1. 防火墙工作在哪个层
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
2. 什么叫DDOS,工作原理
拒绝服务攻击分类
分布式拒绝服务攻击(DDoS)
原理:是在传统DoS攻击基础之上产生的一类攻击方式。也是现在最常用,
最难以防御的一种拒绝服务攻击。它借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍提高拒绝服务攻击的威力。
反射式拒绝服务攻击(RDoS)
3. SSL是什么算法,对称还是??
SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:
(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。
(3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
4. 宿舍里面机子可以上网,某台机子开机后不可以上互联网,但可以访问局域
网共享资源,请问有什么可能;
1:能不能用IP 上网,如果不可仪,就是连接不了DHCP;PING DHCP服务器的IP 是否通,2.能连接的话,DNS配置错误,查看服务有没有启动,查看首选DNS配置是否正确;
1、 黑客攻击类型:
1拒绝服务攻击(SYN泛洪攻击,Smurf攻击)、2非法访问(非法接入、非法访问资源)、3恶意代码、4窃取和中继攻击(用集线器窃取信息,ARP欺骗,伪造路由信息)
2、 公开密钥的基本特性:
公钥PK是公开的,私钥SK是秘密的,一般情况下PK用于加密,SK用于解密;PK和SK一一对应;如果用PK加密,则只能用SK解密,无法用PK和用PK加密后的密文得出明文;SK的私密性要求无法通过PK推导出SK;得知对方的公钥,可以实现单向保密通信。
3、 虚拟专用网(VPN)的基本概念:
虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络,但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。
4、 防火墙的功能及原理:
防火墙的主要功能包括:服务控制、方向控制、用户控制、行为控制。
原理:防火墙能增强机构内部网络的安全性,防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透
5、 拒绝服务攻击的两种方式:
拒绝服务攻击是利用访问权限允许的访问过程不正常地发送请求或其他信息,导致服务器不能正常提供服务或网络节点发生拥塞的一种攻击手段。
1.防火墙通过只中继正常的建立TCP连接请求,来避免服务器遭受SYN泛滥攻击。2.通过COOKIE技术避免防火墙被SYN泛滥阻塞。
6、 入侵防御系统的基本工作过程:
入侵防御系统的作用是检测网络中可能存在的攻击行为,并对攻击行为进行反制。主要分两类:主机入侵防御系统 和 网络入侵防御系统
其工作过程为:
捕获信息; 检测异常信息; 反制异常信息; 报警; 登记。
7、 信息捕获机制:
信息流捕获方法:
1.利用集线器的广播传输功能,从集线器任何端口进入的信息流,将广播到所有其他端口。
2.利用交换机端口境像捕获信息机制
3.利用虚拟访问控制列表捕获信息机制
8、 入侵检测机制:
入侵检测机制主要可以分为三类:
1.攻击特征检测:元攻击特征和有状态攻击特征)
2.协议译码:IP分组检测(
3.异常检测:基于统计机制、基于规则机制、异常检测的误报和漏报
1.简述拒绝服务攻击的概念和原理。
答:拒绝服务攻击的概念:广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理:是使被攻击服务器充斥大量要求回复的信息,消耗网络、带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务
2.简述交叉认证过程。
答:首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
3.简述SSL安全协议的概念及功能。
答:SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两 实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息
伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做 到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
4.简述好的防火墙具有的5个特性。
答: (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2) 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;
(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
5简述电子数据交换(EDI)技术的特点。
答:特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。
6、 简述ARP的工作过程及ARP欺骗。
ARP的工作过程:
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
7、 简述包过滤型防火墙的概念、优缺点和应用场合。
答:包过滤型防火墙的概念:
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
8、什么是拒绝服务攻击?如何阻挡?
答:拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。服
务质量下降甚至不能提供服务,系统性能遭到不同程度的破坏,降低了系统资源的可用性。系统资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间,拒绝服务的结果是减少或失去服务。
对于拒绝服务式攻击我们不能完全消除它们,遇到这种攻击时,可以采用以下几种办法处理:
① 寻找一种方法来过滤掉这些不良的数据包;
② 提高对接受数据进行处理的能力;
③ 追查并关闭那些发动攻击的站点;
④ 增加硬件设备或者提高网络容量,以从容处理正常的负载和攻击数据流量。
9、防火墙有几类?简述分组过滤防火墙。
答:根据防火墙在网络协议中的过滤层次不同,我们把防火墙分为三种:包过滤防火墙、电路级网关防火墙、应用级网关防火墙。
分组过滤器是目前使用最为广泛的防火墙,其原理很简单:1、有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换;2、作用在网络层和传输层;3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发,否则丢弃。
10、密要分配的几种方法
答:通信双方可通过三种基本方法实现秘密信息的共享:一是利用安全信道实现密钥传递;二是利用双钥体制建立安全信道传递;三是利用特定的物理现象(量子技术)实现密钥传递。
11、描述三次握手的过程
答:TCP是面向连接的,所谓面向连接,就是当计算机双方通信时必需先建立连接,然后数据传送,最后拆除连接三个过程
并且TCP在建立连接时又分三步走:
第一步是请求端(客户端)发送一个包含SYN即同步标志的TCP报文,SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。然后才开始通信的第二步:数据处理。
这就是所说的TCP三次握手
12.简述CA对数字证书签名及数字证书的验证过程。
答:数字证书签名
CA首先要对证书的所有字段计算一个信息摘要,而后用CA私钥机密消息摘要,构成CA的数字签名。CA将计算出的数字签名作为数字证书的最后一个字段插入,类似于护照上的印章与签名。该过程有密码运算程序自动完成。
数字证书验证
(1)用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。
(2)由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要,设该信息摘要为MD1.
(3)用户从证书中取出CA的数字签名。
(4)用户用CA的公钥对CA的数字签名信息进行解密运算。
(5)解密运算后获得CA签名所使用的信息摘要,设为MD2.
(6)用户比较MD1与MD2。若两者相符,则可肯定数字证书已由CA用其私钥签名,否则用户不信任该证书,将其拒绝。
1.如何使用防火墙限制连接带宽?
1. 步骤如下:
第一步:配置防火墙接口的IP地址
进入防火墙的配置页面:网络配置——>接口IP,单击按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。为防火墙的WAN接口配置IP地址及子网掩码。
第二步:配置NAT规则
进入防火墙配置页面:安全策略——>安全规则,单击页面上方的按钮添加NAT规则,NAT规则中我们丢内部访问外部的HTTP流量进行NAT转换。
第三部:验证测试
在内部用户PC上访问外部的Wab服务器1.1.1.100,可以成功访问。
第四步:配置带宽列表
进入防火墙配置页面:对象定义-->带宽列表,单击页面中的按钮创建带宽列表。在贷款列表中配置保证带宽为256kbps,最大带宽为512kbps. 第五步:应用带宽列表
进入防火墙配置页面:安全策略-->安全规则,对之前创建的NAT
规则进行编辑。在NAT规则的流量控制下拉框中选择刚才创建的带宽列表“http_limit”
第六步:验证测试
在内部用户PC上从Web服务器下载文件,观察下载速度,最后下载速度稳定在大约65kb/s,月520kb/s,与之前设置的最大带宽512kbps相近。
2. 如何从备份中恢复数据?
