Chapter 6 Internet安全体系结构之一
1.列出物理网风险的4种类型。
答:窃听;回答(重放);插入;拒绝服务(DoS)。
2.什么是身份鉴别栈?
答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。
3.列出对有线物理网攻击的5种类型。
答:连接破坏;干扰;侦察;插入攻击;回答。
4.有哪几种动态LAN链接的身份鉴别方法?
答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。
5.列出无线网的各种风险。
答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。
6.WEP是一种高强度安全方法吗?为什么?
答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。
7.什么是数据链路的随意模式?
答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。
8.列出各种缓解数据层风险的方法。
答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。
9.试述CHAP的功能、特点和局限性。
答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。
CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。
10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损?
答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。
ARP受损影响:资源攻击、DoS攻击和MitM攻击。
缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。
11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果?
答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。
路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。
12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击?
答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。
13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果?
答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。
14.网络层提供哪些QoS功能?QoS攻击有哪些?
答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。
QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。
15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性?
答:窃听、伪装以及插入攻击。
缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。
局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。
网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。
体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。
安全过滤:这种方法是在模糊安全的水平。
防火墙和过滤出口:它并不能阻止来自源点伪装的网络。
16.什么是IP的安全风险?
答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。
17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么?
答:优缺点:
禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能;
非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机;
NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机;
反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射;
IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组;
出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击;
IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案;
IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。
IPSec和IPv6的异同:
从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。
从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。
Chapter 7 Internet安全体系结构之二
1.传输层有哪些风险?试比较一个端口和多个端口以及静态端口和动态端口的风险。
答:风险:传输层拦截、端口扫描、信息泄露。
一个和多个端口的风险:
减少结点的端口数,能减少攻击因素。加固的服务器将开放的端口数减少以只有基本服务。一般来说,少量端口打开的系统更安全。但是某些服务支持多路端口,或基于服务的需求打开新的端口,这样将带来风险。
静态和动态端口的风险:
远程客户连接到服务器要两个条件:服务器的网络地址、传输协议及端口,通常连接到服务器的众所周知的端口。某些高层协议不使用固定端口号,不用单个端口于全部通信,控制服务使用众所周知端口,数据传输则用动态端口,这会引起不安全的风险,因为在范围的端口必须都可访问网络。
2.哪些TCP信息的类型可用来识别操作系统框架?
答:初始窗口大小、TCP选项、序列号、客户端口号、重试。
3.假如客户到服务器的连接被拦截,会引起什么后果?
答:TCP客户接到一个连接结束或TCP超时,同时服务器没有注意到攻击者已经替换了没有登记注册的客户。
4.列出5种方法来缓解TCP攻击的威胁。
答:改变系统框架、阻断攻击指向、识别网络设备、状态分组检验、入侵检测系统(IDS)、入侵防御系统(IPS)、利用高层协议鉴别通信以及检测可能的攻击。
5.*什么技术可用来减少IP,TCP和UDP的攻击指向?
答:SSL、SOCKS、安全RPC。
6.DNS协议是不安全的,它存在哪些安全风险?有哪些缓解这类风险的方法?
答:直接风险:无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组。
技术风险:DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。
社会风险:相似的主机名、自动名字实现、社会工程、域更新。
直接威胁缓解(补丁、内外域分开、域控制、有限缓冲间隔、拒绝不匹配回答)
技术威胁的缓解(加固服务器、防火墙)
侦察威胁的缓解(限制提供DNS信息、域转换、请求、分开内外域、隐藏版本)
社会威胁缓解(监控相似域、锁住域、使用有效联系、不间断支持、自己主持)
优化DNS配置
确定可信的回答
7.哪些风险是由于DNS配置不当引起的?有哪些缓解这类风险的方法?
答:技术风险是基于配置的问题。技术风险包括:DNS域拦截、服务器拦截、更新持续时间以及动态DNS。
缓解方法:加固服务器、防火墙。
8.哪些方法可缓解对DNS的侦察威胁?
答:限制提供DNS信息、限制域转换、限制请求、去除反向查找、分开内部和外部域、去除额外信息、隐藏版本。
9.什么是SMTP通信的四类直接威胁?
答:伪装报头及垃圾邮件、中继和拦截、SMTP和DNS、低层协议。
10.哪些是攻击URL的方法?
答:主机名求解攻击、主机名伪装、统一资源标识符(URI)伪装、剪切和拼接、滥用询问、SQL插入、跨站脚本(XSS)。
11.常见的HTTP风险有哪些?
答:无身份鉴别的客户、无身份鉴别的服务器、客户端隐私、信息泄露、服务器定位轮廓、访问操作系统、不安全的应用程序、低层协议。
12.HTTP客户端和服务器通常会泄露哪些信息?
答:HTTP请求报送通常泄露Web浏览器的类型,包括版本和操作系统;
HTTP回答报送常常包含服务器类型、版本以及支持的插件(plug-in);
HTTP回答的信息包括一个时间戳,通过时间戳可以识别数据是静态的(来自文件)还是动态的(来自应用程序);
HTTP的时区和HTTP的本地语言,可用于定位服务器的地址位置。
13.SSL产生会话密钥的方式是什么?
