1:网络安全的五种属性,并解释其含义: 7:CA之间的信任模型有哪几个,分别描述。
保密性:Confidentiality 保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也单CA信任模型:整个PKI中只有一个CA,为所有的终端用户签发和管理证书,PKI中的所无法知晓信息内容,因而不能使用。通常通过访问控制阻止非授权用户获得机密信息,通过加有终端用户都信任这个CA。每个证书路径都起始于改CA的公钥,改CA的公钥成为PKI系密变换阻止非授权用户获知信息内容。 统中的唯一用户信任锚。
完整性:Integrity完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不优点:容易实现,易于管理,只需要一个根CA,所有终端用户就可以实现相互认证;
应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法缺点:不易扩展到支持大量用户或者不同的群体用户。终端的用户群体越大,支持所有的必要来检验信息是否被篡改。信息的完整性包括两个方面:(1)数据完整性:数据没有被未授权篡应用就会越困难。
改或者损坏;(2)系统完整性:系统未被非法操纵,按既定的目标运行。 严格分级信任模型:以主从CA关系建立的分级PKI结构,有一个根CA,根CA下有零层或可用性:Availability可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需多层子CA,根CA为子CA颁发证书,子CA为终端用户颁发证书。终端进行交互时,通过根要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网CA来对对证书进行有效性和真实性的认证。信任关系是单向的,上级CA可以而且必须认证络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。 下级CA,而下级不能认证上级CA。
可控性:确保个体的活动可被跟踪。 优点:
可靠性:即行为和结果的可靠性、一致性。 增加新的信任域用户比较容易;
不可抵赖性:信息还要求真实性,即个体身份的认证,适用于用户、进程、系统等;包括对等证书由于单向性,容易扩展,可生成从终端用户到信任锚的简单明确路径;
实体认证和数据源点认证;对等实体认证是指网络通信必须保证双方或是多方间身份的相互确证书路径相对较短;
认;数据源点(主机标识)认证是指在安全级别较高的网络通信中需要对数据源点进行认证,证书短小、简单,用户可以根据CA在PKI中的位置来确定证书的用途。
以阻止各种恶意行为。 缺点:单个CA的失败会影响到整个PKI系统。与顶层的根CA距离越小,则造成的影响越大;建造一个统一的根CA实现起来不太显示。
2:网络安全服务包括哪些? 网状信任模型:
对等实体认证服务:网络通信必须保证双方或多方间身份,特别对等实体身份的相互确认,这也成分布式信任模型,CA之间交叉认证。将信任分散到两个或者多个CA上。
是网络间有效通信的前提;对等实体主要指用户应用实体; 优点:具有较好的灵活性;从安全性削弱的CA中恢复相对容易,并且只是影响到相对较少的数据源点认证服务:高安全级别的网络通信需要对数据源点进行认证,以阻止各种可能的恶意用户;
攻击行为。这里,数据源点主要指主机标识, 增加新的信任域比较容易。
数据保密服务:信息不泄露给非授权的用户、实体或过程,或供其利用的特性; 缺点:路径发现比较困难;扩展性差。
数据完整性服务:数据未经授权不能进行改变的特性。即信息在存储或传输过程中不被修改、桥CA信任模型:
不被破坏和丢失的特性; 也称中心辐射式信任模型,用于克服分级模型和网络模型的缺点和连接不同的PKI体系。桥访问控制服务:通信双方应该能够对通信、通信的内容具有不同强度的控制能力,这是有效和CA与不同的信任域建立对等的信任关系,允许用户保持原有的信任域。这些关系被结合起来高效通信的保障; 就形成了信任桥,使得来自不同的信任域用户通过指定信任级别的桥CA相互作用。类似网络可用性:可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关中的HUB集线器。
系统的正常运行等都是对可用性的攻击。 优点:
现实性强;分散化的特性比较准确地代表了现实世界证书之间的交互关系
3:可信计算机系统评估准则将信息安全分为几级,各级的主要特征。 证书路径较易发现;用户只需要知道到桥的路径就可以了
分为7级 证书路径较短;桥CA与网状信任相比有更短的可信任路径
(最小保护)D级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要WEB信任模型: 启动系统就可以访问系统的资源和数据,如DOS,Windows的低版本和DBASE均是这一类(指构建在浏览器的基础上,浏览器厂商在浏览器中内置了多个根CA,每个根CA相互间是平行不符合安全要求的系统,不能在多用户环境中处理敏感信息)。 的,浏览器用户信任这多个根CA并把这多个根CA作为自己的信任锚。各个嵌入的根CA并(自主保护类)C1级:具有自主访问控制机制、用户登录时需要进行身份鉴别。 不是被浏览器厂商显示认证,而是物理地嵌入到软件中来发布,作为对CA名字和它的密钥的(自主保护类)C2级:具有审计和验证机制((对TCB)可信计算机基进行建立和维护操作,防止外安全绑定。
