第二章
7、请描述DES加密算法的流程
DES算法中的有效密码只有56位,还有6位位校验码不参与运算,DES采用16轮运算,每轮产生一个轮密钥参与到运算中,其具体实现流程如下:
1、输入64位明文数据,并且进行初始置换IP
2、在初始置换IP后,明文数据再分成左右部分,每部分32位,以L0,R0表示
3、再秘钥的控制下,经过16轮的运算
4、16轮后,左右两部分交换并且连接在一起,再进行逆置换
5、输出64位密文
假设Alice要向Bob传送数字10,并且Alice采用RSA算法加密,Alice选取的素数为p=19,q=23,以及私钥e=13
(1)求公钥,(2)阐述RSA的加解密过程
加密解密过程:
第三章
消息认证的方式有那两种?请阐述他们的区别?
消息认证的两种方法是:Hash函数和采用消息验证码
两种方式的区别在于是否需要密钥的参与。
消息认证码需要密钥参与,Hash函数不需要
什么是身份认证?为什么需要身份认证?一个成熟的身份认证系统包括那些特征?
身份认证的概念:网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。
原因:为了在不可新的网络上建立通信实体之间的信任关系。
包括的特征:
验证者正确识别对方的概率极大。
攻击者伪装以骗取信任的成功率极小。
通过重放攻击进行欺骗和伪装的成功率极小。
实现身份认证的算法计算量足够小。
实现身份认证所需的通信量足够小。
秘密参数能够安全存储。
对可信第三方的无条件信任。
可证明安全性。
请阐述身份认证和数字前面的区别:
身份认证:通常指基于第三方认证机构的认证方式,一个可信赖的第三方机构提供认证服务,跟现实中 的身份认证一样,需要通过某种手段来验证用户的身份,身份认证是用来获得对于谁或什么事情信任的一种方法
数字认证:算法公开私钥保密的加密算法,可以确定作者身份,用于确认发送者身份和消息完整性的一个加密的消息摘要,数字签名是0和1的数字串,因消息而异,数字签名需要满足以下要求:收方能确认发方的的签名,但不能伪造。 收方发出签名以后,就不能否认。 收方对收到的签名消息不能否认,即有收报认证; 第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
第四章
PKI提供的服务有哪些?
1.安全登录 2.对终端用户透明 3.全面的安全性
PKI由哪几个基本部分组成?请简要描述这几部分的作用:
1.PKI策略。在PKI中有两种类型的策略:一是证书策略,用户管理证书的使用;另外一个就是CPS,一些由可信的第三方运营的PKI系统需要CPS。2.软硬件系统。软硬件系统是PKI系统运行所需的所有软、硬件的集合。 3.认证中心(CA)。认证中心(CA)是PKI的信任基础,负责管理密钥和数字证书的整个生命周期。 4.注册机构(RA)。注册机构(RA)接受用户的注册申请,获取并认证用户的身份,主要完成收集用户信息和确认用户身份的功能。 5.证书签发系统。证书签发系统负责证书的发放。 6.PKI应用。 7.PKI应用接口系统。以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护成本。
11. PKI中大体有哪几种信任模型?请画图说明。
严格层次模型、分布式信任模型、Web模型、以用户为中心的模型。
什么是交叉认证?为什么需要交叉认证?
- 交叉认证是一种把之前无关的CA连接在一起的有用机制,从而使得各自主体群之间的安全通信成为可能。 2.建立一个全球性的同一根CA,为各PKI体系的根证书颁发证书。
第五章
比较包过滤技术和应用网关技术的区别?
