版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网络安全与网络管理技术266.计算机系统安全内容:安全理论与策略、计算机安全技术、安全管理、安全评价、安全产品以及计算机犯罪与侦查、计算机安全法律、安全监察等。267. DoD(TCSEC可信计算机系统评估标准:是美国国防部在1985年正式颁布 的,它将计算机安全等级划分为四类七级,这七个等级从低到高依次为:D、C1、C2、C3、B1、B2、B3、A1。268.计算机系统安全问题分类:计算机系统安全问题共分为三类,它们是技术安 全、管理安全和政策法律安全。269.技术安全:指通过技术手段(硬件的和软件的可以实现的对于计算机系统及 其数据的安全保护,要求做到系统受到攻击以后,硬件、软件不受到破坏
2、,系统正常工 作,数据不泄漏、丢失和更改。270. 管理安全:指和管理有关的安全保障,如使得软硬件不被物理破坏,非法人员进入、机密泄露等。271. 政策法律安全是指政府及相关管理部门所制订的法律、法规、制度等。272. 信息安全的构成:信息安全包括计算机安全和通信安全两部分。273. 信息安全的目标:维护信息的保密性、完整性、可用性和可审查性。274. 保密性:使系统只向授权用户提供信息,对于未被授权使用者,这些信息是不可获取或不可理解的。275. 完整性:使系统只允许授权的用户修改信息,以保证所提供给用户的信息是完整无缺的。276. 可用性:使被授权的用户能够从系统中获得所需的信息资源服务。
3、277. 可审查性:使系统内所发生的与安全有关的动作均有说明性记录可查。278. 安全威胁:是指某个人、物、事件或概念对某一信息资源的保密性、完整性、可用性或合法使用所造成的危险。基本的安全威胁包括:信息泄露、完整性破坏、业务拒绝和非法使用。279. 安全威胁的表现形式:包括信息泄露、媒体废弃、人员不慎、授权侵犯、非授权访问、旁路控制、假冒、窃听、电磁/射频截获、完整性侵犯、截获/修改、 物理侵入、重放、业务否认、业务拒绝、资源耗尽、业务欺骗、业务流分析、特洛 伊木马、陷门等。280. 安全攻击:所谓安全攻击,就是某种安全威胁的具体实现。它包括被动攻击和主动攻击两大部分。281. 被动攻击:是
4、对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容。它的目标是获得正在传 送的信息,其特点是偷听或监视信息的传递。它包括信息内容泄露和业务流分析两 大类。282. 主动攻击:主动攻击是攻击信息来源的真实性、信息传输的完整性和系统服务的可用性。主动攻击一般包括中断、伪造、更改等。283. 防护措施:一个计算机信息系统要对抗各种攻击。避免受到安全威胁,应采取的安全措施包括:密码技术、物理安全、人员安全、管理安全、媒体安全、辐射 安全和生命周期控制。284.信息系统安全体系结构:包括安全特性、系统单元和开放系统互连参考模型(OSI结构层次三大部分
5、。285. GB-17858-1999计算机系统系统安全保护等级划分的基本准则,规定计算机系统的安全保护能力划分为5个等级,最高等级为5级。286. 网络安全:指分布式计算机环境中对信息传输、存储、访问等处理提供安全保护,以防止信息被窃取、篡改和非法操作,而且对合法用户不发生拒绝服务,网络安全系统应提供保密性、完整性和可用性三个基本服务,在分布网络环境下还应提 供认证、访问控制和抗抵赖等安全服务。完整的网络安全保障体系应包括保护、检 测、响应、恢复等四个方面。287. 网络安全策略:就是有关管理、保护和发布敏感信息的法律、规定和细则是指在某个安全区域中,用于所有与安全活动相关的一套规则。这些规
