3344信息与网络安全自考资料

103344信息与网络安全管理第一章：网络安全概述：1、什么是网络安全。P2答：网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和漏露，保证网络系统的正常运行、网络服务不中断2、网络安全具备哪五个方面特征。P2答：可用性、机密性、完整性、可靠性、不可抵赖性。3、什么是安全威胁，安全威胁对什么造成破坏答：安全威胁：指某个实体(人、事件、程序等)对某一资源的的机密性、完整性、可用性和可靠性等可能造成的危害。4、信息通信中的4种威胁。P3中断、截获、篡改、伪造5、简述网络安全策略包括的内容以及涉及到哪些方面。P6安全策略是指在某个安全区域内，所有与安全活动相关的一套规则由此安全区域内所设立的一个权威建制。答：网络安全策略包括：对企业的各种网络服务的安全层次和用户权限进行分类、确定管理员的安全职责、如何实施安全故障处理、网络拓扑结构、入侵和攻击的防御和检测、备份和灾难恢复等等。涉及到4种安全策略：物理安全策略、访问控制策略、信息加密策略、安全管理策略。6、P2DR模型的4个主要部分。P8：策略、保护、检测、响应7、简述PDRR模型的基本思想。P10答：PDRR模型包括防护、检测、响应、恢复。PDRR引入了时间概念，Pt为系统受到保护的时间，Dt系统检测到攻击所需时间，Rt系统对攻击进行响应所需时间，当PtRt+Dt时，系统有能力在受到攻击后快速的响应，保证系统被攻破前完成检测和响应，因此系统是安全的。8、OSI参考模型是国际标准化组织制定的一种概念框架，它是7层结构，应用层是用户与网络的接口，它直接为网络用户和应用程序提供各种网络服务。P139、OSI的五种安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。OSI协议的三个主要概念：服务、接口、协议。P14-1510、OSI模型的8种安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信流量填充机制、路由选择控制机制、公证机制。P1511.tcp模型网络层安全:AH,ESP.P18.12,P27可信计算机安全评价标准?7个安全；从最高的A级到最低的D级：A级提供核查保护，只适用于军用计算机；B级为强制保护，可分为B1、B2、B3。B1级表示标签的安全性B2级表示结构化保护，B3级表示安全领域；C级为酌情保护，分为C1、C2。C1酌情安全保护，C2表示访问控制保护。D级为最低级别。13,P28计算机信息系统安全保护等级划分准则.5级.第一级——用户自主保护级；第二级——系统审计保护级；第三级——安全标记保护级；第四级——结构化保护级；第五级访问验证保护级。第二章：网络操作命令及协议分析1、主要的TCP/IP协议。IP协议位于网络层，主机之间寻址和选择路由；TCP协议位于传输层，在不可靠的因特网上提供可靠的端到端的字节流通信；UDP协议位于传输层，无连接的服务；ICMP协议为因特网控制消息协议，交换状态消息，如ping命令等。2、常用网络服务。Telnet：远程登陆FTP：文件传输，协议为FTP，端口号：21E-Mail：电子邮件，SMTP：简单邮件传输协议，发邮件；POP：邮局协议，收邮件。：网页浏览，协议HTTP，端口号80DNS：域名服务，用于IP地址与因特网域名转换3、Sniffer又称嗅探器，一种强大的网络协议分析软件，用于监控网络，第三章：密码学基础1、密码学是信息安全的基础。P502、什么是基于密钥的算法，基于密钥的算法分为哪两类？P52答：密码体制的加密、解密算法是公开的，密钥是保密的，密码系统的安全性仅依赖于密钥的安全性，这样的算法称为基于密钥的算法。分为：对称加密算法（收发双方使用相同密钥）和非对称加密算法（收发双方使用不同密钥）。3、什么是对称加密算法？