计算机网络安全第二版期末复习重点.docx

1、计算机网络安全第二版期末复习重点1.1计算机网络安全的概念是什么？计算机网络安全网络安全有哪几个基本特征？各个特征的含义是什么？概念：网络安全 指网络系统的软件、硬件以及系统中存储和传输的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，网络系统连续可靠正常地运行，网络服务不中断。网络安全的属性（特征）（CIA三角形）机密性（Confidentiality ） 保证信息与信息系统不被非授权的用户、实体或过程所获取与使用完整性 （ Integrity ） 信息在存贮或传输时不被修改、破坏，或不发生信息包丢失、乱序等可用性（Availability） 信息与信息系统可被授权实体正常访问

2、的特性，即授权实体当需要时能够存取所需信息。可控性 对信息的存储于传播具有完全的控制能力，可以控制信息的流向和行为方式。真实性 也就是可靠性，指信息的可用度，包括信息的完整性、准确性和发送人的身份证实等方面，它也是信息安全性的基本要素。1.2 OSI安全体系结构涉及哪几个方面？OSI安全体系结构主要关注：安全性攻击任何危及企业信息系统安全的活动。安全机制用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程，或实现该过程的设备。安全服务加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。1.3OSI的安全服务和安全机制都有哪几项？安全机制和安全

3、服务之间是什么关系？安全服务OSI安全体系结构定义了5大类共14个安全服务：1 鉴别服务 who 鉴别服务与保证通信的真实性有关，提供对通信中对等实体和数据来源的鉴别。1）对等实体鉴别：该服务在数据交换连接建立时提供，识别一个或多个连接实体的身份，证实参与数据交换的对等实体确实是所需的实体，防止假冒。2）数据源鉴别：该服务对数据单元的来源提供确认，向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元2 访问控制服务 包括身份认证和权限验证，用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用，信息资源的读、写和删除，进程资源的执行)或

4、对资源的所有访问。3 数据保密性服务 为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。保密性是防止传输的数据遭到被动攻击。包括：连接保密性无连接保密性选择字段不保密性信息流保密性4 数据完整性服务 用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 带恢复的连接完整； 不带恢复的连接完整； 选择字段的连接完整； 无连接完整； 选择字段无连接完整5 不可(抗)否认服务 用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。具有源点证明的不能否认；具有交付证明的不能否认。为了实现安全服务，OSI安全体系结构还定义了安全机制。

5、 特定安全机制 (8 在特定的协议层实现）加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制 关系：服务 机制 加密数字签名访问控制教据完整性认证交换流量填充路由控制公证同等实体认证YYY数据源认证YY访问控制Y保密性YY流量保密性YYY数据完整性YYY不可否认性YYY可用性YY1.4简述网络安全策略的意义？它主要包括哪几个方面策略？意义：网络安全系统的灵魂与核心，是在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则集合。网络安全策略的提出，是为了实现各种网络安全技术的有效集成，构建可靠的网络安全系统网络安全策略包含5方面

6、策略物理安全策略访问控制策略防火墙控制信息加密策略网络安全管理策略2.2根据各自所基于的数学原理，分析公钥密码体制与对称密码体制的改进？公钥密码体制(n:1)-对称密码(1:1)在用户数目比较多时，传统对称密码体制密钥产生、存储和分发是很大问题。公钥密码体制用户只需掌握解密密钥，而将加密密钥和加密函数公开。改变了密钥分发方式，便利密钥管理。不仅用于加解密，还广泛用于消息鉴别、数字签名和身份认证2.3与对称密码体制比较，公钥密码体制在应用中有哪些优点? 公钥密码体制最大优点适应网络的开放性要求。密码管理比对称密码简单，又满足新的应用要求。通信各方都可以访问公钥，私钥在通信方本地产生，不必进行分配

7、。任何时刻都可以更改私钥，只要修改相应的公钥替代原来的公钥。2.4有哪些常见的密码分析攻击方法，各自什么特点？惟密文攻击：仅知加密算法和密文，最易防范 已知明文攻击：知加密算法，待解密文，同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式，如标准化的文件头。选择明文攻击： 攻击者选择对其有利的明文，获取到了其相应的密文。选择密文攻击：事先搜集一定数量的密文，获的对应的明文。3.2什么是MAC？其实现的基本原理是什么？MAC是消息鉴别码，又称密码校验和。其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块，即MAC，并附加到消息后面传输，接收方利用与发送方共享的密钥进行鉴别。M

