一：1.信息安全根源：①网络协议的开放性，共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。

2.网络信息系统的资源：①人：决策、使用、管理者②应用：业务逻辑组件及界面组件组成③支撑：为开发应用组件而提供技术上支撑的资源。

3.信息安全的任务：网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用；信息安全的任务是保障信息在存储、传输、处理等过程中的安全，具体有机密性、完整性、不可抵赖性、可用性。

4.网络安全防范体系层次：物理层、系统层、网络层、应用层、管理层安全5.常见的信息安全技术：密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。

二：1.简述对称加密和公钥加密的基本原理：所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密，或虽不相同，但可由其中任意一个很容易推出另一个；公钥加密使用使用一对唯一性密钥，一为公钥一为私钥，不能从加密密钥推出解密密钥。

常用的对称加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES常用的公钥加密有：RSA、Diffie-Hellman密钥交换、ElGamal2.凯撒密码：每一个明文字符都由其右第三个字符代替RSA：①选两个大素数pq②计算n=pq和ψ(n)=(p-1)(q-1)③随机取加密密钥e，使e和ψ(n)互素④计算解密密钥d，以满足ed=1modψ(n)⑤加密函数E(x)=m e mod n，解密函数D(x)=c d mod n，m是明文，c使密文⑥{e，n}为公开密钥，d 为私人密钥，n一般大于等于1024位。

D-H密钥交换：①A和B定义大素数p及本源根a②A产生一个随机数x，计算X=a x mod p，并发送给B③B产生y，计算Y=a y mod p，并发送给A④A计算k=Y x mod p⑤B计算k’=X y mod p⑥k，k’即为私密密钥三：1.PKI是具普适性安全基础设施原因(p21)：①普适性基础②应用支撑③商业驱动。

2.PKI组件(p24)：认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。

3.PKI核心服务(p26)：①认证：向一个实体确认另一个实体确实就是用户自己②完整性：向一个实体确保数据没有被有意或无意地修改③机密性：向一个实体确保除了接受者，无人能读懂数据的关键部分。

4.PKI的支撑服务(p27)：安全通信、安全时间戳、公证、不可否认、特权管理。

5.密匙和证书管理阶段(p34)：①初始化阶段：终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段：证书检索、证书验证、密匙恢复、密匙更新③取消阶段：证书过期、证书撤消、密匙历史、密匙档案。

6.PKI信任模型(p41)：严格层次结构、分布式信任结构、WEB模型、以用户为中心的信任。

7.证书撤销方法(p38):①周期发布机制：证书撤销列表、完全CRL②在线证书状态协议(OCSP)。

8.PKI框架图：四：1.IPSec协议的隧道模式与传输模式有何区别？如何实现？(p46)它们所保护的内容不同，传输模式保护的只是IP的有效负载，而隧道模式保护的是整个IP数据包。

AH和ESP都支持这两种模式，存在四种形式。

AH传输模式AH隧道模式ESP传输模式ESP隧道模式。

2.简述ESP和AH在中IPSec的作用，它们能否同时使用？(p45)AH为IP数据包提供3种服务，即无连接的数据完整性验证、数据源身份认证和防重放攻击；ESP除了为IP数据包提供AH已有3种服务外，有还提供数据包加密、数据流加密；可以同时使用，不过AH提供的验证服务要强于ESP。

IPSec安全体系：SSL加密算法、交换加密密钥等。

SSL修改密码规格协议(p50)：唯一目的是未决状态被复制为当前状态，从而改变这个连接将要使用的密码规格。

SSL告警协议(p50)：把有关警告传到各个实体。

SSL记录协议(p49)：在客户及和服务器之间传输应用数据和SSL控制数据。

应用层数据分片1 分片2 分片n分片1’分片1’分片1’分片1’H4.SSL头部。

分段……压缩计算MAC加密增加记录协议头部5.S-HTTP相对于HTTP的特性(p53)：是对HTTP扩充安全特性、增加了报文的安全性，它是基于SSL技术的。

该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

6.SET在电子商务流程中安全保密功能的实现(p56)：7.PGP加密和认证过程(p58)：五：1.黑客常用的入侵方法(p61)：口令入侵、特洛伊木马术、监听法、E-mail技术、利用系统漏洞。

2.黑客入侵的一般步骤(p62)：①攻击的准备阶段：确定攻击的目的、信息收集②攻击的实施阶段：获得权限、权限的扩大③攻击的善后工作：隐藏踪迹、后门3.常用的扫描技术(p66)：端口扫描技术。

漏洞扫描技术4.拒绝服务攻击技术原理(p68)：根本目的是使受害主机或网络无法及时处理(或回应)外界请求。

①制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信②利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求③利用受害主机所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误，这样可以大量占用系统资源，使主机处于假死状态或者死机。

