四國機制網路安全

❶ 日本在哪一年組建了政府網路安全中心

2015年1月9日網路安全戰略總部成立的當天，日本還將專門設置「內閣網路安全中心」。

日本國（日語：にほんこく；英語：Japan），簡稱「日本」，位於東亞的島嶼國家，領土由北海道、本州、四國、九州四個大島及6800多個小島組成，總面積37.8萬平方公里。主體民族為大和族，通用日語，總人口約1.26億。日本三大都市圈是東京都市圈、大阪都市圈和名古屋都市圈。

氣候特徵

日本屬溫帶海洋性季風氣候，終年溫和濕潤。6月多梅雨，夏秋季多台風。全國橫跨緯度達25°，南北氣溫差異十分顯著。絕大部分地區屬於四季分明的溫帶氣候，位於南部的沖繩則屬於亞熱帶，而北部的北海道卻屬於亞寒帶；1月平均氣溫北部－6℃，南部16℃；7月北部17℃，南部28℃。

日本是世界上降水量較多的地區。主要原因包括了日本海側地區冬季的降雪；6月、7月（沖繩、奄美為5月、6月）間連綿不斷的梅雨；以及夏季到秋季登陸或接近日本的台風。

日本有記載的最高溫度紀錄是40.9℃，於2007年8月16日在崎玉縣熊谷市和岐阜縣多治見市測得；有記載的最低溫度紀錄是－41℃，於1902年1月25日在北海道旭川市測得。

❷ 四邊機制是什麼

四邊機制是指美日印澳「菱形同盟」。

「四邊機制」最早由時任日本首相安倍晉三提出。2006年，安倍率先提出美日印澳「菱形同盟」，得到美國、印度和澳大利亞的支持。2007年5月，四國舉行首次司局級高官會，同年9月美印澳在孟加拉灣舉行「馬拉巴爾」聯合軍演。

意圖

「四邊機制」是一個非正式和不定期的四方對話機制，在美國印太戰略框架下，以推進「自由和開放的印度洋太平洋」為目標，政治外交和軍事安全兩大方面的合作成為四國主要方向。「四邊機制」的激活和強化與美國強化印太戰略直接有關。

近年來，美國積極推進「自由和安全的印度洋-太平洋」，煽動、挑唆並激化地區矛盾，企圖繼續主導印太地區事務，維持其在全球的優勢地位。

❸ TCSEC安全等級（7個）作簡單的敘述

美國可信計算機安全評價標准（TCSEC），TCSEC將計算機系統的安全劃分為4個等級、7個級別。

編輯本段安全等級D類安全等級
00D類安全等級只包括D1一個級別。D1的安全等級最低。D1系統只為文件和用戶提供安全保護。D1系統最普通的形式是本地操作系統，或者是一個完全沒有保護的網路。
C類安全等級
00該類安全等級能夠提供審慎的保護，並為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1系統的可信任運算基礎體制（Trusted Computing Base，TCB）通過將用戶和數據分開來達到安全的目的。在C1系統中，所有的用戶以同樣的靈敏度來處理數據，即用戶認為C1系統中的所有文檔都具有相同的機密性。C2系統比C1系統加強了可調的審慎控制。在連接到網路上時，C2系統的用戶分別對各自的行為負責。C2系統通過登陸過程、安全事件和資源隔離來增強這種控制。C2系統具有C1系統中所有的安全性特徵。
B類安全等級
00B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。強制性保護意味著如果用戶沒有與安全等級相連，系統就不會讓用戶存取對象。B1系統滿足下列要求：系統對網路控制下的每個對象都進行靈敏度標記；系統使用靈敏度標記作為所有強迫訪問控制的基礎；系統在把導入的、非標記的對象放入系統前標記它們；靈敏度標記必須准確地表示其所聯系的對象的安全級別;當系統管理員創建系統或者增加新的通信通道或I/O設備時，管理員必須指定每個通信通道和I/O設備是單級還是多級，並且管理員只能手工改變指定;單級設備並不保持傳輸信息的靈敏度級別;所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產生標記來指示關於輸出對象的靈敏度;系統必須使用用戶的口令或證明來決定用戶的安全訪問級別;系統必須通過審計來記錄未授權訪問的企圖。 00B2系統必須滿足B1系統的所有要求。另外，B2系統的管理員必須使用一個明確的、文檔化的安全策略模式作為系統的可信任運算基礎體制。B2系統必須滿足下列要求：系統必須立即通知系統中的每一個用戶所有與之相關的網路連接的改變；只有用戶能夠在可信任通信路徑中進行初始化通信；可信任運算基礎體制能夠支持獨立的操作者和管理員。 00B3系統必須符合B2系統的所有安全需求。B3系統具有很強的監視委託管理訪問能力和抗干擾能力。B3系統必須設有安全管理員。B3系統應滿足以下要求:除了控制對個別對象的訪問外， 00B3必須產生一個可讀的安全列表；每個被命名的對象提供對該對象沒有訪問權的用戶列表說明;B3系統在進行任何操作前，要求用戶進行身份驗證；B3系統驗證每個用戶，同時還會發送一個取消訪問的審計跟蹤消息；設計者必須正確區分可信任的通信路徑和其他路徑；可信任的通信基礎體制為每一個被命名的對象建立安全審計跟蹤；可信任的運算基礎體制支持獨立的安全管理。
A類安全等級
00A系統的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1類與B3類相似，對系統的結構和策略不作特別要求。A1系統的顯著特徵是，系統的設計者必須按照一個正式的設計規范來分析系統。對系統分析後，設計者必須運用核對技術來確保系統符合設計規范。A1系統必須滿足下列要求：系統管理員必須從開發者那裡接收到一個安全策略的正式模型;所有的安裝操作都必須由系統管理員進行；系統管理員進行的每一步安裝操作都必須有正式文檔。 00這信息安全保障階段，歐洲四國（英、法、德、荷）提出了評價滿足保密性、完整性、可用性要求的信息技術安全評價准則（ITSEC）後，美國又聯合以上諸國和加拿大，並會同國際標准化組織（OSI）共同提出信息技術安全評價的通用准則（CC for ITSEC），CC已經被五技術發達的國家承認為代替TCSEC的評價安全信息系統的標准。目前，CC已經被採納為國家標准ISO 15408。

❹ 政信金融的「四國」優勢是哪些

政信金融具有國資融、國資建、國資管、國資還的「四國」優勢。優勢體現在：政信是一個長期穩定的市場，實質違約率為0；中央出台的文件嚴禁地方政府違約毀約，嚴禁」新官不理舊賬」；地方債務被納入中國人民銀行登記系統，違約成本極高。因此信用和安全優勢非常大。

