网络安全技术复习题

网络安全技术复习题(郑州大学信息工程学院2012-11-20)一.单项选择题1.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的这是对（A ）。 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? AA.拒绝服务 B.文件共享 C.BIND漏洞 D.远程过程调用 3.关于80年代Mirros 蠕虫危害的描述，哪句话是错误的? （B ）。 A.占用了大量的计算机处理器的时间，导致拒绝服务 B.窃取用户的机密信息，破坏计算机数据文件 C.该蠕虫利用Unix系统上的漏洞传播 D.大量的流量堵塞了网络，导致网络瘫痪 4.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么? BA.安装防病毒软件 B.给系统安装最新的补丁 C.安装防火墙 D.安装入侵检测系统 5.为了防御网络监听，最常用的方法是：（B ）。 A.采用物理传输（非网络） B.信息加密 C.无线网 D.使用专线传输 6.以下不属于防火墙作用的是 （C ）。A.过滤信息 B.管理进程 C.清除病毒 D.审计监测 7.防火墙可分为两种基本类型是 （C ）。A.分组过滤型和复合型 B.复合型和应用代理型 C.分组过滤型和应用代理型 D.以上都不对 8.以下不属分布式防火墙的产品的有 （B ）。A.网络防火墙 B.软件防火墙 C.主机防火墙 D. 中心防火墙 9.以下不属入侵检测中要收集的信息的是 （ B）。A.系统和网络日志文件 B.目录和文件的内容 C.程序执行中不期望的行为 D.物理形式的入侵信息 10.以下关于DOS攻击的描述，哪句话是正确的? （A ）。 A.导致目标系统无法处理正常用户的请求 B.不需要侵入受攻击的系统 C.以窃取目标系统上的机密信息为目的 D.如果目标系统没有漏洞，远程攻击就不可能成功 11.PKI的全称是 （D ）。A. Private Key Intrusion B. Public Key Intrusion C. Private Key Infrastructure D. Public Key Infrastructure 12.下面哪个是为广域网（WWW）上计算机之间传送加密信息而设计的标准通信协议 AA.SSL B.HTTPS C.HTTP D.TSL 13.PPTP是建立在哪两种已经建立的通信协议基础上（B ）。 A.PPP&UDP B.PPP&TCP/IP C.LDAP&PPP D.TCP/IP&UDP 14.对于保护文件系统的安全，下面哪项是不需要的（D ）。A.建立必要的用户组 B.配置坊问控制 C.配置文件加密 D.避免驱动器分区 15.下面哪项不是数字证书中的内容. （ D）。A.证书发布人的姓名 B.发行证书的实体 C.实体的公开密钥 D.上面所有的都是数字证书的组成部分16.操作系统是企业网络管理平台的基础，其安全性是第一位的，所以作为一名合格的企业安全管理员，应该了解操作系统所面临（ ）的安全威胁。（B ）。 A.操作系统软件自身的漏洞 B.开放了所有的端口 C.开放了全部的服务 D.病毒 17.计算机蠕虫是一种特殊的计算机病毒，它的危害比一般的计算机病毒要大许多。要想防范计算机蠕虫就需要区别开其与一般的计算机病毒，这些主要区别在于（ B）。 A.蠕虫不利用文件来寄生 B.蠕虫病毒的危害远远大于一般的计算机病毒 C.二者都是病毒，没有什么区别 D.计算机病毒的危害大于蠕虫病毒 二.多项选择题1.计算机病毒是企业网络中要重点防范的一种安全威胁，所以网管需要了解常见的计算 机病毒形式。下列在企业网络中需要防范的病毒对象有（ABC ）。（选择3 项） A.计算机病毒 B.木马程序 C.蠕虫病毒 D.非法程序 2.路由器作为企业网络最外围的安全屏障，其安全性是不言而喻的，作为一名网管需要在路由器上采取（AB ）等安全管理措施才能保证路由器最基本的安全。（选择2项） A.设置访问控制列表 B.升级IOS 进行安全补漏 .C.加装硬件模块使之外部完全隔离 D.把路由器锁起来 3.交换机是企业局域网络正常运行的关键设备，作为一名网管需要采取（ AB）的安全管理措施才能保证企业网用户正常的网络通信。（选择2 项） A.通过VLAN 把局域网分段管理 . B.设置度较强高的管理口令 . C.连接到路由器上 D.将多台交换机叠加起来使用 4.保证操作系统的安全是网管的第一要务，通过（ ABC）可以针对Windows 操作系统进行有效的安全加固，从而为其他应用构筑最基础的安全平台。（选择3 项） A.使用强壮的密码，不使用诸如生日.电话号码等易被猜测的口令 B.定时安装系统补丁，及时修补操作系统的漏洞 C.只启必需的服务，关闭不必要的服务和端口 D.安装防火墙和入侵检测系统 5.保证操作系统的安全是网管的第一要务，通过（AD ）可以针对Linux 操作系统进 行有效的安全加固，从而为其他应用构筑最基础的安全平台。（选择2 项）A.使用GRUB 口令 B.打开密码的password 支持功能 C.删除除root 外的所有帐户 D.禁止随意通过su 命令将普通用户改变为root 用户 6.为了有效的对企业网络进行安全防护，在企业网络的最外围架筑防火墙是一种有效的方法。这主要是利用了防火墙的下列主要功能（ AD）。（选择2 项） A.记录用户的上网活动 B.发现黑客攻击行为 C.主动追踪攻击者来源 D.