网络安全管理概念.doc-道客多多

资源描述

1、网络安全管理概念单选使用漏洞（指使用硬件和软件方法上的缺陷）也是最主要的一种漏洞。2.用漏洞的一个典型例子是缺省口令。3.网络探测的目的是发现网络的漏洞或脆弱点。4.嗅探器 sniffer5.特洛依木马的关键是采用有效的潜伏机制来执行非授权的功能。6. 特洛依木马与病毒不同，无感染和复制机制。7 与网络信息的保密性、完整性和可用性对应的三类攻击方法称为窃密、扰乱和破坏。现代密码学这一阶段是从 Shannon(香农)1949 年发表的划时代论文保密系统的信息理论开始的。9. 当一个实体要面向多个实体实现保密通信（或者相反），并且彼此互相不认识时，是不可能安全交换密钥的，而公钥体制的出现解

2、决了这一困难。、10. 了解：根据密钥的特点，密码体制可分为私钥（又称单钥、对称）密码体制和公钥（又称双钥、非对称）密码体制。私钥体制的特点是，加密密钥和解密密钥相同（二者的值相等）。公钥体制的特点是，加密密钥和机密密钥不相同。公约体制大大简化了复杂的密钥分配管理问题，但公钥算法要比私钥算法慢得多（约 1000 倍）公开密钥密码的基本思想是将传统密码的密钥一分。为二，分为加密密钥和解密密钥。11. 现有的公钥密码体制都采用分组密码。12. 私钥体制采用流密码或分组密码方式，公钥体制采用分组密码方式。13. 目前使用的流密码算法主要有：A5 算法、WAKE 算法等。14. D

3、ES 属于分组密码。15. RSA 算法、PGP 属于公钥体制的分组密码。16. 对截收的密保依次用各种可解的密钥试译，直到得到有意义的明文，叫做完全试凑法。17. 惟密文攻击是最普遍的攻击。18. 惟密文攻击是最容易防护的攻击。19. 认证技术是防止敌人对信息系统进行主动攻击的一种重要技术。20. 消息认证的目的是防止消息重放或延迟等攻击。21. RSA 签名体制是数字签名的一种技术。22. 不可否认签名与普通数字签名最本质的不同在于：对于不可否认签名，需要签名者合作。23. PGP 软件是一个基于公钥加密体系的邮件加密软件。24. 公钥体质的提出就是为了解决传统加密体制的密钥分配难保密

4、的缺点。25. 公约的安全性问题是 PGP 安全问题的核心。26. PKI Publik Key Infrastructure,公钥基础设施）（就是利用公约密码理论和技术建立的提供安全服务的基础设施。27. 加密密钥确保了文件的机密性和完整性。28. 签名密钥能达到数据真实性和不可抵赖性的要求。 29. CA 管理的核心问题是密钥的管理。30. 目前在网上传输信息时，普遍使用 X.509 格式的数字证书。31. 证书撤销的实现方法： CRL、OCSP32. PKCS 指定的标准是什么？公开密钥标准33. TSP 的中文：时间戳协议34. 美国联邦 PKI（FPKI）加拿大政府 PKI（

5、GOC PKI）35. PMI 授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。36. 防火墙分类，按照工作原理可分为：包过滤型防火墙、应用代理型防火墙、电路级网关防火墙。37. 包过滤型防火墙一般工作在网络层（IP 层）包过滤型防火墙通常安装在路由器上。安全策略即包过滤算法的设计是其核心。38. 应用网关（代理服务器）防火墙工作在应用层。电路级网关防火墙工作在会话层。39. 什么叫做双宿主主机？它采用主机取代路由器执行安全控制功能。40. 在屏蔽主机结构中提供安全保护的主机称为堡垒主机。屏蔽主机结构中，最容易受

6、到攻击的是堡垒主机。41. 屏蔽子网结构，就是在内部网络和外部网络之间在增加一个子网，称之为非军事区 DMZ。42. 外部路由器的作用是保护 DMZ 上的主机。内部路由器的作用是保护内部网不受 DMZ 和外部网络的侵入。43. 代理技术是目前应用最为广泛的防火墙技术。44. 下列哪项描述正确？内部网只接受代理提出的服务请求。45. SOCKS 技术只转发基于 TCP 的数据包46. SOCKS 服务器的端口号为 1080.47. SOCKS 的优点是可以做很详细的日志，缺点是没有很强的用户认证机制。48. SSL 安全协议不能保证信息的不可抵赖性。49. SSL 协议建立在可靠的 TCP

