网络安全.docx
- 文档编号:25750903
- 上传时间:2023-06-12
- 格式:DOCX
- 页数:19
- 大小:66.72KB
网络安全.docx
《网络安全.docx》由会员分享,可在线阅读,更多相关《网络安全.docx(19页珍藏版)》请在冰豆网上搜索。
网络安全
网络安全知识点复习
软件1203班石爱芳
1.造成网络不安全的主要的原因
1)软件本身设计不良或系统设计上的缺陷
2)使用者习惯及方法不正确
3)网络防护不够严谨
2.威胁企业安全的网络危险行为
1)浏览不明邮件附件
2)安装未授权使用
3)关闭或禁用安全工具
4)浏览不明HTML或文本消息
5)浏览赌博、色情或其他非法站点
6)公开自己的登录密码、令牌或智能卡信息
7)重要的文档裸奔,没有加密
8)随意访问未知、不可信站点
9)随意填写Web脚本、表格或注册页面
10)频繁访问聊天室或社交站点
3.网络密码安全保护技巧
1)使用复杂的密码
2)使用软键盘
3)使用动态密码(一次性密码)
4)网络钓鱼的防范
5)使用加密防范Sniffer
6)尽量不要保存密码在本地
7)使用USBKey
8)个人密码管理
9)密码分级
10)生物特征识别
4.威胁网络安全的因素
1)外部的威胁
黑客
工业间谍
被解雇的人员
犯罪分子/恐怖分子
脚本小子
2)内部的威胁
网络误用/滥用
没有良好的管理机制
5.端口镜像及其使用、交换机上配置的命令
1)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法
2)交换机的工作原理和HUB有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部CAM表(通常也称IP-MAC表)进行数据转发,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
3)例:
fa0/2接口监控fa0/10接口的步骤如下:
Switch#configureterminal
!
进入全局配置模式
Switch(config)#monitorsession1sourceinterfacefastEthernet0/10both
!
设置被监控口
Switch(config)#monitorsession1destinationinterfacefastEthernet0/2
!
设置监控口
Switch(config)#end
Switch#wr
Switch#showmonitorsession1!
查看当前配置
Switch(config)#nomonitorsession1!
清除当前配置
6.安全保护的对象
1)网络资源:
路由器交换机无线设备
2)服务器资源:
Web服务器邮件服务器FTP服务器
3)信息存储资源:
政务信息数据库人力资源数据库电子商务数据库财务数据库
7.常用的安全技术手段
1)使用复杂的密码
2)使用软键盘
3)使用动态密码
4)网络钓鱼的防范
5)使用SSL防范Sniffer
6)尽量不要将密码保存在本地
7)使用USBKey
8)个人密码管理
9)密码分级
10)生物特征识别
8.黑客防备的基本措施
1)“预防为主,防治结合”
2)及时升级操作系统版本
3)定期备份重要数据
4)尽量使用加密机制传输机密信息
5)防范木马
6)防网络嗅探
7)防漏洞攻击
8)建立有效的管理制度
9)用户操作系统常见安全设置
9.网络安全的主要目标有哪些
1)可用性
2)机密性
3)完整性
4)不可抵赖性
10.网络攻击类型、常见的网络攻击行为
1)主动攻击:
指攻击者对某个连接的中的数据进行各种处理(更改、删除、迟延、复制、伪造等)
主动攻击可以检测,但难以防范
2)被动攻击:
1.窃听或者偷窥2.流量分析
被动攻击非常难以检测,但可以防范
11.网络危险行为
12.P2P用户主要存在哪些网络安全和隐私的威胁
13.网络监控软件主要目标
1)防止并追查重要资料、机密文件等外泄;
2)监督、审查、限制、规范网络使用行为;
