計算機網(wǎng)絡(luò)安全課后習(xí)題答案

計算機網(wǎng)絡(luò)安全(04751)

第一章緒論P2

第二章物理安全P6

第三章信息加密與P9

第四章防火墻技術(shù)P14

第五章入侵檢測技術(shù)P18

第六章網(wǎng)絡(luò)安全檢測技術(shù)P21

第七章計算機病毒與惡意代碼防X技術(shù)P23

第八章網(wǎng)絡(luò)安全解決方案P27

第1章緒論

1.1.1計算機網(wǎng)絡(luò)面臨的主要威脅：①計算機網(wǎng)絡(luò)實體

面臨威脅1（實體為曲絡(luò)中的關(guān)鍵設(shè)備）②計算機網(wǎng)絡(luò)系統(tǒng)面臨威

脅（典型4全威脅③惡意程序的威脅（如計算機病毒、網(wǎng)

絡(luò)蠕蟲、間卜某軟件、木馬程序&十算機網(wǎng)絡(luò)威脅的潛在對手和動機（

惡意攻擊/非惡意）|

典型的網(wǎng)絡(luò)安全威脅：

政脅描述

竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽

重傳攻擊者事先獲得部份或者全部信息，以后將此信息發(fā)送給接受者

偽造攻擊者將偽造的信息發(fā)送給接受者

篡改攻擊者對合法用戶之間的通信信息進行修改、刪除或者插入，再發(fā)送給接受者

通過假目、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權(quán)，從而使非法用戶進入

期權(quán)訪他

網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改或者插入信息等

攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻撓合法用戶獲得服務(wù)

行為否認通信實體否認已經(jīng)發(fā)生的行為

旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或者安全脆弱性

電隨射頻截獲攻擊者從電子或者機電設(shè)備所發(fā)出的無線射頻或者其他電磁輻胴中提取信息

人員疏忽授權(quán)的人為利益或者由于粗心將信息泄漏給未授權(quán)人

1.2.1計算機網(wǎng)絡(luò)的不安全主要因素：

（1）偶發(fā)因素：如電源故障、設(shè)備的功能失常及軟件開辟過程中留下的漏洞或者邏輯

錯誤等。

（2）自然宏亶」各種自然災(zāi)害對計算機系統(tǒng)構(gòu)成嚴重的威脅。（3）人為

因素：人為因未對計算機網(wǎng)絡(luò)的破壞也稱為人對計算機網(wǎng)絡(luò)的攻擊。

可分為幾個方面：①被動攻擊②主動攻擊③鄰近攻擊④分發(fā)攻擊⑤內(nèi)部人員攻擊

1.2.2不安全的主要原因：①互聯(lián)網(wǎng)原有不安全性②振作系統(tǒng)存在的安全問題③數(shù)據(jù)的

安全問題④［傳輸路線安全問題閶網(wǎng)絡(luò)安全管理I的問題

1.3計算機網(wǎng)絡(luò)安全的基本概念：計算機網(wǎng)絡(luò)安全是一門涉及代算機科學(xué)、|網(wǎng)絡(luò)技術(shù)、|

通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多學(xué)科的綜合性學(xué)科。

1.3.1計算機網(wǎng)絡(luò)安全的定義：計算機網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在

一個網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的XX性、完整性及可使用性受到保護。

網(wǎng)絡(luò)的安全問題包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全（最終目

的）。

13.2計算機網(wǎng)絡(luò)安全的目標：①XX性②完整性③可用性④可控性⑤不可否認性

1.3.3計算機網(wǎng)絡(luò)安全的層次：①物理安全②邏輯安全③聯(lián)網(wǎng)安全④操作系統(tǒng)安全

.word..

1.3.4網(wǎng)絡(luò)安全包括三個重要部份：①先進的技術(shù)②嚴格的管理③威酒的法律

1.4計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)

1.4.1網(wǎng)絡(luò)安全基本模型：（P27圖）

L4.2OSI安全體系結(jié)構(gòu)：①術(shù)語②安全服務(wù)③安全機制

五大類安全服務(wù)，也稱安全防護措施（P29）：①鑒別服務(wù)②數(shù)據(jù)XX性服務(wù)③訪問控制

服務(wù)④數(shù)據(jù)完整性服務(wù)⑤抗抵賴性服務(wù)

對付典型網(wǎng)絡(luò)威脅的安全服務(wù)

安全威脅安全服務(wù)

假冒攻擊鑒別服務(wù)

非授權(quán)侵犯訪問控征服務(wù)

竊聽攻擊數(shù)據(jù)XX性服務(wù)

完整性破壞數(shù)據(jù)完整性服務(wù)

服務(wù)否認抗抵賴服務(wù)

拒絕服務(wù)鑒別服務(wù)、訪問控征服務(wù)和數(shù)據(jù)完整性服務(wù)等

八種基本的安全機制：加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒

別交換機制、通信業(yè)務(wù)流填充機制、路由控制和公證機制

L4.3PPDR模型（P30）包含四個主要部份：Policy（安全策略）、Protection（防耳）、Detection（檢

測）和Response（響應(yīng)）［防護、檢測和響應(yīng)組成為了一個完整的、動態(tài)的安全循環(huán)。

PPDR模型通過一些典型的數(shù)學(xué)公式來表達安全的要求：+R⑵

EjQ+Rj如果P（=（）

pt：防護時間，入侵者攻擊安全目標花費時間；

Dt：入侵開始到系統(tǒng)檢測到入侵行為花費時間；

Rt：發(fā)現(xiàn)入侵到響應(yīng)，并調(diào)整系統(tǒng)到正常狀態(tài)時間；

Et：系統(tǒng)晨露時間；

安全的全新定義：及時的檢測和響應(yīng)就是安全；及時的檢測和恢復(fù)就是安全；解

決安全問題的方向：提高系統(tǒng)的防護時間Pt,降低檢測時間Dt和響應(yīng)時間Rt。

1.4.4網(wǎng)絡(luò)安全的典型技術(shù)：①物理安全#施②備份技術(shù)③審計.術(shù)④防病毒技術(shù)⑤入

侵檢測技術(shù)⑹訪問控制I技術(shù)行|終端安華技木⑨內(nèi)外網(wǎng)隔離技術(shù)⑨安牟件檢測拈木的數(shù)據(jù)同

.word..

