《网络与信息安全》复习提纲2014
《信息安全》复习提纲
《信息安全》复习提纲第1章信息安全概述1、信息安全的发展阶段。
通信安全→ 信息安全→信息保障2、以下几个安全属性的含义:机密性、完整性、可用性、可控性、不可否认性保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。
完整性:保证数据的一致性,防止数据被非法用户篡改。
可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
可控制性:对信息的传播及内容具有控制能力。
不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。
3、信息安全的三个最基本的目标。
答:信息安全包括了保密性、完整性和可用性三个基本属性:(1)保密性:确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。
(2)完整性:确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。
(3)可用性:确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝,允许其可能而且及时地访问信息及资源4、信息安全保障体系包含的内容。
信息安全保障体系包括四个部分内容,即PDRR。
a)保护(Protect)b)检测(Detect)c)反应(React)d)恢复(Restore)第2章密码学基础1、一个完整的密码体制包含的五个要素。
M——可能明文的有限集,成为明文空间C——可能密文的有限集,称为密文空间K——一切可能密钥的有限集,称为密钥空间E——加密函数D——解密函数2、移位密码具体算法是将字母表的字母右移k个位置,并对字母表长度作模运算加密函数:E k(m) = (m + k) mod q;解密函数:D k (c) = ( c – k ) mod q;此算法要会应用计算。
3、分组密码的工作原理。
加密:将明文分成若干固定长度的组,用同一密钥、算法逐组加密,输出等长密文分组。
解密:将密文分成等长的组,采用同一密钥和算法逐组解密,输出明文。
网络信息安全复习提纲.
⏹“黑客”(Hacker指对于任何计算机操作系统奥秘都有强烈兴趣的人。
“黑客”大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他分享;并且从来没有破坏数据的企图。
⏹“入侵者”(Cracker是指怀着不良企图,闯入甚至破坏远程机器系统完整性的人。
“入侵者”利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。
“入侵者”很容易识别,因为他们的目的是恶意的。
信息安全的任务⏹机密性confidentiality⏹完整性integrity⏹不可否认性non-repudiation⏹有效性availability网络安全的研究方向⏹以网络管理软件为代表的网络安全管理的研究⏹以Satan(System Administrator Tool for Analyzing Networks为代表的网络分析系统的研究⏹以Kerberos(网络认证协议为代表的密钥分配和传输系统的研究⏹以SSL为代表的安全协议的研究⏹以防火墙(Firewall为代表的局部安全系统的研究信息收集阶段:(1TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。
Tracerout e利用ICMP及IP header的TT L字段。
首先,t racerout e送出一个TT L是1的IP dat agram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签到目的地,当路径上的第一个路由器收到这个dat agram 时,它将TT L减1变为0,所以该路由器会将此dat agram丢掉,并送回一个「ICMP time exceeded」(包括发IP包的源地址,IP包的所有内容及路由器的IP地址,tracerout e 收到这个消息后,便知道这个路由器存在于这个路径上,接着traceroute 再送出另一个TT L是2 的datagram,发现第2 个路由器...... t racerout e 每次将送出的dat agram的TT L 加1来发现另一个路由器,这个重复的动作一直持续到某个dat agram 抵达目的地。
网络信息安全课程《网络信息安全》教学大纲(2014-2015)
《网络信息安全》课程教学大纲一、课程总述本课程大纲是以2012年软件工程本科专业人才培养方案为依据编制的。
二、教学时数分配三、单元教学目的、教学重难点和内容设置第1章网络安全概述与环境配置【教学目的】了解内容:网络面临的安全威胁、信息系统安全的脆弱性、保证网络安全的途径;理解内容:网络安全的攻防体系、研究网络安全的必要性及其社会意义掌握内容:信息系统安全评估标准;熟练掌握内容:网络安全实验环境的配置及网络抓包软件的使用【重点难点】重点:网络安全的攻防体系、研究网络安全的必要性难点:研究网络安全的必要性【教学内容】1.1 信息安全概述1.2 网络安全概述1.3 研究网络安全的必要性1.4 研究网络安全的社会意义1.5 网络安全的相关法规1.6 网络安全的评价标准1.7 环境配置【课时要求】7节第2章网络安全协议基础【教学目的】了解内容:OSI参考模型和TCP/IP协议组理解内容:IP/TCP/UDP/ICMP协议的工作原理掌握内容: IP/TCP/UDP/ICMP协议的结构分析熟练掌握内容:常用的网络服务和网络命令【重点难点】重点:IP/TCP/UDP/ICMP协议的工作原理难点:IP/TCP/UDP/ICMP协议的结构分析【教学内容】2.1 OSI参考模型2.2 TCP/IP协议族2.3 网际协议IP2.4 传输控制协议TCP2.5 用户数据报协议UDP2.6 ICMP协议2.7 常用的网络服务2.8 常用的网络命令【课时要求】7节第3章网络空全编程基础【教学目的】了解内容:网络安全编程的基础知识理解内容:C和C++的几种编程模式掌握内容:网络安全编程的常用技术熟练掌握内容:注册表编程、定时器编程、驻留程序编程【重点难点】重点:网络安全编程的常用技术难点:注册表编程、定时器编程、驻留程序编程【教学内容】3.1 网络安全编程概述3.2 C和C++的几种编程模式3.3 网络安全编程【课时要求】10节第4章网络扫描与网络监听【教学目的】了解内容:黑客以及黑客攻击的基本概念理解内容:黑客攻击与网络安全的关系掌握内容:如何利用工具实现网络踩点、网络扫描和网络监听熟练掌握内容:黑客攻击的常用工具【重点难点】重点:黑客攻击的步骤难点:如何利用工具实现网络踩点、网络扫描和网络监听【教学内容】4.1 