第一篇:【网络课】网络安全技术期末复习题总结
【网络课】网络安全技术期末复习题
一、选择题 第一章
(B)1.由于来自于系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项?
A.黑客攻击
B.社会工程学攻击
C.操作系统攻击
D.恶意代码攻击
(A)
2.在信息安全性中,用于提供追溯服务信息或服务源头的是哪一项?
A.不可否认性
B.认证性
C.可用性
D.完整性
第二章
(A)
1.密码技术的哪一个目标不能被对称密码技术实现?
A.完整性
B.保密性
C.不可否认性
D.认证性
(C)2.A想要使用非对称密码系统向B发送秘密消息。A应该使用哪个密钥来加密消息?
A.A的公钥
B.A的私钥
C.B的公钥
D.B的私钥
(A)
3.DES的有效密钥长度是多少?
A.56比特
B.112比特
C.128比特
D.168比特
(C)
4.下面哪种情况最适合使用非对称密码系统?
A.公司电子邮件系统
B.点到点的VPN系统 C.证书认证机构
D.Web站点认证
(D)
5.下面哪个哈希函数最适合8位处理器?
A.SHA-256
B.SHA-512
C.MD4
D.MD2(C)
6.Grace想要使用数字签名技术向Joe发送一则消息,为了获得数字签名,她应该对哪种信息进行签名?
A.明文消息
B.密文消息
C.明文消息摘要
D.密文消息摘要
(C)
7.Joe收由Grace签了名的信息,请问Joe该使用哪个密钥来验证签名?
A.Joe的公钥
B.Joe的私钥
C.Grace的公钥
D.Grace的私钥
第三章
(C)
1.下面哪项不属于口令认证?
A.可重用口令认证
B.一次性口令认证
C.安全套接层认证
D.挑战应答口令认证
(C)2.公钥认证不包括下列哪一项?
A.SSL认证
B.Kerberos认证
C.安全RPC认证
D.MD5认证
第四章
(C)
1.在TCP/IP协议安全中,下列哪一项属于应用层安全?
(C)
2.IPSec中有三个主要的协议用来对传输中的系统提供安全服务,不包括下列哪一项? A.SA
B.AH A.VPNs
B.PPP C.Kerberos
D.SSL
C.CA
D.ESP 第五章
(C)
1.以下哪一项不属于恶意代码?
A.病毒
B.特洛伊木马
C.系统漏洞
D.蠕虫
(D)2.使授权用户泄露安全数据或允许非授权访问的攻击方式称作
A.拒绝服务攻击
B.中间人攻击
C.社会工程学
D.后门攻击
第六章
(B)
1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击?
A.欺骗攻击
B.暴力攻击
C.穷举攻击
D.字典攻击
(A)
2.以下哪个模型通常用来模拟现实的实体以及实体之间状态的转移?
A.状态机模型
B.Bell-LaPadula模型
C.Clark-Wilson 模型
D.Noninterference 模型
第七章
(B)
1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击?
A.欺骗攻击
B.暴力攻击
C.穷举攻击
D.字典攻击
(D)
2.常见类型的防火墙拓扑结构以下哪一项?
A.屏蔽主机防火墙
B.屏蔽子网防火墙
C.双重防火墙
D.硬件防火墙
第八章
(B)
1.对于一个入侵,下列最合适的描述是:
A.与安全事故类似
B.各种试图超越权限设置的恶意使用
C.任何侵犯或试图侵犯你的安全策略的行为
D.任何使用或试图使用系统 资源用于犯罪目的的行为(A)
2.下列哪种安全策略可用于最小特权原则的理念:
A.白名单
B.严格禁止
C.宽松的控制
D.黑名单
(A)3.如果一个IDS上报了一个异常行为,但该行为是正常的,那么IDS犯了什么错误
A.误报
B.漏报
C.混合式错误
D.版本出错
(B)4.哪种入侵者是最危险的,为什么?
A.外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。
B.内部入侵者,因为他们掌握更多关于系统的信息。
C.外部入侵者,因为大部分入侵者都在外部。
D.内部入侵者,因为很多外部入侵者都是新手。
(A)5.对于有特征的入侵行为,哪种类型的入侵检测更适用:
A.误用检测
B.异常检测
C.恶意检测
D.外部检测
(C)6.IDS规则的目的是什么:
A.告诉IDS检测那些端口
B.限制系统行为,如果违反了,就触发警报
C.告诉IDS那些包需要被监测,并在包中检测什么内容
D.告诉防火墙哪些数据包可以穿过IDS(C)7.什么软件可以阅读其所在网络的数据:
A.特征数据库
B.包嗅探器
C.数据包分析引擎
D.网络扫描
(A)8.哪种IDS可以检测特定网段的所有流量:
A.基于网络的IDS
B.基于特征的IDS
C.基于主机的IDS
D.基于知识的IDS(C)9.哪种类型的IDS可以用来标识外来攻击的?
A.在DMZ区的HIDS
B.在防火墙与内部网络之间的NIDS
C.在外部网络与防火墙之间的NIDS
D.在DMZ区的NIDS(ABCD)10.当选择IDS时,哪些因素是你要考虑的(多选):
A.价格
B.配置与维护IDS所需要的知 识与人力
C.互联网类型
D.你所在的组织的安全策略
第九章
(D)1.Telnet命令的默认端口号是什么?
A.80
B.8080
C.21
D.23(B)2.在Windows操作系统中,端口号9提供什么服务?
A.给出当前日期
B.丢弃收到的所有东西
C.对受到的所有通信进行响应
D.提供系统日期和时间
第十章
(C)1.内容过滤发生在哪两个层次?
A.应用层和物理层
B.应用层和链路层
C.应用层和网络层
D.链路层和网络层
(D)2.病毒感染计算机系统并进行传播的方式有多种,下列哪项不属于?
A.引导扇区
B.宏渗透
C.寄生虫
D.移动磁盘
第十一章
(B)1.可以导致软件运行故障的因素不包括下列哪一项?
A.复杂性
B.健壮性
C.测试困难
D.软件升级
(B)2.信息安全威胁分析法中,通过使用一种什么样的模型来进行风险分析的计算?
A.MD5
B.Schneier
C.Hash
D.Security Assessment 第十二章
(C)1.下列哪一项不属于发生在本地的中级别灾难?
A.病毒攻击
B.长时间的停电
C.服务出错
D.服务器故障
(A)2.以下哪一项不属于系统灾难恢复的准备工作?
A.Internet信息服务
B.风险评估
C.备份介质数据
D.应付灾难准备
第十三章
(C)1.犯罪侦查三个核心元素中不包括下列哪一项?
