第1章 绪论
一、识记
1、计算机网络系统面临的典型安全威胁
答:窃听、重传、伪造、篡改、非授权访问、拒绝服务***、行为否认、旁路控制、电磁
/
射频截获、人员疏忽。
2、计算机网络安全的定义
答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
3、计算机网络安全的目标
答:①保密性;②完整性;③可用性;④不可否认性;⑤可控性。
4、P2DR模型的结构
答:
PPDR
模型是一种常用的网络安全模型,包含四个主要部分:
Policy
(安全策略)、
Protection
(防护)、
Detection
(检测)和
Response
(响应)。
5、网络安全的主要技术
答:①物理安全措施;②数据传输安全技术;③内外网隔离技术;④***检测技术;⑤访问控制技术;⑥审计技术;⑦安全性检测技术;⑧防病毒技术;⑨备份技术。
二、领会
1、OSI安全体系结构P.28
答:
OSI
安全体系结构不是能实现的标准,而是关于如何设计标准的标准。
(
1
)安全服务。
OSI
安全体系结构中定义了五大类安全服务,也称为安全防护措施。
①鉴别服务;②访问控制服务;③数据机密性服务;④数据完整性服务;⑤抗抵赖性服务。
(
2
)安全机制。其基本的机制有:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制。
2、计算机网络安全管理的主要内容P.26
答:①网络安全体系结构;②网络***手段与防范措施;③网络安全设计;④网络安全标准、安全评测及认证;⑤网络安全检测技术;⑥网络安全设备;⑦网络安全管理,安全审计;⑧网络犯罪侦查;⑨网络安全理论与政策;⑽网络安全教育;⑾网络安全法律。
概括起来,网络安全包括以下三个重要部分:
①先进的技术;②严格的管理;③威严的法律。
3、网络安全威胁的发展趋势P.35
答:网络安全威胁的发展趋势
(
1
)与
Internet
更加紧密地结合,利用一切可以利用的方式进行传播。
(
2
)所有的病毒都具有混合型特征,集文件传染、蠕虫、***和***程序的特点于一身,破坏性大大增强。
(
3
)其扩散极快,而更加注重欺骗性。
(
4
)利用系统漏洞将成为病毒有力的传播方式。
(
5
)无线网络技术的发展,使远程网络***的可能性加大。
(
6
)各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
(
7
)各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。
(
8
)各种***技术的隐秘性增强,常规防范手段难以识别。
(
9
)分布式计算机技术用于***的趋势增强,威胁高强度密码的安全性。
(
10
)一些政府部门的超级计算机资源将成为***者利用的跳板。
(
11
)网络管理安全问题日益突出。
4、网络安全技术的发展趋势(网络安全主要实用技术的发展)P.35
答:网络安全技术的发展是多维的、全方位的,主要有以下几种:
①物理隔离;②逻辑隔离;③防御来自网络的***;④防御网络上的病毒;⑤身份认证;⑥加密通信和虚拟专用网;⑦***检测和主动防卫;⑧网管、审计和取证。
三、应用
分析给定网络可能存在的安全威胁
第2章 物理安全
一、识记
1、物理安全包含的主要内容P.41
答:主要包括以下几个方面
①机房环境安全;②通信线路安全;③设备安全;④电源安全。
2、机房安全要求和措施P.42
答:
3、硬件设备的使用管理P.50
答:①要根据硬件设备的具体配置情况,制定切实可行的硬件设备的操作使用规程,并严格按操作规程进行操作;②建立设备使用情况日志,并严格登记使用过程的情况;③建立硬件设备故障情况登记表,详细记录故障性质和修复情况;④坚持对设备进行例行维护和保养,并指定专人负责。
4、电源对用电设备安全的潜在威胁
答:①脉动与噪声。②电磁干扰。当电源的电磁干扰比较强时,产生的电磁场就会影响到硬盘等磁性存储介质,久而久之就会使存储的数据受到损害。
二、领会
1、机房安全等级划分标准P.41
答:机房的安全等级分为
A
类、
B
类和
C
类三个基本类别。
A
类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B
类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
C
类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
2、通信线路安全技术P.49
答:
3、电磁辐射的防护措施P.51
防护措施主要有两类:
一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
另一类是对辐射的防护,这类防护措施又可以分为两种:一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波及接地等,其中屏蔽是应用最多的方法。
4、机房供电的要求和方式P.53
答:对机房安全供电的方式分为三类:
一类供电:需建立不间断供电系统。
二类供电:需建立带备用的供电系统。
三类供电:按一般用户供电考虑。
对机房安全供电的要求
P.53
三、应用
根据所需建设的网络系统要求,分析机房安全、通信线路安全和供电的需求
第3章 信息加密与PKI
一、识记
1、明文、密文、密钥、加密算法、解密算法等基本概念
答:明文(
Plaintext
)是作为加密输入的原始信息,即消息的原始形式,通常用
m
或
p
表示。所有可能明文的有限集称为明文空间,通常用
M
或
P
来表示。
密文(
Cliphertext
)是明文经加密变换后的结果,即消息被加密处理后的形式,通常用
c
表示。
密钥(
Key
)是参与密码变换的参数,通常用
k
表示。
加密算法(
Encryption Algorithm
)是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用
E
表示,即
c=Ek
(
P
)。
解密算法(
Decryption Algorithm
)是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用
D
表示,即
p=Dk
(
c
)。
2、加密体制的分类P.61~63
答:密码体制从原理上可分为两大类:
①单钥或对称密码体制。最有影响的是
DES
算法,另有国际数据加密算法
IDEA
。
