0094《網(wǎng)絡(luò)信息安全》2020年6-7月期末考試指導(dǎo)一、考試說明1、考試形式：閉卷考試2、考試時(shí)間：90分鐘3、考試題型如下：（1）單選題（每題2分，共20分）（2）多選題（每題3分，共30分）（3）判斷題（每題1分，共10分）（4）簡(jiǎn)答題（每題10分，共20分）（5）論述題（共20分）二、復(fù)習(xí)重點(diǎn)內(nèi)容第一章《概論》1、 IP地址的分類IP地址由兩部分組成：網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)。2、 計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。一般具有以下幾方面的含義：（1）運(yùn)行系統(tǒng)的安全；（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全；（3）網(wǎng)絡(luò)上信息傳播的安全；（4）網(wǎng)絡(luò)上信息內(nèi)容的安全3、 計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)（重點(diǎn)）從廣義上來說，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有：（1）主機(jī)安全技術(shù)；（2）身份認(rèn)證技術(shù)；（3）訪問控制技術(shù)；（4）密碼技術(shù)；（5）防火墻技術(shù)；（6）安全審計(jì)技術(shù)；（7）安全管理技術(shù)。4、 計(jì)算機(jī)網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全應(yīng)具有以下四個(gè)方面的特征：（1）保密性。（2）完整性。（3）可用性。（4）可控性。第二章《網(wǎng)絡(luò)威脅與安全策略》1、系統(tǒng)漏洞系統(tǒng)漏洞也被稱為陷井，它通常是由操作系統(tǒng)開發(fā)者有意設(shè)置的，這樣他們就能在用戶失去了對(duì)系統(tǒng)的所的訪問權(quán)時(shí)仍能進(jìn)入系統(tǒng)。第三章《計(jì)算機(jī)病毒》1、 病毒的結(jié)構(gòu)1）引導(dǎo)模塊；2）傳染模塊；3）表現(xiàn)模塊。2、 病毒的特點(diǎn)破壞性；隱蔽性；潛伏性；傳染性；未經(jīng)授權(quán)而執(zhí)行；依附性；針對(duì)性；不可預(yù)見性3、 計(jì)算機(jī)病毒類型引導(dǎo)扇區(qū)病毒、文件型病毒和混合型病毒4、 文件型病毒文件型病毒的宿主不是引導(dǎo)區(qū)而是一些可執(zhí)行程序。文件型病毒把自己附著或追加在EXE和COM這樣的可執(zhí)行文件上，并等待程序運(yùn)行。艮據(jù)附著類型不同可分為三種文件病毒：覆蓋型，前、后附加型和伴隨型文件病毒。5、Inte1多層次病毒防御方法：后臺(tái)實(shí)時(shí)掃描、完整性保護(hù)和完整性檢驗(yàn)第四章《計(jì)算機(jī)系統(tǒng)安全與訪問控制》1、計(jì)算機(jī)安全級(jí)別1） D級(jí)。2）C1級(jí)。3）C2級(jí)。4）B1級(jí)。5）B2級(jí)。6）B3級(jí)。7）A級(jí)。計(jì)算機(jī)系統(tǒng)安全技術(shù)主要包括哪些內(nèi)容？（重點(diǎn)）計(jì)算機(jī)系統(tǒng)安全技術(shù)涉及的內(nèi)容很多，從使用角度來說，大體包括以下幾個(gè)方面：（1）實(shí)體硬件安全技術(shù)；（2）軟件系統(tǒng)安全技術(shù)；（3） 數(shù)據(jù)信息安全技術(shù)；（4） 網(wǎng)絡(luò)站點(diǎn)安全技術(shù)；（5） 運(yùn)行服務(wù)（質(zhì)量）安全技術(shù)；（6） 病毒防治技術(shù)；（7） 防火墻技術(shù)；（8） 計(jì)算機(jī)應(yīng)用系統(tǒng)的安全評(píng)價(jià)。其核心技術(shù)是加密技術(shù)、病毒防治技術(shù)以及計(jì)算機(jī)應(yīng)用系統(tǒng)安全評(píng)價(jià)。第五章《操作系統(tǒng)安全》1、 Unix系統(tǒng)及其特點(diǎn)Unix操作系統(tǒng)是由美國(guó)貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。Unix系統(tǒng)在經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要包括以下幾個(gè)方面：（1）可靠性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)大（4）強(qiáng)大的數(shù)據(jù)庫支持功能（5）開放性好。2、 Linux系統(tǒng)及特點(diǎn)Linux系統(tǒng)對(duì)計(jì)算機(jī)硬件的要求比較高，對(duì)于一般的個(gè)人來說,想要在PC機(jī)上運(yùn)行Unix是比較困難的。