【自动保存】第一章网络安全综述1．什么是网络安全？答...

CoCO-Ebook 2017-09-11

展开全文

第一章网络安全综述

1．什么是网络安全？

答：国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

美国国家安全电信和信息系统安全委员会（NSTISSC）对网络安全作如下定义：网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。

2．网络安全包括哪些内容？

答：1）物理安全（1）防静电（2）防盗（3）防雷击（4）防火（5）防电磁泄漏

2）逻辑安全（1）用户身份认证（2）访问控制（3）加密（4）安全管理 3）操作系统安全 4）联网安全 3．网络安全面临的威胁主要来自哪几方面？答：

1) 物理威胁（1）身份识别错误。（2）偷窃。（3）间谍行为。（4）废物搜寻。 2) 系统漏洞造成的威胁（1）不安全服务。（2）乘虚而入。（3）配置和初始化。 3) 身份鉴别威胁（1）编辑口令。（2）口令破解。（3）口令圈套。（4）算法考虑不周。 4) 线缆连接威胁（1）拨号进入。（2）窃听。（3）冒名顶替。

5) 有害程序（1）病毒。（2）更新或下载。（3）特洛伊木马。（4）代码炸弹。 4．在网络安全中，什么是被动攻击？什么是主动攻击？

答：被动攻击本质上是在传输中的窃听或监视，其目的是从传输中获得信息。被动攻击分为两种，分别是析出消息内容和通信量分析。

被动攻击非常难以检测，因为它们并不会导致数据有任何改变。然而，防止这些攻击是可能的。因此，对付被动攻击的重点是防止而不是检测。

攻击的第二种主要类型是主动攻击，这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。这些攻击还能进一步划分为四类：伪装、重放、篡改消息和拒绝服务。

5．简述访问控制策略的内容。

答：访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面分别叙述各种访问控制策略。

1) 入网访问控制 2) 网络的权限控制 3) 目录级安全控制 4) 属性安全控制 5) 网络服务器安全控制 6) 网络监测和锁定控制 7) 网络端口和节点的安全控制

8) 防火墙控制（1）包过滤防火墙（2）代理防火墙（3）双穴主机防火墙

第二章物理安全

（1）什么是实体（物理）安全？它包括哪些内容？

答：实体安全（Physical Security）又叫物理安全，是保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全，及实体访问控制和应急处置计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。总结起来，实体安全的内容包括以下4点：（1）设备安全（2）环境安全（3）存储媒体安全（4）硬件防护

（2）简述机房洁净度、温度和湿度要求的主要内容。

答：

1洁净度要求。机房尘埃颗粒直径小于0.5μｍ，平均每升空气含尘量小于1万颗。灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；灰尘还会增加机械磨损，尤其对驱动器和盘片，灰尘不仅会使读出、写入信息出现错误，而且会划伤盘片，甚至损坏磁头。

2温度要求。计算机系统内有许多元器件，不仅发热量大而且对高温、低温敏感。机房温度一般应控制在18~24℃，即（22±2）℃。温度过低会导致硬盘无法启动，过高会使元器件性能发生变化，耐压降低，导致不能工作。总之，环境温度过高或过低都容易引起硬件损坏。统计数据表明：温度超过规定范围时，每升高10℃，机器可靠性下降25%。

3湿度要求。计算机对空气湿度的要求相对较高，最佳范围是40％至70％。湿度过大，会使电脑元件的接触性变差，甚至被腐蚀，电脑也就容易出现硬件方面的故障。另一方面，如果机房湿度过低，又不利于机器内部随机动态存储器关机后存储电量的释放，也容易产生静电。为了避免因空气干燥引起的静电，机房最好铺上防静电地毯（在地毯的编织过程中加入细金属丝）。

（3）什么是接地系统？地线种类分为哪几类？

答：接地是指系统中各处电位均以大地为参考点，地为零电位。接地可以为计算机系统的数字电路提供一个稳定的低电位（0V），可以保证设备和人身的安全，同时也是避免电磁信息泄漏必不可少的措施。

接地种类有静电地、直流地、屏蔽地、雷击地、保护地。（4）简述电磁防护的主要措施

答：目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可分为以下两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

（5）怎样确保保存在硬盘中的数据安全？

答：从功能上讲，硬盘的数据安全设计分为机械防护、状态监控、数据转移和数据校验4种。（1）机械防护（2）状态监控（3）数据转移（4）数据校验

第三章防火墙

1 网络安全中防火墙的概念

答：网络术语中所说的防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。 2．防火墙的发展简史经过了哪几个时代？每个时代都有哪些特点？

