信息安全相关知识Word文档格式.docx

信息安全相关知识Word文档格式.docx

《信息安全相关知识Word文档格式.docx》由会员分享，可在线阅读，更多相关《信息安全相关知识Word文档格式.docx（17页珍藏版）》请在冰豆网上搜索。

加密解密密码不同；

私钥保密存放，公钥公开存放；

通信前，收发双方无需实现密钥共享；

可应用于数据加解密、数字签名、密钥交换等方面，实现数据保密、认证、数据完整性、不可否认性等安全服务。

4：

保证密码系统安全就是要保证密码算法的安全性，这种说法是否错误，并解释。

说法错误，系统的保密性不依赖于对加密体制或算法的保密，而仅依赖于密钥的安全性。

对于当今的公开密码系统，加密解密算法是公开的。

5：

PKI，PKI的组成部分，各部分的作用。

PKI，PublicKeyInfrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。

PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。

是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。

完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分；

认证机构（CA）：

即数字证书的申请及签发机关，CA必须具备权威性的特征；

数字证书库：

用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；

密钥备份及恢复系统：

如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。

为避免这种情况，PKI提供备份与恢复密钥的机制。

但须注意，密钥的备份与恢复必须由可信的机构来完成。

并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。

证书作废系统：

证书作废处理系统是PKI的一个必备的组件。

与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。

为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口（API）：

PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

6：

CA之间的信任模型有哪几个，分别描述。

单CA信任模型：

整个PKI中只有一个CA，为所有的终端用户签发和管理证书，PKI中的所有终端用户都信任这个CA。

每个证书路径都起始于改CA的公钥，改CA的公钥成为PKI系统中的唯一用户信任锚。

优点：

容易实现，易于管理，只需要一个根CA，所有终端用户就可以实现相互认证；

缺点：

不易扩展到支持大量用户或者不同的群体用户。

终端的用户群体越大，支持所有的必要应用就会越困难。

严格分级信任模型：

以主从CA关系建立的分级PKI结构，有一个根CA，根CA下有零层或多层子CA，根CA为子CA颁发证书，子CA为终端用户颁发证书。

终端进行交互时，通过根CA来对对证书进行有效性和真实性的认证。

信任关系是单向的，上级CA可以而且必须认证下级CA，而下级不能认证上级CA。

增加新的信任域用户比较容易；

证书由于单向性，容易扩展，可生成从终端用户到信任锚的简单明确路径；

证书路径相对较短；

证书短小、简单，用户可以根据CA在PKI中的位置来确定证书的用途。

单个CA的失败会影响到整个PKI系统。

与顶层的根CA距离越小，则造成的影响越大；

建造一个统一的根CA实现起来不太显示。

网状信任模型：

也成分布式信任模型，CA之间交叉认证。

将信任分散到两个或者多个CA上。

具有较好的灵活性；

从安全性削弱的CA中恢复相对容易，并且只是影响到相对较少的用户；

增加新的信任域比较容易。

路径发现比较困难；

扩展性差。

桥CA信任模型：

也称中心辐射式信任模型，用于克服分级模型和网络模型的缺点和连接不同的PKI体系。

桥CA与不同的信任域建立对等的信任关系，允许用户保持原有的信任域。

这些关系被结合起来就形成了信任桥，使得来自不同的信任域用户通过指定信任级别的桥CA相互作用。

类似网络中的HUB集线器。

现实性强；

分散化的特性比较准确地代表了现实世界证书之间的交互关系

证书路径较易发现；

用户只需要知道到桥的路径就可以了

证书路径较短；

桥CA与网状信任相比有更短的可信任路径

WEB信任模型：

构建在浏览器的基础上，浏览器厂商在浏览器中内置了多个根CA，每个根CA相互间是平行的，浏览器用户信任这多个根CA并把这多个根CA作为自己的信任锚。

各个嵌入的根CA并不是被浏览器厂商显示认证，而是物理地嵌入到软件中来发布，作为对CA名字和它的密钥的安全绑定。

方便简单，操作性强，对终端用户的要求较低，用户只需简单地信任嵌入的各个根ＣＡ。

安全性较差；

若有一个根CA损坏，即使其他的根CA完好，安全性也将被破坏

根CA与终端用户的信任关系模糊；

终端用户与嵌入的根CA间交互十分困难，终端用户无法知道浏览器中嵌入了哪个根，根CA也无法知道它的依托方是谁。

根CA预先安装，难于扩展

以用户为中心的信任模型：

每个用户都直接决定信赖和拒绝哪个证书，没有可行的第三方作为CA，终端用户就是自己的根CA；

安全性强；

在高技术高利害关系的群体中比较占优势；

用户可控性强：

每个用户可以决定是否信赖某个证书

使用范围较窄；

需要用户有非常专业的安全知识

在公司、政府、金融机构不适宜；

在这些组织中需要有组织地方式控制公约的使用。

8：

攻击的步骤

进行网络攻击是一件系统性很强的工作，其主要工作流程是：

收集情报，远程攻击，清除日志，留下后门。

9:

