计算机网络安全技术.doc

1、计算机网络安全技术习题一：1-1 简述计算机网络安全的定义 答：从狭义角度：计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。从本质上来讲就是系统上的信息安全； 从广义角度：凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。12 计算机网络系统的脆弱性主要表现在哪几个方面？试举例说明。 答：网络安全的脆弱性、计算机硬件系统的故障、软件本身的“后门”、软件的漏洞。 例子:有些软件会捆绑另一些软件安装.19 计算机网络安全的三个层次的具体内容是什么？ 答：安全立法：计算机网络安全及信息系统安全保护、国际

2、联网管理、商用密码管理、计算机病毒防治、安全产品检测与销售； 安全技术:物理安全技术、网络安全技术、信息安全技术； 安全管理:包括从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制度等多方面。习题二21简述物理安全的定义、目的与内容.答：定义：实体安全又叫物理安全，是保护计算机设备设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全以及实体访问控制和应急处理计划等.实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。 目的：实体安全的目的是保护

3、计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏；确保系统有一个良好的电磁兼容工作环境；把有害的攻击隔离. 内容：实体安全的内容主要包括：环境安全、电磁防护、物理隔离以及安全管理。2-2计算机房场地的安全要求有哪些？答：1、为保证物理安全，应对计算机及其网络系统的实体访问进行控制，即对内部或外部人员出入工作场所进行限制。 2、计算机机房的设计应考虑减少无关人员进入机房的机会。3、所有进出计算机机房的人都必须通过管理人员控制的地点。2-3简述机房的三度要求。答:温度：机房温度一般控制在1820，即(202）.温度过低会导致硬盘无法启动,过高会使

4、元器件性能发生变化，耐压降低，导致不能工作.湿度:机房内的相对湿度一般控制在40%60%为好,即（5010）%。湿度控制与温度控制最好都与空调联系在一起，由空调系统集中控制。机房内应安装温、湿度显示仪，随时观察、监测。洁净度：清洁度要求机房尘埃颗粒直径小于0。5m,平均每升空气含尘量小于1万颗.2-4机房内应采取哪些防静电措施？常用的电源保护装置有哪些？答:防电措施:采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料. 常用的电源保护装置有金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和不间断电源等。27简述电磁干扰的分类及危害.答:电磁干扰的分类:传导干扰、

5、辐射干扰 危害：计算机电磁辐射的危害、外部电磁场对计算机正常工作的影响.29简述物理隔离的安全要求。答：1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄露到外部网.2、在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网。3、在物理储存上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘灯存储设备，内部网与外部网信息要分开存储。2-10简述物理隔离技术经历了哪三个阶段？每个阶段各有什么技术特点。答：彻底的物理

6、隔离：物理隔离是一个数据安全装置，一个基于PCI的硬件插卡，一般分为单网口隔离卡和双网口隔离卡两种。利用物理隔离卡、安全隔离计算机和隔离集线器所产生的网络隔离,是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击,它们适用于一台终端需要分时访问两个不同的、物理隔离的网络的应用环境。协议隔离：协议隔离通常指两个网络之间存在着直接的物理连接，但通过专用协议来连接两个网络。物理隔离网闸技术:物理隔离网闸技术使用带有多种控制功能的固态开关读写介质，来连接两个独立主机系统的信息安全设备。习题三31简要回答防火墙的定义和发展简吏.答：定义:防火墙是位于内部网络与外部网络之间或两个信任

7、程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的. 发展简吏：第一代包过滤；二代电路层防火墙；三代应用层防火墙；四代动态包过滤；第五代自适应代理技术。32设置防火墙目的是什么?防火墙的功能和局限性各有哪些?答:目的：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。功能：防火墙是网络安全的屏障；防火墙可以强化网络安全策略；对网络存取和访

