網(wǎng)絡信息安全期末復習要點知識點總結期末復習題題庫(含答案)一、網(wǎng)絡信息安全基礎概念1.安全目標（CIA三元組）機密性（Confidentiality）：確保信息僅被授權方訪問，常用加密技術（如AES、RSA）實現(xiàn)。完整性（Integrity）：保證信息在傳輸或存儲過程中未被篡改，通過哈希函數(shù)（如SHA256）和數(shù)字簽名驗證?？捎眯裕ˋvailability）：確保授權用戶在需要時可訪問信息或服務，防御DDoS攻擊、硬件冗余是關鍵手段。擴展目標：可控性（對信息流向的管理）、可審查性（操作行為可追溯）。2.安全威脅分類被動攻擊：不干擾系統(tǒng)正常運行，主要竊取或分析信息（如網(wǎng)絡嗅探、流量分析），難以檢測但可通過加密防范。主動攻擊：篡改或破壞信息（如SQL注入、DDoS、勒索軟件），需結合入侵檢測、訪問控制等技術防御。3.安全模型與體系PDRR模型：由防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）四階段構成，強調(diào)動態(tài)防御?？v深防御（DefenseinDepth）：多層級安全措施疊加（如邊界防火墻+內(nèi)網(wǎng)訪問控制+終端殺毒），避免單點失效。二、密碼學基礎與應用1.對稱加密算法原理：加密與解密使用同一密鑰，運算速度快，適合大數(shù)據(jù)加密。典型算法：DES（數(shù)據(jù)加密標準）：56位密鑰，已被AES取代；AES（高級加密標準）：支持128/192/256位密鑰，分組長度128位，是目前最廣泛使用的對稱加密算法；國密SM4：中國自主設計，分組密碼，用于無線局域網(wǎng)等場景。2.非對稱加密算法原理：公鑰加密、私鑰解密（或私鑰簽名、公鑰驗證），解決密鑰分發(fā)問題，但運算速度慢。典型算法：RSA：基于大整數(shù)分解難題，密鑰長度1024位（已不安全）、2048位（主流）；ECC（橢圓曲線加密）：相同安全強度下密鑰更短（如256位ECC≈3072位RSA），適合移動設備；國密SM2：中國自主橢圓曲線算法，用于數(shù)字簽名、密鑰交換。3.哈希函數(shù)與數(shù)字簽名哈希函數(shù)（單向散列函數(shù)）：將任意長度輸入映射為固定長度輸出（如SHA256輸出256位），特性包括碰撞抵抗、抗篡改。數(shù)字簽名：結合哈希與非對稱加密，流程為“原文→哈?！借€加密哈希值→簽名”，用于驗證身份與數(shù)據(jù)完整性（如SM3+SM2組合）。4.證書與PKI體系X.509證書：包含公鑰、用戶身份、頒發(fā)機構（CA）簽名等信息，用于公鑰的可信分發(fā)。PKI（公鑰基礎設施）：由CA、RA（注冊機構）、證書庫等組成，解決公鑰信任問題（如HTTPS中服務器證書驗證）。三、網(wǎng)絡安全核心技術1.防火墻技術包過濾防火墻：基于IP地址、端口號過濾流量，規(guī)則簡單但無法識別應用層內(nèi)容；狀態(tài)檢測防火墻：跟蹤連接狀態(tài)（如TCP三次握手），避免非法連接偽裝；應用層網(wǎng)關（代理防火墻）：在應用層轉發(fā)流量（如HTTP代理），可深度檢測內(nèi)容但性能開銷大；下一代防火墻（NGFW）：集成入侵檢測、應用識別、URL過濾等功能，支持細粒度控制。2.入侵檢測與防御系統(tǒng)（IDS/IPS）IDS（入侵檢測系統(tǒng)）：監(jiān)控網(wǎng)絡或主機活動，通過特征匹配（已知攻擊模式）或異常檢測（偏離正常行為）發(fā)現(xiàn)攻擊，僅報警不干預；IPS（入侵防御系統(tǒng)）：集成IDS功能，可主動阻斷攻擊（如丟棄惡意數(shù)據(jù)包），需部署在流量路徑上（Inline模式）；區(qū)別：IDS是“監(jiān)控者”，IPS是“干預者”。3.虛擬專用網(wǎng)（VPN）功能：在公網(wǎng)上建立加密隧道，實現(xiàn)遠程用戶或分支網(wǎng)絡的安全通信。協(xié)議分類：第二層協(xié)議：PPTP（點到點隧道協(xié)議，使用MPPE加密，已過時）、L2TP（需結合IPSec加密）；第三層協(xié)議：IPSec（支持AH驗證、ESP加密，分傳輸模式和隧道模式）；應用層協(xié)議：SSL/TLSVPN（如OpenVPN），基于HTTPS端口（443）穿透防火墻，適合移動辦公。4.