计算机网络安全第二版期末复习重点
1.1计算机网络安全的概念是什么?计算机网络安全网络安全有哪几个基本特征?各个特征的含义是什么?
概念:网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。
网络安全的属性(特征)(CIA三角形)
机密性(Confidentiality )
保证信息与信息系统不被非授权的用户、实体或过程所获取与使用
完整性(Integrity )
信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等
可用性(Availability))
信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息。可控性
对信息的存储于传播具有完全的控制能力,可以控制信息的流向和行为方式。
真实性
也就是可靠性,指信息的可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素。
1.2 OSI安全体系结构涉及哪几个方面?
OSI安全体系结构主要关注:
安全性攻击
任何危及企业信息系统安全的活动。
安全机制
用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程,或实现该过程的设备。
安全服务
加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。
1.3OSI的安全服务和安全机制都有哪几项?安全机制和安全服务之间是什么关系?
安全服务
OSI安全体系结构定义了5大类共14个安全服务:
1 鉴别服务who
鉴别服务与保证通信的真实性有关,提供对通信中对等实体和数据来源的鉴别。
1)对等实体鉴别:该服务在数据交换连接建立时提供,识别一个或多个连接实体的身份,证实参与数据交换的对等实体确实是所需的实体,防止假冒。
2)数据源鉴别:该服务对数据单元的来源提供确认,向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元
2 访问控制服务
包括身份认证和权限验证,用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用,信息资源的读、写和删除,进程资源的执行)或对资源的所有访问。
3 数据保密性服务
为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。保密性是防止传输的数据遭到被动攻击。包括:
连接保密性
无连接保密性
选择字段不保密性
信息流保密性
4 数据完整性服务
用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
带恢复的连接完整;不带恢复的连接完整;
选择字段的连接完整;无连接完整;
选择字段无连接完整
5 不可(抗)否认服务
用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。
具有源点证明的不能否认;
具有交付证明的不能否认。
为了实现安全服务,OSI安全体系结构还定义了安全机制。特定安全机制(8 在特定的协议层实现)
加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制
1.4简述网络安全策略的意义?它主要包括哪几个方面策略?
意义:网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。网络安全策略的提出,是为了实现各种网络安全技术的有效集成,构建可靠的网络安全系统
网络安全策略包含5方面策略
物理安全策略
访问控制策略
防火墙控制
信息加密策略
网络安全管理策略
2.2根据各自所基于的数学原理,分析公钥密码体制与对称密码体制的改进?
公钥密码体制(n:1)--对称密码(1:1)
在用户数目比较多时,传统对称密码体制密钥产生、存储和分发是很大问题。
公钥密码体制用户只需掌握解密密钥,而将加密密钥和加密函数公开。改变了密钥分发方式,便利密钥管理。不仅用于加解密,还广泛用于消息鉴别、数字签名和身份认证
2.3与对称密码体制比较,公钥密码体制在应用中有哪些优点?
公钥密码体制最大优点适应网络的开放性要求。
密码管理比对称密码简单,又满足新的应用要求。
通信各方都可以访问公钥,私钥在通信方本地产生,不必进行分配。任何时刻都可以更改私钥,只要修改相应的公钥替代原来的公钥。
2.4有哪些常见的密码分析攻击方法,各自什么特点?
惟密文攻击:仅知加密算法和密文,最易防范
已知明文攻击:知加密算法,待解密文,同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式,如标准化的文件头。
选择明文攻击:攻击者选择对其有利的明文,获取到了其相应的密文。
选择密文攻击:事先搜集一定数量的密文,获的对应的明文。
3.2什么是MAC?其实现的基本原理是什么?
MAC是消息鉴别码,又称密码校验和。
其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块,即MAC,并附加到消息后面传输,接收方利用与发送方共享的密钥进行鉴别。MAC提供消息完整性保护,可以在不安全的信道中传输,因为MAC的生成需要密钥。
3.3散列函数应该具有哪些安全特性?
(1)单向性:对于任意给定的散列码h,寻找x使得H(x)=h在计算上不可行。
(2)强对抗碰撞性:输入是任意长度的M;输出是固定长度的数值;给定h和M,h(M)容易计算;寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。
(3)弱对抗碰撞性:对于任意给定的分组M,寻找不等于M的M’,使得H(M’)=h(M)在计算上不可行。
3.4什么是数字签名?数字签名具有哪些特征?
数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性,并保护数据,防止被人(如接收者)进行伪造。
数字签名的特征:
(1)可验证性:信息接收方必须能够验证发送方的签名是否真实有效。
(2)不可伪造性:除了签名人之外,任何人都不能伪造签名人的合法签名。
(3)不可否认性:发送方发送签名消息后,无法抵赖发送行为;接收方在收到消息后,也无法否认接收行为。
(4)数据完整性:发送方能够对消息的完整性进行校验,具有消息鉴别的作用。
4.1用户认证的主要方法有哪些?各自具有什么特点?
基于口令的认证、基于智能卡的认证、基于生物特征的认证。
基于口令的认证最简单,最易实现,最容易理解和接受。
基于智能卡的认证的特点:双因子认证、带有安全存储空间、硬件实现加密算法、便于携带,安全可靠。
基于生物特征的认证不易遗忘或丢失;防伪性能好,不易伪造或被盗;“随身携带”,方便使用;但成本高,只适用于安全级别比较高的场所。
4.2简述X.509证书包含的信息。
版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名。
4.3一个完整的PKI应用系统包括那些组成部分?各自具有什么功能?
一个完整的PKI应用系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
4.4简述CA的基本职责。
(1)制定并发布本地CA策略;
(2)对下属各成员进行身份认证和鉴别;
(3)发布本CA的证书,或者代替上级CA发布证书;
(4)产生和管理下属成员的证书;
(5)证实RA的证书申请,返回证书制作的确认信息,或返回已制作的证书;
(6)接受和认证对所签发证书的撤销申请;
(7)产生和发布所签发证书和CRL;
(8)保存证书、CRL信息、审计信息和所制定的策略。
第五章
1. 简述针对主机的ARP欺骗的机制
中间人C冒充B,响应A以虚假的IPB—MACC,扰乱A的ARP列表,A发给B的数据发给了C。
2. IPsec中传输模式和隧道模式有何区别?
ESP在隧道模式中加密和认证(可选)整个内部IP包,包括内部IP报头。AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。当IPsec被用于端到端的应用时,传输模式更合理一些。在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中,通常采用隧道模式;而且,传输模式并不是必需的,因为隧道模式可以完全替代传输模式。但是隧道模式下的IP数据包有两个IP头,处理开销相对较大。
3. AH协议和ESP协议各自提供哪些安全服务?
AH协议为IP数据包提供数据完整性校验和身份认证,还有可选择的抗重放攻击保护,但不提供数据加密服务;ESP协议为IP数据包提供数据完整性校验、身份认证和数据加密,以及可选择的抗重放攻击保护,即除AH提供的所有服务外,ESP还提供数据保密服务,保密服务包括报文内容保密和流量限制保密。
第六章
1. 恶意代码生存技术主要包括哪几个方面?分别简述其原理。
(1)反跟踪技术:反跟踪技术可以提高恶意代码的伪装能力和防破译能力,增加检测与清除的难度。
反动态跟踪:禁止跟踪中断、封锁键盘输入和屏幕显示、检测(调试器)跟踪法、其他反跟踪技术。反静态跟踪:对恶意程序代码分块加密执行,伪指令法。
(2)加密技术:加密技术是恶意代码自我保护的一种有效手段,通过与反跟踪技术相配合,可以使分析者无法正常调试和阅读恶意代码,不能掌握恶意代码的工作原理,也无法抽取恶意代码的特征串。从加密内容划分,加密手段分为信息加密、数据加密和程序代码加密三种。
(3)模糊变换技术:恶意代码每次感染一个对象时,嵌入宿主的代码都不相同。
(4)自动生产技术:计算机病毒生产器使得对计算机病毒一无所知的普通用户,也能组合出功能各异的计算机病毒
2. 蠕虫代码包括哪些模块。分别具有什么功能?
