网络安全复习

1、1、从安全属性的观点可将攻击类型分成阻断攻击、截取攻击、篡改攻击、伪造攻击4类。从攻击目的和 效果将攻击类型分为访问攻击、篡改攻击、拒绝服务攻击、否认攻击4类。2、漏洞是攻击的可能途径。识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统。3、针对信息安全威胁，用以对抗攻击的基本安全服务有：机密性服务、完整性服务、可用性服务、可审 性服务。4、无线网的风险包括分组嗅测、SSID信息、假冒、寄生和直接安全漏洞；缓解方法是SSID打标签、广 播SSID、天线放置、MAC过滤、WEP协议以及安全的网络体系结构。5、传输层的风险在于序列号和端口，拦截可导致破坏破坏分组序列和网络服务以及端口

2、侦查攻击。6、可信系统体系结构要素包括定义主体和客体的子集、可信计算基、安全边界、基准监控器和安全内核、 安全域、资源隔离和最小特权等。7、防火墙是建立在内外网络边界上的过滤封锁机制；防火墙的作用是防止不希望的、未经授权的通信进 出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙的主要技术有包过滤技术、代理服 务器技术、应用网关技术、状态检测包过滤技术。现在最常用的是状态检测包过滤技术。防火墙的体系结 构有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。8、VPN作为一种综合的网络安全方案，采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项 技术。9、异常检测技

3、术是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。误用检测技术是指 通过对实际行为和数据的特征匹配判断是否存在已知的网络入侵行为。10、公钥基础设施（PKI）主要组成包括证书授权（CA）、注册授权（RA）、证书存储库（CR）。PKI管理 的对象有密钥、证书以及证书撤销列表（CRL）。多数PKI中的CA是按层次结构组成的。桥CA的作用是 为多个PKI中的关键CA签发交叉认证证书。 TOC o 1-5 h z 1、 身份鉴别一般不用提供双向的认证。（x ）2、 高度的集中性是基础设施目录服务的特性。（网上有原题）（x ）3、只要网络安全风险分析到位，风险是可以完全去除的。（个人理解）

4、（x ）4、 DNS协议提供客户和服务器之间的身份鉴别。（x ）5、 SSL协议是建立在TCP/IP之上的传输层安全协议。（寸）6、 包过滤式的防火墙比状态检测防火墙更安全。（反了）（ x ）7、 IPSec是一个单独的用于保护IP层通信安全的协议。（IPSec是一套协议族）（x ）8、 系统扫描器主要目的是发现系统或网络潜在的安全漏洞。（寸）9、 对称密钥就是加密密钥等于解密密钥。（不确定）（x ）10、Ipsec中AH的验证范围要比ESP小，与NAT不冲突。（原话打上去，Baidu 一下就知道）1.访问控制是指确定（可给予那些主体访问权利）以及实施访问权限的过程。A.用户权限B.可给予那些

5、主体访问权利C.可被用户访问的资源 D.系统是否遭受入侵网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增加安全设施投资外，还应考 虑（D）。A.用户的方便性B.管理的复杂性C.对现有系统的影响及对不同平台的支持D.上面3项都是从攻击方式区分攻击类型，可分为被动攻击和主动攻击，被动攻击难以（检测），然而（阻止）这些 攻击是可行的；主动攻击难以（阻止），然而（检测）这些攻击是可行的。A.阻止，检测，阻止，检测B.检测，阻止，检测，阻止C.检测，阻止，阻止，检测D.上面3项都不是窃听是一种（被动）攻击，攻击者（无须）将自己的系统插入到发送站和接收站之间。截获是一种（主 动）攻击，攻

6、击者（必须）将自己的系统插入到发送站和接收站之间。A,被动，无须，主动，必须B.主动，必须，被动，无须C.主动，无须，被动，必须D.被动，必须，主动，无须对目标的攻击威胁通常通过代理实现，而代理需要的特性包括（D）。A.访问目标的能力B.对目标发出威胁的动机C.有关目标的知识D.上面3项都是风险是丢失需要保护的（资产）的可能性，风险是（威胁）和（漏洞）的综合结果。A.资产，攻击目标，威胁事件B.设备，威胁，漏洞C.资产，威胁，漏洞D.上面3项都不对下面（硬件分段）的存储提供最高安全。A.内存映射B.硬件分段C.虚拟机 D.保护环一种抽象机能保证所有主体有适当的允许权来访问客体，这种确保客体不被

