(4)非法拷贝引起的病毒(5)计算机生产、经营单位销售的机器和软件染有病毒(6)维修部门交叉感染(7)有人研制、改造病毒(8)敌对分子以病毒进行宣传和破坏(9)通过互联网络传人的。
44.数据文件和系统的备份要注意什么?
(1)日常的定时、定期备份(2)定期检查备份的质量;(3)重要的备份最好存放在不同介质上;(4)注意备份本身的防窃和防盗;(5)多重备份,分散存放,由不同人员分别保管。
45.一套完整的容灾方案应该包括什么系统? 其应该包括本地容灾和异地容灾两套系统。 11.简述归档与备份的区别。
归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的,以便长期保存的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包,用于长时间的历史性的存放,归档可以清理和整理服务器中的数据。 46.病毒有哪些特征?
(1)非授权可执行性(2)隐蔽性(3)传染性(4)潜伏性(5)表现性或破坏性(6)可触发性。 47.简述计算机病毒的分类方法。
按寄生方式分为引导型、病毒文件型和复合型病毒。 按破坏性分为良性病毒和恶性病毒。 48.简述计算机病毒的防治策略?
依法治毒、建立一套行之有效的病毒防治体系、制定严格的病毒防治技术规范。 49.保证数据完整性的措施有哪些?
保证数据完整性的措施有:有效防毒、及时备份、充分考虑系统的容错和冗余。 50. 目前比较常见的备份方式有哪些?
(1)定期磁带备份数据。(2)远程磁带库、光盘库备份。(3)远程关键数据+磁带备份(4)远程数据库备份。(5)网络数据镜像(6)远程镜像磁盘。 51.试述提高数据完整性的预防性措施有哪些?
措施:镜像技术\\故障前兆分析\\奇偶校验\\隔离不安全的人员\\电源保障 52.扼制点的作用是什么? 扼制点的作用是控制访问。
53.防火墙不能防止哪些安全隐患?
不能阻止已感染病毒的软件或文件的传输;内部人员的工作失误。
54,防火墙与VPN之间的本质区别是什么?
堵/通;或防范别人/保护自己。 55.设置防火墙的目的及主要作用是什么?
目的是为了在内部网与外部网之间设立惟一的通道,允许网络管理员定义一个中心“扼制点”提供两个网络间的访问控制。作用是防止发生网络安全事件引起的损害,使入侵更难实现,来防止非法用户。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。 56.简述防火墙的设计须遵循的基本原则。
(1)由内到外和由外到内的业务流必须经过防火墙(2)只允许本地安全政策认可的业务流通过防火墙(3)尽可能控制外部用户访问内域网(4)具有足够的透明性(5)具有抗穿透攻击能力、强化记录、审计和告警。 57。目前防火墙的控制技术可分为哪几种?
包过滤型、包检验型以及应用层网关型三种。58.防火墙不能解决的问题有哪些?
(1)如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设 (2)防火墙无法防范通过防火墙以外的其他途径的攻击(3)防火墙不能防止来自内部变节者和不经心的用户带来的威胁(4)防火墙也不能防止传送已感染病毒的软件或文件(5)防火墙无法防范数据驱动型的攻击。59。VPN提供哪些功能?加密数据、信息认证和身份认证、提供访问控制
60.隧道协议主要包括哪几种?(1)互联网协议安全IPSec(2)第2层转发协议L2F (3)点对点隧道协议PPTP(4)通用路由封装协议GRE 61.简述隧道的基本组成。
一个隧道启动器,一个路由网络(Intemet),一个可选的隧道交换机,一个或多个隧道终结器。 62.IPSec提供的安全服务有哪些?
包括私有性(加密)、真实性(验证发送者的身份)、完整性(防数据篡改)和重传保护(防止未经授权的数据重新发送)等,并制定了密钥管理的方法。 63.选择VPN解决方案时需要考虑哪几个要点?
(1)认证方法(2)支持的加密算法(3)支持的认证算法<4)支持的1P压缩算法(5)易于部署(6)兼容分布式或个人防火墙的可用性。 64。简述VPN的分类。
按VPN的部署模式分:端到端(End-to-End)模式;供应商—企业模式;内部供应商模式。 按VPN的服务类型分:IntemetVPN、AccessVPN与Extranet VPN。 65.简述VPN的具体实现即解决方案有哪几种?
