网络安全期末复习提纲副本.docx
《网络安全期末复习提纲副本.docx》由会员分享,可在线阅读,更多相关《网络安全期末复习提纲副本.docx(17页珍藏版)》请在冰豆网上搜索。
网络安全期末复习提纲副本
网络安全复习提纲
1.数字证书采用什么标准x.509v3标准
IPSec报文类似于普通IP报文,无需改变(对)
中间网络设备就能通过任意IP网络(对)
私钥加密,公钥解密(可以解开)
公钥加密,私钥解密(其他人解不开)
报文大小受限于最大报文长度(50000个字节)的限制
传输层安全的标准模式:
SSL/TLS、HTTPS和SSH
1.常用的网络加密方法及其优缺点。
(1)对称加密
优点:
算法公开、计算量小、加密速度快、加密效率高。
缺点:
在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。
其次如果一方的秘钥被泄露,那么加密信息也就不安全了。
另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
(2)非对称加密
优点:
非对称加密与对称加密相比,其安全性更好:
非对称加密使用一对秘钥,一个用来加密,一个用来解密,而且公钥是公开的,秘钥是自己保存的,不需要像对称加密那样在通信之前要先同步秘钥。
缺点:
加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
2.什么是密码学。
对称密码体制与公钥密码体制的作用和优缺点,分别有哪些算法。
RSA公钥加密体制和RSA签名体制的原理及其应用范围。
采用双钥体制的密钥建立协议过程。
密码学是研究编制密码和破译密码的技术科学。
对称密码体制:
优点:
加密或解密运算速度快,加密强度高,并且算法公开
缺点:
密钥分发困难,更新周期长,不便于管理
常用算法:
DES、IDEA、AES等选择题
作用:
对称密码体制是一种传统密码体制,也称为私钥密码体制。
在对称加密系统中,加密和解密采用相同的密钥。
因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。
公钥密码体制:
优点:
密钥是不对称的。
发送方使用的加密密钥是公开的(向全世界公开),但接收方的解密密钥是秘密的,只有接收者才知道。
缺点:
分组长度太大,运算代价高,速度较慢,不利于数据格式的标准化。
算法:
Diffie-Hellman、RSA等
作用:
A、机密性:
保证非授权人员不能非法获取信息,通过数据加密来实现;
B、确认:
保证对方属于所声称的实体,通过数字签名来实现;
C、数据完整性:
保证信息内容不被篡改,入侵者不可能用假消息代替合法消息,通过数字签名来实现;
D、不可抵赖性:
发送者不可能事后否认他发送过消息,消息的接受者可以向中立的第三方证实所指的发送者确实发出了消息,通过数字签名来实现。
3.数字签名和身份认证的基本原理、作用及其应用方法。
消息认证和身份认证的概念及两者的差别。
访问控制有哪些策略。
数字签名的作用
(1)保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
(2)数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。
如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
(3)数字签名是个加密的过程,数字签名验证是个解密的过程。
数字签名原理
数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。
它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名。
数字签名特点:
(1)能与所签文件“绑定”
(2)签名者不能否认自己的签名
(3)签名不能被伪造
(4)容易被验证
身份认证:
用户要向系统证明他就是他所声称的那个人。
作用:
•限制非法用户访问网络资源。
•安全系统中的第一道关卡,是其他安全机制基础。
•一旦被攻破,其他安全措施将形同虚设。
应用方法:
•用户知道的东西:
如口令、密码等。
•用户拥有的东西:
如智能卡、通行证、USBKey。
•用户具有的生物特征:
如指纹、脸型、声音、视网膜扫描、DNA等。
•用户行为特征:
如手写签字、打字韵律等。
消息认证:
就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。
两者区别:
消息内容认证常用的方法:
消息发送者在消息中加入一个鉴别码(MAC、MDC等)并经加密后发送给接受者(有时只需加密鉴别码即可)。
接受者利用约定的算法对解密后的消息进行鉴别运算,将得到的鉴别码与收到的鉴别码进行比较,若二者相等,则接收,否则拒绝接收。
对用户的身份认证基本方法可以分为这三种:
(1)根据你所知道的信息来证明你的身份;
