信息与网络安全管理.doc

网络安全复习资料第1-2章计算机网络定义（P1）答:网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。网络安全的五个属性（P2）答：可用性、机密性、完整性、可靠性、不可抵赖性。网络安全威胁定义（P2）答：是指某个实体对某一网络资源的机密性、完整性、可用性及可靠性等可能造车的危害。哪种威胁是被动威胁（P3）答：只对信息进行监听，而不对其修改和破坏。（包括：攻击者截获、窃取通信消息，损害消息的机密性）哪种威胁是主动威胁答：则是对信息进行篡改和破坏，使合法用户得不到可用信息。安全威胁的主要表现形式（P4）答：授权侵犯、旁路控制、拒绝服务、窃听、电磁泄露、非法使用、信息泄露、完整性破坏、假冒、物力侵入、重放、否认、资源耗尽、业务流分析、特洛伊木马、陷门、人员疏忽。什么是重放（P4）答：处于非法目的而重新发送截获的合法通信数据的拷贝。什么是陷门（P4）答：在某个系统或文件中预先设置的“机关”，使得当提供特定的输入时，允许违反安全策略。网络安全策略包括哪4方面（P6）答：物理安全策略、访问控制策略、信息加密策略、安全管理策略。（安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。）P2DR模型的4部分，它的基本思想（P8）答：Policy-策略、Protection-保护、Detection-检测、Response-响应。P2DR模型对安全描述公式表示：安全=风险分析+执行策略+系统实施+漏洞检测+实时响应PDRR模型的4部分（P10）答：Protection-保护、Detection-检测、Response-响应、Recovery-恢复TCP/IP参考模型，各层的名称、作用、主要协议（P16）答：TCP/IP参考模型是因特网的前身ARPANET及因特网的参考模型。TCP/IP模型参考模型共有四层，从上至下分别为：应用层、传输层、网络层、网络接口层。作用：（1）应用层：大致对应OIS的表示层、会话层、应用层，是TCP/IP模型的最上层，是面向用户的各种应用软件，是用户访问网络的界面。（2）传输层：对应OSI的传输层，负责实现源主机上的实体之间的通信。(3)网络层：对应OSI的网络层，负责数据包的路由选择功能，保证数据包能顺利到达指定的目的地。（4）网络接口层：大致对应OSI的数据链路层和物理层，是TCP/IP模型的最低层，它负责接收IP数据包并通过网络传输介质发送数据包。主要协议:传输层，一种是可靠的、面向连接协议的服务（TCP协议）；一种是无连接的数据报服务（UDP协议）常用网络服务有哪些，它们的作用。（P35）答：1、Telnet，是一种因特网远程终端访问服务。它能够以字符方式模仿远程终端，登录远程服务器，访问服务器上的资源；2、FTP，让用户连接上一个远程计算机察看远程计算机有哪些文件，然后把文件从远程计算机上下载到本地计算机，或把本地计算机的文件上传到远程计算机上去；3、E-Mail，电子邮件，是最流行和最基本的网络服务之一。为用户提供友好的交互式界面，方面用户编辑、阅读、处理信件，并将信件传送到目的油箱；4、WWW，是目前最常用的服务，使用HTTP协议，默认端口为80，在Windows下一般使用IIS作为Web服务器。用户通过浏览器可以方便地访问Web上众多的网页，网页包含了文本、图片、语音、视频等各种文件；5、DNS，域名服务用于实现域名的解析，即寻找Internet域名并将它转化为IP地址。域名是有意义的、容易记忆的Internet地址。安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。ping 指令的功能（P41）答：ping命令用来检测当前主机与目的主机之间的连通情况，它通过从当前主机向目的主机发送ICMP，并接收应答信息来确定两台计算机之间的网络是否连通，并可显示ICMP包到达对方时间。ftp中的各项命令分别是什么。（P48）答：进入某个文件夹：cd；下载文件到本地机器：get；上传文件到远程服务器：put；删除远程ftp服务器上的文件；断开当前连接：disconnect；退出ftp服务；退出ftp服务。怎么利用Tracert指令来确定从一个主机到其他主机的路由。（P44）答：通过向目标发送不同IP生存时间（TTL）值得ICMP数据包，tracert诊断程序确定到目标所采取的路由。路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1，数据包上的TTL减为0时，路由器应该将“ICMP已超时”的消息发回源系统。Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。第3-4章什么是基于密钥的算法（P52）答：密码体制的加密、解密算法是公开的，算法的可变参数（密钥）是保密的，密码系统的安全性仅依赖于密钥的安全性，这样的算法称为基于密钥的算法。什么是对称加密算法、非对称加密算法（P54）答：对称加密算法：也称为传统密码算法，其加密密钥与解密密钥相同或很容易相互推算出来，因此也称为秘密密钥或单钥算法；非对称加密：也称为公开秘钥算法，是对DES、三重DES进行穷举攻击，各需要多少次。（P68）答：DES需要264；三重DES需要2112给定p、q、e、M，设计一个RSA算法，求公钥、私钥，并利用RSA进行加密和解密。使用公开密钥体制进行数字签名的步骤（P88）答:A用他的私人密钥加密信息，从而对文件签名；A将签名的信息发送给B；B用A的公开密钥解密消息，从而验证签名。使用公开密钥体制与单向散列函数进行数字签名的步骤（P89）答：A使信息M通过单向散列函数H，产生散列值，即消息的指纹或称信息验证码；A使用私人密钥对散列值进行加密，形成数字签名s；A把消息与数字签名一起发送给B；B受到消息和签名后，用A的公开密钥解密数字签名s，再用同样的算法对消息运算生成散列值；B把自己生成的散列值与解密的数字签名相比较，看是否匹配，从而验证签名。Kerberos定义。（P89）答：Kerberos是为TCP/IP网络设计的基于对称密码体系的可信第三方鉴别协议，负责在网络上进行可信仲裁及会话密钥的分配。Kerberos可以提供安全的网络鉴别，允许个人访问网络中不同的机器。PKI定义（P91）答：PKI又称为公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。第5-7章Windows 2000 身份认证的两个过程是（P106）答：交互式登陆和网络身份认证。Windows 2000中用户证书主要用于验证消息发送者的SID（P107）答;用户证书主要用于验证消息发送者的SID。只有当用户证书在Active Directory中首次注册时才能验证SID。消息队列验证附加到消息的SID是否与用于Active Directory中注册证书的SID相同。在首次登陆到计算机时，计算机用户证书在安装和注册到Active Directory过程中自动创建。也可以将已注册的消息发送到其他域，而不是创建SID的域。Windows 2000安全系统支持答：Kerberos V5、安全套接字层/传输层安全（SSL/TLS）和NTLM三种身份认证机制（P107）Windows 2000提供哪些功能确保设备驱动程序和系统文件保持数字签名状态（P109）答：Windows文件保护；系统文件检查程序；文件签名验证。WINDOWS主机推荐使用的文件系统格式是答：NTFS使用文件加密系统对文件进行解密的步骤。（P113）答：文件加密过程：每个文件都有一个唯一的文件加密密钥，用于以后对文件资料进行解密；文件的加密密钥在文件之中是加密的，通过与用户的EFS证书对应的公钥进行保护；文件加密密钥同时受到授权恢复代理的公钥的保护。文件的解密过程：要解密一个文件，首先要对文件加密密钥进行解密，当用户的私钥与这个公钥匹配时，文件加密密钥就被破密；用户并不是唯一能对文件加密密钥进行解密的人，恢复代理的私钥同样可以对文件加密密钥进行解密；当文件加密密钥被解密后，可以被用户或恢复代理用于文件资料的解密。常见的Web服务安全威胁有哪些（P128）答：电子欺骗；纂改；否认；信息泄路；拒绝服务；特权升级。CGI提供了动态服务，可以在用户和Web服务器之间交互式通信(P129)JavaScript存在的5个主要的安全漏洞。（P131）答：（1）JavaScript可以欺骗用户，将用户的本地硬盘上的文件上载到Internet上的任意主机。尽管用户必须按一下按钮才开始传输，但这个按钮可以很容易地被伪装成其他东西。而且在事件的前后也没有任何提示表明发生了文件传输。这对依赖口令文件来控制访问的系统来说是主要的安全风险，因为偷走的口令文件通常能被轻易破解；（2）JavaScript能获得用户本地硬盘上目录列表，这既代表了对隐私的侵犯又代表了安全风险；（3）JavaScript能监视用户某段时间内访问的所有网页，捕捉URL并将它们传到Internet上的某台主机中。（4）JavaScript能够触发Netscape Navigator送出电子邮件信息而不需要经过用户允许。这个技术可被捅来获得用户的电子邮件地址；（5）嵌入网页的JavaScript代码是公开的，缺乏安全保密功能。什么是Cookies，使用Cookies有什么安全隐患。