第一篇:信息安全概论课程学习总结
信息安全概论课程学习总结
本学期经过一学期的对于信息安全概论课程的学习,对于信息安全所涉及的领域、信息安全科目所包含的知识以及信息安全专业学习所需要的相关知识储备和相关发展方向有了简单程度上的相应了解。于此,对于本学期所学信息安全概论的课程进行梳理与详述。
本学期信息安全概论课程内容大致可分为这几部分:信息安全概述、数字水印、僵尸网络、电子商务中的安全技术、操作系统基础知识、网络安全导论、密码学概论以及身份认证技术概述。
一、信息安全概述
信息安全之目的在于将信息系统之脆弱性降到最低,即将信息系统的任何弱点减小至最少。信息安全的属性为:机密性、完整性、可用性、不可否认性以及可控性。
1.机密性,是指保护数据不受非法截获和未经授权浏览。此之于敏感数据之传输甚为紧要,对于通信网络中处理用户的私人信息是十分必须且关键的。
2.完整性,是指保障数据在被传输、接受或者存储时的完整以及未发生篡改。此之于保证重要数据之精确性是必不可少的。
3.可用性,是指当发生突发事件时,用户依然可以得到并使用数据且服务处于正常运转状态,例如发生供电中断以及相应地自然灾害与事故使。
4.不可否认性,是指行为人不能否认其信息之行为。此之于可用于防止参与某次通信交换的一方在事后否认本次交换曾经发生过的情况。
5.可控性,是指对于信息即信息系统实施安全监控。此之于可用于确保管理机制对信息之传播及内容具有控制能力。
信息安全的研究内容包括:安全检测与风险评估、网络信任体系、可信计算、访问控制、身份认证、密码技术、内容安全、安全协议、恶意行为及恶意代码检测、信息隐藏、网络监控、入侵检测、防火墙、无线通信安全、嵌入式安全、云安全以及量子密码等。
与信息安全相关的法规在世界各国也都有了长足的发展。
美国于1998年5月22日总统令《保护美国关键基础设施》,就围绕“信息保障”成立了多个组织,包括:全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。1998年美国国家安全局制定了《信息保障技术框架》,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的“深度防御策略”。而后,于2000年1月,发布《保卫美国计算机空间—保护信息系统的国家计划》。分析了美国关键基础设施所面临的威胁,制定出联邦政府关键基础设施保护计划,以及关键基础设施保障框架。
与此同时,俄罗斯于1995年颁布《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。又于1997年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重。而后的2000年普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么,受到的威胁是什么,以及为确保信息安全首先要采取的措施等。
日本也紧跟步伐,出台《21世纪信息通信构想》和《信息通信产业技术战略》,强调“信息安全保障是日本综合安全保障体系的核心”。加紧建立与信安全相关的政策和法律法规,发布了《信息通信网络安全可靠性基准》和《IT安全政策指南》。成立了信息安全措施促进办公室,综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。
在我国现已颁布《中华人民共和国计算机安全保护条例》、《中华人民共和国商用密码管理条例》、《计算机信息网络国际联网管理暂行办法》、《计算机信息网络安全保护管理办法》、《计算机信息系统安全等级划分标准》以及在《刑法》的修订过程中增加了有关于计算机犯罪的条款。我国的信息安全法律法规发展现在已经颇具规模。
二、数字水印
数字水印,是指将一些标识信息直接嵌入数字载体当中或是间接表示且不影响原载体的使用价值,也不容易被探知和再次修改,仍能被生产方识别和辨认的技术。数字水印技术是对抗盗版等不法行为的一种行之有效的防伪方式。
三、僵尸网络
僵尸网络,是指通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。被植入恶意程序的计算机就如同僵尸一般受控于攻击者,进而从事攻击破坏活动。
构成僵尸网络的组成为:僵尸主控机、“僵尸”:被入侵的计算机、指挥和控制协定。
现如今僵尸网络已成为会联网的主要威胁,因为大量的计算机被控制,展开猛烈的攻击、破坏、收集敏感数据和增加更多的被控制的计算机,网络允许受控计算机的运行。其攻击的方式为:DDoS 攻击、垃圾邮件、Clickfruad、恶意传播、非法入侵、Manipulating online polls。僵尸网络的主要目的还是金钱的驱使。
四、电子商务中的安全技术 1.应用背景
2.加密技术 3.在线支付协议
五、操作系统基础知识 第一部分,OS有关概念。1.计算机硬件组成。2.OS的目标及功能。
3.操作系统的发展。按计算机换代李成划分:
第一代(1945至1955)——电子真空管和插件板,机器语言、没有OS、体积大速度慢。
第二代(1955至1965)——晶体管和批处理,有Fortran和汇编、按批处理作业,有了监控程序。
第三代(1965至1980)——集成电路和多道程序,多道程序、联机即时外设操作,操作系统走向成熟。第四代(1980至1990)——个人机时代,大规模集成电路,有了成熟的操作系统产品MS-dos、Windows、UNIX。后第四代(90年以后)——网络OS、分布式OS。
第二部分,OS研究的主要成就。1.创建了并行调度概念。2.形成了储存器管理理论。3.建立信息保护和信息安全机制。4.实现资源调度和资源管理。5.提出了OS构建理论。第三部分,典型OS分类介绍。1.批处理操作系统。2.分时操作系统。3.实时操作系统。4.多处理操作系统。5.网络操作系统。6.布式操作系统。7.个人计算机操作系统。第四部分,OS核心技术简述。1.并发性问题。2.存储管理技术。3.文件管理技术。4.I/O管理技术。5.系统安全与防范技术。第五部分,OS技术面临的挑战。