(2)根据你所拥有的东西来证明你的身份;
(3)直接根据独一无二的身体特征来证明你的身份,比如指纹、面貌等。
访问控制有哪些策略:
1.入网访问控制
2.网络权限限制
3.目录级安全控制
4.属性安全控制
5.网络服务器安全控制
6.网络监测和锁定控制
7.网络端口和节点的安全控制
8.防火墙控制
4.SSL、SET、HTTPS协议的区别和联系。
为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
5.PKI的基本组成和功能,PKI的信任模型定义、类型及其特点。
PKI的基本组成:
认证机构、证书库、PKI应用接口系统
功能:
1)为需要的用户生成一对密钥;
2)CA为用户签发数字证书并分发给需要的用户;
3)用户对数字证书的有效性进行验证;
4)对用户的数字证书进行管理。
PKI的信任模型定义:
是PKI原理中的一个重要概念,指建立信任关系和验证证书时寻找和遍历信任路径的模型。
PKI的信任模型类型:
1.单级CA信任模型
2.严格层次结构模型
3.分布式信任模型结构
4.Web模型
5.桥CA信任模型,
6.用户为中心的信任模型。
PKI特点:
•能提供Kerberos不能提供的服务——不可否认性。
•相对Kerberos来说,PKI从开始设计就是一个容易管理和使用的体制。
•提供所有的密钥管理功能,远超过Kerberos和其他解决方案。
•利用证书库进行数字证书的安全发布,CA和证书库都不会像KDC那样形成瓶颈。
6.CA系统主要功能,RA系统主要功能,CA与RA之间的关系。
CA证书系统是通过证书在计算机网络中确认操作者身份的过程。
RA就是证书注册审批系统,该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务。
RA系统功能:
主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应的管理功能。
发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。
RA系统是整个CA中心得以正常运营不可缺少的一部分。
之间关系:
RA作为CA认证体系中的一部分,能够直接从CA提供者那里继承CA认证的合法性。
能够使客户以自己的名义发放证书,便于客户开展工作。
7.为什么要进行密钥分配,秘钥分配有哪些基本方法。
为什么要进行密钥分配:
•鉴别能正确识别信息发送方身份,且对信息内容的任何修改都可被检测出来。
•对加密明文的保密主要依赖于密钥的保密:
1)密钥管理涉及密钥生成、分配、使用、存储、备份、恢复以及销毁
2)如何分配已生成密钥是密码学领域的难点问题
秘钥分配有哪些基本方法:
1)A选定密钥,通过物理方法安全传递给B。
2)可信任第三方C选定密钥,通过物理方法安全传递给A和B。
3)若A和B都有到第三方C的加密连接,C通过该连接将密钥传递给A和B——密钥分配中心KDC,常用于对称密钥的分配。
4)若第三方C发布A和B的公钥,它们可用彼此的公钥来加密通信——认证中心CA,常用于公开密钥的分配。
前两种方法不适用于大量连接的现代通信
8.网络有哪些攻击类型。
网络扫描器的功能。
端口扫描有哪些技术。
网络漏洞分析的目的,窃听攻击的目的。
网络攻击类型:
(1)侦察
(2)访问
(3)拒绝服务
(4)蠕虫、病毒和特洛伊木马
网络扫描器的功能:
(1)扫描目标主机识别其工作状态(开/扫描目标主机识别其工作状态(开/关机)
(2)识别目标主机端口的状态(监听/识别目标主机端口的状态(监听/关闭)
(3)识别目标主机系统及服务程序的类型和版本
(4)根据已知漏洞信息,分析系统脆弱点
(5)生成扫描结果报告
端口扫描技术:
1、开放扫描;
2、半开放扫描;
3、隐蔽扫描。
网络漏洞分析的目的:
通过对网络漏洞攻击原理和攻击步骤的分析,可以知道:
要防止或减少网络漏洞的攻击,最好的方法是尽力避免主机端口被扫描和监听,先于攻击者发现网络漏洞,并采取有效措施。
窃听攻击的目的:
▪安全审计
▪数据安全
▪审计技术
利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。
9.安全电子邮件的主要安全需求、主要标准,PGP标准、特点和功能。
电子邮件的安全需求:
1)机密性——只有真正的接收方才能阅读邮件
2)完整性——电子邮件在传输过程中不被修改
3)认证性——信息的发送者不被假冒
4)不可否认性——发信人无法否认发过电子邮件
主要标准:
1)PEM(增强型邮件保密)标准
2)PGP(高质量保密)标准
3)S/MIME(安全/多用途因特网邮件扩展)标准
PGP标准:
•PhilipZimmermann于1991年发布PGP1.0
•可在各种平台(Windows、UNIX等)免费运行
•还可用于普通文件加密及军事目的
•所用算法被证实为非常安全
特点:
1)使用散列函数对邮件内容签名,保证信件内容不被篡改;
