一：1.信息安全根源：①網(wǎng)絡(luò)協(xié)議的開放性，共享性和協(xié)議自身的缺陷性②操作系統(tǒng)和應(yīng)用程序的復(fù)雜性③程序設(shè)計帶來的問題④設(shè)備物理安全問題⑤人員的安全意識與技術(shù)問題⑥相關(guān)的法律問題。信息安全的任務(wù)：網(wǎng)絡(luò)安全的任務(wù)是保障各種網(wǎng)絡(luò)資源的穩(wěn)定、可靠的運行和受控、合法的使用；信息安全的任務(wù)是保障信息在存儲、傳輸、處理等過程中的安全，具體有機密性、完整性、不可抵賴性、可用性。網(wǎng)絡(luò)安全防范體系層次：物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、管理層安全層安全二：【第二章還沒有整理完】簡述對稱加密和公鑰加密的基本原理：所謂對稱，就是采用這種加密方法的雙方使用方式用同樣的密鑰進行加密和解密，或雖不相同，但可由其中任意一個很容易推出另一個；公鑰加密使用使用一對唯一性密鑰，一為公鑰一為私鑰，不能從加密密鑰推出解密密鑰。常用的對稱加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES常用的公鑰加密有：RSA、Diffie-Hellman密鑰交換、ElGamal凱撒密碼：每一個明文字符都由其右第三個字符代替RSA：①選兩個大素數(shù)pq②計算n=pq和w(n)=(p-1)(q-1)③隨機取加密密鑰e，使e和w(n)互素④計算解密密鑰d，以滿足ed=1modw(n)⑤加密函數(shù)E(x)=memodn，解密函數(shù)D(x)=cdmodn，m是明文，c使密文⑥{e，n}為公開密鑰，d為私人密鑰，n一般大于等于1024位。D-H密鑰交換：①A和B定義大素數(shù)p及本源根a②A產(chǎn)生一個隨機數(shù)x，計算X=axmodp，并發(fā)送給B③B產(chǎn)生y，計算Y=aymodp，并發(fā)送給A④A計算k=Yxmodp⑤B計算k’=Xymodp⑥k，k’即為私密密鑰三：PKI是具普適性安全基礎(chǔ)設(shè)施原因(p21)：①普適性基礎(chǔ)②應(yīng)用支撐③商業(yè)驅(qū)動。PKI組件(p24)：認證機構(gòu)、證書庫、證書撤消、密匙備份和恢復(fù)、自動密匙更新、密匙歷史檔案、交叉認證、支持不可否認、時間戳、客戶端軟件。PKI核心服務(wù)(p26)：①認證：向一個實體確認另一個實體確實就是用戶自己②完整性：向一個實體確保數(shù)據(jù)沒有被有意或無意地修改③機密性：向一個實體確保除了接受者，無人能讀懂?dāng)?shù)據(jù)的關(guān)鍵部分。PKI的支撐服務(wù)(p27)：安全通信、安全時間戳、公證、不可否認、特權(quán)管理。密匙和證書管理階段(p34)：①初始化階段：終端實體注冊、密匙對產(chǎn)生、證書創(chuàng)建和密匙/證書分發(fā)、證書分發(fā)、密匙備份②頒發(fā)階段：證書檢索、證書驗證、密匙恢復(fù)、密匙更新③取消階段：證書過期、證書撤消、密匙歷史、密匙檔案。PKI信任模型(p41)：嚴(yán)格層次結(jié)構(gòu)、分布式信任結(jié)構(gòu)、WEB模型、以用戶為中心的信任。(還要畫圖書上P41)四：l.IPSec協(xié)議的隧道模式與傳輸模式有何區(qū)別？如何實現(xiàn)？(p46)它們所保護的內(nèi)容不同，傳輸模式保護的只是IP的有效負載，而隧道模式保護的是整個IP數(shù)據(jù)包。AH和ESP都支持這兩種模式，存在四種形式。AH傳輸模式AH隧道模式ESP傳輸模式ESP隧道模式。

簡述ESP和AH在中IPSec的作用，它們能否同時使用？(p45)AH為IP數(shù)據(jù)包提供3種服務(wù)，即無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認證和防重放攻擊；ESP除了為IP數(shù)據(jù)包提供AH已有3種服務(wù)外，有還提供數(shù)據(jù)包加密、數(shù)據(jù)流加密；可以同時使用，不過AH提外，有還提供數(shù)據(jù)包加密、數(shù)據(jù)流加密；可以同時使用，不過AH提供的驗證服務(wù)要強于ESP。