信息安全技术考试简答题_精品文档Word格式.docx
《信息安全技术考试简答题_精品文档Word格式.docx》由会员分享,可在线阅读,更多相关《信息安全技术考试简答题_精品文档Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
纠错编码和差错控制是对付信道干扰的有效方法。
对付非法入侵者主动攻击的有效方法是报文认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。
(5)认证机制:
在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。
(6)业务流填充机制:
攻击者通过分析网络中某一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间在无正常信息传送时,持续传送一些随
机数据,使攻击者不知道哪些数据是有用的,哪些数据是无用的,从而挫败攻击者的信息流分析。
(7)路由控制机制:
在大型计算机网络中,从源点到目的地往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全
路径,以确保数据安全。
(8)公证机制:
在大型计算机网络中,并不是所有的用户都是诚实可信的,同时也可能由于设备故障等技术原因造成信息丢失、延迟等,用户之间很可能引起责任纠纷,为了解
决这个问题,就需要有一个各方都信任的第三方以提供公证仲裁,仲裁数字签名技术就是这种公证机制的一种技术支持。
3.简述DNS欺骗攻击的基本原理
DNS欺骗的基本原理是:
域名解析过程中,假设当提交给某个域名服务器的域名解析请求的数据包被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求
者。
这时,原始请求者就把这个虚假的IP地址作为他所要请求的域名而进行连接,显然他被欺骗到了别处而根本连接不上自己想要连接的那个域名。
这样,对那个客户想要连接的域名而言,它就算是被黑掉了,因为客户没有得到它的正确的IP地址而无法连接上它。
4.请描述机房面积的两种估算方法
机房面积的大小与需要安装的设备有关,另外还要考虑人在其中工作是否舒适。
通常机房面积有两种估算方法。
一种是按机房内设备总面积M计算。
计算公式如下:
机房面积=(5~7)M
这里的设备面积是指设备的最大外形尺寸,要把所有的设备包括在内,如所有的计算机、网络设备、I/O设备、电源设备、资料柜、耗材柜、空调设备等。
系数5~7是根据我国现有机房的实际使用面积与设备所占面积之间关系的统计数据确定的,实际应用时要受到本单位具体情况的限制。
另一种方法是根据机房内设备的总数进行机房面积的估算。
假设设备的总和数为K,则估算公式如下:
机房面积=(4.5~5.5)K(m2)
在这种计算方法中,估算的准确与否和各种设备的尺寸是否大致相同有密切关系,一般的参考标准是按台式计算机的尺寸为一台设备进行估算。
如果一台设备占地面积太大,最好将它按两台或多台台式计算机来计算,这样可能会更准确。
系数4.5~5.5也是根据我国具体情况的统计数据确定的。
5.简述Smurf攻击原理
Smurf攻击将伪造ICMPEcho请求报文的IP头部,将源地址伪造成目标主机的IP地址,并用广播(broadcast)方式向具有大量主机的网段发送,利用网
段的主机群对ICMPEcho请求报文放大回复,造成目标主机在短时间内收到大量ICMPEcho响应报文,因无法及时处理而导致网络阻塞。
这种攻击方式具有“分布式”的特点,利用Internet上有安全漏洞的网段或机群对攻击进行放大,从而给被攻击者带来更严重的后果,要完全解决Smurf带来的网络阻塞,可能需要花费很长时间。
6.请简单介绍计算机病毒的基本结构
计算机病毒是一种特殊程序,其最大的特点是具有感染能力。
病毒的感染动作受到触发机制的控制,同样受病毒触发机制控制的还有病毒的破坏动作。
病毒程序一般由主控模块、感染模块、触发模块和破坏模块组成,但并不是所有的病毒都具备这4个模块,如巴基斯坦病毒就没有破坏模块。
1.主控模块
主控模块在总体上控制病毒程序的运行,协调其他模块的运作。
染毒程序运行时,首先运行的是病毒的主控模块。
其基本动作如下:
(1)调用感染模块,进行感染。
(2)调用触发模块,接收其返回值。
(3)如果返回真值,则执行破坏模块。
(4)如果返回假值,则执行后续程序。
一般来说,主控模块除完成上述动作外,还要执行下述动作:
(1)调查运行的环境,如确定系统内存容量、磁盘设置等参数。
(2)常驻内存的病毒还要请求内存区、传送病毒代码、修改中断向量表等动作。
(3)处理病毒运行时的意外情况,防止病毒自身信息的暴露。
2.感染模块
感染模块的作用是将病毒代码传染到其他对象上去,负责实现感染机制。
有的病毒有一个感染标志(又称病毒签名),但不是所有的病毒都有感染标志。
感染标志是一些数字或字符串,它们以ASCII码方式存放在宿主程序里。
一般病毒在对目标程序传染前会判断感染条件,如是否有感染标志或文件类型是否符合传染标准等,具体如下:
(1)寻找一个适合感染的文件。
(2)检查该文件中是否有感染标志。
(3)如果没有感染标志,则进行感染,将病毒代码放入宿主程序。
感染标志不仅被病毒用来决定是否实施感染,还被病毒用来实施欺骗。
不同病毒的感染标志的位置、内容都不同。
