信息安全作业
安全管理
第一节 信息系统安全管理
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的账面损失,它可分为3类:
■ 直接损失:丢失订单,减少直接收入,损失生产率;
■ 间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
■ 法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度,相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
目前,在信息安全管理体系方面,英国标准BS 7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分BS7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC17799-1:2000《信息技术——信息安全管理实施细则》。2002年9月5日,BS 7799-2:2002草案经过广泛的讨论之后, 终于发布成为正式标准,同时BS 7799-2:1999被废止。BS 7799标准得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
2005年11月,ISO27001:2005出版,取代了之前的BS7799-2:2002,今后,7799系列标准的编号将会发生一定的改变,更改为ISO27001系列。在某些行业如IC和软件外包,信息安全管理体系认证已成为一些客户的要求条件之一。
本章来介绍有关信息系统管理的一些知识。
一、信息系统安全管理概述
长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些出身信息技术行业的管理者和操作者。最早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互联网的发展,在一段时期又常听到“防火墙决定一切”的论调。及至更多安全问题的涌现,入侵检测、PKI、VPN 等新的技术应用被接二连三地提了出来,但无论怎么变化,还是离不开技术统领信息安全的路子。
可这样的思路能够真正解决安全问题吗?也许可以解决一部分,但却解决不了根本。实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。
之所以有这样的认识误区,原因是多方面的,从安全产品提供商的角度来看,既然侧重在于产品销售,自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看,只有产品是有形的,是看得见摸得着的,对决策投资来说,这是至关重要的一点,而信息安全的其他方面,比如无形的管理过程,自然是遭致忽略。
正是因为有这样的错误认识,就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文成了摆设而未见效果。
实际上对待技术和管理的关系应该有充分理性的认识:技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程,是实现信息安全目标的必由之路。
在现实的信息安全管理决策当中,必须关注以下几点:
(1)应该制定信息安全方针和多层次的安全策略,以便为各项信息安全管理活动提供指引和支持;
(2)应该通过风险评估来充分发掘组织真实的信息安全需求; (3)应该遵循预防为主的理念; (4)应该加强人员安全意识和教育;
(5)管理层应该足够重视并提供切实有效的支持; (6)应该持有动态管理、持续改进的思想;
(7)应该以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
学习内容 >> 安全管理 课后练习
一、选择题
1、从事计算机系统及网络安全技术研究,并接收、检查、处理相关安全事件的服务性组织称为(
)
A CERT
B SANS
C ISSA
D OSCE
答案:A
2、防毒系统在哪个阶段可以获得病毒入侵报告(
)
A 扩散预防阶段
B 快速响应清除阶段
C 评估与恢复阶段
D 向领导汇报阶段
答案:C
3、安全员日常工作包括(
)
A 扩散预防阶段
B 快速响应清除阶段
C 评估与恢复阶段
D 向领导汇报阶段
答案:D
4、安全员日常工作包括(
)
A 保障本单位KILL服务器的正常运行
B 保障一机两用监控端的正常运行
C 定时整理本单位IP地址,并将IP地址变更情况及时上报
D 以上均是
答案:D
5、当发现病毒时,首先应做的是(
)
A 报告领导
B 断网
C 杀毒
D 打补丁
答案:B
6、为了加强计算机信息系统的安全保护工作,促进计算机应用和发展,保障社会主义现代化顺利进行,1994年2月18日,国务院发布了(
)
A 《计算机使用与管理条例》
B 《中华人民共和国计算机信息系统安全保护条例》
C 《软件与知识产权的保护条例》
D 《中华人民共和国计算机信息网络国际联网暂行规定》
答案:B
7、保证网络安全是使网络得到正常运行的保障,以下哪一个说法是错误的?
)
A 绕过防火墙,私自和外部网络连接,可能造成系统安全漏洞。
B 越权修改网络系统配置,可能造成网络工作不正常或故障。
C 有意或无意地泄露网络用户或网络管理员口令是危险的。
D 解决来自网络内部的不安全因素必须从技术方面入手。
答案:D
8、对于重要的计算机系统,更换操作人员时,应当———系统的口令密码。(
A 立即改变
B 一周内改变
C 一个月内改变
D 3天内改变
答案:A
9、计算机系统使用过的、记录有机密数据、资料的物品,应当(
)
A 集中销毁
B 及时丢进垃圾堆
C 送废品回收站
D 及时用药物消毒
答案:A
10、下列措施中,哪项不是减少病毒的传染和造成的损失的好办法。(
)
A 重要的文件要及时、定期备份,使备份能反映出系统的最新状态 ( )
B 外来的文件要经过病毒检测才能使用,不要使用盗版软件
C 不与外界进行任何交流,所有软件都自行开发
D 定期用抗病毒软件对系统进行查毒、杀毒
答案:C
11、计算机系统的实体安全是指保证(
)安全。
A 安装的操作系统
B 操作人员
C 计算机系统硬件
D 计算机硬盘内的数据
答案:C
12、以下哪项是指有关管理、保护和发布敏感消息的法律、规定和实施细则。(
A 安全策略
B 安全模型
C 安全框架
D 安全原则
答案:A
13、仅设立防火墙系统,而没有(
),防火墙就形同虚设
A 管理员
B 安全操作系统
C 安全策略
D 防毒系统
答案:C 得分:
) 0
二、判断题
1、电脑上安装越多套防毒软件,系统越安全。
A 正确
B 错误
答案:B
2、从网络安全管理角度考虑,任何人不要长期担任与安全有关的职务。
A 正确
B 错误
答案:A 得分: 0
三、简答题
1、网络安全管理策略包括哪些内容?