7、传输控制协议之上。SSL 协议广泛用于处理财务上敏感的信息。50. HTTPS 在 TCP 端口的端口号是多少？44351. SSL 的问题：保证买卖双方传输数据的安全。52. SET 的中文：安全电子交易。他的认证过程使用了 RSA 和 DES 算法。SET 规范是目前电子商务中最重要的协议。53. IPSec 工作在第三层，提供了网络级的安全。54. 设计认证头 AH 协议的目的是用来增加 IP 数据的安全性。55. AH 有两种操作模式：传输模式和隧道模式。IPSec 也有两种操作模式：传输模式和隧道模式。56. ESP 为 IP 数据包提供完整性检查、认证和加密。57. 隧道

8、是指在 VPN 中不同位之间的虚拟连接。58. 哪个对应哪一层？ VPN 的安全性主要是通过 SOCKSv5（会话层）、IPSec（网络层）、PPTP（链路层）和 L2TP（链路层）四种安全协议实现的。59. SOCKSv5 是一个需要认证的防火墙协议。60. 下列有关 PPTP 和 L2TP 描述正确的是？对微软的用户很方便，因为微软已经把它作为路由软件的一部分支持流量控制 PPTP/L2TP 限制同时只能连接 225 个用户（缺点）认证和加密受到限制61. VPN 管理中心是整个 VPN 的核心部分。62. VPN 的分类：内部网 VPN、远程访问 VPN、外联网 VPN63.

9、 VPN 的优点与传统的电信专线网络相比， VPN 虚拟专用网具备以下优势：廉价的网络接入、严格的用户认证、高强度的数据保密（全部采用一次一密体制）64. 关于 IPSec VPN 下列表述哪个正确？注意正确的，可是他会改成不正确：支持所有 IP 层协议、IPSec 客户端程序可与个人防火墙等其他安全功能一起销售、受网关代理设备（Proxy)的影响、配置复杂65. 问：哪几个安全机制不能实现抗抵赖？可实现抗抵赖的有：数字签名、数据完整性、公证不可实现抗抵赖的有：数据加密、访问控制、鉴别、通信业务填充、路由控制66.会话层不提供安全服务，而应用层全部都要提供。67.美国 TCSEC

10、中文：桔皮书68.哪个是目前最全面的评价标准？联合公共标准（CC）69. 1999 年，由公安部主持制定的中华人民共和国国家标准 GB17895-1999计算机信息系统安全保护等级划分准则颁布。70.下列哪个是代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评价的技术职能机构？中国信息安全产品测评认证中心71.安全策略是网络信息安全的灵魂和核心。72.风险分析是有效保证信息安全的前提条件。基于 Internet 的开放电子商务面临的最大问题是安全问题。74.在支付性电子商务系统中，用户端软件成为电子钱包。75.数字签名用来保证信息传输过程中信息的完整和提供信息发送者

11、的身份认证和不可抵赖性。76.数字信封技术结合了对称密钥加密技术和公开密钥加密技术的优点。77.（哪个在外哪个在内）数字信封技术在外层使用公开密钥加密技术，内层使用对称密钥加密技术。78.Windows 2000 操作系统中一些典型的安全漏洞有什么？输入法漏洞79.电子政务系统的全部信息安全服务最终都依赖于操作系统安全服务80.Exim 格式化字串漏洞、VIM statusline 文本嵌入命令执行漏洞是属于 Unix 系统的。 81.Sniffer 可以截获口令等秘密的或专用的信息，甚至还可以用来攻击相邻的网络。E-mail 炸弹反复传给目标接收者同样的信息，用这些垃圾拥塞目标的个人