2)使用公钥和对称加密保证邮件内容机密且不可否认;
3)公钥的权威性由收发双方所信任的第三方签名认证;
4)事先不需要任何保密信道来传递对称的会话密钥。
功能:
1、在任何软件中进行加密/签名以及解密/效验。
2、创建以及管理密钥。
3、创建自解密压缩文档。
4、创建PGPdisk加密文件。
5、永久的粉碎销毁文件、文件夹,并释放出磁盘空间。
PGP功能考点(邮件传输过程图):
10.Web安全威胁、后果与对策,主要的web安全协议,SSL协议、SET协议的优缺点。
各类Web安全威胁、后果与对策:
主要的web安全协议:
网络层:
IPSec协议
传输层:
SSL或TLS协议
应用层:
SSH、SET、PGP、S/MIME协议
SSL协议:
优点:
①采用C语言开发,支持多种操作系统,可移植性好,功能全面。
②开放源代码,可根据自己的需要进行修改。
③具备应用程序,能直接使用或二次开发。
④免费使用。
缺点:
①对于初学者有一定的困难,也不利于代码剥离。
②文档不全面,增加了使用的困难性。
SET协议优缺点:
优点:
•解决了客户资料的安全问题。
•解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
•所有的支付过程都是在线和实时的。
•SET协议与硬件平台、操作系统和Web软件无关,SET与IPSec和SSL的使用不冲突。
缺点:
•SET应用软件设计复杂、价格高,影响SET的普及。
•一次SET交易要完成多次加解密操作,要求商家的服务器有很高的处理能力。
•涉及的多个实体必须同时支持SET,互操作性较差。
•不用卡支付的交易方式则与SET无关。
11.防火墙的功能和分类,防火墙技术优点、不足之处和发展趋势。
防火墙的功能:
(1)隔离不同的网络,限制安全问题的扩散。
(2)记录经过防火墙的数据包,监视网络的安全性。
(3)部署NAT的地点。
(4)审计和记录Internet使用费用的一个最佳地点。
(5)作为IPSec的平台。
(6)内容控制功能。
分类:
▪网络层防火墙
▪应用层防火墙
▪数据库防火墙
防火墙的类型:
1包过滤防火墙
2状态检测防火墙
3应用层网关
4代理服务器
防火墙的体系结构:
1双宿/多宿主机模式
2屏蔽主机模式
3屏蔽子网模式
防火墙技术优点:
(1)透明接入技术
具有透明代理功能的堡垒主机对路由器和子网用户而言是完全透明的,犹如网桥一样。
(2)分布式防火墙技术
保证系统的安全、性能稳定高效、扩展性强。
防火墙的局限性(缺点)
(1)有些网络攻击可以绕过防火墙。
(2)不能防范来自内部网络的攻击。
(3)内部用户可能会过于信任和依赖防火墙。
(4)防火墙不能完全防止后门攻击。
(5)不能对被病毒感染的程序和文件进行过滤。
(6)过滤规则静态的,不能防范全新的网络威胁。
(7)与虚拟专用网的结合使用存在问题。
(8)可能带来传输延迟、瓶颈以及单点失效问题。
(9)防火墙不能防止数据驱动式攻击。
防火墙发展趋势:
(1)用专门芯片负责访问控制、设计新的技术架构。
(2)结合虚拟专用网和入侵检测技术的防火墙。
(3)混合使用包过滤/代理服务技术和其他新技术。
(4)IPv6的使用对防火墙的建立与运行产生影响。
12.虚拟专用网(VPN)和隧道技术的基本原理和功能,传输模式中AH和ESP功能与隧道模式中AH和ESP功能的区别和联系。
主要的VPN技术,IPSecVPN与SSLVPN的联系和区别
虚拟专用网(VPN)基本原理:
•在两台计算机之间建立一条专用连接
•通过隧道技术、加密和密钥管理、认证和访问控制等实现与专用网类似的安全性能
•从而达到在Internet上安全传输机密数据的目的
任意两个节点之间没有端到端的物理链路,而是架构在Internet上的逻辑网络。
功能:
(1)实现网络安全
(2)简化网络设计
(3)降低成本
(4)容易扩展
(5)可随意与合作伙伴联网
(6)完全控制主动权
(7)支持新兴应用
隧道技术基本原理:
是构建VPN的核心技术,叠加在IP主干网上运行。
1)通过加密和鉴别以确保安全
2)由VPN封装成IP包的形式
3)通过隧道在Internet上安全传输
4)离开隧道后,进行解封装,数据便不再被保护
功能:
*将数据流强制送到特定的地址
*隐藏私有的网络地址
*在IP网上传递非IP数据包
*提供数据安全支持
主要的VPN技术:
*MPLS技术
*IPSec技术
*GRE技术
*SSL技术
*SOCKS技术
*SSH技术
*PPTP和L2TP技术
IPSecVPN与SSLVPN的联系和区别:
传输模式中AH和ESP功能与隧道模式中AH和ESP功能的区别和联系:
AH和ESP协议的最大区别:
AH不提供加密服务。
验证的范围不同
IPSec的安全问题:
•利用ESP的漏洞(是否真正提供验证数据)进行DoS攻击。
•最多的攻击可能是“实现方式攻击”:
由厂商决定选择哪种算法,但这种强制性会降低安全性。
•接收方已终止会话,但发送方还会发数据,此时如何阻止接收方接收?
