信息安全技术考试简答题

2.简述OSI安全体系结构的八大种安全机制八大种安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、(1)加密机制:是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层(2)数字签名机制:是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认(3)访问控制机制:从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当一主体试图非法使用一个未经授权的资源时，访问控制将拒绝，并将这一事件报告给审计跟踪系统，审计跟踪系统将给出报警并记录日志档案。(4)数据完整性机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是报文认证，对付计算机病毒有各种病毒(5)认证机制:在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等，可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。(6)业务流填充机制:攻击者通过分析网络中某一路径上的信息流量和流向来判断某些事件的发生，为了对付这种攻击，一些关键站点间在无正常信息传送时，持续传送一些随机数据，使攻击者不知道哪些数据是有用的，哪些数据是无用的，从而挫败攻击者的信息流(7)路由控制机制:在大型计算机网络中，从源点到目的地往往存在多条路径，其中有些路径是安全的，有些路径是不安全的，路由控制机制可根据信息发送者的申请选择安全(8)公证机制:在大型计算机网络中，并不是所有的用户都是诚实可信的，同时也可能由于设备故障等技术原因造成信息丢失、延迟等，用户之间很可能引起责任纠纷，为了解决这个问题，就需要有一个各方都信任的第三方以提供公证仲裁，仲裁数字签名技术就是这种公证机制的一种技术支持。3.简述DNS欺骗攻击的基本原理DNS欺骗的基本原理是:域名解析过程中，假设当提交给某个域名服务器的域名解析请求的数据包被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。这时，原始请求者就把这个虚假的IP地址作为他所要请求的域名而进行连接，显然他被欺骗到了别处而根本连接不上自己想要连接的那个域名。这样，对那个客户想要连接的域名而言，它就算是被黑掉了，因为客户没有得到它的正确的IP地址而无法连接上它。4.请描述机房面积的两种估算方法机房面积的大小与需要安装的设备有关，另外还要考虑人在其中工作是否舒适。通常机一种是按机房内设备总面积M计算。计算公式如下:机房面积＝(5~7)M这里的设备面积是指设备的最大外形尺寸，要把所有的设备包括在内，如所有的计算机、网络设备、I／O设备、电源设备、资料柜、耗材柜、空调设备等。系数5~7是根据我国现有机房的实际使用面积与设备所占面积之间关系的统计数据确定的，实际应用时要受到本单位具体情况的限制。另一种方法是根据机房内设备的总数进行机房面积的估算。假设设备的总和数为K，则估算公式如下:机房面积＝(4.5~5.5)K(m2)在这种计算方法中，估算的准确与否和各种设备的尺寸是否大致相同有密切关系，一般的参考标准是按台式计算机的尺寸为一台设备进行估算。如果一台设备占地面积太大，最好将它按两台或多台台式计算机来计算，这样可能会更准确。系数4.5~5.5也是根据我国具体情况的统计数据确定的。5.简述Smurf攻击原理Smurf攻击将伪造ICMPEcho请求报文的IP头部，将源地址伪造成目标主机的IP地址，并用广播(broadcast)方式向具有大量主机的网段发送，利用网段的主机群对ICMPEcho请求报文放大回复，造成目标主机在短时间内收到大量ICMPEcho响应报文，因无法及时处理而导致网络阻塞。