1. 简述网络安全体系结构
网络安全体系结构就是从管理和技术的角度保证网络的安全得以完整准确地实现,网络安全需求得以全面准确的满足。
以下有两种网络安全体系结构:OSI安全体系结构,P2DR模型。
OSI安全体系结构对不同的安全威胁提供不同的安全服务。并拥有不同安全程度上的安全机制去满足各种需求。根据各种安全服务和安全机制的组合满足OSI参考模型各个层的需要。
P2DR模型包含四个主要部分:安全策略,防护,检测,响应。防护、检测和响应组成了一个完整的、动态的安全循环。
2. 简述量子通讯与安全应用
量子通讯即量子保密通信, 利用量子态和量子纠缠效应进行信息或密钥传输的新型通讯方式,因其信息传递原理及其特性与传统信息传递有本质区别,量子通讯方式很难被监控及窃听,具有其他通讯方式不具备的安全性。
其中量子纠缠就是一对双胞胎量子,如果把它们分开,改变其中一个状态,忽略距离,另一个量子状态也会改变,从而实现信息的传输
防窃听的原因就是因为量子具有量子叠加态,换句话说是薛定谔的猫,一旦发现有人窃听,量子叠加状态立即消失,所以窃听者永远也得不到被加密的信息和密钥
安全应用:
a) 用于通信领域不仅提高速度也能保证数据传输安全性
b) 用于量子密码学,破解某些加密算法。
c) 但是当前量子通讯只是实验研究阶段,并没有投入市场大量使用。而量子通讯的安全 也面临着考验:
量子系统虽然传输原理决定其信息传递方式在理论上比其他的安全,但在典型的QKD量子传输系统实际应用中,因其光源,信道节点和接收机的不理想特性使其在实际应用中难以达到理论安全强度,存在较多可能被窃听的漏洞。
目前应用场景优先,前期投入偏高。高昂的建设成本。使得传统的通讯行业仍保持观望状态,投资态度谨慎且参与热情度较低。
3. 简述移动支付体系中涉及的安全问题与解决方法
涉及的问题
a) 移动设备丢失
b) 手机隐私泄露
c) 通信过程中信息被窃听
d) 支付所使用的的WIFI或局域网不安全
e) 随意更改支付金额,在未知情况下自动扣费。
f) 用户身份未认证。
解决方法:
a) 用户身份认证与支付确认机制
b) 加强通信网络信息安全:不要连接公共WiFi。
c) 移动支付系统与用户之间的通信采用端到端的安全模式。
d) 提高自我防范意识。
4. 概述网络攻击方式及防护措施
网络攻击方式分为被动攻击,主动攻击,邻近攻击,内部人员攻击以及分发攻击
l 被动攻击主要是收集信息而不是进行访问,数据的合法用户对此活动一点儿也不会察觉到,被动攻击包括嗅探,信息收集等攻击方法。
防护措施:主要使用密码技术进行防御。进行数据加密,而不是检测。
l 主动攻击方式是具有攻击破坏性的一种攻击行为,攻击者伪装,重放,篡改信息流,甚至造成DOS。试图通过改写或添加数据流,改变系统资源或影响系统操作。主要有修改传输中的数据,重放,会话拦截,拒绝服务等。
防护措施:除了采用访问控制,打开防火墙,还需要采用各种检测技术对源进行追踪,并利用法律手段对其进行还击。
l 邻近攻击:是指未授权者在物理上接近网络、系统或设备,从而修改,收集信息,或使系统拒绝访问。如修改数据或收集信息,系统干涉,物理破坏等。
防护措施:设置密码,提高物理环境的安全性,对数据库进行复杂加密等
l 内部人员攻击是指内部人员有计划的窃听或损坏信息或拒绝其他授权用户的访问,或者因为粗心缺乏技术知识或为了完成工作等无意间绕过安全策略但对系统产生了破坏行为的情况。
防护措施:可制定相应的安全策略防御内部人员攻击,提升内部人员安全意识,配置防火墙,使用网络内的数据包检查,控制内部人员USB设备使用。
l 分发攻击:是指在软件和硬件开发出来后和安装之前,当它从一个地方送到另一个地方时,攻击者恶意修改软硬件。
防护措施:我们应该养成不要从非官方渠道下载开发工具,下载软件之后进行Hash校验和比对的习惯。
网络防御有:操作系统安全配置,加密技术,防火墙技术,入侵检测技术
5. 试述防火墙的工作原理
防火墙工作原理:防火墙中的分组过滤路由器检查进出被保护网络的分组数据,按照系统管理员事先设置好的防火墙规则来与分组进行匹配,符合条件的分组就能通过,否则就会被丢弃。
防护墙能够过滤进、出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动以及对网络攻击的检测和告警。
6. 试述PKI的组成及作用
PKI全称公开密钥基础设施,PKI的组成主要包括:
