SSL是由Netscape公司开发的一套Internet数据安全协议,目前已广泛适用于Web浏览器与服务器之间的身份认证和加密数据传输,它位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。
55、为什么要引进密钥管理技术?
(1)理论因素:通信双方在进行通信时,必须要解决两个问题:A.必须经常更新或改变密钥;B.如何能安全地更新或是改变密钥。
(2)人为因素:破解好的密文非常的困难,困难到即便是专业的密码分析员有时候也束手无策,但由于人员不慎可能造成密钥泄露、丢失等,人为的情况往往比加密系统的设计者所能够想象的还要复杂的多,所以需要有一个专门的机构和系统防止上述情形的发生。
(3)技术因素A.用户产生的密钥有可能是脆弱的;B.密钥是安全的,但是密钥保护有可能是失败的。
56、简述防火墙的功能和分类。
功能:
1)对内部网实现了集中的安全管理。
2)能防止非授权用户进入内部网络。
3)可以方便监视网络的安全并及时报警。
4)可以实现NAT
5)可以实现重点网段的分离。
6)所有访问都经过防火墙,因此它是审计和记录网络的访问和使用的理想位置。
分类:分为过滤型防火墙(静态包过滤防火墙、状态监测防火墙)、代理型防火墙(应用级网关防火墙、电路级网关防火墙)
57、如何通过协议分析实现入侵检测?
协议分析表明入侵检测系统的探头能真正理解各层协议是如何工作的,而且能分析协议的通信情况来寻找可疑或异常的行为。对于每个协议,分析不仅仅是建立在协议标准的基础上,而且建立在实际的实现上,因为许多协议事实上的实现与标准并不相同,所以特征应能反映现实状况。协议分析技术观察包括某协议的所有通信并对其进行验证,对不符合与其规则时进行报警。
58、双宿连接和屏蔽子网连接各有何优缺点?
双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。部署屏蔽子网防火墙系统有如下几个特别的好处:入侵者必须突破3个不同的设备(夫法探测)才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。
59、CC为什么支队安全保障进行分级,没有对安全功能分级?
等级划分的思想是,始终围绕着信息系统在主客体间访问过程中安全机制提供的不同安全功能和保障来进行。
60、TCSEC如何划分等级?
答:TCSEC采用等级评估的方法进行等级划分。
61、信息安全等级保护制度的特点
紧迫性;全面性;基础性;强制性;规范性
62、AES算法采用什么结构?与DES算法结构有何区别?
AES算法采用SP网络结构,轮变换是由三个不同的可逆一致变换组成,称之为层。不同层的选择建立在宽轨迹策略的应用基础上每层都有它自己的函数。这三层分别是线性混合层,非线性层和密钥加层。而DES采用的是Feistel网络结构,中间状态的部分比特不加改变简单转置到下一轮的其他位置。
63、信息安全的理论、技术和应用是什么关系如何体现?
信息安全理论为信息安全技术和应用提供理论依据。信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。信息安全应用是信息安全理论和技术的具体实践。它们之间的关系通过安全平台和安全管理来体现。安全理论的研究成果为建设安全平台提供理论依据。安全技术的研究成果直接为平台安全防护和检测提供技术依据。平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。这些管理措施作用于安全理论和技术的各个方面。
64、散列函数应该满足哪些性质?
(1)h能用于任何大小的数据分组,都能产生定长的输出
(2)对于任何给定的x,h(x)要相对容易计算
(3)对任何给定的散列码h,寻找x使得h(x)=h在计算上不可行(单向性)
(4)对任何给定的分组x,寻找不等于x的y,使得h(x)=h(y)在计算上不可行(弱抗冲突).
(5)寻找任何的(x,y)使得h(x)=h(y)在计算上不可行(强冲突).
65、为什么常用对称算法加密数据、用非对称算法分配密钥?
加密技术通常分为两大类:“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥,通常称之为“SessionKey”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的SessionKey长度为56Bits。非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。
66、IPSec中ESP和AH分别有什作用能否同时使用?
(1)ESP作为基于IPSec的一种协议,可用于确保IP数据包的机密性、完整性以及对数据源的身份验证,也要负责抵抗重播攻击。AH也提供了数据完整性、数据源验证及抗重播攻击的能力,但不能以此保证数据的机密性,它只有一个头,而非头、尾皆有,AH内的所有字段都是一目了然的。
(2)IPSec中ESP和AH不能同时使用。
67、编制测评报告活动包含哪几项内容?