隐藏网络内部细节三. 判断题(正确画、错误画)1.WIN2000系统给NTFS格式下的文件加密，当系统被删除，重新安装后，原加密的文件就不能打开了。（ ） 2.禁止使用活动脚本可以防范IE执行本地任意程序。 （ ） 3.发现木马，首先要在计算机的后台关掉其程序的运行。 （ ） 4.按计算机病毒的传染方式来分类，可分为良性病毒和恶性病毒。 （ ） 5.非法访问一旦突破数据包过滤型防火墙，即可对主机上的漏洞进行攻击。 （ ） 6.最小特权.纵深防御是网络安全原则之一。 （ ） 7.开放性是UNIX系统的一大特点。 （ ） 8.密码保管不善属于操作失误的安全隐患。 （ ） 9.我们通常使用SMTP协议用来接收E-MAIL。 （ ） 10.使用最新版本的网页浏览器软件可以防御黑客攻击。 （ ） 四.填空题1.入侵检测的一般步骤有 信息收集 和 信息分析 and 实时记录、报警或有限度反击 。 2.入侵检测中信息分析的三种技术手段是 模式匹配 ， 统计分析 和 完整性分析 。3.密码体制可分为 对称密码体制 和 公钥密码体制 两种类型 4.在公开密钥体制中每个用户保存着一对密钥是 公开密钥 和 私人密钥 5.防火墙的实现方式有 软件 和 硬件 两种 6.VPN所使用的两种通信协议分别是 PPP 和 TCP/IP 7.WSUS所全称是 Windows Server Update Services 8.按着备份的数据量可把备份分为 全备份 , 和 增量备份 9.信息安全需求的五大特性分别是 保密性 , 完整性, 可用性，可控性，不可否认性 , 10.常见的网络攻击手段分为 Dos 攻击, 扫描探测 攻击, 畸形报文攻击 攻击, 攻击, 漏洞 攻击, 缓冲区溢出攻击 攻击。五. 综合简答题 1.简述：Ping，ipconfig，netstat，net，at 和Tracert指令的功能和用途。Ping是DOS命令，一般用于检测网络通与不通.Ipconfig可用于显示当前的TCP/IP配置的设置值。Netstat它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。 net account功能：将用户帐户数据库升级并修改所有帐户的密码和登录请求。 net computer功能：从域数据库中添加或删除计算机，所有计算机的添加和删除都会转发到主域控制器。exe文件是为对象类别扩充组件，是一种可以由在微软的Windows系统中运行的应用软件创建使用的特殊用途的程序。通过使用其他开发厂商提供的exe可以方便的实现各种系统、或是程序原本并没有的复杂功能，甚至可以跨变成语言使用，十分方便。相反，如果原本调用的exe被破坏或是丢失，则有可能会造成该程序、文件不能正常运行。Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。2.简述密码体制的概念及其图示。 密码体制也叫密码系统，是指能完整地解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不可抵赖性等问题中的一个或几个的一个系统。对一个密码体制的正确描述，需要用数学方法清楚地描述其中的各种对象、参数、解决问题所使用的算法等。、密码体制的组成通常情况下，一个密码体制由以下五个部分组成：明文信息空间M；密文信息空间C；密钥空间K；加密变换Ek : MC，其中kK;解密空间DkM,其中kK。3.简述IP欺骗攻击的步骤，并列举三种以上的防范措施。首先，目标主机已经选一。其次，信任模式已被发现， 并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作： 使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号， 猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标 主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令 放置一个系统后门，以进行非授权操作。 防范措施：1.抛弃基于地址的信任策略 2.进行包过滤 3. 使用随机化的初始序列号 4.简述缓冲区溢出攻击的原理。 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。*作系统所使用的缓冲区又被称为堆栈，在各个*作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。 5.简述DDoS攻击的概念。 DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻 止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于 通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布 式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝 服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击， 通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。6.简述包过滤防火墙的基本特点及其工作原理。 