信息安全概論復(fù)習(xí)資料信息安全概論復(fù)習(xí)資料信息安全概論復(fù)習(xí)資料V:1.0精細(xì)整理，僅供參考信息安全概論復(fù)習(xí)資料日期：20xx年X月1、信息安全的概念，信息安全理念的三個(gè)階段（信息保護(hù)-5特性，信息保障-PDRR，綜合應(yīng)用-PDRR+管理）概念：信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。三個(gè)階段：（1）信息保護(hù)階段：信息安全的基本目標(biāo)應(yīng)該是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴(lài)性。（2）信息綜合保障階段--PDRR模型保護(hù)（Protect）、檢測(cè)（Detect）、響應(yīng)（React）、恢復(fù)（Restore）（3）信息安全整體解決方案：在PDRR技術(shù)保障模型的前提下，綜合信息安全管理措施，實(shí)施立體化的信息安全防護(hù)。即整體解決方案＝PDRR模型+安全管理。2、ISC2的五重保護(hù)體系，信息安全體系-三個(gè)方面，信息安全技術(shù)體系國(guó)際信息系統(tǒng)安全認(rèn)證組織（InternationalInformationSystemsSecurityCertificationConsortium，簡(jiǎn)稱(chēng)ISC2）將信息安全劃分為5重屏障共10大領(lǐng)域。（1）．物理屏障層（2）．技術(shù)屏障層（3）．管理屏障層（4）．法律屏障層（5）．心理屏障層信息安全體系-三個(gè)方面：信息安全技術(shù)體系、信息安全組織機(jī)構(gòu)體系、信息安全管理體系信息安全技術(shù)體系：劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和管理層安全等五個(gè)層次。1）物理安全技術(shù)（物理層安全）。該層次的安全包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。2）系統(tǒng)安全技術(shù)（操作系統(tǒng)的安全性）。該層次的安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，主要表現(xiàn)在三個(gè)方面：一是操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素，主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等；二是對(duì)操作系統(tǒng)的安全配置問(wèn)題；三是病毒對(duì)操作系統(tǒng)的威脅。3）網(wǎng)絡(luò)安全技術(shù)（網(wǎng)絡(luò)層安全）。主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問(wèn)控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測(cè)的手段、網(wǎng)絡(luò)設(shè)施防病毒等。4）應(yīng)用安全技術(shù)（應(yīng)用層安全）。主要由應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對(duì)系統(tǒng)的威脅。5）管理安全性（管理層安全）。安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門(mén)與人員的組織規(guī)則等。3、信息系統(tǒng)安全，等級(jí)保護(hù)，認(rèn)證五個(gè)安全等級(jí)：第一級(jí)—用戶(hù)自主保護(hù)級(jí)第二級(jí)—系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)—安全標(biāo)記保護(hù)級(jí)第四級(jí)—結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)—訪問(wèn)驗(yàn)證保護(hù)級(jí)從第一級(jí)到第五級(jí)安全等級(jí)逐級(jí)增高，高級(jí)別安全要求是低級(jí)別要求的超集。