计算机网络安全课后题答案

  • 格式:docx
  • 大小:27.90 KB
  • 文档页数:12

第一章 绪论

1. 计算机网络面临的平安威胁有哪些?

答:1.主要威胁:计算机网络实体面临威胁〔实体为网络中的关键设备〕;计算机网络系统面临威胁〔典型平安威胁〕;恶意程序的威胁〔如计算机病毒、网络蠕虫、间谍软件、木马程序〕;计算机网络威胁有潜在对手和动机〔恶意攻击/非恶意〕

2. 典型的网络平安威胁:窃听、重传、伪造、篡造、非授权访问、拒绝效劳攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。

2.分析计算机网络的脆弱性和平安缺陷

答:偶发因素:如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误;

自然灾害:各种自然灾害对计算机系统构成严重的威胁;

人为因素:人为因素对计算机网络的破坏和威胁〔包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击〕。

3.分析计算机网络的平安需求

答:互联网具有不平安性;操作系统存在的平安问题;数据的平安问题;传输路线的平安问题;网络平安管理问题。

4.分析计算机网络平安的内涵和外延是什么?

答:计算机网络平安是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性,完整性及可使用受到保护。网络的平安问题包括两方面的内容,一是网络的系统平安;二是网络的信息平安。从广义上说,网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络平安的研究领域。

5.论述OSI平安体系构造

答:OSI平安系统构造定义了鉴别效劳、访问控制效劳、数据机密性效劳、数据完整性效劳和抵抗赖性效劳等五类网络平安效劳;也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种根本的平安机制。 平安模型地构造

答:PPDR模型是一种常用的网络平安模型,主包含四个主要部份:Policy〔平安策略〕、Protection〔防护〕、Detection〔检测〕和Response〔响应〕。

7.简述计算机网络平安技术

答:网络平安技术:物理平安措施、数据传输平安技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、平安性检测技术、防病毒技术、备份技术和终端平安技术。

第二章 物理平安

1. 物理平安主要包含哪些方面的内容

答:机房环境平安、通信线路平安、设备平安和电源平安

2. 计算机机房平安等级的划分标准是什么?

答:机房的平安等级分为A类、B类和C类三个根本类别。A类:对计算机机房的平安有严格的要求;B类:对计算机机房的平安有较严格的要求,有较完善的计算机机房平安措施;C类:对计算机机房的平安有根本的要求,有根本的计算机机房措施。

3. 计算机机房平安技术主要技术措施有哪些?

答:1.机房的平安要求:计算机机房选址应该防止靠近公共区域,防止窗户直接邻街,机房布局应该工作区在内,生活辅助区域在外,机房最好不要安排在底层或顶层;措施:保证所有进出计算机机房的人必须在管理人员的监控之下,外来人员进入机房内部、应该办理相关手续,并对随身物品进展相应的检查。

2.机房的防盗要求,对重要设备和存储媒体应采取严格的防盗措施。措施:早期采取增加质量和胶粘的防盗措施,后国外创造一种通过光纤电缆保护重要设备的方法,一种更方便的措施类似于超市的防盗系统,视频监视系统更是一种更为可靠防盗设备,能对计算机网络系统的外围环境、操作环境进展实时的全程监控。

3.机房的三度要求〔温度〔18-22度〕、温度〔40%-60%为宜〕、干净度〔要求机房尘埃颗粒直径小于〕〕为使机房内的三度到达规定的要求,空调系统、去湿机和除尘器是必不可少的设备。

4.防静电措施:装修材料防止使用挂彩、地毯等易吸尘,易产生静电的材料、应采用乙烯材料,安装防静电动板并将设备接地。

5.接地及防雷要求:

地线种类:保护地、直流地、屏蔽地、静电池和雷地池。 接地系统:各自独立的接地系统;交、直分开的接地系统;共地接地系统;直流地、保护地共用地线系统和建筑物内共地系统。

接地体:地桩、水平栅网、金属接地板和建筑根底钢筋

防雷措施:使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线,机房本身有避雷设备和装置。

6.机房的防火、防水措施:隔离、火灾报警系统、灭火措施和管理措施。

4.保障通信线路平安的主要技术措施有哪些?

答:电线加压技术;对光纤等通信路线的防窃听技术〔距离大于最大限制的系统之间,不采用光纤线通信〕;加强复制器的平安,如用加压措施、警报系统和加强警卫等措施。

4. 电磁辐射对网络通信平安的影响主要表达在哪些方面,防护措施有哪些?

答:影响主要表达在:计算机系统可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。

防护措施:一类对传导发射的防护,主要采用对电源线和信号线加装性能良好的滤波器,减少传输阻抗和导线间的穿插耦合;另一类是对辐射的防护,又可分为两种:一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。为提高电子设备的抗干扰能力,主要措施有:屏蔽、滤波、隔离、接地,其中屏蔽是应用最多的方法。

5. 保障存储媒体平安的主要措施有哪些?

