信息安全简答复习

第一章信息安全的目标。最终目标：通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。其中，可靠性：指信息系统能够在规定的条件与时间内完成规定功能的特性；可控性：指信息系统对信息内容和传输具有控制能力的特性；拒绝否认性：指通信双方不能抵赖或否认已完成的操作和承诺；保密性：指信息系统防止信息非法泄露的特性，信息只限于授权用户使用；完整性：指信息未经授权不能改变的特性；有效性：指信息资源容许授权用户按需访问的特性制定信息安全策略应遵守的基本原则。均衡性原则：在安全需求、易用性、效能和安全成本之间保持相对平衡；时效性原则：影响信息安全的因素随时间变化，信息安全问题具有显著的时效性；最小化原则：系统提供的服务越多，安全漏洞和威胁也就越多；关闭安全策略中没有规定的网络服务；以最小限度原则配置满足安全策略定义的用户权限；网络安全管理人员应重点掌握哪些网络安全技术。网络安全管理策略、身份认证、访问控制、入侵检测、网络安全审计、网络安全应急响应和计算机病毒防治等技术。简述保密性和完整性含义，分别使用什么手段保障。保密性：指信息系统防止信息非法泄露的特性，信息只限于授权用户使用；保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现；保障保密性的技术：信息加密、身份认证、访问控制、安全通信协议等技术。信息加密是防止信息非法泄露的最基本手段。完整性：指信息未经授权不能改变的特性；强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失；信息在存储和传输过程中必须保持原样；只有完整的信息才是可信任的信息。保障完整性的技术：安全通信协议、密码校验和数字签名等。数据备份是防范数据完整性受到破坏时的最有效恢复手段。网络安全评估人员应重点掌握哪些网络安全技术。网络安全评价标准、安全等级划分、安全产品评测方法与工具、网络信息采集以及网络攻击等技术。制定网络安全策略主要考虑哪些内容。网络硬件、网络连接、操作系统、网络服务、数据、安全管理责任和网络用户。PPDR网络安全模型的组成及各构件的作用。安全策略：是PPDR模型的核心；是围绕安全目标、依据网络具体应用、针对网络安全等级在网络安全管理过程中必须遵守的原则。安全保护：是网络安全的第一道防线，包括安全细则、安全配置和各种安全防御措施，能够阻止决大多数网络入侵和危害行为。入侵检测：是网络安全的第二道防线，目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁网络安全的异常行为。应急响应：能够在网络系统受到危害之前，采用用户定义或自动响应方式及时阻断进一步的破坏活动。最大程度地减小破坏造成的损失。第二章密码编码学和密码分析学的概念。密码编码学：通过研究对信息的加密和解密变换，以保护信息在信道的传输过程中不被通信双方以外的第三者窃用；而收信端则可凭借与发信端事先约定的密钥轻易地对信息进行解密还原。密码分析学：主要研究如何在不知密钥的前提下，通过唯密文分析来破译密码并获得信息。信息量和熵的概念。信息量是表示事物的可确定度、有序度、可辨度（清晰度）、结构化（组织化）程度、复杂度、特异性或发展变化程度的量。熵是表示事物的不确定度、无序度、模糊度、混乱程序的量。简述什么是问题。问题是指一个要求给出解释的一般性提问，通常含有若干个未定参数或自由变量。RSA算法的局限性。有限的安全性、运算速度慢。算法复杂性和问题复杂性的区别。算法的复杂性是算法效率的度量，是评价算法优劣的重要依据。问题的复杂性是指这个问题本身的复杂程度，是问题固有的性质。密码系统必须具备的三个安全规则。机密性：加密系统在信息的传送中提供一个或一系列密钥来把信息通过密码运算译成密文，使信息不会被非预期的人员所读取，只有发送者和接收者应该知晓此信息的内容。完整性：数据在传送过程中不应被破坏，收到的信宿数据与信源数据是一致的。认证性：加密系统应该提供数字签名技术来使接收信息用户验证是谁发送的信息，确定信息是否被第三者篡改。只要密钥还未泄露或与别人共享，发送者就不能否认他发送的数据。非否定（包含在认证性中）：加密系统除了应该验证是谁发送的信息外，还要进一步验证收到的信息是否来自可信的源端，实际上是通过必要的认证确认信息发送者是否可信。非对称加密。