时时彩开奖直播|时时彩开奖直播
鄭州大學自考網
歡迎您!
《單擊查詢鄭大自考信息
網站首頁 >> 考試真題 >> 文章內容

自考信息安全試題錦集

[日期:2015-01-29]   來源: 考試真題   作者:高老師   閱讀: 779[字體: ]

一、選擇題

1. 計算機網絡是地理上分散的多臺(C)遵循約定的通信協議,通過軟硬件互聯的系統。

    A. 計算機             B. 主從計算機    

    C. 自主計算機         D. 數字設備

2. 密碼學的目的是(C)。

    A. 研究數據加密     B. 研究數據解密

    C. 研究數據保密     D. 研究信息安全

3. 假設使用一種加密算法,它的加密方法很簡單:將每一個字母加5,即a加密成f。這種算法的密鑰就是5,那么它屬于(A)。

    A. 對稱加密技術     B. 分組密碼技術

    C. 公鑰加密技術     D. 單向函數密碼技術

4. 網絡安全最終是一個折衷的方案,即安全強度和安全操作代價的折衷,除增加安全設施投資外,還應考慮(D)。

    A. 用戶的方便性    B. 管理的復雜性

    C. 對現有系統的影響及對不同平臺的支持

    D. 上面3項都是

5.A方有一對密鑰(KA公開,KA秘密),B方有一對密鑰(KB公開,KB秘密),A方向B方發送

數字簽名M,對信息M加密為:M’= KB公開(KA秘密(M))。B方收到密文的解密方案是

(C)。

A. KB公開(KA秘密(M’))                B.  KA公開(KA公開(M’))

C. KA公開(KB秘密(M’))                D.  KB秘密(KA秘密(M’))

6. “公開密鑰密碼體制”的含義是(C)。

  A. 將所有密鑰公開                   B. 將私有密鑰公開,公開密鑰保密

  C. 將公開密鑰公開,私有密鑰保密     D. 兩個密鑰相同

二、填空題

密碼系統包括以下4個方面:明文空間、密文空間、密鑰空間和密碼算法。

解密算法D是加密算法E的 逆運算 。

常規密鑰密碼體制又稱為 對稱密鑰密碼體制 ,是在公開密鑰密碼體制以前使用的密碼體制。

如果加密密鑰和解密密鑰 相同 ,這種密碼體制稱為對稱密碼體制。

DES算法密鑰是 64 位,其中密鑰有效位是 56 位。

RSA算法的安全是基于 分解兩個大素數的積 的困難。

公開密鑰加密算法的用途主要包括兩個方面:密鑰分配、數字簽名。

消息認證是 驗證信息的完整性 ,即驗證數據在傳送和存儲過程中是否被篡改、重放或延遲等。

MAC函數類似于加密,它于加密的區別是MAC函數 不 可逆。

10.Hash函數是可接受 變長 數據輸入,并生成 定長 數據輸出的函數。

三、問答題

1.簡述主動攻擊與被動攻擊的特點,并列舉主動攻擊與被動攻擊現象。

主動攻擊是攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統內部,破壞信息的真實性、完整性及系統服務的可用性,即通過中斷、偽造、篡改和重排信息內容造成信息破壞,使系統無法正常運行。被動攻擊是攻擊者非常截獲、竊取通信線路中的信息,使信息保密性遭到破壞,信息泄露而無法察覺,給用戶帶來巨大的損失。

2.簡述對稱密鑰密碼體制的原理和特點。

對稱密鑰密碼體制,對于大多數算法,解密算法是加密算法的逆運算,加密密鑰和解密密鑰相同,同屬一類的加密體制。它保密強度高但開放性差,要求發送者和接收者在安全通信之前,需要有可靠的密鑰信道傳遞密鑰,而此密鑰也必須妥善保管。

3.具有N個節點的網絡如果使用公開密鑰密碼算法,每個節點的密鑰有多少?網絡中的密鑰共有多少?

每個節點的密鑰是2個,網絡中的密鑰共有2N個。

對稱密碼算法存在哪些問題?

適用于封閉系統,其中的用戶是彼此相關并相互信任的,所要防范的是系統外攻擊。隨

著開放網絡環境的安全問題日益突出,而傳統的對稱密碼遇到很多困難:密鑰使用一段時間后需要更換,而密鑰傳送需要可靠的通道;在通信網絡中,若所有用戶使用相同密鑰,則失去保密意義;若使用不同密鑰N個人之間就需要N(N-1)/2個密鑰,密鑰管理困難。無法滿足不相識的人之間私人談話的保密性要求。對稱密鑰至少是兩人共享,不帶有個人的特征,因此不能進行數字簽名。

IDEA是對稱加密算法還是非對稱加密算法?加密密鑰是多少位?

IDEA是一種對稱密鑰算法,加密密鑰是128位。

什么是序列密碼和分組密碼?

序列密碼是一種對明文中的單個位(有時對字節)運算的算法。分組密碼是把明文信息

分割成塊結構,逐塊予以加密和解密。塊的長度由算法設計者預先確定。

簡述公開密鑰密碼機制的原理和特點?

公開密鑰密碼體制是使用具有兩個密鑰的編碼解碼算法,加密和解密的能力是分開的;

這兩個密鑰一個保密,另一個公開。根據應用的需要,發送方可以使用接收方的公開密鑰加密消息,或使用發送方的私有密鑰簽名消息,或兩個都使用,以完成某種類型的密碼編碼解碼功能。

什么是MD5?

MD消息摘要算法是由Rivest提出,是當前最為普遍的Hash算法,MD5是第5個版本,

該算法以一個任意長度的消息作為輸入,生成128位的消息摘要作為輸出,輸入消息是按512位的分組處理的。

安全問題概述

一、選擇題

1. 信息安全的基本屬性是(D)。

    A. 機密性      B. 可用性  

    C. 完整性      D. 上面3項都是

2. “會話偵聽和劫持技術”是屬于(B)的技術。

    A. 密碼分析還原                 B. 協議漏洞滲透

    C. 應用漏洞分析與滲透     D. DOS攻擊

3. 對攻擊可能性的分析在很大程度上帶有(B)。

    A. 客觀性       B. 主觀性

    C. 盲目性       D. 上面3項都不是

4. 從安全屬性對各種網絡攻擊進行分類,阻斷攻擊是針對(B)的攻擊。

    A. 機密性   B. 可用性   C. 完整性   D. 真實性

5. 從安全屬性對各種網絡攻擊進行分類,截獲攻擊是針對(A)的攻擊。

    A. 機密性   B. 可用性   C. 完整性   D. 真實性

6. 從攻擊方式區分攻擊類型,可分為被動攻擊和主動攻擊。被動攻擊難以(C),然而(C)這些攻擊是可行的;主動攻擊難以(C),然而(C)這些攻擊是可行的。

    A. 阻止,檢測,阻止,檢測  B. 檢測,阻止,檢測,阻止

    C. 檢測,阻止,阻止,檢測  D. 上面3項都不是

7. 竊聽是一種(A)攻擊,攻擊者(A)將自己的系統插入到發送站和接收站之間。截獲是一種(A)攻擊,攻擊者(A)將自己的系統插入到發送站和接受站之間。

    A. 被動,無須,主動,必須  B. 主動,必須,被動,無須

    C. 主動,無須,被動,必須  D. 被動,必須,主動,無須

8. 拒絕服務攻擊的后果是(E)。

    A. 信息不可用                  B. 應用程序不可用

    C. 系統宕機      D. 阻止通信      E. 上面幾項都是

9. 機密性服務提供信息的保密,機密性服務包括(D)。

    A. 文件機密性             B. 信息傳輸機密性

    C. 通信流的機密性         D. 以上3項都是

10.最新的研究和統計表明,安全攻擊主要來自(B)。

A.  接入網    B.  企業內部網    C.  公用IP網    D.  個人網

11.攻擊者用傳輸數據來沖擊網絡接口,使服務器過于繁忙以至于不能應答請求的攻擊方

式是(A)。

A.  拒絕服務攻擊        B.  地址欺騙攻擊

C.  會話劫持            D.  信號包探測程序攻擊

12.攻擊者截獲并記錄了從A到B的數據,然后又從早些時候所截獲的數據中提取出信息

重新發往B稱為(D)。

A.  中間人攻擊          B.  口令猜測器和字典攻擊

C.  強力攻擊            D.  回放攻擊

二、問答題

請解釋5種“竊取機密攻擊”方式的含義。

1)網絡踩點(Footprinting)

