信息安全复习资料名词解释：1、信息安全:一种保证信息在采集、存储、传递、加工和访问过程中保密性、完整性和可用性的技术。这是围绕信息为核心的安全技术，是密码技术、通信安全、计算机安全和网络安全的应用技术。2、计算机外部安全:包括计算机设备的物理安全、与信息安全有关的规章制度的建立和法律法规的制定等。它是保证计算机设备的正常运行，确保系统信息安全的前提。 3、计算机内部安全:计算机信息在存储介质上的安全，包括计算机软件保护、软件安全、数据安全等。4、计算机网络安全:指信息在通过网络系统交换数据时确保信息的完整性、可靠性和保密性。需要从边界防卫、入侵检测和安全反应等环节着手建立网络安全保障体系。 5、信息安全威胁:指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是对安全威胁的具体体现。6、密码学：密码学是研究信息系统安全保密的科学。7、被动出击：即非法从传输信道上截取信息，或从存储载体上偷窃信息。8、主动出击：即对传输或存储的数据进行恶意的删除、修改等。9、序列算法：序列密码：也称为流密码，每次加密一位或一字节的明文。序列密码使用尽可能长的密钥，由于长的密钥的存储，分配都很困难，因此，采用一个较短的密钥来控制某种算法来产生出长的密钥。10、分组算法：分组密码：将明文分成固定长度的组，典型分组长度是64位用同一密钥和算法对每一块加密，输出也是固定长度的密文，密钥的位数和这个固定的位数大致相等。11、对称密钥算法（对称算法）：在对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。12、公开密钥算法： 公开密钥算法是加密密钥公开，叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。13、哈希函数： 哈希（Hash）函数也叫杂凑函数或散列函数。任意长度的信息m经过哈希函数运算后，能转换成一个固定长度（如64或128 bit）的数h。14、消息摘要：消息摘要是由Hash函数计算发送原文(消息)产生，用于数据认证，以保证数据完整性(即保证发送与接收的消息的一致性)。15、数字签名：数字签名以电子方式存储签名信息，是在数字文档上进行身份验证的技术。（书上的解释） 数字签名的原理是发送方利用Hash函数计算发送原文(消息) ，产生消息摘要；再利用发送方的私钥加密该消息摘要；将该加密的摘要与原文一起发送。（PPT上找到的）16、身份识别技术:身份识别是指定用户向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡。身份识别技术能使识别者识别到自己的真正身份，确保识别者的合法权益。17、零知识身份识别协议：证明者使验证者相信某个论断是正确的，却又不向验证者提供任何有用的信息。（列子见第三章PPT P13-P14帮助理解）18、密钥的分散管理：密钥的分散管理就是把主密钥拷贝给多个可靠的用户保管，而且可以使每个持密钥者具有不同的权力。其中权力大的用户可以持有几个密钥，权力小的用户只持有一个密钥。也就是说密钥分散地把主密钥信息进行分割，不同的密钥持有者掌握其相应权限的主密钥信息。19、信息隐藏：广义信息隐藏是指为了防止数据泄漏，将该数据嵌入某种载体中。20、PKI：PKI是一种利用公钥加密技术，用于产生、发布和管理带公钥的数字证书的基础设施。21、数字证书：是事先由可信的第三方CA为用户签发的，用于通信中对方验证证书持有者的身份，并用于传递公钥、数字签名、数据加密与完整性验证。22、交互证书对：交互证书对里包含了两个CA互发之证书，两个CA之间可藉由彼此互发证书来建立信赖关系。通过交互证书对的建立，可以延伸信赖关系，让两个CA所签发的证书彼此信赖。23、证书链：证书链是由一系列 CA之间发出的证书序列，最终以根CA 证书结束。24、CA根证书：是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。25、防火墙：防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。26、入侵检测系统：入侵检测系统IDS指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。27、IPSec协议：一套用于保护IP通信的IP安全协议28、SA：安全关联(SA)是两个IPSec实体之间经过协商建立起来的一种协定。29、SPD：安全关联库用于存放IPSec协议用来保障数据安全的SA。30、SAD：安全策略数据库31、IKE协议：IKE基于ISAKMP，Oakley和SKEME，是一种“混合型”协议，它建立在由ISAKMP定义的一个框架上，同时实现了Oakley和SKEME协议的一部分。它沿用了ISAKMP的基础、Oakley的模式以及SKEME的共享和密钥更新技术。32、虚拟专用网VPN：虚拟专用网（Virtual Private Network，VPN）指通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道，是对企业内部网的扩展。33、SSL协议：SSL是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的安全连接技术。34、操作系统安全：操作系统安全是指该系统能够控制外部对系统信息的访问，即只有经过授权的用户或进程才能对信息资源进行相应的读、写、创建和删除等操作，以保护合法用户对授权资源的正常使用，防止非法入侵者对系统资源的侵占和破坏。35、活动目录：活动目录是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射。如找到了一个用户名，可以联想到该用户的账号等，提高了系统资源的利用效率。