(P132)答：Cookies是Netscape公司开发的一种机制，用来改善HTTP协议的无状态性。通常，每次浏览器向Web服务器发出请求时，这个请求都被认为是一次全新的交互，这就使得Web服务器要在一定时间内记住用户执行的操作很困难。Cookies解决了这个问题。Cookies是一段很小的信息，在浏览器第一次连接时由HTTP服务器送到浏览器。以后，浏览器每次连接都把这个Cookies的一个拷贝返回给服务器。一般地，服务器用这个Cookies来记住用户。安全隐患：用户的浏览器在Web节点上的每次访问都留下与用户有关的某些信息，在Internet上产生轻微的痕迹。在这个痕迹上的少量数据中，包含了计算机的名字和IP地址、浏览器的品牌和前面访问的网页的URL。IIS的安全配置主要包括哪几个内容（P133）答：（1）删除不必要的虚拟目录；（2）删除危险的IIS组建；（3）为IIS中的文件分类设置权限；（4）删除不必要的应用程序映射；（5）保护日至安全。SSL结构，包括SSL协议的层次，主要作用(P142)答：SSL位于TCP/IP协议栈中的传输层和应用层之间，利用TCP协议提供可靠的端到端安全服务。SSL的上层包括三种协议：握手协议、改变加密规格协议和报警协议。这三种协议主要用于SSL密钥的交换的管理。SSL下层为记录协议，记录协议封装各种高层协议，具体实施压缩/解压缩、加密/解密、计算/效验MAC等安全有关的操作。SSL会话通过握手协议来创建（P143）什么是SET，它主要提供哪三种服务（P153）答：SET（安全电子交易）是为了保护用户使用信用卡在互联网上进行安全的交易支付而设计的加密与安全规范。主要提供的服务：在参与交易的各方面之间提供安全的通信通道；使用X.509v3证书为用户提供一种信任机制；保护隐私信息，这些信息只有在必要的时间和地点才可以由当事双方使用。SET的参与者（P154）答：持卡人；商家；发卡机构；代理商；支付网关；证书权威（CA）。SET协议使用SHA-1散列码和RSA数字签名来提供消息完整性（P154）SET协议使用X.509v3和RSA数字签名来提供持卡人账户认证（P154）双重签名机制的主要特点：双重签名机制可以巧妙的把发送给不同接受者的两条消息联系起来，而又很好的保护了消费者的隐私（P155）电子邮件不是一种“端到端”的服务，而是被称为“存储转发”服务。（P157）邮件网关的功能（P158）答：预防功能；监控功能；跟踪功能；邮件备份。根据用途，邮件网关可分为哪三种（P158）答：普通邮件网关；邮件过滤网关；反垃圾邮件网关。SMTP协议与POP3协议的区别：SMTP协议用于邮件服务器之间传送邮件，POP3协议用于用户从邮件服务器上把邮件存储到本地主机。（P159）什么是电子邮件“欺骗”（P161）答：电子邮件欺骗是在电子邮件中改变名字，使之看起来是从某地或某人发来的行为。进行电子邮件欺骗的三种基本方法（P161）答：相似的电子邮件地址；修改邮件客户；远程登录到25端口。PGP通过使用加密签字实现安全E-mai（P166）PGP的三个主要功能（P166）答：（1）使用强大的IDWA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读；（2）使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读；（3）使用公开密钥加密技术对文件或电子邮件作数字签名，签定人可以用起草人的公开密钥鉴别真伪。第8-10章防火墙定义（P179）答：是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网的安全。外部网络：是指防火墙之外的网络，一般为Internet，默认为风险区域。内部网络：是指防火墙之内的网络，一般为局域网，默认为安全区域。非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如：WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。包过滤：也被称为数据包过滤，实在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器：是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。状态检测技术：这是第三代网络安全技术。状态检测模块在不影响网络安全正常工作的前提下，采取抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策的依据。