第12章:信息安全和多媒体基础
一、网络安全基本概念
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。广义地说,凡是涉及网络上信息的保密性完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究
的领域。
网络安全涉及的主要内容包括运行系统的安全、信息系统的安全、信息传播的安全和信息内容的安全。信息系统对安全的基本需求有保密性、完整性可用性、可控性和可核查性。
信息系统安全属性:
1、保密性:确保信息不暴露给未授权的实体或进程。
2、完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
3、可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
4、可控性:可以控制授权范围内的信息流向及行为方式。
5、可审查性:对出现的信息安全问题提供调查的依据和手段。
二、网络安全威胁
(1)物理威胁:指计算机硬件和存储介质受到的偷窃、废物搜寻及线路劫取活动的威胁。
(2)网络攻击:计算机网络的使用对数据造成了新的安全威胁,攻击者可通过网络利用电子窃听、入侵拨号入网、冒名顶替等方式进行入侵攻击、偷窃和篡改。
(3)身份鉴别:由于身份鉴别通常是用设置口令的手段实现的,入侵者可通过口令圈套、密码破译等方式扰乱身份鉴别。
(4)编程威胁:指通过病毒进行攻击的一种方法。
(5)系统漏洞:也称代码漏洞,是操作系统设计者有意设置的,目的是为了使用户在失去对系统的访问权时仍有机会进入系统。入侵者可使用扫描器发现系统漏洞,从而进行攻击。
| 威胁名称 | 描述 |
|---|---|
| 重放攻击(ARP) | 所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。 |
| 拒绝服务(DOS) | 对信息或其它资源的合法访问被无条件地阻止。 |
| 窃听 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 例如对通信线路中传输的信号进行搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 |
| 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 |
| 信息泄露 | 信息被泄露或透露给某个非授权的实体。 |
| 破坏信息的完整性 | 数据被非授权地进行增删、修改或破坏而受到损失。 |
| 非授权访问 | 某一资源被某个非授权的人、或以非授权的方式使用 |
| 假冒 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击 |
| 旁路控制 | 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”。利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 |
| 授权侵犯 | 授权侵犯被授权以某一目的使用某一系统或资源的某个人,却将此枚限用于其它非授权的目的,也称作“内部攻击”。 |
| 特洛伊木马 | 软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。 |
| 陷阱门 | 在某个系统或某个部件中设置了“机关”,使得当提供特定的输入数据时允许违反安全策略。 |
| 抵赖 | 这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 |
三、网络攻击
黑客(Hacker)常用的攻击手段主要有口令入侵、放置特洛伊木马、DoS攻击、端口扫描、网络监听、欺骗攻击、电子邮件攻击等。
1、口令入侵
是指黑客使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户的口令的破译。
2、放置特洛伊木马
在计算机领域里,有一类特殊的程序,黑客可以通过它来远程控制别人的计算机,这类程序称为特洛伊木马程序。特洛伊木马程序一般分为服务器端(Server)和客户端(Client).
3、DoS攻击
DoS即拒绝服务,其攻击目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
4、端口扫描
端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而获知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有TCPconnect()扫描、TCPSYN扫描、TCPFIN扫描、IP段扫描和FTP返回攻击等 。
5、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。
Sniffer是一款著名的监听工具,可以监听到网上传输的所有信息。Sniffer可以是硬件也可以是软件,主要用来接收在网络上传输的信息。
6、欺骗攻击
欺骗攻击是指攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。常见的欺骗攻击有Web欺骗、ARP欺骗、IP 欺骗。
7、电子邮件攻击
电子邮件攻击主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的垃圾邮件。由于邮件信箱容量是有限的,当庞大的垃圾邮件到达信箱时,就会把信箱挤爆。
四、防火墙技术
防火墙可分为以下几类:
1、**包过滤型防火墙。**包过滤型防火墙工作在网络层,对数据包的源及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。
2、应用代理网关防火墙。应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙将结果转发给内网用户。
3、状态检测技术防火墙。状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
典型防火墙的体系结构
一个防火墙系统通常是由过滤路由器和代理服务器组成。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等。
