计算机网络安全技术(第二版)习题答案
习题一
1-1简述计算机网络安全的定义。
计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
1-2计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。
计算机网络系统的脆弱性主要表现在以下几个方面:
1.操作系统的安全脆弱性,操作系统不安全,是计算机不安全的根本原因。
2.网络系统的安全脆弱性(1)网络安全的脆弱性,(2)计算机硬件系统的故障,(3)软件本身的“后门”,(4)软件的漏洞。
3.数据库管理系统的安全脆弱性,DBMS的安全级别是B2级,那么操作系统的安全级别也应该是B2级,但实践中往往不是这样做的。
4.防火墙的局限性
5.天灾人祸,如地震、雷击等。天灾轻则造成业务工作混乱,重则造成系统中断或造成无法估量的损失。
6.其他方面的原因,如环境和灾害的影响,计算机领域中任何重大的技术进步都对安全性构成新的威胁等。
1-3 简述P2DR安全模型的涵义。
P2DR安全模型是指:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。策略,安全策略具有一般性和普遍性,一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。防护,防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性,预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵。检测,检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。响应,响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。
1-4 简述PDRR网络安全模型的涵义。
PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同,最后一个环节“恢复”,是指在系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。PDRR安全模型阐述了一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间,在系统遭受到破坏后,应尽快恢复,以减少系统暴露时间。也就是说:及时的检测和响应就是安全。
1-5 简述Internet网络体系层次结构。
现在Internet使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组,这四层协议分别是:1、物理网络接口层协议,网络接口层定义了Internet与各种物理网络之间的网络接口;2、网际层协议,网际层是网络互联层,负责相邻计算机之间的通信,提供端到端的分组传送、数据分段与组装、路由选择等功能;3、传输层协议,传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理,该层使用的协议有TCP与UDP;4、应用层协议,应用层位于TCP/IP协议的最上层,向用户提供一组应用程序和各种网络服务。
1-6 简述网络安全体系结构框架。
网络安全是一个覆盖范围很广的领域。为了更深刻地理解网络安全问题,必须对这个领域进行系统、全面的了解。对于整个网络安全体系,从不同得层面来看,包含的内容和安全要求不尽相同。
(1)从消息的层次来看,主要包括:完整性、保密性、不可否认性。
(2)从网络层次来看,主要包括:可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。
(3)从技术层次上讲,主要包括:数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。
(4)从设备层次来看,主要包括:质量保证、设备冗余备份、物理安全等。
由此可见,计算机网络安全的研究涉及到多个学科领域.其边界几乎是无法限定的。同时随着网络技术的发展,也还会有新的安全问题不断出现。
1-7 ISO对OSI规定了哪5种级别的安全服务?制定了支持安全服务的哪8种安全机制?
ISO对OSI规定了五种级别的安全服务:即对象认证、访问控制、数据保密性、数据完整性、防抵赖。
为了实现上述5种安全服务,ISO 7408-2中制定了支持安全服务的8种安全机制,它们分别是:加密机制(Enciphrement Mechanisms)、数字签名机制(Digital Signature Mechanisms)、访问控制机制(Access Control Mechanisms)、数据完整性机制(Data Integrity Mechanisms)、鉴别交换机制(Authentication Mechanisms)、通信业务填充机制(Traffic Padding Mechanisms)、路由控制机制(Routing Control Mechanisms)、公证机制(Notarization Mechanisms)。
1-8 试述安全服务和安全机制之间的关系以及安全服务与层的关系。
1、安全服务与安全机制有着密切的关系,安全服务是由安全机制来实现的,体现了安全系统的功能。一个安全服务可以由一个或几个安全机制来实现;同样,同一个安全机制也可以用于实现不同的安全服务中,安全服务和安全机制并不是一一对应的。
实现对等实体鉴别服务可以采用系统设立的一种或多种安全机制实现,如采用数据加密、数据签名、鉴别交换、公证机制等。
访问控制的实现则采用访问控制机制的方法,如最有代表性的是采用委托监控器的方法。
数据保密可采用对数据加密的方法。
数据的完整性可采用加密和数据完整性机制。
数据源点鉴别采用加密和鉴别交换机制。
禁止否认采用加密和公证机制来实现。
2、ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能,相应地,在各层需要提供不同的安全机制和安全服务,为各系统单元提供不同的安全特性。
1.安全服务层次:(1)认证服务、(2)数据保密服务、(3)数据完整服务、(4)访问控制服务、(5)抗抵赖服务。2.网络各层提供的安全服务。
通过上述对网络安全服务层次关系的分析得知:某种安全服务只能由ISO/OSI网络7层中的某一(些)特定层有选择的提供,并不是在所有各层都能实现。
1-9计算机网络安全的三个层次的具体内容是什么?
计算机网络安全的实质就是安全立法、安全技术和安全管理的综合实施,这三个层次体现了安全策略的限制、监视和保障职能:
1、安全立法
计算机网络的使用范围越来越广,其安全问题也面临着严重危机和挑战,单纯依靠技术水平的提高来保护安全不可能真正遏制网络破坏,各国政府都已经出台了相应的法律法规来约束和管理计算机网络的安全问题,让广大的网络使用者遵从一定的“游戏规则”。
目前,国外许多政府纷纷制定计算机安全方面的法律、法规,对计算机犯罪定罪、量刑产生的威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能,保持社会的安定,这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。
2、安全技术
安全技术措施是计算机网络安全的重要保证,是方法、工具、设备、手段乃至需求、环境的综合,也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多,尤其是在网络技术高速发展的今天,不仅涉及计算机和外部、外围设备,通信和网络系统实体,还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。安全技术主要涉及下面三点:物理安全技术、网络安全技术和信息安全技术。
3、安全管理
安全管理作为计算机网络安全的第三个层次,包括从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术,七分管理”,正体现于此。
1-10简述《可信计算机系统评估标准》的内容。
1983年美国国防部提出了一套《可信计算机系统评估标准》(TCSEC,Trusted Computer System Evaluation Criteria),将计算机系统的可信程度,即安全等级划分为D、C、B、A四类7级,由低到高。D级暂时不分子级;C级分为C1和C2两个子级,C2比C1提供更多的保护;B级分为B1、B2和B3共3个子级,由低到高;A级暂时不分子级。每级包括它下级的所有特性,从最简单的系统安全特性直到最高级的计算机安全模型技术,不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。
1-11简述信息系统评估通用准则、安全评估的国内通用准则的要点。
信息系统评估通用准则的要点如下:
1、安全的层次框架:自下而上。
2、安全环境:使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。
3、安全目的:对防范威胁、满足所需的组织安全政策和假设声明。
4、评估对象安全需求:对安全目的的细化,主要是一组对安全功能和保证的技术需求。
5、评估对象安全规范:对评估对象实际实现或计划实现的定义。
6、评估对象安全实现:与规范一致的评估对象实际实现。
国内通用准则的要点:我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。在此标准中,一个重要的概念是可信计算基(TCB)。可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(例如,系统管理员、安全管理员、用户等)对客体(例如,进程、文件、记录、设备等)的访问。
习题二
2-1简述物理安全的定义、目的与内容。
物理安全,是保护计算机设备、设施(含网络)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;确保系统有一个良好的电磁兼容工作环境;把有害的攻击隔离。
实体安全的内容主要包括:环境安全、电磁防护、物理隔离以及安全管理。
2-2计算机房场地的安全要求有哪些?
为保证物理安全,应对计算机及其网络系统的实体访问进行控制,即对内部或外部人员出入工作场所(主机房、数据处理区和辅助区等)进行限制。
计算机房的设计应考虑减少无关人员进入机房的机会。同时,计算机房应避免靠近公共区域,避免窗户直接邻街,应安排机房在内(室内靠中央位置),辅助工作区域在外(室内周边位置)。在一个高大的建筑内,计算机房最好不要建在潮湿的底层,也尽量避免建在顶层,因顶层可能会有漏雨和雷电穿窗而入的危险。
机房建筑和结构从安全的角度,还应该考虑:
1)电梯和楼梯不能直接进入机房。
2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。
3)外部容易接近的进出口,如风道口、排风口、窗户、应急门等应有栅栏或监控措施,而周边应有物理屏障(隔墙、带刺铁丝网等)和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。
4)机房进出口须设置应急电话。
5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。
6)计算机中心周围100m内不能有危险建筑物。危险建筑物指易燃、易爆、有害气体等存放场所,如加油站、煤气站、天燃气煤气管道和散发有强烈腐蚀气体的设施、工厂等。
7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。
8)照明应达到规定标准。
2-3简述机房的三度要求。
机房的三度要求分别是:温度、湿度、洁净度。确保这三个要求是为了保证系统的正常运行。
1.温度
计算机系统内有许多元器件,不仅发热量大而且对高温、低温敏感。环境温度过高或过低都容易引起硬件损坏。
2.湿度
机房内相对湿度过高会使电气部分绝缘性降低,会加速金属器件的腐蚀,引起绝缘性能下降,灰尘的导电性能增强,耐潮性能不良和器件失效的可能性增大;而相对湿度过低、过于干燥会导致计算机中某些器件龟裂,印刷电路板变形,特别是静电感应增加,使计算机内信息丢失、损坏芯片,对计算机带来严重危害。
3.洁净度
灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏,甚至造成击穿;灰尘还会增加机械磨损,尤其对驱动器和盘片,灰尘不仅会使读出、写入信息出现错误,而且会划伤盘片,甚至损坏磁头。因此,计算机房必须有除尘、防尘的设备和措施,保持清洁卫生,以保证设备的正常工作。
2-4机房内应采取哪些防静电措施?常用的电源保护装置有哪些?
机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板,并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外,工作人员的服装和鞋最好用低阻值的材料制作,机房内应保持一定湿度,在北方干燥季节应适当加湿,以免因干燥而产生静电。
电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。
2-5计算机房的地线、接地系统、接地体各有哪些种类?
