第一篇:2014网络安全基础应用与标准(第4版)(清华大学出版社)期末复习总结
信息安全基础复习
1、列出并简述安全机制。P12
2、列出并简述安全攻击的分类。P7-8 被动攻击:本质是窃听或监视数据传输,获取传输的数据信息;攻击形式有消息内容泄露攻击、流量分析攻击;难以检测,使用加密来防范。
主动攻击:本质是数据流改写、错误数据流添加;方式有假冒、重放、改写消息、拒绝服务;容易检测,解决办法是检测威慑与攻击后恢复。
3、简述凯撒密码加密算法与破解依据。
通过把字母移动一定的位数实现加解密,加密程度低,只需要简单统计字频就可破译。
4、简述维吉尼亚(vigenere)加密算法与破解方法。
使用词组作为密钥,词组中每个字母都作为移位替换密码密钥确定一个替换表,维吉尼亚密码循环的使用每一个替换表明文字母到密文字母的变化,最后得到的密文字母序列即为密文;先推理出密钥长度,再根据起始位置用破解凯撒密码的方式破解。
5、什么是乘积密码?
以某种方式连续执行两个或多个密码,使得到的最后结果或乘积从密码编码角度而言比其任意一个组成密码都强。
6、(古典密码)加密算法的两种基本操作? 置换、代换。
7、简述雪崩效应。对加密算法为什么要求雪崩效应?
少量消息位的变化会引起信息摘要的许多位变化。为加强保密的安全强度,防止消息被破解。
8、列出分组密码常用的五种加密模式,各自的优缺点和用途。画出CBC(MAC用)模式的示意图。P40
一、电子密码本模式(ECB),性质用途:ECB模式下,加密算法的输入是明文,算法的输出将直接作为密文进行输出,不进行任何形式的反馈,每个明文分组的处理是相互独立的,这种方式也是分组密码工作的标准模式。适用于对字符加密, 例如, 密钥加密。缺:在给定密钥k 下,同一明文组总是产生同一密文组,这会暴露明文组的数据格式,重要数据可能泄露被攻击者利用;优:用同个密钥加密的单独消息,不会错误传播。
二、密码分组链接模式(CBC),性质用途:在密钥固定不变的情况下,改变每个明文组输入的链接技术。可用于认证系统,能被用来产生一个消息认证码。缺: 会出现错误传播,密文中任一位发生变化会涉及后面一些密文组;优:(1)能隐蔽明文的数据模式,(2)在某种程度上能防止数据篡改, 诸如明文组的重放,嵌入和删除等.三、密码反馈模式(CFB),性质用途:反馈的密文不再是64bit, 而是s bit,且不直接与明文相加,而是反馈至密钥产生器中,能将任意分组密码转化为流密码,能实时操作。可用于认证系统,能被用来产生一个消息认证码。优点:它特别适用于用户数据格式的需要。缺点:一是对信道错误较敏感且会造成错误传播,二是数据加密的速率较低。
四、计数器模式(CRT),用途:允许在解密时进行随机存取。由于加密和解密过程均可以进行并行处理,适合运用于多处理器的硬件上。优点:硬件效率高,软件效率高,有预处理能力,随机存取能力,安全性强,具备一定的简单性。
五、输出反馈模式(OFB),性质用途:实质上就是一个同步流密码,通过反复加密一个初始向量IV来得到密钥流。常用于卫星通信中的加密。优点:克服了CBC 模式和CFB 模式的错误传播带来的问题,缺点:明文很容易被控制窜改,任何对密文的改变都会直接影响明文。
总结:(1)ECB模式简单、高速,但最弱,易受重发和替换攻击,一般不采用。(2)CBC,CFB,OFB模式的选用取决于实际的特殊需求。(3)明文不易丢信号,对明文的格式没有特殊要求的环境可选用CBC模式。需要完整性认证功能时也可选用该模式。(4)容易丢信号的环境,或对明文格式有特殊要求的环境,可选用CFB模式。(5)不易丢信号,但信号特别容易错,但明文冗余特别多,可选用OFB模式
9、什么是MAC,什么用途,怎样产生?P51 MAC即为消息认证码,可以附到消息上,由一种认证技术利用私钥产生。
10、什么是安全散列函数?它为什么要抗碰撞?P54 安全散列函数目的是为文件、消息或其他数据块产生指纹,具备6个安全性质(P54); 抗碰撞可以防止像生日攻击(生日攻击:利用概率性质进行随机攻击)这种类型的复杂攻击。
11、数字签名为什么要借助散列函数?P54 P72 因为数字签名不仅认证了消息源,还保证了数据的完整性,而散列函数有单向性,它能给消息产生指数,安全性高,可防止消息被伪造。
12、简述RSA算法,实例。P66-68
13、简述DH算法,实例。P69-70
14、简述Kerberos协议执行时的通信过程。P86结合P90项目,AS,TGS
15、X.509证书内容。p96-98
16、简述数字签名(DS),数字签名标准(DSS),数字签名适用的算法,数字签名算法(DSA)。P65 P71-72
17、什么是KDC?P72
18、模指数算法,算法叙述与实例计算。P68
19、求模一个素数(100内)的本原根。(习题)20、目前流行的公钥体制,一般靠什么保证安全?P102 公钥基础设施(PKI)
21、什么是SSL?其中握手协议的通信过程?P117 P123-127 安全套接字层(SSL);四个阶段。
22、数字签名算法(DSA),靠什么保证安全,有什么优点?P71-72 它的安全基础是求解离散对数的困难性,它足够的密钥长度可以抵抗穷搜索方法、生日攻击等攻击方法,安全系数高。
23、简述SET协议的执行步骤,说明其中双联签名的作用。P96 SET即安全电子交易,以X.509为标准,步骤:支付初始化请求和响应阶段——支付请求阶段——授权请求阶段——授权响应阶段——支付响应阶段;
双联(双重或者对偶)签名技术下,持卡人的订购信息和支付指令是相互对应的,这样可以保证顾客的隐私不被侵犯。
24、公钥分配有哪些方法?各自存在什么问题?P81 方法:公钥公布(方法简单,但容易伪造)、公开可访问目录(安全性较公钥公布高,但仍易受攻击)、公钥授权中心(想与他人通信必须申请,公钥管理员可能成为系统瓶颈,而且管理员所维护的含有姓名和公钥的目录表也容易被篡改)、公钥证书(所有数据经CA用自己的私钥签字后形成证书,需要较多条件来满足证书要求)。
25、密钥分配有哪些方法?P81 四种方法。
26、什么是木马病毒?P276
27、什么是蠕虫病毒?P287
28、什么是拒绝服务攻击(DOS)?P295
29、什么是包过滤路由器?包过滤有哪些缺点?P308 PPT及补充: 30、基于挑战/应答(Challenge/Response)方式的身份认证系统(用户登录验证,挑战—应答协议): 每次认证时认证服务器端都给客户端发送一个不同的“挑战”字串,客户端程序收到这个“挑战”字串后,做出相应的“应答”,以此机制而研制的系统.认证过程:
1)客户向认证服务器发出请求,要求进行身份认证;
2)认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理; 3)认证服务器内部产生一个随机数,作为“提问”,发送给客户;
4)客户将用户名字和随机数合并,使用单向散列函数生成一个字节串作为应答;
5)认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败; 6)认证服务器通知客户认证成功或失败。
31、缓冲区溢出概念?
