信息安全技术考试简答题.docx
《信息安全技术考试简答题.docx》由会员分享,可在线阅读,更多相关《信息安全技术考试简答题.docx(10页珍藏版)》请在冰豆网上搜索。
信息安全技术考试简答题
2.简述OSI安全体系结构的八大种安全机制
八大种安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公证机制。
(1)加密机制:
是确保数据安全性的基本方法,在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。
(2)数字签名机制:
是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。
(3)访问控制机制:
从计算机系统的处理能力方面对信息提供保护。
访问控制按照事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个XX的资源
时,访问控制将拒绝,并将这一事件报告给审计跟踪系统,审计跟踪系统将给出报警并记录日志档案。
(4)数据完整性机制:
破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改,计算机病毒对程序和数据的
传染等。
纠错编码和差错控制是对付信道干扰的有效方法。
对付非法入侵者主动攻击的有效方法是报文认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。
(5)认证机制:
在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。
(6)业务流填充机制:
攻击者通过分析网络中某一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间在无正常信息传送时,持续传送一些随
机数据,使攻击者不知道哪些数据是有用的,哪些数据是无用的,从而挫败攻击者的信息流分析。
(7)路由控制机制:
在大型计算机网络中,从源点到目的地往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全
路径,以确保数据安全。
(8)公证机制:
在大型计算机网络中,并不是所有的用户都是诚实可信的,同时也可能由于设备故障等技术原因造成信息丢失、延迟等,用户之间很可能引起责任纠纷,为了解
决这个问题,就需要有一个各方都信任的第三方以提供公证仲裁,仲裁数字签名技术就是这种公证机制的一种技术支持。
3.简述DNS欺骗攻击的基本原理
DNS欺骗的基本原理是:
域名解析过程中,假设当提交给某个域名服务器的域名解析请求的数据包被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求
者。
这时,原始请求者就把这个虚假的IP地址作为他所要请求的域名而进行连接,显然他被欺骗到了别处而根本连接不上自己想要连接的那个域名。
这样,对那个客户想要连接的域名而言,它就算是被黑掉了,因为客户没有得到它的正确的IP地址而无法连接上它。
4.请描述机房面积的两种估算方法
机房面积的大小与需要安装的设备有关,另外还要考虑人在其中工作是否舒适。
通常机房面积有两种估算方法。
一种是按机房内设备总面积M计算。
计算公式如下:
机房面积=(5~7)M
这里的设备面积是指设备的最大外形尺寸,要把所有的设备包括在内,如所有的计算机、网络设备、I/O设备、电源设备、资料柜、耗材柜、空调设备等。
系数5~7是根据我国现有机房的实际使用面积与设备所占面积之间关系的统计数据确定的,实际应用时要受到本单位具体情况的限制。
另一种方法是根据机房内设备的总数进行机房面积的估算。
假设设备的总和数为K,则估算公式如下:
机房面积=~K(m2)
在这种计算方法中,估算的准确与否和各种设备的尺寸是否大致相同有密切关系,一般的参考标准是按台式计算机的尺寸为一台设备进行估算。
如果一台设备占地面积太大,最好将它按两台或多台台式计算机来计算,这样可能会更准确。
系数~也是根据我国具体情况的统计数据确定的。
5.简述Smurf攻击原理
Smurf攻击将伪造ICMPEcho请求报文的IP头部,将源地址伪造成目标主机的IP地址,并用广播(broadcast)方式向具有大量主机的网段发送,利用网
段的主机群对ICMPEcho请求报文放大回复,造成目标主机在短时间内收到大量ICMPEcho响应报文,因无法及时处理而导致网络阻塞。
这种攻击方式具有“分布式”的特点,利用Internet上有安全漏洞的网段或机群对攻击进行放大,从而给被攻击者带来更严重的后果,要完全解决Smurf带来的网络阻塞,可能需要花费很长时间。