3)限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;
4)备份重要网络资源文件(比如业务邮件);
5)监视QQ/MSN聊天记录内容和行为过程;
6)流量限制以及网站访问统计,用于分析员工使用网络情况;
14.Sniffer软件的功能、拓扑、主要使用
功能:
Sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
使用
1)Sniffer可以帮助评估业务运行状态。
2)Sniffer能够帮助评估网络的性能。
3)Sniffer帮助快速定位故障。
4)Sniffer可以帮助排除潜在的威胁。
5)Sniffer可以做流量的趋势分析。
6)Sniffer可以做使用性能预测。
15.Sniffer所要关心的内容类型
1)口令
2)金融帐号
3)偷窥机密或敏感的信息数据
4)窥探低级的协议信息。
16.网路岗软件的功能、拓扑、主要使用
功能:
网络刚软件通过旁路对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,记录网络事件、发现安全隐患,对网络噢活动的相关信息进行存储分析和协议还原
使用:
监控邮件内容和附件,监控聊天内容,监控上网网站,监控ftp外传文件,监控telnet命令,监控上网流量,ip过滤,端口过滤,网页过滤,封堵聊天游戏,限制外发资料邮件大小,限制网络流量,ip—mac绑定,截取屏幕等
17.网络监控软件分类
1)按照运行原理分类为:
监听模式和网关模式两种
2)按照管理目标分类为:
内网监控和外网监控
18.内网、外网监控的主要目标
1)防止并追查重要资料、机密文件等外泄;
2)监督、审查、限制、规范网络使用行为;
3)限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;
4)备份重要网络资源文件(比如业务邮件);
5)监视QQ/MSN聊天记录内容和行为过程;
6)流量限制以及网站访问统计,用于分析员工使用网络情况
19.什么是镜像端口?
在什么情况下要用到镜像端口
20.计算机安全评价标准(TCSEC)有几个等级,各等级的主要指标是什么
第一个安全标准85年12月发布
四个等级:
D等:
D1的安全等级最低,D1系统只为文件和用户提供安全保护。
C等:
该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。
B等:
类系统具有强制性保护功能。
强制性保护意味着如果用户没有和安全等
级相连,系统就不会让用户存取对象。
A等:
A系统的安全级别最高。
目前,A类安全等级只包含A1一个安全类别。
21.《计算机信息系统安全保护等级划分准则》分为哪几个级别
1)自主保护级
2)系统审计保护级
3)安全标记保护级
4)结构化保护级和访问验证保护级
22.NTFS权限及使用原则有哪些
5)权限最大原则为该用户的权限(“完全控制”权限为所有权限的总和)。
6)文件权限超越文件夹权限原则
7)拒绝权限超越其他权限原则
23.共享权限的种类
完全控制、更改、读取
24.自主访问控制和强制访问控制
8)自主访问控制(DAC)是一个接入控制服务,它执行基于系统实体身份和它们的到系统资源的接入授权。
这包括在文件,文件夹和共享资源中设置许可。
9)强制访问控制(MAC)是“强加”给访问主体的,即系统强制主体服从访问控制政策。
强制访问控制的主要特征是对所有主体及其所控制的客体实施强制访问控制。
25.安全操作系统的基本特征
1)最小特权原则
2)自主访问控制和强制访问控制
3)安全审计功能
4)安全域隔离功能
26.安全审计系统的要求主要包括那几个方面
1)记录和再现
2)入侵检测
3)记录入侵行为
4)威慑作用
5)系统本身的安全性
27.windows操作系统自带的安全设置模块
1)本地安全策略
2)组策略
3)注册表编辑器
4)防火墙设置
5)计算机管理
6)服务