A.与案件有关的材料
B.案件材料的合法性
C.案件材料的逻辑性
D.线索材料
(D)2.通过对校验和进行加密来判断数据是否有更改的检验方法叫做?
A.AHSH算法
B.SHAH算法
C.SHHA算法
D.HASH算法 第十四章
(C)1.操作系统管理的主要系统资源不包括下列哪一项?
A.主存储器
B.二级存储器
C.三级存储器
D.处理器
(A)2.一个系统使用击键监视器的原因不包括下列哪一项?
A.系统备份
B.恶意攻击
C.证据收集
D.测试和质量保证
第十五章
(A)1.注册表中,阻止访问特定驱动器内容的键值是下列哪一项?
A.NoViewOnDrive
B.RestrictRun
C.DisableRegistryTools
D.NoClose(D)2.以下Windows用户系统常见服务中,哪项是不能关闭的?
A.Internet信息服务
B.远程登录
C.远程注册
D.注册表访问
第十六章
(B)1.目前Web 服务安全的关键技术有WS-Security规范、XML签名规范、XML加密规范以及下列哪一项?
A.SAML
B.SOAP
C.XKMS
D.OASIS(A)2.以下哪个方面不是检验表的主要用途?
A.远程检验表
B.漏洞检验表
C.设置检验表
D.审计检验表
第十七章
(B)1.目前Web 服务安全的关键技术有WS-Security规范、XML签名规范、XML加密规范以及下列哪一项?
A.SAML
B.SOAP
C.XKMS
D.OASIS(C)2.Web服务架构的3 个基本操作不包括下列哪一项?
A.发布(publish)
B.绑定(bind)
C.请求(request)
D.查找(find)第十八章
(D)1.常见的通用安全原则为特权分离原则,最小特权原则,深度防御原则以
及下列哪一项?
A.物理安全策略
B.人员安全策略
C.区域安全策略
D.模糊安全策略
(C)2.数据管理策略不包括下列哪一项?
A.最长保管时间
B.最短保管时间
C.数据安全
D.数据类型
第十九章
(B)1.常见的DRP检测类型有清单检查,软件测试,硬件测试以及下列哪一
项?
A.前期培训
B.桌面练习
C.初始训练
D.复习训练
(C)
2.灾难恢复的三种主要替换处理设施不包括下列哪一项?
A.热门地点
B.冷门地点
C.安全地点
D.一般地点
71.关于信息安全,下列说法中正确的是_C__。信息安全等同于网络安全 信息安全由技术措施实现 信息安全应当技术与管理并重 管理措施在信息安全中不重要
70.编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码是__A__。计算机病毒 计算机系统 计算机游戏 算机程序
69.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速__A__。恢复整个系统 恢复所有数据 恢复全部程序 恢复网络设置
68.在目前的信息网络中,__C__病毒是最主要的病毒类型。
67.对日志数据进行审计检查,属于_B___类控制措施。
66.口令机制通常用于_A___。
65.安全评估技术采用__A__这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
64.身份认证的含义是_C___。
注册一个用户 标识一个用户 验证一个用户 授权一个用户 安全扫描器 安全扫描仪 自动扫描器 自动扫描仪 认证 标识 注册 授权 预防 检测 威慑 修正 引导型 文件型 网络蠕虫 木马型 63.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于_B___措施。
62.入侵检测技术可以分为误用检测和_C___两大类。
61.下列__C__机制不属于应用层安全。
60.信息安全管理中,_B__负责保证安全管理策略与制度符合更高层法律、法规的要求,不发生矛盾和冲突。
59.防火墙最主要被部署在_A___位置。
58.人们设计了__D__,以改善口令认证自身安全性不足的问题。
57.下列关于风险的说法,__B__是正确的56.不是计算机病毒所具有的特点__D__。传染性 可以采取适当措施,完全清除风险 任何措施都无法完全清除风险 风险是对安全事件的确定描述 风险是固有的,无法被控制 统一身份管理 指纹认证 数字证书认证 动态口令认证机制 网络边界 骨干线路 重要服务器 桌面终端 组织管理 合规性管理 人员管理 制度管理 数字签名 应用代理 主机入侵检测 应用审计 应用审计 详细检测 异常检测 漏洞检测 保护 检测 响应 恢复
破坏性
潜伏性 可预见性
55.传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A__等重要网络资源。
54.下列不属于网络蠕虫病毒的是__C__。
53.对网络层数据包进行过滤和控制的信息安全技术机制是__A__。
52.信息安全经历了三个发展阶段,以下__B__不属于这三个发展阶段
51.公安部网络违法案件举报网站的网址是__C__。
50.下列关于信息的说法 __D__是错误的49.防火墙用于将Internet和内部网络隔离,(B)是防止Internet火灾的硬件设施 信息是人类社会发展的重要支柱
信息本身是无形的信息具有价值,需要保护 信息可以以独立形态存在 www.xiexiebang.com www.xiexiebang.com
http://www.xiexiebang.com
www.xiexiebang.com 通信保密阶段
加密机阶段 信息安全阶段 安全保障阶段 防火墙
IDS Sniffer IPSec 冲击波 SQLSLAMMER CIH 振荡波 网络带宽 数据包
防火墙
LINUX
是网络安全和信息安全的软件和硬件设施 是保护线路不受破坏的软件和硬件设施 是起抗电磁干扰作用的硬件设施
48..以下(D)不是包过滤防火墙主要过滤的信息
47.对动态网络地址交换(NAT),不正确的说法是(B)
46.对非军事DMZ而言,正确的解释是(D)
45.为了降低风险,不建议使用的Internet服务是(D)
44.包过滤型防火墙原理上是基于(C)进行分析的技术
43.一般而言,Internet防火墙建立在一个网络的(C)
内部子网之间传送信息的中枢 每个子网的内部
内部网络与外部网络的交叉点 部分内部网络与外部网络的结合处 物理层 数据链路层 网络层 应用层 Web服务 外部访问内部系统 内部访问Internet FTP服务.DMZ是一个真正可信的网络部分
DMZ网络访问控制策略决定允许或禁止进入DMZ通信 允许外部用户访问DMZ系统上合适的服务 以上3项都是 将很多内部地址映射到单个真实地址 外部网络地址和内部地址一对一的映射 最多可有64000个同时的动态NAT连接 每个连接使用一个端口 源IP地址 目的IP地址
TCP源端口和目的端口 时间 42.计算机病毒是计算机系统中一类隐藏在(C)上蓄意破坏的捣乱程序
41.目前,VPN使用了(A)技术保证了通信的安全性
40.不属于VPN的核心技术是(C)
39.不属于隧道协议的是(C)
38.PPTP、L2TP和L2F隧道协议属于(B)协议
37.将公司与外部供应商、客户及其他利益相关群体相连接的是(B)
内联网VPN
