网络安全复习资料.doc

题型：I、单选10 分( 10*1 分)二、多选20 分( 10*2 分)三、判断10 分( 10*1 分) 四、名词解释15 分( 5*3 分)五、简答题35 分( 5*7 分)六、综合题10 分( 1*10 分)
一、名词解释
网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭
受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

安全威胁：
安全管理：它是为实现安全目标而进行的有关决策、计划、组织和控制等方面的活
动安全服务：指提供数据处理和数据传输安全性的方法
安全策略：是指在某个安全区域内，用于所有与安全相关活动的一套规则。

访问控制：按用户身俭及其所归属的某预定义组来限制用户对某些信息项的访问，或者限制对
某些控制功能的使用。

物理安全；通过物理隔离实现网络安全
逻辑安全：通过软件方面实现网络安全
操作系统安全
网络入侵
拒绝服务攻击：通过某些手段对目标造成麻烦，使某些服务被暂停甚至主机死机
欺骗：使用一台计算机上网，而借用此外一台机器的IP 地址，从而冒充此外一台机器与服务器
打交道。

行动产生的IP 数据包伪造的源IP 地址，以便冒充其他系统或者保护发件人的身分。

数字签名：使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。

防火墙：一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。

入侵检测：通过对计算机网络或者计算机系统中若干关键点采集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

安全协议：是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。

中间人攻击：通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，计算机就称为“中间人”。

然后入侵者把这台计算机摹拟一台或者两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或者修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。

欺骗：伪造-个并不存在的ARP 地址，从而造成计算机之间的网络不通。

信息篡改
信息窃取
源路由选择欺骗：利用IP 数据包中的一个选项-IP Source Routing 来指定路由，利用可信用户对服务器进行攻击
会话劫持： 1 被动劫持，就是在后台监视双方会话的数据流，丛中获得敏感数据； 2 主动劫持，
将会话之中的某一台主机“踢”下线，然后由攻击者取代并接管会话
攻击利用TCP 协议缺陷，通过发送大量的半连接请求，耗费CPU 和内存资源泪滴攻击
利用那些在TCP/IP 堆栈实现中信任IP 碎片中的包的标题头所包含的信息来实现自己的攻击
端口扫描：通过向计算机发送一组端口扫描信息，了解其提供的计算机网络服务类型。

缓冲区溢出：计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法
数据上
通过使用加密的安全服务以确保在Internet 协议(IP)网络上进行保密而安全的通讯
认证头协议。

它为IP 数据包提供数据完整性、数据源身份验证以及抗重放攻击服务，但是它
不提供数据的机密性保护
封装安全载荷，为IPSEC 提供数据加密和认证服务
安全套接层，为网络通信提供安全及数据完整性的一种安全协议。

公钥基础设施，利用公钥理论和技术建立的提供安全服务的基础设施。

主要功能为隐藏其他程式进程的软件，可能是一个或者一个以上的软件组合后门：绕过软
件的安全性控制而从比较隐秘的通道获取对程序或者系统访问权的方法特洛伊木马：一种秘密潜
伏的能够通过远程网络进行控制的恶意程序。

控制者可以控制被秘密植入木马的计算机的一切
动作和资源，是恶意攻击者进行窃取信息等的工具。

安全审计：由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算
机网络环境下的有关活动或者行为进行系统的、独立的检查验证，并作出相应评价应急响应：
对突发事件的应变策略及行动
风险分析:对可能遇到的自然环境的灾难和危害的潜在频率和后果，所提出的各种备选方案，做出评估和分析。

风险评估：风险事件发生之前或者之后(但还没有结束) ，该事件给人们的生活、生命、财产等各
个方面造成的影响和损失的可能性进行量化评估的工作。

包过滤：它通过检查单个包的地址，协议，端口等信息来决定是否允许此数据包通过。

状态检测：直接对分组的数据进行处理，并且结合先后分组的数据进行综合判断，然后决定是否允许该数据
包通过。

代理防火墙：通过一种代理(Proxy)技术参预到一个TCP 连接的全过程。

从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。

这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

是一种将私有(保留)地址转化为合法IP 地址的转换技术
堡垒主机:是一种被强化的可以谨防进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统
与安全系统之间的缓冲区
安全漏洞：漏洞是在硬件、软件、协议的具体实现或者系统安全策略上存在的缺陷，从而可以
使攻击者能够在未授权的情况下访问或者破坏系统。