而Linux就為一般用戶提供了一個(gè)使用Unix界面操作系統(tǒng)的機(jī)會(huì)。因?yàn)長(zhǎng)inux是按照Unix風(fēng)格設(shè)計(jì)的操作系統(tǒng)，所以在源代碼級(jí)上兼容絕大部分的Unix標(biāo)準(zhǔn)?？梢哉f相當(dāng)多的網(wǎng)絡(luò)安全人員在自己的機(jī)器上運(yùn)行的正是Linux。Linux具有以下一些主要特點(diǎn)：（1）與Unix高度兼容（2）高度的穩(wěn)定性和可靠性（3）完全開放源代碼，價(jià)格低廉（4）安全可靠，絕無后門。3、 Unix操作系統(tǒng)的安全審計(jì)內(nèi)容在UNIX系統(tǒng)中所要審計(jì)的內(nèi)容很多，如登錄審計(jì)，F(xiàn)TP使用情況審計(jì)，在線用戶審計(jì)等，并且審計(jì)的記錄放在不同的文件中。（1） 登錄情況審計(jì)。（2） FTP審計(jì)。（3） 在線用戶審計(jì)。（4） 網(wǎng)絡(luò)安全審計(jì)。4、 Windows2000系統(tǒng)的數(shù)據(jù)安全特性主要借助于Kerberos。第六章《數(shù)據(jù)庫系統(tǒng)安全》1、數(shù)據(jù)庫特性1）多用戶2）高可靠性3）頻繁的更新4）文件大。2、 數(shù)據(jù)庫安全系統(tǒng)特性1）數(shù)據(jù)獨(dú)立性；2）數(shù)據(jù)安全性；3）數(shù)據(jù)的完整性；4）并發(fā)控制；5）故障恢復(fù)。3、 數(shù)據(jù)庫的安全需求1） 完整性需求2） 數(shù)據(jù)庫的安全審計(jì)審計(jì)主要是跟蹤誰訪問了數(shù)據(jù)中的哪些元素。3） 數(shù)據(jù)庫的用戶認(rèn)證用戶認(rèn)證就是確保每個(gè)用戶能夠正確地被識(shí)別，避免非法用戶的入侵。4） 數(shù)據(jù)庫的可用性數(shù)據(jù)庫系統(tǒng)對(duì)用戶有友好的界面，可用普通方法訪問數(shù)據(jù)庫中所有授權(quán)問的數(shù)據(jù)。第七章《密碼技術(shù)基礎(chǔ)》1、 密碼學(xué)的兩個(gè)方向及作用計(jì)算機(jī)密碼學(xué)的這兩個(gè)階段包括兩個(gè)方向：一個(gè)方向是公用密鑰密碼（RSA）,另一個(gè)方向是傳統(tǒng)方法的計(jì)算機(jī)密碼體制一一數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。密碼學(xué)的作用有：鑒別、完整性、抗抵賴性2、 保密密鑰和公用/私有密鑰有兩類基本的加密技術(shù)：保密密鑰和公用/私有密鑰。在保密密鑰中，加密者和解密者使用相同的密鑰，也被稱為對(duì)稱密鑰加密，這類算法有DES。另一類加密技術(shù)是公用/私有密鑰，與單獨(dú)的密鑰不同，它使用相互關(guān)聯(lián)的一對(duì)密鑰，一個(gè)是公用密鑰，任何人都可以知道，另一個(gè)是私有密鑰，只有擁有該對(duì)密鑰的人知道。公用/私有密鑰有以下特點(diǎn)：（1）公用密鑰和私有密鑰是兩個(gè)相互關(guān)聯(lián)的密鑰；（2）公用密鑰加密的文件只有私有密鑰能解開；（3）私有密鑰加密的文件只有公有密鑰能解開，這一特點(diǎn)被用于PGP加密軟件。3、 密鑰的算法基于密鑰的算法通常有兩類：對(duì)稱算法和公用密鑰算法。1） 對(duì)稱算法有時(shí)又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推導(dǎo)出來，反過來也成立。對(duì)稱算法的加密和解密表示為：Ek（M）=C；Dk（C）=MO對(duì)稱算法可分為兩類。一類只對(duì)明文中的單個(gè)位（有時(shí)對(duì)字節(jié)）運(yùn)算的算法稱為序列算法或序列密碼。另一類算法是對(duì)明文的一組位進(jìn)行運(yùn)算，這些位組稱為分組，相應(yīng)的算法稱為分組算法或分組密碼?，F(xiàn)代計(jì)算機(jī)密碼算法的典型分組長(zhǎng)度為64位。2） 公用密鑰算法PKA也叫非對(duì)稱算法，它是這樣設(shè)計(jì)的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來。用公用密鑰K加密表示為:Ek（M）=C；雖然公用密鑰和私人密鑰不同，但用相應(yīng)的私人密鑰解密可表示為：Dk（C）=M；有時(shí)消息用私人密鑰加密而用公用密鑰解密，這用于數(shù)字簽名，盡管可能產(chǎn)生混淆，但這些算法可分別表示為：Ek（M）=C；Dk（C）=Mo單鑰加密解密有些算法使用不同的加密密鑰和解密密鑰，也就是說加密密鑰K1與相應(yīng)的解密密鑰K2不同，在這種情況下:1r 1 1 加密 密 解密一原如密密雙鑰加密解密Ekl(M)=CDkl(C)=MDk2(Ekl(M))=M所有這些算法的安全性都基于密鑰的安全性，而不是基于算法的細(xì)節(jié)的安全性。