6、则上由此安 全区域中设立的一个安全权力机构建立,并由安全控制机构来描述、实施和实现。288. 安全策略包括:安全策略安全策略目标、机构安全策略、系统安全策略三个等级。289. 安全策略目标:指某个机构对所要保护的特定资源要达到的目的所进行的描述。290. 机构安全策略:指一套法律、规则及实际操作方法,用于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标。291. 系统安全策略:描述如何将某个特定的信息技术系统付诸工程实现,以支持此机构的安全策略要求。292.安全策略的基本组成部分:安全策略的基本组成包括授权、访问控制策略、责任。293.安全策略的具体内容:网络管理员的责任、网络用
7、户的安全策略、网络资 源的使用授权、检测到安全问题时的策略。294. 安全策略的作用:定义该安全计划的目的和安全目标、把任务分配给具体部门人员、明确违反政策的行为及处理措施。受到安全策略制约的任何个体在执行 任务时,需要对他们的行动负责任。295. 安全服务:是指提高一个组织的数据处理系统和信息传递安全性的服务,这 些服务的目的是对抗安全攻击,它们一般使用一种或多种安全机制来实现。国际标准化组织对开放系统互联参考模型规定了 5种标准的安全服务,它们是:认证服务、访问控制服务、数据保密服务、数据完整性服务、防抵赖服务。296. 安全机制:指用来检测、预防或从安全攻击中恢复的机制。它分为两大类是与
8、安全服务有关,二是与管理有关。它包括:加密机制、数字签名机制、访问控 制机制、数据完整性机制、鉴别交换机制、防业务流分析机制、路由控制机制、公 证机制等8种。297. IP层安全协议:指在TCP/IP协议集的网络层上的安全服务,用于提供透明 的加密信道以保证数据传输的安全。它的优点在于对应用程序和终端用户是透明的 即上层的软件,包括应用程序不会受到影响,用户的日常办公模式也不用改变。典型 的网络层安全协议是IP Sec协议。298. IP安全协议,即IPSec是一个用于保证通过IP网络安全通信的开放式标准 框架。它保证了通过公共IP网络的数据通信的保密性、完整性和真实性。299. IPSec标
9、准包括4个与算法无关的基本规范,它们是:体系结构、认证头、 封装安全有效载荷、In terNet安全关联和密钥管理协议。300.认证头协议(AH:为IP数据报提供了三种服务,对整个数据报的认证、负责 数据的完整性、防止任何针对数据报的重放。301.封装安全有效载荷协议(ESP:ESP协议为通过不可信网络传输的IP数据提 供了机密性服务,包括数据内容的机密性和有限的业务流保护。302.安全关联(SA:指两个或多个实体之间的一种关系,是这些实体进行安全通 信的所有信息的组合,包括使用的密钥、使用的保护类型以及该SA的有效期等。303. TCP层安全协议(SSL安全套接字协议:工作在传送层,被设计成
10、使用TCP 来提供一种可靠的端到端的安全服务,它在两实体之间建立了一个安全通道,当数据 在通道中时是认证过的和保密的。SSL对于应用层协议和程序是透明的,因此,它可 以为HTTP、NNTP、SMTP和FTP等应用层协议提供安全性。304. SSL提供的服务可以规纳为以下三个方面:用户和服务器的合法认证、通过对被加密的数据进行加密来提供数据的机密性服务、维护数据的完整性。305. 应用层安全协议:应用层安全协议都是为特定的应用提供安全性服务,著名的安全协议包括S/MIME和SET。306. 安全/通用因特网邮件扩充服务(S.MIME:是一个用于保护电子邮件的规范, 它基于流行的MIME标准,描述