计算机房的地线分为:保护地线、直流地线、屏蔽地线、静电地线、雷击地线。
接地系统:计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。主要有以下几种:(1)各自独立的接地系统、(2)交、直流分开的接地系统、(3)共地接地系统、(4)直流地、保护地共用地线系统、(5)建筑物内共地系统。
接地体:接地体的埋设是接地系统好坏的关键。通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。
2-6简述机房的防雷、防火、防水措施。
防雷:机房的外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。
机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击的技术设施,机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。
一个远程计算机信息网络场地应在电力线路、通信线路、天馈馈线线路、接地引线上作好防雷电的入侵。
防火、防水:为避免火灾、水灾,应采取如下具体措施:
1.隔离
建筑内的计算机房四周应设计一个隔离带,以使外部的火灾至少可隔离一个小时。系统中特别重要的设备,应尽量与人员频繁出入的地区和堆积易燃物(如打印纸)的区域隔离。所有机房门应为防火门,外层应有金属蒙皮。计算机房内部应用阻燃材料装修。
机房内应有排水装置,机房上部应有防水层,下部应有防漏层,以避免渗水、漏水现象。
2.火灾报警系统
火灾报警系统的作用是在火灾初期就能检测到并及时发出警报。
3.灭火设施
机房应有适用于计算机机房的灭火器材,机房所在楼层应有防火栓和必要的灭火器材和工具,这些物品应具有明显的标记,且需定期检查。
4.管理措施
机房应有应急计划及相关制度,要严格执行计算机房环境和设备维护的各项规章制度,加强对火灾隐患部位的检查。
2-7简述电磁干扰的分类及危害。
按干扰的耦合方式不同,可将电磁干扰分为传导干扰和辐射干扰两类。
(1)传导干扰:传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。
(2)辐射干扰:辐射干扰是通过介质以电磁场的形式传播的干扰。
电磁干扰的危害
(1)计算机电磁辐射的危害计算机作为一台电子设备,它自身的电磁辐射可造成两种危害:电磁干扰和信息泄漏。
(2)外部电磁场对计算机正常工作的影响
除了计算机对外的电磁辐射造成信息泄漏的危害外,外部强电磁场通过辐射、传导、耦合等方式也对计算机的正常工作产生很多危害。
2-8 电磁防护的措施有哪些?
目前主要电磁防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,这类防护措施又可分为以下两种:一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏
蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。
2-9简述物理隔离的安全要求。
物理隔离,在安全上的要求主要有下面三点:
(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。
(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。
(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。
2-10简述物理隔离技术经历了哪三个阶段?每个阶段各有什么技术特点。
物理隔离技术经历了:彻底的物理隔离、协议隔离、物理隔离网闸三个阶段:
1.第一阶段——彻底的物理隔离
利用物理隔离卡、安全隔离计算机和隔离集线器(交换机)所产生的网络隔离,是彻底的物理隔离,两个网络之间没有信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络的应用环境。
2.第二阶段——协议隔离
协议隔离通常指两个网络之间存在着直接的物理连接,但通过专用(或私有)协议来连接两个网络。基于协议隔离的安全隔离系统实际上是两台主机的结合体,在网络中充当网关的作用。隔离系统中两台主机之间的连接或利用网络,或利用串口、并口,还可利用USB 接口等,并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道,入侵者无法通过直接的网络连接进入内网,从而达到对内网的保护。
3.第三阶段——物理隔离网闸技术
物理隔离网闸在两个网络之间创建了一个物理隔断,从物理上阻断了具有潜在攻击可能的一切连接。而且它没有网络连接,把通信协议全部剥离,以原始数据方式进行“摆渡”。因此,它能够抵御互联网目前存在的几乎所有攻击,例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。
2-11 计算机网络管理的主要功能有哪些?
计算机网络管理的主要功能是:故障管理功能,配置管理功能,性能管理功能,安全管理功能和计费管理功能。(1)故障管理:故障管理(Fault Management)是网络管理中最基本的功能之一,即对网络非正常的操作引起的故障进行检查、诊断和排除。(2)配置管理:配置管理(Configuration Management)就是定义、收集、监测和管理系统的配置参数,使得网络性能达到最优。(3)性能管理:性能管理(Performance Management)用于收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。(4)安全管理:安全管理(Security Management)是指监视、审查和控制用户对网络的访问,并产生安全日志,以保证合法用户对网络的访问。(5)计费管理:计费管理(Accounting Management)记录网络资源的使用,目的是控制和监测网络操作的费用和代价。
2-12 画出计算机网络管理的逻辑结构模型。
2-13 什么是简单网络管理协议(SNMP)?简述SNMP的管理结构模型、工作原理及特点。
简单网络管理协议(SNMP):SNMP(Simple Network Management Protocol),即简单网络管理协议,是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议,而且是TCP/IP协议族的一部分,工作于用户数据报文协议(UDP)上。
SNMP的管理结构模型:SNMP主要用于OSI七层模型中较低几个层次的管理,它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理(Management Agents)、至少一个管理工作站(Network Management Station)、一种通用的网络管理协议(Management Protocol)和一个或多个管理信息库(MIB)四部分组成。
SNMP的工作原理:SNMP的原理十分简单,它以轮询和应答的方式进行工作,采用集中或者集中分布式的控制方法对整个网络进行控制和管理。整个网络管理系统包括SNMP 管理者、SNMP代理、管理信息库(MIB)和管理协议四个部分。
SNMP的特点:SNM之所以能成为流传最广,应用最多的一个网络管理协议,是因为它具有简单、易于实现,具有很好的扩展性等优点。
2-14 简述公共管理信息协议(CMIP)。
CMIP(Common Management Information Protocol)即公共管理信息协议,是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案,应用在OSI环境下。CMIP与SNMP一样,也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中,被管代理和管理者没有明确的区分,任何一个网络设备既可以是被管代理,也可以是管理者。
CMIP克服了SNMP的许多缺点,如安全性方面,CMIP支持授权、访问控制、安全日志等机制,构成一个相对安全的系统,定义相当详细复杂。
2-15 简述计算机网络安全管理的基本原则与工作规范。
计算机网络系统的安全管理主要基于以下三个原则:
(1)多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。
(2)任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。
(3)职责分离原则:在计算机网络系统工作的人员不要打听、了解或参与职责以外的
任何与安全有关的事情,除非系统主管领导批准。
计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
(1)根据工作的重要程度,确定该系统的安全等级。
(2)根据确定的安全等级,确定安全管理的范围。
(3)制订相应的机房出入管理制度。
(4)制订严格的操作规程。
(5)制订完备的系统维护制度。
(6)制订应急措施。
习题三
3-1简要回答防火墙的定义和发展简史。
防火墙的定义:防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙的发展简史:
第一代防火墙:第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet Filter)技术。
第二、三代防火墙:1989年,贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:1992年,USC信息科学院的Bob.Braden开发出了基于动态包过滤(Dynamic Packet Filter)技术的第四代防火墙,后来演变为目前所说的状态监视(State Fulinspection)技术。1994年,以色列的Check.Point公司开发出了第一个基于这种技术的商业化的产品。
第五代防火墙:1998年,NAI公司推出了一种自适应代理(Adaptive Proxy)技术,并在其产品Gauntlet Fire wall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
3-2设置防火墙目的是什么?防火墙的功能和局限性各有哪些?
通常应用防火墙的目的有以下几个方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。
无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏
蔽外部危险站点,用以防范外对内、内对外的非法访问。
防火墙的局限性:1.防火墙防外不防内、2.网络应用受到结构性限制、3.防火墙难于管理和配置,易造成安全漏洞、4.效率较低、故障率高、5.很难为用户在防火墙内外提供一致的安全策略、6.防火墙只实现了粗粒度的访问控制。
3-3简述防火墙的发展动态和趋势。
防火墙技术发展动态和趋势:(1)优良的性能、(2)可扩展的结构和功能、(3)简化的安装与管理、(4)主动过滤、(5)防病毒与防黑客。
未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。
3-4试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别?
数据包过滤(Packet Filtering)技术是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(通常是对从Internet进入到内部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络。
包过滤的优点:1)不用改动应用程序、2)一个过滤路由器能协助保护整个网络、3)数据包过滤对用户透明、4)过滤路由器速度快、效率高。
包过滤的缺点:1)不能彻底防止地址欺骗、2)一些应用协议不适合于数据包过滤、3)正常的数据包过滤路由器无法执行某些安全策略、4)安全性较差、5)数据包工具存在很多局限性。
1)静态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙,这种类型的防火墙根据定义好的过滤规则审查每个数据包,即与规则表进行比较,以便确定其是否与某一条包过滤规则匹配。
2)动态包过滤。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合进行检查。
动态过滤规则技术避免了静态包过滤所具有的问题,使防火墙弥补了许多不安全的隐患,在最大程度上降低了黑客攻击的成功率,从而大大提高了系统的性能和安全性。
3-5试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别?
当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。
代理技术的优点:1)代理易于配置、2)代理能生成各项记录、3)代理能灵活、完全地控制进出流量、内容、4)代理能过滤数据内容、5)代理能为用户提供透明的加密机制、6)代理可以方便地与其他安全手段集成。
代理技术的缺点:1)代理速度较路由器慢、2)代理对用户不透明、3)对于每项服务代理可能要求不同的服务器、4)代理服务不能保证免受所有协议弱点的限制、5)代理不能改进底层协议的安全性。
应用层网关(Application Level Gateways)防火墙是传统代理型防火墙,它的核心技术就是代理服务器技术,它是基于软件的,通常安装在专用工作站系统上。优点:应用层网关防火墙最突出的优点就是安全,这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。缺点:代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75M~100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。
电路层网关防火墙,另一种类型的代理技术称为电路层网关(Circuit Level Gateway)或TCP通道(TCP Tunnels)。在电路层网关中,包被提交用户应用层处理。电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,一般采用自适应代理技术,也称为自适应代理防火墙。在电路层网关中,需要安装特殊的客户机软件。它结合了应用层网关型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。
3-6防火墙的主要技术及实现方式有哪些?
