計算機(jī)網(wǎng)絡(luò)安全技術(shù).doc

計算機(jī)網(wǎng)絡(luò)安全技術(shù)習(xí)題一：1-1 簡述計算機(jī)網(wǎng)絡(luò)安全的定義 答：從狹義角度：計算機(jī)網(wǎng)絡(luò)安全是指計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。從本質(zhì)上來講就是系統(tǒng)上的信息安全； 從廣義角度：凡是涉及計算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。1-2 計算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)在哪幾個方面？試舉例說明。 答：網(wǎng)絡(luò)安全的脆弱性、計算機(jī)硬件系統(tǒng)的故障、軟件本身的“后門”、軟件的漏洞。 例子：有些軟件會捆綁另一些軟件安裝。1-9 計算機(jī)網(wǎng)絡(luò)安全的三個層次的具體內(nèi)容是什么？ 答：安全立法：計算機(jī)網(wǎng)絡(luò)安全及信息系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)管理、商用密碼管理、計算機(jī)病毒防治、安全產(chǎn)品檢測與銷售； 安全技術(shù)：物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、信息安全技術(shù)； 安全管理：包括從人事資源管理到資產(chǎn)物業(yè)管理，從教育培訓(xùn)、資格認(rèn)證到人事考核鑒定制度，從動態(tài)運(yùn)行機(jī)制到日常工作規(guī)范、崗位責(zé)任制度等多方面。習(xí)題二2-1簡述物理安全的定義、目的與內(nèi)容。答：定義:實(shí)體安全又叫物理安全，是保護(hù)計算機(jī)設(shè)備設(shè)施免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實(shí)體安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全以及實(shí)體訪問控制和應(yīng)急處理計劃等。實(shí)體安全技術(shù)主要是指對計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和人員等采取的安全技術(shù)措施。 目的：實(shí)體安全的目的是保護(hù)計算機(jī)、網(wǎng)絡(luò)服務(wù)器、交換機(jī)、路由器、打印機(jī)等硬件實(shí)體和通信設(shè)施免受自然災(zāi)害、人為失誤、犯罪行為的破壞；確保系統(tǒng)有一個良好的電磁兼容工作環(huán)境；把有害的攻擊隔離。 內(nèi)容：實(shí)體安全的內(nèi)容主要包括：環(huán)境安全、電磁防護(hù)、物理隔離以及安全管理。2-2計算機(jī)房場地的安全要求有哪些？答：1、為保證物理安全，應(yīng)對計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的實(shí)體訪問進(jìn)行控制，即對內(nèi)部或外部人員出入工作場所進(jìn)行限制。 2、計算機(jī)機(jī)房的設(shè)計應(yīng)考慮減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會。3、所有進(jìn)出計算機(jī)機(jī)房的人都必須通過管理人員控制的地點(diǎn)。2-3簡述機(jī)房的三度要求。答：溫度：機(jī)房溫度一般控制在1820，即（202）。溫度過低會導(dǎo)致硬盤無法啟動，過高會使元器件性能發(fā)生變化，耐壓降低，導(dǎo)致不能工作。濕度：機(jī)房內(nèi)的相對濕度一般控制在40%60%為好，即（5010）%。濕度控制與溫度控制最好都與空調(diào)聯(lián)系在一起，由空調(diào)系統(tǒng)集中控制。機(jī)房內(nèi)應(yīng)安裝溫、濕度顯示儀，隨時觀察、監(jiān)測。潔凈度：清潔度要求機(jī)房塵埃顆粒直徑小于0.5m,平均每升空氣含塵量小于1萬顆。2-4機(jī)房內(nèi)應(yīng)采取哪些防靜電措施？常用的電源保護(hù)裝置有哪些？答：防電措施：采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。 常用的電源保護(hù)裝置有金屬氧化物可變電阻、硅雪崩二極管、氣體放電管、濾波器、電壓調(diào)整變壓器和不間斷電源等。2-7簡述電磁干擾的分類及危害。答：電磁干擾的分類：傳導(dǎo)干擾、輻射干擾 危害：計算機(jī)電磁輻射的危害、外部電磁場對計算機(jī)正常工作的影響。