网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范Dos攻击是提高（2）的..

免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2009年上半年信息系统项目管理师上午试卷综合知识

第2题

知识点：信息安全技术基础可用性数字签名完整性网络安全网络信息真实性

关键词：安全包保密攻击可用性数字签名完整性网络安全真实性安全网络章/节：信息系统安全技术

网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范Dos攻击是提高（2）的措施，数字签名是保证（3）的措施。

A. 可用性

B. 保密性

C. 完整性

D. 真实性

相关试题：信息加密、解密与常用算法

更多>

第26题 2011年下半年

52%

(26)不属于防病毒技术。

第6题 2008年下半年

31%

信息安全管理体系是指(6) 。

第3题 2009年上半年

50%

网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范Dos攻击是提高（2）的措施，数字签名是保证（3）的措施。


知识点讲解
· 信息安全技术基础 · 可用性 · 数字签名 · 完整性 · 网络安全 · 网络信息 · 真实性

信息安全技术基础

密码技术

密码技术是信息安全的根本，是建立安全空间认证、权限、完整、加密和不可否认5大要素所不可缺少的基石。

1．术语

明文：实际传输的数据，可以是任何类型的未加密数据。

密文：经过加密的数据。

加密：将普通信息（明文）利用数学算法转换成难以理解的资料（密文）的过程。

解密：将密文通过算法转换回明文的过程。

2．对称与不对称加密

对称密钥算法是加密和解密都使用同一个密钥。

常见的对称密钥算法有SDBI、IDEA、RC4、DES和3DES等：

.SDBI：国家密码办公室批准的国内算法，仅硬件中存在。

.IDEA：国际数据加密算法，明文和密文分组长度是64位，但是密钥长度是128位。

.DES：明文和密文分组长度为64位，在加密变换过程中，64位密钥中包含了8位的奇偶校验位，所以实际密钥长度为56位。

.3DES：三重DES，密钥长度为128位，实际为112位（含16位的奇偶校验位）。

对称密钥算法的优点包括：

.加／解密速度快。

.密钥管理简单。

.适宜一对一的信息加密传输过程。

对称密钥算法的缺点包括：

.加密算法简单，密钥长度有限（56位／128位），加密强度不高。

.密钥分发困难，不适宜一对多的加密信息传输。

非对称密钥算法是使用两个不同但相关的密钥来执行加密和解密。相关密钥对中用于加密的密钥称为“公钥”，用于解密的密钥称为“私钥”。

常见的非对称密钥算法有RSA和ECC等。

.RSA：即基于大数分解，是迄今为止在理论和实践上最为成熟完善的公钥密码算法。

.ECC：即椭圆曲线，是为了进一步提高RSA算法的安全性提出来的。和RSA相比，ECC算法安全性高，密码体制更安全；密钥量小；算法灵活性好。

非对称密钥算法的优点有：

.加密算法复杂，密钥长度任意（1024位／2048位），加密强度很高。

.适宜一对多的信息加密交换，尤其适宜因特网上信息加密交换。

非对称密钥算法的缺点有：

.加／解密速度慢。

.密钥管理复杂。

.明文攻击很脆弱，不适用于数据的加密传输。

3．哈希算法

哈希算法是将任意长度的信息块（信息类型任意）映射为固定长度的较小二进制值，这个二进制值称为哈希值。哈希值又叫做信息块的信息摘要。哈希算法产生的哈希值，不能用任何方法求得原来的信息块，而且即使原来的信息块有任意小的改变，新的哈希值却有特别大的不同。