六、网络安全导论
网络安全,是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。
1.攻击、服务和机制。2.网络安全模型。3.加密。
4.身份验证和数字签名。5.IPSec、S/MIME和SSL。6.防火墙、IDS和蜜罐技术。
七、密码学概论 密码技术的发展历史:
第一阶段(1949年前),古典密码学发展阶段。此阶段的发展情况为,采用隐写术,暗语、隐语、藏头诗等,而采用的变换方式为手工或者机械变换的方式来实现。具有代表性的密码有:单表代换密码:Capesar密码、仿射密码;多表代换密码:Vigenere密码、Hill密码等;转轮密码:Enigma、Red密码等。
第二阶段(1949年至1976年),近代密码学阶段。
1949年,Shannon发表了《保密系统的通信理论》,用信息论的观点分析了密码学的基本原理,奠定了密码学的理论基础。而后,1967年David Kahn出版了《破译者》一书,促进了密码学的理论发展。
第三阶段(1976年至今),现代密码学阶段。
1976年,Diffie、Hellman发表《密码学新方向》,开辟了公钥密码学的新领域。同年,美国建立DES为联邦标准。现代密码学的主要发展方向为:混沌密码学、量子密码学、椭圆曲线密码学。
八、身份认证技术概述
1.身份认证,是指计算机及网络系统确认操作者身份的过程,其目的是使通信双方建立信任关系。在信息安全理论体系中,加密和认证是两个最重要的分支。2.身份认证的发展历史:
第一阶段,最早的身份认证技术往往是以对罪犯的身份认证联系在一起的,由于古代技术的落后,身份认证主要借助于一些附加于人体的特征来进行身份认证。第二阶段,根据人体骨骼长度进行身份识别。
第三阶段,指纹身份识别。随着计算机技术的发展,目前指纹技术已经成为一种成熟易用的技术,其应用领域已相当广泛。
3.古代身份认证的方法:根据你所知道的信息来证明身份;根据你所拥有的东西来证明身份;根据你独一无二的身体特征来证明身份。然而这三种方法都存在一定缺陷,也许你知道的信息别人也知道,也学你所拥有的东西别人也拥有或者你的东西已丢失,对于特定身体特征的证明也存在一定的不便。
4.数字身份认证技术:用户名/密码认证方式;数字证书;智能卡;生物特征认证;零知识身份认证。以上对本学期所学相关知识根据感兴趣情况进行了各有详略的概述,现在对本人较为感兴趣的单个方面进行较为具体的论述。由于本人经常网购,所以对于电子商务方面的安全问题较为感兴趣,对于课程所涉及的相关问题及知识进行一下较为详尽的论述。
电子商务是指凭借电子手段而进行的商业活动。当前电子商务面临的主要问题为:付款、认证问题;商品投送保证问题;标准问题;税收问题;安全与法律问题。电子商务安全机制具有保密性、完整性、可靠性和不可否认性。保密性是指必须实现该信息对除特定收信人以外的任何人都是不可读取的。这样一来加密就显得尤为重要,加密是指通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文,而这些以无法读懂的形式出现的数据一般被称为密文。按照国际上通行的惯例,将这些方法按照双方收发的密钥是否相同的标准划分为两大类:第一,常规算法。加密密钥和解密密钥是相同或等价的。第二,公钥加密算法。可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。
现在进行进一步的论述。对称加密算法有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。著名的对称加密算法有:美国的DES及其各种变形、欧洲的IDEA、日本的FEALN、LOKI 91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等,其中影响最大的DES与AES。公钥密码可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。DES是IBM公司1977年为美国政府研制的一种算法,以56位密钥为基础的密码块加密。它的加密过程为:一次性把64位明文块打乱置换;把64位明文块拆成两个32位块;用加密DES密钥把每个32位块打乱位置16次;使用初始置换的逆置换。但是DES的安全性受到了很大的挑战,1999年1月,EFF和分散网络用不到一天的时间,破译了56位的DES加密信息,DES的统治地位受到了严重的影响。目前椭圆曲线加密技术(EEC)正在兴起,该技术具有安全性能高、计算量小处理速度快、储存空间占用小以及带宽要求低的特点,正在逐步受到人们的青睐。ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。所有这些算法的安全性都基于密钥的安全性;而不是基于算法的细节的安全性。
在在线电子商务中协议十分重要,在线支付协议有SSL协议、SET协议。SSL是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。SSL目前已成为Internet上保密通信的工业标准。现行Web浏览器普遍将HTTP和SSL相结合,来实现安全通信。SSL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL是对计算机之间整个会话进行加密的协议,采用了公开密钥和私有密钥两种加密方法。SSL在两个结点间建立安全的TCP连接,基于进程对进程的安全服务和加密传输信道,通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,安全强度高。其主要工作流程为:网络连接建立;与该连接相关的加密方式和压缩方式选择;双方的身份识别;本次传输密钥的确定;加密的数据传输;网络连接的关闭。