网络安全管理概念

1、网络安全管理概念单选使用漏洞（指使用硬件和软件方法上的缺陷）也是最主要的一种漏洞。2.用漏洞的一个典型例子是缺省口令。3.网络探测的目的是发现网络的漏洞或脆弱点。4.嗅探器 sniffer5.特洛依木马的关键是采用有效的潜伏机制来执行非授权的功能。特洛依木马与病毒不同，无感染和复制机制。7 与网络信息的保密性、完整性和可用性对应的三类攻击方法称为窃密、扰乱和破坏。现代密码学这一阶段是从 Shannon( 香农 )1949年发表的划时代论文 保密系 统的信息理论 开始的。9. 当一个实体要面向多个实体实现保密通信（或者相反），并且彼此互相不认识 时，是不可能安全交换密钥的，而公钥体制的出现解决了

2、这一困难。、10. 了解：根据密钥的特点，密码体制可分为私钥（又称单钥、对称）密码体制和公钥（又称双钥、非对称）密码体制。私钥体制的特点是，加密密钥和解密密钥相同（二者的值相等）。公钥体制的特点是，加密密钥和机密密钥不相同。公约体制大大简化了复杂的密钥分配管理问题，但公钥算法要比私钥算 法慢得多 （约 1000倍） 公开密钥密码的基本思想是将传统密码的密钥一分。 为二，分为加密密钥和解密密钥。现有的公钥密码体制都采用分组密码。私钥体制采用流密码或分组密码方式，公钥体制采用分组密码方式。13. 目前使用的流密码算法主要有：A5 算法、 WAKE 算法等。DES 属于分组密码。RSA 算法、 PG

3、P 属于公钥体制的分组密码。对截收的密保依次用各种可解的密钥试译，直到得到有意义的明文，叫做完全试凑法。惟密文攻击是最普遍的攻击。惟密文攻击是最容易防护的攻击。认证技术是防止敌人对信息系统进行主动攻击的一种重要技术。消息认证的目的是防止消息重放或延迟等攻击。RSA 签名体制是数字签名的一种技术。不可否认签名与普通数字签名最本质的不同在于：对于不可否认签名，需要签名者合作。PGP 软件是一个基于公钥加密体系的邮件加密软件。公钥体质的提出就是为了解决传统加密体制的密钥分配难保密的缺点。公约的安全性问题是 PGP 安全问题的核心。26. PKI Publik Key Infrastructure,

4、公钥基础设施） （ 就是利用公约密码理论和技术建 立的提供安全服务的基础设施。加密密钥确保了文件的机密性和完整性。签名密钥能达到数据真实性和不可抵赖性的要求。CA 管理的核心问题是密钥的管理。目前在网上传输信息时，普遍使用 X.509 格式的数字证书。证书撤销的实现方法： CRL、OCSPPKCS 指定的标准是什么？公开密钥标准TSP 的中文：时间戳协议美国联邦 PKI （FPKI） 加拿大政府 PKI （GOC PKI）PMI 授权技术的核心思想是以资源管理为核心， 将对资源的访问控制权统一 交由授权机构进行管理，即由资源的所有者来进行访问控制管理。36.防火墙分类，按照工作原理可分为：包过

5、滤型防火墙、应用代理型防火墙、电路级网关防火墙。37.包过滤型防火墙一般工作在网络层（IP 层） 包过滤型防火墙通常安装在路由器上。安全策略即包过滤算法的设计是其核心。应用网关（代理服务器）防火墙工作在应用层。电路级网关防火墙工作在会话层。什么叫做双宿主主机？它采用主机取代路由器执行安全控制功能。40.在屏蔽主机结构中提供安全保护的主机称为堡垒主机。屏蔽主机结构中， 最 容易受到攻击的是堡垒主机。41.屏蔽子网结构，就是在内部网络和外部网络之间在增加一个子网，称之为非军事区 DMZ 。42.外部路由器的作用是保护 DMZ 上的主机。 内部路由器的作用是保护内部网不受 DMZ 和外部网络的侵入。

6、代理技术是目前应用最为广泛的防火墙技术。下列哪项描述正确？内部网只接受代理提出的服务请求。SOCKS 技术只转发基于 TCP 的数据包SOCKS 服务器的端口号为 1080.SOCKS 的优点是可以做很详细的日志，缺点是没有很强的用户认证机制。SSL 安全协议不能保证信息的不可抵赖性。49. SSL 协议建立在可靠的TCP 传输控制协议之上。SSL 协议广泛用于处理财务上敏感的信息。HTTPS 在 TCP 端口的端口号是多少？ 443SSL 的问题：保证买卖双方传输数据的安全。SET 的中文：安全电子交易。 他的认证过程使用了 RSA 和 DES 算法。 SET 规 范是目前电子商务中最重要的