2-9簡述物理隔離的安全要求。答：1、在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。2、在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄露到外部網(wǎng)。3、在物理儲存上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機(jī)、硬盤燈存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲。2-10簡述物理隔離技術(shù)經(jīng)歷了哪三個階段？每個階段各有什么技術(shù)特點(diǎn)。答：徹底的物理隔離：物理隔離是一個數(shù)據(jù)安全裝置，一個基于PCI的硬件插卡，一般分為單網(wǎng)口隔離卡和雙網(wǎng)口隔離卡兩種。利用物理隔離卡、安全隔離計算機(jī)和隔離集線器所產(chǎn)生的網(wǎng)絡(luò)隔離，是徹底的物理隔離，兩個網(wǎng)絡(luò)之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡(luò)攻擊，它們適用于一臺終端需要分時訪問兩個不同的、物理隔離的網(wǎng)絡(luò)的應(yīng)用環(huán)境。協(xié)議隔離：協(xié)議隔離通常指兩個網(wǎng)絡(luò)之間存在著直接的物理連接，但通過專用協(xié)議來連接兩個網(wǎng)絡(luò)。物理隔離網(wǎng)閘技術(shù)：物理隔離網(wǎng)閘技術(shù)使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，來連接兩個獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。習(xí)題三3-1簡要回答防火墻的定義和發(fā)展簡吏。答：定義：防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間或兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。 發(fā)展簡吏：第一代包過濾；二代電路層防火墻；三代應(yīng)用層防火墻；四代動態(tài)包過濾；第五代自適應(yīng)代理技術(shù)。3-2設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？答：目的：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。功能：防火墻是網(wǎng)絡(luò)安全的屏障；防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略；對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計；防止內(nèi)部信息的外泄。局限性：防火墻防外不防內(nèi)；網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制；防火墻難于管理和配置，易造成安全漏洞；效率較低、故障率高；很難為用戶在防火墻內(nèi)外提供一致的安全策略；防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。3-3簡述防火墻的發(fā)展動態(tài)和趨勢。答：動態(tài)：優(yōu)良的性能；可擴(kuò)展的結(jié)構(gòu)和功能；簡化的安裝與管理；主動過濾；防病毒與防黑客。趨勢：未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。3-6防火墻的主要技術(shù)及實(shí)現(xiàn)的方式有哪些？答：主要技術(shù)：雙端口或三端口的結(jié)構(gòu)；透明的訪問方式；靈活的代理系統(tǒng)；多級的過濾技術(shù)；網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)；網(wǎng)絡(luò)狀態(tài)監(jiān)視器；Internet網(wǎng)關(guān)技術(shù)；安全服務(wù)器網(wǎng)絡(luò)（SSN）；用戶鑒定與加密；用戶定制服務(wù)；審計和告警。實(shí)現(xiàn)方式：應(yīng)用網(wǎng)關(guān)代理；回路級代理服務(wù)器；代管服務(wù)器；IP通道（IP Tunnels）；隔離域名服務(wù)器；郵件轉(zhuǎn)發(fā)技術(shù)。3-7防火墻的常見體系結(jié)構(gòu)有哪幾種？答：雙宿主機(jī)網(wǎng)關(guān)；屏蔽主機(jī)網(wǎng)關(guān)；被屏蔽子網(wǎng)。習(xí)題四4-1攻擊者常用的攻擊工具有哪些？