答：（1）第一代防火墙——基于路由器的防火墙

特点：① 利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤。 ② 过滤判决的依据可以是：地址、端口号、IP地址及其他网络特征。③ 只有分组过滤功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作为防火墙。

（2）第二代防火墙——用户化的防火墙

特点：① 将过滤功能从路由器中独立出来，并加上审计和报警功能。 ② 针对用户需求，提供模块化的软件包。 ③ 软件可通过网络发送，用户可自己动手构造防火墙。 ④ 与第一代防火墙相比，安全性提高而价格降低了。

（3）第三代防火墙——建立在通用操作系统上的防火墙

特点：① 是批量上市的专用防火墙产品。② 包括分组过滤或借用了路由器的分组过滤功能。③ 装有专用的代理系统，监控所有协议的数据和指令。 ④ 保护用户编程空间和用户可配置内核参数的设置。 ⑤ 安全性和速度大为提高。（4）第四代防火墙——具有安全操作系统的防火墙

特点：① 防火墙厂商具有操作系统的源代码，并可实现安全内核。② 对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护。③ 对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁。④ 在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能。⑤ 透明性好，易于使用。 3．防火墙有哪几种类型？

答：1）.数据包过滤型防火墙 2）.应用级网关型防火墙 3）.代理服务型防火墙 4）.复合型防火墙 4．根据不同的需要，防火墙在网中的配置有很多方式。

答：防火墙将极大地增强内部网和Web站点的安全。根据不同的需要，防火墙在网中的配置有很多方式。

1．Web服务器置于防火墙之内 2．Web服务器置于防火墙之外 3．Web服务器置于防火墙之上

第五章密码学

一．问题题

1 、简述密码系统的组成，并解释以下概念：密码算法、明文、密文、加密、解密、密钥。

答：密码系统的组成：一个完整的信息加密系统至少包括下面四个组成部分：（1）未加密的报文，也称为明文。（2）加密后的报文，也称为密文。（3）用于加密解密的设备或算法。（4）加密解密的密钥。

密码算法：加密算法和解密算法统称为密码算法明文：消息的初始形式。密文：加密后的形式。

加密：对明文进行加密操作时所采用的一组规则称作加密算法(Encryption Algorithm)。解密：接收者对密文解密所采用的一组规则称为解密算法(Decryption Algorithm)。密钥：密钥可视为加密/解密算法（密码算法）中的可变参数。改变密钥即改变明文与密文之间等价的数学函数关系。

2、对称密码技术中密钥有几个，能否通过一个密钥推导出另外一个密钥？

答：在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。不能通过一个密钥推导出另外一个密钥。 3、DES算法中，如何生成密钥，其依据的数学原理是什么。答：生成密钥的过程如下。

第一步：变换明文。对给定的64位比特的明文X，首先通过一个置换IP表来重新排列X，从而构造出64位比特的X0，X0=IP(x)=L0R0，其中L0表示X0的前32比特，R0表示X0的后32位。

第二步：按照规则迭代。规则为： Li = Ri-1

Ri = Li-1⊕f(Ri-1,Ki) （i=1,2,3?16）

经过第一步变换已经得到L0和R0的值，其中符号⊕表示的数学运算异或，f表示一种置换，由S盒置换构成，Ki是一些由密钥编排函数产生的比特块。

第三步：对L16R16利用IP-1作逆置换，就得到了密文y。它依据的数学原理是穷举法。

4、RSA算法依据的数学原理是什么，RSA 与DES相比，有哪些不同？

答：RSA(Rivest-Shamir-Adleman)算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数。一个用来做对外公开的公钥（Public key），另一个不告诉任何人，称为私钥（Private key）。

RSA算法主要用到一个著名的数学定理：费尔马小定理(little Fermat theo-rem)。 5、加密在现实中的应用有哪些？请举例说明。

答：

1) 加密技术在网络通信中的应用对于网络通信来说，可采用以下措施进行加密传输。（1）

链路加密。（2）端-端加密。 2) 在电子商务方面的应用 3) 加密技术在VPN中的应用 4) PGP加密应用

6、PGP 软件其密钥管理的特点是什么，是否安全？

答：PGP软件采用了混合加密算法，主要有三个主要功能：

? 使用IDEA加密算法对文件进行加密，加密文件只能由知道密钥的人解密阅读。 ? 使用公钥加密RSA对电子邮件进行加密，加密的电子邮件只有收件人才能解密阅读。 ? 使用公钥加密技术对文件或邮件进行数字签名，使用起草人的公开密钥鉴别真伪。在具体实现中，PGP软件采用公钥机制，要用到一对密钥，分别是“公钥”和“私钥”。通常，由私钥加密的信息，可以并且仅可以由与之对应的公钥解密，而由公钥加密的信息，可以并且仅可以由与之对应的私钥解密，这就是互补性。