确定安全管理登记和安全管理范围;
制定有关网络操作使用规程和人员出入机房管理制度; 指定网络系统地维护制度和应急措施等。
2、在网络上使用选择性访问控制应考虑哪几点?
(1)某人可以访问什么程序和服务。 (2)某人可以访问什么文件。
(3)谁可以创建 , 读或删除某个特定的文件。 (4)谁是管理员或“超级用户”。 (5)谁可以创建 , 删除和管理用户。
(6)某人属于什么组 , 以及相关的权利是什么。 (7)当使用某个文件或目录时 , 用户有哪些权利。
3、试述现有安全技术中都有何种缺陷和不足?
1、防病毒软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行的恶意破坏,也不能保护机构免受另一类合法用户的破坏,这类用户试图对不应该访问的文件进行访问。
2、访问控制:不会阻止人们利用系统脆弱点以管理员的身份获得对系统的访问并查看系统中的文件。
3、防火墙:不会阻止攻击者使用一个允许的连接进行攻击。如一台WEB服务器具有WEB服务器软件容易受到攻击的弱点,而防火墙将允许这种攻击;防火墙也不能保护机构不受内部用户的攻击。
4、智能卡:其被窃且其是认证的惟一形式,则窃贼可伪装成合法网络用户或计算机系统用户。此外智能卡不能防止对认证系统进行的攻击。
5、生物统计学系统:如指纹、视网膜/虹膜、掌纹、掌沟、面部纹路、语音等。但其要靠精密仪器来检测,这要考虑费用问题,同时还要考虑员工的接受程度。同时,如果攻击者可以找到绕过生物统计学系统的途径,则该系统就无法为系统安全提供帮助了。
6、入侵检测:没有哪一种入侵检测系统是100%安全的,它们不能取代优秀的安全程序或优秀的安全性操作,也不能检测出合法用户对信息的非正常访问。支持自动保护功能的入侵检测系统还可以带来附加的安全问题。如系统配置为阻止某个攻击地址的访问,之后会发现某用户的通信被错误识别为攻击通信,则其再无法与你通信了。
7、策略管理:策略和过程是优秀的安全程序的重要组成部分。不过,策略管理可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能导致侵入。计算机上的策略管理也不能保证用户不写下他们的密码或将密码提供给未经授权的人。
8、薄弱点扫描:扫描计算机系统薄弱点是优秀安全程序的重要组成部分,它会帮助机构找出入侵者潜在的攻击点。但薄弱点扫描本身并不会保护计算机系统,需在找出薄弱点后采取安全措施。该方法也不会发现合法用户进行的不正当访问,也不能发现已经进入系统、查找配置文件或补丁程序的弱点的入侵者。
9、加密:加密本身不能提供安全保障,还必须对加密密钥和系统有一个整体控制。
10、物理安全机制:物理安全并不能保护系统不受到合法访问进行的攻击或通过网络而不是大门实施的攻击。
由此可见,信息安全需要的是多种技术的综合,加上有效的安全管理。
4、建立信息安全管理体系有何意义?