2. (1)单击“开始”按钮,然后单击“运行”按钮,输入ntbackup,然后单击“确定”按钮,此时会出现“备份或还原向导”。单击“下一步”按钮。
(2)在“备份或还原”页面中,单击“还原文件和设置”,然后单击“下一步”按钮。在“还原项目”页面上,单击项目以展开其内容。选择包含要还原的数据的所有设备或文件夹,然后单击”下一步“按钮。
(3)在“完成备份或还原向导”页面中,如果您要更改任何高级还原选项,例如还原安全设置和交点数据,请单击“高级”选项。完成设置高级还原选项后,单击“确定”按钮。验证是否所有设置都正确,然后单击“完成”按钮。
1. 计算机网络安全的目的什么?
答:计算机网络安全的目的简单地说就是要充分利用现有的各种网络安全技术手段使计算机网络的使用者获得良好的网络安全使用环境。
2. 网络安全的核心是什么?
答:其核心是网络的信息安全,确保网络信息的可靠传输,不被窃取与篡改。网络安全的基本功能是要保证网络系统的正常运行,具有良好的可用性。
3. 说一说对于不同安全等级的网络应该采用什么安全技术?
答:不同等级的网络安全需求处理手段上不同的,可以只对单机进行安全处理,如简单安装地杀毒软件,进行操作系统的安全配置;也可以加装集中或者分
布式式的网络安全软件,进行全局的网络安全控制;安全等级较高的网络可以采用专业的网络安全设备,如:防火墙、入侵检测系统、入侵防护系统、各种安全网关与网络隔离系统等。
4. 什么是网络攻击?
答:网络攻击实质上就是黑客利用被攻击方自身网络系统存在的安全漏洞,使用网络命令或者专用软件对网络实施的攻击。攻击可能导致网络瘫痪,也可能破坏信息的传播,还可能使系统失去控制权。网络攻击与一般的病毒、木马的攻击是有差别的,它对于计算机的破坏性也是不相同的。病毒与木马是利用系统以及系统中应用程序的缺陷实施对于系统的破坏,网络只是其传播的途径,而网络攻击的特点是利用网络的缺陷的实现对于网络的攻击,以破坏网络中的信息的正常传送为目的。
5. 说一说重点对付DDoS攻击的一些常规的网络攻击防范的方法?
答:定期扫描,在骨干节点配置防火墙,用足够的机器承受黑客攻击,充分利用网络设备保护网络资源,过滤不必要的服务和端口,检查访问者的来源,限制SYN/ICMP流量等。
6. 什么是流氓软件?
答:“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。“流氓软件”是指介于病毒和正规软件之间的一类软件。
7. 流氓软件与病毒的区别?
答:计算机病毒指的是指那些自身具有或使其它程序具有破坏功能,能够危害用户数据,或具有其它恶意行为程序。这类程序不但影响计算机使用,而且能够自我复制。“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。它与病毒或者蠕虫不同,是由小团体或者个人秘密地编写和散播,由很多知名企业和团体涉嫌的一类软件。
8. 简单说一说什么是端口扫描?
答:网络端口扫描是指用端口扫描软件对需要扫描目标主机的端口发送探测数据包,根据返回的端口状态信息,分析主机的端口是否打开,是否可用的过程。端口扫描是通过与目标主机的TCP/IP端口建立连接,并请求某些服务,记录目标主机的应答,收集目标主机相关信息,确定端口正在进行的服务,获取服务的信息,发现目标主机某些内在的安全弱点。
9. 什么网络是嗅探?
答:嗅探(Sniffer)技术是网络安全检测技术中很重要的一种,它是一种可以捕获网络报文的软件工具或者设备,网络安全管理人员会经常借助此类工具对网络的各种活动进行实时监测,发现网络中的攻击行为。与主动扫描相比,嗅探的行为更难察觉,因此,黑客也会利用具有很强非常隐蔽性的嗅探技术攫取网络中的敏感信息。
10. 说一说网络嗅探的检测方法?
答:(1) 网络通讯掉包率反常的高
(2) 网络带宽出现反常
(3) 监控本地局域网的数据帧
(4) 本机监控
(5) ping检测
11. 什么是网络边界?
答:不同安全级别的网络存在着互联互通问题。政府要开放办公,其内网就需要与外网相联;商业银行要支持网上交易,其数据网也必须与互联网相连;企业要实现信息资源的共享和管理,其办公网与生产网、办公网与互联网的之间也存在连接问题;民航、铁路与交通部门要实现网上定票与实时信息查询也存在信息网与互联网的连接问题。不同安全级别的网络之间的互连就形成了网络边界,网络边界是指内部安全网络与外部非安全网络的分界线。由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。
12. 说一说IPS的类型。
答:随着IPS技术的发展,IPS因其应用环境和使用的技术不同出现了不同的产品类型,一般分为基于主机的入侵防护系统(HIPS),基于网络的入侵防护系统(NIPS)和应用入侵防护系统(AIP)。HIPS能够保护服务器的安全弱点不被不法分子所利用。NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。AIP实际上是NIPS的一个特例,因此IPS一般可分成两类。
13. 如何理解防火墙的局限性?
答:利用防火墙可以保护计算机网络免受外部黑客的攻击,但它只是能够提高网络的安全性,不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,甚至防火墙产品自身是否安全,设置是否正确,都需要经过检验。如防火墙不能防范不经过防火墙的攻击,很难防范来自于网络内部的攻击以及病毒的威胁等。
为什么说隔离网闸能够防止未知和已知木马攻击?
一、 论述题(15分)
1. 简单说一说计算机病毒的防护方法?
答:计算机病毒防护首先是要建立计算机网络病毒防护技术体系,包括单机防护、网络病毒防护、网关病毒防护与病毒追查系统。单机病毒防御是传统防御模式,是固守网络终端的最后防线。单机防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都是有意义的。它用来阻止来自软盘、光盘、共享文件、互联网病毒的入侵,实现重要数据备份功能。根据网络操作系统使用情况,局域网服务器必须配备相应防病毒软件,当然,基于UNIX/LINUX、Windows//2000/2003/2007以及dos等平台要配置对应的操作系统的安全防范软件,全方位的防卫病毒的入侵。在规模局域网内配备网络防病毒管理平台是必要的,如在网管中心中,配备病毒集中监控中心,集中管理整个网络的病毒疫情,在各分支网络也配备监控中心,以提供整体防病毒策略配置,病毒集中监控,灾难恢复等管理功能,工作站、服务器较多的网络可配备软件自动分发中心,以减轻网络管理人员的工作量。在网络出口处设置有效的病毒过滤系统,如防火墙将数据提交给网关杀毒系统进行检查,如有病毒入侵,网关防毒系统将通知防火墙立刻阻断病毒攻击的IP。
2. 假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取哪些
措施来构建
你的网络安全体系,这些措施各有什么作用,它们之间有什么联系?
答:如果是一个校园网,有教务系统、实验实训室、图书馆、网络中心、学生宿舍区等等,我们可以采用下面的安全方法:
在网络出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。
在内网使用IDS,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。
如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。
对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。
3. 说一说木马的防治方法?
