網絡安全題庫1000題（網絡安全題庫1000題答案）

今天給各位分享網絡安全題庫1000題的知識，其中也會對網絡安全題庫1000題答案進行解釋，如果能碰巧解決你現在面臨的問題，別忘了關注本站，現在開始吧！

本文目錄一覽：

• 1、北京工業大學網絡空間安全考研經驗分享？
• 2、2.分別舉兩個例子說明網絡安全與政治、經濟、社會穩定和軍事的聯系。
• 3、校園網結構與安全問題
• 4、計算機網絡安全的一個問題 關于加密解密的

北京工業大學網絡空間安全考研經驗分享？

個人情況介紹

本人一戰上岸北工大網安，政治85、英語89、數學121、專業課118，成功上岸，下面我就分享一下我的心路歷程和備考過程~

一、寫在前面

每個人考研都屬于自己的那份理由，或者提升學歷，或者想見識更優秀的人和物，亦或者人云亦云?；叵氘敵跷铱佳械臅r候，也是一腔熱血，想要讓自己變得更加優秀，我認為我可能還不止于此。

很幸運，我第一次就考研上岸，我選擇了對的方向，上了我夢想的學校和專業?？佳锌梢哉f是千軍萬馬過獨木橋，回顧我人生的最重要的兩次考試而言，我認為考研給我帶來的壓力比高考更大。我記得我之前看過一個視頻里面說到，高考，是全世界都為你加油，只要你說你是你今年的高考生，所有人都會為你讓路，不論是父母無微不至的關懷，還是老師的諄諄教誨都會給你帶來動力。

但考研不一樣，考研是你一個人的事情，沒人為你喝彩，沒人對你關懷，你需要自己去安排自己每天的學習，合理利用你手上的學習資料，人脈資源，學長學姐的經驗。

你已經是一個成年人了，你需要為你自己的選擇承受相應的責任，不僅考研，以后人生更是，考研，我覺得最大的收獲可能是整個考研的過程，你遇到問題，如何利用你手上所有的資源去解決你遇到的問題，如何頂住壓力，繼續前行，這將是你一生的財富。

二、初試經驗

數學

第一個階段三月到六月打基礎、第二級階段七月到九月暑期強化、第三個階段10月以后沖刺。數學我是從3月份就開始準備的，我當時就找到了學長，在他的建議下先看的張宇的基礎強化視頻，看完以后大概就到六月份了，期間也在看復習全書，視頻、全書一起看。

然后進入暑假，開始看湯家鳳的視頻（基礎強化沖刺）你看完湯神的會發現張宇的比較基礎，所以湯老師的視頻一定好好看，好好消化。然后看完高數，開始看概率論，概率論是王式安的視頻，然后結合全書部分概率論看。最后看的李永樂的線性代數，一定好好看，好好消化講義，他講的知識點都是考試的點。

你看到題就會想到湯老師、想到王式安、想到李永樂。講義至少要看5遍以上，看爛了，消化了再去做全書。先看視頻再看全書吧，直接看書看不懂，效率很低。我現在講的是10月份之前，大家合理安排時間，10月份以后就是每天一套真題。張宇和湯家鳳的視頻都要看，先看張宇的。張宇湯家鳳相互補充，如果有時間都要看的。數學1000和660是必須要做的。

到10月份的時候開始做真題，我從89年的真題開始做的，做了28年的真題，線性代數就做《李永樂線性代數輔導講義》。補充：數學強烈推薦湯家鳳，方法超級好，滿滿的都是套路，一定要好好看視頻看完視頻看全書。先看高數，高數最難，分最多，每天一定學數學！另外，要做好錯題本，平時多翻看。

政治

考研政治不建議開始的太早，實在想早一點就提前看馬原這些需要理解的內容，一般是在10月份左右開始跟徐濤的強化班即可，后期沖刺可以搭配腿姐的技巧，時政不要專門入書，后期刷時政題即可。

有的同學從暑假就開始準備政治了，我學習政治用的是大綱解析，身邊也有同學推薦精講精練，這就像全書一樣，選定一本認真看就是了。

我是看完一章大綱解析，做對應的1000題，答案別直接寫上去，畢竟是要做個兩三遍的，建議寫在一個小本子上，把做錯的題帶回大綱解析里找到答案，用筆標出，第一次做題可能錯的比較多，所以做完一章下來等于把大綱解析又過了一遍。

我的進度算是比較慢的，在八套卷下來之前，大綱解析和1000題都過了兩遍。八套卷的正確使用方法是，認真做選擇題，錯題帶回大綱解析看，主觀題不用去背，只需看第一道馬原的題，主要看看答案是怎么分析的。

肖秀榮四套卷的主觀題，是一定一定要全背下來的。從每年的成績來看，要想拉開分，選擇題相對重要些。 風中勁草核心考點這本書幾乎是人手一本吧，里面羅列了所有考點，是簡化版的大綱解析，適合后期快速復習。但就我個人而言，我還是比較喜歡看大綱解析，畢竟里面解釋的詳細，而不是一條一條的簡單羅列，所以風中勁草這本書我并沒有怎么用。

其實在整個復習過程中，準備英語和政治都算比較輕松的。如果你們對政治無感，可以試著先去喜歡上它，政治真的挺有趣的，馬原里的一套方法論對我們平時處理問題能起到指導作用，學習近代史，要自己在腦子里形成一條時間線，把中國近代的大事件串起來?？佳袘鹁€還是挺長的，不要每天都想著再過多久自己就解放了，只會讓自己變得浮躁，不如習慣當下，安心想想怎么把今天過充實了。

還有一點，政治答題是一個主觀性比較強的科目，大題盡量字跡工整，再者一定要注意選擇題的得分情況，尤其是多選題。政治是一門回報率比較高的科目，花少量的時間就能拿大部分分數，在考研后期開始學習即可。

教材和押題建議還是選擇肖秀榮吧，看視頻的話徐濤講得的確不錯。政治不需要花太多心思是對的，尤其是對理工科同學而言。因為考下來大家的分數都不會有太大差距，學得好的頂多也就能比學得差的多考十幾、二十分吧，跟數學一比簡直弱爆了，花那么多時間的確不值當。

但也不能太過于輕視了，肖秀榮的1000題、肖四、肖八，該做的做，該背的背，一樣都不能少，還有就是多了解時政。再提醒一點，不要把最后一段的黃金復習時間全都留給政治了，因為在最后一段沖刺期中，我們需要兼顧所有的考研科目，而不僅僅是政治這一門，數學和專業課照樣不能落下。

