网络信息安全知识点.doc

ocusing on ways and means of improving and upgrading work, further development of three to split. (A) fully grasp no unauthorised created. The township no unauthorised created the existing building one household, one document survey and file storage work must be unconditional and full coverage. Main corridor leading to the town (road, river) village, the Central built-up area of the town on both sides must be to create a no unauthorised village. According to five hundred villages created and shanty towns, villages, old houses, reconstruction of old plant, expand create, upgrading creates files, the real no unauthorised village created into the benefit of the people of very good thing. (B) to strictly manage count as unauthorised controls. Promoting the new control work to move the center of gravity, management measures to the front, and earnestly pipes effectively. A strict new unauthorised network responsibility. Sectors such as land, housing and basic stations (stations) and the Township of grid accountability mechanisms must be strictly in accordance with the new regulatory requirements, effective implementation of the area of responsibility of the new inspections, suppression, demolition work to ensure that the new zero tolerance. Second, public security, water, electricity, water, oceans and fisheries, tourism collaboration, market supervision departments should strictly enforce the illegal construction of disposal of relevant provisions of the regulations, effective fulfilment of responsibilities, particularly in electricity and water supply, and other units may not be new illegal buildings to supply water and electricity supply. While more regulation to prevent personal privacy violations. Illicit trading in illegal construction in the Ministry of public security sector to strictly from the blow. Three is to create additional offence reporting system of incentives. According to building law and covers an area of nature, to report timely degree divided report grade, effective after the removal of certain incentives. (C) integrated implementation , building demolition, modification, use combination. Demolition is the means and purpose built is. To adhere to the building demolished, combination of construction and demolition waste, demolished with combined efforts to improve the scientific level of three to split; second, we must pay attention to three to split and five hundred and five water treatment, three of the four sides, the shackDistrict transformation, and dangerous old room transformation and two road sides, series work organic combined up, active do River, and along demolition work, and manpower advance village in the, and old residential demolition work, to improved masses housing conditions and live environment; three to put three modified a split as traditional low, and small, and bulk industry structure transformation upgrade of important initiatives to caught, speed up advance industry Park, effective optimization park environment1.