7、协议。IPSec 工作在第三层，提供了网络级的安全。设计认证头 AH 协议的目的是用来增加 IP 数据的安全性。AH 有两种操作模式：传输模式和隧道模式。 IPSec 也有两种操作模式：传输 模式和隧道模式。ESP 为 IP 数据包提供完整性检查、认证和加密。隧道是指在 VPN 中不同位之间的虚拟连接。哪个对应哪一层？ VPN 的安全性主要是通过 SOCKSv5（会话层） 、IPSec（网络 层） 、PPTP（链路层）和 L2TP （链路层）四种安全协议实现的。SOCKSv5 是一个需要认证的防火墙协议。下列有关 PPTP 和 L2TP 描述正确的是？ 对微软的用户很方便，因为微软已经把它作为

8、路由软件的一部分 支持流量控制 PPTP/L2TP 限制同时只能连接 225 个用户 （缺点）认证和加密受到限制VPN 管理中心是整个 VPN 的核心部分。VPN 的分类：内部网 VPN、远程访问 VPN、外联网 VPN63. VPN的优点 与传统的电信专线网络相比，VPN 虚拟专用网具备以下优势：廉价的网络接入、严格的用户认证、高强度的数据保密（全部采用一次一密体制）64. 关于 IPSec VPN 下列表述哪个正确？注意正确的，可是他会改成不正确：支持所有IP 层协议、IPSec 客户端程序可与个人防火墙等其他安全功能一起销售、受网关代理设备（Proxy) 的影响、配置复杂65. 问：哪几

9、个安全机制不能实现抗抵赖？可实现抗抵赖的有：数字签名、数据完整性、公证不可实现抗抵赖的有：数据加密、访问控制、鉴别、通信业务填充、路由控制会话层不提供安全服务，而应用层全部都要提供。美国 TCSEC 中文：桔皮书哪个是目前最全面的评价标准？联合公共标准（CC）69. 1999 年，由公安部主持制定的中华人民共和国国家标准GB17895-1999 计算机信息系统安全保护等级划分准则颁布。70. 下列哪个是代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评价的技术职能机构？中国信息安全产品测评认证中心安全策略是网络信息安全的灵魂和核心。风险分析是有效保证信息安全的前提条件

10、。基于 Internet的开放电子商务面临的最大问题是安全问题。在支付性电子商务系统中，用户端软件成为电子钱包。数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。数字信封技术结合了对称密钥加密技术和公开密钥加密技术的优点。77.（哪个在外哪个在内） 数字信封技术在外层使用公开密钥加密技术，内层使 用对称密钥加密技术。78.Windows 2000操作系统中一些典型的安全漏洞有什么？输入法漏洞电子政务系统的全部信息安全服务最终都依赖于操作系统安全服务80.Exim 格式化字串漏洞、VIM statusline文本嵌入命令执行漏洞是属于Unix81.Sniffer 可

11、以截获口令等秘密的或专用的信息，甚至还可以用来攻击相邻的网系 统的。络。E-mail炸弹反复传给目标接收者同样的信息，用这些垃圾拥塞目标的个人邮箱。82.IP欺骗的解决办法是：慎重设置网络中的主机信任关系。83. 按入侵检测的手段来划分，入侵检测模型可以分为基于网络和基于系统两种84. 通过实时监视网络上的数据流的是网络模型。通过分析系统的审计数据是系85. 在安全系统中，一般至少应当考虑如下三类安全威胁：外部攻击、内部攻击模型。统模型和授权滥用。要通过审计信息来发现那些受权滥用者往往是很困难的。多选1. 网络探测步骤/ 过程： a.踩点b. 扫描c. 查点2.（必考）网络信息的基本安全特性：

12、保密性、完整性、可用性。3. （记住单词）PPDR 是这种模型四个要素的英文缩写，即Policy （策略）、 Protetion(保护)、Detection( 监察 ) 和 Response( 反应 )。消息认证按目的分类有三个： （1）消息完整性认证（消息内容认证）（ 2）身份认证（源和宿的认证）（ 3）消息的序号和操作时间的认证5. PKI 的组成有以下哪些？CA（ Certification Authority，认证中心） 、证书库（Certificate Database ）、密钥管 理（生成、备份、恢复和更新） 、系统（ Key Manage System ）、证书撤销管理系 统（C