蠕虫代码的功能模块至少需要包含扫描模块、攻击模块和复制模块三个部分。
蠕虫的扫描功能模块负责探测网络中存在漏洞的主机。
攻击模块针对扫描到的目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限,并获得一个shell。
攻击成功后,复制模块就负责将蠕虫代码自身复制并传输给目标主机。
第七章
1.列出并简要定义防火墙根据具体实现技术的分类。
(1)从工作原理的角度看,防火墙技术主要可分为网络层防火墙技术和应用层防火
墙技术。(2)根据防火墙的硬件环境的不同,可将防火墙分为基于路由器的防火墙和基于主机系统的防火墙。(3)根据防火墙功能的不同,可将防火墙分为FTP防火墙、Telnet 防火墙、E-mail防火墙、病毒防火墙、个人防火墙等各种专用防火墙。
7.2什么是防火墙?它有哪些功能和局限?
在计算机网络安全领域,是一个由软件或硬件设备的组合而成起过滤和封锁作用的计算机或网络系统。它一般布置在本地网(可信内部网)和(不安全和不可信赖的)外部网络之间,作用隔离风险区域和安全区域的连接;阻止不希望或未授权的通信进出内部网络。通过边界控制强化内部网络的安全,同时不影响内部网络对外部网路的访问。
防火墙的典型功能(5)
1.访问控制功能:是防火墙最基本和最重要的功能,通过禁止和允许特定用户访问特定资源,保护内部网络的资源和数据。
2.内容控制功能:根据数据内容进行控制,如过滤垃圾邮件、限制外部只能访问本地Web 服务器的部分功能,等等。
3.日志功能:防火墙需要完整的记录网络访问的情况。一旦网络发生了入侵或者遭到破换,可以对日志进行审计和查询,查明事实。
4.集中管理功能:在防火墙上集中实施安全管理,使用过程中还可以根据情况改变安全策略。
5.自身安全和可用性:防火墙要保证自己的安全,不被非法侵入,保证正常的工作。防火墙还要保证可用性,否则网络就会中断,内部网的计算机无法访问外部网的资源。
防火墙的局限性(4)
1.不能防御不经由防护墙的攻击;
2.不能防范来自内部的攻击;
3.不能防止病毒感染程序和文件出入内部网;
4.不能防止数据驱动式攻击。电子邮件复制本地机上,执行后攻击
7.3简述防火墙的四个发展阶段:
第一代防火墙基于路由器: 路由器防火墙一体;采用的主要是包过滤技术
第二代防火墙由一系列具有防火墙功能的工具集组成:将过滤功能从路由器中独立出来,加入告警和审计功能,因为是纯软件产品,随意对系统管理员技术要求高。
第三代防火墙为应用层防火墙:它建立在通用操作系统之上,包括分组过滤功能,装有专用的代理系统,监控所有协议的数据和指令,保护用户编程和用户可配置内核参数的配置。第四代防火墙为动态包过滤技术:也称作状态检测技术,该技术能够对多种通信协议数据包做出通信状态的动态响应。
8.1简述网络攻击的过程:
1.隐藏自身:利用技术手段隐藏自己真实的IP地址。通常有两种方法:第一种是入侵网络中一台防护较弱的主机(肉鸡),利用这台主机进行攻击。第二种是网络代理跳板
2.踩点和扫描:网络踩点就是通过各种途径对攻击目标尽可能多了解信息,分析得到被攻击系统可能存在的漏洞。网络扫描就是利用各种工具探测目标网络的每台主机,以寻找该系统的安全漏洞。有两种常用的扫描策略:一种是主动式策略,基于网络;另一种是被动式策略,基于主机。
3.侵入系统并提升权限:一种常见的攻击方法是先以普通用户身份登录目标主机,然后利用系统漏洞提升自己的权限。
4.种植后门:入侵者在被侵入主机上种植一些供自己访问的后门。木马是另外一种长期主流对方主机的手段,远程控制功能比后门更强。
5.网络隐身:在入侵完毕后,清除被入侵主机上的登录日志及其他相关日志。
8.2在DDos攻击过程中,都有哪些角色,分别完成什么功能?
在整个Ddos 攻击过程中,共有4部分组成:攻击者、主控端、代理服务器和被攻击者,其中每一个组成在攻击中扮演不同的角色。
1.攻击者主机:由攻击者本人使用。攻击者通过它发布实施DDos 的指令,是整个DDos 攻击中的主控台令。
2.主控傀儡机:不属攻击者所有的计算机,而是攻击者非法侵入并控制的一些主机。攻击者在这些计算机上安装特定的主控软件,通过这些主机再分别控制大量的攻击傀儡机。
3.攻击傀儡机:攻击傀儡机是攻击的直接执行者,直接向被攻击主机发起攻击。
4.被攻击者:是DDos 攻击的直接受害者,目前多为一些大型企业的网站或数据库系统。 8.4什么是蜜罐?蜜罐的主要功能是什么?
蜜罐系统是试图将攻击从关键系统引诱开并能记录其一举一动的诱骗系统。
蜜罐的功能是:1.转移攻击重要系统的攻击者;2.收集攻击者活动的信息;3.希望攻击者在系统中逗留足够长的时间,使管理员能对此攻击做出响应。 9.1什么是隧道?隧道的主要功能有哪些?
计算机网络中的隧道是逻辑上的概念,是在公共网络中建立的一个逻辑的点对点连接。网络隧道技术的核心内容是“封装”。隧道技术是指包括数据封装、传送和解封装在内的全过程。
隧道的功能(4)
1.将数据传输到特定的目的地:在隧道两端建立一个虚拟通道,从隧道的一端传到隧道的另一端。
2.隐藏私有的网络地址:在隧道开通器和隧道终止器之间建立一条专用通道,私有网络之间的通信内容经过隧道开通器封装后通过公共网络的虚拟专用通道进行传输。
3.协议数据传递:隧道只需连接两个使用相同通信协议网络,不关心网络内部使用的通信协议。
4.提供数据安全支持:隧道中传输的数据是经过加密和认证处理的,可以保证数据在传输过程中的安全性。
9.2画图简述PPTP 的体系结构? 体系结构图:
PPTP 是一个面向连接的协议,PAC 和PNS 维护它们的连接状态。PAC 和PNS 之间两种连接:控制连接、数据连接。控制连接建立过程是:1.PAC 和PNS 建立一个TCP 连接。2.PAC 或者PNS 向对方发送一个请求信息,请求建立一个连接。3.收到请求的PAC 或PNS 发送一条响应消息。控制连接建立以后,下一步就是数据连接,即隧道的建立。数据连接是一个三次握手的机制:请求、响应和已连接确认。
9.3SSL VPN 应用了哪些关键技术,分别完成哪些功能?
SSL VPN 实现的关键技术是Web 代理、应用代换、端口转发和网络扩展。
PSTN/ISDN
PPTP 隧道 Internet
PAC
PNS
企业LAN
1.Web代理技术:代理技术提供内部应用服务器和远程用户Web客户端的访问中介
2.应用转换技术:通过把非Web应用的协议转译为Web应用,实现与客户端Web浏览器的通信。
3.端口转发技术:端口转发器监听特定应用程序定义的端口。
综述题1
现有一个中小企业的电子商务系统为了提高运行效益和服务质量,计划增开网络支付功能,请您用所学的知识为该企业分析当前网络安全的安全威胁,作出该企业的安全需求分析,并提出两个网络支付安全的方案,并对各自的所采用的网络安全标准协议、应用情况等优缺点进行分析。
当前网络安全的安全威胁有:安全漏洞、主机入侵、病毒、蠕虫、木马、拒绝服务攻击、间谍软件、垃圾邮件和网络钓鱼、僵尸网络、恶意网站和流氓软件、黑客。
该企业的安全需求分析:进行漏洞扫描和入侵检测、部署蜜罐系统。
网络支付安全的方案:1.采用已有的网上支付或者支付宝等支付方式。
2.投资建设自己的网络支付环境和支付方式。
综述题2
分析当前淘宝网网络支付有哪几种解决方案?分析各种支付解决方案中用户对支付方便性和安全性的观点,自己设计一套网络支付方案,并论述该方案中如何处理安全和便利问题?
