一：1.信息安全根源：①網(wǎng)絡(luò)協(xié)議的開(kāi)放性，共享性和協(xié)議自身的缺陷性②操作系統(tǒng)和應(yīng)用程序的復(fù)雜性③程序設(shè)計(jì)帶來(lái)的問(wèn)題④設(shè)備物理安全問(wèn)題⑤人員的安全意識(shí)與技術(shù)問(wèn)題⑥相關(guān)的法律問(wèn)題。信息安全的任務(wù)：網(wǎng)絡(luò)安全的任務(wù)是保障各種網(wǎng)絡(luò)資源的穩(wěn)定、可靠的運(yùn)行和受控、合法的使用；信息安全的任務(wù)是保障信息在存儲(chǔ)、傳輸、處理等過(guò)程中的安全，具體有機(jī)密性、完整性、不可抵賴(lài)性、可用性。網(wǎng)絡(luò)安全防范體系層次：物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、管理層安全層安全二：【第二章還沒(méi)有整理完】簡(jiǎn)述對(duì)稱(chēng)加密和公鑰加密的基本原理：所謂對(duì)稱(chēng)，就是采用這種加密方法的雙方使用方式用同樣的密鑰進(jìn)行加密和解密，或雖不相同，但可由其中任意一個(gè)很容易推出另一個(gè)；公鑰加密使用使用一對(duì)唯一性密鑰，一為公鑰一為私鑰，不能從加密密鑰推出解密密鑰。常用的對(duì)稱(chēng)加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES常用的公鑰加密有：RSA、Diffie-Hellman密鑰交換、ElGamal凱撒密碼：每一個(gè)明文字符都由其右第三個(gè)字符代替RSA：①選兩個(gè)大素?cái)?shù)pq②計(jì)算n=pq和w(n)=(p-1)(q-1)③隨機(jī)取加密密鑰e，使e和w(n)互素④計(jì)算解密密鑰d，以滿(mǎn)足ed=1modw(n)⑤加密函數(shù)E(x)=memodn，解密函數(shù)D(x)=cdmodn，m是明文，c使密文⑥{e，n}為公開(kāi)密鑰，d為私人密鑰，n一般大于等于1024位。D-H密鑰交換：①A和B定義大素?cái)?shù)p及本源根a②A產(chǎn)生一個(gè)隨機(jī)數(shù)x，計(jì)算X=axmodp，并發(fā)送給B③B產(chǎn)生y，計(jì)算Y=aymodp，并發(fā)送給A④A計(jì)算k=Yxmodp⑤B計(jì)算k’=Xymodp⑥k，k’即為私密密鑰三：PKI是具普適性安全基礎(chǔ)設(shè)施原因(p21)：①普適性基礎(chǔ)②應(yīng)用支撐③商業(yè)驅(qū)動(dòng)。PKI組件(p24)：認(rèn)證機(jī)構(gòu)、證書(shū)庫(kù)、證書(shū)撤消、密匙備份和恢復(fù)、自動(dòng)密匙更新、密匙歷史檔案、交叉認(rèn)證、支持不可否認(rèn)、時(shí)間戳、客戶(hù)端軟件。PKI核心服務(wù)(p26)：①認(rèn)證：向一個(gè)實(shí)體確認(rèn)另一個(gè)實(shí)體確實(shí)就是用戶(hù)自己②完整性：向一個(gè)實(shí)體確保數(shù)據(jù)沒(méi)有被有意或無(wú)意地修改③機(jī)密性：向一個(gè)實(shí)體確保除了接受者，無(wú)人能讀懂?dāng)?shù)據(jù)的關(guān)鍵部分。PKI的支撐服務(wù)(p27)：安全通信、安全時(shí)間戳、公證、不可否認(rèn)、特權(quán)管理。密匙和證書(shū)管理階段(p34)：①初始化階段：終端實(shí)體注冊(cè)、密匙對(duì)產(chǎn)生、證書(shū)創(chuàng)建和密匙/證書(shū)分發(fā)、證書(shū)分發(fā)、密匙備份②頒發(fā)階段：證書(shū)檢索、證書(shū)驗(yàn)證、密匙恢復(fù)、密匙更新③取消階段：證書(shū)過(guò)期、證書(shū)撤消、密匙歷史、密匙檔案。PKI信任模型(p41)：嚴(yán)格層次結(jié)構(gòu)、分布式信任結(jié)構(gòu)、WEB模型、以用戶(hù)為中心的信任。(還要畫(huà)圖書(shū)上P41)四：l.IPSec協(xié)議的隧道模式與傳輸模式有何區(qū)別？如何實(shí)現(xiàn)？(p46)它們所保護(hù)的內(nèi)容不同，傳輸模式保護(hù)的只是IP的有效負(fù)載，而隧道模式保護(hù)的是整個(gè)IP數(shù)據(jù)包。AH和ESP都支持這兩種模式，存在四種形式。AH傳輸模式AH隧道模式ESP傳輸模式ESP隧道模式。

