1.1WhatistheOSIsecurityarchitecture什么是OSI安全体系结构?
安全攻击安全机制安全服务
1.2被动和主动安全威胁之间有什么不同?
被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加
1.3列出并简要定义被动和主动安全攻击的分类?
被动攻击:内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务
1.4列出并简要定义安全服务的分类?
认证,访问控制,数据机密性,数据完成性,不可抵赖性
1.5列出并简要定义安全机制的分类
安全机制被划分为在特定协议层上执行的机制以及没有指定特定协议层或安全服务的机制
1.6列出并简要定义基本安全设计准则
1.7说明攻击面和攻击树之间的区别
攻击面由系统中可到达和可利用的漏洞组成。攻击树是一种分支的、分层的数据结构,它表示一组利用安全漏洞的潜在技术。
1.4
a.在其web服务器上管理公共信息的组织确定,失去保密性不会产生潜在影响(即,保密要求不适用),失去完整性会产生中等程度的潜在影响,失去可用性会产生中等程度的潜在影响。
b.管理极其敏感的调查信息的执法机构确定,失去保密性的潜在影响是高的,失去完整性的潜在影响是中等的,失去可用性的潜在影响是中等的。
e.发电厂管理层确定:(i)对于SCADA系统所获取的传感器数据,不存在因机密性丧失而产生的潜在影响,不存在因完整性丧失而产生的潜在高影响,不存在因可用性丧失而产生的潜在高影响;以及(ii)对于系统正在处理的行政信息,失去保密性的潜在影响较低,失去完整性的潜在影响较低,失去可用性的潜在影响较低。FIPS的例子199.
1.7构造一颗旨在获取物理安全内容访问的攻击树
加密算法:对明文进行各种替换和转换
解密算法:要求:1>需要一个强加密算法2>发送方和接收方必须通过一个安全的方式获得密钥并且保证密钥安全
计算安全:
1.对称密码的基本因素是什么
明文加密算法密钥密文解密算法
2.加密算法使用的两个基本功能是什么?
替换换位
3.两个人通过对称加密算法通信需要多少个密钥
一个
4.分组密码和流密码的区别是什么?
流密码是对数字数据流进行一次一个比特或一个字节加密的密码。分组密码是一种将明文块视为一个整体并用于生成长度相等的密文块的密码。
5.攻击密码的两个通用方法是什么?
密码分析和蛮力。
6.为什么一些分组密码操作模式只使用了加密,而其他操作模式既使用了加密又使用了解密?
在某些模式下,明文不经过加密函数,而是随加密函数的输出进行XORed。计算结果表明,在这些情况下,为了解密,还必须使用加密函数。
a
7.什么是三重加密?
使用三重加密时,明文块通过加密算法进行加密;然后将结果再次通过相同的加密算法;第二次加密的结果经过第三次相同的加密算法。通常,第二阶段使用解密算法而不是加密算法。
8.为什么3DES的中间部分是解密而不是加密
第二阶段使用解密没有密码学意义。它的唯一优点是允许3DES的用户通过重复密钥来解密由旧的单一DES的用户加密的数据。
4.说明Feistel解密是Feistel加密的逆过程
10.RC4有一个密码的内部状态,它是向量S以及两个下标i和j的所有可能值的排列。
a.使用一个简单的方案来存储此内部状态,要使用多少比特?