黑客概述4.2 网络踩点4.3 网络扫描4.4 网络监听【课时要求】5节第5章网络入侵【教学目的】了解内容:网络入侵的基本概念理解内容:社会工程学攻击、物理攻击、暴力攻击掌握内容:利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术熟练掌握内容:流行攻击工具的使用和部分工具的代码实现【重点难点】重点:流行攻击工具的使用和部分工具的代码实现难点:利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术【教学内容】5.1 社会工程学攻击5.2 物理攻击与防范5.3 暴力攻击5.4 Unicode漏洞专题5.5 其他漏洞攻击5.6 缓冲区溢出攻击5.7 拒绝服务攻击5.8 分布式拒绝服务攻击【课时要求】8节第6章网络后门与网络隐【教学目的】了解内容:利用四种方法实现网络后门理解内容:网络隐身的两种方法掌握内容:利用四种方法实现网络后门熟练掌握内容:常见后门工具的使用【重点难点】重点:利用四种方法实现网络后门难点:常见后门工具的使用【教学内容】6.1 网络后门6.2 木马6.3 网络代理跳板6.4 清除日志【课时要求】5节第7章恶意代码【教学目的】了解内容:恶意代码的发展史理解内容:研究恶意代码的必要性、恶意代码长期存在的原因掌握内容:恶意代码实现机理熟练掌握内容:恶意代码的设计与实现【重点难点】重点:恶意代码的设计与实现难点:恶意代码的设计与实现【教学内容】7.1 恶意代码概述7.2 恶意代码实现机理7.3 常见的恶意代码【课时要求】5节第8章操作系统安全基础【教学目的】了解内容:操作系统安全的基本概念理解内容:操作系统安全的实现机制、安全模型及安全体系结构掌握内容:操作系统安全的36条基本配置原则熟练掌握内容:Windows操作系统的安全配置方案【重点难点】重点:Windows操作系统的安全配置方案难点:Windows操作系统的安全配置方案【教学内容】8.1 常用操作系统概述8.2 安全操作系统的研究发展8.3 安全操作系统的基本概念8.4 安全操作系统的机制8.5 代表性的安全模型8.6 操作系统安全体系结构8.7 操作系统安全配置方案【课时要求】5节第9章密码学与信息加密【教学目的】了解内容:密码学的基本概念、数字水印的基本概念理解内容:主流加密技术、数字签名的原理、PGP加密的原理和实现及PKI信任模型掌握内容:DES加密算法的概念以及如何利用程序实现、RSA加密算法的概念以及实现算法熟练掌握内容:DES加密算法的概念以及如何利用程序实现【重点难点】重点:主流加密技术、数字签名的原理及PKI信任模型难点:如何利用程序实现主流加密算法【教学内容】9.1 密码学概述9.2 des对称加密技术9.3 rsa公钥加密技术9.4 pgp加密技术9.5 数字信封和数字签名9.6 数字水印9.7 公钥基础设施pki【课时要求】10节第10章防火墙与入侵检测【教学目的】了解内容:利用软件实现防火墙的规则集理解内容:防火墙的基本概念、分类、入侵检测系统的概念、原理及常用方法掌握内容:防火墙的实现模型、如何利用程序实现简单的入侵检测熟练掌握内容:防火墙的配置【重点难点】重点:防火墙的配置难点:入侵检测工具的编程实现【教学内容】10.1 防火墙的概念10.2 防火墙的分类10.3 常见防火墙系统模型10.4 创建防火墙的步骤10.5 入侵检测系统的概念10.6 入侵检测的方法10.7 入侵检测的步骤【课时要求】8节第11章IP安全与WEB安全【教学目的】了解内容:IPSec的必要性理解内容: IPSec中的AH协议、ESP协议和密钥交换协议掌握内容: VPN的功能和解决方案、Web安全的3个方面,SSL和TLS安全协议的内容与体系结构熟练掌握内容:VPN的解决方案【重点难点】重点:VPN的功能和解决方案、Web安全的3个方面、SSL和TLS安全协议的内容与体系结构难点:VPN的解决方案【教学内容】11.1 IP安全概述11.2 密钥交换协议IKE11.3 VPN技术11.4 WEB安全概述11.5 SSL/TLS技术11.6 安全电子交易SET简介【课时要求】3节第12章网络安全方案设计【教学目的】了解内容:网络安全方案设计方法理解内容:评价网络安全方案的质量的标准掌握内容:网络安全方案编写的注意点以及网络安全方案的编写框架熟练掌握内容:网络安全方案设计的基本步骤【重点难点】重点:网络安全的需求分析、方案设计难点:网络安全方案的设计【教学内容】12.1 网络安全方案概念12.2 网络安全方案的框架12.3 网络安全案例需求12.4 解决方案设计【课时要求】7节四、教材1、《计算机网络安全教程(第2版)》,石志国、薛为民、尹浩,清华大学出版社、北京交通大学出版社,2011年2月;2、《计算机网络安全教程实验指导》,石志国、薛为民、尹浩,清华大学出版社、北京交通大学出版社,2011年10月。
计算机网络与信息安全技术期末复习提纲
计算机网络与信息安全技术期末复习提纲一、填空题(20分)20*1二、选择题(20分)10*2三、判断题(20分)10*2四、简答题(20分)五、应用题(20分)*1.RSA加解密*访问控制实验代码E:MD user1 *创建目录MD user2MD user3NET user st1 /add *创建一名为st1的用户NET user st2 /addNET user st3 /addCacls user1 /g st1:f *改变文件权限(r:读取,w:写入,c:更改(写入),f:完全控制)Cacls user2 /g st2:fCacls user3 /g st3:f*变位加密第一章.信息与信息安全风险1.1.1信息的概念1.1.2信息的性质1.1.3信息的功能1.1.4信息技术和安全1.1.5信息系统和信息安全1.2.2信息安全的严峻性。