分級(jí)保護(hù)的認(rèn)證：（1）信息安全產(chǎn)品認(rèn)證（2）信息系統(tǒng)安全認(rèn)證（3）信息安全服務(wù)資質(zhì)認(rèn)證（4）注冊(cè)信息安全專(zhuān)業(yè)人員資質(zhì)認(rèn)證（簡(jiǎn)稱(chēng)CISP）4、物理安全的概念，涉及的三個(gè)方面的內(nèi)容物理安全的概念：指為了保證信息系統(tǒng)安全可靠運(yùn)行，確保信息系統(tǒng)在對(duì)信息進(jìn)行采集、處理、傳輸、存儲(chǔ)過(guò)程中，不致受到人為或自然因素的危害，而使信息丟失、泄露或破壞，對(duì)計(jì)算機(jī)設(shè)備、設(shè)施（包括機(jī)房建筑、供電、空調(diào)等）、環(huán)境人員，系統(tǒng)等采取適當(dāng)?shù)陌踩胧Ｈ齻€(gè)方面：信息系統(tǒng)的物理安全涉及到整個(gè)系統(tǒng)的配套部件、設(shè)備和設(shè)施的安全性能、所處的環(huán)境安全以及整個(gè)系統(tǒng)可靠運(yùn)行等三方面，是信息系統(tǒng)安全運(yùn)行的基本保障。5、災(zāi)難備份的概念，安全備份三要素，備份的方式、存儲(chǔ)技術(shù)災(zāi)難備份：是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有的關(guān)鍵數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后在確定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的過(guò)程。災(zāi)難備份三要素：一是系統(tǒng)中的部件、數(shù)據(jù)都具有冗余性，即一個(gè)系統(tǒng)發(fā)生故障，另一個(gè)系統(tǒng)能夠保持?jǐn)?shù)據(jù)傳送的順暢；二是具有長(zhǎng)距離性，因?yàn)闉?zāi)害總是在一定范圍內(nèi)發(fā)生，因而保持足夠長(zhǎng)的距離才能保證數(shù)據(jù)不會(huì)被同一個(gè)災(zāi)害全部破壞；三是災(zāi)難備份系統(tǒng)追求全方位的數(shù)據(jù)復(fù)制，上述三要素也稱(chēng)為“3R要素”（Redundance、Remote、Replication）。數(shù)據(jù)備份方式：（1）全備份：是指對(duì)整個(gè)系統(tǒng)進(jìn)行包括系統(tǒng)和數(shù)據(jù)的完全備份。（2）增量備份：是指每次備份的數(shù)據(jù)只是相當(dāng)于上一次備份后增加的和修改過(guò)的數(shù)據(jù)。（3）差分備份：就是每次備份的數(shù)據(jù)是相對(duì)于上一次全備份之后新增加的和修改過(guò)的數(shù)據(jù)。常用的存儲(chǔ)優(yōu)化技術(shù)有：直接連接存儲(chǔ)DAS（DirectAttachedStorage,DAS）：數(shù)據(jù)被存儲(chǔ)在各服務(wù)器的磁盤(pán)族或磁盤(pán)陣列等存儲(chǔ)設(shè)備中。網(wǎng)絡(luò)連接存儲(chǔ)NAS（NetworkAttachedStorage,NAS）：數(shù)據(jù)的存儲(chǔ)（DAS）和處理（服務(wù)器）功能分離。存儲(chǔ)區(qū)域存儲(chǔ)SAN（StorageAreaNetwork,SAN）：SAN是用于連接服務(wù)器和存儲(chǔ)裝置（大容量磁盤(pán)陣列和備份磁帶庫(kù)）的專(zhuān)用網(wǎng)絡(luò)。虛擬存儲(chǔ)(StorageVirtualization)：就是把多個(gè)存儲(chǔ)介質(zhì)模塊（如硬盤(pán)、RAID等）通過(guò)一定的手段集中管理起來(lái)，所有的存儲(chǔ)模塊在一個(gè)存儲(chǔ)池中得到統(tǒng)一管理。調(diào)配靈活、使用合理，是目前的發(fā)展方向之一。6、操作系統(tǒng)安全的概念，5大技術(shù)要求概念：操作系統(tǒng)的安全主要通過(guò)身份鑒別、自主訪問(wèn)控制、標(biāo)記和強(qiáng)制訪問(wèn)控制、數(shù)據(jù)流控制、審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性等幾方面來(lái)實(shí)現(xiàn)系統(tǒng)的安全需要。操作系統(tǒng)的安全，應(yīng)該從安全功能和安全保證兩方面綜合考慮。