整理網(wǎng)絡(luò)安全與管理習(xí)題答案

1、精品文檔網(wǎng)絡(luò)安全與管理習(xí)題答案 習(xí)題1 一，簡答題1. 網(wǎng)絡(luò)安全的目標主要表現(xiàn)在哪些方面 答:網(wǎng)絡(luò)安全的目標主要表現(xiàn)在系統(tǒng)的可靠性，可用性，保密性,完整性, 不可抵賴性和可控性等方面.(1)可靠性.可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性.可靠性是系統(tǒng) 安全的最基于要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標.可靠性用 于保證在人為或者隨機性破壞下系統(tǒng)的安全程度.(2)可用性.可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性.可用性是網(wǎng)絡(luò) 信息系統(tǒng)面向用戶的安全性能.可用性應(yīng)滿足身份識別與確認，訪問控 制,業(yè)務(wù)流控制，路由選擇 控制,審計跟蹤等要求.(3)保密性

2、.保密性 是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶，實體或過程，或供其利用的特 性.即,防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的 特性.保密性主要通過信息 加密,身份認證,訪問控制，安全通信協(xié)議等 技術(shù)實現(xiàn)，它是在可靠性和可用性基礎(chǔ)之上，保 障網(wǎng)絡(luò)信息安全的重要手段.(4)完整性.完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性.即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除，修改,偽造, 亂序,重放,插入等破壞和丟失的特性.完整 性是一種面向信息的安全 性，它要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸.(5) 不可抵賴性.不可抵賴性也稱作不可否認性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交 互

3、過程中，確信 參與者的真實同一性.即,所有參與者都不可能否認或 抵賴曾經(jīng)完成的操作和承諾 . 利用信息 源證據(jù)可以防止發(fā)信方不真實 地否認已發(fā)送信息 , 利用遞交接收證據(jù)可以防止收信方事后否認 已經(jīng) 接收的信息 . (6) 可控性. 可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能 力的特性 . 安全模型的主要方面 .2. 簡述 PDRR 安全模型的主要方面 .答:PDRR是美國國防部提出的常見安全模型 .它概括了網(wǎng)絡(luò)安全的整 個環(huán)節(jié)，即保護(Protect),檢測(Detect),響應(yīng)(React)，恢復(fù) (Restore) . 這 4 個部分構(gòu)成了一個動態(tài)的 信息安全周期 . (1) 防護.防護是

4、 PDRR 模型的最重要的部分 . 防護是預(yù)先阻止攻擊可以發(fā)生的條 件產(chǎn)生 , 讓攻擊者無法順利地入侵 , 防護可以減少大多數(shù)的入侵事件 它包括缺陷掃描 ,訪問控制及防 火墻,數(shù)據(jù)加密,鑒別等. (2)檢測.檢測 是 PDRR 模型的第二個環(huán)節(jié) .通常采用入侵檢測系統(tǒng) (IDS) 來檢測系統(tǒng) 漏 洞和缺陷 , 增加系統(tǒng)的安全性能 , 從而消除攻擊和入侵的條件 . 檢測 根據(jù)入侵事件的特征進行 . (3) 響應(yīng). 響應(yīng)是 PDRR 模型中的第三個環(huán)節(jié) .響應(yīng)就是已知一個入侵事件發(fā)生之后 , 進行 的處理過程 . 通過入侵事件 的報警進行響應(yīng)通告 , 從而采取一定的措施來實現(xiàn)安全系統(tǒng)的補救 過 程

5、. (4) 恢復(fù).恢復(fù)是 PDRR 模型中的最后一個環(huán)節(jié) . 恢復(fù)指的是事件發(fā) 生后, 進行初始化恢復(fù) 的過程.通常用戶通過系統(tǒng)的備份和還原來進行 恢復(fù), 然后安全系統(tǒng)對應(yīng)的補丁程序 , 實現(xiàn)安 全漏洞的修復(fù)等 . 安全模 型的主要方面 .3. 簡述 PPDR 安全模型的主要方面 .答:PPDR是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司提出的可適應(yīng)網(wǎng)絡(luò)安全模型響應(yīng)它包括策略 (Policy) , 保護 (Protection) , 檢測 (Detection) , (Response)4個部分.(1)策略.PPDR安全模型的核心是安全策略，所有 的防護,檢測,響應(yīng)都是依據(jù)安全策略 實施的 ,安全策略為安全管

6、理提 供管理方向和支持手段 . 策略體系的建立包括安全策略的制訂 , 評估 , 執(zhí)行等. (2) 保護.保護就是采用一切手段保護信息系統(tǒng)的保密性 ,完整 性,可用性,可控性和不 可否認性 .應(yīng)該依據(jù)不同等級的系統(tǒng)安全要求 來完善系統(tǒng)的安全功能 ,安全機制.保護通常采 用身份認證 ,防火墻,客 戶端軟件 , 加密等傳統(tǒng)的靜態(tài)的安全技術(shù)來實現(xiàn) .(3) 檢測. 檢測是 PPDR 模型中非常重要的環(huán)節(jié) , 檢測是進行動態(tài)響應(yīng)和動態(tài)保護的依據(jù) , 同時 強制網(wǎng)絡(luò)落實安全策略 , 檢測設(shè)備不間斷地檢測 , 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) , 及時 發(fā)現(xiàn)網(wǎng)絡(luò)中新的 威脅和存在的弱點 , 通過循環(huán)的反饋來及時做出有效 的響

7、應(yīng) . 網(wǎng)絡(luò)的安全風(fēng)險是實時存在的 , 檢測的對象主要針對系統(tǒng)自身 的脆弱性及外部威脅 . (4) 響應(yīng). 響應(yīng)在 PPDR 安全系統(tǒng)中占有最重要的 位置, 它是解決潛在安全問題最有效的方 法. 響應(yīng)指的是在系統(tǒng)檢測到 安全漏洞后做出的處理方法 . 安全標準的主要內(nèi)容 .4. 簡述 TCSEC 安全標準的主要內(nèi)容 .答: 美國國防部的可信計算機系統(tǒng)評價準則是計算機信息安全評估的第 一個正式標準 , 具 有劃時代的意義 . 該準則于 1970 年由美國國防科學(xué) 委員會提出 , 并于 1985 年 12 月由美國國防 部公布 .TCSEC 將安全分 為 4 個方面 : 安全政策 , 可說明性 ,

8、安全保障和文檔 . 該標準將以上 4 個方面分為 7 個安全級別, 按安全程度從最低到最高依次是D,C1,C2,B1,B2,B3,A1. (1)D級.D級是最低的安全級別,擁有這個級別的操作系統(tǒng)是完全不可信任的 .由于系統(tǒng) 對用戶沒有任何訪問限制 , 用 戶不需登記或使用密碼即可登錄 , 所以硬件0操作系統(tǒng)都容易受 到損 害.屬于這個級別的操作系統(tǒng)有 DOS,Windows 3.x等.(2)C 級.C1是C類的一個安全子級.C1又稱選擇性安全保護(DiscretionarySecurity Protection) 系統(tǒng) , 它描述了一個典型的用在 UNIX 系統(tǒng)上的 安全級別 . 該級別的系統(tǒng)