3计算机病毒肆虐P91.3.2物理安全风险*PPDR:Policy(策略)+protection(保护)+Dectection(检测)+Response(响应)安全:风险分析+执行策略+系统实施+漏洞检测+实时响应安全策略是PPDR安全模型的核心*防护:系统安全防护网络安全防护信息安全防护*1.4信息安全的目标P17本章习题:3.4.7附:简述两种网络安全模型的组成和感想?PPDR+PDRR第二章:网络攻击行为分析2.1.3实施安全威胁的人员2.2.2网络攻击的途径2.2.3网络攻击的层次*2.3网络攻击的一般步骤补充:1.隐藏位置2.网络探测和资料收集3.弱点挖掘4.掌握控制权5.隐藏行踪6.实施攻击7.开辟后门*2.4.6协议攻击欺骗:补充IP欺骗,DNS欺骗,ARP欺骗,TCP会话劫持本章练习:1.2.4第三章:信息安全体系结构3.1.信息安全的保护机制3.2开放互联安全体系*3.2.2OSI的安全服务*3.2.3OSI的安全体制*3.3信息安全体系框架3.4.1信息安全技术的层次结构*3.6.1IT安全评估通用准则P41本章习题:1.3.4第四章、加密与认证技术4.1.加密技术概述*4.2信息加密方式*4.3常用加密算法介绍*注:DES加密算法对明文加密过程4.4.4消息认证技术4.4.5数字水印技术4.5.1密码破译的方法4.5.2预防破译的措施本章习题:3.8.12第五章、内容安全技术5.1信息内容安全概述5.3.4邮件过滤系统P83*5.6.1信息隐藏技术本章习题:1.2.5.7第六章、数据备份与恢复技术*6.1.2常用备份方式P92一个完整的备份应包括备份软硬件并制定相应的备份策略及恢复方案字难恢复措施:灾难预防制度灾难演习制度灾难恢复制度6.2.4容灾技术补充:RAID技术,RAID级别,DAS存储方式,NAS存储技术,SAN存储技术第七章:系统脆弱性分析技术7.1.1漏洞的概念7.2.1协议分析*7.4扫描器的类型和组成p124第八章:防火墙技术8.1.1基本概念8.1.2防火墙的功能防火墙的历史:1. 静态包过滤2.电路层防火墙3.应用层防火墙4. 动态包过滤5.自适应过滤防火墙的缺陷:第九章、入侵检测与防御技术入侵:对信息系统的非授权访问及未经许可在信息中进行操作入侵检测:对入侵行为得发觉,是一种通过观察行为,安全日志,或审计数据来检测入侵的技术9.2入侵检测的原理与技术*9.2.2IDS的基本结构图9.3引擎的工作流程IDS与IPS区别和联系第十章、虚拟专用网络技术10.3 VPN的类型第十一章、系统访问控制与审计技术*11.1访问控制技术系统访问控制*分类逻辑隔离网络访问控制物理隔离*11.1.2访问控制工作原理*访问控制内容*11.3.1安全审计技术*访问控制内容:认证控制策略的具体实现安全审计*11.3.4安全审计系统第十二章、计算机病毒防范技术*12.1计算机病毒概述12.2计算机病毒的工作流程第十三章、物理安全和系统隔离技术13.1物理安全技术*机房三度要求:温度18-22℃湿度40%-60%洁净度:颗粒直径小于0.5微米,平均每升空气含量小于1W颗13.2.1电磁兼容和电磁辐射的防护*13.3系统隔离技术注:*号标记为重点所提示章节号为会考内容,请结合书本和PPT进行复习复习书:俞承杭著的计算机网络与信息安全技术PPT下载地址:链接:/s/1jGqwg6q 密码:vxjg 执笔:DukeZ。
《网络信息安全技术》复习提纲
《网络信息安全技术》复习提纲一、名词解释密码体制ECB/CBC/CFB/OFB 数字签名HASH函数MD5 SHA1 AES MAC码安全域安全策略授权鉴别认证PKCS CC 对称密码公钥密码密钥管理数字证书CRL PKI PMI CPS CA/RA OCSP PKIX 交叉认证时间戳HTTPS IPSEC PGP病毒入侵检测重放攻击防火墙...二、填空题1. 目前,典型的网络结构通常是由一个主干网和若干段子网组成,主干网与子网之间通常选用路由器进行连接。
2. 以太网的介质访问控制方式是:_载波监听多路访问/冲突检测(CSMA/CD) ______。
3. 计算机网络安全受到的威胁主要有:__黑客的攻击_____、__计算机病毒_____和_拒绝服务访问攻击_____。
4. 设置信息包筛的最常用的位置是路由器,信息包筛可以审查网络通信并决定是否允许该信息通过。
5. 选择性访问控制不同于强制性访问控制。
强制性访问控制是从__ B1____级的安全级别开始出现。
6. 对一个用户的认证,其认证方式可分为三类:_用生物识别技术进行鉴别_____、_用所知道的事进行鉴别_______和_使用用户拥有的物品进行鉴别_____。
7. 对数据库构成的威胁主要有:篡改、损坏和__窃取。
8. 检测计算机病毒中,检测的原理主要是基于四种方法:比较法、搜索法、计算机病毒特征字的识别法和分析法。
9. 基于密钥的加密算法通常有两类,即对称算法和公用密钥算法。
10. 因特网的许多事故的起源是因为使用了薄弱的、静态的口令。
因特网上的口令可以通过许多方法破译,其中最常用的两种方法是把加密的口令解密和通过监视信道窃取口令。
11. 存储子系统是网络系统中最易发生故障的部分,实现存储系统冗余的最为流行的几种方法是磁盘镜像、磁盘双联和RAID。
12. 依靠伪装发动攻击的技术有两种,一种是源地址伪装,另一种是途中人的攻击。
13. 证书有两种常用的方法:CA的分级系统和_信任网____。
网络安全复习提纲-2014-12
<<网络安全技术>>复习提纲Tel: 638725Qq: 281422166第1章网络安全概述1 什么是信息安全的基本目标:?教材P4CIA代表什么?具体解释什么是”机密性、完整性、可用性”2 描述攻防体系中的攻击技术和防御技术包括的几个方面?并且要求掌握每种技术的作用和目的。
教材P53 学习网络安全的意义P104 网络安全的评价标准P13目前流行的计算机安全评价标准是什么?分为几个级别第2章网络协议基础1 简述TCP/IP协议族的基本结构,说明每层常用地协议并分析每层可能遇到的威胁和防御措施教材P292 IP协议和TCP协议的头结构P33 和P363简单描述TCP的三次握手和四次挥手的过程(说明主要标志位SYN、ACK、FIN 的值)P39 和P403 简述常用的网络服务及其功能和提供该服务的默认端口P45 ~P494 简述ping命令、ipconfig命令、netstat指令、net指令和at指令的功能和用途。
P50~P52第4章网络扫描与网络监听1 黑客攻击五步曲教材P1052 什么是网络踩点教材P1063 什么是网络扫描?网络扫描可以对计算机网络系统或网络设备进行安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。
扫描器能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的反馈信息,从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。
4 常用的几种扫描技术?主机扫描、端口扫描和漏洞扫描●主机扫描的目的是确定在目标网络上的主机是否可达。
这是信息收集的初级阶段,其效果直接影响到后续的扫描。
可用于主机扫描的常用的网络命令:ping、tracert,traceroute,还有nmap工具●端口扫描:许多常用的服务使用的是标准的端口,只要扫描到相应的端口,就能知道目标主机上运行着什么服务。