13、ertificate Revocation List Manage System ） PKI 应用接口系统 和 （PKI Application System ）防火墙按照体系结构分类可分为双宿主主机、屏蔽主机和屏蔽子网。7.防火墙常用的几种关键技术：包过滤技术、代理技术、SOCKS 技术和地址转 换技术（ NAT）等。8.常被用于过滤规则的主要有：源地址、 目的地址、 IP IP TCP 或 UDP 的源端口、 TCP 或 UDP 的目的端口包过滤规则的过滤规则中，过滤方式（ Action ）包括允许（ Allow ）和阻止 （ Block ） 。10. NAT 主要有两个用途：隐藏内部网络

14、的IP 地址解决合法IP 地址有限的问题SSL 协议分为两层： SSL 握手协议和 SSL 记录协议。12. IPSec 通过以下 3 个协议来实现安全服务： 认证头 AH 协议 封装安全载荷 ESP 协议 密钥管理协议IKE 共定义了 5 种交换： “主模式 ”交换、 “野蛮模式 ”交换、 “快速模式 ”交 换、 “新组模式 ”交换、ISAKMP 信息交换。根据安全级别要求考虑以下 5 个层次的安全需求 （与 OSI 层次无关）：管理层、物理层、系统层、网络层、应用层15. 网络安全设计原则：体系的安全性、体系的可行性、系统的高效性、体系的可承担性名词解释 :拒绝服务（ DoS）攻击：是指攻

15、击者通过向目标系统建立大量的连接请求，阻塞通信信道、延缓网络传输，挤占目标机器的服务缓冲区，一致目标计算机疲于应付，直至瘫痪。入侵攻击：是指攻击者利用操作系统内在缺陷或者对方使用的程序语言本身所具有的安全隐患等，非法进入本地或者远程主机系统，获得一定的操作权限，进而窃取信息、删除文件、埋设后门、甚至瘫痪目标系统等行为。特洛依木马：特洛依木马（程序）是隐藏着恶意代码的程序。特洛依木马不感染其他文件。数字签名：在以计算机文件为基础的现代事务处理中，应用采用电子形式的签名，即数字签名。5.PKI ： 就是提供公钥加密和数字签名服务的系统，目的是为了管理密钥和证书，保证网上数字信息传输的机密性、真实性

16、、完整性和不可否认（抵赖）性。6.CA 机构：又称为证书认证中心，它是数字证书的签发机构，是PKI 的核心， 并且是 PKI 应用中权威的、可信任的、公正的第三方机构，承担公约体系中公约的合法性检验的责任。7.防火墙：是综合采用适当技术，通过对网络做拓扑结构和服务类型上的隔离，在被保护网络周边建立的、分割被保护网络与外部网络的系统。适合于专网中使用，特别是在专网与公共网络互联时使用。包过滤技术： 是最早使用的防火墙技术， 主要根据网络数据包的包头信息来确定是否允许该数据包通过，以增加安全性。9. SSL（Secure Sockets Layer) 安全套接层协议：是一种安全通信协议，用于Web

17、 浏览器和服务器之间， 主要是使用公开密钥体制和X.509 数字证书技术保护信息传输的机密性和完整性。10. 安全电子交易（ SET）：是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于因特网的安全电子付款协议，它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里，扩展到消费者的个人计算机中。11.VPN： 中文名为虚拟专用网，它是指利用安全协议等措施在不安全公共网络（以 Internet为例）上建立安全 “隧道 ”，以实现保密通信的机制。测评认证：是现代质量认证制度的重要内容，其实质是由一个中立的权威机构，通过科学、规范、公正的测试和评估， 向消费者、 购买者

18、（即需方） 证实生产者或供方所提供的产品和服务， 符合公开、客观和先进的标准。安全策略：安全策略是为了发布、管理和保护敏感信息资源而制定的一组法律、法规和措施的总和，是对信息资源使用、管理规则的正式描述，是网络内所有成员都必须遵守的规则。电子政务：所谓电子政务（ E-Government 或 eGovernmence) 是指政府运用现代计算机和网络技术， 将其承担的公共管理和服务职能转移到网络上进行， 同时 实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分割的制约， 向社会提供高效优质、规范透明和全方位的管理与服务。15. 入侵检测技术：是一种主动保护系统免受攻击的网络安全技术。作

19、为防火墙的合理补充， 入侵检测技术能够帮助系统对付网络攻击， 扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。16：实时入侵检测技术：实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断存开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。17. 信息分析系统一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析用于事后分析（单） 模式匹配中检测准确率和效率都相当高（单） 。简答主要的网络攻击方法： （1

