下载文档原格式
习题一1-1简述计算机网络安全的定义。
计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。
计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
1-2计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。
计算机网络系统的脆弱性主要表现在以下几个方面:1.操作系统的安全脆弱性,操作系统不安全,是计算机不安全的根本原因。
2.网络系统的安全脆弱性(1)网络安全的脆弱性,(2)计算机硬件系统的故障,(3)软件本身的“后门”,(4)软件的漏洞。
3.数据库管理系统的安全脆弱性,DBMS的安全级别是B2级,那么操作系统的安全级别也应该是B2级,但实践中往往不是这样做的。
4.防火墙的局限性5.天灾人祸,如地震、雷击等。
天灾轻则造成业务工作混乱,重则造成系统中断或造成无法估量的损失。
6.其他方面的原因,如环境和灾害的影响,计算机领域中任何重大的技术进步都对安全性构成新的威胁等。
1-3 简述P2DR安全模型的涵义。
P2DR安全模型是指:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
策略,安全策略具有一般性和普遍性,一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。
防护,防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性,预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵。
检测,检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
响应,响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。
1、消息认证是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改,即验证消息的发送者是真正的而非假冒的(数据起源认证);同时验证信息在传送过程中未被篡改、重放或延迟等。
消息认证和信息保密是构成信息系统安全的两个方面,二者是两个不同属性上的问题:即消息认证不能自动提供保密性,保密性也不能自然提供消息认证功能。
2、消息鉴别码(Message Authentication Code )MAC是用公开函数和密钥产生一个固定长度的值作为认证标识,并用该标识鉴别信息的完整性。
MAC是消息和密钥的函数,即MAC = C K(M),其中M是可变长的消息,C 是认证函数,K是收发双方共享的密钥,函数值C K(M)是定长的认证码。
认证码被附加到消息后以M‖MAC方式一并发送给接收方,接收方通过重新计算MAC以实现对M的认证。
3、数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,并与解密的摘要信息进行对比,若相同则说明收到的信息完整,在传输过程中未被修改;否则说明信息被修改。
1)签名应与文件是一个不可分割的整体,可以防止签名被分割后替换文件,替换签名等形式的伪造。
2)签名者事后不能否认自己的签名。
3)接收者能够验证签名,签名可唯一地生成,可防止其他任何人的伪造。
4)当双方关于签名的真伪发生争执时,一个仲裁者能够解决这种争执。
4、身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。
它通过特定的协议和算法来实现身份认证。
身份认证的目的是防止非法用户进入系统;访问控制机制将根据预先设定的规则对用户访问某项资源进行控制,只有规则允许才能访问,违反预定安全规则的访问将被拒绝。
访问控制是为了防止合法用户对系统资源的非法使用。
5、1)基于口令的认证技术:当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交口令信息,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。
1、计算机系统的安全性包括狭义安全和广义安全两个方面。
狭义安全主要是对外部攻击的防范,广义安全则是保障计算机系统中数据保密性、数据完整性和系统可用性。
2、(1)硬件安全1)存储保护2)运行保护3)I/O 保护(2)身份认证(3)访问控制1)自主访问控制2)强制访问控制(4)最小特权管理(5)可信通道(6)安全审计机制3、数据库系统(Database System,简称DBS)是采用了数据库技术的计算机系统,通常由数据库、硬件、软件、用户四部分组成。
4、最小特权策略。
最小特权策略是指用户被分配最小的权限。
最大共享策略。
最大共享策略是在保密的前提下,实现最大程度的信息共享。