什么是信息安全为了防止未经授权就对知识、实事、数据或能力进行使用、滥用、修改、破坏、拒绝使用或使信息被非法系统辨识、控制而采取的措施。建立在网络基础之上的信息系统，其安全定位较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。 2.安全隐患 a) 硬件的安全隐患；b) 操作系统安全隐患；c) 网络协议的安全隐患；d) 数据库系统安全隐患；e) 计算机病毒；f) 管理疏漏，内部作案。3. 安全管理实施：风险评估、等级保护4. 信息安全技术典型地应该包括以下几个方面的内容：物理安全技术、系统安全技术 、网络安全技术、应用安全技术 、数据加密技术 、认证授权技术 、访问控制技术 、扫描评估技术 、审计跟踪技术 、病毒防护技术 、备份恢复技术 、安全管理技术 5. 信息安全通常强调所谓CIA 三元组的目标，即保密性、完整性和可用性。6.安全威胁：对安全的一种潜在的侵害。威胁的实施称为攻击。计算机系统安全面临的威胁主要表现在三类： 泄漏信息：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏。破坏信息：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。 拒绝服务：它不断对网络服务系统进行干扰，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 7.安全的体系结构物理层的安全：物理层信息安全，主要防止物理通路的损坏、窃听、干扰等。链路层的安全：链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。网络层的安全：网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统的安全：操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。应用平台的安全：应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。应用系统的安全：应用系统完成网络系统的最终目标为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。 网络信息系统的安全体系包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息：使攻击者不能了解系统内的基本情况。设立安全监控中心：为信息系统提供安全体系管理、监控，救护及紧急情况服务。 第二章1.密码学是研究如何实现秘密通信的科学，包括密码编码学和密码分析学。密码编码学是对信息进行编码实现信息保密性的科学。密码分析学是研究、分析、破译密码的科学。2. 加密算法的三个发展阶段：经典密码体制 对称密钥密码（即：单钥密码体制） 公钥密钥密码（即：双钥密码体制）3. 数据加密技术主要分为数据传输加密和数据存储加密。4.数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。5.数据加密算法经历了以下三个阶段。n 1）古典密码：包括代换加密、置换加密。n 2）对称密钥密码：包括DES和AES。n 3）公开密钥密码：包括RSA 、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal D_H等。6.计算机网络的加密技术密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。o 一般的数据加密可以在通信的三个层次来实现：链路加密、节点加密和端到端加密。 7密码学基本概念n 密文：明文经过密码变换后的消息。n 加密：由明文到密文的变换。n 解密：从密文恢复出明文的过程。n 破译：非法接收者试图从密文分析出明文的过程。n 加密算法：对明文进行加密时采用的一组规则。n 解密算法：对密文进行解密时采用的一组规则。n 密钥：加密和解密时使用的一组秘密信息。8. 分组密码设计原理9.分组密码的一般结构一般有两种：Feistel网络结构 由Feistel发明，被DES采用SP网络结构1）可逆函数S，置换作用P，是一种重要的结构2）AES标准采用此结构10. Feistel 结构：每轮处理一半数据，加解密相似。SP 结构（替代置换网络）： 每轮处理整个分组数据，加解密不相似。SP结构是Feistel结构的推广，结构更加清晰，S 一般称为混淆层，主要起混淆作用； P 一般称为扩散层，主要起扩散作用。11. DES的结构 明文分组： 64 bit 密文分组： 64 bit密钥：64 bit，其中8bit为校验位，实际 56 bit轮数： 16 轮（圈）加密函数： 直接异或，8个 6-4 S盒。第三章1.散列函数(又称hash函数，杂凑函数)是将任意长度的输入消息M映射成一个固定长度散列值h的特殊函数：hH(M)其中M是变长的输入消息， hH(M)是定长的散列值(或称为消息摘要)。散列函数H是公开的，散列值在信源处被附加在消息上，接收方通过重新计算散列值来确认消息未被篡改。由于函数本身公开，传送过程中对散列值需要另外的加密保护(如果没有对散列值的保护，篡改者可以在修改消息的同时修改散列值，从而使散列值的认证功能失效)2.散列函数要具有单向性，必须满足如下特性：n 给定M，很容易计算h；n 给定h，根据H(M)=h，反推M很难；n 给定M，要找到另一个消息M，并满足H(M)=H(M)是很难的。o 单向散死函数是从全体消息集合到一个肯有固定长度的消息摘要的变换。o 带密钥的哈希函数可用于认证、密钥共享、软件保护等方面。3.MD5 算法逻辑 输入：任意长度的消息；输出：128位消息摘要；处理：以512位输入数据块为单位4.SHA-1 算法逻辑输入：最大长度为264位的消息；输出：160位消息摘要；处理：输入以512位数据块为单位处理 第四章1.公钥密码与对称钥密码的比较：公钥密码：不需共享密钥；理论基础坚实；产生数字签名; 速度慢、密钥长. 对称钥密码：速度快，密钥短，可作为基本单元构建，各种密码工具如伪随机数产生器、Hash函数； 需要实现共享密钥、密钥管理困难；没有可证明安全性；公钥密码有效的数字签名和密钥管理；少量数据的加密； 公钥常用于加密对称密钥。这样的系统称为混合密码系统。 对称钥密码有效的大量数据加密和一些数据完整性应用。 2. 公钥密码体制概念每个用户都有一对预先选定的密钥：一个是公钥，以k1表示，另一个是私钥，以k2表示，公钥k1是公开的，任何人都可以得到，私钥是其拥有者自己保存。3. 非对称密码算法原理 非对称密钥密码，也称公开密钥密码，由Diffie, Hellman 1976年提出 使用两个密钥，对于密钥分配、数字签名、认证等有深远影响基于数学函数而不是代替和换位，密码学历史上唯一的一次真正的革命 每个通信实体有一对密钥（公钥，私钥）。