网络安全试题与答案.ppt

Page */162 1.网络安全的含义和特征是什么？ 网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 可控性：对信息的传播及内容具有控制能力。 可审查性：出现的安全问题时提供依据与手段。 2.网络攻击和防御分别包含哪些内容？ 攻击技术主要包括： 1)网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 2)网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 3)网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。 4)网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。 5)网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 防御技术主要包括： 1)安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。 2)加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。 3)防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 4)入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。 5)网络安全协议：保证传输的数据不被截获和监听。 3.防火墙体系结构有几种，每种结构的特点？ 分组过滤路由器 双宿主机 屏蔽主机 屏蔽子网 分组过滤路由器 作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。 通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。 缺点： 在单机上实现，是网络中的“单失效点”。 不支持有效的用户认证、不提供有用的日志，安全性低。 双宿主机： 在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成 通常采用代理服务的方法 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等 屏蔽主机： 一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。 提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 屏蔽子网： 是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（Demilitarized Zone）） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话 4.VPN技术有哪些，分别是什么？ 隧道化协议（Tunneling Protocol） 隧道技术是将分组封装（Capsule）的技术，它是VPN实现以内部网地址通信与多协议通信的重要功能，PPTP、L2TP、IPSec、GRE和GTP被广泛采用。 认证协议 在远程访问VPN中，使用了用户名及口令，它们被用来判断用户名是否有权访问。PPP采用了PAP（Password Authentication Protocol）及CHAP（Challenge Handshake Authentication Protocol）等规程进行认证。PPTP及L2TP等隧道协议采用这种PPP的认证协议。 加密技术 加密技术由IPSec ESP（Encapsulating Secutity Payload）。　数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。 5.入侵检测系统的功能、类型和检测过程。 IDS通常具有的功能： 监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。 对系统的构造和弱点进行审计。 识别分析著名攻击的行为特征并报警。 对异常行为模式进行统计分析。 评估重要系统和数据文件的完整性。 对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。 容错功能。即使系统发生崩溃，也不会丢失数据，或在系统重新启动时重建自己的信息