可以通过哪些方法搜集信息。

IP扫描端口扫描漏洞扫描操作系统扫描社会工程

10：

操作系统的访问控制方法

自主访问控制（DiscretionaryAccessControl）

基本思想：

对象（object）的创建者为其所有者（owner），可以完全控制该对象

对象所有者有权将对于该对象的访问权限授予他人（grantee）

不同的DAC模型：

StrictDAC:

grantee不能授权他人

LiberalDAC:

grantee可以授权他人

根据grantee可以继续授权的深度可以分为一级的和多级的

存在的问题：

不易控制权限的传递；

容易引起权限的级联吊销；

强制访问控制（MandatoryAccessControl）

强制访问控制是系统独立于用户行为强制执行访问控制，它也提供了客体在主体之间共享的控制，但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问，从而防止对信息的非法和越权访问，保证信息的保密性。

与自主访问控制不同的是，强制访问控制由安全管理员管理，由安全管理员根据一定的规则来设置，普通数据库用户不能改变他们的安全级别或对象的安全属性；

自主访问控制尽管也作为系统安全策略的一部分，但主要由客体的拥有者管理基本假定，

主体和客体的安全标记一旦指定，不再改变

仅有唯一的管理员，无法实现管理的分层关系复杂，不易实现

11：

简述网络嗅探的原理

以太网的数据传输是基于“共享”原理的：

所有的同一本地网范围内的计算机共同接收到相同的数据包。

这意味着计算机直接的通讯都是透明可见的。

正常情况下，以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。

事实上是忽略掉了与自身MAC地址不符合的信息。

嗅探程序正是利用了这个特点，它主动的关闭了这个嗅探器，设置网卡为“混杂模式”。

因此，嗅探程序就能够接收到整个以太网内的网络数据信息，从而实现嗅探功能。

12：

什么是网络蠕虫，描述其特征。

网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，无须计算机使用者干预即可运行的攻击程序或代码。

特征：

具有病毒的特征，传染性，隐蔽性，破坏性；

不利用文件寄生，可以主动传播，并且通过网络可快速传播，容易造成网络拥塞；

具有智能化、自动化和高技术化；

13：

什么是木马技术，木马技术有哪些植入方式。

木马本质上是一个客户端、服务器端的网络软件系统，包括主控端和被控端两个程序，其中主控端安装在攻击者自己的计算机上，用于远程遥控被攻击主机，被控端则通过各种隐秘手段植入到被攻击者的计算机中，从而实现攻击者的远程遥控。

木马的植入是指木马程序在被攻击系统中被激活，自动加载运行的过程。

常见的植入方式有：

通过E-MAIL方式，软件下载，利用共享和Autorun方式，通过网页将木马转换为图片格式，伪装成应用程序扩展程序，利用WinRar制作自释放文件，将木马和其他文件捆绑在一起，基于DLL和远程线程插入。

木马的自动运行方式有：

修改系统配置文件的自动启动选项、加载自动启动的注册表项、修改文件关联加载。

14：

僵尸网络的工作机制，并解释其含义。

僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

攻击者在公共或者秘密设置的IRC聊天服务器中开辟私有聊天频道作为控制频道，僵尸程序中预先就包含了这些频道信息，当僵尸计算机运行时，僵尸程序会自动寻找和连接这些控制频道，收取频道中的消息。

攻击者则通过控制频道向所有连线的僵尸程序发送指令。

从而就可以发动各种各样的攻击。

攻击机制如下图所示：

15：

什么是防火墙，解释防火墙的基本功能，及其局限性。

概念：

为了保护计算机系统免受外来的攻击，在内网与外网Internet之间设置了一个安全网关，在保持内部网络与外部网络的连通性的同时，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

