信息安全概论

信息安全概论

1.解析

①求职信

属于黑客木马型邮件病毒，采用了双层加密技术，其基本可分为两部分：一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3K，用汇编语言编写；第二部分是蠕虫大小为56K，它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是蠕虫，是用VC++编写的，它只可以在WINDOWS 9X或WINDOWS2000上运行，在NT4上无法运行。

②爱虫

这个病毒是通过Microsoft Out look电子邮件系统传播的，邮件的主题为“I LOVE YOU”，并包含一个附件。一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒。 “我爱你”病毒，又称“爱虫”病毒，是一种蠕虫病毒，它与1999年的梅丽莎病毒非常相似。据称，这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

③红色代码

其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限并为所欲为，可以盗走机密数据，严重威胁网络安全。 2.关键技术分析，震荡波

在本地开辟后门，监听TCP 5554端口，作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。感染系统为：Windows 2000、Windows Server 2003、Windows XP，利用微软的漏洞：MS04-01，病毒运行后，将自身复制为%WinDir%\napatch.exe

①网络神偷（Nethief）：清除策略：1、网络神偷会在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 ② 冰 河： 1、删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion \Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表的

HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sy***plr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。

③ Netspy（网络精灵）：1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！2、进入注册表

HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy的键值即可安全清除Netspy。

信息安全概论

6.分析路由欺骗的原理：截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

路由欺骗造成路由器中的缓存的ip-mac表错误，所以这时电脑能发送信息但不能接受

DNS欺骗, 建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

7.傀儡机上转一下：如果被入侵对象一旦发现入侵行为就会进行反追踪，此时黑客就会退到上一道防御中，对方追查的仅仅是黑客刚才攻击的位置（也就是IP），如果对方继续追查的话黑客会继续向后退，每次追查仅仅是黑客留下的虚假位置而已。这样就保证了黑客在被追查时可以从容的离开。可以延续追踪情况，更越安全。

8.简述攻击防火墙的主要手段：

ip 欺骗攻击：这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。

d.o.s拒绝服务攻击：简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，他可能会忙于处理，而忘记了他自己的过滤功能。

分片攻击：在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。

9.你对未来防火墙有何设想

防火墙的过滤系统能向着更具柔性和多功能的方向发展，包过滤规则可由路由器灵活、快速的来设置。用户可以轻松管理基于应用的路由配置，根据多链路、多通道和不同的流量情况安排链路的优先顺序。改善只能依据简单的端口和协议进行控制的缺陷。并且操作很简洁。

10.构造一个网络数据包的截获程序

void main()

{

pcap_t *pcap_handle;

char error_content[PCAP_ERRBUF_SIZE];

char *net_interface;

struct bpf_program bpf_filter;

char bpf_filter_string[] = "";

bpf_u_int32 net_mask;

bpf_u_int32 net_ip;

net_interface = pcap_lookupdev(error_content);

pcap_lookupnet(net_interface, &net_ip, &net_mask, error_content);

pcap_handle = pcap_open_live(net_interface, BUFSIZ, 1, 0, error_content);

pcap_compile(pcap_handle, &bpf_filter, bpf_filter_string, 0, net_ip);

pcap_setfilter(pcap_handle, &bpf_filter);

if (pcap_datalink(pcap_handle) != DLT_EN10MB)

return ;

pcap_loop(pcap_handle, - 1, ethernet_protocol_packet_callback, NULL);

pcap_close(pcap_handle);

}

信息安全概论

不足：1、误/漏报率高

2、没有主动防御能力

3、缺乏准确定位和处理机制

4、性能普遍不足

发展趋势：

(1).分析技术的改进

(2).内容恢复和网络审计功能的引入

(3).集成网络分析和管理功能

(4).安全性和易用性的提高

(5).改进对大数据量网络的处理方法

(6).防火墙联动功能

12.简述蜜罐技术的特殊用途

把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上，你就可以了解它所遭受到的攻击，时了解针对公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