a) 认证机构(CA)
是数字证书的签发机构,是PKI的核心,并且是PKI应用中权威的,可信任的,公正的第三方机构
b) 证书库
是从CA颁发证书和撤销证书的集中存放地,是网上的一种公共信息库,供广大公众进行开放式查询。
c) 证书作废处理系统
CA通过签发证书来为用户的身份和公钥进行捆绑,但因为种种原因,还必须存在一种机制来撤销这种捆绑关系,将现行的证书撤销
d) 密钥备份和恢复
为了避免解密密钥丢失带来的不便 ,PKI提供了此机制,它可由信任的CA来完成。值得强调的是,密钥备份与恢复只针对解密密钥,而签名密钥不能做备份。
e) PKI应用接口
PKI是为了让用户能够轻松使用加密等数字签名的安全服务,所以一个完整的PKI必须要有一个好的应用程序接口系统,使各种应用以安全统一可信的手段和PKI交互,促使安全网络环境是完整并易用的,同时减少管理维护成本。
7. 试述区块链技术的原理及应用
区块链是一个分布式账本,一种通过去中心化,去信任的方式集体维护的一个可靠数据库的技术方案。
区块链的技术原理:
所有者A利用他的私钥对前一次交易和下一位所有者B签署一个数字签名,并将这个签名附加到这枚货币的末端,制成交易单。
A将交易单通过P2P网络广播到全网,每个节点都会将收到的交易信息纳入一个区块。而该区块规定每隔十分钟打包一次,而每个节点都有机会通过求解一道关于考验算力和运气的SHA256加密算法去争夺记账权,从而获得创建新区块的权利,并能获得一定金额的比特币奖励(去中心化,去信任)
当一个节点找到解时,它就向全网广播该区块记录的所有盖时间戳的交易并由全网其他节点核对。
全网其他节点核对该区块记账的正确性,没有错误后将在这一区块后争夺下一区块的记账权,从而形成一个合法记账的区块链。
同一时间段内全网不止一个节点能计算出正确的随机数,主链就会形成分叉,此时在此之后,其余节点就会在两个分叉后面打包,而被认可的就是会形成较长子链的那一分支被保留,另一条被网络彻底抛弃。
每个区块由两部分组成:head,body。其中head中包括:版本号,上一区块的哈希散列, Merkle根(这是一个哈希树,一旦某个数据有变动,Merkle根就会改变),时间戳,难度值(target值),随机数(Nonce)。body存储交易信息。
区块链的安全在于:完全分布式:任意节点的损坏或失去都不影响整个系统的运作。
不可篡改:破坏区块链系统需要攻击全网51%以上的节点,当节点数目很多时基本不可能。
且每个区块头都包含上一区块的哈希散列而该区块的随机数计算也需要以上一区块哈希散列,Merkle,时间戳等为参数,所以基本不可能被修改。
完全透明:整个系统的运作规律,数据都是公开透明,可即时审计的。
应用:
ü 因区块链的安全和去中心化等优点最广为人知的就是用于数字货币。
ü 区块链也广泛应用于金融,医疗,通信行业。
ü 其余各个行业也通过记录物品的生命轨迹,构筑支撑多行业应用的供应链生态服务体系。
ü 区块链能成为一种市场工具,帮助社会削减平添成本,让中间机构成为过去。
ü 区块链能促进数据记录,数据传播及数据存储管理方式的转型。
ü 区块链技术有望将法律与经济融为一体,彻底颠覆原有社会的监管模式。组织形态会因其而发生改变,区块链也许最终会带领人们走向分布式自治的社会
8. 试述入侵检测技术的原理
入侵检测是用于检测任何损害或企图损害系统的保密性,完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态或活动,采用误用检测或异常检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
监视当前系统用户行为,通过从知识库形成的安全策略作为参考使用入侵检测分析引擎分析当前系统或用户行为是否为入侵行为,如果是就记录证据并进行相应处理,否则便进行数据提取。流程图如下图所示:
9. 试述操作系统的安全问题及解决方法:
威胁操作系统安全的因素:
设备部件故障
用户的误操作或不合理地使用了系统提供的命令造成对资源的不期望的处理
恶意用户设法获取非授权的资源访问权
恶意破坏系统资源或系统的正常运行
破坏资源的完整性与保密性
用户之间的相互干扰。
防护措施:
系统登陆要控制严格并具有良好的用户管理隔离控制。
内存管理的安全:多道程序的保护和标记保护法。
文件系统的保护:分组保护,许可证保护,指定保护等。
