计算机网络安全第二版期末复习重点Word下载.docx

计算机网络安全第二版期末复习重点Word下载.docx

《计算机网络安全第二版期末复习重点Word下载.docx》由会员分享，可在线阅读，更多相关《计算机网络安全第二版期末复习重点Word下载.docx（26页珍藏版）》请在冰点文库上搜索。

3数据保密性服务

为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。

保密性是防止传输的数据遭到被动攻击。

包括：

连接保密性

无连接保密性

选择字段不保密性

信息流保密性

4数据完整性服务

用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。

带恢复的连接完整；

不带恢复的连接完整；

选择字段的连接完整；

无连接完整；

选择字段无连接完整

5不可（抗）否认服务

用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

具有源点证明的不能否认；

具有交付证明的不能否认。

为了实现安全服务，OSI安全体系结构还定义了安全机制。

特定安全机制（8在特定的协议层实现）

加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制

关系：

服务机制

加密

数字签名

访问控制

教据完整性

认证交换

流量填充

路由控制

公证

同等实体认证

Y

数据源认证

保密性

流量保密性

数据完整性

不可否认性

可用性

1.4简述网络安全策略的意义？

它主要包括哪几个方面策略？

意义：

网络安全系统的灵魂与核心，是在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则集合。

网络安全策略的提出，是为了实现各种网络安全技术的有效集成，构建可靠的网络安全系统

网络安全策略包含5方面策略

物理安全策略

访问控制策略

防火墙控制

信息加密策略

网络安全管理策略

2.2根据各自所基于的数学原理，分析公钥密码体制与对称密码体制的改进？

公钥密码体制（n:

1）--对称密码（1:

1）

在用户数目比较多时，传统对称密码体制密钥产生、存储和分发是很大问题。

公钥密码体制用户只需掌握解密密钥，而将加密密钥和加密函数公开。

改变了密钥分发方式，便利密钥管理。

不仅用于加解密，还广泛用于消息鉴别、数字签名和身份认证

2.3与对称密码体制比较，公钥密码体制在应用中有哪些优点?

公钥密码体制最大优点适应网络的开放性要求。

密码管理比对称密码简单，又满足新的应用要求。

通信各方都可以访问公钥，私钥在通信方本地产生，不必进行分配。

任何时刻都可以更改私钥，只要修改相应的公钥替代原来的公钥。

2.4有哪些常见的密码分析攻击方法，各自什么特点？

惟密文攻击：

仅知加密算法和密文，最易防范

已知明文攻击：

知加密算法，待解密文，同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式，如标准化的文件头。

选择明文攻击：

攻击者选择对其有利的明文，获取到了其相应的密文。

选择密文攻击：

事先搜集一定数量的密文，获的对应的明文。

3.2什么是MAC？

其实现的基本原理是什么？

MAC是消息鉴别码，又称密码校验和。

其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块，即MAC，并附加到消息后面传输，接收方利用与发送方共享的密钥进行鉴别。

