一、osi参考模型与tcp/ip参考模型的区别?
答:1、分层模型不同。TCP/IP模型没有会话层和表示层,并且数据链路层和物理层合而为一。
2、OSI模型有3个主要明确概念:服务、接口、协议。而TCP/IP参考模型在三者的区别上不是很清楚。
3、 TCP/IP模型对异构网络互连的处理比OSI模型更加合理。
4、TCP/IP模型比OSI参考模型更注重面向无连接的服务。在传输层OSI模式仅有面向有连接的通信,而TCP/IP模型支持两种通信方式;在网络层OSI模型支持无连接和面向连接的方式,而TCP/IP模型只支持无连接通信模式。考模型的异同点参考模型的异同点
二、简述认证中心CA的结构及各部分的功能?(p167页)
三、什么是堡垒主机?
答:堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然
四、比较包过滤防火墙和应用网关防火墙各自的优缺点?
答:包过滤型防火墙:
优点是:逻辑简单成本低易于安装和使用网络性能和透明性好。
缺点是:很难准确地设置包过滤器缺乏用户级的授权包过滤判别的条件位于数据包的头部由于ipv4的不安全性很可能被假冒或窃取是基于网络层的安全技术不能检测通过高层协议而实施的攻击。
应用网关型防火墙:
优点是:具备强大的数据运算与图形、图像处理能力为满足工程设计、动画制作、科学研究、软件开发、金融管理、信息服务、模拟仿真等专业领域而设计开发的高性能计算机。 系统上。由于它工作于应用层因此具有高层应用数据或协议的理解能力可以动态地修改过滤逻辑提供记录、统计信息。
缺点是:仅依靠特定的逻辑来判断是否允许数据包通过一旦符合条件则防火墙内外的计算机系统建立直接联系防火墙外部网络能直接了解内部网络结构和运行状态这大大增加了实施非法访问攻击的机会。
五、国内与国际分别有哪些网络安全的评价标准?
国内:信息技术 网络安全漏洞扫描产品技术要求
民用航空空中交通管理信息系统技术规范
航天办公信息
系统计算机网络安全保密规则
IP网络安全技术要求----安全框架
承载电信级业务的IP专用网络安全框架
公众IP网络安全要求 安全框架
公众IP网络安全要求 基于数字证书的访问控制
公众IP网络安全要求 基于远端接入用户验证服务协议(RADIUS)的访问控制
323网络安全技术要求
国际:美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则
综合起来就是信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation,CC )”,简称CC标准
六、网络安全防御系统体系的层次结构有哪些?
终端安全层、网络安全层和业务安全
七、什么是拒绝服务攻击?什么是非授权访问?
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击
非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
八、网络攻击和防御分别包括哪些内容?
攻击技术主要包括: 1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。 4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。 5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括; 1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。 2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。 3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。 4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。 5)网络安全协议
九、简述Linux操作系统的安全性?
1)pam机制、2)强制访问控制机制、3)加密文件系统、4)防火墙技术、5)入侵系统检测、6)安全审计机制、7)内核封装技术。
十、如何设置Linux的防火墙来保护系统的安
全?
答:修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,如果要开放哪个端口,在里面添加一条。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT
就可以了,其中 1521 是要开放的端口号,然后重新启动linux的防火墙服务。
停止/启动防火墙服务的命令:
用root登录后,执行
service iptables stop --停止
service iptables start --启动
(service命令位于/sbin)
防火墙规则只有在 iptables 服务运行的时候才能被激活。要手工启动服务,使用以下命令:
/sbin rvice iptables restart
要确保它在系统引导时启动,使用以下命令:
/sbin/chkconfig --level 345 iptables on
ipchains 服务不能和 iptables 服务同时运行。要确定 ipchains 服务被禁用,执行以下命令:
/sbin/chkconfig --level 345 ipchains off
十一、简述计算机病毒有哪些传播途径p109页
十二、简述计算机病毒的防治技术?