答:存放数据的盘,应妥善保管;对硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时加密,以确保数据平安;存放数据的盘,管理须落到人,并登记;对存放重要数据的盘,要备份两份并分开保管;打印有业务数据的打印纸,要视同档案进展管理;凡超过数据保存期,必须经过特殊的数据加以清理;凡不能正常记录数据的盘,需经测试确认后由专人进展销毁,并做好登记;对需要长期保存的有效数据,应质量保证期内进展转存,并保证转存内容正确。

第三章 信息加密及PKI

1. 简述加密技术的根本原理,并指哪些常用的加密体制及代表算法。

答:信息加密技术是利用密码学的原理及方法对传输数据提供保护手段,它以数学计算为根底,信息论和复杂性理论是其两个重要组成局部。加密体制的分类:从原理上分为两类:即单钥或对称密码体制〔代表算法:DES算法,IDEA算法〕和双钥或非 对称密码体制〔代表算法:RSA算法,ElGamal算法〕。

2. DES加密过程有几个根本步骤?试分析其平安性能。

答:1.初始置换IP及其逆初始化转换IP-1;乘积变换;选择扩展运算、选择压缩运算和置换运算;DES平安性分析及其变形

3.RSA签名方法及RSA加密方法对密钥的使用有什么不同?

答:RSA加密方法是在 多个密钥中选中一局部密钥作为加密密钥,另一些作为解密密钥。RSA签名方法:如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名密钥,k3作为公开的验证签名密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。

3. 试简述解决网络数据加密的三种方式。

答:常用的网络数据加密方式有:

链路加密:对网络中两个相邻节点之间传输的数据进展加密保护;

节点加密:指在信息传输过程的节点进展解密和加密;

端到端的加密:指对一对用户之间的数据连续地提供保护。

4.认证的目的是什么?认证体制的要求和技术是什么?

答:1.认证的目的有三个:一消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;三是消息的序号和操作时间〔时间性〕等的认证,目的是防止消息重放或延迟等攻击。

2.一个平安的认证体制至少应该满足以下要求:意定的接收者能够检验和证实消息的合法性,真实性和满足性;消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;除了合法的消息发送外,其他人不能伪造发送消息。

3.数字签名技术,一种实现消息完整性认证和身份认证的重要技术;身份认证技术,包括直接身份认证技术和间接身份认证技术;消息认证技术,包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。

5.什么是PKI?其用途有哪些?

答:PKI是一个用公钥密码算法原理和技术提供平安效劳的通用型根底平台,用户可利用PKI平台提供的平安效劳进展平安通信。PKI采用标准的密钥管理规那么,能够为所有应用透明地提供采用加密和数字签名等密码效劳所需要的密钥和证书管理。 6. 简述PKI的功能模块组成。

答:主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA、证书库、证书撤销、密钥备份和恢复、自动更新密钥、密钥历史档案、穿插认证、不可否认证、时间戳和客户端软件

第四章 防火墙技术

1. 简述防火墙的定义

答:防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通信进展控制,通过强制实施统一的平安策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以到达保护内部网络系统平安的目的。

2. 防火墙的主要功能有哪些?

答:防火墙是网络平安策略的有机组成局部,它通过控制和监制网络之间的信息交换和访问行为来实现对网络平安的有效管理。防火墙具有五大根本功能:过滤进、出网络的数据;和管理进、出网络的访问行为;封堵某些制止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

3. 防火墙的体系构造有哪几种?简述各自的特点。

答:1.双重宿主主机体系构造;屏蔽主机体系构造;屏蔽子网体系构造。

2.双重宿主主机体系构造是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当及这些接口相连的网络之间的路由器;它能够从一个网络往另一个网络发送IP数据包。双重宿主主机体系构造是由一台同时连接在内外网络的双重宿主主机提供平安保障的,而屏蔽主机体系构造那么不同,在屏蔽主机体系构造中,提供平安的主机仅仅及被保护的内部网络相连。屏蔽子网体系构造添加额外的平安层到屏蔽主机体系构造,即通过添加周边网络更进一步地把内部网络及Internet隔开。

4.简述包过滤防火墙的工作机制和包过滤模型。

答:1.包过滤防火墙工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进展过滤。数据包过滤技术是在网络层对数据包进展选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。

3. 包过滤型防火墙一般有一个包检查模块,可以根据数据包头的各项信息来控制站点及站点、站点及网络、网络及网络之间的访问,但不能控制传输的数据,因为内容是应用层数据。

4. 简述包过滤的工作过程。

答:1.数据包过滤技术可以允许或不允许某些数据包在网络上传输,主要依据有:数据包的源地址、目的地址、协议类型〔TCP、UDP、ICMP等〕、TCP或UDP的源端口和目的端口、ICMP消息类型。

2.包过滤系统只能进展类似以下情况的操作:不让任何用户从外部网用Telnet登录;允许任何用户用SMTP往内部网发电子邮件;只允许某台计算机通过NNTP往内部网发新闻。但包过滤不能允许进展如下的操作:允许某个用户从外部网用Telent登录而不允许其他用户进展这种操作;允许用户传送一些文件而不允许用户传送其他文件。

5.简述代理防火墙的工作原理,并阐述代理技术的优缺点。