輸安全技術(shù)

1.6.1網(wǎng)絡(luò)安全威脅的發(fā)展趨勢：

①與Internet更加密切結(jié)合，|利用一切可以利用的方式進行傳播:

②所有病毒都有混合型特征,破壞性大氏增強;

③擴散極快］更加注重欺騙性|

④利用I系統(tǒng)漏洞將成為病毒有力的傳播方式;

⑤無線網(wǎng)絡(luò)忸術(shù)的發(fā)展,使恒程網(wǎng)絡(luò)攻擊愀可能性加大;

⑥各種境外情報、諜報人員將越來越多地通過信息網(wǎng)絡(luò)黑道采集情況和竊取資料;

⑦各種病毒、蠕蟲和后門技術(shù)越來越智能化,并浮現(xiàn)整合趨勢，形成混合性威脅：

⑧各種攻擊技術(shù)的隱秘性增強,常規(guī)防X手段難以識別;

⑨分布式計算技術(shù)用于攻擊的趨勢增強,威脅高強度密碼的安全性：

⑩一些政府部門的超級計算機資源將成為攻擊者利用的跳板;

11）網(wǎng)絡(luò)管理安全問題日益突出。

1.6.2網(wǎng)絡(luò)安全主要實用技術(shù)的發(fā)展：①物理隔離②邏輯隔離③身份認證④譚防網(wǎng)絡(luò)上

的病毒⑤謹防來自網(wǎng)絡(luò)的攻擊⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測和主動防衛(wèi)⑧網(wǎng)管、審計

和取證

課后題：

1、計算機網(wǎng)絡(luò)面臨的典型安全威脅有哪些？

①竊聽（傳輸中的敏感信息被竊聽）②重傳（事先獲得部份或者全部信息再發(fā)送給接收者）

③偽造（偽造信息發(fā)送給接收者）④篡改（修改、刪除或者插入后再發(fā)送給接收者）⑤非授

權(quán)訪問（假冒、身份攻擊、系統(tǒng)漏洞手段獲取訪問權(quán)，讀取、刪除、修改和插入信息）⑥拒

絕服務(wù)攻擊（使系統(tǒng)響應(yīng)減慢或者癱瘓，阻撓合法用戶獲取服務(wù)）⑦行為否認（否認已經(jīng)發(fā)

生的行為）⑧旁路控制（發(fā)掘系統(tǒng)缺陷或者脆弱性）⑨電磁/射頻截獲（無線射頻或者電磁輻

射提取信息）⑩人員疏忽（利益或者粗心泄秘）。

2、分析計算機網(wǎng)絡(luò)的脆弱性和安全缺陷。

計算機網(wǎng)絡(luò)是頗具誘惑力的受攻擊目標，無論是個人、企業(yè)，還是政府機構(gòu)，只要使用

計算機網(wǎng)絡(luò)，都會感受到網(wǎng)絡(luò)安全問題所帶來的威脅。無論是局域網(wǎng)還是廣域網(wǎng)，都存在著

自然和人為等諸多脆弱性和潛在威肋，。計算機網(wǎng)絡(luò)面臨的主要威脅①計算機網(wǎng)絡(luò)實體面臨威

脅（實體為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備）②計算機網(wǎng)絡(luò)系統(tǒng)面臨威脅（典型安全威脅）③惡意程序的

威脅（如計算機病毒、網(wǎng)絡(luò)蠕蟲、間諜軟件、木馬程序）④計算機網(wǎng)絡(luò)威脅的潛在對手和動

機（惡意攻擊/非惡意）。

普通來說，計算機網(wǎng)絡(luò)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成為了計算機網(wǎng)絡(luò)的潛

在威脅％一方面，計算機網(wǎng)絡(luò)的硬件和通信設(shè)施極易受自然環(huán)境和人為的物理破壞；另一方面,

計算機網(wǎng)絡(luò)的軟件資源和數(shù)據(jù)信息易受到非法竊取、復(fù)制、篡改等。計算機網(wǎng)絡(luò)的不安全主

要因素和原因。計算機網(wǎng)絡(luò)的不安全主要因素：（1）偶發(fā)因素?：如電源故障、設(shè)備的功能失

常及軟件開辟過程中留下的漏洞或者邏輯錯誤等。（2）自然災(zāi)害：各種自然災(zāi)害對計算機系統(tǒng)

構(gòu)成嚴重的威脅。（3）人為因索：人為因素對計算機網(wǎng)絡(luò)的破壞也稱為人對計算機網(wǎng)絡(luò)的攻

擊C可分為幾個方面：①被動攻擊②主動攻擊③鄰近攻擊④內(nèi)部人員攻擊⑤分發(fā)攻擊C不安

.word..

全的主要原因：①互聯(lián)網(wǎng)具有不安全性②操作系統(tǒng)存在的安全問題③數(shù)痞的安全問題④傳輸

路線安全問題⑤網(wǎng)絡(luò)安全管理的問題。

3、分析計算機網(wǎng)絡(luò)的安全需求（P24）

計算機網(wǎng)絡(luò)安全的基本概念：計算機網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信

技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多學(xué)科的綜合性學(xué)科。

計算機網(wǎng)絡(luò)安全的定義：計算機網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個網(wǎng)

絡(luò)環(huán)境里，信息數(shù)據(jù)的XX性、完整性及可使用性受到保護。

網(wǎng)絡(luò)的安全問題包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全（最終目

的）。

計算機網(wǎng)絡(luò)安全的目標：①XX性②完整性③可用性④可控性⑤不可否認性

計算機網(wǎng)絡(luò)安全的層次：①物理安全②邏輯安全③聯(lián)網(wǎng)安全④操作系統(tǒng)安全

網(wǎng)絡(luò)安全包括三個重要部份：①先進的技術(shù)②嚴格的管理③威嚴的法律

4、計算機網(wǎng)絡(luò)安全的內(nèi)涵和外延是什么？（P24）

內(nèi)涵：計算機網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，信息數(shù)

據(jù)的XX性、完整性及可使用性受到保護。

外延：從廣義來說，凡是涉及網(wǎng)絡(luò)上信息的XX性、完整性、可用性、不可否認性和

可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的具體含義隨著“角度”的變化

而變化。

5、論述OSI安全體系結(jié)構(gòu)（P28）

OSI安全體系結(jié)構(gòu)中定義了鑒別、訪問控制、數(shù)據(jù)XX性、數(shù)據(jù)完整性和抗抵賴五種網(wǎng)

絡(luò)安全服務(wù)，以及加密機制、數(shù)孑簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機