答:① 安装反病毒软件。 时刻打开杀毒软件,大多数反病毒工具软件几乎都可检测到所有的特洛伊木马,但值得注意的是,应及时更新反病毒软件。
② 安装特洛伊木马删除软件。反病毒软件虽然能查出木马,但却不能将它从计算机上删除。为此必须安装诸如TROJIAREMOVER之类的软件。
③ 建立个人防火墙。当木马进入计算机时,防火墙可以对你进行有效保护。
④ 不要执行来历不明的软件和程序。 木马的服务端程序只有在被执行后才会生效。通过网络下载的文件,QQ或MSN传输的文件,以及从别人那拷贝来的文件,对电子邮件附件在没有十足把握的情况下,千万不要将它打开。最好是在运行它之前,先用反病毒软件对它进行检查。
4. 说一说UTM与防火墙的区别?
答:UTM与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面: 首先,传统防火墙功能模块工作在网络协议的第三层,大多数用一种状态检测和转发TCP/IP数据包。UTM中的防火墙侧不仅可实现传统的包状态检测和过滤功能,而且还可以决定防病毒、入侵检测、VPN等功能是否开启及其工作模式。通过防火墙的策略,实现多种功能好的融合。
其次,从系统角度来讲,UTM防火墙不仅要实现网络访问的控制,同时也要实现数据包的识别与转发,例如HTTP、Mail等协议的识别与转发,这就要求UTM的设计要减轻系统数据处理的工作量,提高系统的性能和效率。
其三,UTM防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持多种新技术,如VoIP、H.323、SIP、IM和P2P等,其起点比防火墙要高很多,应用前景更广,适应性更强。
其四,从UTM的操作界面上,用户可以清楚地看出,UTM的安全策略会有更多的选择。在UTM平台上植入了内容更加丰富,且层次分明、操作简单、同时又灵活实用的安全防护策略。
5. 说一说网络防火墙与隔离网闸的区别?
答:在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它具有广泛的应用领域,拥有广泛的市场。而网闸则是以安全为主,在保证安全的前提下,支持应用。网闸主要用于安全性要求极高的领域,如政府网络,工业控制系统保护等。由于网闸把安全性放在首位,有更加严格的安全规则和更多地限制,因此可以应用的范围比防火墙要窄一些,主要用于那些对安全性要求较高的环境。防火墙可以应用于非常广泛的应用领域,甚至包括个人电脑,但它的安全性却差强人意。人们常常发现被防火墙防护的网络会依然被黑客和病毒攻击。根据美国财
经杂志统计资料表明,30%的入侵发生在有防火墙的情况下进行的。由于设计理念的差别,防火墙有软件防火墙,但却没有软件网闸。
设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可以有多种设计方式,但一般来说,它都是单一的计算机系统由一个操作系统来控制构的,用户的内网和外网都连接在这同一个系统上。然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网处理单元和一个隔离岛。一般来说,内外网处理单元是两个完全独立计算机的系统构,拥有各自独立的操作系统。内网处理单元与用户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛进行非协议的信息交换。可以看得出来,网闸的结构较防火墙要复杂的多,显然有两个独立的系统分别连接内外网,中间再由隔离岛隔离,要比防火墙的设计要安全得多,当然设计的难度也要高得多。当然区别不仅仅如此,由于设计理念以及硬件结构的完全不同,在软件设计上也有很大的区别。
无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。两种产品由于定位的不同,因此不能相互取代。
1. TCP/IP的分层结构以及它与OSI七层模型的对应关系。
TCP/IP层析划分 OSI层次划分
应用层 应用层
会话层
传输层 会话层
传输层
网络层 网络层
数据链路层 链路层
物理层
2. 简述拒绝服务攻击的概念和原理。
广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。
3. 简述交叉认证过程。
首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
4. 简述SSL安全协议的概念及功能。
SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
5. 简述好的防火墙具有的5个特性。
(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
6. 简述电子数据交换(EDI)技术的特点。
特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。
五、 综述题(20分)
1. 简述ARP的工作过程及ARP欺骗。(10分)
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
2. 简述包过滤型防火墙的概念、优缺点和应用场合。(10分)
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
*1.网络安全的含义?
( 是指保护网络系统的硬件、软件及其信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统连续、可靠、正常地运行,网络服务不中断。) ※2.主要的网络安全问题包括哪几方面?对此有何对策?
(主要的网络安全问题:
(1).网络系统软件自身的安全问题 : 安全漏洞及时弥补
(2).网络系统中数据库的安全问题:数据的安全性、完整性和并发控制
(3).传输的安全与质量 :防窃听、可靠性
(4).网络安全管理问题:安全管理、管理的安全性
(5).各种人为因素 :病毒、黑客、人员的疏忽
对策
物理安全策略:硬件实体和通信链路工作环境安全
访问控制策略 :
(1)入网访问控制 :用户帐号识别与验证、口令识别与验证、用户帐号的缺省限制检查。
(2)网络的权限控制:
根据访问权限将用户分为:特殊用户(系统管理员)、一般用户、审计用户。
(3)目录级安全控制
对目录和文件的访问权限一般有8种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access control)。
(4)属性安全控制:
向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享、系统属性等。
(5)网络服务器安全控制 :
设置口令锁定服务器控制台;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
(7)网络端口和节点的安全控制
(8)防火墙控制
信息加密策略:
对称密码算法和非对称密码算法
安全管理策略:
( 确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。)
第2-4章
#3.简述DES算法的基本过程。
• (DES算法的入口参数有三个:Key(密钥)、Data(64位明文)、Mode(工作方式:加密或解密)
• (1)对64位的明文,通过一个固定的初始置换(IP)后得到L0,R0左右两部分。
(2)经过16次迭代:Li=Ri-1 , Ri=Li-1⊕f(Ri-1,Ki)
其中,K1,K2,„„K16是长为48位的子密钥,是密钥key(64位)经过变换得来的。
(3)最后,对R16,L16使用逆置换(IP-1)得到64位密文。)
#4.简述RSA算法的基本过程。
• (假定用户A要发送消息M(明文)给用户B,过程如下:
• (1)首先用户B产生两个大质数p和q(保密)。
• (2)用户B计算n=pq(公开)。
• (3)用户B选择一个随机数e(比n小),使得e和(p-1)(q-1)互为质数,即除了1以外,没有其它的公因数。
• (4)用户B通过计算得出d(保密),使得d满足:
• (ed-1)能被(p-1)(q-1)整除
• (5)用户B将公钥n和e公开,私钥n,d保密。
• 用户A通过公开渠道查到n、e;对M(明文)施行加密变换:
• C(密文)=Me(mod n)
• 用户B收到密文后,施行解密变换:M=Cd(mod n) )
#5.试述对称加密体制和非对称加密体制的优缺点,分析一般的加密系统是如何结合使用这两种算法实现优势互补的。
• (对称加密体制:加密和解密都采用同一把密钥,通信双方都必须获得这把钥匙并对钥匙保密。优点:加密数据时速度较快。缺点:对称密钥的分发存在安全问题。
• 非对称加密体制:在加密过程中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥进行保存。公开密钥用于对信息进行加密,私有密钥则用于对加密信息进行解密。 • 优点:不存在密钥分发引起的安全问题。缺点:加密数据的速度较慢。 如何优势互补?
用对称加密算法加密数据,用公钥加密对称密钥,把加密后的数据和对称密钥发送给接受者。从而保证数据和对称密钥的安全。)
*6.什么是数字信封?
• (数字信封中采用了对称加密体制和公钥密码体制。信息发送者首先利用随机产生的对称密钥加密信息,再利用接收方的公钥加密对称密钥,被公钥加密后的对称密钥被称之为数字信封。)
*7.数字签名的基本原理?
