2022年2022年计算机网络安全教程期末考试复习资料 .pdf

《2022年2022年计算机网络安全教程期末考试复习资料 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机网络安全教程期末考试复习资料 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1.简述计算机网络安全技术？网络安全技术：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。1. 计算机网络不安全的主要原因：a互联网具有不安全性：开放性的网络，导致网络的技术是全开放的，使得网络所面临的破坏和攻击来自多方面。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户， 而且， 可以来自Internet上的任何一个机器，也就是说， 网络安全面临的是一个国际化的挑战。自由性的网络，意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。TCP/I

2、P 等协议存在安全漏洞。b操作系统存在安全问题 c 数据的安全问题: 数据库存在着许多不安全性。d传输线路安全问题 : 从安全的角度来说，没有绝对安全的通讯线路。 e 网络安全管理问题。2. 计算机网络安全的定义： 计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。 P2DR 理论给人们提出了新的安全概念，安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决。P2DR安全

3、模型也存在一个明显的弱点，就是忽略了内在的变化因素。入侵检测分析引擎历史行为特定行为模式数据提取入侵?否记录证据响应处理是安全策略当前系统/用户行为知识库其它对原理图的说明：侵入检测是用于检测任何损害或企图损害系统的保密性，完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。数 据 提 取入 侵 分 析数 据 存 储响 应 处 理 原 始 数 据 流知 识 库原理图说明：1.由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成看，入侵检测系统应包括数据提取、

4、入侵分析、响应处理、和远程管理四大部分。2.入侵检测系统的功能结构可分为两个部分：中心检测平台和代理服务器，中心检测平台和代理服务器之间通过安全的远程过程调用。1操作系统的安全需求：所谓安全的系统是指能够通过系统的安全机制控制只有系统授权的用户或代表授权用户的进程才允许读、写、删、改信息。具体来说，共有六个方面的基本需求：安全策略、标记、鉴别、责任、保证、连续保护6.2.2 操作系统安全防护的一般方法：1威胁系统资源安全的因素：威胁系统资源安全的因素除设备部件故障外，还有以下几种情况：（1）用户的误操作或不合理地使用了系统提供的命令，造成对资源的不期望的处理。（2）恶意用户设法获取非授权的资源

5、访问权。 （3）恶意破坏系统资源或系统的正常运行。（4）破坏资源的完整性与保密性。（5）用户之间的相互干扰。2操作系统隔离控制安全措施：隔离控制的方法主要有下列四种。（1）隔离。（2）时间隔离。 （3）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 逻辑隔离。（4）加密隔离。这几种隔离措施实现的复杂性是逐步递增的，而它们的安全性则是逐步递减的，前两种方法的安全性是比较高的，后两种隔离方法主要依赖操作系统的功能实现。3操作系统访问

6、控制安全措施：在操作系统中为了提高安全级别，通常采用一些比较好的访问控制措施以提高系统的整体安全性，尤其是针对多用户、多任务的网络操作系统。常用的访问控制措施有：1自主访问控制DAC ；2 强制访问控制MAC ；3 基于角色的访问控制RBAC ；4 域和类型执行的访问控制DTE 6.2.3 操作系统资源防护技术: 对操作系统的安全保护措施，其主要目标是保护操作系统中的各种资源，具体地讲，就是针对操作系统的登录控制、内存管理、文件系统这三个主要方面实施安全保护。1系统登录和用户管理的安全（1）登录控制要严格。 （2）系统的口令管理。 （3）良好的用户管理。2内存管理的安全: 常用的内存保护技术有

7、： （1）单用户内存保护问题。 （ 2）多道程序的保护。 （3）标记保护法。（4）分段与分页技术。 3 文件系统的安全 （1）分组保护。（ 2）许可权保护。 (3 ）指定保护。 除了上面三个方面的安全保护措施之外，操作系统的其它资源如各种外设、网络系统等也都需要实施比较安全的保护措施，但它们的最终安全防护可以归结为上面三个方面的操作系统资源安全保护机制。6.1 安全模型的作用：明确表达操作系统的实际安全需求，以获得高安全级别的操作系统。安全模型的几个特性：精确的、无歧义的；简易和抽象的，易于理解；一般性的，只涉及安全性质，不过度地抑制操作系统的功能或其实现；是安全策略的明显表现。安全模型类型：