英語

針對英語復習，最重要的還是單詞，如果想在短時間內提高自己的英語成績，只有擴大自己的詞匯量。背單詞的時候建議拿著筆和紙，將那些你不能看一眼就知道單詞意思的單詞用筆記下來，默讀幾遍，就過下一個，這個過程不是要求你記下每一個，只是混個臉熟即可。

長此以往，你會發現你記得單詞會越來越多。在做英語歷年真題的時候，推薦英語1/2都入來做一下，在做的過程中同樣模擬真實測試。因為英語題量也很大，沒有合理的安排時間的話也是很容易出現做不完的情況，我在做的時候是先寫作文，然后翻譯，再做閱讀理解，最后完形填空。

推薦按照這個順序，因為在我測試了很多做題順序后發現這個順序是最節省時間的。積累一些新穎的連詞和比較高級的搭配，會讓你的英語作文如虎添翼，最重要的是不要出現語法錯誤。當你背的英語范文夠多的時候語感自然就出來了。英語在復試的時候也會用得到，所以平時可以穿插口語練習，在復試的時候也可以加分。

做題順序可以先寫大小作文，不過大小作文是放在最后復習的，可用《考研英語二寫作》，作文背誦+自己總結好的句子很重要；再是閱讀理解部分，閱讀理解部分看的是唐叔的學習閱讀的視頻，很精彩；

新題型看徐老師的；翻譯很難，跟唐靜和宋逸軒，新題型完形閱讀班可以找到資源來看看，對于完形填空我感覺沒有復習的必要，分值小，作文和閱讀占比例大，你懂的，時間不允許的時候要有復習輕重緩急！最重要的還是英語單詞，單詞的復習背誦一直都要進行著，不能偷懶，你不記得單詞，單詞更不可能記住你，另外一詞多義了解一下?再多積累好的句子用在作文上面和閱讀理解上面，時常積累，英語不會差的。

我仔細說說考研英語的復習方法。首先，我們必須要有一定得詞匯量，死背單詞是不行的，但是如果同學的詞匯量爛到一定程度，還是需要背一背單詞的，我建議大家用單詞書，把單詞書上每一個不熟悉的單詞寫在A4紙上收藏，這樣你就能建立一個詞匯庫。

坐車或者等人時，你就能拿出你的單詞來背，去除漢字部分，直接那些單詞，方便快捷，效率非常高。（我年初背過一點點雅思單詞，就這么做的，非常有效）。一個上班的功夫，車上能背掉50個單詞左右，背單詞就應該是快速多遍，很少有人可以過目不忘。

其次，就是通過做真題閱讀理解，提高自己的能力。你可以直接把真題的閱讀連做兩篇，看看正確率。然后自己找出真題里所有不認識的單詞，用彩筆做上記號，同樣收藏到自己的單詞庫中去。做完這個事情后，就是對兩篇文章的理解問題，在做閱讀時，最關鍵的訣竅就是一定要有分析句子結構的能力，最起碼，你應該有能力快速找到句子的主謂賓，這樣你有可能搞懂每句話的基本意思，尤其是長難句。

對于每一段的中心意思，應該在閱讀的時候在關鍵句下劃線，或者圈出關鍵詞。這些都有助于你最后對文章的整體把握。最后一步就是要分析每一道題，搞清題意。

作文：最后兩個月的時候開始背范文，默寫，自己也要嘗試的寫寫，建議前期做閱讀的時候整理寫作的素材。小作文進行分類整理，熟悉每種類型的寫作套路。

專業課經驗

北京工業大學的計科專業課就是408統考，這個在考計算機研究生里出名的難。在17年十月的時候我先看了C語言和一些基礎算法，工程類方面還是要打好基礎，同時也在網上練習了一些編程題。

在十一月的時候開始看數據結構和網絡，個人感覺網絡是很簡單的大多都是記憶性知識點，數據結構推薦浙江大學陳越老師和何老師講的課程。開始的時候多看看專業課課程，有個大概的理解，同時也多練練工程能力，編程方面的。

大概到三月份開始看課程，講解的比較基礎適合跨專業的，但是刷完一遍還是得看網課，這兩套我都看過，刷一刷練習題，個人比較推薦網課，暑假的時候看第二遍專業課書，做網課布置的課后題，記錄錯題。

八月底就開始做真題了，408題目還是比較難的，比較綜合，有時候會考超出四科的知識點。一共十套真題，兩天做一張，選擇題標記錯題和知識點，大題難度比較大，比較綜合，建議多結合課本練。專業課的真題也做了三遍，在第三遍主要看錯題，同時也在做王道八套卷的模擬，每套卷子都記錄了分數、錯題。

專業課是一個體系化的學習過程，礙于篇幅有限，本文主要分享一些重點經驗供大家參考：

A、建議的復習順序是數據結構→組成原理→操作系統→計算機網絡，如果專業課復習開始較晚，可以兩科一起交替復習。

B、建議讀完書本內容后，配套練習書本對應章節的題目，并進行筆記的整理

C、真題不要太著急做，留在最后做效果更佳。

D、網課的材料更注重于題目的練習，基礎不好的同學建議還是要先以書本為主，急于求成往往效果不好，所以建議大家要預留充足的時間應對專業課

E、刷題時要注意關注做錯的題目，看了答案還不清楚的題目可以看看講解視頻，并且翻閱書本進行求證，多去思考自己思維上的差距在哪里，著重進行加強

F、專業課和數學的復習時間要進行平衡，暑期之前肯定是主力解決數學問題，暑期開始就要有針對性的調整到專業課上

G、二輪復習時，組成原理和操作系統是復習中心，這兩門整體難度較大，先啃硬骨頭

H、上述兩門知識點關聯性很淺，可以打包一組一起進行復習

I、二輪時主要關注往期錯題，同時可以加入真題進行訓練

J、三輪復習時注意進行完整題目的訓練，往年的真題該在此時派上用場

K、后期進行查漏補缺，多關注容易做錯和概念混淆的題目，勻出更多時間給政治的背誦

三、心路歷程

我覺得既然自己決定考研，就一定要好好準備，不要三天打漁兩天曬網，前期你偶爾這樣一次可能可以，但是中后期，如果你這樣，真的會很拉胯的，在備考途中，大家肯定會有大大小小的壓力，但是大家堅決不能放棄，可以選擇休息半天，放松放松自己，也可以向同學、老師、家長傾訴。

我從決定考研開始，我就卸載了所有打擾自己的。在校期間，我就一直在南公教512上自習，沒去過圖書館，這個自習室課比較少，而且自習室的人學習氛圍也都不錯。

當自己累的時候，我會去五樓轉一轉，看看其他人的學習狀態，給自己眼睛也放放松?？佳幸欢ú皇且患唵蔚氖虑?，但是只有自己能夠堅持，你一定能夠考上你理想的大學，備考途中，不要跟別人比進度，一切按照自己的時間點進行學習即可，加油，愿每一位星光趕路人都能抵達終點。

