精编安全生产计算机网络安全复习.docx
- 文档编号:9939450
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:15
- 大小:123.30KB
精编安全生产计算机网络安全复习.docx
《精编安全生产计算机网络安全复习.docx》由会员分享,可在线阅读,更多相关《精编安全生产计算机网络安全复习.docx(15页珍藏版)》请在冰豆网上搜索。
精编安全生产计算机网络安全复习
【安全生产】计算机网络安全复习
xxxx年xx月xx日
xxxxxxxx集团企业有限公司
Pleaseenteryourcompany'snameandcontentv
计算机网络安全复习
1、影响计算机网络安全的主要因素有哪些?
网络部件的不安全因素;
软件的不安全因素;
工作人员的不安全因素;
人为的恶意攻击
环境因素。
2、什么是计算机网络安全策略,网络安全的策略的内容有哪些?
安全策略目的是决定一个计算机网络的组织机构怎样来保护自己的网络及其信息,一般来说,保护的政策包括两个部分:
一个总的策略和一个具体的规则。
3、网络安全技术的研究内容有哪些?
(1)网络管理员的安全责任:
该策略可以要求在每台主机上使用专门的安全措施,登录用户名称,检测和记录过程等,还可以限制连接中所有的主机不能运行应用程序。
(2)网络用户的安全策略:
该策略可以要求用户每隔一段时间改变口令;使用符合安全标准的口令形式;执行某些检查,以了解其账户是否被别人访问过。
(3)正确利用网络资源:
规定谁可以利用网络资源,他们可以做什么,不应该做什么。
对于E-mail和计算机活动的历史,应受到安全监视,告知有关人员。
(4)检测到安全问题的策略:
当检测到安全问题是,应该做什么,应该通知什么部门,这些问题都要明确
4、你所知道的古典加密技术有哪些,试举一例说明其加密过程。
1代换密码2置换密码3.4序列密码
5、什么是DES,它属于何种加密体制,试简述其加密过程,并对其安全性进行评价。
DES用56位密钥加密64位明文,输出64位密文,它的加密过程如图3.10所示。
6、DES加密处理的关键是什么。
S盒怎样实现六输入四输出?
7、什么是流密码,设计流密码一般要考虑哪些因素?
流密码是密码体制中一个重要分支。
在20世纪50年代,随着数字电子技术的发展使密钥可以方便的利用移位寄存器为基础的电路来产生,促使了线性和非线性移位寄存器理论的迅速发展。
有效的数学方法的使用,使得流密码得以迅速的发展并走向成熟。
1、加密序列的周期要长。
密钥流生成器实际上产生的是具有固定比特流的函数(相当于伪随机系列发生器),最终将会出现重复。
2、密钥流应当尽可能接近一个真实的随机数流的特征。
随机性越好,密码分析越困难。
3、为了防止穷举攻击,密钥应该足够长。
从目前的软硬件技术来看,至少应当保证密钥长度不小于128位。
8、简述RSA加密过程,并就RSA加密体制的安全性进行评估。
1) 密钥生成
(1) 随机选取两个大素数(比如200位十进制数)p和q,令N=pq,随机选取两个整数e和d与(N)互素,且ed1mod(N);
注:
(N)就是第二章介绍的Euler函数。
(2) 公开N,e,作为E,记作E=(N,E);
(3) 保密p,q,d与(N)作为D,记作D=(p,q,d,(N))(其实p,q可以丢掉,但决不能泄漏);
2)加密过程
(1)在公开密钥数据库中查得用户U的公钥:
E=(N,e);
(2)将明文分组x=x1x2…xr,使得每个xi≤N,i=1,2,…r;
(3)对每组明文作加密变换
yi=E(xi)≡xiemodN,i=1,2,…r;
(4)将密文y=y1y2…yr传送给用户U。
3)解密过程
(1) 先对每一组密文作解密变换xi=D(yi)≡yidmodN
(2)合并组得到明文x=x1x2…xr。
