计算机/网安 面试例题（九）

安全防御

00-企业内部安全

　　信息安全管理的本质就是输入和输出。一般防范的风险为物理威胁和网络威胁。

　　防范风险可以从制度和流程（人员入离职流程、权限申请流程）、人员配备和知识积累、风险防范（物理威胁：门禁、监控、禁止USB设备接入、封闭PC、定时巡检；网络威胁：部署行为管控设备、可靠的网络结构、IP和MAC地址绑定，将网络行为分组、限制不必要的软件和通信协议、定期审核日志）

01-说一下ISO27000

　　ISO27000是国际知名的信息安全管理体系标准，适用于整个企业，不仅仅是IT部门，还包括业务部门、财务、人事等部门。引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

02-等级保护制度

　　《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。

03-日志分析ELK的使用和分析

　　- Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

　　- Logstash是一个完全开源的工具，他可以对你的日志进行收集、过滤，并将其存储供以后使用（如，搜索）。

　　- Kibana也是开源和免费的工具，它Kibana可为Logstash和ElasticSearch提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。

　　参考：https://www.zhihu.com/question/21427267

04-常见的安全设备

- 防火墙 utm 负载均衡设备

- IPS IDS(HIDS基于主机型入侵检测系统)

- 堡垒机

- 蜜罐

- 网闸

- waf

- 扫描器

- soc(ossim开源安全信息管理系统)

其他问题

00-WEB常用的加密算法

• 非对称加密  RSA、ElGamal、Rabin
• 对称加密 DES、3DES、AES
• 散列算法 MD5 SHA base64

01-网络七层协议

从上到下

• 应用层（报文）：包含用户应用程序和协议；
• 表示层（报文）：主要解决用户信息的语法表示问题，如会话加密与数据压缩、语法表示与连接管理；
• 会话层（报文）：会话链接的恢复与释放、对会话进行分段，同步等
• 传输层（段）：提供端到端之间可靠透明的传输。分段与重组、差错控制及流量控制，保证数据传输的完整性和正确性；
• 网络层（分组）：路径的选择，网络连接的多路复用、差错的检测与恢复、排序与流量控制、服务选择；
• 数据链路层（帧）：把不可靠信道变为可靠信道，将比特组织成帧，在链路上提供点到点的帧传输，差错检测、流量控制等
• 物理层（比特流）：提供物理通路，二进制数据比特流传输、定义机械、电气特性和接口等。

各层使用的设备

　　网关：应用层、传输层（网关在传输层上以实现网络互连，是最复杂的网络互联设备，仅用于两个高层协议不同的网络互连。网关的结构和路由器相似，不同的是互连层，网关既可以用于广域网互连，也可以用于局域网互连）

　　路由器：网络层 （路由选择、存储转发）

　　交换机 ：数据链路层、网络层（识别数据中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中）

　　网桥： 数据链路层（将两个LAN连起来，根据MAC地址来转发帧）

　　集线器：物理层（纯硬件设备，主要用来连接计算机等网络终端）

　　中继器： 物理层（在比特级别对网络信号进行再生和重定向时，从而使得它们能够在网络上传输更长的距离）

02-https的建立过程

　https 的建立过程

　　a、客户端发送请求到服务器端 

　　b.服务器端返回证书和公开密钥，公开密钥作为证书的一部分而存在 

　　c.客户端验证证书和公开密钥的有效性，如果有效，则生成共享密钥并使用公开密钥加密发送到服务器端 

　　d.服务器端使用私有密钥解密数据，并使用收到的共享密钥加密数据，发送到客户端 

　　e.客户端使用共享密钥解密数据 

　　f.SSL加密建立 

03-HTTP Keep-Alive的作用

作用

　　Keep-Alive：使客户端到服务器端的连接持续有效，当出现对服务器的后继请求时，Keep-Alive功能避免了建立或者重新建立连接。Web服务器，基本上都支持HTTP Keep-Alive。

缺点

　　对于提供静态内容的网站来说，这个功能通常很有用。但是，对于负担较重的网站来说，虽然为客户保留打开的连 接有一定的好处，但它同样影响了性能，因为在处理暂停期间，本来可以释放的资源仍旧被占用。当Web服务器和应用服务器在同一台机器上运行时，Keep- Alive功能对资源利用的影响尤其突出。

解决

　　Keep-Alive: timeout=5, max=100

　　timeout：过期时间5秒（对应httpd.conf里的参数是：KeepAliveTimeout），max是最多一百次请求，强制断掉连接。就是在timeout时间内又有新的连接过来，同时max会自动减1，直到为0，强制断掉 

04-Https的工作原理

工作大致过程

1、客户端发起HTTPS请求

　　浏览器里面输入一个HTTPS网址，然后连接到服务端的443端口上。注意这个过程中客户端会发送一个密文族给服务端，密文族是浏览器所支持的加密算法的清单。

2、服务端配置

　　采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥，

　　可以这么理解，公钥就是一把锁头，私钥就是这把锁的钥匙，锁头可以给别人对某个东西进行加锁，但是加锁完毕之后，只有持有这把锁的钥匙才可以解锁看到加锁的内容。前面说过客户端会传送密文族给服务端，服务端则会从这些密文族中挑选出一个

3、传送证书

　　这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构、过期时间等等。

4、客户端解析证书

　　这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，如颁发机构、过期时间等等，如果发现异常则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值，然后用证书对该随机值进行加密。注意一下

　　上面提到的"发现异常"。证书中会包含数字签名，该数字签名是加密过的，是用颁发机构的私钥对本证书的公钥、名称及其他信息做hash散列加密而生成的。客户端浏览器会首先找到该证书的根证书颁发机构，如果有，则用该根证书的公钥解密服务器下发的证书，如果不能正常解密，则就是"发现异常"，说明该证书是伪造的。

5、传送加密信息

　　这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，然后客户端和服务端的通信就可以通过这个随机值来进行加密和解密了。

6、服务端解密信息

　　服务端用私钥解密后，得到了客户端传过来的随机值，至此一个非对称加密的过程结束，看到TLS利用非对称加密实现了身份认证和密钥协商。然后把内容通过该值进行对称加密。

7、传输加密后的信息

　　这部分是服务端用随机值加密后的信息，可以在客户端被还原。

8、客户端解密信息

　　客户端用之前生成的随机值解密服务端传送过来的信息，于是获取了解密后的内容，至此一个对称加密的过程结束，看到对称加密是用于对服务器待传送给客户端的数据进行加密用的。整个过程即使第三方监听了数据，也束手无策。

05-最近新出的漏洞

log4j漏洞

成因

　　Apache Log4j 是一个基于Java的日志记录工具  漏洞是因为Log4j2组件中 lookup功能的实现类 JndiLookup 的设计缺陷导致，这个类存在于log4j-core-xxx.jar中

受影响的版本

　　2.0-beta9 <= Apache Log4j <= 2.15.0-rc1

修复

　　设置jvm参数：-Dlog4j2.formatMsgNoLookups=true

　　设置系统环境变量：FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true

升级版本

　　官方，最新的版本仅支持java, ldap, 和 ldaps，同时默认禁用JNDI等等功能去限制利用构造payload去触发漏洞。

　　Java 8及之后的版本升级到v2.16.0。

　　Java 7升级到 v2.12.2。

　　其他版本，删除JndiLookup类：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

钉钉\向日葵 RCE漏洞

最新 apache漏洞