2.分別舉兩個例子說明網絡安全與政治、經濟、社會穩定和軍事的聯系。

學生、校長、食堂、寢室、班主任

員工、公司法人、流水線、工資、法人親戚

校園網結構與安全問題

在教學教育領域，資源共享、教學網絡化、辦公自動化無疑是大勢所趨，為了讓師生之間、教工之間達成互聯互通，很多中小學校、大學都需要急需建立校園網，然而在校園局域網建設方面，由于各學校的情況不同，應用方向也有差異，導致在建設方案上有一定的區別，但歸根結底，校園局域網的基本方案都相似，因此在部署校園局域網時，很多學校部署校園網方案時都會遇到類似的問題，為了校園內外"班班通"、"室室通"、"校校通"的目的，我們需要掌握校園的的施工、聯網、使用與調式等知識，并對不同方案的部署情況進行詳細思考，根據學校對信息點的安排和網絡應用的需求，制定合理的校園網總體建設規劃和實施方案，甚至需要解決一些部署后的實際問題，以滿足目前校園局域網的實際應用需求。

一、用什么"線"聯網？

在組建校園局域網時，很多用戶對交換機、路由器、網卡等設備加以重視，這不可否認是正確的，但有時他們卻忽視了一個不起眼的問題，那就是網線，在校園局域網中，一般布線系統有六個子系統組成：建筑群間子系統，設備間子系統，管理區子系統，垂直（主干）子系統，水平子系統，工作區子系統，不同的子系統，設備之間使用的網線也不同，這在很大程度上讓用戶感到迷茫。一般而言，局域網所使用的連線具有雙絞線、同軸電纜、光纜三種，在校園局域網中，需要根據實際情況，選擇對應的布線線纜比如對于校園內樓宇間的連接線纜，由于是暴露在室外，常年受到日曬雨林的影響和雷電的干擾，此時使用光纜作傳輸介質最為適宜。因為光纜具有高帶寬，傳輸距離遠，抗干擾能力強、安全性好、抗老化和高壽命等顯著特點，此外，就目前大多數校園網的應用情況而言，校園網上承載的傳輸信息中，多媒體信息的傳輸量將會越來越大，如多媒體教學，電子閱覽、視屏點播等應用，主干網傳輸介質必須具有承載千兆速率的能力，此時只有光纜才能滿足戶外主干網的布線需求。對于同軸電纜，由于貨源難覓，其成本已超過光纜，比較適合短距離的核心設備連接，比如交換機與路由器的連接線纜。

校園網為園區網，樓群間子系統采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地，如果選擇雙絞線，由于沒有屏蔽層，在室外很容易感應雷電而產生干擾，甚至損壞設備。雙絞線因受室外惡劣環景的影響，容易老化，壽命短。而且雙絞線不容許超過100米，它不適合作連接樓與樓之間的主干電纜。不過對于校園室內的布線介質，由于需要管理區子系統并入設備間子系統，集中管理，所以線纜的長度比較大，由于光纜價格昂貴，選擇雙絞線是比較實際的，而且目前的屏蔽雙絞銅線（STP）的抗干擾和傳輸距離比較好，不僅可支持一般的學校信息管理應用對網絡傳輸帶寬的要求，而且完全支持MPEG-2等格式的多媒體信息傳輸。 在校園網局域網中，常用的網絡協議有NetBEUI、IPX/SPX和TCP/IP三種，在實際組網時，到底選擇哪種網絡協議，需要根據校園網的實際規模、網絡應用需求、網絡平臺兼容性和網絡管理等情況而定。其中NetBEUI協議是為中小局域網設計，它是用Single-Partnames定義網絡節點，不支持多網段網絡（不可路由），但具有安裝非常簡單、不需要進行配置、占用內存少等特點，因而對于中小學校的局域網而言，由于機器性能比較低，往往只安裝了比老的Windows 95/98/NT系統，只是為了簡單的文件和設備共享，并且暫時沒有對外連接的需要，此時建議選擇NetBEUI協議進行組網。

對于大學校園局域網而言，由于存在多個網段或要通過路由器與外部相連，加之學校配備的電腦性能比較好，此時NetBEUI協議就無法滿足組網需求，建議選擇IPX/SPX或TCP/IP協議組網，其中IPX/SPX 協議在復雜環境下具有很強的適應性，具有強大的路由功能，適合于大型網絡使用，不過它局限于使用在NetWare網絡環境中，在Windows網絡環境中無法直接使用IPX/SPX通信協議。不過為了實現與NetWare平臺的互聯，Windows 系統提供了兩個IPX/SPX兼容協議：NWLink SPX/SPX和NWLink NetBIOS，前者只能作為客戶端的協議實現對NetWare服務器訪問，而后者可在NetWare平臺與Windows 平臺之間傳遞信息，也能夠作為Windows系統之間的通信協議。

盡管如此，大多數學生、教師依然習慣使用Windows平臺，此時校園網選擇TCP/IP協議是必然趨勢，無論在局域網、廣域網還是Internet，無論是Unix系統或Windows平臺，TCP/IP協議都可以實現校園網的組網需要，TCP/IP是一種可路由協議，它采用一種分級的命名規則，通過給每個網絡節點配置一個IP地址、一個子網掩碼、一個網關和一個主機名，使得它容易確定網絡和子網段之間的關系，獲得很好的網絡適應性、可管理性和較高的網絡帶寬使用效率。不過TCP/IP協議的配置和管理比NetBEUI 和IPX/SPX 更復雜，并且占用系統資源更多，所以對于機器性能不高或維護知識不夠的中小學校，TCP/IP協議在校園網中存在一定的使用門檻。很多中小學校、大學分校依然存在著多個局域網沒有互聯的情況，此時如果重新進行校園網布局，不僅增加了建設成本，而且對于維護也帶來一定麻煩。為此，學校應該使用適當的網絡設備，實現多個局域網的互聯，讓學生、教師、辦公人員可以進行資源共享、網絡互通的目的。比如某中學希望將校園網和教師樓LAN連接起來，而校園網和教師樓LAN之間距離為500米，此時可以使用廉價的10base5方法互聯，互聯時使用直徑10mm的50歐姆粗同軸電纜，每個網段允許有100個站點，每個網段最大允許距離為500m，可以由5個500m長的網段和4個中繼器組成，不過這種互聯方案存在一定的局限性，只適合校園內部的局域網互聯，因而無法滿足大學分校局域網互連的需要。

