網絡安全課后答案.doc

1、-第一章 網絡安全概述一、問答題1.何為計算機網絡安全？網絡安全有哪兩方面的含義？計算機網絡安全是指利用各種網絡管理,控制和技術措施，使網絡系統(tǒng)的硬件,軟件及其系統(tǒng)中的數據資源受到保護，不因一些不利因素影響而使這些資源遭到破壞,更改,泄露，保證網絡系統(tǒng)連續(xù),可靠,安全地運行。網絡安全包括信息系統(tǒng)的安全運行和系統(tǒng)信息的安全保護兩方面。信息系統(tǒng)的安全運行是信息系統(tǒng)提供有效服務（即可用性）的前提，系統(tǒng)信息的安全保護主要是確保數據信息的機密性和完整性。2.網絡安全的目標有哪幾個？網絡安全策略有哪些？網絡安全的目標主要表現在系統(tǒng)的可用性、可靠性、機密性、完整性、不可依賴性及不可控性等方面。網絡安全策略有

2、：物理安全策略，訪問控制策略，信息加密策略，安全管理策略。3.何為風險評估？網絡風險評估的項目和可解決的問題有哪些？風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。作為風險管理的祭出，風險評估是確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系規(guī)劃的過程。網絡安全評估主要有以下項目：安全策略評估，網絡物理安全評估，網絡隔離的安全性評估，系統(tǒng)配置的安全性評估，網絡防護能力評估，網絡服務的安全性評估，網絡應用系統(tǒng)的安全性評估，病毒防護系統(tǒng)的安全性評估，數據備份的安全性評估。可解決的問題有：防火墻配置不當的外部網絡拓撲結構，路由器過濾規(guī)則的設置

3、不當，弱認證機制，配置不當或易受攻擊的電子郵件和DNS服務器，潛在的網絡層Web服務器漏洞，配置不當的數據庫服務器，易受攻擊的FTP服務器。4.什么是網絡系統(tǒng)漏洞？網絡漏洞有哪些類型？從廣義上講，漏洞是在硬件、軟件、協(xié)議的具體實現或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使攻擊者能夠在未經系統(tǒng)合法用戶授權的情況下訪問或破壞系統(tǒng)。網絡漏洞主要分為操作系統(tǒng)漏洞、網絡協(xié)議漏洞、數據庫漏洞和網絡服務漏洞等。5.網絡安全的威脅主要有哪幾種？物理威脅，操作系統(tǒng)缺陷，網絡協(xié)議缺陷，體系結構缺陷，黑客程序，計算機病毒。6.常用的網絡安全使用技術有那幾個？安全漏洞掃描技術，網絡嗅探技術，數據加密技術，數字

4、簽名技術，鑒別技術，訪問控制技術，安全審計技術，防火墻技術，入侵檢測技術，病毒防范技術。7.P2DR模型中的P,P,D,R的含義是什么？ P2DR模型包含四個主要部分：Policy(安全策略)，Protection(防護)，Detection(檢測)和Response(響應)。8.OSI網絡安全體系涉及哪幾個方面？網絡安全服務和安全機制各有哪幾項？OSI安全體系結構主要包括網絡安全機制和網絡安全服務兩個方面的內容。 網絡安全服務：鑒別服務，訪問控制服務，數據完整性服務，數據保密性服務，非否認服務。 網絡安全機制：加密機制，數字簽名機制，訪問控制機制，數據完整性機制，交換鑒別機制，信息量填充機制

5、，路由控制機制，公證機制。9.簡述網絡系統(tǒng)的日常管理和安全維護措施。網絡服務器的安全管理，口令管理，利用好安全管理工具，漏洞掃描，病毒防護，入侵檢測和監(jiān)控，網絡日志管理，應急響應，軟件和數據保護。10.請列出你熟悉的幾種常用的網絡安全防護措施。安全立法安全管理實體安全技術訪問控制技術數據保密技術二、填空題1.網絡系統(tǒng)的(可靠)性是指保證網絡系統(tǒng)不因各種因素的影響而中斷正常工作。2.(機密性)是網絡信息未經授權不能進行改變的特性。3.網絡系統(tǒng)漏洞主要有(操作系統(tǒng)漏洞)、網絡協(xié)議漏洞、(數據庫漏洞)和(網絡服務漏洞)等。4.網絡的安全威脅主要來自(網絡中存在)的不安全因素,這些不安全因素包括(網絡

6、本身的不可靠性和脆弱性)和(人為破壞)兩方面。5.網絡安全的主要威脅有(物理威脅)、(操作系統(tǒng)缺陷)、(網絡協(xié)議缺陷)和計算機病毒等。6.網絡風險評估包括對來自(企業(yè)外部)的網絡風險和(企業(yè)內部)網絡的風險進行評估。7.網絡安全機制包括(加密機制)、(數字簽名機制)、訪問控制機制、(數據完整性機制)、交換鑒別機制、(路由控制機制)信息量填充機制和(公證機制)。8.TCSEC將計算機系統(tǒng)的安全分為(七)個級別,(D類)是最低級別,(A類)是最高級別,(C1)級是保護秘密信息的最低級別。三、單項選擇題1、入侵者通過觀察網絡線路上的信息,而不干擾信息的正常流動,如搭線竊聽或非授權地閱讀信息,這樣做不

7、會影響信息的(A).A.完整性B.可靠性C.可控性D.保密性2、入侵者對傳輸中的信息或存儲的信息進行各種非法處理,如有選擇地更改、插入、延遲、刪除或復制這些信息,這會破壞網絡信息的( C )A.可用性 B.可靠性 C. 完整性 D.保密性3、入侵者利用操作系統(tǒng)存在的后門進入網絡系統(tǒng)進行非法操作,這樣可能會影響到系統(tǒng)信息的(D)。A.可用性B.保密性C.完整性D.A、B、C都對4、網絡安全包括(A)安全運行和(C)安全包括兩方面的內容.這就是通常所說可靠性、保密性、完整性和可用性.(B)是指保護網絡系統(tǒng)中的存儲和傳輸的數據不被非法操作；(D)是指在保證數據完整性的同時,還要能使其被正常利用和操作