9、對硬件有 某種程度的保護 , 如硬件帶鎖裝置和 需要鑰匙才能使用計算機等 , 用戶必須通過登錄認證方可 使用系統(tǒng) , 另.C2外,C1系統(tǒng)允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限 級比 C1 級 增加了幾個特性引進了受控訪問環(huán)境 , 進一步限制用 戶執(zhí)行某些指令或訪問某些文件 ; 引 進了系統(tǒng)審核 , 跟蹤所有的安全事 件, 如是否成功登錄 , 系統(tǒng)管理員修改用戶權(quán)限或密碼等 . 能夠達到 C2 級別的常見操作系統(tǒng)有 UNIX 系統(tǒng) , Novell 3.X 或者更高版本W(wǎng)indows NT, Windows 2000 禾0 Windows 2003 等.(3)B 級.B 級中有 三個級

10、別 ,B1 級即標志安全保護 (Labeled Security Protection) , 支持多級安全 ,對網(wǎng)絡(luò),應(yīng)用程序0工作站等實施不同的安全策略 .這種 安全級別的計算機系 統(tǒng)一般在政府機構(gòu)中 , 比如國防部0國家安全局 的計算機系統(tǒng) . B2 級即結(jié)構(gòu)保護級 (Structured Protection), 它要求 計算機系統(tǒng)中所有的對象都要加上標簽 , 而且給設(shè)備 (如工作站 ,終端0磁盤驅(qū)動器 ) 分配單個或者多個安全級別 . 如用戶可以訪問某 公司的 工作站 , 但不允許訪問含有員工工資信息的磁盤驅(qū)動器 . B3 級即安全域 級別 (Security Domain), 該級別

11、也要求用戶通過一條可信任途徑連接到系統(tǒng)上.同時,要求必須采用硬件來保護系統(tǒng)的數(shù)據(jù)存儲區(qū).(4)A級.A精品文檔級即驗證設(shè)計級別 (Verified Design) , 是當(dāng)前橙皮書的最高級別 , 該級別包 含了較低級別的所有的安全特性 , 還附加了一個嚴格的設(shè)計 , 控制和驗證過程 .設(shè)計必須從數(shù) 學(xué)角度上進行驗證 , 而且必須進行秘密通道和可信任分布分析 .5. 簡述我國網(wǎng)絡(luò)安全安全標準的主要內(nèi)容答:我國的安全標準將信息系統(tǒng)安全分為5 個等級 ,分別是 :自主保護級, 系統(tǒng)審計保護 級, 安全標記保護級 ,結(jié)構(gòu)化保護級和訪問驗證保護級.主要的安全考核指標有身份認證 ,自 主訪問控制 ,數(shù)據(jù)完

12、整性,審計,隱蔽信道分析 ,客體重用,強制訪問控制 ,安全標記,可信 路徑和可信恢復(fù)等, 這些指標涵蓋了不同級別的安全要求 . (1) 用戶自主保護級 .本級的安全保護機制可以使用戶具備自主安全保護的能力 . 它具有多 種形式的控制能力 ,對用戶實施訪問控制 , 即為用戶提供可行的手段 , 保護用戶和用戶組信息 , 避免其他用戶對數(shù)據(jù)的非法讀寫與破壞 . (2) 系統(tǒng)審計保護級 .與用戶自主保護級相比 , 本級的安全保護機制實施了更細的自主訪問 控制, 它通過登錄規(guī)程 ,審計安全性相關(guān)事件和隔離資源 , 使用戶對自己的行為負責(zé) . (3) 安全標記保護級 . 本級的安全保護機制具有系統(tǒng)審計保護

13、級的所有功能 .此外,還需提 供有關(guān)安全策略模型 , 數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述 , 具有準確地標 記輸出信息的能力 ;消除通過測試發(fā)現(xiàn)的任何錯誤 . (4) 結(jié)構(gòu)化保護級 . 本級的安全保護機制建立于一個明確定義的形式化安全策略模型之上,它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體.本級的安全保護機制必 須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素,其中, 關(guān)鍵部分直接控制訪問者對訪問對象 (主 體對客體 )的存取. 另外, 本級具有相當(dāng)?shù)目節(jié)B透能力 . (5) 訪問驗證保護級 . 本級的安全保護機制 具備結(jié)構(gòu)化保護級的全部功能 ,它特別增設(shè)了訪 問驗證功能

14、,負責(zé)仲裁 主體對客體的全部訪問活動 .在其構(gòu)造時 , 排除那些對實施安全策略來 說并非必要的代碼 ; 在設(shè)計和現(xiàn)實時 ,從系統(tǒng)工程角度將其復(fù)雜性降低 到最小程度 .另外, 本 級具有非常強的抗?jié)B透能力 .習(xí)題 2 1.IEEE 802 委員會提出的局域網(wǎng)體系結(jié)構(gòu)是什么 ?答:IEEE 802委員會提出的局域網(wǎng)體系結(jié)構(gòu)包括物理層和數(shù)據(jù)鏈路層 (1) 物理層 . 物理層用來建立物理連接是必須的 . 物理層的主要功能有 : 信號的編碼與譯 碼 , 進行同步用的前同步碼的產(chǎn)生與去除 , 比特的傳輸 與接收 .物理層也要實現(xiàn)電氣 , 機械, 功能和規(guī)程四大特性的匹配 . 物理基帶的信層提供的發(fā)送和接收

15、信號的能力包括對寬帶的頻帶分配和對 號調(diào)制 . (2) 數(shù)據(jù)鏈路層 . 數(shù)據(jù)鏈路層把數(shù)據(jù)轉(zhuǎn)換成幀來傳輸 , 并實現(xiàn)幀 的順序控制 ,差錯控制及 流量控制等功能 , 使不可靠的鏈路變成可靠的 鏈路，也是必要的.數(shù)據(jù)鏈路層分為MAC子層和LLC子層.MAC子層的 主要功能為將上層交下來的數(shù)據(jù)封裝成幀進行發(fā)送 , 接收時進行相反的 過程: 首先將幀拆卸 ,然后實現(xiàn)和維護 MAC 協(xié)議,接著進行比特差錯控 制, 最后尋址 .MAC 子層支持 數(shù)據(jù)鏈路功能 , 并為 LLC 子層提供服務(wù) .LLC 子層向高層提供一個或多個邏輯接口 ( 具有幀發(fā)和幀收功能 ) .LLC 子層的主要功能是 建立和釋放數(shù)據(jù)鏈

16、路層的邏輯連接 , 提供與高層的 接口, 差錯控制 , 給幀加上序號 . 局域網(wǎng)對 LLC 子層是透明的 .2. 常見的三種備份策略是什么 ?答：(1)完全備份.完全備份(Full Backup)指的是每次對所有系統(tǒng)數(shù)據(jù)備 份. 由于每次是對 系統(tǒng)進行完全備份 , 在備份數(shù)據(jù)中有大量內(nèi)容是重復(fù) 的,這些重復(fù)數(shù)據(jù)占用了大量的磁盤空間 , 并且需要備份的數(shù)據(jù)量相當(dāng) 大,備份所需時間也就較長 .完全備份的優(yōu)點是 ,當(dāng)發(fā)生數(shù)據(jù)丟失 的災(zāi) 難時 , 只要用備份盤就可以恢復(fù)丟失的數(shù)據(jù) . (2) 增量備份 . 增量備份(IncrementalBackup)指的是將系統(tǒng)的備份點進行設(shè)置，當(dāng)下一次 進行 系統(tǒng)