答:若服务器要求验证客户端,则客户端先发送Certificate消息,然后产生会话密钥,并用服务器的公钥加密,封装在ClientKeyExchange 消息中发送给服务器。
补充:SSL产生会话密钥的方式是:随机由客户机产生并加密后通知服务器
14.传输层保护的网络采用的主要技术是建立在什么基础上的?
答:TCP/IP协议本身非常简单、没有加密、身份鉴别等安全特性,要向上层提供安全通信机制就必须在TCP这上建立一个安全通信层次。传输层安全技术有SSL,SOCKS和安全RPC。最常用的是安全套接字层SSL,它提供了进程到进程的安全服务和加密传输信道。(网络层安全机制提供的是主机到主机的)
Chapter 8 防火墙
1.什么是防火墙?防火墙的功能有哪些?
答:防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。防火墙的功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、(流量控制、NAT、VPN)。
2.防火墙的体系结构有哪几种?
答:双宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。
3.堡垒主机的构建原则是什么?
答:选择适合的操作系统;堡垒主机的安装位置;堡垒主机提供的服务;保护系统日志;监测和备份。
4.过滤规则如何制定?
答:按地址过滤;按服务过滤;对数据包做日志记录。
建立数据包过滤规则需按如下步骤:
建立安全策略;
将安全策略转化为数据包分组字段的逻辑表达式;
用防火墙提供的过滤规则句法重写逻辑表达式并设置。
5.代理是如何工作的?
答:代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;这些程序接受用户对Internet服务器的请求(如FTP,HTTP),并按照一定的安全策略将它们转发到实际的服务中。代理提供代替连接并且充当服务器网关。
6.状态检测是如何工作的?
答:当防火墙接收到初始化TCP连接的SYN包时,要对其进行安全规则检查。将该数据包在安全规则里依次比较,如果在检查了所有的规则后,都没有被接受,那么拒绝此次连接;如果接受,那么本次会话的连接信息被添加到状态监测表里。对于随后的数据包,就将包信息和该状态检测表中记录的连接内容进行比较,如果匹配成功,且该数据包状态正确,则接受,否则丢弃。
7.复杂协议是如何进行状态检测的?
答:状态检测防火墙的理论基础是使用C/S模式,进行的连接具有连接状态。防火墙作为连接双方的“旁观者”,就可以判断出连接双方目前牌何种状态。一旦发现所发送的包和状态不符,就可以认为是状态异常的包并进行拒绝,而不必在对IP地址或TCP端口进行检查;对于其他非连接协议,防火墙也建立连接来进行跟踪,知识连接信息中的超时时间要比TCP短得多。
8.状态检测有哪些弱点?
答:包过滤防火墙得以进行正常工作的一切依据在于过滤规则的实施,但又不能满足建立精细规则的要求,并不能分析高级协议中的数据。应用网关防火墙的每个连接都必须建立在为这创建的一套复杂的协议分析机制的代理程序进程上,这会导致数据延迟的现象。
状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点,克服了它们的缺点,但它仍只是检测数据包的第三层信息,无法彻底识别数据包大量的垃圾邮件、广告以及木马程序等。
包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷,不能满足用户对于安全性的不断要求,于是深度包检测防火墙技术被提出了。
Chapter 9 VPN
6.VPN分为几种类型?各种类型有何特点?
答:VPN有3种类型:Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)、Extranet VPN(企业扩展VPN)。特点:
Access VPN:Access VPN即所谓的移动VPN,适用于企业内部人员流动频繁或远程办公的情况。通过拨入当地的ISP进入Internet,再连接企业的VPN网关,在用户和VPN网关之间建立一个安全的“隧道”,通过该隧道安全地访问远程的内部网。
Intranet VPN:如果要进行企业内部异地分支机构的互联,可以使用Intranet VPN方式,这是所谓的网关对网关VPN。它在异地两个网络的网关之间建立了一个加密的VPN隧道,两端的内部网络可以通过该VPN隧道安全地进行通信,就好像和本地网络通信一样。Extranet VPN:如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网,可以使用Extranet VPN。它其实也是一种网关对网关的VPN,与Intranet VPN不同的是,它需要在不同企业的内部网络之间组建,需要有不同协议和设备之间的配合和不同的安全配置。
7.PPTP和L2TP有何区别?
答:PPTP要求互联网络为IP网络,L2TP只要求隧道媒介提供面向数据包的点对点连接。L2TP可以在IP(使用UDP)、帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上使用。
PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。
L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而PPTP协议下要占用6个字节。
L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSec共同使用时,可以用IPSec提供隧道验证,而不需要在第二层协议上验证隧道。
8.GRE协议有何优缺点?
答:GRE协议优点
通过GRE,用户可以利用公共IP网络连接非IP网络,如IPX,AppleTalk等,多协议的本地网络可以通过单一协议的骨干网传输。
通过GRE,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
扩大了网络的工作范围,包括那些路由网关有限的协议。
GRE只提供封装,即不进行加密,也不进行验证,对路由器的性能影响较小,设备档次要求较低。
GRE协议缺点
GRE只提供数据包的封装,而没有加密功能来防止网络监听和攻击,所以在实际环境中经常与IPSec联用。由IPSec提供给用户数据的加密,从而给用户提供更好的安全性。
由于GRE与IPSec采用的是同样的基于隧道的VPN实现方法,所以IPSec VPN在管理、组网上的缺陷,GRE VPN也同样具有。
同时由于原有IP报文进行了重新封装,所以同样无法实施IP QoS策略。
综上述GRE的优缺点可以看出,GRE VPN适合一些小型点对点的网络互联、实时性要求不高、要求提供地址空间重叠支持的网络环境。
Chapter 10 IPSec
9.为什么AH协议和NAT冲突?