网络信息与安全 复习提纲
网络信息安全概念指网络系统的硬件、软件及其系统中的数据受到保护。
不受偶然的或者恶意的原因而遭到破坏、更改、泄露。
系统能够连续、可靠、正常地运行,网络服务不中断网络信息安全的特征:(1)保密性(加密技术、访问控制)(2)可控性(访问控制)(3)不可否认性(数字签名)(4)可用性(认证、鉴别)(5)完整性(访问控制、数据备份、冗余设置)主动防御与被动防御的特点:1.主动防御技术(1)数据加密(2)CA认证(3)访问控制(4)虚拟网络技术(5)入侵检测2.被动防御技术(1)防火墙技术(2)安全扫描(3)密码检查器(4)安全审计(5)路由过滤(6)安全管理技术网络安全的基本原则:(1)普通参与原则(2)最小特征原则(3)纵深防御原则(4)阻塞点原则(5)最薄弱链接原则(6)失效保护原则黑客攻击步骤:1.信息收集工具:网络扫描、监听2.入侵并获得初始访问权:盗取普通账户文件,合法登录系统3.获得管理员权限,实施攻击:提高权限,绝对控制主机4.种植后门:长期占有5.隐藏自己:清除、伪造系统日志网络扫描的基本原理:通过网络向目标系统发送一些特征信息,然后根据反馈情况,获得有关信息。
发现远程服务器各种端口分配、服务、系统版本网络扫描(被动式与主动式扫描)的特点:被动式:基于主机。
检查不合理设置、脆弱口令、不符合安全规则的对象如:PortScan软件主动式:基于网络。
执行攻击脚本,模拟攻击。
记录系统反应。
发现漏洞如:X-Scan工具安全扫描的方法:1、端口扫描目的:判断目标主机中开放了那些服务判断目标主机的操作系统。
使用的技术:(1)ICMP扫描(利用ICMP”报错”逐个试探协议)(2)TCP扫描(使用Connect( )试探端口状态)(3)UDP扫描(UDP反馈与ICMP结合使用)2、漏洞扫描:采用模拟攻击。
形成安全性分析报告。
指出哪些攻击可行什么是IP地址欺骗:1、IP地址盗用2、IP地址伪造IP地址盗用:实际就是:ARP欺骗。
网络信息安全课程《网络信息安全》教学大纲(2014-2015)
网络信息安全课程《网络信息安全》教学大纲(2014-2015)网络信息安全课程《网络信息安全》教学大纲(2014-2015)一、课程介绍1.1 课程背景随着互联网的迅猛发展,网络信息安全问题日益突出,越来越需要专业人士来保护网络数据的安全性和完整性。
本课程旨在培养学生对网络信息安全的理解和处理技能,为学生未来从事网络安全相关职业打下坚实的基础。
1.2 课程目标本课程的主要目标是使学生:- 了解网络信息安全的基本概念和原则- 掌握网络信息安全的基本技术和方法- 培养网络信息安全的意识和行为习惯- 学会应对网络攻击和威胁的措施和应急处理1.3 教学安排- 课程名称:网络信息安全- 学年学期:2014-2015学年- 学时安排:每周2课时,共计36课时- 授课方式:理论授课与实践操作相结合 - 考核方式:平时表现+期末考试+实践项目二、课程内容2.1 网络信息安全概述- 网络信息安全的定义和重要性- 网络信息安全的基本原则和要求2.2 网络攻击与威胁- 常见的网络攻击类型及其原理- 网络威胁的分类及特征2.3 网络安全技术与方法- 认证与访问控制技术- 加密与数据保护技术- 安全评估与风险管理方法- 事件响应与应急处理方法2.4 网络安全管理与法规- 网络安全管理的基本流程与策略- 国内外相关的网络安全法规与标准2.5 网络信息安全保护实践- 网络防火墙配置与管理- 网络入侵检测与防范- 网络日志分析与溯源- 网络安全事件处理与演练三、教学方法3.1 理论授课- 通过教师的系统讲授,向学生介绍网络信息安全的基本概念、理论和技术。
3.2 实践操作- 在计算机实验室进行实践操作,让学生亲自实际操作各种网络安全技术和方法。
3.3 课程项目- 针对实际案例设计项目,要求学生进行团队合作,完成网络信息安全实践操作。
四、教材和参考资料4.1 教材- 《网络信息安全基础教程》- 《网络安全技术与实战》4.2 参考资料- 《网络与信息安全专业教学指南》- 《网络信息安全标准与规范》五、考核方式5.1 平时表现- 包括出勤率、课堂参与度、作业完成情况等。
网络信息安全复习
网络信息安全复习在当今数字化的时代,网络已经成为我们生活中不可或缺的一部分。
我们通过网络进行社交、购物、工作、学习等各种活动。
然而,随着网络的普及和发展,网络信息安全问题也日益凸显。
网络信息安全不仅关系到个人的隐私和财产安全,也关系到企业的商业机密和国家的安全稳定。
因此,对于网络信息安全的学习和掌握显得尤为重要。
网络信息安全是指保护网络系统中的硬件、软件及其数据不受偶然或者恶意的原因而遭到破坏、更改、泄露,保障系统连续可靠正常地运行,网络服务不中断。
要理解网络信息安全,首先需要了解一些常见的网络攻击手段。
比如,黑客攻击是一种常见的网络安全威胁。
黑客可能会利用系统漏洞、弱密码等方式入侵他人的计算机系统,窃取敏感信息或者进行破坏。
还有网络钓鱼,攻击者通过发送看似合法的电子邮件或短信,诱导用户点击链接或提供个人信息,从而达到骗取用户账号密码等重要信息的目的。
另外,恶意软件也是一大威胁,如病毒、木马、蠕虫等,它们可以在用户不知情的情况下潜入计算机系统,窃取数据、破坏系统或者控制计算机。
那么,如何保障网络信息安全呢?这需要从多个方面入手。
首先是用户自身的安全意识。
我们要养成良好的网络使用习惯,比如设置强密码,并定期更换;不随意点击来路不明的链接和下载未知来源的文件;注意保护个人隐私信息,不在不可信的网站上输入个人敏感信息。
其次,网络安全技术也是保障网络信息安全的重要手段。
防火墙可以阻止未经授权的网络访问,入侵检测系统能够及时发现并阻止入侵行为,加密技术可以对数据进行加密处理,确保数据在传输和存储过程中的安全性。
对于企业和组织来说,网络安全管理也至关重要。
要制定完善的网络安全策略和规章制度,对员工进行网络安全培训,提高员工的安全意识和防范能力。
同时,要定期进行网络安全风险评估和漏洞扫描,及时发现并修复安全漏洞。
在网络信息安全领域,还有一些重要的法律法规需要我们了解和遵守。
比如《中华人民共和国网络安全法》,明确了网络运营者的安全义务和责任,为网络信息安全提供了法律保障。
网络安全复习提纲-1412.doc
2014-12计算机专业网络安全复习提纲(2014T2)1. 信息安全研究目标?理解信息安全的核心:PDRRo研究目标:(基础理论研究:密码研究,安全理论研究,应用技术研究又包括安全实现技术,安全平台研究,安全管理研究又包括安全标准,安全策略,安全测评,)应用技术研究,安全管理研究,2. 简述网络攻击和防御分别包括哪些内容。