制、通信業(yè)務(wù)流填充機制、路由控制和公證機制八種基本的安全機制。

6、簡述PPDR安全模型的結(jié)構(gòu)（P30）

PPDR模型包含四個主要部份：Policy（安全策略）、Protection（防護）、Detection（檢測）和

Response（響應(yīng)）。防護、檢測和響應(yīng)組成為了一個完整的、動態(tài)的安全循環(huán)。

PPDR模型通過一些典型的數(shù)學(xué)公式來表達安全的要求：①Pt>Dt+Rt②Et=Dt+Rt,

如果Pt=O

Pl：防護時間，入侵者攻擊安全目標花費時間；Dt：入侵開始到系統(tǒng)檢測到入侵行為花

費時間；Rt：發(fā)現(xiàn)入侵到響應(yīng)，并調(diào)整系統(tǒng)到正常狀態(tài)時間；Et：系統(tǒng)晨露時間；

及時的檢測和響應(yīng)就是安全；及時的檢測和恢復(fù)就是安全；

提高系統(tǒng)的防護時間Pt,降低檢測時間Dt和響應(yīng)時間Rto

7、簡述計算機網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用（P32）

網(wǎng)絡(luò)安全的典型技術(shù)：①物理安全措施②數(shù)據(jù)傳輸安全技術(shù)③內(nèi)外網(wǎng)隔離技術(shù)④入侵檢

測技術(shù)⑤訪問控制技術(shù)⑥審計技術(shù)⑦安全性檢測技術(shù)⑧防病毒技術(shù)⑨備份技術(shù)⑩終端安全

技術(shù)

網(wǎng)絡(luò)安全威脅的發(fā)展趨勢：①與Iniemet更加密切結(jié)合，利用一切可以利用的方式進行傳

播；②所有病毒都有混合型特征，破壞性大大增強；③擴散極快，更加注重欺騙性；④利

.word..

用系統(tǒng)漏洞將成為病毒有力的傳播方式；⑤無線網(wǎng)絡(luò)技術(shù)的發(fā)展，使遠程網(wǎng)絡(luò)攻擊的可能性加

大；⑥各種境外情報、諜報人員將越來越多地通過信息網(wǎng)絡(luò)渠道采集情況和竊取資料；⑦各種

病毒、蠕蟲和后門技術(shù)越來越智能化，并浮現(xiàn)整合趨勢，形成混合性威脅；⑧各種攻擊技

術(shù)的隱秘性增強，常規(guī)防X手段難以識別；⑨分布式計算技術(shù)用于攻擊的趨勢增強，威脅

高強度密碼的安全性：⑩一些政府部門的超級計算機資源將成為攻擊者利用的跳板；11)網(wǎng)

絡(luò)管理安全問題日益突出。

網(wǎng)絡(luò)安全主要實用技術(shù)的發(fā)展①物理隔離②邏輯隔離③謹防來自網(wǎng)絡(luò)的攻擊④謹防網(wǎng)

絡(luò)上的病毒⑤身份認證⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測和主動防衛(wèi)⑧網(wǎng)管、審計和取證

8、簡述網(wǎng)絡(luò)安全管理意義和主要內(nèi)容(P34)

面對網(wǎng)絡(luò)安全的的脆弱性，除了采用各種技術(shù)和完善系統(tǒng)的安全XX措施外，必須加強

網(wǎng)絡(luò)的安全管理，諸多的不安全因素恰恰存在于組織管理方面。據(jù)權(quán)威機構(gòu)統(tǒng)計表明：信息

安全大約60%以上的問題是由于管理造成的。也就是說，解決信息安全問題不應(yīng)僅從技術(shù)方

面著尹,同時更應(yīng)加強信息安全的管理工作。主要內(nèi)容：①網(wǎng)絡(luò)安全管理的法律法規(guī)②速算

機網(wǎng)絡(luò)安全評價標準③計算機網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢

第2章物理安全

2.1物理安全主要包括：①出匿處境安全可控性強、損失大；內(nèi)容有防火與防盜、防雷

與接地、防塵與防靜電，防地震。②通信路硅安全路線防竊聽技術(shù)。設(shè)備安全防電慈輻射

泄漏、防路線截獲、防電磁干擾及電源保護。(力電源安生防電源供應(yīng)、輸電路線安全、電源

穩(wěn)定性。

2.1.1機房的安全等級分為三個基本類別：

A類：對計算機機房的安全有嚴格的要求L有完善|的計算機機房|安全措施.

B類：對計算機機房的安全機較嚴格的要求,有較完善的計算機機房安全措施。

C類：對計算機機房的安全機基本的要求,有基本的計算機機房安全措施。

A類機房要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報警和消防設(shè)施、防水、防靜電、防

雷擊、防鼠害；對防火、場地選擇、防電磁泄漏有要求。

2.1.1機房安全要求(P42)和措施：

安全類別

A類機房B類機房C類機房

安全項目

場地選擇

放火■■

內(nèi)部裝修+■

供配電系統(tǒng)

4-一

空調(diào)系統(tǒng)+■.

火災(zāi)報警和消防設(shè)施+■■

防水4-一

防靜電+■

.word..

防雷擊4-

防鼠害+■

防電磁池漏*

說明：+表示要求；-表示有要求或者增加要求q

①機房的安全要求，機房的場地，選址避免挨注公共區(qū)域,避免窗戶直接鄒珞，機層布

局應(yīng)使工作區(qū)在內(nèi),生活輔助區(qū)在夕小機房不要在底層或者或?qū)印４胧罕ＷC贓任進出計算

機機房的人都必須在管理人員的監(jiān)控之下，外來人員進入機房,要辦理相關(guān)手續(xù),并檢查隨身

物品。

②機房的防盜要求，對重要的設(shè)備和存儲媒體應(yīng)采取嚴格的防盜措施。措施：早期采取

增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護重要設(shè)備的方法,一種更

方便的措施類似于超市的防盜系統(tǒng),視頻監(jiān)視系統(tǒng)用一種更為可靠的防盜設(shè)備,能對計算機

網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時的全程監(jiān)控。

③機房的三度要求圈度（18.22度）、I他度（40%-60%為宜）、|潔凈度（要求機房塵埃

顆粒直徑小于05um））為使機房內(nèi)的三度達到規(guī)定的要求,空調(diào)系統(tǒng)、去濕機和除塵器是

必不可少的設(shè)備。

④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵,易產(chǎn)生靜電的材料，應(yīng)采用乙

