2024年1月3日发(作者:)

1. 网络攻击和防御分别包括哪些内容?

答:

网络攻击包括:1、网络监听和网络扫描。2、网络入侵。3、网络后门。4、网络隐身。5、拒绝服务攻击或信息炸弹。

网络防御包括:1、防火墙技术。2、操作系统的安全配置。3、加密技术。4、攻击防御和入侵检测

2.简述物理安全包括那些内容

答 :物理安全主要考虑的是环境、场地和设备的安全及实体访问控制和应急处理计划等。物理安全包括环境安全、设备安全、电源系统安全和通信线路安全。

3. 非军事区指的是什么区域?

答:非军事区域指受防火墙保护的,但是外网可以访问的公用服务器,与受保护的内网通常是由更高等级防火墙隔离

4. 私钥加密和公钥加密的区别

答:用途不一样

公钥加密 为了保证数据的机密性

私钥加密 为了保证数据的可靠性、完整性和操作不可否认性

用公钥加密数据,用私钥来解密数据

用私钥加密数据(数字签名),用公钥来验证数字签名。

5. 简述对称加密与非对称加密

答:对称加密就是传递信息的双方采用同一个密钥,不对称加密中有两个密钥,一个公钥,一个私钥,一个用来加密,另一个解密。不对称加密是用来保护对称加密的。

6. 什么是数字签名

答:以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可

7. 简述防火墙有哪些基本功能

答:① 过滤进出网络的数据包;

② 管理进出网络的访问行为;

③ 封堵某些禁止的访问行为;

④ 记录通过防火墙的信息内容和活动;

⑤ 对网络攻击进行检测和告警。

8. 简述无线局域网由那些硬件组成?

答:(1)无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域

网的接口,能够实现无线局域网各客户机间的连接与通信。

(2)无线AP。AP是Access Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。

(3)无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强。

9.简述DoS攻击

答:DoS 攻击,denial-of-service attack。顾名思义,导致服务器拒绝服务的攻击方式。

比较常见的 DoS 可以理解为:通过对特定服务器发出海量服务请求耗尽该服务器的资源(包括服务器的运算能力,内存资源,网络带宽)或者触发某些错误代码导致服务器工作异常,进而导致不能够正确响应正常的服务请求。

10. 如下图所示,简述包过滤防火墙的工作原理及应用特点。

答:包过滤

防火墙的一类。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等。它通过检查单个包的地址,协议,端口等信息来决定是否允许此数据包通过。

包过滤防火墙是最简单的一种防火墙,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network

Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

11.

根据实际应用,以个人防火墙为主,简述防火墙的主要功能及应用特点

答:天网防火墙,它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,并可与天网安全实验室的网站()相配合,根据可疑的攻击信息,来找到攻击者。

12.名词解释VPN

答:虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。

13.什么是计算机网络安全漏洞

答:系统的安全性非常脆弱,主要体现在操作系统、计算机网络和数据库管理系统都存在安全隐患

1、物理安全性:凡是能够让非授权机器物理介入的地方,都存在潜在的安全问题,也就是让介入用户做不应许的事情。

2、软件安全漏洞:“特权”软件中带有恶意的程序代码,从而获得额外特权。

3、不兼容使用安全漏洞:当系统管理员吧软件和硬件捆绑在一起的时候,从安全角度来看可认为系统有可能存在严重的安全隐患。所谓的不兼容性问题是把两个毫无关系但有用的事物联系在一起,从而导致安全漏洞。一旦建立和运行,这种问题很难被发现。

4、选择合适的安全策略:这是一种对安全概念的理解和直觉。完美的软件、受保护的硬件和兼容部分并不能保证正常而有效的工作,除非用户选择了有效地安全策略和打开了能增加其系统安全的部件

14.用凯撒密码加密方式对明文为‘UNIVERSITY’的信息加密,密钥为6。试写出密文

答:将字母逐个往后移六位UNIVERSITY→ATOBKXYOZE

15.简述VPN隧道的概念

答:隧道的功能就是在两个网络节点之间提供一条通路,使数据报能够在这个通路上透明

传输。VPN 隧道一般是指在PSN(Packet Switched Network)骨干网的VPN 节点(一

般指边缘设备PE)之间或VPN 节点与用户节点之间建立的用来传输VPN 数据的虚拟

连接。本手册提到的VPN 的实现都必须使用隧道。隧道是构建VPN 不可或缺的部

分,用于把VPN 数据从一个VPN 节点透明传送到另一个上。

16.简述证书的概念、作用、获取方式及其验证过程。

答:证书的概念:是一个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。

证书的作用:用来向系统中其他实体证明自己的身份;分发公钥。

证书的获取方式:

(1)发送者发送签名信息时附加发送证书;(2) 单独发送证书信息;(3) 访问证书发布的目录服务器;(4) 从证书相关实体获得。

证书的验证过程:

(1) 将客户端发来的数据解密;(2) 将解密后的数据分解成原始数据、签名数据、客户证书3部分;(3) 用CA根证书验证客户证书的签名完整性;(4) 检查客户证书是否有效;(5)检查客户证书是否作废;(6)验证客户证书结构中的证书用途;(7)客户证书验证原始数据的签名完整性;(8)如以上各项均验证通过,则接收该数据。

17. 防火墙采用的主要技术和防火墙的局限性

答:防火墙技术是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。

防火墙的局限性 (1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全漏洞。 (3)很难为用户在防火墙内外提供一致的安全策略。 (4)防火墙只实现了粗粒度的访问控制。

18.