6.请简单介绍计算机病毒的基本结构
计算机病毒是一种特殊程序,其最大的特点是具有感染能力。
病毒的感染动作受到触发机制的控制,同样受病毒触发机制控制的还有病毒的破坏动作。
病毒程序一般由主控模块、感染模块、触发模块和破坏模块组成,但并不是所有的病毒都具备这4个模块,如巴基斯坦病毒就没有破坏模块。
1.主控模块
主控模块在总体上控制病毒程序的运行,协调其他模块的运作。
染毒程序运行时,首先运行的是病毒的主控模块。
其基本动作如下:
(1)调用感染模块,进行感染。
(2)调用触发模块,接收其返回值。
(3)如果返回真值,则执行破坏模块。
(4)如果返回假值,则执行后续程序。
一般来说,主控模块除完成上述动作外,还要执行下述动作:
(1)调查运行的环境,如确定系统内存容量、磁盘设置等参数。
(2)常驻内存的病毒还要请求内存区、传送病毒代码、修改中断向量表等动作。
(3)处理病毒运行时的意外情况,防止病毒自身信息的暴露。
2.感染模块
感染模块的作用是将病毒代码传染到其他对象上去,负责实现感染机制。
有的病毒有一个感染标志(又称病毒签名),但不是所有的病毒都有感染标志。
感染标志是一些数字或字符串,它们以ASCII码方式存放在宿主程序里。
一般病毒在对目标程序传染前会判断感染条件,如是否有感染标志或文件类型是否符合传染标准等,具体如下:
(1)寻找一个适合感染的文件。
(2)检查该文件中是否有感染标志。
(3)如果没有感染标志,则进行感染,将病毒代码放入宿主程序。
感染标志不仅被病毒用来决定是否实施感染,还被病毒用来实施欺骗。
不同病毒的感染标志的位置、内容都不同。
通常,杀毒软件将感染标志作为病毒的特征码之一。
同时,人们也可以利用病毒根据有无感染标志感染这一特性,人为地、主动地在文件中添加感染标志,从而在某种程度上达到病毒免疫的目的。
3.触发模块
触发模块根据预定条件满足与否,控制病毒的感染或破坏动作。
病毒的触发条件有多种形式,主要有日期和时间触发、键盘触发、启动触发、磁盘访问触发和中断访问触发及其他触发方式。
病毒触发模块的主要功能如下:
(1)检查预定触发条件是否满足。
(2)如果满足,返回真值。
(3)如果不满足,返回假值。
4.破坏模块
破坏模块负责实施病毒的破坏工作,其内部是实现病毒编写者预定破坏动作的代码。
这些破坏动作可能是破坏文件和数据,也可能是降低计算机的空间效率和时间效率或使计算机系统崩溃。
计算机病毒的破坏现象和表现症状因具体病毒而异;计算机病毒的破坏行为和破坏程度,取决于病毒编写者的主观愿望和技术能力。
有些病毒的该模块并没有明显的恶意破坏行为,仅在被感染的系统设备上表现出特定的现象,该模块有时又被称为表现模块。
在结构上,破坏模块一般分为两部分:
一部分判断破坏的条件;另一部分执行破坏的功能。
7.描述信息隐藏的空间域算法(基于图像低于字节隐藏数字签名信息)
2.空间域算法
基于图像低位字节对图像影响较小的原理,下面给出一个24位彩色图像的信息隐藏算法,算法示意图见图3-3-3。
算法过程描述如下:
(1)将待隐藏信息(称为签名信息)的字节长度写入BMP文件标头部分的保留字节中。
(2)将签名信息转化为二进制数据码流。
(3)将BMP文件图像数据部分的每个字节的最低位依次替换为上述二进制数码流的一个位。
依照上述算法,一个24位的彩色图像经空间域变换后的图像如图3-3-4所示。
由于原始24位BMP图像文件隐藏信息后,其数据部分每字节数值最多变化1位,该字节代表的像素最多只变化了1/256,因此已隐藏信息的BMP图像与未隐藏信息的BMP图像用肉眼是看不出差别的。
如果将BMP文件图像数据部分的每个字节最低4位依次替换为签名信息二进制数码流的4位,则由于原始24位BMP图像文件隐藏信息后,其数据部分字节数值最多变化为16,该字节代表的像素最多变化了1/16,因此已隐藏信息的BMP图像与未隐藏信息的BMP图像(如图3-3-5所示)用肉眼能看出差别。
8.简述UDPFlood攻击原理
2.利用目标自身的资源攻击
攻击者也可以利用目标主机系统自身的资源发动攻击,导致目标系统瘫痪。
通常利用目标自身的资源攻击有以下几种方式,其中UDPFlood攻击是这类攻击模型的典型。
(1)UDPFlood攻击。
攻击者通过伪造与某一主机的chargen服务之间的一次UDP连接,回复地址指向开着Echo服务的一台主机,伪造的UDP报文将在两台主机之间生成足够
多的无用数据流,以消耗掉它们之间所有可用的网络带宽。
结果被攻击的网段的所有主机(包括这两台被利用的主机)之间的网络连接都会受到较严重的影响。
9.数据备份计划的步骤有哪些?
