第一篇：信息安全縮寫總結

英文縮寫

IA：Information Assurance信息保障

TCSEC ：the Trusted Computing System EvalauationCriteria 可信計算機系統安全評估準則 PDRR(PDR2)： P：Protect（保護）；D：Detect（檢測）；R：React（反應）；

R：Restore（恢復）信息保障模型

VPN：Virtual Private Network 系統互聯與虛擬專用網

DES：Data Encryption Standard數據加密標準

AES :Advanced Encryption Standard 高級加密標準

MAC：Message Authentication Code消息認證碼

MD5：Message Digest Algorithm MD5 消息摘要算法第五版

SHA：Secure Hash Algorithm安全散列算法

SHS：Secure Hash Standard 安全壓縮標準

SA：Digital Signatures 數字簽名

DSS：Digital Signatures Standard 數字簽名標準

DSA：Digital Signature Algorithm 是Schnorr和ElGamal簽名算法的變種 PGP：Pretty Good Privacy

PKCS：Public Key Cryptography Standards

TEMPEST：Transient Electromagnetic Pulse Emanations Standard Technology 瞬時電磁脈沖發射標準 Transient Electromagnetic Pulse Emanation Surveillance Technology 瞬時電磁脈沖發射檢測技術

ACM：Access Control Matrix 訪問控制矩陣

DAC：Discretionary Access Control 自主訪問控制

MAC：Mandatory Access Control強制訪問控制

RBAC：Role-Based Access Control 基于角色的訪問控制

NIST:：National Institute of Standards and Technology

TBAC：Task-based Access Control基于任務的訪問控制

OBAC：Object-based Access Control基于對象的訪問控制

DoS：Denial of Service 拒絕服務

DDoS：Distribute Denial of Service 分布式拒絕服務

IDS：Intrusion Detection System 入侵檢測系統

NAT：Network Address Translation 網絡地址轉換

VPN：Virtual Private Network 虛擬專用網

DMZ：Demilitarized Zone 被隔離的子網

IDS：Intrusion Detection System 入侵檢測系統

DIDS：Distribute Intrusion Detection System 分布式入侵檢測系統 CIDF：Common Intrusion Detection Framework 通用入侵檢測框架 IPS：Intrusion Prevention System入侵防護系統

HIPS：Host IPS 基于主機的入侵防護

NIPS：Network IPS基于網絡的入侵防護

AIP：Application Intrusion Preverntion 應用入侵防護

PKI：Public Key Infrastructure 公鑰基礎設施

CA：Certificate Authority 認證中心

RA：Registration Authority 證書注冊機構

PMI：Privilege Management Infrastructure 特權管理基礎 AA：Attribute Authority

AS：Authentication Server身份認證服務器

TGS：Ticket Granting Server 通行證授予服務器

TLS：Transport Layer Security傳輸層安全協議

SSL：Security Socket Layer 安全套接層協議

DBMS：Database Managerment System 數據庫管理系統 SQL：Structured Query Language

DBA：Database Administrator 數據庫管理員

CERT:Computer Emergency Response Team 計算機應急響應小組

Upp300

第二篇：總結縮寫

洪山鎮雙河小學2013年學校工作總結

2013過去了,現將一年來的工作總結如下：

一、學校堅持育人為本、德育為先，把立德樹人作為學校教育的根本任務，以創建“書香校園、溫馨班級”為基點，加強教師隊伍建設和學生教育工作。

二、以落實“營造書香校園、締造完美教室、構建理想課堂”三大行動為引領，促進新教育實驗的全面推進。本學期，我校共選取教師參加各級各類培訓活動達11人次，其中，羅永華等4名教師參加縣繼續中心組織的國培活動，郭香等4名教師參加了縣繼教中心組織的新課程、新教師培訓學習活動，鄒歡等2名教師參加了班主任培訓活動，有1名教師參加了“湖北省農村教師素質提高工程”培訓。同時，學校組織15教師參加了吳山鎮小學、唐鎮小學、環潭鎮第二小學等學校開展的“教育教學開放周”活動。

三、安全衛生管理齊抓共管。強化落實“一崗雙責制”，安全責任事故一票否決制。加強傳染病防控工作。加強校園周邊環境綜合治理。為校園環境清潔、環境優美等創超了良好的環境。