12、邮箱。82.IP 欺骗的解决办法是：慎重设置网络中的主机信任关系。83.按入侵检测的手段来划分，入侵检测模型可以分为基于网络和基于系统两种模型。84.通过实时监视网络上的数据流的是网络模型。通过分析系统的审计数据是系统模型85.在安全系统中，一般至少应当考虑如下三类安全威胁：外部攻击、内部攻击和授权滥用。要通过审计信息来发现那些受权滥用者往往是很困难的。多选1. 网络探测步骤/ 过程：a.踩点 b.扫描 c.查点2.（必考）网络信息的基本安全特性：保密性、完整性、可用性。3. （记住单词）PPDR 是这种模型四个要素的英文缩写，即 Policy（策略）、 Protetion(保护)、D

13、etection(监察)和 Response(反应) 。4. 消息认证按目的分类有三个：（1）消息完整性认证（消息内容认证）（2）身份认证（源和宿的认证）（3）消息的序号和操作时间的认证 5. PKI 的组成有以下哪些？ CA（Certification Authority，认证中心）、证书库（Certificate Database）、密钥管理（生成、备份、恢复和更新）、系统（Key Manage System）、证书撤销管理系统（Certificate Revocation List Manage System） PKI 应用接口系统和（PKI Application

14、System）6. 防火墙按照体系结构分类可分为双宿主主机、屏蔽主机和屏蔽子网。7. 防火墙常用的几种关键技术：包过滤技术、代理技术、SOCKS 技术和地址转换技术（NAT）等。8. 常被用于过滤规则的主要有：源地址、目的地址、 IP IP TCP 或 UDP 的源端口、 TCP 或 UDP的目的端口9. 包过滤规则的过滤规则中，过滤方式（Action ）包括允许（Allow）和阻止（Block）。 10. NAT 主要有两个用途：隐藏内部网络的 IP 地址解决合法 IP 地址有限的问题 11. SSL 协议分为两层：SSL 握手协议和 SSL 记录协议。12. IPSec 通过

15、以下 3 个协议来实现安全服务：认证头 AH 协议封装安全载荷 ESP 协议密钥管理协议13. IKE 共定义了 5 种交换： “主模式”交换、 “野蛮模式”交换、 “快速模式”交换、 “新组模式” 交换、ISAKMP 信息交换。14. 根据安全级别要求考虑以下 5 个层次的安全需求（与 OSI 层次无关）：管理层、物理层、系统层、网络层、应用层15. 网络安全设计原则：体系的安全性、体系的可行性、系统的高效性、体系的可承担性名词解释:拒绝服务（DoS）攻击：是指攻击者通过向目标系统建立大量的连接请求，阻塞通信信道、延缓网络传输，挤占目标机器的服务缓冲区，一致目标计算机疲于应付，直

16、至瘫痪。2. 入侵攻击：是指攻击者利用操作系统内在缺陷或者对方使用的程序语言本身所具有的安全隐患等，非法进入本地或者远程主机系统，获得一定的操作权限，进而窃取信息、删除文件、埋设后门、甚至瘫痪目标系统等行为。3. 特洛依木马：特洛依木马（程序）是隐藏着恶意代码的程序。特洛依木马不感染其他文件。4. 数字签名：在以计算机文件为基础的现代事务处理中，应用采用电子形式的签名，即数字签名。5. PKI：就是提供公钥加密和数字签名服务的系统，目的是为了管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认（抵赖）性。6. CA 机构：又称为证书认证中心，它是数字证书的签发机构，是

17、PKI 的核心，并且是 PKI 应用中权威的、可信任的、公正的第三方机构，承担公约体系中公约的合法性检验的责任。7. 防火墙：是综合采用适当技术，通过对网络做拓扑结构和服务类型上的隔离，在被保护网络周边建立的、分割被保护网络与外部网络的系统。适合于专网中使用，特别是在专网与公共网络互联时使用。8. 包过滤技术：是最早使用的防火墙技术，主要根据网络数据包的包头信息来确定是否允许该数据包通过，以增加安全性。9. SSL（ Secure Sockets Layer)安全套接层协议：是一种安全通信协议，用于 Web 浏览器和服务器之间，主要是使用公开密钥体制和 X.509 数字证书技术保护信息

