計(jì)算機(jī)等級(jí)考試三級(jí)網(wǎng)絡(luò)-基本概念與名詞解釋(4)

五、InterNet基礎(chǔ)
    246. InterNet的體系結(jié)構(gòu)：InterNet由四個(gè)層次組成，由下向上分別為網(wǎng)絡(luò)接口層、無(wú)連接分組傳送層、可靠的傳送服務(wù)層和應(yīng)用服務(wù)層。
    247. InterNet的結(jié)構(gòu)模式：InterNet采用一種層次結(jié)構(gòu)，它由InterNet主干網(wǎng)、國(guó)家或地區(qū)主干網(wǎng)、地區(qū)網(wǎng)或局域網(wǎng)以及主機(jī)組成。
    248. InterNet具體的組成部分：客戶(hù)機(jī)、服務(wù)器、信息資源、通信線(xiàn)路、局域網(wǎng)或區(qū)域網(wǎng)、路由器等。
    249. InterNet的服務(wù)包括：電子郵件服務(wù)、WWW服務(wù)、遠(yuǎn)程登錄服務(wù)、文件傳送服務(wù)、電子公告牌、網(wǎng)絡(luò)新聞組、檢索和信息服務(wù)。
    250. InterNet的地址結(jié)構(gòu)：InterNet地址也稱(chēng)IP地址，它由兩部分構(gòu)成。即網(wǎng)絡(luò)標(biāo)識(shí)（NetID）和主機(jī)標(biāo)識(shí)（HostID）。網(wǎng)絡(luò)標(biāo)識(shí)確定了該臺(tái)主機(jī)所在的物理網(wǎng)絡(luò)，主機(jī)地址標(biāo)識(shí)確定了在某一物理網(wǎng)絡(luò)上的一臺(tái)主機(jī)。
    251. IP地址編址方案：IP地址編址方案將IP地址空間劃分為A、B、C、D、E五類(lèi)，其中A、B、C是基本類(lèi)，D、E類(lèi)作為多播和保留使用。
    252. 地址掩碼和子網(wǎng)：地址掩碼的作用是將IP地址劃分為網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)兩大部分，掩碼是與IP地址相對(duì)應(yīng)的32位數(shù)字，一般將前幾位設(shè)置為1，掩碼與IP地址按位進(jìn)行與運(yùn)算，得出的結(jié)果即是網(wǎng)絡(luò)標(biāo)識(shí)。換句話(huà)說(shuō)，與掩碼1相對(duì)應(yīng)的IP地址是網(wǎng)絡(luò)地址，其余是主機(jī)地址。
    253. 域名系統(tǒng)：域名系統(tǒng)是一個(gè)分布的數(shù)據(jù)庫(kù)，由它來(lái)提供IP地址和主機(jī)名之間的映射信息。它的作用是使IP地址和主機(jī)名形成一一對(duì)應(yīng)的關(guān)系。
    254. 域名的格式：主機(jī)名.機(jī)構(gòu)名.網(wǎng)絡(luò)名.層域名
    255. TCP/IP的設(shè)計(jì)目的：是獨(dú)立于機(jī)器所在的某個(gè)網(wǎng)絡(luò)，提供機(jī)器之間的通用互連。
    256. TCP/IP的分層：TCP/IP共分為四層，它們是網(wǎng)絡(luò)接口層、網(wǎng)際層、傳輸層和應(yīng)用層。其中網(wǎng)絡(luò)接口層對(duì)應(yīng)OSI協(xié)議中的物理層和數(shù)據(jù)鏈路層。
    257. 應(yīng)用層：應(yīng)用層是TCP/IP中的層，用戶(hù)調(diào)用應(yīng)用程序來(lái)訪(fǎng)問(wèn)互聯(lián)網(wǎng)提供的服務(wù)，這些服務(wù)在OSI中由獨(dú)立的三層實(shí)現(xiàn)。應(yīng)用程序負(fù)責(zé)發(fā)送和接收數(shù)據(jù)。應(yīng)用程序?qū)?shù)據(jù)按要求的格式傳遞給傳輸層（傳送層）。這些服務(wù)包括：SMTP（簡(jiǎn)單郵件發(fā)送協(xié)議）、HTTP（超文本傳輸協(xié)議）、FTP（文件傳輸協(xié)議）、SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）、DNS（域名服務(wù)系統(tǒng)）等。
    258. 傳送層：傳送層的基本任務(wù)是提供應(yīng)用層之間的通信，即端到端的通信。傳送層管理信息流，提供可靠的傳送服務(wù)，以確保數(shù)據(jù)無(wú)差錯(cuò)的、按序地到達(dá)。它包括面向連接的傳輸控制協(xié)議（TCP）和無(wú)連接的用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）。
    259. TCP協(xié)議：TCP協(xié)議是傳輸控制協(xié)議，它是一個(gè)面向連接的可靠的傳輸協(xié)議，這個(gè)協(xié)議基于IP協(xié)議?；赥CP協(xié)議的軟件在每一個(gè)站點(diǎn)上把要發(fā)送的TCP消息封裝在IP數(shù)據(jù)報(bào)中進(jìn)行發(fā)送。
