加密技术是最常用的安全保密手段,数据加密技术的关键在于加密/解密算法和密钥管理。数据加密的基本过程就是对原来为明文的文件或数据按某种加密算法进行处理,使其成为不可读的一段代码,通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容,通过这样的途径使数据不被窃取。
在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络信息的通信安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。
对称加密(又称为私人秘钥加密/共享秘钥加密):加密与解密使用同一秘钥。
特点:
1、加密强度不高,但效率高;
2、密钥分发困难。
(大量明文为了保证加密效率一般使用对称加密)
常见对称密钥加密算法:DES、3DES(三重 DES)、RC-5、IDEA、AES 算法。
DES:替换 + 移位、56 位密钥、64 位数据块、速度快、密钥易产生
DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。DES 算法运算速度快,密钥生产容易,适合于在当前大多数计算机上用软件方法实现,同时也适合于在专用芯片上实现。
3DES(三重DES):在 DES 的基础上采用三重 DES,即用两个 56 位的密钥 K1、K2
加密:K1 加密——>K2 解密——>K1 加密
解密:K1 解密——>K2 加密——>K1 解密
AES:高级加密标准 Rijndael 加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES。对其要求是“至少与3DES一样安全”。
AES 算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。AES使用几种不同的方法来执行排列和置换运算。
AES 是一个迭代的、对称密钥分组的密码,它可以使用 128、192 和 256位密钥,并且用 128 位(16 字节)分组加密和解密数据。
RC-5:RSA 数据安全公司的很多产品都使用了 RC-5。
IDEA算法:128 位密钥、64 位数据块、比 DES 的加密性好、对计算机功能要求相对低,PGP。
IDEA 是在 DES 算法的基础上发展起来的,类似于三重 DES。IDEA 的密钥为 128 位,这么长的密钥在今后若干年内应该是安全的。类似于 DES,IDEA 算法也是一种数据块加密算法,它设计了一系列加密轮次,每轮加密都使用从完整的加密密钥中生成的一个子密钥。IDEA 加密标准由PGP(PrettyGood Privacy)系统使用。
非对称加密(又称为公开密钥加密):密钥必须成对使用(公钥加密,相应的私钥解密)。
与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(Publickey)和私有密钥(Privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。
特点:非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费的时间长、速度慢,不适合于对文件加密,而只适用于对少量数据进行加密。
常见非对称密钥加密算法:RSA、ECC
非对称加密有两个不同的体制,如下图:
非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其他方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。
RSA:512 位(或 1024 位)密钥、计算量极大、难破解
一种公钥加密算法,它按照下面的要求选择公钥和密钥。
(1)选择两个大素数 p 和 q(大于10100) 。
(2)令n = p × q 和 z - (p - 1) × (q - 1)。
(3)选择 d 与 z 互质。
(4)选择 e,使 e × d = 1(mod z)。
明文 P 被分成 k 位的块,k 是满足 2k < n 的最大整数,于是有 0 ≤ P < n。加密时计算
C = P^e^(mod n)
,这样公钥为(e,n)。解密时计算p = C^d^(mod n)
,即私钥为(d, n)。
例如,设 p = 2,q = 11,n = 33,z = 20,d = 7,e = 3,C = P3(mod 33),P = C7(mod 33),则有 C = 23(mod 33) = 8(mod 33) = 8
P = 87(mod 33) = 2097152(mod 33) = 2
RSA 算法的安全性是基于大素数分解的困难性。攻击者可以分解已知的 n,得到 p 和 q,然后可得到 z,最后用 Euclid 算法,由 e 和 z 得到 d。但是要分解 200 位的数,需要 40 亿年;分解 500 位的数,则需要 1025 年。
Elgamal:其基础是 Diffie-Hellman 密钥交换算法
ECC:椭圆曲线算法
其它非对称算法包括:背包算法、Rabin、D-H
单向散列函数(单向Hash函数)、固定长度的散列值。
Hash(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串固定长度的字符串,又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题:在某一特定的时间内,无法查找经 Hash 操作后生成特定 Hash 值的原报文;也无法查找两个经 Hash 操作后生成相同 Hash 值的不同报文。这样,在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。