3.SSL結(jié)構(gòu)及相關(guān)協(xié)議的功能(p48)SSL握手協(xié)議SSL修改器瀉規(guī)格協(xié)議SSL吉警協(xié)議HTTPLDAPSSLi己錄協(xié)議TCPUDPSSL握手協(xié)議(p50)：在實際的數(shù)據(jù)傳輸開始前，通信雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。SSL修改密碼規(guī)格協(xié)議(p50)：唯一目的是未決狀態(tài)被復(fù)制為當(dāng)前狀態(tài)，從而改變這個連接將要使用的密碼規(guī)格。SSL告警協(xié)議(p50)：把有關(guān)警告?zhèn)鞯礁鱾€實體。SSL記錄協(xié)議(p49):在客戶及和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù)。4.SSL記錄協(xié)議的過程(p49):分段、壓縮、計算MAC碼、加密、增加記錄協(xié)議頭部。計算MAC厝加記錄協(xié)議頭部5.S-HTTP相對于HTTP的特性計算MAC厝加記錄協(xié)議頭部5.S-HTTP相對于HTTP的特性(p53)：是對HTTP擴充安全特性、增加分段壓縮加密應(yīng)用層數(shù)據(jù)分片11了報文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機密性等安全措施。6.SET在電子商務(wù)流程中安全保密功能的實現(xiàn)(p56)：7.PGP加密和認證過程(p58)：五:黑客常用的入侵方法(p61)：口令入侵、特洛伊木馬術(shù)、監(jiān)聽法、E-mail技術(shù)、利用系統(tǒng)漏洞。黑客入侵的一般步驟(p62)：①攻擊的準(zhǔn)備階段：確定攻擊的目的、信息收集②攻擊的實施階段：獲得權(quán)限、權(quán)限的擴大③攻擊的善后工作：隱藏蹤跡、后門常用的掃描技術(shù)(p66)：端口掃描技術(shù)。漏洞掃描技術(shù)拒絕服務(wù)攻擊技術(shù)原理(p68)：根本目的是使受害主機或網(wǎng)絡(luò)無法及時處理(或回應(yīng))外界請求。①制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通信②利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求③利用受害主機所提供服務(wù)中處理數(shù)據(jù)上的缺陷，反復(fù)發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯誤，這樣可以大量占用系統(tǒng)資源，使主機處于假死狀態(tài)或者死機。緩沖溢出的原理(p69)：通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。根本原因在于編程語言對緩沖區(qū)缺乏嚴(yán)格的邊界檢查。緩沖溢出的關(guān)鍵技術(shù)(p71)&進程的內(nèi)存組織形式②堆棧區(qū)域③ShellCode常用的后門技術(shù)防范(p73)①評估②MD5基準(zhǔn)線③入侵檢測④從CD-ROM啟動8.Sniffer技術(shù)：Sniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地來為其他計算機的數(shù)據(jù)報文傳送的一種工具，所關(guān)心的內(nèi)容可分為：口令、偷窺機密或敏感的信息數(shù)據(jù)、窺探低級的協(xié)議信息。六：計算機病毒：一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有一種定義是一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內(nèi)存)或程序里，當(dāng)某種條件或時機成熟時，它會自身復(fù)制并傳播，使計算機資源受到不同程序的破壞等等。2.計算機病毒的主要特征：傳染性、隱蔽性、潛伏性、破壞性、非授權(quán)可執(zhí)行性。簡述計算機病毒的工作原理：引導(dǎo)型病毒：病毒把自己存放在引導(dǎo)區(qū)，當(dāng)做正常的引導(dǎo)程序，而將真正的引導(dǎo)程序搬到其他位置，當(dāng)計算機啟動時，就會把病毒程序當(dāng)作正常的引導(dǎo)程序來運行，使寄生在磁盤引導(dǎo)區(qū)的靜態(tài)病毒進入計算機，這時病毒程序被激活，可以隨時進行感染和破壞活動。