❺ 金磚國家的影響

「金磚」在後危機時代發展出現分化。數據顯示，巴西、俄羅斯、印度和中國2010年三季度的GDP同比增速分別達6.7%、2.7%、8.9%和9.6%。除俄羅斯外，其他三國經濟增速均遠高於同期的美、歐、日等發達經濟體。據最新預測，「金磚」2011年的經濟增長率分別為5%、4.2%、9%和10%。
金磚四國股市2010年以來表現各異。截至2010年12月20日，巴西聖保羅BOVESPA指數累計下跌1.93%，俄羅斯RTSI指數上漲20.42%，印度孟買敏感指數上漲13.88%，中國上證指數下跌12.94%。2013年，而摩根士丹利國際資本（MSCI)金磚四國指數累計漲幅為3.46%，低於同期標普500指數11.84%的漲幅。
這次會上「金磚國家」合作機制初步形成，經四國討論，決定吸收南非加入，形成「金磚五國」。事也湊巧，南非的英文首字母是S，恰好是金磚的復數，似乎冥冥中有天意。
而今，五國領導人首度聚首，要談的、要說的自然很多。最重要的議題毫無疑問是經濟。金融危機後世界經濟二次探底的風險警告一直沒有解除，各國央行又面臨加息的壓力,此刻五國領導人聚首，可以協調經濟政策，深化經貿合作，不僅有利於各國自身的經濟發展，也有利於世界經濟。
作為主要新興市場國家，金磚五國擁有世界領土面積的26%、世界人口的42%、世界GDP的20%、世界貿易額的15%、對世界經濟增長約50%的貢獻率。根據國際貨幣基金組織的統計，2006年至2008年，四國經濟平價增產率為10.7%。隨著四國經濟快速增長，其國際影響力與日俱增。
「金磚四國」概念的熱銷令奧尼爾喜出望外，於是趁熱打鐵推出了所謂的「金鑽十一國」，涵括墨西哥、印尼、奈及利亞、韓國、越南、土耳其、菲律賓、埃及、巴基斯坦、伊朗和孟加拉國11個新興經濟體。
隨後，匯豐銀行也加入「新興合唱團」，提出未來全球經濟將屬於「靈貓六國」（CIVETS），即哥倫比亞、印尼、越南、埃及、土耳其和南非，六國擁有令人稱羨的人口結構，增長潛力巨大。
西班牙對外銀行首席經濟學家艾西亞向中國證券報記者介紹「新興領軍經濟體」（Emerging and Growth-Leading Economies，EAGLEs）概念，以對全球經濟增長貢獻為衡量標准，逐年篩選「入圍名單」。如今榜上有名的除了金磚四國，還包括韓國、印尼、墨西哥、土耳其、埃及和中國台灣。相對於「金鑽11國」和「靈貓6國」，領軍新興經濟體以經濟增量的絕對值為基礎，強調動態概念，並有明確的標准。
熱鬧非凡的「新興合唱團」在說明一個趨勢；即網路化推進全球化進程，降低全球投資者的交易成本，也改造了經濟發展的學習曲線。而後危機時代又給了新興經濟體更加廣闊的表現舞台，使得上個世紀後半葉日本引導亞太地區產業轉移的「單雁群」模式，逐漸轉變為多點開花的「多雁群」。
這也推高了衡量新興經濟體股市的MSCI新興市場指數，截至2012年12月20日，其累計漲幅已達12.28%，遠高於衡量發達經濟體股市表現的MSCI世界指數7.82%的漲幅。
中、俄、印、巴一致商定，吸收南非作為正式成員加入「金磚國家」合作機制。今後或許會有更多新興經濟體加入該合作機制。
2010年對於南非來說無疑是幸運的。年中，「嗚嗚祖啦」聲中的世界盃，讓全球球迷記住了這個活力四射的非洲國家；而在年末，又一份大禮為南非貼上「金磚第五國」的重要標志。
該概念提出8年後，2009年6月，四國領導人首次在俄羅斯葉卡捷琳堡舉行會晤，「金磚四國」由此演化成為一種經濟合作機制。2010年4月，第二次「金磚四國」峰會在巴西召開，四國之間的合作更進一步。
由中國社會科學文獻出版社3月26日出版的《新興經濟體藍皮書金磚國家發展報告2013》顯示，「2012年，金磚國家的經濟總量約佔世界經濟總量的25%，貿易總量約佔世界的17%。2012年，中國與巴西、俄羅斯、印度、南非的貿易總額達到3000億美元
伴隨「金磚國家」合作機制的逐漸形成，作為全球新興經濟體代表的「金磚四國」國際影響力也日益增強。
南非《商業日報》認為，南非作為全球影響力最大的非洲國家加入「金磚國家」合作機制，可以更好地代表非洲國家的利益，為非洲經濟發展謀取更大的國際合作空間。
有專家對南非是否符合「金磚國家」標准提出質疑。「金磚四國」是建立在這些國家經濟增速較快和人口相對較多的基礎上，而據世界銀行2009年的數據顯示，南非的經濟規模排在世界第31位，不到「金磚四國」中最小的經濟體俄羅斯的四分之一。
但也有分析人士表示，鑒於南非在非洲扮演的重要角色，邀請南非「入盟」對南非以及「金磚國家」合作機制來說都將是雙贏之舉。
最早提出「金磚四國」概念的奧尼爾在英國《金融時報》撰文稱，非洲大陸當前有四十多個國家，其中任何單一國家都無法與「金磚四國」相提並論。但是如果將這四十多個國家看作一個整體，則非洲大陸經濟規模的增長潛力可以與「金磚四國」相媲美。
而南非是非洲最大經濟體和最具影響力的國家之一，其國內生產總值約占撒哈拉以南非洲國家經濟總量的三分之一，對地區經濟發展起到了重要的引領作用。
資料顯示，南非是非洲最大的能源生產國和消費國，也是最大的黃金、鉑和鈀生產國，在世界市場的地位不容忽視。並且，南非相關企業在非洲金融、電力、電信、建築、農業等行業都具有舉足輕重的地位。它還是許多重要國際組織中的非洲代表，曾經是八國集團與發展中國家領導人對話會（G8+5)唯一的非洲成員，當前則是G20唯一非洲成員。
正因為南非在多方面都是非洲大陸的代表，它的加入，將進一步擴大「金磚國家」合作機制的國際影響力，並將成為「金磚國家」進入非洲的門戶。
此外，經濟合作也將帶動「金磚四國」與非洲國家間的政治合作，從而提升新興市場國家在處理國際問題上的話語權。
「金磚四國」即將成為歷史，一個更具有廣泛代表性的「金磚五國」將登上國際舞台。隨著「金磚國家」合作機制的日趨成熟，今後或許會有更多的新興經濟體加入進來，「分量」大增的「金磚國家」將在國際政治經濟事務中發揮更為重要的作用。
盡管這一舉動是由俄羅斯首先提出、並且經過四國充分磋商而作出的決定，但邀請南非加入「金磚四國」，更多的是著眼於地緣政治的考量，而不是出於經濟關系的需要。
南非雖是非洲大陸最大的經濟體（同時，中國也是南非最大的貿易夥伴國），但是，南非的經濟規模依然較小。2009年，南非總人口為4932萬人，國內生產總值為2888.48億美元，比2008年的2762.74億美元增長4.6%；南非政府預測，2010年南非國內生產總值增長率將達3%，其中，包括南非世界盃對經濟增長貢獻的0.5%。南非財長普拉溫·戈爾丹不久前預測，南非國內生產總值2011年至2013年的增長率將分別為3.5%、4.1%和4.4%。
南非的經濟規模遠不及「金磚四國」中規模最小的俄羅斯的三成，南非的經濟增長速度也不及東盟的平均水平。另一方面，從人均GDP來看，南非2009年已經達到了5857美元，遠遠超出了新興經濟體的平均水平，進入了比較發達國家的行列。所以說，邀請南非加入「金磚國家」，應該並非從經濟發展水平的角度來考慮的。
如果按照首先發明「金磚四國」一詞的吉姆·奧尼爾的本意，從人口規模和經濟發展速度的角度來看的話，印度尼西亞比南非更有資格成為下一個被邀請加入「金磚國家」集團的國家。
印尼是東盟最大的經濟體，無論是人口規模、經濟規模還是經濟增長速度；印尼都遠遠超過了南非。更為重要的是，「金磚四國」之所以受到全球重視和關注，是由於他們屬於新興經濟體的「領頭羊」，而從國家的經濟發展階段來看，印尼屬於新興經濟體，而南非則已經是經濟比較發達的國家。

