计算机系统安全考试整理.docVIP

计算机系统（Computer System）：也称计算机信息系统（Computer Information System）,是由计算机及其相关和配套的设备、设施（含网络）构成，并按一定的应用和规则对信息进行采集、加工、存储、检索、等处理的人机系统。 计算机安全（Computer System Security）：中的“安全”一词是指将服务与资源的脆弱性降到最低限度。 信息安全（Information Security）：包括信息系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别7个方面。 安全威胁：是指对安全的一种潜在的侵害。威胁的实施称为攻击。 物理安全主要包括3个方面：环境安全、设备安全、媒体安全。 古典密码学：包含两个互相对立的分支，即密码编码学(Cryptography)、和密码分析学（Cryptanalytics）. 加密函数和解密函数 对称算法：就是加密密钥能够从解密密钥中推算出来，反过来也成立。 对称算法可分为两类：序列密码（流密码）和分组密码。 密码分析学：是在不知道密钥的情况下，恢复出密文中隐藏的明文信息。 明文：S y s t e m 密钥：d o g d o g 密文：V m g w r s 多表替代密码 扩散：就是将明文的统计特性迅速散步到密文中去，实现方式是使得明文的每一位影响密文中的多位的值，即密文中每一位受明文中多位影响；将密钥的每位数字尽可能扩散到更多个密文数字中去，以防止对密钥进行逐段破译。 混乱：的目的在于使明文和密文之间的统计关系变得尽可能复杂。 数据加密标准：DES用于分组密码的一种方法。 16轮乘积变换 在3DES中，如果k1=k2或者k2=k3，则3DES就变成了使用一个56位密钥的单重DES。 工作模式：电子密码本模式、密码分组链模式、密码反馈模式、输出反馈模式、计数模式。 单向陷门函数：是一个陷门的一类特殊单向函数 密钥管理：密钥生成、密钥分发、验证密钥、更新密钥、存储密钥、备份密钥、密钥有效期、销毁密钥、公开密钥的密钥管理。 消息认证：就是认证消息的完整性，当接收方收到发送方的消息时，接收方能够验证到的消息是真实的和未被篡改的。它包含两个含义：一是验证消息的发送者是真正的而不是冒充的，即数据起源认证；二是验证消息在传送过程中未被篡改、重放或延迟等。 消息在传输过程中保持了完整性：接收方确信消息未被更改过；接收方确信消息来自真实的发送发。 通过第三方的可信任机构——认证机构（Certification Authority,CA），把用户的公钥和用户的其他标识信息（如名称、E-mail、身份证号等）捆绑在一起，防止公钥被假冒。 认证机构（CA）是PKI的核心。 证书：是公开密钥体质的一种密钥管理媒介。证书提供了一种在Internet上验证身份的方式，其作用类似于驾驭执照和身份证。 基于智能卡的常用认证机制有呼叫/响应（Challenge/Response）认证和时间同步（Time Synchronous）认证。 零知识证明（Zero-Knowledge Proof）的思想是：证明者Peggy拥有某些知识（如某些长期无法解决的疑难问题的解决办法），Peggy再不将该知识的内容泄露给验证者Victor的前提下，向Victor证明自己拥有该知识。 访问控制（Access Control）：就是在身份认证的基础上，依据授权对提出的资源访问请求加以控制。访问控制是安全防范和保护的主要策略，它可以限制对关键资源的访问，防止非法用户的入侵或合法用户的不慎操作所造成的破坏。 防火墙：是一种用来加强网络之间访问控制的特殊网络设备，常常被安装在受保护的内部网络连接到Internet的结点上。 防火墙的体系结构：一般有屏蔽路由器体系结构、双重宿主主机体系结构屏蔽主机体系结构、屏蔽子网体系结构等几种。 包过滤（Packet Filtering）：又称IP过滤，其原理在于监视并过滤网络上流入、流出的IP包，拒绝发送可疑的包。 源路由攻击:源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外（疏漏）的路径到达目的地。 漏洞：是指硬件、软件或策略上的缺陷，它可是攻击者能够在未经授权的情况下访问系统。 SNMP协议：可以用来查阅非安全路由的路由表，从而了解目标机构网络拓扑的内部细节。 TraceRoute程序：能够得出到达目标主机所要经过的网络数和路由器数。 Ping实用程序：可以用来确定一个指定的主机的位置并确定其是否可达。 trace命令：显示用于将数据包从计算机传到目标位置的一组IP路由器以及每个跃点所需的时间。 防止缓冲区溢出的保护方法：编写正确的代码；缓冲区不可执行；改进C语言函数库；数组边界检查；使堆栈向高地址