第一篇：2014網(wǎng)絡安全基礎應用與標準(第4版)(清華大學出版社)期末復習總結

信息安全基礎復習

1、列出并簡述安全機制。P12

2、列出并簡述安全攻擊的分類。P7-8 被動攻擊：本質是竊聽或監(jiān)視數(shù)據(jù)傳輸，獲取傳輸?shù)臄?shù)據(jù)信息；攻擊形式有消息內容泄露攻擊、流量分析攻擊；難以檢測，使用加密來防范。

主動攻擊：本質是數(shù)據(jù)流改寫、錯誤數(shù)據(jù)流添加；方式有假冒、重放、改寫消息、拒絕服務；容易檢測，解決辦法是檢測威懾與攻擊后恢復。

3、簡述凱撒密碼加密算法與破解依據(jù)。

通過把字母移動一定的位數(shù)實現(xiàn)加解密，加密程度低，只需要簡單統(tǒng)計字頻就可破譯。

4、簡述維吉尼亞（vigenere）加密算法與破解方法。

使用詞組作為密鑰，詞組中每個字母都作為移位替換密碼密鑰確定一個替換表，維吉尼亞密碼循環(huán)的使用每一個替換表明文字母到密文字母的變化，最后得到的密文字母序列即為密文；先推理出密鑰長度，再根據(jù)起始位置用破解凱撒密碼的方式破解。

5、什么是乘積密碼？

以某種方式連續(xù)執(zhí)行兩個或多個密碼，使得到的最后結果或乘積從密碼編碼角度而言比其任意一個組成密碼都強。

6、（古典密碼）加密算法的兩種基本操作？ 置換、代換。

7、簡述雪崩效應。對加密算法為什么要求雪崩效應？

少量消息位的變化會引起信息摘要的許多位變化。為加強保密的安全強度，防止消息被破解。

8、列出分組密碼常用的五種加密模式，各自的優(yōu)缺點和用途。畫出CBC（MAC用）模式的示意圖。P40

一、電子密碼本模式（ECB），性質用途：ECB模式下，加密算法的輸入是明文，算法的輸出將直接作為密文進行輸出，不進行任何形式的反饋，每個明文分組的處理是相互獨立的，這種方式也是分組密碼工作的標準模式。適用于對字符加密, 例如, 密鑰加密。缺：在給定密鑰k 下，同一明文組總是產(chǎn)生同一密文組，這會暴露明文組的數(shù)據(jù)格式，重要數(shù)據(jù)可能泄露被攻擊者利用；優(yōu)：用同個密鑰加密的單獨消息，不會錯誤傳播。

二、密碼分組鏈接模式（CBC），性質用途：在密鑰固定不變的情況下，改變每個明文組輸入的鏈接技術。可用于認證系統(tǒng)，能被用來產(chǎn)生一個消息認證碼。缺: 會出現(xiàn)錯誤傳播,密文中任一位發(fā)生變化會涉及后面一些密文組;優(yōu)：(1)能隱蔽明文的數(shù)據(jù)模式，(2)在某種程度上能防止數(shù)據(jù)篡改, 諸如明文組的重放,嵌入和刪除等.三、密碼反饋模式（CFB），性質用途：反饋的密文不再是64bit, 而是s bit，且不直接與明文相加，而是反饋至密鑰產(chǎn)生器中，能將任意分組密碼轉化為流密碼，能實時操作?？捎糜谡J證系統(tǒng)，能被用來產(chǎn)生一個消息認證碼。優(yōu)點:它特別適用于用戶數(shù)據(jù)格式的需要。缺點：一是對信道錯誤較敏感且會造成錯誤傳播，二是數(shù)據(jù)加密的速率較低。

四、計數(shù)器模式（CRT），用途：允許在解密時進行隨機存取。由于加密和解密過程均可以進行并行處理，適合運用于多處理器的硬件上。優(yōu)點：硬件效率高，軟件效率高，有預處理能力，隨機存取能力，安全性強，具備一定的簡單性。

五、輸出反饋模式（OFB），性質用途：實質上就是一個同步流密碼，通過反復加密一個初始向量IV來得到密鑰流。常用于衛(wèi)星通信中的加密。優(yōu)點：克服了CBC 模式和CFB 模式的錯誤傳播帶來的問題，缺點：明文很容易被控制竄改，任何對密文的改變都會直接影響明文。

總結：（1）ECB模式簡單、高速，但最弱，易受重發(fā)和替換攻擊，一般不采用。（2）CBC，CFB，OFB模式的選用取決于實際的特殊需求。（3）明文不易丟信號，對明文的格式?jīng)]有特殊要求的環(huán)境可選用CBC模式。需要完整性認證功能時也可選用該模式。（4）容易丟信號的環(huán)境，或對明文格式有特殊要求的環(huán)境，可選用CFB模式。（5）不易丟信號，但信號特別容易錯，但明文冗余特別多，可選用OFB模式

9、什么是MAC，什么用途，怎樣產(chǎn)生？P51 MAC即為消息認證碼，可以附到消息上，由一種認證技術利用私鑰產(chǎn)生。

10、什么是安全散列函數(shù)？它為什么要抗碰撞？P54 安全散列函數(shù)目的是為文件、消息或其他數(shù)據(jù)塊產(chǎn)生指紋，具備6個安全性質（P54）； 抗碰撞可以防止像生日攻擊（生日攻擊：利用概率性質進行隨機攻擊）這種類型的復雜攻擊。

11、數(shù)字簽名為什么要借助散列函數(shù)？P54 P72 因為數(shù)字簽名不僅認證了消息源，還保證了數(shù)據(jù)的完整性，而散列函數(shù)有單向性，它能給消息產(chǎn)生指數(shù)，安全性高，可防止消息被偽造。

12、簡述RSA算法，實例。P66-68

13、簡述DH算法，實例。P69-70

14、簡述Kerberos協(xié)議執(zhí)行時的通信過程。P86結合P90項目，AS,TGS

15、X.509證書內容。p96-98

16、簡述數(shù)字簽名（DS），數(shù)字簽名標準（DSS），數(shù)字簽名適用的算法，數(shù)字簽名算法（DSA）。P65 P71-72

17、什么是KDC？P72

18、模指數(shù)算法，算法敘述與實例計算。P68

19、求模一個素數(shù)(100內）的本原根。（習題）20、目前流行的公鑰體制，一般靠什么保證安全？P102 公鑰基礎設施（PKI）

21、什么是SSL？其中握手協(xié)議的通信過程？P117 P123-127 安全套接字層（SSL）；四個階段。

22、數(shù)字簽名算法（DSA），靠什么保證安全，有什么優(yōu)點？P71-72 它的安全基礎是求解離散對數(shù)的困難性，它足夠的密鑰長度可以抵抗窮搜索方法、生日攻擊等攻擊方法，安全系數(shù)高。

23、簡述SET協(xié)議的執(zhí)行步驟，說明其中雙聯(lián)簽名的作用。P96 SET即安全電子交易，以X.509為標準，步驟：支付初始化請求和響應階段——支付請求階段——授權請求階段——授權響應階段——支付響應階段；

雙聯(lián)（雙重或者對偶）簽名技術下，持卡人的訂購信息和支付指令是相互對應的，這樣可以保證顧客的隱私不被侵犯。

24、公鑰分配有哪些方法？各自存在什么問題？P81 方法：公鑰公布（方法簡單，但容易偽造）、公開可訪問目錄（安全性較公鑰公布高，但仍易受攻擊）、公鑰授權中心（想與他人通信必須申請，公鑰管理員可能成為系統(tǒng)瓶頸，而且管理員所維護的含有姓名和公鑰的目錄表也容易被篡改）、公鑰證書（所有數(shù)據(jù)經(jīng)CA用自己的私鑰簽字后形成證書，需要較多條件來滿足證書要求）。

25、密鑰分配有哪些方法？P81 四種方法。

26、什么是木馬病毒？P276

27、什么是蠕蟲病毒？P287

28、什么是拒絕服務攻擊(DOS)？P295

29、什么是包過濾路由器？包過濾有哪些缺點？P308 PPT及補充： 30、基于挑戰(zhàn)/應答（Challenge/Response）方式的身份認證系統(tǒng)(用戶登錄驗證，挑戰(zhàn)—應答協(xié)議)： 每次認證時認證服務器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串，客戶端程序收到這個“挑戰(zhàn)”字串后，做出相應的“應答”,以此機制而研制的系統(tǒng).認證過程：

