网络安全重点整理第二版
1、(P2)弱点有四种类型,威胁型弱点来源于预测未来威胁的困难。设计和规范型弱点来源于协议设计中的错误和疏忽或疏忽使其天生不安全。实现型弱点是协议实现中的错误产生的弱点。最后,运行和配置型弱点来源于实现时选项的错误使用或不恰当的部署政策。
2、(P2)一般而言,主要的威胁种类有以下10种:
1)窃听和嗅探:在广播网络信息系统中个,每个节点都能读取网上传输的数据。
2)假冒:当一个实体假扮成另一个实体时,就发生了假冒。
3)重放:重放是重复一份报文或报文的一部分,以便产生一个被授权的效果
4)流量分析:它能通过网上信息流的观察和分析推断出网上的数据信息。因为网络信息系统的所有节点都能访问全网,所以流量的分析易于完成。由于报头信息不能被加密,所以即使对数据进行了数据加密,也可以进行有效的流量分析。
5)破坏完整性:破坏完整性是指有意或无意地修改或破坏信息系统,或者在非授权和不能检测的方式下对数据进行修改。
6)拒绝服务:当一个授权实体不能获得应有的对网络资源的访问或当执行紧急操作被延迟时,就发生了拒绝服务。
7)资源的非授权使用:资源的非授权使用即与所定义的安全策略不一致的使用
8)陷阱门/特洛伊木马:陷阱门/特洛伊木马是指非授权进程隐藏在一个合法程序里从而达到其特定目的。
9)病毒。
10)诽谤:诽谤是指利用网络信息的广泛互联性和匿名性,散步错误的消息以达到诋毁某人或某公司的形象和知名度的目的。
3、(P3)分清主动攻击和被动攻击。
(1)被动攻击,根据入侵者能够截获和提取地信息的不同分类:被动搭线窃听和通信流量分析。
(2)主动攻击
4、(P4)一般黑客的攻击大体有三个步骤:信息收集、对系统的安全弱点探测与分析和实施攻击。
5、(P6)ITU-TX.800标准的主要内容包括以下三点:
1)安全攻击(Security Attack):安全攻击是指损害机构安全信息系统安全的任何活动。
2)安全机制(Security Mechanism):安全机制是指设计用于检测、预防安全攻击或者从攻击状态恢复到系统正常状态所需的机制。
3)安全服务(Security Service):安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。
6、(P7)ITU-TX.800定义了五种与前述安全目标和攻击有关的服务:
1)信息的机密性:数据机密性服务确保只有经过授权的试题才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务。
2)信息的完整性:信息的完整性在于保护信息免于被恶意方篡改、插入、删除和重放。
3)身份认证:一种类型是认证实体本身的身份,确保其真实性,称为实体认证;
另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证4)不可否认性:不可否认服务要防止对数据源以及数据提交的否认,它有两种可能:数据发送的不可否认和数据接收的不可否认。
5)访问控制:访问控制在于保护信息免于被未经授权的实体访问。
7、(P9)ITU-T X.805安全框架定义了三个核心的安全组件:安全维度、安全层和安全平面。
8、(P13)信息安全过程是一个连续的过程,由五个关键阶段组成,依次为评估、策略、实现、培训、审核。
9、(P13)信息安全评估的目的:
1)确定信息资产的价值;
2)确定对这些资产的机密性、完整性、可用性和责任性的威胁。
3)确定机构的当前操作所具有的薄弱点。
4)找出机构信息资产所面临的风险。
5)对于当前操作,提出将风险降低到可接受的级别的建议
6)提供建立正确的安全计划的基础。
10、(P15)《可信计算机系统安全评估标准》是计算机系统信息安全评估的第一个正式标准。《信息技术安全评估通用准则》(CC标准)是第一个信息技术安全评价国际标准。
11、(P16)信息安全评估具有以下作用:
1)明确企业信息系统的安全现状。2)确保企业信息系统的主要安全风险
3)指导企业信息系统安全技术体系与管理体系的建设。
12、(P22)通常一个密钥加密系统包括以下几个部分:
1)消息空间2)密文空间3)密钥空间4)加密算法)5)解密算法
13、(P22)当算法的加密密钥能够从解密密钥中推算出来,或反之解密密钥可以从加密密钥中推算出来时,称此算法为对称算法,也称秘密密钥算法或单密密钥算法。加密密钥和解密密钥不同并且其中一个密钥不能通过另一个密钥推算出来的算法称为公开密钥算法。
14、(P22)所有的算法的安全性都要求是基于密钥的安全性,而不是基于算法细节的安全性。
15、(P23)替代密码就是明文中的每一个字符被替换为密文中的另外一个字符。
所谓单表替代密码就是明文中的每一个字符用相应的另外一个唯一的密字符代替,最早的密码系统“凯撒密码”就是一种单表替代密码,也是一种以为替代密码。(要求掌握凯撒密码的算法,有可能出计算题)
16、(P29)置换密码定义:在置换密码中,明文和密文的子母保持相同,但是顺序被打乱了。置换密码使用的密钥通常是一些几何图形,它决定了明文字母被重新排列的顺序和方式。
17、(P31)对称密码算法有两种类型:分组密码和流密码(要求清楚知道各种算法属于哪种密码)
18、(P31)DES是一种分组密码,分组长度64位,密钥长度56位。
19、(P41)AES密码是分组密码,采用Rijndale算法作为高级加密标准。
20、(P46)AES加密有很多轮的重复和变换,大致步骤如下:
1)密钥扩展得各轮子的子密钥;2)初始论,与轮密钥相加;3)重复轮,每一轮又包括非线性字节替换、置换、混合运算、AddRoundKey;4)最终轮(Final Round),最终没有混合运算MixColumns。
21、(P53)序列密码又称流密码。它将明文换分成字符(如单个字母)或其编码的基本单元(如0、1),然后将其与密钥作用进行加密,解密时以同步产生的相同密钥流实现。
22、(P54)A5算法是一种流密码。
23、(P56)所谓的单向散列函数(哈希函数、杂凑函数)是将任意长度的消息M映射成一个固定长度散列值h的函数h = H(M) 其中,h的长度为m
散列函数要具有单向性,则必须满足如下特性:
1)给定M,很容易计算h;
2)给定h,根据H(M) = h反推M很难
3)给定M,要找到另一消息M’并满足H(M) = H(M’)很难。
24、(P57)MD5是MD4的改进版,算法对输入的任意长度消息产生128位散列值(或消息摘要);单项散列函数有:MD5、SHA-1、MAC
根据流程图可知MD5算法包括五个步骤(流程图图见课本P57)
1)附件填充位;2)附加长度;3)初始化MD缓冲区;
4)按512位的分组处理消息;5)输出。
25、(P61)SHA-1的输入长度为小于2^64位的消息,输出为160位的消息摘要,具体过程为:1)填充消息2)初始化缓冲区3)按512位的分组处理输入消息。4)输出。
26、(P65)与密钥相关的单向散列函数通常称为MAC
27、(P67)公钥密码系统可用于以下三个方面:
1)通信保密:此时将公钥作为加密密钥,私钥作为解密密钥,则通信双方不需要交换密钥就可以实现保密通信。
2)数字签名:将私钥作为加密密钥,公钥作为解密密钥,则可实现由一个用户对数据加密而多个用户解读——数字签名
3)密钥交换:通信双方交换会话密钥,以加密通信双方后续连接所传输的消息。每次逻辑交换使用一把新的会话密钥,用完丢弃。
28、(P68)素数:素数是一种整数,除了1和此整数自身以外,没法被其他自然数整除的数。
29、(P69)欧拉定理:在数论中,对正整数n,欧拉函数是小于或等于n的数中与n互质的数的数目。(要求掌握P69欧拉定理例题)
30、(P69)RSA密码系统的安全性是基于大部数分解的困难性。
31、(P70)RSA密码系统步骤(细节),见课本。
32、(P71)Diffie-Hellman,DH算法能够用于密钥分配,但不能用于加密或者解密信息。
33、(P71)DH算法步骤:
如果Alice和Bob想在不安全的信道上交换密钥,他们可以采用步骤如下
Alice Bob
上图即是:Diffie-Hellman密钥交换图
(1)Alice和Bob协商一个大素数p以及p的本原根a,a和p可以公开
(2)Alice秘密产生一个随机数x,计算X=a^x mod p,然后把X发送给Bob
(3)Bob秘密产生一个随机数y,计算Y=a^y mod p,然后把X发送给Bob。
(4)Alice计算k=Y^x mod p
(5)Bob计算k’=X^y mod p。
PS:k和k’是恒等的,因为k = Y^x mod p = (a^x)^y mod p = X^y mod p = k’
34、(P73)数字签名应满足的条件:
1)数字签名是可以被确认的,即收方可以确认或者证实签名确实是由发方签名的。
2)签名是不可伪造的,即收方和第三方都不能伪造签名。
