当前位置：文档库 › 网络安全第八章安全操作系统基础

网络安全第八章安全操作系统基础

第八章安全操作系统基础

1. 简述操作系统账号密码的重要性，有几种方法可以保护密码不被破解或者被盗取？

标识与鉴别是涉及系统和用户的一个过程，可将系统账号密码视为用户标识符及其鉴别。标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。较安全的密码应是不小于6个字符并同时含有数字和字母的口令，并且限定一个口令的生存周期。另外生物技术是一种比较有前途的鉴别用户身份的方法，如利用指纹、视网膜等，目前这种技术已取得了长足进展，逐步进入了应用阶段。

2. 简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。审核策略：安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变账户策略和未经许可的文件访问等）入侵时，都会被安全审核记录下来。

密码策略：密码对系统安全非常重要，密码策略用于保证密码的安全性。其策略包括：“密码复杂性要求”是要求设置的密码必须是数字和字母的组合；“密码长度最小值”是要求密度长度至少为6位；“密码最长存留期15天”是要求当该密码使用超过15天以后，就自动要求用户修改密码；“强制密码历史”是要求当前设置的密码不能和前面5次的密码相同。账号策略：开启账户策略可以有效防止字典式攻击。账号策略包括：复位账户锁定计数器，账户锁定时间，账户锁定阈值等策略。如账户锁定阈值等于5，账户锁定时间等于30分钟，则当某一用户连续尝试5次登录都失败后将自动锁定该账户，30分钟后自动复位被锁定的账户。

3. 如何关闭不需要的端口和服务？

设置本机开放的端口和服务，在IP地址设置窗口中单击“高级”按钮，在出现的“高级TCP/IP 设置”对话框选择“选项”选项卡，选择“TCP/IP筛选”，点击“属性”按钮。

4. 编写程序实现本章所有注册表的操作。

上机完成

5. 以报告的形式编写Windows 2000 Server/Advanced Server或者Windows 2003的安全配置方案。

1.关闭DirextDraw

2.关闭默认共享

3.禁用Dump文件

4.文件加密系统

5.加密Temp文件夹

6.锁住注册表

7.关机时清除文件

8.禁止软盘或光盘启动

9.使用智能卡

10.使用IPSec

11.禁止判断主机类型

12.抵抗DDOS

13.禁止Guest访问日志和数据恢复软件

6. 简述BLP模型和Biba模型功能以及特点。

BLP模型：

Bell-LaPadula模型（简称BLP模型）是D. Elliott Bell和Leonard J. LaPadula于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型，它是最早、也是最常用的一种计算机多级安全模型之一。

BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及系统状态间的转换规则；定义了安全概念；制定了一组安全特性，以此对系统状态和状态转换规则进行限制和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明该系统的终了也是安全的。BLP模型通过防止非授权信息的扩散保证系统的安全，但它不能防止非授权修改系统信息。

Biba模型：

于是Biba等人在1977年提出了第一个完整性安全模型——Biba模型，其主要应用是保护信息的完整性，而BLP模型是保护信息机密性。Biba模型也是基于主体、客体以及它们的级别的概念的。模型中主体和客体的概念与BLP模型相同，对系统中的每个主体和每个客体均分配一个级别，称为完整级别。

7. 简述Flask安全体系结构的优点。

Flask体系结构使策略可变通性的实现成为可能。通过对Flask体系的微内核操作系统的原型实现表明，它成功的克服了策略可变通性带来的障碍。这种安全结构中机制和策略的清晰区分，使得系统可以使用比以前更少的策略来支持更多的安全策略集合。Flask包括一个安全策略服务器来制定访问控制决策，一个微内核和系统其他客体管理器框架来执行访问控制决策。虽然原型系统是基于微内核的，但是安全机制并不依赖微内核结构，意味着这个安全机制在非内核的情况下也能很容易的实现。

由此产生的系统提供了策略的可变通性，也支持策略的多样性。通过确保安全策略已经考虑了每个访问决策来控制访问权限的增长。由直接集成到系统的服务来提供组件的执行机制，支持精细访问控制和允许对以前授予访问权限的撤回的动态策略。此外有原始的性能结论和对编码变化的数量和扩散统计显示，系统安全策略的可变通的影响能被保持到最小。

