1、网络安全思考题答案网络安全思考题答案第一章1.什么是osi安全体系结构?为了有效评估某个机构的安全需求,并选择各种安全产品和策略,负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法,这一套系统体系架构便称为安全体系架构。2.被动和主动威胁之间有什么不同?被动威胁的本质是窃听或监视数据传输,主动威胁包含数据流的改写和错误数据流的添加。3.列出并简要定义被动和主动安全攻击的分类?被动攻击:消息容泄漏和流量分析。主动攻击:假冒,重放,改写消息和拒绝服务。4.列出并简要定义安全服务的分类认证,访问控制,数据性,数据完整性,不可抵赖性。5.列出并简要定义安全机制的分类。特定安全
2、机制:为提供osi安全服务,可能并到适当的协议层中。普通安全机制:没有特定osi安全服务或者协议层的机制。第二章1.对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法。2.加密算法使用的两个基本功能是什么?替换和排列组合3.分组密码和流密码区别是什么?流密码是一个比特一个比特的加密,分组时若干比特同时加密。比如DES是64bit的明文一次性加密成密文。密码分析方面有很多不同。比如说密码中,比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同,比如流密码通常是在特定硬件设备上实现。分组密码可以在硬件实现,也可以在计算机软件上实现。4.攻击密码的两个通用方法是什么?密码分
3、析与穷举法(暴力解码)5.为什么一些分组密码操作模式只使用了加密,而其他的操作模式使用了加密又使用了解密答:出于加密与解密的考虑,一个密码模式必须保证加密与解密的可逆性。在密码分组模式中,对明文与前一密文分组异或后加密,在解密时就要先解密再异或才能恢复出明文;在计数器模式中,对计数器值加密后与明文异或产生密文,在解密时,只需要相同的计数器加密值与密文异或就可得到明文。6.为什么3DES的中间部分是解密而不是加密?3DES加密过程中使用的解密没有密码方面的意义。唯一好处是让3des使用者能解密原来单重des使用者加密的数据。第三章1.消息认证的三种方法:利用常规加密的消息认证、消息认证码、单向散
4、列函数2什么是mac?一种认证技术利用私钥产生一小块数据,并将其附到信息上的技术。3简述图3.2的三种方案a使用传统加密:消息在散列函数的作用下产生一个散列值,对散列值进行传统加密后附加到消息上传送,解密时,把消息上附带的加密散列值解密得到散列值与消息产生的散列值比较如果不一样则消息被篡改为伪消息。b使用公钥加密:过程与传统加密相似,只是在对散列值加密时采用了公钥加密方式。c使用秘密值:把秘密值与消息连接,再经过散列函数产生一个散列值,把散列值附加到消息上传送,解密时,把秘密值与消息连接块经过散列函数产生的散列值与接收的加密散列值解密后的散列值比较,若一样,则不是伪消息,否则是伪消息4、对于消
5、息认证,散列函数必须具有什么性质才可以用1H可使用于任意长度的数据块2H能生成固定长度的输出3对于任意长度的x,计算H(x)相对容易,并且可以用软/硬件方式实现4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行5对于任意给定的数据块x,找到满足H(y)=H(x),的y=!x在计算机上是不可行的。6找到满足H(x)=H(y)的任意一对(x,y)在计算机上是不可行的。4、公钥加密系统的基本组成元素是什么?明文,加密算法,公钥和私钥,密文,解密算法5、列举并简要说明公钥加密系统的三种应用加密/解密,发送者用接收者公钥加密信息。数字签名,发送者用自己的私钥“签名”消息;密钥交换:双方联合操作
