23年《信息安全工程師》考前20問

1、常見的網(wǎng)絡(luò)信息安全基本屬性有哪些?

常見的網(wǎng)絡(luò)信息安全基本屬性如下:

名稱說明

機(jī)密性是指網(wǎng)絡(luò)信息不泄露給非授權(quán)的用戶、實(shí)體或程序，能夠防止非授權(quán)者獲取信

機(jī)密性

息.

完整性完整性是指網(wǎng)絡(luò)信息或系統(tǒng)未經(jīng)授權(quán)不能進(jìn)行更改的特性。

可用性可用性是指合法許可的用戶能夠及時(shí)獲取網(wǎng)絡(luò)信息或服務(wù)的特性。

抗抵賴性抗抵賴性是指防止網(wǎng)絡(luò)信息系統(tǒng)相關(guān)用戶否認(rèn)其活動(dòng)行為的特性。

可控性可控性是指網(wǎng)絡(luò)信息系統(tǒng)責(zé)任主體對(duì)其具有管理、支配能力的屬性.

除了常見的網(wǎng)絡(luò)信息系統(tǒng)安全特性，還有真實(shí)性、時(shí)效性、公平性、可靠性、可生存性

其他

和隱私性等。

2、網(wǎng)絡(luò)攻擊的一般過程有哪幾個(gè)步驟？

網(wǎng)絡(luò)攻擊過程主要分為以下幾個(gè)步驟：

?隱藏攻擊源。隱藏黑客主機(jī)位置使得系統(tǒng)管理無法追蹤。

?收集攻擊目標(biāo)信息。確定攻擊目標(biāo)并收集目標(biāo)系統(tǒng)的有關(guān)唁息。

?挖掘漏洞信息。從收集到的目標(biāo)信息中提取可使用的漏洞詰息。

?獲取目標(biāo)訪問權(quán)限。獲取目標(biāo)系統(tǒng)的普通或特權(quán)賬戶的權(quán)限。

?隱藏攻擊行為。隱,蔽在目標(biāo)系統(tǒng)中的操作，防止入侵行為被發(fā)現(xiàn)。

?實(shí)施攻擊。進(jìn)行破壞活動(dòng)或者以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊。

?開辟后門。在目標(biāo)系統(tǒng)中開辟后門，方便以后入侵。

?清除攻擊痕跡。避免安全管理員的發(fā)現(xiàn)、追蹤以及法律部門取證。

3、端口掃描有哪些類型？

端口掃描目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。根據(jù)端口掃描利用的技術(shù)，掃描可以分為多種類

型:

掃描名稱說明

完全連接掃描利用TCP/IP協(xié)議的三次握手連接機(jī)制，贊源主機(jī)和目的主機(jī)的某個(gè)端口建立一次完整的連接。

完全連接掃描

如果建立成功，則表明該端口開放。否則,表明該端口關(guān)閉.

半連接掃描半連接掃描是指在源主機(jī)和目的主機(jī)的三次握手連接過程中，只完成前兩次握手，不建立一次完整的連接。

首先向目標(biāo)主機(jī)發(fā)送連接詁求，當(dāng)目標(biāo)主機(jī)返回響應(yīng)后，立即切斷連接過程，并直看響應(yīng)情況。如果目標(biāo)主

SYN掃描

機(jī)返回ACK信息，表明目標(biāo)主機(jī)的該端口開放。如果E標(biāo)主機(jī)返回RESET信息，表示該端口沒有開放。

首先山源主機(jī)A向dumb主機(jī)B發(fā)出連續(xù)的PING數(shù)據(jù)包，并且查看主機(jī)R返E1的數(shù)據(jù)包的【D頭信息（一般每

個(gè)順序數(shù)據(jù)包的ID頭的值會(huì)增加1）。然后由源主機(jī)A假日主機(jī)B的地址向目的主機(jī)C的任意端口（1-

65535）發(fā)送S、'N數(shù)據(jù)包.這時(shí)，主機(jī)C向主機(jī)B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：

