1、网络安全技术考试题库 1. 计算机网络安全所面临的威胁分为哪几类?从人的 角度,威胁网络安全的因素有哪些? 答:计算机网络安全所面临的威胁主要可分为两大 类:一是对网络中信息的威胁,二是对网络中设备的威 胁(2 分)。从人的因素考虑,影响网络安全的因素包括: (1)人为的无意失误。(1 分) (2)人为的恶意攻击。一种是主动攻击,另一种 是被动攻击。(1 分) (3)网络软件的漏洞和“后门” 。 (1 分) 2网络攻击和防御分别包括哪些内容? 答:网络攻击:网络扫描、监听、入侵、后门、隐 身; 网络防御:操作系统安全配置、加密技术、防 火墙技术、入侵检测技术。 4.分析 TCP/IP 协议,说
2、明各层可能受到的威胁及防御 方法。 答:网络层:IP 欺骗欺骗攻击,保护措施:防火 墙过滤、打补丁;传输层:应用层:邮件炸弹、病毒、 木马等,防御方法:认证、病毒扫描、安全教育等。 6请分析网络安全的层次体系。 答:从层次体系上,可以将网络安全分成四个层次 上的安全:物理安全、逻辑安全、操作系统安全和联网 安全。 7.请分析信息安全的层次体系。 答:信息安全从总体上可以分成 5 个层次:安全的 密码算法,安全协议,网络安全,系统安全以及应用安 全。 10.请说明“冰河”木马的工作方式。 答:病毒通过修改系统注册表,通过执行文本文件 的双击打开操作,驻留病毒程序,伺机实现远端控制目 的。 【应用
3、题】 1.简述防范远程攻击的技术措施。 答:防范远程攻击的主要技术措施有防火墙技术、 数据加密技术和入侵检测技术等。(2 分) (1)防火墙技术。用来保护计算机网络免受非授 权人员的骚扰和黑客的入侵。(1 分) (2)数据加密技术。数据加密技术已经成为所有 通信安全的基石。(1 分) (3)入侵检测技术。是一种防范远程攻击的重要 技术手段,能够对潜在的入侵动作做出记录,并且能够 预测攻击的后果。(1 分) 2.防范远程攻击的管理措施有那些? 答:防范远程攻击的管理措施: (1) 使用系统最高的安全级别。高安全等级的系统 是防范远程攻击的首选。(2 分) (2) 加强内部管理。为对付内部产生的黑
4、客行为, 要在安全管理方面采取措施。(2 分) (3) 修补系统的漏洞。任何系统都是有漏洞的,应 当及时堵上已知的漏洞并及时发现未知的漏洞。(1 分) 3.简述远程攻击的主要手段。 答:远程攻击的手段主要有: (1)缓冲区溢出攻击。(1 分) (2)口令破解。又称口令攻击,口令是网络安全 防护的第一道防线。(1 分) (3)网络侦听。是指在计算机网络接口处截获网 上计算机之间通信的数据。(1 分) (4)拒绝服务攻击。是一种简单的破坏性攻击。 (1 分) (5)欺骗攻击。(1 分) 4. 简述端口扫描技术的原理。 答:端口扫描向目标主机的 TCP/IP 服务端口发送 探测数据包,并记录目标主机
5、的响应(1 分)。通过分析 响应来判断服务端口是打开还是关闭,就可以得知端口 提供的服务或信息(1 分)。端口扫描也可以通过捕获本 地主机或服务器的注入/流出 IP 数据包来监视本地主机 运行情况(1 分)。端口扫描只能对接收到的数据进行分 析,帮助我们发现目标主机的某些内在的弱点,而不会 提供进入一个系统的详细步骤。 (2 分) 5. 缓冲区溢出攻击的原理是什么? 答:缓冲区溢出攻击指的是一种系统攻击的手段, 通过往程序的缓冲区写超出其长度的内容,造成缓冲区 的溢出,从而破坏程序的堆栈,使程序转而执行其他指 令,以达到攻击的目的。(3 分) 缓冲区溢出攻击最常见的方法是通过使某个特殊程 序的
6、缓冲区溢出转而执行一个 Shell,通过 Shell 的权 限可以执行高级的命令。如果这个特殊程序具有 System 权限,攻击成功者就能获得一个具有 Shell 权 限的 Shell,就可以对系统为所欲为了。(2 分) 7.简述暴力攻击的原理。 答:使用穷举法破译密码等信息的一种方法,如: 字典攻击、破解操作系统密码、破解邮箱密码、破解软 件密码等。 9.简述缓冲区溢出的攻击原理。 答:当目标系统收到了超过其可接收的最大信息量 时,会发生缓冲区溢出。易造成目标系统的程序修改, 由此产生系统后门。 10.简述拒绝服务的种类和原理。 答:拒绝服务攻击主要是计算机网络带宽攻击和连 通性攻击。通过耗
