免费智能真题库 > 历年试卷 > 软件设计师 > 2009年上半年 软件设计师 上午试卷 综合知识
  第7题      
  知识点:   网络安全   漏洞扫描
  关键词:   漏洞扫描   漏洞        章/节:   网络与信息安全知识       

 
下面关于漏洞扫描系统的叙述,错误的是(7)。
 
 
  A.  漏洞扫描系统是一种自动检测目标主机安全弱点的程序
 
  B.  黑客利用漏洞扫描系统可以发现目标主机的安全漏洞
 
  C.  漏洞扫描系统可以用于发现网络入侵者
 
  D.  漏洞扫描系统的实现依赖于系统漏洞库的完善
 
 
 

 
  第8题    2020年下半年  
   43%
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。计算机系统中,访..
  第64题    2021年下半年  
   25%
用户在电子商务网站上使用网上银行支付时,必须通过( )在Internet与 银行专用网之间进行数据交换。
  第1题    2017年下半年  
   31%
以下关于防火墙功能特性的叙述中,不正确的是( )。
   知识点讲解    
   · 网络安全    · 漏洞扫描
 
       网络安全
               网络安全概述
               计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
               (1)网络安全涉及的主要内容包括运行系统安全、信息系统安全、信息传播安全和信息内容安全。
               (2)信息系统对安全的基本需求有保密性、完整性、可用性、可控性和可核查性。
               (3)网络安全威胁类别有物理威胁、网络攻击、身份鉴别、编码威胁和系统漏洞。
               网络的信息安全
                      信息的存储安全
                      信息的存储安全包括以下内容。
                      (1)用户的标识与验证:限制访问系统的人员。
                      (2)用户存取权限限制:限制进入系统的用户所能做的操作。
                      (3)系统安全监控:建立一套安全监控系统,全面监控系统的活动。
                      (4)病毒防治:网络服务器必须加装网络病毒自动检测系统。
                      由于计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
                      ①经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
                      ②定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
                      ③使用高强度的口令。尽量选择难以猜测的口令,对不同的账号选用不同的口令。
                      ④经常备份重要数据,要做到每天坚持备份。
                      ⑤选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
                      ⑥可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
                      ⑦当计算机不使用时,不要接入因特网,一定要断掉连接。
                      ⑧重要的计算机系统和网络一定要严格与因特网物理隔离。
                      ⑨不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自熟人的邮件附件。
                      ⑩正确配置系统和使用病毒防治产品。正确配置系统,充分利用系统提供的安全机制,提高系统防范病毒的能力,减少病毒侵害事件。了解所选用防病毒产品的技术特点,正确配置以保护自身系统的安全。
                      (5)数据的加密:防止非法窃取或调用。
                      (6)计算机网络安全:通过采用安全防火墙系统、安全代理服务器、安全加密网关等实现网络信息安全的最外一层防线。
                      信息的传输安全
                      信息的传输加密是面向线路的加密措施,有以下3种。
                      (1)链路加密。只对两个节点之间的通信信道线路上所传输的信息进行加密保护。
                      (2)节点加密。加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换。
                      (3)端一端加密。为系统网络提供从信息源到目的地传送的数据的加密保护,可以是从主机到主机、终端到终端、终端到主机或到处理进程,或从数据的处理进程到处理进程,而不管数据在传送过程中经过了多少中间节点,数据均不会被解密。
               防火墙技术
               防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
                      防火墙的分类
                      通常可对防火墙进行以下分类。
                      (1)包过滤型防火墙。工作在网络层,对数据包的源IP及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。优点是:对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查;可以识别和丢弃带欺骗性源IP地址的包;是两个网络之间访问的唯一通道;通常被包含在路由器数据包中,不必用额外的系统来处理这个特征。缺点是:不能防范黑客攻击;不支持应用层协议;访问控制粒度太粗糙。
                      (2)应用代理网关防火墙。彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。优点是:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是:难以配置,处理速度慢。
                      (3)状态检测技术防火墙。结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
                      典型防火墙的体系结构
                      一个防火墙系统通常是由过滤路由器和代理服务器组成的。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机网关、被屏蔽子网等。
                      (1)包过滤路由器。又称屏蔽路由器,它是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。优点在于速度快,实现方便;缺点是安全性差,兼容性差,没有或只有较少的日志记录能力。
                      (2)双宿主主机。它是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。优点是:堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等,有利于网络管理员的日后检查。缺点是:由于内部网和外部网之间只有一道屏障,双宿主主机首先禁止网络层的路由功能,两个网络之间的通信通过应用代理层来完成,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙会变得无用,需要具有强大的身份认证系统,尽量减少防火墙上用户的账户数目,以免堡垒主机被攻破。
                      (3)被屏蔽主机网关。由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障。优点是安全等级较高,缺点是配置工作复杂。
                      (4)被屏蔽子网。由两个包过滤路由器和一个应用网关组成。优点是:入侵者必须突破3个不同的设备才能侵袭内部网络;由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对;内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet等。
 