8、AC提供消息完整性保护，可以在不安全的信道中传输，因为MAC的生成需要密钥。3.3散列函数应该具有哪些安全特性？（1）单向性：对于任意给定的散列码h，寻找x使得H(x)=h在计算上不可行。（2）强对抗碰撞性：输入是任意长度的M；输出是固定长度的数值；给定h和M，h(M)容易计算；寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。（3）弱对抗碰撞性：对于任意给定的分组M,寻找不等于M的M，使得H(M)=h(M)在计算上不可行。3.4什么是数字签名？数字签名具有哪些特征？数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元接收者用以确认数

9、据单元来源和数据单元完整性，并保护数据，防止被人(如接收者)进行伪造。数字签名的特征：（1）可验证性：信息接收方必须能够验证发送方的签名是否真实有效。（2）不可伪造性：除了签名人之外，任何人都不能伪造签名人的合法签名。（3）不可否认性：发送方发送签名消息后，无法抵赖发送行为；接收方在收到消息后，也无法否认接收行为。（4）数据完整性：发送方能够对消息的完整性进行校验，具有消息鉴别的作用。4.1用户认证的主要方法有哪些？各自具有什么特点？基于口令的认证、基于智能卡的认证、基于生物特征的认证。基于口令的认证最简单，最易实现，最容易理解和接受。基于智能卡的认证的特点：双因子认证、带有安全存储空间、硬件

10、实现加密算法、便于携带，安全可靠。基于生物特征的认证不易遗忘或丢失；防伪性能好，不易伪造或被盗；“随身携带”，方便使用；但成本高，只适用于安全级别比较高的场所。4.2简述X.509证书包含的信息。版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名。4.3一个完整的PKI应用系统包括那些组成部分？各自具有什么功能？一个完整的PKI应用系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；数字证书

11、库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能

12、够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。4.4简述CA的基本职责。（1）制定并发布本地CA策略；（2）对下属各成员进行身份认证和鉴别； （3）发布本CA的证书，或者代替上级CA发布证书；（4）产生和管理下属成员的证书；（5）证实RA的证书申请，返回证书制作的确认信息，或返回已制作的证书；（6）接受和认证对所签发证书的撤销申请；（7）产生和发布所签发证书和CRL；（8）保存证书、CRL信息、审计信息和所制定的策略。第五章 1. 简述针对主机的ARP欺骗的机制

13、 中间人C冒充B，响应A以虚假的IPBMACC，扰乱A的ARP列表，A发给B的数据发给了C。 2. IPsec中传输模式和隧道模式有何区别？ ESP在隧道模式中加密和认证（可选）整个内部IP包，包括内部IP报头。AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。当IPsec被用于端到端的应用时，传输模式更合理一些。在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中，通常采用隧道模式；而且，传输模式并不是必需的，因为隧道模式可以完全替代传输模式。但是隧道模式下的IP数据包有两个IP头，处理开销相对较大。3. AH协议和ESP协议各自提供哪些安全服务？

14、 AH协议为IP数据包提供数据完整性校验和身份认证，还有可选择的抗重放攻击保护，但不提供数据加密服务；ESP协议为IP数据包提供数据完整性校验、身份认证和数据加密，以及可选择的抗重放攻击保护，即除AH提供的所有服务外，ESP还提供数据保密服务，保密服务包括报文内容保密和流量限制保密。第六章 1. 恶意代码生存技术主要包括哪几个方面？分别简述其原理。（1）反跟踪技术：反跟踪技术可以提高恶意代码的伪装能力和防破译能力，增加检测与清除的难度。反动态跟踪：禁止跟踪中断、封锁键盘输入和屏幕显示、检测（调试器）跟踪法、其他反跟踪技术。 反静态跟踪： 对恶意程序代码分块加密执行，伪指令法。 （2）加密技术：