包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。 7.描述对单机计算机病毒的防范方法。 1、新购置的计算机硬软件系统的测试 2、计算机系统的启动 3、单台计算机系统的安全使用 4、重要数据文件要有备份 5、不要随便直接运行或直接打开电子函件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。 6、计算机网络的安全使用8.简述CIDF(公共入侵检测框架)模型的组成及结构。CIDF的工作集中体现在四个方面：IDS的体系结构，通信机制，描述语言和应用程序接口API。1CIDF的体系结构CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件，事件产生器，事件分析器，响应单元和事件数据库，前三者通常以应用程序的形式出现，事件数据库则以文件或数据流的形式出现，以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是从多个计算机上多个进程，它们以GIDO（统一入侵检测对象）格式进行数据交换。2CIDF的通信机制CIDF将通信机制构造成一个三层模型：GIDO层，消息层和协商传输层。GIDO层的任务是提高组件之间的互操作性，负责考虑所传递信息语义，消息层确保被加密认证消息在防火墙或NAT等设备间传输过程中的可靠性，协商传输层规定了GIDO在各个组件间的传输机制。3CIDF语言CIDF的总体目标是实现软件的复用和入侵检测与响应组件间的互操作性， CIDF定义了一种应用层语言：公共入侵规范语言，用来描述入侵检测组件间传送的信息，制定了一套对这些信息进行编码的协议。4CIDF的API接口CIDF的API接口负责GID0的编码，解码和传递，它提供的调用功能使得程序员可以在不了解编码和传递过程具体细节的情况下，以一种简单的方式构建和传递GID0，GID0的生成分为两步：首先构造表示GID0的树形结构，然后将此结构编成字节码。 9.简述基于主机的扫描器和基于网络的扫描器的异同。第一，基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供Windows 2000操作系统的密码，这种情况下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。 另外，Unix系统中有些程序带有SetUID和SetGID功能，这种情况下，涉及到Unix系统文件的权限许可问题，也无法检测。 第二，基于网络的漏洞扫描器不能穿过防火墙。如图3所示，与端口扫描器相关的端口，防火墙没有开放，端口扫描终止。 第三，扫描服务器与目标主机之间通讯过程中的加密机制。从图3可以看出，控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话，攻击者就可以利用sniffer工具，来监听网络中的数据包，进而得到各目标注集中的漏洞信息。六.网络攻击技术简答题1.攻击一般有哪几个步骤?预攻击 攻击 后攻击2.举例说明如何利用缓冲区溢出实现攻击。nNetMeeting缓冲区溢出：n攻击者的代码可以在客户端执行n恶意的网页作者连接到NetMeeting的SpeedDial入口，导致NeetMeeting停止响应或者挂起n停止响应后，攻击者的代码将在受害者的计算机中执行3.目标信息收集是黑客攻击的首先要做的工作，可以通过哪些方法收集哪些信息？n非技术手段：合法途径n从目标机构的网站获取n新闻报道，出版物n新闻组或论坛n社会工程手段n假冒他人，获取第三方的信任n搜索引擎技术手段：nPingnTracert / TraceroutenRusers / FingernHost / nslookup4.常用的扫描技术有哪几种?主机安全扫描技术和网络安全扫描技术。5.为什么远程计算机的操作系统可以被识别?n利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型n当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证6.简述网络嗅探的原理。7.简述DDoS攻击的原理，举出两种不同的攻击方式。分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。8.结合身边的网络环境或现实的攻击实例，了解攻击者使用的网络攻击方法。七.计算机病毒及恶意代码简答题1.传统病毒和木马.蠕虫各有哪些特点和区别？恶意代码类型定义特点计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。潜伏、传染和破坏计算机蠕虫指通过计算机网络自我复制，消耗系统资源和网络资源的程序扫描、攻击和扩散特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。欺骗、隐蔽和 信息窃取2.脚本病毒的原理是什么，如何进行防御？脚本病毒利用脚本来进行破坏的病毒，其特征为本身是一个ASCII码或加密的ASCII码文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统命令造成危害。3.蠕虫的工作机制是什么，如何在网络上大规模传输？蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。