如果是大學校園網，由于有多個分校，希望將每個分校的局域網進行互聯，此時采用無線路由器或無線AP進行互聯，不過無線設備投入成本高，傳輸速率損失嚴重，而且安全性也沒有保障，此時建議采用更為廉價的VPN方案，它可以通過特殊的加密通訊協議，在連接在Internet上的位于不同地方的兩個或多個校園內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路，這就好比去電信局申請專線，但不用給鋪設線路的費用，也不用購買路由器等硬件設備，而且網絡之間的數據交換非常安全，只需選擇支持VPN功能的交換機，防火墻設備，就可以實現多校園網局域網之間的互聯。

在很多大學校園網中，學生寢室、教師宿舍都與主干網互聯，在上網高峰階段，一些用戶進行BT下載或玩網絡游戲，使得局域網資源大量占用，造成校園網出口帶寬嚴重不足，速度極慢，給正常的工作帶來了嚴重的影響，甚至會造成校園網癱瘓的尷尬局面，為此，校方可以通過在主服務器上安裝流量控制軟件，讓他們不要使用在線播放音視頻或在線游戲，如發現者，則封IP 斷網24小時，如果覺得占用系統資源，也可以使用具有網管功能的交換機，通過交換機內置的控制程序，對局域網內的所有機器進行流量權限限制使用。

在校園局域網中，遠程控制可能是最常見的教學應用，它可以提高工作效率，充分發揮校內電教設備的利用率，以及加強校園內電教設備的管理。比如校園廣播系統，可以播放出操、升旗音樂，上下課音樂鈴聲，課間背景音樂，進行德育教育和外語教學、自辦節目等，比如大型活動、臨時通知等，往往需要電教員跑到廣播室放音，而且由于放音人員離現聲較遠，很難看清現場的動態，有時會出現錯誤，帶來不必要損失。遠程控制就解決了問題，只須現場有一根網線就可以在現場控制遠在廣播室的電腦放音。如果現場沒有連接到廣播室的話筒線，還可以通過網絡上的語音軟件與廣播室的電腦進行對話，達到話筒的功能，聲音同樣能在廣播中聽到。

為了實現所有設備的遠程控制，要給每臺電腦都裝網卡，接入校園局域網。內部網絡布線到每個教室和辦公室，教師每人一臺筆記本電腦，局域網內部建議使用一臺遠程控制服務器，可以讓兼職的網管教師在自己的辦公室或者學校的其它電腦上完成各項管理工作。實際組網時，主控電腦連接校園廣播自動播放系統（一個由一臺電腦通過端口命令管理系統電源開關的單片機。），然后在服務器、廣播主控電腦、電視編輯機上裝好被控端軟件，添加一個用戶和密碼。安裝語音通話軟件（如MSN、局域網會議系統、企業QQ、NETMEETING等），在其它電腦上安裝主控端軟件，語音通話軟件。如果有通知或者講話，只要在此同時打開兩臺電腦的語音軟件就可以了。 在校園網局域網中，經常遇到一些使用和維護上的問題，比如網卡在重啟時正常檢測，但不能同其他機器互聯。這主要是由于子網掩碼或IP地址配置錯誤、網線不通、網絡協議不對、路由不對等幾種情況。解決方法是首先ping本網卡的回送地址（127.0.0.1），若通，則說明本機TCP/IP工作正常；若不通，則需重新配置并重新啟動電腦。有些網卡缺省設置其速率為100M，也會導致網絡不通，需要根據所連交換機的速率，將其速率設置為10M、100M或設成自適應網線速率。

校園網網絡安全解決方案

校園網網絡是一個分層次的拓撲結構，因此網絡的安全防護也需采用分層次的拓撲防護措施。即一個完整的校園網網絡信息安全解決方案應該覆蓋網絡的各個層次，并且與安全管理相結合。

一、網絡信息安全系統設計原則

1.1滿足Internet分級管理需求

1.2需求、風險、代價平衡的原ze

1.3綜合性、整體性原則

1.4可用性原則

1.5分步實施原則

目前，對于新建網絡及已投入運行的網絡，必須盡快解決網絡的安全保密問題，設計時應遵循如下思想：

(1)大幅度地提高系統的安全性和保密性；

(2)保持網絡原有的性能特點，即對網絡的協議和傳輸具有很好的透明性；

(3)易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

(4)盡量不影響原網絡拓撲結構，便于系統及系統功能的擴展；

(5)安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；

(6)安全與密碼產品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監督。

基于上述思想，網絡信息安全系統應遵循如下設計原則：

滿足因特網的分級管理需求根據Internet網絡規模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。

--第一級：中心級網絡，主要實現內外網隔離；內外網用戶的訪問控制；內部網的監控；內部網傳輸數據的備份與稽查。

--第二級：部門級，主要實現內部網與外部網用戶的訪問控制；同級部門間的訪問控制；部門網內部的安全審計。

-第三級：終端/個人用戶級，實現部門網內部主機的訪問控制；數據庫及終端信息資源的安全保護。

需求、風險、代價平衡的原則對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

綜合性、整體性原則應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。 可用性原則安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 分步實施原則：分級管理分步實施由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

二、網絡信息安全系統設計步驟

網絡安全需求分析

確立合理的目標基線和安全策略

明確準備付出的代價

制定可行的技術方案

工程實施方案(產品的選購與定制)

制定配套的法規、條例和管理辦法

本方案主要從網絡安全需求上進行分析，并基于網絡層次結構，提出不同層次與安全強度的校園網網絡信息安全解決方案。

三、網絡安全需求

確切了解校園網網絡信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講，校園網網絡信息系統需要解決如下安全問題：

局域網LAN內部的安全問題，包括網段的劃分以及VLAN的實現

在連接Internet時，如何在網絡層實現安全

應用系統如何保證安全性l如何防止黑客對網絡、主機、服務器等的入侵

如何實現廣域網信息傳輸的安全保密性

加密系統如何布置，包括建立證書管理中心、應用系統集成加密等

如何實現遠程訪問的安全性

如何評價網絡系統的整體安全性

基于這些安全問題的提出，網絡信息系統一般應包括如下安全機制：訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網絡內部信息(如NAT)等。

四、網絡安全層次及安全措施

4.1鏈路安全

4.2網絡安全

4.3信息安全網絡的安全層次分為:鏈路安全、網絡安全、信息安全網絡的安全層次及在相應層次上采取的安全措施見下表。

信息安全信息傳輸安全(動態安全)數據加密數據完整性鑒別安全管理信息存儲安全(靜態安全)數據庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權(CA)

網絡安全訪問控制(防火墻)網絡安全檢測入侵檢測(監控) IPSEC(IP安全)審計分析鏈路安全鏈路加密

4.1鏈路安全 鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數據一起加密，用戶數據通過通信線路送到另一節點后立即解密。加密后的數據不能進行路由交換。因此，在加密后的數據不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。

