01 CISSP认证考试指南复习.docx

《01 CISSP认证考试指南复习.docx》由会员分享，可在线阅读，更多相关《01 CISSP认证考试指南复习.docx（21页珍藏版）》请在课桌文档上搜索。

1、第三章信息平安与风险管理1、 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。2、 威逼是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性。3、 风险是威逼主体利用脆弱性的可能性以及相应的潜在损失。4、 削减脆弱性和/或威逼就可以降低风险。5、 暴露是由于威逼而造成资产损失的实例。6、 对策（也称为防护措施）能够缓解风险。7、 对策可以是应用程序、软件配置、硬件或措施。8、 假如某人行使“适当关注，那么说明他对自己的行为负责。假如出现平安入侵，那么他被发觉失职和担当的可能性更小。9、 因为网络已经从集中化环境发展成为分布式环境，所以平安管理最近几年变得更为重要。10、 平安安

2、排的目标是为数据和资源供应机密性、完整性和可用性。11、 战略规划是长期规划，战术规划是中期规划，而操作规划是日常规划。它们组成了一个远景规划。12、 ISO/IEC27002（以前的ISOl7799Partl）是一组内容全面的限制措施，包括信息平安方面的最佳实践，并且为如何制订和维护平安安排供应指导原则。13、 平安组件可以是技术性的（防火墙、加密以及访问限制列表），也可以是非技术性的（平安策略、措施以及实施遵从）。14、 资产标识应当涉及有形资产（设施和硬件）和无形资产（企业数据和声誉）。15、 评估项目规模指的是理解和记录项目的范围，必需在进行风险分析之前进行这种评估。16、 保证是供应

3、特定平安级别的信任程度。17、 CobiT是一个架构，它定义了应当用于正确管理IT并确保IT满意业务需求的限制措施的目标。18、 CibiT分为4个领域：安排与组织、获得与实现、交付与支持以及监控与评估。19、 ISO/IEC27001是用于建立、实现、限制和完善信息平安管理系统的标准。20、平安管理应当由顶向下进行（从高级管理层向下至一般职员）。21、治理是董事会和执行管理层履行的一组职责和实践，其目标在于供应战略指导，确保目标得以实现，风险得到适当管理，并验证企业的资源得到合理利用。22、 一个公司选择的平安模式取决于该公司的业务类型及其关键任务和目标。23、 OECD是一个帮助不同政府绽

4、开合作、处理全球经济所面临的经济、社会和管理挑战的国际性组织。24、 风险可以转移、规避、缓解或接受。25、 公司购买保险就是风险转移的示例。26、 缓解风险的方式包括改善平安措施和实现防护措施。27、 威逼*脆弱性*资产价值=总风险。28、（威逼*脆弱性*资产价值）*限制间隙=剩余风险。29、 风险分析由下列4个主要目标：确定资产及其价值，识别脆弱性和威逼,量化潜在威逼的可能性与业务影响，在威逼的影响和对策的成本之间达到预算的平衡。30、 信息风险管理（IRM）是指标识和评估风险、将风险降低至可接受级别、实施适当机制以维护这种风险级别的过程。31、 失效模式及影响分析（FMEA）是一种确定功

5、能、标识功能失效以及通过结构化过程评估失效缘由和失效影响的方法。32、 故障数分析是一种有用的方法，用于检测困难环境和系统中可能发生的故障。33、定量风险分析会尝试为分析中的各个组件指派货币价值。34、纯粹的定量风险分析是不行能的，因为定性项无法被精确量化。35、在执行风险分析时，了解不确定性程度特别重要，因为它表明团队和管理层对于分析数据的信任程度。36、在确定信息价值时，应当考虑下列问题：获得和开发这些数据的成本；维护和爱护这些数据的成本；这些数据对全部者、用户和竞争对手所具有的价值；在损失的状况下更换这些数据所需的费用；其他人为购买这些数据情愿付出的价格；这些数据不行用时所失去的机会以及

6、这些数据的用处。37、自动化风险分析工具可以削减风险分析中的手动工作量。这些工具用于估计将来的预期损失，并计算各种不同平安措施的好处。38、 单一损失期望（S1.E）是某个特定的威逼主体利用脆弱性可能造成的损失量。39、 单一损失期望*年发生比率=年度损失期望（S1.E*ARO=A1.EK40、 定性风险分析运用推断和干脆，而不是数字。41、定性风险分析使富有阅历的、接受过相关教化的人基于个人阅历来评估威退场景并估计每种威逼的可能性、潜在损失和严峻程度。42、 Delphi技术是一种群体决策方法，此时每位成员都可以进行匿名沟通。43、 选择正确的防护措施以减弱某个特定的风险时，必需对成本、功能

