网络安全思考题参考答案学习课件doc.docx

1、网络安全思考题参考答案学习课件doc网络安全思考题答案第一章1.什么是 osi 安全体系结构？为了有效评估某个机构的安全需求， 并选择各种安全产品和策略， 负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法， 这一套系统体系架构便称为安全体系架构。2.被动和主动威胁之间有什么不同？被动威胁的本质是窃听或监视数据传输， 主动威胁包含数据流的改写和错误数据流的添加。3.列出并简要定义被动和主动安全攻击的分类？被动攻击：消息内容泄漏和流量分析。主动攻击：假冒，重放，改写消息和拒绝服务。4.列出并简要定义安全服务的分类认证，访问控制，数据机密性，数据完整性，不可抵赖性。5.列

2、出并简要定义安全机制的分类。特定安全机制：为提供 osi 安全服务，可能并到适当的协议层中。普通安全机制：没有特定 osi 安全服务或者协议层的机制。第二章1.对称密码的基本因素是什么？明文，加密算法，秘密密钥，密文，解密算法。2.加密算法使用的两个基本功能是什么？替换和排列组合3.分组密码和流密码区别是什么？流密码是一个比特一个比特的加密，分组时若干比特同时加密。比如 DES是 64bit 的明文一次性加密成密文。密码分析方面有很多不同。 比如说密码中， 比特流的很多统计特性影响到算法的安全性。 密码实现方面有很多不同， 比如流密码通常是在特定硬件设备上实现。 分组密码可以在硬件实现，也可以

3、在计算机软件上实现。4.攻击密码的两个通用方法是什么？密码分析与穷举法（暴力解码）5.为什么一些分组密码操作模式只使用了加密， 而其他的操作模式使用了加密又使用了解密答：出于加密与解密的考虑， 一个密码模式必须保证加密与解密的可逆性。 在密码分组链接模式中，对明文与前一密文分组异或后加密，在解密时就要先解密再异或才能恢复出明文；在计数器模式中， 对计数器值加密后与明文异或产生密文， 在解密时， 只需要相同的计数器加密值与密文异或就可得到明文。6.为什么 3DES的中间部分是解密而不是加密？3DES加密过程中使用的解密没有密码方面的意义。 唯一好处是让 3des 使用者能解密原来单重 des 使

4、用者加密的数据。第三章1.消息认证的三种方法：利用常规加密的消息认证、消息认证码、单向散列函数2 什么是 mac？一种认证技术利用私钥产生一小块数据，并将其附到信息上的技术。3 简述图 3.2 的三种方案a 使用传统加密：消息在散列函数的作用下产生一个散列值，对散列值进行传统加密后附加到消息上传送， 解密时， 把消息上附带的加密散列值解密得到散列值与消息产生的散列值比较如果不一样则消息被篡改为伪消息。b 使用公钥加密：过程与传统加密相似，只是在对散列值加密时采用了公钥加密方式。c 使用秘密值：把秘密值与消息连接，再经过散列函数产生一个散列值，把散列值附加到消息上传送， 解密时， 把秘密值与消息

5、连接块经过散列函数产生的散列值与接收的加密散列值解密后的散列值比较，若一样，则不是伪消息，否则是伪消息4、对于消息认证，散列函数必须具有什么性质才可以用1 H 可使用于任意长度的数据块 2 H能生成固定长度的输出 3 对于任意长度的 x ，计算 H（x ）相对容易， 并且可以用软 / 硬件方式实现 4 对于任意给定值 h, 找到满足 H(x)=h 的 x 在计算机上不可行 5 对于任意给定的数据块 x, 找到满足 H （y）=H(x) ，的 y=!x 在计算机上是不可行的。6 找到满足 H （x）=H(y) 的任意一对（ x,y）在计算机上是不可行的。4、公钥加密系统的基本组成元素是什么？明文

6、，加密算法，公钥和私钥，密文，解密算法5、列举并简要说明公钥加密系统的三种应用加密/ 解密，发送者用接收者公钥加密信息。数字签名，发送者用自己的私钥“签名”消息；密钥交换 ：双方联合操作来交换会话密钥。第四章1.会话密钥与主密钥的区别是什么？主密钥是指主机与 kdc 之间通信使用的共享密钥。而会话密钥是两台主机主机建立连接后，产生的一个唯一的一次性会话密钥。2 、一个提供全套 kerberos 服务的环境由那些实体组成？ 一台 Kerberos 服务器，若干客户端和若干应用服务器3.什么是现实？现实是指一个随机数在 as到 c 的消息中被重复来确保应答是实时的， 而不是被攻击者重放过的。4.与