燧材料，安裝I防靜電地板昨?qū)設(shè)備接地。

⑤接地與防雷要求：

].地線種類：A保護地B直流地C屏蔽地D靜電地E雷擊地

2.接地系統(tǒng)：A各自獨立的接地系統(tǒng)B交、直流分開的接地系統(tǒng)C共線接地系統(tǒng)D直流

地、保護地共用地線系統(tǒng)E建造物內(nèi)共地系統(tǒng)

3、接地體：A地樁B水平柵網(wǎng)C金屬接地板D建造物基礎(chǔ)鋼筋

4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機器設(shè)備應(yīng)有專用地線L機

房本身有避雷設(shè)備和裝置,

⑥機房的防火、防水措施：為避免火災(zāi)、水災(zāi)，應(yīng)采取的措施為：隔離、火災(zāi)報警系統(tǒng)、滅

火設(shè)施（滅火器,滅火工具及輔助設(shè)備）、管理措施I

23.1硬件設(shè)備的使用管理：

①要根據(jù)硬件設(shè)備的具體配置情況，制定切實可靠的硬件設(shè)備的操作使用規(guī)程，I并嚴格

按操作規(guī)程進行操作；

②建立設(shè)備使用情況日志L并嚴格登記使用過程的情況；

③建立硬件設(shè)備故障情況登記表,詳細記錄故障性質(zhì)和修復(fù)情況；

④堅持對設(shè)備進行例行維護和保養(yǎng),并指定專人負責(zé)。

2.3.2電磁輻射防護的措施：-類是對傳導(dǎo)發(fā)射的防護,主要采取對電源線和信號線加

裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦介；另一類是對輻射的防護,又分為

兩種：一種是采用各種電磁屏蔽措施,第二種是干擾的防護措施。

為提高電子設(shè)備的抗干擾能力，主要措施有①屏蔽②濾波③隔離④接地，其中屏蔽是應(yīng)

用最多的方法。

2.4.電源對用電設(shè)備安全的潛在威脅：①脈動與噪聲②電磁干擾

.word..

2.4供電要求(P53),供電方式分為三類：①一類供電：需建立彳洞新供電系統(tǒng)②二類

供電：需建立儲備用的供J系統(tǒng)③三類供電：按L8用戶供電?考慮。

課后題：

1、簡述物理安全在計算機網(wǎng)絡(luò)信息系統(tǒng)安全中的意義。

物理安全是整個計算機網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及

其他媒體免遭地震、水災(zāi)和火災(zāi)等環(huán)境事故、人為操作失誤或者各種計算機犯罪行為導(dǎo)致的

破壞過程。物理安全在整個計算機網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位，也是其它安全措施得

以實施并發(fā)揮正常作用的基礎(chǔ)和前提條件。

2、物理安全主要包含哪些方面的內(nèi)容？(2.1)

①機房環(huán)境安全可控性強、損失大；內(nèi)容有防火與防盜、防雷與接地、防塵與防靜電，

防地震。②通信路線安全路線防竊聽技術(shù)。③設(shè)備安全防電慈輻射泄漏、防路線截獲、防

電磁干擾及電源保護。④電源安全防電源供應(yīng)、輸電路線安全、電源穩(wěn)定性。

3、計算機機房安全等級的劃分標準是什么？(2.1.1)

機房的安全等級分為三個基本類別：

A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。

B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機雙房安全措施。

C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。

A類機房要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災(zāi)報警和消防設(shè)施、防水、防靜

電、防雷擊、防鼠害：對防火、場地選擇、防電磁泄漏有要求。

4、計算機機房安全技術(shù)主要包含哪些方面的內(nèi)容？(2.1.1)

機房安全要求(P42)和措施：

房的場地，選址避免挨近公共區(qū)域，避免窗戶直接鄰街，機房布局應(yīng)使工作區(qū)在內(nèi)，

生活輔助區(qū)在外；機房不要在底層或者頂層。措施：保證所有進出計算機機房的人都必須在管

理人員的監(jiān)控之下，外來人員進入機房，要辦理相關(guān)手續(xù)，并檢查隨身物品。

②機房的防盜要求，對重要的設(shè)備和存儲媒體應(yīng)采取嚴格的防盜措施。措施：早期采取

增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護重要設(shè)備的方法，一種更

方便的措施類似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設(shè)備，能對計算機

網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時的全程監(jiān)控。

③機房的三度要求(溫度(18-22度)、濕度(4()%-60%為宜)、潔凈度(要求機房塵埃

顆粒直徑小于0.5nm))為使機房內(nèi)的三度達到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機和除塵器是

必不可少的設(shè)備。

④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應(yīng)采用乙

烯材料，安裝防靜電地板并將設(shè)備接地。

⑤接地與防雷要求：1.地線種類：A保護地B直流地C屏蔽地D靜電地E雷擊地2.接

地系統(tǒng)：A各自獨立的接地系統(tǒng)B交、直流分開的接地系統(tǒng)C共線接地系統(tǒng)D直流地、保

.word..

護地共用地線系統(tǒng)E建造物內(nèi)共地系統(tǒng)3、接地體：A地樁B水平柵網(wǎng)C金屬接地板D建筑

物基礎(chǔ)鋼筋4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機器設(shè)備應(yīng)有專用地

線，機房本身有避雷設(shè)備和裝置。

⑥機房的防火、防水措施：為避免火災(zāi)、水災(zāi)，應(yīng)采取的措施為：隔離、火災(zāi)報警系統(tǒng)、滅

火設(shè)施（滅火器，滅火工具及輔助設(shè)備）、管理措施

5、保障通信路線安全技術(shù)的主要技術(shù)措施有哪些？

①一電纜加壓技術(shù)②對光纖等通信路線的防竊聽技術(shù)（距離大于最大長度限制的系統(tǒng)之

間，不采用光纖線通信；加強復(fù)制器的安全，如用加壓電纜、警報系統(tǒng)和加強警衛(wèi)等措施）

6、電磁輻射對網(wǎng)絡(luò)通信安全的影響主要體現(xiàn)在哪些方面，防護措施有哪些？

影響主要體現(xiàn)在：計算機系統(tǒng)可能會通過電磁輻射使信息被截獲而失密，計算機系統(tǒng)中

數(shù)據(jù)信息在空間中擴散。

防護措施：一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波

器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對輻射的防護，又分為兩種：一種是采用

各種電磁屏蔽措施，第二種是干擾的防護措施。為提高電子設(shè)備的抗干擾能力，主要措施有①

屏蔽②濾波③隔離④接地，其中屏蔽是應(yīng)用最多的方法。

電磁防護層主要是通過上述種種措施，提高計算機的電磁兼容性，提高設(shè)備的抗干擾能

力，使計算機能反抗強電磁干擾，同時將計算機的電磁泄漏發(fā)射降到最低，使之不致將實用

的信息泄漏出去。

7、保障信息存儲安全的主要措施有哪些？（P52）

①存放數(shù)據(jù)的盤，應(yīng)妥善保管；②對硬盤上的數(shù)據(jù)，要建立有效的級別、權(quán)限，并嚴格

管理，必要時加密，以確保數(shù)據(jù)的安全；③存放數(shù)據(jù)的盤，管理須落實到人，并登記；④對

存放重要數(shù)據(jù)的盤，要備份兩份并分兩處保管；⑤打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進行