36.VPN的加密手段为(C)
具有加密功能的防火墙 具有加密功能的路由器
VPN内的各台主机对各自的信息进行相应的加密 单独的加密设备 外联网VPN 远程接入VPN 无线VPN 第一层隧道 第二层隧道 第三层隧道 第四层隧道 PPTP L2TP TCP/IP IPSec 隧道技术 身份认证 日志记录 访问控制 隧道协议、身份认证和数据加密 身份认证、数据加密 隧道协议、身份认证 隧道协议、数据加密 内存 软盘 存储介质 网络
35.GRE协议的乘客协议是(D)
34.属于第二层的VPN隧道协议有(B)
33.通常所说的移动VPN是指(A)
27.传输层保护的网络采用的主要技术是建立在()基础上的(A)
26.属于Web中使用的安全协议(C)
25.SSL产生会话密钥的方式是(C)。
24.为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。
分类组织成组 严格限制数量
按访问时间排序,删除长期没有访问的用户 从密钥管理数据库中请求获得 每一台客户机分配一个密钥的方式 随机由客户机产生并加密后通知服务器 PEM、SSL S-HTTP、S/MIME SSL、S-HTTP S/MIME、SSL 可靠的传输服务,安全套接字层SSL协议 不可靠的传输服务,S-HTTP协议 可靠的传输服务,S-HTTP协议
不可靠的传输服务,安全套接字层SSL协议 Access VPN Intranet VPN Extranet VPN 以上皆不是 IPSec PPTP GRE 以上皆不是 IP IPX AppleTalk 上述皆可 23.下列对访问控制影响不大的是(D。
主体身份
22.访问控制是指确定(A)以及实施访问权限的过程。
21.可以被数据完整性机制防止的攻击方式是(D)。
20.数据保密性安全服务的基础是(D。
19.用于实现身份鉴别的安全机制是(A)。
18.网络安全是在分布网络环境中对(D)提供安全保护。
17.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息 重新发往B称为(D)。
中间人攻击
口令猜测器和字典攻击 信息载体 信息的处理、传输 信息的存储、访问 上面3项都是 加密机制和数字签名机制 加密机制和访问控制机制 数字签名机制和路由控制机制 访问控制机制和路由控制机制 数据完整性机制 数字签名机制 访问控制机制 加密机制 假冒源地址或用户的地址欺骗攻击 抵赖做过信息的递交行为 数据中途被攻击者窃听获取 数据在途中被攻击者篡改或破坏 用户权限
可给予哪些主体访问权利 可被用户访问的资源 系统是否遭受入侵 客体身份 访问类型 主体与客体的类型
强力攻击 回放攻击
16.攻击者用传输数据来冲击网络接口,使服务器过于繁忙以至于不能应答请求的攻击方 式是(A)。
15.最新的研究和统计表明,安全攻击主要来自(B)。
14.机密性服务提供信息的保密,机密性服务包括(D)。
13.拒绝服务攻击的后果是(E)
12.窃听是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接收站之间。截获是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接受站之间。
11.从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(),然而()这些攻击是可行的;主动攻击难以(C),然而()这些攻击是可行的。
阻止,检测,阻止,检测 检测,阻止,检测,阻止 检测,阻止,阻止,检测 被动,无须,主动,必须 主动,必须,被动,无须 主动,无须,被动,必须 被动,必须,主动,无须 信息不可用 应用程序不可用 系统宕机 阻止通信 上面几项都是 文件机密性 信息传输机密性 通信流的机密性 以上3项都是 接入网 企业内部网 公用IP网 个人网 拒绝服务攻击 地址欺骗攻击 会话劫持
信号包探测程序攻击
上面3项都不是
10.从安全属性对各种网络攻击进行分类,截获攻击是针对(A)的攻击。
9.从安全属性对各种网络攻击进行分类,阻断攻击是针对(B)的攻击。
8.对攻击可能性的分析在很大程度上带有(B)
7.“会话侦听和劫持技术”是属于(B)的技术。
6.信息安全的基本属性是(D)。
5.“公开密钥密码体制”的含义是(C)
4.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。用户的方便性 将所有密钥公开
将私有密钥公开,公开密钥保密 将公开密钥公开,私有密钥保密 两个密钥相同 机密性 可用性 完整性 上面3项都是 密码分析还原 协议漏洞渗透 应用漏洞分析与渗透 DOS攻击 客观性 主观性 盲目性 上面3项都不是 机密性 可用性 完整性 真实性 机密性 可用性 完整性 真实性
管理的复杂性
对现有系统的影响及对不同平台的支持 上面3项都是
3.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(A)。
2.密码学的目的是(C)。
1.计算机网络是地理上分散的多台(C)遵循约定的通信协议,通过软硬件互联的系统
二、问答题
1.解释身份认证的基本概念。
身份认证是指用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。
身份认证是安全系统中的第一道关卡,识别身份后,由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破,系统的所有安全措施将形同虚设,黑客攻击的目标往往就是身份认证系统。
2.单机状态下验证用户身份的三种因素是什么?(1)用户所知道的东西:如口令、密码。(2)用户所拥有的东西:如智能卡、身份证。
(3)用户所具有的生物特征:如指纹、声音、视网膜扫描、DNA等。
3.解释访问控制的基本概念。
访问控制是建立在身份认证基础上的,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。
访问控制的目的:限制主体对访问客体的访问权限(安全访问策略),从而使计算机系统在合法范围内使用。
4.电子邮件存在哪些安全性问题?
答:1)垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。垃圾邮件会增加网络负荷,影响网络传输速度,占用邮件服务器的空间。计算机 主从计算机 自主计算机 数字设备 研究数据加密 研究数据解密 研究数据保密 研究信息安全 对称加密技术 分组密码技术 公钥加密技术 单向函数密码技术 2)诈骗邮件通常指那些带有恶意的欺诈性邮件。利用电子邮件的快速、便宜,发信人能迅速让大量受害者上当。3)邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为,信箱不能承受时就会崩溃。
4)通过电子邮件传播的病毒通常用VBScript编写,且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后,病毒会查询他的通讯簿,给其上所有或部分人发信,并将自身放入附件中,以此方式继续传播扩散。
5.在服务器端和用户端各有哪些方式防范垃圾邮件?