簡(jiǎn)述ESP和AH在中IPSec的作用，它們能否同時(shí)使用？(p45)AH為IP數(shù)據(jù)包提供3種服務(wù)，即無(wú)連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊；ESP除了為IP數(shù)據(jù)包提供AH已有3種服務(wù)外，有還提供數(shù)據(jù)包加密、數(shù)據(jù)流加密；可以同時(shí)使用，不過(guò)AH提外，有還提供數(shù)據(jù)包加密、數(shù)據(jù)流加密；可以同時(shí)使用，不過(guò)AH提供的驗(yàn)證服務(wù)要強(qiáng)于ESP。3.SSL結(jié)構(gòu)及相關(guān)協(xié)議的功能(p48)SSL握手協(xié)議SSL修改器瀉規(guī)格協(xié)議SSL吉警協(xié)議HTTPLDAPSSLi己錄協(xié)議TCPUDPSSL握手協(xié)議(p50)：在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。SSL修改密碼規(guī)格協(xié)議(p50)：唯一目的是未決狀態(tài)被復(fù)制為當(dāng)前狀態(tài)，從而改變這個(gè)連接將要使用的密碼規(guī)格。SSL告警協(xié)議(p50)：把有關(guān)警告?zhèn)鞯礁鱾€(gè)實(shí)體。SSL記錄協(xié)議(p49):在客戶(hù)及和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù)。4.SSL記錄協(xié)議的過(guò)程(p49):分段、壓縮、計(jì)算MAC碼、加密、增加記錄協(xié)議頭部。計(jì)算MAC厝加記錄協(xié)議頭部5.S-HTTP相對(duì)于HTTP的特性計(jì)算MAC厝加記錄協(xié)議頭部5.S-HTTP相對(duì)于HTTP的特性(p53)：是對(duì)HTTP擴(kuò)充安全特性、增加分段壓縮加密應(yīng)用層數(shù)據(jù)分片11了報(bào)文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴(lài)性及機(jī)密性等安全措施。6.SET在電子商務(wù)流程中安全保密功能的實(shí)現(xiàn)(p56)：7.PGP加密和認(rèn)證過(guò)程(p58)：五:黑客常用的入侵方法(p61)：口令入侵、特洛伊木馬術(shù)、監(jiān)聽(tīng)法、E-mail技術(shù)、利用系統(tǒng)漏洞。黑客入侵的一般步驟(p62)：①攻擊的準(zhǔn)備階段：確定攻擊的目的、信息收集②攻擊的實(shí)施階段：獲得權(quán)限、權(quán)限的擴(kuò)大③攻擊的善后工作：隱藏蹤跡、后門(mén)常用的掃描技術(shù)(p66)：端口掃描技術(shù)。漏洞掃描技術(shù)拒絕服務(wù)攻擊技術(shù)原理(p68)：根本目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)處理(或回應(yīng))外界請(qǐng)求。①制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通信②利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求③利用受害主機(jī)所提供服務(wù)中處理數(shù)據(jù)上的缺陷，反復(fù)發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，這樣可以大量占用系統(tǒng)資源，使主機(jī)處于假死狀態(tài)或者死機(jī)。緩沖溢出的原理(p69)：通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。根本原因在于編程語(yǔ)言對(duì)緩沖區(qū)缺乏嚴(yán)格的邊界檢查。