計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

1、。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)習(xí)題一：1-1 簡述計(jì)算機(jī)網(wǎng)絡(luò)安全的定義答：從狹義角度：計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。從本質(zhì)上來講就是系統(tǒng)上的信息安全；從廣義角度：凡是涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。1-2 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)在哪幾個(gè)方面？試舉例說明。答：網(wǎng)絡(luò)安全的脆弱性、計(jì)算機(jī)硬件系統(tǒng)的故障、軟件本身的“后門”、軟件的漏洞。例子：有些軟件會捆綁另一些軟件安裝。1-9 計(jì)算機(jī)網(wǎng)絡(luò)安全的三個(gè)層次的具體內(nèi)容是什么？答：安全立法：計(jì)算機(jī)網(wǎng)絡(luò)安全及信息系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)

2、管理、商用密碼管理、計(jì)算機(jī)病毒防治、安全產(chǎn)品檢測與銷售；安全技術(shù)：物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、信息安全技術(shù)；安全管理：包括從人事資源管理到資產(chǎn)物業(yè)管理，從教育培訓(xùn)、資格認(rèn)證到人事考核鑒定制度，從動態(tài)運(yùn)行機(jī)制到日常工作規(guī)范、 崗位責(zé)任制度等多方面。習(xí)題二2-1 簡述物理安全的定義、目的與內(nèi)容。答：定義 : 實(shí)體安全又叫物理安全，是保護(hù)計(jì)算機(jī)設(shè)備設(shè)施免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實(shí)體安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全以及實(shí)體訪問控制和應(yīng)急處理計(jì)劃等。實(shí)體安全技術(shù)主要是指對計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和人員等采取的安全技術(shù)措施。目的：實(shí)體安全的目的是保護(hù)

3、計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器、交換機(jī)、路由器、打印機(jī)等硬件實(shí)體和通信設(shè)施免受自然災(zāi)害、人為失誤、犯罪行為的破壞； 確保系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；把有害的攻擊隔離。內(nèi)容：實(shí)體安全的內(nèi)容主要包括：環(huán)境安全、電磁防護(hù)、物理隔離以及安全管理。1。2-2 計(jì)算機(jī)房場地的安全要求有哪些？答： 1、為保證物理安全，應(yīng)對計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的實(shí)體訪問進(jìn)行控制，即對內(nèi)部或外部人員出入工作場所進(jìn)行限制。2 、計(jì)算機(jī)機(jī)房的設(shè)計(jì)應(yīng)考慮減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會。3、所有進(jìn)出計(jì)算機(jī)機(jī)房的人都必須通過管理人員控制的地點(diǎn)。2-3 簡述機(jī)房的三度要求。答：溫度：機(jī)房溫度一般控制在1820，即（ 202）。溫度過低會導(dǎo)致硬盤無法啟

4、動，過高會使元器件性能發(fā)生變化，耐壓降低，導(dǎo)致不能工作。濕度：機(jī)房內(nèi)的相對濕度一般控制在 40%60%為好，即（ 5010）%。濕度控制與溫度控制最好都與空調(diào)聯(lián)系在一起， 由空調(diào)系統(tǒng)集中控制。 機(jī)房內(nèi)應(yīng)安裝溫、濕度顯示儀，隨時(shí)觀察、監(jiān)測。潔凈度：清潔度要求機(jī)房塵埃顆粒直徑小于0.5 m,平均每升空氣含塵量小于1萬顆。2-4 機(jī)房內(nèi)應(yīng)采取哪些防靜電措施？常用的電源保護(hù)裝置有哪些？答：防電措施：采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。常用的電源保護(hù)裝置有金屬氧化物可變電阻、硅雪崩二極管、氣體放電管、濾波器、電壓調(diào)整變壓器和不間斷電源等。2-7 簡述電磁干擾的分類及危害。答：

5、電磁干擾的分類：傳導(dǎo)干擾、輻射干擾危害：計(jì)算機(jī)電磁輻射的危害、外部電磁場對計(jì)算機(jī)正常工作的影響。2-9 簡述物理隔離的安全要求。答： 1、在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；同時(shí)防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。2、在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄露到外部網(wǎng)。3、在物理儲存上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時(shí)作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁帶機(jī)、 硬盤燈存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息要分開存儲。2。2-10 簡述物理隔離技術(shù)經(jīng)歷了哪三個(gè)階段？每

