网络上两台主机的通信过程
目标:
1:Tcp/ip 协议族中的每一层在实际工作中所扮演的角色。 2:数据流是怎么被封装成数据段、数据包、数据帧的。 3:数据流的封装和拆封装的顺序
4:数据段、数据包、数据帧的封装里加入了什么样的信息 5:网络设备如何根据这些信息处理数据包或者数据帧 6:网络上的主机如何区分不同的数据流
Tcp/ip 协议和OSI 协议的不同在于将会话层,表示层,应用层统一规范为应用层。
在同一网段和不同网段的通信过程 (1):在同一网段的通信过程 主机在应用层上的操作:
TCP/IP 协议上tcp 的端口对应的各种应用程序,如WWW 对应端口 80, DNS 对应端口 53. 客户机要访问某个应用程序就会要求打开主机的这个固定的端口。而客户机自己会打开一个大于1024的随机端口用来跟对方的主机进行通信。
这些大于1024的端口,我们称为动态窗口,可以自动或手动分配的 上面的图中可以看出,一个端口可以单一的标识一个会话。
一个单一的会话,实际上就是一个主机应用层之间的逻辑的软件连接。
主机在传输层的操作
1:对数据分段(Segment ),添加TCP 报头(包含源端口,目的端口,顺序号等) 分段的原因: (A ):可同时多个应用程序发送数据。 (B ):数据包过大产生错误时,还需重新传送,即占带快又占时间,小数据包对数据流影响就小很多。 (C ):各种网络传输介质有其最大的传输单元限制,不允许在网络上出现巨大的数据包。
主机在网络层的操作
当传输层为数据分段添加了TCP头之后,将数据下发给网络层处理。
网络层会为传输层传来的数据包添加IP报头(包含源IP地址,目的IP地址)封装成数据包
主机在数链路层的操作
数据链路层在数据包的前面封装上数据帧头,在数据包的后面封装上校验位,从而把数据包封装成数据帧。(添加源MAC地址和目的MAC地址)
主机对物理层的操作
将从逻辑链路层发送过来数据帧转换成能在物理线路上传输的电子信号,传递给网络上的转发设备交换机,由交换机进行处理。
交换机对数据帧的处理
交换机接收到数据流后根据发送过来的数据帧的MAC地址查找目的主机。如发现将数据发送给目的主机。转发过程不改变数据帧结构。
目的主机接收到数据帧的操作
当目的主机接收到数据帧后对比目的MAC,如是发送给自己的,则拆去数据帧头,发往网络层,网络层对比目的IP,如相同则拆包发往传输层,传输层再对比目的端口,确认相同则拆去数据段交给应用程进行数据组装。
位于不同网段上的两台主机之间的通信过程
1:主机A上的工作
由于主机A和主机B并不在同一个网段,主机A是不可能通过ARP解析到主机B的MAC地址的,同时,主机A也是一个没有路由能力的网络节点,所以主机A是不可能依靠自己的力量把数据发送到主机B上去的。
主机A必须依靠网络中的路由器将数据包路由到相应的目的网络。
主机A网络配置:
网关:谁为主机提供访问其他网段的可能,默认网关就填谁的IP地址。(路由器、代理服务器)
DNS:DNS提供目的地址的域名解析,如在局域网的不同网段内,可填本局域网内的DNS服务器。如果访问INTERNET外网的域名,则填写当地运营商的DNS服务器。
填写了默认网关之后,主机A通过ARP解析,就可以知道路由器A的E0接口的MAC地址。当主机要向主机B发送文件时,就可以通过路由器A将数据包发送到目的地。
例:主机A发送数据到其他网段的FTP服务器过程
应用层数据到传输层被分段,打上TCP头(含源端口,目的端口(21)),FTP默认端口为21再向下发给网络层,打上IP地址(含源IP,目的IP),再向下发送给数据链路层,打上数据帧(含源MAC,目的MAC),由于不知道目的MAC,则在MAC上打上于路由器E0接口的MAC 地址,发往路由器。
主机A的数据封装过程及添加信息
交换机B对数据不做修改传送FTP服务器B
FTP服务器接收到数据后对数据拆帧、包,TCP头,检查其目的地址与校验,重新整合这些数据流之后,将这个数据流传递给应用层的21端口处理。
FTP服务器B的数据封装过程及添加信息
浅谈海关多网络之间数据传输的安全性及系统实现 【内容提要】在当前海关内外网隔离的要求下,为了更好的贯彻服务企业,促进发展的方针,就必须和企业建立一条数据通道,方便企业传输数据或海关向企业传递海关信息,但这又与海关内网安全有一定抵触,本文介绍了一种软件实现办法,描述了如何有效,经济,安全的在内外网之间传输数据。在文章里,具体介绍了系统的整体结构和模块实现,并在加密算法和系统底层传输上提出了一些解决办法。在加密算法上,合理的采用多种成熟的算法,如desx,blowfish,对数据的加密能达到一个较安全的等级。在文章的最后,提出了安全不光要从软硬件上加以控制,更重要的是要从规范上,管理上加强控制。【关键词】网络安全网络隔离内外网数据传输加密算法 【作者简介】金剑锋男苏州海关技术处科员 在日新月异的今日世界中,信息技术无论在各行各业都已逐渐取得了重要地位,并且会越来越重要。随之而产生的安全问题也越来越需要引起人们足够的重视,病毒,黑客等诸方面的因素使得网络越来不安全。 Enterasys公司网络安全设计师Dick Bussiere认为:在电脑网络犯罪手段与网络安全防御技术道高一尺魔高一丈不断升级的形势下,网络攻击者和防御者都失去了技术方面的屏障,单依靠网络安全技术不可能非常有效。有统计数据表明,将近一半的防火墙被攻破过。而且,更多更新的攻击手段还会层出不穷。 海关为了应对这种情况,保持网络的纯洁度,采用了物理隔离的办法,该办法能有效的杜绝因特网上的诸种不安全的因素,较好的保持内网的安全性。 但是安全的含义是相对的,美国的一个安全权威机构曾经定义了一个所谓的“绝对安全”的例子—把硬盘封闭在抽成真空的金属箱子里,将箱子沉入不知名的海洋中。这样,硬盘上的信息就是绝对安全的了。但显然,此时硬盘上的数据是完全不可用的。安全之所以是永