管理；⑥凡超過數(shù)據(jù)保存期的，須經(jīng)過特殊的數(shù)據(jù)清除處理；⑦凡不能上常記錄數(shù)據(jù)的盤，需

經(jīng)測試確認后由專人進行銷毀，并做好登記；⑧對需要長期保存的有效數(shù)據(jù)，應(yīng)質(zhì)量保證期內(nèi)

進行轉(zhuǎn)存，并保證轉(zhuǎn)存內(nèi)容正確。

8、簡述各類計算機機房對電源系統(tǒng)的要求。（P53）

電源系統(tǒng)安全應(yīng)該注意電源電流或者電壓的波動可能會對計算機網(wǎng)絡(luò)系統(tǒng)造成的危害。

A、B類安全機房要求，C類安全機房要求。

第3章信息加密與PKI

信息加密技術(shù)是利用密碼學(xué)的原理與方法對傳輸數(shù)據(jù)提供保護的手段,它⑼數(shù)學(xué)計算為

基礎(chǔ)，信息論和復(fù)雜性理論日其兩個重要組成部份。

3.1.1密碼學(xué)的發(fā)展歷程大致經(jīng)歷了三個階段：古代加密方法；市典密碼和近代密碼。|

3.1.2密碼學(xué)的基本概念：密碼學(xué)作為數(shù)學(xué)的一個分支，是研究信息系統(tǒng)安全XX的科學(xué)，

.word..

是密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。

在密碼學(xué)中，有一個五元組：明文，密文，密鑰，加密算林，解密算」,對應(yīng)的加密力

案稱為密碼體制I

明文(Plaintext)：是作為加密輸入的原.信息，加消息的原始形式,通常用m或登訊示。

所有可能明可的有限集稱為加文和間，通押用M或者P來表示。

密文(Ciphertext)：是明文經(jīng)力II密變換后的結(jié)果，I即消息被加密處理后的形式,通常用c

表示。所有可能屏文的有限集刊為引文空間，|通常用C表示。

密鑰(Key)：是參預(yù)密碼變換的參數(shù)，通常用k表示。一切可能的密鑰構(gòu)成的有限集稱為

密鑰空間，加常用K甑。

加密算法(EncryptionAlgorithm)：是將明文變換為密文的變換函數(shù)，相應(yīng)的變換過程

稱為加密,即編碼的過程,通常用旦聲示，即c=E伊)

解密算法(DecryplionAlgorithm)：是將密文恢復(fù)為明文的變換函數(shù)，相應(yīng)的變換過程

稱為解密,即解碼的過程,通常用B表示，BPp=D(c)

對于有實用意義的密碼體制而言，總是要求它滿足：p=D(E(p)),即用加密算法

得到的曾文總是能用一定的做整算法恢復(fù)出原始的明文，

3.1.3加密體制的分類：從原理上可分為兩大類：即巾鑰或者對稱密碼體油和雙鑰或者1

對

I稱密碼體制I

單鑰密碼體制與雙鑰密碼體制的區(qū)別：

單鑰密碼體制的本質(zhì)特征是所用的加密密鑰張破密密鑰相同，I或者實質(zhì)上等同，從一個I

可以推出另一個。單鑰密碼的位點是無論加密還是解密都使用同一個密鑰,因此，此密碼體

制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼

莫法77年美國國家標準局頒布的DES算法。按照加密模式的差異，單鑰密碼體制有序列密

碼和分組密碼兩種方式,它不僅可用于數(shù)據(jù)加'密,還可用于消息認證。單鑰密碼的優(yōu)點是：

安全XX度高，加密解密速度快。缺點是：1)密鑰分發(fā)過程十分復(fù)雜,所花代價高;2)多人

通信時密鑰組合的數(shù)量會浮現(xiàn)爆炸性膨脹，使分發(fā)更加復(fù)雜化；3)通信雙方必須統(tǒng)一密鑰，

才干發(fā)送XX的信息；4)求字簽名艱難』

雙鑰密碼體制的原理是，加密密鑰與解密密鑰不同而且從卜個難以推出另一個」兩個

密鑰形成一個密鑰對,其中一個密鑰加密的結(jié)果，可以用另一個密鑰來解密。雙鑰密碼是：

1976年W.Diffie和MEHeilinan提出的一種新型密碼體制。優(yōu)點：由于雙鑰密碼體制的加密和解

密不同，可以公升|加密密鑰，U僅需XX解密密鑰，所|以密鑰管理問題比較簡單。雙鑰密

碼還有一個優(yōu)點是可以用于數(shù)字簽名等新功能。最有名的雙鑰密碼體系是：1977年由

Rivest,Shamir和Adieman人提出的RSA密碼體制。|雙鑰密碼的缺點是:雙鑰密碼算法普通比

較復(fù)雜，加解密速度慢。

3.2加密算法就其發(fā)展而言，共經(jīng)歷了古典密碼、對稱密鑰密碼(單鑰密碼體制)和公

開密鑰密碼(雙鑰密碼體制)三個發(fā)展階段。

3.2.1古典密碼算法(P64)：①簡單代替密碼或者單字母密碼②多名或者同音代替③多表

代替④多字母或者多碼代替?，F(xiàn)代密碼按照使用密鑰方式不同，分為單鑰密碼體制和雙鑰密

碼休

.word..

制兩類。

.word..