典型代表：大麻病毒（“石頭”病毒、“新西蘭”病毒），工作原理：加載、感染、破壞。文件型病毒：主要攻擊COM、EXE、SYS、DLL等可執(zhí)行文件，病毒對計算機的源文件進行修改，使其成為新的帶毒文件，一旦計算機運行該文件就會被感染，從而達到傳播的目的。典型代表：CIH，首例直接攻擊和破壞計算機硬件系統(tǒng)的病毒，破壞方式：攻擊BIOS、覆蓋硬盤。簡述計算機病毒傳染的一般過程：在系統(tǒng)運行時，病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件時，便從內(nèi)存中將自身存入被攻擊的目標(biāo),從而將病毒進行傳播。而病毒利用系統(tǒng)INT13H讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲器軟盤或硬盤中，再感染其他系統(tǒng)。簡述計算機病毒的防治方法：用戶角度:①計算機病毒的預(yù)防:樹立牢固的計算機病毒的預(yù)防思想；堵塞計算機病毒的傳染途徑；②計算機病毒的檢測和消除：人工方法（借助調(diào)試程序及工具軟件等進行手工檢測和消除處理，操作復(fù)雜易出錯，要求操作者對系統(tǒng)十分熟悉）；自動方法（針對某種或多種病毒使用專門的反病毒軟件自動對病毒進行檢測和消除處理，操作簡單速度快，不會破壞系統(tǒng)數(shù)據(jù)）技術(shù)角度：①病毒預(yù)防技術(shù)：包括對已知病毒的特征判定技術(shù)或靜態(tài)判定技術(shù)和對未知病毒的動態(tài)判定技術(shù)②病毒檢測技術(shù):包括根據(jù)計算機病毒程序中的關(guān)鍵字、特征程序段、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)和不針對具體病毒程序的自身檢測技術(shù)③病毒消除技術(shù)：病毒傳染程序的逆過程，是病毒檢測的延伸④病毒免疫技術(shù)：沒有很大發(fā)展。七：防火墻的基本功能：對內(nèi)部網(wǎng)絡(luò)進行劃分，實現(xiàn)對重點網(wǎng)段的隔離；實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的集中管理，強化網(wǎng)絡(luò)安全策略；是審計和記錄Internet使用費用的一個最佳地點；可防止非法用戶進入內(nèi)部網(wǎng)絡(luò)，防止內(nèi)部信息的外泄；可利用NAT技術(shù)將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部IP地址對應(yīng)起來，以緩解地址空間短缺的問題?？赏ㄟ^IP通道構(gòu)建VPN。靜態(tài)包過濾型、狀態(tài)檢測型和代理服務(wù)型防火墻的優(yōu)缺點：神類優(yōu)點缺點^態(tài)包過濾型實現(xiàn)邏輯比較簡單，對網(wǎng)絡(luò)性匪影響較小’市■較強的透明性，與應(yīng)用呂無關(guān)，是最快的防火培需對IP/TCP等各種協(xié)議比較了解i易被地址欺騙t應(yīng)用層控制很弱；允許外部擁護百接與內(nèi)部主機相連；不檢至數(shù)茹區(qū)：不建立連接狀態(tài)表匚狀態(tài)撿測既提供了靜態(tài)包過濾防火培的處理速度和靈活性,又兼具應(yīng)用早網(wǎng)關(guān)理解應(yīng)用程芹狀態(tài)的能力虧安?全性，是目前最流行的只檢測數(shù)據(jù)包的第三層信息，無法徹底的識別數(shù)據(jù)包中大量的垃圾匚件，—以及木馬程序等；應(yīng)用層1芋亡，很弱；不檢查數(shù)據(jù)區(qū)；代理服務(wù)器型實施較強的數(shù)據(jù)流監(jiān)控、可濾、UL錄和報告等！具有極高的安全性和效率，可以支持多骯網(wǎng)絡(luò)協(xié)議和應(yīng)TL且可以方便地擴展實現(xiàn)對各種非標(biāo)準(zhǔn)服務(wù)的支持n可伸縮性差；不適合用來控制內(nèi)部人員訪問外界的網(wǎng)絡(luò)：不能很好三支持新應(yīng)用；不支持大規(guī)模的并發(fā)連接；不檢登IP、TCP報頭，網(wǎng)絡(luò)層保護較弱；3.