4.木马技术有哪些植入方法？木马是如何实现加载和隐藏的？方法一利用启动入口植入：方法二系统路径遍历优先级欺骗：方法三文件并联型木马：方法四替换系统文件：如何隐藏：1、集成到程序中2、隐藏在配置文件中3、潜伏在Win.ini中4、伪装在普通文件中5、内置到注册表中5.什么是网络钓鱼？主要有哪些方法？网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。网络钓鱼的主要手法：这个病毒是发送电子邮件，虚假信息引诱用户中圈套等方式，假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃，还有的利用虚假的电子商务进行欺骗。6.僵尸程序和木马技术有哪些异同点？7.通过哪些方法可以检测到木马?1、检查注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项）。2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项（如Local Page），如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码（如“万花谷”）就经常修改这几项。3、检查HKEY_CLASSES_ROOTinifile shellopencommand和HKEY_CLASSES_ROOT txtopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件（包括.jpg、.rar、.mp3等）的默认打开程序。8.什么是浏览器劫持？浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。9.什么是流氓软件，流氓软件具有哪些特征？流氓软件，也叫“恶意软件”，是对网络上散播的带有不良目的软件的一种称呼。根据中国互联网协会公布了恶意软件的官方定义如下：恶意软件（俗称“流氓软件”）是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。流氓软件通常具有以下特征：采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；强行弹出广告，或者其他干扰用户占用系统资源行为；有侵害用户信息和财产安全的潜在因素或者隐患；与病毒联合侵入用户电脑;停用防毒软件或其他电脑管理程式来做进一步的破坏;未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。八.操作系统安全简答题 1.操作系统的访问控制方法有哪些？n在安全操作系统领域中，访问控制一般都涉及n自主访问控制（Discretionary Access Control，DAC）n强制访问控制（Mandatory Access Control，MAC）两种形式2.以Windows XP/2000/2003为例，分析该操作系统具有哪些访问控制功能？3.Windows系统的安全机制都有哪些？1.标识、鉴别及可信通路机制2.自主访问控制与强制访问控制机制3.最小特权管理机制4.隐蔽通道分析处理机制5.安全审计机制4.以你本人所使用的操作系统为例，你目前已采取了哪些安全措施？分析还存在哪些安全隐患，考虑下一步该采取哪些安全措施来增强系统的安全性。5.在学习生活中你和你的同事.同学遇到过QQ帐号.网络游戏帐号或者网上交易帐号被盗的情况吗？分析原因并思考以后该采取哪些措施进行有效防范？6.以你本人所使用的操作系统为例，检测该系统存在哪些安全漏洞？平时你是如何来修复操作系统漏洞和应用软件漏洞的？九. 防火墙及其应用简答题1.什么是防火墙？解释防火墙的基本功能及其局限性。 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，他是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 功能： 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点 局限: 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。2.简述防火墙技术发展的未来趋势。 (1)实用专门的芯片负责访问控制功能、设计新的防火墙的技术构架。(2)数据加密技术的实用，使合法访问更安全。(3)混合实用包过滤技术、代理服务技术和其它一些新技术。(4)目前，人们正在设计新的IP协议和IPV6。IP协议的变化将对防火墙的建立与运行产生深刻的影响。(5)分布式防火墙。(6)对数据包的全方位的检查。3.阐述包过滤防火墙.电路级网关和应用级网关防火墙的工作原理。 包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包. 当受信任网络上的用户打算连接到不受信任网络（如Internet)上的服务时，该应用被引导至防火墙中的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估，并根据一套单个网络服务的规则决定允许或拒绝该请求。4.说明屏蔽子网防火墙体系架构的特点，并比较它与双宿主主机.屏蔽主机体系结构的优劣。 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备5.