• (在公钥制加密技术中,加密和解密过程是双向的。不仅仅用公钥加密的数据只能用私钥解密,而且用私钥加密的数据也能用公钥解密。
• 如果用私钥加密数据,任何人都可以解密数据(因为公钥是公开的),这样的加密算法确实不能让数据保密,但却可以证明一个事实:
• 如果公钥可以顺利的解密一个数据,则该数据一定是用相应的私钥加密的。 •
• 这就可以证实:数据只能是私钥持有者发送的,因为只有他才拥有该私钥。这就好像私钥持有者在数据上签了名一样,这一技术称为数字签名。)
#8.简述对称密钥体系和非对称密钥体系中的密钥管理方法。
(对称密钥体系密钥管理方法:
1、密钥分配中心KDC
2、基于公钥体制的密钥分配、数字信封。在这个对称密钥的分配过程中,不再需要在线的密钥分配中心,也节省了大量的通信开销。
非对称密钥体系密钥管理方法:
主要有两种公钥管理模式:
一种采用证书的方式,公钥证书是由一个可信的人或机构签发的,它包括证书持有人的身份标识、公钥等信息,并由证书颁发者对证书签字。在这种公钥管理机制中,首先必须有一个可信的第三方,来签发和管理证书,这个机构通常称为CA(Certificate Authority)。
另一种是PGP采用的分布式密钥管理模式。采用了通过介绍人(introduder)的密钥转介方式,更能反映出人们的社会自然交往,而且人们也能自由地选择信任的人来介绍,非常适用于分散的用户群。 )
#9.什么是数字证书?数字证书有哪几种类型,数字证书有哪些用途?
(数字证书,也称公钥证书,它是由称作证书机构的人或实体签发的、用于绑定证书持有人的身份及其公钥的一个数据结构,是公钥密码体制进行密钥管理的基本方法。)
• #10.试述对称加密体制和非对称加密体制的不同。
• (对称加密体制:加密和解密都采用同一把密钥,通信双方都必须获得这把钥匙并对钥匙保密。
• 非对称加密体制:在加密过程中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥进行保存。公开密钥用于对信息进行加密,私有密钥则用于对加密信息进行解密。)
#11.简述如何利用秘密共享协议来实现密钥的备份?
(答案提示:密钥分成若干片,发给不同的人保存)
*12.简述数字签名的目的有哪些?
(答案提示:消息源认证、不可伪造、不可重用、不可抵赖)
第5-6章
#13.什么是计算机病毒?简述计算机病毒的特性。
(计算机病毒是:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
特性:
计算机病毒的可执行性(程序性):计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。
计算机病毒的寄生性(依附性) :病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。
计算机病毒的传染性:计算机病毒一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
计算机病毒的潜伏性:病毒程序不用专门检测程序是检查不出来的; 而且计算机病毒的内部往往有一种触发机制,触发条件一旦得到满足,计算机病毒则会开始运行。
计算机病毒的可触发性 :病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒的衍生性 :可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。
病毒的破坏性:对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源 。
隐蔽性:病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析,病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。
一是传染的隐蔽性,大多数病毒在传染时速度是极快的,不易被人发现。
二是病毒程序存在的隐蔽性,一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。 )
#14.简述木马入侵的原理。
(木马由两部分组成:客户端程序和服务器端程序。
木马入侵时:木马的服务器端程序(几K到几十K)植入用户的机器。 方法:(1)攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上,诱使用户下载并运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。
(2)脚本漏洞 :脚本(Script、ActiveX、Asp等)程序上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马。
(3)系统漏洞:利用操作系统的一些漏洞植入。
当特洛伊木马的服务器端程序植入用户的机器并启动之后,它就可以直接与攻击者机器上运行的客户端程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
• *15.简述DoS攻击的基本过程。A
(基本过程:
(1)攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断。
(2)攻击者会不断传送新的请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。)
#16.计算机中毒后应该采取哪些应急措施?
(答案提示:查毒、杀毒)
#17.简述病毒与木马程序有何不同?
(答案提示:目的不同,结构不同)
*18.计算机病毒的定义
(答案提示:病毒是具有破坏作用的程序代码)
第7-12章
#19.常见的Web安全威胁有哪些?
(答案提示:电子欺骗、篡改、否认、信息泄漏、拒绝服务、特权升级) #20.什么样的行为称为电子邮件欺骗?
(答案提示:在电子邮件中改变名字,使之看起来是从某地或某人发来的行为,然后举例说明)
五、论述题(每题10分,共20分)
第1章
#1.在使用网络的过程中你有没有遇到过网络安全方面的问题?采取了哪些应对措施?
(答案提示:结合实际谈一谈网络安全策略)
※2. 试述网络安全对社会政治、军事、经济等方面的影响?
第2.3章
#3.试述产生一个好的密钥应该考虑哪些方面的问题?
(答案提示:密钥空间、弱密钥、随机过程)
#4.什么是对称密码和非对称密码,分析这两种密码体系的特点和应用领域。 (答案提示:前者应用于加密领域,后者应用于认证领域)
#5. 试述DES算法的设计思想和RSA算法的设计思想?
• ((DES算法的入口参数有三个:Key(密钥)、Data(64位明文)、Mode(工作方式:加密或解密)
• (1)对64位的明文,通过一个固定的初始置换(IP)后得到L0,R0左右两部分。
(2)经过16次迭代:Li=Ri-1 , Ri=Li-1⊕f(Ri-1,Ki)
其中,K1,K2,„„K16是长为48位的子密钥,是密钥key(64位)经过变换得来的。
(3)最后,对R16,L16使用逆置换(IP-1)得到64位密文。)
)
• (假定用户A要发送消息M(明文)给用户B,过程如下:
• (1)首先用户B产生两个大质数p和q(保密)。
• (2)用户B计算n=pq(公开)。
• (3)用户B选择一个随机数e(比n小),使得e和(p-1)(q-1)互为质数,即除了1以外,没有其它的公因数。
• (4)用户B通过计算得出d(保密),使得d满足:
• (ed-1)能被(p-1)(q-1)整除
• (5)用户B将公钥n和e公开,私钥n,d保密。
• 用户A通过公开渠道查到n、e;对M(明文)施行加密变换:
• C(密文)=Me(mod n)
• 用户B收到密文后,施行解密变换:M=Cd(mod n) )
※6.假如在外地出差的销售代表意图把敏感的文件传送给公司中的经理。并且销售代表有:对称加密算法和经理的公钥。请写出采用数字信封的方式加密信息的全过程。
(答案提示:数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。
在传递信息后,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。
)
#第4-6章
7..结合实际谈一谈你使用的计算机是否感染过计算机病毒,感染过哪些病毒,采取了哪些措施?
第7章
#8.举出两种你所知道的互联网服务,并简单说明这些服务的使用情况以及存在的安全问题和应对措施。(比如电子邮件服务和www服务等)
(答案提示:www ftp e-mail 等的安全问题 )
第8-12章
#9.E-mail炸弹会给用户带来怎样的危害?可以采取哪些有效的解救方法? (答案提示:使邮箱不可用,解救方法:向ISp求助;用软件清除;使用阻止发件人功能)
#10.试述电子邮件面临哪些安全威胁?
