【正文】 例 654】 IE瀏覽器將因特網(wǎng)世界劃分為因特網(wǎng)區(qū)域、本地 Intra區(qū)域、可信站點(diǎn)區(qū)域和受限站點(diǎn)區(qū)域的主要目的是______。（ 2022年 4月） A） RSA B） PGP C） DES D） MD5 ? 答案： C 152 ? 【 例 652】 PGP是一種電子郵件安全方案，它一般采用的散列函數(shù)是 ______。安全單向散列函數(shù)不需要具有下面哪個特性？______（ 2022年 4月） A）相同輸入產(chǎn)生相同輸出 B）提供隨機(jī)性或者偽隨機(jī)性 C）易于實(shí)現(xiàn) D）根據(jù)輸出可以確定輸入消息 ? 答案： D 144 快門 (shutter)免費(fèi)網(wǎng)絡(luò)電話 立即注冊！ 親愛的老師、同學(xué)： 您們好！你開通免費(fèi)網(wǎng)絡(luò)電話了嗎？“中國教育和科研計算機(jī)網(wǎng)”極力推薦你使用 “快門” (shutter)軟件。（ 2022年 4月） ? 答案：隨機(jī)參數(shù) 137 ? 【 例 638】 常用的密鑰分發(fā)技術(shù)有 CA技術(shù)和 ______技術(shù)。（ 2022年 4月） A） Ⅰ 、 Ⅲ 和 Ⅴ B） Ⅲ 和 Ⅳ C） Ⅱ 和 Ⅳ D） Ⅰ 、 Ⅱ 、 Ⅲ 和 Ⅳ ? 答案： A 119 ? 【 例 620】 網(wǎng)絡(luò)反病毒技術(shù)主要有 3種，它們是預(yù)防病毒技術(shù)、 ______病毒技術(shù)和消除病毒技術(shù)。（ 2022年 4月） ? 答案：隔離 107 ? 【 例 68】 下面哪個網(wǎng)絡(luò)管理功能使得網(wǎng)絡(luò)管理人員可以通過改變網(wǎng)絡(luò)設(shè)置來改善網(wǎng)絡(luò)性能？ ______（ 2022年 9月） A）配置管理 B）計費(fèi)管理 C）性能管理 D）故障管理 ? 答案： C 108 ? 【 例 69】 以下有關(guān)網(wǎng)絡(luò)管理功能的描述中，哪個是錯誤的？ ______（ 2022年 9月） A）配置管理是掌握和控制網(wǎng)絡(luò)的配置信息 B）故障管理是對網(wǎng)絡(luò)中的故障進(jìn)行定位 C）性能管理監(jiān)視和調(diào)整工作參數(shù)，改善網(wǎng)絡(luò)性能 D）安全管理是使網(wǎng)絡(luò)性能維持在較好水平 ? 答案： D 109 ? 【 例 610】 下面哪一種不是網(wǎng)絡(luò)管理協(xié)議？______（ 2022年 9月） A） SNMP B） LAPB C） CMIS/CMIP D） LMMP ? 答案： B 110 ? 【 例 611】 SNMP 是最常用的計算機(jī)網(wǎng)絡(luò)管理協(xié)議。 ? 兩網(wǎng)對接時可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換（ NAT）、地址映射（ MAP）、網(wǎng)絡(luò)隔離（ DMZ， DeMilitarized Zone，非軍事區(qū)）、存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。 ? 5．防火墻的功能 ? 防火墻定義了惟一的一個瓶頸，以禁止脆弱的服務(wù)進(jìn)入或離開網(wǎng)絡(luò)； ? 通過防火墻可以監(jiān)視與安全有關(guān)的事件； ? 防火墻可以為幾種與安全無關(guān)的 Inter服務(wù)提供方便的平臺，例如地址轉(zhuǎn)換（ NAT）、網(wǎng)絡(luò)管理功能部； ? 防火墻可以作為諸如 IPSec的平臺。