淘宝网采用的电子支付解决方案:网上银行和支付宝。
对于支付宝手段,支付宝安全性是非常高的,同时支付宝也是非常方便的。用户对于支付宝的方便性和安全性都是非常肯定的。
对于网上银行手段,网上银行的安全性用户也都比较认可,但是大部分用户反映网上银行相对于支付宝来说不方便。
网络支付方案:采用了快钱网上支付、网汇通在线支付、移动手机支付、网银支付和支付宝结合的支付方案。
综述题3、U盾安全支付流程、网银所用到的安全服务和安全机制
1、硬件PIN 码保护
由于"U 盾" 采用了使用以物理介质为基础的个人客户证书,建立基于公钥(PKI)技术的个人证书认证体系(PIN 码)。黑客需要同时取得用户的U 盾硬件以及用户的PIN 码,才可以登录系统。即使用户的PIN 码被泄漏,只要用户持有的U 盾不被盗取,合法用户的身份就不会被仿冒;如果用户的U 盾遗失,拾到者由于不知道用户PIN 码,也无法仿冒合法用户的身份。
2、安全的密钥存放
U 盾的密钥存储于内部的智能芯片之中,用户无法从外部直接读取,对密钥文件的读写和修改都必须由U 盾内部的CPU的调用相应的程序文件执行,而从U 盾接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。这样可以保证黑客无法利用非法程序修改密钥。
3、双钥密码体制
为了提高交易的安全,U 盾采用了双钥密码体制保证安全性,在U 盾初始化的时候,先将密码算法程序烧制在ROM 中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到U 盾外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,凡是有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出U 盾介质,以此来保证以U 盾为存储介质的数字证书认证在安全上无懈可击。
4、硬件实现加密算法
U 盾内置CPU 或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在U 盾内进行,保证了用户密钥不会出现在计算机内存中。
当前,各金融机构竞相推出各种网络金融服务,网络银行,电话银行,手机支付,微信支付等新型服务。请您设计网络银行电子支付的网络安全用户调查方案。
综述题4
调查目的:了解用户对于网络银行的使用行为
热点安全问题:网络安全支付
调查问卷设计:
1.请问你是否拥有银行卡(信用卡或储蓄卡)
A.是
B. 否
2.你是否已开通网上银行业务?
A.是
B.否
3.您最近一年是否使用过网上银行?
A.是
B.否
4.从您第一次使用网上银行到现在已有多长时间?
A.不到2个月
B.2个月以上到6个月
C.6 个月以上到1年
D.其它
5.您使用过的网上银行是下列中的哪几家?
A.中国银行
B.中国工商银行
C.中国农业银行
D.中国建设银行
E.交通银行
F.招商银行
G.民生银行
H.光大银行
I.中国邮政储蓄
J.其它
6.您经常使用的网上银行业务有以下哪几种?
A.账户信息查询(余额、交易明细等)
B.转账/汇款
C.信用卡还款
D.个人理财业务(如基金买卖、债券买卖、证券资金存管等)
E.个人贷款业务
F.网上支付/缴费
G.积分管理
H.其它
7.您使用网上银行的原因是什么?
A.使用方便,节省时间精力
B.去营业厅不方便
C.网上购物便捷
D.有些交易必须使用网上银行
E.其它
8.在使用网上银行时,您看重哪些因素?
A.交易安全性
B.功能多样性
C.手续费便宜
D.服务质量高
E.银行的品牌或影响力
F.其它
9.在使用网上银行进行网上支付时,您平均每次支付的金额是多少?
A.50元以下
B.50-100元
C.101-500元
D.501-1000元
E.1000以上元
10.你是否会继续使用网上银行?
A.肯定会
B.可能会
C.估计不会
D.肯定不会
11.您认为我国网上银行建设的现状如何:
A.很好
B.一般C不好
12.您认为我国网上银行的发展前景如何:
13.您的年龄:
14.您的性别:
A.男
B.女
15.您的学历:
A.初中、中专
B.高中、大专
C.本科硕士
D.博士及以上
E.其它
16.您的职业:
A.政府/事业单位公务员
B.企业员工
C.自由职业者
D.在校学生
E.无业/失业
F.其它
17.您的每月可支配收入是(如是学生的话,请依据每月的消费数额填写):*
A.500元及以下
B.500以上-1000元
C.1000元以上-2000元
D.2000元以上-3000元
E.3000元以上-5000元
F.5000元以上-8000元
G.8000元以上
拟发放对象和样本数:某普通小区居民300份
对于消费者而言,要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次,保证连接的安全。进入网站时先确保网址的正确性。在提交任何关于你自己的敏感信息或私人信息,尤其是你的信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。浏览器和Web站点的服务器都要支持相关协议。第三,保护自己的隐私,在设置密码时最好以数字和字母相结合,不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款,这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息,填在线表格时要格外小心,不是必填的信息就不要主动提供。最后,不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外,最好不要在公共场所使用网络银行,比如网巴、公共图书馆等;每次使用完网络银行后,应该单击页面中相应的“退出登陆”按钮正确退出。
综述题5
目前,国内已经举行两届的国家网络安全宣传周活动,并建立了青少年网络安全教育基地,请您设计一下该基地的教学大纲及活动方案.
教学大纲:
2、具体要求:
第一章网络安全基础知识
[目的要求] 通过本章教学,使学生了解网络安全的概念和现状,认识网络存在的威胁。[教学内容] 网络安全的基本概念,网络数据传输中面临的威胁,网络安全机制。
[重点难点]网络安全机制
第二章物理与环境安全
[目的要求] 通过本章教学,要求学生了解物理与环境对网络安全的影响,学习如何防护和保护设备的正常运行。
[教学内容] 物理与环境对网络安全的影响,防护和保护设备的正常运行及基本方法。。[重点难点] 物理与环境对网络安全的影响
第三章操作系统安全
[目的要求] 通过本章教学,要求学生了操作系统的陷门和安全隐患。
[教学内容] 学习各个操作系统的陷门和安全隐患,掌握如何防御恶性攻击操作系统。
[重点难点] 操作系统的陷门
第四章网络通信安全
[目的要求]通过本章教学,要求学生了网络安全协议的工作原理和其漏洞,了解网络通信的安全机制和防御方法。
[教学内容] 网络安全协议的工作原理和其安全性,了解网络通信的安全机制和防御方法,如何设计安全的防御机制。
[重点难点] 网络安全协议的工作原理和其安全性
第五章密码学基本理论
[目的要求] 通过本章教学,要求学生了解网络中使用的密码技术;掌握基本密码的设计原理和使用方法。
[教学内容] 古典密码学基本内容,现在典型密码的设计原理。
[重点难点] 现在典型密码的设计原理
第六章防火墙技术
[目的要求]通过本章教学,要求学生了解防火墙的基本概念,类型,配置等。
[教学内容] 防火墙的安全设计,功能,类型,配置和防火墙系统
[重点难点] 防火墙类型和配置
第七章病毒和WEB安全
[目的要求] 通过本章教学,要求学生了解现有病毒和WEB的安全性。
[教学内容] 病毒的种类和数量,以及防治;WEB安全技术介绍
[重点难点] 病毒的种类和数量,以及防治
活动方案
为了提高网络安全防护意识,特制定出网络安全宣传周活动方案:
一、活动主题
本次活动主题为“网络安全知识都知道”,旨在提高青少年网络安全自我保护意识,提升其网络安全问题甄别能力。
二、活动时间
11月24日——11月30日
三、活动内容
以“净化网络环境,安全使用网络”为目标,统一使用“国家网络安全宣传周”活动标识,普及基本的网络知识,使青少年增强网络安全防范意识,具备识别和应对网络危险的能力
四、活动形式
本次网络安全宣传周活动准备采用一下形式进行:
(1)悬挂网络安全宣传标语横幅在LED滚动屏循环滚动“共建网络安全,共享网
络文明”等网络安全宣传标语。
(2)开办网络安全宣传专栏在网站上开辟“网络安全”宣传专栏,宣传展示此次活动的方案、计划等相关资料以及活动所取得的成果
(3)观看网络安全宣传视频短片组织青少年观看网络安全方面的宣传短片,增强青少年的网络安全意识,提高网络防护能力
(4)开展网络安全知识竞赛
拟于2014年11月27日——2014年11月30日组织《网络安全知识竞赛》,引导青少年主动学习网络安全知识,对于积极参与,成绩突出的同学给予奖励和表扬。
五、活动要求
1. 本次活动统一使用“国家网络安全宣传周”表示,突出宣传周主题。
2. 坚决自行中央八项规定有关要求,严格按照勤俭节约、务实高效原则。
画图题
基于公钥密码的数字签名原理
M 比较
M
|| H E
E PRa (H(M))
H
D
M C
M
P Ra P Ua
E D
发送方A
接收方B
DSS数字签名
基于公钥加密的双向认证
(1)中N1是A认证B挑战;
(2)中N1使A确信B的身份,N2是B认证A的挑战
(3)中N2是B确信A的身份
(4)(5)实现对称密码Ks的密钥分配
SSL基本流程
消息1 客户A客户B:支持算法的密码算法列表和一个随机数SA
消息2 客户B客户A :B证书,随机数SB,选择自己能支持的算法
消息3 客户A客户B:选随机数S,根据S,SA,SB计算会话密钥(主密钥)K,用B 公钥加密S发给B,同时发送K和握手消息的散列值(该散列值加密,完整性保护),防止攻击者对消息的篡改。
消息4 客户B客户A:B计算K,发送此前所有握手消息的散列值,此散列值用B的写加密密钥保护,用B写完整性密钥进行完整性保护。证明自己知道会话密钥K,知道自己的私钥,因为可以解密自己公钥加密的S
A完成对B认证(客户端对服务器认证),B没有对A认证。
PGP 一般发送处理
双宿堡垒主机
双重宿主主机体系结构是用一台装有两块网卡的堡垒主机做防火墙。
两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
X ←文件
是
生成签名 X ←签名||X
加密密钥X
X ←E (PU B ,K S )||E(K S ,X) 转换为基数64 X ←R64[X]
否
需要签名压缩 X ←Z(X)
是
需要保密吗?