答:AH在传输模式和隧道模式下,都会验证整个IP包(包括IP包头部),该包在传送过程中经过NAT网关,其源/目的IP地址将被改变,造成到达目的地址后的完整性验证失败。因此,AH和NAT协议是冲突的,不能同时使用。
10.简述IKE协议的几种模式,以及每一种模式的作用和特点。
答:IKE目前定义了4种模式:主模式、积极模式、快速模式和新组模式。前面3个用于协商SA,最后一个用于协商Diffle-Hellman算法所用的组。主模式和积极模式用于第一阶段,快速模式用于第二阶段;新组模式用于在第一阶段后协商新的组。
Chapter 11 黑客技术
1.黑客攻击的流程是什么?
答:踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。
2.黑客是否只有通过计算机才能够获取你的秘密?
答:不是的。黑客可以通过社会工程学来攻击和获得对信息系统的访问。它所研究的对象不是严谨的计算机技术,而是目标网络的人员。它在物理上和心理上对目标系统进行分析,以获得信息。
3.“会话侦听与劫持技术”属于(协议漏洞渗透)技术。
4.比较“密码还原技术”和“密码猜测技术”。
答:密码还原技术针对目标系统使用强度较低的、有一定安全漏洞的加密算法,通过对加密过程的分析,从加密样本中直接分析出相关的密钥和明文。
密码猜测技术的原理主要是利用穷举的方法猜测可能的明文密码,将猜测的明文经过加密后与实际的密文进行比较,若二者相同,则表明密码攻击成功。其核心在于如何根据已知的信息调整密码猜测的过程,在尽可能短的时间内破解密码。
5.拒绝服务攻击的主要目的是什么?
答:造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。
6.针对防火墙的攻击为什么可能成功?
答:由于防火墙在开发和使用中存在种种的缺陷,诸如配置不当和缺乏管理维护,因此攻击者可以利用这些有利的因素,对安置防火墙的企业发动攻击。
Chapter 13 入侵检测
1.什么叫做入侵检测系统?
答:入侵检测系统使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。
2.简单地介绍下入侵检测系统的基本结构。
答:主要由4个部分组成:事件产生器、事件分析器、响应单元和事件数据库。
3.简述NIDS的基本原理。
答:基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。
4.HIDS与NIDS相比有哪些优势和不足?
答:相比于NIDS,HIDS的优势:
检测准确度较高;
可以检测到没有明显行为牲的入侵;能够对不同的操作系统进行有针对性的检测;不会因网络流量影响性能;
适于加密和交换环境。HIDS的不足:实时性较差;无法检测数据包的全部;检测效果取决于日志系统;占用主机资源;隐蔽性较差
5.试分析基于主机网络连接检测的IDS与基于网络的IDS的基本区别。
答:前者是只对流经该主机的数据流进行检测,分析确定是否有入侵行为;而后者是对流经相应网络的所有数据流量进行检测,并对入侵行为进行过滤。
6.简述异常检测技术的基本原理。
答:异常检测技术是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
7.试比较异常检测技术和误用检测技术各有哪些优势和不足。
答:异常检测技术优点:
能够检测出新的网络入侵方法的攻击;
较少依赖于特定的主机操作系统;
对于内部合法用户的越权违法行为的检测能力较强。
异常检测技术缺点:
误报率高;
行为模型建立困难;
难以对入侵行为进行分类和命名。
误用检测技术优点:
检测准确度高;
便于进行系统防护;
技术相对成熟。
误用检测技术缺点:
不能检测出新的入侵行为;
完全依赖于入侵牲的有效性;
维护特征库的工作量巨大;
难以检测来自内部用户的攻击。
8.简单描述入侵检测系统的配置流程。
答:主要分为以下几个基本的步骤:
确定入侵检测需求;
设计入侵检测系统在网络中的拓扑位置;
配置入侵检测系统;
入侵检测系统磨合;
入侵检测系统的使用及自调节。
1.列出物理网风险的4种类型。 答:窃听;回答(重放);插入;拒绝服务(DoS)。 2.什么是身份鉴别栈? 答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。 3.列出对有线物理网攻击的5种类型。 答:连接破坏;干扰;侦察;插入攻击;回答。 4.有哪几种动态LAN链接的身份鉴别方法? 答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。 5.列出无线网的各种风险。 答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。 6.WEP是一种高强度安全方法吗?为什么? 答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。 7.什么是数据链路的随意模式? 答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。 8.列出各种缓解数据层风险的方法。 答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。 9.试述CHAP的功能、特点和局限性。 答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。 CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。 10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损? 答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。 ARP受损影响:资源攻击、DoS攻击和MitM攻击。 缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。 11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果? 答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。 路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。 12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击? 答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。 13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果? 答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。 14.网络层提供哪些QoS功能?QoS攻击有哪些? 答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。 QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。 15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性? 答:窃听、伪装以及插入攻击。 缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。 局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。 网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。 体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。 安全过滤:这种方法是在模糊安全的水平。 防火墙和过滤出口:它并不能阻止来自源点伪装的网络。 16.什么是IP的安全风险? 