    攻擊者事先匯集目標的信息,通常采用Whois、Finger、Nslookup、Ping等工具獲得目標的一些信息,如域名、IP地址、網絡拓撲結構、相關的用戶信息等,這往往是黑客入侵所做的第一步工作。

2)掃描攻擊(Scanning)

    這里的掃描主要指端口掃描,通常采用Nmap等各種端口掃描工具,可以獲得目標計算

機的一些有用信息,比如機器上打開了哪些端口,這樣就知道開設了哪些網絡服務。黑客

就可以利用這些服務的漏洞,進行進一步的入侵。這往往是黑客入侵所做的第二步工作。

3)協議棧指紋(Stack Fingerprinting)鑒別(也稱操作系統探測)

    黑客對目標主機發出探測包,由于不同OS廠商的IP協議棧實現之間存在許多細微差別,

因此每種OS都有其獨特的響應方法,黑客經常能夠確定目標主機所運行的OS。這往往也可

以看作是掃描階段的一部分工作。

4)信息流嗅探(Sniffering)

    通過在共享局域網中將某主機網卡設置成混雜(Promiscuous)模式,或在各種局域網

中某主機使用ARP欺騙,該主機就會接收所有經過的數據包。基于這樣的原理,黑客可以

使用一個嗅探器(軟件或硬件)對網絡信息流進行監視,從而收集到帳號和口令等信息。

這是黑客入侵的第三步工作。

5)會話劫持(Session Hijacking)

    所謂會話劫持,就是在一次正常的通信過程中,黑客作為第三方參與到其中,或者是

在數據流里注射額外的信息,或者是將雙方的通信模式暗中改變,即從直接聯系變成交由

黑客中轉。這種攻擊方式可認為是黑客入侵的第四步工作——真正的攻擊中的一種。

請解釋5種“非法訪問”攻擊方式的含義。

1)口令破解

    攻擊者可以通過獲取口令文件然后運用口令破解工具進行字典攻擊或暴力攻擊來獲得

口令,也可通過猜測或竊聽等方式獲取口令,從而進入系統進行非法訪問,選擇安全的口

令非常重要。這也是黑客入侵中真正攻擊方式的一種。

2)  IP欺騙

    攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標主機的信任,這主要針對Linux 

UNIX下建立起IP地址信任關系的主機實施欺騙。這也是黑客入侵中真正攻擊方式的一種。

3)  DNS欺騙

    當DNS服務器向另一個DNS服務器發送某個解析請求(由域名解析出IP地址)時,因

為不進行身份驗證,這樣黑客就可以冒充被請求方,向請求方返回一個被篡改了的應答(IP

地址),將用戶引向黑客設定的主機。這也是黑客入侵中真正攻擊方式的一種。

4)  重放(Replay)攻擊

    在消息沒有時間戳的情況下,攻擊者利用身份認證機制中的漏洞先把別人有用的消息

記錄下來,過一段時間后再發送出去。

5)  特洛伊木馬(Trojan Horse)

    把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中,而一

旦用戶觸發正常程序,黑客代碼同時被激活,這些代碼往往能完成黑客早已指定的任務(如

監聽某個不常用端口,假冒登錄界面獲取帳號和口令等)。

 

 

請解釋下列網絡信息安全的要素:

    保密性、完整性、可用性、可存活性

 

安全體系結構與模型

一、選擇題

1. 網絡安全是在分布網絡環境中對(D)提供安全保護。

    A. 信息載體                    B. 信息的處理、傳輸

    C. 信息的存儲、訪問            D. 上面3項都是

2. ISO 7498-2從體系結構觀點描述了5種安全服務,以下不屬于這5種安全服務的是(B)。

    A. 身份鑒別           B. 數據報過濾

    C. 授權控制           D. 數據完整性

3. ISO 7498-2描述了8種特定的安全機制,以下不屬于這8種安全機制的是(A)。

    A. 安全標記機制        B. 加密機制

    C. 數字簽名機制        D. 訪問控制機制

4. 用于實現身份鑒別的安全機制是(A)。

    A. 加密機制和數字簽名機制

    B. 加密機制和訪問控制機制

    C. 數字簽名機制和路由控制機制

    D. 訪問控制機制和路由控制機制

5. 在ISO/OSI定義的安全體系結構中,沒有規定(E)。

    A. 對象認證服務            B.數據保密性安全服務

    C. 訪問控制安全服務        D. 數據完整性安全服務

    E. 數據可用性安全服務

6. ISO定義的安全體系結構中包含(B)種安全服務。

    A. 4         B. 5         C. 6          D. 7

7. (D)不屬于ISO/OSI安全體系結構的安全機制。

    A. 通信業務填充機制             B. 訪問控制機制

    C. 數字簽名機制     D. 審計機制    E. 公證機制

8. ISO安全體系結構中的對象認證服務,使用(B)完成。

    A. 加密機制                B. 數字簽名機制

    C. 訪問控制機制            D. 數據完整性機制

9. CA屬于ISO安全體系結構中定義的(D)。

   A. 認證交換機制       B. 通信業務填充機制

   C. 路由控制機制       D. 公證機制

10. 數據保密性安全服務的基礎是(D)。

    A. 數據完整性機制       B. 數字簽名機制

    C. 訪問控制機制           D. 加密機制

11. 可以被數據完整性機制防止的攻擊方式是(D)。

    A. 假冒源地址或用戶的地址欺騙攻擊

    B. 抵賴做過信息的遞交行為

    C. 數據中途被攻擊者竊聽獲取

    D. 數據在途中被攻擊者篡改或破壞

二、填空題

GB/T 9387.2-1995定義了5大類 安全服務 ,提供這些服務的8種 安全機制 以及相應的開放系統互連的安全管理,并可根據具體系統適當地配置于OSI模型的七層協議中。

P2DR的含義是:策略、保護、探測、反應。

三、問答題

列舉并解釋ISO/OSI中定義的5種標準的安全服務。

(1)鑒別

    用于鑒別實體的身份和對身份的證實,包括對等實體鑒別和數據原發鑒別兩種。

(2)訪問控制

    提供對越權使用資源的防御措施。

(3)數據機密性

    針對信息泄露而采取的防御措施。分為連接機密性、無連接機密性、選擇字段機密性、通信業務流機密性四種。

(4)數據完整性

防止非法篡改信息,如修改、復制、插入和刪除等。分為帶恢復的連接完整性、無恢復的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。

 

(5)抗否認

是針對對方否認的防范措施,用來證實發生過的操作。包括有數據原發證明的抗否認和有交付證明的抗否認兩種。

 

 

 

 

 

8.TCP/IP協議的網絡安全體系結構的基礎框架是什么?