3)签名不可重用,即签名是消息(文件)的一部分,不能把签名移到其他消息(文件)上。
4)签名是不可抵赖的,即发方不能否认他所签发的消息。
5)第三方可以确认首发双方之间的消息传送但不能篡改消息。
35、(P74)数字签名算法DSA
36、(P76)TCP/IP五个功能层,每层负责不同的网络通信功能:
(1)链路层。也称为数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。
(2)网络层。也称为互联网层,处理分组在网络中的活动,如分组的选路。
(3)传输层。传输层主要为两台主机上的应用程序提供端到端的通信。
(4)应用层。负责处理特定的应用程序细节。
37、(P79-P80)了解死亡之ping和泪滴攻击,见课本。
IP协议缺陷:
1)死亡之Ping(Ping of Death)
这种攻击主要是由于单个包的长度超过了IP协议所规定的包长度,而产生这样的包很容易。
2)泪滴(Teardrop)攻击
Teardrop攻击同死亡之Ping有些类似,在这儿一个大IP包的各个分片包并非首尾相连,而是存在重叠(Overlap)现象。
38、(P81)LAND攻击是最简单的一种TCP攻击方法。
39、(P100)虚拟专用网(Virtual Private Networks,VPN)提供了一种在公共网络上实现网络安全保密通信的方法。
40、(P106)三种最常见的也是最为广泛实现的隧道技术是:点对点隧道协议PPTP、第二层隧道协议L2TP、IP安全协议IPSec。
41、(P107)IPSec包含两个安全协议和一个密钥管理协议:
1)认证报头协议AH,该协议提供了数据源认证以及无连接的数据完整性检查功能,不提供数据保密性功能。
2)封装安全有效荷载协议ESP,该协议提供了数据保密性、无连接完整性和数据源认证能力。如果使用ESP来验证数据完整性,那么ESP不包括IP报头中固定字段的认证。
3)因特网密钥交换协议IKE,该协议协商AH和ESP协议所使用的加密算法。
42、(P107)IPSec是一套开放的基于标准的安全体系结构,它提供了大量的安全特性:
1)提供认证、加密、数据完整性和抗重放保护;2)加密密钥的安全生产和自动更新3)使用强加算法来保证安全性;4)支持基于证书的认证。
43、(P108)安全关联是单向的;每个安全关联可以由一个三元组唯一确定:
<安全参数索引,安全协议识别码、目的IP>
44、(P108)SA的创建分两步进行:先协商SA,再用SA更新SADB(安全关联数据库)
45、(P111)IPSec提供了两种操作模式——传输模式和隧道模式。
46、(P111)在传输模式中,AH和ESP只处理IP有效荷载,并不修改原来的的IP协议报头。
47、(P112)在隧道模式中,原来整个IP包都收到保护。隧道模式的优点在于不用修改任何端系统就可以获得IP安全性能。
48、(P112)AH不对受保护的IP数据包的任何部分进行加密,集不提供保密性。
49、(P113)封装安全有效载荷(ESP)提供机密性、数据源的身份验证、数据的完整性和抗重播服务。
50、(P117)AH和ESP协议可以单独使用也可以组合使用。
51、(P120-P121)IKE正如ISAKMP框架所定义的由两个阶段组成,不同阶段的Oakley 协议使用不同的操作模式。
第一阶段用于建立ISAKMP的安全关联。第二阶段中的单词交换可以协商多个安全关联。
52、(P125-P126)SSL/TLS协议分为两层:SSL和TLS 记录协议(SSL/TLS Record Protocol),它建立在可靠的传输协议上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL/TLS握手协议(SSL/TLS Handshake Protocol),它建立在SSL/TLS记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证、协商加密算法、交换密钥等。
SSL/TLS协议提供的服务主要有如下几种:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器。
2)加密数据以防止数据中途被窃取。
3)维护数据的完整性,确保数据在传输过程中不被改变。
53、(P131)SSL/TLS握手协议通常包含下列步骤:
1)交换Hello报文来达成一致的算法、交换随机数和检查是否恢复对话
2)交换必要的密码参数来达成一致的次密钥(Premaster Secret)。
3)交换证书和密码信息,允许客户和服务器互相进行身份验证。
4)由次密钥和交换的随机值产生主密钥。
5)为记录层提供安全参数
6)允许客户和服务器各自验证验证对方已经计算得到相同的安全参数且整个握手过程没有受到攻击。
54、(P132)一次新的(或常规的)SSL/TLS握手的报文交换过程:
1)客户端发送一个ClientHello报文给服务器,包含内容如下:
协议版本:客户机支持的最高版本号。
随机数:由4字节的时间戳和28字节的随机数组成。
会话ID:可变长度的会话标识。新开会话ID为0
密码组:客户机所支持的机密算法组合,按客户的优先权降序排列。每个密码组定义了一种密钥交换算法、一种分组密码算法(包括密钥长度)、一种MAC算法和一个PRF函数。
压缩方法:客户机支持的压缩方法列表,按客户的优先权降序排列。
2)服务器SeverHello报文进行应答,应答内容包含:
SSL/TLS会话将要使用的版本号、密码组、数据压缩方法、会话ID
上述的ClientHello和SeverHello两个报文交换完成以后,客户和服务器之间已经建立最基本的安全能力,达成了以下安全属性:协议版本号、会话ID、密码组和压缩算法。此外还生成了两个随机数进行交换,他们用于后续的密钥产生。
3)在Hello报文之后,服务器将使用Certificate报文把自己的数字证书,甚至证书链发送给客户端。
4)在某些情况下,服务器提供的证书还不足以让客户来完成次密钥的交换,此时服务器需要紧接着发送一个SeverKeyExchange报文给客户。该报文通常包含额外的密钥交换参数。
5)服务器发送SeverHelloDone报文,告诉客户服务已经完成该阶段握手。
6)在接收到服务器完成消息止呕,客户需要验证服务器是否提供合法的数字证书,并检查SeverHello报文的参数是否可以接受,然后客户发送ClientKeyExchange报文给服务器。
7)客户发送ChangeCipherSpec报文给服务器。此报文非握手协议的一部分,而是使用改编密码规范协议发送的。
8)客户发送完成消息Finished报文。
9)服务器发送自己的改编密码规范ChangeCipherSpec报文。
10)服务器发送Finished报文。
55、(P139)最小特权原理:系统中的每个主题执行授权任务时,仅被授权完成任务所必需的最小访问权限。
56、(P139)目前用来验证用户身份的方法有:
1)用户知道什么:秘密,如口令、个人身份证号码(PIN)、密钥等。
2)用户拥有什么:令牌,如ATM卡或智能卡等
3)用户是谁:生物特征,如声音识别、手写识别或指纹识别等
57、(P139-P140)口令的优点:口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中,用户和系统管理员对它非常熟悉。在可控环境下管理适当的话,口令系统可提供有效的安全保护。
口令存在的问题:由于口令系统的安全依赖于口令的保密性。由于用户为了方便记忆而在设置口令时常使用姓名、拼音、生日、电话号码等,这样口令很容易地被猜出。另外只要用户访问一个新的服务器,都必须提供新口令。
58、(P140)记忆令牌的优点:当它和身份识别码一起使用时比单独使用口令的机制更安全,因为攻击者很难获得这样的令牌以进入计算机系统。面临的问题:需要专门的读取器,令牌的丢失问题等。
59、(P141)基于用户是谁的身份认证是基于用户独有的识别特征来确认的。这种机制采用的是生物特征识别技术,它依赖的是用户独特的生物特征来认证用户的身份。这些生物特征包括:
1、生理特征:对人体某部分进行直接测量所获得的数据。
2、行为特征:对个人习惯性动作的度量,是对人体特征的间接性测量。
60、(P144)KerBeros是TCP/IP网络设计的可信第三方认证协议。,基于对称密码学。
61、(P144)在Kerberos模型中,主要包括以下几个部分:客户机、服务器、认证服务器、票据授予服务器。
62、(P144)Kerberos身份认证进程的处理过程,见课本,理解记忆。
63、(P148)X.509主要内容包括(详见课本)
1)简单认证;2)强认证;3)密钥及证书管理;4)证书及吊销证书吊销列表扩充
64、(P152)X.509数字证书的数据域如下:
1)版本号。若默认则为第一版,如果证书中需有发行者唯一识别符或主体唯一识别符,则版本号为2,如果有一个或多个扩充项,则版本号为3