1)客戶向認證服務器發(fā)出請求，要求進行身份認證；

2)認證服務器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理； 3)認證服務器內部產(chǎn)生一個隨機數(shù)，作為“提問”，發(fā)送給客戶；

4)客戶將用戶名字和隨機數(shù)合并，使用單向散列函數(shù)生成一個字節(jié)串作為應答；

5)認證服務器將應答串與自己的計算結果比較，若二者相同，則通過一次認證；否則，認證失??； 6)認證服務器通知客戶認證成功或失敗。

31、緩沖區(qū)溢出概念？

介紹：一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。更為嚴重的是，可以利用它執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作。

原理：通過往程序的緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，造成程序崩潰或使程序轉而執(zhí)行其它指令，以達到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)。防范：

1、關閉端口或服務。管理員應該知道自己的系統(tǒng)上安裝了什么，并且哪些服務正在運行

2、安裝軟件廠商的補丁,漏洞一公布，大的廠商就會及時提供補丁

3、在防火墻上過濾特殊的流量,無法阻止內部人員的溢出攻擊

4、自己檢查關鍵的服務程序，看看是否有可怕的漏洞

5、以所需要的最小權限運行軟件

32、信息安全面臨的威脅？

信息竊取、信息假冒、信息篡改、抵賴、拒絕服務

33、信息安全（計算機安全）的三個方面？P3 機密性、完整性、可用性，還有真實性（認證），責任性（防抵賴）

34、P23 對稱加密=常規(guī)加密=私鑰加密=單鑰加密, 原理。

35、P28 對稱分組加密算法，最常用的是分組密碼，舉三個類型：數(shù)據(jù)加密標準（DES），三重數(shù)據(jù)加密標準（3DES），高級加密標準（AES）。

36、密碼技術

1）古典密碼兩種基本操作：代換、置換 2）現(xiàn)代密碼——。。。3）我們講的也是民用通行的分組

乘積密碼、多輪、安全靠密鑰保密，不靠算法保密、雪崩效應

37、MAC與分組密碼的加密模式關聯(lián)，凡是帶反饋的模式，都可以產(chǎn)生，為什么？ 無解，參考：P42密碼反饋模式(CFB)P51消息認證碼（MAC）

38、數(shù)論基礎。

有限域、GF(28)、用二進制數(shù)表示多項式，GF(23)乘法表，GF(28)乘法表、在分組密碼AES中的應用。

39、初等數(shù)論。

離散對數(shù)問題（橢圓曲線密碼算法(ECC）大數(shù)因數(shù)分解問題

費爾馬小定理：假如a是整數(shù)，p是質數(shù)，且a,p互質(即兩者只有一個公約數(shù)1)，那么a的(p-1)次方除以p的余數(shù)恒等于1。歐拉定理：若n,a為正整數(shù)，且n,a互質，則: 40、一對密鑰，即公鑰、私鑰，闡述各自的用途。

效率低，速度慢，所以對于對稱密碼來說是補充而不是取代。

41、P66-72 公鑰加密算法：RSA和DH（密鑰交換）。RSA：理解，通過兩個不大的素數(shù)、公鑰，來求私鑰。

DH:給一個素數(shù)，一個本原根（元），兩個私鑰，求出共享秘密。

42、P54 散列函數(shù)、安全散列函數(shù)要求

任意長輸入、固定長輸出、散列值容易計算、知道散列值，求不出消息、弱抗碰撞、強抗碰撞

43、簽名和認證。

先計算散列值、在散列值上用私鑰簽名、用公鑰驗證簽名。

44、(見24題）密鑰管理：

有了公鑰系統(tǒng)，解決了會話密鑰的分配問題 公鑰的管理：

公開聲明、在公開發(fā)行的目錄上登記、公鑰授權服務、證書

45、證書的內容（結構）。P97

46、協(xié)議。Kerberos、SSL、SET、（次要：PGP、IPsec）

一、Kerberos：(14題 P82）

參與方、申請服務的通訊過程、客戶-各服務器的共享密鑰及其來源、服務器間的密鑰

闡述：Kerberos：網(wǎng)絡認證協(xié)議，過程是客戶機向認證服務器（AS）發(fā)送請求，要求得到某服務器的證書，然后 AS 的響應包含這些用客戶端密鑰加密的證書。證書的構成為： 1)服務器 “ticket” ； 2)一個臨時加密密鑰（又稱為會話密鑰 “session key”）?？蛻魴C將 ticket（包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝）傳送到服務器上。會話密鑰可以（現(xiàn)已經(jīng)由客戶機和服務器共享）用來認證客戶機或認證服務器，也可用來為通信雙方以后的通訊提供加密服務，或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。

二、SSL：（21題）

包括握手協(xié)議、密碼變更規(guī)格協(xié)議、報警協(xié)議。會話、連接的概念（P118）

執(zhí)行握手協(xié)議要完成的工作、執(zhí)行過程。(P122-127)闡述：握手協(xié)議、密碼變更規(guī)格協(xié)議、報警協(xié)議。

三、SET:（23題 P96）電子交易過程（見23題）對偶簽名及其作用

如何實施：SET協(xié)議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制，采用的核心技術包括X.509電子證書標準，數(shù)字簽名，報文摘要，雙重簽名等技術。如何驗證：SET協(xié)議使用數(shù)字證書對交易各方的合法性進行驗證。通過數(shù)字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

第二篇：網(wǎng)絡安全基礎期末考察標準

網(wǎng)絡安全基礎考察內容

適用班級：應用12301樓宇12302

考查形式：實踐性論文

可選題目：

1、網(wǎng)絡安全規(guī)劃與方案制定，網(wǎng)絡規(guī)模自定，需完整合理的描述自己的網(wǎng)絡安全構建，對于客戶機、服務器、路由器、防火墻、入侵檢測系統(tǒng)、交換設備等安全相關設備有較完備的安排與規(guī)劃。

2、對于網(wǎng)絡安全形式的分析：分析現(xiàn)有網(wǎng)絡的安全風險，并有較為詳細的風險說明以及預防措施方面的見解.3、個人對于防火墻的認識：詳細說明防火墻工作原理及其可能產(chǎn)生的漏洞與風險，加以說明；

標題，關鍵字，概要（摘要），正文

4、入侵模擬實驗：詳細分析一次入侵攻擊過程并制定防范措施； 以上4個方向命題自選，需提交打印或手寫文檔，電子版發(fā)至 ；

只交電子檔的同學無成績。字數(shù)要求：3500字以上。

提交時間，本學期15周以前

第三篇：網(wǎng)絡安全基礎教程應用與標準

網(wǎng)絡安全基礎教程應用與標準（第2版）

作 者 William Stallings 出 版 社 清華大學出版社 書 號 302-07793-2 叢 書 大學計算機教育國外著名教材、教參系列（影印版）責任編輯 出版時間 裝 幀 帶 盤 定 價

2004年1月平裝 否 ￥39.0

開本 字數(shù) 印張 頁數(shù)千字 26.5 409

普通會員 銀牌會員 金牌會員 批量購書 ￥31.2 ￥30.4 ￥29.6

請電話聯(lián)系: 010-51287918

網(wǎng)絡安全基礎教程應用與標準（第2版）內容提要

本書是著名作者William Stallings的力作之一，詳細介紹了網(wǎng)絡安全的基礎知識、應用及標準。全書共分為三部分：（1）密碼算法和協(xié)議，包括網(wǎng)絡應用中的密碼算法和協(xié)議；（2）網(wǎng)絡安全應用，介紹了一些主要的網(wǎng)絡安全工具和應用，如Kerberos、X.509v3證書、PGP、S/MIME、IP安全、SSL/TLS、SET以及SNMPv3等；（3）系統(tǒng)安全，介紹了一些系統(tǒng)級的安全問題，如網(wǎng)絡入侵與病毒的危害以及對策，防火墻和托管系統(tǒng)的應用等。此外，每章后面都提供了一定的練習和復習題，以便于讀者地所學知識的鞏固。第2版新增高級加密標準的討論、對病毒、蠕蟲及非法入侵的論述也進行了擴充。而且，教師和學生還可以通過訪問來獲取補充材料。本書可作為計算機科學、計算機工程、電子工程等相關專業(yè)本科生的網(wǎng)絡安全課程教材，也是網(wǎng)絡安全從業(yè)人員的自學用書。