1、SYNlACK表示該端口處于監(jiān)聽狀態(tài)：

ID頭信息掃描

2、RSTIACK表示該端口處于非監(jiān)聽狀態(tài)；

后續(xù)的PING數(shù)據(jù)包響應(yīng)信息的ID頭信息可以看出，如果主機(jī)C的某個(gè)端口是開放的，則主機(jī)B返回A的數(shù)

據(jù)包中，ID頭的值不是遞增1,而是大于1。如果主機(jī)C的某個(gè)端口是非開放的，則主機(jī)B返回A的數(shù)據(jù)包

中，ID頭的值遞增1,非常規(guī)律。

隱蔽掃描是指能夠成功地繞過IDS、防火增和監(jiān)視系統(tǒng)等安全機(jī)制，取得目標(biāo)主機(jī)端口信息的一種掃描方

隱蔽掃描

式。

由源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送SYNIACK數(shù)據(jù)包，而不是先發(fā)送SYN數(shù)據(jù)包。由尸這一方法不發(fā)送

SYN數(shù)據(jù)包，E標(biāo)主機(jī)會(huì)認(rèn)為這是一次錯(cuò)誤的連接，從而報(bào)錯(cuò)。

SYNIACK掃描

如果目標(biāo)主機(jī)的該端口沒布?開放，則會(huì)返回RST信息。如果目標(biāo)主機(jī)的該端口開放，則不會(huì)返回任何信息，

而是直接將數(shù)據(jù)包拋棄掉。

源主機(jī)A向目標(biāo)主機(jī)B發(fā)送FIN數(shù)據(jù)包,然后查看反餓信息。如果端口返回RESET信息，則說明該端口關(guān)

FIN掃描

閉。如果端口沒有返歸1任何信息，則說明該端1」開放.

首先由主機(jī)A向主機(jī)B發(fā)送FIN數(shù)據(jù)包，然后杳看反餓數(shù)據(jù)包的TTL值和WIN值。開放端口所返回的數(shù)據(jù)包

ACK掃描的TTL值一般小于64,而關(guān)閉端口的返回值一般大于64：開放端口所返回的數(shù)據(jù)包的WIN值一般大于0,而

關(guān)閉端口的返回值一般等于0.

將源主機(jī)發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志位全部置空.如果目標(biāo)主機(jī)沒有返回任何

NULL掃描

信息，則表明該端口是開放的。如果返回RST信息，則表明該端口是關(guān)閉的。

XMAS掃描的原逑和NULL掃描相同,只是將要發(fā)送的數(shù)據(jù)包中的ACK、FTN、RST、SYN、URG、PSH等標(biāo)志位全

XMAS掃描部置成1。如梟目標(biāo)主機(jī)沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則喪明該端口是

關(guān)閉的。

4、緩沖區(qū)溢出攻擊的防范策略有哪些？

緩沖區(qū)溢出攻擊的防范策略：

系統(tǒng)管理上的防范策略：

關(guān)閉不需要的特權(quán)服務(wù)；及時(shí)給程序漏洞打補(bǔ)丁。

軟件開發(fā)過程中的防范策略：

編寫正確的代碼；緩沖區(qū)不可執(zhí)行；改進(jìn)C語言函數(shù)庫。

漏洞防范技術(shù)：

地址空間隨機(jī)化技術(shù)；數(shù)據(jù)執(zhí)行阻止；堆棧保護(hù)。

惡意代碼：常見的惡意代碼類型有計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網(wǎng)絡(luò)

等。

5、拒絕服務(wù)攻擊有哪些類型?

拒絕服務(wù)攻擊的種類：

DoS攻擊名稱說明

利用TCP協(xié)議缺陷發(fā)送大量偽造的TCP連接請(qǐng)求，使得被攻擊者資源耗

同步包風(fēng)暴盡。三次握手，進(jìn)行了兩次(SYN)iSYN/ACK),不進(jìn)行第三次握手(ACK),

(SYNFlood)連接隊(duì)列處于等待狀態(tài)，大量的這樣的等待，占滿全部隊(duì)列空間，系統(tǒng)掛

起。

PingofDeath攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對(duì)方，導(dǎo)致內(nèi)存溢出，這時(shí)