28.Windows2003文件和数据的备份的类型
1)副本备份
2)每日备份
3)差异备份
4)增量备份
5)正常备份
29.Windows2003的加密机制
文件加密系统(EFS)提供一种核心文件加密技术,该技术用于在NTFS文件系统卷上存储已加密的文件。
使用文件加密系统(EFS),用户可以对文件进行加密和解密。
以保证文件的安全,防止那些未经许可的入侵者访问存储的敏感资料(例如,通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料)。
用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。
EFS用户如果是加密者本人,系统会在用户访问这些文件和文件夹时将其自动解密。
但是,不允许入侵者访问任何已加密的文件或文件夹。
30.密码学的发展大概包括哪几个阶段
三个阶段:
1)1949年之前,密码学是一门艺术
2)1949~1975年,密码学成为科学
3)1976年以后,密码学的新方向——公钥密码学
31.密码体制
1)对称密钥(单密钥)密码体制算法:
DES
2)非对称密钥(公共钥匙)密码体制算法:
RSA系统
32.常用的密码分析攻击
10)唯密文攻击
11)已知明文攻击
12)选择明文攻击
13)自适应选择明文攻击
14)选择密文攻击
15)选择密钥攻击
16)软磨硬泡攻击
33.对称密钥体制和公钥体制的特点和优缺点
对称秘钥特点:
其加密密钥和解密密钥相同,或者在实质上等同,即从一个很容易得出另一个。
公钥体制特点:
加密和解密能力分开,可实现多个用户加密的信息只能由一个用户解读(多对一),或者一个用户加密的信息可以由多个用户解读(一对多)。
前者可以用于公共网络中实现保密通信,后者可用于认证系统中对信息进行数字签名。
由于该体制大大减少了多用户之间通信所需的密钥数,方便了密钥管理,这种体制特别适合多用户通信网络。
对称秘钥优点:
计算开销小,加密速度快
缺点:
存在着通信贸易双方之间确保秘钥安全交换问题
公钥优点:
管理比较简单,方便地实现数字签名和验证
缺点:
算法复杂,加密数据的速率较低
34.公钥加密系统的功能
1)机密性:
保证非授权人员不能非法获取信息,通过数据加密来实现;
2)确认性:
保证对方属于所声称的实体,通过数字签名来实现;
3)数据完整性:
保证信息内容不被篡改,入侵者不可能用假消息代替合法消息,通过数字签名来实现;
4)不可抵赖性:
发送者不可能事后否认他发送过消息,消息的接受者可以向中立的第三方证实所指的发送者确实发出了消息,通过数字签名来实现。
可见公钥加密系统满足信息安全的所有主要目标。
35.PGP软件使用中的主要的功能
1)使用强大的IDEA加密算法对存储在计算机上的文件加密。
经加密的文件只能由知道密钥的人解密阅读。
2)使用公开密钥加密技术对电子邮件进行加密。
经加密的电子邮件只有收件人本人才能解密阅读。
3)使用公开密钥加密技术对文件或电子邮件作数字签名,鉴定人可以用起草人的公开密钥鉴别真伪。
36.PGPdisk的主要功能和使用过程
功能:
能随时被装配和反装备的加密的卷中安全的存储文件,可以移动复制并删除同类的任何其它文档
使用过程:
使用时机密数据可直接存储在创建PGPdisk后的相关文件夹中,不使用时,选择反装配可以在卷上右击选择反装配,如果重新装配只需要在PGPdisk文件上双击。
见书P209
37.CA的功能
1)证书颁发
2)证书更新
3)证书撤销
4)证书和证书撤销列表(CRL)的公布
5)证书状态的在线查询
6)证书认证
7)制定政策等。
38.PKI的安全服务功能、基本组成
1)PKI的安全服务功能
网上身份安全认证
保证数据完整性
保证网上交易的抗否认性
提供时间戳服务
保证数据的公正性
2)PKI的基本组成
认证机构(CA)
数字证书库
密钥备份及恢复系统
证书作废系统
使用接口
39.hash函数的基本原理、常用的类型
原理:
哈希算法以一条信息为输入,输出一个固定长度的数字?