8、问进行监控审计;防止内部信息的外泄.局限性：防火墙防外不防内；网络应用受到结构性限制;防火墙难于管理和配置，易造成安全漏洞；效率较低、故障率高；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制。3-3简述防火墙的发展动态和趋势。答：动态:优良的性能；可扩展的结构和功能；简化的安装与管理；主动过滤；防病毒与防黑客。趋势：未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面.3-6防火墙的主要技术及实现的方式有哪些？答:主要技术：双端口或三端口的结构；透明的访问方式；灵活的代理系统；多级的过滤技术；网络地址转换技术;网络状态监

9、视器；Internet网关技术；安全服务器网络（SSN)；用户鉴定与加密;用户定制服务；审计和告警。实现方式：应用网关代理；回路级代理服务器;代管服务器；IP通道（IP Tunnels)；隔离域名服务器;邮件转发技术。3-7防火墙的常见体系结构有哪几种?答：双宿主机网关；屏蔽主机网关；被屏蔽子网.习题四41攻击者常用的攻击工具有哪些？答：DOS攻击工具;木马程序.43简述网络攻击的步骤.画出黑客攻击企业内部局域网的典型流程。答:网络攻击的步骤：隐藏位置，网络探测和资料收集；弱点挖掘；掌握控制权；隐藏行踪；实施攻击;开辟后门。1、用Ping查询企业网站服务器的IP2、用IP Network Br

10、owser扫描企业内部IP3、用PoreScan扫描企业内部局域网PORT4、用wwwhack入侵企业E-mail5、破解Intranet的账号和口令6、用Legion扫描企业内部局域网7、植入特洛伊木马8、结束 4-4攻击者隐藏自己的行踪时通常采用哪些技术？答：连接隐藏;进程隐藏；篡改日志文件中的审计信息；改变系统时间，造成日志文件数据紊乱，以迷惑系统管理员。4-5简述网络攻击的防范措施。答：提高安全意识；使用能防病毒、防黑客的防火墙软件；设置代理服务器，隐藏自己的IP地址；安装过滤器路由器，防止IP欺骗;建立完善的访问控制策略；采用加密技术;做好备份工作.4-6简述网络攻击的处理对策。答：

11、发现攻击者；处理原则；发现攻击者后的处理对策.习题五51简述访问控制的三个要素、七种策略.答:三要素：主体、客体、控制策略； 七种策略：入网访问控制;网络的权限控制；目录级安全控制；属性安全控制；网络服务器安全控制；网络监测和锁定控制；网络端口和节点的安全控制.52简述访问控制的内容。答:访问控制包括认证、控制策略实现和审计三个方面的内容.53简述自主访问控制模型、强制访问控制模型、基于角色的访问控制模型.答： 自主访问控制模型：是根据自主访问控制策略建立的一种模型，是基于访问控制矩阵中列的自主访问控制。 强制访问控制模型:是一种多级访问控制策略，主要特点是系统对主体和客体实行强制访问控制。

12、基于角色的访问控制模型：在基于角色访问，不同的角色被赋予不同的访问权限。系统的访问控制机制只看到角色，而看不到用户。习题六6-2 RAID有哪几种级别？各有何特点？答：级别：RAID0、RAID1、RAID10、和RAID5.特点: RAID0具有成本低、读写性能极高、存储空间利用率高等特点;RAID1安全性高、技术简单、管理方便、读写性能好,缺点是无法扩展，数据空间浪费大;RAID10读写性能出色、安全性高，但缺点是构建阵列的成本投入大，数据空间利用率低，不是经济高效的方案; RAID5具有数据安全、读写速度快、空间利用率高等优点，缺点是写操作较慢。6-3 分别说明DAS、NAS和SAN三种

13、储存技术的原理和特点。答:原理：DAS直接将存储设备连接到服务器上； NAS是指在网络服务器群的后端,采用光纤通道协议连接成高速专用网络,使网络服务器与多种存储设备直接连接。 SAN将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问技术。特点:DAS主要优点是价格低廉、配置简单、使用方便； NAS具有高性能、高扩展性，光纤连接距离远，可连接多个磁盘阵列或磁带库组成存储池，易于管理等优点。SAN成本最低。64 简述备份的方式、层次和类型。答：方式：完全备份、增量备份、差额备份；层次:软件级、硬件级、人工级；类型：冷备份、热备份和逻辑备份。习题七7-1简述计算