這就意味著算法可以公開，也可以被分析，可以大量生產(chǎn)使用算法的產(chǎn)品，即使偷竊者知道你的算法也沒有關(guān)系。如果他不知道你使用的具體密鑰，他就不可能閱讀你的消息。4、 密鑰管理一般將不同場(chǎng)合的密鑰分為以下的幾類：、初始密鑰。、會(huì)話密鑰。、密鑰加密密鑰(KeyEncryptingKey)。、主密鑰(MaterKey)。5、 數(shù)字簽名的原理及其必要性數(shù)字簽名可做到高效而快速的響應(yīng)，任一時(shí)刻，在地球任何地方 只要有Internet,就可完成簽署工作。數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公，電子轉(zhuǎn)帳及電子郵遞等系統(tǒng)。數(shù)字簽名針對(duì)某一電子文件，加上簽名者個(gè)人的數(shù)字標(biāo)記形成“數(shù)字簽名”電子文件，這個(gè)電子文件從網(wǎng)上發(fā)送出去，接收方要能識(shí)別簽名，具有認(rèn)證性；從法律角度，具有不可否認(rèn)性：發(fā)送方確實(shí)簽署了，而接收方確實(shí)收到了。數(shù)字簽名原理如圖1圖中B收到A的數(shù)字簽名文件后，要檢查A簽名的真實(shí)性和文件的完整性。至于文件的機(jī)密性則是數(shù)字簽名所不能保證的。數(shù)字簽名用一般的加密方法是無法完成的。它的基本原理是：發(fā)送者A用自己的私鑰k1對(duì)消息M加密后，得密文c,B收到密文c后，用A的公鑰k2解密后，得消息M/,且M和M/—致，即k1和k2是一對(duì)密鑰，M是經(jīng)k1加密的——說明M是經(jīng)過A“簽字”的，因?yàn)橹挥蠥有這個(gè)私鑰k1。而對(duì)于消息M,B可同時(shí)通過其他途徑直接從A處得到。第八章《防火墻技術(shù)》1、防火墻基本概念防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。2、防火墻體系結(jié)構(gòu)1）雙重宿主主機(jī)體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。2）主機(jī)過濾體系結(jié)構(gòu)：在主機(jī)過濾體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。另外，主機(jī)過濾結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過濾路由器）。值得注意的是，包過濾就應(yīng)避免用戶直接與代理服務(wù)器相連。3）子網(wǎng)過濾體系結(jié)構(gòu)。3、 一個(gè)好的防火墻應(yīng)具備哪些功能？（重點(diǎn)）防火墻產(chǎn)品往往有上千種，如何在其中選擇最符合需要的產(chǎn)品；是消費(fèi)者最關(guān)心的事。在選購防火墻軟件時(shí)，應(yīng)該考慮以下幾點(diǎn)：（1）一個(gè)好的防火墻應(yīng)該是一個(gè)整體網(wǎng)絡(luò)的保護(hù)者；（2）一個(gè)好的防火墻必須能彌補(bǔ)其他操作系統(tǒng)的不足；（3）一個(gè)好的防火墻應(yīng)該為使用者提供不同平臺(tái)的選擇；（4）一個(gè)好的防火墻應(yīng)該為使用者提供完善的售后服務(wù)。4、 子網(wǎng)過濾體系結(jié)構(gòu)的基本工作原理。子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機(jī)過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離開。堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的主體。如果在屏蔽主機(jī)體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)在沒有其他的防御手段時(shí)，一旦有人成功地侵入屏蔽主機(jī)是非常誘人的攻擊目標(biāo)。通過在參數(shù)網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少堡壘主機(jī)被侵入的影響。子網(wǎng)過濾體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)過濾路由器，每一個(gè)都連接到參數(shù)網(wǎng)，一個(gè)位于參數(shù)網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于參數(shù)網(wǎng)與外部網(wǎng)絡(luò)之間（通常為因特網(wǎng)），其結(jié)構(gòu)如圖1所示。如果想侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須要通過兩個(gè)路由器，即使侵襲者設(shè)法侵入堡壘主機(jī)，它仍然需要通過內(nèi)部路由器。在此情況下，網(wǎng)絡(luò)內(nèi)部的單一的易受侵襲點(diǎn)便不會(huì)存在了。