应用数据的传输过程:应用程序把应用数据提交给本地的SSL;发送端根据需要,使用指定的压缩算法,压缩应用数据;发送端使用散列算法对压缩后的数据进行散列,得到数据的散列值;发送端把散列值和压缩后的应用数据一起用加密算法加密;密文通过网络传给对方;接收方用相同的加密算法对密文解密,得到明文;接收方用相同的散列算法对明文中的应用数据散列;计算得到的散列值与明文中的散列值比较。SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。SSL在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SET是由VISA和MASTCARD于1997年5月联合开发的,为了在Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。由于得到了IBM、HP、Microsoft、NetScape、VeriFone、GTE、VeriSign等很多大公司的支持,它已形成了事实上的工业标准,目前它已获得IETF标准的认可。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET协议比SSL协议复杂,它不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。SET协议可通过双重签名的方法将信用卡信息直接从客户方透过商家发送到商家的开户行,而不容许商家访问客户的帐号信息,这样客户在消费时可以确信其信用卡号没有在传输过程中被窥探,而接收SET交易的商家因为没有访问信用卡信息,故免去了在其数据库中保存信用卡号的责任。
基于SET的电子交易流程为:持卡人使用浏览器在商家的WEB主页上查看在线商品目录浏览商品;持卡人选择要购买的商品;持卡人填写定单,包括:项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来,或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格;持卡人选择付款方式。此时SET开始介入;持卡人发送给商家一个完整的定单及要求付款的指令。在SET中,定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息;商家接受定单后,向持卡人的金融机构请求支付认可,通过Gateway到银行,再到发卡机构确认,批准交易,然后返回确认信息给商家;商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询;商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。在认证操作和支付操作中间一般会有一个时间间隔。
第二篇:信息安全概论考试总结
信息安全概论知识点
一.名词解释
1.信息安全:信息安全是指信息网络的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠地运行,信息服务不中断。
2.安全漏洞:指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。
3.缓冲区溢出:是一种非常普遍,非常危险的漏洞,在各种操作系统,应用软件中广泛存在。利用缓冲区溢出攻击,可以导致系统运行失败,系统死机,重新启动等后果。
4.网络后门:是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
5.计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
6.恶意软件:俗称流氓软件,是对破坏系统正常运行的软件的总称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载,媒体播放等)和恶意行为(弹广告,开后门),给用户带来实质危害。7.防火墙:位于可行网络与不可信网络之间并对二者之间流动的数据包进行检查的一台,多台计算机或路由器。
8.入侵检测:是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和遭遇袭击的迹象的一种机制。
9.异常检测技术:也称基于行为的检测,是指根据使用者的行为或资源使用情况来判断是否发生入侵,而不依赖于具体行为是否出现来检测。
10.误用检测技术:也称基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。11.VPN:是一种能够将物理上分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
12.对称加密算法:是用加密数据使用的密钥可以计算出用于解密数据的密钥。
13.非对称加密算法:是指用于加密的密钥和用于解密的密钥是不同的,而且从加密的密钥无法推导出解密的密钥。
14.散列函数:也称为Hash函数,杂凑函数,哈希函数,哈希算法,散列算法或消息摘要算法。它通过把单项数学函数应用于数据,将任意长度的一块数据转化成一定长的,不可逆转的数据。
15.蜜罐:是当前最流行的一种陷阱及伪装手段。主要用于监视并探测潜在的攻击行为。
二.简答:
1.网络监听的工作原理
当一个局域网采用共享Hub时,当用户发送一个报文时,这些报文会被发送到LAN上所有在线的机器。一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,即主机A不会捕获发向主机B的数据,而会简单地忽略这些数据。但是如果局域网中的某台计算机的网络接口处于混杂模式,那么它就可以捕获到网络上所有的报文和帧。如果一台计算机的网卡被设置成这种模式,那么它就是一个监听器或嗅探器。
2.网络监听的防护和检测的主要方法
(1)网络分段
(2)加密会话(3)使用检测工具
(4)观察异常情况 3.缓冲区溢出的原理
主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他命令,以达到攻击的目的。4.Dos攻击方式
