(完整版)网络安全简答题

1、网络安全技术考试题库1. 计算机网络安全所面临的威胁分为哪几类？从人的 角度，威胁网络安全的因素有哪些？答：计算机网络安全所面临的威胁主要可分为两大 类：一是对网络中信息的威胁，二是对网络中设备的威 胁（2 分） 。从人的因素考虑， 影响网络安全的因素包括：（1）人为的无意失误。 （1 分 ）（ 2）人为的恶意攻击。 一种是主动攻击， 另一种是 被动攻击。 （1 分 ）（ 3）网络软件的漏洞和“后门” 。 （1 分 ） 2网络攻击和防御分别包括哪些内容？答:网络攻击： 网络扫描、监听、入侵、后门、隐身； 网络防御： 操作系统安全配置、 加密技术、 防火 墙技术、入侵检测技术。4. 分析 TCP

2、/IP 协议，说明各层可能受到的威胁及防御方 法。答：网络层： IP 欺骗欺骗攻击，保护措施：防火墙 过滤、打补丁；传输层：应用层：邮件炸弹、病毒、木 马等，防御方法：认证、病毒扫描、安全教育等。 6请分析网络安全的层次体系。答：从层次体系上，可以将网络安全分成四个层次 上的安全：物理安全、逻辑安全、操作系统安全和联网 安全。7. 请分析信息安全的层次体系。答：信息安全从总体上可以分成 5 个层次：安全的 密码算法，安全协议，网络安全，系统安全以及应用安 全。10. 请说明“冰河”木马的工作方式。 答：病毒通过修改系统注册表，通过执行文本文件 的双击打开操作，驻留病毒程序，伺机实现远端控制目

3、的。【应用题】1. 简述防范远程攻击的技术措施。 答：防范远程攻击的主要技术措施有防火墙技术、 数据加密技术和入侵检测技术等。 （2 分 ）（ 1）防火墙技术。 用来保护计算机网络免受非授权 人员的骚扰和黑客的入侵。 （1 分 ）（ 2）数据加密技术。 数据加密技术已经成为所有通 信安全的基石。 （1 分 ）（ 3）入侵检测技术。 是一种防范远程攻击的重要技 术手段，能够对潜在的入侵动作做出记录，并且能够预 测攻击的后果。 （1 分 ）2. 防范远程攻击的管理措施有那些？ 答：防范远程攻击的管理措施：（1）使用系统最高的安全级别。高安全等级的系统 是防范远程攻击的首选。 （2 分 ）（2）加强

4、内部管理。为对付内部产生的黑客行为， 要在安全管理方面采取措施。 （2 分）（3）修补系统的漏洞。任何系统都是有漏洞的，应 当及时堵上已知的漏洞并及时发现未知的漏洞。（1 分）3. 简述远程攻击的主要手段。答：远程攻击的手段主要有：1）缓冲区溢出攻击。 （1 分 ）2）口令破解。 又称口令攻击， 口令是网络安全防 护的第一道防线。 （1 分 ）（ 3）网络侦听。 是指在计算机网络接口处截获网上 计算机之间通信的数据。 （1 分 ）（ 4）拒绝服务攻击。 是一种简单的破坏性攻击。 （1 分）（ 5）欺骗攻击。 （1 分 ）4. 简述端口扫描技术的原理 。答：端口扫描向目标主机的 TCP/IP 服

5、务端口发送探 测数据包，并记录目标主机的响应 （1 分） 。通过分析响 应来判断服务端口是打开还是关闭，就可以得知端口提 供的服务或信息 （1 分） 。端口扫描也可以通过捕获本地 主机或服务器的注入 / 流出 IP 数据包来监视本地主机运 行情况 （1 分 ） 。端口扫描只能对接收到的数据进行分析， 帮助我们发现目标主机的某些内在的弱点，而不会提供 进入一个系统的详细步骤。 （2 分 ）5. 缓冲区溢出攻击的原理是什么？答：缓冲区溢出攻击指的是一种系统攻击的手段， 通过往程序的缓冲区写超出其长度的内容，造成缓冲区 的溢出，从而破坏程序的堆栈，使程序转而执行其他指 令，以达到攻击的目的。 （3