(答案提示:匿名转发、邮件炸弹、电子邮件欺骗)
1. 防火墙工作在哪个层
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
2. 什么叫DDOS,工作原理
拒绝服务攻击分类
分布式拒绝服务攻击(DDoS)
原理:是在传统DoS攻击基础之上产生的一类攻击方式。也是现在最常用,
最难以防御的一种拒绝服务攻击。它借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍提高拒绝服务攻击的威力。
反射式拒绝服务攻击(RDoS)
3. SSL是什么算法,对称还是??
SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:
(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。
(3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
4. 宿舍里面机子可以上网,某台机子开机后不可以上互联网,但可以访问局域
网共享资源,请问有什么可能;
1:能不能用IP 上网,如果不可仪,就是连接不了DHCP;PING DHCP服务器的IP 是否通,2.能连接的话,DNS配置错误,查看服务有没有启动,查看首选DNS配置是否正确;
1、 黑客攻击类型:
1拒绝服务攻击(SYN泛洪攻击,Smurf攻击)、2非法访问(非法接入、非法访问资源)、3恶意代码、4窃取和中继攻击(用集线器窃取信息,ARP欺骗,伪造路由信息)
2、 公开密钥的基本特性:
公钥PK是公开的,私钥SK是秘密的,一般情况下PK用于加密,SK用于解密;PK和SK一一对应;如果用PK加密,则只能用SK解密,无法用PK和用PK加密后的密文得出明文;SK的私密性要求无法通过PK推导出SK;得知对方的公钥,可以实现单向保密通信。
3、 虚拟专用网(VPN)的基本概念:
虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络,但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。
4、 防火墙的功能及原理:
防火墙的主要功能包括:服务控制、方向控制、用户控制、行为控制。
原理:防火墙能增强机构内部网络的安全性,防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透
5、 拒绝服务攻击的两种方式:
拒绝服务攻击是利用访问权限允许的访问过程不正常地发送请求或其他信息,导致服务器不能正常提供服务或网络节点发生拥塞的一种攻击手段。
1.防火墙通过只中继正常的建立TCP连接请求,来避免服务器遭受SYN泛滥攻击。2.通过COOKIE技术避免防火墙被SYN泛滥阻塞。
6、 入侵防御系统的基本工作过程:
入侵防御系统的作用是检测网络中可能存在的攻击行为,并对攻击行为进行反制。主要分两类:主机入侵防御系统 和 网络入侵防御系统
其工作过程为:
捕获信息; 检测异常信息; 反制异常信息; 报警; 登记。
7、 信息捕获机制:
信息流捕获方法:
1.利用集线器的广播传输功能,从集线器任何端口进入的信息流,将广播到所有其他端口。
2.利用交换机端口境像捕获信息机制
3.利用虚拟访问控制列表捕获信息机制
8、 入侵检测机制:
入侵检测机制主要可以分为三类:
1.攻击特征检测:元攻击特征和有状态攻击特征)
2.协议译码:IP分组检测(
3.异常检测:基于统计机制、基于规则机制、异常检测的误报和漏报
1.简述拒绝服务攻击的概念和原理。
答:拒绝服务攻击的概念:广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理:是使被攻击服务器充斥大量要求回复的信息,消耗网络、带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务
2.简述交叉认证过程。
答:首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
3.简述SSL安全协议的概念及功能。
答:SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两 实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息
伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做 到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
4.简述好的防火墙具有的5个特性。
答: (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2) 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;
(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
5简述电子数据交换(EDI)技术的特点。
答:特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。
6、 简述ARP的工作过程及ARP欺骗。
ARP的工作过程:
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
7、 简述包过滤型防火墙的概念、优缺点和应用场合。
答:包过滤型防火墙的概念:
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
8、什么是拒绝服务攻击?如何阻挡?
答:拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。服
务质量下降甚至不能提供服务,系统性能遭到不同程度的破坏,降低了系统资源的可用性。系统资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间,拒绝服务的结果是减少或失去服务。
对于拒绝服务式攻击我们不能完全消除它们,遇到这种攻击时,可以采用以下几种办法处理:
① 寻找一种方法来过滤掉这些不良的数据包;
② 提高对接受数据进行处理的能力;
③ 追查并关闭那些发动攻击的站点;
④ 增加硬件设备或者提高网络容量,以从容处理正常的负载和攻击数据流量。
9、防火墙有几类?简述分组过滤防火墙。
答:根据防火墙在网络协议中的过滤层次不同,我们把防火墙分为三种:包过滤防火墙、电路级网关防火墙、应用级网关防火墙。
分组过滤器是目前使用最为广泛的防火墙,其原理很简单:1、有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换;2、作用在网络层和传输层;3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发,否则丢弃。
10、密要分配的几种方法
答:通信双方可通过三种基本方法实现秘密信息的共享:一是利用安全信道实现密钥传递;二是利用双钥体制建立安全信道传递;三是利用特定的物理现象(量子技术)实现密钥传递。
11、描述三次握手的过程
答:TCP是面向连接的,所谓面向连接,就是当计算机双方通信时必需先建立连接,然后数据传送,最后拆除连接三个过程
并且TCP在建立连接时又分三步走:
第一步是请求端(客户端)发送一个包含SYN即同步标志的TCP报文,SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。然后才开始通信的第二步:数据处理。
这就是所说的TCP三次握手
12.简述CA对数字证书签名及数字证书的验证过程。
答:数字证书签名
CA首先要对证书的所有字段计算一个信息摘要,而后用CA私钥机密消息摘要,构成CA的数字签名。CA将计算出的数字签名作为数字证书的最后一个字段插入,类似于护照上的印章与签名。该过程有密码运算程序自动完成。
数字证书验证
(1)用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。
(2)由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要,设该信息摘要为MD1.
(3)用户从证书中取出CA的数字签名。
(4)用户用CA的公钥对CA的数字签名信息进行解密运算。
(5)解密运算后获得CA签名所使用的信息摘要,设为MD2.
(6)用户比较MD1与MD2。若两者相符,则可肯定数字证书已由CA用其私钥签名,否则用户不信任该证书,将其拒绝。
1.如何使用防火墙限制连接带宽?
1. 步骤如下:
第一步:配置防火墙接口的IP地址
进入防火墙的配置页面:网络配置——>接口IP,单击按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。为防火墙的WAN接口配置IP地址及子网掩码。
第二步:配置NAT规则
进入防火墙配置页面:安全策略——>安全规则,单击页面上方的按钮添加NAT规则,NAT规则中我们丢内部访问外部的HTTP流量进行NAT转换。
第三部:验证测试
在内部用户PC上访问外部的Wab服务器1.1.1.100,可以成功访问。
第四步:配置带宽列表
进入防火墙配置页面:对象定义-->带宽列表,单击页面中的按钮创建带宽列表。在贷款列表中配置保证带宽为256kbps,最大带宽为512kbps. 第五步:应用带宽列表
进入防火墙配置页面:安全策略-->安全规则,对之前创建的NAT
规则进行编辑。在NAT规则的流量控制下拉框中选择刚才创建的带宽列表“http_limit”
第六步:验证测试
在内部用户PC上从Web服务器下载文件,观察下载速度,最后下载速度稳定在大约65kb/s,月520kb/s,与之前设置的最大带宽512kbps相近。
2. 如何从备份中恢复数据?