这种攻击方式具有“分布式”的特点，利用Internet上有安全漏洞的网段或机群对攻击进行放大，从而给被攻击者带来更严重的后果，要完全解决Smurf带来的网络阻塞，可能需要花费很长时间。6.请简单介绍计算机病毒的基本结构计算机病毒是一种特殊程序，其最大的特点是具有感染能力。病毒的感染动作受到触发机制的控制，同样受病毒触发机制控制的还有病毒的破坏动作。病毒程序一般由主控模块、感染模块、触发模块和破坏模块组成，但并不是所有的病毒都具备这4个模块，如巴基斯坦病毒就没有破坏模块。1.主控模块在总体上控制病毒程序的运行，协调其他模块的运作。染毒程序运行时，首先(1)(2)(3)(4)一般来说，主控模块除完成上述动作外，还要执行下述动作:(1)(2)(3)2.感染模块的作用是将病毒代码传染到其他对象上去，负责实现感染机制。有的病毒有一个感染标志(又称病毒签名)，但不是所有的病毒都有感染标志。感染标志是一些数字或字符串，它们以ASCII码方式存放在宿主程序里。一般病毒在对目标程序传染前会判断感染条件，如是否有感染标志或文件类型是否符合传染标准等，具体如下:(1)(2)(3)感染标志不仅被病毒用来决定是否实施感染，还被病毒用来实施欺骗。不同病毒的感染标志的位置、内容都不同。通常，杀毒软件将感染标志作为病毒的特征码之一。同时，人们也可以利用病毒根据有无感染标志感染这一特性，人为地、主动地在文件中添加感染标志，3.触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。病毒的触发条件有多种形式，主要有日期和时间触发、键盘触发、启动触发、磁盘访问触发和中断访问触发及其他触发方式。病毒触发模块的主要功能如下:(1)(2)(3)4.破坏模块负责实施病毒的破坏工作，其内部是实现病毒编写者预定破坏动作的代码。这些破坏动作可能是破坏文件和数据，也可能是降低计算机的空间效率和时间效率或使计算机系统崩溃。计算机病毒的破坏现象和表现症状因具体病毒而异;计算机病毒的破坏行为和破坏程度，取决于病毒编写者的主观愿望和技术能力。有些病毒的该模块并没有明显的恶意破坏行为，仅在被感染的系统设备上表现出特定的现象，该模块有时又被称为表现模块。在结构上，破坏模块一般分为两部分:一部分判断破坏的条件;7.描述信息隐藏的空间域算法（基于图像低于字节隐藏数字签名信息）2.基于图像低位字节对图像影响较小的原理，下面给出一个24位彩色图像的信息隐藏算法，算法示意图见图3-3-3算法过程描述如下(1)将待隐藏信息(称为签名信息)的字节长度写入BMP(2)(3)将BMP文件图像数据部分的每个字节的最低位依次替换为上述二进制数码流的一个位。依照上述算法，一个24位的彩色图像经空间域变换后的图像如图3-3-4由于原始24位BMP图像文件隐藏信息后，其数据部分每字节数值最多变化1位，该字节代表的像素最多只变化了1/256，因此已隐藏信息的BMP图像与未隐藏信息的BMP图像如果将BMP文件图像数据部分的每个字节最低4位依次替换为签名信息二进制数码流的4位，则由于原始24位BMP图像文件隐藏信息后，其数据部分字节数值最多变化为16，该字节代表的像素最多变化了1/16，因此已隐藏信息的BMP图像与未隐藏信息的BMP图像(如图3-3-5所示)8.简述UDPFlood攻击原理2.攻击者也可以利用目标主机系统自身的资源发动攻击，导致目标系统瘫痪。通常利用目标自身的资源攻击有以下几种方式，其中UDPFlood(1)UDPFlood攻击。攻击者通过伪造与某一主机的chargen服务之间的一次UDP连接，回复地址指向开着Echo服务的一台主机，伪造的UDP报文将在两台主机之间生成足够多的无用数据流，以消耗掉它们之间所有可用的网络带宽。结果被攻击的网段的所有主机(包括这两台被利用的主机)9.数据备份计划的步骤有哪些？IT专家指出，对于重要的数据来说，有一个清楚的数据备份计划非常重要，它能清楚地显示数据备份过程中所做的每一步重要工作。第一步:确定数据将受到的安全威胁。完整考察整个系统所处的物理环境和软件环境，分析第二步:确定敏感数据。