一、 概述 1. 网络安全的目标：保护信息的机密性、完整性、不可否认性和可用性。 2. 数据完整性：数据在存储或传输时不被修改、破坏或数据包的丢失、乱序。 3. 信息可用性的破坏：攻击者破坏网络系统的资源，使之变成无效的或无用的。 二、 密码学应用及管理 4. 传统密码算法的两种基本运算：代换和置换。前者是将明文中的每个元素映 射成另外一个元素；后者是将明文中的元素重新排列。 vigenere 密码：密钥 ab，明文 abcdef，密文 ACCEEG。 5. 凯撒密码算法：密文 C=DEF，明文 M=abc。 6. 7. 混淆和扩散：Shannon 提出的设计密码系统的两种基本方法。 8. 密码系统按对明文的加密方式分类：流密码和分组密码。 9. 分组密码的结构：Feistel 网络结构和 SP 网络结构。 10. Feistel 密码中每轮发生的变化：（1）将输入分组分成左右两部分。（2）以右 半部数据和子密钥作为参数，对左半部数据实施代换操作。（3）将两部分进 行互换，完成置换操作。 11. 加密过程三个主要元素：明文、密钥、加密函数 。 12. 密码系统按密钥特点分：分单密钥系统（对称密码系统）和双密钥系统（非 对称密码系统）。单密钥系统的加密密钥和解密密钥相同，或实质上等同， 即从一个易于得出另一个。双密钥体制又称为非对称密码体制和公开密钥密 码体制。双密钥体制有两个密钥，一个是公开的密钥，用 K1 表示，谁都可 以使用；另一个是私人密钥，用 K2 表示，只由采用此体制的人自己掌握。 从公开的密钥推不出私人密钥。 13. 对称密钥加密：加解密密钥相同，加解密处理速度相对较快。 14. DES：是一种分组长度和密钥的长度均为 64 位的对称加密算法。TripleDES 是一种加强了的 DES 加密算法，其密钥长度是 DES 的 3 倍。 15. 非对称密钥加密：即公钥密码体制，加密和解密的密钥不同，安全性更好， 加密数据的速率较低。用于加密的密钥为公钥。 16. 典型的非对称算法：RSA，安全性基于大整数分解因子的困难性；ECC，椭 圆曲线密码体制，安全性依赖于求解椭圆曲线离散对数问题的困难性。 17. 混合加密：使用对称加密算法对明文进行加解密处理，使用公开密钥密码体 制对称加密密码体制的密钥进行加密，对称密钥交换的安全信道是通过公开 密钥密码体制来保证的。 18. 衡量加密技术强度的因素：密钥的保密性、算法强度、密钥长度 19. 常见的摘要加密算法：MD5、SHA。摘要算法不可逆。 

20. 消息认证码和散列函数区别：消息认证码(MAC)依赖公开的函数（密钥控制 下）对消息进行处理，生成定长的认证标识，并加以认证。散列函数(Hash) 将任意长度的消息变换为定长的消息摘要，并加以认证。 21. 数字签名：是非对称加密算法和消息摘要相结合的产物，能够解决篡改、伪 造等安全性问题 22. 数字签名功能：（1） 保证信息传输过程中的完整性：安全单向散列函数的 特性保证如果两条信息的信息摘要相同，那么它们信息内容也相同。（2） 发 送者的身份认证：数字签名技术使用公用密钥加密算法，发送者使用自己的 私有对发送的信息进行加密。（3） 防止交易中的抵赖发生：当交易中的抵 赖行为发生时，接受者可以将接收到的密文呈现给第三方。 23. 公钥算法 RSA、DH 和 DSS 算法的用途：（1）RSA——加密/解密、数字签 名、密钥交换；（2）DH——密钥交换；（3）DSS——数字签名。 24. 数字证书中的内容：证书发布人的姓名、发行证书的实体、实体的公开密钥 25. 公钥算法中公钥的分配方法有：公开发布、公钥动态目录表和公钥证书。 26. PKI 是公开密钥体系，核心组成部分是认证机构 CA，CA 认证中心负责证 书的颁发和管理、并依靠证书证明一个用户的身份。RA 是注册认证机构。 27. RSA 算法计算实例： 一、选择素数： p=17 ， q=11。 （1）计算 n = pq =17×11=187 （2）计算ø(n)=(p–1)(q-1)=16×10=160 （3）选择 e : gcd(e，160)=1; 选择 e=7 （4）确定 d: de=1 mod 160 and d < 160， d=23 （5）因为 23×7=161= 1×160+1 （6）公钥 KU={7，187} （7）私钥 KR={23，187} 二、RSA 的加解密：给定消息 M = 88 ( 88<187) （1）加密： C = 887 mod 187 = 11 （2）解密： M = 1123 mod 187 = 88 三、 身份认证与访问控制 28. 防止用户被冒名所欺骗的方法是对信息源发方进行身份验证。 29. 最常用的认证方式是基于账户名/口令认证。 30. 访问控制：一个用户通过验证登录后，系统确定该用户可以做些什么。 四、 网络入侵与防御 31. 一般的系统攻击步骤：确定攻击目标；收集被攻击目标的信息；利用工具扫 