2)序列号。为一整数值,由同一个CA发放的每个证书的序列号是唯一的
3)签名算法识别符。签署证书所用的算法及相应参数
4)发行者名称。建立和签署证书的CA名称
5)有效期。包括证书有效期的起始时间和终止时间
6)主体名称。证书所属用户的名称,即这一证书用来证明私钥用户所对应的公开密钥
7)主体的公开密钥信息。包括主题的公开密钥、使用这一公开密钥的算法标识符和相应参数。
8)发行者唯一识别符。这一数据可选,当CA名称被重新用于其他实体时,则用这一识别符来唯一识别CA
9)主体唯一识别符。这一数据也是可选的,当主体的名称被重新用于其他实体时,则用这一识别符来唯一识别主体。
10)扩充域。其中包括一个或多个扩充的数据项,仅在第三版中使用
11)签名。C啊用自己的秘密密钥对上述域的哈希值进行数字签名的结果。
65、(P154)在X.509中定义的强认证程序包含了三种不同信赖程度的认证,分别是:单向认证、双向认证、三向认证。
66、(P154)单向认证的功能:
1)由发送方发出的身份识别数据,可以确认发送方身份。
2)由发送方送出的身份识别数据,确认是要送给接收方的。
3)可以确保发送方发送出的身份识别数据的完整性,且可确认数据是发送方所送出的。
67、(155)双向认证的功能:
1)由收方送回发方的身份识别数据,且可确认数据是收方所产生的,信息的接收端确实是发方。
2)可以保证由收回方送回发方的身份识别数据的完整性。
3)双方可以共享身份识别数据中的秘密部分。
68、(P156)认证机构CA负责产生数字证书和发布证书撤销列表,以及管理各种证书的相关事宜。注册机构RA用来实现用户的注册、申请以及部分其他管理功能。
69、(P164)访问控制是指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存储控制)。
70、(P164)访问控制一般分为自主访问控制、强制访问控制、基于角色的访问控制。
71、(P165)自主(任意)访问控制DAC是指根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。
72、(P165-P167)自主访问控制四种实现方式:(详见课本)
1)访问控制矩阵;2)能力表;3)访问控制列表;4)许可模式;
73、(P168)强制访问控制MAC是根据客体这种信息的敏感标记和访问敏感信息的主体访问等级对客体访问实行限制的一种方法。
74、(P169)强制访问机制的特点:强制性、限制性。
75、(P169-P170)1)Bell-LaPadula模型,BLP模型规则:禁止上读(NRU)和禁止下写(NWD)
2)Biba完整性模型,规则:禁止下读和禁止上写。(以上两种参考课本对比理解。)
BLP模型踢提供保密性,而Biba模型对于数据的完整性提供保障。
76、(P171)基于角色的访问控制,其核心思想是:将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
77、(P174)计算机安全等级划分,详见课本。须知:D最低级,A1最高级。
78、(P176)计算机系统的审计机制的安全目标有:
1)审查基于每个目标或每个用户的访问模式,并使用系统的保护机制。
2)发现试图绕过保护机制的外部人员和内部人员。
3)发现用户从低等级到高等级的访问权限转移。
4)制止用户企图绕过系统保护机制的尝试。
5)作为另一种机制确保记录并发现用户企图绕过保护的尝试,为损失控制提供足够的信息。
79、(P178)防火墙是在内部网与外部网之间实施安全防范的系统。可认为它是一种访问控制机制,用于确定哪些内部服务对外开放,以及允许哪些外部服务队内部开放。
80、(P179)防火墙主要提供以下四种服务:
1)服务控制:确定可以访问的网络服务类型。
2)方向控制:特定服务的方向流控制。
3)用户控制:内部用户、外部用户所需的某种形式的认证机制。
4)行为控制:控制如何使用某种特定服务。
81、(P179-P180)防火墙一般可以分为以下几种:包过滤型防火墙、应用网关型防火墙、电路级网关防火墙、状态检测型防火墙、自适应代理型防火墙。包过滤防火墙是速度最快的防火墙。代理服务型防火墙通常认为是最安全的防火墙技术。
83、(P184)防火墙的体系结构一般有以下几种:
1)双重宿主主机体系结构;2)被屏蔽主机体系结构;3)被屏蔽子网体系结构
84、(P192)堡垒主机(Bastion)通常指那些在安全方面能够达到普通工作站所不能达到程度的计算机系统。
85、(P193)为加强作为堡垒主机的计算机系统的安全性,应该着重考虑以下几点:
1)从头安装一个安全版本的操作系统。
2)关闭不必要的服务。
3)删除终端用户的应用程序,但这些应用程序必须与堡垒主机的防火墙功能无关。
4)使用操作系统的资源保护机制牢固控制对所有文件和目录的访问。
5)配置详细的审计和安全日志。
6)运行安全检查程序已确定安全基准。
86、(P199)P^2DR模型由Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)这几个功能部件组成
87、(P200)入侵检测就是通过计算机网络或者计算机系统中若干关键点手机信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
88、(P201)入侵检测系统的主要功能:
1)用户和系统行为的检测和分析;2)系统配置和漏洞的审计检查;3)重要系统和数据文件的完整性评估;4)已知的攻击行为模式的识别;5)异常行为模式的统计分析;6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。
89、(P202-P204)根据入侵检测系统输入数据来源来看,它可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
1)基于主机的入侵检测系统(HIDS)的优点:
(1)能够确定攻击的成功与否;(2)非常适用于加密和交换环境
(3)近实时的监测和响应;(4)不需要额外的硬件;(5)可监视特定的系统行为。
缺点:会占用主机系统的资源,增加系统负荷,而且针对不同的操作系统必须开发出不同的应用程序,另外所需配置的IDS数量众多。
2)基于网络的入侵检测系统(NIDS)优势:
(1)攻击者转移证据困难;(2)实时检测和应答;(3)能够检测到未成功的攻击企图(4)操作系统无关性;(5)较低的成本
缺点:它只能监视通过本网段的活动,并且精确度较差,在交换网络环境中难于配置,防欺骗能力也比较差,对于加密更是无能为力。
90、(P204)按照分析技术分类:异常检测和误用检测
1)异常检测原理:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为,而不是依赖于具体行为是否出现来进行检测的。从这个意义上来说,异常检测是一种简介的方法。
2)误用检测的原理:首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断攻击签名的出现与否来判定入侵行为的发生与否。这种方法通过直接判断攻击签名的出现与否来拍段入侵行为,从这一点看是一种直接的方法。
91、(P207)CIFD提出了一个入侵检测系统的通用模型,它将入侵检测系统分为以下几个单元:
1)事件产生器,即检测器,它是从整个计算机环境中获得事件,并向系统的其他部分提供此事件
2)事件分析器,事件分析器分析得到的数据,并产生分析结果;
3)响应单元,响应单元则是对分析结果做出反应的功能单元;
4)事件数据库,事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库也可以是简单的文本文件。各功能单元间的数据交换采用的是CISL语言。
92、(P211)缓冲区溢出是指一种系统攻击的手段,它是通过往程序的缓冲区写入超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。
93、(P215)安全建议:
1)编写正确代码;2)不可执行的缓冲区技术;
3)数组边界检查;4)程序指针完整性检查。
94、(P236)恶意代码或恶意软件是指未经用户授权便干扰或破坏计算机系统/网络的程序或代码。由此定义:恶意代码有两个显著特点:非授权性和破坏性。
恶意代码的分类:需要宿主耳朵程序和可以独立运行的程序。
95、(P239-P240)恶意代码作用过程:
1)目标定位;2)感染传播;3)隐蔽策略;4)远程控制实现维持或提升现有特权。
5)潜伏破坏;6)重复1-5点对新目标实施攻击。
96、(P240)恶意代码采用的技术:恶意代码自我保护技术、恶意代码入侵技术、恶意代码隐蔽技术。
97、(P249)定义:静态分析不实际运行恶意代码,而是通过对恶意代码的二进制文件进行分析从而提取其特征码。
