《网络安全概论每章重点》由会员分享,可在线阅读,更多相关《网络安全概论每章重点(8页珍藏版)》请在金锄头文库上搜索。
1、网络安全概论(每章重点) 作者: 日期:第一章 网络安全问题(没有写上题型的一般为选择题)安全漏洞是网络攻击的客观原因。使用漏洞的一个典型例子是缺省口令。简答:主要的网络攻击方式:1、 拒绝服务攻击,攻击者通过向目标系统建立大量的连接请求,阻塞通信息道、延缓网络传输,挤占目标机器的服务缓冲区,一直目标计算机疲于应付,直至瘫痪。2、 入侵攻击,攻击者利用操作系统内在的缺陷或者对方使用的程序语言本身所具有的安全隐患等,非法进入本地或远程主机系统,获得一定的操作权限进而窃取信息、删除文件、埋设后门、甚至瘫痪目标系统等行为。3、 病毒攻击,随着计算机网络技术的发展,计算机病毒的范畴有了狂战,除了一般以
2、意义的病毒外,广义上的病毒还包括木马、后门、逻辑炸弹、蠕虫等有害代码会恶意逻辑。4、 邮件攻击,邮件攻击的方式有对邮件服务器攻击、修改或丢失邮件、否认邮件来源。此外邮件攻击如果跟其他攻击方式,则其威力机会大大增加了。 5、 幼儿攻击,通过建立幼儿网站,当用户浏览网页时,便会遭到不同形式的攻击。名解:特洛伊木马(程序)是隐藏着恶意代码的程序,这些程序表面是合法的,能为用户提供所期望的功能,当其中的恶意代码会执行不为用户所指的破坏功能,他与病毒的区别是,特洛伊木马不感染其他文件,而且破坏行为隐蔽,一般用户很难觉察,因而也很难发现它的存在。在网络安全领域中,网络信息的基本安全特性有了新的含义和名称:
3、保密性、完整性、可用性PPDR是policy(策略)、protection(保护)、detection(监察)和response(反应)的缩写。网络安全分为3层次:感知曾、技术层和物理层第二章密码学方法根据密钥的特点,密码提示可分为私钥(又称单钥、对称)密码体制和公钥(又称双钥、非对称)密码体制私钥体制的热点:机密密钥和解密密钥相同(二者值相等)公钥体制的特点:机密密钥和解密密钥不相同(二者值不相等,属性也不相同),一个是可以公开的公钥,一个是需要保密的私钥。公钥体制大大简化了复杂的密钥分配管理问题,但公钥算法要比私钥算法慢得多,约为1000倍。流密码方式只适用于私钥加密机制现有的公钥密码体制
4、都采用分组密码。私钥体制采用流密码或分组密码方式,公钥体制采用分组密码方式目前是用的流密码算法主要有:A5算法、FISH算法、RC4算法、WAKE算法A5算法有欧州GSM标准中规定的机密算法,用于数字移动电话的加密。DES(美国商用数据加密标准)是一种队二元数据的加密算法简答:密码系统安全性的基本要求是:1、 密码体制即便不是在理论上不可破的,也应该在实际上是不可破的2、 整个密码系呕吐那个的安全性系于密钥上,即使密码算法被公布,在密钥不泄露的情况下,密码系统的安全性也可以得到保证。3、 密钥空间必须足够大,这是因为,如果密钥空间小的话,攻击者可以采用已知明文甚至惟密文攻击,穷举整个密钥空间从
5、而攻破密码系统。4、 加解密算法必须是计算机上可行的,并且能够被方便的使用和实现。5、 对密码系统还存在一些其他要求,比如能偶抵抗已经出现的一些攻击方法;加密后得到的密文长度与明文长度的壁纸最好是1消息认证的目的主要有:消息完整性的认证、身份认证、消息的序号和操作时间(时间性)等的认证名解:在以计算机文件为基础的现代事物处理过程中,应该采用电子形式的签名,即数字签名法简答:一种完善的数字签名应满足的要求1、 收方能够确认会正式发方的签名2、 发方发出签名的消息给收方后,就不能否认他所签发的消息3、 收方对已经收到的前民消息不能否认4、 第三者可以确认收发双方之间的消息传送,但不能这一过程数字签