圖1子網(wǎng)過濾體系結(jié)構(gòu)外部路由器外部路由器參數(shù)網(wǎng)絡(luò)-D11—堡壘主機(jī)口口口口內(nèi)部路由器—— 內(nèi)部口?？诳贗] ]I .] ]. I] ]I工 工 工 ——內(nèi)部主第九章《IDS入侵檢測(cè)技術(shù)》1、 入侵檢測(cè)系統(tǒng)類型入侵檢測(cè)系統(tǒng)（IDS）可以分為三種類型：基于網(wǎng)絡(luò)的IDS、基于主機(jī)的IDS和集成化的IDS。（1） 基于網(wǎng)絡(luò)的IDS:基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測(cè)到攻擊，IDS應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊作出反應(yīng)?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。（2） 基于主機(jī)的IDS：基于主機(jī)的IDS一般監(jiān)視WindowsNT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測(cè)系統(tǒng)就向管理員發(fā)出入侵報(bào)警并且發(fā)出采取相應(yīng)的行動(dòng)。（3） 集成化的IDS:基于網(wǎng)絡(luò)和基于主機(jī)的IDS都有各自的優(yōu)勢(shì)，兩者相互補(bǔ)充。這兩種方式都能發(fā)現(xiàn)對(duì)方無法檢測(cè)到的一些入侵行為。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。2、 入侵檢測(cè)的分析方式（1）異常發(fā)現(xiàn)技術(shù)。（2）模式發(fā)現(xiàn)技術(shù)。3、 入侵檢測(cè)的過程入侵檢測(cè)的過程可以分為兩個(gè)部分：信息收集和信號(hào)分析。（1）信息收集。入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來自以下四個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。（2）信號(hào)分析。對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。4、典型的入侵檢測(cè)（1）追蹤入侵者的方法：記錄訪客情況、追蹤來訪者的地理位置、偵測(cè)來訪者的電話號(hào)碼、根據(jù)IP地址找出入侵者位置。（2）基于多代理技術(shù)的分布式入侵檢測(cè)系統(tǒng)中的三類監(jiān)控代理：活動(dòng)監(jiān)控代理AMA、主機(jī)監(jiān)控代理HMA、網(wǎng)絡(luò)監(jiān)控代理NMA。5、簡(jiǎn)述WindowsNT的域管理模式（重點(diǎn)）NT的安全成分讓我們可以通過設(shè)計(jì)網(wǎng)絡(luò)的配置把高度敏感的數(shù)據(jù)和應(yīng)用程序與普通的數(shù)據(jù)和應(yīng)用程序區(qū)分開。NT環(huán)境把擁有共同的信息和相同安全要求的資源按域的概念集中起來，用委托關(guān)系來控制域與域之間的交流。委托是一種管理方法，它將兩個(gè)域鏈接在一起并允許域里的用戶互相訪問，域與域之間的委托關(guān)系是集中管理任務(wù)的方法。委托關(guān)系使用戶賬戶和組能夠在建立它們之外的域中使用。委托把兩個(gè)或多個(gè)域鏈接成可管理的組。委托分為兩個(gè)部分即：受托域和委托域。受托域使用戶賬戶可被委托域使用。這樣，用戶只需要一個(gè)用戶名和口令就可以訪問多個(gè)域。設(shè)置域間委托關(guān)系的最佳策略是提供盡可能少的服務(wù)。委托關(guān)系只能被定義為單向的。為了獲得雙向委托關(guān)系，域與域之間必須相互委托。受托域就是賬戶所在的域，也稱為賬戶域；委托域含有可用的資源，也稱為資源域。委托關(guān)系的模型有：?jiǎn)我挥蚰Ｐ?、主域模型、多主域模型。第十章《PKI技術(shù)》1、 PKI技術(shù)PKI技術(shù)是實(shí)現(xiàn)信息安全的一個(gè)重要手段，尤其是在電子商務(wù)領(lǐng)域，它已成為保障交易和身份識(shí)別與確認(rèn)的基本技術(shù)。PKI技術(shù)包括公鑰基礎(chǔ)設(shè)施PKI、證書機(jī)構(gòu)、證書政策、數(shù)字認(rèn)證、身份證書、公鑰數(shù)字證書以及數(shù)字時(shí)間戳等內(nèi)容。2、 身份認(rèn)證證書的使用及有效性只有下列條件都為真時(shí)，證書才有效：（1） 證書沒有過期。所有的證書都有一個(gè)期限，可以檢查證書的期限來決定證書是否有效。（2） 密鑰沒有被修改。如果密鑰被修改，就不應(yīng)該再繼續(xù)使用。密鑰對(duì)應(yīng)的證書就應(yīng)當(dāng)收回。（3）CA負(fù)責(zé)回收證書，并發(fā)行無效證書清單。證書必須不在CA發(fā)行的無效證書清單中。