8、；(A)主要是利用密碼技術對數據進行加密處理,保證在系統(tǒng)中傳輸的數據不被無關人員識別。(1)A.系統(tǒng)B.通信C.信息D.傳輸(2)A.系統(tǒng)B.通信C.信息D.傳輸(3)A.保密性B.完整性C.可靠性D.可用性(4)A.保密性B.完整性C.可靠性D.可用性(5)A.保密性B.完整性C.可靠性D.可用性5、WinDows2000/NT系統(tǒng)的最低安全級別是(B)。A.C1B.C2C.B2D.B36、ISO的網絡安全體系結構中安全服務不包括(B)服務。A.非否認B.匿名訪問C.數據保密性D.數據完整性7.設置用戶名和口令、設置用戶權限、采取用戶身份證認證等手段屬于(D)技術。A.防火墻B.防病毒C.數

9、據加密D.訪問控制8、制定(A)策略的目的之一是保護網絡系統(tǒng)中的交換機、路由器、服務器等硬件實體和通信鏈路免受攻擊。A.物理安全B.訪問控制C.安全審計D.信息加密第二章 網絡操作系統(tǒng)安全一、問答題1.常用的網絡操作系統(tǒng)有哪些？目前較常用的網絡操作系統(tǒng)有UNIX、Linux、Windows NT/2000/2003等。2.何為系統(tǒng)漏洞補??？其作用是什么？補丁程序是指對于大型軟件系統(tǒng)在使用過程中暴露的問題而發(fā)布的解決問題的小程序。就像衣服爛了就要打補丁一樣，軟件也需要。軟件是軟件編程人員所編寫的，編寫的程序不可能十全十美，所以也就免不了會出現BUG，而補丁就是專門修復這些BUG的。補丁是由軟件的

10、原作者編制的，因此可以訪問他們的網絡下載補丁程序。3.Windows NT/2000/XP系統(tǒng)都有哪些漏洞？NT：賬戶數據庫漏洞，SMB協(xié)議漏洞，Guest賬戶漏洞，默認共享連接漏洞，多次嘗試連接次數漏洞，顯示用戶名漏洞，打印漏洞。2000：登錄輸入法漏洞，空連接漏洞，Telnet拒絕服務攻擊漏洞，IIS溢出漏洞，Unicode漏洞，IIS驗證漏洞，域賬號鎖定漏洞，ActiveX控件漏洞。XP：升級程序帶來的漏洞，UPnP服務漏洞，壓縮文件夾漏洞，服務拒絕漏洞，Windows Media Player漏洞，虛擬機漏洞，熱鍵漏洞，賬號快速切換漏洞。4.如何設置用戶的賬戶策略？第1步：展開賬戶鎖定

11、策略。在“組策略”編輯器中依次展開“計算機配置” “Windows設置”“安全設置”“賬戶策略”“賬戶鎖定策略”，在右側窗口中顯示可進行配置的賬戶策略。第2步：配置賬戶鎖定閾值。右擊“賬戶鎖定閾值”，選擇“屬性”。輸入無效登錄鎖定賬戶的次數，單擊“應用”“確定”即可。第3步：配置賬戶鎖定時間。右擊“賬戶鎖定時間”，選擇“屬性”，設定時間后點擊“確定”按鈕。第4步：配置復位賬戶鎖定計數器。右擊“復位賬戶鎖定計數器”，選擇“屬性”，設定時間后點擊“確定”按鈕。5.網絡操作系統(tǒng)有哪些安全機制?（1）硬件安全：硬件安全是網絡操作系統(tǒng)安全的基礎。（2）安全標記：對于系統(tǒng)用戶而言，系統(tǒng)必須有一個安全而唯一

12、的標記。在用戶進入系統(tǒng)時，這個安全標記不僅可以判斷用戶的合法性，而且還應該防止用戶的身份被破譯。（3）訪問控制：在合法用戶進入系統(tǒng)后，安全操作系統(tǒng)還應該能夠控制用戶對程序或數據的訪問，防止用戶越權使用程序或數據。（4）最小權力：操作系統(tǒng)配置的安全策略使用戶僅僅能夠獲得其工作需要的操作權限。（5）安全審計：安全操作系統(tǒng)應該做到對用戶操作過程的記錄、檢查和審計。6.如何設置用戶的密碼策略？配置系統(tǒng)密碼策略的操作如下：第1步：打開“密碼策略”。在“組策略”編輯器中依次展開“計算機配置” “Windows設置”“安全設置”“賬戶策略”“密碼策略”，在右側窗口中顯示可進行配置的密碼策略。第2步：配置密碼

13、復雜性要求。右擊“密碼必須符合復雜性要求”，選擇“屬性”。點選“已啟用”，再單擊“應用”“確定”，即可啟動密碼復雜性設置。第3步：配置密碼長度。右擊“密碼長度最小值”，選擇“屬性”。輸入字符的長度值，再單擊“應用”“確定”即可。第4步：配置密碼最長使用期限。右擊“密碼最長存留期”，選擇“屬性”。輸入密碼的過期時間(本例為30天，系統(tǒng)默認為42天)，單擊“確定”即可。第5步：配置密碼最短使用期限。配置“密碼最短存留期”的方法類似于“密碼最長存留期”。第6步：配置強制密碼歷史。右擊“強制密碼歷史”，選擇“屬性”；選擇“保留密碼歷史”的數字，再“確定”即可?！皬娭泼艽a歷史”的意思是用戶在修改密碼時必