網(wǎng)絡安全基礎教程應用與標準（第2版）目錄

CHAPTER 1 INTRODUCTION’ 1.1 The OSI Security Architecture 1.2 Security Attacks 1.3 Security Services 1.4 Security mechanisms 1.5 A Model for Network Security 1.6&nbs

查看目錄全文

網(wǎng)絡安全基礎教程應用與標準（第2版）相關叢書

· 80*86 IBM PC 及兼容計算機卷I和卷II：匯編語言，· Digital Image Processing數(shù)字圖像處理

設計與接口技術（第3版）

· Introduction to Automata Theory,Languages,and · Discrete Mathematics 5th ed.離散數(shù)學（第5版）（影

Computation 2nd ed.自動機理論、語言和計算導論（第2印版）

版）· PCI-X系統(tǒng)的體系結構

· UML精粹：標準對象建模語言簡明指南（第3版）· 操作系統(tǒng)：實踐與應用

· 分布式數(shù)據(jù)庫系統(tǒng)原理（第2版）· 計算機科學導論（第7版）· 邏輯設計基礎

· TCP/IP協(xié)議簇（第2版）

· UNIX網(wǎng)絡編程 卷2：進程間通信（第2版）· 操作系統(tǒng)原理（影印版）· 高級Unix程序設計（第2版）· 計算機網(wǎng)絡（第4版）

· 密碼學與網(wǎng)絡安全：原理與實踐（第2版）

· 數(shù)據(jù)結構C++語言描述——應用標準模板庫（STL）第2· 數(shù)據(jù)結構Java語言描述(第2版)版

· 數(shù)據(jù)結構與算法（影印版）· 數(shù)據(jù)挖掘基礎教程

· 現(xiàn)代系統(tǒng)分析與設計（第3版）

· 數(shù)據(jù)結構與算法分析 C++描述（第二版）· 網(wǎng)絡安全基礎教程：應用與標準

《網(wǎng)絡與信息安全工程師》培訓方案

一、【培訓目標】

網(wǎng)絡與信息安全工程師的培訓目的是：培養(yǎng)出能為企業(yè)量身定做合理且經(jīng)濟的信息網(wǎng)絡安全的體系架構；能分析企業(yè)的日常業(yè)務、非日常業(yè)務的性質和數(shù)量，衡量企業(yè)不同類型的業(yè)務所需要的安全系數(shù)和水準；要會選取合適的防火墻、入侵檢測系統(tǒng)、相關的網(wǎng)絡互聯(lián)和交換設備，以及相關的安全系統(tǒng)軟件和應用軟件，提出針對不同問題和業(yè)務的安全解決方案的網(wǎng)絡信息安全專家。

二、【培訓內容】

網(wǎng)絡信息安全的基礎理論及系統(tǒng)應用操作

三、【培訓方法及其它】 學習方式：

1、學習時間為一至三個月，每周一至五晚上。共計60課時。

2、教學安排分理論與上機實操。其中理論課（安排25課時）聘請具有豐富實操經(jīng)驗的教師，重點講解成功案例分析及心得體會，上機應用（安排35課時）。

培訓對象：正在從事網(wǎng)絡信息安全行業(yè)或者有志于進入信息安全行業(yè)的相關人員及在校大學生。

培訓時間：2005年 月 日——2005年 月 日 師資力量：特邀重點大學知名教授和有著豐富教學經(jīng)驗和成功操作案例的著名公司專業(yè)培訓講師授課

培訓方式：每班 人

（精品課程、小班教學，全部教學使用高性能硬件配置品牌機型授課）資格認證：通過網(wǎng)絡與信息安全工程師認證考試，可獲得如下證書：

由國家信息產(chǎn)業(yè)部電子教育中心頒發(fā)的《網(wǎng)絡與信息安全工程師技術資格證書》 ；全國認可。課程教材

《網(wǎng)絡安全設計標準教程》 清華大學出版社

《網(wǎng)絡與信息安全工程師》教學計劃安排表

第1章 網(wǎng)絡安全概述

1.1 網(wǎng)絡信息安全基礎知識 1.1.1 網(wǎng)絡信息安全的內涵

1.1.2 網(wǎng)絡信息安全的關鍵技術

1.1.3 網(wǎng)絡信息安全分類 1.1.4 網(wǎng)絡信息安全問題的根源 1.1.5 網(wǎng)絡信息安全策略 1.2 網(wǎng)絡信息安全體系結構與模型 1.2.1 1so/OSI安全體系結構 1.2.2 網(wǎng)絡信息安全解決方案 1.2.3 網(wǎng)絡信息安全等級與標準 1.3 網(wǎng)絡信息安全管理體系(NISMS)1.3.1 信息安全管理體系的定義 1.3.2 信息安全管理體系的構建 1.4 網(wǎng)絡信息安全評測認證體系 1.4.1 網(wǎng)絡信息安全度量標準 1.4.2 各國測評認證體系與發(fā)展現(xiàn)狀 1.4.3 我國網(wǎng)絡信息安全評測認證體系 1.5 網(wǎng)絡信息安全與法律

1.5.1 網(wǎng)絡信息安全立法的現(xiàn)狀與思考 1.5.2 我國網(wǎng)絡信息安全的相關政策法規(guī) 1.6 本章小結

第2章 密碼技術 2.1 密碼技術概述

2.1.1 密碼技術的起源、發(fā)展與應用 2.1.2 密碼技術基礎 2.1.3 標準化及其組織機構 2.2 對稱密碼技術

2.2.1 對稱密碼技術概述 2.2.2 古典密碼技術 2.2.3 序列密碼技術 2.2.4 數(shù)據(jù)加密標準(DES)2.2.5 國際數(shù)據(jù)加密算法(1DEA)2.2.6 高級加密標準(AES)2.3 非對稱密碼技術

2.3.1 非對稱密碼技術概述 2.3.2 RSA算法

2.3.3 Diffie-Hellman密鑰交換協(xié)議 2.3.4 EIGamal公鑰密碼技術 2.3.5 橢圓曲線密碼算法 2.4 密鑰分配與管理技術 2.4.1 密鑰分配方案 2.4.2 密鑰管理技術 2.4.3 密鑰托管技術

2.4.4 公鑰基礎設施(PKl)技術 2.4.5 授權管理基礎設施(PMl)技術 2.5 數(shù)字簽名

2.5.1 數(shù)字簽名及其原理 2.5.2 數(shù)字證書

2.5.3 數(shù)字簽名標準與算法 2.6 信息隱藏技術

2.6.1 信息隱藏技術原理

2.6.2 數(shù)據(jù)隱寫術(Steganography)2.6.3 數(shù)字水印 2.7 本章小結

第3章 訪問控制與防火墻技術 3.1 訪問控制技術

3.1.1 訪問控制技術概述 3.1.2 訪問控制策略

3.1.3 訪問控制的常用實現(xiàn)方法 3.1.4 WindowsNT/2K安全訪問控制手段 3.2 防火墻技術基礎 3.2.1 防火墻概述 3.2.2 防火墻的類型。3.3 防火墻安全設計策略 3.3.1 防火墻體系結構 3.3.2 網(wǎng)絡服務訪問權限策略 3.3.3 防火墻設計策略及要求 3.3.4 防火墻與加密機制 3.4 防火墻攻擊策略 3.4.1 掃描防火墻策略 3.4.2 通過防火墻認證機制策略 3.4.3 利用防火墻漏洞策略 3.5 第4代防火墻的主要技術

3.5.1 第4代防火墻的主要技術與功能 3.5.2 第4代防火墻技術的實現(xiàn)方法 3.5.3 第4代防火墻抗攻擊能力分析 3.6 防火墻發(fā)展的新方向 3.6.1 透明接人技術 3.6.2 分布式防火墻技術

3.6。3 以防火墻為核心的網(wǎng)絡信息安全體系 3，7 防火墻選擇原則與常見產(chǎn)品 3.7.1 防火墻選擇原則 3.7.2 常見產(chǎn)品 3.8 本章小結

第4章 入侵檢測與安全審計 4.1 入侵檢測系統(tǒng)概述 4.1.1 入侵檢測定義

4.1.2 入侵檢測的發(fā)展及未來 4.1.3 入侵檢測系統(tǒng)的功能及分類 4，1.4 入侵響應 4.1.5 入侵跟蹤技術

4.2 入侵檢測系統(tǒng)(1DS)的分析方法 4.2.1 基于異常的入侵檢測方法 4.2.2 基于誤用的入侵檢測方法 4.3 入侵檢測系統(tǒng)結構