7、用有限计算机资源,使得目标主机无 法提供正常网络服务。 11.简述 DDoS 的特点及常用攻击手段。 答:攻击计算机控制着多台主机,对目标主机实施 攻击,大量瞬时网络流量阻塞网络,使得目标主机瘫痪。 12.留后门的原则是什么? 答:原则就是让管理员看不到有任何特别的地方。 13.列举后门的三种程序,并阐述其原理和防御方法。 答:1)远程开启 TELNET 服务(RTCS.VBE)工具软) 件,防御方法:注意对开启服务的监护;2)建立 WEB 和 TELNET 服务(WNC.EXE) ,防御方法:注意对开启服 务的监护;3)让禁用的 GUEST 用户具有管理权限 (PSU.EXE 修改注册表)
8、,防御方法:监护系统注册表。 14.简述木马由来及木马和后门的差异。 答:木马是一种可以驻留在对方服务器系统中的程 序(服务器端、客户端) ,其功能是通过客户端控制驻 留在对方服务器中的服务器端。木马功能较强,具有远 程控制功能,后门功能单一,只提供登录使用。 16.简述两种通过 UNICODE 漏洞,进行攻击的方式。 答:入侵目标操作系统;删除目标系统主页。 17.简述一次成功的攻击,可分为哪几个步骤? 答:1、隐藏 IP;2、踩点扫描;3、获得系统或管 理员权限;4、种植后门;5、在网络中隐身。 18.简述网络监听的原理及常用方法。 答:网络监听的目的是截获通信的内容,监听的手 段是对协议
9、进行分析。Sniffer pro 就是一个完善的网 络监听工具。 19.简述 SQL 注入漏洞的原理。 答:利用恶意 SQL 语句(web 缺少对 SQL 语句的鉴 别)实现对后台数据库的攻击行为。 答:P2P 网络是对等网络,即点对点网络。产生的 安全隐患主要有无赖流量和大量上传下载产生的病毒传 播等问题。 1.试述如何防止特洛伊木马的非法访问。 答: 通过强加一些不可逾越的访问限制,系统可以 防止一些类型的特洛伊木马的攻击。在强制访问控制中, 系统对主体与客体都分配一个特殊的安全属性,这种安 全属性一般不能更改,系统通过比较主体与客体安全属 性来决定一个主体是否能够访问某个客体。用户为某个
10、 目的而运行的程序,不能改变它自己及任何其他客体的 安全属性。(2 分) 以下两种方法可以减少特洛伊木马攻击成功的可能 性。 (1) 限制访问控制的灵活性 (2 分) 用户修改访问 控制信息的唯一途径是请求一个特权系统的功能调用, 这种方法就可以消除偷改访问控制的特洛伊木马的攻击。 (2 分) (2)过程控制 (2 分) 采用过程控制可以减少特洛 伊木马攻击的机会。 (2 分) 2.分析漏洞扫描存在问题及如何解决。 答: 漏洞扫描中的问题及完善建议有: (1) 系统配置规则库问题存在局限性 如果规则库设计的不准确,预报的准确度就无从 谈起; (1 分) 它是根据已知的安全漏洞进行安排和策划的,
11、而 对网络系统的很多危险的威胁却是来自未知的漏洞,这 样,如果规则库更新不及时,预报准确度也会相应降低; (1 分) (1 分) 完善建议:系统配置规则库应能不断地被扩充和修 正,这样也是对系统漏洞库的扩充和修正,这在目前来 讲仍需要专家的指导和参与才能实现。 (2 分) (2)漏洞库信息要求 漏洞库信息是基于网络系统漏洞库的漏洞扫描的主 要判断依据。如果漏洞库住处不全面或得不到即时的更 新,不但不能发(3 分) 完善建议:漏洞库信息不但应具备完整性和有效性, 也应具备简易性的特点,这样即使是用户自己也易于对 漏洞库进行添加配置,从而实现对漏洞库的即时更新。 (2 分) 3.简述研究恶意代码的
12、必要性。 答:防护国家等信息安全。 4简述恶意代码长期存在的原因。 答:系统漏洞层出不穷;利益驱使等。 5.恶意代码是如何定义的,可以分为哪几类? 答:Grimes 的定义:经过存储介质和网络进行传 播,未经授权认证破坏计算机系统完整性的程序和代码。 7说明 PE 病毒的原理及影响问题。 起源于 DOS 系统,发展于 WINDOWS,通常采用汇编 格式编写,且格式为 PE。具有数量极多、破坏性大和 功能强等特点。其核心技术是感染模块。 8.简述脚本病毒常用的自身隐藏方式。 答:随机选取密钥对自己的部分代码实施加密;采 用变形技术;采用多态技术加壳。 10.简述 U 盘病毒通常的几种隐藏方式。