四、義務教育均衡發展建設成績突出, 投資11萬余元新修建了學生餐廳，改造了食堂，維修了學生宿舍及圍墻，更換了超市柜臺、貨架等設施。加強各功能室的建設、逐步實現教學設施標準化和現代化。學校爭取縣教育局的支持，裝備了各功能室電教設備，配置了班班通電教網絡。學校還自籌資金2.6萬余元改善辦學條件，暑假期間裝修12間校舍，維修206套課桌椅和粉刷了65套課桌，加高和加固教學樓梯護欄，徹底消除校園安全隱患。加強校園文化。今秋學校投入1萬余元加強校園文化建設，教室、寢室、餐廳、圍墻處處充滿濃濃的文化氣息，使校園成為一部立體的、多彩的有吸引力的教科書。

五、后勤管理務實高效。隱患圍墻、宿舍危房、教學樓走廊護欄高度不達標等安全隱患得到治理。幼兒園娛樂場西邊圍欄上又安裝了一排亮蹭蹭的不銹鋼欄桿，排除了隱患，增強了校園的安全性。物資采購規范化。凡各部門欲采購的物品先向校長提交采購申請，嚴格執行物品采購、驗收、入庫登記、領用或借用簽字手續，避免了物資的重復采購、莫名丟失和破損。后勤服務優質細致。學校組織分管后勤領導、總務處、食堂工作人員到三里崗鎮中學、鎮小學習后勤管理經驗，回來后召開后勤工作專題會議，確定了整改目標，完善了各項管理制度，簽訂了目標責任書。提高學生餐飲質量，真心服務于學生，辦群眾滿意食堂。

六、工會組織教職工開展了豐富多彩的活動。對全校21名退休教師，每位教師慰問金200元和其它物資。全校教職工開展了慶“三八”婦女節活動。對葉成才、黃克菊困難家庭各送去慰問金400元，讓困難職工感受到大家庭的溫暖。特別是陳雙陽老師的女兒患白血病后，全校師生共捐款8939.5元，學校領導、工會領導、教師代表先后兩次赴武漢協和醫院去看望，送去了全校師生的愛心。除此之外，今秋師生又捐救災款和愛心款共計5000余元。

2013年已經過去，有喜也有憂。展望明天，我們堅信，有中心學校的正確領導和親切關懷，有全體教師的團結奮進和勤懇踏實，雙河小學的明天一定會更好！

第三篇：英語詞匯縮寫總結

英語詞匯縮寫大總結

n.= 名詞，noun的縮寫

v.= 動詞，兼指及物動詞和不及物動詞，verb的縮寫vi = 不及物動詞，intransitive verb的縮寫vt = 及物動詞，transitive verb的縮寫 a./adj.= 形容詞，adjective的縮寫

ad./adv.= 副詞，adverb的縮寫

art.= 冠詞，article的縮寫

prep.= 介系詞；前置詞，preposition的縮寫 pron.= 代名詞，pronoun的縮寫

conj.= 連接詞，conjunction的縮寫

aux.v.= 助動詞，auxiliary的縮寫

num = 數詞，numeral的縮寫

int = 感嘆詞，interjection的縮寫

u.= 不可數名詞，uncountable noun的縮寫 c.= 可數名詞，countable noun的縮寫 pl.= 復數，plural的縮寫

第四篇：信息安全總結格式

附件4

信息安全自查總結報告參考格式

一、自查工作總結報告名稱

XXX（單位、部門、行業名稱）2013年網絡與信息安全自查工作總結報告

二、自查工作總結報告組成自查工作總結包括主報告、自查結果統計表及自評表三部分。

三、主報告內容要求

（一）信息安全自查工作組織開展情況

概述自查工作組織開展情況、所檢查的信息系統基本情況。

（二）XXX年信息安全主要工作情況

詳細描述本單位XXX年在信息安全管理、技術防護、應急管理、教育培訓等方面開展的工作情況。

（三）檢查發現的主要問題和面臨的威脅分析

1、發現的主要問題和薄弱環節

2、面臨的安全威脅與風險

3、整體安全狀況的基本判斷

（四）改進措施及整改效果

1、改進措施

2、整改效果

（五）關于加強信息安全工作的意見和建議

第五篇：信息安全總結

1.信息安全與網絡安全的區別

? 在對象范圍方面，“信息安全”涵蓋了“網絡安全”。

? 信息安全工作的對象不僅涵蓋了網絡安全的所有問題，即信息在網絡傳輸中的安全問題，而且還包括計算機本身的固有安全問題，如系統硬件、操作系統、應用軟件、操作流程等等。

2.信息通信過程中的威脅

? 信息系統的用戶在進行通信的過程中，常常受到兩方面的攻擊：

? 主動攻擊：攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統內部，破壞信息的真實性、完整性及系統服務的可用性。

? 被動攻擊：攻擊者非法截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄漏而無法察覺，給用戶帶來巨大的損失。