14、須滿足所規(guī)定記住密碼的個數而不能連續(xù)使用舊密碼。二、填空題1.網絡訪問控制可分為（自主訪問控制）和（強制訪問控制）兩大類。2.（自主訪問控制）訪問控制指由系統(tǒng)提供用戶有權對自身鎖創(chuàng)建的訪問對象進行訪問，并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。3.硬件安全是網絡操作系統(tǒng)安全的（基礎）。4.安全審計可以檢查系統(tǒng)的(安全性),并對事故進行記錄。5.補丁程序是（對于大型軟件系統(tǒng)在使用過程中暴露的問題而發(fā)布的解決問題的）小程序。6.安裝補丁程序的方法通常有（自動更新）和手工操作。三、單項選擇題1網絡訪問控制可分為自主訪問控制和強制訪問控制兩大類。(D)是指由系統(tǒng)對用戶所創(chuàng)建

15、的對象進行統(tǒng)一的限制性規(guī)定。(C)是指由系統(tǒng)提供用戶有權對自身所創(chuàng)建的訪問對象進行訪問，并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。用戶名/口令、權限安全、屬性安全等都屬于(D)。 (1) A服務器安全控制 B檢測和鎖定控制 C自主訪問控制 D強制訪問控制 (2) A服務器安全控制 B檢測和鎖定控制 C自主訪問控制 D強制訪問控制 (3) A服務器安全控制 B檢測和鎖定控制 C自主訪問控制 D強制訪問控制 2.運行（A）程序可進入組策略編輯器進行系統(tǒng)安全設置A.gpedit.msc B.regedit C.mmc D.config3.進入（B）后可修改系統(tǒng)默認的TTL

16、值。A.組策略編輯器 B.注冊表編輯器 C.計算機管理 D.控制臺第三章 網絡數據庫安全一、問答題1.簡述數據庫管理系統(tǒng)特性。數據庫管理系統(tǒng)(DBMS):它是為數據庫的建立,使用和維護而配置的軟件。其特點有:1 數據結構化.2 數據冗余小易擴充,3 數據獨立于程序,4 數據由DBMS統(tǒng)一管理和控制。2.簡述數據庫系統(tǒng)的缺陷和威脅。缺陷：忽略數據庫的安全，沒有內置一些基本安全策略，數據庫賬號密碼容易泄漏，操作系統(tǒng)后門，木馬威脅。威脅：篡改，損壞，竊取。3.簡述數據庫的安全性策略。系統(tǒng)安全性策略，數據安全型策略，用戶安全性策略，DBA安全性策略，應用程序開發(fā)者安全性策略。4.何為數據的完整性？影響

17、數據完整性的因素有哪些？數據完整性的目的就是保證網絡數據庫系統(tǒng)中的數據處于一種完整或未被損壞的狀態(tài)。數據完整性意味著數據不會由于有意或無意的事件而被改變或丟失。相反，數據完整性的喪失，就意味著發(fā)生了導致數據被改變或丟失的事件。影響數據完整性的因素：硬件故障，軟件故障，網絡故障，人為威脅，災難性事件。5.何為數據備份？數據備份有哪些類型？數據備份是指為防止系統(tǒng)出現操作失誤或系統(tǒng)故障而導致數據丟失，而將全系統(tǒng)或部分數據集合從應用主機的硬盤或陣列中復制到其他存儲介質上的過程。網絡系統(tǒng)中的數據備份，通常是指將存儲在計算機系統(tǒng)中的數據復制到磁帶、磁盤、光盤等存儲介質上，在網絡以外的地方另行保管。按數據備

18、份時的數據庫狀態(tài)的不同可分為冷備份、熱備份和邏輯備份。6.何為數據恢復？數據恢復措施有哪些？數據恢復是指將備份到存儲介質上的數據恢復到網絡系統(tǒng)中的操作，它與數據備份是一個相反的過程。數據恢復操作通?？煞譃槿?，全盤恢復、個別文件恢復和重定向恢復。二、填空題1.按數據備份時備份的數據不同，可有（完全備份）、（增量備份）、（差別備份）和按需備份等備份方式。2.數據恢復操作的種類有（全盤恢復）、（個別文件恢復）和重定向恢復。3.數據庫安全包括數據庫（系統(tǒng)）安全性和數據庫（數據）安全性兩層涵義。4.（數據的一致性和并發(fā)控制）是指在多用戶環(huán)境下，對數據庫的并行操作進行規(guī)范的機制，從而保證數據的正確性與一

19、致性。5.當故障影響數據庫系統(tǒng)操作，甚至使數據庫中全部或部分數據丟失，希望能盡快恢復到原數據庫狀態(tài)或重建一個完整的數據庫，該處理稱為（全盤恢復）。6.（數據備份）是指為防止系統(tǒng)出現操作失誤或系統(tǒng)故障導致數據丟失，而將全系統(tǒng)或部分數據從主機的硬盤或陣列中復制到其他存儲介質上的過程。7.影響數據完整性的主要因素有（硬件故障）、軟件故障、（網絡故障）、人為威脅和意外災難等。三、單項選擇題1.按數據備份時數據庫狀態(tài)的不同有（D）。A.熱備份 B.冷備份 C.邏輯備份 D.A、B、C都對2.數據庫系統(tǒng)的安全框架可以劃分為網絡系統(tǒng)、（A）和DBMS三個層次。A.操作系統(tǒng) B.數據庫系統(tǒng) C.軟件系統(tǒng) D.