粒度适当策略。
数据库系统中不同的项被分成不同的颗粒,颗粒随小,安全级别越高,但管理也越复杂。
开放系统和封闭系统策略。
按内容访问控制策略。
按类型访问控制策略。
按上下文访向控制策略。
根据历史的访问控制策略。
5、常用的数据库备份方法有:冷备份、热备份和逻辑备份。
1)冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份,有称为“脱机备份”。
2)热备份是指当数据库正在运行时进行的备份,又称为“联机备份”。
3)逻辑备份逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件,该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的的一个映像。
因此逻辑备份文件只能用来对数据库进行逻辑恢复(即数据导入),而不能按数据库原来的存储特征进行物理恢复。
1、自然灾害、硬件故障、软件故障、人为原因、资源不足引起的计划性停机。
其中,软件故障和人为原因是数据失效的主要原因。
2、备份不仅只是对数据的保护,最终的目的就是为了在系统遇到人为或自然灾害情况下,能够通过备份内容对系统进行有效的灾难恢复。
所以,备份不仅是单纯的数据拷贝,更重要的是管理。
管理包括了备份的可计划性、磁带机的自动化操作、历史记录的保存以及日志记录等内容。
3、硬件级备份是指用冗余的硬件来保证系统的连续运行。
当主硬件损坏时可利用后备硬件接替其工作,所以这种方式能有效地防止硬件故障,但其无法防止数据的逻辑损坏。
软件级备份具有安装方便,界面友好,使用灵活;支持跨平台备份,支持文件打开状态备份;支持多种文件格式的备份,支持备份介质自动加载的自动备份;支持各种策略的备份方式的特点。
人工级备份的特点是简单和有效,但其恢复数据时较耗时。
4、还原数据是指用备份数据替代当前数据,以达到修复错误的目的。
恢复数据与还原数据相似,它使用备份文件去覆盖出错的数据,从而达到修复错误的目的。
当数据因误操作而完全丢失时,可借助数据恢复软件来实现找回现有数据的目的。
恢复数据的外延要大于还原数据,还原数据包含在恢复数据之中。
5、在数据库的使用过程中,由于数据库文件被频繁使用,从而造成数据库的损坏,因此要进行数据库的定期检测和修复。
选择题:1.B、2.A、3.C、4.B、5.D6.B、7.A、8.A填空题:1.UDP;TCP;端口号;2.可用性、机密性、完整性、可控性、不可抵赖性。
选择题:1.A、2.B、3.B、4.C、5.A6.D、7.C、8.B填空题:1.物理安全技术;基础安全技术;应用安全技术;?2.PDRR(安全生命周期模型)P:Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。
D:Detection(检测);R:Response(反应);R:Recovery(恢复)。
网络安全技术第2章1判断题1-1 密码编码学和密码分析学是密码学的两大相互对立的组成部分。
(√)1-2 链路加密方式适用于在广域网系统中应用。
(×)1-3 “符号对符号”加密方式是对简单替换的一种改进。
(√)1-4 “一次一密”属于序列密码中的一种。
(√)1-5 流密码属于对称加密方式。
(√)1-6 序列密码属于对称加密方式。
(√)1-7 Feistel是密码设计的一个结构,而非一个具体的密码产品。
(√)1-8 在实际应用中,DH算法主要用于为对称加密的密码传输提供共享信道。
(√)1-9 数字签名只能使用非对称加密方式来实现。
(×)2 填空题2-1 根据密码算法对明文处理方式的标准不同,可以将密码系统分为序列密码和分组密码。
2-2 链路加密方式需要对用户数据和控制信息(路由信息、校验和等)在每一个节点进行加密处理,而节点对节点加密方式仅对用户数据进行加密,路由信息和检验和等控制信息仍然以明文方式传输,以加快消息的处理速度。
2-3 利用公钥加密数据,然后用私钥解密数据的过程称为加密;利用私钥加密数据,然后用公钥解密数据的过程称为数字签名。
3 选择题3-1 非法接收者在截获密文后试图从中分析出明文的过程称为()A. 破译B. 解密C. 加密D. 攻击3-2 以下对于对称加密和非对称加密的比较,不正确的是()A. 对称加密的安全性要比非对称加密差B. 在相同环境下,对称加密的速度要比非对称加密慢C. 对称加密的实现算法比非对称加密简单D. 对称加密无法解决消息的确认问题,而非对称加密可以3-3 以下有关XOR操作的算法描述,错误的是()A. False XOR False=FalseB. True XOR False=TrueC. True XOR True=FalseD. False XOR True=True3-4 以下关于序列密码和分组密码的比较,不正确的是()A. 序列密码中明文和密码的二进制序列长度与密码序列的长度完全相同B. 序列密码的实现要比分组密码容易C. 