IT专家指出,对于重要的数据来说,有一个清楚的数据备份计划非常重要,它能清楚地显示数据备份过程中所做的每一步重要工作。
数据备份计划分以下几步完成:
第一步:
确定数据将受到的安全威胁。
完整考察整个系统所处的物理环境和软件环境,分析可能出现的破坏数据的因素。
第二步:
确定敏感数据。
对系统中的数据进行挑选分类,按重要性和潜在的遭受破坏的可能性划分等级。
第三步:
对将要进行备份的数据进行评估。
确定初始时采用不同的备份方式(完整备份、增量备份和差分备份)备份数据占据存储介质的容量大小,以及随着系统的运行备份数据的增长情况,以便下一步确定将要采取的备份方式。
第四步:
确定备份所采取的方式及工具。
根据第三步的评估结果、数据备份的财政预算和数据的重要性,选择一种备份方式和备份工具。
第五步:
配备相应的硬件设备,实施备份工作。
10.简述基于交换机的监听原理
基于交换机的监听不同于工作在物理层的HUB,交换机是工作在数据链路层的。
交换机在工作时维护着一张ARP的数据库表,在这个库中记录着交换机每个端口所绑定的MAC地址,当有数据报发送到交换机时,交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,交换机转发的报文是一一对应的。
对交换机而言,仅有两种情况会以广播方式发送:
一是数据报的目的MAC地址不在交换机维护的数据库中,此时报文向所有端口转发;二是报文本身就是广播报文。
因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能截获的数据。
为了实现监听的目的,可以采用MACf1ooding和ARP欺骗等方法。
(1)MACflooding:
通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。
(2)ARP欺骗:
ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将目标系统的网关的MAC地址修改为
发起攻击的主机MAC地址,使数据包都经由攻击者的主机。
这样,即使系统连接在交换机上,也不会影响对数据包的窃取,因此就可轻松地通过交换机来实现网络监听。
11.成功创建防火墙系统,一般需要做哪些工作?
成功创建防火墙系统一般需要6步:
制定安全策略、搭建安全体系结构、制定规则次序、落实规则集、注意更换控制和做好审计工作。
(1)制定安全策略
防火墙和防火墙规则集只是安全策略的技术实现。
管理层规定实施什么样的安全策略,防火墙是策略得以实施的技术工具。
所以,在建立规则集之前,必须首先理解安全策略,假设它包含以下3方面内容:
①内部雇员访问Internet不受限制。
②通过Internet有权使用公司的Webserver和E-mail服务器。
③任何进入公司内部网络的信息必须经过安全认证和加密。
实际的安全策略要远远比这复杂。
在实际应用中,需要根据公司的实际情况制定详细的安全策略。
(2)搭建安全体系结构。
作为一个安全管理员,需要将安全策略转化为安全体系结构。
现在,我们来讨论如何把每一项安全策略核心转化为技术实现。
第一项安全策略很容易,内部网络的任何信息都允许输出到Internet上。
第二项安全策略要求为公司建立Webserver和E-mail服务器。
由于任何人都能访问Webserver和E-mail服务器,因此,不能完全信任他们,把他们放入DMZ来实现该项策略。
DMZ是一个孤立的网络,通常把不信任的系统放在那里,DMZ中的系统不能启动连接内部网络。
DMZ有两种类型,即有保护的和无保护的。
有保护的DMZ是与防火墙脱离的孤立的部分;无保护的DMZ是介于路由器和防火墙之间的网络部分。
这里建议使用有保护的DMZ,我们把Webserver和E-mail服务器放在那里。
唯一从Internet到内部网络的信息是远程管理操作。
这就要求允许系统管理员远程地访问公司内部系统。
具体的实现方式可以采用加密方式进入公司内部系统。
最后还须配置DNS。
虽然在安全策略中没有提到,但必须提供这项服务。
作为安全管理员,我们要实现SplitDNS。
SplitDNS即分离配置DNS或隔离配置DNS,是指在两台不
同的服务器(其中一台DNS用于解析公司域名,称为外部DNS服务器;另一台用于供内部用户使用,称为内部DNS服务器)上分离DNS的功能。
