网络与信息安全--题目整理3
一、信息、信息安全、Syber
1、信息
(1)定义:指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。
(2)信息的特点:
a:消息x发生的概率P(x)越大,信息量越小;反之,发生的概率越小,信息量就越大。可见,信息量(我们用I来表示)和消息发生的概率是相反的关系。
b:当概率为1时,百分百发生的事,地球人都知道,所以信息量为0。
c:当一个消息是由多个独立的小消息组成时,那么这个消息所含信息量应等于各小消息所含信息量的和。
2、信息安全:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受
破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。(5个基本属性见P1) (1)为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。
3、CyberSpace(网络空间,赛博空间)
(1)赛博空间是指以计算机技术、现代通讯网络技术,甚至还包括虚拟现实技术等信息技术的综合运用为基础,以知识和信息为内容的新型空间,这是人类用知识创造的人工世界,一种用于知识交流的虚拟空间。
网络空间需要计算机基础设施和通信线路来实现。换句话说,它是在计算机上运行的。然而计算机内所包含什么样的信息才是其真正的意义所在,并且以此作为网络空间价值的衡量标准。信息具有如下重要特点:一是信息以电子形式存在;二是计算机能对这些信息进行处理(如存储、搜索、索引、加工等)。
(2)赛博空间对人类知识传播的影响:知识的传播由口述、书面、广播、电视变为赛博媒体,即网络化、虚拟化的媒体,构成了赛博空间中知识传播和交流的基本工具。
(3)网络电磁空间作为人类开辟的第五维空间,其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。
(4)站长就是网站的管理员,有着运营整个网站的权限与技术能力。站长眼中的网络空间其实就是虚拟主机。虚拟主机是使用特殊的软硬件技术,把一台真实的物理电脑主机分割成多个的逻辑存储单元,每个单元都没有物理实体,但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作,具有单独的域名、IP地址(或共享的IP地址)以及完整的Internet
服务器功能。
虚拟主机与网站空间其实是一个概念,它有两个作用:
a.存放网站的各种网页文件;
b.搭建网站正常运行的各种服务。
(5)建设“战略清晰”的网络安全保障体系是复杂的系统工程。其基本构架为:“四个层面、两个支撑、一个确保”。
层面一:要有良好信息基础设施,加强网络安全平台及密码基础设施建设。建立安全事件应急响应中心、数据备份和灾难恢复设施和安全保密监控平台,具有攻防兼备能力。
层面二:需要自己的过硬技术,强化国家网络安全技术防护体系。采用先进技术手段,确保网络和电信传输、应用区域边界、应用环境等环节的安全,解决受制于人的问题,能抵御apt攻击。
(6)网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的。凡将地理位置不同,并具有独立功能的多个计算机系统通过通信设备和线路而连接起来,且以功能完善的网络软件(网络协议、信息交换方式及网络操作系统等)实现网络资源共享的系统,可称为计算机网络。
二、信息系统安全设计的一般原则
(1)选择先进的网络安全技术、进行严格的安全管理、遵循完整一致性、坚持动态性、实行最小化授权、实施全面防御、建立控制点、监测薄弱环节、失效保护。
(2)适度安全原则
从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,同时综合成本,针对信息系统的实际风险,提供对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
技术管理并重原则
把技术措施和管理措施有效结合起来,加强信息系统的整体安全性。
标准性原则
信息安全建设是非常复杂的过程,在规划、设计信息安全系统时,单纯依赖经验是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。
同时,在规划、设计信息安全保护体系时应考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性。
动态调整原则
信息安全问题不是静态的,它总是随着安全组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施。
成熟性原则
本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。
科学性原则
在对信息系统进行安全评估的基础上,对其面临的威胁、弱点和风险进行了客观评价,因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决信息网络中存在的安全问题,满足特性需求
三、国际信息安全发展态势、各国应对策略
1、国际信息安全发展态势:
(1)信息安全技术发展的关联性、主动性显著加强;
(2)信息安全产品呈现高效化、系统化、集成化趋势;
(3)信息安全产业形态向服务化方向发展;
(4)信息安全技术和产品的应用的领域不断拓展;
(5)互联网空间成为信息安全主战场;
其他国家应对策略:
(1)当前,随着信息化的不断深入,各国纷纷重视信息安全保障工作,从战略、组织结构、军事、外交、科技等各个方面加强信息安全保障工作力度。
在战略方面,发布网络安全战略、政策评估报告、推进计划等文件;
在组织方面,通过设立网络安全协调机构、设立协调官,强化集中领导和综合协调;
在军事方面,陆续成立网络战司令部,开展大规模攻防演练,招募网络战精英人才,加快军事网络和通信系统的升级改造,网络战成为热门话题;
在外交方面,信息安全问题的国际交流与对话增多,美欧盟友之间网络协同攻防倾向愈加明显,信息安全成为国际多边或双边谈判的实质性内容;
在科技方面,各国寻求走突破性跨越式发展路线推进技术创新,力求在科技发展上保持和占据优势地位。
(2)将信息安全视为国家安全的重要组成部分;积极推动信息安全立法和标准规范建设;重视对基础网络和重要信息系统的监管和安全测评;普遍重视信息安全事件应急响应;普遍认识到公共私营合作伙伴关系的重要性,一方面政府加强管理力度,一方面充分利用社会资源。
2、我国信息安全面临的形势和存在的问题
第一,世界各国不断加大在网络空间的部署,爆发国家级网络冲突的风险不断增加。
第二,贸易保护“安全壁垒”被广泛使用,将波及整个信息技术产业。
第三,西方国家将我国树为网络公敌,将进一步加强针对我国的网络遏制行为。
第四,有针对性的网络安全事件增多,造成的经济和社会影响将进一步加深。
第五,云计算、移动互联网等新兴技术应用日趋深入,信息安全问题威胁将更加突出。
我国信息安全的应对之策
(1)明确我国信息安全发展战略定位。明确我国在网络空间的核心利益,将定位到国家安全角度;认清我国信息安全问题的根源,明确独立自主的信息安全技术产业体系在保障国家信息安全中的重要性;充分考虑到我国的发展现状,承认在技术产业上的巨大差距,循序渐进地发展技术产业,有选择地学习和吸收西方技术,充分保持自主性。
(2)全面构建信息安全积极防御体系。采取以防为主的积极防御策略,强化对安全风险、威胁和安全事件的预防和发现能力,构建以可信计算、访问控制等为基础的主动防御技术体系;整合现有技术手段和信息资源,形成国家网络空间积极防御协作机制,建设国家网络空间战略预警平台;建立跨部门、跨行业的应急处置体系,提高国家对信息安全事件的处置能力;研究各种网络攻防对抗技术,提升网络攻防能力;加强有关信息安全漏洞、恶意代码等核心信息的共享,提升对漏洞分析验证、恶意代码检测等核心技术能力。
(3)打造自主信息安全产业生态体系。加强顶层设计,明确信息安全技术重点发展方向,扶持信息安全“国家队”;在当前我国信息技术产品高度依赖国外的情况下,加快推进可信计算产业化,并有序推进国产化替代;充分发挥举国体制优势,支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发,实现关键技术和产品的技术突破;联合产业上下游企业,整合自主信息安全产业链;坚持以应用促发展,支持政府部门和重要领
域率先采用具有自主信息安全技术产品,带动从基础产品到应用产品和服务的具有完全自主知识产权产业发展。
四、信息安全管理条例、法律、法规
法律法规体系,具体条款解释,地方法律法规
(1)法律有几个层次:国家、地区、部门、相关条文解释
见法律法规;
(2)1984年美国国防部发布的《可信计算机系统评估准则》(Trusted Computer System Evaluation Criteria)即桔皮书。
目的:
为制造商提供一个安全标准;
为国防部各部门提供一个度量标准,用来评估计算机系统或其他敏感信息的可信度;
在分析、研究规范时,为指定安全需求提供基础。
计算机系统安全评价标准TCSEC:4等7级(内容要知道)
无保护级D类安全等级
D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
自主保护级C类安全等级
该类安全等级能够提供审记的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
C1系统的可信任运算基础体制(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。
在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。
强制保护级B类安全等级
B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
B2系统必须满足B1系统的所有要求。另外,B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在可信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。
B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前,要求用户进行身份验证;B3系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路
径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。
验证保护级A类安全等级
A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
这信息安全保障阶段,欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)后,美国又联合以上诸国和加拿大,并会同国际标准化组织(ISO)共同提出信息技术安全评价的通用准则(CC for ITSEC),CC已经被五技术发达的国家承认为代替TCSEC的评价安全信息系统的标准。目前,CC已经被采纳为国家标准ISO 15408。
五、5种通用的安全业务(认证业务、控制业务、保密业务、数据完整性业务和不可否认业务)
认证业务:鉴别或认证,保证通信的合法性。用来验证系统实体和系统资源(如用户、进程、应用)的身份,例如鉴别想访问数据库的人的身份,确定是谁发送了报文,防止有人假冒。同等实体认证和数据来源的认证
控制业务:控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,实现对网络资源及信息的可控性。
保密业务:指信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。