17、備份的時候只存儲系統(tǒng)里面增加的信息點 . 該備份的優(yōu)點是沒有重 復(fù)的備份數(shù)據(jù) , 節(jié) 省磁盤空間 , 縮短備份時間 . 缺點是在發(fā)生災(zāi)難時 , 恢 復(fù)數(shù)據(jù)比較麻煩 . 由于各個備份點的相 互關(guān)系像鏈子一樣 , 所以任何一 個出現(xiàn)問題就可能導(dǎo)致系統(tǒng)恢復(fù)不能正常進行 . (3) 差分備份 . 差分備份 (Differential Backup) 指的是先進行一次系統(tǒng)完全備份 , 以后 數(shù)據(jù)的 備份都是選擇和當(dāng)前系統(tǒng)不同的部分 , 將不同的信息點記錄下來 . 恢復(fù) 的時候,只要使 用系統(tǒng)全備份的磁盤與發(fā)生災(zāi)難前一天的備份磁盤 ,就 可以將系統(tǒng)完全恢復(fù) . 差分備份策略在 避免了以上兩種策略的缺陷的

18、同時, 又具有了它們的所有優(yōu)點 . 首先, 它無須每天都對系統(tǒng)做 完全備 份, 因此備份所需時間短 , 節(jié)省磁盤空間 ;其次, 災(zāi)難恢復(fù)比較方便 .3. 常見的三種存儲和歸檔技術(shù)分別是什么答: 常見的三種存儲和歸檔技術(shù)分別是網(wǎng)絡(luò)附加存儲, 直連式存儲和存 儲網(wǎng)絡(luò)三種方式 . (1) 直連方式存儲是最先被采用的網(wǎng)絡(luò)存儲系統(tǒng) .在DAS 存儲體系結(jié)構(gòu)中 ,為避免出現(xiàn)單點 錯誤,通常采用多個服務(wù)器共享 一個存儲系統(tǒng) . (2) 網(wǎng)絡(luò)附加存儲是一種專業(yè)的網(wǎng)絡(luò)文件存儲及文件備份解決方案 .它是基于局域網(wǎng)設(shè)計 , 按照 TCP/IP 協(xié)議進行通信 , 以文 件輸入 / 輸出方式進行數(shù)據(jù)傳輸 .NAS 系統(tǒng)

19、包括處理器 , 文件 服務(wù)管理 模塊和多個用于數(shù)據(jù)存儲的硬盤驅(qū)動器 . 它可以應(yīng)用在任何網(wǎng)絡(luò)環(huán)境當(dāng) 中.主服務(wù)器 和客戶端可以非常方便地在 NAS 上存取任意格式的文件 , 包括 SMB 格式 ,NFS 格式和 CIFS 格式 等. (3) 存儲區(qū)域網(wǎng)絡(luò)是一種通 過光纖集線器 , 光纖路由器 , 光纖交換機等連接設(shè)備將磁盤陣列等存儲 設(shè)備與相關(guān)服務(wù)器連接起來的高速專用子網(wǎng) .SAN 提供了一種與現(xiàn)有LAN 連接的簡易方 法, 允許企業(yè)獨立地增加它們的存儲容量 , 并使網(wǎng)絡(luò) 性能不至于受到數(shù)據(jù)訪問的影響 ,SAN 是 目前人們公認的最具有發(fā)展 潛力的存儲技術(shù)方案 .4. 什么是VLAN?它有什么

20、特點？ 答:虛擬局域網(wǎng)即VLAN,它是一種將局域網(wǎng)設(shè)備從邏輯上劃分網(wǎng)段的技 術(shù).VLAN在父換局 域網(wǎng)的基礎(chǔ)上,米用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不 同網(wǎng)段,不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò) . 一個 VLAN 組成一個邏輯子網(wǎng) , 即一個邏輯廣播域 , 它可以覆蓋多個網(wǎng)絡(luò)設(shè)備 , 允許處于不同 地理位置 的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中 . VLAN 從邏輯上把實際網(wǎng)絡(luò)劃分成不同的廣播域 , VLAN 從而有效地控制廣播風(fēng)暴的發(fā)生 , 提高了網(wǎng)絡(luò)的安全性 , 有效地控制了網(wǎng)絡(luò)的廣播范圍. 內(nèi)的各個工作站不限制地理范圍, 并且可以工作在不同的物理網(wǎng)段 .借助 VLAN 技術(shù),能將不 同地 點, 不同網(wǎng)絡(luò) ,

21、 不同用戶組合在一起 , 形成一個虛擬的網(wǎng)絡(luò)環(huán)境 , 就像使 用本地 LAN 一樣 方便靈活 .習(xí)題 3一, 簡答題1. 簡述 IP 安全體系結(jié)構(gòu) .答:IP Sec已成為IP安全體系結(jié)構(gòu)的標準.完整的IP Sec安全體系結(jié) 構(gòu)由體系結(jié)構(gòu) ,封裝 安全有效載荷 (ESP) , 鑒別首部 ,加密算法 ,鑒別算 法,密鑰管理,解釋域和策略組成 . (1)體系結(jié)構(gòu) :覆蓋了定義 IP 安全技 術(shù)的一般性概念 ,安全需求,定義和機制 . (2) 封裝安全有效載荷 (ESP) : 覆蓋了使用 ESP 進行分組加密和可選的鑒別有關(guān)分組的 格式和一般 問題. (3) 鑒別首部: 覆蓋了使用 All 進行分組

22、鑒別的分組的格式和一 般問題. (4) 加密算法:一組文檔描述了怎樣將不同的加密算法用于 ESP.(5) 鑒別算法 : 一組文檔描述了怎樣將不同的鑒別算法用于 AH 和 ESP 可選的鑒別選項 . (6) 密鑰管理:描述密鑰管理機制的文檔 . (7) 解釋域: 包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值 . (8) 策略: 決定兩 個實體之間能否通信 , 以及如何進行通信 .2. 簡述 IPSec 協(xié)議的工作原理 .簡述 答:IPSec(Internet協(xié)議安全)是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，為IP 網(wǎng)絡(luò)通信提供透明的 安全服務(wù) , 保護 TCP/IP 通信免遭竊聽和篡 改, 可以有效抵御網(wǎng)

23、絡(luò)攻擊 , 同時保持易用性 . IPSec 兩個基本目標 : 保護 IP 數(shù)據(jù)包安全 ;為抵御網(wǎng)絡(luò)攻擊提供防護措施 . 為了達到上述目 標 IPSec 提供了兩種安全機制 : 認證和加密 .IPSec 協(xié)議組包含認證頭(AH)協(xié)議,封裝安全有效載荷(ES P)協(xié)議和In ternet密鑰交換(IKE) 協(xié)議. 其中 AH 協(xié)議定義了認證的應(yīng)用方法 ,提供數(shù) 據(jù)源認證 ,完整性, 提供可靠和反重播保證 ;ESP 協(xié)議定義了加密和可選認證的應(yīng)用方法性保 證.3. 簡述 SSL 協(xié)議的工作過程 .答:SSL協(xié)議的工作過程如下:(1)客戶端向服務(wù)器提出請求，要求建立 安全通信連接 . (2) 客戶端與