(1)虚拟专用拨号网络(VPDN) (2)虚拟专用路由网络(VPRN) (3)虚拟租用线路(VLL) (4)虚拟专用LAN子网段(VPLS) 1.试述防火墙的分类及它们分别在安全性或效率上有其特别的优点?
目前防火墙的控制技术大概可分为:包过滤型、包检验型以及应用层网关型三种。
(1)包过滤型的控制方式最大的好处是效率最高,但却有几个严重缺点:管理复杂、无法对连线作完全的控制、规则设置的先后顺序会严重影响结果、不易维护以及记录功能少。
(2)包检验型:包检验型可谓是包过滤型的加强版,目的在增加包过滤型的安全性,增加控制“连线”的能力式可能会产生极大的差异。 (3)应用层网关型:。这种运作方式是最安全的方式,但也是效率最低的一种方式。 66.试述VPN的优点有哪些?
成本较低、网络结构灵活、管理方便 67,试述IPSec的两种工作模式。
一是传输模式(TransportMode),为源到目的之间已存在的IP包(1Ppacket)提供安全性:IPSec传输模式被用于在端到端的两个通信实体之间提供IP传输的安全性。二是隧道模式(tunnelmode),它把一个IP包放到一个新的IP包中,并以IPSec格式发往目的终点。 68.论述VPN的应用前景。
在国外,Intenlet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Inter-net上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。
在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。(1)客观因素包括因特网带宽和服务质量(QoS)问题。
(2)主观因素:一是用户总害怕自己内部的数据在Intemet上传输不安全。二是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。 69.组建VPN应该遵循的设计原则。
VPN的设计应该遵循以下原则:安全性、网络优化、VPN管理等。 70.为什么DAC易受到攻去?
DAC为自主式接入控制。它由资源拥有者分配接人权,在辨别各用户的基础上实现接入控制。每个用户的接人权由数据的拥有者来建立,常以接入控制表或权限表实现。这一方法灵活,便于用户访问数据,在安全性要求不高的用户之间分享一般数据时可采用。如果用户疏于利用保护机构时,会危及资源安全,所以DAC易受到攻击。 71.简述加密桥技术的优点。
(1)解决了数据库加密数据没有非密旁路漏洞的问题。(2)便于解决“数据库加密应用群件系统”在不同DBMS之间的通用性。(3)便于解决系统在DBMS不同版本之间的通用性。(4)不必去分析DBMS的源代码。(5)加密桥是用c++写成的,便于在不同的操作系统之间移植。(6)加密桥与DBMS是分离的,可
以解决嵌入各种自主知识产权加密方法的问题。
72.图示说明接入控制机构的建立主要根据的三种类型信息。(1)主体:是对目标进行访问的实体,它可为用户、用户组、终端、主机或一个应用程序(2)客体:是一个可接受访问和受控的实体,它可以是一个数据文件、一个程序组或一个数据;(3)接人权限:表示主体对客体访问时可拥有的权利,接人权要按每一对主体客体分别限定,权利包括读、写、执行等,读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行。
73.实体认证与消息认证的差别在于,消息认证本身不提供时间性,而实体认证一般都是实时的。另一方面,实体认证通常证实实体本身,而消息认证除了证实消息的合法性和完整性外.还要知道消息的含义。
74.通行字的选择原则是什么? (1)易记;(1)难于被别人猜中或发现;(3)抗分析能力强。
75.通行字的控制措施是哪些?(1)系统消息; (2)限制试探次数;(3)通行字有效期; (4)双通行字系统(5)最小长度;(6)封锁用户系统;(?)根通行字的保护(8)系统生成通行字(9)通行字的检验。 76.通行字的安全存储有哪二种方法? (1)用户的通行字多以加密形式存储。 (2)许多系统可以存储通行字的单向杂凑值 77.Kerberos的局限性有哪些?