由于OSI參考模型與TCP/IP參考模型之間存在對應關系,因此可根據GB/T 9387.2-1995的安全體系框架,將各種安全機制和安全服務映射到TCP/IP的協議集中,從而形成一個基于TCP/IP協議層次的網絡安全體系結構。

 

密鑰分配與管理

一、填空題

1.密鑰管理的主要內容包括密鑰的 生成、分配、使用、存儲、備份、恢復和銷毀。

2.  密鑰生成形式有兩種:一種是由 中心集中 生成,另一種是由 個人分散 生成。

密鑰的分配是指產生并使使用者獲得 密鑰 的過程。

密鑰分配中心的英文縮寫是 KDC 。

二、問答題

1. 常規加密密鑰的分配有幾種方案,請對比一下它們的優缺點。

1.  集中式密鑰分配方案

    由一個中心節點或者由一組節點組成層次結構負責密鑰的產生并分配給通信的雙方,在這種方式下,用戶不需要保存大量的會話密鑰,只需要保存同中心節點的加密密鑰,用于安全傳送由中心節點產生的即將用于與第三方通信的會話密鑰。這種方式缺點是通信量大,同時需要較好的鑒別功能以鑒別中心節點和通信方。目前這方面主流技術是密鑰分配中心KDC技術。我們假定每個通信方與密鑰分配中心KDC之間都共享一個惟一的主密鑰,并且這個惟一的主密鑰是通過其他安全的途徑傳遞。

2.  分散式密鑰分配方案

    使用密鑰分配中心進行密鑰的分配要求密鑰分配中心是可信任的并且應該保護它免于被破壞。如果密鑰分配中心被第三方破壞,那么所有依靠該密鑰分配中心分配會話密鑰進行通信的所有通信方將不能進行正常的安全通信。如果密鑰分配中心被第三方控制,那么所有依靠該密鑰分配中心分配會話密鑰進行進信的所有通信方之間的通信信息將被第三方竊聽到

4. 密鑰的產生需要注意哪些問題?

算法的安全性依賴于密鑰,如果用一個弱的密鑰產生方法,那么整個系統都將是弱的。DES有56位的密鑰,正常情況下任何一個56位的數據串都能成為密鑰,所以共有256種可能的密鑰。在某些實現中,僅允許用ASCII碼的密鑰,并強制每一字節的最高位為零。有的實現甚至將大寫字母轉換成小寫字母。這些密鑰產生程序都使得DES的攻擊難度比正常情況下低幾千倍。因此,對于任何一種加密方法,其密鑰產生方法都不容忽視。

大部分密鑰生成算法采用隨機過程或者偽隨機過程來生成密鑰。隨機過程一般采用一個隨機數發生器,它的輸出是一個不確定的值。偽隨機過程一般采用噪聲源技術,通過噪聲源的功能產生二進制的隨機序列或與之對應的隨機數。

5.KDC在密鑰分配過程中充當何種角色?

KDC在密鑰分配過程中充當可信任的第三方。KDC保存有每個用戶和KDC之間共享的唯一密鑰,以便進行分配。在密鑰分配過程中,KDC按照需要生成各對端用戶之間的會話密鑰,并由用戶和KDC共享的密鑰進行加密,通過安全協議將會話密鑰安全地傳送給需要進行通信的雙方。

 數字簽名與鑒別協議

一、選擇題

1. 數字簽名要預先使用單向Hash函數進行處理的原因是(C)。

    A. 多一道加密工序使密文更難破譯

    B. 提高密文的計算速度

    C. 縮小簽名密文的長度,加快數字簽名和驗證簽名的運算速度

    D. 保證密文能正確還原成明文

二、填空題

數字簽名 是筆跡簽名的模擬,是一種包括防止源點或終點否認的認證技術。

三、問答題

1. 數字簽名有什么作用?

當通信雙方發生了下列情況時,數字簽名技術必須能夠解決引發的爭端:

 否認,發送方不承認自己發送過某一報文。

 偽造,接收方自己偽造一份報文,并聲稱它來自發送方。

 冒充,網絡上的某個用戶冒充另一個用戶接收或發送報文。

 篡改,接收方對收到的信息進行篡改。

 

2. 請說明數字簽名的主要流程。

數字簽名通過如下的流程進行:

(1) 采用散列算法對原始報文進行運算,得到一個固定長度的數字串,稱為報文摘要(Message Digest),不同的報文所得到的報文摘要各異,但對相同的報文它的報文摘要卻是惟一的。在數學上保證,只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符,這樣就保證了報文的不可更改性。

(2) 發送方用目己的私有密鑰對摘要進行加密來形成數字簽名。

(3) 這個數字簽名將作為報文的附件和報文一起發送給接收方。

(4) 接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要,再用發送方的公開密鑰對報文附件的數字簽名進行解密,比較兩個報文摘要,如果值相同,接收方就能確認該數字簽名是發送方的,否則就認為收到的報文是偽造的或者中途被篡改。

3. 數字證書的原理是什么?

數字證書采用公開密鑰體制(例如RSA)。每個用戶設定一僅為本人所知的私有密鑰,用它進行解密和簽名;同時設定一公開密鑰,為一組用戶所共享,用于加密和驗證簽名。

    采用數字證書,能夠確認以下兩點:

(1) 保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認。

(2) 保證信息自簽發后到收到為止未曾做過任何修改,簽發的信息是真實信息。

 

身份認證

一、選擇題

1. Kerberos的設計目標不包括(B)。

    A. 認證        B.授權        C.記賬        D.審計

2. 身份鑒別是安全服務中的重要一環,以下關于身份鑒別敘述不正確的是(B)。

    A. 身份鑒別是授權控制的基礎

    B. 身份鑒別一般不用提供雙向的認證

    C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法

    D. 數字簽名機制是實現身份鑒別的重要機制

3. 基于通信雙方共同擁有的但是不為別人知道的秘密,利用計算機強大的計算能力,以該秘密作為加密和解密的密鑰的認證是(C)。

    A. 公鑰認證                B. 零知識認證

    C. 共享密鑰認證            D. 口令認證

5.(C)是一個對稱DES加密系統,它使用一個集中式的專鑰密碼功能,系統的核心是KDC。

A.  TACACS    B.  RADIUS     C.  Kerberos     D.  PKI

二、填空題

身份認證是 驗證信息發送者是真的 ,而不是冒充的,包括信源、信宿等的認證和識別。

三、問答題

解釋身份認證的基本概念。

身份認證是指用戶必須提供他是誰的證明,這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網絡資源,它是其他安全機制的基礎。

    身份認證是安全系統中的第一道關卡,識別身份后,由訪問監視器根據用戶的身份和授權數據庫決定是否能夠訪問某個資源。一旦身份認證系統被攻破,系統的所有安全措施將形同虛設,黑客攻擊的目標往往就是身份認證系統。

 

2. 單機狀態下驗證用戶身份的三種因素是什么?

(1)用戶所知道的東西:如口令、密碼。

(2)用戶所擁有的東西:如智能卡、身份證。

(3)用戶所具有的生物特征:如指紋、聲音、視網膜掃描、DNA等。

3. 有哪兩種主要的存儲口令的方式,各是如何實現口令驗證的?

1.  直接明文存儲口令

    有很大風險,只要得到了存儲口令的數據庫,就可以得到全體人員的口令。比如攻擊者可以設法得到一個低優先級的帳號和口令,進入系統后得到明文存儲口令的文件,這樣他就可以得到全體人員的口令。

2.  Hash散列存儲口令

    散列函數的目的是為文件、報文或其他分組數據產生“指紋”。對于每一個用戶,系統存儲帳號和散列值對在一個口令文件中,當用戶登錄時,用戶輸入口令x,系統計算F(x),然后與口令文件中相應的散列值進行比對,成功即允許登錄。

5. 使用口令進行身份認證的優缺點?

優點在于黑客即使得到了口令文件,通過散列值想要計算出原始口令在計算上也是不可能的,這就相對增加了安全性。

    嚴重的安全問題(單因素的認證),安全性僅依賴于口令,而且用戶往往選擇容易記憶、

容易被猜測的口令(安全系統最薄弱的突破口),口令文件也可被進行離線的字典式攻擊。

 

6. 利用智能卡進行的雙因素的認證方式的原理是什么?

智能卡具有硬件加密功能,有較高的安全性。每個用戶持有一張智能卡,智能卡存儲用戶個性化的秘密信息,同時在驗證服務器中也存放該秘密信息。進行認證時,用戶輸入PIN(個人身份識別碼),智能卡認證PIN,成功后,即可讀出智能卡中的秘密信息,進而利用該秘密信息與主機之間進行認證。

    雙因素的認證方式(PIN+智能卡),即使PIN或智能卡被竊取,用戶仍不會被冒充。智能卡提供硬件保護措施和加密算法,可以利用這些功能加強安全性能。

7. 有哪些生物特征可以作為身份認證的依據,這種認證的過程是怎樣的?

