南京大學(xué)自學(xué)考試《網(wǎng)絡(luò)安全》復(fù)習(xí)題集

第一章網(wǎng)絡(luò)安全性1、網(wǎng)絡(luò)攻擊方式，分為主動(dòng)攻擊和被動(dòng)攻擊，其中被動(dòng)攻擊包括監(jiān)聽(tīng)（如流量分析）主動(dòng)攻擊包括消息篡改，欺騙，重放，拒絕服務(wù)等等。要求說(shuō)出每種攻擊的大概方式，如流量分析和拒絕服務(wù)。2、網(wǎng)絡(luò)安全技術(shù)包括防火墻，加密，身份認(rèn)證，數(shù)字簽名等，其中加密技術(shù)可以實(shí)現(xiàn)信息在網(wǎng)絡(luò)上的安全傳輸。3、網(wǎng)絡(luò)安全三方模型中，三方是發(fā)信人，收信人，敵人，四方模型中加入了監(jiān)控方4、網(wǎng)絡(luò)攻擊：指任何非授權(quán)行為，包括簡(jiǎn)單的使服務(wù)器無(wú)法提供正常的服務(wù)到完全破壞，控制服務(wù)器第二章對(duì)稱密碼學(xué)1、密碼方法分類(lèi)：對(duì)稱密碼（古典密碼和現(xiàn)代對(duì)稱密碼）和非對(duì)稱密碼，掌握3種密碼之間的區(qū)別2、古典密碼包括替代密碼和置換密碼3、現(xiàn)代對(duì)稱密碼分為流密碼和分組密碼，流密碼包括A5，PKZIP分組密碼包括：DES，IDEA，Blowfish，RC5，GOST，要求掌握流密碼和分組密碼的概念4、DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）是重點(diǎn)，F(xiàn)函數(shù)的設(shè)計(jì)準(zhǔn)則：（嚴(yán)格雪崩準(zhǔn)則和比特獨(dú)立原則）第三章單向散列函數(shù)1、SHA/MD5算法的特點(diǎn)和區(qū)別，如產(chǎn)生的哈希值的長(zhǎng)度和處理的最長(zhǎng)的消息長(zhǎng)等P51，表3-12、單向散列函數(shù)的3個(gè)特點(diǎn)第四章公鑰密碼系統(tǒng)1、RSA，Diffie-Hellman密碼的數(shù)學(xué)原理和加密，解密過(guò)程第五章因特網(wǎng)與TCP/IP安全1、掌握網(wǎng)絡(luò)協(xié)議分層結(jié)構(gòu)如：SMTP/FTP/DNS/IP/UDP/ICMP/HTTP/Telnet協(xié)議屬于網(wǎng)絡(luò)體系結(jié)構(gòu)中的哪一層？2、區(qū)分TCP和UDP兩種傳輸協(xié)議，TCP協(xié)議可以向應(yīng)用程序提供可靠數(shù)據(jù)通信，UDP協(xié)議是一個(gè)無(wú)狀態(tài)的不可靠的傳輸協(xié)議3、TCP建立連接的三次握手依序分別由（SYNSYN+ACKACK）報(bào)文組成4、其他協(xié)議內(nèi)容，如DNS，ICMP，ARP：DNS:一般用戶不直接使用，但卻是其他服務(wù)的基礎(chǔ)DNS查詢中，從域名查詢對(duì)應(yīng)的IP地址屬于（A）類(lèi)型ICMP：Ping/Tracert命令所發(fā)送和接收的報(bào)文格式是在(ICMP)協(xié)議中定義ARP:以太網(wǎng)中的幀采用的地址是由（48）比特組成ARP請(qǐng)求通過(guò)（廣播）方式工作，ARP應(yīng)答是通過(guò)（單播）方式工作的,能自動(dòng)獲取機(jī)器的IP地址的網(wǎng)絡(luò)協(xié)議是（RARP，BOOTP，DHCP）第六章VPN與IPSec1、VPN的優(yōu)點(diǎn)：相比專(zhuān)用網(wǎng)絡(luò)成本低，保證可用性，維護(hù)簡(jiǎn)單，還可以提供安全性和保密性等功能2、VPN的應(yīng)用環(huán)境遠(yuǎn)程接入：沒(méi)有很定WAN連接情形下的接入;特定子網(wǎng)的可控制接入（詳見(jiàn)P113）3、VPN中最常見(jiàn),應(yīng)用最廣泛的隧道協(xié)議是PPTPL2TPIPSec4、IPSec的兩種操作模式是傳輸模式和隧道模式，傳輸模式下，IP報(bào)文首部以明文方式進(jìn)行傳輸，只能用于源和目的系統(tǒng)都可以理解IPSec協(xié)議的情況傳輸，隧道模式對(duì)整個(gè)IP包進(jìn)行保護(hù)，數(shù)據(jù)頭加密，所以可以防止通信量分析攻擊。5、IPSec包括3個(gè)子協(xié)議，兩個(gè)安全協(xié)議AH（認(rèn)證報(bào)頭協(xié)議）和ESP（封裝有效負(fù)載荷）和一個(gè)密鑰管理協(xié)議IKE（因特網(wǎng)密鑰交換管理協(xié)議）6、AH協(xié)議可以提供數(shù)據(jù)完整性，身份驗(yàn)證和抗重放（沒(méi)有保密性）7、ESP協(xié)議可以提供數(shù)據(jù)完整性，身份驗(yàn)證和抗重放保密性8、ESP必須實(shí)現(xiàn)兩個(gè)身份驗(yàn)證器，分別是：HMAC-SHA-96HMAC-MD5-96第七章SSL和TLS1、SSL（安全套接層）協(xié)議位于傳輸層和應(yīng)用層之間，包括兩層共4個(gè)協(xié)議,底層是SSL記錄協(xié)議，高層是SSL握手協(xié)議（最復(fù)雜），SSL警告協(xié)議和SSL改變密碼規(guī)范協(xié)議（最簡(jiǎn)單），了解各協(xié)議的作用，如SSL握手協(xié)議協(xié)商加密和MAC算法2、運(yùn)行在SSL協(xié)議之上的安全HTTP版本命名為HTTPS第八章身份認(rèn)證及作用1、身份認(rèn)證身份認(rèn)證即身份識(shí)別與驗(yàn)證，是計(jì)算機(jī)安全的重要組成部分。識(shí)別是用戶向系統(tǒng)提供聲明身份的方法。驗(yàn)證則是建立這種聲明有效性的手段。2、使用用戶ID和口令的組合進(jìn)行身份認(rèn)證的方法屬于3、Kerberos模型中。包括:客戶機(jī)，服務(wù)器，認(rèn)證服務(wù)器，票據(jù)服務(wù)器4、KerberosV5中，票據(jù)的生命周期是（V4不是）5、Kerberos系統(tǒng)中，票據(jù)本身應(yīng)該用AS與TGS之間的共享密鑰加密6、要支持交叉域認(rèn)證，Kerberos必須滿足的3個(gè)條件是：●Kerberos服務(wù)器在數(shù)據(jù)庫(kù)中必須擁有所有用戶Id和所有參與用戶的口令哈希后的密鑰。這就要求所有用戶都已經(jīng)注冊(cè)到Kerberos服務(wù)器●Kerberos服務(wù)器必須與每個(gè)應(yīng)用服務(wù)器共享保密密鑰。這就要求所有應(yīng)用服務(wù)器已經(jīng)注冊(cè)到Kerberos服務(wù)器●不同領(lǐng)域的Kerberos服務(wù)器之間共享一個(gè)保密密鑰。