（死亡之Ping）主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤而導(dǎo)致TCP/IP堆棧崩潰，導(dǎo)致死機(jī)！

TeardropAttack分段攻擊。偽造數(shù)據(jù)報(bào)文向目標(biāo)主機(jī)發(fā)送含有重疊偏移的數(shù)據(jù)分段，通過

（淚滴攻擊）將各個(gè)分段重疊來使目標(biāo)系統(tǒng)崩潰或掛起。

利用簡(jiǎn)單的TCP/IP服務(wù)，如用Chargon和Echo傳送亳無用處的占滿寬帶

UDPFlood的數(shù)據(jù)。通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次UDP連接，回復(fù)

（UDP洪水）地址指向開放Echo服務(wù)的?臺(tái)主機(jī)，生成在兩臺(tái)主機(jī)之間的足夠多的無用

數(shù)據(jù)流。

攻擊者偽裝H標(biāo)主機(jī)向局域網(wǎng)的廣播地址發(fā)送大量欺騙性的ICMPECHO請(qǐng)

Smurf攻擊求，這些包被放大，并發(fā)送到被欺騙的地址，大量的計(jì)算機(jī)向一臺(tái)計(jì)算機(jī)

回應(yīng)ECHO包，目標(biāo)系統(tǒng)將會(huì)崩潰。

針對(duì)服務(wù)端口(SMTP端口，即25端口)的攻擊方式，攻擊者通過連接到郵

垃圾郵件件服務(wù)器的25端口，按照SMTP協(xié)議發(fā)送幾行頭信息加上一堆文字垃圾，

反復(fù)發(fā)送形成郵件轟炸。

消耗CPU和內(nèi)存資源的利用目標(biāo)系統(tǒng)的計(jì)算算法漏洞，構(gòu)造惡意數(shù)據(jù)集，導(dǎo)致目標(biāo)系統(tǒng)的CPU或

拒絕服務(wù)攻擊內(nèi)存資源耗盡，從而使目標(biāo)系統(tǒng)癱瘓，如HashDoSo

引入了分布式攻擊和C/S結(jié)構(gòu)，客戶端運(yùn)行在攻擊者的主機(jī)上，用來發(fā)起

分布式拒絕服務(wù)攻擊控制代理端；代理端運(yùn)行在已被攻擊者侵入并獲得控制的主機(jī)上，從主控

(DDOS)端接收命令，負(fù)責(zé)對(duì)目標(biāo)實(shí)施實(shí)際的攻擊。利用C/S技術(shù)，主控程序能在

幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

6、SQL注入的原埋及注入的形式是什么？

(1)SQL注入原理：在web服務(wù)中一般采用三層架構(gòu)模式，即：瀏覽器+web服務(wù)瑞+數(shù)據(jù)庫；由于

web服務(wù)腳本程序的編程漏洞，網(wǎng)絡(luò)攻擊者將SQL命令插入web表單中的輸入域或頁面請(qǐng)求查找字符

串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

(2)注入形式

?hup：〃xxx.xxx.xxx/abc.asp??p=YY；

?執(zhí)行注入：hup：//xxx.xxx.xxx/abc.asp??p=YYanduser>0從運(yùn)行的錯(cuò)誤信息中可獲知用戶名；

?執(zhí)彳亍注入：http：//xxx.xxx.xxx/abc.asp??p=YYand(Selectpasswordfromloginwhereuser_name，

admin')>0從運(yùn)行的錯(cuò)誤信息中可獲知密碼。

7、黑客常用的工具有哪些？

工具名稱說明

NMAP網(wǎng)絡(luò)地圖

掃描器Nessus遠(yuǎn)程安全掃描器

SuperScan

遠(yuǎn)程監(jiān)控常見的遠(yuǎn)程監(jiān)控工具有冰河、網(wǎng)絡(luò)精靈、Netcato

JohntheRipper：用于檢查Unix/Linux系統(tǒng)的弱口令

密碼破解

LOphCrack：常用于破解Windows系統(tǒng)口令

Tcpdump/WireShark

網(wǎng)絡(luò)嗅探器

DSniff

Melasploit

安全滲透工具箱

BackTrack5

8、公鑰密碼體制的加密模型是什么？

加密模型：用接收者的公鑰作加密密鑰，私鑰作解密密鑰，即只有接收者才能解密密文得到明文。

加密過程：c=EpkB(m)