是受限制的计算机、组件、应用程序或者其
他联机资
源的无意中留下的不受保护的入口点。

恶意代码:(UnwantedCode)是指没有作用却会带来危（wei）险的代码，一个最安全的定义是把所
有不必要的代码都看做是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某
个组织安全策略相冲突的软件。

计算机病毒：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并
且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。

具有破坏性，复制性和传染性。

蠕虫：一种能够自动通过网络进行自我传播的恶意程序。

它不需要附着在其他程序上，而是独立存在的。

当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。

逻辑炸弹：引起时的症状与某些病毒的作用结果相似，并会对社会引起连带性的灾难。

与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。

脚本病毒：通常是JavaScript 代码编写的恶意代码，普通带有广告性质，会修改您的IE 首页、
修改注册表等信息，造成用户使用计算机不方便。

宏病毒：是一种寄存在文档或者模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal 模板上。

灾难恢复：指自然或者人为灾害后，重新启用信息系统的数据、硬件及软件设备，恢复作的过程。

安全认证：认证的官方含义是：由可以充分信任的第三方证实某一经鉴定的产品或者服正常商业运务符合特定
标准或者规范性文件的活动。

NAS 产品的认证通常是指是否通过国际上通用的安全标准。

完整性检验：对网络信息在存储或者传输过程中保持不被偶然或者蓄意地删除、修改、伪造、乱重放、插入等行为破坏和丢失的特性的检验。

网络入侵：未经授权进入他人网络信息系统的行为。

网络监听：是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络设定成监听模式，并且可以截获网络上所传输的信息。

口令破解：攻击者为达到访问用户资源的目的，通过一定手段猜测或者确定用户的口令，以机器或者网络的访问权。

序、界面获得
二、简答题
网络攻击和谨防分别包括哪些内容？
答：攻击：1 )网络监听2 )网络扫描3 )网络入侵4)网络后门5 )网络隐身
谨防：1 )安全操作系统和操作系统的配置2 )加密技术3 )防火墙技术4)入侵检测5 ) 网络安全协议
影响一个计算机系统的安全性的原因主要有哪些？
答：物理安全威胁、操作系统安全缺陷、网络协议安全缺陷、应用软件缺陷、用户使用的缺陷和恶意代码
为什么要研究网络安全？
答：网络需要与外界联系，同时也受到许多方面威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等，目前研究网络安全已经不只为了信息和数据的安全性，网络安全已经渗透到国家的政治、经济、军事等领域。

网络安全可以分成哪几层，每层有什么特点？
答：从层次体系上，可以将网络安全分成四个层次上的安全：
1 物理安全特点：防盗防火防静电防雷击和防电磁泄漏
2 逻辑安全特点：需要用口令、文件许可等方法来实现
3 操作系统安全特点：不允许一个用户的修改由另一个用户产生的数据
4 联网安全特点：通过访问控制和通信安全这两个服务来达到
建立连接的过程称为“
如果对“三次握手”的过程进行修改会浮现什么样的情况？
答：
什么是缓冲区溢出攻击？需要哪些条件？
答：缓冲区溢出：计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上 5.5 简述缓冲区溢出攻击的原理。

答：当目标操作系统收到了超过了它的能接收最大信息量时将发生缓冲溢出。

这些多余的数据使程序的缓冲区溢出，然后覆盖实际程序数据，使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。

会被
简述什么是地址欺骗？
答：使用一台计算机上网，而借用此外一台机器的IP 地址，从而冒充此外一台机器与服务器打交道。

行动产生的IP 数据包伪造的源IP 地址，以便冒充其他系统或者保护发件人的身分。

病毒和特洛伊木马时常浮现在电子邮件附件中，用户接收到这样的可以有哪几种处理
方式？
答：
什么是端口扫描？它有什么危害？
答：端口扫描是指某些别实用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。

端口扫描是计算机解密高手喜欢的一种方式。

攻击者可以通过它了解到从哪里可探寻到攻击弱点。

其实端口扫描包括向每一个端口发送消息，一次只发送一个消息。

接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。

数字证书的作用是什么？
答:数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet 上验证您身份的方式，其作用类似于司机的驾驶执照或者日常生活中的身份证。

它是由一个由权威机构—-CA 机构，又称为证书授权( Certificate Authority )中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

什么是有什么优点？
答：利用那些在TCP/IP 堆栈实现中信任IP 碎片中的包的标题头所包含的信息来实现自己的攻击黑客在攻击的过程中，需要经过哪些步骤？目的是什么？
答：1 )隐藏IP：IP 隐藏使网络攻击难以被侦破。