①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
3. 网络安全的层次体系及每层的主要内容网络安全的主要威胁有哪些?举例说明。
网络安全橙皮书指的是什么?包括哪些内容?从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统特点:操作系统是计算机中最基本、最重要的软件。
操作系统的安全是网络安(4)联网安全特点:联网的安全性通过访问控制和通信安全全的基础。
两方面的服务来保证网络安全橙皮书指的是:可信任计算机标准评价准则,分为4个级别:D类,C类,B类,和A类,6. 简述TCP/IP协议簇模型的基本结构,并分析网络层和应用层可能受到的威胁以及如何防御。
讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层•物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2 •数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3•网络层:针对IP包的攻击是很多的,主要是因为IPv4 的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4•传输层:针对TCP的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5.应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的;7. 简述FTP、SMTP、DNS、Web等常用网络服务传输层协议、默认端口。
网络与信息安全技术复习提纲
⽹络与信息安全技术复习提纲<⽹络与信息安全技术>课程复习提纲◆◆复习重点内容有简答题:1.简述计算机⽹络安全的定义。
答:计算机⽹络安全是指利⽤管理控制和技术措施,保证在⼀个⽹络环境⾥,信息数据的机密性、完整性及可使⽤性受到保护。
2.简述物理安全在计算机⽹络安全中的地位,并说明其包含的主要内容。
答:物理安全是整个计算机⽹络系统安全的前提物理安全主要包括:1)机房环境安全;2)通信线路安全;3)设备安全4)电源安全3.防⽕墙的五个主要功能是什么?答:防⽕墙的主要功能:1)过滤进、出⽹络的数据;2)管理进、出⽹络的访问;3)封堵某些禁⽌的业务;4)记录通过防⽕墙的信息和内容;5)对⽹络攻击检测和告警。
4.基于数据源所处的位置,⼊侵检测系统可以分为哪5类?答:基于数据源的分类:按数据源所处的位置,把⼊侵检测系统分为五类:即基于主机、基于⽹络、基于⼊侵检测、基于⽹关的⼊侵检测系统及⽂件完整性检查系统。
5.什么是计算机⽹络安全漏洞?答:计算机⽹络安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从⽽可以使攻击者能够在未授权的情况下访问或破坏系统。
6.简述恶意代码的主要防范措施。
答:恶意代码的防范措施:1)及时更新系统,修补安全漏洞;2)设置安全策略,限制脚本程序的运⾏;3)开启防⽕墙,关闭不必要的服务和系统信息;4)养成良好的上⽹习惯。
7. 计算机⽹络安全管理的主要内容有哪些?答:计算机⽹络安全的主要内容有:(1)⽹络安全管理的法律法规。
⽹络(信息)安全标准是信息安全保障体系的重要组成部分,是政府进⾏宏观管理的重要依据。
信息安全标准关系到国家安全,是保护国家利益的重要⼿段,并且有利于保证信息安全产品的可信性,实现产品的互联和互操作性,以⽀持计算机⽹络系统的互联、更新和可扩展性,⽀持系统安全的测评和评估,保障计算机⽹络系统的安全可靠。
⽬前我国有章可循的国际国内信息安全标准有100多个。
网络信息安全复习1
《网络信息安全》期末复习要点1、网络安全的定义答案:网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。
2.网络安全的属性答案:美国国家信息基础设施(NII)的文献中,给出了安全的五个属性:可用性、机密性、完整性、可靠性和不可抵赖性。
(1)可用性可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务。
(2)机密性机密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。
(3)完整性完整性是指网络信息的真实可信性,即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。
(4)可靠性可靠性是指系统在规定的条件下和规定的时间内,完成规定功能的概率。
(5)不可抵赖不可抵赖性也称为不可否认性。
是指通信的双方在通信过程中,对于自己所发送或接收的消息不可抵赖。
3.网络安全威胁答案:网络安全威胁是指某个实体(人、事件、程序等)对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。
通信过程中的四种攻击方式:图示窃听、中断、假冒、篡改4.安全策略❖安全策略是指在某个安全区域内,所有与安全活动相关的一套规则❖网络安全策略包括对企业的各种网络服务的安全层次和用户的权限进行分类,确定管理员的安全职责,如何实施安全故障处理、网络拓扑结构、入侵和攻击的防御和检测、备份和灾难恢复等内容。
5.网络安全模型❖ P2DR安全模型P2DR模型是由美国国际互联网安全系统公司提出的一个可适应网络安全模型(Adaptive Network Security Model)。
P2DR包括四个主要部分,分别是:Policy——策略,Protection——保护,Detection——检测,Response ——响应。
P2DR模型的基本思想是:一个系统的安全应该在一个统一的安全策略(Policy)的控制和指导下,综合运用各种安全技术(如防火墙、操作系统身份认证、加密等手段)对系统进行保护,同时利用检测工具(如漏洞评估、入侵检测等系统)来监视和评估系统的安全状态,并通过适当的响应机制来将系统调整到相对“最安全”和“风险最低”的状态。
网络与信息安全复习要点
网络信息安全复习资料下图为分布式入侵检测系统结构示意图,此示意图中各构件的作用如下。
数据采集构件:收集检测使用的数据,可驻留在网络中的主机上或安装在网络中的监测点。
数据采集构件需要通信传输构件的协作,将收集的信息传送到入侵检测分析构件去处理。
通信传输构件:传递检测的结果、处理原始的数据和控制命令,一般需要和其它构件协作完成通信功能。
入侵检测分析构件:依据检测的数据,采用检测算法,对数据进行误用分析和异常分析,产生检测结果、报警和应急信号。
应急处理构件:按入侵检测的结果和主机、网络的实际情况,作出决策判断,对入侵行为进行响应。
