網絡安全面試復習題(附答案).doc

.1、什么是入侵檢測系統(tǒng)？答：入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。 IDS最早出現(xiàn)在1980年4月。 1980年代中期，IDS逐漸發(fā)展成為入侵檢測專家系統(tǒng)（IDES）。2、請說明DES算法的基本過程？答：DES加密算法特點：分組比較短、密鑰太短、密碼生命周期短、運算速度較慢。DES工作的基本原理是，其入口參數(shù)有三個:key、data、mode。 key為加密解密使用的密鑰，data為加密解密的數(shù)據，mode為其工作模式。當模式為加密模式時，明文按照64位進行分組，形成明文組，key用于對數(shù)據加密，當模式為解密模式時，key用于對數(shù)據解密。實際運用中，密鑰只用到了64位中的56位，這樣才具有高的安全性。3、信息安全有哪些常見的威脅？信息安全的實現(xiàn)有哪些主要技術措施？答：常見威脅有非授權訪問、信息泄露、破壞數(shù)據完整性，拒絕服務攻擊，惡意代碼。信息安全的實現(xiàn)可以通過物理安全技術，系統(tǒng)安全技術，網絡安全技術，應用安全技術，數(shù)據加密技術，認證授權技術，訪問控制技術，審計跟蹤技術，防病毒技術，災難恢復和備份技術。4、什么是密碼分析，其攻擊類型有哪些？DES算法中S盒的作用是什么？答：密碼分析是指研究在不知道密鑰的情況下來恢復明文的科學。攻擊類型有只有密文的攻擊，已知明文的攻擊，選擇明文的攻擊，適應性選擇明文攻擊，選擇密文的攻擊，選擇密鑰的攻擊，橡皮管密碼攻擊。S盒是DES算法的核心。其功能是把6bit數(shù)據變?yōu)?bit數(shù)據。5、什么事通信網絡安全？涉及哪些方面？答：通信網絡安全保護網絡系統(tǒng)的硬件、軟件、數(shù)據及通信過程，不應偶然或惡意原因遭到破壞、更改和泄漏，保證系統(tǒng)連續(xù)可靠正常地運行，保證網絡服務不中斷。涉及通信網絡上信息的機密性、完整性、可用性、真實性、可控性，要求具有抵御各種安全威脅能力。6、密碼體制分類答：（1）對稱加密算法：加密密鑰和解密密鑰相同或等價的，且都需要保密。DES IDEA FEAL-8 LOKI。優(yōu)點：加密算法簡單、高效、密鑰簡短，破譯極其困難。缺點：密鑰必須通過安全的途徑傳送。（2）非對稱密碼體制（公鑰、收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰）RSA。優(yōu)點：可以適應網絡的開放要求，且密鑰管理問題也較為簡單，方便地實現(xiàn)數(shù)字簽名和驗證。缺點：算法復雜，加密數(shù)據的速率較低。7、包過濾基本特點和工作原理？答：基本特點：可以讓我們在一臺機器上提供對整個網絡的保護。工作原理：包過濾是一種安全機制，它控制哪些數(shù)據包可以進出網絡，而哪些數(shù)據包應被網絡拒絕。 包過濾路由器是具有包過濾特性的一種路由器。在對包做出路由決定時，普通路由器只依據包的目的地址引導包，而包過濾路由器就必須依據路由器中的包過濾規(guī)則做出是否引導該包的決定。8、代理服務器作用？答：代理，也稱為應用級網關，是一個提供替代連接并且充當服務的網關。代理服務是運行在防火墻主機上的一些特定應用程序或者服務程序。代理服務位于內部用戶（在內部的網絡上）和外部服務（在因特網上）之間。代理在后臺處理所有用戶和因特網服務之間的通信以代替相互間的直接交談。代理服務器可使得一些不能訪問因特網的主機通過代理服務也可以完成訪問因特網的工作。9簡述主動攻擊與被動攻擊的特點，并列舉主動攻擊與被動攻擊現(xiàn)象。主動攻擊是攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統(tǒng)內部，破壞信息的真實性、完整性及系統(tǒng)服務的可用性，即通過中斷、偽造、篡改和重排信息內容造成信息破壞，使系統(tǒng)無法正常運行。被動攻擊是攻擊者非正常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。10簡述對稱密鑰密碼體制的原理和特點。對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法的逆運算，加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。11. 常規(guī)加密密鑰的分配有幾種方案，請對比一下它們的優(yōu)缺點。（1）集中式密鑰分配方案 由一個中心節(jié)點或者由一組節(jié)點組成層次結構負責密鑰的產生并分配給通信的雙方，在這種方式下，用戶不需要保存大量的會話密鑰，只需要保存同中心節(jié)點的加密密鑰，用于安全傳送由中心節(jié)點產生的即將用于與第三方通信的會話密鑰。這種方式缺點是通信量大，同時需要較好的鑒別功能以鑒別中心節(jié)點和通信方。目前這方面主流技術是密鑰分配中心KDC技術。我們假定每個通信方與密鑰分配中心KDC之間都共享一個惟一的主密鑰，并且這個惟一的主密鑰是通過其他安全的途徑傳遞。（2）分散式密鑰分配方案 使用密鑰分配中心進行密鑰的分配要求密鑰分配中心是可信任的并且應該保護它免于被破壞。如果密鑰分配中心被第三方破壞，那么所有依靠該密鑰分配中心分配會話密鑰進行通信的所有通信方將不能進行正常的安全通信。如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會話密鑰進行進信的所有通信方之間的通信信息將被第三方竊聽到12. 密鑰的產生需要注意哪些問題？算法的安全性依賴于密鑰，如果用一個弱的密鑰產生方法，那么整個系統(tǒng)都將是弱的。