《信息安全体系结构》由会员分享,可在线阅读,更多相关《信息安全体系结构(1页珍藏版)》请在金锄头文库上搜索。
1、一、名词解释1. 信息安全:建立在网络基础上的现代信息系 统,其安全定义较为明确,那就是:保护信息系统的 硬件软件及其相关数据,使之不因偶然或是恶意侵犯 而遭受破坏,更改及泄露,保证信息系统能够连续正 常可靠的运行。2. VPN: 一般是指建筑在因特网上能够自我管 理的专用网络,是一条穿过混乱的公共网络的安全稳 定的隧道。通过对网络数据的封包和加密传输,在一 个公用网络建立一个临时的,安全的连接,从而实现 早公共网络上传输私有数据达到私有网络的级别。3. 安全策略:是有关信息安全的行为规范,是 一个组织所颁布的对组织信息安全的定义和理解 包 括组织的安全目标、安全范围、安全技术、安全标准 和安
2、全责任的界定等。4. 入侵检测:对入侵行为的发觉。它通过对计 算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。5. SSL 协议:SSL (secure socket layer)修改密 文规定协议室友Netscape提出的、基于web应用的 安全协议,是一种用于传输层安全的协议。传输层安 全协议的目的是为了保护传输层的安全,并在传输层 上提供实现报名、认证和完整性的方法。SSL制定了 一种在应用程序协议,如HTTP、TELENET、NNTP、 FTP和TCP/IP之间提供数据安全性分层的机制。它 为TCP/IP连接提供数据
3、加密、服务器认证、消息完 整性及可选的客户机认证。6. 数字证书:是指各实体(持卡人、个人、商 户、企业、网关、银行等)在网上信息交流及交易活 动中的身份证明。7. 非对称加密:拥有两个密钥:公开密钥 (publickey)和私有密钥 (privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加 密,只有用对应的私有密钥才能解密;如果用私有密 钥对数据进行加密,那么只有用对应的公开密钥才能 解密。因为加密和解密使用的是两个不同的密钥,所 以这种算法叫作非对称加密算法。TCP/IP协议的网络安全体系结构的基础框架是什 么?由于OSI参考模型与TCP/IP参考模型之间存在对应 关
4、系,因此可根据GB/T 9387.2-1995的安全体系框 架,将各种安全机制和安全服务映射到TCP/IP的协 议集中,从而形成一个基于TCP/IP协议层次的网络 安全体系结构。什么是数字证书?现有的数字证书由谁颁发,遵循 什么标准,有什么特点?数字证书是一个经证书认证中心(CA)数字签名的包 含公开密钥拥有者信息以及公开密钥的文件。认证中 心(CA)作为权威的、可信赖的、公正的第三方机构, 专门负责为各种认证需求提供数字证书服务。认证中 心颁发的数字证书均遵循X.509 V3标准。X.509标 准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括 IPSec
5、(IP 安全)、SSL、SET、S/MIME。访问控制表ACL有什么优缺点?ACL的优点:表述直观、易于理解,比较容易查出 对某一特定资源拥有访问权限的所有用户,有效地实 施授权管理。ACL应用到规模大的企业内部网时,有问题:(1) 网络资源很多,ACL需要设定大量的表项,而 且修改起来比较困难,实现整个组织范围内一致的控制政策也比较困难。(2) 单纯使用ACL,不易实现最小权限原则及复杂 的安全政策。1信息安全有哪些常见的威胁?信息安全的实现有 哪些主要技术措施?常见威胁有非授权访问、信息泄露、破坏数据完整性, 拒绝服务攻击,恶意代码。信息安全的实现可以通过 物理安全技术,系统安全技术,网络
6、安全技术,应用 安全技术,数据加密技术,认证授权技术,访问控制 技术,审计跟踪技术,防病毒技术,灾难恢复和备份 技术2列举并解释ISO/OSI中定义的5种标准的安全服 务(1) 鉴别用于鉴别实体的身份和对身份的证实, 包括对等实体鉴别和数据原发鉴别两种。(2) 访问控制提供对越权使用资源的防御措施。(3) 数据机密性针对信息泄露而采取的防御措施。 分为连接机密性、无连接机密性、选择字段机密性、 通信业务流机密性四种。(4) 数据完整性防止非法篡改信息,如修改、复 制、插入和删除等。分为带恢复的连接完整性、无恢 复的连接完整性、选择字段的连接完整性、无连接完 整性、选择字段无连接完整性五种。(5
7、) 抗否认是针对对方否认的防范措施,用来证 实发生过的操作。包括有数据原发证明的抗否认和有 交付证明的抗否认两种。3什么是IDS,它有哪些基本功能?入侵检测系统IDS,它从计算机网络系统中的若干关 键点收集信息,并分析这些信息,检查网络中是否有 违反安全策略的行为和遭到袭击的迹象。入侵检测被 认为是防火墙之后的第二道安全闸门。1) 监测并分析用户和系统的活动,查找非法用户和 合法用户的越权操作;2) 核查系统配置和漏洞并提示管理员修补漏洞;3) 评估系统关键资源和数据文件的完整性;4) 识别已知的攻击行为,统计分析异常行为;5) 操作系统日志管理,并识别违反安全策略的用户 活动等。4简述数字签
8、名的基本原理数字签名包含两个过程:签名过程和验证过程。由于 从公开密钥不能推算出私有密钥,因此公开密钥不会 损害私有密钥的安全性;公开密钥无需保密,可以公 开传播,而私有密钥必须保密。因此若某人用其私有 密钥加密消息,并且用其公开密钥正确解密,就可肯 定该消息是某人签名的。因为其他人的公开密钥不可 能正确解密该加密过的消息,其他人也不可能拥有该 人的私有密钥而制造出该加密过的消息,这就是数字 签名的原理。5防火墙的实现技术有哪两类?防火墙存在的局限 性又有哪些?防火墙的实现从层次上可以分为两类:数据包过滤和 应用层网关,前者工作在网络层,而后者工作在应用 层。防火墙存在的局限性主要有以下七个方
9、面(1) 网络上有些攻击可以绕过防火墙(如拨号)。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输 提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时,防火墙的作用会受到很 大的限制。(6) 防火墙对用户不完全透明,可能带来传输延迟、 瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害 的数据通过电子邮件或其他方式发送到主机上,一旦 被执行就形成攻击。6什么是密码分析,其攻击类型有哪些? DES算法中 S盒的作用是什么密码分析是指研究在不知道密钥的情况下来恢复明 文的科学。攻击类型有只有密文的攻击,已知明文的 攻击,选择明文的攻击,适应性选择明文攻击,选择 密文的攻击,选择密钥的攻击,橡皮管密码攻击。S 盒是DES算法的核心。其功能是把6bit数据变为4bit 数据。7请你利用认证技术设计一套用于实现商品的真伪 查询的系统系统产生一随机数并存储此数,然后对其加密,再将 密文贴在商品上。当客户购买到此件商品并拨打电话 查询时,系统将客户输入的编码(即密文)解密,并将 所得的明文与存储在系统中的明文比较,若匹配则提 示客户商品是真货,并从系统中删了此明文;若不匹 配则提示客户商品是假货。