b.假设从这个状态能代表多少信息量的观点来思考它。这样需要判断有多少种不同的状态,然后取以2位底的对数来得到它代表了多少比特的信息量,使用此方法,需要多少比特来代表次状态
a.简单地存储i,j和S,这需要8+8+(256x8)=2064位
b.状态数为[256!X256^2]=2^1700。因此,需要1700位。
1.列举消息认证的三种方法
消息加密,消息认证码MAC,哈希函数。
2.什么是MAC
一种认证技术。利用私钥产出一小块数据,并将其附到消息上。这种技术称为消息验证码。
3.简述图3.2所示的三种方案
(a)从源消息计算哈希码,使用对称加密和密钥加密,并附加到消息。在接收端,计算相同的哈希码。传入的代码使用相同的密钥解密,并与计算出来的哈希代码进行比较。(b)除使用公开密匙加密外,此程序与(a)相同;发送方用发送方的私钥加密哈希码,接收方用发送方的公钥解密哈希码。(c)将秘密值附加到消息后,然后使用该消息加上秘密值作为输入计算哈希码。然后传输消息(不带secret值)和哈希码。接收方将相同的秘密值附加到消息中,并计算消息加上秘密值的哈希值。然后将其与接收到的哈希代码进行比较。
4.对于消息认证,散列函数必须具有什么性质才可用
1H可使用于任意长度的数据块
2H能生成固定长度的输出
3对于任意长度的x,计算H(x)相对容易,并且可以用软/硬件方式实现
4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。
5对于任意给定的数据块x,找到满足H(y)=H(x),的y=!x在计算机上是不可行的。
6找到满足H(x)=H(y)的任意一对(x,y)在计算机上是不可行的。
5.在散列函数中,压缩函数的作用是什么?
压缩函数是散列函数的基本模块或基本构建块。哈希函数由压缩函数的迭代应用组成。
6.公钥密码系统的接班组成元素是什么
明文:这是作为输入输入输入算法的可读消息或数据。加密算法:加密算法对明文进行各种转换。公钥和私钥:这是一对被选中的密钥,如果其中一个用于加密,另一个用于解密。加密算法执行的确切转换取决于作为输入提供的公钥或私钥。密文:这是作为输出产生的加密消息。这取决于明文和密钥。对于给定的消息,两个不同的密钥将产生两个不同的密文。解密算法:该算法接受密文和匹配的密钥,生成原始明文。
明文,加密算法,公钥和私钥,密文,解密算法
7.列举并简要说明公钥密码系统的三种应用
加密/解密:发送方使用接收方的公钥对消息进行加密。数字签名:发送方用其私钥“签署”消息。签名是通过应用于消息或作为消息函数的一小块数据的加密算法来实现的。密钥交换:双方合作交换会话密钥。可能有几种不同的方法,涉及到一方或双方的私钥。
8.私钥和密钥之间有什么区别
传统加密中使用的密钥通常称为秘密密钥。用于公钥加密的两个密钥称为公钥和私钥。
9.什么是数字签名
3.1考虑将32比特的散列函数定义为两个16比特散列函数的串接;XOR和RXOR在3.2节里被定义为“两个简单的散列函数”
是的。XOR函数只是一个垂直奇偶校验。如果有奇数个错误,那么必须至少有一个列包含奇数个错误,并且该列的奇偶校验位将检测错误。注意,RXOR函数还捕获由奇数错误位引起的所有错误。每个RXOR位都是数据块中唯一的“螺旋”位的函数。如果错误数是奇数,那么肯定至少有一个螺旋包含奇数个错误,并且该螺旋的奇偶校验位将检测到错误。不。当XOR和RXOR函数都失败时,校验和将无法检测到偶数个错误。为了使两者都失效,错误位的模式必须在奇偶校验螺旋和奇偶校验列之间的交点上,这样在每个奇偶校验列中有偶数个错误位,在每个螺旋中有偶数个错误位。它太简单了,不能用作安全哈希函数;找到具有相同哈希函数的多条消息太容易了。
3.3当消息的长度分别为一下值的时候,计算在SHA-512中填充域的值
a.1919比特b.1920比特c.1921比特
a.1bit
b.1024bits
c.1023bits
3.4当消息的长度分别为以下值的时候,计算在SHA-512中长度域的值
a.1919
b.1920
c.1921
3.14如图3.9所示对下列值使用RSA算法进行加密和解密
a.p=3q=11e=7M=5
n=3*11=33f(n)=2*10=20e*dmodn=20=7*dmod33=1d=3C=M^e=5^3mod33=26
b.p=5q=11e=3M=9
n=55f(n)=403*dmod40=1d=27C=9^3mod40=14
c.p=7q=11e=17M=8
d.p=11q=13e=11M=7
e.p=17q=31e=7M=2
3.15在使用RSA的公钥系统中,你可以截获发送给用户的密文C=10,并且已知他的公钥是e=5,n=35明文M是什么?