答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。 17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么? 答:优缺点: 禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能; 非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机; NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机; 反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射; IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组; 出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击; IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案; IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。 IPSec和IPv6的异同: 从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。 从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案 【篇一:计算机网络安全教程第 2版__亲自整理最全课 后 答案】 txt> 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研 究内容。 2. 信息安全从总体上可以分成 5个层次,密码技术是信息安全中研 究的关键点。 3. 信息安全的目标cia 指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息 系统安全保护等级划分准则》将计算机安全保护划分为以下 5个级别 二、填空题 1. 信息保障的核心思想是对系统或者数据的 4个方面的要求:保护 (protect ),检测(detect ),反应(react ),恢复(restore ) 2. t cg 目的是在计算和通信系统中广泛使用基于硬件安全模块支持 下的可信计算平台 trusted computi ng platform 性。 3. 从1998年到2006年,平均年增长幅度达 全事件的主要因素是系统和网络安全脆弱性( 穷,这些安全威胁事件给in ternet 带来巨大的经济损失。 4. b 2级,又叫结构保护(structured protection )级别,它要求计 算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终 端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻 击和防,以提高整体的安全 50 %左右,使这些安 vul nerability )层
御。 三、简答题 1.网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2.从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3 )操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 网络安全协议基础 一、选择题 1.o si参考模型是国际标准化组织制定的模型,把计算机与计算机之 间的通信分成7个互相连接的协议层。 2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据 进行编码。
网络安全 一单选题 1 《网络安全法》开始施行的时间是(C:2017年6月1日)。 2 《网络安全法》是以第( D 五十三)号主席令的方式发布的。 3 中央网络安全和信息化领导小组的组长是(A:习近平)。 4 下列说法中,不符合《网络安全法》立法过程特点的是(C:闭门造车)。 5 在我国的立法体系结构中,行政法规是由(B:国务院)发布的。 6 将特定区域内的计算机和其他相关设备联结起来,用于特定用户之间通信和信息传输的封闭型网络是( C:局域网)。 7 (A:网络)是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、 传输、交换、处理的系统。 8 在泽莱尼的著作中,它将( D:才智)放在了最高层。 9 在泽莱尼的著作中,与人工智能1.0相对应的是(C:知识)。 10 《网络安全法》立法的首要目的是(A:保障网络安全)。 11 2017年3月1日,中国外交部和国家网信办发布了(D《网络空间国际合作战略》)。 12 《网络安全法》的第一条讲的是(B立法目的)。 13 网络日志的种类较多,留存期限不少于(C :六个月)。 14 《网络安全法》第五章中规定,下列职责中,责任主体为网络运营者的是( D:按照省级以上人民政府的要求 进行整改,消除隐患)。 15 ( B数据备份)是指为防止系统故障或其他安全事件导致数据丢失,而将数据从应用主机的硬盘或阵列复制、 存储到其他存储介质。
16 ( B干扰他人网络正常功能)是指对网络功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行。 17 联合国在1990年颁布的个人信息保护方面的立法是(C:《自动化资料档案中个人资料处理准则》)。 18 2017年6月21日,英国政府提出了新的规则来保护网络安全,其中包括要求Facebook等社交网站删除(C18 岁)之前分享的内容。 19 《网络安全法》第五十九条规定,网络运营者不履行网络安全保护义务的,最多处以(B:十万元)罚款。 20 (B:LAND )的攻击原理是伪造受害主机源地址发送连接请求,使受害主机形成自身连接,消耗连接数。 21 ( D:Teardrop)的攻击原理是构造错误的分片信息,系统重组分片数据时内存计算错误,导致协议栈崩溃。 22 信息入侵的第一步是( A信息收集)。 23 (C :nslookup )是操作系统自带命令,主要用来查询域名名称和IP之间的对应关系。 24 网络路径状况查询主要用到的是(B:tracer )。 25 我国信息安全管理采用的是(A欧盟)标准。 26 在确定信息安全管理标准时,更侧重于机械化和绝对化方式的国家是( D:美国)。 27 在信息安全事件中,( D:80%)是因为管理不善造成的。 28 信息安全管理针对的对象是(B:组织的信息资产)。 29 信息安全管理中最需要管理的内容是( A目标)。 30 下列不属于资产中的信息载体的是(D:机房)。 31 信息安全管理要求ISO/IEC27001的前身是( A:英国)的BS7799标准。 32 管理制度、程序、策略文件属于信息安全管理体系化文件中的(B:二级文件)。 33 信息安全实施细则中,物理与环境安全中最重要的因素是(A人身安全)。
第1章节测验已完成 1【单选题】下列哪些属于个人隐私泄露的原因 A、现有体系存在漏洞 B、正常上网 C、浏览正规网站 我的答案:A 2【单选题】如何加强个人隐私 A、随意打开陌生链接 B、通过技术、法律等 C、下载安装未认证的软件 我的答案:B 3【单选题】如何做到个人隐私和国家安全的平衡 A、限制人生自由 B、不允许上网 C、有目的有条件的收集信息 我的答案:C 4【单选题】个人如何取舍隐私信息 A、无需关注 B、从不上网 C、在利益和保护之间寻求平衡点 我的答案:C 第2章计算机网络已完成 1【单选题】NAP是什么? A、网络点 B、网络访问点 C、局域网 D、信息链接点 我的答案:B 2【单选题】计算机网络的两级子网指资源子网和______。 A、通信子网 B、服务子网 C、数据子网 D、连接子网 我的答案:A 3【单选题】OSI参考模型分为几层? A、9 B、6 C、8 D、7 我的答案:D 4【单选题】网络协议是双方通讯是遵循的规则和___?
