信息安全試題答案(題庫)

./題庫一、選擇1.密碼學(xué)的目的是〔C.A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)保密D.研究信息安全2.從攻擊方式區(qū)分攻擊類型,可分為被動(dòng)攻擊和主動(dòng)攻擊.被動(dòng)攻擊難以〔C,然而〔C這些攻擊是可行的；主動(dòng)攻擊難以〔C,然而〔C這些攻擊是可行的.A.阻止,檢測,阻止,檢測B.檢測,阻止,檢測,阻止C.檢測,阻止,阻止,檢測D.上面3項(xiàng)都不是3.數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是〔D.A.數(shù)據(jù)完整性機(jī)制B.數(shù)字簽名機(jī)制C.訪問控制機(jī)制D.加密機(jī)制4.數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是〔C.A.多一道加密工序使密文更難破譯B.提高密文的計(jì)算速度C.縮小簽名密文的長度,加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度D.保證密文能正確還原成明文5.基于通信雙方共同擁有的但是不為別人知道的秘密,利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力,以該秘密作為加密和解密的密鑰的認(rèn)證是〔C.A.公鑰認(rèn)證B.零知識認(rèn)證C.共享密鑰認(rèn)證D.口令認(rèn)證6.為了簡化管理,通常對訪問者〔A,以避免訪問控制表過于龐大.A.分類組織成組B.嚴(yán)格限制數(shù)量C.按訪問時(shí)間排序,刪除長期沒有訪問的用戶D.不作任何限制7.PKI管理對象不包括〔A.A.ID和口令B.證書C.密鑰D.證書撤消8.下面不屬于PKI組成部分的是〔D.A.證書主體B.使用證書的應(yīng)用和系統(tǒng)C.證書權(quán)威機(jī)構(gòu)D.AS9.IKE協(xié)商的第一階段可以采用〔C.A.主模式、快速模式B.快速模式、積極模式C.主模式、積極模式D.新組模式10．AH協(xié)議和ESP協(xié)議有〔A種工作模式.A.二B.三C.四D.五11.〔C屬于Web中使用的安全協(xié)議.A.PEM、SSLB.S-HTTP、S/MIMEC.SSL、S-HTTPD.S/MIME、SSL12.包過濾型防火墻原理上是基于〔C進(jìn)行分析的技術(shù).A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.應(yīng)用層13.VPN的加密手段為〔C.A.具有加密功能的防火墻B.具有加密功能的路由器C.VPN內(nèi)的各臺主機(jī)對各自的信息進(jìn)行相應(yīng)的加密D.單獨(dú)的加密設(shè)備14．〔B通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施,連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu).A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN15．〔C通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施,將客戶、供應(yīng)商、合作伙伴或感興趣的群體連接到企業(yè)內(nèi)部網(wǎng).A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN16.計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在〔C上蓄意破壞的搗亂程序.A.內(nèi)存B.軟盤C.存儲介質(zhì)D.網(wǎng)絡(luò)17."公開密鑰密碼體制"的含義是〔C.A.將所有密鑰公開B.將私有密鑰公開,公開密鑰保密C.將公開密鑰公開,私有密鑰保密D.兩個(gè)密鑰相同18."會話偵聽和劫持技術(shù)"是屬于〔B的技術(shù).A.密碼分析還原B.協(xié)議漏洞滲透C.應(yīng)用漏洞分析與滲透D.DOS攻擊19．攻擊者截獲并記錄了從A到B的數(shù)據(jù),然后又從早些時(shí)候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為〔D.A.中間人攻擊B.口令猜測器和字典攻擊C.強(qiáng)力攻擊D.回放攻擊20.在ISO/OSI定義的安全體系結(jié)構(gòu)中,沒有規(guī)定〔E.A.對象認(rèn)證服務(wù)B.數(shù)據(jù)保密性安全服務(wù)C.訪問控制安全服務(wù)D.數(shù)據(jù)完整性安全服務(wù)E.數(shù)據(jù)可用性安全服務(wù)21.Kerberos在請求訪問應(yīng)用服務(wù)器之前,必須〔A.A.向TicketGranting服務(wù)器請求應(yīng)用服務(wù)器ticketB.向認(rèn)證服務(wù)器發(fā)送要求獲得"證書"的請求C.請求獲得會話密鑰D.直接與應(yīng)用服務(wù)器協(xié)商會話密鑰22.下列對訪問控制影響不大的是〔D.A.主體身份B.客體身份C.訪問類型D.主體與客體的類型23.PKI的主要組成不包括〔B.A.證書授權(quán)CAB.SSLC.注冊授權(quán)RAD.證書存儲庫CR24.〔A協(xié)議必須提供驗(yàn)證服務(wù).A.AHB.ESPC.GRED.以上皆是25．下列選項(xiàng)中能夠用在網(wǎng)絡(luò)層的協(xié)議是〔D.A.SSLB.PGPC.PPTPD.IPSec26、〔A協(xié)議是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選的抗重播保護(hù)的機(jī)制,但不提供數(shù)據(jù)機(jī)密性保護(hù).A.AH協(xié)議B.ESP協(xié)議C.IPSec協(xié)議D.PPTP協(xié)議27.IPSec協(xié)議中負(fù)責(zé)對IP數(shù)據(jù)報(bào)加密的部分是〔A.A.封裝安全負(fù)載〔ESPB.鑒別XX〔AHC.Internet密鑰交換〔IKED.以上都不是28.SSL產(chǎn)生會話密鑰的方式是〔C.A.從密鑰管理數(shù)據(jù)庫中請求獲得B.每一臺客戶機(jī)分配一個(gè)密鑰的方式C.隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并分配給客戶機(jī)29.為了降低風(fēng)險(xiǎn),不建議使用的Internet服務(wù)是〔D.A.Web服務(wù)B.外部訪問內(nèi)部系統(tǒng)C.內(nèi)部訪問InternetD.FTP服務(wù)30.火墻用于將Internet和內(nèi)部網(wǎng)絡(luò)隔離,〔B.A.是防止Internet火災(zāi)的硬件設(shè)施B.是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施C.是保護(hù)線路不受破壞的軟件和硬件設(shè)施D.是起抗電磁干擾作用的硬件設(shè)施31.屬于第二層的VPN隧道協(xié)議有〔B.A.IPSecB.PPTPC.GRED.以上皆不是32．不屬于隧道協(xié)議的是〔C.A.PPTPB.L2TPC.TCP/IPD.IPSec33.PPTP和L2TP最適合于〔D.A.局域網(wǎng)B.企業(yè)內(nèi)部虛擬網(wǎng)C.企業(yè)擴(kuò)展虛擬網(wǎng)D.遠(yuǎn)程訪問虛擬專用網(wǎng)34．A方有一對密鑰〔KA公開,KA秘密,B方有一對密鑰〔KB公開,KB秘密,A方向B方發(fā)送數(shù)字簽名M,對信息M加密為：M’=KB公開〔KA秘密〔M.B方收到密文的解密方案是〔C.A.KB公開〔KA秘密〔M’B.KA公開〔KA公開〔M’C.KA公開〔KB秘密〔M’D.KB秘密〔KA秘密〔M’35.從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類,阻斷攻擊是針對〔B的攻擊.A.機(jī)密性B.可用性C.完整性D.真實(shí)性11．攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口,使服務(wù)器過于繁忙以至于不能應(yīng)答請求的攻擊方式是〔A.A.拒絕服務(wù)攻擊B.地址欺騙攻擊C.會話劫持D.信號包探測程序攻擊36.〔D不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機(jī)制.A.通信業(yè)務(wù)填充機(jī)制B.訪問控制機(jī)制C.數(shù)字簽名機(jī)制D.審計(jì)機(jī)制E.公證機(jī)制37.CA屬于ISO安全體系結(jié)構(gòu)中定義的〔D.A.認(rèn)證交換機(jī)制B.通信業(yè)務(wù)填充機(jī)制C.路由控制機(jī)制D.公證機(jī)制38.訪問控制是指確定〔A以及實(shí)施訪問權(quán)限的過程.A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利C.可被用戶訪問的資源D.系統(tǒng)是否遭受入侵39.PKI支持的服務(wù)不包括〔D.A.非對稱密鑰技術(shù)及證書管理B.目錄服務(wù)C.對稱密鑰的產(chǎn)生和分發(fā)D.訪問控制服務(wù)40.AH協(xié)議中必須實(shí)現(xiàn)的驗(yàn)證算法是〔A.A.HMAC-MD5和HMAC-SHA1B.NULLC.HMAC-RIPEMD-160D.以上皆是41.對動(dòng)態(tài)網(wǎng)絡(luò)地址交換〔NAT,不正確的說法是〔B.A.將很多內(nèi)部地址映射到單個(gè)真實(shí)地址B.外部網(wǎng)絡(luò)地址和內(nèi)部地址一對一的映射C.最多可有64000個(gè)同時(shí)的動(dòng)態(tài)NAT連接D.每個(gè)連接使用一個(gè)端口42.GRE協(xié)議的乘客協(xié)議是〔D.A.IPB.IPXC.AppleTalkD.上述皆可43．目前,VPN使用了〔A技術(shù)保證了通信的安全性.隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密身份認(rèn)證、數(shù)據(jù)加密隧道協(xié)議、身份認(rèn)證隧道協(xié)議、數(shù)據(jù)加密44．IPSecVPN不太適合用于〔C.已知范圍的IP地址的網(wǎng)絡(luò)固定范圍的IP地址的網(wǎng)絡(luò)動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)TCP/IP協(xié)議的網(wǎng)絡(luò)45.假設(shè)使用一種加密算法,它的加密方法很簡單：將每一個(gè)字母加5,即a加密成f.這種算法的密鑰就是5,那么它屬于〔A.A.對稱加密技術(shù)B.分組密碼技術(shù)C.公鑰加密技術(shù)D.單向函數(shù)密碼技術(shù)46.從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類,截獲攻擊是針對〔A的攻擊.A.機(jī)密性B.可用性C.完整性D.真實(shí)性47．最新的研究和統(tǒng)計(jì)表明,安全攻擊主要來自〔B.A.接入網(wǎng)B.企業(yè)內(nèi)部網(wǎng)C.公用IP網(wǎng)D.個(gè)人網(wǎng)48.用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是〔A.A.加密機(jī)制和數(shù)字簽名機(jī)制B.加密機(jī)制和訪問控制機(jī)制C.數(shù)字簽名機(jī)制和路由控制機(jī)制D.訪問控制機(jī)制和路由控制機(jī)制49.身份鑒別是安全服務(wù)中的重要一環(huán),以下關(guān)于身份鑒別敘述不正確的是〔B.A.身份鑒別是授權(quán)控制的基礎(chǔ)B.身份鑒別一般不用提供雙向的認(rèn)證C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制50.PKI能夠執(zhí)行的功能是〔A和〔C.A.鑒別計(jì)算機(jī)消息的始發(fā)者B.確認(rèn)計(jì)算機(jī)的物理位置C.保守消息的機(jī)密D.確認(rèn)用戶具有的安全性特權(quán)51.IKE協(xié)議由〔A協(xié)議混合而成.A.ISAKMP、Oakley、SKEMEB.AH、ESPC.L2TP、GRED.以上皆不是52.一般而言,Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的〔C.A.內(nèi)部子網(wǎng)之間傳送信息的中樞B.每個(gè)子網(wǎng)的內(nèi)部C.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)D.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處53.VPN的英文全稱是〔B.A.VisualProtocolNetworkB.VirtualPrivateNetworkC.VirtualProtocolNetworkD.VisualPrivateNetwork54．L2TP隧道在兩端的VPN服務(wù)器之間采用〔A來驗(yàn)證對方的身份.A.口令握手協(xié)議CHAPB.SSLC.KerberosD.數(shù)字證書55.信息安全的基本屬性是〔D.A.機(jī)密性B.可用性C.完整性D.上面3項(xiàng)都是56.ISO安全體系結(jié)構(gòu)中的對象認(rèn)證服務(wù),使用〔B完成.A.加密機(jī)制B.數(shù)字簽名機(jī)制C.訪問控制機(jī)制D.數(shù)據(jù)完整性機(jī)制57.Kerberos的設(shè)計(jì)目標(biāo)不包括〔B.A.認(rèn)證B.授權(quán)C.記賬D.審計(jì)58.IPSec協(xié)議和〔CVPN隧道協(xié)議處于同一層.A.PPTPB.L2TPC.GRED.以上皆是59.傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在〔A基礎(chǔ)上的〔A.A.可靠的傳輸服務(wù),安全套接字層SSL協(xié)議B.不可靠的傳輸服務(wù),S-HTTP協(xié)議C.可靠的傳輸服務(wù),S-HTTP協(xié)議D.不可靠的傳輸服務(wù),安全套接字層SSL協(xié)議60.以下〔D不是包過濾防火墻主要過濾的信息？A.源IP地址B.目的IP地址C.TCP源端口和目的端口D.時(shí)間61.將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接的是〔B.A.內(nèi)聯(lián)網(wǎng)VPNB.外聯(lián)網(wǎng)VPNC.遠(yuǎn)程接入VPND.無線VPN62.竊聽是一種〔A攻擊,攻擊者〔A將自己的系統(tǒng)插入到發(fā)送站和接收站之間.截獲是一種〔A攻擊,攻擊者〔A將自己的系統(tǒng)插入到發(fā)送站和接受站之間.A.被動(dòng),無須,主動(dòng),必須B.主動(dòng),必須,被動(dòng),無須C.主動(dòng),無須,被動(dòng),必須D.被動(dòng),必須,主動(dòng),無須63．〔C是一個(gè)對稱DES加密系統(tǒng),它使用一個(gè)集中式的專鑰密碼功能,系統(tǒng)的核心是KDC.A.TACACSB.RADIUSC.KerberosD.PKI64.下列協(xié)議中,〔A協(xié)議的數(shù)據(jù)可以受到IPSec的保護(hù).A.TCP、UDP、IPB.ARPC.RARPD.以上皆可以65、〔D協(xié)議主要由AH、ESP和IKE協(xié)議組成.A.PPTPB.L2TPC.L2FD.IPSec66.PPTP、L2TP和L2F隧道協(xié)議屬于〔B協(xié)議.A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道67.機(jī)密性服務(wù)提供信息的保密,機(jī)密性服務(wù)包括〔D.A.文件機(jī)密性B.信息傳輸機(jī)密性C.通信流的機(jī)密性D.以上3項(xiàng)都是68.不屬于VPN的核心技術(shù)是〔C.A.