(1)时间同步问题(2)重放攻击问题(3)认证域之间的信任问题;(4)系统程序的安全性和完整性问题(5)口令猜测攻击问题;(6)密钥的存储问题。
78.试述一下身份证明系统的相关要求。(1)验证者正确识别合法示证者的概率极大化。(2)不具可传递性(3)攻击者伪装示证者欺骗验证者成功的概率小到可以忽略,特别是要能抗已知密文攻击。(4)计算有效性(5)通信有效性(6)秘密参数安全存储(7)交互识别(8)第三方的实时参与(9)第三方的可信赖性(10)可证明安全性 79.说明口令的控制措施。
(1)系统消息(2)限制试探次数(3)口令有效期 (4)双口令系统 (5)最小长度(6)封锁用户系统
(7)根口令的保护(8)系统生成口令(9)口令的检验 80.有效证书应满足的条件有哪些? (1)证书没有超过有效期。(2)密钥没有被修改 (3)证书不在CA发行的无效证书清单中。 81.密钥对生成的两种途径是什么?
(1)密钥对持有者自己生成(2)密钥对由通用系统生成
82证书有哪些类型?(1)个人证书(2)服务器证书(3)邮件证书(4)CA证书
83.证书数据由哪些部分组成?
(1)版本信息(2)证书序列号(3)CA所使用的签名算法(4)发证者的识别码(5)有效使用期限(6)证书主题名称(7)公钥信息;(8)使用者(9)使用者识别码(10)额外的特别扩展信息。
84.如何对密钥进行安全保护?
密钥按算法产生后,首先将私钥送给用户,如需备份,应保证安全性,将公钥送给CA,用以生成相应证书。为了防止未授权用户对密钥的访问,应将密钥存人防窜扰硬件或卡中,或加密后存入计算机的文件中。此外,定期更换密钥对是保证安全的重要措施。
85.CA认证申请者的身份后,生成证书的步骤有哪些?①CA检索所需的证书内容信息;②CA证实这些信息的正确性;回CA用其签名密钥对证书签名;④将证书的一个拷贝送给注册者,需要时要求注册者回送证书的收据;⑤CA将证书送人证书数据库,向公用检索业务机构公布:⑥通常,CA将证书存档;⑦CA将证书生成过程中的一些细节记人审计记录中。
86.LRA(LocalRegistrationAuthority)的功能是什么?①注册、撤销注册、改变注册者属性等;②对注册者进行身份认证;⑧授权时可生成密码对和证书,恢复备份密钥;④接受和授权暂时中止或吊销证书;⑤实际分配个人持证,恢复有故障持证以及授权代为保存。 · 87.公钥证书的基本作用是什么?
将公钥与个人的身份、个人信息件或其他实体的有关身份信息联系起来,在用公钥证实数字签名时,在确信签名之前,有时还需要有关签名人的其他信息,特别是要知道签名者是否已被授权为对某特定目的的签名人。授权信息的分配也需用证书实现,可以通过发放证书宣布某人或实体具有特定权限或权威,使别人可以鉴别和承认。
88.双钥密码体制加密为什么可以保证数据的机密性?双钥密码体制加密时有一对公钥和私钥,公钥可以公开,私钥由持有者保存,公钥加密过的数据只有持有者的私钥能解开,这样就保证了数据的机密性。经私钥加密过的数据——数字签名可被所有具有公钥的人解开,由于私钥只有持有者一人保存,这样就证明信息发自私钥持有者,具有不可否认性和完整性。 · 89。简述证书链中证书复本的传播方式。
(1)伴有签名的证书,签名者一般已有自己的证书,他可对其证书的复本进行签名,任何人都可以通过验证签名得到相应证书(2)通过检索服务实现传播(3)其他方式
90.说明证书机构(CA)的组成?由一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP服务器和数据库服务器等。
91.认证机构提供的服务?(1)证书申请—网上申请、离线申请证书(2)证书更新(3)证书吊销或撤销——证书持有者申请吊销、认证机构强制吊销证书(4)证书的公布和查询
92.说出你知道的PK[的应用范围?WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Intemet上的信用卡交易以及VPN等。
93.简述证书政策的作用和意义?证书政策是信息管理和信息技术基础设施的一个组成部分,使得这个基础设施从整体上能够安全地实现公开环境中的