6、名的种类:1、对整体消息的签名;2、对压缩消息的签名一个签名体制一般含有两个部分:签名算法和验证算法不可否认签名与普通数字签名最本质的区别在于:对于不可否认签名,在得不到签名者配合的情况下其他人不能正确进行签名认证。PGP是以基于公钥加密体系的邮件加密软件简答:PGP的原理是?首先产生一对钥匙,一个是公钥,一个是私钥。当要传送一封保密信或文件给对方时,首先必须取得对方的公钥,并将它加入自己的公钥环中;接下来利用对方的公钥将信件加密后再传给对方。当对方收到加密的信件后,对方必须利用其相对应的私钥来解密。第三章PKI名解:PKI即公钥基础设施,就是利用公钥密码理论和技术建立的提供安全服务的基础设施
7、,PKI是提供公钥机密和数字签名服务的系统,目的是为了管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认(抵赖)性。机密密钥对是为了确保文件的机密性和完整性签名密钥对是为了使达到数据的真实性和不可抵赖性的要求论述:PKI的作用PKI通过以下几个方面保护用户的信息资产1、 身份认证,使用数字证书保证个人用户、组织、web站点的操作员及装用网路设备等实体在internet加一种安全的验证各方的身份2、 完整性认证,使用数字证书,可以验证朱自签名,保证数据在线传输时没有被篡改或者受到破坏3、 私有性,使用数字证书交换密钥,在对数据加密,保证信息在线传输途中不被侦听4、 访问控制,
8、数字证书替代了传统的用户名和口令的访问控制机制,用户名和口令很容易被猜到、破解或对视,而数字证书则没有这个问题5、 授权交易,通过数字证书,可以控制在线特权操作,通过不同身份、不同特权的用户持有不同的证书来进行身份、权利控制6、 不可抵赖习惯,用数字证书进行身份认证,并对交易签名,是交易双方对交易不可以否认,这在交易中是必须的PKI为用户提供给了一种手段,是用户在利用internet带来的速度和效率的同时,可以更好的保护商业敏感信息不被真挺,篡改,未授权存取简答:PKI是以中国遵循标准的密钥管理平台,主要包括五个模块1、 CA(认证中心)2、 证书库3、 密钥管理系统(生成、备份、恢复和更新)
9、4、 证书撤销管理系统5、 pki应用接口系统名解:ca机构又称为证书认证中性,他是数据证书的签发机构,是pki的核心,并且是pki应用中权威的、可信任的、公正的第三方机构,承担公钥系统中公钥的合法检测的责任。ca管理的核心问题是密钥的管理在网上传输信息时,普遍使用的是X.509格式的数字证书证书撤销的实现方法有很多种:1、利用周期性的发布机制2、在线查询机制pkcs是有rsa实验室与全世界的安全系统开发者们共同制定的公开密钥标准ocsp是指在线证书状态协议,是有ietf颁布的用于监察数字证书在某一交易时刻是否仍然有效的标准tsp是时间戳协议的缩写第四章防火墙技术名解:防火墙是综合采用适当技术
10、,通过对网络左拓扑结构和服务类型上的隔离,在被保护网络周边建立的,分割被保护网络与外部网络的系统,适合于专网中使用,特别是在专网与公共网络互联时使用包过滤防火墙也称为网络层防火墙,通常是安装在路由器上的包过滤防火墙的核心是他的安全策略(也叫做包过滤算法)的设计包过滤是最早使用防火墙技术包过滤技术是在网络层拦截所有试图通过的信息流,而代理技术是在应用层实现防火墙功能应用网关防火墙也叫代理服务器防火墙,具有和好的安全控制及时,被认为是最安全的防火墙技术电路级网网关是在osi模型中的会话层上来过滤数据包的双宿主主机采用主机取代路由器执行安全控制功能屏蔽主机结构中最容易受攻击的是堡垒主机屏蔽子网结构就