组织建立,实施与保持信息安全管理体系将会产生如下作用: 强化员工的信息安全意识,规范组织信息安全行为; 对组织的关键信息资产进行全面系统的保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
促使管理层坚持贯彻信息安全保障体系。
5、简述什么是风险评估。
风险评估也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性的评估,是确认安全风险及其大小的过程。它是信息安全管理的基础,为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。
6、简述应急响应的主要阶段有哪些。
1、准备阶段:在事件真正发生之前应该为事件响应作好准备,主要工作包括建立合理的防御/控制措施,建立适当的策略和程序,获得必要的资源和组建响应队伍等。
2、检测阶段:要做出初步的动作和响应,根据获得的初步材料和分析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。
3、抑制阶段:目的是限制攻击的范围。抑制策略一般包括:关闭所有的系统;从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷阱;关闭服务;反击攻击者的系统等。
4、根除阶段:在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。
5、恢复阶段:目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。
6、报告和总结阶段:这个阶段的目标是回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。
7、简述计算机犯罪取证的基本技术有哪些。
1、对比分析技术:将收集的程序、数据、备份等与当前运行的程序、数据、进行对比,从中发现篡改的痕迹。
2、关键字查询技术:对所做的系统硬盘备份,用关键字匹配查询,从中发现问题。
3、数据恢复技术:对破坏和删除的数据进行有效分析,从中发现蛛丝马迹。
4、文件指纹特征分析技术:该技术利用磁盘按簇分配的特点,在每一文件尾部会保留一些当时生成该文件的内存数据,这些数据即成为该文件的指纹数据,根据此数据可判断文件最后修改的时间,该技术用于判定作案时间。
5、残留数据分析技术:文件存储在磁盘后,由于文件实际长度要小于等于实际占用簇的大小,在分配给文件的存储空间中,大于文件长度的区域会保留原来磁盘存储的数据,利用这些数据来分析原来磁盘中存储数据内容。
6、磁盘存储空闲空间的数据分析技术:磁盘在使用过程中,对文件要进行大量增、删、改、复制等操作。系统实际是将文件原来占用的磁盘空间释放掉,使之成为空闲区域,重新向系统申请存储空间,再写入磁盘。这样磁盘中就会存在两个文件。掌握这一特性,该技术可用于数据恢复,对被删除、修改、复制的文件,可追溯到变化前的状态。
7、磁盘后备文件、镜像文件、交换文件、临时文件分析技术:在磁盘中,有时软件在运行过程中会产生一些诸如.TMP的临时文件以及.bak,交换文件.swp等。要注意对这些文件结构的分析,掌握其组成结构,这些文件中往往记录一些软件运行状态和结果,以及磁盘的使用情况等,对侦察分析工作会提供帮助。
8、记录文件的分析技术:目前一些新的系统软件和应用软件中增加了对已操作过的文件有相应的记录。这些文件名和地址可以提供一些线索和证据。
9、入侵监测分析技术:利用入侵监测工具,对来自网络的各种攻击进行实时监测,发现攻击源头和攻击方法,并予以记录。作为侦破的线索和证据。
10、陷阱技术:设计陷阱捕获攻击者,如:蜜罐技术等。
四、分析题
假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取哪些措施来构建你的网络安全体系,这些措施各有什么作用,它们之间有什么联系?
1、在网关的出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。
2、在内网使用IDS,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。
3、如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。
4、对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。
五、思考题
1、如何理解信息安全领域“三分技术,七分管理”这名话?
2、在现实的信息安全管理决策中,必须关注哪些内容?
3、PDCA模型具有哪些特点?
4、组织建立、实施与保持信息安全管理体系将会产生哪些作用?
5、BS7799的主要内容是什么?
6、ISO17799的主要内容是什么?
7、ISO27001的主要内容是什么?
8、国内在计算机病毒方面有哪些法律法规?
9、国外在计算机病毒方面有哪些法律法规?
10、风险评估的意义有哪些?
11、主要的风险评估有哪6种?
12、关于风险评估理论标准,国际上较为认可的有哪些?
13、P2DR2动态安全模型的特点是什么?
14、应急响应的任务和目标有哪些?
15、CERT/CC主要提供哪些基本服务?
16、应急响应主要有哪6个阶段?
17、简述Windows下的应急响应方法?
18、简述Linux下的应急响应方法?
概述 课后练习
一、选择题
1、信息安全就是要防止非法攻击和病毒的传播,保障电子信息的有效性,从具体的意义上来理解,需要保证哪几个方面的内容?
I.保密性(Confidentiality);II.完整性(Integrity);III.可用性(Availability);IV.可控性(Controllability)
A I、II和IV
B I、II和III
C II、III和IV
D 都是
答案:D
2、“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“拿不走”是指下面那种安全服务:
A 数据加密
B 身份认证
C 数据完整性
D 访问控制
答案:D
3、网络安全技术主要是研究:安全攻击、安全机制和安全服务,以下
I.有损网络安全的操作;II.用于检测、预防的机制;III.安全攻击恢复机制;IV.信息传输安全性。
A I和II
B II和III
C III和IV
D I和IV
答案:B
4、网络的以下基本安全服务功能的论述中,哪一项是有关数据完整性的论述?