4.3.1 公共入侵檢測框架(CIDF)模型 4.3.2 簡單的分布式入侵檢測系統(tǒng)

4.3.3 基于智能代理技術的分布式入侵檢測系統(tǒng) 4.3.4 自適應入侵檢測系統(tǒng) 4.3.5 智能卡式人侵檢測系統(tǒng)實現(xiàn) 4.3.6 典型入侵檢測系統(tǒng)簡介 4.4 入侵檢測工具簡介 4.4.1 日志審查(Swatch)4.4.2 訪問控制(TCPWrapper)4.4.3 Watcher檢測工具 4.5 現(xiàn)代安全審計技術 4.5.1 安全審計現(xiàn)狀

4.5.2 安全審計標準CC中的網(wǎng)絡信息安全審計功能定義 4.5.3 分布式入侵檢測和安全審計系統(tǒng)S-Au山t簡介 4.6 本章小結

第5章 黑客與病毒防范技術 5.1 黑客及防范技術 5.1.1 黑客原理 5.1.2黑客攻擊過程 5.1.3 黑客防范技術 5.1.4 特洛伊木馬簡介 5.2 病毒簡介

5.2.1 病毒的概念及發(fā)展史 5.2.2 病毒的特征及分類 5.3病毒檢測技術

5.3.1 病毒的傳播途徑 5.3.2病毒檢測方法 5.4病毒防范技術

5.4.1 單機環(huán)境下的病毒防范技術 5.4.2 小型局域網(wǎng)的病毒防范技術 5.4.3 大型網(wǎng)絡的病毒防范技術 5.5 病毒防范產(chǎn)品介紹

5.5.1 病毒防范產(chǎn)品的分類 5.5.2 防殺計算機病毒軟件的特點 5.5.3 對計算機病毒防治產(chǎn)品的要求 5.5.4 常見的計算機病毒防治產(chǎn)品 5.6 本章小結 第6章 操作系統(tǒng)安全技術 6.1 操作系統(tǒng)安全概述

6.1.1 操作系統(tǒng)安全的概念 6.1.2 操作系統(tǒng)安全的評估 6.1.3 操作系統(tǒng)的安全配置 6.2 操作系統(tǒng)的安全設計 6.2.1 操作系統(tǒng)的安全模型

6.2.2 操作系統(tǒng)安全性的設計方法及原則 6.2.3 對操作系統(tǒng)安全'陛認證 6.3 Windows系統(tǒng)安全防護技術

6.3.1 Windows2000操作系統(tǒng)安全性能概述 6.3.2 Windows2000安全配置

6.4 Unix/Linux操作系統(tǒng)安全防護技術 6.4.1 Solaris系統(tǒng)安全管理 6.4.2 Linux安全技術 6.5 常見服務的安全防護技術 6.5.1 WWW服務器的安全防護技術 6.5.2 Xinetd超級防護程序配置 6.5.3 SSH程序 6.6 本章小結

第7章 數(shù)據(jù)庫系統(tǒng)安全技術 7.1 數(shù)據(jù)庫系統(tǒng)安全概述 7.1.1 數(shù)據(jù)庫系統(tǒng)安全簡介

7.1.2 數(shù)據(jù)庫系統(tǒng)的安全策略與安全評估 7.1.3 數(shù)據(jù)庫系統(tǒng)安全模型與控制 7.2 數(shù)據(jù)庫系統(tǒng)的安全技術 7.2.1 口令保護技術 7.2.2數(shù)據(jù)庫加密技術

7.2.3 數(shù)據(jù)庫備份與恢復技術 7.3 數(shù)據(jù)庫的保密程序及其應用 7.3.1 Protect的保密功能 7.3.2 Protect功能的應用 7.4 Oracle數(shù)據(jù)庫的安全 7.4.1 Oracle的訪問控制 7.4.2 Oracle的完整性 7.4.3 Oracle的并發(fā)控制 7.4.4 Oracle的審計追蹤 7.5 本章小結 第8章 數(shù)據(jù)安全技術 8.1 數(shù)據(jù)安全技術簡介 8.1.1 數(shù)據(jù)完整性 8.1.2數(shù)據(jù)備份 8.1.3 數(shù)據(jù)壓縮 8.1.4數(shù)據(jù)容錯技術 8.1.5 數(shù)據(jù)的保密與鑒別 8.2 數(shù)據(jù)通信安全技術

8.2.1 互聯(lián)網(wǎng)模型應用保密和鑒別技術 8.2.2 端對端保密和鑒別通信技術 8.2.3 應用層上加數(shù)據(jù)保密和鑒別模塊技術 8.3 本章小結

第9章Web安全技術 9.1 因特網(wǎng)安全概述

9.1.1 因特網(wǎng)上的安全隱患 9.1.2 因特網(wǎng)的脆弱性及根源 9.2 Web與電子商務安全技術

9.2.1 Web與電子商務的安全分析 9.2.2 Web安全防護技術 9.2.3 安全套接層協(xié)議(SSL)9.2.4 電子商務的安全技術 9.2.5 主頁防修改技術 9.3 1P的安全技術 9.3.1 1P安全概述 9.3.2 1P安全體系結構

9.3.3 Windows2000的IPSec技術 9.4 E-mail安全技術 9.4.1 E-mail安全概述 9.4.2 E-mail的安全隱患 9.4.3 PGP標準 9.4.4 S/MIME標準 9.4.5 PCP軟件的使用實例 9.5 安全掃描技術

9.5.1 安全掃描技術的分類 9.5.2 安全掃描系統(tǒng)的設計 9.5.3 安全掃描工具與產(chǎn)品 9.6 網(wǎng)絡安全管理技術

9.6.1 網(wǎng)絡安全管理的必要性 9.6.2 傳統(tǒng)的網(wǎng)絡管理技術及其發(fā)展 9.6.3 基于ESM理念的安全管理機制 9.6.4 網(wǎng)絡安全管理體系實現(xiàn)的功能

9.6.5 安全管理系統(tǒng)與常見安全技術或產(chǎn)品的關系 9.7 網(wǎng)絡信息過濾技術 9.7.1 信息阻塞

9.7.2 信息定級與自我鑒定 9.7.3 其他的一些客戶端封鎖軟件 9.8身份認證技術

9.8.1 身份認證概述

9.8.2 單機狀態(tài)下的身份認證 9.8.3 網(wǎng)絡環(huán)境下的身份認證 9.8.4 Windows肉T安全認證子系統(tǒng) 9.9 虛擬專用網(wǎng)絡(VPN)技術 9.9.1 VPN概述

9.9.2 VPN的關鍵安全技術 9.9.3 VPN的實現(xiàn)方法 9.9.4 VPN產(chǎn)品與解決方案

網(wǎng)絡安全設計標準教程

?

【圖書簡介】

本書詳細敘述利用Windows Server 2003構建安全網(wǎng)絡的基礎知識。內容主要分為兩部分：第一部分介紹網(wǎng)絡安全和操作系統(tǒng)的基本概念，包括網(wǎng)絡安全概論、網(wǎng)絡攻擊的目的、方法和原理以及操作系統(tǒng)概論和Windows Server 2003的簡要介紹；第二部分詳細介紹有關Windows Server 2003關于網(wǎng)絡安全設計的具體技術。本書內容豐富，敘述簡潔清晰，適用于Windows Server 2003網(wǎng)絡的初級用戶，對欲了解網(wǎng)絡安全基本原理的讀者也有裨益。