管理构件:管理其它构件的配置,产生入侵总体报告,提供用户和其它构件的管理接口,图形化工具或者可视化的界面,供用户查询、配置入侵检测系统情况等。
网络安全是在分布网络环境中对信息载体、信息的处理与传输、信息的存储与访问提供安全保护。
假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于对称加密技术。
2000年10月2日,NIST正式宣布将Rijndael候选算法作为高级数据加密标准,该算法是由两位比利时密码学者提出的。
密码学中的杂凑函数(Hash函数)按照是否使用密钥分为两大类:带密钥的杂凑函数和不带密钥的杂凑函数,whirlpool是带密钥的杂凑函数。
完整的数字签名过程(包括从发送方发送消息到接收方安全的接收到消息)包括签名和验证过程。
第 1 页共4 页第 2 页 共 4 页古典密码体制中,倒序密码属于置换密码。
完整的密码体制中不包括数字签名要素。
A 方有一对密钥(K A 公开,K A 秘密),B 方有一对密钥(K B 公开,K B 秘密),A 方向B 方发送数字签名M ,对信息M 加密为:M’= K B 公开(K A 秘密(M ))。
B 方收到密文的解密方案是K A 公开(K B 秘密(M’))。
用于实现身份鉴别的安全机制是加密机制和数字签名机制。
网络与信息安全复习资料
第一章网络安全概述2.网络系统面临的主要威胁有哪些?答:网络系统威胁主要有两个方面:网络存储威胁和网络传输威胁。
网络存储威胁是指信息在网络结点上静态存放状态下受到的威胁,主要是网络内部或外部对信息的非法访问。
网络传输威胁是指信息在动态传输过程中受到的威胁,主要有以下几种威胁。
截获、中断、篡改和伪造。
3.主动攻击和被动攻击的区别是什么?答:在被动攻击中,攻击者只是观察和分析某一个协议数据单元而不干扰信息流。
主动攻击是指攻击者对某个连接中通过的协议数据单元进行各种处理。
第2章网络安全体系结构1.计算机网络安全的模型有哪两种?答:(1)P2DR模型:P2DR是Policy(策略)、Protection(防护)、Detection(检测)和Response (响应)的缩写。
P2DR 模型是在整体的策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证系统的安全。
(2)PDRR模型:PDRR是Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)的缩写。
PDRR模型中安全策略的前三个环节与PPDR模型中后三个环节的含义基本相同。
最后一个环节,恢复是指在系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。
2.简述Internet网络安全体系结构框架。
答:OSI安全体系结构的内容主要包括:描述了安全服务及相关的安全机制,提出了参考模型,定义了安全服务和安全机制在参考模型中的位置。
安全体系结构三维图见下图。
第四章2. 会话建立过程由呼叫触发,在拨号接入的情况下,由用户至LAC的入呼叫触发。
消息过程将交换如下信息:LAC和LNS各自为会话分配的会话ID;数据信道的承载类型和帧封装类型;主被叫号码及子地址;收发线路速率;数据消息是否要加序号。
北邮《网络与信息安全》期末复习题(含答案)
北邮《⽹络与信息安全》期末复习题(含答案)《⽹络与信息安全》综合练习题⼀.选择题1.以下对⽹络安全管理的描述中,正确的是(D)。
D)安全管理的⽬标是保证重要的信息不被未授权的⽤户访问。
2.以下有关⽹络管理功能的描述中,错误的是(D)。
D)安全管理是使⽹络性能维持在较好⽔平。
3.有些计算机系统的安全性不⾼,不对⽤户进⾏验证,这类系统的安全级别是(A)。
A)D14.Windows NT操作系统能够达到的最⾼安全级别是(B)。
B)C25.下⾯操作系统能够达到C2安全级别的是(D)。
D)Ⅲ和ⅣⅢ.Windows NT Ⅳ.NetWare3.x6.计算机系统处理敏感信息需要的最低安全级别是(C)。
C)C27.计算机系统具有不同的安全级别,其中Windows 98的安全等级是(D)。
D)D18.计算机系统具有不同的安全等级,其中Windows NT的安全等级是(C)。
C)C29.⽹络安全的基本⽬标是实现信息的机密性、合法性、完整性和_可⽤性__。
10.⽹络安全的基本⽬标是保证信息的机密性、可⽤性、合法性和__完整性_。
11.某种⽹络安全威胁是通过⾮法⼿段取得对数据的使⽤权,并对数据进⾏恶意添加和修改。
这种安全威胁属于(B)。
B)破坏数据完整性12.以下⽅法不能⽤于计算机病毒检测的是(B)。
B)加密可执⾏程序13.若每次打开Word程序编辑⽂当时,计算机都会把⽂档传送到另⼀FTP 服务器,那么可以怀疑Word程序被⿊客植⼊(B)。
B)特洛伊⽊马14.⽹络安全的基本⽬标是实现信息的机密性、可⽤性、完整性和_完整性____。
15.当信息从信源向信宿流动时可能会受到攻击。
其中中断攻击是破坏系统资源,这是对⽹络__可⽤_性的攻击。
16.有⼀类攻击可以确定通信的位置和通信主机的⾝份,还可以观察交换信息的频度和长度。
这类攻击称为_通信量分析_。
17.下⾯攻击⽅法属于被动攻击的是(C)。
C)通信量分析攻击18.下⾯攻击属于⾮服务攻击的是(C)。
计算机网络安全复习大纲2014
1 P1 网络安全从本质上来讲就是网络上的信息安全。
网络安全涉及的内容既有技术方面的问题,也有管理方面的问题。
技术方面主要侧重于防范外部非法用户的攻击,管理方面侧重于内部人为因素的管理。
完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息。
2 P2 网络安全包括物理安全、逻辑安全、操作系统安全和联网安全。
3 P3 防止计算机黑客的入侵主要依赖计算机的逻辑安全。
4 P6 身份鉴别威胁主要有:口令圈套;破解口令;算法考虑不周;编辑口令。
线缆连接威胁不包括物理威胁。
5 P7冒名顶替属于线缆连接威胁有害程序有4种:病毒,代码炸弹,特洛伊木马,更新或下载代码炸弹属于有害程序。
6 P10 网络安全机制有哪些:加密机制,访问控制机制,数据完整性机制,数字签名机制,交换鉴别机制数据完整性是指在数据传输过程中,接收到的数据和原来数据之间保持完全一致。
7 P11 数字签名机制要解决以下问题:否认,伪造,冒充,篡改。
8 P14 静电对计算机的危害主要是由操作者直接触摸造成的。
雷击防范措施错误的是插座开关关闭。