3、 數(shù)字時(shí)間戳數(shù)字時(shí)間戳服務(wù)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門機(jī)構(gòu)提供。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的證書文件，它包含三個(gè)部分：相聯(lián)系文件的摘要；DTS機(jī)構(gòu)的標(biāo)識(shí)；DTS機(jī)構(gòu)的數(shù)字簽名。第十一章《網(wǎng)絡(luò)安全管理》1、 網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)通?？梢詣澐譃榧惺胶头植际?。2、 網(wǎng)絡(luò)安全的分層管理鏈路安全、網(wǎng)絡(luò)安全和信息安全第十二章《電子商務(wù)安全》1、電子商務(wù)概述電子商務(wù)是指商務(wù)流程的電子化,它涉及到金融機(jī)構(gòu)、供應(yīng)商、批發(fā)商、制造廠商和消費(fèi)者等各個(gè)方面，概括起來，即商家、銀行和用戶和證書機(jī)構(gòu)四個(gè)方面。2、電子商務(wù)中使用的核心安全技術(shù)電子商務(wù)中使用的核心安全技術(shù)如下：1）加密2）消息認(rèn)證3）數(shù)字簽名4）電子信封5）電子證書6）防火墻技術(shù)。3、電子商務(wù)安全的基本要求是什么？（重點(diǎn)）電子商務(wù)的安全要求可歸納如下：（1）真實(shí)性要求：能對(duì)信息、實(shí)體的真實(shí)性進(jìn)行鑒別。（2）機(jī)密性要求：保證信息不被泄露給非授權(quán)的人或?qū)嶓w。（3）完整性要求：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。（4）可用性要求：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。（5）不可否認(rèn)要求：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為。（6）可控性：能控制使用資源的人或?qū)嶓w的使用方式。4、 SET—提供安全的電子商務(wù)數(shù)據(jù)交換SET協(xié)議是MasterCard和VISA公司在1996年推出的基礎(chǔ)于Internet的電子交易協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)臉?biāo)準(zhǔn)。它具有以下特點(diǎn)：（1） 信息的保密性：持卡者的賬目和支付信息可安全傳送而不會(huì)被未經(jīng)許可的一方訪問。如果入侵者能夠截獲傳送的信息，如信用卡號(hào)碼、截止日期以及持卡者姓名，就有可能進(jìn)行欺詐。數(shù)據(jù)的保密性是通過對(duì)消息的加密來實(shí)現(xiàn)的。（2） 數(shù)據(jù)的完整性：在發(fā)送者和接收者傳送消息期間，消息的內(nèi)容能保證不被篡改，這一特性是通過使用數(shù)字簽名算法對(duì)消息摘要進(jìn)行簽名來實(shí)現(xiàn)的。（3） 對(duì)持卡者賬號(hào)的認(rèn)證：它可為商家提供認(rèn)證持卡者身份的手段，這一特性是通過使用持卡者的證書及數(shù)字簽名實(shí)現(xiàn)的。（4）對(duì)商家的認(rèn)證：為用戶提供商家的認(rèn)證，商家向用戶傳遞由CA發(fā)放的證書，用戶通過CA的公鑰來驗(yàn)證證書的有效性。5、 電子商務(wù)所需要的安全服務(wù)有哪些？為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，主要的安全服務(wù)包括：（1）鑒別服務(wù)。對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證。（2）訪問控制服務(wù)。訪問控制服務(wù)通過授權(quán)來對(duì)使用資源的方式進(jìn)行控制，防止非授權(quán)使用或控制資源。它有助于達(dá)到機(jī)密性、完整性、可控性和建立責(zé)任機(jī)制。（3）機(jī)密性服務(wù)。機(jī)密性服務(wù)的目標(biāo)是為電子商務(wù)參與者的信息在存儲(chǔ)、處理、傳輸過程中提供機(jī)密性保證，防止信息被泄露給非授權(quán)的人或?qū)嶓w。（4）不可否認(rèn)服務(wù)。與其他服務(wù)不同，不可否認(rèn)服務(wù)針對(duì)的是來自合法用戶的威脅，而不是未知攻擊者的威脅。否認(rèn)是指電子商務(wù)活動(dòng)者否認(rèn)其所進(jìn)行的操作，如否認(rèn)交易已發(fā)生，否認(rèn)在交易過程中的行為或?qū)δ诚⒌慕邮蘸桶l(fā)送。不可否認(rèn)服務(wù)就是為交易的雙方提供不可否認(rèn)的證據(jù)來為解決因否認(rèn)而產(chǎn)生的爭(zhēng)議提供支持。它實(shí)際上建立了交易雙方機(jī)制的責(zé)任。6、 安全電子商務(wù)的體系結(jié)構(gòu)。