《计算机网络安全第二版期末复习重点.docx》由会员分享,可在线阅读,更多相关《计算机网络安全第二版期末复习重点.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1.1计算机网络安全的概念是什么?计算机网络安全网络安全有哪几个基本特征?各个特征的含义是什么?概念:网络安全 指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。网络安全的属性(特征)(CIA三角形)机密性(Confidentiality ) 保证信息与信息系统不被非授权的用户、实体或过程所获取与使用完整性 ( Integrity ) 信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等可用性(Availability) 信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存
2、取所需信息。可控性 对信息的存储于传播具有完全的控制能力,可以控制信息的流向和行为方式。真实性 也就是可靠性,指信息的可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素。1.2 OSI安全体系结构涉及哪几个方面?OSI安全体系结构主要关注:安全性攻击任何危及企业信息系统安全的活动。安全机制用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程,或实现该过程的设备。安全服务加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。1.3OSI的安全服务和安全机制都有哪几项?安全机制和安全服务之间是什么关系?安全服务OS
3、I安全体系结构定义了5大类共14个安全服务:1 鉴别服务 who 鉴别服务与保证通信的真实性有关,提供对通信中对等实体和数据来源的鉴别。1)对等实体鉴别:该服务在数据交换连接建立时提供,识别一个或多个连接实体的身份,证实参与数据交换的对等实体确实是所需的实体,防止假冒。2)数据源鉴别:该服务对数据单元的来源提供确认,向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元2 访问控制服务 包括身份认证和权限验证,用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用,信息资源的读、写和删除,进程资源的执行)或对资源的所有访问。3 数据保密性
4、服务 为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。保密性是防止传输的数据遭到被动攻击。包括:连接保密性无连接保密性选择字段不保密性信息流保密性4 数据完整性服务 用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 带恢复的连接完整; 不带恢复的连接完整; 选择字段的连接完整; 无连接完整; 选择字段无连接完整5 不可(抗)否认服务 用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。具有源点证明的不能否认;具有交付证明的不能否认。为了实现安全服务,OSI安全体系结构还定义了安全机制。 特定安全机制 (8 在特定的协
5、议层实现)加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制 关系:服务 机制 加密数字签名访问控制教据完整性认证交换流量填充路由控制公证同等实体认证YYY数据源认证YY访问控制Y保密性YY流量保密性YYY数据完整性YYY不可否认性YYY可用性YY1.4简述网络安全策略的意义?它主要包括哪几个方面策略?意义:网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。网络安全策略的提出,是为了实现各种网络安全技术的有效集成,构建可靠的网络安全系统网络安全策略包含5方面策略物理安全策略访问控制策略防火