A 对网络传输数据的保护
B 确定信息传送用户身份真实性
C 保证发送接收数据的一致性
D 控制网络用户的访问类型
答案:C
5、对计算机系统的安全保护,是指使计算机系统不会因为(
)的原因而遭到盗窃、破坏、篡改,保证系统能够长期正常地运行。
A 偶然
B 元件质量
C 使用软件
D 技术
答案:A 得分: 0
二、判断题
1、计算机系统安全是指应用系统具备访问控制机制,数据不被泄漏、丢失、篡改等
A 正确
B 错误
答案:B
2、用直接侦听、截获信息、合法窃取、破译分析、从遗弃的媒体分析获取信息等手段窃取信息属于主动攻击。
A 正确
B 错误
答案:B 得分: 0
三、名词解释
信息安全
隐藏答案
为了防止对知识,事实,数据或功能未经授权而使用,误用,未经授权修改或拒绝使用而采取的措施。
四、简答题
1、简述什么是信息安全。
隐藏答案
信息安全指为了防止对知识、事实、数据或功能未经授权的使用、误用、未经授权的修改或拒绝使用而采取的措施。不同领域不同方面对其概念的阐述都会有所不同,如:建立在网络基础之上的现代信息系统主要关注可靠性、可控性、互操作性、可计算性等。在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。从消息层次看,更注重的指标有:完整性、保密性、不可否认性等。不管哪一种定义,信息安全都是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。信息安全的任务是保护信息资源,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。
总的来说,信息安全范围很广,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
2、简述信息安全的发展过程。
隐藏答案
1)物理安全:以前人们的所有财产都是物理的,重要的信息也是物理的。为了保护这些财产,人们利用物理性安全措施,如墙、护城河、卫兵等。
2)信息本身的安全:物理安全有缺陷,如消息在传输过程中被截获,则消息中的信息就被敌人知道。人们发明了密码技术,以保护信息本身的安全。
3)辐射安全:20世纪50年代,人们认识到可以通过检查电话线上传输的电信号获得消息。所有电子系统都会产生电子辐射,包括用来发送加密消息的电传打字机和加密器。这一阶段可简单称为通信安全。
4)计算机安全:计算机的出现,使大多数信息财产以电子形式被移植到计算机中。任何可以访问系统的人都可以访问系统中的信息,这引起对计算机安全的需要。许多国家针对计算机安全提出了相应标准,如美国橘皮书等。
5)网络安全:当计算机相互连接形成网络时,就会出现新的安全问题。1987年提出了TCSEC的可信网络说明对这一问题进行了解答。
6)信息安全:20世纪60年代后,计算机和网络技术的应用进入了实用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段。
7)信息保障技术框架:20世纪80年代开始,信息安全的焦点已不仅仅是传统的保密性、完整性和可用性3个原则了,由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标,信息安全也从单一的被动防护向全面而动态的防护、检测、响应、恢复等整体体系建设方向发展,即信息保障,这一点在1998年10月美国国家安全局IATF规范中有清楚的表述。
3、简述信息安全的基本要素有哪些。
隐藏答案
信息安全通常强调所谓CIA 三元组的目标,即保密性、完整性和可用性。保密性指确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性指确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当篡改,保持信息内、外部表示的一致性。可用性指确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
除了CIA,信息安全还有一些其他原则,包括可追溯性、抗抵赖性、真实性、可控性等,这些都是对CIA 原则的细化、补充或加强。
4、简述实现安全的主要手段有哪些。
隐藏答案
信息安全是一个涵盖范围非常广泛的概述,没有哪一种技术能解决所有的安全问题。所以,针对不同的系统和使用环境,应采取不同的安全策略和安全技术。典型的信息安全技术包括:
物理安全技术:环境安全、设备安全、媒体安全。
系统安全技术:操作系统及数据库系统的安全性。
网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估。
应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全。 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性。
认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等。
访问控制技术:防火墙、访问控制列表等。
审计跟踪技术:入侵检测、日志审计、辨析取证。
防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系。
灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
5、计算机系统安全技术标准有哪些?
加密机制 (enciphrement mechanisms)
数字签名机制 (digital signature mechanisms)
访问控制机制 (acce control mechanisms)
数据完整性机制 (data integrity mechanisms)
鉴别交换机制 (authentication mechanisms)
通信业务填充机制 (traffic padding mechanisms)
路由控制机制 (routing control mechanisms)
公证机制 (notarization mechanisms)
五、思考题
典型的信息安全技术有哪些?
为什么在信息社会里,信息安全会引起人们的普遍关注?
信息安全的威胁主要有哪些?
信息安全的发展经历过哪3个阶段?
信息安全的基本要素有哪些?