3.2.2數(shù)據(jù)加密標準DES、國際數(shù)據(jù)加密算法IDEA、RSA加密算法的基本原理；（P66）

3.3常見的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：鏈路加密、節(jié)點加密和端到端加密。

3.4.1認證技術(shù)的分層模型（P77圖）認證技術(shù)可以分為三個層次：安全管理協(xié)議、認證

體制和密碼體制。

認證技術(shù)的分院模型

認證的三個目的：一是消息完整性認證,即驗證信息在傳送或者存儲過程中是否被篡改;

二是身份認證,即驗證消息的收發(fā)者是否持有正確的身份認證符；三是消息的序號和操作時

間等的認證,其目的是防止消息重放或者延遲等攻擊。

3.4.2認證體制應(yīng)滿足的條件（要求）：

①意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性:

②消息的發(fā)送者對所發(fā)的消息不能抵賴,有時也要求消息的接收者不能否認收到的消

息；

③除了I合法的消息發(fā)送者麻,其他人|不能偽造發(fā)送消息。

3.4.3手寫簽名與數(shù)字簽名的區(qū)別：一是手寫簽名是不變的，|而他字簽名對不同的消息才

不同的，即手寫簽名因人而異，數(shù)字簽名因消息而異；二是手寫簽名是易被摹擬的，無論

哪種文字的手寫簽名，偽造者都容易摹仿，而改字簽名是在密鑰控制下產(chǎn)生的，|在沒有密鑰

的情況下，摹仿者幾乎無法摹仿的數(shù)字簽名L

346數(shù)字簽名與消息認證的區(qū)別：消息認證可以匡助接收方驗證消息發(fā)送者的身份及

消息是否被篡改。當收發(fā)者之間沒有厲害沖突時，這種方式對防止第三者破壞是有效的，但

當存在厲害沖突時,單純采用消息認證技術(shù)就無法解決糾紛，這時就需要借助于數(shù)字簽名技

術(shù)來輔助進行更有效的消息認證。

3.5.1PKI的基本概念：PKI是一個用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用型

基礎(chǔ)平臺,用戶可利用PKI平臺提供的安全服務(wù)進行安全通信。PKI采用標準的密鑰管理規(guī)則,

能夠為所有應(yīng)用誘時地提供采用加密和數(shù)字簽名等密加服務(wù)所需要的密鑰和證書管理。I

PKI特點：①怙省費用②互操作性③開放性④一致的解決方案⑤可驗證性⑥可選擇性

352PKI認證技術(shù)的組成：中要/認證機構(gòu)CA、證書庫、密鑰備份、證書作廢處理系

統(tǒng)和PKI應(yīng)用接11正統(tǒng)等。①認證機構(gòu)CA②證書庫③證書撤銷④密鑰備份和恢復(fù)⑤自動更

新密鑰⑥密鑰歷史檔案⑦交叉認證⑧不可否認性⑨時間戳⑩客戶端軟件

.word..

3.6PGP和GnuPG是兩個常用的公鑰加密軟件，PGP軟件由于采用子專利算法受到美國

政府的軟件出口限制，GnuPG作為PGP的代替軟件，屬于開源免費M,可以自由使用。

課后題：

1、簡述信息加密技術(shù)對于保障信息安全的重要作用。

力瞰術(shù)是保障信息安全的基石，它以很小的代價，對信息一種強有力的安全保護。長

期以來，密碼技術(shù)被廣泛應(yīng)用于政治、經(jīng)濟、軍事、外交、情報等重要部門。近年來，隨著

計算機網(wǎng)絡(luò)和通信技術(shù)的發(fā)展，密碼學(xué)得到了前所未有的重視并迅速普及,同時其應(yīng)用領(lǐng)域

也廣為拓展。如今，密碼技術(shù)不僅服務(wù)于信息的加密和解密，還是身份認證、訪問控制及數(shù)

字簽名等多種安全機制的基礎(chǔ)。

2、簡述加密技術(shù)的基本原理，并指出有哪些常用的加密體制及其代表算法。

信息加密技術(shù)是利用密碼學(xué)的原理與方法對傳輸數(shù)據(jù)提供保護的手段，它以數(shù)學(xué)計算為

基礎(chǔ)，信息論和復(fù)雜性理論是其兩個重要組成部份。加密體制的分類：從原理上可分為兩大

類：冏單鈕或者對稱察碼海制/代制算法.DFV算法，IDFA)法、麻雙鈕或者非對稱索碼

體制_____沫珠篁法：RSA算示,ElGamal算法)。

3、試分析古典密碼對于構(gòu)造現(xiàn)代密碼有哪些啟示？(P64)

古典密碼大都匕盛簡單，可用手工或者機械操作實現(xiàn)加解密，雖然現(xiàn)在很少采用，但研

究這些密碼算法的原理，對于理解、構(gòu)造和分析現(xiàn)代密碼是十分有益的。古典密碼算法主

要有代碼加密、代替加密、變位加密和一次性密碼簿加密等幾種算法......

4、選擇凱撒(Caesar)密碼系統(tǒng)的密鑰k=6。若明文為caesar,密文是什么。密文應(yīng)為：

abcdefghyklmnopqrstuwvxyz

5、DES加密過程有幾個基本步驟？試分析其安全性能。

力唯過程可表示為：DES(m)lP-l-T16*T15……T2?Tl?IP(m)

①初始轉(zhuǎn)換IP及其逆初始置換IP-1②乘積變換③選擇擴展運算、選擇壓縮運算和轉(zhuǎn)換

運算

DES安全性分析：DES的浮現(xiàn)是密碼學(xué)上的一個創(chuàng)舉，由于其公開了密碼體制及其設(shè)

id細節(jié)，因此其安全性徹底依賴于其所用的密鑰，關(guān)于DES學(xué)術(shù)界普遍印象是密鑰僅有56bit

有點偏短。

6、在本章RSA例子的基礎(chǔ)上，試給出m=student的加解密過程。(P72)

abcdefghijk(10)lmnopqrstu(20)vwxyz

m的十辨編碼為18192003041319;

互素一若兩個整數(shù)的最大公因數(shù)是L則稱這兩個整數(shù)互質(zhì)(互素)。

設(shè)p=3,q=ll;產(chǎn)生兩個大素數(shù)，XX的

則計算n和(p(n)XX的

n=3Xll

(p(n)=(p-l)(q-l)=2X10

蝌T隨機數(shù)，要求0<e<(p(n),并且(e,(p(n))=l(e和cp互素)

自誦i寸計算得出d,deElmodq(n)(與n互素的數(shù)中詵取與(p(n)互素的數(shù)可通i寸Eucliden

.word..