下面证明解密过程是正确的:
设xi与N互素,即gcd(xi,N)=1
∵ed≡1mod(N)
∴存在某个整数k,使得ed≡1+k(N)
D(yi)≡yidmodN
≡xiedmodN
≡xi1+k(N)modN
≡xixik(N)modN
≡xi
如果xi与N不互素,也能证明
D(yi)=xi
因此解密过程是正确的。
9、确定性公钥体制有何缺陷,概率加密体制是怎样克服这些缺陷的。
1)这样的体制并不是对明文消息空间的所有概率分布都是安全的;
2)有时可根据密文导出明文的某些信息;
3)容易发现某个相同的明文被重复加密。
以上的缺陷决定了这样的体制容易受到选择明文攻击或选择密文攻击。
因此,这种体制不能达到严格的安全保密要求。
例如,股票市场的“买进”与“抛出”是非常有价值的信息,某人可以用某些大户的加密函数D,对这些有价值的信息预先加密并保存,则他一旦获得某些大户的密文后,就可以直接在所存储的密文中进行查找,从而求得相应的明文,获得有价值的信息
10、什么是数字指纹,它有哪些用途,一般对数字指纹算法有哪些要求。
仅用上述的数字签名是不够的,也是不实用的。
因为数字签名不像纸上签名那样,签名和被签署的内容紧密联系在一起,因而不易被篡改。
在数字签名中,如果sender的签名未与被签署的文件本身(message)相联系,就留下了篡改、冒充或抵赖的可能性。
为了把那些千差万别报文(文件)和数字签名不可分割的结合在一起,即签名与其发送的信息紧密结合起来,需要设法从报文中提取一种确定格式的、符号性的摘要,称为“报文摘要”(messagedigest),更形象的一种说法是“数字指纹”(digitalfingerprint),然后对它进行签名并发出。
可以说,真正的数字签名是信息发送者用其秘密密钥对从所传送的报文中提出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时,也确保信息报文在传递过程中未被篡改(即完整性)。
当信息接受者受到报文后,就可以用发送者的公开密钥对数字签名进行验证。
简述MD5算法的步骤,并就MD5算法的安全性进行评估。
前三个参数p、q、g是公开的,可以由一组网络用户共享。
秘密密钥为x,公开钥为y。
签名时,先产生一个随机数k,(k 签名方程: r=(gkmodp)modq s=(k-rH(m)x)modq 签名: (r,s)或(m;(r,s)) 签名验证: 为了验证(r,s)的正确性,验证者先计算 u1=smodq u2=rH(m)modq, 然后验证方程: r=是否成立。 成立则正确,否则不正确。 DSA算法的安全性依赖于整数有限域上的离散对数问题的困难性,安全强度和速度均低于RSA算法,因此不少人对DSA算法提出了改进,下面介绍其中一种新的改进方案(NDSA)。 NDSA签名方案中的参数选取同DSA,即: p: L比特长的素数,其中L范围是从512比特到1024比特,并且要求是64的整数倍(在原始标准中p的尺寸固定的512比特,后来p的尺寸由NIST作了改变)。 q: 160比特的数,并且要求是p-1的因子。 g: gh(p-1)/qmodp,其中h是小于p-1的任意数, 并且h(p-1)/qmodp1 x: 小于q的数 y: ygxmodp 11、什么是数字签名,数字签名应满足那些条件。 12、除常规数字签名外,还有哪些数字签名方案,他们各有什么特点? 13、什么是代理签名,他有哪些基本要求? 代理签名的目的是当某签名人(这里称为原始签名人)因公务或身体健康等原因不能行使签名权力时,将签名权委派给其他人替自己行使签名权 ·签名收方能够象验证A的签名那样验证B的签名 ·A的签名和B的签名应当完全不同,并且容易区分 ·A和B对签名事实不可否认 14、什么是DSA,试简要地描述DSA算法,与RSA算法相比,DSA算法安全强度如何。 