信息服务器
屏蔽子网防火墙系统
堡垒主机
独立子网DMZ 非军事区
计算机网络及安全课程大作业选题
计算机网络及安全课程大作业题目 各班学委负责登记本班同学选题以及班级之间协调。 一、要求 1、团队合作、合理分工、按组为单位进行; 2、报告文字内容不可拷贝粘贴现有文献,应反映小组所做的工作,有分析,实践性的选题应有具体操作或者配置过程描述,辅以截图或实验数据。 3、所交报告中应在最后注明组员分工、参考文献,报告字数3000-6000; 4、不同班级的小组可选择相同的题目,但重复计数(由各班学委协调),不可多于2组,且报告内容不可相同,要求独立完成各组任务。(标注“*”的题目可增加小组数目,但不可超过5组)。 5、除了个别综述性的选题,其它选题要求在实际平台上实践。 二、选题 1、Web服务器的配置与应用 ①安装配置Web服务器。平台及软件不限,可采用IIS、Apatch等; ②编制静态网页,开通一个简单的web网站,内容不限,可以是个人网站、兴趣网站 等。测试校内Lan可用web客户端访问。 ③深入探讨网站各种属性的设置功能的使用。如端口的设置(分别开在80、8080等端 口),访问权限的控制(基于主机ip地址、基于特定用户)等安全性设置。 ④其他扩展问题。如访问量的计算等均可探讨。 2、soho路由器的设置与应用 ①静态ip地址与动态ip地址方案的设置于与实现 ②规划并配置内部ip地址及nat方案,搭建一个小型宿舍内网 ③路由器端口映射机制的工作原理,配置及实施探讨其用途 ④路由器远程管理功能的实现(具体配置方案),该功能的安全性探讨 3、校园网环境下网络访问共享的实现(已有一般一组选) ①网络访问控制的机制探讨 ②网络访问共享的方法及工作原理 ③具体实现及配置方案、测试结果 ④端口映射的不可用性的分析 4*、基于网络嗅探软件(wireshark)的协议分析实验 ①wireshark的深入学习与掌握,若过滤器的使用,归纳方法 ②通过实验阐述ARP的工作原理 ③利用实验结果分析ICMP协议的报文结构字段定义 ④基于实验数据深入分析TCP协议的连接过程原理,报文的分片等功能 ⑤从校园网发起向外网中某Web服务器的访问,记录并分析从MAC层协议、IP协议、 TCP协议一直到HTTP协议的过程 5、无线网卡环境下的协议分析工具使用 ①如何在wireshark下发现无线网卡(进行协议分析) ②如何捕获IEEE802.11的帧、软件及使用、方法探讨、实际应用 ③若②能成功,可根据捕获的802.11帧进一步分析无线网络的通信过程 ④如何通过隧道方式接入IPV6网络 6、VMwane虚拟机的网络模拟配置方案及实施 ①三种网络模式分析
计算机网络答案-第二章
第二章物理层 2-01 物理层要解决哪些问题?物理层的主要特点是什么? 答:物理层要解决的主要问题: (1)物理层要尽可能地屏蔽掉物理设备和传输媒体,通信手段的不同,使数据链路层感觉不到这些差异,只考虑完成本层的协议和服务。 (2)给其服务用户(数据链路层)在一条物理的传输媒体上传送和接收比特流(一般为串行按顺序传输的比特流)的能力,为此,物理层应该解决物理连接的建立、维持和释放问题。 (3)在两个相邻系统之间唯一地标识数据电路 物理层的主要特点: (1)由于在OSI之前,许多物理规程或协议已经制定出来了,而且在数据通信领域中,这些物理规程已被许多商品化的设备所采用,加之,物理层协议涉及的范围广泛,所以至今没有按OSI的抽象模型制定一套新的物理层协议,而是沿用已存在的物理规程,将物理层确定为描述与传输媒体接口的机械,电气,功能和规程特性。 (2)由于物理连接的方式很多,传输媒体的种类也很多,因此,具体的物理协议相当复杂。 2-02 归层与协议有什么区别? 答:规程专指物理层协议 2-03 试给出数据通信系统的模型并说明其主要组成构建的作用。 答:源点:源点设备产生要传输的数据。源点又称为源站。 发送器:通常源点生成的数据要通过发送器编码后才能在传输系统中进行传输。 接收器:接收传输系统传送过来的信号,并将其转换为能够被目的设备处理的信息。 终点:终点设备从接收器获取传送过来的信息。终点又称为目的站 传输系统:信号物理通道 2-04 试解释以下名词:数据,信号,模拟数据,模拟信号,基带信号,带通信号,数字数据,数字信号,码元,单工通信,半双工通信,全双工通信,串行传输,并行传输。 答:数据:是运送信息的实体。 信号:则是数据的电气的或电磁的表现。 模拟数据:运送信息的模拟信号。 模拟信号:连续变化的信号。 数字信号:取值为有限的几个离散值的信号。 数字数据:取值为不连续数值的数据。 码元(code):在使用时间域(或简称为时域)的波形表示数字信号时,代表不同离散数值的基本波形。 单工通信:即只有一个方向的通信而没有反方向的交互。 半双工通信:即通信和双方都可以发送信息,但不能双方同时发送(当然也不能同时接收)。这种通信方式是一方发送另一方接收,过一段时间再反过来。 全双工通信:即通信的双方可以同时发送和接收信息。 基带信号(即基本频带信号)——来自信源的信号。像计算机输出的代表各种文字或图像文件的数据信号都属于基带信号。 带通信号——把基带信号经过载波调制后,把信号的频率范围搬移到较高的频段以便在信道中传输(即仅在一段频率范围内能够通过信道)。 2-05 物理层的接口有哪几个方面的特性?个包含些什么内容?