防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 ? 數(shù)字簽名的驗證 ? 接收方首先用發(fā)方公鑰解密數(shù)字簽名，導(dǎo)出數(shù)字摘要，并對電子文件原文作同樣哈希算法得一個新的數(shù)字摘要，將兩個摘要的哈希值進(jìn)行結(jié)果比較，相同簽名得到驗證，否則無效。 75 身份認(rèn)證 ? 2．個人持證 ? 持證為個人持有物，如磁卡、智能卡等 ? 磁卡常和個人標(biāo)識號 PIN一起使用 ? 智能卡將微處理器芯片嵌在宿卡上來代替無源存儲磁條，存儲信息遠(yuǎn)遠(yuǎn)大于磁條的 250字節(jié)，且具有處理功能，卡上的處理器有 4K字節(jié)的小容量 EPROM ? 3．個人特征 ? 主要技術(shù)有：指紋識別、聲音識別、筆跡識別、虹膜識別和手形等。這就是說，最后得出的 MD代碼已包含了報文長度的信息； ? 在報文和余數(shù)之間填充 1?512 位，使得填充后的總長度是 512的整數(shù)倍。 ? 認(rèn)證、授權(quán)和訪問控制都與網(wǎng)絡(luò)上的實(shí)體有關(guān)： ? 認(rèn)證：驗證一個最終用戶或設(shè)備（例如客戶機(jī)、服務(wù)器、交換機(jī)、路由器、防火墻等）的身份的過程，即建立信息發(fā)送者和 /或接收者的身份?，F(xiàn)在注冊就送 15分鐘免費(fèi)電話（本地、國內(nèi)、國際長途都行），而且每次打電話前 3分鐘免費(fèi)！在線積分可換話費(fèi)！每天可免費(fèi)打 75分鐘 !!!（手機(jī)、固話和小靈通皆可） 免費(fèi)注冊帳號： 立即注冊 免費(fèi)軟件下載： 地址 1 地址 2 (說明：放映幻燈片后即可連接 ) 中國教育和科研計算機(jī)網(wǎng) 202218 58 公鑰加密技術(shù) ? 1．公鑰密碼體制的模型 ? 有兩種模型：加密模型、認(rèn)證模型 明文 X接收者發(fā)送者E加密算法E加密算法D解密算法D解密算法公鑰 PK 私鑰 SK密文 Y = EPK( X )密鑰對產(chǎn)生源密鑰對產(chǎn)生源明文 X = DSK(EPK( X ) )明文接收者發(fā)送者加密算法加密算法 解密算法解密算法公鑰 私鑰密文密鑰對產(chǎn)生源密鑰對產(chǎn)生源明文59 公鑰加密技術(shù) ? 幾點(diǎn)錯誤觀點(diǎn)： ? 公鑰加密比常規(guī)加密更具有安全性 ? 公鑰加密是一種通用機(jī)制，常規(guī)加密已經(jīng)過時 60 2．常用的公鑰體制 ? 公鑰安全基礎(chǔ)：數(shù)學(xué)中的難解問題 ? 兩大類： ? 基于大整數(shù)因子分解問題，如 RSA體制； ? 基于離散對數(shù)問題，如 Elgamal體制、橢圓曲線密碼體制等。 ? 算法不必是秘密的，而只需要對密鑰進(jìn)行保密即可。這樣，如果對明文 attack進(jìn)行加密，密鑰為 4，則加密后形成的密文就是 EXXEGO。 ? 重放：涉及被動捕獲數(shù)據(jù)單元及其后來的重新傳送，以產(chǎn)生未經(jīng)授權(quán)的效果。 33 4．潛在威脅 ? 對基本威脅或主要的可實(shí)現(xiàn)的威脅進(jìn)行分析，可以發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導(dǎo)致發(fā)生一些更基本的威脅。 ? 非授權(quán)訪問 ? 沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。 ? 2．網(wǎng)絡(luò)安全的組成 ? 物理安全、人員安全、符合瞬時電磁脈沖輻射標(biāo)準(zhǔn)、數(shù)據(jù)安全 ? 