一、 概述
1. 网络安全的目标:保护信息的机密性、完整性、不可否认性和可用性。
2. 数据完整性:数据在存储或传输时不被修改、破坏或数据包的丢失、乱序。
3. 信息可用性的破坏:攻击者破坏网络系统的资源,使之变成无效的或无用的。
二、 密码学应用及管理
4. 传统密码算法的两种基本运算:代换和置换。前者是将明文中的每个元素映
射成另外一个元素;后者是将明文中的元素重新排列。
vigenere 密码:密钥 ab,明文 abcdef,密文 ACCEEG。
5. 凯撒密码算法:密文 C=DEF,明文 M=abc。
6.
7. 混淆和扩散:Shannon 提出的设计密码系统的两种基本方法。
8. 密码系统按对明文的加密方式分类:流密码和分组密码。
9. 分组密码的结构:Feistel 网络结构和 SP 网络结构。
10. Feistel 密码中每轮发生的变化:(1)将输入分组分成左右两部分。(2)以右
半部数据和子密钥作为参数,对左半部数据实施代换操作。(3)将两部分进
行互换,完成置换操作。
11. 加密过程三个主要元素:明文、密钥、加密函数 。
12. 密码系统按密钥特点分:分单密钥系统(对称密码系统)和双密钥系统(非
对称密码系统)。单密钥系统的加密密钥和解密密钥相同,或实质上等同,
即从一个易于得出另一个。双密钥体制又称为非对称密码体制和公开密钥密
码体制。双密钥体制有两个密钥,一个是公开的密钥,用 K1 表示,谁都可
以使用;另一个是私人密钥,用 K2 表示,只由采用此体制的人自己掌握。
从公开的密钥推不出私人密钥。
13. 对称密钥加密:加解密密钥相同,加解密处理速度相对较快。
14. DES:是一种分组长度和密钥的长度均为 64 位的对称加密算法。TripleDES
是一种加强了的 DES 加密算法,其密钥长度是 DES 的 3 倍。
15. 非对称密钥加密:即公钥密码体制,加密和解密的密钥不同,安全性更好,
加密数据的速率较低。用于加密的密钥为公钥。
16. 典型的非对称算法:RSA,安全性基于大整数分解因子的困难性;ECC,椭
圆曲线密码体制,安全性依赖于求解椭圆曲线离散对数问题的困难性。
17. 混合加密:使用对称加密算法对明文进行加解密处理,使用公开密钥密码体
制对称加密密码体制的密钥进行加密,对称密钥交换的安全信道是通过公开
密钥密码体制来保证的。
18. 衡量加密技术强度的因素:密钥的保密性、算法强度、密钥长度
19. 常见的摘要加密算法:MD5、SHA。摘要算法不可逆。
20. 消息认证码和散列函数区别:消息认证码(MAC)依赖公开的函数(密钥控制
下)对消息进行处理,生成定长的认证标识,并加以认证。散列函数(Hash)
将任意长度的消息变换为定长的消息摘要,并加以认证。
21. 数字签名:是非对称加密算法和消息摘要相结合的产物,能够解决篡改、伪
造等安全性问题
22. 数字签名功能:(1) 保证信息传输过程中的完整性:安全单向散列函数的
特性保证如果两条信息的信息摘要相同,那么它们信息内容也相同。(2) 发
送者的身份认证:数字签名技术使用公用密钥加密算法,发送者使用自己的
私有对发送的信息进行加密。(3) 防止交易中的抵赖发生:当交易中的抵
赖行为发生时,接受者可以将接收到的密文呈现给第三方。
23. 公钥算法 RSA、DH 和 DSS 算法的用途:(1)RSA——加密/解密、数字签
名、密钥交换;(2)DH——密钥交换;(3)DSS——数字签名。
24. 数字证书中的内容:证书发布人的姓名、发行证书的实体、实体的公开密钥
25. 公钥算法中公钥的分配方法有:公开发布、公钥动态目录表和公钥证书。
26. PKI 是公开密钥体系,核心组成部分是认证机构 CA,CA 认证中心负责证
书的颁发和管理、并依靠证书证明一个用户的身份。RA 是注册认证机构。
27. RSA 算法计算实例:
一、选择素数: p=17 , q=11。
(1)计算 n = pq =17×11=187
(2)计算ø(n)=(p–1)(q-1)=16×10=160
(3)选择 e : gcd(e,160)=1; 选择 e=7
(4)确定 d: de=1 mod 160 and d < 160, d=23