操作系統(tǒng)安全的技術(shù)要求：身份鑒別<1>用戶(hù)標(biāo)識(shí)<2>用戶(hù)鑒別<3>用戶(hù)主體行為綁定訪問(wèn)控制<1>自主訪問(wèn)控制<2>強(qiáng)制訪問(wèn)控制<3>基于角色的訪問(wèn)控制安全審計(jì)用戶(hù)數(shù)據(jù)的完整性和保密性可信路徑7、訪問(wèn)控制：概念，類(lèi)型，控制過(guò)程概念：訪問(wèn)控制是在保障授權(quán)用戶(hù)能獲取所需資源的同時(shí)拒絕非授權(quán)用戶(hù)的安全機(jī)制，是信息安全理論基礎(chǔ)的重要組成部分。類(lèi)型：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制控制過(guò)程：當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows系統(tǒng)為它分配一個(gè)SID，并與其他賬號(hào)信息一起存入SAM數(shù)據(jù)庫(kù)。用戶(hù)登錄管理。登錄主機(jī)（通常為工作站）的系統(tǒng)首先把用戶(hù)輸入的用戶(hù)名、口令和用戶(hù)希望登錄的服務(wù)器／域信息送給安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問(wèn)的信息，并返回用戶(hù)的安全標(biāo)識(shí)和用戶(hù)所在組的安全標(biāo)識(shí)，工作站系統(tǒng)為用戶(hù)生成一個(gè)進(jìn)程。服務(wù)器還要記錄用戶(hù)賬號(hào)的特權(quán)、主目錄位置、工作站參數(shù)等信息。本地安全授權(quán)機(jī)構(gòu)為用戶(hù)創(chuàng)建訪問(wèn)令牌，包括用戶(hù)名、所在組、安全標(biāo)識(shí)等信息。此后用戶(hù)每新建一個(gè)進(jìn)程，都將訪問(wèn)令牌復(fù)制作為該進(jìn)程的訪問(wèn)令牌。用戶(hù)訪問(wèn)進(jìn)程管理。安全引用監(jiān)視器將用戶(hù)/進(jìn)程的訪問(wèn)令牌中的SID與對(duì)象安全描述符中的自主訪問(wèn)控制表進(jìn)行比較，從而決定用戶(hù)是否有權(quán)訪問(wèn)對(duì)象。8、安全審計(jì)的概念、作用概念：安全審計(jì)是指在一個(gè)信息系統(tǒng)中以維護(hù)系統(tǒng)安全為目的的審計(jì)，即為了保障系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶(hù)的入侵和破壞，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控系統(tǒng)中每一個(gè)組成部分的狀態(tài)、安全事件，以便集中報(bào)警、分析、處理的一種技術(shù)手段。作用：提供對(duì)受保護(hù)客體訪問(wèn)的審計(jì)跟蹤功能，保護(hù)審計(jì)記錄不被未授權(quán)訪問(wèn)、修改和破壞。提供可選擇的審計(jì)事件，生成的審計(jì)日志可管理。9、風(fēng)險(xiǎn)評(píng)估的概念風(fēng)險(xiǎn)評(píng)估：就是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。10、加密技術(shù)的一般概念，密碼體制及類(lèi)型，公鑰體制的特點(diǎn)概念：加密技術(shù)的基本思想就是偽裝信息，使非法接入者無(wú)法理解信息的真正含義。2）密碼體制：11、信息加密傳輸、發(fā)送者身份認(rèn)證的實(shí)現(xiàn)方式。數(shù)字簽名、身份認(rèn)證、消息認(rèn)證、信息隱藏的概念。通信加密方式：鏈路加密：對(duì)網(wǎng)絡(luò)中兩個(gè)相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。節(jié)點(diǎn)加密：在信息傳輸路過(guò)的節(jié)點(diǎn)處進(jìn)行解密和加密（操作方式上與鏈路加密類(lèi)似，但節(jié)點(diǎn)中也是密文，用另一種密鑰實(shí)現(xiàn)）端到端加密：數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過(guò)程中始終以密文形式存在。身份認(rèn)證常用的方式：通行字方式和持證方式。