1.什么是访问控制策略?什么是强制访问策略?什么是自主访问策略?
访问控制策略隶属于系统级安全策略,它迫使计算机系统和网络自动的执行授权。
强制访问策略由安全域中的权威机构强制实施,任何人都不能回避。
自主访问策略由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。
2.主动攻击和被动攻击有何区别?请举例说明。
被动攻击试图获得或利用系统的信息,但不会对系统资源造成破坏,特性是对所传输的信息进行窃听和检测,如信息泄漏和流量分析。而主动攻击则不同,他试图破坏系统的资源,恶意篡改数据流或伪造数据等攻击,影响系统的正常工作,如拒绝服务攻击、重放攻击。
3.在TCP连接建立的三步握手阶段,攻击者为什么可以成功实施SYN Flood攻击?在实际中,如何防范此类攻击?
TCP是一个面向连接的协议,即在数据传输之前首先要建立连接,然后传输数据,当数据传输完毕后释放所建立的连接。攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包,但收到服务器的SYN包后却不恢复ACK确认信息,每次操作都会是服务器端保留一个半开放的连接,当这些半开放的连接填满服务器的连接队列时,服务器便不再接收后续的任何连接请求。
防范:在服务器前段部署相应的网络安全设备(如防火墙)对SYN Flood攻击进行数据包过滤。
4.为什么路由协议不能抵御路由欺骗攻击?如何设置路由抵御这一攻击?
高层的TCP和UDP服务在接收数据报时,通常假设数据报中的源地址是有效的。但事实上,IP层不能保证IP数据报一定是从源地址发送的。任意一台主机都可以发送具有任意源地址的IP数据报。攻击者可以伪装成另一个网络主机,发送含有伪造源地址的数据包以欺骗接收者。
通过源地址鉴别机制加以防御。
5.通过DNS劫持会对目标系统产生什么样的影响?应该如何避免?
通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址。避免DNS劫持:暴露的主机不要采用基于名称的认证;不要把秘密的信息放在主机名中;进行数字签名。
6.黑客为什么可以成功实施ARP欺骗攻击?在实际中如何防止ARP欺骗攻击?
攻击者只要能把他的主机成功插入某个网段,这台主机就能够接受到所在网段的ARP请求分组,从而获知该网段上主机IP和MAC地址的对应关系,就可以监测流量、获取密码和其他涉密信息。
防范:在交换机上配置80.21x协议,即基于端口的访问控制协议,建立静态ARP表。
7.数字证书的典型内容是什么?
数字证书的概念:一个用户的身份与其所持有的公钥的结合,由一个可信任的权威机构CA来证实用户的身份,然后由该机构对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。
主题名、序号、起始日期、终止日期、签发者名、公钥。
8.简述交叉证书的作用。
采用交叉证书,减少了单个CA的服务对象,同时确保CA可独立运作,同时使不同PKI域的CA和最终用户可以互动。交叉CA是对等CA签发,建立的是非层次信任路径。
9.为什么要自签名证书?
根CA是验证链的最后一环,根CA自动作为可信任CA,根CA证书为自签证书,即根CA对自己的签名证书。
自签名证书根CA对自己的证书签名,使其作为一个可信任有效的CA。
10.简述撤销证书的原因。
数字证书持有者报告该证书中指定公钥对应的私钥被盗,CA发现签发数字证书时出错,证书持有者离职。
11.攻击者A创建了一个证书,放置一个真实的组织名(假设为银行B)及攻击者自己的公钥。你在不知道是攻击者在发送的情形下,得到了该证书,误认为该证书来自银行B。请问如何防止该问题的产生?
数字签名
12.网络加密有哪几种方式?请比较他们的优缺点。
答:网络加密的方式有4种分别是链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:
(1) 加密对用户是透明的,通过链路发送的任何信息在发送前都先被加密。
(2)每个链路只需要一对密钥。
(3)提供了信号流安全机制。
缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较高。
节点加密的优点:
(1) 消息的加、解密在安全模块中进行,这使消息内容不会被泄密
(2)加密对用户透明
缺点:
(1)某些信息(如报头和路由信息)必须以明文形式传输
(2)因为所有节点都必须有密钥,密钥分发和管理变的困难
端到端加密的优点:
(1)对两个终端之间的整个通信线路进行加密
(2)只需要2台加密机,1台在发端,1台在收端
(3)从发端到收端的传输过程中,报文始终以密文存在
(4)消息报头(源/目的地址)不能加密,以明文传送
(5)比链路和节点加密更安全可靠,更容易设计和维护
缺点:不能防止业务流分析攻击。
混合加密的是链路和端到端混合加密组成。
优点:
从成本、灵活性和安全性来看,一般端到端加密方式较有吸引力。对于某些远程机构,链路加密可能更为合适。
缺点:
信息的安全设计较复杂。
扫一扫
6264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