了解你身边的网络（如实验室网络、校园网）采用何种防火墙体系结构，并以图例阐述它的工作方式。6.构建防火墙体系的基本步骤有哪些？并说明每一步骤中应当注意的地方。7.对于防火墙安全规则“允许除IP地址为192.168.13.1/255.255.0.0的终端之外的任何一台计算机访问IP为192.168.10.129/255.255.0.0的本机Web服务”， 分别以“黑名单”和“白名单”两种模式，基于Linux iptables命令行完成该规则的配置。十.网络隔离技术简答题1.简述路由器的概念及其工作原理。 路由器（Router）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 在控制平面上，路由协议可以有不同的类型。路由器工作原理通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包 后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路 由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。路由协议根据网 络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。2.如何合理的选择路由器功能？3.路由器的加固方法有哪些？ 加固操作系统 锁住管理点 禁止不必要的服务，如NTP,finger等 阻断因特网控制消息协议（ICMP） 禁止源路由 路由器日志查看4.为什么要进行资源隔离？资源隔离包括哪些内容？ 资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域 资源隔离有助于更好的实施安全策略 资源隔离有助于实施管理 内容： 子网隔离、主机隔离、服务隔离、用户隔离、数据隔离。5.试述资源隔离的主要依据。 资源敏感度 资源受到损害的可能性 易管理性 设计者自己的分类标准6.资源隔离的基本方法有哪些？ 同一子网内的资源隔离不同子网的资源隔离7.详细叙述资源隔离的四种技术。 路由器 防火墙 交换机 VLAN十一.网络安全技术简答题1. 试述网络安全的的特性。 保密性; 完整性; 可用性; 可控性; 可审查性2.什么是包过滤防火墙？简述它的工作原理。3.调查一款防火墙产品，通过实际应用理解其安全策略。4.简述入侵检测系统的工作原理。 入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。5.入侵检测监测系统实施的具体检测方法有哪些？ 基于网络的入侵检测系统（NIDS）基于主机的入侵检测系统（HIDS）混合型入侵检测系统（Hybrid IDS）6.简述入侵检测目前面临的挑战。 1、 层出不穷的入侵手段2、越来越多的信息采用加密的方法传输3、不断增大的网络流量4、缺乏标准5、误报率过高7.什么是VPN？如何对VPN进行分类？ 虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。包括按VPN的应用方式分类、按VPN的应用平台分类、按VPN的协议分类、按VPN的服务类型分类、按VPN的部署模式分类、十二、计算机系统安全简单题1.计算机物理安全有哪些内容？应该如何保障？物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等事故以及人为行为导致的破坏的过程。物理安全可以分成两大类：环境安全和设备安全。其中，环境安全包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等；设备安全包括设备的防盗、防电磁泄露、防电磁干扰、存储介质管理等。物理安全也必须配合一定的安全管理措施，如严格人员的管理、采用相应的监视设备等。2.试述容错系统的工作方式。静态冗余。常用的有：三模冗余TMR（TripleModulerRedundancy）和多模冗余。动态冗余。动态冗余的主要方式是多重模块待机储备，当系统检测到某工作模块出现错误时，就用一个备用的模块来顶替它并重新运行。混合冗余。它兼有静态冗余和动态冗余的长处。3.什么是磁盘阵列？简要阐述RAID系统阵列的优点。磁盘阵列是由很多价格较便宜的磁盘，组合成一个容量巨大的磁盘组，利用个别磁盘提供数据所产生加成效果提升整个磁盘系统效能。提高传输速率。RAID通过在多个磁盘上同时存储和读取数据来大幅提高存储系统的数据吞吐量（Throughput）。提供容错功能。RAID容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的安全性。在很多RAID模式中都有较为完备的相互校验/恢复的措施，甚至是直接相互的镜像备份，从而大大提高了RAID系统的容错度，提高了系统的稳定冗余性。4.试述OS的安全机制和安全策略。一般而言，安全操作系统应支持标识与鉴别、自主访问控制、强制访问控制、最小特权管理、可信通路、隐蔽通道分析处理及安全审计等多种安全机制和策略。标识、鉴别及可信通路机制用于保证只有合法用户才能以系统允许的方式存取系统中的资源。自主访问控制与强制访问控制机制访问控制是操作系统安全的核心内容和基本要求。最小特权管理机制特权是超越访问控制限制的能力，它和访问控制结合使用，提高了系统的灵活性。隐蔽通道分析处理机制所谓隐蔽通道是指允许进程间以危害系统安全策略的方式传输信息的通信信道。