计算机安全技术总复习

计算机安全技术

总复习

•,题型结构

・1.填空：20分,20空,5-9题

・2.选择：20分，10题

・3.判断：20分，10题

-4.简答：20分,4题

・5.论述：10分，1题

•6.计算：10分,1题

•共100分,31-35题

1.0概论

2o操•作系统安全技术

3o网络系统安全

4o数据库安全

5o防火墙

6o入侵检测系统IDS

7o安全协议

8O密码学基础

9o反病毒技术

r1。1。技术范围

A•-••填本第择、判断、简答，任选一样，答出5个即可。

,病毒

・电磁对抗：抗电磁干扰和电磁泄漏

•软件加密技术

•操作系统安全技术

•数据库安全防护

•系统容错

,访问控制(AccessControl)

•可信计算

•防火墙

•入侵监测

•密码学：加解密技术、数字签名、数字指纹、公钥基础设施PKI

,身份认证和接入控制(AccessControl)

•信息隐藏与数字水印技术

•隐秘通信技术

•网络服务的安全问题、安全协议、安全网管

•电子商务安全：电子货币、电子支付与网络银行

•反垃圾邮件与安全邮件系统

•黑客攻击与防护

•移动通信安全：无线网络安全

•数据存储与灾难恢复

Iolo技术范围

•・信息与网络安全体系结构

•安全协议理论

•密码学理论

•信息分析与监控

•安全芯片理论和技术

•公钥基础设施PKI：CA、RA、KMI

•密码算法标准和芯片集成

•计算机病毒防范

•网络入侵检测、预警和安全管理

•应急响应和故障恢复技术

・宽带虚拟专用网技术VPN

•无线网络安全技术

•信息安全新技术研究：量子密码、理论密码、分布式密码算法和并行化

技术、基础系统平台安全增强技术、信息伪装技术、数字版权保护、坚

固网关技术

•网络信息截获相关技术：机密性、完整性、认证性、可用性、可控性、

不可否认性

•专用网和公众网的信息共享和信息隔离技术

Iolo技术范围

•简答、选择

•正向：和防御、保护相关的技术，比如

加解密、信息隐藏、防火墙和入侵检测、

黑客防御、反病毒、反垃圾邮件技术，

•逆向：和攻击、检测相关的技术，比如

密码分析、隐藏检测、黑客攻击、病毒

设计，等等。

Io2o安全管理的技术层次

・填空、简答

•lo设备层安全管理

•2o网络层安全管理

•3o应用层安全管理

Io3o安全服务（重点）

•保护计算环境主要方法、安全服务

•埴空、简答：论述，2题

•身分认证和访问控制：

-过程：识别和认证、授权、决策、执行

•数据完整性：包括数据单元完整性和数据流完整性

•数据保密性：包括三方面

-数据保护：加密传输

-数据隔离：阻止对手直接接触数据

-通信流保护：数据填充

•数据可用性

-避免受攻击、未授权使用、防止子程序失败、物理可用性

•不可否认性

-源点不可否认、发送不可否认

・审计

Io4oISO/OSI对安全性的

般描述*

lo安全服务:

-身份鉴别/身份认证

-访问控制

-数据保密

-数据完整性

-数据源鉴别（不可否认性）

・2o安全机制：

-加密

-数字签名

-访问控制

-数据完整性

-身份鉴别交换机制

-业务流填充

—路由控制

-公证机制

--2O-1O操作系统的共同脆弱性

•论述

•lo体系结构带来的不安全性=〉安全性与适用性的矛

盾

•2o支持网络文件传输，支持网络加载。

•3o支持网络远程进程创建和激活，子进程可以继承

父进程特权二〉在远端服务器上安装间谍软件

•4oDeamon能否具有内核特权。

-5。RPC服务本身存在被非法利用的漏洞

•60Debug和Wizard是系统软件开发关键技术，可能被

非法利用。

•7o无口令入口（后门）和隐蔽信道

-2o2oWindowsNT安全模型

•简答、判断

•强制登录:ctrl+alt+del,保证出现合法登录界面

•存取标识

•ACL归文件/目录，用户凭借存取标识访问

3olo网络分类及其特点

一•填空、选择、判断、简答、论述，2题

•交换方式分：

-电路交换网：拨号

-报文交换网：数字式

-分组交换网：主流

•拓扑结构分：星型、树型、环型、总线型

•网络控制方式分：

-集中式：星型、树型

-分布式

•频带情况分：

-基带网：数字信号、简单、容量小

-宽带网：模拟信号、多路复用、容量大

•范围分：注意对于下述各网从范围、介质、信道、机器类型、传输速率进行对比

-专用计算机网络：SNA

-公用数据网（广域网WAN）

-局域网LAN

-综合业务数字网ISDN：数字化传输、业务综合化、网络智能化

-无线计算机网络：广域、局域

3o2oOSI模型和TCP/IP协议

'..栈结构（重点）

•填空、简答、判断

•OSI模型

-应用层

-表示层

-会话层

-传输层：TCP、UDP

-网络层：IP、X.25

-数据链路层

-物理层

•局域网：LLC、MAC代替第2-3层

•TCP/IP协议栈：上三层合一，传输层直接面对应用层

3o3。常见网络攻击手段*

•填空:选择:判断

•陷、1、截取口令、寻找系统漏洞、强力闯入、窃取特权、节点

跳板、磁盘清理、木马

-信息收集

-口令攻击

-攻击路由器：源IP地址欺骗、源路由攻击、极小数据段攻击（绕过过滤

规则）

-攻击TCP/IP：IP欺骗、源路由选择欺骗、RIP攻击、身份鉴别攻击、TCP

序列号攻击、TCPSYN攻击

-利用系统实现漏洞进行攻击

-电子邮件攻击：窃听/修改、伪造、病毒邮件、邮箱炸弹

-DOS攻击flooding

•攻击对象：处理器、磁盘空间、CPU、打印机、网络设备

•服务过载

•消息流攻击

•信号接地（物理问题）

•粘住

3O4O网络服务安全问题

•填空、选择

「FTP文件传输：匿名登录

•Telnet：明文传输泄漏用户名口令

•Www安全问题：浏览器漏洞、脚本语言等等

•邮件服务：垃圾邮件、邮件炸弹

•冒牌DNS服务器

•SNMP安全问题

•远程过程调用RPC+网络文件服务NFS

4olo数据库访问控制策略

•填空、判断，2题

・最小特权原则

•保密前提下的最大共享

•开放系统在默认情况下对访问控制一律

采取“允许”，封闭系统一律“禁止”