MAC提供消息完整性保护，可以在不安全的信道中传输，因为MAC的生成需要密钥。

3.3散列函数应该具有哪些安全特性？

（1）单向性：

对于任意给定的散列码h，寻找x使得H（x）=h在计算上不可行。

（2）强对抗碰撞性：

输入是任意长度的M；

输出是固定长度的数值；

给定h和M，h（M）容易计算；

寻找任何的（M1,M2）使得H（M1）=h（M2）在计算上不可行。

（3）弱对抗碰撞性：

对于任意给定的分组M,寻找不等于M的M’，使得H（M’）=h（M）在计算上不可行。

3.4什么是数字签名？

数字签名具有哪些特征？

数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性，并保护数据，防止被人（如接收者）进行伪造。

数字签名的特征：

（1）可验证性：

信息接收方必须能够验证发送方的签名是否真实有效。

（2）不可伪造性：

除了签名人之外，任何人都不能伪造签名人的合法签名。

（3）不可否认性：

发送方发送签名消息后，无法抵赖发送行为；

接收方在收到消息后，也无法否认接收行为。

（4）数据完整性：

发送方能够对消息的完整性进行校验，具有消息鉴别的作用。

4.1用户认证的主要方法有哪些？

各自具有什么特点？

基于口令的认证、基于智能卡的认证、基于生物特征的认证。

基于口令的认证最简单，最易实现，最容易理解和接受。

基于智能卡的认证的特点：

双因子认证、带有安全存储空间、硬件实现加密算法、便于携带，安全可靠。

基于生物特征的认证不易遗忘或丢失；

防伪性能好，不易伪造或被盗；

“随身携带”，方便使用；

但成本高，只适用于安全级别比较高的场所。

4.2简述X.509证书包含的信息。

版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名。

4.3一个完整的PKI应用系统包括那些组成部分？

各自具有什么功能？

一个完整的PKI应用系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。

认证机构（CA）：

即数字证书的申请及签发机关，CA必须具备权威性的特征；

数字证书库：

用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；

密钥备份及恢复系统：

如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。

为避免这种情况，PKI提供备份与恢复密钥的机制。

但须注意，密钥的备份与恢复必须由可信的机构来完成。

并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。

证书作废系统：

证书作废处理系统是PKI的一个必备的组件。

与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。

为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口（API）：

PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

4.4简述CA的基本职责。

（1）制定并发布本地CA策略；

（2）对下属各成员进行身份认证和鉴别；

（3）发布本CA的证书，或者代替上级CA发布证书；

（4）产生和管理下属成员的证书；

（5）证实RA的证书申请，返回证书制作的确认信息，或返回已制作的证书；

（6）接受和认证对所签发证书的撤销申请；

（7）产生和发布所签发证书和CRL；

（8）保存证书、CRL信息、审计信息和所制定的策略。

第五章

1.简述针对主机的ARP欺骗的机制

中间人C冒充B，响应A以虚假的IPB—MACC，扰乱A的ARP列表，A发给B的数据发给了C。

2.IPsec中传输模式和隧道模式有何区别？

ESP在隧道模式中加密和认证（可选）整个内部IP包，包括内部IP报头。

AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。

当IPsec被用于端到端的应用时，传输模式更合理一些。

在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中，通常采用隧道模式；

而且，传输模式并不是必需的，因为隧道模式可以完全替代传输模式。

但是隧道模式下的IP数据包有两个IP头，处理开销相对较大。

3.AH协议和ESP协议各自提供哪些安全服务？

AH协议为IP数据包提供数据完整性校验和身份认证，还有可选择的抗重放攻击保护，但不提供数据加密服务；

ESP协议为IP数据包提供数据完整性校验、身份认证和数据加密，以及可选择的抗重放攻击保护，即除AH提供的所有服务外，ESP还提供数据保密服务，保密服务包括报文内容保密和流量限制保密。

第六章

1.恶意代码生存技术主要包括哪几个方面？

分别简述其原理。

（1）反跟踪技术：

反跟踪技术可以提高恶意代码的伪装能力和防破译能力，增加检测与清除的难度。

反动态跟踪：

禁止跟踪中断、封锁键盘输入和屏幕显示、检测（调试器）跟踪法、其他反跟踪技术。

反静态跟踪：

对恶意程序代码分块加密执行，伪指令法。

（2）加密技术：

加密技术是恶意代码自我保护的一种有效手段，通过与反跟踪技术相配合，可以使分析者无法正常调试和阅读恶意代码，不能掌握恶意代码的工作原理，也无法抽取恶意代码的特征串。

从加密内容划分，加密手段分为信息加密、数据加密和程序代码加密三种。

（3）模糊变换技术：

恶意代码每次感染一个对象时，嵌入宿主的代码都不相同。

（4）自动生产技术：

计算机病毒生产器使得对计算机病毒一无所知的普通用户，也能组合出功能各异的计算机病毒

2.蠕虫代码包括哪些模块。

分别具有什么功能？

蠕虫代码的功能模块至少需要包含扫描模块、攻击模块和复制模块三个部分。

蠕虫的扫描功能模块负责探测网络中存在漏洞的主机。

攻击模块针对扫描到的目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限，并获得一个shell。

攻击成功后，复制模块就负责将蠕虫代码自身复制并传输给目标主机。

第七章

1.列出并简要定义防火墙根据具体实现技术的分类。

（1）从工作原理的角度看，防火墙技术主要可分为网络层防火墙技术和应用层防火墙技术。

（2）根据防火墙的硬件环境的不同，可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙。

（3）根据防火墙功能的不同，可将防火墙分为FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等各种专用防火墙。