在服务器端,应该设置发信人身份认证,以防止自己的邮件服务器被选做垃圾邮件的传递者。现在包括不少国内知名电子邮件提供者在内的诸多邮件服务器被国外的拒绝垃圾邮件组织列为垃圾邮件来源。结果是:所有来自该服务器的邮件全部被拒收!
在用户端,防范垃圾邮件有如下方式:
1)不随便公开自己的电子邮件地址,防止其被收入垃圾邮件的发送地址列表。因为有很多软件可以自动收集这些新闻组文章或者论坛中出现过的电子邮件地址。一旦被收入这些
垃圾邮件的地址列表中,一些不怀好意的收集者将出售这些电子邮件地址牟利,然后,很不幸地,这个地址将可能源源不断地收到各种垃圾邮件。
2)尽量采用转发的方式收信,避免直接使用ISP提供的信箱。申请一个转发信箱地址,结合垃圾邮件过滤,然后再转发到自己的真实信箱。实践证明,这的确是一个非常有效的方法。只有结合使用地址过滤和字符串特征过滤才能取得最好的过滤效果。不要回复垃圾邮件,这是一个诱人进一步上当的花招。
6.什么是防火墙,为什么需要有防火墙?
答:防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。
如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。
防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。
7.防火墙应满足的基本条件是什么?
答:作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1)内部网络和外部网络之间的所有数据流必须经过防火墙。(2)只有符合安全策略的数据流才能通过防火墙。
(3)防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。
8.简述常见的黑客攻击过程。答:(1)目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。
a.踩点(Footprinting)
黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。b.扫描(Scanning)
在扫描阶段,我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。c.查点(Enumeration)
从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。(2)
获得访问权(Gaining Access)
通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。(3)
特权提升(Escalating Privilege)
在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。(4)
窃取(Stealing)
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。(5)
掩盖踪迹(Covering Tracks)
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。(6)
创建后门(Creating Bookdoor)
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。入侵检测与安全审计
9.什么是IDS,它有哪些基本功能?
答:入侵检测系统IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。1)监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为;
5)操作系统日志管理,并识别违反安全策略的用户活动等。
10.什么是病毒的特征代码?它有什么作用?
答:病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒,以防止病毒程序感染。
11.什么是网络蠕虫?它的传播途径是什么?
答: 网络蠕虫是一种可以通过网络(永久连接网络或拨号网络)进行自身复制的病毒程序。一旦在系统中激活,蠕虫可以表现得象计算机病毒或细菌。可以向系统注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬件或文件系统中繁殖,而典型的蠕虫程序会在内存中维持一个活动副本。蠕虫是一个独立运行的程序,自身不改变其他的程序,但可以携带一个改变其他程序功能的病毒。
12.列举防火墙的几个基本功能?
答:(1)隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。(2)防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。
(3)防火墙可以作为部署NAT的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。
(4)防火墙是审计和记录Internet使用费用的一个最佳地点。(5)防火墙也可以作为IPSec的平台。
(6)内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。
13.试述RAID 0、RAID
1、RAID
3、RAID 5方案
答:(1)RAID0:无冗余、无校验的磁盘阵列。RAID0至少使用两个磁盘驱动器,并将数据分成从512字节到数兆节的若干块(数据条带),这些数据块被交替写到磁盘中。RAID0不适用于对可靠性要求高的关键任务环境,但却非常适合于对性能要求较高的视频或图像编辑。
(2)RAID1:镜像磁盘阵列。每一个磁盘驱动器都有一个镜像磁盘驱动器,镜像磁盘驱动器随时保持与原磁盘驱动器的内容一致。RAID1具有较高的安全性,但只有一半的磁盘空间被用来存储数据。为了实时保护镜像磁盘数据的一致性,RAID1磁盘控制器的负载相当大,在此性能上没有提高。RAID1主要用于在对数据安全性要求很高,而且要求能够快速恢复损坏的数据的场合。
(3)RAID3:带奇偶校验码的并行传送。RAID3使用一个专门的磁盘存放所有的校验数据,而在剩余的磁盘中创建带区集分散数据的读写操作。RAID3适合用于数据密集型环境或单一用户环境,尤其有益于要访问较长的连续记录,例如数据库和Web服务器等。
(4)RAID5:无独立校验盘的奇偶校验磁盘阵列。RAID5把校验块分散到所有的数据盘中。RAID5使用了一种特殊的算法,可以计算出任何一个带区校验块的存放位置,这样就可以确保任何对校验块进行的读写操作都会在所有的RAID磁盘中进行均衡,从而消除了产生瓶颈的可能。RAID5能提供较完美的性能,因而也是被广泛应用的一种磁盘阵列方案。它适合于I/O密集、高读/写比率的应用程序,如事务处理等。为了具有RAID5级的冗余度,我们至少需要三个磁盘组成的磁盘阵列。RAID5可以通过磁盘阵列控制器硬件实现,也可以通过某些网络操作系统软件实现。
14.信息安全有哪些常见的威胁?信息安全的实现有哪些主要技术措施?
答:常见威胁有非授权访问、信息泄露、破坏数据完整性,拒绝服务攻击,恶意代码。信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾难恢复和备份技术
15.防火墙的实现技术有哪两类?防火墙存在的局限性又有哪些?
防火墙的实现从层次上可以分为两类:数据包过滤和应用层网关,前者工作在网络层,而后者工作在应用层。防火墙存在的局限性主要有以下七个方面:(1)网络上有些攻击可以绕过防火墙(如拨号)。(2)防火墙不能防范来自内部网络的攻击。(3)防火墙不能对被病毒感染的程序和文件的传输提供保护。(4)防火墙不能防范全新的网络威胁。(5)当使用端到端的加密时,防火墙的作用会受到很大的限制。(6)防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。(7)防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成攻击
16.TCP/IP协议的网络安全体系结构的基础框架是什么?