防火墙的安全技术包括包过滤技术、代理、网络地址转换(NA T)等多种技术。
应用防火墙的设计实现方式主要有:应用网关代理、回路级代理服务器、代管服务器、IP通道(IP Tunnels)、隔离域名服务器(Split Domain Name Sever)、邮件转发技术(Mail Forwarding)。
3-7防火墙的常见体系结构有哪几种?
一个防火墙系统通常由屏蔽路由器和代理服务器组成。
屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,屏蔽路由器的优点是简单和低(硬件)成本。其缺点在于正确建立包过滤规则比较困难,屏蔽路由器的管理成本高,缺乏用户级身份认证等。
代理服务器是防火墙系统中的一个服务器进程,它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。由于对更高安全性的要求,屏蔽路由器和代理服务器通常组合在一起构成混合系统,形成复合型防火墙产品。
3-8屏蔽路由器防火墙和屏蔽主机网关防火墙各是如何实现的?
屏蔽路由器(Screening Router)又叫包过滤路由器,是最简单、最常见的防火墙,屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。除具有路由功能外,再装上包过滤软件,利用包过滤规则完成基本的防火墙功能。屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。
屏蔽主机网关(Screened Gateway)由屏蔽路由器和应用网关组成,屏蔽路由器的作用是包过滤,应用网关的作用是代理服务,即在内部网络和外部网络之间建立了两道安全屏障,既实现了网络层安全(包过滤),又实现了应用层安全(代理服务)。屏蔽主机网关很容易实现:在内部网络与因特网的交汇点,安装一台屏蔽路由器,同时在内部网络上安装一个堡垒
主机(应用层网关)即可,屏蔽主机网关防火墙具有双重保护,比双缩主机网关防火墙更灵活,安全性更高。
3-9简述分布式防火墙的体系结构、主要特点。
分布式防火墙的体系结构包含如下三个部分:1.网络防火墙、2.主机防火墙、3.中心管理。
分布式防火墙具有以下几个主要特点:1.主机驻留、2.嵌入操作系统内核、3.类似于个人防火墙、4.适用于服务器托管。
3-10 分布式防火墙的优势主要体现在哪几个方面?
分布式防火墙的优势主要体现在如下几个方面:
(1)增强系统的安全性:增加了针对主机的入侵检测和防护功能,加强了对内部攻击的防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
(5)应用更为广泛,支持VPN通信。
习题四
4-1 攻击者常用的攻击工具有哪些?
攻击者常用的攻击工具有:(1)DOS攻击工具、(2)木马程序、(3)分布式工具。
4-2 简述口令入侵的原理。
所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。
4-3 简述网络攻击的步骤。画出黑客攻击企业内部局域网的典型流程。
攻击者在一次攻击过程中的通常做法是:首先隐藏位置,接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪,最后实施攻击、开辟后门等七个步骤。
黑客攻击企业内部局域网的典型流程如下:
4-4 攻击者隐藏自己的行踪时通常采用哪些技术?
攻击者隐藏自己的行踪通常要用到如下技术:
1)连接隐藏,如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等;
2)进程隐藏,如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等;
3)篡改日志文件中的审计信息;
4)改变系统时间,造成日志文件数据紊乱,以迷惑系统管理员。
4-5 简述网络攻击的防范措施。
网络攻击的防范措施主要有:(1)提高安全意识;(2)使用能防病毒、防黑客的防火墙软件;(3)设置代理服务器,隐藏自已的IP地址;(4)安装过滤器路由器,防止IP欺骗;(5)建立完善的访问控制策略;(6)采用加密技术;(7)做好备份工作。
4-6 简述网络攻击的处理对策。
网络攻击的处理对策:
(1)发现攻击者,借助下面一些途径可以发现攻击者。
1)攻击者正在行动时,捉住攻击者;
2)根据系统发生的一些改变推断系统以被入侵;
3)其他站点的管理员那里收到邮件,称从本站点有人对“他”的站点大肆活动;
4)根据网络系统中一些奇怪的现象,发现攻击者;
5)经常注意登录文件并对可逆行为进行快速检查,检查访问及错误登录文件,检查
系统命令如login等的使用情况;
6)使用一些工具软件可以帮助发现攻击者。
(2)处理原则:不要惊慌、记录每一件事情,甚至包括日期和时间、估计形势、采取相应措施。
(3)发现攻击者后的处理对策
发现攻击者后,网络管理员的主要目的不是抓住他们,而是应把保护用户、保护网络系统的文件和资源放在首位。因此,可采取下面某些对策。
1)不理睬;
2)使用write或者talk工具询问他们究竟想要做什么;
3)跟踪这个连接,找出攻击者的来路和身份;
4)这管理员可以使用一些工具来监视攻击者,观察他们正在做什么;
5)杀死这个进程来切断攻击者与系统的连接;
6)找出安全漏洞并修补漏洞,再恢复系统;
7)最后,根据记录的整个文件的发生发展过程,编档保存,并从中吸取经验教训。
4-7 一个成功的入侵检测系统至少要满足哪5个要求?
一个成功的入侵检测系统至少要满足以下5个要求:
①实时性要求:如果攻击或者攻击的企图能够被尽快发现,就有可能查出攻击者的位置,阻止进一步的攻击活动,就有可能把破坏控制在最小限度,并记录下攻击过程,可作为证据回放。
②可扩展性要求:攻击手段多而复杂,攻击行为特征也各不相同。
③适应性要求:入侵检测系统必须能够适用于多种不同的环境,比如高速大容量的计算机网络环境。
④安全性与可用性要求:入侵检测系统必须尽可能的完善与健壮,不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。
⑤有效性要求:能够证明根据某一设计所建立的入侵检测系统是切实有效的。
4-8 简述入侵检测系统的组成、特点。
入侵检测系统通常由两部分组成:传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用,商品化的IDS通常提供图形界面的控制台。
入侵检测系统的主要特点如下:
(1)入侵检测技术是动态安全技术的最核心技术之一
(2)入侵检测是防火墙的合理补充
(3)入侵检测系统是黑客的克星
4-9 分别说明入侵检测系统的通用模型和统一模型。
通用模型采用的是一个混合结构,包含了一个异常检测器和一个专家系统,异常检测器采用统计技术描述异常行为,专家系统采用基于规则的方法检测己知的危害行为。异常检测器对行为的渐变是自适应的,因此引入专家系统能有效防止逐步改变的入侵行为,提高准确率。该模型由以下6个主要部分构成:(1)主体(Subjects)、(2)对象(Objets)、(3)审计记录(Auditrecords)、(4)活动简档(ActivityProfile)、(5)异常记录(AnomalyRecoal)、(6)活动规则。
入侵检测系统统一模型由5个主要部分组成:(1)信息收集器、(2)分析器、(3)响应、
(4)数据库、(5)目录服务器。
4-10 简述入侵检测的过程。
入侵检测的过程:
1.入侵信息的收集:入侵检测的第一步是信息收集,收集的内容包括系统、网络、数据及用户活动的状态和行为。
2.信号分析:对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过四种技术手段进行分析:模式匹配、统计分析、专家系统和完整性分析。
3.响应:入侵检测响应方式分为被动响应和主动响应。
4-11 什么是异常检测、误用检测、特征检测?
异常检测:基于异常的检测技术有一个假设,就是入侵事件的行为不同于一般正常用户或者系统的行为。通过多种方法可以建立正常或者有效行为的模型。入侵检测系统在检测的时候就把当前行为和正常模型比较,如果比较结果有一定的偏离,则报警异常。
误用检测:进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特征检测:特征检测关注的是系统本身的行为。定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。
4-12 基于主机的IDS和基于网络的IDS各有什么特点?
基于主机的IDS的特点:
1)主要优点:
①确定攻击是否成功;②能够检查到基于网络的入侵检测系统检查不出的攻击;③能够监视特定的系统活动;④适用被加密的和交换的环境;⑤近于实时的检测和响应;⑥不要求额外的硬件设备;⑦低廉的成本。
2)主要弱点:
①基于主机的IDS安装在需要保护的设备上,如当一个数据库服务器要保护时,就要在服务器本身上安装入侵检测系统,这会降低应用系统的效率;②基于主机的IDS依赖于服务器固有的日志与监视能力;③全面部署基于主机的IDS代价较大,用户很难将所有主机用基于主机的IDS保护起来,只能选择保护部分重要主机;④基于主机的IDS除了监测自身的主机以外,根本不监测网络上的情况。
基于网络的IDS的特点:
1)主要优点:
①拥有成本较低;②检测基于主机的IDS漏掉的攻击;③攻击者不易转移证据;④实时检测和响应;⑤检测未成功的攻击和不良意图;⑥操作系统无关性;⑦安装简便。
2)主要弱点:
①监测范围的局限性;②基于网络的IDS为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测;
③基于网络的IDS可能会将大量的数据传回分析系统中,影响系统性能和响应速度;④基于网络的IDS处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。
4-13 你曾遇到过何种类型的网络攻击?采取了哪些措施保护你的计算机网络系统?
4-14 攻击者入侵系统后通过更改系统中的可执行文件、库文件或日志文件来隐藏其活动,如果你是系统安全管理员,你将通过何种方法检测出这种活动?
4-15系统恢复过程中应对哪些遗留物进行分析?