以人體唯一的、可靠的、穩定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據,采用計算機強大的計算功能和網絡技術進行圖象處理和模式識別。該技術具有很好的安全性、可靠性和有效性。

    所有的工作有4個步驟:抓圖、抽取特征、比較和匹配。生物捕捉系統捕捉到生物特征的樣品,唯一的特征將會被提取并且被轉化成數字符號,這些符號被存成那個人的特征摸板,人們同識別系統交互進行身份認證,以確定匹配或不匹配

授權與訪問控制

一、選擇題

1. 訪問控制是指確定(A)以及實施訪問權限的過程。

    A. 用戶權限              B. 可給予哪些主體訪問權利

    C. 可被用戶訪問的資源    D. 系統是否遭受入侵

2. 下列對訪問控制影響不大的是(D)。

    A. 主體身份            B. 客體身份

    C. 訪問類型            D. 主體與客體的類型

3. 為了簡化管理,通常對訪問者(A),以避免訪問控制表過于龐大。

    A. 分類組織成組        B. 嚴格限制數量

    C. 按訪問時間排序,刪除長期沒有訪問的用戶

    D. 不作任何限制

二、填空題

訪問控制 的目的是為了限制訪問主體對訪問客體的訪問權限。

三、問答題

解釋訪問控制的基本概念。

訪問控制是建立在身份認證基礎上的,通過限制對關鍵資源的訪問,防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞。

    訪問控制的目的:限制主體對訪問客體的訪問權限(安全訪問策略),從而使計算機系統在合法范圍內使用。

2. 訪問控制有幾種常用的實現方法?它們各有什么特點?

1  訪問控制矩陣

    行表示客體(各種資源),列表示主體(通常為用戶),行和列的交叉點表示某個主體對某個客體的訪問權限。通常一個文件的Own權限表示可以授予(Authorize)或撤消(Revoke)其他用戶對該文件的訪問控制權限。

2  訪問能力表

    實際的系統中雖然可能有很多的主體與客體,但兩者之間的權限關系可能并不多。為了減輕系統的開銷與浪費,我們可以從主體(行)出發,表達矩陣某一行的信息,這就是訪問能力表(Capabilities)。

    只有當一個主體對某個客體擁有訪問的能力時,它才能訪問這個客體。但是要從訪問能力表獲得對某一特定客體有特定權限的所有主體就比較困難。在一個安全系統中,正是客體本身需要得到可靠的保護,訪問控制服務也應該能夠控制可訪問某一客體的主體集合,于是出現了以客體為出發點的實現方式——ACL。

3  訪問控制表

    也可以從客體(列)出發,表達矩陣某一列的信息,這就是訪問控制表(Access Control 

List)。它可以對某一特定資源指定任意一個用戶的訪問權限,還可以將有相同權限的用戶分組,并授予組的訪問權。

4  授權關系表

    授權關系表(Authorization Relations)的每一行表示了主體和客體的一個授權關系。對表按客體進行排序,可以得到訪問控制表的優勢;對表按主體進行排序,可以得到訪問能力表的優勢。適合采用關系數據庫來實現。

3. 訪問控制表ACL有什么優缺點?

    ACL的優點:表述直觀、易于理解,比較容易查出對某一特定資源擁有訪問權限的所有用戶,有效地實施授權管理。

ACL應用到規模大的企業內部網時,有問題:

(1)網絡資源很多,ACL需要設定大量的表項,而且修改起來比較困難,實現整個組織

范圍內一致的控制政策也比較困難。

(2)單純使用ACL,不易實現最小權限原則及復雜的安全政策。

 

4. 有哪幾種訪問控制策略?

三種不同的訪問控制策略:自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC),前兩種屬于傳統的訪問控制策略,而RBAC是90年代后期出現的,有很大的優勢,所以發展很快。

每種策略并非是絕對互斥的,我們可以把幾種策略綜合起來應用從而獲得更好、更安全的系統保護——多重的訪問控制策略。

PKI技術

一、選擇題

1. PKI支持的服務不包括(D)。

    A. 非對稱密鑰技術及證書管理      B. 目錄服務

    C. 對稱密鑰的產生和分發          D. 訪問控制服務

2. PKI的主要組成不包括(B)。

    A. 證書授權CA       B. SSL

    C. 注冊授權RA       D. 證書存儲庫CR

3. PKI管理對象不包括(A)。

    A. ID和口令       B. 證書

    C. 密鑰           D. 證書撤消

4. 下面不屬于PKI組成部分的是(D)。

    A. 證書主體              B. 使用證書的應用和系統

    C. 證書權威機構          D. AS

PKI能夠執行的功能是(A)和(C)。

A. 鑒別計算機消息的始發者          B. 確認計算機的物理位置

C. 保守消息的機密                  D. 確認用戶具有的安全性特權

二、問答題

1. 為什么說在PKI中采用公鑰技術的關鍵是如何確認某個人真正的公鑰?如何確認?

信息的可認證性是信息安全的一個重要方面。認證的目的有兩個:一個是驗證信息發送者的真實性,確認他沒有被冒充;另一個是驗證信息的完整性,確認被驗證的信息在傳遞或存儲過程中沒有被篡改、重組或延遲。

在認證體制中,通常存在一個可信的第三方,用于仲裁、頒發證書和管理某些機密信息。公鑰密碼技術可以提供網絡中信息安全的全面解決方案。采用公鑰技術的關鍵是如何確認某個人真正的公鑰。在PKI中,為了確保用戶及他所持有密鑰的正確性,公開密鑰系統需要一個值得信賴而且獨立的第三方機構充當認證中心(CA),來確認聲稱擁有公開密鑰的人的真正身份。

要確認一個公共密鑰,CA首先制作一張“數字證書”,它包含用戶身份的部分信息及用戶所持有的公開密鑰,然后CA利用本身的私鑰為數字證書加上數字簽名。

    任何想發放自己公鑰的用戶,可以去認證中心(CA)申請自己的證書。CA中心在認證該人的真實身份后,頒發包含用戶公鑰的數字證書,它包含用戶的真實身份、并證實用戶公鑰的有效期和作用范圍(用于交換密鑰還是數字簽名)。其他用戶只要能驗證證書是真實的,并且信任頒發證書的CA,就可以確認用戶的公鑰。

2. 什么是數字證書?現有的數字證書由誰頒發,遵循什么標準,有什么特點?

數字證書是一個經證書認證中心(CA)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。認證中心(CA)作為權威的、可信賴的、公正的第三方機構,專門負責為各種認證需求提供數字證書服務。認證中心頒發的數字證書均遵循X.509 V3標準。X.509標準在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應用于許多網絡安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。

3. X.509規范中是如何定義實體A信任實體B的?在PKI中信任又是什么具體含義?

X.509規范中給出了適用于我們目標的定義:

當實體A假定實體B嚴格地按A所期望的那樣行動,則A信任B。在PKI中,我們可以把這個定

義具體化為:如果一個用戶假定CA可以把任一公鑰綁定到某個實體上,則他信任該CA。

 

5. 簡述認證機構的嚴格層次結構模型的性質?

層次結構中的所有實體都信任惟一的根CA。在認證機構的嚴格層次結構中,每個實體(包括中介CA和終端實體)都必須擁有根CA的公鑰,該公鑰的安裝是在這個模型中為隨后進行的所有通信進行證書處理的基礎,因此,它必須通過一種安全(帶外)的方式來完成。

    值得注意的是,在一個多層的嚴格層次結構中.終端實體直接被其上層的CA認證(也就是頒發證書),但是它們的信任錨是另一個不同的CA (根CA)。

6. Web信任模型有哪些安全隱患?

Web模型在方便性和簡單互操作性方面有明顯的優勢,但是也存在許多安全隱患。例如,因為瀏覽器的用戶自動地信任預安裝的所有公鑰,所以即使這些根CA中有一個是“壞的”(例如,該CA從沒有認真核實被認證的實體),安全性將被完全破壞。

另外一個潛在的安全隱患是沒有實用的機制來撤消嵌入到瀏覽器中的根密鑰。如果發現一個根密鑰是“壞的”(就像前而所討論的那樣)或者與根的公鑰相應的私鑰被泄密了,要使全世界數百萬個瀏覽器都自動地廢止該密鑰的使用是不可能的。

7. 以用戶為中心的信任模型是怎樣實現信任關系的?哪個實際系統是使用這種模型的?