數(shù)字簽名技術(shù)：數(shù)字簽名就是信息發(fā)送者使用公開(kāi)密鑰算法技術(shù)，產(chǎn)生別人無(wú)法偽造的一段數(shù)字串。身份認(rèn)證技術(shù)：被認(rèn)證方在沒(méi)有泄露自己身份信息的前提下，能夠以電子的方式來(lái)證明自己的身份，其本質(zhì)就是被認(rèn)證方擁有一些秘密信息，除被認(rèn)證方自己外，任何第三方（某些需認(rèn)證權(quán)威的方案中認(rèn)證權(quán)威除外）無(wú)法偽造，被認(rèn)證方能夠使認(rèn)證方相信他確實(shí)擁有那些秘密，則他的身份就得到了認(rèn)證。消息認(rèn)證技術(shù)：指通過(guò)對(duì)消息或消息相關(guān)信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為防止傳輸和存儲(chǔ)的消息被有意或無(wú)意地篡改。（包括消息內(nèi)容認(rèn)證、消息的源和宿認(rèn)證、消息的序號(hào)和操作時(shí)間認(rèn)證）信息隱藏技術(shù)：信息隱藏是把機(jī)密信息隱藏在大量信息中不讓對(duì)手發(fā)覺(jué)的一種方法。信息隱藏的方法主要有隱寫(xiě)術(shù)、數(shù)字水印技術(shù)、可視密碼、潛信道、隱匿協(xié)議等。數(shù)字水印技術(shù)：數(shù)字水印就是將特定的標(biāo)記隱藏在數(shù)字產(chǎn)品中，用以證明原創(chuàng)者對(duì)產(chǎn)品的所有權(quán)，并作為起訴侵權(quán)者的證據(jù)。12、掌握RSA算法密鑰生成、加密/解密的過(guò)程。在此基礎(chǔ)上掌握給定公鑰會(huì)解密等運(yùn)算。密鑰生成：首先要使用概率算法來(lái)驗(yàn)證隨機(jī)產(chǎn)生的大的整數(shù)是否質(zhì)數(shù)，這樣的算法比較快而且可以消除掉大多數(shù)非質(zhì)數(shù)。假如有一個(gè)數(shù)通過(guò)了這個(gè)測(cè)試的話，那么要使用一個(gè)精確的測(cè)試來(lái)保證它的確是一個(gè)質(zhì)數(shù)。除此之外這樣找到的p和q還要滿(mǎn)足一定的要求，首先它們不能太靠近，此外p-1或q-1的因子不能太小，否則的話N也可以被很快地分解。此外尋找質(zhì)數(shù)的算法不能給攻擊者任何信息，這些質(zhì)數(shù)是怎樣找到的，尤其產(chǎn)生隨機(jī)數(shù)的軟件必須非常好。要求是隨機(jī)和不可預(yù)測(cè)。這兩個(gè)要求并不相同。一個(gè)隨機(jī)過(guò)程可能可以產(chǎn)生一個(gè)不相關(guān)的數(shù)的系列，但假如有人能夠預(yù)測(cè)出（或部分地預(yù)測(cè)出）這個(gè)系列的話，那么它就已經(jīng)不可靠了。比如有一些非常好的隨機(jī)數(shù)算法，但它們都已經(jīng)被發(fā)表，因此它們不能被使用，因?yàn)榧偃缫粋€(gè)攻擊者可以猜出p和q一半的位的話，那么他們就已經(jīng)可以輕而易舉地推算出另一半。此外密鑰d必須足夠大，1990年有人證明假如p大于q而小于2q（這是一個(gè)很經(jīng)常的情況）而，那么從N和e可以很有效地推算出d。此外e=2永遠(yuǎn)不應(yīng)該被使用。密鑰分配：和其它加密過(guò)程一樣，對(duì)RSA來(lái)說(shuō)分配公鑰的過(guò)程是非常重要的。分配公鑰的過(guò)程必須能夠抵擋一個(gè)從中取代的攻擊。假設(shè)Eve交給Bob一個(gè)公鑰，并使Bob相信這是Alice的公鑰，并且她可以截下Alice和Bob之間的信息傳遞，那么她可以將她自己的公鑰傳給Bob，Bob以為這是Alice的公鑰。Eve可以將所有Bob傳遞給Alice的消息截下來(lái)，將這個(gè)消息用她自己的密鑰解密，讀這個(gè)消息，然后將這個(gè)消息再用Alice的公鑰加密后傳給Alice。理論上Alice和Bob都不會(huì)發(fā)現(xiàn)Eve在偷聽(tīng)他們的消息。今天人們一般用數(shù)字認(rèn)證來(lái)防止這樣的攻擊。RSA算法是一種非對(duì)稱(chēng)密碼算法，所謂非對(duì)稱(chēng)，就是指該算法需要一對(duì)密鑰，使用其中一個(gè)加密，則需要用另一個(gè)才能解密。RSA的算法涉及三個(gè)參數(shù)，n、e1、e2。其中，n是兩個(gè)大質(zhì)數(shù)p、q的積，n的二進(jìn)制表示時(shí)所占用的位數(shù)，就是所謂的密鑰長(zhǎng)度。e1和e2是一對(duì)相關(guān)的值，e1可以任意取，但要求e1與(p-1）*(q-1）互質(zhì)；再選擇e2，要求（e2*e1）mod((p-1）*(q-1））=1。（n，e1）,(n，e2）就是密鑰對(duì)。其中(n，e1）為公鑰，(n，e2）為私鑰。[