6、墙控制信息加密策略网络安全管理策略2.2根据各自所基于的数学原理,分析公钥密码体制与对称密码体制的改进?公钥密码体制(n:1)-对称密码(1:1)在用户数目比较多时,传统对称密码体制密钥产生、存储和分发是很大问题。公钥密码体制用户只需掌握解密密钥,而将加密密钥和加密函数公开。改变了密钥分发方式,便利密钥管理。不仅用于加解密,还广泛用于消息鉴别、数字签名和身份认证2.3与对称密码体制比较,公钥密码体制在应用中有哪些优点? 公钥密码体制最大优点适应网络的开放性要求。密码管理比对称密码简单,又满足新的应用要求。通信各方都可以访问公钥,私钥在通信方本地产生,不必进行分配。任何时刻都可以更改私钥,只要修
7、改相应的公钥替代原来的公钥。2.4有哪些常见的密码分析攻击方法,各自什么特点?惟密文攻击:仅知加密算法和密文,最易防范 已知明文攻击:知加密算法,待解密文,同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式,如标准化的文件头。选择明文攻击: 攻击者选择对其有利的明文,获取到了其相应的密文。选择密文攻击:事先搜集一定数量的密文,获的对应的明文。3.2什么是MAC?其实现的基本原理是什么?MAC是消息鉴别码,又称密码校验和。其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块,即MAC,并附加到消息后面传输,接收方利用与发送方共享的密钥进行鉴别。MAC提供消息完整性保护,可以在不
8、安全的信道中传输,因为MAC的生成需要密钥。3.3散列函数应该具有哪些安全特性?(1)单向性:对于任意给定的散列码h,寻找x使得H(x)=h在计算上不可行。(2)强对抗碰撞性:输入是任意长度的M;输出是固定长度的数值;给定h和M,h(M)容易计算;寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。(3)弱对抗碰撞性:对于任意给定的分组M,寻找不等于M的M,使得H(M)=h(M)在计算上不可行。3.4什么是数字签名?数字签名具有哪些特征?数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性,并保
9、护数据,防止被人(如接收者)进行伪造。数字签名的特征:(1)可验证性:信息接收方必须能够验证发送方的签名是否真实有效。(2)不可伪造性:除了签名人之外,任何人都不能伪造签名人的合法签名。(3)不可否认性:发送方发送签名消息后,无法抵赖发送行为;接收方在收到消息后,也无法否认接收行为。(4)数据完整性:发送方能够对消息的完整性进行校验,具有消息鉴别的作用。4.1用户认证的主要方法有哪些?各自具有什么特点?基于口令的认证、基于智能卡的认证、基于生物特征的认证。基于口令的认证最简单,最易实现,最容易理解和接受。基于智能卡的认证的特点:双因子认证、带有安全存储空间、硬件实现加密算法、便于携带,安全可靠
10、。基于生物特征的认证不易遗忘或丢失;防伪性能好,不易伪造或被盗;“随身携带”,方便使用;但成本高,只适用于安全级别比较高的场所。4.2简述X.509证书包含的信息。版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名。4.3一个完整的PKI应用系统包括那些组成部分?各自具有什么功能?一个完整的PKI应用系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;数字证书库:用于存储已签发的数字证书及公
11、钥,用户可由此获得所需的其他用户的证书及公钥;密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全