加密和解密使用不同密钥就称为非对称、公开密钥、双密钥加密体制；两个密钥必需配对使用，分别称为公钥和私钥，组合在一起称为密钥对；公钥可以对外公布，私钥只有持有人知道；优点是密钥管理和分发安全，支持信息加密与数字签名；缺点是加密速度慢，不适合对大量信息加密。对称加密。加密和解密使用同一密钥就称为对称式加密。加密和解密使用的密钥称为对称密钥或秘密密钥；优点是加密和解密速度快，可对大量信息加密；缺点是密钥管理和分发不安全，至少有两人持有密钥，所以任何一方都不能完全确定对方手中的密钥是否已经透露给第三者。数字签名。数字签名是对原信息附上加密信息的过程，是一种身份认证技术，支持加密系统认证性和非否定；签名者对发布的原信息的内容负责，不可否认。链路加密的缺点。在传输的中间节点，报文是以明文的方式出现，容易受到非法访问的威胁。每条链路都需要加密/解密设备和密钥，加密成本较高。什么是算法？算法通过哪几个变量度量？算法是指完成一个问题的求解过程所采用的方法和计算步骤。时间复杂度和空间复杂度信息加密的基本概念，信息加密系统的组成。信息加密：通过使用一种编码（加密算法）而使某些可读的信息（明文）变为不可读的信息（密文）。信息加密系统的组成：明文、密文、加密解密设备或算法和加密解密的密钥。网络信息加密中常用的方式是什么？简述工作原理。链路加密和端点加密。链路加密：在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。相邻结点之间具有相同的密钥，因而密钥管理易于实现。链路加密对用户来说是透明的，因为加密的功能是由通信子网提供的。端到端加密：是在源结点和目的结点中对传送的PDU进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。在端到端加密的情况下，PDU的控制信息部分（如源结点地址、目的结点地址、路由信息等）不能被加密，否则中间结点就不能正确选择路由。14.描述DES加密标准和算法。第三章生物特征作为身份认证因素应满足的条件。身份认证可利用的生物特征需要满足：普遍性、唯一性、可测量性和稳定性，当然，在应用过程中，还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。访问控制的三个要素。访问控制包括3个要素：主体(subject)：发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。客体(object)：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。访问控制策略(Attribution)：一套规则，用以确定一个主体是否对客体拥有访问权力或控制关系的描述。身份认证的目的。确认用户身份(通过某种形式来判明和确认对方或双方的真实身份，确认身份后要根据身份设置对系统资源的访问权限，以实现不同身份用户合法访问信息资源。)访问控制的目的。访问控制通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证信息资源受控地、合法地使用。动态口令的优缺点。动态口令认证的优点：无须定期修改口令，方便管理；一次一口令，有效防止黑客一次性口令窃取就获得永久访问权；由于口令使用后即被废弃，可以有效防止身份认证中的重放攻击。动态口令认证的缺点：客户端和服务器的时间或次数若不能保持良好同步，可能发生合法用户无法登录；口令是一长串较长的数字组合，一旦输错就得重新操作。基于生物特征的身份认证的优点。相比其他认证方法有下列优点：非易失：生物特征基本不存在丢失、遗忘或被盗的问题。难伪造：用于身份认证的生物特征很难被伪造。方便性：生物特征随身“携带”，随时随地可用。身份认证面临的安全威胁。欺骗标识、篡改数据、拒绝承认、信息泄露、重放攻击Kerberos的优点。减少了服务器对身份信息管理和存储的开销和黑客入侵后的安全风险支持双向认证，实现服务器对用户的身份认证，同样也可以实现用户方对服务器身份的反响的认证。认证过程整个过程可以说是一个典型的挑战/响应方式，还应用了数字时间戳和临时的会话密钥SessionKey(每次会话更新一次密钥)，这些技术在防止重放攻击方面起到有效的作用。如果Kerberos系统中只要求使用对称加密方式，二没有对具体算法和标准作限定，这种灵活性便于Kerberos协议的推广和应用。自主访问控制(DAC)的基本思想。基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。