信息摘要简要地描述了一份较长的信息或文件,它可以被看作一份长文件的“数字指纹”信息摘要用于创建数字签名,对于特定的文件而言,信息摘要是唯一的。信息摘要可以被公开它不会透露相应文件的任何内容。
常用的消息摘要算法有 MD5,SHA 等,市场上广泛使用的 MD5,SHA 算法的散列值分别为 128 和 160 位,由于 SHA 通常采用的密钥长度较长,因此安全性高于 MD5。
MD5 算法具有以下特点:
(1)压缩性:任意长度的数据,算出的 MD5 值长度都是固定的(128 位)。
(2)容易计算:从原数据计算出 MD5 值很容易。
(3)抗修改性:对原数据进行任何改动,即使只修改 1 个字节,所得到的 MD5 值都有很大区别。
(4)强抗碰撞:已知原数据和其 MD5 值,想找到一个具有相同 MD5 值的数据(即伪造数据)是非常困难的。
数字签名主要经过以下几个过程。
(1)信息发送者使用一个单向散列函数(Hash函数)对信息生成信息摘要。
(2)信息发送者使用自己的私钥签名信息摘要。
(3)信息发送者把信息本身和已签名的信息摘要一起发送出去。
(4)信息接收者通过使用与信息发送者使用的同一个单向散列函数(Hash函数)对接收的信息本身生成新的信息摘要,再使用信息发送者的公钥对信息摘要进行验证,以确认信息发送者的身份和信息是否被修改过。
数字签名常用算法:RSA、DSA、ECDSA椭圆曲线数字签名算法。
攻击类型 | 攻击名称 | 描述 |
---|---|---|
被动攻击 | 窃听(网络监听) | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 |
业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 | |
非法登录 | 有些资料将这种方式归为被动攻击方式。 | |
主动攻击 | 假冒身份 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。 |
抵赖 | 这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 | |
旁路控制 | 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 | |
重放攻击 | 所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。 | |
拒绝服务(DOS) | 对信息或其他资源的合法访问被无条件地阻止。 |
入侵者可以利用系统漏洞侵入系统,系统管理员可以通过漏洞扫描技术,及时了解系统存在的安全问题,并采取相应措施来提高系统的安全性。
基于数据源的分类——一审计功能、记录安全性日志。基于检测方法——异常行为检测。
系统病毒(前缀:Win32、PE、W32,如:KCOM——Win32.KCOM)
蠕虫病毒(如:恶鹰——Worm.BBeagle、熊猫烧香、红色代码、爱虫病毒)
木马病毒、黑客病毒(如:QQ 消息尾巴木马——Trojan.QQ3344)
脚本病毒(如:红色代码——Script.Redlof)
宏病毒(如:梅丽莎——Macro.Melissa)
后门病毒(如:灰鸽子——Backdoor. Win32.Huigezi)
病毒种植程序病毒(冰河播种者——Dropper.BingHe2.2C)
破坏性程序病毒(杀手命令——Harm.Command.Killer)
玩笑病毒(如:女鬼——Jioke.Grl ghost)
捆绑机病毒(如:捆绑 QQ一Binder.QQPass.QQBin)
(1)文件型计算机病毒感染可执行文件(包括EXE和COM 文件)
(2)引导型计算机病毒影响软盘或硬盘的引导扇区。
(3)目录型计算机病毒能够修改硬盘上存储的所有文件的地址。
(4)宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件。
计算机病毒的特性包括隐蔽性、传染性、潜伏性、触发性和破坏性等。
【试题解析】∶AES是一个迭代的、对称密钥分组的密码,它可以使用128、192和256位密钥。并且使用128位分组密和解密数据。
【试题解析】∶公开密钥加密(public-key cryptography),也称为非对称加密(asymmetric cryptography),一种密码学算法类型,在这种密码学方法中,需要一对密钥,一个是私人密钥,另一个则是公开密钥。
常见的公钥加密算法有:RSA、EiGamal、背包算法、Rabin (RSA的特例)、迪菲-赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法(liptic Curve Cryptography,ECC) ;DSA数字签名(又称公钥数字签名),将摘要信息用发送者的私钥加密,接收者只有用发送者的公钥才能解密被加密的摘要信息,也是属于公开密钥加密算法。
DES是典型的私钥加密体制,属于对称加密,不属于公开秘钥加密,所以本题选择D选项。
【试题解析】∶对于非对称加密又称为公开密钥加密,而共享密钥加密指对称加密。常见的对称加密算法有:DES,三重DES、RC-5、IDEA、AES,因此本题选择B选项。
