1.网络安全定义。P2是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或者恶意的破坏、篡改和泄密,保证网络系统的正常运行、网络服务不中断。2.网络安全属性有机密性、完整性、可用性、可靠性及不可抵赖性。P23.属于对信息通信的威胁有哪些:中断、截获,篡改、伪造。P3在理解的基础上能识别各种攻击。如:用户之间发送信息的过程中,其信息被其他人插入一些欺骗性的内容,则这类攻击属于篡改攻击。4.主要的渗入威肋有假冒、旁路、授权侵犯.等。而常见的主动攻击行为是数据篡改及破坏。P45.信息系统存在的主要威胁有3个因素,即环境和灾害因素、人为因素和系统自身因素。P56.信息系统的安全策略主要有四个大的方面:分别是物理安全策略、访问控制策略、信息加密策略和安全管理策略。P67.网络安全策略中的访问控制策略常见的有网络监测和锁定控制。P78.P2DR的4个主要组成部分。P8Policy——策略、Protection——保护、Detection——检测、Response——响应9.国际标准化组织定义的基本安全服务有以下几个:认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。P1410.TCP/IP模型各层的功能分别是。P17应用层:是面向用户的各种应用软件,是用户访问网络的界面。传输层:实现源主机和目的主机上的实体之间的通信。网络层:负责数据包的路由选择功能网络接口层:负责接收IP数据包并通过网络传输介质发送数据包。11.IPV6在IP层提供了两种安全机制,即在报文头部包含两个独立的扩展报头:认证头(AH)和封装安全负荷(EPS)。P1812.SSL分为两层,上面是SSL握手层,负责协商通信参数,下面是SSL记录层,负责数据的分段,压缩和加密等。P1913.《可信计算机系统评估准则》中,定义的最高安全级别是A级,最低级别是D级。其中提供访问控制保护的安全级别是C2等级。P27第二章1.IP数据包的首部包含一个20字节的固定长度部分和一个可选任意长度部分,其数据包结构中,服务类型字段的长度是8bit.P312.发送和接收方TCP是以数据段的形式交换数据。P323.常见的协议分析工具有Ethereal、Sniffer、netxray等。P364.ping命令是用于检测当前主机与目标主机之间的网络连通情况。P415.ipconfig命令是显示TCP/IP配置信息、刷新动态主机配置协议和域名系统配置。P426.netstat命令是用来显示当前的TCP/IP连接、Ethernet统计信息、路由表等的.P437.在FTP匿名登录中的用户名是anonymous。P488.telnet端口是23,即因特网控制报文协议。10.DNS--域名解析服务第三章P53。按照密钥方式划分:对称式和非对称式。P54.对称加密算法:要求加密和解密的密钥相同,非对称加密算法,加密和解密的密钥不同。P55公开密钥体制主要用途是数据的加/解密、数字签名、密钥交换。P55从窃取者角度来看,破译密码主要有穷尽搜索和密码分析两种方法。P56密码分析中,让对手加密一组相似却差别细微的明文,然后比较它们加密后的结果,从而获取得加密的钥匙,这种方法称为差别比较分析方法。P60。设计分组密码算法要素的是、组长度N要足够大、密钥空间足够大、算法要足够复杂P61。混乱和扩散是由Shannon提出的设计密码系统的两个基本方法,目的是抵抗攻击者对密码的统计分析。P63。DES是一种数据分组的加密算法,分组长度为64位。P64.S盒替换计算。行由输入的首、末两位数决定,:列由输入的中间的四位数决定,:注意行列是从0开始计算的。P68。3DES的密钥长度是112bit。常见的对称加密算法des,3des。Aes,idea。非对称RSA。P74。RSA计算过程。根据教材74页的例子,能熟练计算。第4章P80。对称密码体制中密钥分配技术比较成熟的方案是KDC。