基于角色的访问控制(RBAC)的基本思想。基本思想是：与DAC和MAC思路不同，DAC和MAC访问控制直接将访问主体和客体相联系，而RBAC在中间加入了角色。授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。通过角色沟通主体与客体，真正决定访问权限的是用户对应的角色。第四章防火墙的作用，应将防火墙放在什么位置？是网络安全的第一道防线，将涉及不同的信任级别(例如内部网、Internet或者网络划分)的两个网络通信时执行访问控制策略。它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。防火墙放置在网络的边界。什么是ACL？ACL一般防在什么位置？描述其工作过程。ACL是指访问控制表，分组过滤防火墙的工作原理。分组过滤路由器又称屏蔽路由器(screeningrouter)或筛选路由器，是最简单、最常见的防火墙。通过在Internet和内部网之间放置一个路由器。在路由器上安装分组过滤软件，实现分组过滤功能。分组过滤路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。为什么设立DMZ？什么设备要放置在DMZ中？为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区(demilitarizedzone，DMZ)，也被称为停火区或周边网络。DMZ位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。堡垒主机的类型，配置时注意的问题。类型：单宿主堡垒主机、双宿主堡垒主机、内部堡垒主机、外部堡垒主机和受害堡垒主机。配置时注意的问题：⑴禁用不需要的服务(2)限制端口(3)禁用账户(4)及时安装所需要的补丁(5)大部分能都用于操纵该台主机的工具和配置程序都要从该主机中删除(6)开启主机的日志记录，以便捕获任何危害它的企图(7)进行备份(8)堡垒主机和内部网都要使用不同的认证系统，以防止攻击者攻破堡垒主机后获得访问防火墙和内部网的权限。分组过滤路由器的优缺点。优点：架构简单且硬件成本较低；缺点：(1)分组过滤路由器仅依靠分组过滤规则过滤数据包，一旦有任何错误的配置，将会导致不期望的流量通过或者拒绝一些可接受的流量。(2)只有一个单独的设备保护网络，如果一个黑客损害到这个路由器，他将能访问到内部网中的任何资源。(3)分组过滤路由器不能隐藏内部网的配置，任何能访问屏蔽路由器的人都能轻松地看到内部网的布局和结构。(4)分组过滤路由器没有较好的监视和日志功能，没有报警功能，缺乏用户级身份认证，如果一个安全侵犯事件发生，对于这种潜在的威胁它不能通知网络管理员。双宿主主机体系结构致命的弱点。双宿主主机体系结构的一个致命弱点是，一旦入侵者侵入堡垒主机并使其只具有路由功能，导致内部网络处于不安全的状态；被屏蔽子网体系结构通过建立一个什么样的网络将内网和外网分开？在内部网络和外部网络之间建立一个被隔离的子网。组合体系结构有哪些形式。多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台外部路由器使用多个周边网络防火墙的局限性，防火墙的安全策略要考虑的内容。局限性：(1)不能防范不经过防火墙的攻击(2)不能防范内部用户带来的威胁，也不能解决进入防火墙的数据带来的所有安全问题。(3)只能按照对其配置的规则进行有效的工作。(4)不能防止感染了病毒的软件或文件的传输。不能修复脆弱的管理措施或者设计有问题的安全策略。可以阻断攻击，但不可以消灭攻击源。(7)不能抵抗最新的未设置策略的攻击漏洞。(8)在某些流量大、并发请求多的的情况下，容易导致拥塞，成为整个网络的瓶颈。(9)对服务器合法开放的端口的攻击大多无法阻止。(10)本身也会出现问题或者受到攻击。考虑防火墙自身的安全性、考虑企业的特殊要求。第五章攻击技术的主要工作流程。主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户权限，取得超级用户权限，留下后门，清除日志等网络信息采集的主要任务。获取网络拓扑结构、发现网络漏洞、探查主机基本情况、和端口开放程度，为实施攻击提供必要的信息。漏洞扫描的类型。针对扫描对象的不同，漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。