【试题解析】∶IDEA 算法和 RC4 算法都是对称加密算法,只能用来进行数据加密。MD5 算法是消息摘要算法,只能用来生成消息摘要,无法进行数字签名。
RSA 算法是典型的非对称加密算法,主要具有数字签名和验签的功能。
【试题解析】∶认证一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。
认证只能阻止主动攻击,不能阻止被动攻击。A、B、D都说法都是正确的,C选项说法错误。故答案选择C选项。
【试题解析】∶数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
数字签名是个加密的过程,数字签名验证是个解密的过程。保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
【试题解析】∶报文摘要是用来保证数据完整性的。传输的数据一旦被修改,摘要就不同了。只要对比两次摘要就可确定数据是否被修改过。
【试题解析】∶第一空考查的是关于用户身份进行认证也就是数字签名的认证,这里使用的应该是发送方的公钥,这4个选项中,能包含发送方公钥的只有A选项数字证书;
第二空确保消息不可否认,也就是考查确保发送者身份的不可抵赖,所以这里使用的应该是发送方的数字签名。
【试题解析】∶数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,就好比日常生活中个人身份证一样。数字证书是由一个权威机构证书授权中心(CA)发行的。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。其中证书授权中心的数字签名是用它自己的私钥完成的,而它的公钥也是公开的,大家可以通过它的公钥来验证该证书是否是某证书授权中心发行的,以达到验证数字证书的真实性。
因此要想验证用户A数字证书的真伪,需要用CA的公钥来完成,而因为消息M是A用其私钥加密后的结果,要验证其真实性,就需要用A的公钥来解密,如果能解密,说明消息M是A用其私钥进行了签名的。
【试题解析】∶SQL注入攻击,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。其首要目的是获取数据库访问权限。
【试题解析】∶重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
Kerberos系统采用的是时间戳方案来防止重放攻击,这种方案中,发送的数据包是带时间戳的,服务器可以根据时j间戳来判断是否为重放包,以此防止重放攻击。
【试题解析】∶A选项拒绝服务(DOS) :对信息或其它资源的合法访问被无条件地阻止。
B选项会话拦截:未授权使用一个已经建立的会话。
D选项修改数据命令:截获并修改网络中传输的数据命令。
ABD为主动攻击。
C选项系统干涉:指的是攻击者获取系统访问权,从而干涉系统的正常运行,一般可以归于被动攻击。
【试题解析】∶端口扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息。
【试题解析】∶ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,它通过伪造网关ARP报文与你通信,而使得你的数据包无法发送到真正的网关,从而造成网络无法跨网段通信。
【试题解析】∶DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活,甚至更恶…SYN Flooding攻击便是Dos攻击的典型代表,该攻击以多个随机的源主机地址向目的路由器发送SYN包,而在收到目的路由器的SYNACK后并不回应,这样,目的路由器就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务,甚至导致路由器崩溃。服务器要等待超时(Time Out)才能断开已分配的资源。
【试题解析】∶拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。DDos是分布式Dos的缩写,也是拒绝服务攻击的一种形式。从原理可以看出拒绝服务攻击Dos不会造成密码的泄露。
【试题解析】∶震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的"蠕虫"病毒,比如核电站,水坝,国家电网。
A 选项引导区病毒破坏的是引导盘、文件目录等,B 选项宏病毒破坏的是 OFFICE 文件相关,C 选项木马的作用一般强调控制操作。
【试题解析】∶熊猫烧香是一种经过多次变种的"蠕虫病毒"变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,这是名副其实的病毒,拥有感染传播功能,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其他计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场案,再次获刑。
“红色代码病毒是2001年一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。
冰河是一种木马软件。
2000年5月4日,一种名为"我爱你’的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Outlook电子邮件系统传播的,邮件的主题为"ILOVEYOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。"我爱你病毒,又称·爱虫"病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。