緩沖溢出的關(guān)鍵技術(shù)(p71)&進(jìn)程的內(nèi)存組織形式②堆棧區(qū)域③ShellCode常用的后門(mén)技術(shù)防范(p73)①評(píng)估②MD5基準(zhǔn)線③入侵檢測(cè)④從CD-ROM啟動(dòng)8.Sniffer技術(shù)：Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地來(lái)為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文傳送的一種工具，所關(guān)心的內(nèi)容可分為：口令、偷窺機(jī)密或敏感的信息數(shù)據(jù)、窺探低級(jí)的協(xié)議信息。六：計(jì)算機(jī)病毒：一種定義是通過(guò)磁盤(pán)、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有一種定義是一種人為制造的程序，它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體(如磁盤(pán)、內(nèi)存)或程序里，當(dāng)某種條件或時(shí)機(jī)成熟時(shí)，它會(huì)自身復(fù)制并傳播，使計(jì)算機(jī)資源受到不同程序的破壞等等。2.計(jì)算機(jī)病毒的主要特征：傳染性、隱蔽性、潛伏性、破壞性、非授權(quán)可執(zhí)行性。簡(jiǎn)述計(jì)算機(jī)病毒的工作原理：引導(dǎo)型病毒：病毒把自己存放在引導(dǎo)區(qū)，當(dāng)做正常的引導(dǎo)程序，而將真正的引導(dǎo)程序搬到其他位置，當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，就會(huì)把病毒程序當(dāng)作正常的引導(dǎo)程序來(lái)運(yùn)行，使寄生在磁盤(pán)引導(dǎo)區(qū)的靜態(tài)病毒進(jìn)入計(jì)算機(jī)，這時(shí)病毒程序被激活，可以隨時(shí)進(jìn)行感染和破壞活動(dòng)。典型代表：大麻病毒（“石頭”病毒、“新西蘭”病毒），工作原理：加載、感染、破壞。文件型病毒：主要攻擊COM、EXE、SYS、DLL等可執(zhí)行文件，病毒對(duì)計(jì)算機(jī)的源文件進(jìn)行修改，使其成為新的帶毒文件，一旦計(jì)算機(jī)運(yùn)行該文件就會(huì)被感染，從而達(dá)到傳播的目的。典型代表：CIH，首例直接攻擊和破壞計(jì)算機(jī)硬件系統(tǒng)的病毒，破壞方式：攻擊BIOS、覆蓋硬盤(pán)。簡(jiǎn)述計(jì)算機(jī)病毒傳染的一般過(guò)程：在系統(tǒng)運(yùn)行時(shí)，病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿(mǎn)足條件時(shí)，便從內(nèi)存中將自身存入被攻擊的目標(biāo),從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)INT13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統(tǒng)的外存儲(chǔ)器軟盤(pán)或硬盤(pán)中，再感染其他系統(tǒng)。簡(jiǎn)述計(jì)算機(jī)病毒的防治方法：用戶(hù)角度:①計(jì)算機(jī)病毒的預(yù)防:樹(shù)立牢固的計(jì)算機(jī)病毒的預(yù)防思想；堵塞計(jì)算機(jī)病毒的傳染途徑；②計(jì)算機(jī)病毒的檢測(cè)和消除：人工方法（借助調(diào)試程序及工具軟件等進(jìn)行手工檢測(cè)和消除處理，操作復(fù)雜易出錯(cuò)，要求操作者對(duì)系統(tǒng)十分熟悉）；自動(dòng)方法（針對(duì)某種或多種病毒使用專(zhuān)門(mén)的反病毒軟件自動(dòng)對(duì)病毒進(jìn)行檢測(cè)和消除處理，操作簡(jiǎn)單速度快，不會(huì)破壞系統(tǒng)數(shù)據(jù)）技術(shù)角度：①病毒預(yù)防技術(shù)：包括對(duì)已知病毒的特征判定技術(shù)或靜態(tài)判定技術(shù)和對(duì)未知病毒的動(dòng)態(tài)判定技術(shù)②病毒檢測(cè)技術(shù):包括根據(jù)計(jì)算機(jī)病毒程序中的關(guān)鍵字、特征程序段、病毒特征及傳染方式、文件長(zhǎng)度的變化，在特征分類(lèi)的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)和不針對(duì)具體病毒程序的自身檢測(cè)技術(shù)③病毒消除技術(shù)：病毒傳染程序的逆過(guò)程，是病毒檢測(cè)的延伸④病毒免疫技術(shù)：沒(méi)有很大發(fā)展。