静态分析的优点是它可以检查恶意代码的所有可能的执行路径,得到的特征码在检测方面具有较高的准确率。
静态分析存在的问题在于工程量较大,反汇编难度较高,并且反汇编后的可用信息较少,分析周期较长。同时多态、变型、加壳等手段的采用使得静态分析变得更加困难,很难提取有效的特征码。
98、(P265)RC4是一种流密码算法。
99、(P267)IEEE802.1x协议当中,有三个最基本的要素:认证器AP、申请者(即客户)、认证服务器(如RADIUS)。
该协议标准采用基于端口的网络访问控制。
AP提供了两个端口:受控制端口和非控制端口。
100、(P274)新的安全标准IEEE802.11i,其目的是致力于从长远角度来彻底解决IEEE802.11无线局域网安全问题。在数据加密方面定义了TKIP和CCMP。
WAPI——国产WLAN安全标准。
1在网络安全领域,in ternet可分为国际化、社会化、开放化、个人化四个特点。 2信息安全范畴内对电脑非法入侵者称之为黑客或骇客。 3计算机犯罪可以归纳为:破坏计算机、擅用信息系统、滥用信息系统、破坏安全系统四种。 4计算机犯罪集中在机密信息系统和金融系统两方面。 5计算机犯罪与传统的犯罪相比有许多不同的特点:危害性、知识性、隐蔽性、广域性。 6信息安全领域存在硬件的安全隐患:操作系统安全隐患、网络协议的安全隐患、数据库系统安全隐患、计算机病毒、管理疏漏,内部作案等安全隐患。 7我国信息安全现状: (1)信息与网络安全的防护能力较弱。 (2)对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。 (3)基础信息产业薄弱,核心技术严重依赖国外。 (4)信息安全管理机构缺乏权威。 (5)信息犯罪在我国有快速发展之趋势。 (6)信息安全技术及设备的研发和应用有待提高。 8计算机系统安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学 科。 9信息系统的构成: a)信道b)网络c)传输协议d)主机系统e)数据库系
统f)应用系统 10网络安全实施过程,即边界防卫、入侵检测、安全反应和破坏恢 复 11网络安全内涵包括:机密性confidentiality、完整性integrity、可用性availability、可控性与可审查性。 12 一般信息系统会提供认证、访问控制、抵抗赖全服务。 13计算机系统安全包括物理安全、运行安全和信息安全。 14计算机系统安全主要包括哪些内容: 物理安全:环境安全,设备安全和媒体安全。 运行安全:风险分析,审计跟踪,备份与恢复,应急。 信息安全:操作系统安全,数据库安全,网络安全,病毒防护,访问 控制,加密与鉴别七个方面。 15风险分析:了解影响信息系统安全运行的因素和存在的风险,找出克服这些风险的方法。 16信息安全领域的安全威胁主要指的是:泄露信息、破坏信息、拒 绝服务。 17从信息安全威胁的来源上可分为内部威胁和外部威胁。 18从信息安全威胁的动机上可分为偶发性和故意性。 19从信息安全威胁的结果上可分成主动威胁和被动威胁。 20目前我国信息系统面临的安全威胁有:不良信息的入侵和污染,黑客和计算机犯罪;信息间谍的潜入;信息战,网络病毒,机要信息的扩散,信息网络的脆弱性,信息系统装备过分依赖国外产品。 21什么是威胁评估
网络安全基础知识试题及答案 网络安全基础知识试题及答案 1. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型(A) A 、拒绝服务 B 、文件共享 C 、BIND漏洞 D 、远程过程调用 2. 为了防御网络监听,最常用的方法是(B) A 、采用物理传输(非网络) B 、信息加密 C 、无线网 D 、使用专线传输 3. 向有限的空间输入超长的字符串是哪一种攻击手段?(A) A 、缓冲区溢出; B 、网络监听 C 、拒绝服务
D 、IP 欺骗 4. 主要用于加密机制的协议是(D) A 、HTTP B 、FTP C 、TELNET D 、SSL 5. 用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码, 这是属于何种攻击手段?(B) A 、缓存溢出攻击; B 、钓鱼攻击 C 、暗门攻击; D 、DDOS攻击 6. Windows NT 和Windows 2000 系统能设置为在几次无效登录后锁定帐号, 这可以防止(B) A 、木马; B 、暴力攻击; C 、IP 欺骗; D 、缓存溢出攻击 7. 在以下认证方式中,最常用的认证方式是:(A) A 基于账户名/口令认证 B 基于摘要算法认证;
C 基于PKI 认证; D 基于数据库认证 8. 以下哪项不属于防止口令猜测的措施?(B) A 、严格限定从一个给定的终端进行非法认证的次数; B 、确保口令不在终端上再现; C 、防止用户使用太短的口令; D 、使用机器产生的口令 9. 下列不属于系统安全的技术是(B) A 、防火墙 B 、加密狗 C 、认证 D 、防病毒 10. 抵御电子邮箱入侵措施中,不正确的是( D ) A 、不用生日做密码 B 、不要使用少于 5 位的密码 C 、不要使用纯数字 D 、自己做服务器 11. 不属于常见的危险密码是( D ) A 、跟用户名相同的密码 B 、使用生日作为密码 C 、只有 4 位数的密码 D 、10 位的综合型密码
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2016年11 月24日
XX大学实验报告 课程名称:网络安全技术实验类型:演示、验证 实验项目名称:实验十数据库及数据安全 实验地点:信息楼320 实验日期:2017 年11月24 日 实验十数据库及数据安全(数据备份与恢复) 1.实验目的 理解备份的基本概念,了解备份设备的概念。掌握各种备份数据库的方法,了解如何制定备份计划,如何从备份中恢复设备,掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?(1)理解SQL Server 2014系统的安全性机制。 ?(2)明确管理和设计SQL Server登录信息,实现服务器级安全控制。 ?(3)掌握设计和实现数据库级的安全保护机制的方法。 ?(4)独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念,备份是恢复的基础,恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改,即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1.硬件:PC机、局域网环境 2.软件:Windows NT或Win Server 2016操作系统,SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面: 1)确定备份的频率。确定备份频率要考虑两个因素:一是系统恢复时的工作量,二是系统活动的事务量。对于完整数据库备份,可以是每个月、每一周甚至是每一天进行,而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2)确定备份的内容。确定数据库中的哪些数据需要备份。
网络安全试卷A 一、选择题(20题,每题2分,共40分) 1、信息风险主要指那些?(D) A、信息存储安全 B、信息传输安全 C、信息访问安全 D、以上都正确 2、一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于(A )基本原则。 A、最小特权 B、阻塞点 C、失效保护状态 D、防御多样化 3、不属于安全策略所涉及的方面是(D )。 A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略 4、不属于常见把入侵主机的信息发送给攻击者的方法是(D ) A、E-MAIL B、UDP C、ICMP D、连接入侵主机 5、WINDOWS主机推荐使用(A )格式 A、NTFS B、FAT32 C、FAT D、LINUX 6、在每天下午5点使用计算机结束时断开终端的连接属于(A ) A、外部终端的物理安全 B、通信线的物理安全 C、窃听数据 D、网络地址欺骗 7、下列说法不正确的是(D ) A、安防工作永远是风险、性能、成本之间的折衷。 B、网络安全防御系统是个动态的系统,攻防技术都在不断发展。安防系统必须同时发展与更新。 C、系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念,以便对现有的安防系统及时提出改进意见 D、建立100%安全的网络 E、安防工作是循序渐进、不断完善的过程 8、不属于WEB服务器的安全措施的是(D ) A、保证注册帐户的时效性 B、删除死帐户 C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码 9、DNS客户机不包括所需程序的是(D ) A、将一个主机名翻译成IP地址 B、将IP地址翻译成主机名 C、获得有关主机其他的一公布信息 D、接收邮件 10、有关对称密钥加密技术的说法,哪个是确切的?(C ) A、又称秘密密钥加密技术,收信方和发信方使用不同的密钥 B、又称公开密钥加密,收信方和发信方使用的密钥互不相同