外部DNS服务器与Webserver和E-mail服务器一起放在有保护的DMZ中,内部DNS服务器放在内部网络中。
(3)制定规则次序。
在建立规则集之前,必须注意规则次序,规则次序是非常关键的。
因为,即使是同样的规则,如果以不同的次序放置,则可能会完全改变防火墙的运转效能。
很多防火墙(例如
SunScreenEFS、CiscoIOS和FW-1)以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条……当它发现一条匹配规则时,就停止检查并使用该条规则。
如果信息包经过每一条规则而没有发现匹配,则这个信息包便会被拒绝。
一般说来,通常的顺序是较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则(拒绝)之前一个普通规则(允许)便被匹配,这可避免防火墙配置错误的发生。
(4)落实规则集。
①典型的防火墙规则集。
选好素材就可以建立规则集了,典型的防火墙规则集合包括下面13项。
·切断默认。
第一步需要切断默认设置。
·允许内部出网。
允许内部网络向外的任何访问出网,与安全策略中所规定的一样,所有的服务都被许可。
·添加锁定。
添加锁定规则以阻塞对防火墙的访问,这是一条标准规则,除了防火墙管理员外,任何人都不能访问防火墙。
·丢弃不匹配的信息包。
在默认情况下,丢弃所有不能与任何规则匹配的信息包。
·丢弃并不记录。
通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填满,要创立一条规则丢弃/拒绝这种通话但不记录它。
·允许DNS访问。
允许Internet用户访问DNS服务器。
·允许邮件访问。
允许Internet和内部用户通过SMTP(简单邮件传递协议)访问邮件服务器。
·允许Web访问。
允许Internet和内部用户通过HTTP(服务程序所用的协议)访问Web服务器。
·阻塞DMZ。
禁止内部用户公开访问DMZ。
·允许内部的POP访问。
允许内部用户通过POP(邮局协议)访问邮件服务器。
·强化DMZ的规则。
DMZ应该从不启动与内部网络的连接,否则,就说明它是不安全的。
只要有从DMZ发起的到内部用户的会话,它就会发出拒绝、做记录并发出警告。
·允许管理员访问。
允许管理员(受限于特殊的资源IP)以加密方式访问内部网络。
·提高性能。
最后,通过优化规则集顺序提高系统性能,把最常用的规则移到规则集的顶端,因为防火墙只分析较少数的规则。
②具体规则集描述。
根据第
(1)步安全策略的要求,假设内网用户的IP地址为,Webserver、E-mail和DNS服务器的IP地址分别为、和。
下面给出具体的几条核心规则,如表12-1-1所示。
(5)注意更换控制。
在组织好规则之后,应该写上注释并经常更新它们。
注释可以帮助用户理解规则的确切含义,对规则理解得越好,错误配置发生的可能性就越小。
对那些有多重防火墙管理员的大机构来说,建议当规则被修改时,把规则更改者的名字、规则变更的日期/时间、规则变更的原因等信息加入注释中,这可以帮助安全防护人员跟踪被修改的规则及理解被修
改的原因。
(6)做好审计工作。
建立好规则集后,检测系统是否可以安全运行。
防火墙规则集配置好以后,需要测试系统的正常应用是否可以实现,从访问速率、用户权限、流量等方面入手;同时,还需要从触犯防火墙安全规则的角度来测试防火墙的反应,检查是否按照预定目标实现防火墙功能。
通过以上的对防火墙的运行状况及时跟踪审计,及时发现新问题并调整相应的规则。
12.阐述蜜罐在网络中的位置
蜜罐可放置的3个位置如图12-4-1所示。
1.放置在防火墙外面
将蜜罐放置在一个防火墙的外面(见图12-4-1中的蜜罐
(1)),不会增加内部网络的风险,使防火墙后的系统不会受到威胁。
蜜罐会吸引和产生许多不被期望的通信流量,如端口扫描或攻击模式。
将一个蜜罐放置在防火墙外面,防火墙就不会记录这些事件,内部的IDS系统也不会产生警报,否则,防火墙或IDS将会产生大量的警报。
此放置位置最大的优点就是防火墙、IDS或任何其他资源都不需要调整,因为蜜罐是在防火墙的外面,被看成是外部网络上的任何其他的机器。
因此,运行一个蜜罐不会为内部网络增加风险和引入新的风险。
