1、前九章第一章論述題網(wǎng)絡安全威脅出現(xiàn)的問題及采取的措施1.網(wǎng)絡出現(xiàn)安全威脅的原因：（1） 薄弱認證環(huán)節(jié)。（2） 系統(tǒng)的易被監(jiān)視性。（3） 易欺騙性。（4） 有缺陷的局域網(wǎng)服務和相互信任的主機（5） 復雜的設置和控制（6） 無法估計的主機的安全性簡答：（3）使用IP Source Routing，采用以下操作可以把攻擊者的系統(tǒng)假扮成某一特定服務器的可信任用戶。（1） 攻擊者要使用那個被信任的客戶的IP地址取代自己的地址。（2） 攻擊者構(gòu)造一條腰攻擊的服務器和其之際間的直接路徑，把被信任的客戶作為通向服務器的路徑的最后節(jié)點。（3） 攻擊者用這條路徑向服務器發(fā)出客戶申請。（4） 服務器接受客戶申請，就

2、好像是從可信任客戶直接發(fā)出一樣，然后給可信任客戶反響回應。（5） 可信任客戶使用這條路徑將包向前傳送給攻擊者的主機2.網(wǎng)絡安全機制（1） 加密機制（2） 訪問控制機制（3） 數(shù)據(jù)完整性機制數(shù)據(jù)單元完整性是指組成一個單元的一段數(shù)據(jù)不被破壞和增刪篡改數(shù)據(jù)序列完整性是指發(fā)出的數(shù)據(jù)分割為俺序列號編排的許多單元時，在接收時還能按原來的序列把數(shù)據(jù)串聯(lián)起來，而不會發(fā)生數(shù)據(jù)單元的丟失、重復、亂序、假冒等情況（4） 數(shù)字簽名機制<1>否認：事后發(fā)送折不承認文件是他發(fā)送的<2>偽造：有人自己偽造了一份文件，卻聲稱是某人發(fā)送的<3>冒充：冒充別人的身份在網(wǎng)上發(fā)送文件<4&g

3、t;篡改：接收者私自篡改文件的內(nèi)容數(shù)字簽名機制具有可證實性、不可否認性、不可偽造性和不可重用性。（5） 交換鑒別機制（6） 公正機制（7） 流量填充機制（8） 路由控制機制第二章地址解析協(xié)議（ARP）、拒絕服務（DoS）、分布式拒絕服務（DDoS）簡答：5種基本攻擊方式：社會工程、密碼猜測、弱密鑰、數(shù)學推理和生日攻擊。黑客：利用先進的計算機技術(shù)非惡意地攻擊計算機的人。破襲者：是指惡意干擾計算機安全的人。腳本小子是缺乏知識的用戶。網(wǎng)絡間諜是被雇傭侵入計算機盜竊信息的人員。有三種識別攻擊：中間人攻擊、再現(xiàn)式攻擊和TCP/IP攻擊。分布式拒絕服務（DDoS）有以下階段：（1） 攻擊者侵入了一臺具有很

4、多磁盤空間和高速網(wǎng)絡連接的大計算機。這臺計算機叫做管理者。（2） 管理者管理者計算機裝入特殊軟件來掃描數(shù)千臺計算機，尋找操作系統(tǒng)中具有軟件漏洞的計算機。（3） 當找到帶有漏洞的計算機時，大計算機把軟件裝入這些計算機中，這些計算機被稱為僵尸。而這些僵尸計算機的使用者卻毫不知情。（4） 管理者計算機命令所有僵尸計算機發(fā)動服務拒絕攻擊。惡意代碼即木馬程序：指包含侵入計算機或破壞計算機代碼的計算機程序。最主要的有：病毒、蠕蟲、邏輯炸彈、特洛伊木馬和后門程序。計算機病毒（Computer Virus）：編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或