7、密钥分发有关的公钥密码的两个不同用处是什么？ 1 公钥分发 2 利用公钥加密分发私钥 5.什么是公钥证书？公钥证书由公钥、公钥所有者的用户 id 和可信的第三方（用户团体所信任的认证中心 C A）签名的整数数据块组成， 用户可通过安全渠道把它的公钥提交给 ca，获得证书。第五章1.、SSL由那些协议组成？SSL记录协议， SSL握手协议， SSL密码变更规格协议， SSL报警协议2.、SSL连接和 SSL会话之间的区别是什么？连接是一种能够提供合适服务类型的传输。连接是点对点关系而且是短暂的。会话： SSL会话是客户与服务器之间的一种关联。会话通常用来避免每条连接需要进行的代价高昂的新的安全参

8、数协商过程。3、SSL记录协议提供了那些服务 机密性（用对称加密）和消息完整性（用消息认证码）4.https 的目的是什么？在 http 的基础上结合 ssl来实现网络浏览器和服务器的安全通信。5.对哪些应用 ssh 是有用的？最初版本 ssh 致力于提供一个安全的远程登陆装置代替telnet 和其他远程无保护机制， ssh 还提供一个更为广泛的用户 / 服务器功能，并支持文件传输和 E-MAIL 等网络功能。6.SSH由传输层协议、用户身份验证协议、连接协议组成不考 第六章1.什么是 802.11WLAN 的基本模块？一个无线局域网的最小组成模块是基本服务单元 BSS，包含执行相同的 MAC

9、 协议和竞争同一无线介质接口的多个无线站点 / 3.列出 IEEE802.11 服务连接，认证，重认证、取消连接，分发，整合， MSDU 传输，加密，重连接。4.分布式系统是无线网络吗？（可能是也可能不是）分布式系统可以是交换机，有线网络，也可以是无线网络，所以说分布式系统是无线网络不全对。5.请解释联合的概念和移动概念的相关性？移动性是指 802.11 环境下移动站点的物理转换，包括无转换基于 BSS的转换基于扩展服务单元的转换。 联合性提供一种 BSS中，移动站点向AP 证明自己身份以便与其他站点进行数据交换的服务。6.被 IEEE802.11定义的安全区域是什么？IEEE802.11i

10、三个主要安全区域，认证，密钥管理，加密数据传输。 7.简要描述 IEEE802.11i操作的四个阶段1/发现 2/认证 3/密钥产生及其配送 4/保密数据传输 5/连接终止 9.HTML 过滤器和 WAP 代理之间的区别是什么？HTML 过滤器将 HTML 的内容翻译成无限置标（ WML）的内容。如果过滤器与 WAP 代理分开，则利用 HTTP/TCP/IP将 WML 传送到 WAP 代理， WAP 代理将 WML 转换成二进制 WML格式，并经由无线网络用 WAP 协议栈传送到移动用户。 10wsp 提供什么服务？Wsp 即无线会话协议。 Wsp 为两个会话服务提供接口应用。连接导向的会话服

11、务基于 wtp ，非连接会话服务则是基于不可靠传输协议 WDP 进行操作。 11.WTP 的三种传输模式在什么时候被使用？ 1/提供了不可信赖的数据报服务，可以用在不可信进栈操作 2/提供了可信赖的数据报服务，可以用在可信进栈操作中 3/提供请求回复传输服务并支持在一个 WSP会话中进行多个传输。 12.简要描述 WTLS提供的安全服务（网关的保护）1/数据完整性： 使用信息认证来确保用户和网关之间发送的数据未被篡改 2/机密性： 使用加密来确保数据不被第三方读取 3/认证：使用数字证书来对两方进行认证。 4/拒绝服务保护：删除拒绝重放或者未成功验证的信息。13.简要描述 WTLS的四种协议要

12、素 WTLS记录协议： 从更高层取得用户数据， 并将数据封装在一个协议数据单元中。 WTLS密码变更规格协议：该协议只有一条信息，包含一个数值为一的比特。该信息的目的将不确定状态复制到当前状态，以便更新该连接使用的加密套件。WTLS警报协议：用来将 WTLS相关的警报传送到 peer 实体。 WTLS握手协议：允许服务器和用户相互认证，并协商加密和 MAC 算法以及用来保护 WTLS 记录中发送数据的加密密钥。 14.WTLS使用的密钥握手协议生成预主密钥，预主密钥生成主密钥，主密钥用来生成各种加密密钥15 描述三种不同的提供 WAP 端到端安全性的方法 1 在客户端和服务器间使用 TLS协议