    260. UDP協(xié)議：指用戶(hù)數(shù)據(jù)報(bào)協(xié)議，它也是基于IP的一個(gè)協(xié)議，但它是無(wú)連接的不可靠的數(shù)據(jù)傳輸協(xié)議。
    261. 網(wǎng)際層：網(wǎng)際層也稱(chēng)IP層，負(fù)責(zé)處理機(jī)器之間的通信。它接收來(lái)自傳送層的請(qǐng)求，將帶有目的地址的分組發(fā)送出去，將分組封裝到IP數(shù)據(jù)報(bào)中，并填入報(bào)頭，使用路由算法以決定是直接將數(shù)據(jù)報(bào)傳送到目的地還是傳送給路由器，然后報(bào)數(shù)據(jù)報(bào)送至相應(yīng)的網(wǎng)絡(luò)接口來(lái)傳送，IP層還要處理接收到的數(shù)據(jù)報(bào)，檢驗(yàn)其正確性，并決定是由本地接收還是路由至相應(yīng)的目的站。它包括以下協(xié)議：ICMP（網(wǎng)絡(luò)控制報(bào)文協(xié)議）、IP、ARP（地址解析協(xié)議）、RARP。（反向地址解析協(xié)議。
    262. InterNet的接入方法：通過(guò)局域網(wǎng)連接、通過(guò)局域網(wǎng)間接連接、通過(guò)電話(huà)撥號(hào)連接以及使用DDN、ISDN、XDSL等方式。
    263. IP協(xié)議：定義了在TCP/IP互聯(lián)網(wǎng)上數(shù)據(jù)傳送的基本單元，規(guī)定了互聯(lián)網(wǎng)上傳送的數(shù)據(jù)格式，完成路由選擇，選擇數(shù)據(jù)傳送的路徑；包含一組不可靠的分組傳送機(jī)制，指明了分組處理、差錯(cuò)信息發(fā)生以及分組丟棄等機(jī)制。
    IP協(xié)議的任務(wù)是通過(guò)互聯(lián)網(wǎng)傳遞數(shù)據(jù)報(bào)，各個(gè)IP數(shù)據(jù)報(bào)之間是相互獨(dú)立的。
    264. IP數(shù)據(jù)報(bào)格式：IP數(shù)據(jù)報(bào)是IP的基本處理單元。傳送層的數(shù)據(jù)交給IP后，IP要在數(shù)據(jù)的前面加上一個(gè)IP數(shù)據(jù)報(bào)頭，也就是說(shuō)，IP數(shù)據(jù)報(bào)是由所頭和數(shù)據(jù)兩部分構(gòu)成的。IP數(shù)據(jù)報(bào)頭包括了20個(gè)字節(jié)的固定部分和變長(zhǎng)的選項(xiàng)部分。
    265. 網(wǎng)絡(luò)接口層：網(wǎng)絡(luò)接口層也稱(chēng)數(shù)據(jù)鏈路層，是TCP/IP協(xié)議的最底層。該層負(fù)責(zé)網(wǎng)絡(luò)的連接并提供網(wǎng)絡(luò)上的報(bào)文輸入輸出。它包括Ethernet、APPANET、TokenRing等。
    六、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理技術(shù)
    266. 計(jì)算機(jī)系統(tǒng)安全內(nèi)容：安全理論與策略、計(jì)算機(jī)安全技術(shù)、安全管理、安全評(píng)價(jià)、安全產(chǎn)品以及計(jì)算機(jī)犯罪與偵查、計(jì)算機(jī)安全法律、安全監(jiān)察等。
    267. DoD（TCSEC）可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)：是美國(guó)國(guó)防部在1985年正式頒布的，它將計(jì)算機(jī)安全等級(jí)劃分為四類(lèi)七級(jí)，這七個(gè)等級(jí)從低到高依次為：D、C1、C2、C3、B1、B2、B3、A1。268. 計(jì)算機(jī)系統(tǒng)安全問(wèn)題分類(lèi)：計(jì)算機(jī)系統(tǒng)安全問(wèn)題共分為三類(lèi)，它們是技術(shù)安全、管理安全和政策法律安全。
    269. 技術(shù)安全：指通過(guò)技術(shù)手段（硬件的和軟件的）可以實(shí)現(xiàn)的對(duì)于計(jì)算機(jī)系統(tǒng)及其數(shù)據(jù)的安全保護(hù)，要求做到系統(tǒng)受到攻擊以后，硬件、軟件不受到破壞，系統(tǒng)正常工作，數(shù)據(jù)不泄漏、丟失和更改。
    270. 管理安全：指和管理有關(guān)的安全保障，如使得軟硬件不被物理破壞，非法人員進(jìn)入、機(jī)密泄露等。
    271. 政策法律安全是指政府及相關(guān)管理部門(mén)所制訂的法律、法規(guī)、制度等。
    272. 信息安全的構(gòu)成：信息安全包括計(jì)算機(jī)安全和通信安全兩部分。
    273. 信息安全的目標(biāo)：維護(hù)信息的保密性、完整性、可用性和可審查性。
    274. 保密性：使系統(tǒng)只向授權(quán)用戶(hù)提供信息，對(duì)于未被授權(quán)使用者，這些信息是不可獲取或不可理解的。
    275. 完整性：使系統(tǒng)只允許授權(quán)的用戶(hù)修改信息，以保證所提供給用戶(hù)的信息是完整無(wú)缺的。