网络工程“专业导论” 考试(课程论文)(题目对网络信息安全的认识)
摘要:该论文是我通过电子,网络的安全与效率,威胁网络的手段,网络信息安全的常用手段来阐述我对网络信息安全的认知。 关键词:安全电子Security and efficiency 1.安全电子解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子起到越来越重要的作用。 然而,电子作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子带来很多安全隐患: ?用户名和口令的弱点:传统的系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明 文传输容易被窃听等造成整个系统的安全性下降。 ?信息的XX性:内容包括很多商业或政府XX,必需保证内容的XX 性。然而,传统的系统是以明文的方式在网络上进行流通,很容易 被不怀好意的人非法窃听,造成损失;而且是以明文的方式存放在 服务器中的,管理员可以查看所有的,根本没有任何对XX性的保护。 ?信息的完整性:由于传统的发送模式,使得中的敏感信息和重要数
据在传输过程中有可能被恶意篡改,使得接受者不能收到完整的信 息而造成不必要的损失。 ?信息的不可抵赖性:由于传统的工作模式(用户名+口令、明文传输等),对没有任何的保护措施,使得发送和接受的双方都不能肯定 的真实性和XX完整性,同时双方都可以否认对的发送和接受,很难 在出现事故的时候追查某一方的责任。 针对普通存在的安全隐患,天威诚信电子商务服务XX(iTruschina)推出了基于PKI(Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供证书服务,为电子用户发放数字证书,用户使用数字证书发送加密和签名,来保证用户系统的安全: ?使用接收者的数字证书(公钥)对电子的内容和附件进行加密,加密只能由接收者持有的私钥才能解密,只有接收者才能阅读,确保 电子在传输的过程中不被他人阅读、截取和篡改; ?使用发送者的数字证书(私钥)对电子进行数字签名,接收者通过验证的数字签名以及签名者的证书,来验证是否被篡改,并判断发 送者的真实身份,确保电子的真实性和完整性,并防止发送者抵赖。 天威诚信安全电子解决方案考虑用户的使用习惯,提供两种不同的解决方案: ?在采用传统的客户端软件(如Outlook、Outlook Express、Netscape messenger和Notes等)收发电子时,客户端已经集成了安全的应用,
101规约报文分析与101规约_报文传输过程 ?平衡式和非平衡式传输 ?非平衡传输(Unbalanced tranmission) 主站采用顺序地查询(召唤)子站来控制数据传输,在这种情况下主站是请求站,它触发所有报文的传输,子站是从动站,只有当它们被查询(召唤)时才可能传输。 ?平衡传输(Balanced tranmission) 采用平衡传输,每一个站可能启动报文传输。因为这些站可以同时既作为启动站又可以作为从动站,它们被称为综合站。 初始化过程 ?控制站初始化 ?被控站初始化 ?被控站被远方初始化 过程 ?召唤链路状态 ?复位RTU ?召唤链路状态 ?召唤一级数据。 初始化过程报文分析: 1)当通信中断后,主站发“请求链路状态”,等待与子站建立通信联系 M->R :10 49 01 4A 16 M->R :10 49 01 4A 16 报文解析:请求链路状态,固定帧。
启动字符(1个字节):10; 控制域(1个字节):49(4:主->子站。FCB位无效,9:请求链路状态) 链路地址(1个字节):1 校验码(1个字节):4A 结束字符(1个字节):16 2)通信建立,开始初始化过程,共四个报文。 初始化过程-1 请求链路状态 M->R :10 49 01 4A 16 R->M :10 0B 01 0C 16 报文解析: 控制域(1个字节):49(4:主->子站。FCB位无效,9:请求链路状态) 0B(0:子->主站。FCB位无效,B:响应链路状态)初始化过程-2 复位远方链路 M->R :10 40 01 41 16 R->M :10 20 01 21 16 报文解析: 控制域(1个字节):40(4:主->子站FCB位无效,0:复位远方链路) 20(2:子->主站FCB位无效,ACD=1, 0:确认)初始化过程-3 请求1级数据 M->R :10 7A 01 7B 16 R->M :68 09 09 68 08 01 46 01 04 01 00 00 02 CRC 16 报文解析: 控制域(1个字节):7A(7:主->子站FCB位有效,A:召唤一级数据) 回答报文:有单字节报文,有子站初始化结束的可变帧报文,有无所回答的固定帧报文。?总召唤命令 初始化报文报文结束后进行全数据召唤命令。 全数据召唤后,子站需回答确认命令,然后等待主站召唤一级数据, 将全数据上传。