数据完整业务:指网络信息未经授权不能进行改变的特性,既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
具有恢复功能的连接完整性,无恢复功能的连接完整性,选择域连接完整性,选择域无连接完整性,无连接完整性。
不可否认业务:指在信息交互过程中,确信参与者的真实同一性,既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
源不可否认,宿不可否认
六、完成加密和解密的算法称为密码体制
密码体制的3个基本要求
1、对所有密钥,加密和解密都必须迅速有效;(简效快捷)
2、体制必须容易使用;(使用方便)
3、体制的安全性必须只依赖于密钥的保密性,而不依赖算法E或D的保密性;(不依赖于
算法的安全性)
通常情况下,一个密码体制由五元组{M,C,K,E,D}五个部分组成:
·明文信息空间M,它是全体明文m的集合;
密文信息空间C,它是全体密文c的集合;
·密钥空间K,它是全体密钥k的集合。其中每一个密钥k均由加密密钥ke和解密密钥kd组成,即k=(ke,kd);
·加密算法E:它是一族由M到C的加密变换,即M→C;
解密空间D,它是一族由C到M的加密变换,即C→M。
分类:
按使用密钥数量分:对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制)按明文信息加密方式:刘密码体制和分组密码体制
七、PKI(公钥基础设施)(蓝色P189)
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。密码系统的强度也依赖于密钥分配技术
对称密钥分配:目前常用的密钥分配方式是设立密钥非配中心KDC(key distribution center),其任务就是给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。(kerberos) 公钥的分配:由认证中心CA将公钥与其对应实体进行绑定。(X.509)
(1)密钥分配的作用
(2)密钥管理的作用
(3)PKI
X.509标准中,为了区别于权限管理基础设施(Privilege Management Infrastructure,简称PMI),将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础
设施]。这个概念与第一个概念相比,不仅仅叙述PKI能提供的安全服务,更强调PKI必须支持公开密钥的管理。也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。因为PMI仅仅使用公钥技术但并不管理公开密钥,所以,PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。X.509中从概念上分清PKI和PMI有利于标准的叙述。然而,由于PMI使用了公钥技术,PMI的使用和建立必须先有PKI的密钥管理支持。也就是说,PMI不得不把自己与PKI绑定在一起。当我们把两者合二为一时,PMI+PKI就完全落在X.509标准定义的PKI范畴内。根据X.509的定义,PMI+PKI仍旧可以叫做PKI,而PMI完全可以看成PKI的一个部分。
一个典型、完整、有效的PKI应用系统至少应具有以下部分:
·公钥密码证书管理。
·黑名单的发布和管理。
·密钥的备份和恢复。
·自动更新密钥。
·自动管理历史密钥。
·支持交叉认证。
通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,时下较好的解决方案是数字证书机制。
八、DES、3DES、AES、RSA、椭圆曲线、消息摘要(蓝色)
DES(Data Encryption Standard):数据加密标准,是一种使用密钥加密的块算法,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
RSA:由RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
椭圆曲线算法与RSA算法的比较
椭圆曲线公钥系统是代替RSA的强有力的竞争者。椭圆曲线加密方法与RSA方法相比,有以下的优点:
(1)安全性能更高如160位ECC与1024位RSA、DSA有相同的安全强度。
(2)计算量小,处理速度快在私钥的处理速度上(解密和签名),ECC远比RSA、DSA 快得多。
(3)存储空间占用小ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多,所以占用的存储空间小得多。
(4)带宽要求低使得ECC具有广泛的应用前景。
ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。
对称与非对称算法比较(题目2 P5)
消息摘要
消息摘要(Message Digest)又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。如果消息
在途中改变了,则接收者通过对收到消息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。消息摘要采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是"真身"的"指纹"了。
消息摘要算法是指把任意长度的输入变换成长度固定的伪随机输出算法。消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。消息摘要算法不存在密钥的管理与分发问题,适合于分布式网络相同上使用。
消息摘要算法主要应用在“数字签名”领域,作为对明文的摘要算法。著名的摘要算法有RSA公司的MD5算法和SHA-1算法及其大量的变体。
数据摘要算法是密码学算法中非常重要的一个分支,它通过对所有数据提取指纹信息以实现数据签名、数据完整性校验等功能,由于其不可逆性,有时候会被用做敏感信息的加密。数据摘要算法也被称为哈希(Hash)算法或散列算法。
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名是非对称密钥加密技术与数字摘要技术的应用。
九、流密码RC4(蓝色P76,红色P46)
序列密码也称为流密码(Stream Cipher),它是对称密码算法的一种,利用密钥产生一个密钥流Z=Z1Z2Z3…,然后利用此密钥流依次对明文X=X0X1X2...进行加密
RC4加密算法是大名鼎鼎的RSA三人组中的头号人物Ronald Rivest在1987年设计的密钥长度可变的流加密算法簇。之所以称其为簇,是由于其核心部分的S-box长度可为任意,但一般为256字节。该算法的速度可以达到DES加密的10倍左右,且具有很高级别的非线性。
十、身份认证(蓝色P142)
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
十一、加密算法
算法的基本思想,框图
(1)对称性DES,3DES(红色P49)
DES算法为密码体制中的对称密码体制。对称算法最主要的问题是:由于加解密双方都要使用相同的密钥,因此在网络安全中,发送、接收数据之前,必须完成密钥的分发。因而,密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。
各种基本的手段均很难保障安全、高效地完成此项工作。在对称算法中,尽管由于密钥强度增强,跟踪找出规律破获密钥的机会大大减小了,但密钥分发的困难问题几乎无法解决。如,设有n方参与通信,若n方都采用同一个对称密钥,一旦密钥被破解,整个体系就会崩溃。优点是对称加密算法效率高,速度快。对称加密算法用于对数据内容加密,解决上文中提到的机密性功能需求问题。
在应用对称加密算法时,密钥的长度越大,破解难度就越大,相对来说越安全。但同时会降
低系统的运行效率。同时计算机的运行速度成线性增长,网格等技术的出现使得现在的对称加密算法越来越受到威胁。
DES中解密过程的正确性是由Feistel密码结构的性质决定的
(2)非对称性RSA
(3)编程时的编程效率和算法效率
十二、安全协议(BAN逻辑、串空间模型、IPSec)(红色)
安全协议是以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分,我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。
安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。
1、七层典型的安全协议:题目2 P21
2、IPSec的架构(题目1 P26)
3、简述TCP/IP协议的封装过程?
TCP/IP数据包的封装
不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。
IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥管理协议等,其中AH协议
能够提供无连接的完整性、数据发起验证及重放保护,ESP主要用于提供额外的加密保护,而IKE则主要提供安全加密算法与密钥协商。这些机制均独立于算法,协议的应用与具体
加密算法的使用均可取决于用户及应用程序的安全性要求。因此,IPSec是一个开放性的安全标准框架,可以在一个公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听或窃改之虞,为实现通用安全策略所需的基于标准的解决方案提供
了理想的应用框架。而且IPSec的部署极为简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎无需对网络现有基础设施进行任何更动。IPSec的优势主要表现为可以对所有IP级的通信进行加密和认证,可以为IP提供基于加密的互操作性强、高质量的通信安全,所支持的安全服务包括存取控制、无连接的完整性、数据发起方认证和加密。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问在内多种应用程序安全的主要依托。
串空间模型是一种安全协议分析与设计模型,着重于为正确协议提供有力的证明,属于基于证明的结构性验证方法,它最大的特点就是把图贯穿到协议分析的过程当中,结合图来分析协议,使协议的分析更加直观和简洁
十三、无线网络安全(无线网络安全的安全特点、ADHoc网络、WLAN)
1、无线网络安全典型的安全解决方案(见论文)
无线局域网需要采取用户接入认证和数据加密两种安全机制。
2、无线网络和有线网络的区别
3、无线网络安全的安全特点(见论文)
4、ADHoc网络
Ad hoc网是一种没有有线基础设施支持的移动网络,网络中的节点均由移动主机构成,是一种多跳的、无中心的、自组织无线网络,又称为多跳网(Multi-hop Network)、无基础设施网(Infrastructureless Network)或自组织网(Self-organizing Network)。整个网络没有固定的基础设施,每个节点都是移动的,并且都能以任意方式动态地保持与其它节点的联系。在这种网络中,由于终端无线覆盖取值范围的有限性,两个无法直接进行通信的用户终端可以借助其它节点进行分组转发。每一个节点同时是一个路由器,它们能完成发现以及维持到其它节点路由的功能。
在Ad Hoc网络中,当两个移动主机在彼此的通信覆盖范围内时,它们可以直接通信。但是由于移动主机的通信覆盖范围有限,如果两个相距较远的主机要进行通信,则需要通过它们之间的移动主机B的转发才能实现。因此在Ad Hoc网络中,主机同时还是路由器,担负着寻找路由和转发报文的工作。在Ad Hoc网络中,每个主机的通信范围有限,因此路由一般都由多跳组成,数据通过多个主机的转发才能到达目的地。故Ad Hoc网络也被称为多跳无线网络。