? 【本書目錄】 第1章 網(wǎng)絡安全概論 1 1.1 互聯(lián)網(wǎng)發(fā)展現(xiàn)狀分析 1 1.2 建立安全機制的必要性 2 1.2.1 互聯(lián)網(wǎng)的安全劃分 2 1.2.2 中國互聯(lián)網(wǎng)的安全現(xiàn)狀 3 1.3 網(wǎng)絡安全解決方法 4 1.3.1 網(wǎng)絡安全的基本概念 4 1.3.2 防火墻技術 6 1.3.3 加密技術 7 1.4 管理黑客活動 11 1.4.1 黑客活動分類 12 1.4.2 黑客入侵實例分析 13習題 13 第2章 網(wǎng)絡攻擊的目的、方法和原理 14 2.1 什么是網(wǎng)絡攻擊及網(wǎng)絡安全設計的目的 14 2.2 網(wǎng)絡攻擊的基本步驟 14 2.3 常見攻擊手法 16 2.3.1 口令入侵 16 2.3.2 植入特洛伊木馬程序 16 2.3.3 WWW的欺騙技術 17 2.3.4 電子郵件攻擊 17 2.3.5 通過一個節(jié)點攻擊其他節(jié)點 17 2.3.6 網(wǎng)絡監(jiān)聽 17 2.3.7 黑客軟件 18 2.3.8 安全漏洞攻擊 18 2.3.9 端口掃描攻擊 18 2.4 網(wǎng)絡攻擊手法的原理剖析 18 2.4.1 緩沖區(qū)溢出攻擊的原理和防范措施 19 2.4.2 拒絕服務攻擊的原理和防范措施 21 2.5 網(wǎng)絡安全設計的原則 23 2.5.1 原則一：保護最薄弱的環(huán)節(jié) 24 2.5.2 原則二：縱深防御 24 2.5.3 原則三：保護故障 25 2.5.4 原則四：最小特權 25 2.5.5 原則五：分隔 26 2.5.6 原則六：簡單性 26 2.5.7 原則七：提升隱私 26 2.5.8 原則八：不要試圖隱藏所有的秘密 27 2.5.9 原則九：不要輕易擴展信任 27習題 28 第3章 服務器操作系統(tǒng)基礎 29 3.1 操作系統(tǒng)基本原理 29 3.2 常見的操作系統(tǒng)分類及其典型代表 31 3.3 Windows Server 2003的安裝和配置 33 3.3.1 Windows Server 2003概述 33 3.3.2 Windows Server 2003的安裝 34 3.4 Windows Server 2003安全特性概述 35 3.4.1 活動目錄 35 3.4.2 公鑰密碼系統(tǒng) 37 3.4.3 加密文件系統(tǒng) 38 3.4.4 使用Windwos的安全配置工具集 39習題 41 第4章 用戶管理 42 4.1 用戶賬戶和組賬戶的概念和基本類型 42 4.1.1 Windows Server 2003用戶賬戶 42 4.1.2 Windows Server 2003組賬戶 44 4.1.3 計算機賬戶 46 4.2 用戶賬戶的管理 46 4.2.1 創(chuàng)建新用戶賬戶 46 4.2.2 用戶賬戶密碼策略 50 4.2.3 設置用戶賬戶屬性 51 4.2.4 管理用戶賬戶 61 4.2.5 創(chuàng)建和修改計算機賬戶 62 4.3 組對象的管理 62 4.3.1 Windows Server 2003默認組 63 4.3.2 創(chuàng)建組 65 4.3.3 設置組屬性 65 4.3.4 刪除組 68 4.4 計算機組策略 68 4.4.1 組策略概述 68 4.4.2 創(chuàng)建組策略 69 4.4.3 組策略應用建議 73習題 74 第5章 數(shù)據(jù)文件的安全管理 75 5.1 磁盤管理的基本知識 75 5.1.1 磁盤 75 5.1.2 分區(qū) 76 5.1.3 文件系統(tǒng) 76 5.2 基本磁盤管理 76 5.2.1 基本磁盤的安全管理 78 5.2.2 命令行工具 80 5.3 加密文件系統(tǒng) 82 5.3.1 加密文件系統(tǒng)的概念 82 5.3.2 加密文件系統(tǒng)的使用 84 5.3.3 加密文件系統(tǒng)的高級用法 87 5.4 數(shù)據(jù)的備份與恢復 92 5.4.1 數(shù)據(jù)備份 93 5.4.2 數(shù)據(jù)還原 96 5.4.3 使用計劃備份 98習題 100 第6章 身份驗證和證書服務 102 6.1 身份驗證的概念 102 6.2 交互式登錄的原理及過程 103 6.2.1 交互式登錄的原理 103 6.2.2 交互登錄的過程 106 6.3 網(wǎng)絡身份驗證 108 6.4 Kerberos 109 6.4.1 Kerberos的一般原理 109 6.4.2 Windows Server 2003中的Kerberos 110 6.4.3 配置Kerberos 111 6.5 微軟公鑰基礎設施 113 6.6 數(shù)字證書 114 6.6.1 證書的機構和用途 114 6.6.2 證書的管理 117 6.6.3 導出和導入證書 119 6.7 證書模板 122 6.8 配置證書模板 125 6.9 信任模型概述 128習題 132 第7章 文件共享與打印服務 133 7.1 訪問控制概述 133 7.1.1 訪問控制基本概念 133 7.1.2 設置訪問控制 136 7.1.3 訪問控制管理 142 7.2 文件共享 143 7.2.1 文件共享資源類型 143 7.2.2 共享文件夾管理工具 144 7.2.3 創(chuàng)建及刪除共享文件夾 147 7.2.4 文件共享的安全性 151 7.2.5 文件共享的建議 151 7.3 管理打印服務 152 7.3.1 打印服務概述 152 7.3.2 安裝打印機 157 7.3.3 設置打印機屬性 158 7.3.4 配置打印服務器 162習題 167 第8章 Internet信息服務 168 8.1 Internet信息服務概述 168 8.1.1 IIS 6.0內核體系 168 8.1.2 IIS 6.0內核 171 8.1.3 IIS 6.0安全特性 173 8.1.4 IIS 6.0中默認的安全性設置 175 8.1.5 IIS 6.0的管理特性 176 8.2 安裝Internet信息服務器 178 8.2.1 利用“管理您的服務器”安裝IIS 6.0服務器 178 8.2.2 利用“添加/刪除Windows組件”安裝IIS 6.0服務器 180 8.3 設置應用程序池 182 8.3.1 創(chuàng)建應用程序池 182 8.3.2 設置應用程序池 183 8.4 設置與管理Web站點 188 8.4.1 設置Web站點屬性 188 8.4.2 Web站點安全性配置 194 8.5 設置與管理FTP服務 196 8.5.1 創(chuàng)建FTP站點 196 8.5.2 設置FTP站點屬性 199 8.6 IIS配置數(shù)據(jù)庫管理 202 8.6.1 IIS配置數(shù)據(jù)庫概述 202 8.6.2 備份和還原配置數(shù)據(jù)庫 204 8.6.3 配置數(shù)據(jù)庫的安全性 206習題 207 第9章 網(wǎng)絡監(jiān)視與調整 208 9.1 網(wǎng)絡監(jiān)視工具概述 208 9.2 系統(tǒng)監(jiān)視器 209 9.2.1 添加計數(shù)器 210 9.2.2 選擇要監(jiān)視的數(shù)據(jù) 211 9.2.3 系統(tǒng)監(jiān)視器的配置技巧 212 9.2.4 通過命令行來使用系統(tǒng)監(jiān)視器 213 9.3 網(wǎng)絡監(jiān)視器 214 9.3.1 網(wǎng)絡監(jiān)視器的工作原理 214 9.3.2 使用網(wǎng)絡監(jiān)視器 214 9.3.3 通過命令行管理網(wǎng)絡監(jiān)視器 222 9.4 事件查看器 223 9.4.1 事件的結構和類型 223 9.4.2 使用事件查看器 225 9.4.3 通過命令行管理事件日志 228 9.5 性能日志和警報 231 9.5.1 性能對象和計數(shù)器 232 9.5.2 性能數(shù)據(jù)的分析和解決 233 9.5.3 通過命令行監(jiān)視性能 236 9.6 任務管理器 244習題 246 第10章 安全審核 247 10.1 安全審核概述 247 10.2 Windows Server 2003的審核功能 248 10.3 查看和備份日志 250 10.4 配置高級審核策略 252 10.5 配置對象審核策略 261習題 264 第11章 終端服務 265 11.1 終端服務概述 265 11.2 安裝終端服務器 267 11.2.1 安裝前的準備工作 267 11.2.2 安裝終端服務器的步驟 268 11.3 配置終端服務器 269 11.4 遠程桌面 274 11.4.1 服務器端設置 275 11.4.2 客戶端遠程訪問 275習題 276 第12章 網(wǎng)絡傳輸安全 277 12.1 IPSec 277 12.1.1 網(wǎng)絡IP存在的安全問題 277 12.1.2 IPSec原理和能夠解決的問題 279 12.1.3 部署IPSec前應該考慮的問題 280 12.1.4 部署IPSec 282 12.2 DHCP安全問題 283 12.2.1 DHCP的目的和優(yōu)勢 283 12.2.2 配置DHCP客戶端 284 12.2.3 管理DHCP客戶端備用配置 285 12.2.4 DHCP工作過程 286 12.2.5 配置DHCP服務器 286 12.3 動態(tài)DNS的安全問題 288 12.3.1 DNS容易遭遇的安全威脅 288 12.3.2 Windows Server 2003 DNS的安全級別 289 12.3.3 Windows Server 2003針對DNS提供的工具 290 12.3.4 配置DNS客戶端 292 12.3.5 配置DNS服務器端 292習題 295

