通过端口进行的,同时也为黑客提供了一个隐蔽的入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。通过端口扫描,可以得到许多需要的信息,往往成为黑客发现获得主机信息的一种最佳途径, 所以从网络安全角度在实际应用中要开放尽量少的端口。 (10)在实际应用中应怎样防范口令破译? 通常保持密码安全的要点:
(1) 要将密码写下来,以免遗失; (2) 不要将密码保存在电脑文件中; (3) 不要选取显而易见的信息做密码; (4) 不要让他人知道;
(5) 不要在不同系统中使用同一密码;
(6) 在输入密码时应确认身边无人或其他人在1米线外看不到输入密码的地方; (7) 定期改变密码,至少2—5 个月改变一次。
(11)简述出现DDoS 时可能发生的现象。
被攻击主机上出现大量等待的TCP 连接,网络中充斥着大量的无用数据包,源地址为假的,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯,利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机。
(12)简述电子邮件炸弹的原理及防范技术。 原理:是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。
防范技术:其防范方法与防范其他密码破解、拒收垃圾邮件和防范病毒方法类似。
第5章 身份认证与访问控制
1. 选择题
(1)在常用的身份认证方式中,( )是采用软硬件相结合、一次一密的强双因子认证模式,具有安全性、移动性和使用的方便性。
A. 智能卡认证 B. 动态令牌认证 C. USB Key D. 用户名及密码方式认证 (2)以下( )属于生物识别中的次级生物识别技术。
A. 网膜识别 B. DNA C. 语音识别 D. 指纹识别 A. 签名不可伪造 B. 签名不可变更 C. 签名不可抵赖 D. 签名是可信的
(4)在综合访问控制策略中,系统管理员权限、读/写权限、修改权限属于( )。
A. 网络的权限控制 B. 属性安全控制 C. 网络服务安全控制 D. 目录级安全控制 (5)以下( )不属于AAA系统提供的服务类型。
A. 认证 B. 鉴权
(3)数据签名的( )功能是指签名可以证明是签字者而不是其他人在文件上签字。
C. 访问 D. 审计 解答:(1)B (2)C (3)A (4)D (5)C 2. 填空题
(1)身份认证是计算机网络系统的用户在进入系统或访问不同 的系统资源时,系统确认该用户的身份是否 、 和 的过程。
解答:保护级别、真实、合法、唯一
(2)数字签名是指用户用自己的 对原始数据进行 所得到 ,专门用于保证信息来源的 、数据传输的 和 。
解答:私钥 加密、特殊数字串、真实性、完整性、防抵赖性
(3)访问控制包括三个要素,即 、 和 。访问控制的主要内容包括 、 和 三个方面。
解答:主体 客体、控制策略、认证、控制策略实现、审计
(4)访问控制模式有三种模式,即 、 和 。 解答:自主访问控制DAC、强制访问控制MAC、基本角色的访问控制RBAC
(5)计算机网络安全审计是通过一定的 ,利用 系统活动和用户活动的历史操作事件,按照顺序 、 和 每个事件的环境及活动,是对和的要补充和完善。
解答:安全策略、记录及分析、检查、审查、检验、防火墙技术、入侵检测技术
3. 简答题
(1)简述数字签名技术的实现过程?
对一个电子文件进行数字签名并在网上传输,通常需要的技术实现过程包括:网上身份认证、进行签名和对签名的验证。
1. 身份认证的实现过程
PKI 提供的服务首先是认证,即身份识别与鉴别,就是确认实体即为自己所声明的实体。认证的前提是甲、乙双方都具有第三方CA 所签发的证书。认证分单向认证和双向认证。 1) 单向认证 ,单向认证是甲、乙双方在网上通信时,甲只需要认证乙的身份。这时甲需要获取乙的证书,获取的方式有两种,一种是在通信时乙直接将证书传送给甲,另一种是甲向CA 的目录服务器查询索取。甲获得乙的证书后,首先用CA 的根证书公钥验证该证书的签名,验证通过说明该证书是第三方CA 签发的有效证书。然后检查证书的有效期及检查该证书是否已被作废(LRC 检查)而进入黑名单。
2)双向认证。甲乙双方在网上查询对方证书的有效性及黑名单时,采用LDAP协议(Light Directory Access Protocol),它是一种轻型目录访问协议,过程如图所示。
网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。
3.原文保密的数据签名的实现方法 上述数字签名中定义的对原文做数字摘要及签名并传输原文,实际上在很多场合传输的原文要求保密,不许别人接触。要求对原文进行加密的数字签名方法的实现涉及到“数字信封”的问题,这个处理过程稍微复杂一些,但数字签名的基本原理仍是相同的,其签名过程如图5-8 所示。
图5-8 原文加密的数字签名实现方法
这是一个典型的“数字信封”处理过程。其基本原理是将原文用对称密钥加密传输,而将对称密钥用收方公钥加密发送给对方。如同将对称密钥放在同一个数字信封,收方收到数字信封,用自己的私钥解密信封,取出对称密钥解密得原文。
原文加密的数字签名的过程:
(1) 发方A 将原文信息进行哈希(Hash)运算,得到一哈希值,即数字摘要MD。 (2) 发方A 用自己的私钥PVA,采用非对称RSA 算法对数字摘要MD 进行加密,即得数字签名DS。
(3) 发方A 用对称算法DES 的对称密钥SK 对原文信息、数字签名DS 及发方A 证书的公钥PBA 采用对称算法加密,得加密信息E。
(4) 发方用收方B 的公钥PBB,采用RSA 算法对对称密钥SK 加密,形成数字信封DE,就好像将对称密钥SK 装到了一个用收方公钥加密的信封里。
(5) 发方A 将加密信息E 和数字信封DE 一起发送给收方B。
(6) 收方B 接收到数字信封DE 后,首先用自己的私钥PVB 解密数字信封,取出对称密钥SK。
(7) 收方B 用对称密钥SK 通过DES 算法解密加密信息E,还原出原文信息、数字签名DS 及发方A 证书的公钥PBA。
(8) 收方B 验证数字签名,先用发方A 的公钥解密数字签名得数字摘要MD。 (9) 收方B 同时将原文信息用同样的哈希运算,求得一个新的数字摘要MD′。
(10)将两个数字摘要MD 和MD′进行比较,验证原文是否被修改,如果二者相等,说明数据没有被篡改,是保密传输的,签名是真实的,否则拒绝该签名。这样就做到了敏感信息在数字签名的传输中不被篡改,其他没经认证和授权的人看不见或读不懂原数据,起到了在数字签名传输中对敏感数据的保密作用。以上就是现行电子签名中普遍被使用而又具有可操作
性的、安全的、数字签名的技术实现原理和全部过程。
(3)简述安全审计的目的和类型? 目的和意义在于:
(1) 对潜在的攻击者起到重大震慑和警告的作用;
(2) 测试系统的控制是否恰当,以便于进行调整,保证与既定安全策略和操作能够协调一致。
(3) 对于已经发生的系统破坏行为,作出损害评估并提供有效的灾难恢复依据和追究责任的证据;
(4) 对系统控制、安全策略与规程中特定的改变作出评价和反馈,便于修订决策和部署。 (5) 为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
安全审计有三种类型: (1) 系统级审计 (2) 应用级审计 (3) 用户级审计
2.Windows NT的访问控制过程
(1)创建账号。当一个账号被创建时,Windows NT系统为它分配一个安全标识(SID)。安全标识和账号惟一对应,在账号创建时创建,账号删除时删除,而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。
(2)登录过程(LP)控制。每次用户登录时,用户应输入用户名、口令和用户希望登录的服务器/域等信息,登录主机把这些信息传送给系统的安全账号管理器,安全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,服务器发给客户机或工作站允许访问的信息,记录用户账号的特权、主目录位置、工作站参数等信息,并返回用户的安全标识和用户所在组的安全标识。工作站为用户生成一个进程。
(3)创建访问令牌。当用户登录成功后,本地安全授权机构(LSA)为用户创建一个访问令牌,包括用户名、所在组、安全标识等信息。以后用户每新建一个进程,都将访问并复制令牌作为该进程的访问令牌。
(4)访问对象控制。当用户或者用户生成的进程要访问某个对象时,安全引用监视器(SRM)将用户/进程的访问令牌中的安全标识(SID)与对象安全描述符(是NT为共享资源创建的一组安全属性,包括所有者安全标识、组安全标识、自主访问控制表、系统访问控制表和访问控制项)中的自主访问控制表进行比较,从而决定用户是否有权访问该对象。 在这个过程中应该注意:安全标识(SID)对应账号的整个有效期,而访问令牌只对应某一次账号登录。
第6章 密码与加密技术
1.选择题
(1)( )密码体制,不但具有保密功能,并且具有鉴别的功能。
A. 对称 B. 私钥
C. 非对称 D. 混合加密体制
(2)网络加密方式的( )是把网络上传输的数据报文的每一位进行加密,而且把路由信息、校验和等控制信息全部加密。
A. 链路加密 B. 节点对节点加密 C. 端对端加密 D.混合加密 较差。
A.代码加密 B.替换加密 C.变位加密 D.一次性加密
(4)在加密服务中,( )是用于保障数据的真实性和完整性的,目前主要有两种生成MA.C.的方式。
A. 加密和解密 B. 数字签名 C. 密钥安置 D.消息认证码
(5)根据信息隐藏的技术要求和目的,下列( )不属于数字水印需要达到的基本特征。
A. 隐藏性 B. 安全性 C. 完整性 D. 强壮性 解答:(1)C (2)A (3)B (4)D (5)C 2.填空题
(1)在加密系统中,原有的信息称为 ,由 变为 的过程称为加密,由 还原成 的过程称为解密。
解答:明文、明文、密文、密文、明文
(2) 是保护大型传输网络系统上各种信息的惟一实现手段,是保障信息安全的 。
解答:密码技术、核心技术
(3)对称密码体制加密解密使用 的密钥;非对称密码体制的加密解密使用 的密钥,而且加密密钥和解密密钥要求 互相推算。
解答:相同、不相同、无法
(4)数据加密标准DES是 加密技术,专为 编码数据设计的,典型的按 方式工作的 密码算法。
解答:代码加密、替换加密、变位加密、一次性加密
(3)恺撒密码是( )方法,被称为循环移位密码,优点是密钥简单易记,缺点是安全性