換位密碼網路安全

⑴ 網路安全基礎

網路安全通信所需要的基本屬性：

1. 機密性

2. 消息完整性

3. 可訪問與可用性

4. 身份認證

1. 竊聽

2. 插入

3. 假冒

4. 劫持

5. 拒絕服務DoS和分布式拒絕服務DDoS

6. 映射

7. 嗅探

8. IP欺騙

數據加密

      明文：未被加密的消息

      密文：被加密的消息

      加密：偽裝消息以隱藏消息的過程，即 明文 密文 的過程.

      解密： 密文 明文 的過程

1. 替代密碼 ：用密文字母替代明文字母。

    移位密碼加密函數：

    

     ：加密過程

    ：明文信息

     ：密鑰，表示移幾位

     ：如果是26個字母，那q就是26

    解密函數：

    

     ：解密過程

     ：密文

      ：密鑰

2.  換位密碼 ：根據一定規則重新排列明文。

    【 例題 】如果對明文「bob.i love you. Alice"，利用k=3的凱撒密碼加密，得到的密文是什麼？利用密鑰 "nice" 進行列置換加密後得到的密文是什麼？

    【 答案 】 凱撒密碼 加密後得到的密文是：

        "ere l oryh brx Dolfh"

         列置換密碼 加密後得到的密文是：

        iex bvu bly ooo"

    【 解析 】 凱撒密碼 ：

        以明文字母b為例，M=2（b的位置為2），k=3，q=26，則：

        密文 ，對應字母e，故b經過加密轉為了e

        將明文全部替換後得到的密文 "ere l oryh brx Dolfh"

          列置換密碼:

        密鑰 "nice" 字母表先後順序為 "4，3，1，2" ，因此，按這個順序讀出表中字母，構成密文："iex bvu bly ooo"，（密鑰有幾位就有幾列，如果明文不夠就補x，然後按列讀取）

1. 對稱密鑰 密碼：加密秘鑰和解密秘鑰相同（ ），例如用一個鎖將箱子鎖起來，這個鎖有2把相同的鑰匙，鎖好之後把另一把鑰匙派人送給他。

2. 對稱密鑰密碼 分類 ：

     分組密碼：DES、AES、IDEA等。（分組處理）

        1） （數據加密標准）：56位密鑰，64位分組。（56位二進制數，每位的取值是0或1，則所有的取值就是 個）

        2） ：使用 兩個秘鑰 （共 112位 ），執行三次DES演算法。(用1個密鑰執行一次加密，再用另一個密鑰執行一次解密，共執行三次)

        3） （高級加密演算法）：分組128位,密鑰 128/192/256 位。

        4）IDEA：分組64位，密鑰 128 位。

     流密碼（挨個處理）

1. 非對稱密鑰 密碼：加密密鑰和解密密鑰不同， ，其中一個用於加密，另一個用於解密。（ 私鑰 ：持有人所有  公鑰 ：公開的）

2. 加密密鑰可以公開，也稱公開密鑰加密。

3. 典型的公鑰演算法：

      Diffie-Hellman演算法

      RSA演算法

密碼散列函數

1. 特性：

      定長輸出；

      單向性（無法根據散列值逆推報文）

      抗碰撞性（無法找到具有相同散列值的兩個報文）

2. 典型的散列函數

      MD5：128位散列值

      SHA-1：160位散列值

報文認證是使消息的接收者能夠檢驗收到的消息是否是真實的認證方法。來源真實，未被篡改。

1. 報文摘要（數字指紋）

2. 報文認證方法

      簡單報文驗證：僅使用報文摘要，無法驗證來源真實性

      報文認證碼：使用共享認證密匙，但無法防止接收方篡改

身份認證、數據完整性、不可否認性

1. 簡單數字簽名：直接對報文簽名

2. 簽名報文摘要

1. 口令：會被竊聽

2. 加密口令：可能遭受回放/重放攻擊

    加密的口令可能會被截獲，雖然不知道口令是什麼，但他將加密口令提交給伺服器，說這是我加密的口令，這叫重放.

3. 加密一次性隨機數：可能遭受中間人攻擊

Alice發給Bob說她是Alice，但Bob說你要向我證明，Bob生成一個隨機數發給Alice，讓Alice用自己的私鑰進行加密，加密後再把數據發給Bob，然後Bob再向Alice要公鑰進行解密解出來的隨機數如果和Bob發給Alice的隨機數一樣的話，那就說明她是Alice。

這種方法會被中間人攻擊，Alice發送的私鑰加密被Trudy更換為自己用私鑰加密的數據然後發給Bob，公鑰也被Trudy換了，最後Bob用公鑰加密數據發給Alice，Trudy截獲了，用自己的私鑰進行解密，獲得了數據。

密鑰分發存在漏洞：主要在密鑰的分發和對公鑰的認證環節，這需要密匙分發中心與證書認證機構解決

雙方通信時需要協商一個密鑰，然後進行加密，每次通信都要協商一個密鑰，防止密鑰被人截獲後重復使用，所以密鑰每次都要更換，這就涉及到密鑰分發問題。

基於 KDC 的秘鑰生成和分發

認證中心CA：將公鑰與特定的實體綁定

1. 證實一個實體的真實身份；

2. 為實體頒發 數字證書 （實體身份和 公鑰 綁定）。

防火牆 ：能夠隔離組織內部網路與公共互聯網，允許某些分組通過，而阻止其它分組進入或離開內部網路的軟體、硬體或者軟硬體結合的一種設施。

前提 ：從外部到內部和從內部到外部的所有流量都經過防火牆

1. 無狀態分組過濾器

    基於特定規則對分組是通過還是丟棄進行決策，如使用 實現防火牆規則。

2. 有狀態分組過濾器

    跟蹤每個TCP連接建立、拆除，根據狀態確定是否允許分組通過。

3. 應用網關

    鑒別 用戶身份 或針對 授權用戶 開放 特定服務 。

入侵檢測系統（IDS）：當觀察到潛在的惡意流量時，能夠產生警告的設備或系統。

1. 電子郵件安全需求

    1）機密性

    2）完整性

    3）身份認證性

    4）抗抵賴性

2. 安全電子郵件標准：

1. SSL是介於 和 之間的安全協議.

2. SSL協議棧

    (傳統的TCP協議是沒有安全協議的，傳輸都是明文，所以在TCP上面設置SSL協議保證安全性)

