng)用服務(wù)器 3. 什么是現(xiàn)實？現(xiàn)實是指一個隨機數(shù)在as到c的消息中被重復(fù)來確保應(yīng)答是實時的，而不是被攻擊者重放過的。4. 與密鑰分發(fā)有關(guān)的公鑰密碼的兩個不同用處是什么？1公鑰分發(fā)2利用公鑰加密分發(fā)私鑰5. 什么是公鑰證書？公鑰證書由公鑰、公鑰所有者的用戶id和可

7、信的第三方（用戶團體所信任的認證中心CA）簽名的整數(shù)數(shù)據(jù)塊組成，用戶可通過安全渠道把它的公鑰提交給ca，獲得證書。第五章1.、SSL 由那些協(xié)議組成？ SSL 記錄協(xié)議，SSL 握手協(xié)議，SSL 密碼變更規(guī)格協(xié)議，SSL 報警協(xié)議 2. 、SSL 連接和SSL 會話之間的區(qū)別是什么？連接是一種能夠提供合適服務(wù)類型的傳輸。連接是點對點關(guān)系而且是短暫的。會話：SSL 會話是客戶與服務(wù)器之間的一種關(guān)聯(lián)。會話通常用來避免每條連接需要進行的代價高昂的新的安全參數(shù)協(xié)商過程。3、 SSL 記錄協(xié)議提供了那些服務(wù) 機密性（用對稱加密）和消息完整性（用消息認證碼）4. https的目的是什么？在http的基礎(chǔ)上

8、結(jié)合ssl來實現(xiàn)網(wǎng)絡(luò)瀏覽器和服務(wù)器的安全通信。5. 對哪些應(yīng)用ssh是有用的？最初版本ssh致力于提供一個安全的遠程登陸裝置代替telnet和其他遠程無保護機制，ssh還提供一個更為廣泛的用戶/服務(wù)器功能，并支持文件傳輸和E-MAIL等網(wǎng)絡(luò)功能。6. SSH由傳輸層協(xié)議、用戶身份驗證協(xié)議、連接協(xié)議組成第六章1. 什么是802.11WLAN的基本模塊？一個無線局域網(wǎng)的最小組成模塊是基本服務(wù)單元BSS，包含執(zhí)行相同的MAC協(xié)議和競爭同一無線介質(zhì)接口的多個無線站點/3.列出IEEE802.11服務(wù)連接，認證，重認證、取消連接，分發(fā)，整合，MSDU傳輸，加密，重連接。4. 分布式系統(tǒng)是無線網(wǎng)絡(luò)嗎？（可

9、能是也可能不是）分布式系統(tǒng)可以是交換機，有線網(wǎng)絡(luò)，也可以是無線網(wǎng)絡(luò)，所以說分布式系統(tǒng)是無線網(wǎng)絡(luò)不全對。5. 請解釋聯(lián)合的概念和移動概念的相關(guān)性？移動性是指802.11環(huán)境下移動站點的物理轉(zhuǎn)換，包括無轉(zhuǎn)換基于BSS的轉(zhuǎn)換基于擴展服務(wù)單元的轉(zhuǎn)換。聯(lián)合性提供一種BSS中，移動站點向AP證明自己身份以便與其他站點進行數(shù)據(jù)交換的服務(wù)。6.被IEEE802.11定義的安全區(qū)域是什么？IEEE802.11i三個主要安全區(qū)域，認證，密鑰管理，加密數(shù)據(jù)傳輸。7.簡要描述IEEE802.11i操作的四個階段1/發(fā)現(xiàn) 2/認證 3/密鑰產(chǎn)生及其配送 4/保密數(shù)據(jù)傳輸 5/連接終止9.HTML過濾器和WAP代理之間的

10、區(qū)別是什么？HTML過濾器將HTML的內(nèi)容翻譯成無限置標（WML）的內(nèi)容。如果過濾器與WAP代理分開，則利用HTTP/TCP/IP將WML傳送到WAP代理，WAP代理將WML轉(zhuǎn)換成二進制WML格式，并經(jīng)由無線網(wǎng)絡(luò)用WAP協(xié)議棧傳送到移動用戶。10wsp提供什么服務(wù)？Wsp即無線會話協(xié)議。Wsp為兩個會話服務(wù)提供接口應(yīng)用。連接導(dǎo)向的會話服務(wù)基于wtp，非連接會話服務(wù)則是基于不可靠傳輸協(xié)議WDP進行操作。11.WTP的三種傳輸模式在什么時候被使用？1/提供了不可信賴的數(shù)據(jù)報服務(wù)，可以用在不可信進棧操作2/提供了可信賴的數(shù)據(jù)報服務(wù)，可以用在可信進棧操作中3/提供請求回復(fù)傳輸服務(wù)并支持在一個WSP會話

11、中進行多個傳輸。12.簡要描述WTLS提供的安全服務(wù)（網(wǎng)關(guān)的保護）1/數(shù)據(jù)完整性：使用信息認證來確保用戶和網(wǎng)關(guān)之間發(fā)送的數(shù)據(jù)未被篡改2/機密性：使用加密來確保數(shù)據(jù)不被第三方讀取3/認證：使用數(shù)字證書來對兩方進行認證。4/拒絕服務(wù)保護：刪除拒絕重放或者未成功驗證的信息。13. 簡要描述WTLS的四種協(xié)議要素 WTLS記錄協(xié)議：從更高層取得用戶數(shù)據(jù)，并將數(shù)據(jù)封裝在一個協(xié)議數(shù)據(jù)單元中。WTLS密碼變更規(guī)格協(xié)議：該協(xié)議只有一條信息，包含一個數(shù)值為一的比特。該信息的目的將不確定狀態(tài)復(fù)制到當(dāng)前狀態(tài)，以便更新該連接使用的加密套件。WTLS警報協(xié)議：用來將WTLS相關(guān)的警報傳送到peer實體。WTLS握手協(xié)議