隧道技術(shù)B.身份認(rèn)證C.日志記錄D.訪問控制69.〔A通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問.A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN70.拒絕服務(wù)攻擊的后果是〔E.A.信息不可用B.應(yīng)用程序不可用C.系統(tǒng)宕機(jī)D.阻止通信E.上面幾項(xiàng)都是71.通常所說的移動(dòng)VPN是指〔A.A.AccessVPNB.IntranetVPNC.ExtranetVPND.以上皆不是二、填空密碼系統(tǒng)包括以下4個(gè)方面：明文空間、密文空間、密鑰空間和密碼算法.解密算法D是加密算法E的〔逆運(yùn)算.如果加密密鑰和解密密鑰〔相同,這種密碼體制稱為對稱密碼體制.DES算法密鑰是〔64位,其中密鑰有效位是〔56位.RSA算法的安全是基于分解兩個(gè)大素?cái)?shù)的積的困難.公開密鑰加密算法的用途主要包括兩個(gè)方面：密鑰分配、數(shù)字簽名.消息認(rèn)證是驗(yàn)證信息的完整性,即驗(yàn)證數(shù)據(jù)在傳送和存儲過程中是否被篡改、重放或延遲等.Hash函數(shù)是可接受變長數(shù)據(jù)輸入,并生成定長數(shù)據(jù)輸出的函數(shù).密鑰管理的主要內(nèi)容包括密鑰的生成、分配、使用、存儲、備份、恢復(fù)和銷毀.密鑰生成形式有兩種：一種是由中心集中生成,另一種是由個(gè)人分散生成.密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過程.密鑰分配中心的英文縮寫是KDC.數(shù)字簽名是筆跡簽名的模擬,是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù).身份認(rèn)證是驗(yàn)證信息發(fā)送者是真的,而不是冒充的,包括信源、信宿等的認(rèn)證和識別.訪問控制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限.防火墻是位于兩個(gè)網(wǎng)絡(luò)之間,一端是內(nèi)部網(wǎng)絡(luò),另一端是外部網(wǎng)絡(luò).防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu).IDS的物理實(shí)現(xiàn)不同,按檢測的監(jiān)控位置劃分,入侵檢測系統(tǒng)可分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng).計(jì)算機(jī)病毒的5個(gè)特征是：主動(dòng)傳染性、破壞性、寄生性〔隱蔽性、潛伏性、多態(tài)性.惡意代碼的基本形式還有后門、邏輯炸彈、特洛伊木馬、蠕蟲、細(xì)菌.蠕蟲是通過網(wǎng)絡(luò)進(jìn)行傳播的.計(jì)算機(jī)病毒的工作機(jī)制有潛伏機(jī)制、傳染機(jī)制、表現(xiàn)機(jī)制.三、問答題1．簡述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn),并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象.主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部,破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性,即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞,使系統(tǒng)無法正常運(yùn)行.被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息,使信息保密性遭到破壞,信息泄露而無法察覺,給用戶帶來巨大的損失.2．簡述對稱密鑰密碼體制的原理和特點(diǎn).對稱密鑰密碼體制,對于大多數(shù)算法,解密算法是加密算法的逆運(yùn)算,加密密鑰和解密密鑰相同,同屬一類的加密體制.它保密強(qiáng)度高但開放性差,要求發(fā)送者和接收者在安全通信之前,需要有可靠的密鑰信道傳遞密鑰,而此密鑰也必須妥善保管.什么是序列密碼和分組密碼？序列密碼是一種對明文中的單個(gè)位〔有時(shí)對字節(jié)運(yùn)算的算法.分組密碼是把明文信息分割成塊結(jié)構(gòu),逐塊予以加密和解密.塊的長度由算法設(shè)計(jì)者預(yù)先確定.簡述公開密鑰密碼機(jī)制的原理和特點(diǎn)？公開密鑰密碼體制是使用具有兩個(gè)密鑰的編碼解碼算法,加密和解密的能力是分開的；這兩個(gè)密鑰一個(gè)保密,另一個(gè)公開.根據(jù)應(yīng)用的需要,發(fā)送方可以使用接收方的公開密鑰加密消息,或使用發(fā)送方的私有密鑰簽名消息,或兩個(gè)都使用,以完成某種類型的密碼編碼解碼功能.什么是MD5？MD消息摘要算法是由Rivest提出,是當(dāng)前最為普遍的Hash算法,MD5是第5個(gè)版本,該算法以一個(gè)任意長度的消息作為輸入,生成128位的消息摘要作為輸出,輸入消息是按512位的分組處理的.安全問題概述一、選擇題二、問答題請解釋5種"竊取機(jī)密攻擊"方式的含義.1網(wǎng)絡(luò)踩點(diǎn)〔Footprinting攻擊者事先匯集目標(biāo)的信息,通常采用Whois、Finger、Nslookup、Ping等工具獲得目標(biāo)的一些信息,如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等,這往往是黑客入侵所做的第一步工作.2掃描攻擊〔Scanning這里的掃描主要指端口掃描,通常采用Nmap等各種端口掃描工具,可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息,比如機(jī)器上打開了哪些端口,這樣就知道開設(shè)了哪些網(wǎng)絡(luò)服務(wù).黑客就可以利用這些服務(wù)的漏洞,進(jìn)行進(jìn)一步的入侵.這往往是黑客入侵所做的第二步工作.3協(xié)議棧指紋〔StackFingerprinting鑒別〔也稱操作系統(tǒng)探測黑客對目標(biāo)主機(jī)發(fā)出探測包,由于不同OS廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微差別,因此每種OS都有其獨(dú)特的響應(yīng)方法,黑客經(jīng)常能夠確定目標(biāo)主機(jī)所運(yùn)行的OS.這往往也可以看作是掃描階段的一部分工作.4信息流嗅探〔Sniffering通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜〔Promiscuous模式,或在各種局域網(wǎng)中某主機(jī)使用ARP欺騙,該主機(jī)就會接收所有經(jīng)過的數(shù)據(jù)包.基于這樣的原理,黑客可以使用一個(gè)嗅探器〔軟件或硬件對網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視,從而收集到帳號和口令等信息.這是黑客入侵的第三步工作.5會話劫持〔SessionHijacking所謂會話劫持,就是在一次正常的通信過程中,黑客作為第三方參與到其中,或者是在數(shù)據(jù)流里注射額外的信息,或者是將雙方的通信模式暗中改變,即從直接聯(lián)系變成交由黑客中轉(zhuǎn).這種攻擊方式可認(rèn)為是黑客入侵的第四步工作——真正的攻擊中的一種.請解釋5種"非法訪問"攻擊方式的含義.1口令破解攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令,也可通過猜測或竊聽等方式獲取口令,從而進(jìn)入系統(tǒng)進(jìn)行非法訪問,選擇安全的口令非常重要.這也是黑客入侵中真正攻擊方式的一種.2>IP欺騙攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標(biāo)主機(jī)的信任,這主要針對LinuxUNIX下建立起IP地址信任關(guān)系的主機(jī)實(shí)施欺騙.