13.明文can you understand。有一个密钥，顺序为2,4,3,1的列换位码。 换位密文是：

14.在非对称密码体系中，第三方如何断定通信者有无抵赖或伪造行为

通过数字摘要、数字签名等技术

15.简述通信双方如何使用密钥体制建立通信中的信任关系

每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

16.描述报文鉴别码和杂凑码的区别

报文鉴别常用报文鉴别码（MessageAuthenticationCode,即MAC）作为鉴别的基础，其基本原理是：用一个密钥（（privateKey））生成一个小数据块附加在要传输的报文后面。

哈希函数认证：哈希函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数。以h表示哈希函数，则有H=h(M)。其中H称为M的哈希码，有时也称为杂凑码、数字指纹、消息摘要等。哈希函数与MAC的区别是，哈希函数的输入是消息本身，没有密钥参与

17.简述生物特征认证的发展趋势

人类利用生物特征识别的历史可追溯到古代埃及人通过测量人体各部位的尺寸来进行身份鉴别，现代生物识别技术始于70年代中期，由于早期的识别设备比较昂贵，因而仅限于安全级别要求较高的原子能实验、生产基地、犯罪甄别等。现在由于微处理器及各种电子元器件成本不断下降，精度逐渐提高，生物识别系统逐渐应用于商业上的授权控制等领域。

目前人们已经发展了指纹识别、掌纹与掌形识别、虹膜识别、人脸识别、手指静脉识别、声音识别、签字识别、步态识别、键盘敲击习惯识别，甚至DNA识别等多种生物识别技术。但相关市场上占有率最高的仍是指纹机和手形机，并且这两种识别方式也是目前技术发展中最成熟的。

18.简述数字签名的用途和基本流程

信息安全概论

以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可.

流程：首先生成被签名的电子文件，然后对电子文件用哈希算法做数字摘要在对数字摘要用签名私钥做对称加密，之后将以上签名和电子文件以及签名证书的公钥加在一起进行封装，形成签名结果发送给收方。

19.可信第三方有何作用

1.解决诚信交易问题

2.加快资金流通速度

3.降低支付成本

4.提高商品流通速度

5．提升支付安全

20.在不可否认的电子公文流转协议中，若遇到下面情形，如何处理 ①收文方在超时后，让然没有收到发文方的主密码 ②收文方验证的签证不吻合

21.SET能不能支持B to B的交易过程

能，企业与企业之间的业务模式被称作 B to B，电子商务B to B的内涵是企业通过内部信息系统平台和外部网站将面向上游的供应商的采购业务和下游代理商的销售业务都有机地联系在一起，从而降低彼此之间的交易成本，提高满意度。实际上面向企业间交易的B to B，无论在交易额和交易领域的覆盖上，其规模比起B to C来都更为可观，其对于电子商务发展的意义也更加深远。

22.IP Sec如何解决ip面临的安全威胁问题

IP Sec协议是通过在通信双方之间建立一条独立信道来实现安全通信，具体是通过IP Sec下的两个协议来实现：AH和ESP。

ESP是IP Sec协议的数据加密协议，封装在ESP协议的数据可以实现加密并在前面添加一个ESP协议报头。 AH是IP Sec协议的身份认证协议，可以帮助本地计算机识别远程计算机的身份是否合法。 AH和ESP都是可选的协议，即如果你只想加密，那么只需要选择ESP；如果你只想认证，那么只需要选择AH。

23.式设计一个用防火墙构造VPN的方案

根据安全规则对流量进行过滤。PC主动发起向INTERNET（以下简称NET）的和相应回来的所有流量予以放行，NET发起向PC的流量原则上拒绝所有，除非特殊需求，比如VPN。

防火墙关闭一些高危接口，如21,3389,23等等。

开启警报，在防火墙被攻击的时候能够第一时间被通知，因为任何防火墙只能缓解攻击，不能阻止攻击。

开启日志，比如哪些流量经过了防火墙，防火墙的操作记录。

本文来源：https://www.bwwdw.com/article/hkjj.html