第一篇：信息安全復(fù)習(xí)總結(jié)內(nèi)容

復(fù)習(xí)總結(jié)

第一章 信息安全概述

1.信息安全、網(wǎng)絡(luò)安全的概念對(duì)信息的安全屬性的理解；常見的安全威脅有哪些？信息安全保障（IA）發(fā)展歷史信息保障（IA）的定義

第二章 我國(guó)信息安全法律法規(guī)和管理體制(了解)

第三章 密碼學(xué)基礎(chǔ)

1.按照密鑰的特點(diǎn)對(duì)密碼算法的分類

對(duì)稱密碼算法的優(yōu)缺點(diǎn)；非對(duì)稱密碼算法的優(yōu)缺點(diǎn)；

2.基于公鑰密碼的加密過(guò)程；基于公鑰密碼的鑒別過(guò)程

3.密鑰管理中的主要階段

4.哈希函數(shù)和消息認(rèn)證碼；消息認(rèn)證方案

5．?dāng)?shù)字簽名、數(shù)字信封的原理

第四章 密碼學(xué)應(yīng)用（PKI和VPN）

（一）PKI

1.PKI、CA定義

2.SSL協(xié)議的工作流程

3.SSL在網(wǎng)絡(luò)購(gòu)物、電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等方面的應(yīng)用

（二）VPN

1.VPN概述

--為什么使用VPN

--什么是VPN

--VPN關(guān)鍵技術(shù)（隧道技術(shù)、密碼技術(shù)、QoS技術(shù)）

--VPN分類（Access VPN和網(wǎng)關(guān)-網(wǎng)關(guān)的VPN連接）

2.IPSec 的組成和工作原理

IPSec安全協(xié)議（ESP機(jī)制、傳輸模式與隧道模式的特點(diǎn)及優(yōu)缺點(diǎn)；AH、傳輸模式與隧道模式的特點(diǎn)）

3.VPN的安全性

第五章 訪問(wèn)控制與審計(jì)監(jiān)控

1.訪問(wèn)控制模型

（1）自主訪問(wèn)控制模型（DAC Model）

-----訪問(wèn)控制的實(shí)現(xiàn)機(jī)制：訪問(wèn)控制表、訪問(wèn)控制矩陣、訪問(wèn)控制能力列表、訪問(wèn)控制安全標(biāo)簽列表

（2）強(qiáng)制訪問(wèn)控制模型（MAC Model）

-----Bell-LaPadula模型、Biba模型

（3）基于角色的訪問(wèn)控制模型

2.安全審計(jì)的內(nèi)容和意義

3．防火墻的功能、防火墻的局限性

4.防火墻的分類（個(gè)人防火墻、軟件防火墻、一般硬件防火墻和純硬件防火墻的特點(diǎn)、典

型應(yīng)用）防火墻的體系結(jié)構(gòu)

分組過(guò)濾路由器、雙宿主機(jī)、屏蔽主機(jī)和屏蔽子網(wǎng)的特點(diǎn)、優(yōu)缺點(diǎn)防火墻的實(shí)現(xiàn)技術(shù)

數(shù)據(jù)包過(guò)濾、代理服務(wù)和狀態(tài)檢測(cè)技術(shù)的工作原理/過(guò)程、優(yōu)缺點(diǎn)；

第六章 入侵檢測(cè)技術(shù)

1.IDS基本結(jié)構(gòu)（事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)和響應(yīng)單元）

2.入侵檢測(cè)技術(shù)

（1）異常檢測(cè)技術(shù)的原理和優(yōu)缺點(diǎn)

（2）誤用/濫用檢測(cè)技術(shù)的原理和優(yōu)缺點(diǎn)）

第七章 病毒防護(hù)技術(shù)概述（計(jì)算機(jī)病毒定義、特征、傳播途徑和分類）

惡意代碼：特洛伊木馬的攻擊步驟、特征和行為、傳播途徑；計(jì)算機(jī)蠕蟲的主要特點(diǎn)、組成 2 病毒原理

計(jì)算機(jī)病毒的邏輯結(jié)構(gòu)

傳統(tǒng)病毒、引導(dǎo)型和文件型病毒的工作流程

宏病毒及其特點(diǎn)、機(jī)制、工作流程

網(wǎng)絡(luò)病毒的特點(diǎn)、種類、傳播方式病毒技術(shù)（寄生技術(shù)、駐留技術(shù)、加密變形技術(shù)、隱藏技術(shù)）反病毒技術(shù)

計(jì)算機(jī)病毒檢測(cè)技術(shù)、計(jì)算機(jī)病毒的清除、計(jì)算機(jī)病毒的免疫、計(jì)算機(jī)病毒的預(yù)防

第八章 網(wǎng)絡(luò)攻擊與防范

1.典型的網(wǎng)絡(luò)攻擊的一般流程

2.常見的網(wǎng)絡(luò)攻擊的手段和攻擊原理舉例

第九章Windows 操作系統(tǒng)安全和Web安全（做實(shí)驗(yàn)）

第十章 補(bǔ)充內(nèi)容

1.業(yè)務(wù)連續(xù)性計(jì)劃（了解）

數(shù)據(jù)備份技術(shù)（做實(shí)驗(yàn)）

災(zāi)難恢復(fù)技術(shù)

安全應(yīng)急響應(yīng)安全管理（了解）

風(fēng)險(xiǎn)評(píng)估

人員和機(jī)構(gòu)管理

信息安全管理標(biāo)準(zhǔn)信息系統(tǒng)安全方案設(shè)計(jì)方法（理解）（寫報(bào)告：XXXXX信息系統(tǒng)安全方案設(shè)計(jì)）

1）信息系統(tǒng)基本結(jié)構(gòu)及資源分析，包括：網(wǎng)絡(luò)結(jié)構(gòu)、資源分析（硬件、軟件和數(shù)據(jù)資源； 服務(wù)與應(yīng)用）

2)安全風(fēng)險(xiǎn)分析（資源分析、脆弱性分析、威脅分析）

3)安全需求分析

方法：（1）按對(duì)信息的保護(hù)方式進(jìn)行安全需求分析

（2）按與風(fēng)險(xiǎn)的對(duì)抗方式進(jìn)行安全需求分析

4)系統(tǒng)安全體系

(1)建立安全組織體系: 安全組織建立原則、安全組織結(jié)構(gòu)、安全組織職責(zé)

（2）建立安全管理體系: 法律管理、制度管理、培訓(xùn)管理

5)安全解決方案

（1）物理安全和運(yùn)行安全

（2）網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分（網(wǎng)絡(luò)拓?fù)洌?/p>

（3）網(wǎng)絡(luò)隔離與訪問(wèn)控制

（4）操作系統(tǒng)安全增強(qiáng)

（5）應(yīng)用系統(tǒng)安全

（6）重點(diǎn)主機(jī)防護(hù)

（7）連接與傳輸安全

（8）安全綜合管理與控制

////////////////////////////////////////////////////////////////////////////

報(bào)告格式：

XXXXX信息系統(tǒng)安全方案設(shè)計(jì)

一、XXXXX安全背景與現(xiàn)狀

1.某單位組織機(jī)構(gòu)和信息系統(tǒng)簡(jiǎn)介

包括哪些部門，具有什么職能，需要保護(hù)的相關(guān)數(shù)據(jù)有哪些等等，對(duì)信息系統(tǒng)的使用情況說(shuō)明。

2.用戶安全需求分析

日常情況下，該單位各部門在使用信息系統(tǒng)時(shí)，會(huì)有哪些安全隱患？

3.描述所面臨的主要風(fēng)險(xiǎn)(如：頁(yè)面被篡改、在線業(yè)務(wù)被攻擊、機(jī)密數(shù)據(jù)外泄等)

二、安全需求分析

（1）按對(duì)信息的保護(hù)方式進(jìn)行安全需求分析

（2）按與風(fēng)險(xiǎn)的對(duì)抗方式進(jìn)行安全需求分析

三、安全解決方案

（1）物理安全和運(yùn)行安全

（2）選擇和購(gòu)買安全硬件和軟件產(chǎn)品（防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件、掃描軟件）

（3）網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分（畫：網(wǎng)絡(luò)拓?fù)鋱D）

（4）網(wǎng)絡(luò)隔離與訪問(wèn)控制（防火墻的正確配置）

（5）操作系統(tǒng)安全增強(qiáng)（操作系統(tǒng)補(bǔ)丁升級(jí)）

（6）應(yīng)用系統(tǒng)安全（漏洞掃描）

（7）重點(diǎn)主機(jī)防護(hù)

（8）連接與傳輸安全

（9）安全綜合管理與控制

四、安全運(yùn)維措施（業(yè)務(wù)連續(xù)性計(jì)劃）

（1）數(shù)據(jù)備份（選擇哪種數(shù)據(jù)備份技術(shù)、安排備份計(jì)劃、信息備份和設(shè)備備份）

（2）日志審計(jì)和備份

（3）制定災(zāi)難恢復(fù)

（3）制定安全應(yīng)急響應(yīng)

可供選擇的題目：

應(yīng)用案例一：某市某機(jī)關(guān)單位

應(yīng)用案例二：某校園網(wǎng)

應(yīng)用案例三：國(guó)家某部委全國(guó)信息網(wǎng)絡(luò)系統(tǒng)

應(yīng)用案例四：電子政務(wù)安全應(yīng)用平臺(tái)

…………………………………………………………………等等

第二篇：信息安全與網(wǎng)絡(luò)安全復(fù)習(xí)總結(jié)

一、概述

1、計(jì)算機(jī)安全與網(wǎng)絡(luò)安全的區(qū)別 P1

計(jì)算機(jī)安全：負(fù)責(zé)信息存儲(chǔ)和處理過(guò)程的安全事務(wù)，主要防止病毒和非法訪問(wèn)。

網(wǎng)絡(luò)安全：負(fù)責(zé)信息傳輸過(guò)程的安全事務(wù)，主要防止用戶非法接入、竊取或篡改傳輸過(guò)程中的信息。

計(jì)算機(jī)安全與網(wǎng)絡(luò)安全都是信息安全的組成部分。

2、病毒是一種且有自復(fù)制能力并會(huì)對(duì)系統(tǒng)造成巨大破壞的惡意代碼。P23、網(wǎng)絡(luò)安全體系結(jié)構(gòu)由兩部分組成：網(wǎng)絡(luò)安全基礎(chǔ)---加密、報(bào)文摘要算法、數(shù)字簽名技術(shù)

及認(rèn)證和各種安全協(xié)議；作用于網(wǎng)絡(luò)每層的安全技術(shù)。P134、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)：保證網(wǎng)絡(luò)用戶不受攻擊；機(jī)密信息不被竊?。凰芯W(wǎng)絡(luò)服務(wù)能

夠正常進(jìn)行。P15

二、黑客攻擊機(jī)制P191、竊取與截獲的區(qū)別

? 竊取是非法獲得信息副本，但不影響信息正常傳輸；

? 截獲是不僅非法獲得信息，且終止或改變信息傳輸過(guò)程；

2、DOS攻擊和Smurf攻擊的區(qū)別：P21

拒絕服務(wù)攻擊（DOS），就是用某種方法耗盡網(wǎng)絡(luò)設(shè)備或服務(wù)器資源，使其不能正常提供服務(wù)的一種攻擊手段。

SYN泛洪攻擊—消耗服務(wù)器資源

Smurf攻擊—耗盡網(wǎng)絡(luò)帶寬，使被攻擊終端不能和其他終端正常通信的攻擊手段。

3、黑客攻擊過(guò)程P27

? 收集信息；收集攻擊目標(biāo)主機(jī)系統(tǒng)或網(wǎng)絡(luò)的相關(guān)信息

?網(wǎng)絡(luò)接入：撥號(hào)、無(wú)線局域網(wǎng)、以太網(wǎng)

? 主機(jī)系統(tǒng)信息：操作系統(tǒng)類型、版本、服務(wù)類型、軟件

? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： 傳輸路徑、設(shè)備類型、網(wǎng)絡(luò)類型

?偵察---攻擊目標(biāo)的缺陷、攻擊方法；

? 域名、IP地址

? 防火墻的漏洞

? 軟件的缺陷

? 允許建立TCP連接的端口號(hào)

? 能否放置木馬

?攻擊---攻擊目的和方法

? 癱瘓目標(biāo)系統(tǒng)---拒絕服務(wù)攻擊

? 控制目標(biāo)---利用漏洞上載惡意代碼（放置木馬）

5、緩沖區(qū)溢出原理：通過(guò)往沒(méi)有邊界檢測(cè)的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成該函數(shù)緩沖區(qū)的溢出，溢出的數(shù)據(jù)覆蓋了用于保留另一函數(shù)的返回地址的存儲(chǔ)單元，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。P326、信息安全由網(wǎng)絡(luò)安全、操作系統(tǒng)安全和應(yīng)用程序安全三部分組成，其中操作系統(tǒng)安全和

應(yīng)用程序安全統(tǒng)稱為計(jì)算機(jī)安全。P33

第三章 網(wǎng)絡(luò)安全基礎(chǔ)