24、服務(wù)器進行協(xié)商 , 確定用于保證安全通信的 加密算法和強度 . (3) 服務(wù)器將其服務(wù)器證書發(fā)送給客戶端 . 該證書包含 服務(wù)器的公鑰 , 并用 CA 的私鑰加 密. (4) 客戶端使用 CA 的公鑰對服 務(wù)器證書進行解密 , 獲得服務(wù)器公鑰 . 客戶端產(chǎn)生用戶創(chuàng) 建會話密鑰的 信息, 并用服務(wù)器公鑰加密 , 然后發(fā)送到服務(wù)器 . (5) 服務(wù)器使用自己的 私鑰解密該消息 , 然后生成會話密鑰 , 然后將其使用服務(wù)器公鑰加 密 , 再發(fā)送給客戶端 . 這樣服務(wù)器和客戶端上方都擁有了會話密鑰 . (6) 服務(wù) 器和客戶端使用會話密鑰來加密和解密傳輸?shù)臄?shù)據(jù) . 它們之間德安數(shù)據(jù) 傳輸使用 的是對稱

25、加密 .4. 簡述 SET 協(xié)議的安全體系結(jié)構(gòu) .答:SET協(xié)議的安全體系由支付系統(tǒng)參與各方組成了系統(tǒng)邏輯結(jié)構(gòu).參 與方主要有 : (1) 持卡人,即消費者 .電子商務(wù)環(huán)境中 ,消費者通過 web 瀏覽器或客戶端軟件購物 , 與商家交流 , 通過發(fā)卡機構(gòu)頒發(fā)的付款卡進 行結(jié)算. (2) 商家:提供在線商店或商品光盤給消費者 . (3) 發(fā)卡機構(gòu):它 是一金融機構(gòu) , 為持卡人開帳戶 , 并且發(fā)放支付卡 . (4) 銀行 : 它為商家建 立帳戶 , 并且處理支付卡的認證和支付事宜 . (5) 支付網(wǎng)關(guān) : 是由受款銀 行或指定的第三方操縱操作的設(shè)備 , 它將 Internet 上傳輸?shù)臄?shù) 據(jù)轉(zhuǎn)

26、換為金融機構(gòu)內(nèi)部數(shù)據(jù) , 并處理商家的支付信息 , 同時也包括來自消費 者的支付指令 .習(xí)題 4 一, 簡答題1. 防火墻的功能是什么 ?,包答 : 防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng) 括硬件和軟件 . 是 一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制 , 提供 可控的過濾網(wǎng)絡(luò)通信 , 只允許授權(quán)的通信 . 目的是保護網(wǎng)絡(luò)不被他人侵 擾. 通過使用防火墻可以實現(xiàn)以下功能 . (1) 隱藏內(nèi)部網(wǎng)絡(luò) . (2) 控制內(nèi) 網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問 . (3) 控制外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的訪問 . (4) 監(jiān)視網(wǎng)絡(luò)安全 , (6) 對內(nèi)部用戶的 Internet 使用進行 并提供安全日志

27、并預(yù)警 . (5) 緩解 IP 地址空間短缺問題 . 審計和記錄 . (7) 引出 DMZ 區(qū)域, 可設(shè)置各種服務(wù)器 .除了上面的功能 , 現(xiàn)在的很多防火墻 還具備 一些流量控制和抵御 DoS 攻擊的功能 , 但是這些功能不屬于普遍的防 火墻功能 .2. 包過濾防火墻和代理防火墻的工作原理是什么 答: 包過濾防火墻是通過數(shù)據(jù)包的包頭信息和管理員設(shè)定的規(guī)則表比較 后,來判斷如何處 理當(dāng)前的數(shù)據(jù)包的 .其工作過程如下 : (1) 數(shù)據(jù)包從外 網(wǎng)傳送到防火墻后 ,防火墻搶在 IP 層向 TCP 層傳送前,將數(shù)據(jù)包轉(zhuǎn)發(fā) 給 包檢查模塊進行處理 . (2) 包檢查模塊首先將包頭信息與第一條規(guī)則 進行比較

28、 , 如果與第一條規(guī)則匹配 , 則對它 進行審核判斷是否轉(zhuǎn)發(fā)該數(shù) 據(jù)包,如果是轉(zhuǎn)發(fā),則將數(shù)據(jù)包轉(zhuǎn)發(fā)給 TCP 層處理,否則就將該報 丟棄.(3) 如果包頭信息與第一條規(guī)則不匹配 , 則與第二條規(guī)則比較 . 接下來的 步驟與上同 . 直 到所有規(guī)則都比較完畢 . 要是都不匹配 , 則丟棄該數(shù)據(jù) 包. 代理客戶端的用戶與代理服務(wù)器交談而不是面對遠在因特網(wǎng)上的 " 真正的 "服務(wù)器 .代理 服務(wù)器評價來自客戶的請求 ,并且決定認可哪一 個或否認哪一個 .如果一個請求被認可 , 代理 服務(wù)器代表客戶接觸真正 的服務(wù)器 , 并且轉(zhuǎn)發(fā)從代理客戶到真正的服務(wù)器的請求 ,并將服務(wù)器 的 相

29、應(yīng)傳送回代理客戶 .3. 簡述軟件防火墻和硬件防火墻的優(yōu)缺點 答:防火墻可以是硬件防火墻 ,也可以是軟件防火墻 . 硬件防火墻安裝簡 單,性能高,可 以避免操作系統(tǒng)的安全性漏洞 .高帶寬,高吞吐量 ,真正 線速防火墻 .安全與速度同時兼顧 . 沒有用戶限制 .性價比高.管理簡單 , 快捷.軟件防火墻運行在通用操作系統(tǒng)上，性能依靠于計算機CPU,內(nèi) 存等. 基于通用操作系統(tǒng) , 對底層操作系統(tǒng)的安全依賴性很高 . 由于操 作系統(tǒng)平臺的限制 , 極易造成網(wǎng)絡(luò)帶寬瓶頸 . 但可 以滿足低帶寬低流量 環(huán) 境下的安全需要 , 高速環(huán)境下容易造成系統(tǒng)瓶頸 . 有用戶限制 . 軟件 防 火墻的優(yōu)點在于 :

30、件防火墻有著硬件防火墻少有的擴充性和易操控 性. 因此,對于大型網(wǎng)絡(luò) ,網(wǎng)絡(luò)流量大 , 與外部聯(lián)系較多 , 且內(nèi)部數(shù)據(jù)比 較重要 ,就要求由高 性能硬件防火墻 . 對于中小型網(wǎng)絡(luò) , 其網(wǎng)絡(luò)流量不 是很大 ,對管理需要精簡管理費用 ,這時就 可以選擇軟件防火墻產(chǎn)品 .4. 簡述如何選擇一個合適的防火墻 .答: 一個好的防火墻應(yīng)該具備如下的特點 : (1) 自身的安全性 . (2) 系統(tǒng) 的穩(wěn)定性. (3) 是否高效. (4) 是否可靠. (5) 是否功能靈活 ,強大. (6) 是否配置方便 . (7) 是否可以抵抗 拒絕服務(wù)攻擊 . (8) 是否可擴展 ,可升 級等等習(xí)題 5 一, 簡答題1.

