南京大学自学考试《网络安全》复习题集

第一章 网络安全性 1 网络攻击方式 分为主动攻击和被动攻击 其中被动攻击包括监听 如流量分析 主 动 攻击包括消息篡改 欺骗 重放 拒绝服务等等 要求说出每种攻击的大概方式 如 流量分析和拒绝服务 2 网络安全技术包括防火墙 加密 身份认证 数字签名等 其中加密技术可以实现信 息在网络上的安全传输 3 网络安全三方模型中 三方是发信人 收信人 敌人 四方模型中加入了监控方 4 网络攻击 指任何非授权行为 包括简单的使服务器无法提供正常的服务到完全破坏 控制服务 器 第二章 对称密码学 1 密码方法分类 对称密码 古典密码和现代对称密码 和非对称密码 掌握 3 种密码 之间的区别 2 古典密码包括替代密码和置换密码 3 现代对称密码分为流密码和分组密码 流密码包括 A5 PKZIP 分组密码包括 DES IDEA Blowfish RC5 GOST 要求掌握流密码和分组密码的概念 4 DES 数据加密标准 是重点 F 函数的设计准则 严格雪崩准则和比特独立原则 第三章 单向散列函数 1 SHA MD5 算法的特点和区别 如产生的哈希值的长度和处理的最长的消息长等 P51 表 3 1 2 单向散列函数的 3 个特点 第四章 公钥密码系统 1 RSA Diffie Hellman 密码的数学原理和加密 解密过程 第五章 因特网与 TCP IP 安全 1 掌握网络协议分层结构如 SMTP FTP DNS IP UDP ICMP HTTP Telnet 协议属于网络 体系结构中的哪一层 2 区分 TCP 和 UDP 两种传输协议 TCP 协议可以向应用程序提供可靠数据通信 UDP 协议是一个无状态的不可靠的传输协议 3 TCP 建立连接的三次握手依序分别由 SYN SYN ACK ACK 报文组成 4 其他协议内容 如 DNS ICMP ARP DNS 一般用户不直接使用 但却是其他服务的基础 DNS 查询中 从域名查询对应的 IP 地址属于 A 类型 ICMP Ping Tracert 命令所发送和接收的报文格式是在 ICMP 协议中定义 ARP 以太网中的帧采用的地址是由 48 比特组成 ARP 请求通过 广播 方式工 作 ARP 应答是通过 单播 方式工作的 能自动获取机器的 IP 地址的网络协议是 RARP BOOTP DHCP 第六章 VPN 与 IPSec 1 VPN 的优点 相比专用网络成本低 保证可用性 维护简单 还可以提供安全性和保 密性等功能 2 VPN 的应用环境 远程接入 没有很定 WAN 连接情形下的接入 特定子网的可控制接入 详见 P113 3 VPN 中最常见 应用最广泛的隧道协议是 PPTP L2TP IPSec 4 IPSec 的两种操作模式是传输模式和隧道模式 传输模式下 IP 报文首部以明文方式 进行传输 只能用于源和目的系统都可以理解 IPSec 协议的情况传输 隧道模式对整 个 IP 包进行保护 数据头加密 所以可以防止通信量分析攻击 5 IPSec 包括 3 个子协议 两个安全协议 AH 认证报头协议 和 ESP 封装有效负载荷 和一个密钥管理协议 IKE 因特网密钥交换管理协议 6 AH 协议可以提供 数据完整性 身份验证和抗重放 没有保密性 7 ESP 协议可以提供 数据完整性 身份验证和抗重放 保密性 8 ESP 必须实现两个身份验证器 分别是 HMAC SHA 96 HMAC MD5 96 第七章 SSL 和 TLS 1 SSL 安全套接层 协议位于传输层和应用层之间 包括两层共 4 个协议 底层是 SSL 记录协议 高层是 SSL 握手协议 最复杂 SSL 警告协议和 SSL 改变密码规范协议 最简单 了解各协议的作用 如 SSL 握手协议协商加密和 MAC 算法 2 运行在 SSL 协议之上的安全 HTTP 版本命名为 HTTPS 第八章 身份认证及作用 1 身份认证 身份认证即身份识别与验证 是计算机安全的重要组成部分 识别是用户向系统提供 声明身份的方法 验证则是建立这种声明有效性的手段 2 使用用户 ID 和口令的组合进行身份认证的方法属于 