這也是黑客入侵中真正攻擊方式的一種.3>DNS欺騙當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請求〔由域名解析出IP地址時(shí),因?yàn)椴贿M(jìn)行身份驗(yàn)證,這樣黑客就可以冒充被請求方,向請求方返回一個(gè)被篡改了的應(yīng)答〔IP地址,將用戶引向黑客設(shè)定的主機(jī).這也是黑客入侵中真正攻擊方式的一種.4>重放〔Replay攻擊在消息沒有時(shí)間戳的情況下,攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來,過一段時(shí)間后再發(fā)送出去.5>特洛伊木馬〔TrojanHorse把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程序中,而一旦用戶觸發(fā)正常程序,黑客代碼同時(shí)被激活,這些代碼往往能完成黑客早已指定的任務(wù)〔如監(jiān)聽某個(gè)不常用端口,假冒登錄界面獲取帳號和口令等.4.了解下列各種攻擊方式：UDPFlood、FraggleAttack、電子郵件炸彈、緩沖區(qū)溢出攻擊、社交工程1UDPFlood有些系統(tǒng)在安裝后,沒有對缺省配置進(jìn)行必要的修改,使得一些容易遭受攻擊的服務(wù)端口對外敞開著.Echo服務(wù)〔TCP7和UDP7對接收到的每個(gè)字符進(jìn)行回送；Chargen〔TCP19和UDP19對每個(gè)接收到的數(shù)據(jù)包都返回一些隨機(jī)生成的字符〔如果是與Chargen服務(wù)在TCP19端口建立了連接,它會不斷返回亂字符直到連接中斷.黑客一般會選擇兩個(gè)遠(yuǎn)程目標(biāo),生成偽造的UDP數(shù)據(jù)包,目的地是一臺主機(jī)的Chargen服務(wù)端口,來源地假冒為另一臺主機(jī)的Echo服務(wù)端口.這樣,第一臺主機(jī)上的Chargen服務(wù)返回的隨機(jī)字符就發(fā)送給第二臺主機(jī)的Echo服務(wù)了,第二臺主機(jī)再回送收到的字符,如此反復(fù),最終導(dǎo)致這兩臺主機(jī)應(yīng)接不暇而拒絕服務(wù),同時(shí)造成網(wǎng)絡(luò)帶寬的損耗.2FraggleAttack它對SmurfAttack做了簡單的修改,使用的是UDP應(yīng)答消息而非ICMP.3電子郵件炸彈黑客利用某個(gè)"無辜"的郵件服務(wù)器,持續(xù)不斷地向攻擊目標(biāo)〔郵件地址發(fā)送垃圾郵件,很可能"撐破"用戶的信箱,導(dǎo)致正常郵件的丟失.4緩沖區(qū)溢出攻擊十多年來應(yīng)用非常廣泛的一種攻擊手段,近年來,許多著名的安全漏洞都與緩沖區(qū)溢出有關(guān).所謂緩沖區(qū)溢出,就是由于填充數(shù)據(jù)越界而導(dǎo)致程序原有流程的改變,黑客借此精心構(gòu)造填充數(shù)據(jù),讓程序轉(zhuǎn)而執(zhí)行特殊的代碼,最終獲得系統(tǒng)的控制權(quán).5社交工程〔SocialEngineering一種低技術(shù)含量破壞網(wǎng)絡(luò)安全的有效方法,但它其實(shí)是高級黑客技術(shù)的一種,往往使得處在看似嚴(yán)密防護(hù)下的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)致命的突破口.這種技術(shù)是利用說服或欺騙的方式,讓網(wǎng)絡(luò)內(nèi)部的人〔安全意識薄弱的職員來提供必要的信息,從而獲得對信息系統(tǒng)的訪問.6.請解釋下列網(wǎng)絡(luò)信息安全的要素：保密性、完整性、可用性、可存活性安全體系結(jié)構(gòu)與模型一、選擇題三、問答題列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù).〔1鑒別用于鑒別實(shí)體的身份和對身份的證實(shí),包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種.〔2訪問控制提供對越權(quán)使用資源的防御措施.〔3數(shù)據(jù)機(jī)密性針對信息泄露而采取的防御措施.分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種.〔4數(shù)據(jù)完整性防止非法篡改信息,如修改、復(fù)制、插入和刪除等.分為帶恢復(fù)的連接完整性、無恢復(fù)的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種.〔5抗否認(rèn)是針對對方否認(rèn)的防范措施,用來證實(shí)發(fā)生過的操作.包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種.解釋六層網(wǎng)絡(luò)安全體系中各層安全性的含義.1.物理安全防止物理通路的損壞、竊聽和攻擊〔干擾等,保證物理安全是整個(gè)網(wǎng)絡(luò)安全的前提,包括環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面.2.鏈路安全保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽,主要針對公用信道的傳輸安全.在公共鏈路上采用一定的安全手段可以保證信息傳輸?shù)陌踩?對抗通信鏈路上的竊聽、篡改、重放、流量分析等攻擊.3.網(wǎng)絡(luò)級安全需要從網(wǎng)絡(luò)架構(gòu)〔路由正確、網(wǎng)絡(luò)訪問控制〔防火墻、安全網(wǎng)關(guān)、VPN、漏洞掃描、網(wǎng)絡(luò)監(jiān)控與入侵檢測等多方面加以保證,形成主動(dòng)性的網(wǎng)絡(luò)防御體系.4.信息安全包括信息傳輸安全〔完整性、機(jī)密性、不可抵賴和可用性等、信息存儲安全〔數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)訪問控制措施、防病毒和信息〔內(nèi)容審計(jì).5.應(yīng)用安全包括應(yīng)用平臺〔OS、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器的安全、應(yīng)用程序的安全.6.用戶安全用戶合法性,即用戶的身份認(rèn)證和訪問控制.9．Windows2000Server屬于哪個(gè)安全級別,為什么？Windows2000Server屬于C2級.因?yàn)樗性L問控制、權(quán)限控制,可以避免非授權(quán)訪問,并通過注冊提供對用戶事件的跟蹤和審計(jì).密鑰分配與管理一、填空題二、問答題5．KDC在密鑰分配過程中充當(dāng)何種角色？KDC在密鑰分配過程中充當(dāng)可信任的第三方.KDC保存有每個(gè)用戶和KDC之間共享的唯一密鑰,以便進(jìn)行分配.在密鑰分配過程中,KDC按照需要生成各對端用戶之間的會話密鑰,并由用戶和KDC共享的密鑰進(jìn)行加密,通過安全協(xié)議將會話密鑰安全地傳送給需要進(jìn)行通信的雙方.第十章數(shù)字簽名與鑒別協(xié)議三、問答題1.數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情況時(shí),數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端：?否認(rèn),發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文.?偽造,接收方自己偽造一份報(bào)文,并聲稱它來自發(fā)送方.?冒充,網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文.?篡改,接收方對收到的信息進(jìn)行篡改.2.請說明數(shù)字簽名的主要流程.數(shù)字簽名通過如下的流程進(jìn)行：<1>采用散列算法對原始報(bào)文進(jìn)行運(yùn)算,得到一個(gè)固定長度的數(shù)字串,稱為報(bào)文摘要<MessageDigest>,不同的報(bào)文所得到的報(bào)文摘要各異,但對相同的報(bào)文它的報(bào)文摘要卻是惟一的.