2. (1)单击“开始”按钮,然后单击“运行”按钮,输入ntbackup,然后单击“确定”按钮,此时会出现“备份或还原向导”。单击“下一步”按钮。
(2)在“备份或还原”页面中,单击“还原文件和设置”,然后单击“下一步”按钮。在“还原项目”页面上,单击项目以展开其内容。选择包含要还原的数据的所有设备或文件夹,然后单击”下一步“按钮。
(3)在“完成备份或还原向导”页面中,如果您要更改任何高级还原选项,例如还原安全设置和交点数据,请单击“高级”选项。完成设置高级还原选项后,单击“确定”按钮。验证是否所有设置都正确,然后单击“完成”按钮。
1. 计算机网络安全的目的什么?
答:计算机网络安全的目的简单地说就是要充分利用现有的各种网络安全技术手段使计算机网络的使用者获得良好的网络安全使用环境。
2. 网络安全的核心是什么?
答:其核心是网络的信息安全,确保网络信息的可靠传输,不被窃取与篡改。网络安全的基本功能是要保证网络系统的正常运行,具有良好的可用性。
3. 说一说对于不同安全等级的网络应该采用什么安全技术?
答:不同等级的网络安全需求处理手段上不同的,可以只对单机进行安全处理,如简单安装地杀毒软件,进行操作系统的安全配置;也可以加装集中或者分
布式式的网络安全软件,进行全局的网络安全控制;安全等级较高的网络可以采用专业的网络安全设备,如:防火墙、入侵检测系统、入侵防护系统、各种安全网关与网络隔离系统等。
4. 什么是网络攻击?
答:网络攻击实质上就是黑客利用被攻击方自身网络系统存在的安全漏洞,使用网络命令或者专用软件对网络实施的攻击。攻击可能导致网络瘫痪,也可能破坏信息的传播,还可能使系统失去控制权。网络攻击与一般的病毒、木马的攻击是有差别的,它对于计算机的破坏性也是不相同的。病毒与木马是利用系统以及系统中应用程序的缺陷实施对于系统的破坏,网络只是其传播的途径,而网络攻击的特点是利用网络的缺陷的实现对于网络的攻击,以破坏网络中的信息的正常传送为目的。
5. 说一说重点对付DDoS攻击的一些常规的网络攻击防范的方法?
答:定期扫描,在骨干节点配置防火墙,用足够的机器承受黑客攻击,充分利用网络设备保护网络资源,过滤不必要的服务和端口,检查访问者的来源,限制SYN/ICMP流量等。
6. 什么是流氓软件?
答:“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。“流氓软件”是指介于病毒和正规软件之间的一类软件。
7. 流氓软件与病毒的区别?
答:计算机病毒指的是指那些自身具有或使其它程序具有破坏功能,能够危害用户数据,或具有其它恶意行为程序。这类程序不但影响计算机使用,而且能够自我复制。“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。它与病毒或者蠕虫不同,是由小团体或者个人秘密地编写和散播,由很多知名企业和团体涉嫌的一类软件。
8. 简单说一说什么是端口扫描?
答:网络端口扫描是指用端口扫描软件对需要扫描目标主机的端口发送探测数据包,根据返回的端口状态信息,分析主机的端口是否打开,是否可用的过程。端口扫描是通过与目标主机的TCP/IP端口建立连接,并请求某些服务,记录目标主机的应答,收集目标主机相关信息,确定端口正在进行的服务,获取服务的信息,发现目标主机某些内在的安全弱点。
9. 什么网络是嗅探?
答:嗅探(Sniffer)技术是网络安全检测技术中很重要的一种,它是一种可以捕获网络报文的软件工具或者设备,网络安全管理人员会经常借助此类工具对网络的各种活动进行实时监测,发现网络中的攻击行为。与主动扫描相比,嗅探的行为更难察觉,因此,黑客也会利用具有很强非常隐蔽性的嗅探技术攫取网络中的敏感信息。
10. 说一说网络嗅探的检测方法?
答:(1) 网络通讯掉包率反常的高
(2) 网络带宽出现反常
(3) 监控本地局域网的数据帧
(4) 本机监控
(5) ping检测
11. 什么是网络边界?
答:不同安全级别的网络存在着互联互通问题。政府要开放办公,其内网就需要与外网相联;商业银行要支持网上交易,其数据网也必须与互联网相连;企业要实现信息资源的共享和管理,其办公网与生产网、办公网与互联网的之间也存在连接问题;民航、铁路与交通部门要实现网上定票与实时信息查询也存在信息网与互联网的连接问题。不同安全级别的网络之间的互连就形成了网络边界,网络边界是指内部安全网络与外部非安全网络的分界线。由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。
12. 说一说IPS的类型。
答:随着IPS技术的发展,IPS因其应用环境和使用的技术不同出现了不同的产品类型,一般分为基于主机的入侵防护系统(HIPS),基于网络的入侵防护系统(NIPS)和应用入侵防护系统(AIP)。HIPS能够保护服务器的安全弱点不被不法分子所利用。NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。AIP实际上是NIPS的一个特例,因此IPS一般可分成两类。
13. 如何理解防火墙的局限性?
答:利用防火墙可以保护计算机网络免受外部黑客的攻击,但它只是能够提高网络的安全性,不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,甚至防火墙产品自身是否安全,设置是否正确,都需要经过检验。如防火墙不能防范不经过防火墙的攻击,很难防范来自于网络内部的攻击以及病毒的威胁等。
为什么说隔离网闸能够防止未知和已知木马攻击?
一、 论述题(15分)
1. 简单说一说计算机病毒的防护方法?
答:计算机病毒防护首先是要建立计算机网络病毒防护技术体系,包括单机防护、网络病毒防护、网关病毒防护与病毒追查系统。单机病毒防御是传统防御模式,是固守网络终端的最后防线。单机防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都是有意义的。它用来阻止来自软盘、光盘、共享文件、互联网病毒的入侵,实现重要数据备份功能。根据网络操作系统使用情况,局域网服务器必须配备相应防病毒软件,当然,基于UNIX/LINUX、Windows//2000/2003/2007以及dos等平台要配置对应的操作系统的安全防范软件,全方位的防卫病毒的入侵。在规模局域网内配备网络防病毒管理平台是必要的,如在网管中心中,配备病毒集中监控中心,集中管理整个网络的病毒疫情,在各分支网络也配备监控中心,以提供整体防病毒策略配置,病毒集中监控,灾难恢复等管理功能,工作站、服务器较多的网络可配备软件自动分发中心,以减轻网络管理人员的工作量。在网络出口处设置有效的病毒过滤系统,如防火墙将数据提交给网关杀毒系统进行检查,如有病毒入侵,网关防毒系统将通知防火墙立刻阻断病毒攻击的IP。
2. 假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取哪些
措施来构建
你的网络安全体系,这些措施各有什么作用,它们之间有什么联系?
答:如果是一个校园网,有教务系统、实验实训室、图书馆、网络中心、学生宿舍区等等,我们可以采用下面的安全方法:
在网络出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。
在内网使用IDS,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。
如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。
对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。
3. 说一说木马的防治方法?