P54答：加密密钥和解密密钥相同或很容易互相推算出来，也称为秘密密钥算法或单钥算法。通信双方A和B在进行安全通信前协商一个密钥，用该密钥进行加密和解密。整个通信的安全性完全依赖于对密钥的保密。4、对称加密算法的优缺点。P54答：优点：运算速度快、硬件易实现；缺点：密钥的分发和管理比较困难，特别是当通信人数增加时，密钥数目急剧膨胀。5、什么是非对称加密算法？P54答：公开密钥体制把信息的加密密钥和解密密钥分离，通信的每一方都拥有这样的一对密钥加密密钥、解密密钥。其中加密密钥可以像电话号码一样对外公开，称为公钥，发送方用接受方的加密密钥来加密要发送的原始数据；解密密钥则由接收方秘密保存，作为解密时的私用密钥，称为私钥。6、非对称加密算法的优缺点。P55答：优点：不需要对密钥通信进行保密，所需传输的只有公开密钥；可以用于数字签名。缺点：加密、解密运算速度慢，限制了应用范围。7、什么是密码分析？P56答：在不知道密钥的情况下，利用数学方法破译密文或找到秘密钥匙的方法，称为密码分析。8、对称加密过程主要是重复使用哪两种技术。(混乱、扩散)P619、DES算法中S-盒置换问题：S盒如下表所示，对于给定的一个6位分组110001作为S盒的输入，请转换为一个4为的分组作为S盒的输出（计算过程并计算结果）。P64答：行由输入的首、末两位数决定，为：11，即第3行；列由输入的中间的四位数决定，为：1000，即第8列；因此输出为第3行第8列的项（行或列的记数从0开始，若从1开始计数，则为第4行第9列的项）。10、常用对称加密算法有哪些，它们的特点。P68答：DES：分组长度：64，密钥长度：64，轮次：16，AES：可变分组长度(128/192/256)、密钥长度(128/192/256)、轮次(10/12/14)。IDEA：分组长度64，密钥长度128。RC5是可变分组长度、密钥长度、轮次。11、计算机网络系统中广泛使用的DES算法属于(对称加密算法)。12、RSA算法的安全性依赖于大数分解的难度。P7413、p=11,q=3,e=7设计一个RSA算法，求公钥（e，n）和私钥（d，n）？P74n=pq=11×3=33d=e-1mod(p-1)(q-1)第四章密码学应用密钥的生存期：密钥的产生、密钥的分配、启用密钥/停有密钥、替换密钥或更新密钥、撤销密钥、销毁密钥。P782、如何解决密钥的存储？p79把自己的口令和密码记在脑子里把密钥存储在硬件的介质上，如ROM密钥和智能卡密钥分成两份，一半存入终端，一半存为ROM密钥用密钥加密密钥的方法来对难于记忆的密钥进行加密保存3、密钥备份的两种方法：密钥托管方案和秘密共享协议。P794、什么是会话密钥。P80答：两个用户进行通信时，它们要建立一个逻辑连接，在逻辑连接期间，使用一个一次性密钥来加密本次会话的所有用户数据，这个密钥称为会话密钥，会话密钥在通话结束后失效。5、简述基于公钥体制的密钥分配方法p81答：采用公钥体制来分发密钥，采用对称密码体制来加密数据，其过程如下：首先A通过一定的途径获得B的公钥；然后A随机产生一个对称密钥K，并用B的公钥加密对称密钥K发送给B；B接收到加密的密钥后，用自己的私钥解密得到密钥K；A、B本次会话用K来加密/解密数据。6、公钥管理的两种主要模式是什么。P81公钥证书、PGP分布式密钥管理模式7、简述PGP分布式密钥管理的原理。P82答：PGP的分布式密钥管理，采用了通过介绍人的密钥转介方式。原理如下：A将其公钥发给B；B信任A认为A的公钥是真实的，因此B用自己的私钥对A公钥签名发给A；A将有B签名的A公钥发给C，C信任B，看到B的签名后，信任B证明的A公钥是真实的。即：C信任B，而B信任A，由此C信任A。8、数据完整性机制的作用。P82答：保证接受者能够辨别收到的消息是发送者发送的原始数据。9、简述数据完整性验证的实现过程。P82答：发送方用要发送的消息和一定的算法生成一个附件，将附件与消息一起发送出去。