博主暑期整理了一些 络安全基础相关的问题，以作保研面试之用，在此分享给大家。参考教材《 络安全基础——应用与标准（第6版）》由于我们专业不是信息安全，所以对这门课学得也比较浅，信安专业的同学参考这篇博客可能不太合适。
整理过程中也借鉴了一些 上的其他资料，其中绝大部分已不可考，如有侵权，通知删除。

文章目录

• 第一章 引言
• 第二章 对称加密和消息机密性
• 第三章 公钥密码和消息认证
• 第四章 密钥分配和用户认证
• 第六章 传输层安全
• 第十章 恶意软件
• 第12章 防火墙

第一章 引言

1.基本概念
计算机安全：用于保护数据安全和防范黑客的工具集合； 络安全：保护数据传输的方法或措施的总称。两者没有明确的界定。
计算机安全的定义：对某个自动化信息系统的保护措施，其目的在于实现信息系统资源的完整性，可用性以及机密性。

2.CIA三元组：是计算机安全的定义包含的三个目标
（1）机密性 Confidentiality
数据机密性:保证隐私或机密的信息不会被泄露给予未经授权的个体。
隐私性：保证个人可以控制和影响与之相关的信息，这此信息可能被他人利用。
（2）完整性 Integrity
数据完整性，数据未被未授权篡改或者损坏
系统完整性，系统未被非授权操纵，按既定的功能运行
（3）可用性 Availability
保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。
（4）真实性
（5）可计量性

3. FIPS199将安全违规对个人或组织的影响，定义成三个等级:
①低级：对组织的运转，资产或者个人的负面影响有限
②中级：…严重的负面影响。
③高级：…巨大或者灾难性的负面影响

4.OSI安全体系结构
（1）什么是OSI安全体系结构提供定义安全和刻画安全措施的系统方法。
（2）它主要关注安全攻击、机制和服务。
安全攻击：任何可能危及机构的信息安全的行为。
安全机制：检测、防范安全攻击并从中恢复系统的机制
安全服务：用来增强机构的数据处理系统安全性和信息传递安全性的服务

5.安全攻击：被分为主动攻击和被动攻击
（1）被动攻击：试图学习或者使用来自系统的信息，但并不影响系统的资源
①消息内容泄露：在 络中传输的数据包含了敏感机密信息，对手就有可能获取这些有用的信息。
②流量分析攻击：如果采取办法屏蔽消息或者其他流的内容，虽然对手不能从中提取有用的消息，但仍然可以观察消息的模式。
（2）主动攻击：试图改变系统的资源或者影响系统的操作
①假冒：伪装发生于一个实体假装成为另一个不同的实体的场合。
②重放：被动捕获数据单元后按照原来的顺序重新传送。（隔了一段时间，再做一遍）
③改写消息：更改合法消息的一部分，或者延迟重新排序消息。
④拒绝服务：阻止或者禁止通信设备的正常使用或管理。

6.安全服务: 是通信开放系统的协议层提供的,并能确保系统或数据传输足够安全的服务。它的目的是为了对抗安全攻击。
认证：认证是为通信过程中的实体和数据源提供鉴别服务
访问控制：访问控制是保护受保护的资源不被非授权使用
机密性：数据机密性是保护数据不被非授权泄漏
完整性：数据完整性是指确保接收方接收到的数据是发送方所发送的数据
不可抵赖性：非否认是指防止通信中的任一实体否认它过去执行的某个操作或者行为
可用性

7.安全机制
加密：加密技术既能为数据提供机密性，也能为通信业务流信息提供机密性，并且还成为其他安全机制中的一部分起补充作用
数字签名机制：签名技术的数字化
访问控制机制：访问控制是保护受保护的资源不被非授权使用
数据完整性机制：数据完整性是指确保接收方接收到的数据是发送方所发送的数据
认证交换机制：所谓认证交换，就是通过在认证者和被认证者之间通过某些共享信息实现认证功能。
流量填充机制：业务流填充是通过发送额外的数据来掩盖正常通信流量特征，从而达到保护业务流机密性的目的。
路由控制：路由控制是通过对路由过程进行控制，达到安全保护的目的。
公正机制：公正机制是利用可信第三方来实现安全功能。
安全服务和安全机制的关系安全服务可由一种或多种安全机制来提供，一种安全机制可用于提供一种或多种安全服务。