6、来交换会话密钥。第四章1.会话密钥与主密钥的区别是什么?主密钥是指主机与kdc之间通信使用的共享密钥。而会话密钥是两台主机主机建立连接后,产生的一个唯一的一次性会话密钥。2、一个提供全套kerberos服务的环境由那些实体组成?一台Kerberos服务器,若干客户端和若干应用服务器3.什么是现实?现实是指一个随机数在as到c的消息中被重复来确保应答是实时的,而不是被攻击者重放过的。4.与密钥分发有关的公钥密码的两个不同用处是什么?1公钥分发2利用公钥加密分发私钥5.什么是公钥证书?公钥证书由公钥、公钥所有者的用户id和可信的第三方(用户团体所信任的认证中心CA)签名的整数数据块组成,用户可通过
7、安全渠道把它的公钥提交给ca,获得证书。第五章1.、SSL由那些协议组成?SSL记录协议,SSL握手协议,SSL密码变更规格协议,SSL报警协议2.、SSL连接和SSL会话之间的区别是什么?连接是一种能够提供合适服务类型的传输。连接是点对点关系而且是短暂的。会话:SSL会话是客户与服务器之间的一种关联。会话通常用来避免每条连接需要进行的代价高昂的新的安全参数协商过程。3、SSL记录协议提供了那些服务性(用对称加密)和消息完整性(用消息认证码)4.https的目的是什么?在http的基础上结合ssl来实现网络浏览器和服务器的安全通信。5.对哪些应用ssh是有用的?最初版本ssh致力于提供一个安全
8、的远程登陆装置代替telnet和其他远程无保护机制,ssh还提供一个更为广泛的用户/服务器功能,并支持文件传输和E-MAIL等网络功能。6.SSH由传输层协议、用户身份验证协议、连接协议组成不考第六章1.什么是802.11WLAN的基本模块?一个无线局域网的最小组成模块是基本服务单元BSS,包含执行相同的MAC协议和竞争同一无线介质接口的多个无线站点/3.列出IEEE802.11服务连接,认证,重认证、取消连接,分发,整合,MSDU传输,加密,重连接。4.分布式系统是无线网络吗?(可能是也可能不是)分布式系统可以是交换机,有线网络,也可以是无线网络,所以说分布式系统是无线网络不全对。5.请解释
9、联合的概念和移动概念的相关性?移动性是指802.11环境下移动站点的物理转换,包括无转换基于BSS的转换基于扩展服务单元的转换。联合性提供一种BSS中,移动站点向AP证明自己身份以便与其他站点进行数据交换的服务。6.被IEEE802.11定义的安全区域是什么?IEEE802.11i三个主要安全区域,认证,密钥管理,加密数据传输。7.简要描述IEEE802.11i操作的四个阶段1/发现2/认证3/密钥产生及其配送4/数据传输5/连接终止9.HTML过滤器和WAP代理之间的区别是什么?HTML过滤器将HTML的容翻译成无限置标(WML)的容。如果过滤器与WAP代理分开,则利用HTTP/TCP/IP
10、将WML传送到WAP代理,WAP代理将WML转换成二进制WML格式,并经由无线网络用WAP协议栈传送到移动用户。10wsp提供什么服务?Wsp即无线会话协议。Wsp为两个会话服务提供接口应用。连接导向的会话服务基于wtp,非连接会话服务则是基于不可靠传输协议WDP进行操作。11.WTP的三种传输模式在什么时候被使用?1/提供了不可信赖的数据报服务,可以用在不可信进栈操作2/提供了可信赖的数据报服务,可以用在可信进栈操作中3/提供请求回复传输服务并支持在一个WSP会话中进行多个传输。12.简要描述WTLS提供的安全服务(网关的保护)1/数据完整性:使用信息认证来确保用户和网关之间发送的数据未被篡