7.2什么是防火墙？

它有哪些功能和局限？

在计算机网络安全领域，是一个由软件或硬件设备的组合而成起过滤和封锁作用的计算机或网络系统。

它一般布置在本地网（可信内部网）和（不安全和不可信赖的）外部网络之间，作用隔离风险区域和安全区域的连接；

阻止不希望或未授权的通信进出内部网络。

通过边界控制强化内部网络的安全，同时不影响内部网络对外部网路的访问。

防火墙的典型功能（5）

1.访问控制功能：

是防火墙最基本和最重要的功能，通过禁止和允许特定用户访问特定资源，保护内部网络的资源和数据。

2.内容控制功能：

根据数据内容进行控制，如过滤垃圾邮件、限制外部只能访问本地Web服务器的部分功能，等等。

3.日志功能：

防火墙需要完整的记录网络访问的情况。

一旦网络发生了入侵或者遭到破换，可以对日志进行审计和查询，查明事实。

4.集中管理功能：

在防火墙上集中实施安全管理，使用过程中还可以根据情况改变安全策略。

5.自身安全和可用性：

防火墙要保证自己的安全，不被非法侵入，保证正常的工作。

防火墙还要保证可用性，否则网络就会中断，内部网的计算机无法访问外部网的资源。

防火墙的局限性（4）

1.不能防御不经由防护墙的攻击；

2.不能防范来自内部的攻击；

3.不能防止病毒感染程序和文件出入内部网；

4.不能防止数据驱动式攻击。

电子邮件复制本地机上，执行后攻击

7.3简述防火墙的四个发展阶段：

第一代防火墙基于路由器:

路由器防火墙一体；

采用的主要是包过滤技术

第二代防火墙由一系列具有防火墙功能的工具集组成：

将过滤功能从路由器中独立出来，加入告警和审计功能，因为是纯软件产品，随意对系统管理员技术要求高。

第三代防火墙为应用层防火墙：

它建立在通用操作系统之上，包括分组过滤功能，装有专用的代理系统，监控所有协议的数据和指令，保护用户编程和用户可配置内核参数的配置。

第四代防火墙为动态包过滤技术：

也称作状态检测技术，该技术能够对多种通信协议数据包做出通信状态的动态响应。

8.1简述网络攻击的过程：

1.隐藏自身：

利用技术手段隐藏自己真实的IP地址。

通常有两种方法：

第一种是入侵网络中一台防护较弱的主机（肉鸡），利用这台主机进行攻击。

第二种是网络代理跳板

2.踩点和扫描：

网络踩点就是通过各种途径对攻击目标尽可能多了解信息，分析得到被攻击系统可能存在的漏洞。

网络扫描就是利用各种工具探测目标网络的每台主机，以寻找该系统的安全漏洞。

有两种常用的扫描策略：

一种是主动式策略，基于网络；

另一种是被动式策略，基于主机。

3.侵入系统并提升权限：

一种常见的攻击方法是先以普通用户身份登录目标主机，然后利用系统漏洞提升自己的权限。

4.种植后门：

入侵者在被侵入主机上种植一些供自己访问的后门。

木马是另外一种长期主流对方主机的手段，远程控制功能比后门更强。

5.网络隐身：

在入侵完毕后，清除被入侵主机上的登录日志及其他相关日志。

8.2在DDos攻击过程中，都有哪些角色，分别完成什么功能？

在整个Ddos攻击过程中，共有4部分组成：

攻击者、主控端、代理服务器和被攻击者，其中每一个组成在攻击中扮演不同的角色。

1.攻击者主机：

由攻击者本人使用。

攻击者通过它发布实施DDos的指令，是整个DDos攻击中的主控台令。

2.主控傀儡机：

不属攻击者所有的计算机，而是攻击者非法侵入并控制的一些主机。

攻击者在这些计算机上安装特定的主控软件，通过这些主机再分别控制大量的攻击傀儡机。

3.攻击傀儡机：

攻击傀儡机是攻击的直接执行者，直接向被攻击主机发起攻击。

4.被攻击者：

是DDos攻击的直接受害者，目前多为一些大型企业的网站或数据库系统。

8.4什么是蜜罐？

蜜罐的主要功能是什么？

蜜罐系统是试图将攻击从关键系统引诱开并能记录其一举一动的诱骗系统。

蜜罐的功能是：

1.转移攻击重要系统的攻击者；

2.收集攻击者活动的信息；

3.希望攻击者在系统中逗留足够长的时间，使管理员能对此攻击做出响应。

9.1什么是隧道？

隧道的主要功能有哪些？

计算机网络中的隧道是逻辑上的概念，是在公共网络中建立的一个逻辑的点对点连接。

网络隧道技术的核心内容是“封装”。

隧道技术是指包括数据封装、传送和解封装在内的全过程。

隧道的功能（4）

1.将数据传输到特定的目的地：

在隧道两端建立一个虚拟通道，从隧道的一端传到隧道的另一端。

2.隐藏私有的网络地址：

在隧道开通器和隧道终止器之间建立一条专用通道，私有网络之间的通信内容经过隧道开通器封装后通过公共网络的虚拟专用通道进行传输。

3.协议数据传递：

隧道只需连接两个使用相同通信协议网络，不关心网络内部使用的通信协议。

4.提供数据安全支持：

隧道中传输的数据是经过加密和认证处理的，可以保证数据在传输过程中的安全性。

9.2画图简述PPTP的体系结构？

体系结构图：

PPTP是一个面向连接的协议，PAC和PNS维护它们的连接状态。

PAC和PNS之间两种连接：

控制连接、数据连接。

控制连接建立过程是：

1.PAC和PNS建立一个TCP连接。

2.PAC或者PNS向对方发送一个请求信息，请求建立一个连接。

3.收到请求的PAC或PNS发送一条响应消息。

控制连接建立以后，下一步就是数据连接，即隧道的建立。

数据连接是一个三次握手的机制：

请求、响应和已连接确认。

9.3SSLVPN应用了哪些关键技术，分别完成哪些功能？

SSLVPN实现的关键技术是Web代理、应用代换、端口转发和网络扩展。

1.Web代理技术：

代理技术提供内部应用服务器和远程用户Web客户端的访问中介

2.应用转换技术：

通过把非Web应用的协议转译为Web应用，实现与客户端Web浏览器的通信。

3.端口转发技术：

端口转发器监听特定应用程序定义的端口。

综述题1

现有一个中小企业的电子商务系统为了提高运行效益和服务质量，计划增开网络支付功能，请您用所学的知识为该企业分析当前网络安全的安全威胁，作出该企业的安全需求分析，并提出两个网络支付安全的方案，并对各自的所采用的网络安全标准协议、应用情况等优缺点进行分析。

当前网络安全的安全威胁有：

安全漏洞、主机入侵、病毒、蠕虫、木马、拒绝服务攻击、间谍软件、垃圾邮件和网络钓鱼、僵尸网络、恶意网站和流氓软件、黑客。

该企业的安全需求分析：

进行漏洞扫描和入侵检测、部署蜜罐系统。

网络支付安全的方案：

1.采用已有的网上支付或者支付宝等支付方式。

2.投资建设自己的网络支付环境和支付方式。

综述题2

分析当前淘宝网网络支付有哪几种解决方案？

分析各种支付解决方案中用户对支付方便性和安全性的观点，自己设计一套网络支付方案，并论述该方案中如何处理安全和便利问题？

淘宝网采用的电子支付解决方案：

网上银行和支付宝。

对于支付宝手段，支付宝安全性是非常高的，同时支付宝也是非常方便的。

用户对于支付宝的方便性和安全性都是非常肯定的。

对于网上银行手段，网上银行的安全性用户也都比较认可，但是大部分用户反映网上银行相对于支付宝来说不方便。

网络支付方案：

采用了快钱网上支付、网汇通在线支付、移动手机支付、网银支付和支付宝结合的支付方案。

综述题3、U盾安全支付流程、网银所用到的安全服务和安全机制

1、硬件PIN码保护

由于"