什么叫堆栈指纹扫描技术？常见的堆栈指纹扫描技术有哪些？利用TCP/IP协议识别不同操作系统和服务种类的技术称为堆栈指纹扫描技术。常见的堆栈指纹扫描技术：（1）ICMP错误消息抑制机制（2）ICMP错误消息引用机制（3）ICMP错误消息回文完整性（4）FIN探查（5）TCPISN采样（6）TCP初始窗口（7）TCP选项（8）MSS选项（9）IP协议包头不可分片位（10）服务类型TOS请给出下列服务程序常用的端口号。FTPHTTPtelnetfingersnmppop3echochargen21 80 23 79 161 110 719常见的端口扫描技术。1、TCP端口扫描2、TCPSYN扫描3、TCPFIN扫描4、NULL扫描5、Xmastree扫描6、UDP扫描如何实现网络窃听。通过将网卡设置成混杂模式，就可以探听并记录下同一网段上所有的数据包。攻击者可以从数据包中提取信息，如登录名、口令等。如何使用nmap对目标主机进行TCPSYN秘密端口扫描，给出详细结果。Nmap-sSIP地址拒绝服务攻击的基本形式。目标资源匮乏型和网络带宽消耗型。拒绝服务攻击的特点。1、消耗系统或网络资源，使系统过载或崩溃。2、难以辨别真假。3、使用不应存在的非法数据包来达到拒绝服务攻击的目的。4、有大量的数据包来自相同的源。分布式拒绝服务攻击的体系结构。4部分：攻击者、主控端、代理端、受害者可能的配置漏洞。默认配置漏洞、共享文件配置漏洞、匿名 FTP、wu-ftpd简述SYNFLOOD攻击的基本原理。SYNFlood攻击利用的是TCP协议的设计漏洞。假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的。在这种情况下服务器端会重试，再次发送SYN+ACK给客户端，并等待一段时间，判定无法建立连接后，丢弃这个未完成的连接。如果攻击者大量模拟这种情况，服务器端为了维护非常大的半连接列表就会消耗非常多的资源。此时从正常客户的角度来看，服务器已经丧失了对正常访问的响应，这便是SYNFlood攻击的机理。循环攻击利用了哪些端口，循环攻击的原理。7和19.循环攻击利用的是UDP协议漏洞。UDP端口7为回应端口（echo），当该端口接收到一个数据包时，会检查有效负载，再将有效负载数原封不动的回应给源地址。UDP端口19为字符生成端口（chargen，charactergenerator字符生成），此端口接收到数据包时，以随机字符串作为应答。如果这些端口是打开的，假设运行了回应服务的主机为E（echo主机），运行了字符生成服务的主机为C（chargen主机），攻击者伪装成E主机UDP端口7向C主机UDP端口19发送数据包，于是主机C向E发送一个随机字符串，然后，E将回应C，C再次生成随机字符串发送给E。这个过程以很快的速度持续下去，会耗费相关主机的CPU时间，还会消耗大量的网络带宽，造成资源匮乏。缓冲区溢出攻击。缓冲区溢出攻击是利用系统、服务、应用程序中存在的漏洞，通过恶意填写内存区域，使内存区域溢出，导致应用程序、服务甚至系统崩溃，无法提供应有的服务来实现攻击目的。木马特点。典型的特洛伊木马通常具有以下四个特点：有效性、隐蔽性、顽固性、易植入性。一个木马的危害大小和清除难易程度可以从这四个方面来加以评估。木马相关的主要技术。木马相关技术主要包括：植入技术、自动加载运行技术、隐藏技术、连接技术和远程监控技术等。蠕虫的特点。蠕虫具有如下一些行为特征：自我繁殖。2.利用漏洞主动进行攻击。3.传染方式复杂，传播速度快。4.破坏性强。5.留下安全隐患。难以全面清除。防范蠕虫的措施。安装杀毒软件。2.及时升级病毒库。3.提高防杀毒意识，不要轻易点击陌生的站点。4.不随意查看陌生邮件，尤其是带有附件的邮件。5.提高安全防范意识，不要随意点击聊天软件发送的网络链接常用的信息采集命令。1.Ping命令2.host命令3.Traceroute命令4.Nbtstat命令5.Net命令6.Finger命令7.Whois命令8.Nslookup命令如何使用net命令将网络共享点'\hostA\dirb映射为映像驱动器k：?使用Netuse命令第六章入侵检测系统的组成和各构件的作用。数据采集：负责采集反映受保护系统运行状态的原始数据，为入侵分析提供安全审计数据。入侵检测分析引擎：也称入侵检测模型，是核心，负责对采集模块提交的数据进行分析。响应处理模块：根据预先设定的策略记录入侵过程、采集入侵证据、追踪入侵源、执行入侵报警、恢复受损系统或以自动或用户设置的方式阻断攻击过程。