一、填空题 1.计算机网络的安全是指(C)。 A.网络中设备设置环境的安全 B.网络使用者的安全 C.网络中信息的安全 D.网络的财产安全 2.以下(D)不是保证网络安全的要素。 A.信息的保密性 B.发送信息的不可否认性 C.数据交换的完整性 D.数据存储的唯一性 3.信息不泄漏给非授权的用户、实体或过程,指的是信息(A )的特性。 A.保密性 B.完整性 C.可用性 D.可控性 4.拒绝服务攻击(A ) A.用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击 B.全称是Distributed Denial Of Service C.拒绝来自一个服务器所发送回应请求的指令 D.入侵控制一个服务器后远程关机 5.当感觉到操作系统运行速度明显减慢,打开任务管理器后发现CPU的使用率达到100%时,最有可能受到(B )攻击。 A.特洛伊木马 B.拒绝服务 C. 欺骗 D.中间人攻击 6.对于发弹端口型的木马,( D)主动打开端口,并处于监听状态。 Ⅰ.木马的客户端Ⅱ.木马的服务器端Ⅲ.第三服务器 A. Ⅰ B. Ⅱ C.Ⅲ D. Ⅰ或Ⅲ 7.DDos攻击破坏了(A )。 A.可用性 B.保密性 C.完整性 D.真实性 8.在网络攻击活动中,死亡之PING是(A )类的攻击程序。 A.拒绝服务 B.字典攻击 C.网络监听 D.病毒 9.(B )类型的软件能够阻止外部主机对本地计算机的端口扫描。 A.反病毒软件 B.个人防火墙 C.基于TCP/IP的检查工具,如netstat D.加密软件 10.局域网中如果某台计算机受到了ARP欺骗,那么它发出去的数据包中,( D)地址是错误的。 A.源IP地址 B.目标IP地址 C.源MAC地址 D.目标MAC地址 11.网络监听是( B)。 A.远程观察一个用户的计算机 B.监视网络的状态、传输和数据流 C.监视PC系统的运行情况 D.监视一个网站的发展方向 12.熊猫烧香病毒是一种(C )。 A.单机病毒 B.宏病毒 C.蠕虫病毒 D.引导型病毒 13.计算机病毒是一种( C ) A.软件故障 B.硬件故障 C.程序 D.细菌 14.以下关于加密说法正确的是(D ) A.加密包括对称加密和非对称加密两种 B.信息隐藏是加密的一种方法 C.如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密 D.密钥的位数越多,信息的安全性越高 15.数字签名为保证其不可更改性,双方约定使用(B )。 A.Hash算法 B.RSA算法 C.CAP算法 D.ACR算法 16.数字签名技术是公开密钥算法的一个典型应用,在发送端,采用(B )对要发送的信息进行数字签名。 A.发送者的公钥 B.发送者的私钥 C.接收者的公钥 D.接收者的私钥 17.DES算法是一种( B)加密算法。 A.非对称密钥 B.对称密钥 C.公开密钥 D.HASH 18.数字证书采用公钥体制时,每个用户设定一把公钥,由本人公开,用其进行(A )。 A.加密和验证签名 B.解密和签名 C.加密 D.解密 19.在公开密钥体制中,加密密钥即(C )。 A.解密密钥 B.私密密钥 C.公开密钥 D.私有密钥 20.为确保企业局域网的信息安全,防止来自Internet的黑客入侵,采用(C )可以实现一定的防范作用。 A.网络管理软件 B.邮件列表 C.防火墙 D.防病毒软件 21.下列关于防火墙的说法正确的是( A)。 A.防火墙的安全性能是根据系统安全的要求而设置的 B.防火墙的安全性能是一致的,一般没有级别之分 C.防火墙不能把内部网络隔离为可信任网络 D.一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统 22.( B)不是防火墙的功能。 A.过滤进出网络的数据包 B.保护存储数据安全 C.封堵某些禁止的访问行为 D.记录通过防火墙的信息内容和活动 23.防火墙技术可分为(D )等3大类型。 A.包过滤、入侵检测和数据加密 B.包过滤、入侵检测和应用代理 C.包过滤、数据代理和入侵检测 D.包过滤、状态检测和应用代理 24.有一个主机专门被用作内部网络和外部网络的分界线。该主机有两块网卡,分别连接两个网络。防火墙里面的系统可以与这台主机通信,防火墙外面系统也可以与这 台主机通信,这是(A )防火墙。 A.屏蔽主机式体系结构 B.筛选路由式体系结构 C.双网主机式体系结构 D.屏蔽子网式体系结构 25.对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下连接的相关信息,生成状态表。对该连接的后续数据包,只要 符合状态表,就可以通过。这种防火墙技术称为(B )。 A.包过滤技术 B.状态检测技术 C.代理服务技术 D.以上都不正确 26.(B)不是Windows Server 2003的系统进程。 A.System Idle Process B.IEXPLORE.EXE C.lsass.exe D.services.exe 27.下面几种类型的数字证书格式中,(B )是包括私钥的格式。 A.X.509 B.PKCS#7 C.PKCS#12 D.Microsoft系列证书存储 28.为了保证Window Server 2003服务器不被攻击者非法启动,管理员应该采取(B)措施。 A.备份注册表 B.使用SYSKEY C.使用加密设备 D.审计注册表和用户权限 29.Window Server 2003的注册表根键(A)是确定不同文件后缀的文件类型。 A.HKEY_CLASSES_ROOT B.HKEY_USER C.HKEY_LOCAL_MACHINE D.HKEY_SYSTEM
《网络安全技术》实训指导书 实训项目一:个人主机安全策略设置 实训学时:2学时 实训目的要求:通过实训,学生可以根据需求正确配置安全策略中的项目。 实训内容:设置 WINDOWS 系统安全策略。 实训条件:网络实训室,视频课件。 实训操作方法步骤: 设置 WINDOWS 系统安全策略 (1)安全管理系统用户 (2)用强密码和密码限制策略 (3)用最小化原则管理系统服务 (4)更新系统补丁 (5)用户权限管理 实训考核标准:学习态度30%+实训作品70% 实训项目二: ARP病毒诊断与防御 实训学时:2学时 实训目的要求:通过实训,学生可以使用 Wrieshark进行网络嗅探与协议分析;能使用 Cain进行 ARP 攻击;掌握诊断 ARP 病毒的步骤;能设计 ARP 病毒的防御方案。 实训内容:ARP 病毒攻击;ARP 病毒的诊断方案。 实训条件:网络实训室,攻击工具。 实训操作方法步骤: 1.ARP 病毒攻击 (1)获得 ARP 病毒攻击工具 Cain并进行安装 (2)选好攻击对象,使用 Cain工具进行攻击 (3)使用 Cain工具对攻击对象的流量数据进行解密 2.ARP 病毒的诊断方案
(1)获得协议分析工具WireShark并进行安装 (2)使用 WireShark获取网络流量,分析 ARP 病毒的特征 (3)给出 ARP 病毒的防御方案 实训考核标准:学习态度30%+实训作品70% 实训项目三:计算机远程控制诊断与防御 实训学时:2学时 实训目的要求:通过实训,学生可以使用扫描工具进行主机和端口扫描;掌握密码暴力破解的原理;掌握黑客入侵的一般步骤;能使用远程控制软件;能清除主机上的木马软件。 实训内容:远程侵入;远程控制。 实训条件:网络实训室,攻击工具。 实训操作方法步骤: 1. 远程侵入 (1)使用扫描工具(Nmap,X-Scan)寻找入侵目标 (2)使用协议分析工具WireShark分析多种扫描方式的特点 (3)构造字典,对系统管理员密码进行暴力破解 2. 远程控制 (1)使用 Psexec.exe、TFTP 等工具在目标主机上安装远程控制服务器软件 r_server.exe (2)启动远程控制客户端软件,对目标主机进行远程控制 实训考核标准:学习态度30%+实训作品70% 实训项目四:桌面主机整体防御方案设计 实训学时:2学时 实训目的要求:通过实训,学生可以进行拒绝服务攻击;能进行缓冲区溢出攻击;能运用工具制作木马;能诊断计算机的安全状态;能设计桌面主机安全配置单;能鉴别不安全的上网行为。 实训内容:拒绝服务攻击;木马控制;整体安全方案方案。