6、個(gè)階段各有什么技術(shù)特點(diǎn)。答：徹底的物理隔離： 物理隔離是一個(gè)數(shù)據(jù)安全裝置， 一個(gè)基于 PCI 的硬件插卡，一般分為單網(wǎng)口隔離卡和雙網(wǎng)口隔離卡兩種。 利用物理隔離卡、 安全隔離計(jì)算機(jī)和隔離集線器所產(chǎn)生的網(wǎng)絡(luò)隔離， 是徹底的物理隔離， 兩個(gè)網(wǎng)絡(luò)之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡(luò)攻擊， 它們適用于一臺終端需要分時(shí)訪問兩個(gè)不同的、物理隔離的網(wǎng)絡(luò)的應(yīng)用環(huán)境。協(xié)議隔離：協(xié)議隔離通常指兩個(gè)網(wǎng)絡(luò)之間存在著直接的物理連接， 但通過專用協(xié)議來連接兩個(gè)網(wǎng)絡(luò)。物理隔離網(wǎng)閘技術(shù)：物理隔離網(wǎng)閘技術(shù)使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，來連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。習(xí)題三3-1 簡要回答防火墻的定義和發(fā)

7、展簡吏。答：定義：防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間或兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合， 它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)， 防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。發(fā)展簡吏：第一代包過濾；二代電路層防火墻；三代應(yīng)用層防火墻；四代動態(tài)包過濾；第五代自適應(yīng)代理技術(shù)。3-2 設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？答：目的：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。功能

8、：防火墻是網(wǎng)絡(luò)安全的屏障；防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略；對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)；防止內(nèi)部信息的外泄。局限性：防火墻防外不防內(nèi)；網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制；防火墻難于管理和配置，易造成安全漏洞；效率較低、故障率高；很難為用戶在防火墻內(nèi)外提供一致的安全策略；防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。3-3 簡述防火墻的發(fā)展動態(tài)和趨勢。答：動態(tài)：優(yōu)良的性能；可擴(kuò)展的結(jié)構(gòu)和功能；簡化的安裝與管理；主動過濾；。3。防病毒與防黑客。趨勢：未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個(gè)方面。3-6 防火墻的主要技術(shù)及實(shí)現(xiàn)的方式有哪些？答：主要技術(shù)：雙端口或三端口的結(jié)構(gòu)

9、；透明的訪問方式；靈活的代理系統(tǒng)；多級的過濾技術(shù)；網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)；網(wǎng)絡(luò)狀態(tài)監(jiān)視器；Internet網(wǎng)關(guān)技術(shù)；安全服務(wù)器網(wǎng)絡(luò)（ SSN）；用戶鑒定與加密；用戶定制服務(wù)；審計(jì)和告警。實(shí)現(xiàn)方式：應(yīng)用網(wǎng)關(guān)代理；回路級代理服務(wù)器；代管服務(wù)器；IP 通道（ IPTunnels ）；隔離域名服務(wù)器；郵件轉(zhuǎn)發(fā)技術(shù)。3-7 防火墻的常見體系結(jié)構(gòu)有哪幾種？答：雙宿主機(jī)網(wǎng)關(guān)；屏蔽主機(jī)網(wǎng)關(guān)；被屏蔽子網(wǎng)。習(xí)題四4-1 攻擊者常用的攻擊工具有哪些？答： DOS攻擊工具；木馬程序。4-3 簡述網(wǎng)絡(luò)攻擊的步驟。畫出黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程。答：網(wǎng)絡(luò)攻擊的步驟： 隱藏位置，網(wǎng)絡(luò)探測和資料收集； 弱點(diǎn)挖掘；掌握控制權(quán)；