11、改2/性:使用加密来确保数据不被第三方读取3/认证:使用数字证书来对两方进行认证。4/拒绝服务保护:删除拒绝重放或者未成功验证的信息。13.简要描述WTLS的四种协议要素WTLS记录协议:从更高层取得用户数据,并将数据封装在一个协议数据单元中。WTLS密码变更规格协议:该协议只有一条信息,包含一个数值为一的比特。该信息的目的将不确定状态复制到当前状态,以便更新该连接使用的加密套件。WTLS警报协议:用来将WTLS相关的警报传送到peer实体。WTLS握手协议:允许服务器和用户相互认证,并协商加密和MAC算法以及用来保护WTLS记录中发送数据的加密密钥。14.WTLS使用的密钥握手协议生成预主密
12、钥,预主密钥生成主密钥,主密钥用来生成各种加密密钥15描述三种不同的提供WAP端到端安全性的方法1在客户端和服务器间使用TLS协议4,两端之间建立安全的TLS会话2端到端之间利用IP层的IPSEC来保证安全性3我们假设WAP网管只作为简单的互联网路由器,这种情况下名为WAP传输层端到端安全性的方法第七章1PGP提供的5种主要服务是什么?认证(用数字签名),(消息加密),压缩(用ZIP),电子兼容性(基-64转换)和分段2分离签名的用途是什么?1满足用户希望所有发送和接收的消息分开存储和传送2检测程序以后是否被感染病毒3可用于对一个合法合同等文档的双方进行签名,每个人的签名彼此独立,且只与该文档
13、有关3PGP为什么在压缩前生成签名1对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用2即使有人想动态的对消息重新压缩后进行验证,用PGP现有的压缩算法仍然很困难4为什么是基-64转换一组三个8比特二进制数据映射为4个ASCII码字符,同时加上CRC校验以检测传送错误5电子应用为什么使用基-64转换使用PGP时至少会对一部分数据块加合,若只使用签名服务,则需要用发送方的私钥对消息摘要加密,若使用服务,则要把消息和签名用一次性会话密钥加密因此得到的全部分成全部数据块可能由任意的8比特字节流组成,然而,许多电子系统仅仅允许使用有ASCII码组成的块,为适应这个限制,提供转换功能6PG
14、P如何使用信任关系PGP的信任关系由“密钥合法性域”“签名信任域”,“所有者信任域”构成,经过三步流程周期性的处理公钥获得一致性。9s/mime是什么?是居于RSA数据安全性,对互联网电子格式标准mine的安全性增强。10DKIM是什么?指电子信息加密签名的特殊应用,他通过一个签名域来确定信件系统息的责任。8.2IPsec提供哪些服务?访问控制,无连接完整性,数据源认证;拒绝重放包,性,受限制的流量性。8.3那些参数标识了sa?那些参数表现了一个特定sa的本质?(1)安全参数索引(SPI)ip目的地址,安全协议标识(2)序列号计数器,序列计数器,反重放窗口。AH信息,ESP信息,此安全关联的生
15、存期,IPSEC协议模式,最大传输单元路径表示特定的sa8.4传输模式和隧道模式有什么区别?传输模式下的ESP加密和认证ip载荷,但不包括ip报头,AH认证,IP载荷和IP报头的选中部分;隧道模式下的ESP加密和认证包括部ip报头的整个部ip包,AH认证整个部ip包和外部ip报头被选中的部分。8.5什么是重放攻击?一个攻击者得到一个经过认证的副本,稍后又将其传送到其被传送的目站点的攻击,重复的接受经过认证的ip包可能会以某种方式中断服务或产生一些不希望出现的结果8.6为什么ESP包括一个填充域?(1)如果加密算法要求明文为某个数目字节的整数倍,填充域用于把明文扩展到需要的长度;(2)ESP格式
16、要求填充长度和邻接报文域为右对齐的32比特字,同样,密文也是32比特的整数倍,填充域用来保证这样的排列(3)增加额外的填充能隐藏载荷的实际长度,从而提供部分流量的9.1列出并简要定义三类入侵者。(1)假冒用户:为授权使用计算机的个体,或潜入系统的访问控制来获得合法用户的账户(2)用户:系统的合法用户访问未授权的数据,程序或者资源或者授权者误用其权限(3)隐秘用户:通过某些方法夺取系统的管理控制权限,并使用这种控制权躲避审计机制的访问控制,或者取消审计集合的个体。9.2用于保护口令文件的两种通用技术是什么?(1)单向函数:系统只保存一个基于用户口令的函数值,当用户输入口令时系统计算该口令的函数值