13、 4，两端之间建立安全的 TLS会话 2 端到端之间利用 IP层的 IPSEC来保证安全性 3 我们假设 WAP网管只作为简单的互联网路由器，这种情况下名为 WAP 传输层端到端安全性的方法第七章1PGP提供的 5 种主要服务是什么？认证（用数字签名） ，保密（消息加密） ，压缩（用 ZIP），电子邮件兼容性（基 -64 转换）和分段2 分离签名的用途是什么？1 满足用户希望所有发送和接收的消息分开存储和传送 2 检测程序以后是否被感染病毒 3 可用于对一个合法合同等文档的双方进行签名，每个人的签名彼此独立，且只与该文档有关3PGP为什么在压缩前生成签名 1 对未压缩的消息进行签名可以保存未压

14、缩的消息和签名供未来验证时使用 2 即使有人想动态的对消息重新压缩后进行验证，用 PGP 现有的压缩算法仍然很困难4 为什么是基 -64 转换一组三个 8 比特二进制数据映射为 4 个 ASCII码字符，同时加上 CRC校验以检测传送错误5 电子邮件应用为什么使用基 -64 转换使用 PGP 时至少会对一部分数据块加合，若只使用签名服务，则需要用发送方的私钥对消息摘要加密， 若使用保密服务， 则要把消息和签名用一次性会话密钥加密因此得到的全部分成全部数据块可能由任意的 8 比特字节流组成，然而，许多电子邮件系统仅仅允许使用有ASCII码组成的块，为适应这个限制，提供转换功能6PGP如何使用信任

15、关系PGP 的信任关系由“密钥合法性域” “签名信任域” ，“所有者信任域”构成，经过三步流程周期性的处理公钥获得一致性。 9s/mime 是什么？是居于 RSA数据安全性， 对互联网电子邮件格式标准 mine 的安全性增强。 10DKIM 是什么？指电子邮件信息加密签名的特殊应用，他通过一个签名域来确定信件系统中信息的责任。8.2IPsec提供哪些服务？访问控制，无连接完整性，数据源认证；拒绝重放包，保密性，受限制的流量保密性。8.3 那些参数标识了 sa？那些参数表现了一个特定 sa 的本质？（1）安全参数索引（ SPI）ip 目的地址，安全协议标识（2）序列号计数器， 序列计数器， 反重

16、放窗口。 AH 信息，ESP信息， 此安全关联的生存期，IPSEC协议模式，最大传输单元路径表示特定的 sa 8.4 传输模式和隧道模式有什么区别？传输模式下的 ESP加密和认证 ip 载荷，但不包括 ip 报头， AH 认证， IP 载荷和 IP 报头的选中部分； 隧道模式下的 ESP加密和认证包括内部 ip 报头的整个内部 ip 包，AH 认证整个内部ip 包和外部 ip 报头被选中的部分。8.5 什么是重放攻击？一个攻击者得到一个经过认证的副本， 稍后又将其传送到其被传送的目站点的攻击， 重复的接受经过认证的 ip 包可能会以某种方式中断服务或产生一些不希望出现的结果8.6 为什么 ES

17、P包括一个填充域？（1）如果加密算法要求明文为某个数目字节的整数倍，填充域用于把明文扩展到需要的长度；（2）ESP格式要求填充长度和邻接报文域为右对齐的 32 比特字，同样，密文也是 32 比特的整数倍，填充域用来保证这样的排列 （3）增加额外的填充能隐藏载荷的实际长度，从而提供部分流量的保密9.1 列出并简要定义三类入侵者。（1）假冒用户： 为授权使用计算机的个体， 或潜入系统的访问控制来获得合法用户的账户 （2）违法用户：系统的合法用户访问未授权的数据，程序或者资源或者授权者误用其权限 （3）隐秘用户： 通过某些方法夺取系统的管理控制权限， 并使用这种控制权躲避审计机制的访问控制，或者取消