18、传输的机密性和完整性。10.安全电子交易（SET）：是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于因特网的安全电子付款协议，它能够将普遍应用的信用卡使用起始点从目前的商店扩展到消费者家里，扩展到消费者的个人计算机中。11.VPN：中文名为虚拟专用网，它是指利用安全协议等措施在不安全公共网络（以 Internet 为例）上建立安全“隧道” ，以实现保密通信的机制。12.测评认证：是现代质量认证制度的重要内容，其实质是由一个中立的权威机构，通过科学、规范、公正的测试和评估，向消费者、购买者（即需方）证实生产者或供方所提供的产品和服务，符合公开、客观和先进的标准

19、。13.安全策略：安全策略是为了发布、管理和保护敏感信息资源而制定的一组法律、法规和措施的总和，是对信息资源使用、管理规则的正式描述，是网络内所有成员都必须遵守的规则。14.电子政务：所谓电子政务（E-Government 或 eGovernmence)是指政府运用现代计算机和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分割的制约，向社会提供高效优质、规范透明和全方位的管理与服务。15.入侵检测技术：是一种主动保护系统免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系

20、统管理员的安全管理能力，提高了信息安全基础结构的完整性。16：实时入侵检测技术：实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。17.信息分析系统一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析用于事后分析（单）模式匹配中检测准确率和效率都相当高（单）。简答1. 主要的网络攻击方法：（1 ）拒绝服务攻击（2）入侵攻击（3）病毒攻击（4

21、）邮件攻击（5）诱饵攻击3.对密码系统安全性的基本要求是：（1 ）密码体制即便不是在理论上不可破的，也应该是在实际上不可破的。（2）整个密码系统的安全性系于密钥上，即使密码算法被公布，在密钥不泄露的情况下，密码系统的安全性也可以得到保证。（3）密钥空间必须足够大。（4）加解密算法必须是计算上可行的，并且能够被方便地实现和使用。（5）密码系统能够抵抗已出现的一些攻击方法。4.一种完善的数字签名应满足以下要求：收方能够确认或证实发方的签名发方发出签名的消息给收方后，就不能再否认他所签发的消息收方对已收到签名消息不能否认第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。5.

22、PGP 软件的原理是：首先产生一对钥匙，一个是私钥，一个是公钥当要传送一封保密信或文件给对方时，首先必须先取得对方的公钥，并将它加入自己的公钥环中，接下来利用对方的公钥将信件加密后再传给对方当对方收到加密后的信件后，对方必须利用其相对应的私钥来解密6.PKI 的作用：身份认证完整性验证私有性访问控制授权交易不可抵赖性7.代理技术的优点是什么？安全性高配置简单日志完备隐匿内网扩充地址9. 防火墙系统的主要优点：统一制定网络安全管理策略保护网络中脆弱的服务集中安全性隐匿内部网络安全信息审计安全发布信息10. 防火墙的缺陷：限制有用的网络服务难以防护内部网络用

23、户的攻击对于绕过防火墙的其他途径的攻击缺乏抵御能力防火墙不能完全防止传送已感染病毒的软件或文件不能预防新的网络安全问题11. SET 协议与 SSL 协议的对比：用户接口：SSL 协议已被浏览器和 Web 服务器内置，而 SET协议中客户端需安装专门的电子钱包软件。处理速度：SET 协议非常复杂、庞大，处理速度慢；而 SSL 协议则简单得多，处理速度比 SET 协议快。认证要求： SSL 中只有商家服务器的认证是必需的，客户端认证则是可选的； SET 中所有参与 SET 交易的成员都必须申请数字证书。安全性：SET 协议采用了公钥加密、消息摘要和数字签名可以确保信息的安全性；S

24、SL 协议虽也采用了公钥加密、消息摘要和 MAC 检测，但缺乏一套完整的认证体系。协议层次和功能：SSL 属于传输层的，它不具备电子商务的商务性、协调性和集成性功能。而 SET 协议位于应用层，具备商务性、协调性和集成性功能12. 请简述安全服务有哪几种？答：安全服务指为实现系统安全功能所需提供的各种服务手段。安全服务主要有以下 5 种：鉴别访问控制数据机密性数据完整性抗抵赖13. 信息安全测评认证的重要性体现在？对我国按国际惯例建立和实施的有关信息产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制制度等方面的决策，提供科学公正的技术依据对各方用户采购信息安全产品，设