哈希算法在数字签名中可以解决验证签名和用户身份验证、不可抵赖性的问题。

常见的哈希算法有SDH（国家密码办公室批准的哈希算法）、SHA和MD5等。

信息摘要（MD）可以被看作是一份长文件的“数字指纹”。对于特定文件而言，信息摘要是唯一的。信息摘要可以被公开，它不会透露相应文件的任何内容。

4．数据签名与验证

对某个数据块的签名，就是先计算数据块的哈希值，然后使用私钥加密数据块的HASH值得到数据签名。

签名的验证是计算数据块的哈希值，然后使用公钥解密数据签名得到另一个HASH值，比较两个HASH值可以判断数据块在签名后是否被改动，获得签名的验证。

5．数字时间戳技术

数字时间戳技术是数字签名技术的一个变种应用。数字时间戳服务（DTS）是网上电子商务安全服务项目之一，由专门的单位机构提供电子文件的日期和时间信息的安全保护。

如果在签名时加上一个时间标记，就是有数字时间戳的数字签名。

时间戳是一个经加密后形成的凭证文档，包括3个部分：

.需要时间戳的文件的摘要。

.DTS收到文件的日期和时间。

.DTS的数字签名。

时间戳产生的过程：用户首先将需要加时间戳的文件用HASH算法形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要时的日期时间信息后，再对该文件加密（数字签名），然后送回用户。

6．利用不对称密钥传送对称密钥

用不对称密钥加密算法来保护通信能很好地保护数据的安全性。但是由于它的加密和解密的速度都相当慢，因此事实上不对称密钥加密算法更多是用于对称加密密钥的传送。这种方法把不对称密钥加密算法和对称密钥加密算法的优点很好地整合在一起。用不对称密钥的加密算法来保护对称加密密钥的传送，保证了对称加密密钥的安全性。

7．国家密码和安全产品管理

我国实行密码分级管理制度，密码等级及适用范围如下：

.商用密码：适用于国内企事业单位。

.普用密码：适用于政府、党政部门。

.绝密密码：适用于中央和机要部门。

.军用密码：适用于军队。

虚拟专用网（VPN）和虚拟本地网（VLAN）

虚拟专用网（或虚拟个人网）和虚拟本地网是在共享的公共网络（通常是因特网）上建立一个临时的、安全的连接。

VPN和VLAN是对企业内部网的扩展，可以帮助远程用户、公司分支单位机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

目前有两种VPN，即IPSec VPN和MPLS VPN。与IPSec VPN相比，MPLS VPN有更好的安全性、可管理性、可靠性和可扩展性，支持QoS，非常适合于开展VPN业务。

无线安全网络（WLAN）

无线网络有两个主要的组成部件：基站（Station，STA）和网络桥接器（Access Point，AP）。

WLAN的特色有：

.安全性：相对于有线网络，可在如下方面提高安全性，包括尽量减少电波覆盖、基于802.1x的设备安全认证、基于128位的WEP加密、不同的数据经由不同的VLAN传输、在网络层建立VPN通道。

.QoS支持：无线局域网的设备必须能够针对各种应用所对应的不同优先级传输需要，提供对应的服务质量保证。

.可扩展性：现有基于802.11b的无线网可以提供11M带宽，可升级到支持802.11g或802.11a，而802.11g或802.11a可以提供54M带宽。

WLAN的安全机制：

.WEP（Wired Equivalent Protocol，连接对等协议）是802.1标准为建立无线网络安全环境提供的第一个安全机制。WEP不像IPSec一样提供网络安全，而是提供无线网的对等的保密级别，目标是通过加密无线电波来提供安全保证。

.WPA是Wi-Fi联盟提出的最新无线局域网安全方案。它有两个主要内容：一个是替代WEP，设计更好的加密系统TKIP；另一个是基于802.1x标准的用户身份认证系统。WPA是802.11i解决方案完成前的一个过渡措施。

.中国标准的WAPI是在IEEE802.11i的基础上发展起来的，完全满足国际标准并有所创新。

可用性

可用性（Availability）是指合法许可的用户能够及时获取网络信息或服务的特性。例如，网站能够给用户提供正常的网页访问服务，防止拒绝服务攻击。可用性是常受关注的网络信息系统CIA三性之一，其中A代表可用性（Availability）。对于国家关键信息基础设施而言，可用性至关重要，如电力信息系统、电信信息系统等，要求保持业务连续性运行，尽可能避免中断服务。

数字签名

传统商务活动中，我们通过手写签名达到确认信息的目的。电子商务活动中，交易双方互不见面，可以通过数字签名确认信息。数字签名技术有效解决了电子商务交易活动中信息的完整性和不可抵赖性问题。