13、答:作为系统文件隐藏;伪装为其他文件;隐藏在 系统文件夹中;运用 WINDOWS 漏洞等。 【应用题】 1. 自主访问控制的模式有哪几种? 答: 自主访问控制模式有: (1)文件。对文件常设置的访问模式有以下几种: 读和复制,写和删除,运行,无效。(3 分) (2)目录 对于一个目录型客体,它的访问模式的最小集合包 括:读,写-扩展。(2 分) 2. 什么是蜜罐技术?蜜罐的特点是什么? 答:蜜罐技术通过一个由网络安全专家精心设置的 特殊系统来引诱黑客,并对黑客进行跟踪和记录。(1 分) 蜜罐的特点: (1)它不是一个单一的系统,而是一个网络,是 一种高度相互作用的蜜罐,装有多个系统和应用软件。
14、 (2 分) (2)所有放置在蜜罐网内的系统都是标准的产品 系统,即真实的系统和应用软件,都不是仿效的。(2 分) 5.简述信息流模型的组成 答: 信息流模型一般有以下 5 部分组成。 客体集合,如文件、程序、变量等,它表示信息 的存放处。(2 分) 进程集合,它表示与信息流有关的活动主体。(2 分) 安全类集合,它表示离散的信息类,如安全系统 中的权力级别和对象类别。(2 分) 类间复合操作符,用于确定在两类信息上操作所 产生的信息。(1 分) 流关系,用于决定在任一对安全类之间,信息能 否从一个安全流向另一个安全类。(1 分) 信息流动策略规定信息必须由低安全类向高安全类 或同安全类流动,
15、而不允许信息由高安全类向低类或无 关类流动。 (2 分) 8. 访问控制的基本任务是什么? 答:访问控制的基本任务有: (1)用户身份认证。认证就是证实用户的身份。 (1 分) (2)授权。根据不同的用户分配给不同的使用资 源,决定访问权限的因素有用户类别、资源和访问规则。 (2 分) (3)文件保护。对文件提供附加保护,使非授权 用户不可读。(1 分) (4)审计。记录用户的行动,以说明安全方案的 有效性。(1 分) 9. 访问控制包括哪几个层次? 答: 访问控制的层次包括: (1)入网访问控制。入网访问控制为网络访问提 供了第一层访问控制。(1 分) (2)网络权限控制。是针对网络非法操作
16、所提出 的一种安全保护措施。(1 分) (3)目录级安全控制。控制用户对目录、文件、 设备的访问。(1 分) (4)属性安全控制。给文件、目录等指定访问属 性。(1 分) (5)服务器安全控制。网络允许在服务器控制台 上执行一系列操作。(1 分) 10. 试述建立安全模型的原因和安全模型的特点。 答:设计安全模型的主要目的是确定系统安全访问 控制策略、决定系统内部主体对客体的访问和监控方式 等。 (2 分) 安全模型一般有如下几个特点: (1) 能充分体现预定的安全需要,应清楚地、准确 地表达安全策略。(2 分) (2) 模型的安全表达是无二意性的。(2 分) (3) 模型应该是简单的、抽象的
17、、易于理解和实现, 而且应易于验证。(2 分) (4) 安全模型应当只涉及安全性质,对系统的其他 功能及实现不能有影响和太大的削弱。 (2 分) 13.如何关闭不需要的端口和服务。 答:通过 TCP/IP 协议属性的高级设置完成。 14.简述安全模型的意义及 BLP 模型的特点。 答:安全模型:对安全策略所表达的安全需求的简 单、抽象和无歧义的描述,为安全策略及其机制提供了 一种框架。BLP 模型是一种适用于军事安全策略的操作 系统安全模型。 15.简述安全模型的意义及 Biba 模型的特点。 答:安全模型:对安全策略所表达的安全需求的简 单、抽象和无歧义的描述,为安全策略及其机制提供了 一种