11、是在内部网络和外部网络之间在增加一个子网,称之为非军事区DMZ简答:代理技术的主要有点事1、 安全性高:代理技术能够支持可靠地用户认证并提供详细的注册信息2、 配置简单:相对包过滤路由器来说应用层的过滤规则更容易配置和测试3、 日志完备:代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能4、 隐秘内网:提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机,这样可以隐藏外部网的ip地址,可以保护内部主机免受外部主机的进攻5、 扩充地址,通过代理访问internet可以解决合法的ip地址不够用的问题,因为internet所见到的只是代理服务器的地址,内部的i
12、p地址通过代理方位internet。socks客户程序都首先建立一个与socks服务器的连接(端口号为1080)socks技术的最大缺点是没有很强的用户认证体制名解:地址转换技术(NAT)是将一个ip地址用另一个ip地址代替,NAT有两个用途1、隐藏内部网络的ip地址,是外部网络上的主机无法判断内部网络的情况;2、解决合法ip地址优先,不能满足访问外部网络需要的问题,因此需要转换ip地址以提供更多的地址空间。第五章 网络安全协议与vpn名解ssl安全套接层协议是Netscape公司1995年推出的一种安全通信协议,用于web浏览器和服务器之间的通信的安全洗衣,数要是使用公开密钥体制和X.509
13、数字证书技术保护信息传输的机密性和完整性,但他不能保证信息的不可抵赖性。ssl是对计算机之间整个会话进行加密的协议,被广泛应用于internet的处理财务上的敏感信息上ssl协议分为两层:ssl握手协议和ssl记录协议ssl记录协议属于传输层的协议,他工作与tcp上set协议主要使用电子认证技术,其认证过程使用rsa和des算法,因此可以为电子商务提供很强的安全保护,是目前点知商务中最重要的协议名解:安全电子交易规范是一种为基于信用卡二进行的电子交易提供安全措施的规则,是一种能广泛应用于internet的安全电子付款协议,它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里,扩展到消
14、费者的个人计算机中。论述:ssl协议和set协议的差别1、 用户接口方面:ssl协议已经被浏览器和web服务器内置,无需安装专门的软件;而set协议中客户端需要安装专门的电子钱包软件,在商家服务器和隐含网络上也需要安装相应的软件2、 处理速度方面:set协议非常复杂庞大,处理速度慢(一次典型的sel交易过程先不要9次数字证书验证、6次数字签名验证、7次传递证书、5次签名、4次对称加密和4次非对称加密,交易过程大约需要1.52分钟)。而ssl协议简单,处理速度快3、 认证要求方面:ssl中只有商家服务器的认证是必须的,客户端认证则是可选的,相比之下,set协议的认证要求较高,所有参与set交易的
15、成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。4、 安全性方面:set协议采用了公钥加密、消息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且set采用了双重签名来保证个参与方信息的相互隔离;ssl协议虽然也采用了公钥加密、消息摘要和mac检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但是却反一套完整的认证体系,不能提供完备的防抵赖功能,因此,set协议的安全性要比ssl的高5、 协议层次和功能方面:ssl属于传输层的安全技术规范,不具备电子商务的商务性、协调性和集成性功能。set协议位于应用层,不仅规范了整个电子商务的商务性,制定了严格的机密和认证标准,具备商务性、协调性和集成性的功能ipsec是工作在第三层的,提供网络及的安全,是ipv6的一个组成部分,也是ipv4的一个可选扩展协议简答:ipsec是通过采用密码学方法和安全操作控制方法来时县安全服务的,其通过三