12、服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。4.4简述CA的基本职责。(1)制定并发布本地CA策略;(2)对下属各成员进行身份认证和鉴别; (3)发布本CA的证书,或者代替上级CA发布证书;(4)产生和管理下属成员的证书;(5)证实RA的证书申请,返回证书制作的确认信息,或返回已制作的证书;(6)接受和认证对所签发证书的撤销申请;(7)产生和发布所签发证书和CRL;(8)保存证书、CRL信息、审计信息和所制定的策略。第五章 1. 简述针对主机的ARP欺骗的机制 中间人C冒充B,响应A以虚假的
13、IPBMACC,扰乱A的ARP列表,A发给B的数据发给了C。 2. IPsec中传输模式和隧道模式有何区别? ESP在隧道模式中加密和认证(可选)整个内部IP包,包括内部IP报头。AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。当IPsec被用于端到端的应用时,传输模式更合理一些。在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中,通常采用隧道模式;而且,传输模式并不是必需的,因为隧道模式可以完全替代传输模式。但是隧道模式下的IP数据包有两个IP头,处理开销相对较大。3. AH协议和ESP协议各自提供哪些安全服务? AH协议为IP数据包提供数据完
14、整性校验和身份认证,还有可选择的抗重放攻击保护,但不提供数据加密服务;ESP协议为IP数据包提供数据完整性校验、身份认证和数据加密,以及可选择的抗重放攻击保护,即除AH提供的所有服务外,ESP还提供数据保密服务,保密服务包括报文内容保密和流量限制保密。第六章 1. 恶意代码生存技术主要包括哪几个方面?分别简述其原理。(1)反跟踪技术:反跟踪技术可以提高恶意代码的伪装能力和防破译能力,增加检测与清除的难度。反动态跟踪:禁止跟踪中断、封锁键盘输入和屏幕显示、检测(调试器)跟踪法、其他反跟踪技术。 反静态跟踪: 对恶意程序代码分块加密执行,伪指令法。 (2)加密技术:加密技术是恶意代码自我保护的一种
15、有效手段,通过与反跟踪技术相配合,可以使分析者无法正常调试和阅读恶意代码,不能掌握恶意代码的工作原理,也无法抽取恶意代码的特征串。从加密内容划分,加密手段分为信息加密、数据加密和程序代码加密三种。 (3)模糊变换技术:恶意代码每次感染一个对象时,嵌入宿主的代码都不相同。(4)自动生产技术:计算机病毒生产器使得对计算机病毒一无所知的普通用户,也能组合出功能各异的计算机病毒 2. 蠕虫代码包括哪些模块。分别具有什么功能? 蠕虫代码的功能模块至少需要包含扫描模块、攻击模块和复制模块三个部分。蠕虫的扫描功能模块负责探测网络中存在漏洞的主机。攻击模块针对扫描到的目标主机的漏洞或缺陷,采取相应的技术攻击主
16、机,直到获得主机的管理员权限,并获得一个shell。攻击成功后,复制模块就负责将蠕虫代码自身复制并传输给目标主机。第七章 1.列出并简要定义防火墙根据具体实现技术的分类。 (1)从工作原理的角度看,防火墙技术主要可分为网络层防火墙技术和应用层防火墙技术。 (2) 根据防火墙的硬件环境的不同,可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙。 (3) 根据防火墙功能的不同,可将防火墙分为FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等各种专用防火墙。7.2什么是防火墙?它有哪些功能和局限? 在计算机网络安全领域,是一个由软件或硬件设备的组合而成起过滤和封锁作用
17、的计算机或网络系统。它一般布置在本地网(可信内部网)和(不安全和不可信赖的)外部网络之间,作用隔离风险区域和安全区域的连接;阻止不希望或未授权的通信进出内部网络。通过边界控制强化内部网络的安全,同时不影响内部网络对外部网路的访问。防火墙的典型功能(5)1.访问控制功能:是防火墙最基本和最重要的功能,通过禁止和允许特定用户访问特定资源,保护内部网络的资源和数据。2.内容控制功能:根据数据内容进行控制,如过滤垃圾邮件、限制外部只能访问本地Web服务器的部分功能,等等。3.日志功能:防火墙需要完整的记录网络访问的情况。一旦网络发生了入侵或者遭到破换,可以对日志进行审计和查询,查明事实。4.集中管理功