訪問控制技術ACL（訪問控制列表）：基于IP、端口、用戶等規(guī)則限制網(wǎng)絡訪問（如路由器/交換機的過濾規(guī)則）；RBAC（基于角色的訪問控制）：根據(jù)用戶角色分配權限（如“管理員”“普通員工”角色權限不同），降低管理復雜度；MAC（強制訪問控制）：系統(tǒng)強制分配安全標簽（如“絕密”“機密”），僅允許高權限主體訪問低敏感度客體（如軍用系統(tǒng)）。四、Web安全與常見攻擊防御1.Web應用層攻擊SQL注入（SQLInjection）：攻擊者通過輸入惡意SQL代碼，篡改數(shù)據(jù)庫查詢（如“'OR1=1”可繞過登錄驗證）。防御：使用預編譯語句（PreparedStatement）、輸入校驗（白名單過濾特殊字符）、存儲過程。XSS（跨站腳本攻擊）：向網(wǎng)頁中注入惡意腳本（如<script>alert('xss')</script>），竊取用戶Cookie或會話信息。防御：對用戶輸入進行轉義（如HTML轉義、JavaScript轉義）、設置Cookie的HttpOnly屬性。CSRF（跨站請求偽造）：攻擊者誘導用戶執(zhí)行非自愿操作（如轉賬），利用用戶已登錄的會話。防御：驗證Referer頭、添加CSRF令牌（Token）、使用SameSiteCookie屬性。2.HTTPS原理與握手過程HTTPS=HTTP+TLS/SSL，通過加密傳輸保障Web通信安全。握手流程（以TLS1.3為例）：1.客戶端發(fā)送“ClientHello”（支持的TLS版本、加密套件列表）；2.服務器回應“ServerHello”（選定的加密套件），并發(fā)送服務器證書；3.客戶端驗證證書（檢查CA簽名、域名匹配），生成隨機數(shù)（PreMasterSecret）并用服務器公鑰加密后發(fā)送；4.雙方基于PreMasterSecret生成會話密鑰（MasterSecret）；5.客戶端與服務器使用會話密鑰加密后續(xù)通信。五、數(shù)據(jù)安全與隱私保護1.數(shù)據(jù)生命周期安全存儲階段：靜態(tài)加密（如磁盤加密BitLocker、數(shù)據(jù)庫字段加密）、訪問控制（限制文件讀寫權限）；傳輸階段：使用TLS、IPSec等協(xié)議加密，避免明文傳輸（如禁止HTTP傳輸敏感數(shù)據(jù)）；銷毀階段：物理銷毀（磁盤格式化+覆蓋寫入）、邏輯銷毀（數(shù)據(jù)庫數(shù)據(jù)徹底刪除，避免恢復）。2.數(shù)據(jù)備份與容災備份類型：全量備份（完整數(shù)據(jù)）、增量備份（僅備份變化部分）、差異備份（備份上次全量后所有變化）；容災等級：本地備份（同機房）、異地冷備（異機房定期同步）、異地活備（實時同步，如雙活數(shù)據(jù)中心）；關鍵指標：RPO（恢復點目標，允許丟失的數(shù)據(jù)量）、RTO（恢復時間目標，系統(tǒng)停機時間）。3.隱私保護技術數(shù)據(jù)脫敏：對敏感信息（如身份證號、手機號）進行匿名化處理（如“1381234”）、泛化（將“25歲”改為“2030歲”）；差分隱私：在數(shù)據(jù)中添加可控噪聲（如統(tǒng)計查詢結果），防止通過多次查詢推斷個體信息；聯(lián)邦學習：在不共享原始數(shù)據(jù)的前提下，聯(lián)合多個機構訓練模型（如醫(yī)療數(shù)據(jù)跨醫(yī)院協(xié)同分析）。六、移動終端與物聯(lián)網(wǎng)安全1.移動終端安全Android安全機制：沙盒隔離（每個應用運行在獨立沙盒）、權限模型（敏感權限需用戶授權）、簽名驗證（應用需開發(fā)者簽名）；iOS安全機制：封閉生態(tài)（僅AppStore應用可安裝）、代碼簽名（蘋果審核）、數(shù)據(jù)保護（文件級加密，密碼解鎖后可用）；移動惡意軟件：木馬（如Android的“銀行大盜”，竊取支付信息）；勒索軟件（加密用戶文件，索要比特幣贖金）；防御措施：安裝官方應用、開啟自動更新、使用移動設備管理（MDM）統(tǒng)一管控。2.物聯(lián)網(wǎng)（IoT）安全挑戰(zhàn)：設備資源受限（計算/存儲能力弱）、通信協(xié)議多樣（MQTT、CoAP）、部署分散（難以集中管理）；典型攻擊：DDoS（如Mirai僵尸網(wǎng)絡，利用弱口令IoT設備發(fā)起大規(guī)模攻擊）；固件篡改（通過未加密的OTA升級注入惡意代碼）；防御：輕量級加密（如ChaCha20，替代AES減少計算量）、設備身份認證（如預共享密鑰PSK）、定期固件更新。七、網(wǎng)絡安全法律法規(guī)1.《中華人民共和國網(wǎng)絡安全法》核心要求：關鍵信息基礎設施（CII）運營者需履行安全保護義務（如定期檢測評估）、數(shù)據(jù)本地化（重要數(shù)據(jù)境內(nèi)存儲）、用戶信息保護（收集使用需明示同意）。