学习内容>>安全威胁 课后练习
一、选择题
1、计算机病毒是企业网络中要重点防范的一种安全威胁,所以网管需要了解常见的计算机病毒形式。下列在企业网络中不需要防范的病毒对象有(
)
A 计算机病毒
B 木马程序
C 蠕虫病毒
D 非法程序
答案:D
2、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?( )
A 缓存溢出攻击
B 钓鱼攻击
C 暗门攻击
D DDOS攻击
答案:B
3、抵御电子邮箱入侵措施中,不正确的是:(
)
A 不用生日做密码
B 不要使用少于5位的密码
C 不要使用纯数字
D 自己做服务器
答案:D
4、在访问因特网过程中,为了防止Web页面中恶意代码对自己计算机的损害,可以采取以下哪种防范措施?(
)
A 利用SSL访问Web站点
B 将要访问的Web站点按其可信度分配到浏览器的不同安全区域
C 在浏览器中安装数字证书
D 要求Web站点安装数字证书
答案:B
5、不属于常见的把被入侵主机的信息发送给攻击者的方法是:(
)
A E-MAIL
B UDP
C ICMP
D 连接入侵主机
答案:A
6、以下哪些行为属于威胁计算机网络安全的因素:(
)
A 操作员安全配置不当而造成的安全漏洞
B 在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息
C 安装非正版软件
D 以上均是
答案:D
7、目前病毒的主流类型是什么(
)
A 木马与蠕虫
B 引导区病毒
C 宏病毒
D 恶作剧程序
答案:A
8、被以下那种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。( )
A 高波变种3T
B 冲击波
C 震荡波
D 尼姆达病毒
答案:B
9、下面没有利用猜测密码口令方式进行传播的病毒是(
)
A 高波变种3T
B 迅猛姆马
C 震荡波
D 口令蠕虫
答案:C
10、特洛伊木马攻击的威胁类型属于(
)
A 授权侵犯威胁
B 植入威胁
C 渗入威胁
D 旁路控制威胁
答案:B
11、通过发送大量的欺骗性包,每个包可能被几百个主机接收到,成倍的响应涌到目标系统,占据系统所有的资源获知导致系统崩溃或挂起。这种攻击属于以下哪种拒绝服务攻击:(
)
A SYN湮没
B Teardrop
C IP地址欺骗
D Smurf
答案:D
12、通过(
),主机和路由器可以报告错误并交换相关的状态信息。
A IP协议
B TCP协议
C UDP协议
D ICMP协议
答案:D
13、(
)就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可以得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
A 扫描
B 入侵
C 踩点
D 监听
答案:C
14、打电话请求木马属于(
)攻击方式。
A 木马
B 社会工程学
C 电话系统漏洞
D 拒绝服务
答案:B
15、一次字典攻击能否成功,很大因素上决定于(
A 字典文件
B 计算机速度
C 网络速度
D 黑客学历
答案:A
)
16、SYN风暴属于(
)攻击
A 拒绝服务攻击
B 缓冲区溢出攻击
C 操作系统漏洞攻击
D 社会工程学攻击
答案:A
17、下面不属于DoS攻击的是(
)。
A Smurf攻击
B Ping of Death
C Land攻击
D TFN攻击
答案:D
18、网络后门的功能是(
)。
A 保持对目标主机的长久控制
B 防止管理员密码丢失
C 为定期维护主机
D 为了防止主机被非法入侵
答案:A
19、(
)是一种可以驻留在对方服务器系统中的一种程序。
A 后门
B 跳板
C 终端服务
D 木马
答案:D 得分: 0
二、判断题
1、已知某应用程序感染了文件型病毒, 则该文件的大小变化情况一般是变小。
A 正确
B 错误
答案:B
2、在拒绝服务攻击中,Smurf攻击只是对目标主机产生攻击,对中间目标不会造成影响。
A 正确
B 错误
答案:B 得分: 0
三、名词解释
1、缓存溢出
隐藏答案
为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程序的源代码来发现。
2、IP哄骗
隐藏答案
攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后,黑客可以使用假的源ip地址向目标发送tcp syn数据包。目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。
3、特洛伊木马
隐藏答案
是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为攻击者收集识别信息和密码信息的恶意代码。
4、病毒
隐藏答案
寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件,被称为宏病毒。
5、蠕虫病毒
隐藏答案
无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目标系统并自行扩散,进而对网络上的其他系统实施攻击。
网络窃听:监听局域网信道,窃取有用的数据分组,分析破解用户名、密码等;
6、路由攻击
隐藏答案
攻击者告诉网上的两个结点,它们之间最近的传输线路就是经过他这台计算机的路径,这就使该台计算机的侦听变得更容易;(ARP 病毒)
7、拒绝服务(DOS )攻击
隐藏答案
凡是造成目标计算机拒绝提供服务的攻击都称为 DoS 攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。
8、分布式拒绝服务(DDOS)攻击
隐藏答案
这种攻击与传统的拒绝服务攻击一样,只不过进攻源不只一个。
9、数据驱动攻击
隐藏答案
数据驱动攻击是通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。
四、简答题
1、常见的基于网络的拒绝服务攻击及原理是什么?