第一章网络安全综述 【重点掌握】 1. 网络攻击概念,两种攻击:主动和被动攻击,攻击类型判断,重放攻击的概念 2. X.800安全体系结构,安全攻击,安全机制和安全服务 3 网络安全模型 第二章对称密码学 【重点掌握】 1. DES密码算法:Feistel网络可逆性(作业题),基本参数 2. AES密码算法:了解整体过程,基本参数 3. 分组密码工作模式的概念及用途 第三章单向散列函数 【重点掌握】 1. 密码学散列函数性质:单向性(正向计算容易,逆向计算困难),抗碰撞性 P56 2. 理解散列函数的大体计算过程 3. 理解消息认证码的概念
第四章公钥密码系统 【重点掌握】 1. 私钥(对称)密码与公钥(非对称)密码的概念 2. RSA算法的具体原理,算法计算(作业题) 3. Diffie-Hellman密钥交换协议的具体原理,协议计算(作业题) 4. 数字签名的概念 第五章因特网与TCP/IP安全 【重点掌握】 1. 理解网络层和运输层的各种攻击方式,重点掌握IP欺骗攻击、UDP拒绝服务攻击、ARP缓存中毒。 2. 简单了解DNS欺骗攻击原理(其它应用层攻击不要求) 第六章 VPN和IPSec 【重点掌握】 1. 了解VPN的概念 2. IPSec协议:安全关联SA的概念和作用,两种工作模式,两个安全子协议AH和ESP及其功能 3. 因特网密钥管理协议IKE:理解IKE SA和IPSec SA的用途,理解安全通信中创建和使用IKE SA和IPSec SA的过程
第七章 SSL和TLS 【重点掌握】 1. 理解SSL和TLS的概念,协议分层(两层:记录协议层和握手协议层),提供的安全服务 第八章身份认证及其应用 【重点掌握】 1. 三种身份认证基本方法:用户知道什么,用户拥有什么,用户是谁 2. 第三方认证Kerberos的工作原理 3. X.509简单认证的原理 4. X.509数字证书:数字证书的概念及用途,证书链的概念及用途 第九章访问控制与系统审计 【重点掌握】 1. 了解自主访问控制和强制访问控制的特点 2. 基于角色访问控制的核心思想及与传统访问控制的区别
1 计算机与网络安全基础考试题 关于80年代Mirros 蠕虫危害的描述,哪句话是错误的? 占用了大量的计算机处理器的时间,导致拒绝服务 窃取用户的信息,破坏计算机数据文件 该蠕虫利用Unix 系统上的漏洞传播 大量的流量堵塞了网络,导致网络瘫痪 b telnet 协议在网络上明文传输用户的口令,这属于哪个阶段的安全问题? 管理员维护阶段 软件的实现阶段 用户的使用阶段 协议的设计阶段 d 许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠的解决方案是什么? 安装防病毒软件 给系统安装最新的补丁 安装防火墙 安装入侵检测系统 b
亚太地区的IP地址分配是由哪个组织负责的APNIC ARIN APRICOT APCERT a 以下关于DOS攻击的描述,哪句话是正确的? 导致目标系统无法处理正常用户的请求 不需要侵入受攻击的系统 以窃取目标系统上的信息为目的 如果目标系统没有漏洞,远程攻击就不可能成功 a 以下关于Smurf 攻击的描述,那句话是错误的 攻击者最终的目标是在目标计算机上获得一个 它使用ICMP 的包进行攻击 它依靠大量有安全漏洞的网络作为放大器 它是一种拒绝服务形式的攻击 a 在以下人为的恶意攻击行为中,属于主动攻击的是身份假冒 数据窃听 数据流分析 非法访问
a TCP、IP、ICMP协议的协议号分别是() 0,1,6 6,1,0 6,0,1 1,0,6 c 以下不属于代理服务技术优点的是 可以实现身份认证 部地址的屏蔽和转换功能 可以实现访问控制 可以防数据驱动侵袭 d 以下关于计算机病毒的特征说确的是 计算机病毒只具有破坏性,没有其他特征 计算机病毒具有破坏性,不具有传染性 破坏性和传染性是计算机病毒的两大主要特征 计算机病毒只具有传染性,不具有破坏性 c 以下关于宏病毒说确的是 宏病毒主要感染可执行文件 宏病毒仅向办公自动化程序编制的文档进行传染 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
实习报告 实习名称: 网络安全实习 专业班级: 网络2013-1 姓名: 王宝鑫 学号: 130330118 指导教师: 鲁晓帆、曹士明 实习时间: 2016.10.31—2016.11.25 吉林建筑大学城建学院 计算机科学与工程系
《网络安全实习》成绩评定表 一、实习目的 通过本次实习,使学生认识了解防火墙、入侵检测、防病毒等技术;认识电子邮件、网页木马
等安全隐患及其防范;掌握利用网络工具对局域网安全检测及扫描分析方法,利用抓包工具,对数据包进行分析的过程;了解网络攻击方法及其防范技术。 二、实习意义 为了培养学生的实际动手操作与实践能力,通过网络工具的使用及数据分析,理论联系实际,增强学生综合运用所学知识解决实际问题。 三、实习内容 3.1 防火墙技术 3.1.1 包过滤技术简介 基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤(Packet Filtering)。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点,同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。 3.1.2 NAT技术 NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 3.1.3 VPN 技术 虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 3.1.4 实验设备及工具 PIX501防火墙一台,CISCO 2950交换机两台,控制线一根,网络连接线若干,PC机若干 3.1.5 实验及分析 外网R4: R4#conf t Enter configuration commands, one per line. End with CNTL/Z. R4(config)#int f0/0 R4(config-if)#ip add 192.168.1.2 255.255.255.0 R4(config-if)#no shut R4(config-if)#exit *Mar 1 00:02:56.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
网络安全重点整理第二版 1、(P2)弱点有四种类型,威胁型弱点来源于预测未来威胁的困难。设计和规范型弱点来源于协议设计中的错误和疏忽或疏忽使其天生不安全。实现型弱点是协议实现中的错误产生的弱点。最后,运行和配置型弱点来源于实现时选项的错误使用或不恰当的部署政策。 2、(P2)一般而言,主要的威胁种类有以下10种: 1)窃听和嗅探:在广播网络信息系统中个,每个节点都能读取网上传输的数据。 2)假冒:当一个实体假扮成另一个实体时,就发生了假冒。 3)重放:重放是重复一份报文或报文的一部分,以便产生一个被授权的效果 4)流量分析:它能通过网上信息流的观察和分析推断出网上的数据信息。因为网络信息系统的所有节点都能访问全网,所以流量的分析易于完成。由于报头信息不能被加密,所以即使对数据进行了数据加密,也可以进行有效的流量分析。 5)破坏完整性:破坏完整性是指有意或无意地修改或破坏信息系统,或者在非授权和不能检测的方式下对数据进行修改。 6)拒绝服务:当一个授权实体不能获得应有的对网络资源的访问或当执行紧急操作被延迟时,就发生了拒绝服务。 7)资源的非授权使用:资源的非授权使用即与所定义的安全策略不一致的使用 8)陷阱门/特洛伊木马:陷阱门/特洛伊木马是指非授权进程隐藏在一个合法程序里从而达到其特定目的。 9)病毒。 10)诽谤:诽谤是指利用网络信息的广泛互联性和匿名性,散步错误的消息以达到诋毁某人或某公司的形象和知名度的目的。 3、(P3)分清主动攻击和被动攻击。 (1)被动攻击,根据入侵者能够截获和提取地信息的不同分类:被动搭线窃听和通信流量分析。 (2)主动攻击 4、(P4)一般黑客的攻击大体有三个步骤:信息收集、对系统的安全弱点探测与分析和实施攻击。 5、(P6)ITU-TX.800标准的主要内容包括以下三点: 1)安全攻击(Security Attack):安全攻击是指损害机构安全信息系统安全的任何活动。 2)安全机制(Security Mechanism):安全机制是指设计用于检测、预防安全攻击或者从攻击状态恢复到系统正常状态所需的机制。 3)安全服务(Security Service):安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。 6、(P7)ITU-TX.800定义了五种与前述安全目标和攻击有关的服务: 1)信息的机密性:数据机密性服务确保只有经过授权的试题才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务。 2)信息的完整性:信息的完整性在于保护信息免于被恶意方篡改、插入、删除和重放。 3)身份认证:一种类型是认证实体本身的身份,确保其真实性,称为实体认证; 另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证4)不可否认性:不可否认服务要防止对数据源以及数据提交的否认,它有两种可能:数据发送的不可否认和数据接收的不可否认。 5)访问控制:访问控制在于保护信息免于被未经授权的实体访问。