這就要求Kerberos服務(wù)器相互注冊(cè)7、數(shù)字證書(shū)由認(rèn)證中心對(duì)一些用戶的相關(guān)數(shù)據(jù)，例如用戶姓名，用戶識(shí)別碼，公鑰的內(nèi)容，簽發(fā)者的身份數(shù)據(jù)以及用戶相關(guān)的數(shù)據(jù)，以認(rèn)證中心的密鑰，運(yùn)用數(shù)字簽名技術(shù)生成一個(gè)數(shù)字簽名，之后將用戶的相關(guān)數(shù)據(jù)，認(rèn)證中心的簽名算法與數(shù)字簽名合成一個(gè)電子文件就是數(shù)字證書(shū)8、X.509中提出了兩種不同安全度的認(rèn)證等級(jí)，分別是9、X.509中基于CA數(shù)字證書(shū)的認(rèn)證技術(shù)屬于10、X.509中簡(jiǎn)單認(rèn)證為什么不適合用在開(kāi)放性網(wǎng)絡(luò)中？答：X.509中的簡(jiǎn)單認(rèn)證在安全性上考慮比較簡(jiǎn)單，只可以讓收方B認(rèn)證發(fā)方A是否為合法用戶，無(wú)法讓發(fā)方A來(lái)認(rèn)證收方B，達(dá)到雙發(fā)相互認(rèn)證的安全程度。所以簡(jiǎn)單認(rèn)證程序比較適合在較封閉的網(wǎng)絡(luò)環(huán)境中使用。在一般的開(kāi)放性網(wǎng)絡(luò)環(huán)境中，面對(duì)廣域網(wǎng)絡(luò)，簡(jiǎn)單認(rèn)證無(wú)法滿足在安全上的需求。第九章訪問(wèn)控制和系統(tǒng)審計(jì)1、1985年美國(guó)國(guó)防部發(fā)布的TCSEC把計(jì)算機(jī)等級(jí)劃分為2、我國(guó)GB17859-1999中把計(jì)算機(jī)安全等級(jí)劃分為等級(jí)3、訪問(wèn)控制：指對(duì)主體訪問(wèn)客體能力或權(quán)限的限制，以及限制進(jìn)入物理區(qū)域和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程（存取控制）。包括3個(gè)要素，主體，客體，保護(hù)規(guī)則。4、根據(jù)訪問(wèn)控制策略的不同，訪問(wèn)控制分為5、自主訪問(wèn)控制策略包括：訪問(wèn)控制矩陣，目錄表，能力表，訪問(wèn)控制列表，特點(diǎn)是：允許系統(tǒng)用戶對(duì)于屬于自己的客體直接或間接地轉(zhuǎn)移訪問(wèn)權(quán)6、自主訪問(wèn)控制的原理是：答：自主訪問(wèn)控制是根據(jù)主體身份或主體所屬組的身份或者二者的組合，對(duì)客體訪問(wèn)進(jìn)行限制的一種方法。這種訪問(wèn)控制允許用戶可以自主地在系統(tǒng)中規(guī)定誰(shuí)可以存取它的資源實(shí)體，例如用戶可以選擇其他用戶共享某個(gè)文件夾。7、強(qiáng)制訪問(wèn)控制的原理是：根據(jù)主體和客體的敏感標(biāo)簽來(lái)判斷是否允許主體訪問(wèn)客體。而且客體與主體的敏感標(biāo)簽是由系統(tǒng)管理員設(shè)置或由操作系統(tǒng)根據(jù)安全策略進(jìn)行設(shè)置，用戶無(wú)權(quán)更改8、基于角色訪問(wèn)控制的特點(diǎn)答：●用戶以什么樣的角色對(duì)資源進(jìn)行訪問(wèn)，決定了用戶擁有的權(quán)限和可以執(zhí)行何種操作?！窠巧^承：每類(lèi)角色都有自己的屬性，但可以繼承其他角色的屬性和權(quán)限●最小特權(quán)原則：即用戶所擁有的權(quán)利不能超過(guò)他完成工作時(shí)所需的權(quán)限。●職責(zé)分離：主體與角色分離，對(duì)于某些特定的操作，某一角色不能獨(dú)立完成，需要角色授權(quán)給用戶，分為靜態(tài)和動(dòng)態(tài)兩種●角色容量9、以下說(shuō)法不符合最小特權(quán)原則的是(B)A．用戶所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限B．