Flask结构也可以适用于除操作系统之外的其它软件，例如中间件或分布式系统，但此时由底层操作系统的不安全性所导致的弱点仍保留。

8. 简述安全操作系统的机制。

安全操作系统的机制包括：硬件安全机制，操作系统的安全标识与鉴别，访问控制、最小特权管理、可信通路和安全审计。

1）硬件安全机制

绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的，优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是，保证其自身的可靠性和为系统提

供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。

2）操作系统的安全标识与鉴别

标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。

3）访问控制

在安全操作系统领域中，访问控制一般都涉及自主访问控制（Discretionary Access Control，DAC）和强制访问控制（Mandatory Access Control，MAC）两种形式。

自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。

在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。

4）最小特权管理

最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权，如将超级用户的特权划分为一组细粒度的特权，分别授予不同的系统操作员/管理员，使各种系统操作员/管理员只具有完成其任务所需的特权，从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。

5）可信通路

在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但用户登录，定义用户的安全属性，改变文件的安全级等操作，用户必须确实与安全核心通信，而不是与一个特洛伊木马打交道。这种用保障用户和内核通信的机制由可信通路提供。

6）安全审计

一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。

网络安全与管理

网络安全与管理来源：中国论文下载中心 [ 09-04-23 13:31:00 ] 作者：孙成旭编辑：studa090420 论文关键字：网络安全管理网络发展网络现状一绪论安全管理的发展趋势和现状 1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet 为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时，计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长，网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等，都造成了各种危害，包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出，已经成为影响国家安全、社会稳定和人民生活的大事，发展与现有网络技术相对应的网络安全技术，保障网络安全、有序和有效的运行，是保证互联网高效、有序应用的关键之一。 2、现有网络安全技术计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合，协议本身和应用都有可能存在问题，网络安全问题包括网络所使用的协议的设计问题，也包括协议和应用的软件实现问题，当然还包括了人为的因素以及系统管理失误等网络安全问题，下表示意说明了这些方面的网络安全问题。问题类型问题点问题描述协议设计安全问题被忽视制定协议之时，通常首先强调功能性，而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他不穏固基础协议之上的协议，即使本身再完善也会有很多问题。流程问题设计协议时，对各种可能出现的流程问题考虑不够周全，导致发生状况时，系统处理方式不当。设计错误协议设计错误，导致系统服务容易失效或招受攻击。软件设计设计错误协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，

网络安全基础知识介绍

网络安全基础知识介绍网络让我们的生活变得更加便利了，我们在网上几乎可以找到所有问题的答案。但是有利也有弊，网络安全问题也困扰着很多人。现在如果不了解一点网络安全知识，对于网上形形色色的陷阱是很难提防的。下面，小编就为大家介绍一下网络安全基础知识，希望能够帮助大家在网络世界里避免中毒，避免个人信息泄露。 1.什么是计算机病毒？答：计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2.什么是木马？答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端（client）和服务器端（server）。 3.什么是防火墙？它是如何确保网络安全的？

答：防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 4.加密技术是指什么？答：加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。 5.什么叫蠕虫病毒？答：蠕虫病毒源自第一种在网络上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特·莫里斯（Robert Morris）通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到 6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

操作系统安全题目和答案

操作系统安全相关知识点与答案 By0906160216王朝晖第一章概述 1. 什么是信息的完整性信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。 2. 隐蔽通道的工作方式？隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。按信息传递的方式与方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通道。１隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息，后一个进程通过观察存储单元的比那话来接收信息。２隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息，后一个进程通过观察广义单元的变化接收信息，并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息，后一个进程必须迅速地接受广义存储单元的信息，否则信息将消失。 3. 安全策略和安全模型的关系安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合；安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种思想。４.安全内核设计原则１.完整性原则：要求主体引用客体时必须通过安全内核，及所有信息的访问都必须通过安全内核。２.隔离性原则：要求安全内核具有防篡改能力（即可以保护自己，也可以防止偶然破坏）３.可验证性原理：以下几个设计要素实现（最新的软件工程技术、内核接口简单化、内核小型化、代码检查、完全测试、形式话数学描述和验证）５.可信计算基TCB TCB组成部分： 1.操作系统的安全内核。 2.具有特权的程序和命令。 3.处理敏感信息的程序，如系统管理命令等。 4.与TCB实施安全策略有关的文件。 5.其他有关的固件、硬件和设备。 6.负责系统管理的人员。 7.保障固件和硬件正确的程序和诊断软件。可信计算基软件部分的工作：