❻ 簡述TCSEC安全標準的主要內容

TCSEC標準是計算機系統安全評估的第一個正式標准，具有劃時代的意義。該准則於1970年由美國國防科學委員會提出，並於1985年12月由美國國防部公布。TCSEC最初只是軍用標准，後來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。具體安全等級如下：
1.D安全等級
D類安全等級只包括D1一個級別。D1的安全等級最低。D1系統只為文件和用戶提供安全保護。D1系統最普通的形式是本地操作系統，或者是一個完全沒有保護的網路。
2.C類安全等級
C類安全等級能夠提供審記的保護，並為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1系統的可信任運算基礎體制(Trusted Computing Base，TCB)通過將用戶和數據分開來達到安全的目的。在C1系統中，所有的用戶以同樣的靈敏度來處理數據，即用戶認為C1系統中的所有文檔都具有相同的機密性。C2系統比C1系統加強了可調的審慎控制。在連接到網路上時，C2系統的用戶分別對各自的行為負責。C2系統通過登陸過程、安全事件和資源隔離來增強這種控制。C2系統具有C1系統中所有的安全性特徵。
3.B類安全等級
該等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。強制性保護意味著如果用戶沒有與安全等級相連，系統就不會讓用戶存取對象。B1系統滿足下列要求:系統對網路控制下的每個對象都進行靈敏度標記;系統使用靈敏度標記作為所有強迫訪問控制的基礎;系統在把導入的、非標記的對象放入系統前標記它們;靈敏度標記必須准確地表示其所聯系的對象的安全級別;當系統管理員創建系統或者增加新的通信通道或I/O設備時，管理員必須指定每個通信通道和I/O設備是單級還是多級，並且管理員只能手工改變指定;單級設備並不保持傳輸信息的靈敏度級別;所有直接面向用戶位置的輸出(無論是虛擬的還是物理的)都必須產生標記來指示關於輸出對象的靈敏度;系統必須使用用戶的口令或證明來決定用戶的安全訪問級別;系統必須通過審計來記錄未授權訪問的企圖。B2系統必須滿足B1系統的所有要求。另外，B2系統的管理員必須使用一個明確的、文檔化的安全策略模式作為系統的可信任運算基礎體制。B2系統必須滿足下列要求:系統必須立即通知系統中的每一個用戶所有與之相關的網路連接的改變;只有用戶能夠在可信任通信路徑中進行初始化通信;可信任運算基礎體制能夠支持獨立的操作者和管理員。B3系統必須符合B2系統的所有安全需求。B3系統具有很強的監視委託管理訪問能力和抗干擾能力。B3系統必須設有安全管理員。B3系統應滿足以下要求:除了控制對個別對象的訪問外，B3必須產生一個可讀的安全列表;每個被命名的對象提供對該對象沒有訪問權的用戶列表說明;B3系統在進行任何操作前，要求用戶進行身份驗證;B3系統驗證每個用戶，同時還會發送一個取消訪問的審計跟蹤消息;設計者必須正確區分可信任的通信路徑和其他路徑;可信任的通信基礎體制為每一個被命名的對象建立安全審計跟蹤;可信任的運算基礎體制支持獨立的安全管理。
4.安全級別最高的A系統
目前，A類安全等級只包含A1一個安全類別。A1類與B3類相似，對系統的結構和策略不作特別要求。A1系統的顯著特徵是，系統的設計者必須按照一個正式的設計規范來分析系統。對系統分析後，設計者必須運用核對技術來確保系統符合設計規范。A1系統必須滿足下列要求:系統管理員必須從開發者那裡接收到一個安全策略的正式模型;所有的安裝操作都必須由系統管理員進行;系統管理員進行的每一步安裝操作都必須有正式文檔。這信息安全保障階段，歐洲四國(英、法、德、荷)提出了評價滿足保密性、完整性、可用性要求的信息技術安全評價准則(ITSEC)後，美國又聯合以上諸國和加拿大，並會同國際標准化組織(ISO)共同提出信息技術安全評價的通用准則(CC for ITSEC)，CC已經被五技術發達的國家承認為代替TCSEC的評價安全信息系統的標准。目前，CC已經被採納為國家標准ISO 15408。

❼ 信息與安全

隨著信息技術應用的飛速發展，互聯網應用的不斷普及，基於網路的業務活動的發展以及全球經濟一體化進程的加快，人們在享受信息所帶來的巨大利益的同時，也面臨著信息安全的嚴峻考驗。根據中國互聯網路信息中心和國家互聯網應急中心聯合發布的《2009年中國網民網路信息安全狀況調查報告》顯示：2009年，71.9%的網民發現瀏覽器配置被修改，50.1%的網民發現網路系統無法使用，45.0%的網民發現數據文件被損壞，41.5%的網民發現操作系統崩潰，而發現QQ、MSN密碼、郵箱賬號曾經被盜的網民佔32.3%。2009年，網民處理安全事件所支出的服務費用共計153億元人民幣；在實際產生費用的人群中，人均費用約588.90元。

因此，如何有效地保護信息的安全是一個重要的研究課題，是國家現在與未來安全保障的迫切需求。隨著人們對信息安全意識的提升，信息系統的安全問題越來越受到關注，因此如何構築信息和網路安全體系已成為信息化建設所要解決的一個迫切問題。計算機網路化、規模化成為趨勢，然而計算機信息系統卻面臨更多新的問題和挑戰。

信息系統由網路系統、主機系統和應用系統等要素組成，其中每個要素都存在著各種可被攻擊的漏洞、網路線路有被竊聽的危險；網路連接設備、操作系統和應用系統所依賴的各種軟體在系統設計、協議設計、系統實現以及配置等各個環節都存在著安全弱點和漏洞，有被利用和攻擊的危險。面對一個日益復雜的信息安全環境，我們需要動態地、發展地認識信息安全並採取相應的保障措施。

7.1.1信息與信息安全

「安全」在《高級漢語大詞典》中的意思是「不受威脅，沒有危險、危害、損失」。安全的定義是：遠離危險的狀態或特性，為防範間諜活動或蓄意破壞、犯罪、攻擊或逃跑而採取的措施。在涉及「安全」詞彙時，通常會與網路、計算機、信息和數據相聯系，而且具有不同的側重和含義。其基本含義為「遠離危險的狀態或特性」或「主觀上不存在威脅，主觀上不存在恐懼」。在各個領域都存在安全問題，安全是一個普遍存在的問題。信息和數據安全的范圍要比網路安全和計算機安全更為廣泛。它包括了信息系統中從信息的產生直至信息的應用這一全部過程。我們日常生活中接觸的數據比比皆是，考試的分數、銀行的存款、人員的年齡、商品的庫存量等，按照某種需要或一定的規則進行收集，經過不同的分類、運算和加工整理，形成對管理決策有指導價值和傾向性說明的信息。

按字面意思，可以將信息安全理解為「信息安全就是使得信息不受威脅、損失」。但要全面完整地定義信息安全，則不是一件很容易的事。

國際標准化組織（ISO）定義的信息安全是「在技術上和管理上為數據處理系統建立的安全保護，保護計算機硬體、軟體和數據不因偶然和惡意的原因而遭到破壞、更改和泄露」。此概念偏重採取的措施。

歐盟在1991年《信息安全評估標准（Version 1.2）》中將信息安全定義為：「在既定的密級條件下，網路與信息系統抵禦意外事件，對危及所存儲或傳輸的數據以及經由這些網路和系統所提供的服務的可用性、真實性、完整性和機密性的行為進行防禦的能力。」

我國信息安全專家沈昌祥院士將信息安全定義為：保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞，為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。

信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全的實質就是要保護信息系統或信息網路中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。但信息安全是相對的。可見安全界對信息安全的概念並未達成一致，對於信息安全的理解也隨著信息技術及其應用的擴展而加深。1996年美國國防部在國防部對信息保障（IA）做了如下定義：保護和防禦信息及信息系統，確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統中融入保護、檢測、反應功能，並提供信息系統的恢復功能。

該定義將信息安全的定義拓展到了信息保障，突出了信息安全保障系統的多種安全能力及其對組織業務職能的支撐作用。用「保障」一詞代替安全的主要目的有兩個：一是使用這一質量領域的用詞反映高度信息化社會的安全內涵，即把可靠性、服務品質等概念納入其中；二是從管理需要出發，將安全防範的內容從防外部擴大到內外兼防，表明其看待信息安全問題的視角已經不再局限於單個維度，而是將信息安全問題抽象為一個由信息系統、信息內容、信息系統的所有者和運營者、信息安全規則等多個因素構成的一個多維問題空間。這些變化均反映了人們對信息安全的意義、內容、實現方法等一直在不斷地思索和實踐。

世界著名黑客米特尼克（Kevin Mitnick）在接受美國參議院一個安全專家組的咨詢時曾說過：只要一個人有時間、金錢和動機，他就可以進入世界任何一台電腦。米特尼克的話並非危言聳聽。15歲的他就入侵了北美空中防護指揮系統，並先後入侵了美國五角大樓、美國聯邦調查局（FBI），以及幾乎全美國所有計算機公司的電腦系統。