7、不可信主体损害的安全控制 概念是（基准监控器）。A.安全核 B. TCB C,基准监控器D安全域ISO 7498 -2从体系结构的观点描述了 5种普遍性的安全机制，这5种安全机制不包括（数据完整性机 制）。A.可信功能B.安全标号 C.事件检测D.数据完整性机制路由控制机制用以防范（非法用户利用欺骗性的路由协议，篡改路由信息、窃取敏感数据）。A.路由器被攻击者破坏B.非法用户利用欺骗性的路由协议，篡改路由信息、窃取敏感数据C.在网络层进行分析，防止非法信息通过路由D.以上皆非分组过滤型防火墙原理上是基于（网络层）进行分析的技术。A.物理层 B.数据链路层C,网络层 D.应用层属于第二层的VPN

8、隧道协议有（PPTP）。A.IPSec （3 层）B, PPTP C. GRE（3 层） D.以上皆不是PPTP客户端使用（TCP协议）建立连接。（这个不确定）A. TCP协议 B. UDP协议 C. L2TP协议 D,以上皆不是GRE协议的乘客协议是（IP IPX AppleTalk）。A. IP B. IPX C. AppleTalk D,上述皆可AH协议中必须实现的验证算法是（HMAC-MD5）。A. HMAC-MD5 和 HMAC-SHA1 B. NULL C. HMAC-RIPEMD-160 D,以上皆是ESP协议中必须实现的加密算法是（DES-CBC和NULL）。A,仅 DES-C

9、BC B.仅 NULL C. DES-CBC 和 NULL D. 3DES-CBC（ AH ）协议必须提供验证服务。A. AH B. ESP C. GRE D.以上皆是IKE协商的第一阶段可以采用（主模式、积极模式）。A.主模式、快速模式B.快速模式、积极模式C.主模式、积极模式D.新组模式下列协议中，（TCP、UDP、IP）协议的数据可以受到IPSec的保护。A.TCP、UDP、IP B. ARP C. RARPD.以上皆可以安全设计是（艺术、科学和工程集成于一体），一个安全基础设施应提供很多安全组件的（协同）使 用。A. 一门艺术，各种B. 一门科学，协同C. 一项工程，分别D.艺术、科学

10、和工程集成于一体，协同试述黑客的攻击流程和主要入侵技术。黑客攻击的流程可归纳为踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、 拒绝服务攻击。黑客所使用的入侵技术主要包括协议漏洞渗透、密码分析还原、应用漏洞分析与渗透、社 会工程学、拒绝服务攻击、病毒或后门攻击。开放系统互连安全体系结构（ISO7498-2）定义了哪些安全服务、特定的安全机制和普遍性安全机制？开放系统互连安全体系结构(ISO7498-2)是基于OSI参考模型的七层协议之上的信息安全体系结构。它 定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。5类安全服务是鉴别、访问控制、数据 机密性、数据完整性及抗

11、否认。8种特定的安全机制是加密、数字签名、访问控制、数据完整性、鉴别交 换、通信业务填充、路由选择控制及公证。5种普遍性安全机制是可信功能度、安全标记、事件检测、安 全审计跟踪及安全恢复。什么是入侵检测？入侵检测系统有哪几个组成部分？ IDS可以部署在哪些地方？入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系 统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。IDS系统主要由4个部分组成：事件产生 器、事件分析器、响应单元和事件数据库。入侵检测系统可以部署在4个位置上：DMZ区、外网入口、 内网主干、关键子网。网络扫描分哪几个阶段？各阶段的主要技术

12、是哪些？网络扫描主要分为3个阶段：目标发现、信息攫取、漏洞检测。目标发现阶段的技术主要有ICMP扫 射、广播ICMP、非回显ICMP、TCP扫射、UDP扫射。端口扫描的主要技术有TCP connect()扫描、TCP SYN 扫描、TCP ACK扫描、TCP FIN 扫描、TCP XMAS 扫描、TCP 空扫描、FTP 反弹扫描(FTP Bounce Scan)、 UDP扫描。远程操作系统识别的主要方法有系统服务旗标识别、主动协议栈指纹探测QCMP响应分析、 TCP报文响应分析、TCP报文延时分析)、被动协议栈指纹探测。漏洞检测的主要方法有直接测试(test)、 推断(inference)和带