10、隱藏行蹤；實(shí)施攻擊；開辟后門。1、用 Ping 查詢企業(yè)網(wǎng)站服務(wù)器的IP2、用 IP Network Browser 掃描企業(yè)內(nèi)部IP3、用 PoreScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT4、用 wwwhack 入侵企業(yè)E-mail5、破解 Intranet 的賬號和口令6、用 Legion 掃描企業(yè)內(nèi)部局域網(wǎng)7、植入特洛伊木馬8、結(jié)束。4。4-4 攻擊者隱藏自己的行蹤時(shí)通常采用哪些技術(shù)？答：連接隱藏；進(jìn)程隱藏；篡改日志文件中的審計(jì)信息；改變系統(tǒng)時(shí)間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。4-5 簡述網(wǎng)絡(luò)攻擊的防范措施。答：提高安全意識；使用能防病毒、防黑客的防火墻軟件；設(shè)置代理服務(wù)器，隱藏自己

11、的 IP 地址；安裝過濾器路由器， 防止 IP 欺騙；建立完善的訪問控制策略；采用加密技術(shù)；做好備份工作。4-6 簡述網(wǎng)絡(luò)攻擊的處理對策。答：發(fā)現(xiàn)攻擊者；處理原則；發(fā)現(xiàn)攻擊者后的處理對策。習(xí)題五5-1 簡述訪問控制的三個(gè)要素、七種策略。答：三要素：主體、客體、控制策略；七種策略：入網(wǎng)訪問控制；網(wǎng)絡(luò)的權(quán)限控制；目錄級安全控制；屬性安全控制；網(wǎng)絡(luò)服務(wù)器安全控制；網(wǎng)絡(luò)監(jiān)測和鎖定控制；網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。5-2 簡述訪問控制的內(nèi)容。答：訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計(jì)三個(gè)方面的內(nèi)容。5-3 簡述自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型。答： 自主訪問控制模型：是根據(jù)自主訪問

12、控制策略建立的一種模型，是基于訪問控制矩陣中列的自主訪問控制。強(qiáng)制訪問控制模型：是一種多級訪問控制策略，主要特點(diǎn)是系統(tǒng)對主體和客體實(shí)行強(qiáng)制訪問控制?；诮巧脑L問控制模型：在基于角色訪問，不同的角色被賦予不同的訪問權(quán)限。系統(tǒng)的訪問控制機(jī)制只看到角色，而看不到用戶。習(xí)題六6-2 RAID 有哪幾種級別？各有何特點(diǎn)？答：級別： RAID0、RAID1、RAID10、和 RAID5.特點(diǎn) : RAID0 具有成本低、讀寫性能極高、存儲空間利用率高等特點(diǎn)；RAID1安全性高、技術(shù)簡單、管理方便、讀寫性能好，缺點(diǎn)是無法擴(kuò)展，數(shù)據(jù)空間浪費(fèi)大；。5。RAID10讀寫性能出色、安全性高，但缺點(diǎn)是構(gòu)建陣列的成本

13、投入大，數(shù)據(jù)空間利用率低，不是經(jīng)濟(jì)高效的方案；RAID5具有數(shù)據(jù)安全、讀寫速度快、空間利用率高等優(yōu)點(diǎn)，缺點(diǎn)是寫操作較慢。6-3 分別說明 DAS、 NAS和 SAN三種儲存技術(shù)的原理和特點(diǎn)。答：原理： DAS直接將存儲設(shè)備連接到服務(wù)器上；NAS是指在網(wǎng)絡(luò)服務(wù)器群的后端，采用光纖通道協(xié)議連接成高速專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)服務(wù)器與多種存儲設(shè)備直接連接。SAN將分布、獨(dú)立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機(jī)和應(yīng)用服務(wù)器進(jìn)行訪問技術(shù)。特點(diǎn)： DAS主要優(yōu)點(diǎn)是價(jià)格低廉、配置簡單、使用方便；NAS具有高性能、高擴(kuò)展性，光纖連接距離遠(yuǎn)，可連接多個(gè)磁盤陣列或磁帶庫組成存儲池，易于管理等優(yōu)點(diǎn)。SAN

14、成本最低。6-4 簡述備份的方式、層次和類型。答：方式：完全備份、增量備份、差額備份；層次：軟件級、硬件級、人工級；類型：冷備份、熱備份和邏輯備份。習(xí)題七7-1 簡述計(jì)算機(jī)病毒的定義、分類、特點(diǎn)及感染途徑。答：定 義：國外最流行的定義為： 計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼； 在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中定義為：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。分 類：按感染方式分為引導(dǎo)型、 文件型和混合型病毒； 按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒； 按破壞性可分為良