6、分 ）缓冲区溢出攻击最常见的方法是通过使某个特殊程 序的缓冲区溢出转而执行一个 Shell ，通过 Shell 的权 限可以执行高级的命令。 如果这个特殊程序具有 System 权限，攻击成功者就能获得一个具有 Shell 权限的 Shell ， 就可以对系统为所欲为了。 （2 分 ）7. 简述暴力攻击的原理。答：使用穷举法破译密码等信息的一种方法，如： 字典攻击、破解操作系统密码、破解邮箱密码、破解软 件密码等。9. 简述缓冲区溢出的攻击原理。答：当目标系统收到了超过其可接收的最大信息量 时，会发生缓冲区溢出。易造成目标系统的程序修改， 由此产生系统后门。10. 简述拒绝服务的种类和原理。答

7、：拒绝服务攻击主要是计算机网络带宽攻击和连 通性攻击。通过耗用有限计算机资源，使得目标主机无 法提供正常网络服务。11. 简述DDoS的特点及常用攻击手段。答：攻击计算机控制着多台主机，对目标主机实施 攻击，大量瞬时网络流量阻塞网络， 使得目标主机瘫痪。12. 留后门的原则是什么？答：原则就是让管理员看不到有任何特别的地方。13. 列举后门的三种程序，并阐述其原理和防御方法。答：1）远程开启TELNET服务（RTCS.VBE工具软） 件，防御方法：注意对开启服务的监护；2）建立WEB和TELNET服务（WNC.EXE，防御方法：注意对开启服务的 监护；3）让禁用的 GUEST用户具有管理权限（

8、PSU.EXE 修改注册表） ，防御方法：监护系统注册表。14. 简述木马由来及木马和后门的差异。答：木马是一种可以驻留在对方服务器系统中的程 序（服务器端、 客户端），其功能是通过客户端控制驻留 在对方服务器中的服务器端。木马功能较强，具有远程 控制功能，后门功能单一，只提供登录使用。16.简述两种通过 UNICODE漏洞，进行攻击的方式。答：入侵目标操作系统；删除目标系统主页。17. 简述一次成功的攻击，可分为哪几个步骤？答：1、隐藏IP ； 2、踩点扫描；3、获得系统或管 理员权限；4、种植后门；5、在网络中隐身。18. 简述网络监听的原理及常用方法。答：网络监听的目的是截获通信的内容，

9、监听的手 段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。19. 简述SQL注入漏洞的原理。答：利用恶意 SQL语句（web缺少对SQL语句的鉴 别）实现对后台数据库的攻击行为。答：P2P网络是对等网络，即点对点网络。产生的 安全隐患主要有无赖流量和大量上传下载产生的病毒传 播等问题。1.试述如何防止特洛伊木马的非法访问。答：通过强加一些不可逾越的访问限制，系统可以 防止一些类型的特洛伊木马的攻击。在强制访问控制中， 系统对主体与客体都分配一个特殊的安全属性，这种安 全属性一般不能更改，系统通过比较主体与客体安全属 性来决定一个主体是否能够访问某个客体。用户为某个 目的而

10、运行的程序，不能改变它自己及任何其他客体的 安全属性。（2分）以下两种方法可以减少特洛伊木马攻击成功的可能 性。（1）限制访问控制的灵活性 （2分）用户修改访问 控制信息的唯一途径是请求一个特权系统的功能调用，这种方法就可以消除偷改访问控制的特洛伊木马的攻击。 （2分）（2）过程控制（2分）采用过程控制可以减少特洛伊 木马攻击的机会。（2分）2.分析漏洞扫描存在问题及如何解决。答：漏洞扫描中的问题及完善建议有：（1）系统配置规则库问题存在局限性 如果规则库设计的不准确，预报的准确度就无从 谈起；（1分） 它是根据已知的安全漏洞进行安排和策划的，而 对网络系统的很多危险的威胁却是来自未知的漏洞，