7、和效用进行评估，并且须要执行成本/收益分析。44、 平安策略是高级管理层确定的一个全面声明，它规定平安在组织机构内所扮演的角色。45、 措施是为了达到特定目标而应当执行的具体的、分步骤的任务。46、 标准指定如何运用硬件和软件产品，并且是强制性的。47、 基准是最小的平安级别。48、 指导原则是一些举荐和一般性方法，它们供应建议和敏捷性。49、 工作轮换是一种检测欺诈的限制方法。50、 强制性休假是一种有助于检测欺诈活动的限制方法。51、责任分别确保没有人能够完全限制一项活动或任务。52、学问分割与双重限制是责任分别的两种方式。53、数据分类将为数据安排优先级，从而确保供应合理的爱护级别。54

8、、 数据全部者指定数据的分类。55、 平安具有功能需求，它定义一个产品或系统的期望行为；此外还具有保证要求，它确定己实现产品或整个系统的牢靠性。56、 平安安排应当融入当前的业务目标和目的之中。57、 管理层必需定义平安管理的范围和目的，供应支持，指定平安团队，托付职责，以及查看平安团队发觉的结果。58、 风险管理团队应当包括来自组织机构内不同部门的人员，而不应当只是技术人员。59、 定性分析的级别可以采纳高、中、地的方式表示，也可以采纳15或110的等级表述。定量分析的结果应当采纳货币和百分比来表述。60、 防护措施应当默认具有最小权限，并且具有故障防护默认状态和重写实力。61、防护措施应当

9、统一贯彻执行，从而使每个人都具有相同的限制和功能。62、在起先实施平安安排时，一个关键的要素就是规定报告联系制度。63、数据看管员（信息看管员）负责维护和爱护数据。64、平安分析员在战略层面上进行工作，帮助制订策略、标准和指导原则，并设立各种基准。65、应用程序全部者负责规定哪些人有权访问他们的应用程序，以及这些应用程序为公司和处理的数据所供应的爱护级别。第四章访问限制1、 访问是主体和客体之间的信息传输。2、 主体是恳求访问客体的主动实体，客体是被访问的被动实体。3、 主体可以是一个用户、程序或进程。4、 机密性就是保证信息不向未授权主体泄露。5、 能够供应机密性的平安机制包括加密、逻辑性和

10、物理性访问限制、传输协议、数据库视图和流量限制。6、 身份管理解决访问包括书目、Web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新。7、 密码同步降低了保留不同系统的各种密码的困难性。8、 自助式密码重设通过允许用户重新设置其密码来削减服务台收到的电话数量。9、 协助式密码重设为服务台削减有关密码问题的决策过程。10、 IdM书目包含全部资源信息、用户属性、授权配置文件、角色以及可能的访问限制策略，以便其他身份管理应用程序通过一个集中式资源来收集这些信息。11、 供应IdM解决方案的账户管理产品经常采纳自动化工作流程组件。12、用户指配指的是为相应业务过程而创建、维护和删除存在于一

11、个或多个系统、书目或应用程序中的用户对象与属性。13、人力资源数据库常被认为是用户实体的权威来源，因为这是最早创建并正确维护用户实体的地方。14、访问限制模型主要有三种：自主、强制型和非自主访问限制。15、自主访问限制（DAC）使数据全部者能够指定哪些主体可以访问他们全部的文件和资源。16、 强制访问限制（MAC）运用了平安标签系统。用户具有访问许可，资源具有包含数据分类的标签。MAC通过比较两者来确定访问限制实力。17、 非自主访问限制运用角色型方法来确定访问权限。18、 角色型访问限制基于用户在公司内部的角色和职责来访问资源。19、 限制性接口主要有三种：菜单和外壳、数据库视图以及物理限制

12、接口。20、 访问限制列表和客体绑定在一起，并且指示什么样的主体才能访问这些客体。21、 功能表和主体绑定在一起，并且列出主体能够访问什么样的客体。22、访问限制的管理方式主要有两种：集中式和分散式。23、 集中式管理访问限制技术的示例包括RADIUS、TACACS+和Diametero24、 分散式管理的示例是对等工作组。25、 行政管理性限制的示例包括平安策略、人员限制、监管结构、平安意识培训和测试。26、 物理性限制的示例包括网络分段、周边平安、计算机限制、工作区分隔、数据备份和布线。27、 技术性限制的示例包括系统访问、网络体系结构、网络访问、加密和协议以及审计。28、访问限制机制供应