隐藏答案
Smurf (directed broadcast):广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的机器。当某台机器使用广播地址发送一个 ICMPecho 请求包时(例如 PING ),一些系统会回应一个 ICMP echo 回应包,也就是说,发送一个包会收到许多的响应包。Smurf 攻击就是使用这个原理来进行的。
SYN flooding:(发送SYN 信息分组)一台机器在网络中通讯时首先需要建立TCP握手,标准的 TCP 握手需要三次包交换来建立。一台服务器一旦接收到客户机的 SYN 包后必须回应一个 SYN/ACK 包,然后等待该客户机回应给它一个ACK 包来确认,才真正建立连接。然而,如只发送初始化的 SYN 包,而不发送确认服务器的 ACK 包会导致服务器一直等待 ACK 包。由于服务器在有限的时间内只能响应有限数量的连接,这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。
Slashdot effect:(如:邮件炸弹)这种攻击手法使web 服务器或其他类型的服务器由于大量的网络传输而过载。
2、木马和后门的区别是什么?
隐藏答案
后门,只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。
木马,是可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。 木马和后门的区别:
木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。木马是通过欺骗用户的方法(包含捆绑,利用网页等)让用户不知不觉的安装到他们系统中的一类软件,主要功能有远程控制,盗密码等。“后门”是黑客在入侵了计算机以后为了以后能方便的进入该计算机而安装的一类软件。 后门和木马相比,后门更注重隐蔽性但是没有欺骗性,它的危害性没有木马大,介于“远程控制软件”和“木马”之间。
3、黑客攻击的信息收集主要应用哪些程序或协议?
隐藏答案
信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。
SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。
Whois协议:该协议的服务信息能提供所有有关的 DNS 域和相关的管理参数。
DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名
Finger协议:用来获取一个指定主机上的所有用户的详细信息,如用户注册名,电话号码,最后注册时间以及他们有没有读邮件等。
Ping程序:可以用来确定一个指定主机的位置。
自动 Wardialing软件:可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号码使其MODEM响应。
源地址伪装。
五、思考题 什么是黑客? 什么是黑客攻击?
什么是主动攻击?请举例说明。 什么是被动攻击?请举例说明。 信息系统的安全威胁主要有哪些? 简述黑客攻击的一般过程。
什么是预攻击探测?哪些工具可以实现预攻击探测? 在密码破解当中,什么是字典攻击? 什么是缓冲区溢出攻击? 什么是DdoS攻击? 什么是社会工程攻击? 什么是“网络钓鱼”? 如何防止恶意软件的侵害?
“灰鸽子”病毒是如何隐藏自身的? 计算机病毒产生的原因有哪些? 计算机病毒的传播途径有哪些? 计算机病毒有哪些特征?
典型的病毒运行机制可以分为哪几个阶段?
学习内容>>密码技术 课后练习
一、选择题
1、下列不属于衡量加密技术强度的因素是:(
A 密钥的保密性
B 算法强度
C 密钥长度
D 密钥名称
答案:D
2、下面哪一种加密算法属于对称加密算法(
A RSA
B DSA
)
)
C DES
D RAS
答案:C
3、如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为(
)
A 常规加密系统
B 单密钥加密系统
C 公钥加密系统
D 对称加密系统
答案:C
4、公钥密码是(
)
A 对称密钥技术,有1个密钥
B 不对称密钥技术,有2个密钥
C 对称密钥技术,有2个密钥
D 不对称密钥技术,有1个密钥
答案:B
5、公钥密码的一个比较知名的应用是(
),这种应用的协商层用公钥方式进行身份认证,记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。
A SSL
B SOCK5
C 安全RPC
D MD5
答案:A
6、与加密体制无关的概念是?(
)
A 密钥空间
B 明文空间
C 系统空间
D 密文空间
答案:C 得分: 0
二、判断题
1、一个好的加密算法安全性依赖于密钥安全性
A 正确
B 错误
答案:A
2、在公钥密码中,收信方和发信方使用的密钥是相同的。
A 正确
B 错误
答案:B
3、公开密钥密码体制比对称密钥密码体制更为安全。
A 正确
B 错误
答案:B
4、端到端的加密设备可以把数据包中的网络地址信息一起加密,从而抵御了流量分析类型的攻击。
A 正确
B 错误
答案:B
5、现代密码体制把算法和密钥分开,只需要保证密钥的保密性就行了,算法是可以公开的。
A 正确
B 错误
答案:A
6、3DES算法的加密过程就是用同一个密钥对待加密的数据执行三次DES算法的加密操作。
A 正确
B 错误
答案:B 得分: 0
三、简答题
1、私钥加密和公钥加密的区别有哪些?
隐藏答案
私钥加密用于加密信息的密钥与解密信息的密钥相同,私钥加密不提供认证,拥有密钥的任何人都可以创建和发送有效信息,私钥加密的速度快,而且和容易在软件和硬件中实现。公钥加密使用两个密钥一个密钥用于加密数据,另一个密钥用于解密数据,在公钥加密中,私钥由拥有者安全的保存,公钥随其拥有者的信息被发布。如果需要认证,那么密钥对的拥有者使用私钥加密信息,只有正确的公钥才能解密信息,而成功的解密可以保证只有只有密钥对的拥有者才能发布信息。公钥加密在计算上是密集的,因而比私钥加密的速度慢。
2、公开密钥体制的主要特点是什么?
