計(jì)算機(jī)網(wǎng)絡(luò)安全課后習(xí)題答案

計(jì)算機(jī)網(wǎng)絡(luò)安全(04751)

第一章緒論P(yáng)2

第二章物理安全P6

第三章信息加密與P9

第四章防火墻技術(shù)P14

第五章入侵檢測(cè)技術(shù)P18

第六章網(wǎng)絡(luò)安全檢測(cè)技術(shù)P21

第七章計(jì)算機(jī)病毒與惡意代碼防X技術(shù)P23

第八章網(wǎng)絡(luò)安全解決方案P27

第1章緒論

1.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅：①計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體

面臨威脅1（實(shí)體為曲絡(luò)中的關(guān)鍵設(shè)備）②計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威

脅（典型4全威脅③惡意程序的威脅（如計(jì)算機(jī)病毒、網(wǎng)

絡(luò)蠕蟲(chóng)、間卜某軟件、木馬程序&十算機(jī)網(wǎng)絡(luò)威脅的潛在對(duì)手和動(dòng)機(jī)（

惡意攻擊/非惡意）|

典型的網(wǎng)絡(luò)安全威脅：

政脅描述

竊聽(tīng)網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽(tīng)

重傳攻擊者事先獲得部份或者全部信息，以后將此信息發(fā)送給接受者

偽造攻擊者將偽造的信息發(fā)送給接受者

篡改攻擊者對(duì)合法用戶之間的通信信息進(jìn)行修改、刪除或者插入，再發(fā)送給接受者

通過(guò)假目、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問(wèn)權(quán)，從而使非法用戶進(jìn)入

期權(quán)訪他

網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改或者插入信息等

攻擊者通過(guò)某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻撓合法用戶獲得服務(wù)

行為否認(rèn)通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為

旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或者安全脆弱性

電隨射頻截獲攻擊者從電子或者機(jī)電設(shè)備所發(fā)出的無(wú)線射頻或者其他電磁輻胴中提取信息

人員疏忽授權(quán)的人為利益或者由于粗心將信息泄漏給未授權(quán)人

1.2.1計(jì)算機(jī)網(wǎng)絡(luò)的不安全主要因素：

（1）偶發(fā)因素：如電源故障、設(shè)備的功能失常及軟件開(kāi)辟過(guò)程中留下的漏洞或者邏輯

錯(cuò)誤等。

（2）自然宏亶」各種自然災(zāi)害對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成嚴(yán)重的威脅。（3）人為

因素：人為因未對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞也稱為人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊。

可分為幾個(gè)方面：①被動(dòng)攻擊②主動(dòng)攻擊③鄰近攻擊④分發(fā)攻擊⑤內(nèi)部人員攻擊

1.2.2不安全的主要原因：①互聯(lián)網(wǎng)原有不安全性②振作系統(tǒng)存在的安全問(wèn)題③數(shù)據(jù)的

安全問(wèn)題④［傳輸路線安全問(wèn)題閶網(wǎng)絡(luò)安全管理I的問(wèn)題

1.3計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念：計(jì)算機(jī)網(wǎng)絡(luò)安全是一門(mén)涉及代算機(jī)科學(xué)、|網(wǎng)絡(luò)技術(shù)、|

通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多學(xué)科的綜合性學(xué)科。

1.3.1計(jì)算機(jī)網(wǎng)絡(luò)安全的定義：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在

一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的XX性、完整性及可使用性受到保護(hù)。

網(wǎng)絡(luò)的安全問(wèn)題包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全（最終目

的）。

13.2計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)：①XX性②完整性③可用性④可控性⑤不可否認(rèn)性

1.3.3計(jì)算機(jī)網(wǎng)絡(luò)安全的層次：①物理安全②邏輯安全③聯(lián)網(wǎng)安全④操作系統(tǒng)安全

.word..

1.3.4網(wǎng)絡(luò)安全包括三個(gè)重要部份：①先進(jìn)的技術(shù)②嚴(yán)格的管理③威酒的法律

1.4計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)

1.4.1網(wǎng)絡(luò)安全基本模型：（P27圖）

L4.2OSI安全體系結(jié)構(gòu)：①術(shù)語(yǔ)②安全服務(wù)③安全機(jī)制

五大類(lèi)安全服務(wù)，也稱安全防護(hù)措施（P29）：①鑒別服務(wù)②數(shù)據(jù)XX性服務(wù)③訪問(wèn)控制

服務(wù)④數(shù)據(jù)完整性服務(wù)⑤抗抵賴性服務(wù)

對(duì)付典型網(wǎng)絡(luò)威脅的安全服務(wù)

安全威脅安全服務(wù)

假冒攻擊鑒別服務(wù)

非授權(quán)侵犯訪問(wèn)控征服務(wù)

竊聽(tīng)攻擊數(shù)據(jù)XX性服務(wù)

完整性破壞數(shù)據(jù)完整性服務(wù)

服務(wù)否認(rèn)抗抵賴服務(wù)

拒絕服務(wù)鑒別服務(wù)、訪問(wèn)控征服務(wù)和數(shù)據(jù)完整性服務(wù)等

八種基本的安全機(jī)制：加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒

別交換機(jī)制、通信業(yè)務(wù)流填充機(jī)制、路由控制和公證機(jī)制

L4.3PPDR模型（P30）包含四個(gè)主要部份：Policy（安全策略）、Protection（防耳）、Detection（檢

測(cè)）和Response（響應(yīng)）［防護(hù)、檢測(cè)和響應(yīng)組成為了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。

PPDR模型通過(guò)一些典型的數(shù)學(xué)公式來(lái)表達(dá)安全的要求：+R⑵

EjQ+Rj如果P（=（）

pt：防護(hù)時(shí)間，入侵者攻擊安全目標(biāo)花費(fèi)時(shí)間；

Dt：入侵開(kāi)始到系統(tǒng)檢測(cè)到入侵行為花費(fèi)時(shí)間；

Rt：發(fā)現(xiàn)入侵到響應(yīng)，并調(diào)整系統(tǒng)到正常狀態(tài)時(shí)間；

Et：系統(tǒng)晨露時(shí)間；

安全的全新定義：及時(shí)的檢測(cè)和響應(yīng)就是安全；及時(shí)的檢測(cè)和恢復(fù)就是安全；解

決安全問(wèn)題的方向：提高系統(tǒng)的防護(hù)時(shí)間Pt,降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt。

1.4.4網(wǎng)絡(luò)安全的典型技術(shù)：①物理安全#施②備份技術(shù)③審計(jì).術(shù)④防病毒技術(shù)⑤入

侵檢測(cè)技術(shù)⑹訪問(wèn)控制I技術(shù)行|終端安華技木⑨內(nèi)外網(wǎng)隔離技術(shù)⑨安牟件檢測(cè)拈木的數(shù)據(jù)同

.word..