试列举操作系统安全设置的具体措施

答:安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:

物理安全、停止Guest 帐号、限制用户数量

创建多个管理员帐号、管理员帐号改名

陷阱帐号、更改默认权限、设置安全密码

屏幕保护密码、使用NTFS 分区

运行防毒软件和确保备份盘安全。

1 、物理安全

服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记录。

另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。

2 、停止 Guest 帐号

在计算机管理的用户里面把 Guest 帐号停用,任何时候都不允许 Guest 帐号登陆系统。

为了保险起见,最好给 Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符 , 数字,字母的长字符串。

用它作为 Guest 帐号的密码。并且修改 Guest 帐号的属性,设置拒绝远程访问,如图 1 所示

3 限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。

帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。

对于 Windows NT/2000/XP 主机,如果系统帐户超过 10 个,一般能找出一两个弱口令帐户,所以帐户数量不要大于 10 个。

4 多个管理员帐号

虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有 Administrator 权限的帐户只在需要的时候使用。

因为只要登录系统以后,密码就存储再 WinLogon 进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少 Administrator 登录的次数和时间。

5 管理员帐号改名

Windows 2000和Windows Xp中的 Administrator 帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator 帐户改名可以有效的防止这一点。

不要使用 Admin 之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:

guestone 。具体操作的时候只要选中帐户名改名就可以了,如图所示。

6 陷阱帐号

所谓的陷阱帐号是创建一个名为 “Administrator” 的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过 10 位的超级复杂密码。

这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests 组,如图所示。

根据HACKER提示。把这个账户不加权限为最安全状态!谢谢

7 更改默认权限

共享文件的权限从 “Everyone” 组改成 “ 授权用户 ” 。 “Everyone” 在 Windows 2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资料。

任何时候不要把共享文件的用户设置成 “Everyone” 组。包括打印共享,默认的属性就是

“Everyone” 组的,一定不要忘了改。设置某文件夹共享默认设置如图所示。

8 安全密码

好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。

一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如: “welcome” 、 “iloveyou” 、

“letmein” 或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。

这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花 43 天或者更长的时间才能破解出来,密码策略是 42 天必须改密码。如图所示 .

9 屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用 OpenGL 和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。

还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。

将屏幕保护的选项 “ 密码保护 ” 选中就可以了,并将等待时间设置为最短时间 “1 秒 ” ,如图所示。

10 NTFS 分区

把服务器的所有分区都改成 NTFS 格式。 NTFS 文件系统要比 FAT 、 FAT32 的文件系统安全得多。

11 防毒软件

Windows没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。建议使用NOD32等杀毒软件,具体可以去安全区讨论.设置了防毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。

12 备份盘的安全

一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。

不能把资料备份在同一台服务器上,这样的话还不如不要备份。

安全配置方案中级篇

安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:

操作系统安全策略、关闭不必要的服务

关闭不必要的端口、开启审核策略

开启密码策略、开启帐户策略、备份敏感文件

不显示上次登陆名、禁止建立空连接和下载最新的补丁

1 操作系统安全策略

利用 Windows 2000 的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。

在管理工具中可以找到 “ 本地安全策略 ” ,主界面如图所示。

可以配置四类安全策略:帐户策略、本地策略、公钥策略和 IP 安全策略。在默认的情况下,这些策略都是没有开启的。

2 关闭不必要的服务

Windows 的 Terminal Services (终端服务)和 IIS ( Internet 信息服务)等都可能给系统带来安全漏洞。

为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。

有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。

Windows 及 WINXP 作为可禁用的服务及其相关说明如下表所示。

服务名

说明

Computer Browser

维护网络上计算机的最新列表以及提供这个列表

Task scheduler

允许程序在指定时间运行

Routing and Remote Access

在局域网以及广域网环境中为企业提供路由服务

Removable storage

管理可移动媒体、驱动程序和库

Remote Registry Service

允许远程注册表操作

Print Spooler

将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务

IPSEC Policy Agent

管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE) 和 IP 安全驱动程序

Distributed Link Tracking Client

当文件在网络域的 NTFS 卷中移动时发送通知

Com+ Event System

提供事件的自动发布到订阅 COM 组件

3 关闭不必要的端口

关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。

用端口扫描器扫描系统所开放的端口,在 Winntsystem32driversetcservices 文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。

设置本机开放的端口和服务,在 IP 地址设置窗口中点击按钮 “ 高级 ” ,如图所示。

在出现的对话框中选择选项卡 “ 选项 ” ,选中 “TCP/IP 筛选 ” ,点击按钮 “ 属性 ” ,如图所示。

设置端口界面如图所示。

一台Web服务器只允许TCP的80端口通过就可以了。个人计算机可以不使用,我们说的禁止端口就可以在这里进行。而不用防火墙来进行!.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。

根据HACK提示还得允许DNS的53口。但是前提是你的这台服务器是DNS服务器。否则可以不开