18、审计集合的个体。9.2 用于保护口令文件的两种通用技术是什么？（1）单向函数：系统只保存一个基于用户口令的函数值，当用户输入口令时系统计算该口令的函数值，并与系统内部存储的值进行比较，实际应用中， 系统通常执行单向变换， 在这个变换中，口令被用于产生单向函数的秘钥并产生固定长度的输出 (2)访问控制：访问口令文件的权限仅授予一个或几个非常有限的账户9.3 入侵防御系统可以带来哪三个好处？（1）如果能够足够快的速度检测入侵行为，那么就可以在入侵危害系统或危机数据安全之前将其鉴别并驱逐出系统。 即使未能及时监测到入侵者， 越早发现入侵行为就会使系统损失程度越小， 系统也能越快得到恢复。 （2）有效

19、的入侵检测技术是一种威慑力量，能够起到防护入侵者的作用。 （3）入侵检测可以收集入侵技术信息有利增强入侵防护系统的防护能力。- 5 -9.4 统计一场检测与基于规则入侵检测之间有哪些区别？答：1.统计一场检测：包括一定时间内与合法用户相关的数据集合，然后用于统计学测试方法对观察到的用户进行测试， 一边能够更加确定地判断该行为是否是合法用户行为。 包括阔值检测，给予行为曲线两种方法。基于规则入侵检测： 定义一个规则集， 用于检测与前行为模式和历史行为模式的偏离， 有异常检测，渗透检测两种方法。2，统计方法用来定义普通或期望的行为，而基于规则的方法致力于定义正确行为。3 统计异常检测对假冒用户有效

20、，对违规用户不佳，基于规则可以有效地检测出代表渗透攻击行为的时刻或者动作序列。9.7 什么是蜜罐？蜜罐是一个诱骗系统，用来把潜在的攻击者从重要的系统中引开。其目的： 1 转移攻击者对重要系统的访问 2 收集关于攻击者活动的信息 3 鼓励攻击者停留在系统中足够长的时间以便管理员做出反应。9.8 在 unix 口令管理的 context 中，salt 是指什么？用一个 12 比特随机数“ salt”对 DES算法进行修改， salt 和用户输入的口令作为加密程序的输入。9.9 列出简要定义四种用于防止口令猜测的技术答：1.用户教育：可以引导用户认识到选择难于猜测的口令的重要性，也可以提供一些具体选

21、择口令的指导原则。 2.由计算机生成口令：用户被提供一个由计算机生成的口令。 3.后验口令检测：系统周期性地运行它自身的口令破解程序来检验易于猜测的口令， 对易于猜测的口令，系统将通告用户并删除该口令。 4 前验口令检验 ;该方案允许用户选择自己的口令，但在选择之初，系统会检测口令是否难认猜测，如果不是，那么将拒绝该口令。10.1、在病毒运行过程中，压缩的作用是什么？由于感染后的程序比感染之前的程序长， 所以像签名所描述的这种病毒很容易被检测到。 防止这种检测方法的手段是对可执行文件压缩， 使得无论该程序是否被感染， 它的长度都是相同的。10.2、在病毒运行过程中， 加密的作用是什么？为了病毒

22、在生成副本时可以随机插入多余质量或者交换一些独立指令的顺序。 一种更有效的方法是采用密码学技术。 在这种技术中， 通常将病毒中的某一部分称为突变引擎， 该部分生成一个随机加密密钥来对对病毒中其他部分进行加密。 这个密钥由病毒保存，而突变引擎本身可变。 可调用被感染的程序时， 病毒使用它保存的随机密钥对病毒进行解密。当病毒进行复制时，会选择不同的随机密钥10.3 描述病毒或蠕虫的周期中有那些典型阶段睡眠阶段，传播阶段，触发阶段，执行阶段10.4 什么事数字免疫系统？数字免疫系统是一种全面而广泛的病毒保护措施。10.5 行为阻断软件的工作机理是什么？行为阻断软件与主机操作系统相结合， 实时地监控恶

23、意的程序行为， 在检测到恶意的程序行为后，行为阻断软件将潜在的恶意行为对实际系统实施攻击之前将其阻止。10.6 通常来讲，蠕虫是怎样传播的？电子邮件工具，远程执行能力，远程登陆能力10.7 给出一些蠕虫病毒的对策 1 基于签名的蠕虫扫描过滤 2 基于过滤器的蠕虫防范 3 基于有效载荷分类的蠕虫防范 4 阔值随机漫步的扫描检测 5 速率限制。 6 速率中断10.8 什么是 DDOS DOS攻击指试图阻止某种服务的合法用户使用该服务， 如果这种攻击是从某单一主机或者网点发起的， 那么他就被称为 DOS攻击，一个更为严重的网络威胁就是 DDOS.在 DDOS攻击中， 攻击者可以募集遍及整个互联网的大