DES有56位的密鑰，正常情況下任何一個56位的數(shù)據串都能成為密鑰，所以共有256種可能的密鑰。在某些實現(xiàn)中，僅允許用ASCII碼的密鑰，并強制每一字節(jié)的最高位為零。有的實現(xiàn)甚至將大寫字母轉換成小寫字母。這些密鑰產生程序都使得DES的攻擊難度比正常情況下低幾千倍。因此，對于任何一種加密方法，其密鑰產生方法都不容忽視。大部分密鑰生成算法采用隨機過程或者偽隨機過程來生成密鑰。隨機過程一般采用一個隨機數(shù)發(fā)生器，它的輸出是一個不確定的值。偽隨機過程一般采用噪聲源技術，通過噪聲源的功能產生二進制的隨機序列或與之對應的隨機數(shù)。13. 請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進行：(1) 采用散列算法對原始報文進行運算，得到一個固定長度的數(shù)字串，稱為報文摘要(Message Digest)，不同的報文所得到的報文摘要各異，但對相同的報文它的報文摘要卻是惟一的。在數(shù)學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不可更改性。(2) 發(fā)送方用目己的私有密鑰對摘要進行加密來形成數(shù)字簽名。(3) 這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。(4) 接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數(shù)字簽名進行解密，比較兩個報文摘要，如果值相同，接收方就能確認該數(shù)字簽名是發(fā)送方的，否則就認為收到的報文是偽造的或者中途被篡改。14、解釋身份認證的基本概念。身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網絡資源，它是其他安全機制的基礎。 身份認證是安全系統(tǒng)中的第一道關卡，識別身份后，由訪問監(jiān)視器根據用戶的身份和授權數(shù)據庫決定是否能夠訪問某個資源。一旦身份認證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設，黑客攻擊的目標往往就是身份認證系統(tǒng)。15. 使用口令進行身份認證的優(yōu)缺點？優(yōu)點在于黑客即使得到了口令文件，通過散列值想要計算出原始口令在計算上也是不可能的，這就相對增加了安全性。缺點：嚴重的安全問題（單因素的認證），安全性僅依賴于口令，而且用戶往往選擇容易記憶、容易被猜測的口令（安全系統(tǒng)最薄弱的突破口），口令文件也可被進行離線的字典式攻擊。16. 利用智能卡進行的雙因素的認證方式的原理是什么？智能卡具有硬件加密功能，有較高的安全性。每個用戶持有一張智能卡，智能卡存儲用戶個性化的秘密信息，同時在驗證服務器中也存放該秘密信息。進行認證時，用戶輸入PIN（個人身份識別碼），智能卡認證PIN，成功后，即可讀出智能卡中的秘密信息，進而利用該秘密信息與主機之間進行認證。 雙因素的認證方式（PIN+智能卡），即使PIN或智能卡被竊取，用戶仍不會被冒充。智能卡提供硬件保護措施和加密算法，可以利用這些功能加強安全性能。17. 有哪些生物特征可以作為身份認證的依據，這種認證的過程是怎樣的？以人體唯一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據，采用計算機強大的計算功能和網絡技術進行圖象處理和模式識別。該技術具有很好的安全性、可靠性和有效性。 所有的工作有4個步驟：抓圖、抽取特征、比較和匹配。生物捕捉系統(tǒng)捕捉到生物特征的樣品，唯一的特征將會被提取并且被轉化成數(shù)字符號，這些符號被存成那個人的特征摸板，人們同識別系統(tǒng)交互進行身份認證，以確定匹配或不匹配授權與訪問控制18. 電子郵件存在哪些安全性問題？1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網絡負荷，影響網絡傳輸速度，占用郵件服務器的空間。2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜，發(fā)信人能迅速讓大量受害者上當。3）郵件炸彈指在短時間內向同一信箱發(fā)送大量電子郵件的行為，信箱不能承受時就會崩潰。4）通過電子郵件傳播的病毒通常用VBScript編寫，且大多數(shù)采用附件的形式夾帶在電子郵件中。當收信人打開附件后，病毒會查詢他的通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。19. 什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設備組合而成，通常處于企業(yè)的內部局域網與Internet之間，限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問Internet的權限。換言之，一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。如果沒有防火墻，則整個內部網絡的安全性完全依賴于每個主機，因此，所有的主機都必須達到一致的高度安全水平，這在實際操作時非常困難。而防火墻被設計為只運行專用的訪問控制軟件的設備，沒有其他的服務，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會使內部網絡更加安全。防火墻所遵循的原則是在保證網絡暢通的情況下，盡可能保證內部網絡的安全。它是一種被動的技術，是一種靜態(tài)安全部件。20. 防火墻應滿足的基本條件是什么？