西安邮电大学网络安全考试重点.doc

1. 网络安全的属性：（填空）机密性、 完整性、可用性、可控性、 不可抵赖性2. 密码学的基本术语：明文被隐蔽的消息P或M，密文隐蔽后的消息C；发送者主动提供信息的一方，接受者得到消息的一方；加密-明转密，解密-密转明，加密算法对明进行加密的规则，解密算法-对密进行解密的规则；密钥-加密和解密算法的操作通常都是在一族密钥的控制下进行的为加密密钥和解密密钥（Ke，Kd）；截收者-传输过程中的非法授权者通过非法手段截取数据；主动攻击-攻击者主动向系统窜扰，采用删除，更改，增添，重放，伪造等手段向系统注入假消息，以达到一定目的；被动攻击-对一个密码系统采取截获密文进行分析的攻击；密码系统-称为密码体制，由五元组（M密文空间，C明文空间，K密钥空间，E加密算法，D解密算法）构成的密码系统模型。3. 根据密钥特点，密码体质可分为 对称密码体制（Symmetric Cryptosystem）和非对称密码体制（Asymmetric Cryptosystem）。对称密码体制又被称为单钥（One-Key）体制或私钥（Private Key）密码体制或者传统密码体制（ Classical Cryptosystem）；非对称密码体制又被称为双钥（ Two-Key ）或者公钥（ Public Key）密码体制。4. 按照加密方法不同，私钥密码体制又可以被分为流密码（Stream Cipher）（或称序列密码）和分组密码（Block Cipher）两类。二者的区别是：流密码是将明文消息按字符逐位加密；分组密码是将明文消息先进行分组，再逐组加密。5. 分组密码的工作模式：电码本（ECB） 密码分组链接（CBC） 密码反馈（CFB） 输出反馈 （OFB）。6. 公钥密码体制有两种基本模型：一种是加密模型；另一种是认证模型。7.加密模型原理：公钥密码体制可以简化密钥的管理，并且可通过公开系统（如公开目录服务）来分配密钥。假定存在一个包含各通信方的公钥的公开目录，那么任何一方都可以使用这些密钥向另一方发送机密信息。具体办法是发送者首先查出接收者的公开密钥并且使用该密钥加密消息。只有拥有相应私有密钥的接收者才能解读消息，这就是加密模型。8.认证模型原理：通过将公开的密钥用做解密密钥，公钥密码技术可用于数据源认证，并且可以确保信息的完整性。这种情况下，任何人均可以从公开目录中获得解密密钥，从而可解读消息，但是只有拥有相应的私有密钥的人才能产生该消息，这就是认证模型。9.签名体制：一个签名体制包含两部分，签名算法和验证算法。数字签名的四个条件：收方能否确认或证实发放的签字，但不能伪造；发方发出签字消息后，不能否认他所签发的消息；收方对已收到的签字消息不能否认；第三方可以确认收发双方之间的消息传递，但不能伪造这一过程。10.杂凑函数的概念（又称哈希函数）是认证和数字签名的基本组成部分，通常先用杂凑函数将要签名的信息压缩到固定长度（该压缩信息通常被称为摘要信息），再对该摘要信息签名。11.杂凑函数的四个特性：（1）可应用于任意大小的数据块并产生定长的输出；对于任何给定的M，用硬件和/或软件均容易实现。（2）单向性（3）抗弱碰撞性（4）抗强碰撞性12.目前最常用的消息认证码是基于DES的数据认证算法（FIPS PUB 113），该算法也是ANSI标准（X9.17）。13.PGP的概念（Pretty Good Privacy）是目前被广泛采用的一种为电子邮件和文件存储应用提供保密和认证服务的邮件加密系统。PGP综合运用了4种密码体制，即私钥密码体制（采用IDEA或CAST或Differ-Hellman的3DES等算法），公钥密码体制（RSA或DSS）；杂凑算法（MD5或SHA-1）以及一个随机数生成算法。14.CA（认证中心）：概念-CA是Certification Authorities的缩写，它是PKI的信任基础，负责管理密钥和数字证书的整个生命周期。功能-证书审批，证书签发，证书更新，证书查询，证书撤销，证书归档，各级CA管理。15. PKI的概念是Public Key Infrastructure的缩写，通常译作公钥基础设施。PKI是一种运用公钥的概念与技术，是一种实施并提供安全服务的具有普遍适用性的网络安全基础设施。PKI原理：PKI技术以公钥技术为基础，以数字证书为媒介，结合对称加密，将个人、组织、设备的标识身份信息与各自的公钥捆绑在一起，其主要目的是通过自动管理密钥和证书，为用户建立一个安全、可信的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，在Internet上验证用户的身份，从而保证所传输信息的机密性、完整性和不可否认性。