3. SSL握手過程

    協商密碼組，生成秘鑰，伺服器/客戶認證與鑒別。

1. VPN

    建立在 上的安全通道，實現遠程用戶、分支機構、業務夥伴等與機構總部網路的安全連接，從而構建針對特定組織機構的專用網路。

     關鍵技術 ： ，如IPSec。

2. 典型的 網路層安全協議 ——

    提供機密性、身份鑒別、數據完整性和防重放攻擊服務。

    體系結構： 認證頭AH協議 、 封裝安全載荷ESP協議 。

    運行模式： 傳輸模式 （AH傳輸模式、ESP傳輸模式）、 隧道模式 （AH隧道模式、ESP隧道模式）

本文主要介紹了網路安全基本概念、數據加密演算法、消息完整性與數字簽名、身份認證、密鑰分發中心與證書認證機構、防火牆與入侵檢測以及網路安全協議等內容。

回顧：

1. 網路安全基本屬性

2. 典型數據加密演算法；

3. 消息完整性、數字前面以及身份認證原理。

⑵ 計算機信息安全技術的主要課程

1.1威脅計算機信息安全的因素
1.2計算機信息安全研究的內容
1.2.1計算機外部安全
1.2.2計算機內部安全
1.2.3計算機網路安全
1.3OSI信息安全體系
1.3.1安全服務
1.3.2安全機制
1.4計算機系統的安全策略
1.4.1安全策略
1.4.2人、制度和技術之間的關系
1.5計算機系統的可靠性
1.5.1避錯和容錯
1.5.2容錯設計
1.5.3故障恢復策略
習題1 2.1密碼技術概述
2.2古典加密方法
2.2.1代替密碼
2.2.2換位密碼
2.2.3對稱加密體制
2.3數據加密標准DES
2.3.1DES演算法描述
2.3.2DES演算法加密過程
2.3.3DES演算法解密過程
2.3.4三重DES演算法
2.4高級加密標准AES
2.4.1AES演算法數學基礎
2.4.2AES演算法概述
2.4.3AES演算法加密過程
2.4.4AES演算法解密過程
2.4.5AES演算法安全性
2.5公開密鑰體制
2.6RSA演算法
2.6.1RSA演算法數學基礎
2.6.2RSA演算法基礎
2.6.3RSA演算法過程
2.6.4RSA演算法安全性
2.7NTRU演算法
2.7.1NTRU演算法數學基礎
2.7.2NTRU演算法描述
2.7.3NTRU演算法舉例
2.8對稱加密體制與公開密鑰體制比較
2.9信息隱藏技術
2.10數字水印
2.10.1數字水印的通用模型
2.10.2數字水印主要特性
2.10.3數字水印分類
2.10.4典型數字水印演算法
2.10.5數字水印應用
2.10.6數字水印攻擊
習題2 3.1數字簽名概述
3.1.1數字簽名原理
3.1.2數字簽名標准DSS
3.1.3PGP電子郵件加密
3.2單向散列函數
3.2.1單向散列函數特點
3.2.2MD5演算法
3.2.3SHA演算法
3.2.4SHA-1與MD5的比較
3.3Kerberos身份驗證
3.3.1什麼是Kerberos
3.3.2Kerberos工作原理
3.4公開密鑰基礎設施PKI
3.4.1數字證書
3.4.2PKI基本組成
3.4.3對PKI的性能要求
3.4.4PKI的標准
3.5用戶ID與口令機制
3.5.1用戶認證ID
3.5.2不安全口令
3.5.3安全口令
3.5.4口令攻擊
3.5.5改進方案
3.6生物特徵識別技術
3.6.1生物特徵識別系統組成
3.6.2指紋識別
3.6.3虹膜識別
3.6.4其他生物識別技術
3.7智能卡
習題3 4.1計算機病毒概述
4.1.1計算機病毒的定義
4.1.2計算機病毒的特徵
4.1.3計算機病毒的產生原因
4.1.4計算機病毒的傳播途徑
4.1.5計算機病毒的分類
4.1.6計算機病毒的表現現象
4.1.7計算機病毒程序的一般構成
4.2計算機病毒製作技術
4.3計算機殺毒軟體製作技術
4.4蠕蟲病毒分析
4.5特洛伊木馬
4.5.1黑客程序與特洛伊木馬
4.5.2木馬的基本原理
4.5.3特洛伊木馬的啟動方式
4.5.4特洛伊木馬埠
4.5.5特洛伊木馬的隱藏
4.5.6特洛伊木馬分類
4.5.7特洛伊木馬查殺
4.6計算機病毒與黑客的防範
習題4 5.1網路安全漏洞
5.2目標探測
5.2.1目標探測的內容
5.2.2目標探測的方法
5.3掃描概念和原理
5.3.1掃描器概念
5.3.2常用埠掃描技術
5.3.3防止埠掃描
5.4網路監聽
5.4.1網路監聽原理
5.4.2網路監聽檢測與防範
5.4.3嗅探器Sniffer介紹
5.5緩沖區溢出
5.5.1緩沖區溢出原理
5.5.2緩沖區溢出攻擊方法
5.5.3防範緩沖區溢出
5.6拒絕服務
5.6.1拒絕服務DDoS
5.6.2分布式拒絕服務DDoS
5.6.3DDoS攻擊的步驟
5.6.4防範DDoS攻擊的策略
5.7欺騙攻擊與防範
5.7.1IP欺騙攻擊與防範
5.7.2IP地址盜用與防範
5.7.3DNS欺騙與防範
5.7.4Web欺騙與防範
5.8網路安全服務協議
5.8.1安全套接層協議SSL
5.8.2傳輸層安全協議TLS
5.8.3安全通道協議SSH
5.8.4安全電子交易SET
5.8.5網際協議安全IPSec
5.9無線網安全
5.9.1IEEE802.11b安全協議
5.9.2IEEE802.11i安全協議
5.9.3WAPI安全協議
5.9.4擴展頻譜技術
習題5 6.1防火牆概述
6.1.1防火牆的概念
6.1.2防火牆的主要功能
6.1.3防火牆的基本類型
6.2防火牆的體系結構
6.2.1篩選路由器結構
6.2.2雙宿主主機結構
6.2.3屏蔽主機網關結構
6.2.4屏蔽子網結構
6.3防火牆技術
6.3.1包過濾技術
6.3.2代理服務技術
6.3.3電路層網關技術
6.3.4狀態檢測技術
6.4分布式防火牆
6.4.1傳統邊界式防火牆
6.4.2分布式防火牆概述
6.4.3分布式防火牆組成
6.4.4分布式防火牆工作原理
6.5防火牆安全策略
6.5.1防火牆服務訪問策略
6.5.2防火牆設計策略
6.6Windows XP防火牆
6.7防火牆的選購
6.8個人防火牆程序設計介紹
習題6 7.1入侵檢測系統概述
7.2入侵檢測一般步驟
7.3入侵檢測系統分類
7.3.1根據系統所檢測的對象分類
7.3.2根據數據分析方法分類
7.3.3根據體系結構分類
7.4入侵檢測系統關鍵技術
7.5入侵檢測系統模型介紹
7.5.1分布式入侵檢測系統
7.5.2基於移動代理的入侵檢測系統
7.5.3智能入侵檢測系統
7.6入侵檢測系統標准化
7.6.1入侵檢測工作組IDWG
7.6.2通用入侵檢測框架CIDF
7.7入侵檢測系統Snort
7.8入侵檢測產品選購
習題7 8.1數字取證概述
8.2電子證據
8.2.1電子證據的概念
8.2.2電子證據的特點
8.2.3常見電子設備中的電子證據
8.3數字取證原則和過程
8.3.1數字取證原則
8.3.2數字取證過程
8.4網路取證技術
8.4.1網路取證概述
8.4.2網路取證模型
8.4.3IDS取證技術
8.4.4蜜阱取證技術
8.4.5模糊專家系統取證技術
8.4.6SVM取證技術
8.4.7惡意代碼技術
8.5數字取證常用工具
習題8 9.1操作系統的安全性
9.1.1操作系統安全功能
9.1.2操作系統安全設計
9.1.3操作系統的安全配置
9.1.4操作系統的安全性
9.2Windows安全機制
9.2.1Windows安全機制概述
9.2.2活動目錄服務
9.2.3認證服務
9.2.4加密文件系統
9.2.5安全模板
9.2.6安全賬號管理器
9.2.7其他方面
9.3Windows安全配置
9.4UNIX安全機制
9.5Linux安全機制
9.5.1PAM機制
9.5.2安全審計
9.5.3強制訪問控制
9.5.4用戶和文件配置
9.5.5網路配置
9.5.6Linux安全模塊LSM
9.5.7加密文件系統
9.6Linux安全配置
習題9 10.1數據備份概述
10.2系統數據備份
10.2.1磁碟陣列RAID技術
10.2.2系統還原卡
10.2.3克隆大師Ghost
10.2.4其他備份方法
10.3用戶數據備份
10.3.1Second Copy 2000
10.3.2File Genie 2000
10.4網路數據備份
10.4.1網路備份系統
10.4.2DAS直接連接存儲
10.4.3NAS網路連接存儲
10.4.4SAN存儲網路
10.4.5IP存儲技術
10.4.6數據遷移技術
10.5數據恢復
10.5.1數據恢復概述
10.5.2硬碟數據恢復
10.5.3EasyRecovery
10.5.4FinalData
習題10 11.1軟體保護技術概述
11.2靜態分析技術
11.2.1文件類型分析
11.2.2W32Dasm
11.2.3IDA Pro簡介
11.2.4可執行文件代碼編輯工具
11.2.5可執行文件資源編輯工具
11.3動態分析技術
11.3.1SoftICE調試器
11.3.2OllyDbg調試器
11.4常用軟體保護技術
11.4.1序列號保護機制
11.4.2警告（NAG）窗口
11.4.3時間限制
11.4.4時間段限制
11.4.5注冊保護
11.4.6功能限制
11.4.7光碟軟體保護
11.4.8軟體狗
11.4.9軟盤保護技術
11.4.10反跟蹤技術
11.4.11網路軟體保護
11.4.12補丁技術
11.5軟體加殼與脫殼
11.5.1「殼」的概念
11.5.2「殼」的載入
11.5.3軟體加殼工具介紹
11.5.4軟體脫殼
11.6設計軟體保護的建議
習題11 實驗1加密與隱藏
實驗2破解密碼
實驗3網路漏洞掃描
實驗4「冰河」黑客工具
實驗5網路監聽工具Sniffer
實驗6個人防火牆配置
實驗7入侵檢測軟體設置
實驗8Windows 2000/XP/2003安全設置
實驗9系統數據備份
實驗10用戶數據備份
實驗11數據恢復
實驗12軟體靜態分析
實驗13資源編輯工具
實驗14軟體動態分析

⑶ 簡述計算機安全的三種類型

1、實體安全

計算機系統實體是指計算機系統的硬體部分，應包括計算機本身的硬體和各種介面、各種相應的外部設備、計算機網路的通訊設備、線路和信道等。

而計算機實體安全是指為了保證計算機信息系統安全可靠運行，確保在對信息進行採集、處理、傳輸和存儲過程中，不致受到人為或自然因素的危害，而使信息丟失、泄密或破壞，對計算機設備、設施(包括機房建築、供電、空調等)、環境、人員等採取適當的安全措施。

是防止對信息威脅和攻擊的第一步，也是防止對信息威脅和攻擊的天然屏障，是基礎。主要包括以下內容：

環境安全。主要是對計算機信息系統所在環境的區域保護和災難保護。要求計算機場地要有防火、防水、防盜措施和設施，有攔截、屏蔽、均壓分流、接地防雷等設施;有防靜電、防塵設備，溫度、濕度和潔凈度在一定的控制范圍等等。

設備安全。主要是對計算機信息系統設備的安全保護，包括設備的防毀、防盜、防止電磁信號輻射泄漏、防止線路截獲;對UPS、存儲器和外部設備的保護等。

媒體安全。主要包括媒體數據的安全及媒體本身的安全。目的是保護媒體數據的安全刪除和媒體的安全銷毀，防止媒體實體被盜、防毀和防霉等。

2、運行安全

系統的運行安全是計算機信息系統安全的重要環節，因為只有計算機信息系統的運行過程中的安全得到保證，才能完成對信息的正確處理，達到發揮系統各項功能的目的。包括系統風險管理、審計跟蹤、備份與恢復、應急處理四個方面內容。

風險分析是指用於威脅發生的可能性以及系統易於受到攻擊的脆弱性而引起的潛在損失步驟，是風險管理程序的基礎，其最終目的是幫助選擇安全防護並將風險降低到可接受的程度。

計算機信息系統在設計前和運行前需要進行靜態分析，旨在發現系統的潛在安全隱患;其次對系統進行動態分析，即在系統運行過程中測試，跟蹤並記錄其活動，旨在發現系統運行期的安全漏洞;最後是系統運行後的分析，並提供相應的系統脆弱性分析報告。

常見的風險有後門/陷阱門、犯大錯誤、拒絕使用、無法使用、偽造、故意對程序或數據破壞、邏輯炸彈、錯誤傳遞、計算機病毒和超級處理等。常見分析工具有自動風險評估系統ARESH、Bayesian判決輔助系統、Livermore風險分析法等。

審計跟蹤是利用對計算機信息系統審計的方法，對計算機信息系統工作過程進行詳盡的審計跟蹤，記錄和跟蹤各種系統狀態的變化，如用戶使用系統的時間和日期及操作，對程序和文件的使用監控等，以保存、維護和管理審計日誌，實現對各種安全事故的定位。

也是一種保證計算機信息系統運行安全的常用且有效的技術手段。

備份與恢復是對重要的系統文件、數據進行備份，且備份放在異處，甚至對重要設備也有備份，以確保在系統崩潰或數據丟失後能及時准確進行恢復，保障信息處理操作仍能進行。可採取磁碟鏡像、磁碟冗餘陣列等技術。

應急處理主要是在計算機信息系統受到損害、系統崩潰或發生災難事件時，應有完善可行的應急計劃和快速恢復實施應急措施，基本做到反應緊急、備份完備和恢復及時，使系統能正常運行，以盡可能減少由此而產生的損失。

3、信息安全

計算機信息系統的信息安全是核心，是指防止信息財產被故意或偶然的泄漏、更改、破壞或使信息被非法系統辨識、控制，確保信息的保密性、完整性、可用性和可控性。針對計算機信息系統中的信息存在形式和運行特點，信息安全可分為操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制和加密。

操作系統安全。是指操作系統對計算機信息系統的硬體和軟體資源進行有效控制，對程序執行期間使用資源的合法性進行檢查，利用對程序和數據的讀、寫管理，防止因蓄意破壞或意外事故對信息造成的威脅，從而達到保護信息的完整性、可用性和保密性。

操作系統安全可通過用戶認證、隔離、存取控制及完整性等幾種方法來實現。用戶認證就是系統有一個對用戶識別的方法，通過用戶名和口令實現，口令機制有口令字、IC卡控制、指紋鑒別和視網膜鑒別等。

隔離技術是在電子數據處理成份的周圍建立屏障，以使該環境中實施存取規則，可通過物理隔離、時間隔離、邏輯隔離和密碼技術隔離來實現。

存取控制是對程序執行期間訪問資源的合法性進行檢查，並通過控制對數據和程序的讀、寫、修改、刪除和執行等操作進行保護，防止因事故和有意破壞造成對信息的威脅。系統完整性涉及到程序和數據兩方面，程序完整性要在整個程序設計活動中嚴格控制;數據完整性由錯誤控制進行保護。

資料庫安全。資料庫系統中的數據的安全性包括:完整性——只有授權用戶才能修改信息，不允許用戶對信息進行非法修改;可用性——當授權用戶存取其有權使用的信息時，資料庫系統一定能提供這些信息;保密性——只有授權用戶才能存取信息。

實現資料庫安全可通過用戶認證、身份鑒別、訪問控制和資料庫內外加密等方法來實現。用戶認證通過在操作系統用戶認證基礎上，要求用戶對通行字、日期和時間檢查認證。身份鑒別是資料庫系統具備的獨立的用戶身份鑒別機制。

訪問機制，運用安全級元素的確定、視圖技術等方法，確保用戶僅能訪問已授權的數據，並可保證同一組數據的不同用戶被授予不同訪問許可權。

資料庫外加密是操作系統完成的，如採用文件加密方法等，把數據形成存儲塊送入資料庫；資料庫內加密是對資料庫以數據元素、域或記錄形式加密，常用加密方法有DES加密、子密鑰資料庫加密和秘密同態加密技術等。

