《网络安全技术》考试题库1.计算机网络安全所面临的威胁分为哪几类?从人的角度,威胁网络安全的因素有哪些?答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁(2分)。从人的因素考虑,影响网络安全的因素包括:(1)人为的无意失误。(1分)(2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。(1分)(3)网络软件的漏洞和“后门”。(1分)2.网络攻击和防御分别包括哪些内容?答:网络攻击:网络扫描、监听、入侵、后门、隐身;网络防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。4.分析TCP/IP协议,说明各层可能受到的威胁及防御方法。答:网络层:IP欺骗欺骗攻击,保护措施:防火墙过滤、打补丁;传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。6.请分析网络安全的层次体系。答:从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。7.请分析信息安全的层次体系。答:信息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。10.请说明“冰河”木马的工作方式。答:病毒通过修改系统注册表,通过执行文本文件的双击打开操作,驻留病毒程序,伺机实现远端控制目的。【应用题】1.简述防范远程攻击的技术措施。答:防范远程攻击的主要技术措施有防火墙技术、数据加密技术和入侵检测技术等。(2分)(1)防火墙技术。用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。(1分)(2)数据加密技术。数据加密技术已经成为所有通信安全的基石。(1分)(3)入侵检测技术。是一种防范远程攻击的重要技术手段,能够对潜在的入侵动作做出记录,并且能够预测攻击的后果。(1分)2.防范远程攻击的管理措施有那些?答:防范远程攻击的管理措施:(1)使用系统最高的安全级别。高安全等级的系统是防范远程攻击的首选。(2分)(2)加强内部管理。为对付内部产生的黑客行为,要在安全管理方面采取措施。(2分)(3)修补系统的漏洞。任何系统都是有漏洞的,应当及时堵上已知的漏洞并及时发现未知的漏洞。(1分)3.简述远程攻击的主要手段。答:远程攻击的手段主要有:(1)缓冲区溢出攻击。(1分)(2)口令破解。又称口令攻击,口令是网络安全防护的第一道防线。(1分)(3)网络侦听。是指在计算机网络接口处截获网上计算机之间通信的数据。(1分)(4)拒绝服务攻击。是一种简单的破坏性攻击。(1分)(5)欺骗攻击。(1分)4.简述端口扫描技术的原理。答:端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应(1分)。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息(1分)。端口扫描也可以通过捕获本地主机或服务器的注入/流出IP数据包来监视本地主机运行情况(1分)。端口扫描只能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。(2分)5.缓冲区溢出攻击的原理是什么?答:缓冲区溢出攻击指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。(3分)缓冲区溢出攻击最常见的方法是通过使某个特殊程序的缓冲区溢出转而执行一个Shell,通过Shell的权限可以执行高级的命令。如果这个特殊程序具有System权限,攻击成功者就能获得一个具有Shell权限的Shell,就可以对系统为所欲为了。(2分)7.简述暴力攻击的原理。答:使用穷举法破译密码等信息的一种方法,如:字典攻击、破解操作系统密码、破解邮箱密码、破解软件密码等。9.简述缓冲区溢出的攻击原理。答:当目标系统收到了超过其可接收的最大信息量时,会发生缓冲区溢出。易造成目标系统的程序修改,由此产生系统后门。10.简述拒绝服务的种类和原理。答:拒绝服务攻击主要是计算机网络带宽攻击和连通性攻击。通过耗用有限计算机资源,使得目标主机无法提供正常网络服务。11.简述DDoS的特点及常用攻击手段。答:攻击计算机控制着多台主机,对目标主机实施攻击,大量瞬时网络流量阻塞网络,使得目标主机瘫痪。12.留后门的原则是什么?答:原则就是让管理员看不到有任何特别的地方。13.列举后门的三种程序,并阐述其原理和防御方法。答:1)远程开启TELNET服务(RTCS.VBE)工具软)件,防御方法:注意对开启服务的监护;2)建立WEB和TELNET服务(WNC.EXE),防御方法:注意对开启服务的监护;3)让禁用的GUEST用户具有管理权限(PSU.EXE修改注册表),防御方法:监护系统注册表。14.简述木马由来及木马和后门的差异。答:木马是一种可以驻留在对方服务器系统中的程序(服务器端、客户端),其功能是通过客户端控制驻留在对方服务器中的服务器端。木马功能较强,具有远程控制功能,后门功能单一,只提供登录使用。16.简述两种通过UNICODE漏洞,进行攻击的方式。答:入侵目标操作系统;删除目标系统主页。17.简述一次成功的攻击,可分为哪几个步骤?答:1、隐藏IP;2、踩点扫描;3、获得系统或管理员权限;4、种植后门;5、在网络中隐身。18.简述网络监听的原理及常用方法。答:网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。Snifferpro就是一个完善的网络监听工具。19.简述SQL注入漏洞的原理。答:利用恶意SQL语句(web缺少对SQL语句的鉴别)实现对后台数据库的攻击行为。答:P2P网络是对等网络,即点对点网络。产生的安全隐患主要有无赖流量和大量上传下载产生的病毒传播等问题。1.试述如何防止特洛伊木马的非法访问。答:通过强加一些不可逾越的访问限制,系统可以防止一些类型的特洛伊木马的攻击。