為了公平原則，每個(gè)用戶都不能擁有太多的特權(quán)C．一方面要給予主體“必不可少”的特權(quán)，另一方面，它只給予主體“必不可少”的特權(quán)D．每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)被授予盡可能少的特權(quán)10、訪問(wèn)控制策略的不同，優(yōu)缺點(diǎn)？答：根據(jù)訪問(wèn)控制策略的不同，分為：自動(dòng)訪問(wèn)控制，強(qiáng)制訪問(wèn)控制，基于角色的訪問(wèn)控制。自主訪問(wèn)控制允許用戶可以自主地在系統(tǒng)中規(guī)定誰(shuí)可以存取它的資源，這提供了很大的靈活性。但同時(shí)也會(huì)給系統(tǒng)帶來(lái)威脅。很容易產(chǎn)生安全漏洞，因此安全級(jí)別很低。強(qiáng)制訪問(wèn)控制策略是根據(jù)主體和客體的敏感標(biāo)簽來(lái)判斷是否允許主體訪問(wèn)客體。而且客體與主體的敏感標(biāo)簽是由系統(tǒng)管理員設(shè)置或由操作系統(tǒng)根據(jù)安全策略進(jìn)行設(shè)置，用戶無(wú)權(quán)更改。雖然帶來(lái)了安全性的提高，但是靈活性又大打折扣?；诮巧脑L問(wèn)控制中，主體是否可以訪問(wèn)客體，是由主體的角色的決定的?；诮巧脑L問(wèn)控制中還有角色繼承，職責(zé)分離，角色容量和最小特權(quán)原則等特點(diǎn)，它克服了傳統(tǒng)的訪問(wèn)控制機(jī)制的不足，是一種有效而靈活的安全測(cè)率，是未來(lái)的發(fā)展趨勢(shì)11、審計(jì)答：審計(jì)是產(chǎn)生，記錄并檢查時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程，它是一個(gè)被信任的機(jī)制，是TCB的一部分。它也是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的組成部分。12、安全審計(jì)的目的●測(cè)試系統(tǒng)的控制是否恰當(dāng)，保證與既定安全策略和操作能夠協(xié)調(diào)一致●有助于做出損害評(píng)估●對(duì)控制，策略與規(guī)程中特定的改變做出評(píng)價(jià)。13、安全審計(jì)跟蹤需要考慮：選擇記錄什么信息在什么條件下記錄信息為了交換安全審計(jì)跟蹤信息所采用的語(yǔ)法和語(yǔ)義定義第十章防火墻技術(shù)1、掌握4種傳統(tǒng)防火墻技術(shù)：包過(guò)濾防火墻，應(yīng)用網(wǎng)關(guān)型防火墻，電路級(jí)防火墻，狀態(tài)檢測(cè)型防火墻，以及各自的優(yōu)點(diǎn)，傳統(tǒng)的防火墻技術(shù)中，（包過(guò)濾防火墻和狀態(tài)包檢測(cè)防火墻）允許通過(guò)防火墻的直接連接，電路級(jí)網(wǎng)關(guān)型防火墻(一個(gè)實(shí)現(xiàn)例子是SOCKS代理)不允許端到端的TCP連接2、包過(guò)濾器工作在（網(wǎng)絡(luò)）層3、雙重宿主主機(jī)是指該計(jì)算機(jī)至少有4、5、NAT6、可供進(jìn)行內(nèi)容屏蔽和阻塞訪問(wèn)的是技術(shù)是：7、應(yīng)用網(wǎng)關(guān)，堡壘主機(jī)，包過(guò)濾器，網(wǎng)絡(luò)防火墻P192：8、簡(jiǎn)述傳統(tǒng)代理的地址隱藏原理9、ICMP數(shù)據(jù)很有用，但也可能被利用來(lái)收集網(wǎng)絡(luò)相關(guān)的信息。