数据传输安全解决方案 传输安全解决方案 (1) 一.总体框架 (2) 二.安全需求 (3) 2.1 应用集成和政务集成中的安全需求 (3) 2.2 OA 产品的安全需求 (4) 1.安全电子邮件 (4) 2.电子签章 (5) 3.数字水印 (5) 4.防拷屏 (5) 5.安全加密文档 (5) 2.3方案中解决的安全问题和需求 (6) 三 PKI 方案 (7) 3.1 PKI 简介 (7) (1) 提供用户身份合法性验证机制 (7) (2) 保证敏感数据通过公用网络传输时的保密性 (8) (3) 保证数据完整性 (8) (4) 提供不可否认性支持 (8) 3.2 非对称密钥加密技术简介 (8) 3.3 PKI 的组成部分 (9) 3.3.1 认证和注册审核机构(CA/RA) (10) 3.3.2 密钥管理中心 (11) 3.3.3 安全中间件 (12) 四. PMI 部分 (13) 4.1 什么是PMI (13) 4.2 为什么需要PMI (14) 4.3 PMI 发展的几个阶段 (15) 4.4 PMI 的安全体系模型 (16) 二十一世纪是信息化世纪,随着网络技术的发展,特别是Internet 的全球化,信息共享的程度进一步提高。数字信息越来越深入的影响着社会生活的各个方面,各种基于互联网技术的网上应用,如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性,网上的所有信息对所有人都是公开的,所以网络上的信息安全问题也日益突出。目前政府部门、金融部门、企事业单位和个人都日益重视这一重要问题。如何保护信息安全和网络安全,最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。 网络的飞速发展推动社会的发展,大批用户借助网络极大地提高了工作效率,创
一、信息、信息安全、Syber 1、信息 (1)定义:指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。 (2)信息的特点: a:消息x发生的概率P(x)越大,信息量越小;反之,发生的概率越小,信息量就越大。可见,信息量(我们用I来表示)和消息发生的概率是相反的关系。 b:当概率为1时,百分百发生的事,地球人都知道,所以信息量为0。 c:当一个消息是由多个独立的小消息组成时,那么这个消息所含信息量应等于各小消息所含信息量的和。 2、信息安全:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受 破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。(5个基本属性见P1) (1)为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。 最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。 分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。 在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 3、CyberSpace(网络空间,赛博空间) (1)赛博空间是指以计算机技术、现代通讯网络技术,甚至还包括虚拟现实技术等信息技术的综合运用为基础,以知识和信息为内容的新型空间,这是人类用知识创造的人工世界,一种用于知识交流的虚拟空间。 网络空间需要计算机基础设施和通信线路来实现。换句话说,它是在计算机上运行的。然而计算机内所包含什么样的信息才是其真正的意义所在,并且以此作为网络空间价值的衡量标准。信息具有如下重要特点:一是信息以电子形式存在;二是计算机能对这些信息进行处理(如存储、搜索、索引、加工等)。 (2)赛博空间对人类知识传播的影响:知识的传播由口述、书面、广播、电视变为赛博媒体,即网络化、虚拟化的媒体,构成了赛博空间中知识传播和交流的基本工具。 (3)网络电磁空间作为人类开辟的第五维空间,其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。 (4)站长就是网站的管理员,有着运营整个网站的权限与技术能力。站长眼中的网络空间其实就是虚拟主机。虚拟主机是使用特殊的软硬件技术,把一台真实的物理电脑主机分割成多个的逻辑存储单元,每个单元都没有物理实体,但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作,具有单独的域名、IP地址(或共享的IP地址)以及完整的Internet
《信息安全技术物联网数据传输安全技术要求》 国家标准编制说明 一、工作简况 1.1任务来源 物联网被认为是下一代IT潮流,设备将能够通过网络传输客户和产品数据。汽车、冰箱和其他设备连接物联网后,都可以产生并传输数据,指导公司的产品销售和创新。同时,消费者也可以使用连接物联网的设备收集自己的信息,比如现在的智能手环可以收集每天走多少步,心跳次数和睡眠质量等数据。 目前,物联网领域标准不一,让物联网市场碎片化。例如智能家居系统使用一套标准,医疗健康系统优势一套标准,甚至同样的领域,厂商的软件也指支持自己的设备。没有厂商愿意生产支持所有设备的通用程序,因此,集成数据和创建无缝的客户体验就成了难题。特别地,物联网安全标准的缺乏也让用户担心不同的设备如何保护客户数据的隐私和安全。隐私和安全是市场的敏感区域,如果物联网不能够保护好数据,很可能陷入危险的境地。” 有鉴于此,为了推进物联网产业在中国快速、健康的发展,2014年12月,全国信息安全标准化技术委员会将“信息安全技术物联网数据传输安全技术要求”课题下达给北京工业大学。 本标准工作组由北京工业大学、中国电子技术标准化研究院、中央财经大学、公安部第三研究所、中国科学院软件研究所、北京邮电大学、西安电子科技大学、无锡物联网产业研究院等组成。 本项目最终成果为:《信息安全技术物联网数据传输安全技术要求》国家标准。 1.2主要工作过程 主要工作过程如下: 1)2015年3-4月,课题组结合各参与单位的意见和实际系统的安全测评,进行任务研究分工,研究国内外相关标准内容,结合实际情况和各成员返回意见对标准草案编制方案进行了初步规划。 2)2015年5月,明确标准研制思路,项目组编制标准草案。 3)2015年6月,组织了标准草案研讨会,讨论已制定内容,根据研讨会各