1、對(duì)稱加密與公鑰加密區(qū)別

對(duì)稱加密：加密和解客的密鑰相同（單鑰）

公鑰加密：加密和解客的密鑰不相同（雙鑰）

2、公鑰加密和數(shù)字簽名的區(qū)別

3、報(bào)文摘要與消息認(rèn)證的區(qū)別

4、密文安全性完全基于密鑰的安全性

5、對(duì)稱加密包括：流密碼和分組密碼體制

6、Feistel分組密碼結(jié)構(gòu)及其在DES中的應(yīng)用

Feistel結(jié)構(gòu)是一種分組密碼體制下的加密運(yùn)算過(guò)程。它的輸入是由明文分割后產(chǎn)生的固定為2W分的數(shù)據(jù)組和密鑰K，每組數(shù)據(jù)分為左、右兩部分；經(jīng)過(guò)n次的迭代運(yùn)算后，輸出2W位的密文。其中每次迭代的密鑰由原始密鑰K經(jīng)過(guò)子密鑰生成運(yùn)算產(chǎn)生子密鑰集｛k1,k2,…,kn｝，且上一次迭代運(yùn)算的結(jié)果作為下一次運(yùn)算的輸入。

數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）采用feistel分組密碼結(jié)構(gòu)。大致可分為：初始置換，迭代過(guò)程，逆置換和，子密鑰生成7、DES中的S盒計(jì)算：將48比特壓縮成32比特

輸入6比特:b1b2b3b4b5b6

輸出4比特：S(b1b6 ,b2b3b4b5)

8、DES中CBC模式的優(yōu)良特性

由于加密分組鏈接模式中每一組數(shù)據(jù)組和前一組數(shù)據(jù)組對(duì)應(yīng)的密文異或運(yùn)算后作為加密運(yùn)算模塊的輸入，因此即使密鑰相同的兩組相同數(shù)據(jù)組加密運(yùn)算后產(chǎn)生的密文也不會(huì)相同，增加了加密算法的安全性。

9、RSA公鑰加密體制

? 公開密鑰: PK={e, n}

? 秘密密鑰: SK={d, n}

? 加密過(guò)程：把待加密的內(nèi)容分成k比特的分組，k≤ log2n，并寫成數(shù)字，設(shè)為M，則：C=Memodn

? 解密過(guò)程：M = Cdmodn

密鑰產(chǎn)生:

1.取兩個(gè)大素?cái)?shù) p, q , p?q, 保密;

2.計(jì)算n=pq，公開n;

3.計(jì)算歐拉函數(shù)ф(n)=(p-1)(q-1)；

4.選擇整數(shù)e,使得 e與ф(n)互素;0

5.計(jì)算求滿足ed=1 mod?(n)的d.將d 保密，丟棄p, q10、Diffie-Heilman密鑰交換算法

? 系統(tǒng)參數(shù)產(chǎn)生

1.）取大素?cái)?shù) p，2.）計(jì)算對(duì)應(yīng)的本原元?，公開(p, ?);

? 用戶A取整數(shù)XA，計(jì)算YA=axa mod p

公告YA給用戶B;

? 用戶A取整數(shù)XB，計(jì)算YB=a xb mod p

公告YB給用戶A;

? KA=YBxa mod p,KB=YAxb mod p,KA=KB11、認(rèn)證中心的作用及證書的表示

認(rèn)證中心的作用是證明公鑰和用戶的綁定關(guān)系

證書的表示：1）用明文方式規(guī)定的用于確認(rèn)公鑰PKB和用戶B之間綁定關(guān)系的證明

2）用認(rèn)證中心的私鑰SKCA對(duì)上述明文的提出報(bào)文摘要進(jìn)行解密運(yùn)算后生成的密文Dskca(MD(P)).證書的主要內(nèi)容包括：版本、證書序號(hào)、簽名算法標(biāo)識(shí)符、簽發(fā)者名稱、起始時(shí)間、終止時(shí)間、用戶名稱、用戶公鑰信息、簽發(fā)者唯一標(biāo)識(shí)符、用戶唯一標(biāo)識(shí)符、擴(kuò)展信息、Dskca(MD(P)).12、Kerberos認(rèn)證系統(tǒng)的組成? 認(rèn)證服務(wù)器---------------身份認(rèn)證，? 通行證簽發(fā)服務(wù)器------獲取服務(wù)通行證，確認(rèn)客戶是否授權(quán)訪問(wèn)某個(gè)應(yīng)用服務(wù)器 ? 應(yīng)用服務(wù)器---------------訪問(wèn)服務(wù)器

13、安全協(xié)議層

TLS（運(yùn)輸層安全協(xié)議）運(yùn)輸層

IPSec網(wǎng)絡(luò)層

802.1x（基于端口的接入控制協(xié)議）數(shù)據(jù)鏈路層(?)

14、EAP（擴(kuò)展認(rèn)證協(xié)議）的特點(diǎn)P65 與應(yīng)用環(huán)境無(wú)關(guān)的、用于傳輸認(rèn)證協(xié)議消息的載體協(xié)議，所有應(yīng)用環(huán)境和認(rèn)證協(xié)議都和這種載體協(xié)議綁定

15、IPSec體系結(jié)構(gòu)P75

IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括認(rèn)證首部協(xié)議 Authentication Header（AH）、封裝安全凈荷協(xié)議Encapsulating Security Payload（ESP）、安全關(guān)聯(lián)和密鑰管理協(xié)議Internet Security Association and Key Management Portocol(ISAKMP）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法

1)安全關(guān)聯(lián)：用于確定發(fā)送者至接收者傳輸方向的數(shù)據(jù)所使用的加密算法和加密密鑰、MAC算法和MAC密鑰和安全協(xié)議等。安全關(guān)聯(lián)用安全參數(shù)索引SPI、目的IP地址和安全協(xié)議標(biāo)識(shí)符唯一標(biāo)識(shí)；

2)AH：認(rèn)證首部的作用是認(rèn)證發(fā)送者，數(shù)據(jù)完整性檢測(cè)；

認(rèn)證首部AH包含安全參數(shù)索引SPI，序號(hào)、認(rèn)證數(shù)據(jù)等。

運(yùn)輸模式：在IP分組首部和凈荷之間插入AH，封裝成AH報(bào)文

隧道模式：在外層IP首部和凈荷之間插入AH，封裝成AH報(bào)文

3)ESP；ESP的作用是實(shí)現(xiàn)保密傳輸、發(fā)送者認(rèn)證和數(shù)據(jù)完整性檢測(cè)

ESP首部包含安全參數(shù)和序號(hào)

ESP尾部包含填充數(shù)據(jù)、8位填充長(zhǎng)度字段和8位下一個(gè)首部

運(yùn)輸模式：在IP分組首部和凈荷之間插入ESP首部，在凈荷后面插入ESP尾部 隧道模式：在外層IP首部和凈荷之間插入ESP首部，在凈荷后面插入ESP尾部

4)ISAKMP；ISAKMP的作用：一是認(rèn)證雙方身份，當(dāng)然，每一方在認(rèn)證對(duì)方身份前，應(yīng)

該具有授權(quán)建立安全關(guān)聯(lián)的客戶名錄。二是建立安全關(guān)聯(lián)，建立安全關(guān)聯(lián)的過(guò)程是通過(guò)協(xié)商確定安全協(xié)議、加密密鑰、MAC密鑰和SPI的過(guò)程；

16、TLS協(xié)議的體系結(jié)構(gòu)P60

握手協(xié)議參數(shù)切換協(xié)議報(bào)警協(xié)議TLS記錄協(xié)議

TCP

IP

第四章 安全網(wǎng)絡(luò)技術(shù)

1、IPSec協(xié)議為什么不適用端點(diǎn)之間的身份認(rèn)證？P92

路由協(xié)議是基于IP的高層協(xié)議，在它建立終端之間的傳輸路徑前，終端之間并不能實(shí)現(xiàn)端到端傳輸，所以IPSec協(xié)議并不適合用于實(shí)現(xiàn)傳輸路由消息的兩個(gè)端點(diǎn)之間的身份認(rèn)證和路由消息的完整性檢測(cè)，需要開發(fā)專用技術(shù)用于解決路由消息的正確傳輸問(wèn)題。

2、信息流的管制在SYN攻擊中的應(yīng)用

信息流管制的方法是限制特定信息流的流量，特定信息流是指定源和目的終端之間和某個(gè)應(yīng)用相關(guān)的IP分組序列，這樣的IP分組通過(guò)源和目的終端地址、源和目的端口號(hào)、協(xié)議字段值等參數(shù)唯一標(biāo)識(shí)。

SYN泛洪攻擊是指黑客終端偽造多個(gè)IP，向Web服務(wù)器建立TCP連接請(qǐng)求，服務(wù)器為請(qǐng)求分配資源并發(fā)送確認(rèn)響應(yīng)，但是這些確認(rèn)響應(yīng)都不能到達(dá)真正的網(wǎng)絡(luò)終端。因此只要在邊緣服務(wù)器中對(duì)接入網(wǎng)絡(luò)的信息流量進(jìn)行管制，就能有效地抑制SYN攻擊。

3、NATP106

NAT（Network Address Translation），網(wǎng)絡(luò)地址轉(zhuǎn)換，在邊緣路由器中實(shí)現(xiàn)的本地IP地址和全球IP地址之間的轉(zhuǎn)換功能。

第五章 無(wú)線局域網(wǎng)安全技術(shù)

1、解決無(wú)線局域網(wǎng)安全問(wèn)題的方法？P116

認(rèn)證：解決接入控制問(wèn)題，保證只有授權(quán)終端才能和AP通信，并通過(guò)AP接入內(nèi)部網(wǎng)絡(luò)； 加密：解決終端和AP之間傳輸?shù)臄?shù)據(jù)的保密性問(wèn)題

2、WEP安全缺陷 ……P121-125

共享密鑰認(rèn)證機(jī)制的安全缺陷

一次性密鑰字典；

完整性檢測(cè)缺陷；

靜態(tài)密鑰管理缺陷3、802.11i的兩種加密機(jī)制P125

臨時(shí)密鑰完整性協(xié)議（Temporal Key Integrity Protocol,TKIP）

計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議(CTR with CBC-MAC Protocol,CCMP)

4、802.1x認(rèn)證機(jī)制P131-136

雙向CHAP認(rèn)證機(jī)制……

EAP-TLS認(rèn)證機(jī)制……

動(dòng)態(tài)密鑰分配機(jī)制……

第六章 虛擬專用網(wǎng)絡(luò)

1、專用網(wǎng)絡(luò)與虛擬專用網(wǎng)絡(luò)的區(qū)別： P141-142

專用網(wǎng)絡(luò)----費(fèi)用昂貴、協(xié)商過(guò)程復(fù)雜、利用率低；

網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息資源屬于單個(gè)組織并由該組織對(duì)網(wǎng)絡(luò)實(shí)施管理的網(wǎng)絡(luò)結(jié)構(gòu)；子網(wǎng)互聯(lián)通過(guò)（獨(dú)占點(diǎn)對(duì)點(diǎn)的專用鏈路）公共傳輸網(wǎng)絡(luò)實(shí)現(xiàn)。

虛擬專用網(wǎng)絡(luò)----便宜，接入方便，子網(wǎng)間傳輸路徑利用率較高

通過(guò)公共的分組交換網(wǎng)絡(luò)（如Internet）實(shí)現(xiàn)子網(wǎng)之間的互聯(lián)，并具有專用點(diǎn)對(duì)點(diǎn)鏈路的帶

寬和傳輸安全保證的組網(wǎng)技術(shù)。

2、基于IP的VPN結(jié)構(gòu)P143

在IP網(wǎng)絡(luò)的基礎(chǔ)上構(gòu)建的性能等同于點(diǎn)對(duì)點(diǎn)專用鏈路的隧道，并用隧道實(shí)現(xiàn)VPN各子網(wǎng)間的互聯(lián)。根據(jù)隧道傳輸?shù)臄?shù)據(jù)類型可分為IP隧道和第2層隧道，IP隧道傳輸IP分組，第2層隧道傳輸鏈路層幀。

3、VPN的安全機(jī)制：IPSecP147-148

IP分組和鏈路層幀在經(jīng)過(guò)隧道傳輸之前，在隧道兩端建立雙向的安全關(guān)聯(lián)，并對(duì)經(jīng)過(guò)隧道輿的數(shù)據(jù)進(jìn)行加密、認(rèn)證和完整性檢測(cè)，即IPSec

加密：保證數(shù)據(jù)經(jīng)過(guò)IP網(wǎng)絡(luò)傳輸時(shí)不被竊取

認(rèn)證：保證數(shù)據(jù)在隧道兩端之間的傳輸

完整性檢測(cè)：檢測(cè)數(shù)據(jù)在傳輸中是否被篡改

4、VPN需實(shí)現(xiàn)的功能P149

1）實(shí)現(xiàn)子網(wǎng)之間使用本地IP地址的ip分組的相互交換；

2）實(shí)現(xiàn)隧道的封閉性、安全性，使外部用戶無(wú)法竊取和篡改經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)