輸安全技術(shù)

1.6.1網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)：

①與Internet更加密切結(jié)合，|利用一切可以利用的方式進(jìn)行傳播:

②所有病毒都有混合型特征,破壞性大氏增強(qiáng);

③擴(kuò)散極快］更加注重欺騙性|

④利用I系統(tǒng)漏洞將成為病毒有力的傳播方式;

⑤無(wú)線網(wǎng)絡(luò)忸術(shù)的發(fā)展,使恒程網(wǎng)絡(luò)攻擊愀可能性加大;

⑥各種境外情報(bào)、諜報(bào)人員將越來(lái)越多地通過(guò)信息網(wǎng)絡(luò)黑道采集情況和竊取資料;

⑦各種病毒、蠕蟲(chóng)和后門(mén)技術(shù)越來(lái)越智能化,并浮現(xiàn)整合趨勢(shì)，形成混合性威脅：

⑧各種攻擊技術(shù)的隱秘性增強(qiáng),常規(guī)防X手段難以識(shí)別;

⑨分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng),威脅高強(qiáng)度密碼的安全性：

⑩一些政府部門(mén)的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板;

11）網(wǎng)絡(luò)管理安全問(wèn)題日益突出。

1.6.2網(wǎng)絡(luò)安全主要實(shí)用技術(shù)的發(fā)展：①物理隔離②邏輯隔離③身份認(rèn)證④譚防網(wǎng)絡(luò)上

的病毒⑤謹(jǐn)防來(lái)自網(wǎng)絡(luò)的攻擊⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測(cè)和主動(dòng)防衛(wèi)⑧網(wǎng)管、審計(jì)

和取證

課后題：

1、計(jì)算機(jī)網(wǎng)絡(luò)面臨的典型安全威脅有哪些？

①竊聽(tīng)（傳輸中的敏感信息被竊聽(tīng)）②重傳（事先獲得部份或者全部信息再發(fā)送給接收者）

③偽造（偽造信息發(fā)送給接收者）④篡改（修改、刪除或者插入后再發(fā)送給接收者）⑤非授

權(quán)訪問(wèn)（假冒、身份攻擊、系統(tǒng)漏洞手段獲取訪問(wèn)權(quán)，讀取、刪除、修改和插入信息）⑥拒

絕服務(wù)攻擊（使系統(tǒng)響應(yīng)減慢或者癱瘓，阻撓合法用戶獲取服務(wù)）⑦行為否認(rèn)（否認(rèn)已經(jīng)發(fā)

生的行為）⑧旁路控制（發(fā)掘系統(tǒng)缺陷或者脆弱性）⑨電磁/射頻截獲（無(wú)線射頻或者電磁輻

射提取信息）⑩人員疏忽（利益或者粗心泄秘）。

2、分析計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性和安全缺陷。

計(jì)算機(jī)網(wǎng)絡(luò)是頗具誘惑力的受攻擊目標(biāo)，無(wú)論是個(gè)人、企業(yè)，還是政府機(jī)構(gòu)，只要使用

計(jì)算機(jī)網(wǎng)絡(luò)，都會(huì)感受到網(wǎng)絡(luò)安全問(wèn)題所帶來(lái)的威脅。無(wú)論是局域網(wǎng)還是廣域網(wǎng)，都存在著

自然和人為等諸多脆弱性和潛在威肋，。計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅①計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體面臨威

脅（實(shí)體為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備）②計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅（典型安全威脅）③惡意程序的

威脅（如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、間諜軟件、木馬程序）④計(jì)算機(jī)網(wǎng)絡(luò)威脅的潛在對(duì)手和動(dòng)

機(jī)（惡意攻擊/非惡意）。

普通來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成為了計(jì)算機(jī)網(wǎng)絡(luò)的潛

在威脅％一方面，計(jì)算機(jī)網(wǎng)絡(luò)的硬件和通信設(shè)施極易受自然環(huán)境和人為的物理破壞；另一方面,

計(jì)算機(jī)網(wǎng)絡(luò)的軟件資源和數(shù)據(jù)信息易受到非法竊取、復(fù)制、篡改等。計(jì)算機(jī)網(wǎng)絡(luò)的不安全主

要因素和原因。計(jì)算機(jī)網(wǎng)絡(luò)的不安全主要因素：（1）偶發(fā)因素?：如電源故障、設(shè)備的功能失

常及軟件開(kāi)辟過(guò)程中留下的漏洞或者邏輯錯(cuò)誤等。（2）自然災(zāi)害：各種自然災(zāi)害對(duì)計(jì)算機(jī)系統(tǒng)

構(gòu)成嚴(yán)重的威脅。（3）人為因索：人為因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞也稱為人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻

擊C可分為幾個(gè)方面：①被動(dòng)攻擊②主動(dòng)攻擊③鄰近攻擊④內(nèi)部人員攻擊⑤分發(fā)攻擊C不安

.word..

全的主要原因：①互聯(lián)網(wǎng)具有不安全性②操作系統(tǒng)存在的安全問(wèn)題③數(shù)痞的安全問(wèn)題④傳輸

路線安全問(wèn)題⑤網(wǎng)絡(luò)安全管理的問(wèn)題。

3、分析計(jì)算機(jī)網(wǎng)絡(luò)的安全需求（P24）

計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念：計(jì)算機(jī)網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信

技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多學(xué)科的綜合性學(xué)科。

計(jì)算機(jī)網(wǎng)絡(luò)安全的定義：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)

絡(luò)環(huán)境里，信息數(shù)據(jù)的XX性、完整性及可使用性受到保護(hù)。

網(wǎng)絡(luò)的安全問(wèn)題包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全（最終目

的）。

計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)：①XX性②完整性③可用性④可控性⑤不可否認(rèn)性

計(jì)算機(jī)網(wǎng)絡(luò)安全的層次：①物理安全②邏輯安全③聯(lián)網(wǎng)安全④操作系統(tǒng)安全

網(wǎng)絡(luò)安全包括三個(gè)重要部份：①先進(jìn)的技術(shù)②嚴(yán)格的管理③威嚴(yán)的法律

4、計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)涵和外延是什么？（P24）

內(nèi)涵：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)

據(jù)的XX性、完整性及可使用性受到保護(hù)。

外延：從廣義來(lái)說(shuō)，凡是涉及網(wǎng)絡(luò)上信息的XX性、完整性、可用性、不可否認(rèn)性和

可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的具體含義隨著“角度”的變化

而變化。

5、論述OSI安全體系結(jié)構(gòu)（P28）

OSI安全體系結(jié)構(gòu)中定義了鑒別、訪問(wèn)控制、數(shù)據(jù)XX性、數(shù)據(jù)完整性和抗抵賴五種網(wǎng)

絡(luò)安全服務(wù)，以及加密機(jī)制、數(shù)孑簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)

制、通信業(yè)務(wù)流填充機(jī)制、路由控制和公證機(jī)制八種基本的安全機(jī)制。

6、簡(jiǎn)述PPDR安全模型的結(jié)構(gòu)（P30）

PPDR模型包含四個(gè)主要部份：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）和

Response（響應(yīng)）。防護(hù)、檢測(cè)和響應(yīng)組成為了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。

PPDR模型通過(guò)一些典型的數(shù)學(xué)公式來(lái)表達(dá)安全的要求：①Pt>Dt+Rt②Et=Dt+Rt,

如果Pt=O

Pl：防護(hù)時(shí)間，入侵者攻擊安全目標(biāo)花費(fèi)時(shí)間；Dt：入侵開(kāi)始到系統(tǒng)檢測(cè)到入侵行為花

費(fèi)時(shí)間；Rt：發(fā)現(xiàn)入侵到響應(yīng)，并調(diào)整系統(tǒng)到正常狀態(tài)時(shí)間；Et：系統(tǒng)晨露時(shí)間；

及時(shí)的檢測(cè)和響應(yīng)就是安全；及時(shí)的檢測(cè)和恢復(fù)就是安全；

提高系統(tǒng)的防護(hù)時(shí)間Pt,降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rto

7、簡(jiǎn)述計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用（P32）

網(wǎng)絡(luò)安全的典型技術(shù)：①物理安全措施②數(shù)據(jù)傳輸安全技術(shù)③內(nèi)外網(wǎng)隔離技術(shù)④入侵檢

測(cè)技術(shù)⑤訪問(wèn)控制技術(shù)⑥審計(jì)技術(shù)⑦安全性檢測(cè)技術(shù)⑧防病毒技術(shù)⑨備份技術(shù)⑩終端安全

技術(shù)

網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)：①與Iniemet更加密切結(jié)合，利用一切可以利用的方式進(jìn)行傳

播；②所有病毒都有混合型特征，破壞性大大增強(qiáng)；③擴(kuò)散極快，更加注重欺騙性；④利

.word..