一般，線路加密產品主要用于電話網、DDN、專線、衛星點對點通信環境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網，同步線路密碼機則可用于許多專線環境。

4.2網絡安全 網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的，所以我們考慮校園網信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環境中獨立出來，成為可管理、可控制的安全的內部網絡。也只有做到這一點，實現信息網絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現內部網(信任網絡)與外部不可信任網絡(如因特網)之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。

目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包過濾防火墻通?；贗P數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協議都需提供相應的代理程序，并且基于代理的防火墻常常會使網絡性能明顯下降。應指出的是，在網絡安全問題日益突出的今天，防火墻技術發展迅速，目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。

信息系統是動態發展變化的，確定的安全策略與選擇合適的防火墻產品只是一個良好的開端，但它只能解決60%-80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等，這些都是對信息系統安全的挑戰。

信息系統的安全應該是一個動態的發展過程，應該是一種檢測——監視——安全響應的循環過程。動態發展是系統安全的規律。網絡安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。

網絡安全檢測是對網絡進行風險評估的重要措施，通過使用網絡安全性分析系統，可以及時發現網絡系統中最薄弱的環節，檢查報告系統存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達到增強網絡安全性的目的。

入侵檢測系統是實時網絡違規自動識別和響應系統。它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方，通過實時截獲網絡數據流，能夠識別、記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時，入侵檢測系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執行用戶自定義的安全策略等。

另外，使用IP信道加密技術(IPSEC)也可以在兩個網絡結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數據完整性機制。利用IP封裝凈載(IP ESP)可以實現通信內容的保密。IP信道加密技術的優點是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現虛擬專網即VPN。目前基于IPSEC的安全產品主要有網絡加密機，另外，有些防火墻也提供相同功能。

五、校園網網絡安全解決方案

5.1基本防護體系(包過濾防火墻+NAT+計費)

用戶需求：全部或部分滿足以下各項·解決內外網絡邊界安全，防止外部攻擊，保護內部網絡·解決內部網安全問題，隔離內部不同網段，建立VLAN ·根據IP地址、協議類型、端口進行過濾·內外網絡采用兩套IP地址，需要網絡地址轉換NAT功能·支持安全服務器網絡SSN ·通過IP地址與MAC地址對應防止IP欺騙·基于IP地址計費·基于IP地址的流量統計與限制·基于IP地址的黑白名單。

·防火墻運行在安全操作系統之上·防火墻為獨立硬件·防火墻無IP地址解決方案：采用網絡衛士防火墻PL FW1000

5.2標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)

用戶需求：在基本防護體系配置的基礎之上，全部或部分滿足以下各項·提供應用代理服務，隔離內外網絡·用戶身份鑒別·權限控制·基于用戶計費·基于用戶的流量統計與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護能力，防范對防火墻的常見攻擊

解決方案：

(1)選用網絡衛士防火墻PL FW2000 (2)防火墻基本配置+網絡加密機(IP協議加密機)

5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網絡安全檢測+監控) 用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項·網絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備) ·操作系統安全性檢測·網絡監控與入侵檢測

解決方案：選用網絡衛士防火墻PL FW2000+網絡安全分析系統+網絡監控器

計算機網絡安全的一個問題 關于加密解密的

NTFS是WinNT以上版本支持的一種提供安全性、可靠性的高級文件系統。在Windows2000和WindowsXP中，NTFS還可以提供諸如文件和文件夾權限、加密、磁盤配額和壓縮這樣的高級功能。

一、加密文件或文件夾

步驟一：打開Windows資源管理器。

步驟二：右鍵單擊要加密的文件或文件夾，然后單擊“屬性”。

步驟三：在“常規”選項卡上，單擊“高級”。選中“加密內容以便保護數據”復選框

在加密過程中還要注意以下五點：

1.要打開“Windows 資源管理器”，請單擊“開始→程序→附件”，然后單擊“Windows 資源管理器”。

2.只可以加密NTFS分區卷上的文件和文件夾，FAT分區卷上的文件和文件夾無效。

3.被壓縮的文件或文件夾也可以加密。如果要加密一個壓縮文件或文件夾，則該文件或文件夾將會被解壓。

4.無法加密標記為“系統”屬性的文件，并且位于systemroot目錄結構中的文件也無法加密。

5.在加密文件夾時，系統將詢問是否要同時加密它的子文件夾。如果選擇是，那它的子文件夾也會被加密，以后所有添加進文件夾中的文件和子文件夾都將在添加時自動加密。

二、解密文件或文件夾

步驟一：打開Windows資源管理器。

步驟二：右鍵單擊加密文件或文件夾，然后單擊“屬性”。

步驟三：在“常規”選項卡上，單擊“高級”。

步驟四：清除“加密內容以便保護數據”復選框。

同樣，我們在使用解密過程中要注意以下問題：

1.要打開“Windows資源管理器”，請單擊“開始→程序→附件”，然后單擊“Windows資源管理器”。

2.在對文件夾解密時，系統將詢問是否要同時將文件夾內的所有文件和子文件夾解密。如果選擇僅解密文件夾，則在要解密文件夾中的加密文件和子文件夾仍保持加密。但是，在已解密文件夾內創立的新文件和文件夾將不會被自動加密。

以上就是使用文件加、解密的方法！而在使用過程中我們也許會遇到以下一些問題，在此作以下說明：

1.高級按鈕不能用

原因：加密文件系統(EFS)只能處理NTFS文件系統卷上的文件和文件夾。如果試圖加密的文件或文件夾在FAT或FAT32卷上，則高級按鈕不會出現在該文件或文件夾的屬性中。

解決方案：

將卷轉換成帶轉換實用程序的NTFS卷。

打開命令提示符。鍵入：

Convert [drive]/fs:ntfs

(drive 是目標驅動器的驅動器號)

2.當打開加密文件時，顯示“拒絕訪問”消息

原因：加密文件系統(EFS)使用公鑰證書對文件加密，與該證書相關的私鑰在本計算機上不可用。

解決方案：

查找合適的證書的私鑰，并使用證書管理單元將私鑰導入計算機并在本機上使用。

3.用戶基于NTFS對文件加密，重裝系統后加密文件無法被訪問的問題的解決方案(注意：重裝Win2000/XP前一定要備份加密用戶的證書)：

步驟一：以加密用戶登錄計算機。

步驟二：單擊“開始→運行”，鍵入“mmc”，然后單擊“確定”。

步驟三：在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。

步驟四：在“單獨管理單元”下，單擊“證書”，然后單擊“添加”。

步驟五：單擊“我的用戶賬戶”，然后單擊“完成”(如圖2，如果你加密用戶不是管理員就不會出現這個窗口，直接到下一步) 。

步驟六：單擊“關閉”，然后單擊“確定”。

步驟七：雙擊“證書——當前用戶”，雙擊“個人”，然后雙擊“證書”。

步驟八：單擊“預期目的”欄中顯示“加密文件”字樣的證書。

步驟九：右鍵單擊該證書，指向“所有任務”，然后單擊“導出”。

步驟十：按照證書導出向導的指示將證書及相關的私鑰以PFX文件格式導出(注意：推薦使用“導出私鑰”方式導出，這樣可以保證證書受密碼保護，以防別人盜用。另外，證書只能保存到你有讀寫權限的目錄下)。