会话密钥,是指的在两个端系统在相互通信过程中,在逻辑连接期间所使用的加密所有用户数据的一次性密钥。P81公钥密码体制的密钥管理主要有两种管理模式,一种采用证书方式,另一种是PGP采用的分布式密钥管理模式。P82掌握数据完整性验证的过程。消息的发送者用要发送的消息和一定得算法生成一个附件,并将附件与消息一起发送出去。消息的接收者收到消息和附件之后,用同样的算法与接收到的消息生成一个新的附件,将新附件与接收的附件比较,若相同。则说明收到的消息正确,否则说明出错。P83单向散列函数的概念。也称为压缩函数,收缩函数,它是在一个方向上工作的函数,即从预映射的值很容易计算出散列值,但是从一个特定的散列值得到预映射的值非常难。单向散列函数是公开的,对处理过程不用保密,其安全性来自于其单向性。输入串的很小变化,输出的变化可能很大。P84.A要加密一封E-mail发给B。为了只让B看到这封信,A用B的公钥加密即可P87.数字签名实现的目的。消息源认证:消息的接收者通过签名可以确信消息确实来自于声明的发送者。不可伪造:签名应是独一无二的,其它人无法假冒和伪造。不可重用:签名是消息的一部分,不能被挪用到其它的文件上。不可抵赖:签名者事后不能否认自己签过的文件。P87数字签名原理。数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性,并保护数据,防止被人(如接收者)伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生。另外,数字签名应是所发送数据的函数,即签名与消息相关,从而防止数字签名的伪造和重用。P88使用公开密钥体制与单向散列函数进行数字签名的过程。A使消息M通过单向散列函数H,产生散列值,即消息的指纹或称为消息验证码A使用私人密钥对散列值进行加密,形成数字签名sA把消息与数字签名一起发给BB收到消息和签名后,用A的公钥解密数字签名s;再用同样的算法对消息运算生成散列值B把自已生成的散列值与解密的数字签名相比较,看是否匹配,从而验证签名。P89。Kerberos是为TCP/IP网络设计的基于对称密码体系的可信第三方鉴别协议,负责在网络上进行可信仲裁及会话密钥的分配。P89签名者在没有看到文件的前提下完成的签名是盲签名P91。认证机关和证书库的作用。在PKI系统中,用于存储已签发的数字证书及公钥的是数字证书库,完成数字证书的申请和签发的是认证机关(CA)P96.数字证书:数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。就如同现实生活中的人拥有一个身份证一样,能表明持证人的身份。通常是由权威公正的第三方机构即CA中心签发的。P98。属于密钥证书生命周期的是初始化阶段、应用阶段、撤销阶段。第5章P106Windows2000身份认证分两个过程执行:交互式登录和网络身份认证P107。Windows2000中消息验证包含四个方面的内容:消息身份验证、用户证书、外部证书和服务器身份验证。P110Windows2000中,安全审计是负责监视各种与安全性有关的事件的功能。P115账户策略包括两部分,密码策略和账户锁定策略。第6章P128WEB服务面临的安全威胁主要是电子欺骗、篡改、否认、信息泄露、拒绝服务和特权升级。电子欺骗是采用未经授权的方式模拟用户或者进程P129IIS服务器的安全问题的是、ISAPI缓冲区溢出漏洞、HTTP非标准数据、IIS验证漏洞。HTML语言只适用于编写静态的服务,通用网关接口(CGI)提供了动态服务,可以在用户和Web服务器之间交互式通信P131JavaScript的安全性问题?JavaScript可以欺骗用户,将用户的本地硬盘上的文件上载到Internet上的任意主机;JavaScript能获得用户本地硬盘上的目录列表,这既代表了对隐私的侵犯又代表了安全风险;JavaScript能监视用户某段时间内访问的所有网页,捕捉URL并将它们传到Internet上某台主机中;JavaScript能够触发NetscapeNavigator送出电子邮件信息而不需经过用户允许;嵌入网页的JavaScript代码是公开的,缺乏安全保密功能。