数字摘要

数字摘要的基本概念

数字摘要是利用哈希函数对原文信息进行运算后生成的一段固定长度的信息串，该信息串被称为数字摘要。产生数字摘要的哈希算法具有单向性和唯一性的特点。所谓单向性，也称为不可逆性，是指利用哈希算法生成的数字摘要，无法再恢复出原文；唯一性是指相同信息生成的数字摘要一定相同，不同信息生成的数字摘要一定不同。这一特征类似于人类的指纹特征，因此数字摘要也被称为数字指纹。

数字摘要的使用过程

数字摘要具有指纹特征，因此可以通过对比两个信息的数字摘要是否相同来判断信息是否被篡改过，从而验证信息的完整性。

数字摘要的使用过程如下图所示。

数字摘要的使用过程

（1）发送方将原文用哈希（Hash）算法生成数字摘要1；

（2）发送方将原文同数字摘要1一起发送给接收方；

（3）接收方收到原文后用同样的哈希（Hash）算法对原文进行运算，生成新的数字摘要2；

（4）接收方将收到的数字摘要1与新生成的数字摘要2进行对比，若相同，说明原文在传输的过程中没有被篡改，否则说明原文信息发生了变化。

数字摘要算法

哈希（Hash）算法是实现数字摘要的核心技术。数字摘要所产生的信息串的长度和所采用的哈希算法有直接关系。目前广泛应用的哈希算法有MD5算法和SHA-1算法。

MD5算法的全称是“Message-Digest Alogrithm 5”，诞生于1991年，由国际著名密码学家、RSA算法的创始人Ron Rivest设计发明，经MD2、MD3和MD4发展而来。MD5算法生成的信息摘要的长度为128位。

SHA算法的全称是“Secure Hash Alogrithm”，诞生于1993年，由美国国家标准技术研究院（NIST）与美国国家安全局（NSA）设计。SHA（后来被称作SHA-0）于1995年被SHA-1替代，之后又出现了SHA-224、SHA-256、SHA-384和SHA-512等，这些被统称为SHA-2系列算法。SHA-1算法生成的信息摘要的长度为160位，而SHA-2系列算法生成的信息摘要的长度则有256位（SHA-256）、384位（SHA-384）、512位（SHA-512）等。与MD5算法相比，SHA算法具有更高的安全性。

MD5算法和SHA算法在实际中有着广泛的应用。与公钥技术结合，生成数字签名。目前几乎主要的信息安全协议中都使用了SHA-1或MD5算法，包括SSL、TLS、PGP、SSH、S/MIME和IPSec等。UNIX系统及不少论坛／社区系统的口令都通过MD5算法处理后保存，确保口令的安全性。

需要说明的是，2004年8月，在美国加州圣芭芭拉召开的国际密码学会议上，我国山东大学王小云教授宣布了她及她的研究小组对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。2005年2月，王小云教授又破解了另一国际密码算法SHA-1。这为国际密码学研究提出了新的课题。

数字签名

数字签名的基本概念

在ISO 7498-2标准中，数字签名被定义为：“附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。实际上，简单地讲，数字签名就是在网络中传送信息报文时，附加一个特殊的唯一代表发送者个人身份的标记，以起到传统上手写签名或印章确认的作用。

数字签名建立在数字摘要的基础上，结合公钥加密技术实现。发送者应用自己的私钥对数字摘要进行加密，即生成数字签名。由于发送者的私钥仅为发送者本人所有，所以附加了数字签名的信息能够确认消息发送者的身份，也防止了发送者对本人所发送信息的抵赖行为。同时通过数字摘要技术，接收者可以验证信息是否发生了改变，从而确定信息的完整性。

数字签名的使用过程

数字签名的使用过程包括签名和验证两部分，如下图所示。

数字签名的使用过程

（1）发送方将原文用哈希（Hash）算法生成数字摘要Z；

（2）发送方将数字摘要Z用自己的私钥加密；

（3）发送方将加密后的数字摘要Z（即数字签名）同原文一起发送给接收方；

（4）接收方用发送方的公钥解密数字签名，得到数字摘要Z；

（5）接收方对接收到的原文用同样的哈希（Hash）算法生成数字摘要Z′；

（6）比较Z和Z′，若二者相同，说明信息完整且发送者身份是真实的。

由以上过程可以看到，数字签名具有以下两个作用：

（1）确认信息的完整性。接收方将原文生成的数字摘要与用接收到的原文生成的新的数字摘要进行对比，相同则说明信息没有改变，不同则说明信息内容发生了变化。因此数字签名能够验证信息是否被修改，从而确定信息的完整性。

