免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2016年上半年 信息系统项目管理师 上午试卷 综合知识
  第17题      
  知识点:   信息安全技术基础   IP地址   网络接口
  关键词:   IP地址   服务器   攻击   接口   数据包   网络   数据        章/节:   信息系统安全技术       

 
IDS发现网络接口收到来自特定IP地址的大量无效的非正常生成的数据包,使服务器过于繁忙以至于不能应答请求,IDS会将本次攻击方式定义为(17)。
 
 
  A.  拒绝服务攻击
 
  B.  地址欺骗攻击
 
  C.  会话劫持
 
  D.  信号包探测程序攻击
 
 
 

 
  第17题    2009年下半年  
   41%
信息安全从社会层面来看,反映在 (17) 这三个方面。
  第5题    2008年下半年  
   41%
关于RSA 算法的叙述不正确的是(5) 。
  第3题    2009年上半年  
   51%
网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范Dos攻击是提高(2)的措施,数字签名是保证(3)的措施。
   知识点讲解    
   · 信息安全技术基础    · IP地址    · 网络接口
 
       信息安全技术基础
        密码技术
        密码技术是信息安全的根本,是建立安全空间认证、权限、完整、加密和不可否认5大要素所不可缺少的基石。
        1.术语
        明文:实际传输的数据,可以是任何类型的未加密数据。
        密文:经过加密的数据。
        加密:将普通信息(明文)利用数学算法转换成难以理解的资料(密文)的过程。
        解密:将密文通过算法转换回明文的过程。
        2.对称与不对称加密
        对称密钥算法是加密和解密都使用同一个密钥。
        常见的对称密钥算法有SDBI、IDEA、RC4、DES和3DES等:
        .SDBI:国家密码办公室批准的国内算法,仅硬件中存在。
        .IDEA:国际数据加密算法,明文和密文分组长度是64位,但是密钥长度是128位。
        .DES:明文和密文分组长度为64位,在加密变换过程中,64位密钥中包含了8位的奇偶校验位,所以实际密钥长度为56位。
        .3DES:三重DES,密钥长度为128位,实际为112位(含16位的奇偶校验位)。
        对称密钥算法的优点包括:
        .加/解密速度快。
        .密钥管理简单。
        .适宜一对一的信息加密传输过程。
        对称密钥算法的缺点包括:
        .加密算法简单,密钥长度有限(56位/128位),加密强度不高。
        .密钥分发困难,不适宜一对多的加密信息传输。
        非对称密钥算法是使用两个不同但相关的密钥来执行加密和解密。相关密钥对中用于加密的密钥称为“公钥”,用于解密的密钥称为“私钥”。
        常见的非对称密钥算法有RSA和ECC等。
        .RSA:即基于大数分解,是迄今为止在理论和实践上最为成熟完善的公钥密码算法。
        .ECC:即椭圆曲线,是为了进一步提高RSA算法的安全性提出来的。和RSA相比,ECC算法安全性高,密码体制更安全;密钥量小;算法灵活性好。
        非对称密钥算法的优点有:
        .加密算法复杂,密钥长度任意(1024位/2048位),加密强度很高。
        .适宜一对多的信息加密交换,尤其适宜因特网上信息加密交换。
        非对称密钥算法的缺点有:
        .加/解密速度慢。
        .密钥管理复杂。
        .明文攻击很脆弱,不适用于数据的加密传输。
        3.哈希算法
        哈希算法是将任意长度的信息块(信息类型任意)映射为固定长度的较小二进制值,这个二进制值称为哈希值。哈希值又叫做信息块的信息摘要。哈希算法产生的哈希值,不能用任何方法求得原来的信息块,而且即使原来的信息块有任意小的改变,新的哈希值却有特别大的不同。
        哈希算法在数字签名中可以解决验证签名和用户身份验证、不可抵赖性的问题。
        常见的哈希算法有SDH(国家密码办公室批准的哈希算法)、SHA和MD5等。
        信息摘要(MD)可以被看作是一份长文件的“数字指纹”。对于特定文件而言,信息摘要是唯一的。信息摘要可以被公开,它不会透露相应文件的任何内容。
        4.数据签名与验证
        对某个数据块的签名,就是先计算数据块的哈希值,然后使用私钥加密数据块的HASH值得到数据签名。
        签名的验证是计算数据块的哈希值,然后使用公钥解密数据签名得到另一个HASH值,比较两个HASH值可以判断数据块在签名后是否被改动,获得签名的验证。
        5.数字时间戳技术
