网络安全题库 - 简答题

11个月前 ⋅ 0

简答题:

一、

  1. 简述FTP协议存在的安全问题及防范措施。⑴ FTP协议的安全问题:FTP协议的port命令主动模式有FTP服务器向客户端主动发起连接请求,防火墙无法正确判断处理,并且port命令还可能引起FTP反弹攻击;访问FTP服务的账户和口令采用明文方式传递,容易被窃取;FTP服务的守护进程使用特权用户模式运行,容易被窃取。⑵ 防范的措施: 设置FTP服务工作在被动模式;在防火墙中设置禁止所有进入的TCP连接; 私用密文来传输用户名和口令。

  2. 简述PKI中证书机构和注册机构的作用。⑴ 证书机构: CA也称数字证书认证中心,作为具有权威性、公正性的第三方可信任机构,是PKI体系的核心构件,负责发放和管理数字证书。⑵ 注册机构:RA也称注册中心,是数字证书注册审批机构,是认证中心的延伸,与CA在逻辑上是一个整体,执行不同的功能。

  3. 简述无线网络面临的常见的安全威胁。 无线网络面临的安全威胁包括:窃听、通信阻断、数据的注入和篡改、中间人攻击、客户端伪装、接入点伪装、匿名攻击、客户端对客户端的攻击、隐匿无线信道、服务区标识符的安全问题、漫游造成的问题

  4. 简述端到端加密的过程。⑴ 是对一对用户之间的数据连续地提供保护,它要求各用户(而不是各对节点)采用相同的密码算法和密钥,对于传输通路上的各种见节点,数据是保密的。⑵ 端到端加密允许数据从源点到终点的传输过程中始终以密文方式存在,不易造成消息的泄漏。⑶但与节点加密一样,报头则以明文形式传递,容易受到业务流量分析攻击。

  5. 简述黑客和骇客的区别。⑴ 黑客是具有高超计算机技术能力的,并且可以自己编写各种软件的人,他们的目标只是分析查找软件的漏洞,炫耀自己技术能力,并不以获取利益和危害计算机或网络为目的,黑客严格来说不是一个贬义词。⑵ 骇客:是以获取利益为目的,攻击计算机或网络并对计算机或网络造成危害,并具有一定的计算机及网络技术的攻击者,骇客大多数使用现成的工具软件攻击计算机网络,是贬义词。

  6. 简述DNS协议存在的安全问题和防范措施。⑴ DNS域名系统是一个分布式数据库系统,用来实现域名到IP地址之间的相互映射,使用TCP或UDP协议的53号端口; ⑵DNS协议的安全问题:DNS服务的备份服务器可使用“区转移”来获得域名空间中所属信息的完整备份,黑客也可以使用这种方式快速获得攻击目标列表,使用正、反向解析假冒主机或混淆域名和IP地址的对应关系。防范措施:限制备份服务器的“区转移”功能的使用;使用DNSsec,对DNS记录进行数字签名,消除欺骗性DNS记录的可能性。

  7. 简述对称加密如何具有认证功能。对称加密是指通行的双方使用的相同的密钥进行加密和解密; A和B使用共享密钥加密和解密数据,B接收的密文只能使用与A共享的密钥才能解密,密钥只有A和B共享,则发送密文的一定是A,因此,对称加密既具有保密性,又具有认证功能。

  8. 简述GSM技术存在的安全缺陷。⑴GSM标准仅考虑了移动设备与基站之间的安全问题,而基站与基站之间没有设置任何加密措施,信息的传输采用明文的方式;⑵ 单个用户认证密码的长度不够长,抗攻击能力不强;⑶ 单向身份认证,网络认证用户,但用户不认证网络,无法防止伪造基站和归属位置数据库(HLR)的攻击; ⑷缺乏数据完整性认证; ⑸ 蜂窝小区之间漫游时存在跨区切换,在此期间可能泄露用户的秘密信息;⑹ 用户无法选择安全级别;