对系统中的数据进行挑选分类，按重要性和潜在的遭受破坏的可能第三步:对将要进行备份的数据进行评估。确定初始时采用不同的备份方式(完整备份、增量备份和差分备份)备份数据占据存储介质的容量大小，以及随着系统的运行备份数据的增第四步:确定备份所采取的方式及工具。根据第三步的评估结果、数据备份的财政预算和数第五步:配备相应的硬件设备，实施备份工作。10.简述基于交换机的监听原理基于交换机的监听不同于工作在物理层的HUB，交换机是工作在数据链路层的。交换机在工作时维护着一张ARP的数据库表，在这个库中记录着交换机每个端口所绑定的MAC地址，当有数据报发送到交换机时，交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照，然后将数据报发送到“相应的”端口上，交换机转发的报文是一一对应的。对交换机而言，仅有两种情况会以广播方式发送:一是数据报的目的MAC地址不在交换机维护的数据库中，此时报文向所有端口转发;二是报文本身就是广播报文。因此，基于交换机以太网建立的局域网并不是真正的广播媒体，交换机限制了被动监听工具所能截获的数据。为了实现监听的目的，可以采用MACf1ooding和ARP欺骗等方法。(1)MACflooding:通过在局域网上发送大量随机的MAC地址，以造成交换机的内存(2)ARP欺骗:ARP协议的作用是将IP地址映射到MAC地址，攻击者通过向目标主机发送伪造的ARP应答包，骗取目标系统更新ARP表，将目标系统的网关的MAC地址修改为发起攻击的主机MAC地址，使数据包都经由攻击者的主机。这样，即使系统连接在交换机上，也不会影响对数据包的窃取，因此就可轻松地通过交换机来实现网络监听。11.成功创建防火墙系统，一般需要做哪些工作？成功创建防火墙系统一般需要6步:制定安全策略、搭建安全体系结构、制定规则次序、落实规则集、注意更换控制和做好审计工作。(1)制定安全策略防火墙和防火墙规则集只是安全策略的技术实现。管理层规定实施什么样的安全策略，防火墙是策略得以实施的技术工具。所以，在建立规则集之前，必须首先理解安全策略，假设它包含以下3方面内容:①内部雇员访问Internet不受限制。②通过Internet有权使用公司的Webserver和E-mail服务器。③任何进入公司内部网络的信息必须经过安全认证和加密。实际的安全策略要远远比这复杂。在实际应用中，需要根据公司的实际情况制定详细的安全策略。(2)搭建安全体系结构。作为一个安全管理员，需要将安全策略转化为安全体系结构。现在，我们来讨论如何把每一项安全策略核心转化为技术实现。第一项安全策略很容易，内部网络的任何信息都允许输出到Internet上。第二项安全策略要求为公司建立Webserver和E-mail服务器。由于任何人都能访问Webserver和E-mail服务器，因此，不能完全信任他们，把他们放入DMZ来实现该项策略。DMZ是一个孤立的网络，通常把不信任的系统放在那里，DMZ中的系统不能启动连接内部网络。DMZ有两种类型，即有保护的和无保护的。有保护的DMZ是与防火墙脱离的孤立的部分;无保护的DMZ是介于路由器和防火墙之间的网络部分。这里建议使用有保护的DMZ，我们把Webserver和E-mail服务器放在那里。唯一从Internet到内部网络的信息是远程管理操作。这就要求允许系统管理员远程地访问公司内部系统。具体的实现方式可以采用加密方式进入公司内部系统。最后还须配置DNS。虽然在安全策略中没有提到，但必须提供这项服务。作为安全管理员，我们要实现SplitDNS。SplitDNS即分离配置DNS或隔离配置DNS，是指在两台不同的服务器(其中一台DNS用于解析公司域名，称为外部DNS服务器;另一台用于供内部用户使用，称为内部DNS服务器)上分离DNS的功能。外部DNS服务器与Webserver和E-mail服务器一起放在有保护的DMZ中，内部DNS服务器放在内部网络中。(3)制定规则次序。在建立规则集之前，必须注意规则次序，规则次序是非常关键的。因为，即使是同样的规则，如果以不同的次序放置，则