B、契约 C、合同 D、规矩 我的答案:A 5【单选题】SNMP规定的操作有几种? A、6 B、9 C、5 D、7 我的答案:C 6【单选题】网络安全主要采用什么技术? A、保密技术 B、防御技术 C、加密技术 D、备份技术 我的答案:C 7【单选题】从攻击类型上看,下边属于主动攻击的方式是______。 A、流量分析 B、窃听 C、截取数据 D、更改报文流 我的答案:D 8【单选题】网络安全中的AAA包括认证、记账和()? A、委托 B、授权 C、代理、 D、许可 我的答案:B 9【单选题】在加密时,有规律的把一个明文字符用另一个字符替换。这种密码叫? A、移位密码 B、替代密码 C、分组密码 D、序列密码 我的答案:B 10【单选题】下列哪项属于公钥密码体制? A、数字签名 B、DES C、Triple DES D、FEAL N 我的答案:A 11【单选题】 以下哪项为报文摘要的英文缩写? A、MZ
计算机网络安全(自学考试4751)课后答案 1.计算机网络面临的典型威胁 窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。 2.计算机网络的脆弱性 互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。 3.计算机网络安全目标 性、完整性、可用性、不可否认性、可控性 4.计算机网络安全层次 物理安全、逻辑安全、操作系统安全、联网安全 5.PPDR包括Policy、Protection Detection Response四个部分。防护、检测和响应组成了一个完整的、动态的安全循环。在整个安全策略的控制和指导下,综合运用防护工具和检测工具掌握系统的安全状态,然后通过适当的响应将网络系统调整到最安全或风险最低的状态,构成一个动态的安全防体系。 6.网络安全技术包括 物理安全措施、数据传输安全技术、外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术 7.网络安全管理的主要容:网络安全管理的法律法规、计算
机网络安全评价标准。 8.网络安全技术的发展趋势:物理隔离、逻辑隔离、防御来自网络的攻击、防御来自网络的病毒、身份认证、加密通信和VPN、入侵检测和主动防御、网管审计和取证。 9.物理安全包括机房环境安全、通信线路安全、设备安全、电源安全 10.机房安全要求:场地选择、防火、部装修、供配电、空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、防电磁泄露。 11.保障通信线路安全的技术措施:屏蔽电缆、高技术加压电缆、警报系统、局域PBX。 12.防止电磁辐射措施:屏蔽、滤波、隔离、接地 13.信息存储安全管理:四防垂直放置、严格管理硬盘数据、介质管理落实到人、介质备份分别放置、打印介质视同管理、超期数据清除、废弃介质销毁、长期数据转存。 14.密码学三个阶段:古代、古典、近代 15.密钥:参与密码变换的参数 16.加密算法:将明文变换为密文的变换函数 17.明文是作为加密输入的原始信息、密文是明文经加密变换后的结果 18.加密体制:单钥密码体制、双钥密码体制 19.认证技术可解决消息完整性、身份认证、消息序号及
网络安全试题 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的就是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的就是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的 信息完全一致 D.确保数据数据就是由合法实体发出的 3.以下算法中属于非对称算法的就是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥就是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的就是( D ) A.可以实现身份认证 B.内部地址的屏蔽与转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用与用户就是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用与用户透明度也很高 7."DES就是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其 中一部分用作奇偶校验,剩余部分作为密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:( A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法就是: ( A ) A.对信息源发方进行身份验证 B.进行数据加密 C.对访问网络的流量进行过滤与保护 D.采用防火墙 10.屏蔽路由器型防火墙采用的技术就是基于:( B ) A.数据包过滤技术 B.应用网关技术 C.代理服务技术 D.三种技术的结合 11.以下关于防火墙的设计原则说法正确的就是:( A ) A.保持设计的简单性 B.不单单要提供防火墙的功能,还要尽量使用较大的组件
第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容? 答:攻击技术主要包括以下几个方面。 (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 (3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。 (4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。 (5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。 防御技术主要包括以下几个方面。 (1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。 (2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。 (3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。 (4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。 (5)网络安全协议:保证传输的数据不被截获和监听。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。 物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。 逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。 第2章网络安全协议基础 1. 简述OSI参考模型的结构 答: OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模