  9. 简述常见的入侵检测技术。基于概率统计的检测;基于神经网络的检测;基于专家系统的检测;基于模型推理的检测;基于免疫的检测。

  10. 简述IPSec协议提供的两种模式。⑴ 采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证,此时封装数据包继续使用原来的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到原IP头部和传输层头部之间。⑵ 采用隧道模式时,IPSec对整个IP数据包进行加密或认证,此时需要产生一个新的IP头,IPSec头被放在新产生的IP头和原IP数据包之间,从而组成一个新的IP头。

  11. 简述Telnet协议存在的安全问题及防范措施。⑴ Telnet协议可以使用户在本地终端远程访问服务器,远程服务器执行本地虚拟终端输入的命令,并将执行的结果返回给用户。⑵ Telnet协议使用TCP协议的23 号端口⑶ Telnet存在的安全问题:使用明码传输信息,容易被窃听捕获重要信息;Telnet会话容易被劫持。⑷ 防范措施:使用SSH协议代替传统的Telnet协议用于远程登录。

  12. 简述数字签名与消息认证的区别。⑴ 消息认证着重于接收方能验证消息发送者及所发消息是否被篡改过,只要保证信息没有被第三方篡改就可以的,当接收者和发送者之间没有利害冲突时,这对防止第三者的破坏来说是足够了。⑵ 数字签名着重于确认发送的信息是否是发送者签发的,当接收者和发送者之间有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,就必须借满足前述要求的数字签名技术了。

  13. 简述仲裁协议和裁决协议的功能。 ⑴ 仲裁协议:在执行协议过程中,其它各方均信赖第三方公正的仲裁者,仲裁者能够帮助连个互不信赖的实体完成协议。⑵ 裁决协议:由于在协议中引入仲裁人会增加系统的造价,因此在实际应用中引入另外一种起到仲裁作用的协议,称为裁决协议。

  14. 简述WEP对客户端的认证方式。WEP对客户端的认证方式包括:⑴开放系统认证: 是IEEE802.11协议默认采用的认证方式,对请求认证的任何人提供认证,整个认证过程的使用明文传输,即使客户端不能提供正确的WEP密钥,也能与接入点建立联系。⑵共享密钥认证:采用标准的陶展/响应机制,以共享密钥来对客户端进行认证,该认证方式允许移动客户端使用一个共享密钥来加密数据,没有此共享密钥的用户将被拒绝访问。

  15. 简述TCP协议的特点。⑴ TCP协议时面向连接的可靠的传输协议;⑵ TCP协议在传输数据前首先需要使用3次握手的方式创建连接; ⑶ 在传输过程中使用检错、流量控制和阻塞控制等技术,保证数据传输的可靠性和稳定性;⑷ 在传输结束后使用4次挥手撤除连接

  16. 简述ARP攻击的原理。⑴ ARP协议用于在同一网段直接通信时获取对方IP地址对应的MAC地址,封装数据帧; ⑵攻击者假冒正常通信双方IP地址对应的MAC地址,使得通信双方封装数据帧都使用攻击者的MAC,攻击者扮演第三方中间人的角色,导致通信双方都与攻击者通信,从而达到攻击的目的;或者攻击者扰乱IP地址与MAC的对应关系,造成局域网中的用户不能正常通信。⑶ARP攻击仅仅在内网中进行,无法对外网进行攻击;

  17. 简述密码协议各类的功能。⑴ 密钥建立协议:通信双方建立共享秘密。⑵认证协议:一个实体向与其通信的另外一个实体提供身份的可信性。⑶认证密钥建立协议:与另一身份已被或可被证实的实体之间建立共享秘密。