(1)SYN Flood工作原理:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK 一直维护着队列,造成了资源大量而不能向正常请求提供服务。(2)Smurf工作原理:该攻击向一个子网的广播地址发一个带有特定请求的包,并且将源地址伪装成想要攻击的主机地址。自网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。5.计算机病毒的特征(1)传染性:基本特征
(2)隐蔽性
(3)潜伏性
(4)破坏性 6.普通病毒和蠕虫病毒的区别
普通病毒
蠕虫病毒 存在形式:
寄存文件
独立程序 传染机制:
寄主程序运行
主动攻击 传染目标:
本地文件
网络计算机 7.木马病毒的传播方式
通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界透漏用户的信息。
8.物理层常用的防护手段
(1)物理位置选择(2)物理访问控制(3)防盗窃和防破坏(4)防雷击(5)防火(6)防水和防潮(7)防静电(8)温湿度控制(9)电力供应(10)电磁防护要求 9.防火墙的发展历史及局限性
发展历史:第一代:1984年
采用的技术:包过滤
第二代:1989年
采用的技术:代理服务
第三代:1992年
采用的技术:动态包过滤(状态监控)
第四代:1998年
采用的技术:自适应代理服务 局限性:(1)不能防止不经过它的攻击,不能防止授权访问的攻击。
(2)只能对配置的规则有效,不能防止没有配置的访问。
(3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。
(4)不能针对一个设计上有问题的系统攻击。10.异常检测技术的原理及前提
原理:该技术首先假设网络攻击行为是不常见的,区别于所有正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。前提条件:入侵活动是异常活动的一个子集,理想的情况是:一场活动集与入侵活动集相等。11.无用检测技术的原理及前提
原理:首先要定义违背安全策略事件的特征,判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。
前提:假设所有的网络攻击行为和方法都具有一定的模式或特征。12.VPN的作用
它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。
账号保护的主要方法及手段
(1)保护guest账户(2)限制用户数量(3)管理员账户改名(4)建陷阱账户 13.对称加密算法优缺点 优点:加密速度快,保密度高。
缺点:分发的困难问题几乎无法解决。密钥是保密通信的关键,发信方必须安全、妥善的把密钥送到收信方,不能泄露其内容,密钥的传输必须安全,如何才能把密钥安全送到收信方是对称加密体制的突出问题。
14.非对称加密算法的优缺点 优点:
(1)公钥加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥。
(2)公钥在传递和发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者没有太大意义。
(3)密钥少便于管理,N个用户通信只需要N对密钥,网络中每个用户只需要保存自己的解密密钥。
(4)密钥分配简单,加密密钥分发给用户,而解密密钥由用户自己保留。
缺点:加密算法复杂,加密和解密的速度比较慢。15.硬盘丢失数据的注意事项
(1)在硬盘数据出现丢失后,请立即换机,不要在对硬盘进行任何写操作,那样会增大修复的难度,也会影响到修复的成功率。(2)每一步操作都应该是可逆的或者对故障硬盘是只读的。16.使用Easy Recovery软件的注意事项
(1)最好在重新安装计算机操作系统完后,就把Easy Recovery软件安装上,这样一旦计算机有文件丢失现象就可以使用Easy Recovery软件进行恢复了。
(2)不能在文件丢失以后再安装Easy Recovery文件恢复软件,因为这样的话Easy Recovery软件极有可能将要恢复的文件覆盖了,万一在没有安装Easy Recovery软件的情况下文件丢失,这时最好不要给计算机里再复制文件。可以将计算机硬盘拔下来,放到其他已经安装有Easy Recovery软件的计算机上进行恢复,或找专业的安全人员来处理。
三. 问答题:
1.信息安全体系结构
应用安全:(1)数据库加固(2)安全监控
(3)电子文档
(4)安全身份认证统一授权
系统安全:(1)容灾备份
(2)系统加固
(3)HIDS NIDS(4)漏洞扫描 系统防毒
网络安全:(1)VLAN划分
(2)外网的入网访问控制
(3)网络安全边界防火墙
(4)VPN,传输安全
(5)网络防毒
物理安全:(1)环境安全:防火,防水,磁泄露,防震
(2)设备安全:防盗,物理隔离系统的设置,双网隔离设备
(3)介质安全:防盗防电 2.SQL Server 注入攻击的原理
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。3.黑客攻击步骤
(1)踩点
(2)扫描
(3)入侵
(4)获取权限
(5)提升权限(6)清除日志 4.常见的攻击手段
(1)密码破解攻击 :字典攻击
混合攻击
暴力攻击
专业工具(2)缓冲区溢出攻击
(3)欺骗攻击:源IP地址欺骗攻击
源路由欺骗攻击(4)DOS/DDOS攻击:DOS攻击
DDOS攻击(5)SQL注入攻击(6)网络蠕虫(7)社会工程学 5.常见的防范手段:
(1)抛弃基于地址的信任策略(2)使用加码方法(3)进行包过滤(4)防火墙技术
(5)确定所有服务器采用最新系统,并打上安全补丁。6.防火墙的体系结构(1)双重宿主主机体系结构