序列密码的实现需要密码同步,而分组密码不需要D. 在相同环境下,序列密码系统的速度要比分组密码系统慢3-5 目前计算机网络中广泛使用的加密方式为()A. 链路加密B. 节点对节点加密C. 端对端加密D. 以上都是3-6 以下有关软件加密和硬件加密的比较,不正确的是()A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序B. 硬件加密的兼容性比软件加密好C. 硬件加密的安全性比软件加密好D. 硬件加密的速度比软件加密快3-7 下面有关A5/1加密算法的描述,不正确的是()A. 是一种流密码算法B. 一般是用于硬件方式来实现的C. 3个寄存器占用64位空间D. 密钥序列的长度小于要加密的明文长度3-8 下面有关Feistel密码结构的描述,不正确的是()A. 分组越大,安全性越高B. 密钥长度越长,安全性越高C. 循环次数越多,安全性越高D. 轮函数变换越多,安全性越高3-9 下面有关DES的描述,不正确的是()A. 是由IBM、Sun等公司共同提出的B. 其结构完全遵循Feistel密码结构C. 其算法是完全公开的D. 是目前应用最为广泛的一种分组密码算法3-10 3DES的密钥长度为()A. 168位B. 56位C. 112位D. 128位3-11 下面有关3DES的数学描述,正确的是()A. C=E(E(E(P, K1), K1), K1)B. C=E(D(E(P, K1), K2), K1)C. C=E(D(E(P, K1), K1), K1)D. C=D(E(D(P, K1), K2), K1)3-12 以下AES与DES的比较,不正确的是()A. DES使用Feistel密码结构,而AES没有B. DES以位为操作单位,而AES则以8位的字节为操作单位C. DES和AES都使用16轮函数操作D. DES和AES都使用了S盒3-13 下面有关MD5的描述,不正确的是()A. 是一种用于数字签名的算法B. 得到的报文摘要长度为固定的128位C. 输入以字节为单位D. 用一个8字节的整数表示数据的原始长度第3章1判断题1-1 PKI只涉及技术层面的问题。
第一章网络安全综述1.什么是网络安全?答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
2.网络安全包括哪些内容?答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面?答:1)物理威胁(1)身份识别错误。
(2)偷窃。
(3)间谍行为。
(4)废物搜寻。
2)系统漏洞造成的威胁(1)不安全服务。
(2)乘虚而入。
(3)配置和初始化。
3)身份鉴别威胁(1)编辑口令。
(2)口令破解。
(3)口令圈套。
(4)算法考虑不周。
4)线缆连接威胁(1)拨号进入。
(2)窃听。
(3)冒名顶替。
5)有害程序(1)病毒。
(2)更新或下载。
(3)特洛伊木马。
(4)代码炸弹。
4.在网络安全中,什么是被动攻击?什么是主动攻击?答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。
被动攻击分为两种,分别是析出消息内容和通信量分析。
被动攻击非常难以检测,因为它们并不会导致数据有任何改变。
然而,防止这些攻击是可能的。
因此,对付被动攻击的重点是防止而不是检测。
攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。
这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。
5.简述访问控制策略的内容。
答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
网络信息安全课后习题答案网络信息安全课后习题答案1:网络信息安全基础知识1.1 网络概述答案:网络是指多个计算机通过通信链路互相连接,共享数据和资源的集合体。
它可以分为局域网(LAN)、广域网(WAN)和互联网等不同规模和范围的网络。
1.2 网络攻击与防御答案:网络攻击指未经授权的对计算机或网络系统进行的恶意行为,包括计算机、、钓鱼等。
网络防御包括加强安全意识、使用防火墙、更新安全补丁等方法。
1.3 加密与解密答案:加密是指将信息转化为密文以保护其机密性,解密则是将密文转化为明文。
常用的加密算法有对称加密算法(如DES、AES)和非对称加密算法(如RSA)。
2:网络信息安全威胁与防护2.1 网络威胁类型答案:网络威胁包括计算机、网络蠕虫、僵尸网络、DoS攻击等。
它们可以造成数据丢失、系统瘫痪和信息泄露等后果。
2.2 防护措施答案:防护措施包括安装杀毒软件、及时打补丁、禁用不必要的服务和端口、设置合理的密码和访问控制、定期备份数据等。
3:网络安全管理与风险评估3.1 安全策略与规划答案:安全策略是指针对网络信息安全问题所制定的一系列准则和目标,包括技术措施、组织措施和管理措施等。