答:由于OSI参考模型与TCP/IP参考模型之间存在对应关系,因此可根据GB/T 9387.2-1995的安全体系框架,将各种安全机制和安全服务映射到TCP/IP的协议集中,从而形成一个基于TCP/IP协议层次的网络安全体系结构。
17.什么是IDS,它有哪些基本功能。
答:入侵检测系统IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
它的基本功能是:(1)监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作;(2)核查系统配置和漏洞并提示管理员修补漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为,统计分析异常行为;(5)操作系统日志管理,并识别违反安全策略的用户活动等。
18.主动攻击与被动攻击的特点是什么?主动攻击与被动攻击的现象。
答:主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。
19.什么是MD5? 答:MD5即报文—摘要算法,它是一种基于哈希函数的密码算法,以任意长度的消息作为输入,生成128位的消息摘要作为输出,输入消息是按512位的分组处理的。它的最大作用在于,将不同格式的大容量文件信息在用数字签名软件来签署私人密钥前“压缩”成一种保密格式,关键在于这种“压缩”是不可逆的。
第二篇:光纤通信技术期末复习题
光纤通信技术期末复习题
一.选择题。
1.光纤包层需要满足的基本要求是(A)A.为了产生全反射,包层折射率必须必纤芯低 B.包层不能透光,防止光的泄露 C.必须是塑料,使得光纤柔软 D.包层折射率必须必空气地 2.在激光器中,光的放大是通过(A)
A.粒子数反转分布的激活物质来实现的 B.光学谐振腔来实现的 D.泵浦光源来实现的 D.外加直流来实现的 3.STM-64信号的码速率为(D)
A.155.520Mb/s B.622.080Mb/s C.2488.320Mb/s D.9953.280Mb/s 4.以下哪个是掺铒光纤放大器的功率源(C)
A.通过光纤的电流 B.EDFA不需要功率源 C.在980nm或1480nm发光的泵浦激光器 D.从光信号中提取的功率 5.数字光接收机的灵敏度Pr=100微瓦,则为(A)dbm A.-10 B.10 C.-20 D.-30 6.为了使雪崩光电二极管能正常工作,需在其两端加上(B)A.高正向电压 B.高反向电压 C.低反向电压 D.低正向电压 7.光纤的数值孔径与(C)有关。
A.纤芯的直径 B.包层的直径 C.相对折射率指数差 D.光的工作波长 8.光缆的规格代号中用两位数字来表示光纤的损耗常数,比如02表示光纤的损耗系数不大于(B)
A.2dB/Km B.0.2dB/Km C.20dB/Km D.无具体含义 9.光缆的规格代号中用一位数字来表示光纤的适用波长,比如3表示的波长是(C)A.0.85um B.1.31um C.1.55um D.1.51um 10.PIN光电二极管,因雪崩倍加作用,因此其雪崩倍加因子为(C)A.G>1 B.G<1 C.G=1 D.=0 11.光接收机中将升余弦频谱脉冲信号恢复为“0”和“1”码信号的模块为(B)A.均衡器 B.判决器和时钟恢复电路 C.放大器 D.光电检测器 12.EDFA中将光信号和泵浦光混合起来送入掺铒光纤中的器件是(B)A.光滤波器 B.光耦合器 C.光环形器 D.光隔离器 13.STM-1的帧结构中,AU指针区域的位置是在(D)
A.第4列,1~3行 B.第4列,1~9行 C.1~3列,第4行 C.1~9列,第4行 14掺铒光纤放大器的工作波长所处范围是(D)
A.0.85um~0.87um B.1.31um~1.35um C.1.45um~1.55um D.1.53um~1.56um 15.光缆的规格代号中用字母来表示附加导线的材料,如铜导线则附加字母是(D)A.Cu B.L C.T D.没有字母
16.光时域反射仪(OTDR)是利用光在光纤中传输时的瑞利散射所产生的背向散射而制成的精密仪表,它不可以用作(D)的测量。
A.光线的长度 B.光纤的传输衰减 C.故障定位 D.光线的色散
第1页(共 5 页)
系数
17.下列哪一个不是SDH网的特点(D)
A.具有全世界统一的接口标准 B.大量运用软件运系统配置的管理 C.复用映射结构灵活D.指针调整技术降低了设备复杂性 18.光隔离器的作用是(B)
A.调节光信号的功率大小 B.保证光信号只能正向传输
C.分离同向传输的各路光信号D.将光纤中传输的监控信号隔离开 19.注入光纤的光功率为10mW,经过10Km的传输过后输出的光功率为1mW,则这段光线的损耗系数为(B)
A.0.1Db/Km B.1Db/Km C.10Db/Km D.100Db/Km 20.光纤数字通信系统中不能传输HDB3码的原因是(A)
A.光源不能产生负信号光 B.将出现长连“1”或长连“0” C.编码器它复杂 D.码率冗余度太大 二.填空题。
1.1966年,在英国标准电信实验室工作的华裔科学家(高锟)首先提出用石英玻璃纤维作为光纤通信的媒质,为现代光纤通信奠定了理论基础。
2.光纤传输是以(激光光波)作为信号载体,以(光纤)作为传输媒质的传输方式。
3.光纤通常由(纤芯)、(包层)、(涂覆层)三部分组成的。
4.据光纤横截面上折射率分布的不同将光纤分类为(阶跃折射率型)和(渐变折射率型)。
5.光纤色散主要包括材料色散、(模式色散)、(波导色散)和偏振模色散。6.光纤通信的最低损耗波长是(1.55μm),零色散波长是(1.31μm)。7.数值孔径表示光纤的集光能力,其公式为()。8.阶跃光纤的相对折射率差公式为()。9.光纤通信中常用的低损耗窗口为(850nm)、1310nm、(1550nm)。10.V是光纤中的重要结构参量,称为归一化频率,其定义式为()。
11.(HE11)模式是任何光纤中都能存在、永不截止的模式,称为基模或主模。
12.阶跃折射率光纤单模传输条件为(V<2.405)。
13.电子在两能级之间跃迁主要有3个过程,分别为(自发发射)、(受激辐射)和受激吸收。
14.光纤通信中最常用的光源为(半导体激光器)和(发光二极管)。15.光调制可分为(直接调制)和(间接调制)两大类。
16.光纤通信中最常用的光电检测器是(光电二极管)和(雪崩光电二极管)。
17.掺铒光纤放大器EDFA采用的泵浦源工作波长为1480nm和(980nm)。
18.STM-1是SDH中的基本同步传输模块,其标准速率为(155.520Mbit/s)。
19.单信道光纤通信系统功率预算和色散预算的设计方法有两种:统计设计法和(最坏值设计法)。
20.光纤通信是以(光波)为载频,以(光纤)为传输介质的通信方式。
第2页(共 5 页)
