网络安全:本质上就是网络上信息的安全,指网络系统的硬件,软件及其系统中的数据安全。
密码学包含两方面密码编译学密码分析学
防火墙具有较高的抗攻击能力部署在网络边界位置
数字证书的生命周期:证书初始化注册阶段 颁发使用阶段 撤销阶段
叙述端口扫描的过程:
1.攻击者向要测试的端口发送一个SYN探测包
2.若收到目标端口的SYN/ACK数据包表示端口开放;
若收到目标端口的RST/ACK数据包表示端口关闭
3.攻击者向目标端口发送RST数据包,重置TCP链接,防止对方记录
一个证书的生命周期包括哪几个阶段,并做简要阐述:
1.初始化:注册、密钥对产生、提交申请、审核检查、证书签发、密钥备份
2.颁发:证书检索、证书验证、证书存储、密钥恢复、密钥更新
3.撤销:证书过期、证书撤销、密钥历史、密钥档案
不存在可信的第三方,互联网通信,解决方案:
搭建Host对Host的VPN
所有主机均支持IPsec协议,两个异地VPN的网关必须支持
IPsec协议。对视频数据经过IPsec协议处理,这样所有的
通信链路都是安全的。
1.简述集中式密钥分配方案的过程。也是对称密钥认证过程
①A→KDC:IDA∥IDB∥N1
②KDC→A:EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]。
③ A→B:EKb[ Ks∥IDA]
④ B→A:EKs[ N2]
⑤ A→B:EKs[f(N2)]
受到拒绝服务攻击的解决方案:
1.确保所有服务器采用最新的系统,并打上安全补丁
2.删除多余的网络服务,从而减少网络协议的漏洞
3.设置防火墙,过滤掉所有可能伪造的数据包
kerberos设计目标:
- 安全性。 2. 可靠性。 3. 对用户透明性。 4. 可伸缩。
四个基本实体:1. Kerberos客户机。 2. 认证服务器。 3. 票据许可服务器。 4. 应用服务器。
公钥密码 优点:.便于管理 .密钥分配简单.可以实现数字签名
1、恶意代码的传播、感染和触发机制分别有哪些?
恶意代码传播机制:通过移动存储设备传播 通过文件传播 通过网络传播
病毒感染机制通过宿主程序运行 其触发机制为攻击者指定条件
木马感染机制植入目标主机 其触发机制为自启动
蠕虫感染机制系统漏洞 其触发机制为自动攻击有漏洞的程序
2.什么是PKI?
PKI,即公钥基础设施,是指公开密钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施
3.简述缓冲区两种类型及其特点。
栈溢出:缓冲区在栈中分配;拷贝的数据过长;覆盖了函数的返回地址和其他一些重要数据结构或函数指针。
堆溢出:缓冲区在堆中分配;拷贝的数据过长;覆盖了堆管理结构。
4.什么是拒绝服务攻击,请列举三个拒绝服务攻击。
拒绝服务攻击是指消耗目标主机的磁盘空间、内存、进程甚至网络带宽等资源使得计算机无法提供服务或资源访问。
2.什么是防火墙?简述防火墙的作用、特性和优缺点。
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
作用:及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
优点:1.在内部网络和外部网络之间传输的数据必须通过防火墙。3.防火墙本身不受各种攻击的影响。4.使用目前新的信息安全技术,比如现代密码技术等。5.人机界面良好,用户配置使用方便,易管理。6.防火墙可以改进安全策略。9.防火墙是一种安全策略检查点,允许拒绝可疑访问。
缺点:1.防火墙可以防止攻击,但不能破坏攻击源。2.如果没有策略集,防火墙无法承受最新的漏洞。3.与防火墙同时连接的数量可能会导致过度拥塞或流量。5.防火墙内部主动发起通信攻击一般不能被阻止。6.同样的防火墙问题和攻击,还存在漏洞和漏洞。7.防火墙无法解析病毒。
试比较分析IDS所采用的检测技术的优缺点。
主要优点有:(1)成本低;(2)攻击者转移证据很困难;(3)实时检测和应答,-且发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地做出反应,从而将入侵活动对系统的破坏减到最低;(4)能够检测未成功的攻击企图;(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源,而基于主机的系统需要特定的操作系统才能发挥作用。
缺点:目前的IDS并非那么尽如人意,在构建方法、检测效率、可移植性和可升级性等方面存在着普遍的缺陷。
1、什么叫VPN,我们身边是否有应用VPN的网络,请举例说明?
VPN:通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。
VPN的应用:1.远程办公:出差在外的人员可通过vpn技术访问公司内部局域网资源。2.异地组网:集团公司、分布在不同地区的子公司互相访问各自局域网资源。3.翻墙:跨境访问外部资源。
3、几种类型的VPN的网关模式对比。
Host对Host模式
从数据发出到整个过程都构成安全通道
Host对VPN网关模式
从A端主机到B端VPN网关建立了安全通道
VPN对VPN网关
不要求主机支持IPSec,而要求VPN网关必须支持IPSec
Remote User 对VPN 网关模式
远程用户的主机必须支持IPSec,而VPN网关也必须支持IPSec
1、系统安全主要包括哪几种系统的安全?
操作系统安全、数据库系统安全、网络系统安全
4、对于网络各层中都是用了哪些协议来保证安全性?
IPsec协议族 SSL/TLS安全协议 SET体系
试分析网络欺骗四种类型的基本原理,并描述IP欺骗的具体步骤。
IP欺骗:IP欺骗就是以其他主机IP作为源IP向目标主机发送数据包。
电子邮件欺骗:电子邮件欺骗是伪造电子邮件头,导致信息看起来来源于某个人或某个地方,而实际却不是真实的源地址。
Web欺骗是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全问题中称为“来自中间的攻击”。
ARP欺骗:路由器ARPcache表的欺骗的原理是截获网关数据;对内网PC的网关欺骗原理是伪造网关。
IP欺骗的具体步骤:
①找到一个被目标主机信任的主机。
②是被信任的主机丧失工作能力。
③伪装成被信任的主机,向目标主机发送SYN。
④猜测或嗅探得到SYN+ACK的值。
⑤再向目标主机发送ACK来建立连接。
什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点
数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证
中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。
简述Host-VPN网关模式的是如何建立安全信道
A端主机发送数据是经过主机本身的IPSec核处理过的数据,其经过VPN网关进入Internet,然后在达到对方的VPN网关时,由对方的VPN网关对数据进行解密和认证处理,这时,由VPN网关到B端主机的数据是原始数据。