介绍:一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。防范:
1、关闭端口或服务。管理员应该知道自己的系统上安装了什么,并且哪些服务正在运行
2、安装软件厂商的补丁,漏洞一公布,大的厂商就会及时提供补丁
3、在防火墙上过滤特殊的流量,无法阻止内部人员的溢出攻击
4、自己检查关键的服务程序,看看是否有可怕的漏洞
5、以所需要的最小权限运行软件
32、信息安全面临的威胁?
信息窃取、信息假冒、信息篡改、抵赖、拒绝服务
33、信息安全(计算机安全)的三个方面?P3 机密性、完整性、可用性,还有真实性(认证),责任性(防抵赖)
34、P23 对称加密=常规加密=私钥加密=单钥加密, 原理。
35、P28 对称分组加密算法,最常用的是分组密码,举三个类型:数据加密标准(DES),三重数据加密标准(3DES),高级加密标准(AES)。
36、密码技术
1)古典密码两种基本操作:代换、置换 2)现代密码——。。。3)我们讲的也是民用通行的分组
乘积密码、多轮、安全靠密钥保密,不靠算法保密、雪崩效应
37、MAC与分组密码的加密模式关联,凡是带反馈的模式,都可以产生,为什么? 无解,参考:P42密码反馈模式(CFB)P51消息认证码(MAC)
38、数论基础。
有限域、GF(28)、用二进制数表示多项式,GF(23)乘法表,GF(28)乘法表、在分组密码AES中的应用。
39、初等数论。
离散对数问题(椭圆曲线密码算法(ECC)大数因数分解问题
费尔马小定理:假如a是整数,p是质数,且a,p互质(即两者只有一个公约数1),那么a的(p-1)次方除以p的余数恒等于1。欧拉定理:若n,a为正整数,且n,a互质,则: 40、一对密钥,即公钥、私钥,阐述各自的用途。
效率低,速度慢,所以对于对称密码来说是补充而不是取代。
41、P66-72 公钥加密算法:RSA和DH(密钥交换)。RSA:理解,通过两个不大的素数、公钥,来求私钥。
DH:给一个素数,一个本原根(元),两个私钥,求出共享秘密。
42、P54 散列函数、安全散列函数要求
任意长输入、固定长输出、散列值容易计算、知道散列值,求不出消息、弱抗碰撞、强抗碰撞
43、签名和认证。
先计算散列值、在散列值上用私钥签名、用公钥验证签名。
44、(见24题)密钥管理:
有了公钥系统,解决了会话密钥的分配问题 公钥的管理:
公开声明、在公开发行的目录上登记、公钥授权服务、证书
45、证书的内容(结构)。P97
46、协议。Kerberos、SSL、SET、(次要:PGP、IPsec)
一、Kerberos:(14题 P82)
参与方、申请服务的通讯过程、客户-各服务器的共享密钥及其来源、服务器间的密钥
阐述:Kerberos:网络认证协议,过程是客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1)服务器 “ticket” ; 2)一个临时加密密钥(又称为会话密钥 “session key”)。客户机将 ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
二、SSL:(21题)
包括握手协议、密码变更规格协议、报警协议。会话、连接的概念(P118)
执行握手协议要完成的工作、执行过程。(P122-127)阐述:握手协议、密码变更规格协议、报警协议。
三、SET:(23题 P96)电子交易过程(见23题)对偶签名及其作用
如何实施:SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性。其理论基础就是不可否认机制,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。如何验证:SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
第二篇:网络安全基础期末考察标准
网络安全基础考察内容
适用班级:应用12301楼宇12302
考查形式:实践性论文
可选题目:
1、网络安全规划与方案制定,网络规模自定,需完整合理的描述自己的网络安全构建,对于客户机、服务器、路由器、防火墙、入侵检测系统、交换设备等安全相关设备有较完备的安排与规划。
2、对于网络安全形式的分析:分析现有网络的安全风险,并有较为详细的风险说明以及预防措施方面的见解.3、个人对于防火墙的认识:详细说明防火墙工作原理及其可能产生的漏洞与风险,加以说明;
标题,关键字,概要(摘要),正文
4、入侵模拟实验:详细分析一次入侵攻击过程并制定防范措施; 以上4个方向命题自选,需提交打印或手写文档,电子版发至 ;
只交电子档的同学无成绩。字数要求:3500字以上。
提交时间,本学期15周以前
第三篇:网络安全基础教程应用与标准
网络安全基础教程应用与标准(第2版)
作 者 William Stallings 出 版 社 清华大学出版社 书 号 302-07793-2 丛 书 大学计算机教育国外著名教材、教参系列(影印版)责任编辑 出版时间 装 帧 带 盘 定 价
2004年1月平装 否 ¥39.0
开本 字数 印张 页数千字 26.5 409
普通会员 银牌会员 金牌会员 批量购书 ¥31.2 ¥30.4 ¥29.6
请电话联系: 010-51287918
网络安全基础教程应用与标准(第2版)内容提要
本书是著名作者William Stallings的力作之一,详细介绍了网络安全的基础知识、应用及标准。全书共分为三部分:(1)密码算法和协议,包括网络应用中的密码算法和协议;(2)网络安全应用,介绍了一些主要的网络安全工具和应用,如Kerberos、X.509v3证书、PGP、S/MIME、IP安全、SSL/TLS、SET以及SNMPv3等;(3)系统安全,介绍了一些系统级的安全问题,如网络入侵与病毒的危害以及对策,防火墙和托管系统的应用等。此外,每章后面都提供了一定的练习和复习题,以便于读者地所学知识的巩固。第2版新增高级加密标准的讨论、对病毒、蠕虫及非法入侵的论述也进行了扩充。而且,教师和学生还可以通过访问来获取补充材料。本书可作为计算机科学、计算机工程、电子工程等相关专业本科生的网络安全课程教材,也是网络安全从业人员的自学用书。
网络安全基础教程应用与标准(第2版)目录
CHAPTER 1 INTRODUCTION’ 1.1 The OSI Security Architecture 1.2 Security Attacks 1.3 Security Services 1.4 Security mechanisms 1.5 A Model for Network Security 1.6&nbs
