网络安全
定义:针对各种网络安全威胁研究其安全策略和机制,通过防护、检测和响应,确保网络系统及数据的安全性。
属性:机密性 认证(可鉴别性) 完整性 不可否认性 可用性 可靠性 可控性
2. 网络通信面临的4类安全威胁。
截获 阻断 篡改 伪造
3. OSI安全体系结构所定义的5类安全服务、8种安全机制。
5类安全服务: 身份认证服务 访问控制服务 数据机密性服务 数据完整性服务 不可否认服务
8种安全机制:公证机制
4. 网络安全模型及其组成框图。
在此模型中,保护安全的两个方法:1.与收发相关的安全转换,如消息加密。这种安全转换使得攻击者不能读懂消息,或者将基于消息的编码附于消息后,用于验证发送者的身份2.双方共享某些秘密信息,并希望这些信息不为攻击者所获知。
由框架可知,设计网络系统时需完成哪四个方面?
1) 设计一个用来执行与安全相关的安全转换算法,此算法攻击者无法破译
2) 产生一个用于该算法的秘密信息(密钥)
3) 设计一个分配和共享秘密信息(密钥)的方法
4) 指明通信双方使用的协议,该协议利用安全算法和秘密信息实现特定的安全服务
5.网络攻击的概念、流程,网络攻击的常用手段,类型。
概念:网络攻击是指对网络系统的机密性、完整性、可用性、可控性、不可否认性产生危害的任何行为。
流程(5部曲): 信息收集 实施攻击 隐蔽攻击行为 创建后门 清除攻击痕迹
常用手段: 监听 篡改数据 欺骗 盗用口令 拒绝服务 盗取密钥 网页挂马 利用系统漏洞实施攻击。
类型:主动攻击 被动攻击
\6. 网络扫描分为哪几种类型?各类网络扫描的目的是什么?
1)主机扫描:也称为ping扫描,是探测目标网络拓扑结构的一个基本步骤。它是指通过对目标网络IP地址范围进行自动化扫描,来确定这个网络中存在着哪些活跃的网络设备与系统。
2)端口扫描:目的是找出目标主机上开放的端口和提供的服务,并记录目标主机的响应。
3)系统类型扫描
4)漏洞扫描:检查目标主机是否存在漏洞,是端口扫描和系统类型探查的后续工作,也是网络安全人员或攻击者收集网络或主机信息的最后一步。
\7. 网络攻击技术原理,包括ARP欺骗、IP欺骗、DOS/DDOS攻击、SQL注入攻击以及远程控制(木马)等。
ARP****欺骗:利用ARP的安全漏洞,通过向目标主机发送伪造的ARP请求或应答报文使目标主机将数据报文发送到攻击者指定的计算机上去
方式 主机B向A发送ARP应答(请求)报文,将主机C的MAC地址映射为D主机A正在向C发送报文
主机A接收到B发送的ARP欺骗报文后将报文发给了主机D,D为任意主机
IP欺骗:指利用主机之间的正常信任关系,通过修改IP数据包中的源地址,以绕开主机或网络访问控制、隐藏攻击来源的攻击技术。IP欺骗就是向目标主机发送源地址为非本 机IP地址的数据包。
DOS/DDOS****攻击:攻击者利用系统缺陷,通过一些恶意的操作使得合法的系统用户不能及时得到应得的服务或系统资源,如cpu处理时间、存储器、网络带宽等。
SQL****注入攻击:SQL注入是源于SQL语句的漏洞。由于在编写Web程序代码时,存在许多隐患,攻击者构造并提交SQL语句注入到DBMS中,根据返回结果,获取想得知的数据,获得访问权限
8. 防火墙的概念、主要功能、技术实现方式;
概念:所谓防火墙是指是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软 件系统集合,是实现网络安全策略的有效工具之一。
主要功能:加强对网络系统的访问控制 保护内网中脆弱和存在安全漏洞的网络服务对网络存取和访问进行监控审计 强化网络安全策略并集成其他安全防御机制
技术体现方式:包过滤:工作在网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤 条件的数据包才被转发到相应的目的地,其余数据 包则被从数据流中丢弃。
\9. 防火墙的体系结构,包括屏蔽子网的部署等。?