12、：允許服務(wù)器和用戶相互認證，并協(xié)商加密和MAC算法以及用來保護WTLS記錄中發(fā)送數(shù)據(jù)的加密密鑰。14. WTLS使用的密鑰握手協(xié)議生成預(yù)主密鑰，預(yù)主密鑰生成主密鑰，主密鑰用來生成各種加密密鑰15描述三種不同的提供WAP端到端安全性的方法1在客戶端和服務(wù)器間使用TLS協(xié)議4，兩端之間建立安全的TLS會話2端到端之間利用IP層的IPSEC來保證安全性3我們假設(shè)WAP網(wǎng)管只作為簡單的互聯(lián)網(wǎng)路由器，這種情況下名為WAP傳輸層端到端安全性的方法第七章1PGP提供的5種主要服務(wù)是什么？認證（用數(shù)字簽名），保密（消息加密），壓縮（用ZIP），電子郵件兼容性（基-64轉(zhuǎn)換）和分段2分離簽名的用途是什么？1滿足

13、用戶希望所有發(fā)送和接收的消息分開存儲和傳送2檢測程序以后是否被感染病毒3可用于對一個合法合同等文檔的雙方進行簽名，每個人的簽名彼此獨立，且只與該文檔有關(guān)3PGP為什么在壓縮前生成簽名1對未壓縮的消息進行簽名可以保存未壓縮的消息和簽名供未來驗證時使用2即使有人想動態(tài)的對消息重新壓縮后進行驗證，用PGP現(xiàn)有的壓縮算法仍然很困難4為什么是基-64轉(zhuǎn)換一組三個8比特二進制數(shù)據(jù)映射為4個ASCII碼字符，同時加上CRC校驗以檢測傳送錯誤5電子郵件應(yīng)用為什么使用基-64轉(zhuǎn)換使用PGP時至少會對一部分數(shù)據(jù)塊加合，若只使用簽名服務(wù)，則需要用發(fā)送方的私鑰對消息摘要加密，若使用保密服務(wù)，則要把消息和簽名用一次性會

14、話密鑰加密因此得到的全部分成全部數(shù)據(jù)塊可能由任意的8比特字節(jié)流組成，然而，許多電子郵件系統(tǒng)僅僅允許使用有ASCII碼組成的塊，為適應(yīng)這個限制，提供轉(zhuǎn)換功能6PGP如何使用信任關(guān)系PGP的信任關(guān)系由“密鑰合法性域”“簽名信任域”，“所有者信任域”構(gòu)成，經(jīng)過三步流程周期性的處理公鑰獲得一致性。9s/mime是什么？是居于RSA數(shù)據(jù)安全性，對互聯(lián)網(wǎng)電子郵件格式標準mine的安全性增強。10DKIM是什么？指電子郵件信息加密簽名的特殊應(yīng)用，他通過一個簽名域來確定信件系統(tǒng)中信息的責(zé)任。 第八章8.2IPsec提供哪些服務(wù)？訪問控制，無連接完整性，數(shù)據(jù)源認證；拒絕重放包，保密性，受限制的流量保密性。8.3

15、那些參數(shù)標識了sa？那些參數(shù)表現(xiàn)了一個特定sa的本質(zhì)？（1）安全參數(shù)索引（SPI）ip目的地址，安全協(xié)議標識（2）序列號計數(shù)器，序列計數(shù)器，反重放窗口。AH信息，ESP信息，此安全關(guān)聯(lián)的生存期，IPSEC協(xié)議模式，最大傳輸單元路徑表示特定的sa8.4傳輸模式和隧道模式有什么區(qū)別？傳輸模式下的ESP加密和認證ip載荷，但不包括ip報頭，AH認證，IP載荷和IP報頭的選中部分；隧道模式下的ESP加密和認證包括內(nèi)部ip報頭的整個內(nèi)部ip包，AH認證整個內(nèi)部ip包和外部ip報頭被選中的部分。8.5什么是重放攻擊？一個攻擊者得到一個經(jīng)過認證的副本，稍后又將其傳送到其被傳送的目站點的攻擊，重復(fù)的接受經(jīng)過認

16、證的ip包可能會以某種方式中斷服務(wù)或產(chǎn)生一些不希望出現(xiàn)的結(jié)果8.6為什么ESP包括一個填充域？（1）如果加密算法要求明文為某個數(shù)目字節(jié)的整數(shù)倍，填充域用于把明文擴展到需要的長度；（2）ESP格式要求填充長度和鄰接報文域為右對齊的32比特字，同樣，密文也是32比特的整數(shù)倍，填充域用來保證這樣的排列 （3）增加額外的填充能隱藏載荷的實際長度，從而提供部分流量的保密第九章9.1列出并簡要定義三類入侵者。（1） 假冒用戶：為授權(quán)使用計算機的個體，或潛入系統(tǒng)的訪問控制來獲得合法用戶的賬戶（2） 違法用戶：系統(tǒng)的合法用戶訪問未授權(quán)的數(shù)據(jù)，程序或者資源或者授權(quán)者誤用其權(quán)限（3） 隱秘用戶：通過某些方法奪取系

