2023年7月8日发(作者：)

1、 网络安全的概念

网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防数据，信息内容或能力拒绝服务或被非授权使用和篡改。

2、 网络安全的基本属性

网络安全的基本属性是机密性、完整性、可用性。

机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施

密码技术。

完整性是指是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改 ，主要防范措施是校验与认技术。

可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。

3、 可信计算机系统评估准则（TCSEC）

TCSEC共分为如下4类7级：

（1）D级，安全保护欠缺层 (2) C1级 自足安全保护级

(3) C2级，受控存取保护级 （4） B1级 标记安全保护级

（5）B2级 结构化保护级 （6）B3级 安全域保护级

（7）A1级 验证设计级

4、服务攻击与非服务攻击的特点

服务攻击是针对某种特定网络服务的攻击：非服务攻击不针对某项具体应用服务，而是基于网络层等低层协议进行的。非服务攻击利用协议或操作系统实现协议的漏洞来达到攻击的目的，是一种更有效的攻击手段。

5、P2DR网络安全模型（图略）

P2DR模型包含4个主要部分：安全策略、防护、检测和响应，防护、检测和响应组成了一个所谓的“完整”，“动态”的安全循环。

1、 安全策略

在考虑建立网络安全系统时，在了解了网络信息安全系统等级划分和评估网络安全风险后，接下来一个很重要的任务就是要制定一个网络安全策略。

2、 防护

防护就是根据系统可能出现的安全问题采取一些防预措施，通过一些传统的静态安全技术及方法来实现。

3、 检测

如果攻击者穿过防护系统，检测系统就会将其检测出来。

4、 响应

系统一旦检测出入侵，响应系统就开始响应，进行事件处理。

6、 防火墙的概念及功能

防火墙是建立在内外网络边界上的过渡封锁机制，内部网络被认为是安全和可信的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。

功能如下：

（1）访问控制功能 （2）内容控制功能

（3）全面的日志功能

（4）集中管理功能 （5）自身的安全和可用性

另外防火墙还具有如下附加功能：

（1） 流量控制 （2）NAT （3）VPN

1 7、 防火墙的主要技术

防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术、状态检测包过滤技术，现在最常用的是状态检测包过滤技术。

8、 防火墙的体系结构

防火墙的体系结构有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。

9、 防火墙的局限性

安装防火墙并不能做到绝对的安全，它有许多防范不到的地方，具体如下：

（1） 防火墙不能防范不经由防火墙的攻击；

（2） 防火墙不能防止感染了病毒的软件或文件的传输；

（3） 防火墙不能防止数据驱动式攻击；

（4） 防火墙不能防范恶意的内部人员入侵；

（5） 防火墙不能防范不断更新的攻击方式；

10、VPN的概念及分类

VPN是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑的虚拟子网。

VPN作为一种综合性的网络安全方案，包含了很多重要的技术，最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。

VPN有三种类型：accessVPN(远程访问VPN)、Intranet VPN（企业内部VPN）和Extranet

VPN(企业扩展VPN)。

11、第二层VPN隧道协议

第二层隧道协议有：L2F、PPTP和L2TP等

L2F已经过时，很少使用；

PPTP在微软的推动与支持下，已经成为一种实际上的工业标准，被广泛的实现并使用很长一段时间，目前大多数厂家均支持PPTP；

L2TP作为下一代隧道技术，是PPTP和L2F隧道功能的集合，其隧道并不局限于TCP/IP，但是目前仅支持IP。

12、第三层VPN隧道协议

第三层VPN隧道协议有如下几种：

IP sec(IP Security)，是目前最常用的VPN解决方案。

GRE(General Routing Encapsulation)

13、IP sec的功能

IP SEC 具有如下功能：

（1） 作为一个隧道协议实现了VPN通信；

（2） 保证数据来源可靠

在IPsec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成立后才能通信，由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。

（3） 保证数据完整性

IPsec通过验证算法功能保证数据从发送方放到接收方的传送过程中任何数据篡改和丢失都可以被检测。

（4） 保证数据的机密性

IPsec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真实内容。

2 14、IPsec的体系结构（图略）

1、封装安全在有效载荷ESP：使用ESP进行包加密的报文格式和一般性问题，以及可选的认证；

2、验证头AH：使用AH进行包认证的报文格式和一般性问题；

3、加密算法：描述各种加密算法如何用于ESP中；

4、验证算法：描述各种身份验证算法如何用于AH中和ESP身份验证选项；

5、密钥管理：密钥管理的一组方案，其中Internet密钥交换协议IKE是默认的密钥自动交换协议；

6、解释域（DOI）：比此次相关各部分的标识符运作参数

15、黑客攻击流程（图略）

黑客攻击的流程可归纳为踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击、

使用whois DNS Google 收集目标信息

利用踩点结果，查看目标系统在哪些通道使用哪些服务以及使用的是什么操作系统等

根据使用扫描与特定操作系统、服务相关的技术收集用户帐户、共享资源及export等信息

发起攻击

试图成为Admin/root或超级用户，改变、添加、删除及复制用户数据，修改/删除系统日志。

为以后再次入侵作准备

16、拒绝服务攻击的主要目的

拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。

这些攻击还是利用网络协议的一些薄弱环节，通过发送大量无效请求数据包造成服务器进程无法短期释放，大量积累耗尽系统资源，使得服务器无法对正常的请求进行响应，造成服务的瘫痪。

17、访问控制的3种模型

1、自主访问控制：基于对主体或主体所属的主体组的识别来限制对客体的访问，就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。它是一种比较宽松的访问控制，一个主体的访问权限具有传递性，这种权限的传递可能会给系统带来安全隐患。