1.应用代理防火墙工作在OSI模型最高层,因此开销较大。 2.对每项服务必须使用专门设计的代理服务器。应用代理防火墙通常支持常用的协议,例如HTTP、FTP、TeInet等,但不能支持所有的应用层协议。
3.应用代理防火墙配置的方便性较差,对用户不透明。例如使用HTTP代理,需要用户配置自己的IE,从而使之指向代理服务器。 4.但是比起分组过滤防火墙,应用代理防火墙能够提供更高层次的安全性。
简述堡垒主机和非军事区的概念:
(1)堡垒主机:堡垒主机是一种被强化的可以防御攻击的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全的目的。
(2)非军事区:是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于内部网络和外部网络之间的一个特定的网络区域,在这个网络区域内可以放置一些必须公开的服务器设施。
##简述防火墙常见的体系结构比较其有缺点
(1)筛选路由器体系结构 优点:价格低廉 缺点:不能够隐藏内部网络的信息、不具备监视和日志记录功能。
(2)单宿主堡类主机体系结构优点: 安全等级比包过滤防火墙系统要高,实现了网络层安全和应用层安全。 缺点:可以重新配置路由器使信息直接进入内部网络,而完全绕过堡垒主机
(3)双宿主堡垒主机体系结构 优点:两个网络接口 缺点:主机在两个端口之间直接转发信息的功能被关闭
(4)屏蔽子网体系结构。 优点:最安全的防火墙体系结构之一 缺点:需要使用的设备较多,造价高,不太适应于小规模的网络环境。
第六章
简述公共入侵检测框架的系统架构和各组件的功能?
①事件产生器(Event generators):入侵检测系统需要分析的数据统称为事(Event)。可以是基于网络的入侵检测系统中网络中的数据,也可以是从系统日志或其它途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CIDF的GIDO格式传送给其他组件;
②事件分析器(Event analyzers):事件分析器分析从其它组件收到的GIDO,并将产生的新GIDO再传送给其它组件;
③事件数据库(Event databases):用于存储GIDO。
④响应单元(Response units):处理收到的GIDO,并据此采取相应的措施。
简述入侵检测系统的体系结构和各自特点?
1、集中式体系结构:所有的处理过程包括数据采集、分析都由单一的主机上的一个进程来完成
优缺点:可全面掌握采集到的数据从而对于入侵的行为分析的更加精确,
缺点:可扩展性差、改变配置和加入新功能困难,存在单点失效的风险。
2、分布式体系结构:采用了多个代理在网络的各部分分别执行入侵检测,并协作处理可能的入侵行为,
优缺点:够较好地完成数据的采集和检测内外部的入侵行为。
现有的网路普遍采用的是层次化的结构,纯分布式的入侵检测要求所有的代理处于同一层次上,每个代理处于对等的地位,均无法获知整体的网络数据,所以无法对时空跨度大的入侵行为进行准确的识别。
3、分层体系结构:在使用分层体系结构的IDS中,各检测单元(通常是智能代理)被组织成一个层次化的树状结构,
- 各层之间是独立的。
- 灵活性好。
- 结构上可分割开。
- 易于实现和维护
第七章 隧道技术
简述隧道技术的工作原理
隧道技术是VPN的基本技术,其实质是一中封装,即将一种协议封装在另外一种协议中传输,从而实现该协议对公共网络的透明性。建立隧道有两种主要方式:客户启动或客户透明。客户启动要求客户和隧道服务器都安装隧道软件,客户终端和隧道服务器分别是隧道的起点和终点。客户软件使用用户id和口令或用数字许可证进行鉴权认证,初始化隧道。隧道服务器中止隧道,一旦隧道建立,就可以进行安全通信了。客户透明隧道要求ISP具备VPN隧道所需的设备,客户首先拨号进入服务器,服务器必须识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户id和口令进行鉴权认证。
简述IPSec VPN的应用场景:
Site-to-Site(站点到站点或者网关到网关):如一个机构的3个分支机构分布在互联网的3个不同的地方,各使用一个网关相互建立VPN隧道,机构内部网络之间的数据通过这些网关建立的IPSec隧道实现安全互联。
End-to-End(端到端或者主机到主机): 两台主机之间的通信由两台主机之间的IPSec会话保护,而不是网关。
End-to-Site(端到站点或者主机到网关):两台主机之间的通信由网关和异地主机之间的IPSec进行保护
简述IPSec VPN的工作模式和区别
如果IPSec封装整个IP数据报,那么它就工作在隧道模式(Tunnel Mode)。
如果IPSec只封装IP数据报中上层协议信息,那么它就工作在传输模式(Transportation Mode)。
区别: 1、传输模式在IPSec处理前后IP头部保持不变,主要用于End-to-End的应用场景。
2、隧道模式则在IPSec处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。
第八章 访问控制
1、访问控制模型是什么?影响决策单元进行决策的因素有那些?
