信息安全复习资料

2024年3月2日发(作者：槟榔功效)

信息安全复习资料

1、网络安全的五种属性，并解释其含义

网络信息系统的机密性、完整性、可用性、可控性、不可抵赖性。机密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可控性是对信息及信息系统实施安全监控管理。不可抵赖性也称为不可否认性，是在信息交互的过程中，参与者各方都不能否认已完成的操作，可采用数字签名技术。

2、网络安全服务有哪些？

(1)鉴别：1）对等实体鉴别2）数据源鉴别;

(2)访问控制；

（3）数据保密性：1）连接保密性2）无连接保密性3）选择字段保密性4）业务流保密性；

（4）数据完整性：1）带恢复的连接完整性2）不带恢复的连接完整性3）选择字段连接完整性4）无连接完整性5）选择字段无连接完整性

（5）不可否认：1）带数据源证明的不可否认2）带递交证明的不可否认

3、分组密码和流密码的区别是什么？

流密码是将明文消息按字符逐位加密；分组密码是将明文消息先进行分组，再逐组加密。

4、保证密码系统安全就是保证密码算法的安全性，这种说法是否正确？为什么？

错误。系统的保密性不依赖于密码体制或算法的保密，而仅依赖于密钥的安全性，当今加密解密算法是公开的。

5、什么是PKI？PKI有哪些部分组成？各部分的作用是什么？

PKI又称公钥基础设施，是一个人以数字证书和公钥技术为基础，提供网络安全所需要的真实性、保密性、完整性和不可否认性等基础服务的平台。组成部分：PKI策略、软硬件系统、认证中心、注册机构、证书签发系统和PKI应用。PKI策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。软硬件系统是PKI系统运行所需硬件和软件的集合。认证中心是PKI的信任基础，它负责管理密钥和数字证书的整个生命周期。注册机构是用户（个人或团体）和认证中心之间的一个接口。证书签发系统负责证书的发放

6、CA之间的任务模型有哪几个？分别描述之。

严格层次结构模型、分布式信任结构模型、Web模型和以用户为中心的信任模型。层次性模型可以被描绘为一棵倒转的树。根CA具有一个自签名的证书。根CA依次为其下级CA颁发证书。终端实体就是PKI的用户，处于层次模型的叶子节点，其证书由其父节点CA颁发，它需要信任根CA，中间的CA可以不必关心。层次模型中，除根CA之外的每个节点CA上，至少需要保存两种数字证书。向上证书：父节点CA发给它的证书；向下证书: 由它颁发给其他CA或者终端实体的证书。信任结构把信任分散在两个或多个CA上，而每个CA所在的子系统构成系统的子集，并且是一个严格的层次结构。不同的CA所签发的数字证书能够互相认证。Web模型主要依赖于流行的浏览器，方便性和简单互操作性方面有明显的优势，但是也存在许多问题：容易信任伪造的CA，没有实用的机制来撤销嵌入到浏览器中的根证书。在以用户为中心的信任模型中，各用户自己决定信任哪些证书。

7、网络攻击一般有那几个步骤？

收集信息和系统扫描，探测系统安全弱点，实施攻击

8、目标信息收集是黑客攻击首先要做的工作，可以通过哪些方法收集哪些信息？

可以用以下的工具或协议来完成信息收集。Ping程序、Tracert程序、Finger协议、DNS服务器、SNMP协议、whois协议。

9、简述网络嗅谈的原理

网络嗅探是利用计算机的网络接口截获目的地为其他计算机数据报文的一种工具。通过把网络适配卡(一般如以太网卡)设置为一种混杂模式 (Promiscuous)状态，使网卡能接收传输

在网络上的每一个数据包。嗅探工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。

10、什么是网络蠕虫？其特征是什么？

网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点。 特征：主动攻击，利用软件漏洞，造成网络拥塞，消耗系统资源，留下安全隐患，行踪隐蔽，反复性，破坏性。

11、什么是木马技术？木马技术有哪些植入方法？

指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。植入方法：主动植入：利用系统自身漏洞植入；利用第三方软件漏洞植入；利用即时通信软件发送伪装的木马文件植入；对于手工植入的方法，一般是在聊天过程中向通信的对象发送木马文件；利用电子邮件发送植入木马。被动植入：软件下载；利用共享文件；利用Autorun文件传播；网页浏览传播。

12、僵尸网络的工作机制是什么？僵尸网络如何感染受害主机？

僵尸网络的工作机制：1、攻击者通过各种传播方式使得目标主机感染僵尸程序；2、僵尸程序以特定方式联系控制服务器，服务器将其加入控制列表，为避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪，控制服务器通常可以设置为多个；3、攻击者通过控制服务器采用特定的通信方式，控制僵尸主机攻击目标主机，从而完成攻击者的攻击目标。

