計算機網(wǎng)絡安全技術.doc

計算機網(wǎng)絡安全技術習題一：1-1 簡述計算機網(wǎng)絡安全的定義 答：從狹義角度：計算機網(wǎng)絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。從本質上來講就是系統(tǒng)上的信息安全； 從廣義角度：凡是涉及計算機網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網(wǎng)絡安全的研究領域。1-2 計算機網(wǎng)絡系統(tǒng)的脆弱性主要表現(xiàn)在哪幾個方面？試舉例說明。 答：網(wǎng)絡安全的脆弱性、計算機硬件系統(tǒng)的故障、軟件本身的“后門”、軟件的漏洞。 例子：有些軟件會捆綁另一些軟件安裝。1-9 計算機網(wǎng)絡安全的三個層次的具體內(nèi)容是什么？ 答：安全立法：計算機網(wǎng)絡安全及信息系統(tǒng)安全保護、國際聯(lián)網(wǎng)管理、商用密碼管理、計算機病毒防治、安全產(chǎn)品檢測與銷售； 安全技術：物理安全技術、網(wǎng)絡安全技術、信息安全技術； 安全管理：包括從人事資源管理到資產(chǎn)物業(yè)管理，從教育培訓、資格認證到人事考核鑒定制度，從動態(tài)運行機制到日常工作規(guī)范、崗位責任制度等多方面。習題二2-1簡述物理安全的定義、目的與內(nèi)容。答：定義:實體安全又叫物理安全，是保護計算機設備設施免遭地震、水災、火災、有害氣體和其他環(huán)境事故破壞的措施和過程。實體安全主要考慮的問題是環(huán)境、場地和設備的安全以及實體訪問控制和應急處理計劃等。實體安全技術主要是指對計算機及網(wǎng)絡系統(tǒng)的環(huán)境、場地、設備和人員等采取的安全技術措施。 目的：實體安全的目的是保護計算機、網(wǎng)絡服務器、交換機、路由器、打印機等硬件實體和通信設施免受自然災害、人為失誤、犯罪行為的破壞；確保系統(tǒng)有一個良好的電磁兼容工作環(huán)境；把有害的攻擊隔離。 內(nèi)容：實體安全的內(nèi)容主要包括：環(huán)境安全、電磁防護、物理隔離以及安全管理。2-2計算機房場地的安全要求有哪些？答：1、為保證物理安全，應對計算機及其網(wǎng)絡系統(tǒng)的實體訪問進行控制，即對內(nèi)部或外部人員出入工作場所進行限制。 2、計算機機房的設計應考慮減少無關人員進入機房的機會。3、所有進出計算機機房的人都必須通過管理人員控制的地點。2-3簡述機房的三度要求。答：溫度：機房溫度一般控制在1820，即（202）。溫度過低會導致硬盤無法啟動，過高會使元器件性能發(fā)生變化，耐壓降低，導致不能工作。濕度：機房內(nèi)的相對濕度一般控制在40%60%為好，即（5010）%。濕度控制與溫度控制最好都與空調(diào)聯(lián)系在一起，由空調(diào)系統(tǒng)集中控制。機房內(nèi)應安裝溫、濕度顯示儀，隨時觀察、監(jiān)測。潔凈度：清潔度要求機房塵埃顆粒直徑小于0.5m,平均每升空氣含塵量小于1萬顆。2-4機房內(nèi)應采取哪些防靜電措施？常用的電源保護裝置有哪些？答：防電措施：采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。 常用的電源保護裝置有金屬氧化物可變電阻、硅雪崩二極管、氣體放電管、濾波器、電壓調(diào)整變壓器和不間斷電源等。2-7簡述電磁干擾的分類及危害。答：電磁干擾的分類：傳導干擾、輻射干擾 危害：計算機電磁輻射的危害、外部電磁場對計算機正常工作的影響。2-9簡述物理隔離的安全要求。答：1、在物理傳導上使內(nèi)外網(wǎng)絡隔斷，確保外部網(wǎng)不能通過網(wǎng)絡連接而侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡連接泄露到外部網(wǎng)。2、在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄露到外部網(wǎng)。