解密過程：m=DskB(c)

9、RSA密碼的加解密過程是怎樣的？

RSA的加密和解密

?參數(shù)定義和密鑰生成

選兩個(gè)大素?cái)?shù)p和q；(保密)

計(jì)算n=pXq,(|)(n)=(p-1)X(q-1)；(n公開，<i>(n)保密)

選一整數(shù)e,滿足IVeV”(n),且gcd(6(n),e)=1；(e公開)

計(jì)算d,滿足dXe三Imod。(n)(保密)

?加密算法：c—memodn

?解密算法：m=cdmodn

特點(diǎn)：

?加解密算法是可逆的，加密和解密運(yùn)算可交換，可同時(shí)確探數(shù)據(jù)的秘密性和數(shù)據(jù)的真實(shí)性。

?實(shí)現(xiàn)效率比較高效，其核心運(yùn)算是模塞運(yùn)算。

安全性：

?RSA密碼的安全性在于大合數(shù)的因子分解，應(yīng)當(dāng)采用足夠大的整數(shù)n,一般至少取1024位，最好

取2048位；國際可信計(jì)算組織TCG在可信計(jì)算標(biāo)準(zhǔn)中規(guī)定：一般加密密鑰和認(rèn)證密鑰選1024位，而平

臺(tái)根密鑰和存儲(chǔ)根密鑰則選2048位。

?選擇RSA的密碼參數(shù)：p和q要足夠大并且應(yīng)為強(qiáng)素?cái)?shù)：e、d的選擇不能太小，并且不要許多用戶

共用一個(gè)模數(shù)n。

10、Diffie-Hellman密鑰交換協(xié)議的具體流程是什么？

W.Diffie和M.E.Helhnan于1976年首次提出一種共享秘密的方案，簡(jiǎn)稱Diffie-Hellman密鑰交換協(xié)

議。DiiTie-Hellman密鑰交換協(xié)議基于求解離散對(duì)數(shù)問題的困難性，即對(duì)于下述等式：

Cd=MmodP

其操作步驟如下：

第一步，Alice和Bob確定一個(gè)適當(dāng)?shù)乃財(cái)?shù)p和a,并使得a是p的原根，其中窗和p可以公開。

第二步，Alice秘密選取一個(gè)摳數(shù)以，計(jì)算力=a『modp,并把以發(fā)送給Bob。

第三步，Bob秘密選取一個(gè)整數(shù)劭，計(jì)算y^MBmodp,并把打發(fā)送給Alice。力和油就是所說的

DifFie-Hellman公開值。

第四步，Alice和Bob雙方分別計(jì)算出共享密鑰K,即:

A

Alice通過計(jì)算K=(yfi)°modp生成密鑰K；

Bob通過計(jì)算K=(yA)modp生成密鑰K。

因?yàn)椋?/p>

Q/1asa4

K-(yB)modp=(amodp)modp

aa

=(aB)"mocip=a^modp

=(a3A)modp=(aa^modp)modp

a

=(%)Bmodp

所以Alice和Bob生成的密鑰K是相同的，這樣一來就實(shí)現(xiàn)了密鑰的交換。Alice和Bob采用Diffie-

Hellman密鑰交換的安全性基于求解離散對(duì)數(shù)問題的困難性，即從治或者丫8以及。計(jì)算4或如在計(jì)算上是

不可行的。

11、什么是SSH協(xié)議？

SSH是SecureShell的縮寫，即“安全外殼”，它是基于公鑰的安全應(yīng)用協(xié)議，由SSH傳輸層協(xié)議、

SSH用戶認(rèn)證協(xié)議和SSH連接協(xié)議三個(gè)子協(xié)議組成，各協(xié)議分工合作，實(shí)現(xiàn)加密、認(rèn)證、完整性檢杳等