8. 络安全模型 书P18
模型要求
设计安全变换的合理算法
生成算法所用的秘密信息（密钥）
开发秘密信息的分发方法
指定一种协议使用这种安全算法和秘密信息

9.补充
·入侵者：是指怀着不良企图，闯入甚至破坏远程机器系统完整性的人
·黑客：指对于任何计算机操作系统奥秘都有强烈兴趣的人。
·计算机安全：对某个自动化信息系统的保护措施，其目的在于实现信息系统资源的完整性，可用性以及机密性
· 络安全：保护数据传输的方法或措施的总称
·信息安全：指信息系统受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

第二章 对称加密和消息机密性

1.一个对称加密的方案由5部分组成 书P23

2.对称加密的安全使用有哪几个要求
①需要一个强加密算法。（知道算法+密文，或者密文+明文，不能得出明文、密钥）
②发送方和接收方必须通过一个安全的方式获得密钥并且保证密钥的安全。
补充：对称加密的安全取决于密钥的保密性，而不是算法的保密性。

3.密码体制的3个分类方法
①明文转换成密文的操作类型：替换、排列组合
②使用的密钥数量：对称加密和公钥加密
③明文的处理方式：流密码和分组密码
流密码：在运行的过程中连续地处理输入元素，每次产生一个输出元素。
分组密码：一次处理一个输入元素分组，产生与该输入分组对应的一个输出分组

4.密码分析：试图找出明文或者密钥的过程称为密码分析。密码分析类型见书P24。密码分析的方法：穷举；算法的弱点。

5.如何知道加密方案是否是计算安全的strong>
? 破译的成本超过加密信息的价值
? 破译的时间超过该信息有用的生命周期

6.Feistel密码结构 详见书P25、26图
输入：长为2w比特的明文分组、密钥k
输出：长为2w比特的密文分组
明文分组分为：L0，R0，数据的这两部分通过n(16)循环处理后，再结合起来生成密文分组
每i次循环都以上一循环产生的Li-1和Ri-1和K产生的子密钥Ki作为输入。一般说来，子密钥Ki与K不同，相互之间也不同，它是用子密钥生成算法从密钥生成的

7.DES
①分组加密算法：明文和密文为64位分组长度
②对称算法：加密和解密除密钥编排不同外，使用同一算法
③密钥长度：56位
④采用混乱和扩散的组合，每个组合先替代后置换，共16轮

Diffie-Hellman密钥交换
本原根：

第六章 传输层安全

6.1 Web安全需求

Web安全的特点
n 1）提供双向的服务，攻击防范能力脆弱
n 2）作为可视化窗口和商业交互平台，提供多种服务，事关声誉
n 3）底层软件庞大，如apache 约10M，历来是漏洞之最，攻击手段最多
n 4）如果被攻破可能导致成为进入企业的跳板
n 5）漫不经心的和未经训练的用户
Web 安全的组成部分
Browser 安全、Web Server 安全、Browser 与Web Server
Web 流量安全方法
§ 络层：IPSec 传输层：SSL/TLS 应用层：Kerberos, S/MIME

6.2 传输层安全
SSL(安全套节字层，Secure socket layer )/TLS(传输层安全，Transport layer service )
TLS从SSL发展而来的，（下面的一系列解释TLS和SSL指的是同一种东西）

SSL 连接和 SSL会话
连接：连接一个连接是一个能够提供某种服务的传输载体，对SSL来说，这样的连接是点对点关系而且都是短暂的，每个连接都和一个会话相关。
会话：SSL会话是客户和服务器之间的一种关联。特点如下三点：
1）会话由握手协议创建
2）会话定义了一组可以被多个连接共用的密码安全参数
3）对于每个连接，可以利用会话来避免对新的安全参数进行代价昂贵的协商
在任意一对实体之间，可以有多个安全连接

1、分段，把每个上层消息分割为不大于2^14字节的块
2、压缩或不压缩，压缩必须是无损的，并且增加长度不能超过1024字节，TLSv2中无压缩
3、在压缩数据的基础上计算消息认证码。TLS使用了HMAC算法，就是将压缩后的消息和计算出的MAC放在一块。MAC计算的字段如下：