Ad Hoc网络可以看作是移动通信和计算机网络的交叉。在Ad Hoc网络中,使用计算机网络的分组交换机制,而不是电路交换机制。通信的主机一般是便携式计算机、个人数字助理(PDA)等移动终端设备。Ad Hoc网络不同于目因特网环境中的移动IP网络。在移动IP 网络中,移动主机可以通过固定有线网络、无线链路和拨号线路等方式接入网络,而在Ad Hoc 网络中只存在无线链路一种连接方式。在移动IP网络中,移动主机通过相邻的基站等有线设施的支持才能通信,在基站和基站(代理和代理)之间均为有线网络,仍然使用因特网的传统路由协议。而Ad Hoc网络没有这些设施的支持。此外,在移动IP网络中移动主机不具备路由功能,只是一个普通的通信终端。当移动主机从一个区移动到另一个区时并不改变网络拓扑结构,而Ad Hoc网络中移动主机的移动将会导致拓扑结构的改变。
Ad Hoc网络作为一种新的组网方式,具有以下特点。
独立性
Ad Hoc网络相对常规通信网络而言,最大的区别就是可以在任何时刻、任何地点不需要硬件基础网络设施的支持,快速构建起一个移动通信网络。它的建立不依赖于现有的网络通信设施,具有一定的独立性。Ad Hoc网络的这种特点很适合灾难救助、偏远地区通信等应用。结构
在Ad Hoc网络中,移动主机可以在网中随意移动。主机的移动会导致主机之间的链路增加或消失,主机之间的关系不断发生变化。在自组网中,主机可能同时还是路由器,因此,移动会使网络拓扑结构不断发生变化,而且变化的方式和速度都是不可预测的。对于常规网络而言,网络拓扑结构则相对较为稳定。
通信带宽
在Ad Hoc网络中没有有线基础设施的支持,因此,主机之间的通信均通过无线传输来完成。由于无线信道本身的物理特性,它提供的网络带宽相对有线信道要低得多。除此以外,考虑到竞争共享无线信道产生的碰撞、信号衰减、噪音干扰等多种因素,移动终端可得到的实际带宽远远小于理论中的最大带宽值。
主机能源
在Ad Hoc网络中,主机均是一些移动设备,如PDA、便携计算机或掌上电脑。由于主机可能处在不停的移动状态下,主机的能源主要由电池提供,因此Ad Hoc网络有能源有限的特点。
分布式特性
在Ad Hoc网络中没有中心控制节点,主机通过分布式协议互联。一旦网络的某个或某些节点发生故障,其余的节点仍然能够正常工作。
生存周期
Ad Hoc网络主要用于临时的通信需求,相对与有线网络,它的生存时间一般比较短。
物理安全
移动网络通常比固定网络更容易受到物理安全攻击,易于遭受窃听、欺骗和拒绝服务等攻击。现有的链路安全技术有些已应用于无线网络中来减小安全攻击。不过Ad Hoc网络的分布式特性相对于集中式的网络具有一定的抗毁性。
Ad Hoc网络的应用范围很广,总体上来说,它可以用于以下场合:
a)没有有线通信设施的地方,如没有建立硬件通信设施或有线通信设施遭受破坏。
b)需要分布式特性的网络通信环境。
c)现有有线通信设施不足,需要临时快速建立一个通信网络的环境。
d)作为生存性较强的后备网络。
具体Ad Hoc网络管理需要解决的问题为以下几方面:
a)网络管理协议的一个重要任务是使网管知道网络的拓扑结构。在有线网络中,由于网络变化不频繁,所以这点容易做到。但在移动网络中,节点的移动导致拓扑结构变化太频繁,网管需定期收集节点的连接信息,这无疑会加大网络的负荷。
b)大多数节点使用电池供电,所以要保证网络管理的负荷限制在最小值以节省能源。要尽量减少收发和处理的节点数,但这是与需要拓扑结构的定期更新相矛盾的。
c)能源的有限性和节点的移动性导致节点随时可能与网络分离,这要求网络管理协议能够及时觉察节点的离开和加入,而更新拓扑结构。
d)无线环境下信号质量变化大。信号的衰退和拥塞都会使网管误认为节点已离开,因此,网管必须能够区分是由于节点移动还是由于链路质量的原因导致连接中断。网管必须询问物理层,但这样会违反OSI的层次管理结构。
e)Ad Hoc网络通常应用于军事,因此,要防止窃听、破坏和侵入。所以网管需要结合加
密和认证过程。
由上可见Ad Hoc网络的网络管理是与传统网络不同的,要解决的问题包括如何有效地收集网络的拓扑信息,如何处理动态的网络配置和安全保密问题。
Ad Hoc网络是一种新颖的移动计算机网络的类型,它既可以作为一种独立的网络运行,也可以作为当前具有固定设施网络的一种补充形式。其自身的独特性,赋予其巨大的发展前景。在Ad Hoc网络的研究中还存在许多亟待解决的问题:设计具有节能策略、安全保障、组播功能和QoS支持等扩展特性的路由协议,以及Ad Hoc网络的网络管理等。今后将重点致力于Ad Hoc网络中网络监视、节点移动性管理、抗毁性管理和安全管理等方面的研究。5、WLAN
无线局域网络英文全名:Wireless Local Area Networks;简写为:WLAN。它是相当便利的数据传输系统,它利用射频(Radio Frequency;RF)的技术,使用电磁波,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,在空中进行通信连接,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
优缺点
有点;
⑴灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。
⑵安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
⑶易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。
⑷故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
⑸易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
无线局域网的不足之处:无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:⑴性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。⑵速率。无线信道的传输速率与有线信道相比要低得多。无线局域网的最大传输速率为1Gbit/s,只适合于个人终端和小规模网络应用。⑶安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
技术要求:
1.可靠性:无线局域网的系统分组丢失率应该低于10-5,误码率应该低于10-8。
2.兼容性:对于室内使用的无线局域网,应尽可能使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容。
3.数据速率:为了满足局域网业务量的需要,无线局域网的数据传输速率应该在54Mbps 以上。
4.通信保密:由于数据通过无线介质在空中传播,无线局域网必须在不同层次采取有
效的措施以提高通信保密和数据安全性能。
5.移动性:支持全移动网络或半移动网络。
6.节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的。
7.小型化、低价格:这是无线局域网得以普及的关键。
8.电磁环境:无线局域网应考虑电磁对人体和周边环境的影响问题。
硬件设备:
1.无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域网的接口,能够实现无线局域网各客户机间的连接与通信。
2.无线AP。AP是Access Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。
3.无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强。
管理
无线局域网的用户管理的内容包括在移动通信中强调对移动电话用户的档案、变更记录等资料的管理和对交换机用户数据的管理;宽带ADSL网络中的用户管理强调的是用户的认证管理和计费管理,当然也包括用户资料的管理;分布式的系统中强调用户的建立、删除、权限设置、注册、连接、记帐等。但是所有的用户管理不外乎通常包括的系统IP地址分配、用户资料库管理、用户注册、用户级别管理、用户权限设置、用户日志和系统工作状态监控等主要内容。
在引入了新一代的Intemet协议IPv6之后无线局域网的用户管理主要处理以下几个方面:IP地址分配、资料库、注册、登陆、级别设置、权限设置、日志
十四、三网融合(概念、密钥分配)
概念见课本
1、三网融合面临的安全挑战:网络开放性、终端复杂性、信息内容可信性
2应用特点
3三网融合带来的新的安全问题:网络开放性、终端复杂性、信息内容可信性
解决方案(见论文)
在现有的三网融合的基础上加入电网,成为四网融合,并已有试点。
十五、物联网(感知层、物理层、应用层)
感知层(二维码、RFID、传感器为主,是物联网的识别系统)
物联网的感知层较之于传统网络层网络范围更广,传统网络仅仅包括人与人之间的通讯,而物联网的范围不仅包括人与人,还包括人与物,物与物(有相应的信息接收器和发送器、数据传输通路、数据处理芯片、操作系统、存储空间等,遵循物联网的通信协议,在物联网中有可被识别的标识的物品)。
感知层处于三层架构的最底层,是物联网发展和应用的基础,具有物联网全面感知的核心能力。作为物联网的最基本一层,感知层具有十分重要的作用。感知层由数据采集子层、短距离通信技术和协同信息处理子层组成。主要技术包括以下几种。
(1)传感器技术
传感器是摄取信息的关键器件,它是物联网中不可缺少的信息采集手段。传感器是一种检测和信息采集装置,能感受到被测的信息,并将信息转换成电脑系统能识别的信息形式。如压力传感器、温度传感器、湿度传感器、光传感器、磁性传感器等。
(2)RFID 技术
前面我们已经提到,RFID 是射频识别(Radio Frequency Identification)的英文缩写,作为一种自动识别技术,兴起于上世纪90年代,RFID 既可以看做是一种设备标识技术,也可以归类为短距离传输技术。它是物联网中非常重要的,能够让物品“开口说话”的一种技术。在“物联网”的构想中,每一个物都配备一张RFID标签,RFID标签中存储着“物”的信息,通过无线数据通信网络把它们采集到超级计算机系统,实现物品的识别,进而通过开放性的计算机网络实现信息交换和共享,实现对物品的管理与控制。
每个RFID芯片中都有一个全球唯一的编码:在为物品贴上RFID标签后,需要在系统服务器中建立该物品的相关描述信息,与RFID编码相对应。用户可以使用阅读器向标签发出电磁信号,与标签进行通信对话,而标签中的RFID编码被传输回阅读器,阅读器再与系统服务器进行对话,根据编码查询该物品信息。而RFID标签又分为有源和无源两种,有源标签工作时与阅读器距离可以达到10m以上,成本较高,而无源标签工作时与阅读器的距离在1m左右。
(3)二维码技术
二维码(2-dimensional bar code)技术,利用构成计算机内部逻辑基础的“0”和“1”比特流的概念,使用若干与二进制相对应的几何形体来表示数值信息,二维码是物联网中物的身份证,它是在二维空间水平和竖直方向存储信息,优点是信息容量大,译码可靠性高,纠错能力强,制作成本低,保密与防伪性能好,即使某个部分遭到一定程度的损坏,也可以通过存在于其他位置的纠错码将损失的信息还原出来。
(4)ZigBee
ZigBee是一种无线传输技术,具有短距离、低功耗的显著特点。同时,它是一种介于无线标记技术和蓝牙之间的技术。ZigBee采用分组交换和跳频技术,可使用3个频段,分别是2.4GHz的公共通用频段、欧洲的868MHz频段和美国的915MHz频段。它主要应用在短距离且数据传输速率不高的各种电子设备之间,与蓝牙相比,它更简单、速率更慢、功率及费用也更低,因此它只适合承载低速率、通信范围较小、数据量较小的业务。