訪問控制。是系統安全機制的核心，對處理狀態下的信息進行保護，對所有直接存取活動進行授權;同時，對程序執行期間訪問資源的合法性進行檢查，控制對數據和程序的讀、寫、修改、刪除、執行等操作，防止因事故和有意破壞對信息的威脅，主要包括授權、確定存取許可權和實施許可權三個內容。

通過最小授權、存取權分離、實體許可權的時效性和對存取訪問的監督檢查、訪問控製表、訪問控制矩陣和能力表等方法來實現。

密碼技術。計算機數據信息的加密基本上屬於通信加密的類型，但又不同於一般的通信保密技術，被加密的明文往往是程序或其他處理的原始數據或是運行結果，而形成的密文是靜態的，一般不是執行中的程序，僅用以存儲或作為通信輸出。

一般密碼系統包括明文、密文、加密、解密和密鑰五部分，常見密碼加密有換位加密、矩陣移位加密、定長置換加密、替代密碼和DES加密、RAS加密、PKI和MD5等演算法。

計算機網路安全。在計算機網路中傳遞的信息普遍面臨著主動攻擊的危害，主動攻擊中最主要的方法就是對信息進行修改，比如對信息的內容進行更改、刪除、添加；改變信息的源或目的地；改變報文分組的順序或將同一報文反復;篡改回執等。

而在計算機網路信息系統中，信息的交換是其存在的基礎。而從安全形度上考慮，就必須保證這些交換過程的安全和內容的有效性及合法性。對於網路安全的實用技術有:身份驗證；報文驗證；數字簽名；防火牆。

計算機病毒。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或程序代碼。其本質是一種具有自我復制能力的程序，具有復制性、傳播性和破壞性。

計算機病毒不同於生物醫學上的「病毒」，計算機病毒不是天然存在的，是人故意編制的一種特殊的計算機程序。計算機病毒對信息系統有極大的危害性，輕者可以增加系統開銷，降低系統工作效率;重者可使程序、數據丟失，甚至系統崩潰，無法工作，更甚者造成計算機主板毀壞，如CIH病毒等。

(3)換位密碼網路安全擴展閱讀

常用防護策略

1、安裝殺毒軟體

對於一般用戶而言，首先要做的就是為電腦安裝一套殺毒軟體，並定期升級所安裝的殺毒軟體，打開殺毒軟體的實時監控程序。

2、安裝個人防火牆

安裝個人防火牆（Fire Wall）以抵禦黑客的襲擊，最大限度地阻止網路中的黑客來訪問你的計算機，防止他們更改、拷貝、毀壞你的重要信息。防火牆在安裝後要根據需求進行詳細配置。

3、分類設置密碼並使密碼設置盡可能復雜

在不同的場合使用不同的密碼，如網上銀行、E-Mail、聊天室以及一些網站的會員等。應盡可能使用不同的密碼，以免因一個密碼泄露導致所有資料外泄。對於重要的密碼（如網上銀行的密碼）一定要單獨設置，並且不要與其他密碼相同。

設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字元作為密碼，最好採用字元、數字和特殊符號混合的密碼。建議定期地修改自己的密碼，這樣可以確保即使原密碼泄露，也能將損失減小到最少。

4、不下載不明軟體及程序

應選擇信譽較好的下載網站下載軟體，將下載的軟體及程序集中放在非引導分區的某個目錄，在使用前最好用殺毒軟體查殺病毒。

不要打開來歷不明的電子郵件及其附件，以免遭受病毒郵件的侵害，這些病毒郵件通常都會以帶有噱頭的標題來吸引你打開其附件，如果下載或運行了它的附件，就會受到感染。同樣也不要接收和打開來歷不明的QQ、微信等發過來的文件。

5、防範流氓軟體

對將要在計算機上安裝的共享軟體進行甄別選擇，在安裝共享軟體時，應該仔細閱讀各個步驟出現的協議條款，特別留意那些有關安裝其他軟體行為的語句。

6、僅在必要時共享

一般情況下不要設置文件夾共享，如果共享文件則應該設置密碼，一旦不需要共享時立即關閉。共享時訪問類型一般應該設為只讀，不要將整個分區設定為共享。

7、定期備份

數據備份的重要性毋庸諱言，無論你的防範措施做得多麼嚴密，也無法完全防止「道高一尺，魔高一丈」的情況出現。如果遭到致命的攻擊，操作系統和應用軟體可以重裝，而重要的數據就只能靠你日常的備份了。所以，無論你採取了多麼嚴密的防範措施，也不要忘了隨時備份你的重要數據，做到有備無患！

計算機安全管理制度

為加強組織企事業單位計算機安全管理，保障計算機系統的正常運行，發揮辦公自動化的效益，保證工作正常實施，確保涉密信息安全，一般需要指定專人負責機房管理，並結合本單位實際情況，制定計算機安全管理制度，提供參考如下：

1、計算機管理實行「誰使用誰負責」的原則。愛護機器，了解並熟悉機器性能，及時檢查或清潔計算機及相關外設。

2、掌握工作軟體、辦公軟體和網路使用的一般知識。

3、無特殊工作要求，各項工作須在內網進行。存儲在存儲介質（優盤、光碟、硬碟、移動硬碟）上的工作內容管理、銷毀要符合保密要求，嚴防外泄。

4、不得在外網或互聯網、內網上處理涉密信息，涉密信息只能在單獨的計算機上操作。

5、涉及到計算機用戶名、口令密碼、硬體加密的要注意保密，嚴禁外泄，密碼設置要合理。

6、有無線互聯功能的計算機不得接入內網，不得操作、存儲機密文件、工作秘密文件。

7、非內部計算機不得接入內網。

8、遵守國家頒布的有關互聯網使用的管理規定，嚴禁登陸非法網站；嚴禁在上班時間上網聊天、玩游戲、看電影、炒股等。

9、堅持「安全第一、預防為主」的方針，加強計算機安全教育，增強員工的安全意識和自覺性。計算機進行經常性的病毒檢查，計算機操作人員發現計算機感染病毒，應立即中斷運行，並及時消除。確保計算機的安全管理工作。

10、下班後及時關機，並切斷電源。

⑷ 換位密碼的加密方法

加密換位密碼通過密鑰只需要對明文進行加密，並且重新排列裡面的字母位置即可。具體方法如下

1、基於二維數組移位的加密演算法

給定一個二維數組的列數，即該二維數組每行可以保存的字元個數。再將明文字元串按行依次排列到該二維數組中。最鉛指李後按列讀出該二維數組中的字元，這樣便可得到密文。

2、換位解密演算法（基於二維數組移位的解密演算法）

先給定一個二維數組的列數，即該二維數組每行可以保存的字元個數，並且這個數應該和加密演算法中的一致。接下來將密文字元串按列一次性排列到該二維數組中。最後按行讀出該二維數組中的字元即可。

3、換位加密演算法

首先按照密鑰排列順序：將想要加密的明文加密，然後列出表格，找出對應的字母，就是密鑰。然後對他們進行換位加密，就是將表格的第二行依據密鑰排列順序進行排序以便得到加密後的密文。

(4)換位密碼網路安全擴展閱讀

數據加密技術的分類

1、專用密鑰

又稱為對稱密鑰或單密鑰，加密和解密時使用同一個密鑰，逗慎即同一個演算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當需給對方發信息時，用自己的加密密鑰進行加密，而在接收方收到數據後，用對方所給的密鑰進行解密。當一個文本要加密傳送時，該文本用密鑰加密構成密文，密文在信道上傳送，收到密文後用同一個密鑰將密文解出來，形成普通文體供閱讀。

2、對稱密鑰

對稱密鑰是最古老的，一般說「密電碼」採用的就是對稱密鑰。由於對稱密鑰運算量小、速度快、安全強度高，因而如今仍廣泛被採用。它將數據分成長度為64位的數據塊，其中8位用作奇偶校驗，剩餘的56位作為密碼的長度。首先將原文進行置換，得到64位的雜亂無章的數據組，然後將其分成均等兩段；第三步用加密函數進行變換，並在給定的密鑰參數條件下，進行多次迭代而得到加密密文。

3、公開密鑰

又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的演算法，雖然兩者之間存在一定的關系，但不可能槐遲輕易地從一個推導出另一個。非對稱密鑰由於兩個密鑰（加密密鑰和解密密鑰）各不相同，因而可以將一個密鑰公開，而將另一個密鑰保密，同樣可以起到加密的作用。公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發送者，即任何得到公開密鑰的人都可以生成和發送報文。

4、非對稱加密技術

數字簽名一般採用非對稱加密技術（如RSA），通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算，如其結果為明文，則簽名有效，證明對方的身份是真實的。數字簽名不同於手寫簽字，數字簽名隨文本的變化而變化，手寫簽字反映某個人個性特徵，是不變的；數字簽名與文本信息是不可分割的，而手寫簽字是附加在文本之後的，與文本信息是分離的。