计算机网络安全基础试题及答案 2008年01月09日 22:03 第一章: 1,信息安全定义:为了防止对知识,事实,数据或功能未经授权而使用,误用,未经授权修改或拒绝使用而采取的措施。 第二章 1,攻击的类型:访问攻击(信息保密性攻击,修改攻击(信息完整性攻击,拒绝访问攻击,否认攻击。 2,访问攻击类型:监听,窃听,截听。 3,修改攻击类型:更改攻击,插入攻击,删除攻击。 4,什么是warchalking?:warchalking是指在办公楼外面的道路旁边画的粉笔标记。这些标记用来标识附近有哪些无线网络可以使用,便于个人更容易接入这些网络。 第三章 1,黑客动机:挑战,贪婪,恶意。 2,黑客技术的类型:开放共享,糟糕的密码,编程中的漏洞,社会工程,缓存溢出,拒绝服务。 3,缓存溢出:为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程序的源代码来发现。
4.Ip哄骗:攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后,黑客可以使用假的源ip地址向目标发送tcp syn数据包。目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。 5.特洛伊木马:是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为攻击者收集识别信息和密码信息的恶意代码。 6.病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件,被称为宏病毒。 7.蠕虫病毒:无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目标系统并自行扩散,进而对网络上的其他系统实施攻击。 8,黑客必须完成以下两种工作才能监听交换网络:让交换机发送通信给交换网络,或者让交换机发送通信给所有端口。 9.通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器。 第四章 攻击 机密性 完整性 可用性 责任性 访问
第一章 计算机网络安全概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因无意或故意威胁而遭 到破坏、更改、泄露,保证网络系统连续、可靠、正常地运行。 L 网络安全的特征(几个特性) ?系统的可靠性:保证网络系统不因各种因素的影响而屮断正常工作 ?数据的完整性:保护网络系统中存储和传输的软件(程序)与数据不被非法改变 ?数据的可用性:保证软件(程序)和数据能被合法用户访问和正常利用 ?数据的保密性:利用密码技术対数据进行加密处理,保证在系统中存储和网络上传 输的 数据不被无关人员识别。 2?网络面临的不安全因素 1) .网络系统的脆弱性(漏洞) 2) .网络系统的威胁:无意威胁、故意威胁, 被动攻击、主动攻击 3) .网络结构的安全隐患 被动攻击是指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动,如被动地搭 线窃听或非授权地阅读信息。 主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、 延迟、删除或复制这些信息。 ?被动攻击和主动攻击有四种具体类型: (1) 窃听:攻击者未经授权浏览了信息资源。这是对信息保密性的威胁,例如通过 搭 线捕获线路上传输的数据等。 被动攻击(窃听) (2)中断(Interruption ):攻击者中断正常的信息传输,使接收方收不到信息,正常的信息变 得无用或无法利用,这是対信息可用性的威胁,例如破坏存储介质、切断通信线路、侵犯文 件管理系统等。 中断 ⑶篡改(Modification ):攻击者未经授权而访问了信息资源,并篡改了信息。这是对信息完 整 发送方 接收方
性的威胁,例如修改文件中的数据、改变程序功能、修改传输的报文内容等。 篡改 ⑷伪造(Fabrication):攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁, 如向网络用户发送虚假信息、在文件中插入伪造的记录等。 伪造 3.P2DR模型 ?一个常用的网络安全模型是P2DR模型。P2DR是四个英文单词的字头: Policy (安全策略) Protection (防护) Detection (检测) Response (响应)
网络安全课程实验安排及指导书 2009-10-21
实验安排1、推荐必做实验 网络扫描 计算机病毒及恶意代码 防火墙实验 入侵检测系统 2、推荐选作实验 VPN配置 证书的申请和使用 windows安全配置实验
实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 3)试图做以下扫描: 扫描局域网内存活主机, 扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统 试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等 2、漏洞扫描 解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞 【实验报告】 1、说明程序设计原理。 2、提交运行测试结果。 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt 2、NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap 还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。 一、安装Nmap Nmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这
信息网络安全资料 第一章 1、掌握信息安全的四个目标保密性完整性可用性合法使用 2、信息系统中常见的威胁有哪些授权侵犯假冒攻击旁路控制特洛伊木马或陷门媒体废弃物 3、安全攻击分几大类?有何区别? 分为被动攻击和主动攻击 被动攻击是对所传输的信息进行窃听和监测,主动攻击是指恶意篡改数据或伪造数据流等攻击行为,主动攻击对信息不仅进行窃听,还会篡改 4、掌握OSI的七层参考模型和Internet四层参考模型 OSI七层参考模型物理层、数据链路层、网络层、传输层、会话层、表示层、应用层Internet四层参考模型数据链路层网络层传输层应用层 5、熟记X.800标准中的5类安全服务和8种特定安全机制,并简述安全服务和安全机制之间的关系 5类安全服务认证访问控制数据保密性数据完整性不可否认性 8种特定安全机制加密数字签名访问控制数据完整性认证交换流量填充路由控制公证 关系:安全服务通过安全机制来实现安全策略 6、能够画出网络安全参考模型和网络访问参考模型
第二、三章(不做重点要求) 1、必须知道IPv4及IPv6地址的格式及长度 IPv4 32位192.168.0.1 IPv6 128位2000:0000:0000:0000:0001:2345:6789:abcd(将这128位的地址按每16位划分为一个段,将每个段转换成十六进制数字,并用冒号隔开) 2、必须知道MAC地址的长度48位, 3、必须熟记http/ftp/telnet/pop3/smtp/ssh/dns等常用通信协议的端口号及功能 http 80 用于传送Web数据 ftp 20、21 提供上传下载服务 telnet 23 远程登陆服务的标准协议 pop3 110 接收电子邮件 smtp 25 发送邮件 ssh 22 为远程登录会话和其他网络服务提供安全性的协议 dns 53 把域名转换成计算机能够识别的IP地址 4、为什么要进行网络地址转换(NAT)?IP地址短缺 5、ARP协议的作用是什么? 负责将局域网中的32b IP地址转换为对应的48b物理地址,即网卡的MAC地址 6、为什么UDP比TCP协议更加容易遭到攻击? 因为UDP没有交换握手信息和序号的过程