操作安全、通信安全、計算機(jī)安全、工業(yè)安全 27 3．網(wǎng)絡(luò)安全模型 與 安 全性 相 關(guān)的 轉(zhuǎn) 換信 息 通 道與 安 全性 相 關(guān)的 轉(zhuǎn) 換消 息秘 密消 息對 手可 信 任 的 第 三 方( 如 保 密 信 息 的 促 裁 者 、 發(fā) 布 者 )主 體 主 體消 息秘 密消 息28 4．網(wǎng)絡(luò)安全的基本任務(wù) ? （ 1）設(shè)計加密算法，進(jìn)行安全性相關(guān)的轉(zhuǎn)換； ? （ 2）生成算法使用的保密信息； ? （ 3）開發(fā)分發(fā)和共享保密信息的方法； ? （ 4）指定兩個主體要使用的協(xié)議，并利用安全算法和保密信息來實(shí)現(xiàn)特定的安全服務(wù)。 ? 動態(tài)化原則 ? 整個系統(tǒng)內(nèi)盡可能引入更多可變因素，并具有良好的擴(kuò)展性。保證網(wǎng)絡(luò)信息系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)信息系統(tǒng)安全的前提。 15 1．簡單網(wǎng)管協(xié)議（ SNMP） ? （ 1） SNMP版本 ? SNMP v1是事實(shí)上的網(wǎng)絡(luò)管理工業(yè)標(biāo)準(zhǔn)，但在安全性和數(shù)據(jù)組織上存在一些缺陷。 10 3．性能管理 ? 網(wǎng)絡(luò)性能：主要包括網(wǎng)絡(luò)吞吐量、響應(yīng)時間、線路利用率、網(wǎng)絡(luò)可用性等參數(shù)。 ? 2．網(wǎng)絡(luò)管理的目標(biāo) ? 減少停機(jī)時間，改進(jìn)響應(yīng)時間，提高設(shè)備利用率； ? 減少運(yùn)行費(fèi)用，提高效率； ? 減少或消除網(wǎng)絡(luò)瓶頸； ? 使網(wǎng)絡(luò)更容易使用； ? 安全。 ? 代理：位于被管理的設(shè)備內(nèi)部，是被管對象上的管理程序?，F(xiàn)在注冊就送 15分鐘免費(fèi)電話（本地、國內(nèi)、國際長途都行），而且每次打電話前 3分鐘免費(fèi)！在線積分可換話費(fèi)！每天可免費(fèi)打 75分鐘 !!!（手機(jī)、固話和小靈通皆可） 免費(fèi)注冊帳號： 立即注冊 免費(fèi)軟件下載： 地址 1 地址 2 (說明：放映幻燈片后即可連接 ) 中國教育和科研計算機(jī)網(wǎng) 202218 12 4．計費(fèi)管理 ? 主要目的： ? 記錄網(wǎng)絡(luò)資源的使用，控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價。 16 1．簡單網(wǎng)管協(xié)議（ SNMP） ? （ 2） SNMP管理模型 17 1．簡單網(wǎng)管協(xié)議（ SNMP） ? （ 2） SNMP管理模型 ? 網(wǎng)絡(luò)管理站：負(fù)責(zé)管理代理和管理信息庫，它以數(shù)據(jù)報表的形式發(fā)出和傳送命令，從而達(dá)到控制代理的目的。 21 信息安全系統(tǒng)的設(shè)計原則 ? 木桶原則 ? 信息均衡、全面地進(jìn)行安全保護(hù)，提高整個系統(tǒng)的“安全最低點(diǎn)”的安全性能。 ? 通用安全評估準(zhǔn)則（ CC） ? 由美國國家標(biāo)準(zhǔn)技術(shù)研究所和國家安全局、歐洲四國（英、法、德、荷蘭）以及加拿大等 6國 7方聯(lián)合提出的，已成為國際標(biāo)準(zhǔn)ISO/IEC 15408。 ? 安全威脅可分為故意的（如黑客滲透）和偶然的（如信息被發(fā)往錯誤的地址）兩類。 ? 