⑸ 問答題：如何預防網路失、竊密

計算機泄密的主要途徑與防範
計算機的廣泛應用推動了社會的發展和進步，但也帶來了一系列的社會問題。現在，西方發達國家把他們的社會由於廣泛使用計算機稱為「脆弱的社會」。計算機的脆弱性一般表現在計算機犯罪、敵對國家的破壞、意外事故和自然災害、電磁波干擾、工作人員的失誤以及計算機本身的缺陷等許多方面，突出表現是容易泄密和被竊密。
（一）計算機泄密的主要途徑
1、計算機電磁波輻射泄密
計算機輻射主要有四個部分：顯示器的輻射；通信線路（連接線）的輻射、主機的輻射；輸出設備（列印機）的輻射。計算機是靠高頻脈沖電路工作的，由於電磁場的變化，必然要向外輻射電磁波。這些電磁波會把計算機中的信息帶出去，犯罪分子只要具有相應的接收設備，就可以將電磁波接收，從中竊得秘密信息。據國外試驗，在1000米以外能接收和還原計算機顯示終端的信息，而且看得很清晰。微機工作時，在開闊地帶距其100米外，用監聽設備就能收到輻射信號。計算機電磁輻射大致分為兩類：第一類是從計算機的運算控制和外部設備等部分輻射，頻率一般在10兆赫到1000兆赫范圍內，這種電磁波可以用相應頻段的接收機接收，但其所截信息解讀起來比較復雜。第二類是由計算機終端顯示器的陰極射線管輻射出的視頻電磁波，其頻率一般在6．5兆赫以下。對這種電磁波，在有效距離內，可用普通電視機或相同型號的計算機直接接收。接收或解讀計算機輻射的電磁波，現在已成為國外情報部門的一項常用竊密技術，並已達到很高水平。
2、計算機聯網泄密
計算機網路化是計算機發展史上的重要階段，它使計算機只能在機房裡對不同信息的單項數據的分類、加工和整理，發展成為使信息的收集、加工、貯存、傳輸融為一體，擴大了計算機的應用范圍，使計算機的應用深入到社會各個方面。計算機網路橫跨大陸和海洋，可將世界范圍內的計算機聯接起來，每個用戶都可通過自己的終端，充分利用各個計算機存貯的大量文字、數據和圖像資料。計算機網路化帶來的信息交流、知識融匯，使人們能充分利用全人類創造的全部知識財富，由此產生的深遠影響將難以估量。然而，由於計算機網路結構中的數據是共享的，主機與用戶之間、用戶與用戶之間通過線路聯絡，就存在許多泄密漏洞。
首先，「數據共享」時計算機系統實行用戶識別口令，由於計算機系統在分辨用戶時認「碼」不認「人」，這樣，那些未經授權的非法用戶或竊密分子就可能通過冒名頂替、長期試探或其它辦法掌握用戶口令，然後打入聯網的信息系統進行竊密。
其次，計算機聯網後，傳輸線路大多由載波線路和微波線路組成，這就使計算機泄密的渠道和范圍大大增加。再者，網路越大，線路通道分支就越多，輸送信息的區域也越廣，截取所送信號的條件就越便利，竊密者只要在網路中任意一條分支信道上或某一個節點、終端進行截取。就可以獲得整個網路輸送的信息。
3、計算機媒體泄密
計算機具有驚人的存貯功能。它可以對湖水般涌來的各種信息進行傳遞、加工和存貯，可以將大量秘密文件和資料由紙張介質變為磁性介質和光學介質。一個漢字至少要佔55平方毫米，同樣面積的集成電路存貯器可存貯50萬個漢字。為了自動地、高效地加工和利用各種信息，越來越多的秘密數據和檔案資料被存貯在計算機里。
計算機的存貯器分為內存貯器和外存貯器兩種，內存貯器要求存取速度快，外存貯器要求存貯容量大。如前所述，存貯在內存貯器的秘密信息可通過電磁輻射或聯網交換被泄露或被竊取，而大量使同磁碟、磁帶、光碟、U盤的外存貯器很容易被非法篡改或復制。由於磁碟經消磁十餘次後，仍有辦法恢復原來記錄的信息，存有秘密信息的磁碟被重新使用時，很可能被非法利用磁碟剩磁提取原記錄的信息。計算機出故障時，存有秘密信息的硬碟不經處理或無人監督就帶出修理，就會造成泄密。秘密信息和非秘密信息放在同一媒體上，明密不分，容易造成泄密。存有秘密信息的磁碟等媒體被盜或攜帶出國，就會造成大量的國家秘密外泄，其危害程度將是難以估量的。考試大收集
4、計算機工作人員泄密
（1）無知泄密。如由於不知道計算機的電磁波輻射會泄露秘密信息，計算機工作時未採取任何措施，因而給他人提供竊密的機會。又如由於不知道計算機軟盤上剩磁可以提取還原，將曾經存貯過秘密信息的軟盤交流出去，因而造成泄密。
（2）違反規章制度泄密。如將一台發生故障的計算機送修前既不做消磁處理，又不安排專人監修，造成秘密數據被竊。又如由於計算機媒體存貯的內容缺乏可觀性，因而思想麻痹，疏於管理，容易造成媒體的丟失。
（3）故意泄密。外國情報機關常常採用金錢收買、色情引誘和策反別國的計算機工作人員。竊取信息系統的秘密。這比利用電子監聽、攻擊網路等辦法有用得多。如程序員被策反，就可以得知計算機系統軟體保密措施，獲得使用計算機的口令或密鑰，從而打入計算機網路，竊取信息系統、資料庫內的重要秘密；操作員被收買，就可以把計算機保密系統的文件、資料向外提供;維修人員被威脅，就可對用進入計算機或接近計算機終端的機會，更改程序，裝置竊聽器等。
（二）計算機的保密防範措施
計算機的保密防範主要從技術、行政和法律三個方面著手：
1、技術防範
（1）使用低輻射計算機設備。這是防止計算機輻射泄密的根本措施，這些設備在設計和生產時，已對可能產生信息輻射的元器件、集成電路、連接線和CRT等採取了防輻射措施，把設備的信息輻射抑制到最低限度。
（2）屏蔽。根據輻射量的大小和客觀環境，對計算機機房或主機內部部件加以屏蔽，檢測合格後，再開機工作。將計算機和輔助設備用金周屏蔽籠（法拉第籠）封閉起來，並將全局屏蔽籠接地，能有效地防止計算機和輔助設備的電磁波輻射。不具備上述條件的，可將計算機輻射信號的區域控制起來，不允許外部人員接近。
（3）干擾。根據電子對抗原理，採用一定的技術措施，利用干擾器產生雜訊與計算機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行干擾，增加接收還原解讀的難度，保護計算機輻射的秘密信息。不具備上述條件的，也可將處理重要信息的計算機放在中間，四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
（4）對聯網泄密的技術防範措施：一是身份鑒別。計算機對用戶的識別，主要是核查用戶輸入的口令，網內合法用戶使用資源信息也有使用許可權問題，因此對口令的使用要嚴格管理。當然，對用戶的識別還有其它方法，如使用磁性卡片、指紋、聲音、視網膜圖像等對用戶進行鑒別。二是監視報警。對網路內合法用戶工作情況作詳細記錄，對非法用戶，計算機將其闖入網路的嘗試次數、時間、電話號碼等記錄下來，並發出報警，依此追尋非法用戶的下落。三是加密。將信息加密後存貯在計算機里，並註上特殊調用口令。這樣，竊密者突破一般口令進入計算機後，也無法將信息調出。在信息傳輸過程中，對信息進行加密（一次或二次偽裝），竊密者即使截收到信號也一無所知。四是數字簽名。
（5）對媒體泄密技術防範措施：一是防拷貝。防拷貝技術實際上是給媒體做特殊的標記，如在磁碟上產生激光點、穿孔、指紋技術等特殊標記，這個特殊標記可由被加密程序加以識別，但不能輕易地被復制。二是加密。對媒體中的文件進行加密，使其以常規的辦法不能調出。由於密文加密在理論上還沒有形成完善的體系，所以其加密方法繁多，沒有一定的規律可循，通常可以分為代替密碼、換位密碼和條積密碼方法。三是消磁。考試大整理
2、行政管理
（1）建立嚴格的機房管理制度，禁止無關人員隨便進出機房，網路系統的中心控制室更應該有嚴格的出入制度。同時，機房選址要安全可靠，重要部門的機房要有必要的保安措施。
（2）規定分級使用許可權。首先，對計算機中心和計算機數據劃分密級，採取不同的管理措施，秘密信息不能在公開的計算機中心處理，密級高的數據不能在密級低的計算機中心處理；其次，根據使用者的不同情況，規定不同使用級別，低級別的機房不能進行高級別的操作；在系統開發中，系統分析員、程序員和操作員應職責分離，使知悉全局的人員盡可能少一些。
（3）加強對媒體的管理。錄有秘密文件的媒體，應按照同等密級文件進行管理，對其復制、列印、借閱、存放、銷毀等均應遵守有關規定。同一片軟盤中不要混錄秘密文件和公開文件，如果同時錄有不同密級的文件，應按密級最高的管理。同時，還應對操作過程中臨時存放過秘密文件的磁碟以及調試運行中列印的廢紙作好妥善處理。
（4）加強對工作人員的管理。因為設備由人操縱，制度由人制定並遵守。人員的問題，首先要牢固樹立保密觀念，使其認識到新時期保密問題的重要性、緊迫性，從而增強保守國家秘密的意識。保密教育要經常抓，常抓不懈；要抓好人員的選配和日常的考察，做到不合格的堅決不用，現有工作人員中發現問題要及時處理，堅決調離，以保證隊伍的純潔精乾和效能；要搞好智力投資，不斷提高使用和管理人員的科學技術水平，使其真正了解所有設備的性能，掌握防止泄密的知識和防範措施；利用和創造機會擴展他們的知識面，增強主動性，減少盲目性，以防因無知而泄密；還要建立獎懲制度，定期考核，獎優罰劣，完善激勵機制。
3、法律監督
計算機保密防範必須以法律法規為依據。目前我國已有《保密法》、《計算機信息系統安全保護條例》和《計算機信息網路國際聯網管理暫行規定》。按照規定和要求，做好計算機的保密防範工作，不得利用計算機從事危害國家安全、泄露國家秘密的違法犯罪活動
參考：http://www.examda.com/ms/jingyan/20081009/093915915.html

⑹ 計算機信息系統安全包括什麼

系統地說應是：培養掌握系統與網路安全的基本理論與病毒防範、黑客攻擊手段分析與防範技術，能熟練應用信息安全產品，熟悉信息安全管理規范，具有開發、維護和管理信息安全系統能力的高等技術應用性人才。