21.光纤单模传输时,其归一化频率应小于等于(2.405)。22.数值孔径表示光纤的集光能力,其公式为()。
23.所谓模式是指能在光纤中独立存在的一种(电磁场)分布形式。24.传统的O/E/O式再生器具有3R功能,即在(再整形)、(再定时)和再生功能。
25.按射线理论,阶跃型光纤中光射线主要有子午光纤和(斜射线)两类。26.光纤中的传输信号由于受到光线的损耗和(色散)的影响,使得信号的幅度受到衰减,波形出现失真。
27.半导体材料的能级结构不是分立的单值能级,而是有一定宽度的带状结构,称为(能带)。
28.半导体P-N结上外加负偏压产生的电场方向与(内电场)方向一致,这有利于耗尽层的加宽。
29.采用渐变型光纤可以减小光纤中的(模式)色散。
30.SDH网中,为了便于网络的运行、管理等,在SDH帧结构中设置了(开销比特(或管理比特))。
31.SDH的STM-N是块状帧结构,有9行,(270×N)列。
32.处于粒子数反转分布状态的工作物质称为(激活物质(或增益物质))。33.EDFA的泵浦结构方式有:a、(同向泵浦)结构;b、(反向泵浦)结构;c、双向泵浦结构。
34.(灵敏度)和动态范围是光接收机的恋歌重要特性指标。35.随着激光器温度的上升,其输出光功率会(减少)。
36.目前,通信用光纤的纤芯和包层绝大多数是由(石英)材料构成的。37.在阶跃型(弱导波)光纤中,导波的基模为(LP01)。38.根据光纤的传输模式数量分类,光纤可分为(多模光纤)和(单模光纤)。39.LD是一种阈值器件,它通过(受激)发射发光,而LED通过(自发)发射发光。
40.光纤色散组要包括(模式色散)、(波导色散)、材料色散和偏振模色散,41.常见的光线路码型大体可以归纳为3类:扰码二进制、(字变换码)和插入型码。
42.在一根光纤中同时传播多个不同波长的光载波信号称为(光波分复用)。
43.允许单模传输的最小波长称为(截止波长)。
44.在1.3um波段进行光放大通常采用掺(镨)光纤放大器,1.55um波段通常采用掺(铒)光纤放大器。
45.导模的传输常数的取值范围为()。
46.量子效率是用来衡量激光器的转换效率的高低,其主要分为内量子效率和(外量子效率和外微分量子效率)。47.典型的光电瞬态响应有:光电延迟、(张弛振荡)和(自脉动)。48.掺铒光纤放大器EDFA采用的泵浦源工作波长为1480nm和(980nm).49.自愈环结构可以分为两大类:(通道倒换环)和(复用段倒换环)。50.光缆,是以一根或多根光纤或光纤束制成符合光学、机械和环境特性的结构,它由(加强芯)、护层和(光纤)组成。
51.光衰减器按其衰减量的变化方式不同分(固定)衰减器和(可变)
第3页(共 5 页)
衰减器两种。
52.光电检测器的噪声主要包括(暗电流)、(量子)、热噪声和放大器噪声等。
53.光与物质作用时有受激吸收、(自发辐射)和(受激辐射)三个物理过程。
54.半导体激光器工作时温度会上升,这时会导致阈值电流(升高),输出光功率会(减小)。55.WDM系统可以分为集成式系统和(开放式系统)两大类,其中开放式系统要求终端具有标准的光波长和满足距离传输的光源。
56.对于SDH的复用映射单元中的容器,我过采用了三种分别是:(c-12)、C3和(c-4)。57.数字光纤传输系统的两种传输体制为(PDH)和(SDH).58.光纤通信中最常用的光电检测器是(PIN光敏二极管)和(雪崩光敏二极管)。三.名词解释。1.受激辐射
处于高能级的电子,在受到外来能量为hf=(E2-E1)的光子激发的
情况下,跃迁到低能级,从而发射出一个和激发光子相同的光子的过程称为受激幅射。
2.网络自愈
指在网络发生故障时,无需人为干预,网络自动的在极短的时间内,使业务自动从故障中恢复传输
3.直接调制和间接调制
将激光器LD或发光二极管LED的驱动电流用叠加在偏置电流上的电信号进行调制,由此实现对LD或LED输出的光强度进行调制的方式
称为直接调制。使LD或LED在一定的驱动电流下输出固定强度的光,再通过光调制器使输出光的信息随电信号而变化,将这种调制方式成为间接调制。
4.阈值电流
当LD注入电流达到将产生激光时的电流值。
5.雪崩光电二极管
是利用PN结在高反向电压下产生雪崩效应来工作的一种二极管,利用光载流子在强大电场内的定向运动产生雪崩效应,以获得光电流的增益的一种具有内增益的二极管
第4页(共 5 页)
6.单模光纤
纤芯较细(一般为9或10微米的),只能传输单个模式光的光纤
四.简述题。
1按照纤芯剖面折射率分布不同,光纤可分为哪几种形式?
阶跃折射率光纤和渐变型多模光纤。
阶跃折射率光纤中,纤芯和包层折射率沿光纤半径方向分布都是均匀的,而在纤芯和包层的交界面上,折射率呈阶梯形突变。渐变型多模光纤中,纤芯的折射率不是均匀常数,而是随纤芯半径方向坐标增加而逐渐减少,一直变到等于包层折射率的值。
2.简述SDH网络中常用的组网结构,并画出结构图。
3.画出终端复用器、分/插复用器、数字交叉连接设备和再生中继器。
4.画出SDH帧结构图。
5.光纤通信发展至今经历了哪些里程碑?
(1)20世纪60年代初期,光纤通信发展史上迎来了第一个里程碑,世界上第一台相干振荡光源红白事激光器问世,给光通信带来了新的希望;(2)1966年华裔科学家C.K.Kao博士和G.A.Hockham,对光纤传输的前景发表了具有重大历史意义的论文,1970年,美国康宁玻璃公司的Kapron博士等人研制出传输损耗仅为20dB/km的光纤,这是光纤通信发展历史上的一个里程碑。(3)1985年,南安普顿大学的Mears等人制成了掺铒光纤放大器(EDFA)(4)1993年K.Hill等人提出了使用相位掩膜法制造光纤光栅,使得全光器件的研制和集成成为可能,光纤光栅、全光纤光子器件、平面波导器件及其集成的出现是光纤通信史上的又一个里程碑。
第5页(共 5 页)
6.应用于光纤通信系统的光源应该具备什么条件?
光纤通信系统均采用半导体发光二极管(LED)和激光二极管(LD)作为光源。这类光源具有尺寸小、耦合效率高、发射波长在光纤中低损耗传输,响应速度快、波长和尺寸与光纤适配,并且可在高速条件下直接调制等优点
7.由P-I曲线知,半导体激光器是阈值型器件,简述激光器随着注入电流的不同而经历的几个典型阶段。
半导体激光器是一个阈值器件,它的工作状态随注入电流的不同而不同。当注入电流较小时,有源区里不能实现粒子数反转,自发发射占主导地位,激光器发射普通的荧光,其工作状态类似于一般的发光二极管。随着注入电流的加大,有源区里实现了粒子数反转,受激辐射占主导地位,但当注入电流小于阈值电流时,谐振腔里的增益还不足以克服损耗,不能在腔内建立起一定模式的振荡,激光器发射的仅仅是较强的荧光,这种状态称之为“超辐射”状态。只有注入电流达到阈值以后,才能发射谱线尖锐。模式明确的激光。
8.光纤中产生损耗的主要因素是什么?光纤中有哪些损耗?
