网络安全简答题.docx
- 文档编号:8085676
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:9
- 大小:125.21KB
网络安全简答题.docx
《网络安全简答题.docx》由会员分享,可在线阅读,更多相关《网络安全简答题.docx(9页珍藏版)》请在冰豆网上搜索。
网络安全简答题
(4)数字证书的生成:
RA将用户所有细节传给CA,CA进行必要的验证,并将这些信息转换成X.509标准格式;
(5)数字证书的分发:
用户可以从目录服务或者数字证书数据库下载数字证书,如接收方的电子邮件地址等。
6.在生成数字证书时,RA如何验证用户的公钥和私钥的一致性。
答:
(1)RA要求用户用私钥对注册的申请内容进行数字签名,如果RA可以用这个用户的公钥验证签名,则可以相信这个用户拥有该私钥;
(2)RA对用户生成一个不能直接使用的哑证书,用该用户的公钥加密,将其发给用户。
用户只有解密这个加密证书才能取得明文证书;
(3)RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户,用户能用起私钥解密,则验证通过。
7.简述数字证书的作用。
答:
(1)防止中间人攻击
(2)防止冒名CA发布数字证书
(3)防止CA的抵赖
(4)确保数字证书中用户身份的真实性
(5)确保用数字证书的公钥加密可以用该用户的私钥解密
8.用户如何验证接收到数字证书的真实性?
答:
(1)用户将数字证书中除最后一个字段以外的所有字段传入消息摘要算法。
这个算法与CA数字签名时时用的算法相同。
CA在证书中指定签名所用算法,使用户知道用哪个算法;
(2)消息摘要算法计算数字证书中除最后一个字段以外所有的字段的消息摘要。
(3)用户从证书中取出CA的数字签名(即证书中最后一个字段);
(4)用户用CA的公钥解密签名,假设签名得到另一个消息摘要;
(5)用户比较自己求出的摘要与用CA公钥解密签名得到的消息,如果两者相符,则可以肯定,数字证书是是CA用其私钥加密签名,否则用户不信任这个证书,将其拒绝。
13.三因子鉴别的3方面是什么?
答:
三因子:
(1)用户所知道的东西:
如口令和密码等;
(2)用户所拥有的东西:
信用卡和U盾等;
(3)用户所具有的东西:
声音、指纹、视网膜、签字或者笔迹等。
15.基于数字证书鉴别的基本步骤有哪些?
答:
(1)CA对每个用户生成数字证时并将其发给相应的用户,并将这些证书同时存放在鉴别服务器的用户数据库中,以便进行鉴别;
(2)用户在客户端只输入自己的用户名,不输入口令;
(3)服务器检查用户名是否有效,如果无效则向用户返回相应的错误信息,结束鉴别过程。
若有效进行下一步;
(4)服务器生成一个随机挑战,保留这个随机挑战并通过网络传递到用户
(5)用户首先输入私钥密钥打开私钥文件,然后从文件中取得私钥;
(6)用户用自己的私钥签名随机挑战,并将签名的结果发送给服务器;
(7)服务器从用户数据库取得用户的公钥,并用公钥解密第六步结果;
(8)服务器比较第六步和第四步两个随机挑战,如果相等,服务器向用户返回鉴别成功,否则返回失败的信息。
16.基于生物特征的用户身份鉴别机制有哪些优点和缺点?
答:
优点:
随身性(与人体唯一绑定)、安全性(个人特征本身是个人身份的最好证明)、唯一性(每个人拥有的生物特征)、稳定性(生物特征不会随时间等条件的的变化而变化)、广泛性(每个人都具有这种特征)、方便性(不需要记忆密码或者特殊工具),可采集性(选择的生物特征易于测量)。
缺点:
生物鉴别的重要思想是每次鉴别产生的样本可能稍有不同,,因为用户的物理特征可能因为某些原因而改变。
第六章
简述4种防火墙体系结构
答:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);
(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;
(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;
(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;
(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);
(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:
路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;
(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:
防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:
防火墙不能防御基于数据驱动的攻击。
防火墙有哪些不足之处
答:
1、无法检测加密的Web流量。
2、普通应用程序加密后,也能轻易躲过防火墙的检测。
3、对于Web应用程序,防范能力不足。
由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。
由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。
简述防火墙的基本原则
答:
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
其一、未经说明允可的就是拒绝。
防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。
约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。
当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度
简述防火墙所使用的技术
答:
1.包过滤技术
2.应用代理技术
3.状态检测技术
强制访问控制和自主访问控制有什么区别
答:
自主访问控制又称自主存取控制(DAC:
DiscretionaryAccessControl):
同一用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,用户还可将其拥有的存取权限转授给其他用户。
强制访问控制又称强制存取控制(MAC:
MandatoryAccessControl):
每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证,对于任意一个对象,只有具有合法许可证的用户才可以存取。
两者区别:
DAC的数据存取权限由用户控制,系统无法控制;MAC安全等级由系统控制,不是用户能直接感知或进行控制的。
基于角色的的访问控制比基于用户的访问控制有哪学优点
答:
基于角色的访问控制可以直接将角色授权给用户,因为用户一旦多起来就不好管理,也使得管理员的负担增大,使用基于角色的访问控制可以直接将管理层的管理与用户隔离开来,从而减小了管理的开销,也使得这样的效率更高,一个用户可以同时被授予多个角色,一个角色也可以同时被授予多个用户。
简述访问控制的分类
答:
分为三类
1基于授权规则的、自主管理的自主访问控制技术(DAC);
2基于安全级的集中管理的强制访问控制技术(MAC);
3基于授权规则的集中管理的基于角色的访问控制技术(RBAC)。
简述访问控制的基本原理
答:
访问控制的功能及原理:
访问控制的主要功能包括:
保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。
当用户身份和访问权限验证之后,还需要对越权操作进行监控。
因此,访问控制的内容包括认证、控制策略实现和安全审计。
1、认证。
包括主体对客体的识别及客体对主体的检验确认;
2、控制策略。
通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。
既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。
同时对合法用户,也不能越权行使权限以外的功能及访问范围;
3、安全审计。
系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 答题