网络安全简答题.docx
《网络安全简答题.docx》由会员分享,可在线阅读,更多相关《网络安全简答题.docx(10页珍藏版)》请在冰点文库上搜索。
网络安全简答题
网络安全简答题
第一章
1.简述五大网络安全服务。
答:
(1)鉴别服务是对对方实体的合法性、真实性进行确认,以防假冒。
这里的实体可以是用户或代表用户的进程。
(2)访问控制服务是用于防止未授权用户非法使用系统资源。
它包括用户身份认证,用户权限确认。
(3)数据完整性服务是阻止非法实体对交换数据的修改、插入、删除。
(4)数据保密性服务是防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密,提供加密服务。
(5)抗抵赖性服务是防止发送方在发送数据后否认自己发过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据。
2.简述八大安全机制。
答:
(1)加密机制。
提供信息保密的核心方法,分为对称秘钥加密和非对称秘钥加密。
(2)访问控制机制。
通过对访问者的有关信息进行检查来限制或者禁止访问者使用资源的技术。
(3)数字完整性机制。
指数据不被增删改,通常把文件用哈希函数产生一个标记,接受者在收到文件后也用相同的哈希函数处理一遍,看看产生的两个标记是否相同可知道数据是否完整。
(4)数字签名机制。
设A为发送方。
B为接收方,发送方用自己的私钥加密,接收方用对方发送的公钥解密。
(5)交换鉴别机制。
通过互相交换信息的方式来确定彼此身份,常用技术有口令、密码技术、指纹、声音频谱等。
(6)公证机制。
通过公证机构中转双方的交换信息,并提取必要的的证据,日后一旦发生纠纷,就可据此作出仲裁。
(7)流量填充机制。
提供针对流量分析的保护,流量填充机制能够保持流量基本恒定,因此观测者不能获取任何信息。
方法:
随即生成数据对其进行加密,再通过网络发送。
(8)路由控制机制。
可以指定通过网络发送数据的路径。
可以选择可信的网络节点,从而保护数据不会暴露在安全攻击之下。
3.简述网络安全内容的4各方面。
答:
(1)物理实体安全
1.设备安全。
包括防盗、防毁、防电磁信息辐射泄漏、防线路截获、抗电磁干扰及电源安全。
2.存储介质安全保护存储在存储介质上的信息,包括存储介质数据的安全及存储介质本身的安全。
3.环境安全。
对系统所在环境安全保护,可按照国家标准GB50173-2008和GB/T2887-2011对网络环境进行安全设置。
(2)软件安全,
1.软件本身安全。
软件本身是安全的,不会发生软件故障或即使发生软件故障也不是危险的。
由于软件安全漏洞带来的各种危害随着软件应用发展日益严重,因此,能有效发现并消除漏洞的软件安全漏洞发现技术日益受到人们重视。
2.指保护网络系统中的系统软件与应用软件不被非法复制、篡改和不受病毒的侵害等。
(3)数据安全。
指保护网络中的数据不被非法存取和破坏,确保其完整性和机密性。
(4)安全管理
以保护网络安全技术为基础,配以行政手段的管理活动。
6.试简述网络安全的主要特性。
答:
(1)网络的可靠性。
提供正确服务的连续性。
(2)网络的可用性。
提供正确服务的能力,是可靠性与可维护性的综合描述,
(3)
(4)
完整性的数字签名。
答:
在实际的数字签名算法中,并不是对原消息直接签名,因为非对称密钥体制机密的速度慢,实用性差,通常都是对消息进行签名,因此必须要先计算消息摘要,而消息摘要主要是数据完整性验证的指标,故不可抵赖性通常是与完整性验证机制合并在一起实现的。
A为发送方,B为接收方,A向B发送消息,先要通过消息摘要算法计算消息摘要,A用自己的私钥加密消息摘要,这个过程的输出就是A的数字签名。
A将消息和数字签名一起发给B。
B收到消息后,分为消息和数字签名两部分。
首先先用A的公钥解密数字签名得到接收到的消息摘要。
B用与A同样的消息摘要算法对收到的消息再次计算得到另一个消息摘要,将两个摘要比较,相等则表明B收到的是A发送的未经篡改的消息。
第五章
2.数字证书的典型内容是什么?
答:
数字证书至少包括三项基本内容:
公钥、用户名(主体名)、证书机构的数字签名。
一般数字证书还包括序号、起始日期、终止日期、签发者名等信息。
4.列出生成数字证书的5个关键步骤。
答:
(1))密钥生成:
(主体用户或组织)可以使用某些软件自己生成或者由注册机构为主体生成;
(2)主体注册:
用户提供相关信息和证明材料填写数字证书申请表;
(3)验证:
由RA完成,一是验证用户的身份和材料是否真实可靠,二是验证用户自己持有的私钥跟向注册机构提供的公钥是否相对应;
(4)数字证书的生成:
RA将用户所有细节传给CA,CA进行必要的验证,并将这些信息转换成X.509标准格式;
(5)数字证书的分发:
用户可以从目录服务或者数字证书数据库下载数字证书,如接收方的电子邮件地址等。
6.在生成数字证书时,RA如何验证用户的公钥和私钥的一致性。
答:
(1)RA要求用户用私钥对注册的申请内容进行数字签名,如果RA可以用这个用户的公钥验证签名,则可以相信这个用户拥有该私钥;
(2)RA对用户生成一个不能直接使用的哑证书,用该用户的公钥加密,将其发给用户。
用户只有解密这个加密证书才能取得明文证书;
(3)RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户,用户能用起私钥解密,则验证通过。
7.简述数字证书的作用。
答:
(1)防止中间人攻击
(2)防止冒名CA发布数字证书
(3)防止CA的抵赖
(4)确保数字证书中用户身份的真实性
(5)确保用数字证书的公钥加密可以用该用户的私钥解密
8.用户如何验证接收到数字证书的真实性?