14、机病毒的定义、分类、特点及感染途径。答:定 义：国外最流行的定义为：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码；在中华人民共和国计算机信息系统安全保护条例中定义为：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响使用并且能够自我复制的一组计算机指令或程序代码。分 类:按感染方式分为引导型、文件型和混合型病毒；按连接方式分为源码型、入侵型、操作系统型和外壳型病毒；按破坏性可分为良性病毒和恶性病毒；网络病毒。特 点：刻意编写，自我复制能力，夺取系统控制权，隐蔽性,潜伏性，不可预见性。感染途径:电子邮件,外部介质,下载等三种途径进入用户的计算机。习题八8-1简

15、述数据库系统的组成及各部分的功能。答:组成:数据库系统由数据库和数据库管理系统两部分组成。各部分功能：数据库是按一定规则和方式存取数据的几何体;数据库管理系统(DBMS）的主要功能有：有正确的编译功能,能正确执行规定的操作；能正确执行数据库命令;能保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容；能识别用户、分配授权和进行访问控制，包括身份识别和验证；顺利执行数据库访问，保证网络通信功能。 8-2数据库系统的安全框架可以划分为哪三个层次?答：网络系统层次；操作系统层次；数据库管理系统层次。习题九9-1简述对称密钥密码体制、非对称密钥密码体制的加密原理和各自的特点。答:

16、对称密钥密码体制：是从传统的简单换位发展而来的。主要特点是：加解密双方在加解密过程中要使用完全相同或本质上等同的密钥，即加密密钥与解密密钥是相同的.非对称密钥密码体制:具有保密功能，还能克服密钥发布的问题，并具有鉴别功能。95已知明文是“The ChangSha HuNan Computer College”，用列变位法加密后，密文是什么？答：t h e c h H a n g s H u n a n C o m p u T e r c oL l e g e密文是:Thhctlhauoelennmrecgapcghsnuoe 密钥是5 习题十101名词解释：认证、身份认证、时间戳、零知识证明、

17、消息认证、散列函数、数字签名、DSS。答：认证:是证实实体身份的过程，对传输内容进行审计、确认的过程,是保证计算机网络系统安全的重要措施之一。身份认证:是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。时间戳：基本思想是:A接受一个新消息当且仅当该消息包含一个时间戳,并且该时间戳在A看来是足够接近A所知道的当前时间。零知识证明:零知识证明的思想是在不将知识的任何内容泄露给验证者的前提下，使用某种有效的数学方法证明自己拥有该知识。消息认证:就是验证消息的完整性.散列函数：是典型的多到一的函数，其输入一可变长x，输出一固定长的串h，该串

18、h被称为输入x的Hash值,记作：h=H(x)或MD=H（x)。数字签名：就是用数字代替手工签名，用来证明消息发送者的身份和消息的真实性。DSS：数字签名标准(Disital Signature Standard,DSS）10-2简述身份认证的作用、分类及身份认证系统的组成.答：作用:身份认证就是问了确保用户身份的真是、合法和唯一。 分类：物理介质:计算机网络中通常采用三种方法验证用户身份,用户知道的，如密码和口令；用户所拥有或携带的物品；用户具有的独一无二的能力或特征。按身份证所应用的系统来分，有单机系统的身份认证和网络系统的身份认证。按身份认证的基本原理分类，从身份认证的基本原理上来分，身份认证可分为静态身份认证和动态身份认证。按身份认证所用的认证协议来分，认证协议可以分为双向认证协议和单向认证协议。按照认证协议所使用的密码技术来分，可以分为基于对称密钥密码体制的认证协议和基于公开密钥密码体制的认证协议。组成：主要由认证服务器、认证系统用户端软件、认证设备组成。