n=35e=5C=10
C=M^emod35=M^5mod35=10
M=5
3.16对于RSA系统,某用户的公钥为:e=31n=3599该用户的私钥是什么
edmodn=1
31xd=3599x+1
d=3031
3.17假设有一使用RSA算法编码的数据块集合,但是没有私钥。设n=pq,e是公钥。假设某人告诉我们这些明文块之一与n有公共因子,这对我们有帮助吗
3.21考虑公共素数q=11和本原根a=2的Diffie-Hellman方案
a.如果用户A有公钥Ya=9,请问A的私钥Xa是什么
b.如果用户B有公钥Yb=3,请问共享的密钥K是什么
4.1列出三种可以把秘密密钥分发给通信双方的方法。
4.2会话密钥与主密钥的区别是什么
会话密钥(sessionkey):当两个端系统希望通信,它们建立一条逻辑连接。在逻辑连接持续过程中,所有用户数据都使用一个一次性的会话密钥加密。在会话或连接结束时,会话密钥被销毁。永久密钥(permanentkey):永久密钥在实体之间用于分发会话密钥。
4.3什么是密钥分发中心
密钥分发中心(KDC)决定哪些系统之间允许相互通信。当两个系统被允许建立连接时,密钥分发中心就为这条连接提供一个一次性会话密钥。
4.4一个提供全套Kerberos服务的环境由哪些实体组成
一个Kerberos服务器、多个客户端和多个应用程序服务器
4.5在Kerberos环境下,域指什么
对于域的概念可以做如下解释。一个Kerberos域是共享同一个Kerberos数据库的一组受控节点。
4.6Kerberos的版本4和版本5的主要区别有哪些
版本5主要解决了版本4在环境方面的不足和技术上的缺陷。
4.7什么是随机数
随机数:一个随机数,它将在消息中被重复来确保应答是实时的,而不是被攻击者重放过的。
4.8与密钥分发有关的公钥密码的两个不同用处是什么
公钥分发、用公钥加密分发保密密钥
4.9构成公钥目录的基本要素是什么
4.10什么是公钥证书
公钥证书包含公钥和其他信息,由证书颁发机构创建,并提供给具有匹配私钥的参与者。参与者通过传输证书将其关键信息传递给其他人。其他参与者可以验证证书是否由颁发机构创建。
4.11使用公钥证书架构的要求是什么
任何参与者都可以读取证书以确定证书所有者的名称和公钥。
任何参与者都可以验证该证书来自证书颁发机构,并且不是伪造的。
只有证书颁发机构才能创建和更新证书。
任何参与者都可以验证证书的货币。
4.12X.509标准的目的是什么
x.509定义了X.500目录向用户提供认证服务的框架。目录可以用作公钥证书的存储库。每个证书都包含用户的公钥,并使用受信任证书颁发机构的私钥进行签名。
4.13什么叫证书链
证书链是由:根证书、中间证书、用户证书组成的一条完整证书信任链,是用于在公钥基础结构(PKI)的证书颁发机构(CA)之间建立信任关系。
4.14怎样撤销X.509证书
签发的证书在实际有效期前可以被撤销,是通过CertificateRevokeList的方式,即CA定期发布CRL,使用证书的系统,除了验证证书本身的有效性,还需要检查证书是不是在CRL,如果在,则证书不可用。
12.在Kerberos中,当Bob接收到Alice发送的票,他如何确定票的真伪?
13.在Kerberos中,当Bob接收到Alice发送的票,他如何确定票来自Alice
正确答案:答:它包含用KDC-Bob密钥加密的Alice的名字。
14.在Kerberos中,当Alice接收到回复。她如何确定它来自Bob
15.在Kerberos中,票中包含的什么信息可以保证两人秘密通信?
