川农信息安全期末

选择题

第一章

主动攻击主要威胁信息的：完整性、可用性、真实性
CIA 三元组的目标主要包括：完整性、可用性、保密性

第七章

网络安全协议

IPSec 协议：网络层
SSL 协议：传输层

简答题

第七章

1.简述 SSL 握手的过程。P190-193
第一步: 客户发出一个带有客户 HELLO 信息的连接请求。
第二步: 服务器评估客户方发来的 HELLO 信息中的各项参数，并且返回一个服务器方的 HELLO 信息，其中含有服务器选来用于 SSL 会话的各项参数。在服务器 HELLO 信息之后，服务器发出如下信息:①服务器证书，如果服务器需要被鉴别的话。②服务器密钥交换信息，如果得不到证书或证书仅仅用作签名的话。③证书请求，如果客户要求被鉴别的话。然后，服务器发出一个服务器 HELLO DONE 信息，开始等待客户的回音。
第三步: 客户发送下列信息:①如果服务器发出了一个证书请求，那么客户方必须发送一个证书或非证书信息。②如果服务器发送了一个服务器密钥交换信息，那么客户方就发送一个基于公钥算法的由 HELLO 信息决定的密钥交换信息。③如果客户方已经发送了一个证书，那么客户方就需验证服务器方的证书并且发出一个证书验证信息指明结果。然后，客户方发出一个结束信息，指出协商过程已经完成。客户方还发送一个修改密文规约信息来产生共享的常规密钥。应该注意这部分工作不是由握手协议控制，是由修改密文规约协议管理的。
第四步: 服务器发出一个结束信息指出协商阶段完成。然后服务器发出一个密文修改规约信息。
第五步: 会话双方分别产生一个加密密钥，然后他们再根据这些密钥导出会话主密钥。握手协议改变状态至连接状态。所有从应用层的来的数据传输作为特定信息传输给对方。

2.IPSec 中，ESP 和 AH 分别有什么作用？P197-201
答: 在 IPSec 安全协议组中，ESP 规定了为通信提供机密性和完整性保护的具体方案，包括 ESP 载荷的格式、语义、取值以及对进入分组和外出分组的处理过程等。ESP 涉及到密码学中的核心组件一加密和鉴别算法。AH 协议定义了认证的应用方法，提供数据源认证和完整性保证。AH 协议规定了 AH 头在 AH 实现中应插入 IP 头的位置、AH 头的语法格式、各字段的语义及取值方式，以及实施 AH 时进入和外出分组的处理过程。AH 机制涉及到密码学中的核心组件 - 鉴别算法。

第八章

1.PKI 中有那些常见的信任模型？各种的特点是什么？P223-226
（1）层次模型。认证机构的严格层次结构可以描绘为一棵倒转的树，根在顶上，叶在最下面。在这棵倒转的树上，根代表一个对整个 PKI 域内的所有实体都有特别意义的 CA，通常被叫做根 CA，作为信任的根或“信任锚”，也是信任的起点。在根 CA 的下面是零层或多层中间 CA（也被称作子 CA ，它们是从属于根 CA)，这些 CA 由中间节点代表，从中间节点再伸出分支。与非 CA 的 PK 实体相对应的叶节点通常被称作终端实体或终端用户。
（2）分布式信任模型: 与严格层次结构相反，分布式信任结构把信任分散到两个或更多个 CA 上。更准确地说，A 把 CAl 的公钥作为他的信任错，而 B 可以把 CA2 的公钥做为他的信任锚。因为这些 CA 的密钥都作为信任锚，因此相应的 CA 必须是整个 PKI 群体的一个子集所构成的严格层次结构的根 CA （ CA1: 是包括 A 在内的层次结构的根，CA2 是包括 B 在内的层次结构的根)
（3）Web 模型是在万维网 (World Wide Web) 上诞生的，依赖于流行的浏览器进行构建。在这种模型中，许多 CA 的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的 CA。尽管这组根密钥可以被用户修改，然而几乎没有普通用户对于 PKI 和安全问题能精通到可以进行这种修改的程度。Web 模型在方便性和简单互操作性方面有明显的优势,但是也存在一些安全隐患。
（4）在一般被称作以用户为中心的信任模型中，每个用户都对决定信赖哪个证书和拒绝哪个证书直接完全地负责。在这个信任模型中，没有专门的 CA 中心，每个用户可以向他所信任的人签发公钥证书，通过这样的方式建立一个信任网。因为要依赖于用户自身的行为和决策能力，因此以用户为中心的模型在技术水平较高和利害关系高度一致的群体中是可行的，但是在一般的群体（其用户有极少或者没有安全及 PKI 的概念）中是不现实的。这种模型一般不适合用在贸易、金融或政府环境中，因为在这些环境下，通常希望或需要对用户的信任实行某种控制，显然这样的信任策略在以用户为中心的模型中是不可能实现的。

2.什么是交叉认证？请给出交叉认证的过程。P220-221
答：交叉认证有两个操作: 首先在两个域之间建立信任关系，这通常是一次性操作。在双方交叉认证的情况下，两个 CA 安全地交换他们的验证密钥。这些密钥用于验证他们在证书上的签名。为了完成这个操作，每个 CA 签发一张包含自己公钥的证书，该证书称为交叉证书。后续操作由客户端软件完成，这个操作包含了验证已由交叉认证的 CA 签发的用户证书的有效性，这个操作需要经常执行。该操作被称为跟踪信任链，链指得是交叉证书认证链表，沿着这个链表可以跟踪所有验证用户证书的 CA 密钥。
交叉认证有两个操作: 首先在两个域之间建立信任关系，这通常是一次性操作。在双方交叉认证的情况下，两个 CA 安全地交换他们的验证密钥。这些密钥用于验证他们在证书上的签名。为了完成这个操作，每个 CA 签发一张包含自己公钥的证书，该证书称为交叉证书。后续操作由客户端软件完成，这个操作包含了验证已由交叉认证的 CA 签发的用户证书的有效性，这个操作需要经常执行。该操作被称为跟踪信任链，链指得是交叉证书认证链表，沿着这个链表可以跟踪所有验证用户证书的 CA 密钥