虚拟专用网（VPN）：是一种在公用网络中配置的专用网络。漏洞：系统中的安全缺陷，漏洞可以导致入侵者获取信息并导致不正确的访问。数据驱动攻击：入侵者把一些具有破坏性的数据藏匿在普通数据中传送到Internet主机上，当这些数据被激活时就会发生数据驱动攻击。IP地址欺骗：突破防火墙系统最常用的方法是IP地址欺骗，它同时也是其他一系列攻击方法的基础。入侵者利用伪造的IP发送地址产生虚假的数据包，乔装成来自内部网的数据，这种类型的攻击是非常危险的。防火墙的功能（P181）答：（1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户；（2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警；（3）限制内部用户访问特殊站点；（4）记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。防火墙应的特性（P181）答：（1）所有在内部网络和外部网络之间传输的数据都必须通过防火墙；（2）只有被授权的合法数据，即防火墙安全策略允许的数据，可以通过防火墙；（3）防火墙本身具有预防入侵的功能，不受各种攻击的影响；（4）人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。防火墙的优点（P182）答：（1）防火墙能强化安全策略；（2）防火墙能有效地记录Internet上的活动；（3）防火墙是一个安全策略的检查站。防火墙的缺点答：（1）不能呢个防范恶意的内部用户；（2）不能防范不通过防火墙的链接；（3）不能防范全部的威胁；（4）防火墙不能防范病毒。防火墙技术主要有包过滤防火墙和代理服务器（P182）包过滤防火墙的定义（P182）答：又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。包过滤技术的定义（P183）答：包过滤技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。包过滤防火墙的优点（P183）答：（1）一个屏蔽路由器能保护整个网络；（2）包过滤对用户透明；（3）屏蔽路由器速度快、效率高。包过滤防火墙的缺点答：（1）没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录；（2）配制繁琐；（3）不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的。包过滤型防火墙工作在网络层（P183）三种常见的防火墙体系结构（P187）答：双重宿主主机结构；屏幕主机结构；屏幕子网结构。屏蔽主机结构由什么组成（P188）答：由一台堡垒主机和一个由过滤功能的屏蔽路由器。屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。分布式防火墙的优点（P192）答：（1）增强了系统的安全性；（2）提高了系统性能；（3）系统的扩展性；（4）应用更为广泛。病毒的定义（P199）答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒的生命周期（P200）答：病毒的生命周期包含以下几个阶段。（1）隐藏阶段，处于这个阶段的病毒不进行操作，而是等待时间触发，触发事件包括时间、其他程序或文件的出现、磁盘容量超过某个限度等（有的病毒没有隐藏期）；（2）传播阶段，在这一阶段的病毒会把自身的一个副本传播到未传染这种病毒的程序或磁盘的某个扇区中去；（3）触发阶段，这个阶段病毒将被激活去执行病毒设计者预先设计好的功能；（4）执行阶段，这个阶段病毒将被激活去执行预先设计的功能直至执行完毕。病毒的特征（P201）答：（1）传染性；（2）破坏性；（3）潜伏性；（4）可执行性；（5）可触发性；（6）隐蔽性。病毒的分类：蠕虫病毒属于一种网络病毒，CIH属于文件型病毒（P202）病毒的主要传播途径（P203）答：（1）通过移动存储设备来传播；（2）网络传播；（3）无线传播。蠕虫病毒的基本程序结构包括哪些模块（P209）答：（1）传播模块：负者蠕虫的传播。传播模块又可以分为三个基本模块：扫描模块、攻击模块、复制模块；（2）隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现；（3）目的功能模块：实现对计算机的控制、监视或破坏等功能。木马（通过植入用户的计算机，获取系统中的有用数据）、蠕虫（P208）、网页病毒（P203）各有什么特点即它们各自定义。