七：防火墻的基本功能：對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)對(duì)重點(diǎn)網(wǎng)段的隔離；實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的集中管理，強(qiáng)化網(wǎng)絡(luò)安全策略；是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)；可防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，防止內(nèi)部信息的外泄；可利用NAT技術(shù)將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，以緩解地址空間短缺的問(wèn)題。可通過(guò)IP通道構(gòu)建VPN。靜態(tài)包過(guò)濾型、狀態(tài)檢測(cè)型和代理服務(wù)型防火墻的優(yōu)缺點(diǎn)：神類(lèi)優(yōu)點(diǎn)缺點(diǎn)^態(tài)包過(guò)濾型實(shí)現(xiàn)邏輯比較簡(jiǎn)單，對(duì)網(wǎng)絡(luò)性匪影響較小’市■較強(qiáng)的透明性，與應(yīng)用呂無(wú)關(guān)，是最快的防火培需對(duì)IP/TCP等各種協(xié)議比較了解i易被地址欺騙t應(yīng)用層控制很弱；允許外部擁護(hù)百接與內(nèi)部主機(jī)相連；不檢至數(shù)茹區(qū)：不建立連接狀態(tài)表匚狀態(tài)撿測(cè)既提供了靜態(tài)包過(guò)濾防火培的處理速度和靈活性,又兼具應(yīng)用早網(wǎng)關(guān)理解應(yīng)用程芹狀態(tài)的能力虧安?全性，是目前最流行的只檢測(cè)數(shù)據(jù)包的第三層信息，無(wú)法徹底的識(shí)別數(shù)據(jù)包中大量的垃圾匚件，—以及木馬程序等；應(yīng)用層1芋亡，很弱；不檢查數(shù)據(jù)區(qū)；代理服務(wù)器型實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、可濾、UL錄和報(bào)告等！具有極高的安全性和效率，可以支持多骯網(wǎng)絡(luò)協(xié)議和應(yīng)TL且可以方便地?cái)U(kuò)展實(shí)現(xiàn)對(duì)各種非標(biāo)準(zhǔn)服務(wù)的支持n可伸縮性差；不適合用來(lái)控制內(nèi)部人員訪問(wèn)外界的網(wǎng)絡(luò)：不能很好三支持新應(yīng)用；不支持大規(guī)模的并發(fā)連接；不檢登IP、TCP報(bào)頭，網(wǎng)絡(luò)層保護(hù)較弱；3.比較Linux下的IPTables與WindowsXP自帶的防火墻各自的優(yōu)缺點(diǎn)：IPTables:允許建立狀態(tài)防火墻，就是在內(nèi)存中保存穿過(guò)防火墻的每條連接；能夠過(guò)濾TCP標(biāo)志任意組合報(bào)文，還能夠過(guò)濾MAC地址；系統(tǒng)日志比IPChains更容易配置，擴(kuò)展性也更好；對(duì)于NAT和透明代理的支持，Netfilter更為強(qiáng)大和易于使用；能夠阻止某些（例如SYS攻擊）Dos攻擊。ICF：互聯(lián)網(wǎng)連接防火墻，系統(tǒng)內(nèi)建，占用資源少且不花額外的錢(qián)去購(gòu)買(mǎi)，鑒于ICF工作原理，ICF不能很好地應(yīng)用在服務(wù)器上，也不能完全取代現(xiàn)有的個(gè)人防火墻產(chǎn)品，無(wú)法提供基于應(yīng)用程序的保護(hù)，也無(wú)法建立基于IP包的包審核策略。