13、下列的一个或多个功能包括：预防、检测、订正、威慑、复原、补偿或指令。29、 为了使主体能够访问资源，主体必需进行身份标识、身份验证和授权，并且其动作应当可被问责。30、 生物测定学、密码、密码短语、感知密码、一次性密码或令牌都可以实现身份验证。31、 存储卡不能处理信息，但是智能卡能够处理信息。32、 访问限制应当默认为不能访问。33、最小特权和“知其所需”原则限制用户只具有执行任务或完成其职责所需的权限。34、 单点登录技术运用户在访问特定网络时只需一次身份验证。35、 通过Kerberos、SESAME、域和瘦客户端可以实现单点登录功能。36、 在Kerberos中，用户从KDC接收验证，

14、从而能够通过身份验证以运用某服务。37、 Kerberos用户接收一张票证授予票证（TGT）,该票证允许用户恳求通过票证授予服务（TGS）访问资源。TGS运用会话密钥生产新的票证。38、访问限制攻击的类型包括：拒绝服务、欺瞒、字典、蛮力和斗争拨号。39、 审计日志能够跟踪用户活动、应用程序事务和系统事务。40、 击键监控使一种跟踪用户每次击键记录的审计过程。41、 审计日志应当被爱护和检查。42、 客体重用可能会无意识地泄露信息。43、仅仅删除文件的指针往往不能为客体重用供应彻底的爱护。44、 通过电磁波可以获得信息。解决这类入侵的方法使TEMPEST.白噪声和限制域。45、 通过“某人知道的

15、内容”、“某人所拥有的物品”以及“某人的身份”可以实现身份验证。46、 一次性密码生成令牌设备能够运用同步或异步方法。47、 强身份验证须要3种身份验证属性（“某人知道的内容”、“某人所拥有的物品”以及“某人的身份“）中的两种属性。48、 Kerberos涉及隐私性和完整性，但不涉及可用性。49、 Kerberos存在下列弱点：KDC使单一故障点，简洁遭遇密码揣测攻击，会话和隐私密钥在本地存储，KDC必需总是可用，隐私密钥必需被妥当管理。50、 IDS可以使统计性的（监视行为）或特征型（检测已知攻击）。51、消磁是一种防止机密信息泄露的措施，因为它可以将介质复原回原始状态。52、网络钓鱼使一种

16、社会工程攻击，其目标使获得个人信息、凭证、信用卡号或财务数据。1、 两个系统可以具有完全相同的硬件、软件组件和应用程序，但却会因为系统建立在不同的平安策略和平安模型之上而供应不同的爱护级别。2、 CPU包括一个限制单元，它限制指令和数据执行的时序：还包含一个A1.U（算术逻辑单元），它执行算术功能和逻辑操作。3、 绝大多数系统都运用爱护环。进程的特权级别越高，则运行在编号越小的爱护环中，它就能访问全部或者大部分的系统资源。应用程序运行在编号比较大的爱护环中，它能够访问的资源较少。4、 操作系统的进程运行在特权或监管模式中；应用程序在用户模式中执行,它也称为“问题状态二5、 协助存储是一种非易失

17、的存储介质，它可以是计算机硬盘、软盘和CD-ROM,磁带备份或U盘。6、 虚拟存储器有RAM和协助存储组合构成，因此系统看起来具有很大一块存储器。7、 当两个进程试图同事访问相同的资源，或者一个进程占据着某项资源且不释放的时候，就会发生死锁状况。8、 平安机制着眼与不同的问题，运行在不同的层中，困难性也不尽相同。9、 平安机制越困难，它能供应的保证程度就越低。10、 并不是全部的系统组成部分都要处于可信计算基（TCB）范围内：只有那些干脆实施平安策略和爱护系统的系统组件才位于TCB内。这些部分位于平安周边内。11、 构成TCB的组成部分有硬件、软件、固件，因为它们供应了某种类型的平安爱护。12

18、、 平安周边是一个假想的边界线，可信的组件（即那些构成TCB的部件）位于其中，而不行信的部件则处于边界之外。13、引用监控器概念是一个抽像机，它确保全部主体在访问客体之前拥有必要的访问权限。因此，引用监控器是主体对客体进行全部访问的中介。14、平安内核是实际实施引用监控器概念的机制。15、 平安核心必需隔离实施引用监控器概念d进程，必需不会被篡改，必需针对每次访问企图进行调用，而且必需小岛足以能正确地测试。16、 平安域是一个主体可用的全部客体。17、 进程须要进行隔离，这可以通过存储器分段寻址、对象的封装、共享资源的时分复用、命名区分和虚拟映射来实现。18、系统供应的平安级别取决于其实施平安

