通信網(wǎng)絡(luò)安全與保密(大作業(yè)答案)new

1、一、 什么是計算機病毒？簡單說明病毒的幾種分類方法？計算機病毒的基本特征是什么？答：（1）計算機病毒（Computer Virus）：是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，具有破壞性，復(fù)制性和傳染性。（2）按計算機病毒破壞性產(chǎn)生的后果分類：a、良性病毒：指那些只是只占用CPU資源或干擾系統(tǒng)工作的計算機病毒；b、惡性病毒：指病毒制造者在主觀上故意要對被感染的計算機實施破壞，這類病毒一旦發(fā)作，使系統(tǒng)處于癱瘓狀態(tài)。 按計算機病毒的寄生方式分類：a、系統(tǒng)引導(dǎo)型病毒，也被稱為操作系統(tǒng)型病毒，當系統(tǒng)引導(dǎo)時，病毒程序?qū)ν鈧鞑ゲ?/p>

2、毒，并在一定條件下發(fā)作，實施破壞。b、文件型病毒，也叫外殼型病毒，是將自身嵌入到系統(tǒng)可執(zhí)行文件之中，運行可執(zhí)行文件時，病毒程序獲得對系統(tǒng)的控制權(quán)，再按同樣的方式將病毒程序傳染到其它執(zhí)行的文件中。按廣義的計算機概念可以分為：a、蠕蟲：是一種短小的程序，常駐于一臺或多臺機器中，并有重定位的能力。b、邏輯炸彈：當滿足某些觸發(fā)條件時就會發(fā)作引起破壞的程序。c、特洛伊木馬：通常由遠程計算機通過網(wǎng)絡(luò)控制本地計算機的程序，為遠程攻擊提供服務(wù)。d、陷門：由程序開發(fā)者有意安排。e、細菌：可不斷在系統(tǒng)上復(fù)制自己，以占據(jù)計算機系統(tǒng)存儲器。（3）計算機病毒的特征：a、隱蔽性，指它隱藏于計算機系統(tǒng)中，不容易被人發(fā)現(xiàn)的特

3、性；b、傳染性，指病毒將自身復(fù)制到其它程序或系統(tǒng)的特性；c、潛伏性，指病毒具有依附于其它介質(zhì)而寄生的特性。d、可觸發(fā)性，指只有達以設(shè)定條件，病毒 才開始傳染或者表現(xiàn)的特性。e、表現(xiàn)性或破壞性，表現(xiàn)性是指當病毒觸發(fā)條件滿足時，病毒在受感染的計算機上開始發(fā)作，表現(xiàn)基特定的行為，而這種行為如果是惡意的，以毀壞數(shù)據(jù)、干擾系統(tǒng)為目的，則這種表現(xiàn)性就是一種破壞性。二、什么是對稱密碼算法？什么是非對稱密碼算法？二者各有什么優(yōu)缺點？答：（1）對稱密碼算法：在對稱密鑰算法中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。算法無需保密，只保密密鑰，算法可通過低費用的芯片來實現(xiàn)，密鑰可由發(fā)信方產(chǎn)

4、生，然后再經(jīng)過一個安全可靠的途徑送至收信方，或由第三方產(chǎn)生后，安全可靠的分配給通信雙方。如DES及其各種變形。密碼體制分類，加密分兩種方式：流密碼和分組密碼。流密碼：明文信息按字符逐位加密。分組密碼：將明文信息分組，按組進行加密。（2）非對稱密碼算法：非對稱密鑰算法中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。每個用戶都有一對選定的密鑰，一個是可以公開的，像電話號碼一樣進行注冊，一個則是秘密的，因此也叫公開密鑰體制。主要特點是將加密和解密分開，可實現(xiàn)多個用戶加密的消息只能由一個用戶解讀，或一個用戶加密多個用戶解讀，前者可用于在公共網(wǎng)絡(luò)中實現(xiàn)保密通信，后者可用于實