11、这 样，如果规则库更新不及时，预报准确度也会相应降低； （1分）（1分）完善建议：系统配置规则库应能不断地被扩充和修 正，这样也是对系统漏洞库的扩充和修正，这在目前来 讲仍需要专家的指导和参与才能实现。（2分）（2）漏洞库信息要求漏洞库信息是基于网络系统漏洞库的漏洞扫描的主 要判断依据。如果漏洞库住处不全面或得不到即时的更 新，不但不能发（3分）完善建议：漏洞库信息不但应具备完整性和有效性， 也应具备简易性的特点，这样即使是用户自己也易于对 漏洞库进行添加配置，从而实现对漏洞库的即时更新。 （2分）3.简述研究恶意代码的必要性。答：防护国家等信息安全。4 简述恶意代码长期存在的原因。答：系统漏

12、洞层出不穷；利益驱使等。5.恶意代码是如何定义的，可以分为哪几类？答:Grimes的定义：经过存储介质和网络进行传播， 未经授权认证破坏计算机系统完整性的程序和代码。7. 说明PE病毒的原理及影响问题。起源于DOS系统，发展于 WINDOWS通常采用汇编 格式编写，且格式为 PE=具有数量极多、破坏性大和功 能强等特点。其核心技术是感染模块。8. 简述脚本病毒常用的自身隐藏方式。答：随机选取密钥对自己的部分代码实施加密；采 用变形技术；采用多态技术加壳。10.简述U盘病毒通常的几种隐藏方式。答：作为系统文件隐藏；伪装为其他文件；隐藏在 系统文件夹中；运用 WINDOWS洞等。【应用题】1. 自

13、主访问控制的模式有哪几种？答：自主访问控制模式有：（1）文件。对文件常设置的访问模式有以下几种：读和复制，写和删除，运行，无效。（3分）（2）目 录对于一个目录型客体，它的访问模式的最小集合包括：读，写-扩展。（2分）2. 什么是蜜罐技术？蜜罐的特点是什么？答：蜜罐技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客， 并对黑客进行跟踪和记录。（1分） 蜜罐的特点：（1） 它不是一个单一的系统， 而是一个网络，是一 种高度相互作用的蜜罐，装有多个系统和应用软件。（2 分）（2）所有放置在蜜罐网内的系统都是标准的产品系统，即真实的系统和应用软件，都不是仿效的。（2分）5.简述信息流模型的组成答

14、：信息流模型一般有以下 5部分组成。 客体集合，如文件、程序、变量等，它表示信息 的存放处。（2分） 进程集合，它表示与信息流有关的活动主体。（2分） 安全类集合，它表示离散的信息类，如安全系统中的权力级别和对象类别。（2分） 类间复合操作符，用于确定在两类信息上操作所 产生的信息。（1分） 流关系，用于决定在任一对安全类之间，信息能否从一个安全流向另一个安全类。（1分）信息流动策略规定信息必须由低安全类向高安全类 或同安全类流动，而不允许信息由高安全类向低类或无 关类流动。（2分）8.访问控制的基本任务是什么？答：访问控制的基本任务有：（1） 用户身份认证。认证就是证实用户的身份。（1 分）

15、（2）授权。根据不同的用户分配给不同的使用资源，决定访问权限的因素有用户类别、资源和访问规则。（2分）（3）文件保护。对文件提供附加保护，使非授权用户不可读。 （1 分 ）（4）审计。 记录用户的行动， 以说明安全方案的有 效性。 （1 分 ）9.访问控制包括哪几个层次？答： 访问控制的层次包括：（ 1）入网访问控制。 入网访问控制为网络访问提供 了第一层访问控制。 （1 分 ）（ 2）网络权限控制。 是针对网络非法操作所提出的 一种安全保护措施。 （1 分 ）（3）目录级安全控制。控制用户对目录、文件、设 备的访问。 （1 分 ）（ 4）属性安全控制。 给文件、目录等指定访问属性。 （1 分