  18. 简述常用的数字签名技术及特点。 ⑴ RSA签名体制,采用RSA公钥算法建立的签名体制,其安全性依赖于一个大数分解的困难性。它是一种确定性消息签名,同一消息的签名相同。⑵EIGamal签名体制,采用EIGamal公钥算法的签名体制,其安全性依赖于求离散对数的困难性。它是一种非确定性的双钥体制,对同一明文消息,由于随机参数选择不同而有不同的签名。⑶中国商用数字签名算法SM2,使用SM2公钥算法的签名体制,是一种椭圆曲线数字签名算法。

  19. 简述SM4 密码。⑴ SM4密码是我国第一次公布的自己的商用密码算法,广泛应用于无线局域网产品中; ⑵ SM4是分组长度和密钥长度均为128bit的32轮迭代分组密码算法,它以字节和字为单位对数据进行处理;⑶ 加密和解密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。

  20. 简述挑战/响应机制认证的过程。⑴ 用户在客户端发起的认证请求发送给服务器,服务器返回客户端一个挑战值; ⑵ 用户得到此挑战值,输入给一次性口令产生设备(令牌),得到一个一次性口令返回给用户; ⑶ 用户在客户端将一次性口令传送到服务器端,服务器得到该一次性口令后,与服务器端的计算结构进行匹配比较,返回认证结果

  21. 网络安全模型的组成部分及各自的功能?⑴网络安全模型的组成部分由:消息的发送方、消息的接收方、安全变换、信息通道、可信的第三方、攻击者6个功能实体组成; ⑵信息的发送方也就是信源;信息的接收方就是信宿;信息通道就是信息传输的通道;安全变换是为了保证信息传输的安全进行的加密和解密等运算;攻击者是试图对网络信息攻击的实施者。

  22. 画出密码体制的示意图,并列出密码体制的语法定义的要素。⑴ 密码体制示意图⑵ 语法定义的要素包括: 明文消息空间M、密文消息空间C、加密密钥空间K、有效的加密算法E、有效的解密算法D

  23. 简述节点加密的过程。⑴ 节点加密是对网络中相邻节点之间传输的数据进行加密,链路上传输采用密文方式,在节点也存在解密和加密过程;⑵ 但与链路加密不同的是,在节点上不存在明文,加密和解密在一个安全模块中进行,对用户是透明的,用户感觉不到它的存在,⑶ 节点加密要求报头和路由信息是明文形式传输,容易受业务流量分析攻击。

  24. 入侵检测系统的主要功能?⑴ 网络流量的跟踪与分析功能;已知攻击特征的识别功能; ⑵ 异常行为的分析、统计与响应功能; 特征库的在线和离线升级功能; 数据文件完整性检查功能; ⑶ 自定义的响应功能;系统漏洞的预报警功能; IDS探测器集中管理功能。

  25. TLS VPN的优点?⑴无需安装客户端软件;适用于大多数设备;适用于大多是操作系统;⑵支持网络驱动器访问; 不需要对远程设备或网络作任何改变;较强的资源控制能力; ⑶费用低且具有良好的安全性;可以绕过防火墙和代理服务器进行访问;

    二、

  26. 简述SMTP协议。⑴ SMTP是邮件发送使用的简单邮件传输协议,使用TCP协议的25号端口;⑵ SMTP可以成为拒绝服务攻击的发源地,攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器;⑶ SMTP的“开放中继功能”允许在任何人之间进行邮件传递,本邮箱就可能成为垃圾邮件的中转站,也可能成为攻击者的中转站;⑷ 可以使用STMP认证和加密SMTP会话方法避免“开放中继功能”的存在。

  27. 简述DES加密算法。⑴对输入分组进行固定的“初始置换”IP ,将各长为32bit的左、右半分组进行固定的置换;⑵ 进行16轮的迭代运算,运算的方法是将上一轮的右半分组交换到左半分组,再将上一轮的左半分组与56bit密钥的48bit进行S盒函数运算,将结果作为右半分组;⑶ 将16轮迭代后得到的结果输入到IP的逆置换来消除初始置换的影响,最后输出DES加密的结果。

