03344《信息与网络安全管理》课后练习

MadeByBaiker2008(446144638)09电政五《信息与网络安全管理》课后练习-1-《信息与网络安全管理》课后练习一章计算机网络面临的典型安全威胁有那些：计算机网络实体面临威胁、计算机网络系统面临威胁、恶意程序的威胁、计算机网络威胁的潜在对手和动机。分析计算机网络的脆弱性和安全缺陷：网络本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。一方面计算机网络的硬件和通信设施极易遭到自然环境的影响，以及自然灾害和人为的物理破坏；另一方面计算机网络的软件资源和数据信息易受到非法的窃取、复制、篡改和毁坏。再有，计算机网络硬件的自然损耗和软件的自然失效，以及软件的逻辑错误，同样会影响系统的正常工作，造成系统内信息损坏、丢失和安全事故。计算机网络安全基本概念：计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。定义：是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。计算机网络安全的目标（需求）：保密性、完整性、可用性、不可否认性、可控性。Osi安全体系结构：osi安全体系结构不是能实现的标准，而是关于如何设计标准的标准。Osi安全体系结构定义了许多术语和概念，还建立了一些重要的结构性准则，仍然有用的部分主要是术语、安全服务、和安全机制等定义。Osi安全体系结构：五大类安全服务：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。八种安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、、通信业务流填充机制、路由控制和公证机制。Ppdr模型结构：是一种常用的网络安全模型，包括安全策略（policy）、防护（protection）、检测（detection）和响应（response）。防护、检测和响应组成了一个完整的、动态的、安全循环。在整体安全策略的控制和指导下，在综合运用防护工具的同时，利用检测工具掌握系统的安全状态，然后通过适当的响应将网络系统调整到“最安全”或“风险最低”状态。P30网络安全的主要技术:物理安全措施、数据传输安全、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术p32计算机网络安全管理：包括网络安全管理的法律法规和网络安全评价标准。网络安全威胁的发展趋势：1、与internet紧密结合，利用一切可以利用的方式进行传播。2、病毒具有混合性特征，集文件传染、蠕虫、木马、黑程的特点于一身，破坏性大增。3、扩散极快、更加注重欺骗性。4、利用系统漏洞将称为病毒的有力传播方式。5、无线网络技术的发展，使远程网络攻击的可能性加大。6、境外情报、谍报人员越来越多通过信息网络渠道收集情报和窃取资料。7、各种病毒、蠕虫和后门技术更加智能化，出现整合趋势，形成混合性威胁。8、各种攻击技术的隐蔽性增强，常规防范手段难以识别。9、分布式计算机技术用于攻击的趋势增强、威胁高强度密码的安全性。10、一些政府的超级计算机资源将成为攻击者利用的跳板。11、网络管理安全问题日益突出。网络安全技术的发展趋势主要是多维的、全方位的:1、物理隔离2、逻辑隔离3、防御来自网络的攻击4、防御网络上的病毒5、身份认证6、加密通信和虚拟专用网7、入侵检测和主动防卫8、网管、审计和取证。二章物理安全的意义：是整个计算机网络系统安全的前提。是保护计算机网络设备设施及其它媒体免遭地震、水灾和火灾等环境事故，人为操作失误或各种计算机犯罪行为导致的破坏过程。物理安全包含的内容：机房环境安全、通信线路安全、设备安全、电源安全。机房安全技术要求：防水（火）防盗、防雷与接地、防尘与防静电、防地震机房安全等级分为abc三个级别，安全要求和安全措施。有，有较，有基本通信线路安全技术：高技术加压电缆、光纤（超过最大长度限制的系统不使用光纤通信或加强复制器安全）、安装局域pbx提高系统安全性。硬件设备的使用管理：1、根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，严格操作。2、建立设备使用情况日志，并严格登记使用过程的情况3、建立硬件设备故障情况登记表，详细记录故障性质和修复情况。4、坚持对设备进行例行维护和保养，指定专人负责。电磁辐射对网络通信安全的影响：1、各用电设备相互干扰，影响正常工作2、电磁辐射造成信息泄密。防护措施：一类是对传导发射的防护，对电源线和信号线家装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护（包括采用各种电磁屏蔽措施，采用干扰装置产生与计算机系统辐射相关的为噪声的防护措施）机房供电的要求：一类需建立不间断供电系统，二类需建立带备用的供电系统，三类按一般用户供电考虑。三章明文：作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。所有可能的明文的有限集合称为明文空间，通常用M或P表示。密文：是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。密钥：是参与密码变换的参数，通常用k表示。加密算法：是将明文变换成为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示，即c=Ek（p）。解密算法：将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D表示，即p=Dk（c）加密体制的分类：单钥或对称密码体制和双钥或非对称密码体制。单钥密码体制：本质特征是所用的加密密钥和解密密钥相同，或实质上等同，从一个可以推出另外一个。Des算法双钥密码体制：将加密和解密能力分开，因而可以实现多个用户加密的消息只能由一个用户解读，或只能有一个用户加密消息而使多个用户可以解读。Rsa算法Des加密算法的基本原理：于1977年美国国家标准局公布，是ibm公司研制的一种对二元数据进行加密的分组密码，数据分组长度为64bit，密文分组长度为64bit，没有数据扩展。