由于吸收和散射的原因使光纤发生损耗。光纤中发生损耗的原因,有来自光纤本身的损耗,也有光纤与光源的耦合损耗以及光纤之间的连接损耗,如熔接损耗,弯曲损耗,端面损耗,光学损耗等。光纤本身的损耗有吸收损耗(本征吸收、杂质吸收)和散射损耗(瑞利散射、结构缺陷散射)。本征损耗是光纤基础材料固有的吸收,并不是杂质或者缺陷所引起的。本征损耗特点是确定了某一种材料吸收损耗的下限,与波长有关。
9.简述雪崩光电二极管的工作原理。
当在光电二极管上加反向电压,使其耗尽区内的电场强度大于105V/cm时,光生载流子在强电场作用下高速通过耗尽区向两级移动。在移动过程中,由于碰撞游离而产生更多的新载流子,形成雪崩现象,从而使流过二极管的光电流成百倍地增加。利用光生载流子雪崩效应工作的PN结光电二极管就是APD。
第6页(共 5 页)
五.计算题。
已知阶跃折射率光纤中n1=1.52,n2=1.49。(开方、反三角函数计算困难时,必须列出最后的表达式。)1.光纤浸没在水中(n0=1.33),求光从水中入射到光纤输入端面的光纤最大接收角;
2.光纤放置在空气中,求数值孔径。
第7页(共 5 页)
第三篇:网络安全技术
网络安全技术
——防火墙技术与病毒
摘 要:
计算机网络安全,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。而计算机网络安全主要包括计算机网络安全的概况、虚拟网技术、防火墙技术、入侵检测技术, 安全扫描技术, 电子认证和数字签名技术.VPN技术、数据安全、计算机病毒等。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。本文将以最常见的WORD宏病毒为例来解释计算机病毒传播过程。
关键词:网络安全 防火墙技术 计算机病毒
1.1 研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。
1.2 计算机病毒简介
计算机病毒是指那些具有自我复制能力的计算机程序, 它能影响计算机软件、硬件的正常运行, 破坏数据的正确与完整。计算机病毒的来源多种多样, 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的;有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚, 因为他们发现病毒比加密对付非法拷贝更有效且更有威胁, 这种情况助长了病毒的传播。还有一种情况就是蓄意破坏, 它分为个人行为和政府行为两种, 个人行为多为雇员对雇主的报复行为, 而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或实验而设计的“有用”程序, 由于某种原因失去控制扩散出实验室, 从而成为危害四方的计算机病毒。
1987 年, 计算机用户忽然发现, 在世界的各个角落, 几乎同时出现了形形色色的计算机病毒。Brain, Lenig h, IBM 圣诞树, 黑色星期五, 特别是近期发现的几种病毒, 其名气也最大, 它们是: 台湾一号病毒、DIR-Ⅱ病毒、幽灵病毒、米开朗基罗病毒等, 至今, 病毒种类已超过一万种。
1988 年底, 我国国家统计系统发现小球病毒。随后, 中国有色金属总公司所属昆明、天津、成都等地的一些单位, 全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后,已发现越来越多的国产病毒。比如目前国内主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
纵观计算机病毒的发展历史, 我们不难看出, 计算机病毒已从简单的引导型、文件型病毒或它们的混合型发展到了多形性病毒、欺骗性病毒、破坏性病毒。已从攻击安全性较低的DOS平台发展到攻击安全性较高的Window s95/ 98平台;从破坏磁盘数据发展到直接对硬件芯片进行攻击。1995 年宏病毒的出现, 使病毒从感染可执行文件过渡到感染某些非纯粹的数据文件。最近有资料显示已发现JAVA病毒, 各种迹象表明病毒正向着各个领域渗透, 这些新病毒更隐秘, 破坏性更强。
计算机病毒的种类很多, 不同种类的病毒有着各自不同的特征, 它们有的以感染文件为主、有的以感染系统引导区为主, 大多数病毒只是开个小小的玩笑。
按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区, 系统从包含了病毒的磁盘启动时传播, 它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM, EXE), 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点, 既感染引导区又感染文件, 因此扩大了这种病毒的传染途径。
按连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3 种。其中源码型病毒主要攻击高级语言编写的源程序, 它会将自己插入到系统的源程序中, 并随源程序一起编译、连接成可执行文件, 从而导致刚刚生成的可执行文件直接带毒;入侵型病毒用自身代替正常程序中的部分模块或堆栈区的病毒, 它只攻击某些特定程序, 针对性强;操作系统型病毒是用其自身部分加入或替代操作系统的部分功能, 危害性较大。
病毒按程序运行平台分类可分为DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它们分别是发作于DOS,Windows9X,WindowsNT, OS/2等操作系统平台上的病毒。而计算机病毒的主要危害:不同的计算机病毒有不同的破坏行为, 其中有代表性的行为如下: 一是攻击系统数据区, 包括硬盘的主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说, 攻击系统数据区的病毒是恶性病毒, 受损的数据不易恢复。二是攻击文件, 包括删除、改名、替换文件内容、删除部分程序代码、内容颠倒、变碎片等等。三是攻击内存。
1.3防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
2.防火墙的原理及分类
顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层,IP包的包头中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP消息类型,TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。例如,HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
复合型防火墙:由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
3.1防火墙包过滤技术发展趋势
(1)安全策略功能
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)功能扩展
功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
3.1防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。参考文献
[1] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79一82.[2] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311一312.[3] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17一18.[4] 郑林.防火墙原理入门[Z].E企业.2000.[5] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62
[6] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59一61
[7] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27
[8] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一78
[9] 付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一65
[10] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一508
[11] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188一192
[12] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一392
第四篇:网络安全技术
网络信息安全与策略
【摘要】随着我国网路信息科技的高速发展,网络信息安全问题日益突出。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。网络给人们生活带来极大便利的同时,也给许多部门、单位和个人带来了极大的风险,造成严重的经济损失。最新报道:央视《经济半小时》播出“我国黑客木马形成产业 2009年收入可超百亿元”节目,可以看出黑客通过网络传播木马的严重性。本文主要探讨了网络信息安全中存在的威胁,并提出了相应的技术保障和对策。【关键字】网络
信息
安全
黑客
病毒
技术
一、网络信息安全的内涵
在网络出现以前,信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护以实现电子信息的保密性、完整性、可用性、可控性和不可否认性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.网络信息安全的内容
(1)硬件实体安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作;预防地震、水灾、飓风、雷击等的措施;满足设备正常运行环境要求;防止电磁辐射、泄露;媒体的安全备份及管理等。