主要課程如下：

第1章計算機信息安全概述
1.1威脅計算森緩機信息安全的因素
1.2計算機信息安全研究的內容
1.2.1計算機外部安全
1.2.2計算機內部安全
1.2.3計算機網路安全
1.3OSI信息安全體系
1.3.1安全服務
1.3.2安全機制
1.4計算機系統的安全策略
1.4.1安全策略
1.4.2人、制度和技術之間的
關系
1.5計算機系統的可靠性
1.5.1避錯和容錯
1.5.2容錯設計
1.5.3故障恢復策略
習題1
第2章密碼與隱藏技術
2.1密碼技術概述
2.2古典加密方法
2.2.1代替密碼
2.2.2換位密碼
2.2.3對稱加密體制
2.3數據加密標准DES
2.3.1DES演算法描述
2.3.2DES演算法加密過程
2.3.3DES演算法解密過程
2.3.4三重DES演算法
2.4高級加密標准AES
2.4.1AES演算法數學基礎
2.4.2AES演算法概述
2.4.3AES演算法加密過程
2.4.4AES演算法解密過程
2.4.5AES演算法安全性
2.5公開密鑰體制
2.6RSA演算法
2.6.1RSA演算法數學基礎
2.6.2RSA演算法基礎
2.6.3RSA演算法過此游模程
2.6.4RSA演算法安全性
2.7NTRU演算法
2.7.1NTRU演算法數學基礎
2.7.2NTRU演算法描述
2.7.3NTRU演算法舉例
2.8對稱加密體制與公開密鑰體制
比較
2.9信息隱藏技術
2.10數字水印
2.10.1數字水印的通用模型
2.10.2數字水印主要特性
2.10.3數字水印分類
2.10.4典型數字水印演算法
2.10.5數字水印應用
2.10.6數字水印攻擊
習題2
第3章數字簽名與認證
3.1數字簽名概述
3.1.1數字簽名原理
3.1.2數字簽名標准DSS
3.1.3PGP電子郵件加密
3.2單向散列函數
3.2.1單向散列函數特點
3.2.2MD5演算法
3.2.3SHA演算法
3.2.4SHA-1與MD5的
比較
3.3Kerberos身份驗證
3.3.1什麼是Kerberos
3.3.2Kerberos工作原理
3.4公開密鑰基礎設施PKI
3.4.1數字證書
3.4.2PKI基本組成
3.4.3對PKI的性能要求
3.4.4PKI的標准
3.5用戶ID與口令機制
3.5.1用戶認證ID
3.5.2不安全口令
3.5.3安全口令
3.5.4口令攻擊
3.5.5改進方案
3.6生物特徵識別技術
3.6.1生物特徵識別系統
組成
3.6.2指紋識別
3.6.3虹膜識別
3.6.4其磨拆他生物識別技術
3.7智能卡
習題3
第4章計算機病毒與黑客
4.1計算機病毒概述
4.1.1計算機病毒的定義
4.1.2計算機病毒的特徵
4.1.3計算機病毒的產生
原因
4.1.4計算機病毒的傳播
途徑
4.1.5計算機病毒的分類
4.1.6計算機病毒的表現
現象
4.1.7計算機病毒程序的一般
構成
4.2計算機病毒製作技術
4.3計算機殺毒軟體製作技術
4.4蠕蟲病毒分析
4.5特洛伊木馬
4.5.1黑客程序與特洛伊
木馬
4.5.2木馬的基本原理
4.5.3特洛伊木馬的啟動
方式
4.5.4特洛伊木馬埠
4.5.5特洛伊木馬的隱藏
4.5.6特洛伊木馬分類
4.5.7特洛伊木馬查殺
4.6計算機病毒與黑客的防範
習題4
第5章網路攻擊與防範
5.1網路安全漏洞
5.2目標探測
5.2.1目標探測的內容
5.2.2目標探測的方法
5.3掃描概念和原理
5.3.1掃描器概念
5.3.2常用埠掃描技術
5.3.3防止埠掃描
5.4網路監聽
5.4.1網路監聽原理
5.4.2網路監聽檢測與防範
5.4.3嗅探器Sniffer介紹
5.5緩沖區溢出
5.5.1緩沖區溢出原理
5.5.2緩沖區溢出攻擊方法
5.5.3防範緩沖區溢出
5.6拒絕服務
5.6.1拒絕服務DoS
5.6.2分布式拒絕服務
DDoS
5.6.3DDoS攻擊的步驟
5.6.4防範DDoS攻擊的
策略
5.7欺騙攻擊與防範
5.7.1IP欺騙攻擊與防範
5.7.2IP地址盜用與防範
5.7.3DNS欺騙與防範
5.7.4Web欺騙與防範
5.8網路安全服務協議
5.8.1安全套接層協議SSL
5.8.2傳輸層安全協議TLS
5.8.3安全通道協議SSH
5.8.4安全電子交易SET
5.8.5網際協議安全IPSec
5.9無線網安全
5.9.1IEEE 802.11b安全
協議
5.9.2IEEE 802.11i安全
協議
5.9.3WAPI安全協議
5.9.4擴展頻譜技術
習題5
第6章防火牆技術
6.1防火牆概述
6.1.1防火牆的概念
6.1.2防火牆的主要功能
6.1.3防火牆的基本類型
6.2防火牆的體系結構
6.2.1篩選路由器結構
6.2.2雙宿主主機結構
6.2.3屏蔽主機網關結構
6.2.4屏蔽子網結構
6.3防火牆技術
6.3.1包過濾技術
6.3.2代理服務技術
6.3.3電路層網關技術
6.3.4狀態檢測技術
6.4分布式防火牆
6.4.1傳統邊界式防火牆
6.4.2分布式防火牆概述
6.4.3分布式防火牆組成
6.4.4分布式防火牆工作
原理
6.5防火牆安全策略
6.5.1防火牆服務訪問策略
6.5.2防火牆設計策略
6.6Windows XP防火牆
6.7防火牆的選購
6.8個人防火牆程序設計介紹
習題6
第7章入侵檢測技術
7.1入侵檢測系統概述
7.2入侵檢測一般步驟
7.3入侵檢測系統分類
7.3.1根據系統所檢測的對象
分類
7.3.2根據數據分析方法
分類
7.3.3根據體系結構分類
7.4入侵檢測系統關鍵技術
7.5入侵檢測系統模型介紹
7.5.1分布式入侵檢測系統
7.5.2基於移動代理的入侵檢
測系統
7.5.3智能入侵檢測系統
7.6入侵檢測系統標准化
7.6.1入侵檢測工作組
IDWG
7.6.2通用入侵檢測框架
CIDF
7.7入侵檢測系統Snort
7.8入侵檢測產品選購
習題7
第8章數字取證技術
8.1數字取證概述
8.2電子證據
8.2.1電子證據的概念
8.2.2電子證據的特點
8.2.3常見電子設備中的電子
證據
8.3數字取證原則和過程
8.3.1數字取證原則
8.3.2數字取證過程
8.4網路取證技術
8.4.1網路取證概述
8.4.2網路取證模型
8.4.3IDS取證技術
8.4.4蜜阱取證技術
8.4.5模糊專家系統取證
技術
8.4.6SVM取證技術
8.4.7惡意代碼技術
8.5數字取證常用工具
習題8
第9章操作系統安全
9.1操作系統的安全性
9.1.1操作系統安全功能
9.1.2操作系統安全設計
9.1.3操作系統的安全配置
9.1.4操作系統的安全性
9.2Windows安全機制
9.2.1Windows安全機制
概述
9.2.2活動目錄服務
9.2.3認證服務
9.2.4加密文件系統
9.2.5安全模板
9.2.6安全賬號管理器
9.2.7其他方面
9.3Windows安全配置
9.4UNIX安全機制
9.5Linux安全機制
9.5.1PAM機制
9.5.2安全審計
9.5.3強制訪問控制
9.5.4用戶和文件配置
9.5.5網路配置
9.5.6Linux安全模塊LSM
9.5.7加密文件系統
9.6Linux安全配置
習題9
第10章數據備份與恢復
10.1數據備份概述
10.2系統數據備份
10.2.1磁碟陣列RAID
技術
10.2.2系統還原卡
10.2.3克隆大師Ghost
10.2.4其他備份方法
10.3用戶數據備份
10.3.1Second Copy 2000
10.3.2File Genie 2000
10.4網路數據備份
10.4.1網路備份系統
10.4.2DAS直接連接存儲
10.4.3NAS網路連接存儲
10.4.4SAN存儲網路
10.4.5IP存儲技術
10.4.6數據遷移技術
10.5數據恢復
10.5.1數據恢復概述
10.5.2硬碟數據恢復
10.5.3EasyRecovery
10.5.4FinalData
習題10
第11章軟體保護技術
11.1軟體保護技術概述
11.2靜態分析技術
11.2.1文件類型分析
11.2.2W32Dasm
11.2.3IDA Pro簡介
11.2.4可執行文件代碼編輯
工具
11.2.5可執行文件資源編輯
工具
11.3動態分析技術
11.3.1SoftICE調試器
11.3.2OllyDbg調試器
11.4常用軟體保護技術
11.4.1序列號保護機制
11.4.2警告（NAG）窗口
11.4.3時間限制
11.4.4時間段限制
11.4.5注冊保護
11.4.6功能限制
11.4.7光碟軟體保護
11.4.8軟體狗
11.4.9軟盤保護技術
11.4.10反跟蹤技術
11.4.11網路軟體保護
11.4.12補丁技術
11.5軟體加殼與脫殼
11.5.1「殼」的概念
11.5.2「殼」的載入
11.5.3軟體加殼工具介紹
11.5.4軟體脫殼
11.6設計軟體保護的建議
習題11
第12章實驗指導
實驗1加密與隱藏
實驗2破解密碼
實驗3網路漏洞掃描
實驗4「冰河」黑客工具
實驗5網路監聽工具Sniffer
實驗6個人防火牆配置
實驗7入侵檢測軟體設置
實驗8Windows 2000/XP/2003
安全設置
實驗9系統數據備份
實驗10用戶數據備份
實驗11數據恢復
實驗12軟體靜態分析
實驗13資源編輯工具
實驗14軟體動態分析
總的來說就是圍繞著信息網路攻防所設立的一個學科。類似的還有信息對抗之類的學科。