15、信息认证主要包含那些内容,身份认证主要有哪些措施。 16、为什么说密钥管理是加密系统的核心问题,密钥管理有哪些具体要求。 17、密钥可分为那几种类型,各有什么用途,密钥有哪些产生技术,怎样评价它们的性能。 数据加密密钥 基本密钥 主密钥 其他密钥 1) (1)终端密钥: 2) (2)主机密钥 18、密钥管理主要研究哪些内容。 密钥(Key)是由数字、字母或特殊符号组成的字符串,它可以控制加密解密的过程。 密码算法的安全强度,在很大程度上依赖于密钥的安全保护,这就是密钥管理的研究内容。 密钥管理是一门综合性技术,它涉及到密钥的产生、分配、存储、修改以及销毁的全过程,同时还与密钥的行政管理制度与人员的素质密切相关。 19、试简述基于公开钥加密体制的密钥管理的会话密钥的产生过程,并就其安全性能进行评述。 (1)伪随机序列: 用数学方法和少量的种子密钥产生的周期很长的随机序列。 伪随机序列一般都有良好的,能受理论检验的随机统计特性,但当序列的长度超过了唯一解距离时,就成了一个可预测的序列。 (2) 物理随机序列: 用热噪声等客观方法产生的随机序列。 实际的物理噪声往往要受到温度、电源、电路特性等因素的限制,其统计特性常常带有一定的偏向性。 (3)准随机序列: 用数学的方法和物理的方法相结合产生的随机序列。 准随机序列可以克服前两者的缺点。 20、什么是密钥托管,为什么要进行密钥托管,密钥托管有哪些主要方法? 随着保密通信在现代社会中的作用日益加强,保密通信设备已广泛地用于党政部门,企业内部,银行系统等,对这些部门的信息保密起了很好的作用。 但这些部门内部人员以及一些犯罪分子也可利用该通信设备合法传送他们的犯罪信息,进行犯罪活动,如恐怖威胁,有组织贩毒,泄露企业内部秘密,危害国家及企业的利益,为了监视和防止这种犯罪活动,人们提出了密钥托管概念。 自从美国政府公布托管加密标准(EES—EscrowedEncryptionStandard)以来,该领域受到了世界广泛的关注,并且有关该领域的研究也随之成为近几年密码学界的另一个热点。 密钥托管的前提是: 用户不应具有在他们中间分配其它秘密密钥的能力,否则用户用这些密钥替代密钥托管机构能控制的密钥,从而绕过密钥托管,使密钥托管失效。 密钥托管可以简单地理解为把通信双方每次的会话密钥交给合法的第三方,以便让合法的第三方利用得到的会话密钥解密双方通信的内容,从而来监视双方通信。 一般而言合法的第三方为政府部门和法律执行部门等。 密钥托管的一个最简单方法就是由一个(或多个)可信的政府代理机构为个人保管秘密密钥。 这样经过适当的授权,政府就能检索存储的秘密密钥,进而对窃听到的通信进行解密。 密钥托管方法主要有: 使用单钥密码体制,公钥密码体制,单钥密码与公钥密码体制结合,秘密共享,公正密码体制,下面将详细分析各种密钥托管方法成立的条件和特点。 本部分讨论的密钥托管方法使用的一些记号为: 通信双方是发送者A,接受者B,密钥托管者G。 下面这些方法主要讨论如何建立一个特定的数据恢复域(DRF),DRF中包括加密后的会话密钥以及其它一些特定的信息,G可从DRF中恢复出会话密钥,从而能恢复出双方通信的内容。 1)单钥密码体制 2)具有身份鉴别功能的密钥托管方法 21、为什么要保证数据库的安全,数据库安全面临哪些威胁,数据库的安全性要求有哪些。 计算机系统的数据形式有两种: 一种是文件形式;另一种是数据库形式。 文件组织形式的数据缺乏数据共享性,而数据库组织形式的数据具有共享性、独立性、一致性、完整性和可访问性,因而得到广泛应用,现已成为计算机系统存储数据的主要形式。 因为操作系统对数据库文件没有特殊的安全保护措施,数据库的安全必须通过数据库管理系统来实现。 因此本节先讨论数据库安全的重要性和数据库面临的安全威胁,然后讨论数据库的安全需求,最后介绍其安全技术。 22、数据库主要有哪些安全技术。 