(5)因为 23×7=161= 1×160+1
(6)公钥 KU={7,187}
(7)私钥 KR={23,187}
二、RSA 的加解密:给定消息 M = 88 ( 88<187)
(1)加密: C = 887 mod 187 = 11
(2)解密: M = 1123 mod 187 = 88
三、 身份认证与访问控制
28. 防止用户被冒名所欺骗的方法是对信息源发方进行身份验证。
29. 最常用的认证方式是基于账户名/口令认证。
30. 访问控制:一个用户通过验证登录后,系统确定该用户可以做些什么。
四、 网络入侵与防御
31. 一般的系统攻击步骤:确定攻击目标;收集被攻击目标的信息;利用工具扫
描;模拟攻击;实施攻击;清除痕迹。
32. 漏洞是指任何可以造成破坏系统或信息的弱点。
33. IP 欺骗:利用 IP 地址进行攻击的方法。
34. 拒绝服务攻击:使网络服务器中充斥着大量要求回复的信息,消耗带宽,导
致网络或系统停止正常服务。DOS 攻击的 Syn flood 攻击是利用通讯握手过
程问题进行攻击。
35. 缓冲区溢出攻击:向有限的空间输入超长的字符串。既是系统层漏洞也是应
用层漏洞。
36. 端口扫描:根据扫描方法的不同,端口扫描技术可分为全开扫描、半开扫描、
秘密扫描、区段扫描等。全开扫描最精确,但容易被检测到;秘密扫描能避
开某些 IDS 和绕过防火墙,但可能误报。
37. 扫描工具既可作为攻击工具也可以作为防范工具。
38. 为了防御网络监听,最常用的方法是信息加密。
39. Windows NT 和 Windows 2000 系统能设置为在几次无效登录后锁定帐号,
这可以防止暴力攻击。
40. 计算机病毒检测手段中,主要用于检测已知病毒的是特征代码法。能发现未
知病毒的是校验和法。
五、 入侵检测与防火墙
41. 入侵检测系统的功能:监视网络上的通信数据流 、捕捉可疑的网络活动、
提供安全审计报告。
42. 入侵检测技术分类:异常检测、误用检测和特征检测。
43. 基于网络的入侵检测:能够在网络通信中寻找符合网络入侵模式的数据包而
发现攻击特征。是入侵检测系统所通常采用的。优势:监视整个网段的通信、
不要求在大量的主机上安装和管理软件、具有更好的实时性。
44. 基于主机的入侵检测方式:适应交换和加密。
45. 防火墙主要采用了两种基本的技术:数据包过滤型和代理服务。包过滤防火
墙又可分为静态包过滤型和状态检测型两种; 代理型防火墙又可分为应用
级网关和电路级网关两大类。
46. 最小特权原则:一个数据包过滤系统被设计成只允许要求服务的数据包进
入,而过滤掉不必要的服务。
47. 包过滤技术防火墙在过滤数据包时,一般不关心数据包的内容。包过滤防火
墙主要是防范网络层的攻击。
48. 包过滤技术为用户提供透明的服务、具有较快的数据包的处理速度、不会对
网络性能产生明显影响、安全性较弱;代理服务技术安全性较高、但会对网
络性能产生明显影响。
49. 屏蔽子网防火墙:是几种防火墙类型中最安全的、既支持应用级网关也支持
电路级网关、内部网对于 Internet 来说是不可见的、内部用户必须通过 DMZ
访问 Internet。
50. 目前的防火墙防范主要是被动防范。不能防范内部网络用户的攻击、传送已
感染病毒的软件和文件、数据驱动型的攻击。
51. NAT:地址翻译,主要作用是隐藏内部网络地址。
52. DMZ 为非军事区。
53. 在建立堡垒主机时在堡垒主机上应设置尽可能少的网络服。
六、 网络安全协议
54. SSL:安全套接字层协议,为广域网上计算机之间传送加密信息而设计的标
准通信协议。
55. IPSec 协议:是开放的 VPN 协议,适应于向 IPv6 迁移,提供在网络层上的
数据加密保护,不支持除 TCP/IP 外的其它协议。IPSec 在隧道模式模式下把
数据封装在一个 IP 包传输以隐藏路由信息。
56. Window nt/Unix/Linux 操作系统属于 C2 安全级别
57. TCSEC 是美国的计算机安全评估机构和安全标准制定机构。
58. ISO17799:信息安全管理国际标准。