网络安全技术实验报告
中南林业科技大学 实验报告 课程名称:计算机网络安全技术 专业班级:2014 级计算机科学与技术 2班 姓名:孙晓阳 / 学号:
( 目录 实验一java 安全机制和数字证书的管理 (5) 一实验名称 (5) 二实验目的 (5) 三实验内容 (5) 四实验结果和分析 (6) , 命令输入 (6) 分析 (7) 五小结 (8) 实验二对称密码加密算法的实现 (10) 一实验名称 (10) 二实验目的 (10) 三实验内容 (10) ? 四实验结果和分析 (10) 说明 (10) 实验代码 (10) 实验结果 (13) 五小结 (13) 实验三非对称密钥 (14) 一实验名称 (14) { 二实验目的 (14) 三实验内容 (14) 四实验结果和分析 (14)
实验代码 (14) 实验结果 (15) 五小结 (16) 实验四数字签名的实现 (17) — 一实验名称 (17) 二实验目的 (17) 三实验内容 (17) 四实验结果和分析 (17) 实验代码 (17) 实验结果 (19) 五小结 (19) ? 总结 (19)
实验一java 安全机制和数字证书的管理》 一实验名称 java 安全机制和数字证书的管理 二实验目的 了解 java 的安全机制的架构和相关的知识; 利用 java 环境掌握数字证书的管理 三实验内容 java 安全机制(JVM,沙袋,安全验证码)。 & java 的安全机制的架构 加密体系结构(JCA,Java Cryptography Architecture) 构 成 JCA 的类和接口: :定义即插即用服务提供者实现功能扩充的框架与加解密功能调用 API 的核心类和接口组。 一组证书管理类和接口。 一组封装 DSA 与 RSA 的公开和私有密钥的接口。 描述公开和私有密钥算法与参数指定的类和接口。用 JCA 提供的基本加密功能接口可以开发实现含消息摘要、数字签名、密钥生成、密钥转换、密钥库管理、证书管理和使用等功能的应用程序。 加密扩展(JCE,Java Cryptography Extension) 构 成 JCE 的类和接口: :提供对基本的标准加密算法的实现,包括 DEs,三重 DEs(Triple DEs),基于口令(PasswordBasedEncryptionstandard)的 DES,Blowfish。 ( 支持 Diffie 一 Hell-man 密钥。定义密钥规范与算法参数规范。 安全套接扩展(JSSE,Java Secure Socket1 Extension)JSSE 提供了实现 SSL 通信的标准 Java API。 JSSE 结构包括下列包: .包含 JSSE API 的一组核心类和接口。
网络安全实验报告
信息与科学技术学院学生上机实验报告 课程名称:计算机网络安全 开课学期:2015——2016学年 开课班级:2013级网络工程(2)班 教师姓名:孙老师 学生姓名:罗志祥 学生学号:37 实验一、信息收集及扫描工具的使用 【实验目的】 1、掌握利用注册信息和基本命令实现信息收集 2、掌握结构探测的基本方法 3、掌握X-SCAN的使用方法 【实验步骤】 一、获取以及的基本信息
1.利用ping 和nslookup获取IP地址(得到服务器的名称及地址) 2.利用来获取信息 二、使用工具获取到达的结构信息 三、获取局域网内主机IP的资源信息 1.ping -a IP 获得主机名; https://www.wendangku.net/doc/c1942553.html,stat -a IP 获得所在域以及其他信息; https://www.wendangku.net/doc/c1942553.html, view IP 获得共享资源; 4.nbtstat a IP 获得所在域以及其他信息; 四、使用X-SCAN扫描局域网内主机IP; 1.设置扫描参数的地址范围; 2.在扫描模块中设置要扫描的项目; 3.设置并发扫描参数; 4.扫描跳过没有响应的主机; 5.设置要扫描的端口级检测端口; 6.开始扫描并查看扫描报告; 实验二、IPC$入侵的防护
【实验目的】 ?掌握IPC$连接的防护手段 ?了解利用IPC$连接进行远程文件操作的方法 ?了解利用IPC$连接入侵主机的方法 【实验步骤】 一:IPC$ 连接的建立与断开 通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。1.单击“开始”-----“运行”,在“运行”对话框中输入“cmd” 1.建立IPC$连接,键入命令 net use \\19 2.168.21 3.128\ipc$ 123 / user:administrator 2.映射网络驱动器,使用命令: net use y: 1.映射成功后,打开“我的电脑”,会发现多了一个y盘,该磁盘即为目标主机的C盘 1.在该磁盘中的操作就像对本地磁盘操作一
计算机网络课后题答案第七章
第七章网络安全 7-01 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网 络的安全措施都有哪些? 答:计算机网络面临以下的四种威胁:截获(interception),中断(interruption),篡改 (modification),伪造(fabrication)。 网络安全的威胁可以分为两大类:即被动攻击和主动攻击。 主动攻击是指攻击者对某个连接中通过的PDU 进行各种处理。如有选择地更改、删除、 延迟这些PDU。甚至还可将合成的或伪造的PDU 送入到一个连接中去。主动攻击又可进一步 划分为三种,即更改报文流;拒绝报文服务;伪造连接初始化。被动攻击是指观察和分析某一个协议数据单元PDU 而不干扰信息流。即使这些数据对 攻击者来说是不易理解的,它也可通过观察PDU 的协议控制信息部分,了解正在通信的协议 实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的性质。这种被 动攻击又称为通信量分析。 还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多,对网络安全威胁
较大的主要有以下几种:计算机病毒;计算机蠕虫;特洛伊木马;逻辑炸弹。 对付被动攻击可采用各种数据加密动技术,而对付主动攻击,则需加密技术与适当的 鉴别技术结合。 7-02 试解释以下名词:(1)重放攻击;(2)拒绝服务;(3)访问控制;(4)流量分析; (5)恶意程序。 答:(1)重放攻击:所谓重放攻击(replay attack)就是攻击者发送一个目的主机已接收 过的包,来达到欺骗系统的目的,主要用于身份认证过程。(2)拒绝服务:DoS(Denial of Service)指攻击者向因特网上的服务器不停地发送大量 分组,使因特网或服务器无法提供正常服务。 (3)访问控制:(access control)也叫做存取控制或接入控制。必须对接入网络的权限 加以控制,并规定每个用户的接入权限。 (4)流量分析:通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和 身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的某种性质。这种被动攻击又 称为流量分析(traffic analysis)。
《计算机网络安全》(B卷)
《网络安全考试题》(B卷) 一、填空题。 1.利用现代通信和计算机技术,把分布在不同低点的计算机互联起来,按网络协议互相通信,以共享软硬件和数据资源。 2.僵尸网络是指由“肉鸡”组成的部队。 3.TCP/IP协议数据流采用明文传输。 4.信息整体安全是由安全操作系统、应用系统、防火墙、网络监控、、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件共同组成。 5.安全策略的三个重要组成为:威严的法律、先进的技术、严格的管理 6.防火墙是简历安全系统的第一道防线。 7.黑客是英文“ hacker ”的音译,是指技术上的行家或热衷于解决问题克服限制的人。8.黑客的行为趋势:手段高明化:活动频繁化:动机复杂化。 二、选择题。 1、下列不属于扫描工具的是( D) A、SATAN B、NSS C、Strobe D、cmd 2、在网络上,为了监听效果最好,监听设备不应放在( C ) A、网关 B、路由器 C、中继器 D、防火墙 3、在选购防火墙软件时,不应考虑的是:( B )。 A、一个好的防火墙应该是一个整体网络的保护者 B、一个好的防火墙应该为使用者提供唯一的平台 C、一个好的防火墙必须弥补其他操作系统的不足 D、一个好的防火墙应能向使用者提供完善的售后服务 4、以下哪种特点是代理服务所具备的( A ) A、代理服务允许用户“直接”访问因特网,对用户来讲是透明的 B、代理服务能够弥补协议本身的缺陷