中斷（interruption）：是指威脅源使系統的資源受損或不能使用，從而暫停數據的流動或服務，屬于主動攻擊。截獲（interception）：是指某個威脅源未經允許而獲得了對一個資源的訪問，并從中盜竊了有用的信息或服務，屬于被動攻擊。

? 篡改（modification）：是指某個威脅源未經許可卻成功地訪問并改動了某項資源，因而篡改了所提供的信息服務，屬于主動攻擊。

偽造（fabrication）：是指某個威脅源未經許可而在系統中制造出了假消息源、虛假的信息或服務，屬于主動攻擊。3.威脅的具體表現形式

? 偽裝：某個具有合法身份的威脅源成功地假扮成另一個實體（用戶或程序），隨后濫用后者的權利。這時的威脅源可以是用戶，也可以是程序，受威脅對象與此類同。? 非法連接

威脅源以非法手段形成合法身份，使得網絡實體（用戶或連接）與網絡資源之間建立了非法連接。威脅源可以是用戶，也可以是程序，受威脅對象則是各種網絡資源。

? 拒絕服務

攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試而產生過量的系統負載，從而導致系統的資源對合法用戶的服務能力下降或喪失；或是由于信息系統或其組件在物理上或邏輯上受到破壞而中斷服務。

? 否認

網絡用戶虛假地否認提交過信息或接收到信息。? 信息泄漏 信息泄漏指敏感數據在有意或無意中被泄漏、丟失或透露給某個未授權的實體

? 通信流量分析

攻擊者觀察通信協議中的控制信息，或對傳送中的信息的長度、頻率、源和目的進行分析。

? 改動信息流 對正確的通信信息序列進行非法的修改、刪除、重排序或重放。? 篡改或破壞數據

以非法手段竊得對信息的管理權，通過未授權的創建、修改、刪除或重放等操作而使數據的完整性受到破壞。

? 推斷或演繹信息 統計數據含有原始信息的蹤跡，非法用戶利用公布的統計數據，推導出某個信息的原來值。

? 旁路控制

攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。

? 特洛伊木馬

軟件中含有一個察覺不出的或者無害的程序段，當它被執行時，會破壞用戶的安全 ? 后門或陷門

后門是進入系統的一種方法，通常它是由設計者有意建立起來的。陷門在某個系統或某個部件中設置的“機關”，使得在特定的數據輸入時，允許違反安全策略。陷門是后門的一種形式。

? 抵賴 這是一種來自用戶的攻擊，比如：否認自己曾經發布過的某條消息、偽造一份對方來信等。

? 重放

出于非法目的，將所截獲的某次合法的通信數據進行拷貝，而重新發送。? 計算機病毒

所謂計算機病毒，是一種在計算機系統運行過程中能夠實現傳染和侵害的功能程序。

? 人員不慎

一個授權的人為了錢或某種利益，或由于粗心，將信息泄露給一個非授權的人

? 物理侵入 侵入者繞過物理控制而獲得對系統的訪問。? 竊取 重要的安全物品，如硬盤、令牌或身份卡被盜等。

? 業務欺騙 構造一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息，如網上釣魚、網上傳銷、網上詐騙等。

4.構成威脅的因素

歸結起來，針對信息系統的威脅主要有以下3個因素： ①環境和自然災害因素

易受環境和災害的影響。溫度、濕度、供電、火災、水災、地震、靜電、灰塵、雷電、強電磁場、電磁脈沖等，均會破壞數據和影響信息系統的正常工作。②人為因素

? 人為因素可分為有意和無意。

? 有意的是指人為的惡意攻擊、違紀、違法和犯罪以及泄密行為。這是信息系統所面臨的最大威脅。

? 無意的是指人為的無意失誤，如操作員安全配置不當造成的安全漏洞，信息丟失，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

③計算機系統自身因素

盡管近年來計算機網絡安全技術取得了巨大的進展，但現在計算機硬件系統、操作系統和應用系統等的漏洞越來越多。

? 計算機硬件系統的故障 ? 計算機軟件系統的漏洞 ? 網絡和通信協議的缺陷

5.密碼技術是信息安全的核心和關鍵。其主要包括密碼編碼（密碼算法設計）、密碼分析（密碼破譯）、認證、鑒別、數字簽名、密鑰管理和密鑰托管等技術。

? 密碼學發展至今，已有兩大類密碼系統：第一類為對稱密鑰（Symmeric Key）密碼系統，第二類為非對稱密鑰（Public Key）密碼系統。

6.新的防病毒產品集中體現在網絡防病毒上，主要有下面幾種重要技術： ①數字免疫系統②監控病毒源技術③主動內核技術④“集中式管理、分布式殺毒”技術⑤安全網管技術

7.虛擬專用網VPN（Virtual Private Network）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互連。8.信息安全發展趨勢