算法得出。是XX的，用于解密)

取e=3,0<3<20(3,20)=1

則d=7;7X3=lmod20

將n=33和e=3公開；

m加密為對m進行加密變換,E(m)=m~emodn=c

E(s)=18-3=24mod33

E(t)=19-3=28mod33

E(u)=20~3=14mod33

E(d)=3~3=27mod33

E(e)=4~3=31mod33

E(n)=13~3=19mod33

E(t)=19~3=28mod33

c=E(m)=24281427311928它對應(yīng)的密文為f*。*九*

c解密為對c進行解密變換D(c)=c~dmodn=(m~emodn)~dmodn=m-edmodn=m

modn

D(y)-24~7-18mud33

D(*)=28-7=19mod33

D(O)=14-7=20mod33

D(*)=27~7=03mod33

D(*)=31-7=04mod33

D(t)=19-7=13mod33

D(*)=28~7=19mod33

則還原明文為m=18192003041319即student

7、RSA簽名方法與RSA加密方法對密鑰的使用有什么不同？(P74)

RSA加密方法是在多個密鑰中選用一部份密鑰作為加密密鑰，另一些作為解密密鑰。

RSA簽名方法：如有kl/k2/k3三個密鑰，可將kl作為A的簽名私密鑰，k2作為B的簽名私密

鑰，k3作為公開的驗證簽名用密鑰，實現(xiàn)這種多簽名體制，需要一個可信賴中心對A和B

分配秘密簽名密鑰。

8、試簡述解決網(wǎng)絡(luò)數(shù)據(jù)加密的三種方式。(P75)

常見的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：①鏈路加密：對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行

加密保護。②節(jié)點加密：指在信息傳輸路過的節(jié)點處進行解密和加密。③端到端加密：指對

一對用戶之間的數(shù)據(jù)連續(xù)的提供保護。

9、認證的目的是什么，試簡述其相互間的區(qū)別。(P77)

認證的三個目的：一是消息完整性認證，即驗證信息在傳送或者存儲過程中是否被篡改;

二是身份認證，即驗證消息的收發(fā)者是否持有正確的身份認證符；三是消息的序號和操作時

間等的認證，其目的是防止消息重放或者延遲等攻擊。

10、什么是PKI?其用途有哪些？(P83)

PKI是一個用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用型基礎(chǔ)平臺，用戶可利用

.word..

PKI平臺提供的安全服務(wù)進行安全通信。PKI采用標準的‘密鑰管理規(guī)則，能夠為所有應(yīng)用透

明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。

11、簡述PKI的功能模塊組成。

主要包括認證機構(gòu)CA、證書庫、密鑰備份、證書作廢處理系統(tǒng)和PKI應(yīng)用接口系

統(tǒng)等。①認證機構(gòu)CA②證書庫③證書撤銷④密鑰備份和恢復(fù)⑤自動更新密鑰⑥密鑰歷史

檔案⑦交叉認證⑧不可否認性⑨時間戳⑩客戶端軟件

12、通過學(xué)習(xí)，你認為密碼技術(shù)在網(wǎng)絡(luò)安全實踐中還有哪些應(yīng)用領(lǐng)域？舉例說明。(P76)

加密技術(shù)在其它領(lǐng)域也時常發(fā)揮作用，如電子商務(wù)和VPN。(P76)

第4章防火墻技術(shù)

4.1.1防火墻的基本概念：是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個

或者一組系統(tǒng)，包括硬件和軟件,它構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、

潛在破壞性的侵擾。

4.1.2防火墻的主要功能：

①過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)

②管理進、出網(wǎng)絡(luò)的訪問行為

③封堵某些禁止的業(yè)務(wù)

④記錄通過防火墻的信息和內(nèi)容|

⑤對網(wǎng)絡(luò)攻擊檢測和告警

4.1.3防火墻的局限性：

①網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈便性為代價

②防火墻只是整個I網(wǎng)絡(luò)安全防護體系的一部份,而且防火墻并非萬無一失。

4.2防火墻的體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu);屏蔽主機體系結(jié)構(gòu);屏蔽子網(wǎng)體系結(jié)

構(gòu)。(圖見P106)

4.3防火墻可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻,這兩類防火墻的具體實現(xiàn)技術(shù)主要

有包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測技術(shù)和NAT技術(shù)等。________________

4.3.1包過濾技術(shù)的工作原理(P110)：工作在網(wǎng)絡(luò)層，通?；贗P數(shù)據(jù)包的源地址、目的.

地址、源端口和口的端「I進行過濾。包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依_

據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,1被稱為訪問控制列表L通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、

目的地址、所用的端口號和協(xié)議狀態(tài)等因素或者它們的組合，來確定是否允許該數(shù)據(jù)包通過。

4.3.1包過濾技術(shù)的缺陷：①不能徹底防止地址欺騙品無法執(zhí)行某些安全策略③安全性

較差④--時應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾⑤管理功能弱

4.3.2代理服務(wù)技術(shù)(Proxy)是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)

關(guān)。

4.3.2代理服務(wù)技術(shù)的工作原理(P116)：所謂代理服務(wù)器，是指耐表客戶處理連接請求的I

程序。當代理服務(wù)器得到一心客戶的盅接意圖時,它將核實客戶請求，#用特定的安全化

的proxy應(yīng)用程序來處理連接請求,將處理后的請求傳遞到真正的服務(wù)器上,然后接受服務(wù)

.word..

器應(yīng)答，并進行下一步處理后，將答復(fù)交給發(fā)出請求的謾絡(luò)客戶h代理服務(wù)器在外部網(wǎng)絡(luò)向

內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中?間輪妾孤隔的作用，所以又叫代理防火墻,?代

理防火墻工作于應(yīng)用層I且針對特產(chǎn)的應(yīng)用號協(xié)議。

4.3.2代理技術(shù)的優(yōu)點：①代理易于配置②代理今生成各項記錄感代理能靈便、徹底地I

I控制進出流量、內(nèi)表④代理能過濾數(shù)據(jù)內(nèi)容⑤代理油為用戶提供透明的加密機制⑥代理可以

|方便地與其它安全手段集成|

4.3.2代理技術(shù)的缺點：①代理標度較路由器慢?)代理。用戶不透明③升每項服務(wù)代理|

可能要求不同的服務(wù)器④代理服務(wù)不能保證免受所有協(xié)議弱點的限制⑤代理不能改進底層

協(xié)議的安全性。

4.3.3狀態(tài)檢測技術(shù)的工作原理(P1I9)：也稱為動態(tài)包過濾防火墻?；窢顟B(tài)檢測技術(shù)的

防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性,檢測引擎

在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施檢測，

并將抽取的狀態(tài)信息動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。狀態(tài)檢測防火墻監(jiān)視和