用系統(tǒng)漏洞將成為病毒有力的傳播方式；⑤無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，使遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性加

大；⑥各種境外情報(bào)、諜報(bào)人員將越來(lái)越多地通過(guò)信息網(wǎng)絡(luò)渠道采集情況和竊取資料；⑦各種

病毒、蠕蟲(chóng)和后門(mén)技術(shù)越來(lái)越智能化，并浮現(xiàn)整合趨勢(shì)，形成混合性威脅；⑧各種攻擊技

術(shù)的隱秘性增強(qiáng)，常規(guī)防X手段難以識(shí)別；⑨分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅

高強(qiáng)度密碼的安全性：⑩一些政府部門(mén)的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板；11)網(wǎng)

絡(luò)管理安全問(wèn)題日益突出。

網(wǎng)絡(luò)安全主要實(shí)用技術(shù)的發(fā)展①物理隔離②邏輯隔離③謹(jǐn)防來(lái)自網(wǎng)絡(luò)的攻擊④謹(jǐn)防網(wǎng)

絡(luò)上的病毒⑤身份認(rèn)證⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測(cè)和主動(dòng)防衛(wèi)⑧網(wǎng)管、審計(jì)和取證

8、簡(jiǎn)述網(wǎng)絡(luò)安全管理意義和主要內(nèi)容(P34)

面對(duì)網(wǎng)絡(luò)安全的的脆弱性，除了采用各種技術(shù)和完善系統(tǒng)的安全XX措施外，必須加強(qiáng)

網(wǎng)絡(luò)的安全管理，諸多的不安全因素恰恰存在于組織管理方面。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明：信息

安全大約60%以上的問(wèn)題是由于管理造成的。也就是說(shuō)，解決信息安全問(wèn)題不應(yīng)僅從技術(shù)方

面著尹,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作。主要內(nèi)容：①網(wǎng)絡(luò)安全管理的法律法規(guī)②速算

機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)③計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

第2章物理安全

2.1物理安全主要包括：①出匿處境安全可控性強(qiáng)、損失大；內(nèi)容有防火與防盜、防雷

與接地、防塵與防靜電，防地震。②通信路硅安全路線防竊聽(tīng)技術(shù)。設(shè)備安全防電慈輻射

泄漏、防路線截獲、防電磁干擾及電源保護(hù)。(力電源安生防電源供應(yīng)、輸電路線安全、電源

穩(wěn)定性。

2.1.1機(jī)房的安全等級(jí)分為三個(gè)基本類(lèi)別：

A類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求L有完善|的計(jì)算機(jī)機(jī)房|安全措施.

B類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全機(jī)較嚴(yán)格的要求,有較完善的計(jì)算機(jī)機(jī)房安全措施。

C類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全機(jī)基本的要求,有基本的計(jì)算機(jī)機(jī)房安全措施。

A類(lèi)機(jī)房要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報(bào)警和消防設(shè)施、防水、防靜電、防

雷擊、防鼠害；對(duì)防火、場(chǎng)地選擇、防電磁泄漏有要求。

2.1.1機(jī)房安全要求(P42)和措施：

安全類(lèi)別

A類(lèi)機(jī)房B類(lèi)機(jī)房C類(lèi)機(jī)房

安全項(xiàng)目

場(chǎng)地選擇

放火■■

內(nèi)部裝修+■

供配電系統(tǒng)

4-一

空調(diào)系統(tǒng)+■.

火災(zāi)報(bào)警和消防設(shè)施+■■

防水4-一

防靜電+■

.word..

防雷擊4-

防鼠害+■

防電磁池漏*

說(shuō)明：+表示要求；-表示有要求或者增加要求q

①機(jī)房的安全要求，機(jī)房的場(chǎng)地，選址避免挨注公共區(qū)域,避免窗戶直接鄒珞，機(jī)層布

局應(yīng)使工作區(qū)在內(nèi),生活輔助區(qū)在夕小機(jī)房不要在底層或者或?qū)?。措施：保證贓任進(jìn)出計(jì)算

機(jī)機(jī)房的人都必須在管理人員的監(jiān)控之下，外來(lái)人員進(jìn)入機(jī)房,要辦理相關(guān)手續(xù),并檢查隨身

物品。

②機(jī)房的防盜要求，對(duì)重要的設(shè)備和存儲(chǔ)媒體應(yīng)采取嚴(yán)格的防盜措施。措施：早期采取

增加質(zhì)量和膠粘的防盜措施，后國(guó)外發(fā)明了一種通過(guò)光纖電纜保護(hù)重要設(shè)備的方法,一種更

方便的措施類(lèi)似于超市的防盜系統(tǒng),視頻監(jiān)視系統(tǒng)用一種更為可靠的防盜設(shè)備,能對(duì)計(jì)算機(jī)

網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進(jìn)行實(shí)時(shí)的全程監(jiān)控。

③機(jī)房的三度要求圈度（18.22度）、I他度（40%-60%為宜）、|潔凈度（要求機(jī)房塵埃

顆粒直徑小于05um））為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求,空調(diào)系統(tǒng)、去濕機(jī)和除塵器是

必不可少的設(shè)備。

④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵,易產(chǎn)生靜電的材料，應(yīng)采用乙

燧材料，安裝I防靜電地板昨?qū)設(shè)備接地。

⑤接地與防雷要求：

].地線種類(lèi)：A保護(hù)地B直流地C屏蔽地D靜電地E雷擊地

2.接地系統(tǒng)：A各自獨(dú)立的接地系統(tǒng)B交、直流分開(kāi)的接地系統(tǒng)C共線接地系統(tǒng)D直流

地、保護(hù)地共用地線系統(tǒng)E建造物內(nèi)共地系統(tǒng)

3、接地體：A地樁B水平柵網(wǎng)C金屬接地板D建造物基礎(chǔ)鋼筋

4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機(jī)器設(shè)備應(yīng)有專用地線L機(jī)

房本身有避雷設(shè)備和裝置,

⑥機(jī)房的防火、防水措施：為避免火災(zāi)、水災(zāi)，應(yīng)采取的措施為：隔離、火災(zāi)報(bào)警系統(tǒng)、滅

火設(shè)施（滅火器,滅火工具及輔助設(shè)備）、管理措施I

23.1硬件設(shè)備的使用管理：

①要根據(jù)硬件設(shè)備的具體配置情況，制定切實(shí)可靠的硬件設(shè)備的操作使用規(guī)程，I并嚴(yán)格

按操作規(guī)程進(jìn)行操作；

②建立設(shè)備使用情況日志L并嚴(yán)格登記使用過(guò)程的情況；

③建立硬件設(shè)備故障情況登記表,詳細(xì)記錄故障性質(zhì)和修復(fù)情況；

④堅(jiān)持對(duì)設(shè)備進(jìn)行例行維護(hù)和保養(yǎng),并指定專人負(fù)責(zé)。

2.3.2電磁輻射防護(hù)的措施：-類(lèi)是對(duì)傳導(dǎo)發(fā)射的防護(hù),主要采取對(duì)電源線和信號(hào)線加

裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦介；另一類(lèi)是對(duì)輻射的防護(hù),又分為

兩種：一種是采用各種電磁屏蔽措施,第二種是干擾的防護(hù)措施。

為提高電子設(shè)備的抗干擾能力，主要措施有①屏蔽②濾波③隔離④接地，其中屏蔽是應(yīng)

用最多的方法。

2.4.電源對(duì)用電設(shè)備安全的潛在威脅：①脈動(dòng)與噪聲②電磁干擾

.word..