4.保存好證書

注意將PFX文件保存好。以后重裝系統之后無論在哪個用戶下只要雙擊這個證書文件，導入這個私人證書就可以訪問NTFS系統下由該證書的原用戶加密的文件夾(注意：使用備份恢復功能備份的NTFS分區上的加密文件夾是不能恢復到非NTFS分區的)。

最后要提一下，這個證書還可以實現下述用途：

(1)給予不同用戶訪問加密文件夾的權限

將我的證書按“導出私鑰”方式導出，將該證書發給需要訪問這個文件夾的本機其他用戶。然后由他登錄，導入該證書，實現對這個文件夾的訪問。

(2)在其也WinXP機器上對用“備份恢復”程序備份的以前的加密文件夾的恢復訪問權限

將加密文件夾用“備份恢復”程序備份，然后把生成的Backup.bkf連同這個證書拷貝到另外一臺WinXP機器上，用“備份恢復”程序將它恢復出來(注意：只能恢復到NTFS分區)。然后導入證書，即可訪問恢復出來的文件了。

WindowsXP中的文件加密功能及其使用

作者：lvvl 來源：賽迪網安全社區

Windows XP文件加密功能強大并且簡單易用，因而許多用戶都使用它來保護自己的重要文件。但由于大部分用戶對該功能了解不足，在使用過程中經常出現問題，在本刊“電腦醫院”中我們也頻繁地收到讀者的求助信，為此，CHIP在這里將特意為您詳細介紹有關該功能的使用技巧。

微軟在Windows2000中內建了文件加密功能，該功能后來被移植到WinXP中。使用該功能，我們只需簡單地單擊幾下鼠標就可以將指定的文件或者文件夾進行加密，而且在加密后我們依然可以和沒加密前一樣方便地訪問和使用它們，非常方便。而且加密后即使黑客侵入系統，完全掌握了文件的存取權，依然無法讀取這些文件與文件夾。

但簡單強大的文件加密功能也給許多用戶帶來了困擾。由于使用簡單，許多用戶都樂于使用它來保護自己的重要文件，但大部分用戶由于缺乏對該功能的真正了解，在使用時泄密、無法解密等問題頻繁發生，恰恰被加密的文件往往是重要的文件，影響非常大。為此，筆者特意整理了有關該功能的一些相關知識和使用技巧與您分享。

加密和解密文件與文件夾

Windows2000系列和WinXP專業版及Windows2003的用戶都可使用內建的文件加密功能，但前提是準備加密的文件與文件夾所在的磁盤必須采用NTFS文件系統。同時要注意，由于加密解密功能在啟動時還不能夠起作用，因此系統文件或在系統目錄中的文件是不能被加密的，如果操作系統安裝目錄中的文件被加密了，系統就無法啟動。另外，NTFS文件系統還提供一種壓縮后用戶可以和沒壓縮前一樣方便訪問文件與文件夾的文件壓縮功能，但該功能不能與文件加密功能同時使用，使用ZIP、RAR等其他壓縮軟件壓縮的文件不在此限。

加密時，只需使用鼠標右鍵單擊要加密的文件或者文件夾，然后選擇“屬性”，在“屬性”對話框的“常規”選項卡上單擊“高級”按鈕，在“高級屬性”對話框上選中“加密內容以保護數據”復選框并確認即可對文件進行加密，如果加密的是文件夾，系統將進一步彈出“確認屬性更改”對話框要求您確認是加密選中的文件夾，還是加密選中的文件夾、子文件夾以及其中的文件。而解密的步驟與加密相反，您只需在“高級屬性”對話框中清除“加密內容以保護數據”復選框上的選中標記即可（如圖1），而在解密文件夾時將同樣彈出“確認屬性更改”對話框要求您確認解密操作應用的范圍。

圖1

加密后，用戶可以像使用普通文件一樣直接打開和編輯，又或者執行復制、粘貼等操作，而且用戶在加密文件夾內創建的新文件或從其他文件夾拷貝過來的文件都將自動被加密。被加密的文件和文件夾的名稱將默認顯示為淡綠色，如您的電腦上被加密的文件和文件夾的名稱不是彩色顯示，您可以單擊“我的電腦|工具|文件夾選項”，然后在“文件夾選項”對話框中單擊“查看”選項卡，選中“以彩色顯示加密或壓縮的NTFS文件”復選框即可。

賦予或撤銷其他用戶的權限

如果需要，您可賦予其他用戶對加密文件的完全訪問權限，但要明白，Windows所采用的是基于密鑰的加密方案，并且是在用戶第一次使用該功能時才為用戶創建用于加密的密鑰，因此您準備賦予權限的用戶也必須曾經使用過系統的加密功能，否則將無法成功賦予對方權限。Windows內建的文件加密功能只允許賦予其他用戶訪問加密文件的完全權限，而不允許將加密文件夾的權限賦予給其他用戶。

要賦予或撤銷其他用戶對加密文件的訪問權限，可用鼠標右鍵單擊已加密的文件，選擇“屬性”，在“屬性”對話框的“常規”選項卡上單擊“高級”按鈕，在“高級屬性”對話框中單擊“詳細信息”按鈕，即可通過“添加”和“刪除”按鈕添加或刪除其他可以訪問該文件的用戶。

備份密鑰

有許多讀者在系統發生故障或重新安裝系統以后，無法再訪問之前他們加密過的文件與文件夾而向本刊“電腦醫院”求助。但此時為時已晚，Windows內建的加密功能與用戶的賬戶關系非常密切，同時用于解密的用戶密鑰也存儲在系統內，任何導致用戶賬戶改變的操作和故障都有可能帶來災難，要避免這種情況的發生，您必須未雨綢繆，在使用加密功能后馬上備份加密密鑰。

備份密鑰的操作并不復雜，您只需單擊“開始|運行”，鍵入“certmgr.msc”打開證書管理器，在左邊窗口中依次單擊控制臺，打開“證書-當前用戶”下的“個人”中的“證書”，然后在右邊窗口中用鼠標右鍵單擊“預期目的”是“加密文件系統”的證書，指向“所有任務|導出”，系統將打開“證書導出向導”指引您進行操作，向導將詢問您是否需要導出私鑰，您應該選擇“導出私鑰”，并按照向導的要求輸入密碼保護導出的私鑰，然后選擇存儲導出后文件的位置即可完成。