查看目录全文
网络安全基础教程应用与标准(第2版)相关丛书
· 80*86 IBM PC 及兼容计算机卷I和卷II:汇编语言,· Digital Image Processing数字图像处理
设计与接口技术(第3版)
· Introduction to Automata Theory,Languages,and · Discrete Mathematics 5th ed.离散数学(第5版)(影
Computation 2nd ed.自动机理论、语言和计算导论(第2印版)
版)· PCI-X系统的体系结构
· UML精粹:标准对象建模语言简明指南(第3版)· 操作系统:实践与应用
· 分布式数据库系统原理(第2版)· 计算机科学导论(第7版)· 逻辑设计基础
· TCP/IP协议簇(第2版)
· UNIX网络编程 卷2:进程间通信(第2版)· 操作系统原理(影印版)· 高级Unix程序设计(第2版)· 计算机网络(第4版)
· 密码学与网络安全:原理与实践(第2版)
· 数据结构C++语言描述——应用标准模板库(STL)第2· 数据结构Java语言描述(第2版)版
· 数据结构与算法(影印版)· 数据挖掘基础教程
· 现代系统分析与设计(第3版)
· 数据结构与算法分析 C++描述(第二版)· 网络安全基础教程:应用与标准
《网络与信息安全工程师》培训方案
一、【培训目标】
网络与信息安全工程师的培训目的是:培养出能为企业量身定做合理且经济的信息网络安全的体系架构;能分析企业的日常业务、非日常业务的性质和数量,衡量企业不同类型的业务所需要的安全系数和水准;要会选取合适的防火墙、入侵检测系统、相关的网络互联和交换设备,以及相关的安全系统软件和应用软件,提出针对不同问题和业务的安全解决方案的网络信息安全专家。
二、【培训内容】
网络信息安全的基础理论及系统应用操作
三、【培训方法及其它】 学习方式:
1、学习时间为一至三个月,每周一至五晚上。共计60课时。
2、教学安排分理论与上机实操。其中理论课(安排25课时)聘请具有丰富实操经验的教师,重点讲解成功案例分析及心得体会,上机应用(安排35课时)。
培训对象:正在从事网络信息安全行业或者有志于进入信息安全行业的相关人员及在校大学生。
培训时间:2005年 月 日——2005年 月 日 师资力量:特邀重点大学知名教授和有着丰富教学经验和成功操作案例的著名公司专业培训讲师授课
培训方式:每班 人
(精品课程、小班教学,全部教学使用高性能硬件配置品牌机型授课)资格认证:通过网络与信息安全工程师认证考试,可获得如下证书:
由国家信息产业部电子教育中心颁发的《网络与信息安全工程师技术资格证书》 ;全国认可。课程教材
《网络安全设计标准教程》 清华大学出版社
《网络与信息安全工程师》教学计划安排表
第1章 网络安全概述
1.1 网络信息安全基础知识 1.1.1 网络信息安全的内涵
1.1.2 网络信息安全的关键技术
1.1.3 网络信息安全分类 1.1.4 网络信息安全问题的根源 1.1.5 网络信息安全策略 1.2 网络信息安全体系结构与模型 1.2.1 1so/OSI安全体系结构 1.2.2 网络信息安全解决方案 1.2.3 网络信息安全等级与标准 1.3 网络信息安全管理体系(NISMS)1.3.1 信息安全管理体系的定义 1.3.2 信息安全管理体系的构建 1.4 网络信息安全评测认证体系 1.4.1 网络信息安全度量标准 1.4.2 各国测评认证体系与发展现状 1.4.3 我国网络信息安全评测认证体系 1.5 网络信息安全与法律
1.5.1 网络信息安全立法的现状与思考 1.5.2 我国网络信息安全的相关政策法规 1.6 本章小结
第2章 密码技术 2.1 密码技术概述
2.1.1 密码技术的起源、发展与应用 2.1.2 密码技术基础 2.1.3 标准化及其组织机构 2.2 对称密码技术
2.2.1 对称密码技术概述 2.2.2 古典密码技术 2.2.3 序列密码技术 2.2.4 数据加密标准(DES)2.2.5 国际数据加密算法(1DEA)2.2.6 高级加密标准(AES)2.3 非对称密码技术
2.3.1 非对称密码技术概述 2.3.2 RSA算法
2.3.3 Diffie-Hellman密钥交换协议 2.3.4 EIGamal公钥密码技术 2.3.5 椭圆曲线密码算法 2.4 密钥分配与管理技术 2.4.1 密钥分配方案 2.4.2 密钥管理技术 2.4.3 密钥托管技术
2.4.4 公钥基础设施(PKl)技术 2.4.5 授权管理基础设施(PMl)技术 2.5 数字签名
2.5.1 数字签名及其原理 2.5.2 数字证书
2.5.3 数字签名标准与算法 2.6 信息隐藏技术
2.6.1 信息隐藏技术原理
2.6.2 数据隐写术(Steganography)2.6.3 数字水印 2.7 本章小结
第3章 访问控制与防火墙技术 3.1 访问控制技术
3.1.1 访问控制技术概述 3.1.2 访问控制策略
3.1.3 访问控制的常用实现方法 3.1.4 WindowsNT/2K安全访问控制手段 3.2 防火墙技术基础 3.2.1 防火墙概述 3.2.2 防火墙的类型。3.3 防火墙安全设计策略 3.3.1 防火墙体系结构 3.3.2 网络服务访问权限策略 3.3.3 防火墙设计策略及要求 3.3.4 防火墙与加密机制 3.4 防火墙攻击策略 3.4.1 扫描防火墙策略 3.4.2 通过防火墙认证机制策略 3.4.3 利用防火墙漏洞策略 3.5 第4代防火墙的主要技术
3.5.1 第4代防火墙的主要技术与功能 3.5.2 第4代防火墙技术的实现方法 3.5.3 第4代防火墙抗攻击能力分析 3.6 防火墙发展的新方向 3.6.1 透明接人技术 3.6.2 分布式防火墙技术
3.6。3 以防火墙为核心的网络信息安全体系 3,7 防火墙选择原则与常见产品 3.7.1 防火墙选择原则 3.7.2 常见产品 3.8 本章小结
第4章 入侵检测与安全审计 4.1 入侵检测系统概述 4.1.1 入侵检测定义
4.1.2 入侵检测的发展及未来 4.1.3 入侵检测系统的功能及分类 4,1.4 入侵响应 4.1.5 入侵跟踪技术
4.2 入侵检测系统(1DS)的分析方法 4.2.1 基于异常的入侵检测方法 4.2.2 基于误用的入侵检测方法 4.3 入侵检测系统结构
4.3.1 公共入侵检测框架(CIDF)模型 4.3.2 简单的分布式入侵检测系统
