网安 - 图文

北航信息网络安全资料

第一章

1、掌握信息安全的四个目标 保密性 完整性 可用性 合法使用

2、信息系统中常见的威胁有哪些 授权侵犯 假冒攻击 旁路控制 特洛伊木马或陷门 媒体废弃物

3、安全攻击分几大类？有何区别？ 分为 被动攻击 和 主动攻击 被动攻击是对所传输的信息进行窃听和监测，主动攻击是指恶意篡改数据或伪造数据流等攻击行为，主动攻击对信息不仅进行窃听，还会篡改

4、掌握OSI的七层参考模型和Internet四层参考模型 OSI七层参考模型 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 Internet四层参考模型 数据链路层 网络层 传输层 应用层

5、熟记X.800标准中的5类安全服务和8种特定安全机制，并简述安全服务和安全机制之间的关系 5类安全服务 认证 访问控制 数据保密性 数据完整性 不可否认性 8种特定安全机制 加密 数字签名 访问控制 数据完整性 认证交换 流量填充 路由控制 公证 关系：安全服务通过安全机制来实现安全策略

6、能够画出网络安全参考模型和网络访问参考模型

第二、三章（不做重点要求）

1、必须知道IPv4及IPv6地址的格式及长度 IPv4 32位 192.168.0.1 IPv6 128位 2000:0000:0000:0000:0001:2345:6789:abcd（将这128位的地址按每16位划分为一个段，将每个段转换成十六进制数字，并用冒号隔开） 2、必须知道MAC地址的长度 48位,

3、必须熟记http/ftp/telnet/pop3/smtp/ssh/dns等常用通信协议的端口号及功能 http 80 用于传送Web数据 ftp 20、21 提供上传下载服务 telnet 23 远程登陆服务的标准协议 pop3 110 接收电子邮件 smtp 25 发送邮件 ssh 22 为远程登录会话和其他网络服务提供安全性的协议 dns 53 把域名转换成计算机能够识别的IP地址 4、为什么要进行网络地址转换（NAT）？ IP地址短缺

5、ARP协议的作用是什么？ 负责将局域网中的32b IP地址转换为对应的48b物理地

址，即网卡的MAC地址

6、为什么UDP比TCP协议更加容易遭到攻击？ 因为UDP没有交换握手信息和序号的过程 第四章

1、按照对明文消息的处理方式不同，单钥体质可分为 分组密码 和 流密码

2、DES的分组长度是64 位 密钥长度是56 位

3、AES的分组长度是 128 位 密钥长度是 128、192、256 位 4、分组密码算法都含有 扩散 和 混淆 两个过程 5、加密的安全性只取决于 密钥的保密 ，而算法可以 公开 6、加密轮数是否越多越好？密钥是否越长越好？ 不是 7、一条明文经过2个算法串联加密，是否一定更安全？ 不一定 8、分组密码的5种工作模式是什么？请画图说明 （1）电码本模式

（2）密码分组链接模式

（3）输出反馈模式

（4）密码反馈模式

（5）计数器模式

第五章

6、一个好的密钥应具备哪些特性？ （1）真正随即、等概率 （2）避免使用特定算法的若密钥 （3）满足一定的数学关系 （4）易记而难猜中（5）采用密钥揉搓或杂凑技术，将易记的长句子经单向杂凑函数变换成伪随机数串 7、软件加密和硬件加密有何区别？

任何加密算法都可以用软件实现，灵活、轻便，在主流操作系统上都有软件可以用，但速度慢，安全性有一定风险 硬件加密 加密速度快 硬件安全性好 硬件易于安装 第十一章

1、 无线网络面临哪些安全威胁？请写出5种以上 窃听 通信阻断 数据的注入和篡改 中间人攻击 客户端伪装 接入点伪装 匿名攻击 客户端对客户端的攻击 隐匿无线信道 服务区标识符的安全问题 漫游造成的问题 2、 GSM的主要安全缺陷有哪些？

（1）基站和基站之间没有设置任何加密措施，Kc和SRES在网络中以明文传输 （2）Ki 的长度是48b，用户截取RAND和SRES后很容易破译Ki，而Ki一般固定不变， 使SIM卡的复制成为可能 （3） 单向身份认证 （4） 缺乏数据完整性认证 （5） 存在跨区切换，在这个过程中，可能泄露用户的秘密信息 （6） 用户无法选择安全级别 3、 请简要描述GSM蜂窝系统的认证过程。为何挑战值是一个随机数而不能是常数？（画