系统恢复过程中对遗留物进行分析:
(1)检查入侵者对系统软件和配置文件的修改:
1)校验系统中所有的二进制文件
2)校验系统配置文件
(2)检查被修改的数据
(3)检查入侵者留下的工具和数据
1)网络监听工具
2)特洛伊木马程序
3)安全缺陷攻击程序
4)后门
5)入侵者使用的其他工具
(4)检查网络监听工具
4-16简述系统的恢复过程。
系统的恢复过程:1.切断被入侵系统的入侵者访问途径;2.复制一份被侵入系统;3.入侵途径分析;4.遗留物分析;5.检查网络上的其他系统和涉及到的运送站点;6.评估入侵事件的影响,恢复系统。
习题五
5-1简述访问控制的三个要素、7种策略。
访问控制包括三个要素,即主体、客体和控制策略。
具体的访问控制策略有如下7种:(1)入网访问控制、(2)网络的权限控制、(3)目录级安全控制、(4)属性安全控制、(5)网络服务器安全控制、(6)网络监测和锁定控制、(7)网络端口和节点的安全控制。
5-2简述访问控制的内容。
访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三个方面的内容。
5-3简述自主访问控制模型、强制访问控制模型、基于角色的访问控制模型。
自主访问控制模型(Discretionary Access Control Model,DAC Model)是根据自主访问控制策略建立的一种模型,它基于对主体或主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。
强制访问控制模型(Mandatory Access Control Model,MAC Model)是一种多级访问控制策略,它的主要特点是系统对主体和客体实行强制访问控制:系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。
基于角色的访问控制模式(Role Based Access Control Model,RBAC Model)就是为克服自主访问控制模型和强制访问控制模型中存在的问题而提出来的。在基于角色的访问控制模式中,用户不是自始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限。系统的访问控制机制只看到角色,而看不到用户。用户在访问系统前,经过角色认证而充当相应的角色。用户获得特定角色后,系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。
5-4试述访问控制的安全策略以及实施原则。
访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则的安全策略。这两种安全策略建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于DAC安全策略,基于规则的安全策略等同于MAC安全策略。
实施原则有如下三点:(1)最小特权原则、(2)最小泄漏原则、(3)多级安全策略。
5-5简述安全审计的类型。
安全审计的类型有三种,分别为:系统级审计、应用级审计和用户级审计。
(1)系统级审计。系统级审计的内容主要包括登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括和安全无关的信息,如系统操作、费用记账和网络性能。
(2)应用级审计。系统级审计可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计的内容包括打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
(3)用户级审计。用户级审计的内容通常包括:用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。
5-6简述日志的内容。日志分析的主要内容是什么?
在理想情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史事件。一般情况下,日志记录的内容应该满足以下原则:(l)日志应该记录任何必要的事件,以检测己知的攻击模式。
(2)日志应该记录任何必要的事件,以检测异常的攻击模式。
(3)日志应该记录关于记录系统连续可靠工作的信息。
日志分析主要内容如下:
(l)潜在侵害分析。
(2)基于异常检测的轮廓。
(3)简单攻击探测。
(4)复杂攻击探测。
5-7简述Windows NT的访问控制过程。
Windows NT的访问控制过程:
(1)创建账号。当一个账号被创建时,Windows NT系统为它分配一个安全标识(SID)。(2)登录过程(LP)控制。(3)创建访问令牌。(4)访问对象控制。
5-8Windows的审计系统是如何实现的?采用什么策略?
几乎Windows NT系统中的每一项事务都可以在一定程度上被审计,在Windows NT中可以在Explorer和User manager两个地方打开审计。在Explorer中,选择Security,再选择Auditing以激活Directory Auditing对话框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在User manager中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出、文件访问、权限非法和关闭系统等。
NT的审计规则如下:
(l)登录及注销。登录及注销或连接到网络;
(2)用户及组管理;
(3)文件及对象访问;
(4)安全性规则更改;
(5)重新启动、关机及系统级事件;
(6)进程跟踪;
(7)文件和目录审计。
5-9基于角色的访问控制是如何实现的?有什么优点?
基于角色的访问控制就是通过定义角色的权限,为系统中的主体分配角色来实现访问控制的,如下图所示。用户先经认证后获得一个角色,该角色被分派了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。
这种访问控制方法的具有如下特点。
(l)提供了三种授权管理的控制途径;
(2)系统中所有角色的关系结构可以是层次化的,便于管理;
(3)具有较好的提供最小权利的能力,提高了安全性;
(4)具有责权分离的能力。
习题六
6-1简述磁盘镜像技术和条块技术的工作原理。
磁盘镜像技术。磁盘镜像就是在一台服务器内安装两个(或者多个)独立的硬盘,即用一块磁盘控制器连接两个性能相同的硬盘。当系统工作时,将数据同时存入这两个硬盘,这两份数据称为镜像关系。当一个硬盘出现故障时,可以使用另一个硬盘,从而保证网络系统正常运行。
条块技术。条块(Striping)技术是把进入RAID控制器的数据分割成很多部分,每一部分为一个条块,再采用并行处理方式把条块数据分布到RAID阵列的所有驱动器上。
6-2RAID有哪几种级别?各有何特点?
目前对RAID级别的定义可以获得业界广泛认可的有4种,即RAID0、RAID1、RAID10和RAID5。
(1)RAID0:具有成本低、读写性能极高、存储空间利用率高等特点,适用于音视频信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余和校验,其安全性大大降低,构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失(2)RAID1:这种方式安全性高、技术简单、管理方便、读写性能好。RAID1的缺点是无法扩展,数据空间浪费大。
(3)RAID10:即RAID0+1,它的读写性能出色,安全性高,但缺点是构建阵列的成本投入大,数据空间利用率低,不是经济高效的方案。
(4)RAID5:RAID5具有数据安全、读写速度快、空间利用率高等优点,应用非常广泛。RAID5的缺点是写操作较慢,
6-3分别说明三种存储技术:DAS,NAS和SAN的原理和特点。
DAS是指直接将存储设备连接到服务器上,连接方式有两种,即SCSI线缆和光纤通道。DAS是一种传统的也是目前最常见的网络存储设备。局域网中典型的DAS存储拓扑结构和应用网络架构环境,这种数据管理是“以服务器为中心”的,DAS数据存储设备被视为“外围”设备,直接挂接在各种服务器或客户端扩展接口下,其本身是硬件的堆叠,不带有任何存储操作系统,而且所有的应用软件很明显都是和存储子系统配套的。
DAS的主要优点是价格低廉、配置简单、使用方便;另外,DAS通常被用于单一主机或双机系统中,用于增加硬盘存储容量和提高系统的可用性及可靠性。
所谓SAN,是指在网络服务器群的后端,采用光纤通道(Fiber Channel,FC)协议连接成高速专用网络,使网络服务器与多种存储设备直接连接。SAN通常由存储设备(专用磁盘阵列、磁带机)和光纤交换机组成。
SAN的主要优点:(1)性能相当高,光纤通道协议在传送大数据块时非常有效,这使得SAN非常适用于存储密集型环境;(2)集中存取,更有效地利用存储资源;(3)简单、集中的存储管理,降低了管理工作量,节约了时间和金钱;(4)存储设备到服务器的多对多连接方式,提高了灵活性和可扩充性;(5)集中的存储备份,其中性能、数据一致性和可靠性可以确保关键数据的安全,缩短了数据备份和恢复的时间,提高了吞吐量;(6)通过备份软件,可以做到Server-Free和LAN-Free备份,减轻服务器和网络负担,降低了LAN拥塞;(7)具备恢复能力的网络设计,为确保业务连续性提供了更高的数据可用性;(8)卓越的可扩展性和投资保护,可以根据业务需求轻松添加更多的存储设备;(9)服务器和存储设备可以在物理上分离,确保动态存储分区,存储环境安全性更高;(10)无需中断业务,即可添加或重新配置存储资源;(11)保证短期和长期的投资回报;(12)开放的、业界标准的光纤通道技术还使得SAN非常灵活。
NAS或称为网络直联存储设备、网络磁盘阵列,是一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。通俗地讲,直接挂接在网上的、提供数据和文件服务的存储设备,实际上就是一台专用的NAS服务器。
NAS的主要优点:(1)数据成为了网络的中心,NAS设备是直接连接在网络上并单独作为一个文件服务器存在的,网络中所有设备的数据全部存储在这一个NAS设备中,简化了网络架构;(2)将NAS设备连接到网络上非常方便;(3)由于NAS设备的安装、调试、使用和管理非常简单,因此对于选用NAS作为网络数据存储设备的企业用户来说,昂贵的设备管理与维护费用将不复存在;(4)由于NAS是直接连接到TCP/IP网络(LAN或W AN)上,支持通用的网络存储数据传输协议,如NFS(Network File System,用于UNIX操作系统环境下,实现文件级的数据共享)和CIFS(Common Internet File System,用于Windows操作系统环境下,实现文件级的数据共享)等,所以不需要任何附加软件,即可在几乎所有平台之间实现跨平台的数据共享;(5)采用集中式存储结构,摒弃了DAS的分散存储方式,网络管理员可以方便地管理数据和维护设备,同时NAS设备允许用户在网络上存取数据,有效改善了网络的性能;(6)NAS与应用服务器之间交换的是文件,所以NAS产品比较适合于文件存储;(7)NAS设备内置优化的独立存储操作系统,可以有效紧密地释放系统总线资源,全力支持I/O存储,因此NAS设备的效率较DAS设备高出60%以上;(8)NAS设备一般会提供错误恢复系统,并会通过E-mail系统将报警信息自动发给系统管理员,同时NAS设备会进行动态监测,并提供详细的日志报告,以求全面保护数据;(9)NAS产品是真正即插即用的产品。
6-4简述备份的方式、层次和类型。
备份有多种方式,最常用的是完全备份、增量备份、差额备份三种方式。
备份可以分为三个层次:硬件级、软件级和人工级。
目前有三种常用的备份类型:冷备份、热备份和逻辑备份。
6-5如何设计日常备份制度?