C、所有服务都可以进行代理 D、代理服务不适合于做日志 5、下列互联网上网服务营业场所的经营行为中,哪一行为( B )是违反《互联网上网服务营业场所管理办法》规定的 A、记录有关上网信息,记录备份保存60日 B、经营含有暴力内容的电脑游戏 C、向未成年人开放的时间限于国家法定节假日每日8时至21时 D、有与营业规模相适应的专业技术人员和专业技术支持 6、在建立口令时最好要遵循的规则是( D )。 A.使用英文单词 B.选择容易记的口令 C.使用自己和家人的名字D.尽量选择长的口令 7、如果路由器有支持内部网络子网的两个接口,很容易受到IP欺骗,从这个意义上讲,将Web服务器放在防火墙( A )有时更安全些。 A、外面 B、内部 C、一样 D、不一定 8、提高数据完整性的办法是( D ) A、备份 B、镜像技术 C、分级存储管理 D、采用预防性技术和采取有效的恢复手段 9、网络安全性策略应包括网络用户的安全责任、( B )、正确利用网络资源和检测到安全问题时的对策 A、技术方面的措施 B、系统管理员的安全责任 C、审计与管理措施 D、方便程度和服务效率 10、外部路由器真正有效的任务就是阻断来自( A )伪造源地址进来的任何数据包 A、外部网;;; B、内部网 C、堡垒主机 D、内部路由器 三、判断题。(对的打“√”错的打“×”) 1、根据《互联网站从事登载新闻业务管理暂行规定》,只有新闻网站才有资格登载境外新闻媒体和互联网站发布的新闻。( 0) 2、防火墙技术并不只限应用于TCP/IP协议中,类似的技术可用在任何分组交换网络中(1 ) 3、经常更换口令往往使人难于记住而造成很大的麻烦,所以我们应当交替重复使用口令(0 )
大作业-计算机网络
大作业要求 ****(单位、公司、工厂或学校)为背景,设计一个网络建设方案。 方案中应该包括: 根据****(单位、公司、工厂或学校)的组织结构、业务需求完成网络需求分析,确定拓扑方案,完成设备选型,注明各种设备、设施和软件的生产商、名称、型号、配置与价格,基本确定方案的预算。 要求: 1.完成建网进行需求分析,提交需求分析报告; 2、在需求分析的基础上进行系统设计、技术选型,规划、设计网络的逻辑拓扑方案、布线设计等,划分子网,设计子网地址、掩码和网关,为每个子网中的计算机指定IP地址; 3、根据条件进行设备选型,决定各类硬件和软件的配置和经费预算方案; 4、创建局域网内的DNS服务器,配置相关文件,可以对局域网内的主机作域名解析。 ○参□考□样◇例
1、需求分析 随着信息时代的到来,校园网已经成为现代教育背景下的必要基础设施,成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大,校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习,校园网能为学校的信息化建设打下基础。 根据本校园实际情况主要应用需求分析如下: 用户的应用需求:所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务器、电子邮件服务器、文件服务服务器、远程登录等实现远程学习,此外为教务处提供教务管理、学籍管理、办公管理等。 通信需求:通过E-mail及网上BBS以及其它网络功能满足全院师生的通信与信息交换的要求,提供文件数据共享、电子邮箱服务等。 信息点和用户需求:按照要求本校园网内信息点总数为531个, 其中办公区需要的信息点为(111个):教务处(25),各院系办公区(26),图书馆(60);教学区为(400个):除机房需要120个信息点外,其余各系部大楼及教学楼(包括设计艺术系楼、建筑工程系楼、一号楼、大学生活动中心楼、教学主楼、B、C楼等)各需设置信息点的个数为40;生活区为(20个):20个宿舍楼区、食堂等各设置1个信息点。电子邮件服务器、文件服务服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。 性能需求:此校园网络支持学校的日常办公和管理,包括:办公自动化、图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等。支持网络多媒体学习的信息传输要求。 安全与管理需求:学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是
计算机网络安全考试试题及答案
计算机[网络安全考]试试题及答案一、单项选择题(每小题 1 分,共 30 分) 1. 非法接收者在截获密文后试图从中分析出明文的过程称为(A A. 破译 B. 解密 C. 加密 D. 攻击 ) 2. 以下有关软件加密和硬件加密的比较,不正确的是(B B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3. 下面有关 3DES 的数学描述,正确的是(B A. C=E(E(E(P, K), K), K) C. C=E(D(E(P, K), K), K) 4. PKI 无法实现(D A. 身份认证 5. CA 的主要功能为(D A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书 6. 数字证书不包含( B A. 颁发机构的名称 C. 证书的有效期 A. 身份认证的重要性和迫切性 C. 网络应用中存在不严肃性 A. 用户名+密码A. 社会工程学 B. 卡+密钥 B. 搭线窃听 ) B. 让其他计算机知道自己的存在 D. 扰乱网络的正常运行 ) B. TCP 面向流的工作机制 D. TCP 连接终止时的 FIN 报文 ) C. 地址绑定技术 ) D. 报文摘要技术 ) B. 证书持有者的私有密钥信息 D. CA 签发证书时所使用的签名算法 ) B. 网络上所有的活动都是不可见的 D. 计算机网络是一个虚拟的世界 ) D. 卡+指纹 ) C. 用户名+密码+验证码 C. 窥探 D. 垃圾搜索 ) C. 数据的机密性 D. 权限分配 ) B. 数据的完整性 ) B. C=E(D(E(P, K), K), K) D. C=D(E(D(P, K), K), K) ) A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序 7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明(A 8. 以下认证方式中,最为安全的是( D 9. 将通过在别人丢弃的废旧硬盘、U 盘等介质中获取他人有用信息的行为称为(D 10. ARP 欺骗的实质是(A A. 提供虚拟的 MAC 与 IP 地址的组合 C. 窃取用户在网络中传输的数据 11. TCP SYN 泛洪攻击的原理是利用了(A A. TCP 三次握手过程 C. TCP 数据传输中的窗口技术 12. DNSSEC 中并未采用( C A. 数字签名技术A. 格式化硬盘 B. 公钥加密技术 13. 当计算机上发现病毒时,最彻底的清除方法为(A B. 用防病毒软件清除病毒
计算机网络大作业-浅谈计算机网络安全漏洞及防范措施1范文
序号2011-2012学年度第二学期大作业 课程名称:Interne技术与应用 任课教师:赵小兰 作业题目:浅谈计算机网络安全漏洞及防范措施 姓名:吴秀兰 学号:3011 专业:电气工程及其自动化 教学中心:河源市职业技术学院 联系电话: 评审日期__________成绩_________评审教师(签名)__________ 华南理工大学网络教育学院
浅谈计算机网络安全漏洞及防范措施 姓名:吴秀兰学号:3011 摘要: 随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。 关键词:计算机;网络安全;防范措施 在信息高速发展的21世纪,计算机作为高科技工具得到广泛的应用。从控制高科技航天器的运行到个人日常办公事务的处理,从国家安全机密信息管理到金融电子商务办理,计算机都在发挥着极其重要的作用。因此,计算机网络的安全已经成为我们必须要面对的问题。 一、什么是计算机网络安全 国际标准化组织(ISO)将“计算机安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露[1]。目前绝大多数计算机都是互联网的一部分,因此计算机安全又可分为物理安全和信息安全,是指对计算机的完整性、真实性、保密性的保护,而网络安全性的含义是信息安全的引申。计算机网络安全问题是指电脑中正常运作的程序突然中断或影响计算机系统或网络系统正常工作的事件,主要是指那些计算机被攻击、计算机内部信息被窃取及网络系统损害等事故。网络安全问题的特点在于突发性、多样性和不可预知性,往往在短时间内就会造成巨大破坏和损失。 二、影响计算机网络安全的隐患 1、计算机安全漏洞 漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。从计算机系统软件编写完成开始运行的那刻起,计算机系统漏洞也就伴随着就产生了,漏洞一旦被发现,就可使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未经授权的情况下访问或破坏
计算机网络安全教程第2版--亲自整理最全课后答案