米特尼克的話反映了這樣一個事實：網路世界沒有絕對的安全。從屢屢傳出的美國五角大樓遭受黑客入侵的消息中，我們也可以得到這一結論：戒備森嚴的五角大樓都難免被黑客攻入，其他的計算機系統又如何確保安全？事實上，無論是在理論上還是技術上，要想提供100%的安全保證都是不現實的。

因此，信息安全是一個動態變化的概念，要完整地理解信息安全，需要從信息安全的屬性和內容兩方面入手。

在美國國家信息基礎設施（NII）的相關文獻中，給出了安全的五個屬性：機密性（Confidentiality）、可用性（Availability）、完整性（Integrity）、可控性（Controllability）和不可否認性（Non repudiation）。其中可用性、機密性、完整性是人們在不斷實踐和探索過程中，總結了信息安全的三個基本屬性。隨著信息技術的發展與應用，可控性和不可否認性作為信息安全的屬性也得到了大多數學者的認可。

信息的機密性是指確保只有那些被授予特定許可權的人才能夠訪問到信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內容之一。更通俗地講，就是說未授權的用戶不能夠獲取敏感信息。信息的機密性依據信息被允許訪問對象的多少而不同，一般可以根據信息的重要程度和保密要求將信息分為不同密級，如所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據信息的重要程度和保密要求將信息分為不同密級。例如，軍隊內部文件一般分為秘密、機密和絕密三個等級，已授權用戶根據所授予的操作許可權可以對保密信息進行操作。有的用戶只可以讀取信息，有的用戶既可以進行讀操作又可以進行寫操作。

信息的完整性是指要保證信息和處理方法的正確性和完整性，即網路中的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞，保證授權用戶得到的信息是真實的。信息的完整性包括兩個方面含義：一方面是指在信息的生命周期中，使用、傳輸、存儲信息的過程中不發生篡改信息、丟失信息、錯誤信息等現象；另一方面是指確保信息處理的方法的正確性，使得處理後的信息是系統所需的、獲得正確的、適用的信息，執行不正當的操作，有可能造成重要文件的丟失，甚至整個系統的癱瘓。

信息的可用性是指授權主體在需要信息時能及時得到服務的能力。指確保那些已被授權的用戶在他們需要的時候，確實可以訪問得到所需要的信息，即信息及相關的信息資產在授權人需要的時候，可以立即獲得。例如，通信線路中斷故障、網路的擁堵會造成信息在一段時間內不可用，影響正常的業務運營，這是信息可用性的破壞由於伺服器負荷過大而使得授權用戶的正常操作不能及時得到響應，或者由於網路通訊線路的斷開使得信息無法獲取等，這些都是屬於對信息的可用性的破壞。提供信息的系統必須能適當地承受攻擊並在失敗時恢復。

信息的可控性是指對信息和信息系統實施安全監控管理，防止非法利用信息和信息系統。對於信息系統中的敏感信息資源的主體，如果任何主體都能訪問、對信息進行篡改、竊取以及惡意散播的話，安全系統顯然會失去了效用。對訪問信息資源的人或主體的使用方式進行有效控制，是信息安全的必然要求，從國家層面看，信息安全的可控性不但涉及信息的可控性，還與安全產品、安全市場、安全廠商、安全研發人員的可控性緊密相關。嚴格控制和規范獲得信息的主體對信息進行修改、更新、刪除、拷貝、傳輸等操作的許可權是提高信息可控性的主要途徑和方法。

信息的不可否認性也稱抗抵賴性、不可抵賴性，是指在網路環境中，信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。它是傳統的不可否認需求在信息社會的延伸。在日常生活中，人們通過紙介質上的印章或簽名來解決信息的不可否認性問題。但在電子政務和電子商務應用系統中，傳統的印章或簽名已不能使用，當前只有依靠數字簽名技術來解決信息的不可否認性問題。人類社會的各種商務和政務行為是建立在信任的基礎上的，傳統的公章、印戳、簽名等手段便是實現不可否認性的主要機制，信息的不可否認性與此相同，也是防止實體否認其已經發生的行為。信息的不可否認性分為原發不可否認（也稱原發抗抵賴）和接收不可否認（也稱接收抗抵賴），前者用於防止發送者否認自己已發送的數據和數據內容；後者防止接收者否認已接收過的數據和數據內容，實現不可否認性的技術手段一般有數字證書和數字簽名。

7.1.2信息安全的主要研究內容

信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。其研究內容主要包括以下兩個方面：一方面是信息本身的安全，主要是保障個人數據或企業的信息在存儲、傳輸過程中的保密性、完整性、合法性和不可抵賴性，防止信息的泄露和破壞，防止信息資源的非授權訪問；另一方面是信息系統或網路系統的安全，主要是保障合法用戶正常使用網路資源，避免病毒、拒絕服務、遠程式控制制和非授權訪問等安全威脅，及時發現安全漏洞，制止攻擊行為等。

關於信息安全的內容，美國國家電信與信息系統安全委員會（NTISSC）主席、美國C3I負責人、前國防部副部長 Latham認為，信息安全應包括以下六個方面內容：通信安全（COMSEC）、計算機安全（COMPUSEC）、符合瞬時電磁脈沖輻射標准（TEMPEST）、傳輸安全（TRANSEC）、物理安全（Physical Security）、人員安全（Personnel Security）。在我國，學者們較為公認的信息安全一般包括實體安全、運行安全、數據安全和管理安全四個方面的內容。

現代信息系統中的信息安全其核心問題是密碼理論及其應用，其基礎是可信信息系統的構作與評估。總的來說，目前在信息安全領域人們所關注的焦點主要有以下幾方面：

（1）密碼理論與技術。密碼理論與技術主要包括兩部分，即基於數學的密碼理論與技術（包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等）和非數學的密碼理論與技術（包括信息隱形、量子密碼、基於生物特徵的識別理論與技術）。密碼技術特別是加密技術是信息安全技術中的核心技術，國家關鍵基礎設施中不可能引進或採用別人的加密技術，只能自主開發。目前我國在密碼技術的應用水平方面與國外還有一定的差距。

（2）安全協議理論與技術。安全協議的研究主要包括兩方面內容，即安全協議的安全性分析方法研究和各種實用安全協議的設計與分析研究。安全協議的安全性分析方法主要有兩類：一類是攻擊檢驗方法，一類是形式化分析方法，其中安全協議的形式化分析方法是安全協議研究中最關鍵的研究問題之一，它的研究始於20世紀80年代初，目前正處於百花齊放、充滿活力的階段。許多一流大學和公司的介入，使這一領域成為研究熱點。隨著各種有效方法及思想的不斷涌現，這一領域在理論上正在走向成熟。在安全協議的研究中，除理論研究外，實用安全協議研究的總趨勢是走向標准化。我國學者雖然在理論研究方面和國際上已有協議的分析方面做了一些工作，但在實際應用方面與國際先進水平還有一定的差距。

（3）安全體系結構理論與技術。安全體系結構理論與技術主要包括：安全體系模型的建立及其形式化描述與分析，安全策略和機制的研究，檢驗和評估系統安全性的科學方法和准則的建立，符合這些模型、策略和准則的系統的研製（比如安全操作系統、安全資料庫系統等）。我國在系統安全的研究與應用方面與先進國家和地區存在很大差距。近幾年來，我國進行了安全操作系統、安全資料庫、多級安全機制的研究，但由於自主安全內核受控於人，難以保證沒有漏洞。

（4）信息對抗理論與技術。信息對抗理論與技術主要包括：黑客防範體系，信息偽裝理論與技術，信息分析與監控，入侵檢測原理與技術，反擊方法，應急響應系統，計算機病毒，人工免疫系統在反病毒和抗入侵系統中的應用等。該領域正在發展階段，理論和技術都很不成熟，也比較零散。但它的確是一個研究熱點。目前看到的成果主要是一些產品（比如IDS、防範軟體、殺病毒軟體等），攻擊程序和黑客攻擊成功的事件。當前在該領域最引人注目的問題是網路攻擊，美國在網路攻擊方面處於國際領先地位，有多個官方和民間組織在做攻擊方法的研究。