原理:双重宿主主机体质围绕双重宿主主机构建。双重宿主主机至少有两个网络接口,这样的知己可以充当外部网络和内部网络之间的路由器,所以它能够使内部网络和外部网络的数据包直接路由通过。然而双重宿主主机的防火墙体系结构不允许这样直接地通过。因此IP数据包并不是从一个网络直接发送到另一个网络。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信,但是外部网络与内部网络不能直接通信,他们之间的通信必须经过过滤和控制,一般在双重宿主主机上安装代理服务器软件,可以为不同的服务提供转发,并同时根据策略进行过滤和控制。双重宿主主机体系结构连接内部网络和外部网络,相当于内部外部网络的跳板,能够提供级别比较高的控制,可以完全禁止内部网络对外部网络的访问。(2)被屏蔽主机体系结构
原理:被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔开,在这种体系结构中,主要的安全防护功能由数据包过滤提供。
(3)被屏蔽子网体系结构
原理:被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,即通过添加周边网络更进一步把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单形式是两个屏蔽路由器,每一个都连接到周边网络。一个位于周边网络与内部网络之间,另一个位于周边网络与外部网络之间。
第三篇:土木工程概论课程学习总结
《土木工程概论》的感受认识
转眼间在杨老师的带领下学土木工程概论已经一学期了,上大学之前听之前的学长说《土木工程概论》这科是一门非常枯燥的课,但是在上杨老师的第一堂课我就改变了这个印象,杨老师讲课很仔细认真,特别是引经据典,经常让我们认识更多古老的建筑。由此我深深的喜欢上了这门课。
杨老师的《土木工程概论》具有明显的条理性。记得杨老师的第一节课就明确的给我们指出土木工程是一门范围非常广阔的课程,例如:建筑工程、道路工程、机场工程、轨道交通工程,我们现在主要学的是建筑工程,建筑工程是一门非常讲究的一门课,结合力学、美学等几大学科,包括的民用建筑、工业建筑、农用建筑等,杨老师告诫我们由于我们不知道将来会从事哪方面的建筑,所以必须学好这三类建筑的特点,课下做好笔记。自从听了第一节课,我发现我对这个专业的了解知之甚少,我急需扩充自己的知识面,以防到时候别人问起无言以对。
上完这学期概论课,完全颠覆了我对概论课的看法,是我对杨老师的课有了一个全新的认知,概论课虽然不想高数和制图那样需要多加练习才能掌握住要领,概论课完全是靠自己私下里体会才能收获更好的效果,于是我平时经常多多观察建筑物,学校里的所有建筑包括学生公寓、图书馆、食堂等建筑物的布局和分配,我感到非常的合理,使我不得不佩服设计者的其妙构思,比如食堂的设计也非常考究,这个涉及到用餐的流畅性,买饭、吃饭这个几个环节必须做到顺序性,拿我们学校的食堂来举例,每个食堂必须可以容纳几千人同时就餐而且不能使同学们吃饭时造成拥堵,这就不得不考虑餐、卖饭窗口和过道的布局,事实上我们学校的食堂设计的很成功,这个就体现了土木工程师的高明之策。
杨老师口中的道路工程也非常重要,交通是一个国家的经济命脉,也关系的民众的生命安全,道路的设计往往关系到一个地域的货物交换能力,科学的道路设计、施工可以让一个地域的经济因交通更加迅速发展,比如河北的石家庄就是一个完美的例子,多年前石家庄还是一个经济凋敝的小山村,然而当时国家修的“京广线”铁路恰好经过这个村子,客流使这个山村迅速发展成为一个大型的城市,这足以说明交通工程所涉及到人民的利益。
杨老师还给我们介绍了土木工程的材料方面的知识,包括物理,力学,耐久性等性质,例如:混凝土和砂浆等这类建筑施工需要的材料,另外吸声和隔声材料、装饰材料也是未来生活中必须引起重视的材料,我个人认为,在保证施工安全和住房安全的前提下,一些保证生活质量的材料是很有必要加强设计和研发的,土木工程中有很多东西需要我们去积极发现,积极探索才能更好的为社会主义现代化建设服务。此外,我还意识到每个地域的建筑材料应该不尽相同,必须因地制宜,盛产竹子的地方适合建造竹屋,石头多的地方适合建造石屋,粘性土壤的地方适合建造砖瓦房,这样做不尽物尽其美,而且大大减少了施工时的造价,很大程度上减少了工程预算。材料工程在土木工程中是一门很深的学问,我们不但要善于发掘,还要善于去运用,土木工程让我认识到科学的施工方法必定可以使建筑更好的屹立于风雨之中。
其实在《土木工程概论》里,我最感兴趣的方面是建筑设计工程,在建筑设计工程方面,我痴迷于世界各地的伟大的建筑物,例如:悉尼歌剧院、亚琛大教堂、迪拜摩天高楼等建筑艺术珍品。仅仅从外形上来说,可以说的上绝无仅有,不可复制。不光如此,还必须使整个建筑在风雨中稳如泰山,从受力分析上不知要耗尽多少人的心血,而且还要考虑材料的制作、用法等等,不知要耗费多少人力财力物力,设计者还要考虑费劲心思节约成本减少预算,想要建造一所流传于后世的建筑物是一件很困难的事情,所以世界上有名的建筑物并不多,当然如果能坚持不懈,克服困难,建造出世界有名的建筑物,绝对是一件令人享誉一生的事情!
学习《土木工程概论》对我来说是一件非常快乐的事情,因为这里有我的兴趣所在。我喜欢土木工程这个专业,这也是我以后工作的动力,兴趣决定了我以后要走的路的方向,不管荆棘坎坷,只要兴趣在前方,自己就一定能够坚持到底。学习建造一所高楼是人生中意见很美好的事情,我希望自己未来就是一名优秀的建造师,我会用我的努力来证明我说的话,因为走向土木工程这条路是我人生中很重要的抉择。我对《土木工程概论》一直有个想法,在我认为最优秀的教科书中,我觉得《土木工程概论》应该排在第一位,学习这门课可以很好的调动大家的上课氛围,无论接下来的《土木工程概论》有多难懂,我想我都会认真并努力理解,不单单是努力认真,而且还要全心全意。
