网络安全复习资料.doc

一、填空第一章1信息保障的核心思想是对系统或者数据的4个方面的要求：保护，检测，反应，恢复。2TCG目的是在计算机和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。3从1998年到2006年，平均年增长幅度50%左右，导致这些安全事件发生的主要因素是系统和网络安全脆弱性层出不穷，这些安全威胁事件给Internet带来了巨大的经济损失。4B2级，又称为结构保护级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘，磁带和终端）分配单个或多个安全级别。5从系统安全的角度可一把网络安全的研究内容分成两个体系：攻击和防御。第二章1网络层的主要功能是完成网络中心间的报文传输，在广域网中，这种包括产生从源端到目的端的路由2TCP/IP协议族包括4个功能层：应用层，传输层，网络层和网络接口层。这4层概括了相对于OSI参考模型中的七层、3目前E-mail服务使用单位两个主要协议是简单邮件传输协议和邮局协议。4Ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过程的次数一起显示出来5使用“net user”指令查看计算机上的用户列表第三章1目前流行两大语法体系：C语系和Basic语系，同一个语系下语言的基本语法是一样的2句柄是一个指针，可以控制指向的对象3注册表中存储了windows操作系统的所有配置4使用多线程技术编程有两大优点。（1）提高CPU的利用率，（2）可以设置每个线程的优先级，调整工作的进度。5在iostream.h文件中定义了cout的功能是输出，endl的功能是回车换行6DOS命令行下使用命令“net user Hacker/add”添加一个用户Hacke,同样可以在程序中实现第四章1.扫描方式可以分成两大类：慢速扫描和乱序扫描。2.被动式策略是基于主机之上，对系统中不适合的设置、脆弱的口令及其他同安全规则抵触的对象进行检测。3一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身。第五章1.字典攻击是最常见的一种暴力攻击。2分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一的攻击目标实施攻击。3SYN flooding攻击即是利用的TCP/IP协议的设计弱点。第六章1后门的好坏取决于被管理员发现的概率。2木马程序一般由两部分组成：服务器端程序和客户端程序。3本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一。第七章1恶意代码主要包括计算机病毒（Vius）、蠕虫（Worn）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。2恶意代码从20世纪80年代发展至今出来的3个主要特征是：恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。3早期恶意代码的主要形式是计算机病毒。4隐藏通常包括本地隐藏和通信隐藏。其中本地隐藏主要有文件隐藏、进程隐藏、网络隐藏、连接隐藏、内核模块隐藏、编译隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。5网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。6加密手段分为信息加密、数据加密和程序代码加密三种。(必考)第八章1操作系统的安全性在计算机信息系统的整体安全中具有至关重要的作用，没有它的安全性，信息系统的安全性是最没有基础的。2Multics是开发安全操作系统最早的尝试。3.1969年B.W.Lampson通过形式化标示方法运用主体、客体和访问矩阵的思想第一次对访问控制问题进行了抽象。4访问控制机制的理论基础是访问监控器由J.P.Anderson首次提出。5计算机硬件安全的目标是，保证其自身的可靠性和为系统提供系统基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。6Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息的机密性。第九章1两千多年钱，罗马国王就开始使用目前称为“恺撒密码”的密码系统。2.2004年8月，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。3除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。4数字水印应具有3个基本特性：隐藏性、鲁棒性和安全性。5用户公私钥对产生有两种方式：用户自己产生的密钥对和CA为用户产生的密钥对。6常见的信任模型包括4中：严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。第十章1防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。2常见的防火墙有3中类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。3常见的防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机模型能够、双宿主堡垒主机模型和屏蔽子网模型。4入侵检测是一种增强系统安全的有效方法，能呢个检测出系统中违背系统安全性规则或者威胁到系统安全的活动。5入侵检测的3个基本步骤：信息收集、数据分析和响应。第十一章1IPSec弥补了Ipv4在协议设计时的缺乏安全性考虑的不足。2IPSec协议族摆阔两个安全协议：AH协议和ESP协议。3IPSec的作用方式有两种：传输模式和隧道模式，它们都可用于保护通信。4IKE是一种“混合型”协议，它建立在由ISAKMP定义的一个框架上，同时实现了Oakley和SKEME协议的一部分。5对于第一阶段，IKE交换基于两种模式：主模式和野蛮模式。6虚拟专用网VPN指通过一个公用网络建立一个临时的安全的链接，是一条穿过公用网络的安全、稳定的隧道，是对企业内部网的扩展。7Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。8SSL被设计用来提供一个可靠的端到端的安全服务，为两个通信个体之间提供保密性和完整性。第十二章1。安全原则体现在5个方面：动态性、唯一性、整体性、专业性和严密性。2。安全服务不是产品化的东西，而是通过技术向用户提供的持久支持。对于不管更新的安全技术、安全威胁，起作用变得越来越重要。3。实际安全风险分析一般从4个方面尽心分析：网络的风险和威胁分析，系统的风险和威胁分析，应用的分析和威胁分析，对网络、系统和应用的风险及威胁的具体实际的详细分析。二、简答：一、黑客在进攻的过程中需要经过哪些步骤？目的是什么？p110答：1。隐藏IP通常有两种方式实现IP的隐藏：第一种方法是首先侵入互联网上的一台计算机，利用这台计算机进行攻击，这样即使被发现，也是“肉鸡”的IP地址；第二种方式是做多级跳板“Sock”代理，这样在入侵的计算机留下的是代理计算机的IP地址。