2.4供電要求(P53),供電方式分為三類(lèi)：①一類(lèi)供電：需建立彳洞新供電系統(tǒng)②二類(lèi)

供電：需建立儲(chǔ)備用的供J系統(tǒng)③三類(lèi)供電：按L8用戶供電?考慮。

課后題：

1、簡(jiǎn)述物理安全在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中的意義。

物理安全是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及

其他媒體免遭地震、水災(zāi)和火災(zāi)等環(huán)境事故、人為操作失誤或者各種計(jì)算機(jī)犯罪行為導(dǎo)致的

破壞過(guò)程。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位，也是其它安全措施得

以實(shí)施并發(fā)揮正常作用的基礎(chǔ)和前提條件。

2、物理安全主要包含哪些方面的內(nèi)容？(2.1)

①機(jī)房環(huán)境安全可控性強(qiáng)、損失大；內(nèi)容有防火與防盜、防雷與接地、防塵與防靜電，

防地震。②通信路線安全路線防竊聽(tīng)技術(shù)。③設(shè)備安全防電慈輻射泄漏、防路線截獲、防

電磁干擾及電源保護(hù)。④電源安全防電源供應(yīng)、輸電路線安全、電源穩(wěn)定性。

3、計(jì)算機(jī)機(jī)房安全等級(jí)的劃分標(biāo)準(zhǔn)是什么？(2.1.1)

機(jī)房的安全等級(jí)分為三個(gè)基本類(lèi)別：

A類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)機(jī)房安全措施。

B類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)雙房安全措施。

C類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)機(jī)房安全措施。

A類(lèi)機(jī)房要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報(bào)警和消防設(shè)施、防水、防靜

電、防雷擊、防鼠害：對(duì)防火、場(chǎng)地選擇、防電磁泄漏有要求。

4、計(jì)算機(jī)機(jī)房安全技術(shù)主要包含哪些方面的內(nèi)容？(2.1.1)

機(jī)房安全要求(P42)和措施：

房的場(chǎng)地，選址避免挨近公共區(qū)域，避免窗戶直接鄰街，機(jī)房布局應(yīng)使工作區(qū)在內(nèi)，

生活輔助區(qū)在外；機(jī)房不要在底層或者頂層。措施：保證所有進(jìn)出計(jì)算機(jī)機(jī)房的人都必須在管

理人員的監(jiān)控之下，外來(lái)人員進(jìn)入機(jī)房，要辦理相關(guān)手續(xù)，并檢查隨身物品。

②機(jī)房的防盜要求，對(duì)重要的設(shè)備和存儲(chǔ)媒體應(yīng)采取嚴(yán)格的防盜措施。措施：早期采取

增加質(zhì)量和膠粘的防盜措施，后國(guó)外發(fā)明了一種通過(guò)光纖電纜保護(hù)重要設(shè)備的方法，一種更

方便的措施類(lèi)似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設(shè)備，能對(duì)計(jì)算機(jī)

網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進(jìn)行實(shí)時(shí)的全程監(jiān)控。

③機(jī)房的三度要求(溫度(18-22度)、濕度(4()%-60%為宜)、潔凈度(要求機(jī)房塵埃

顆粒直徑小于0.5nm))為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)和除塵器是

必不可少的設(shè)備。

④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應(yīng)采用乙

烯材料，安裝防靜電地板并將設(shè)備接地。

⑤接地與防雷要求：1.地線種類(lèi)：A保護(hù)地B直流地C屏蔽地D靜電地E雷擊地2.接

地系統(tǒng)：A各自獨(dú)立的接地系統(tǒng)B交、直流分開(kāi)的接地系統(tǒng)C共線接地系統(tǒng)D直流地、保

.word..

護(hù)地共用地線系統(tǒng)E建造物內(nèi)共地系統(tǒng)3、接地體：A地樁B水平柵網(wǎng)C金屬接地板D建筑

物基礎(chǔ)鋼筋4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機(jī)器設(shè)備應(yīng)有專用地

線，機(jī)房本身有避雷設(shè)備和裝置。

⑥機(jī)房的防火、防水措施：為避免火災(zāi)、水災(zāi)，應(yīng)采取的措施為：隔離、火災(zāi)報(bào)警系統(tǒng)、滅

火設(shè)施（滅火器，滅火工具及輔助設(shè)備）、管理措施

5、保障通信路線安全技術(shù)的主要技術(shù)措施有哪些？

①一電纜加壓技術(shù)②對(duì)光纖等通信路線的防竊聽(tīng)技術(shù)（距離大于最大長(zhǎng)度限制的系統(tǒng)之

間，不采用光纖線通信；加強(qiáng)復(fù)制器的安全，如用加壓電纜、警報(bào)系統(tǒng)和加強(qiáng)警衛(wèi)等措施）

6、電磁輻射對(duì)網(wǎng)絡(luò)通信安全的影響主要體現(xiàn)在哪些方面，防護(hù)措施有哪些？

影響主要體現(xiàn)在：計(jì)算機(jī)系統(tǒng)可能會(huì)通過(guò)電磁輻射使信息被截獲而失密，計(jì)算機(jī)系統(tǒng)中

數(shù)據(jù)信息在空間中擴(kuò)散。

防護(hù)措施：一類(lèi)是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波

器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類(lèi)是對(duì)輻射的防護(hù)，又分為兩種：一種是采用

各種電磁屏蔽措施，第二種是干擾的防護(hù)措施。為提高電子設(shè)備的抗干擾能力，主要措施有①

屏蔽②濾波③隔離④接地，其中屏蔽是應(yīng)用最多的方法。

電磁防護(hù)層主要是通過(guò)上述種種措施，提高計(jì)算機(jī)的電磁兼容性，提高設(shè)備的抗干擾能

力，使計(jì)算機(jī)能反抗強(qiáng)電磁干擾，同時(shí)將計(jì)算機(jī)的電磁泄漏發(fā)射降到最低，使之不致將實(shí)用

的信息泄漏出去。

7、保障信息存儲(chǔ)安全的主要措施有哪些？（P52）

①存放數(shù)據(jù)的盤(pán)，應(yīng)妥善保管；②對(duì)硬盤(pán)上的數(shù)據(jù)，要建立有效的級(jí)別、權(quán)限，并嚴(yán)格