我认为《土木工程概论》是一门给土木工程专业的大学生的风向标,它可以指引我们未来在土木工程这个专业发展的方向,毕竟每个人兴趣不同,所选择的方向也不同,《土木工程概论》起到了一个良好的引导作用,它全面的介绍了土木工程这个专业的范围,一本书有很多篇目,感兴趣的地方因人而异,以后所取得的成绩也各不相同,我作为一个土木工程专业的大学生深有体会,一个人的精神兴趣所在的位置,一个人的成功的地点也就在那里。我不仅仅要学《土木工程概论》这门课,还要付出实际行动,把自己的青春投入到这个行业,这样的青春才有意义,一个人应该不断努力追求自己的梦想,我现在就觉得,我离我的梦想越来越近,纵然现实有多么残酷,我都不能放弃自己的理想,就算显示让我失望也不能绝望。我在《土木工程概论》每一个篇章都会左上记号,现在上面划得全是我感兴趣的地方,如果一个人连自己的兴趣都不知道,或者就像行尸走肉一样,所以我一定要把自己的兴趣迅速培养起来,并且把自己的锻炼成一个成功的建造师。
我感觉每周一节《土木工程概论》很让人值得珍惜,觉得可有点太少了,应该至少再加一节课,我想不会其他同学不会有意见的。所以杨老师学的不仅仅是课本上的知识,还有其他一些为人处事的道理。
通过这个学期的《土木工程概论》的学习,我对土木工程有了一个全新的了解,我知道了土木工程囊括的很多方面,完全颠覆了我对土木工程的传统印象,不过这也在我意料之中,之前对土木工程不太了解,所以自己对土木工程的认识很狭隘。自从学习《土木工程概论》以后,我发现我的知识面越来越广,我同时也在发现自己正在逐步走向一个更精确的方面,这样的结果是逐步形成的,并不是意外。我一定会好好的把这门课,虽然这门课就一学期,但我还是非常珍惜这个机会,我对这门课有着很深的感情,我非常喜欢这门课,我在这门课上学会了选择自己以后的方向,学会了杨老师为人处事的道理,我获益匪浅,这门课是我一生中的转折点,我非常感谢这门课给我带来的这么多兴趣,让我知道自己的兴趣所在,我不知道寒假再开学还有没有《土木工程概论》这门课,但只要杨老师教过我这门课,我就心满意足。
作为一个土木工程专业的大学生,不仅仅要学好专业知识,更应该培养务实精神,感到受益匪浅。由此发现自己还有很多不足,也为以前的纸上谈兵而羞愧。我们不应该满足于之前在《土木工程概论》这本书上学到的理论知识,而且还要脚踏实地,积极务实。所以“纸上得来终觉浅,绝知此事要躬行”一直是一句亘古不变的箴言。
第四篇:信息安全概论
第一章
1、信息安全的基本属性:(1)可用性(2)机密性(3)非否认性(4)可控性(5)真实性(6)完整性
2、信息安全技术是指保障信息安全的技术,具体来说,它包括对信息的伪装、验证及对信息系统的保护等方面。
3、信息安全划分四个阶段:(1)通信安全发展时期(2)计算机安全发展时期(3)信息安全发展时期(4)信息安全保障发展时期。
4、信息安全威胁有:(1)信息泄露(2)篡改(3)重写(4)假冒(5)否认(6)非授权使用(7)网络与系统攻击(8)恶意代码(9)灾害、故障与人为破坏。
第二章
1、密码技术提供:完整性、真实性、非否认性等属性。
2、密码学分为:密码编码学和密码分析学。
3、按密钥使用方法的不同,密码系统主要分为对称密码、公钥密码。
4、密码分析也可称为密码攻击。
5、密码分析分为4类:(1)唯密文攻击(2)已知明文攻击(3)选择明文攻击(4)选择密文攻击。第三章
1、系统实体标识:(1)系统资源标识(2)用户、组和角色标识(3)与数字证书相关的标识。
2、威胁与对策:(1)外部泄密(2)口令猜测(3)线路窃听(4)重放攻击(5)对验证方的攻击。
3、PKI:公开密钥基础设施。(PKI中最基本的元素就是数字证书)
4、PKI的组成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件。
5、PKI支撑的主要安全功能:基于PKI提供的公钥证书和私钥,用户之间可以进行相互的实体认证,也可以进行数据起源的认证。
6、公钥认证的一般过程是怎样的? 公钥来加密,只有拥有密钥的人才能解密。通过公钥加密过的密文使用密钥可以轻松解密,但通过公钥来猜测密钥却十分困难。
7、简述PKI的构成和基本工作原理。PKI的构成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件 基本原理:PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务 第四章
1、访问控制策略:自主访问控制策略(DAC)、强制访问控制策略(MAC)、基于角色访问控制策略(RBAC)。
(HRU模型 Bell-Lapadula模型 BIBA模型 Dion模型。)
2、PMI技术:授权管理基础设施。
3、PMI基本属性要素:属性证书、属性权威机构及PMI模型。第五章
1、信息隐藏主要包括数字水印技术和隐写技术。
2、鲁棒水印:是一种主要面向数字内容版权保护的信息隐藏技术,他通过原
内容的感知冗余中隐藏地嵌入包含版权信息的数据。
3、脆弱水印技术将防伪信息隐藏在数字内容中,目的是以后通过检查发现篡改,由于防伪信息和被保护数据融合,方便地支持了电子图文的流动。(脆弱水印是一种保护数据完整性和真实性的技术)第六章
1、网络与系统攻击手段主要包括网络与系统调查、口令攻击、拒绝服务攻击、缓冲区溢出攻击等。
2、口令攻击的破解方法:(1)词典生成(2)口令截收和欺骗(3)非技术手段。
3、拒绝服务攻击的主要类型和基本原理是什么? 主要类型:(1)利用系统漏洞(2)利用网络协议(3)利用合理服务请求(4)分布式拒绝服务攻击。基本原理:攻击者通过发送大量的服务或操作请求,致使服务程序出现难以正常运行的情况。第七章
1、防火墙的基本类型:(1)包过滤防火墙(2)代理网关(3)包检查型防火墙(4)混合型防火墙。
2、入侵检测系统需要解决三个方面的问题:(1)需要充分并可靠地采集网络和系统中数据,提取描述网络和系统行为的特征;(2)必须根据以上数据和特征,高效并准确地判断网络和系统行为的性质;(3)需要对网络和系统入侵提供响应手段。
3、IDS数据源主要可分为两类:(1)基于主机的IDS(2)基于网络的IDS。
4、“蜜罐”技术是指一类对攻击、攻击者信息的收集技术。
5、“蜜罐”主要采用的技术:(1)伪装和引入(2)信息的控制(3)数据捕获和分析。
6、信息安全应急响应一般分为前期响应、中期响应、后期响应三个阶段。
7、IDS主要的分析检查方法:误用检测、异常检测、其他检测。8防火墙的原理是什么?