5.缓冲溢出的原理(p69)：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

根本原因在于编程语言对缓冲区缺乏严格的边界检查。

6.缓冲溢出的关键技术(p71)①进程的内存组织形式②堆栈区域③Shell Code7.常用的后门技术防范(p73)①评估②MD5基准线③入侵检测④从CD-ROM启动8.Sniffer技术：Sniffer是利用计算机的网络接口截获目的地来为其他计算机的数据报文传送的一种工具,所关心的内容可分为：口令、偷窥机密或敏感的信息数据、窥探低级的协议信息。

六：1.计算机病毒：一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。

另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。

还有一种定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里，当某种条件或时机成熟时，它会自身复制并传播，使计算机资源受到不同程序的破坏等等。

2.计算机病毒的主要特征：传染性、隐蔽性、潜伏性、破坏性、非授权可执行性。

3.简述计算机病毒的工作原理：引导型病毒：病毒把自己存放在引导区，当做正常的引导程序，而将真正的引导程序搬到其他位置，当计算机启动时，就会把病毒程序当作正常的引导程序来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活，可以随时进行感染和破坏活动。

典型代表：大麻病毒(“石头”病毒、“新西兰”病毒)，工作原理：加载、感染、破坏。

文件型病毒：主要攻击COM、EXE、SYS、DLL等可执行文件，病毒对计算机的源文件进行修改，使其成为新的带毒文件，一旦计算机运行该文件就会被感染，从而达到传播的目的。

典型代表：CIH，首例直接攻击和破坏计算机硬件系统的病毒，破坏方式：攻击BIOS、覆盖硬盘。

4.简述计算机病毒传染的一般过程：在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。

该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。

而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。

5.简述计算机病毒的防治方法：用户角度：①计算机病毒的预防：树立牢固的计算机病毒的预防思想；堵塞计算机病毒的传染途径；②计算机病毒的检测和消除：人工方法(借助调试程序及工具软件等进行手工检测和消除处理，操作复杂易出错，要求操作者对系统十分熟悉)；自动方法(针对某种或多种病毒使用专门的反病毒软件自动对病毒进行检测和消除处理，操作简单速度快，不会破坏系统数据)技术角度：①病毒预防技术：包括对已知病毒的特征判定技术或静态判定技术和对未知病毒的动态判定技术②病毒检测技术：包括根据计算机病毒程序中的关键字、特征程序段、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术和不针对具体病毒程序的自身检测技术③病毒消除技术：病毒传染程序的逆过程，是病毒检测的延伸④病毒免疫技术：没有很大发展。

七：1.防火墙的基本功能：对内部网络进行划分，实现对重点网段的隔离；实现对内部网络的集中管理，强化网络安全策略；是审计和记录Internet使用费用的一个最佳地点；可防止非法用户进入内部网络，防止内部信息的外泄；可利用NAT技术将有限的IP地址动态或静态地与内部IP地址对应起来，以缓解地址空间短缺的问题。

可通过IP通道构建VPN。

IPTables：允许建立状态防火墙，就是在内存中保存穿过防火墙的每条连接；能够过滤TCP标志任意组合报文，还能够过滤MAC地址；系统日志比IPChains 更容易配置，扩展性也更好；对于NAT和透明代理的支持，Netfilter更为强大和易于使用；能够阻止某些(例如SYS攻击)Dos攻击。

ICF：互联网连接防火墙，系统内建，占用资源少且不花额外的钱去购买，鉴于ICF工作原理，ICF不能很好地应用在服务器上，也不能完全取代现有的个人防火墙产品，无法提供基于应用程序的保护，也无法建立基于IP包的包审核策略。

八：1.入侵检测系统有哪些功能：通过检测和记录网络中的安全违规行为，追踪网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报。

报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

2.基于网络的和基于主机的IDS各有什么优缺点：基于网络(使用原始的网络分组数据包作为进行攻击分析的数据源)：低成本；攻击者转移入侵证据很困难；实时检测和应答，一旦发生攻击可以随时发现，能够更快地做出反应从而将入侵活动对系统的破坏降到最低；能够检测未成功的或试探性的攻击企图；与操作系统独立，不依赖于主机的操作系统类型，而基于主机的系统需要特定的操作系统才能发挥作用。

基于主机(监视操作系统安全日志以及关键应用的日志文件)：非常适用于加密和交换网络环境；接近实时的检测和应答；不需要额外的硬件；能实现应用级的入侵检测3.IDS常用的检测引擎技术有：统计方法；专家系统；神经网络；状态转移分析；Petri网；计算机免疫；Agent技术；遗传算法；数据挖掘；粗糙集理论。