9 P24 公安部组织制定了《计算机信息系统安全保护等级划分准则》,该准则将计算机信息安全系统安全保护尾款背划分为5个:1,用户自主保护级;2,系统审计保护级;3,安全标记保护级;4,结构化保护级;5,访问验证保护级。
最高级是访问验证保护级。
10 P25 漏洞与后门的概念与区别(简答题):漏洞是因设计不周而导致的硬件、软件或策略存在的缺点。
后门是软硬件制造者为了进行非授予权访问而在程序中故意设置的万能访问口令,这些口令对象无论是被攻破,还是只掌握在制造者手中,都对使用者的系统安全构成严重的威胁。
漏洞和后门是不同的,漏洞是难以预知的,后门则是人为故意设置的。
11 P38 任何登录UNIX系统的人,都必须输入口令,而口令文件passwd只有超级用户可以读写。
网络安全 复习提纲
网络安全复习提纲一、引言
- 网络安全的重要性
- 简述本文将涵盖的内容
二、网络安全概述
- 定义网络安全及其意义
- 网络安全的重要性
- 网络安全的目标和原则
三、网络攻击类型
- 电子邮件和社交媒体的威胁
- 恶意软件
- 网络钓鱼
- DDoS 攻击
- 数据泄露和身份盗窃
四、网络安全策略
- 网络安全意识培训
- 强密码和多因素身份验证
- 更新和维护软件和系统
- 防火墙和入侵检测系统
- 数据备份和恢复
- 加密和安全协议的使用
五、常见的网络安全隐患
- 弱密码和不安全的账户访问权限 - 未经授权的访问
- 缺乏更新和补丁管理
- 社交工程和钓鱼攻击
- 外部供应链和第三方安全漏洞六、网络安全法律和监管
- 中国相关网络安全法律法规
- 监管机构和责任
- 网络安全合规要求
七、网络安全管理与应急响应
- 网络安全管理框架
- 安全漏洞评估和风险管理
- 应急响应和恢复计划
八、个人和企业网络安全
- 个人网络安全意识教育
- 公司网络安全政策与控制
- 数据保护和隐私保护措施
九、未来的网络安全趋势
- 人工智能和机器学习在网络安全中的应用 - 物联网安全挑战
- 区块链技术在网络安全领域的作用
十、总结
- 总结网络安全的重要性
- 强调持续学习和更新网络安全知识的重要性附录一:常用网络安全术语解释
附录二:网络安全相关资源推荐
(本文仅为提纲,不包含实际内容)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络与信息安全》复习提纲注:以上比例均为近似值,实际以考试试题为准。
注:1、以上比例均为近似值,实际以考试试题为准。
2、综合应用题包括:画流程图、给出包结构图回答问题、计算题等等。
3、具体考查内容第1章(约10%)1、安全攻击可分为哪两大类?请分别举例。
(1)、被动攻击。
①还可以分为被动窃听:明文传输的用户名和口令信息对于此类攻击来说简直易如反掌。
②用交换技术或加密技术通信流量分析:攻击者发现两个公司之间网络流量很大,则发现可能他们之间进行重组谈判。
(填充技术和葱式路由技术)(2)、主动攻击:涉及数据流修改或创建错误流。
方式:假冒、重放、欺骗、消息篡改、拒绝服务。
2、攻击的主要方式有哪几类?①利用系统缺陷②利用客户淡薄的安全意识③内部用户的窃密、泄密和破坏④恶意代码⑤口令攻击和拒绝服务⑥利用Web服务的缺陷3、网络安全威胁的类型有哪些?①窃听或者嗅探②假冒③重放④流量分析⑤破坏完整性⑥拒绝服务⑦资源的非授权使用⑧陷阱们/特洛伊木马⑨病毒⑩诽谤4、什么是安全服务?-认证、访问控制、数据机密性、数据完整性和非否认(不可抵赖)服务。
安全服务:指采用一种或多种安全机制以抵御安全攻击。
①认证:有两种类型分别为实体认证(口令认证)和数据源认证(数据签名技术)。
②访问控制:保护信息未有被授权就访问。
③数据机密性:服务确保只有经过授权的实体才能理解受保护的信息。
④数据完整性:保护信息免于被恶意篡改、插入,删除和重放。
⑤非否认服务:收发者不行否认。
5、有哪些常见的安全机制?1. 加密2.信息完整性3.数字签名4.身份认证交换5.流量填充6.路由控制7.访问控制8.公证安全服务和安全机制是密切联系的,因为安全机制或安全机制组合就是用来提供服务的.一种机制也可以被应用于一种或更多种类的服务中.第2章(约15%)1、对称加密的原理。
加密/解密用的是同一把密钥。
消息空间中的消息M(称之为明文)通过由加密密钥K1控制的加密算法加密后得到的密文C. 密文C通过解密密钥K2的解密算法有可恢复原始明文M.2、熟练掌握古典密码中的替代密码和置换密码,完全理解课本中的举例。
(P23——P30)3、DES算法的特征和步骤。
不用记忆具体的P盒和S盒内容,但要掌握DES的算法流程。
DES是一种典型的分组密码,它将固定长度的明文通过一些列复杂的操作编程同样长度的密文的算法.算法认为只有持有加密所用密钥的用户才能解密密文.特征参数:①密钥表面上是64位的,然而只有其中的56位用被实际用于算法,其余8位被用于奇偶校验,并在算法中被丢弃。
②共获取16个子密钥,并进行16轮置换。
③密码函数F的输入是32位数据和48位的字密钥。
流程: 1.初始置换函数IP → 2.获取子密钥K → 3.密码函数f → 4.末置换→ 5.DES解密流程图P314、密码块操作模式(DES工作模式)有哪四种?(计算公式或者图形)①电子密本(ECB)模式:Ci=DESk(Pi) 图形见P38的图2.18②密码分组连接(CBC) 模式:C1=DESk(P1⊕IV) C2=DESk (P2⊕C1) Ci=DESk (Pi⊕Ci-1) 图形见P38的图2.19③密文反馈(CFB)模式:C1=P1⊕Leftn[DESk(IV)]C2=P2⊕Leftn[DESk(C1)]Ci=Pi⊕Leftn[DESk(Ci-1)] 图形见P39的图2.20④输出反馈(OFB)模式图形见P40的图 2.215、3DES与DES算法的区别。
3DES:加密:C=Ek3(Dk2(Ek1(M)))解密:M=Dk1(Ek2(Dk3(M)))3DES是DES的一种变形实现,如上面公式,其中K1、K2、K3为56位DES密钥。
为获得更高安全性,三个密钥应该互不相同。
但在某种情况下,如果与原来DES保持兼容,只可以选择K1=K2或者K2=K3。
第3章(约15%)1、单向散列函数需要满足哪些特性?①给定M,很容易算出h;②给定h,根据H(M)=h反推M很难;③给定M,要找到另一消息M’并满足H(M)=H(M’)很难。
2、SHA-1算法的步骤和参数。
(MD5与SHA1类似,因此不考察MD5的具体算法)步骤有:①填充消息→②初始化缓冲区→③按512位的分组处理输入消息→④输出特征参数:①首先将消息填充为512为的整数倍②两个缓冲区均有5个32位的寄存器③SHA运算主循环包括4轮,每轮20次操作3、请列出实现消息认证的不同方法。
a.使用对称加密;b.使用非对称加密;c.使用秘密值而不使用加密。