(5)蓝牙
蓝牙也是一种无线数据与话音通信技术,和ZigBee一样,也是一种短距离的无线传输技术。它采用高速跳频和时分多址等先进技术,支持点对点及点对多点通信。其传输频段为全球公共通用的2.4GHz频段,能提供1Mbit/s的传输速率和10m的传输距离。它除了具有和ZigBee一样,可以全球通用、功有耗低、成本低、抗干扰能力强等特点外,还有可同时传输话音和数据、可建立临时性的对等连接、开放的接口标准等特点。我们日常生活中所使用的手机,笔记本电脑已普遍集成了蓝牙模块。
网络层(互联网、广电网络、通信网络的融合,是物联网的传输系统)
物联网作为一个网络,其发展是基于其他网络的发展的基础上的,特别是三网融合中的三网(电信网、广播电视网、互联网),还包括通信网、卫星网、行业专网等。网络层将来自感知层的各类信息通过基础承载网络传输到应用层,网络层中的感知数据管理与处理技术是实现以数据为中心的物联网的核心技术。感知数据管理与处理技术包括物联网数据的存储、查询、分析、挖掘、理解以及基于感知数据决策和行为的技术。
物联网的网络层的主要技术包括Internet技术、移动通信网技术、无线传感器网络技术等。
Internet技术也就是我们常见的互联网技术,是把分布于世界各地不同结构的计算机网络用各种传输介质互相连接起来的成为一个网络的技术。移动通信就是通信双方至少有一方在运动状态中进行信息交换,它包括移动用户之间的通信、固定用户与移动用户的通信。
无线传感器网络主要由节点、网关和软件三部分组成。空间分布的测量节点通过与传感器连接对周围环境进行监控。监测到的数据无线发送至网关,网关可以与有线系统相连接,
这样就能使用软件对数据进行采集、加工、分析和显示。路由器是一种特别的测量节点,你可以使用它在WSN中延长距离以及增加可靠性。
应用层(云计算、数据挖掘、中间件等,是物联网的智能处理系统)
一项技术,能应用到生活中,并能为人类带来便利才是我们研究的最终目的,物联网技术同样也是如此,应用是物联网发展的驱动力和目的。物联网最终目的是通过物物相连最终能将信息更好地利用,有学者认为,物联网本身其实就是是一种基于网络技术的应用,所以说,应用层是联网架构中的关键结构。
应用层主要包括服务支撑层和应用子集层。服务支撑层的主要功能是根据底层采集的数据,形成与业务需求相适应、实时更新的动态数据资源库;应用层的主要功能是把感知和传输来的信息进行分析和处理,做出正确的控制和决策,实现智能化的管理、应用和服务,到这一层才最终的实现了物联网的功能。下面介绍一下应用层的主要技术:(1)M2M
M2M是Machine-to-Machine(机器对机器)的缩写,有时候也被解释为Man-to-Machine (人对机器)。物联网就是物与物的相连,M2M就是物联网的第一步,它将多种不同类型的通信技术有机地结合在一起,将数据从一台终端传送到另一台终端。
(2)云计算
云计算(Cloud Computing)通过共享基础资源(硬件、平台、软件)的方法,将巨大的系统池连接在一起以提供各种IT 服务,这样企业与个人用户无需再投入昂贵的硬件购置成本,只需要通过互联网来租赁计算力等资源。云计算意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。用户可以在多种场合,利用各类终端,通过互联网接入云计算平台来共享资源。
(3)人工智能
人工智能(Artificial Intelligence)是使人类的智能得以物化与延伸的一门学科。目的是使计算机机器像人一样思考、行动。
(4)数据挖掘
物联网中的信息无疑是庞达的,数据挖掘(Data Mining)是通过分析每个数据,从大量数据中寻找其规律的技术,以帮助网络系统筛选出有用的信息。
(5)SOA
面向服务的体系结构(Service-Oriented Architecture),主要为物联网提供一种接口,将应用程序的不同功能单元通过SOA之间定义良好的接口和契约联系起来。
1、物联网安全关键技术:(信息安全P13)
2、物联网安全特征:(P13
传感器节点的多源异构性;
网络的开放性(传感网、因特网);
应用的多样性(决策与控制);
解决方法:
信息感知与采集节点加密
信息处理与存储结构的安全
3、应用特点
物联网作为一种全新的信息交流和处理方式,将会作为互联网之后的又一次信息革命,根据物联网本身特有的应用场景及技术构架,可将其应用归纳为以下六大特点:
实时性
物联网应用场景中其前段感知设备获取的信息一般均为实时产生的信息,而这些信息
即时通过网络层传输至用户控制终端,从而完成相应的实时监测及反馈控制操作。而传统的IT应用往往是获取结果信息,只能做到事后处理,无法实施控制,改变结果。这也体现了物联网应用于需求实时监测及反馈控制的场景的明显优势。
精细化
物联网应用更注重产生结果的过程信息,这些过程信息既包括了类似温度、湿度等慢量变化,也包括了结构应力等可能发生突变的物理量等,因此其更可以确保信息的准确性,除此之外,这些信息也可以为进一步进行精细的数据分析处理提供良好的基础,有助于进行相应有效的改善。
智能化
物联网应用往往可实现自动采集、处理信息、自动控制的功能。某些构架可通过将原有在终端中的信息处理功能的一部分移交到收集前段感知设备信息的汇聚节点中,从而分担少部分的信息处理工作,除此之外,通过对收集信息的存储及长期积累,可分析得出适应特定场景下规则的专家系统,从而可以实现信息处理规则适应业务的不断变化。
多样化
一方面,物联网的应用涉及无线传感网、通信、网络等多种技术领域,因此其可提供的相应产品及服务形态也可以实现多种组合的可能。例如,物联网的应用架构中前段感知既可采用无线传感网实现,亦可通过RFID等多种手段实现,因此其所能够提供的前端感知的信息亦为多种多样的。这也决定了物联网可应用到的领域亦具有多样化的特点。
另一方面,物联网涉及的各个技术领域产品形态及技术手段,因此其可提供的物联网应用构架亦有多种可能。随着现代通信网络的不断普及,特别是移动通信的网络的普及和广域覆盖为物联网应用提供可网络支撑基础,到了3G时代,多业务、大容量的移动通信网络包容性
物联网的应用有可能需要通过多个基础网络连接,这些基础有可能是有线、无线、移动或是转网,物联网的业务应用网络就是在这些网络组建成新的网络组合,多个网络、终端、传感器组成了业务应用。
物联网应用可将众多行业及领域整合在一起,形成具有强大功能的技术架构,因此,物联网也为众多行业及企业提供了巨大的市场和无限机会。
创新性
物联网是一次颠覆性、创新性的信息技术革命,它将人类数字化管理的范围从虚拟信息世界延伸至实物世界,强化了实时处理和远程控制能力,极大的扩展和丰富了现有的信息系统。
同时物联网将原有一个个独立的实物管理自动化系统,延伸至远程控制终端,借助现有的无线传感、互联网等众多IT技术,革命性地提升了自动化管理的处理性能和智能水平。
另外,各类现有技术的结合将创造出更多的物联网信息系统,也将促进更多的新技术、新产品、新应用产生,相信它也将是我国信息产业跨越式发展的历史性机遇。
物联网带给我们一种全新的思维方式,对现有社会的产品生产、设备使用、物品管理、基础设施管理、人员管理、环境管理以及工业、农业、商业的生产作业方式、产业发展思路、政府监管的模式等,都可以采用物联网理念重新做出创新性的思考。
4、物联网的信息安全问题解决方案
三层解决方案见论文
5、物联网新的安全问题:隐私保护、数据数源、控制安全
6、物联网的三个重要特征
全面感知:利用RFID,传感器,二维码等随时随地获取物体的信息;
可靠传递:通过各种电信网络与互联网的融合,将物体的信息实时准确地传递出去
智能处理:利用云计算,模糊识别等各种智能计算技术;
十六、模式识别(统计模式识别、欧氏距离)(红色P223)
1、模式识别:(Pattern Recognition),是指对表征事物或现象的各种形式的(数值的、文字的
和逻辑关系的)信息进行处理和分析,以对事物或现象进行描述、辨认、分类和解释的过程,是信息科学和人工智能的重要组成部分。
2、统计模式识别(statistic pattern recognition)是对模式的统计分类方法,把模式类看成是用
某个随机向量实现的集合。又称决策理论识别方法。
统计模式识别的基本原理是:有相似性的样本在模式空间中互相接近,并形成“集团”,即“物以类聚”。其分析方法是根据模式所测得的特征向量Xi=(xi1,xi2,…,xid)T(i=1,2,…,N),将一个给定的模式归入C个类ω1,ω2,…,ωc中,然后根据模式之间的距离函数来判别分类。其中,T表示转置;N为样本点数;d为样本特征数。
统计模式识别的主要方法有:判别函数法,近邻分类法,非线性映射法,特征分析法,主因子分析法等。
在统计模式识别中,贝叶斯决策规则从理论上解决了最优分类器的设计问题,但其实施却必须首先解决更困难的概率密度估计问题。BP神经网络直接从观测数据(训练样本)学习,是更简便有效的方法,因而获得了广泛的应用,但它是一种启发式技术,缺乏指定工程实践的坚实理论基础。统计推断理论研究所取得的突破性成果导致现代统计学习理论——VC理论的建立,该理论不仅在严格的数学基础上圆满地回答了人工神经网络中出现的理论问题,而且导出了一种新的学习方法——支持向量机(SVM)。
模式识别主要用于:入侵检测、防病毒、人脸识别。。。。。。。。
入侵检测:攻击Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet 攻击类型:
攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。
攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。
攻击类型3-Smurf:这是一种老式的攻击,还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。
攻击类型4-Trojans(特洛伊木马):指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。
欧几里得度量(euclidean metric)是一个通常采用的距离定义,指在m维空间中两个点之间的真实距离,或者向量的自然长度(即该点到原点的距离)。在二维和三维空间中的欧氏距离就是两点之间的实际距离。
二维空间的公式
0ρ = sqrt( (x1-x2)^2+(y1-y2)^2 )|x| = √( x2 + y2 )
三维空间的公式
0ρ = √( (x1-x2)^2+(y1-y2)^2+(z1-z2)^2 )|x| = √( x2 + y2 + z2 )
n维空间的公式
n维欧氏空间是一个点集,它的每个点 X 或向量 x 可以表示为(x[1],x[2],…,x[n]) ,其中x[i](i = 1,2,…,n) 是实数,称为 X 的第i个坐标。
两个点 A = (a[1],a[2],…,a[n]) 和 B = (b[1],b[2],…,b[n]) 之间的距离ρ(A,B) 定义为下面的公式:
ρ(A,B) =√ * ∑( a*i+ - b[i] )^2 ] (i = 1,2,…,n)
向量 x = (x[1],x[2],…,x[n]) 的自然长度|x| 定义为下面的公式:
|x| = √( x*1+^2 + x*2+^2 + … + x*n+^2 )
欧氏距离变换,是指对于一张二值图像(再此我们假定白色为前景色,黑色为背景色),将前景中的像素的值转化为该点到达最近的背景点的距离。
明氏距离又叫做明可夫斯基距离,是欧氏空间中的一种测度,被看做是欧氏距离的一种推广。
定义式:ρ(A,B) = [ ∑( a[i] - b[i] )^p ]^(1/p) (i = 1,2,…,n)
马氏距离定义为两个服从同一分布并且其协方差矩阵为Σ的随机变量与的差异程度: 如果协方差矩阵为单位矩阵,那么马氏距离就简化为欧氏距离,如果协方差矩阵为对角阵,则其也可称为正规化的欧氏距离'.