公钥公开，用于加密和验证签名，私钥保密，用作解密和签名4公钥密码系统的应用n 三种用途：加密/解密：数字签名：发送方用自己的私钥签署报文，接收方用对方的公钥验证对方的签名；密钥交换：双方协商会话密钥n 5.数字签名(digital signature)是指利用数学方法及密码算法对电子文档进行防伪造或防篡改处理的技术。就象日常工作中在纸介质的文件上进行签名或按手印一样，它证明了纸介质上的内容是签名人认可过的，可以防伪造或篡改。n 6.数字签名的作用：保证信息完整性；提供信息发送者的身份认证。n 7.与传统签名的区别：需要将签名与消息绑定在一起。通常任何人都可验证。要考虑防止签名的复制、重用。n 8.数字签名(Digital Signature) 信息发送者使用公开密钥算法技术，产生别人无法伪造的一段数字串。n 9.发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可确定消息来自于谁，同时也是对发送者发送的信息的真实性的一个证明。发送者对所发信息不能抵赖n 10.数字签名必须保证：可验证：签字是可以被确认的；防抵赖：发送者事后不承认发送报文并签名；防假冒：攻击者冒充发送者向收方发送文件；防篡改：收方对收到的文件进行篡改；防伪造：收方伪造对报文的签名。签名对安全、防伪、速度要求比加密更高。n 11.数字签名的特性n 签名是可信的：任何人都可以方便地验证签名的有效性。n 签名是不可伪造的：除了合法的签名者之外，任何其他人伪造其签名是困难的。这种困难性指实现时计算上是不可行的。n 签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的，则任何人都可以发现消息与签名之间的不一致性，从而可以拒绝签名的消息。通过增加时间戳实现。n 12.数字签名的过程：n 假设A要发送一个电子文件给B。 n 1系统初始化：选择签名所需的算法、参数n 2. 产生签名：A用其私钥加密文件并发送给B ；n 3签名验证：B用A的公钥解开A送来的文件 n 签名体制的构成：签名算法；验证算法n 13.签名与加密n 签名提供真实性(authentication) 先签名,后加密n 加密提供保密性(confidentiality)先加密,后签名:n “签名+加密”提供“真实性+保密性” n 14.认证与签名的区别 认证能验证消息来源及完整性，防范第三者； 签名在收发双方产生利害冲突时，解决纠纷。第五章1.PKI (Pubic Key Infrastructure)的概念PKI是经过多年研究形成的一套完整的Internet安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台提供的服务进行安全通信。2.PKI系统由五个部分组成：认证中心CA，注册机构RA、证书库CR 、证书申请者、证书信任方。前三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。3.什么是数字证书：一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，一个经证书认证中心（CA）签名的包括公钥拥有者信息及公钥信息的文件4.数字证书的作用1）网络通信的身份证明，解决相互间信任问题2）用户公钥信息用户数据加密，保证数据保密性、用户身份的不可抵赖性5.CA：n 一个值得信赖的公正的第三方机构，PKI的核心n 管理数字证书：证书签发（把用户的公钥和用户的其他信息捆绑在一起）等n 在网上验证用户的身份 ：证书废除列表管理等6.RA：n CA的组成部分，实现CA功能的一部分n CA面向用户的窗口，接受用户申请、审核用户身份n 代表CA发放证书7.RS：n 管理所辖受理点的用户资料、受理用户证书业务、审核用户身份、向受理中心或RA中心申请签发证书和将RA中心或受理中心制作的证书介质分发给用户 8.CA的作用n 权威、可信、第三方机构，为认证需求提供数字证书相关服务第六章1.实现信息隐藏的基本要求o 载体对象是正常的，不会引起怀疑o 伪装对象与载体对象无法区分，无论从感观上，还是从计算机的分析上o 安全性取决于第三方有没有能力将载体对象和伪装对象区别开来o 对伪装对象的正常处理，不应破坏隐藏的信息2.信息隐藏的应用o 数据保密n 防止信息被截获o 数据的不可抵赖性n 电子商务、数字水印技术o 数据的完整性n 防篡改o 数字作品的版权保护n 是数字水印技术的一种重要应用o 防伪n 票据的防伪，数字票据可打印、可扫描3.数字水印是信息隐藏技术的重要分支数字水印是永久镶嵌在其他数据（宿主数据）中具有可鉴别性的数字信号或模式，并且不影响宿主数据的可用性4.数字水印不等同于信息隐藏，概念有区别n 数字水印注重水印，用于版权保护，可公开n 信息隐藏注重隐藏，不可见/不可察觉，要保密5.数字水印的应用o 版权保护：表明对数字产品的所有权 o 数字指纹：用于防止数字产品被非法复制和散发o 认证和完整性校验：验证数字内容未被修改或假冒 o 内容标识和隐藏标识：多媒体内容检索o 使用控制：控制复制次数 o 内容保护：保护内容不被滥用 第七章1.认证（Authentication）就是对于证据的辨认、核实、鉴别，以建立某种信任关系。2.两类认证：报文认证 身份认证3.报文认证，包括报文源、报文内容和报文时间性的认证；4.身份认证的概念：n 证实用户的真实身份与其所声称的身份是否相符的过程n 包括：识别、验证5.身份认证系统三部分：1）认证服务器2）认证系统用户端3）认证设备6.身份认证协议：双向、单向、其它协议（略）7.常见的身份认证技术o 生物特征n 指纹、虹膜和视网膜、DNAo 零知识证明n 交互式、非交互式8.访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。9.访问控制的三要素：主体和客体都是访问控制系统中的实体。 主体是发出访问请求的主动方，通常是用户或用户进程。 客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。 安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全目的而采取的步骤进行描述。 10.自主访问控制配置的粒度小配置的工作量大，效率低11.强制访问控制配置的粒度大缺乏灵活性第八章1.入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。2.入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标GB/T18336）。3.入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持4.入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。5.进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。6.