.. 网络安全课程实验安排及指导书 2009-10-21
实验安排1、推荐必做实验 网络扫描 计算机病毒及恶意代码 防火墙实验 入侵检测系统 2、推荐选作实验 VPN配置 证书的申请和使用 windows安全配置实验
实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 3)试图做以下扫描: 扫描局域网内存活主机, 扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统 试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等 2、漏洞扫描 解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞 【实验报告】 1、说明程序设计原理。 2、提交运行测试结果。 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt 2、NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
2012级计算机网络专业《网络安全基础》试题 一、单选題(每题1分) 1、下列加密协议属于非对称加密的是( A ) A RSA B DES C 3DES D AES 2 、3DES加密协议密钥是()位( A ) A 128 B 56 C 64 D 1024 3、下列不是身份认证的是( C ) A 访问控制 B 智能卡 C 数学证书 D口令 4、下面有关SSL的描述,不正确的是( D ) A. 目前大部分Web浏览器都内置了SSL协议 B. SSL协议分为SSL握手协议和SSL记录协议两部分 C. SSL协议中的数据压缩功能是可选的 D. TLS在功能和结构上与SSL完全相同 5、计算机病毒的危害性表现在( B ) A. 能造成计算机部分配置永久性失效 B. 影响程序的执行或破坏用户数据与程序 C. 不影响计算机的运行速度 D. 不影响计算机的运算结果 6、下面有关计算机病毒的说法,描述正确的是( C ) A. 计算机病毒是一个MIS程序 B. 计算机病毒是对人体有害的传染性疾病 C. 计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序 D. 计算机病毒是一段程序,只会影响计算机系统,但不会影响计算机网络 7、计算机病毒具有( A ) A. 传播性、潜伏性、破坏性 B. 传播性、破坏性、易读性 C. 潜伏性、破坏性、易读性 D. 传播性、潜伏性、安全性 8、目前使用的防杀病毒软件的作用是( B ) A. 检查计算机是否感染病毒,并消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 检查计算机是否感染病毒,并清除部分已感染的病毒 D. 查出已感染的任何病毒,清除部分已感染的病毒 9、非法接收者在截获密文后试图从中分析出明文的过程称为( B ) A. 破译 B. 解密 C. 加密 D. 攻击 10、以下有关软件加密和硬件加密的比较不正确的是( B ) A. 硬件加密对用户是透明的而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 11、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明 D A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界 12、以下认证方式中最为安全的是 C A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹 13、当计算机上发现病毒时最彻底的清除方法为 A
1.属于C级的操作系统有: A. UNIX操作系统 B. DOS操作系统 C. Windows99操作系统 D. Windows NT操作系统 2.数据在存储或传输时不被修改、破坏,或数据包的丢失、乱序等是指: A 数据完整性 B 数据一致性 C 数据同步性 D 数据源发性 3.加密工具PGP用的是杂合加密算法,从下面列表中选出一正确答案。 A RSA和对称加密算法 B Diffie-Hellman和传统加密算法 C Elgamal和传统加密算法 D RSA和Elgamal 4.在对称密钥体制中,根据加密方式的不同又可分为: A. 分组密码方式和密钥序列方式 B. 分组密码方式和序列密码方式 C. 序列密码方式和数据分组方式 D. 密钥序列方式和数据分组方式 5.在通信系统的每段链路上对数据分别进行加密的方式称为: A. 链路层加密 B. 节点加密 C. 端对端加密 D. 连接加密 6.Windows NT的域用户验证是在OSI参考模型的哪一层提供安全保护? A 应用层 B 表示层 C 会话层 D 传输层 7.网络级安全所面临的主要攻击是:()。 A. 盗窃 B. 自然灾害 C. 窃听、欺骗 D. 网络应用软件的缺陷 8.计算机系统的脆弱性主要来自于原因? A 硬件故障 B 操作系统的不安全性 C 应用软件的BUG D 病毒的侵袭 9.PGP可以在多种操作平台上运行,它的主要用途有: A 加解密数据文件 B 加密和签名电子邮件 C 解密和验证他人的电子邮件 D 硬盘数据保密 10.PGP中有四种信任级别,包括下面列出的哪三种? A 边缘信任 B 未知信任 C 高度信任 D 不信任 11.网络通信的数据加密方式有哪几种: A. 链路加密方式 B. 端对端加密方式 C. 会话层加密 D. 节点加密方式
目录 网络安全与防火墙实验篇 实验一:查阅Linux 缺省的存取控制权限 实验二:创建Apache 服务器下的访问控制列表 实验三:使用PGP 创建密钥对 实验四:在NT 下导出PGP 公钥及对签名 实验五:NT 下PGP 使密钥对加密、解密信息 实验六:用PGP 加密和解密文件 实验七:使用MD5sum 创建HASH 校验和 实验八:PGP 使用实现VPN 的实施 实验九:在Linux 下用gnupg 工具实现加密 实验十:使用sniffer 捕获加密包和非加密包 实验十一:在IIS 中实现SSL 实验十二:使用NAT 进行蛮力攻击 实验十三:发送伪造的E-mail 实验十四:Tribe Flood Network(TFN)攻击 实验十五:使用单用户模式登录Linux 实验十六:利用Linux 启动盘更改Windows NT 密码 实验十七:在Windows NT 下关闭端口 实验十八:使用plisten 监听端口 实验十九:在NT 下使用NC(Netcat)开放后门端口 实验二十:在IIS 中配置安全的Web 站点 实验二十一:在IIS 中配置安全的FTP 服务 实验二十二:配置简单的网络检测 实验二十三:用Winroute 创建包过滤规则 实验二十四:使用WinRoute 过滤HTTP 访问 实验二十五:用WinRoute 配置FTP 过滤 操作系统实验篇 实验一:Red Button 工具探测NT 管理员帐号及共享 实验二:帐号锁定策略与暴力攻击 实验三:强制使用强壮的密码 实验四:UNIX 环境下密码时效的及PATH 的重要性 实验五:键盘记录程序的潜在危险 实验六:使用WebTrends Security Analyzer 进行安全评估 实验七:识别UNIX 下―r‖系列程序的不安全因素 实验八:在NT 下卸载和删除一些不必要的服务 实验九:更改NT 注册表来增强系统的安全性 实验十:保护FTP、TELNET 服务以及TCPWra 九:在Linux 下用gnupg 工具实现加密安全审计,攻击和威胁分析实验篇 实验一:使用tracert 命令检测路由和拓扑结构信息 实验二:使用WS_ping propack 进行网络检测和扫描 实验三:从SNMP 中获取信息 实验四:在Linux 下使用Nmap 检测端口 实验五:使用ISS internet SCanner 进行网络检测和分析 实验六:分析SYN Flood 攻击原理 实验七:分析Smurf 攻击原理 实验八:使用L0phtCrack 破解Windows NT 密码 实验九:使用John the Ripper 破解Linux 密码 实验十:使用NetBus 进行主机控制 实验十一:分析NetBus 会话端口 实验十二:使用NetBus 进行远程控制 实验十三:使用session wall 进行实时安全控制 实验十四:用session wall 监视主机活动 实验十五:在session wall 中创建,设置,编辑审计规则 实验十六:审计windows nt 引导与登录 实验十七:激活,分析windows nt 文件夹审计 实验十八:使用Linux 审计工具