11、了一个通过对经数字签名和加密的对象进行MIME封装的方式来提供安全服务的协议。它包括:数据加密、数据签名、纯数据签名、 数据签名并且加密。307.电子安全交易(SET:是一个开放的、用于保护In terNet电子商务中信用卡 交易的加密和安全规范。它提供在电子交易涉及的各方之间提供安全的通信信道服 务和通过使用X.509V3数字证书为交易中的各参与者提供信任关系。308.由密码算法对数据进行变换,得到隐藏数据的信息内容的过程,称为加 密” 一个相应的加密过程的逆过程,称为解密。309.明文与密文:未加密的信息称为明文,已加密的信息称为密文。310.密钥:控制密码变换操作的符号称为密钥。加密和解
12、密算法的操作一般都是在一组密钥的控制下进行的。311.恺撒密码:以数字025表示字母az用C表求密文字母,用M表示明文字 母,则两者间的关系为:C=M+k (MOD 26,M=C+(26-k (MOD 26;当 k=0 时,M=C;312.密码体制:根据密码算法所使用的密钥数量的不同,可以分为对称密码体制 和非对称密码体制;根据明文的处理方式不同,可以分为分组密码体制和序列密码体 制。313. 对称密码体制和非对称密码体制:对称密码体制是指加密密钥和解密密钥相同,这种密码体制也称为单密钥密码体制或私钥密码体制;若加密密钥和解密密钥不同,从一个密钥难以推出另一个密钥,则称为非对称的密码体制,也称
13、为双密钥密码 体制或公钥密码体制。314. 分组密码体制和序列密码体制:分组密码是在密钥的控制下,一次变换一个分组的密码体制,它每次处理上块元素的输入,对每个输入块产生一个输出块。序列 密码是对数字数据流一次加密一个比特或一个字节的密码体制。315. 加密模块的位置:加密模块的位置可以分为两大类,即链路加密和端到端的加密。316. 链路加密:采用链路加密时,需要对每个通信链路的两端都装备一个加密装置,因此,通过这些链路的信息是安全的,但它有以下缺点:首先,中间的每个通信链路 的两端都需安装加密设备,实施费用较高;其次,其享一条链路的每对节点,应共享唯 一的密钥,而每段链路应使用不同的密钥,造成
14、密钥的管理和分发困难。第三,需要在 每台分组交换机中进行解密,以独得路由信息,此时,最易受到攻击。317. 端到端加密:使用端到端加密时,加密解密过程只在两个端系统上完成,相对 而言,实施较为方便,但主机只能对用户数据进行加密,而分组首部以未加密的方式传 输,因此,易受业务流分析类的被动攻击。318. 对称密码技术:指加密算法和解密算法中使用的密钥是发送者和接收者共 享的密钥。其加密模型为:C=Ek(M,解密模型为:M=Dk(C;其中,M表示明文,C表示密 文、K为密钥。319. 对称密码技术的安全性:对称密码技术的安全性取决于密钥的安全性,而不是算法的安全性。320.数据加密标准DES:DE
15、S是目前使用较为广泛的加密方法。 DES使用一种 分组乘积密码,在DES中,数据以64比特分组进行加密,密钥长度为56比特(总长64 比特,8比特为奇偶校验码。加密算法经过一系列的步骤将 64比特明文输入变换为 64比特的密文输出。除DES外,对称加密算法还包括托管加密标准(EES、高级加密 标准AES等。321.非对称加密技术:非对称加密,也叫公钥加密。是建立在数学函数基础上的一种加密方法,它不同于以往加密中使用的替代和置换方法,它使用两个密钥,在保密 通信、密钥分配和鉴别等领域都产生了深远的影响。322. 公钥加密系统的模型:一个公钥加密方案由明文、加密算法、公开密钥和私有密钥对、密文、解