       漏洞扫描
        漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
        入侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统存在的安全问题,并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。从对黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。所以漏洞扫描技术也是以与端口扫描技术同样的思路来开展扫描的。
        漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
               分类和实现方法
               基于网络系统漏洞库漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPEN Relay邮件转发漏洞探测等,这些扫描通过使用插件功能模块技术进行模拟攻击,测试出目标主机的漏洞信息。下面就这两种扫描的实现方法进行讨论。
               (1)漏洞库的匹配方法。基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础上构成相应的匹配规则,由扫描程序自动进行漏洞扫描工作。
               这样,漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。因此漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件,而且应当能满足前面所提出的性能要求。
               (2)插件功能模块技术。插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。插件编写规范化后,甚至用户自己都可以用Perl、C或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有很强的扩展性。
               存在的问题及解决
               现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描,但是这两种方法在不同程度上也各有不足之处。
               (1)系统配置规则库问题。网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂所在,而系统漏洞的确认是以系统配置规则库为基础的。但是这样的系统配置规则库存在其局限性:
               .如果规则库设计得不准确,预报的准确度就无从谈起;
               .它是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁却是来自未知的漏洞,这样如果规则库更新不及时,预报准确度也会逐渐降低;
               .受漏洞库覆盖范围的限制,部分系统漏洞也可能不会触发任何一个规则,从而不被检测到。
               解决建议:系统配置规则库应能不断地被扩充和修正,这样也是对系统漏洞库的扩充和修正,目前仍需要专家的指导和参与才能够实现。
               (2)漏洞库信息要求。漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如漏洞库信息不全面或得不到及时更新,不但不能发挥漏洞扫描的作用,还会给系统管理员以错误的引导,导致不能采取有效措施消除安全隐患。
               解决建议:漏洞库信息不但应具备完整性和有效性,也应具有简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的即时更新。比如漏洞库在设计时可以基于某种标准来建立,这样便于扫描者的(CVE)理解和信息交互,使漏洞库具有比较强的扩充性,更有利于以后对漏洞库的更新升级。
               (3)安全评估能力。有些扫描器如著名的ISS Internet Scanner,虽然扫描漏洞的功能强大,但只是简单地把各个扫描测试项的执行结果罗列出来,不能提供详细的描述和分析处理方案;而当前较成熟的扫描器虽然能对扫描出的漏洞进行整理,形成报表,并提供具体的描述和有效的解决方案,但仍缺乏对网络的状况有一个整体的评估,对网络安全也没有系统的解决方案。
               解决建议:未来的漏洞扫描器不但能扫描安全漏洞,所使用的漏洞扫描技术还应智能化,不但能提高扫描结果的准确性,而且应能协助网络系统管理员评估本网络的安全状况,并给出合适的安全建议。
   题号导航      2009年上半年 软件设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第7题    在手机中做本题