2 )踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。

扫描的目的是利用各种工具在攻击目标的IP 地址或者地址段上的主机上寻觅漏洞。

3 )获得系统或者管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。

4)种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

5 ) 在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。

简述缓冲区溢出攻击的原理。

答:缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。

缓冲区溢出是一种非常普遍、非常危（wei）险的漏洞，在各种操作系统、应用软件中广泛存在。

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上，理想的情况是：程序检查数据长度并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配，这就为缓冲区溢出埋下隐患。

操作系统所使用的缓冲区，又被称为“堆栈” ，在各个操作进程之间，指令会被暂时储存在“堆栈”之中，“堆栈”也会浮现缓冲区溢出。

缓冲区溢出攻击的原理：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

简述木马和后门的区别。

答：本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，普通还有远程控制的功能，后门程序功能比较单一，只是提供客户端能够登陆对方的主机。

什么是入侵检测系统？简述入侵检测系统目前面临的挑战。

答：入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。

入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。

入侵检测系统面临的挑战：一个有效的入侵检测系统应限制误报浮现的次数，但同时又能有效截击。

误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的正常
假警报，而诱导没有警觉性的管理员把入侵检测系统关掉。

没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个：缺乏共享数据机制、缺乏集中协调机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。

在遇到入侵后，如何恢复系统？有哪些需要注意的地方？
答：
什么是攻击？
答：
简述操作系统账号密码的重要性。

答：
系统下如何关闭不需要的端口和服务？
答:端口：右键“网上邻居”一“属性”一“本地连接一“属性” ，一选择“Internet 协议( TCP/IP ) ” ，点击“属性”-“高级” 一“选项”选中“TCP/IP 筛选" ，点击“属性” 一选择“启用TCP/IP 筛选”的复选框，然后把左边“TCP 端口”上的“只允许”选上。

这样，您就可以来自己添加或者删除您的TCP 或者UDP 或者IP 的各种端口了。

添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。

服务：：开始-运行，输入services.msc,或者通过开始一控制面板一管理工具一服务来进行设置
安全操作系统应该具有哪些功能？
答：安全操作系统的机制包括硬件安全机制、操作系统安全标识与鉴别、访问控制、最小特权管理、可信通路和安全审计。

(硬件安全机制：存储保护、运行保护、I/O 保护
安全标识与鉴别：是涉及用户和系统的一个过程。

访问控制：自主访问控制(最常用的一类访问控制机制，用来决定用户是否有权访问一些特定客体的一种访问约束机制)、强制访问控制MAC (在此机制下，系统中的每一个进程、文件、IPC 客体都被赋予了相应的安全属性，这些安全属性不能改变的，它由管理部门或者操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或者他们的程序直接或者间接的修改)
最小特权管理：为使系统能够正常的运行，系统中的某些进程需具有一些可违反系统安全策略的操作能力，这些进程普通是系统管理员/操作员进程。

普通定义一个特权就是可违反系统安全策略的一个操作的能力。

可信通路：特权用户在进行特权操作时，也要有办法证实从终端上输出的信息是正确的，而不是来自于特洛伊木马。

这些都需要一个机制保障用户和内核的通信，这种机制就是由可信通路提供的。

安全审计：就是对系统中有关安全的活动进行记录、检查及审核。

主要目的就是检测和阻挠非法用户对计算机系统的入侵，并显示合法用户的误操作. )
常见防火墙模型有哪些？比较它们的优缺点。

答：筛选路由器模型，是网络的第一道防线，功能是实施包过滤，该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能；单宿主堡垒主机(屏蔽主机防火墙)模型，由包过滤路由器和堡垒主机组成，实现了网络层安全和应用层安全，优点是安全性比较高，但增加了成本开消和降低了系统性能，并且对内部计算机用户也会产生影响；双宿主堡垒主机模型(屏蔽防火墙系统模型)，可以构造更加安全的防火墙系统，如果运行用户注册到堡垒主机，那末整个内部网络上的主机都会受到攻击的威胁；屏蔽子网模型，用了两个包过滤路由器和一个堡垒主机，是最安全的防火墙系统之一，支持网络层和应用层安全功能。

计算机病毒和其他的恶意代码之间有什么区别和联系？
答：区别：计算机病毒需要寄主且可感染，其他恶意代码不同时具备这两个特征
网络协议存在哪些主要的安全缺陷？
答：网络协议的安全缺陷有的是由于源地址的认证问题造成的，有的来自网络控制机制和路由协议等。