31、 簡述密碼體制的分類方法 .答: 按密鑰使用的數(shù)量不同 , 對密碼體制可以分為對稱密碼 (又稱為單鑰 密碼)和公鑰密 碼(又稱為非對稱密碼 ) . 對于對稱密鑰密碼而言 , 按照 針對明文處理方式的不同 , 又可以分為 流密碼和分組密碼 .2. 簡述公鑰密碼體制的密鑰分配機制 答:常用的公鑰分配方法有以下幾種 : (1) 公開發(fā)布 .用戶將自己的公鑰 發(fā)給所有其他用戶或向某一團體廣播 . 這種方法簡單但 有一個非常大 的缺陷 ,別人能容易地偽造這種公開的發(fā)布 . (2) 公鑰動態(tài)目錄表 .指建 立一個公用的公鑰動態(tài)目錄表 , 表的建立和維護以及公鑰的分 布由某 個公鑰管理機構(gòu)承擔(dān) , 每個用戶

32、都可靠地知道管理機構(gòu)的公鑰 , 由于每 一用戶要想與他 人通信都要求助于公鑰管理機構(gòu) , 因而公鑰管理機構(gòu) 有可能成為系統(tǒng)的瓶頸 ,而且公鑰目錄表 也容易被竄擾 . 分配公鑰的一 種安全有效的方法是采用公鑰證書 , 用戶通過公鑰證書相互之間 交換 自己的公鑰而無需與公鑰管理機構(gòu)聯(lián)系 . (3) 公鑰證書 . 公鑰證書內(nèi)證 書管理機構(gòu) CA 為用戶建立 , 其中的數(shù)據(jù)項有該用戶的公鑰 , 用戶的 身份和時戳等 . 所有的數(shù)據(jù)經(jīng) CA 用自己的私錢簽字后就形成證書 . 證 書中可能還包括 一些輔助信息 , 如公鑰使用期限 , 公鑰序列號或識別號 , 采用的公鑰算法 , 使用者的住址或網(wǎng) 址等.習(xí)題

33、 6 一, 簡答題1. 什么是入侵檢測系統(tǒng) ?一般網(wǎng)絡(luò) IDS 有哪幾個組成部分 ?答 : 入侵檢測系統(tǒng) (Intrusion Detection System,IDS)指的是任何有能力檢測系統(tǒng)或網(wǎng)絡(luò)狀 態(tài)改變的系統(tǒng)或系統(tǒng)的集合 . 一般 IDS 是由檢測引擎（又稱為 sensor） , 監(jiān)視和存儲主機 ,分析 器或控制站三部分組成 .2. 簡述主機入侵檢測系統(tǒng)的結(jié)構(gòu) .答:主機型入侵檢測系統(tǒng)一般由審計數(shù)據(jù)源 ,審計記錄數(shù)據(jù)庫 ,審計數(shù)據(jù)分析器組成 . 審 計數(shù)據(jù)源即是目標系統(tǒng)中的審計數(shù)據(jù)如日志數(shù)據(jù)等,審計記錄數(shù)據(jù)庫是正常的系統(tǒng)數(shù)據(jù)記錄如 文件屬性和進程狀態(tài)等, 審計數(shù)據(jù)分析器是根據(jù)審計數(shù)據(jù)源

34、和審計記錄數(shù)據(jù)庫來檢測系統(tǒng)是否存在被入侵的行為 .3. 簡述網(wǎng)絡(luò)入侵檢測系統(tǒng)的結(jié)構(gòu) .答: 網(wǎng)絡(luò)入侵檢測系統(tǒng)包括一般的網(wǎng)絡(luò)系統(tǒng)本身 , 檢測引擎 , 存儲警報信息的數(shù)據(jù)庫系統(tǒng) , 入侵特征數(shù)據(jù)庫 , 分析控制臺等組成 .4. 簡述分布式入侵檢測系統(tǒng)的結(jié)構(gòu) .答: 分布式入侵檢測系統(tǒng)一般由全局檢測器及控制臺系統(tǒng) ,n 個檢測器及相應(yīng)的攻擊特征庫 ,n 個數(shù)據(jù)采集器等組成 .5. 簡述 IDS 和 IPS 的區(qū)別 .答:IDS能檢測到信息流中的惡意代碼，但由于是被動處理通信，本身不能對數(shù)據(jù)流 作任何處理 .IPS 是一種主動的 , 積極的入侵防范 , 阻止系統(tǒng), 它部署在網(wǎng)絡(luò)的進出口處 , 當(dāng)它檢

35、測到攻擊企圖后, 它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷 .IPS 的檢測功能類似于 IDS, 但IPS 檢測到攻擊后會采取行動阻止攻擊 , 可以說 IPS是基于 IDS 的,是 建立在 IDS 發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品 習(xí)題 7, 簡答題 1. 什么是計算機病毒 ,病毒的基本特征是什么 ?答 : 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或 者毀壞數(shù)據(jù) , 影響計 算機使用 , 并能自我復(fù)制的一組計算機指令或者 程序代碼 . 計算機病毒的共同特征如下 : (1) 傳染性.傳染性是病毒的最 基本特征 . 計算機病毒有很強的再生機制 , 病毒程序一旦 加到運行的程 序體

36、上 ,就能感染其它程序 ,并且迅速擴散到整個計算機系統(tǒng) ,當(dāng)與網(wǎng)絡(luò) 進行數(shù) 據(jù)交換時 , 也將病毒在網(wǎng)上傳播 .是否具有傳染性是判別一個程 序是否為計算機病毒的最重要 條件. (2) 破壞性 .病毒指的是帶有破壞 性質(zhì)的惡意程序 ,所以病毒對系統(tǒng)的破壞性成為其重要 的衡量方式 .由 于計算機病毒的破壞能力各不相同 , 將其分為良性病毒和惡性病毒 . (3) 隱蔽性 . 大多數(shù)計算機病毒是代碼設(shè)計非常短小的程序 . 它通常把自己 隱蔽在系統(tǒng)正 常程序中 , 以防止用戶發(fā)現(xiàn) . 隱蔽性是病毒的反偵察特性 .(4) 潛伏性 .計算機病毒入侵系統(tǒng)后 , 一般不立即發(fā)作 , 而是具有一定的 潛伏期.一般

37、在 潛伏期中 ,病毒進行大量的復(fù)制 ,直到用戶觸發(fā)的時候 , 才暴發(fā)出其強大的破壞性 . (5) 觸發(fā)性 .觸發(fā)性又叫激發(fā)性 ,它指的是病 毒在某種情況的激活下產(chǎn)生的破壞過程 . 大 多數(shù)病毒都在進入系統(tǒng)后 有一段時間的潛伏性 ,隨著到達病毒的觸發(fā)條件時 , 病毒就激活了 .2. 根據(jù)病毒寄生方式分類 , 病毒可分哪幾類 ?答:計算機病毒按照其寄生方式 , 分為以下幾種 : (1) 網(wǎng)絡(luò)型病毒 . 通過計算機網(wǎng)絡(luò)傳播 , 感染網(wǎng)絡(luò)中的可執(zhí)行文件 . 病毒入侵網(wǎng)絡(luò)系統(tǒng)的主 要 途徑是通過工作站傳播到服務(wù)器硬盤 , 再由服務(wù)器的共享目錄傳播到其 他工作站 . 引導(dǎo)型病 毒對工作站或服務(wù)器的硬盤分區(qū)

38、表或 DOS 引導(dǎo)區(qū) 進行傳染 . 通過在有盤工作站上執(zhí)行帶毒程序 , 而傳染服務(wù)器映射盤 上的文件 . 由于病毒在網(wǎng)絡(luò)中傳播速度非?？?, 故其擴散范圍很大 , 所以 網(wǎng)絡(luò)型病毒清除難度大 . (2) 文件型病毒 . 文件型病毒是指感染文件 , 并 能通過被感染的文件進行傳染擴散的計算 機病毒 . 一般只傳染磁盤上 的可執(zhí)行 COM 文件(如 EXE 文件) . 被感染的文件分為可執(zhí)行文件類 和文本文件類 . (3) 引導(dǎo)型病毒 . 引導(dǎo)型病毒是一種在 ROM BIOS 之后 , 系統(tǒng)引導(dǎo)時出現(xiàn)的病毒 , 它依托的 環(huán)境是 BIOS 中斷服務(wù)程序 . 引導(dǎo)型 病毒主要感染軟盤 , 硬盤的引導(dǎo)