        数字时间戳技术是数字签名技术的一个变种应用。数字时间戳服务(DTS)是网上电子商务安全服务项目之一,由专门的单位机构提供电子文件的日期和时间信息的安全保护。
        如果在签名时加上一个时间标记,就是有数字时间戳的数字签名。
        时间戳是一个经加密后形成的凭证文档,包括3个部分:
        .需要时间戳的文件的摘要。
        .DTS收到文件的日期和时间。
        .DTS的数字签名。
        时间戳产生的过程:用户首先将需要加时间戳的文件用HASH算法形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要时的日期时间信息后,再对该文件加密(数字签名),然后送回用户。
        6.利用不对称密钥传送对称密钥
        用不对称密钥加密算法来保护通信能很好地保护数据的安全性。但是由于它的加密和解密的速度都相当慢,因此事实上不对称密钥加密算法更多是用于对称加密密钥的传送。这种方法把不对称密钥加密算法和对称密钥加密算法的优点很好地整合在一起。用不对称密钥的加密算法来保护对称加密密钥的传送,保证了对称加密密钥的安全性。
        7.国家密码和安全产品管理
        我国实行密码分级管理制度,密码等级及适用范围如下:
        .商用密码:适用于国内企事业单位。
        .普用密码:适用于政府、党政部门。
        .绝密密码:适用于中央和机要部门。
        .军用密码:适用于军队。
        虚拟专用网(VPN)和虚拟本地网(VLAN)
        虚拟专用网(或虚拟个人网)和虚拟本地网是在共享的公共网络(通常是因特网)上建立一个临时的、安全的连接。
        VPN和VLAN是对企业内部网的扩展,可以帮助远程用户、公司分支单位机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
        目前有两种VPN,即IPSec VPN和MPLS VPN。与IPSec VPN相比,MPLS VPN有更好的安全性、可管理性、可靠性和可扩展性,支持QoS,非常适合于开展VPN业务。
        无线安全网络(WLAN)
        无线网络有两个主要的组成部件:基站(Station,STA)和网络桥接器(Access Point,AP)。
        WLAN的特色有:
        .安全性:相对于有线网络,可在如下方面提高安全性,包括尽量减少电波覆盖、基于802.1x的设备安全认证、基于128位的WEP加密、不同的数据经由不同的VLAN传输、在网络层建立VPN通道。
        .QoS支持:无线局域网的设备必须能够针对各种应用所对应的不同优先级传输需要,提供对应的服务质量保证。
        .可扩展性:现有基于802.11b的无线网可以提供11M带宽,可升级到支持802.11g或802.11a,而802.11g或802.11a可以提供54M带宽。
        WLAN的安全机制:
        .WEP(Wired Equivalent Protocol,连接对等协议)是802.1标准为建立无线网络安全环境提供的第一个安全机制。WEP不像IPSec一样提供网络安全,而是提供无线网的对等的保密级别,目标是通过加密无线电波来提供安全保证。
        .WPA是Wi-Fi联盟提出的最新无线局域网安全方案。它有两个主要内容:一个是替代WEP,设计更好的加密系统TKIP;另一个是基于802.1x标准的用户身份认证系统。WPA是802.11i解决方案完成前的一个过渡措施。
        .中国标准的WAPI是在IEEE802.11i的基础上发展起来的,完全满足国际标准并有所创新。
 
       IP地址
        Internet地址是按名字来描述的,这种地址表示方式易于理解和记忆。实际上,Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
        每个IP地址都由4个小于256的数字组成,数字之间用“.”分开。Internet的IP地址共有32位,4个字节。它表示时有两种格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式,十进制格式是由二进制格式“翻译”过去的,主要是为了便于使用和掌握。例如,十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同,显然表示成带点的十进制格式则方便得多。
        域名和IP地址是一一对应的,域名易于记忆,便于使用,因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络则会自动地将其转换成IP地址,找到该台计算机。
        Internet中的地址可分为5类:A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中,全0代表的是网络,全1代表的是广播。
        