日常备份制度(Backup Routines)描述了每天的备份以什么方式,使用什么备份介质进行,是系统备份方案的具体实施细则。在制订完毕后,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。
日常备份制度包括磁带轮换策略和日常操作规程。
1.磁带轮换策略,常见的磁带轮换策略有以下几种:(1)三带轮换策略、(2)6带轮换策略、(3)祖-父-子(GFS:Grandfather-Father-Son)轮换策略。
2.日常操作规程:(1)准备工作、(2)日常操作。
6-6常用的存储备份介质和网络存储备份软件有哪些?
网络存储备份系统使用较多的存储备份介质有:磁带、磁光盘驱动器(Magneto-Optical Disk,MO)、硬盘、CD-ROM、WORM等。目前被广泛采用的备份介质还是磁带。
目前比较流行的专业备份软件有CA的ARCserve 2000、Veritas的BackupExec以及Legato的Networker等。
6-7六带轮换策略和祖-父-子轮换策略的原理是什么?
6带轮换策略。这种策略需要6盘磁带。用户从星期一到星期四的每天都分别使用一盘
网络安全技术第1章网络安全概述习题及答案
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4)防火墙是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5)入侵检测是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
计算机网络试题及答案最新版
一、选择题 题目1 计算机网络的功能有()。 选择一项: A. 用户管理 B. 病毒管理 C. 资源共享正确 D. 站点管理 题目分析: 计算机网络的功能有:(1)资源共享;(2)数据通信;(3)集中管理;(4)增加可靠性;(5)提高系统的处理能力和安全功能。其中,资源共享和数据通信是计算机网络最基本的两大功能。 正确答案是:资源共享 题目2 网络资源子网负责()。 选择一项: A. 信息处理 B. 数据通信 C. 数字认证机制
D. 路由 题目分析: “资源子网”主要负责:(1)全网的信息处理;(2)为网络用户提供网络服务;(3)资源共享功能。 正确答案是:信息处理 题目3 通常按网络覆盖的地理范围分类,可分为局域网、()和广域网三种。 选择一项: A. 星型网络 B. 有线网 C. 城域网 D. 无线网 反馈 Your answer is incorrect. 题目分析:
计算机网络按网络覆盖的地理范围进行分类可以分为:(1)局域网;(2)城域网;(3)广域网。 正确答案是:城域网 题目4 为了简化计算机网络的分析与设计,有利于网络的硬件和软件配置,按照计算机网络的系统功能,一个计算机网络中实现网络通信功能的设备及其软件的集合称为网络的()。 选择一项: A. 无线网 B. 通信子网 C. 有线网 D. 资源子网 反馈 Your answer is incorrect. 题目分析: 计算机网络系统是由通信子网和资源子网组成。通信子网:一个计算机网络中实现网络通信功能的设备及其软件的集合。资源子网:网络中实现资源共享功能的设备及其软件的集合。
网络安全技术与应用
一、《网络安全技术和使用》杂志社有限公司办刊宗旨 本刊成立于2003年,先由中华人民共和国公安部主管、中国人民公安大学出版社主办。从2009年起,本刊改由中华人民教育部主管,北京大学出版社主办,是国内网络安全技术和使用领域行业指导性科技月刊,国内外公开发行。 本刊针对网络安全领域的“新人新潮新技术”,旨在传达和反映政府行业机构的政策、策略、方法,探索和追踪技术使用的最新课题、成果、趋势,透视和扫描企业、人物及产业项目的形象、风采、焦点,推动并引领行业整体进步和发展。 本刊系“三高两强”刊物,即信息量高、学术水平高、技术含量高;专业性强、使用性强。读者定位侧重于政府有关各部门领导、干部、专业工作者,企事业、军队、公安部门和国家安全机关,国家保密系统、金融证券部门、民航铁路系统、信息技术科研单位从事网络工作的人员和大专院校师生,信息安全产品厂商、系统集成商、网络公司职员及其他直接从事或热心于信息安全技术使用的人士。 创刊以来,本刊和国内外近百家企业建立了良好的合作关系,具体合作方式包括:长期综合合作、协办、支持、栏目协办和中短期合作。今后,本刊愿和国内外业界权威机构、团体、政府官员及专家学者进一步建立、开展广泛的联系和交流,热忱欢迎业界同仁以多种形式加盟我们的事业。 本刊通过邮订、邮购、赠阅、派送、自办发行及定点销售等多渠道发行,目前发行范围集中于公安、军队、电信、银行、证券、司法、政府机构、大专院校及政务、商务其它各行业使用领域的广大读者。 二、《网络安全技术和使用》主要栏目 焦点●论坛 特别报道:中国信息安全技术和使用中热点、焦点和难点问题的深度报道;业内重大事件透视。 权威论坛:业内专家、学者和官方以及政府有关领导及权威人士的署名文章、讲话,从宏观上对网络安全技术和使用方面的趋势、走向和策略,进行深层次的论述。 技术●使用
计算机网络基础习题(含答案)
计算机网络基础习题 一、单项选择题 1局域网的网络硬件主要包括服务器、工作站、网卡和 ____________ A. 网络拓扑结构 B .计算机 C .网络传输介质 D .网络协议 2. 目前,局域网的传输介质主要是同轴电缆、双绞线和 ____________ A. 电话线 B ?通信卫星 C ?光纤D ?公共数据网 3. __________________________________ 第二代计算机网络是以网为中心的计算机网络 A. 分组交换B .共享交换C .对等服务D .点对点 4?网络节点是计算机与网络的___________ 。 A.接口 B .中心C .转换D .缓冲 5. 上因特网,必须安装的软件是_________________ A. C语言B .数据管理系统 C .文字处理系统 D . TCP/IP协议 6. 下列叙述中正确的是_______________ A. 将数字信号变换为便于在模拟通信线路中传输的信号称为调制 B. 在计算机网络中,一种传输介质不能传送多路信号 C. 在计算机局域网中,只能共享软件资源,不能共享硬件资源 D. 以原封不动的形式将来自终端的信息送入通信线路称为调制解调 7. 为网络提供共享资源的基本设备是_________________ A.服务器 B.工作站C .服务商 D.网卡 A.软件 B .线路C .服务商D 9. 要使用WindowsXP系统电脑上网,首先要对 A. Modem B .工作站C .服务器 10 .若干台有独立功能的计算机,在 _________ .协议 __________ 进行设置 D .网络和拨号连接 的支持下,用双绞线相连的系统属于计算机网络。 A.操作系统 B . TCP/IP协议C .计算机软件D .网络软件 11.计算机网络最突出的优点是_________________ 。 A.共享软、硬件资源 B .处理邮件C .可以互相通信 D .内存容量大 12 .广域网和局域网是按照 __________ 来分的。 &计算机网络系统由硬件、________ 口规程三部分内容组成
《网络安全技术》习题
《网络安全技术》复习 考试题型: 1、判断题10 2、填空题20 3、选择题20 4、名词解释10 5、简答题20 6、应用题20 《网络安全技术》习题 第一章概述和密码学基础 1.简述信息安全技术的三个发展阶段。 2.简述导致计算机网络脆弱性的原因。 3.分析主动攻击和被动攻击的异同点。 4.何谓业务填充技术?主要用途如何? 5.分别简述P2DR、PDRR、WPDRRC模型。 6.试分析古典密码和现代密码的异同? 7.何谓Kerchoffs准则?有何实际意义? 8.何谓混合密钥体制?简述混合密钥体制下的消息传递过程。 9.何谓弱密钥?DES算法中随机选中弱密钥的概率是多少? 10.RSA公钥算法的理论基础为何?试简述其优缺点。 11.试从密码分析者的角度出发简述密码分析的四种类型。 12.何谓杂凑函数的弱抗碰撞性和强抗碰撞性? 13.何谓生日攻击?其结论对保障杂凑函数的安全性有何意义? 14.生日攻击实例中攻击者意图生成何种碰撞?成功概率如何? 15.同上,若A先随机提交M+供B签名,再次回答问题Q14。 16.比较Q14和Q15的结果,从中可以得出何种结论?
17.消息认证(MAC)有何局限?应如何解决? 18.试简述数字签名算法应具备的基本特征。 19.简述RSA算法的摘要消息签名和验证流程。 20.何谓盲签名和群签名?后者特征如何? 21.何谓实体认证和消息认证? 22.试列举常用的实体认证技术。 23.试简述双向公钥实体认证流程。
第二章操作系统安全 1.简述Intel x86系列处理器和Windows 2000分别支持的运行 模式。 2.如何度量操作系统的安全程度?简述TCSEC评估标准。 3.简述Windows 2000系统的六大主要安全元素。 4.简述Windows 2000安全子系统的工作过程。 5.简述Windows 2000安全子系统的五个安全组件及对应功能。 6.假设beta75为某Windows 2000系统账户,隶属于组A和组 B: A、若先删除该用户然后重建同名用户,能否恢复原访问权限? B、若某资源允许组A访问但禁止组B访问,beta75能否访 问? C、若另一系统中有同名用户,是否具备对原系统的访问权限? D、在另一系统中是否可以强制获得资源访问权限?如何操作? E、如何保证用户安全标识符的唯一性? 7.简述Windows 2000系统的本地登录过程。 8.简述Windows 2000系统中用户访问某资源时的授权过程。 9.何谓Windows加密文件系统(EFS)?简述其特点。 10.如何检查Windows 2000系统中是否有非法启动程序? 11.简述保障Windows 2000系统账户安全的基本措施。 12.为什么要尽量避免使用管理员账户进行日常工作? 13.什么是su和sudo程序?如何限制二者的使用范围? 14.何谓umask值?试解释022、027、077三种umask值的 含义。 15.unix系统中如何保存用户口令?与Windows方式有何异 同? 16.何谓影子口令(shadow)文件?对于系统帐户安全有何意 义? 17.在Ubuntu实验系统中,如何启用root账户?说明什么问 题? 18.在unix/Linux系统中,若忘记所有账户密码,该如何恢复?