15、加密技术是恶意代码自我保护的一种有效手段，通过与反跟踪技术相配合，可以使分析者无法正常调试和阅读恶意代码，不能掌握恶意代码的工作原理，也无法抽取恶意代码的特征串。从加密内容划分，加密手段分为信息加密、数据加密和程序代码加密三种。 （3）模糊变换技术：恶意代码每次感染一个对象时，嵌入宿主的代码都不相同。（4）自动生产技术：计算机病毒生产器使得对计算机病毒一无所知的普通用户，也能组合出功能各异的计算机病毒 2. 蠕虫代码包括哪些模块。分别具有什么功能？ 蠕虫代码的功能模块至少需要包含扫描模块、攻击模块和复制模块三个部分。蠕虫的扫描功能模块负责探测网络中存在漏洞的主机。攻击模块针对扫描到的目标主机的

16、漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限，并获得一个shell。攻击成功后，复制模块就负责将蠕虫代码自身复制并传输给目标主机。第七章 1.列出并简要定义防火墙根据具体实现技术的分类。 （1）从工作原理的角度看，防火墙技术主要可分为网络层防火墙技术和应用层防火墙技术。 （2） 根据防火墙的硬件环境的不同，可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙。 （3） 根据防火墙功能的不同，可将防火墙分为FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等各种专用防火墙。7.2什么是防火墙？它有哪些功能和局限？ 在计算机网络安全领域，是一个由软件或硬

17、件设备的组合而成起过滤和封锁作用的计算机或网络系统。它一般布置在本地网（可信内部网）和(不安全和不可信赖的)外部网络之间，作用隔离风险区域和安全区域的连接；阻止不希望或未授权的通信进出内部网络。通过边界控制强化内部网络的安全，同时不影响内部网络对外部网路的访问。防火墙的典型功能（5）1.访问控制功能：是防火墙最基本和最重要的功能，通过禁止和允许特定用户访问特定资源，保护内部网络的资源和数据。2.内容控制功能：根据数据内容进行控制，如过滤垃圾邮件、限制外部只能访问本地Web服务器的部分功能，等等。3.日志功能：防火墙需要完整的记录网络访问的情况。一旦网络发生了入侵或者遭到破换，可以对日志进行审计

18、和查询，查明事实。4.集中管理功能：在防火墙上集中实施安全管理，使用过程中还可以根据情况改变安全策略。5.自身安全和可用性：防火墙要保证自己的安全，不被非法侵入，保证正常的工作。防火墙还要保证可用性，否则网络就会中断，内部网的计算机无法访问外部网的资源。防火墙的局限性（4）1.不能防御不经由防护墙的攻击；2.不能防范来自内部的攻击；3.不能防止病毒感染程序和文件出入内部网；4.不能防止数据驱动式攻击。电子邮件复制本地机上，执行后攻击7.3简述防火墙的四个发展阶段：第一代防火墙基于路由器 : 路由器防火墙一体；采用的主要是包过滤技术第二代防火墙由一系列具有防火墙功能的工具集组成：将过滤功能从路由

19、器中独立出来，加入告警和审计功能，因为是纯软件产品，随意对系统管理员技术要求高。第三代防火墙为应用层防火墙：它建立在通用操作系统之上，包括分组过滤功能，装有专用的代理系统，监控所有协议的数据和指令，保护用户编程和用户可配置内核参数的配置。第四代防火墙为动态包过滤技术：也称作状态检测技术，该技术能够对多种通信协议数据包做出通信状态的动态响应。8.1简述网络攻击的过程：1.隐藏自身：利用技术手段隐藏自己真实的IP地址。通常有两种方法：第一种是入侵网络中一台防护较弱的主机（肉鸡），利用这台主机进行攻击。第二种是网络代理跳板2.踩点和扫描：网络踩点就是通过各种途径对攻击目标尽可能多了解信息，分析得到被

20、攻击系统可能存在的漏洞。网络扫描就是利用各种工具探测目标网络的每台主机，以寻找该系统的安全漏洞。有两种常用的扫描策略：一种是主动式策略，基于网络；另一种是被动式策略，基于主机。3.侵入系统并提升权限：一种常见的攻击方法是先以普通用户身份登录目标主机，然后利用系统漏洞提升自己的权限。4.种植后门：入侵者在被侵入主机上种植一些供自己访问的后门。木马是另外一种长期主流对方主机的手段，远程控制功能比后门更强。5.网络隐身：在入侵完毕后，清除被入侵主机上的登录日志及其他相关日志。8.2在DDos攻击过程中，都有哪些角色，分别完成什么功能？在整个Ddos攻击过程中，共有4部分组成：攻击者、主控端、代理服务

