网络安全工程师知识点及题目资格考试安全工程师考试_资格考试-安全工程师考试.pdf

《网络安全工程师知识点及题目资格考试安全工程师考试_资格考试-安全工程师考试.pdf》由会员分享，可在线阅读，更多相关《网络安全工程师知识点及题目资格考试安全工程师考试_资格考试-安全工程师考试.pdf（4页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、学习必备 欢迎下载 1.信息安全的基本属性 保密性：保证机密信息不被窃取，窃听者不能了解信息的真实含义。完整性：保证数据的一致性，防止数据被非法用户窜改。可用性：保证合法用户对信息资源的使用不会被不正当的拒绝。不可抵赖性：做过后，必须承认，不能抵赖。2.公开密钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。在公开密钥密码体制中，加密密钥（即公开密钥）PK 是公开信息，而解密密钥（即秘密密钥）SK 是需要保密的。加密算法 E 和解密算法 D 也都是公开的。虽然秘密密钥 SK 是由公开密钥PK 决定的，但却不能根据 PK 计算出 SK。3.

2、数据在途中被攻击者篡改或破坏可以被数据完整性机制防止的攻击方式。4.数据包过滤是通过对数据包的 IP 头和 TCP 头或 UDP 头的检查来实现的，主要信息有：*IP 源地址*IP 目标地址*协议（TCP 包、UDP 包和 ICMP 包）*TCP 或 UDP 包的源端口*TCP 或 UDP 包的目标端口*ICMP 消息类型*TCP 包头中的 ACK 位*数据包到达的端口*数据包出去的端口 5.拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻

3、击。包括两类：一是以极大的通信量冲击网络，大量消耗其网络资源；二是大量的连接请求攻击计算机，大量消耗操作系统资源（CPU、内存等）。目的：使计算机或者网络无法的提供正常的服务。拒绝服务攻击的种类：1.ping of death：利用超大的 ICMP 报文对系统进行攻击，攻击数据包大于 65535 字节，而 TCP/IP 协议规定最大字节长度为 65536 字节。部分操作系统接收到大于 65535 字节的数据包会造成内存溢出、系统崩溃、重启、内核失败等后果。Synflood 攻击：利用 TCP 三次握手协议的缺陷 TCP 的建立过程 1：客户端发送包含 SYN 标志的 TCP 报文，该同步报文会

4、指明客户端使用的端口和 TCP 连接的初始序列 2：服务器收到报文后，返回一个 SYN+ACK 报文，表示客户端的请求被接受，同时 TCP 序列号加 1.3：客户端返回一个 ACK，TCP 序列号加 1，完成一个 TCP 连接。6.电子邮件协议包括 POP3、SMTP、IMAP 7.VPN 虚拟专用网络（Virtual Private Network，简称 VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台如 Internet、ATM（异步传输模式）

5、、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN 实质上就是利用加密技术在公网上封装出一个数据通讯隧道。学习必备 欢迎下载 VPN 的隧道协议主要有三种，PPTP，L2TP 和 IPSec，其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层，又称为二层隧道协议；IPSec 是第三层隧道协议，也是最常见的协议，是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议(IP)网络上进行保密而安全的通讯。L2TP 和 IPSec 配合使用是目前性能最好，应用

6、最广泛的一种。OSI 七层模型：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。8.Internet 的网络管理协议使用的是 SNMP 9.DES 算法把 64 位的明文输入块变为数据长度为 64 位的密文输出块,其中 8 位为奇偶校验位，另外 56位作为密码的长度。10 HASH 加密使用复杂的数字算法来实现有效的加密，典型的哈希算法包括 MD2、MD4、MD5 和 SHA-1。11.网络欺骗是一种常见的攻击手段，主要包括 ARP 欺骗、DNS 欺骗、IP 欺骗、电子邮件欺骗、源路由欺骗等。12.系统安全工作的目标主要包括信息机密性、信息完整性、服务可用性、可审查性 13.端口扫