5、者程序代碼。第三章證書認證（CA）挑戰(zhàn)握手認可協(xié)議（CHAP）訪問控制列表（ACL）訪問控制入口（ACEs）強制訪問控制（MAC）角色訪問控制（RBAC）自主訪問控制（DAC）網(wǎng)絡操作系統(tǒng)（NOS）Microsoft管理控制臺（MMC）新技術(shù)文件系統(tǒng)（NTFS）普通網(wǎng)關(guān)接口（CGI）因特網(wǎng)信息服務（IIS）網(wǎng)絡新聞傳輸協(xié)議（NNTP）動態(tài)主機配置協(xié)議（DHCP）輸入輸出系統(tǒng)（BIOS）名詞解釋安全基準：是指安全需求的最低限度。論述題P46信息安全的原則：多層 限制 差異性 模糊性 簡單性1 多層原則安全系統(tǒng)必須設置多層，使得攻擊者不能全部攻破各層之間要相互協(xié)作以確保更加有效的安全保護2 限制原

6、則限制接觸信息的人員會減少其威脅接觸程度也必須限制在他所限制的范圍內(nèi)3差異性原則4模糊性原則使用不同機制5簡單性原則P48-49信息安全依靠3大支柱：認證、訪問控制和監(jiān)督。 認證的分類：（1）通過知道的信息認證（2）通過擁有的信息認證（3）通過身份認證公鑰體制：利用一對互相匹配的密鑰進行加密，解密密鑰：解密和簽名，同時設定公鑰，對公密鑰解密加固應用程序不僅要安裝補丁，還必須加固應用程序運行的服務，以確保數(shù)據(jù)庫安全。加固服務可以防止攻擊者通過軟件進入系統(tǒng)。加固網(wǎng)絡需要兩個步驟：1升級2合理設置網(wǎng)絡配置的主要方法：數(shù)據(jù)到達網(wǎng)絡時進行過濾P67 表3-7第四章BNC連接器：細同軸電纜的連接 屏蔽雙絞

7、線（STP） 非屏蔽雙絞線（UTP） 電子工業(yè)協(xié)會（EIA） 電視通信工業(yè)協(xié)會（TIA） 電話連接器（RJ11）通用串行總線（USB） 簡單網(wǎng)絡管理協(xié)議（SNMP） 管理信息庫（MIB）隔離區(qū)（DMZ） 網(wǎng)絡地址轉(zhuǎn)換（NAT）端口地址轉(zhuǎn)換（PAT） 互聯(lián)網(wǎng)服務供應商（ISP）網(wǎng)絡的物理架構(gòu)用以承載設備間的通信信號，叫做電纜設施。三種通信媒體：同軸電纜、雙絞線和光纜。怎樣保護電纜安全？保護電纜安全的第一防線就是足夠的物理安全。其目標是防止非授權(quán)用戶接觸設備或電纜設施以使用、偷竊或破壞。可錄式光盤（CDR）最多存儲650M。一旦數(shù)據(jù)刻錄完成，不能更改?？芍貜妥x寫光盤（CDRW）光盤只讀內(nèi)存（CDR

8、OM）數(shù)字通用光盤（DVD）可錄式數(shù)字通用光盤（DVDR）單面最多存儲3.95G，雙面最多存儲7.9G可重復讀寫數(shù)字通用光盤（DVDRAM）單面最多存儲2.6G，雙面最多存儲5.2G防火墻是一種高級訪問控制設備，是在被保護網(wǎng)和外網(wǎng)之間執(zhí)行訪問控制策略的一種或一系列部件的組合。防火墻的功能： 1控制對網(wǎng)點的訪問和封鎖網(wǎng)點對信息的泄漏 2防火墻可看作檢查點，只允許授權(quán)的通信通過，保護網(wǎng)絡中脆弱的服務。 3能限制被保護子網(wǎng)的泄漏 4具有審計作用 5能強制安全作用防火墻的技術(shù)： 1包過濾技術(shù)（Packet Filtering） 優(yōu)點：不用改動應用程序，一個過濾路由器能協(xié)助保護整個網(wǎng)絡，數(shù)據(jù)包過濾對用戶