17、統(tǒng)的管理控制權(quán)限，并使用這種控制權(quán)躲避審計機制的訪問控制，或者取消審計集合的個體。9.2用于保護口令文件的兩種通用技術(shù)是什么？（1） 單向函數(shù)：系統(tǒng)只保存一個基于用戶口令的函數(shù)值，當(dāng)用戶輸入口令時系統(tǒng)計算該口令的函數(shù)值，并與系統(tǒng)內(nèi)部存儲的值進行比較，實際應(yīng)用中，系統(tǒng)通常執(zhí)行單向變換，在這個變換中，口令被用于產(chǎn)生單向函數(shù)的秘鑰并產(chǎn)生固定長度的輸出(2)訪問控制：訪問口令文件的權(quán)限僅授予一個或幾個非常有限的賬戶9.3入侵防御系統(tǒng)可以帶來哪三個好處？（1） 如果能夠足夠快的速度檢測入侵行為，那么就可以在入侵危害系統(tǒng)或危機數(shù)據(jù)安全之前將其鑒別并驅(qū)逐出系統(tǒng)。即使未能及時監(jiān)測到入侵者，越早發(fā)現(xiàn)入侵行為就會

18、使系統(tǒng)損失程度越小，系統(tǒng)也能越快得到恢復(fù)。（2）有效的入侵檢測技術(shù)是一種威懾力量，能夠起到防護入侵者的作用。（3）入侵檢測可以收集入侵技術(shù)信息有利增強入侵防護系統(tǒng)的防護能力。9.4 統(tǒng)計一場檢測與基于規(guī)則入侵檢測之間有哪些區(qū)別？答：1.統(tǒng)計一場檢測：包括一定時間內(nèi)與合法用戶相關(guān)的數(shù)據(jù)集合，然后用于統(tǒng)計學(xué)測試方法對觀察到的用戶進行測試，一邊能夠更加確定地判斷該行為是否是合法用戶行為。包括闊值檢測，給予行為曲線兩種方法。基于規(guī)則入侵檢測：定義一個規(guī)則集，用于檢測與前行為模式和歷史行為模式的偏離，有異常檢測，滲透檢測兩種方法。2，統(tǒng)計方法用來定義普通或期望的行為，而基于規(guī)則的方法致力于定義正確行為。

19、3統(tǒng)計異常檢測對假冒用戶有效，對違規(guī)用戶不佳，基于規(guī)則可以有效地檢測出代表滲透攻擊行為的時刻或者動作序列。9.7什么是蜜罐？蜜罐是一個誘騙系統(tǒng)，用來把潛在的攻擊者從重要的系統(tǒng)中引開。其目的：1轉(zhuǎn)移攻擊者對重要系統(tǒng)的訪問2收集關(guān)于攻擊者活動的信息3鼓勵攻擊者停留在系統(tǒng)中足夠長的時間以便管理員做出反應(yīng)。9.8在unix口令管理的context中，salt是指什么？用一個12比特隨機數(shù)“salt”對DES算法進行修改，salt和用戶輸入的口令作為加密程序的輸入。9.9列出簡要定義四種用于防止口令猜測的技術(shù)答：1.用戶教育：可以引導(dǎo)用戶認識到選擇難于猜測的口令的重要性，也可以提供一些具體選擇口令的指導(dǎo)

20、原則。2.由計算機生成口令：用戶被提供一個由計算機生成的口令。3.后驗口令檢測：系統(tǒng)周期性地運行它自身的口令破解程序來檢驗易于猜測的口令，對易于猜測的口令，系統(tǒng)將通告用戶并刪除該口令。4前驗口令檢驗;該方案允許用戶選擇自己的口令，但在選擇之初，系統(tǒng)會檢測口令是否難認猜測，如果不是，那么將拒絕該口令。 第十章10.1、在病毒運行過程中，壓縮的作用是什么？由于感染后的程序比感染之前的程序長，所以像簽名所描述的這種病毒很容易被檢測到。防止這種檢測方法的手段是對可執(zhí)行文件壓縮，使得無論該程序是否被感染，它的長度都是相同的。10.2、在病毒運行過程中，加密的作用是什么？為了病毒在生成副本時可以隨機插入多

21、余質(zhì)量或者交換一些獨立指令的順序。一種更有效的方法是采用密碼學(xué)技術(shù)。在這種技術(shù)中，通常將病毒中的某一部分稱為突變引擎，該部分生成一個隨機加密密鑰來對對病毒中其他部分進行加密。這個密鑰由病毒保存，而突變引擎本身可變。可調(diào)用被感染的程序時，病毒使用它保存的隨機密鑰對病毒進行解密。當(dāng)病毒進行復(fù)制時，會選擇不同的隨機密鑰10.3描述病毒或蠕蟲的周期中有那些典型階段睡眠階段，傳播階段，觸發(fā)階段，執(zhí)行階段10.4什么事數(shù)字免疫系統(tǒng)？數(shù)字免疫系統(tǒng)是一種全面而廣泛的病毒保護措施。10.5行為阻斷軟件的工作機理是什么？行為阻斷軟件與主機操作系統(tǒng)相結(jié)合，實時地監(jiān)控惡意的程序行為，在檢測到惡意的程序行為后，行為阻斷

22、軟件將潛在的惡意行為對實際系統(tǒng)實施攻擊之前將其阻止。10.6通常來講，蠕蟲是怎樣傳播的？電子郵件工具，遠程執(zhí)行能力，遠程登陸能力10.7給出一些蠕蟲病毒的對策1基于簽名的蠕蟲掃描過濾2基于過濾器的蠕蟲防范3基于有效載荷分類的蠕蟲防范4闊值隨機漫步的掃描檢測5速率限制。6速率中斷10.8什么是DDOS DOS攻擊指試圖阻止某種服務(wù)的合法用戶使用該服務(wù)，如果這種攻擊是從某單一主機或者網(wǎng)點發(fā)起的，那么他就被稱為DOS攻擊，一個更為嚴重的網(wǎng)絡(luò)威脅就是DDOS.在DDOS攻擊中，攻擊者可以募集遍及整個互聯(lián)網(wǎng)的大量主機，在同一時間或者認協(xié)同發(fā)射方式對目標站點發(fā)起攻擊，試圖消耗目標設(shè)備的資源，使其不能提供服