        各类地址分配方案
        A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,共提供224-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
        B类网络地址占有2个字节,使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的2个字节(16位),所以B类全部的地址有(214-2)×(216-2)=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。
        C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持221-2个网络。主机地址占最后1个字节,每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。
        D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
        E类地址为实验保留,其识别头是1111。E类网络地址第一个字节的十进制值为240~255。
        网络软件和路由器使用子网掩码(Subnet Mask)来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内,1的出现表明一个字段包含所有或部分网络地址,0表明主机地址位置。例如,最常用的C类地址使用前三个8位来识别网络,最后一个8位识别主机。因此,子网掩码是255.255.255.0。
        子网地址掩码是相对特别的IP地址而言的,如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址,用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说,就是在写一个IP地址后,再指明哪些是网络号部分,哪些是主机号部分。子网掩码的格式与IP地址相同,所有对应网络号的部分用1填上,所有对应主机号的部分用0填上。
        A类、B类、C类IP地址类默认的子网掩码如下表所示。
        
        带点十进制符号表示的默认子网掩码
        如果需要将网络进行子网划分,此时子网掩码可能不同于以上默认的子网掩码。例如,138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络,对于网络138.96.39.0,其子网掩码应为255.255.255.0。
        例如,一个B类地址172.16.3.4,为了直观地告诉大家前16位是网络号,后16位是主机号,就可以附上子网掩码255.255.0.0(11111111111111110000000000000000)。
        假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14(至少占二进制的4位)个虚拟的网络,则需要占4位主机位,子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有212-2个主机,且各子网可具有相同的主机地址。
        假设一个组织有几个相对大的子网,每个子网包括了25台左右的计算机;而又有一些相对较小的子网,每个子网大概只有几台计算机。这种情况下,可以将一个C类地址分成6个子网(每个子网可以包含30台计算机),这样解决了很大的问题。但是出现了一个新的情况,那就是大的子网基本上完全利用了IP地址范围,但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题,避免任何的IP浪费,就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码(VLSM)。
        VLSM用一个十分直观的方法来表示,那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如,193.168.125.0/27就表示前27位表示网络号。
        例如,给定135.41.0.0/16的基于类的网络ID,所需的配置是为将来使用保留一半的地址,其余的生成15个子网,达到2000台主机。
        由于要为将来使用保留一半的地址,完成了135.41.0.0的基于类的网络ID的1-位子网化,生成两个子网135.41.0.0/17和135.41.128.0/17,子网135.41.128.0/17被选作为将来使用所保留的地址部分;135.41.0.0/17被继续生成子网。
        为达到划分2000台主机的15个子网的要求,需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网(135.41.128.0/21,135.41.136.0/21,…,135.41.240.0/21,135.41.248.0/21),允许每个子网有2046台主机。最初的15个子网化的网络ID(135.41.128.0/21~135.41.240.0/21)被选定为网络ID,从而实现了要求。
        现在的IP协议的版本号为4,所以也称之为IPv4,为了方便网络管理员阅读和理解,使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀,IPv4不论从地址空间上,还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6,它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址,彻底解决了地址缺乏的问题。
 
       网络接口
        网络接口的用途是将用户设备接入网络,网络接口通常以网络适配卡的形式出现。使用不同的传输介质和采用不同的访问介质控制方法时,要求使用不同类型的网络适配卡。目前,常用的网络适配卡包括以下几种。
        ◆以太网卡:支持总线方式,具有不同的速率和工作方式的接口,可以连接双绞线、同轴电缆和光纤。
        ◆ARCnet网卡:支持总线方式,具有不同的接口,可以连接双绞线、同轴电缆,常用于生产控制环境。
        ◆令牌环卡:支持环形结构,连接双绞线。
        ◆X.25卡:支持用户终端接入X.25网络,连接双绞线。
        ◆ATM适配卡:支持用户设备接入ATM网络,连接光纤。
        ◆FDDI适配卡:支持用户设备接入FDDI网络,连接光纤或者铜芯电缆。
   题号导航      2016年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第17题    在手机中做本题