第七章 防火墻

1、防火墻的功能P173

防火墻是一種對(duì)不同網(wǎng)絡(luò)之間信息傳輸過(guò)程實(shí)施監(jiān)測(cè)和控制的設(shè)備，尤其適用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接處。

? 服務(wù)控制：不同網(wǎng)絡(luò)間只允許傳輸與特定服務(wù)相關(guān)的信息流。

?? 用戶控制：不同網(wǎng)絡(luò)間只允許傳輸與授權(quán)用戶合法訪問(wèn)網(wǎng)絡(luò)資源相關(guān)的信息流。?2網(wǎng)絡(luò)防火墻的位置：內(nèi)網(wǎng)和外網(wǎng)和連接點(diǎn)

3、單穴與雙穴堡壘主體結(jié)構(gòu)和性質(zhì)區(qū)別P190-191

單穴堡壘主機(jī)只有一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)；

堡壘主機(jī)的安全性基于外部網(wǎng)絡(luò)終端必須通過(guò)堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)； 單穴堡壘主機(jī)把外部網(wǎng)絡(luò)終端通過(guò)堡壘主機(jī)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)的保證完全基于無(wú)狀態(tài)分組過(guò)濾器的傳輸控制功能。

雙穴指堡壘主機(jī)用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)，用另一個(gè)接口連接無(wú)狀態(tài)分組過(guò)濾器，并通過(guò)無(wú)狀態(tài)分組過(guò)濾器連接外部網(wǎng)絡(luò)；這種結(jié)構(gòu)保證外部網(wǎng)絡(luò)終端必須通過(guò)堡壘主機(jī)才能實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)；

4、統(tǒng)一訪問(wèn)控制的需求及實(shí)現(xiàn)（？）P193-195

需求：

（1）移動(dòng)性---終端用戶不再固定到某一個(gè)子網(wǎng)；

（2）動(dòng)態(tài)性---終端用戶的訪問(wèn)權(quán)限是動(dòng)態(tài)變化的；

（3）訪問(wèn)權(quán)限的設(shè)置是基于用戶的統(tǒng)一訪問(wèn)控制：在網(wǎng)絡(luò)中設(shè)置統(tǒng)一的安全控制器，實(shí)施動(dòng)態(tài)訪問(wèn)控制策略的網(wǎng)絡(luò)資源訪問(wèn)控制系統(tǒng)。由UAC代理、安全控制器和策略執(zhí)行部件組成。

第八章 入侵防御系統(tǒng)

1、入侵防御系統(tǒng)的分類P205-206 入侵防御系統(tǒng)分為主機(jī)入侵防御系統(tǒng)和網(wǎng)絡(luò)入侵防御系統(tǒng)

主機(jī)入侵防御系統(tǒng)檢測(cè)進(jìn)入主機(jī)的信息流、監(jiān)測(cè)對(duì)主機(jī)資源的訪問(wèn)過(guò)程，以此發(fā)現(xiàn)攻擊行為、管制流出主機(jī)的信息流，保護(hù)主機(jī)資源；

網(wǎng)絡(luò)入侵防御系統(tǒng)通過(guò)檢測(cè)流經(jīng)關(guān)鍵網(wǎng)段的信息流，發(fā)現(xiàn)攻擊行為，實(shí)施反制過(guò)程，以此保

護(hù)重要網(wǎng)絡(luò)資源；

2、主機(jī)入侵防御系統(tǒng)的工作原理及目的P223-224

工作原理：首先截獲所有對(duì)主機(jī)資源的操作請(qǐng)求和網(wǎng)絡(luò)信息流，然后根據(jù)操作對(duì)象、系統(tǒng)狀態(tài)、發(fā)出操作請(qǐng)求的應(yīng)用進(jìn)程和配置的訪問(wèn)控制策略確定是否允許該操作進(jìn)行，必要時(shí)可能需要由用戶確定該操作是否進(jìn)行。

目的：防止黑客對(duì)主機(jī)資源的非法訪問(wèn)

4、網(wǎng)絡(luò)入侵防御系統(tǒng)的工作過(guò)程

1)

2)

3)

4)報(bào)警；

5)

第九章 網(wǎng)絡(luò)管理和監(jiān)測(cè)

1、網(wǎng)絡(luò)管理的功能P231

故障管理

計(jì)費(fèi)管理

配置管理

性能管理

安全管理

2、網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)P232

由網(wǎng)絡(luò)管理工作站、管理代理、管理信息庫(kù)（MIB）、被管理對(duì)象(網(wǎng)絡(luò)管理的基本單位)和網(wǎng)絡(luò)管理協(xié)議(SNMP)組成。

3、SNMP

SNMP的功能是在管理工作站和管理代理之間傳輸命令和響應(yīng)

4、網(wǎng)絡(luò)性能瓶頸P244

1)監(jiān)測(cè)過(guò)載結(jié)點(diǎn)

2)分析流量組成3)限制終端流量

第十章 安全網(wǎng)絡(luò)設(shè)計(jì)實(shí)例

1、網(wǎng)絡(luò)安全主要的構(gòu)件 P247-248

? 接入控制和認(rèn)證構(gòu)件

? 分組過(guò)濾和速率限制構(gòu)件

? 防火墻

? 入侵防御系統(tǒng)

? VPN接入構(gòu)件

? 認(rèn)證、管理和控制服務(wù)器

2、安全網(wǎng)絡(luò)設(shè)計(jì)步驟P248-249

1)確定需要保護(hù)的網(wǎng)絡(luò)資源---只對(duì)網(wǎng)絡(luò)中重要且容易遭受攻擊的網(wǎng)絡(luò)資源實(shí)施保護(hù)；

2)分析可能遭受的攻擊類型；

3)風(fēng)險(xiǎn)評(píng)估----使設(shè)計(jì)過(guò)程變得有的放矢；

4)設(shè)計(jì)網(wǎng)絡(luò)安全策略；

5)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略；

6)分析和改進(jìn)網(wǎng)絡(luò)安全策略。

第十一章 應(yīng)用層安全協(xié)議

1、徹底解決Web安全需要什么？---構(gòu)建網(wǎng)絡(luò)安全體系P2592、網(wǎng)絡(luò)體系結(jié)構(gòu)中安全協(xié)議P259-260

網(wǎng)絡(luò)層---IPSec：在網(wǎng)絡(luò)層上實(shí)現(xiàn)端到端的相互認(rèn)證和保密傳輸

運(yùn)輸層---TLS：在運(yùn)輸層上實(shí)現(xiàn)端到端的相互認(rèn)證和保密傳輸

應(yīng)用層---SET：安全電子交易協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)安全電子交易

3、SET的組成：

(a)持卡人；

(b)商家；

(c)支付網(wǎng)關(guān)；

(d)認(rèn)證中心鏈；

(e)發(fā)卡機(jī)構(gòu)；

(f)商家結(jié)算機(jī)構(gòu)。

4、數(shù)字封面的設(shè)計(jì)原理…… P265-266

用指定接收者證書中的公鑰加密對(duì)稱密鑰，結(jié)果作為數(shù)字封面

數(shù)字封面=EPKA（KEY），E是RSA加密算法

5、雙重簽名原理及其實(shí)現(xiàn)

雙重簽名（DS）= DSKC（H（H(PI)||H（OI)））;

雙重簽名：

(1)雙重簽名的目的：

將每次電子交易涉及的購(gòu)物清單OI和支付憑證PI綁定在一起；

商家A’----需要OI和PIMD=H(PI), 不允許獲得PI；

支付網(wǎng)關(guān)G----需要PI和OIMD=H(OI), 不需要OI

(2)持卡人用私鑰SKC和公鑰解密算法DSKC(.)，生成雙重簽名

DS= DSKC(h’)，h’=H(PIMD||OIMD);

----向商家發(fā)送{DS，OI，PIMD}；

----向支付網(wǎng)關(guān)發(fā)送{DS，PI，OIMD}；

(3)用帳戶C的公鑰PKC和公鑰加密算法EPKC(.)，商家驗(yàn)證雙重簽名

EPKC(DS)= H(PIMD||H(OI));

(4)用帳戶C的公鑰PKC和公鑰加密算法EPKC(.),支付網(wǎng)關(guān)G驗(yàn)證雙重簽名EPKC(DS)= H(OIMD||H(PI));

6、PSG的功能

主要實(shí)現(xiàn)發(fā)送端認(rèn)證、消息壓縮、加密及碼制轉(zhuǎn)換等功能

7、防火墻在信息門戶網(wǎng)站的配制

防火墻配置要求只允許內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)門戶網(wǎng)站，只允許門戶網(wǎng)站發(fā)起對(duì)服務(wù)器的訪問(wèn)過(guò)程，以此保證內(nèi)部網(wǎng)絡(luò)用戶必須通過(guò)門戶網(wǎng)站實(shí)現(xiàn)對(duì)服務(wù)器的訪問(wèn)。

第三篇：《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)總結(jié)

《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)要點(diǎn)

信息安全的任務(wù)是保障信息存儲(chǔ)、傳輸、處理等過(guò)程中的安全，具體的有： 機(jī)密性；完整性；不可抵賴性；可用性。

網(wǎng)絡(luò)信息安全系統(tǒng)的三要素:安全服務(wù)（安全任務(wù)）、安全機(jī)制和安全應(yīng)用域。

網(wǎng)絡(luò)安全防范體系層次：根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)的結(jié)構(gòu)，安全防范體系的層次可劃分為：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全管理。

網(wǎng)絡(luò)信息安全的技術(shù)：密碼技術(shù)，身份認(rèn)證，數(shù)字簽名，防火墻，入侵檢測(cè)，漏洞掃描。

數(shù)字簽名就是附加在數(shù)據(jù)單元的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換云允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人進(jìn)行偽造。

基本要求：簽名是可信的；簽名不可偽造；簽名不可重用，簽名是文件的一部分，不能移到別的文件上去；簡(jiǎn)明的文件事不可改變的，在文件上簽名就不能改變；簽名是不可抵賴的。

目前使用最多的數(shù)字簽名有兩類：一類是 使用對(duì)稱密碼系統(tǒng)和需要仲裁者的簽名方案；還有一類是基于公開秘鑰體制的數(shù)字簽名。

簽名的過(guò)程：1發(fā)送者產(chǎn)生文件的單向散列值；2發(fā)送者用私人密鑰對(duì)散列加密，以實(shí)現(xiàn)對(duì)文件的簽名；3發(fā)送者將文件盒散列簽名發(fā)送給接受者；4接受者根據(jù)發(fā)送者發(fā)送的文件產(chǎn)生文件的單向散列值，然后用數(shù)字簽名算法對(duì)散列值運(yùn)算，同時(shí)用發(fā)送者的公開密鑰對(duì)簽名的散列解密，簽名的散列值語(yǔ)氣產(chǎn)生的散列值匹配，則簽名有效。

公鑰基礎(chǔ)設(shè)施PKI 主要的功能組件包括認(rèn)證機(jī)構(gòu)，證書庫(kù)，證書撤銷，密鑰備份和恢復(fù)，自動(dòng)密鑰更新，秘鑰歷史檔案，交叉認(rèn)證，支持不可否認(rèn)，時(shí)間戳，客戶端軟件等。

PKI從根本上來(lái)說(shuō)，只提供三種主要的核心服務(wù)，即認(rèn)證，完整性，機(jī)密性。認(rèn)證：指向一個(gè)實(shí)體確認(rèn)另一份實(shí)體確實(shí)就是用戶自己；完整性：指向一個(gè)實(shí)體確保數(shù)據(jù)沒(méi)有被有意或則無(wú)意的修改。機(jī)密性：指向一個(gè)實(shí)體確保除了接受者，無(wú)人能夠讀懂?dāng)?shù)據(jù)的關(guān)鍵部分。

PKI信任模型：因經(jīng)CA與CA之間需要相互交流和信任，這就是PKI交互，即PKI信任模型。

PKI信任模型主要有4種模型，即嚴(yán)格層次結(jié)構(gòu)、分布式信任結(jié)構(gòu)、WEB模型、以用戶為中心的信任。

PKI嚴(yán)密層次結(jié)構(gòu)：嚴(yán)格層次結(jié)構(gòu)的CA之間存在嚴(yán)格的上下級(jí)關(guān)系，下級(jí)完全聽從并執(zhí)行上級(jí)的規(guī)定。在這種結(jié)構(gòu)中，信任關(guān)系是單向的。只允許上

一級(jí)CA給下一級(jí)CA或則終端用戶頒發(fā)證書。

優(yōu)點(diǎn)：1，具備良好的擴(kuò)展性；2，很容易找到證書路徑 ；3，證書路徑處理相對(duì)較短；4，根據(jù)CA位置，隱性地知道使用限制。

缺點(diǎn)：根節(jié)點(diǎn)一旦泄密遺失，PKI崩潰 損失巨大。擴(kuò)展結(jié)構(gòu)時(shí)，部分或所有需要根據(jù)情況調(diào)整信任點(diǎn)。