    276. 可用性：使被授權(quán)的用戶(hù)能夠從系統(tǒng)中獲得所需的信息資源服務(wù)。
    277. 可審查性：使系統(tǒng)內(nèi)所發(fā)生的與安全有關(guān)的動(dòng)作均有說(shuō)明性記錄可查。
    278. 安全威脅：是指某個(gè)人、物、事件或概念對(duì)某一信息資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)?；镜陌踩{包括：信息泄露、完整性破壞、業(yè)務(wù)拒絕和非法使用。
    279. 安全威脅的表現(xiàn)形式：包括信息泄露、媒體廢棄、人員不慎、授權(quán)侵犯、非授權(quán)訪(fǎng)問(wèn)、旁路控制、假冒、竊聽(tīng)、電磁/射頻截獲、完整性侵犯、截獲/修改、物理侵入、重放、業(yè)務(wù)否認(rèn)、業(yè)務(wù)拒絕、資源耗盡、業(yè)務(wù)欺騙、業(yè)務(wù)流分析、特洛伊木馬、陷門(mén)等。
    280. 安全攻擊：所謂安全攻擊，就是某種安全威脅的具體實(shí)現(xiàn)。它包括被動(dòng)攻擊和主動(dòng)攻擊兩大部分。
    281. 被動(dòng)攻擊：是對(duì)信息的保密性進(jìn)行攻擊，即通過(guò)竊聽(tīng)網(wǎng)絡(luò)上傳輸?shù)男畔⒉⒓右苑治鰪亩@得有價(jià)值的情報(bào)，但它并不修改信息的內(nèi)容。它的目標(biāo)是獲得正在傳送的信息，其特點(diǎn)是偷聽(tīng)或監(jiān)視信息的傳遞。它包括信息內(nèi)容泄露和業(yè)務(wù)流分析兩大類(lèi)。
    282. 主動(dòng)攻擊：主動(dòng)攻擊是攻擊信息來(lái)源的真實(shí)性、信息傳輸?shù)耐暾院拖到y(tǒng)服務(wù)的可用性。主動(dòng)攻擊一般包括中斷、偽造、更改等。
    283. 防護(hù)措施：一個(gè)計(jì)算機(jī)信息系統(tǒng)要對(duì)抗各種攻擊。避免受到安全威脅，應(yīng)采取的安全措施包括：密碼技術(shù)、物理安全、人員安全、管理安全、媒體安全、輻射安全和生命周期控制。
    284. 信息系統(tǒng)安全體系結(jié)構(gòu)：包括安全特性、系統(tǒng)單元和開(kāi)放系統(tǒng)互連參考模型（OSI）結(jié)構(gòu)層次三大部分。
    285. GB-17858-1999計(jì)算機(jī)系統(tǒng)系統(tǒng)安全保護(hù)等級(jí)劃分的基本準(zhǔn)則，規(guī)定計(jì)算機(jī)系統(tǒng)的安全保護(hù)能力劃分為5個(gè)等級(jí)，等級(jí)為5級(jí)。
    286. 網(wǎng)絡(luò)安全：指分布式計(jì)算機(jī)環(huán)境中對(duì)信息傳輸、存儲(chǔ)、訪(fǎng)問(wèn)等處理提供安全保護(hù)，以防止信息被竊取、篡改和非法操作，而且對(duì)合法用戶(hù)不發(fā)生拒絕服務(wù)，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)提供保密性、完整性和可用性三個(gè)基本服務(wù)，在分布網(wǎng)絡(luò)環(huán)境下還應(yīng)提供認(rèn)證、訪(fǎng)問(wèn)控制和抗抵賴(lài)等安全服務(wù)。完整的網(wǎng)絡(luò)安全保障體系應(yīng)包括保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等四個(gè)方面。
    287. 網(wǎng)絡(luò)安全策略：就是有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和細(xì)則，是指在某個(gè)安全區(qū)域中，用于所有與安全活動(dòng)相關(guān)的一套規(guī)則。這些規(guī)則上由此安全區(qū)域中設(shè)立的一個(gè)安全權(quán)力機(jī)構(gòu)建立，并由安全控制機(jī)構(gòu)來(lái)描述、實(shí)施和實(shí)現(xiàn)。
    288. 安全策略包括：安全策略安全策略目標(biāo)、機(jī)構(gòu)安全策略、系統(tǒng)安全策略三個(gè)等級(jí)。
    289. 安全策略目標(biāo)：指某個(gè)機(jī)構(gòu)對(duì)所要保護(hù)的特定資源要達(dá)到的目的所進(jìn)行的描述。
    290. 機(jī)構(gòu)安全策略：指一套法律、規(guī)則及實(shí)際操作方法，用于規(guī)范某個(gè)機(jī)構(gòu)如何來(lái)管理、保護(hù)和分配資源以達(dá)到安全策略的既定目標(biāo)。
    291. 系統(tǒng)安全策略：描述如何將某個(gè)特定的信息技術(shù)系統(tǒng)付諸工程實(shí)現(xiàn)，以支持此機(jī)構(gòu)的安全策略要求。
    292. 安全策略的基本組成部分：安全策略的基本組成包括授權(quán)、訪(fǎng)問(wèn)控制策略、責(zé)任。