在數(shù)學(xué)上保證,只要改動(dòng)報(bào)文中任何一位,重新計(jì)算出的報(bào)文摘要值就會與原先的值不相符,這樣就保證了報(bào)文的不可更改性.<2>發(fā)送方用目己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名.<3>這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方.<4>接收方首先對接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要,再用發(fā)送方的公開密鑰對報(bào)文附件的數(shù)字簽名進(jìn)行解密,比較兩個(gè)報(bào)文摘要,如果值相同,接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改.3.數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制〔例如RSA.每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰,用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰,為一組用戶所共享,用于加密和驗(yàn)證簽名.采用數(shù)字證書,能夠確認(rèn)以下兩點(diǎn)：<1>保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認(rèn)或難以否認(rèn).<2>保證信息自簽發(fā)后到收到為止未曾做過任何修改,簽發(fā)的信息是真實(shí)信息.4.報(bào)文鑒別有什么作用,公開密鑰加密算法相對于常規(guī)加密算法有什么優(yōu)點(diǎn)？報(bào)文鑒別往往必須解決如下的問題：<1>報(bào)文是由確認(rèn)的發(fā)送方產(chǎn)生的.<2>報(bào)文的內(nèi)容是沒有被修改過的.<3>報(bào)文是按傳送時(shí)的相同順序收到的.<4>報(bào)文傳送給確定的對方.一種方法是發(fā)送方用自己的私鑰對報(bào)文簽名,簽名足以使任何人相信報(bào)文是可信的.另一種方法常規(guī)加密算法也提供了鑒別.但有兩個(gè)問題,一是不容易進(jìn)行常規(guī)密鑰的分發(fā),二是接收方?jīng)]有辦法使第三方相信該報(bào)文就是從發(fā)送方送來的,而不是接收方自己偽造的.因此,一個(gè)完善的鑒別協(xié)議往往考慮到了報(bào)文源、報(bào)文宿、報(bào)文內(nèi)容和報(bào)文時(shí)間性的鑒別.第十二章身份認(rèn)證三、問答題解釋身份認(rèn)證的基本概念.身份認(rèn)證是指用戶必須提供他是誰的證明,這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源,它是其他安全機(jī)制的基礎(chǔ).身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡,識別身份后,由訪問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個(gè)資源.一旦身份認(rèn)證系統(tǒng)被攻破,系統(tǒng)的所有安全措施將形同虛設(shè),黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng).2.單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？〔1用戶所知道的東西：如口令、密碼.〔2用戶所擁有的東西：如智能卡、身份證.〔3用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等.4.了解散列函數(shù)的基本性質(zhì).散列函數(shù)H必須具有性質(zhì)：?H能用于任何長度的數(shù)據(jù)分組；?H產(chǎn)生定長的輸出；?對任何給定的x,H<x>要相對容易計(jì)算；?對任何給定的碼h,尋找x使得H<x>=h在計(jì)算上是不可行的,稱為單向性；?對任何給定的分組x,尋找不等于x的y,使得H<y>=H<x>在計(jì)算上是不可行的,稱為弱抗沖突〔WeakCollisionResistance；?尋找對任何的<x,y>對,使得H<y>=H<x>在計(jì)算上是不可行的,稱為強(qiáng)抗沖突〔StrongCollisionResistance.12.了解Kerberos系統(tǒng)的優(yōu)點(diǎn).<1>安全：網(wǎng)絡(luò)竊聽者不能獲得必要信息以假冒其他用戶,Kerberos應(yīng)足夠強(qiáng)壯以致于潛在的敵人無法找到它的弱點(diǎn)連接.<2>可靠：Kerberos應(yīng)高度可靠并且應(yīng)借助于—個(gè)分布式服務(wù)器體系結(jié)構(gòu),使得一個(gè)系統(tǒng)能夠備份另一個(gè)系統(tǒng).<3>透明：理想情況下用戶除了要求輸入口令以外應(yīng)感覺不到認(rèn)證的發(fā)生.<4>可伸縮：系統(tǒng)應(yīng)能夠支持大數(shù)量的客戶和服務(wù)器,這意味著需要一個(gè)模塊化的分布式結(jié)構(gòu).第十三章授權(quán)與訪問控制三、問答題解釋訪問控制的基本概念.訪問控制是建立在身份認(rèn)證基礎(chǔ)上的,通過限制對關(guān)鍵資源的訪問,防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐?訪問控制的目的：限制主體對訪問客體的訪問權(quán)限〔安全訪問策略,從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用.2.訪問控制有幾種常用的實(shí)現(xiàn)方法？它們各有什么特點(diǎn)？1訪問控制矩陣行表示客體〔各種資源,列表示主體〔通常為用戶,行和列的交叉點(diǎn)表示某個(gè)主體對某個(gè)客體的訪問權(quán)限.通常一個(gè)文件的Own權(quán)限表示可以授予〔Authorize或撤消〔Revoke其他用戶對該文件的訪問控制權(quán)限.2訪問能力表實(shí)際的系統(tǒng)中雖然可能有很多的主體與客體,但兩者之間的權(quán)限關(guān)系可能并不多.為了減輕系統(tǒng)的開銷與浪費(fèi),我們可以從主體〔行出發(fā),表達(dá)矩陣某一行的信息,這就是訪問能力表〔Capabilities.只有當(dāng)一個(gè)主體對某個(gè)客體擁有訪問的能力時(shí),它才能訪問這個(gè)客體.但是要從訪問能力表獲得對某一特定客體有特定權(quán)限的所有主體就比較困難.在一個(gè)安全系統(tǒng)中,正是客體本身需要得到可靠的保護(hù),訪問控制服務(wù)也應(yīng)該能夠控制可訪問某一客體的主體集合,于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式——ACL.3訪問控制表也可以從客體〔列出發(fā),表達(dá)矩陣某一列的信息,這就是訪問控制表〔AccessControlList.它可以對某一特定資源指定任意一個(gè)用戶的訪問權(quán)限,還可以將有相同權(quán)限的用戶分組,并授予組的訪問權(quán).4授權(quán)關(guān)系表授權(quán)關(guān)系表〔AuthorizationRelations的每一行表示了主體和客體的一個(gè)授權(quán)關(guān)系.對表按客體進(jìn)行排序,可以得到訪問控制表的優(yōu)勢；對表按主體進(jìn)行排序,可以得到訪問能力表的優(yōu)勢.適合采用關(guān)系數(shù)據(jù)庫來實(shí)現(xiàn).8.為什么MAC能阻止特洛伊木馬？MAC能夠阻止特洛伊木馬.一個(gè)特洛伊木馬是在一個(gè)執(zhí)行某些合法功能的程序中隱藏的代碼,它利用運(yùn)行此程序的主體的權(quán)限違反安全策略,通過偽裝成有用的程序在進(jìn)程中泄露信息.阻止特洛伊木馬的策略是基于非循環(huán)信息流,由于MAC策略是通過梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通,從而它可以很好地阻止特洛伊木馬的泄密.