访问控制 访问控制就是限制、检查哪些用户能够访问那些数据对象。 同一个数据对象的不同的访问方式如读、写等,对不同的用户也是不同的。 这种技术需要的数据对象分类,对用户分级。 不同的用户按照不同的级别通过不同的方式来访问不同的数据对象。 访问控制又可以分为自主访问控制和强制访问控制。 数据完整性维护 数据库安全的一个重要措施是数据的完整性维护,它涉及数据库内容的正确性、有效性和一致性。 实现数据完整性是保护数据库中数据的正确性、有效性,使其免受无效更新的影响。 事务是数据库系统中访问数据对象的基本单位,在一个多用户的系统中,各个事务不可能总是相互隔离串行运行,这就需要有并发控制机制。 系统可能会因为各种问题而引起数据库中的数据紊乱,这就需要有数据库恢复机制。 因此,数据库的完整性包括语义完整性、并发控制和恢复。 数据库审计 对数据库系统,数据的使用、审计和记录是同时进行的。 审计的主要任务是对应用程序或用户使用数据库资源(包括数据)的情况进行记录和审查,一旦出现问题,审计人员对审计的事件记录进行分析,查出原因。 数据库加密 仅仅使用数据库的访问控制和审计存在不安全因素: 对于一些计算机内行(如电脑黑客),可能会绕过操作系统,直接获得数据库数据文件。 解决的方法是: 对存储数据进行加密保护。 在数据库内,元组的长度一般较短,数据的存储时间比较长,相应密匙的保存时间也随着数据生命周期而定。 若所有的数据使用同一密匙,则保密性差;若不同的元组采用不同的密匙,则密匙太多,造成管理复杂。 因此,不能简单地采用一般的加密技术,而必须针对数据库的特点,研究相应的加密方法。 23、为什么要制定计算机系统评估标准,TDI/TCSES中标准包含哪些基本内容,根据这些标准,数据库有哪些安全等级,他们各有什么特点? 24、数据库审计在数据库安全中起什么作用,有哪些审计类别和数据库审计技术? 数据库系统中的审计工作包括一下几种: 审计: 主要审查系统资源的安全策略、安全保护措施及故障恢复计划等。 操作审计: 对系统的各种操作(特别是一些敏感操作)进行记录、分析记录内容包括操作的种类、所属事物、所属进程、用户、终端(或客户机)、操作时间、审计日期等等。 应用审计: 审计建于数据库之上的整个应用系统、控制逻辑、数据流是否正确。 攻击审计: 对已发生的攻击性操作及危害系统安全的事件(或企图)进行检测和审计。 25、什么是自主访问控制,什么是强制访问控制,什么是基于角色访问控制。 26、什么是防火墙,防火墙有哪些功能。 它是一个或一组实施访问控制策略的系统,防火墙目的就是要通过各种控制手段,保护一个网络不受来自另一网络的攻击 27、第四代防火墙有哪些特点。 防火墙厂商具有操作系统的源代码,并可实现安全内核; 对安全内核实现加固处理: 即去掉不必要的系统特性,加上内核特性,强化安全保护; 对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁; 在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能; 透明性好,易于使用 28、什么是包过滤路由器,它有哪些优缺点。 过滤所谓包过滤,通常是路由器的一种功能,根据提供给IP转发过程的包头信息对每个数据包作出允许或拒绝的决定 包过滤路由器的优点: 标准的路由软件中都内置了包过滤功能,因此无需额外费用。 另外对于用户和应用透明,用户无须改变使用习惯。 包过滤路由器的缺点: ①定义包过滤规则比较复杂,要求网络管理员对INTERNET服务有深入了解。 ②包过滤路由器允许内部网络和外部网络之间直接建立连接,无法抵御数据驱动型攻击。 ③包过滤规则数目增加会消耗路由器的内存和CPU的资源,使路由器的吞吐量下降。 ④包过滤路由器能够接受或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。 