PGP最能說明以用戶為中心的信任模型,在PGP中,一個用戶通過擔當CA(簽署其他實體的公鑰)并使其公鑰被其他人所認證來建立(或參加)所謂的信任網(Web of Trust)。

    例如,當A1ice收到一個據稱屬于Bob的證書時,她將發現這個證書是由她不認識的David簽署的,但是David的證書是由她認識并且信任的Catherine簽署的。在這種情況下,Alice可以決定信任Bob的密鑰(即信任從Catherine到David再到Bob的密鑰鏈),也可以決定不信任Bob的密鑰(認為“未知的”Bob與“已知的”Catherine之間的“距離大遠”)。

因為要依賴于用戶自身的行為和決策能力,因此以用戶為中心的模型在技術水平較高和利害關系高度一致的群體中是可行的,但是在一般的群體(它的許多用戶有極少或者沒有安全及PKI的概念)中是不現實的。

 

10. 構造證書庫的最佳方法是什么?

證書庫是證書的集中存放地,是網上的一種公共信息庫,用戶可以從此處獲得其他用戶的證書和公鑰。構造證書庫的最佳方法是采用支持LDAP協議的目錄系統,用戶或相關的應用通過LDAP來訪問證書庫。系統必須確保證書庫的完整性,防止偽造、篡改證書。

11. 掌握證書管理有哪3個階段組成,每個階段包括哪些具體內容?

1  證書管理

(1)初始化階段

1. 終端實體注冊

終端實體注冊是單個用戶或進程的身份被建立和驗證的過程。注冊過程能夠通過不同的方法來實現,圖示說明了一個實體初始化包括一個RA和一個CA的可能的方案(注意RA部件根本不存在的其他可能方案也是可用的)。終端實體注冊是在線執行的,是用注冊表格的交換來說明的。注冊過程一般要求包括將一個或更多的共享秘密賦給終端實體以便后來在初始化過程中CA確認那個個體。

2.  密鑰對產生

    密鑰資料可以在終端實體注冊過程之前或直接響應終端實體注冊過程時產生。在RA中或在CA中產生密鑰資料是可能的。每個終端實體多個密鑰可以被用做支持分離的和截然不同的服務。例如,一個密鑰對可以被用作支持不可否認性服務而另一個密鑰對可以被用作支持機密性或密鑰管理功能(雙密鑰對模型)。

3.  證書創建和密鑰/證書分發

    無論密鑰在哪里產生,證書創建的職責都將單獨地落在被授權的CA上。如果公鑰是被終端實體而不是CA所產生的,那么該公鑰必須被安全地傳送到CA以便其能夠被放入證書。

一旦密鑰資料和相關的證書已經被產生,它們必須被適當分發。請求證書和從可信實體(即CA)取回證書(以及相關的密鑰,如果適用的話)的必要條件是要求一個安全協議機制。

4.  證書分發

    如果私鑰和相應的公鑰證書已經被分發,那么有一種或多種傳送給另一個實體的方法:

• 帶外分發;

• 在一個公眾的資料庫或數據庫中公布,以使查詢和在線檢索簡便;

• 帶內協議分發,例如,包括帶有安全E-mail報文的適用的驗證證書。

被用做數字簽名目的的證書可以僅需要分發給它們的所有者,被用做機密性目的的證書對于發信方必須是容易獲得的。

5.  密鑰備份和托管

    一定比例的加密密鑰將因為許多原因(忘記密碼、磁盤被破壞、失常的智能卡或雇員被解雇)使這些密鑰的所有者無法訪問,這就需要事先進行密鑰備份。

密鑰托管是指把一個秘密的密鑰或私鑰交由第三方保管,這樣做的問題是哪些密鑰應委托保管以及誰是可以信任的第三方(政府?)。

 

(2)頒布階段

1.  證書檢索

    證書檢索與訪問一個終端實體證書的能力有關。檢索一個終端實體證書的需求可能被兩個不同的使用要求所驅動。

• 加密發給其他實體的數據的需求;

• 驗證一個從另一個實體收到的數字簽名的需求。

2.  證書驗證

    證書驗證與評估一個給定證書的合法性和證書頒發者的可信賴性有關。證書驗證是在基于那個證書被準許加密操作之前進行的。

3.  密鑰恢復

    密鑰管理生命周期包括從遠程備份設施(如可信密鑰恢復中心或CA)中恢復私有加密密鑰的能力。 密鑰的恢復能使PKI管理員和終端用戶的負擔減至最小,這個過程必須盡可能最大程度自動化。

4.  密鑰更新

    當證書被頒發時,其被賦與一個固定的生存期。當證書“接近”過期時,必須頒發一個新的公/私鑰和相關證書,這被稱為密鑰更新。應該允許一個合理的轉變時間使依托方取得新證書,從而避免與過期證書所有有關的服務中斷。這個過程是自動的,并對終端用戶完全透明。

(3)取消階段

1.  證書過期

    證書在頒布時被賦與一個固定的生存期,在其被建立的有效期結束后,證書將會過期。當一個證書過期后,與該證書有關的終端實體可能發生三件事:

• 沒有活動:終端實體不在參加PKI;

• 證書恢復:相同的公鑰被加入新有效期的新證書(當與最初證書的頒布有關的環境沒有變化時使用,并且它仍然認為是可靠的);

• 證書更新:一個新的公/私鑰對被產生,并且一個新的證書被頒發。

2.  證書撤消

    在證書自然過期之前對給定證書的即時取消(可疑的密鑰損害、作業狀態的變化或者雇傭終止等)。

一個終端用戶個人可以親自初始化自己的證書撤消(例如由于相應私有密鑰的可疑損害)。RA可以代表終端用戶被用做初始化證書撤消。經授權的管理者也可以有能力撤消終端實體的證書。

3.  密鑰歷史

    由于機密性加密密鑰最后要過期,因此可靠安全地存儲用做解密的私有密鑰是必須的,這被稱作密鑰歷史,否則無法恢復。

4.  密鑰檔案

可靠地保存已經過期的用于驗證數字簽名的公鑰,以便對歷史文檔的數字簽名進行驗證。

12. 什么是X.500目錄服務?

X.500是一種CCITT針對已經被ISO接受的目錄服務系統的建議,它定義了一個機構如何在一個企業的全局范圍內共享名字和與它們相關的對象。

   一個完整的X.500系統稱為一個“目錄”,X.500是層次性的,其中的管理性域(機構、分支、部門和工作組)可以提供這些域內的用戶和資源的信息。它被認為是實現一個目錄服務的最好途徑。

X.500目錄服務是一種用于開發一個單位內部人員目錄的標準方法,這個目錄可以成為全球目錄的一部分,任何人都可以查詢這個單位中人員的信息。這個目錄有一個樹型結構:國家,單位(或組織),部門和個人。一個知名和最大的X.500目錄是用于管理域名注冊的InterNIC。

    X.500目錄服務可以向需要訪問網絡任何地方資源的電子函件系統和應用,或需要知道在網絡上的實體名字和地點的管理系統提供信息。這個目錄是一個目錄信息數據庫(DIB)。

13. 什么是X.509方案,它是如何實現數字簽名的?

X.509是一種行業標準或者行業解決方案——X.509公共密鑰證書,在X.509方案中,默認的加密體制是公鑰密碼體制。

    為進行身份認證,X.509標準及公共密鑰加密系統提供了數字簽名的方案。用戶可生成一段信息及其摘要(指紋)。用戶用專用密鑰對摘要加密以形成簽名,接收者用發送者的公共密鑰對簽名解密,并將之與收到的信息“指紋”進行比較,以確定其真實性。

 

 

15. X.500和LDAP有什么聯系和區別?

LDAP協議基于X.500標準,但是比較簡單,并且可以根據需要定制,LDAP支持TCP/IP。在企業范圍內實現LDAP可以讓運行在幾乎所有計算機平臺上的所有的應用程序從LDAP目錄中獲取信息(電子郵件地址、郵件路由信息、人力資源數據、公用密鑰、聯系人列表)。

16. 實施PKI的過程中產生了哪些問題,如何解決?