不确定
常用的哈希算法:
MD5SHA-1
40.双钥密码体制的原理及特点
原理:
其加密密钥和解密密钥不相同,从一个很难得出另一个。
采用双密钥体制的每个用户都有一对选定的密钥,其中一个是秘密的,而另一个则可以公开,并可以象电话号码一样注册公布。
特点:
加密和解密能力分开,可实现多个用户加密的信息只能由一个用户解读(多对一),或者一个用户加密的信息可以由多个用户解读(一对多)。
前者可以用于公共网络中实现保密通信,后者可用于认证系统中对信息进行数字签名。
由于该体制大大减少了多用户之间通信所需的密钥数,方便了密钥管理,这种体制特别适合多用户通信网络。
41.公钥加密系统可提供哪几项功能
42.数字签名的工作原理
所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换,允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
43.数字证书的作用及分类
作用:
用来强力验证某个用户或某个系统的身份及其公开密钥
分类:
(1)服务器证书
(2)电子邮件证书(3)客户端个人证书
44.申请数字证书及使用的流程
17)用户向CA机构申请一份数字证书,申请过程会生成他的公开/私有密钥对。
18)公开密钥被发送给CA机构,CA机构生成证书,并用自己的私有密钥签发之,然后向用户发送一份拷贝。
19)用户把文件加上签名,然后把原始文件同签名一起发送给自己的同事。
20)用户的同事从CA机构查到用户的数字证书,用证书中的公开密钥对签名进行验证。
45.计算机病毒定义、特点、分类、发展趋势
定义:
1)人为编制的计算机程序
2)干扰计算机正常运行并造成计算机软硬件故障
3)破坏计算机数据
4)可自我复制
特点:
1)非授权执行
2)隐蔽性
3)传染性
4)潜伏性
5)破坏性
6)可触发性
分类:
1)文件型
2)引导型
3)宏病毒
4)VB脚本病毒
5)蠕虫
6)木马
7)黑客程序
发展:
网络成为病毒传播主要载体
恶意网页、木马修改注册表
网络蠕虫成为最主要和破坏力最大的病毒类型
跨操作系统的病毒
病毒向通讯领域侵入
46.蠕虫病毒采取的传播方式、攻击流程
传播方式:
蠕虫病毒可利用的传播方式:
文件、电子邮件、Web服务器、网络共享等
攻击流程:
一个蠕虫的攻击流程通常包括感染、传播和执行负载三个阶段。
47.熊猫烧香病毒的主要预防措施
1)设置成熟的系统口令
2)利用组策略,关闭所有驱动器的自动播放功能
3)启动Windows防火墙保护本地计算机
4)保持操作系统获得最新的安全更新
48.病毒、木马、蠕虫比较,各有什么特点
49.木马的基本功能
1)对对方资源进行管理。
2)远程运行程序。
3)跟踪监视对方屏幕。
4)直接屏幕鼠标控制,键盘输入控制。
5)监视对方任务并终止对方任务。
6)锁定鼠标、键盘、屏幕。
7)远程重新启动计算机、关机。
8)记录、监视按键顺序、系统信息等一切操作。
9)随意修改注册表。
10)共享被控制端的硬盘。
50.主流防病毒软件
21)SymantecAntiVirus
22)McAfeeVirusScan
23)卡巴斯基(Kaspersky)
24)瑞星
25)金山毒霸
26)360
51.防火墙的功能、基本特性、种类、硬件平台、关键技术、各代的区别和特点
防火墙的功能:
1)防火墙是网络安全的屏障
2)防火墙可以强化网络安全策略
3)对网络存取和访问进行监控审计
4)防止内部信息的外泄
基本特性:
1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
2)只有符合安全策略的数据流才能通过防火墙
3)防火墙自身应具有非常强的抗攻击免疫力
种类:
1.分组过滤/包过滤2.状态检查3.使用代理
硬件平台:
X86、ASIC平台、NP平台
关键技术:
访问控制、NAT(网络地址转换)、VPN(虚拟专用网)
52.防火墙的技术发展分为几代、各有什么特点
基于路由器的防火墙:
特点:
1)利用路由器本身对分组的分析,进行分组过滤
2)过滤判断依据:
地址、端口号、IP旗标及其它网络特征
3)防火墙和路由器合为一体,只有过滤功能
4)适用于对安全性要求不高的网络环境
用户化软件包:
特点:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能
2)针对用户需求,提供模块化的软件包
3)软件可通过网络发送,用户可根据需要构造防火墙
4)和第一代防火墙相比,安全性提高了,价格降低了
基于通用操作系统的防火墙特点:
1)是批量上市的专用防火墙产品
2)包括分组过滤或者借用路由器的分组过滤功能
3)装有专用的代理系统,监控所有协议的数据和指令
4)保护用户编程空间和用户可配置内核参数的设置
5)安全性和速度大为提高。
基于安全操作系统的防火墙特点:
1)防火墙厂商具有操作系统的源代码,并可实现安全内核
2)去掉了不必要的系统特性,加固内核,强化安全保护
3)在功能上包括了分组过滤、使用网关、电路级网关
4)增加了许多附加功能:
加密、鉴别、审计
5)透明性好,易于使用
53.在防火墙配置试验中通过防火墙主要实现了哪些功能
1)带宽控制
2)地址绑定
3)访问控制
4)服务保护
5)抗攻击
6)链路负载
54.DMZ基本原理、网络访问控制策略有哪些?
非军事化区(DMZ):
为了配置管理方便,内网中需要向外网提供服务的服务器往往放在Internet和内部网络之间一个单独的网段,这个网段便是非军事化区。
访问策略:
1)内网可以访问外网,内网的用户显然需要自由地访问外网。
在这一策略中,防火墙需要进行源地址转换。
2)内网可以访问DMZ,此策略是为了方便内网用户使用和管理DMZ中的服务器。
3)外网不能访问内网,很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4)外网可以访问DMZ,DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。
同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5)DMZ不能访问内网,很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6)DMZ不能访问外网,此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
55.入侵检测系统的分类、作用、主要功能
分类:
基于网络的入侵检测系统:
侦测速度快,隐蔽性好,视野更宽,较少的监测点,攻击者不易转移证据,操作系统无关性,占用资源少
基于主机的入侵检测系统:
性能价格比高,更加细腻,视野集中,易于用户剪裁,节省资源,对网络流量不敏感,适用于被加密的以及交换的环境,含有已发生事件信息,易于确定攻击是否成功
功能:
1)监视分析用户和系统的行为
2)审计系统配置和漏洞
3)评估敏感系统和数据的完整性
4)识别攻击行为并告警
5)对异常行为进行统计
6)审计、跟踪、识别违反安全法规的行为
56.VPN基本功能、安全技术、分类
功能:
1)保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认的能力。
2)保证数据的完整性,接收到的数据必须和发送时的一致,要有抵抗不法分子篡改数据的能力。
3)保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
4)提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演的功能,保证通道不能被重演。
5)提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
57.VPN主要采用技术
1)隧道技术
2)加解密技术
3)密钥管理技术
4)认证技术
58.VPN隧道协议
1)点对点隧道协议(PPTP)
2)第二层转发协议L2F
3)第二层隧道协议L2TP
4)通用路由封装
59.IPSec的好处
1)在防火墙或路由器中实现时,可以对所有跨越周界的流量实施强安全性。
而公司内部或工作组不必招致和安全相关处理的负担。
2)在防火墙中实现IPSec可以防止IP旁路。
3)IPSec是在传输层(TCP,UDP)之下,因此对使用透明。
不必改变用户或服务器系统上的软件。
4)IPSec可以对最终用户透明。
无须训练用户。
5)需要时IPSec可以提供个人安全性。
这对非现场工作人员以及在一个组织内为一个敏感使用建立一个安全的虚拟子网是有用的。
60.SSL协议
SSL协议位于TCP/IP协议和各种使用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层:
1)SSL记录协议,建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
2)SSL握手协议,建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全