4、对3中的得到数据使用对称加密算法进行加密，加密造成的块长度增量不会超过1024字节，所以块的总长度不会超过2^14+2048字节
允许使用：分组密码：AES, 3DES 流密码：RC4-128
5、添加一个有下列域组成的TLS头
内容类型（8bit）：用于处理封装分段的高层协议（被定义为修改密码规格、 警、握手和应用数据4种）
主版本 （8bit）：表明应用的TLS协议的主版本 。对于TLSv3.0，该值为3
副版本 （8bit）：表明应用的TLS协议的副版本 。对于TLSv3.0，该值为0
压缩后的长度（8bit）：以字节为单位的明文块（如果使用了压缩，则为压缩后的明文块）长度。最大值为2^14+2048。

SSL修改密码规格协议
由单个 文组成， 文值为1的单个字节；使得挂起状态被改变为当前状态，更新了这个连接将要使用的密码机制
警协议
用于向对方实体传送TLS相关的 警信息；传输时按照当前状态所规定的处理机制进行压缩和加密

第十章 恶意软件

1.恶意软件定义：隐蔽植入另一段程序的程序，它企图破坏数据，运行破坏性或者入侵性程序，或者破坏受害者数据，应用程序或者操作系统的机密性、完整性和可用性。

2.恶意软件的分类
法1：是否需要驻留在宿主程序中或者独立于宿主程序，可分为2类：①必须依赖实际应用程序、工具或系统程序才可以运行的程序碎片,如病毒、逻辑炸弹和后门；②可以被操作系统调度并运行的独立程序。如蠕虫和僵尸。
法2：是否能够进行自身复制，可以分为2类：①是通过触发而被激活的程序或程序
碎片。如逻辑炸弹、后门和僵尸；②包括程序段（病毒）或独立的程序（蠕虫），这些程序执行的时候产生自身的一个或多个副本，这些副本在合适的时机将在本系统或其他系统内被激活。

3.病毒
（1）定义：病毒是一种可以通过修改某些程序以达到感染其它程序的一段程序。
（2）病毒的四个阶段
休眠阶段，处于休眠，直至被触发
传播阶段，复制自身，传染其他
触发阶段，被特定事件所激活
执行阶段，条件成熟，发作破坏
（3）病毒的结构
病毒可以被放在可执行文件首部、尾部或以其他方式嵌入可执行文件中。病毒执行的关键是被感染的程序在被调用时,将首先执行病毒代码,之后才执行程序的源代码。
（4）病毒的逻辑、压缩过程：见书P257。
（5）病毒的分类：（详见书P258）
①按目标进行分类的病毒：引导扇区病毒、文件感染病毒、宏病毒、混合体病毒
②按隐藏策略进行分类的病毒：加密病毒、隐形飞机式病毒、多态病毒、变形病毒
（6）宏病毒与脚本病毒
·什么是宏一种嵌入到Word文档或其他类型文件中的可执行程序(脚本),典型的应用是用户使用宏自动完成一些重复性的工作,而不必再去重复进行键盘输入。
·宏病毒具有高危险性的原因：①宏病毒是平台无关的（所以很多硬件平台和操作系统都容易被感染）；②宏病毒感染的目标是文档；③宏病毒易于传播；④传统的文件访问控制系统在阻止病毒传播所起的作用有限。

4.蠕虫
（1）定义： 络蠕虫是一种可以自行复制，并通过 络连接将蠕虫副本从一台计算机发送到其他计算机的程序。（一旦进入计算机，蠕虫就会被激活并开始新的传播,并执行一些有害的功能。）
（2）蠕虫利用哪些 络媒介进行自身的复制strong>
电子邮件工具、文件共享、远程执行功能、远程文件访问或传输能力、远程登录能力
（3）蠕虫传播阶段执行以下功能
①通过检查主机列表或者类似的远程系统地址列表来寻找新的感染对象
②将其自身复制到远程系统上并开始执行副本。
（4）蠕虫传播模式：慢速开始阶段、快速传播阶段、慢速结束阶段。（详见书P262）