答:虚拟机技术、宏指纹识别技术、驱动程序技术、计算机监控技术、数字免疫系统、网络病毒防御系统、立体防毒技术
十三、简述网络攻击的分类?
答:1、服务拒绝攻击2、利用型攻击3、信息收集型攻击 4、假消息攻击
十四、简述网络攻击的一般防范策略。
答:1、提高安全意识 2、使用防毒、防黑等防火墙软件。3、设置代理服务器,隐藏自已的IP地址。4、将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒 5、由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。6、对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
十五、简述拒绝服务的模式分类。
答:攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。交互属性(Mutual)
攻击的动态属性不仅与攻击者的攻击方式、能力有关,也与受害者的能力有关。主要包括攻击的可检测程度和攻击影响。
十六、简述拒绝服务的常用攻击方法及原理。
答:1、迫使服务器的缓冲区满,不接收新的请求。2、使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接,这就是DOS攻击实施的方法
“拒绝服务”的攻击原理为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断
连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。
十七、简述数字证书X.509的结构?(165页图7-8)
1)X.509证书基本部分
1.1)版本号.标识:证书的版本(版本1、版本2或是版本3)。
1.2)序列号标识:证书的唯一整数,由证书颁发者分配的本证书的唯一标识符。
1.3)签名:用于签证书的算法标识,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
1.4)颁发者:证书颁发者的可识别名(DN)。
1.5)有效期证书:有效期的时间段。本字段由”Not Before”和”Not After”两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。
1.6)主体证书拥有者的可识别名,这个字段必须是非空的,除非你在证书扩展中有别名。
1.7)主体公钥信息主体的公钥(以及算法标识符)。
1.8)颁发者唯一标识符:标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
1.9)主体唯一标识符:证书拥有者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
2)扩展部分包括:
2.1)发行者密钥标识符:证书所含密钥的唯一标识符,用来区分同一证书拥有者的多对密钥。
2.2)密钥使用:一个比特串,指明(限定)证书的公钥可以完成的功能或服务,如:证书签名、数据加密等。如果某一证书将 KeyUsage 扩展标记为“极重要”,而且设置为“keyCertSign”,则在 SSL 通信期间该证书出现时将被拒绝,因为该证书扩展表示相关私钥应只用于签写证书,而不应该用于 SSL。
2.3)CRL分布点:指明CRL的分布地点。
2.4) 私钥的使用期:指明证书中与公钥相联系的私钥的使用期限,它也有Not Before和Not After组成。若此项不存在时,公私钥的使用期是一样的。
2.5) 证书策略:由对象标识符和限定符组成,这些对象标识符说明证书的颁发和使用策略有关。
2.6) 策略映射:表明两个CA域之间的一个或多个策略对象标识符的等价关系,仅在CA证书里存在。
2.7)主体别名:指出证书拥有者的别名,如电子邮件地址、IP地址等,别名是和DN绑定在一起的。
2.8) 颁发者别名:指出证书颁发者的别名,如电子邮件地址、IP地址等,但颁发者的DN必须出现在证书的颁发者字段。
2.9)主体目录属性:指出证书拥有者的一系列属性。可以使用这一项来传递访问控
制
十八、数字签名的原理
答:数字签名的原理数字签名的原理数字签名的原理数字签名的原理 数字签名采用了双重加密的方法来实现防伪、防赖。其原理为: (1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。 (2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。 (3) 将原文和加密的摘要同时传给对方。 (4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。 (5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
p盒置换
16 7 20 21 29 12 28 7
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
初始置换表
58 50 42 34 26 18 10 2
60 52 44 36 28 20 12 4
62 54 46 38 30 22 14 6
64 56 48 40 32 24 16 8
57 49 41 33 25 17 9 1
59 51 43 35 27 19 11 3
61 53 45 37 29 21 13 5
63 55 47 39 31 23 15 7