基本功能：

过滤进出网络的数据；

管理进出网络的访问行为；

封堵某些禁止的业务；

记录进出网络的信息和活动；

对网络的攻击进行将侧和报警。

局限性：

使用不便，认为防火墙给人虚假的安全感

对用户不完全透明，可能带来传输延迟、瓶颈及单点失效

无法防范通过防火墙以外途径的攻击；

不能防范来自内部用户的攻击；

不能防止传送已感染病毒的软件或文件；

无法防止数据驱动型的攻击。

16：

简述包过滤防火墙，电路级网关防火墙和应用级网关防火墙的工作原理。

包过滤防火墙对所接收的每个数据包做允许拒绝的决定。

防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。

过滤规则基于可以提供给IP转发过程的包头信息。

包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。

如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。

如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。

速度快、性能高、对用户透明

维护比较困难、安全性低、不提供有用的日志、不能根据状态信息进行有用的控制、不能处理网络层以上的信息、无法对网络上流的信息进行有效地控制。

如图：

电路级网关防火墙

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包。

只依赖于TCP连接，并不进行任何附加的包处理或过滤。

电路级网关首先从客户端获的一个TCP链接请求，认证并授权该客户端，并代表客户端向源服务器建立TCP连接。

如果成功建立好TCP连接，电路级网关则简单地在两个连接之间传递数据。

另外，电路级网关还提供一个重要的安全功能：

代理服务器。

通过网络地址转移（NAT）将所有内部网络的IP地址映射到一个“安全”的网关IP地址，这个地址是由防火墙使用。

最终，在设有电路级网关的网络中，所有输出地数据包好像是直接由网关产生的，从而就避免了直接在受信任网络与不信任网络间建立连接。

对不信任网络只知道电路级网关的地址，从而就可以避免对内部服务器的直接攻击。

应用网关防火墙（ApplicationGateWayFirewall）

应用层网关防火墙检查所有的应用层的信息包，并将检查的内容信息放入决策国策很难过，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机、服务器模式实现的。

每个客户机、服务器通信需要两个连接：

一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每一个代理需要一个不同的应用进程，或是一个后台运行的服务程序，对每一个新的应用必须添加针对此应用的服务程序，否则就不能使用该服务，因此应用网关防火墙可伸缩性较差。