    293. 安全策略的具體內(nèi)容：網(wǎng)絡(luò)管理員的責(zé)任、網(wǎng)絡(luò)用戶(hù)的安全策略、網(wǎng)絡(luò)資源的使用授權(quán)、檢測(cè)到安全問(wèn)題時(shí)的策略。
    294. 安全策略的作用：定義該安全計(jì)劃的目的和安全目標(biāo)、把任務(wù)分配給具體部門(mén)人員、明確違反政策的行為及處理措施。受到安全策略制約的任何個(gè)體在執(zhí)行任務(wù)時(shí)，需要對(duì)他們的行動(dòng)負(fù)責(zé)任。
    295. 安全服務(wù)：是指提高一個(gè)組織的數(shù)據(jù)處理系統(tǒng)和信息傳遞安全性的服務(wù)，這些服務(wù)的目的是對(duì)抗安全攻擊，它們一般使用一種或多種安全機(jī)制來(lái)實(shí)現(xiàn)。國(guó)際標(biāo)準(zhǔn)化組織對(duì)開(kāi)放系統(tǒng)互聯(lián)參考模型規(guī)定了5種標(biāo)準(zhǔn)的安全服務(wù)，它們是：認(rèn)證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、防抵賴(lài)服務(wù)。
    296. 安全機(jī)制：指用來(lái)檢測(cè)、預(yù)防或從安全攻擊中恢復(fù)的機(jī)制。它分為兩大類(lèi)，一是與安全服務(wù)有關(guān)，二是與管理有關(guān)。它包括：加密機(jī)制、數(shù)字簽名機(jī)制、訪(fǎng)問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、防業(yè)務(wù)流分析機(jī)制、路由控制機(jī)制、公證機(jī)制等8種。
    297. IP層安全協(xié)議：指在TCP/IP協(xié)議集的網(wǎng)絡(luò)層上的安全服務(wù)，用于提供透明的加密信道以保證數(shù)據(jù)傳輸?shù)陌踩?。它的?yōu)點(diǎn)在于對(duì)應(yīng)用程序和終端用戶(hù)是透明的，即上層的軟件，包括應(yīng)用程序不會(huì)受到影響，用戶(hù)的日常辦公模式也不用改變。典型的網(wǎng)絡(luò)層安全協(xié)議是IPSec協(xié)議。
    298. IP安全協(xié)議，即IPSec是一個(gè)用于保證通過(guò)IP網(wǎng)絡(luò)安全通信的開(kāi)放式標(biāo)準(zhǔn)框架。它保證了通過(guò)公共IP網(wǎng)絡(luò)的數(shù)據(jù)通信的保密性、完整性和真實(shí)性。
    299. IPSec標(biāo)準(zhǔn)包括4個(gè)與算法無(wú)關(guān)的基本規(guī)范，它們是：體系結(jié)構(gòu)、認(rèn)證頭、封裝安全有效載荷、InterNet安全關(guān)聯(lián)和密鑰管理協(xié)議。
    300. 認(rèn)證頭協(xié)議（AH）：為IP數(shù)據(jù)報(bào)提供了三種服務(wù)，對(duì)整個(gè)數(shù)據(jù)報(bào)的認(rèn)證、負(fù)責(zé)數(shù)據(jù)的完整性、防止任何針對(duì)數(shù)據(jù)報(bào)的重放。
    301. 封裝安全有效載荷協(xié)議（ESP）：ESP協(xié)議為通過(guò)不可信網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)提供了機(jī)密性服務(wù)，包括數(shù)據(jù)內(nèi)容的機(jī)密性和有限的業(yè)務(wù)流保護(hù)。
    302. 安全關(guān)聯(lián)（SA）：指兩個(gè)或多個(gè)實(shí)體之間的一種關(guān)系，是這些實(shí)體進(jìn)行安全通信的所有信息的組合，包括使用的密鑰、使用的保護(hù)類(lèi)型以及該SA的有效期等。
    303. TCP層安全協(xié)議（SSL安全套接字協(xié)議）：工作在傳送層，被設(shè)計(jì)成使用TCP來(lái)提供一種可靠的端到端的安全服務(wù)，它在兩實(shí)體之間建立了一個(gè)安全通道，當(dāng)數(shù)據(jù)在通道中時(shí)是認(rèn)證過(guò)的和保密的。SSL對(duì)于應(yīng)用層協(xié)議和程序是透明的，因此，它可以為HTTP、NNTP、SMTP和FTP等應(yīng)用層協(xié)議提供安全性。
    304. SSL提供的服務(wù)可以規(guī)納為以下三個(gè)方面：用戶(hù)和服務(wù)器的合法認(rèn)證、通過(guò)對(duì)被加密的數(shù)據(jù)進(jìn)行加密來(lái)提供數(shù)據(jù)的機(jī)密性服務(wù)、維護(hù)數(shù)據(jù)的完整性。
    305. 應(yīng)用層安全協(xié)議：應(yīng)用層安全協(xié)議都是為特定的應(yīng)用提供安全性服務(wù)，的安全協(xié)議包括S/MIME和SET。