? 可信化：這個趨勢是指從傳統計算機安全理念過渡到以可信計算理念為核心的計算機安全。? 網絡化：網絡化成為信息安全技術的又一趨勢。

? 集成化：即從單一功能的信息安全技術與產品，向多種功能融于某一個產品 ? 標準化

? 抽象化：是指公理化研究方法逐步成為信息安全的基本研究工具。

9.所謂信息安全保障體系，就是關于信息安全防范系統的最高層概念抽象，它由各種信息安全防范單元組成，各組成單元按照一定的規則關系，能夠有機集成起來，共同實現信息安全目標。

? 信息安全保障體系由組織體系、技術體系和管理體系組成。10.密碼學與密碼體制

密碼學包括密碼設計與密碼分析兩個方面，密碼設計主要研究加密方法，密碼分析主要針對密碼破譯，即如何從密文推演出明文、密鑰或解密算法的學問。這兩種技術相互依存、相互支持、共同發展。

加密算法的三個發展階段：①古典密碼②對稱密鑰密碼（單鑰密碼體制）③公開密鑰密碼（雙鑰密碼體制）

對稱密碼體制的優點是： 安全性高且加、解密速度快

其缺點是：進行保密通信之前，雙方必須通過安全信道傳送所用的密鑰。這對于相距較遠的用戶可能要付出較大的代價，甚至難以實現。

非對稱密碼體制的優點是： 密鑰管理方便

其缺點是：加、解密速度較慢

? 解密與密碼分析①共同點 “解密（脫密）”和“密碼分析（密碼破譯）”都是設法將密文還原成明文。②不同點

二者的前提是不同的，“解密（脫密）”掌握了密鑰和密碼體制，而密碼分析（破譯）則沒有掌握密鑰和密碼體制 11.入侵檢測（Intrusion Detection）的定義是指通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。12.IDS功能與模型

上圖模型中包含6個主要部分：

① 實體（Subjects）：在目標系統上活動的實體，如用戶。

② 對象（Objects）：指系統資源，如文件、設備、命令等。

③ 審計記錄（Audit records）：由主體、活動（Action）、異常條件（Exception-Condition）、資源使用狀況（Resource-Usage）和時間戳（Time-Stamp）等組成。

④ 活動檔案（Active Profile）：即系統正常行為模型，保存系統正常活動的有關信息。

⑤ 異常記錄（Anomaly Record）：由事件、時間戳和審計記錄組成，表示異常事件的發生情況。

⑥ 活動規則（Active Rule）：判斷是否為入侵的準則及相應要采取的行動。

? CIDF模型

上圖所示的模型中，入侵檢測系統分為4個基本組件：

①事件產生器的任務是從入侵檢測系統之外的計算環境中收集事件，但并不分析它們，并將這些事件轉換成CIDF的GIDO格式傳送給其他組件；

②事件分析器分析從其他組件收到的GIDO，并將產生的新的GIDO再傳送給其他組件；

③事件數據庫用來存儲GIDO，以備系統需要的時候使用；

④響應單元處理收到的GIDO，并根據處理結果，采取相應的措施，如殺死相關進程、將連接復位、修改文件權限等。

? 入侵響應是入侵檢測技術的配套技術，一般的入侵檢測系統會同時使用這兩種技術。? 入侵響應技術可分為主動響應和被動響應兩種類型。

? 主動響應和被動響應并不是相互排斥的。不管使用哪一種響應機制，作為任務的一個重要部分，入侵檢測系統應該總能以日志的形式記錄下檢測結果。

? 異常檢測和誤用檢測。根據入侵檢測所采用的技術，可以分為異常檢測和誤用檢測。

? 異常檢測（Abnormal Detection）。異常入侵檢測是指能夠根據異常行為和使用計算機資源的情況檢測出來的入侵。

? 誤用檢測（Misuse Detection）。誤用入侵檢測（也稱濫用入侵檢測）是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。