（5）網路安全與安全產品。網路安全是信息安全中的重要研究內容之一，也是當前信息安全領域中的研究熱點。研究內容包括：網路安全整體解決方案的設計與分析，網路安全產品的研發等。網路安全包括物理安全和邏輯安全。物理安全指網路系統中各通信、計算機設備及相關設施的物理保護，免於破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性。它是一個涉及網路、操作系統、資料庫、應用系統、人員管理等方方面面的事情，必須綜合考慮。

7.1.3信息安全的產生與發展

在信息社會中，一方面，信息已成為人類的重要資產，對計算機技術的依賴程度越來越深，信息技術幾乎滲透到了社會生活的方方面面。另一方面，由於信息具有易傳播、易擴散、易毀損的特點，信息資產比傳統的實物資產更加脆弱，更容易受到損害，因此隨著人們對信息系統依賴程度的增加，信息安全問題也日益突出。

信息安全發展的歷史分為三個階段：通信安全發展階段、計算機安全發展階段和信息保障發展階段。

7.1.3.1通信安全發展階段

通信安全發展階段開始於20世紀40年代，其時代標志是1949年香農發表的《保密系統的信息理論》，該理論首次將密碼學的研究納入到科學的軌道。在這個階段所面臨的主要安全威脅是搭線竊聽和密碼分析，其主要保護措施是數據加密。

20世紀40年代以前，通信安全也叫通信保密，是戰爭的需要。40年代還增加了電子安全，實際上就是電子通信安全。50年代歐美國家把通信安全和電子安全合稱為信號安全，包括了調制和加密，密碼學是這個階段的重要技術，變成了軍方擁有的技術，就像武器一樣，被控制起來。在這一階段，雖然計算機已經出現，但是非常脆弱，加之由於當時計算機速度和性能比較落後，使用范圍有限，因此該階段重點是通過密碼技術解決通信保密問題。

7.1.3.2計算機安全發展階段

進入到20世紀60年代，計算機的使用日漸普及，計算機安全提到日程上來。此時對計算機安全的威脅主要是非法訪問、脆弱的口令、惡意代碼（病毒）等，需要解決的問題是確保信息系統中硬體、軟體及應用中的保密性、完整性、可用性。在這個時期，密碼學也得到了很快發展，最有影響的兩個大事件是：一件是Diffiee和Hellman於1976年發表的論文《密碼編碼學新方向》，該文導致了密碼學上的一場革命，他們首次證明了在發送者和接收者之間無密鑰傳輸的保密通信是可能的，從而開創了公鑰密碼學的新紀元；另一件是美國於1977年制定的數據加密標准 DES。這兩個事件標志著現代密碼學的誕生，是信息安全中的一個重大事件。1985年美國國防部的可信計算機系統安全評價標准（TCSEC）的公布意味著信息安全問題的研究和應用跨入了一個新的高度。

由於軍方的參與和推動，計算機安全在密碼演算法及其應用、信息系統安全模型及評價兩個方面取得了很大的進展，主要開發的密碼演算法有1977年美國國家標准局採納的分組加密演算法 DES（數據加密標准）；雙密鑰的公開密鑰體制 RSA，該體制由 Rivest、Shamir、Adleman根據1976年Diffie與 Hellman在《密碼編碼學新方向》開創性論文中提出的思想創造的；1985年N.Koblitz和V.Miller提出了橢圓曲線離散對數密碼體制（ECC），該體制的優點是可以利用更小規模的軟體、硬體實現有限域上同類體制的相同的安全性。

從美國的TCSEC開始，包括英、法、德、荷等四國發布了信息技術的安全評估准則，加拿大在1993年也發布了可信計算機產品評價准則，美國1993年也制定了聯邦標准，最後由六國七方，在20世紀90年代中，提出了一個信息技術安全性評估通用准則（Common Criteria）。經過近10年的發展，該准則到現在已經基本成熟。

7.1.3.3信息保障發展階段

信息保障（Information Assurance,IA）是「通過保障信息的可用性、完整性、驗證、保密以及非拒認來保護信息和信息系統的措施，包括通過保護、檢測、響應等功能恢復信息系統。」

資料來源：美國國防部2002年10月24日發表的《信息保障》國防部令。20世紀90年代以來，計算機網路迅速發展，對安全的需求不斷地向社會各個領域擴展。此時的安全威脅主要表現在網路環境中黑客入侵、病毒破壞、計算機犯罪、情報竊取等。人們需要保護信息在存儲、處理、傳輸、利用過程中不被非法訪問或修改，確保合法用戶得到服務和拒絕非授權用戶服務。但是人們很快就發現，單靠計算機安全或是通信安全無法在存儲、處理與系統轉換階段保障信息安全。信息系統安全就此應運而生，並賦予信息保障更廣泛的含義。針對這一需求，人們開發了信息保障（IA）技術，用於在復雜或分布式通信網路中保障信息傳遞、處理和存儲安全，使得接收的信息與原來發送的一致。這一階段，由於對信息系統攻擊日趨頻繁和電子商務的發展，信息的安全不再局限於信息的保護，人們需要對整個信息和信息系統的保護和防禦，包括保護、檢測、反應和恢復能力。

❽ 「亞太小北約」是什麼東西

這個說法出現在2001年，當時歐洲北大西洋公約組織國防部長會議剛剛過去不久，美國國務卿鮑威爾、美國國防部長拉
姆斯菲爾德、美國太平洋地區總司令布萊爾上將，於7月30日分別從中國和美國風塵僕僕地趕到澳大利亞，參加美澳兩國一年一度的部長級磋商。這次磋商本是一
次例會，但出人意料的是，磋商除進一步強化了兩國的軍事聯盟外，還拋出了一個新構想，提出要將美、澳、日、韓四國綁成一個安全小團伙，建立「四國安全磋商
機制」，以對付所謂的「地區潛在威脅」。對這一重要動向，一些國際輿論馬上驚呼「亞太小北約」浮出了水面，認為這是美國針對中國而企圖構築的一個新的亞太安全格局，是美國將戰略重點轉向亞太的重要一步。到目前來看，這4國除了每年定期組織一些演習，且大都是一對一的，沒有達到北約那種軍事協調一致性。基本算是雷聲大雨點小。

希望可以採納哦~

❾ 誰有關於網路安全地資料啊

網路安全復習資料
第1-2章
1、 計算機網路定義（P1）
答：凡將地理位置不同的具有獨立功能的計算機系統通過學習設備和通信線路連接起來，在網路軟體支持下進行數據通信，資源共享和協同工作的系統。

2、 網路安全的五個屬性（P2）
答：1、可用性。 可用性是指得到授權的屍體在需要時可以使用所需要的網路資源和服務。
2、機密性。 機密性是指網路中的信息不被非授權實體（包括用戶和進程等）獲取與使用。
3、完整性。 完整性是指網路真實可信性，即網路中的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞，保證授權用戶得到的信息是真實的。
4、可靠性。 可靠性是指系統在規定的條件下和規定的時間內，完成規定功能的概率。
5、不可抵賴性。 不可抵賴性也稱為不可否認性。是指通信的雙方在通信過程中，對於自己所發送或接受的消息不可抵賴。