五、加密与数字签名
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被加密的内容。需要隐藏的信息称为明文,产生的结果称为密文,加密时使用的变换规则称为密码算法。
信息安全的核心是密码技术。根据密码算法所使用的加密密钥和解密密钥是否相同,可将密码体制分为对称密钥密码体制、非对称密钥密码体制。
1、对称密钥密码体制
对称密钥密码体制中,发送和接收数据的双方必须使用相同的或对称的密钥对明文进行加密和解密运算。常用的对称加密算法有DES、IDEA、TDEA、AES、RC2、RC4、RC5等。
常见对称密钥加密算法:
DES:替换+移位、56位密钥、64位数据块、速度快、密钥易产生
3DES(三重DES):两个56位的密钥K1、K2
加密:K1加密->K2解密->K1加密
解密:K1解密->K2加密->K1解密
AES::高级加密标准Rijndae加密法,是美国联邦政府采用的一种区块加密标准。
RC-5:RSA数据安全公司的很多产品都使用了RC-5。
IDEA算法:128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低。
2、非对称密钥密码体制
非对称密钥密码体制也叫公开密钥密码体制。该体制中,每个用户都有一对密钥:公开密钥(简称公钥)和私有密钥(简称私钥)。公钥对外公开,私钥由个人秘密保存。用其中一把密钥来加密,另一把密钥来解密。由于私钥带有个人特征,因此可以解决数据的签名验证问题。
常见非对称密钥加密算法:
RSA:512位(或1024位)密钥、计算量极大、难破解。
Elgamal:其基础是Diffie-Hellman密钥交换算法。
ECC:椭圆曲线算法。
其它非对称算法包括:背包算法、、Rabin、D-H
数字签名是用于确认发送者身份和消息完整性的一个加密的消息摘要。
数字签名应满足以下3点:
1、接收者能够核实发送者。
2、发送者事后不能抵赖对报文的签名。
3、接收者不能伪造对报文的签色额冲
数字签名可以利用对称密码体制(如DES)、公钥密码体制或公证体制来实现。最常用的实现方法建立在公钥密码体制和单向散列函数算法(如MD5、SHA)的组合基础上。
六、各个网络层次的安全保障
七、音频相关概念
八、图像相关概念
九、多媒体的种类
感觉媒体:指人们接触信息的感觉形式。如:视觉、听觉、触觉、嗅觉和味觉等。
表示媒体:指信息的表示形式。如:文字、图形、图像、动画、音频和视频等。
显示媒体(表现媒体):表现和获取信息的物理设备。如:输入显示媒体键盘、鼠标和麦克风等;输出显示媒体显示器、打印机和音箱等。
存储媒体:存储数据的物理设备,如磁盘、光盘和内存等。
传输媒体:传输数据的物理载体,如电缆、光缆和交换设备等。
十、多媒体的计算问题
- 图像容量计算
| 条件 | 示例 |
|---|---|
| 知道像素,位数 | 每个像素为16位,图像为640×480像素,求容量:640×480x16:8=614,400B |
| 知道像素,色数 | 640×480像素,256色的图像,求容量:640×480×log2(256):8=307,200B |
- 音频容量计算
容量=采样频率(Hz)×量化/采样位数(位)×声道数:8 - 视频容量计算
容量=每帧图像容量(Byte)×每秒帧数×时间+音频容量x时间
1、图像容量计算实例:
某数码相机内置128MB的存储空间,拍摄分辨率设定为1600x1200像素,颜色深度为24位,若不采用压缩存储技术,使用内部存储器最多可以存储张照片。
A.12 B.22 C.13 D.23D
2、音频容量计算实例:
CD.上声音的采样频率为44.1kHz,样本精度为16bit,双声道立体声,那么其未经压缩的数据传输率为
A.88.2kb/s B .705.6kb/s
C.1411.2kb/s D .1536.0kb/sC
3、视频容量计算实例:
若视频图像每帧的数据量为6.4MB,帧速率为30帧/秒,则显示10秒的视频信息其原始数据量为MB.
A.64 B.192 C.640 D.1920D
第13章:法律法规与标准化知识
一、知识产权
知识产权又称为智慧财产权,是指人们通过自己的智力活动创造的成果和经营管理活动中的经验、知识而依法所享有的权利。传统的知识产权可分为“工业产权”和“著作权"
知识产权包括以下内容:
1、关于文学、艺术和科学作品的权利。
2、关于表演艺术家的表演以及唱片和广播节目的权利。
3、关于人类一切活动领域的发明的权利。
4、关于科学发现的权利。
5、关于工业品外观设计的权利。
6、关于商标、服务标记以及商业名称和标志的权利。
7、关于制止不正当竞争的权利。
8、在工业、科学、文学艺术领域内由于智力创造活动而产生的一切其他权利。
从所涉及的法律法规角度:
I、著作权法
2、计算机软件保护条例
3、商标法
4、专利法
从试题考点分布的角度:
1、保护期限
2、知识产权人确定
3、侵权判断
二、保护期限
三、知识产权人确定
四、侵权判定
中国公民、法人或者其他组织的作品,不论是否发表,都享有著作权。开发软件所用的思想、处理过程、操作方法或者数学概念不受保护。
著作权法不适用于下列情形:
1、法律、法规,国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件,及其官方正式译文;
2、时事新闻。
3、历法、通用数表、通用表格和公式。
五、标准的分类与标准的编号
分类
国际标准:ISO、IEC等国际标准化组织
国家标准:GB一中国、ANSI一美国、BS一英国、JIS一日本
区域标准:又称为地区标准,如PASC一太平洋地区标准会议、CEN一欧洲标准委员会、ASAC一亚洲标准咨询委员会、ARSO一非洲地区标准化组织
行业标准:GJB一中国军用标准、MIT-S一美国军用标准、IEEE一美国电气
电子工程师协会
地方标准:国家的地方一级行政机构制订的标准
企业标准
项目规范
编号
国际、国外标准代号:标准代号+专业类号+顺序号+年代号
我国国家标准代号:强制性标准代号为GB、推荐性标准代号为GB/T,指导性标准代号为GB/Z、实物标准代号GSB
行业标准代号:由汉语拼音大写字母组成(如电子行业为SJ)
地方标准代号:由DB加上省级行政区划代码的前两位
企业标准代号:由Q加上企业代号组成
软考篇大完结[撒花]