17、,并与系统部存储的值进行比较,实际应用中,系统通常执行单向变换,在这个变换中,口令被用于产生单向函数的秘钥并产生固定长度的输出(2)访问控制:访问口令文件的权限仅授予一个或几个非常有限的账户9.3入侵防御系统可以带来哪三个好处?(1)如果能够足够快的速度检测入侵行为,那么就可以在入侵危害系统或危机数据安全之前将其鉴别并驱逐出系统。即使未能及时监测到入侵者,越早发现入侵行为就会使系统损失程度越小,系统也能越快得到恢复。(2)有效的入侵检测技术是一种威慑力量,能够起到防护入侵者的作用。(3)入侵检测可以收集入侵技术信息有利增强入侵防护系统的防护能力。-5-9.4统计一场检测与基于规则入侵检测之间有
18、哪些区别?答:1.统计一场检测:包括一定时间与合法用户相关的数据集合,然后用于统计学测试方法对观察到的用户进行测试,一边能够更加确定地判断该行为是否是合法用户行为。包括阔值检测,给予行为曲线两种方法。基于规则入侵检测:定义一个规则集,用于检测与前行为模式和历史行为模式的偏离,有异常检测,渗透检测两种方法。2,统计方法用来定义普通或期望的行为,而基于规则的方法致力于定义正确行为。3统计异常检测对假冒用户有效,对违规用户不佳,基于规则可以有效地检测出代表渗透攻击行为的时刻或者动作序列。9.7什么是蜜罐?蜜罐是一个诱骗系统,用来把潜在的攻击者从重要的系统中引开。其目的:1转移攻击者对重要系统的访问2
19、收集关于攻击者活动的信息3鼓励攻击者停留在系统中足够长的时间以便管理员做出反应。9.8在unix口令管理的context中,salt是指什么?用一个12比特随机数“salt”对DES算法进行修改,salt和用户输入的口令作为加密程序的输入。9.9列出简要定义四种用于防止口令猜测的技术答:1.用户教育:可以引导用户认识到选择难于猜测的口令的重要性,也可以提供一些具体选择口令的指导原则。2.由计算机生成口令:用户被提供一个由计算机生成的口令。3.后验口令检测:系统周期性地运行它自身的口令破解程序来检验易于猜测的口令,对易于猜测的口令,系统将通告用户并删除该口令。4前验口令检验;该方案允许用户选择自
20、己的口令,但在选择之初,系统会检测口令是否难认猜测,如果不是,那么将拒绝该口令。10.1、在病毒运行过程中,压缩的作用是什么?由于感染后的程序比感染之前的程序长,所以像签名所描述的这种病毒很容易被检测到。防止这种检测方法的手段是对可执行文件压缩,使得无论该程序是否被感染,它的长度都是相同的。10.2、在病毒运行过程中,加密的作用是什么?为了病毒在生成副本时可以随机插入多余质量或者交换一些独立指令的顺序。一种更有效的方法是采用密码学技术。在这种技术中,通常将病毒中的某一部分称为突变引擎,该部分生成一个随机加密密钥来对对病毒中其他部分进行加密。这个密钥由病毒保存,而突变引擎本身可变。可调用被感染的
21、程序时,病毒使用它保存的随钥对病毒进行解密。当病毒进行复制时,会选择不同的随钥10.3描述病毒或蠕虫的周期中有那些典型阶段睡眠阶段,传播阶段,触发阶段,执行阶段10.4什么事数字免疫系统?数字免疫系统是一种全面而广泛的病毒保护措施。10.5行为阻断软件的工作机理是什么?行为阻断软件与主机操作系统相结合,实时地监控恶意的程序行为,在检测到恶意的程序行为后,行为阻断软件将潜在的恶意行为对实际系统实施攻击之前将其阻止。10.6通常来讲,蠕虫是怎样传播的?电子工具,远程执行能力,远程登陆能力10.7给出一些蠕虫病毒的对策1基于签名的蠕虫扫描过滤2基于过滤器的蠕虫防3基于有效载荷分类的蠕虫防4阔值随机漫