20、容錯系統(tǒng)3.按備份周期對整個系統(tǒng)所有的文件進行備份的方式是（A）備份。A.完全 B.增量 C.差別 D.按需4.數據的（D）是指保護網絡中存儲和傳輸數據不被非法改變。A.一致性 B.獨立性 C.保密性 D.完整性5.軟件錯誤、文件損壞、數據交換錯誤、操作系統(tǒng)錯誤等是影響數據完整性的（B）原因。A人為因素B軟件和數據故障C硬件故障D網絡故障第四章 網絡硬件設備安全一、問答題1.解釋網絡系統(tǒng)安全中的“冗余”含義及冗余的目的。系統(tǒng)冗余就是重復配置系統(tǒng)中的一些部件。當系統(tǒng)某些部件發(fā)生故障時，冗余配置的其他部件介入并承擔故障部件的工作，由此提高系統(tǒng)的可靠性。也就是說，冗余是將相同的功能設計在兩個或兩個以

21、上設備中，如果一個設備有問題，另外一個設備就會自動承擔起正常工作。冗余的目的是：系統(tǒng)運行不受局部故障的影響，故障部件的維護對整個系統(tǒng)的功能實現沒有影響，并可以實現在線維護，使故障部件得到及時的修復；2.什么是服務器鏡像？什么是端口匯聚？服務器鏡像就是設置兩臺服務器（一個為主服務器，另一個為備份服務器），裝有相同的網絡操作系統(tǒng)和重要軟件，通過網卡連接。當主服務器發(fā)生故障時，備份服務器接替主服務器工作，實現主、備服務器之間容錯切換。在備份服務器工作期間，用戶可對主服務器故障進行修復，并重新恢復系統(tǒng)。端口聚合也叫以太通道，主要用于交換機之間的連接。利用端口匯聚技術，交換機會把一組物理端口聯合起來，作

22、為一個邏輯通道。端口聚合可將多個物理連接當做一個單一的邏輯連接來處理，它允許兩個交換機之間通過多個端口并行連接，同時傳輸數據以提供更高的帶寬、更大的吞吐量和可恢復性技術。3.網絡設備冗余有哪些措施？網絡服務器系統(tǒng)冗余，核心交換機冗余，供電系統(tǒng)的冗余，鏈接冗余，網絡邊界設備冗余，空閑備件。4.簡述路由器訪問控制的安全策略。嚴格控制可以訪問路由器的管理員；對路由器的任何一次維護都需要記錄備案，要有完備的路由器的安全訪問和維護記錄日志；建議不要遠程訪問路由器；要嚴格地為IOS（Cisco網際操作系統(tǒng)）作安全備份，及時升級和修補IOS軟件，并迅速為IOS安裝補丁；要為路由器的配置文件作安全備份；為路由

23、器配備UPS設備，或者至少要有冗余電源。 為進入特權模式設置強壯的密碼，可采用enable secret（不要采用enable password）命令進行設置，并且啟用Service password-encryption；嚴格控制CON端口的訪問；如果不使用AUX端口，則應禁止該端口，使用如下命令即可（默認情況下是未被啟用）；若要對權限進行分級，采用權限分級策略。5.簡述安全交換機的新功能。 802.1x安全認證 ；流量控制 ；防范DDoS攻擊； 虛擬局域網VLAN； 基于ACL的防火墻功能； IDS功能。6.簡述服務器的安全策略。對服務器進行安全設置；進行日常的安全檢測；加強服務器的日常管

24、理；采取安全的訪問控制措施；禁用不必要的服務；修改注冊表；正確劃分文件系統(tǒng)格式；正確設置磁盤的安全性；7簡述客戶機實體安全和系統(tǒng)安全策略?？蛻魴C實體安全：設定使用者授權機制，設定訪問控制權限， 定期執(zhí)行備份工作客戶機系統(tǒng)安全：重視軟件相關的安全修補程序，安裝防毒軟件并定期更新病毒碼，遠程管理的安全性，減少不必要的應用程序，合理使用客戶機管理程序，不隨意下載或執(zhí)行來源不明的文檔或程序。8.列舉幾種網絡上常用的服務器。文件服務器，數據庫服務器，HDCP服務器，Web服務器，FTP服務器，DNS服務器，STMP服務器，應用服務器。9.簡述機房環(huán)境及場地的選擇考慮。（1）為提高計算機網絡機房的安全可靠

25、性，機房應有一個良好的環(huán)境。因此，機房的場地選擇應考慮避開有害氣體源以及存放腐蝕、易燃、易爆物品的地方，避開低洼、潮濕的地方，避開強振動源和強噪音源，避開電磁干擾源。（2）機房內應安裝監(jiān)視和報警裝置。在機房內通風孔、隱蔽地方安裝監(jiān)視器和報警器，用來監(jiān)視和檢測入侵者，預報意外災害等。10.簡述機房的防火和防水。機房火災的防范要以預防為主、防消結合。平時加強防范，消除一切火災隱患；一旦失火，要積極撲救；災后做好彌補、恢復工作，減少損失。機房防火的主要措施有建筑物防火、設置報警系統(tǒng)及滅火裝置和加強防火安全管理。一般，可采取的防水措施有在機房地面和墻壁使用防滲水和防潮材料處理、在機房四周筑有水泥墻腳（

26、防水圍墻）、對機房屋頂進行防水處理、地板下區(qū)域設置合適的排水設施、機房內或附近及樓上房間一般不應有用水設備、機房必須設置水淹報警裝置等。11.簡述機房的靜電防護。機房建設時，在機房地面鋪設靜電地板；工作人員在工作時穿戴防靜電衣服和鞋帽；工作人員在拆裝和檢修機器時應在手腕上戴防靜電手環(huán)；保持機房內相應的溫度和濕度。12.簡述機房的電磁干擾和電磁輻射概念和區(qū)別。電磁干擾和電磁輻射不是一回事。電磁干擾是系統(tǒng)外部電磁場對系統(tǒng)內部設備及信息的干擾；而電磁輻射是電的基本特性，是系統(tǒng)內部的電磁波向外部的傳播。電磁輻射出的信息不僅容易被截取并破譯，而且當發(fā)射頻率高到一定程度時會對人體有害。13.什么是NAT？

27、簡述NAT的應用。NAT（Network Address Translation，網絡地址轉換）是將IP 數據包頭中的IP 地址轉換為另一個IP 地址的過程。在實際應用中，NAT 主要用于實現私有網絡訪問公共網絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。14.什么是VRRP？它的作用是什么？VRRP（Virtual Router Redundancy Protocol，虛擬路由器冗余協(xié)議）是一種選擇性協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網中的VRRP路由器?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負責轉