16、密算法组成。一个实体的非对称密钥对中只由该实体使用的 密钥称私有密钥,私有密钥是保密的;一个实体的非对称密钥对中能够被公开的密钥 称为公开密钥。这两个密钥相关但不相同。323. 在公开密钥算法中,用公开的密钥进行加密,用私有密钥进行解密的过程,称为加密。而用私有密钥进行加密,用公开密钥进行解密的过程系为认证。324. 公钥密码系统的用途一般包括:加密/解密、数字鉴名、密钥交换。325. 数字信封:使用对称密钥密码加密大量数据,然后使用公钥算法加密会话密钥的过程称为数字信封,关于数字信封的具体情况,请参考下文(电子商务。326. RAS公钥密码算法:RAS算法是建立地大数分解和素数检测的理论基础
17、上的,是一种分组密码体制。它的思路是:两个大素数相乘在计算上是容易实现的,但将它们的乘积分解为两个大素数的因子的计算时却相当巨大,甚至在计算机上也是不RAS的安全性基可实现的。所谓素数检测,是指判断给定的一个整数是否为素数。于数论中大整数的素因子分解的困难性。327. RAS密钥的产生过程:a.独立地选取两个互异的大素数 P和q(保密。b.计算n=pq(公开,则欧拉函数值 巾(n=(p1(q-1(保密C.随机选取整数e,使得1巾(r并且gcd(巾(n,e=1开d.计算 d,d=e-1mod(巾(r保密。RAS私有密钥由d,n,公开密钥由e,n组成328. RAS的加密/解密过程 加密过程:把要
18、求加密的明文信息 M数字化,分块,其加密过程是:C=Me(modn解密过程:M=Cd(mod n 329.认证技术:认证也称为鉴别,它是指可靠地验证某 个通信参与方的身份是否与他 所声称的身份一致,或某个通信事件是否有效的过 程,用以确保数据的真实性,防止对手对 系统进行主动攻击,如伪装、篡改等。 认证包括实体认证和消息认证两部分。330.实体认证:验证信息的发送者是真实的,包括信源、信宿等的认证和识别。331.消息认证:验证消息的完整性,验证数据在传送或存储过程中未被篡改、重放或延迟。332.认证方法:包括使用报文加密方法认证、使用消息鉴别码认证、使用哈希函数认证等方式。333.报文加密方法
19、认证:该方法是以整个报文的密文作为报文的认证码(它包括使用对称加密方 法在报文中包含错误校验码和序列号、时间戳等和使用公钥加密方法认证(发送者使用私有密钥加密,接收方使用公钥解密两种方法。334.使用消息鉴别码进行认证:消息鉴别码(MAC也称为密码校验值,是对数据单元 进行加密变换所得到的 信息。它由MAC=C(K,M生成,其中M是变长的报文,K是仅由收 发双方共享的 密钥,生成的MAC是定长的认证码,发送者在发送消息时,将计算好的认证码附加到消息的末尾发送,接收方根据接收到的消息,计算出鉴别码,并与附在消息 后面的 认证码进行比较。335.哈希函数认证:哈希函数是将任意长的数字串 M 映射成
20、一个较短的定长输出数字 串H的函数。以h表示哈希函数,则有H=h(M。 其中H称为M的哈希码,有时也称为杂凑码、数字指纹、消息摘要等。哈希函数 与MAC的区别是,哈希函数的输入是消息本身,没有密钥参与。336.数字鉴名:是用来防目通信双方互相攻击的一种认证机制,是防止发送方或接收方抵赖的认证机制,它满足以下几个条件:首先,鉴名者事后不能否认自己的鉴名,其 次,除鉴名者之外的其它任何人均不能伪造鉴名,也不能对接收或发送的消息进 行篡改、伪造或冒充;第三,接收者可以确认收发双方之间的数据传送。数据鉴名 一般采用RAS加密算法,发送方使用私钥对消息进行加密,接收方使用公钥进行 解密并确认发送者的身份