5.其他恶意软件
（1）恶意移动代码：恶意移动代码是指能够不变地植入各种不同平台,执行时有相同语义的软件(脚本、宏或者其他可移动指令)。
（2）客户端漏洞和挂马攻击：当用户浏览一个攻击者控制的 页时, 页包含的代码会攻击浏览器的漏洞,从而在用户不知晓并且没有用户许可的情况下下载恶意软件到该系统并安装。
（3）特洛伊木马(Trojan Horse)：是一种有用的,或者是表面上有用的程序或命令过程.它包含隐秘代码段，一旦被调用, 将会执行一些不想要或有害的功能。主要目的实现一些未授权用户无法直接完成的功能；另一个动机是破坏数据。
（4）逻辑炸弹：是嵌入到某些合法程序中的代码段，当遇到某些特定条件时,它便会”爆发”。
（5）后门：也称陷门(Trapdoor),是程序的秘密入口点，知情者可以绕开正常的安全访问机制而直接访问程序。

6.防护措施（详见书P272）
反病毒方法：检测、识别、清除
反病毒软件的发展：①第一代：简单扫描器 ②第二代：启发式扫描器
③第三代：活动陷阱 ④第四代：全功能防护
行为阻断软件、分布式蠕虫检测：见书P273
蠕虫防护措施：①基于签名的蠕虫扫描过滤
②基于过滤器的蠕虫防范
③基于有效载荷分类的蠕虫防范
④阈值随机漫步的扫描检测
⑤速率限制
⑥速率中断

7.分布式拒绝服务攻击
（1）拒绝服务（DoS）攻击：试图阻止某种服务的合法用户使用该服务。
DDoS攻击：试图消耗目标设备的资源，使其不能够提供服务。
DDoS攻击使得被淹没的服务器、 络甚至终端用户系统在无用流量的 络中无法与计算机系统取得联系，从而合法用户也无法获得这些资源的访问权限。
（2）按照所消耗的 络资源进行分类
①内部资源攻击：实例见书P277
②通过消耗数据传送资源进行攻击：实例见书P277
（3）按照攻击手段进行分类
①直接DDoS
②反射DDoS
（4）DDoS攻击角色
①黑客以及黑客亲自操作的主机（attacker）其作用是向主僵尸发送各种命令，包括攻击指令等。
②数量较少的主僵尸（Master Zombie）它会监听来自黑客的指令，并向 络上分布的各个守护进程
端发布攻击命令，使其真正开始攻击。
③为数众多的从僵尸（Slave Zombie）它会接收和响应来自主控端的命令，是真正实施攻击的前锋。
④受害者（Victim） 被攻击的目标主机
（5）DDoS的攻击方法和防范措施
攻击方法：攻击者使用僵尸软件感染大量机器，要求：可以执行DDoS攻击的软件；存在大量系统漏洞；定位存在漏洞机器的策略，一种方法称作扫描
DDoS的防范；攻击预防和先占；攻击检测和过滤；攻击源回溯和鉴定

第12章 防火墙

1.定义：防火墙是一种保护本地系统或者系统 络不受基于 络的安全威胁的有效方法，同
时支持通过广域 和互联 访问外部世界。

2.防火墙的设计目标（满足条件）
（1）所有入站和出站的 络流量都要经过防火墙。
（2）只有经过授权的 络流量，防火墙才允许通过。
（3）防火墙本身不能被攻破，必须建立在安全的操作系统之上。

3.防火墙的功能
（1）定义一个必经之点，把未授权的用户阻止在受保护的 络之外。
（2）提供监视安全相关事件的场所。（审计、 警）
（3）可以作为一个与安全性不相关的互联 功能的便利平台，如：地址转换功能、 络管理功能。
（4）可以作为IPSec平台。

4.防火墙的局限性
（1）有些攻击会绕开防火墙，防火墙对此无能为力。如：通过电话拨 上 可以绕开防火墙
（2）防火墙不能完全防止内部威胁。
（3）防火墙不能防止被病毒感染的程序，如：文件、邮件。