17：

防火墙的体系结构有哪几种，分别说明其特点。

屏蔽路由器

由但以分组的包过滤防火墙或状态检测型防火墙来实现。

通常防火墙功能由路由器提供，改路由器在内部网络与Internet之间根据预先设置的规则对进入内部网络的信息进行过滤。

特点：

数据转发速度快，网络性能损失小，易于实现，费用低

安全性较低，易被攻破。

双重宿主主机体系结构（DualHomeGateWay）

采用单一的代理服务器防火墙来实现，至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。

受到保护的内网与Internet之间不能直接建立连接，必须通过这种代理主机才可以。

主机的安全至关重要，必须支持多用户的访问，性能很重要；

一旦双重宿主主机被攻破，内部网络将会失去保护。

屏蔽主机体系结构

采用双重防火墙来实现，一个是屏蔽路由器，构成内部网络的第一道安全防线，一个是堡垒主机，构成内部网络的第二道安全防线，屏蔽路由器基于下列规则进行屏蔽：

堡垒主机是内部网络的唯一系统，允许外部网络与堡垒主机建立联系，并且只能通过与堡垒主机建立连接来访问内部网络提供的服务。

堡垒主机具有较高的安全级别。

安全性更高双重保护：

实现网络层安全、应用层安全

屏蔽路由器是否安全配置至关重要，一旦屏蔽路由器被损害，堡垒主机将会被穿越，整个内部网络对入侵者开放。

屏蔽子网体系结构

屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。

堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。

周边网络的作用：

即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。

外部路由器的作用：

保护周边网络和内部网络的安全。

内部路由器：

保护内部网络不受外部网络和周边网络的侵害。

有三重屏障，安全性更高，比较适合大型的网络系统，成本也较高。

18：

入侵检测系统由哪些部分组成，各自的作用是什么？

事件产生器（EventGenerators）

事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

是入侵检测的第一步，采集的内容包括系统日式、应用程序日志、系统调用、网络数据、用户行为、其它IDS信息。

事件分析器（Eventanalyzers）

事件分析器分析得到的数据，并产生分析结果。

分析是入侵检测系统的核心。

响应单元（Responseunits）

响应单元则是对分析结果作出作出反应的功能单元，功能包括：

告警和事件报告、终止进程强制用户退出、切断网络连接修改防火墙配置、灾难评估自动恢复、查找定位攻击者。

事件数据库（Eventdatabases）

事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

19：

根据数据的来源不同，入侵检测系统可以分为哪些种类，各自有什么优缺点？

基于主机的入侵检测系统

安装在单个主机或服务器系统上，对针对主机或是服务器系统的入侵行为进行检测和响应，对主机系统进行全面保护的系统。

性价比高：

在主机数量较少的情况下比较适合；

监控粒度更细、配置灵活、可用于加密的以及交换的环境；

可以确定攻击是否成功；

对网络流量不敏感；

不需增加额外的硬件设备；

不适合大型的网络中大量主机的检测，侦测速度较慢，只能运行于特定的操作系统中

基于网络的入侵检测系统

基于网络的入侵检测系统用原始的网络包作为数据源，它将网络数据中检测主机的网卡设为混杂模式，该主机实时接收和分析网络中流动的数据包，从而检测是否存在入侵行为，基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块通常使用四种常用技术来标识攻击标志：

模式、表达式或自己匹配；

频率或穿越阀值；

低级时间的相关性；

统计学意义上的非常规现象检测，一旦检测到了攻击行为，IDS响应模块就提供多种选项以通知，报警并对攻击采取响应的反应，尤其适应于大规模网络的NIDS可扩展体系结构，知识处理过程和海量数据处理技术等。

视野更宽、隐蔽性好、攻击者不易转移证据；

侦测速度快通常能在秒级或是微秒级发现问题；

使用较少的监测器使用一个监测器就可以保护一个网段；

操作系统无关性；

占用资源少；

网络入侵检测系统只能够检查它直接相连的网络，不能监测不同网段的网络包；

在使用交换以太网的环境中会出现监测范围的限制；

成本较高；

由于采用特征监测的方法，可以监测出一般的普通攻击，但是很难实现一些复杂的需要大量计算的攻击检测；

产生大量的数据分析流量；

难以监测加密的会话过程；

协同能力较差；

由于各有优缺点，所以采用两者联合的方式会达到更好的监测效果。

20：

简述入侵检测IPS和IDS的区别，在网络安全综合方案中各发挥什么作用。

IDS是一种入侵检测系统，能够发现攻击者的攻击行为和踪迹，但是自身确是不作为，通过与防火墙等安全设备联动进行防护。

IPS则是一种主动的、智能的入侵检测、防范、阻止系统，相当于防火墙和IDS的结合，可以预先对入侵活动和攻击性网络流量进行拦截，避免造成任何损失，而非在入侵流量传送时才发出警报。

IPS检测攻击的方法也与IDS不同。

一般来说，IPS系统都依靠对数据包的检测。

IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

最主要的区别就是：

IPS（IntrusionPreventionSystem）具有自动拦截和在线运行的能力。

在网络安全综合方案中各发挥的作用：

入侵检测系统注重的是网络安全状况的监管。

为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。

如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。

入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据。

入侵防御系统关注的是对入侵行为的控制。

与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。

这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

而入侵防御系统的核心价值在于安全策略的实施对黑客行为的阻击，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵。

1．TCP/IP的分层结构以及它与OSI七层模型的对应关系。

TCP/IP层析划分

OSI层次划分

应用层

会话层

传输层

网络层

数据链路层

链路层

物理层

2．简述拒绝服务攻击的概念和原理。

拒绝服务攻击的概念：

广义上讲，拒绝服务（DoS，Denialofservice）攻击是指导致服务器不能正常提供服务的攻击。

确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。

拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务。

3．简述交叉认证过程。

首先，两个CA建立信任关系。

双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。

其次，利用CA的交叉证书验证最终用户的证书。

对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；

再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。

4．简述SSL安全协议的概念及功能。

SSL全称是：

SecureSocketLayer（安全套接层）。

在客户和服务器两实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。

其安全通道是透明的，工作在传输层之上，应用层之下，做到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。

5．简述好的防火墙具有的5个特性。

（1）所有在内部网络和外部网络之间传输的数据都必须经过防火墙；

（2）只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；

（3）防火墙本身不受各种攻击的影响；

（4）使用目前新的信息安全技术，如一次口令技术、智能卡等；

（5）人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。

6．简述电子数据交换（EDI）技术的特点。

使用对象是不同的组织之间；

所传送的资料是一般业务资料；

采用共同标准化的格式；

尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。

一、综述题（20分）

1．简述ARP的工作过程及ARP欺骗。

（10分）

ARP的工作过程