第四篇：會計基礎期末復習總結資料

單選

1.會計具有核算與監(jiān)督兩項基本職能。

2.該賬戶的借方登記購入材料的買家和采購費用。（采購費用包含運雜費）

3.外來原始憑證是指在同外單位發(fā)生經(jīng)濟業(yè)務往來時，由業(yè)務經(jīng)辦人在業(yè)務發(fā)生或者完成時從外單位取得的憑證。列如供應單位發(fā)貨票、銀行收款通知等。

4.自制原始憑證是指單位自行制定并由本單位有關部門或人員在發(fā)生經(jīng)濟業(yè)務時填制的原始憑證。列如收料單、領料單、工資結算單、成本計算單等。

5.序時賬薄稱為日記賬，分為普通序時賬薄和特種序時賬薄。

6.分類賬薄分為總分類賬薄和明細分類賬薄。

多選

1.會計科目的設置原則具有系統(tǒng)性、適應性、統(tǒng)一性、簡明性。

2.資產(chǎn)類有庫存現(xiàn)金、銀行存款、應收賬款、預付賬款、其他賬款、壞賬準備、材料采購。

3.成本類有生產(chǎn)成本、制造費用。

4.賬戶的結構是賬戶名稱、日期、金額、余額。

5.原始憑證的審核包括合法性審核、完整性審核、正確性審核。

6.賬薄按其用途分類為序時賬薄、分類賬薄、備查賬薄。

7.財產(chǎn)清查中的計價方法是先進先出法、加權平均法、移動加權平均法、個別計價法。

8.流動資產(chǎn)有貨幣資金、應收票據(jù)、應收賬款、預付賬款、其他應收款、存貨。判斷

1.資產(chǎn)是未來能為企業(yè)帶來經(jīng)濟資源的資源。

2.試算平衡只能保證金額相等不能完全保證核算正確。

3.記賬憑證俗稱傳票是由會計人員根據(jù)審核后的原始憑證加以歸類整理而填制的是用來

確定會計分錄。

4.原始憑證付款單位錯了可以更改，金額錯了必須重開。

5.科目匯總表賬務處理程序，又稱記賬憑證匯總表賬務處理程序。它是一直根據(jù)記賬憑證

定期編制科目匯總表，并據(jù)以登記總分類賬的會計核算組織程序。

6.財產(chǎn)清查結果不相符才清查，相符不需要清查。

簡答

1.會計核算的基本前提主要包括：會計主體、持續(xù)經(jīng)營、會計分期和貨幣計量四項。

2.會計信息質量要求客觀性、相關性、明晰性、可比性、實質重于形式、重要性、穩(wěn)健性、及時性。

3.會計要素是根據(jù)交易或者事項的經(jīng)濟特征所確定的財務會計對象的基本分類，各項會計

要素之間存在著一定的數(shù)量關系。會計要素按照其性質分為資產(chǎn)、負債、所有者權益、收入、費用和利潤。

4.審核的內容包括:記賬憑證所附原始憑證是否完整；記賬憑證記載的內容與原始憑證內容

是否一致；會計分錄是否正確；記賬憑證中各項內容是否填寫正確和完整；經(jīng)辦人員是否簽名蓋章；數(shù)字書寫是否規(guī)范。

5.所謂未達賬項，是指由于收、付款的結算憑證在傳遞、接收時間上不一致而導致的一方

已經(jīng)入賬，另一方?jīng)]有接到憑證尚未入賬的收付款項。對于發(fā)現(xiàn)的未達賬項，應編制“銀行存款余額調節(jié)表”進行調整。未達賬項一般具體有以下四種情況：(1)存款單位已經(jīng)收款入賬，銀行尚未收款入賬；（2）存款單位已經(jīng)付款入賬，銀行尚未付款入賬；（3）銀行已經(jīng)收款入賬，存款單位尚未收款入賬；（4）銀行已經(jīng)付款入賬，存款單位尚未付款入賬。

6.實物的清查方法：實地盤點法，技術推算盤點法，抽樣盤點法。

第五篇：信息安全與網(wǎng)絡安全復習總結

一、概述

1、計算機安全與網(wǎng)絡安全的區(qū)別 P1

計算機安全：負責信息存儲和處理過程的安全事務，主要防止病毒和非法訪問。

網(wǎng)絡安全：負責信息傳輸過程的安全事務，主要防止用戶非法接入、竊取或篡改傳輸過程中的信息。

計算機安全與網(wǎng)絡安全都是信息安全的組成部分。

2、病毒是一種且有自復制能力并會對系統(tǒng)造成巨大破壞的惡意代碼。P23、網(wǎng)絡安全體系結構由兩部分組成：網(wǎng)絡安全基礎---加密、報文摘要算法、數(shù)字簽名技術

及認證和各種安全協(xié)議；作用于網(wǎng)絡每層的安全技術。P134、計算機網(wǎng)絡安全的目標：保證網(wǎng)絡用戶不受攻擊；機密信息不被竊?。凰芯W(wǎng)絡服務能

夠正常進行。P15

二、黑客攻擊機制P191、竊取與截獲的區(qū)別

? 竊取是非法獲得信息副本，但不影響信息正常傳輸；

? 截獲是不僅非法獲得信息，且終止或改變信息傳輸過程；

2、DOS攻擊和Smurf攻擊的區(qū)別：P21

拒絕服務攻擊（DOS），就是用某種方法耗盡網(wǎng)絡設備或服務器資源，使其不能正常提供服務的一種攻擊手段。

SYN泛洪攻擊—消耗服務器資源

Smurf攻擊—耗盡網(wǎng)絡帶寬，使被攻擊終端不能和其他終端正常通信的攻擊手段。

3、黑客攻擊過程P27

? 收集信息；收集攻擊目標主機系統(tǒng)或網(wǎng)絡的相關信息

?網(wǎng)絡接入：撥號、無線局域網(wǎng)、以太網(wǎng)

? 主機系統(tǒng)信息：操作系統(tǒng)類型、版本、服務類型、軟件

? 網(wǎng)絡拓撲結構： 傳輸路徑、設備類型、網(wǎng)絡類型

?偵察---攻擊目標的缺陷、攻擊方法；

? 域名、IP地址

? 防火墻的漏洞

? 軟件的缺陷

? 允許建立TCP連接的端口號

? 能否放置木馬

?攻擊---攻擊目的和方法

? 癱瘓目標系統(tǒng)---拒絕服務攻擊

? 控制目標---利用漏洞上載惡意代碼（放置木馬）

5、緩沖區(qū)溢出原理：通過往沒有邊界檢測的緩沖區(qū)寫超出其長度的內容，造成該函數(shù)緩沖區(qū)的溢出，溢出的數(shù)據(jù)覆蓋了用于保留另一函數(shù)的返回地址的存儲單元，使程序轉而執(zhí)行其它指令，以達到攻擊的目的。P326、信息安全由網(wǎng)絡安全、操作系統(tǒng)安全和應用程序安全三部分組成，其中操作系統(tǒng)安全和

應用程序安全統(tǒng)稱為計算機安全。P33

第三章 網(wǎng)絡安全基礎

1、對稱加密與公鑰加密區(qū)別

對稱加密：加密和解客的密鑰相同（單鑰）

公鑰加密：加密和解客的密鑰不相同（雙鑰）

2、公鑰加密和數(shù)字簽名的區(qū)別

3、報文摘要與消息認證的區(qū)別

4、密文安全性完全基于密鑰的安全性

5、對稱加密包括：流密碼和分組密碼體制

6、Feistel分組密碼結構及其在DES中的應用

Feistel結構是一種分組密碼體制下的加密運算過程。它的輸入是由明文分割后產(chǎn)生的固定為2W分的數(shù)據(jù)組和密鑰K，每組數(shù)據(jù)分為左、右兩部分；經(jīng)過n次的迭代運算后，輸出2W位的密文。其中每次迭代的密鑰由原始密鑰K經(jīng)過子密鑰生成運算產(chǎn)生子密鑰集｛k1,k2,…,kn｝，且上一次迭代運算的結果作為下一次運算的輸入。