接收者收到消息和附件后，用同样的算法为接收到的消息生成一个新的附件；把新的附件与接收到的附件相比较，如果相同，则说明收到的消息是正确的，否则说明消息在传送中出现了错误。10、什么是单向散列函数。P83答：也称为压缩函数，收缩函数，它是在一个方向上工作的函数，即从预映射的值很容易计算出散列值，但是从一个特定的散列值得到预映射的值非常难。单向散列函数是公开的，对处理过程不用保密，其安全性来自于其单向性。输入串的很小变化，输出的变化可能很大。11、若单向散列函数的输入串有很小的变化则输出串可能有很大的变化。P8312、单向散列函数的安全性来自单向性，RSA算法的安全性依赖于大数分解的困难性。13、数字签名机制需要实现的几个主要目的。P871消息源认证：消息接收者通过签名可以确信消息确实来自于声明的发送者。2不可伪造：签名应是独一无二的，其他人无法假冒和伪劣。3不可重用：签名是消息的一部分，不能被挪用到其他的文件上。4不可抵赖：签名者事后不能否认自己签过的文件。9、数字签名机制是保证数据完整性及不可否认性的一种重要手段。10、简述数字签名原理？P87答：数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人(如接收者)伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。11、简述数字签名的实现方法？P87－881使用对称加密和仲裁者实现数字签名。2使用公开密匙体制进行数字签名。3使用公开密匙体制与单向散列函数进行数字签名。4加入时间标记的签名。5多重签名6盲签名。盲签名是指先将要隐蔽的文件放到一个信封里，然后在一个信封里放一张复写纸，当签名者在信封上签名时，他的签名会通过复写纸而签到里面的文件上。12、叙述数字签名的基本原理，并以使用公开密钥体制与单向散列函数进行数2字签名为例，说明其实现方法。P881．A使消息M通过单向散列函数H，产生散列值，即消息的指纹或称消息验证码。2．A使用私人密钥对散列值进行加密，形成数字签名s.3．A把消息与数字签名一起发送给B。4．B收到消息和签名后，用A的公开密钥解密数字签名s；再用同样的算法对消息消息运算生成散列值。5．B把自己生成的散列值与解密的数字签名相比较，看是否匹配，从而验证签名。（还有图）13、Kerberos是为ＴＣＰ／ＩＰ网络设计的基于对称密码体系的可信第三方鉴别协议，负责在网络上进行可信仲裁及会话密钥的分配。Kerberos可以提供安全的网络鉴别，允许个人访问网络中不同的机器。89Kerberos工作过程P901客户请求Kerberos认证服务器AS发给接入TGS的门票。14、什么是PKI。P91PKI又称为公钥基础设施，是一种遵行既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。15、ＰＫＩ有哪几个基本构成部分。完整的PKI系统必须具有的基本构成部分。P91完整的PKI必须具有：1权威认证机关（CA）2数字证书库3密钥备份及恢复系统4证书作废系统5应用接口。16、什么是数字证书，什么是公钥证书p96数字证书是由称作证书认证机构的人或实体签发的、用于绑定证书持有人的身份与其公钥的一个数据结构，是公钥密码体制进行密钥管理的基本方法。数字证书又称公钥证书。17、数字证书的几个应用阶段。/按密钥证书的生命周期可把证书的管理划分成三个阶段。P981初始化阶段2应用阶段3撤销阶段。第九章：计算机病毒与反病毒技术4、计算机病毒的隐蔽性表现在哪两个方面。P202答：传染的隐蔽性、病毒程序存在的隐蔽性5、常见病毒特征（知道）CIH病毒CIH病毒，属于文件型病毒，感染win9x下的可执行文件对计算机硬盘以及BIOS具有超强的破坏能力宏病毒寄生于Word文档或模板的宏中感染数据文件、多平台交叉感染、容易编写