《网络安全与管理(第二版)》网络管理试题2

网络管理试题一．单选题（每题1分，共52分） 1.下面描述的内容属于性能管理的是：（） A．监控网络和系统的配置信息 B．跟踪和管理不同版本的硬件和软件对网络的影响 C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 2.下面描述的内容属于配置管理的是：（） A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 3.下面描述的内容属于安全管理的是：（） A．收集网络管理员指定的性能变量数据 B．监控网络和系统的配置信息 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响 4.下面描述的内容属于计费管理的是：（） A．收集网络管理员指定的性能变量数据 B．测量所有重要网络资源的利用率 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响 5.下面描述的内容属于故障管理的是：（） A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．自动修复网络故障 D．防止非授权用户访问机密信息 6.SNMP协议可以在什么环境下使用 A．TCP/IP B．IPX C．AppleTalk D．以上都可以 7.网络管理工作站直接从什么地方收集网络管理信息 A．网络设备 B．SNMP代理 C．网络管理数据库 8.SNMPv1实现的请求/响应原语包括： A．get、set、trap B．get、getNext、set、trap C．get-request、set-request、get-next-request、get-response、trap D．get-request、set-request、get-next-request、get-response

计算机网络安全基础试题及复习资料

计算机网络安全基础试题及答案 2008年01月09日 22:03 第一章: 1,信息安全定义:为了防止对知识,事实,数据或功能未经授权而使用,误用,未经授权修改或拒绝使用而采取的措施。第二章 1,攻击的类型:访问攻击(信息保密性攻击,修改攻击(信息完整性攻击,拒绝访问攻击,否认攻击。 2,访问攻击类型:监听,窃听,截听。 3,修改攻击类型:更改攻击,插入攻击,删除攻击。 4,什么是warchalking?:warchalking是指在办公楼外面的道路旁边画的粉笔标记。这些标记用来标识附近有哪些无线网络可以使用,便于个人更容易接入这些网络。第三章 1,黑客动机:挑战,贪婪,恶意。 2,黑客技术的类型:开放共享,糟糕的密码,编程中的漏洞,社会工程,缓存溢出,拒绝服务。 3,缓存溢出:为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程序的源代码来发现。

4.Ip哄骗:攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后,黑客可以使用假的源ip地址向目标发送tcp syn数据包。目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。 5.特洛伊木马:是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为攻击者收集识别信息和密码信息的恶意代码。 6.病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件,被称为宏病毒。 7.蠕虫病毒:无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目标系统并自行扩散,进而对网络上的其他系统实施攻击。 8,黑客必须完成以下两种工作才能监听交换网络:让交换机发送通信给交换网络,或者让交换机发送通信给所有端口。 9.通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器。第四章攻击机密性完整性可用性责任性访问

网络安全基础知识

网络安全基础知识防火墙技术可以分为三大类型，它们分别是(1)等，防火墙系统通常由(2)组成，防止不希望的、未经授权的通信进出被保护的内部网络，它(3)内部网络的安全措施，也(4)进人防火墙的数据带来的安全问题。它是一种(5)网络安全措施。 (1)A．IP过滤、线路过滤和入侵检测 B．包过滤、入侵检测和应用代理 C．包过滤、入侵检测和数据加密 D．线路过滤、IP过滤和应用代理 (2)A．代理服务器和入侵检测系统 B．杀病毒卡和杀毒软件 C．过滤路由器和入侵检测系统 D．过滤路由器和代理服务器 (3)A．是一种 B．不能替代 C．可以替代 D．是外部和 (4)A．能够区分 B．物理隔离 C．不能解决 D．可以解决 (5)A．被动的 B．主动的 C．能够防止内部犯罪的 D．能够解决所有问题的答案：(1)D (2)D (3)B (4)C (5)A 解析：本题主要考查防火墙的分类、组成及作用。防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。防火墙一般有三个特性： A．所有的通信都经过防火墙 B．防火墙只放行经过授权的网络流量 C．防火墙能经受的住对其本身的攻击防火墙技术分为IP过滤、线路过滤和应用代理等三大类型；防火墙系统通常由过滤路由器和代理服务器组成，能够根据过滤规则来拦截和检查所有出站和进站的数据；代理服务器。内部网络通过中间节点与外部网络相连，而不是直接相连。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制，内部的网络被认为是安全的和可信赖的。而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障，它是一种被动的网络安全措施。 ● 随着网络的普及，防火墙技术在网络作为一种安全技术的重要性越来越突出，通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(6)进行过滤，以阻挡某些非法访问。(7)是一种代理协议，使用该协议的代理服务器是一种(8)网关。另外一种可以把内部网络中的某些私有IP地址隐藏起来的代理服务器技术使用的是(9)。安全机制是实现安全服务的技术手段，一种安全机制可以提供多种安全服务，而．一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是(10)。