8、1. 监控器模型、 2. 多级安全模型、3. 信息流模型4. 保护操作系统的安全模型，除了上面我们介绍的具体模型之外，还有另外一类模型称之为抽象模型，它们以一般的可计算性理论为基础，可以 形 式 地 表 述 一 个 安 全 系 统 能 达 到 什 么 样 的 性 能 。 这 样 的 模 型 有Graham-Denning模 型 、Harrison-Ruzzo-Ullman模型（ HRU模型）和获取- 授予系统模型。数据库安全 : 是指数据库的任何部分都没有受到侵害，或者没有受到未经授权的存取和修改。1 数据库安全的内涵: 数据库安全主要包括数据库系统安全和数据库数据安全两层含义。（1）数据库系

9、统安全: 数据库系统安全是指在系统级控制数据库的存取和使用机制，应尽可能地堵住各种潜在的漏洞，防止非法用户利用这些漏洞危害数据库系统的安全；同时保证数据库系统不因软硬件故障和灾害的影响而不能正常运行。数据库系统安全包括：硬件运行安全； 物理控制安全；操作系统安全；用户连接数据库需授权；灾害、故障恢复等。（2）数据库数据安全: 数据库数据安全是指在对象级控制数据库的存取和使用的机制，哪些用户可以存取指定的模式对象及在对象上允许有哪些操作。数据库数据安全包括：有效的用户名 / 口令鉴别； 用户访问权限控制；数据存取权限、方式控制；审计跟踪；数据加密等。6.1 数据库安全的层次分布:一般来说，数据库

10、安全涉及五个层次。物理层：必须物理地保护计算机系统所处的所有节点，以防入侵者强行闯入或暗中潜入；人员层：要谨慎用户授权，以减少授权用户接受贿赂而给入侵者提供访问机会的可能；操作系统层：操作系统安全性方面的弱点总是可能成为对数据库进行未授权访问的手段；网络层：几乎所有数据库系统都允许通过终端或网络进行远程访问，网络层安全性和物理层安全性一样重要；数据库系统层：数据库中有重要程度和敏感程度不同的各种数据，并为拥有不同授权的用户所共享，数据库系统必须遵循授权限制。7. （1）TCSEC的 4 个基本构成：安全策略模型（Security Policy Model）可追究性（ Accountabilit

11、y）保证（ Assurance ）文档（ Documentation ） 。TCSEC 根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。TCSEC 的安全级别：类别级别名称主要特征A A 验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明B B3 安全域访问控制高抗渗透能力B2 结构化保护形式化模型 /隐通道约束面向安全的体系结构较好的抗渗透能力B1 标识的安全保护强访问控制安全标识C C2 受控制的访问控制单独的可追究性广泛的审计踪迹C1 自主安全保护自主访问控制D D 低级保护相当于无安全功能的个人微机（2）ITSEC的基本构成： TSEC也定

12、义了 7 个安全级别 ：即 E6 ：形式化验证；E5：形式化分析；E4：半形式化分析；E3：数字化测试分析；E2：数字化测试；E1：功能测试； E0：不能充分满足保证。ITSEC名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 的安全功能分类为：标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。 其保证则分为：有效性（ Effectiveness）和正确性（ Correctness） 。（3）CC的基本

13、构成： CC分为三部分， 相互依存， 缺一不可。 第 1 部分是介绍CC的基本概念和基本原理，第 2 部分提出了安全功能要求，第3 部分提出了非技术的安全保证要求。CC的功能要求和保证要求均以类 - 族- 组件的结构表述。功能要求 包括 11 个功能类（安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF保护、资源利用、TOE访问、可信路径、信道）。保证要求 包括 7 个保证类（配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定）。 CC的评估等级共分 7 级：EAL1到 EAL7 ，分别为功能测试，结构测试，系统测试和检验，系统设计、测试和评审，半形