19、策略的程度有多大。19、 多级平安系统能处理位于不同分类（平安等级）的数据，具有不同许可（平安等级）的用户都能够运用该系统。20、 进程应当被赐予最小的特权，以便使其具有的系统特权只够履行它们的任务，而没有多余的特权。21、 有些系统在其体系结构的不同层上供应平安性，这称为分层。分层可以对进程进行分别，并且为单个进程供应更多的爱护。22、 数据隐藏适用于处于不同层上的进程之间存在多层访问限制的状况。进程只须要知道如何通过彼此的接口进行通信。23、平安模型讲平安策略的抽象目标映射到计算机系统的术语和概念上。它给出平安策略的结构，并且为系统供应一个架构。24、 封闭式系统通常为制造商全部；而开放式

20、系统则允许更多的互操作性。25、 Bell-1.aPadula模型只涉及机密性，Biba和Clark-Wilson则只涉及完整性。26、 状态机模型处理一个系统能够进入的不同状态。假如某个系统起先时在一个平安状态下，那么在该系统中发生的全部状态迁移都是平安的，并且系统的关闭和故障响应都是平安的，此时系统绝不会以担心全的状态结束。27、格子模型为主体供应了授权访问的上界和下界。28、 信息流平安模型不允许数据以担心全的方式流向客体。29、 Bell1.aPadula模型具有一条简洁平安规则，它意味着主体不能读取来自较高级别的数据（不能向上读）。*属性规则的意思是说，主体不能向较低级别的客体写数据

21、（不能向下写）。强星属性规则是指一个主体只能在其自己的平安级别内（不能高也不能低）读和写。30、 Biba模型不允许主体向位于更高级别的客体写数据（不能向上写），也不允许主体从更低级别读取数据（不能向下读）。这样做是为了爱护数据的完整性。31Bell1.aPadula模型主要用在军事系统中，Biba和CIarkWilson模型则用于商业部门。32、 CIark-Wilson模型规定主体只能通过应用程序访问客体；该模型还说明如何为责任分别供应功能性，并要求在软件内执行审计任务。33、 假如系统在专用平安模式中运行，那么它只能处理一个数据分类级别，并且全部用户都必需具有这一许可级别才能运用系统。3

22、4、分隔和多级平安模式是系统能够处理划入不同分类级别商的数据。35、 信随意味着系统正确地运用其全部爱护机制来为很多类型的用户处理敏感数据。保证是您在这种信任关系中具有的信念水平，以及爱护机制在全部环境中都依据预料正确运作。36、 橘皮书也称为可信计算机系统评估准则（TCSEC）,制定该标准是为了评估主要供军用的系统。它用途己经扩展到评估其他类型的产品。37、在橘皮书中，D级表示系统供应最小的爱护，它用于可以评估但不能满意更高类别准则的系统。38、在橘皮书中，C级涉及自主爱护，B级涉及强制爱护（平安标签）。39、在橘皮书中，A级意味着系统的设计和爱护级别是可验证的，它供应了最高级别的保证和信任

23、。40、在橘皮说中，C2级要求客体重用爱护和审计。41、 在橘皮书中，BI级是须要平安标签的第一个评级。42、 在橘皮书中，B2级要求全部的主体和设备都具有平安标签，必需存在可信路径、常规的隐藏通道分析，而且还要供应单独的管理员功能。43、 橘皮书主要涉及独立的系统，因此人们还编写了一系列书籍，以涵盖平安领域内的其他方面。这些书籍称为彩虹系列。44、 ITSEC分别评估系统的保证和功能性,而TCSEC则将两者合并为一个评级。45、 通用准则的制定供应了一个得到公认的评估准则，而且到现在还在运用。它组合了TCSEC、1TSECCTCPEC和联邦准贝U的各个部分。46、 通用准则运用了爱护样板和E

24、A1.lEA1.7的评级。47、 认证是对系统或产品及其平安组件的技术评估。鉴定是管理层正式批准和接受系统所供应的平安保障。48、 隐藏通道是一条非安排中的通信路径，它传输数据的方式违反了平安策略。隐藏通道有两种类型：隐藏计时通道和隐藏存储通道。49、 隐藏计时通道使得进程能够通过调整它对系统资源的运用来向其他进程传递信息。50、 隐藏存储通道使得进程能够把数据写入应用程序以进行维护。维护陷阱应当在应用程序投入运用之前删除，否则它会造成严峻的平安风险。51、执行域是CPU执行指令的地方。操作系统的指令在特权模式中执行，而应用程序的指令则是在用户模式中执行的。52、进程隔离确保了多个进程能够并发