IPSec保護(hù)IP數(shù)據(jù)報(bào)的安全

IPsec包含三個(gè)重要的協(xié)議AH、ESP、IKE。

IEK協(xié)議負(fù)責(zé)秘鑰管理。

AH為IP數(shù)據(jù)包提供3種服務(wù)（AH只認(rèn)證不加密），無(wú)連接的數(shù)據(jù)完整性驗(yàn)證（哈希函數(shù)產(chǎn)生的校驗(yàn)）、數(shù)據(jù)源身份認(rèn)證（添加共享密鑰）、防重放攻擊（AH報(bào)頭中的序列號(hào)）。

ESP（基本功能是加密）提供AH的三種服務(wù)，還包括數(shù)據(jù)包加密、數(shù)據(jù)流加密。

解釋域（DOI）為使用IKE進(jìn)行協(xié)商的ＳＡ的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。IPSec的兩種運(yùn)行模式：傳輸模式（保護(hù)的只是IP的有效負(fù)載），隧道模式（保護(hù)整個(gè)IP數(shù)據(jù)包）SSL提供Internet通信的安全協(xié)議，用于ｗｅｂ瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。

SSL由多個(gè)協(xié)議組成并采用兩層體系結(jié)構(gòu)：上層有SSL握手協(xié)議、SSL修改密碼規(guī)格協(xié)議和SSL告警協(xié)議；往下有SSL記錄協(xié)議、TCP,UDP.SSL連接：連接時(shí)提供恰當(dāng)類型服務(wù)的傳輸。

SSL回話：ＳＳＬ會(huì)話是客戶與服務(wù)器之間的關(guān)聯(lián)，會(huì)話通過(guò)握手協(xié)議來(lái)創(chuàng)建。

SSL握手協(xié)議兩個(gè)階段：第一階段用于建立私密性通信信道；第二階段用于客戶認(rèn)證。

SSL安全電子交易協(xié)議）協(xié)議目標(biāo)：SET交易流程：SET中采用了雙重簽名技術(shù)

常用的入侵方法：口令入侵、特洛伊木馬術(shù)、監(jiān)聽法、Email技術(shù)、利用系統(tǒng)漏洞

堆棧、攻擊代碼、函數(shù)調(diào)用傳遞的參數(shù)、函數(shù)返回地址、函數(shù)的局部變量、緩沖區(qū)

在函數(shù)返回地址位置重復(fù)若干次返回地址，在溢出數(shù)據(jù)中添加前面增加個(gè)NOP指令

緩沖溢出原理：借著在程序緩沖區(qū)編寫超出其長(zhǎng)度的代碼,造成溢出,從而破壞其堆棧,使程序執(zhí)行攻擊者在程序地址空間中早已安排好的代碼,以達(dá)到其目的。

避免的方法：

1、強(qiáng)制寫正確的代碼的方法。

2、通過(guò)操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者殖入攻擊代碼。

3、利用編譯器的邊界檢查來(lái)實(shí)現(xiàn)緩沖區(qū)的保護(hù)。

4、在程序指針失效前進(jìn)行完整性檢查

常用的反病毒技術(shù)：特征碼技術(shù)、實(shí)時(shí)監(jiān)聽技術(shù)、虛擬機(jī)技術(shù)

防火墻技術(shù)只關(guān)心端口 源地址 目標(biāo)地址 數(shù)據(jù)包頭標(biāo)志位，不關(guān)心內(nèi)容 防火墻一般采用兩種技術(shù)：數(shù)據(jù)報(bào)過(guò)濾和代理服務(wù)。IP層，目的地址，端口號(hào)，數(shù)據(jù)的對(duì)話協(xié)議，數(shù)據(jù)包頭中的標(biāo)志位

靜態(tài)包過(guò)濾型防火墻（IP層）：依據(jù)事先設(shè)定的過(guò)濾規(guī)則，檢查數(shù)據(jù)流的每個(gè)數(shù)據(jù)包，確定是否允許該數(shù)據(jù)報(bào)通過(guò)。

優(yōu)點(diǎn)是：實(shí)現(xiàn)邏輯比較簡(jiǎn)單、對(duì)網(wǎng)絡(luò)性能影響較小、有較強(qiáng)的透明性、與應(yīng)用層無(wú)關(guān)、是最快的防火墻。

弱點(diǎn)是：配置時(shí)需要對(duì)IP、UDP、TCP等各種協(xié)議比較了解、容易被地址欺騙、不能提供應(yīng)用層用戶的鑒別服務(wù)、允許外部用戶直接與內(nèi)部主機(jī)相連。

幾種防火墻的對(duì)比：

靜態(tài)包過(guò)濾防火墻： 不檢查數(shù)據(jù)區(qū)，包過(guò)濾防火墻不建立連接狀態(tài)表，前后報(bào)文無(wú)關(guān)，應(yīng)用層控制很弱。

動(dòng)態(tài)包過(guò)濾型（狀態(tài)檢測(cè)）防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報(bào)文相關(guān)，應(yīng)用層控制很弱。

應(yīng)用代理（應(yīng)用網(wǎng)關(guān)）防火墻：不檢查IP、TCP報(bào)頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。

復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)，會(huì)話控制較弱。

ＩＤＳ（入侵檢測(cè)系統(tǒng)）技術(shù)：通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或則計(jì)算機(jī)系統(tǒng)的若干關(guān)鍵點(diǎn)搜集信息并對(duì)器進(jìn)行分析，從中發(fā)網(wǎng)絡(luò)或系統(tǒng)是否違反安全策略的行為和被攻擊的跡象。

IDS分類：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的ＩＤＳ

異常檢查是通過(guò)計(jì)算審計(jì)數(shù)據(jù)與一個(gè)期望的正常行為描述的模型之間的偏差來(lái)判斷入侵與否濫用檢查（特征匹配檢測(cè)）是通過(guò)掃描審計(jì)數(shù)據(jù)看是否與已知攻擊特征來(lái)判斷入侵與否。

ＩＤＳ檢測(cè)引擎的常用技術(shù)：統(tǒng)計(jì)方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、狀態(tài)轉(zhuǎn)移分析、Petri網(wǎng)、計(jì)算機(jī)免疫、Agent技術(shù)、其他檢測(cè)技術(shù)。

蜜罐的特點(diǎn)與分類產(chǎn)品型、研究型、低交互型、高交互型

優(yōu)點(diǎn)： 收集數(shù)據(jù)保真度高，能收集到新的攻擊技術(shù)，不需要強(qiáng)大的資源支持，比較簡(jiǎn)單，不是單一系統(tǒng)而是一個(gè)網(wǎng)絡(luò)缺點(diǎn)： 投入精力和時(shí)間，視圖有限，不能使用旁路監(jiān)聽等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)監(jiān)控，不能直接防護(hù)有漏洞的系統(tǒng)，帶來(lái)一定的安全風(fēng)險(xiǎn)

蜜罐的主要技術(shù)：網(wǎng)絡(luò)欺騙、端口重定向、報(bào)警、數(shù)據(jù)控制、數(shù)據(jù)捕獲 s-http和https ：S-HTTP協(xié)議處于應(yīng)用層，它是HTTP協(xié)議的擴(kuò)展，它僅適用于HTTP聯(lián)結(jié)上，S-HTTP可提供通信保密、身份識(shí) 別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等。https簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL。

第四篇：信息安全考點(diǎn)、內(nèi)容

一、信息與信息安全（名詞解析）

（1）信息：指事物運(yùn)動(dòng)的狀態(tài)和方式，是事物的一種屬性，在引入必要約束條件后可以形成特定的概念體系。通常情況下，可理解為消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)。

（2）信息安全：保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。

二、我國(guó)法律制度的構(gòu)成（憲法、法律、行政法、地方性法規(guī)、自治單行條例）（辨別）

立法層次看，全國(guó)人大及其常委會(huì)制定國(guó)家法律（中華人民共和國(guó)刑法、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例），國(guó)務(wù)院及其所屬部門分別制定行政法規(guī)和部門規(guī)章（計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法、計(jì)算機(jī)病毒防治管理辦法），一般地方的有關(guān)國(guó)家權(quán)力機(jī)關(guān)和政府制定地方性法規(guī)和地方政府規(guī)章（廣東省計(jì)算機(jī)系統(tǒng)安全保護(hù)管理規(guī)定、武漢市電子政務(wù)建設(shè)管理暫行辦法）。

三、地方立法權(quán)的主體（較大的市，福建有廈門、福州）

一般是省、自治區(qū)、直轄市的人大及其常委會(huì)和較大市的地方人大及其常委會(huì)，另外還有民族自治地方的人大。

四、各種法律責(zé)任的構(gòu)成

（1）不滿14周歲，完全不負(fù)刑事責(zé)任，滿16周歲完全負(fù)刑事責(zé)任。（2）民事權(quán)利分為財(cái)產(chǎn)權(quán)（物權(quán)、債權(quán)、知識(shí)權(quán)）、人身權(quán)（人格權(quán)、身份權(quán)）

（3）民事責(zé)任有10種，可同時(shí)使用；刑事責(zé)任分主刑（死刑）附加刑（罰金、驅(qū)逐）；行政責(zé)任（罰款、警告）

五、法律事實(shí)

指是否與當(dāng)事人的意志有關(guān)，可以把法律事實(shí)分為事件包括自然事件（無(wú)人參與）、社會(huì)事件（有人參與）（與當(dāng)事人意志無(wú)關(guān)），行為包括合法、違法（與當(dāng)事人意志有關(guān)）

六、犯罪的基本特征（多選）

社會(huì)危害性（本質(zhì)）、刑事違法性、應(yīng)受刑罰處罰性

七、犯罪的構(gòu)成要件（多選）

犯罪客體、犯罪客觀方面、犯罪主體、犯罪主觀方面

八、法律關(guān)系及其三要素（選）

法律關(guān)系：是法律在調(diào)整人們行為的過(guò)程中形成的權(quán)利義務(wù)關(guān)系。三要素：主體、客體、內(nèi)容

九、法律關(guān)系主體（選）

公民（自然人）、各種機(jī)構(gòu)和組織、國(guó)家

十、法律關(guān)系客體（選、判斷）

物、行為、智力成果

十一、法律規(guī)范

概念：指通過(guò)國(guó)家的立法機(jī)關(guān)制定的或者認(rèn)可的，用以引導(dǎo)、約束人們行為的行為規(guī)范的一種。

授權(quán)性（有權(quán)。、享有。權(quán)利、可以。）義務(wù)性（有。義務(wù)、要。、必須。）職權(quán)性

十二、國(guó)家安全的構(gòu)成要素

國(guó)家安全一般法律制度、國(guó)防安全法律制度、經(jīng)濟(jì)安全法律制度、網(wǎng)絡(luò)信息安全法律制度、生態(tài)安全法律制度、社會(huì)公共安全法律制度

十三、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)重點(diǎn)

國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域

十四、信息安全法律規(guī)范基本原則

（1）誰(shuí)主管誰(shuí)負(fù)責(zé)原則

（2）突出重點(diǎn)原則

（3）預(yù)防為主原則

（4）安全審計(jì)原則（5）風(fēng)險(xiǎn)管理原則

十五、風(fēng)險(xiǎn)管理：又名危機(jī)管理，指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。

十六、互聯(lián)網(wǎng)上網(wǎng)服務(wù)場(chǎng)所的管理權(quán)

（1）縣級(jí)以上人民政府文化行政部門負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位的設(shè)立審批，并負(fù)責(zé)對(duì)依法設(shè)立的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位經(jīng)營(yíng)活動(dòng)的監(jiān)督管理；（2）公安機(jī)關(guān)負(fù)責(zé)對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位的信息網(wǎng)絡(luò)安全、治安及消防安全的監(jiān)督管理；

（3）工商行政管理部門負(fù)責(zé)對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位登記注冊(cè)和營(yíng)業(yè)執(zhí)照的管理，并依法查處無(wú)照經(jīng)營(yíng)活動(dòng)；

（4）電信管理等其他有關(guān)部門在各自職責(zé)范圍內(nèi)，依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位分別實(shí)施有關(guān)監(jiān)督管理。

十七、國(guó)際互聯(lián)網(wǎng)及互聯(lián)網(wǎng)絡(luò)

（1）國(guó)際互聯(lián)網(wǎng)：指中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)、專業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)、企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)，以及其他通過(guò)專線進(jìn)行國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息同外國(guó)的計(jì)算機(jī)信息網(wǎng)絡(luò)相連接。

（2）已建立中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)、中國(guó)金橋信息網(wǎng)、中國(guó)教育和科研計(jì)算機(jī)網(wǎng)、中國(guó)科學(xué)技術(shù)網(wǎng)四個(gè)互聯(lián)網(wǎng)絡(luò)

十八、病毒、木馬、流氓軟件

病毒從本質(zhì)上講，它是一段電腦程序。它具有傳播性、破壞性及自我繁殖能力的特點(diǎn)。其中自我繁殖及傳播性是病毒的最大特征?！澳抉R”，是黑客常用的攻擊方法。它通過(guò)在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在Windows啟動(dòng)時(shí)悄悄運(yùn)行的程序，采用服務(wù)器/客戶機(jī)的運(yùn)行方式，從而達(dá)到在你上網(wǎng)時(shí)控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅(qū)動(dòng)器、修改你的文件、登錄注冊(cè)表等等。