將安全技術(shù)融入電子商務(wù)系統(tǒng)來提供安全服務(wù)，就形成了一個(gè)安全電子商務(wù)系統(tǒng)，抽象的看，安全電子商務(wù)系統(tǒng)的功能體系結(jié)構(gòu)如圖1所示。（1）支持服務(wù)層。包括密碼服務(wù)、通信、歸檔、用戶接口和訪問控制等模塊，它提供了實(shí)現(xiàn)安全服務(wù)的安全通信服務(wù)（。2）傳輸層。傳輸層發(fā)送、接收、組織商業(yè)活動(dòng)所需的封裝數(shù)據(jù)條，實(shí)現(xiàn)客戶和服務(wù)器之間根據(jù)歸定的安全角色來傳遞信息。（3）交換層。交換層提供封裝數(shù)據(jù)的公平交換服務(wù)。所謂公平是指：A和B同意進(jìn)行交換，則A已收到B的封裝數(shù)據(jù)條的充要條件是B收到A的封裝數(shù)據(jù)條。（4）商務(wù)層。商務(wù)層提供了商業(yè)方案（如“郵購零售”“在線銷售信息”等）。7、試比較SET協(xié)議與SSL協(xié)議的異同。（重點(diǎn)）答案要點(diǎn)：SSL和SET有如下異同點(diǎn)：（1）網(wǎng)絡(luò)拓?fù)渲兴幍奈恢谩SL是基于傳輸層的通用安全協(xié)議，可以看成作用于傳輸層的安全技術(shù)規(guī)范。SSL很好地封裝了應(yīng)用層數(shù)據(jù),做到了數(shù)據(jù)加密與應(yīng)用層協(xié)議的無關(guān)性，各種應(yīng)用層協(xié)議都可以通過SSL獲得安全特性。而SET位于應(yīng)用層，對(duì)網(wǎng)絡(luò)上其他各層也有涉及。SET是為實(shí)現(xiàn)安全交易而專門制定的協(xié)議，從而最大限度地保證了商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。（2）消息的安全認(rèn)證。SET由于采用了公鑰機(jī)制、信息摘要和認(rèn)證體系，完全可以保證信息的完整性及可鑒別性oSSL中也采用了公鑰機(jī)制、信息摘要和證書，可以保證機(jī)密性和完整性，但SSL缺乏有效的數(shù)字簽名。（3）加密機(jī)制。從加密機(jī)制來看，SET與SSL側(cè)重點(diǎn)各不相同。由于SSL對(duì)網(wǎng)上傳輸?shù)乃行畔⒍技用埽虼嗣看蝹鬏斔俣认鄬?duì)較慢；而SET對(duì)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行加密，是有選擇的，它只對(duì)敏感性信息加密。（4）協(xié)議復(fù)雜度。系統(tǒng)負(fù)載能力對(duì)于SSL或SET都是一個(gè)嚴(yán)重的問題，SSL和SET都采用了大量加密及驗(yàn)證。（5）平臺(tái)開放性。從平臺(tái)開放性來看，SSL和SET都努力滿足客戶的需要。目前許多使用SET協(xié)議的先行方案正在運(yùn)行，但是SET的大規(guī)模采用比預(yù)計(jì)的要慢，主要原因是SSL不斷被安全信用卡交易所接受，以及SET系統(tǒng)比較復(fù)雜，運(yùn)行費(fèi)用較高。（6）出口限制。由于美國(guó)政府的出口限制，與SSL不同，SET不受美國(guó)密碼出口的限制。三、重點(diǎn)習(xí)題（一）單選題1?已知某臺(tái)主機(jī)的IP地址為，該地址是（）A類地址B類地址C類地址D類地址［答案］：B2?極小數(shù)據(jù)段式攻擊屬于（）o針對(duì)路由器的攻擊利用TCP/IP協(xié)議的攻擊電子郵件攻擊特洛伊木馬［答案］：ACIH病毒屬于（）o文件型病毒引導(dǎo)扇區(qū)病毒依附型病毒混合型病毒［答案］：AUnix系統(tǒng)中用于列出目前系統(tǒng)所有用戶的命令是（）。wholscpman［答案］：BUnix系統(tǒng)中的超級(jí)用戶root擁有最大權(quán)限，黑客可以通過下列哪條命令獲得root權(quán)限（）。findgrepseeksu［答案］:D不論是網(wǎng)絡(luò)的安全保密技術(shù)，還是站點(diǎn)的安全技術(shù)，其核心問題是（ ）。系統(tǒng)的安全評(píng)價(jià)保護(hù)數(shù)據(jù)安全是否具有防火墻硬件結(jié)構(gòu)的穩(wěn)定［答案］：A以下方法不能用于計(jì)算機(jī)病毒檢測(cè)的是（）。自身校驗(yàn)加密可執(zhí)行程序關(guān)鍵字檢測(cè)判斷文件的長(zhǎng)度［答案］：B代理是（ ）。應(yīng)用級(jí)網(wǎng)橋應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)服務(wù)器堡壘主機(jī)［答案］：B9?若每次打開Word程序編輯文檔時(shí)，計(jì)算機(jī)都會(huì)把文檔傳送到另一FTP服務(wù)器，那么可以懷疑Word程序被黑客植入（）。病毒特洛伊木馬FTP匿名服務(wù)陷們［答案］：B目前一般采用下列哪項(xiàng)來表示網(wǎng)絡(luò)中的資源（ ）。被管對(duì)象數(shù)據(jù)對(duì)象管理對(duì)象管理信息庫［答案］：A信息流填充機(jī)制是為防止下列哪類攻擊的機(jī)制（ ）。