第1章 緒論
一、識記
1、計算機網絡系統面臨的典型安全威脅
答:竊聽、重傳、僞造、篡改、非授權訪問、拒絕服務***、行爲否認、旁路控制、電磁/射頻截獲、人員疏忽。
2、計算機網絡安全的定義
答:計算機網絡安全是指利用管理控制和技術措施,保證在一個網絡環境裏,信息數據的機密性、完整性及可使用性受到保護。
3、計算機網絡安全的目標
答:①保密性;②完整性;③可用性;④不可否認性;⑤可控性。
4、P2DR模型的結構
答:PPDR模型是一種常用的網絡安全模型,包含四個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。
5、網絡安全的主要技術
答:①物理安全措施;②數據傳輸安全技術;③內外網隔離技術;④***檢測技術;⑤訪問控制技術;⑥審計技術;⑦安全性檢測技術;⑧防病毒技術;⑨備份技術。
二、領會
1、OSI安全體系結構P.28
答:OSI安全體系結構不是能實現的標準,而是關於如何設計標準的標準。
(1)安全服務。OSI安全體系結構中定義了五大類安全服務,也稱爲安全防護措施。
①鑑別服務;②訪問控制服務;③數據機密性服務;④數據完整性服務;⑤抗抵賴性服務。
(2)安全機制。其基本的機制有:加密機制、數字簽名機制、訪問控制機制、數據完整性機制、鑑別交換機制、通信業務流填充機制、路由控制和公證機制。
2、計算機網絡安全管理的主要內容P.26
答:①網絡安全體系結構;②網絡***手段與防範措施;③網絡安全設計;④網絡安全標準、安全評測及認證;⑤網絡安全檢測技術;⑥網絡安全設備;⑦網絡安全管理,安全審計;⑧網絡犯罪偵查;⑨網絡安全理論與政策;⑽網絡安全教育;⑾網絡安全法律。
概括起來,網絡安全包括以下三個重要部分:
①先進的技術;②嚴格的管理;③威嚴的法律。
3、網絡安全威脅的發展趨勢P.35
答:網絡安全威脅的發展趨勢
(1)與Internet更加緊密地結合,利用一切可以利用的方式進行傳播。
(2)所有的病毒都具有混合型特徵,集文件傳染、蠕蟲、***和***程序的特點於一身,破壞性大大增強。
(3)其擴散極快,而更加註重欺騙性。
(4)利用系統漏洞將成爲病毒有力的傳播方式。
(5)無線網絡技術的發展,使遠程網絡***的可能性加大。
(6)各種境外情報、諜報人員將越來越多地通過信息網絡渠道收集情報和竊取資料。
(7)各種病毒、蠕蟲和後門技術越來越智能化,並出現整合趨勢,形成混合性威脅。
(8)各種***技術的隱祕性增強,常規防範手段難以識別。
(9)分佈式計算機技術用於***的趨勢增強,威脅高強度密碼的安全性。
(10)一些政府部門的超級計算機資源將成爲***者利用的跳板。
(11)網絡管理安全問題日益突出。
4、網絡安全技術的發展趨勢(網絡安全主要實用技術的發展)P.35
答:網絡安全技術的發展是多維的、全方位的,主要有以下幾種:
①物理隔離;②邏輯隔離;③防禦來自網絡的***;④防禦網絡上的病毒;⑤身份認證;⑥加密通信和虛擬專用網;⑦***檢測和主動防衛;⑧網管、審計和取證。
三、應用
分析給定網絡可能存在的安全威脅
第2章 物理安全
一、識記
1、物理安全包含的主要內容P.41
答:主要包括以下幾個方面
①機房環境安全;②通信線路安全;③設備安全;④電源安全。
2、機房安全要求和措施P.42
答:
3、硬件設備的使用管理P.50
答:①要根據硬件設備的具體配置情況,制定切實可行的硬件設備的操作使用規程,並嚴格按操作規程進行操作;②建立設備使用情況日誌,並嚴格登記使用過程的情況;③建立硬件設備故障情況登記表,詳細記錄故障性質和修復情況;④堅持對設備進行例行維護和保養,並指定專人負責。
4、電源對用電設備安全的潛在威脅
答:①脈動與噪聲。②電磁干擾。當電源的電磁干擾比較強時,產生的電磁場就會影響到硬盤等磁性存儲介質,久而久之就會使存儲的數據受到損害。
二、領會
1、機房安全等級劃分標準P.41
答:機房的安全等級分爲A類、B類和C類三個基本類別。
A類:對計算機機房的安全有嚴格的要求,有完善的計算機機房安全措施。
B類:對計算機機房的安全有較嚴格的要求,有較完善的計算機機房安全措施。
C類:對計算機機房的安全有基本的要求,有基本的計算機機房安全措施。