入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。7.入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动）。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 8.入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。IDS执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 9.入侵的方法和手段p 端口扫描与漏洞攻击p 密码攻击网络监听拒绝服务攻击缓冲区溢出攻击欺骗攻击10.入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）混合型入侵检测系统（Hybrid IDS）11.主机IDS： 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源12.主机IDS优势(1) 精确地判断攻击行为是否成功。(2) 监控主机上特定用户活动、系统运行情况(3) 能够检测到NIDS无法检测的攻击(4) 适用加密的和交换的环境。(5) 不需要额外的硬件设备。13.主机IDS的劣势(1) 对被保护主机的影响。(2) 安全性受到宿主操作系统的限制。(3) 数据源受到审计系统限制。(4) 被木马化的系统内核能够骗过HIDS。(5) 维护/升级不方便。14.网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。 安装在被保护的网段中分析网段中所有的数据包实时检测和响应15. 网络IDS优势(1) 实时分析网络数据，检测网络系统的非法行为；(2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4) 既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担16.网络IDS的劣势(1)不适合交换环境和高速环境(2)不能处理加密数据(3) 资源及处理能力局限(4) 系统相关的脆弱性17.目前入侵检测方法有三种分类依据：n 1、根据物理位置进行分类。n 2、根据建模方法进行分类。n 3、根据时间分析进行分类。常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。18.入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：n 信息收集n 数据分析n 响应19.入侵检测方法o 特征检测o 统计检测n 操作模型n 方差模型n 多元模型n 马尔可夫过程模型n 时间序列分析模型o 专家系统20.入侵检测的分类o 按系统分析的数据源分类n 基于主机、基于网络、混合式o 按体系结构分类n 集中式、层次式、分布式o 按分析方法分类n 异常、误用(漏报率?，误报率? )o 按响应方式分类n 主动的、被动的21.CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：n 事件产生器（Eventgenerators），用E盒表示；n 事件分析器（Eventanalyzers），用A盒表示；n 响应单元（Responseunits），用R盒表示；n 事件数据库（Eventdatabases），用D盒表示。第九章1.防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统，是架设在用户内部网络和外部公共网络之间的屏障，提供两个网络之间的单点防御，对其中的一个网络提供安全保护。 2.从软、硬件形式上可以把防火墙分为如下3类：l 软件防火墙l 硬件防火墙l 芯片级防火墙3.按照防火墙在网络协议栈进行过滤的层次不同，可以把防火墙分为如下3类：l 包过滤防火墙，工作在网络层l 电路级网关防火墙，工作在会话层l 应用层网关防火墙，代理服务器型 4.按照防火墙在网络中的应用部署位置，可以将防火墙分为如下3类：l 边界防火墙l 个人防火墙l 混合防火墙5.防火墙的功能（1）Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络。（2）在防火墙上可以很方便地监视网络的安全性，并产生报警。（3）防火墙可以作为部署网络地址转换的逻辑地址。（4）防火墙是审计和记录Internet使用量的一个最佳地方。（5）防火墙也可以成为向客户发布信息的地点。6.防火墙的设计原则（1）防火墙的安全策略 拒绝没有特别允许的任何事情（No规则） 假定防火墙应该阻塞所有的信息，只允许符合开放规则的信息进出。 允许没有特别拒绝的任何事情（Yes规则） 假定防火墙只禁止符合屏蔽规则的信息，而转发所有其他的信息。 第十章1.网络扫描被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞2.安全漏洞类型1）配置漏洞 配置漏洞是由于软件的默认配置或者不恰当的配置导致的安全漏洞。 （2）设计漏洞 设计漏洞主要指软件、硬件和固件设计方面的安全漏洞。（3）实现漏洞 实现漏洞主要由软件、硬件和固件的实现错误引起的安全漏洞。如缓冲区溢出漏洞。 3.两类漏洞扫描技术 主机漏洞扫描：从系统管理员的角度，检查文件系统的权限设置、系统文件配置等主机系统的平台安全以及基于此平台的应用系统的安全，目的是增强主机系统的安全性。 网络扫描：采用模拟黑客攻击的形式对系统提供的网络应用和服务以及相关的协议等目标可能存在的已知安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全的整体水平提供重要依据。第十一章1.安全协议概述o 安全协议（Security protocol，又称密码协议，Cryptographic protocol）。安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。o 安全协议可用于保障计算机网络信息系统中信息的秘密安全传递与处理，确保网络用户能够安全、方便、透明地使用系统中的密码资源。o 目前，安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍。2.几种常见安全协议简介 o IPSec协议网络层o IPSec (IP Security)协议是一种协议套件，它定义了主机和网关所提供的各种能力。IPSec协议是一种包容极广、功能极强的IP安全协议，但它在定址能力上比较薄弱。 o SSL协议传输层o SSL协议(Secure Socket Layer)是网景公司推出的会话层安全协议，用来保证客户端和服务器之间通信的保密性、可信性与身份认证。o SET协议应用层SET协议(Secure Electronic Transaction)是Visa、MasterCard两大信用卡公司以及IBM等公司共同推出的“安全电子交易”协议。 