多種安全服務(wù)。

用戶為了認(rèn)證服務(wù)器的公鑰真實(shí)性，有三種方法來實(shí)現(xiàn)：

?用戶直接隨身攜帶含有服務(wù)器公鑰的拷貝，在進(jìn)行密鑰交浜協(xié)議前，讀入客戶計(jì)算機(jī)；

?從公開信道下載服務(wù)器的公鑰和它對(duì)應(yīng)的指紋后，先通過電話驗(yàn)證服務(wù)器的公鑰指紋的真實(shí)性，然

后用HASH軟件生成服務(wù)器的公鑰新指紋，比較下載的指紋和新生成的指紋，若比較結(jié)果相同，則表明服

務(wù)器的公鑰是真實(shí)的，否則是虛假的。

?通過PKI技術(shù)來驗(yàn)證服務(wù)器。

SSH在端口轉(zhuǎn)發(fā)技術(shù)的基礎(chǔ)上，能支持遠(yuǎn)程登錄(Telnet)、rsh、rlogin、文件傳輸(sep)等多種安全

服務(wù)。Linux系統(tǒng)一般提供SSH服務(wù)，SSH的服務(wù)進(jìn)程端口通常為22。

12、網(wǎng)絡(luò)安全體系的主要模型有哪些？

(I)BLP機(jī)密性模型

Bell-LaPadula模型是符合軍事安全策略的計(jì)算機(jī)安全模型，簡(jiǎn)稱BLP模型。BLP模型有以下兩個(gè)特

性：

?簡(jiǎn)單安全特性：主體只能向下讀，不能向上讀

?*特性：主體只能向上寫，不能向下寫

(2)BiBa完整性模型

BiBa模型主要用于防止非授權(quán)修改系統(tǒng)信息，以保護(hù)系統(tǒng)的信息完整性。該模型同BLP膜型類似，

采用主體、客體、完整性級(jí)別描述安全策略要求。BiBa具有以下三個(gè)安全特性：

?簡(jiǎn)單安全特性：主體不能向下讀。

?，特性：主體不能向上寫。

?調(diào)用特性：主體的完整性級(jí)別小于另外一個(gè)主體時(shí)，不能調(diào)用另一個(gè)主體。

(3)信息流模型

信息流模型是訪問控制模型的一種變形，簡(jiǎn)稱FM。

信息流模型可表示為FM=(N,P,SC,―),其中，N表示客體集，P表示進(jìn)程集，SC表示安

全類型集，③表示支持結(jié)合、交換的二進(jìn)制運(yùn)算符，一表示流關(guān)系。一個(gè)安全的FM當(dāng)且僅當(dāng)執(zhí)行系列操

作后，不會(huì)導(dǎo)致流與流關(guān)系一產(chǎn)生沖突。

(4)信息保障模型

PDRR改進(jìn)了傳統(tǒng)的只有保護(hù)的單?安全防御思想，強(qiáng)調(diào)信息安全保障的四個(gè)重要環(huán)節(jié)。

?保護(hù)的內(nèi)容主要有加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、認(rèn)證機(jī)制、信息隱藏、防火墻技術(shù)

等。

-檢測(cè)的內(nèi)容主:要有入侵檢測(cè)、系統(tǒng)脆弱性檢測(cè)、數(shù)據(jù)完整性檢測(cè)、攻擊性檢測(cè)等。

?恢復(fù)的內(nèi)容主要有數(shù)據(jù)備份、數(shù)據(jù)修復(fù)、系統(tǒng)恢復(fù)等。

?響應(yīng)的主要內(nèi)容有應(yīng)急策略、應(yīng)急機(jī)制、應(yīng)急手段、入侵過程分析及安全狀態(tài)評(píng)估等。

（5）能力成熟度模型

能力成熟度模型（簡(jiǎn)稱CMM）是對(duì)一個(gè)組織機(jī)構(gòu)的能力進(jìn)行成熟度評(píng)估的模型。成熟級(jí)別一般分為