2、通信線路安全技術P.49
答:
3、電磁輻射的防護措施P.51
防護措施主要有兩類:
一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合;
另一類是對輻射的防護,這類防護措施又可以分爲兩種:一種是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;第二種是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的僞噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
爲提高電子設備的抗干擾能力,除在芯片、部件上提高抗干擾能力外,主要的措施有屏蔽、隔離、濾波、吸波及接地等,其中屏蔽是應用最多的方法。
4、機房供電的要求和方式P.53
答:對機房安全供電的方式分爲三類:
一類供電:需建立不間斷供電系統。
二類供電:需建立帶備用的供電系統。
三類供電:按一般用戶供電考慮。
對機房安全供電的要求P.53
三、應用
根據所需建設的網絡系統要求,分析機房安全、通信線路安全和供電的需求
第3章 信息加密與PKI
一、識記
1、明文、密文、密鑰、加密算法、解密算法等基本概念
答:明文(Plaintext)是作爲加密輸入的原始信息,即消息的原始形式,通常用m或p表示。所有可能明文的有限集稱爲明文空間,通常用M或P來表示。
密文(Cliphertext)是明文經加密變換後的結果,即消息被加密處理後的形式,通常用c表示。
密鑰(Key)是參與密碼變換的參數,通常用k表示。
加密算法(Encryption Algorithm)是將明文變換爲密文的變換函數,相應的變換過程稱爲加密,即編碼的過程,通常用E表示,即c=Ek(P)。
解密算法(Decryption Algorithm)是將密文恢復爲明文的變換函數,相應的變換過程稱爲解密,即解碼的過程,通常用D表示,即p=Dk(c)。
2、加密體制的分類P.61~63
答:密碼體制從原理上可分爲兩大類:
①單鑰或對稱密碼體制。最有影響的是DES算法,另有國際數據加密算法IDEA。
單鑰密碼算法的優點主要體現在其加密、解密處理速度快、保密度高等。
②雙鑰或非對稱密碼體制。最有名的是RSA密碼體制,另有ElGamal算法。
雙鑰密碼的優點是可以公開加密密鑰,適應網絡的開放性要求,且僅需保密解密密鑰,所以密鑰管理問題比較簡單。缺點是雙鑰密碼算法一般比較複雜,加解密速度慢。
雙鑰密碼體制的產生主要基於兩個原因:一是爲了解決常規密鑰密碼體制的密鑰管理與分配的問題;二是爲了滿足對數字簽名的需求。
在雙鑰密碼體制中,公開密鑰是可以公開的信息,而私有密鑰是需要保密的。
3、認證技術的分層模型P.77
答:認證技術分爲三個層次:
①安全管理協議。主要任務是在安全體制的支持下,建立、強化和實施整個網絡系統的安全策略。典型的安全管理協議有公用管理信息協議(CMIP)、簡單網絡管理協議(SNMP)和分佈式安全管理協議(DSM)。
②認證體制。在安全管理協議的控制和密碼體制的支持下,完成各種認證功能。典型的認證體制有Kerberos體制、X.509體制和Light Kryptonight體制。
③密碼體制。是認證技術的基礎,它爲認證體制提供數學方法支持。典型的密碼體制有DES體制、RSA體制。
4、常用的數據加密方式P.75
答:①鏈路加密;②節點加密;③端到端加密。
5、認證體制應滿足的條件P.77
答:一個安全的認證體制應該至少滿足以下要求
①意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性。
②消息的發送者對所發的消息不能抵賴,有時也要求消息的接收者不能否認收到的消息。
③除了合法的消息發送者外,其他人不能僞造發送消息。
6、PKI的基本概念和特點P.83
答:PKI是一個用公鑰密碼算法原理和技術來提供安全服務的通用型基礎平臺,用戶可利用PKI平臺提供的安全服務進行安全通信。
特點:透明性、一致性。
附:
1、密碼學的發展經歷了三個階段:古代加密方法、古典密碼和近代密碼。