3、在物理儲存上隔斷兩個網(wǎng)絡環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡轉換時作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設備如磁帶機、硬盤燈存儲設備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲。2-10簡述物理隔離技術經(jīng)歷了哪三個階段？每個階段各有什么技術特點。答：徹底的物理隔離：物理隔離是一個數(shù)據(jù)安全裝置，一個基于PCI的硬件插卡，一般分為單網(wǎng)口隔離卡和雙網(wǎng)口隔離卡兩種。利用物理隔離卡、安全隔離計算機和隔離集線器所產(chǎn)生的網(wǎng)絡隔離，是徹底的物理隔離，兩個網(wǎng)絡之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡攻擊，它們適用于一臺終端需要分時訪問兩個不同的、物理隔離的網(wǎng)絡的應用環(huán)境。協(xié)議隔離：協(xié)議隔離通常指兩個網(wǎng)絡之間存在著直接的物理連接，但通過專用協(xié)議來連接兩個網(wǎng)絡。物理隔離網(wǎng)閘技術：物理隔離網(wǎng)閘技術使用帶有多種控制功能的固態(tài)開關讀寫介質，來連接兩個獨立主機系統(tǒng)的信息安全設備。習題三3-1簡要回答防火墻的定義和發(fā)展簡吏。答：定義：防火墻是位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間或兩個信任程度不同的網(wǎng)絡之間的軟件或硬件設備的組合，它對兩個網(wǎng)絡之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡的權限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達到保護系統(tǒng)安全的目的。 發(fā)展簡吏：第一代包過濾；二代電路層防火墻；三代應用層防火墻；四代動態(tài)包過濾；第五代自適應代理技術。3-2設置防火墻目的是什么？防火墻的功能和局限性各有哪些？答：目的：限制他人進入內(nèi)部網(wǎng)絡；過濾掉不安全的服務和非法用戶；防止入侵者接近用戶的防御設施；限定人們訪問特殊站點；為監(jiān)視局域網(wǎng)安全提供方便。功能：防火墻是網(wǎng)絡安全的屏障；防火墻可以強化網(wǎng)絡安全策略；對網(wǎng)絡存取和訪問進行監(jiān)控審計；防止內(nèi)部信息的外泄。局限性：防火墻防外不防內(nèi)；網(wǎng)絡應用受到結構性限制；防火墻難于管理和配置，易造成安全漏洞；效率較低、故障率高；很難為用戶在防火墻內(nèi)外提供一致的安全策略；防火墻只實現(xiàn)了粗粒度的訪問控制。3-3簡述防火墻的發(fā)展動態(tài)和趨勢。答：動態(tài)：優(yōu)良的性能；可擴展的結構和功能；簡化的安裝與管理；主動過濾；防病毒與防黑客。趨勢：未來防火墻技術會全面考慮網(wǎng)絡的安全、操作系統(tǒng)的安全、應用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。3-6防火墻的主要技術及實現(xiàn)的方式有哪些？答：主要技術：雙端口或三端口的結構；透明的訪問方式；靈活的代理系統(tǒng)；多級的過濾技術；網(wǎng)絡地址轉換技術；網(wǎng)絡狀態(tài)監(jiān)視器；Internet網(wǎng)關技術；安全服務器網(wǎng)絡（SSN）；用戶鑒定與加密；用戶定制服務；審計和告警。實現(xiàn)方式：應用網(wǎng)關代理；回路級代理服務器；代管服務器；IP通道（IP Tunnels）；隔離域名服務器；郵件轉發(fā)技術。3-7防火墻的常見體系結構有哪幾種？答：雙宿主機網(wǎng)關；屏蔽主機網(wǎng)關；被屏蔽子網(wǎng)。習題四4-1攻擊者常用的攻擊工具有哪些？