13、凭证的测试(Test with Credential)。1、风险分析是对需要保护的资产(物理资源、知识资源、时间资源、信誉资源)的鉴别以及对资产威胁 的潜在攻击源的分析。风险是丢失需要保护的资产的可能性；威胁是可能破坏信息系统环境安全的行动或事件，威胁包含目标、代理、事件3个组成部分。漏洞是攻击的可能的途径。风险是威胁和漏洞的综合结果。信息策略定义一个组织内的敏感信息以及如何保护敏感信息。包过滤式的防火墙会检查所有通过的数据包头部的信息，并按照管理员所给定的过滤规则进行过滤。状态 检测防火墙对每个合法网络连接保存的信息进行检查，包括源地址、目的地址、协议类型、协议相关信息 (如TCP/UDP协

14、议的端口、ICMP协议的ID号)、连接状态(如TCP连接状态)和超时时间等，防火墙把这 些信息叫做状态。安全策略用于定义对数据包的处理方式，存储在安全策略数据库中；IPSec双方利用安全联盟中的参数对需要进行IPSec处理的包进行IPSec处理，安全联盟存储在安全联盟数据库中。17、传输模式和隧道模式的区别在于保护的对象不同，传输模式要保护的内容是IP包的载荷，而隧道模式要保护的是整个IP包。18、对IP包进行的IPSec处理有两种：AH和ESP。AH提供无连接的数据完整性、数据来源验证和抗重放攻击服务；而ESP除了提供AH的这些功能外，还可以提供对数据包加密和数据流量加密。19、IKE协议由

15、3种协议混合而来：ISAKMP、Oakley和SKEME。ISAKMP协议为IKE提供了密钥交换和协商的框架；Oakley提供了组的概念；SKEME定义了验证密钥交换的一种类型。20、Ipsec中AH的验证范围要比ESP更大，包含了源和目的IP地址，AH协议和NAT冲突。22、漏洞的来源主要有软件或协议设计时的瑕疵、软件或协议实现中的弱点、软件本身的瑕疵、系统和网络的错误配置。每个平台，无论是硬件或软件，都存在着漏洞。平台加固是一种用来分析及确定主机系统平台的弱点并引 入适当的配置、更改及管理，以保护主机及其应用程序免受攻击的方法。加固系统包括从系统中删除不必 要的服务、软件及用户，防止系统敏

16、感信息泄露、加强账号口令强度、使用系统审计功能及使用各种系统 加固工具等措施。安全基础设施设计的基本目标是保护企业的资产。保证企业安全策略与过程和当前经营业务目标相一致KMI/PKI作为一种支撑性安全基础设施，其本身并不能直接为用户提供安全服务，但是其他安全应用的基 础。KMI/PKI支持4种服务：对称密钥的产生和分发、非对称密码技术及与其相关的证书管理、目录服务、 基础设施本身的管理。网络安全概念网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可 靠地运行，网络服务不中断的措施。网络体系结构网络体系结构是指通信系统的整体设计，它为网络硬件、软件、协议

17、、存取控制和拓扑提供标准。它广泛 采用的是国际标准化组织(ISO)在1979年提出的开放系统互连(OSI-Open System Interconnection)的参考 模型。第一层：物理层(PhysicalLayer)、第二层：数据链路层(DataLinkLayer)、第三层：网络层(Network layer)、第四层：传输层(Transport layer)、第五层：会话层(Session layer)、第六层：表示层(Presentation layer)、 第七层：应用层(Application layer)网络面临的威胁和攻击(1)截获一从网络上窃听他人的通信内容。(2)中断一有意

18、中断他人在网络上的通信。(3)篡改一故意篡改网络上传送的报文。(4)伪造一伪造信息在网络上传送。主动攻击：更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的PDU进行各种处理。 被动攻击：截获信息的攻击，攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。网络漏洞分类1、基于头部的漏洞2、基于协议的漏洞3、基于验证的漏洞4、基于流量的漏洞网络安全防御模型（PDRPPDR）PPDR模型由四个主要部分组成：安全策略（Policy）、保护（Protection）、检测（Detection）和响应（Response）0 PPDR模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的 同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统 调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。漏洞扫描有哪些、原理如何（存活、端口、服务、账号密码）1、存活性扫描：是指大规模去评估一个较大网络的存活状态。但是被扫描主机可能会有一些欺骗性措施，