2、强制访问控制：系统为所有的主体和客体指定安全级别，不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。

3、基于角色访问控制：用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。

18、网络安全扫描的步骤

一次完整的网络扫描主要有三个阶段：目标发现、信息攫取、漏洞检测。

（1） 发现目标主机或网络

(2) 发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的资源等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由器设备以及个主机的信息。

(3) 根据搜索到的信息判断或进一步检测系统是否存在安全漏洞。

19、检测目标主机的方法

3 通过发送不同类型的ICMP或者TCP、UDP请求，从多个方面检测目标主机是否存活。在这一阶段使用的技术通常称作ping扫射（ping sweep），包括ICMP扫射、广播ICMP、非回显ICMP、TCP扫射、UDP扫描。

20、端口扫描技术的种类

端口扫描的主要技术有TCP connect 扫描、TCP SYN扫描、TCP ACK 扫描、TCP FIN扫描、TCP XMAS扫描、TCP空扫描、FIP反弹扫描（FIP Bounce Scan）、UDP扫描。

21、探测远程操作系统类型的方法

远程操作系统是别的主要方法有系统服务旗标识别、主动协议栈指纹探测（ICMP 响应分析，TCP报文响应分析，TCP报文延时分析）被动协议栈指纹探测。

22、漏洞检测的方法

漏洞检测的主要方法有直接检测（test）、推断（Inference）、带凭证的测试（test with

credential）

23、入侵检测系统的概念及方法

入侵检测是从计算机网络或计算机系统中的若干关键点搜索信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。

根据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要有两大类：基于主机的入侵检测系统和预计网络的入侵检测系统。

24、入侵检测系统的基本结构

入侵检测系统主要有四个部分组成：事件产生器、事件分析器、响应单元和事件数据库。

（1） 事件产生器：采集和监视被保护系统的数据，并且将数据进行保存到数据库。

（2） 事件分析器：其功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的，异常的数据现象，通知响应但愿做出入侵防范；一是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。

25、NIDS的基本原理

基于网络的入侵检测系统通常作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监事和分析所有通过网络进行传输的通信，一旦检测到攻击，入侵检测系统应答模块通过通知，报警以及中断连接等方式来对攻击做出反应。

26、安全基础设施的组成

安全基础设施的主要组成有四部分：网络、平台、物理设施、处理过程。

27、基于网络入侵检测系统的优势与不足

基于网络的入侵检测系统有以下优点：

（1）金额以提供实时的网络行为检测。

（2）可以同时保护多台网络主机。

（3）具有良好的隐蔽性。

（4）有效保护入侵证据。

（5）、不影响被保护主机的性能。

基于网络的入侵检测系统的不足：

（1）实时性较差。

（2）无法检测到数据包的全部

4 （3）检测效果取决于日志系统

（4）占主机资源

（5）隐蔽性较差

（6）如果入侵能够修改校验这种入侵，检测系统将无法起到预期作用

28、基于网络的入侵检测系统的部署

基于网络入侵检测系统可以在网络的多个位置进行部署，主要指对网络入侵检测器的部署，总体来说入侵检测的部署点可以划分为4个位置：

（1）DMZ区

（2）外网入口

（3）内网入口

（4）关键子网

29、PKI的主要组成与管理对象

公钥基于设施（PKI）用来管理密钥和证书

PKI主要组成包括证书授权（CA）、注册授权（RA）、证书存储库（CR）

PKI管理的对象有密钥、证书以及证书撤销列表（CRI）

大型公钥基础设施往往包含多个CA，多个PKI中的CA是按层次结构组成的，桥CA的作用是为多个PKI中的关键CA签发交叉认证证书。

30、灾难恢复管理的主要内容

灾难恢复是指网络受到灾难性打击或破坏时，为迅速使系统恢复正常、并使损失减到最小而进行的一系列活动。

对灾难恢复的管理主要包括灾难恢复策略的确立。

（1） 正确的预计；充分利用一切现有资源；重视灾后恢复及灾前措施。

（2） 灾难恢复计划的制定{紧急措施、资源备用、关键信息、演习方案、恢复过程。

（3） 灾难恢复计划的测试和维护

灾难恢复计划的执行：防止灾难发生的措施、预先为灾难发生准备应急手段的措施。

31、计算机网络安全设计遵循的基本原则。

1、体现唯一性，由于安全的复杂性和特殊性，唯一性是评估安全方案最重要的一个标准。实际中，每一个特定网络都是唯一的，需要根据实际情况来处理。

2、对安全技术和安全风险有一个综合把握和理解，包括现在和将来可能出现的所有情况。

3、对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全风险，要有一个合适、中肯的评估，不能夸大，也不能缩小。

4、对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险和威胁的能力，增强系统本身的免疫力。

5、方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术，都将会体现在服务中，服务来保证质量、服务来提高质量。

6、在设计方案的时候，要明白网络系统安全是一个动态的、整体的、专业的工程，不能一步到位解决用户所有的问题。

7、方案出来后，要不断的和用户进行沟通，能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。

8、方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据，也要有实际基础。

5 一．填空题

1、目标发现、信息攫取、漏洞检测

2、A.B.C.D四个等级 A1.B1.B2.B3.C1.C2.D1七个级别

3、安全策略、防护、检测和响应，防护

4、双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构

5、L2F、PPTP和L2TP

6、C2、B1

7、ATTACK

8、PKI策略、软硬件系统

二．选择题

1、B 2、A 3、B

三．判断题

F T T F T T T F

4、C 5.D

6