九、 系统安全(考点篇)试题
信息安全系统:技术方面有了,管理方面有了,看选项里,A、C、D都是需求跟安全扯不上多大关系。选B
备份和恢复跟安全沾边,迁移是旧系统数据迁到新系统,测试跟安全更远了。选C
选D机密性;选D可控性。
非授权的进行操作,选A。选B,信息完整性是授权的可以操作,还得识别是否被篡改,破坏完整性得阻断授权者修改,篡改信息;C:授权侵犯,这是授权用户非法操作,这涉及到可控和可审查性,C不是;计算机病毒虽然也能破坏数据也不是被授权的,但不是这个定义吧。
选A。合法的,无条件阻止,只有拒绝服务了。
选D,长时间监听然后统计分析。
B、B
A、D。签名验证证书真伪,真的就确定了证书绑定的网站和它的公钥真实性。
A、B。第二题,CA是
电子邮箱协议学过的有:IMAP(接受,端口143),POP3(接受,端口110),SMTP(发送,端口25)、还有PGP,再就是MIME;
他们的加密版本就是结合SSL(安全套接字协议),如IMAPS(端口143)、POP3S(端口995)、SMTPS(端口465)、S/MIME.
IMAP功能要比POP3的功能更加丰富。
B是超文本网页的,所以选B。
实际答案选C。他强调的是电子邮件的安全,AD都是安全的,HTTPS也是加密的安全的(网页登录邮箱)、C虽然是扩展了电子邮件标准(比如可以传图片甚至声音视频等),但是并不安全,他需要 S/MIME才安全。
SSL(Secure Sockets Layer,安全套接层)及其继任者TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议,在传输层对网络连接进行加密。在设置电子邮箱时使用 SSL协议,会保障邮箱更安全。HTTPS协议是由HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。MIME 是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。它是一个互联网标准,扩展了电子邮件标准,使其能够支持:非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(Multiple Parts)组成的消息体;包含非 ASCII字符的头信息(Header Information)。PGP是一套用于消息加密、验证的应用程序,采用IDEA的散列算法作为加密与验证之用。PGP加密由一系列散列、数据压缩、对称密钥加密,以及公钥加密的算法组合而成。每个公钥均绑定唯一的用户名和/或者E-mail 地址。因此,上述选项中 MIME 是扩展了电子邮件标准,不能用于保障电子邮件安令。
65:A应该是对的,B也对;选C
网络冗余设计的目的就是避免网络组件单点失效造成应用失效;
备用路径是在主路径失效时启用,其和主路径承担不同的网络负载:
负载分担是网络冗余设计中的一种设计方式,其通过并行链路提供流量分担来提高性能;
网络中存在备用链路时,可以考虑加入负载分担设计来减轻主路径负担。
64-65:C防篡改,B防抵赖
文件级交换,首选肯定不是防火墙,即便是应用防火墙也是内网里面的而不是内外网之间的;IDS入侵检测系统也不是,UTM不清楚,文件级交换有点像网闸。
网闸的话第二个选C。
对于政务网的安全需求是在公网和外网之间实行逻辑隔离,在内网和外网之间实行物理隔离。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一 个网络连接,保持“物理的分离”,实现数据的倒换。
选C。DES 加密算法的密钥长度为56位,三重DES 要用到2个DES 的密钥,所以长度为112位。
流量分析属于被动攻击。
主动攻击是一种网络安全攻击,攻击者试图改变、破坏或破坏系统或网络的正常运行。主动攻击涉及攻击者对目标系统或网络采取直接行动,并且可能比被动攻击更危险,被动攻击涉及对系统或网络的简单监视或窃听。
在被动攻击(passive attack)中,攻击者的目的只是获取信息,这就意味着攻击者不会篡改信息或危 害系统。系统可以不中断其正常运行。常见的被动攻击包括:窃听和流量分析。
主动攻击(active attack)可能改变信息或危害系统。威胁信息完整性和有效性的攻击就是主动攻击。
主动攻击通常易于探测但却难于防范,因为攻击者可以通过多种方法发起攻击。常见的主动攻击包
括:篡改、伪装、重放、拒绝服务攻击。
SQL注入不是TCP/IP的漏洞。
1、SQL注入攻击 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模 式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程 序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即 SQL注入。该种攻击方式与 TCP/IP漏洞无关。2、Land 攻击land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏 洞的机器崩溃。