  28. 简述CA数字证书签名过程。 ⑴ 在向用户签发数字证书之前,CA首先要对证书的所有字段计算一个消息摘要(使用SHA-1或MD5等杂凑算法);⑵ 而后用CA私钥加密消息摘要(如采用RSA算法),构成CA数字签名;⑶ CA将计算出的数字签名作为数字证书的最后一个字段插入,类似于护照上的印章与签名,该过程由密码运算程序自动完成。

  29. 简述网络异常检测诸方法。⑴ 统计异常检测方法;⑵ 特征选择异常检测方法;⑶ 基于贝叶斯推理异常检测方法;⑷ 基于贝叶斯网络异常检测方法;⑸ 基于模式预测异常检测方法

  30. 简述分组交换原理。⑴在发送端先把较长的报文划分成较短的、固定长度的数据段,并在每一个数据段前添加上含有地址等控制信息首部构成分组;⑵分组交换网中路由器根据接收分组的首部中地址信息,把分组转发到下一个路由器,用这样的存储转发方式,分组被送到最终目的地;⑶接收端收到分组后剥去首部,再把收到的数据恢复成原来的报文。

  31. 简述子网掩码的组成及作用。子网掩码由一串“1”和一串“0”组成的32bit二进制数,“1”的部分对应于网络位部分,“0”的部分对应于主机位部分,用于与IP地址相与,获取IP地址中的网络号部分,用于判断通信的双方是否在同一网段,若在同一网段,则直接通信;若不在同一网段,则将数据包传递给网关

  32. 简述HTTP协议存在的安全问题及防范措施。HTTP协议用于WEB服务的访问,使用TCP协议的80端口HTTP协议使用明文进行传输,不提供任何方式的数据加密攻击者可以使用网络嗅探工具获取网络传输的重要信息攻击者可以轻易篡改传输数据,发动中间人攻击使用HTTPS协议,在HTTP协议和TCP协议之间增加了安全套接层SSL及传输层安全协议TLS

  33. 简述数字签名应满足的条件。 ⑴接收方能够确认或证实发送发的签名,但不能伪造;⑵发送方发送签名过的消息给接收方后,不能再否认所签发的消息;⑶接收方对已经收到的签名消息不能否认;⑷第三方可以确认收发双方之间的消息传递,但不能伪造这一过程。

  34. 简述链路加密的过程。⑴是对网络中两个相邻节点之间传输的数据进行加密保护;⑵链路加密所有的信息在传输之前需要加密,每个节点首先对上一链路中接收到的消息进行解密,然后再使用下一链路的密钥对消息进行加密,并进行传输;⑶在链路传输过程中数据是密文状态,是安全的,但在节点上需要解密后再加密,会出现明文状态,必须保证节点的安全性,否则会造成信息的泄漏。

  35. 简述第2层隧道协议的优缺点,常见的第2层隧道协议有哪些?⑴优点:简单易行⑵缺点:可扩展性不好;没有提供安全机制,无法满足通信保密性要求;不支持构建企业外域网⑶常见的2层隧道协议有PPTP、L2F、L2TP;

  36. 简述DNS协议存在的安全问题和防范措施。⑴ DNS域名系统是一个分布式数据库系统,用来实现域名到IP地址之间的相互映射,使用TCP或UDP协议的53号端口;⑵DNS协议的安全问题:DNS服务的备份服务器可使用“区转移”来获得域名空间中所属信息的完整备份,黑客也可以使用这种方式快速获得攻击目标列表,使用正、反向解析假冒主机或混淆域名和IP地址的对应关系。防范措施:限制备份服务器的“区转移”功能的使用;使用DNSsec,对DNS记录进行数字签名,消除欺骗性DNS记录的可能性。