旁路控制 ? 攻擊者通過各種手段發(fā)現(xiàn)本應(yīng)保密卻又暴露出來的一些系統(tǒng)“特征”。 ? 反病毒技術(shù)主要分３類： ? 預(yù)防病毒技術(shù) ? 通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在 ? 主要手段：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡）等。 38 3．服務(wù)攻擊和非服務(wù)攻擊 ? 服務(wù)攻擊 ? 針對某種特定網(wǎng)絡(luò)服務(wù)的攻擊 ? 例如：針對 Email服務(wù)、 Tel、 FTP、 HTTP等服務(wù)的專門攻擊 ? 原因： TCP/IP協(xié)議缺乏認(rèn)證、保密措施。 ? 主要算法： DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）和 IDEA（國際數(shù)據(jù)加密算法） ? 序列密碼 ? 每次處理明文的 1比特，然后立刻輸出相應(yīng)的密文比特。每一個組長為64位。 ? 加密算法的非確定性 ? 背包公鑰體制 ? 基本原理：背包問題 62 密鑰管理 ? 主要涉及到兩方面的問題： ? 密鑰的生存周期 ? 授權(quán)使用該密鑰的周期 ? 密鑰分發(fā)技術(shù) ? 將密鑰發(fā)送到數(shù)據(jù)交換的兩方，而其他人無法看到的方法 ? 實(shí)現(xiàn)方法 ? KDC（密鑰分發(fā)中心）技術(shù)：保密密鑰的分發(fā) ? CA（證書權(quán)威機(jī)構(gòu)）技術(shù)：公鑰和保密密鑰的分發(fā) 63 1．密鑰的生存周期 ? 密鑰要有生存周期的原因： ? 一個密鑰使用得太多，會給攻擊者增大收集密文的機(jī)會，擁有大量的密文有助于密碼分析，易于破解密文； ? 假定一個密鑰受到危及或一個特定密鑰的加密 /解密過程被分析，則限定密鑰的使用期限就相當(dāng)于限制危險的發(fā)生。 ? 訪問控制：限制系統(tǒng)資源中的信息只能流到網(wǎng)絡(luò)中的授權(quán)個人或系統(tǒng)。 ? 網(wǎng)絡(luò)安全的一切東西都是建立在身份認(rèn)證的基礎(chǔ)之上，在確定用戶的身份之前，網(wǎng)絡(luò)不會把訪問權(quán)限授權(quán)給用戶 ? 身份認(rèn)證大致可分為 3種： ? 一是個人知道的某種事物，如口令、賬號、個人識別碼等； ? 二是個人持證（也稱令牌），如圖章、標(biāo)志、鑰匙、護(hù)照等； ? 三是個人特征，如指紋、聲紋、手形、視網(wǎng)膜、血型、基因、筆跡、習(xí)慣性簽字等。當(dāng)收發(fā)雙方之間有利害沖突時，單純用消息認(rèn)證就無法解決他們之間的糾紛，此時，必須借助于數(shù)字簽名技術(shù)。 83 電子郵件的安全 ? 1． PGP ? 完整的電子郵件安全軟件包 ， 包括加密 、 鑒別 、 電子簽名和壓縮等技術(shù) ， 也可用于文件存儲 ? PGP沒有使用什么新的概念 ， 只是將現(xiàn)有的一些算法如 MDRSA以及 IDEA等綜合在一起 84 電子郵件的安全 (續(xù) ) ? 2． S/MIME ? MIME：多用途 Inter郵件擴(kuò)展協(xié)議，允許以標(biāo)準(zhǔn)化的格式在電子郵件消息中包含文本、音頻、圖形、視頻和類似的信息。 ? 只有那些在內(nèi)部網(wǎng)安全策略中定義了的合法的通信才能夠進(jìn)出防火墻。 ? Intra與 Inter之間連接時加入防火墻?，F(xiàn)在注冊就送 15分鐘免費(fèi)電話（本地、國內(nèi)、國際長途都行），而且每次打電話前 3分鐘免費(fèi)！在線積分可換話費(fèi)！每天可免費(fèi)