3.2 风险评估答案:风险评估是指针对网络系统进行的潜在威胁和可能损失的评估,通过分析风险的概率和后果,采取相应的措施进行安全管理。
3.3 安全事件管理答案:安全事件管理是指对网络安全事件的预防、检测、响应和恢复等过程的管理,包括日志审计、事件响应和应急演练等。
4:网络安全技术与应用4.1 防火墙技术答案:防火墙是指一种位于内网和外网之间的安全设备,通过过滤数据包和控制网络流量来防止未经授权的访问和攻击。
4.2 入侵检测与防御答案:入侵检测是指对网络系统进行实时监测和检测,以便及时发现并阻止未经授权的访问和攻击。
防御措施包括修补漏洞、监控网络流量等。
4.3 VPN技术答案:VPN(Virtual Private Network)是指一种虚拟的、私密的网络通信方式,通过对数据进行加密和隧道技术,使得用户可以安全地进行远程访问。
⽹络安全基础教程与实训答案⽹络安全复习题⼀.单项选择题1.在短时间内向⽹络中的某台服务器发送⼤量⽆效连接请求,导致合法⽤户暂时⽆法访问服务器的攻击⾏为是破坏了()。
A.机密性B.完整性C.可⽤性D.可控性2.数据完整性指的是()A 保护⽹络中各系统之间交换的数据,防⽌因数据被截获⽽造成泄密B 提供连接实体⾝份的鉴别C防⽌⾮法实体对⽤户的主动攻击,保证数据接受⽅收到的信息与发送⽅发送的信息完全⼀致D 确保数据数据是由合法实体发出的3.以下算法中属于⾮对称算法的是()A DESB RSA算法C IDEAD 三重DES4.在混合加密⽅式下,真正⽤来加解密通信过程中所传输数据(明⽂)的密钥是()A ⾮对称算法的公钥B对称算法的密钥C ⾮对称算法的私钥D CA中⼼的公钥5.有意避开系统访问控制机制,对⽹络设备及资源进⾏⾮正常使⽤属于()。
A.破环数据完整性B.⾮授权访问C.信息泄漏 D.拒绝服务攻击6.主机⽹络安全系统不能()。
A 结合⽹络访问的⽹络特性和操作系统特性B 根据⽹络访问发⽣的时间、地点和⾏为决定是否允许访问继续进⾏C 对于同⼀⽤户在不同场所赋予不同的权限D.保证绝对的安全7.在Windows Server 2003中“密码最长使⽤期限”策略设置的含义是( )。
A.⽤户更改密码之前可以使⽤该密码的时间B.⽤户更改密码之后可以使⽤该密码的时间C.⽤户可以使⽤密码的最长时间D.⽤户可以更改密码的最长时间8.防⽕墙通常被⽐喻为⽹络安全的⼤门,但它不能()A 阻⽌基于IP包头的攻击B阻⽌⾮信任地址的访问C鉴别什么样的数据包可以进出企业内部⽹D阻⽌病毒⼊侵9.⿊客利⽤IP地址进⾏攻击的⽅法有:()A IP欺骗B 解密C 窃取⼝令D 发送病毒10.防⽌⽤户被冒名所欺骗的⽅法是:()A对信息源发⽅进⾏⾝份验证B 进⾏数据加密C 对访问⽹络的流量进⾏过滤和保护D 采⽤防⽕墙11.防⽕墙技术指标中不包括( )。
1、可用性、机密性、完整性、非否认性、真实性和可控性。
这6个属性是信息安全的基本属性,其具体含义如下(1)可用性(Availability)。
即使在突发事件下,依然能够保障数据和服务的正常使用,如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。
(2)机密性(Confidentiality)。
能够确保敏感或机密数据的传输和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信的事实。
(3)完整性(Integrity)。
能够保障被传输、接收或存储的数据是完整的和未被篡改的,在被篡改的情况下能够发现篡改的事实或者篡改的位置。
(4)非否认性(non-repudiation)。
能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果,这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
(5)真实性(Authenticity)。
真实性也称可认证性,能够确保实体(如人、进程或系统)身份或信息、信息来源的真实性。
(6)可控性(Controllability)。
能够保证掌握和控制信息与信息系统的基本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。
2、信息安全是一个古老而又年轻的科学技术领域。
纵观它的发展,可以划分为以下四个阶段:(1)通信安全发展时期:从古代至20世纪60年代中期,人们更关心信息在传输中的机密性。
(2)计算机安全发展时期:计算机安全发展时期跨越20世纪60年代中期至80年代中期。
(3)信息安全发展时期:随着信息技术应用越来越广泛和网络的普及,20世纪80年代中期至90年代中期,学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视,人们所关注的问题扩大到前面提到的信息安全的6个基本属性。