答：DOS攻擊工具；木馬程序。4-3簡述網(wǎng)絡(luò)攻擊的步驟。畫出黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程。答：網(wǎng)絡(luò)攻擊的步驟：隱藏位置，網(wǎng)絡(luò)探測和資料收集；弱點(diǎn)挖掘；掌握控制權(quán)；隱藏行蹤；實(shí)施攻擊；開辟后門。1、用Ping查詢企業(yè)網(wǎng)站服務(wù)器的IP2、用IP Network Browser掃描企業(yè)內(nèi)部IP3、用PoreScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT4、用wwwhack入侵企業(yè)E-mail5、破解Intranet的賬號和口令6、用Legion掃描企業(yè)內(nèi)部局域網(wǎng)7、植入特洛伊木馬8、結(jié)束 4-4攻擊者隱藏自己的行蹤時通常采用哪些技術(shù)？答：連接隱藏；進(jìn)程隱藏；篡改日志文件中的審計信息；改變系統(tǒng)時間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。4-5簡述網(wǎng)絡(luò)攻擊的防范措施。答：提高安全意識；使用能防病毒、防黑客的防火墻軟件；設(shè)置代理服務(wù)器，隱藏自己的IP地址；安裝過濾器路由器，防止IP欺騙；建立完善的訪問控制策略；采用加密技術(shù)；做好備份工作。4-6簡述網(wǎng)絡(luò)攻擊的處理對策。答：發(fā)現(xiàn)攻擊者；處理原則；發(fā)現(xiàn)攻擊者后的處理對策。習(xí)題五5-1簡述訪問控制的三個要素、七種策略。答：三要素：主體、客體、控制策略； 七種策略：入網(wǎng)訪問控制；網(wǎng)絡(luò)的權(quán)限控制；目錄級安全控制；屬性安全控制；網(wǎng)絡(luò)服務(wù)器安全控制；網(wǎng)絡(luò)監(jiān)測和鎖定控制；網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。5-2簡述訪問控制的內(nèi)容。答：訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計三個方面的內(nèi)容。5-3簡述自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型。答： 自主訪問控制模型：是根據(jù)自主訪問控制策略建立的一種模型，是基于訪問控制矩陣中列的自主訪問控制。 強(qiáng)制訪問控制模型：是一種多級訪問控制策略，主要特點(diǎn)是系統(tǒng)對主體和客體實(shí)行強(qiáng)制訪問控制。 基于角色的訪問控制模型：在基于角色訪問，不同的角色被賦予不同的訪問權(quán)限。系統(tǒng)的訪問控制機(jī)制只看到角色，而看不到用戶。習(xí)題六6-2 RAID有哪幾種級別？各有何特點(diǎn)？答：級別：RAID0、RAID1、RAID10、和RAID5.特點(diǎn): RAID0具有成本低、讀寫性能極高、存儲空間利用率高等特點(diǎn)；RAID1安全性高、技術(shù)簡單、管理方便、讀寫性能好，缺點(diǎn)是無法擴(kuò)展，數(shù)據(jù)空間浪費(fèi)大；RAID10讀寫性能出色、安全性高，但缺點(diǎn)是構(gòu)建陣列的成本投入大，數(shù)據(jù)空間利用率低，不是經(jīng)濟(jì)高效的方案； RAID5具有數(shù)據(jù)安全、讀寫速度快、空間利用率高等優(yōu)點(diǎn)，缺點(diǎn)是寫操作較慢。6-3 分別說明DAS、NAS和SAN三種儲存技術(shù)的原理和特點(diǎn)。答：原理：DAS直接將存儲設(shè)備連接到服務(wù)器上； NAS是指在網(wǎng)絡(luò)服務(wù)器群的后端，采用光纖通道協(xié)議連接成高速專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)服務(wù)器與多種存儲設(shè)備直接連接。 SAN將分布、獨(dú)立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機(jī)和應(yīng)用服務(wù)器進(jìn)行訪問技術(shù)。特點(diǎn)：DAS主要優(yōu)點(diǎn)是價格低廉、配置簡單、使用方便； NAS具有高性能、高擴(kuò)展性，光纖連接距離遠(yuǎn)，可連接多個磁盤陣列或磁帶庫組成存儲池，易于管理等優(yōu)點(diǎn)。SAN成本最低。6-4 簡述備份的方式、層次和類型。答：方式：完全備份、增量備份、差額備份；層次：軟件級、硬件級、人工級；類型：冷備份、熱備份和邏輯備份。習(xí)題七7-1簡述計算機(jī)病毒的定義、分類、特點(diǎn)及感染途徑。