其中σi 是xi 的标准差.
与欧氏距离不同的是它考虑到各种特性之间的联系(例如:一条关于身高的信息会带来一条关于体重的信息,因为两者是有关联的)并且是尺度无关的(scale-invariant),即独立于测量尺度。对于一个均值为μ,协方差矩阵为Σ的多变量向量,其马氏距离为(x-μ)'Σ^(-1)(x-μ)。
马氏优缺点:(红色P235)
1)马氏距离的计算是建立在总体样本的基础上的,这一点可以从上述协方差矩阵的解释中可以得出,也就是说,如果拿同样的两个样本,放入两个不同的总体中,最后计算得出的两个样本间的马氏距离通常是不相同的,除非这两个总体的协方差矩阵碰巧相同;
2)在计算马氏距离过程中,要求总体样本数大于样本的维数,否则得到的总体样本协方差矩阵逆矩阵不存在,这种情况下,用欧氏距离计算即可。
3)还有一种情况,满足了条件总体样本数大于样本的维数,但是协方差矩阵的逆矩阵仍然不存在,比如三个样本点(3,4),(5,6)和(7,8),这种情况是因为这三个样本在其所处的二维空间平面内共线。这种情况下,也采用欧氏距离计算。
4)在实际应用中“总体样本数大于样本的维数”这个条件是很容易满足的,而所有样本点出现3)中所描述的情况是很少出现的,所以在绝大多数情况下,马氏距离是可以顺利计算的,但是马氏距离的计算是不稳定的,不稳定的来源是协方差矩阵,这也是马氏距离与欧氏距离的最大差异之处。
优点:它不受量纲的影响,两点之间的马氏距离与原始数据的测量单位无关;由标准化数据和中心化数据(即原始数据与均值之差)计算出的二点之间的马氏距离相同。马氏距离还可以排除变量之间的相关性的干扰。缺点:它的缺点是夸大了变化微小的变量的作用。十七、信息隐藏(与加密的区别、数字水印)(红色)
1、信息隐藏特点:
(1)不可感知性信息隐藏技术利用信源数据的自相关性和统计冗余特性,将秘密信息嵌入数字载体中,而不会影响原载体的主观质量,不易被观察者察觉。如果载体是图像,所做的修改对人类的视觉系统应该是不可见的;如果载体是声音,所做的修改对人类的听觉系统应该是听不出来的。
秘密信息的嵌入在不改变原数字载体的主观质量的基础上,还应不改变其统计规律,使得运用统计检查工具检查到隐秘载体文件中秘密信息的存在性也是非常困难的。
(2)鲁棒性鲁棒性反映了信息隐藏技术的抗干扰能力,它是指隐藏信息后数字媒体在传递过程中,虽然经过多重无意或有意的信号处理,但仍能够在保证较低错误率的条件下将秘密信息加以恢复,保持原有信息的完整性和可靠性,它也称为自恢复性或可纠错性。对隐藏信息的处理过程一般包括数/模、模/数转换;再取样、再量化和低通滤波;剪切、位移;对图像进行有损压缩编码,如变换编码、矢量量化;对音频信号的低频放大,等等。
(3)隐藏容量将信息隐藏技术应用于隐蔽通信中时,为了提高通信的效率,往往希望每一个数字载体文件能够携带更多的秘密数据。隐藏容量是反映这种能力的一个指标,它是指在隐藏秘密数据后仍满足不可感知性的前提下,数字载体中可以隐藏秘密信息的最大比特数。
2、信息隐藏与加密的区别(题目2P7)
3、数字水印:(Digital Watermarking)技术是将一些标识信息(即数字水印)直接嵌入数字载体当中(包括多媒体、文档、软件等)或是间接表示(修改特定区域的结构),且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。数字水印是保护信息安全、实现防伪溯源、版权保护的有效办法,是信息隐藏技术研究领域的重要分支和研究方向。
十八、证明:DES解密算法的确是DES加密算法的逆
十九、怎样理解现代无线无法给移动设备保证足够的安全性
无线方式(电磁波)
1、信息被公开
2、现有终端技术未提供足够的安全性
二十、安全路由
所谓的安全路由技术即如何在IPSec VPN隧道上实现动态路由选择技术。安全路由技术将路由技术、VPN技术、安全路由技术——防火墙技术集成于一身。实现安全路由技术,关键在于建立一种特定的SA(Security Association),该SA既允许动态路由协议包通过,也同样允许两端所有用户的数据通过。建立这种SA,需要对IKE的信令进行改进,实现采用传输模式的信令来建立隧道模式的SA。
二十一、11b/a/g的区别
(1)无线局域网(WLAN)技术定义在IEEE 802.11 规范系列中。目前该系列包含以下四种规范:802.11、802.11a、802.11b 以及802.11g。所有这四种协议都采用以太网协议和载波监听多路访问/冲突避免技术(CSMA/CA,替代了CSMA/CD) 来实现信道共享。802.11 -应用于无线局域网,使用2.4 GHz 波段,传输速率为1 Mbps 或2 Mbps;既支持跳频技术(FHSS)也支持直序列展频(DSSS)。
802.11a -802.11 的扩展,使用5GHz 波段,传输速率为54 Mbps;802.11a 支持正交频分复用(OFDM)编码方式,而不支持FHSS 或DSSS。802.11a 应用于无线ATM 系统并用于接入集线器(access hub)。
802.11b(又称为802.11 高速率或Wi-Fi)-802.11 的扩展,使用2.4 GHz 波段,传输速率为11 Mbps(也可能降低为5.5 Mbps、2 Mbps或1 Mbps)。802.11b 只支持DSSS。802.11b 是原802.11 标准的修订版,用无线方式实现类似以太网功能。
802.11g -支持短距离无线传输,使用2.4 GHz 波段,传输速率为20 Mbps 到54 Mbps。802.11g 支持OFDM 编码方式。
802.11 中一直采用相移键控(PSK)调制方式。802.11b 中采用的调制方式为补码键控
(CCK),该方式支持更高的数据传输速率并且不易受多路传播的干扰。802.11a 采用的调制方式为正交频分复用(OFDM),该方式下,数据传输速率可以达到54 Mbps,但在大多数情况下,通信时的传输速率为6 Mbps、12 Mbps 或24 Mbps。802.11 协议栈结构(2)802.11x零接触选择合适无线网络
目前常见的无线网络标准以IEEE802.11x 系列为主。它是IEEE 国际电气和电子工程师协会制定的一个通用无线局域网标准。最初的IEEE802.11 标准只是用于数据存取,传输速率最高只能达到2Mbps 。由于速度慢不能满足数据应用发展的需求,所以后来该协会又推出了IEEE802.11b 、802.11a 、802.11g 这三个新的标准。这三个标准都是经IEEE 批准的无线局域网规范,标准的确立也就意味着厂商们的认可和支持,他们之间技术差别很大,所走的发展道路也不一样。
802.11b
802.11b 网络是目前一般用户最常使用的规格,可在室外300 米/ 室内办公环境100 米的范围内,以每秒11MB 的速度无线上网传递数据。802.11b 使用动态速率漂移,可随环境变化在11Mbps 、 5.5Mbps 、2Mbps 、1Mbps 之间切换。值得注意的是最高11Mbps 的速度为共享速度,一个AP 所能承载的用户在10 人左右。目前最热的Intel 迅驰技术,就属于最新改良版本的802.11b 技术。
提及802.11b 的最大缺点,想必大部分人都会对其速度略有微词。虽然11Mbps (实际值为550 ~600kB/s )的传输速率对大多数宽带用户的接入速度来说已经足够,但该性能指标却不能满足日益增长的宽带网络的需求。即便是个人用户,目前国内不少家庭的宽带接入速度也已超过1MB/s ,无论802 .11b 如何改进,它已呈现出力不从心的态势。802.11a
作为802.11b 的继承者,802.11a 具备很多优势,其主要表现:第一其安全性较佳,很多企业就看中了这一点,有12 个频道可以利用,能减少干扰问题;第二802.11a 传输速度比802.11b 快五倍,能同时提供更多用户同时使用,最高理论速度可以达到54Mbps 。此外,802.11a 独特的5GHz 工作频段也在抗干扰性上优于802.11b/g ,因为在日常生活中,许多电子设备都是基于2.4GHz 频段工作的,这正好与802.11b/g 的工作频段相同并产生冲突(举个例子,如果你的家中同时安装有无线局域网和无绳电话,那么当你使用无绳电话时便会发现通话效果时好时坏,这就是典型的干扰问题),如蓝牙设备、微波炉等。5GHz 工作频段具有2.4GHz 无法比拟的抗干扰优势,但同时也预示了802.11a 的灭亡。由于频段较高,使得802.11a 的传输距离大打折扣,5GHz 频段的电磁波在遭遇墙壁、地板、家具等障碍物时的反射与衍射效果均不如 2.4GHz 频段的电磁波好,因而造成802.11a 覆盖范围偏小的缺陷;其次,由于设计复杂,基于802.11a 标准的无线产品的成本要比802.11b 高的多。还有一致命的弱点802.11a 设备与802.11b 网络并不兼容。802.11g
由于802.11b 和802.11a 都不能令人满意,IEEE 制定了新的802.11g 标准。目前还有最新的802.11g 技术已经投入应用,和802.11a 相比,802.11g 在提供了同样54Mbps 的高速下,采用了与802.11b 相同的2.4GHz 频段,因而解决了升级后的兼容性问题。同时802.11g 也继承了802.11b 覆盖范围广的优点,其价格也相对较低。当用户过渡到“ g 网”时,只需购买相应的无线AP 即可,而原有的802.11b 无线网卡则可继续使用,灵活性较802.11a 要强得多。
802.11g 的优势可以概括为:拥有802.11a 的速度,同时安全性又优于802.11b ,而且还能与后者兼容。但存在问题是802.11g 与802.11b 一样都使用三个频道,通信线路过少,所以安全性比802.11a 还是略逊一筹。
网络与信息安全概论,第三章 作业
网络与信息安全概论作业3 一、思考题: 3.1 为什么说研究Feistel密码很重要? 答:Feistel 密码结构是用于分组密码中的一种对称结构。Feistel提出利用乘积密码可获得简单的代换密码,乘积密码指顺序的执行两个或多个基本密码系统,使得最后结果的密码强度高于每个基本密码系统产生的结果。他的优点在于:由于它是对称的密码结构,所以对信息的加密和解密的过程就极为相似,甚至完全一样。这就使得在实施的过程中,对编码量和线路传输的要求就减少了几乎一半。此外,Feistel密码结构开辟了新的加密算法模式,很多密码标准都采用了Feistel 结构,其中包括DES。 3.2 分组密码和流密码的区别是什么? 答:分组密码是将一个明文分组作为整体加密并且通常得到的是与明文等长的密文分组。流密码是每次加密一个字节或一个位。 3.3 为什么使用表3.1所示的任意可逆代替密码不实际? 答:对于像N=4这样的较小分组,密码系统等价于传统代替密码。用明文的统计分析方法攻击它是轻而易举的。这种脆弱性并非来自于代替密码,而是因为使用的分组规模太小。如果N充分大,并且允许明密文之间采用任意的变换,那么明文的统计特征将被掩盖从而不能用统计方法来攻击这种体制,但是对于系统来说不切实际。从实现的角度来看,分组长度很大的可逆代换结构是不实际的。如果分组长度太小,系统则等价于古典的代换密码,容易通过对明文的统计分析而被攻破。表3.1定义了n=4时从明文到密文的一个可逆映射,