⑺ 求高手解密碼學問題！ 急~

):密碼技術是信息安全的核心技術。如今，計算機網路環境下信息的保密性、完整性、可用性和抗抵賴性，都需要採用密碼技術來解決。密碼體制大體分為對稱密碼(又稱為私鑰密碼)和非對稱密碼(又稱為公鑰密碼)兩種。公鑰密碼在信息安全帆簡中擔負起密鑰協商、數字簽名、消息認證等重要角色，已成為最核心的密碼。
當前，公鑰密碼的安全性概念已經被大大擴展了。像著名的RSA公鑰密碼演算法、Rabin公鑰密碼演算法和ElGamal公鑰密碼演算法都已經得到了廣泛應用。但是，有些公鑰密碼演算法在理論上是安全的，可是在具體的實際應用中並非安全。因為在實際應用中不僅需要演算法本身在數學證明上是安全的，同時也需要演算法在實際應用中也是安全的。比如，公鑰加密演算法根據不同的應用，需要考慮選擇明文安全、非適應性選擇密文安全和適應性選擇密碼安全三類。數字簽名根據需要也要求考慮抵抗非消息攻擊和選擇消息攻擊等。因此，近年來，公鑰密碼學研究中的一個重要內容——可證安全密碼學正是致力於這方面的研究。
公鑰密碼在信息安全中擔負起密鑰協商、數字簽名、消息認證等重要角色，已成為最核心的密碼。目前密碼的核心課題主要是在結合具體的網模轎胡絡環境、提高運算效率的基礎上，針對各種主動攻擊行為，研究各種可證安全體制。其中引人注目的是基於身份(ID)密碼體制和密碼體制的可證安全模型研究，目前已經取得了重要成果。這些成果對網路安全、信息安全的影響非常巨大，例如公鑰基礎設施(PKI)將會更趨於合理，使其變為ID-PKI。在密碼分析和攻擊手段不斷進步，計算機運算速度不斷提高以及密碼應用需求不斷增長的情況下，迫切需要發展密碼理論和創新密碼演算法。
在2004年信息安全國際會議上，本文第一作者(即曹珍富教授)做了「密碼理論中的若干問題」的主題報告，其中也介紹了密碼學的最新進展。這在不同程度上代表了當前密碼學的發展方向。
1.在線/離線密碼學
公鑰密碼學能夠使通信雙方在不安全的信道上安全地交換信息。在過去的幾年裡，公鑰密碼學已經極大地加速了網路的應用。然而，和對稱密碼系統不同，非對稱密碼的執行效率不能很好地滿足速度的需要。因此，如何改進效率成為公鑰密碼學中一個關鍵的問題之一。
針對效率問題，在線/離線的概念被提出。其主要觀點是將一個密碼體制分成兩個階段：在線執行階段和離線執行階段。在離線執行階段，一些耗時較多的計算可以預先被執行。在在線階段，一些低計算量的工作被執行。
2.圓錐曲線密碼學
圓錐曲線密碼學是1998年由本文第一作者首次提出，C.Schnorr認為，除橢圓曲線密碼以外這是人們最感興趣的密碼演算法。在圓錐曲線群上的各項計算比橢圓曲線群上的更簡單，一個令人激動的特徵是在其上的編碼和解碼都很容易被執行。同時，還可以建立模n的圓錐曲線群，構造等價於大整數分解的密碼。現在已經知道，圓錐曲線群上的離散對數問題在圓錐曲線的階和橢圓曲線的階相同的情況下，是一個不比橢圓曲線容易的問題。所以，圓錐曲線密碼已成為密碼學中的一個重要的研究內容。
3.代理密碼學
代理密碼學包括代理簽名和代理密碼系統。兩者都提供代理功能，另外分別提供代理簽名和代理解密功能。
目前，代理密碼學的兩個重要問題亟需解決。一個是構造不用轉換的代理密碼系統，這個工作已經被本文第一作者和日本Tsukuba大學的學者進行了一些研究。另外一個是如何來構造代理密碼系統的較為合理的可證安全模型，以及給出系統安全性的證明。已經有一些研究者開始在這方面展開工作。
4.密旦攔鑰託管問題
在現代保密通信中，存在兩個矛盾的要求：一個是用戶間要進行保密通信，另一個是go-vern-ment為了抵制網路犯罪和保護國家安全，要對用戶的通信進行監督。密鑰託管系統就是為了滿足這種需要而被提出的。在原始的密鑰託管系統中，用戶通信的密鑰將由一個主要的密鑰託管代理來管理，當得到合法的授權時，託管代理可以將其交給go-vern-ment的監聽機構。但這種做法顯然產生了新的問題：go-vern-ment的監聽機構得到密鑰以後，可以隨意地監聽用戶的通信，即產生所謂的「一次監控，永遠監控」問題。另外，這種託管系統中「用戶的密鑰完全地依賴於可信任的託管機構」的做法也不可取，因為託管機構今天是可信任的，不表示明天也是可信任的。
在密鑰託管系統中，法律強制訪問域LEAF(Law Enforcement Access Field)是被通信加密和存儲的額外信息塊，用來保證合法的go-vern-ment實體或被授權的第三方獲得通信的明文消息。對於一個典型的密鑰託管系統來說，LEAF可以通過獲得通信的解密密鑰來構造。為了更趨合理，可以將密鑰分成一些密鑰碎片，用不同的密鑰託管代理的公鑰加密密鑰碎片，然後再將加密的密鑰碎片通過門限化的方法合成。以此來達到解決「一次監控，永遠監控」和「用戶的密鑰完全地依賴於可信任的託管機構」的問題。現在對這一問題的研究產生了構造網上信息安全形式問題，通過建立可證安全信息形式模型來界定一般的網上信息形式。
5.基於身份的密碼學
基於身份的密碼學是由Shamir於1984年提出的。其主要觀點是，系統中不需要證書，可以使用用戶的標識如姓名、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個被稱作私鑰生成器PKG(Private Key Generator)的可信任第三方進行計算得到。基於身份的數字簽名方案在1984年Shamir就已得到。然而，直到2001年，Boneh等人利用橢圓曲線的雙線性對才得到Shamir意義上的基於身份的加密體制(IBE)。在此之前，一個基於身份的更加傳統的加密方案曾被Cocks提出，但效率極低。目前，基於身份的方案包括基於身份的加密體制、可鑒別身份的加密和簽密體制、簽名體制、密鑰協商體制、鑒別體制、門限密碼體制、層次密碼體制等。
6.多方密鑰協商問題
密鑰協商問題是密碼學中又一基本問題。
Diffie-Hellman協議是一個眾所周知的在不安全的信道上通過交換消息來建立會話密鑰的協議。它的安全性基於Diffie-Hellman離散對數問題。然而，Diffie-Hellman協議的主要問題是它不能抵抗中間人攻擊，因為它不能提供用戶身份驗證。
當前已有的密鑰協商協議包括雙方密鑰協商協議、雙方非互動式的靜態密鑰協商協議、雙方一輪密鑰協商協議、雙方可驗證身份的密鑰協商協議以及三方相對應類型的協議。
如何設計多方密鑰協商協議？存在多元線性函數(雙線性對的推廣)嗎？如果存在，我們能夠構造基於多元線性函數的一輪多方密鑰協商協議。而且，這種函數如果存在的話，一定會有更多的密碼學應用。然而，直到現在，在密碼學中，這個問題還遠遠沒有得到解決。目前已經有人開始作相關的研究，並且給出了一些相關的應用以及建立這種函數的方向，給出了這種函數肯定存在的原因。
7.可證安全性密碼學
當前，在現有公鑰密碼學中，有兩種被廣泛接受的安全性的定義，即語義安全性和非延展安全性。語義安全性，也稱作不可區分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出，是指從給定的密文中，攻擊者沒有能力得到關於明文的任何信息。非延展安全性NM(Non-malleability)是由Dolev、Dwork和Naor在1991年提出的，指攻擊者不能從給定的密文中，建立和密文所對應的與明文意義相關的明文的密文。在大多數令人感興趣的研究問題上，不可區分安全性和非延展安全性是等價的。
對於公鑰加密和數字簽名等方案，我們可以建立相應的安全模型。在相應的安全模型下，定義各種所需的安全特性。對於模型的安全性，目前可用的最好的證明方法是隨機預言模型ROM(Random Oracle Model)。在最近幾年裡，可證明安全性作為一個熱點被廣泛地研究，就像其名字所言，它可以證明密碼演算法設計的有效性。現在，所有出現的標准演算法，如果它們能被一些可證明安全性的參數形式所支持，就被人們廣泛地接受。就如我們所知道的，一個安全的密碼演算法最終要依賴於NP問題，真正的安全性證明還遠遠不能達到。然而，各種安全模型和假設能夠讓我們來解釋所提出的新方案的安全性，按照相關的數學結果，確認基本的設計是沒有錯誤的。
隨機預言模型是由Bellare和Rogaway於1993年從Fiat和Shamir的建議中提出的，它是一種非標准化的計算模型。在這個模型中，任何具體的對象例如哈希函數，都被當作隨機對象。它允許人們規約參數到相應的計算，哈希函數被作為一個預言返回值，對每一個新的查詢，將得到一個隨機的應答。規約使用一個對手作為一個程序的子常式，但是，這個子常式又和數學假設相矛盾，例如RSA是單向演算法的假設。概率理論和技術在隨機預言模型中被廣泛使用。
然而，隨機預言模型證明的有效性是有爭議的。因為哈希函數是確定的，不能總是返回隨機的應答。1998年，Canetti等人給出了一個在ROM模型下證明是安全的數字簽名體制，但在一個隨機預言模型的實例下，它是不安全的。
盡管如此，隨機預言模型對於分析許多加密和數字簽名方案還是很有用的。在一定程度上，它能夠保證一個方案是沒有缺陷的。
但是，沒有ROM，可證明安全性的問題就存在質疑，而它是一個不可忽視的問題。直到現在，這方面僅有很少的研究。
密碼學還有許許多多這樣的問題。當前,密碼學發展面臨著挑戰和機遇。計算機網路通信技術的發展和信息時代的到來，給密碼學提供了前所未有的發展機遇。在密碼理論、密碼技術、密碼保障、密碼管理等方面進行創造性思維，去開辟密碼學發展的新紀元才是我們的追求。http://jpk.dqpi.net/xxl/dzjg7.htm