•若接收端使用不安全CA,同时攻击者破坏了该CA,将来所有通信都很脆弱。
以上考选择题
13.入侵检测系统(IDS)的定义、主要功能组件及其功能,IDS分类和发展趋势。
网络型和主机型的IDS的特点。
异常入侵检测和误用入侵检测的定义及其优缺点。
入侵检测系统概念:
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
入侵检测系统包括三个功能部件:
信息源、分析引擎和响应部件。
入侵检测系统的主要功能:
(1)监视用户和系统的活动,查找非法用户和合法用户的越权操作。
(2)审计系统配置的正确性和安全漏洞,并提示管理员修补漏洞。
(3)对用户的非正常活动进行统计分析,发现入侵行为的规律。
(4)检查系统程序和数据的一致性与正确性。
(5)能够实时地对检测到的入侵行为进行反应。
(6)操作系统的审计跟踪管理。
入侵检测系统的分类:
(1)按照信息源的来源
(2)按照分析引擎的分析方式
(3)按照分析引擎的部署方式
入侵检测系统的发展趋势:
(1)分布式通用入侵检测架构
(2)应用层入侵检测
(3)智能入侵检测
(4)入侵检测系统的自身保护
(5)入侵检测评测方法
(6)与其他网络安全技术相结合(如防火墙等)
异常入侵检测:
该技术首先假设网络攻击行为是不常见的或是异常的,区别于所有正常行为。
入侵行为偏离了正常的行为轨迹,就可以被检测出来。
误用入侵检测:
也称基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
14.蜜罐和蜜网的定义、功能、分类及其优点和缺点。
蜜罐定义:
—主动防御技术,对攻击者给予“诱骗”反应,使其相信被攻击系统安全性很差
功能:
消耗攻击者拥有的资源
增加攻击者的工作量
迷惑攻击者以延缓对真正目标的攻击
掌握攻击者行为跟踪攻击者
形成威慑攻击者的力量
可以克服IDS的不足
分类、优点和缺点:
蜜网定义:
是一个网路系统,而并非某台单一主机,这一网路系统是隐藏在防火墙後面的,所有进出的资料都受到监控、捕获及控制。
网络诱骗技术:
1、蜜罐主机技术
2、陷阱网络技术
3、诱导技术
4、欺骗信息设计技术
15.无线网络面临的主要安全威胁,目前主要的无线网络加密安全协议及其安全问题。
无线网络面临的主要安全威胁:
* 密码破解
* 阻塞攻击
* 钓鱼攻击
目前主要的无线网络加密安全协议:
WEP和WPA协议
安全问题:
WEP:
(1)认证机制过于简单
(2)认证是单向的
(3)初始向量太短,重用很快
(4)RC4算法被发现有“弱密钥”的问题
(5)没有办法应付所谓的“重放攻击”
(6)ICV被发现有弱点
(7)没有密钥管理、更新、分发机制,完全要手工配置。
WPA:
*有WPA和WPA2两个标准,它在前一代的系统有线等效加密(WEP)中找到几个严重的弱点后产生的
*WPA实现了大部分IEEE802.11i的安全标准,是在802.11i完备之前替代WEP的过渡方案
*WPA通过使用TKIP来解决WEP中的安全漏洞
16.恶意代码的定义与特征,病毒的定义,病毒传染方式,病毒、木马、蠕虫的特征和区别。
恶意代码的定义:
泛指所有恶意的程序代码,是一种可造成目标系统信息泄露和资源滥用,破坏系统的完整性及可用性,违背目标系统安全策略的程序代码。
恶意代码类型:
计算机病毒、蠕虫、木马程序、后门程序和逻辑炸弹等
特征:
*带有恶意的目的
*本身是计算机程序
*一般通过执行来发挥作用
病毒的定义:
是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
病毒传染方式:
(1)通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用ASIC芯片和硬盘等。
(2)通过移动存储设备来传播这些设备包括软盘、磁带等。
(3)通过计算机网络进行传播。
(4)通过点对点通信系统和无线通道传播
病毒、木马、蠕虫的特征和区别:
共同点:
都是恶意代码。
异同点:
*特洛伊木马
一段吸引人而不为人警惕的程序,但它们可以执行某些秘密任务
*病毒
附着在其他程序上的可以进行自我繁殖的代码
*蠕虫
一种具有自我复制和传播能力、可独立自动运行的恶意程序
17.云计算、大数据、物联网、移动互联网的安全防御技术与传统网络的安全防御技术有什么相同点和不同点。
云计算的安全防御技术:
(1)数据加密
(2)安全存储
(3)安全认证
(4)以集中的安全服务中心应对无边界的安全防护
自由发挥题,根据自己感觉写