? 基于主機和網絡的檢測。按照入侵檢測輸入數據的來源和系統結構，可以分為：

? 基于主機的入侵檢測系統（HIDS）。? 基于網絡的入侵檢測系統（NIDS）。? 混合型入侵檢測系統。

? 離線檢測和在線檢測。根據入侵檢測系統的工作方式分為離線檢測系統和在線檢測系統。

? 離線檢測系統。在事后分析審計事件，從中檢查入侵活動，是一種非實時工作的系統。

? 在線檢測。實施聯機的檢測系統，它包含對實時網絡數據包分析，對實時主機審計分析。

? 集中式、等級式和協作式。按照體系結構，IDS可分為集中式、等級式和協作式3種。

入侵檢測系統性能

? 準確性：檢測系統具有低的假報警率和漏警率。

? 執行性：入侵檢測系統處理審計事件的比率。如果執行性很低，則無法實現入侵檢測系統的實時檢測。? 完整性：如果一個入侵檢測系統不能檢測一個攻擊則認為是不完整的。

? 容錯性：入侵檢測系統本身應具備抵抗攻擊的能力。

? 實時性：系統能盡快地察覺入侵企圖，以便制止和限制破壞 13.入侵檢測系統與防火墻的區別

? “防火墻”是在被保護網絡周邊建立的、分隔被保護網絡與外部網絡的系統。

? 采用防火墻技術的前提條件是：被保護的網絡具有明確定義的邊界和服務；網絡安全的威脅僅來自外部網絡。

? 但僅僅使用防火墻保障網絡安全是遠遠不夠的。

? 入侵檢測是防火墻的合理補充，為網絡安全提供實時的入侵檢測并采取相應的防護手段。

? 入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下，能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

? IDS一般不是采取預防的措施以防止入侵事件的發生，入侵檢測作為安全技術其主要目的在于：識別入侵者；識別入侵行為；檢測和監視已成功的安全突破；為對抗入侵，及時提供重要信息，阻止事件的發生和事態的擴大。

14.異常檢測技術有以下優點： ①·能夠檢測出新的網絡入侵方法的攻擊； ②·較少依賴于特定的主機操作系統； ③·對于內部合法用戶的越權違法行為的檢測能力較強。缺點：①·誤報率高；②·行為模型建立困難； ③·難以對入侵行為進行分類和命名。

①神經網絡異常檢測 這種方法的優點是：①·不依賴于任何有關數據種類的統計假設； ②·具有較好的抗干擾能力；③·能自然的說明各種影響輸出結果測量的相互關系。

其缺點是： ①·網絡拓撲結構以及各元素的權重很難確定；②·在設計網絡的過程中，輸入層輸入的命令個數的大小難以選取。若設置太小，則工作就差；若設置太高，網絡中需要處理的數據就會太多，降低了網絡的效率。

15.誤用檢測技術有以下優點： ·①檢測準確度高； ②·技術相對成熟； ③·便于進行系統防護。誤用檢測技術有以下不足： ①·不能檢測出新的入侵行為；② ·完全依賴于入侵特征的有效性；

③·維護特征庫的工作量大； ④·難以檢測來自內部用戶的攻擊。

16.VPN的定義

VPN是將物理分布在不同站點的網絡通過公用骨干網，尤其是Internet連接而成的邏輯上的虛擬子網。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復制。

所謂虛擬，是針對傳統的企業“專用網絡”而言的，是指用戶不再需要擁有實際的長途線路，而是使用Internet公眾數據網絡的長途數據網絡。

所謂專用，表示VPN是被特定企業或用戶私有的，并不是任何公共網絡上的用戶都能夠使用已經建立的VPN通道，而是只有經過授權的用戶才可以使用。

所謂網絡，表示這是一種專門的組網技術和服務，企業為了建立和使用VPN必須購買和配備相應的網絡設備。

VPN的作用與特點

一個VPN至少要提供數據加密、信息認證和身份認證以及訪問權限控制等功能。VPN有以下特點：

①費用低

②靈活性大 ③易于管理維護

VPN的分類

①遠程訪問虛擬網（Access VPN）。又稱為撥號VPN，是指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。

Access VPN 包括模擬撥號、ISDN、數字用戶線路（xDSL）、移動IP和電纜技術，能夠安全的連接移動用戶、遠程工作者或分支機構。Access VPN最適用于公司內部經常有流動人員遠程辦公的情況。

② 企業內部虛擬網（Intranet VPN）

③企業擴展虛擬網（Extranet VPN）

VPInternet VP

客戶端VPN公司總部網關VPN接入ISP網關VPN接入 合作伙伴

17.VPN的實現技術 ①密碼技術

? 對稱密鑰加密。對稱密鑰加密的優點是運算量小、速度快，適合于加密大量數據的情況；缺點是密鑰的管理比較復雜。

? 非對稱密鑰加密。其速度較慢，適合加密大量數據的情況，而是經常用于關鍵數據的加密

密鑰管理技術

密鑰的分發有兩種方法：一種是通過手工配置的方式，另一種是采用密鑰交換協議動態分發。

手工配置的方法只適合于簡單網絡的情況。密鑰交換協議采用軟件方式動態生成密鑰，保證密鑰在公共網絡上安全地傳輸而不被竊取，適合于復雜網絡的情況，而且密鑰可快速更新，可以顯著提高VPN應用的安全性。