P132Netscape公司开发的一种机制,用来改善HTTP协议的无状态性能的是CookieP138在“开始”菜单中选择“运行”,输入regedit,单击“确定”按钮,就可以打开注册表编辑工具P142SSL指的是安全套接层协议,他是实现了应用层上的安全机制。P145:SSL建立新会话的握手过程双方确定一些相关的参数,包括协议版本,会话ID、加密规格、压缩算法和初始随机数。服务器端发送证书,交换密钥,证书请求,最后发送hello阶段的结束信号。客户端发送证书,交换密钥、证书验证。改变加密规格,结束握手协议。P153SET是为了保护用户使用信用卡在互联网上进行安全的交易支付而设计的加密与安全规范。P154SET的主要性质的是信息机密性、信息完整性、商家认证。P155双重签名的概念双重签名是SET中引入的一个重要的创新,它可以巧妙地把发送给不同的接收者的两条消息联系起来,而又很好地保护了消费者的隐私第7章P157合格的电子邮件地址是格式用户名@主机名。如xxx@yyyy.com.P158邮件网关的主要功能预防,监控,跟踪,邮件备份。邮件网关是指在两个不同的邮件系统之间传统邮件的计算机。分类为3类:普通邮件网关,邮件过滤网关(可以检测带毒邮件),反垃圾邮件网关。P159:发送电子邮件常用的是SMTP协议,接收的是POP3协议是邮局协议的缩写,是一种允许用户从邮件服务器收发邮件的协议P162.E-mail炸弹的概念。简单的地向邮箱发送大量的垃圾邮件,从而充满邮箱,大量地占用了系统的可用空间和资源,使机器暂时无法正常工作。过多的垃圾邮件往往会加剧网络的负载,消耗大量的空间资源,还将导致系统的log文件变得很大,这是可能溢出文件系统,这样会给UNIX,Windows灯系统带来威险,除了系统有崩溃的可能之外,大量的垃圾信件还会占用大量的CPU时间和网络带宽造成正常用户的访问速度变慢。P164反垃圾邮件技术中最常见的方法是过滤。P165PGP主要功能。1.使用强大的IDEA加密算法对存储在计算机上的文件加密,经加密的文件只能由知道密钥的人解密阅读。2.使用公开密钥加密技术对电子邮件进行加密,经加密的电子邮件只有收件人本人才能解密阅读。3.使用公开密钥加密技术对文件或电子邮件作数字签名,鉴定人可以用起草人的公开密钥鉴别真伪。P173常用的电子邮件安全协议的是S/MIME。第8章P179防火墙概念。是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障内部网络的安全。P179突破防火墙系统最常用的方法是IP地址欺骗。P180非军事化区(DMZ):为了配置管理方便,内网中需要向外网提供服务的服务器往往放在Internet与内部网络之间的一个单独的网段,称为非军事化区。代理服务器,是指代表内网用户向外网服务器进行连接请求的服务程序P181防火墙的基本功能。从总体上看,防火墙应具有以下基本功能:可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警;限制内部用户访问特殊站点;记录通过防火墙的信息内容和活动,监视Internet安全提供方便。P183包过滤防火墙的工作原理。包过滤防火墙读取包头信息,与信息过滤规则比较,顺序检测规则表中的每一条规则,直至发现包中的信息与某条规则相符。如果有一条规则不允许发送某个包,路由器将他丢弃,如果有一条规则允许发送某个包,路由器将发发送。如果没有任何一条规则能符合,路由器就使用默认规则,通常,默认规则是禁止包通过。P184包过滤防火墙的发展阶段中,全状态检测防火墙是第三代防火墙,深度包检测是第四代。P184代理服务器定义所谓代理服务器,是指代表内网用户向外网服务器进行连接请求的服务程序P184代理服务器工作过程。当客户