1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。
1.11 拒绝服务攻击为什么难以解决?服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。2.1 狭义病毒的特征是什么?广义病毒特征是什
么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。 蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。 2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确配置资源访问权限,常常发生漏报和误报病毒的情况。
1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。1.11 拒绝服务攻击为什么难以解决?
服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。
2.1 狭义病毒的特征是什么?广义病毒特征是什么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。 蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。 2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确
3.9 DDos攻击的基本思路是什么?试给出反制机制。 答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。 答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。
3.9 DDos攻击的基本思路是什么?试给出反制机制。 答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。 答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。5.2 列出接收端身份鉴别机制并比较它们的特点。 答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。6.12 NAT
的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
5.2 列出接收端身份鉴别机制并比较它们的特点。 答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。
6.12 NAT的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。 9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。 9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。
1 / 1