建議您將導出的證書存儲在系統盤以外的其他磁盤上，以避免在使用磁盤鏡像之類的軟件恢復系統時將備份的證書覆蓋掉。備份后，當加密文件的賬戶出現問題或重新安裝了系統后需要訪問或解密以前加密的文件時，您只需要使用鼠標右鍵單擊備份的證書，選擇“安裝PFX”，系統將彈出“證書導入向導”指引您的操作，您只需要鍵入當初導出證書時輸入用于保護備份證書的密碼，然后選擇讓向導“根據證書類型，自動選擇證書存儲區”即可完成，完成后就可以訪問以前的加密文件了。

指定恢復代理

如果您同時使用多個賬戶或者與其他用戶共用一臺電腦，擔心更換賬戶或者其他賬戶加密的文件出問題，那么您可以考慮指定一個文件故障恢復代理，恢復代理可以解密系統內所有通過內建加密功能加密的文件，一般用于網絡管理員在網絡上處理文件故障，并能使管理員在職員離職后解密職員加密的工作資料。在Win2000中，默認Administrator為恢復代理，而在WinXP上，如果需要恢復代理則必須自行指定。但需要注意，恢復代理只能夠解密指定恢復代理后被加密的文件，所以您應該在所有人開始使用加密功能前先指定恢復代理。

如果您所使用的電腦是企業網絡中的，那么您需要聯系管理員查詢是否已經制定了故障恢復策略，而如果您只是在使用一臺單獨的電腦，那么您可以按照下面的步驟指定恢復代理。首先，您需要使用準備指定為恢復代理的用戶賬戶登錄，申請一份故障恢復證書，該用戶必須是管理員或者擁有管理員權限的管理組成員。對于企業網絡上的電腦，登錄后可以通過上面介紹過的“證書管理器”，在“使用任務”中的“申請新證書”中向服務器申請。而在個人電腦上，您必須單擊“開始|附件|命令提示符”，在命令行窗口中鍵入“cipher /r:c:\efs.txt”（efs.txt可以是任一文件），命令行窗口將提示您輸入保護證書的密碼并生成我們需要的證書。生成的證書一個是PFX文件，一個是CER文件，先使用鼠標右鍵單擊PFX文件，選擇“安裝PFX”，通過彈出的“證書導入向導”選擇“根據證書類型，自動選擇證書存儲區” 導入證書。

接下來再單擊“開始|運行”，鍵入“gpedit.msc”打開組策略編輯器，在左邊控制臺上依次單擊“本地計算機策略|計算機配置|Windows 設置|安全設置|公鑰策略|加密文件系統”，然后在右邊窗口中用鼠標右鍵單擊選擇“添加數據恢復代理”（如圖2），然后在彈出的“添加數據恢復代理向導”中瀏覽并選擇剛才生成的證書中的CER文件，在鍵入保護證書的密碼后，向導將導入證書，完成指定恢復代理的工作。完成后，在以后需要的時候，只需使用被指定為恢復代理的賬戶登錄，就可以解密系統內所有在指定恢復代理后被加密的文件。

圖2

禁止加密功能

在多用戶共用電腦的環境下，我們往往通過將其他用戶指定為普通用戶權限，限制他們使用某些功能，但由于普通用戶賬戶默認允許使用加密功能，因此在一些多用戶共用的電腦上經常會帶來一些困擾。如果擔心電腦上其他用戶亂加密磁盤上的文件，您可以設置特定的文件夾禁止被加密，也可以完全禁止文件加密功能。

如果您希望將某個文件夾設置為禁止加密，可以編輯一個文本文件，內容包括“[Encryption]”和“Disable=1”兩行，然后命名為“Desktop.ini”，將其放到不希望被加密的文件夾中即可。當其他用戶試圖加密該文件夾時，系統將提示用戶該文件夾加密功能被禁止。但需要注意，您只能使用這種方法禁止其他用戶加密該文件夾，文件夾中的子文件夾將不受保護。

如果需要，您也可以完全禁止文件加密功能，在Win2000中，只需使用Administrator登錄并運行“secpol.msc”打開策略編輯器，用鼠標右鍵單擊左邊控制臺上的“安全設置|公鑰策略|加密文件系統”，選擇“屬性”，在屬性對話框上清除“允許用戶使用文件加密系統（EFS）來加密文件”復選框上的選中標記，然后重新啟動電腦即可。而在WinXP上雖然也有相應的選項，但實際上并不能夠起作用，您需要通過編輯注冊表來禁止文件加密功能。首先單擊“開始|運行”，鍵入“regedit.exe”打開注冊表編輯器，依次單擊 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS”，再用鼠標右鍵單擊建立一個“DWORD”值，雙擊新建的值并賦值為“1”，關閉注冊表后重新啟動電腦。這樣，當其他用戶試圖使用文件加密功能時，系統將提示加密功能已被禁止（如圖3）。

圖3

防止泄密

由于對文件加密功能缺乏了解，許多讀者對該功能是否能夠真正發揮作用抱有懷疑態度，而另外一些用戶卻又因為過分地放心而導致泄密事件頻繁發生。首先，對于該功能的加密效果您大可放心，不必因為在您使用加密文件時不需要輸入密碼而懷疑加密效果，在加密后能夠透明地使用恰恰正是該功能的優點。雖然有一些第三方軟件曾經成功地破解使用該功能加密的文件，但這種軟件暫時對于Windows XP是無效的，而且即使在其他版本的Windows 操作系統上，也是可以避免的。

但您需要小心由于自己的失誤引起加密失效，也需要了解該功能的特點。Windows XP內建的文件加密功能與用戶的賬戶是聯系在一起的，換言之，如果您的Windows賬戶沒有保護好，密碼被其他人獲得，那么對方也就可以像您一樣登錄系統訪問加密的文件。另外，當已加密的文件被拷貝或者移動到非NTFS文件系統磁盤上時，文件將被解密。在文件通過網絡傳輸時，也是以明文方式進行傳輸的。這些您都需要清楚，避免錯誤操作引起泄密。而最主要的是加密后的文件并不是絕對安全的，雖然可以確保不被讀取，但卻無法避免被刪除。