(请参考讲义)①利用常规加密的认证:双方有共享密钥,只有真正的发送者才能为对方加密;②非加密的消息认证:1.要把相同的消息广播到多个目的地.2.信息交换过程中,另一端负载大,无暇解密所有传入的消息.3.对明文形式的计算机程序进行认证;③利用消息认证码,mac算法.:1.接收者能确认消息没被篡改.2.接收者能确保消息来自合法的发送者.3.如果消息中含有序列号,而攻击者不能成功地修改序列号,接收者就可以确认消息的正确序列.4、请画出HMAC的算法流程。
第4章(约20%)1、RSA算法和Diffie-Hellman算法的过程,要计算,请带科学计算器进入考场(带有mod运算的)。
RSA:P70Diffie-Hellman:P71-P722、如何使用RSA算法或者Diffie-Hellman算法分配密钥?P70 : e和n作为公开密钥, d作为私人密钥3、如何使用RSA算法实现数字签名?(本章考查简单计算,不考查数学证明)RSA数字签名算法,包括签名算法和验证签名算法。
首先用MD5算法对信息作散列计算。
签名的过程需用户的私钥,验证过程需用户的公钥。
A用签名算法将字符串形式的消息处理成签名;B用验证签名算法验证签名是否是A对消息的签名,确认是A发送的消息;消息没有被攥改过;A一定发送过消息。
第6章(约15%)1、常见的VPN应用环境有哪些?(6.4节)①远程接入②LAN-LAN通信③可控的内联网接入1、AH和ESP服务的区别?①AH没有ESP的加密特性②AH的认证是对整个数据包做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行认证前要全部清零。
否则hash会mismatch导致丢包。
相反,ESP是对部分数据包做认证,不包括IP头部分。
AH:AH不对受保护的IP数据源身份验证和一些可选的有限的抗重放服务。
AH不对受保护的I数据包的任何部分进行加密,即不提供保密性。
ESP:提供机密性,数据源的身份验证,数据的完整性和抗重播服务。
2、传输模式和隧道模式的主要区别是什么?传输模式:用于主机之间,保护分组的有效负载,不对原来的IP地址进行加密。
隧道模式:用于在Internet中的路由,对整个IP分组进行保护,首先对IP分组进行加密,然后将加密后的分组封装到另一个IP分组。
3、IPSec认证头的格式,以及ESP安全封包的格式。
IPSec认证头的格式:P112 ESP安全封包的格式:P1144、AH认证的范围在传输模式和隧道模式中的区别。
(图6.13)P113图6.135、ESP加密和认证的范围在传输模式和隧道模式中的区别。
(图6.15、6.17)传输模式仅在主机上实现,提供对上层协议的保护,不提供对IP头的保护. 隧道模式下,整个受保护的IP包都封装在一个ESP头中,并且还增加一个新的IP头.当ESP在安全网关(保护用户传输流量)实现时必须采用隧道模式.再结合图6.15、6.17回答即可。
6、安全组合(SA组合)有哪些形式?(要会看图,如图6.18、6.19、还有课堂ppt例子)①传输邻接②嵌套隧道第7章(约10%)1、SSL协议栈对应在TCP/IP协议中的位置。
位于可靠的面向连接网络层协议和应用层协议之间2、SSL协议栈包含哪四种协议?分别的作用是什么?①握手协议:用于在实际传输开始前,通信双方进行身份验证、协商加密算法、交换加密密钥等②改变密码规范协议:用于从一种加密算法转变为另外一种加密算法③告警协议:用于消息的严重性以及告警消息的说明④记录协议:在客户机和服务器之间传输应用数据和SSL/TLS控制数据。
3、SSL记录协议的操作过程。
(图7.3)①分段,把每个高层消息分割为不大于2^14字节的块;②压缩,必须是无损压缩,对内容长度不能产生多于1024字节的增量(可选不压缩);添加MAC,在压缩数据的基础上计算消息认证码;③加密,对压缩后的消息连同MAC使用对称加密算法加密;④添加SSL记录头,由内容类型(8 bits)、主版本(8 bits)、副版本(8 bits)、压缩后的长度(8 bits)组成.图7.34、SSL握手协议的消息类型,配合一个建立客户和服务器之间逻辑连接的消息交换过程来解释。
(请参考讲义,比课本要更好理解)①客户发送一个ClientHello报文给服务器②服务器以ServerHello报文进行应答③在Hello报文之后,服务器将使用Certificate报文把自己的数字证书,甚至证书链发送给客户端④在某些情况下,服务器提供的证书不足以让客户来完成次密钥的交换,此时服务器需紧接着发送一个ServerKeyExchange报文给客户。
⑤服务器发送ServerHelloDone报文,告诉客户服务器已经完成该阶段的握手。
⑥在接收到服务器完成消息后,客户需要验证服务器是否提供合法的数字证书,并检查ServerHello报文的参数是否可以接受。
⑦客户发送ChangeCipherSpec报文给服务器。
⑧客户发送完成消息Finished报文。
⑨服务器发送自己的改变密码规范ChangeCipherSpec报文。
⑩服务器发送Finished报文。
5、SSL如何计算pre_master_secret和master_secret?其他密钥参数又是如何计算的?(本章仅考查SSL,不考查TLS)MD5(pre_master_secret || SHA('A' || pre_master_secret ||ClientHello.random || ServerHello.random)) ||P136 —P137第8章(约10%)1、验证用户身份的方法可分为哪三大类?请举例。
①用户知道什么:秘密,如口令,个人身份号码,密钥。
②用户拥有什么:令牌,如ATM卡或智能卡等。
③用户是谁:造物特征,如声音识别,手写识别。
2、Kerberos 4消息交换的过程。
(一定要注意每个步骤的顺序和意义,请参考讲义,比课本清楚一些)①在客户登录到本地工作站以后,客户向服务器发送一个服务请求,请求获得应用服务器的”凭证”;②认证服务器以凭证作为响应,并用客户的密钥加密凭证;③客户C向TGS服务器发送消息请求获得访问某个特定应用服务器的票据;④TGS服务器返回应用服务器票据以应答客户请求;⑤客户将该票据传送给应用服务器;⑥现在用户和应用服务器已经共享会话密钥,如果需要身份验证,服务器可以发送消息进行响应,以证明自己的身份.服务器返回身份验证码中的时间戳值+1,再用会话密钥进行加密.C用户可以将消息解密, 恢复增加1后的时间戳.P145 图8.83、设计Kerberos用于解决什么问题?假设在一个开放的分布式环境中,希望服务器能够将访问的权限限制在授权的用户范围内,并且能够认证服务请求,使工作站的用户可以访问分布在网络各处的服务器上的服务。