14、式化设计和测试，半形式化验证的设计和测试，形式化验证的设计和测试。典型的综合评估方法有：加权算数平均，加权几何平均，混合平均。1. 计算机网络中受到威胁的实体：各类计算机（服务器、工作站等）；网络通信设备（路由器、交换机、集线器、调制解调器、加密机等）；存放数据的媒体（磁带、磁盘、光盘等）；传输线路、供配电系统；防雷系统和抗电磁干扰系统等。2. 计算机网络面临的安全威胁有哪些? 1.主要威胁：计算机网络实体面临威胁（实体为网络中的关键设备） ；计算机网络系统面临威胁（典型安全威胁）；恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）；计算机网络威胁有潜在对手和动机（恶意攻击 /非恶意

15、）2. 典型的网络安全威胁：窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。3.分析计算机网络的脆弱性和安全缺陷:偶发因素：如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误；自然灾害：各种自然灾害对计算机系统构成严重的威胁；人为因素：人为因素对计算机网络的破坏和威胁（包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击）。4.分析计算机网络安全的内涵和外延是什么的内涵和外延是什么？计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性，完整性及可使用受到保护。网络的安全问题包括两方面的内容，一是网络的系统

16、安全；二是网络的信息安全。从广义上说，网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。2.论述 OSI 安全体系结构：OSI 安全系统结构定义了鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务；也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。3.简述 P2DR 安全模型的结构。P2DR 模型是一种常用的网络安全模型，主包含四个主要部份：Policy（安全策略）、Protection （防护）、Detection（检测）和Res

17、ponse（响应）。1. 物理安全： 是整个计算机网络系统安全的前提，是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。2.物理安全主要包含哪些方面的内容：机房环境安全、通信线路安全、设备安全和电源安全1. 计算机机房安全等级的划分标准是什么？机房的安全等级分为A 类、 B 类和 C 类三个基本类别。A类：对计算机机房的安全有严格的要求；B 类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施；C 类：对计算机机房的安全有基本的要求，有基本的计算机机房措施。3. 计算机机房安全技术主要技术措施有哪些？1.机房的

18、安全要求： 计算机机房选址应该避免靠近公共区域，避免窗户直接邻街，机房布局应该工作区在内，生活辅助区域在外，机房最好不要安排在底层或顶层；措施：保证所有进出计算机机房的人必须在管理人员的监控之下，外来人员进入机房内部、应该办理相关手续，并对随身物品进行相应的检查。2.机房的防盗要求，对重要设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明一种通过光纤电缆保护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统更是一种更为可靠防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。3.机房的三度要求（温度（18-22 度） 、温度（4

19、0%-60% 为宜）、洁净度（要求机房尘埃颗粒直径小于0.5Um） ）为使机房内的三度达到规定的要求，空调系统、 去湿机和除尘器是必不可少的设备。4.防静电措施： 装修材料避免使用挂彩、地毯等易吸尘，易产生静电的材料、应采用乙烯材料，安装防静电动板并将设备接地。5.接地与防雷要求：地线种类：保护地、 直流地、 屏蔽地、 静电池和雷地池。接地系统： 各自独立的接地系统；交、直分开的接地系统；共地接地系统；直流地、保护地共用地线系统和建筑物内共地系统。接地体：地桩、水平栅网、金属接地板和建筑基础钢筋防雷措施：使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线，机房本身有避雷设备和装置。6

20、.机房的防火、防水措施：隔离、火灾报警系统、灭火措施和管理措施。4.保障通信线路安全的主要技术措施有哪些？答： 电线加压技术；对光纤等通信路线的防窃听技术（距离大于最大限制的系统之间，不采用光纤线通名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 信） ；加强复制器的安全，如用加压措施、警报系统和加强警卫等措施。5.电磁辐射对网络通信安全的影响主要体现在哪些方面，防护措施有哪些？答：影响主要体现在：计算机系统可能会通过电磁辐射使信