【试题解析】∶传播方式:
1、通过邮件附件、程序下载等形式传播,因此A选项错误。
2、通过伪装网页登录过程,骗取用户信息进而传播。
3、通过攻击系统安全漏洞传播木马,大量黑客使用专门的黑客工具来传播木马。木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ账号、游戏账号甚至银行账号),将本机作为工具来攻击其他设备等,因此,C选项错误;
4、Sniffer是用于拦截通过网络传输的TCPIP/UDPICMP等数据包的一款工具,可用于分析网络应用协议,用于网络编程的调试、监控通过网络传输的数据、检测木马程序等,因此D选项错误。
本题只有B选项是正确的。
【试题解析】∶X卧底软件是一种安装在手机里的监控软件。
【试题解析】∶特洛伊木马一种秘密潜伏的能够通过远程网络进行控制的恶意程序,它使控制者可以控制被秘密植入木马的计算机的一切资源和行为。
蠕虫病毒是一种常见的利用网络进行复制和传播的病毒。病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
宏病毒是一种寄存在文档或模板的宏中的病毒。一旦打开这样的文档,其中的宏就会被执行,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒,有时还会破坏计算机的BIOS。
【试题解析】∶宏病毒是一种脚本病毒,它的最主要特征是它是一种寄存在文档或模板的宏中的计算机病毒。宏病毒主要感染文件有Word、Excel的文档。并且会驻留在Normal面板上。宏病毒的前缀是:Macro,第二前缀是: Word、Excel其中之一。如: Macro.Word.WhiteScreen、美丽莎(Macro.Melissa)等。
在本题中,题目给出的4个选项中,扩展名为DOC的一般为Word文档,因此容易感染宏病毒。
【试题解析】∶计算机病毒的分类方法有许多种,按照最通用的区分方式,即根据其感染的途径以及采用的技术区分,计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。
文件型计算机病毒感染可执行文件(包括EXE和COM文件)。
引导型计算机病毒影响软盘或硬盘的引导扇区。
目录型计算机病毒能够修改硬盘上存储的所有文件的地址。
宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件,从文件名可以看出Macro.Melissa是一种宏病毒,所以题中两空的答案是D和B。
【试题解析】∶熊熊猫烧香是一种感染型的蠕虫病毒,它能感染系统中exe,~、 pif,src,html和asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三柱香的模样。
【试题解析】∶多形病毒是一种较为高级的病毒,这种病毒在每次感染后会改变自己。
【试题解析】∶特洛伊木马是一种通过网络传播的病毒,分为客户端和服务器端两部分,服务器端位于被感染的计算机,特洛伊木马服务器端运行后会试图建立网络连接,所以计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。
【试题解析】∶IGMP:属于网络的组播协议,不能实现相关应用层的远程登录。
SSH: SSH为建立在应用层基础上的安全协议。SSH是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
Telnet: Telnet协议是TCPIP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
RFB:RFB (Remote Frame Buffer远程帧缓冲)协议是一个用于远程访问图形用户界面的简单协议。由于RFB协议工作在帧缓冲层,因此它适用于所有的窗口系统和应用程序。
【试题解析】∶A选项:IPSec工作于网络层,为IP数据报文进行加密。
B选项:PP2P工作于数据链路层,用于链路加密。
C选项:HTTPS是HTTP与SSL的结合体,为传输层以上层次数据加密。
D选项:TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性。
【试题解析】∶A选项:TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性。
B选项:TCP是可靠的传输层协议,与安全无关。
C选项:SSH为Secure Shell 的缩写,由IETF的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。本题选择C选项。
D选项:TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCPIP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。
【试题解析】∶MIME它是一个多用途互联网邮件扩展类型的标准,扩展了电子邮件标准,使其能够支持多媒体信息传输,与安全无关。与安全电子邮件相关的是S/MIME安全多用途互联网邮件扩展协议。