说明网络入侵检测系统在共享网络环境和交换网络环境的部署方法。共享网络环境：采用集线器作为共享网络的连接设备，拓扑结构为星型结构。交换网络环境：采用交换机作为网络连接设备，通过端口交换阵列连接到背板上多个网段，不同网段之间通过网桥实现连接。入侵检测系统的性能指标。⑴系统资源占用率（2）系统扩展性（3）最检测率和误报率（4）大数据处理能力入侵检测系统的核心问题。核心问题是获取描述行为特征的数据；什么是入侵检测系统？简述入侵检测系统主要模块的作用及其相互关系。入侵检测系统是一种积极主动的网络安全防御技术，通过监视系统的运行状态发现外部攻击、内部攻击和各种越权操作等威胁，并在网络受到危害之前拦截和阻断危害行为。IDS至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。第七章计算机病毒的特性。传染性、潜伏性、可触发性、破坏性、针对性、隐蔽性、衍生性常见的计算机病毒分类的方法有哪几种？每一种分类又可以分成几类？（1） 按照计算机病毒的危害程度分类：良性病毒、恶性病毒（2） 按照传染方式分类：引导型病毒、文件型病毒、混合型病毒（3） 按照计算机病毒的寄生方式分类：源码型病毒、嵌入型病毒、外壳型病毒（4） 其他一些分类方式：按照攻击的操作系统可分为:攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。按照计算机病毒激活的时间可分为：定时发作的病毒和不由时钟来激活的随机病毒。按照传播媒介可分为：以磁盘为载体的单机病毒和以网络为载体的网络病毒。按攻击的机型还可将病毒分为：攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。当前病毒的主要传播途径。（1）通过不可移动的计算机硬件设备进行传播。设备中有计算机的专用ASIC（ApplicationSpecificIntegratedCircuit，特定用途集成电路)芯片和硬盘等。这种病毒极少，破坏力极强。(2)通过移动存储设备传染。如软盘、U盘、可擦写光盘、MP3、存储卡、记忆棒等。(3)通过计算机网络传播，是传播的主流途径，也是危害最大的传播途径。(4)通过点对点通信系统和无线通道传播。简述病毒的结构。病毒一般包含3个模块：引导模块将病毒程序引入内存并使其后面的两个模块处于激活状态；感染模块在感染条件满足时把病毒感染到所攻击的对象上；表现模块(破坏模块)在病毒发作条件满足时，实施对系统的干扰和破坏活动。宿主程序。被嵌入的程序叫做宿主程序。哪些注册表键值容易受病毒感染？宏病毒发作时会有哪些症状？(1)通用模板中出现的宏(2)无故出现存盘操作⑶Word功能混乱，无法使用⑷Word菜单命令消失(5)Word文档的内容发生变化修改注册表内容，使得系统每次启动时自动执行helloworld.exeo引导型病毒感染硬盘的哪个扇区？怀疑邮件有病毒时应如何处理？发现机器感染病毒应如何处理？计算机病毒的检测方法。常用的计算机病毒检测方法有比较法、校验和法、特征扫描法、行为监测法、感染实验法和分析法等。防治病毒可采取的技术措施。系统加固2.系统监控3.软件过滤4.文件加密5.备份恢复第八章1.IPSec的3个主要协议及它们各自的作用。IP认证包头(IPauthenticationheader，AH)，为IP包提供信息源的验证和完整性保证；IP封装安全负载(IPencapsulatingsecuritypayload,ESP)，提供加密保证；Internet密钥交换(Internetkeyexchange，IKE)，提供双方交流时的共享安全信息。传输模式和隧道模式的区别。传输模式：保护的是IP分组的有效负载或者说保护的是上层协议(如TCP和UDP)；路由数据包的原IP分组的地址部分不变，而将IPSec协议头插入到原IP头部和传输层头部之间，只对IP分组的有效负载进行加密或认证。隧道模式:为整个IP分组提供保护;在隧道模式中，IPSec先利用AH或ESP对IP分组进行认证或者加密，然后在IP分组外面再包上一个新IP头;这个新IP头包含了两个IPSec对等体的IP地址，而不是初始源主机和目的主机的地址，该新IP头的目的指向隧道的终点，一般是通往内部网络的网关。当数据包到达目的后，网关会先移除新IP头，再根据源IP头地址将数据包送到源IP分组的目的主机。3.SA的功能，它的三元组的内容。S