⑻ 換位密碼的舉例

舉例：周期為e的換位將明文字母劃分。

換位密碼就是一種早期的加密方法，與明文的字母保持相同，區別是順序被打亂了。

古典密碼：

從遠古到1949年香農發表《保密系統的通信理論》，這期間人類所使用的密碼均稱為古典密碼，本文主要介紹三種古典密碼，分別為置換密碼，代換密碼和輪換密碼。

置換密碼（又稱為換位密碼）：

是指明文中各字元的位置次序重新排列得到密文的一種密碼體制。

特點:保持明=文中所有的字元不變，只是利用置換打亂明文字元的位置和次序。

置換定義：有限集X上的運算σ：X→X，σ是一個雙射函數，那麼稱σ為一個置換。

即任意x∈X,存在唯一的x』∈X，使得σ(x)=x』。

解密的時候會用到逆置換σ』,即任意x』∈迅燃X,存在唯一的x∈X，使得σ』(x』)=x且滿足σσ』=I。

對置換有了一個基本的認識之後和攜我們來談一下置換密碼，置換密碼有兩種，一種為列置換密碼，一種為周期置換密碼。

列置換密碼：

列置換密碼，顧名思義，按列換位並且按列讀出明文序列得到密文，具體加密步驟如下：

將明文p以固定分組長度m按行寫出nxm階矩陣（若不m倍數，空餘部分空格補充）。

按（1,2,3…m）的置換σ交換列的位置,σ為密鑰。

把新得到的矩陣按列的順序依次讀出得到密文c。

解密過程如下：

將密文c以固定的長度n按列寫成nxm階矩陣。

按逆矩陣σ』交換列的位置。

把矩陣按著行依次讀出為明喚昌伏文。

周期置換：

周期變換密碼是將明文P按固定長度m分組，然後對每組的字元串按置換σ重新排列位置從而得到密文。

周期排列與列排列思想是一致的，只不過列排列是以矩陣的形式整列換位置，而周期是在分組以後對每組分別變換。懂得列排列就可以很容易地理解周期排列。

代換密碼（又稱為替代密碼）：

就是講明文中的每個字元替代成密文中的另一個字元，替代後的各個字母保持原來的位置，在對密文進行逆替換就可以恢復出明文。

代換密碼有分為單表代換密碼和多表代換密碼。

單表代換密碼我們分別介紹凱撒密碼和仿射密碼。

凱撒密碼：

凱撒密碼依據凱撒密碼代換表對26個英文字母進行替換。

⑼ 密碼學與網路安全的目錄

第1章 導言
1.1 安全目標
1.1.1 機密性
1.1.2 完整性
1.1.3 可用性
1.2 攻擊
1.2.1 威脅機密性的攻擊
1.2.2 威脅完整性的攻擊
1.2.3 威脅可用性的攻擊
1.2.4 被動攻擊與主動攻擊
1.3 服務和機制
1.3.1 安全服務
1.3.2 安全機制
1.3.3 服務和機制之間的關系
1.4 技術
1.4.1 密碼術
1.4.2 密寫術
1.5 本書的其餘部分
第Ⅰ部分 對稱密鑰加密
第Ⅱ部分 非對稱密鑰加密
第Ⅲ部分 完整性、驗證和密鑰管理
第Ⅳ部分 網路安全
1.6 推薦閱讀
1.7 關鍵術語
1.8 概要
1.9 習題集
第Ⅰ部分 對稱密鑰加密
第2章 密碼數學 第Ⅰ部分：模演算法、同餘和矩陣
2.1 整數演算法
2.1.1 整數集
2.1.2 二進制運算
2.1.3 整數除法
2.1.4 整除性
2.1.5 線性丟番圖方程
2.2 模運算
2.2.1 模算符
2.2.2 余集：Zn
2.2.3 同餘
2.2.4 在集合Zn當中的運算
2.2.5 逆
2.2.6 加法表和乘法表
2.2.7 加法集和乘法集的不同
2.2.8 另外兩個集合
2.3 矩陣
2.3.1 定義
2.3.2 運算和關系
2.3.3 行列式
2.3.4 逆
2.3.5 剩餘陣
2.4 線性同餘
2.4.1 單變數線性方程
2.4.2 線性方程組
2.5 推薦閱讀
2.6 關鍵術語
2.7 概要
2.8 習題集
第3章 傳統對稱密鑰密碼
3.1 導言
3.1.1 Kerckhoff原理
3.1.2 密碼分析
3.1.3 傳統密碼的分類
3.2 代換密碼
3.2.1 單碼代換密碼
3.2.2 多碼代換密碼
3.3 換位密碼
3.3.1 無密鑰換位密碼
3.3.2 有密鑰的換位密碼
3.3.3 把兩種方法組合起來
3.4 流密碼和分組密碼
3.4.1 流密碼
3.4.2 分組密碼
3.4.3 組合
3.5 推薦閱讀
3.6關鍵術語
3.7 概要
3.8 習題集
第4章 密碼數學 第Ⅱ部分：代數結構
4.1 代數結構
4.1.1 群
4.1.2 環
4.1.3 域
4.1.4 小結
4.2 GF（2n）域
4.2.1 多項式
4.2.2 運用一個生成器
4.2.3 小結
4.3 推薦閱讀
4.4 關鍵術語
4.5 概要
4.6 習題集
第5章 現代對稱密鑰密碼
5.1 現代分組密碼
5.1.1 代換與換位
5.1.2 作為置換群的分組密碼
5.1.3 現代分組密碼的成分
5.1.4 換字盒
5.1.5 乘積密碼
5.1.6 兩類乘積密碼
5.1.7 關於分組密碼的攻擊
5.2 現代流密碼
5.2.1 同步流密碼
5.2.2 非同步流密碼
5.3 推薦閱讀
5.4 關鍵術語
5.5 概要
5.6 習題集
第6章 數據加密標准（DES）
6.1 導言
6.1.1 數據加密標准（DES）簡史
6.1.2 概觀
6.2 DES的結構
6.2.1 初始置換和最終置換
6.2.2 輪
6.2.3 密碼和反向密碼
6.2.4 示例
6.3 DES分析
6.3.1 性質
6.3.2 設計標准
6.3.3 DES的缺陷
6.4 多重 DES
6.4.1 雙重DES
6.4.2 三重DES
6.5 DES的安全性
6.5.1 蠻力攻擊
6.5.2 差分密碼分析
6.5.3 線性密碼分析
6.6 推薦閱讀
6.7 關鍵術語
6.8 概要
6.9 習題集
第7章 高級加密標准（AES）
7.1 導言
7.1.1 高級加密標准（AES）簡史
7.1.2 標准
7.1.3 輪
7.1.4 數據單位
7.1.5 每一個輪的結構
7.2 轉換
7.2.1 代換
7.2.2 置換
7.2.3 混合
7.2.4 密鑰加
7.3 密鑰擴展
7.3.1 在AES-128中的密鑰擴展
7.3.2 AES-192和AES-256中的密鑰擴展
7.3.3 密鑰擴展分析
7.4 密碼
7.4.1 源設計
7.4.2 選擇性設計
7.5 示例
7.6 AES的分析
7.6.1 安全性
7.6.2 可執行性
7.6.3 復雜性和費用
7.7 推薦閱讀
7.8 關鍵術語
7.9 概要
7.10 習題集
第8章 應用現代對稱密鑰密碼的加密
8.1 現代分組密碼的應用
8.1.1 電子密碼本模式
8.1.2 密碼分組鏈接（CBC）模式
8.1.3 密碼反饋（CFB）模式
8.1.4 輸出反饋（OFB）模式
8.1.5 計數器（CTR）模式
8.2 流密碼的應用
8.2.1 RC4
8.2.2 A5/1
8.3 其他問題
8.3.1 密鑰管理
8.3.2 密鑰生成
8.4 推薦閱讀
8.5 關鍵術語
8.6 概要
8.7 習題集
第Ⅱ部分 非對稱密鑰加密
第9章 密碼數學 第Ⅲ部分：素數及其相關的同餘方程
9.1 素數
9.1.1 定義
9.1.2 素數的基數
9.1.3 素性檢驗
9.1.4 Euler Phi-（歐拉?（n））函數
9.1.5 Fermat（費爾馬）小定理
9.1.6 Euler定理
9.1.7 生成素數
9.2 素性測試
9.2.1 確定性演算法
9.2.2概率演算法
9.2.3 推薦的素性檢驗
9.3 因數分解
9.3.1 算術基本定理
9.3.2 因數分解方法
9.3.3 Fermat方法 248
9.3.4 Pollard p – 1方法
9.3.5 Pollard rho方法
9.3.6 更有效的方法
9.4 中國剩餘定理
9.5 二次同餘
9.5.1 二次同餘模一個素數
9.5.2 二次同餘模一個復合數
9.6 指數與對數
9.6.1 指數
9.6.2 對數
9.7 推薦閱讀
9.8 關鍵術語
9.9 概要
9.10 習題集
第10章 非對稱密鑰密碼學
10.1 導言
10.1.1 密鑰
10.1.2 一般概念
10.1.3 雙方的需要
10.1.4 單向暗門函數
10.1.5 背包密碼系統
10.2 RSA密碼系統
10.2.1 簡介
10.2.2 過程
10.2.3 一些普通的例子
10.2.4 針對RSA的攻擊
10.2.5 建議
10.2.6 最優非對稱加密填充（OAEP）
10.2.7 應用
10.3 RABIN密碼系統
10.3.1 過程
10.3.2 Rabin系統的安全性
10.4 ELGAMAL密碼系統
10.4.1 ElGamal密碼系統
10.4.2 過程
10.4.3 證明
10.4.4 分析
10.4.5 ElGamal的安全性
10.4.6 應用
10.5 橢圓曲線密碼系統
10.5.1 基於實數的橢圓曲線
10.5.2 基於GF（ p）的橢圓曲線
10.5.3 基於GF（2n）的橢圓曲線
10.5.4 模擬ElGamal的橢圓曲線加密系統
10.6 推薦閱讀
10.7 關鍵術語
10.8 概要
10.9 習題集
第Ⅲ部分 完整性、驗證和密鑰管理
第11章 信息的完整性和信息驗證
11.1 信息完整性
11.1.1 文檔與指紋
11.1.2 信息與信息摘要
11.1.3 區別
11.1.4 檢驗完整性
11.1.5 加密hash函數標准
11.2 隨機預言模型
11.2.1 鴿洞原理
11.2.2 生日問題
11.2.3 針對隨機預言模型的攻擊
11.2.4 針對結構的攻擊
11.3 信息驗證
11.3.1 修改檢測碼
11.3.2 信息驗證代碼（MAC）
11.4 推薦閱讀
11.5 關鍵術語
11.6 概要
11.7 習題集
第12章 加密hash函數
12.1 導言
12.1.1 迭代hash函數
12.1.2 兩組壓縮函數
12.2 SHA-512
12.2.1 簡介
12.2.2 壓縮函數
12.2.3 分析
12.3 WHIRLPOOL
12.3.1 Whirlpool密碼
12.3.2 小結
12.3.3 分析
12.4 推薦閱讀
12.5 關鍵術語
12.6 概要
12.7 習題集
第13章 數字簽名
13.1 對比
13.1.1 包含性
13.1.2 驗證方法
13.1.3 關系
13.1.4 二重性
13.2 過程
13.2.1 密鑰需求
13.2.2 摘要簽名
13.3 服務
13.3.1 信息身份驗證
13.3.2 信息完整性
13.3.3 不可否認性
13.3.4 機密性
13.4 針對數字簽名的攻擊
13.4.1 攻擊類型
13.4.2 偽造類型
13.5 數字簽名方案
13.5.1 RSA數字簽名方案
13.5.2 ElGamal數字簽名方案
13.5.3 Schnorr數字簽名方案
13.5.4 數字簽名標准（DSS）
13.5.5 橢圓曲線數字簽名方案
13.6 變化與應用
13.6.1 變化
13.6.2 應用
13.7 推薦閱讀
13.8 關鍵術語
13.9 概要
13.10 習題集
第14章 實體驗證
14.1 導言
14.1.1 數據源驗證與實體驗證
14.1.2 驗證的類型
14.1.3 實體驗證和密鑰管理
14.2 口令
14.2.1 固定口令
14.2.2 一次性密碼
14.3 挑戰—應答
14.3.1 對稱密鑰密碼的運用
14.3.2 帶密鑰hash函數的應用
14.3.3 非對稱密鑰密碼的應用
14.3.4 數字簽名的應用
14.4 零知識
14.4.1 Fiat-Shamir協議
14.4.2 Feige-Fiat-Shamir協議
14.4.3 Guillou-Quisquater協議
14.5 生物測試
14.5.1 設備
14.5.2 注冊
14.5.3 驗證
14.5.4 技術
14.5.5 准確性
14.5.6 應用
14.6 推薦閱讀
14.7 關鍵術語
14.8 概要
14.9 習題集
第15章 密鑰管理
15.1 對稱密鑰分配
15.2 KERBEROS
15.2.1 伺服器
15.2.2 操作
15.2.3 不同伺服器的運用
15.2.4 Kerberos第五版
15.2.5 領域
15.3 對稱密鑰協定
15.3.1 Diffie-Hellman密鑰協定
15.3.2 站對站密鑰協定
15.4 公鑰分配
15.4.1 公鑰公布
15.4.2 可信中心
15.4.3 可信中心的控制
15.4.4 認證機關
15.4.5 X.509
15.4.6 公鑰基礎設施（PKI）
15.5 推薦閱讀
15.6 關鍵術語
15.7 概要
15.8 習題集
第Ⅳ部分 網 絡 安 全
第16章 應用層的安全性：PGP和S/MIME
16.1 電子郵件
16.1.1 電子郵件的構造
16.1.2 電子郵件的安全性
16.2 PGP
16.2.1 情景
16.2.2 密鑰環
16.2.3 PGP證書
16.2.4 密鑰撤回
16.2.5 從環中提取消息
16.2.6 PGP包
16.2.7 PGP信息
16.2.8 PGP的應用
16.3 S/MIME
16.3.1 MIME
16.3.2 S/MIME
16.3.3 S/MIME的應用
16.4 推薦閱讀
16.5 關鍵術語
16.6 概要
16.7 習題集
第17章 傳輸層的安全性：SSL和TLS
17.1 SSL結構
17.1.1 服務
17.1.2 密鑰交換演算法
17.1.3 加密/解密演算法
17.1.4 散列演算法
17.1.5 密碼套件
17.1.6 壓縮演算法
17.1.7 加密參數的生成
17.1.8 會話和連接
17.2 4個協議
17.2.1 握手協議
17.2.2 改變密碼規格協議
17.2.3 告警協議
17.2.4 記錄協議
17.3 SSL信息構成
17.3.1 改變密碼規格協議
17.3.2 告警協議
17.3.3 握手協議
17.3.4 應用數據
17.4 傳輸層安全
17.4.1 版本
17.4.2 密碼套件
17.4.3 加密秘密的生成
17.4.4 告警協議
17.4.5 握手協議
17.4.6 記錄協議
17.5 推薦閱讀
17.6 關鍵術語
17.7 概要
17.8 習題集
第18章 網路層的安全：IPSec
18.1 兩種模式
18.2 兩個安全協議
18.2.1 驗證文件頭（AH）
18.2.2 封裝安全載荷（ESP）
18.2.3 IPv4和IPv6
18.2.4 AH和ESP
18.2.5 IPSec提供的服務
18.3 安全關聯
18.3.1 安全關聯的概念
18.3.2 安全關聯資料庫（SAD）
18.4 安全策略
18.5 互聯網密鑰交換（IKE）
18.5.1 改進的Diffie-Hellman密鑰交換
18.5.2 IKE階段
18.5.3 階段和模式
18.5.4 階段Ⅰ：主模式
18.5.5 階段Ⅰ：野蠻模式
18.5.6 階段Ⅱ：快速模式
18.5.7 SA演算法
18.6 ISAKMP
18.6.1 一般文件頭
18.6.2 有效載荷
18.7 推薦閱讀
18.8 關鍵術語
18.9 概要
18.10 習題集
附錄A ASCII
附錄B 標准與標准化組織
附錄C TCP/IP套件
附錄D 初等概率
附錄E 生日問題
附錄F 資訊理論
附錄G 不可約多項式與本原多項式列舉
附錄H 小於10 000的素數
附錄I 整數的素因數
附錄J 小於1000素數的一次本原根列表
附錄K 隨機數生成器
附錄L 復雜度
附錄M ZIP
附錄N DES差分密碼分析和DES線性密碼分析
附錄O 簡化DES（S-DES）
附錄P 簡化AES（S-AES）
附錄Q 一些證明
術語表
參考文獻
……
-------------------------------------------------
作者： （印）卡哈特著，金名等譯
出 版 社： 清華大學出版社
出版時間： 2009-3-1
版次： 1
頁數： 427
開本： 16開
I S B N ： 9787302193395
包裝： 平裝
所屬分類： 圖書 >> 計算機/網路 >> 信息安全 本書以清晰的脈絡、簡潔的語言，介紹了各種加密技術、網路安全協議與實現技術等內容，包括各種對稱密鑰演算法與AES，非對稱密鑰演算法、數字簽名與RSA，數字證書與公鑰基礎設施，Internet安全協議，用戶認證與Kerberos，Java、．NET和操作系統的加密實現，網路安全、防火牆與VPN，並給出了具體的加密與安全的案例實現分析，是—本關於密碼學與網路安全的理論結合實踐的優秀教材。
本書特點
本書語言表達流暢、簡潔，使本書的閱讀不再枯燥。
全書多達425幅插圖，極大地方便了讀者的學習和理解。
全書提供了豐富的多項選擇題、練習題、設計與編程題，有利於加深讀者對所學知識的理解和掌握。 第1章計算機攻擊與計算機安全
1.1簡介
1.2安全需求
1.3安全方法
1.4安全性原則
1.5攻擊類型
1.6本章小結
1.7實踐練習
第2章加密的概念與技術
2.1簡介
2.2明文與密文
2.3替換方法
2.4變換加密技術
2.5加密與解密
2.6對稱與非對稱密鑰加密
2.7夾帶加密法
2.8密鑰范圍與密鑰長度
2.9攻擊類型
2.10本章小結
2.11實踐練習
第3章對稱密鑰演算法與AES
3.1簡介
3.2演算法類型與模式
3.3對稱密鑰加密法概述
3.4數據加密標准
……
第4章非對稱密鑰演算法、數字簽名與RSA
第5章數字證書與公鑰基礎設施
第6章Internet安全協議
第7章用戶認證與Kerberos
第8章Java、NET和操作系統的加密實現
第9章網路安全、防火牆與VPN
第10章加密與安全案例分析
附錄A數學背景知識
附錄B數字系統
附錄C信息理論
附錄D實際工具
附錄EWeb資源
附錄FASN、BER、DER簡介
參考文獻
術語表