4o2o数据库安全性要求

­填空、简答

•数据库完整性

•单个元素的完整性（包括合法性）

•可审计性

•访问控制

•用户身份认证

•防间接攻击

•防推理攻击

•其它：可获性、访问判决

5olo防火墙概念

■简答，任意一种定义均可

•在一个受保护的企业内部网络与互联网间，用

来强制执行企业安全策略的一个或一组系统。

•主要用于保护内部安全网络免受外部网不安全网络的侵害。

•一种访问控制技术，在某个机构的网络和不安全的

网络之间设置障碍，阻止对信息资源的非法访问。

•放置在两个网络之间的一组组件，这组组件共同具有下列性

质：

L只允许本地安全策略授权的通信信息通过

2.双向通信信息必须通过防火墙

3.防火墙本身不会影响信息的流通

5o2O防火墙基本功能模块

5。3。防火墙种类

填空、选择、判断

包过滤防火墙

应用层代理防火墙

电路层代理防火墙

状态检查防火墙

5o4o包过滤防火墙的网络位

置和检查项目

•填空、判断、选择

•网络位置：网络层和链路层之间

・检查项目：

-IP源地址

-IP目标地址

-负载协议类型（TCP、UDP、ICMP、或IPTunnel）

-TCP/UDP源、目标端口

-ICMP消息类型

-TCP包头中的ACK位

-TCP包的序列号、IP校验和等

5o5o静态包过滤和动态包过

一’、滤的不同点

・判断

•静态包过滤：根据流经该设备的数据包

地址信息，决定是否允许该数据包通过

•动态包过滤：在一般包过滤基础上，根

据状态检查技术，考虑包与包之间的关

联，可动态生成/删除规则、分析高层协

议。

5o60包过滤防火墙优缺点

论述、简答

优点：

•速度快，性能高

•对用户透明

缺点：

・维护比较困难（需要对TCP/1P了解）

•安全性低（IP欺骗等）

•不提供有用的日志，或根本就不提供

•不防范数据驱动型攻击

•不能根据状态信息进行控制

•不能处理网络层以上的信息

•无法对网络上流动的信息提供全面的控制

八一5。7o代理服务器优缺点一

・优M

-能够让网络管理员对服务进行全面的控制，包括

控制提供那些服务。

-易于配置和测试

-防火墙可以被配置成唯一的可被外部看见的主机,

以保护内部主机免受外部主机的进攻。

-支持可靠的用户认证并提供详细的注册信息。

-过滤规则相对于包过滤防火墙来说更易配置和测

试。

-提供详细的日志和安全审计功能。

•缺点：

-蔗*用户在系统上安装特殊的软件。

-每个应用程序都必须有一个代理服务程序来进行安全控制，

每一种应用升级时，代理服务程序也要升级。

5。8o防火墙体系结构种类

・填空、简答

・1、双重宿主主机体系结构

・2、屏蔽主机体系结构

•3、屏蔽子网体系结构

・4、其它防火墙结构

5o9o双重宿主主机体系结构

.■特点

•论述

•双重宿主主机的特性：

-安全至关重要（唯一通道），其用户口令控制安全

是关键。

-必须支持很多用户的访问（中转站），其性能非常

重要。

•缺点：双重宿主主机是隔开内外网络的唯一屏

障，一旦它被入侵，内部网络便向入侵者敞开

大门。

5o10o屏蔽主机体系结构特点

•屏蔽主机体系结构由防火墙和内部网络的堡垒

主机承担安全责任。这种防火墙较简单，可能

就是简单的路由器。

•典型构成：包过滤路由器+堡垒主机。

-包过滤路由器配置在内部网和外部网之间，保证外

部系统对内部网络的操作只能经过堡垒主机。

-堡垒主机配置在内部网络上，是外部网络主机连接

到内部网络主机的桥梁，它需要拥有高等级的安全。

5oHo屏蔽子网体系结构

•屏蔽子网体系结构在本质上与屏蔽主机体系结

构一样，但添加了额外的一层保护体系——周

边网络。堡垒主机位于周边网络上，周边网络

和内部网络被内部路由器分开。

•原因：堡垒主机是用户网络上最容易受侵袭的

机器。通过在周边网络上隔离堡垒主机，能减

少在堡垒主机被侵入的影响。

♦・复习思考题

•lo防火墙技术出现的背景及其意义。

・2o防火墙所处的网络环境和保护的目标。

・3o防火墙的概念。（3种定义任意一种）

・4O防火墙的实现层次。（处于1。应用层；2o网络层

和链路层之间）

・5o防火墙的作用。

•6o防火墙技术有哪些种类，各自的技术特点是什么？

・7o比较包过滤防火墙和代理服务器的异同点。

・8o防火墙体系结构有哪些种类，各自的技术特点是什

么？

6olo入侵检测系统的分类

•填空、选择、刿断

••根据原始数据的来源：

-基于主机的入侵检测系统

-基于网络的入侵检测系统

•根据检测技术：