计算机网络习题及答案
计算机网络习题及答案 This manuscript was revised on November 28, 2020
计算机网络习题及答案 第一章计算机网络的基本概念 一、选择题 √1、完成路径选择功能是在OSI模型的()。 A.物理层 B.数据链路层 C.网络层 D.运输层 2、在TCP/IP协议簇的层次中,保证端-端的可靠性是在哪层上完成的() A.网络接口层 B.互连层 C.传输层 D.应用层 √3、在TCP/IP体系结构中,与OSI参考模型的网络层对应的是()。 A.网络接口层 B.互联层 C.传输层 D.应用层 4、在OSI七层结构模型中,处于数据链路层与传输层之间的是()。 A.物理层 B.网络层 C.会话层 D.表示层 √5、计算机网络中可以共享的资源包括()。 A.硬件、软件、数据 B.主机、外设、软件 C.硬件、程序、数据 D.主机、程序、数据 √6、网络协议组成部分为()。 A.数据格式、编码、信号电平 B.数据格式、控制信息、速度匹配 C.语法、语义、定时关系 D.编码、控制信息、定时关系 二、填空题 √1、按照覆盖的地理范围,计算机网络可以分为________、________和________。 √2、Internet采用_______协议实现网络互连。 3、ISO/OSI中OSI的含义是________。 √4、计算机网络是利用通信线路将具有独立功能的计算机连接起来,使其能够和 ________ 和________。 5、TCP/IP协议从上向下分为________、________、________和________4层。 6、为了实现对等通信,当数据需要通过网络从一个节点传送到到另一个节点前,必须在数据的头部(和尾部) 加入____________,这种增加数据头部(和尾部)的过程叫做____________或 ____________。 √7、计算机网络层次结构划分应按照________和________的原则。 8、ISO/OSI参考模型将网络分为从低到高的________、________、________、 ________、________、________和 ________七层。 9、建立计算机网络的目的是___________和____________。 三、问答题 1、什么是计算机网络 2、ISO/OSI与TCP/IP有和区别 3、什么是数据的封装、拆包 √4、TCP/IP各层之间有何关系 √5、画出ISO/OSI参考模型和 TCP/IP协议的对应关系,并说明为什么采用层次化的体系结构
网络安全技术复习题
第一部分、判断题 1.“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。(√) 2.蠕虫是一种能传播和拷贝其自身或某部分到其他计算机系统中,且能保住其原有功能,不需要宿主的病毒程序。(√) 3.特洛伊木马的明显特征是隐蔽性与非授权性。(√) 4.因某个事件的发生而诱使病毒实施感染或进行攻击的特性称为可触发性。(√) 5.一般认为蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一切共性,如传播性、隐蔽性、破坏性等。(√) 6.单机病毒防御是传统防御模式,是在不同的操作系统上(UNIX/Linux、Windows/ 2000/ 2003/ 2007)安装和配置相适应的操作系统安全防范软件。(√) 7.网络病毒防护当然可以采用网络版防病毒软件。如瑞星杀毒软件网络版,可实现主机的远程控制与管理,全网查杀病毒,防毒策略的定制与分发,网络和系统的漏洞检测与补丁分发,灵活的客户端管理机制,全面的日志查询与统计功能等。(√)
8.在关键节点部署防病毒网关,避免内部信息被病毒、木马、间谍软件等泄露,避免内部的威胁扩散到外部网络,实现网络的双向安全防护。(√) 9.入侵检测是检测网络的安全漏洞、面临的安全威胁与安全隐患,并能实时分析和预警。(√) 10.简单的放置一个嗅探器并将其随便放置将不会起到什么作用。如果将嗅探器放置于被攻击机器、网关或网络附近,可以捕获到很多口令。(√) 11.防火墙应用层的访问控制功能是防火墙生产厂家的实力比拼点。(√) 12.入侵检测系统(IDS)是通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警,供网络管理者提供判断处理的依据的边界安全设备。(√) 13.IP欺骗的动机是隐藏自己的IP地址,防止被跟踪,以IP地址作为授权依据,穿越防火墙。(√) 14.系统的弱点会对系统的完整性、系统的可用性、系统的机密性、系统的可控性与系统的可靠性造成危害。(√) 15.直接利用ping工具发送超大的ping数据包,这种攻击称为Ping of Death。(√) 16.IP劫持不同于用网络侦听来窃取密码的被动攻击方式,而是一种主动攻击方式。(√)
计算机网络试题(含答案)
一、填空题 1.网络协议主要由三个要素组成:()、()和同步。 2.假设两个主机A,B通过一个路由器进行互联,提供主机A和主机B的应用进程之间 通信的层是(),通过主机与主机之间通信的层是()。 3.通信的目的是传送消息,如语音、文字和图像等。()是运送消息的实体。 4.在计算机网络中的信道使用多种复用技术,()是指所有用户在不同的时间 占用相同的频带。()是指所有的用户在同样的时间占用不同的频带宽度。 5.数据链路层使用的信道主要有两种类型:()信道和()信道, 前者最常使用的协议是PPP, 后者最常使用的协议有CSMA/CD。 6.以太网使用CSMA/CD协议可以使很多计算机以多点接入的方式连接在一根总线 上,协议的实质是()和()。 7.当网桥刚接入到以太网时,它的转发表是空的,这时若网桥收到一帧数据,网桥就 是按照()算法处理收到的帧,然后把帧转发出去。 二、选择题 1.IP数据报穿越Internet过程中可能被分片。在IP数据报分片以后,下列哪些设备负 责IP数据报的重组()。 A.源主机 B.目的主机 C.分片途径的路由器 D.分片途径的路由器和目的主机 2.下列哪个地址属于C类地址()? A.141.0.0.0 B.10.10.1.2 C.197.234.111.123 D.225.33.45.56 3.关于RIP协议和OSPF协议,下列说法正确的是()。 A.都是基于链路状态的外部网关协议。 B.RIP是基于链路状态的内部网关协议,OSPF是基于距离向量的内部网关协议。 C.都是基于距离向量的内部网关协议。 D.RIP是基于距离向量的内部网关协议,OSPF是基于链路状态的内部网关协议。 4.下列哪一个选项不属于路由选择协议的功能?() A.获取网络拓扑结构的信息。 B.选择到达每个目的网络的最优路径 C.构建路由表 D.发现下一跳的物理地址。 5.每一条TCP连接唯一的被通信两端的两个端点所确定,TCP连接的端点是指 ()。 A.IP地址 B.MAC地址 C.端口号 D.套接字
网络安全技术习题库.