?网络是如何传输数据的? 互联?网络重要的特性是能由采?用完全不不同和不不兼容技术的各种局域?网和?广域?网组成。如何让某台源主机跨过所有这些不不兼容的?网络发送数据到另?一台?目标主机呢? 解决办法是?一层运?行行在每台主机和路路由器?上的协议软件,这个软件实现?一种协议,这种协议控制主机和路路由器?协同?工作来实现数据传输,从?而消除不不同?网络之间的差异。这种协议必须提供两种基本能?力力: 命名机制。不不同局域?网技术有不不同和不不兼容的?方式来为主机分配地址,互联?网络协议通过定义?一种?一致的主机地址格式消除了了这些差异,每台主机会被分配?至少?一个这种互联?网络地址(Internet address),这个地址唯?一标识了了这台主机。 传送机制。在电缆上编码位和将这些位封装成帧?方?面,不不同的联?网技术有不不同的和不不兼容的?方式,互联?网络协议通过定义?一种把数据位捆扎成不不连续的?片(包)的统?一?方式,消除了了这些差异。?一个包由包头和有效载荷组成,其中包头包括包的?大?小以及源主机和?目标主机的地址,有效载荷包括从源主机发出的数据位。
上图展示了了主机和路路由器?如何使?用互联?网络协议在不不兼容的局域?网间传送数据的?一个示例例。这个互联?网络示例例由两个局域?网通过?一台路路由器?连接?而成,?一个客户端运?行行在主机A上,主机A与LAN1相连,它发送?一串串数据字节到运?行行在主机B上的服务器?端,主机B连接在LAN2上。这个过程有8个基本步骤: 1. 运?行行在主机A上的客户端进?行行?一个系统调?用,从客户端的虚拟地址空 间复制数据到内核缓冲区中; 3. 主机A上的协议软件通过在数据前附加互联?网络包头和LAN1帧头,创 建了了?一个LAN1的帧。互联?网络包头寻址到互联?网络主机B,LAN1帧头寻址到路路由器?,然后它传送此帧到适配器?。注意LAN1帧的有效载荷是?一个互联?网络包,?而互联?网络包的有效载荷是实际的?用户数据,这种封装是基本的?网络互连?方法之?一; 4. LAN1适配器?复制该帧到?网络上; 5. 当此帧到达路路由器?时,路路由器?的LAN1适配器?从电缆上读取它,并把 它传送到协议软件; 6. 路路由器?从互联?网络包头中提取出?目标互联?网络地址,并?用它作为路路由 表的索引,确定向哪?里里转发这个包,本例例中是LAN2。路路由器?剥落旧的LAN1的帧头,加上寻址到主机B的新的LAN2帧头,并把得到的帧传送到适配器?; 7. 路路由器?的LAN2适配器?复制该帧到?网络上; 8. 此帧到达主机B时,它的适配器?从电缆上读到此帧,并将它传送到协 议软件; 9. 最后主机B上的协议软件剥落包头和帧头。当服务器?进?行行?一个读取这 些数据的系统调?用时,协议软件最终将得到的数据复制到服务器?的虚拟地址空间。 全球IP因特?网 全球IP因特?网是最著名和最成功的互联?网络实现。从1969年年开始出现,因特?网内部体系结构不不断发展变化。但从20世纪80年年代早期开始,客户端-服务器?应?用的组织就?一直保持着相当的稳定。
《网络安全与管理》试题一 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是( D ) A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为 密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:( A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是:( A ) A.对信息源发方进行身份验证
第一章 一、填空题 1.信息安全有三大要素,分别是保密性、完整性、可用性。 2.信息的完整性包括两方面,分别是确保信息在存储、使用、传输过程中不会被非授权用户篡改和防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。 3.网络安全防护体系的技术支撑手段主要包括评估、防护、检测、恢复、响应。 4.网络安全防护体系的核心是安全技术。 5.美国橘皮书(TCSEC)分为7 个等级,它们是D、C1、C2、B1、B2、B3 和A1 级。 6.我国现行的信息网络法律体系框架分为4个层面,它们是一般性法律规定、规范和惩罚网络犯罪的法律、直接针对计算机信息网络安全的特别规定和具体规范信息网络安全技术、信息网络安全管理等方面的规定。 二、简答题 1.什么是信息安全?它和计算机安全有什么区别? 信息安全是确保存储或传送中的数据不被他人有意或无意地窃取和破坏。 区别:信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其他的形式。 2.什么是网络安全?网络中存在哪些安全威胁? 