②身份認證技術

從技術上說，身份認證基本上可以分為兩類；非PKI體系和PKI體系的身份認證。非PKI體系的身份認證基本上采用的是UID+PASSWORD模式。PKI體系目前常用的方法是依賴于 CA（Certificate Authority，數字證書簽發中心）所簽發的符合 X 509規范的標準數字證書。

③隧道技術 VPN的核心是被稱為“隧道”的技術。隧道技術是一種通過使用互聯網的基礎設施在網絡之 間傳遞數據的方式。

? 自愿隧道（Voluntary tunnel）

用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時，用戶端計算機作為隧道客戶方成為隧道的一個端點。

? 強制隧道（Compulsorytunnel）

由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時，用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端，成為隧道的一個端點。

18.第二層隧道協議-

點到點隧道協議（PPTP）

? PPTP的一個主要優勢在于微軟平臺的支持。PPTP能夠提供流量控制，減少擁塞的可能性，降低由包丟失而引發的重傳率。

? PPTP是PPP協議的擴展，它主要增強了PPP協議的認證、壓縮和加密功能。19.第2層轉發協議L2F ? L2F的主要缺陷是沒有把標準加密方法包括在內，因此它基本上已經成為一個過時的隧道協議。

? 設計L2F協議的初衷是出于對公司職員異地辦公的支持。

? 通過L2F協議，用戶可以通過因特網遠程撥入總部進行訪問，這種虛擬撥入具有如下特性：

? 無論是遠程用戶還是位于總部的本地主機都不必因為使用該撥號服務而安裝任何特殊軟件，只有ISP的NAS和總部的本地網關才安裝有L2F服務，而對遠程用戶和本地主機，撥號的虛擬連接是透明的； ? 對遠程用戶的地址分配、身份認證和授權訪問等方面對總部而言都與專有撥號一樣可控；

? ISP和用戶都能對撥號服務進行記賬（如撥號起始時間、關閉時間、通信字節數等），以協調費用支持。

20.PPTP、L2F與 L2TP比較

? 對底層傳輸介質的要求

PPTP協議要求底層傳輸介質必須為IP網絡；而L2F與L2TP協議對底層介質沒有特別的要求，只要求底層介質能提供面向分組的點對點連接。

? 消息的構造方式

PPTP協議采用了固化的消息構造，因此不利于針對不同需要的選擇，不具有靈活性；L2F采用了選項構造消息的方式，L2TP采用了用屬性構造消息的方式，都能依據不同的需求靈活地選擇構造消息，這樣也有利于減輕通信的負荷和配置表述。

? 端對端身份的認證

PPTP協議的身份認證機制安全依賴于PPP協議的認證過程，而沒有自己的認證方案，因此協議獨立性不夠，而且認證的安全性值得懷疑；而L2TP和L2F都能在隧道建立階段、會話建立階段以及通信過程中對端對端身份進行認證。

? 隧道和會話的維護

PPTP協議和L2TP協議都提供了隧道和會話的維護消息機制，但L2F卻沒有。

? 流量控制特征

PPTP協議采用擴展GRE封裝中的序列號字段和確認字段對流量進行控制，并由此而 采用了發送和接收滑動窗口機制，以及自適應超時調整機制；L2TP協議通過提供基于會話的計數和計時器，以及L2TP頭的Nr和Ns字段，并采用發送和接收滑動窗口機制。

自適應超時調整機制為L2TP隧道通信提供了傳輸層服務；相比之下，L2F這方面的功能則顯得相當弱小，它提供了一個序列號字段，只能在一定程度上保證分組順序到達。

? 其他特征

L2F、PPTP和L2TP協議都只是一種對第二層分組的封裝傳輸工具，它們本身不對傳輸工具提供完整性、機密性等保護。

PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸；PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。

使用L2TP，用戶可以針對不同的服務質量創建不同的隧道；L2TP可以提供包頭壓縮。

L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。

21.通用路由封裝協議（GRE）

? 由于GRE協議提出較早，也存在著如下的一些缺點：

① GRE只提供了數據包的封裝，而沒有加密功能來防止網絡監聽和攻擊，所以在實際環境中經常與IPSec一起使用。由IPSec提供用戶數據的加密，從而給用戶提供更好的安全性。