答:
(1)用户将数字证书中除最后一个字段以外的所有字段传入消息摘要算法。
这个算法与CA数字签名时时用的算法相同。
CA在证书中指定签名所用算法,使用户知道用哪个算法;
(2)消息摘要算法计算数字证书中除最后一个字段以外所有的字段的消息摘要。
(3)用户从证书中取出CA的数字签名(即证书中最后一个字段);
(4)用户用CA的公钥解密签名,假设签名得到另一个消息摘要;
(5)用户比较自己求出的摘要与用CA公钥解密签名得到的消息,如果两者相符,则可以肯定,数字证书是是CA用其私钥加密签名,否则用户不信任这个证书,将其拒绝。
13.三因子鉴别的3方面是什么?
答:
三因子:
(1)用户所知道的东西:
如口令和密码等;
(2)用户所拥有的东西:
信用卡和U盾等;
(3)用户所具有的东西:
声音、指纹、视网膜、签字或者笔迹等。
15.基于数字证书鉴别的基本步骤有哪些?
答:
(1)CA对每个用户生成数字证时并将其发给相应的用户,并将这些证书同时存放在鉴别服务器的用户数据库中,以便进行鉴别;
(2)用户在客户端只输入自己的用户名,不输入口令;
(3)服务器检查用户名是否有效,如果无效则向用户返回相应的错误信息,结束鉴别过程。
若有效进行下一步;
(4)服务器生成一个随机挑战,保留这个随机挑战并通过网络传递到用户
(5)用户首先输入私钥密钥打开私钥文件,然后从文件中取得私钥;
(6)用户用自己的私钥签名随机挑战,并将签名的结果发送给服务器;
(7)服务器从用户数据库取得用户的公钥,并用公钥解密第六步结果;
(8)服务器比较第六步和第四步两个随机挑战,如果相等,服务器向用户返回鉴别成功,否则返回失败的信息。
16.基于生物特征的用户身份鉴别机制有哪些优点和缺点?
答:
优点:
随身性(与人体唯一绑定)、安全性(个人特征本身是个人身份的最好证明)、唯一性(每个人拥有的生物特征)、稳定性(生物特征不会随时间等条件的的变化而变化)、广泛性(每个人都具有这种特征)、方便性(不需要记忆密码或者特殊工具),可采集性(选择的生物特征易于测量)。
缺点:
生物鉴别的重要思想是每次鉴别产生的样本可能稍有不同,,因为用户的物理特征可能因为某些原因而改变。
第六章
简述4种防火墙体系结构
答:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);
(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;
(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;
(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;
(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);
(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:
路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;
(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:
防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:
防火墙不能防御基于数据驱动的攻击。
防火墙有哪些不足之处
答:
1、无法检测加密的Web流量。
2、普通应用程序加密后,也能轻易躲过防火墙的检测。
3、对于Web应用程序,防范能力不足。
由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。
由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。
简述防火墙的基本原则
答:
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
其一、未经说明允可的就是拒绝。
防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。
约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。
当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度
简述防火墙所使用的技术
答:
1.包过滤技术
2.应用代理技术
3.状态检测技术
强制访问控制和自主访问控制有什么区别
答:
自主访问控制又称自主存取控制(DAC:
DiscretionaryAccessControl):
同一用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,用户还可将其拥有的存取权限转授给其他用户。
强制访问控制又称强制存取控制(MAC:
MandatoryAccessControl):
每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证,对于任意一个对象,只有具有合法许可证的用户才可以存取。
两者区别:
DAC的数据存取权限由用户控制,系统无法控制;MAC安全等级由系统控制,不是用户能直接感知或进行控制的。
基于角色的的访问控制比基于用户的访问控制有哪学优点
答:
基于角色的访问控制可以直接将角色授权给用户,因为用户一旦多起来就不好管理,也使得管理员的负担增大,使用基于角色的访问控制可以直接将管理层的管理与用户隔离开来,从而减小了管理的开销,也使得这样的效率更高,一个用户可以同时被授予多个角色,一个角色也可以同时被授予多个用户。
简述访问控制的分类
答:
分为三类
1基于授权规则的、自主管理的自主访问控制技术(DAC);
2基于安全级的集中管理的强制访问控制技术(MAC);
3基于授权规则的集中管理的基于角色的访问控制技术(RBAC)。
简述访问控制的基本原理
答:
访问控制的功能及原理:
访问控制的主要功能包括:
保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。
当用户身份和访问权限验证之后,还需要对越权操作进行监控。
因此,访问控制的内容包括认证、控制策略实现和安全审计。
1、认证。
包括主体对客体的识别及客体对主体的检验确认;
2、控制策略。
通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。
既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。
同时对合法用户,也不能越权行使权限以外的功能及访问范围;
3、安全审计。
系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
升级会员 