此外，在加密文件的過程中，系統將把原來的文件存儲到緩沖區，然后在加密后將原文件刪除。這些被刪除掉的文件在系統上并不是不可能恢復的，通過磁盤文件恢復工具很有可能被恢復過來而造成泄密，此時您需要考慮通過其他磁盤安全工具，或者使用系統內建的“cipher”命令對磁盤上的已刪除文件進行清除，具體的步驟是，單擊“開始|附件|命令提示符”，在命令行窗口中鍵入“cipher /w C:\foldername”即可清除C盤foldername文件夾中已刪除文件殘留的碎片，如果不輸入文件夾名稱則將對整個磁盤進行清理。

疑難排解

當您的Windows登錄賬戶變更而無法訪問已加密的文件時，由于用戶的賬戶名稱或者密碼變更時將無法與原來的加密證書聯系上，因而您需要考慮是否在使用其他賬戶時更改了當前賬戶的名稱或者密碼？又或者是管理員進行了這樣的操作？如果的確如此，您可以嘗試將自己的賬戶名稱和密碼更改成原來的，問題應該能夠解決。但需要注意，根據微軟的說法，改回賬戶名稱與密碼的方法在管理員賬戶上可能無效，而且如果您的賬戶并不是改變而是被刪除后重建，也就是說是一個全新的賬戶，那么您只能夠求助于恢復代理或者導入備份的證書。

如果您已經重新格式化了硬盤、重新安裝了系統又或者使用尚未加密文件時的系統盤鏡像恢復了系統而導致無法訪問加密文件，那么您只能夠通過導入自己的證書或者恢復代理的方法來解決問題，這時基本上已經沒有其他方法可以幫助您取回文件。另外，Windows XP SP1版后使用了新的加密算法，如果您加密時使用的是Windows XP SP1版本，那么當您嘗試挽救數據時也應該使用該版本，或者未來的更新版本，否則在其他版本上亂試，加密文件可能會損毀。

系統安全 深入理解加密文件系統EFS

微軟在NTFS4.0及后續版本的文件系統中，捆綁了兩個功能強大的工具：壓縮文件系統和加密文件系統。這個選項在文件夾的屬性-高級里面。是一個單選框。壓縮文件系統在這里就不多提了，不過有一點，可能有心的朋友注意得到，就是這兩個選項不可以同時選。這個原因很簡單，因為不論是加密文件還是壓縮文件，我們都是在改變文件，我們通過改變他們的讀碼框架來加密或者壓縮文件。這里可能有人要問，WinRAR為什么可以及加密文件又壓縮文件。其實WinRAR加密的方法是在基于WinRAR這個文件壓縮系統，而不是基于文件本身。我們還是言歸正傳。

這里面要提到的一點叫做加密方式。相信有些朋友對Alice和Bob這兩個名字非常熟悉，這兩個名字最早用于IBM出版的一本圖書中，用來解釋對稱加密和非對稱加密。對稱加密，簡單一點說就是加密所使用的密碼和解密所使用的密碼是同一個密碼。非對稱呢，加密使用的和解密是不同的密碼。這個不同的密碼，一個被稱為私鑰，另一個就是公鑰。從名字上面可以看出來，私鑰，是無論如何不會公開的，公鑰，則是發布出去的。

詳細解釋一下，熟悉非對稱加密的朋友可以跳過這一段。e.g.Alice要發送一份敏感數據給BOB，顯然需要加密。非對稱加密，使用兩個不同的密碼加密和解密。就是說，如果alice的公鑰和私鑰為一組密碼，分別是alice的公鑰和alice的私鑰。那么，用alice公鑰加密的東西只有使用alice的私鑰可以解密，對應的，如果使用alice公鑰加密的東西，只有alice的私鑰可以解開。那么對于bob也是一樣。如果我們采用對稱加密的方法，也就是加密和解密的過程使用的是一個密碼，那么這個密碼是無論如何不能被第三方截獲的?；ヂ摼W絡，可以截獲；電話，可以監聽；甚至當面交換，都可以被竊聽。所以這是對稱加密的一個重大缺陷。如果采用非對稱加密，alice和bob都不公開自己的私鑰，然后他們在交換信息前，互相交換公鑰。這樣，alice使用bob的公鑰加密alice要給bob的文件，這個使用bob公鑰加密過的文件，僅有bob的私鑰可以解開。而bob從來沒有公開過他的私鑰，所以，我們看到，這樣的加密，是安全的。這個信息加密解密，交換公鑰的過程，就是非對稱加密。

解釋過非對稱加密，我們也可以簡單的比較出兩者在安全性上的優越性。不過非對稱加密一個重要的缺陷，就是運算時間很長，對稱加密在工作效率上可能是非對稱加密的100-1000倍。所以微軟也是在看到這一點后，在EFS中集成了兩者的優點。EFS使用了對稱加密和非對稱加密結合的工作方式，即先生成一個字符串作為密鑰采用對稱加密方法加密文件，然后，再使用非對稱加密加密這個密鑰。這個密鑰具體位數我記不得了，大約在70位。這里出現一個問題，實際在操作系統中，公鑰和私鑰是怎么獲得的？為什么管理員可以解開所有用戶的加密文件？

依照微軟的白皮書中解釋，加密文件系統中的用戶證書的獲得，有兩種途徑，一個是從CA(CertificationAuthority)獲得，另一種是在企業級CA失效的時候由本機為自己頒發一個數字證書。這里需要解釋的是證書和密鑰的關系，證書是密鑰的載體，在證書中包含了密鑰。這里可能又有人要問，用戶的私鑰是存放在什么地方？用戶的私鑰是通過另外一種驗證機制實現的，這個在系統層面，日后我會寫文章加以闡釋。除了這兩個密鑰，還有一個用于直接加密文件的密鑰，這個根據用戶自己的SID計算出來的，微軟沒有公開這方面的信息，還請有心人共同嘗試理解其中的工作原理。管理員之所以可以管理所有用戶的加密文件，是為了保證系統的穩定，如果每一個用戶的文件都只有創建者可以修改，那么計算機可能因此陷入混亂的狀態。

近日聽聞有些軟件可以破解微軟的EFS，我本為之興奮，結果下載后研究了一下，這種軟件的工作原理是備份出管理員的帳戶信息，通過ERA(緊急恢復代理)實現加密文件的恢復。事實上，如果用戶不慎在重新安裝系統的時候忘記備份出相應的密鑰，那么這個加密過的文件可能永遠打不開。這一點不難理解，因為每一次安裝操作系統，操作系統會隨即生成一個SID號，當然，如果用戶的人品足夠好，還是可能生成一樣的SID號的（開個玩笑）。關于備份管理員賬號和密碼，可以通過Windows2000及后續版本中內建的忘記密碼向導來幫助備份密碼。希望可以給大家一些幫助

網絡安全題庫1000題的介紹就聊到這里吧，感謝你花時間閱讀本站內容，更多關于網絡安全題庫1000題答案、網絡安全題庫1000題的信息別忘了在本站進行查找喔。