图分析说明） （1） 基站产生一个128b的随机数或挑战值，并把它发给手机 （2） 手机使用A3算法和密钥Ki将RAND加密，产生一个32b的签名回应（SRES） （3） 同时，VLR也计算出SRES值 （4） 手机将SRES传输到基站，基站将其转发到VLR （5） VLR将收到的SRES值与算出的SRES值对照 （6） 如果SRES相符，认证成功 （7） 如果SRES不符，连接中止 挑战值是随机数可以防止强力攻击，一个128b的随机数意味着3.4*1038 种可能的组合，即使一个黑客知道A3算法，猜出有效的RAND/SRES的可能性也非常小

4、 为何3G系统比2.5G系统更安全？3G系统在提高安全性上作了哪些改进？ 2.5G系统采用的是单向认证，3G系统采用的是双向认证 （1）实现了用户与网络之间的相互认证 （2）建立了用户与网络之间的会话密钥 （3）保持了密钥的新鲜性 第十二章

1、 防火墙可以划分为哪三种基本类型？这三种防火墙各自工作于OSI模型的哪一层上？

包过滤防火墙 电路级网关防火墙 应用级网关防火墙

2、 在实际网络环境中，防火墙放置在何种位置？请画图说明（假设网络中还有路由器、IDS、 VPN、交换机等设备） 参考十三章-5

3、 防火墙一般有几个端口？ 3个 什么是DMZ区？它的作用是什么？ 被内外过滤器隔离出来的部分称为非军事区（DMZ） 作用提供中继服务，以补偿过滤器带来的影响 4、 简述包过滤防火墙和应用网关防火墙的区别 包过滤防火墙能对所有不同服务的数据流进行过滤，而应用级网关只能对特定服务的数据流进行过滤 包过滤器不需要了解数据流的细节，它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。应用级网关必须为特定的应用服务编写特定的代理程序。 5、 简述NAT路由器的工作原理（给图填地址）

第十三章

1、 IDS可以分为哪3种类型？它们各自用于何种场合？ （1） 基于网络的入侵检测系统（NIDS） 数据来源于网络上的数据流 （2） 基于主机的入侵检测系统（HIDS） 数据来源于主机系统 （3） 采用上述两种数据来源的分布式入侵检测系统（DIDS） 分别来源于主机系统和网络数据流

2、 一个IDS通常由哪几部分组成？ （1） 数据收集器 （2） 检测器 （3） 知识库 （4） 控制器

3、 NIDS一般放置于网络的何种位置？ 基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，可连续监视网段中的各种数据包，对每个数据包或可疑的数据包进行特征分析 4、HDIS一般放置于网络的何种位置？ HDIS安装在被保护主机上 5、请画出各类IDS在一个实际网络中的部署图。

6、 NIDS在功能结构上应至少包含哪4个功能模块？ （1） TCP会话重组模块 （2） 数据包捕获模块 （3） 内容分析模块 （4） 自动响应 第十四章

1、 根据访问方式的不同，VPN可以分哪2类？TSL VPN和IPSec VPN各自属于哪一类？ （1）远程访问VPN TLS VPN （2）网关-网关VPN IPSec VPN 2、 请比较TLS VPN和IPSec VPN的优缺点

TLS VPN优点： （1） TLS VPN无须安装客户端软件。IPSec VPN需要在每台计算机上配置安全策 略 （2） 适用于大多数设备 （3） 适用于大多数操作系统 （4） 支持网络驱动器访问 （5） 不需要对远程设备或网络做任何改变 （6） 较强的资源控制能力 （7） 费用低且具有良好的安全性 （8） 可以绕过防火墙和代理服务器进行访问，而IPSec VPN很难做到这一点 （9） TLS加密已经内嵌在浏览器中，无须增加额外的软件

TLS VPN缺点 （1） 认证方式比较单一，只能采用证书，一般是单向认证。IPSec VPN认证方式 灵活，可采用口令、令牌等认证方式 （2） 应用的局限大 （3） 只能对通信双方所使用的应用通道进行加密 （4） TLS VPN不能对应用层的消息进行数字签名 （5） LAN-to-LAN 的链接缺少理想的TLS解决方案 （6） TLS VPN的加密级别通常不如IPSec VPN高 （7） 不能保护UDP通道的安全 （8） TLS VPN是应用层加密，性能比较差。IPSec VPN性能要好很多 （9） TLS VPN只能进行认证和加密，不能实施访问控制。而IPSec VPN可以根据 用户的身份在其访问内部资源时进行访问控制和安全审计 （10） TLS VPN需要CA支持

3、请尽可能多地说出目前常用的隧道协议名称，并了解其基本用途。 （1）PPTP 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源 （2）L2F 可以

本文来源：https://www.bwwdw.com/article/z802.html