16. RA注册中心是PKI信任体系的重要组成部分，是用户（个人或团体）和CA之间的一个接口，是认证机构信任范围的一种延伸。RA注册中心的功能：自身密钥的管理，包括密钥的更新、保存、使用、销毁等。审核用户的信息。 登记黑名单。 业务受理点（LRA）的全面管理。 接受并处理来自受理点的各种请求。17.实现用户身份认证的技术有：静态口令、动态口令、生物识别和PKI数字证书。18.数字证书，简称证书，又叫“数字身份证”“网络身份证”“电子证书”，它是由认证中心发放并经过认证中心签名的，包含证书拥有者及其公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。数字证书的工作原理：数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的主要密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）以证书形式公开，用于加密和验证签名。数字证书的格式采用X.509国际标准。X.509版本：v1 v2 v3 19.CA的信任模型：层次型，分布式，基于WEB模型，以用户为中心的四种信任模型。20.网络入侵对象主要包括： 固定的安全漏洞 系统维护措施不完善 缺乏良好的安全体系21.黑客攻击的步骤：1收集信息和系统扫描 2探测系统安全弱点 3实施攻击 22.网络嗅探的原理：网络嗅探是利用计算机的网络接口截获其他计算机数据报文的一种工具。通过把网络适配卡设置为一种混杂模式状态，使网卡能够接受传输在网络上的每一个数据包。嗅探工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。嗅探索实施的是一种消极的安全攻击，但具有良好的隐蔽性，通常隐藏在系统主机后面监听网络通信过程。23.缓冲区溢出原理：缓冲区是指内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置时，如果没有足够的空间，就会发生缓冲区溢出。如果攻击者写一个超过缓存区长度的字符串，然后写入缓冲区，可能会出现两个结果，一是过长的的字符串覆盖了相邻的存储单元，引起程序运行失败，甚至可能导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以获得系统根用户（管理员用户）的权限。24.Dos是Denial of Service的简称，即拒绝服务，造成拒绝服务的攻击行为被称为Dos攻击。拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户提供服务的一种攻击方式Dos的主要攻击方式有 TCP SYN Flood 、UDP Flood、Smurf等25.TCP SYN Flood的工作原理：当服务器发出SYN-ACK确认消息后，客户端由于采用源地址欺骗等手段使得服务器端收不到ACK回应；于是，服务器端会在一定时间内处于等待接收客户端ACK消息的状态。恶意攻击短时间内发送大量的此类连接请求，使得服务器端可用的TCP连接队列被堵塞，系统可用资源急剧减少，甚至会导致服务器的系统崩溃。26.UDP Flood的工作原理：UDP Flood是基于网络带宽的拒绝服务攻击。当受害系统收到一个UDP数据包时，如果攻击数据包的目的端口在受害系统中没有应用程序开发，它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者系统发送了足够多的UDP数据包，网络可用宽带迅速缩小，导致正常的连接不能进入。27.DDOS概念：Distributed Denial of Service 分布式拒绝服务，是在传统的DOS攻击基础之上产生的一类攻击方式，他是利用分布式网络环境，对单一的DOS攻击实施的一种有效放大，利用更多的傀儡机来发起进攻，以更大的规模来进攻受害者。分布式拒绝服务攻击的原理： 利用Dos攻击方式，通过大量的主机同时攻击某一个目标，使目标消耗大量的系统资源而无法正常工作。28.病毒的特征：传统意义上的病毒的特点：1破坏性 2 隐藏性 3 潜伏性 4传染性 网络病毒又增加了：1主动通过网络和邮件系统传播 2 计算机病毒的增长呈爆炸式增长 3变种多 4融合多种网络技术，并被黑客所使用。