部人员修改)。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。 优点:方便简单,操作性强,对终端用户的要求较低,用户只需简单地信任嵌入的各个根CA。 (强制安全保护类)B1级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。 缺点:安全性较差;若有一个根CA损坏,即使其他的根CA完好,安全性也将被破坏 B2级:具有形式化的安全模型,着重强调实际评价的手段,能够对隐通道进行限制。(主要是根CA与终端用户的信任关系模糊;终端用户与嵌入的根CA间交互十分困难,终端用户无法对存储隐通道) 知道浏览器中嵌入了哪个根,根CA也无法知道它的依托方是谁。
B3级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通扩展性差。根CA预先安装,难于扩展 道。对时间隐通道的限制。 以用户为中心的信任模型: A1级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。 每个用户都直接决定信赖和拒绝哪个证书,没有可行的第三方作为CA,终端用户就是自己的 根CA; 4:分组密码与流密码对称密码与非对称密码 优点:安全性强;在高技术高利害关系的群体中比较占优势; 按加密方式的不同可分为分组密码与流密码: 用户可控性强:每个用户可以决定是否信赖某个证书 流密码(Stream Cipher)(或称序列密码)和分组密码(Block Cipher) 缺点:使用范围较窄;需要用户有非常专业的安全知识 区别是:流密码是将明文消息按字符逐位加密;分组密码是将明文消息先进行分组,再逐组加在公司、政府、金融机构不适宜;在这些组织中需要有组织地方式控制公约的使用。 密。按密钥的特点分为对称密码和非对称密码: 8:攻击的步骤 对称密码体制(Symmetric Cryptosystem):单钥(One-Key)体制或私钥(Private Key)体制或进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,清除日志,传统密码体制(Claical Cryptosystem);加密解密密码相同;密钥必须保密存放;通信前,收留下后门。
发双方必须实现密钥共享;主要应用于数据加解密、可以实现数据保密性、认证等安全服务。非对称密码体制(Asymmetric Cryptosystem):双钥(Two-Key)或公钥(Public Key)9:可以通过哪些方法搜集信息。
加密解密密码不同;私钥保密存放,公钥公开存放;通信前,收发双方无需实现密钥共享;可IP扫描 端口扫描 漏洞扫描 操作系统扫描 社会工程
应用于数据加解密、数字签名、密钥交换等方面,实现数据保密、认证、数据完整性、不可否
认性等安全服务。 10:操作系统的访问控制方法
自主访问控制(Discretionary Acce Control)
5:保证密码系统安全就是要保证密码算法的安全性,这种说法是否错误,并解释。 基本思想:
说法错误,系统的保密性不依赖于对加密体制或算法的保密,而仅依赖于密钥的安全性。对于对象(object)的创建者为其所有者(owner),可以完全控制该对象
当今的公开密码系统,加密解密算法是公开的。 对象所有者有权将对于该对象的访问权限授予他人(grantee)
不同的DAC模型:
6:PKI,PKI的组成部分,各部分的作用。 Strict DAC: grantee不能授权他人 PKI,Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的Liberal DAC: grantee可以授权他人 安全基础设施。PKI根据grantee可以继续授权的深度可以分为一级的和多级的
是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策存在的问题:不易控制权限的传递;容易引起权限的级联吊销;
略和规程的总和。 强制访问控制(Mandatory Acce Control)
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系强制访问控制是系统独立于用户行为强制执行访问控制,它也提供了客体在主体之间共享的控统、应用接口(API)等基本构成部分; 制,但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征; 资源的访问,从而防止对信息的非法和越权访问,保证信息的保密性。与自主访问控制不同的数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公是,强制访问控制由安全管理员管理,由安全管理员根据一定的规则来设置,普通数据库用户钥; 不能改变他们的安全级别或对象的安全属性;自主访问控制尽管也作为系统安全策略的一部分,密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成但主要由客体的拥有者管理基本假定,
合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与主体和客体的安全标记一旦指定,不再改变 恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其存在的问题:仅有唯一的管理员,无法实现管理的分层 关系复杂,不易实现