管理，必要時(shí)加密，以確保數(shù)據(jù)的安全；③存放數(shù)據(jù)的盤(pán)，管理須落實(shí)到人，并登記；④對(duì)

存放重要數(shù)據(jù)的盤(pán)，要備份兩份并分兩處保管；⑤打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進(jìn)行

管理；⑥凡超過(guò)數(shù)據(jù)保存期的，須經(jīng)過(guò)特殊的數(shù)據(jù)清除處理；⑦凡不能上常記錄數(shù)據(jù)的盤(pán)，需

經(jīng)測(cè)試確認(rèn)后由專人進(jìn)行銷(xiāo)毀，并做好登記；⑧對(duì)需要長(zhǎng)期保存的有效數(shù)據(jù)，應(yīng)質(zhì)量保證期內(nèi)

進(jìn)行轉(zhuǎn)存，并保證轉(zhuǎn)存內(nèi)容正確。

8、簡(jiǎn)述各類(lèi)計(jì)算機(jī)機(jī)房對(duì)電源系統(tǒng)的要求。（P53）

電源系統(tǒng)安全應(yīng)該注意電源電流或者電壓的波動(dòng)可能會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)造成的危害。

A、B類(lèi)安全機(jī)房要求，C類(lèi)安全機(jī)房要求。

第3章信息加密與PKI

信息加密技術(shù)是利用密碼學(xué)的原理與方法對(duì)傳輸數(shù)據(jù)提供保護(hù)的手段,它⑼數(shù)學(xué)計(jì)算為

基礎(chǔ)，信息論和復(fù)雜性理論日其兩個(gè)重要組成部份。

3.1.1密碼學(xué)的發(fā)展歷程大致經(jīng)歷了三個(gè)階段：古代加密方法；市典密碼和近代密碼。|

3.1.2密碼學(xué)的基本概念：密碼學(xué)作為數(shù)學(xué)的一個(gè)分支，是研究信息系統(tǒng)安全XX的科學(xué)，

.word..

是密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。

在密碼學(xué)中，有一個(gè)五元組：明文，密文，密鑰，加密算林，解密算」,對(duì)應(yīng)的加密力

案稱為密碼體制I

明文(Plaintext)：是作為加密輸入的原.信息，加消息的原始形式,通常用m或登訊示。

所有可能明可的有限集稱為加文和間，通押用M或者P來(lái)表示。

密文(Ciphertext)：是明文經(jīng)力II密變換后的結(jié)果，I即消息被加密處理后的形式,通常用c

表示。所有可能屏文的有限集刊為引文空間，|通常用C表示。

密鑰(Key)：是參預(yù)密碼變換的參數(shù)，通常用k表示。一切可能的密鑰構(gòu)成的有限集稱為

密鑰空間，加常用K甑。

加密算法(EncryptionAlgorithm)：是將明文變換為密文的變換函數(shù)，相應(yīng)的變換過(guò)程

稱為加密,即編碼的過(guò)程,通常用旦聲示，即c=E伊)

解密算法(DecryplionAlgorithm)：是將密文恢復(fù)為明文的變換函數(shù)，相應(yīng)的變換過(guò)程

稱為解密,即解碼的過(guò)程,通常用B表示，BPp=D(c)

對(duì)于有實(shí)用意義的密碼體制而言，總是要求它滿足：p=D(E(p)),即用加密算法

得到的曾文總是能用一定的做整算法恢復(fù)出原始的明文，

3.1.3加密體制的分類(lèi)：從原理上可分為兩大類(lèi)：即巾鑰或者對(duì)稱密碼體油和雙鑰或者1

對(duì)

I稱密碼體制I

單鑰密碼體制與雙鑰密碼體制的區(qū)別：

單鑰密碼體制的本質(zhì)特征是所用的加密密鑰張破密密鑰相同，I或者實(shí)質(zhì)上等同，從一個(gè)I

可以推出另一個(gè)。單鑰密碼的位點(diǎn)是無(wú)論加密還是解密都使用同一個(gè)密鑰,因此，此密碼體

制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼

莫法77年美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布的DES算法。按照加密模式的差異，單鑰密碼體制有序列密

碼和分組密碼兩種方式,它不僅可用于數(shù)據(jù)加'密,還可用于消息認(rèn)證。單鑰密碼的優(yōu)點(diǎn)是：

安全XX度高，加密解密速度快。缺點(diǎn)是：1)密鑰分發(fā)過(guò)程十分復(fù)雜,所花代價(jià)高;2)多人

通信時(shí)密鑰組合的數(shù)量會(huì)浮現(xiàn)爆炸性膨脹，使分發(fā)更加復(fù)雜化；3)通信雙方必須統(tǒng)一密鑰，

才干發(fā)送XX的信息；4)求字簽名艱難』

雙鑰密碼體制的原理是，加密密鑰與解密密鑰不同而且從卜個(gè)難以推出另一個(gè)」兩個(gè)

密鑰形成一個(gè)密鑰對(duì),其中一個(gè)密鑰加密的結(jié)果，可以用另一個(gè)密鑰來(lái)解密。雙鑰密碼是：

1976年W.Diffie和MEHeilinan提出的一種新型密碼體制。優(yōu)點(diǎn)：由于雙鑰密碼體制的加密和解

密不同，可以公升|加密密鑰，U僅需XX解密密鑰，所|以密鑰管理問(wèn)題比較簡(jiǎn)單。雙鑰密

碼還有一個(gè)優(yōu)點(diǎn)是可以用于數(shù)字簽名等新功能。最有名的雙鑰密碼體系是：1977年由

Rivest,Shamir和Adieman人提出的RSA密碼體制。|雙鑰密碼的缺點(diǎn)是:雙鑰密碼算法普通比

較復(fù)雜，加解密速度慢。

3.2加密算法就其發(fā)展而言，共經(jīng)歷了古典密碼、對(duì)稱密鑰密碼(單鑰密碼體制)和公

開(kāi)密鑰密碼(雙鑰密碼體制)三個(gè)發(fā)展階段。

3.2.1古典密碼算法(P64)：①簡(jiǎn)單代替密碼或者單字母密碼②多名或者同音代替③多表

代替④多字母或者多碼代替?，F(xiàn)代密碼按照使用密鑰方式不同，分為單鑰密碼體制和雙鑰密

碼休

.word..

制兩類(lèi)。

.word..