22、步的扫描检测5速率限制。6速率中断10.8什么是DDOSDOS攻击指试图阻止某种服务的合法用户使用该服务,如果这种攻击是从某单一主机或者网点发起的,那么他就被称为DOS攻击,一个更为严重的网络威胁就是DDOS.在DDOS攻击中,攻击者可以募集遍及整个互联网的大量主机,在同一时间或者认协同发射方式对目标站点发起攻击,试图消耗目标设备的资源,使其不能提供服务。11.1列出防火墙的三个设计目标1所有入站和出站的网络流量都必须通过防火墙。2只有经过授权的网络流量,防火墙才允许其通过。3防火墙本身不能被攻破,这意味着防火墙应该允许在有安全操作系统的可信系统上。11.2防火墙控制访问及执行安全策略四个技术
23、:服务控制,方向控制,用户控制,行为控制;11.3典型的句过滤路由使用了什么信息?源IP地址,目的IP地址,源端和自由端传输层地址,IP协议域,接口;11.4包过滤路由器有那些弱点?1.因为过滤防火墙不检查更高层的数据,因此这种防火墙不能阻止利用了特定应用的漏洞或攻能所进行的攻击2.因为防火墙可利用的信息有限,使得包过滤防火墙的日志记录功能也有限3.大多数包过滤防火墙不支持高级的用户认证机制4.包过滤防火墙不支持高级的用户认证机制,包过滤防火墙对利用TCP/IP规和协议栈存在的问题进行的攻击没有良好的应对措施5.包过滤防火墙只根据几个变量进行访问控制决策,不恰当的设置会引起包过滤防火墙的安全性
24、容易受到威胁。11.5包过滤路由器和状态检测防火墙的区别是什么?传统的包过滤防火墙仅仅对单个数据包做过滤判断,不考虑更高层的上下文信息,状态检测包过滤器通过建造了一个出站TCP目录加强了TCP流量的规则,当前每个已建立的连接都有一个入口与之相对应。包过滤器仅当那些数据包符合这个目录里面某个条目资料的时候,允许那些到达高端口的入站流量通过。11.6什么是应用层网关?应用层网关也称作代理服务器,起到了应用层流量缓冲器的作用。11.7什么是链路层网关?也称链路层代理,是单机系统或应用层网关为特定的应用程序执行的专门功能11.9什么是堡垒主机的共同特性?1.堡垒主机硬件系统执行其操作系统的安全版本,令
25、其成为可信系统2.只有网络管理者认为是基本的服务才能在堡垒主机上安装3.在用户被允许访问代理服务之前堡垒主机可能要对其进行附加认证,另外,在允许用户访问之前,各个代理服务可能需要各自的认证;4.每个代理被设为只支持标准引用命令集的子集5.每个代理被设为只允许特定主机系统的访问6.每个代理通过记录所有通信每个连接以及每个连接的持续时间维持详细的信息审问记录7.每个代理模块是专门为网络安全设计的非常小的软件包8.在堡垒主机中每个代理都独立与其他代理9.代理通常除了读自己的初始配置文件之外不进行磁盘读取操作10.每个代理堡垒主机上一个专用而安全的目录中以一个无特权的用户运行11.10为什么主机防火墙
26、是有用的?1.过滤规则可以符合主机环境,对于服务器的corporate安全策略得以执行,并且不同应用的服务器使用不同过滤器2.保护的提供是独立于拓扑结构的3.和独立防火墙一起使用,主机防火墙可以提供额外的层保护11.11什么事DMZ网络?在这样的网络上你想能发现什么类型的系统?在部和外部防火墙之间有一个或多个网络设备,该区域被称为DMZ网络段,一些外部可接入并且需要保护的系统一般放在DMZ,实际上,DMZ的系统需要需要外部,如企业网址、E-MAIL服务器或者DNS服务器11.12部防火墙和外部防火墙的区别是什么?1外部防火墙放在本地或者企业网络边缘,在连接到因特网或一些广域网的边界路由器之。一个或多个部防火墙保护企业网络的大部分。2.外部防火墙提供接入控制和对DMZ所需的外部连接相协调的保护,为剩余的企业网络提供基本保护。部防火墙增加了更严格的过滤能力,以保护企业服务器和工作站免于外部攻击;提供了与DMZ相关的双向保护;多个部防火墙可以用来对部网络各部分之间进行保护。