（2）确认信息发送者的身份，保证发送信息的不可抵赖性。发送者用自己的私钥对数字摘要进行加密，接收者如果能用对应的公钥进行解密，则说明信息一定是由该发送者发送的，从而确认了发送者的身份。此外，由于发送者的私钥是发送者本人拥有（除非丢失、泄露或被窃取），所以发送者不能否认自己曾经发送过的信息。

数字签名的种类

实现数字签名的基本方法有以下几种。

（1）RSA签名。RSA签名是基于RSA算法实现数字签名的方案，ISO/IEC 9796和ANSI X9.30-199X已将RSA作为建议数字签名的标准算法。

（2）ElGamal签名。ElGamal签名是专门为签名目的而设计。该机制由T.ElGamal于1985年提出，经修正后，被美国国家标准与技术学会（NIST）作为数字签名标准（Digital Signature Standard，DSS）。

RSA签名基于大整数素数分解的困难性，ElGamal签名基于求离散对数的困难性。在RSA签名机制中，明文与密文一一对应，对特定信息报文的数字签名不变化，是一种确定性数字签名。ElGamal签名机制采用非确定性的双钥体制，对同一消息的签名，根据签名算法中随机参数选择的不同而不同，是一种随机式数字签名。

完整性

完整性（Integrity）是指网络信息或系统未经授权不能进行更改的特性。例如，电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。完整性也被称为网络信息系统CIA三性之一，其中I代表Integrity。完整性对于金融信息系统、工业控制系统非常重要，可谓“失之毫厘，差之千里”。

网络安全

随着互联网的飞速发展，网络安全问题已经越来越受到大家广泛的关注，各种病毒花样繁多、层出不穷；系统、程序、软件的安全漏洞越来越多；黑客们通过不正当手段侵入他人电脑，非法获得信息资料，给正常使用互联网的用户带来不可估计的损失。由于目前网络经常受到人为的破坏，因此，网络必须有足够强的安全措施。

计算机网络的安全问题

计算机网络安全就其本质而言是网络上的信息安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全的研究领域。简单来讲，网络安全包括：系统不被侵入、数据不丢失以及网络中的计算机不被病毒感染三大方面。完整的网络安全要求：

.运行系统安全

.网络上系统信息的安全

.网络上信息传播的安全

.网络上信息内容的安全

网络安全应具有保密性、完整性、可用性、可控性以及可审查性几大特征。网络的安全层次分为物理安全、控制安全、服务安全和协议安全。

物理安全

物理安全包括：自然灾害、物理损坏、设备故障、意外事故、人为的电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露、操作失误、意外疏漏、计算机系统机房环境的安全漏洞等。

控制安全

控制安全包括：计算机操作系统的安全控制、网络接口模块的安全控制、网络互联设备的安全控制等。

服务安全

服务安全包括：对等实体认证服务、访问控制服务、数据加密服务、数据完整性服务、数据源点认证服务、禁止否认服务等。

TCP/IP协议安全

TCP/IP协议安全主要用于解决：TCP/IP协议数据流采用明文传输、源地址欺骗（Source address spoofing）或IP欺骗（IP spoofing）、源路由选择欺骗（Source Routing spoofing）、路由信息协议攻击（RIP Attacks）、鉴别攻击（Authentication Attacks）、TCP序列号欺骗攻击（TCP SYN Flooding Attack）、易欺骗性（Ease of spoofing）等。

计算机网络的安全威胁主要表现在：非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒、使用者的人为因素、硬件和网络设计的缺陷、协议和软件自身的缺陷以及网络信息的复杂性等方面。

下面介绍一些常见的信息安全技术。

数据的加密与解密

随着计算机网络不断渗透到各个领域，密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来的新技术和应用。

在计算机上实现的数据加密，其加密或解密变换是由密钥控制实现的。密钥（Keyword）是用户按照一种密码体制随机选取，它通常是一随机字符串，是控制明文和密文变换的唯一参数。