7、描技术主要包括 TCP 连接扫描、TCP|SYN 扫描、TCP|FIN 扫描、IP 扫描 14.代理服务器在网络中应用非常广泛，它除了实现代理上网外，还可以实现缓存、日志和警报、验证等功能。15.用 Diff-Hellman 提供的密钥交换办法的优势包括在两个用户和主机间采用公钥加密、提供了安全传输密钥的方法、提供了强加密算法。16.假设某网络中已经安装了 IDS，现在 IDS 系统检测到了新的攻击，那么最适合的应对方法有禁用一台或多台设备、结束预先已经约定好了的网络连接、禁用一个或多个服务器 17、Windows 系统中可对部分事件进行审核，用户登录及注销、用户及用户组管理、系统重新启动和关

8、机。18.保证操作系统的安全是网管的第一要务，针对 Windows 操作系统进行有效的安全加固，从而为其他应用构筑最基础的安全平台的方法包括密码要符合复杂的密码策略，不使用特殊的密码、定时安装系统补丁，及时修补操作系统的漏洞、只启必需的服务，关闭不必要的服务和端口。19.什么是入侵检测系统？试分析基于主机的 IDS 与基于网络的 IDS 的基本区别？答：入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。基于主机的入侵检测系统用于保护单机不受网络攻击行为的侵害，需要安装在被保护主机上。它直接与操作系统相关

9、，控制文件系统以及重要的系统文件，确保操作系统不会被任意地删改。基于网络的入侵检测系统作为一个独立的个体放置于被保护网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实现实时监视和分析所有通过网络进行传输的通信。20.一个典型的计算机病毒主要具有哪三种机制？试简述这三种机制。答：数据的一致性防止数据被非法用户窜改可用性保证合法用户对信息资源的使用不会被不正当的拒绝不可抵赖性做过后必须承认不能抵赖公开密钥密码体制使用不同的加密密钥与解密密钥是一种由已知加密密钥推导出解密密钥在计算的加密算法和解密算法也都是公开的虽然秘密密钥是由公开密钥决定的但却不能根据计算出数据

10、在途中被攻击者篡改或破坏可以被数据完整性机制防止的攻击方式数据包过滤是通过对数据包的头和头或头的检来实现的主要信息有源口拒绝服务攻击即攻击者想办法让目标机器停止提供服务是黑客常用的攻击手段之一其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分只要能够对目标造成麻烦使某些服务被暂停甚至主机死机都属于拒绝服务攻击包括学习必备 欢迎下载 若某程序被定义为计算机病毒，则其一般具有传染机制、潜伏机制、表现机制。其中，只有传染机制是强制性的，潜伏机制和表现机制是非强制性的。1、潜伏机制 功能包括初始化、隐藏和捕捉。潜伏机制模块随着被感染的宿主程序的执行进入内存，首先初始化其运行环境，使病毒相对独立于

11、宿主程序，为传染机制做好准备。然后，利用各种可能的隐藏方式，躲避各种检测，将自己隐藏起来。最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。2、传染机制 功能包括判断和感染。先是判断感染目标是否已被感染，感染标记通过感染标记来判断，感染标记是计算机系统可以识别的特定字符串。如果没有感染标记，就对其进行感染，也就是将病毒代码和感染标记放入宿主程序中。3、表现机制 功能包括判断和表现。首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样，然而不管是炫耀、玩笑、恶作剧，还是故意破坏，或轻或重都具有破坏性。表现机制反映了病毒设计者的意图，是病毒间差

12、异最大的部分。潜伏机制和传染机制是为表现机制服务的。21.下图是单钥密码体制的密钥分配模型。请补充第 3 步传递的信息内容。并解释各步骤的目的和意义。能否删掉 4 和 5，解释原因。答：第 3 步传递的信息：（1）a 向 kdc 发出会话密钥请求。n1 为一次性随机数。（2）kdc 为 a 的请求发出应答。传递的会话密钥为 ks，且使用 kdc 和 a 之间的单钥加密。其中 是下一步a 要传递给 b 的内容。（3）a 向 b 传递 kdc 为 a 和 b 之间的会话产生的密钥。ida 指明了 ks 是 a 向 kdc 申请的。（4）b 用会话密钥加密另外一个随机数，并将加密结果发送给 a（5）

