信息安全笔试题

1、指出以下服务所默认的端口号及全称

FTP：

Telnet：

POP3：

SMTP：

Windows终端服务：

2、HUB、Switch、Router在OSI模型中分别是第几层设备，各层的名称是什么？

HUB：

Switch：

Router：

3、在网络排错中，你经常会用到哪些操作命令，其作用？

ping,NETSTAT,IPCONFIG.arp,tracert,route.netstat,net

4、磁介质的报废处理，应采用那些措施处理？

5、信息系统的容灾方案通常要考虑的要点有那些？

A、保护 检测 响应

7、简要叙述等级保护工作的几个环节。  

8、什么是防火墙，解释防火墙的基本功能，及其局限性。

概念：为了保护计算机系统免受外来的攻击，在内网与Internet之间设置了一个安全网关，在保持内部网络与外部网络的连通性的同时，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

基本功能：

过滤进出网络的数据；

管理进出网络的访问行为；

封堵某些禁止的业务；

记录进出网络的信息和活动；

对网络的攻击进行将侧和报警。

局限性：

使用不便，认为防火墙给人虚假的安全感

对用户不完全透明，可能带来传输延迟、瓶颈及单点失效

无法防范通过防火墙以外途径的攻击；

不能防范来自内部用户的攻击；

不能防止传送已感染病毒的软件或文件；

无法防止数据驱动型的攻击。

9、什么是IDS，它有哪些基本功能？

入侵检测系统IDS，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。

1）监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作；

2）核查系统配置和漏洞并提示管理员修补漏洞；

3）评估系统关键资源和数据文件的完整性；

4）识别已知的攻击行为，统计分析异常行为；

5）操作系统日志管理，并识别违反安全策略的用户活动等。

10、IDS由哪些部分组成，各自的作用是什么？

事件产生器(Event Generators)

事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。是入侵检测的第一步，采集的内容包括系统日式、应用程序日志、系统调用、网络数据、用户行为、其它IDS信息。

事件分析器(Event analyzers)

事件分析器分析得到的数据，并产生分析结果。分析是入侵检测系统的核心。

响应单元(Response units)

响应单元则是对分析结果作出作出反应的功能单元，功能包括：告警和事件报告、终止进程强制用户退出、切断网络连接修改防火墙配置、灾难评估自动恢复、查找定位攻击者。

事件数据库(Event databases)

事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

11、什么是信息安全？

建立在网络基础上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。

12、信息安全有哪些常见的威胁？信息安全的实现有哪些主要技术措施？

答：常见威胁有非授权访问、信息泄露、破坏数据完整性，拒绝服务攻击，恶意代码。信息安全的实现可以通过物理安全技术，系统安全技术，网络安全技术，应用安全技术，数据加密技术，认证授权技术，访问控制技术，审计跟踪技术，防病毒技术，灾难恢复和备份技术

13、网络安全的五种属性，并解释其含义：

保密性：Confidentiality 保密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。

完整性：Integrity完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面：（1）数据完整性：数据没有被未授权篡改或者损坏；（2）系统完整性：系统未被非法操纵，按既定的目标运行。

可用性：Availability可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。

可靠性：是指系统在规定的条件下和规定的时间内，完成规定功能的概率。可靠性是网络安全最基本的要求之一。目前对于网络可靠性的研究主要偏重于硬件可靠性的研究，主要采用硬件冗余、提高研究质量和精确度等方法。实际上软件的可靠性、人员的可靠性和环境的可靠性在保证系统可靠性方面也是非常重要的。

不可抵赖性：信息还要求真实性，即个体身份的认证，适用于用户、进程、系统等；包括对等实体认证和数据源点认证；对等实体认证是指网络通信必须保证双方或是多方间身份的相互确认；数据源点（主机标识）认证是指在安全级别较高的网络通信中需要对数据源点进行认证，以阻止各种恶意行为。

14、简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象。

主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。

15、简述常见的黑客攻击过程。

1  目标探测和信息攫取

    先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。

1) 踩点（Footprinting）

    黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。

2) 扫描（Scanning）

在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。

3) 查点（Enumeration）

    从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。

2  获得访问权（Gaining Access）

    通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。

3  提升（Escalating Privilege）

    在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。

4  窃取（Stealing）

   对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。

5  掩盖踪迹（Covering Tracks）

    此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。

6  创建后门（Creating Bookdoor）

    在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得访问。