U盾"

采用了使用以物理介质为基础的个人客户证书，建立基于公钥（PKI）技术的个人证书认证体系（PIN码）。

黑客需要同时取得用户的U盾硬件以及用户的PIN码，才可以登录系统。

即使用户的PIN码被泄漏，只要用户持有的U盾不被盗取，合法用户的身份就不会被仿冒;

如果用户的U盾遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。

2、安全的密钥存放

U盾的密钥存储于内部的智能芯片之中，用户无法从外部直接读取，对密钥文件的读写和修改都必须由U盾内部的CPU的调用相应的程序文件执行，而从U盾接口的外面，没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。

这样可以保证黑客无法利用非法程序修改密钥。

3、双钥密码体制

为了提高交易的安全，U盾采用了双钥密码体制保证安全性，在U盾初始化的时候，先将密码算法程序烧制在ROM中，然后通过产生公私密钥对的程序生成一对公私密钥，公私密钥产生后，公钥可以导出到U盾外，而私钥则存储于密钥区，不允许外部访问。

进行数字签名时以及非对称解密运算时，凡是有私钥参与的密码运算只在芯片内部即可完成，全过程中私钥可以不出U盾介质，以此来保证以U盾为存储介质的数字证书认证在安全上无懈可击。

4、硬件实现加密算法

U盾内置CPU或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在U盾内进行，保证了用户密钥不会出现在计算机内存中。

当前，各金融机构竞相推出各种网络金融服务，网络银行，电话银行，手机支付，微信支付等新型服务。

请您设计网络银行电子支付的网络安全用户调查方案。

综述题4

调查目的：

了解用户对于网络银行的使用行为

热点安全问题：

网络安全支付

调查问卷设计：

1.请问你是否拥有银行卡（信用卡或储蓄卡）

A.是B.否

2.你是否已开通网上银行业务？

A.是B.否

3.您最近一年是否使用过网上银行？

4.从您第一次使用网上银行到现在已有多长时间？

A.不到2个月B.2个月以上到6个月C.6个月以上到1年D.其它

5.您使用过的网上银行是下列中的哪几家？

A.中国银行B.中国工商银行C.中国农业银行D.中国建设银行E.交通银行F.招商银行G.民生银行H.光大银行I.中国邮政储蓄J.其它

6.您经常使用的网上银行业务有以下哪几种？

A.账户信息查询（余额、交易明细等）B.转账/汇款C.信用卡还款D.个人理财业务（如基金买卖、债券买卖、证券资金存管等）E.个人贷款业务F.网上支付/缴费G.积分管理H.其它

7.您使用网上银行的原因是什么？

A.使用方便，节省时间精力B.去营业厅不方便C.网上购物便捷D.有些交易必须使用网上银行E.其它

8.在使用网上银行时，您看重哪些因素？

A.交易安全性B.功能多样性C.手续费便宜D.服务质量高E.银行的品牌或影响力F.其它

9.在使用网上银行进行网上支付时，您平均每次支付的金额是多少？

A.50元以下B.50-100元C.101-500元D.501-1000元E.1000以上元

10.你是否会继续使用网上银行？

A.肯定会B.可能会C.估计不会D.肯定不会

11.您认为我国网上银行建设的现状如何：

A.很好B.一般C不好

12.您认为我国网上银行的发展前景如何:

13.您的年龄：

14.您的性别：

A.男B.女

15.您的学历：

A.初中、中专B.高中、大专C.本科硕士D.博士及以上E.其它

16.您的职业：

A.政府/事业单位公务员B.企业员工C.自由职业者D.在校学生E.无业/失业F.其它

17.您的每月可支配收入是（如是学生的话，请依据每月的消费数额填写）：

*

A.500元及以下B.500以上-1000元C.1000元以上-2000元D.2000元以上-3000元E.3000元以上-5000元F.5000元以上-8000元G.8000元以上

拟发放对象和样本数：

某普通小区居民300