13、a 以 a 和 b 之间约定的 f 函数对随机数进行变换。不能删掉步骤 4 和 5。因为 1、2、3 虽然完成了密钥分配，但是 4 和 5 两步结合第 3 步执行的是认证功能。22.试述恶意代码的概念和分类，并对几种主要的恶意代码进行介绍。数据的一致性防止数据被非法用户窜改可用性保证合法用户对信息资源的使用不会被不正当的拒绝不可抵赖性做过后必须承认不能抵赖公开密钥密码体制使用不同的加密密钥与解密密钥是一种由已知加密密钥推导出解密密钥在计算的加密算法和解密算法也都是公开的虽然秘密密钥是由公开密钥决定的但却不能根据计算出数据在途中被攻击者篡改或破坏可以被数据完整性机制防止的攻击方式数据包过滤是通过

14、对数据包的头和头或头的检来实现的主要信息有源口拒绝服务攻击即攻击者想办法让目标机器停止提供服务是黑客常用的攻击手段之一其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分只要能够对目标造成麻烦使某些服务被暂停甚至主机死机都属于拒绝服务攻击包括学习必备 欢迎下载 答：所谓“恶意代码”就是指黑客编写的扰乱社会和个人，甚至起着破坏作用的计算机程序。按恶意代码是否需要宿主可以分成两类：需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。按恶意代码是否能够自我复制分为两类：不能自我复制的恶意代码（一般是不感染的）；能够自我复制的恶意代码（一般是

15、感染的）。1、不感染的依附性恶意代码（1）特洛伊木马 特洛伊木马一般没有自我复制的机制，但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的主要传播途径。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到网上直接传播，容易被不知情的用户接收和继续传播。（2）逻辑炸弹 一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件（特殊日期或指定事件）发生触发其破坏行为。它往往被那些有怨恨的职员使用，一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等。（3）后门或陷门 是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定帐户，使访问者绕

16、过访问的安全检查、直接获得访问权利，并且通常高于普通用户的特权。2、不感染的独立性恶意代码（1）点滴器 为传送和安装其他恶意代码而设计的，它本身不具有直接的感染性和破坏性。它专门对抗反病毒检测，使用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它将启动，将自身包含的恶意代码释放出来。（2）恶作剧 是为欺骗使用者面设计的程序，它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。3、可感染的依附性恶意代码 计算机病毒是一段附着在其他程序上的可以进行自我复制的代码，由于绝大多数恶意代码都或多或少地具有计算机病毒的特征。4、可感染的独立性恶意代码（1）蠕虫 一种通过计

17、算机网络能够自我复制和扩散的程序。蠕虫不需要宿主，不会与其他特定功能程序混合。蠕虫感染的是系统环境（如操作系统或邮件系统）。新感染系统采取同样的方式进行复制和传播，使得蠕虫传播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统和网络的崩溃，成为拒绝服务攻击的工具。（2）细菌 在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本，然后以指数级增长，最终占用全部的系统资源，无法为用户提供服务。数据的一致性防止数据被非法用户窜改可用性保证合法用户对信息资源的使用不会被不正当的拒绝不可抵赖性做过后必须承认不能抵赖公开密钥密码体制使用不同的加密密钥与解密密钥是一种由已知加密密钥推导出解密密钥在计算的加密算法和解密算法也都是公开的虽然秘密密钥是由公开密钥决定的但却不能根据计算出数据在途中被攻击者篡改或破坏可以被数据完整性机制防止的攻击方式数据包过滤是通过对数据包的头和头或头的检来实现的主要信息有源口拒绝服务攻击即攻击者想办法让目标机器停止提供服务是黑客常用的攻击手段之一其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分只要能够对目标造成麻烦使某些服务被暂停甚至主机死机都属于拒绝服务攻击包括