答：DOS攻擊工具；木馬程序。4-3簡述網(wǎng)絡攻擊的步驟。畫出黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程。答：網(wǎng)絡攻擊的步驟：隱藏位置，網(wǎng)絡探測和資料收集；弱點挖掘；掌握控制權；隱藏行蹤；實施攻擊；開辟后門。1、用Ping查詢企業(yè)網(wǎng)站服務器的IP2、用IP Network Browser掃描企業(yè)內(nèi)部IP3、用PoreScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT4、用wwwhack入侵企業(yè)E-mail5、破解Intranet的賬號和口令6、用Legion掃描企業(yè)內(nèi)部局域網(wǎng)7、植入特洛伊木馬8、結束 4-4攻擊者隱藏自己的行蹤時通常采用哪些技術？答：連接隱藏；進程隱藏；篡改日志文件中的審計信息；改變系統(tǒng)時間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。4-5簡述網(wǎng)絡攻擊的防范措施。答：提高安全意識；使用能防病毒、防黑客的防火墻軟件；設置代理服務器，隱藏自己的IP地址；安裝過濾器路由器，防止IP欺騙；建立完善的訪問控制策略；采用加密技術；做好備份工作。4-6簡述網(wǎng)絡攻擊的處理對策。答：發(fā)現(xiàn)攻擊者；處理原則；發(fā)現(xiàn)攻擊者后的處理對策。習題五5-1簡述訪問控制的三個要素、七種策略。答：三要素：主體、客體、控制策略； 七種策略：入網(wǎng)訪問控制；網(wǎng)絡的權限控制；目錄級安全控制；屬性安全控制；網(wǎng)絡服務器安全控制；網(wǎng)絡監(jiān)測和鎖定控制；網(wǎng)絡端口和節(jié)點的安全控制。5-2簡述訪問控制的內(nèi)容。答：訪問控制包括認證、控制策略實現(xiàn)和審計三個方面的內(nèi)容。5-3簡述自主訪問控制模型、強制訪問控制模型、基于角色的訪問控制模型。答： 自主訪問控制模型：是根據(jù)自主訪問控制策略建立的一種模型，是基于訪問控制矩陣中列的自主訪問控制。 強制訪問控制模型：是一種多級訪問控制策略，主要特點是系統(tǒng)對主體和客體實行強制訪問控制。 基于角色的訪問控制模型：在基于角色訪問，不同的角色被賦予不同的訪問權限。系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。習題六6-2 RAID有哪幾種級別？各有何特點？答：級別：RAID0、RAID1、RAID10、和RAID5.特點: RAID0具有成本低、讀寫性能極高、存儲空間利用率高等特點；RAID1安全性高、技術簡單、管理方便、讀寫性能好，缺點是無法擴展，數(shù)據(jù)空間浪費大；RAID10讀寫性能出色、安全性高，但缺點是構建陣列的成本投入大，數(shù)據(jù)空間利用率低，不是經(jīng)濟高效的方案； RAID5具有數(shù)據(jù)安全、讀寫速度快、空間利用率高等優(yōu)點，缺點是寫操作較慢。6-3 分別說明DAS、NAS和SAN三種儲存技術的原理和特點。答：原理：DAS直接將存儲設備連接到服務器上； NAS是指在網(wǎng)絡服務器群的后端，采用光纖通道協(xié)議連接成高速專用網(wǎng)絡，使網(wǎng)絡服務器與多種存儲設備直接連接。 SAN將分布、獨立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機和應用服務器進行訪問技術。特點：DAS主要優(yōu)點是價格低廉、配置簡單、使用方便； NAS具有高性能、高擴展性，光纖連接距離遠，可連接多個磁盤陣列或磁帶庫組成存儲池，易于管理等優(yōu)點。SAN成本最低。6-4 簡述備份的方式、層次和類型。答：方式：完全備份、增量備份、差額備份；層次：軟件級、硬件級、人工級；類型：冷備份、熱備份和邏輯備份。習題七7-1簡述計算機病毒的定義、分類、特點及感染途徑。