5級(jí)，其中，級(jí)別越大，表示能力成熟度越高，各級(jí)別定義如下：

?1級(jí)-非正式執(zhí)行：具備隨機(jī)、無序、被動(dòng)的過程

?2級(jí)-計(jì)劃跟蹤：具備主動(dòng)、非體系化的過程

?3級(jí)-充分定義：具備正式的規(guī)范的過程

?4級(jí)-量化控制：具備可量化的過程

?5級(jí)-持續(xù)優(yōu)化：具備可持續(xù)優(yōu)化的過程

（6）縱深防御模型

縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全防護(hù)措施有機(jī)組合起來，針對(duì)保護(hù)對(duì)象，部署合適的安

全措施，形成多道保護(hù)線，各安全防護(hù)措施能夠互相支持和補(bǔ)救，盡可能地阻斷攻擊者的威脅。目前，安

全業(yè)界認(rèn)為網(wǎng)絡(luò)需要建立四道防線：

?安全保護(hù)

?安全監(jiān)測(cè)

?實(shí)時(shí)響應(yīng)

?恢復(fù)

（7）分層防護(hù)模型

分層防護(hù)模型針對(duì)單獨(dú)保護(hù)節(jié)點(diǎn)。

（8）等級(jí)保護(hù)模型

等級(jí)保護(hù)模型是根據(jù)網(wǎng)絡(luò)信息系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程

度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定的安全保護(hù)要求和成本開銷等因素，將其劃分成不同的安全保護(hù)等

級(jí)，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。

（9）網(wǎng)絡(luò)生存模型

網(wǎng)絡(luò)生存性是指在網(wǎng)絡(luò)信息系統(tǒng)遭受入侵的情形下，網(wǎng)絡(luò)信息系統(tǒng)仍然能夠持續(xù)提供必要服務(wù)的能

力。

13、網(wǎng)絡(luò)安全體系在建設(shè)過程中主要遵循的原則有哪些?

名稱說明

在建立網(wǎng)絡(luò)安全防范體系時(shí)，應(yīng)當(dāng)特別強(qiáng)調(diào)系統(tǒng)的整體安全性，即

系統(tǒng)性和動(dòng)態(tài)性原則

“木桶原則”，即木桶的最大容積取決于最短的一塊木板。

網(wǎng)絡(luò)安全體系應(yīng)該包括安全評(píng)估機(jī)制、安全防護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)

縱深防護(hù)與協(xié)作性原則

制、安全應(yīng)急響應(yīng)機(jī)制。

指根據(jù)網(wǎng)絡(luò)資產(chǎn)的安全級(jí)別，采用合適的網(wǎng)絡(luò)防范措施來保護(hù)網(wǎng)絡(luò)資

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和分級(jí)保護(hù)原則

產(chǎn)，做到適度防護(hù)。

網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)

標(biāo)準(zhǔn)化與i致性原則

分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)、互通、互操作。

網(wǎng)絡(luò)安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，必須將各種安全技術(shù)與運(yùn)行管

技術(shù)與管理相結(jié)合原則

理機(jī)制、人員思想教育和技術(shù)培訓(xùn)、安全規(guī)章制度的建設(shè)相結(jié)合。

安全第一，預(yù)防為主原則網(wǎng)絡(luò)安全應(yīng)以預(yù)防為主。

安全與發(fā)展同步，業(yè)務(wù)與安全網(wǎng)絡(luò)安全的建設(shè)要實(shí)現(xiàn)和信息化統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)

等同一實(shí)施，確保三同步一一同步規(guī)劃、同步建設(shè)、同步運(yùn)行。

網(wǎng)絡(luò)安全體系建設(shè)要依托網(wǎng)絡(luò)信息產(chǎn)業(yè)的發(fā)展，做到自主可控，安全

人機(jī)物融合和產(chǎn)業(yè)發(fā)展原則可信，建立持續(xù)穩(wěn)定發(fā)展的網(wǎng)絡(luò)安全生態(tài)，支撐網(wǎng)絡(luò)安全體系的關(guān)鍵

要素可控。

14、Kerberos認(rèn)證流程是怎樣的？

一個(gè)Kerberos系統(tǒng)涉及四個(gè)基本實(shí)體：

Kerberos客戶機(jī)，用戶用來訪問服務(wù)器設(shè)備；

AS,識(shí)別用戶身份并提供TGS會(huì)話密鑰；

TGS,為申請(qǐng)服務(wù)的用戶授予票據(jù)；

應(yīng)用服務(wù)器，為用戶提供服務(wù)的設(shè)備或系統(tǒng)。

Kerberos工作流程示意圖

1.向AS請(qǐng)求TGS票據(jù)

Z爰送TGT給客戶AS服務(wù)器

Kerberos?