25、运行，这些进程不会彼此干扰或者影响彼此的存储器段。53、只有须要全部系统特权的进程才会位于系统的内核中。54、 TOC/TOU代表（检测时间）和（运用时间），这是一种异步攻击。55、 Biba模型解决了完整性的第一个目标，即防止未授权的用户进行更改。56、 Clark-Wilson模型解决了完整性的全部3个目标：防止未经授权的用户进行修改，防止授权用户进行不恰当的修改，以及维护内外的一样性。57、 在CIarkWilson模型中，用户只能通过程序访问和操纵客体。它运用访问三元组，即“主体一程序一客体二第六章物理和环境平安1、 物理平安往往是针对环境风险和不行预知的人类活动的第一道防线。2、 通

26、过环境设计来预防犯罪（CPTED）结合了物理环境和社会学问题，以削减犯罪，降低对犯罪的恐惊感。3、 在确定为物理平安安排适当的预算经费时，应当先确定设施中财产的价值和设施本身的价值。4、 自动的环境限制有助于削减损害程度，并能够加快复原过程。手动方法耗费时间、简洁出错，而且须要人员不断地留意。5、 我们须要评估建筑材料和建筑结构的组成部分，包括他们的防护特征、功用以及成本和收益。6、 某些物理平安可能与人身生命平安相冲突。这些问题须要解决，并且我们要意识到爱护人的生命总是比爱护设施及其包含的资产更为重要。7、 在为设施找寻建筑地点时，须要考虑当地的犯罪、发生自然灾难的几率以及与医院、警察局、消

27、防局、机场和铁路的距离。8、 HVAV系统应当为公司维持适当的温度和湿度，并供应闭环的空气流通系统，保证正压力及通风。9、 湿度较高会发生腐蚀；湿度较低会产生静电。10、 灰尘和空气中的污染物会给计算机硬件造成不利影响，因此应当限制在一个可以接受的级别上。11、 行政管理性限制包括对应急事务处理措施的演习和练习、仿真试验、文件的归档、检查和报告、对员工的预先筛选、责任的托付、岗位轮换以及平安意识培训。12、 应急事务处理措施文档须要能够很简洁拿到，并须要定期检查和更新。13、 邻近身份标识设备可以是用户激活式的（用户须要执行动作）或系统感知式的（用户不须要执行动作）。14、 放射机应答器是一种

28、邻近身份标识设备，它不须要用户执行动作。读卡器会向设备送出询问信号，设备则会响应访问代码。15、 外部栅栏的成本较高，而且也不美观，但是可以对人群进行限制，并有助于对设施进行访问限制。16、假如内部的分隔没有延长到真正的天花板，那么入侵者就能够掀开天花板,然后爬过隔板进入到设施中的关键部位。17、 入侵检测设备包括移动探测器、CCTV、振动传感器和机电系统。18、 入侵检测设备比较敏锐，安装和监视费用很高，须要人的响应，并且会受误报的干扰。19、 CCTV可以使一个人监控一大片区域，但是须要与报警装置一同运用，以保证在发生意外时有人作出适当的响应。20、雇佣保安的成本较高，但是他们在对平安事故

29、作出响应方面比较敏捷，并能够阻挡入侵者的攻击。21、 密码锁运用键盘，并且是可编程的。22、 公司的财产须要登记，并且应当训练保安如何阻挡这些设备的不适当移出。23、介质应受到爱护，从而使其免受因为破坏、修改、偷盗、未经授权的复制和公开而造成的损失。24、地板、天花板和墙壁都须要有肯定的承重实力，并达到肯定的防火等级。25、水、蒸汽和燃气的管道上须要安装有关闭阀门以及正向排空装置（其中的容纳物只能流出，而不能流入）。26、 物理平安所应对的主要威逼包括：服务的中断、盗窃、物理破坏、未授权的泄露以及对系统完整性的损害。27、 主电源用于日常的工作，而备用电源用于在主电源出鼓掌时供应备用。28、电

30、力公司在遭遇高电负荷时往往会安排和实施动力管制。29、 电源噪声时电源对设备的干扰，可能由电磁干扰（EMD或射频干扰（RFl）造成。30、 EMl是由闪电、电机以及线路间电流不平衡造成的。RFl是由电子系统机制、荧光照明和电缆造成的。31、 电源的瞬态噪声是加在电线上的干扰，可能会造成电气干扰。32、 电源稳压器能够调整线路，以保证电源的稳定和干净。33、 确定UPS成本的因素是它能支持的负载大小、主电源发生故障是跟踪负载的速度以及工作时间。34、 屏蔽线能抗电气和电磁感应，使电压免受干扰。35、 边界爱护可以阻挡无关人员的进入，使人们能够通过一些受控的入口进入设施。36、 烟雾探测器应安装在