5、現(xiàn)對用戶的認證。如RSA算法、背包密碼等。是現(xiàn)在密碼學(xué)最重要的發(fā)明和進展，可以對信息的身份進行驗證，。（3）二者的優(yōu)缺點：對稱密碼算法：優(yōu)點：加密算法比較簡便、高效、密鑰簡短，破譯極其困難，不僅可用于數(shù)據(jù)加密，還可用于消息加密。缺點：其密鑰必須通過安全的途徑傳送，使密鑰的管理成為影響系統(tǒng)安全的重要因素。非對稱密碼算法：優(yōu)點：適應(yīng)網(wǎng)絡(luò)的開放性，密鑰管理簡單，可方便的實現(xiàn)數(shù)字簽名和驗證。缺點：算法復(fù)雜，加密速度慢。三、計算機安全服務(wù)有那些類？簡述各種安全服務(wù)的基本原理。答：1、計算機安全服務(wù)的分類：通信網(wǎng)絡(luò)系統(tǒng)中，系統(tǒng)所具有的安全防護措施叫做網(wǎng)絡(luò)安全服務(wù)，簡稱安全服務(wù)，它涉及通信網(wǎng)之間、網(wǎng)絡(luò)與計算

6、機之間、計算機與計算機之間的通信和連接過程中可能面臨的安全威脅，以及可以采取的安全技術(shù)和可以實施工安全措施，包括認證服務(wù)、訪問控制服務(wù)、機密性服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認性服務(wù)。2、各種安全服務(wù)的基本原理（1）認證：a、申請者與驗證者：認證提供了實體聲稱其身份的保證；申請者用來描述被認證的主體，驗證者用于描述代表要求認證身份的實體；b、身份：在通信網(wǎng)絡(luò)系統(tǒng)中，實體的身份是用標識符來描述的。好PIN，IC卡，指紋等；c、主體：身份所代表的實體稱為主體，主體是一個具有實際屬性的東本。（2）訪問控制的基本原理：a、訪問控制模型：包括主體、客體、實施功能模塊和決策功能模塊；b、訪問控制要素：包括建立

7、訪問控制策略的表達工、信息表達式、分配訪問控制信息元素等。活動分為操作活動和管理活動；c、訪問控制控制模塊：為了做出決策，需要給訪問決策功能提供訪問請求以及三種訪問控制決策信息，包括：發(fā)起者訪問決策信息，目標訪問決策信息，訪問請求決策信息。訪問控制功能的其他輸入是其他訪問制制決策規(guī)則和用于解釋訪問決策信息或策略的必要上下文信息。d、訪問控制組件的分布：包括（a）目標上使用訪問控制組件，（b）在本地對發(fā)起者使用訪問控制組件，（c）在發(fā)起者之間對訪問使用訪問控制組件。（d）跨多個安全區(qū)域的訪問組件分布。e、粒度和容度：訪問控制確定不同的粒度級別，容度用來控制對目標組的訪問。f、訪問控制策略規(guī)則中的

8、優(yōu)先原則：規(guī)定了被應(yīng)用訪問控制策略的次序和規(guī)則中的優(yōu)先規(guī)則。（3）機密性：機密的主要目的是防止數(shù)據(jù)的泄露，確保信息僅僅是對被援權(quán)者可用。a、信息的保護：是通過確保數(shù)據(jù)被限制于援權(quán)者，或通過特定方式表達數(shù)據(jù)來實現(xiàn)。這種保護方式在于數(shù)據(jù)只對擁有某種關(guān)鍵信息的人才可訪問的。實現(xiàn)的方法（a）防止數(shù)據(jù)存在性和數(shù)據(jù)特性的知識被人理解，（b）防止對數(shù)據(jù)的讀訪問，（c）防止數(shù)據(jù)語議的知識被人理解；保護數(shù)據(jù)項的表達式不被泄露，保護數(shù)據(jù)表達式規(guī)則不被泄露。b、隱藏和揭示操作：隱藏操作可模型化為信息從一個環(huán)境A移動到A與另一個環(huán)境C交疊的區(qū)域，揭示操作可看作是隱藏操作的逆操作。（4）數(shù)據(jù)的完整性：完整性機制可以識別