3.發(fā)送TGT和應(yīng)用服務(wù)票據(jù)申請(qǐng)

客戶

4.發(fā)送應(yīng)用票據(jù)給客戶

TGS服務(wù)器

KDC

5.發(fā)送會(huì)話票6.應(yīng)用請(qǐng)求服

據(jù)到服務(wù)器務(wù)器確認(rèn)請(qǐng)求

應(yīng)用服務(wù)

器

Kerberos協(xié)議中要求用戶經(jīng)過AS和TGS兩重認(rèn)證的優(yōu)點(diǎn)主要有兩點(diǎn)。

可以顯著減少用戶密鑰的密文的暴露次數(shù)，這樣就可以減少攻擊者對(duì)有關(guān)用戶密鑰的密文積累。

Kerberos認(rèn)證過程具有單點(diǎn)登錄的優(yōu)點(diǎn)，只要用戶拿到了TGT并且該TGT沒有過期，那么用戶就可

以使用該TGR通過TGS完成到任一服務(wù)器的認(rèn)證過程而不必重新輸入密碼。

但是，Kerberos也存在不足之處。Kerberos認(rèn)證系統(tǒng)要求解決主機(jī)節(jié)點(diǎn)時(shí)間同步問題和抵御拒絕服務(wù)

攻擊。

15、訪問控制類型有哪些?

控制類型說明

指客體的所有者按照自己的安全策略授予系統(tǒng)中其他用戶對(duì)其的訪問權(quán)。目前自

主訪問控制的實(shí)現(xiàn)方法有兩類：基于行的自主訪問控制和基于列的自主訪問控

制。

自主訪問控制基于行的自主訪問控制方法是在每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)

表，根據(jù)表可分為能力表、前綴表和口令三種形式。

基于列的自主訪問控制方法是在每個(gè)客體都附加一個(gè)可訪問它的主體的明細(xì)表，

他有兩種形式，即保護(hù)位和訪問控制表。

強(qiáng)訪問控制是指系統(tǒng)根據(jù)主體和客體的安全屬性，以強(qiáng)制方式控制主體對(duì)客體的

強(qiáng)訪問控制

訪問.

基于角色的訪問控基于角色的訪問控制（RBAC）就是指根據(jù)完成某些職責(zé)任務(wù)所需要的訪問權(quán)限

制來進(jìn)行授權(quán)和管理。

基于屬性的訪問控基于屬性的訪問控制簡(jiǎn)稱為ABAC,其方問控制方法是根據(jù)主體的屬性、客體的

制屬性、環(huán)境的條件以及訪問策略對(duì).主體的請(qǐng)求操作進(jìn)行授權(quán)許可或拒絕。

16、防火墻的安全策略有哪幾種？

白名單策略：只允許符合安全規(guī)則的包通過防火墻，其他通信禁止；

黑名單策略：禁止與安全規(guī)則相沖突的包通過防火墻，其他通信包都允許。

17、包過濾防火墻配置規(guī)則是怎樣的？

包過濾是在IP層實(shí)現(xiàn)的防火墻技術(shù)，包過渡根據(jù)包的源IP地址、FI的地址、源端口、目的端口及包

傳遞方向等包頭信息判斷是否允許包通過。

規(guī)則編號(hào)通信方向協(xié)議類型源IP目標(biāo)IP源端口目標(biāo)端口操作

AinTCP外部?jī)?nèi)部2102425允許

BoutTCP內(nèi)部外部25NI024允許

CoutTCP內(nèi)部外部2102425允許

DinTCP外部?jī)?nèi)部2521024允許

Eeitheranyanyanyanyany拒絕