第1章网络安全概述与环境配置 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题 1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3、为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 第2章网络安全协议基础 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。 3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议(SMTP)和邮局协议(POP)。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过程的次数一起显示出来。
计算机网络安全(选择题和填空题答案)
计算机网络安全复习题 (课程代码4751) 一、单项选择题 1.下列不属于 ...数据传输安全技术的是( d ) A.防抵赖技术 B.数据传输加密技术 C.数据完整性技术D.旁路控制 2.SNMP的中文含义为( b ) A.公用管理信息协议 B.简单网络管理协议 C.分布式安全管理协议 D.简单邮件传输协议3.当入侵检测分析引擎判断到有入侵后,紧接着应该采取的行为是( a ) A.记录证据B.跟踪入侵者 C.数据过滤D.拦截 4.关于特征代码法,下列说法错.误.的是( b ) A.特征代码法检测准确B.特征代码法可识别病毒的名称 C.特征代码法误报警率高D.特征代码法能根据检测结果进行解毒处理 5.恶意代码的生存技术不包括 ...( a ) A.反跟踪技术B.三线程技术 C.加密技术D.自动生产技术 6.包过滤防火墙工作在( c ) A.会话层B.应用层 C.传输层D.网络层 7.以下属于 ..非对称式加密算法的是( a ) A.DES B.IDEA C.RSA D.GOST 8.以下对DoS攻击的描述,正确 ..的是( b ) A.以窃取目标系统上的机密信息为目的 B.导致目标系统无法正常处理用户的请求 C.不需要侵入受攻击的系统 D.若目标系统没有漏洞,远程攻击就不会成功 9.PPDR模型中的R代表的含义是( a ) A.响应 B.检测 C.关系D.安全 10.关于数字签名与手写签名,下列说法中错误 ..的是( c ) A.手写签名对不同内容是不变的 B.数字签名对不同的消息是不同的 C.手写签名和数字签名都可以被模仿 D.手写签名可以被模仿,而数字签名在不知道密钥的情况下无法被模仿 11.“火炬病毒”属于( a ) A.引导型病毒 B.文件型病毒
大作业计算机网络
江南大学现代远程教育2015年下半年考试大作业 考试科目:《计算机网络》 一、大作业题目: 1、说明INTERNET域名系统的功能。举一个实例解释域名解析的过程。(25分) 答:DNS实现主机域名和IP地址之间的解析。 假设某个网络的计算机要访问https://www.wendangku.net/doc/c1942553.html, ①首先,该台计算机的解析器向其本地域名服务器发出请求,查寻“https://www.wendangku.net/doc/c1942553.html,”的IP地址,如果没有该纪录,则向上一级域名服务器发请求,直到中国的顶级域名服务器。 ②中国的顶级域名服务器先查询自己的数据库,若发现没有相关的记录,则向根“.”域名服务器发出查寻“https://www.wendangku.net/doc/c1942553.html,”的IP地址请求;根域名服务器给中国域名服务器返回一个指针信息,并指向com域名服务器。 ③中国的本地域名服务器向com域名服务器发出查找“https://www.wendangku.net/doc/c1942553.html,”的IP地址请求,com域名服务器给中国的本地域名服务器返回一个指针信息,并指向“https://www.wendangku.net/doc/c1942553.html,”域名服务器。 ④经过同样的解析过程,“https://www.wendangku.net/doc/c1942553.html,”域名服务器再将“https://www.wendangku.net/doc/c1942553.html,”的IP地址返回给中国的本地域名服务器。
⑤中国域名服务器将“https://www.wendangku.net/doc/c1942553.html,”的IP地址逐级发送给该计算机解析器。 ⑥解析器使用IP地址与https://www.wendangku.net/doc/c1942553.html,进行通信 2、若要将一个C类的网络地址192.168.1.0划分为4个子网,分别代表四个部门,这4个部门分别有计算机5、7、12、20台。请写出每个子网的子网掩码和主机IP地址的范围。(25分) 答:子网掩码=255.255.255.192 四个子网如下: 1) 192.168.1.0 -- 192.168.1.63 2) 192.168.1.64 -- 192.168.1.127 3) 192.168.1.128 -- 192.168.1.191 4) 192.168.1.192 -- 192.168.1.255 3、某医院建设信息网络系统。系统分为业务内网和INTERNET外网两部分。内网运行医院业务应用系统,诸如电子病例系统、住院管理系统等。医院还建有门诊挂号预约系统,病员信息查询系统,向外网用户提供服务。医院应用数据根据上级主管部门要求,需要每天规定时间上传病案数据到卫生质量监测部门。请设计一套信息数据安全方案,满足内部业务应用系统和外网应用的需求,内、外网数据交换的需求。(50分) 要求: 1)给出方案设计的详细拓扑图 2)给出各个应用系统服务器的部署(电子病例系统、住院管理系统、门诊挂号预约系统,
计算机网络安全试题附答案
计算机网络安全试题及答案 一、单项选择题 1、当你感觉到你的Win2000运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有可能认为你受到了哪一种攻击。 B A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 2、RC4是由RIVEST在1987年开发的,是一种流式的密文,就是实时的把信息加密成一个整体,它在美国一般密钥长度是128位,因为受到美国出口法的限制,向外出口时限制到多少位 C A、64位 B、56位 C、40位 D、32位 3、假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段 B A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 4、小李在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端口,此主机最有可能是什么 B A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器 5、你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令 C A、ping B、nslookup C、tracert D、ipconfig 6、以下关于VPN的说法中的哪一项是正确的 C A、VPN是虚拟专用网的简称,它只能只好ISP维护和实施 B、VPN是只能在第二层数据链路层上实现加密 C、IPSEC是也是VPN的一种 D、VPN使用通道技术加密,但没有身份验证功能 7、下列哪项不属于window2000的安全组件 D A、访问控制 B、强制登陆 C、审计 D、自动安全更新 8、以下哪个不是属于window2000的漏洞 D A、unicode B、IIS hacker C、输入法漏洞 D、单用户登陆 9、你是一企业网络管理员,你使用的防火墙在UNIX下的IPTABLES,你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器,你应该怎么设置防火墙规则 B A、iptables—A input—p tcp—s —source—port 23—j DENY B、iptables—A input—p tcp—s —destination—port 23—j DENY C、iptables—A input—p tcp—d —source—port 23—j DENY D、iptables—A input—p tcp—d —destination—port 23—j DENY 10、你的window2000开启了远程登陆telnet,但你发现你的window98和unix计算机没有办法远程登陆,只有win200 0的系统才能远程登陆,你应该怎么办 D
计算机网络安全试题