单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。
②双钥或非对称密码体制。最有名的是
RSA
密码体制,另有
ElGamal
算法。
双钥密码的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单。缺点是双钥密码算法一般比较复杂,加解密速度慢。
双钥密码体制的产生主要基于两个原因:一是为了解决常规密钥密码体制的密钥管理与分配的问题;二是为了满足对数字签名的需求。
在双钥密码体制中,公开密钥是可以公开的信息,而私有密钥是需要保密的。
3、认证技术的分层模型P.77
答:认证技术分为三个层次:
①安全管理协议。主要任务是在安全体制的支持下,建立、强化和实施整个网络系统的安全策略。典型的安全管理协议有公用管理信息协议(
CMIP
)、简单网络管理协议(
SNMP
)和分布式安全管理协议(
DSM
)。
②认证体制。在安全管理协议的控制和密码体制的支持下,完成各种认证功能。典型的认证体制有
Kerberos
体制、
X.509
体制和
Light Kryptonight
体制。
③密码体制。是认证技术的基础,它为认证体制提供数学方法支持。典型的密码体制有
DES
体制、
RSA
体制。
4、常用的数据加密方式P.75
答:①链路加密;②节点加密;③端到端加密。
5、认证体制应满足的条件P.77
答:一个安全的认证体制应该至少满足以下要求
①意定的接收者能够检验和证实消息的合法性、真实性和完整性。
②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。
③除了合法的消息发送者外,其他人不能伪造发送消息。
6、PKI的基本概念和特点P.83
答:
PKI
是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用
PKI
平台提供的安全服务进行安全通信。
特点:透明性、一致性。
附:
1
、密码学的发展经历了三个阶段:古代加密方法、古典密码和近代密码。
2
、身份认证常用的方式主要有两种:通行字(口令)方式和持证方式。
P.79
二、领会
1、单钥密码体制与双钥密码体制的区别P.61
答:①单钥密码体制的加密密钥和解密密钥相同,从一个可以推出另外一个;双钥密码体制的原理是加密密钥与解密密钥不同,从一个难以推出另一个。②单钥密码体制基于代替和换位方法;双钥密码算法基于数学问题求解的困难性。③单钥密码体制是对称密码体制;双钥密码体制是非对称密码体制。
2、DES、IDEA、RSA加密算法的基本原理
答:
DES
即数据加密标准(
Date Encryption Standard
)于
1977
年由美国国家标准局公布,是
IBM
公司研制的一种对二元数据进行加密的分组密码,数据分组长度为
64bit
,密文分组长度也是
64bit
,没有数据扩展。密钥长度为
64bit
,其中有效密钥长度
56bit
,其余
8bit
为奇偶校验。
DES
的整个体制是公开的,系统的安全性主要依赖于密钥的保密,其算法主要由初始置换
IP
、
16
轮迭代的乘积变换、逆初始转换
IP-1
及
16
个子密钥产生器构成。
P.66
IDEA
是
International Data Encryption Algorithm
的缩写,即国际数据加密算法。它是根据中国学者朱学嘉博士与著名密码学家
James Massey
于
1990
年联合提出的建议标准算法
PES
改进而来的。它的明文与密文块都是
64bit
,密钥长度为
128bit
,作为单钥体制的密码,其加密与解密过程雷同,只是密钥存在差异,
IDEA
无论是采用软件还是硬件实现都比较容易,而且加解密的速度很快。
P.69
RSA
体制是由
R.L.Rivest
和
L.Adleman
设计的用数论构造双钥的方法,它既可用于加密,也可用于数字签名。
RSA
算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。
P.72
3、认证的三个目的P.77
答:认证技术是防止不法分子对信息系统进行主动***的一种重要技术,其目的:
一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
三是消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放或延迟等***。
4、手写签名与数字签名的区别P.78
答:手写签名与数字签名的主要区别在于:
一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
二是手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
5、数字签名与消息认证的区别P.82
答:数字签名与消息认证的区别是:消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时,这种方式对于防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
6、PKI认证技术的组成P.84
答:公钥基础设施(
Public Key Infrastructure
,
PKI
),主要包括①
CA
认证机构。
CA
作为数字证书签发机构,是
PKI
的核心,是
PKI
应用中权威的、可信任的,公正的第三方机构。②证书库。是
CA
颁发证书和撤销证书的集中存放在,是网上的一种公共信息库,供广大用户进行开往式查询。③证书撤销。④密钥备份和恢复。⑤自动更新密钥。⑥密钥历史档案。⑦交叉认证。⑧不可否认性。⑨时间戳。⑩客户端软件。
三、应用
将给定的明文按照给定的古典或单钥密码算法变换成密文P.64
答:教材中例子
P.64
凯撒(
Caesar
)密码是对英文
26
个字母进行移位代替的密码,其
q=26
。这种密码之所以称为凯撒密码,是因为凯撒使用过
K
=
3(
表示密文为该字母后第
3
个字母
)
的这种密码。使用凯撒密码,若明文为
M
=
Casesar cipher is a shift substitution
则密文为
C
=
Fdvhvdu flskhu lv d vkliw vxevwlwxwlrq
教材中课后习题
P.99
第
4
题:
选择凯撒(Caesar)密码系统的密钥K=6。若明文为Caesar,密文是什么。
答:密文为
Igkygx