PGP在安全性问题上的精心考虑体现在PGP的各个环节。比如每次加密的实际密钥是个随机数，大家都知道计算机是无法产生真正的随机数的。PGP程序对随机数的产生是很审慎的，关键的随机数像RSA密钥的产生是从用户敲键盘的时间间隔上取得随机数种子的。因此安全性较好。

第六章数据安全与病毒防范

一、数据安全

1．数据加密的基本功能包括那些？答：数据加密的基本功能包括：

1) 防止不速之客查看机密的数据文件； 2) 防止机密数据被泄露或篡改；

3) 防止特权用户(如系统管理员)查看私人数据文件； 4) 使入侵者不能轻易地查找一个系统的文件。 2. 简述数据备份的种类。

答：数据备份按所备份数据的特点可分为完全备份、增量备份和系统备份。

完全备份是指对指定位置的所有数据都备份，它占用较大的空间，备份过程的时间也较长。增量备份是指数据有变化时对变化的部分进行备份，它占用空间小，时间短。完全备份一般在系统第一次使用时进行，而增量备份则经常进行。系统备份是指对整个系统进行备份。它一般定期进行，占用空间较大，时间较长。

3.简述数据备份的常用方法。

答：可移动存储备份、可移动硬盘备份、本机多硬盘备份、磁带备份、网络备份 4. 数据库访问安全的内容是什么？

答：数据库密码管理、用户级安全机制、数据库编码/解码、生成MDE文件、设置“启动”选项

二、病毒防范

1．什么是计算机病毒？计算机病毒有哪些特点？又是怎样分类的呢？

答：计算机病毒(Computer Virus)是一种人为制造的，能够进行自我复制的，具有对计算机资源的破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似于生物病毒，它能把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制——主动传染；另一方面，当文件被复制或在网络中从一个用户传送到另一个用户时——被动传染，它们就随同文件一起蔓延开来。

计算机病毒的特点有寄生性、隐蔽性、传染性、破坏性、可触发性 2．简述计算机病毒的预防措施。

答：（l）用管理手段预防计算机病毒的传染。

（2）用技术手段预防计算机病毒的传染。 3. 列举几种常用的杀毒软件。

答：卡巴斯基Kaspersky Anti-Virus Personal(AVP)、NOD32、

诺顿、瑞星杀毒软件、360安全卫士、BitDefender、F-Secure Anti-Virus、PC-cillin、McAfee VirusScan

第七章操作系统与局域网安全

（1）简述操作系统安全机制设计原则

答：开放设计原则、完全检查、最小特权原则、机制的经济性、基于许可、易用性、多重防护、最少公用机制（2）Linux 有哪些特性？

答：开放性、多用户、多任务、良好的用户界面、设备独立性、供了丰富的网络功能、可靠的系统安全、良好的可移植性

（3）怎样把硬盘从FAT 格式到NTFS 格式的转换。

答：如果我们想将FAT卷转换为NTFS卷，可以无需备份原有文件系统而直接进行转换，Windows 2003可在任何时候使用Convert转换工具将FAT卷转换为NTFS卷，而且不会改变原有的文件数据。但要注意：从FAT卷转换而来的NTFS卷的性能没有直接格式化为NTFS卷的性能好，另外，转换过程是不可逆的，即不能从NTFS卷转换为FAT卷。

Convert的命令语法为：Convert volume /FS:NTFS [/V] （4）UNIX系统安全的内容包括哪些？

答：安全管理、用户管理、文件系统安全、作为root运行的程序

（5）简述无线局域网的标准有哪几类？

答：IEEE的802.11标准系列、ETSI的HiperLan2、HomeRF （6）无线局域网安全协议有哪几类？

答：WEP协议、IEEE 802.11i安全标准、WAPI协议（7）列举常用的两种无线网络设备。

答：无线网卡、无线网桥Wireless Bridge 、天线、AP接入点（8）简述无线网络安全防范措施。

答：正确放置网络的接入点设备、利用MAC阻止黑客攻击、WEP协议的重要性、WEP协议不是万能的、简化网络安全管理、不能让非专业人员构建无线网络

（9）简述身份认证与口令安全

通过用户名和口令进行身份认证是最简单，也是最常见的认证方式，但是认证的安全强度不高。所有的多用户系统、网络服务器、Web的电子商务等系统都要求提供用户名或标识符（ID），还要求提供口令。系统将用户输入的口令与以前保存在系统中的该用户的口令进行比较，若完全一致则认为认证通过，否则不能通过认证。

根据处理方式的不同，有3种方式：口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令，这3种方式的安全强度依次增高，处理复杂度也依次增大。