其中第2列是每个明文分组对应的密文分组的值,可用来定义这个可逆映射。因此从本质上来说,第2列是从所有可能映射中决定某一特定映射的密钥。这个例子中,密钥需要64比特。一般地,对n比特的代换结构,密钥的大小是n×2n比特。如对64比特的分组,密钥大小应是64×264=270≈1021比特,因此难以处理。 3.4 什么是乘积密码? 答:乘积密码就是以某种方式连续执行两个或多个简单密码(如替代、置换),以使得所得到的最后结果或乘积从密码编码的角度比其任意一个组成密码都更强的分组密码。 3.5 混淆与扩散的差别是什么? 答:(1) 扩散(diffusion):将明文的统计特性散布到密文中去,实现方式是使得明文的每一位影响密文中多位的值,使得每一字母在密文中出现的频率比在明文中出现的频率更接近于相等。其方法是尽可能的使明文和密文间的统计关系变得复杂,以挫败推倒出密钥的企图。 (2) 混淆则是尽可能的使密文和加密密钥间的统计关系变得更加复杂,以阻止攻击者发现密钥。其目的在于使作用于明文的密钥和密文之间的关系复杂化,使明文和密文之间、密文和密钥之间的统计相关特性极小化,从而使统计分析攻击不能奏效。 3.6 哪些参数与设计选择决定了实际的Feistel密码算法? 答:(1) 分组长度:分组越长意味着安全性越高,但是会降低加/解密的速度。 (2) 密钥长度:密钥越长意味着安全性越高,但是会降低加/解密的速度。 迭代轮数:Feistel密码的本质在于单轮不能提供足够的安全性,而多轮加密可取的很高的安全性。景点轮数是16。 (3) 子密钥产生算法:子密钥产生越复杂,密码分析就越困难。
网络与信息安全基础知识点
知识点: 计算机病毒的特征:非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性。 拿不走:访问控制 一个安全保密的计算机信息系统,应能达到“五不”:“进不来、拿不走、看不懂、走不脱、赖不掉”,即非合法用户进入不了系统;非授权用户拿不走信息;重要的信息进行了加密,即使看到了也看不懂;进入系统或在涉密系统内进行违规操作,就会留下痕迹,走不脱;拿走或篡改了信息,就有相关记录,想赖也赖不掉。 用于客户信息安全审核、审核的原始日志必须单独保存,各系统主管部门要制定数据存储备份管理制度,定期对原始日志进行备份归档,所有客户信息操作原始日志在线至少保留3个月,离线至少保留1年。 各系统用于安全审核的原始日志记录内容应至少包括:操作帐号、时间、登录IP地址、详细操作内容和操作是否成功等。日志不应明文记录帐号的口令、通信内容等系统敏感信息和客户信息。 安全有以下属性:CIA三要素 保密性:是指信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性;C 完整性:保护信息及处理方法的准确性和完备性;I 可用性:被授权实体一旦需要就可访问和使用的特性;A 真实性:确保主体或资源的身份正式所声称身份的特性。 可核查性:确保可将一个实体的行动唯一的追踪到此实体的特征。 抗抵赖性:证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。 可靠性:预期行为和结果相一致的特性。 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。 信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患
网络与信息安全教程作业答案3
1.()通常通过访问控制阻止非授权用户获得机密信息,通过加密技术阻止非授权用户获知信息内容。(单选 ) A可用性 B机密性 C可靠性 D可控性 2.一般用数字签名和公证机制来保证()。 (单选 ) A完整性 B可控性 C不可否认性 D可用性 3.()就是只对当天新的或被修改过的数据进行备份。 (单选 ) A完全备份 B增量备份 C网络备份 D差分备份 4.()通常是指一个组织为了应对各种意外事件的发生所事先做好的准备以及在事件发生后所采取的措施。 (单选 ) A容灾备份 B数据备份 C应急响应 D灾难恢复 5.信息安全策略是()。 (多选 )
A原则性的 B全局性的 C具体性的 D可以被审核的 6.攻击检测系统的功能包括()。 (多选 ) A监视用户和系统的运行状况 B能够实时对检测到的攻击行为进行反应 C对用户非正常活动的统计分析 D操作系统的审计跟踪管理 7.公民在互联网上可能遭受侵害的权利,包括()。 (多选 ) A名誉权 B肖像权 C隐私权 D知识产权 8.提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。 (判断 ) 正确错误 9.允许访问除明确拒绝以外的任何一种服务,指防火墙将系统中确定为“不许可”的服务拒绝,而允许其他所有未做规定的服务。 (判断 ) 正确错误 10.双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。 (判断 ) 正确错误 11.从广义上讲,保密是一种社会行为,是人或社会组织在意识到关系自己切身利益的事项如果被他人
2019年网络与信息安全技术题库及答案
2019年网络与信息安全技术题库及答案 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工 作困难。 A.保密性可用性 B.可用性保密性 C.保密性完整性 D.完整性保密性 二、填空题(每空2分,共40分) 1.ISO 7498-2确定了五大类安全服务,即鉴别、访问控制、数据保密性、数据完整性和不可否认。同时,ISO 7498-2也确定了八类安全机制,即加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换、业务填充机制、路由控制机制和公证机制。 2.古典密码包括代替密码和置换密码两种,对称密码体制和非对称密码体制都属于现代密码体制。传统的密码
网络信息安全基础知识培训
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
专业技术人员继续教育 网络与信息安全教程
1.()作为安全保护策略有两方面的含义:一是让事物简单便于理解;二是复杂化会为所有的安全带来隐藏的漏洞,直接威胁网络安全。 (单选 ) A动态化 B普遍参与 C纵深防御 D简单化 2.()是由计算机、办公自动化软件、通信网络、工作站等设备组成使办公过程实现自动化的系统。 (单选 ) A数据处理系统 B管理信息系统 C办公自动化系统 D决策支持系统 3.阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时,可能()最为适用。 (单选 ) A抛弃基于地址的信任策略 B包过滤 C加密方法 D随机化的初始序列号 4.网络监察部门是公安机关中唯一具有()的部门。 (单选 ) A侦查权 B检察权 C侦查权和监察权
D监察权 5.网络信息安全技术发展趋势包括()。 (多选 ) A信息安全越来越重要 B信息安全标准在不断变化 C信息安全概念在不断扩展 D信息安全是一个复杂的巨大系统 6.在建立容灾备份系统时会涉及多种技术,如()。 (多选 ) ASAN或NAS技术 B基于IP的SAN互联技术 C快照技术 D远程镜像技术 7.与其他计算机系统(如操作系统)的安全需求类似,数据库系统的安全需求可以归纳为()。 (多选 ) A完整性 B非独立性 C保密性 D可用性 8.提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。 (判断 ) 正确错误 9.接收方用加密密钥,通过加密设备或算法,将信息加密后发送出去。 (判断 ) 正确错误 10.用户可自选密钥对重要文件加密,防止未授权用户窃密。 (判断 )
网络与信息安全概论,第十一章 作业
网络与信息安全概论11章课后习题 一、思考题: 11.1 消息认证是为了对付哪些类型的攻击? 答:伪装(假冒)、篡改内容、修改顺序、修改时间(包括重放) 11.2 消息认证或数字签名方法有哪两层功能? 答:任何消息认证或数字签名机制基本分两步: 产生认证符(是一个用来认证消息的值)的函数; 将该函数作为原语使接收方可以验证消息真实性的认证协议。 11.3 产生消息认证有哪些方法? 答:用于消息认证的最常见的密码技术是消息认证码和安全散列函数。MAC是一种需要使用密钥的算法,以可变长度的消息和密钥作为输入,产生一个认证码。拥有密钥的接受方产生一个认证码来验证消息的完整性。哈希函数将可变长度的消息映射为固定长度的哈希值,或叫消息摘要。对于消息认证来说,安全散列函数还必须以某种方式和密钥捆绑起来。 11.4 对称加密和错误控制码一起用于消息认证时,这两个函数必须以何种顺序执行? 答:先错误控制码后对称加密。 11.5 什么是消息认证码? 答:消息认证码,是用来保证数据完整性的一种工具,可以防止数据未经授权被篡改,用数学语言描述,
是一个让双方共享的密钥k和消息m作为输入函数,如果将函数记为mask (m),这个函数值就是一个认证标记。 11.6 消息认证码和散列函数之间的区别是什么? 答:消息认证码(MAC):依赖公开函数,密钥控制下对消息处理,生成定长认证标识,并加以认证。 散列函数:将任意长度的消息换为定长的消息摘要,并加以认证。 11.7 为提供消息认证,应以何种方式保证散列值的安全? 答:a.用对称密码对消息及附加在其后的散列码加密。 b.用对称密码仅对散列加密。 c.用公钥密码和发送方的密钥仅对散列加密。 d.若希望保证保密性有希望有数字签名,则先用发送方的密钥对散列码加密 e.该方法使用散列函数但不使用加密函数来进行消息认证。 f.如果对整个消息和散列码加密,则(e)中的方法可提供保密性。 11.8 为了攻击MAC算法必须要恢复密钥吗? 答:不需要。 11.9 安全散列函数需要具有哪些特性? 答:1.H可应用于任意大小的数据块。 2.H产生定长的输出。 3.对任意给定的x,计算H(x)比较容易,用硬件和软件均可实现。 4.对任意给定的散列码h,找到满足H(x)=h的x在计算上是不可行的,有些文献中称之为单向性。 5.对任何给定的分组x,找到满足y≠x且H(x)=H(y)的y在计算上是不可行的,我们有时称之为抗弱碰
信息安全技术使用教程第二版课后习题