21、息被截获而失密，计算机系统中数据信息在空间中扩散。防护措施：一类对传导发射的防护，主要采用对电源线和信号线加装性能良好的滤波器，减少传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又可分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有：屏蔽、滤波、隔离、接地，其中屏蔽是应用最多的方法。6.保障存储媒体安全的主要措施有哪些？存放数据的盘，应妥善保管；对硬盘上的数据，要建立有效的级别、权限，并严格管理，必要时加密，以确保数据安全；存放数据的盘，管理须落到人，并登记；对存放重要数据的盘，要备份两份并分开保管；打印有业务数据的打印纸，要视同档案进行管

22、理；凡超过数据保存期，必须经过特殊的数据加以清理；凡不能正常记录数据的盘，需经测试确认后由专人进行销毁，并做好登记；对需要长期保存的有效数据，应质量保证期内进行转存，并保证转存内容正确。1. 简述加密技术的基本原理，并指出有哪些常用的加密体制及其代表算法。答：信息加密技术是利用密码学的原理与方法对传输数据提供保护手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。加密体制的分类：从原理上分为两类：单钥或对称密码体制（代表算法： DES 算法， IDEA 算法）和双钥或非对称密码体制（代表算法：RSA 算法， ElGamal 算法）。单钥密码体制( 对称密码体制) ：单钥密码体制的

23、本质特征是所用的加密密钥和解密密钥相同，或实质上等同，从一个可以推出另外一个。单钥体制不仅可用于数据加密，也可用于消息的认证，最有影响的单钥密码是1977 年美国国家标准局颁布的DES算法。其中系统的保密性主要取决于密钥的安全性。双钥密码体制 （非对称密码体制） ：双钥体制是由Diffie和 Hellman 于 1976 年提出的， 双钥密码体制的主要特点是将加密和解密能力分开，它既可用于实现公共通信网的保密通信，也可用于认证系统中对消息进行数字签名。为了同时实现保密性和对消息进行确认，在明文消息空间和密文消息空间等价，且加密、解密运算次序可换情况下，可采用双钥密码体制实现双重加、解密功能。2

24、. DES 加密过程有几个基本步骤？试分析其安全性能。1.初始置换IP 及其逆初始化转换IP-1；乘积变换；选择扩展运算、选择压缩运算和置换运算；DES 安全性分析及其变形。3. RSA 签名方法与RSA 加密方法对密钥的使用有什么不同？RSA 加密方法是在多个密钥中选中一部分密钥作为加密密钥，另一些作为解密密钥。RSA 签名方法：如有k1/k2/k3 三个密钥，可将k1 作为 A的签名私密钥，k2 作为 B 的签名密钥，k3 作为公开的验证签名密钥，实现这种多签名体制，需要一个可信赖中心对A 和 B 分配秘密签名密钥。3. 试简述解决网络数据加密的三种方式。常用的网络数据加密方式有：链路加密

25、 :对网络中两个相邻节点之间传输的数据进行加密保护；节点加密：指在信息传输过程的节点进行解密和加密；端到端的加密：指对一对用户之间的数据连续地提供保护。4. 认证的目的是什么？认证体制的要求和技术是什么？答： 1.认证的目的有三个：一消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，目的是防止消息重放或延迟等攻击。2.一个安全的认证体制至少应该满足以下要求：意定的接收者能够检验和证实消息的合法性，真实性和满足性；消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能

26、否认收到的消息；除了合法的消息发送外，其他人不能伪造发送消息。3数字签名技术，一种实现消息完整性认证和身份认证的重要技术；身份认证技术， 包括直接身份认证技术和间接身份认证技术；消息认证技术，包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。5.什么是 PKI？其用途有哪些？PKI 是一个用公钥密码算法原理和技术提供安全服务的通用型基础平台，用户可利用PKI 平台提供的安全服务进行安全通信。PKI 采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。6. 简述PKI 的功能模块组成。主要包括认证机构CA、证书库、密钥备份、证书作废处理系统