3、 網路安全威脅定義（P2）
答：所謂網路安全威脅是指某個實體（人、時間、程序等）對某一網路資源的機密性、完整性、可用性及可靠性等可能造成的危害。

4、 哪種威脅是被動威脅（P3）
答：被動威脅只對信息進行監聽，而不對其修改和破壞。

5、 安全威脅的主要表現形式（P4）
答：授權侵犯：為某一特定目標的被授權使用某個系統的人，將該系統用作其他未授權的目的。
旁路控制：攻擊者發掘系統的缺陷或佔全弱點，從而滲入系統。
拒絕服務：合法訪問被無條件拒絕和推遲。
竊聽：在監視通信的過程中獲得信息。
電磁泄露：信息泄露給未授權實體。
完整性破壞：對數據的未授權創建、修改或破壞造成數據一致性損害。
假冒：一個實體假裝成另外一個實體。
物理入侵：入侵者繞過物理控制而獲得對系統的訪問權。
重放：出於非法目的而重新發送截獲的合法通信數據的拷貝。
否認：參與通信的一方時候都認曾經發生過此次通信。
資源耗盡：某一資源被故意超負荷使用，導致其他用戶的服務被中斷。
業務流分析：通過對業務流模式進行觀察（有、無、數量、方向、頻率），而使信息泄露給未授權實體。
特洛伊木馬：含有覺察不出或無害程序段的軟體，當他被運行時，會損害用戶的安全。
陷門：在某個系統或文件中預先設置的「機關」，使得當提供特定的輸入時，允許違反安全策略。
人員疏忽：一個授權的人出於某種動機或由於粗心講信息泄露給未授權的人。

6、 什麼是重放（P4）
答：出於非法目的而重新發送截獲的合法通信數據的拷貝。

7、 什麼是陷門（P4）
答：在某個系統或文件中預先設置的「機關」，使得當提供特定的輸入時，允許違反安全策略。

8、 網路安全策略包括哪4方面（P6）
答：物理安全策略、訪問控制策略、信息加密策略、安全管理策略。

9、 安全訪問策略就是一組用於確認主體是否對客體具有訪問許可權的規則。

10、 P2DR模型的4部分，它的基本思想（P8）
答：P2DR模型包括4個主要部分，分別是：Policy—策略，Protection—保護，Detection—檢測，Response—響應。
P2DR模型的基本思想是：一個系統的安全應該在一個統一的安全策略的控制和指導下，綜合運用各種安全技術（如防火牆、操作系統身份認證、加密等手段）對系統進行保護，同時利用檢測工具（如漏洞評估、入侵檢測等系統）來監視和評估系統的安全狀態，並通過適當的響應機制來將系統調整到相對「最安全」和「風險最低」的狀態。

11、 PDRR模型的4部分（P10）
答：Protection（防護）、Detection（檢測）、Response（響應）、Recovery（恢復）。

12、 TCP/IP參考模型，各層的名稱、作用、主要協議（P16）
答：TCP/IP參考模型共有四層，從上至下分別為：應用層、傳輸層、網路層及網路介面層。
（1）、應用層：大致對應OSI的表示層、會話層、應用層，是TCP/IP模型的最上層，是面向用戶的各種應用軟體，是用戶訪問網路的界面，包括一些想用戶提供的常用應用程序，如電子郵件、Web瀏覽器、文件傳輸、遠程登錄等，也包括用戶在傳輸層智商建立的自己應用程序。
（2）、傳輸層：對應OSI的傳輸層。負責實現源主機和目的主機上的實體之間的通信。它提供了兩種服務：一種是可靠的、面向連接的服務（TCP協議）；一種是無連接的數據報服務（UDP協議）。為了實現可靠傳輸，要在會話時建立連接，對數據進行校驗和手法確認，通信完成後再拆除連接。
（3）、網路層：對應OSI的網路層，負責數據包的路由選擇功能，保證數據包能順利到達指定的目的地。一個報文的不同分組可能通過不同的路徑到達目的地，因此要對報文分組加一個順序標識符，以使目標主機接受到所有分組後，可以按序號將分組裝配起來，恢復原報文。
（4）、網路介面層：大致對應OSI的數據鏈路層和物理層，是TCP/IP模型的最低層。它負責接受IP數據包並通過網路傳輸介質發送數據包。

13、 常用網路服務有哪些，它們的作用。（P35）
答：（1）、Telnet：Telnet是一種網際網路遠程終端訪問服務。它能夠以字元方式模仿遠程終端，登錄遠程伺服器，訪問伺服器上的資源。
（2）、FTP：文件傳輸協議FTP的主要作用就是讓用戶連接上一個遠程計算機（這些計算機上運行著FTP伺服器程序）查看遠程計算機有哪些文件，然後把文件從遠程計算機上下載到本地計算機，或把本地計算機的文件上傳到遠程計算機去。
（3）、E-Mail：它為用戶提供有好的互動式界面，方便用戶編輯、閱讀、處理信件。
（4）、WWW：用戶通過瀏覽器可以方便地訪問Web上眾多的網頁，網頁包含了文本、圖片、語音、視頻等各種文件。
（5）、DNS：用於實現域名的解析，即尋找Internet域名並將它轉化為IP地址。

14、 安全訪問策略就是一組用於確認主體是否對客體具有訪問許可權的規則。
答：

15、 IP頭結構（P31）
答：IP頭+數據，IP頭有一個20位元組的固定長度部分和一個可選任意長度部分。

16、 TCP頭結構（P33）
答：埠源，目的埠，順序號，確認號，頭長度

17、 ping 指令的功能（P41）
答：ping命令用來檢測當前主機與目的主機之間的連通情況，它通過從當前主機向目的主機發送ICMP包，並接受應答信息來確定兩台計算機之間的網路是否連通，並可顯示ICMP包到達對方的時間。當網路運行中出現故障時，利用這個實用程序來預測故障和確定故障源是非常有效的。

18、 ftp命令中上傳和下載指令分別是什麼。（P48）
答：put：上傳文件到遠程伺服器。
get：下載文件到本地機器。

19、 怎麼利用Tracert指令來確定從一個主機到其他主機的路由。（P44）
答：通過向目標發送不同IP生存時間值的ICMP數據包，Tracert診斷程序確定到目標所採取的路由。

第3-4章
20、 什麼是基於密鑰的演算法（P52）
答：密碼體制的加密、解密演算法是公開的，演算法的可變參數（密鑰）是保密的，密碼系統的安全性僅依賴於密鑰的安全性，這樣的演算法稱為基於密鑰的演算法。

21、 什麼是對稱加密演算法、非對稱加密演算法（P54）
答：對稱加密演算法（Synmetric Algorithm），也稱為傳統密碼演算法，其加密密鑰與解密密鑰相同或很容易相互推算出來，因此也稱之為秘密密鑰演算法或單鑰演算法。
非對稱演算法（Asynmetric Algorithm）也稱公開密鑰演算法（Public Key Algorithm），是Whifield Diffie和Martin Hellman於1976年發明的，Ralph Merkle 也獨立提出了此概念。

22、 對DES、三重DES進行窮舉攻擊，各需要多少次。（P68）
答： 2的112平方 和2的64平方 （數學表達方式）

23、 給定p、q、e、M，設計一個RSA演算法，求公鑰、私鑰，並利用RSA進行加密和解密（P74）
答：公鑰：n=P*q e=（p-1）（q-1）私鑰d：e『e右上角有個-1』（（mod（p-1）（q-1）））加密c=m『右上角有e』（mod n） 解密 m=c『右上角有d』（mod n）

24、 使用對稱加密和仲裁者實現數字簽名的步驟（P87）
答：A用Kac加密准備發給B的消息M，並將之發給仲裁者，仲裁者用Kac解密消息，仲裁者把這個解密的消息及自己的證明S用Kac加密，仲裁者把加密消息給B，B用於仲裁者共享的密鑰Kac解密收到的消息，就可以看到來自於A的消息M來自仲裁者的證明S。

25、 使用公開密鑰體制進行數字簽名的步驟（P88）
答：A用他的私人密鑰加密消息，從而對文件簽名；A將簽名的消息發送給B；B用A的公開密鑰解消息，從而驗證簽名。

26、 使用公開密鑰體制與單向散列函數進行數字簽名的步驟（P89）
答：A使消息M通過單向散列函數H，產生散列值，即消息的指紋或稱消息驗證碼，A使用私人密鑰對散列值進行加密，形成數字簽名S，A把消息與數字簽名一起發給B，B收到消息和簽名後，用A的公開密鑰解密數字簽名S，再用同樣的演算法對消息運算生成算列值，B把自己生成的算列值域解密的數字簽名相比較。看是否匹配，從而驗證簽名。

27、 Kerberos定義。（P89）
答：Kerberos是為了TCP/IP網路設計的基於對稱密碼體系的可信第三方鑒別協議，負責在網路上進行可信仲裁及會話密鑰的分配。