网络安全试题 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的 信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是( D ) A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中 一部分用作奇偶校验,剩余部分作为密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:( A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是:( A ) A.对信息源发方进行身份验证 B.进行数据加密 C.对访问网络的流量进行过滤和保护 D.采用防火墙 10.屏蔽路由器型防火墙采用的技术是基于:( B ) A.数据包过滤技术 B.应用网关技术 C.代理服务技术 D.三种技术的结合
一: 1.信息安全根源:①网络协议的开放性,共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。 2.网络信息系统的资源:①人:决策、使用、管理者②应用:业务逻辑组件及界面组件组成③支撑:为开发应用组件而提供技术上支撑的资源。 3.信息安全的任务:网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用;信息安全的任务是保障信息在存储、传输、处理等过程中的安全,具体有机密性、完整性、不可抵赖性、可用性。 4.网络安全防范体系层次:物理层、系统层、网络层、应用层、管理层安全 5.常见的信息安全技术:密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。 二: 1.简述对称加密和公钥加密的基本原理: 所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密,或虽不相同,但可由其中任意一个很容易推出另一个;公钥加密使用使用一对唯一性密钥,一为公钥一为私钥,不能从加密密钥推出解密密钥。 常用的对称加密有:DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有:RSA、Diffie-Hellman密钥交换、ElGamal 2.凯撒密码:每一个明文字符都由其右第三个字符代替 RSA:①选两个大素数pq②计算n=pq和ψ(n)=(p-1)(q-1)③随机取加密密钥e,使e和ψ(n)互素④计算解密密钥d,以满足ed=1modψ(n)⑤加密函数E(x)=m e mod n,解密函数D(x)=c d mod n,m是明文,c使密文⑥{e,n}为公开密钥,d 为私人密钥,n一般大于等于1024位。 D-H密钥交换:①A和B定义大素数p及本源根a②A产生一个随机数x,计算X=a x mod p,并发送给B③B产生y,计算Y=a y mod p,并发送给A④A计算k=Y x mod p⑤B计算k’=X y mod p⑥k,k’即为私密密钥 三: 1.PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱动。 2.PKI组件(p24):认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。 3.PKI核心服务(p26):①认证:向一个实体确认另一个实体确实就是用户自己 ②完整性:向一个实体确保数据没有被有意或无意地修改③机密性:向一个实体确保除了接受者,无人能读懂数据的关键部分。 4.PKI的支撑服务(p27):安全通信、安全时间戳、公证、不可否认、特权管理。 5.密匙和证书管理阶段(p34):①初始化阶段:终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段:证书检索、证书验证、密匙恢复、密匙更新③取消阶段:证书过期、证书撤消、密匙历史、密匙档案。
网络安全知识竞赛试题及答案 一、单选题 1.大学生小吴在网上以一个知名作家的名义写博客,但事先没有征得该作家同意。小吴应当承担(A) A.侵权责任 B.违约责任 C.刑事责任 D.行政责任 2.绿色上网软件可以安装在家庭和学校的(B) A.电视机上 B.个人电脑上 C.电话上 D.幻灯机上 3.以下有关秘钥的表述,错误的是(A) A.密钥是一种硬件 B.密钥分为对称密钥与非对称密钥 C.对称密钥加密是指信息的发送方和接收方使用同一个密钥去加密和解密数据 D.非对称密钥加密需要使用不同的密钥来分别完成加密和解密操作 4.浏览网页时,遇到的最常见的网络广告形式是(B) A.飘移广告 B.旗帜广告 C.竞价广告 D.邮件列表 5.下列选项中,不属于个人隐私信息的是(B) A.恋爱经历
B.工作单位 C.日记 D.身体健康状况 6.根据《互联网上网服务营业场所管理条例》,网吧每日营业时间限于(C) A.6时至24时 B.7时至24时 C.8时至24时 D.9时至24时 7.李某将同学张某的小说擅自发表在网络上,该行为(B) A.不影响张某在出版社出版该小说,因此合法 B.侵犯了张某的著作权 C.并未给张某造成直接财产损失,因此合法 D.扩大了张某的知名度,应该鼓励 8.在设定网上交易流程方面,一个好的电子商务网站必须做到(B) A.对客户有所保留 B.不论购物流程在网站的内部操作多么复杂,其面对用户的界面必须是简单和操作方便的 C.使客户购物操作繁复但安全 D.让客户感到在网上购物与在现实世界中的购物流程是有区别的 9.我国出现第一例计算机病毒的时间是(C) A.1968年 B.1978年 C.1988年 D.1998年 10.表演者对其表演享有许可他人通过网络向公众传播其表演并获得报酬的权利。该权利的保护期限是 (A) A.50年
网络安全试题 一、填空题 1、网络安全的特征有:保密性、完整性、可用性、可控性。 2、网络安全的结构层次包括:物理安全、安全控制、安全服务。 3、网络安全面临的主要威胁:黑客攻击、计算机病毒、拒绝服务 4、计算机安全的主要目标是保护计算机资源免遭:毁坏、替换、盗窃、丢失。 5、就计算机安全级别而言,能够达到C2级的常见操作系统有:UNIX 、 Xenix 、Novell 3.x 、Windows NT 。 6、一个用户的帐号文件主要包括:登录名称、口令、用户标识号、组 标识号、用户起始目标。 7、数据库系统安全特性包括:数据独立性、数据安全性、数据完整性、 并发控制、故障恢复。 8、数据库安全的威胁主要有:篡改、损坏、窃取。 9、数据库中采用的安全技术有:用户标识和鉴定、存取控制、数据分 级、数据加密。 10、计算机病毒可分为:文件病毒、引导扇区病毒、多裂变病毒、秘 密病毒、异性病毒、宏病毒等几类。 11、文件型病毒有三种主要类型:覆盖型、前后依附型、伴随型。 12、密码学包括:密码编码学、密码分析学 13、网络安全涉及的内容既有技术方面的问题,也有管理方面的问题。 14、网络安全的技术方面主要侧重于防范外部非法用户的攻击。
15、网络安全的管理方面主要侧重于防止内部人为因素的破坏。 16、保证计算机网络的安全,就是要保护网络信息在存储和传输过程中的保密性、完整性、可用性、可控性和真实性。 17、传统密码学一般使用置换和替换两种手段来处理消息。 18、数字签名能够实现对原始报文的鉴别和防抵赖.。 19、数字签名可分为两类:直接签名和仲裁签名。 20、为了网络资源及落实安全政策,需要提供可追究责任的机制,包括:认证、授权和审计。 21、网络安全的目标有:保密性、完整性、可用性、可控性和真实性。 22、对网络系统的攻击可分为:主动攻击和被动攻击两类。 23、防火墙应该安装在内部网和外部网之间。 24、网络安全涉及的内容既有技术方面的问题,也有管理方面的问题。 25、网络通信加密方式有链路、节点加密和端到端加密三种方式。 26、密码学包括:密码编码学、密码分析学 二、选择题 1、对网络系统中的信息进行更改、插入、删除属于 A.系统缺陷 B.主动攻击 C.漏洞威胁 D.被动攻击 2、是指在保证数据完整性的同时,还要使其能被正常利用和操作。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性 3、是指保证系统中的数据不被无关人员识别。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性