  37. 简述对称加密如何具有认证功能。⑴对称加密是指通行的双方使用的相同的密钥进行加密和解密;A和B使用共享密钥加密和解密数据,B接收的密文只能使用与A共享的密钥才能解密,密钥只有A和B共享,则发送密文的一定是A,因此,对称加密既具有保密性,又具有认证功能。

  38. 简述GSM技术存在的安全缺陷。 ⑴GSM标准仅考虑了移动设备与基站之间的安全问题,而基站与基站之间没有设置任何加密措施,信息的传输采用明文的方式;⑵ 单个用户认证密码的长度不够长,抗攻击能力不强;⑶ 单向身份认证,网络认证用户,但用户不认证网络,无法防止伪造基站和归属位置数据库(HLR)的攻击;⑷缺乏数据完整性认证;⑸ 蜂窝小区之间漫游时存在跨区切换,在此期间可能泄露用户的秘密信息;⑹ 用户无法选择安全级别;

  39. 简述常见的入侵检测技术。基于概率统计的检测;基于神经网络的检测;基于专家系统的检测;基于模型推理的检测;基于免疫的检测。

  40. 简述IPSec协议提供的两种模式。⑴ 采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证,此时封装数据包继续使用原来的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到原IP头部和传输层头部之间。⑵ 采用隧道模式时,IPSec对整个IP数据包进行加密或认证,此时需要产生一个新的IP头,IPSec头被放在新产生的IP头和原IP数据包之间,从而组成一个新的IP头。

  41. 简述网络安全模型的组成部分及各自的功能。⑴网络安全模型的组成部分由:消息的发送方、消息的接收方、安全变换、信息通道、可信的第三方、攻击者6个功能实体组成;⑵信息的发送方也就是信源;信息的接收方就是信宿;信息通道就是信息传输的通道;安全变换是为了保证信息传输的安全进行的加密和解密等运算;攻击者是试图对网络信息攻击的实施者。

  42. 画出密码体制的示意图,并列出密码体制的语法定义的要素。⑴ 密码体制示意图⑵ 语法定义的要素包括: 明文消息空间M、密文消息空间C、加密密钥空间K、有效的加密算法E、有效的解密算法D

  43. 简述节点加密的过程。 ⑴ 节点加密是对网络中相邻节点之间传输的数据进行加密,链路上传输采用密文方式,在节点也存在解密和加密过程;⑵ 但与链路加密不同的是,在节点上不存在明文,加密和解密在一个安全模块中进行,对用户是透明的,用户感觉不到它的存在,;⑶ 节点加密要求报头和路由信息是明文形式传输,容易受业务流量分析攻击。

  44. 简述入侵检测系统的主要功能。⑴ 网络流量的跟踪与分析功能;已知攻击特征的识别功能;⑵ 异常行为的分析、统计与响应功能; 特征库的在线和离线升级功能;数据文件完整性检查功能;⑶ 自定义的响应功能;系统漏洞的预报警功能;IDS探测器集中管理功能。

  45. 简述TLS VPN的优点。⑴无需安装客户端软件;适用于大多数设备;适用于大多是操作系统;⑵支持网络驱动器访问; 不需要对远程设备或网络作任何改变;较强的资源控制能力;⑶费用低且具有良好的安全性;可以绕过防火墙和代理服务器进行访问;

  46. 简述安全服务有关信息安全包括诸方面。⑴安全服务包含信息安全的方面为:认证、访问控制、数据保密性、数据完整性、不可否认性、可用性服务。⑵认证用于保证通信的真实性;访问控制对网络、主机及相关服务访问的限制和控制;数据保密性保证传输信息不被泄露;⑶数据完整性保证传输的数据没有被修改;不可否认性保证不能否认操作者对数据所做的操作;可用性服务保证提供正常的服务。