首先是實施的問題,PKI定義了嚴格的操作協議和信任層次關系。任何向CA申請數字證書的人必須經過線下(offline)的身份驗證(通常由RA完成),這種身份驗證工作很難擴展到整個Internet范圍,因此,現今構建的PKI系統都局限在一定范圍內,這造成了PKI系統擴展問題。

    由于不同PKI系統都定義了各自的信任策略,在進行互相認證的時候,為了避免由于信任策略不同而產生的問題,普遍的做法是忽略信任策略。這樣,本質上是管理Internet上的信任關系的PKI就僅僅起到身份驗證的作用了。

提出用PMI解決。

 

17.什么是證書鏈?根CA證書由誰簽發?

由于一個公鑰用戶擁有的可信證書管理中心數量有限,要與大量不同管理域的用戶建立安全通信需要CA建立信任關系,這樣就要構造一個證書鏈。證書鏈是最常用的用于驗證實體它的公鑰之間的綁定的方法。一個證書鏈一般是從根CA證書開始,前一個證書主體是后一個證書的簽發者。也就是說,該主題對后一個證書進行了簽名。而根CA證書是由根自己簽發的。

18.敘述基于X.509數字證書在PKI中的作用。

    X.509數字證書是各實體在網絡中的身份證明,它證書了實體所聲明的身份與其公鑰的匹配關系。從公鑰管理的機制講,數字證書是非對稱密碼體制中密鑰管理的媒介。即在非對稱密碼體制中,公鑰的分發、傳送是通過數字證書來實現的。通過數字證書,可以提供身份的認證與識別,完整性、保密性和不可否認等安全服務。

 電子郵件的安全

一、問答題

1. 電子郵件存在哪些安全性問題?

1)垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網絡負荷,影響網絡傳輸速度,占用郵件服務器的空間。

2)詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜,發信人能迅速讓大量受害者上當。

3)郵件炸彈指在短時間內向同一信箱發送大量電子郵件的行為,信箱不能承受時就會崩潰。

4)通過電子郵件傳播的病毒通常用VBScript編寫,且大多數采用附件的形式夾帶在電子郵件中。當收信人打開附件后,病毒會查詢他的通訊簿,給其上所有或部分人發信,并將自身放入附件中,以此方式繼續傳播擴散。

端到端的安全電子郵件技術,能夠保證郵件從發出到接收的整個過程中的哪三種安全性?

端到端的安全電子郵件技術,保證郵件從被發出到被接收的整個過程中,內容保密、無法修改、并且不可否認。目前的Internet上,有兩套成型的端到端安全電子郵件標準:PGP和S/MIME。它一般只對信體進行加密和簽名,    而信頭則由于郵件傳輸中尋址和路由的需要,必須保證原封不動。

 

為什么PGP在加密明文之前先壓縮它?

PGP內核使用Pkzip算法來壓縮加密前的明文。一方面對電子郵件而言,壓縮后加密再經過7位編碼密文有可能比明文更短,這就節省了網絡傳輸的時間。另一方面,經過壓縮的明文,實際上相當于多經過了一次變換,信息更加雜亂無章,能更強地抵御攻擊。

 

在服務器端和用戶端各有哪些方式防范垃圾郵件?

在服務器端,應該設置發信人身份認證,以防止自己的郵件服務器被選做垃圾郵件的傳遞者。現在包括不少國內知名電子郵件提供者在內的諸多郵件服務器被國外的拒絕垃圾郵件組織列為垃圾郵件來源。結果是:所有來自該服務器的郵件全部被拒收!

    在用戶端,防范垃圾郵件有如下方式:

1)不隨便公開自己的電子郵件地址,防止其被收入垃圾郵件的發送地址列表。因為有很多軟件可以自動收集這些新聞組文章或者論壇中出現過的電子郵件地址。一旦被收入這些

垃圾郵件的地址列表中,一些不懷好意的收集者將出售這些電子郵件地址牟利,然后,很不幸地,這個地址將可能源源不斷地收到各種垃圾郵件。

2)盡量采用轉發的方式收信,避免直接使用ISP提供的信箱。申請一個轉發信箱地址,結合垃圾郵件過濾,然后再轉發到自己的真實信箱。實踐證明,這的確是一個非常有效的方法。只有結合使用地址過濾和字符串特征過濾才能取得最好的過濾效果。

不要回復垃圾郵件,這是一個誘人進一步上當的花招。

 Web與電子商務的安全

一、選擇題

1. SSL產生會話密鑰的方式是(C)。

    A. 從密鑰管理數據庫中請求獲得

    B. 每一臺客戶機分配一個密鑰的方式

    C. 隨機由客戶機產生并加密后通知服務器

    D. 由服務器產生并分配給客戶機

2. (C)屬于Web中使用的安全協議。

    A. PEM、SSL           B. S-HTTP、S/MIME

    C. SSL、S-HTTP        D. S/MIME、SSL

3. 傳輸層保護的網絡采用的主要技術是建立在(A)基礎上的(A)。

    A. 可靠的傳輸服務,安全套接字層SSL協議

    B. 不可靠的傳輸服務,S-HTTP協議

    C. 可靠的傳輸服務, S-HTTP協議

    D. 不可靠的傳輸服務,安全套接字層SSL協議

二、問答題

9、什么是SET電子錢包?

SET交易發生的先決條件是,每個持卡人(客戶)必須擁有一個惟一的電子(數字)證書,且由客戶確定口令,并用這個口令對數字證書、私鑰、信用卡號碼及其他信息進行加密存儲,這些與符合SET協議的軟件一起組成了一個SET電子錢包。

10、簡述一個成功的SET交易的標準流程。

(1) 客戶在網上商店選中商品并決定使用電子錢包付款,商家服務器上的POS軟件發報文給客戶的瀏覽器要求電子錢包付款。

(2) 電子錢包提示客戶輸入口令后與商家服務器交換“握手”消息,確認客戶、商家均為合法,初始化支付請求和支付響應。

(3) 客戶的電子錢包形成一個包含購買訂單、支付命令(內含加密了的客戶信用卡號碼)的報文發送給商家。

(4) 商家POS軟件生成授權請求報文(內含客戶的支付命令),發給收單銀行的支付網關。

(5) 支付網關在確認客戶信用卡沒有超過透支額度的情況下,向商家發送一個授權響應報文。

(6) 商家向客戶的電子錢包發送一個購買響應報文,交易結束,客戶等待商家送貨上

防火墻技術

一、選擇題

1. 一般而言,Internet防火墻建立在一個網絡的(C)。

    A. 內部子網之間傳送信息的中樞

    B. 每個子網的內部

    C. 內部網絡與外部網絡的交叉點

    D. 部分內部網絡與外部網絡的結合處

2. 包過濾型防火墻原理上是基于(C)進行分析的技術。

    A. 物理層           B. 數據鏈路層

    C. 網絡層           D. 應用層

3. 為了降低風險,不建議使用的Internet服務是(D)。

    A. Web服務              B. 外部訪問內部系統

    C. 內部訪問Internet       D. FTP服務

4. 對非軍事DMZ而言,正確的解釋是(D)。

    A. DMZ是一個真正可信的網絡部分

    B. DMZ網絡訪問控制策略決定允許或禁止進入DMZ通信

    C. 允許外部用戶訪問DMZ系統上合適的服務

    D. 以上3項都是

5. 對動態網絡地址交換(NAT),不正確的說法是(B)。

    A. 將很多內部地址映射到單個真實地址

    B. 外部網絡地址和內部地址一對一的映射

    C. 最多可有64000個同時的動態NAT連接

    D. 每個連接使用一個端口

以下(D)不是包過濾防火墻主要過濾的信息?