9、透明，過濾路由器速度快、效率高。 缺點：維護比較困難，不能徹底防止地址欺騙，隨著過濾器數(shù)量的增加，路由器的吞吐量會下降。 2狀態(tài)包監(jiān)測技術(shù)（Stateful Packet Filtering）較包過濾更為有效的安全控制方法。適合網(wǎng)絡流量大的環(huán)境。 3應用代理技術(shù)（Application Proxy）代理（Proxy）服務技術(shù)又成為應用層網(wǎng)關(guān)（Application Gateway）技術(shù)，是運行于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的主機（堡壘主機）之上的一種應用。入侵檢測系統(tǒng)（IDS）用于監(jiān)測網(wǎng)絡和數(shù)據(jù)包行為，而不是基于數(shù)據(jù)包的來源過濾。入侵分析技術(shù)：簽名分析 統(tǒng)計分析 數(shù)據(jù)完整性第五章傳輸控制協(xié)議/互聯(lián)網(wǎng)

10、協(xié)議（TCP/IP） 簡單郵件傳輸協(xié)議（SMTP） 郵局協(xié)議（POP） 因特網(wǎng)郵件訪問協(xié)議（IMAP） 郵件加密軟件（PGP） 磁盤操作系統(tǒng)（DOS） 安全套接字協(xié)議（SSL）傳輸層安全協(xié)議（TLS） 安全電子交易協(xié)議（SET）：基于消息流的協(xié)議 安全超文本傳輸協(xié)議（HTTPS）電子郵件系統(tǒng)利用兩個傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議（TCP/IP）發(fā)送和接收信息。簡單郵件傳輸協(xié)議（SMTP）處理發(fā)送的郵件，郵局協(xié)議（POP3）負責接收郵件。SMTP在端口25等待，而POP3在端口110等待。論述題 電子郵件工作原理 1發(fā)信人使用獨立的電子郵件客戶端向收信人寫郵件。2 電子郵件客戶端使用端口25連接發(fā)信人

11、的SMTP服務器3 SMTP服務器將收信人地址分為兩部分：收信人名稱和域名。若收信人與寄信人的域名相同，SMTP服務器利用程序傳遞代理，把新信件交給寄信人本地的POP3服務器。若不同，SMTP服務器向域名服務器（DNS）發(fā)送請求，查看收信人的域名IP地址。4發(fā)信人的SMTP服務器通過因特網(wǎng)使用端口25連接收信人的SMTP服務器，并發(fā)送郵件。5收信人的SMTP服務器確認信件的域名為收信人，它把信件通過傳遞代理交給收信人的POP3服務器，然后放進收件人的信箱中。安全/多用途網(wǎng)際郵件擴充協(xié)議（S/MIME）是加入數(shù)字簽名和加密的多用途網(wǎng)際郵件擴充協(xié)議（MIME）信息的協(xié)議。S/MIME功能：數(shù)字簽名

12、、差異性、信息隱私、無縫集成性、修改監(jiān)測對惡意Java Applet的防御叫做沙盒。論述題電子商務安全 電子商務面臨的威脅導致了對電子商務安全的需求，也是真正實現(xiàn)一個安全電子商務系統(tǒng)所要求做到的各個方面，主要包括機密性、完整性、認證性和不可抵賴性。 1機密性 要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術(shù)對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。 2完整性 要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。完整性一般可通過提取信息消息摘要的方式來獲得。 3認證性 當某人或?qū)嶓w聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗

13、證其聲明的正確性，一般都通過證書機構(gòu)CA和證書來實現(xiàn)。 4不可抵賴性 要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。不可抵賴性可通過對發(fā)送的消息進行數(shù)字簽名來獲取。 5有效性 要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。第六章客戶端連接網(wǎng)絡并接入服務器（NAS） 鏈路控制協(xié)議（LCP） 用戶數(shù)據(jù)報協(xié)議（UDP） 安全殼（SSH） IP安全（IPSec） 虛擬專用網(wǎng)絡（VPNs）目錄信息庫（DIB） 目錄訪問協(xié)議（DAP）服務設置標志號（SSID）獨立基本服務設置（I