基于用户知道什么 的身份认证 3 Kerberos 模型中 包括 客户机 服务器 认证服务器 票据服务器 4 Kerberos V5 中 票据的生命周期是 任意长 V4 不是 5 Kerberos 系统中 票据本身应该用 AS 与 TGS 之间的共享密钥加密 6 要支持交叉域认证 Kerberos 必须满足的 3 个条件是 Kerberos 服务器在数据库中必须拥有所有用户 Id 和所有参与用户的口令哈希后 的密钥 这就要求所有用户都已经注册到 Kerberos 服务器 Kerberos 服务器必须与每个应用服务器共享保密密钥 这就要求所有应用服务器 已经注册到 Kerberos 服务器 不同领域的 Kerberos 服务器之间共享一个保密密钥 这就要求 Kerberos 服务器 相互注册 7 数字证书 由认证中心对一些用户的相关数据 例如用户姓名 用户识别码 公钥的内容 签发 者的身份数据以及用户相关的数据 以认证中心的密钥 运用数字签名技术生成一个 数字签名 之后将用户的相关数据 认证中心的签名算法与数字签名合成一个电子文 件就是数字证书 8 X 509 中提出了两种不同安全度的认证等级 分别是 简单认证和强认证 9 X 509 中基于 CA 数字证书的认证技术属于 强认证 10 X 509 中简单认证为什么不适合用在开放性网络中 答 X 509 中的简单认证在安全性上考虑比较简单 只可以让收方 B 认证发方 A 是 否为合法用户 无法让发方 A 来认证收方 B 达到双发相互认证的安全程度 所以 简单认证程序比较适合在较封闭的网络环境中使用 在一般的开放性网络环境中 面 对广域网络 简单认证无法满足在安全上的需求 第九章 访问控制和系统审计 1 1985 年美国国防部发布的 TCSEC 把计算机等级划分为 七 等级 2 我国 GB17859 1999 中把计算机安全等级划分为 五 等级 3 访问控制 指对主体访问客体能力或权限的限制 以及限制进入物理区域和限制使用计算机系统 和计算机存储数据的过程 存取控制 包括 3 个要素 主体 客体 保护规则 4 根据访问控制策略的不同 访问控制分为 自主 强制 基于角色 5 自主访问控制策略包括 访问控制矩阵 目录表 能力表 访问控制列表 特点是 允许系统用户对于属于自己的客体直接或间接地转移访问权 6 自主访问控制的原理是 答 自主访问控制是根据主体身份或主体所属组的身份或者二者的组合 对客体访问 进行限制的一种方法 这种访问控制允许用户可以自主地在系统中规定谁可以存取它 的资源实体 例如用户可以选择其他用户共享某个文件夹 7 强制访问控制的原理是 根据主体和客体的敏感标签来判断是否允许主体访问客体 而且客体与主体的敏感标签是由系统管理员设置或由操作系统根据安全策略进行设置 用户无权更改 8 基于角色访问控制的特点 答 用户以什么样的角色对资源进行访问 决定了用户拥有的权限和可以执行何种操 作 角色继承 每类角色都有自己的属性 但可以继承其他角色的属性和权限 最小特权原则 即用户所拥有的权利不能超过他完成工作时所需的权限 职责分离 主体与角色分离 对于某些特定的操作 某一角色不能独立完成 需 要角色授权给用户 分为静态和动态两种 角色容量 9 以下说法不符合最小特权原则的是 B A 用户所拥有的权力不能超过他执行工作时所需的权限 B 为了公平原则 每个用户都不能拥有太多的特权 C 一方面要给予主体 必不可少 的特权 另一方面 它只给予主体 必不可 少 的特权 D 每个用户和程序在操作时应当被授予尽可能少的特权 10 访问控制策略的不同 优缺点 答 根据访问控制策略的不同 分为 自动访问控制 强制访问控制 基于角色的访 问控制 自主访问控制允许用户可以自主地在系统中规定谁可以存取它的资源 这提 供了很大的灵活性 但同时也会给系统带来威胁 很容易产生安全漏洞 因此安全级 别很低 强制访问控制策略是根据主体和客体的敏感标签来判断是否允许主体访问客 体 而且客体与主体的敏感标签是由系统管理员设置或由操作系统根据安全策略进行 设置 用户无权更改 虽然带来了安全性的提高 但是灵活性又大打折扣 基于角色 的访问控制中 