28、 PKI定義（P91）
答：PLI就是一個用公鑰概念和技術實現的，為網路的數據和其他資源提供具有普適性安全服務的安全基礎設施。所有提供公鑰加密和數字簽名服務的系統都可以叫做PKI系統。

第5-7章
29、 Windows 2000 身份認證的兩個過程是（P106）
答：互動式登錄和網路身份認證。

30、 Windows 2000中用戶證書主要用於驗證消息發送者的SID（P107）

31、 Windows 2000安全系統支持Kerberos V5、安全套接字層/傳輸層安全（SSL/TLS）和NTLM三種身份認證機制（P107）

32、 Windows 2000提供哪些功能確保設備驅動程序和系統文件保持數字簽名狀態（P109）
答：Windows文件保護，系統文件檢查程序，文件簽名驗證。

33、 WINDOWS主機推薦使用的文件系統格式是NTFS

34、 使用文件加密系統對文件進行解密的步驟。（P113）
答：要解密一個文件，首先要對文件加密密鑰進行解密，當用戶的私鑰與這個公鑰匹配時，文件加密密鑰進行解密，用戶並不是唯一能對文件加密密鑰進行解密的人，當文件加密密鑰被解密後，可以被用戶或恢復代理用於文件資料的解密。

35、 常見的Web服務安全威脅有哪些（P128）
答：（1）、電子欺騙：是指以未經授權的方式模擬用戶或進程。
（2）、篡改：是指在未經授權的情況下更改或刪除資源。
（3）、否認：否認威脅是指隱藏攻擊的證據。
（4）、信息泄露：僅指偷竊或泄露應該保密的信息。
（5）、拒絕服務：「拒絕服務」攻擊是指故意導致應用程序的可用性降低。
（6）、特權升級：是指使用惡意手段獲取比正常分配的許可權更多的許可權。

36、 CGI提供了動態服務，可以在用戶和Web伺服器之間互動式通信(P129)

37、 JavaScript存在的5個主要的安全漏洞。（P131）
答：（1）、JavaScript可以欺騙用戶，將用戶的本地硬碟上的文件上載到Intemet上的任意主機。
（2）、JavaScript能獲得用戶本地硬碟上的目錄列表，這既代表了對隱私的侵犯又代表了安全風險。
（3）、JavaScript能監視用戶某時間內訪問的所有網頁，捕捉URL並將它們傳到Internet上的某台主機中。
（4）、JavaScript能夠觸發Netscape Navigator送出電子郵件信息而不需經過用戶允許。
（5）、嵌入網頁的JavaScript代碼是功蓋的，缺乏安全保密功能。

38、 什麼是Cookies，使用Cookies有什麼安全隱患。(P132)
答：Cookies是Netscape公司開發的一種機制，用來改善HTTP協議的無狀態性。

39、 IIS的安全配置主要包括哪幾個內容（P133）
答：（1）、刪除不必要的虛擬目錄。
（2）、刪除危險的IIS組件。
（3）、為IIS中的文件分類設置許可權。
（4）、刪除不必要的應用程序映射。
（5）、保護日誌安全。

40、 SSL結構，包括SSL協議的層次，主要作用(P142)
答：SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層： SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。 SSL協議提供的服務主要有： 1）認證用戶和伺服器，確保數據發送到正確的客戶機和伺服器； 2）加密數據以防止數據中途被竊取； 3）維護數據的完整性，確保數據在傳輸過程中不被改變。

41、 SSL會話通過握手協議來創建（P143）

42、 什麼是SET，它主要提供哪三種服務（P153）
答：SET本身不是支付系統，而使一個安全協議和規范的集合，是使用戶能夠在網路上以一種安全的方式應用信用卡支付的基礎設施。
主要提供的三種服務：（1）、在參與交易的各方之間提供安全的通信通道。
（2）、使用X.509v3證書為用戶提供一種信任機制。
（3）、保護隱私信息，這些信息只有在必要的時間和地點才可以由當事人雙方使用。

43、 SET的參與者（P154）
答：（1）、持卡人（顧客）。 （2）、商家。 （3）、發卡機構。 （4）、代理商。 （5）、支付網關。 （6）、證書權威。

44、 SET協議使用SHA-1散列碼和RSA數字簽名來提供消息完整性（P154）

45、 SET協議使用X.509v3和RSA數字簽名來提供持卡人賬戶認證（P154）

46、 雙重簽名機制的主要特點：雙重簽名機制可以巧妙的把發送給不同接受者的兩條消息聯系起來，而又很好的保護了消費者的隱私（P155）

47、 電子郵件不是一種「端到端」的服務，而是被稱為「存儲轉發」服務。（P157）

48、 郵件網關的功能（P158）
答：（1）、預防功能。能夠保護機密信息，防止郵件泄密造成公司的損失，用戶可以理由郵件的接收者、發送者、標題、附件和正文來定製郵件的屬性。
（2）、監控功能。快速識別和監控無規則的郵件，減少公司員工不恰當使用E-mail，防止垃圾郵件阻塞郵件伺服器。
（3）、跟蹤功能。軟體可以跟蹤公司的重要郵件，它可以按接收者、發送者、標題、附件和日期搜索。郵件伺服器可以作為郵件資料庫，可以打開郵件附件也可以存儲到磁碟上。
（4）、郵件備份。可以根據日期和文件做郵件備份，並且可以輸出到便利的存儲器上整理歸檔。如果郵件伺服器出現問題，則郵件備份系統可以維持普通的郵件功能防止丟失郵件。

49、 根據用途，郵件網關可分為哪三種（P158）
答：根據郵件網關的用途可將其分成：普通郵件網關、郵件過濾網關和反垃圾郵件網關。

50、 SMTP協議與POP3協議的區別：SMTP協議用於郵件伺服器之間傳送郵件，POP3協議用於用戶從郵件伺服器上把郵件存儲到本地主機。（P159）
答：

51、 什麼是電子郵件「欺騙」（P161）
答：電子郵件欺騙是在電子郵件中改變名字，使之看起來是從某地或某人發出來的行為。

52、 進行電子郵件欺騙的三種基本方法（P161）
答：（1）、相似的電子郵件地址；
（2）、修改郵件客戶；
（3）、遠程登錄到25埠。

53、 PGP通過使用加密簽字實現安全E-mai（P166）

54、 PGP的三個主要功能（P166）
答：（1）、使用強大的IDEA加密演算法對存儲在計算機上的文件加密。經加密的文件只能由知道密鑰的人解密閱讀。
（2）、使用公開密鑰加密技術對電子郵件進行加密。經加密的電子郵件只有收件人本人才能解密閱讀。
（3）、使用公開密鑰加密技術對文件或電子郵件做數字簽名，鑒定人可以用起草人的公開密鑰鑒別真偽。

第8-10章
55、 防火牆定義（P179）
答：網路術語中所說的防火牆（Firewall）是指隔離在內部網路與外部網路之間的一道防禦系統，它能擋住來自外部網路的攻擊和入侵，保障內部網路的安全。

56、 什麼是數據驅動攻擊（P180）
答：入侵者把一些具有破壞性的數據藏匿在普通數據中傳送到Internet主機上，當這些數據被激活時就會發生數據驅動攻擊。

57、 防火牆的功能（P181）
答：（1）、可以限制未授權用戶進入內部網路，過濾掉不安全服務和非法用戶。
（2）、防止入侵者接近內部網路的防禦設施，對網路攻擊進行檢測和告警。
（3）、限制內部用戶訪問特殊站點。
（4）、記錄通過防火牆的信息內容和活動，為監視Internet安全提供方便。

58、 防火牆應的特性（P181）
答：（1）、所有在內部網路和外部網路之間傳輸的數據都必須通過防火牆。
（2）、只有被授權的合法數據，即防火牆安全策略允許的數據，可以通過防火牆。
（3）、防火牆本身具有預防入侵的功能，不受各種攻擊的影響。
（4）、人機界面良好，用戶配置實用方便，易管理。系統管理員可以方便地對防火牆進行設置，對Internet的訪問者、被訪問者、訪問協議以及訪問方式進行控制。