SET协议试图提供一种网络在线支付的安全手段3.IPSec保护涉及的主要组件o 安全协议o 安全关联数据库 (Security associations database, SAD)o 密钥管理o 安全机制o 安全策略数据库 (Security policy database, SPD)4.IPSec协议簇中的两个重要安全协议 o AH协议和ESP协议o AH协议（Authentication Header，验证头）：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。o ESP协议（Encapsulating Security Payload，封装安全载荷）：具有所有AH的功能，还可以利用加密技术保障数据机密性。o 虽然AH和ESP都可以提供身份认证，但它们有2点区别：o ESP要求使用高强度的加密算法，会受到许多限制。o 多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。 5.IPSec协议组o 认证头协议AH（Authentication Header） o 载荷封装协议 o 安全关联 o 安全数据库 o 密钥管理与密钥交换 o IPSec的典型应用 6.IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。o 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH和ESP会进行拦截，在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时，应该先应用ESP，再应用AH。 o 隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。将整个IP数据包进行封装（称为内部IP头），然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。7.两种安全模式o 传输模式IPSec主要对上层协议提供保护，通常用于两个主机之间端到端的通信。 o 隧道模式IPSec提供对所有IP包的保护，主要用于安全网关之间，可以在公共Internet上构成VPN。使用隧道模式，在防火墙之后的网络上的一组主机可以不实现IPSec而参加安全通信。局域网边界的防火墙或安全路由器上的IPSec软件会建立隧道模式SA，主机产生的未保护的包通过隧道连到外部网络。 8.TCP/IP各层安全协议o 网络层安全协议n IPSec（ IP Security ）协议簇o 传输层安全协议n SSL（ Secure Socket Layer ）安全套接字层o 应用层安全协议n SET（Secure Electronic Transactions）安全电子交易n 电子邮件安全协议第十二章 计算机病毒的概念计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序里）当达到某种条件时即被激活的、具有对计算机资源进行破坏作用的一组程序或指令集合。2.计算机病毒程序是一种特殊程序，主要特征如下：n 可执行性 n 传染性和破坏性 n 潜伏性 n 隐蔽性 n 针对性 n 可触发性o 病毒程序在系统中的运行是：n 初始化工作n 在内存中寻找传染目标n 夺取系统控制权n 完成传染破坏活动 o 病毒程序可放在正常可执行文件的首部、尾部可中间。o 病毒可以执行其他程序所能执行的一切功能，唯一不同的是它必须将自身附着在宿主程序上，当运行宿主程序时，病毒一些意想不到的功能也就跟着悄悄地执行了。o 病毒的结构一般由以下三部分组成：n 初始化部分n 传染部分n 破坏和表现部分 n 其中传染部分包括激活传染条件的判断部分和传染功能的实施部分，而破坏和表现部分则由病毒触发条件判断部分和破坏表现功能的实施部分组成。要考好语文，要拥有较高语文素养，能较好的驾驭语言文字提高自己的生活水平和生活质量，就不仅需要科学有效的学习方法，更要有热爱语文、享受语文的情感投入。去年中考，我所教班级的语文成绩优异and improve idle land of utilization, real achieved environment improved and productivity development mutual promoting total win. Five, firmly implement, promoting work ahead, to create highlights. Third deployment, implementation of seven, then it is imperative to strengthen responsibility and improve the mechanisms and implementation. All localities and departments must be convinced that goals, going all out, mustering spirit, work together to ensure that this years objectives carry out tasks, at the forefront. First, we must strengthen the leadership to implement. Departments at all levels should always work and rural five water treatment, three to split in an important position, and carry the main responsibility, main leader personally, leaders arrested and layers of responsibility rank transmission pressure established hierarchical accountability, and work together to promote the work of the mechanism, a concerted effort pay attention to implementation. County nongban, flood, three to one down to further play a leading catch total, integrated and coordinated role of all kinds is long, Sheriff Inspector to effectively fulfill their responsibilities, formed the alignment on the fire line and management a lively situati