描；模拟攻击；实施攻击；清除痕迹。 32. 漏洞是指任何可以造成破坏系统或信息的弱点。 33. IP 欺骗：利用 IP 地址进行攻击的方法。 34. 拒绝服务攻击：使网络服务器中充斥着大量要求回复的信息，消耗带宽，导 致网络或系统停止正常服务。DOS 攻击的 Syn flood 攻击是利用通讯握手过 程问题进行攻击。 35. 缓冲区溢出攻击：向有限的空间输入超长的字符串。既是系统层漏洞也是应 用层漏洞。 36. 端口扫描：根据扫描方法的不同，端口扫描技术可分为全开扫描、半开扫描、 秘密扫描、区段扫描等。全开扫描最精确，但容易被检测到；秘密扫描能避 开某些 IDS 和绕过防火墙，但可能误报。 37. 扫描工具既可作为攻击工具也可以作为防范工具。 38. 为了防御网络监听，最常用的方法是信息加密。 39. Windows NT 和 Windows 2000 系统能设置为在几次无效登录后锁定帐号， 这可以防止暴力攻击。 40. 计算机病毒检测手段中，主要用于检测已知病毒的是特征代码法。能发现未 知病毒的是校验和法。 五、 入侵检测与防火墙 41. 入侵检测系统的功能：监视网络上的通信数据流 、捕捉可疑的网络活动、 提供安全审计报告。 42. 入侵检测技术分类：异常检测、误用检测和特征检测。 43. 基于网络的入侵检测：能够在网络通信中寻找符合网络入侵模式的数据包而 发现攻击特征。是入侵检测系统所通常采用的。优势：监视整个网段的通信、 不要求在大量的主机上安装和管理软件、具有更好的实时性。 44. 基于主机的入侵检测方式：适应交换和加密。 45. 防火墙主要采用了两种基本的技术：数据包过滤型和代理服务。包过滤防火 墙又可分为静态包过滤型和状态检测型两种； 代理型防火墙又可分为应用 级网关和电路级网关两大类。 46. 最小特权原则：一个数据包过滤系统被设计成只允许要求服务的数据包进 入，而过滤掉不必要的服务。 47. 包过滤技术防火墙在过滤数据包时，一般不关心数据包的内容。包过滤防火 墙主要是防范网络层的攻击。 48. 包过滤技术为用户提供透明的服务、具有较快的数据包的处理速度、不会对 网络性能产生明显影响、安全性较弱；代理服务技术安全性较高、但会对网 

络性能产生明显影响。 49. 屏蔽子网防火墙：是几种防火墙类型中最安全的、既支持应用级网关也支持 电路级网关、内部网对于 Internet 来说是不可见的、内部用户必须通过 DMZ 访问 Internet。 50. 目前的防火墙防范主要是被动防范。不能防范内部网络用户的攻击、传送已 感染病毒的软件和文件、数据驱动型的攻击。 51. NAT：地址翻译，主要作用是隐藏内部网络地址。 52. DMZ 为非军事区。 53. 在建立堡垒主机时在堡垒主机上应设置尽可能少的网络服。 六、 网络安全协议 54. SSL：安全套接字层协议，为广域网上计算机之间传送加密信息而设计的标 准通信协议。 55. IPSec 协议：是开放的 VPN 协议，适应于向 IPv6 迁移，提供在网络层上的 数据加密保护，不支持除 TCP/IP 外的其它协议。IPSec 在隧道模式模式下把 数据封装在一个 IP 包传输以隐藏路由信息。 56. Window nt/Unix/Linux 操作系统属于 C2 安全级别 57. TCSEC 是美国的计算机安全评估机构和安全标准制定机构。 58. ISO17799：信息安全管理国际标准。