在这一时期,密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展,尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用,因此,这个时期也可以称为网络安全发展时期。
网络安全习题及答案第5章1判断题1-1 TCP/IP是ARPAnet中最早使用的通信协议。
(×)1-2 TCP/IP最早应用在ARPAnet中。
(√)1-3 由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以TCP是面向字节流的可靠的传输方式。
(√)1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系,而不会保存以广播形式接收到的IP和MAC的对应关系。
(×)1-5 ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。
(×)1-6 DHCP服务器只能给客户端提供IP地址和网关地址,而不能提供DNS的IP地址。
(×)1-7 TCP和UDP一样都是面向字节流的数据传输方式。
(×)1-8 在使用DNS的网络中,只能使用域名来访问网络,而不能使用IP地址。
(×)1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录,将域名指向错误的IP地址。
(×)1-10 在DNSSEC系统中,只要在DNS服务器之间进行安全认证,而不需要在DNS客户端进行安全认证。
(×)2 填空题2-1 在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。
2-2 用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。
2-3 TCP SYN泛洪攻击属于一种典型的DOS 攻击。
2-4 DNS同时调用了TCP和UDP的53端口,其中UTP 53 端口用于DNS客户端与DNS服务器端的通信,而TCP 53 端口用于DNS 区域之间的数据复制。
3 选择题3-1 下面关于IP协议的描述,不正确的是(B )A. 提供一种“尽力而为”的服务B. 是一种面向连接的可靠的服务C. 是TCP/IP体系网络层唯一的一个协议D. 由于IP协议的PDU称为分组,所以IP网络也称为分组网络3-2 下面关于ARP工作原理的描述,不正确的是(C )A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C. ARP请求报文可以跨网段传输D. ARPA是通过AMC查询对应的IP地址3-3 ARP欺骗的实质是(A )A. 提供虚拟的MAC与IP地址的组合B. 让其他计算机知道自己的存在C. 窃取用户在网络中传输的数据D. 扰乱网络的正常运行3-4 在Windows操作系统中,对网关IP和MAC地址进行绑定的操作为(C )A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ffB. ARP –d 192.168.0.1 00-0a-03-aa-5d-ffC. ARP –s 192.168.0.1 00-0a-03-aa-5d-ffD. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff3-5 无法提供DHCP服务的设备可能是( C )A. 无线路由器B. 交换机C. 集线器D. 运行Windows 2008操作系统的计算机3-6 DHCP Snooping的功能是(B )A. 防止ARP欺骗B. 防止DHCP欺骗C. 进行端口与MAC地址的绑定D. 提供基于端口的用户认证3-7 TCP SYN泛洪攻击的原理是利用了(A )A. TCP三次握手过程B. TCP面向流的工作机制C. TCP数据传输中的窗口技术D. TCP连接终止时的FIN报文3-8 在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行( D )A. ARP –aB. ipconfig/allC. netstat –nabD. ne -ab3-9 DNS的功能是( B )A. 建立应用进程与端口之间的对应关系B. 建立IP地址与域名之间的对应关系C. 建立IP地址与MAC地址之间的对应关系D. 建立设备端口与MAC地址之间的对应关系3-10 当用户通过域名访问某一合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是( D )A. ARP欺骗B. DHCP欺骗C. TCP SYN攻击D. DNS缓存中毒3-11 DNSSEC中并未采用( C )A.数字签名技术B. 公钥加密技术C. 对称加密技术D. 报文摘要技术第6章1判断题1-1 计算机病毒只会破坏计算机的操作系统,而对其他网络设备不起作用。