A选项SSL和B选项HTTPS涉及邮件传输过程的安全,D选项PGP(全称: Pretty Good Privacy,优良保密协议),是一套用于信息加密、验证的应用程序,可用于加密电子邮件内容。
【试题解析】∶SSH为Secure Shell的缩写,由IETF 的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
【试题解析】∶1、HTTPS是基于SSL(Secure Sockets Layer安全套接层)的。
2、http的端口号为80,而HTTPS的默认端口是443,注意区分。
【试题解析】∶SSH为Secure Shell的缩写,由IETF 的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用sSH协议可以有效防止远程管理过程中的信息泄露问题。
【试题解析】∶
一、安全认证介绍
1、PPP的NCP可以承载多种协议的三层数据包。
2、PPP使用LCP控制多种链路的参数(建立、认证、压缩、回拨)
二、PPP的认证类型
1、PPP的pap认证是通过二次握手建立认证(明文不加密)
2、PPP的chap质询握手认证协议,通过三次握手建立认证(密文采用MD5加密)
3、PPP的双向验证,采用的是chap的主验证风格
4、PPP的加固验证,采用的是两种(pap,chap)验证同时使用
【试题解析】∶
TLS是安全传输层协议的简称,用于在两个通信应用程序之间提供保密性和数据完整性。
SSL是安全套接层协议的简称,它也是一种为网络通信提供安全和数据完整性的协议,它与TLS非常接近,它们都是在传输层对网络连接进行加密。
PGP是一个基于RSA公匙加密体系的邮件加密软件。,用它可以对邮件保密以防止非授权者阅读。-
HTTPS即安全版的HTTP(超文本传输协议)的,它是在HTTP下加入SSL层,HTTPS的安全基础就是SSL。
IPSec是网络层的安全协议,它通过使用加密的安全服务来确保在网络上进行保密而安全的通讯。
【试题解析】∶在一个用路由器连接的局域网中,我们可以将网络划分为三个区域:安全级别最高的LAN Area(内网),安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。
【试题解析】∶在一个用路由器连接的局域网中,我们可以将网络划分为三个区域:安全级别最高的LAN Area(内网),安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。
【试题解析】∶包过滤防火墙:包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层之间,不符合本题要求。
应用级网关防火墙:应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有的通信都必须经应用层代理软件转发,它可对应用层的通信数据流进行监控和过滤。
数据库防火墙:数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间,不符合本题要求。
Web防火墙: Web防火墙是入侵检测系统,入侵防御系统的一种。从广义上来说,Web应用防火墙就是应用级的网站安全综合解决方案,与我们所讲到的防火墙概念有一定区别,不符合本题要求。
【试题解析】∶网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙丕可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙的功能包括:访问控制;提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:代理等。
【试题解析】∶DMZ是英文"demilitarized zone"的缩写,中文名称为"隔离区",也称"非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
【试题解析】∶包过滤防火墙工作在网络协议IP层,它只对IP包的源地址、目标地址及相应端口进行处理,因此速度比较快,能够处理的并发连接比较多,缺点是对应用层的攻击无能为力,包过滤成本与它的安全性能没有因果关系,而应用程序和用户对于包过滤的过程并不需要了解,因此该技术对应用和用户是透明的,本题选择B选项。
代理服务器防火墙将收到的IP包还原成高层协议的通讯数据,比如http连接信息,因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢,能够处理的并发数比较少,所以不能提高网络整体性能,而代理对于用户认证可以设置。
【试题解析】∶防火墙工作层次越低,工作效率越高,安全性越低。防火墙工作层次越高,工作效率越低,安全性越高。
【试题解析】∶包过滤防火墙对数据包的过滤依据包括源IP地址、源端口号、目标IP地址和目标端口号。
【试题解析】∶数据的机密性(保密性)是指数据在传输过程中不能被非授权者偷看;
数据的完整性是指数据在传输过程中不能被非法篡改,本题涉及到修改的只有完整性;
数据的真实性(不可抵赖性)是指信息的发送者身份的确认或系统中有关主体的身份确认,这样可以保证信息的可信度;
可用性指的是发送者和接受者双方的通信方式正常。故正确答案选择A选项。
①控制终端接入数量
②终端访问授权,防止合法终端越权访问
③加强终端的安全检查与策略管理
④加强员工上网行为管理与违规审计
【试题解析】∶加强内防内控主要通过访问授权、安全策略、安全检查与行为审计等多种安全手段的综合应用来实现。终端接入的数量影响的是网络的规模、数据交换的性能,不是内防内控关注的重点。
