第一章：

1、2017年6月1日，《网络安全法》开始实施。

2、网络安全5大基本要素：保密性、完整性、可用性、可控性、不可否认性。

3、计算机网络面临的威胁：

（1）主动攻击：终端、篡改、伪造

（2）被动攻击：截获、窃取。

4、网络脆弱性的原因：

（1）开放的网络环境（网络用户可以自由访问网站，不受时间和空间约束，病毒等有害信息可以在网络快速扩散）。

（2）协议本身脆弱性（网络传输离不开协议，二这些协议在不同层次、不同方面都存在漏洞）。

（3）操作系统漏洞（系统设计存在缺陷、系统源代码存在漏洞、用户配置不正确造成的安全问题）。

（4）人为因素（安全意识薄弱）。

5、2015年6月11日增设网络空间安全一级学科。

6、信息安全的四个阶段：

（1）通信保密阶段（1959年，香农发表《保密通信的信息理论》将密码学纳入科学轨道，1976年Diffie和Hellman提出公钥密码体制，1977年，美国公布《国家数据加密标准DES》）。

（2）计算机安全阶段（1983年，美国国防部出版《可信计算机系统评价准则》）。

（3）信息技术安全阶段（1993-1996年，美国国防部提出《信息技术安全通用评估标准》，即CC标准）。

（4）信息保障阶段（各国提出信息安全保障体系）。

7、DMZ区：

（1）概念：DMZ区，即非军事化区。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，该缓冲区是位于企业内部网络和外部网络之间的小网络区域。

（2）访问权限：内网可以访问外网，内网可以访问DMZ区，外网不可以访问内网，外网可以访问DMZ区，DMZ访问内网有限制，DMZ不能访问外网（SMTP除外）。

第二章：

1、搜索引擎：

Intitle：搜索范围限定在网页标题

Site：搜索范围限定在特定站点中

Inurl：搜索范围限定在url链接中

Filetype：搜索范围限定在指定文档格式中

Link：搜索某个链接的反向链接

例：filetype:xlsintitle:学院

           inurl:login.php title:公司

           intitle:index of /images

2、常见端口：

21：ftp                               443：https

22：ssh                              1433：ms sql server

23：telnet                           1521：oracle

25：smtp                            3306：mysql

53：dns                              3389：rdp

80：http                             8080：proxy

110：pop3

161：snmp

3、nmap扫描：

-sP (Ping扫描)：仅对主机进行ping扫描（主机发现），输出做出响应的主机列表，无进一步测试。

-sT（TCP 全连接扫描）：调用socket函数connect（）连接到目标主机，完成一次完整的三次握手过程，如果目标端口处于开放状态，connect（）成功返回。

       -sS  (TCP 半连接扫描)：扫描器向目标主机发送SYN数据包，如果应答为RST包，那么说明目标端口关闭，如果应答为SYN+ACK包，那么说明该端口处于监听状态，此时向目标主机传送一个RST包来停止连接。

       -sU  (UDP扫描)：发送空的（没有数据）UDP报头到目标端口，如果返回ICMP端口不可达（代码3），该端口关闭，如果返回其他ICMP不可达错误，表明该端口被过滤（filtered）。

       -sF（TCP FIN扫描）：扫描器向目标主机发送FIN包，当FIN包到达关闭的端口，数据包被丢弃，同时返回RST包，若到达打开的端口，数据包被求其且不返回数据包。

4、死亡之ping：ping -t -l 65500

原理：利用ip数据包头部的数据长度进行攻击，通过发送大于65536字节的ICMP包使对方操作系统崩溃。通常我们不可以发送大于65536字节的ICMP包，但可以把报文分割成片段，然后再目标主机上重组，最终导致目标主机缓冲区溢出。

5、SYN洪水（简答，5分）

原理：客户端向服务器发送SYN请求数据包，服务器发送SYN+AKC数据包对客户端进行响应，在服务器发送响应数据包后，将会等待一段时间以接收来自客户端的确认数据包，此时，服务器与客户端建立连接所需的资源一直被占用。SYN洪水就是利用在这段时间内向服务器发送大量SYN请求而不作ACK确认的方式，使大量连接处于等待状态，最终导致服务器资源被耗尽。

第三章：

1、计算机病毒的定义：计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

2、计算机病毒是程序。

3、计算机病毒的分类（按宿主分类）：

（1）引导性病毒：引导型病毒隐藏在ROM BIOS中，先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒利用操作系统的引导模块放置在某个固定位置，并且控制权的转交方式是以物理地址为依据，而不是操作系统引导区的内容为依据。因此，病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或更换，待病毒程序被执行后，将控制权交给真正的引导区内容，使这个带病毒的系统看似正常运转，病毒却已隐藏在系统中伺机传染、发作。

（2）文件型病毒：文件型病毒主要以可执行文件为宿主，一般感染扩展名为“.com””.exe”和”.bat”等可执行文件。文件病毒通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序，再执行宿主程序，看起来一切正常。然后，病毒驻留内存，伺机传染其他文件或直接传染其他文件。