《网络安全与管理(第二版)》网络管理试题3

网络管理试题一．单选题（每题1分，共50分） 1、下面描述的内容属于性能管理的是：（） A、监控网络和系统的配置信息 B、跟踪和管理不同版本的硬件和软件对网络的影响 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 2、下面描述的内容属于配置管理的是：（） A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 3、下面描述的内容属于安全管理的是：（） A、收集网络管理员指定的性能变量数据 B、监控网络和系统的配置信息 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 4、下面描述的内容属于计费管理的是：（） A、收集网络管理员指定的性能变量数据 B、测量所有重要网络资源的利用率 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 5、下面描述的内容属于故障管理的是：（） A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、自动修复网络故障 D、防止非授权用户访问机密信息 6、SNMP协议可以在什么环境下使用 A、TCP/IP B、IPX C、AppleTalk D、以上都可以 7、网络管理工作站直接从什么地方收集网络管理信息 A、网络设备 B、SNMP代理 C、网络管理数据库 8、SNMP trap的机制是： A、轮询 B、中断 C、面向自陷的轮询 D、不间断轮询 9、在SNMP协议的不同版本中，首先进行安全性考虑并实现安全功能的是

B、SNMPv2 C、SNMPv3 D、以上都没有 10、使用CiscoWorks能进行下列哪些管理功能 A、只能进行局域网管理 B、只能进行城域网管理 C、只能进行广域网管理 D、以上都可以 11、如何通过CiscoWorks获取新的IOS文件： A、TFTP B、TELNET C、CCO D、FTP 12、管理网络时，你需要明确的第一件事情就是要知道什么时候网络出问题。为了判断网络的状态，需要在一段时间内采集一些数据，这些数字反映出了一个“健康”的网络，我们把这些数字称为__________ A、基线 B、标准线 C、水平线 D、健康数字 13、以下产品中哪些是CISCO公司的网络管理平台__________ A、OpenView B、CiscoWorks2000 C、NetView 14、__________保证了不同的网络设备之间可以相互通信, 它又是一组规则和标准，保证了网络中的计算机能够相互通信 A、语言 B、IP 地址 C、网络协议 D、路由器 15、在SNMP术语中通常被称为管理信息库是__________ A、MIB B、SQL server C、Information Base D、Oracle 16、如果有一个用户抱怨无法通过浏览器去浏览法制日报的主页，但你发现当在浏览器中直接输入法制日报的主页的IP地址时可以实现主页的浏览，请你判断问题应该出在哪里___________ A、用户的PC机网卡有故障 B、用户的网关（gateway）地址设置有问题 C、法制日报的WWW服务器停机了 D、用户的DNS服务器设置有问题 17、以下哪个协议是网管协议__________

网络安全基础应用与标准第二版复习题答案

复习题答案 1、什么是OSI安全体系结构？安全攻击安全机制安全服务 2、被动和主动安全威胁之间有什么不同？被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加 3列出并简要定义被动和主动安全攻击的分类？被动攻击：小树内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务 4、列出并简要定义安全服务的分类？认证，访问控制，数据机密性，数据完成性，不可抵赖性 5、列出并简要定义安全机制的分类？加密，数字签名，访问控制，数据完整性，可信功能，安全标签，事件检测，安全审计跟踪，认证交换，流量填充，路由控制，公证，安全恢复。第二章： 1、对称密码的基本因素是什么？明文，加密算法，秘密密钥，密文，解密算法 2、加密算法使用的两个基本功能是什么？替换和转换 3、两个人通过对称密码通信需要多少个密钥？ 1个 4、分组密码和流密码的区别是什么？流密码是一个比特一个比特的加密，分组密码是若干比特（定长）同时加密。比如des是64比特的明文一次性加密成密文。密码分析方面有很多不同。比如流密码中，比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现，也方便在计算机上软件实现。 5、攻击密码的两个通用方法是什么？密钥搜索和夯举方法 6、什么是三重加密？在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重DES的强度大约和112-bit 的密钥强度相当。三重DES有四种模型。（a）使用三个不同密钥，顺序进行三次加密变换（b）使用三个不同密钥，依次进行加密-解密-加密变换（c）其中密钥K1=K3,顺序进行三次加密变换（d）其中密钥K1=K3，依次进行加密-解密-加密变换 7、为什么3DES的中间部分是解密而不是加密？ 3DES加密过程中的第二步使用的解密没有密码方面的意义。它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据 8、链路层加密和端到端加密的区别是什么？对于链路层加密，每条易受攻击的通信链路都在其两端装备加密设备。所以通信链路的所以通信都受到保护，提供了较高的安全性。对于端到端加密，加密过程在两个端系统上实现。源主机和终端加密数据，该数据以加密过的形式，通过网络不可变更地传输到目的地终端或者主机。 10、会话密钥和主密钥的区别是什么？