主动攻击漏洞；邮件病毒；即时通信软件；恶意网站脚本；欺骗安装。

13、僵尸网络有那几部分组成？试画出其组成图，并描述各组成部分，分别说明僵尸程序与蠕虫、木马的联系和区别

僵尸（Bot）：置于被控制主机，能够按照预定义的指令执行操作，具有一定智能的程序。僵尸网络中Bot一般是一个客户端程序。而木马技术中，植入的木马一般作为服务器程序，这是其与木马技术的区别之一。 僵尸计算机(Zombie)：是指被植入僵尸的计算机。僵尸网络控制服务器：可以将僵尸主机连接的服务器，控制者通过该服务器向僵尸主机发送命令进行控制。通信通道：服务器和僵尸主机之间的通信方式，可基于HTTP协议、P2P协议等多种协议。

僵尸程序与蠕虫既有区别又有联系，僵尸和蠕虫都是通过自动、欺骗或者人为方式攻击被害主机，并且都可以对网络或者目标系统进行DDoS攻击。其区别在于：僵尸程序必定是受控制的，而蠕虫未必可被攻击者控制；传播性是蠕虫的必备条件，但却不是僵尸程序的必备属性。当然如果一个蠕虫程序也可以受控那么也可以成为僵尸程序。僵尸程序和传统的木马最主要的区别在于：僵尸程序会主动向外连接，一般作为客户端；而传统的木马则像服务器那样等待控制者的连接。与木马相比，僵尸的自动化程度更高一些.

14、什么是计算机病毒的触发机制？病毒的触发条件分为哪几种？

触发机制：计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。1）时间、日期触发：特定的日期或者时间；2）键盘字符输入触发： 键盘触发包括击键次数触发、组合键触发、热启动触发等；3）启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发；4）计数触发：如访问磁盘次数、中断次数、机器启动次数等，当计数满足一定的条件触发；5) 特定文件出现触发：使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其它条件。

15、画出网络蠕虫的传播模型图，并描述其各阶段传播过程

慢速发展阶段：漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机。

快速发展阶段，如果每个感染蠕虫的可以扫描并感染的主机数为W，n为感染的次数，那么感染主机数扩展速度为Wn，感染蠕虫的机器成指数幂急剧增长。

缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少。

16、木马的欺骗技术分哪几种？请分别说明

木马欺骗技术主要有 ：

伪装成其它类型的文件。对于需要自己运行的木马程序，大部分是可执行文件，而对于被植入者，很容易发现文件是不明的可执行文件，而拒绝接收或直接删除，因此可执行文件需要伪装其它文件；

合并程序欺骗。合并程序是可以将两个或两个以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合并文件，两个可执行文件就会同时执行。植入者将一个正常的可执行文件和一个木马程序合并，合并后更改图标使合并后的程序和捆绑前的程序图标一样；

插入其它文件内部。利用运行flash文件和影视文件具有可以执行脚本文件的特性，一般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中；

伪装成应用程序扩展组件。此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中；

利用WinRar制作成自释放文件，把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件；

在Word文档中加入木马文件，在Word文档末尾加入木马文件，只要别人点击这个所谓的Word文件就会中木马。

17、计算机病毒有什么特征？

破坏性，隐蔽性 ，潜伏性，传染性，寄生性 ，可触发性。

18、操作系统的访问控制方法有哪些？分别解释其含义。

自主访问控制是指根据主体身份对客体访问进行限制的一种方法。它是目前访问控制措施中一种普遍采用的访问控制机制，这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体，即用户（包括用户程序和用户进程）可选择同其他用户一起共享

某个文件。强制访问控制是指系统强制主体服从访问控制策略。通常用于多层次安全级别的军事系统当中。基于角色的访问控制的核心思想是：授权给用户的访问权限通常是由用户在一个组织中担当的角色来确定的

19、什么是防火墙？解释防火墙的基本功能及其局限性。

指设置在不同网络之间，例如可信任的内部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来保护企业内部网络的安全。基本功能：（1）过滤不安全数据和非法用户。（2）报警与审计（3）透明代理。（4）抗攻击能力。（5）VPN

功能。（6）路由管理。局限性：1.对某些正常服务的限制2.无法抵御来自内网的威胁3.无法阻挡旁路攻击及潜在后门4.无法控制对病毒文件的传输

20、阐述包过滤防火墙，电路级网关和应用级网关防火墙的工作原理。

包过滤技术是在网络的出入口（如路由器）对通过的数据包进行检查和选择的，选择的依据是系统内设置的过滤逻辑（包过滤规则），称为访问控制表ACL为了过滤数据包，防火墙需要配置一系列的匹配规则，以识别需要过滤的报文。电路级网关：也称线路级网关，工作在会话层，在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息，如SYN，ACK和序列数据等是否合乎逻辑，然后由网关复制、传递数据，而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制，此后则不再参与内外网之间的通信控制。应用级网关使用软件来转发和过滤特定的应用服务，如TELNET，FTP服务等。这也是一种代理服务，只允许被认为是可信的服务通过防火墙。此外，代理服务也可以过滤协议，如过滤FTP连接、拒绝使用FTP命令等