隐藏答案
公用密钥/私有密钥密码学又称公用密钥密码。它通过使用两个数字互补密钥,绕过了排列共享的问题。这两个密钥,一个是尽人皆知的,而另一个只有拥有者才知道,尽人皆知的密钥叫做公用密钥,而只有密钥拥有者才知道的密钥叫做私有密钥,或称专用密钥。这两种密钥合在一起称为密钥对。公用密钥可以解决安全分配密钥问题,因为它不需要与保密密钥通信,所需传输的只有公用密钥。这种公用密钥不需要保密,但对保证其真实性和完整性却非常重要。
如果某一信息用公用密钥加密,则必须用私有密钥解密,这就是实现保密的方法。如果某一信息用私有密钥加密,那么,它必须用公用密钥解密。这就是实现验证的方法。
3、用于认证的Hash 函数应该满足哪些要求?
隐藏答案
认证技术主要包括数字签名、身份识别和信息的完整性校验等技术。
使用在数字签名上的哈希函数必须满足:
对任意长度的明文m,产生固定长度的哈希值h(m); 对任意的明文m,哈希函数值 h(m)可由硬件或软件容易得到;
对任意哈希函数值x,要找到一个明文 m 与之对应,即 x=h(m),在计算上不可行;
对一个明文 m1,要找到另一个不同的明文 m2,使之具有相同的哈希值,即 h(m1) = h(m2),在计算上不可行; 要找到任意一对不同的明文(m1, m2),具有相同的哈希值,即 h(m1) = h(m2),在计算上不可行。 能同时满足上述 5 个条件的称为强哈希函数(Strong Hash Function),应用在数字签名上的哈希函数必须是强哈希函数。
四、思考题 什么是转换密码?
密码学的发展可以分为哪3个阶段? 什么是香农的保密通信模型? 什么是私钥密码体制? 什么是公钥密码体制?
简述密码学与信息安全的关系? 什么是凯撒密码?
相对而言,私钥密码体制和公钥密码体制各有什么优缺点? 什么是数字信封技术?非对称体制密钥传送方便,但加解密速度较慢,对称体制加解密速度快,但密钥传送困难,为解决这一问题,通常将两者结合起来使用(2分)。即用对称加密体制(如DES)加密数据,而用收方非对称体制(如RSA)中的公开钥加密DES密钥,再一起发送给接收者,接收者用自己的私钥解密DES密钥,再用DES密钥解密数据。这种技术被称为数字信封。
学习内容>>安全技术 课后练习
一、选择题
1、如果内部网络的地址网段为192.168.1.0/24,需要用到下列哪个功能,才能使用户上网?(
)
A 地址学习
B 地址转换
C IP地址和MAC地址绑定功能
D URL过滤功能
答案:B
2、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是:( )
A IDS
B 防火墙
C 杀毒软件
D 路由器
答案:B
3、关于屏蔽子网防火墙,下列说法错误的是(
)
A 屏蔽子网防火墙是几种防火墙类型中最安全的
B 屏蔽子网防火墙既支持应用级网关也支持电路级网关
C 内部网对于Internet来说是不可见的
D 内部用户可以不通过DMZ直接访问Internet
答案:D
4、下列对子网系统的防火墙的描述错误的是(
)
A 控制对系统的访问
B 集中的安全管理
C 增强的保密性
D 防止内部和外部的威胁
答案:D
5、关于防火墙的功能,以下哪一种描述是错误的?(
)
A 防火墙可以检查进出内部网的通信量
B 防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能
C 防火墙可以使用过滤技术在网络层对数据包进行选择
D 防火墙可以阻止来自内部的威胁和攻击
答案:D
6、下列对入侵检测系统的描述错误的是(
)
A 安装入侵检测工具既可以监控单位内部网络环境,也可以监控单位外部网络
B 监控和响应系统通常由软件实现,实时地监控网络,发现已知和未知的攻击
C 入侵检测工具完全独立于所监控的对象,攻击者即使成功穿透了系统,也不会破坏这些工具
D 检测到未授权的活动后,软件将按照预定的行为作出反应:报告入侵,登录事件或中断未认证的连接
答案:B
7、防火墙是一种(
)网络安全措施。
A 被动的
B 主动的
C 能够防止内部犯罪的
D 能够解决所有问题的
答案:A
8、下面不是防火墙的局限性的是(
)
A 防火墙不能防范网络内部的攻击
B 不能防范那些伪装成超级用户或炸称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限
C 防火墙不能防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒
D 不能阻止下载带病毒的数据
答案:D
9、以下哪项作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。(
)
A 分组过滤防火墙
B 应用代理防火墙
C 状态检测防火墙
D 分组代理防火墙
答案:A
10、下面说法错误的是(
)。
A 规则越简单越好。
B 防火墙和防火墙规则集只是安全策路的技术实现。