27、和PKI应用接口系统等。认证机构CA、证书库、证书撤销、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、不可否认证、时间戳和客户端软件。1. 简述防火墙的定义。防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问，管理内部用户访问外部网络，防止对重要信息资源的非法存取和访问，以达到保护内部网络系统安全的目的。2. 防火墙分类：从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防名师

28、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、NAT技术等。3. 防火墙的主要功能有哪些？答： 防火墙是网络安全策略的有机组成部分，它通过控制和监制网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙具有五大基本功能：过滤进、出网络的数据；和管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。4. 防火墙的体

29、系结构有哪几种？简述各自的特点。答：体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。特点：双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络往另一个网络发送IP 数据包。 双重宿主主机体系结构是由一台同时连接在内外网络的双重宿主主机提供安全保障的，而屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全的主机仅仅与被保护的内部网络相连。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet 隔开。5. 简述包过滤防火

30、墙的工作机制和包过滤模型。答： 1.包过滤防火墙工作在网络层，通常基于IP 数据包的源地址、目的地址、源端口和目的端口进行过滤。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。2. 包过滤型防火墙一般有一个包检查模块，可以根据数据包头的各项信息来控制站点与站点、站点与网络、网络与网络之间的访问，但不能控制传输的数据，因为内容是应用层数据。6. 简述包过滤的工作过程。1.数据包过滤技术可以允许或不允许某些数据包在网络上传输，主要依据有：数据包的源地址、 目的地址、 协议类型（ TCP、 UDP、 ICMP 等） 、 TCP 或 UDP 的源端口和目

31、的端口、ICMP消息类型。2.包过滤系统只能进行类似以下情况的操作：不让任何用户从外部网用Telnet 登录；允许任何用户用SMTP 往内部网发电子邮件；只允许某台计算机通过NNTP 往内部网发新闻。但包过滤不能允许进行如下的操作：允许某个用户从外部网用Telent 登录而不允许其他用户进行这种操作；允许用户传送一些文件而不允许用户传送其他文件。7. 简述代理防火墙的工作原理，并阐述代理技术的优缺点。1.所谓代理服务器，是指代表客户处理连接请求的程序。 当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实服务器上，

32、然后接受服务应答，并进行进一步处理后，将答复交给发出请求的客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、 外部网的作用， 所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。2.优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。缺点：代理速度较路由慢；代理对用户不透明；对于每项服务代理可能要求不同的服务器；代理服务器不能保证免受手所有协议弱点的限制；代理不能改进底层协议的安全性。7. 简述状态检测防火墙的特点。状态检测防火墙结合了包过滤防火墙

33、和代理服务器防火墙的长处，克服了两者的不足， 能够根据协议、 端口，以及源地址、 目的地址的具体情况决定数据包是否允许通过。优点：高安全性、高效性、可伸展性和易扩展性、应用范围广。不足：对大量状态信息的处理过程可能会造成网络的连接的某种迟滞。8. 简述 NAT 技术的工作原理。NAT 技术就是一种把内部私有IP 地址翻译顾合法网络IP 地址的技术。简单来说， NAT 技术就是在局域网内部中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。9. 试描述攻击者用于发现和侦察防火墙的典型技巧。攻击者往往通过发掘信息关系和最薄弱环节上的安全

34、脆弱点来绕过防火墙，或者由拔点账号实施攻击来避免防火墙。典型技巧：1. 用获取防火墙标识进行攻击。凭借端口扫描和标识等获取技巧，攻击者能效地确定目标网络上几乎每个防火墙的类型、版本和规则。2. 穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。3. 利用分组过滤的脆弱点进行攻击。利用ACL 规则设计不完善的防火墙，允许某些分组不受约束的通过。4. 利用应用代理的脆弱点进行攻击。10. 简述个人防火墙的特点。优点：增加了保护级别，不需要额外的硬件资源；个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；个人防火墙是对公共网络中的单个系统提供了保护，