29、什么是应用层网关,什么是电路层网关,试比较应用层网关防火墙和电路层网关防火墙的优缺点。 应用层网关常常被称作“堡垒主机”(BastionHost)。 所谓堡垒主机,是一个高度安全的计算机系统,通常因为它暴露于Internet之上,作为联结内部网络用户和外部网络的桥梁,因此易受到攻击。 电路层网关是一个特殊构件,它可以由应用层网关来实现。 电路层网关只简单中继TCP连接,并不进行附加的包处理和过滤,如图11.4所示。 图11.4充分说明了应用通过电路层网关的操作。 (3)应用层网关的优、缺点 应用层网关的优点: ①能够针对各种应用进行全面控制。 这是因为它工作在应用层,能够理解各种应用协议如FTP、HTTP。 ②相对于包过滤路由器,更容易配置和测试,支持更全面的访问控制,能够实现更复杂的安全策略。 ③可以较方便的实现代理对客户端的身份认证。 ④可以提供详细的审计功能和全面的日志分析工具。 应用层网关的缺点: 应用层网关的最大缺点是非透明性,可能要求用户改变自己的使用习惯。 一般要对用户进行简单的培训,有些应用层防火墙可以做到透明代理,但往往需要修改应用程序的客户端软件,这还会引出其它一些安全问题,实现起来也很复杂。 (1)通用性它对具体的协议内容并不关心,具有“协议无关性”。 由于它可以为所有TCP和UDP报文提供代理和中继。 因此可以为所有应用协议提供服务。 (2)透明性电路层网关对用户几乎是透明的,用户不需要改变使用习惯,也感觉不到它的存在。 (不过客户端的操作系统可能需要使用支持电路层网关的动态链接库)。 (3)方便性电路层网关常用于向外连接,这时网络管理员对其内部用户是信任的。 它的优点是堡垒主机可以被设置成混合网关。 对于进入的连接使用应用层网关或代理服务器,而对于出去的连接使用电路层网关。 这样使得防火墙即能方便内部用户访问Internet(通过电路层网关),又能保证对内部网络有较高的安全保护(通过应用层网关)。 30、防火墙的体系结构主要有哪些不同的种类,是从安全性的角度对它门进行评述。 包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结构、合并外部路由器和内部路由器的结构、两个堡垒主机和两个“非军事区”结构、牺牲主机结构、使用多台外部路由器的结构等。 31、防火墙有哪些关键技术,它们各有哪些功能。 包过滤技术、代理技术、电路级网关技术、状态检查技术、地址翻译技术、加密技术、虚拟网技术、安全审计技术、安全内核技术、身份认证技术、负载平衡技术、内容安全技术等。 32、你认为防火墙的发展有哪些趋势。 防火墙在结构上的改进,主要体现在如何能更好地结合包过滤型防火墙和代理型防火墙的问题。 包过滤型防火墙无法处理应用层发起的攻击,如基于电子邮件的攻击;对一些应用,如文件传输协议(FTP),难以处理和控制,从而无法进行有效的防御。 而传统的代理型防火墙,由于每一个IP包都要经历网络层,传输层乃至应用层的拆包才能进行处理,因此系统的吞吐量较低,时延较长,对网络的性能影响很大。 新型防火墙要实现代理型防火墙的灵活功能,但又应该具有包过滤型防火墙的效率。 为了达到这个目的,努力的方向是靠近网络层(IP层),对数据提供尽可能少的信息,达到分析判断数据类型等目的,进而实现代理的功能,即使防火墙对数据包的处理向下靠近网络层,面向应用层,最大限度地保留系统的性能,提高系统的灵活性,并具备良好的可扩展性。 同时,防火墙还向分布式方向发展,使过去的单一防护,变成了多点结合的集群防护。 分布式防火墙往往由控制中心和分布在被防护网络中的防火墙节点组成。 防火墙配置、状态管理等由控制中心直接完成,并且防火墙的告警信息也及时反馈到控制中心,由控制中心根据策略采取警告其它防火墙节点或者重新配置等方式达到预警的目的。 