18、能:在防火墙上集中实施安全管理,使用过程中还可以根据情况改变安全策略。5.自身安全和可用性:防火墙要保证自己的安全,不被非法侵入,保证正常的工作。防火墙还要保证可用性,否则网络就会中断,内部网的计算机无法访问外部网的资源。防火墙的局限性(4)1. 不能防御不经由防护墙的攻击;2. 不能防范来自内部的攻击;3. 不能防止病毒感染程序和文件出入内部网;4. 不能防止数据驱动式攻击。电子邮件复制本地机上,执行后攻击7.3简述防火墙的四个发展阶段:第一代防火墙基于路由器 : 路由器防火墙一体;采用的主要是包过滤技术第二代防火墙由一系列具有防火墙功能的工具集组成:将过滤功能从路由器中独立出来,加入告警和
19、审计功能,因为是纯软件产品,随意对系统管理员技术要求高。第三代防火墙为应用层防火墙:它建立在通用操作系统之上,包括分组过滤功能,装有专用的代理系统,监控所有协议的数据和指令,保护用户编程和用户可配置内核参数的配置。第四代防火墙为动态包过滤技术:也称作状态检测技术,该技术能够对多种通信协议数据包做出通信状态的动态响应。8.1简述网络攻击的过程:1.隐藏自身:利用技术手段隐藏自己真实的IP地址。通常有两种方法:第一种是入侵网络中一台防护较弱的主机(肉鸡),利用这台主机进行攻击。第二种是网络代理跳板2.踩点和扫描:网络踩点就是通过各种途径对攻击目标尽可能多了解信息,分析得到被攻击系统可能存在的漏洞。
20、网络扫描就是利用各种工具探测目标网络的每台主机,以寻找该系统的安全漏洞。有两种常用的扫描策略:一种是主动式策略,基于网络;另一种是被动式策略,基于主机。3.侵入系统并提升权限:一种常见的攻击方法是先以普通用户身份登录目标主机,然后利用系统漏洞提升自己的权限。4.种植后门:入侵者在被侵入主机上种植一些供自己访问的后门。木马是另外一种长期主流对方主机的手段,远程控制功能比后门更强。5.网络隐身:在入侵完毕后,清除被入侵主机上的登录日志及其他相关日志。8.2在DDos攻击过程中,都有哪些角色,分别完成什么功能?在整个Ddos攻击过程中,共有4部分组成:攻击者、主控端、代理服务器和被攻击者,其中每一个
21、组成在攻击中扮演不同的角色。1.攻击者主机:由攻击者本人使用。攻击者通过它发布实施DDos的指令,是整个DDos攻击中的主控台令。2.主控傀儡机:不属攻击者所有的计算机,而是攻击者非法侵入并控制的一些主机。攻击者在这些计算机上安装特定的主控软件,通过这些主机再分别控制大量的攻击傀儡机。3.攻击傀儡机:攻击傀儡机是攻击的直接执行者,直接向被攻击主机发起攻击。4.被攻击者:是DDos攻击的直接受害者,目前多为一些大型企业的网站或数据库系统。8.4什么是蜜罐?蜜罐的主要功能是什么? 蜜罐系统是试图将攻击从关键系统引诱开并能记录其一举一动的诱骗系统。 蜜罐的功能是:1.转移攻击重要系统的攻击者;2.收
22、集攻击者活动的信息;3.希望攻击者在系统中逗留足够长的时间,使管理员能对此攻击做出响应。9.1什么是隧道?隧道的主要功能有哪些? 计算机网络中的隧道是逻辑上的概念,是在公共网络中建立的一个逻辑的点对点连接。网络隧道技术的核心内容是“封装”。隧道技术是指包括数据封装、传送和解封装在内的全过程。隧道的功能(4)1.将数据传输到特定的目的地:在隧道两端建立一个虚拟通道,从隧道的一端传到隧道的另一端。2.隐藏私有的网络地址:在隧道开通器和隧道终止器之间建立一条专用通道,私有网络之间的通信内容经过隧道开通器封装后通过公共网络的虚拟专用通道进行传输。3.协议数据传递:隧道只需连接两个使用相同通信协议网络,
23、不关心网络内部使用的通信协议。4.提供数据安全支持:隧道中传输的数据是经过加密和认证处理的,可以保证数据在传输过程中的安全性。9.2画图简述PPTP的体系结构?体系结构图:PSTN/ISDNPPTP隧道InternetPACPNS企业LANPPTP是一个面向连接的协议,PAC和PNS维护它们的连接状态。PAC和PNS之间两种连接:控制连接、数据连接。控制连接建立过程是:1.PAC和PNS建立一个TCP连接。2.PAC或者PNS向对方发送一个请求信息,请求建立一个连接。3.收到请求的PAC或PNS发送一条响应消息。控制连接建立以后,下一步就是数据连接,即隧道的建立。数据连接是一个三次握手的机制:
24、请求、响应和已连接确认。9.3SSL VPN应用了哪些关键技术,分别完成哪些功能?SSL VPN实现的关键技术是Web代理、应用代换、端口转发和网络扩展。1.Web代理技术:代理技术提供内部应用服务器和远程用户Web客户端的访问中介2.应用转换技术:通过把非Web应用的协议转译为Web应用,实现与客户端Web浏览器的通信。3.端口转发技术:端口转发器监听特定应用程序定义的端口。综述题1现有一个中小企业的电子商务系统为了提高运行效益和服务质量,计划增开网络支付功能,请您用所学的知识为该企业分析当前网络安全的安全威胁,作出该企业的安全需求分析,并提出两个网络支付安全的方案,并对各自的所采用的网络安
25、全标准协议、应用情况等优缺点进行分析。当前网络安全的安全威胁有:安全漏洞、主机入侵、病毒、蠕虫、木马、拒绝服务攻击、间谍软件、垃圾邮件和网络钓鱼、僵尸网络、恶意网站和流氓软件、黑客。该企业的安全需求分析:进行漏洞扫描和入侵检测、部署蜜罐系统。网络支付安全的方案:1.采用已有的网上支付或者支付宝等支付方式。 2.投资建设自己的网络支付环境和支付方式。综述题2 分析当前淘宝网网络支付有哪几种解决方案?分析各种支付解决方案中用户对支付方便性和安全性的观点,自己设计一套网络支付方案,并论述该方案中如何处理安全和便利问题?淘宝网采用的电子支付解决方案:网上银行和支付宝。对于支付宝手段,支付宝安全性是非常
26、高的,同时支付宝也是非常方便的。用户对于支付宝的方便性和安全性都是非常肯定的。对于网上银行手段,网上银行的安全性用户也都比较认可,但是大部分用户反映网上银行相对于支付宝来说不方便。网络支付方案:采用了快钱网上支付、网汇通在线支付、移动手机支付、网银支付和支付宝结合的支付方案。综述题3、U盾安全支付流程、网银所用到的安全服务和安全机制1、硬件PIN 码保护 由于U 盾 采用了使用以物理介质为基础的个人客户证书,建立基于公钥(PKI)技术的个人证书认证体系(PIN 码)。黑客需要同时取得用户的U 盾硬件以及用户的PIN 码,才可以登录系统。即使用户的PIN 码被泄漏,只要用户持有的U 盾不被盗取,
27、合法用户的身份就不会被仿冒;如果用户的U 盾遗失,拾到者由于不知道用户PIN 码,也无法仿冒合法用户的身份。2、安全的密钥存放 U 盾的密钥存储于内部的智能芯片之中, 用户无法从外部直接读取,对密钥文件的读写和修改都必须由U 盾内部的CPU的调用相应的程序文件执行,而从U 盾接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。这样可以保证黑客无法利用非法程序修改密钥。3、双钥密码体制 为了提高交易的安全,U 盾采用了双钥密码体制保证安全性,在U 盾初始化的时候,先将密码算法 程序烧制在ROM 中,然后通过产生公私密钥对的程序生成一对公私密钥, 公私密钥产生后,公钥可以导出
28、到U 盾外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,凡是有私钥参与的密码运算只在芯片内部即可完成, 全过程中私钥可以不出U 盾介质,以此来保证以U 盾为存储介质的数字证书认证在安全上无懈可击。4、硬件实现加密算法 U 盾内置CPU 或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在U 盾内进行,保证了用户密钥不会出现在计算机内存中。当前,各金融机构竞相推出各种网络金融服务,网络银行,电话银行,手机支付,微信支付等新型服务。请您设计网络银行电子支付的网络安全用户调查方案。综述题4调查目的:了解用户对于网络银行的使用行为热点安全问题:网络安全