59、 防火牆的缺點（P182）
答：（1）、不能防範惡意的內部用戶。
（2）、不能防範不通過防火牆的連接。
（3）、不能防範全部的威脅。
（4）、防火牆不能防範病毒。

60、 防火牆技術主要有包過濾防火牆和代理伺服器（P182）

61、 包過濾防火牆的定義（P182）
答：包過濾防火牆又稱網路層防火牆，它對進出內部網路的所有信息進行分析，並按照一定的信息過濾規則對信息進行限制，允許授權信息通過，拒絕非授權信息通過。

62、 包過濾的定義（P183）
答：包過濾（Packet Filtering）急速在網路層中對數據包實施有選擇的通過，依據系統事先設定好的過濾規則，檢查數據流中的每個包，根據包頭信息來確定是否允許數據包通過，拒絕發送可疑的包。

63、 包過濾防火牆的優點（P183）
答：（1）、一個屏蔽路由器能保護整個網路。
（2）、包過濾對用戶透明。
（3）、屏蔽路由器速度快、效率高。

64、 包過濾型防火牆工作在網路層（P183）

65、 三種常見的防火牆體系結構（P187）
答：（1）、雙重宿主主機結構。 （2）、屏蔽主機結構。 （3）、屏蔽子網結構。

66、 屏蔽主機結構由什麼組成（P188）
答：屏蔽主機結構需要配備一台堡壘主機和一個有過濾功能的屏蔽路由器。

67、 分布式防火牆的優點（P192）
答：（1）、增強的系統安全性。
（2）、提高了系統性能。
（3）、系統的擴展性。
（4）、應用更為廣泛，支持VPN通信。

68、 病毒的定義（P199）
答：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。

69、 病毒的生命周期（P200）
答：隱藏階段、觸發階段、執行階段。

70、 病毒的特徵（P201）
答：（1）、傳染性：傳染性是病毒的基本特徵。
（2）、破壞性：所有的計算機病毒都是一種可執行程序，而這一執行程序又不然要運行，所以對系統來講，病毒都存在一個共同的危害，即佔用系統資源、降低計算機系統的工作效率。
（3）、潛伏性：一個編制精巧的計算機病毒程序，進入系統之後一般不會馬上發作，可以在幾周或者幾個月內隱藏在合法文件中，對其他系統進行傳染，而不被人發現。
（4）、可執行性：計算機病毒與其他合法程序一樣，是一段可執行性程序，但常常不是一個完整的程序，而使寄生在其他可執行程序中的一段代碼。
（5）、可觸發性：病毒因某個時間或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。
（6）、隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序。如果不經過代碼分析，感染了病毒的程序與正常程序是不容易區別的。

71、 病毒的分類，蠕蟲病毒屬於一種網路病毒，CIH屬於文件型病毒（P202）

72、 病毒的主要傳播途徑（P203）
答：（1）、通過移動儲存設備來傳播。
（2）、網路傳播。
（3）、無線傳播。

73、 蠕蟲病毒的基本程序結構包括哪些模塊（P209）
答：（1）、傳播模塊：負責蠕蟲的傳播。傳播模塊又可以分為三個基本模塊：掃描模塊、攻擊模塊和復制模塊。
（2）、隱藏模塊：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。
（3）、目的功能模塊：實現對計算機的控制、監視或破壞等功能。

74、 木馬（通過植入用戶的計算機，獲取系統中的有用數據）、蠕蟲（P208）、網頁病毒（P203）各有什麼特點即它們各自定義。
答：木馬：通過植入用戶的計算機，獲取系統中的有用數據。
蠕蟲：是一種通過網路傳播的惡性病毒。
網頁病毒：也稱網頁惡意代碼，是指網頁中JavaApplet，JavaScript或者ActiveX設計的非法惡意程序。

第11-12章
75、 獲取口令的常用方法(P225)
答：（1）、通過網路監聽非法得到用戶口令。
（2）、口令的窮舉攻擊。
（3）、利用系統管理員的失誤。

76、 埠掃描器通常分為哪三類（P227）
答：資料庫安全掃描器、操作系統安全掃描器和網路安全掃描器。

77、 埠掃描技術包括（P228）
答：（1）、TCPconnect()掃描。
（2）、TCP SYN掃描。
（3）、TCP FIN掃描。
（4）、IP段掃描。
（5）、TCP反向ident掃描。
（6）、FTP返回攻擊。
（7）、UDP ICMP埠不能到達掃描。
（8）、ICMP echo掃描。

78、 如何發現Sniffer（P230）
答：（1）、網路通信掉包率特別高。
（2）、網路寬頻出現異常。
（3）、對於懷疑運行監聽程序的主機，用正確的IP地址和錯誤的物理地址去PING，正常的機器不接收錯誤的物理地址，出於監聽狀態的機器能接收，這種方法依賴系統的IPSTACK,對有些系統可能行不通。
（4）、往網上發送大量包含不存在的物理地址的包，由於監聽程序要處理這些包，將導致性能下降，通過比較前後該機器的性能（Icmp Echo Delay等方法）加以判斷。
（5）、另外，目前也有許多探測sniffer的應用程序可以用來幫助探測sniffer，如ISS的anti-Sniffer、Sentinel、Lopht的Antisniff等。

79、 防禦網路監聽的方法（P231）
答：（1）、從邏輯上火物理上對網路分段。
（2）、以交換式集線器代替共享式集線器。
（3）、使用加密技術。
（4）、劃分VLAN。

80、 什麼是拒絕服務攻擊（P233）
答：拒絕服務攻擊是指一個用戶占據了大量的共享資源，使系統沒有剩餘的資源給其他用戶提供服務的一種攻擊方式。

81、 分布式拒絕服務攻擊體系包括哪三層（P234）
答：（1）、攻擊者：攻擊者所用的計算機是攻擊主控台，可以是網路上的任何一台主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發送攻擊命令。
（2）、主控端：主控端是攻擊者非法入侵並控制的一些主機，這些主機還分別控制大量 的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發來的特殊指令，並且可以把這些命令發送到代理主機上。
（3）、代理端：代理端同樣也是攻擊者入侵並控制的一批主機，在它們上面運行攻擊器程序，接受和運行主控端發來的命令。代理端主機是攻擊的執行者，由它向受害者主機實際發起進攻。

82、 木馬入侵原理（P236）
配置木馬，傳播木馬，運行木馬，信息泄露，建立連接，遠程式控制制。
83、 入侵檢測定義（P241）
答：入侵檢測（Intrusion Detection）,顧名思義，即是對入侵行為的發覺。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統（Intrusion Detection System,IDS）。

84、 入侵檢測過程包括信息收集和信號分析（P243）

85、 入侵檢測過程中的三種信號分析方法（P243）
答：（1）、模式匹配的方法：模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。
（2）、統計分析的方法：統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統一描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。
（3）、完整性分析的方法：完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性的變化。

86、 按照數據來源，入侵檢測系統可分為哪三種（P244）
答：（1）、基於主機的入侵檢測系統。
（2）、基於網路的入侵檢測系統。
（3）、採用上述兩種數據來源的分布式的入侵檢測系統。

87、 什麼是模式匹配方法（P244）
答：模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。

88、 基於網路的入侵檢測系統的組成（P246）
答：網路安全資料庫，安全配置機構，探測器，分析引擎。

89、 網路管理有哪五大功能(P258)
答：配置管理（Configuration Management）、性能管理（Performance Management）、故障管理（Fault Management）、計費管理（Accounting Management）、安全管理（Security Management）。

90、 OSI系統的管理結構（P262）
答：管理系統中的代理實現被管理對象的訪問，被管理對象資源的感念性存儲稱為管理信息庫，管理者和代理之間使用OSI通信協議再進行通信，其中CMIP是網路管理的應用層協議，在OSI網路管理中起關鍵作用

91、 TCP/IP網路中應用最為廣泛的網路管理協議是SNMP。(P264)

92、 網路管理體系結構的三種模型（P293）
答：集中式體系結果、分層式體系結構、分布式體系結構。