簡(jiǎn)述一般需要防火墻阻止哪幾種報(bào)文類(lèi)型？10、簡(jiǎn)述應(yīng)用網(wǎng)關(guān)代理服務(wù)器的優(yōu)點(diǎn)，缺點(diǎn)11、簡(jiǎn)述電路級(jí)網(wǎng)關(guān)防火墻的工作原理，簡(jiǎn)述包過(guò)濾防火墻的工作原理12、簡(jiǎn)述與代理服務(wù)器相比，包過(guò)濾防火墻的優(yōu)，缺點(diǎn)13、包過(guò)濾器和應(yīng)用網(wǎng)關(guān)的差別14、分析傳統(tǒng)防火墻的缺點(diǎn)第十一章入侵檢測(cè)系統(tǒng)1、簡(jiǎn)述P2DR模型2、入侵檢測(cè)系統(tǒng)的定義以及其組成3、簡(jiǎn)述基于主機(jī)/網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的工作原理4、比較基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩者各有什么優(yōu)缺點(diǎn)？第十二章安全編程1、緩沖區(qū)溢出的定義，要避免緩沖區(qū)的溢出，應(yīng)遵循什么建議？P251第十三章移動(dòng)代碼安全（不要求，選學(xué)內(nèi)容）第十四章病毒與數(shù)據(jù)安全1、壞性衍生性多樣性2、病毒可能的寄生方式有（操作系統(tǒng)型，入侵型，外殼型）3、計(jì)算機(jī)病毒一般由（感染標(biāo)記，感染程序模塊，破壞程序模塊和觸發(fā)程序模塊）組成4、檢測(cè)病毒的方法包括：軟件模擬法，比較法，分析法，校驗(yàn)和法，特征代碼法，行為監(jiān)測(cè)法，特征代碼法不能檢測(cè)多態(tài)性病毒5、DOS系統(tǒng)中病毒的主要行為特征包括：占用INT31H，要修改DOS系統(tǒng)內(nèi)存區(qū)的內(nèi)存總量，對(duì)COM和EXE可執(zhí)行文件做寫(xiě)入操作6、第一種可以破壞硬件的病毒是（CIH病毒）7、計(jì)算機(jī)病毒，后門(mén)，蠕蟲(chóng)病毒8、為什么特征代碼法不適合用來(lái)檢測(cè)多態(tài)型病毒？9、簡(jiǎn)述計(jì)算機(jī)病毒的一般清除方法10、檢測(cè)病毒的方法和基本原理第十五章無(wú)線網(wǎng)絡(luò)通信安全1、藍(lán)牙工作在網(wǎng)絡(luò)協(xié)議的（物理層和鏈路層）2、藍(lán)牙應(yīng)用中，高層應(yīng)用可以由其他協(xié)議提供，這些協(xié)議包括3、藍(lán)牙規(guī)范最初定義的設(shè)備通信范圍為米4、藍(lán)牙規(guī)范中提出三種安全模式，分別是（無(wú)安全級(jí)，服務(wù)級(jí)和安全級(jí)）5、WAP規(guī)范定義了6、WTLS（無(wú)線傳輸層安全層）提供（匿名服務(wù)器雙向）認(rèn)證安全模式7、以下屬于無(wú)線網(wǎng)絡(luò)安全技術(shù)的有（802.11iWEPWPA）8、802.11b工作在（物理層和鏈路層）9、802.11b標(biāo)準(zhǔn)內(nèi)置了多種安全機(jī)制，其中包括（ESSI，訪問(wèn)控制列表，認(rèn)證）10、AD-Hoc無(wú)線網(wǎng)絡(luò)：僅由兩臺(tái)或多臺(tái)帶有無(wú)線網(wǎng)卡的計(jì)算機(jī)組成的對(duì)等網(wǎng)，組成簡(jiǎn)單，成本低，但是難于管理，可伸縮性差。11、為什么無(wú)線LAN容易受到拒絕服務(wù)攻擊？P318第十六