网络安全是指网络系统的硬件、软件及其系统中的数据收到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 威胁:非授权访问、泄露或丢失信息、破坏数据的完整性、拒绝服务攻击、利用网络传播病毒。 3.网络安全的防护体系包括哪些部分?分别有什么功能? 包含4个部分:安全政策、安全管理、安全技术、法律法规。安全政策是中心,安全管理是落实的关键,安全技术是实现网络安全防范的技术手段和支撑,国家法律法规是后盾。第二章 一、填空题 1.共享文件夹的权限有读取、更改和完全控制。 2.推荐Windows Server 2008操作系统安装在NTFC 文件系统下。 3.Administrator账户和Guest账户是Windows Server 2008的内置用户账户。 第三章
第一章网络安全综述 1.什么是网络安全 答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。 美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。 2.网络安全包括哪些内容 答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏 2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理 3)操作系统安全4)联网安全 3.网络安全面临的威胁主要来自哪几方面 答: 1)物理威胁(1)身份识别错误。(2)偷窃。(3)间谍行为。(4)废物搜寻。 2)系统漏洞造成的威胁(1)不安全服务。(2)乘虚而入。(3)配置和初始化。 3)身份鉴别威胁(1)编辑口令。(2)口令破解。(3)口令圈套。(4)算法考虑不周。 4)线缆连接威胁(1)拨号进入。(2)窃听。(3)冒名顶替。 5)有害程序(1)病毒。(2)更新或下载。(3)特洛伊木马。(4)代码炸弹。 4.在网络安全中,什么是被动攻击什么是主动攻击 答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。被动攻击分为两种,分别是析出消息内容和通信量分析。 被动攻击非常难以检测,因为它们并不会导致数据有任何改变。然而,防止这些攻击是可能的。因此,对付被动攻击的重点是防止而不是检测。 攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。 5.简述访问控制策略的内容。 答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面分别叙述各种访问控制策略。 1)入网访问控制 2)网络的权限控制 3)目录级安全控制 4)属性安全控制 5)网络服务器安全控制 6)网络监测和锁定控制 7)网络端口和节点的安全控制 8)防火墙控制(1)包过滤防火墙(2)代理防火墙(3)双穴主机防火墙
TCP/IP协议栈与数据包封装 TCP/IP网络协议栈分为应用层(Application)、传输层(Transport)、网络层(Network)和链路层(Link)四层。如下图所示(该图出自)。 图36.1. TCP/IP协议栈 两台计算机通过TCP/IP协议通讯的过程如下所示(该图出自)。 图36.2. TCP/IP通讯过程 传输层及其以下的机制由内核提供,应用层由用户进程提供(后面将介绍如何使用socket API编写应用程序),应用程序对通讯数据的含义进行解释,而传输层及其以下处理通讯的细节,将数据从一台计算机通过一定的路径发送到另一台计算机。应用层数据通过协议栈发到网络上时,每层协议都要加上一个数据首部(header),称为封装(Encapsulation),如下图所示(该图出自)。 图36.3. TCP/IP数据包的封装
不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。 上图对应两台计算机在同一网段中的情况,如果两台计算机在不同的网段中,那么数据从一台计算机到另一台计算机传输过程中要经过一个或多个路由器,如下图所示(该图出自)。 图36.4. 跨路由器通讯过程
其实在链路层之下还有物理层,指的是电信号的传递方式,比如现在以太网通用的网线(双绞线)、早期以太网采用的的同轴电缆(现在主要用于有线电视)、光纤等都属于物理层的概念。物理层的能力决定了最大传输速率、传输距离、抗干扰性等。集线器(Hub)是工作在物理层的网络设备,用于双绞线的连接和信号中继(将已衰减的信号再次放大使之传得更远)。 链路层有以太网、令牌环网等标准,链路层负责网卡设备的驱动、帧同步(就是说从网线上检测到什么信号算作新帧的开始)、冲突检测(如果检测到冲突就自动重发)、数据差错校验等工作。交换机是工作在链路层的网络设备,可以在不同的链路层网络之间转发数据帧(比如十兆以太网和百兆以太网之间、以太网和令牌环网之间),由于不同链路层的帧格式不同,交换机要将进来的数据包拆掉链路层首部重新封装之后再转发。 网络层的IP协议是构成Internet的基础。Internet上的主机通过IP地址来标识,Internet 上有大量路由器负责根据IP地址选择合适的路径转发数据包,数据包从Internet上的源主机到目的主机往往要经过十多个路由器。路由器是工作在第三层的网络设备,同时兼有交换机的功能,可以在不同的链路层接口之间转发数据包,因此路由器需要将进来的数据包拆掉网络层和链路层两层首部并重新封装。IP协议不保证传输的可靠性,数据包在传输过程中可能丢失,可靠性可以在上层协议或应用程序中提供支持。 网络层负责点到点(point-to-point)的传输(这里的“点”指主机或路由器),而传输层负责端到端(end-to-end)的传输(这里的“端”指源主机和目的主机)。传输层可选择TCP或UDP协议。TCP是一种面向连接的、可靠的协议,有点像打电话,双方拿起电话互通身份之后就建立了连接,然后说话就行了,这边说的话那边保证听得到,并且是按说话的顺序听到的,说完话挂机断开连接。也就是说TCP传输的双方需要首先建立连接,之后由TCP协议保证数据收发的可靠性,丢失的数据包自动重发,上层应用程序收到的总是可靠的数据流,通讯之后关闭连接。UDP协议不面向连接,也不保证可靠性,有点像寄信,写好信放到邮