-异常入侵检测：根据异常行为和使用计算机资源的情况检测出来的入

侵。基于统计分析。

-误用入侵检测：利用已知系统和应用软件的弱点攻击模式来检测入侵。

分析入侵过程的特征、条件、排列。

•根据体系结构：

-集中式：多个分布于不同主机上的审计程序，但只有一个中央入侵检

测服务器。

-等级式：定义若干个分等级的监控区域，每个IDS负责一个区域，将

当地的分析结果传送给上一级IDS。

-协作式：多个基于主机的IDS不分等级，各司其职，负责监控当地主

机的某些活动。

•根据响应方式：

-主动响应

-被动响应

6o2oIDS框架

•事件产生器：入侵检测的第一步，从整个计算环

境中获得事件，并向系统的其他部分提供此事件。

•采集内容：

-系统日志、应用程序日志

-系统调用、网络数据

-用户行为、其他IDS的信息

•事件分析器：核心，从得到的数据中产生分析结

果。效率高低直接决定整个IDS性能。

•事件数据库：存放各种中间和最终数据。

•响应单元：对分析结果作出作出反应。

6030异常检测基本原理和特

•一八占、、

•选择、判断

・基本原理：根据入侵行为和正常行为的差异进行检测，门限难以确定，误

报较多。

・优点

-可以检测到未知入侵

-具有自适应，自学习功能

-不需要系统先验知识

,缺点

-漏报、误报率高

-统计算法的计算量庞大，效率很低

-统计点的选取和参考库的建立比较困难

.点

••选痒、,判断

■基本原理：根据已知入侵特征检测系统中的可疑行为,

需要维护一个入侵特征知识库（CVE）,准确性高。采

用模式匹配算法，检测已知攻击高效。

•建立已出现的入侵行为特征

•和当前用户行为特征进行对比

•优点：算法简单、系统开销小、准确率高、效率高

•缺点：

-被动

-只能检测出已知攻击

-模式库的建立和维护难

605o异常检测和误用检测的

比较

•简答、选择、判断

•知识的获取：

-误用检测：需要入侵知识

-异常检测：需要系统行为知识

•配置方便性：误用检测更好配置

•数据报告来源：

-误用检测：采用模式匹配技术

-异常检测：基于统计相关性

•报告精确性：

-误用检测：漏检多

-异常检测：误报多

6060入侵检测系统的信息源

•填空

•来自主机的信息源：系统运行状态、系

统记账信息、系统日志、安全审计信息

•来自网络的信息源：snmp网管信息、网

络数据包审计

•来自应用程序日志文件

•来自其他IDS报警

7oloIPSec协议框架

•填空、选择、判断，2题

•工作模式；

-传输模式

-隧道模式

•安全服务：

-访问控制

-无连接完整性

-数据源认证

-重传攻击保护

-机密性

-有限的流量保密

o安全协议：

oAH协议-认证头：2、3、4

oESP协议-封装安全载荷：5、负载数据认证

cIKF协W客车日堂描写管押____

7o2o重要数据结构

［填空、选择、判断

•安全策略数据库(SPDB)

-SP：定义对数据流实施的安全处理规则。

-SPDB每个记录就是一条SP,定义描述规则，一般分为应用

IPSec处理、绕过、丢弃。

-选择符：目标IP、源IP、传输层协议、源和目标端口等等。

•安全联盟数据库(SADB)

-两个IPSec通信实体间经协商建立起来的共同协定，定义安全

处理的参数。

-安全联盟常用参数包括：

•加密及验证密钥。

•密码算法在系统中的标识。

•序列号，32位的字段，每发送一个数据包就递增一，抗重播攻击。

•抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机重复发出的数据包进行检测。

•生存周期。规定了该SA的有效使用周期。

•实施模式：通道模式还是传输模式。

•IPSec隧道目的地址。

-安全参数索引(SPn-叁匕唯一标旭其一

8o1o常规密码系统模型

A目的地

、简答

•C=Ek(p)

•p=Dk(C)

8o2o基本概念和术语

•・填空、判断、简答，3题

•明文(plaintext)：未加密的信息。

•密文(ciphertext)：已加密的信息。

•密钥(key)：控制密码变换操作的符号序列，

是保密的核心。

•加密(encryption)：将明文变换成密文的过

程。

•密码算法(cipheralgorithm)：一些公式、法

则或程序，是加密算法和解密算法的统称，

是密码系统的核心。

•Kerckhoff假设(现代密码学的基础假设)：破译者所

获得的知识最大化(加密算法已知)，除密钥外密码

系统相关因素均为已知。密码系统安全性全部寓于密

钥。

•密码学的常见体制:

-对称密码体制（单钥密码体制）：加密密钥和解密密钥

相同。

•“分固组定密长码度:密钥的控制下，.以分组为单位进行加解赍处理在

•序列密码：将明文、密文和密钥看作三个序列流，通过明

文流按比特与密钥流进行异或运算得到密文流。密钥流为

一个伪随机序列，一般需要通过一个控制密钥（种子）控

制随机数发生器实现。

-非对称密码体制（公钥密码体制）

■密码编码学：研究如何设计密码系统。

■密码分析学：研究如何破解密码系统，或伪造信息的科

学。

•典型分组密码算法：DES、IDEA、AES

•DES：

-Feistel网络结构，16轮加密。

-56位密钥对64位的数据块进行加密编码。每轮编码时的48位轮

密钥由56位的种子密钥得出。

-每轮的8个6X4S盒是最核心的部分，完成全部非线性变换工作

8o3o解密与密码分析的区别

•判断、简答

•解密：加密的逆过程，是指掌握密钥和密码算

法的合法人员从密文恢复出明文的过程。密码

分析则是指非法人员对密码的破译，而且破译

以后不会告诉对方。

•共同点：“解密（脱密）”和“密码分析（密

码破译）”都是设法将密文还原成明文。

•不同点：二者的已知条件不同，“解密（脱

密）”掌握了密钥和密码体制，而密码分析

（破译）则没有掌握密钥和密码体制。

8o4o对称和北对称密码（公

-•钥/双钥和单钥密码）的区别

*判断、简答

•对称密码（单钥）

-加解密密钥相同，或易于相互推导。

■-加解密速度决

-用于保护实际通信数据

-数学原理：逆变换

-密钥传输、密钥管理有问题

-无法达到不可否认

•非对称密码（公钥/双钥）

-加解密密钥完全不同，且难于相互推导。

-加解密速度太慢，不到对称的千分之一。

-用于保护通信密钥

-数学原理：NP完全问题和单向陷门函数，模逆运算

8o5o分组密码的工作模式

•填空

・电码本模式ECB

•密码分组连接模式CBC

・密码反馈模式CFB

・输出反馈模式OFB

1

8o60RSA公钥密码算法

•计算

•算法内容

(1)公钥

选择两个互异的大质数7和9，使〃=PQ,0(〃)=(p-l)(q-1)。(〃)

是欧拉函数，选择一个正数e，使其满足值么〃))=1,〃2)>，1

则将K=(〃,以乍为公钥。

(2)私钥「

求出正数d，使其满足e*d=Imod>1,则将

=(d,p,q)作为私钥。

(3)加密变换

将明文河作变换，使。=£K，A/)=M，mod〃，从而得到密文G

(4)解密变换

将密文。作变换，使M=OK,(C)=C"mod及，从而得到明文M

8o7o流密码基本原理

•判断

•原理种子密钥K

通过随机数发生器产

生性能优良的伪随机随机数发生器

序列（密钥流），使

用该序列逐比特加密密钥流Ki

信息流，得到密文序

歹U。明文流777/>加密变换一密文流Ci

8080HASH函数

・判断

•完整性校验；数字指纹技术；计算指纹

容易，反之很困难，不同信息指纹相同

的概率极小。Hash是一种直接产生认证

码的方法

9olo病毒概述

A.二判即、型择、填空

•定义：•

-一个程序、一段可执行码、具有自我复制能力

-能感染其他程序的的程序，它靠修改其他程序，并

把自身的拷贝嵌入其他程序而实现病毒的感染

I­病毒特征

-可执行性：

-传染性：

-破坏性（非本质特征）

-寄生性：通常附加在其它程序中

-欺骗性：引诱用户执行病毒（非本质特征）

-隐蔽性：使用户难以觉察

-衍生性：病毒变种（非本质特征）

9o2O病毒分类

•简答

•」、•传播媒介：，

一单机病毒

I-网络病毒：普通病毒、蠕虫、木马、脚本病毒

•2、链接方式

-源码型病毒：插入到源程序、寄生在编译处理程序，不多见

-入侵型病毒：嵌入型病毒，数量不多