计算机网络安全课后答案 第章 一、填空题 1.从广义上说,凡是涉及到网络上信息的机密性、完整性、可用性、真实性、抗否认性和可控性的相关技术和理论都是网络安全所要研究的领域。 2.网络安全包括物理安全、运行安全和数据安全三个层次。 3.常用的保密技术包括防帧收、防辐射、信息加密。 4.保障网络信息完整性的主要方法有协议、纠错编码方法、密码校验和方法、数字签名、公证。 5.网络信息系统的安全缺陷通常包括搭线、串音、网络的规模。 6.网络安全的研究领域,一般大致分为社会经济领域、技术领域、电子商务领域。 二、问答题 1.简述网络安全的含义。 答:国际标准化组织()对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。 2.网络安全的目标有哪些? 答:机密性、完整性、可用性、真实性、抗否认性和可控性。 3.简述网络安全的研究内容有哪些? 答:网络安全技术研究大致可以分为基础技术研究、防御技术研究、攻击技术研究、安全控制技术和安全体系研究。 4.常见网络存在的安全威胁有哪些?请简要回答。 答:常见的有计算机病毒,拒绝服务攻击,内部、外部泄密,蠕虫,逻辑炸弹,信息丢失、篡改、销毁,特洛伊木马,黑客攻击,后门、隐蔽通道等。 5.简述网络安全威胁存在的原因。 答:.网络建设之初忽略了安全问题。 .协议和软件设计本身的缺陷。 .操作系统本身及其配置的安全性。
.没有集中的管理机构和同意的政策。 .应用服务的访问控制、安全设计存在漏洞。 .安全产品配置的安全性。 .来自内部网用户的安全威胁。 .网络病毒和电子邮件病毒。 第章 一、填空题 .基于密钥的算法通常有对称算法和非对称加密算法两类 .密码体制从原理上可分为单钥密码体制和双钥密码体制两大类 .在计算机网络系统中,数据加密方式有链路加密、节点加密、端到端加密等三种 算法是作为第一个公开了加密原理的算法 .密钥管理的种类包括初始密钥、会话密钥、密钥加密密钥、主密钥 .密钥的管理需要借助于加密、认证、签字、协议、公证等技术 是一个基于公钥加密体系的邮件加密软件 内核使用算法来压缩加密钱的明文 二、简答题 .常用的密码分析攻击类型有哪些? 唯密文攻击、已知明文攻击、选择明文攻击、自适应选择明文攻击、选择密文攻击、选择密钥攻击、软磨硬泡攻击。 .简述端到端加密与节点链路加密相加其所不具有的优点。 )成本低 )端到端加密比链路加密更安全 )端到端可以由用户提供,因此对用户来说这种加密方式比较灵活。 .单钥密码体系的缺陷有哪些? )密钥管理麻烦 )不能提供法律证据 )缺乏自动检测保密密钥泄露的能力
文档收集于互联网,已重新整理排版.word版本可编辑.欢迎下载支持. 1.数据保密性指的是( A ) A、保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B、提供连接实体身份的鉴别 C、防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D、确保数据数据是由合法实体发出的 2.下列内容中,不属于安全策略中组成部分的是() A、安全策略目标 B、用户安全培训 C、系统安全策略 D、机构安全策略 3.以下那个不是IPv6 的目标( D ) A、地址空间的可扩展性 B、网络层的安全性 C、服务质量控制 D、更高的网络带宽 4.TCSEC中将计算机安全级别划分为(A ) A、D;C1,C2;B1,B2,B3;A B、D;C1,C2,C3;B1,B2;A C、D1,D2;C1,C2;B1,B2;A D、D1,D2,D3;C1,C2;B1;A 5.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠的解决方案是什么(C)A.安装防火墙 B.安装入侵检测系统 C.给系统安装最新的补丁 D.安装防病毒软件 6.为了防御网络监听,最好的方法是(D) A、采用物理传输(非网络) B、信息加密 C、无线网 D、使用专线传输 7.以下不是对电子邮件加密方式的是( D ) A. SSL加密 B. 利用对称算法加密 C. 利用PKI/CA认证加密 D. 采用防火墙技术 8.当同一网段中两台工作站配置了相同的IP 地址时,会导致( B ) A、先入者被后入者挤出网络而不能使用 B、双方都会得到警告,但先入者继续工作,而后入者不能 C、双方可以同时正常工作,进行数据的传输 D、双主都不能工作,都得到网址冲突的警告 9.EFS可以对以下哪种文件系统加密(C )A、FAT16 B、FAT32 C、NTFS D、exFAT 10.对于保护文件系统的安全,下面哪项是不需要的(D) A、建立必要的用户组 B、配置坊问控制 C、配置文件加密 D、避免驱动器分区 11.在TCP/IP协议体系结构中,传输层有哪些协议( B ) A、TCP和IP B、UDP和TCP C、IP 和ICMP D、TCP、IP、UDP、ICMP 12.telnet 协议在网络上明文传输用户的口令,这属于哪个阶段的安全问题(A ) A、协议的设计阶段 B、软件的实现阶段 C、用户的使用阶段 D、管理员维护阶段 13.SSL指的是:(B) A.加密认证协议 B.安全套接层协议 C.授权认证协议 D.安全通道协议 14.下面哪个是为广域网(WWW)上计算机之间传送加密信息而设计的标准通信协议B A、SSL B、HTTPS C、HTTP D、TSL 15.以下关于宏病毒说法正确的是:() A.宏病毒主要感染可执行文件 B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区 D.CIH病毒属于宏病毒 16.关于特洛伊木马的描述,哪句话是错误的() A、基本远程控制的黑客工具 B、窃取用户的机密信息,破坏计算机数据文件 C、利用系统上的高端端口进行后台连接 D、大量的流量堵塞了网络,导致网络瘫痪 17.以下关于计算机病毒的特征说法正确的是:() A.计算机病毒只具有破坏性,没有其他特征 B.计算机病毒具有破坏性,不具有传染性