指主体依据某些控制策略或者权限对客体本身或者其资源进行不同的授权访问
影响因素:决策请求、决策结果、访问者信息、访问请求信息、访问控制策略规则、目标信息、上下文信息、保留信息、
访问控制的八个种类是?
1、入网访问控制
2、网络权限控制
3、目录级安全控制
4、属性安全控制
5】网络服务器安全控制
6、网络监测和锁定控制
7、网络端口和节点的安全控制
8、防火墙控制
强制访问控制模型主要有那些?其中哪种模型只允许向下读,向上写?
Lattice模型、BLP模型、Biba模型
BLP模型只能向下读,向上写
##Bell-LaPadula不允许低信任级别的用户读高敏感度的信息,不允许高敏感度的信息写入低敏感度区域
Biba模型是否允许下读和上写:允许
RBAC0中引入的角色继承概念是什么意思?
通过支持角色之间的继承关系,从而使角色形成一个层次结构。若角色甲继角色乙,则甲拥有乙的所有权限
RBAC模型的特点和优势有那些?
特点:
RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理,还引入了角色继承关系
优势:
便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,从而保证了安全性。
便于根据工作需要分级,如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。
便于赋于最小特权,如即使用户被赋于高级身份时也未必一定要使用,以便减少损失。只有必要时方能拥有特权。
便于任务分担,不同的角色完成不同的任务。
便于文件分级管理,文件本身也可分为不同的角色,如信件、账单等,由不同角色的用户拥有。
第九章网络安全技术
##1、简述网络攻击的一般流程?
-
攻击身份和位置隐藏
-
目标系统信息收集
-
弱点信息挖掘分析
-
目标使用权限获取
-
攻击行为隐藏
-
攻击实施
-
开辟后门
-
攻击痕迹清除
2、网络攻击是如何分类的? 各自的特点是什么?
1、主动攻击:指攻击者访问他所需信息必须要实施其主观上的故意行为。
主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法/
2、被动攻击:主要是手机信息而不是进行访问,数据的合法用户很难觉察到这种攻击行为。被动攻击包括嗅探、信息收集等攻击方法。
3、简述网络扫描的主要功能和主要的扫描技术?
主要功能:攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息
扫描技术:Ping 扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)和安全漏洞扫描(获得目标上存在着哪些可利用的安全漏洞)。
4、简述共享环境下的网络监听的原理?
由于以太网等许多网络(例如以共享HUB连接的内部网络)是基于总线方式,即多台主机连接在一条共享的总线上,其通信方式在物理上采用广播的方式。所以,在使用共享总线的同一网段中,所有主机的网卡都能接收到所有被发送的数据包。而对于使用交换机连接的内部网络,交换机只会把数据包转发到相应的端口(根据MAC地址),因此网卡只能收到发往本地主机的数据和广播数据.网卡收到传输来的数据,网卡的驱动程序先接收数据头的目标MAC地址,根据主机上的网卡驱动程序配置的接收模式判断是否接收。在默认状态下网卡只把发给本机的数据包(包括广播数据包)传递给上层程序,其它的数据包一律丢弃。但是网卡可以设置为一种特殊的工作方式——混杂模式(Promiscuous Mode),在这种状态下,网卡将把接收到的所有数据包都传递给上层程序,这时,上层应用程序就能够获取本网段内发往其他主机的数据包,从而实现了对网络数据的监听。能实现网络监听的软件通常被称为嗅探(Sniffer)工具。
5、什么是网络欺骗?列举常见的网络欺骗方法
通过特殊的手段,得到到主机的信任,获得需要的数据
IP源地址欺骗:伪造某台主机的IP地址的技术。通过IP地址的伪造使得某台主机能够伪装成另外一台主机,而这台主机往往具有某种特权或者被另外的主机所信任
DNS欺骗:在DNS报文中只使用一个序列号来进行有效性鉴别,未提供其它的认证和保护手段,这使得攻击者可以很容易地监听到查询请求,并伪造DNS应答包给请求DNS服务的客户端,
源路由选择欺骗:源路由是指在数据包首部中列出了所要经过的路由。某些路由器对源路由包的反应是使用其指定的路由,并使用其反向路由来传送应答数据
6、什么是缓冲溢出攻击?解决的直接方法有几种?