“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件。計(jì)算機(jī)病毒指的是：自身具有、或使其它程序具有破壞系統(tǒng)功能、危害用戶數(shù)據(jù)或其它惡意行為的一類程序。這類程序往往影響計(jì)算機(jī)使用，并能夠自我復(fù)制。正規(guī)軟件指的是：為方便用戶使用計(jì)算機(jī)工作、娛樂(lè)而開發(fā)，面向社會(huì)公開發(fā)布的軟件?！傲髅ボ浖苯橛趦烧咧g，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來(lái)實(shí)質(zhì)危害。

十九、知識(shí)產(chǎn)權(quán)的概念組成及特征

（1）概念：是基于創(chuàng)造性智力成果和工商業(yè)標(biāo)記，依法產(chǎn)生的權(quán)利的總稱。（2）組成：工業(yè)產(chǎn)權(quán)（專利權(quán)、商標(biāo)權(quán)）+版權(quán)（作者權(quán)、鄰接權(quán)）（3）特征：客觀無(wú)形性、雙重性、專有性、地域性、時(shí)間性

二十、著作權(quán)的分類及其保護(hù)期限

（1）各類作品的作者依法享有的權(quán)利，還包括藝術(shù)表演者、錄音錄像制作者廣播電視節(jié)目制作者依法享有的權(quán)利。

（2）分類：著作人身權(quán)（一生）（公開發(fā)表權(quán)（終身和死后50年）、署名權(quán)、修改權(quán)、完整權(quán)（時(shí)間不受限））、財(cái)產(chǎn)權(quán)（5-17年）（重制權(quán)、公開口述權(quán)、公開播送權(quán)、公開上映權(quán)、公開演出權(quán)、公開傳輸權(quán)、公開展示權(quán)、改作權(quán)、散布權(quán)、出租權(quán)）

二十一、作品及其特點(diǎn)（如何辨別）

（1）概念：指文學(xué)藝術(shù)和科學(xué)領(lǐng)域內(nèi)，具有獨(dú)創(chuàng)性并能以某種有形形式復(fù)制的智力創(chuàng)作結(jié)果

（2）特點(diǎn)：具有獨(dú)創(chuàng)性

（3）辨別：文字作品、口述作品、音樂(lè)作品、戲劇作品、曲藝作品、舞蹈作品、雜技藝術(shù)作品、美術(shù)作品、建筑作品、攝影作品、電影作品和類似電影制作方法創(chuàng)作的作品、工程設(shè)計(jì)圖、產(chǎn)品設(shè)計(jì)圖、地圖、示意圖等圖形類產(chǎn)品、計(jì)算機(jī)軟件、數(shù)據(jù)庫(kù)或其他材料的集合體、法律、行政法規(guī)定的其他作品。

二十二、時(shí)事新聞的理解

時(shí)事新聞是指通過(guò)報(bào)紙、期刊、電臺(tái)、電視臺(tái)等傳播媒介報(bào)道的單純事實(shí)消息，不受著作權(quán)保護(hù)。

二十三、專利權(quán)客體的類型及保護(hù)期限

（1）發(fā)明（20年，申請(qǐng)之日起，不可延）（2）實(shí)用新型（10年）（3）外觀設(shè)計(jì)（10年）二

十四、專利的特點(diǎn)

新穎性、創(chuàng)造性、實(shí)用性 二

十五、專利的限制（大題）

(二)不視為侵犯專利權(quán)的行為

1．專利權(quán)人制造、進(jìn)口或者經(jīng)專利權(quán)人許可而制造、進(jìn)口的專利產(chǎn)品或者依照專利方法直接獲得的產(chǎn)品售出后，使用、許諾銷售或者銷售該產(chǎn)品的。

2．在專利申請(qǐng)日前已經(jīng)制造相同產(chǎn)品、使用相同方法或者已經(jīng)做好制造、使用的必要準(zhǔn)備，并且僅在原有范圍內(nèi)繼續(xù)制造、使用的。

3．臨時(shí)通過(guò)中國(guó)領(lǐng)陸、領(lǐng)水、領(lǐng)空的外國(guó)運(yùn)輸工具，依照其所屬國(guó)同中國(guó)簽訂的協(xié)議或者共同參加的國(guó)際條約，或者依照互惠原則，為運(yùn)輸工具自身需要而在其裝置和設(shè)備中使用有關(guān)專利的。

4．專為科學(xué)研究和實(shí)驗(yàn)而使用有關(guān)專利的。二

十六、專利侵權(quán)行為（大題）

專利侵權(quán)行為是指在專利權(quán)有效期限內(nèi)，行為人未經(jīng)專利權(quán)人許可又無(wú)法律依據(jù)，以營(yíng)利為目的實(shí)施他人專利的行為。它具有以下特征：

1.侵害的對(duì)象是有效的專利。專利侵權(quán)必須以存在有效的專利為前提，實(shí)施專利授權(quán)以前的技術(shù)、已經(jīng)被宣告無(wú)效、被專利權(quán)人放棄的專利或者專利權(quán)期限屆滿的技術(shù)，不構(gòu)成侵權(quán)行為。專利法規(guī)定了臨時(shí)保護(hù)制度，發(fā)明專利申請(qǐng)公布后至專利權(quán)授予前，使用該發(fā)明的應(yīng)支付適當(dāng)?shù)氖褂觅M(fèi)。對(duì)于在發(fā)明專利申請(qǐng)公布后至專利權(quán)授予前使用發(fā)明而未支付適當(dāng)費(fèi)用的糾紛，專利權(quán)人應(yīng)當(dāng)在專利權(quán)被授予之后，請(qǐng)求管理專利工作的部門調(diào)解，或直接向人民法院起訴。

2.必須有侵害行為，即行為人在客觀上實(shí)施了侵害他人專利的行為。

3.以生產(chǎn)經(jīng)營(yíng)為目的。非生產(chǎn)經(jīng)營(yíng)目的的實(shí)施，不構(gòu)成侵權(quán)。

4.違反了法律的規(guī)定，即行為人實(shí)施專利的行為未經(jīng)專利權(quán)人的許可，又無(wú)法律依據(jù)。

二十七、商標(biāo)

指商品的生產(chǎn)者或經(jīng)營(yíng)者用來(lái)標(biāo)明自己、區(qū)別他人同類商品的標(biāo)志。二

十八、商標(biāo)強(qiáng)制注冊(cè)的商品（人用藥品和煙草制品）二

十九、商標(biāo)權(quán)的保護(hù)期限（10年，核準(zhǔn)之日算。可延）三

十、商標(biāo)侵權(quán)行為

（1）商標(biāo)侵權(quán)行為是指未經(jīng)商標(biāo)注冊(cè)人的許可，在同一種商品或者類似商品上使用與其注冊(cè)商標(biāo)相同或者近似的商標(biāo)

（2）侵權(quán)行為：

（一）未經(jīng)商標(biāo)注冊(cè)人的許可，在相同商品或者類似商品上使用與其注冊(cè)商標(biāo)相同或者近似的商標(biāo)，可能造成混淆的；

（二）銷售侵犯注冊(cè)商標(biāo)權(quán)的商品的；

（三）偽造、擅自制造與他人注冊(cè)商標(biāo)標(biāo)識(shí)相同或者近似的商標(biāo)標(biāo)識(shí)，或者銷售偽造、擅自制造的與他人注冊(cè)商標(biāo)標(biāo)識(shí)相同或者近似的標(biāo)識(shí)的；

（四）未經(jīng)商標(biāo)注冊(cè)人同意，更換其注冊(cè)商標(biāo)并將該更換商標(biāo)的商品又投入市場(chǎng)的；

（五）在相同或者類似商品上，將與他人注冊(cè)商標(biāo)相同或者近似的標(biāo)志作為商品名稱或者商品裝潢使用，誤導(dǎo)公眾的；

（六）故意為侵犯他人商標(biāo)權(quán)行為提供倉(cāng)儲(chǔ)、運(yùn)輸、郵寄、隱匿、加工、生產(chǎn)工具、生產(chǎn)技術(shù)或者經(jīng)營(yíng)場(chǎng)地等便利條件的；

（七）將與他人注冊(cè)商標(biāo)相同或者相近似的文字作為企業(yè)的字號(hào)在相同或者類似商品上使用，或者以其他方式作突出其標(biāo)識(shí)作用的使用，容易使相關(guān)公眾產(chǎn)生誤認(rèn)的；

（八）復(fù)制、摹仿、翻譯他人注冊(cè)的馳名商標(biāo)或其主要部分在不相同或者不相類似商品上作為商標(biāo)使用，誤導(dǎo)公眾，致使該馳名商標(biāo)注冊(cè)人的利益可能受到損害的；

（九）將與他人注冊(cè)商標(biāo)相同或者相近似的文字注冊(cè)為域名，并且通過(guò)該域名進(jìn)行相關(guān)商品宣傳或者商品交易的電子商務(wù)，容易使相關(guān)公眾產(chǎn)生誤認(rèn)的。

（十）給他人的注冊(cè)商標(biāo)專用權(quán)造成其他損害的。三

十一、不正當(dāng)競(jìng)爭(zhēng)行為

（1）概念：指經(jīng)營(yíng)者在市場(chǎng)競(jìng)爭(zhēng)中，采取非法的或者有悖于公認(rèn)的商業(yè)道德的手段和方式，與其他經(jīng)營(yíng)者相競(jìng)爭(zhēng)的行為。

（2）市場(chǎng)混淆、商業(yè)賄賂、虛假宣傳、侵犯商業(yè)秘密、低價(jià)傾銷、不正當(dāng)有獎(jiǎng)銷售、商業(yè)詆毀

三

十二、混淆行為

指經(jīng)營(yíng)者在市場(chǎng)經(jīng)營(yíng)活動(dòng)中，以種種不實(shí)手法對(duì)自己的商品或服務(wù)作虛假表示、說(shuō)明或承諾，或不當(dāng)利用他人的智力勞動(dòng)成果推銷自己的商品或服務(wù)，使用戶或者消費(fèi)者產(chǎn)生誤解，擾亂市場(chǎng)秩序、損害同業(yè)競(jìng)爭(zhēng)者的利益或者消費(fèi)者利益的行為。

(1）假冒他人的注冊(cè)商標(biāo)。(2）與知名商品相混淆。(3）擅自使用他人的企業(yè)名稱或姓名，引人誤認(rèn)為是他人的商品。(4）偽造、冒用各種質(zhì)量標(biāo)志和產(chǎn)地的行為。三

十三、商業(yè)賄賂行為

商業(yè)賄賂是指經(jīng)營(yíng)者為爭(zhēng)取交易機(jī)會(huì)，暗中給予交易對(duì)方有關(guān)人員或者其他能影響交易的相關(guān)人員以財(cái)物或其他好處的行為。行為要點(diǎn)：

(1）行為的主體是經(jīng)營(yíng)者和受經(jīng)營(yíng)者指使的人（包括其職工）；其他主體可能構(gòu)成賄賂行為，但不是商業(yè)賄賂。

(2）行為的目的是爭(zhēng)取市場(chǎng)交易機(jī)會(huì)，而非其他目的（如政治目的、提職、獲取職稱等）。

(3）有私下暗中給予他人財(cái)物和其他好處的行為，且達(dá)到一定數(shù)額。如若只是許諾給予財(cái)物，不構(gòu)成該行為；給予的財(cái)物或好處數(shù)額過(guò)小，如為聯(lián)絡(luò)感情贈(zèng)送小禮物，亦不構(gòu)成該行為。

(4）該行為由行賄與受賄兩方面構(gòu)成。一方行賄，另一方不接受，不構(gòu)成商業(yè)賄賂；一方索賄，另一方不給付，也不構(gòu)成商業(yè)賄賂。三

十四、不正當(dāng)有獎(jiǎng)銷售

（1）謊稱有獎(jiǎng)銷售或?qū)λO(shè)獎(jiǎng)的種類，中獎(jiǎng)概率，最高獎(jiǎng)金額，總金額，獎(jiǎng)品種類、數(shù)量、質(zhì)量、提供方法等作虛假不實(shí)的表示；（2）采取不正當(dāng)手段故意讓內(nèi)定人員中獎(jiǎng)；（3）故意將設(shè)有中獎(jiǎng)標(biāo)志的商品、獎(jiǎng)券不投放市場(chǎng)或不與商品、獎(jiǎng)券同時(shí)投放，或者故意將帶有不同獎(jiǎng)金金額或獎(jiǎng)品標(biāo)志的商品、獎(jiǎng)券按不同時(shí)間投放市場(chǎng)；（4）抽獎(jiǎng)式的有獎(jiǎng)銷售，最高獎(jiǎng)的金額超過(guò)5000元（以非現(xiàn)金的物品或者其他經(jīng)濟(jì)利益作為獎(jiǎng)勵(lì)的，按照同期市場(chǎng)同類商品或者服務(wù)的正常價(jià)格折算其金額）；（5）利用有獎(jiǎng)銷售手段推銷質(zhì)次價(jià)高的商品；（6）其他欺騙性有獎(jiǎng)銷售行為。三