《网络安全与管理》试题及答案(一)(已做)..

《网络安全与管理》试题一一．单项选择题 1.在以下人为的恶意攻击行为中，属于主动攻击的是（ A ） A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是（ C ） A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是（ B ） A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ） A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是（ D ） A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较（ B ） A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高，对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （ B ） A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有：（A ） A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是：（A ） A.对信息源发方进行身份验证

网络安全基本知识

一旦黑客定位了你的网络，他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多，你应当对这些方法引起注意。常见攻击类型和特征攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。常见的攻击方法你也许知道许多常见的攻击方法，下面列出了一些： ·字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统（IDS）。 · Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。 ·劫持攻击：在双方进行会话时被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。 ·病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应当安装最新的反病毒程序，并对用户进行防病毒教育。

·非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。 ·拒绝服务攻击：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。容易遭受攻击的目标最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。路由器连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet 会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。过滤Telnet 为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由

计算机网络安全基础(第四版)习题讲解

计算机网络安全基础（第4版）习题参考答案第一章习题： 1．举出使用分层协议的两条理由？ 1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信； 2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层； 3.通过网络组件的标准化，允许多个提供商进行开发。 2．有两个网络，它们都提供可靠的面向连接的服务。一个提供可靠的字节流，另一个提供可靠的比特流。请问二者是否相同？为什么？不相同。在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。那么接收方共读了2048字节。对于报文流，接收方将得到两个报文，、每个报文1024字节。而对于字节流，报文边界不被识别。接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。 3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。 OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。 TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。两种模型的不同之处主要有： (1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。OSI参考模型在各层次的实现上有所重复。 (2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。 4．TCP和UDP之间的主要区别是什么？ TCP，传输控制协议，提供的是面向连接的、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。 UDP，用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP 在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。 5．网桥、路由器、网关的主要区别是什么？网桥运行在数据链路层，采用介质访问控制（MAC）地址数据的中继功能，从而完成一个局域网到另一个局域网的数据包转发。网桥主要用于连接两个寻址方案兼容的局域网，

网络安全与管理试题

网络安全与管理试题姓名：学号：班级： ____________ 分数：__________________ 一.单项选择题（每题2分,共40题） 1. 下面描述的内容属于性能管理的是 A. 监控网络和系统的配置信息 B. 跟踪和管理不同版本的硬件和软件对网络的影响 C. 收集网络管理员指定的性能变虽数据 D. 防止非授权用户访问机密信息 2. 下面描述的内容属于配置管理的是 A. 监控网络和系统的配置信息 B. 测虽所有重要网络资源的利用率 C. 收集网络管理员指定的性能变虽数据 D. 防止非授权用户访问机密信息 3. 下面描述的内容属于安全管理的是 A. 收集网络管理员指定的性能变虽数据 B. 监控网络和系统的配置信息 C. 监控机密网络资源的访问点 D. 跟踪和管理不同版本的硬件和软件对网络的影响 4. 下面描述的内容属于计费管理的是

A. 收集网络管理员指定的性能变虽数据 B. 测虽所有重要网络资源的利用率 C. 监控机密网络资源的访问点 D. 跟踪和管理不同版本的硕件和软件对网络的影响 5. 下面描述的内容属于故障管理的是 A. 监控网络和系统的配置信息 B. 测虽所有重要网络资源的利用率 C. 自动修复网络故障 D. 防止非授权用户访问机密信息 6. SNMF＞议可以在什么环境下使用 A. TCP/IP B. IPX C. AppleTalk D. 以上都可以 7. 网络管理工作站直接从什么地方收集网络管理信息 A. 网络设备 B. SNMP弋理 C. 网络管理数据库 8. SNMPv仪现的请求/响应原语包括 A. get、set、trap B. get、getNext、set、trap