14、BSS） 基本服務設置（BBS） 擴展服務設置（ESS）WiFi保護訪問（WPA） 暫時密鑰集成協(xié)議（TKIP） 當設置FTP傳輸?shù)臄?shù)據(jù)包（防火墻）時，TCP端口21是FTP的控制端口，用來執(zhí)行FTP命令。TCP端口20是FTP的數(shù)據(jù)端口。用以發(fā)送和接收數(shù)據(jù)。積極的FTP一次啟動鏈接；消極的FTP兩次啟動鏈接。保證遠程傳輸安全的技術(shù)：隧道協(xié)議點對點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）、認證技術(shù)、安全傳輸協(xié)議和虛擬專用網(wǎng)絡。三種主要的認證技術(shù)：IEEE 802.1x，遠程用戶撥號認證系統(tǒng)（RADIUS），終端訪問控制器訪問控制系統(tǒng)（TACACS+）第七章信息摘要5（MD5） 安全散列

15、算法（SHA） 國家安全機構(gòu)（NSA） 國家標準和技術(shù)協(xié)會（NIST） 非對稱算法（ISA） 證書認證（CA） 證書作廢列表（CRL） 隱私保護（GPG） 加密文件系統(tǒng)（EFS） 問價加密密鑰（FEK）簡答密碼術(shù)可以實現(xiàn)的5種密鑰安全功能： 1機密性功能。只有授權(quán)用戶可以訪問加密信息。機密性可以通過多種方式實現(xiàn)。 2認證功能。信息的接收人知道發(fā)送人的名字，并確認發(fā)送人的身份。 3確保信息的完整性。機密信息的接收人應該確信信息在傳輸中沒有被更改過。 4認可，即不能否認自身的行為。信息的發(fā)送人不應該否認已發(fā)送的信息。同樣，接收人也不應該否認已接收的信息。 5訪問控制。操作系統(tǒng)可以利用令牌限制對存儲

16、在設備上的加密信息的訪問。哈希算法可以把純文本轉(zhuǎn)化為密碼文本。然而，加密的文本就不需要再解密了。哈希算法的特征： 1不可能使不同信息產(chǎn)生相同的哈希值，叫做碰撞。改變信息中的一位應該產(chǎn)生完全不同的哈希值。 2不可能產(chǎn)生可獲得預定哈希值的信息。 3不可能逆轉(zhuǎn)哈希算法 4哈希算法無需保密即可保證哈希安全。公眾可以獲得哈希。其安全性來自于產(chǎn)生單項哈希的能力。 5產(chǎn)生固定大小的哈希值。長短信息均產(chǎn)生形同長度的哈希值。異或：相同為0，不同為1簡答數(shù)字簽名的定義：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防

17、止被人偽造。數(shù)字簽名的工作過程： 當使用數(shù)字簽名時，發(fā)送人首先建立純文本信息；然后產(chǎn)生整個信息128位或160位的哈希值；哈希值再用私有密鑰加密。如果發(fā)送人想要加密整個純文本信息，他將使用接收人的公共密鑰。加密信息和數(shù)字簽名一起組合傳輸。一旦收到信息，接收人使用發(fā)送人的公共密鑰解密數(shù)字簽名，從而獲得哈希值。需要時，他們將用私有密鑰解密信息，并通過相同的哈希算法運行。如果兩個哈希值吻合，接收人就可以肯定信息來自發(fā)送人，而且在傳輸中沒被更改。P171 表7-5第八章公開密鑰密碼術(shù)標準（PKCS）公鑰基礎設施（PKI）的定義：是一個利用非對稱加密算法原理和技術(shù)實現(xiàn)并提供安全服務的具有通用性的安全基礎

18、設施，是管理非對稱加密算法的密鑰和確認信息，整合數(shù)字證書、公鑰加密技術(shù)和CA的系統(tǒng)。公鑰基礎設施（PKI）的作用：通過 “信息加密”和“數(shù)字簽名”等密碼服務及所需的密鑰和證書管理體系，為實現(xiàn)網(wǎng)絡通信保密性、完整性和不可否認性的一套完整、成熟可靠的解決方案。公鑰基礎設施（PKI）的組成：權(quán)威認證機構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、應用程序接口。三種PKI信任模型是以直接和第三方信任為基礎的：網(wǎng)絡信任模型，單點信任模型，等級信任模型。數(shù)字證書的分類：1由CA直接頒發(fā)給個人的CA證書。用于保護S/MIME和SSL/TLS郵件的傳輸安全2服務證書。從網(wǎng)頁服務、FTP服務或郵件服務發(fā)布以保證傳