作為網絡間實施網間訪問控制的一組組件的集合，防火墻應滿足的基本條件如下：(1) 內部網絡和外部網絡之間的所有數(shù)據流必須經過防火墻。(2) 只有符合安全策略的數(shù)據流才能通過防火墻。(3) 防火墻自身具有高可靠性，應對滲透(Penetration)免疫，即它本身是不可被侵入的。21. 列舉防火墻的幾個基本功能？(1) 隔離不同的網絡，限制安全問題的擴散，對安全集中管理，簡化了安全管理的復雜程度。(2) 防火墻可以方便地記錄網絡上的各種非法活動，監(jiān)視網絡的安全性，遇到緊急情況報警。(3) 防火墻可以作為部署NAT的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來，用來緩解地址空間短缺的問題或者隱藏內部網絡的結構。(4) 防火墻是審計和記錄Internet使用費用的一個最佳地點。(5) 防火墻也可以作為IPSec的平臺。(6) 內容控制功能。根據數(shù)據內容進行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內部用戶訪問外部服務的圖片信息。只有代理服務器和先進的過濾才能實現(xiàn)。22、防火墻有哪些局限性？(1) 網絡上有些攻擊可以繞過防火墻（如撥號）。(2) 防火墻不能防范來自內部網絡的攻擊。(3) 防火墻不能對被病毒感染的程序和文件的傳輸提供保護。(4) 防火墻不能防范全新的網絡威脅。(5) 當使用端到端的加密時，防火墻的作用會受到很大的限制。(6) 防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點失效等問題。(7) 防火墻不能防止數(shù)據驅動式攻擊。有些表面無害的數(shù)據通過電子郵件或其他方式發(fā)送到主機上，一旦被執(zhí)行就形成攻擊（附件）。23、包過濾防火墻的過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網絡層防火墻，因為它是工作在網絡層。路由器便是一個網絡層防火墻，因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據包通過，有靜態(tài)和動態(tài)兩種過濾方式。 這種防火墻可以提供內部信息以說明所通過的連接狀態(tài)和一些數(shù)據流的內容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則（丟棄該包）。在制定數(shù)據包過濾規(guī)則時，一定要注意數(shù)據包是雙向的。24、靜態(tài)包過濾和動態(tài)包過濾有什么不同？ 靜態(tài)包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如FTP，防火墻事先無法知道哪些端口需要打開，就需要將所有可能用到的端口打開，會給安全帶來不必要的隱患。 而狀態(tài)檢測通過檢查應用程序信息(如FTP的PORT和PASV命令)，來判斷此端口是否需要臨時打開，而當傳輸結束時，端口又馬上恢復為關閉狀態(tài)。25. 解釋VPN的基本概念。VPN是Virtual Private Network的縮寫，是將物理分布在不同地點的網絡通過公用骨干網，尤其是Internet連接而成的邏輯上的虛擬子網。 Virtual是針對傳統(tǒng)的企業(yè)“專用網絡”而言的。VPN則是利用公共網絡資源和設備建立一個邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網絡同樣的功能。 Private表示VPN是被特定企業(yè)或用戶私有的，公共網絡上只有經過授權的用戶才可以使用。在該通道內傳輸?shù)臄?shù)據經過了加密和認證，保證了傳輸內容的完整性和機密性。26. 什么是IDS，它有哪些基本功能？入侵檢測系統(tǒng)IDS，它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補漏洞；3）評估系統(tǒng)關鍵資源和數(shù)據文件的完整性；4）識別已知的攻擊行為，統(tǒng)計分析異常行為；5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。27什么是網絡蠕蟲？它的傳播途徑是什么？網絡蠕蟲是一種可以通過網絡（永久連接網絡或撥號網絡）進行自身復制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計算機病毒或細菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進行任何次數(shù)的破壞或毀滅行動。普通計算機病毒需要在計算機的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會在內存中維持一個活動副本。蠕蟲是一個獨立運行的程序，自身不改變其他的程序，但可以攜帶一個改變其他程序功能的病毒。28.試述RAID 0、RAID 1、RAID 3、RAID 5方案。（1）RAID0：無冗余、無校驗的磁盤陣列。RAID0至少使用兩個磁盤驅動器，并將數(shù)據分成從512字節(jié)到數(shù)兆節(jié)的若干塊（數(shù)據條帶），這些數(shù)據塊被交替寫到磁盤中。RAID0不適用于對可靠性要求高的關鍵任務環(huán)境，但卻非常適合于對性能要求較高的視頻或圖像編輯。（2）RAID1：鏡像磁盤陣列。每一個磁盤驅動器都有一個鏡像磁盤驅動器，鏡像磁盤驅動器隨時保持與原磁盤驅動器的內容一致。RAID1具有較高的安全性，但只有一半的磁盤空間被用來存儲數(shù)據。為了實時保護鏡像磁盤數(shù)據的一致性，RAID1磁盤控制器的負載相當大，