3.2.2數(shù)據(jù)加密標(biāo)準(zhǔn)DES、國(guó)際數(shù)據(jù)加密算法IDEA、RSA加密算法的基本原理；（P66）

3.3常見(jiàn)的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：鏈路加密、節(jié)點(diǎn)加密和端到端加密。

3.4.1認(rèn)證技術(shù)的分層模型（P77圖）認(rèn)證技術(shù)可以分為三個(gè)層次：安全管理協(xié)議、認(rèn)證

體制和密碼體制。

認(rèn)證技術(shù)的分院模型

認(rèn)證的三個(gè)目的：一是消息完整性認(rèn)證,即驗(yàn)證信息在傳送或者存儲(chǔ)過(guò)程中是否被篡改;

二是身份認(rèn)證,即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符；三是消息的序號(hào)和操作時(shí)

間等的認(rèn)證,其目的是防止消息重放或者延遲等攻擊。

3.4.2認(rèn)證體制應(yīng)滿足的條件（要求）：

①意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性:

②消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴,有時(shí)也要求消息的接收者不能否認(rèn)收到的消

息；

③除了I合法的消息發(fā)送者麻,其他人|不能偽造發(fā)送消息。

3.4.3手寫(xiě)簽名與數(shù)字簽名的區(qū)別：一是手寫(xiě)簽名是不變的，|而他字簽名對(duì)不同的消息才

不同的，即手寫(xiě)簽名因人而異，數(shù)字簽名因消息而異；二是手寫(xiě)簽名是易被摹擬的，無(wú)論

哪種文字的手寫(xiě)簽名，偽造者都容易摹仿，而改字簽名是在密鑰控制下產(chǎn)生的，|在沒(méi)有密鑰

的情況下，摹仿者幾乎無(wú)法摹仿的數(shù)字簽名L

346數(shù)字簽名與消息認(rèn)證的區(qū)別：消息認(rèn)證可以匡助接收方驗(yàn)證消息發(fā)送者的身份及

消息是否被篡改。當(dāng)收發(fā)者之間沒(méi)有厲害沖突時(shí)，這種方式對(duì)防止第三者破壞是有效的，但

當(dāng)存在厲害沖突時(shí),單純采用消息認(rèn)證技術(shù)就無(wú)法解決糾紛，這時(shí)就需要借助于數(shù)字簽名技

術(shù)來(lái)輔助進(jìn)行更有效的消息認(rèn)證。

3.5.1PKI的基本概念：PKI是一個(gè)用公鑰密碼算法原理和技術(shù)來(lái)提供安全服務(wù)的通用型

基礎(chǔ)平臺(tái),用戶可利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI采用標(biāo)準(zhǔn)的密鑰管理規(guī)則,

能夠?yàn)樗袘?yīng)用誘時(shí)地提供采用加密和數(shù)字簽名等密加服務(wù)所需要的密鑰和證書(shū)管理。I

PKI特點(diǎn)：①怙省費(fèi)用②互操作性③開(kāi)放性④一致的解決方案⑤可驗(yàn)證性⑥可選擇性

352PKI認(rèn)證技術(shù)的組成：中要/認(rèn)證機(jī)構(gòu)CA、證書(shū)庫(kù)、密鑰備份、證書(shū)作廢處理系

統(tǒng)和PKI應(yīng)用接11正統(tǒng)等。①認(rèn)證機(jī)構(gòu)CA②證書(shū)庫(kù)③證書(shū)撤銷(xiāo)④密鑰備份和恢復(fù)⑤自動(dòng)更

新密鑰⑥密鑰歷史檔案⑦交叉認(rèn)證⑧不可否認(rèn)性⑨時(shí)間戳⑩客戶端軟件

.word..

3.6PGP和GnuPG是兩個(gè)常用的公鑰加密軟件，PGP軟件由于采用子專利算法受到美國(guó)

政府的軟件出口限制，GnuPG作為PGP的代替軟件，屬于開(kāi)源免費(fèi)M,可以自由使用。

課后題：

1、簡(jiǎn)述信息加密技術(shù)對(duì)于保障信息安全的重要作用。

力瞰術(shù)是保障信息安全的基石，它以很小的代價(jià)，對(duì)信息一種強(qiáng)有力的安全保護(hù)。長(zhǎng)

期以來(lái)，密碼技術(shù)被廣泛應(yīng)用于政治、經(jīng)濟(jì)、軍事、外交、情報(bào)等重要部門(mén)。近年來(lái)，隨著

計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)的發(fā)展，密碼學(xué)得到了前所未有的重視并迅速普及,同時(shí)其應(yīng)用領(lǐng)域

也廣為拓展。如今，密碼技術(shù)不僅服務(wù)于信息的加密和解密，還是身份認(rèn)證、訪問(wèn)控制及數(shù)

字簽名等多種安全機(jī)制的基礎(chǔ)。

2、簡(jiǎn)述加密技術(shù)的基本原理，并指出有哪些常用的加密體制及其代表算法。

信息加密技術(shù)是利用密碼學(xué)的原理與方法對(duì)傳輸數(shù)據(jù)提供保護(hù)的手段，它以數(shù)學(xué)計(jì)算為

基礎(chǔ)，信息論和復(fù)雜性理論是其兩個(gè)重要組成部份。加密體制的分類(lèi)：從原理上可分為兩大

類(lèi)：冏單鈕或者對(duì)稱察碼海制/代制算法.DFV算法，IDFA)法、麻雙鈕或者非對(duì)稱索碼

體制_____沫珠篁法：RSA算示,ElGamal算法)。

3、試分析古典密碼對(duì)于構(gòu)造現(xiàn)代密碼有哪些啟示？(P64)

古典密碼大都匕盛簡(jiǎn)單，可用手工或者機(jī)械操作實(shí)現(xiàn)加解密，雖然現(xiàn)在很少采用，但研

究這些密碼算法的原理，對(duì)于理解、構(gòu)造和分析現(xiàn)代密碼是十分有益的。古典密碼算法主

要有代碼加密、代替加密、變位加密和一次性密碼簿加密等幾種算法......

4、選擇凱撒(Caesar)密碼系統(tǒng)的密鑰k=6。若明文為caesar,密文是什么。密文應(yīng)為：

abcdefghyklmnopqrstuwvxyz

5、DES加密過(guò)程有幾個(gè)基本步驟？試分析其安全性能。

力唯過(guò)程可表示為：DES(m)lP-l-T16*T15……T2?Tl?IP(m)

①初始轉(zhuǎn)換IP及其逆初始置換IP-1②乘積變換③選擇擴(kuò)展運(yùn)算、選擇壓縮運(yùn)算和轉(zhuǎn)換

運(yùn)算

DES安全性分析：DES的浮現(xiàn)是密碼學(xué)上的一個(gè)創(chuàng)舉，由于其公開(kāi)了密碼體制及其設(shè)

id細(xì)節(jié)，因此其安全性徹底依賴于其所用的密鑰，關(guān)于DES學(xué)術(shù)界普遍印象是密鑰僅有56bit

有點(diǎn)偏短。

6、在本章RSA例子的基礎(chǔ)上，試給出m=student的加解密過(guò)程。(P72)

abcdefghijk(10)lmnopqrstu(20)vwxyz

m的十辨編碼為18192003041319;

互素一若兩個(gè)整數(shù)的最大公因數(shù)是L則稱這兩個(gè)整數(shù)互質(zhì)(互素)。

設(shè)p=3,q=ll;產(chǎn)生兩個(gè)大素?cái)?shù)，XX的

則計(jì)算n和(p(n)XX的

n=3Xll

(p(n)=(p-l)(q-l)=2X10

蝌T隨機(jī)數(shù)，要求0<e<(p(n),并且(e,(p(n))=l(e和cp互素)

自誦i寸計(jì)算得出d,deElmodq(n)(與n互素的數(shù)中詵取與(p(n)互素的數(shù)可通i寸Eucliden

.word..