第一章 一、选择题 1.下面说法正确的是C 。 A. “传输速率”就是通常所说的“传输带宽” B. “传输速率”是指信道中所能承受的最大带宽 C. “传输带宽”就是信道中所能承受的最大“传输速率” D. 以上说法均不正确 2.数据传输,需要建立一个数据通信系统,它一般包括信源、发送器、(1)C_、接收器和信宿。当采用 卫星进行通信时,数据一般被变换成(2)B_。为了增大模拟传输系统的传输距离,应采用的设备是 (3)B_。现在在模拟电话网上利用调制解调器传输数据往往采用幅度和相位两个参数进行调制,这种调 制方式称为(4)D_。 3.下列说法正确的是D 。 A. 串行传输方式比并行传输方式的效率高 B. 并行传输方式比串行传输方式的效率高 C. 在串行传输中,比特位的传输是随机的 D. 以上说法均不正确 4.下图为曼彻斯特编码,表示的数据为(1)A_,使用这种编码的网络是(2)C_。如果该编码波形的最 高和最低电平分别为+5V、-5V,其直流分量是(3)D_V。 (1)A. 10100 B. 01110 C. 10101 D. 00011 (2)A. 广域网 B. 城域网 C. 局域网 (3)A. 5 B. -5 C. 2.5 D. 0 5.在一个带宽为3 kHz、没有噪声的信道传输二进制信号时,该信道能够达到的最高码元传输速率为 (1)B baud。一个带宽为3 kHz、信噪比为30 dB的信道,能够达到的极限信息传输速率为(2)B_b/s。 上述结果表明,(3)D_。 (1)A. 3K B. 6K C. 56K D. 10M (2)A. 12K B. 31K C. 56K D. 10M (3)A. 有噪声信道比无噪声信道具有更大的带宽 B. 有噪声信道比无噪声信道可达到更高的极限数据传输率 C. 有噪声信道与无噪声信道没有可比性 D. 上述问题的单位不同,数据不能进行直接的比较 6.4B/5B编码是将数字数据转换为数字信号的编码方式,其原理是(1)_B位编码表示(2)A_位数据。 该编码是(3)D_采用的编码方法,编码效率是(4)C_,相对于曼彻斯特编码,效率提高了(5)B_。 (1)A. 4 B. 5 C. 8 D. 10 (2)A. 4 B. 5 C. 8 D. 10 (3)A. 100 Mb/s以太网 B. 100Base-T4以太网 C. 1000 Mb/s以太网 D. FDDI (4)A. 50% B. 60% C. 75% D. 80% (5)A. 30% B. 50% C. 60% D. 80% 7.单模光纤通常所使用的光信号波长为C 。 A. 1.31μm B. 1.55μm C. 10μm D. 62.5μm 二、填空题 1.设置物理层就是要屏蔽传输介质、设备和通信技术的差异性,物理层主要功能就是物理连接
网络传输过程中三种安全机制综述 随着TCP/IP协议群在互联网上的广泛采用,信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网信息和数据的安全,要大力发展基于信息网络的安全技术。 信息与网络安全技术的目标 由于互联网的开放性、连通性和自由性,用户在享受各类共有信息资源的同事,也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。具体要达到:保密性、完整性、可用性、可控性等目标。 网络安全体系结构 国际标准化组织(ISO)在开放系统互联参考模型(OSI/RM)的基础上,于1989年制定了在OSI环境下解决网络安全的规则:安全体系结构。它扩充了基本参考模型,加入了安全问题的各个方面,为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。OSI安全体系包含七个层次:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有: 1、加密机制 衡量一个加密技术的可靠性,主要取决于解密过程的难度,而这取决于密钥的长度和算法。 1)对称密钥加密体制对称密钥加密技术使用相同的密钥对数据进行加密和解密,发送者和接收者用相同的密钥。对称密钥加密技术的典型算法是DES(Data Encryption Standard 数据加密标准)。DES的密钥长度为56bit,其加密算法是公开的,其保密性仅取决于对密钥的保密。优点是:加密处理简单,加密解密速度快。缺点是:密钥管理困难。 2)非对称密钥加密体制非对称密钥加密系统,又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。 (1)非对称加密系统的关键是寻找对应的公钥和私钥,并运用某种数学方法使得加密过程成为一个不可逆过程,即用公钥加密的信息只能用与该公钥配对的私钥才能解密;反之亦然。 (2)非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律,其安全性是基于大数分解的困难性。 优点:(1)解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;(2)由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;(3)具有很高的加密强度。 缺点:加密、解密的速度较慢。
