信息安全復習資料

2024年3月2日發(作者：檳榔功效)

信息安全復習資料

1、網絡安全的五種屬性，并解釋其含義

網絡信息系統的機密性、完整性、可用性、可控性、不可抵賴性。機密性是指保證信息不能被非授權訪問，即使非授權用戶得到信息也無法知曉信息內容，因而不能使用。完整性是指維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應發生人為或非人為的非授權篡改。可用性是指保障信息資源隨時可提供服務的能力特性，即授權用戶根據需要可以隨時訪問所需信息。可控性是對信息及信息系統實施安全監控管理。不可抵賴性也稱為不可否認性，是在信息交互的過程中，參與者各方都不能否認已完成的操作，可采用數字簽名技術。

2、網絡安全服務有哪些？

(1)鑒別：1）對等實體鑒別2）數據源鑒別;

(2)訪問控制；

（3）數據保密性：1）連接保密性2）無連接保密性3）選擇字段保密性4）業務流保密性；

（4）數據完整性：1）帶恢復的連接完整性2）不帶恢復的連接完整性3）選擇字段連接完整性4）無連接完整性5）選擇字段無連接完整性

（5）不可否認：1）帶數據源證明的不可否認2）帶遞交證明的不可否認

3、分組密碼和流密碼的區別是什么？

流密碼是將明文消息按字符逐位加密；分組密碼是將明文消息先進行分組，再逐組加密。

4、保證密碼系統安全就是保證密碼算法的安全性，這種說法是否正確？為什么？

錯誤。系統的保密性不依賴于密碼體制或算法的保密，而僅依賴于密鑰的安全性，當今加密解密算法是公開的。

5、什么是PKI？PKI有哪些部分組成？各部分的作用是什么？

PKI又稱公鑰基礎設施，是一個人以數字證書和公鑰技術為基礎，提供網絡安全所需要的真實性、保密性、完整性和不可否認性等基礎服務的平臺。組成部分：PKI策略、軟硬件系統、認證中心、注冊機構、證書簽發系統和PKI應用。PKI策略建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。軟硬件系統是PKI系統運行所需硬件和軟件的集合。認證中心是PKI的信任基礎，它負責管理密鑰和數字證書的整個生命周期。注冊機構是用戶（個人或團體）和認證中心之間的一個接口。證書簽發系統負責證書的發放

6、CA之間的任務模型有哪幾個？分別描述之。

嚴格層次結構模型、分布式信任結構模型、Web模型和以用戶為中心的信任模型。層次性模型可以被描繪為一棵倒轉的樹。根CA具有一個自簽名的證書。根CA依次為其下級CA頒發證書。終端實體就是PKI的用戶，處于層次模型的葉子節點，其證書由其父節點CA頒發，它需要信任根CA，中間的CA可以不必關心。層次模型中，除根CA之外的每個節點CA上，至少需要保存兩種數字證書。向上證書：父節點CA發給它的證書；向下證書: 由它頒發給其他CA或者終端實體的證書。信任結構把信任分散在兩個或多個CA上，而每個CA所在的子系統構成系統的子集，并且是一個嚴格的層次結構。不同的CA所簽發的數字證書能夠互相認證。Web模型主要依賴于流行的瀏覽器，方便性和簡單互操作性方面有明顯的優勢，但是也存在許多問題：容易信任偽造的CA，沒有實用的機制來撤銷嵌入到瀏覽器中的根證書。在以用戶為中心的信任模型中，各用戶自己決定信任哪些證書。

7、網絡攻擊一般有那幾個步驟？

收集信息和系統掃描，探測系統安全弱點，實施攻擊

8、目標信息收集是黑客攻擊首先要做的工作，可以通過哪些方法收集哪些信息？

可以用以下的工具或協議來完成信息收集。Ping程序、Tracert程序、Finger協議、DNS服務器、SNMP協議、whois協議。

9、簡述網絡嗅談的原理

網絡嗅探是利用計算機的網絡接口截獲目的地為其他計算機數據報文的一種工具。通過把網絡適配卡(一般如以太網卡)設置為一種混雜模式 (Promiscuous)狀態，使網卡能接收傳輸