4.3.3 基于智能代理技术的分布式入侵检测系统 4.3.4 自适应入侵检测系统 4.3.5 智能卡式人侵检测系统实现 4.3.6 典型入侵检测系统简介 4.4 入侵检测工具简介 4.4.1 日志审查(Swatch)4.4.2 访问控制(TCPWrapper)4.4.3 Watcher检测工具 4.5 现代安全审计技术 4.5.1 安全审计现状
4.5.2 安全审计标准CC中的网络信息安全审计功能定义 4.5.3 分布式入侵检测和安全审计系统S-Au山t简介 4.6 本章小结
第5章 黑客与病毒防范技术 5.1 黑客及防范技术 5.1.1 黑客原理 5.1.2黑客攻击过程 5.1.3 黑客防范技术 5.1.4 特洛伊木马简介 5.2 病毒简介
5.2.1 病毒的概念及发展史 5.2.2 病毒的特征及分类 5.3病毒检测技术
5.3.1 病毒的传播途径 5.3.2病毒检测方法 5.4病毒防范技术
5.4.1 单机环境下的病毒防范技术 5.4.2 小型局域网的病毒防范技术 5.4.3 大型网络的病毒防范技术 5.5 病毒防范产品介绍
5.5.1 病毒防范产品的分类 5.5.2 防杀计算机病毒软件的特点 5.5.3 对计算机病毒防治产品的要求 5.5.4 常见的计算机病毒防治产品 5.6 本章小结 第6章 操作系统安全技术 6.1 操作系统安全概述
6.1.1 操作系统安全的概念 6.1.2 操作系统安全的评估 6.1.3 操作系统的安全配置 6.2 操作系统的安全设计 6.2.1 操作系统的安全模型
6.2.2 操作系统安全性的设计方法及原则 6.2.3 对操作系统安全'陛认证 6.3 Windows系统安全防护技术
6.3.1 Windows2000操作系统安全性能概述 6.3.2 Windows2000安全配置
6.4 Unix/Linux操作系统安全防护技术 6.4.1 Solaris系统安全管理 6.4.2 Linux安全技术 6.5 常见服务的安全防护技术 6.5.1 WWW服务器的安全防护技术 6.5.2 Xinetd超级防护程序配置 6.5.3 SSH程序 6.6 本章小结
第7章 数据库系统安全技术 7.1 数据库系统安全概述 7.1.1 数据库系统安全简介
7.1.2 数据库系统的安全策略与安全评估 7.1.3 数据库系统安全模型与控制 7.2 数据库系统的安全技术 7.2.1 口令保护技术 7.2.2数据库加密技术
7.2.3 数据库备份与恢复技术 7.3 数据库的保密程序及其应用 7.3.1 Protect的保密功能 7.3.2 Protect功能的应用 7.4 Oracle数据库的安全 7.4.1 Oracle的访问控制 7.4.2 Oracle的完整性 7.4.3 Oracle的并发控制 7.4.4 Oracle的审计追踪 7.5 本章小结 第8章 数据安全技术 8.1 数据安全技术简介 8.1.1 数据完整性 8.1.2数据备份 8.1.3 数据压缩 8.1.4数据容错技术 8.1.5 数据的保密与鉴别 8.2 数据通信安全技术
8.2.1 互联网模型应用保密和鉴别技术 8.2.2 端对端保密和鉴别通信技术 8.2.3 应用层上加数据保密和鉴别模块技术 8.3 本章小结
第9章Web安全技术 9.1 因特网安全概述
9.1.1 因特网上的安全隐患 9.1.2 因特网的脆弱性及根源 9.2 Web与电子商务安全技术
9.2.1 Web与电子商务的安全分析 9.2.2 Web安全防护技术 9.2.3 安全套接层协议(SSL)9.2.4 电子商务的安全技术 9.2.5 主页防修改技术 9.3 1P的安全技术 9.3.1 1P安全概述 9.3.2 1P安全体系结构
9.3.3 Windows2000的IPSec技术 9.4 E-mail安全技术 9.4.1 E-mail安全概述 9.4.2 E-mail的安全隐患 9.4.3 PGP标准 9.4.4 S/MIME标准 9.4.5 PCP软件的使用实例 9.5 安全扫描技术
9.5.1 安全扫描技术的分类 9.5.2 安全扫描系统的设计 9.5.3 安全扫描工具与产品 9.6 网络安全管理技术
9.6.1 网络安全管理的必要性 9.6.2 传统的网络管理技术及其发展 9.6.3 基于ESM理念的安全管理机制 9.6.4 网络安全管理体系实现的功能
9.6.5 安全管理系统与常见安全技术或产品的关系 9.7 网络信息过滤技术 9.7.1 信息阻塞
9.7.2 信息定级与自我鉴定 9.7.3 其他的一些客户端封锁软件 9.8身份认证技术
9.8.1 身份认证概述
9.8.2 单机状态下的身份认证 9.8.3 网络环境下的身份认证 9.8.4 Windows肉T安全认证子系统 9.9 虚拟专用网络(VPN)技术 9.9.1 VPN概述
9.9.2 VPN的关键安全技术 9.9.3 VPN的实现方法 9.9.4 VPN产品与解决方案
网络安全设计标准教程
【图书简介】
本书详细叙述利用Windows Server 2003构建安全网络的基础知识。内容主要分为两部分:第一部分介绍网络安全和操作系统的基本概念,包括网络安全概论、网络攻击的目的、方法和原理以及操作系统概论和Windows Server 2003的简要介绍;第二部分详细介绍有关Windows Server 2003关于网络安全设计的具体技术。本书内容丰富,叙述简洁清晰,适用于Windows Server 2003网络的初级用户,对欲了解网络安全基本原理的读者也有裨益。
【本书目录】 第1章 网络安全概论 1 1.1 互联网发展现状分析 1 1.2 建立安全机制的必要性 2 1.2.1 互联网的安全划分 2 1.2.2 中国互联网的安全现状 3 1.3 网络安全解决方法 4 1.3.1 网络安全的基本概念 4 1.3.2 防火墙技术 6 1.3.3 加密技术 7 1.4 管理黑客活动 11 1.4.1 黑客活动分类 12 1.4.2 黑客入侵实例分析 13习题 13 第2章 网络攻击的目的、方法和原理 14 2.1 什么是网络攻击及网络安全设计的目的 14 2.2 网络攻击的基本步骤 14 2.3 常见攻击手法 16 2.3.1 口令入侵 16 2.3.2 植入特洛伊木马程序 16 2.3.3 WWW的欺骗技术 17 2.3.4 电子邮件攻击 17 2.3.5 通过一个节点攻击其他节点 17 2.3.6 网络监听 17 2.3.7 黑客软件 18 2.3.8 安全漏洞攻击 18 2.3.9 端口扫描攻击 18 2.4 网络攻击手法的原理剖析 18 2.4.1 缓冲区溢出攻击的原理和防范措施 19 2.4.2 拒绝服务攻击的原理和防范措施 21 2.5 网络安全设计的原则 