數(shù)據(jù)加密標準（DES）采用feistel分組密碼結構。大致可分為：初始置換，迭代過程，逆置換和，子密鑰生成7、DES中的S盒計算：將48比特壓縮成32比特

輸入6比特:b1b2b3b4b5b6

輸出4比特：S(b1b6 ,b2b3b4b5)

8、DES中CBC模式的優(yōu)良特性

由于加密分組鏈接模式中每一組數(shù)據(jù)組和前一組數(shù)據(jù)組對應的密文異或運算后作為加密運算模塊的輸入，因此即使密鑰相同的兩組相同數(shù)據(jù)組加密運算后產(chǎn)生的密文也不會相同，增加了加密算法的安全性。

9、RSA公鑰加密體制

? 公開密鑰: PK={e, n}

? 秘密密鑰: SK={d, n}

? 加密過程：把待加密的內容分成k比特的分組，k≤ log2n，并寫成數(shù)字，設為M，則：C=Memodn

? 解密過程：M = Cdmodn

密鑰產(chǎn)生:

1.取兩個大素數(shù) p, q , p?q, 保密;

2.計算n=pq，公開n;

3.計算歐拉函數(shù)ф(n)=(p-1)(q-1)；

4.選擇整數(shù)e,使得 e與ф(n)互素;0

5.計算求滿足ed=1 mod?(n)的d.將d 保密，丟棄p, q10、Diffie-Heilman密鑰交換算法

? 系統(tǒng)參數(shù)產(chǎn)生

1.）取大素數(shù) p，2.）計算對應的本原元?，公開(p, ?);

? 用戶A取整數(shù)XA，計算YA=axa mod p

公告YA給用戶B;

? 用戶A取整數(shù)XB，計算YB=a xb mod p

公告YB給用戶A;

? KA=YBxa mod p,KB=YAxb mod p,KA=KB11、認證中心的作用及證書的表示

認證中心的作用是證明公鑰和用戶的綁定關系

證書的表示：1）用明文方式規(guī)定的用于確認公鑰PKB和用戶B之間綁定關系的證明

2）用認證中心的私鑰SKCA對上述明文的提出報文摘要進行解密運算后生成的密文Dskca(MD(P)).證書的主要內容包括：版本、證書序號、簽名算法標識符、簽發(fā)者名稱、起始時間、終止時間、用戶名稱、用戶公鑰信息、簽發(fā)者唯一標識符、用戶唯一標識符、擴展信息、Dskca(MD(P)).12、Kerberos認證系統(tǒng)的組成? 認證服務器---------------身份認證，? 通行證簽發(fā)服務器------獲取服務通行證，確認客戶是否授權訪問某個應用服務器 ? 應用服務器---------------訪問服務器

13、安全協(xié)議層

TLS（運輸層安全協(xié)議）運輸層

IPSec網(wǎng)絡層

802.1x（基于端口的接入控制協(xié)議）數(shù)據(jù)鏈路層(?)

14、EAP（擴展認證協(xié)議）的特點P65 與應用環(huán)境無關的、用于傳輸認證協(xié)議消息的載體協(xié)議，所有應用環(huán)境和認證協(xié)議都和這種載體協(xié)議綁定

15、IPSec體系結構P75

IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，包括認證首部協(xié)議 Authentication Header（AH）、封裝安全凈荷協(xié)議Encapsulating Security Payload（ESP）、安全關聯(lián)和密鑰管理協(xié)議Internet Security Association and Key Management Portocol(ISAKMP）和用于網(wǎng)絡認證及加密的一些算法

1)安全關聯(lián)：用于確定發(fā)送者至接收者傳輸方向的數(shù)據(jù)所使用的加密算法和加密密鑰、MAC算法和MAC密鑰和安全協(xié)議等。安全關聯(lián)用安全參數(shù)索引SPI、目的IP地址和安全協(xié)議標識符唯一標識；

2)AH：認證首部的作用是認證發(fā)送者，數(shù)據(jù)完整性檢測；

認證首部AH包含安全參數(shù)索引SPI，序號、認證數(shù)據(jù)等。

運輸模式：在IP分組首部和凈荷之間插入AH，封裝成AH報文

隧道模式：在外層IP首部和凈荷之間插入AH，封裝成AH報文

3)ESP；ESP的作用是實現(xiàn)保密傳輸、發(fā)送者認證和數(shù)據(jù)完整性檢測

ESP首部包含安全參數(shù)和序號

ESP尾部包含填充數(shù)據(jù)、8位填充長度字段和8位下一個首部

運輸模式：在IP分組首部和凈荷之間插入ESP首部，在凈荷后面插入ESP尾部 隧道模式：在外層IP首部和凈荷之間插入ESP首部，在凈荷后面插入ESP尾部

4)ISAKMP；ISAKMP的作用：一是認證雙方身份，當然，每一方在認證對方身份前，應

該具有授權建立安全關聯(lián)的客戶名錄。二是建立安全關聯(lián)，建立安全關聯(lián)的過程是通過協(xié)商確定安全協(xié)議、加密密鑰、MAC密鑰和SPI的過程；

16、TLS協(xié)議的體系結構P60

握手協(xié)議參數(shù)切換協(xié)議報警協(xié)議TLS記錄協(xié)議

TCP

IP

第四章 安全網(wǎng)絡技術

1、IPSec協(xié)議為什么不適用端點之間的身份認證？P92

路由協(xié)議是基于IP的高層協(xié)議，在它建立終端之間的傳輸路徑前，終端之間并不能實現(xiàn)端到端傳輸，所以IPSec協(xié)議并不適合用于實現(xiàn)傳輸路由消息的兩個端點之間的身份認證和路由消息的完整性檢測，需要開發(fā)專用技術用于解決路由消息的正確傳輸問題。

2、信息流的管制在SYN攻擊中的應用

信息流管制的方法是限制特定信息流的流量，特定信息流是指定源和目的終端之間和某個應用相關的IP分組序列，這樣的IP分組通過源和目的終端地址、源和目的端口號、協(xié)議字段值等參數(shù)唯一標識。

SYN泛洪攻擊是指黑客終端偽造多個IP，向Web服務器建立TCP連接請求，服務器為請求分配資源并發(fā)送確認響應，但是這些確認響應都不能到達真正的網(wǎng)絡終端。因此只要在邊緣服務器中對接入網(wǎng)絡的信息流量進行管制，就能有效地抑制SYN攻擊。

3、NATP106

NAT（Network Address Translation），網(wǎng)絡地址轉換，在邊緣路由器中實現(xiàn)的本地IP地址和全球IP地址之間的轉換功能。

第五章 無線局域網(wǎng)安全技術

1、解決無線局域網(wǎng)安全問題的方法？P116

認證：解決接入控制問題，保證只有授權終端才能和AP通信，并通過AP接入內部網(wǎng)絡； 加密：解決終端和AP之間傳輸?shù)臄?shù)據(jù)的保密性問題

2、WEP安全缺陷 ……P121-125

共享密鑰認證機制的安全缺陷

一次性密鑰字典；

完整性檢測缺陷；

靜態(tài)密鑰管理缺陷3、802.11i的兩種加密機制P125

臨時密鑰完整性協(xié)議（Temporal Key Integrity Protocol,TKIP）

計數(shù)器模式密碼塊鏈消息完整碼協(xié)議(CTR with CBC-MAC Protocol,CCMP)

4、802.1x認證機制P131-136

雙向CHAP認證機制……

EAP-TLS認證機制……

動態(tài)密鑰分配機制……

第六章 虛擬專用網(wǎng)絡

1、專用網(wǎng)絡與虛擬專用網(wǎng)絡的區(qū)別： P141-142

專用網(wǎng)絡----費用昂貴、協(xié)商過程復雜、利用率低；

網(wǎng)絡基礎設施和信息資源屬于單個組織并由該組織對網(wǎng)絡實施管理的網(wǎng)絡結構；子網(wǎng)互聯(lián)通過（獨占點對點的專用鏈路）公共傳輸網(wǎng)絡實現(xiàn)。

虛擬專用網(wǎng)絡----便宜，接入方便，子網(wǎng)間傳輸路徑利用率較高

通過公共的分組交換網(wǎng)絡（如Internet）實現(xiàn)子網(wǎng)之間的互聯(lián)，并具有專用點對點鏈路的帶

寬和傳輸安全保證的組網(wǎng)技術。

2、基于IP的VPN結構P143

在IP網(wǎng)絡的基礎上構建的性能等同于點對點專用鏈路的隧道，并用隧道實現(xiàn)VPN各子網(wǎng)間的互聯(lián)。根據(jù)隧道傳輸?shù)臄?shù)據(jù)類型可分為IP隧道和第2層隧道，IP隧道傳輸IP分組，第2層隧道傳輸鏈路層幀。