正确答案:答:它包含用KDC-Bob秘密密钥加密的会话密钥。
5.1给出网络访问控制的简要定义。
5.2什么是EAP
可扩展认证协议(EAP),在RFC3748中定义,它在网络访问以及认证协议中充当了框架的作用。EAP提供了一组协议信息,这些协议信息封装了许多在客户端和认证服务器之间使用的认证方法。
5.3列出并简要定义4种EAP认证方法。
5.5IEEE802.1X的功能是什么
IEEE802.1X基于端口的网络访问控制是用来为局域网提供访问控制功能的。
5.6给出云计算的定义。
云计算:云计算是一种能够通过网络以便利的、按需付费的方式获取计算资源并提高其可用性的模式,这些资源来自一个共享的、可配置的资源池,并能够以最省力和无人干预的方式获取和释放。
5.7列出并简要定义3种云服务模型。
5.9描述主要的特定云安全威胁。
10.1恶意软件用于传播的三种主要机制是什么
病毒、蠕虫、特洛伊木马
10.2恶意软件携带的四种主要类型的载荷是什么
系统污染、僵尸、网络钓鱼、间谍软件、Rootkit
10.3描述病毒或蠕虫的生命周期中有哪些典型阶段
10.4病毒隐藏自己的机制有哪些
加密病毒、隐形飞机式病毒、多态病毒、变形病毒
10.5机器可执行病毒和宏病毒的区别是什么
10.6蠕虫用什么手段访问远程系统从而得以传播自己
10.7什么是下载驱动它跟蠕虫的区别是什么
下载驱动利用浏览器漏洞,当用户查看由攻击者控制的网页时,其中包含一些代码,这些代码利用浏览器漏洞在用户不知情或不同意的情况下下载并在系统上安装恶意软件。它与蠕虫不同,因为它不像蠕虫那样主动传播,而是等待不知情的用户访问恶意网页,以便传播到他们的系统。
10.8什么是逻辑炸弹
逻辑炸弹实际上是嵌入到恶意软件中的代码段,当遇到某些特定条件时,它便会“爆发”。
10.9区分下列名词:后门、僵尸、键盘日志、间谍软件、Rootkit。它们可以同时出现在一款恶意软件中吗
这些都可能存在于同一恶意软件中。
10.10列出在一个系统中,Rootkit为进行攻击有可能使用的各个不同层次。
用户模式,在该模式下,rootkit可以截获对API的调用并修改结果;
内核模式下,rootkit可以截获内核API调用并隐藏其在内核表中的存在;
虚拟机管理程序中,rootkit可以透明地截取和修改在虚拟化系统中发生的状态和事件;
ER外部模式,如BIOS或在BIOS或系统管理模式下,它可以直接访问硬件。
10.11描述一些恶意软件防护措施。
恶意软件对策要素包括防止恶意软件首先进入系统,或通过策略、意识、漏洞缓解和威胁缓解阻止其修改系统的能力;检测以确定其已发生并定位恶意软件;标识以标识已感染系统的特定恶意软件;删除以从所有受感染系统中删除所有恶意软件病毒痕迹,使其无法进一步传播。
10.12列出三个恶意软件防护措施可以被实施的位置。
第一种防护措施是确保所有的系统尽可能是最新的,已经打完所有的补丁,从而减少在系统中可能被利用的漏洞。
第二种防护措施是对存储在系统上的应用程序和数居设置合适的访问权限。
第三种常用的传播机制,矛头指向在社会工程攻击中的用户,可以通过合适的用户觉悟和训练进行应对。
10.13简要描述四代反病毒软件。
第一代扫描器需要恶意软件签名从而可以鉴别恶意软件。
第二代扫描器不依靠特殊的签名,使用启发式规则寻找可能的恶意软件实例。
第三代扫描器是驻留在内存中的程序,它通过在已感染程序中恶意软件的行为而不是结构来鉴别恶意软件。
第四代扫描器是由各种反病毒技术组成的程序包。
10.14行为阻止软件怎么工作