I跟蹤每一個I有效連接的狀態(tài),并根據(jù)這些信息決定是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過防火墻。

4.3.3狀態(tài)檢測技術(shù)的特點：①高安全性②高效性③可伸縮性和易擴展性④應(yīng)用X圍廣

4.3.4NAT技術(shù)的工作原理(P121)：網(wǎng)絡(luò)地址轉(zhuǎn)換，足?個internet工程任務(wù)組的標準，允

許一個整體機構(gòu)以一個公用IP地址浮現(xiàn)在互聯(lián)網(wǎng)上。即是一種把可部私有IP地址翻譯成合法|

I網(wǎng)絡(luò)IP地址的技術(shù)。Nh有三種類型:靜態(tài)NAT、動IdNAT和網(wǎng)％地址端口轉(zhuǎn)換I

NAPTo

4.6.2個人防火墻的主要功能：①IP數(shù)據(jù)包過3慮功能②安全規(guī)則的修訂功能③對特定網(wǎng)

絡(luò)攻擊數(shù)據(jù)包的攔截功能④應(yīng)用程序網(wǎng)絡(luò)訪問控制功能⑤網(wǎng)絡(luò)快速切斷、恢復(fù)功能⑥日志記

錄功能⑦網(wǎng)絡(luò)攻擊的報警功能⑧產(chǎn)品自身安全功能

4.6.3個人防火墻的特點：

優(yōu)點：①增加了保護級別,不需要額外的硬件資源:

②除了可以抵擋外來攻擊的同時,還可以抵擋內(nèi)部的攻擊;

③是對公共網(wǎng)絡(luò)中的單位系統(tǒng)提供了保護，能夠為用戶■生露在網(wǎng)絡(luò)上的信息」比如

llP地址屁類的信息等。

缺點：①對公共網(wǎng)絡(luò)惟獨?個物理接口|，導(dǎo)致個人防火墻本身容易受到威脅I

②在運行時需要占用個人計算機的內(nèi)存、CPU柯?間等資源;

③只能對單機提供保護,|不能保護網(wǎng)絡(luò)區(qū)統(tǒng)。

4.7防火墻的發(fā)展趨勢(P142)：①優(yōu)良的性能②可擴展的結(jié)構(gòu)和功能③簡化的安裝與管

理④主動過濾⑤防病毒與防黑客⑥發(fā)展聯(lián)動技術(shù)

課后題：

1、簡述防火墻的定義。(P103)

4.1.1防火墻的基本概念：是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個

或者一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、

潛在破壞性的侵擾。

2,防火墻的主要功能.(P135)

.word..

4.1.2防火墻的主要功能：①過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)②管理進、出網(wǎng)絡(luò)的訪問行為③封

堵某些禁止的業(yè)務(wù)④記錄通過防火墻的信息和內(nèi)容⑤對網(wǎng)絡(luò)攻擊檢測和告警

3、防火墻的體系結(jié)構(gòu)有哪幾種？簡述各自的特點。(P106)

防火墻的體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)；屏蔽主機體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。

雙重宿主主機體系結(jié)構(gòu)是環(huán)繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩

個網(wǎng)絡(luò)接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)

往另一個網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。

雙重宿主主機體系結(jié)構(gòu)是由一臺同時連接在內(nèi)外部網(wǎng)絡(luò)的雙重宿主主機提供安全保障

的，而被屏蔽主機體系結(jié)構(gòu)則不同，在屏蔽主機體系結(jié)構(gòu)中，提供安全保護的主機僅僅與被

保護的內(nèi)部網(wǎng)絡(luò)相連.

屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一

步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。

4、簡述包過濾防火墻的工作機制和包過濾模型。(P110,P111圖)

包過濾型防火墻普通有一個包檢查模塊，可以根據(jù)數(shù)據(jù)XX中的各項信息來控制站點與

站點、站點與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因為內(nèi)容是

應(yīng)用層數(shù)據(jù)。包過濾模型P111

TCP/IP與過濾規(guī)則匹配審計轉(zhuǎn)發(fā)包丟棄包

5、簡述包過濾的工作過程。(P112)

源地址目的地址協(xié)議類型源端口目的端口ICMP消息類型

不讓外用TELNET登陸允許SMTP往內(nèi)部發(fā)允許NNTP往內(nèi)部發(fā)新聞

不能識別用戶信息不能識別文件信息可以提供整個網(wǎng)絡(luò)保護

6、簡述代理防火墻的工作原理，并闡述代理技術(shù)的優(yōu)缺點。(P116)

所謂代理服務(wù)器，是指代表客戶處理連接請求的程序。當代理服務(wù)器得到一個客戶的連

接意圖時，它將核實客戶請求，井用特定的安全化的proxy應(yīng)用程序來處理連接請求，將處

理后的請求傳遞到真正的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并進行下一步處理后，將答復(fù)交給

發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接和隔離

內(nèi)、外部網(wǎng)絡(luò)的作用，所以又叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)

用層協(xié)議。

優(yōu)點：①代理易于配置②代理能生成各項記錄③代理能靈便、徹底地控制進出流量、內(nèi)

容④代理能過濾數(shù)據(jù)內(nèi)容⑤代理能為用戶提供透明的加密機制⑥代理可以方便地與其他安

全手段集成

缺點：①代理速度較路由器慢②代理對用戶不透明③對于每項服務(wù)代理可能要求不同的

服務(wù)器④代理服務(wù)不能保證免受所有協(xié)議弱點的限制⑤代理不能改進底層協(xié)議的安全性

7、簡述狀態(tài)檢測防火墻的特點。(P120)

狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務(wù)器防火墻的長處，克服了兩者的不足，

能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。優(yōu)點：

①高安全性②高效性③可伸縮性和易擴展性④應(yīng)用X圍廣。不足：對大量狀態(tài)信息的處理

過程可能會造成網(wǎng)絡(luò)連接的某種遲滯。

.word..

8、簡述NAT技術(shù)的工作原理(P121)

4.3.4NAT技術(shù)的工作原理(PI21)：網(wǎng)絡(luò)地址轉(zhuǎn)換，是一個internet工程任務(wù)組的標準，允

許一個整體機構(gòu)以一個公用IP地址浮現(xiàn)在互聯(lián)網(wǎng)上。即是一種把內(nèi)部私有IP地址翻譯成合法

網(wǎng)絡(luò)IP地