20、） 拒绝服务攻击 （2）入侵攻击 （3）病毒攻击 （4）邮件攻击 （5） 诱饵攻击3.对密码系统安全性的基本要求是：（1）密码体制即便不是在理论上不可破的，也应该是在实际上不可破的。 （2）整个密码系统的安全性系于密钥上，即使密码算法被公布， 在密钥不泄露的情况下，密码系统的安全性也可以得到保证。（3）密钥空间必须足够大。（4）加解密算法必须是计算上可行的，并且能够被方便地实现和使用。（5）密码系统能够抵抗已出现的一些攻击方法。4.一种完善的数字签名应满足以下要求：收方能够确认或证实发方的签名发方发出签名的消息给收方后，就不能再否认他所签发的消息收方对已收到签名消息不能否认第三者可以确认收发双

21、方之间的消息传送，但不能伪造这一过程。5.PGP 软件的原理是： 首先产生一对钥匙， 一个是私钥， 一个是公钥 当要传送一封保密信或文件给对方时，首先必须先取得对方的公钥，并将它加入自己的公钥环中，接下来利用对方的公钥将信件加密后再传给对方 当对方收到加密后的信件后，对方必须利用其相对应的私钥来解密6.PKI 的作用： 身份认证 完整性验证私有性 访问控制授权交易不可抵赖性7.代理技术的优点是什么？安全性高配置简单日志完备隐匿内网扩充地址防火墙系统的主要优点： 统一制定网络安全管理策略 保护网络中脆弱的服务 集中安全性 隐匿内部网络 安全信息审计 安全发布信息防火墙的缺陷： 限制有用的网络服务

22、 难以防护内部网络用户的攻击 对于绕过防火墙的其他途径的攻击缺乏抵御能力 防火墙不能完全防止传送已感染病毒的软件或文件 不能预防新的网络安全问题SET 协议与 SSL 协议的对比： 用户接口： SSL 协议已被浏览器和 Web 服务器内置，而 SET 协议中客户端需安装专门的电子钱包软件。处理速度：SET 协议非常复杂、庞大，处理速度慢；而 SSL 协议则简单得多，处理速度比SET协议快。 认证要求：SSL 中只有商家服务器的认证是必需的，客户端认证则是可选的；SET 中所有参与SET交易的成员都必须申请数字证书。安全性：SET 协议采用了公钥加密、消息摘要和数字签名可以确保信息的安全性； S

23、SL 协议虽也采用了公钥加密、消息摘要和 MAC 检测，但缺乏一套完整的认证体系。它不具备电子商务的商务性、协调性和集成性功能。而SET协议层次和功能： SSL 属于传输层的，协议位于应用层，具备商务性、协调性和集成性功能请简述安全服务有哪几种？ 答： 安全服务指为实现系统安全功能所需提供的各种服务手段。安全服务主要有 以下 5 种：鉴别访问控制数据机密性数据完整性抗抵赖信息安全测评认证的重要性体现在？对我国按国际惯例建立和实施的有关信息产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制制度等方面的决策， 提供科学公正的技术依据 对各方用户采购信息安全产品， 设计、建设、使用和管理安

24、全的信息系统提供 权威公正的专业指导 对信息安全产品的研究、开发、生产企业和提供其他信息安全服务的企业，进 行严格规范与科学引导，提高其市场竞争能力和技术进步水平。14. 入侵检测与预警技术的研究，应该达到如下目标： 对信息基础设施的安全状况及威胁（包括威胁的来源和程度）做出全面的系统评估。把威胁的来源作为对象，按时间顺序、动作意图、威胁范围和程度， 进行统计、分析及审计。 对来自外部网络的恶意代码和违规操作进行识别、跟踪、记录、分类和报警。 为遭到破坏的网络及信息系统的恢复提供技术性支持。请简述攻击检测的方法？基于审计信息的攻击检测技术基于神经网络的攻击检测技术基于专家系统的攻击检测技术 基

25、于模型推理的攻击检测技术实时数据包分析实 时活动监视16. 简述入侵检测利用的信息来源？系统和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为 物理形式的入侵信息论述1.请你论述PKI的组成及功能是什么？（重点复习）答： PKI 是一种遵循标准的密钥管理平台，主要包括CA（ Certification Authority， 认证中心） 、证书库（Certificate Database ）、密钥管理（生成、备份、恢复和更 新）、系统（ Key Manage System ）、证书撤销管理系统（ Certificate Revocation List Manage System ）和 PKI 应用接口系统（PKI Application System ） 。 CA 认证中心的功能有：证书发放、证书更新、证书撤销和证书验证。 证书库的功能有：存储证书、提供证书、确认证书状态。 密钥管理系统的功能：密钥备份和恢复、密钥自动更新、密钥历史档案。 证书撤销管理系统的功能：将现行的证书撤销。 PKI 应用接口系统的功能：提供良好的跨平台的应用接口系统，使得各种各样的 应用能够以安全、一致、可信的方式与 PKI 交互。请论述什么是 SSL VPN，并写出其优缺点？答： SSL VPN 指的是以 HTTPS 为基础