A. 源IP地址    B. 目的IP地址    C. TCP源端口和目的端口    D. 時間

防火墻用于將Internet和內部網絡隔離,(B)。

A. 是防止Internet火災的硬件設施

B. 是網絡安全和信息安全的軟件和硬件設施

C. 是保護線路不受破壞的軟件和硬件設施

D. 是起抗電磁干擾作用的硬件設施

二、填空題

防火墻是位于兩個 網絡之間 ,一端是 內部網絡 ,另一端是 外部網絡 。

防火墻系統的體系結構分為 雙宿主機體系結構 、屏蔽主機體系結構 、屏蔽子網體系結構。

三、問答題

1. 什么是防火墻,為什么需要有防火墻?

防火墻是一種裝置,它是由軟件/硬件設備組合而成,通常處于企業的內部局域網與Internet之間,限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問Internet的權限。換言之,一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。

如果沒有防火墻,則整個內部網絡的安全性完全依賴于每個主機,因此,所有的主機都必須達到一致的高度安全水平,這在實際操作時非常困難。而防火墻被設計為只運行專用的訪問控制軟件的設備,沒有其他的服務,因此也就意味著相對少一些缺陷和安全漏洞,這就使得安全管理變得更為方便,易于控制,也會使內部網絡更加安全。

    防火墻所遵循的原則是在保證網絡暢通的情況下,盡可能保證內部網絡的安全。它是一種被動的技術,是一種靜態安全部件。

2. 防火墻應滿足的基本條件是什么?

作為網絡間實施網間訪問控制的一組組件的集合,防火墻應滿足的基本條件如下:

(1) 內部網絡和外部網絡之間的所有數據流必須經過防火墻。

(2) 只有符合安全策略的數據流才能通過防火墻。

(3) 防火墻自身具有高可靠性,應對滲透(Penetration)免疫,即它本身是不可被侵入的。

3. 列舉防火墻的幾個基本功能?

(1) 隔離不同的網絡,限制安全問題的擴散,對安全集中管理,簡化了安全管理的復雜程度。

(2) 防火墻可以方便地記錄網絡上的各種非法活動,監視網絡的安全性,遇到緊急情況報警。

(3) 防火墻可以作為部署NAT的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題或者隱藏內部網絡的結構。

(4) 防火墻是審計和記錄Internet使用費用的一個最佳地點。

(5) 防火墻也可以作為IPSec的平臺。

(6) 內容控制功能。根據數據內容進行控制,比如防火墻可以從電子郵件中過濾掉垃圾郵件,可以過濾掉內部用戶訪問外部服務的圖片信息。只有代理服務器和先進的過濾才能實現。

 

防火墻有哪些局限性?

(1) 網絡上有些攻擊可以繞過防火墻(如撥號)。

(2) 防火墻不能防范來自內部網絡的攻擊。

(3) 防火墻不能對被病毒感染的程序和文件的傳輸提供保護。

(4) 防火墻不能防范全新的網絡威脅。

(5) 當使用端到端的加密時,防火墻的作用會受到很大的限制。

(6) 防火墻對用戶不完全透明,可能帶來傳輸延遲、瓶頸以及單點失效等問題。

(7) 防火墻不能防止數據驅動式攻擊。有些表面無害的數據通過電子郵件或其他方式發送到主機上,一旦被執行就形成攻擊(附件)。

包過濾防火墻的過濾原理是什么?

包過濾防火墻也稱分組過濾路由器,又叫網絡層防火墻,因為它是工作在網絡層。路由器便是一個網絡層防火墻,因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協議、端口等信息來決定是否允許此數據包通過,有靜態和動態兩種過濾方式。

    這種防火墻可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則(丟棄該包)。在制定數據包過濾規則時,一定要注意數據包是雙向的。

 

狀態檢測防火墻的原理是什么,相對包過濾防火墻有什么優點?

狀態檢測又稱動態包過濾,所以狀態檢測防火墻又稱動態防火墻,最早由CheckPoint提出。

狀態檢測是一種相當于4、5層的過濾技術,既提供了比包過濾防火墻更高的安全性和更靈活的處理,也避免了應用層網關的速度降低問題。要實現狀態檢測防火墻,最重要的是實現連接的跟蹤功能,并且根據需要可動態地在過濾規則中增加或更新條目。防火墻應當包含關于包最近已經通過它的“狀態信息”,以決定是否讓來自Internet的包通過或丟棄。

應用層網關的工作過程是什么?它有什么優缺點?

主要工作在應用層,又稱為應用層防火墻。它檢查進出的數據包,通過自身復制傳遞數據,防止在受信主機與非受信主機間直接建立聯系。應用層網關能夠理解應用層上的協議,能夠做復雜的訪問控制,并做精細的注冊和審核。

    基本工作過程是:當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。

    常用的應用層網關已有相應的代理服務軟件,如HTTP、SMTP、FTP、Telnet等,但是對于新開發的應用,尚沒有相應的代理服務,它們將通過網絡層防火墻和一般的代理服務。

    應用層網關有較好的訪問控制能力,是目前最安全的防火墻技術。能夠提供內容過濾、用戶認證、頁面緩存和NAT等功能。但實現麻煩,有的應用層網關缺乏“透明度”。應用層網關每一種協議需要相應的代理軟件,使用時工作量大,效率明顯不如網絡層防火墻。

 

代理服務器有什么優缺點?

代理服務技術的優點是:隱蔽內部網絡拓撲信息;網關理解應用協議,可以實施更細粒度的訪問控制;較強的數據流監控和報告功能。(主機認證和用戶認證)缺點是對每一類應用都需要一個專門的代理,靈活性不夠;每一種網絡應用服務的安全問題各不相同,分析困難,因此實現困難。速度慢。

 

靜態包過濾和動態包過濾有什么不同?

    靜態包過濾在遇到利用動態端口的協議時會發生困難,如FTP,防火墻事先無法知道哪些端口需要打開,就需要將所有可能用到的端口打開,會給安全帶來不必要的隱患。

    而狀態檢測通過檢查應用程序信息(如FTP的PORT和PASV命令),來判斷此端口是否需要臨時打開,而當傳輸結束時,端口又馬上恢復為關閉狀態。

 

 VPN技術

一、選擇題

1. 通常所說的移動VPN是指(A)。

    A. Access VPN         B. Intranet VPN

    C. Extranet VPN       D. 以上皆不是

2. 屬于第二層的VPN隧道協議有(B)。

    A. IPSec     B. PPTP     C.GRE     D. 以上皆不是

3. GRE協議的乘客協議是(D)。

    A. IP     B. IPX     C. AppleTalk     D. 上述皆可

4. VPN的加密手段為(C)。

    A. 具有加密功能的防火墻

    B. 具有加密功能的路由器

    C. VPN內的各臺主機對各自的信息進行相應的加密

    D. 單獨的加密設備

6. 將公司與外部供應商、客戶及其他利益相關群體相連接的是(B)。

  A.  內聯網VPN   B.  外聯網VPN     C.  遠程接入VPN      D.  無線VPN

7. PPTP、L2TP和L2F隧道協議屬于(B)協議。

  A.  第一層隧道    B.  第二層隧道     C.  第三層隧道      D.  第四層隧道

8.不屬于隧道協議的是(C)。

  A.  PPTP     B.  L2TP     C.  TCP/IP    D.  IPSec

不屬于VPN的核心技術是(C)。

  A.  隧道技術    B.  身份認證    C.  日志記錄    D.  訪問控制

10.目前,VPN使用了(A)技術保證了通信的安全性。

隧道協議、身份認證和數據加密

身份認證、數據加密

隧道協議、身份認證

隧道協議、數據加密

(A)通過一個擁有與專用網絡相同策略的共享基礎設施,提供對企業內部網或外部

網的遠程訪問。

A.  Access VPN    B.  Intranet VPN    C.  Extranet VPN    D.  Internet VPN

13.L2TP隧道在兩端的VPN服務器之間采用(A)來驗證對方的身份。

A.  口令握手協議CHAP           B.  SSL

C.  Kerberos                     D.  數字證書

二、問答題

1. 解釋VPN的基本概念。

VPN是Virtual Private Network的縮寫,是將物理分布在不同地點的網絡通過公用骨干網,尤其是Internet連接而成的邏輯上的虛擬子網。

    Virtual是針對傳統的企業“專用網絡”而言的。VPN則是利用公共網絡資源和設備建立一個邏輯上的專用通道,盡管沒有自己的專用線路,但它卻可以提供和專用網絡同樣的功能。