信息安全技术 使用教程(第版)课后习题 第一章(信息安全概述) 习题一、 1、填空题 (1)信息安全是指秘密信息在产生、传输、使用、和存储的过程中不被泄露或破坏(2)信息安全的4个方面是;保密性、完整性、可用性、和不可否认性。 (3)信息安全主要包括系统安全和数据安全俩个方面。 (4)一个完整的信息安全技术体系结构由物理安全技术、基础安全技术、系统安全技术、网络完全技术及应用安全技术组成。 (5)一个常见的网络安全模型是PDRR模型。 (6)木桶原则是指对信息均衡、全面的进行保护。木桶的最大容积取决于最短的一块木板。 2、思考与解答题: (1)简述信息安全技术面临的威胁。 (2)简述PDRR网络安全模型的工作过程。 第二章(物理安全技术) 习题二 1、填空题 (1)物理安全又称为实体安全、是保护计算机设备、设施(网络及通信线路)免遭地震、火灾、水灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。 (2)物理安全包括环境安全、设备安全电源系统安全和通信线路安全、 (3)计算机的电子元器件、芯片都密封在机箱中,有的芯片工作时表面温非常高,一般电子元器件的工作温度在0---45摄氏度。 (4)在放置计算机的房间内,湿度最好保持在40%--60% 之间,湿度过高或过低对计算机的可靠性与安全性都有影响。 2、思考与解答: (1)为计算机系统提供合适的安全环境的目的是什么。 (2)简述计算机机房的外部环境要求、内部环境要求。 第三章(基础安全技术) 习题三、 1、填空题 (1)一般来说,信息安全主要包括系统安全和数据安全俩个方面。 (2)面膜技术是保障信息安全的核心技术、它以很小的代价,对信息提供一种强有力的安全保护。 (3)加密使用某种方法将文字转换成不能直接阅读的形式的过程。 (4)加密一般分为3类,是对称加密、非对称加密和单向散列函数。 (5)从密码学的发展历程来看,共经历了古典密码、对称密钥密码和公开密钥密码。(6)对称加密算法又称为传统密码算法或单密钥算法,它采用了对称密码编码技术,其特点是文件加密和加密使用相同的密钥。 (7)对称加密算法的安全性依赖于密钥的安全性。
网络与信息安全概论,第十四章 作业
网络与信息安全概论14章课后习题 一、思考题: 14.1 列出在两个通信方之间分发密钥的方法? 答:1. A选择一个密钥后一物理的方式传递给B。 2. 第三方选择密钥后物理地传递给A和B。 3. 如果A和B先前或者最近使用过一个密钥,则乙方可以将新密钥用旧密钥加密后发送给另一方。 4. 如果A和B到第三方C有加密连接,则C可以在加密连接上传送密钥给A和B。 14.2 会话密钥和主密钥之间有什么不同? 答:主密钥是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥,客户端写密钥,服务器读密钥,服务器写密钥。主密钥能够被作为一个简单密钥块输出。 会话密钥是指:当两个端系统希望通信,他们建立一条逻辑连接。在逻辑连接持续过程中,所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时,会话密钥被销。 14.3 什么是临时交互号? 答:用户A向KDC发送包请求一个会话密钥来保护到B的逻辑安全,其中包括A、B的身份以及该次传输的唯一标识N1,并称其为临时交互号。 14.4 什么是密钥分发中心? 答:负责为用户分发密钥,且用户和密钥分发中心共享唯一密钥。 14.5 基于公钥加密的两种不同的密钥分发方法是什么? 答:公钥授权和公钥证书。
14.6 列出四种公钥分发模式的类型? 答:公开发布、公开可访问的目录、公钥授权和公钥证书。 14.7 公钥目录的必要要素是什么? 答:一是目录管理员的私钥安全,二是目录管理员保存的记录安全。 14.8 什么是公钥证书? 答:双方使用证书来交换密钥而不是通过公钥管理员。证书包含公钥和公钥拥有者的标志,整个数据块有可信的第三方进行签名。 14.9 公钥证书的使用有哪些要求? 答: 1. 任何通信方可以读取证书并确定证书拥有者的姓名和公钥。 2. 任何通信方可以验证该证书出自证书管理员,而不是伪造的。 3. 只有证书管理员可以产生并更新证书。 4. 任何通信方可以验证证书的时效性。 14.10 X.509标准的用途是什么? 答:X.509标准是一个广为接受的方案,用来规范公钥证书的格式。X.509证书在大部分网络安全应用中都有使用,包括IP 安全、传输层安全(TLS)和S/MIME。 14.11 什么是证书链? 答:数字证书由颁发该证书的CA签名。多个证书可以绑定到一个信息或交易上形成证书链,证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。
网络信息安全基础知识培训学习
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
计算机网络安全教程第2版--亲自整理最全课后答案
第1章网络安全概述与环境配置 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题 1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3、为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 第2章网络安全协议基础 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。 3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议(SMTP)和邮局协议(POP)。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过程的次数一起显示出来。
信息安全基础试题及答案
一.名词解释 信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。 VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。 数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。 应急响应:其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件是指影响一个系统正常工作的情况。 风险评估:风险评估有时也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁,影响和薄弱点及其可能发生的风险的可能行评估,也就是确定安全风险及其大小的过程。 入侵检测:顾名思义,便是对入侵行为的发觉。他通过对计算机网络和计算机系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象。 二、选择题 1.、加密算法分为(对称密码体制和非对称密码体制) 2。、口令破解的最好方法是(B) A暴力破解B组合破解 C字典攻击D生日攻击 3、杂凑码最好的攻击方式是(D) A 穷举攻击B中途相遇 C字典攻击D生日攻击 4、可以被数据完整性机制防止的攻击方式是(D) A假冒*** B抵赖**** C数据中途窃取D数据中途篡改 5、会话侦听与劫持技术属于(B)技术 A密码分析还原B协议漏洞渗透 C应用漏洞分析与渗透 D DOS攻击 6、PKI的主要组成不包括(B) A CA B SSL C RA D CR 7,恶意代码是(指没有作用却会带来危险的代码D) A 病毒*** B 广告*** C间谍** D 都是 8,社会工程学常被黑客用于(踩点阶段信息收集A) A 口令获取 B ARP C TCP D DDOS 9,windows中强制终止进程的命令是(C) A Tasklist B Netsat C Taskkill D Netshare 10,现代病毒木马融合了(D)新技术 A 进程注入B注册表隐藏C漏洞扫描D都是
【VIP专享】网络与信息安全概论
第一章网络安全概述 ζ安全的基本含义:客观上不受威胁,主观上不存在恐惧. `网络信息安全概念:通俗的说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。 网络信息安全的核心及其本质:网络信息安全的核心是通过计算机、网络、密码技术 和安全技术,保护在公用网络信息系统中传输、交换和存储消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等。 ζ(开放系统互连)OSI安全体系结构:它定义了5类安全服务、8种特定的安全机制、5 种普遍性安全机制。5类安全服务:鉴别,访问控制,数据机密性,数据完整性,抗否性(不可抵赖性);8种安全机制:加密、数字签名机制、访问控制机制、数据完整性机制、 鉴别交换机制、通信业务填充机制、路由选择控制机制、公证机制。 ζ网络信息安全面临的主要威胁:1.人为或自然威胁 2.安全缺陷 3.软件漏洞 4.病毒和黑客入侵 ζ网络安全模型:P2DR安全模型:(1)策略.(2)保护.(3)检测.(4)响应 PDRR安全模型:(1)保护 .(2)检测. (3)反应.(4)恢复 第二章密码学 ♂被隐蔽的消息称作明文,通常以m表示;密码可将明文变换成另一种隐蔽形式,称为密文,通常以c表示。 ♂这种由明文到密文的变换称为加密。由合法接收者从密文恢复出明文的过程称为解密 (或脱密)。 ♂非法接收者试图从密文分析出明文的过程称为破译。对明文进行加密时采用的一组规则 称为加密算法,通常以E表示。 ♂对密文解密时采用的一组规则称为解密算法,通常以D表示。 加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的,该秘密信息 称为密钥,加密和解密过程使用的密钥分别称为加密密钥和解密密钥。 ♂如果以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥 密码(又称为非对称密码或公钥密码)。 `单钥密码的特点是:无论加密还是解密都使用同一个密码,因此,此密码体制的安全性就是密钥的安全。如果密钥泄漏,则此密码系统便被攻破。单钥密码的优点是安全性高,加、解密速度快。缺点是(1)随着网络规模的扩大,密钥的管理成为一个难点(2)无法解决 消息确认问题(3)缺乏自动检测密钥泄漏的能力; 双钥密码的特点:由于双钥密码体制的加密和解密不同,且能公开加密密钥,而仅需保密 解密密钥,所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。缺点是算法一般比较复杂,加、解密速度慢。 如果以密码算法对明文的处理方式为标准,则可将密码系统分为分组密码和序列密码。分 组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加 密函数进行加密。序列密码的加密过程是把明文序列与等长的密钥序列进行逐位模相加。
公务员网络与信息安全教程培训答案 10分