十五、侵犯商業(yè)秘密行為

（1）侵犯商業(yè)秘密行為是指以不正當(dāng)手段獲取、披露、使用他人商業(yè)秘密的行為。（2）1）以盜竊、利誘、脅迫或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密；（2）披露、使用或者允許他人使用以前項(xiàng)手段獲取的權(quán)利人的商業(yè)秘密；（3）根據(jù)法律和合同，有義務(wù)保守商業(yè)秘密的人（包括與權(quán)利人有業(yè)務(wù)關(guān)系的單位、個(gè)人，在權(quán)利人單位就職的職工）披露、使用或者允許他人使用其所掌握的商業(yè)秘密。第三人明知或應(yīng)知前款所列違法行為，獲取、使用或者披露他人的商業(yè)秘密，視為侵犯商業(yè)秘密。在實(shí)踐中，第三人的行為可能與侵權(quán)人構(gòu)成共同侵權(quán)。

三

十六、國(guó)家秘密與商業(yè)秘密

（1）國(guó)家秘密：指關(guān)系國(guó)家安全和利益，依照法定程序確定，在某一確定的時(shí)間內(nèi)只限于一定范圍的人員知道；

（2）商業(yè)秘密：指不為公眾所知悉，能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益，具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息。

三

十七、詆毀商譽(yù)行為

（1）指經(jīng)營(yíng)者捏造、散布虛假事實(shí)，損害競(jìng)爭(zhēng)對(duì)手的商業(yè)信譽(yù)、商品聲譽(yù)，從而削弱其競(jìng)爭(zhēng)力的行為。（2）詆毀商譽(yù)的行為要點(diǎn)如下：

(1）行為的主體是市場(chǎng)經(jīng)營(yíng)活動(dòng)中的經(jīng)營(yíng)者，其他經(jīng)營(yíng)者如果受其指使從事詆毀商譽(yù)行為的，可構(gòu)成共同侵權(quán)人。新聞單位被利用和被唆使的，僅構(gòu)成一般的侵害他人名譽(yù)權(quán)行為，而非不正當(dāng)競(jìng)爭(zhēng)行為。

(2）經(jīng)營(yíng)者實(shí)施了詆毀商譽(yù)行為，如通過(guò)廣告、新聞發(fā)布會(huì)等形式捏造、散布虛假事實(shí)，使用戶、消費(fèi)者不明真相產(chǎn)生懷疑心理，不敢或不再與受詆毀的經(jīng)營(yíng)者進(jìn)行交易活動(dòng)。若發(fā)布的消息是真實(shí)的，則不構(gòu)成詆毀行為。

(3）詆毀行為是針對(duì)一個(gè)或多個(gè)特定競(jìng)爭(zhēng)對(duì)手的。如果捏造、散布的虛假事實(shí)不能與特定的經(jīng)營(yíng)者相聯(lián)系，商譽(yù)主體的權(quán)利便不會(huì)受到侵害。應(yīng)注意的是，對(duì)比性廣告通常以同行業(yè)所有其他經(jīng)營(yíng)者為競(jìng)爭(zhēng)對(duì)手而進(jìn)行貶低宣傳，此時(shí)應(yīng)認(rèn)定為商業(yè)詆毀行為。

(4）經(jīng)營(yíng)者對(duì)其他競(jìng)爭(zhēng)者進(jìn)行詆毀，其目的是敗壞對(duì)方的商譽(yù)，其主觀心態(tài)出于故意是顯而易見的。

第五篇：信息安全復(fù)習(xí)重點(diǎn)

信息安全概論期末復(fù)習(xí)提綱

１、試從密碼哈希函數(shù)、密鑰交換、數(shù)字簽名和證書等幾方面論述加密技術(shù)在信息安全方面的應(yīng)用。

（1）密碼哈希函數(shù)

主要用于保證數(shù)據(jù)的完整性，該函數(shù)必須依賴于被密封文件或數(shù)據(jù)的所有位，這樣，文件或數(shù)據(jù)的每一位的變化都會(huì)影響到校驗(yàn)和的結(jié)果。

（2）密鑰交換

公鑰加密體制可以在兩個(gè)主體建立加密通道以前，安全地交換相應(yīng)的對(duì)稱會(huì)話密鑰。假設(shè)S和R(發(fā)送者和接受者)想得到一個(gè)共享的對(duì)稱密鑰，假定S和R都已經(jīng)擁有了用于普通加密算法的公鑰，S和R的私鑰、公鑰分別為kPRIV_S、kPUB_S和kPRIV_R、kPUB_R，S任意選出一個(gè)對(duì)稱密鑰K，想把它安全地發(fā)給R，并且讓R確認(rèn)該密鑰是S所發(fā)，則S可以發(fā)送E(kPUB_R ,E(kPRIV_S,K))給R。

（3）數(shù)字簽名

數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過(guò)與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對(duì)照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。

（4）證書

數(shù)字證書是各類實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易的各方都需驗(yàn)證對(duì)方證書的有效性，從而解決相互間的信任問(wèn)題。證書是一個(gè)經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

從證書的用途來(lái)看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。

簡(jiǎn)單的說(shuō)，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。認(rèn)證中心（CA）的數(shù)字簽名可以確保證書信息的真實(shí)性。

２、消息認(rèn)證有哪些方式？試分析其實(shí)現(xiàn)過(guò)程。

３、常見的古典密碼（替換密碼、置換密碼）以及現(xiàn)代密碼的原理與實(shí)現(xiàn)過(guò)程。４、何為緩沖區(qū)溢出漏洞？其可能產(chǎn)生的危害是什么？（回答要點(diǎn)）

緩沖區(qū)是用來(lái)存放數(shù)據(jù)的空間，緩沖區(qū)大小是有限的，一旦存放的數(shù)據(jù)超過(guò)了緩沖區(qū)的容量就會(huì)產(chǎn)生緩沖區(qū)溢出，其主要可能的危害有：

（１）（２）（３）（４）

當(dāng)數(shù)據(jù)溢出到用戶代碼區(qū)域時(shí)，就會(huì)使應(yīng)用程序執(zhí)行錯(cuò)誤代碼而運(yùn)行錯(cuò)誤； 當(dāng)數(shù)據(jù)溢出到用戶的數(shù)據(jù)空間時(shí)，可能覆蓋已存在的變量值，使計(jì)算結(jié)果錯(cuò)誤； 當(dāng)數(shù)據(jù)溢出到系統(tǒng)的代碼區(qū)域時(shí)，會(huì)使系統(tǒng)執(zhí)行錯(cuò)誤指令異常而停機(jī)； 當(dāng)數(shù)據(jù)溢出到系統(tǒng)的數(shù)據(jù)空間時(shí)，也會(huì)導(dǎo)致計(jì)算結(jié)果錯(cuò)誤；

（５）攻擊者可能利用緩沖區(qū)溢出修改系統(tǒng)代碼；

（６）攻擊者可能修改舊堆棧指針或改變返回地址，當(dāng)程序定位到他希望的地方，造成更嚴(yán)重的安全問(wèn)題。

５、舉例說(shuō)明何為“檢查時(shí)刻到使用時(shí)刻(TOCTTOU)”漏洞？簡(jiǎn)述其解決方案。（回答要點(diǎn)）（1）選擇一個(gè)實(shí)例說(shuō)明時(shí)關(guān)鍵要講清楚檢查時(shí)刻與使用時(shí)刻的主體是不同的。（2）可以通過(guò)在檢查后對(duì)主體進(jìn)行數(shù)字簽字的方式來(lái)防止檢查后主體被修改。６、計(jì)算機(jī)病毒的特點(diǎn)以及運(yùn)行機(jī)制。（傳統(tǒng)計(jì)算機(jī)病毒、宏病毒以及蠕蟲病毒）

計(jì)算機(jī)病毒可分初始化駐留、病毒的傳染與傳播、病毒表現(xiàn)、反跟蹤調(diào)試四個(gè)部分來(lái)討論其運(yùn)行機(jī)制。

（１）初始化駐留

計(jì)算機(jī)病毒一般都要加載到系統(tǒng)，駐留于內(nèi)存，并截取相關(guān)的中斷，以便進(jìn)行病毒的傳染與傳播，控制病毒的潛伏與表現(xiàn)，為此很多病毒還會(huì)通過(guò)修改系統(tǒng)系統(tǒng)注冊(cè)表等方法，把自己設(shè)置成能夠自動(dòng)加載的程序，當(dāng)然系統(tǒng)引導(dǎo)性病毒附著于系統(tǒng)引導(dǎo)程序，自然可以保證在系統(tǒng)啟動(dòng)加載。

（２）病毒的傳染與傳播

傳統(tǒng)計(jì)算機(jī)病毒可通過(guò)存儲(chǔ)介質(zhì)間的拷貝和網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播，主要是通過(guò)截取磁盤讀寫等一些常用的中斷，以便在系統(tǒng)進(jìn)行磁盤讀寫或可執(zhí)行文件加載到內(nèi)存時(shí)對(duì)其進(jìn)行傳染，有較強(qiáng)的隱蔽性；而蠕蟲病毒主要是利用系統(tǒng)或應(yīng)用程序的一些漏洞，入侵系統(tǒng)并獲取控制權(quán)來(lái)進(jìn)行蠕蟲病毒在網(wǎng)絡(luò)上的傳播或安裝，當(dāng)然也有通過(guò)Email、偽裝成常用的工具或游戲軟件方法進(jìn)行間接的傳播，蠕蟲病毒也可以利用Java、ActiveX等技術(shù)“潛伏”在網(wǎng)頁(yè)中，用戶瀏覽該網(wǎng)頁(yè)時(shí)就有機(jī)會(huì)進(jìn)行傳播；而宏病毒是利用word等文檔中采用的宏，將病毒代碼插入這些文檔的自動(dòng)宏、標(biāo)準(zhǔn)宏以及常用的一些模板文件中。

（３）病毒表現(xiàn)

很多病毒進(jìn)行系統(tǒng)后并不馬上表現(xiàn)出一些相關(guān)的病毒特征，而是處于潛伏狀態(tài)，靜靜地進(jìn)行病毒的復(fù)制與傳播，只有在滿足一定條件的情況下才會(huì)發(fā)作，表現(xiàn)出相應(yīng)的干擾或破壞。很多病毒都有專門的代碼時(shí)刻檢測(cè)病毒表現(xiàn)的條件是否滿足，通常是把這些代碼插入或替換跟時(shí)鐘有關(guān)的一些中斷服務(wù)程序。

（４）反跟蹤調(diào)試

很多病毒有專門對(duì)付跟蹤調(diào)試的代碼，使得對(duì)病毒的分析難以進(jìn)行，通常是把這部分代碼插入或替換單步中斷、斷點(diǎn)中斷等跟程序調(diào)試有關(guān)的中斷服務(wù)程序。

而蠕蟲病毒主要是利用系統(tǒng)或應(yīng)用程序的一些漏洞，入侵系統(tǒng)并獲取控制權(quán)來(lái)進(jìn)行蠕蟲病毒在網(wǎng)絡(luò)上的傳播或安裝，當(dāng)然也有通過(guò)Email、偽裝成常用的工具或游戲軟件方法進(jìn)行間接的傳播，蠕蟲病毒也可以利用Java、ActiveX等技術(shù)“潛伏”在網(wǎng)頁(yè)中，用戶瀏覽該網(wǎng)頁(yè)時(shí)就有機(jī)會(huì)進(jìn)行病毒傳播。

蠕蟲病毒的主要危害是進(jìn)行病毒復(fù)制傳播時(shí)，大量激增的數(shù)據(jù)通信會(huì)使網(wǎng)絡(luò)阻塞，有些蠕蟲病毒還會(huì)攻擊系統(tǒng)的一些安全漏洞使被入侵的系統(tǒng)無(wú)法正常工作（如反復(fù)啟動(dòng)、死機(jī)等），以上這些實(shí)際上成了一種拒絕服務(wù)攻擊。有些蠕蟲病毒還跟一些黑客手段結(jié)合，如在被入侵的系統(tǒng)中

安裝木馬，以此達(dá)到對(duì)被入侵目標(biāo)的更完全的控制。

宏病毒主要是利用了Office軟件提供的宏功能，是一種寄存在Word文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在 Normal 模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)感染上這種宏病毒，如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。為了確保自己有機(jī)會(huì)運(yùn)行進(jìn)駐系統(tǒng)，宏病毒通常感染標(biāo)準(zhǔn)宏、自動(dòng)宏以及一些通用模板。

７、木馬程序的特點(diǎn)、功能以及運(yùn)行機(jī)制。（從程序結(jié)構(gòu)、植入方式、控制等幾方面闡述）特洛伊木馬程序往往采用的是C/S結(jié)構(gòu)，其Server端程序要先植入被入侵的主機(jī)，攻擊者使用其Client端程序通過(guò)Server程序達(dá)到控制被入侵主機(jī)的目的。

