计算机网络安全04751超强笔记.doc

14751 计算机网络安全第 1 章 结论一、识记1、计算机网络系统面临的典型安全威胁答：窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽2、计算机网络安全的定义答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护3、计算机网络安全的目标答：①保密性；②完整性；③可用性；④不可否认性；⑤可控性4、P2DR 模型的结构答：PPDR 模型是一种常用的网络安全模型，包含四个主要部分：Policy（安全策略） 、Protection（防护） 、Detection（检测）和 Response（响应） 5、网络安全的主要技术答：①物理安全措施；②数据传输安全技术；③内外网隔离技术；④入侵检测技术；⑤访问控制技术；⑥审计技术；⑦安全性检测技术；⑧防病毒技术；⑨备份技术二、领会1、OSI 安全体系结构 P.28答：OSI 安全体系结构不是能实现的标准，而是关于如何设计标准的标准1）安全服务OSI 安全体系结构中定义了五大类安全服务，也称为安全防护措施①鉴别服务；②访问控制服务；③数据机密服务；④数据完整服务；⑤抗抵赖服务。

2）安全机制其基本的机制有：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制2、计算机网络安全管理的主要内容 P.26答：①网络安全体系结构；②网络攻击手段与防范措施；③网络安全设计；④网络安全标准、安全评测及认证；⑤网络安全检测技术；⑥网络安全设备；⑦网络安全管理，安全审计；⑧网络犯罪侦查；⑨网络安全理论与政策；⑽网络安全教育；⑾网络安全法律概括起来，网络安全包括以下三个重要部分：①先进的技术；②严格的管理；③威严的法律3、网络安全威胁的发展趋势 P.35答：网络安全威胁的发展趋势（1）与 Internet 更加紧密地结合，利用一切可以利用的方式进行传播2）所有的病毒都具有混合型特征，集文件传染、蠕虫、木马和黑客程序的特点于一身，破坏性大大增强3）其扩散极快，而更加注重欺骗性4）利用系统漏洞将成为病毒有力的传播方式5）无线网络技术的发展，使远程网络攻击的可能性加大6）各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料2（7）各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁8）各种攻击技术的隐秘性增强，常规防范手段难以识别。

9）分布式计算机技术用于攻击的趋势增强，威胁高强度密码的安全性10）一些政府部门的超级计算机资源将成为攻击者利用的跳板11）网络管理安全问题日益突出4、网络安全技术的发展趋势（网络安全主要实用技术的发展）P.35答：网络安全技术的发展是多维的、全方位的，主要有以下几种：①物理隔离；②逻辑隔离；③防御来自网络的攻击；④防御网络上的病毒；⑤身份认证；⑥加密通信和虚拟专用网；⑦入侵检测和主动防卫；⑧网管、审计和取证三、应用分析给定网络可能存在的安全威胁第 2 章 物理安全一、识记1、物理安全包含的主要内容 P.41答：主要包括以下几个方面①机房环境安全；②通信线路安全；③设备安全；④电源安全2、机房安全要求和措施 P.42答：3、硬件设备的使用管理 P.50答：①要根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，并严格按操作规程进行操作；②建立设备使用情况日志，并严格登记使用过程的情况；③建立硬件设备故障情况登记表，详细记录故障性质和修复情况；④坚持对设备进行例行维护和保养，并指定专人负责4、电源对用电设备安全的潜在威胁答：①脉动与噪声②电磁干扰当电源的电磁干扰比较强时，产生的电磁场就会影响到硬盘等磁性存储介质，久而久之就会使存储的数据受到损害。

二、领会1、机房安全等级划分标准 P.41答：机房的安全等级分为 A 类、B 类和 C 类三个基本类别A 类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施B 类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施C 类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施2、通信线路安全技术 P.49答： 3、电磁辐射的防护措施 P.51防护措施主要有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗3和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可以分为两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波及接地等，其中屏蔽是应用最多的方法4、机房供电的要求和方式 P.53答：对机房安全供电的方式分为三类：一类供电：需建立不间断供电系统。

二类供电：需建立带备用的供电系统三类供电：按一般用户供电考虑对机房安全供电的要求 P.53三、应用根据所需建设的网络系统要求，分析机房安全、通信线路安全和供电的需求第 3 章 信息加密与 PKI一、识记1、明文、密文、密钥、加密算法、解密算法等基本概念答：明文（Plaintext）是作为加密输入的原始信息，即消息的原始形式，通常用 m 或 p 表示所有可能明文的有限集称为明文空间，通常用 M 或 P 来表示密文（Cliphertext）是明文经加密变换后的结果，即消息被加密处理后的形式，通常用 c 表示密钥（Key）是参与密码变换的参数，通常用 k 表示加密算法（Encryption Algorithm）是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用 E 表示，即 c=Ek（P） 解密算法（Decryption Algorithm）是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用 D 表示，即 p=Dk（c） 2、加密体制的分类 P.61～63答：密码体制从原理上可分为两大类：①单钥或对称密码体制最有影响的是 DES 算法，另有国际数据加密算法 IDEA。

