什么是网络安全？千万别看我怕你知道

一、网络安全

1.概念阐述
网络安全在本质上等同于网络上的信息安全。其意味着网络系统的硬件、软件以及数据均受到妥善保护，不会遭受破坏、更改、泄露等情况，系统能够可靠且正常地运行，网络服务也不会中断。

（1）基本特征解析
网络安全依据其本质界定，呈现出以下基本特征：
① 机密性
信息不会被泄露给未授权的个人、实体或过程，也不会被其使用。在网络系统的各个层面，都存在不同程度的机密性以及相应的防范举措。
② 完整性
信息在未经授权的情况下，不能被修改、破坏、插入、延迟、乱序或者丢失。
③ 可用性
合法用户能够访问并按照要求的顺序使用信息，即确保合法用户在有需求时可以获取到信息及相关资料。

（2）网络攻击分类
网络攻击主要分为四类，分别是中断（攻击计算机）、介入（破坏机密性）、篡改（破坏完整性）以及假造（破坏真实性）。

2.网络安全威胁剖析

(1)窃听
在广播式网络系统中，各个节点都能够读取网上传播的数据，例如搭线窃听、安装通信监视器以及读取网上信息等。网络体系结构允许监视器接收网上传输的所有数据帧，而不考虑帧的传输目标地址，这种特性使得偷听网上数据或者进行非授权访问变得容易且难以被察觉。

(2)假冒
当一个实体伪装成另一个实体开展网络活动时，就会发生假冒现象。

(3)重放
重复一份报文或者报文的一部分，以此产生一个授权的效果。

(4)流量分析
通过对网上信息流进行观察和分析，推断出网上传输的有用信息，比如是否有传输、传输的数量、方向和频率等。即使数据进行了加密处理，仍然可以进行有效的流量分析。

(5)数据完整性破坏
有意或者无意地对信息系统进行修改或破坏，或者在非授权且无法监视的情况下对数据进行修改。

(6)拒绝服务（DOS）
当一个授权的实体无法获得应有的对网络资源的访问，或者紧急操作被延迟时，就会发生拒绝服务。同一时间大量请求可能会导致服务器崩溃。DDOS（分布式拒绝服务攻击）是多个 DOS 组合在一起攻击某个平台。可以根据 IP 地址对一些数据包进行过滤和伪造，以此获取更高权限。SYN Flooding 攻击就属于 DDOS。

(7)资源的非授权使用
即与所定义的安全策略不一致的使用情况。

(8)陷阱和特洛伊木马（木马病毒前缀 Trojan）
通过替换系统的合法程序，或者在合法程序中插入恶意代码，以实现非授权进程，从而达到特定的目的。

(9)病毒
包含蠕虫病毒（worm 前缀）、DOS 病毒、宏病毒(Macro 前缀)、脚本病毒（前缀 VBS\JS\script）、格式化重启病毒（Harm.Deifile）、Joke 病毒（疯狂点击鼠标，但不会对其他文件造成损害）。随着人们对计算机系统和网络的依赖程度不断增加，计算机病毒已经对计算机系统和网络构成了严重威胁。

(10)诽谤
利用计算机信息系统的广泛互连性和匿名性，散布错误的消息，以达到诋毁某个对象的形象和知名度的目的。
选 ABCD。

3.基本安全技术列举
主要包括数据加密、数字签名、身份认证、防火墙以及内容检查。

（1）信息数据的五大安全特性

1. 保密性；2. 完整性；3. 可用性；4. 可控性；5. 可审查性。

二、信息加密技术

1.经典加密技术介绍

① 替换加密

② 换位加密

③ 一次性填充

2.对称加密算法（共享密钥算法）说明

（1）DES：数据加密标准。明文占据 64 位，密钥为 64 位（其中 56 位有效，8 位是奇偶校验位）。

（2）3DES：三重数据加密标准。第一次和第三次加密使用同一个 DES，密钥长度为 128 位（112 位有效，16 位奇偶校验位），第二次使用另外的 DES。总共密钥长度为 192 位，168 位有效。

（3）IDEA：国际数据加密算法。明文为64 位，密钥为 128 位。

3.非对称加密算法（难点记住公式，RSA 算法流程）

（1）RSA（最常用的公钥算法）。用作加密时，用公钥加密，用私钥解密；用作数字签名时，用私钥加密，用公钥解密。

① RSA 算法流程：
1）选取两个大素数 p 和 q；
2）n = pq，z = （p - 1）（q - 1）；
3）选择 d 与 z 互质；
4）选择 e，使 ed = 1（mod）z；
5）e 为公钥，d 为私钥。

三、数字签名（加密算法分组长度）（重点是表格）

实现数字签名的主要技术是非对称密钥加密技术。数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者用发送者的公钥才能解密被加密的摘要，然后用 Hash 函数对收到的原文产生一个摘要，与解密的摘要对比，若相同，则说明收到的信息完整，在传输过程中未被修改，否则被修改过，不是原信息。同时，也证明发送者发送了信息，防止发送者抵赖。但数字签名不能保证信息在传输过程中不被截获。

1.数字签名技术的作用

（1）接收方可以验证消息来源；
（2）发送方不能否认发送过消息；
（3）接收者不能编造或改写消息，更不能伪造签名。

2.两种方式

数字签名一般有两种方式：

（1）基于第三方的加密认证；
（2）公钥加密数字签名认证。

3.报文摘要算法

使用最广泛的报文摘要算法是 MD5，MD5 算法具有单向性（即不可逆）。

（1）基本思想：报文摘要算法 MD5 的基本思想是用足够复杂的方法把报文位充分“弄乱”，使得每一个输出位都受到每一个输入位的影响。具体操作分为下列步骤：

①分组和填充：把明文报文按 512 位分组，最后填充一定长度的“1000…”，使得报文长度 = 448 (mod512)。

②附加：域后加上 64 位的报文长度字段，整个明文恰好为 512 的整数倍。

③初始化：置 4 个 32 位长的缓冲区 ABCD 分别为：A = 01234567，B = 89ABCDEF，C = FEDCBA98，D = 76543210。

④处理：用 4 个不同的基本逻辑函数（F，G，H，I)进行 4 轮处理，每一轮以 ABCD 和当前 512 位的块为输入，处理后送入 ABCD（128 位），产生 128 位的报文摘要。

4.安全散列算法（SHA）

现在常用的是 SHA - 1，同样不可逆，运算速度比 MD5 慢，但 SHA - 1 的报文更长，更利于对抗暴破和野蛮攻击。

5.各类型密钥、分组长度

记住对应分组长度、密钥长度（密钥位数越长，破译困难越大，安全性越高，组合个数是 2 的密钥长度次幂）。

高级加密标准(AES)[评析] AES 加密算法的密钥长度是 128、192 或 256 位，分组长度为 128 位，选 C。

四、密钥管理

美国信息保障技术框架（IATF）中有 3 种技术进行密钥管理：

1.KMI 技术：

密钥管理基础结构，假定一个密钥分发管理中心（KDC），适用于封闭内网系统。

2.PKI 技术：

公钥基础结构，不依赖秘密信道的密钥分发技术，适用于开放的外网。

3.SPK：

适用于规模化专用网。