23、務(wù)。 第十一章11.1列出防火墻的三個設(shè)計目標1所有入站和出站的網(wǎng)絡(luò)流量都必須通過防火墻。2只有經(jīng)過授權(quán)的網(wǎng)絡(luò)流量，防火墻才允許其通過。3防火墻本身不能被攻破，這意味著防火墻應(yīng)該允許在有安全操作系統(tǒng)的可信系統(tǒng)上。11.2 防火墻控制訪問及執(zhí)行安全策略四個技術(shù):服務(wù)控制，方向控制，用戶控制，行為控制；11.3典型的句過濾路由使用了什么信息？源IP地址，目的IP地址，源端和自由端傳輸層地址，IP協(xié)議域，接口；11.4包過濾路由器有那些弱點？1.因為過濾防火墻不檢查更高層的數(shù)據(jù)，因此這種防火墻不能阻止利用了特定應(yīng)用的漏洞或攻能所進行的攻擊2.因為防火墻可利用的信息有限，使得包過濾防火墻的日志記錄功能

24、也有限3.大多數(shù)包過濾防火墻不支持高級的用戶認證機制4.包過濾防火墻不支持高級的用戶認證機制，包過濾防火墻對利用TCP/IP規(guī)范和協(xié)議棧存在的問題進行的攻擊沒有良好的應(yīng)對措施5.包過濾防火墻只根據(jù)幾個變量進行訪問控制決策，不恰當(dāng)?shù)脑O(shè)置會引起包過濾防火墻的安全性容易受到威脅。11.5包過濾路由器和狀態(tài)檢測防火墻的區(qū)別是什么？傳統(tǒng)的包過濾防火墻僅僅對單個數(shù)據(jù)包做過濾判斷，不考慮更高層的上下文信息，狀態(tài)檢測包過濾器通過建造了一個出站TCP鏈接目錄加強了TCP流量的規(guī)則，當(dāng)前每個已建立的連接都有一個入口與之相對應(yīng)。包過濾器僅當(dāng)那些數(shù)據(jù)包符合這個目錄里面某個條目資料的時候，允許那些到達高端口的入站流量通

25、過。11.6什么是應(yīng)用層網(wǎng)關(guān)？應(yīng)用層網(wǎng)關(guān)也稱作代理服務(wù)器，起到了應(yīng)用層流量緩沖器的作用。11.7什么是鏈路層網(wǎng)關(guān)？也稱鏈路層代理，是單機系統(tǒng)或應(yīng)用層網(wǎng)關(guān)為特定的應(yīng)用程序執(zhí)行的專門功能11.9什么是堡壘主機的共同特性？1. 堡壘主機硬件系統(tǒng)執(zhí)行其操作系統(tǒng)的安全版本，令其成為可信系統(tǒng)2. 只有網(wǎng)絡(luò)管理者認為是基本的服務(wù)才能在堡壘主機上安裝3. 在用戶被允許訪問代理服務(wù)之前堡壘主機可能要對其進行附加認證，另外，在允許用戶訪問之前，各個代理服務(wù)可能需要各自的認證；4. 每個代理被設(shè)為只支持標準引用命令集的子集5. 每個代理被設(shè)為只允許特定主機系統(tǒng)的訪問6. 每個代理通過記錄所有通信每個連接以及每個連接

26、的持續(xù)時間維持詳細的信息審問記錄7. 每個代理模塊是專門為網(wǎng)絡(luò)安全設(shè)計的非常小的軟件包8. 在堡壘主機中每個代理都獨立與其他代理9. 代理通常除了讀自己的初始配置文件之外不進行磁盤讀取操作10. 每個代理堡壘主機上一個專用而安全的目錄中以一個無特權(quán)的用戶運行11.10為什么主機防火墻是有用的？1. 過濾規(guī)則可以符合主機環(huán)境，對于服務(wù)器的corporate安全策略得以執(zhí)行，并且不同應(yīng)用的服務(wù)器使用不同過濾器2.保護的提供是獨立于拓撲結(jié)構(gòu)的3.和獨立防火墻一起使用，主機防火墻可以提供額外的層保護11.11什么事DMZ網(wǎng)絡(luò)？在這樣的網(wǎng)絡(luò)上你想能發(fā)現(xiàn)什么類型的系統(tǒng)？在內(nèi)部和外部防火墻之間有一個或多個網(wǎng)

27、絡(luò)設(shè)備，該區(qū)域被稱為DMZ網(wǎng)絡(luò)段，一些外部可接入并且需要保護的系統(tǒng)一般放在DMZ，實際上，DMZ的系統(tǒng)需要需要外部鏈接，如企業(yè)網(wǎng)址、E-MAIL服務(wù)器或者DNS服務(wù)器11.12內(nèi)部防火墻和外部防火墻的區(qū)別是什么？1外部防火墻放在本地或者企業(yè)網(wǎng)絡(luò)邊緣，在連接到因特網(wǎng)或一些廣域網(wǎng)的邊界路由器之內(nèi)。一個或多個內(nèi)部防火墻保護企業(yè)網(wǎng)絡(luò)的大部分。2.外部防火墻提供接入控制和對DMZ所需的外部連接相協(xié)調(diào)的保護，為剩余的企業(yè)網(wǎng)絡(luò)提供基本保護。內(nèi)部防火墻增加了更嚴格的過濾能力，以保護企業(yè)服務(wù)器和工作站免于外部攻擊；提供了與DMZ相關(guān)的雙向保護；多個內(nèi)部防火墻可以用來對內(nèi)部網(wǎng)絡(luò)各部分之間進行保護。第三版第一章：