操作系统安全(宋虹)课后习题答案

第一章概述 1. 什么是信息的完整性信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。 2. 隐蔽通道的工作方式？隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。按信息传递的方式与方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通道。隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息，后一个进程通过观察存储单元的比那话来接收信息。隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息，后一个进程通过观察广义单元的变化接收信息，并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息，后一个进程必须迅速地接受广义存储单元的信息，否则信息将消失。 3. 安全策略和安全模型的关系安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合；安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种思想。第二章安全机制 1. 标识与鉴别机制、访问控制机制的关系标识与鉴别机制的作用主要是控制外界对于系统的访问。其中标识指的是系统分配、提供的唯一的用户ID作为标识，鉴别则是系统要验证用户的身份，一般多使用口令来实现。是有效实施其他安全策略的基础。访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。目标就是防止对信息系统资源的非授权访问防止非授权使用信息系统资源。同时，访问控制机制也可以利用鉴别信息来实现访问控制。 2. 自主访问控制与强制访问控制之间的异同点自主访问控制(DAC)：同一用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，用户还可将其拥有的存取权限转授给其他用户。强制访问控制(MAC)：每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任意一个对象，只有具有合法许可证的用户才可以存取。区别：DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。联系：强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。 3. 安全审计机制是事后分析机制，优点？审计作为一种事后追查的手段来保证系统的安全，它对设计系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位，事故发生前的预测，报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。 4. 最小特权管理？

网络安全基础知识汇总

网络安全基础知识汇总一、引论提到网络安全，一般人们将它看作是信息安全的一个分支，信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施，说白了，信息安全就是保护敏感重要的信息不被非法访问获取，以及用来进一步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题，主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。这里提到了一些典型的网络安全问题，可以来梳理一下: 1.IP安全:主要的攻击方式有被动攻击的网络窃听，主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击); 2.DNS安全:这个大家应该比较熟悉，修改DNS的映射表，误导用户的访问流量; 3.DoS攻击:单一攻击源发起的拒绝服务攻击，主要是占用网络资源，强迫目标崩溃，现在更为流行的其实是DDoS，多个攻击源发起的分布式拒绝攻击; 网络安全的三个基本属性:机密性、完整性与可用性，其实还可以加上可审性。机密性又叫保密性，主要是指控制信息的流出，

即保证信息与信息不被非授权者所获取与使用，主要防范措施是密码技术;完整性是指信息的可靠性，即信息不会被伪造、篡改，主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行，例如数据链路层负责建立点到点通信，网络层负责路由寻径，传输层负责建立端到端的通信信道。最早的安全问题发生在计算机平台，后来逐渐进入网络层次，计算机安全中主要由主体控制客体的访问权限，网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼，电子政务、电子商务、电子理财迅速发展，这些都为应对安全威胁提出了挑战。密码学在网络安全领域中的应用主要是机密性和身份认证，对称密码体制如DES，非对称密码体制如RSA，一般的做法是RSA保护DES密钥，DES负责信息的实际传输，原因在于DES 实现快捷，RSA相比占用更多的计算资源。二、风险分析风险分析主要的任务时对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定，包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源，如内部的员工，外部的敌对者等;第三步要针对以上分析指定折中的安全策略，因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁，漏

安全操作系统教学大纲

《安全操作系统》课程教学大纲 Security Operation System 课程编号：TX104060适用专业：信息安全先修课程：计算机组成原理，高级语言程序设计学分数：3 总学时数：48 实验(上机)学时：8 考核方式：院系考执笔者：赵锋编写日期：2010年一、课程性质和任务《安全操作系统》是面向信息安全专业本科生的专业限选课。它是一门涉及较多硬件知识的计算机系统软件课程，在计算机软硬件课程的设置上，它起着承上启下的作用。其特点是概念多、较抽象和涉及面广，其整体实现思想和技术又往往难于理解。通过本课程的学习，使学生理解操作系统的基本概念、基本原理、和主要功能，掌握常用操作系统的使用和一般管理方法，学会操作系统的安装与一般维护，从而为学生以后的学习和工作打下基础。二、课程教学内容和要求第一章：计算机操作系统概论 1、掌握：操作系统的定义，操作系统的特性和主要功能。 2、理解：操作系统的主要类型，UNIX命令行格式，分时概念。 3、了解：操作系统的发展历程，分时和实时操作系统的特点，操作系统的用户界面，操作系统在计算机系统中的地位，主要操作系统产品系列。第二章：进程管理 1、掌握：进程定义，临界区概念，进程的状态及其变化，进程的同步与互斥。 2、理解：多道程序设计概念，进程的组成，进程管理的基本命令，信号量和Ｐ、Ｖ操作及其应用。 3、了解：进程间的通信。第三章：作业管理 1.掌握：作业调度和进程调度的功能，先来先服务法、时间片轮转法、优先级法。 2.理解：调度级别，性能评价标准，UNIX常用调度命令。 3.了解：Shell命令执行过程，其他调度算法。第四章：存储器管理 1、掌握：用户程序的主要处理阶段及相应概念，分页和分段的概念，虚拟