36、恶意代码：恶意代码就是经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。37、网络蠕虫 ：网络蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。简答题：1. 信息安全的基本特性有哪些？完整性,可用性,保密性或机密性,不可否认性,可控性2. 信息安全威胁的种类及含义。1) 信息泄露：信息被泄露或透露给某个非授权的实体。2) 破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。3) 拒绝服务：对信息或其它资源的合法访问被无条件地阻止。4) 非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用。5) 窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号进行搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。6) 业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。7) 假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。8) 旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”。利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。9) 授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它非授权的目的，也称作“内部攻击”。10) 特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马。11) 陷阱门：在某个系统或某个部件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。12) 抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某消息、伪造一份对方来信等。 13) 重放：所截获的某次合法的通信数据拷贝，出于非法的目的而被重新发送。14) 计算机病毒：所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两种功能：一种功能是对其它程序产生“感染”；另外一种或者是引发损坏功能，或者是一种植入攻击的能力。15) 人员不慎：一个授权的人为了钱或利益，或由于粗心，将信息泄露给一个非授权的人。16）媒体废弃：信息被从废弃的磁的或打印过的存储介质中获得。17）物理侵入：侵入者通过绕过物理控制而获得对系统的访问。18）窃取：重要的安全物品，如令牌或身份卡被盗。19）业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。3. 常见的信息安全技术及作用。1）、信息加密：使有用的信息变为看上去无用的乱码，攻击者无法读懂信息的内容从而保护信息。作用：是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学主要组成部分。2）、数字签名：其机制决定于两个过程：A、签名过程 ：利用签名者的私有信息作为秘钥，或对数据单元进行加密或产生该数据单元的密码校验值。B、验证过程 ：利用公开的规程和信息来确定签名是否是利用该签名者的私有信息产生的。作用：能与被签的文件在物理上不可分割、签名者不能否认自己的签名、签名不能被伪造、容易被验证3）、数据完整性：数据完整性保护用于防止非法篡改，利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务，当信息源的完整性可以被验证却无法模仿时，收到信息的一方可以认定信息的发送者，数字签名就可以提供这种手段。4）、身份鉴别：鉴别是信息安全的基本机制，通信的双方之间应互相认证对方的身份，以保证赋予正确的操作权力和数据的存取控制。网络也必须认证用户的身份，以保证合法的用户进行正确的操作并进行正确的审计。通常有三种方法验证主体身份。 1）只有该主体了解的秘密，如口令、密钥； 2）主体携带的物品，如智能卡和令牌卡； 3）只有该主题具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等5）、访问控制：访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权利的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。6）、安全数据库：安全数据库包括：数据库的完整性（物理上的完整性、逻辑上的完整性和库中元素的完整性）、数据的保密性（用户身份识别、访问控制和可审计性）、数据库的可用性（用户界面友好，在授权范围内用户可以简便地访问数据）。7）、网络控制技术：A、防火墙技术：是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的安全技术。防火墙扮演的是网络中“交通警察”角色，指挥网上信息合理有 序地安全流动，同时也处理网上的各类“交通事故”。防火墙可分为外部防火墙和内部防火墙。B、入侵检测技术：扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。大多数的入侵监测系统可以提供关于网络流量非常详尽的分析。C、安全协议：整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。安全协议的设计和改进有两种方式： 对现有网络协议（如TCP/IP）进行修改和补充； 在网络应用