八：入侵檢測(cè)系統(tǒng)有哪些功能：通過(guò)檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，追蹤網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生；檢測(cè)其他安全措施未能阻止的攻擊或安全違規(guī)行為；檢測(cè)黑客在攻擊前的探測(cè)行為，預(yù)先給管理員發(fā)出警報(bào)。報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅；提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，利于進(jìn)行修補(bǔ)；在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。基于網(wǎng)絡(luò)的和基于主機(jī)的IDS各有什么優(yōu)缺點(diǎn)：基于網(wǎng)絡(luò)（使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源）:低成本；攻擊者轉(zhuǎn)移入侵證據(jù)很困難；實(shí)時(shí)檢測(cè)和應(yīng)答，一旦發(fā)生攻擊可以隨時(shí)發(fā)現(xiàn)，能夠更快地做出反應(yīng)從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞降到最低；能夠檢測(cè)未成功的或試探性的攻擊企圖；與操作系統(tǒng)獨(dú)立，不依賴(lài)于主機(jī)的操作系統(tǒng)類(lèi)型，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。基于主機(jī)（監(jiān)視操作系統(tǒng)安全日志以及關(guān)鍵應(yīng)用的日志文件）：非常適用于加密和交換網(wǎng)絡(luò)環(huán)境；接近實(shí)時(shí)的檢測(cè)和應(yīng)答；不需要額外的硬件；能實(shí)現(xiàn)應(yīng)用級(jí)的入侵檢測(cè)IDS常用的檢測(cè)引擎技術(shù)有：統(tǒng)計(jì)方法；專(zhuān)家系統(tǒng)；神經(jīng)網(wǎng)絡(luò)；狀態(tài)轉(zhuǎn)移分析；Petri網(wǎng)；計(jì)算機(jī)免疫；Agent技術(shù)；遺傳算法；數(shù)據(jù)挖掘；粗糙集理論。4.IDS的局限性：存在過(guò)多的報(bào)警信息，即使在沒(méi)有惡意攻擊時(shí)，入侵檢測(cè)系統(tǒng)也會(huì)發(fā)出大量報(bào)警；入侵檢測(cè)系統(tǒng)自身的攻擊能力差；缺乏檢測(cè)高水平攻擊者的有效手段。蜜罐系統(tǒng)：是誘捕攻擊者的一個(gè)陷阱，是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者一個(gè)容易攻擊的目標(biāo)。由于蜜罐并沒(méi)有向外界提供真正有價(jià)值的服務(wù)，因此所有對(duì)蜜罐的嘗試都被視為可疑的。另一個(gè)作用是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。構(gòu)造一個(gè)蜜罐系統(tǒng)需要的主要技術(shù)有：網(wǎng)絡(luò)欺騙、端口重定向、報(bào)警、數(shù)據(jù)控制和數(shù)據(jù)捕獲等。九：1.隱寫(xiě)技術(shù)：也稱(chēng)信息隱藏，是通過(guò)正常載體來(lái)傳遞秘密信息，以達(dá)到隱匿的目的，從而使它在傳遞過(guò)程中不會(huì)被感知。隱寫(xiě)分析技術(shù)：是對(duì)表面正常的圖像、音頻、視頻等媒體信號(hào)（尤其是通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸?shù)男盘?hào)）進(jìn)行檢測(cè)，判斷其中是否嵌有秘密信息（這些秘密信息是通過(guò)一定的隱寫(xiě)算法嵌入的），甚至只是指出媒體中存在秘密信息的可能性，這樣就可以找到敵對(duì)隱蔽通信的信源，從而阻斷隱蔽通信的信道。隱寫(xiě)技術(shù)的類(lèi)型：非純載體分析、知道純載體分析、知道隱信息分析、選擇隱寫(xiě)分析、選擇信息分析、知道隱寫(xiě)分析。LSB算法：