1.简述网络安全的含义。 答:通过各种计算机、网络、密码技术和信息安全技术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。 2.网络安全的目标有哪些。 答:机密性,完整性,可用性,抗否认性,可控性,真实性 3.简述网络安全的研究内容有哪些。 答:基础技术研究,防御技术研究,攻击技术研究,安全控制技术和安全体系研究。其中 基础技术研究包括密码技术研究,数字签名研究,消息认证研究,身份鉴别研究,访问控制研究和研究;防御技术研究则包括防火墙技术,技术,入侵检测技术和信息隐藏技术;攻击技术研究包括病毒攻击技术,诱骗技术,木马技术;另外还包括安全目标,安全标准,安全策略,安全控制,安全测评和安全工程等研究。 4.常见网络存在的安全威胁有哪些?请简要回答。 答:计算机病毒,拒绝服务攻击,内部、外部泄密,蠕虫,逻辑炸弹,信息丢失,篡改、催毁,特洛伊木马,黑客攻击, 后门、隐蔽通道等。 5.简述网络安全威胁存在的原因。 答:①网络建设之初忽略了安全问题②协议和软件设计本身的缺陷③操作系统本身及其配置的安全性④没有集中的 管理机构和统一的政策⑤应用服务的访问控制、安全设
计存在的漏洞⑥安全产品配置的安全性⑦来自内部网 用户的安全威胁⑧网络病毒和电子邮件病毒。 6.简述密码学的发展阶段。 答:密码学的发展可以分为两个阶段。第一个阶段是计算机出现之前的四千年,这是传统密码学阶段,基本上靠人工对消 息加密、传输和放破译。第二阶段是计算机密码学阶段, 包括以下两方面:传统方法的计算机密码学阶段;计算机 密码学阶段。 7.常见的密码分析攻击类型有哪些? 答:①唯密文攻击②已知明文攻击③选择明文攻击④自适应选择明文攻击⑤选择密文攻击⑥选择密钥攻击⑦软磨 硬泡攻击。 8.简述端一端加密与链路加密和节点加密相加其所不具有的优 点。 答;①成本低②端一端加密比链路加密更安全③端一端加密可以由用户提供,因此对用户来说这种加密方式比较灵活 ④端一端加密所需的密钥数量远大于链路加密。 9公钥密码体制的优点有哪些? 答:①数学表达式简单,在公钥密码体制中是最容易理解和实现的一个。②的安全性基于大数分解的困难性。③公钥密码 体制具有一些传统密码体制不能实现的一些功能,如认 证、鉴别和数字签名等,特别适合于现代密码通信。
一: 1.信息安全根源:①网络协议的开放性,共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。 2.网络信息系统的资源:①人:决策、使用、管理者②应用:业务逻辑组件及界面组件组成③支撑:为开发应用组件而提供技术上支撑的资源。 3.信息安全的任务:网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用;信息安全的任务是保障信息在存储、传输、处理等过程中的安全,具体有机密性、完整性、不可抵赖性、可用性。 4.网络安全防范体系层次:物理层、系统层、网络层、应用层、管理层安全 5.常见的信息安全技术:密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。 二: 1.简述对称加密和公钥加密的基本原理: 所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密,或虽不相同,但可由其中任意一个很容易推出另一个;公钥加密使用使用一对唯一性密钥,一为公钥一为私钥,不能从加密密钥推出解密密钥。常用的对称加密有:DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有:RSA、Diffie-Hellman密钥交换、ElGamal 2.凯撒密码:每一个明文字符都由其右第三个字符代替 RSA:①选两个大素数pq②计算n=pq和ψ(n)=(p-1)(q-1)③随机取加密密钥e,使e和ψ(n)互素④计算解密密钥d,以满足ed=1modψ(n)⑤加密函数E(x)=m e mod n,解密函数D(x)=c d mod n,m是明文,c使密文⑥{e,n}为公开密钥,d为私人密钥,n一般大于等于1024位。 D-H密钥交换:①A和B定义大素数p及本源根a②A产生一个随机数x,计算X=a x mod p,并发送给B③B产生y,计算Y=a y mod p,并发送给A④A计算k=Y x mod p⑤B计算k’=X y mod p⑥k,k’即为私密密钥 三: 1.PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱动。 2.PKI组件(p24):认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。 3.PKI核心服务(p26):①认证:向一个实体确认另一个实体确实就是用户自己②完整性:向一个实体确保数据没有被有意或无意地修改③机密性:向一个实体确保除了接受者,无人能读懂数据的关键部分。 4.PKI的支撑服务(p27):安全通信、安全时间戳、公证、不可否认、特权管理。 5.密匙和证书管理阶段(p34):①初始化阶段:终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段:证书检索、证书验证、密匙恢复、密匙更新③取消阶段:证书过期、证书撤消、密匙历