35、能够为用户隐蔽暴露在网络上的信息，比如IP 地址之类的信息等。缺点：个人防火墙对公共网络只有一个物理接口，导致个人防火墙本向容易受到威胁；个人防火墙在运行时需要占用个人计算机内存、CPU 时间等资源；个人防火墙只能对单机提供保护，不能保护网络系统。11. 简述防火墙的发展动态和趋势。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 防火墙的发展动态：防火墙有许多防范功能，但由于互联网的开放性，它也有力不能及的地方，主要表现以下几个

36、方面：防火墙不能防范不经由防火墙的攻击；防火墙目前还不能防止感染病毒的软件或文件的传输，这只能在每台主机上安装反病毒软件；防火墙不能防止数据驱动式攻击；另外，防火墙还存着安装、管理、配置复杂的特点， 在高流量的网络中，防火墙还容易成为网络的瓶颈。防火墙的发展趋势：优良的性能；可扩展的结构和功能；简化的安装和管理；主动过滤；防病毒与防黑客；发展联动技术。1.入侵检测技术概念：潜在的有预谋的、未经授权的访问信息和操作信息致使系统不可靠或者无法使用的企图。2.简述入侵检测系统的基本原理。侵入检测是用于检测任何损害或企图损害系统的保密性，完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活

37、动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。3.入侵检测的系统结构和功能结构的组成。1.由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成看，入侵检测系统应包括数据提取、入侵分析、响应处理、和远程管理四大部分。2.入侵检测系统的功能结构可分为两个部分：中心检测平台和代理服务器，中心检测平台和代理服务器之间通过安全的远程过程调用。4.入侵检测的系统分类。由于功能和体系结构的复杂性，入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。基于数据源的分类，按照数据源

38、处所的位置可把入侵检测系统分为三类，即基于主机基于网络、 混合入侵检测、 基于网关的入侵检测系统及文件完整性检查系统。基于检测理论的分类，可分为异常检测和误用检测两种异常检测。【异常检测（ Anomaly Detection）指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。误用检测（Misuse Detection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。】基于检测时效的分类，IDS 在处理数据的时候可采用实时在线检测方式（实时检测） 、批处理方式 （离线检测） 。 【离线检测方式将一段时间内的数据存储起来，然

39、后定时发给数据处理单元进行分析，如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS 所采用的办法，由于计算机硬件速度的提高，使得对攻击的实时检测和响应成为可能】5.入侵检测分析模型。入侵检测分析处理可分为三个阶段：构建分析器、对实际现场数据进行分析、反馈和提炼过程。其中前两个阶段包含三个功能，即数据处理、数据分类（数据可分为入侵指标、非入侵指示或不确定）和后处理。5 简述误用检测的技术实现。误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖可靠的用户活动记录和分析事件的方法。分为条件概率预测法、产生式/专家系统、状态转换方法（状态转换

40、分析、有色Petri-Net 、语言 /基于 API 方法）、用于批模式分析的信息检索技术、KeyStroke Monitor和基于模型的方法。6. 简述异常检测的技术。异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加，异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量集来描述的。为Denning 的原始模型、量化分析、统计度量、非参数统计度量和基于规则的方法。7.指出分布式入侵检测的优势和劣势。分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS 具有一些明显的优势：检测大范围的攻击行为、提高检测的准确度、提高检测效率

41、、协调响应措施；分布式入侵检测的技术难点：事件产生及存储、状态空间管理及规则复杂度、知识库管理和推理技术。8. 入侵检测系统的标准。1.IETF/IDWG .IDWG 定义了用于入侵检测与响应（IDR ）系统之间或与需要交互管理系统之间的信息共享所需要的数据格式和交换规程。IDWG 提出了三项建议草案：入侵检测消息交换格式（ IDMEF ） 、入侵检测交换协议（IDXP ）及隧道轮廓2.CIDF.CIDF的工作集中体现在四个方面： IDS 体系结构、通信机制、描述语言和应用编程接口API。9. CIDF的体系结构组成。分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。事件产生器、