路由器攻擊口令破解流量分析攻擊地址欺騙攻擊［答案］：C對(duì)一個(gè)系統(tǒng)進(jìn)行訪問控制的常用方法是（ ）。加鎖保密采用合法用戶名和設(shè)置口令提高安全級(jí)別禁止使用［答案］：B不屬于密碼學(xué)的作用有（ ）。信息壓縮鑒別完整性抗抵賴［答案］：ATOC\o"1-5"\h\zDES算法采用的密鑰位數(shù)為（ ）。563264128［答案］：C防火墻是指（ ）。一個(gè)特定軟件一個(gè)特定硬件執(zhí)行訪問控制策略的一組系統(tǒng)一批硬件的總稱［答案］：C已知某臺(tái)主機(jī)的IP地址為，該地址是（ ）A類地址C類地址B類地址D類地址［答案］：C極小數(shù)據(jù)段式攻擊屬于（ ）。針對(duì)路由器的攻擊利用TCP/IP協(xié)議的攻擊電子郵件攻擊特洛伊木馬［答案］：A要保障各類文件及憑證的完整性應(yīng)采用（ ）。加密技術(shù)信息摘用技術(shù)數(shù)字簽名技術(shù)入侵檢測(cè)技術(shù)［答案］：B一個(gè)系統(tǒng)中所有的用戶共用同一個(gè)CA，為（ ）。普通公鑰證書系統(tǒng)多公鑰證書系統(tǒng)公鑰/私鑰系統(tǒng)單公鑰證書系統(tǒng)［答案］:D20.SET協(xié)議和SSL協(xié)議都能夠保證信息的（）。可靠性機(jī)密性完整性可鑒別性［答案］:D（二）多選題在網(wǎng)絡(luò)層以上能夠用于實(shí)現(xiàn)網(wǎng)間互連的有（ ）。中繼器集線器網(wǎng)橋路由器網(wǎng)關(guān)［答案］:D,E文件型病毒根據(jù)附著類型可分為（ ）。隱蔽型病毒覆蓋型病毒前附加型病毒后附加型病毒伴隨型病毒［答案］：B,C,D,ETOC\o"1-5"\h\z計(jì)算機(jī)安全級(jí)別包括（ ）。D級(jí)C1級(jí)C2級(jí)C3級(jí)B1級(jí)［答案］：A,B,C,EUnix系統(tǒng)中查看文件的訪問權(quán)限的結(jié)果是drwxr-r-x，則其中表明了該文件對(duì)下列哪些用戶的權(quán)限特征（）。超級(jí)用戶用戶本人非授權(quán)用戶用戶所在的組用戶本人、用戶所在的組之外的其他用戶［答案］:B,D,EWindows2000系統(tǒng)的安全特性有（ ）。易用的管理性數(shù)據(jù)安全性企業(yè)間通信的安全性分布的安全性企業(yè)與互聯(lián)網(wǎng)的單點(diǎn)安全登錄［答案］：A,B,C,ETOC\o"1-5"\h\z常用的摘要函數(shù)算法主要有（ ）。MD1MD2MD3MD4MD5［答案］:B,D,E防火墻的基本功能有（ ）。能夠強(qiáng)化安全策略能夠防備全部威脅限制暴露用戶點(diǎn)安全策略的檢查站有效記錄因特網(wǎng)上活動(dòng)［答案］：A,C,D,E在通信過程中，只采用數(shù)字簽名可以解決（）等問題。數(shù)據(jù)完整性數(shù)據(jù)的抗抵賴性數(shù)據(jù)的篡改數(shù)據(jù)的保密性傳輸?shù)乃俣龋鄞鸢福荩篈,B,C入侵檢測(cè)的信號(hào)分析一般通過以下手段（ ）。分類匯總模式匹配統(tǒng)計(jì)分析完整性分析識(shí)別性分析［答案］：B,C,D身份認(rèn)證證書在下列哪些條件都為真時(shí)才有效（ ）。證書已被驗(yàn)證證書沒有過期證書已被復(fù)制證書不在CA發(fā)行的無效證書清單中密鑰沒有修改［答案］:B,D,E根據(jù)中國(guó)國(guó)家計(jì)算機(jī)安全規(guī)范，網(wǎng)絡(luò)信息安全分為（ ）密碼技術(shù)類基本安全類網(wǎng)絡(luò)互聯(lián)設(shè)備安全類連接控制類管理記帳類［答案］：B,C,D,E網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)包含的措施有（ ）。社會(huì)的法律政策審計(jì)與管理措施防火墻技術(shù)身份鑒別技術(shù)信息加密技術(shù)［答案］:A,B,C,D,E計(jì)算機(jī)病毒表現(xiàn)模塊分為（ ）。引導(dǎo)部分條件判斷部分傳染部分潛伏部分具體表現(xiàn)部分［答案］：B,E14?能夠達(dá)到C2級(jí)的常見操作系統(tǒng)有（ ）。Windows98XenixNovell3.xUnixWindowsNT［答案］：B,C,D,E網(wǎng)絡(luò)安全的層次包括（）。數(shù)據(jù)安全鏈路安全信息安全日志安全網(wǎng)絡(luò)安全［答案］:B,C,E入侵檢測(cè)的信號(hào)分析一般通過以下手段（ ）。分類匯總模式匹配統(tǒng)計(jì)分析完整性分析識(shí)別性分析［答案］：B,C,D數(shù)字簽名是用于保障（ ）。機(jī)密性完整性認(rèn)證性不可否認(rèn)性可靠性［答案］:C,DVPN建立的基本方法有（ ）。企業(yè)自身建設(shè)ISP建設(shè)ISP與企業(yè)共同建設(shè)國(guó)務(wù)院信息辦電子商務(wù)公司［答案］:B,D,E堡壘主機(jī)一般有以下類型（ ）。