59. 某公司的 Windows 网络准备采用严格的验证方式,基本的要求是支持双向身份认证, 应该建议该公司采用( )认证方式。
A、NTLM B、LanManager C、Kerberos D、NTLMv2
60. SYN 风暴属于( )。
A、拒绝服务攻击 B、社会工程学攻击 C、操作系统漏洞攻击 D、缓冲区溢出攻击
61. ISO 9000标准系列着重于以下哪一个方面( )。 A、产品 B、生产厂家 C、原材料 D、加工处理过程
62. 一个可以对任意长度的报文进行加密和解密的加密算法称为( )。 A、链路加密 B、流加密 C、端对端加密 D、批量加密
63. 数字证书是在(
)国际标准中定义的。
A、X.400 B、X.509 C、X.12 D、X.25
64. 数字签名是使用( )。
A、自己的私钥签名 B、对方的公钥签名 C、对方的私钥签名 D、自己的公钥签名
65. 802.1X 是基于( )的一项安全技术。
A、IP地址 B、物理地址 C、应用类型 D、物理端口
66. 网络层攻击中属于 IP 欺骗攻击的包括( )。 A、TFN B、DOS C、SYN-Flood D、Smurf
67. 防止他人入侵电子邮箱的措施中,不正确的是(
)。
A、不用生日做密码 B、自己做服务器 C、不要使用纯数字 D、不要使用小于5位的密码
68. 数据保密性安全服务的基础是(
)。
A、数据完整性机制 B、加密机制 C、访问控制机制 D、数字签名机制
69. Arp 欺骗可以对局域网用户产生( )威胁。
A、挂马 B、以上均是 C、中间人攻击 D、局域网网络中断
70. ( )是局域网中常见的被动威胁。
A、拒绝服务攻击 B、消息服务的修改 C、嗅探 D、IP欺骗
71. 统一认证系统提供( )方式的认证。
A、用户名/密码 B、以上方式都提供 C、令牌 D、X.509数字证书
6
72. 为了控制目标主机,木马一般都包括( )。
A、一个客户端 B、一个客户端和两个服务器端 C、一个客户端和一个服务器端 D、一个服务器端
73. 拒绝服务攻击损害了信息系统的( )性能。 A、完整性 B、可靠性 C、保密性 D、可用性
74. 以下哪个针对访问控制的安全措施是最容易使用和管理的( )。 A、密码 B、加密数据文件 C、硬件加密 D、加密标志
75. 下面哪个漏洞属于应用系统安全漏洞( )。
A、Windows2000中文版输入法漏洞 B、Web服务器asp脚本漏洞 C、SQLServer存在的SA空口令漏洞 D、Windows2000的Unicode编码漏洞
76. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容( )。 A、计算风险 B、接受残余风险 C、实现安全措施 D、选择合适的安全措施
77. 下述攻击手段中不属于DOS攻击的是( )。
A、Smurt攻击 B、CGi溢出攻击 C、Teardrop攻击 D、Land攻击
78. ( )技术不能保护终端的安全。
A、防止非法外联 B、漏洞扫描 C、补丁管理 D、防病毒
79. 下列ISO27000协议族中,( )是关于信息安全管理体系实施指南。 A、27001 B、27004 C、27003 D、27002
80. Windows有三种类型的事件日志,分别是 ( )。
A、系统日志、应用程序日志、安全日志 B、系统日志、应用程序日志、事件日志 C、安全日志、应用程序日志、事件日志 D、系统日志、应用程序日志、DNS日志
题一(2):判断题:
1. 入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。( ) 2. 宏属于恶意代码。( )
3. 信息数据备份包括全盘备份、增量备份、关键项目备份。( ) 4. 在 Windows 操作系统安全模式下,木马程序不能启动。( )
5. 防火墙作为实现网络边界隔离的设备,其部署应以安全域划分以及系统边界整合为前提,综合考虑边界风险的程度来设定。( )
6. 使用 IE 浏览器浏览网页时,出于安全方面的考虑,需要禁止执行 Java Script,可以在 IE 中禁用 cookie。( )
7. 最新的研究和统计表明,安全攻击主要源自因特网。( )
7
8. OSI 七层模型中,应用层可以提供抗抵赖性。( )
9. 国家电网公司管理信息大区中的信息内外网间使用的是正向隔离装置( ) 10. 宏病毒感染不了 EXE 文件。( )
题一(3):简答题:
1. 什么是 DNS 劫持以及如何防范?