21、器和被攻击者，其中每一个组成在攻击中扮演不同的角色。1.攻击者主机：由攻击者本人使用。攻击者通过它发布实施DDos的指令，是整个DDos攻击中的主控台令。2.主控傀儡机：不属攻击者所有的计算机，而是攻击者非法侵入并控制的一些主机。攻击者在这些计算机上安装特定的主控软件，通过这些主机再分别控制大量的攻击傀儡机。3.攻击傀儡机：攻击傀儡机是攻击的直接执行者，直接向被攻击主机发起攻击。4.被攻击者：是DDos攻击的直接受害者，目前多为一些大型企业的网站或数据库系统。8.4什么是蜜罐？蜜罐的主要功能是什么？ 蜜罐系统是试图将攻击从关键系统引诱开并能记录其一举一动的诱骗系统。 蜜罐的功能是：1.转移攻击

22、重要系统的攻击者；2.收集攻击者活动的信息；3.希望攻击者在系统中逗留足够长的时间，使管理员能对此攻击做出响应。9.1什么是隧道？隧道的主要功能有哪些？ 计算机网络中的隧道是逻辑上的概念，是在公共网络中建立的一个逻辑的点对点连接。网络隧道技术的核心内容是“封装”。隧道技术是指包括数据封装、传送和解封装在内的全过程。隧道的功能（4）1.将数据传输到特定的目的地：在隧道两端建立一个虚拟通道，从隧道的一端传到隧道的另一端。2.隐藏私有的网络地址：在隧道开通器和隧道终止器之间建立一条专用通道，私有网络之间的通信内容经过隧道开通器封装后通过公共网络的虚拟专用通道进行传输。3.协议数据传递：隧道只需连接两

23、个使用相同通信协议网络，不关心网络内部使用的通信协议。4.提供数据安全支持：隧道中传输的数据是经过加密和认证处理的，可以保证数据在传输过程中的安全性。9.2画图简述PPTP的体系结构？体系结构图：PPTP是一个面向连接的协议，PAC和PNS维护它们的连接状态。PAC和PNS之间两种连接：控制连接、数据连接。控制连接建立过程是：1.PAC和PNS建立一个TCP连接。2.PAC或者PNS向对方发送一个请求信息，请求建立一个连接。3.收到请求的PAC或PNS发送一条响应消息。控制连接建立以后，下一步就是数据连接，即隧道的建立。数据连接是一个三次握手的机制：请求、响应和已连接确认。9.3SSL VPN

24、应用了哪些关键技术，分别完成哪些功能？SSL VPN实现的关键技术是Web代理、应用代换、端口转发和网络扩展。1.Web代理技术：代理技术提供内部应用服务器和远程用户Web客户端的访问中介2.应用转换技术：通过把非Web应用的协议转译为Web应用，实现与客户端Web浏览器的通信。3.端口转发技术：端口转发器监听特定应用程序定义的端口。综述题1现有一个中小企业的电子商务系统为了提高运行效益和服务质量，计划增开网络支付功能，请您用所学的知识为该企业分析当前网络安全的安全威胁，作出该企业的安全需求分析，并提出两个网络支付安全的方案，并对各自的所采用的网络安全标准协议、应用情况等优缺点进行分析。当前网

25、络安全的安全威胁有：安全漏洞、主机入侵、病毒、蠕虫、木马、拒绝服务攻击、间谍软件、垃圾邮件和网络钓鱼、僵尸网络、恶意网站和流氓软件、黑客。该企业的安全需求分析：进行漏洞扫描和入侵检测、部署蜜罐系统。网络支付安全的方案：1.采用已有的网上支付或者支付宝等支付方式。 2.投资建设自己的网络支付环境和支付方式。综述题2 分析当前淘宝网网络支付有哪几种解决方案？分析各种支付解决方案中用户对支付方便性和安全性的观点，自己设计一套网络支付方案，并论述该方案中如何处理安全和便利问题？淘宝网采用的电子支付解决方案：网上银行和支付宝。对于支付宝手段，支付宝安全性是非常高的，同时支付宝也是非常方便的。用户对于支付