39、扇區(qū)或主引導(dǎo)扇區(qū) , 在用戶 對軟盤硬盤 進行讀寫操作時進行感染 . (4) 復(fù)合型病毒 . 混合型病毒不僅傳染可執(zhí)行 文件而且還傳染硬盤引導(dǎo)區(qū) , 被這種病毒傳 染的系統(tǒng)用格式化命令都 不能消除此類病毒 . 具有引導(dǎo)型病毒和文件型病毒寄生方式的計算機 病毒稱作復(fù)合型病毒 . 因此擴大了這種病毒的傳染途徑 .3. 什么是木馬病毒 ?答: 木馬病毒帶有黑客性質(zhì) , 它有強大的控制和破壞能力 , 可進行竊取 密碼, 控制系統(tǒng)操作 , 進行文件操作等 . 木馬由客戶端和服務(wù)器端兩個 執(zhí)行程序組成 ,客戶端是用于攻擊者遠程控制 植入木馬的機器 , 服務(wù)器 端程序即是木馬程序 . 木馬的設(shè)計者為了防止木

40、馬被發(fā)現(xiàn) ,而采用多 種 手段隱藏木馬 . 木馬入侵目標計算機后 , 會把目標計算機的 IP 地址, 木 馬端口等信息發(fā)判斷 給入侵者 , 從而使入侵者利用這些信息來控制目標計算機 . 目前的木馬病毒的類型包括普通的 以單獨 EXE 文件執(zhí)行的 木馬,進程插入式木馬和 Rootkit 類木馬 .4. 什么是宏病毒 ?答:宏病毒就是使用 Word 的 VBA 編程接口,編寫的具有病毒特征的宏 集合 . 它危害性大 , 它以二進制文件加密壓縮格式存入 .doc 或 .dot 文件中，它通過WORD文檔或模板進行大量自我 復(fù)制及傳染.一旦運 行宏病毒 , 相應(yīng)的 Normal 模板會被傳染 , 所有

41、打開的 word 文檔都會 在自 動保存 時被傳染 . 多數(shù) 宏病 毒包 含 AutoExec,AutoOpen 和AutoNew 等自動宏 ,通過這些自動宏病毒取得文檔 （模板）操作權(quán) .宏病 毒的種類很多 , 版本也各不相同 , 為了能查殺各類宏病毒 , 關(guān)鍵是恢復(fù) 文件參數(shù) . 一般的殺毒軟件均以查殺宏病毒 .5. 什么是蠕蟲病毒 ?答 : 蠕蟲病毒是一種能自我復(fù)制的程序 , 并能通過計算機網(wǎng)絡(luò)進行傳播 它大量消耗系統(tǒng)資 源, 使其它程序運行減慢以至停止 ,最后導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)癱瘓 . 蠕蟲病毒的傳染目標是互聯(lián)網(wǎng) 內(nèi)的所有計算機 , 從而導(dǎo)致網(wǎng)絡(luò)癱瘓 . 蠕蟲病毒分為兩類: 一種利用系統(tǒng)漏

42、洞主動進行攻擊 ; 另外一種通過網(wǎng)絡(luò)服務(wù)傳播 .6. 什么是 PE 病毒 ?答 :PE 病毒是指所有感染W(wǎng)indows 下 PE 文件格式的病毒 . 病毒大多數(shù)采用 Win32 匯編編 PE寫.該病毒感染普通 PE EXE 文件并把自己的代碼加到 EXE 文件尾部 , 修改原程序的入口點以指 向病毒體 ,PE 病毒 病毒沒有 .data 段, 變量和數(shù)據(jù)全部放在 .code 段, 病毒本身沒有什么 危害. 但 被感染的文件可能被破壞不能正常運行7. 簡述病毒處理的步驟 .答: 計算機病毒的處理包括防毒 , 查毒 , 殺毒三方面 ; 系統(tǒng)對于計算機病 毒的實際防治能力 和效果也要從防毒能力 ,

43、查毒能力和解毒能力三方 面來評判 . (1) 防毒. 防毒是指根據(jù)系統(tǒng)特性 ,采取相應(yīng)的系統(tǒng)安全措施 預(yù)防病毒侵入計算機 . 防毒能 力是指預(yù)防病毒侵入計算機系統(tǒng)的能力 通過采取防毒措施 ,應(yīng)可以準確地 ,實時地監(jiān)測預(yù)警 經(jīng)由光盤 ,軟盤,硬 盤不同目錄之間 , 局域網(wǎng) , 因特網(wǎng) (包括 FTP 方式 ,E-MAIL,HTTP 方式 ) 或其它形式的文件下載等多種方式進行的傳輸 ; 能夠在病毒侵入系統(tǒng)是 發(fā)出警報,記錄攜帶病 毒的文件,即時清除其中的病毒 ;對網(wǎng)絡(luò)而言 ,能 夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息 , 記錄病毒入侵的工作站 , 必 要時還要能夠注銷工作站 , 隔離病毒源 . (

44、2) 查毒. 查毒是指對于確定的 環(huán)境,能夠準確地報出病毒名稱 ,該環(huán)境包括 ,內(nèi)存,文 件,引導(dǎo)區(qū)(含主 導(dǎo)區(qū)) , 網(wǎng)絡(luò)等. 查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力 . 通過查毒應(yīng) 該能 準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染有病毒 , 并準確查找出病毒的來 源, 并能給出統(tǒng)計報告 ; 查解 病毒的能力應(yīng)由查毒率和誤報率來評判 (3) 殺毒. 殺毒是指根據(jù)不同類型病毒對感染對象的修改 , 并按照病毒的 感染特性所進行的 恢復(fù). 該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容 .感 染對象包括 :內(nèi)存,引導(dǎo)區(qū)(含主引導(dǎo)區(qū) ) , 可執(zhí)行文件 ,文檔文件,網(wǎng)絡(luò) 等.8. 簡述查殺病毒的幾種新技術(shù) .答:(1) 宏指

45、紋技術(shù) . 此項技術(shù)是基于 Office 復(fù)合文檔 BIFF 格式精確查殺各類宏病毒的技 術(shù), 它可以查殺所有的在 Office 文檔中存在的 可知的和未知的宏病毒 ,并且可以修復(fù)部分被破 壞的 Office 文檔. (2) 嵌入式殺毒技術(shù) . 嵌入式殺毒技術(shù)是對病毒經(jīng)常攻擊的應(yīng)用程序或?qū)?象提供重點保護的 技術(shù), 它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口 來實現(xiàn).它對使用頻度高 , 使用范圍廣的主 要的應(yīng)用軟件提供被動式的 防護. 如對 MS-Office,Outlook,IE,Winzip, 迅雷等應(yīng)用軟件進 行被動 式殺毒. (3) 未知病毒查殺技術(shù) .未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又