23 2.5.1 原则一:保护最薄弱的环节 24 2.5.2 原则二:纵深防御 24 2.5.3 原则三:保护故障 25 2.5.4 原则四:最小特权 25 2.5.5 原则五:分隔 26 2.5.6 原则六:简单性 26 2.5.7 原则七:提升隐私 26 2.5.8 原则八:不要试图隐藏所有的秘密 27 2.5.9 原则九:不要轻易扩展信任 27习题 28 第3章 服务器操作系统基础 29 3.1 操作系统基本原理 29 3.2 常见的操作系统分类及其典型代表 31 3.3 Windows Server 2003的安装和配置 33 3.3.1 Windows Server 2003概述 33 3.3.2 Windows Server 2003的安装 34 3.4 Windows Server 2003安全特性概述 35 3.4.1 活动目录 35 3.4.2 公钥密码系统 37 3.4.3 加密文件系统 38 3.4.4 使用Windwos的安全配置工具集 39习题 41 第4章 用户管理 42 4.1 用户账户和组账户的概念和基本类型 42 4.1.1 Windows Server 2003用户账户 42 4.1.2 Windows Server 2003组账户 44 4.1.3 计算机账户 46 4.2 用户账户的管理 46 4.2.1 创建新用户账户 46 4.2.2 用户账户密码策略 50 4.2.3 设置用户账户属性 51 4.2.4 管理用户账户 61 4.2.5 创建和修改计算机账户 62 4.3 组对象的管理 62 4.3.1 Windows Server 2003默认组 63 4.3.2 创建组 65 4.3.3 设置组属性 65 4.3.4 删除组 68 4.4 计算机组策略 68 4.4.1 组策略概述 68 4.4.2 创建组策略 69 4.4.3 组策略应用建议 73习题 74 第5章 数据文件的安全管理 75 5.1 磁盘管理的基本知识 75 5.1.1 磁盘 75 5.1.2 分区 76 5.1.3 文件系统 76 5.2 基本磁盘管理 76 5.2.1 基本磁盘的安全管理 78 5.2.2 命令行工具 80 5.3 加密文件系统 82 5.3.1 加密文件系统的概念 82 5.3.2 加密文件系统的使用 84 5.3.3 加密文件系统的高级用法 87 5.4 数据的备份与恢复 92 5.4.1 数据备份 93 5.4.2 数据还原 96 5.4.3 使用计划备份 98习题 100 第6章 身份验证和证书服务 102 6.1 身份验证的概念 102 6.2 交互式登录的原理及过程 103 6.2.1 交互式登录的原理 103 6.2.2 交互登录的过程 106 6.3 网络身份验证 108 6.4 Kerberos 109 6.4.1 Kerberos的一般原理 109 6.4.2 Windows Server 2003中的Kerberos 110 6.4.3 配置Kerberos 111 6.5 微软公钥基础设施 113 6.6 数字证书 114 6.6.1 证书的机构和用途 114 6.6.2 证书的管理 117 6.6.3 导出和导入证书 119 6.7 证书模板 122 6.8 配置证书模板 125 6.9 信任模型概述 128习题 132 第7章 文件共享与打印服务 133 7.1 访问控制概述 133 7.1.1 访问控制基本概念 133 7.1.2 设置访问控制 136 7.1.3 访问控制管理 142 7.2 文件共享 143 7.2.1 文件共享资源类型 143 7.2.2 共享文件夹管理工具 144 7.2.3 创建及删除共享文件夹 147 7.2.4 文件共享的安全性 151 7.2.5 文件共享的建议 151 7.3 管理打印服务 152 7.3.1 打印服务概述 152 7.3.2 安装打印机 157 7.3.3 设置打印机属性 158 7.3.4 配置打印服务器 162习题 167 第8章 Internet信息服务 168 8.1 Internet信息服务概述 168 8.1.1 IIS 6.0内核体系 168 8.1.2 IIS 6.0内核 171 8.1.3 IIS 6.0安全特性 173 8.1.4 IIS 6.0中默认的安全性设置 175 8.1.5 IIS 6.0的管理特性 176 8.2 安装Internet信息服务器 178 8.2.1 利用“管理您的服务器”安装IIS 6.0服务器 178 8.2.2 利用“添加/删除Windows组件”安装IIS 6.0服务器 180 8.3 设置应用程序池 182 8.3.1 创建应用程序池 182 8.3.2 设置应用程序池 183 8.4 设置与管理Web站点 188 8.4.1 设置Web站点属性 188 8.4.2 Web站点安全性配置 194 8.5 设置与管理FTP服务 196 8.5.1 创建FTP站点 196 8.5.2 设置FTP站点属性 199 8.6 IIS配置数据库管理 202 8.6.1 IIS配置数据库概述 202 8.6.2 备份和还原配置数据库 204 8.6.3 配置数据库的安全性 206习题 207 第9章 网络监视与调整 208 9.1 网络监视工具概述 208 9.2 系统监视器 209 9.2.1 添加计数器 210 9.2.2 选择要监视的数据 211 9.2.3 系统监视器的配置技巧 212 9.2.4 通过命令行来使用系统监视器 213 9.3 网络监视器 214 9.3.1 网络监视器的工作原理 214 9.3.2 使用网络监视器 214 9.3.3 通过命令行管理网络监视器 222 9.4 事件查看器 223 9.4.1 事件的结构和类型 223 9.4.2 使用事件查看器 225 9.4.3 通过命令行管理事件日志 228 9.5 性能日志和警报 231 9.5.1 性能对象和计数器 232 9.5.2 性能数据的分析和解决 233 9.5.3 通过命令行监视性能 236 9.6 任务管理器 244习题 246 第10章 安全审核 247 10.1 安全审核概述 247 10.2 Windows Server 2003的审核功能 248 10.3 查看和备份日志 250 10.4 配置高级审核策略 252 10.5 配置对象审核策略 261习题 264 第11章 终端服务 265 11.1 终端服务概述 265 11.2 安装终端服务器 267 11.2.1 安装前的准备工作 267 11.2.2 安装终端服务器的步骤 268 11.3 配置终端服务器 