1.信息安全的CIA指的是社么?
Confidenciality 隐私性也可称为机密性,指只有授权用户可以获取信息;
Integrity 完整性,指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性; Availability可用性,指信息的可靠度。 2.简述PPDR安全模型的构成要素及运作方式。
由安全策略、防护、检测、响应构成。PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。
3.简述DES算法中S-盒的特点。 S-盒是DES算法的核心,其功能是把6bit数据变为4bit数据
4.简述AES和DES的相同之处具有良好的非线性,AES的非线性运算是字节代换对应于DES中唯一非线性运算S-盒。 5.关于散列值的弱碰撞性和强碰撞性有什么区别?
给定的消息M,要找到另一消息M',满足H(M)=H(M'),在计算上是不可行的,这条性质称为弱抗碰撞性。该性质是保证无法找到一个替代报文,否则就可能破坏使用哈希函数进行封装或者签名的各种协议的安全性。哈希函数的重要之处就是赋予M唯一的“指纹”。 对于任意两个不同的消息M≠M,它们的散列值不可能相同,这条性质被称为强抗碰撞性。强抗碰撞性对于消息的哈希函数安全性要求更高,这条性质保证了对生日攻击的防御能力 6.什么是消息认证码?
是指使合法的接收方能够检验消息是否真实的过程。消息认证实际上是对消息产生的一个指纹信息——MAC(消息认证),消息认证码是利用密钥对待认证消息产生的新数据块,并对该数据块加密得到的。它对待保护的信息来说是唯一的,因此可以有效地保证消息的完整性,以及实现发送消息方的不可抵赖和不能伪造型。 7.比较MD5和SHA-1的抗穷举攻击能力和运算速度。
由于MD5 与SHA-1均是从MD4 发展而来,它们的结构和强度等特性有很多相似之处,表(1)
是对MD5 与SHA-1 的结构比较。SHA-1与MD5 的最大区别在于其摘要比MD5 摘要长 32 比特。对于强行攻击,产生任何一个报文使之摘要等于给定报文摘要的难度:MD5 是2128 数量级的操作,SHA-1 是2160 数量级的操作。产生具有相同摘要的两个报文的难度:MD5是 264 是数量级的操作,SHA-1 是280 数量级的操作。因而,SHA-1 对强行攻击的强度更大。但由于SHA-1 的循环步骤比MD5 多(80:64)且要处理的缓存大(160 比特:128 比特),SHA-1 的运行速度比MD5 慢。
8.列出MD5和SHA-1的基本逻辑函数。
MD5基本逻辑函数:F(X,Y,Z)=(Z∧Y) ∨((乛X) ∧Z) G(X,Y,Z)=(X∧Z) ∨(Y∧(乛Z)) H(X,Y,Z)=X⊙Y⊙Z
G(X,Y,Z)=Y⊙( ∨(X∧(乛Z)) SHA-1基本逻辑函数:
f(X,Y,Z)
9.Woo-Lam协议一共7步,可以简化为以下五步: S1:A->B S2:B->KDC S3:KDC->B S4:B->A S5:A->B
请给出每步中传输的信息。
10.如何有效防止端口扫描? 关闭闲置和有潜在危险的端口、利用网络防火墙软件。
11.网络监听主要原理是什么?
将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收 12.举例说明缓冲区溢出攻击的原理。
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序: void function(char *str) { char buffer[16]; strcpy(buffer,str); } 上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在像strcpy这样的问题的标准函数还有strcat()、sprintf()、vsprintf()、gets()、scanf()等。 当然,随便往缓冲区中填东西造成它溢出一般只会出现分段错误(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。 缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了,并且易于实现。而且,缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切:植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。 13.目标探测的方法有哪些?
目标探测是通过自动或人工查询的方法获得与目标网络相关的物理和逻辑参数.方法:确定目标范围;分析目标网络路由
14.如何有效防范DDoS攻击?