46、一大技術(shù)突破 ,它結(jié)合了虛 擬技術(shù)和人工智能技術(shù) , 實現(xiàn)了對未知病毒 的準確查殺 . (4) 病毒免疫技術(shù) . 病毒免疫指的是加強自主訪問控制和 設(shè)置磁盤禁寫保護區(qū)來實現(xiàn)病毒免 疫的技術(shù) . 由于用戶應(yīng)用軟件的多樣性和環(huán)境的復(fù)雜性 ,病毒免疫技術(shù)到廣泛使用還有一段距離.習(xí)題 8 1. 常見的網(wǎng)絡(luò)管理新技術(shù)有 ?答:(1)RM0N技術(shù).RMON即遠程網(wǎng)絡(luò)監(jiān)控.RMON的目標是為了擴展SNMP勺MIB-II(管理 信息庫)，使SNMP更為有效，更為積極主動地監(jiān)控遠程設(shè)備.RMON MIB由一組統(tǒng)計數(shù)據(jù)，分析 數(shù)據(jù)和診斷數(shù)據(jù)構(gòu)成，利用許多供應(yīng)商生產(chǎn)的標準工具都可以顯示出這些數(shù)據(jù), 因而它具有獨立于

47、供應(yīng)商的遠程網(wǎng)絡(luò)分析功能.RMON探測器和RMON客戶機軟件結(jié) 合在一起在網(wǎng)絡(luò)環(huán)境中實施 RMON.RMOI的監(jiān)控功能是否有效，關(guān)鍵在 于其探測器要具有存儲統(tǒng)計數(shù)據(jù)歷史的能力 , 這樣 就不需要不停地輪 詢才能生成一個有關(guān)網(wǎng)絡(luò)運行狀況趨勢的視圖 . 當(dāng)一個探測器發(fā)現(xiàn)一個 網(wǎng)段 處于一種不正常狀態(tài)時，它會主動與網(wǎng)絡(luò)管理控制臺的 RMON客 戶應(yīng)用程序聯(lián)系 ,并將描述不正 常狀況的捕獲信息轉(zhuǎn)發(fā) . (2) 基于 Web 的網(wǎng)絡(luò)管理技術(shù) . 基于 Web 的網(wǎng)絡(luò)管理系統(tǒng)的根本點就是允許通過Web 瀏覽器 進行網(wǎng)絡(luò)管理 . 基于 Web 的網(wǎng)絡(luò)管理模式的實現(xiàn)有兩種方 式. 第一種方式是代理方式 , 即

48、在一 個內(nèi)部工作站上運行 Web 服務(wù)器 (代理) . 這個工作站輪流與端點設(shè)備通信 , 瀏覽器用戶與代理 通信, 同 時代理與端點設(shè)備之間通信 .在這種方式下 , 網(wǎng)絡(luò)管理軟件成為操作系 統(tǒng)上的一個應(yīng) 用.它介于瀏覽器和網(wǎng)絡(luò)設(shè)備之間 . 在管理過程中 , 網(wǎng)絡(luò) 管理軟件負責(zé)將收集到的網(wǎng)絡(luò)信息傳 送到瀏覽器 (Web 服務(wù)器代理 ) 并將傳統(tǒng)管理協(xié)議轉(zhuǎn)換成 Web 協(xié)議. , 第二種實現(xiàn)方式是嵌入式 . 它 將 Web 功能嵌入到網(wǎng)絡(luò)設(shè)備中 , 每個設(shè)備有自己的 Web 地址, 管理員 可通過瀏覽器直接訪問 并管理該設(shè)備 . 在這種方式下 ,網(wǎng)絡(luò)管理軟件與 網(wǎng)絡(luò)設(shè)備集成在一起 . 網(wǎng)絡(luò)管理軟件

49、無須完成 協(xié)議轉(zhuǎn)換 . 所有的管理信 息都是通過 HTTP 協(xié)議傳送 .2. 常見的網(wǎng)絡(luò)管理模式有幾種類型 ?分別各有什么特點 ?答 :(1) 集中式網(wǎng)絡(luò)管理 . 集中式網(wǎng)絡(luò)管理系統(tǒng)可以統(tǒng)管全部網(wǎng)絡(luò) . 全網(wǎng) 所有需要管理的數(shù) 據(jù), 均存儲在一個集中的數(shù)據(jù)庫中 .這種系統(tǒng)的優(yōu)點 是網(wǎng)絡(luò)管理系統(tǒng)處于高度集中 ,易于全面 做出決斷的最佳位置 , 網(wǎng)絡(luò)升 級時僅需要處理集中點 . 由于所有數(shù)據(jù)均接到統(tǒng)一的中央數(shù)據(jù)庫 , 所以 易于管理 , 維護和擴容 . 它的缺點是中央數(shù)據(jù)庫一旦出現(xiàn)故障 , 將導(dǎo)致全 網(wǎng)癱瘓;此外建 設(shè)網(wǎng)絡(luò)管理系統(tǒng)的鏈路承載的業(yè)務(wù)量很大 , 有時將超出 負荷能力. 采用這類的管理方

50、式, 包括 HP 公司的 Open ViewNMS,Cabletron Systems 公 司 的 Spectrum,IBM/Tivli 公 司 的 NetView 和 Sun Microsystems 公司的 Net Manager 等網(wǎng)絡(luò)管理系統(tǒng) . (2) 分級式網(wǎng)絡(luò)管理 . 這種網(wǎng)絡(luò)管理模式是由一個網(wǎng)絡(luò)管理系統(tǒng) , 即經(jīng)理人 作為另外幾個網(wǎng) 絡(luò)管理系統(tǒng)經(jīng)理人的總經(jīng)理人 . 由各經(jīng)理人管理各自 所管轄的領(lǐng)域 , 而由總經(jīng)理人總的管轄對 其他經(jīng)理人所應(yīng)管轄的部分 .這種系統(tǒng)的優(yōu)點是分散了網(wǎng)絡(luò) /資源的負荷 , 使得各個網(wǎng)絡(luò)管理可 更接 近被管單元 , 降低了總網(wǎng)絡(luò)管理系統(tǒng)需收集傳送的業(yè)務(wù)量

51、 , 該系統(tǒng)比集力、中式網(wǎng)管系統(tǒng)可靠 . 這種網(wǎng)絡(luò)管理系統(tǒng)的缺點是比集中式系統(tǒng)復(fù)雜 , 系 統(tǒng)設(shè)備價格也相應(yīng)有所提高 .國際上已采用 這種模式的系統(tǒng)有 HP OpenView（高層和較低層的NMS）以及Cisco Networks（較低層NMS）等網(wǎng)絡(luò) 管理系統(tǒng) . （3） 分布式網(wǎng)絡(luò)管理 . 這是一種與管理系統(tǒng)設(shè)備位置無關(guān)的網(wǎng) 管系統(tǒng) . 雖然它與位置無關(guān) , 但是從收集網(wǎng)管的數(shù)據(jù)等功能來說 , 還是可以集中的 .分布式網(wǎng)絡(luò)管理模式的優(yōu)點是完全分散了網(wǎng)絡(luò)/資源的負荷, 網(wǎng)絡(luò)管理系統(tǒng)的規(guī)模大小可按需要來任意調(diào)整, 這種網(wǎng)絡(luò)管理模式 具有很 高的可靠性 （無單點障礙 ） .其缺點是系統(tǒng)設(shè)備更復(fù)雜