Chapter 6 Internet安全体系结构之一 1.列出物理网风险的4种类型。 答:窃听;回答(重放);插入;拒绝服务(DoS)。 2.什么是身份鉴别栈? 答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。 3.列出对有线物理网攻击的5种类型。 答:连接破坏;干扰;侦察;插入攻击;回答。 4.有哪几种动态LAN链接的身份鉴别方法? 答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。 5.列出无线网的各种风险。 答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。 6.WEP是一种高强度安全方法吗?为什么? 答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。 7.什么是数据链路的随意模式? 答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。 8.列出各种缓解数据层风险的方法。 答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。 9.试述CHAP的功能、特点和局限性。 答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。 CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。 10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损? 答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。 ARP受损影响:资源攻击、DoS攻击和MitM攻击。 缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。 11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果? 答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。 路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。 12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击? 答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。 13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果? 答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。 14.网络层提供哪些QoS功能?QoS攻击有哪些? 答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。 QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。 15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性? 答:窃听、伪装以及插入攻击。 缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。 局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。 网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。 体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。 安全过滤:这种方法是在模糊安全的水平。 防火墙和过滤出口:它并不能阻止来自源点伪装的网络。 16.什么是IP的安全风险? 答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。 17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么? 答:优缺点: 禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能; 非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机; NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机; 反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射; IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组; 出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击; IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案; IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。 IPSec和IPv6的异同: 从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。 从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。
一、选择题(38分,每小题2分) 1.以下关于对称加密的说法不正确的是() A、在对称加密中,只有一个密钥用来加密和解密信息 B、在对称加密中,用到了二个密钥来加密和解密信息,分别是公共密钥和私用密钥 C、对称加密是一个简单的过程,双方都必需完全相信对方,并持有这个密钥的备份 D、对称加密的速度非常快,允许你加密大量的信息而只需要几秒钟 2.被动攻击主要是监视公共媒体传输的信息,下列属于典型被动攻击的是( ) A、解密通信数据 B、会话拦截 C、系统干涉 D、修改数据 3.针对窃听攻击采取的安全服务是( ) A.鉴别服务 B.数据机密性服务 C.数据完整性服务 D.抗抵赖服务 4.以下属于对称加密算法的是 A、DES B、MD5 C、HASH D、RSA 5.在保证密码安全中,我们应采取的措施中不正确的是 A、不用生日做密码 B、不要使用少于8位的密码 C、密码不能以任何明文形式存在任何电子介质中 D、用户可以不断地尝试密码输入,直到正确为止 6.当你感觉到你的Win2000运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有 可能认为你受到了哪一种攻击。 A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 7.入侵检测的目的是( ) A、实现内外网隔离与访问控制 B、提供实时的检测及采取相应的防护手段,阻止黑客的入侵 C、记录用户使用计算机网络系统进行所有活动的过程 D、预防、检测和消除病毒 8.网络的可用性是指()。 A.网络通信能力的大小B.用户用于网络维修的时间 C.网络的可靠性D.用户可利用网络时间的百分比 9.802.11在MAC层采用了()协议。 A、CSMA/CD B、CSMA/CA C、DQDB D、令牌传递 10.小李在使用Nmap对目标网络进行扫描时发现,某一个主机开放了25和110端口,此主机最有可能是什么? A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器 11.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令? A、ping B、nslookup C、tracert D、ipconfig 12.支持安全WEB服务的协议是()。 A、HTTPS B、WINS C、SOAP D、HTTP 13.安全电子邮件使用()协议。 A、PGP B、HTTPS C、MIME D、DES