無路由雙宿主機(jī)過濾雙宿主機(jī)犧牲主機(jī)外部堡壘內(nèi)部堡壘主機(jī)［答案］:A,C,E網(wǎng)絡(luò)通過一種集成管理方式進(jìn)行管理主要是由于網(wǎng)絡(luò)的（ ）?？煽啃酝暾怨蚕硇远鄻有詮?fù)雜性［答案］:D,E（三）判斷題網(wǎng)絡(luò)上信息傳播安全是指對(duì)有害信息傳播前的預(yù)防處理。［答案］：x后附加型病毒將自己附加在文件的末尾，這種病毒并不增加文件的總長(zhǎng)度。［答案］：xWindowsNT在強(qiáng)制登錄過程中，系統(tǒng)掛起對(duì)用戶模式的訪問，用戶的單獨(dú)配置在用戶登錄后自動(dòng)調(diào)出。［答案］:VWindowsNT的安全日志的大小有限，所以應(yīng)仔細(xì)選擇要記錄的事件。［答案］:V多層數(shù)據(jù)庫在其第二層完成訪問控制，進(jìn)行數(shù)據(jù)庫系統(tǒng)需要的用戶身份鑒別。［答案］：X6.IDEA使用128位密鑰進(jìn)行操作，其加密過程同DES完全一樣。［答案］：X7.數(shù)據(jù)庫的加密與一般的網(wǎng)絡(luò)通信加密相同，采用類似的加密方法與密鑰管理方法。［答案］：X8.IP地址由兩部分組成：網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)。［答案］:V網(wǎng)絡(luò)信息管理庫是管理對(duì)象的集合，它是一個(gè)實(shí)際數(shù)據(jù)庫。［答案］：X網(wǎng)絡(luò)安全程度不是隨著時(shí)間變化而發(fā)生改變的，所以網(wǎng)絡(luò)安全是穩(wěn)定的。［答案］：X安全審計(jì)技術(shù)是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一。［答案］:V數(shù)字簽名與消息的真實(shí)性認(rèn)證是不相同的。［答案］:V計(jì)算機(jī)病毒程序只有依附在系統(tǒng)內(nèi)某個(gè)合法的可執(zhí)行程序上，才可能被執(zhí)行。［答案］:V用戶的口令應(yīng)保持較長(zhǎng)時(shí)間，不應(yīng)改變，所以口令的生命周期沒有意義。［答案］：X在WindowsNT中共有三種類型的組：本地組、全局組、一般組。［答案］：x多層數(shù)據(jù)庫在其第二層完成訪問控制，進(jìn)行數(shù)據(jù)庫系統(tǒng)需要的用戶身份鑒別。［答案］：x設(shè)置包過濾規(guī)則從安全角度應(yīng)采用“默認(rèn)允許”。［答案］：X模式匹配和統(tǒng)計(jì)分析用于事后的入侵檢測(cè)分析。［答案］：X無可爭(zhēng)辯簽名不需要簽名者合作就可以驗(yàn)證簽名的簽名機(jī)制。［答案］：X網(wǎng)絡(luò)安全由多個(gè)安全組件來保證，一個(gè)單獨(dú)的安全組件只能完成其中部分功能，所以網(wǎng)絡(luò)安全是一個(gè)整體性的問題。［答案］:V簡(jiǎn)答題簡(jiǎn)述計(jì)算機(jī)系統(tǒng)的安全級(jí)別。答案要點(diǎn)：根據(jù)美國(guó)國(guó)防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則，即橙皮書，一些計(jì)算機(jī)安全級(jí)別被用來評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。它共有7個(gè)級(jí)別，分別是：D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門戶大開的房子，任何人都可以自由進(jìn)出，是完全不可信的。C級(jí)有兩個(gè)安全子級(jí)別：C1和C2。C1級(jí)又稱選擇性安全保護(hù)系統(tǒng)，它描述了一種典型的用在Unix系統(tǒng)上的安全級(jí)別。C2級(jí)應(yīng)具有訪問控制環(huán)境權(quán)力。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問某些文件的權(quán)限，而且還加入了身份認(rèn)證級(jí)別。B級(jí)中有三個(gè)級(jí)別：Bl、B2、B3。Bl級(jí)即標(biāo)志安全保護(hù)，是支持多級(jí)安全(例如秘密和絕密)的第一個(gè)級(jí)別，這個(gè)級(jí)別說明處于強(qiáng)制性訪問控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。B2級(jí)，又叫做結(jié)構(gòu)保護(hù)，它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備(磁盤、磁帶和終端)分配單個(gè)或多個(gè)安全級(jí)別。它是提供較高安全級(jí)別對(duì)象與較低安全級(jí)別對(duì)象相通信的第一個(gè)級(jí)別。B3級(jí)又稱安全域級(jí)別，使用安裝硬件的方式來加強(qiáng)域的安