269 11.4 远程桌面 274 11.4.1 服务器端设置 275 11.4.2 客户端远程访问 275习题 276 第12章 网络传输安全 277 12.1 IPSec 277 12.1.1 网络IP存在的安全问题 277 12.1.2 IPSec原理和能够解决的问题 279 12.1.3 部署IPSec前应该考虑的问题 280 12.1.4 部署IPSec 282 12.2 DHCP安全问题 283 12.2.1 DHCP的目的和优势 283 12.2.2 配置DHCP客户端 284 12.2.3 管理DHCP客户端备用配置 285 12.2.4 DHCP工作过程 286 12.2.5 配置DHCP服务器 286 12.3 动态DNS的安全问题 288 12.3.1 DNS容易遭遇的安全威胁 288 12.3.2 Windows Server 2003 DNS的安全级别 289 12.3.3 Windows Server 2003针对DNS提供的工具 290 12.3.4 配置DNS客户端 292 12.3.5 配置DNS服务器端 292习题 295
第四篇:会计基础期末复习总结资料
单选
1.会计具有核算与监督两项基本职能。
2.该账户的借方登记购入材料的买家和采购费用。(采购费用包含运杂费)
3.外来原始凭证是指在同外单位发生经济业务往来时,由业务经办人在业务发生或者完成时从外单位取得的凭证。列如供应单位发货票、银行收款通知等。
4.自制原始凭证是指单位自行制定并由本单位有关部门或人员在发生经济业务时填制的原始凭证。列如收料单、领料单、工资结算单、成本计算单等。
5.序时账薄称为日记账,分为普通序时账薄和特种序时账薄。
6.分类账薄分为总分类账薄和明细分类账薄。
多选
1.会计科目的设置原则具有系统性、适应性、统一性、简明性。
2.资产类有库存现金、银行存款、应收账款、预付账款、其他账款、坏账准备、材料采购。
3.成本类有生产成本、制造费用。
4.账户的结构是账户名称、日期、金额、余额。
5.原始凭证的审核包括合法性审核、完整性审核、正确性审核。
6.账薄按其用途分类为序时账薄、分类账薄、备查账薄。
7.财产清查中的计价方法是先进先出法、加权平均法、移动加权平均法、个别计价法。
8.流动资产有货币资金、应收票据、应收账款、预付账款、其他应收款、存货。判断
1.资产是未来能为企业带来经济资源的资源。
2.试算平衡只能保证金额相等不能完全保证核算正确。
3.记账凭证俗称传票是由会计人员根据审核后的原始凭证加以归类整理而填制的是用来
确定会计分录。
4.原始凭证付款单位错了可以更改,金额错了必须重开。
5.科目汇总表账务处理程序,又称记账凭证汇总表账务处理程序。它是一直根据记账凭证
定期编制科目汇总表,并据以登记总分类账的会计核算组织程序。
6.财产清查结果不相符才清查,相符不需要清查。
简答
1.会计核算的基本前提主要包括:会计主体、持续经营、会计分期和货币计量四项。
2.会计信息质量要求客观性、相关性、明晰性、可比性、实质重于形式、重要性、稳健性、及时性。
3.会计要素是根据交易或者事项的经济特征所确定的财务会计对象的基本分类,各项会计
要素之间存在着一定的数量关系。会计要素按照其性质分为资产、负债、所有者权益、收入、费用和利润。
4.审核的内容包括:记账凭证所附原始凭证是否完整;记账凭证记载的内容与原始凭证内容
是否一致;会计分录是否正确;记账凭证中各项内容是否填写正确和完整;经办人员是否签名盖章;数字书写是否规范。
5.所谓未达账项,是指由于收、付款的结算凭证在传递、接收时间上不一致而导致的一方
已经入账,另一方没有接到凭证尚未入账的收付款项。对于发现的未达账项,应编制“银行存款余额调节表”进行调整。未达账项一般具体有以下四种情况:(1)存款单位已经收款入账,银行尚未收款入账;(2)存款单位已经付款入账,银行尚未付款入账;(3)银行已经收款入账,存款单位尚未收款入账;(4)银行已经付款入账,存款单位尚未付款入账。
6.实物的清查方法:实地盘点法,技术推算盘点法,抽样盘点法。
第五篇:信息安全与网络安全复习总结
一、概述
1、计算机安全与网络安全的区别 P1
计算机安全:负责信息存储和处理过程的安全事务,主要防止病毒和非法访问。
网络安全:负责信息传输过程的安全事务,主要防止用户非法接入、窃取或篡改传输过程中的信息。
计算机安全与网络安全都是信息安全的组成部分。
2、病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码。P23、网络安全体系结构由两部分组成:网络安全基础---加密、报文摘要算法、数字签名技术
及认证和各种安全协议;作用于网络每层的安全技术。P134、计算机网络安全的目标:保证网络用户不受攻击;机密信息不被窃取;所有网络服务能
够正常进行。P15
二、黑客攻击机制P191、窃取与截获的区别
窃取是非法获得信息副本,但不影响信息正常传输;
截获是不仅非法获得信息,且终止或改变信息传输过程;
2、DOS攻击和Smurf攻击的区别:P21
拒绝服务攻击(DOS),就是用某种方法耗尽网络设备或服务器资源,使其不能正常提供服务的一种攻击手段。
SYN泛洪攻击—消耗服务器资源
Smurf攻击—耗尽网络带宽,使被攻击终端不能和其他终端正常通信的攻击手段。
3、黑客攻击过程P27
收集信息;收集攻击目标主机系统或网络的相关信息
网络接入:拨号、无线局域网、以太网
主机系统信息:操作系统类型、版本、服务类型、软件
网络拓扑结构: 传输路径、设备类型、网络类型
侦察---攻击目标的缺陷、攻击方法;
域名、IP地址
防火墙的漏洞
软件的缺陷
允许建立TCP连接的端口号
能否放置木马
攻击---攻击目的和方法
瘫痪目标系统---拒绝服务攻击
控制目标---利用漏洞上载恶意代码(放置木马)
5、缓冲区溢出原理:通过往没有边界检测的缓冲区写超出其长度的内容,造成该函数缓冲区的溢出,溢出的数据覆盖了用于保留另一函数的返回地址的存储单元,使程序转而执行其它指令,以达到攻击的目的。P326、信息安全由网络安全、操作系统安全和应用程序安全三部分组成,其中操作系统安全和
应用程序安全统称为计算机安全。P33
第三章 网络安全基础
1、对称加密与公钥加密区别
对称加密:加密和解客的密钥相同(单钥)
公钥加密:加密和解客的密钥不相同(双钥)
2、公钥加密和数字签名的区别
3、报文摘要与消息认证的区别
4、密文安全性完全基于密钥的安全性
5、对称加密包括:流密码和分组密码体制
6、Feistel分组密码结构及其在DES中的应用