2、身份認證常用的方式主要有兩種:通行字(口令)方式和持證方式。P.79
二、領會
1、單鑰密碼體制與雙鑰密碼體制的區別P.61
答:①單鑰密碼體制的加密密鑰和解密密鑰相同,從一個可以推出另外一個;雙鑰密碼體制的原理是加密密鑰與解密密鑰不同,從一個難以推出另一個。②單鑰密碼體制基於代替和換位方法;雙鑰密碼算法基於數學問題求解的困難性。③單鑰密碼體制是對稱密碼體制;雙鑰密碼體制是非對稱密碼體制。
2、DES、IDEA、RSA加密算法的基本原理
答:DES即數據加密標準(Date Encryption Standard)於1977年由美國國家標準局公佈,是IBM公司研製的一種對二元數據進行加密的分組密碼,數據分組長度爲64bit,密文分組長度也是64bit,沒有數據擴展。密鑰長度爲64bit,其中有效密鑰長度56bit,其餘8bit爲奇偶校驗。DES的整個體制是公開的,系統的安全性主要依賴於密鑰的保密,其算法主要由初始置換IP、16輪迭代的乘積變換、逆初始轉換IP-1及16個子密鑰產生器構成。P.66
IDEA是International Data Encryption Algorithm的縮寫,即國際數據加密算法。它是根據中國學者朱學嘉博士與著名密碼學家James Massey於1990年聯合提出的建議標準算法PES改進而來的。它的明文與密文塊都是64bit,密鑰長度爲128bit,作爲單鑰體制的密碼,其加密與解密過程雷同,只是密鑰存在差異,IDEA無論是採用軟件還是硬件實現都比較容易,而且加解密的速度很快。P.69
RSA體制是由R.L.Rivest和L.Adleman設計的用數論構造雙鑰的方法,它既可用於加密,也可用於數字簽名。RSA算法的安全性建立在數論中“大數分解和素數檢測”的理論基礎上。P.72
3、認證的三個目的P.77
答:認證技術是防止不法分子對信息系統進行主動***的一種重要技術,其目的:
一是消息完整性認證,即驗證信息在傳送或存儲過程中是否被篡改;
二是身份認證,即驗證消息的收發者是否持有正確的身份認證符,如口令、密鑰等;
三是消息的序號和操作時間(時間性)等的認證,其目的是防止消息重放或延遲等***。
4、手寫簽名與數字簽名的區別P.78
答:手寫簽名與數字簽名的主要區別在於:
一是手寫簽名是不變的,而數字簽名對不同的消息是不同的,即手寫簽名因人而異,數字簽名因消息而異;
二是手寫簽名是易被模擬的,無論哪種文字的手寫簽名,僞造者都容易模仿,而數字簽名是在密鑰控制下產生的,在沒有密鑰的情況下,模仿者幾乎無法模仿出數字簽名。
5、數字簽名與消息認證的區別P.82
答:數字簽名與消息認證的區別是:消息認證可以幫助接收方驗證消息發送者的身份及消息是否被篡改。當收發者之間沒有利害衝突時,這種方式對於防止第三者破壞是有效的,但當存在利害衝突時,單純採用消息認證技術就無法解決糾紛,這時就需要藉助於數字簽名技術來輔助進行更有效的消息認證。
6、PKI認證技術的組成P.84
答:公鑰基礎設施(Public Key Infrastructure,PKI),主要包括①CA認證機構。CA作爲數字證書籤發機構,是PKI的核心,是PKI應用中權威的、可信任的,公正的第三方機構。②證書庫。是CA頒發證書和撤銷證書的集中存放在,是網上的一種公共信息庫,供廣大用戶進行開往式查詢。③證書撤銷。④密鑰備份和恢復。⑤自動更新密鑰。⑥密鑰歷史檔案。⑦交叉認證。⑧不可否認性。⑨時間戳。⑩客戶端軟件。
三、應用
將給定的明文按照給定的古典或單鑰密碼算法變換成密文P.64
答:教材中例子P.64
凱撒(Caesar)密碼是對英文26個字母進行移位代替的密碼,其q=26。這種密碼之所以稱爲凱撒密碼,是因爲凱撒使用過K=3(表示密文爲該字母后第3個字母)的這種密碼。使用凱撒密碼,若明文爲
M=Casesar cipher is a shift substitution
則密文爲
C=Fdvhvdu flskhu lv d vkliw vxevwlwxwlrq
教材中課後習題P.99第4題:
選擇凱撒(Caesar)密碼系統的密鑰K=6。若明文爲Caesar,密文是什麼。
答:密文爲Igkygx