    306. 安全/通用因特網(wǎng)郵件擴(kuò)充服務(wù)（S.MIME）：是一個(gè)用于保護(hù)電子郵件的規(guī)范，它基于流行的MIME標(biāo)準(zhǔn)，描述了一個(gè)通過(guò)對(duì)經(jīng)數(shù)字簽名和加密的對(duì)象進(jìn)行MIME封裝的方式來(lái)提供安全服務(wù)的協(xié)議。它包括：數(shù)據(jù)加密、數(shù)據(jù)簽名、純數(shù)據(jù)簽名、數(shù)據(jù)簽名并且加密。
    307. 電子安全交易（SET）：是一個(gè)開(kāi)放的、用于保護(hù)InterNet電子商務(wù)中信用卡交易的加密和安全規(guī)范。它提供在電子交易涉及的各方之間提供安全的通信信道服務(wù)和通過(guò)使用X.509v3數(shù)字證書(shū)為交易中的各參與者提供信任關(guān)系。
    308. 由密碼算法對(duì)數(shù)據(jù)進(jìn)行變換，得到隱藏?cái)?shù)據(jù)的信息內(nèi)容的過(guò)程，稱(chēng)為“加密”。一個(gè)相應(yīng)的加密過(guò)程的逆過(guò)程，稱(chēng)為解密。
    309. 明文與密文：未加密的信息稱(chēng)為明文，已加密的信息稱(chēng)為密文。
    310. 密鑰：控制密碼變換操作的符號(hào)稱(chēng)為密鑰。加密和解密算法的操作一般都是在一組密鑰的控制下進(jìn)行的。
    311. 愷撒密碼：以數(shù)字0~25表示字母a~z，用C表求密文字母，用M表示明文字母，則兩者間的關(guān)系為：C=M+k (MOD 26)，M=C+（26-k） (MOD 26)；當(dāng)k＝0時(shí)，M=C； 312. 密碼體制：根據(jù)密碼算法所使用的密鑰數(shù)量的不同，可以分為對(duì)稱(chēng)密碼體制和非對(duì)稱(chēng)密碼體制；根據(jù)明文的處理方式不同，可以分為分組密碼體制和序列密碼體制。
    313. 對(duì)稱(chēng)密碼體制和非對(duì)稱(chēng)密碼體制：對(duì)稱(chēng)密碼體制是指加密密鑰和解密密鑰相同，這種密碼體制也稱(chēng)為單密鑰密碼體制或私鑰密碼體制；若加密密鑰和解密密鑰不同，從一個(gè)密鑰難以推出另一個(gè)密鑰，則稱(chēng)為非對(duì)稱(chēng)的密碼體制，也稱(chēng)為雙密鑰密碼體制或公鑰密碼體制。
    314. 分組密碼體制和序列密碼體制：分組密碼是在密鑰的控制下，一次變換一個(gè)分組的密碼體制，它每次處理上塊元素的輸入，對(duì)每個(gè)輸入塊產(chǎn)生一個(gè)輸出塊。序列密碼是對(duì)數(shù)字?jǐn)?shù)據(jù)流一次加密一個(gè)比特或一個(gè)字節(jié)的密碼體制。
    315. 加密模塊的位置：加密模塊的位置可以分為兩大類(lèi)，即鏈路加密和端到端的加密。
    316. 鏈路加密：采用鏈路加密時(shí)，需要對(duì)每個(gè)通信鏈路的兩端都裝備一個(gè)加密裝置，因此，通過(guò)這些鏈路的信息是安全的，但它有以下缺點(diǎn)：首先，中間的每個(gè)通信鏈路的兩端都需安裝加密設(shè)備，實(shí)施費(fèi)用較高；其次，其享一條鏈路的每對(duì)節(jié)點(diǎn)，應(yīng)共享的密鑰，而每段鏈路應(yīng)使用不同的密鑰，造成密鑰的管理和分發(fā)困難。第三，需要在每臺(tái)分組交換機(jī)中進(jìn)行解密，以獨(dú)得路由信息，此時(shí)，最易受到攻擊。
    317. 端到端加密：使用端到端加密時(shí)，加密解密過(guò)程只在兩個(gè)端系統(tǒng)上完成，相對(duì)而言，實(shí)施較為方便，但主機(jī)只能對(duì)用戶(hù)數(shù)據(jù)進(jìn)行加密，而分組首部以未加密的方式傳輸，因此，易受業(yè)務(wù)流分析類(lèi)的被動(dòng)攻擊。
    318. 對(duì)稱(chēng)密碼技術(shù)：指加密算法和解密算法中使用的密鑰是發(fā)送者和接收者共享的密鑰。其加密模型為：C=Ek(M)，解密模型為：M=Dk(C)；其中，M表示明文，C表示密文、K為密鑰。
    319. 對(duì)稱(chēng)密碼技術(shù)的安全性：對(duì)稱(chēng)密碼技術(shù)的安全性取決于密鑰的安全性，而不是算法的安全性。
    320. 數(shù)據(jù)加密標(biāo)準(zhǔn)DES：DES是目前使用較為廣泛的加密方法。DES使用一種分組乘積密碼，在DES中，數(shù)據(jù)以64比特分組進(jìn)行加密，密鑰長(zhǎng)度為56比特（總長(zhǎng)64比特，8比特為奇偶校驗(yàn)碼）。加密算法經(jīng)過(guò)一系列的步驟將64比特明文輸入變換為64比特的密文輸出。除DES外，對(duì)稱(chēng)加密算法還包括托管加密標(biāo)準(zhǔn)（EES）、高級(jí)加密標(biāo)準(zhǔn)AES等。