木馬Server端程序采用直接入侵和間接入侵兩種植入方法。直接入侵就是通過(guò)探測(cè)掃描大量主機(jī)以尋找入侵主機(jī)目標(biāo)，入侵有安全漏洞的主機(jī)并獲得控制權(quán)，即可在這些主機(jī)上安裝木馬Server端程序，并可利用已入侵主機(jī)繼續(xù)進(jìn)行掃描和入侵。而間接入侵主要通過(guò)偽裝軟件法、Email法和網(wǎng)頁(yè)法欺騙用戶安裝木馬Server端程序。木馬程序往往通過(guò)修改系統(tǒng)注冊(cè)表等方法，把自己設(shè)置成能夠自動(dòng)加載的程序。

木馬程序一般具有一下功能：

（１）遠(yuǎn)程主機(jī)的Windows資源瀏覽(上下載、遠(yuǎn)程執(zhí)行)。（２）遠(yuǎn)程屏幕顯示以及鍵盤、鼠標(biāo)控制。

（３）Email飛鴿傳書功能。通過(guò)這一功能一旦被入侵者上網(wǎng)，木馬Server端程序就可以及時(shí)通過(guò)Email通知攻擊者，并提供被入侵主機(jī)IP地址的和木馬Server端程序的端口等重要信息。

８、何為間諜程序(Spyware)、Salami攻擊？試分析其運(yùn)行機(jī)制以及主要危害。

Salami是指一種意大利香腸，Salami攻擊類似于香腸制作過(guò)程，是一種積少成多的非法獲取利益的攻擊過(guò)程。比如每次都將交易的零星小數(shù)從總額中扣下，存入自設(shè)的賬戶，日積月累往往可以達(dá)到可觀的數(shù)目，而每次扣掉的金額很小，一般很難被發(fā)現(xiàn)，有較好的隱蔽性。

９、何為隱蔽通道？

１０、試簡(jiǎn)述操作系統(tǒng)對(duì)一般對(duì)象常用的訪問(wèn)控制方法，分析這些方法的特點(diǎn)并比較之。操作系統(tǒng)中，對(duì)一般對(duì)象的訪問(wèn)控制采用訪問(wèn)目錄、訪問(wèn)控制列表和訪問(wèn)控制矩陣三種控制方法。

采用訪問(wèn)目錄的控制方法，每個(gè)用戶都需要一張?jiān)L問(wèn)目錄表，該列表指定了該用戶可以訪問(wèn)的對(duì)象以及訪問(wèn)權(quán)限，該方法易于實(shí)現(xiàn)。但主要有三個(gè)問(wèn)題，首先，如果所有用戶都可訪問(wèn)的共享對(duì)象太多，將造成列表太大；另一個(gè)問(wèn)題是如果要撤消某一個(gè)共享對(duì)象的訪問(wèn)權(quán)限，要更新的列表可能很多，開銷很大。第三個(gè)問(wèn)題跟文件別名有關(guān)。

采用訪問(wèn)控制列表的控制方法，每個(gè)對(duì)象都有一個(gè)列表，列表中包含可以訪問(wèn)該對(duì)象的所有主體，以及主體具有的訪問(wèn)權(quán)限。這一控制方法可以在列表包含默認(rèn)用戶以及相應(yīng)的訪問(wèn)權(quán)限，這樣，特殊用戶可以在列表的前面說(shuō)明其訪問(wèn)權(quán)限，而其他用戶則是默認(rèn)的訪問(wèn)權(quán)限，這一方法可以大大地減小控制列表，使維護(hù)更加方便。

訪問(wèn)控制矩陣是一張表格，每一行代表一個(gè)主體，每一列代表一個(gè)對(duì)象，表中的每個(gè)元素都表示一個(gè)主體對(duì)某一個(gè)對(duì)象的訪問(wèn)權(quán)限?？偟恼f(shuō)來(lái)，訪問(wèn)控制矩陣是一個(gè)稀疏矩陣，因?yàn)樵S多主

體對(duì)大多數(shù)對(duì)象沒(méi)有訪問(wèn)權(quán)。訪問(wèn)控制矩陣可以用一個(gè)形式為<主體，對(duì)象，權(quán)限>的三元組表示。但是查找大量的三元組效率太低，故很少使用。

１１、試簡(jiǎn)述unix系統(tǒng)中Suid訪問(wèn)許可的特點(diǎn)以及應(yīng)用。

在unix系統(tǒng)中，可以通過(guò)對(duì)一個(gè)可執(zhí)行文件設(shè)置Suid位，使其他用戶在運(yùn)行該程序時(shí)獲得文件主的訪問(wèn)權(quán)限，可以對(duì)該文件主的其他文件也有完全的訪問(wèn)權(quán)限，而一旦退出該程序，用戶恢復(fù)其原來(lái)的權(quán)限。

可以利用Suid訪問(wèn)許可的特點(diǎn)做很多有關(guān)系統(tǒng)安全方面的工作，unix系統(tǒng)的口令修改程序就是一個(gè)很好的例子，任何用戶都可以且只能通過(guò)運(yùn)行該程序來(lái)修改自己的口令，而用戶自己則不能直接修改口令文件，保證了系統(tǒng)的安全。

１２、何為salt口令？其作用是什么？采用salt口令時(shí)的用戶鑒別過(guò)程。

salt口令的作用是防止在密文口令系統(tǒng)中通過(guò)查找相同的口令密文來(lái)猜測(cè)口令，具體的做法是在原來(lái)的口令中加上擴(kuò)展信息(即salt)，這樣即使口令相同，由于每個(gè)口令的salt不同，最后口令的密文也不同，避免了從相同的口令密文推測(cè)口令的可能性。salt可以是用戶的ID+口令創(chuàng)建時(shí)間，創(chuàng)建用戶的同時(shí)，在口令表中要登記相應(yīng)的salt，這樣在用戶登錄時(shí)，根據(jù)用戶輸入的用戶名，可以找到口令表中相應(yīng)的表目，再根據(jù)用戶輸入的口令附加上對(duì)應(yīng)的salt，按照相應(yīng)的單向加密算法，求得相應(yīng)的口令密文，跟口令表中的口令密文做比對(duì)，以此來(lái)確定用戶身份的合法性。

１３、試簡(jiǎn)述數(shù)據(jù)庫(kù)的兩階段更新方案。

如果在修改數(shù)據(jù)的途中計(jì)算系統(tǒng)出現(xiàn)故障，則數(shù)據(jù)庫(kù)的完整性有可能被破壞，為了解決此問(wèn)題，數(shù)據(jù)庫(kù)系統(tǒng)通常采用兩階段更新方案。

第一階段稱為意向階段，在這個(gè)階段計(jì)算結(jié)果，并將其保存于一些臨時(shí)變量中，這個(gè)階段不會(huì)對(duì)數(shù)據(jù)庫(kù)做任何修改，所以如果在期間系統(tǒng)出現(xiàn)故障，所有的操作可以等系統(tǒng)恢復(fù)時(shí)重做。

第一階段的最后事件是設(shè)置提交標(biāo)記，意味著系統(tǒng)進(jìn)入第二階段，即永久更新階段，在這個(gè)階段數(shù)據(jù)庫(kù)將前一個(gè)階段保存于臨時(shí)變量的計(jì)算結(jié)果復(fù)制到相應(yīng)的數(shù)據(jù)庫(kù)字段中，如果在這個(gè)階段系統(tǒng)出現(xiàn)故障，則等系統(tǒng)恢復(fù)后只需重復(fù)第二階段的操作即可。提交標(biāo)記為０或１是區(qū)分系統(tǒng)在哪個(gè)更新階段出現(xiàn)故障的依據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)可以根據(jù)不同的情況做不同的處理。

１４、舉例說(shuō)明數(shù)據(jù)庫(kù)統(tǒng)計(jì)推理攻擊的原理以及常用的對(duì)策。

數(shù)據(jù)庫(kù)統(tǒng)計(jì)推理攻擊是一種通過(guò)非敏感數(shù)據(jù)(如一些敏感數(shù)據(jù)的統(tǒng)計(jì)結(jié)果)推斷或推導(dǎo)敏感數(shù)據(jù)的方法。例如可以綜合利用一些敏感數(shù)據(jù)的“和”和“計(jì)數(shù)”的統(tǒng)計(jì)結(jié)果，揭露某個(gè)計(jì)數(shù)為１的分類的個(gè)體敏感數(shù)據(jù)。推理問(wèn)題是數(shù)據(jù)庫(kù)安全中的一個(gè)很微妙的弱點(diǎn)，常用的對(duì)策有查詢控制和數(shù)據(jù)項(xiàng)控制，其中數(shù)據(jù)項(xiàng)控制包括有限響應(yīng)禁止、組合結(jié)果、隨即樣本和隨機(jī)數(shù)據(jù)擾亂幾種方法。

１５、釣魚網(wǎng)站攻擊原理以及預(yù)防方法

釣魚網(wǎng)站的攻擊原理是偽裝，通過(guò)將黑客控制的網(wǎng)站偽裝成另一網(wǎng)站，并發(fā)布在互聯(lián)網(wǎng)上，吸引用戶點(diǎn)擊鏈接并輸入私密信息，然后進(jìn)行網(wǎng)絡(luò)欺詐，嚴(yán)重危害互聯(lián)網(wǎng)用戶的利益，這種誘捕式的攻擊類似釣魚活動(dòng)，故叫釣魚網(wǎng)站攻擊。常用方式有混淆域名和覆蓋受害者主頁(yè)。

預(yù)防方法：

（１）準(zhǔn)確記憶常用網(wǎng)址，輸入時(shí)進(jìn)入小心校對(duì)，以免疏忽大意進(jìn)入此類網(wǎng)站。（２）不要輕易打開陌生人給的網(wǎng)址，或不熟悉網(wǎng)址，謹(jǐn)防受騙。

（３）安裝個(gè)人防火墻進(jìn)行保護(hù)，并及時(shí)升級(jí)病毒庫(kù)和補(bǔ)丁更新。也可以有安裝專門攔截釣魚網(wǎng)站的安全軟件，一旦發(fā)現(xiàn)此類網(wǎng)站便將其過(guò)濾掉。

１６、對(duì)稱和非對(duì)稱加密體制下的中間人（MITM）攻擊的原理以及實(shí)施過(guò)程。

中間人攻擊就是一個(gè)惡意的中間人可以通過(guò)截取加密通信的密鑰，偷聽甚至修改某些通信內(nèi)容。假如用戶A和用戶B要通過(guò)公鑰體制進(jìn)行加密通信，則中間人攻擊的實(shí)施過(guò)程如下：

（1）截取用戶A發(fā)往密鑰服務(wù)器的要求用戶B的公鑰的請(qǐng)求，代之以其對(duì)用戶B的公鑰請(qǐng)求，傳送給服務(wù)器。

（2）當(dāng)服務(wù)器用用戶B的公鑰進(jìn)行響應(yīng)的時(shí)候，他又將它截取下來(lái)，并將他自己的公鑰發(fā)送給用戶A。

（3）用戶A用獲取的公鑰（實(shí)際上是中間人的公鑰）對(duì)數(shù)據(jù)進(jìn)行加密，中間人將截取并解密，讀取甚至修改其中的內(nèi)容，而后重新用用戶B的公鑰進(jìn)行加密后，發(fā)送給用戶B。而以上這些情況用戶A和用戶B都很難有所察覺。

１７、常見的拒絕服務(wù)(DoS)攻擊有哪些？試分析各自的特點(diǎn)以及原理；何為分布式拒絕服務(wù)(DDoS)攻擊？試分析其特點(diǎn)以及運(yùn)行機(jī)制。

DoS是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。

（１）連接洪泛是利用ICMP(Internet Control Message Protocol, 網(wǎng)間控制報(bào)文協(xié)議)的一種網(wǎng)絡(luò)攻擊，而同步洪泛則是利用使用面向會(huì)話的TCP協(xié)議組的缺陷來(lái)實(shí)施攻擊，它們的本質(zhì)都是拒絕服務(wù)攻擊。

（２）以常見的連接洪泛攻擊為例，如響應(yīng)索取、死亡之Ping和Smurf攻擊等，說(shuō)明其原理以及拒絕服務(wù)攻擊的本質(zhì)。

（３）同步洪泛攻擊則要著重說(shuō)明三次連接握手的過(guò)程，要解釋被攻擊利用的面向會(huì)話TCP協(xié)議組的缺陷。

分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者利用系統(tǒng)或應(yīng)用程序的一些漏洞，入侵系統(tǒng)并獲取控制權(quán),將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)通過(guò)與主控程序類似的入侵方法被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