唯一性而不能够作备份。 11:简述网络嗅探的原理 证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一数据包。这意味着计算机直接的通讯都是透明可见的。正常情况下,以太网卡都构造了硬件的“过点,PKI必须提供作废证书的一系列机制。 滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一符合的信息。 嗅探程序正是利用了这个特点,它主动的关闭了这个嗅探器,设置网卡为个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据信息,从而实现嗅方式与PKI交互,确保安全网络环境的完整性和易用性。 探功能。12:什么是网络蠕虫,描述其特征。网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用 者干预即可运行的攻击程序或代码。特征:具有病毒的特征,传染性,隐蔽性,破坏性;不利用文件寄生,可以主动传播,并且通过网络可快速传播,容易造成网络拥塞;具有智能化、自动化和高技术化;
13:什么是木马技术,木马技术有哪些植入方式。
木马本质上是一个客户端、服务器端的网络软件系统,包括主控端和被控端两个程序,其中主控端安装在攻击者自己的计算机上,用于远程遥控被攻击主机,被控端则通过各种隐秘手段植入到被攻击者的计算机中,从而实现攻击者的远程遥控。
木马的植入是指木马程序在被攻击系统中被激活,自动加载运行的过程。常见的植入方式有:通过E-MAIL方式,软件下载,利用共享和Autorun方式,通过网页将木马转换为图片格式,伪装成应用程序扩展程序,利用WinRar制作自释放文件,将木马和其他文件捆绑在一起,基于DLL和远程线程插入。木马的自动运行方式有:修改系统配置文件的自动启动选项、加载自动启动的注册表项、修改文件关联加载。 14:僵尸网络的工作机制,并解释其含义。
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
攻击者在公共或者秘密设置的IRC聊天服务器中开辟私有聊天频道作为控制频道,僵尸程序中预先就包含了这些频道信息,当僵尸计算机运行时,收取频道中的消息。攻击者则通过控制频道向所有连线的僵尸程序发送指令。从而就可以发动各种各样的攻击。攻击机制如下图所示:
15:什么是防火墙,解释防火墙的基本功能,及其局限性。
概念:为了保护计算机系统免受外来的攻击,在内网与外网Internet在保持内部网络与外部网络的连通性的同时,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 基本功能:
过滤进出网络的数据; 管理进出网络的访问行为; 封堵某些禁止的业务;
记录进出网络的信息和活动; 对网络的攻击进行将侧和报警。 局限性:
使用不便,认为防火墙给人虚假的安全感
对用户不完全透明,可能带来传输延迟、瓶颈及单点失效 无法防范通过防火墙以外途径的攻击; 不能防范来自内部用户的攻击;
不能防止传送已感染病毒的软件或文件; 无法防止数据驱动型的攻击。
16:简述包过滤防火墙,电路级网关防火墙和应用级网关防火墙的工作原理。
包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。 优点:速度快、性能高、对用户透明
缺点:维护比较困难、安全性低、不提供有用的日志、不能根据状态信息进行有用的控制、不能处理网络层以上的信息、无法对网络上流的信息进行有效地控制。 如图:
电路级网关防火墙
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包。只依赖于TCP连接,并不进行任何附加的包处理或过滤。电路级网关首先从客户端获的一个TCP链接请求,认证并授权该客户端,并代表客户端向源服务器建立TCP连接。如果成功建立好TCP连接,电路级网关则简单地在两个连接之间传递数据。另外,电路级网关还提供一个重要的安全功能:代理服务器。通过网络地址转移(NAT)将所有内部网络的IP地址映射到一个“安全”的网关IP地址,这个地址是由防火墙使用。最终,在设有电路级网关的网络中,所有输出地数据包好像是直接由网关产生的,从而就避免了直接在受信任网络与不信任网络间建立连接。对不信任网络只知道电路级网关的地址,从而就可以避免对内部服务器的直接攻击。 应用网关防火墙(Application GateWay Firewall)
应用层网关防火墙检查所有的应用层的信息包,并将检查的内容信息放入决策国策很难过,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机、服务器模式实现的。每个客户机、服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每一个代理需要一个不同的应用进程,或是一个后台运行的服务程序,对每一个新的应用必须添加针对此应用的服务程序,否则就不能使用该服务, 如图:
17:防火墙的体系结构有哪几种,分别说明其特点。 屏蔽路由器
由但以分组的包过滤防火墙或状态检测型防火墙来实现。通常防火墙功能由路由器提供,改路由器在内部网络与Internet之间根据预先设置的规则对进入内部网络的信息进行过滤。 特点:数据转发速度快,网络性能损失小,易于实现,费用低 缺点:安全性较低,易被攻破。