DNS 劫持意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结 果,导致对该域名的访问由原 IP 地址转入到修改后的指定 IP,其结果就是对特定的网址不能 访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。 通常在三种情况下会遇到 DNS 劫持的问题:
(1)用户计算机感染病毒,病毒在操作系统中的 HOSTS 文件中添加了虚假的 DNS 解析 记录。Windows 中 HOSTS 文件的优先级高于 DNS 服务器,操作系统在访问某个域名时,会 先检测 HOSTS 文件,然后再查询 DNS 服务器。
(2)用户试图访问的网站被恶意攻击。这种情况下,用户可能访问到的是一个欺骗性网 站,也有可能被定向到其他网站。
(3)用户在浏览器中输入了错误的域名,导致 DNS 查询不存在的记录。以前遇到这种情 况时,浏览器通常会返回一个错误提示。而最近,这种情况下用户会看到 ISP 设置的域名纠 错系统提示。 如何防范 DNS 劫持:
(1)使用安全可靠的 DNS 服务器管理自己的域名,并且注意跟进 DNS 的相关漏洞信 息,更新最新补丁,加固服务器。
(2)保护自己的重要机密信息安全,避免域名管理权限被窃取。
(3)提高服务器安全级别,更新系统及第三方软件漏洞,避免遭受攻击。
2. 简述入侵检测系统和入侵防御系统的区别。
功能区别:IDS 主要是对入侵事件进行检测和告警,可以和其他设备联动实施阻断,但本身 没有阻断功能;与 IDS 不同的是,IPS 除对安全事件能够进行检测和告警外,还能实施阻断。 部署方式:IDS 一般采用旁路部署,对网络流量不会产生任何影响;而 IPS 一般采用串联的方式部署,可能存在单点故障。
3. 什么是 DDOS 攻击及怎么抵抗 DDOS 攻击?
DDOS 是英文 Distributed Denial of Service 的缩写,意即“分布式拒绝服务”,那么什么 又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常 网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止 合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻 击,但是 DDOS 和 DOS 还是有所不同,DDOS 的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会 犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务 器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的 DDOS 攻击手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConnectionsFlood、Script Flood、 Proxy Flood 等,而 DOS 则侧重于通过对主机
8
特定漏洞的利用攻击导致网络栈失效、系统崩 溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的 DOS 攻击手段有 TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB 等。DDOS 和 DOS 这两种 拒绝服务攻击而言,危害较大的主要是 DDOS 攻击,原因是很难防范,至于 DOS 攻击,通 过给主机服务器打补丁或安装防火墙软件就可以很好地防范。 对付 DDOS 是一个系统工程,想仅仅依靠某种系统或产品防住 DDOS 是不现实的,可以 肯定的是,完全杜绝 DDOS 目前是不可能的,但通过适当的措施抵御 90%的 DDOS 攻击是可 以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御 DDOS 的能 力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也 就相当于成功的抵御了 DDOS 攻击。以下几点是防御 DDOS 攻击几点: (1)采用高性能的网络设备。 (2)尽量避免 NAT 的使用。 (3)充足的网络带宽保证。 (4)升级主机服务器硬件。 (5)把网站做成静态页面。
(6)增强操作系统的 TCP/IP 栈。 (7)安装专业抗 DDOS 设备。
题一(4):仿真题:
1. 配置加强Linux服务器系统安全性
一台按默认配置安装好的 Linux 服务器系统,通过哪些系统命令配置加强这台服务器的安全性?
答题要点:
1、用防火墙关闭不需要的任何端口,别人 PING 不到服务器,威胁自然减少了一大半。
2、更改 SSH 端口,最好改为 10000 以上,别人扫描到端口的几率也会下降,创建一个普通登录用户,用户名:username,密码:username,并取消直接root登录。 3、删除ftp账号。
4、更改下列文件权限,使任何人没有更改账户权限: 1)/etc/passwd 2)/etc/shadow 3)/etc/group 4)/etc/gshadow 答案要点:
(1)用防火墙关闭不需要的任何端口,别人 PING 不到服务器,威胁自然减少了一大半 防止别人 ping 的方法:
1)命令提示符下打。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 2)用防火墙禁止(或丢弃)icmp 包。 iptables -A INPUT -p icmp -j DROP
(2)更改 SSH 端口,最好改为 10000 以上,别人扫描到端口的几率也会下降。 vi /etc/ssh/ssh_config
9
将 PORT 改为 1000 以上端口。 同时,创建一个普通登录用户,并取消直接 root 登录。 useradd 'username'
passwd 'username'
vi /etc/ssh/sshd_config 在最后添加如下一句:
PermitRootLogin no #取消 root 直接远程登录 (3)删除ftp账号: userdel ftp
(4)更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow
2. Linux 服务器实现 NAT 功能
如何使用一台双网卡的 Linux 服务器实现 NAT 功能?
已知外网网卡已配置,外网IP为:210.77.176.66,内网网卡已配置IP为:192.168.1.121、IP段:192.168.1.2-192.168.1.254 1、配置内核数据包相关功能 2、配置防火墙设置数据包相关功能
打开内核数据包转发功能
echo \2、防火墙设置数据包转发伪装
iptables -t nat -A POSTROUTING -s 192.168.1.1/252 -o eth1 -j SNAT ?to-source 210.77.176.66
10