16、 ）（ 5）服务器安全控制。 网络允许在服务器控制台上 执行一系列操作。 （1 分 ）10. 试述建立安全模型的原因和安全模型的特点。答：设计安全模型的主要目的是确定系统安全访问 控制策略、决定系统内部主体对客体的访问和监控方式 等。 （2 分 ）安全模型一般有如下几个特点：（1） 能充分体现预定的安全需要，应清楚地、准确 地表达安全策略。 （2 分 ）（2） 模型的安全表达是无二意性的。 （2 分 ）（3）模型应该是简单的、 抽象的、易于理解和实现， 而且应易于验证。 （2 分 ）（4）安全模型应当只涉及安全性质，对系统的其他 功能及实现不能有影响和太大的削弱。 （2 分）13. 如何关闭不

17、需要的端口和服务。答：通过 TCP/IP 协议属性的高级设置完成。14. 简述安全模型的意义及 BLP模型的特点。 答：安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略及其机制提供了 一种框架。 BLP 模型是一种适用于军事安全策略的操作 系统安全模型。15. 简述安全模型的意义及 Biba 模型的特点。 答：安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略及其机制提供了 一种框架。 Biba 模型是一种适用于保护信息完整性的操 作系统安全模型。16. 简述 Flask 安全体系结构的优点。 答：该结构使策略的可变通性的实现成为可能。安全结构

18、中机制和策略清晰区分，使得系统可以使用比以 前更少的策略来支持更多的安全策略集合。17. 简述安全操作系统的机制。答：操作系统源代码中内置了特定的安全策略，通 过一些设置，使操作系统更安全。18. 列举三种以上的安全操作系统。答：Tmach/ASOS/SOFTO等。19. 访问控制机制的理论基础是访问监控器。 其引用 验证机制需同时满足三个基本原则，即：具有自我保护 能力；总是处于活跃状态；设计得足够小。请就上述原 则说明其涵义。答：保持自身完整性；程序对资源的引用应得到验 证机制的仲裁；保证引用验证机制的实现是正确和符合要求的。20. 简述操作系统安全内核的意义。答：操作系统的可信内核。是实

19、现访问监控器的一 种技术。不允许有任何绕过安全内核存取控制检查的存 取行为存在。21. 简述可信计算基的内涵和意义。 答：由操作系统安全依赖的、实施安全策略的可信软件、硬件，负责系统安全管理的人员共同组成。其组 成中，软件部分是安全操作系统的核心内容。22. 简述自主访问控制的内涵及其保护的对象。 答：自主访问控制用以决定主体 （用户 ）对客体的一种访问约束机制。其保护对象包括：文件、目录、IPC、设备等。通过访问控制矩阵实现。23. 简述强制访问控制的内涵及其保护的对象。答：由安全管理员对每一个对象（包括：文件、目 录、IPC、设备等）设置安全属性。主体对客体的访问将 启动强制访问机制，通过

20、比较主、客体间的安全属性， 决定是否允许访问的建立。24. 简述计算机系统 （安全操作系统） 安全体系结构 的内涵。答：详细描述系统中安全相关的方面；描述安全相 关模块之间的关系；提出指导设计的基本原理；提出开 发框架和层次结构。【应用题】1. 简述公开密钥密码体制的特点。答： 公开密钥密码体制的特点：（1）保密强度高。 其理论基础是基于数论中大素数 因数分解的难度问题， 当 n 大于 2048 位时，目前的算法 无法在有效时间内破译 RSA。 （1 分 ）（ 2）密钥分配及管理简便在RSA体制中，加密密钥和解密密钥互异、分离。加密密钥可以公开，解密密钥则由用户秘密保存，秘密 保存的密钥量减少