在强制访问控制中,系统对主体与客体都分配一个特殊的安全属性,这种安全属性一般不能更改,系统通过比较主体与客体安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序,不能改变它自己及任何其他客体的安全属性。(2分)以下两种方法可以减少特洛伊木马攻击成功的可能性。(1)限制访问控制的灵活性(2分)用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,这种方法就可以消除偷改访问控制的特洛伊木马的攻击。(2分)(2)过程控制(2分)采用过程控制可以减少特洛伊木马攻击的机会。(2分)2.分析漏洞扫描存在问题及如何解决。答:漏洞扫描中的问题及完善建议有:(1)系统配置规则库问题存在局限性①如果规则库设计的不准确,预报的准确度就无从谈起;(1分)②它是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁却是来自未知的漏洞,这样,如果规则库更新不及时,预报准确度也会相应降低;(1分)(1分)完善建议:系统配置规则库应能不断地被扩充和修正,这样也是对系统漏洞库的扩充和修正,这在目前来讲仍需要专家的指导和参与才能实现。(2分)(2)漏洞库信息要求漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库住处不全面或得不到即时的更新,不但不能发(3分)完善建议:漏洞库信息不但应具备完整性和有效性,也应具备简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的即时更新。(2分)3.简述研究恶意代码的必要性。答:防护国家等信息安全。4.简述恶意代码长期存在的原因。答:系统漏洞层出不穷;利益驱使等。5.恶意代码是如何定义的,可以分为哪几类?答:Grimes的定义:经过存储介质和网络进行传播,未经授权认证破坏计算机系统完整性的程序和代码。7.说明PE病毒的原理及影响问题。起源于DOS系统,发展于WINDOWS,通常采用汇编格式编写,且格式为PE。具有数量极多、破坏性大和功能强等特点。其核心技术是感染模块。8.简述脚本病毒常用的自身隐藏方式。答:随机选取密钥对自己的部分代码实施加密;采用变形技术;采用多态技术加壳。10.简述U盘病毒通常的几种隐藏方式。答:作为系统文件隐藏;伪装为其他文件;隐藏在系统文件夹中;运用WINDOWS漏洞等。【应用题】1.自主访问控制的模式有哪几种?答:自主访问控制模式有:(1)文件。对文件常设置的访问模式有以下几种:①读和复制,②写和删除,③运行,④无效。(3分)(2)目录对于一个目录型客体,它的访问模式的最小集合包括:①读,②写-扩展。(2分)2.什么是蜜罐技术?蜜罐的特点是什么?答:蜜罐技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。(1分)蜜罐的特点:(1)它不是一个单一的系统,而是一个网络,是一种高度相互作用的蜜罐,装有多个系统和应用软件。(2分)(2)所有放置在蜜罐网内的系统都是标准的产品系统,即真实的系统和应用软件,都不是仿效的。(2分)5.简述信息流模型的组成答:信息流模型一般有以下5部分组成。①客体集合,如文件、程序、变量等,它表示信息的存放处。(2分)②进程集合,它表示与信息流有关的活动主体。(2分)③安全类集合,它表示离散的信息类,如安全系统中的权力级别和对象类别。(2分)④类间复合操作符,用于确定在两类信息上操作所产生的信息。(1分)⑤流关系,用于决定在任一对安全类之间,信息能否从一个安全流向另一个安全类。(1分)信息流动策略规定信息必须由低安全类向高安全类或同安全类流动,而不允许信息由高安全类向低类或无关类流动。(2分)8.访问控制的基本任务是什么?答:访问控制的基本任务有:(1)用户身份认证。认证就是证实用户的身份。(1分)(2)授权。根据不同的用户分配给不同的使用资源,决定访问权限的因素有用户类别、资源和访问规则。(2分)(3)文件保护。对文件提供附加保护,使非授权用户不可读。(1分)(4)审计。记录用户的行动,以说明安全方案的有效性。(1分)9.访问控制包括哪几个层次?答:访问控制的层次包括:(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制。(1分)(2)网络权限控制。是针对网络非法操作所提出的一种安全保护措施。(1分)(3)目录级安全控制。控制用户对目录、文件、设备的访问。(1分)(4)属性安全控制。给文件、目录等指定访问属性。(1分)(5)服务器安全控制。网络允许在服务器控制台上执行一系列操作。(1分)10.试述建立安全模型的原因和安全模型的特点。答:设计安全模型的主要目的是确定系统安全访问控制策略、决定系统内部主体对客体的访问和监控方式等。(2分)安全模型一般有如下几个特点:(1)能充分体现预定的安全需要,应清楚地、准确地表达安全策略。(2分)(2)模型的安全表达是无二意性的。(2分)(3)模型应该是简单的、抽象的、易于理解和实现,而且应易于验证。(2分)(4)安全模型应当只涉及安全性质,对系统的其他功能及实现不能有影响和太大的削弱。(2分)13.如何关闭不需要的端口和服务。答:通过TCP/IP协议属性的高级设置完成。14.简述安全模型的意义及BLP模型的特点。答:安全模型:对安全策略所表达的安全需求的简单、抽象和无歧义的描述,为安全策略及其机制提供了一种框架。BLP模型是一种适用于军事安全策略的操作系统安全模型。15.简述安全模型的意义及Biba模型的特点。答:安全模型:对安全策略所表达的安全需求的简单、抽象和无歧义的描述,为安全策略及其机制提供了一种框架。Biba模型是一种适用于保护信息完整性的操作系统安全模型。16.简述Flask安全体系结构的优点。答:该结构使策略的可变通性的实现成为可能。安全结构中机制和策略清晰区分,使得系统可以使用比以前更少的策略来支持更多的安全策略集合。17.简述安全操作系统的机制。答:操作系统源代码中内置了特定的安全策略,通过一些设置,使操作系统更安全。18.列举三种以上的安全操作系统。答:Tmach/ASOS/SOFTOS等。19.访问控制机制的理论基础是访问监控器。其引用验证机制需同时满足三个基本原则,即:具有自我保护能力;总是处于活跃状态;设计得足够小。请就上述原则说明其涵义。答:保