60.IPSec中ESP和AH分别有什作用能否同时使用?
安全协议本质上是关于某种应用的一系列规定,在 OSI 不同的协议层上有不同协议。表现 在:
(1)应用层安全协议:
①安全 Shell (SHH),它通常替代 TELNET 协议、RSH 协议来使用。②SET,即安全电子交易 是电子商务中用于安全支付最典型的代表协议。
③S-HTTP,是一个非常完整的实现,但由于缺乏厂商支持,该协议现在已经几乎不在使用。
④PGP,主要用于安全邮件,其一大特点是源代码免费使用、完全公开。
⑤S/MIME,是在 MIME 规范中加入了获得安全性的一种方法, 提供了用户和论证方的形式 化定义,支持邮件的签名和加密。
(2)传输层安全协议:
①SSL,它工作在传输层,独立于上层应用,为应用提供一个安全的点-点通信隧道。
②PCT,与 SSL 有很多相似之处, 现在已经同 SSL 合并为 TLS,只是习惯上仍然把 TLS 称为 SSL 协议。
(3) 网络层安全协议:包括 IP 验证头(AH) 协议、IP 封装安全载荷协议(ESP)和 Internet
密钥管理协议(IKMP)。
61.应用网关防火墙是如何实现的?与包过滤防火墙比较有什么优缺点?
基于角色的访问控制是通过定义角色的权限,为系统中的主体分配角色来实现访问控制 的。用户先经认证后获得一定角色,该角色被分配了一定的权限,用户以特定角色访问系统 资源, 访问控制机制检查角色的权限,并决定是否允许访问。其特点为:
①提供了三种授权管理的控制途径:
a.改变客体的访问权限;
b.改变角色的访问权限;
c.改变主体所担任的角色。
②系统中所有角色的关系结构可以是层次化的,便于管理。
③具有较好的提供最小权利的能力, 从而提高了安全性。
④具有责任分离的能力。
62.简述信息安全的学科体系。
设进行解密的时间是 1 微妙,也就是 1 秒内能破译 100 万个密钥, 64 比特的密钥有 2 的 64 次方个穷举对象,一年有 365*24*60*60=31536000 秒,所以破译 64 比特密钥长度的 密码需要 584942 年, 同理,破译 128 比特密钥长度的密码需要 1169885 年, 破译 256 钥长度的密码需要 2339770 年。
63.说明密钥的分类和作用。
访问控制表是基于访问控制矩阵中列的自主访问控制, 它在一个客体上附加一个主体明晰 表, 来表示各个主体对这个客体的访问权限。而访问能力表是基于行的自主访问控制。访问能力表不能实现完备的自主访问控制,而访问控制表是可以实现的。
65.信息隐藏的方法主要有哪些?
由于许多安全漏洞是同操作系统紧密相关的,因此,检测系统类型对于攻击者具有很重 要的作用。攻击者可以先扫描一段网络地址空间, 搜集主机类型以及这些主机打开/关闭的 端口信息,然后先暂时把这些数据放在一边。当某一系统的新漏洞被发现后,攻击者就可以 在已经搜集到的情报中寻找相匹配的系统,从而实施攻击。检测系统类型主要有三种手段: 即利用系统旗标,利用 DNS 信息, 利用TCP/IP 堆栈指纹。
66.简述SSL协议建立安全连接的过程。
(1) ESP 作为基于 IPSec 的一种协议,可用于确保 IP 数据包的机密性、完整性以及对数据 源的身份验证, 也要负责抵抗重播攻击。 AH 也提供了数据完整性、数据源验证及抗重播攻 击的能力, 但不能以此保证数据的机密性,它只有一个头,而非头、尾皆有,AH 内的所有 字段都是一目了然的。
(2) IPSec 中 ESP 和 AH 不能同时使用。
67.异常检测和误用检测有何区别?
应用级网关型防火墙:应用级网关是在网络应用层上建立协议过滤和转发功能。它针对 特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的 分析、登记和统计, 形成报告。实际中的应用网关通常安装在专用工作站系统上。应用网关 对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数 据被窃取。在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应 的代理软件,使用时工作量大, 效率不如网络级防火墙。应用级网关有较好的访问控制,是 目前最安全的防火墙技术,但实现困难, 而且有的应用级网关缺乏"透明度"