行为阻挡软件集成到主机的操作系统中,实时监控恶意程序的行为,在恶意软件影响系统之前阻挡其恶意的行为。
11.1列出并简要定义三类入侵者。
11.2用于保护口令文件的两种通用技术是什么
11.3入侵防御系统可以带来哪三个好处
11.4统计异常检测与基于规则入侵检测之间有哪些区别
基于规则的检测:包括尝试定义一套能够用于判断某种行为是否是入侵者行为的规则或者攻击模型。
11.5对于基于行为曲线入侵检测来说,采用什么尺度是有益的
可以按照“计数器”、“计量器”、“间隔计时器”、“资源使用情况”这几个尺度来衡量入侵行为。
11.6基于规则的异常检测和基于规则的渗透检测之间有什么不同点
异常检测是建立一个用户过去的行为规则统计库,以这个数据库为标准,不满足该数据库的异常检测都是入侵行为。
渗透检测则是建立一个入侵(即渗透)行为数据库,满足该数据库的行为都是入侵行为。
11.7什么是蜜罐
蜜罐是一个诱骗系统,用来把潜在的攻击者从重要系统中引诱开。
蜜罐的设计目的如下:
11.8在UNIX口令管理的context中,salt是指什么
用一个称为“盐”的12比特随机数“salt”对DES算法进行了修改。通常,“盐”的取值与口令被分配到用户的时刻有关。被修改的DES算法的输入是一个由64比特的“0”组成的数据块。
11.9列出并简要定义四种用于防止口令猜测的技术。
12.1列出防火墙的三个设计目标。
12.2列出防火墙控制访问及执行安全策略的四个技术。
12.3典型包过滤路由器使用了什么信息
12.4包过滤路由器有哪些弱点
12.5包过滤路由器和状态检测防火墙的区别是什么
传统的包过滤防火墙仅仅对单个数据包做过滤判断,不考虑更高层的上下文信息。状态检测包过滤器通过建造了一个出站TCP连接目录加强了TCP流量的规则。
12.6什么是应用层网关
应用层网关,也称为代理服务器,起到了应用层流量缓冲器的作用。
12.7什么是链路层网关
链路层网关建立两个TCP连接,一个在自身和内部主机TCP用户之间,一个在自身和外部主机TCP用户之间。
12.9什么是堡垒主机的共同特性
12.10为什么主机防火墙是有用的
12.11什么是DMZ网络在这样的网络上你想能发现什么类型的系统
在这内部防火墙和外部防火墙之间有一个或多个网络设备,该区域被称为停火区网段(DMZNetworks)。一些外部可接入并且需要保护的系统一般放置在停火区网段。
12.112.3节中提到的一个防止细小帧攻击的方法是限定IP包第一帧必须包含的传输字头的最小长度。如果第一帧被拒绝了,所有接下来的帧都会被拒绝。但是IP的性质是帧可以不按照顺序到达。因此,中间的帧可能在第一帧被拒绝之前通过过滤器。怎样处理这种情况
如果第一个片段丢失,目标主机将不可能完成数据包的重新组装,因此整个数据包将在超时后被目标丢弃。
12.4表12.3显示了一个IP地址从192.168.1.0到192.168.1.254的想象网络的包过滤规则集例子。描述每条规则的作用。
1.允许返回到内部子网的TCP连接。2.防止防火墙系统本身直接连接到任何东西。3.防止外部用户直接访问防火墙系统。4.内部用户可以访问外部服务器,5.允许外部用户发送电子邮件。6.允许外部用户访问WWW服务器。7.以前不允许的一切都被明确拒绝
12.7一名黑客使用端口25作为他或她的用户端口,想要开通一个连接到你的网络代理服务器。
a.可能产生以下的包:
解释一下利用上一题的规则集,攻击为什么会成功。
b.当一个TCP连接刚建立时,在TCP头的ACK没有设置。随后,所有通过TCP连接发送的TCP头的ACK比特被设置。使用该信息改变上一题的规则集,使得刚刚描述的攻击不成功。