主体是否可以访问客体 是由主体的角色的决定的 基于角色的访问 控制中还有角色继承 职责分离 角色容量和最小特权原则等特点 它克服了传统的 访问控制机制的不足 是一种有效而灵活的安全测率 是未来的发展趋势 11 审计 答 审计是产生 记录并检查时间顺序排列的系统事件记录的过程 它是一个被信任 的机制 是 TCB 的一部分 它也是计算机系统安全机制的一个不可或缺的组成部分 12 安全审计的目的 测试系统的控制是否恰当 保证与既定安全策略和操作能够协调一致 有助于做出损害评估 对控制 策略与规程中特定的改变做出评价 13 安全审计跟踪需要考虑 选择记录什么信息 在什么条件下记录信息 为了交换安全审计跟踪信息所采用的 语法和语义定义 第十章 防火墙技术 1 掌握 4 种传统防火墙技术 包过滤防火墙 应用网关型防火墙 电路级防火墙 状态 检测型防火墙 以及各自的优点 传统的防火墙技术中 包过滤防火墙和状态包检 测防火墙 允许通过防火墙的直接连接 电路级网关型防火墙 一个实现例子是 SOCKS 代理 不允许端到端的 TCP 连接 2 包过滤器工作在 网络 层 3 双重宿主主机是指该计算机至少有 两个网络接口 4 防火墙体系包括 双重宿主主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构 5 NAT 能够实现 网络地址端口转换 隐藏 LAN 信息 增加 LAN 地址空间 6 可供进行内容屏蔽和阻塞访问的是技术是 URL 地址阻塞 类别阻塞 嵌入的内容 7 应用网关 堡垒主机 包过滤器 网络防火墙 P192 8 简述传统代理的地址隐藏原理 9 ICMP 数据很有用 但也可能被利用来收集网络相关的信息 简述一般需要防火墙阻 止哪几种报文类型 10 简述应用网关代理服务器的优点 缺点 11 简述电路级网关防火墙的工作原理 简述包过滤防火墙的工作原理 12 简述与代理服务器相比 包过滤防火墙的优 缺点 13 包过滤器和应用网关的差别 14 分析传统防火墙的缺点 第十一章入侵检测系统 1 简述 P2DR 模型 2 入侵检测系统的定义以及其组成 3 简述基于主机 网络的入侵检测系统的工作原理 4 比较基于主机和基于网络的入侵检测系统两者各有什么优缺点 第十二章安全编程 1 缓冲区溢出的定义 要避免缓冲区的溢出 应遵循什么建议 P251 第十三章移动代码安全 不要求 选学内容 第十四章病毒与数据安全 1 计算机病毒与一般程序相比 具有很多特点 其中包括 感染性 潜伏性 可触发性 破 坏性 衍生性 多样性 2 病毒可能的寄生方式有 操作系统型 入侵型 外壳型 3 计算机病毒一般由 感染标记 感染程序模块 破坏程序模块和触发程序模块 组成 4 检测病毒的方法包括 软件模拟法 比较法 分析法 校验和法 特征代码法 行为 监测法 特征代码法不能检测多态性病毒 5 DOS 系统中病毒的主要行为特征包括 占用 INT31H 要修改 DOS 系统内存区的内 存总量 对 COM 和 EXE 可执行文件做写入操作 6 第一种可以破坏硬件的病毒是 CIH 病毒 7 计算机病毒 后门 蠕虫病毒 8 为什么特征代码法不适合用来检测多态型病毒 9 简述计算机病毒的一般清除方法 10 检测病毒的方法和基本原理 第十五章无线网络通信安全 1 蓝牙工作在网络协议的 物理层和链路层 2 蓝牙应用中 高层应用可以由其他协议提供 这些协议包括 WAP PPP IP 3 蓝牙规范最初定义的设备通信范围为 10 米 4 蓝牙规范中提出三种安全模式 分别是 无安全级 服务级和安全级 5 WAP 规范定义了 应用层 会话层 传输层 6 WTLS 无线传输层安全层 提供 匿名 服务器 双向 认证安全模式 7 以下属于无线网络安全技术的有 802 11i WEP WPA 8 802 11b 工作在 物理层和链路层 9 802 11b 标准内置了多种安全机制 其中包括 ESSI 访问控制列表 认证 10 AD Hoc 无线网络 仅由两台或多台带有无线网卡的计算机组成的对等网 组成简单 成本低 但是难于管理 可伸缩性差 11 为什么无线 LAN 容易受到