RSA加解密的算法完全相同，設(shè)A為明文，B為密文，則：A=B^e2modn；B=A^e1modn；（公鑰加密體制中，一般用公鑰加密，私鑰解密）e1和e2可以互換使用，即：A=B^e1modn；B=A^e2modn;13、PKI的概念和組成公鑰基礎(chǔ)設(shè)施PKI：PKI是一個(gè)用公鑰密碼算法原理和技術(shù)來(lái)提供安全服務(wù)的通用性基礎(chǔ)平臺(tái)，用戶(hù)可以利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI的組成：由五個(gè)部分組成：認(rèn)證中心CA，注冊(cè)機(jī)構(gòu)RA、證書(shū)庫(kù)CR、證書(shū)申請(qǐng)者、證書(shū)信任方。前三個(gè)部分是PKI的核心，證書(shū)申請(qǐng)者和證書(shū)信任方則是利用PKI進(jìn)行網(wǎng)上交易的參與者。14、防火墻的概念、作用、特點(diǎn)、技術(shù)分類(lèi)網(wǎng)絡(luò)防火墻：是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一道防御系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。防火墻的作用：1)防火墻是網(wǎng)絡(luò)安全的屏障2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略3)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)4)防止內(nèi)部信息的外泄5)部署NAT功能6)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和報(bào)警基本特征：1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力技術(shù)分類(lèi)：（六種）1）包過(guò)濾型防火墻2）應(yīng)用網(wǎng)關(guān)型防火墻3）混合或復(fù)雜網(wǎng)關(guān)型防火墻4）代理服務(wù)型防火墻5）狀態(tài)檢測(cè)型防火墻6）深度檢測(cè)型防火墻15、入侵檢測(cè)的概念、系統(tǒng)組成，四類(lèi)主要技術(shù)入侵檢測(cè)（IntrusionDetection）：就是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象，并對(duì)此做出適當(dāng)反應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)的組成：事件產(chǎn)生器（Eventgenerators）：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器（Eventanalyzers）：分析得到的數(shù)據(jù)據(jù)并產(chǎn)生分析結(jié)果。響應(yīng)單元（Responseunits）：對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)（Eventdatabases）：保存各種中間和最終數(shù)據(jù)的數(shù)據(jù)庫(kù)。一般將四個(gè)組件分為兩大部分：引擎和控制中心。引擎用于讀取原始數(shù)據(jù)和產(chǎn)生事件控制中心用于顯示和分析事件以及策略定制等工作入侵檢測(cè)技術(shù)：靜態(tài)配置分析、異常檢測(cè)技術(shù)、誤用檢測(cè)技術(shù)、基于系統(tǒng)關(guān)鍵程序的安全規(guī)格描述方法。16、VPN的概念、常用隧道協(xié)議，IPSec兩種封裝模式的特點(diǎn)、三個(gè)主要協(xié)議的作用，VPN的應(yīng)用模式虛擬專(zhuān)用網(wǎng)（VirtualPrivateNetwork，VPN）指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立虛擬的專(zhuān)用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。