在網絡上的每一個數據包。嗅探工作在網絡環境中的底層，它會攔截所有正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態和整體布局。

10、什么是網絡蠕蟲？其特征是什么？

網絡蠕蟲是一種智能化、自動化并綜合網絡攻擊、密碼學和計算機病毒技術，不要計算機使用者干預即可運行的攻擊程序或代碼。它會掃描和攻擊網絡上存在系統漏洞的節點主機，通過網絡從一個節點傳播到另外一個節點。 特征：主動攻擊，利用軟件漏洞，造成網絡擁塞，消耗系統資源，留下安全隱患，行蹤隱蔽，反復性，破壞性。

11、什么是木馬技術？木馬技術有哪些植入方法？

指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發送密碼、記錄鍵盤和DoS攻擊等特殊功能的后門程序。它與控制主機之間建立起連接，使得控制者能夠通過網絡控制受害系統，最大的特征在于隱秘性，偷偷混入對方的主機里面，但是卻沒有被對方發現。植入方法：主動植入：利用系統自身漏洞植入；利用第三方軟件漏洞植入；利用即時通信軟件發送偽裝的木馬文件植入；對于手工植入的方法，一般是在聊天過程中向通信的對象發送木馬文件；利用電子郵件發送植入木馬。被動植入：軟件下載；利用共享文件；利用Autorun文件傳播；網頁瀏覽傳播。

12、僵尸網絡的工作機制是什么？僵尸網絡如何感染受害主機？

僵尸網絡的工作機制：1、攻擊者通過各種傳播方式使得目標主機感染僵尸程序；2、僵尸程序以特定方式聯系控制服務器，服務器將其加入控制列表，為避免由于單一服務器被摧毀后導致整個僵尸網絡癱瘓，控制服務器通常可以設置為多個；3、攻擊者通過控制服務器采用特定的通信方式，控制僵尸主機攻擊目標主機，從而完成攻擊者的攻擊目標。

主動攻擊漏洞；郵件病毒；即時通信軟件；惡意網站腳本；欺騙安裝。

13、僵尸網絡有那幾部分組成？試畫出其組成圖，并描述各組成部分，分別說明僵尸程序與蠕蟲、木馬的聯系和區別

僵尸（Bot）：置于被控制主機，能夠按照預定義的指令執行操作，具有一定智能的程序。僵尸網絡中Bot一般是一個客戶端程序。而木馬技術中，植入的木馬一般作為服務器程序，這是其與木馬技術的區別之一。 僵尸計算機(Zombie)：是指被植入僵尸的計算機。僵尸網絡控制服務器：可以將僵尸主機連接的服務器，控制者通過該服務器向僵尸主機發送命令進行控制。通信通道：服務器和僵尸主機之間的通信方式，可基于HTTP協議、P2P協議等多種協議。

僵尸程序與蠕蟲既有區別又有聯系，僵尸和蠕蟲都是通過自動、欺騙或者人為方式攻擊被害主機，并且都可以對網絡或者目標系統進行DDoS攻擊。其區別在于：僵尸程序必定是受控制的，而蠕蟲未必可被攻擊者控制；傳播性是蠕蟲的必備條件，但卻不是僵尸程序的必備屬性。當然如果一個蠕蟲程序也可以受控那么也可以成為僵尸程序。僵尸程序和傳統的木馬最主要的區別在于：僵尸程序會主動向外連接，一般作為客戶端；而傳統的木馬則像服務器那樣等待控制者的連接。與木馬相比，僵尸的自動化程度更高一些.