第1章 网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性 B.完整性 C.可用性 D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机 B.路由器 C.服务器 D.防火墙 (4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件 B.使用日志审计系统 C.使用入侵检测系统 D.使用防火墙防止内部攻击
2. 填空题 (1)网络安全的基本要素主要包括 机密性 、 完整性 、 可用性 、可控性与不可抵赖性。 (2) 网络安全 是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3) 网络钓鱼 是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4) 防火墙 是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5) 入侵检测 是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。 (6)Vmware虚拟机里的网络连接有三种,分别是桥接、 仅主机 、 网络地址转换 。 (7)机密性指确保信息不暴露给 未授权 的实体或进程 。 3. 简答题 (1)简述网络安全的基本要素。 答:网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)简述网络安全主要研究哪些技术。 答:常见的网络安全技术:网络攻击与防范、信息加密技术、防火墙技术、入侵检测技术与入侵防御技术、上网行为管理、VPN技术、防病毒技术、操作系统安全等。 (3)Cisco Packet Tracer与GNS3有何区别。 答:GNS3的一个最大优点是能够模拟真实的IOS,它不仅可以模拟路由器、交换机,而且还可以模拟Cisco PIX、Cisco ASA、Cisco IDS、Jniper的路由器等设备。GNS3不同于Boson NetSim for CCNP 7.0,也不同于Cisco公司的Cisco Packet Tracer 5.0,因为Boson NetSim for CCNP 7.0与Cisco Packet Tracer 5.0都是基于软件来模拟IOS的命令行,而对于GNS3是采用真实的IOS来模拟网络环境,这是它最大的一个特点。
第2章 网络攻击与防范
练习题 1. 单项选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。
A.机密性 B.完整性 C.可用性 D.可控性 (2)有意避开系统访问控制机制,对网络设备及资源进行非正常使用属于( B )。
A.破环数据完整性 B.非授权访问 C.信息泄漏 D.拒绝服务攻击 (3)( A )利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息。
A.嗅探程序 B.木马程序 C.拒绝服务攻击 D.缓冲区溢出攻击 (4)字典攻击被用于( D )。
A.用户欺骗 B.远程登录 C.网络嗅探 D.破解密码 (5)ARP属于( A )协议。
A.网络层 B.数据链路层 C.传输层 D.以上都不是 (6)使用FTP协议进行文件下载时( A )。 A.包括用户名和口令在内,所有传输的数据都不会被自动加密 B.包括用户名和口令在内,所有传输的数据都会被自动加密 C.用户名和口令是加密传输的,而其它数据则以文明方式传输 D.用户名和口令是不加密传输的,其它数据则以加密传输的 (7)在下面4种病毒中,( C )可以远程控制网络中的计算机。 A.worm.Sasser.f B.Win32.CIH C.Trojan.qq3344 D.Macro.Melissa 2. 填空题
(1)在以太网中,所有的通信都是____广播____________的。 (2)网卡一般有4种接收模式:单播、_____组播___________、_______广播_________、______混杂__________。 (3)Sniffer的中文意思是_____嗅探器___________。 (4)____DDoS____________攻击是指故意攻击网络协议实现的缺陷,或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃, (5)完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。中了木马就是指安装了木马的_______服务器端_________程序。