单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等②双钥或非对称密码体制最有名的是 RSA 密码体制，另有 ElGamal 算法双钥密码的优点是可以公开加密密钥，适应网络的开放性要求，且仅需保密解密密钥，所以密钥管理问题比较简单缺点是双钥密码算法一般比较复杂，加解密速度慢双钥密码体制的产生主要基于两个原因：一是为了解决常规密钥密码体制的密钥管理与分配的问题；二是为了满足对数字签名的需求在双钥密码体制中，公开密钥是可以公开的信息，而私有密钥是需要保密的3、认证技术的分层模型 P.77答：认证技术分为三个层次：①安全管理协议主要任务是在安全体制的支持下，建立、强化和实施整个网络系统的安全策略典型的安全管理协议有公用管理信息协议（CMIP） 、简单网络管理协议（SNMP）和分布式安全管4理协议（DSM） ②认证体制在安全管理协议的控制和密码体制的支持下，完成各种认证功能典型的认证体制有 Kerberos 体制、X.509 体制和 Light Kryptonight 体制③密码体制是认证技术的基础，它为认证体制提供数学方法支持典型的密码体制有 DES 体制、RSA 体制4、常用的数据加密方式 P.75答：①链路加密；②节点加密；③端到端加密。

5、认证体制应满足的条件 P.77答：一个安全的认证体制应该至少满足以下要求①意定的接收者能够检验和证实消息的合法性、真实性和完整性②消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息③除了合法的消息发送者外，其他人不能伪造发送消息6、PKI 的基本概念和特点 P.83答：PKI 是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用 PKI平台提供的安全服务进行安全通信特点：透明性、一致性附：1、密码学的发展经历了三个阶段：古代加密方法、古典密码和近代密码2、身份认证常用的方式主要有两种：通行字（口令）方式和持证方式P.79二、领会1、单钥密码体制与双钥密码体制的区别 P.61答：①单钥密码体制的加密密钥和解密密钥相同，从一个可以推出另外一个；双钥密码体制的原理是加密密钥与解密密钥不同，从一个难以推出另一个②单钥密码体制基于代替和换位方法；双钥密码算法基于数学问题求解的困难性③单钥密码体制是对称密码体制；双钥密码体制是非对称密码体制2、DES、IDEA、RSA 加密算法的基本原理答：DES 即数据加密标准（Date Encryption Standard）于 1977 年由美国国家标准局公布，是IBM 公司研制的一种对二元数据进行加密的分组密码，数据分组长度为 64bit，密文分组长度也是64bit，没有数据扩展。

密钥长度为 64bit，其中有效密钥长度 56bit，其余 8bit 为奇偶校验DES的整个体制是公开的，系统的安全性主要依赖于密钥的保密，其算法主要由初始置换 IP、16 轮迭代的乘积变换、逆初始转换 IP-1及 16 个子密钥产生器构成P.66IDEA 是 International Data Encryption Algorithm 的缩写，即国际数据加密算法它是根据中国学者朱学嘉博士与著名密码学家 James Massey 于 1990 年联合提出的建议标准算法 PES 改进而来的它的明文与密文块都是 64bit，密钥长度为 128bit，作为单钥体制的密码，其加密与解密过程雷同，只是密钥存在差异，IDEA 无论是采用软件还是硬件实现都比较容易，而且加解密的速度很快P.69RSA 体制是由 R.L.Rivest 和 L.Adleman 设计的用数论构造双钥的方法，它既可用于加密，也可用于数字签名RSA 算法的安全性建立在数论中“大数分解和素数检测”的理论基础上P.723、认证的三个目的 P.77答：认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术，其目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；5二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，其目的是防止消息重放或延迟等攻击。

4、手写签名与数字签名的区别 P.78答：手写签名与数字签名的主要区别在于：一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异；二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名5、数字签名与消息认证的区别 P.82答：数字签名与消息认证的区别是：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改当收发者之间没有利害冲突时，这种方式对于防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证6、PKI 认证技术的组成 P.84答：公钥基础设施（Public Key Infrastructure，PKI） ，主要包括①CA 认证机构CA 作为数字证书签发机构，是 PKI 的核心，是 PKI 应用中权威的、可信任的，公正的第三方机构②证书库是 CA 颁发证书和撤销证书的集中存放在，是网上的一种公共信息库，供广大用户进行开往式查询③证书撤销④密钥备份和恢复⑤自动更新密钥。

⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件三、应用将给定的明文按照给定的古典或单钥密码算法变换成密。