答：定 義：國外最流行的定義為：計算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼；在中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中定義為：計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)，影響使用并且能夠自我復(fù)制的一組計算機(jī)指令或程序代碼。分 類：按感染方式分為引導(dǎo)型、文件型和混合型病毒；按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒；按破壞性可分為良性病毒和惡性病毒；網(wǎng)絡(luò)病毒。特 點(diǎn)：刻意編寫，自我復(fù)制能力，奪取系統(tǒng)控制權(quán)，隱蔽性，潛伏性，不可預(yù)見性。感染途徑：電子郵件，外部介質(zhì)，下載等三種途徑進(jìn)入用戶的計算機(jī)。習(xí)題八8-1簡述數(shù)據(jù)庫系統(tǒng)的組成及各部分的功能。答：組成：數(shù)據(jù)庫系統(tǒng)由數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)兩部分組成。各部分功能：數(shù)據(jù)庫是按一定規(guī)則和方式存取數(shù)據(jù)的幾何體；數(shù)據(jù)庫管理系統(tǒng)（DBMS）的主要功能有：有正確的編譯功能，能正確執(zhí)行規(guī)定的操作；能正確執(zhí)行數(shù)據(jù)庫命令；能保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞，能維護(hù)和提交數(shù)據(jù)庫內(nèi)容；能識別用戶、分配授權(quán)和進(jìn)行訪問控制，包括身份識別和驗(yàn)證；順利執(zhí)行數(shù)據(jù)庫訪問，保證網(wǎng)絡(luò)通信功能。 8-2數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為哪三個層次？答：網(wǎng)絡(luò)系統(tǒng)層次；操作系統(tǒng)層次；數(shù)據(jù)庫管理系統(tǒng)層次。習(xí)題九9-1簡述對稱密鑰密碼體制、非對稱密鑰密碼體制的加密原理和各自的特點(diǎn)。答：對稱密鑰密碼體制：是從傳統(tǒng)的簡單換位發(fā)展而來的。主要特點(diǎn)是：加解密雙方在加解密過程中要使用完全相同或本質(zhì)上等同的密鑰，即加密密鑰與解密密鑰是相同的。非對稱密鑰密碼體制：具有保密功能，還能克服密鑰發(fā)布的問題，并具有鑒別功能。9-5已知明文是“The ChangSha HuNan Computer College”，用列變位法加密后，密文是什么？答：t h e c h H a n g s H u n a n C o m p u T e r c oL l e g e密文是：Thhctlhauoelennmrecgapcghsnuoe 密鑰是5 習(xí)題十10-1名詞解釋：認(rèn)證、身份認(rèn)證、時間戳、零知識證明、消息認(rèn)證、散列函數(shù)、數(shù)字簽名、DSS。答：認(rèn)證：是證實(shí)實(shí)體身份的過程，對傳輸內(nèi)容進(jìn)行審計、確認(rèn)的過程，是保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要措施之一。身份認(rèn)證：是計算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同保護(hù)級別的系統(tǒng)資源時，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過程。時間戳：基本思想是：A接受一個新消息當(dāng)且僅當(dāng)該消息包含一個時間戳，并且該時間戳在A看來是足夠接近A所知道的當(dāng)前時間。零知識證明：零知識證明的思想是在不將知識的任何內(nèi)容泄露給驗(yàn)證者的前提下，使用某種有效的數(shù)學(xué)方法證明自己擁有該知識。消息認(rèn)證：就是驗(yàn)證消息的完整性。散列函數(shù)：是典型的多到一的函數(shù)，其輸入一可變長x，輸出一固定長的串h，該串h被稱為輸入x的Hash值，記作：h=H(x)或MD=H(x)。數(shù)字簽名：就是用數(shù)字代替手工簽名，用來證明消息發(fā)送者的身份和消息的真實(shí)性。DSS：數(shù)字簽名標(biāo)準(zhǔn)（Disital Signature Standard，DSS）10-2簡述身份認(rèn)證的作用、分類及身份認(rèn)證系統(tǒng)的組成。答：作用：身份認(rèn)證就是問了確保用戶身份的真是、合