在Land 攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时 将导致接受服务器向它自己的地址发送 SYN一 ACK消息,结果这个地址又发回 ACK消息并创建一个 空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX系统将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。-- SYN包的源地址和目的地址都是同一个服务器,然后服务器和自己建立空连接,这样不断的生成这种包发送给服务器,不断地建立这种空连接,连接资源耗尽。3、Ping of Death攻击在因特网上,ping of death是一种拒绝服务攻击,方法是由攻击者故意发送大于65535字节的 ip数 据包给对方。TCP/IP的特征之一是碎裂;它允许单一 IP包被分为几个更小的数据包。在1996年,攻 击者开始利用那一个功能,当他们发现一个进入使用碎片包可以将整个IP包的大小增加到ip协议允许 的65536 比特以上的时候。当许多操作系统收到一个特大号的ip包时候,它们不知道该做什么,因 此,服务器会被冻结、当机或重新启动。4、Teardrop 攻击 Teardrop攻击是一种拒绝服务攻击。是基于 UDP的病态分片数据包的攻击方法,其工作原理是向被 攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位 置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现 象。
L2PT好像不是应用层的,这个选D
最后一个选B
目前最常用的第三方认证服务包括:PKI/CA 和Kerberos。PKI/CA是基于非对称密钥体系的,Kerberos是基于对称密钥体系的。
PKI (Public Key Infrastructure)指的是公钥基础设施。CA (CertificateAuthority) 指 的是认证中心。PKI 从技术上解决了网络通信安全的种种障碍。CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“ PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强 大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要 求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
在以上情况下,Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如;共享密 钥)执行认证服务的。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后AS 的响应包含这些用客户端密钥加密的证书。证书的构成为:1)服务器“ticket”; 2) 一个临时 加密密钥(又称为会话密钥“session key”)。客户机将 ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)_用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
KDC(密码学中的密钥分发中心)是密钥体系的一部分,旨在减少密钥体制所固有的交换密钥 时所
面临的风险。KDC在kerberos 中通常提供两种服务:Authentication Service (AS)认证服务和Ticket-Granting Service (TGS):授予票据服务。
重放攻击都是加上时间戳来解决的,选B。
重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指 攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。Kerberos 系统采用的是时间戳方案来防止重放攻击,这种方案中,发送的数据包是带时
间戳的,服 务器可以根据时间戳来判断是否为重放包,以此防止重放攻击。
一般都是分层的,物联网系统应该比较复杂分层首选。
物联网从架构上面可以分为感知层、网络层和应用层( 1 )感知层:负责信息采集和物物之间的信息传输,信息采集的技术包括传感器、条码和二维码、 RFID 射频技术、音视频等多媒体信息,信息传输包括远近距离数据传输技术、自组织组网技术、协同信息处理技术、信息采集中间件技术等传感器网络。感知层是实现物联网全面感知的核心能力,是物联网中包括关键技术、标准化方面、产业化方面亟待突破的部分,关键在于具备更精确、更全面的感知能力,并解决低功耗、小型化和低成本的问题。( 2 )网络层:是利用无线和有线网络对采集的数据进行编码、认证和传输,广泛覆盖的移动通信网络是实现物联网的基础设施,是物联网三层中标准化程度昀高、产业化能力昀强、昀成熟的部分,关键在于为物联网应用特征进行优化和改进,形成协同感知的网络。( 3 )应用层:提供丰富的基于物联网的应用,是物联网发展的根本目标,将物联网技术与行业信息化需求相结合,实现广泛智能化应用的解决方案集,关键在于行业融合、信息资源的开发利用、低成本高质量的解决方案、信息安全的保障以及有效的商业模式的开发。各个层次所用的公共技术包括编码技术、标识技术、解析技术、安全技术和中间件技术。
技术方面有了,管理方面有了,剩下的政策法律了,ACD都是需求不是安全措施。
备份和恢复才是安全措施。