14、什么是計算機病毒的觸發機制？病毒的觸發條件分為哪幾種？

觸發機制：計算機病毒在傳染和發作之前，要判斷某些特定條件是否滿足，這個條件就是計算機病毒的觸發條件。1）時間、日期觸發：特定的日期或者時間；2）鍵盤字符輸入觸發： 鍵盤觸發包括擊鍵次數觸發、組合鍵觸發、熱啟動觸發等；3）啟動觸發：病毒對機器的啟動次數計數，并將此值作為觸發條件稱為啟動觸發；4）計數觸發：如訪問磁盤次數、中斷次數、機器啟動次數等，當計數滿足一定的條件觸發；5) 特定文件出現觸發：使用由多個條件組合起來的觸發條件。大多數病毒的組合觸發條件是基于時間的，再輔以讀、寫盤操作，按鍵操作以及其它條件。

15、畫出網絡蠕蟲的傳播模型圖，并描述其各階段傳播過程

慢速發展階段：漏洞被蠕蟲設計者發現，并利用漏洞設計蠕蟲發布于互聯網，大部分用戶還沒有通過服務器下載補丁，網絡蠕蟲只是感染了少量的網絡中的主機。

快速發展階段，如果每個感染蠕蟲的可以掃描并感染的主機數為W，n為感染的次數，那么感染主機數擴展速度為Wn，感染蠕蟲的機器成指數冪急劇增長。

緩慢消失階段，隨著網絡蠕蟲的爆發和流行，人們通過分析蠕蟲的傳播機制，采取一定措施及時更新補丁包，并采取措刪除本機存在的蠕蟲，感染蠕蟲數量開始緩慢減少。

16、木馬的欺騙技術分哪幾種？請分別說明

木馬欺騙技術主要有 ：

偽裝成其它類型的文件。對于需要自己運行的木馬程序，大部分是可執行文件，而對于被植入者，很容易發現文件是不明的可執行文件，而拒絕接收或直接刪除，因此可執行文件需要偽裝其它文件；

合并程序欺騙。合并程序是可以將兩個或兩個以上的可執行文件(exe文件) 結合為一個文件，以后只需執行這個合并文件，兩個可執行文件就會同時執行。植入者將一個正常的可執行文件和一個木馬程序合并，合并后更改圖標使合并后的程序和捆綁前的程序圖標一樣；

插入其它文件內部。利用運行flash文件和影視文件具有可以執行腳本文件的特性，一般使用“插馬”工具將腳本文件插入到swf、rm等類型的flash文件和影視文件中；

偽裝成應用程序擴展組件。此類屬于最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何類型的文件然后掛在一個常用的軟件中；

利用WinRar制作成自釋放文件，把木馬程序和其它常用程序利用WinRar捆綁在一起，將其制作成自釋放文件；

在Word文檔中加入木馬文件，在Word文檔末尾加入木馬文件，只要別人點擊這個所謂的Word文件就會中木馬。

17、計算機病毒有什么特征？

破壞性，隱蔽性 ，潛伏性，傳染性，寄生性 ，可觸發性。

18、操作系統的訪問控制方法有哪些？分別解釋其含義。

自主訪問控制是指根據主體身份對客體訪問進行限制的一種方法。它是目前訪問控制措施中一種普遍采用的訪問控制機制，這種訪問控制方法允許用戶可以自主地在系統中規定誰可以存取它的資源實體，即用戶（包括用戶程序和用戶進程）可選擇同其他用戶一起共享

某個文件。強制訪問控制是指系統強制主體服從訪問控制策略。通常用于多層次安全級別的軍事系統當中。基于角色的訪問控制的核心思想是：授權給用戶的訪問權限通常是由用戶在一個組織中擔當的角色來確定的

19、什么是防火墻？解釋防火墻的基本功能及其局限性。

指設置在不同網絡之間，例如可信任的內部網和不可信的公共網，或者不同網絡安全域之間的軟硬件系統組合。它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來保護企業內部網絡的安全。基本功能：（1）過濾不安全數據和非法用戶。（2）報警與審計（3）透明代理。（4）抗攻擊能力。（5）VPN