18、框架。Biba 模型是一种适用于保护信息完整性的 操作系统安全模型。 16.简述 Flask 安全体系结构的优点。 答:该结构使策略的可变通性的实现成为可能。安 全结构中机制和策略清晰区分,使得系统可以使用比以 前更少的策略来支持更多的安全策略集合。 17.简述安全操作系统的机制。 答:操作系统源代码中内置了特定的安全策略,通 过一些设置,使操作系统更安全。 18.列举三种以上的安全操作系统。 答:Tmach/ASOS/SOFTOS 等。 19.访问控制机制的理论基础是访问监控器。其引 用验证机制需同时满足三个基本原则,即:具有自我保 护能力;总是处于活跃状态;设计得足够小。请就上述 原则说明
19、其涵义。 答:保持自身完整性;程序对资源的引用应得到验 证机制的仲裁;保证引用验证机制的实现是正确和符合 要求的。 20.简述操作系统安全内核的意义。 答:操作系统的可信内核。是实现访问监控器的一 种技术。不允许有任何绕过安全内核存取控制检查的存 取行为存在。 21.简述可信计算基的内涵和意义。 答:由操作系统安全依赖的、实施安全策略的可信 软件、硬件,负责系统安全管理的人员共同组成。其组 成中,软件部分是安全操作系统的核心内容。 22.简述自主访问控制的内涵及其保护的对象。 答:自主访问控制用以决定主体(用户)对客体的一 种访问约束机制。其保护对象包括:文件、目录、 IPC、设备等。通过访问
20、控制矩阵实现。 23. 简述强制访问控制的内涵及其保护的对象。 答:由安全管理员对每一个对象(包括:文件、目 录、IPC、设备等)设置安全属性。主体对客体的访问 将启动强制访问机制,通过比较主、客体间的安全属性, 决定是否允许访问的建立。 24.简述计算机系统(安全操作系统)安全体系结 构的内涵。 答:详细描述系统中安全相关的方面;描述安全相 关模块之间的关系;提出指导设计的基本原理;提出开 发框架和层次结构。 【应用题】 1. 简述公开密钥密码体制的特点。 答: 公开密钥密码体制的特点: (1)保密强度高。其理论基础是基于数论中大素 数因数分解的难度问题,当 n 大于 2048 位时,目前的
21、 算法无法在有效时间内破译 RSA。 (1 分) (2)密钥分配及管理简便 在 RSA 体制中,加密密钥和解密密钥互异、分离。 加密密钥可以公开,解密密钥则由用户秘密保存,秘密 保存的密钥量减少,这就使得密钥分配更加方便,便于 密钥管理。(2 分) (3)数字签名易实现 在 RSA 体制中,只有接收方利用自己的解密密钥对 明文进行签名,其他任何人可利用公开密钥对签名文进 行验证,但无法伪造。 (2 分) 2. 密码分析可分为哪几类,它们的含义是什么? 答: 密码分析可分为穷举法和分析破译法(2 分): (1)穷举法。又称强力法或完全试凑法,它对截 收的密报依次用各种可能的密钥试译,直到得到有意
22、义 的明文;或者在不变密钥下,对所有可能的明文加密直 到得到的密文与截获密文一致为止。(1 分) (2)分析破译法。分析破译法有确定性和统计性 两类。确定性分析法利用一个或几个已知量用数学关系 式表示出所求未知量。统计分析法是利用明文的已知统 计规律进行破译的方法。(2 分) 3.简述对称加密算法的基本原理。 答:加密和解密密钥可相互推导或一致,由通信算 法协商解决,其算法的安全性完全依赖于密钥的保护。 4.简述公钥算法的基本原理。 答:加密、解密密钥不同且无法相互推导,分公钥 和私钥两种,算法较为复杂,但安全性较高。 5.简述 PGP 加密技术的应用。 答:是一个基于 RSA 公钥加密体系的
23、邮件加密软件, 提出来公共钥匙或不对称文件的加密技术。 6.简述 RSA 加密算法安全性的数学基础。 答:RSA 加密算法的安全性依赖于大数分解数学难 题。 【应用题】 1. 什么是依据地址进行过滤? 答在包过滤系统中,最简单的方法是依据地址进行 过滤(1 分)。用地址进行过滤可以不管使用什么协议, 仅根据源地址/目的地 址对流动的包进行过滤(2 分)。使用这种方法可以 只让某些被指定的外部主机与某些被指定的内部主机进 行交互(1 分),此外还可以防止黑客采用伪装包来对网 络进行攻击。 (1 分) 2. 简述包过滤的优点。 答:包过滤方式有很多优点,而其主要优点之一是 仅用放置在重要位置上的包