Feistel结构是一种分组密码体制下的加密运算过程。它的输入是由明文分割后产生的固定为2W分的数据组和密钥K,每组数据分为左、右两部分;经过n次的迭代运算后,输出2W位的密文。其中每次迭代的密钥由原始密钥K经过子密钥生成运算产生子密钥集{k1,k2,…,kn},且上一次迭代运算的结果作为下一次运算的输入。
数据加密标准(DES)采用feistel分组密码结构。大致可分为:初始置换,迭代过程,逆置换和,子密钥生成7、DES中的S盒计算:将48比特压缩成32比特
输入6比特:b1b2b3b4b5b6
输出4比特:S(b1b6 ,b2b3b4b5)
8、DES中CBC模式的优良特性
由于加密分组链接模式中每一组数据组和前一组数据组对应的密文异或运算后作为加密运算模块的输入,因此即使密钥相同的两组相同数据组加密运算后产生的密文也不会相同,增加了加密算法的安全性。
9、RSA公钥加密体制
公开密钥: PK={e, n}
秘密密钥: SK={d, n}
加密过程:把待加密的内容分成k比特的分组,k≤ log2n,并写成数字,设为M,则:C=Memodn
解密过程:M = Cdmodn
密钥产生:
1.取两个大素数 p, q , pq, 保密;
2.计算n=pq,公开n;
3.计算欧拉函数ф(n)=(p-1)(q-1);
4.选择整数e,使得 e与ф(n)互素;0 5.计算求满足ed=1 mod(n)的d.将d 保密,丢弃p, q10、Diffie-Heilman密钥交换算法 系统参数产生 1.)取大素数 p,2.)计算对应的本原元,公开(p, ); 用户A取整数XA,计算YA=axa mod p 公告YA给用户B; 用户A取整数XB,计算YB=a xb mod p 公告YB给用户A; KA=YBxa mod p,KB=YAxb mod p,KA=KB11、认证中心的作用及证书的表示 认证中心的作用是证明公钥和用户的绑定关系 证书的表示:1)用明文方式规定的用于确认公钥PKB和用户B之间绑定关系的证明 2)用认证中心的私钥SKCA对上述明文的提出报文摘要进行解密运算后生成的密文Dskca(MD(P)).证书的主要内容包括:版本、证书序号、签名算法标识符、签发者名称、起始时间、终止时间、用户名称、用户公钥信息、签发者唯一标识符、用户唯一标识符、扩展信息、Dskca(MD(P)).12、Kerberos认证系统的组成 认证服务器---------------身份认证, 通行证签发服务器------获取服务通行证,确认客户是否授权访问某个应用服务器 应用服务器---------------访问服务器 13、安全协议层 TLS(运输层安全协议)运输层 IPSec网络层 802.1x(基于端口的接入控制协议)数据链路层(?) 14、EAP(扩展认证协议)的特点P65 与应用环境无关的、用于传输认证协议消息的载体协议,所有应用环境和认证协议都和这种载体协议绑定 15、IPSec体系结构P75 IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括认证首部协议 Authentication Header(AH)、封装安全净荷协议Encapsulating Security Payload(ESP)、安全关联和密钥管理协议Internet Security Association and Key Management Portocol(ISAKMP)和用于网络认证及加密的一些算法 1)安全关联:用于确定发送者至接收者传输方向的数据所使用的加密算法和加密密钥、MAC算法和MAC密钥和安全协议等。安全关联用安全参数索引SPI、目的IP地址和安全协议标识符唯一标识; 2)AH:认证首部的作用是认证发送者,数据完整性检测; 认证首部AH包含安全参数索引SPI,序号、认证数据等。 运输模式:在IP分组首部和净荷之间插入AH,封装成AH报文 隧道模式:在外层IP首部和净荷之间插入AH,封装成AH报文 3)ESP;ESP的作用是实现保密传输、发送者认证和数据完整性检测 ESP首部包含安全参数和序号 ESP尾部包含填充数据、8位填充长度字段和8位下一个首部 运输模式:在IP分组首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 隧道模式:在外层IP首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 4)ISAKMP;ISAKMP的作用:一是认证双方身份,当然,每一方在认证对方身份前,应 该具有授权建立安全关联的客户名录。二是建立安全关联,建立安全关联的过程是通过协商确定安全协议、加密密钥、MAC密钥和SPI的过程; 16、TLS协议的体系结构P60 握手协议参数切换协议报警协议TLS记录协议 TCP IP 第四章 安全网络技术 1、IPSec协议为什么不适用端点之间的身份认证?P92 路由协议是基于IP的高层协议,在它建立终端之间的传输路径前,终端之间并不能实现端到端传输,所以IPSec协议并不适合用于实现传输路由消息的两个端点之间的身份认证和路由消息的完整性检测,需要开发专用技术用于解决路由消息的正确传输问题。 2、信息流的管制在SYN攻击中的应用 信息流管制的方法是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。 SYN泛洪攻击是指黑客终端伪造多个IP,向Web服务器建立TCP连接请求,服务器为请求分配资源并发送确认响应,但是这些确认响应都不能到达真正的网络终端。因此只要在边缘服务器中对接入网络的信息流量进行管制,就能有效地抑制SYN攻击。 3、NATP106 NAT(Network Address Translation),网络地址转换,在边缘路由器中实现的本地IP地址和全球IP地址之间的转换功能。 第五章 无线局域网安全技术 1、解决无线局域网安全问题的方法?P116 认证:解决接入控制问题,保证只有授权终端才能和AP通信,并通过AP接入内部网络; 加密:解决终端和AP之间传输的数据的保密性问题 2、WEP安全缺陷 ……P121-125 共享密钥认证机制的安全缺陷 一次性密钥字典; 完整性检测缺陷; 静态密钥管理缺陷3、802.11i的两种加密机制P125 临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP) 计数器模式密码块链消息完整码协议(CTR with CBC-MAC Protocol,CCMP) 4、802.1x认证机制P131-136 双向CHAP认证机制…… EAP-TLS认证机制…… 动态密钥分配机制…… 第六章 虚拟专用网络 1、专用网络与虚拟专用网络的区别: P141-142 专用网络----费用昂贵、协商过程复杂、利用率低; 网络基础设施和信息资源属于单个组织并由该组织对网络实施管理的网络结构;子网互联通过(独占点对点的专用链路)公共传输网络实现。 