2.《中華人民共和國數(shù)據(jù)安全法》數(shù)據(jù)分類分級：根據(jù)數(shù)據(jù)重要性和敏感程度劃分級別，采取不同保護措施；數(shù)據(jù)出境安全評估：重要數(shù)據(jù)出境需經(jīng)安全評估（如通過國家網(wǎng)信部門審批）。3.《中華人民共和國個人信息保護法》最小必要原則：僅收集實現(xiàn)功能所需的最小范圍個人信息；告知同意規(guī)則：處理個人信息前需明確告知目的、方式，取得用戶同意（可撤回）；跨境提供：需通過個人信息保護認證或簽訂標準合同。網(wǎng)絡信息安全期末復習題庫（含答案）一、單項選擇題（每題2分，共20分）1.以下哪項是對稱加密算法？（）A.RSAB.AESC.ECCD.SM2答案：B（AES是對稱加密，其余為非對稱）2.HTTPS通信中，用于驗證服務器身份的是（）A.數(shù)字簽名B.哈希值C.會話密鑰D.證書答案：D（服務器證書由CA頒發(fā)，包含公鑰和身份信息）3.防止SQL注入的最佳方法是（）A.過濾輸入中的“”符號B.使用預編譯語句C.限制數(shù)據(jù)庫查詢權限D.加密用戶輸入答案：B（預編譯語句將SQL結構與數(shù)據(jù)分離，徹底防止注入）4.以下屬于主動攻擊的是（）A.網(wǎng)絡嗅探B.流量分析C.DDoS攻擊D.密碼猜測答案：C（DDoS破壞可用性，屬于主動攻擊；其他為被動攻擊）5.PDRR模型的四個階段是（）A.防護、檢測、響應、恢復B.檢測、防護、響應、恢復C.防護、響應、檢測、恢復D.檢測、響應、防護、恢復答案：A（PDRR即防護檢測響應恢復）6.物聯(lián)網(wǎng)設備因資源受限，通常使用的加密算法是（）A.AES256B.RSA2048C.ChaCha20D.SM2答案：C（ChaCha20是輕量級流加密，適合低計算能力設備）7.以下哪項不是XSS的防御措施？（）A.輸入轉義B.設置HttpOnlyCookieC.驗證Referer頭D.輸出編碼答案：C（驗證Referer頭是CSRF防御措施）8.數(shù)據(jù)備份中，RPO指的是（）A.恢復時間目標B.恢復點目標C.容災等級D.備份頻率答案：B（RPO是允許丟失的數(shù)據(jù)量，RTO是恢復時間）9.強制訪問控制（MAC）的特點是（）A.權限由用戶自定義B.基于角色分配權限C.系統(tǒng)強制分配安全標簽D.僅允許讀取不允許寫入答案：C（MAC通過系統(tǒng)標簽強制控制訪問）10.《個人信息保護法》規(guī)定，處理個人信息應遵循（）A.最大必要原則B.任意收集原則C.最小必要原則D.無需告知原則答案：C（最小必要原則是核心要求）二、填空題（每空2分，共20分）1.信息安全的核心目標CIA三元組是機密性、完整性和______。（可用性）2.數(shù)字簽名的流程是：原文經(jīng)______生成摘要，再用私鑰加密摘要。（哈希函數(shù)）3.防火墻的三種主要類型是包過濾防火墻、狀態(tài)檢測防火墻和______。（應用層網(wǎng)關/代理防火墻）4.IPS的全稱是______。（入侵防御系統(tǒng)）5.HTTPS使用的加密協(xié)議是______。（TLS/SSL）6.防止CSRF攻擊的常用方法是添加______。（CSRF令牌/Token）7.數(shù)據(jù)脫敏的常見技術包括匿名化和______。（泛化）8.移動終端的沙盒機制主要用于實現(xiàn)應用的______。（隔離/獨立運行）9.物聯(lián)網(wǎng)設備易受______攻擊（如Mirai），通過弱口令控制設備發(fā)起DDoS。（僵尸網(wǎng)絡）10.《網(wǎng)絡安全法》要求關鍵信息基礎設施運營者需進行______檢測評估。（定期安全）三、簡答題（每題8分，共40分）1.簡述對稱加密與非對稱加密的區(qū)別及應用場景。答案：對稱加密使用同一密鑰，速度快，適合大數(shù)據(jù)加密（如AES加密文件）；非對稱加密使用公私鑰對，解決密鑰分發(fā)問題，適合小數(shù)據(jù)加密或數(shù)字簽名（如RSA加密會話密鑰、SM2簽名）。2.說明IDS與IPS的區(qū)別，并舉例場景。答案：IDS僅檢測并報警（如監(jiān)控到SQL注入攻擊后通知管理員）；IPS可主動阻斷攻擊（如直接丟棄惡意SQL數(shù)據(jù)包）。場景：企業(yè)網(wǎng)絡出口部署IPS，內(nèi)網(wǎng)部署IDS進行監(jiān)控。3.描述