其主要的安全缺陷有TCP 序列号估计，路由协议缺陷，网络监听，TCP/UDP 应用层服务中finger 和FTP 的信息暴露，TELNET,POP3, TFTP/BOOTP 的安全问题等。

计算机病毒有哪些基本特征？
答： 1 传染性,传染性是计算机病毒的基本特征。

计算机病毒能通过各种可能的渠道从已被 感染的 计算机扩散到未被感染的计算机。

2 非授权性。

病毒具有正常程序的一些特征，他隐藏在正常的程序之中，当用户调用正 常的 程序是，它窃取到系统的控制权，先于正常程序运行，病毒的动作对用户来说是未知的， 是未经 用户允许的。

3,隐蔽性。

病毒普通是具有很高编程技巧的短小精悍的程序，筒长度在正常程序中或者 磁盘 较为隐蔽的地方，也有个别的已隐藏文件形式浮现，目的是不让用户发现。

4 潜伏性。

大部份病毒感染系统后，普通不会即将发作，他可以长期隐藏在系统中，只 有在 满足特定条件时才启动其表现模块
5 破坏性。

任何病毒只要入侵系统，都会对系统及应用程序产生不同程度的破坏。

6 不可预见性,病毒对反病毒软件往往是超前的。

对操作系统安全构成的威胁主要有哪几种？
答：计算机病毒 :是指编制在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算 机使用， 并能自我复制的一组计算机指令或者程序代码。

特洛伊木马:是一段计算机程序，表面在执行合法功能，实际上却完成为了用户不曾经料到的非 法功能，
他与病毒程序不同，是一个独立的应用程序，不具备自我复制能力。

但她通病毒程 序一样，具有 潜伏性，且具有更大的欺骗性和危害性。

隐蔽通道 :他可定义为系统中不受安全策略控制的，违反安全策略的信息泄露途径，分为存 储隐蔽
通道和实践隐蔽通道。

天窗:是嵌在操作系统的一段非法代码，渗透者通过该代码提供的方法侵入操作系统内部， 而不是 在应用程序中。

他很想操作系统里可供渗透的一个缺陷。

如何保证数据库中数据的完整性？
答：数据的完整性主要是指防止数据库中存在不符合寓意的数据，防止错误信息的输入和输 出， 它包括数据的正确性，有效性和一致性。

实现对数据的完整性约束，就要求系统有定义 完整性约 束条件的功能和检查完整性条件的方法。

完整 i 型那个约束条件包括以下几种： 1 数据类型和阈值 约束 2 关键字约束 3 数据练习的约束。

以上约束是静态约束，还有一种是动 态约束，是当数据库 的数据状态变化时，新旧值之间的约束条件，执行约束条件的状态分为 即将和延迟执行约束。

站点面临的安全威胁有哪些？
答：信息泄露、拒绝服务、系统崩溃和跳板
作为用户，应该怎样才干使自己设置的口令更加安全？
答：定期更换口令；为防止社会工程学攻击和字典攻击，保证口令长度和口令复杂度足够； 不在 公共场合讨论口令内容，警惕口令泄露；使用软件进行口令评估，保证口令的高强度； 避免使用 重复的口令
评价两种传送模式的优劣。

答：隧道模式可以在两个 Security Gateway 间建立一个安全”隧道” ，经由这两个 Gateway Proxy 的传送均在这个隧道中进行。

隧道模式下的 IPSec 报文要进行分段和重组操作，并且 可能要再经 过多个安全网关才干到达安全网关后面的目的主机。

隧道模式下，除了源主机和 目的地主机之外， 特殊的网关也将执行密码操作。

在这种模式里，许多隧道在网关之间是以 系列的形式生成的，从 而可以实现网关对网关安全。

传送模式加密的部份较少，没有额外的 IP 报头，工作效率相对更好， 但安全性相对于隧道模式会有所降低。

传送模式下，源主机 和目的地主机必须直接执行所有密码 操作。

加密数据是通过使用 L2TP (第二层隧道协议) 而生成的单一隧道来发送的。

数据(密码文 件)则是由源主机生成并由目的地主机检索的
防火墙的主要功能有哪些？并指出不足之处。

答：功能：允许网络管理员定义一个中心点来防止非法用户入侵到内部网络；可以很方便地 监视。