21、防火墙的体系结构有哪几种？分别解释其特征。

双宿主主机结构，屏蔽主机结构，屏蔽子网结构。双宿主主机结构（1）两个端口之间不能直接进行IP数据包的转发。（2）防火墙内部的系统可以与双宿主主机进行通信，同时防火墙外部的系统也可以与双宿主主机进行通信，但二者之间不能直接进行通信。屏蔽主机防火墙优点：· 配置更为灵活，它可以通过配置过滤路由器将某些通信直接传到内部网络的其他站点而不是堡垒主机。· 因为多数甚至所有通信将直接传到堡垒主机，所以包过滤路由器的规则比较简单。缺点：· 过滤路由器的设置是防火墙安全与否的关键，如果设置不当，那么数据包就可能不被路由到堡垒主机上，使堡垒主机被绕过。· 屏蔽主机防火墙的特点也是应用网关提供代理服务，但是应用网关起不到隔离内部网络与外界的直接连接的作用，堡垒主机和内部网络其他主机之间没有任何保护网络安全的东西存在。所以一旦堡垒主机被攻破，内部网络将完全暴露。在屏蔽子网结构中，有二台与边界网络直接相连的过滤路由器，一台位于边界网络与外部网之间，我们称之为外部路由器；另一台位于边界网络与内部网络之间，我们称之为内部路由器；在这种结构下，黑客要攻击到内部网必须通过二台路由器的安全控制，即使入侵者通过了堡垒主机，他还必须通过内部路由器才能抵达内部网。

22、入侵检测系统是由哪些部分组成？各自的作用是什么？

事件产生器：负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件，又称传感器(nsor)。

事件分析器：接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断结果变为警告信息。

事件数据库：存放各种中间和最终入侵信息的地方，并从事件产生器和事件分析器接收需要保存的事件，一般会将数据长时间保存。

事件响应器：是根据入侵检测的结果，对入侵的行为作出适当的反映，可选的响应措施包括主动响应和被动响应。

23、根绝数据的来源不同，入侵检测系统可以分为哪些种类？各有什么有缺点。

基于网络的入侵检测系统（NIDS），基于主机的入侵检测系统（HIDS），混合型入侵检测

系统（Hybrid IDS）。网络IDS优势：(1) 实时分析网络数据，检测网络系统的非法行为；(2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。网络IDS的劣势：(1) 交换环境和高速环境需附加条件(2) 不能处理加密数据(3)

资源及处理能力局限(4) 系统相关的脆弱性主机IDS优势：(1) 精确地判断攻击行为是否成功。(2) 监控主机上特定用户活动、系统运行情况(3) HIDS能够检测到NIDS无法检测的攻击(4) HIDS适用加密的和交换的环境。(5) 不需要额外的硬件设备。主机IDS的劣势：(1)

HIDS对被保护主机的影响。(2) HIDS的安全性受到宿主操作系统的限制。(3) HIDS的数据源受到审计系统限制。(4) 被木马化的系统内核能够骗过HIDS。(5) 维护/升级不方便。混合型：在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。

24、简述入侵检测IPS和IDS的区别，在网络安全综合方案中个发挥什么样的作用？

1、使用方式不同。入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，检测与关联的面更广；入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御。2、设计思路不同。由于IPS在线工作，相比IDS而言，IPS增加数据转发环节，这对系统资源是一个新消耗。IPS事件响应机制要比IDS更精确更迅速。3、发展目标不同。IPS重在深层防御，追求精确阻断，是防御入侵的最佳方案。 IDS重在全面检测，追求有效呈现，是了解入侵状况的最佳方案 ；因此，防护与监控本是安全建设中相辅相成的两个方面，只有IDS并不能很好地实时防御入侵，但只有IPS就不能全面地了解入侵防御改善的状况。

25、根据电子证据的来源，电子证据可分为哪几个种类？请分别描述。

主机电子取证和网络电子取证。主机电子证据指从计算机主机中获取可以作为电子证据的相关信息，主要来源于计算机的各种存储介质，如磁盘、磁带、光盘、软盘、内存以及计算机I/O设备缓存等，通过技术手段和相关的法律程序可以从这些存储介质中提取到有效的电子证据，属于静态电子证据网络电子证据来源是运行中的计算机网络。只要把进出系统的网络数据以原始数据的形式保存下来，对其进行分析，便不难再现整个攻击过程，属于动态电子证据。

26、什么是蜜罐技术？什么是蜜罐网络？

蜜罐技术是一种通过捕获和分析恶意代码及黑客攻击活动，从而达到了解对手目的的技术。蜜罐本身是一种能够被监听、攻击或入侵的安全资源，其目的在于通过诱骗黑客的入侵，来捕获、记录和分析攻击者的行为，从而掌握黑客的攻击方式和重要特征。

蜜罐网络是在蜜罐技术基础上发展起来的一种具有高交互特征的研究型蜜罐技术，它也基于主动诱骗的原理，试图构建一个吸引攻击行为的环境，让攻击者在其中活动，从而记录他们的行为，并通过分析所记录的信息，了解攻击者的动机、攻击模式、攻击工具等知识。

（本资料由计科08同学整理，版权非个人所有；分享资料供大家一起复习，祝大家考试顺利！）