28、1、什么是OSI安全體系結(jié)構(gòu)？(P6) 一、2 安全攻擊 安全機制 安全服務(wù) 2、被動和主動安全威脅之間有什么不同？(P6) 被動攻擊的本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸；主動攻擊包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加 3列出并簡要定義被動和主動安全攻擊的分類？(P6) 被動攻擊：內(nèi)容泄漏和流量分析；主動攻擊：假冒，重放，改寫消息，拒絕服務(wù) 4、列出并簡要定義安全服務(wù)的分類？(P9) 認證，訪問控制，數(shù)據(jù)機密性，數(shù)據(jù)完成性，不可抵賴性 5、列出并簡要定義安全機制的分類？(P11-12) 加密，數(shù)字簽名，訪問控制，數(shù)據(jù)完整性，可信功能，安全標簽，事件檢測，安全審計跟蹤，認證交換，流量填充，路由控制，公證，安全

29、恢復(fù)。 第二章： 1、對稱密碼的基本因素是什么？(P23) 明文，加密算法，秘密密鑰，密文，解密算法 2、加密算法使用的兩個基本功能是什么？(P24) 替換和重排 3、兩個人通過對稱密碼通信需要多少個密鑰？(P24) 一、3 1個 4、分組密碼和流密碼的區(qū)別是什么？(P33) 流密碼是一個比特一個比特的加密，分組密碼是若干比特（定長）同時加密。比如des是64比特的明文一次性加密成密文。 密碼分析方面有很多不同。比如流密碼中，比特流的很多統(tǒng)計特性影響到算法的安全性。 密碼實現(xiàn)方面有很多不同。比如流密碼通常是在特定硬件設(shè)備上實現(xiàn)。分組密碼既可以在硬件實現(xiàn)，也方便在計算機上軟件實現(xiàn)。 5、攻擊密碼

30、的兩個通用方法是什么？ 密鑰搜索和窮舉方法 7、什么是三重加密？(P28) 在這種方式里，使用三個不同的密鑰對數(shù)據(jù)塊進行三次加密，三重DES的強度大約和112-bit的密鑰強度相當(dāng)。三重DES有四種模型。 （a）使用三個不同密鑰，順序進行三次加密變換 （b）使用三個不同密鑰，依次進行加密-解密-加密變換 （c）其中密鑰K1=K3,順序進行三次加密變換 （d）其中密鑰K1=K3，依次進行加密-解密-加密變換 8、為什么3DES的中間部分是解密而不是加密？(P29) 3DES加密過程中的第二步使用的解密沒有密碼方面的意義。它的唯一好處是讓3DES的使用者能夠解密原來單重DES使用者加密的數(shù)據(jù)9、鏈

31、路層加密和端到端加密的區(qū)別是什么？(P41) 對于鏈路層加密，每條易受攻擊的通信鏈路都在其兩端裝備加密設(shè)備。所以通信鏈路的所有通信都受到保護，提供了較高的安全性。 對于端到端加密，加密過程在兩個端系統(tǒng)上實現(xiàn)。源主機和終端加密數(shù)據(jù)，該數(shù)據(jù)以加密過的形式，通過網(wǎng)絡(luò)不可變更地傳輸?shù)侥康牡亟K端或者主機。 10、列出將密鑰分發(fā)給通信雙方的方法。(P42) 1.通過物理方法傳遞。2.依靠第三方通過物理方式傳遞給通信雙方。3.一方用舊密鑰加密新密鑰傳遞給另一方。4.采用“密鑰分發(fā)中心KDC”通過加密鏈路傳遞給通信雙方。 11、會話密鑰和主密鑰的區(qū)別是什么？(P42,P312) 主密鑰（Master key）

32、是被客戶機和服務(wù)器用于產(chǎn)生會話密鑰的一個密鑰。這個主密鑰被用于產(chǎn)生客戶端讀密鑰，客戶端寫密鑰，服務(wù)器讀密鑰，服務(wù)器寫密鑰。主密鑰能夠被作為一個簡單密鑰塊輸出 會話密鑰是指：當(dāng)兩個端系統(tǒng)希望通信，他們建立一條邏輯連接。在邏輯連接持續(xù)過程中，所以用戶數(shù)據(jù)都使用一個一次性的會話密鑰加密。在會話和連接結(jié)束時，會話密鑰被銷毀。12、什么是密鑰分發(fā)中心？(P43) 密鑰分發(fā)中心判斷那些系統(tǒng)允許相互通信。當(dāng)兩個系統(tǒng)被允許建立連接時，密鑰分發(fā)中心就為這條連接提供一個一次會話密鑰。 第三章： 1、列舉消息認證的三種方法：(P48) 單向散列函數(shù)，消息認證碼MAC，利用常規(guī)加密的消息認證 2、什么是MAC：(P4

33、9) 一種認證技術(shù)。利用私鑰產(chǎn)出一小塊數(shù)據(jù)，并將其附到消息上。這種技術(shù)稱為消息驗證碼。 3、簡述圖3.2所示的三種方案：(P50) 一、6 A使用傳統(tǒng)加密。B.使用公鑰加密。C.使用秘密值。 4、對于消息認證，散列函數(shù)H必須具有什么性質(zhì)才可以用：(P51) 1 H可使用于任意長度的數(shù)據(jù)塊 2 H能生成固定長度的輸出 3 對于任意長度的x，計算H（x）相對容易，并且可以用軟/硬件方式實現(xiàn) 4對于任意給定值h,找到滿足H(x)=h的x在計算機上不可行。 5對于任意給定的數(shù)據(jù)塊x,找到滿足H（y）=H(x)，的y=!x在計算機上是不可行的。 6找到滿足H（x）=H(y)的任意一對（x,y）在計算機上