【试题解析】∶在lE浏览器中,安全级别最高的区域设置是受限站点。
其中Internet区域设置适用于Internet网站,但不适用于列在受信任和受限制区域的网站;本地Intranet区域设置适用于在Intranet中找到的所有网站;可信任站点区域设置适用于你信任的网站;而受限站点区域设置适用于可能会损坏你计算机或文件的网站,它的安全级别最高。
【试题解析】∶网络安全体系设计是逻辑设计工作的重要内容之一,数据库容灾属于系统安全和应用安全考虑范畴。
【试题解析】∶机房安全属于物理安全,入侵检测属于网络安全,漏洞补丁管理属于系统安全,而数据库安全则是应用安全。
安全防范体系的层次划分:
(1)物理环境的安全性。包括通信线路、物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件和传输介质)、软硬件设备的安全性(替换设备、拆卸设备、增加设备)、设备的备份、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)和不间断电源保障等。
(2)操作系统的安全性。主要表现在三个方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制和系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
(3)网络的安全性。网络层的安全问题主要体现在计算机网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。
(4)应用的安全性。由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。此外,还包括病毒对系统的威胁。
(5)管理的安全性。包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个计算机网络的安全,严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置,都可以在很大程度上降低其他层次的安全漏洞。
【试题解析】∶用户在电子商务网站上使用网上银行支付时,必须通过支付网关才能在Internet与银行专用网之间进行数据交换。A、支付网关:是银行金融网络系统和Internet网络之间的接口,是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备,或由指派的第三方处理商家支付信息和顾客的支付指令。
B、防病毒网关:防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。如果与互联网相连,就需要网关的防病毒软件。
C、出口路由器:一般指局域网出外网的路由器,或者指一个企业、小区、单位、城域网、省级网络、国家网络与外界网络直接相连的那台路由器。在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
D、堡垒主机:堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
【试题解析】∶部署防火墙:防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,并不能有效的防范病毒。
部署入侵检测系统:入侵检测系统(intrusion detection system,简称VIDS")是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。是对一种网络传输的监视技术,并不能有效的防范病毒。
安装并及时升级防病毒软件:针对于防病毒软件本身就是防范病毒最有效最直接的方式。
定期备份数据文件:数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。是为了防止系统数据流失,不能有效的防范病毒。
【试题解析】∶漏洞扫描为另一种安全防护策略。
【试题解析】∶防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合,它是一套建立在内外网络边界上的过滤封锁机制。防火墙的主要功能有:过滤掉不安全服务和非法用户;控制对特殊站点的访问;提供了监视
lnternet安全和预警的方便端点。
漏洞扫描系统通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的,利用漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。病毒防御系统是一个用来防止黑客、病毒、木马的防御系统。
【试题解析】∶网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,使用网络监听便可以有效地截获网络上传送的数据。对网络监听最有效的防范方法是对传送的数据进行加密,这样即便传送的数据被截获,对方没有密钥,也很难获取到有用的信息。
【试题解析】∶漏洞扫描系统是一种自动检测目标主机安全弱点的程序,漏洞扫描系统的原理是根据系统漏洞库对系统可能存在的漏洞进行一一验证。黑客利用漏洞扫描系统可以发现目标主机的安全漏洞从而有针对性的对系统发起攻击;系统管理员利用漏洞扫描系统可以查找系统中存在的漏洞并进行修补从而提高系统的可靠性。漏洞扫描系统不能用于发现网络入侵者,用于检测网络入侵者的系统称为入侵检测系统。