    321. 非對(duì)稱(chēng)加密技術(shù)：非對(duì)稱(chēng)加密，也叫公鑰加密。是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的一種加密方法，它不同于以往加密中使用的替代和置換方法，它使用兩個(gè)密鑰，在保密通信、密鑰分配和鑒別等領(lǐng)域都產(chǎn)生了深遠(yuǎn)的影響。
    322. 公鑰加密系統(tǒng)的模型：一個(gè)公鑰加密方案由明文、加密算法、公開(kāi)密鑰和私有密鑰對(duì)、密文、解密算法組成。一個(gè)實(shí)體的非對(duì)稱(chēng)密鑰對(duì)中只由該實(shí)體使用的密鑰稱(chēng)私有密鑰，私有密鑰是保密的；一個(gè)實(shí)體的非對(duì)稱(chēng)密鑰對(duì)中能夠被公開(kāi)的密鑰稱(chēng)為公開(kāi)密鑰。這兩個(gè)密鑰相關(guān)但不相同。
    323. 在公開(kāi)密鑰算法中，用公開(kāi)的密鑰進(jìn)行加密，用私有密鑰進(jìn)行解密的過(guò)程，稱(chēng)為加密。而用私有密鑰進(jìn)行加密，用公開(kāi)密鑰進(jìn)行解密的過(guò)程系為認(rèn)證。
    324. 公鑰密碼系統(tǒng)的用途一般包括：加密/解密、數(shù)字鑒名、密鑰交換。
    325. 數(shù)字信封：使用對(duì)稱(chēng)密鑰密碼加密大量數(shù)據(jù)，然后使用公鑰算法加密會(huì)話(huà)密鑰的過(guò)程稱(chēng)為數(shù)字信封，關(guān)于數(shù)字信封的具體情況，請(qǐng)參考下文（電子商務(wù)）。
    326. RAS公鑰密碼算法：RAS算法是建立地大數(shù)分解和素?cái)?shù)檢測(cè)的理論基礎(chǔ)上的，是一種分組密碼體制。它的思路是：兩個(gè)大素?cái)?shù)相乘在計(jì)算上是容易實(shí)現(xiàn)的，但將它們的乘積分解為兩個(gè)大素?cái)?shù)的因子的計(jì)算時(shí)卻相當(dāng)巨大，甚至在計(jì)算機(jī)上也是不可實(shí)現(xiàn)的。所謂素?cái)?shù)檢測(cè)，是指判斷給定的一個(gè)整數(shù)是否為素?cái)?shù)。RAS的安全性基于數(shù)論中大整數(shù)的素因子分解的困難性。
    327. RAS密鑰的產(chǎn)生過(guò)程：
    a.獨(dú)立地選取兩個(gè)互異的大素?cái)?shù)p和q（保密）。
    b.計(jì)算n＝p×q（公開(kāi)），則歐拉函數(shù)值ф(n)＝（p－1）（q－1）(保密)
    c.隨機(jī)選取整數(shù)e，使得1ф(n)并且gcd(ф(n),e)＝1（公開(kāi)）
    d.計(jì)算d，d=e-1mod(ф(n))保密。
    RAS私有密鑰由｛d，n｝，公開(kāi)密鑰由｛e,n｝組成
    328. RAS的加密/解密過(guò)程
    加密過(guò)程：把要求加密的明文信息M數(shù)字化，分塊，其加密過(guò)程是：
    C=Me(mod n)
    解密過(guò)程：M=Cd(mod n)
    329. 認(rèn)證技術(shù)：認(rèn)證也稱(chēng)為鑒別，它是指可靠地驗(yàn)證某個(gè)通信參與方的身份是否與他所聲稱(chēng)的身份一致，或某個(gè)通信事件是否有效的過(guò)程，用以確保數(shù)據(jù)的真實(shí)性，防止對(duì)手對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊，如偽裝、篡改等。認(rèn)證包括實(shí)體認(rèn)證和消息認(rèn)證兩部分。
    330. 實(shí)體認(rèn)證：驗(yàn)證信息的發(fā)送者是真實(shí)的，包括信源、信宿等的認(rèn)證和識(shí)別。
    331. 消息認(rèn)證：驗(yàn)證消息的完整性，驗(yàn)證數(shù)據(jù)在傳送或存儲(chǔ)過(guò)程中未被篡改、重放或延遲。
    332. 認(rèn)證方法：包括使用報(bào)文加密方法認(rèn)證、使用消息鑒別碼認(rèn)證、使用哈希函數(shù)認(rèn)證等方式。
    333. 報(bào)文加密方法認(rèn)證：該方法是以整個(gè)報(bào)文的密文作為報(bào)文的認(rèn)證碼（它包括使用對(duì)稱(chēng)加密方法在報(bào)文中包含錯(cuò)誤校驗(yàn)碼和序列號(hào)、時(shí)間戳等）和使用公鑰加密方法認(rèn)證（發(fā)送者使用私有密鑰加密，接收方使用公鑰解密）兩種方法。
    334. 使用消息鑒別碼進(jìn)行認(rèn)證：消息鑒別碼（MAC）也稱(chēng)為密碼校驗(yàn)值，是對(duì)數(shù)據(jù)單元進(jìn)行加密變換所得到的信息。它由MAC=C(K,M)生成，其中M是變長(zhǎng)的報(bào)文，K是僅由收發(fā)雙方共享的密鑰，生成的MAC是定長(zhǎng)的認(rèn)證碼，發(fā)送者在發(fā)送消息時(shí)，將計(jì)算好的認(rèn)證碼附加到消息的末尾發(fā)送，接收方根據(jù)接收到的消息，計(jì)算出鑒別碼，并與附在消息后面的認(rèn)證碼進(jìn)行比較。