21、。337.防火墙:是在内部网络和外部网络之间设置的一道安全屏障,是在网络信息通过时对它们实施防问控制策略的一个或一组系统。338.防火墙的特点:位置:防火墙是内外通信的唯一途径,所有从内到外或从外到内的通信量都必须经 过防火墙,否则,防火墙将无法起到保护作用;功能:防火墙是用户制订 的安全策 略的完整体现。只有经过既定的本地安全策略证实的通信流,才可以完成通信 ;防攻击:防火墙本身对于渗透是免疫的,也就是说,防火墙本身应该是一个安全、可 靠、防攻 击的可信任系统,它自身应有足够的强度和可靠性以抵御外界对防火墙 的任何攻击。339.防火墙的类型:分组过滤路由器、应用层网关、电路层网关、混合型防火
22、墙。340.防火墙的作用:可以有效的记录和统计网络的使用情况;能有效地过滤、筛选和屏蔽一切有害的服务和信息;可加强对网络系统的防问,能执行 强化网络的安全策略;能够隔开网络中的一个网段和咖一个网段,防止一个网段的 问题传播到整个网络。341.防火墙的不足:不能对付来自内部的攻击;对网络病毒 的攻击能通常无能为力;可能会阻塞许多用户所希望的防问服务;不能保护内部网络 的后门威胁;数据驱动攻击经常会对 防火墙造成威胁。342.虚拟专用网络(VPN : 是利用不可靠的公用互联网络作为信息传输介质,通过附 加的安全通道、用户认 证和访问控制等技术实现与专用网络相类似的安全性能, 从而实现对敏感信息的
23、安全传输。343. VPN的建立可以基于下列协议:点对点隧道协议(PPTP第二层隧道协议(L2TP;IP安全协议(Ipsec 344. VPN可以提供的功能:防火墙功能、认证、加密、隧道化;345. VPN的技术特点:信息的安全性、方便的扩充性、方便的管 理、显著的成本效益。346. VPN的关键技术:安全隧道技术、用户认证技术、访问控制技术。347. VPN的类型:防火墙VPN;路由器/专用VPN、操作系统附带VPN。348.入侵检测技术:入侵是指有关破坏资源的完整性、机密性及可用性的 活动。入侵检测是检测和识别系统中未授权的或异常的现象。349.入侵的类型:尝试闯入、伪装攻击、安全控制系统渗透、泄漏、恶意使用。350.入侵检测的作用:如果能够迅速地检测到一个入侵行为,就可以在进入系统损坏或数据丢失之前识别入侵者并驱逐它;一个有效的入侵检测系统可以作为一个阻碍物,用来防止入侵;入侵检测可以用来收集有关入侵技术的信息,从而用来改进和加强抗入侵能 力。351.入侵检测的原理:异常检测原理和误用入侵检测原理。352.入侵的检测方法:统计异常检测法、基于规则的检测 (异常检测和渗透识 别。353.计算机病毒(略354.网络管理:是对计算机网络的配置、运行状态和计费等进行管理。它提供了监控、协调和测试各种网络资源以及
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- T-CIE 232-2024 液气换热型水冷板式间接液冷数据中心设计规范
- 呼吸道职业暴露
- 云南省曲靖市沾益区2024-2025学年七年级9月月考道德与法治试题(解析版)-A4
- 2023年汽车电喷项目融资计划书
- 2023年变压器、整流器和电感器项目融资计划书
- 2023年导热材料项目融资计划书
- 全科医学复习重点全面培训课件
- 养老院老人康复设施维修人员职业发展规划制度
- 《CT能谱成像》课件
- 完善自身监管优化客户体验建立运营商立体式服务测评系统课件
- 气相色谱检测器FID-培训讲解课件
- 新教材人教A版高中数学选择性必修第一册全册教学课件
- 《HSK标准教程1》-HSK1-L8课件
- 幼儿园小班绘本:《藏在哪里了》 课件
- 上册外研社六年级英语复习教案
- 替班换班登记表
- 社会保险法 课件
- 阿利的红斗篷 完整版课件PPT
- 桥梁工程挡土墙施工
- 供应商质量问题处理流程范文
- 实验室生物安全手册(完整版)资料
评论
0/150
提交评论