体系结构:双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 新型混合防火墙体系结构
防火墙部署应用:区域分割的层叠方式:使用2台中心防火墙,将DMZ区域放置在两台防火墙之间 连接外网和DMZ区域的防火墙仅承担数据包过滤任务, 通常由边界路由器的访问控制列表(ACL)来实现; 连接内网和DMZ区域的中心防火墙是专用防火墙,实施 详细的访问控制策略。
区域分割的三角方式:将网络分割为3个区域:内部网络(军事化区域)、外部 网络(互联网)、非军事化区域(DMZ区域),通过中 心防火墙以三角方式连接起来。 中心防火墙一般布置在双宿主主机上,由IPSec安全、安 全策略管理、用户认证三大子模块构成
\10. 入侵检测的概念,入侵检测系统的工作流程、在网络中的部署等。
概念:入侵检测就是对入侵行为的 检测与发现,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。
工作流程: 信息收集 收集的内容包括系统、网络、数据及用户活动的状态 和行为。 数据分析核心工作。数据分析的方法一般有3种: ①模式匹配。②统计分析。③完整性分析。 结果处理 通过数据分析发现了入侵迹象时,入侵检测系统把分 析结果记录在日志文件中,并产生一个告警报告,同时还 要触发警报到控制台
在网络中的部署:
基于网络入侵检测系统的部署 可以将入侵检测系统的部署点划分为外网入口、DMZ区 、内网主干和关键子网4个部署点
基于主机入侵检测系统的部署 安装在被重点监测的关键主机上,主要是对该主机的 网络实时连接及系统审计日志进行智能分析和判断。
11.密码学及其应用
(1)密码学的基本概念,保密通信系统的一般模型等。
密码学概念:是一门关于发现、认识、掌握和利用 密码内在规律的科学,由密码编码学和密码分析学组成。
保密通信系统的一般模型:
(2) 按密钥方式可将加密技术分为哪两种?分析其各自的特点。
两种类型:对称密钥密码技术 非对称密码体制(公开密钥密码技术)
特点:对称密钥密码技术:也称秘密密钥算法、对称密码算法。通信双方共享一个密钥。包括:DES、3DES、IDEA、AES。
非对称密码体制(公开密钥密码技术):要求通信的一方拥有别人不知道的私有密钥,同时可以向所有人公布一个公开密钥。包括:D-H算 法、RSA算法、椭圆曲线算法。
(3) 有哪些典型的对称密钥密码算法、公开密钥密码算法,列举出具体的算法名称。
对称密钥算法:替代密码(凯撒密码)和转置密码 据加密标准:DES算法 IDEA算法
公开密钥算法:RSA算法 D-H算法 椭圆曲线算法
对称密码新标准:AES加密算法
(4)阐述公钥加密算法的含义?请分析公钥加密体制的用途。
所谓公开密钥算法就是使用不同的加密密钥和解密密钥,用来加密的公钥与解密的密钥是数学相关的,并且公钥与私钥成对出现。
用途:用于对少数关键数据进行加密,或者用于数字签名,即用公共密钥技术在通 信双方之间传送私钥,而用私钥来对实际传输的数据加密,解密
(5)利用替代密码算法、转置密码算法进行加、解密。给出明文消息,求密文。
替代密码:
转置密码:
(6)DES算法:分析描述DES的一轮运算过程。描述DES算法中S-盒置换的工作原理。若给定某个S-盒的输入值(如101010),写出该S-盒的输出(需写出必要过程)
Sn(10,1010)=Sn(10(列),0101(行))
(7)RSA算法:分析描述RSA算法的流程。给出两个大素数p、q,对给定的明文消息进行加密、解密运算。简要分析RSA算法的安全性得以保障的原因。512位密匙长度
先 q p n=qp f(n)=(p-1)(q-1) e为与f(n)的一个质数 d ed (ed mod f(n)=1) 公开密钥<e,n> 秘密密匙<d,n> 密文c=加密数emod n 明文 m=cdmod n
(8)单向散列算法的特性,消息摘要算法(MD5)的基本操作过程等。
(9)数字签名的基本概念。描述直接数字签名的过程。
概念:所谓数字签名就是指只有信息的发送者才能产生、别人无 法伪造的一段数字串,是对发送者所发送信息真实性的一 个证明
过程:
(10)描述数字证书的主要功能? 身份认证 加密传输信息 数字签名抗否认
(11)PKI(公开密钥基础设施)的基本概念及其所提供的安全服务。
概念:公钥基础设施是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。
安全服务:身份认证服务 数据完整性服务 数据机密性服务 不可否认服务 公证服务
(12)IPSec的基本概念及其所提供的安全服务。
概念:IPSec 是“IP 安全”的缩写,是IETF在开发 IPv6时为保证IP数据报安全而设计的,是IPv6的一个组成 部分、是IPv4的可选项,其基本目的就是把安全机制引入 IP协议。
安全服务:保证数据的机密性 保证数据完整性与身份认证 保证数据来源可靠
(13)虚拟专用网(VPN)的基本概念及其所提供的安全服务。
概念:虚拟专用网是指在公用网络上通过隧道 和/或加密技术,建立的逻辑专用数据通信网
安全服务:机密性服务完整性服务认证服务
是IPv4的可选项,其基本目的就是把安全机制引入 IP协议。
安全服务:保证数据的机密性 保证数据完整性与身份认证 保证数据来源可靠
(13)虚拟专用网(VPN)的基本概念及其所提供的安全服务。
概念:虚拟专用网是指在公用网络上通过隧道 和/或加密技术,建立的逻辑专用数据通信网
安全服务:机密性服务完整性服务认证服务
(14)Web安全服务的实现。基于网络层实现web安全 传输层的安全性 基于应用层实现web安全