    Private表示VPN是被特定企業或用戶私有的,公共網絡上只有經過授權的用戶才可以使用。在該通道內傳輸的數據經過了加密和認證,保證了傳輸內容的完整性和機密性。

2.簡述VPN使用了哪些主要技術。

1)隧道(封裝)技術是目前實現不同VPN用戶業務區分的基本方式。一個VPN可抽象為一個沒有自環的連通圖,每個頂點代表一個VPN端點(用戶數據進入或離開VPN的設備端口),相鄰頂點之間的邊表示連結這兩對應端點的邏輯通道,即隧道。

    隧道以疊加在IP主干網上的方式運行。需安全傳輸的數據分組經一定的封裝處理,從信源的一個VPN端點進入VPN,經相關隧道穿越VPN(物理上穿越不安全的互聯網),到達信宿的另一個VPN端點,再經過相應解封裝處理,便得到原始數據。(不僅指定傳送的路徑,在中轉節點也不會解析原始數據)

2)當用戶數據需要跨越多個運營商的網絡時,在連接兩個獨立網絡的節點該用戶的數據分組需要被解封裝和再次封裝,可能會造成數據泄露,這就需要用到加密技術和密鑰管理技術。目前主要的密鑰交換和管理標準有SKIP和ISAKMP(安全聯盟和密鑰管理協議)。

3)對于支持遠程接入或動態建立隧道的VPN,在隧道建立之前需要確認訪問者身份,是否可以建立要求的隧道,若可以,系統還需根據訪問者身份實施資源訪問控制。這需要訪問者與設備的身份認證技術和訪問控制技術。

 

 

  安全掃描技術

一、問答題

1. 簡述常見的黑客攻擊過程。

1  目標探測和信息攫取

    先確定攻擊日標并收集目標系統的相關信息。一般先大量收集網上主機的信息,然后根據各系統的安全性強弱確定最后的目標。

1) 踩點(Footprinting)

    黑客必須盡可能收集目標系統安全狀況的各種信息。Whois數據庫查詢可以獲得很多關于目標系統的注冊信息,DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關于目標系統域名、IP地址、DNS務器、郵件服務器等有用信息。此外還可以用traceroute工具獲得一些網絡拓撲和路由信息。

2) 掃描(Scanning)

在掃描階段,我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統檢測等)確定哪些系統存活著、它們在監聽哪些端口(以此來判斷它們在提供哪些服務),甚至更進一步地獲知它們運行的是什么操作系統。

 

3) 查點(Enumeration)

    從系統中抽取有效賬號或導出資源名的過程稱為查點,這些信息很可能成為目標系統的禍根。比如說,一旦查點查出一個有效用戶名或共享資源,攻擊者猜出對應的密碼或利用與資源共享協議關聯的某些脆弱點通常就只是一個時間問題了。查點技巧差不多都是特定于操作系統的,因此要求使用前面步驟匯集的信息。

 

2  獲得訪問權(Gaining Access)

    通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區溢出攻擊等來獲得系統的訪問權限。

3  特權提升(Escalating Privilege)

    在獲得一般賬戶后,黑客經常會試圖獲得更高的權限,比如獲得系統管理員權限。通常可以采用密碼破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點等技術。

4  竊取(Stealing)

   對敏感數據進行篡改、添加、刪除及復制(如Windows系統的注冊表、UNIX的rhost文件等)。

5  掩蓋蹤跡(Covering Tracks)

    此時最重要就隱藏自己蹤跡,以防被管理員發覺,比如清除日志記錄、使用rootkits等工具。

6  創建后門(Creating Bookdoor)

    在系統的不同部分布置陷阱和后門,以便入侵者在以后仍能從容獲得特權訪問。

  入侵檢測與安全審計

一、填空題

1.IDS的物理實現不同,按檢測的監控位置劃分,入侵檢測系統可分為基于 主機的入侵檢測系統、基于 網絡的入侵檢測系統 和 分布式入侵檢測系統。

二、問答題

1. 什么是IDS,它有哪些基本功能?

入侵檢測系統IDS,它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。

1)監測并分析用戶和系統的活動,查找非法用戶和合法用戶的越權操作;

2)核查系統配置和漏洞并提示管理員修補漏洞;

3)評估系統關鍵資源和數據文件的完整性;

4)識別已知的攻擊行為,統計分析異常行為;

5)操作系統日志管理,并識別違反安全策略的用戶活動等。

 

網絡病毒防范

一、選擇題

1. 計算機病毒是計算機系統中一類隱藏在(C)上蓄意破壞的搗亂程序。

    A. 內存     B. 軟盤     C. 存儲介質     D. 網絡

二、填空題

1.計算機病毒的5個特征是:主動傳染性、破壞性、寄生性(隱蔽性)、潛伏性、多態性。

2.惡意代碼的基本形式還有 后門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌。

蠕蟲是通過 網絡 進行傳播的。

4.計算機病毒的工作機制有潛伏機制、傳染機制、表現機制。

 

三、問答題

了解基本的計算機病毒防范措施。

計算機病毒防范,是指通過建立合理的計算機病毒防范體系和制度,及時發現計算機病毒侵入,并采取有效的手段阻止計算機病毒的傳播和破壞,恢復受影響的計算機系統和數據。

    計算機病毒利用讀寫文件能進行感染,利用駐留內存、截取中斷向量等方式能進行傳染和破壞。預防計算機病毒就是要監視、跟蹤系統內類似的操作,提供對系統的保護,最大限度地避免各種計算機病毒的傳染破壞。

 

9.什么是病毒的特征代碼?它有什么作用?

病毒的特征代碼是病毒程序編制者用來識別自己編寫程序的唯一代碼串。因此檢測病毒程序可利用病毒的特征代碼來檢測病毒,以防止病毒程序感染。

10.什么是網絡蠕蟲?它的傳播途徑是什么?

    網絡蠕蟲是一種可以通過網絡(永久連接網絡或撥號網絡)進行自身復制的病毒程序。一旦在系統中激活,蠕蟲可以表現得象計算機病毒或細菌。可以向系統注入特洛伊木馬程序,或者進行任何次數的破壞或毀滅行動。普通計算機病毒需要在計算機的硬件或文件系統中繁殖,而典型的蠕蟲程序會在內存中維持一個活動副本。蠕蟲是一個獨立運行的程序,自身不改變其他的程序,但可以攜帶一個改變其他程序功能的病毒。

報名方式
1.直接來我處咨詢、報名。報名時請攜帶身份證及正反面復印件2張、2寸藍底彩照4張 。 (畢業生應交畢業證復印件)
2.學生選擇網上或電話報名,學員可以電話、QQ、電子郵件報名或者索取招生簡章,在指定時間內來校報到入學。
3.業余學生準備好個人資料和第一年學費,直接到校報名。
4.咨詢電話: 0371 - 56756528 18939255817 高老師 李老師 5.咨詢QQ: 點擊這里給我發消息 點擊這里給我發消息

版權聲明: 本站所有文字、圖片、音視頻、美術設計和程序等作品,版權均屬自考司或相關權利人專屬所有或持有所有。未經本網書面授權,不得進行一切形式的下載、轉載或建立鏡像。否則以侵權論,依法追究相關法律責任。
时时彩开奖直播 金博棋牌正版下载 002556股票分析 广东麻将单机 炒股软件图标 打长沙麻将高级心得 p2p朋友贷理财平台 欢乐南京麻将安卓 以下股票推荐 开心象棋 股票涨跌与买卖关系