52、些 （需要 有分布應(yīng)用的架構(gòu) ） . 這是一 種嶄新,并正在迅速發(fā)展及擴大其應(yīng)用的 網(wǎng)絡(luò)管理技術(shù) ,尚無標準可循 .這類模式已普遍被國 際接受 ,被認為是 最有前途的新模式和高技術(shù) .3.OSI 網(wǎng)絡(luò)管理功能體現(xiàn)在哪幾個方面 ?答:（1） 故障管理 .故障管理指系統(tǒng)出現(xiàn)異常情況下的管理操作 . 在大型 計算機網(wǎng)絡(luò)中 , 當(dāng) 發(fā)生網(wǎng)絡(luò)故障時 , 往往不能輕易 , 具體地確定故障所 在的準確位置 .因此,需要有一個故障管 理系統(tǒng) ,科學(xué)地管理網(wǎng)絡(luò)發(fā)生 的所有故障 ,并記錄每個故障的產(chǎn)生及相關(guān)信息 , 最后確定并改 正那些 故障, 保證網(wǎng)絡(luò)能提供連續(xù)可靠的服務(wù) .故障管理的目標是自動監(jiān)測 ,記 錄網(wǎng)

53、絡(luò)故障并 通知用戶 ,以便網(wǎng)絡(luò)有效地運行 . (2) 計費管理 .計算機網(wǎng) 絡(luò)系統(tǒng)通過計費系統(tǒng)來記錄和統(tǒng)計用戶和通信線路的數(shù)據(jù)傳輸量 記錄操作動作 . 以此來監(jiān)視線路工作的繁閑情況和不同資源的利用情況 以供決策參考 . 計 費管理負責(zé)記錄網(wǎng)絡(luò)資源的使用情況和使用這些資 源的代價 . 計費管理的目標是衡量網(wǎng)絡(luò)的利 用率, 以便一個或一組用戶 可以按規(guī)則利用網(wǎng)絡(luò)資源 , 這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小 ,也 可使 所有用戶對網(wǎng)絡(luò)的訪問更加公平 . 為了實現(xiàn)合理計費 , 計費管理必須和 性能管理相結(jié)合 . 通常的計費方式分為如下兩種基于地址的計費和基 于用戶的計費 . (3) 配置管理 . 配置管理

54、就是定義 , 收集,監(jiān)測和管理系統(tǒng) 的配置參數(shù) , 使網(wǎng)絡(luò)性能達到最優(yōu) . 配置管理負責(zé)監(jiān)測和控制網(wǎng)絡(luò)的配 置狀態(tài) ,自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu) , 構(gòu)造和維護網(wǎng)絡(luò)系統(tǒng) 的配置, 監(jiān)測網(wǎng) 絡(luò)被管理對象的狀態(tài) , 完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查 , 配置自動生 成和自 動配置備份系統(tǒng) , 對于配置的一致性進行嚴格的檢驗 . 配置管理 的目的在于隨時了解系統(tǒng)網(wǎng)絡(luò) 的拓撲結(jié)構(gòu)以及所交換的信息 , 包括連 接前靜態(tài)設(shè)定的和連接后動態(tài)更新的信息 . (4) 性能管理 . 性能管理主要 是采集 ,分析網(wǎng)絡(luò)對象的性能數(shù)據(jù) ,各系統(tǒng)之間的通信操作趨 勢, 或者 平衡系統(tǒng)之間的負載 ,同時, 統(tǒng)計網(wǎng)絡(luò)運行狀態(tài)信息 ,

55、 對網(wǎng)絡(luò)的使用發(fā)展 做出評測 , 估計, 以便對網(wǎng)絡(luò)資源的運行狀況和通信效率等系統(tǒng)性能做 出評價和分析 . 從性能管理中獲得 的性能監(jiān)測和分析結(jié)果是網(wǎng)絡(luò)規(guī)劃 和資源提供的重要依據(jù) . (5) 安全管理 .安全管理是提供信息的保密 ,認證和完整性保護機制 , 是網(wǎng)絡(luò)中服務(wù)數(shù)據(jù)和 系統(tǒng)免受入侵和破壞的保 證機制 . 網(wǎng)絡(luò)安全管理的操作包括標識重要的網(wǎng)絡(luò)資源 , 確定網(wǎng)絡(luò)資 源 和用戶集的映射關(guān)系 , 監(jiān)視對重要網(wǎng)絡(luò)資源的訪問等 .4.SNMP協(xié)議的三個部分是什么？它們有什么作用？答:簡單網(wǎng)絡(luò)管理協(xié)議 SNMP 為網(wǎng)絡(luò)管理系統(tǒng)提供底層網(wǎng)絡(luò)管理的框架.SNMP基于In ternet標準TCP/IP通信

56、協(xié)議，主要由管理信息結(jié)構(gòu) (SMI),管理信息庫(MIB)和管理信息協(xié)議SNMP三個部分構(gòu)成.SMI定 義每一個被管對象的信息 , 以及如何用 ASN.1( 抽象語法記法 1) 描述這 些信息在管 理信息庫中的表示 . MIB 是一個樹形結(jié)構(gòu) , SNMP 協(xié)議消息 通過遍歷 MIB 樹形目錄中的節(jié)點來訪問網(wǎng)絡(luò)中的設(shè)備 . MIB 是存儲各 個被管對象的管理參數(shù)的數(shù)據(jù)庫 .SNMP 提供在網(wǎng)管工作站與被管對象的設(shè)備之間 交換管理信息的協(xié)議.SNMF協(xié)、議使用戶能夠通過輪詢，設(shè)置一些關(guān)鍵字和監(jiān)視一些網(wǎng)絡(luò)事件來達到網(wǎng)絡(luò)管理目的. 它工作在TCP/IP協(xié)議體系中的UDP協(xié)議上.在SNMP應(yīng)用實體間通

57、信時無需先 建立連接 , 雖然 對報文正確到達不作保證 , 但這樣降低了系統(tǒng)開銷 . 整 個系統(tǒng)必須有一個管理站 (management station) , 實際上就是網(wǎng)控中心 .在管理站上運 行管理進程 . 在每一個被管對象中一定要有代理進程 . 管 理進程和代理進程利用 SNMP 報文進行 通信.在網(wǎng)絡(luò)管理站和網(wǎng)絡(luò)要 素之間進行的通信中 , 實現(xiàn) SNMP 的實體被稱為 SNMP 協(xié)議實體或 簡 單的 SNMP 實體.一個 SNMP 實體可以以管理者角色或代理角色進行的操作 .SNMP 也通過代理 服務(wù)器提供對設(shè)備的管理 .SNMP 適合在多廠商 系統(tǒng)的互連網(wǎng)環(huán)境中使用 , 能實時地監(jiān)測和維護 從小型的局域網(wǎng)到大 型的互聯(lián)網(wǎng) . 在網(wǎng)絡(luò)正常運行時 , 它能提供統(tǒng)計 ,配置和測試手段 ; 而當(dāng) 網(wǎng)絡(luò)出現(xiàn)故障或異常時 , 它又能提供必要的差錯檢測和恢復(fù)功能 .SNMP 是基于 TCP/IP 的網(wǎng)絡(luò) 管理協(xié)議 ,也能擴展到其他類型的網(wǎng)絡(luò)設(shè)備上 5. 什么是管理信息數(shù)據(jù)庫 MIB? 它有什么特點 ?答: 管理信息數(shù)據(jù)庫 (MIB) 是一個信息存儲庫 , 它包含了管理代理中的有 關(guān)配置和性能的 數(shù)據(jù),有組織體系和公共結(jié)構(gòu) , 其中包含分屬不同組的 許多個數(shù)據(jù)對象 .MIB 數(shù)據(jù)對象以一種 樹狀分層結(jié)構(gòu)進行組織 . 使用 這個樹狀分層結(jié)構(gòu) ,MIB 瀏覽器能