安全审计机制安全审计是一种事后追查的安全机制，其主要目标是检测和判定非法用户对系统的渗透或入侵，识别误操作并记录进程基于特定安全级活动的详细情况。ref:5.什么是可信计算机？可信计算、可信用计算（TrustedComputing，TC）是一项由可信计算组织（TrustedComputing Group，前称为TCPA）推动和开发的技术。这个术语来源于可信系统（Trusted systems），并且有其特定含义。从技术角度来讲，“可信的”（Trusted）未必意味着对用户而言是“值得信赖的”（Trustworthy）。确切而言，它意味着可以充分相信其行为会更全面地遵循设计，而执行设计者和软件编写者所禁止的行为的概率很低。6.UNIX操作系统的文件权限如何设置？Unix操作系统提供了两种方式，分别为相对模式与绝对模式。相对模式是在原有的权限基础上进行修改，chmod权限修改命令只修改命令行中指定的权限，而其他权限将保持不变。而绝对模式则是直接设置文件的最终权限。在绝对模式中，分别利用三个八进制数字表示三个权限。如4表示读权限、2表示写权限、1表示执行权限。如果系统工程师需要为文件设置不同的权限，只需要进行简单的加减计算即可。7.解释安全标识、系统访问令牌、安全描述符、访问控制列表和访问控制项的概念。安全标识符一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的SID。Windows中的内部进程将引用帐户的 SID 而不是帐户的用户名或组名。访问令牌Windows操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。当用用户权利指派户登陆时，系统创建一个访问令牌，然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。有两种令牌：主令牌和模拟的令牌。主令牌是与进程相关的；模拟的令牌是与模拟令牌的线程相关的。安全描述符包含和被保护对象相关联的安全信息的数据结构。安全描述符包括谁拥有对象，以何种方式访问以及何种审查访问类型等信息。访问控制列表访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。访问控制项授予用户或组权限的对象自由访问控制列表(DACL)中的一个项目。ACE 也是对象的系统访问控制列表 (SACL) 中的项目，该列表指定用户或组要审核的安全事件。访问控制项也被称为 ACE。8.详细叙述WindowsNT的安全模型。WindowsNT系统首先必须在NT中拥有一个帐号，其次，规定该帐号在系统中的权力和权限。在WindowsNT系统中，权力专指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等。权限专指用户对系统资源所能做的事情，如对某文件的读、写控制，对打印机队列的管理。NT系统中有一个安全帐号数据库，其中存放的内容有用户帐号以及该帐号所具有的权力等。用户对系统资源所具有的权限则与特定的资源一起存放。用户登录过程：在没有用户登录时，可以看到屏幕上显示一个对话框，提示用户登录在NT系统中。实际上，NT系统中有一个登录进程。当用户在开始登录时，按下Ctrl+Alt+Del键，NT系统启动登录进程，弹出登录对话框，让用户输入帐号名及口令。按下Ctrl+Alt+Del键时，NT系统保证弹出的登录对话框是系统本身的，而不是一个貌似登录对话框的应用程序，以防止被非法窃取用户名及口令。所以，在登录时，无论屏幕上是否有登录对话框，一定要按下Ctrl+Alt+Del，以确保弹出的对话框是NT系统的登录对话框，此过程就是强制性登录过程。登录进程收到用户输入的帐号和口令后，就查找安全帐户数据库中的信息。如果帐户及口令无效，则用户的登录企图被拒绝；如果帐户及口令有效，则把安全帐户数据库中有关该帐户的信息收集在一起，形成一个存取标识。存取标识中的主要内容有：用户名以及SID用户所属的组及组SID用户对系统所具有的权力然后NT就启动一个用户进程，将该存取标识与之连在一起，这个存取标识就成了用户进程在NT系统中的通行证。用户无论做什么事情，NT中负责安全的进程都会检查其存取标识，以确定其操作是否合法。用户成功地登录之后，只要用户没有注销自己，其在系统中的权力就以存取标识为准，NT安全系统在此期间不再检查安全帐户数据库。这主要是考虑到效率。存取标识的作用相当于缓存，只不过存取标识缓存的是用户安全信息，使得系统不必再从硬盘上查找。安全帐户数据库是由域用户管理器来维护的，在某个用户登录后，有可能管理员会修改其帐户以及权力等，但这些修改只有在用户下次登录时才有效，因为NT安全系统在用户登录后只检查存取标识，而不是检查安全帐户数据库。比如User1已登录到了NT系统中，管理员发现其缺少了某种权力，就用域用户管理器做了相应的修改，那么，除非User1重新登录一次，否则User1仍无法享有该权力。存取标识包含的内容并没有访问许可权限，而存取标识又是用户在系统中的通行证，那么NT如何根据存取标识控制用户对资源的访问呢？原来，给资源分配的权限作为该资源的一个属性，与资源一起存放。比如有目录为D：Files，对其指定User1只读，User2可完全控制，则这两个权限都作为D：Files目录的属性与该目录连在一起。在NT内部以访问控制列表）的形式存放。ACL中包含了每个权限的分配，以访问控制项来表示。