1.在技术领域中,网络安全包括(),用来保障信息不会被非法阅读、修改和泄露。 (单选 ) A、实体安全 B、运行安全 C、信息安全 D、经济安全 2.信息安全策略可以划分为()。 (单选 ) A、问题策略和功能策略 B、信息策略和安全策略 C、问题策略和预防策略 D、功能策略和预防策略 3.()主要完成收集用户信息、确认用户身份的功能。一般是由一个独立的注册机构(即RA)来承担的。(单选 ) A、注册管理 B、CA功能 C、证书管理 D、密钥生命管理 4.()是指造成系统停止运转的任何事件,使得系统要重新启动。 (单选 ) A、事务内部的故障 B、系统故障 C、介质故障 D、计算机病毒 5.木马的种类很多,经常可以遇到的木马有()。 (多选 )
A、破坏型木马 B、密码发送型木马 C、远程访问型木马 D、键盘记录木马 6.身体特征包括()。 (多选 ) A、指纹 B、虹膜 C、语音 D、脸型 7.在行政方面,互联网信息内容安全管理方法包括()。 (多选 ) A、信息过滤与封堵政策 B、实行网络实名制 C、政府指导 D、采取内容分级制 8.RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 (判断 ) 正确错误 9.硬件时钟与调度规则相组合可以提供公平性,硬件设施和数据表组合则提供控制功能。 (判断 ) 正确错误 10.恶意用户获得不合法访问的一种途径就是“欺骗”用户,使他们认为自己正和一个合法的安全系统在通信,而实际上这时候他们键入的内容以及命令已经被截获且分析了。 (判断 ) 正确错误 11.中国公民可以自由地选择、表达自己的信仰和表明宗教身份。 (判断 )
网络与信息安全技术考试试题及答案
网络与信息安全技术A卷 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B 方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施
网络与信息安全概论网络与信息安全概论
网络与信息安全概论 第九讲 访问控制 王昭 北京大学信息科学技术学院 软件研究所--信息安全研究室 wangzhao@https://www.360docs.net/doc/35347685.html,
安全服务 ?安全服务(Security Services): 计算机通信网络中,主要的安全保护措施被称作安全服务。 根据ISO7498-2, 安全服务包括: 1.鉴别(Authentication) 2.访问控制(Access Control) 3.数据机密性(Data Confidentiality) 4.数据完整性(Data Integrity) 5.抗抵赖(Non-repudiation)
访问控制的概念和目标?一般概念—— 是针对越权使用资源的防御措施。 ?基本目标: 防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。 ?未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 –非法用户进入系统。 –合法用户对系统资源的非法使用。
访问控制的作用 ?访问控制对机密性、完整性起直接的作用。 ?对于可用性,访问控制通过对以下信息的有效控制来实现: (1)谁可以颁发影响网络可用性的网络管理指令(2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息
主体、客体和授权 ?客体(Object):规定需要保护的资源,又称作目标(target)。 ?主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。 ?授权(Authorization):规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。 ?一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。 ?主客体的关系是相对的。
《网络信息安全》试题A及答案
《网络信息安全》试题(A) 一、填空(每空1分共15分) 1.数据未经授权不能进行更改的特性叫完整性。 2.对消息的所有可能含义进行编码时,所需要最少的比特数,称之为熵。3.把敏感数据转换为不能理解的乱码的过程称为加密;将乱码还原为原文的过程称为解密。 4.使用DES对64比特的明文加密,生成64比特的密文。 5.将特制的标志隐藏在数字产品之中,用以证明原创作者对作品的所有权的技术,称之为数字水印。 6.包过滤器工作在OSI的防火墙层。 7.______SSL____工作在传输层,独立于上层应用,为应用提供一个安全的点—点通信隧道。 8.IPSec有隧道模式和传输模式两种工作模式。 9.攻击者对系统进行攻击,以便得到有针对性的信息,攻击主要分为主动攻击和被动两种。 10.计算机病毒检测分为内存检测和磁盘检测。 11.Pakistani Brain属于引导区病毒病毒。 12.入侵检测系统根据目标系统的类型可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。 二、选择(每空1分共20分)
1.某台服务器平均连续工作100小时会发生一次故障,修复故障需要1小时,则该服务器的可靠性为 B 。 A.1/100 B.100/101 C.101/100 D.100/100 2.下列 B 加密技术在加解密数据时采用的是双钥。 A.对称加密 B. 不对称加密 C.Hash加密 D.文本加密 3.IDEA加密算法采用 C 位密钥。 A.64 B.108 C.128 D.168 4.Casear密码属于 B 。 A.置换密码 B.单表代换密码 C.多表代换密码 D.公钥密码 5.Vigenere密码属于 C 。 A.置换密码 B.单表代换密码 C.多表代换密码 D.公钥密码 6.防火墙是常用的一种网络安全装置,下列关于它的用途的说法 B 是对的。 A.防止内部攻击 B.防止外部攻击 C.防止内部对外部的非法访问 D.即防外部攻击,又防内部对外部非法访问 7.直接处于可信网络和不可信网络之间的主机称为 C 。 A.FTP服务器 B.扼流点 C.堡垒主机 D.网关 8.某台服务器在100小时的工作时间内,正常使用时间为95个小时,则该服务器的可用性为A 。 A.95/195 B.100/195 C.95/100 D.100/95 9.如果在曲阜校区和日照校区之间建立一个VPN连接,我们应该建立何种类
网络与信息安全教程习题
1、()作为安全保护策略有两方面的含义:一就是让事物简单便于理解;二就是复杂化会为所有的安全带来隐 藏的漏洞,直接威胁网络安全。(单选) A动态化 B普遍参与 C纵深防御 D简单化 2、()就是指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从而使追查者误以为攻击者就是来自外单位。(单选) A被动攻击 B伪远程攻击 C远程攻击 D本地攻击 3、为了实现(),所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。(单选) A编写正确的代码 B非执行的缓冲区技术 C程序指针完整性检查 D数组边界检查 4、现代密码中的公共密钥密码属于()。(单选) A对称式密码 B非对称式密码 C静态的密码 D不确定的密码
7、 目前针对数据库的攻击主要有 ()。(多选) A 密码攻击 B 物理攻击 C 溢岀攻击 DSQL 注入攻击 设。 定级就是一项专业性较强的基础性工作,系统定级阶段的顺利进行与否关系到整个信息系统的后续建 (判断) 正确 错误 目前的网络攻击主要就是攻击者利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全 漏洞进行网络攻击。(判断) 9、 正确 错误 10、数据加密算法有很多种,密码算法标准化就是信息化社会发展的必然趋势 域 的一个重要课题。(判断) rr r 正确 错误 ,就是世界各国保密通信领 11、允许访问除明确拒绝以外的任何一种服务 ,指防火墙将系统中确定为“不许可”的服务拒绝 ,而允许 ’ A 资源毁坏 "B 资源耗尽与资源过载 |7 C 配置错误 ‘ D 软件弱点 6、防火墙的主要功能有()。(多选) A 访冋控制 ‘ B 防御功能 C 用户认证 D 安全管理
网络与信息安全--题目整理3
一、信息、信息安全、Syber 1、信息 (1)定义:指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。 (2)信息的特点: a:消息x发生的概率P(x)越大,信息量越小;反之,发生的概率越小,信息量就越大。可见,信息量(我们用I来表示)和消息发生的概率是相反的关系。 b:当概率为1时,百分百发生的事,地球人都知道,所以信息量为0。 c:当一个消息是由多个独立的小消息组成时,那么这个消息所含信息量应等于各小消息所含信息量的和。 2、信息安全:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受 破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。(5个基本属性见P1) (1)为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。 最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。 分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。 在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 3、CyberSpace(网络空间,赛博空间) (1)赛博空间是指以计算机技术、现代通讯网络技术,甚至还包括虚拟现实技术等信息技术的综合运用为基础,以知识和信息为内容的新型空间,这是人类用知识创造的人工世界,一种用于知识交流的虚拟空间。 网络空间需要计算机基础设施和通信线路来实现。换句话说,它是在计算机上运行的。然而计算机内所包含什么样的信息才是其真正的意义所在,并且以此作为网络空间价值的衡量标准。信息具有如下重要特点:一是信息以电子形式存在;二是计算机能对这些信息进行处理(如存储、搜索、索引、加工等)。 (2)赛博空间对人类知识传播的影响:知识的传播由口述、书面、广播、电视变为赛博媒体,即网络化、虚拟化的媒体,构成了赛博空间中知识传播和交流的基本工具。 (3)网络电磁空间作为人类开辟的第五维空间,其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。 (4)站长就是网站的管理员,有着运营整个网站的权限与技术能力。站长眼中的网络空间其实就是虚拟主机。虚拟主机是使用特殊的软硬件技术,把一台真实的物理电脑主机分割成多个的逻辑存储单元,每个单元都没有物理实体,但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作,具有单独的域名、IP地址(或共享的IP地址)以及完整的Internet