2。踩点扫描目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。3。获得系统或管理员的权限得到管理员的权限的目的是在连接到远程计算机，对其进行控制，达到自己攻击目的。4。种植后门为了保护长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。5。在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登陆日志，这样就容易被管理员发现。在入侵完毕之后需要清除登陆日志及其他相关的日志。 二、简述黑客攻击和网络安全的关系。P110答：黑客攻击和网络安全是紧密结合在一起的，研究网络安全不研究黑客攻击技术等同于纸上谈兵，研究攻击技术不研究网络安全等同于闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检测系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击，为了商业或个人目的获得秘密资料而攻击，为了民族仇恨而攻击，利用对方的系统资源满足自己的需求，寻求刺激，给别人帮忙，以及一些无目的的攻击。三、为什么需要网络踩点？p110答：踩点就是通过各种途径对所要的攻击目标进行尽可能的了解。常见的踩点方法包括：在域名及注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标IP 的地址范围查询。踩点的目的就是探察对方的各方面的情况，确定攻击的时机，摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。四、简述什么是木马什么是后门，两者的区别。P174答：只要能不通过正常登陆进入系统的途径都成为网络后门。木马是一种可以驻留在对方服务器系统中的一种程序。两者区别：木马程序在表面看上去对计算机没有任何损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危胁安全的功能。本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登陆对方的主机。五、简述公开密匙算法的基本原理。P249答：公开密匙算法的加密的密钥和解密的密钥不同，而且解密密钥不能根据加密密钥算出来，或者至少在可以计算的时间内不能计算出来。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有相应的解密密钥才能解密信息。加密密钥叫做公开密钥，解密密钥叫做私人密钥。公开密钥K1加密表示为：Ek1(M)=C，公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可以表示为：Dk2(C)=M。六、简述防火墙的分类，并说明分组过滤防火墙的基本原理。P277答：常见的防火墙有3种类型：分组过虑防火墙、应用代理防火墙和状态检测防火墙。数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、TCPUDP目的端口和ICMP消息类型等。如果包括的信息匹配所允许的数据包，那么该数据包便会按照路由表中的信息被转发。如果不匹配规则。用户配置的默认参数就会决定是转发还是丢弃数据包。七、简述VPN的功能。P307答：（1）加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露；（2）信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份；（3）提供访问控制，不同的用户有不同的访问权限。三、论述：一、论述暴力攻击。P128答：暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，需要求助于非常精密复杂的方法，使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息，即使拥有这种匹配，也将花掉8天的时间去破解加密算法。实际上，破解加密过程用8天已是非常短的时间了。针对一个安全系统进行暴力攻击需要大量的时间，需要极大地意志力和决心。然而，由于不适宜的安全设置和策略，一些系统非常易于暴露在这种攻击之下。不过暴力攻击容易被侦测到，因为攻击时经常需要重复连接。字典攻击是最常见的一种暴力攻击。如果黑客试图通过使用传统的暴力攻击方法获得密码的话，将不得不尝试每种可能的字符，包括大小写、数字和通配符等。字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，大多数的用户使用标准的单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破译密码。强壮的的密码则通过结合大小写字母、数字和通配符来攻击字典攻击。二、简述恶意代码攻击技术。P200答：常见的攻击技术包括：进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。1。进程注入技术当前操作系统中都有系统服务和网络服务，他们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体。恶意代码程序将自身嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。2。三线程技术在windows操作系统中引入了线程的概念，一个进程可以同时拥有多个并发线程。三线技术就是指一个恶意代码进程是监视线程和守护线程。监视线程负责检查恶意代码程序是否被删除或被停止启动。3。端口复用技术端口复用技术是指重复利用系统网络打开的端口（如25、80、135和139等常用的端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下复用，具有很强的欺骗性。4。超级管理技术一些恶意代码还具有攻击反恶意代码软件的能力。为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务功能攻击，使反恶意代码软件无法正常运行。5。端口反向连接技术防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略，但对于从内部网到外网的数据却疏于防范。端口反向连接技术，系指令恶意代码攻击的服务端主动接客户端。6。缓冲区溢出技术恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，攻击代码以一定得权限运行有缓冲区溢出漏洞的程序，从而获得被攻击主机的控制权。三、简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。P232（含表格，未写出）答：安全审核策略是windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变账户策略和未经许可的文件访问等）入侵时，都会被安全审核记录下来。密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。“密码