28、發(fā)數據包到虛擬IP地址上。一旦主路由器不可用，這種選擇過程就提供動態(tài)的故障轉移機制，允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。使用VRRP的優(yōu)點是有更高默認路徑的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現協(xié)議。15.客戶機的安全策略有哪些？ 設定使用者授權機制；設定訪問控制權限；定期執(zhí)行備份工作。二、填空題1.網絡服務器冗余措施有（存儲設備）冗余、（電源）冗余和（網卡）冗余等。2.網絡設備的冗余措施有（核心交換機）冗余、（供電系統(tǒng)的）冗余、（鏈接)冗余和（網絡邊界設備）冗余等。3.網絡機房的保護通常包括機房的（防火）、（防水）、防雷和接地、（防靜電）、防盜、防震等措施

29、。4.一般情況下，機房的溫度應控制在（1035），機房相對濕度應為（30%80）%。5.“冗余”就是（增加多余的設備），以保證系統(tǒng)更加可靠、安全地工作。6.網絡系統(tǒng)的主要設備有（網絡服務器）、（核心交換機）、（存儲設備）和（供電設備）等。7.路由選擇算法可分為（自適應）路由選擇算法和（非自適應）路由選擇算法兩大類。8.網絡服務器有（文件服務器）、（數據庫服務器）、（Internet/Intranet通用服務器）和（應用服務器）服務器等，9.Internet應用服務器有（HDCP服務器）、（Web服務器）、（FTP服務器）和（DNS服務器）等。三、選擇題1.雙機熱備份是采用了兩個（A）。A.服務

30、器互為備份 B.硬盤互為鏡像 C.磁盤互為鏡像 D.客戶機互為備份2.以下（D）是網絡供電系統(tǒng)的冗余措施。A.WPS B.PGP C.USB D.UPS3.觸摸機器時有時人手會有一種麻酥酥的感覺，這是（B）現象引起的。A.電磁輻射 B.靜電 C.電磁干擾 D.潮濕4.（C）是網絡系統(tǒng)的互連設備。A.服務器 B.交換機 C.路由器 D.客戶機第五章 網絡軟件安全一、問答題1.簡述TCP/IP的層次結構和主要協(xié)議的功能。層次結構：網絡接口層、網絡層、傳輸層、應用層 協(xié)議：網絡層主要協(xié)議IP和ICMP，IP協(xié)議是Internet中的基礎協(xié)議，他提供了不可靠的、盡最大努力的、無連接的數據報傳遞服務。I

31、CMP是一種面向連接的協(xié)議，用于傳輸錯誤報告控制信息。 傳輸層主要協(xié)議TCP和UDP，TCP協(xié)議是再IP協(xié)議提供的服務基礎上，支持面向連接的、可靠地傳輸服務。UDP協(xié)議是直接利用IP協(xié)議進行UDP數據報的傳輸，因此UDP提供的是無連接、不保證數據完整到達目的地的傳輸。 應用層為協(xié)議的最高層，在該層應用程序與協(xié)議相互配合，發(fā)送或接收數據，TCP/IP協(xié)議集在應用層上有遠程登錄協(xié)議（Telnet）、文件傳輸協(xié)議（FTP）、電子郵件協(xié)議（SMTP）、域名系統(tǒng)（DNS）等2.簡述軟件限制策略原則。（1）應用軟件和數據文件的獨立原則，用戶即使具有數據文件的訪問權限，但若沒有其關聯軟件的訪問權限，仍然不能

32、打開這個文件。（2）軟件限制策略的沖突處理原則，軟件限制策略與其他組策略一樣，可以在多個級別上進行設置，軟件限制策略可以在本地計算機、站點、域或組織單元等多個環(huán)節(jié)進行設置，每個級別又可以針對用戶與計算機進行設置。（3）默認情況下，軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規(guī)則?！安皇芟薜摹币?guī)則規(guī)定所有用戶都可以運行指定的應用軟件?！安辉试S的”規(guī)則規(guī)定所有用戶，都不能運行指定應用軟件，無論其是否對數據文件具有訪問權限。3.簡述EFS系統(tǒng)的特性。加密文件系統(tǒng)（Encrypting File System，EFS）是Windows文件系統(tǒng)的內置文件加密工具，它以公共密鑰加密為基礎，使用

33、CryptoAPI架構，提供一種透明的文件加密服務。EFS可對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。對于NTFS卷上的文件和數據，都可以直接被操作系統(tǒng)加密保存，這在很大程度上提高了數據的安全性。4.IPSec的主要作用是什么。IP安全協(xié)議（IP Security，IPSec）是一個網絡安全協(xié)議的工業(yè)標準，也是目前TCP/IP網絡的安全化協(xié)議標準。IPSec最主要的功能是為IP通信提供加密和認證，為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，有效抵御網絡攻擊，同時保持其易用性。5.SSL和SSH協(xié)議各提供什么主要服務。SSL是基于Web應用的安全協(xié)議，主要提供

34、用戶和服務器的合法性認證、數據加密解密和數據完整性的功能。從客戶端來看，SSH提供基于口令和基于密鑰的兩種級別的安全驗證；從服務器端來看，SSH提供對遠程連接的處理，一般包括公鑰認證、密鑰交換、對稱密鑰加密和非安全連接。二、填空題1.TCP協(xié)議集由上百個協(xié)議組成，其中最著名的協(xié)議是（TCP）協(xié)議和（IP）協(xié)議。2.IP協(xié)議提供（不可靠的）、（盡最大努力的）和（無連接的）數據傳輸服務。3.TCP/IP的網絡接口層安全一般可做到點對點間較強的（身份認證）、（保密性）和連續(xù)的信道認證。4.TCP/IP協(xié)議的網絡層提供基于（主機對主機）的安全服務，相應的安全協(xié)議可用來在Internet上建立安全的（I