计算机网络安全试题-《网络安全与管理(第二版)》网络安全试题

网络安全试题一．单项选择题（每题1分，共60分） 1.在以下人为的恶意攻击行为中，属于主动攻击的是（） 2.A、数据篡改及破坏 3.B、数据窃听 4.C、数据流分析 5.D、非法访问 6.数据完整性指的是（） 7.A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 8.B、提供连接实体身份的鉴别 9.C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 10.D、确保数据数据是由合法实体发出的 11.以下算法中属于非对称算法的是（） 12.A、DES 13. B RSA算法 14.C、IDEA 15.D、三重DES 16.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（） 17.A、非对称算法的公钥 18.B、对称算法的密钥 19.C、非对称算法的私钥 20.D、CA中心的公钥 21."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （）

A 56位 B 64位 C 112位 D 128位 10．黑客利用IP地址进行攻击的方法有：（） A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 11．防止用户被冒名所欺骗的方法是：（） A. 对信息源发方进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 A．安全通道协议 23．以下关于计算机病毒的特征说法正确的是：（） A．计算机病毒只具有破坏性，没有其他特征 B．计算机病毒具有破坏性，不具有传染性 C．破坏性和传染性是计算机病毒的两大主要特征 D．计算机病毒只具有传染性，不具有破坏性 29．加密技术不能实现：（） A．数据信息的完整性 B．基于密码技术的身份认证 C．机密文件加密 D．基于IP头信息的包过滤 30．所谓加密是指将一个信息经过（）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数、（）还原成明文。

计算机网络安全基础(第三版)习题讲解

计算机网络安全基础（第三版）习题讲解第一章习题： 1．举出使用分层协议的两条理由？ 1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信； 2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层； 3.通过网络组件的标准化，允许多个提供商进行开发。 2．有两个网络，它们都提供可靠的面向连接的服务。一个提供可靠的字节流，另一个提供可靠的比特流。请问二者是否相同？为什么？不相同。在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。那么接收方共读了2048字节。对于报文流，接收方将得到两个报文，、每个报文1024字节。而对于字节流，报文边界不被识别。接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。 3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。 OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。 TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。与OSI功能相比，应用层对应的是OSI 的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。两种模型的不同之处主要有： (1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。OSI参考模型在各层次的实现上有所重复。 (2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。 4．TCP和UDP之间的主要区别是什么？ TCP，传输控制协议，提供的是面向连接的、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。 UDP，用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。 5．网桥、路由器、网关的主要区别是什么？网桥运行在数据链路层，采用介质访问控制（MAC）地址数据的中继功能，从而完成一个局域网到另一个局域网的数据包转发。网桥主要用于连接两个寻址方案兼容的局域网，即同一种类型的局域网。用网桥连接起来的局域网不受MAC定时特性的限制，理论上可达全球范围。路由器运行在网络层（分层模型的第三层），它的网间数据包中继采用的是网络层地址（如IP地址）。路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如帧中继的网络接口。用路由器连接起来的多个网络，它们仍保持各自的实体地位不变，即它们各自都有自己独立的网络地址。网关用于实现不同体系结构网络之间的互联，它可以支持不同协议之间的转换，实现不同协议网络之间的通信和信息共享。 6．分析路由器的作用及适用场合？路由器是局域网和广域网之间进行互联的关键设备，用于连接多个逻辑上分开的网络。通常的路由器都具有负载平衡、组织广播风暴、控制网络流量以及提高系统容错能力等功能。一般来说，路由器多数都可以支持多种

网络安全 第八章 安全操作系统基础