29、支付调查问卷设计:1.请问你是否拥有银行卡(信用卡或储蓄卡)A.是 B. 否 2.你是否已开通网上银行业务?A.是 B.否 3.您最近一年是否使用过网上银行?A.是 B.否 4.从您第一次使用网上银行到现在已有多长时间?A.不到2个月 B.2个月以上到6个月 C.6 个月以上到1年 D.其它 5.您使用过的网上银行是下列中的哪几家?A.中国银行 B.中国工商银行 C.中国农业银行 D.中国建设银行 E.交通银行 F.招商银行 G.民生银行 H.光大银行 I.中国邮政储蓄 J.其它 6.您经常使用的网上银行业务有以下哪几种?A.账户信息查询(余额、交易明细等) B.转账/汇款 C.信用卡还款 D
30、.个人理财业务(如基金买卖、债券买卖、证券资金存管等) E.个人贷款业务 F.网上支付/缴费 G.积分管理 H.其它 7.您使用网上银行的原因是什么?A.使用方便,节省时间精力 B.去营业厅不方便 C.网上购物便捷 D.有些交易必须使用网上银行 E.其它 8.在使用网上银行时,您看重哪些因素?A.交易安全性 B.功能多样性 C.手续费便宜 D.服务质量高 E.银行的品牌或影响力 F.其它 9.在使用网上银行进行网上支付时,您平均每次支付的金额是多少?A.50元以下 B.50-100元 C.101-500元 D.501-1000元 E.1000以上元 10.你是否会继续使用网上银行?A.肯定会
31、B.可能会 C.估计不会 D.肯定不会 11.您认为我国网上银行建设的现状如何:A.很好 B.一般 C不好 12.您认为我国网上银行的发展前景如何:13.您的年龄:14.您的性别:A.男 B.女 15.您的学历:A.初中、中专 B.高中、大专 C.本科 硕士 D.博士及以上 E.其它 16.您的职业:A.政府/事业单位公务员 B.企业员工 C.自由职业者 D.在校学生 E.无业/失业 F.其它 17.您的每月可支配收入是(如是学生的话,请依据每月的消费数额填写):*A.500元及以下 B.500以上-1000元 C.1000元以上-2000元 D.2000元以上-3000元 E.3000元以上
32、-5000元 F.5000元以上-8000元 G.8000元以上拟发放对象和样本数:某普通小区居民 300份对于消费者而言,要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次,保证连接的安全。进入网站时先确保网址的正确性。在提交任何关于你自己的敏感信息或私人信息,尤其是你的信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。浏览器和Web站点的服务器都要支持相关协议。第三,保护自己的隐私,在设置密码时最好以
33、数字和字母相结合,不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款,这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息,填在线表格时要格外小心,不是必填的信息就不要主动提供。最后,不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外,最好不要在公共场所使用网络银行,比如网巴、公共图书馆等;每次使用完网络银行后,应
34、该单击页面中相应的“退出登陆”按钮正确退出。综述题5目前,国内已经举行两届的国家网络安全宣传周活动,并建立了青少年网络安全教育基地,请您设计一下该基地的教学大纲及活动方案.教学大纲:1、教学内容教 学 内 容 章 目本课程学分:2学 时 分 配讲课上机小计第一章 网络安全基础知识44第二章 物理与环境安全33第三章 操作系统安全33第四章 网络通信安全4 26第五章 密码学基本理论8210第六章 防火墙技术325第七章 病毒和WEB安全11合 计266322、具体要求:第一章 网络安全基础知识目的要求 通过本章教学,使学生了解网络安全的概念和现状,认识网络存在的威胁。教学内容 网络安全的基本概