35、P）通道和（VPN）。5.TCP/IP協(xié)議的傳輸層安全機制的主要優(yōu)點是提供基于（進程對進程）的安全服務。6.TCP/IP協(xié)議的應用層提供對每個應用（包括應用協(xié)議）進行（修改和擴充）的安全服務，加入新的安全功能。7.已實現的TCP/IP應用層安全技術有（SET）、SEPP、（PEM）和S-HTTP協(xié)議等。8.加密文件系統(tǒng)(EFS)是Windows文件系統(tǒng)內置的（文件加密工具），它以（公共密鑰加密）為基礎，提供一種透明的（文件加密）服務。9.EFS作為操作系統(tǒng)級的安全服務，當保存文件時EFS將自動對文件進行（加密），當用戶重新打開文件時候，系統(tǒng)將對文件進行（自動解密）。10.使用EFS加密功能的兩

36、個條件分別是（Windows 2000/XP/2003操作系統(tǒng)）和（NTFS）分區(qū)格式。11.IP安全協(xié)議（IPSec）是一個網絡安全協(xié)議標準，其主要功能是為了IP通信提供（加密和認證），保護TCP/IP通信免遭（竊聽和篡改），有效抵御（網絡攻擊），同時保持其易用性。 12.IPSec是由（網絡認證協(xié)議AH）、（封裝安全載荷協(xié)議ESP）、（密鑰管理協(xié)議IKE）和用于網絡認證及加密的一些算法組成的系統(tǒng)協(xié)議。 13. IPSec可用于IPv4和（IPv6）環(huán)境，它有（隧道模式）和（傳輸模式）兩種工作模式。 14.IPSec可對數據進行（加密和驗證）。AH協(xié)議用于（對數據包包頭進行完整性驗證），ES

37、P協(xié)議用于（對數據的加密和完整性驗證）。 15.SSL協(xié)議是一種在客戶端和服務器端之間建立（安全通道）的協(xié)議，已被廣泛用于Web瀏覽器與服務器之間的（身份認證）和（加密數據傳輸）。16.SSH協(xié)議是建立在應用層和傳輸層基礎上的、具有易于使用、(安全性)和(靈活性)好等優(yōu)點,是一種在不安全網絡上提供(安全遠程登陸)及其他安全網絡服務的協(xié)議。17. SSH主要由(傳輸層)協(xié)議、(用戶認證)協(xié)議和(連接)協(xié)議三部分組成,共同實現SSH保密功能 18. SSH協(xié)議分為(客戶端)和(服務器端)兩部分。服務器端提供對遠程連接的處理,一般包括(公鑰認證)、(密鑰交換)、(對稱密鑰加密)和非安全連接。在客戶端

38、,SSH提供基于(口令)和基于(密鑰)的兩種級別的安全驗證。三、單項選擇題1、IPSeC服務可提供( D ) 。A.非否認服務功能 B.證書服務功能 C.數據完整性服務功能 D.加密和認證服務功能 2、EFS系統(tǒng)可提供( D ) 。 A.認證服務功能 B.證書服務功能 C.數據完整性服務 D.加密服務功能 3、IPSeC是由AH、ESP、IKE和用于網絡認證及加密的一些算法組成的習哦他能夠協(xié)議.密鑰的管理和交換功能是由( C )提供的。 A.AH B. ESP C. IKE D. PKI 4.由于IP協(xié)議提供無連接的服務,在傳送過程中若發(fā)生差錯就需要( C )協(xié)議向源節(jié)點報告差錯情況,以便源節(jié)

39、點對此做出相應的處理。 A. TCP B. ESP C. ICMP D. RARP 5、ESP必須在( A )格式下工作。 A. NTFS B. FAT32 C. DOS D. WinDows 6、SSL協(xié)議提供在客戶端和服務器之間的( B )。 A.遠程登錄 B.安全通信 C.密鑰安全認證 D.非安全連接第六章 數據加密與認證技術一、問答題1.簡述密碼學的兩方面含義。 密碼學包括密碼編碼學和密碼分析學。前者是研究密碼變化的規(guī)律并用之于編制密碼以保護秘密信息的科學，即研究如何通過編碼技術來改變被保護信息的形式，使得編碼后的信息除指定接受者之外的其他人都不能理解；后者是研究密碼變化的規(guī)律并用之于

40、分析密碼以獲取信息情報的科學，即研究如何攻破一個密碼系統(tǒng)，恢復被隱藏起來的信息的本來面目。 密碼編碼學是實現對信息的保密，密碼分析學是實現對信息解密的。2.什么是加密、解密、密鑰和密碼算法？ 明文轉變?yōu)槊芪牡倪^程稱為加密；密文轉換為明文的過程稱為解密；密碼算法也叫密碼函數，是用于加密和解密的變換規(guī)則，多為數學函數，通常情況下，密碼算法包括加密算法和解密算法；密鑰是進行加密或解密時包含在算法中的參數。同樣，密鑰也分為加密密鑰和解密密鑰。3.何為移位密碼和替代密碼。 移位密碼也叫換位密碼，移位密碼是在加密時只對明文字母重新排序，每個字母的位置變化了，但沒有被隱藏起來。 替代密碼也叫置換密碼，替代密

41、碼就是在加密時將明文中的每個或每組字符由另一個或另一組字符所替換，原字符被隱藏起來，即形成密文。 4.簡述對稱密鑰密碼和非對稱密鑰密碼體制及其特點。 對稱密鑰密碼體制也叫傳統(tǒng)密鑰密碼體制，其基本思想就是，加密密鑰與解密密鑰相同或相近，由其中一個可推導出另一個，使用時兩個密鑰均需保密。 非對稱密鑰密碼采用兩個不同的密鑰來對信息進行加密。加密密鑰和解密密鑰不同，有其中一個不容易得到另一個。通常，加密密鑰是公開的，解密密鑰是保密的，加密和解密算法都是公開的。5.簡述DES算法簡介。DES算法采用的是以56位密鑰對64位數據進行加密的算法，主要適用于對民用信息的加密。在DES算法中有Data、Key、