算法得出。是XX的，用于解密)

取e=3,0<3<20(3,20)=1

則d=7;7X3=lmod20

將n=33和e=3公開(kāi)；

m加密為對(duì)m進(jìn)行加密變換,E(m)=m~emodn=c

E(s)=18-3=24mod33

E(t)=19-3=28mod33

E(u)=20~3=14mod33

E(d)=3~3=27mod33

E(e)=4~3=31mod33

E(n)=13~3=19mod33

E(t)=19~3=28mod33

c=E(m)=24281427311928它對(duì)應(yīng)的密文為f*。*九*

c解密為對(duì)c進(jìn)行解密變換D(c)=c~dmodn=(m~emodn)~dmodn=m-edmodn=m

modn

D(y)-24~7-18mud33

D(*)=28-7=19mod33

D(O)=14-7=20mod33

D(*)=27~7=03mod33

D(*)=31-7=04mod33

D(t)=19-7=13mod33

D(*)=28~7=19mod33

則還原明文為m=18192003041319即student

7、RSA簽名方法與RSA加密方法對(duì)密鑰的使用有什么不同？(P74)

RSA加密方法是在多個(gè)密鑰中選用一部份密鑰作為加密密鑰，另一些作為解密密鑰。

RSA簽名方法：如有kl/k2/k3三個(gè)密鑰，可將kl作為A的簽名私密鑰，k2作為B的簽名私密

鑰，k3作為公開(kāi)的驗(yàn)證簽名用密鑰，實(shí)現(xiàn)這種多簽名體制，需要一個(gè)可信賴中心對(duì)A和B

分配秘密簽名密鑰。

8、試簡(jiǎn)述解決網(wǎng)絡(luò)數(shù)據(jù)加密的三種方式。(P75)

常見(jiàn)的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：①鏈路加密：對(duì)網(wǎng)絡(luò)中兩個(gè)相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行

加密保護(hù)。②節(jié)點(diǎn)加密：指在信息傳輸路過(guò)的節(jié)點(diǎn)處進(jìn)行解密和加密。③端到端加密：指對(duì)

一對(duì)用戶之間的數(shù)據(jù)連續(xù)的提供保護(hù)。

9、認(rèn)證的目的是什么，試簡(jiǎn)述其相互間的區(qū)別。(P77)

認(rèn)證的三個(gè)目的：一是消息完整性認(rèn)證，即驗(yàn)證信息在傳送或者存儲(chǔ)過(guò)程中是否被篡改;

二是身份認(rèn)證，即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符；三是消息的序號(hào)和操作時(shí)

間等的認(rèn)證，其目的是防止消息重放或者延遲等攻擊。

10、什么是PKI?其用途有哪些？(P83)

PKI是一個(gè)用公鑰密碼算法原理和技術(shù)來(lái)提供安全服務(wù)的通用型基礎(chǔ)平臺(tái)，用戶可利用

.word..

PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI采用標(biāo)準(zhǔn)的‘密鑰管理規(guī)則，能夠?yàn)樗袘?yīng)用透

明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書(shū)管理。

11、簡(jiǎn)述PKI的功能模塊組成。

主要包括認(rèn)證機(jī)構(gòu)CA、證書(shū)庫(kù)、密鑰備份、證書(shū)作廢處理系統(tǒng)和PKI應(yīng)用接口系

統(tǒng)等。①認(rèn)證機(jī)構(gòu)CA②證書(shū)庫(kù)③證書(shū)撤銷(xiāo)④密鑰備份和恢復(fù)⑤自動(dòng)更新密鑰⑥密鑰歷史

檔案⑦交叉認(rèn)證⑧不可否認(rèn)性⑨時(shí)間戳⑩客戶端軟件

12、通過(guò)學(xué)習(xí)，你認(rèn)為密碼技術(shù)在網(wǎng)絡(luò)安全實(shí)踐中還有哪些應(yīng)用領(lǐng)域？舉例說(shuō)明。(P76)

加密技術(shù)在其它領(lǐng)域也時(shí)常發(fā)揮作用，如電子商務(wù)和VPN。(P76)

第4章防火墻技術(shù)

4.1.1防火墻的基本概念：是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)

或者一組系統(tǒng)，包括硬件和軟件,它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、

潛在破壞性的侵?jǐn)_。

4.1.2防火墻的主要功能：

①過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)

②管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為

③封堵某些禁止的業(yè)務(wù)

④記錄通過(guò)防火墻的信息和內(nèi)容|

⑤對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警

4.1.3防火墻的局限性：

①網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈便性為代價(jià)

②防火墻只是整個(gè)I網(wǎng)絡(luò)安全防護(hù)體系的一部份,而且防火墻并非萬(wàn)無(wú)一失。

4.2防火墻的體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu);屏蔽主機(jī)體系結(jié)構(gòu);屏蔽子網(wǎng)體系結(jié)

構(gòu)。(圖見(jiàn)P106)

4.3防火墻可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻,這兩類(lèi)防火墻的具體實(shí)現(xiàn)技術(shù)主要

有包過(guò)濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測(cè)技術(shù)和NAT技術(shù)等。________________

4.3.1包過(guò)濾技術(shù)的工作原理(P110)：工作在網(wǎng)絡(luò)層，通?；贗P數(shù)據(jù)包的源地址、目的.

地址、源端口和口的端「I進(jìn)行過(guò)濾。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依_

據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,1被稱為訪問(wèn)控制列表L通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、

目的地址、所用的端口號(hào)和協(xié)議狀態(tài)等因素或者它們的組合，來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。

4.3.1包過(guò)濾技術(shù)的缺陷：①不能徹底防止地址欺騙品無(wú)法執(zhí)行某些安全策略③安全性

較差④--時(shí)應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾⑤管理功能弱

4.3.2代理服務(wù)技術(shù)(Proxy)是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)

關(guān)。

4.3.2代理服務(wù)技術(shù)的工作原理(P116)：所謂代理服務(wù)器，是指耐表客戶處理連接請(qǐng)求的I

程序。當(dāng)代理服務(wù)器得到一心客戶的盅接意圖時(shí),它將核實(shí)客戶請(qǐng)求，#用特定的安全化

的proxy應(yīng)用程序來(lái)處理連接請(qǐng)求,將處理后的請(qǐng)求傳遞到真正的服務(wù)器上,然后接受服務(wù)

.word..

器應(yīng)答，并進(jìn)行下一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的謾絡(luò)客戶h代理服務(wù)器在外部網(wǎng)絡(luò)向

內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中?間輪妾孤隔的作用，所以又叫代理防火墻,?代

理防火墻工作于應(yīng)用層I且針對(duì)特產(chǎn)的應(yīng)用號(hào)協(xié)議。

4.3.2代理技術(shù)的優(yōu)點(diǎn)：①代理易于配置②代理今生成各項(xiàng)記錄感代理能靈便、徹底地I

I控制進(jìn)出流量、內(nèi)表④代理能過(guò)濾數(shù)據(jù)內(nèi)容⑤代理油為用戶提供透明的加密機(jī)制⑥代理可以

|方便地與其它安全手段集成|

4.3.2代理技術(shù)的缺點(diǎn)：①代理標(biāo)度較路由器慢?)代理。用戶不透明③升每項(xiàng)服務(wù)代理|

可能要求不同的服務(wù)器④代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制⑤代理不能改進(jìn)底層

協(xié)議的安全性。

4.3.3狀態(tài)檢測(cè)技術(shù)的工作原理(P1I9)：也稱為動(dòng)態(tài)包過(guò)濾防火墻?；窢顟B(tài)檢測(cè)技術(shù)的

防火墻通過(guò)一個(gè)在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測(cè)引擎而獲得非常好的安全特性,檢測(cè)引擎

在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施檢測(cè)，

并將抽取的狀態(tài)信息動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行安全策略的參考。狀態(tài)檢測(cè)防火墻監(jiān)視和