第九章

1.什么是防火墙？防火墙能防病毒吗？P238-241
答。防火墙是位于一个或多个安全的内部网络和非安全的外部网络 (如 Internet) 之间的进行网络访问控制的网络设备（或系统)。防火墙的目的是防止不期望的或未授权的用户和主机访问内部网络，确保内部网正常、安全地运行。防火墙可以防病毒，但不能防所有的病毒。
2.简述防火墙的局限性。P240-241
答: 防火墙的局限性主要表现在以下几个方面:
①防火墙不能防范不经由防火墙的攻击和威胁。
②不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁。
③防火墙不能防止感染了病毒的软件或文件的传输。
④防火墙不能防止数据驱动式攻击。
⑤不能修复脆弱的管理措施和存在问题的安全策略。

第十章

1.简述入侵检测系统与入侵防御系统的异同？（结合整章）
答：IPS 与 IDS 主要的不同点有:
(1) 入侵检测系统的功能是通过监视网络和系统中的数据流，检测是否存在有违反安全策略的行为或企图，若有则发出警报通知管理员采取措施:IPS 能够提供主动性的防御，在遇到攻击时能够检测并尝试阻止入侵。
(2)IPS 串联在网络上，利用了 OSI 参考模型的所有七层信息，对攻击进行过滤，提供了一种主动的、积极的入侵防范。而 IDS 只是旁路并联安装，检测入侵行为。
(3)IDS 使用非确定性的方法从现在和历史的通信流中查找威胁或者潜在的威胁，包括执行通信流、通信模式和异常活动的统计分析。IPS 必须是确定性的，它所执行的所有丢弃通信包的行为必须是正确的。
2.一个入侵检测系统通常由哪几个部分组成？（P254）
答: 一个入侵检测系统通常由三个部分组成:
①提供事件记录流的信息资源:
②发现入侵事件的分析引擎:
③对分析引擎的输出做出反应的响应组件。

第十一章

1.计算机病毒的防治分为哪几个方面?预防病毒的措施有哪些？P282
计算机病毒的防治分为 3 个方面：预防病毒、检测病毒和清除病毒。
预防病毒的措施：
l 配置好的计算机首先安全杀毒软件，对硬盘和软件进行查杀操作后再
使用。
l 不要赋予用户账户管理员权限，禁止别人使用计算机导致恶意软件被
引入。
l 经常对数据进行备份，避免病毒修改后无法恢复。
l 在没有安装杀毒软件的计算机上，尽可能避免使用 U 盘等移动磁盘。
l 对于可疑的文件、网页和邮件，不要轻易打开。

2.对于蠕虫病毒的防治可以采用哪几个主要措施？P279-P280
对于蠕虫病毒的防治可以采用以下几个主要措施：
l 修补系统漏洞，及时下载系统漏洞补丁程序，并及时升级系统。
l 设置防火墙：禁止除服务端口外的其他端口，切断蠕虫病毒的传输通
道和通信通道。
l 对邮件进行监控，防止带毒邮件进行传播。
l 建立局域网内部的升级系统，包括各种操作系统补丁程序升级、各种
常用的应用软件升级、各种杀毒软件病毒库的升级等。
l 建立灾难备份系统：对于数据库和数据系统，必须采用定期备份、多
机备份措施，防止意外灾难下的数据丢失。
l 采用入侵检测技术：入侵检测是一种主动防御网络攻击的技术，不仅
能主动监控外网的攻击还能监控来自内部的攻击，弥补了防火墙的不
足。建立病毒检测系统能够在第一时间检测到网络异常和蠕虫病毒攻
击，及时断开感染蠕虫病毒的计算机。
l 删除蠕虫病毒要利用的程序：删除或重命名客户端上传程序，如 ftp.exe
和 fftp.exe；删除或重命名命令解释器，如 UNIX 系统下的 shell，Windows
系统下的 cmd.exe 和 WScript.exe 等。

3. 特洛伊木马的特征有哪些？其入侵有哪些步骤？p280-281
特征：伪装性、隐蔽性、破坏性
步骤包括：
（1）配置木马：为了尽可能地隐藏木马，木马配置程序会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等。木马配置程序还会设置信息反馈的方式或地址，如设置为邮件地址、IRC 号、ICO 号等。
（2）传播木马：传播方式主要有两种，一种是通过 E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；一种是通过软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，用户下载后，只要运行这些程序，木马就会自动安装。木马设计者还会伪装木马来降低用户警觉、欺骗用户。
（3）运行木马：服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。
（4）信息泄露：木马被成功安装后，就会收集一些服务端的软硬件信息，并通过设置好的信息反馈方式告知控制端用户。
（5）建立连接：只要服务端已安装了木马程序，且控制端和服务端都在线，就可以建立连接。
（6）远程控制：建立连接后，控制端就可以通过木马程序对服务端进行远程控制。

4. 怎样预防和清除木马病毒？
预防：对于可疑的文件、网页和邮件，不要轻易打开；安装反病毒软件，进行实时监控。
清除：（1）使用杀毒软件进行木马查杀；（2）手动清除：断开网络，杀掉可疑进程；检查注册表中是否存在木马启动文件；找到系统中的木马文件，删除文件和注册表或启动文件中关于木马的信息；更改用户名和密码，防止黑客入侵。