C 建立一个可靠的规则集对于事件一个成功的、安全的防火墙来说是非常关键的。
D DMZ网络处于内部网络里,严格禁止通过DMZ网络直接进行信息传输。
答案:D 得分: 0
二、判断题
1、目前常用的信息加密方式是采用VPN(虚拟专用网)加密技术
A 正确
B 错误
答案:A
2、防火墙具有基于源地址基础上的区分或拒绝某些访问的能力。
A 正确
B 错误
答案:A
3、包过滤防火墙对应用层是透明的,增加这种防火墙不需要对应用软件做任何改动。
A 正确
B 错误
答案:A
4、可以在局域网的网关处安装一个病毒防火墙,从而解决整个局域网的防病毒问题。
A 正确
B 错误
答案:B
5、误用检测虽然比异常检测的准确率高,但是不能检测未知的攻击类型。
A 正确
B 错误
答案:A 得分: 0
三、名词解释
1、防火墙
隐藏答案
一种网络的访问控制设备(可以是硬件,也可以是软件),用于适当的通信通过,从而保护机构的网络或者计算机系统。类型:应用层防火墙和数据包过滤防火墙。
2、VPN
隐藏答案
指虚拟专用网络。特点是:通信数据是经过加密的,远程站点是经过认证的,可以使用多种协议,连接是点对点的。组成部分:vpn服务器,加密算法,认证系统,vpn协议。IDS的原理和不足
3、入侵监测系统
隐藏答案
入侵监测系统(IDS,Intrusion Detect System) 是一类在网络攻防对抗环境中实现网络入侵检测、预警、评估与响应的指挥控制系统,IDS 从网络或主机获取信息,然后依据现有知识对获取信息进行检测、识别、评估并依据检测结果做出相应告警与响应。信息的获取、判断、响应是一个循环过程。
4、异常检测(anomaly detection):
隐藏答案
也称为基于行为的检测,首先建立起用户的正常使用模式,即知识库,标识出不符合正常模式的行为活动。
5、误用检测(misuse detection):
隐藏答案
也称为基于特征的检测,建立起已知攻击的知识库,判别当前行为活动是否符合已知的攻击模式。
四、简答题
1、简述屏蔽子网防火墙的体系结构。
隐藏答案
屏蔽子网体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。
屏蔽子网体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网,一个位于参数网与内部的网络之间,另一个位于参数网与外部网络之间。
2、包过滤是如何工作的?
隐藏答案
包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:
(1)将包的目的地址作为判据; (2)将包的源地址作为判据; (3)将包的传送协议作为判据。
包过滤系统只能让我们进行类似以下情况的操作: (1)不让任何用户从外部网用 Telnet 登录; (2)允许任何用户使用 SMTP 往内部网发电子邮件; (3)只允许某台机器通过 NNTP 往内部网发新闻。 包过滤不能允许我们进行如下的操作:
(1)允许某个用户从外部网用 Telnet 登录而不允许其它用户进行这种操作。
(2)允许用户传送一些文件而不允许用户传送其它文件。 入侵者总是把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计安全规则,唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址,从而辨认出这个包到底是来自于内部网还是来自于外部网。
五、思考题
1、防火墙的DMZ区是什么?
2、第四代防火墙的特点有哪些?
3、防火墙不能防止什么?
4、简述防火墙都有哪些实现技术?
5、包过滤防火墙都过滤哪些内容?
6、防火墙是如何实现NAT技术的?
7、堡垒主机的作用是什么?
8、防火墙都有哪些体系结构?
9、简述防火墙的发展历程。
10、传统防火墙有哪些缺点?
11、异常入侵检测系统的特点是什么?
12、入侵检测系统的作用是什么?
13、什么是基于主机的入侵检测系统?
14、什么是基于网络的入侵检测系统?
15、误用入侵检测系统的特点是什么?
16、IDS、IPS和IMS各有什么特点,它们的区别在哪里?
17、为什么要采用VPN技术?
18、一个高效、成功的VPN应具备哪几个特点?
19、SSL VPN的特点是什么? 20、MPLS VPN的特点是什么?
21、简述VPN的发展趋势。 学习内容>>安全协议 课后练习
一、选择题
1、WEB站点的管理员决定让站点使用SSL,那他得将WEB服务器监听的端口改为(
)
A 80
B 119
C 443
D 433
答案:C
2、SSL加密的过程包括以下步骤:①通过验证以后,所有数据通过密钥进行加密,使用DEC和RC4加密进行加密。②随后客户端随机生成一个对称密钥。③信息通过HASH加密,或者一次性加密(MD5/SHA)进行完整性确认。④客户端和服务器协商建立加密通道的特定算法。(
)