34、是不可行的。 5、對于散列函數(shù)的內(nèi)容，壓縮函數(shù)是什么：(P56) 壓縮函數(shù)也具有散列函數(shù)的特征，具有抗碰撞能力的壓縮函數(shù)可以被用來設(shè)計成消息認證方法。Whirlpool算法就是采用AES分組加密方法使用于壓縮函數(shù)。 6、公鑰加密系統(tǒng)的基本組成元素是什么？(P59) 明文，加密算法，公鑰和私鑰，密文，解密算法 7、列舉并簡要說明公鑰加密系統(tǒng)的三種應(yīng)用：(P60) 一、7 加密/解密，數(shù)字簽名，密鑰交換 8、私鑰和密鑰之間有什么區(qū)別：(P60) 傳統(tǒng)加密算法中使用的密鑰被特別地稱為密鑰，用于公鑰加密的兩個密鑰被稱為公鑰和私鑰。私鑰總是保密的，但仍然被稱作私鑰而不是密鑰，這是為了避免與傳統(tǒng)加密混淆。

35、 9、什么是數(shù)字簽名：(P67) A想給B發(fā)送消息，b收到密文時，她能夠用a的公鑰進行解密，從而證明這條消息確實是A加密的，因為沒有其他人擁有A的私鑰，所以其任何人都不能創(chuàng)建由A的公鑰能夠解密的密文。因此，整個加密的消息就成為一個數(shù)字簽名。 10、什么是公鑰證書：(P67) 一、9 公鑰證書由公鑰加上所有者的用戶ID以及可信的第三方簽名的整個數(shù)據(jù)塊組成。 11、公鑰加密如何用來分發(fā)密鑰：(P69) 1準備消息 2利用一次性傳統(tǒng)會話密鑰，使用傳統(tǒng)加密方法加密消息 3利用對方的公鑰，使用公鑰加密的方法加密會話密鑰 4把加密的會話密鑰附在消息上，并且把他發(fā)送給對方 第四章： 1、設(shè)計KERBEROS

36、是為了解決什么問題？(P78) 一、11 假設(shè)在一個開放的分布式環(huán)境中，工作站的用戶希望訪問分布在網(wǎng)絡(luò)各處的服務(wù)器的服務(wù)。我們希望服務(wù)器能夠?qū)⒃L問權(quán)限限制在授權(quán)用戶范圍內(nèi)，并且能夠認證服務(wù)請求。 2、在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上，與用戶認證有關(guān)的三個威脅是什么？(P78) 1）、一個用戶可能進入一個特定的工作站，并冒充使用那個工作站的其他用戶 2）、一個用戶可能改變一個工作站的網(wǎng)絡(luò)地址，使得從此工作站發(fā)出的請求好像是從被偽裝的工作站發(fā)出的 3）、一個用戶可能竊聽信息交換，并使用重放攻擊來獲取連接服務(wù)器，或者是破壞正常操作。 3、列出在分布式環(huán)境下進行安全用戶認證的三種方式：(P79) 1.依靠每個用戶工作

37、站來確認用戶或用戶組，并依靠每個服務(wù)器通過給予每個用戶身份的方法來強制實施安全方案 2.要求服務(wù)器對用戶系統(tǒng)進行認證，在用戶身份方面信任用戶系統(tǒng) 3.需要用戶對每個調(diào)用的服務(wù)證明自己的身份，也需要服務(wù)器向用戶證明他們的身份 4、對Kerberos提出的四點要求是什么？(P79) 安全，可靠，透明，可伸縮 5、一個提供全套kerberos服務(wù)的環(huán)境由那些實體組成？(P86) 一臺Kerberos服務(wù)器，若干客戶端和若干應(yīng)用服務(wù)器 6、在kerberos環(huán)境下，域指什么？(P86) 一個提供全套服務(wù)的Kerberos 環(huán)境，包括一臺Kerberos 服務(wù)器、若干臺客戶端和若干應(yīng)用服務(wù)器的這種環(huán)境被

38、稱為Kerberos域。 7.kerberos版本4和版本5的主要區(qū)別由那些？(P88) 版本5要解決版本4在兩方面的局限：環(huán)境上有6個方面的不足和技術(shù)上有5個方面的缺陷。(請例舉)。 8、X.509標準的目的是什么？(P93) 1、X.509定義了一個使用X.500目錄向其用戶提供認證服務(wù)的框架 2、X.509是一個重要的標準，因為、X.509中定義的證書結(jié)構(gòu)和認證協(xié)議在很大環(huán)境下都會使用。 3、X.509最初發(fā)布于、1988年 4、X.509基于公鑰加密體制和數(shù)字簽名的使用。 9、什么叫證書鏈？（P95-P96） 在多個CA認證中心之間需要相互認證各自的用戶時，由各個CA認證中心相互認證的

39、證書，形成一個證書鏈，通信雙方通過這個證書鏈取得相互信任。 10怎樣撤銷X.509證書？(P97)每一個存放在目錄中的證書撤銷列表都由證書發(fā)放者簽名，并且包括：發(fā)放者的名稱，列表創(chuàng)建日期，下一個CRL計劃發(fā)放日期和每一個被撤銷證書的入口。當(dāng)用戶從消息中得到證書時，必須要確定證書是否被撤銷。用戶可以在每次收到證書時檢查目錄。為了避免由目錄搜索帶來的延遲，用戶可以維護一個記錄證書和被撤銷證書列表的本地緩存。 第五章： 1、PGP提供的5種主要服務(wù)是什么？(P109) 一、12 認證(數(shù)字簽名)，保密(消息加密)，壓縮，電子郵件兼容和分段。 2、分離簽名的用途是什么？(P110) 分離簽名可以與其簽