网络中数据传输过程的分析 我们每天都在使用互联网,我们电脑上的数据是怎么样通过互联网传输到到另外的一台电脑上的呢?把自己的理解写一下,可能有很多细节还没有能的很清楚!希望在以后可以使之更加的完善!有不对的地方还请指正. 我们知道现在的互联网中使用的TCP/IP协议是基于,OSI(开放系统互联)的七层参考模型的,(虽然不是完全符合)从上到下分别为应用层表示层会话层传输层网络层数据链路层和物理层。其中数据链路层又可是分为两个子层分别为逻辑链路控制层(Logic Link Control,LLC )和介质访问控制层((Media Access Control,MAC )也就是平常说的MAC层。LLC对两个节点中的链路进行初始化,防止连接中断,保持可靠的通信。MAC层用来检验包含在每个桢中的地址信息。在下面会分析到。还要明白一点路由器是在网路层的,而网卡在数据链路层。 我们知道,ARP(Address Resolution Protocol,地址转换协议)被当作底层协议,用于IP地址到物理地址的转换。在以太网中,所有对IP的访问最终都转化为对网卡MAC地址的访问。如果主机A的ARP列表中,到主机B的IP地址与MAC地址对应不正确,由A发往B数据包就会发向错误的MAC地址,当然无法顺利到达B,结果是A与B根本不能进行通信。 首先我们分析一下在同一个网段的情况。假设有两台电脑分别命名为A和B,A需要相B发送数据的话,A主机首先把目标设备B的IP地址与自己的子网掩码进行“与”操作,以判断目标设备与自己是否位于同一网段内。如果目标设备在同一网段内,并且A没有获得与目标设备B的IP地址相对应的MAC地址信息,则源设备(A)以第二层广播的形式(目标MAC地址为全1)发送ARP请求报文,在ARP请求报文中包含了源设备(A)与目标设备(B)的IP地址。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文,如果某设备发现报文中的目标IP地址与自己的IP地址相同,则它向源设备发回ARP响应报文,通过该报文使源设备获得目标设备的MAC地址信息。为了减少广播量,网络设备通过ARP表在缓存中保存IP与MAC地址的映射信息。在一次ARP 的请求与响应过程中,通信双方都把对方的MAC地址与IP地址的对应关系保存在各自的ARP表中,以在后续的通信中使用。ARP表使用老化机制,删除在一段时间内没有使用过的IP与MAC地址的映射关系。一个最基本的网络拓扑结构:
选择题 部分: 第一章: (1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A.保密性 (2)网络安全的实质和关键是保护网络的安全。C.信息 (3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。D.网络的系统安全 (4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。C.可用性 (5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。B.非授权访问 (6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。A.信息安全学科 (7)实体安全包括。B.环境安全、设备安全和媒体安全 (8)在网络安全中,常用的关键技术可以归纳为三大类。D.预防保护、检测跟踪、响应恢复 第二章: (1)加密安全机制提供了数据的______.D.保密性和完整性 (2)SSI.协议是______之间实现加密传输协议。A.传输层和应用层 (3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。B.非对称对称 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B.数据保密性服务 (5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。D.数据保密性及以上各项 (6)VPN的实现技术包括。D.身份认证及以上技术 第三章: (1)网络安全保障包括信息安全策略和。D.上述三点 (2)网络安全保障体系框架的外围是。D.上述三点 (3)名字服务、事务服务、时间服务和安全性服务是提供的服务。C.CORBA网络安全管理技术 (4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。A.持续改进模式的信息安全运作模式 (5)我国网络安全立法体系框架分为。B.法律、行政法规和地方性法规、规章、规范性文档 (6)网络安全管理规范是为保障实现信息安全政策的各项目标制定的一系列管理规定和规程,具有。C.强制效力 第四章: (1)在黑客攻击技术中,是黑客发现获得主机信息的一种最佳途径。A.端口扫描 (2)一般情况下,大多数监听工具不能够分析的协议是。D.IPX和DECNet (3)改变路由信息,修改Windows NT注册表等行为属于拒绝服务攻击的方式。C.服务利用型