答:① 安装反病毒软件。 时刻打开杀毒软件,大多数反病毒工具软件几乎都可检测到所有的特洛伊木马,但值得注意的是,应及时更新反病毒软件。
② 安装特洛伊木马删除软件。反病毒软件虽然能查出木马,但却不能将它从计算机上删除。为此必须安装诸如TROJIAREMOVER之类的软件。
③ 建立个人防火墙。当木马进入计算机时,防火墙可以对你进行有效保护。
④ 不要执行来历不明的软件和程序。 木马的服务端程序只有在被执行后才会生效。通过网络下载的文件,QQ或MSN传输的文件,以及从别人那拷贝来的文件,对电子邮件附件在没有十足把握的情况下,千万不要将它打开。最好是在运行它之前,先用反病毒软件对它进行检查。
4. 说一说UTM与防火墙的区别?
答:UTM与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面: 首先,传统防火墙功能模块工作在网络协议的第三层,大多数用一种状态检测和转发TCP/IP数据包。UTM中的防火墙侧不仅可实现传统的包状态检测和过滤功能,而且还可以决定防病毒、入侵检测、VPN等功能是否开启及其工作模式。通过防火墙的策略,实现多种功能好的融合。
其次,从系统角度来讲,UTM防火墙不仅要实现网络访问的控制,同时也要实现数据包的识别与转发,例如HTTP、Mail等协议的识别与转发,这就要求UTM的设计要减轻系统数据处理的工作量,提高系统的性能和效率。
其三,UTM防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持多种新技术,如VoIP、H.323、SIP、IM和P2P等,其起点比防火墙要高很多,应用前景更广,适应性更强。
其四,从UTM的操作界面上,用户可以清楚地看出,UTM的安全策略会有更多的选择。在UTM平台上植入了内容更加丰富,且层次分明、操作简单、同时又灵活实用的安全防护策略。
5. 说一说网络防火墙与隔离网闸的区别?
答:在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它具有广泛的应用领域,拥有广泛的市场。而网闸则是以安全为主,在保证安全的前提下,支持应用。网闸主要用于安全性要求极高的领域,如政府网络,工业控制系统保护等。由于网闸把安全性放在首位,有更加严格的安全规则和更多地限制,因此可以应用的范围比防火墙要窄一些,主要用于那些对安全性要求较高的环境。防火墙可以应用于非常广泛的应用领域,甚至包括个人电脑,但它的安全性却差强人意。人们常常发现被防火墙防护的网络会依然被黑客和病毒攻击。根据美国财
经杂志统计资料表明,30%的入侵发生在有防火墙的情况下进行的。由于设计理念的差别,防火墙有软件防火墙,但却没有软件网闸。
设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可以有多种设计方式,但一般来说,它都是单一的计算机系统由一个操作系统来控制构的,用户的内网和外网都连接在这同一个系统上。然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网处理单元和一个隔离岛。一般来说,内外网处理单元是两个完全独立计算机的系统构,拥有各自独立的操作系统。内网处理单元与用户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛进行非协议的信息交换。可以看得出来,网闸的结构较防火墙要复杂的多,显然有两个独立的系统分别连接内外网,中间再由隔离岛隔离,要比防火墙的设计要安全得多,当然设计的难度也要高得多。当然区别不仅仅如此,由于设计理念以及硬件结构的完全不同,在软件设计上也有很大的区别。
无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。两种产品由于定位的不同,因此不能相互取代。
1. TCP/IP的分层结构以及它与OSI七层模型的对应关系。
TCP/IP层析划分 OSI层次划分
应用层 应用层
会话层
传输层 会话层
传输层
网络层 网络层
数据链路层 链路层
物理层
2. 简述拒绝服务攻击的概念和原理。
广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。
3. 简述交叉认证过程。
首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
4. 简述SSL安全协议的概念及功能。
SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
5. 简述好的防火墙具有的5个特性。
(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
6. 简述电子数据交换(EDI)技术的特点。
特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。
五、 综述题(20分)
1. 简述ARP的工作过程及ARP欺骗。(10分)
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
2. 简述包过滤型防火墙的概念、优缺点和应用场合。(10分)
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
*1.网络安全的含义?
( 是指保护网络系统的硬件、软件及其信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统连续、可靠、正常地运行,网络服务不中断。) ※2.主要的网络安全问题包括哪几方面?对此有何对策?
(主要的网络安全问题:
(1).网络系统软件自身的安全问题 : 安全漏洞及时弥补
(2).网络系统中数据库的安全问题:数据的安全性、完整性和并发控制
(3).传输的安全与质量 :防窃听、可靠性
(4).网络安全管理问题:安全管理、管理的安全性
(5).各种人为因素 :病毒、黑客、人员的疏忽
对策
物理安全策略:硬件实体和通信链路工作环境安全
访问控制策略 :
(1)入网访问控制 :用户帐号识别与验证、口令识别与验证、用户帐号的缺省限制检查。
(2)网络的权限控制:
根据访问权限将用户分为:特殊用户(系统管理员)、一般用户、审计用户。
(3)目录级安全控制
对目录和文件的访问权限一般有8种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access control)。
(4)属性安全控制:
向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享、系统属性等。
(5)网络服务器安全控制 :
设置口令锁定服务器控制台;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
(7)网络端口和节点的安全控制
(8)防火墙控制
信息加密策略:
对称密码算法和非对称密码算法
安全管理策略:
( 确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。)
第2-4章
#3.简述DES算法的基本过程。
• (DES算法的入口参数有三个:Key(密钥)、Data(64位明文)、Mode(工作方式:加密或解密)
• (1)对64位的明文,通过一个固定的初始置换(IP)后得到L0,R0左右两部分。
(2)经过16次迭代:Li=Ri-1 , Ri=Li-1⊕f(Ri-1,Ki)
其中,K1,K2,„„K16是长为48位的子密钥,是密钥key(64位)经过变换得来的。
(3)最后,对R16,L16使用逆置换(IP-1)得到64位密文。)
#4.简述RSA算法的基本过程。
• (假定用户A要发送消息M(明文)给用户B,过程如下:
• (1)首先用户B产生两个大质数p和q(保密)。
• (2)用户B计算n=pq(公开)。
• (3)用户B选择一个随机数e(比n小),使得e和(p-1)(q-1)互为质数,即除了1以外,没有其它的公因数。
• (4)用户B通过计算得出d(保密),使得d满足:
• (ed-1)能被(p-1)(q-1)整除
• (5)用户B将公钥n和e公开,私钥n,d保密。
• 用户A通过公开渠道查到n、e;对M(明文)施行加密变换:
• C(密文)=Me(mod n)
• 用户B收到密文后,施行解密变换:M=Cd(mod n) )
#5.试述对称加密体制和非对称加密体制的优缺点,分析一般的加密系统是如何结合使用这两种算法实现优势互补的。
• (对称加密体制:加密和解密都采用同一把密钥,通信双方都必须获得这把钥匙并对钥匙保密。优点:加密数据时速度较快。缺点:对称密钥的分发存在安全问题。
• 非对称加密体制:在加密过程中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥进行保存。公开密钥用于对信息进行加密,私有密钥则用于对加密信息进行解密。 • 优点:不存在密钥分发引起的安全问题。缺点:加密数据的速度较慢。 如何优势互补?
用对称加密算法加密数据,用公钥加密对称密钥,把加密后的数据和对称密钥发送给接受者。从而保证数据和对称密钥的安全。)
*6.什么是数字信封?
• (数字信封中采用了对称加密体制和公钥密码体制。信息发送者首先利用随机产生的对称密钥加密信息,再利用接收方的公钥加密对称密钥,被公钥加密后的对称密钥被称之为数字信封。)
*7.数字签名的基本原理?