40、名的消息分開存儲和傳送，這在許多情況下都有用：1用戶的要求；2防止病毒；3可以多方簽名。 3、PGP為什么在壓縮前生成簽名？(P111) 1.對未壓縮的消息進行簽名可以保存未壓縮的消息和簽名供未來驗證時使用； 2.即使有人想動態(tài)地對消息重新壓縮后進行驗證，用PGP現(xiàn)有的壓縮算法仍然會比較困難。 4、什么是基-64轉(zhuǎn)換？(P112) 將一組三個8比特二進制數(shù)據(jù)映射為4個ASCII碼字符，同時加上CRC校驗以檢測傳送錯誤。 5、電子郵件應(yīng)用為什么使用基-64轉(zhuǎn)換？(P112) 使用PGP時，要對數(shù)據(jù)進行加密。加密得到的數(shù)據(jù)可能是由任意的8比特字節(jié)流組成。然而許多電子郵件系統(tǒng)僅僅允許使用由ASCII

41、碼組成的數(shù)據(jù)塊。為適應(yīng)這個限制，PGP提供了將8比特二進制流轉(zhuǎn)換為可打印的ASCII碼字符的功能。 6、PGP為什么需要分段和重組？(P113) 電子郵件工具通常限制消息的最大長度。未來適應(yīng)這個限制，PGP自動將長消息分段，使之可以通過電子郵件發(fā)送。分段在所以其他操作（包括基-64轉(zhuǎn)換）治好進行。因此，會話密鑰和簽名部分僅在第一個分段的開始出現(xiàn)。 7、PGP如何使用信任關(guān)系？(P119) PGP的信任關(guān)系由 “密鑰合法性域”、“簽名信任域”、“所有者信任域”這三個域構(gòu)成。經(jīng)過三步流程(寫出三個流程的過程)，周期性的處理公鑰獲得一致性。 8、RFC 822是什么？(P121) 一、13 RFC

42、822定義了一種電子郵件傳輸?shù)奈谋鞠⒏袷剑@是一種被廣泛使用的基于互聯(lián)網(wǎng)傳遞的文本郵件標準。包括信封和內(nèi)容兩部分(寫出這兩部分內(nèi)容)。 9、MIME是什么？(P122) 一、14 是指多用途網(wǎng)際郵件擴展是對RFC 822框架的擴展，用于解決關(guān)于電子郵件的SMTP，簡單郵件傳輸或其他郵件傳輸協(xié)議和RFC 822存在的一些問題和局限性。 10、S/MIME是什么？(P121) 是基于RSA數(shù)據(jù)安全性，對互聯(lián)網(wǎng)電子郵件格式標準MIME的安全性增強。雖然PGP和S/MIME都基于IETF標準，但S/MIME側(cè)重于適合商業(yè)和團體使用的工業(yè)標準. 第六章： 1、舉出一個應(yīng)用IPSEC的例子：(P143)

43、 1.路由器廣播；2.鄰居廣播；3.重定向報文；4.路由更新未被偽造。(詳細寫出一個即可) 2、IPSEC提供那些服務(wù)？(P145) 訪問控制，無連接完整性，數(shù)據(jù)源認證，拒絕重返包，保密性，受限制的流量保密性 3、那些參數(shù)表示了SA，那些參數(shù)表現(xiàn)了一個特定SA的本質(zhì)？(P146) 由安全參數(shù)索引、IP目的地址、安全協(xié)議標識三個參數(shù)確定一個SA。由“序列號計數(shù)器，序列計數(shù)器溢出，反重放窗口，AH信息，ESP信息，此安全關(guān)聯(lián)的生存期，IPSec 協(xié)議模式，最大傳輸單元路徑”等參數(shù)表示一個特定的SA。 4、傳輸模式與隧道模式有何區(qū)別？(P148) 傳輸模式是對IP數(shù)據(jù)包的載荷(上層協(xié)議)、IPV6報

44、頭的擴展部分進行保護和認證；隧道模式是對整個內(nèi)部IP包、IPV6報頭的擴展部分進行保護和認證。 5、什么是重放攻擊？(P149) 一、15 重放攻擊就是一個攻擊者得到了一個經(jīng)過認證的包的副本，稍后又將其傳送到其希望被傳送到的目的的站點的攻擊。 6、為什么ESP包括一個填充域？(P153) ESP格式要求填充長度和鄰接報頭域為右對齊的32比特的字，同樣，密文也是32比特的整數(shù)倍，填充域用來保證這樣的排列。 7、捆綁SA的基本方法是什么？(P156) 1.傳輸鄰接：這種方法指在沒有激活隧道的情況下，對一個IP包使用多個安全協(xié)議。 2.隧道迭代：指通過IP隧道應(yīng)用多層安全協(xié)議。 8、Oakley密鑰