加粗为主校试题 第一章: 1. 威胁计算机网络安全的主要因素有哪些? 答:⑴从威胁的对象看:主要可分为两大类:①对网络中信息的威胁②对网络中设备的威胁 ⑵从Internet的技术基础看:①网络的资源是共享的,面向所有用户②各种协议的漏洞③各种系统的漏洞 ⑶从人的因素考虑,影响网络安全的因素可分为人为和非人为两种情况。 2.简述计算机网络安全的内涵。 答:计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性、可用性、可控性和抗抵赖性受到保护。 3.计算机网络安全包括那两个方面? 答:内容包括两方面:硬安全(物理安全)和软安全(逻辑安全)。 4.什么是计算机网络安全策略? 答:安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所建立的规则。通常,包括建立安全环境的三个重要组成部分。 (1)严格的法规 (2)先进的技术 (3)有效的管理 5.制定计算机网络安全策略需要注意那些问题? 答:制定网络安全管理策略首先要确定网络安全管理要保护什么,对于要保护的内容,一般有两种截然不同的保护原则。 一种是“没有明确表述为允许的都被认为是被禁止的”, 另一种是“一切没有明确表述为禁止的都被认为是允许的”。 6.计算机网络安全的主要技术措施。 答:一、利用操作系统、数据库、电子邮件、应用系统本身的安全性,对用户进行权限设置 二、在局域网的桌面工作站上部署防病毒软件 三、在Intranet系统与Internet连接之处部署防火墙 四、某些行业的关键业务在广域网上采用较少位数的加密传输,而其他行业在广域网上采用明文传输 第二章: 1. 解释网络安全体系结构的含义。 答:全部网络协议以层次化的结构形式所构成的集合,就称为网络体系结构。 2.网络安全有哪些需求? 答:1.保密性2.完整性3.可用性4.可控性5.抗抵赖性 3.网络安全体系结构的任务是什么? 答:提供有关形成网络安全方案的方法和若干必须遵循的思路、原则和标准。它给出关于网络安全服务和网络安全机制的一般描述方式,以及各种安全服务与网络体系结构层次的对应关系。 4.开放系统互联安全体系结构提供了哪几类安全服务? 答:6类安全服务:⑴对等实体鉴别⑵访问控制⑶数据保密⑷数据完整性⑸数
计算机网络安全教学大纲
《计算机网络安全》 一、说明: (一)课程性质 《计算机网络安全》是为我院计算机科学与技术专业网络方向开设的一门专业课,属于计算机网络安全范畴,是培养学生计算机网络安全基本理论素质和应用能力的一门必修课,是在学习其它计算机类课程的基础上展开的。本课程对于培养学生的理论思维、实践能力、创新能力,分析和解决问题的能力都起到重要作用,对网络方向的学生培养目标的实现都起到关键作用的课程。 (二)课程目的 本课程的教学目的是使学生掌握计算机网络安全基础理论知识,具备熟练操作和使用计算机进行网络安全攻防的能力,为培养网络安全管理员奠定理论基础和培养应用技能。 (三)教学内容 1.掌握网络安全的研究体系、了解实验环境的配置 2.熟练掌握网络安全协议基础知识; 3.掌握网络安全编程基础; 4.熟练掌握网络扫描与网络监听原理和操作方法; 5.熟练掌握网络入侵原理和操作方法; 6.熟练掌握网络后门与网络隐身原理和操作方法; 7.掌握操作系统安全配置方案基本知识; (四)教学时数 60学时(理论40学时,实践20学时) (五)教学方式 “理论联系实际,并有所发展”是本课程的指导方针: (1)“理论”即计算机网络以及网络安全的理论。 (2)“实际”即众多的网络安全攻防工具。
(3)“发展”即利用编程技术编写一些网络安全工具。 本课程具有基础理论知识广泛、操作性强的特点,是一门理论性和实践性很强的课程。在教学过程中,应注重学生基本操作能力和解决实际问题能力的培养,既要重视基础理论、基础知识的教学,又要重视上机实验与实践教学环节。课堂讲授与上机实验课时比例应保持在2:1。采用多媒体教学课件、网络、模拟实验等现代化教学手段,充分利用多媒体网络教学系统和大屏幕投影进行教学。积极采用案例教学方法,逐步建立以学生为主体的互动式教学模式。 二、本文 理论部分 第一章网络安全概述与环境配置 教学要点: 1.了解研究网络安全的必要性; 2.掌握网络安全研究的体系; 3.理解应用软件的安全等级; 4.了解研究网络安全社会意义; 5.了解目前计算机网络安全的相关法规; 6.具备实验环境的配置能力; 7.能够进行简单的抓取网络数据包实验。 教学时数: 4学时 教学内容: 1.1网络安全研究的体系学时) 网络安全攻防体系,攻击技术,防御技术,网络的层次体系:物理安全、逻辑安全、操作系统安全、联网安全等。 1.2研究网络安全的必要性学时) 物理威胁,系统漏洞造成的威胁,身份鉴别威胁,线缆连接威胁,有害程序
计算机网络安全(参考)试题及标准答案汇总
全国2009年4月自学考试计算机网络安全试题 课程代码:04751 一、单项选择题(本大题共15小题,每小题2分,共30分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.拒绝服务攻击是对计算机网络的哪种安全属性的破坏(C) A.保密性?B.完整性??C.可用性??D.不可否认性 2.在P2DR(PPDR)模型中,作为整个计算机网络系统安全行为准则的是(A) A.Policy(安全策略)??? B.Protection(防护) C.Detection(检测) ??D.Response(响应) 3.电源对用电设备的潜在威胁是脉动、噪声和(C) ?A.造成设备过热?B.影响设备接地?C.电磁干扰?D.火灾 4.计算机机房的安全等级分为(B) ?A.A类和B类2个基本类别 B.A类、B类和C类3个基本类别 C. A类、B类、C类和D类4个基本类别 D. A类、B类、C类、D类和E类5个基本类别 5.DES加密算法的密文分组长度和有效密钥长度分别是(B) ?A.56bit,128bit?B.64bit,56bit?C.64bit,64bit ?D.64bit,128bit 6.下面关于双钥密码体制的说法中,错误的是(D) A.可以公开加密密钥????B.密钥管理问题比较简单 C.可以用于数字签名??D.加解密处理速度快 7.下面关于个人防火墙特点的说法中,错误的是(C) ?A.个人防火墙可以抵挡外部攻击 ?B.个人防火墙能够隐蔽个人计算机的IP地址等信息 C.个人防火墙既可以对单机提供保护,也可以对网络提供保护 ?D.个人防火墙占用一定的系统资源 8.下面关于防火墙的说法中,正确的是(D)
计算机网络大作业
计算机网络在电子商务方面的应用 黄帅 201615062013001 摘要:计算机网络在当今计算机科学与技术学科中发展最为迅速,它已经渗透到人们生活、工作和学习的各个领域,电子商务就是其中一个。近年来,电子商务得到了快速发展,给人们带来巨大方便和实惠,也给更多更多的人省去了大量的时间。同时,扩大营销方式,从单方面的面对面变成O2O的买卖。 1.电子商务的概念 电子商务以经济为核心,是基于经济不断发展的基础上,利用计算机网络本身具有的开放性、全球性、自由性、虚拟性来进行的,简化了交易流程、提高了交易效率。通常分为4种类型: (一)企业和消费者之间的电子商务,简单的说是消费者利用计算机网络直接参与经济贸易活动的类型,类似于实体店中的销售。最常见的有京东、淘宝等; (二)企业和企业之间的电子商务。此种方式更多的是企业间的寻求合作,通过网络的开阔性,来进一步扩大寻找良好合作伙伴的可能性。通过不断的发现,也了解了更多的企业合作远景; (三)消费者和消费者之间的电子商务,此种方式可以充分调动民间的贸易市场参与经济活动,为消费者提供了买卖的交易平台,用户可以利用交易平台的资源来对自己的商品进行交易和竞价; (四)线下商务和互联网间的电子商务。一般称为线下线上,消费真可以线上来选择服务、付款、结算,线下进行实体消费,利用计算机网络力量实现了线上与线下的无缝对接,线上购买、付款等,线下消费,例如美团、大众点评、饿了么等。 2.电子商务的特点 由于电子商务依存于计算机网络中,因此电子商务与传统的商务也有着巨大的不同,主要体现在如下几个方面: (一)交易便捷。传统的商务在流通渠道方面主要有企业、代理商、零售商、消费者,各个环节比较繁杂,一旦出现问题,不仅增加时间、环节,从而导致费用的增加、流通滞后等情况的发生,而且影响了消费者的消费心理。而电子商务简化了这个流程,缩短了企业与消费者的距离,减少了消费者对于中间环节的依赖程度,也大大降低了成本。即使存在中间环节,其产生的成本也会大大降低。 (二)信息精准而快速。在对贸易信息的收集方面传统商务所需要的时间也较长,反映的情况往往滞后的程度较大,但是对于电子商务来讲,利用电子商务平台和电子统计来进行,时效性和准确性要高出很多。 (三)交易无限制。传统的交易受限于特定的时间,消费者购买特定商品必须在指定时间内,一旦超过时间将面临于店铺关门的情况。而电子商务计算机网络的存在,消费者可以自由支配时间来进行交易选择。这也得益于线上销售线下服务的可能性。 (四)交易空间广。传统商务的交易地点特别受地域的影响,其具有区域性,消费者必须去指定地点才能购买,而电子商务因为存在于虚拟空间,双方不受空间的限制,只要有网络即可以进行交易。