虚拟专用网络----便宜,接入方便,子网间传输路径利用率较高 通过公共的分组交换网络(如Internet)实现子网之间的互联,并具有专用点对点链路的带 宽和传输安全保证的组网技术。 2、基于IP的VPN结构P143 在IP网络的基础上构建的性能等同于点对点专用链路的隧道,并用隧道实现VPN各子网间的互联。根据隧道传输的数据类型可分为IP隧道和第2层隧道,IP隧道传输IP分组,第2层隧道传输链路层帧。 3、VPN的安全机制:IPSecP147-148 IP分组和链路层帧在经过隧道传输之前,在隧道两端建立双向的安全关联,并对经过隧道舆的数据进行加密、认证和完整性检测,即IPSec 加密:保证数据经过IP网络传输时不被窃取 认证:保证数据在隧道两端之间的传输 完整性检测:检测数据在传输中是否被篡改 4、VPN需实现的功能P149 1)实现子网之间使用本地IP地址的ip分组的相互交换; 2)实现隧道的封闭性、安全性,使外部用户无法窃取和篡改经过隧道传输的数据 第七章 防火墙 1、防火墙的功能P173 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备,尤其适用于内部网络和外部网络之间的连接处。 服务控制:不同网络间只允许传输与特定服务相关的信息流。 用户控制:不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。2网络防火墙的位置:内网和外网和连接点 3、单穴与双穴堡垒主体结构和性质区别P190-191 单穴堡垒主机只有一个接口连接内部网络; 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问; 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。 双穴指堡垒主机用一个接口连接内部网络,用另一个接口连接无状态分组过滤器,并通过无状态分组过滤器连接外部网络;这种结构保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问; 4、统一访问控制的需求及实现(?)P193-195 需求: (1)移动性---终端用户不再固定到某一个子网; (2)动态性---终端用户的访问权限是动态变化的; (3)访问权限的设置是基于用户的统一访问控制:在网络中设置统一的安全控制器,实施动态访问控制策略的网络资源访问控制系统。由UAC代理、安全控制器和策略执行部件组成。 第八章 入侵防御系统 1、入侵防御系统的分类P205-206 入侵防御系统分为主机入侵防御系统和网络入侵防御系统 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程,以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施反制过程,以此保 护重要网络资源; 2、主机入侵防御系统的工作原理及目的P223-224 工作原理:首先截获所有对主机资源的操作请求和网络信息流,然后根据操作对象、系统状态、发出操作请求的应用进程和配置的访问控制策略确定是否允许该操作进行,必要时可能需要由用户确定该操作是否进行。 目的:防止黑客对主机资源的非法访问 4、网络入侵防御系统的工作过程 1) 2) 3) 4)报警; 5) 第九章 网络管理和监测 1、网络管理的功能P231 故障管理 计费管理 配置管理 性能管理 安全管理 2、网络管理系统结构P232 由网络管理工作站、管理代理、管理信息库(MIB)、被管理对象(网络管理的基本单位)和网络管理协议(SNMP)组成。 3、SNMP SNMP的功能是在管理工作站和管理代理之间传输命令和响应 4、网络性能瓶颈P244 1)监测过载结点 2)分析流量组成3)限制终端流量 第十章 安全网络设计实例 1、网络安全主要的构件 P247-248 接入控制和认证构件 分组过滤和速率限制构件 防火墙 入侵防御系统 VPN接入构件 认证、管理和控制服务器 2、安全网络设计步骤P248-249 1)确定需要保护的网络资源---只对网络中重要且容易遭受攻击的网络资源实施保护; 2)分析可能遭受的攻击类型; 3)风险评估----使设计过程变得有的放矢; 4)设计网络安全策略; 5)实现网络安全策略; 6)分析和改进网络安全策略。 第十一章 应用层安全协议 1、彻底解决Web安全需要什么?---构建网络安全体系P2592、网络体系结构中安全协议P259-260 网络层---IPSec:在网络层上实现端到端的相互认证和保密传输 运输层---TLS:在运输层上实现端到端的相互认证和保密传输 应用层---SET:安全电子交易协议,实现网络安全电子交易 3、SET的组成: (a)持卡人; (b)商家; (c)支付网关; (d)认证中心链; (e)发卡机构; (f)商家结算机构。 4、数字封面的设计原理…… P265-266 用指定接收者证书中的公钥加密对称密钥,结果作为数字封面 数字封面=EPKA(KEY),E是RSA加密算法 5、双重签名原理及其实现 双重签名(DS)= DSKC(H(H(PI)||H(OI))); 双重签名: (1)双重签名的目的: 将每次电子交易涉及的购物清单OI和支付凭证PI绑定在一起; 商家A’----需要OI和PIMD=H(PI), 不允许获得PI; 支付网关G----需要PI和OIMD=H(OI), 不需要OI (2)持卡人用私钥SKC和公钥解密算法DSKC(.),生成双重签名 DS= DSKC(h’),h’=H(PIMD||OIMD); ----向商家发送{DS,OI,PIMD}; ----向支付网关发送{DS,PI,OIMD}; (3)用帐户C的公钥PKC和公钥加密算法EPKC(.),商家验证双重签名 EPKC(DS)= H(PIMD||H(OI)); (4)用帐户C的公钥PKC和公钥加密算法EPKC(.),支付网关G验证双重签名EPKC(DS)= H(OIMD||H(PI)); 6、PSG的功能 主要实现发送端认证、消息压缩、加密及码制转换等功能 7、防火墙在信息门户网站的配制 防火墙配置要求只允许内部网络用户访问门户网站,只允许门户网站发起对服务器的访问过程,以此保证内部网络用户必须通过门户网站实现对服务器的访问。
点击咨询 