25、计、建设、使用和管理安全的信息系统提供权威公正的专业指导对信息安全产品的研究、开发、生产企业和提供其他信息安全服务的企业，进行严格规范与科学引导，提高其市场竞争能力和技术进步水平。14. 入侵检测与预警技术的研究，应该达到如下目标：对信息基础设施的安全状况及威胁（包括威胁的来源和程度）做出全面的系统评估。把威胁的来源作为对象，按时间顺序、动作意图、威胁范围和程度，进行统计、分析及审计。对来自外部网络的恶意代码和违规操作进行识别、跟踪、记录、分类和报警。为遭到破坏的网络及信息系统的恢复提供技术性支持。15. 请简述攻击检测的方法？基于审计信息的攻击检测技术基于神经网络的攻击检

26、测技术基于专家系统的攻击检测技术基于模型推理的攻击检测技术实时数据包分析实时活动监视16. 简述入侵检测利用的信息来源？系统和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息论述1.请你论述 PKI 的组成及功能是什么？（重点复习）答：PKI 是一种遵循标准的密钥管理平台，主要包括 CA（Certification Authority，认证中心）、证书库（Certificate Database）、密钥管理（生成、备份、恢复和更新）、系统（Key Manage System）、证书撤销管理系统（Certificate Revocati

27、on List Manage System）和 PKI 应用接口系统（PKI Application System）。 CA 认证中心的功能有：证书发放、证书更新、证书撤销和证书验证。证书库的功能有：存储证书、提供证书、确认证书状态。密钥管理系统的功能：密钥备份和恢复、密钥自动更新、密钥历史档案。证书撤销管理系统的功能：将现行的证书撤销。 PKI 应用接口系统的功能：提供良好的跨平台的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与 PKI 交互。2.请论述什么是 SSL VPN，并写出其优缺点？答：SSL VPN 指的是以 HTTPS 为基础的 VPN，但也包括可支持

28、SSL 的应用程序。它工作在 TCP 之上，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。 SSL VPN 有以下有优点：它的 HTTPS 客户端程序已经预装在了终端设备中与市场上主要的 Web 服务器捆绑销售，或者通过专门的软硬件供货商获得 SSL VPN 可在 NAT 代理装置上以透明模式工作 SSL VPN 不会受到安装在客户端与服务器之间的防火墙的影响 SSL VPN 有以下缺点： SSL VPN 不适用做点对点的 VPN SSL VPN 需要开放网络防火墙中的 HTTPS 连接端口 SSL VPN 通常需要其他安全配置论述电子商务系统安全要求。答：电子商务安全要

29、求包括 4 个方面：数据传输的安全性：对数据传输的安全性需求就是保证在公网上传送的数据不被第三方窃取。数据的完整性：对数据的完整性需求是指数据在传输过程中不被篡改。身份验证：网上的通信双方互不见面，必须在交易时确认对方的真实身份、交易的不可抵赖电子商务系统中的安全技术：采用数字信封技术保证数据的传输安全；采用数字签名技术进行身份认证并同时保证数据的完整性、完成交易防抵赖；采用口令认证技术或公开密钥技术进行身份认证。论述电子政务面临的安全问题有哪些？如何解决？答：电子政务信息系统的安全取决于特定的安全环境。安全环境包括社会环境、技术环境和物理自然环境。当前电子政务所面临的社会环境危险主要有：假冒、重放。抵赖、非法访问、破坏信息的完整性等。技术环境中典型的缺陷和安全隐患有：缺陷或漏洞、后门。物理自然环境是指系统物理基础的支持能力下降或消失，包括电力供应不足或中断、电压波动、静电或强磁场的影响，以及自然灾害的发生等。解决办法：支撑机制是最常用的安全机制，包括标识和命名、密钥管理、安全管理、系统保护。防护机制被用以防止安全事故的发生，包括受保护的通信、身份鉴别、授权、访问控制、拒绝否认、事务隐私。检测和恢复机制包括：审计、入侵检测、完整性验证、安全状态重置。

展开阅读全文