29.计算机病毒的基本机制： 1计算机病毒的传染机制 2 触发机制 3破坏机制30.网络蠕虫是一种智能化、自动化、并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。31.木马技术是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和Dos攻击等特殊功能的后门程序。32.钓鱼网站是通过发送声称来自银行或者其他知名机构的欺骗性垃圾邮件，或者伪装成其Web站点，意图引诱收信人或者网站浏览者给出敏感信息（如用户名、口令、账号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。33.访问控制系统包括的实体： 1）主体：发出访问操作、存取要求的主动方，通常可以是用户或用户的某个进程等 2）客体： 被访问的对象，通常是被调用的程序、进程、要存取的数据或信息、要访问的文件、系统或各种网络设备等资源 3）安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。三种不同的访问控制策略：1） 自主访问控制： Discretionsry Access Control DAC 也叫选择性访问控制，是指根据主机身份对客体访问进行限制的一种方法。允许用户可以自主地在系统中规定谁可以存取他的资源实体，即用户可选择同其他用户一起共享某个文件。2） 强制访问控制 Mandatory Access Control MAC 是指系统强制主体服从访问控制策略。通常用于多层次安全级别的军事系统中。它预先将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式，用户的访问必须遵守安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主体和客体的敏感标记进行比较从而确定访问是否合法。3） 基于角色的访问控制 Role-Based Access Control RBAC 对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色之后，该用户就拥有此角色的所有操作权限。34. 防火墙的概念是指设置在不同网络之间，比如可信任的内部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。功能：1.过滤不安全数据和非法用户 2.报警与审计 3.透明代理 4.抗攻击能力 5.VPN功能 6.路由管理 局限性：1）对某些正常服务的限制 2）无法抵制来自内网的威胁3）无法阻挡旁路攻击及潜在后门4）无法控制对病毒文件的传输5）内网瓶颈问题 防火墙技术主要分为包过滤防火墙技术和代理服务防火墙技术 防火墙的体系机构有：双宿主主机结构 屏蔽主机结构 屏蔽子网结构35.入侵检测系统全称为Intrusion Detection System（IDS）通过从计算机网络或计算机系统中的若干关键点收集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测系统的组成：数据提取、入侵分析、相应处理 36. 入侵检测系统的组件及其作用：1事件产生器 负责原始数据采集，并将搜集到的原始数据转换为事件，向系统的其他部分提供此事件。2 时间分析器 接收事件信息，并对其进行分析，判断是否为入侵行为或异常现象，最后将判断结果变为警告信息。3事件数据库 存放各种中间和最终入侵信息的地方，并从事件产生器和事件分析器接收需要保存的事件，一般会将数据长时间保存。 4事件响应器 根据入侵检测的结果，对入侵的行为做出适当的反应，可选的响应措施包括主动响应和被动响应。37. 入侵检测系统按原始数据分两种：（1）基于主机的入侵检测系统 工作原理：将检测模块安装在被要求进行安装保护的系统上，通过提取主机上的运行数据来进行入侵检测分析，从而发现入侵行为的功能。（2）基于网络的入侵检测系统 工作原理：主要用于实时监控网络关键路径的信息，使用原始网络包作为数据源，侦听网络上的所有网络分组并采集数据，对这些数据包得源地址、目的地址、端口及载荷进行分析，以发现入侵行为。38. 入侵检测系统按分析技术分两种：（1）异常检测 工作原理：试图为对象建立起预期的行为模型，并在此基础上将所有观测到的行为和对