比較Linux下的IPTables與WindowsXP自帶的防火墻各自的優(yōu)缺點：IPTables:允許建立狀態(tài)防火墻，就是在內(nèi)存中保存穿過防火墻的每條連接；能夠過濾TCP標(biāo)志任意組合報文，還能夠過濾MAC地址；系統(tǒng)日志比IPChains更容易配置，擴展性也更好；對于NAT和透明代理的支持，Netfilter更為強大和易于使用；能夠阻止某些（例如SYS攻擊）Dos攻擊。ICF：互聯(lián)網(wǎng)連接防火墻，系統(tǒng)內(nèi)建，占用資源少且不花額外的錢去購買，鑒于ICF工作原理，ICF不能很好地應(yīng)用在服務(wù)器上，也不能完全取代現(xiàn)有的個人防火墻產(chǎn)品，無法提供基于應(yīng)用程序的保護，也無法建立基于IP包的包審核策略。八：入侵檢測系統(tǒng)有哪些功能：通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，追蹤網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生；檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為；檢測黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出警報。報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅；提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，利于進行修補；在大型、復(fù)雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量?；诰W(wǎng)絡(luò)的和基于主機的IDS各有什么優(yōu)缺點：基于網(wǎng)絡(luò)（使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源）:低成本；攻擊者轉(zhuǎn)移入侵證據(jù)很困難；實時檢測和應(yīng)答，一旦發(fā)生攻擊可以隨時發(fā)現(xiàn)，能夠更快地做出反應(yīng)從而將入侵活動對系統(tǒng)的破壞降到最低；能夠檢測未成功的或試探性的攻擊企圖；與操作系統(tǒng)獨立，不依賴于主機的操作系統(tǒng)類型，而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C（監(jiān)視操作系統(tǒng)安全日志以及關(guān)鍵應(yīng)用的日志文件）：非常適用于加密和交換網(wǎng)絡(luò)環(huán)境；接近實時的檢測和應(yīng)答；不需要額外的硬件；能實現(xiàn)應(yīng)用級的入侵檢測IDS常用的檢測引擎技術(shù)有：統(tǒng)計方法；專家系統(tǒng)；神經(jīng)網(wǎng)絡(luò)；狀態(tài)轉(zhuǎn)移分析；Petri網(wǎng)；計算機免疫；Agent技術(shù)；遺傳算法；數(shù)據(jù)挖掘；粗糙集理論。4.IDS的局限性：存在過多的報警信息，即使在沒有惡意攻擊時，入侵檢測系統(tǒng)也會發(fā)出大量報警；入侵檢測系統(tǒng)自身的攻擊能力差；缺乏檢測高水平攻擊者的有效手段。蜜罐系統(tǒng)：是誘捕攻擊者的一個陷阱，是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者一個容易攻擊的目標(biāo)。由于蜜罐并沒有向外界提供真正有價值的服務(wù)，因此所有對蜜罐的嘗試都被視為可疑的。另一個作用是拖延攻擊者對真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費時間。構(gòu)造一個蜜罐系統(tǒng)需要的主要技術(shù)有：網(wǎng)絡(luò)欺騙、端口重定向、報警、數(shù)據(jù)控制和數(shù)據(jù)捕獲等。九：1.隱寫技術(shù)：也稱信息隱藏，是通過正常載體來傳遞秘密信息，以達到隱匿的目的，從而使它在傳遞過程中不會被感知。隱寫分析技術(shù)：是對表面正常的圖像、音頻、視頻等媒體信號（尤其是通過互聯(lián)網(wǎng)進行傳輸?shù)男盘枺┻M行檢測，判斷其中是否嵌有秘密信息（這些秘密信息是通過一定的隱寫算法嵌入的），甚至只是指出媒體中存在秘密信息的可能性，這樣就可以找到敵對隱蔽通信的信源，從而阻斷隱蔽通信的信道。隱寫技術(shù)的類型：非純載體分析、知道純載體分析、知道隱信息分析、選擇隱寫分析、選擇信息分析、知道隱寫分析。LSB算法：