3、VPN的安全機制：IPSecP147-148

IP分組和鏈路層幀在經(jīng)過隧道傳輸之前，在隧道兩端建立雙向的安全關聯(lián)，并對經(jīng)過隧道輿的數(shù)據(jù)進行加密、認證和完整性檢測，即IPSec

加密：保證數(shù)據(jù)經(jīng)過IP網(wǎng)絡傳輸時不被竊取

認證：保證數(shù)據(jù)在隧道兩端之間的傳輸

完整性檢測：檢測數(shù)據(jù)在傳輸中是否被篡改

4、VPN需實現(xiàn)的功能P149

1）實現(xiàn)子網(wǎng)之間使用本地IP地址的ip分組的相互交換；

2）實現(xiàn)隧道的封閉性、安全性，使外部用戶無法竊取和篡改經(jīng)過隧道傳輸?shù)臄?shù)據(jù)

第七章 防火墻

1、防火墻的功能P173

防火墻是一種對不同網(wǎng)絡之間信息傳輸過程實施監(jiān)測和控制的設備，尤其適用于內部網(wǎng)絡和外部網(wǎng)絡之間的連接處。

? 服務控制：不同網(wǎng)絡間只允許傳輸與特定服務相關的信息流。

?? 用戶控制：不同網(wǎng)絡間只允許傳輸與授權用戶合法訪問網(wǎng)絡資源相關的信息流。?2網(wǎng)絡防火墻的位置：內網(wǎng)和外網(wǎng)和連接點

3、單穴與雙穴堡壘主體結構和性質區(qū)別P190-191

單穴堡壘主機只有一個接口連接內部網(wǎng)絡；

堡壘主機的安全性基于外部網(wǎng)絡終端必須通過堡壘主機實現(xiàn)對內部網(wǎng)絡資源的訪問； 單穴堡壘主機把外部網(wǎng)絡終端通過堡壘主機實現(xiàn)對內部網(wǎng)絡資源的訪問的保證完全基于無狀態(tài)分組過濾器的傳輸控制功能。

雙穴指堡壘主機用一個接口連接內部網(wǎng)絡，用另一個接口連接無狀態(tài)分組過濾器，并通過無狀態(tài)分組過濾器連接外部網(wǎng)絡；這種結構保證外部網(wǎng)絡終端必須通過堡壘主機才能實現(xiàn)對內部網(wǎng)絡資源的訪問；

4、統(tǒng)一訪問控制的需求及實現(xiàn)（？）P193-195

需求：

（1）移動性---終端用戶不再固定到某一個子網(wǎng)；

（2）動態(tài)性---終端用戶的訪問權限是動態(tài)變化的；

（3）訪問權限的設置是基于用戶的統(tǒng)一訪問控制：在網(wǎng)絡中設置統(tǒng)一的安全控制器，實施動態(tài)訪問控制策略的網(wǎng)絡資源訪問控制系統(tǒng)。由UAC代理、安全控制器和策略執(zhí)行部件組成。

第八章 入侵防御系統(tǒng)

1、入侵防御系統(tǒng)的分類P205-206 入侵防御系統(tǒng)分為主機入侵防御系統(tǒng)和網(wǎng)絡入侵防御系統(tǒng)

主機入侵防御系統(tǒng)檢測進入主機的信息流、監(jiān)測對主機資源的訪問過程，以此發(fā)現(xiàn)攻擊行為、管制流出主機的信息流，保護主機資源；

網(wǎng)絡入侵防御系統(tǒng)通過檢測流經(jīng)關鍵網(wǎng)段的信息流，發(fā)現(xiàn)攻擊行為，實施反制過程，以此保

護重要網(wǎng)絡資源；

2、主機入侵防御系統(tǒng)的工作原理及目的P223-224

工作原理：首先截獲所有對主機資源的操作請求和網(wǎng)絡信息流，然后根據(jù)操作對象、系統(tǒng)狀態(tài)、發(fā)出操作請求的應用進程和配置的訪問控制策略確定是否允許該操作進行，必要時可能需要由用戶確定該操作是否進行。

目的：防止黑客對主機資源的非法訪問

4、網(wǎng)絡入侵防御系統(tǒng)的工作過程

1)

2)

3)

4)報警；

5)

第九章 網(wǎng)絡管理和監(jiān)測

1、網(wǎng)絡管理的功能P231

故障管理

計費管理

配置管理

性能管理

安全管理

2、網(wǎng)絡管理系統(tǒng)結構P232

由網(wǎng)絡管理工作站、管理代理、管理信息庫（MIB）、被管理對象(網(wǎng)絡管理的基本單位)和網(wǎng)絡管理協(xié)議(SNMP)組成。

3、SNMP

SNMP的功能是在管理工作站和管理代理之間傳輸命令和響應

4、網(wǎng)絡性能瓶頸P244

1)監(jiān)測過載結點

2)分析流量組成3)限制終端流量

第十章 安全網(wǎng)絡設計實例

1、網(wǎng)絡安全主要的構件 P247-248

? 接入控制和認證構件

? 分組過濾和速率限制構件

? 防火墻

? 入侵防御系統(tǒng)

? VPN接入構件

? 認證、管理和控制服務器

2、安全網(wǎng)絡設計步驟P248-249

1)確定需要保護的網(wǎng)絡資源---只對網(wǎng)絡中重要且容易遭受攻擊的網(wǎng)絡資源實施保護；

2)分析可能遭受的攻擊類型；

3)風險評估----使設計過程變得有的放矢；

4)設計網(wǎng)絡安全策略；

5)實現(xiàn)網(wǎng)絡安全策略；

6)分析和改進網(wǎng)絡安全策略。

第十一章 應用層安全協(xié)議

1、徹底解決Web安全需要什么？---構建網(wǎng)絡安全體系P2592、網(wǎng)絡體系結構中安全協(xié)議P259-260

網(wǎng)絡層---IPSec：在網(wǎng)絡層上實現(xiàn)端到端的相互認證和保密傳輸

運輸層---TLS：在運輸層上實現(xiàn)端到端的相互認證和保密傳輸

應用層---SET：安全電子交易協(xié)議，實現(xiàn)網(wǎng)絡安全電子交易

3、SET的組成：

(a)持卡人；

(b)商家；

(c)支付網(wǎng)關；

(d)認證中心鏈；

(e)發(fā)卡機構；

(f)商家結算機構。

4、數(shù)字封面的設計原理…… P265-266

用指定接收者證書中的公鑰加密對稱密鑰，結果作為數(shù)字封面

數(shù)字封面=EPKA（KEY），E是RSA加密算法

5、雙重簽名原理及其實現(xiàn)

雙重簽名（DS）= DSKC（H（H(PI)||H（OI)））;

雙重簽名：

(1)雙重簽名的目的：

將每次電子交易涉及的購物清單OI和支付憑證PI綁定在一起；

商家A’----需要OI和PIMD=H(PI), 不允許獲得PI；

支付網(wǎng)關G----需要PI和OIMD=H(OI), 不需要OI

(2)持卡人用私鑰SKC和公鑰解密算法DSKC(.)，生成雙重簽名

DS= DSKC(h’)，h’=H(PIMD||OIMD);

----向商家發(fā)送{DS，OI，PIMD}；

----向支付網(wǎng)關發(fā)送{DS，PI，OIMD}；

(3)用帳戶C的公鑰PKC和公鑰加密算法EPKC(.)，商家驗證雙重簽名

EPKC(DS)= H(PIMD||H(OI));

(4)用帳戶C的公鑰PKC和公鑰加密算法EPKC(.),支付網(wǎng)關G驗證雙重簽名EPKC(DS)= H(OIMD||H(PI));

6、PSG的功能

主要實現(xiàn)發(fā)送端認證、消息壓縮、加密及碼制轉換等功能

7、防火墻在信息門戶網(wǎng)站的配制

防火墻配置要求只允許內部網(wǎng)絡用戶訪問門戶網(wǎng)站，只允許門戶網(wǎng)站發(fā)起對服務器的訪問過程，以此保證內部網(wǎng)絡用戶必須通過門戶網(wǎng)站實現(xiàn)對服務器的訪問。