31、吊顶以上、架空的地板以下和通风口中，以供应最大的防火爱护。37、 火灾的发生须要可燃物、氧气和高温。为了扑灭火灾，以上的一个或多个因素须要削减或解除。38、 气体（如哈龙、FM200或其他哈龙替代品）能够干预火灾中的化学反映。39、 在灭火系统起先工作之前应当关闭HVAC系统，从而可以确保烟雾不会扩散到建筑物的各个角落。40、 编写式灭火器应当置于距离电子设备50英尺以内的地方，而且每个季度都应当进行检查。41、 CO2是无色、无味的物质。运用其灭火时，它会排走空气中的氧气，因此是潜在的致命物质。42、 混入就是一个人通过运用其他人的合法凭证或访问权利来获得未授权的访问，这是物理平安中须要考虑

32、的一个普遍问题。43、因为会破坏臭氧层，所以哈龙不再运用。FM200或者其他类似的物质用来替代哈龙。44、 邻近探测系统须要人的响应，可能导致误报，而且依靠于不间断的电源供应，因此这种类型的爱护系统应当有备用的其他平安系统。45、 干管系统削减了水意外排出的可能性，因为直至自动火警报警器探测到有火灾发生时水才会进入水管。46、 在温度可能达到零度的地方，水管的裂开会带来麻烦，此时应当运用干管系统。47、提前作用式管道系统会延迟水的释放。48、CCTV最好与其他监视和入侵报警方法一起运用。第七章通信与网络平安1、 假如双宿防火墙的操作系统禁用包转发或路由功能，那么它就会存在弱点。2、 协议是规定

33、计算机在网络上如何通信的一组规则。3、 应用层是第七层，它包含用户应用网络互联功能所需的服务和协议。4、 表示层是第六层，它将数据格式化为标准格式，并且处理数据的语法而非意义。5、 路由器工作在网络层（第三层）。6、 会话层是第五层，负责在两个应用程序之间建立、维护和中断对话（会话）。它限制对话的组织和同步。7、 传输层是第四层，它供应端对端的传输。8、 网络层是第三层，它供应路由、寻址和数据包分片。这一层能够通过确定可选的路由来避开网络拥塞。9、 数据链路层是其次层，通过将数据组帧来为网络截至打算数据。这是采纳不同1.AN和WAN技术的位置。10、物理层是第一层，为传输供应物理连接，并且供应

34、数据的电信号编码。这一层将位值转换为电信号。11、TCP/IP是一套协议集，它是在Internet上传输数据的事实标准。TCP是牢靠的、面对连接的协议，IP则是不行靠的、无连接的协议。12、数据在源计算机按OSl模型向下传输时被封装，这个过程在目标计算机上正好相反。在封装期间，每一层都会添加自己的信息，从而使目标计算机的对应层知道如何处理数据。13、 数据链路层定义物理层如何传送网络层数据包。ARP和RARP使这一层上的两个协议。14、 传输层上的两个主要协议是TCP和UDPo15、 UDP是无连接的协议，它在接收数据报时并不发送或者接收应答。UDP不能确保数据到达目的地，它供应“尽力的”传送

35、。16、 TCP是面对连接的协议，它发送或接收应答。TCP确保数据到达目的地。17、 ARP是将IP地址转换为MAC地址（物理以太网地址）,而RARP则将MAC地址转换为IP地址。18、 ICMP工作在网络层,它为主机、路由器和设备通知网络或计算机的问题。它是Ping好用工具的重要组成部分。19、 DNS将主机名解析为IP地址，它在Internet上有分布数据库来供应名称解析。20、 变更ARP表使得一个IP地址映射到一个不同的MAC地址，这称为ARP中毒，它能将数据流量重定向至攻击者的今生今世或无人值守的系统。21、 包过滤（屏蔽路由器）通过AC1.实现，这是第一代防火墙。数据流量能够按地址

36、、端口和协议类型进行过滤。22、 隧道协议将数据帧封装在可路由的帧内，从而将其从一个网络传送至另一个网络。23、 包过滤与应用无关，并供应高性能和可升级，但是在网络层以上平安性低且没有爱护。24、 运用代理的防火墙将被认可数据包的单独副本从一个网络传送至另一个网络。25、 应用级代理要求每一个被认可的服务都具有一个代理，它能理解运用的协议以及协议内的吩咐，并据此作出决策。26、 电路级防火墙也是运用代理，但是在更低的级别上。电路级防火墙不像应用级代理那样深化数据包。27、 代理防火墙是通信重的中间人，它并不允许任何人干脆连接到内联网络中受爱护的计算机。代理防火墙是其次代防火墙。28、 应用级代