24、过滤路由器就可保护整个网 络。(2 分) 包过滤不需要用户软件的支持,也不要求对客户机 做特别的设置,也没有必要对用户做任何培训。(1 分) 包过滤工作对用户来讲是透明的,这种透明就是在 不要求用户进行任何操作的前题下完成包过滤工作。(1 分) 3. 入侵检测系统常用的检测方法有哪些? 答:入侵检测系统常用的检测方法有特征检测、统 计检测与专家系统。(2 分) 特征检测对已知的攻击或入侵的方式做出确定性的 描述,形成相应的事件模式。当被审计的事件与已知的 入侵事件模式相匹配时,即报警。 (1 分) 统计模型常用异常检测。(1 分) 用专家系统对入侵进行检测,经常是针对的特征入 侵行为。运用专家
25、系统防范有特征入侵行为的有效性完 全取决于专家系统知识库的完备性。(1 分) 4. 按照防火墙对内外来往数据的处理方法可分为 哪两大类,分别论述其技术特点。 答:按照防火墙对内外来往数据的处理方法,大致 可以分为两大类:包过滤防火墙和应用代理防火墙。 (2 分) 包过滤防火墙又称为过滤路由器,它通过将包头信 息和管理员设定的规则表比较,如果有一条规则不允许 发送某个包,路由器就将它丢弃。 (2 分) 在包过滤系统中,又包括依据地址进行过滤和依据 服务进行过滤。 (2 分) 应用代理,也叫应用网关,它作用在应用层,其特 点是完全“阻隔”了网络的通信流,通过对每种应用服 务编制专门的代理程序,实现
26、监视和控制应用层通信流 的作用。(2 分) 代理服务器有一些特殊类型,主要表现为应用级和 回路级代理、公共与专用代理服务器和智能代理服务器。 (2 分) 5. 设计和建立堡垒主机的基本原则是什么? 答: 设计和建立堡垒主机的基本原则有基本两条: 最简化原则和预防原则。(1 分) (1)最简化原则:堡垒主机越简单,对它进行保 护就越方便,以堡垒主机上设置的服务必须最少,同时 对必须设置的服务软件只能给予尽可能低的权限。(2 分) (2)预防原则:尽管已对堡垒主机严加保护,但 仍有可能被入侵者破坏,对此应有所准备,只有充分地 对最坏的情况加以准备,并设计好对策,才可有备无患。 (2 分) 6. 简
27、述包过滤防火墙的缺点及局限性。 答:包过滤防火墙也有一些缺点及局限性: (1)在机器中配置包过滤规则比较困难;(1 分) (2)对系统中的包过滤规则的配置进行测试比较 麻烦;(1 分) (3)许多产品的包过滤功能有这样或那样的局限 性,要寻找一个比较完整的包过滤产品比较困难。(1 分) 包过滤系统本身就可能存在缺陷,这些缺陷对系统 安全性的影响要大大超过代理服务系统对系统安全性的 影响。包过滤应当避免对网络安全问题采取过于复杂的 解决方案。 (2 分) 7. 什么是应用代理?代理服务有哪些优点? 答:应用代理,也叫应用网关,它作用在应用层, 其特点是完全“阻隔”了网络的通信流,通过对每种应 用
28、服务编制专门的代理程序,实现监视和控制应用层通 信流的作用。(1 分) 代理服务器有以下两个优点: (1)代理服务允许用户“直接”访问互联网,采 用代理服务,用户会认为他们是直接访问互联网。(2 分) (2)代理服务适合于进行日志记录,因为代理服 务遵循优先协议,他们允许日志服务以一种特殊且有效 的方式来进行。(2 分) 【应用题】 1.分析构建一个 VPN 系统需要解决哪些关键技术, 这些关键技术各起什么作用。 答: 构建一个 VPN 系统需要解决的关键技术分别 是隧道技术、加解密技术、密钥管理技术、身份鉴别技 术。(2 分) (1) 隧道技术通过采用一种称为“隧道”的技术, 建立点对点的连接,使数据包在公共网络上的专用隧道 内传输。主要利用网络隧道协议来实现这种功能。(2 分) (2) 加密技术。VPN 可直接利用现有技术提供足够 的安全保障,同时又不带来太多的系统开销。(2 分) (3) 密钥管理技术。密钥管理的主要任务是如何在 公用数据网中安全地传递密钥,而不被窃取。(2 分) (4)身份鉴别技术。在使用公共网络进行专用通信 时,使用者和管理者最关心的主要问题就是通信的安全 性,它不仅包括传输的保密性,而且还需要对用户进行 鉴别。(2 分)