3. 综合应用题 木马发作时,计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包,导致网络用户上网不稳定,甚至网络短时瘫痪。根据要求,回答问题1至问题4,并把答案填入下表对应的位置。 (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) C C A B C A D D B A C 【问题1】 ARP木马利用(1)协议设计之初没有任何验证功能这一漏洞而实施破坏。 (1)A.ICMP B.RARP C.ARP D.以上都是 【问题2】 在以太网中,源主机以(2)方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以(3)方式返回一个含有目的主机IP地址及其MAC地址对的应答包。源主机将这个地址对缓存起来,以节约不必要的ARP通信开销。ARP协议(4)必须在接收到ARP请求后才可以发送应答包。 备选答案: (2)A.单播 B.多播 C.广播 D.任意播 (3)A.单播 B.多播 C.广播 D.任意播 (4)A.规定 B.没有规定 【问题3】 ARP木马利用感染主机向网络发送大量虚假ARP报文,主机(5)导致网络访问不稳定。例如:向被攻击主机发送的虚假ARP报文中,目的IP地址为(6)。目的MAC地址为(7)。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器,并抓包截取用户口令信息。 备选答案: (5)A.只有感染ARP木马时才会 B.没有感染ARP木马时也有可能 C.感染ARP木马时一定会 D.感染ARP木马时一定不会 (6)A.网关IP地址 B.感染木马的主机IP地址 C.网络广播IP地址 D.被攻击主机IP地址 (7)A.网关MAC地址 B.被攻击主机MAC地址 C.网络广播MAC地址 D.感染木马的主机MAC地址 【问题4】 网络正常时,运行如下命令,可以查看主机ARP缓存中的IP地址及其对应的MAC地址。 C:\> arp(8) 备选答案: (8)A.-s B.-d C.-all D.-a 假设在某主机运行上述命令后,显示如图2.51中所示信息: 图2.51 查看主机ARP缓存
00-10-db-92-aa-30是正确的MAC地址,在网络感染ARP木马时,运行上述命令可能显示如图2。52中所示信息: 图2.52 查看感染木马后的主机ARP缓存
当发现主机ARP缓存中的MAC地址不正确时,可以执行如下命令清除ARP缓存: C:\> arp(9) 备选答案: (9)A.-s B.-d C.-all D.-a 之后,重新绑定MAC地址,命令如下: C:\> arp -s(10)(11) (10)A. C.00-10-db-92-aa-30 D.00-10-db-92-00-31 C.00-10-db-92-aa-30 D.00-10-db-92-00-31
第3章 信息加密技术 练习题 1. 单项选择题 (1)就目前计算机设备的计算能力而言,数据加密标准DES不能抵抗对密钥的穷举搜索攻击,其原因是( B ) A.DES算法是公开的 B.DES的密钥较短 C.DES除了其中S盒是非线性变换外,其余变换均为线性变换 D.DES算法简单 (2)数字签名可以做到( C )。 A.防止窃听 B.防止接收方的抵赖和发送方伪造 C.防止发送方的抵赖和接收方伪造 D.防止窃听者攻击 (3)下列关于PGP(Pretty Good Privacy)的说法中不正确的是 ( D ) 。 A.PGP可用于电子邮件,也可以用于文件存储 B.PGP可选用MD5和SHA两种Hash算法 C.PGP采用了ZIP数据压缩算法 D.PGP不可使用IDEA加密算法 (4)为了保障数据的存储和传输安全,需要对一些重要数据进行加密。由于对称密码算法( ① C ), 所以特别适合对大量的数据进行加密。DES实际的密钥长度是( ② A )位。 ① A.比非对称密码算法更安全 B.比非对称密码算法密钥长度更长 C.比非对称密码算法效率更高 D.还能同时用于身份认证 ② A.56B.64C.128D.256 (5)使用TELNET协议进行远程管理时,( A )。 A.包括用户名和口令在内,所有传输的数据都不会被自动加密 B.包括用户名和口令在内,所有传输的数据都会被自动加密 C.用户名和口令是加密传输的,而其它数据则以文明方式传输 D.用户名和口令是不加密传输的,其它数据则以加密传输的 (6)以下不属于对称密码算法的是( D )。 A.IDEA B.RC C.DES D.RSA (7)以下算法中属于非对称算法的是( B )。 A.Hash算法 B.RSA算法 C.IDEA D.三重DES
(8)以下不属于公钥管理的方法有( D )。 A.公开发布 B.公用目录表 C.公钥管理机构 D.数据加密
(9)以下不属于非对称密码算法特点的是( D )。 A.计算量大 B.处理速度慢 C.使用两个密码 D.适合加密长数据
2. 填空题