密码技术除了提供信息的加密解密外，还提供对信息来源的鉴别、保证信息的完整和不可否认等功能，而这三种功能都是通过数字签名实现。数字签名的原理是将要传送的明文通过一种函数运算（Hash）转换成报文摘要（不同的明文对应不同的报文摘要），报文摘要加密后与明文一起传送给接受方，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致表示明文未被改动，如果不一致表示明文已被篡改。

数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一，也是网络安全的重要技术。

根据密钥类型不同将现代密码技术分为两类：一类是对称加密（秘密钥匙加密）系统，另一类是公开密钥加密（非对称加密）系统。

对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。它的安全性依赖于以下两个因素。第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性，因此，没有必要确保算法的秘密性，而需要保证密钥的秘密性。对称加密系统的算法实现速度极快。因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用，适合于大规模生产。对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有n个用户的网络，需要n（n-1）/2个密钥，在用户群不是很大的情况下，对称加密系统是有效的。但是对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了大问题。对称加密算法另一个缺点是不能实现数字签名。

公开密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。由于加密钥匙是公开的，密钥的分配和管理就很简单，比如对于具有n个用户的网络，仅需要2n个密钥。公开密钥加密系统还能够很容易地实现数字签名。因此，最适合于电子商务应用需要。在实际应用中，公开密钥加密系统并没有完全取代对称密钥加密系统，这是因为公开密钥加密系统是基于尖端的数学难题，计算非常复杂，它的安全性更高，但它的实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点，采用对称加密系统加密文件，采用公开密钥加密系统加密“加密文件”的密钥（会话密钥），这就是混合加密系统，它较好地解决了运算速度问题和密钥分配管理问题。因此，公钥密码体制通常被用来加密关键性的、核心的机密数据，而对称密码体制通常被用来加密大量的数据。

防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，以防止发生不可预测的、潜在破坏性的侵入。实际上，它包含着一对矛盾（或称机制）：一方面它限制数据流通，另一方面它又允许数据流通。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

常见的防火墙主要有数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙、复合型防火墙等几种类型。典型的防火墙包括过滤器、链路级网关和应用级网关或代理服务器，如下图所示。

安装防火墙的作用在于弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计。但是它仍然有局限性，对于下列情况，它不能防范：绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据复制到软盘、传送已感染病毒的软件或文件等。

在使用防火墙前，应该设计好防火墙的规则。它包括下列内容：防火墙的行为准则（拒绝没有特别允许的任何服务、允许没有特别拒绝的任何服务）、机构的安全策略、费用、系统的组件或构件。

防火墙的组成

网络安全协议

下面介绍几种常见的网络安全协议。

SSH （Secure Shell）

由芬兰的一家公司开发的。通过使用SSH，可以把所有传输的数据进行加密，抵御“中间人”攻击，而且也能够防止DNS和IP欺骗。由于传输的数据是经过压缩的，所以还可以加快传输的速度。

SSH由客户端和服务端的软件组成的。从客户端来看，SSH提供两种级别的安全验证：基于密码的安全验证和基于密匙的安全验证。

PKI （Public Key Infrastructure）

PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、E-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。一个典型、完整、有效的PKI应用系统至少应具有：公钥密码证书管理、黑名单的发布和管理、密钥的备份和恢复、自动更新密钥以及自动管理历史密钥等几部分。

（1） SET （Secure Electronic Transaction）。

SET安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用于Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准，主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。

（2） SSL （Secure socket Layer&Security Socket Layer）。

安全套接层协议（SSL）是网景（Netscape）公司提出的基于Web应用的安全协议，包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。

网络信息

计算机网络上存储、传输的信息称为网络信息。网络信息是计算机网络中最重要的资源，它存储于服务器上，由网络系统软件对其进行管理和维护。

真实性

真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。例如，网络谣言信息不符合真实情况，违背了客观事实。

题号导航 2009年上半年信息系统项目管理师上午试卷综合知识

本试卷我的完整做题情况



	第2题在手机中做本题