第十四章PKI技術(shù)二、問答題2.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā),遵循什么標(biāo)準(zhǔn),有什么特點(diǎn)？數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心<CA>數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件.認(rèn)證中心<CA>作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu),專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù).認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509V3標(biāo)準(zhǔn).X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受.X.509證書已應(yīng)用于許多網(wǎng)絡(luò)安全,其中包括IPSec<IP安全>、SSL、SET、S/MIME.3.X.509規(guī)范中是如何定義實(shí)體A信任實(shí)體B的？在PKI中信任又是什么具體含義？X.509規(guī)范中給出了適用于我們目標(biāo)的定義：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望的那樣行動(dòng),則A信任B.在PKI中,我們可以把這個(gè)定義具體化為：如果一個(gè)用戶假定CA可以把任一公鑰綁定到某個(gè)實(shí)體上,則他信任該CA.4.有哪4種常見的信任模型？1.認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型認(rèn)證機(jī)構(gòu)<CA>的嚴(yán)格層次結(jié)構(gòu)可以被描繪為一棵倒置的樹,根代表一個(gè)對整個(gè)PKI系統(tǒng)的所有實(shí)體都有特別意義的CA——通常叫做根CA<RootCA>,它充當(dāng)信任的根或"信任錨<TrustAnchor>"——也就是認(rèn)證的起點(diǎn)或終點(diǎn).2.分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上.也就是說,A把CA1作為他的信任錨,而B可以把CA2做為他的信任錨.因?yàn)檫@些CA都作為信任錨,因此相應(yīng)的CA必須是整個(gè)PKI系統(tǒng)的一個(gè)子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根CA.3.Web模型Web模型依賴于流行的瀏覽器,許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上.這些公鑰確定了一組CA,瀏覽器用戶最初信任這些CA并將它們作為證書檢驗(yàn)的根.從根本上講,它更類似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型,這是一種有隱含根的嚴(yán)格層次結(jié)構(gòu).4.以用戶為中心的信任模型每個(gè)用戶自己決定信任哪些證書.通常,用戶的最初信任對象包括用戶的朋友、家人或同事,但是否信任某證書則被許多因素所左右.9.CA有哪些具體的職責(zé)？?驗(yàn)證并標(biāo)識證書申請者的身份.?確保CA用于簽名證書的非對稱密鑰的質(zhì)量.?確保整個(gè)簽證過程的安全性,確保簽名私鑰的安全性.?證書材料信息<包括公鑰證書序列號、CA標(biāo)識等>的管理.?確定并檢查證書的有效期限.?確保證書主體標(biāo)識的惟一性,防止重名.?發(fā)布并維護(hù)作廢證書表〔CRL.?對整個(gè)證書簽發(fā)過程做日志記錄.?向申請人發(fā)通知.其中最為重要的是CA自己的一對密鑰的管理,它必須確保高度的機(jī)密性,防止他方偽造證書.第十五章IP的安全一、選擇題二、問答題1.IPSec和IP協(xié)議以及VPN的關(guān)系是什么？IPSec是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制.不是一個(gè)單獨(dú)的協(xié)議,而是一組協(xié)議.IPSec是隨著IPv6的制定而產(chǎn)生的,后來也增加了對IPv4的支持.在前者中是必須支持的,在后者中是可選的.IPSec作為一個(gè)第三層隧道協(xié)議實(shí)現(xiàn)了VPN通信,可以為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),免遭竊聽和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性.IPSec包含了哪3個(gè)最重要的協(xié)議？簡述這3個(gè)協(xié)議的主要功能？IPSec眾多的RFC通過關(guān)系圖組織在一起,它包含了三個(gè)最重要的協(xié)議：AH、ESP、IKE.〔1AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊.數(shù)據(jù)完整性驗(yàn)證通過哈希函數(shù)〔如MD5產(chǎn)生的校驗(yàn)來保證；數(shù)據(jù)源身份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn)；AH報(bào)頭中的序列號可以防止重放攻擊.〔2ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外,還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密.數(shù)據(jù)包加密是指對一個(gè)IP包進(jìn)行加密〔整個(gè)IP包或其載荷部分,一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密一般用于支持IPSec的路由器,源端路由器并不關(guān)心IP包的內(nèi)容,對整個(gè)IP包進(jìn)行加密后傳輸,目的端路由器將該包解密后將原始數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā).AH和ESP可以單獨(dú)使用,也可以嵌套使用.可以在兩臺主機(jī)、兩臺安全網(wǎng)關(guān)〔防火墻和路由器,或者主機(jī)與安全網(wǎng)關(guān)之間使用.〔3IKE負(fù)責(zé)密鑰管理,定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法.IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟<SA>中,供AH和ESP以后通信時(shí)使用.解釋域<DOI>為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識符.第十六章電子郵件的安全一、問答題1.電子郵件存在哪些安全性問題？1垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動(dòng)郵件等.垃圾郵件會增加網(wǎng)絡(luò)負(fù)荷,影響網(wǎng)絡(luò)傳輸速度,占用郵件服務(wù)器的空間.2詐騙郵件通常指那些帶有惡意的欺詐性郵件.利用電子郵件的快速、便宜,發(fā)信人能迅速讓大量受害者上當(dāng).3郵件炸彈指在短時(shí)間內(nèi)向同一信箱發(fā)送大量電子郵件的行為,信箱不能承受時(shí)就會崩潰.4通過電子郵件傳播的病毒通常用VBScript編寫,且大多數(shù)采用附件的形式夾帶在電子郵件中.當(dāng)收信人打開附件后,病毒會查詢他的通訊簿,給其上所有或部分人發(fā)信,并將自身放入附件中,以此方式繼續(xù)傳播擴(kuò)散.端到端的安全電子郵件技術(shù),能夠保證郵件從發(fā)出到接收的整個(gè)過程中的哪三種安全性？端到端的安全電子郵件技術(shù),保證郵件從被發(fā)出到被接收的整個(gè)過程中,內(nèi)容保密、無法修改、并且不可否認(rèn).