功能。（6）路由管理。局限性：1.對某些正常服務的限制2.無法抵御來自內網的威脅3.無法阻擋旁路攻擊及潛在后門4.無法控制對病毒文件的傳輸

20、闡述包過濾防火墻，電路級網關和應用級網關防火墻的工作原理。

包過濾技術是在網絡的出入口（如路由器）對通過的數據包進行檢查和選擇的，選擇的依據是系統內設置的過濾邏輯（包過濾規則），稱為訪問控制表ACL為了過濾數據包，防火墻需要配置一系列的匹配規則，以識別需要過濾的報文。電路級網關：也稱線路級網關，工作在會話層，在兩主機首次建立TCP連接時建立通信屏障。它作為服務器接收外來請求，轉發請求；與被保護的主機連接時則扮演客戶機角色、起到代理服務的作用。它監視兩主機建立連接時的握手信息，如SYN，ACK和序列數據等是否合乎邏輯，然后由網關復制、傳遞數據，而不進行數據包過濾。電路級網關中特殊的客戶程序只在初次連接時進行安全協商控制，此后則不再參與內外網之間的通信控制。應用級網關使用軟件來轉發和過濾特定的應用服務，如TELNET，FTP服務等。這也是一種代理服務，只允許被認為是可信的服務通過防火墻。此外，代理服務也可以過濾協議，如過濾FTP連接、拒絕使用FTP命令等

21、防火墻的體系結構有哪幾種？分別解釋其特征。

雙宿主主機結構，屏蔽主機結構，屏蔽子網結構。雙宿主主機結構（1）兩個端口之間不能直接進行IP數據包的轉發。（2）防火墻內部的系統可以與雙宿主主機進行通信，同時防火墻外部的系統也可以與雙宿主主機進行通信，但二者之間不能直接進行通信。屏蔽主機防火墻優點：· 配置更為靈活，它可以通過配置過濾路由器將某些通信直接傳到內部網絡的其他站點而不是堡壘主機。· 因為多數甚至所有通信將直接傳到堡壘主機，所以包過濾路由器的規則比較簡單。缺點：· 過濾路由器的設置是防火墻安全與否的關鍵，如果設置不當，那么數據包就可能不被路由到堡壘主機上，使堡壘主機被繞過。· 屏蔽主機防火墻的特點也是應用網關提供代理服務，但是應用網關起不到隔離內部網絡與外界的直接連接的作用，堡壘主機和內部網絡其他主機之間沒有任何保護網絡安全的東西存在。所以一旦堡壘主機被攻破，內部網絡將完全暴露。在屏蔽子網結構中，有二臺與邊界網絡直接相連的過濾路由器，一臺位于邊界網絡與外部網之間，我們稱之為外部路由器；另一臺位于邊界網絡與內部網絡之間，我們稱之為內部路由器；在這種結構下，黑客要攻擊到內部網必須通過二臺路由器的安全控制，即使入侵者通過了堡壘主機，他還必須通過內部路由器才能抵達內部網。