26、宝的方便性和安全性都是非常肯定的。对于网上银行手段，网上银行的安全性用户也都比较认可，但是大部分用户反映网上银行相对于支付宝来说不方便。网络支付方案：采用了快钱网上支付、网汇通在线支付、移动手机支付、网银支付和支付宝结合的支付方案。综述题3、U盾安全支付流程、网银所用到的安全服务和安全机制1、硬件PIN 码保护 由于U 盾 采用了使用以物理介质为基础的个人客户证书，建立基于公钥（PKI）技术的个人证书认证体系（PIN 码）。黑客需要同时取得用户的U 盾硬件以及用户的PIN 码，才可以登录系统。即使用户的PIN 码被泄漏，只要用户持有的U 盾不被盗取，合法用户的身份就不会被仿冒;如果用户的U 盾

27、遗失，拾到者由于不知道用户PIN 码，也无法仿冒合法用户的身份。2、安全的密钥存放 U 盾的密钥存储于内部的智能芯片之中， 用户无法从外部直接读取，对密钥文件的读写和修改都必须由U 盾内部的CPU的调用相应的程序文件执行，而从U 盾接口的外面，没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。这样可以保证黑客无法利用非法程序修改密钥。3、双钥密码体制 为了提高交易的安全，U 盾采用了双钥密码体制保证安全性，在U 盾初始化的时候，先将密码算法 程序烧制在ROM 中，然后通过产生公私密钥对的程序生成一对公私密钥， 公私密钥产生后，公钥可以导出到U 盾外，而私钥则存储于密钥区，不允许外部

28、访问。进行数字签名时以及非对称解密运算时，凡是有私钥参与的密码运算只在芯片内部即可完成， 全过程中私钥可以不出U 盾介质，以此来保证以U 盾为存储介质的数字证书认证在安全上无懈可击。4、硬件实现加密算法 U 盾内置CPU 或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在U 盾内进行，保证了用户密钥不会出现在计算机内存中。当前，各金融机构竞相推出各种网络金融服务，网络银行，电话银行，手机支付，微信支付等新型服务。请您设计网络银行电子支付的网络安全用户调查方案。综述题4调查目的：了解用户对于网络银行的使用行为热点安全问题：网络安全支付调查问卷设计：1.请问你是否拥有银行卡（

29、信用卡或储蓄卡）A.是 B. 否 2.你是否已开通网上银行业务？A.是 B.否 3.您最近一年是否使用过网上银行？A.是 B.否 4.从您第一次使用网上银行到现在已有多长时间？A.不到2个月 B.2个月以上到6个月 C.6 个月以上到1年 D.其它 5.您使用过的网上银行是下列中的哪几家？A.中国银行 B.中国工商银行 C.中国农业银行 D.中国建设银行 E.交通银行 F.招商银行 G.民生银行 H.光大银行 I.中国邮政储蓄 J.其它 6.您经常使用的网上银行业务有以下哪几种？A.账户信息查询（余额、交易明细等） B.转账/汇款 C.信用卡还款 D.个人理财业务（如基金买卖、债券买卖、证券资

30、金存管等） E.个人贷款业务 F.网上支付/缴费 G.积分管理 H.其它 7.您使用网上银行的原因是什么？A.使用方便，节省时间精力 B.去营业厅不方便 C.网上购物便捷 D.有些交易必须使用网上银行 E.其它 8.在使用网上银行时，您看重哪些因素？A.交易安全性 B.功能多样性 C.手续费便宜 D.服务质量高 E.银行的品牌或影响力 F.其它 9.在使用网上银行进行网上支付时，您平均每次支付的金额是多少？A.50元以下 B.50-100元 C.101-500元 D.501-1000元 E.1000以上元 10.你是否会继续使用网上银行？A.肯定会 B.可能会 C.估计不会 D.肯定不会 11

31、.您认为我国网上银行建设的现状如何：A.很好 B.一般 C不好 12.您认为我国网上银行的发展前景如何:13.您的年龄：14.您的性别：A.男 B.女 15.您的学历：A.初中、中专 B.高中、大专 C.本科 硕士 D.博士及以上 E.其它 16.您的职业：A.政府/事业单位公务员 B.企业员工 C.自由职业者 D.在校学生 E.无业/失业 F.其它 17.您的每月可支配收入是（如是学生的话，请依据每月的消费数额填写）：*A.500元及以下 B.500以上-1000元 C.1000元以上-2000元 D.2000元以上-3000元 E.3000元以上-5000元 F.5000元以上-8000元 G.8000元以上拟发放对象和样本数：某普通小区居民 300份对于消费者