42、Mode三個參數。其中Data代表需要加密或解密的數據，由8字節(jié)64位組成；Key代表加密或解密的密鑰，也由8字節(jié)64位組成；Mode代表加密或解密的狀態(tài)。在DES算法中加密和解密的原理是一樣的，只是因為Mode的狀態(tài)不同，適用密鑰的順序不同而已。6.什么是端-端加密？ 端-端加密是傳輸數據在應用層上完成加密的。端-端加密可對兩個用戶之間傳輸的數據提供連續(xù)的安全保護。數據在初始結點上被加密，直到目的結點時才被解密，在中間結點和鏈路上數據均以密文形式傳輸。7.簡述數字簽名的概念及其功能。數字簽名就是附加在數據單元上的一些特殊數據，或是對數據單元所做的密碼變換。這種數據或變換允許數據單元的接受者來

43、確認數據單元的來源和數據單元的完整性，防止被人偽造。數字簽名是使用密碼技術實現的。數字簽名能保證信息傳輸的完整性和發(fā)送者身份的真實性，防止交易中的抵賴行為。數字簽名具有以下功能：收方能夠確認發(fā)方的簽名，但不能偽造。發(fā)方發(fā)出簽過名的信息后，不能在否認。收方對收到的簽名信息也不能否認。一旦收發(fā)雙方出現爭執(zhí)，仲裁者可有充足的證據進行裁決。8.簡述不安全的口令表現。如何保持和維護口令安全？表現：（1）使用簡單的數字，英文字母組合，如手機號，生日，姓名等。 （2）沒有規(guī)范上網，將密碼保存在易失的位置。保持和維護：（1）使用復雜的密碼 （2）使用軟鍵盤 （3）使用動態(tài)密碼（4）不要保存密碼在本地 （5）密

44、碼分級 （6）個人密碼管理9.簡述數字證書的功能和應用。數字證書可證明某一實體的身份及其公鑰的合法性，以及該實體與公鑰二者之間的匹配關系。數字證書主要用于身份認證、簽名驗證和有效期的檢查。二、填空題1. 密碼學包括(密碼編碼學)和(密碼分析學)兩部分。其中(密碼編碼學)研究的是通過(替代和移位)來改變被保護信息的形式,使得編碼后的信息除合法用戶之外的其他人都不可理解;(碼分析學)研究的是如何(破解)密碼,恢復被隱藏起來信息的本來面目。(密碼編碼學)是實現對信息加密的,(密碼分析學)是實現對信息解密的。2.20世紀70年代,密碼學的兩在著名算法分別是(RSA)和(DES)。3.把明文變換成密文的

45、過程叫(加密);解密過程是利用解密密鑰,對(密文)按照解密算法規(guī)則變換,得到(明文)的過程。 4. 典型的對稱密鑰密碼算法有(DES)、(TDEA)和(AES)等。5. 典型的非對稱密碼算法有(RSA)、(背包算法)和(拉賓算法)等。 6.在密碼算法公開的情況下,密碼系統(tǒng)的保密強度基本上取決于(密鑰的保密)。7. IDEA是(對稱)密碼體制的算法。它使用(128)位密鑰可對(64)位的分組進行加密和解密。 8. DES的加密和解密時使用的密鑰順序是(相反)。 9.對稱加密體制比非對稱加密體制具有(速度快)的優(yōu)點。10. PGP使用混合加密算法,它是由一個對稱加密算法(IDEA)和一個非對稱加密

46、算法(RSA)實現數據的加密。在PGP中,主要使用(IDEA)算法對數據進行加密,使用(RSA)算法對密鑰進行加密。11.PGP軟件具有(加密)和(數字簽名)兩種功能。它不但可以對(郵件或文件加密),以防止非授權者閱讀,還能對郵件進行(數字簽名),使收信人確信郵件未被第三者篡改。12.廣泛應用的數字簽名的主要算法有(RSA)、(DSS)和(Hash)。13.通過數字簽名和數字證書技術可實現交易的(不可抵賴)性。三、單項選擇題1、最著名、應用最廣泛的非對稱密碼算法是( B ),它的安全性是基于大整數因子分解的困難性。 A.DES B. RSA C. 3DES D. DSA 2、最典型的對稱密鑰密

47、碼算法是( A ),它是用56位密鑰對64位明文進行加密的。A.DES B. RSA C. 3DES D. DSA 3、在加密時將明文中的每個或每組字符由另一個或另一組字符所替換,原字符被隱藏起來,這種密碼叫( C ) 。 A、.移位密碼 B.分組密碼 C.替代密碼 D.序列密碼 4、加密密鑰和解密密鑰相同或相近,這樣的密碼系統(tǒng)稱為( C )系統(tǒng)。A.公鑰密碼 B.分組密碼 C.對稱密鑰 D.非對稱密鑰 5、DES算法一次可用56位密鑰組把( C )位明文組數據加密。A.32 B.48 C.64 D.128 6、以下( D )項不是數字證書技術實現的目標。A.數據保密性 B.信息完整性 C.身

48、份驗證 D.系統(tǒng)可靠性 7、以下( A )項要求不是數字簽名技術可完成的目標? A.數據保密性 B.信息完整性 C.身份驗證 D.系統(tǒng)可靠性 8、在RSA算法中,取密鑰e=3,D=7,則明文6的密文是( A ) 。A.18 B.19 C.20 D.21 9、在RSA算法中,取密鑰e=3,D=7,則明文4的密文是( D ) 。A. 8 B.23 C.30 D.31 10、在RSA算法中,取密鑰e=3,D=7,則明文5的密文是( D )。A.23 B.24 C.25 D.26 11、CA認證中心不具有( B )功能。 A.證書的頒發(fā) B.證書的申請 C.證書的查詢 D.證書的歸檔 12、使用數字證