密钥长度为64bit，其中有效密钥长度56bit，其余8bit为奇偶校验。Des的整个体制是公开的，系统的安全性主要依赖于密钥的保密，其算法主要由初始置换ip，16轮迭代的乘积变换、逆初始置换ip-1及16个子密钥产生器构成。Idea国际数据加密算法：根据建议标准算法pes改进而来的。它的明文与密文块都是64bit，密钥长度为128bit，作为单钥体制的密码，其加密与解密过称雷同，只是密钥存在差异，idea无论是采用软件还是硬件实现都比较容易，而且加解密的速度很快。Rsa体制：既可用于加密，也可用于数字签名。其安全性建立在数论中“大数分解和素数检测”的理论基础。网络数据加密的三种方式：链路加密、节点加密（不同于链路之处在于节点不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行的）和端到端加密。认证的三个目的：消息完整性认证、身份认证、消息的序号和操作时间（时间性）等的认证。认证技术可以分为三个层次：安全管理协议、认证体制和密码体制。手写与数字签名的区别：一是手写签名是不变的，而数字签名对不同的消息是不同的。二是手写签名是易被模仿的，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。认证体制应满足的条件：1、意定的接受者能够检验和证实消息的合法性、真实性和完整性。2、消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息3、除了合法的消息发送者外，其他人不能伪造发送信息。Pki的基本概念和特点：pki是一个采用公钥密码算法原理和技术来提供安全服务的通用性基础平台，用户可利用pki平台提供的安全服务进行安全通信，pki采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。Pki在组成上主要包括认证机构ca，证书库，密钥备份，证书作废处理系统和pki应用接口系统等。数字签名与消息认证的区别：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对于防止第三者破坏是有效地，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效地消息认证。信息加密技术对于保障信息安全的重要作用：信息加密是保障信息安全最核心的技术措施和理论基础，它采用密码学的原理与方法对信息进行可逆的数字变换，从而使非法接入着无法理解信息的真正含义，达到保证信息机密性的目的。三个阶段：古典密码、单钥密码体制、双钥密码体制。P99课后习题四章防火墙的基本概念：防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的，潜在破坏性的侵扰。防火墙体系结构：双重宿主主机体系结构（围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器。Ip数据包从一个网络并不是直接发送到其他网络。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接相互通信，他们之间的ip通信被完全阻止。）屏蔽主机体系结构（提供安全保护的主机仅仅与被保护的内部网络相连。还使用一个单独的过滤路由器来提供主要安全。）屏蔽子网体系结构（添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更近一步地把内部网络与internet隔开。）防火墙五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容活动；对网络攻击的检测和告警。防火墙的局限性：1、网络的安全性通常是以网络服务的开放性和灵活性为代价2、防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。表现在：不能防范不经由防火墙的攻击，不能防止感染了病毒的软件或文件传输，不能防止数据驱动式攻击，存在安装、管理、配置复杂的缺点，容易成为网络瓶颈。防火墙从工作原理分为两类：网络层防火墙和应用层防火墙。主要实现技术有包过滤技术、代理服务技术、状态检测技术和nat技术等。包过滤模型：p111包过滤技术：工作在网络层，通常基于ip数据包的源地址、目的地址、源端口和目的端口进行过滤。优点是效率比较高，对用户来说是透明的，缺点是对于大多数服务和协议不能提供安全保障，无法有效区分同一ip地址的不同用户，并且包过滤防火墙难于配置、监控和管理不能提供足够的日志和报警。代理服务技术：是一种较新型的防火墙技术，分为应用层网关和电路层网关。是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图是，它将合适客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受。优点：1、代理易于配置2、代理能生成各项记录3、代理能灵活、安全地控制进出流量、内容4、代理能过滤数据内容5、代理能为用户提供透明的加密机制6、代理可以方便地与其它手段集成。缺点：1、代理速度较路由器慢2、代理对用户不透明3、对于每项服务代理可能要求不同的服务器4、代理服务不能保证免受所有协议弱点的限制5、代理不能改进底层协议的安全性。状态检测技术：也称为动态包过滤防火墙。通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特征。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。将抽取的状态信息动态的保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，立即将其终止。特点：结合包过滤和代理服务防火墙的长处，克服了两者的不足，能够根据协议、端口、以及源、目的地址的具体情况决定数据包是否允许通过。优点：安全性高、高效性、可伸缩性和易扩展性、应用范围广。Nat技术：网络地址转换是一个internet工程组的标准，允许一个整体机构以一个公用ip地址出现在互联网上。是一种把内部私有ip地址翻译成合法网络ip地址的技术。个人防火墙