1、信息系统安全与维护卷九论述题:1. 什么是拒绝服务攻击?写出 4 种流行的拒绝服务攻击?中拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程、系统服务及网络带宽,从而阻止正常用户的访问。SYN Flood、UDP 洪水攻击、泪滴(teardrop)攻击、Ping 洪流攻击、Land攻击、Smurf 攻击等。2. 简要说明 ARP 攻击的原理及现象。中ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的进行。基于 ARP 协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的 ARP
2、数据包,数据包内包含有与当前设备重复的 Mac 地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP 攻击的计算机会出现两种现象:a) 不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。b) 计算机不能正常上网,出现网络中断的症状。因为这种攻击是利用 ARP 请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。3. 计算机病毒的特征有哪些?常用的计算机防病毒策略有哪些?中a) 隐蔽性b) 传染性或复制性c) 潜伏性d) 破坏性e) 针对性常用的计算机防病毒策略有;a
3、) 部署全面的防病毒系统,包括防病毒网关、邮件防病毒、计算机防病毒系统等。b) 启用实时监测保护c) 定期全面扫描d) 及时更新防病毒系统和病毒定义文件等等。4. 数据库安全典型安全隐患有哪些方面?如何解决?难a) 数据库用户帐号和密码隐患b) 数据库系统扩展存储过程隐患c) 数据库系统软件和应用程序漏洞d) 数据库系统权限分配隐患e) 数据库系统用户安全意识薄弱f) 数据库系统安全机制不够健全g) 明文传递网络通信内容选择安全机制较完善的数据库系统,并且采用强密码机制、禁用不用的存储过程、加强安全配置、定期更新补丁等安全措施。5. 一个典型的 PKI 应包括哪些构建和功能?难一个典型的 PK
4、I 系统包括 PKI 策略、软硬件系统、证书颁发机构 CA、注册机构 RA、证书管理系统和 PKI 应用等。 (最终实体、认证中心、注册中心、证书库)PKI 的功能有:注册、初始化、颁发证书、密钥生成、密钥恢复、密钥更新、证书吊销、交叉认证等。6. PKI 能够提供的服务有哪些?中数字签名、身份认证、安全时间戳、不可否认服务等。7. Windows 系统安全增强的措施有哪些?中1) 及时对安全漏洞更新补丁2) 停止或卸载不必要的服务和软件3) 升级或更换程序4) 修改配置或权限5) 去除特洛伊木马等恶意程序6) 安装专用的安全工具软件,如杀毒软件、防火墙等。8. 黑客进行网络攻击可归纳为若干个
5、阶段,了解这些步骤,有利于知己知彼,更好地做好网络安全防范工作,以及在攻击的前期进行发现和预警,请说明一般有哪些阶段?难1) 隐藏攻击源2) 收集攻击目标信息3) 挖掘漏洞信息4) 获取目标访问权限5) 隐藏攻击行为6) 实施攻击7) 开辟后门8) 清除攻击痕迹9. 国家信息系统安全等级保护制度中,对各等级的信息系统从技术和管理两个角度提出了明确的要求,请说明分别说明有哪些方面的要求?难技术要求:物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复管理要求:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行管理。10.与对称加密相比,非对称加密的优点和缺点是什么? 中优点:
6、1) 在多人之间进行保密信息传输所需的密钥组合数量小; 2) 密钥的发布不成问题; 3) 公开密钥系统可实现数字签名。 缺点:加密/解密比读趁加密的速度慢。它们是互补的。可用公开密钥在互联网上传输私有密钥,实现更有效的安全网络传输。11.Web 网站面临的安全问题有哪些?中可以归纳为三个方面:1) Web 服务器端:信息被窃取、篡改;获取 Web 主机的配置信息,为攻击者入侵系统提供帮助;发起 DOS 攻击,无法提供正常的服务;注入木马等程序,控制和利用主机等以及伪冒 Web 网站。2) 浏览器客户端:动态执行程序破坏浏览器、危害用户系统、窃取用户帐户等个人信息。3) 服务器与客户端之间传输信
7、息的被截获或被监听。12.简述中国石化股份有限公司内控管理流程中涉及到 IT 相关的流程。 中1) 信息系统管理业务流程2) 信息资源管理业务流程3) ERP 系统 IT 一般性控制流程4) 应用系统 IT 一般性控制流程5) 基础设施 IT 一般性控制流程13.简述 IT 内控对终端用户接入管理要求和检查方法。中1) 用户终端接入网络需填写申请表,申请表内容应包含终端接入安全责任条款。2) 建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。3) 根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。4) 远程接入网络申请人依据网络管理办法相关要求,填写远
8、程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。5) 依据网络管理办法相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库的升级;安全管理员每周对防病毒系统日志进行分析审计。14.入侵检测技术的分类?各自的优缺点分别是什么?难根据目标系统的类型分类基于主机的 IDS(Host-Based IDS)基于网络的 IDS(Network-Based IDS)根据模块的部署方式集中式 IDS分布式 IDSHost-BASED IDS 优点性能价格比高细腻性,审计内容全面视野集中适用于加密及交换环境Host-BASED ID
9、S 缺点额外产生的安全问题HIDS 依赖性强如果主机数目多,代价过大不能监控网络上的情况Net-BASED IDS 优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便Net-BASED IDS 缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话15.入侵检测系统性能评价标准?难准确性(Accuracy)正确检测出系统入侵活动的能力处理性能(Performance)处理系统审计数据的速度能力完备性(Completeness)能够检测出所有攻击行为的能力容错性(Fault Tolerance)能够抵御对系统自身攻击的能力及时性(Timele