利用缓冲区溢出漏洞所进行的攻击行动。
原理:攻击者通过向目标程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数
解决的直接方法:
①通过操作系统控制使接收输入数据的缓冲区不可执行,从而阻止攻击者植入攻击代码;
②要求程序员编写正确的代码,包括严格检查数据,不使用存在溢出风险的函数,利用Fault Injection等工具进行代码检查等
③利用编译器的边界检查来实现缓冲区的保护,这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相对而言代价比较大。
7简述SQL注入攻击的一般过程?
寻找SQL注入点
获取和验证SQL注入点
获取信息
实施直接控制
间接进行控制
12、什么是木马?简述木马的类型
概念:种特殊的后门程序,是攻击者用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。
类型:
(1)破坏型木马
此类木马的唯一的功能就是潜伏在系统内部,并在接受到远程指令时实施对系统的破坏,如执行删除系统文件、格式化系统硬盘等。
(2)密码窃取型木马
此类木马的主要功能是窃取用户的密码并把它们发送到指定的目的地(如攻击者设定的电子邮件地址)。主要窃取密码的手段包括:记录操作者的键盘操作,从记录用户密码的系统文件中寻找密码等。
3)远程访问型木马
这是一类应用最广泛的木马,只需要在目标主机上植入并运行木马的服务端程序,攻击者便可以根据目标主机的IP地址和特定的端口号连接服务端程序,实现对目标主机远程控制。为了绕过防火墙,部分木马软件使用了“反弹”的连接方式,即由木马服务端程序主动连接客户端的端口,使得连接从受防火墙保护的内部网络中发起,而避免防火墙对通信过程的过滤。
13、简述木马预防的基本方法?
不要随意打开来历不明的邮件
不要随意下载来历不明的软件
及时修补漏洞和关闭可疑的端口
尽量少用共享文件夹
运行实时监控程序
经常升级系统和更新病毒库
14、\1. 木马与病毒的区别:木马实质上是一种基于客户/服务器模式的远程管理工具,一般不具备自我传播能力,而是被作为一种实施攻击手段被病毒植入到目标系统的主机中,病毒最本质的区别是病毒以感染为目的,木马更注重于目的性
关于数据库
针对不同的故障给出恢复策略:
1、事务故障—反向扫描文件日志,查找该事务的更新操作;对事务更新操作执行逆操作;继续反向扫描日志文件,查找该事务的其他更新操作,并作出同上的处理,如此继续处理下去,直到读此事务的开始标记,事务故障恢复就完成了
2、系统故障恢复:正向扫描日志文件,找出故障发生前已经提交的事务,将其事务标识计入重做队列,同时找出故障发生时尚未完成的事务,将其计入撤销队列;撤销队列中的各个事务进行撤销处理,进行撤销处理的方法时反向扫描日志文件,对每个撤销事务的更新操作执行逆操作;重做队列中的各个事务,进行重做处理,方法:正向扫描日志文件,对每个重做事务重新执行日志文件登记的操作。
3、介质故障的恢复
事务的性质: 原子性:要么都做要么都不做;一致性:事务完成时,必须使所有的数据保持一致的状态
隔离性:由并发事务所作的修改必须与任何其他事务所作的修改隔离; 持久性事务完成之后所对于系统故障保持永久性