19、輸安全3軟件發(fā)行證書。由軟件發(fā)行商提供證明保證程序的安全。證書的生命周期：證書創(chuàng)建 證書吊銷 證書作廢 證書延遲第九章災難恢復計劃（DRP）身份管理系統(tǒng)的4個重要元素：單一登錄（SSO） 密碼同步 密碼重置 訪問管理論述題4種數(shù)據(jù)基本備份類型：完全備份：拷貝所有文件，使用方法是部分的定期備份，存檔屬性是清零。差異備份：拷貝最后一次完全備份后的所有文件，使用方法是部分的定期備份，存檔屬性是不清零。增量備份：拷貝最后一次完全備份或增量備份后的所有變動文件，使用方法是部分的定期備份，存檔屬性是清零。復制備份：拷貝所有文件，使用方法是拷貝文件到新地點，存檔屬性是不清零。附加網(wǎng)絡文件服務（NFS）網(wǎng)絡信

20、息服務（NIS） 遠程登錄（rlogin）因特網(wǎng)控制信息協(xié)議（ICMP）后門：指哪些繞過安全性控制而獲得對程序或系統(tǒng)訪問權(quán)的程序方法。訪問控制列表（ACL）新技術(shù)文件系統(tǒng)（NTFS）隨機存儲器（RAM）制度存儲器（ROM）電子可擦可編程只讀存儲器（EEPROM） 統(tǒng)一資源定位符（URL） 智能卡（SmartMedia） 閃卡（CompactFlash）對象連接嵌入（OLE） 組件對象模型（COM） 點對點協(xié)議（PPP） 互聯(lián)網(wǎng)服務提供商（ISP） 可擴展認證協(xié)議（EAP） 密碼術(shù)：傳輸信息以保護傳輸或存儲安全的科學，通過“混亂”數(shù)據(jù)，使非授權(quán)用戶難以理解而完成的。隱藏術(shù)：與密碼術(shù)混亂數(shù)據(jù)不同，

21、隱藏術(shù)隱藏數(shù)據(jù)的存在機密：利用密碼術(shù)把原始文本轉(zhuǎn)換為秘密信息的過程解密：加密的逆過程，即把秘密信息轉(zhuǎn)化為原始形式算法：加密和解密過程是基于某種數(shù)學程序的密鑰：算法用來加密和解密信息的值弱密鑰：形成可破譯形式和結(jié)構(gòu)的數(shù)學密鑰純文本：原始未加密信息密碼：用于加密或解密文本的算法工具密碼文本：用加密算法加密的數(shù)據(jù)信息摘要（MD） 數(shù)據(jù)加密標準（DES） 非對稱算法（RSA） 證書策略（CP） 證書實施說明（CPS）持續(xù)運行計劃（BCP） 持續(xù)供電（UPS）簡答1 計算機網(wǎng)絡安全的定義：是指利用網(wǎng)絡管理機制和技術(shù)措施，保證在一個網(wǎng)絡環(huán)境里信息數(shù)據(jù)的機密性、完整性及可使用性收到保護。2惡意代碼攻擊造成的危害（1） 造成巨大的社會經(jīng)濟損失（2） 影響政府智能部門正常工作的發(fā)展（3） 被賦予越來越多的政治意義（4） 利用計算機病毒犯罪現(xiàn)象越來越嚴重3數(shù)字證書的工作原理 利用公鑰體制，即利用一對相匹配的密鑰進行加密、解密，每個用戶一把特定地點僅為本人所有的私有密鑰。4 Kerberos協(xié)議的目標 通過密鑰系統(tǒng)為客戶機/服務器應用程序提供強