⑽ 信息管理中的信息安全問題——MM

通過相關檢索，結合親身經歷，給出一個防火牆設計案例，包括：
1、應用背景
銀行金融行業屬於國家重點建設和保護的行業，隨著市場經濟的全面推進，各金融企業之問的競爭銷如擾也日益激烈，主要是通過提高金融機構的運作效率，為客戶提供方便快捷和豐富多彩的服務，增強金融企業的發展能力和影響力來增強自身的競爭優勢。由於服務的多樣化，應用增多的同時網路安傘風險也會不斷暴露出來，而且由於銀行系統有大量的商業機密，如果這些涉密信息在網上傳輸過程中泄密，並且這些信息如果丟失或泄漏；其造成的損失將是不可估量的。近期，針對某銀行系統特殊的業務需求和潛在網路風險，天融信公司提出了一套系統的安全解決方案，有力地保證了該銀行網路系統的安全。
2、安全需求分析
目前該銀行主要應用業務中，網上銀行、電子商務、網上交易系統都是通過Internet公網進行相關操作，由於互聯網自身的廣泛性、自由性等特點，其系統很可能成為惡意入侵者的攻擊目標。銀行網路安全的風虧旦險來自多個方面：其一 ，來自互聯網的風險：銀行的系統網路如果與Intemet公網發生聯系，如涉及到電子商務、網上交易等系統，都有可能給惡意的入侵者帶來攻擊的條件和機會。其二 ．來自外單位的風險：而且該銀行不斷增加中間業務、服務功能，如代收電話費等，這樣就與其它單位網路互聯，由十與這些單位之間不一定是完全信任關系，因此，該銀行網路系統存在著來自外單位的安全隱患。其三．來自不信任域的風險：涵蓋范圍廣泛，全國聯網的銀行，各級銀行之問存在著安全威脅。其四，來自內部網的風險。據調查，大多數網路安全事件，攻擊米自於內部；有可能發生內部攻擊、泄露；導致遭受攻擊的事件發生。鑒於存在以上潛在風險，該銀行網路需要防範來自不安全網路或不信任域的非法訪問或非授權訪問，防範信息在網路傳輸過程中被非法竊取，而造成信息的泄露；並動態防範各種來自內外網路的惡意攻擊；對進入網路或主機的數據實時監測，防範病毒對網路或主機的侵害；針對銀行特殊的應用進行特定的應用開發；必須制定完善安全管理制度，並通過培訓等手段來增強員工的安全防範技術及防範意識等等，將風險防患於未然。
3、方案設計（圖、文字）
鑒於以上銀行系統可能發生的安全隱患及客戶需求，天融信制訂出安全，可靠的安全解決方案。首先，保證計算機信息系統各種設備的物理安全是保障整個網路系統安全的前提，這點涉及到網路環境的安全、設計的安全、媒介的安全．保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程．另外，對系統、網路、應用和信息的安全要重視，系統安全包括操作系統安全和應用系統安全；網路安全包括網路結構安全、訪問控制、安全檢測和評估；應用安全包括安全認證和病毒防護；信息安全包括加密傳輸、信息鑒別和信息仔儲．
其次，對於該銀行系統可能會存住的特殊應用，要保護其應用的安拿性，必須通過詳細 解和分析，進行有針對性地開發，量體裁衣，才能切實保證應用時安全。而建立動態的、整體的網路安全的另外一關鍵是建立長期的、與項目相關的信息安全服務。安全服務包括：傘方位的安全咨匈、培訓；靜態的網路安傘風險評估；特別事件應急響應。
另外，除了上述的安全風險外，安全設備本身的穩定性非常重要，為此，天融信安全解決方案中防火牆將採用雙機熱備的方式。即，兩台防火牆互為備份，一台是主防火牆；另一台是從防火牆。當主防火牆發生故障時，從防火牆接替主防火牆的工作。從而最大限度的保證用戶網路的連通性。根據該銀行的網路結構，天融信把整個網路用防火牆分割成三個物理控制區域，即金融網廣域網、獨立伺服器網路、銀行內部網路。

以上三個區域分別連接在防火牆的三個乙太網借介面上，從而通過在防火牆上載入訪問控制策略，對達三個控制區域間的訪問進行限制。主防火牆與從防火牆之間通過CON一SOLE電纜線相連接，用以進行兩台防火牆之間的心跳檢測。
4、經驗與教訓（盡量加入自己的感悟）
我們此次做出的安全解決方案緊密結合該銀行的實際應用，結合了用戶需求，因此方案具有很強的針對性，並達到了很好的效果．防範系統漏洞：目前大多數操作系統都存在一些安全漏洞、後門，這些因素往往又是被入侵者攻擊所利用橡閉。因此，對操作系統必須進行安全配置、打上最新的補丁，還要利用相應的掃描軟體對其進行安全性掃描評估、檢測其存在的安傘漏洞，分析系統的安全性，提出補救措施。加強身份認證：對應用系統的安全性，也應該進行安全配置，盡量做到只開放必須使用的服務，而關閉不經常用的協議及協議埠號。對應用系統的使用加強用戶登錄身份認證以確保用戶使用的合法性，嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。全面網路安全控制：首先從網路結構布局上，對該銀行系統業務網、辦公網、與外單位互聯的介面網路之間必須按各自的應用范圍、安全保密程度進行合理區域劃分，以免局部產牛的威脅，傳播到整個網路系統。同時，加強訪問控制：任內部區域網內通過交換機劃分VLAN功能來實現不同部門、不同級別用戶之間簡單的訪問控制；與外單位網路、不信任域網路之間通過配備防火牆來實現內、外網或不同信任域之間的隔離與訪問控制；配備應用層的訪問控制軟體系統，針對區域網具體的應用進行更細致的訪問控制；對於遠程拔號訪問用戶的安全性訪問，利用防火牆的一次性口令認證機制，對遠程拔號用戶進行身份認證，實遠程用戶的安全訪問。進而進行安全檢測和評估：配備入侵檢測系統，對網路違規事件跟蹤、實時報警、阻斷連接並做臼志；從操作系統的角度，以管理員的身份對獨立的系統主機的安全性進行評估分析，找出用戶系統配置、用戶配置的安全弱點，建議補救措施。
密鑰認證：我們引入了通過第三方來發放證書，即構建一個權威認證機構(Ca認證中心)。該銀行系統可以聯合各專業銀行•同構建一個銀行系統的CA系統，實現本系統內證書的發交與業務的安全交易。不同的加密傳輸：對銀行普通業務系統，我們建議採用網路層加密設備，來保護數據在網路上傳輸的安全性。而對網k銀行、網上交易等業務系統可以採用應用層加密機制來加密，以保護數據在網上傳輸的機密性。備份、恢復停儲數據：保護資料庫最安全、最有效的方法就是採用備份與恢復系統。備份系統可以保存相當完整的資料庫信息，在運行資料庫主機發生意外事故時，通過恢復系統把備份的資料庫系統在最短時間內恢復正常工作狀態，保證銀行業務系統提供服務的及時性、連續性。
二、相關檢索
1、防火牆的定義
防火牆是保障網路安全的一個系統或一組系統，用於加強網路間的訪問控制，防止外部用戶非法使用內部網資源，保護內部網的設備不被破壞，防止內部網路的敏感數據被竊取。
2、使用防火牆的目的
防止各類黑客的破壞，阻斷來自外部網路的威脅與入侵，起著防備潛在惡意活動的作用。
3、防火牆的特徵（或典型的防火牆的基本特性）
（1）、廣泛性：通過將動態的、應用層的過濾能力和認證相結合，可實現WWW瀏覽器、HTTP伺服器、 FTP等伺服器支持；
（2）、對私有數據的加密支持：保證通過Internet進行虛擬私人網路和商務活動不受損壞；
（3）、客戶端認證只允許指定的用戶訪問內部網路或選擇服務：企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分；
（4）、反欺騙：欺騙是從外部獲取網路訪問權的常用手段，它使數據包好似來自網路內部。防火牆能監視這樣的數據包並能扔掉它們；
（5）、C/S模式和跨平台支持：能使運行在一平台的管理模塊控制運行在另一平台的監視模塊。
4、目前防火牆的局限性
（1）不能防範內部攻擊。
（2）不能防範不通過防火牆的連接入侵。
（3）不能自動防禦新的所有威脅。
5、防火牆的基本功能、增值功能
（1） 阻止易受攻擊的服務進入內部網；
（2） 控制訪問網點；
（3） 集中安全性管理；
（4） 對網路存取和訪問進行監控審計；
（5） 檢測掃描計算機的企圖；
（6） 防範特洛伊木馬；
（7） 防病毒功能；
（8） 支持VPN技術；
（9） 提供網路地址翻譯NAT功能。
6、防火牆的類型
（1）概念分類：網路層防火牆、應用層防火牆。
（2）技術分類：傳統防火牆、分布式防火牆、嵌入式防火牆、智能防火牆。
7、防火牆的主要技術
包過濾技術、代理服務技術、電路層網關、狀態檢測技術。
8、防火牆的常見體系結構
篩選路由器結構、雙宿主機結構、屏蔽主機網關結構、屏蔽子網結構。
9、防火牆設計的原則與策略
設計原則：
安全性、可靠性、擴展性、可升級性、兼容性
防火牆一般採用2個基本設計策略：
（1） 拒絕訪問除明確許可以外的任何一種服務，即沒有被列為允許的服務都是禁止的。
（2） 允許訪問除明確拒絕以外的任何一種服務，即沒有被列為禁止的服務都是允許的。