45、確定協(xié)議和ISAKMP在IPSec中起到什么作用？(P158) IPSec的密鑰管理部分包括密鑰的確定和分發(fā)。分手動密鑰管理和自動密鑰管理兩種類型。Oakley和ISAKMP就是IPSec的自動密鑰管理協(xié)議。 第七章： 1、圖7.1給出的三種方法的各自優(yōu)點是什么？(P177) 采用IPSec方法的優(yōu)勢是在網(wǎng)絡(luò)層上實現(xiàn)安全，對于終端用戶和應(yīng)用是透明的，用戶和應(yīng)用程序不必考慮安全機制。采用SSL/TLS方式的優(yōu)勢是在傳輸層上實現(xiàn)安全傳輸，在Web拂去其和Web客戶端嵌入該安全方法，就能夠保證互聯(lián)網(wǎng)上實現(xiàn)且安全的訪問。而采用諸如PGP、SET等方法的優(yōu)勢是可以針對特定的需求和應(yīng)用，定制特別的安全機制

46、。該機制是在應(yīng)用層上實現(xiàn)安全訪問。 2、SSL由那些協(xié)議組成？(P178圖7.2) 一、18 SSL記錄協(xié)議，SSL握手協(xié)議，SSL密碼變更規(guī)格協(xié)議，SSL報警協(xié)議。 3、SSL連接和SSL會話之間的區(qū)別是什么？(P178) 連接是一種能夠提供合適服務(wù)類型的傳輸。會話：SSL會話是客戶與服務(wù)器之間的一種關(guān)聯(lián)。 4、列出定義SSL會話狀態(tài)的參數(shù)，并簡要給出各參數(shù)的定義：(P179) 會話標識符，對等證書，密碼規(guī)格，主密鑰，可恢復(fù)性。(要寫出定義) 5、列出定義SSL會話連接的參數(shù)，并簡要給出各參數(shù)的定義：(P179) 服務(wù)器和客戶端隨機數(shù)，服務(wù)器寫MAC密鑰，客戶端寫MAC密鑰，服務(wù)器寫密鑰，客

47、戶端寫密鑰，初始化向量，序列號。(要寫出定義) 6、SSL記錄協(xié)議提供了那些服務(wù)：(P179-180) 機密性和消息完整性。(要寫出定義) 7、SSL記錄協(xié)議執(zhí)行過程中涉及到那些步驟？(P180) 先將數(shù)據(jù)分段成可操作的塊，然后選擇壓縮或不壓縮數(shù)據(jù)，再生成MAC，加密，添加頭并將最后的結(jié)構(gòu)作為一個TCP分組送出。 8、列出SET的主要參與者，并簡要給出他們的定義：(P194-195) 持卡者：在待膩子環(huán)境下，消費者與公司客戶是通過互聯(lián)網(wǎng)上的個人計算機與商家發(fā)生聯(lián)系的。 商家：商家是能夠售賣貨物或服務(wù)給持卡者的個人或組織。 發(fā)卡機構(gòu)：發(fā)卡機構(gòu)是能夠為持卡者提供支付卡的金融機構(gòu)。 代理商：代理商是

48、為了商家建立帳戶并處理支付卡認證與支付事物的金融機構(gòu)。 支付網(wǎng)關(guān)：是代理商或指定第三方運作的專門處理商家支付信息的功能設(shè)施 認證機構(gòu)：是一個為持卡者，商家和支付網(wǎng)關(guān)簽發(fā)X.509V3公鑰證書的可信實體。 9、什么是雙重簽名？其目的是什么？(P196) 雙重簽名是SET協(xié)議中，保證發(fā)出的訂單信息OI與相對應(yīng)的致富信息PI是唯一對應(yīng)的。 消費者使用簽名：DS=E（PRc,H(H(PI)|H(OI)）； 商家使用簽名：H(PIMD|HOI);D(PUc,DS)； 銀行驗證簽名：H(HPI|OIMD);D(PUc,DS)。這樣三方都可以證明該項交易真實性。 第八章： 1、把網(wǎng)絡(luò)管理體系結(jié)構(gòu)視為一個整體

49、的意義是什么？(P205) 網(wǎng)絡(luò)管理系統(tǒng)將整個網(wǎng)絡(luò)視為一個統(tǒng)一的體系結(jié)構(gòu)，并為系統(tǒng)中的各個點分配地址和標簽，為系統(tǒng)所知的每個部件和鏈路分配特定的屬性。網(wǎng)絡(luò)中的主動部件會定期的將其狀態(tài)信息反饋給網(wǎng)絡(luò)控制中心。 2、SNMP模型中的關(guān)鍵元素是什么? (P205-206) 一、20 管理站，管理代理，管理信息庫，網(wǎng)絡(luò)管理協(xié)議 3、什么是MIB？(P206) 為了管理網(wǎng)絡(luò) 中的資源，SNMP使用客體來描述每個資源。客體的本質(zhì)是數(shù)據(jù)變量，它描述管理代理在某一個方面的屬性。科特的集合構(gòu)成了MIB,MIB的功能是作為管理站在代理上的訪問點集合。 4、SNMPV1提供那些基本功能和命令？(P206) 一、21

50、 GET, SET, Notify 5、SNMP委托代理的功能是什么？(P207-208) 對于沒有安裝SNMP的設(shè)備進行網(wǎng)絡(luò)管理，稱之為“委托代理”。是采用“管理站查詢”“委托代理轉(zhuǎn)發(fā)”“代理設(shè)備應(yīng)答”“委托代理設(shè)陷井告知管理站”的流程工作的。 6、簡要解釋SNMPV1的共同體概念？(P211) 是一個SNMP代理和一組SNMP管理器之間的關(guān)系，共同體定義了認證，訪問控制和委托代理特性。 7、SNMPV1,SNMPV2和SNMPV3之間的關(guān)系是什么？(P205、P209、P213) SNMPv1是具備網(wǎng)絡(luò)管理的基本功能；SNMPv2增強了v1版的功能，如可以管理分布式網(wǎng)絡(luò)、支持用非TCP/IP協(xié)議簇的其他協(xié)議、支持本地