答：（1）木马：严格来讲木马不属于病毒，因为他没有病毒的传染性，其传播途径主要有聊天软件、电子邮件、文件下载等。黑客经常利用上述途径将木马植入用户的计算机，获取系统中的有用数据。因为它有很强的破坏性，所以一般也归类为病毒的一种。木马往往与黑客病毒成对出现，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来控制用户的电脑；（2）蠕虫病毒：蠕虫病毒是通过网络来传播特定的信息，进而造成网络服务找到拒绝。这种病毒常驻于一台或多台机器中，并有自动重新定位的能力，如果检测到网络中的某台机器未被占用，它就把自身的一个副本发送给那台机器；（3）网页病毒：也被称为网页恶意代码，是指在网页中用Java、Applet、JavaScript或者ActiveX设计的非法恶意程序。当用户的个人资料，这些程序会利用IE的漏洞修改用户的注册表、修改IE默认设置、获取用户的个人资料、删除硬盘文件、格式化硬盘。第11-12章获取口令的常用方法(P225)答：（1）通过网络监听非法得到用户口令；（2）口令的穷举攻击；（3）利用系统管理员的失误。端口扫描器通常分为哪三类（P227）答：（1）数据库安全扫描器；（2）操作系统安全扫描器和网络安全扫描器；（3）分别针对于网络服务、应用程序、网络设备、网络协议等。端口扫描技术包括（P228）答：（1）TCP connect()扫描；（2）TCP SYN扫描；（3）TCP FIN扫描；（4）IP段扫描；（5）TCP反向ident扫描；（6）FTP返回扫描；（7）UDP ICMP扫描。如何发现Sniffer（P230）答：（1）网络通信掉包率非常高。通过一些网络软件如ping命令，可以看到信息包传送情况。如果网络中有人在监听，由于Sniffer拦截了每一个包，信息包将无法每次都顺畅地流到目的地；（2）网络款待出现异常。通过某些宽带控制其，可以实时看到目前网络宽带的分布情况，如果某台机器长时间地占用了较大的宽带，这台机器就有可能正在运行Sniffer；（3）对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接收错误的物理地址，处于监听状态的机器能接收，这种方法依赖系统的IPSTACK，对有些系统可能行不通；（4）往往上发送大量包含不存在的物理地址的包，由于监听程序要处理这些包，将导致性能下降，通过比较前后该机器的性能（如：Icmp Echo Delay等方法）加以判断；（5）另外，目前也有许多探测sniffer的应用程序可以用来帮助探测sniffer，如ISS的anti-Sniffer、Sentinel、Lopht的Antisniff等。防御网络监听的方法（P231）答：（1）从逻辑或物理上对网络分段；（2）以交换式集成器代替共享式集线器；（3）使用加密技术；（4）划分VLAN。什么是拒绝服务攻击（P233）答：拒绝服务，DoS，造成DoS的攻击行为被称为DoS攻击，拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户提供服务的一种攻击方式。分布式拒绝服务攻击体系包括哪三层（P234）答：分布式拒绝服务，即DDoS。它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点。分成：（1）攻击者；（2）主控段；（3）代理端。木马入侵原理（P236）答：一、配置木马，一般来说一个设计成熟的木马都有木马配置程序，主要是为了实现以下两方面的功能：（1）木马伪装，木马配置程序为了在服务端尽可能地隐藏木马，会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等；（2）信息反馈，木马配置程序将就信息反馈的方式或地址进行配置，如设置信息反馈的邮件地址、IRC号、ICO号等。二、传播木马，（1）传播方式，木马的传播方式主要有两种：一种是通过E-mail，攻击者将木马程序以附件的形式夹在邮件中发送出击，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行程序，木马就会自动安装。另外，也可以用木马种植程序，在局域网里利用IPC$共享管道把木马植到对方的机器上。（2）伪装方式，包括：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名。三、运行木马，（1）由触发条件激活木马；（2）木马运行过程。四、信息泄露。五、建立连接，一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端、服务端都要在线。六、远程控制，（1）窃取密码；（2）文件