(2)软件系统安全。即计算机程序和文档资料及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
(3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
(4)数据信息安全。即网络中存储及流通数据的安全。要保护网络中的数据文件和数据信息在传输过程中不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
2.网络信息安全的目标
(1)保密性。保密性是指利用密码技术对敏感信息进行加密处理同时采取抑制、屏蔽措施防止电磁泄漏,保证信息只有合法用户才能利用,而不会泄露给非授权人、实休。
(2)完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
(3)可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
(4)可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
(5)不可否认性。不可否认性是指在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
二、网络信息安全面临的威胁
1.操作系统自身的因素
无论哪一种操作系统,其体系结构本身就是不安全的一种因素。由于操作系统的程序是可以动态连接的,包过I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接。而这种动态连接正是计算机病毒产生的温床,该产品的厂商可以使用,“黑客”成员也可以使用。因此,这种打补丁与渗透开发的操作系统是不可能从根本上解决安全问题。
2.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。
3.电脑黑客攻击多样化
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。
4计算机病毒
计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大。被病毒破坏全部数据的占14%,破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。
5.人性的脆弱性
人们与生俱来就有信任他人、乐于助人以及对未知事物的好奇心等弱点。狡猾的电脑黑客往往利用这些弱点,通过E-mail、伪造的Web网站、向特定的用户提几个简单的问题的伎俩,骗取公司的保密资料或从个人用户那里骗取网上购物的信用卡、用户名和密码,达到入侵网络信息系统的目的,使得那些采用多种先进技术的安全保护措施形同虚设。
6管理因素
用户安全意识淡薄, 管理不善是当前存在的一个严重的问题。目前我国安全管理方面存在的问题主要有: 一是缺乏强有力的权威管理机构, 由于我国网络安全立法滞后, 安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,我国现有的网络系统大多数缺少安全审计, 安全日志形同虚设。三是安全意识淡薄。人们对信息安全认识不够, 过分依赖信息安全产品, 缺乏细致的内部网络管理机制, 一些用户警惕性不高, 操作麻痹, 甚至把自己账号随意给他人。
三、保障网络信息安全的对策和技术
1.安全通信协议和有关标准。
在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPsec和S/MIME SL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPsec)提供网关到网关的安全通信标准,在网络层实现,IPsec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。
2.防火墙技术
防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤,只有被授权的通信才允许通过。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时,防火墙还可以对网络存取访问进行记录和统计,对可疑动作告警,以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种,一种是分组过滤技术,一种是代理服务技术。分组过滤基于路由器技术,其机理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址分组,从而保护内部网络。代理服务技术是由一个高层应用网关作为代理服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器连接。代理服务技术可使内、外网络信息流动受到双向监控。
3.访问拉制技术
访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
4.反病毒软件
反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。首先, 出现了病毒防火墙。该技术为用户提供了一个实时监防止病毒发作的工具,它对用户访问的每一个文件进行病毒检测, 确认无毒后才会让系统接管进行下一步的工作。其次, 反病毒软件提出了在线升级的方式。第三, 完成了统一的防病毒管理。第四,嵌入式查毒技术的形成, 它将杀毒引擎直接嵌挂到IE 浏览器和流行办公软件Office2003 和OfficeXP 组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体, 在占用系统资源最小的情况下查杀病毒。
5.入侵检测技术
随着网络安全风险系数的不断提高, 作为对防火墙及其有益的补充, IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应, 提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统, 该系统处于防火墙之后, 可以和防火墙及路由器配合工作, 用来检查一个LAN 网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析, 通过集中控制台来管理、检测。
6.PKI技术
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
7.增强网络安全意识
利用讲座和电视视频直播给上网的朋友们普及有关网络安全知识,使他们知道网络中时时刻刻都存在潜在的威胁,可能会带来经济损失和精神损失。同时,还要让他们知道一切不明身份的垃圾邮件千万不要打开,因为它可能给你的电脑带进病毒。通过事实中的案例告诉网民在网络中做任何事情一定不要放松自己的警惕,加强自己电脑的杀毒软件,多关注网上欺骗手段的视频。总之,利用一切可以利用的手段加强网民的网络安全意识。
8.法律保护
随着互联网技术的发展,大量的信息在互联网上进行传播,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说,一个人可以不上网,但是他的合法权益被他人通过互联网侵犯却是有可能的,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。
四、结论
随着信息技术的飞速发展,网络及网络信息安全技术已经深入到了社会的多个领域。网络和信息时代给我们带来技术进步和生活便利的同时,也给国家和个人都带了巨大经济损失。网民要加强自己的防范意识,保证自己的财产不受到侵犯。我还希望国家相关部门规范网络信息安全标准,加快先进技术的研发来保障网络通讯的安全。同时,加强相关法律法规的力度来保证人民的根本利益,为我们提供一个安全的网络环境。参考文献:
[1]庞淑英.网络信息安全技术基础及应用.2009 [2]李俊宇.信息安全技术基础冶金工业出版社.2004.12 [3]王丽辉.网络安全及相关技术吉林农业科技学院学报,第19卷第2期.2005 [4]何万敏.网络信息安全与防范技术甘肃农业.2005年第1期 [5]黄慧陈阂中.针对黑客攻击的预防措施计算机安全.2005 [6]王云峰.信息安全技术及策略[J].广东广播电视大学学报,2006
第五篇:计算机网络安全 复习题
1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。
1.11 拒绝服务攻击为什么难以解决?服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。2.1 狭义病毒的特征是什么?广义病毒特征是什
么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确配置资源访问权限,常常发生漏报和误报病毒的情况。
1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。1.11 拒绝服务攻击为什么难以解决?
服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。
2.1 狭义病毒的特征是什么?广义病毒特征是什么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确
3.9 DDos攻击的基本思路是什么?试给出反制机制。答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。
3.9 DDos攻击的基本思路是什么?试给出反制机制。答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。5.2 列出接收端身份鉴别机制并比较它们的特点。答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。6.12 NAT的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
5.2 列出接收端身份鉴别机制并比较它们的特点。答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。
6.12 NAT的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。/ 1