考点01:应用层安全协议—HTTPS/S-HTTP
S-HTTP或SHTTP(Sec HTTP):安全超文本传输协议,是HTTP扩展,使用TCP的80端口。
HTTPS:HTTP+SSL,使用TCP的443端口。TLS(传输层安全标准)是双胞胎。4.5层协议。大部分web应用采用该协议。
考点02:应用层安全协议—PGP
电子邮件加密软件包,是一款软件,把RSA公钥体系的高保密和传统加密体系的高速度巧妙结合起来,成为最流行的电子邮件加密系统。
可以用来加密件防止非授权者阅读,还能数字签名,防止篡改。
PGP提供2种服务:数据加密和数字签名,使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证。
加密算法:
支持IDEA、CAST、3DES算法对消息进行加密;
采用EIGamal或RSA算法用接收方的公钥加密会话密钥。
数据签名:
采用SHA-1、MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要。
PGP广泛应用的特点:
①能够在各种平台上免费使用,众多厂商支持。
②基于比较安全的加密算法(RSA、IDEA、MD5)。
③应用领域广泛,可加密文件,也可用于个人安全通信。
④不是政府或标准化组织开发和控制的。
⑤网民普遍喜欢这种自由化的软件包。
考点03:安全电子交易协议SET
保障购物安全,以信用卡为基础,在线交易的标准。
安全性高,保证信息传输的机密性、真实性、完整性和不可否认性。
SET是安全协议和报文格式集合,融合了SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书。成为目前公认的信用卡网上交易的国际标准。
SET提供3种服务:
①保证客户交易信息的保密性和完整性。
②确保商家和客户交易行为的不可否认性。
③确保商家和客户的合法性。
双重签名技术:消费者对订单信息和支付信息进行签名,商家看不到消费者账号信息,银行看不到消费者订购信息,也可确认是真实的
考点04:应用层的安全协议Kerberos
是一项认证服务,3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。AS认证服务器,TGS票据授予服务器,V应用服务器。
V4时间戳,V5序列号。口诀:无T加T,有T加1
基于Kerberos的网关模型:
用户初始登录以后,用户名和密码长期保存在内存中,用户登录新应用(申请新票据)时,系统会自动提取用户名和密码,用户不需要再输入。
考点05:防火墙
定义:
来源于建筑物“防火墙”一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备。
要求:
①所有进出网络的通信流量都必须经过防火墙。
②只有内部访问策略授权的通信才能允许通过。
③防火墙本身具有很强的高可靠性。
考点06:防火墙
防火墙的主要功能:
①访问控制功能。
②内容控制功能。
③全面的日志功能。
④集中管理功能。
⑤自身的安全功能。
防火墙的附加功能:
①流量控制。
②网络地址转换NAT。
③虚拟专用网VPN。
防火墙的局限性:
①关闭限制了一些服务带来不便。
②对内部的攻击无能为力。
③带来传输延迟、单点失效等。
④还有其他局限。
防火墙的技术分类:
包过滤防火墙:网络层IP数据包,传输层TCP/IP数据包,一般使用ACL做包过滤
代理防火墙
状态化包过滤防火墙:动态ACL
考点07:防火墙的分类:以下几种常见方式
个人防火墙:保护单个主机,有瑞星、天网、费尔等。
企业防火墙:对整个网络实时保护,有赛门铁克、诺顿、华为、Juniper等。
软件防火墙:有瑞星、天网、微软ISA Server、卡巴斯基等。
硬件防火墙:思科、Juniper等
考点08:防火墙的体系结构:
①双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据IP地址和端口号进行过滤。
②屏蔽子网模式:又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域。这是目前防火墙最常用的一种模式。可以有更高级的功能。
考点09:防火墙的工作模式
路由模式:如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下。
透明模式:若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。
混合模式:若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则为混合模式下。
考点10:防火墙的访问规则
3种接口:
①内部接口(Inbound):连接内网和内网服务器。
②外部接口(Outbound):连接外部公共网络。
③中间接口(DMZ):连接对外开放服务器。
1、Inbound可以访问任何Outbound和DMZ区域
2、DMZ可以访问Outbound区域
3、Outbound访问DMZ需配合static(静态地址转换)
4、Inbound访问DMZ需要配合ACL(访问控制列表)
考点11:
强盗
病毒:一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强。
木马:一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构,客户端也称为控制端。偷偷盗取账号、密码等信息。
间谍
恶意代码:又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。
恶搞
考点12:常见病毒木马的特征分类
①文件宏病毒:感染office文件,(前缀Macro或者word/excel等
②蠕虫病毒:前缀Worm通过系统漏洞传播。
③木马病毒:前缀Trojan,黑客病毒前缀Hack,往往成对出现。
④系统病毒:前缀Win32、PE、Win95等。
⑤脚本病毒:前缀Script,脚本语言编写的,通过网页传播。
考点13:
黑客与骇客:黑客技术高超,帮助测试建设网络。骇客专门搞破坏或恶作剧。
黑客攻击:
①拒绝服务攻击。
②缓冲区溢出攻击。