49、書可實現( D )。A.數據加密 B.保護信息完整 C.防止交易抵賴 D.A、B、C都對第七章 網絡病毒及其防治一、問答題1.何為計算機病毒？何為計算機網絡病毒？計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且自我復制的一組計算機指令或者程序代碼。計算機網絡病毒一般是指利用網絡線路在網絡上進行傳播的病毒或是與網絡有關的病毒。2.計算機病毒有哪些特征？網絡病毒有哪些特點？計算機病毒的特征：傳染性、破壞性、隱藏性、潛伏性和可觸發(fā)性、非法性、衍生性。網絡病毒的特點：傳播速度快、傳播范圍廣、清除難度大、破壞性大、病毒變種多。3.簡述木馬和蠕蟲的危害。木馬的危害：

50、用戶計算機一旦感染木馬，就變成了一臺傀儡機，對方可以在用戶計算機上上傳下載文件，偷窺用戶的私人文件，偷取用戶的各種密碼及口令信息等。感染了木馬的系統(tǒng)用戶的一切秘密都將暴露在別人面前，隱私將不復存在。蠕蟲的危害：蠕蟲不僅破壞網絡性能，在傳染系統(tǒng)后還會在系統(tǒng)內留下后門，方便黑客下次進入系統(tǒng)、控制系統(tǒng)。蠕蟲不僅破壞系統(tǒng)文件，還會影響整個網絡的運行，使網絡服務器資源遭到破壞，使整個網絡系統(tǒng)癱瘓。4.病毒的發(fā)展趨勢如何？網絡化、功能的綜合化、傳播途徑的多樣化、多平臺化、智能化、欺騙性。5.簡述網絡病毒的防范措施。采取嚴格的管理措施，使用成熟的安全技術。6.簡述木馬的預防措施。（1）不隨意打開來歷不明的郵

51、件，阻塞可以郵件。（2）不隨意下載來歷不明的軟件（3）及時修補漏洞和關閉可疑的端口。（4）盡量少用共享文件夾。（5）運行實時監(jiān)控程序。（6）經常升級系統(tǒng)和更新病毒庫。（7）限制使用不必要的具有傳輸能力的文件。7.常用的防病毒軟件有哪些？卡巴斯基、賽門鐵克，小紅傘、諾頓，avast,360殺毒軟件，金山毒霸二、填空題1. 網絡病毒具有傳播方式復雜、(傳播速度快)、(傳染范圍大)和破壞危害大等特點。 2.防范病毒主要從(安全管理)和(安全技術)兩方面入手。 3.計算機病毒是一種能破壞計算機系統(tǒng)的(程序代碼)。 4.按病毒的寄生方式分類,計算機病毒有(引導型病毒)、(文件型病毒)和混合型病毒。 5.

52、網絡病毒的傳播媒介有(電子郵件)、(IE漏洞)、(Web服務)和網絡共享服務等。三、選擇題1、網絡病毒不具有( C )特點。A.傳播速度快 B.清楚難度大 C.傳播方式單一 D.破壞危害大 2、( B )是一種基于遠程控制的黑客工具,它通常寄生于用戶的計算機系統(tǒng)中,盜竊用戶信息,并通過網絡發(fā)送給黑客。 A.文件病毒 B.木馬 C.引導型病毒 D.蠕蟲 3、( D )是一種可以自我復制的完全獨立的程序,它的傳播不需要借助被感染主機的其他程序。 A.文件病毒 B.木馬 C.引導型病毒 D.蠕蟲 第八章 網絡的攻擊和防護一、問答題1.何為防火墻？防火墻的主要功能和不足之處有哪些？防火墻是提供信息安全

53、服務、實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器、限制器，可有效地監(jiān)控內部網和外部網之間的任何活動，保證內部網的安全。主要功能：（1）掃描信息，過濾攻擊；（2）關閉不需要的端口;（3）禁止特定端口的流出通信；（4）禁止特殊站點的訪問；（5）限制特定用戶的通信。不足之處：（1）網絡瓶頸；（2）不能防范不經過防火墻的信息攻擊；（3）不能防范病毒的傳播；（4）不能防范內部人員的攻擊。2.簡述防火墻的體系結構及各自的特點。（1）過濾路由器結構：路由器是網絡間通信的唯一通道，兩個網絡之間的通信必須經過路由器的過濾；如果路由器的過濾功能配置不完善，則系統(tǒng)的安全性能會大受影響。（2）雙宿主機

54、結構：兩個網絡之間的通信要經過雙重宿主主機的檢查和過濾，內外部網之間不能直接通信。（3）屏蔽子網結構：更安全，外部網的有害信息要進入內部網至少需要攻破三種設備；成本高，對網絡管理員的技術要求也高。3.何為黑客？簡述黑客攻擊的主要類型、攻擊的手段和工具。黑客是一群精通計算機操作系統(tǒng)和編程語言方面的技術，具有硬件和軟件的高級知識，能發(fā)現系統(tǒng)中存在安全漏洞的人。黑客攻擊的主要類型：拒絕服務型攻擊、利用型攻擊，信息收集型攻擊和虛假信息型攻擊。攻擊的手段：獲取用戶口令、放置木馬程序、電子郵件攻擊、網絡監(jiān)聽、利用賬號進行攻擊、獲取超級用戶權限等。工具：掃描器、嗅探器、木馬和炸彈。4.簡述黑客攻擊的過程，如何對付黑客攻擊？黑客攻擊的過程：（1）確定攻擊目標；（2）收集信息；（3）系統(tǒng)安全弱點的探測；（4）建立虛擬環(huán)境，進行模擬攻擊；（5）實施網絡攻擊。對付方法：做好系統(tǒng)備份,