(监视 拒绝 隔离 可疑文件。)第八章
1、日志和审计是两个紧密相关的概念。
2、审计事件通常包括系统事件、登录事件、资源访问、操作、特权使用、账号管理和策略更改等类别。
3、事件分析与追踪:(1)检查进程(2)检查通信连接(3)检查登录用户(4)分析日志(5)文件系统分析(6)地址追踪(7)假冒地址追踪。
4、电子证据:利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中。
5、数字取证:利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中,它们就是电子证据。第九章
1、操作系统安全技术主要包括:(1)内存分离和进程分离(2)账户系统与特权管理(3)访问控制(4)文件保护(5)内核安全技术(6)安全审计(7)形式化验证。
2、典型数据库特色的安全需求:(1)
数据完整性(2)操作可靠性(3)存储
可靠性(4)敏感数据保护。
3、可信计算的基本思想是:如果可以从计算平台的源头实施可靠的防范,这些不安全因素可以被有效控制。
4、TCPA 可信计算平台联盟TPM 可信平台模块。第十章
1、OSI(国际标准化组织)安全体系结构:1-4层的安全服务以“底层网络安全协议”的方式提供,包括传输层安全协议(TLSP)和网络层安全协议(NLSP);5-7层的安全服务以“安全组件”的方式提供,包括系统安全组件和安全通信组件。
2、IPSex协议:应用于网络层。
3、SET(电子商务协议)标准:主要目的是保护互联网上信用卡交易安全。第十一章
1、常见的恶意代码:计算机病毒、蠕虫和特洛伊木马。
2、计算机病毒:是一类具有传染、隐蔽、破坏等能力的恶意代码。(CIH病毒、蠕虫、特洛伊木马)
3、恶意代码检测方法主要有:(1)
特征代码法(2)校验和法、行为监测法(3)软件模拟法(4)比较法(5)感染实验法 第十二章
1、内容安全技术主要用于不良内容传播控制、数字版权侵权控制、敏感内容泄露及其控制等方面。
2、内容安全技术分为被动内容安全技术和主动内容安全技术,被动内容安全技术不事先预处理被监管的内容,主动内容安全技术对被监管的内容进行预处理。第十三章1、1999年,我国颁布了国家标准《计算机信息系统安全保护等级划分准则》 2、2001年5月,成立了“中国信息安全产品测评认证中心”。
3、2001年,我国根据CC颁布了国家标准《信息技术 安全技术 信息技术安全性评估准则》
4、2007年,我国成立了“中国信息安全认证中心”。
5、设计人员或分析人员已经可以采用安全模型、协议形式化分析和可证明安全性方法等手段对安全策略、安全协议或密码算法进行验证。第十四章
1、安全策略主要应明确以下问题:(1)安全目标(2)访问主体(3)访问客体(4)访问方式。
2、在进行风险评估前,一般需要先分析信息系统的威胁、脆弱性和可能的攻击。
第五篇:信息科技课程学习总结
加快物联网建设,夺取新一轮技术革命的胜利
一种技术主导一个世纪,一种技术成就一个时代。从18世纪的大机械系统和工业革命,19世纪的蒸汽机时代,20世纪的信息技术时代,我们不禁要问21世纪又将是什么样的技术进步能开启时代的新篇章?
一种观点认为:科学技术的发展是难以预见的,主要依靠科学家的灵机一动,技术的演进则取决于科学发明。但如果从更全面的角度认识技术变革,就会发现技术的进步很大程度上取决于人们的战略取向。技术变革的主要动力是经济和社会发展的需求。发明电子计算机的驱动力来自二战时计算弹道的紧迫需求,发明晶体管的驱动力来自电话通信的交换机。远离真实需求的所谓新技术往往成为泡沫。2009年11月3日温家宝总理向首都科技界发表《让科技引领中国可持续发展》的讲话中强调:选择新兴战略性产业非常重要,选对了就能跨越发展,选错了将会贻误时机。要以国际视野和战略思维来选择和发展新兴战略性产业,着眼于引发技术和产业变革。
在过去几十年中,信息技术一直走在信息科学的前面,无论是图灵机理论、冯·诺依曼计算机模型,还是香侬信息论,都是在20世纪30~40年代建立起来的。半个多世纪过去了,尽管信息技术飞速发展,但许多重要的信息科学基本理论问题仍没有得到解决。根据前苏联经济学家康德拉季耶夫提出的经济长波理论,我们预计21世纪上半叶信息科学将取得突破性发展,而下半叶将出现一次基于科学突破的新的信息技术革命。
近年来世界各国纷纷推出了新的电子信息产业发展的战略,美国智能系统的发展,提出了智慧地球的理念。日本重点关注教育、医疗和政府服务这三个领域。韩国政府出台了韩国未来的IT战略,英国提出来数字英国计划。这些都是把信息技术与传统工业的融合应用作为未来发展的重点,在欧盟、日本出台的电子信息相关的战略中,还特别强调物联网在传统当中应用作为未来发展的重点。
中国科学院信息领域战略研究组通过一年多的战略研究工作,做出的最基本的判断是:第一,信息技术经过半个世纪的高速发展以后,不会变成以增量改进为主的传统产业技术,而是面临一次新的信息科学革命。第二,不论是集成电路、高性能计算机,还是互联网和存储器,2020年前后都会遇到只靠延续现有技术难以逾越的障碍(信息技术墙),孕育着新的重大科学问题的发现和原理性的突破。基于以上的分析,我们认为,信息领域的科技工作者必须积极探索攻克“信息技术墙”的核心技术,解决信息系统的可扩展性、低能耗、安全性和易用性等难题,逐步形成符合科学发展观的新的信息网络体系。