10、ss)尽快分析数据并把分析结果上报的能力16.IPS 技术需要面对很多挑战,请列举。难一是单点故障。设计要求 IPS 必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果 IPS 出现故障而关闭,用户就会面对一个由 IPS 造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。二是性能瓶颈。即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS 必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。三是误报和漏报。一旦生成了警报,最基本的要求
11、就是 IPS 能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么“误报”就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的 IPS 来说,一旦拦截了“攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的 IPS 拦截。17.通用入侵检测框架(CIDF)主要包括几个方面的内容。难Architecture:提出 IDS 的通用体系结构,说明 IDS 各组件间通信的环境。Communication:说明 IDS
12、各种不同组件间如何进行通信。主要描述各组件间如何安全地建立连接以及安全通信。Language:提出公共入侵规范语言 Common Intrusion Specification Language(CISL) ,IDS 各组件间通过 CISL 来进行入侵和警告等信息的通信。API:允许 IDS 各组件的重用,在 CISL 的表示说明中隐含了 API。18.简述防火墙环境的构建准则。中a、KISS(Keep It Simple and Stupid)原则,保持简单是防火墙环境设计者首先意识到的基本原则。从本质上讲,越简单的防火墙解决方案越安全,越容易管理。设计和功能上的复杂性往往导致配置上的错误。
13、b、设备专用。不要把不是用来当做防火墙使用的设备当做防火墙使用。例如,路由器是被用来做路由的,它的包过滤功能不是他的主要目的,只依靠路由器去提供防火墙功能是危险的。c、深度防御。是指创建多层安全,而不是一层安全。应在尽可能多的环境中安装防火墙设备或开启防火墙功能,在防火墙设备能被使用的地方使用防火墙设备。假如一个服务器的操作系统能提供防火墙功能,那就就启用它。d、注意内部威胁。19.简述内部网络、外部网络和 DMZ 之间的关系。中关系如下:a、 内部网络可以无限制地访问外部网络及 DMZ;b、 外部网络可以访问 DMZ 的服务器的公开端口,如 MAIL 服务器的 25、110端口;WEB 服务
14、器的 80 端口等;c、 外部网络不能访问内部网络及防火墙;d、 DMZ 不可以访问内部网络,因为如果违背此策略,那么当入侵者攻陷 DMZ时,就可以进一步攻陷内部网络的重要设备。20.简述部署防火墙的优点。中a、防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。b、防火墙能防止非授权用户进入内部网络。c、防火墙可以方便地监视网络的安全性并报警。d、可以作为部署网络地址转换(Network AddressTranslation)的地点,利用 NAT 技术,可以缓解地址空间的短缺,隐藏内部网的结构。e、利用防火墙对内部网络的划分,可以实现重点网段的分离,从而
15、限制安全问题的扩散。由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方21.简述中石化桌面管理的安全策略要求。中中国石化要求,对于企业计算机须有一个完备的安全策略。包括:所有终端计算机须安装有防病毒软件;所有终端计算机须安装中石化规定的桌面管理软件;防病毒软件服务处于启用状态,且病毒库版本离当前评估时间不超过 7 天;终端计算机不能运行有 BT、电驴等消耗带宽的软件;终端注册表中不应含有非法键值,如“大智慧”炒股软件等非法键值;所有终端须已安装有最新的所有微软严重补丁。22.请至少列举六个桌面安全管理的需要覆盖的功能需求点:中资产管理,补丁管理,软件分发,安全配置管理,桌
16、面防火墙管理,桌面防病毒管理,桌面防间谍软件管理,远程控制,外设和数据防泄露管理,外联管理,网络准入控制管理,电源管理,报表管理。23.简述桌面安全管理系统电源管理具体内容。中查看计算机节电设置的详细分类信息,包括休眠,待机,硬盘和显示器关闭设置;以及能够查看电量消耗汇总摘要:晚上多少台计算机关机,多少台计算机在周末仍旧开机,计算机开机天数等。实现有效的电源管理,如关闭或重启大批量计算机;调整所有计算机的节电设置以优化用电等,可以为企业节省成本开支24.简述常规远程控制软件和木马软件的相同点和不同点。中a) 常规远程控制软件和木马都是用一个客户端通过网络来控制服务端,控制端可以是 WEB,也可
17、以是手机,或者电脑,可以说控制端植入哪里,哪里就可以成为客户端,服务端也同样如此;b) 常规远程控制软件和木马都可以进行远程资源管理,比如文件上传下载修改;c) 常规远程控制软件和木马都可以进行远程屏幕监控,键盘记录,进程和窗口查看。常规远程控制软件和木马区别:a) 木马有破坏性:比如 DDOS 攻击、下载者功能、格式化硬盘、肉鸡和代理功能;b) 木马有隐蔽性:木马最显著的特征就是隐蔽性,也就是服务端是隐藏的,并不在被控者桌面显示,不被被控者察觉,这样一来无疑增加了木马的危害性,也为木马窃取密码提供了方便之门。25.简述 SSL 协议 VPN 握手及数据传输的过程。难a) 客户端:hello
18、消息,发起握手b) 服务器端:回应握手,确定算法c) 服务器端:服务器发放自己的证书,证明身份d) 客户端:客户端从证书中获得公钥e) 客户端:客户端产生新消息,并用公钥加密后发送f) 服务器端:服务器用私钥解密后获得明文消息g) 至此,会话密钥协商成功,双方进行安全通信。26.列举 SSL 协议 VPN 的优势。中1) 使用标准浏览器的 SSL 模块,无需专用客户端软件;2) 应用数据均通过 SSL 协议传输;3) 可以结合 PKI/CA 的身份认证机制;4) 全面支持 B/S 应用;5) 通过动态下载插件支持 C/S 应用;6) 接入不受限制;7) 细粒度的访问控制;8) 应用交互能力;9) 低廉的 TCO(Total Cost of Ownership,总拥有成本)