35、念,网络数据传输中面临的威胁,网络安全机制。重点难点 网络安全机制第二章 物理与环境安全目的要求 通过本章教学,要求学生了解物理与环境对网络安全的影响,学习如何防护和保护设备的正常运行。教学内容 物理与环境对网络安全的影响,防护和保护设备的正常运行及基本方法。重点难点 物理与环境对网络安全的影响第三章 操作系统安全目的要求 通过本章教学,要求学生了操作系统的陷门和安全隐患。教学内容 学习各个操作系统的陷门和安全隐患,掌握如何防御恶性攻击操作系统。重点难点 操作系统的陷门第四章 网络通信安全目的要求通过本章教学,要求学生了网络安全协议的工作原理和其漏洞,了解网络通信的安全机制和防御方法。教学内容
36、 网络安全协议的工作原理和其安全性,了解网络通信的安全机制和防御方法,如何设计安全的防御机制。重点难点 网络安全协议的工作原理和其安全性第五章 密码学基本理论目的要求 通过本章教学,要求学生了解网络中使用的密码技术;掌握基本密码的设计原理和使用方法。教学内容 古典密码学基本内容,现在典型密码的设计原理。重点难点 现在典型密码的设计原理第六章 防火墙技术目的要求通过本章教学,要求学生了解防火墙的基本概念,类型,配置等。教学内容 防火墙的安全设计,功能,类型,配置和防火墙系统重点难点 防火墙类型和配置第七章 病毒和WEB安全目的要求 通过本章教学,要求学生了解现有病毒和WEB的安全性。教学内容 病
37、毒的种类和数量,以及防治;WEB安全技术介绍重点难点 病毒的种类和数量,以及防治活动方案为了提高网络安全防护意识,特制定出网络安全宣传周活动方案:一、 活动主题 本次活动主题为“网络安全知识都知道”,旨在提高青少年网络安全自我保护意识,提升其网络安全问题甄别能力。 二、 活动时间 11月24日11月30日 三、 活动内容 以“净化网络环境,安全使用网络”为目标,统一使用“国家网络安全宣传周”活动标识,普及基本的网络知识,使青少年增强网络安全防范意识,具备识别和应对网络危险的能力 四、 活动形式 本次网络安全宣传周活动准备采用一下形式进行: (1) 悬挂网络安全宣传标语横幅 在LED滚动屏循环滚
38、动“共建网络安全,共享网络文明”等网络安全宣传标语。 (2) 开办网络安全宣传专栏 在网站上开辟“网络安全”宣传专栏,宣传展示此次活动的方案、计划等相关资料以及活动所取得的成果 (3) 观看网络安全宣传视频短片 组织青少年观看网络安全方面的宣传短片,增强青少年的网络安全意识,提高网络防护能力 (4) 开展网络安全知识竞赛拟于2014年11月27日2014年11月30日组织网络安全知识竞赛,引导青少年主动学习网络安全知识,对于积极参与,成绩突出的同学给予奖励和表扬。 五、 活动要求 1. 本次活动统一使用“国家网络安全宣传周”表示,突出宣传周主题。 2. 坚决自行中央八项规定有关要求,严格按照勤
39、俭节约、务实高效原则。 画图题基于公钥密码的数字签名原理MCMPRaPUaED发送方A接收方BM比较密钥KUaMPRa|HEEPRa(H(M))HDDSS数字签名基于公钥加密的双向认证()中N1是A认证B挑战;()中N1使确信的身份,是认证的挑战()中是确信的身份()()实现对称密码的密钥分配SSL基本流程消息1 客户A客户B:支持算法的密码算法列表和一个随机数 SA消息2 客户B客户A :B证书,随机数SB,选择自己能支持的算法消息3 客户A客户B:选随机数S,根据S,SA,SB计算会话密钥(主密钥)K,用B公钥加密S发给B,同时发送K和握手消息的散列值(该散列值加密,完整性保护),防止攻击
40、者对消息的篡改。消息4 客户B客户A:B计算K,发送此前所有握手消息的散列值,此散列值用B的写加密密钥保护,用B写完整性密钥进行完整性保护。证明自己知道会话密钥K,知道自己的私钥,因为可以解密自己公钥加密的S A完成对B认证(客户端对服务器认证),B没有对A认证。PGP一般发送处理X文件是生成签名X签名|X加密密钥XXE(PUB,KS)|E(KS,X)转换为基数64XR64X否需要签名吗?压缩XZ(X)是需要保密吗?双宿堡垒主机双重宿主主机体系结构是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。信息服务器屏蔽子网防火墙系统堡垒主机独立子网 DMZ 非军事区16