通常,杀毒软件将感染标志作为病毒的特征码之一。
同时,人们也可以利用病毒根据有无感染标志感染这一特性,人为地、主动地在文件中添加感染标志,从而在某种程度上达到病毒免疫的目的。
3.触发模块
触发模块根据预定条件满足与否,控制病毒的感染或破坏动作。
病毒的触发条件有多种形式,主要有日期和时间触发、键盘触发、启动触发、磁盘访问触发和中断访问触发及其他触发方式。
病毒触发模块的主要功能如下:
(1)检查预定触发条件是否满足。
(2)如果满足,返回真值。
(3)如果不满足,返回假值。
4.破坏模块
破坏模块负责实施病毒的破坏工作,其内部是实现病毒编写者预定破坏动作的代码。
这些破坏动作可能是破坏文件和数据,也可能是降低计算机的空间效率和时间效率或使计算机系统崩溃。
计算机病毒的破坏现象和表现症状因具体病毒而异;
计算机病毒的破坏行为和破坏程度,取决于病毒编写者的主观愿望和技术能力。
有些病毒的该模块并没有明显的恶意破坏行为,仅在被感染的系统设备上表现出特定的现象,该模块有时又被称为表现模块。
在结构上,破坏模块一般分为两部分:
一部分判断破坏的条件;
另一部分执行破坏的功能。
7.描述信息隐藏的空间域算法(基于图像低于字节隐藏数字签名信息)
2.空间域算法
基于图像低位字节对图像影响较小的原理,下面给出一个24位彩色图像的信息隐藏算法,算法示意图见图3-3-3。
算法过程描述如下:
(1)将待隐藏信息(称为签名信息)的字节长度写入BMP文件标头部分的保留字节中。
(2)将签名信息转化为二进制数据码流。
(3)将BMP文件图像数据部分的每个字节的最低位依次替换为上述二进制数码流的一个位。
依照上述算法,一个24位的彩色图像经空间域变换后的图像如图3-3-4所示。
由于原始24位BMP图像文件隐藏信息后,其数据部分每字节数值最多变化1位,该字节代表的像素最多只变化了1/256,因此已隐藏信息的BMP图像与未隐藏信息的BMP图像用肉眼是看不出差别的。
如果将BMP文件图像数据部分的每个字节最低4位依次替换为签名信息二进制数码流的4位,则由于原始24位BMP图像文件隐藏信息后,其数据部分字节数值最多变化为16,该字节代表的像素最多变化了1/16,因此已隐藏信息的BMP图像与未隐藏信息的BMP图像(如图3-3-5所示)用肉眼能看出差别。
8.简述UDPFlood攻击原理
2.利用目标自身的资源攻击
攻击者也可以利用目标主机系统自身的资源发动攻击,导致目标系统瘫痪。
通常利用目标自身的资源攻击有以下几种方式,其中UDPFlood攻击是这类攻击模型的典型。
(1)UDPFlood攻击。
攻击者通过伪造与某一主机的chargen服务之间的一次UDP连接,回复地址指向开着Echo服务的一台主机,伪造的UDP报文将在两台主机之间生成足够
多的无用数据流,以消耗掉它们之间所有可用的网络带宽。
结果被攻击的网段的所有主机(包括这两台被利用的主机)之间的网络连接都会受到较严重的影响。
9.数据备份计划的步骤有哪些?
IT专家指出,对于重要的数据来说,有一个清楚的数据备份计划非常重要,它能清楚地显示数据备份过程中所做的每一步重要工作。
数据备份计划分以下几步完成:
第一步:
确定数据将受到的安全威胁。
完整考察整个系统所处的物理环境和软件环境,分析可能出现的破坏数据的因素。
第二步:
确定敏感数据。
对系统中的数据进行挑选分类,按重要性和潜在的遭受破坏的可能性划分等级。
第三步:
对将要进行备份的数据进行评估。
确定初始时采用不同的备份方式(完整备份、增量备份和差分备份)备份数据占据存储介质的容量大小,以及随着系统的运行备份数据的增长情况,以便下一步确定将要采取的备份方式。
第四步:
确定备份所采取的方式及工具。
根据第三步的评估结果、数据备份的财政预算和数据的重要性,选择一种备份方式和备份工具。
第五步:
配备相应的硬件设备,实施备份工作。
10.简述基于交换机的监听原理
基于交换机的监听不同于工作在物理层的HUB,交换机是工作在数据链路层的。
交换机在工作时维护着一张ARP的数据库表,在这个库中记录着交换机每个端口所绑定的MAC地址,当有数据报发送到交换机时,交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,交换机转发的报文是一一对应的。
对交换机而言,仅有两种情况会以广播方式发送:
一是数据报的目的MAC地址不在交换机维护的数据库中,此时报文向所有端口转发;
二是报文本身就是广播报文。
因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能截获的数据。
为了实现监听的目的,可以采用MACf1ooding和ARP欺骗等方法。
(1)MACflooding:
通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。
(2)ARP欺骗:
ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将目标系统的网关的MAC地址修改为
发起攻击的主机MAC地址,使数据包都经由攻击者的主机。
这样,即使系统连接在交换机上,也不会影响对数据包的窃取,因此就可轻松地通过交换机来实现网络监听。
11.成功创建防火墙系统,一般需要做哪些工作?
成功创建防火墙系统一般需要6步:
制定安全策略、搭建安全体系结构、制定规则次序、落实规则集
升级会员 