37、理防火墙供应良好的平安性和理解整个应用层，但是性能差、应用支持有限、难以升级。29、 状态检查防火墙会跟踪每个通话会话。它必需维护状态表，其中包含每个连接的相关数据。它是第三代防火墙。30、 VPN运用隧道协议和加密在两个网络或主机之间供应平安的网络链接。一个专用的平安连接能建立在担心全的网络之上。31、 VPN可以采纳PPTP、1.2TP或IPSee作为隧道协议。32、 PPTP工作在数据链路层。IPSeC工作在网络层，并且能够同时处理多个隧道。33、 专用链路通常是最昂贵的WAN连通方法，因为其费用是依据两个目标之间的距离计算，而不是依据运用的带宽计算。Tl和T3是专用链路的示例。34、

38、帧中继和X.25数据包交换的WAN技术,它运用虚拟电路而不是专用链路。35、 星型拓扑的集线器是来自计算机和设备的全部线缆的汇聚之处。36、网桥将网络分为更可控的网段，以确保更有效地利用带宽。网桥工作在数据链路层，它理解MAC地址而非IP地址。37、 交换机是集中继器和网桥技术于一身的设备。它工作在数据链路层，理解MACko38、 路由器链接两个或多个网段，每个网段都可以作为独立的网络。路由器工作在网络层，利用IP地址进行工作，并且比网桥、交换机或中继器具有更多的网络学问。39、 网桥利用MAC地址过滤并转发广播流量；而路由器利用IP地址过滤，且不转发广播流量。40、第3层交换结合了交换和路由

39、技术。41、 衰减是当线缆超过最大长度时信号强度的损失。42、 STP和UTP时最常用、最便宜、最简洁运用的双绞线类型。然而，它们也最简洁被窃听，存在串扰问题，并且简洁遭遇电磁干扰。43、 同轴电缆比STP和UTP贵得多，抗电磁干扰实力更强，并且能够支持基带和宽带技术。44、 光缆利用光波运载数据，特别昂贵，能高速传送数据，难以窃听，抗电磁干扰。假如平安特别重要，那么须要运用光缆。45、 ATM采纳固定的信元传送数据，它是一种WAN技术，能以很高的速率传送数据。ATM支持语音、数据和视频应用。46、 FDDl是1.AN和WAN技术，通常在骨干网中运用，采纳令牌传递技术，并且具有冗余环以防主环出

40、现故障。47、 以太网802.3是如今最常用的1.AN实现，它能运行在101000Mbps之间。48、 令牌环802.5是较早的IJAN实现，它运用令牌传递技术。49、 以太网采纳CSMA/CD,这意味着全部计算机竞争共享的网络线缆，侦听何时能够发送数据，简洁造成数据冲突。50、电路交换技术建立数据传输会话期间运用的电路。数据包交换技术并不建立电路，相反，数据包可以通过很多不同的路径到达同一个目的地。51、 永久虚电路（PVC）设定在WAN中，而交换虚电路（SVC）是临时的。SVC建立很快，在不须要时很快撤销。52、 CSU/DSU在1.AN设备须要和WAN设备通信时运用。它确保采纳了正确的电

41、信号和格式，并且是DTE和DCE之间的接口。53、 ISDN具有BRl速率（运用两个B通道和一个D通道）和PRI速度（运用最多23个B通道）。它们支持语音、数据和视屏。54、 帧中继是工作在数据链路层的、执行数据包交换的WAN协议。它是一个比较经济的选择，因为费用基于所运用的带宽。55、 PPP是用于通信连接的封装协议。它取代了S1.IP,是通过串行线连接不同类型设备的志向选择。56、 DS1.在现有的电话线上供应高速宽带的传输。57、 远程访问服务器可以配置为回呼远程用户，但是通过呼叫转发能够使之无效。58、 PAP以明文形式发送凭证。CHAP运用挑战/响应机制运行身份验证，因此不须要通过网