② 由于GRE與IPSec采用的是同樣的基于隧道的VPN實現方式，所以IPSec VPN在管理、組網上的缺陷，GRE VPN也同樣具有。

③ 同時由于對原有 IP報文進行了重新封裝，所以同樣無法實施 IP QoS策略。

22.IP安全協議

? IPSec是一個標準的第三層安全協議，但它絕非一個獨立的安全協議，而是一個協議包。

? 由于它工作在網絡層，因此可以用于兩臺主機之間、網絡安全網關之間（如防火墻、路由器）或主機與網關之間。

? IPSec作為網絡層安全協議，實現了基于IP數據包的安全保護，能為上層協議提供透明的安全服務，其開放性和靈活性是其具有廣泛的應用和良好的發展前景。

23.SOCKS v5工作在OSI（Open System Internet）模型中的第五層——會話層，可作為建立高度安全的VPN基礎。

? SOCKS v5協議的優勢在于訪問控制，因此適用于安全性較高的VPN。

? 它的優點是能夠非常詳細地進行訪問控制；能同低層協議一起使用；用SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術；SOCKS v5可根據規則過濾數據流。

? 它也有不少令人遺憾之處：性能比低層次協議差，必須制定更復雜的安全管理策略。

24.操作系統安全

操作系統（Operating System）是一組面向機器和用戶的程序，是用戶程序和計算機硬件之間的接口，其目的是最大限度地、高效地、合理地使用計算機資源，同時也對系統的所有資源（軟件和硬件資源）進行有效的管理 在使用操作系統安全這個概念時，通常具有兩層含義：一是指操作系統在設計時提供的權限訪問控制、信息加密性保護、完整性鑒定等安全機制所實現的安全；其次，是指操作系統在使用過程中通過系統配置，以確保操作系統盡量避免由于實現時的缺陷和具體應用環境因素而產生的不安全因素。

25.Windows系列漏洞

①Windows Web Server（IIS）漏洞

a.不能正確處理某些請求 b.緩沖區溢出。產生于ISAPI擴展（ASP、HTR、IDQ等），著名例子為CodeRed、CodeRedII蠕蟲。c.應用樣本。應用樣本用于演示服務器環境功能的樣本程序，未經過嚴格測試。

②MRDS組件漏洞 ③NetBIOS漏洞 ④匿名登錄 ⑤LAN Manager身份鑒別漏洞

LM散列的主要脆弱性在于：

1·長的口令被截成14個字符；2 ·短的口令被填補空格變成14個字符；3 ·口令中所有的字符被轉換成大寫；·口令被分割成兩個7個字符的字符串。⑥IE瀏覽器漏洞

作為微軟的默認瀏覽器，IE有許多致命漏洞。所有漏洞歸結為以下幾類： ·Web頁面欺騙；·ActiveX控制漏洞； ·Active腳本漏洞；·錯誤解釋MIME-type、content-type及緩沖區溢出，結果為，暴露cookies、本地文件及數據，下載及執行任意代碼，或完全接管系統。

⑦遠程訪問注冊表漏洞

在微軟的所有操作系統中，使用了注冊表來管理軟件、存儲設備配置信息及用戶設置，某些不正確的權限設置，允許遠程交互訪問注冊表。

⑧Windows腳本主機服務漏洞

WSH（Windows腳本主機服務）允許任意以.vbs擴展名結尾的文本文件被系統解釋為Visual基本腳本來執行。當WSH允許時，用戶無意間下載惡意腳本文件，很可能通過WSH服務自動在系統中執行。

⑨賬號無口令或口令強度太弱

26.系統平臺的加固指南 ①端口和進程 ②安裝系統補丁③密碼強度及存儲 ④用戶賬戶

用戶賬戶管理的弱點有5個方面：弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶，以及廢棄賬戶。⑤用戶特權 ⑥文件系統安全 ⑦遠程訪問的安全 ⑧服務標題、操作系統指紋

27.數據庫安全的重要性

首先，數據庫安全對于保護組織的信息資產非常重要。

其次，保護數據庫系統所在網絡系統和操作系統非常重要，但僅僅如此遠不足以保證數據庫系統的安全。

此外，數據庫安全的不足不僅會損害數據庫本身，而且還會影響到操作系統和整個網絡基礎設施的安全。

最后，數據庫是電子商務、電子政務、ERP等關鍵應用系統的基礎，它的安全也是這些應用系統的基礎。28.數據庫安全威脅

（1）根據違反數據庫安全性所導致的后果將安全威脅進行劃分 ①非授權的信息泄露； ②非授權的數據修改； ③拒絕服務。

（2）根據發生的方式將安全威脅進行劃分

根據發生的方式，安全威脅可以分為有意和無意的。無意的安全威脅包括以下幾類： ①自然或意外災害； ②系統軟硬件中的錯誤；③人為錯誤。有意的安全威脅可以分為兩類： ①授權用戶；②惡意代理。29.數據庫安全需求