③漏洞攻击。
④网络欺骗攻击。
⑤网络钓鱼。
⑥僵尸网络等。
预防攻击:安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案等。
考点14:入侵检测系统IDS
位于防火墙之后的第二道安全屏障,是防火墙的有力补充。
通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动。
记住图中模块
考点15:IDS安装部署位置
通常是在
①服务器区域的交换机上。
②Internet接入路由器之后的第一台交换机上。
③其他重点保护网段的交换机上。
通常是并联(旁路)、不断网。
考点16:入侵防御系统IPS
位于防火墙之后的第二道安全屏障,是防火墙的有力补充。
通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。
通常是串联(旁路)、会断网。
考点17:
IPS/IDS和防火墙区别:
防火墙一般只检测网络层和传输层的数据包,不能检测应用层的内容。IPS/IDS可以检测字节内容。
IPS和IDS的区别:
IPS是串接在网络中,会切断网络。
IDS是旁路式并联在网络上,不切断网络。
IDS/IPS:连接在需要把交换机端口配置成镜像端口上,可以检测到全网流量。
例题分析:
1.下列网络攻击行为中,属于DDOS攻击的是()。
A.特洛伊木马攻击 B.SYN Flooding攻击 C.端口欺骗攻击 D.IP欺骗攻击
解析:
DDOS为拒绝服务攻击,A为偷窃攻击,C/D为欺骗攻击。
2.HTTPS的安全机制工作在()。
A.网络层 B.传输层 C.应用层 D.物理层
解析:
HTTPS:HTTP+SSL,使用TCP的443端口。TLS(传输层安全标准)是双胞胎。
3.包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般不包括( )。
A.源地址 B.目的地址 C.协议 D.有效载荷
解析:
包过滤防火墙对网络层、传输层进行检查,不对应用层进行检查。有效载荷属于应用层。
4.在X.509标准中,不包含在数字证书中的数据域是()
A.序列号 B.签名算法 C.认证机构的签名 D.私钥
5.关于入侵检测系统的描述,错误的是()。
A.监视分析用户及系统活动 B.发现并阻止一些未知的攻击活动
C.检测违反安全策略的行为 D.识别已知进攻模式并报警
解析:
入侵检测系统IDS通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动。
6.主动攻击不包括()。
A.假冒 B.重放 C.修改消息 D.泄露信息
7.PGP是一种电子邮件加密软件包,它提供数据加密和数字签名两种服务,采用()进行身份认证,使用()128位秘钥进行数据加密,使用()进行数据完整性验证。
A RSA公钥证书 B RSA私钥证书 C Kerbors证书 D DES私钥证书
A IDEA B RSA C DES D Diffie-Hellman
A HASH B MD5 C 三重DES D SHA-1
8.以下关于S-HTTP的描述中,正确的是()。
A S-HTTP是一种面向报文的安全通道协议,使用TCP443端口
B S-HTTP所使用的语法和报文格式与HTTP相同
C S-HTTP也可以写成HTTPS
D S-HTTP的安全基础并非SSL
解析:
为了和HTTP报文区分开来,S-HTTP 需要特殊处理,请求行使用特殊的“安全”途径和指定协议“S-HTTP/1.4”。因此S-HTTP和HTTP可以在相同的TCP端口混合处理,例如,端口80,为了防止敏感信息的泄漏,URL请求必须带有“”
9.近年来,在我国出现的各类病毒中,()病毒通过木马形式感染智能手机
A欢乐时光 B熊猫烧香 C X卧底 D CIH
10.在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法不包括()。
A模式匹配 B密文分析 C数据完整性分析 D系统分析
解析:
事件分析器:接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。
11.在下列安全协议中,与TLS功能相似的协议是()。
A PGP B SSL C HTTPS D IPSEC
解析:
安全套接层(SSL)是Netscape公司设计的主要用于Web的安全传输协议。IETF将SSL作了标准化,并将其称为传输层安全性(TLS)。从技术上讲,TLS与SL的差别非常微小。TLS提供了客户机与服务器之间的安全连接。
12.HTTPS的安全机制工作在( ) 而S-HTTP的安全机制工作在( ) 。
A网络层 B传输层 C应用层 D物理层
A网络层 B传输层 C应用层 D物理层
13.两个公司希望通过Internet传输大量敏感数据,从信息源到目的地之间的传输数据以密文形式出现,而且不希望由于在传输节点使用特殊的安全单元而增加开支,最合适的加密方式是( ), 使用会话密钥算法效率最高的是( )。
A 链路加密 B.节点加密 C端-端加密 D混合加密
A RSA B RC-5 C MD5 D ECC
解析:
链路加密:报文是以明文形式在各节点内,在中间节点暴露了信息的内容,需要节点本身必须是安全的。
节点到节点加密:在中间节点里装有加密、解密的保护裝置,解决了在节点中数据是明文的缺点。
端到端加密:在源节点和目的节点中对传送的PDU (协议数据单元)进行加密和解密,报文的安全性不会因中间节点的不可靠而受到影响。
题目中要求从信息源到目的地之间的传输数据以密文形式出现,而且中间节点不增加加密、解密的保护装置,因此端到端的加密方式最合适
对于端-端加密,通常使用对称密钥,即加密和解密都使用相同的密钥。
RSA和ECC是非对称加密算法,加解密使用不同的密钥(公钥和私钥);
而MD5用于生成报文摘要,用于报文鉴别;
只有RC-5是对称加密算法。
*14.在Kerberos认证系统中,用户首先向()申请初始票据,然后从()获取会话秘钥。
A域名服务器DNS B认证服务器AS C票据授权服务器TGS D认证中心CA
A域名服务器DNS B认证服务器AS C票据授权服务器TGS D认证中心CA