22、入侵檢測系統是由哪些部分組成？各自的作用是什么？

事件產生器：負責原始數據采集，并將收集到的原始數據轉換為事件，向系統的其他部分提供此事件，又稱傳感器(nsor)。

事件分析器：接收事件信息，對其進行分析，判斷是否為入侵行為或異常現象，最后將判斷結果變為警告信息。

事件數據庫：存放各種中間和最終入侵信息的地方，并從事件產生器和事件分析器接收需要保存的事件，一般會將數據長時間保存。

事件響應器：是根據入侵檢測的結果，對入侵的行為作出適當的反映，可選的響應措施包括主動響應和被動響應。

23、根絕數據的來源不同，入侵檢測系統可以分為哪些種類？各有什么有缺點。

基于網絡的入侵檢測系統（NIDS），基于主機的入侵檢測系統（HIDS），混合型入侵檢測

系統（Hybrid IDS）。網絡IDS優勢：(1) 實時分析網絡數據，檢測網絡系統的非法行為；(2) 網絡IDS系統單獨架設，不占用其它計算機系統的任何資源；(3) 網絡IDS系統是一個獨立的網絡設備，可以做到對黑客透明，因此其本身的安全性高；(4) 它既可以用于實時監測系統，也是記錄審計系統，可以做到實時保護，事后分析取證；(5) 通過與防火墻的聯動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。(6)不會增加網絡中主機的負擔。網絡IDS的劣勢：(1) 交換環境和高速環境需附加條件(2) 不能處理加密數據(3)

資源及處理能力局限(4) 系統相關的脆弱性主機IDS優勢：(1) 精確地判斷攻擊行為是否成功。(2) 監控主機上特定用戶活動、系統運行情況(3) HIDS能夠檢測到NIDS無法檢測的攻擊(4) HIDS適用加密的和交換的環境。(5) 不需要額外的硬件設備。主機IDS的劣勢：(1)

HIDS對被保護主機的影響。(2) HIDS的安全性受到宿主操作系統的限制。(3) HIDS的數據源受到審計系統限制。(4) 被木馬化的系統內核能夠騙過HIDS。(5) 維護/升級不方便。混合型：在新一代的入侵檢測系統中將把現在的基于網絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關聯功能。可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。

24、簡述入侵檢測IPS和IDS的區別，在網絡安全綜合方案中個發揮什么樣的作用？

1、使用方式不同。入侵檢測系統（IDS）對那些異常的、可能是入侵行為的數據進行檢測和報警，檢測與關聯的面更廣；入侵防御系統（IPS）對那些被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防御。2、設計思路不同。由于IPS在線工作，相比IDS而言，IPS增加數據轉發環節，這對系統資源是一個新消耗。IPS事件響應機制要比IDS更精確更迅速。3、發展目標不同。IPS重在深層防御，追求精確阻斷，是防御入侵的最佳方案。 IDS重在全面檢測，追求有效呈現，是了解入侵狀況的最佳方案 ；因此，防護與監控本是安全建設中相輔相成的兩個方面，只有IDS并不能很好地實時防御入侵，但只有IPS就不能全面地了解入侵防御改善的狀況。

25、根據電子證據的來源，電子證據可分為哪幾個種類？請分別描述。

主機電子取證和網絡電子取證。主機電子證據指從計算機主機中獲取可以作為電子證據的相關信息，主要來源于計算機的各種存儲介質，如磁盤、磁帶、光盤、軟盤、內存以及計算機I/O設備緩存等，通過技術手段和相關的法律程序可以從這些存儲介質中提取到有效的電子證據，屬于靜態電子證據網絡電子證據來源是運行中的計算機網絡。只要把進出系統的網絡數據以原始數據的形式保存下來，對其進行分析，便不難再現整個攻擊過程，屬于動態電子證據。

26、什么是蜜罐技術？什么是蜜罐網絡？

蜜罐技術是一種通過捕獲和分析惡意代碼及黑客攻擊活動，從而達到了解對手目的的技術。蜜罐本身是一種能夠被監聽、攻擊或入侵的安全資源，其目的在于通過誘騙黑客的入侵，來捕獲、記錄和分析攻擊者的行為，從而掌握黑客的攻擊方式和重要特征。

蜜罐網絡是在蜜罐技術基礎上發展起來的一種具有高交互特征的研究型蜜罐技術，它也基于主動誘騙的原理，試圖構建一個吸引攻擊行為的環境，讓攻擊者在其中活動，從而記錄他們的行為，并通過分析所記錄的信息，了解攻擊者的動機、攻擊模式、攻擊工具等知識。

（本資料由計科08同學整理，版權非個人所有；分享資料供大家一起復習，祝大家考試順利！）