5.防火墙的类型
包过滤防火墙、状态检测防火墙、应用层 关、链路层 关

6.包过滤防火墙
（1）基本思想：对每个接收和发送的IP包应用一些规则，然后决定转发或者丢弃该包。
（2）如何过滤：过滤的规则以IP和传输层的头中域(字段)为基础，包括源和目标IP地址、源和目标端口 、 IP协议域和接口。
（3）默认策略：
·默认丢弃：没有明确准许的流量将被阻止（比较保守，根据需要，逐渐开放）
·默认转发：没有明确阻止的流量将被准许（管理员必须针对每一种新出现的攻击，制定新的规则）
（4）在 络层上进行监测，通常在路由器上实现。
优点：实现简单、对用户透明、效率高；
缺点：①正确制定规则不容易；②包过滤防火墙不检查上层数据，无法防范利用特定应用漏洞的攻击；③可用信息有限，提供的日志功能也十分有限；④不支持高级用户认证方案；⑤易受TCP/IP协议栈漏洞攻击，如IP地址欺骗；⑥对由于不恰当设置引起的安全威胁防范有限。
（5）针对包过滤防火墙的攻击及对策
·IP地址假冒，例如，假冒内部的IP地址（对策：在外部接口上禁止内部地址）
·源路由攻击，即由源指定路由（对策：丢弃所有使用该选项的包）
·细小帧攻击，利用IP分片功能把TCP头部切分到不同的分片中（对策：丢弃分片太小的分片）

7.状态检测防火墙
上查的资料：状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024 以上的端口，使得安全性得到进一步地提高。（/p>

8.应用层 关
（1）优缺点
优点：代理服务器工作于应用层，比包过滤技术更加安全，它对应用层数据有更多地了解，可以对每个特定的 络应用服务使用特定的数据安全策略；易于记录日志。
缺点：带来了额外的处理开销，导致牺牲一些系统性能。 对代理服务器的处理资源（处理器、内存等）要求较高。
（2）两个代理服务器的实现例子
·MSP – Microsoft Proxy Server/ISA (wingate)
·squid
关于代理服务器的 络资料：主要在应用层实现。当代理服务器收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。代理服务器在外部 络和内部 络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层 关。
代理服务器可对 络上任一层的数据包进行检查并经过身份认证，让符合安全规则的包通过，并丢弃其余的包。它允许通过的数据包由 关复制并传递，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
代理服务器型防火墙，则是利用代理服务器主机将外部 络和内部 络分开。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部的 卡一样，从而可以达到隐藏内部 络结构的作用。内部 络的主机，无需设置防火墙为 关，只需直接将需要服务的IP地址指向代理服务器主机，就可以获取Internet资源。
关于代理服务器和 关区别的 络资料：代理服务器和 关都会把 络内部的数据发送到因特 上。如果把 关比作一扇通向因特 的门，代理服务器就是一堵墙，能够避免暴露 络内部的一些重要信息。代理服务器会过滤一些 络连接，只允许那些可以访问的通过。而 关却不做任何的过滤。

9.链路层 关
本质上也是一种代理服务器。不允许点到点的TCP连接，而是由 关建立两个TCP连接。
实例：socks。

10.防火墙的载体
防火墙可以被安装在一台独立机器上运行流行的操作系统（linux，unix），也可以作为一个独立的模块在一个路由器或局域 交换机中实现。下面介绍一些其他的防火墙实现载体。
（1）堡垒主机(Bastion Host)：对外部 络暴露，同时也是内部 络用户的主要连接
点,可以充当应用层 关和链路层 关的平台。
（2）主机防火墙：用来保护个人主机的软件模块，可以对数据包进行过滤和限制，一般位于服务器中。（为什么用于保护个人主机，但是位置却在服务器中br> （3）个人防火墙：用于控制一边是个人计算机或工作站,而另一边是因特 或者企业 络之间的通信。基本功能是防止未经认证的远程接入计算机;还可以阻止蠕虫和病毒。

11.防火墙的位置和配置
（1）停火区 段：在内部防火墙和外部防火墙之间有一个或者多个 络设备，该区域被称为停火区 段。
（2）内部防火墙的作用：①与外部防火墙相比，内部防火墙过滤能力更严格,保护内部 络免于攻击；②内部防火墙提供了与DMZ相关的双向保护；③多个内部防火墙可以用来对内部 络各部分之间进行保护。
（3）虚拟专用 VPN：虚拟专用 VPN可以通过IPSec实现。执行IPSec的一种逻辑方法是在防火墙中。（建议再看，再扩充一下）
（4）分布式防火墙：分布式防火墙是包含在中心管理控制之下在一起工作的独立防火墙和主机防火墙。

12.防火墙的发展
·分布式防火墙
·应用层 关的进一步发展（认证机制、智能代理）
·与其他技术的集成
（比如NAT、VPN(IPSec)、IDS，以及一些认证和访问控制技术、防火墙自身的安全性和稳定性）

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22972 人正在系统学习中