數據庫作為重要的數據存儲地，其安全問題特別要注意以下3個方面：完整性、保密性和可用性。對于數據庫應考慮一下幾個方面的安全需求：

（1）數據庫完整性。數據庫的完整性是DBMS、操作系統和用戶3方面的責任。

（2）數據元素的完整性。數據庫元素的完整性指的是數據庫元素的正確性和準確性，在DBMS中對數據元素的完整性采用3種維護方式：

①字段檢查：防止輸入數據錯誤；

②訪問控制：保證數據庫的完整性、真實性和一致性；

③更改日志文件：管理員可以根據日志文件隨時修改錯誤和撤銷非法的修改。

（3）審計性。數據庫的應用中需要對數據庫的所有訪問產生審計記錄，用以幫助在事后查看什么人對數據庫進行了什么操作，帶來了什么影響，以便維護數據庫的完整性。

（4）可用性。數據庫內的數據能被用戶進行讀取，但不是在任何時候都可被任何用戶讀取和使用的。

（5）訪問控制。DBMS必須對用戶訪問的數據進行規定，哪些數據可以訪問，哪些不能訪問。

（6）用戶認證。DBMS應具有嚴格的用戶身份識別和認證。

日志文件是用來記錄事務對數據庫的更新操作的文件。數據庫備份就是指制作數據庫結構和數據的復制，以便在數據庫遭到破壞的時候能夠修復數據庫。目前數據庫的備份技術很多，如全備份、增量備份、差分備份等，數據庫恢復就是指在數據庫遭到破壞時，把數據庫從錯誤狀態恢復到某一已知的正確狀態

如果備份時數據庫不可以被應用所訪問，那么我們稱這種備份為離線備份或冷備份。冷備份可以通過關閉數據庫然后進行文件備份來實現。離線數據庫備份是簡單的，也是被認為有效的備份技術。

在線數據庫備份： 現在大多數的數據庫都可以在應用進行數據訪問時進行數據備份。數據庫增量備份

①邏輯增量備份

②物理增量備份

30.計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼”。

31.可以采用網絡蠕蟲預警機制，采取有效措施阻止網絡蠕蟲的大規模探測、滲透和自我復制。要借助于一切現有的軟、硬件條件和技術才能在最大程度下對蠕蟲進行防治 32.防止特洛伊木馬的主要方法有：① 時刻打開殺毒軟件，并及時更新反病毒軟件。② 安裝特洛伊木馬刪除軟件。③ 建立個人防火墻。④ 不要執行來歷不明的軟件和程序。⑤ 經常升級系統。33.防范計算機病毒的基本方法

① 不輕易上一些不正規的網站，在瀏覽網頁的時候，很多人有獵奇心理，而一些病毒、木馬制造者正是利用人們的獵奇心理，引誘大家瀏覽他的網頁，甚至下載文件，殊不知這樣很容易使機器染上病毒。

② 千萬提防電子郵件病毒的傳播，能發送包含ActiveX控件的HTML格式郵件可以在瀏覽郵件內容時被激活，所以在收到陌生可疑郵件時盡量不要打開，特別是對于帶有附件的電子郵件更要小心，很多病毒都是通過這種方式傳播的，甚至有的是從你的好友發送的郵件中傳到你機器上感染你的計算機。

③對于渠道不明的光盤、軟盤、U盤等便攜存儲器，使用之前應該查毒。對于從網絡上下載的文件同樣如此。因此，計算機上應該裝有殺毒軟件，并且及時更新。

④經常關注一些網站、BBS發布的病毒報告，這樣可以在未感染病毒的時候做到預先防范。⑤ 對于重要文件、數據做到定期備份。

⑥ 不能因為擔心病毒而不敢使用網絡，那樣網絡就失去了意義。只要思想上高度重視，時刻具有防范意識，就不容易受到病毒侵擾。1.P2DR模型

? 策略（Policy）

它是模型的核心, 負責制定一系列的控制策略、通信策略和整體安全策略一個策略體系的建立包括安全策略的制定、評估和執行等。

? 防護（Protection）

通過采用一些傳統的靜態安全技術和方法來實現，主要有防火墻、加密、認證等。通過防火墻監視、限制進出網絡的數據包, 防范外對內以及內對外的非法訪問, 提高網絡的防護能力。

? 檢測（Detection）

采取了各種安全防護措施并不意味著網絡系統的安全性就得到了完全的保障, 網絡的狀況是動態變化的, 而各種軟件系統的漏洞層出不窮, 都需要采取有效的手段對網絡的運行進行監測。這是模型一個非常重要的環節, 是整個模型動態性的體現。能夠保證模型隨著事件的遞增, 防御能力也隨著提升。

? 響應（Response）

它在安全系統中占有最重要的地位, 是解決安全潛在性的最有效的方法。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應, 從而把系統調整到安全狀態。