42、络发送密码。59、 SOCKS是代理型防火墙解决方案。它采纳基于电路的代理，而不是基于应用的代理。60、 IPSec隧道模式爱护数据包的净荷和首部信息，而IPSec传输模式只爱护净荷。61、 被屏蔽主机防火墙位于边缘路由器和1.AN之间。62、 被屏蔽子网是由两个物理防火墙建立的DMZo63、 NAT在公司不希望系统知道内部主机的地址时采纳,它支持公司运用私有的、不行路由的IP地址。64、 802.11标准是一种W1.AN技术，并且具有几个变更形式：802.11a、802.11b、802.11f.802.1Ig以及802.11i.65、 802.15标准概括了无线个人区域网（WPAN）技术，8

43、02.16涉及无线MAN技术。66、 WAP是无线设备上运用的替代TCP/IP协议的协议栈。67、 运用不同的SSID可以将具体环境分割成若干不同的W1.ANo68、 802.11b标准工作在2.4GHz频率段内，支持IlMbps的传输速率；而802.11a标准工作在5GHz频率段内，支持54Mbps的传输速率。69、 IPv4运用32位地址，而IPv6运用128位地址。因此，IPv6供应更多可供运用的地址。70、 子网划分允许将大范围的IP地址分给若干较小的、逻辑的和更易于运用的网段。71、 会话初始协议（SIP）是一种广泛用于VOIP通信会话的信令协议。72、 VOIP网络上出现了传统电子

44、垃圾的一个新变种，即垃圾网络电话（SPlT）。73、 开放中继是配置位将电子邮件消息从任何源传输至任何目的地的SMTP服务器。第八章密码术1、 密码术是通过将信息加密成不行读格式以对其进行爱护的一门学科。2、 历史上最闻名的转子密码机是德国人在其次次世界大战中适用的Enigma机。3、 可读消息是一种称为明文的文件形式。明文一旦被加密，就处于称为密文的文件形式。4、 密码算法就是规定加密喝解密函数的数字规则。5、 密码分析学就是探讨对密码系统的破解。6、 不行否认性是这样一种服务：确保发送方不能在发送消息之后否认曾经发生过消息。7、 密钥群集指的是不同密钥对同一明文加密可生成相同的密文。8、

45、可能密钥所在的范围称为密钥空间。密钥空间越大，允许创建的随机密钥就越多，从而可以供应更多的爱护。9、 对称密码中运用的两种基本加密机制是替代喝换位。替代密码就是运用不同的字符（或位）来替换原来的字符（或位）。换位密码则搅乱原来的字符（或位）。10、多字母标替代密码运用多个字母表来挫败频率分析攻击。11、 隐写术是一种在其他介质类型（如图片、WAV文件或文档）内隐藏数据的方法。这种方法用于隐藏数据的存在性。12、 密钥是插入加密算法的一大串随机位。结果是确定对消息执行哪些加密函数以及按是吗依次执行。13、 在对称密钥算法中，发送方和接收方运用相同的密钥来加密和解密。14、 在非对称密钥算法中，发

46、送方和接收方运用不同的密钥来加密和解密。15、 对称密钥方法给密钥的平安分发和可扩展性带来了障碍。然而，对称密钥算法的运行比非对称密钥算法的运行快得多。16、 对称密钥算法能整供应机密性，但是不能供应身份验证或不行否认性。17、 对称密钥算法的示例包括DES、3DES、BloWfish、IDEA、RC4、RC5、RC6和AES.18、 非对称密钥算法用于加密密钥，对称密钥算法则用于加密批量数据。19、 非对称密钥算法摇臂对称密钥算法慢的多，但是能够供应身份验证和不行否认性服务。20、 非对称密钥算法的示例包括RSA、ECC.Diffie-HellmanEIGamaKKnapsack和DSA。2

47、1、 对称算法的两种主要类型是流密码和分组密码。流密码运用密钥流生成器,一次加密消息的一个位。分组密码将消息分为若干位分组，然后对每个分组进行加密。22、 分组密码通常实现在软件中，而流密码通常实现在硬件中。23、 很多算法都是公开的，因此它们的保密部分就是密钥。密钥供应了毕业的加密随机选择性。24、 数据加密标准（DES）是一种分组密码，它将消息分为若干64位分组，并且在这些分组上应用S盒类型函数。25、 因为DES密钥空间已被胜利破解，所以人们开发了三重DES（3DES）来替代它。3DES具有48轮计算，并且最多可以运用3个不同的密钥。26、 国际数据加密算法（IDEA）是密钥长度位128位的对称分组算法。27、 RSA是又RiVeSt、Shamir和AdIeman设计开发的一种非对称算法，它是数字签名的事实上的标准。28、 椭圆曲线密码系统（ECC）用作为非对称算法，它能够供应数字签名、平安的密钥分发以及加密功能。ECC运用的资源很少，因此特别适合在无线设备和蜂窝电话的加密功能上。29、 当对称密