9、結(jié)構(gòu)化數(shù)據(jù)的某些變換，并且不損壞數(shù)據(jù)的完整性，這些機制允許對簽名或密封數(shù)據(jù)進行交換，而無須分別對簽名或密封重新計算。（a）完整性服務(wù)的目標：是保護數(shù)據(jù)免受未援權(quán)的修改，包括數(shù)據(jù)的未援權(quán)創(chuàng)建和冊除，通過屏蔽、證實、去屏蔽的行為來完成完整性服務(wù)；（b）完整性服務(wù)方式：應(yīng)用于信息恢復(fù)、傳輸和管理中的完整性服務(wù)有兩種方式：第一種對于OSI環(huán)境傳輸?shù)男畔?，通過屏蔽、使用（N-1）設(shè)備的傳輸及去屏蔽結(jié)合起來，形成（N）服務(wù)傳輸，提供完整性服務(wù)；第二種對于數(shù)據(jù)的存儲和恢復(fù)，通過將屏蔽、存儲和恢復(fù)及去屏蔽結(jié)合起來，提供完整性服務(wù)。（5）不可否認性：（a）不可否認性服務(wù)：目的是提供有關(guān)特定事件或行為的證據(jù)，包括

10、證據(jù)的生成、驗證和記錄，以及在解決糾紛時隨即進行的證據(jù)恢復(fù)和再次驗證。（b）可信第三方的作用：它的參與是不可否認性的關(guān)鍵，因為仲裁者不可能在沒有支持的由爭執(zhí)雙方提交的聲明基礎(chǔ)上做出判斷。它除了具有密鑰證明、身份證明、時間戳和證據(jù)儲存等通用功能外還有傳遞代理和仲裁功能；（c）不可否認性證據(jù)：原發(fā)不可否認性必須包括原發(fā)者可辨別標識符、被發(fā)送的數(shù)據(jù)或數(shù)據(jù)的數(shù)字指紋等證據(jù)，也可包括接受者可辨識標識符、數(shù)據(jù)發(fā)出的日期和時間等證據(jù)。四、簡述包過濾的基本特點和工作原理。答：（一）工作原理：1、包的概念：基于協(xié)議特定的標準，網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備能夠區(qū)分包和限制包的能力稱為包過濾，數(shù)據(jù)包是網(wǎng)絡(luò)上信息流動的單位，由包頭和

11、數(shù)據(jù)組成。包過濾是一種安全機制，它控制那些數(shù)據(jù)包可以進出網(wǎng)絡(luò)，那些不可以。2、包過濾系統(tǒng)的特點：主要特點是可以讓我們在一臺機器上提供對整個網(wǎng)絡(luò)的保護，主要優(yōu)點是僅用一個放置在重要位置上的包過濾路由器就可以保護整個網(wǎng)絡(luò)，主要缺點是使得該拒絕的包也能進出網(wǎng)絡(luò)。3、包過濾器的操作：有如下工作方式：（1）包過濾的標準必須由包過濾設(shè)備端口存儲起來，即包過濾規(guī)則；（2）包到端口時檢查報頭語法，不檢查包體；（3）包過濾規(guī)則以特殊的方式存儲；（4）如果一條規(guī)則阻止，則此包不被通過，（5）如果一條規(guī)則允許，則此包可繼續(xù)，（6）如果一個包不滿足任何一條規(guī)則，則此包被阻塞。4、局限性：（1）定義包過濾器規(guī)則比較復(fù)雜；（2）網(wǎng)絡(luò)設(shè)備的吞吐量隨過濾數(shù)目的增加而減少；（3）不能徹底防止地址欺騙；（4）一些應(yīng)用協(xié)議不適合數(shù)據(jù)包過濾；（5）正常的包過濾無法執(zhí)行某些安全策略；（6）一些包過濾不提任何日志能力；（7）IP包過濾難以進行有效的流量控制。（二）包過濾技術(shù)的特點：1、如果在路由器上實現(xiàn)包過濾，費用非常??；2、流量適中并定義較少的