24、量主机， 在同一时间或者认协同发射方式对目标站点发起攻击，试图消耗目标设备的资源，使其不能提供服务。11.1 列出防火墙的三个设计目标 1 所有入站和出站的网络流量都必须通过防火墙。 2 只有经过授权的网络流量，防火墙才允许其通过。 3 防火墙本身不能被攻破，这意味着防火墙应该允许在有安全操作系统的可信系统上。11.2 防火墙控制访问及执行安全策略四个技术 :服务控制， 方向控制， 用户控制， 行为控制；11.3 典型的句过滤路由使用了什么信息？源 IP 地址，目的 IP 地址，源端和自由端传输层地址， IP 协议域，接口；11.4 包过滤路由器有那些弱点？ 1.因为过滤防火墙不检查更高层的数

25、据， 因此这种防火墙不能阻止利用了特定应用的漏洞或攻能所进行的攻击 2.因为防火墙可利用的信息有限， 使得包过滤防火墙的日志记录功能也有限 3.大多数包过滤防火墙不支持高级的用户认证机制 4.包过滤防火墙不支持高级的用户认证机制，包过滤防火墙对利用 TCP/IP 规范和协议栈存在的问题进行的攻击没有良好的应对措施 5.包过滤防火墙只根据几个变量进行访问控制决策， 不恰当的设置会引起包过滤防火墙的安全性容易受到威胁。11.5 包过滤路由器和状态检测防火墙的区别是什么？ 传统的包过滤防火墙仅仅对单个数据包做过滤判断，不考虑更高层的上下文信息，状态检测包过滤器通过建造了一个出站 TCP链接目录加强了

26、 TCP流量的规则， 当前每个已建立的连接都有一个入口与之相对应。 包过滤器仅当那些数据包符合这个目录里面某个条目资料的时候， 允许那些到达高端口的入站流量通过。11.6 什么是应用层网关？应用层网关也称作代理服务器， 起到了应用层流量缓冲器的作用。11.7 什么是链路层网关？也称链路层代理，是单机系统或应用层网关为特定的应用程序执行的专门功能 11.9 什么是堡垒主机的共同特性？1.堡垒主机硬件系统执行其操作系统的安全版本， 令其成为可信系统 2.只有网络管理者认为是基本的服务才能在堡垒主机上安装3.在用户被允许访问代理服务之前堡垒主机可能要对其进行附加认证，另外，在允许用户访问之前，各个代

27、理服务可能需要各自的认证；4.每个代理被设为只支持标准引用命令集的子集 5.每个代理被设为只允许特定主机系统的访问6.每个代理通过记录所有通信每个连接以及每个连接的持续时间维持详细的信息审问记录7.每个代理模块是专门为网络安全设计的非常小的软件包 8.在堡垒主机中每个代理都独立与其他代理9.代理通常除了读自己的初始配置文件之外不进行磁盘读取操作10.每个代理堡垒主机上一个专用而安全的目录中以一个无特权的用户运行 11.10 为什么主机防火墙是有用的？1.过滤规则可以符合主机环境，对于服务器的 corporate 安全策略得以执行，并且不同应用的服务器使用不同过滤器 2.保护的提供是独立于拓扑结

28、构的 3.和独立防火墙一起使用， 主机防火墙可以提供额外的层保护11.11 什么事 DMZ 网络？在这样的网络上你想能发现什么类型的系统？在内部和外部防火墙之间有一个或多个网络设备，该区域被称为 DMZ 网络段，一些外部可接入并且需要保护的系统一般放在 DMZ，实际上， DMZ 的系统需要需要外部链接，如企业网址、 E-MAIL 服务器或者 DNS服务器 11.12 内部防火墙和外部防火墙的区别是什么？1 外部防火墙放在本地或者企业网络边缘， 在连接到因特网或一些广域网的边界路由器之内。一个或多个内部防火墙保护企业网络的大部分。 2.外部防火墙提供接入控制和对 DMZ 所需的外部连接相协调的保护， 为剩余的企业网络提供基本保护。 内部防火墙增加了更严格的过滤能力，以保护企业服务器和工作站免于外部攻击；提供了与 DMZ 相关的双向保护； 多个内部防火墙可以用来对内部网络各部分之间进行保护。