在本届两会上,信息产业的重要性和发展目标进一步明确,面临的机遇与挑战渐渐清晰。首先,政府继续力推“两化融合”。其次,强调信息基础设施作用。此外,在谈到“扩大居民消费需求”时,报告提出“加强农村和中小城市商贸流通、文化体育、旅游、宽带网络等基础设施建设”、“积极发展电子商务、网络购物、地理信息等新型服务业态”。在谈到“加强社会建设和保障改善民生”时,报告提出“加快就业信息网络建设,实现全国互联互通”、“加快推进社会保障管理信息化”、“加强信息安全和保密工作,完善信息网络管理”等。
报告中重点提到“积极发展新一代信息技术产业,建设高性能宽带信息网,加快实现三网融合,促进物联网示范应用”。“十二五”规划中则进一步明确:“新一代信息技术产业重点发展新一代移动通信、下一代互联网、三网融合、物联网、云计算、集成电路、新型显示、高端软件、高端服务器和信息服务”。
新一代信息技术包括范围很广。笔者认为我们发展重点应在于物联网及其产业的建设,尽快打破信息技术墙:传统的计算机科学主要致力于研究如何最好地设计、构造、分析和编程计算机,而现在研究的问题主要是如何最好地设计、构建、分析和操作网络。继20世纪发展系统论、信息论和控制论之后,21世纪将提出新的网络论——物联网。
1999年 在美国召开的移动计算和网络国际会议MIT Auto-ID中心的Ashton教授在研究RFID时最早提出物联网(Internet of Things)这个概念。2008年后,各国政府开始重视下一代的技术规划,将目光放在了物联网上。在中国,同年11月在北京大学举行的第二届中国移动政务研讨会提出移动技术、物联网技术的发展代表着新一代信息技术的形成,推动了面向知识社会的以用户体验为核心的创新2.0形态的形成。而创新2.0形态的形成又进一步推动新一代信息技术的健康发展。物联网是新一代信息技术的重要组成部分,该技术的发展得到了国家高层领导的重视,温总理在2009年提出“感知中国”以后,物联网被正式列入国家五大新兴战略性产业之一。2009年8月温家宝总理在视察中科院无锡物联网产业研究所时,对于物联网应用也提出了一些看法和要求。物联网在中国受到了全社会极大的关注,其受关注程度是在美国、欧盟、以及其他各国不可比拟的。中科院上海微系统与信息技术研究所副所长、中科院无锡高新微纳传感网工程中心主任刘海涛自豪的说过“与计算机、互联网产业不同,中国在‘物联网’领域享有国际话语权!”。
物联网是信息技术发展的前沿,通俗地讲,物联网就是“物物相连的互联网”,是将各种信息传感设备通过互联网把物品与物品结合起来而形成的一个巨大网络。
从技术架构上来看,物联网可分为三层:感知层、网络层和应用层。
感知层由各种传感器以及传感器网关构成,包括二氧化碳浓度传感器、温度传感器、湿度传感器、二维码标签、RFID 标签和读写器、摄像头、GPS等感知终端。感知层的作用相当于人的眼耳鼻喉和皮肤等神经末梢,它是物联网获识别物体,采集信息的来源,其主要功能是识别物体,采集信息。
网络层由各种私有网络、互联网、有线和无线通信网、网络管理系统和云计算平台等组成,相当于人的神经中枢和大脑,负责传递和处理感知层获取的信息。
应用层是物联网和用户(包括人、组织和其他系统)的接口,它与行业需求结合,实现物联网的智能应用。
业内专家认为,物联网一方面可以提高经济效益,大大节约成本;另一方面可以为全球经济的复苏提供技术动力。目前绿色农业、工业监控、公共安全、城市管理、远程医疗、智能家居、智能交通和环境监测等各个行业均有物联网应用的尝试,某些行业已经积累一些成功的案例。
工信部14日在北京为我国首个物联网产业示范基地 重庆市南岸区“国家物联网产业示范基地”授牌,同时重庆市南岸区就国家物联网产业示范基地项目与相关企业签订协议,签约金额超过200亿元。
工业和信息化部副部长奚国华在授牌仪式上表示,物联网技术和产业的发展将引发新一轮信息技术革命和产业革命,是信息产业领域未来竞争的制高点和产业升级的核心驱动力。工信部正在制定全国发展物联网产业的指导意见,主要包括促进物联网在战略性产业和民生事业的先导示范应用,通过商业模式的创新培育物联网企业,在全国合理布局物联网产业等内容。工信部于去年12月正式批准重庆市南岸区为“国家新型工业化电子信息物联网产业示范基地”,这一基地将承载着促进重庆市经济增长和产业结构优化升级的重要任务,为全国物联网产业的发展提供可借鉴的宝贵经验。
重庆市市长黄奇帆表示,十二五期间,物联网产业和云计算是重庆信息产业发展重点,国家中心城市的定位和“五个重庆”的建设,为重庆市物联网产业发展积聚了巨大的市场潜力。近年来,重庆市打造了一大批物联网示范项目,物联网应用已经走在全国前列。国家物联网产业示范基地落户重庆,将对重庆城市智能化、资源优化配置、社会运行系统提升等方面有很大的推动作用。
“十二五”将新一代信息技术产业排在七大战略新兴产业中的第一位,表明了国家在整体战略规划上对信息技术产业的深切期望。我们有理由相信在我国信息科学人才和广大同胞的努力下,我们必将走在信息技术革命的前沿,取得一次又一次的胜利。
点击咨询 