双重宿主主机体系结构(Dual Home GateWay) 采用单一的代理服务器防火墙来实现,至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。受到保护的内网与Internet之间不能直接建立连接,必须通过这种代理主机才可以。
特点:主机的安全至关重要,必须支持多用户的访问,性能很重要; 缺点:一旦双重宿主主机被攻破,内部网络将会失去保护。 屏蔽主机体系结构
采用双重防火墙来实现,一个是屏蔽路由器,构成内部网络的第一道安全防线,一个是堡垒主机,构成内部网络的第二道安全防线,屏蔽路由器基于下列规则进行屏蔽:堡垒主机是内部网络的唯一系统,允许外部网络与堡垒主机建立联系,并且只能通过与堡垒主机建立连接来访问内部网络提供的服务。堡垒主机具有较高的安全级别。 特点:安全性更高双重保护:实现网络层安全、应用层安全
缺点:屏蔽路由器是否安全配置至关重要,一旦屏蔽路由器被损害,堡垒主机将会被穿越,整个内部网络对入侵者开放。 屏蔽子网体系结构
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。外部路由器的作用:保护周边网络和内部网络的安全。内部路由器:保护内部网络不受外部网络和周边网络的侵害。 特点:有三重屏障,安全性更高,比较适合大型的网络系统,成本也较高。
18:入侵检测系统由哪些部分组成,各自的作用是什么? 事件产生器(Event Generators)
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。是入侵检测的第一步,采集的内容包括系统日式、应用程序日志、系统调用、网络数据、用户行为、其它IDS信息。
事件分析器(Event analyzers)
事件分析器分析得到的数据,并产生分析结果。分析是入侵检测系统的核心。 响应单元(Response units)
响应单元则是对分析结果作出作出反应的功能单元,功能包括:告警和事件报告、终止进程强制用户退出、切断网络连接修改防火墙配置、灾难评估自动恢复、查找定位攻击者。 事件数据库(Event databases)
事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
19:根据数据的来源不同,入侵检测系统可以分为哪些种类,各自有什么优缺点? 基于主机的入侵检测系统
概念:安装在单个主机或服务器系统上,对针对主机或是服务器系统的入侵行为进行检测和响应,对主机系统进行全面保护的系统。 优点:
性价比高:在主机数量较少的情况下比较适合;
监控粒度更细、配置灵活、可用于加密的以及交换的环境; 可以确定攻击是否成功; 对网络流量不敏感;
不需增加额外的硬件设备; 缺点:
不适合大型的网络中大量主机的检测,侦测速度较慢,只能运行于特定的操作系统中 基于网络的入侵检测系统
概念:基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的数据包,从而检测是否存在入侵行为,基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块通常使用四种常用技术来标识攻击标志:模式、表达式或自己匹配;频率或穿越阀值;低级时间的相关性;统计学意义上的非常规现象检测,一旦检测到了攻击行为,IDS响应模块就提供多种选项以通知,报警并对攻击采取响应的反应,尤其适应于大规模网络的NIDS可扩展体系结构,知识处理过程和海量数据处理技术等。 优点:视野更宽、隐蔽性好、攻击者不易转移证据; 侦测速度快 通常能在秒级或是微秒级发现问题;
使用较少的监测器 使用一个监测器就可以保护一个网段; 操作系统无关性; 占用资源少; 缺点:
网络入侵检测系统只能够检查它直接相连的网络,不能监测不同网段的网络包; 在使用交换以太网的环境中会出现监测范围的限制; 成本较高;
由于采用特征监测的方法,可以监测出一般的普通攻击,但是很难实现一些复杂的需要大量计算的攻击检测;
产生大量的数据分析流量; 难以监测加密的会话过程; 协同能力较差;
由于各有优缺点,所以采用两者联合的方式会达到更好的监测效果。
20:简述入侵检测IPS和IDS的区别,在网络安全综合方案中各发挥什么作用。
IDS 是一种入侵检测系统,能够发现攻击者的攻击行为和踪迹,但是自身确是不作为,通过与防火墙等安全设备联动进行防护。IPS则是一种主动的、智能的入侵检测、防范、阻止系统,相当于防火墙和IDS的结合,可以预先对入侵活动和攻击性网络流量进行拦截,避免造成任何损失,而非在入侵流量传送时才发出警报。IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。最主要的区别就是:IPS(Intrusion Prevention System)具有自动拦截和在线运行的能力。
在网络安全综合方案中各发挥的作用:
入侵检测系统注重的是网络安全状况的监管。为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据。
入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断。而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。而入侵防御系统的核心价值在于安全策略的实施对黑客行为的阻击,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵。