• (在公钥制加密技术中,加密和解密过程是双向的。不仅仅用公钥加密的数据只能用私钥解密,而且用私钥加密的数据也能用公钥解密。
• 如果用私钥加密数据,任何人都可以解密数据(因为公钥是公开的),这样的加密算法确实不能让数据保密,但却可以证明一个事实:
• 如果公钥可以顺利的解密一个数据,则该数据一定是用相应的私钥加密的。 •
• 这就可以证实:数据只能是私钥持有者发送的,因为只有他才拥有该私钥。这就好像私钥持有者在数据上签了名一样,这一技术称为数字签名。)
#8.简述对称密钥体系和非对称密钥体系中的密钥管理方法。
(对称密钥体系密钥管理方法:
1、密钥分配中心KDC
2、基于公钥体制的密钥分配、数字信封。在这个对称密钥的分配过程中,不再需要在线的密钥分配中心,也节省了大量的通信开销。
非对称密钥体系密钥管理方法:
主要有两种公钥管理模式:
一种采用证书的方式,公钥证书是由一个可信的人或机构签发的,它包括证书持有人的身份标识、公钥等信息,并由证书颁发者对证书签字。在这种公钥管理机制中,首先必须有一个可信的第三方,来签发和管理证书,这个机构通常称为CA(Certificate Authority)。
另一种是PGP采用的分布式密钥管理模式。采用了通过介绍人(introduder)的密钥转介方式,更能反映出人们的社会自然交往,而且人们也能自由地选择信任的人来介绍,非常适用于分散的用户群。 )
#9.什么是数字证书?数字证书有哪几种类型,数字证书有哪些用途?
(数字证书,也称公钥证书,它是由称作证书机构的人或实体签发的、用于绑定证书持有人的身份及其公钥的一个数据结构,是公钥密码体制进行密钥管理的基本方法。)
• #10.试述对称加密体制和非对称加密体制的不同。
• (对称加密体制:加密和解密都采用同一把密钥,通信双方都必须获得这把钥匙并对钥匙保密。
• 非对称加密体制:在加密过程中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥进行保存。公开密钥用于对信息进行加密,私有密钥则用于对加密信息进行解密。)
#11.简述如何利用秘密共享协议来实现密钥的备份?
(答案提示:密钥分成若干片,发给不同的人保存)
*12.简述数字签名的目的有哪些?
(答案提示:消息源认证、不可伪造、不可重用、不可抵赖)
第5-6章
#13.什么是计算机病毒?简述计算机病毒的特性。
(计算机病毒是:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
特性:
计算机病毒的可执行性(程序性):计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。
计算机病毒的寄生性(依附性) :病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。
计算机病毒的传染性:计算机病毒一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
计算机病毒的潜伏性:病毒程序不用专门检测程序是检查不出来的; 而且计算机病毒的内部往往有一种触发机制,触发条件一旦得到满足,计算机病毒则会开始运行。
计算机病毒的可触发性 :病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒的衍生性 :可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。
病毒的破坏性:对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源 。
隐蔽性:病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析,病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。
一是传染的隐蔽性,大多数病毒在传染时速度是极快的,不易被人发现。
二是病毒程序存在的隐蔽性,一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。 )
#14.简述木马入侵的原理。
(木马由两部分组成:客户端程序和服务器端程序。
木马入侵时:木马的服务器端程序(几K到几十K)植入用户的机器。 方法:(1)攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上,诱使用户下载并运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。
(2)脚本漏洞 :脚本(Script、ActiveX、Asp等)程序上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马。
(3)系统漏洞:利用操作系统的一些漏洞植入。
当特洛伊木马的服务器端程序植入用户的机器并启动之后,它就可以直接与攻击者机器上运行的客户端程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
• *15.简述DoS攻击的基本过程。A
(基本过程:
(1)攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断。
(2)攻击者会不断传送新的请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。)
#16.计算机中毒后应该采取哪些应急措施?
(答案提示:查毒、杀毒)
#17.简述病毒与木马程序有何不同?
(答案提示:目的不同,结构不同)
*18.计算机病毒的定义
(答案提示:病毒是具有破坏作用的程序代码)
第7-12章
#19.常见的Web安全威胁有哪些?
(答案提示:电子欺骗、篡改、否认、信息泄漏、拒绝服务、特权升级) #20.什么样的行为称为电子邮件欺骗?
(答案提示:在电子邮件中改变名字,使之看起来是从某地或某人发来的行为,然后举例说明)
五、论述题(每题10分,共20分)
第1章
#1.在使用网络的过程中你有没有遇到过网络安全方面的问题?采取了哪些应对措施?
(答案提示:结合实际谈一谈网络安全策略)
※2. 试述网络安全对社会政治、军事、经济等方面的影响?
第2.3章
#3.试述产生一个好的密钥应该考虑哪些方面的问题?
(答案提示:密钥空间、弱密钥、随机过程)
#4.什么是对称密码和非对称密码,分析这两种密码体系的特点和应用领域。 (答案提示:前者应用于加密领域,后者应用于认证领域)
#5. 试述DES算法的设计思想和RSA算法的设计思想?
• ((DES算法的入口参数有三个:Key(密钥)、Data(64位明文)、Mode(工作方式:加密或解密)
• (1)对64位的明文,通过一个固定的初始置换(IP)后得到L0,R0左右两部分。
(2)经过16次迭代:Li=Ri-1 , Ri=Li-1⊕f(Ri-1,Ki)
其中,K1,K2,„„K16是长为48位的子密钥,是密钥key(64位)经过变换得来的。
(3)最后,对R16,L16使用逆置换(IP-1)得到64位密文。)
)
• (假定用户A要发送消息M(明文)给用户B,过程如下:
• (1)首先用户B产生两个大质数p和q(保密)。
• (2)用户B计算n=pq(公开)。
• (3)用户B选择一个随机数e(比n小),使得e和(p-1)(q-1)互为质数,即除了1以外,没有其它的公因数。
• (4)用户B通过计算得出d(保密),使得d满足:
• (ed-1)能被(p-1)(q-1)整除
• (5)用户B将公钥n和e公开,私钥n,d保密。
• 用户A通过公开渠道查到n、e;对M(明文)施行加密变换:
• C(密文)=Me(mod n)
• 用户B收到密文后,施行解密变换:M=Cd(mod n) )
※6.假如在外地出差的销售代表意图把敏感的文件传送给公司中的经理。并且销售代表有:对称加密算法和经理的公钥。请写出采用数字信封的方式加密信息的全过程。
(答案提示:数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。
在传递信息后,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。
)
#第4-6章
7..结合实际谈一谈你使用的计算机是否感染过计算机病毒,感染过哪些病毒,采取了哪些措施?
第7章
#8.举出两种你所知道的互联网服务,并简单说明这些服务的使用情况以及存在的安全问题和应对措施。(比如电子邮件服务和www服务等)
(答案提示:www ftp e-mail 等的安全问题 )
第8-12章
#9.E-mail炸弹会给用户带来怎样的危害?可以采取哪些有效的解救方法? (答案提示:使邮箱不可用,解救方法:向ISp求助;用软件清除;使用阻止发件人功能)
#10.试述电子邮件面临哪些安全威胁?
(答案提示:匿名转发、邮件炸弹、电子邮件欺骗)