（3）宏病毒：宏病毒主要以MicrosoftOffice的“宏”为宿主，寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，并能通过DOC文档以及DOT模板进行自我复制及传播。

3、引导型病毒和文件型病毒区别：

（1）文件型病毒是病毒藏在文件里，执行可执行文件时发作。

（2）引导型病毒是病毒藏在硬盘的引导扇区里，系统启动时发作。

4、世界上出现的第一个病毒：

Brain，由巴基斯坦两兄弟为了保护软件著作权制作的引导型病毒。

5、中国出现的第一个病毒：小球病毒。

6、蠕虫病毒和普通病毒的区别：

 7、计算机的四大组成部分：

（1）感染标志：计算机病毒在感染前，需要先通过识别感染标志判断计算机系统是否被感染。若判断没有被感染，则将病毒程序的主体设法引导安装在计算机系统，为其感染模块和破坏表现模块的引入、运行和实施做好准备。

（2）引导模块：实现将计算机病毒程序引入内存，并使得传染和表现模块处于活动状态。引导模块需要提供自我保护功能，避免在内存中的自身代码不被覆盖或清除。计算机病毒程序引入内存后，为传染模块和表现模块设置相应的启动条件，以便在适当的时候或合适的条件下激活传染模块或者出发表现模块。

（3）感染模块：

1感染条件判断子模块：根据引导模块设置的传染条件，判断当前系统环境是否满足传染条件。

2传染功能实现子模块：如果传染条件满足，则启动传染功能，将计算机病毒程序附加在其他宿主程序上。

（4）破坏模块

1激发控制：当病毒满足某一条件，病毒发作。

2破坏操作：不同病毒由不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。

8、病毒的防护（简答题、填空题）：

（1）特征代码法（文件特征代码、内存特征代码）：当病毒公司收集到一种新的病毒时，就会从这个病毒程序中街区一小段独一无二而且足以表示这种病毒的二进制代码，来当作扫描程序辨认此病毒的依据，而这段独一无二的二进制代码，就是所谓的病毒特征码。分析出病毒特征码后，并集中存放于病毒代码库文件中，在扫描的时候将扫描对象与特征代码库比较，如果为何，则判断为感染上病毒。