及早发现系统存在的漏洞,提高网络系统的安全性; 经常检查系统的物理环境,禁止不必要的网络服务;
充分利用防火墙等网络安全设备,加固网络的安全性,配置好它们的安全规则,过滤掉所有可能伪造的数据包。 15.?简述包过滤型防火墙的工作机制和包过滤类型
包过滤型防火墙的工作在OSI网络参考模型的网络层和传输层。原理在于根据数据包头源地址。目标地址、端口号、和协议类型确定是否允许通过,只要满足过滤条件的数据包才被转发到响应的目的地,其余的数据包则被从数据流丢弃。第一代静态包过滤型防火墙以及第二代动态包过滤型防火墙。 简述代理防火墙的工作原理及特点。
代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全\阻隔\了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 特点:具有较强的安全性
16.屏蔽子网的防火墙系统是如何实现的?
17.状态检测防火墙的技术特点是什么?
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高 18.什么是入侵检测系统?
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 19.简述基于主机入侵检测系统的工作原理。
基于主机的IDS的输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器工作站或用户机器上运行、监听操作系统或系统事件级别的可以活动,
此系统需要定义清楚哪些不是合法的活动,然后把这种安全策略转换或入侵检测规则。 20.简述基于网络入侵检测系统的工作原理。
基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动的在网络上监听整个网段上的信息流,通过捕获网络数据包进行分析,能够检测该网段上发生的网络入侵。 21.简述误用检测的技术实现。 (1)基于专家系统的误用入侵检测 (2)基于模型推理的误用入侵检测
(3)基于状态转换分析的误用入侵检测 (4)基于条件概率的误用入侵检测 (5)基于键盘监控的误用入侵检测 23.简述异常检测的技术实现。 异常检测的技术实现方法 1、量化分析 2、统计分析 3、神经网络 选择题:
1.下列(RSA算法 )算法属于公开密钥算法。 2.下列( 天书密码 )算法属于置换密码。 3.DES加密过程中,需要进行( 16 )轮交换。
4.身份认证是安全服务中的重要一环,以下关于身份认证的叙述不正确的是(身份认证一般不用提供双向的认证)。 5.数据完整性可以防止以下( 数据中途被攻击者篡改或破坏 )攻击。
6.数字签名要预先使用单向Hash函数进行处理的原因是( 缩小签名密文的长度,加快数字签名和验证签名的运算速度) 7.下列运算中,MD5没有使用到的是( 幂运算 )。
8.( 拒绝服务攻击 )是使计算机疲于响应这些经过伪装的不可到达客户的请求,从而使计算机不能响应正常的客户请求等,达到切断正常连接的目的。
9.(IP地址和端口扫描 )就是要确定你的IP地址是否可以到达,运行哪些操作系统,运行哪些服务器程序,是否有后门存在。
10.分布式拒绝服务(DDoS)攻击分为三层:( 攻击者 )、主控端、代理端,三者在攻击中扮演着不同的角色。 11.有一种称为嗅探器( Sniffer )的软件,它是通过捕获网络上传送的数据包来收集敏感数据,这些数据可能是用户的账号和密码,或者是一些机密数据。
12.攻击者在攻击之前的首要任务就是要明确攻击目标,这个过程通常称为( 目标探测 )。
13.从技术上说,网络容易受到攻击的原因主要是由于网络软件不完善和( 网络协议 )本身存在安全缺陷造成的。 14.每当新的操作系统、服务器程序等软件发布后,黑客就会利用( IP地址和端口扫描 )寻找软件漏洞,从而达到导致计算机泄密、被非法使用,甚至崩溃等目的。
15.( 分布式拒绝服务 )攻击是指借助于客户机/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务工具的威力。
16.( 包攻击 )是一种破坏网络服务的技术,其根本目的是使受害者主机或网络失去即是接受处理外界请求,或及时回应外界请求的能力。
17.关于防火墙,以下( 防火墙能阻止来自内部的威胁 )说法是错误的。
18.防火墙是确保网络安全的重要之一,如下各项中可以由防火墙解决的一项网络安全问题是(从外部网伪装为内部网 ) 19.包过滤防火墙工作在OSI的( 网络层 )。
20.防火墙对数据包进行状态检测时,不进行检测过滤的是( 数据包中的内容 )。 21.下列( )功能是入侵检测实现的。
A.过滤非法地址 B.流量统计 C.屏蔽网络内部主机 D.检测和监视已成功的安全突破