拒絕服務(wù)攻擊是通過(guò)一定方式干擾或淹沒(méi)服務(wù)器或個(gè)人通信系統(tǒng)，使其無(wú)法向用戶提供正常

服務(wù)的攻擊方式。

實(shí)例：

(1)同步洪泛：基于TCP/IP協(xié)議的對(duì)等層次間三次握手，建立對(duì)話的機(jī)制，攻擊者發(fā)送大量SYN請(qǐng)求，而不以ACK進(jìn)行響應(yīng)，以占滿受害者的SYN-RECV連接隊(duì)列，這樣當(dāng)有真正請(qǐng)求發(fā)過(guò)來(lái)時(shí)，其請(qǐng)求將會(huì)被丟失。

(2)流量重定向：路由器工作在網(wǎng)絡(luò)層，負(fù)責(zé)路由尋址，假設(shè)有一個(gè)路由器向附近路由器報(bào)告它到所有目標(biāo)地址都有最佳路徑，那么其他路由器將會(huì)把信息發(fā)到該路由器上，該路由器會(huì)因被淹沒(méi)而丟失信息，或直接將所有信息一丟了之，這樣就造成了拒絕服務(wù)。

DNS攻擊是通過(guò)系統(tǒng)的漏洞控制一個(gè)DNS服務(wù)器，修改其中的地址轉(zhuǎn)換表表目，使相應(yīng)的域名不能轉(zhuǎn)換到正確的IP地址，進(jìn)而不能訪問(wèn)到相應(yīng)的網(wǎng)頁(yè)，這樣就造成了拒絕服務(wù)。

１８、何為通信流推理威脅？簡(jiǎn)述對(duì)付通信流推理威脅的常用方法。

所謂通信流推理攻擊是指通過(guò)分析網(wǎng)絡(luò)通信流量變化和通信的源地址和目標(biāo)地址，來(lái)推理一些敏感的信息。通常采用維護(hù)節(jié)點(diǎn)間流量平衡來(lái)抵御流量分析，還可以洋蔥式路由的通信控制方式來(lái)隱匿源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)的地址，，１９、SSL（Secure Sockets Layer）建立安全通信通道的過(guò)程。SSL加密的實(shí)施過(guò)程如下：（１）客戶請(qǐng)求一個(gè)SSL會(huì)話。

（２）服務(wù)器用它的公鑰證書響應(yīng)，以便客戶可以確認(rèn)服務(wù)器的真實(shí)性（３）客戶返回用服務(wù)器公鑰加密的對(duì)稱會(huì)話密鑰，服務(wù)器用它的私鑰解開。（４）雙方用共享的會(huì)話密鑰進(jìn)行加密通信。２０、簽名代碼的機(jī)制以及實(shí)現(xiàn)過(guò)程

簽名代碼是讓一個(gè)值得信賴的第三方對(duì)代碼進(jìn)行簽名，言外之意，使代碼更值得信賴，通過(guò)數(shù)字簽名來(lái)證實(shí)軟件來(lái)源及發(fā)布者的真實(shí)身份，簽名后代碼將不能被惡意修改，這也保證了代碼完整性，用戶下載到軟件包時(shí)，也可以驗(yàn)證代碼的可信度。

實(shí)現(xiàn)過(guò)程：

（1）可信任的第三方對(duì)代碼計(jì)算哈希值，并用其私鑰進(jìn)行數(shù)字簽名。

（2）用戶下載代碼后，用該第三方的公鑰對(duì)其進(jìn)行解密并得到該代碼原來(lái)的哈希值。

（3）重新求代碼哈希值并與原來(lái)的哈希值對(duì)比，若相同，則說(shuō)明該代碼的真實(shí)性由第三方保證，并且該代碼沒(méi)有被惡意修改過(guò)。

２１、何為鏈路加密和端對(duì)端加密？試分析它們各自的特點(diǎn)以及利弊。

２２、試簡(jiǎn)述口令攻擊的一般方法，并討論一個(gè)安全的口令選擇要注意什么？如何構(gòu)造一個(gè)安全的鑒別系統(tǒng)？

口令攻擊有在線口令攻擊和離線口令兩種。

在線口令攻擊是通過(guò)截取口令，如果口令是加密的，還要采用暴力攻擊、字典攻擊或猜測(cè)用戶可能的口令等方法對(duì)口令進(jìn)行解密。

離線口令攻擊則通過(guò)分析系統(tǒng)中的口令文件來(lái)獲得相關(guān)的口令。如果口令文件是加密的，則可以采用暴力攻擊、字典攻擊或猜測(cè)用戶可能的口令等方法對(duì)相關(guān)的口令進(jìn)行解密；如果口令文

件是明文，則系統(tǒng)一般是通過(guò)設(shè)置訪問(wèn)權(quán)限的方法控制對(duì)口令文件的訪問(wèn)，攻擊者可以通過(guò)利用操作系統(tǒng)缺陷來(lái)獲取對(duì)口令文件的訪問(wèn)權(quán)限、分析口令可能存放的內(nèi)存區(qū)或利用系統(tǒng)備份來(lái)獲取相關(guān)的口令。

可以通過(guò)以下方法來(lái)構(gòu)造一個(gè)安全的鑒別系統(tǒng)：（１）帳戶封鎖。多次登陸錯(cuò)誤，就封鎖相關(guān)的帳戶。

（２）鑒別程序響應(yīng)延時(shí)。發(fā)生一次登陸錯(cuò)誤后，延時(shí)顯示登陸界面。（３）采用一次性口令。（４）采用質(zhì)詢響應(yīng)系統(tǒng)。

（５）采用組合健保證安全鑒別。（６）采用生物特征鑒別方式。

２３、一次性口令（包括口令列表、口令令牌）、質(zhì)詢響應(yīng)系統(tǒng)的實(shí)施方案（原理、用戶鑒別過(guò)程）以及特點(diǎn)比較。

在一次性口令系統(tǒng)中，每個(gè)口令就只使用一次，每次鑒別采用不同的口令。可以采用口令列表或口令令牌的方式來(lái)管理一次性口令?？诹盍斜碇写娣胖捎玫目诹?，每次鑒別使用一個(gè)口令，用戶和主機(jī)使用相同的口令列表，口令列表方式中對(duì)于口令列表的維護(hù)是個(gè)難題；口令令牌方式使用硬件設(shè)備來(lái)產(chǎn)生不可預(yù)測(cè)的口令序列，采用的是同步令牌，這種設(shè)備能定時(shí)地（如每分鐘）產(chǎn)生一個(gè)隨機(jī)數(shù)，用戶讀取設(shè)備顯示的數(shù)據(jù)，將它作為一個(gè)一次性口令輸入，接收端主機(jī)執(zhí)行算法產(chǎn)生適合于當(dāng)前時(shí)刻的口令，如與用戶輸入的口令相符，則用戶可通過(guò)鑒別。采用口令令牌方式要解決設(shè)備間的時(shí)間偏差問(wèn)題，另外兩個(gè)口令之間的一個(gè)時(shí)間間隔內(nèi)，原來(lái)這個(gè)口令是可以重用的，截取者有可能會(huì)利用這一弱點(diǎn)。

質(zhì)詢響應(yīng)中，質(zhì)詢和響應(yīng)設(shè)備看起來(lái)更象一個(gè)簡(jiǎn)單的計(jì)算器，用戶先到設(shè)備上進(jìn)行鑒別（通常使用PIN），遠(yuǎn)程系統(tǒng)就會(huì)發(fā)送一個(gè)稱為“質(zhì)詢”的隨機(jī)數(shù)，用戶將它輸入到設(shè)備中，然后將該設(shè)備的響應(yīng)數(shù)字傳遞給系統(tǒng)。這種方式消除了用戶重用一個(gè)時(shí)間敏感的口令的弱點(diǎn)，而且沒(méi)有PIN，響應(yīng)生成器即使落到其他人手中也是安全的。

２４、以請(qǐng)求訪問(wèn)文件服務(wù)器中的一個(gè)文件F為例，試從用戶身份鑒別、訪問(wèn)請(qǐng)求授權(quán)、訪問(wèn)請(qǐng)求的實(shí)現(xiàn)三方面來(lái)闡述Kerberos系統(tǒng)的運(yùn)行機(jī)制以及特點(diǎn)。

在Kerberos系統(tǒng)中，該過(guò)程分以下三步實(shí)現(xiàn)：（１）啟動(dòng)一個(gè)Kerberos會(huì)話

在用戶登陸時(shí)，用戶工作站將用戶的身份發(fā)送給Kerberos服務(wù)器，在驗(yàn)證該用戶是已授權(quán)的合法用戶后，Kerberos服務(wù)器發(fā)送給用戶工作站一個(gè)會(huì)話密鑰SG和票據(jù)授權(quán)服務(wù)器(G)的一個(gè)票據(jù)TG，其中用于與票據(jù)授權(quán)服務(wù)器的通信，使用用戶的口令進(jìn)行加密：E(SG+TG, pw);同時(shí)給票據(jù)授權(quán)服務(wù)器一個(gè)會(huì)話密鑰SG的拷貝和用戶的身份，用Kerberos服務(wù)器與票據(jù)授權(quán)服務(wù)器之間共享的KS-TGS密鑰加密。

如果用戶可以使用它的口令pw成功解密E(SG+TG, pw)，則該用戶通過(guò)了鑒別，事實(shí)上也認(rèn)證了Kerberos服務(wù)器的真實(shí)性。用戶的口令存放于Kerberos服務(wù)器中，沒(méi)有在網(wǎng)絡(luò)上傳送，保證了系統(tǒng)的基本安全。

（２）獲得訪問(wèn)文件的票據(jù)

用戶U向票據(jù)授權(quán)服務(wù)器發(fā)送一個(gè)用SG加密的訪問(wèn)文件F的請(qǐng)求，票據(jù)授權(quán)服務(wù)器對(duì)U的訪問(wèn)許可進(jìn)行驗(yàn)證后，它會(huì)返回一個(gè)票據(jù)和一個(gè)會(huì)話密鑰SF，其中SF將用于與文件服務(wù)器的通信，返回的票據(jù)包含了U的已鑒別身份、F的說(shuō)明、允許的訪問(wèn)權(quán)限、會(huì)話密鑰SF以及該票據(jù)的有效日期等，票據(jù)使用一個(gè)票據(jù)授權(quán)服務(wù)器與文件服務(wù)器之間共享的TGS-F密鑰加密，用戶以及其他人不能讀取、修改或偽造它，其中的時(shí)間戳也在一定程度上保證了該票據(jù)不能被重用。

已加密的票據(jù)和會(huì)話密鑰SF通過(guò)SG加密后返回給用戶U，用戶解密后即可獲得SF，以上這一個(gè)過(guò)程事實(shí)上也認(rèn)證了票據(jù)授權(quán)服務(wù)器的真實(shí)性。

（３）向文件服務(wù)器請(qǐng)求訪問(wèn)文件F

用戶U向文件服務(wù)器發(fā)送已用TGS-F密鑰加密的服務(wù)票據(jù)，文件服務(wù)器用TGS-F密鑰解密后，分析允許的訪問(wèn)權(quán)限、票據(jù)的時(shí)間戳等后，根據(jù)要求提供服務(wù)，隨后的文件傳送數(shù)據(jù)是用會(huì)話密鑰SF加密的。

文件服務(wù)器能用TGS-F解密相應(yīng)的服務(wù)票據(jù)，也就認(rèn)證了其身份的真實(shí)性。

２５、試從郵件（電子支票）的機(jī)密性、完整性、發(fā)送者身份的鑒別和加密密鑰的交換四個(gè)方面闡述安全郵件系統(tǒng)（電子支票系統(tǒng)）的實(shí)現(xiàn)方案。

安全郵件系統(tǒng)通常結(jié)合了公鑰（非對(duì)稱）加密體制、密鑰（對(duì)稱）加密體制和數(shù)字簽名技術(shù)，來(lái)保證郵件系統(tǒng)的安全性和效率。

郵件系統(tǒng)的機(jī)密性通過(guò)對(duì)郵件的加密來(lái)實(shí)現(xiàn)，考慮加密解密的效率，通常采用密鑰（對(duì)稱）加密體制，發(fā)送者用系統(tǒng)隨機(jī)產(chǎn)生的對(duì)稱密鑰對(duì)郵件進(jìn)行加密后，再用接受者的公鑰對(duì)該對(duì)稱蜜鑰進(jìn)行加密，并將其附在加密后的郵件中，這樣接受者收到加密的郵件后，可以先用其私鑰解密發(fā)送者事先用接受者公鑰加密的對(duì)稱加密密鑰，取得該對(duì)稱密鑰，就能夠解密郵件，取得郵件明文。

在發(fā)送者對(duì)郵件進(jìn)行加密以前，可以先取得該郵件的消息摘要，并用其私鑰對(duì)該消息摘要進(jìn)行數(shù)字簽名，并將數(shù)字簽名后的郵件消息摘要附在加密郵件中，這樣接受者可以用發(fā)送者的公鑰解密加密的消息摘要，并計(jì)算郵件當(dāng)前的消息摘要，如果與原來(lái)保存的一致，就證明郵件沒(méi)有被篡改，同時(shí)也確認(rèn)了發(fā)送者的身份。

試卷組成（１）（２）（３）（４）

單選題 判斷題 簡(jiǎn)答題 綜合題

30分 22分

28分 20分