（2）特征代码法优点：检测准确、可识别病毒名称、误报率低、依据检测结果可做杀毒处理。

（3）特征代码法缺点：速度慢、不能检测多形性病毒、不能对付隐蔽性病毒、不能检测未知病毒。

第四章：

1、密码学五元组：

（1）明文：m      明文空间：M

（2）密文：c       密文空间：C

（3）密钥：k

（4）加密函数：E

（5）解密函数：D

2、对称密码和非对称密码的区别（填空题）：对称密码加密和解密使用的密钥一样，非对称密码加密和解密使用的密钥不一样。

3、仿射密码：

（1）例题：密文UCR由仿射函数9x+2（mod 26）加密的，求明文。

（2）解答：由仿射密码解密函数：m=D_k1,k2（c）=（（c-k2）*k1^-1）mod26，其中，k1=9，k2=2。

求k1在mod26条件下的逆元：

N=A*a（0）+r（0）

A=r（0）*a（1）+r（1）

r（0）=r（1）*a（2）+r（2）

…

r（n-1）=r（n）*a（n+1）+0

其中N=26，A=k1=9；

              a（n）   a（n-1） …        a2                 a1                a0

b（-1）   b（0）    b（1）   …     b（n-2）       b（n-1）       b（n）

26=9*2+8；

9=8*1+1；

8=1*8+0；

由上面公式：b-1=1，b0=1*1=1，b1=1+b0*2=bn

由于商的个数为偶数，所以，k1在mod26条件下的逆元为：3

所以：m=D_k1,k2（c）=（（c-k2）*3）mod26

U=20，C=2，R=17

所以，m（U）= D_k1,k2（20）=2=C

  m（C）= D_k1,k2（2）=0=A

  m（R）= D_k1,k2（17）=19=T

明文为：CAT

4、playfire密码：

（1）例题：明文this is playfire cipher 密钥：can you get the cipher，求密文。

（2）解答：由题中条件，构造playfire密钥矩阵：

将明文拆分成两个一组：th isis pl ay fi re ci ph er

通过密钥矩阵及playfire加密规则，得到密文：hu fc fc rk no sf lr uf dg rl

5、vigenenre密码：

（1）例题：m=VIGENENRE，k=HELLO，求密文。

（2）解答：由vigenenre密码计算公式：c=E_ki（m）=（m+ki）mod26 （i=1、2、3、4、5）

   H=7，E=4，L=11，O=14，所以，k1=7，k2=4，k3=11，k4=14

   V=21，I=8，G=6，E=4，N=13，R=17

   c(V)= E_k1（V）=(21+7)mod26=2=C

   c(I)= E_k2（I）=(8+4)mod26=12=M

   c(G)= E_k3（G）=(6+11)mod26=17=R

   c(E)= E_k4（E）=(4+11)mod26=15=P

   c(N)= E_k5（N）=(13+14)mod26=1=B

c(E)= E_k1（E）=(4+7)mod26=15=P

   c(N)= E_k2（N）=(13+4)mod26=17=R

   c(R)= E_k3（m）=(17+11)mod26=12=M

c(E)= E_k4（E）=(4+11)mod26=15=P

密文为：CMRPBPRMP

6、RSA密码（给出p、q、e，求x）：

（1）例题：给出p=7，q=17，e=5，求x

（2）解答：

  1n=p*q=119

  2Φ（n）=（p-1）*（q-1）=96

  3选取公钥e，使得gcd（e，Φ（n））=1，题目已经选取e=5

  4计算私钥d：使得（d*e）modΦ（n）=1，即（d*e）=k*96+1

  5取k=4，计算得d=77

  公开（n，e）=（119，5），将d保密。明文：m=19

  加密：c=m^emod（n）=19⁵mod（119）=66

  解密：m=c^dmod（n）=66⁷⁷mod（119）=19

7、逆元的含义：模n意义下，1个数a如果有逆元x，那么除以a相当于乘以x。

8、DES的密钥输入的时候是64为，在做了第一次压缩之后，变成56位。

9、摘要算法：MD5算法输出散列值128位，sha算法输出的散列值为160位。

10、数字信封：数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据，数字信封是用来确保对称密钥传输安全性的技术。

11、数字签名：数字签名指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据，数字签名是用来确保发送者对发送的信息不可否认的技术。

12、完整加密的加密解密流程：

13、PKI四大组成部分：

（1）权威认证机构（CA）：担任用户公钥证书的生成和发布或CRL的发布职能。

（2）注册机构（RA）：1进行证书申请者的身份认证，2向CA提交证书申请请求，3验证接收到的CA签发的证书，并将之发放给证书申请者。4必要时，协助证书作废过程。

（3）证书：符合一定格式的电子文件，用来识别电子证书持有者的真实身份。

（4）终端实体：1初始化（注册），2证书密钥更新，3证书撤销/废止/更新请求。

14、PKI中，数字证书包含的内容：

（1）包含姓名、地址、公司、电话号码、Email地址…与身份证上的姓名、地址等类似。

（2）包含证书所有者的公钥。

第五章：

1、实体鉴别方法：

（1）实体所知（知识、口令、密码）

（2）实体所有（身份证、信用卡、钥匙、智能卡、令牌等）

（3）实体特征（指纹，笔迹，声音，手型，脸型，视网膜，虹膜）

2、访问控制的实现：

（1）访问控制列表（ACL）：客体被主体访问的权限。

（2）访问控制矩阵（ACM）：

行：主体（用户）

列：客体（文件）

矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限。

（3）访问控制能力列表（ACCL）：主体可访问客体的权限。

3、防火墙发展历程：

4、防火墙体系结构：

（1）双宿主主机体系结构：双宿主主机位于内部网和Intelnet之间，一般来说，使用一台装有两块网卡的堡垒主机作防火墙。这两块网卡各自与受保护的内部网和外部网相连，分别属于内网两个不同的网段。

（2）被屏蔽主机体系结构：屏蔽主机防火墙易于实现，由一个堡垒主机屏蔽路由器组成。堡垒主机被安排在内部局域网中，同时在内部网和外部网之间配备了屏蔽路由器，在这种体系结构中，通常在路由器上设置过滤规则，外部网络必须通过堡垒主机才可以访问内部网络中的资源，并使这个堡垒主机成为从外部网络唯一可以直接到达的主机，对内部网络基本控制策略由安装在堡垒主机上的软件决定，确保内网不被未被授权的外部用户攻击。

（3）被屏蔽子网体系结构：屏蔽子网防火墙由一个防火墙和两个路由器构成屏蔽子网。与被屏蔽主机体系结构相比，被屏蔽子网体系结构添加了周边网络，在外部网络与内部网络之间加上了额外的安全层。

5、防火墙原理：

（1）包过滤防火墙：包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项，

① 源、目的IP地址；

② 源、目的端口号；

③ 协议类型；

④ TCP报头的标志位。

（2）代理防火墙：在一台代理设备的服务器和客户端之间建立一个过滤措施，就成了“应用代理”防火墙。这种防火墙实际上是一台小型的带有数据“检测、过滤”功能的透明代理服务器，但是并不是单纯的在一个代理设备中引入包过滤技术，而使用“应用协议分析”技术。

（3）状态检测防火墙：状态检测防火墙通过一种被称为“状态监视”的模块，在不影响网络安全正常工作前提下，采用抽取相关数据的方法，对网络通信的各个层次实行监测，并根据各种过滤规则做出安全决策。

（4）复合型防火墙：复合型防火墙采用自适应代理技术，初始的安全检测仍然发生在应用层，一旦安全通道建立后，随后的数据包就可以重新定向到网络层，并可以根据用户定义的规则，动态“适应”传送中的数据流量。

第七章：

1、SQL注入流程：

（1）判断环境，寻找注入点，判断网站后台数据库类型。

（2）根据诸如参数类型，在脑海中重构SQL语句原貌，从而猜测数据库中的表名和列名。

（3）在表名和列名猜解成功后，在使用SQL语句，得出字段的值。