21、，这就使得密钥分配更加方便，便于 密钥管理。 （2 分）（ 3）数字签名易实现在RSA体制中，只有接收方利用自己的解密密钥对 明文进行签名，其他任何人可利用公开密钥对签名文进 行验证，但无法伪造。 （2 分）2. 密码分析可分为哪几类，它们的含义是什么？答： 密码分析可分为穷举法和分析破译法 （2 分）：（1）穷举法。 又称强力法或完全试凑法， 它对截收 的密报依次用各种可能的密钥试译，直到得到有意义的 明文；或者在不变密钥下，对所有可能的明文加密直到 得到的密文与截获密文一致为止。 （1 分）（ 2）分析破译法。 分析破译法有确定性和统计性两 类。确定性分析法利用一个或几个已知量用数学关系式

22、 表示出所求未知量。统计分析法是利用明文的已知统计 规律进行破译的方法。 （2 分）3. 简述对称加密算法的基本原理。 答：加密和解密密钥可相互推导或一致，由通信算法协商解决，其算法的安全性完全依赖于密钥的保护。4. 简述公钥算法的基本原理。 答：加密、解密密钥不同且无法相互推导，分公钥和私钥两种，算法较为复杂，但安全性较高。5. 简述PGP加密技术的应用。答：是一个基于RSA公钥加密体系的邮件加密软件， 提出来公共钥匙或不对称文件的加密技术。6. 简述RSA加密算法安全性的数学基础。答：RSA加密算法的安全性依赖于大数分解数学难 题。【应用题】1.什么是依据地址进行过滤？答在包过滤系统中，最

23、简单的方法是依据地址进行 过滤（1分）。用地址进行过滤可以不管使用什么协议， 仅根据源地址/目的地址对流动的包进行过滤（2分）。使用这种方法可以 只让某些被指定的外部主机与某些被指定的内部主机进 行交互（1分），此外还可以防止黑客采用伪装包来对网 络进行攻击。（1分）2. 简述包过滤的优点。答：包过滤方式有很多优点，而其主要优点之一是 仅用放置在重要位置上的包过滤路由器就可保护整个网 络。（2分）包过滤不需要用户软件的支持，也不要求对客户机 做特别的设置，也没有必要对用户做任何培训。（1分）包过滤工作对用户来讲是透明的，这种透明就是在 不要求用户进行任何操作的前题下完成包过滤工作。（1分）3.

24、 入侵检测系统常用的检测方法有哪些？答：入侵检测系统常用的检测方法有特征检测、统 计检测与专家系统。（2分）特征检测对已知的攻击或入侵的方式做出确定性的 描述，形成相应的事件模式。当被审计的事件与已知的 入侵事件模式相匹配时，即报警。（1分）统计模型常用异常检测。（1分）用专家系统对入侵进行检测，经常是针对的特征入 侵行为。运用专家系统防范有特征入侵行为的有效性完 全取决于专家系统知识库的完备性。 （1分）4. 按照防火墙对内外来往数据的处理方法可分为 哪两大类，分别论述其技术特点。答：按照防火墙对内外来往数据的处理方法，大致可以分为两大类：包过滤防火墙和应用代理防火墙。（2分）包过滤防火墙又

25、称为过滤路由器，它通过将包头信 息和管理员设定的规则表比较，如果有一条规则不允许 发送某个包，路由器就将它丢弃。（2分）在包过滤系统中，又包括依据地址进行过滤和依据服务进行过滤。（2分）应用代理，也叫应用网关，它作用在应用层，其特 点是完全“阻隔”了网络的通信流，通过对每种应用服 务编制专门的代理程序，实现监视和控制应用层通信流 的作用。（2分）代理服务器有一些特殊类型，主要表现为应用级和 回路级代理、公共与专用代理服务器和智能代理服务器。（2分）5. 设计和建立堡垒主机的基本原则是什么？答： 设计和建立堡垒主机的基本原则有基本两条： 最简化原则和预防原则。（1分）（1）最简化原则：堡垒主机越简单， 对它进行保护就越方便，以堡垒主机上设置的服务必须最少，同时对 必须设置的服务软件只能给予尽可能低的权限。（2分）（2） 预防原则：尽管已对堡垒主机严加保护， 但仍 有可能被