防火墙的这些发展趋势,在实际的应用中,也往往是相互结合,相互渗透的,这样更能提高起对网络的保护作用。 由于计算机网络发展的迅猛势头和防火墙产品的更新步伐,要全面展望防火墙技术的发展几乎是不可能的,以上的发展方向,只是防火墙众多发展方向中的一部分,随着新技术的出现和新的应用出现,防火墙的发展必将出现更多的新的趋势。 33、计算机病毒有哪些特性。 1)感染性2)流行性3)欺骗性4)危害性5)可插入性6)潜伏性 35计算机病毒可分为几种类型,它们各有什么特点。 引导型病毒操作系统型病毒文件型病毒 34、计算机病毒是怎样进行破坏的。 计算机病毒,一般由感染标志、感染模块、触发模块、破坏(或表现)模块和主控模块五个部分组成。 35、你认为应怎样进行计算机病毒的防范。 建立健全相应的法律制度,使得对病毒制造者的处理有法可依,有章可循。 加强对工作人员进行计算机病毒及其危害性的教育,使他们明确计算机病毒不仅是系统数据或文件破坏,造成系统瘫痪,而且会给国家造成巨大经济损失,严重损坏国家在世界上的形象和声誉,从而自觉增强防病毒意识,并健全机房管理制度。 禁止工作人员将外单位的程序、软盘带入本系统,只有经授权的程序或软盘才能在本系统运行。 外来的程序或软盘如需使用,必须先进行诊断或消毒,经过严格的测试检查后,方能上机使用。 在未经检测的情况下,不应执行不知来源的程序。 不能随意将本系统计算机与外界系统联通,以防病毒侵入,造成系统数据和程序损失。 机器要专人负责,禁止外来人员使用机器。 新购的计算机要先进行检测和消毒,然后才能使用。 经常检查在系统中予以保留的程序和数据文件。 为防止任何修改企图,对这些程序和数据文件及系统资源只允许读出操作,如需修改,要经允许,并登记在案。 严格控制卸载文件的执行。 通过电子邮件接收的程序,要经过检测后才能使用。 对电子邮件要使用指定的计算机设备或建立特殊账目,避免直接转帐。 谨慎使用公共软件和共享软件,防止计算机病毒传播和扩散。 隐藏COMMAND.COM文件,对.COM文件和.EXE文件可设置成只读属性,以防病毒入侵。 对系统文件和重要数据文件进行写保护或加密。 口令字尽可能选用随机字符,让口令字本身无意义,尽量不使用名字、生日、亲属名字作为口令,以增强对方破译口令的难度。 在可能的情况下,尽量不采用软盘引导,以增强硬盘的安全性,并定期对硬盘和软盘进行检测和消毒。 对于DOS系统软盘要贴上写保护,并注意定期备份。 绝大多数游戏盘因非法复制而带有惩罚性病毒,因此不允许工作人员将各种游戏软件装入计算机系统,不准工作人员在工作时间玩计算机游戏,以防将病毒带入系统。 在根目录下不要存放太多的文件,应分门别类的将文件放在各个目录中。 当病毒破坏FAT表时,尽量将损失减到最小。 对于FAT表等重要信息及文件要经常备份。 一般病毒主要破坏C盘的BOOT区和FAT表内容,因此要将系统文件和用户文件分开存放。 系统引导序列应先C盘后A盘或B盘,以防止引导型病毒入侵。 建立系统应急计划,以便系统遭到病毒破坏时,将系统的损失降低到最小程度。 采取必要的病毒检测、清除和控制措施,以及对机房和计算机系统的管理措施。 限制计算机网上的可执行代码的交换,建立适当的用户口令,规定合理的管理权限。 对网络公告牌上的程序,在使用前要进行检测。 对用户数据和程序要妥善保管,最好不要存于系统盘上。 对于系统中的重要数据,要定期进行拷贝。 对于计算机系统的启动实行专人管理,禁止本机使用的软盘外借或由使用者有意携带外出。 建立计算机系统使用登记表,记录计算机使用者的姓名、上机时间、操作过程、机器状态,以及使用期间发现某病毒感染的时间、危害情况和检测、消毒情况等。 谢谢阅读! ! ! 随心编辑,值得下载拥有! 专业│专注│精心│卓越
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精编 安全生产 计算机 网络安全 复习