42、 事件分析器、 响应单元通常以应用程序的形式出现，而事件数据库是文件或数据流的形式。1. 安全威胁的概念和分类？答： 安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可分为人为安全威胁和非人为安全威胁两大类。安全威胁和安全漏洞密切相关，安全漏洞的可度量性使人们对系统安全的潜在影响有了更加直观的认识。2. 什么是安全漏洞，安全漏洞产生的内在原因是什么?1.漏洞是指在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。2.漏洞的产生有其必然性，这是因为软件的正确性通常是

43、通过检测来保障的。检测只能发现错误，证明错误的存在，不能名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 证明错误的不存在。尤其是像操作系统这样的大型软件不可避免地存在着设计上的缺陷，这些缺陷反映在安全功能上便造成了系统的安全脆弱性。3. 网络安全漏洞的分类有哪些？1.按漏洞可能对系统造成的直接威胁分类，有：远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口

44、令恢复、欺骗、服务器信息泄露和其他漏洞。2按漏洞成因分类：输入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误。4. 网络安全漏洞检测技术分哪几类？具体作用是什么？答： 网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通过安全漏洞探测可以发现系统中可能存在的安全漏洞。网络安全漏洞检测的一个重要目的就是要在入侵者之前发现系统中存在的安全问题，及时地采取相应防护措施。5. 端口扫描技术的原理是什么？根据通信协议的不同可以分为哪几类？答：端口扫描的原

45、理是向目标主机的TCP/IP 端口发现探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP 端口（全连接、半连接）和UDP 端口两大类。5. 1TCP 端口扫描技术有哪些：主要有全连接扫描技术、半连接（SYN ）扫描技术、间接扫描技术和秘密扫描技术等全连接扫描：工作方式是：对目标主机上感兴趣的端口进行connect()连接试探，如果该端口被监听，则连接成功，否则表示该端口未开放或无法到达。全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接端口扫描：不建立完整的

46、TCP连接，而是只发送一个SYN信息包，就如同正在打开一个真正的TCP连接，并等待对方的回应一样。半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全连接扫描要少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP 包，通常情况下， 构造 SYN数据包需要超级用户或者授权用户访问专门的系统调用。5.2 、UDP端口扫描： 主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端口就是开放的。6. 操作系统探测技术分为几类？操作系统探

47、测主要包括：获取标识信息探测技术、基于TCP/IP 协议栈的操作系统指纹探测技术和ICMP 响应分析探测技术。1）获取标识信息探测技术：主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。通常，可以利用telnet这个简单命令得到主机操作系统的类型。2）基于TCP/IP 协议栈的指纹探测技术： 操作系统指纹探测步骤为：形成一个全面的操作系统指纹特征库；向目标发送多种特意构造的信息包， 检测其是否响应这些信息包以及其响应方式；把从目标返回的特征信息与指纹特征库进行匹配，判断目标机器的操作系统类型等信息。3）基于 ICMP响应分析探测技术：ICMP响应分析探测技术是一种较新的操作系

48、统探测技术。该技术通过发送UDP或 ICMP的请求报文，然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。本质也是一种基于TCP/IP 协议栈的操作系统指纹探测技术。7. 安全漏洞探测技术有哪些分类？安全漏洞探测是采用各种方法对目标可能存在的己知安全漏洞进行逐项检查。按照安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击漏洞探测两种。按照漏洞探测的技术特征，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。7.1 信息型漏洞探测技术：就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序

49、版本等信息确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入: 顺序扫描技术、 多重服务检测技术。攻击型漏洞探测技术：模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。1. 简述计算机病毒的定义和特征。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制一组计算机指令或

50、者程序代码。计算机病毒具有以下特征 ：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性和可触发性。2. 网络病毒的特点：传染方式多，传播速度比较快，清除难度大，破坏性强，潜在性深名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 3. 计算机病毒的特性：计算机病毒是一个程序；计算机病毒具有传染性，可以传染其它程序；计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的；计算机病毒的定义在很多方面借用了生物学病毒的概念，