答：定 義：國外最流行的定義為：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼；在中華人民共和國計算機信息系統(tǒng)安全保護條例中定義為：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響使用并且能夠自我復制的一組計算機指令或程序代碼。分 類：按感染方式分為引導型、文件型和混合型病毒；按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒；按破壞性可分為良性病毒和惡性病毒；網(wǎng)絡病毒。特 點：刻意編寫，自我復制能力，奪取系統(tǒng)控制權，隱蔽性，潛伏性，不可預見性。感染途徑：電子郵件，外部介質，下載等三種途徑進入用戶的計算機。習題八8-1簡述數(shù)據(jù)庫系統(tǒng)的組成及各部分的功能。答：組成：數(shù)據(jù)庫系統(tǒng)由數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)兩部分組成。各部分功能：數(shù)據(jù)庫是按一定規(guī)則和方式存取數(shù)據(jù)的幾何體；數(shù)據(jù)庫管理系統(tǒng)（DBMS）的主要功能有：有正確的編譯功能，能正確執(zhí)行規(guī)定的操作；能正確執(zhí)行數(shù)據(jù)庫命令；能保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞，能維護和提交數(shù)據(jù)庫內(nèi)容；能識別用戶、分配授權和進行訪問控制，包括身份識別和驗證；順利執(zhí)行數(shù)據(jù)庫訪問，保證網(wǎng)絡通信功能。 8-2數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為哪三個層次？答：網(wǎng)絡系統(tǒng)層次；操作系統(tǒng)層次；數(shù)據(jù)庫管理系統(tǒng)層次。習題九9-1簡述對稱密鑰密碼體制、非對稱密鑰密碼體制的加密原理和各自的特點。答：對稱密鑰密碼體制：是從傳統(tǒng)的簡單換位發(fā)展而來的。主要特點是：加解密雙方在加解密過程中要使用完全相同或本質上等同的密鑰，即加密密鑰與解密密鑰是相同的。非對稱密鑰密碼體制：具有保密功能，還能克服密鑰發(fā)布的問題，并具有鑒別功能。9-5已知明文是“The ChangSha HuNan Computer College”，用列變位法加密后，密文是什么？答：t h e c h H a n g s H u n a n C o m p u T e r c oL l e g e密文是：Thhctlhauoelennmrecgapcghsnuoe 密鑰是5 習題十10-1名詞解釋：認證、身份認證、時間戳、零知識證明、消息認證、散列函數(shù)、數(shù)字簽名、DSS。答：認證：是證實實體身份的過程，對傳輸內(nèi)容進行審計、確認的過程，是保證計算機網(wǎng)絡系統(tǒng)安全的重要措施之一。身份認證：是計算機網(wǎng)絡系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。時間戳：基本思想是：A接受一個新消息當且僅當該消息包含一個時間戳，并且該時間戳在A看來是足夠接近A所知道的當前時間。零知識證明：零知識證明的思想是在不將知識的任何內(nèi)容泄露給驗證者的前提下，使用某種有效的數(shù)學方法證明自己擁有該知識。消息認證：就是驗證消息的完整性。散列函數(shù)：是典型的多到一的函數(shù)，其輸入一可變長x，輸出一固定長的串h，該串h被稱為輸入x的Hash值，記作：h=H(x)或MD=H(x)。數(shù)字簽名：就是用數(shù)字代替手工簽名，用來證明消息發(fā)送者的身份和消息的真實性。DSS：數(shù)字簽名標準（Disital Signature Standard，DSS）10-2簡述身份認證的作用、分類及身份認證系統(tǒng)的組成。答：作用：身份認證就是問了確保用戶身份的真是、合