    335. 哈希函數(shù)認(rèn)證：哈希函數(shù)是將任意長(zhǎng)的數(shù)字串M映射成一個(gè)較短的定長(zhǎng)輸出數(shù)字串H的函數(shù)。以h表示哈希函數(shù)，則有H=h(M)。其中H稱(chēng)為M的哈希碼，有時(shí)也稱(chēng)為雜湊碼、數(shù)字指紋、消息摘要等。哈希函數(shù)與MAC的區(qū)別是，哈希函數(shù)的輸入是消息本身，沒(méi)有密鑰參與。
    336. 數(shù)字鑒名：是用來(lái)防目通信雙方互相攻擊的一種認(rèn)證機(jī)制，是防止發(fā)送方或接收方抵賴(lài)的認(rèn)證機(jī)制，它滿(mǎn)足以下幾個(gè)條件：首先，鑒名者事后不能否認(rèn)自己的鑒名，其次，除鑒名者之外的其它任何人均不能偽造鑒名，也不能對(duì)接收或發(fā)送的消息進(jìn)行篡改、偽造或冒充；第三，接收者可以確認(rèn)收發(fā)雙方之間的數(shù)據(jù)傳送。數(shù)據(jù)鑒名一般采用RAS加密算法，發(fā)送方使用私鑰對(duì)消息進(jìn)行加密，接收方使用公鑰進(jìn)行解密并確認(rèn)發(fā)送者的身份。
    337. 防火墻：是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置的一道安全屏障，是在網(wǎng)絡(luò)信息通過(guò)時(shí)對(duì)它們實(shí)施防問(wèn)控制策略的一個(gè)或一組系統(tǒng)。
    338. 防火墻的特點(diǎn)：位置：防火墻是內(nèi)外通信的途徑，所有從內(nèi)到外或從外到內(nèi)的通信量都必須經(jīng)過(guò)防火墻，否則，防火墻將無(wú)法起到保護(hù)作用；功能：防火墻是用戶(hù)制訂的安全策略的完整體現(xiàn)。只有經(jīng)過(guò)既定的本地安全策略證實(shí)的通信流，才可以完成通信；防攻擊：防火墻本身對(duì)于滲透是免疫的，也就是說(shuō)，防火墻本身應(yīng)該是一個(gè)安全、可靠、防攻擊的可信任系統(tǒng)，它自身應(yīng)有足夠的強(qiáng)度和可靠性以抵御外界對(duì)防火墻的任何攻擊。
    339. 防火墻的類(lèi)型：分組過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)、混合型防火墻. 防火墻的作用：可以有效的記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況；能有效地過(guò)濾、篩選和屏蔽一切有害的服務(wù)和信息；可加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的防問(wèn)，能執(zhí)行強(qiáng)化網(wǎng)絡(luò)的安全策略；能夠隔開(kāi)網(wǎng)絡(luò)中的一個(gè)網(wǎng)段和咖一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問(wèn)題傳播到整個(gè)網(wǎng)絡(luò)。
    341. 防火墻的不足：不能對(duì)付來(lái)自?xún)?nèi)部的攻擊；對(duì)網(wǎng)絡(luò)病毒的攻擊能通常無(wú)能為力；可能會(huì)阻塞許多用戶(hù)所希望的防問(wèn)服務(wù)；不能保護(hù)內(nèi)部網(wǎng)絡(luò)的后門(mén)威脅；數(shù)據(jù)驅(qū)動(dòng)攻擊經(jīng)常會(huì)對(duì)防火墻造成威脅。
    342. 虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）：是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)作為信息傳輸介質(zhì)，通過(guò)附加的安全通道、用戶(hù)認(rèn)證和訪(fǎng)問(wèn)控制等技術(shù)實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)相類(lèi)似的安全性能，從而實(shí)現(xiàn)對(duì)敏感信息的安全傳輸。
    343. VPN的建立可以基于下列協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）；第二層隧道協(xié)議（L2TP）；IP安全協(xié)議（Ipsec）
    344. VPN可以提供的功能：防火墻功能、認(rèn)證、加密、隧道化；
    345. VPN的技術(shù)特點(diǎn)：信息的安全性、方便的擴(kuò)充性、方便的管理、顯著的成本效益。
    346. VPN的關(guān)鍵技術(shù)：安全隧道技術(shù)、用戶(hù)認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)。
    347. VPN的類(lèi)型：防火墻VPN；路由器/專(zhuān)用VPN、操作系統(tǒng)附帶VPN。