15、性病毒和惡性病毒；網(wǎng)絡(luò)病毒。特 點(diǎn)：刻意編寫，自我復(fù)制能力，奪取系統(tǒng)控制權(quán)，隱蔽性，潛伏性，不可預(yù)見性。6。感染途徑：電子郵件，外部介質(zhì)，下載等三種途徑進(jìn)入用戶的計(jì)算機(jī)。習(xí)題八8-1 簡述數(shù)據(jù)庫系統(tǒng)的組成及各部分的功能。答：組成：數(shù)據(jù)庫系統(tǒng)由數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)兩部分組成。各部分功能：數(shù)據(jù)庫是按一定規(guī)則和方式存取數(shù)據(jù)的幾何體；數(shù)據(jù)庫管理系統(tǒng)（ DBMS）的主要功能有：有正確的編譯功能，能正確執(zhí)行規(guī)定的操作；能正確執(zhí)行數(shù)據(jù)庫命令；能保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞， 能維護(hù)和提交數(shù)據(jù)庫內(nèi)容；能識別用戶、 分配授權(quán)和進(jìn)行訪問控制，包括身份識別和驗(yàn)證；順利執(zhí)行數(shù)據(jù)庫訪問，保證網(wǎng)絡(luò)

16、通信功能。8-2 數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為哪三個(gè)層次？答：網(wǎng)絡(luò)系統(tǒng)層次；操作系統(tǒng)層次；數(shù)據(jù)庫管理系統(tǒng)層次。習(xí)題九9-1 簡述對稱密鑰密碼體制、非對稱密鑰密碼體制的加密原理和各自的特點(diǎn)。答：對稱密鑰密碼體制：是從傳統(tǒng)的簡單換位發(fā)展而來的。主要特點(diǎn)是：加解密雙方在加解密過程中要使用完全相同或本質(zhì)上等同的密鑰，即加密密鑰與解密密鑰是相同的。非對稱密鑰密碼體制： 具有保密功能， 還能克服密鑰發(fā)布的問題， 并具有鑒別功能。9-5 已知明文是“ The ChangShaHuNanComputer College ”，用列變位法加密后，密文是什么？答： t h e c hH a n g sH u n

17、a nC o m p uT e r c oL l e g e密文是： Thhctlhauoelennmrecgapcghsnuoe密鑰是 5習(xí)題十10-1 名詞解釋：認(rèn)證、身份認(rèn)證、時(shí)間戳、零知識證明、消息認(rèn)證、散列函數(shù)、數(shù)字簽名、 DSS。答：認(rèn)證：是證實(shí)實(shí)體身份的過程， 對傳輸內(nèi)容進(jìn)行審計(jì)、 確認(rèn)的過程，是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要措施之一。7。身份認(rèn)證：是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同保護(hù)級別的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過程。時(shí)間戳：基本思想是： A 接受一個(gè)新消息當(dāng)且僅當(dāng)該消息包含一個(gè)時(shí)間戳，并且該時(shí)間戳在 A 看來是足夠接近 A 所知道的當(dāng)前時(shí)

18、間。零知識證明：零知識證明的思想是在不將知識的任何內(nèi)容泄露給驗(yàn)證者的前提下，使用某種有效的數(shù)學(xué)方法證明自己擁有該知識。消息認(rèn)證：就是驗(yàn)證消息的完整性。散列函數(shù)：是典型的多到一的函數(shù)，其輸入一可變長 x，輸出一固定長的串 h，該串 h 被稱為輸入 x 的 Hash值，記作： h=H(x) 或 MD=H(x)。數(shù)字簽名：就是用數(shù)字代替手工簽名， 用來證明消息發(fā)送者的身份和消息的真實(shí)性。DSS：數(shù)字簽名標(biāo)準(zhǔn)（ Disital Signature Standard，DSS）10-2 簡述身份認(rèn)證的作用、分類及身份認(rèn)證系統(tǒng)的組成。答：作用：身份認(rèn)證就是問了確保用戶身份的真是、合法和唯一。分類：物理介質(zhì)：計(jì)算機(jī)網(wǎng)絡(luò)中通常采用三種方法驗(yàn)證用戶身份，用戶知道的， 如密碼和口令； 用戶所擁有