在防火墙外面放置一个蜜罐的缺点是不容易定位或捕获到内部攻击者,特别是如果防火墙限制了外出流量因而也就限制了到达蜜罐的流量。
2.放置在DMZ区
只要在DMZ内部的其他系统能够针对蜜罐提高其安全性,在一个DMZ内部放置一个蜜罐(见图12-4-1中的蜜罐
(2))应该说是一个好的解决方案。
大多数DMZ并不是完全可访问的,只有被需要的服务才允许通过防火墙。
如此来看,放置蜜罐在DMZ区应该是有利的,因为开放防火墙所有相关端口非常费时并且危险。
3.放置在防火墙后面
如果内部网络没有针对蜜罐用另外的防火墙来进行防护,则防火墙后面的蜜罐(见图12-4-1中的蜜罐(3))可能会给内部网络引入新的安全风险。
一个蜜罐经常提供许多服务,这些服务大多数并不是提供给Internet的可输出的服务,因此会被防火墙所阻塞。
放置蜜罐在防火墙之后,调整防火墙规则和IDS特征是不可避免的,因为有可能希望每次蜜罐被攻击或被扫描时不产生报警。
最大的问题是,内部的蜜罐被一个外部的攻击者威胁后,他就获得了通过蜜罐访问内部网络的可能性。
这个通信将不会因防火墙而停止(因为它被认为是仅传送到蜜罐的流量,并且依次被许可)。
因此应该强制提高一个内部蜜罐的安全性,尤其是一个高交互蜜罐。
利用一个内部蜜罐,还可以检测一个被错误配置的防火墙,它将不想要的通信从Internet传送到了内部网络。
将一个蜜罐放置在一个防火墙后面的主要原因可以是用于检测内部攻击者。
可以考虑让蜜罐拥有自己的DMZ,这是一个很好的方法,同时使用一个初级防火墙。
依据蜜罐使命的主要目标,该初级防火墙可以直接连接到Internet或Intranet。
这样做是为了能够进行紧密的控制以及在获得最大安全的同时提供一个灵活的环境。
13.详述分组密码的4种主要应用模式
分组密码主要分为以下4种模式:
1.电子密码本模式
电子密码本(ElectronicCodeBook,ECB)是最基本的一种加密模式,分组长度为64位。
每次加密均独立,且产生独立的密文分组,每一组的加密结果不会影响其他分组。
电子密码本模式的优点:
可以利用平行处理来加速加密、解密运算,且在网络传输时任一分组即使发生错误,也不会影响到其他分组。
电子密码本模式的缺点:
对于多次出现的相同的明文,当该部分明文恰好是加密分组的大小时,可能发生相同的密文,如果密文内容遭到剪贴、替换等攻击,也不容易被发现。
在ECB模式中,加密函数E与解密函数D满足以下关系:
DK(EK(M))=M
2.密文链接模式
密文链接(CipherBlockChaining,CBC)模式的执行方式如图2-6-2所示。
第一个明文分组先与初始向量(InitializationVector,IV)作异或(XOR)运算,再进行加密。
其他每个明文分组加密之前,必须与前一个密文分组作一次异或运算,再进行加密。
密文链接模式的优点:
每一个分组的加密结果均会受其前面所有分组内容的影响,所以即使在明文中多次出现相同的明文,也不会产生相同的密文;另外,密文内容若遭剪贴、替换或在网络传输的过程中发生错误,则其后续的密文将被破坏,无法顺利解密还原,因此,这一模式很难伪造成功。
密文链接模式的缺点:
如果加密过程中出现错误,则这种错误会被无限放大,从而导致加密失败;这种加密模式很容易受到攻击,遭到破坏。
在CBC模式中,加密函数E与解密函数D满足以下关系:
DK(EK(M))=M
3.密文反馈模式
密文反馈(CipherFeedBack,CFB)模式如图2-6-3所示。
CFB需要一个初始向量IV,加密后与第一个分组进行异或运算产生第一组密文;然后,对第一组密文加密再与第二个分
组进行异或运算取得第二组密文,依次类推,直至加密完毕。
密文反馈模式的优点:
每一个分组的加密结果受其前面所有分组内容的影响,即使出现多次相同的明文,均产生不相同的密文;这一模式可以作为密钥流生成器,产生密钥流。
密文反馈模式的缺点:
与CBC模式的缺点类似。
在CFB模式中,加密函数E和解密函数D相同,满足关系:
DK(·)=EK(·)
4.输出反馈模式
输出反馈(OutputFeedBack,OFB)模式如图2-6-4所示。
该模式产生与明文异或运算的密钥流,从而产生密文,这一点与CFB大致相同,唯一的差异点是与明文分组进行异或的
输入部分是反复加密后得到的。
在OFB模式中,加密函数E和解密函数D相同,满足关系:
DK(·)=EK(·)
升级会员 