常用隧道協(xié)議：PPTP協(xié)議允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對(duì)IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過(guò)支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，，幀中繼或ATM。IPSec隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。IPSec兩種封裝模式的特點(diǎn)：傳輸模式：只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的IP頭部，只對(duì)IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式：對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè)IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個(gè)新的IP頭部。IPSec的三個(gè)主要協(xié)議：1）ESP（EncapsulatingSecurityPayload）：ESP協(xié)議主要用來(lái)處理對(duì)IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨(dú)立的，幾乎支持各種對(duì)稱(chēng)密鑰加密算法，默認(rèn)為3DES和DES。2）AH(AuthenticationHeader)：AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)：IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它主要包括三個(gè)功能：①對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商；②方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)；③跟蹤對(duì)以上這些約定的實(shí)施。VPN的應(yīng)用模式：1、遠(yuǎn)程訪問(wèn)2、遠(yuǎn)程網(wǎng)絡(luò)互連3、網(wǎng)絡(luò)內(nèi)部安全17、信息安全職業(yè)道德主要關(guān)注的問(wèn)題職業(yè)：職業(yè)的通俗表述就是人們所從事的工作。一定的職業(yè)是從業(yè)者獲取生活來(lái)源、擴(kuò)大社會(huì)關(guān)系和實(shí)現(xiàn)自身價(jià)值的重要途徑。道德：是依靠社會(huì)輿論、傳統(tǒng)習(xí)慣、教育和人的信念的力量去調(diào)整人與人、個(gè)人與社會(huì)之間關(guān)系的一種特殊的行為規(guī)范。職業(yè)道德：就是同人們的職業(yè)活動(dòng)緊密聯(lián)系的符合職業(yè)特點(diǎn)所要求的道德準(zhǔn)則、道德情操與道德品質(zhì)的總和。道德要求和行為準(zhǔn)則信息安全的職業(yè)道德：主要是指計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)使用的道德規(guī)范。18、什么是計(jì)算機(jī)犯罪有哪三種主要形式計(jì)算機(jī)犯罪：是指行為人通過(guò)計(jì)算機(jī)操作所實(shí)施的危害計(jì)算機(jī)信息系統(tǒng)（包括內(nèi)存數(shù)據(jù)及程序）以及其他嚴(yán)重危害社會(huì)的并應(yīng)當(dāng)處以刑罰的行為。主要形式：第285條：非法侵入國(guó)家計(jì)算機(jī)信息系統(tǒng)罪，列舉式并規(guī)定了相應(yīng)的刑罰。第286條：破壞計(jì)算機(jī)信息系統(tǒng)罪，列舉式并規(guī)定了相應(yīng)的刑罰。第287條：利用計(jì)算機(jī)犯罪，作為犯罪工具的原則性規(guī)定，刑罰由相關(guān)條款規(guī)定。19、信息系統(tǒng)安全保護(hù)法律規(guī)范