ACE中包含了用户名以及该用户的权限。比如上面提到的这个例子中，D：Files的ACL中有两个ACE，分别是User1：只读，User2：完全控制。当User1访问该目录时，NT安全系统检查用户的存取标识，与目录的ACL对照，发现用户存取标识中的用户名与ACL中有对应关系且所要求的权限合法，则访问获得允许，否则，访问被拒绝。9.WindowsNT操作系统的访问控制机制包括哪些内容？用户权利、共享权利、许可权限、审核、事务、所有权查看日志、管理磁盘上的数据加密、管理安全模板、安全配置和分析10.试述计算机病毒的发展阶段。第一代病毒 第一代病毒的产生年限可以认为在1986-1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽和滋生时期。第二代病毒 第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989-1991年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。第三代病毒 第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒， 是最近几年来出现的新型的计算机病毒。第四代病毒 90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制， 首先通过广域网传播至局域网内，再在局域网内传播扩散。11.计算机病毒有哪些主要特点？（a）自我复制的能力。它可以隐藏在合法程序内部，随着人们的操作不断地进行自我复制。（b）它具有潜在的破坏力。系统被病毒感染后，病毒一般不即时发作，而是潜藏在系统中，等条件成熟后，便会发作，给系统带来严重的破坏。（c）它只能由人为编制而成。计算机病毒不可能随机自然产生，也不可能由编程失误造成。（d）它只能破坏系统程序，不可能损坏硬件设备。（e）它具有可传染性，并借助非法拷贝进行这种传染。12.计算机病毒的主要传播途径有哪些？第一种途径：通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。第二种途径：通过移动存储设备来传播这些设备包括软盘、磁带等。第三种途径：通过计算机网络进行传播。第四种途径：通过点对点通信系统和无线通道传播。13.目前预防病毒工具中采用的技术主要有哪些？磁盘引导去保护读写控制技术文件监控技术1.将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒，如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是：对变种或未知病毒无效；系统开销大，常驻内存，每次扫描都要花费一定时间，已知病毒越多，扫描时间越长。2.检测一些病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在病毒行为。其缺点是：无法准确识别正常程序与病毒程序的行为，常常报警，而频频误报警的结果是使用户失去对病毒的戒心。3.监测写盘操作，对引导区BR或主引导区MBR的写操作报警。若有一个程序对可执行文件进行写操作，就认为该程序可能是病毒，阻击其写操作，并报警。其缺点是：一些正常程序与病毒程序同样有写操作，因而被误报警。4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。其缺点是：易于早发现病毒，对已知和未知病毒都有防止和抑制能力。5.智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与病毒程序行为，是否误报警取决于知识库选取的合理性。其缺点是：单一的知识库无法覆盖所有的病毒行为，如对不驻留内存的新病毒，就会漏报。6.智能监察型：设计病毒特征库（静态），病毒行为知识库（动态），受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机。通过调整推理机，能够对付新类型病毒，误报和漏报较少。这是未来预防病毒技术发展的方向。14.目前广泛使用的计算机病毒检测技术有哪些？1 计算机病毒入侵检测技术.计算机病毒检测技术作为计算机病毒检测的方法技术之一，它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术.它以探测与控制为技术本质，起着主动防御的作用，是计算机网络安全中较重要的内容.2 智能引擎技术.智能引擎技术发展了特征代码扫描法的优点，同时也对其弊端进行了改进，对病毒的变形变种有着非常准确的智能识别功能，而且病毒扫描速度并不会随着病毒库的增大而减慢.3 嵌入式杀毒技术.嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术，它利用操作系统或者应用程序提供的内部接口来实现.它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护.4 未知病毒查杀技术.未知病毒查杀技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀.15.如果你是某企业网络管理员，请你为某企业网络信息系统设计一个防毒方案。1，部署域管理，这个部门全部给与最低用户权限，反正平时就是打打WORDEXCEL还有开一下公司OA网页、163邮局2，部署某个比较适用于集