    348. 入侵檢測(cè)技術(shù)：入侵是指有關(guān)破壞資源的完整性、機(jī)密性及可用性的活動(dòng)。入侵檢測(cè)是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)的或異常的現(xiàn)象。
    349. 入侵的類(lèi)型：嘗試闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、惡意使用。
    350. 入侵檢測(cè)的作用：如果能夠迅速地檢測(cè)到一個(gè)入侵行為，就可以在進(jìn)入系統(tǒng)損壞或數(shù)據(jù)丟失之前識(shí)別入侵者并驅(qū)逐它；一個(gè)有效的入侵檢測(cè)系統(tǒng)可以作為一個(gè)阻礙物，用來(lái)防止入侵；入侵檢測(cè)可以用來(lái)收集有關(guān)入侵技術(shù)的信息，從而用來(lái)改進(jìn)和加強(qiáng)抗入侵能力。
    351. 入侵檢測(cè)的原理：異常檢測(cè)原理和誤用入侵檢測(cè)原理。
    352. 入侵的檢測(cè)方法：統(tǒng)計(jì)異常檢測(cè)法、基于規(guī)則的檢測(cè)（異常檢測(cè)和滲透識(shí)別）。
    353. 計(jì)算機(jī)病毒（略）
    354. 網(wǎng)絡(luò)管理：是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的配置、運(yùn)行狀態(tài)和計(jì)費(fèi)等進(jìn)行管理。它提供了監(jiān)控、協(xié)調(diào)和測(cè)試各種網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)運(yùn)行情況的手段，還可提供安全管理和計(jì)費(fèi)等功能。
    355. 網(wǎng)絡(luò)管理的體系結(jié)構(gòu)：網(wǎng)絡(luò)管理的體系結(jié)構(gòu)是網(wǎng)絡(luò)管理各組成部分之間的關(guān)系。它主要有集中式網(wǎng)絡(luò)管理系統(tǒng)、分布式網(wǎng)絡(luò)管理系統(tǒng)和集中與分布相結(jié)合式網(wǎng)絡(luò)管理系統(tǒng)。
    356. 網(wǎng)絡(luò)管理模型：包括反映網(wǎng)絡(luò)管理功能的功能模型、反映網(wǎng)絡(luò)管理實(shí)體之間通信方法的組織模型和反映被管對(duì)象的管理信息組織方法的信息模型。
    357. 網(wǎng)絡(luò)管理協(xié)議：管理進(jìn)程和代理之間用以交換信息的協(xié)議。它分為兩大類(lèi)，一是internet網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，即簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）；另一類(lèi)是OSI的國(guó)際管理標(biāo)準(zhǔn)CMIP。
    358. 網(wǎng)絡(luò)管理的功能：配置管理、性能管理、故障管理、計(jì)費(fèi)管理和安全管理。
    359. SNMP的體系結(jié)構(gòu)：SNMP的網(wǎng)絡(luò)管理由管理信息結(jié)構(gòu)、管理信息庫(kù)和SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議本身構(gòu)成。
    360. SNMP是基于管理者/代理模型結(jié)構(gòu)的，它的操作可以分為兩種類(lèi)型，一是一個(gè)實(shí)體與一個(gè)管理代理交互，以檢索（GET）變量；二是一個(gè)實(shí)體與一個(gè)管理代理交互，以改變（SET）變量。
    361. SNMP協(xié)議規(guī)范：SNMP是一個(gè)應(yīng)用層協(xié)議，它的設(shè)計(jì)基于互聯(lián)網(wǎng)協(xié)議IP的用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP之上，提供的是地?zé)o連接的服務(wù)。SNMP使用相對(duì)簡(jiǎn)單的操作和有限數(shù)目的協(xié)議數(shù)據(jù)單元PDU來(lái)執(zhí)行它的職能。
    362. SNMP的五個(gè)協(xié)議數(shù)據(jù)單元：Get Request：用來(lái)訪(fǎng)問(wèn)代理，并從一個(gè)表上得到某些（某個(gè)）值；Get Next Request：類(lèi)似于Get Request，只是它允許在一個(gè)MIB樹(shù)上檢索下一個(gè)邏輯標(biāo)識(shí)符；Get Response：對(duì)Get Request，Get Next Request和Set Request數(shù)據(jù)單元作出響應(yīng)；Set Request：用來(lái)描述在一個(gè)元素上執(zhí)行的行動(dòng)；Trap：用來(lái)使網(wǎng)絡(luò)管理模塊報(bào)告在上一個(gè)網(wǎng)絡(luò)元素中發(fā)生的事件，或網(wǎng)絡(luò)元素改變的狀態(tài)。