  47. 简述DHCP服务存在的安全问题及防范措施素。、⑴DHCP是动态主机配置协议,用于在网络中动态分配IP地址,使用UDP协议的 57和68号端口。⑵DHCP协议的安全问题:DHCP服务器通常没有对查询消息进行认证,容易受到中间人攻击和拒绝服务攻击; 容易受到ARP欺骗攻击;假冒的DHCP服务器干扰正常DHCP服务器的工作。⑶防范的措施:确保未经授权的人员没有对网络进行物理访问和无线访问的权限;未经授权的DHCP不可以为主机动态分配IP地址。

  48. 简述消息认证码MAC是如何发挥认证功能的。 ⑴消息认证码又称MAC,它是一种认证技术,利用密钥来生成一个固定长度的短数据块,并将该数据块附加在消息之后,它是消息和密钥的函数。⑵消息和MAC被一起发送给接收方,接收方对接收到的消息用相同的密钥进行相同的计算,得到新的MAC,并与接收到的MAC进行比较,⑶因为只有收发双方知道密钥,如果计算得到的MAC与接收的MAC相等,则可以确认接收方收到的消息未被篡改,否则可以判定为已经被篡改;

  49. 简述针对Ad Hoc网络的入侵检测诸方法。⑴基于代理的分布式协作入侵检测方案;⑵动态协作的入侵检测方案;⑶基于时间自动机的入侵检测算法;⑷基于区域划分的入侵检测方案;⑸基于人工免疫的入侵检测方案;

  50. 简述TLS VPN的缺点。⑴ 认证方式单一,只能采用单向的证书认证方式;适用局限在数据库-应用服务器-web服务器-浏览器模式;只对通信双方所适用的应用通道进行加密,并不对整个通道加密;⑵ 不能对应用层的消息进行数字签名;不可以用于LAN –to –LAN的链接;加密级别没有IPSec VPN高;⑶ 能保护HTTP协议创建的TCP通道安全,但不能保证UDP通道的安全;是应用层加密,性能比较差; 只能进行认证和加密,不能实施访问控制;必须要CA的支持。

  51. 简述基于角色的访问控制机制是具有以下特点和优点。基于角色的访问控制机制是具有以下特点和优点:(1)RABC将若干特定的用户集合和访问权限联结在一起,即与某种业务分工相关的授权联结在一起,这样的授权管理相对于针对个体的授权来说,可操作性和可管理性都要强得多。(2)在许多存取控制型的系统中,是以用户组作为存取控制的单位的。(3)与基于安全级别和类别纵向划分的安全控制机制相比,RABC显示了较多的机动灵活的优点。

  52. 简述OSI安全体系结构描述的6大类安全服务。OSI安全体系结构描述的6大类安全服务是:(1) 访问控制服务。(2) 数据保密服务。(3) 数据完整性服务。(4) 不可否认服务,又称抗抵赖服务。(5) 对等实体鉴别服务和数据源点鉴别服务。

  53. 简述VPN服务分类。VPN服务包括拨号VPN、内部网VPN和外联网VPN。(1) 拨号VPN。它是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑上虚拟网。(2) 内部网VPN。即进行企业内部各分支机构的互联。内部网VPN通常使用IPSec协议来实现。(3) 外联网VPN。是指企业同客户、合作伙伴的互联。

  54. 简述代理服务的缺点。代理服务也有一些缺点,主要表现在以下5个方面。(1)代理服务落后于非代理服务。(2)每个代理服务要求不同的服务器。(3)代理服务一般要求对客户或程序进行修改。(4)代理服务对某些服务来说是不合适的。(5)代理服务不能保护用户不受协议本身缺点的限制。

  55. 简述TLS VPN的优点。制定包过滤规则时应注意以下事项:(1)联机编辑过滤规则。(2)要用IP地址值,而不用主机名。这样可以防止有人有意或无意地破坏名字,这是使用地址翻译器后带来的麻烦。(3)规则文件生成后,先要将老的规则文件消除,然后再将新的规则文件装入,这样就可以避免出现新的规则集与老规则集产生冲突。