目前的Internet上,有兩套成型的端到端安全電子郵件標(biāo)準(zhǔn)：PGP和S/MIME.它一般只對信體進(jìn)行加密和簽名,而信頭則由于郵件傳輸中尋址和路由的需要,必須保證原封不動(dòng).畫圖說明PGP的工作原理.第十七章Web與電子商務(wù)的安全二、問答題1.討論一下為什么CGI出現(xiàn)的漏洞對Web服務(wù)器的安全威脅最大？相比前面提到的問題,CGI可能出現(xiàn)的漏洞很多,而被攻破后所能造成的威脅也很大.程序設(shè)計(jì)人員的一個(gè)簡單的錯(cuò)誤或不規(guī)范的編程就可能為系統(tǒng)增加一個(gè)安全漏洞.一個(gè)故意放置的有惡意的CGI程序能夠自由訪問系統(tǒng)資源,使系統(tǒng)失效、刪除文件或查看顧客的保密信息<包括用戶名和口令>.說明SSL的概念和功能.安全套接層協(xié)議SSL主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,但它不能保證信息的不可抵賴性,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸.它是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議,它包括服務(wù)器認(rèn)證、客戶認(rèn)證<可選>、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性.SSL通過在瀏覽器軟件和Web服務(wù)器之間建立一條安全通道,實(shí)現(xiàn)信息在Internet中傳送的保密性.在TCP/IP協(xié)議族中,SSL位于TCP層之上、應(yīng)用層之下.這使它可以獨(dú)立于應(yīng)用層,從而使應(yīng)用層協(xié)議可以直接建立在SSL之上.SSL協(xié)議包括以下一些子協(xié)議；SSL記錄協(xié)議、SSL握手協(xié)議、SSL更改密碼說明協(xié)議和SSL警告協(xié)議.SSL記錄協(xié)議建立在可靠的傳輸協(xié)議<例如TCP>上,用來封裝高層的協(xié)議.SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前,能夠通過特定的加密算法相互鑒別.什么是SET電子錢包？SET交易發(fā)生的先決條件是,每個(gè)持卡人<客戶>必須擁有一個(gè)惟一的電子<數(shù)字>證書,且由客戶確定口令,并用這個(gè)口令對數(shù)字證書、私鑰、信用卡號碼及其他信息進(jìn)行加密存儲,這些與符合SET協(xié)議的軟件一起組成了一個(gè)SET電子錢包.簡述SSL的記錄協(xié)議和握手協(xié)議.SSL記錄協(xié)議是建立在可靠的傳輸協(xié)議〔如TCP之上,為更高層提供基本的安全服務(wù),如提供數(shù)據(jù)封裝、眼所、加密等基本功能的支持.SSL記錄協(xié)議用來定義數(shù)據(jù)傳輸?shù)母袷?它包括的記錄頭和記錄數(shù)據(jù)格式的規(guī)定.在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中.SSL握手協(xié)議負(fù)責(zé)建立當(dāng)前會話狀態(tài)的參數(shù).雙方協(xié)商一個(gè)協(xié)議版本,選擇密碼算法,相互認(rèn)證〔不是必須的,并且使用公鑰加密技術(shù)通過一系列交換的消息在客戶端和服務(wù)器之間生成共享密鑰.第十八章防火墻技術(shù)三、問答題1.什么是防火墻,為什么需要有防火墻？防火墻是一種裝置,它是由軟件/硬件設(shè)備組合而成,通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間,限制Internet用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限.換言之,一個(gè)防火墻在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)<通常是Internet>之間提供一個(gè)封鎖工具.如果沒有防火墻,則整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個(gè)主機(jī),因此,所有的主機(jī)都必須達(dá)到一致的高度安全水平,這在實(shí)際操作時(shí)非常困難.而防火墻被設(shè)計(jì)為只運(yùn)行專用的訪問控制軟件的設(shè)備,沒有其他的服務(wù),因此也就意味著相對少一些缺陷和安全漏洞,這就使得安全管理變得更為方便,易于控制,也會使內(nèi)部網(wǎng)絡(luò)更加安全.防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情況下,盡可能保證內(nèi)部網(wǎng)絡(luò)的安全.它是一種被動(dòng)的技術(shù),是一種靜態(tài)安全部件.2.防火墻應(yīng)滿足的基本條件是什么？作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合,防火墻應(yīng)滿足的基本條件如下：<1>內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻.<2>只有符合安全策略的數(shù)據(jù)流才能通過防火墻.<3>防火墻自身具有高可靠性,應(yīng)對滲透<Penetration>免疫,即它本身是不可被侵入的.3.列舉防火墻的幾個(gè)基本功能？<1>隔離不同的網(wǎng)絡(luò),限制安全問題的擴(kuò)散,對安全集中管理,簡化了安全管理的復(fù)雜程度.<2>防火墻可以方便地記錄網(wǎng)絡(luò)上的各種非法活動(dòng),監(jiān)視網(wǎng)絡(luò)的安全性,遇到緊急情況報(bào)警.<3>防火墻可以作為部署NAT的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu).<4>防火墻是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn).<5>防火墻也可以作為IPSec的平臺.<6>內(nèi)容控制功能.根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制,比如防火墻可以從電子郵件中過濾掉垃圾郵件,可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息.只有代理服務(wù)器和先進(jìn)的過濾才能實(shí)現(xiàn).第十九章VPN技術(shù)二、問答題1.解釋VPN的基本概念.VPN是VirtualPrivateNetwork的縮寫,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng),尤其是Internet連接而成的邏輯上的虛擬子網(wǎng).Virtual是針對傳統(tǒng)的企業(yè)"專用網(wǎng)絡(luò)"而言的.VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道,盡管沒有自己的專用線路,但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能.Private表示VPN是被特定企業(yè)或用戶私有的,公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以使用.在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證,保證了傳輸內(nèi)容的完整性和機(jī)密性.簡述VPN使用了哪些主要技術(shù).1隧道〔封裝技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式.一個(gè)VPN可抽象為一個(gè)沒有自環(huán)的連通圖,每個(gè)頂點(diǎn)代表一個(gè)VPN端點(diǎn)〔用戶數(shù)據(jù)進(jìn)入或離開VPN的設(shè)備端口,相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對應(yīng)端點(diǎn)的邏輯通道,即隧道.隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行.需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理,從信源的一個(gè)VPN端點(diǎn)進(jìn)入VPN,經(jīng)相關(guān)隧道穿越VPN〔物理上穿越不安全的互聯(lián)網(wǎng),到達(dá)信宿的另一個(gè)VPN端點(diǎn),再經(jīng)過相應(yīng)解封裝處理,便得到原始數(shù)據(jù).〔不僅指定傳送的路徑,在中轉(zhuǎn)節(jié)點(diǎn)也不會解析原始數(shù)據(jù)2當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營商的網(wǎng)絡(luò)時(shí),在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝,可能會造成數(shù)據(jù)泄露,這就需要用到加密技術(shù)和密鑰管理技術(shù).目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP〔安全聯(lián)盟和密鑰管理協(xié)議.3對于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN,在隧道建立之前需要確認(rèn)訪問者身份,是否可以建立要求的隧道,若可以,系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制.這需要訪問者與設(shè)備的身份認(rèn)證技術(shù)和訪問控制技術(shù).VPN有哪三種類型？它們的特點(diǎn)和應(yīng)用場合分別是什么？1.AccessVPN〔遠(yuǎn)程接入網(wǎng)即所謂移動(dòng)VPN,適用于企業(yè)內(nèi)部人員流動(dòng)頻繁和遠(yuǎn)程辦公的情況,出差員工或在家辦公的員工利用當(dāng)?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關(guān)建立私有的隧道連接.通過撥入當(dāng)?shù)氐腎SP進(jìn)入Internet再連接企業(yè)的VPN網(wǎng)關(guān),在用戶和VPN網(wǎng)關(guān)之間建立一個(gè)安全的"隧道",通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng)〔節(jié)省通信費(fèi)用,又保證了安全性.撥入方式包括撥號、ISDN、ADSL等,唯一的要求就是能夠使用合法IP地址訪問Internet.2.IntranetVPN〔內(nèi)聯(lián)網(wǎng)如果要進(jìn)行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián),可以使用IntranetVPN的方式,即所謂的網(wǎng)關(guān)對網(wǎng)關(guān)VPN.在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的VPN隧道,兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信.3.ExtranetVPN〔外聯(lián)網(wǎng)如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴連接到企業(yè)內(nèi)部網(wǎng),可以使用ExtranetVPN.其實(shí)也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的VPN,但它需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置.舉例說明什么是乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議？〔1乘客協(xié)議：用戶真正要傳輸〔也即被封裝的數(shù)據(jù),如IP、PPP、SLIP等.〔2封裝協(xié)議：用于建立、保持和拆卸隧道,如L2F、PPTP、L2TP、GRE.〔3傳輸協(xié)議：乘客協(xié)議被封裝后應(yīng)用傳輸協(xié)議,例如UDP協(xié)議.8.了解第三層隧道協(xié)議——GRE.GRE是通用的路由封裝協(xié)議,支持全部的路由協(xié)議〔如RIP2、OSPF等,用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包〔IP、IPX、NetBEUI等.在GRE中,乘客協(xié)議就是上面這些被封裝的協(xié)議,封裝協(xié)議就是GRE,傳輸協(xié)議就是IP.在GRE的處理中,很多協(xié)議的細(xì)微差別都被忽略,這使得GRE不限于某個(gè)特定的"XoverY"的應(yīng)用,而是一種通用的封裝形式.原始IP包的IP地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留IP地址,而外層的IP地址是企業(yè)網(wǎng)絡(luò)出口的IP地址,因此,盡管私有網(wǎng)絡(luò)的IP地址無法和外部網(wǎng)絡(luò)進(jìn)行正確的路由,但這個(gè)封裝之后的IP包可以在Internet上路由——最簡單的VPN技術(shù).〔NAT,非IP數(shù)據(jù)包能在IP互聯(lián)網(wǎng)上傳送GREVPN適合一些小型點(diǎn)對點(diǎn)的網(wǎng)絡(luò)互聯(lián).第二十章安全掃描技術(shù)一、問答題1.簡述常見的黑客攻擊過程.1目標(biāo)探測和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息.一般先大量收集網(wǎng)上主機(jī)的信息,然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo).1>踩點(diǎn)〔Footprinting黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息.Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊信息,DNS查詢<用Windows/UNIX上提供的nslookup命令客戶端>也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息.此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔?2>掃描〔Scanning在掃描階段,我們將使用各種工具和技巧<如Ping掃射、端口掃描以及操作系統(tǒng)檢測等>確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些端口<以此來判斷它們在提供哪些服務(wù)>,甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng).3>查點(diǎn)〔Enumeration從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點(diǎn),這些信息很可能成為目標(biāo)系統(tǒng)的禍根.比如說,一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源,攻擊者猜出對應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問題了.查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的,因此要求使用前面步驟匯集的信息.2獲得訪問權(quán)〔GainingAccess通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限.3特權(quán)提升〔EscalatingPrivilege在獲得一般賬戶后,黑客經(jīng)常會試圖獲得更高的權(quán)限,比如獲得系統(tǒng)管理員權(quán)限.通