I跟蹤每一個(gè)I有效連接的狀態(tài),并根據(jù)這些信息決定是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)防火墻。

4.3.3狀態(tài)檢測(cè)技術(shù)的特點(diǎn)：①高安全性②高效性③可伸縮性和易擴(kuò)展性④應(yīng)用X圍廣

4.3.4NAT技術(shù)的工作原理(P121)：網(wǎng)絡(luò)地址轉(zhuǎn)換，足?個(gè)internet工程任務(wù)組的標(biāo)準(zhǔn)，允

許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址浮現(xiàn)在互聯(lián)網(wǎng)上。即是一種把可部私有IP地址翻譯成合法|

I網(wǎng)絡(luò)IP地址的技術(shù)。Nh有三種類(lèi)型:靜態(tài)NAT、動(dòng)IdNAT和網(wǎng)％地址端口轉(zhuǎn)換I

NAPTo

4.6.2個(gè)人防火墻的主要功能：①I(mǎi)P數(shù)據(jù)包過(guò)3慮功能②安全規(guī)則的修訂功能③對(duì)特定網(wǎng)

絡(luò)攻擊數(shù)據(jù)包的攔截功能④應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)控制功能⑤網(wǎng)絡(luò)快速切斷、恢復(fù)功能⑥日志記

錄功能⑦網(wǎng)絡(luò)攻擊的報(bào)警功能⑧產(chǎn)品自身安全功能

4.6.3個(gè)人防火墻的特點(diǎn)：

優(yōu)點(diǎn)：①增加了保護(hù)級(jí)別,不需要額外的硬件資源:

②除了可以抵擋外來(lái)攻擊的同時(shí),還可以抵擋內(nèi)部的攻擊;

③是對(duì)公共網(wǎng)絡(luò)中的單位系統(tǒng)提供了保護(hù)，能夠?yàn)橛脩簟錾对诰W(wǎng)絡(luò)上的信息」比如

llP地址屁類(lèi)的信息等。

缺點(diǎn)：①對(duì)公共網(wǎng)絡(luò)惟獨(dú)?個(gè)物理接口|，導(dǎo)致個(gè)人防火墻本身容易受到威脅I

②在運(yùn)行時(shí)需要占用個(gè)人計(jì)算機(jī)的內(nèi)存、CPU柯?間等資源;

③只能對(duì)單機(jī)提供保護(hù),|不能保護(hù)網(wǎng)絡(luò)區(qū)統(tǒng)。

4.7防火墻的發(fā)展趨勢(shì)(P142)：①優(yōu)良的性能②可擴(kuò)展的結(jié)構(gòu)和功能③簡(jiǎn)化的安裝與管

理④主動(dòng)過(guò)濾⑤防病毒與防黑客⑥發(fā)展聯(lián)動(dòng)技術(shù)

課后題：

1、簡(jiǎn)述防火墻的定義。(P103)

4.1.1防火墻的基本概念：是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)

或者一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、

潛在破壞性的侵?jǐn)_。

2,防火墻的主要功能.(P135)

.word..

4.1.2防火墻的主要功能：①過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)②管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為③封

堵某些禁止的業(yè)務(wù)④記錄通過(guò)防火墻的信息和內(nèi)容⑤對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警

3、防火墻的體系結(jié)構(gòu)有哪幾種？簡(jiǎn)述各自的特點(diǎn)。(P106)

防火墻的體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)；屏蔽主機(jī)體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。

雙重宿主主機(jī)體系結(jié)構(gòu)是環(huán)繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩

個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)

往另一個(gè)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。

雙重宿主主機(jī)體系結(jié)構(gòu)是由一臺(tái)同時(shí)連接在內(nèi)外部網(wǎng)絡(luò)的雙重宿主主機(jī)提供安全保障

的，而被屏蔽主機(jī)體系結(jié)構(gòu)則不同，在屏蔽主機(jī)體系結(jié)構(gòu)中，提供安全保護(hù)的主機(jī)僅僅與被

保護(hù)的內(nèi)部網(wǎng)絡(luò)相連.

屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一

步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)。

4、簡(jiǎn)述包過(guò)濾防火墻的工作機(jī)制和包過(guò)濾模型。(P110,P111圖)

包過(guò)濾型防火墻普通有一個(gè)包檢查模塊，可以根據(jù)數(shù)據(jù)XX中的各項(xiàng)信息來(lái)控制站點(diǎn)與

站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問(wèn)，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因?yàn)閮?nèi)容是

應(yīng)用層數(shù)據(jù)。包過(guò)濾模型P111

TCP/IP與過(guò)濾規(guī)則匹配審計(jì)轉(zhuǎn)發(fā)包丟棄包

5、簡(jiǎn)述包過(guò)濾的工作過(guò)程。(P112)

源地址目的地址協(xié)議類(lèi)型源端口目的端口ICMP消息類(lèi)型

不讓外用TELNET登陸允許SMTP往內(nèi)部發(fā)允許NNTP往內(nèi)部發(fā)新聞

不能識(shí)別用戶信息不能識(shí)別文件信息可以提供整個(gè)網(wǎng)絡(luò)保護(hù)

6、簡(jiǎn)述代理防火墻的工作原理，并闡述代理技術(shù)的優(yōu)缺點(diǎn)。(P116)

所謂代理服務(wù)器，是指代表客戶處理連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連

接意圖時(shí)，它將核實(shí)客戶請(qǐng)求，井用特定的安全化的proxy應(yīng)用程序來(lái)處理連接請(qǐng)求，將處

理后的請(qǐng)求傳遞到真正的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并進(jìn)行下一步處理后，將答復(fù)交給

發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離

內(nèi)、外部網(wǎng)絡(luò)的作用，所以又叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)

用層協(xié)議。

優(yōu)點(diǎn)：①代理易于配置②代理能生成各項(xiàng)記錄③代理能靈便、徹底地控制進(jìn)出流量、內(nèi)

容④代理能過(guò)濾數(shù)據(jù)內(nèi)容⑤代理能為用戶提供透明的加密機(jī)制⑥代理可以方便地與其他安

全手段集成

缺點(diǎn)：①代理速度較路由器慢②代理對(duì)用戶不透明③對(duì)于每項(xiàng)服務(wù)代理可能要求不同的

服務(wù)器④代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制⑤代理不能改進(jìn)底層協(xié)議的安全性

7、簡(jiǎn)述狀態(tài)檢測(cè)防火墻的特點(diǎn)。(P120)

狀態(tài)檢測(cè)防火墻結(jié)合了包過(guò)濾防火墻和代理服務(wù)器防火墻的長(zhǎng)處，克服了兩者的不足，

能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過(guò)。優(yōu)點(diǎn)：

①高安全性②高效性③可伸縮性和易擴(kuò)展性④應(yīng)用X圍廣。不足：對(duì)大量狀態(tài)信息的處理

過(guò)程可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯。

.word..

8、簡(jiǎn)述NAT技術(shù)的工作原理(P121)

4.3.4NAT技術(shù)的工作原理(PI21)：網(wǎng)絡(luò)地址轉(zhuǎn)換，是一個(gè)internet工程任務(wù)組的標(biāo)準(zhǔn)，允

許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址浮現(xiàn)在互聯(lián)網(wǎng)上。即是一種把內(nèi)部私有IP地址翻譯成合法

網(wǎng)絡(luò)IP地