《网络安全技术》复习课之习题部分 一、选择题 1. 以下()不属于防火墙的功能。 A. 控制对特殊站点的访问 B. 过滤掉不安全的服务和非法用户 C. 防止雷电侵害 D. 监视Internet安全和预警 2. 常用的公开密钥(非对称密钥)加密算法有()。 A. DES B. SED C. RSA D. RAS 3. 以下关于一个安全计算机网络系统功能的描述中,错误的是( )。 A. 身份识别 B. 保护数据完整性 C. 密钥管理 D. 自由访问 4. 以下关于计算机环境安全技术描述中,错误的是( )。 A. 计算机机房应有安全的供电系统和防火、防盗措拖 B. 不允许在计算机机房内吸烟及使用易燃易爆物质 C. 计算机机房应有保证机房安全的安全监控技术 D. 现在的计算机性能比较优良,因此计算机机房不需关心温度、湿度及灰尘问题 5. 黑客攻击的基本步骤有以下5步: j实施入侵k上传程序,下载数据l利用一些方法来保持访问 m搜集信息n隐藏踪迹 请选出顺序正确的步骤()。 A. nlkjm B. mjkln C. jklmn D. kljmn 6. 下面有关网络病毒的传播方式中,哪一种是错误的( )。 A. 邮件附件 B. Web服务器 C. 软盘 D. 文件共享 7. ARP命令中参数-s的作用是( )。
A. 显示ARP命令帮助 B. 删除一个绑定 C. 绑定一个MAC地址和IP地址 D. 进行ARP攻击 8. 系统内置netstat命令中参数-a的作用是( )。 A. 表示按协议显示各种连接的统计信息,包括端口号 B. 表示显示活动的TCP连接并包括每个连接的进程ID C. 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口 D. 表示显示以太网发送和接收的字节数、数据包数等 9. 下面不属于入侵检测系统分类的是( )。 A. 基于主机型入侵检测系统 B. 基于网络型入侵检测系统 C. 基于代理型入侵检测系统 D. 基于病毒型入侵检测系统 10. 下列关于防火墙安全技术的描述中,错误的是()。 A. 数据包过滤技术 B. 代理技术 C. 状态检查技术 D. 审计技术 11. 各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的()。 A. 数据链路层 B. 网络层 C. 传输层 D. 应用层 12. 下面不属于木马特征的是()。 A. 自动更换文件名,难于被发现 B. 程序执行时不占太多系统资源 C. 不需要服务端用户的允许就能获得系统的使用权 D. 造成缓冲区的溢出,破坏程序的堆栈 13. 下面不属于端口扫描技术的是( )。 A. TCP connect()扫描 B. TCP FIN扫描 C. IP包分段扫描 D. Land扫描 14. 负责产生、分配并管理PKI结构下所有用户的证书的机构是( )。 A. LDAP目录服务器 B. 业务受理点
计算机网络习题及答案
计算机网络习题及答案 第一章计算机网络的基本概念 一、选择题 √1、完成路径选择功能是在OSI模型的()。 A.物理层 B.数据链路层 C.网络层 D.运输层 2、在TCP/IP协议簇的层次中,保证端-端的可靠性是在哪层上完成的() A.网络接口层 B.互连层 C.传输层 D.应用层 √3、在TCP/IP体系结构中,与OSI参考模型的网络层对应的是()。 A.网络接口层 B.互联层 C.传输层 D.应用层 4、在OSI七层结构模型中,处于数据链路层与传输层之间的是()。 A.物理层 B.网络层 C.会话层 D.表示层 √5、计算机网络中可以共享的资源包括()。 A.硬件、软件、数据 B.主机、外设、软件 C.硬件、程序、数据 D.主机、程序、数据 √6、网络协议组成部分为()。 A.数据格式、编码、信号电平 B.数据格式、控制信息、速度匹配 C.语法、语义、定时关系 D.编码、控制信息、定时关系 二、填空题 √1、按照覆盖的地理范围,计算机网络可以分为________、________和 ________。 √2、Internet采用_______协议实现网络互连。 3、ISO/OSI中OSI的含义是________。
√4、计算机网络是利用通信线路将具有独立功能的计算机连接起来,使其能够和________ 和________。 5、TCP/IP协议从上向下分为________、________、________和________4层。 6、为了实现对等通信,当数据需要通过网络从一个节点传送到到另一个节点前,必须在数据的头部(和尾部) 加入____________,这种增加数据头部(和尾部)的过程叫做____________或____________。 √7、计算机网络层次结构划分应按照________和________的原则。 8、ISO/OSI参考模型将网络分为从低到高的________、________、________、________、________、________和 ________七层。 9、建立计算机网络的目的是___________和____________。 三、问答题 1、什么是计算机网络 2、ISO/OSI与TCP/IP有和区别 3、什么是数据的封装、拆包 √4、TCP/IP各层之间有何关系 √5、画出ISO/OSI参考模型和 TCP/IP协议的对应关系,并说明为什么采用层次化的体系结构
计算机网络习题和答案解析
第二章习题 2. 3,1 单项选择题 [1 1适合在传输介质上传输的对象是( D )。 A.信息 B.数据(C.信号 D.二进制数 [2] 。 [3]利用一根同轴电缆互连主机构建以太网,则主机间的通信方式为( C )。 A.全双工 B.半双工 C.单工 D.不确定 [4] 一个1Mbps的网卡将1000比特数据全部发送到传输线上需要( D ). A Is B. C. D. [5]E1标准采用的复用方式是( A )。 A.同步时分复用 B.统计时分复用 C.频分复用 D.码分多址 [61若采用同步TDM方式通信,为了区分不同数据源的数据,发送端应该采取的措施是( C )。A.在数据中加上数据源标识 B。在数据中加上时间标识 C.各数据源使用固定时间片 D.各数据源使用随机时间片 [7]若采用同步TDM方式通信,接收端要将信号解复用,接收数据时要按照( B )。 A.时间片上的目的地址 B.数据上的时间标识 C.数据上的数据源标识 D.与源端相同的时间顺序 [8] 若采用统计TDM方式通信,只有当数据源有数据发送时才分配时间片,并在时间片中( )。A.仅附加发送信道序号 B.仅附加接收信道序号 C.附加发送信道序号和接收信道D.无须附加信息 [9]交换机采用的多路复用方式是( )。 A.同步TDM B.统计TDM C.FDM D.WDM [10]现有16路光信号通过过波分复用系统复用到一根光纤上,每条支路的速率为2. 5Gbps,则复用后的速率为( D )。 A. 2. 5Gbps B. lOGbps C. 20Gbps D. 40Gbp [11]传统的模拟电视系统采用的复用方式是( C )。 A.同步TDM B.统计TDM C.FDM D.WDM [12]当对数据率不同的多路信号采用同步TDM方式复用时,通常采用的技术是( )。 A.脉冲填充 B.压缩时隙 C.降低数据率 D.限制数据源 [13] 与同步TDM相比,统计TDM需要解决的特殊殊问题是( A )。 A.性能问题B.线路利用率问题 C.成帧与同步 D.差错控制 [17] 数据通信系统中发送装置的主要功功能是( D )。 A.将信号从信源发送到信宿 B.将信源的数据转发到传输介质上 C.将模拟信号转变成数字信号 D.产生适合在传输系统中传输的信号 [18] 在数据通信系统中,发送装置的作用一般不包括( C )。 A.调制信号 B.适配电压 k C.检错和纠错 D.暂存数据 [19] 以下为数字数据的是( D )。 A.声音 B.电视视频 C.气压值 D。硬盘保存的图像文件 [20] 传输计算机内的文件可用的信号形式有( )。 A.微波信号 B.脉冲信号 C.红外线信号 D.A、B、C都可以 [21] 下面说法正确的是( )。
网络安全技术习题及答案第4章防火墙技术
网络安全技术习题及答案第4章防火墙技术 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第4章防火墙技术 练习题 1. 单项选择题 (1)一般而言,Internet防火墙建立在一个网络的( A )。 A.内部网络与外部网络的交叉点 B.每个子网的内部 C.部分内部网络与外部网络的结合合 D.内部子网之间传送信息的中枢 (2)下面关于防火墙的说法中,正确的是( C )。 A.防火墙可以解决来自内部网络的攻击 B.防火墙可以防止受病毒感染的文件的传输 C.防火墙会削弱计算机网络系统的性能 D.防火墙可以防止错误配置引起的安全威胁 (3)包过滤防火墙工作在( C )。 A.物理层B.数据链路层 C.网络层D.会话层 (4)防火墙中地址翻译的主要作用是( B )。 A.提供代理服务B.隐藏内部网络地址 C.进行入侵检测D.防止病毒入侵(5)WYL公司申请到5个IP地址,要使公司的20台主机都能联到Internet上,他需要使用防火墙的哪个功能( B )。 A.假冒IP地址的侦测B.网络地址转换技术 C.内容检查技术D.基于地址的身份认证(6)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高内部用户之间攻击的是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击(7)关于防火墙的描述不正确的是( D )。
A.防火墙不能防止内部攻击。 B.如果一个公司信息安全制度不明确,拥有再好的防火墙也没有 用。 C.防火墙是IDS的有利补充。 D.防火墙既可以防止外部用户攻击,也可以防止内部用户攻击。 (8)包过滤是有选择地让数据包在内部与外部主机之间进行交换, 根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备 是( D )。 A.路由器B.主机 C.三层交换机D.网桥 2. 简答题 (1)防火墙的两条默认准则是什么 (2)防火墙技术可以分为哪些基本类型各有何优缺点 (3)防火墙产品的主要功能是什么 3. 综合应用题 图所示的拓扑图中是某公司在构建公司局域网时所设计的一个方案,中间一台是用Netfilter/iptables构建的防火墙,eth1连接的是内部网络,eth0连接的是外部网络,请对照图回答下面的问题。 图公司局域网拓扑图 【问题1】 按技术的角度来分,防火墙可分为哪几种类型,请问上面的拓扑是属于哪一种类型的防火墙 答: 防火墙可分为包过滤、应用网关、状态检测。 上面的拓扑是属于包过滤 【问题2】
网络安全技术习题第2章习题 -