给系统安装补丁程序,关掉不必要的服务,卸载不需要的协议来增强我们的系统安全性。
安装并启动防火墙和杀毒软件等。定期更新木马病毒库。
10. 试述数据库安全面临的问题及解决方法
可能遇到的问题:
a) 物理和环境因素
b) 事务内部故障
c) 存储介质故障
d) 人为破坏
e) 病毒和黑客
f) 未经授权的数据读写与修改
g) 对数据的异常访问造成数据库系统故障
h) 数据库权限设置错误,造成数据的越权访问
解决方法
1) 做好数据库和数据的备份与恢复工作。
2) 在遵循信息安全总体目标的前提下,建立安全模型,构建体系结构,确定安全机制。
3) 谨慎用户授权,使用连续的用户权限管理来组织特权滥用。
4) 加强访问数据库的应用程序安全。
5) 打开数据库业务防火墙,为防止未经授权的数据访问提供重要的保护。
11. 结合自己的理解,大数据、云计算、人工智能、5G、移动互联网、卫星互联网、物联网等概念的关系与作用
大数据:是指以多元形式,从许多来源搜集而来的庞大数据组,往往具有实时性。通过对大数据的分析与处理能够获得数据之间的内部联系,从而总结出规律,这些规律有助于社会发展,经济发展。所以应用这些规律便能使人工智能的发展更加合理化和人性化。
而云计算:存储和处理物联网和互联网产生的大量数据。云计算的作用就是将海量数据集中存储和处理。大量数据海量上传到云上,不仅降低成本而且操作方便。
人工智能:就是在应用大数据的基础上,并根据分析结果并做出相应的反应和动作,例如无人驾驶,例如人工智能语音助手。
5G时代是一个全新的时代,5G的上网速度比4G快了至少100倍,这时,数据传输时间将不是问题,将会加快物联网,人工智能的发展。全息影像,4K观影,甚至虚拟现实都可能被实现。
移动互联网:继承了移动随时、随地、随身和互联网开放、分享、互动的优势,让互联网的使用更加方便。是一个全国性的、以宽带IP为技术核心的,可同时提供话音、传真、数据、图像、多媒体等高品质电信服务的新一代开放的电信基础网络,由运营商提供无线接入,互联网企业提供各种成熟的应用。为大数据云计算产生海量数据。
卫星互联网:卫星互联网即通过卫星为全球提供互联网接入服务。能够覆盖航空、航海、偏远山区航空、航海、偏远山区等地方。
物联网:是一个基于互联网,通过各种传感器,射频识别技术,全球定位系统,红外感应器等,实时采集和任何需要监控连接互动的物体或过程,采集各种环境数据,通过各类可能的网络接入,实现万物互联。
通过移动互联网、物联网,卫星互联网获取全方位多层次大数据,储存在云端,再根据云计算,作出行为,此过程就是人工智能。他们彼此依附相互助力,藕不断丝且相连!合力搭档在一起,组合拳出击才更有力量:给未来多一些可能,给未知多一些可能性,给不可能多一些可能!
12. 结合自己的理解,试述网络信息安全课程知识与其他课程知识的关联
网络信息安全这门课程涵盖信息面广,与各种课程都有关联。
比如,密码学与数学有关。需要学好高等数学,概率论对密码的破解与加密有很大的帮助。
同时也与汇编有关系,许多计算机病毒都是通过汇编的底层语言入侵计算机或进行传播的。学好汇编更有助于理解和破解以及防御计算机软件威胁。
通过学习计算机组成原理可以清楚的了解计算机的运行原理,组成结构以及每一部分所起的作用,这对于了解计算机病毒的原理有着非常大的作用,知道计算机病毒可能伤害哪一部分如何造成对我们的影响,就更有利于防范。
操作系统与网络信息安全也有很大的关系,毕竟操作系统的漏洞也会被攻击者利用,而且所有应用程序的执行环境都是在操作系统上,一旦操作系统有问题,整个系统都会崩溃。学习操作系统的原理及运行机制,文件管理机制,数据读取方式,磁盘存储等知识都是学习网络信息安全的基础。
无线网络与物联网技术课程也与网络信息安全有关,因为需要保证物联网的信息安全和个人隐私不被泄漏。
网络管理这门课程所讲述的关于网络的管理,解释了防火墙能够起到拦截坏消息的底层内容。通过判断接口上的数据实时监控每个接口状况。
最最有关系的就是计算机网络这门课程。众所周知,七层网络结构是学习网络信息安全的基础,了解了网络的运行机制,我们就能从各个层面的角度深入了解网络信息安全,并理解为何对待这种威胁要这么做,比如防火墙根据其特性和作用可能应用在应用层,网络层和传输层。
总之,网络信息安全与其他课程联系紧密,没有学习计算机网络,操作系统等课程贸然的学习网络信息安全容易浅入浅出。各个课程的联系都是密切的。