第2章 1判断题 1-1 密码编码学和密码分析学是密码学的两大相互对立的组成部分。(√) 1-2 链路加密方式适用于在广域网系统中应用。(×) 1-3 “符号对符号”加密方式是对简单替换的一种改进。(√) 1-4 “一次一密”属于序列密码中的一种。(√) 1-5 流密码属于对称加密方式。(√) 1-6 序列密码属于对称加密方式。(√) 1-7 Feistel是密码设计的一个结构,而非一个具体的密码产品。(√) 1-8 在实际应用中,DH算法主要用于为对称加密的密码传输提供共享信道。(√) 1-9 数字签名只能使用非对称加密方式来实现。(×) 2 填空题 2-1 根据密码算法对明文处理方式的标准不同,可以将密码系统分为序列密码和分组密码。 2-2 链路加密方式需要对用户数据和控制信息(路由信息、校验和等)在每一个节点进行加密处理,而节点对节点加密方式仅对用户数据进行加密,路由信息和检验和等控制信息仍然以明文方式传输,以加快消息的处理速度。 2-3 利用公钥加密数据,然后用私钥解密数据的过程称为加密;利用私钥加密数据,然后用公钥解密数据的过程称为数字签名。 3 选择题 3-1 非法接收者在截获密文后试图从中分析出明文的过程称为() A. 破译 B. 解密 C. 加密 D. 攻击 3-2 以下对于对称加密和非对称加密的比较,不正确的是() A. 对称加密的安全性要比非对称加密差 B. 在相同环境下,对称加密的速度要比非对称加密慢 C. 对称加密的实现算法比非对称加密简单 D. 对称加密无法解决消息的确认问题,而非对称加密可以 3-3 以下有关XOR操作的算法描述,错误的是() A. False XOR False=False B. True XOR False=True C. True XOR True=False D. False XOR True=True 3-4 以下关于序列密码和分组密码的比较,不正确的是() A. 序列密码中明文和密码的二进制序列长度与密码序列的长度完全相同 B. 序列密码的实现要比分组密码容易 C. 序列密码的实现需要密码同步,而分组密码不需要 D. 在相同环境下,序列密码系统的速度要比分组密码系统慢 3-5 目前计算机网络中广泛使用的加密方式为() A. 链路加密 B. 节点对节点加密 C. 端对端加密 D. 以上都是 3-6 以下有关软件加密和硬件加密的比较,不正确的是() A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3-7 下面有关A5/1加密算法的描述,不正确的是()
计算机网络试题及答案
一、选择题(单项选择题,请将答案填写在括弧中.每空1分,共40分) 1.最早的计算机网络产生的时间和名称是(D) A1959年SAGE B1969SAGE C1959年ARPANET D1969年ARPANET 2.IEEE802协议标准中不提供的服务原语有(B) A Request B Indication C Response D Confirmation 3.在OSI参考模型中,第N层与第N+1层之间的关系是( A ) A第N层是第N+1层的服务提供者B第N+1层从第N层接收报文并添加报头C第N层使用第N+1层提供的服务D第N层与第N+1层没有直接关系 4.下列选项中,不属于计算机网络物理层的特性是( D ) A机械特性B电气特性 C功能特性D规程特性 5.在OSI参考模型中,物理层的功能是( B ) A建立和释放连接B透明地传输原始比特流 C在物理实体间传送数据帧D发送和接受用户数据 6.计算机网络传输的信息单位是数据单元,对等实体间传送的数据单元是(B) A SDU B PDU C IDU D SDH 7.在OSI参考模型中,提供流量控制功能的是[1]( B ).提供建立、维护和拆除端到端连接功能的是[2]( D ).为数据分组提供路由功能的是[3]( C )。 [1] A 1、2层 B 2、4层C3、5层 D 5.6层 [2] A物理层B数据链路层 C 会话层D传输层 [3] A物理层B数据链路层 C 网络层D传输层 8.第二代计算机网络由通信子网和资源子网组成,通信子网包括( B ) A 物理层、数据链路层、传输层B物理层、数据链路层、网络层 C物理层、网络层、应用层D物理层、数据链路层、会话层
网络课网络安全技术期末复习题
【网络课】网络安全技术期末复习题 一、选择题 第一章 (B) 1.由于来自于系统外部或部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项? A. 黑客攻击 B. 社会工程学攻击 C. 操作系统攻击 D. 恶意代码攻击 (A) 2. 在信息安全性中,用于提供追溯服务信息或服务源头的是哪一项? A. 不可否认性 B. 认证性 C. 可用性 D. 完整性 第二章 (A) 1. 密码技术的哪一个目标不能被对称密码技术实现? A. 完整性 B. 性 C. 不可否认性 D. 认证性 (C)2. A想要使用非对称密码系统向B发送秘密消息。A应该使用哪个密钥来加密消息? A. A的公钥 B. A的私钥 C. B的公钥 D. B的私钥 (A) 3. DES的有效密钥长度是多少? A. 56比特 B. 112比特 C. 128比特 D. 168比特 (C) 4. 下面哪种情况最适合使用非对称密码系统? A. 公司电子系统 B. 点到点的VPN系统 C. 证书认证机构 D. Web站点认证 (D) 5. 下面哪个哈希函数最适合8位处理器? A. SHA-256 B. SHA-512 C. MD4 D. MD2 (C) 6. Grace想要使用数字签名技术向Joe发送一则消息,为了获得数字签名,她应该对哪种信息进行签名? A. 明文消息 B. 密文消息 C. 明文消息摘要 D. 密文消息摘要 (C)7. Joe收由Grace签了名的信息,请问Joe该使用哪个密钥来验证签名? A. Joe的公钥 B. Joe的私钥 C. Grace的公钥 D. Grace的私钥 第三章 (C) 1. 下面哪项不属于口令认证? A. 可重用口令认证 B. 一次性口令认证 C. 安全套接层认证 D. 挑战应答口令认证 (C)2. 公钥认证不包括下列哪一项? A. SSL认证 B. Kerberos认证 C. 安全RPC认证 D. MD5认证 第四章 (C) 1. 在TCP/IP协议安全中,下列哪一项属于应用层安全? A. VPNs B. PPP C. Kerberos D. SSL (C) 2. IPSec中有三个主要的协议用来对传输中的系统提供安全服务,不包括下列哪一项? A. SA B. AH
网络安全技术与应用
一、《网络安全技术与应用》杂志社有限公司办刊宗旨 本刊成立于年,先由中华人民共和国公安部主管、中国人民公安大学出版社主办。从年起,本刊改由中华人民教育部主管,北京大学出版社主办,是国内网络安全技术与应用领域行业指导性科技月刊,国内外公开发行。 本刊针对网络安全领域的“新人新潮新技术”,旨在传达与反映政府行业机构的政策、策略、方法,探索与追踪技术应用的最新课题、成果、趋势,透视与扫描企业、人物及产业项目的形象、风采、焦点,推动并引领行业整体进步和发展。 本刊系“三高两强”刊物,即信息量高、学术水平高、技术含量高;专业性强、应用性强。读者定位侧重于政府有关各部门领导、干部、专业工作者,企事业、军队、公安部门和国家安全机关,国家保密系统、金融证券部门、民航铁路系统、信息技术科研单位从事网络工作的人员和大专院校师生,信息安全产品厂商、系统集成商、网络公司职员及其他直接从事或热心于信息安全技术应用的人士。 创刊以来,本刊与国内外近百家企业建立了良好的合作关系,具体合作方式包括:长期综合合作、协办、支持、栏目协办和中短期合作。今后,本刊愿与国内外业界权威机构、团体、政府官员及专家学者进一步建立、开展广泛的联系和交流,热忱欢迎业界同仁以多种形式加盟我们的事业。 本刊通过邮订、邮购、赠阅、派送、自办发行及定点销售等多渠道发行,目前发行范围集中于公安、军队、电信、银行、证券、司法、政府机构、大专院校及政务、商务其它各行业应用领域的广大读者。 二、《网络安全技术与应用》主要栏目 焦点●论坛 特别报道:中国信息安全技术与应用中热点、焦点和难点问题的深度报道;业内重大事件透视。 权威论坛:业内专家、学者和官方以及政府有关领导及权威人士的署名文章、讲话,从宏观上对网络安全技术与应用方面的趋势、走向与策略,进行深层次的论述。 技术●应用
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
计算机网络试题库含答案
计算机网络试题库 单项选择题 1.1 1. 以下属于物理层的设备是(A) A. 中继器 B. 以太网交换机 C. 桥 D. 网关 [设备] 1.2 2. 在以太网中,是根据___地址来区分不同的设备的(B) A. LLC地址 B. MAC地址 C. IP地址 D. IPX地址 [局域网] 1.3 3. IEEE80 2.3u标准是指(B) A. 以太网 B. 快速以太网 C. 令牌环网 D. FDDI网 [局域网] 1.4 4. 下面哪种LAN 是应用CSMA/CD协议的(C) A、令牌环 B、FDDI C、ETHERNET D、NOVELL [局域网] 1.5 5. FDDI 使用的是___局域网技术。(C) A、以太网; B、快速以太网; C、令牌环; D、令牌总线。 [局域网] 1.6 6. TCP 和UDP 协议的相似之处是(C) A、面向连接的协议 B、面向非连接的协议 C、传输层协议 D、以上均不对
[协议] 1.7 7. 应用程序PING 发出的是___报文。(C) A、TCP 请求报文。 B、TCP 应答报文。 C、ICMP 请求报文。 D、ICMP 应答报文。 [IP协议] 1.8 8. 小于___的TCP/UDP端口号已保留与现有服务一一对应,此数字以上的 端口号可自由分配。(C) A、199 B、100 C、1024 D、2048 [TCP协议——端口] 1.9 9. 当一台主机从一个网络移到另一个网络时,以下说法正确的是(B) A、必须改变它的IP 地址和MAC 地址 B、必须改变它的IP 地址,但不需改动MAC 地址 C、必须改变它的MAC 地址,但不需改动IP 地址 D、MAC 地址、IP 地址都不需改动 [IP协议—网络地址] 1.10 10. IEEE80 2.5 标准是指(C) A、以太网 B、令牌总线网 C、令牌环网 D、FDDI 网 [局域网] 1.11 11. ARP 协议的作用是(D) A、将端口号映射到IP 地址 B、连接IP 层和TCP 层 C、广播IP 地址 D、将IP 地址映射到第二层地址[IP协议—ARP协议]
计算机网络习题及答案定稿版
计算机网络习题及答案精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
计算机网络习题及答案 第一章计算机网络的基本概念 一、选择题 √1、完成路径选择功能是在OSI模型的( )。 A.物理层 B.数据链路层 C.网络层 D.运输层 2、在TCP/IP协议簇的层次中,保证端-端的可靠性是在哪层上完成的() A.网络接口层 B.互连层 C.传输层 D.应用层 √3、在TCP/IP体系结构中,与OSI参考模型的网络层对应的是()。 A.网络接口层 B.互联层 C.传输层 D.应用层 4、在OSI七层结构模型中,处于数据链路层与传输层之间的是()。 A.物理层 B.网络层 C.会话层 D.表示层 √5、计算机网络中可以共享的资源包括()。 A.硬件、软件、数据 B.主机、外设、软件 C.硬件、程序、数据 D.主机、程序、数据
√6、网络协议组成部分为()。 A.数据格式、编码、信号电平 B.数据格式、控制信息、速度匹配 C.语法、语义、定时关系 D.编码、控制信息、定时关系 二、填空题 √1、按照覆盖的地理范围,计算机网络可以分为________、________和________。 √2、Internet采用_______协议实现网络互连。 3、ISO/OSI中OSI的含义是________。 √4、计算机网络是利用通信线路将具有独立功能的计算机连接起来,使其能够和________ 和________。 5、TCP/IP协议从上向下分为________、________、________和________4层。 6、为了实现对等通信,当数据需要通过网络从一个节点传送到到另一个节点前,必须在数据的头部(和尾部) 加入____________,这种增加数据头部(和尾部)的过程叫做____________或 ____________。 √7、计算机网络层次结构划分应按照________和________的原则。 8、ISO/OSI参考模型将网络分为从低到高的________、________、________、 ________、________、________和 ________七层。