计算机网络安全课后答案.docx
《计算机网络安全课后答案.docx》由会员分享,可在线阅读,更多相关《计算机网络安全课后答案.docx(34页珍藏版)》请在冰点文库上搜索。
计算机网络安全课后答案
计算机网络安全课后答案
计算机网络安全课后答案
第1章
1、填空题
1.从广义上说,凡是涉及到网络上信息的机密性、完整性、可用性、真实性、抗否认性和可控性的相关技术和理论都是网络安全所要研究的领域。
2.网络安全包括物理安全、运行安全和数据安全三个层次。
3.常用的保密技术包括防帧收、防辐射、信息加密。
4.保障网络信息完整性的主要方法有协议、纠错编码方法、密码校验和方法、数字签名、公证。
5.网络信息系统的安全缺陷通常包括搭线、串音、网络的规模。
6.网络安全的研究领域,一般大致分为社会经济领域、技术领域、电子商务领域。
2、问答题
1.简述网络安全的含义。
答:
国际标准化组织(ISO)对计算机系统安全的定义是:
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:
通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
2.网络安全的目标有哪些?
答:
机密性、完整性、可用性、真实性、抗否认性和可控性。
3.简述网络安全的研究内容有哪些?
答:
网络安全技术研究大致可以分为基础技术研究、防御技术研究、攻击技术研究、安全控制技术和安全体系研究。
4.常见网络存在的安全威胁有哪些?
请简要回答。
答:
常见的有计算机病毒,拒绝服务攻击,内部、外部泄密,蠕虫,逻辑炸弹,信息丢失、篡改、销毁,特洛伊木马,黑客攻击,后门、隐蔽通道等。
5.简述网络安全威胁存在的原因。
答:
1.网络建设之初忽略了安全问题。
2.协议和软件设计本身的缺陷。
3.操作系统本身及其配置的安全性。
4.没有集中的管理机构和同意的政策。
5.应用服务的访问控制、安全设计存在漏洞。
6.安全产品配置的安全性。
7.来自内部网用户的安全威胁。
8.网络病毒和电子邮件病毒。
第2章
一、填空题
1.基于密钥的算法通常有对称算法和非对称加密算法两类
2.密码体制从原理上可分为单钥密码体制和双钥密码体制两大类
3.在计算机网络系统中,数据加密方式有链路加密、节点加密、端到端加密等三种
4.DES算法是作为第一个公开了加密原理的算法
5.密钥管理的种类包括初始密钥、会话密钥、密钥加密密钥、主密钥
6.密钥的管理需要借助于加密、认证、签字、协议、公证等技术
7.PGP是一个基于RSA公钥加密体系的邮件加密软件
8.PGP内核使用PKZIP算法来压缩加密钱的明文
二、简答题
1.常用的密码分析攻击类型有哪些?
唯密文攻击、已知明文攻击、选择明文攻击、自适应选择明文攻击、选择密文攻击、选择密钥攻击、软磨硬泡攻击。
2.简述端到端加密与节点链路加密相加其所不具有的优点。
1)成本低
2)端到端加密比链路加密更安全
3)端到端可以由用户提供,因此对用户来说这种加密方式比较灵活。
3.单钥密码体系的缺陷有哪些?
1)密钥管理麻烦
2)不能提供法律证据
3)缺乏自动检测保密密钥泄露的能力
4.RSA公钥密码体制的优点有哪些?
1)数学表达式简单,在公钥管理密码体系中是最容易理解和实现的一个。
2)RSA的安全性基于大数分解的困难性。
3)RSA公钥管理体制具有一些传统密码体制不能实现的一些功能,如认证、数字签名、鉴别等,特别适合于现代密码通讯。
第3章
一、填空题
1.数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。
2.数字签名的目的是为了保证信息的完整性和真实性。
3.CA体系由审核授权部门和证书操作部门构成。
4.电子证书是进行安全通信的必备工具,它保证信息传输的保密性、数据完整性、不可抵赖性、交易者身份的确定性。
5.X.509数字证书包括单向鉴别、双向鉴别、三向鉴别三个可选的鉴别过程。
二、问答题
1.简述数字签名技术的基本原理。
答:
数字签名技术在原理上,首先用报文分解函数,把要签署的文件内容提炼为一个很长的数字,称为报文分解函数值。
签字人用公开密钥和解密系统中的私有密钥加密这个报文,分解函数值,生成所谓的“数字签名”。
2.什么是认证中心?
电子商务的交易过程中为什么必须设定CA?
答:
CA机构,又称为证书授权中心,作为电子商务交易中受信任和具有权威的第三方,承担公钥体系中心公钥的合法性检验的责任。
为了保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行检验,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
3.简述CA的结构层次关系。
答:
CA体系具有一定的层次结构,它由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次结构,上一级CA负责下一级CA数字证书的申请。
签发及管理工作。
4.简述CA在密码管理方面的作用有那些?
答:
(1)自身密钥的产生、存储、备份/恢复、归档和销毁。
(2)提供密钥生成和分发服务。
(3)确定客户密钥生存周期,实施密钥吊销和更新管理。
(4)为安全加密通信提供更安全密钥管理服务。
(5)提供密钥托管和密钥恢复服务。
(6)其他密钥生成和管理,密码运算功能。
5.标准X.509数字证书包含那些内容?
答:
(1)证书的版本信息。
(2)证书的序列号,每个证书都有一个唯一的证书序列号。
(3)证书使用的签名算法。
(4)证书的发行机构名称。
(5)证书的有效期。
(6)证书所有人的名称。
(7)证书所有人的公开密钥。
(8)证书发行者对证书的签名。
6.电子商务认证中心的安全结构包括那些内容?
答:
认证中心的安全结构包括物理与环境安全、网络安全、应用业务系统与数据安全、人员安全与日常操作管理、系统连续性管理这几大环节。
第4章
一、填空题
1.防火墙体系结构可以分为屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。
2.屏蔽主机型防火墙主要由提供安全保护的堡垒主机和屏蔽路由器组成。
3.内部路由器位于内部网和DMZ之间,用于保护内部网不受DMZ和internet的侵害。
4构筑堡垒主机的基本原则有最简化原则和预防原则。
5.堡垒主机的种类有无路由双宿主主机、牺牲主机、内部堡垒主机三种类型。
6.代理技术一般有应用级网关技术、电路级网关技术两种。
7.防火墙一般使用用户身份、客户身份、基于会话的身份三种验证方式。
8.地址翻译主要有静态翻译、动态翻译、端口转换三种模式。
9.VPN的安全协议有SOCKSv5协议、IPSec协议、PPTP/L2PT协议三种。
二、问答题
1.防火墙的基本功能有哪些?
答:
1)能强化安全策略
2)能对网络进行监控
3)可以通过网络地址转换功能方便地部署内部网络的IP地址
4)集中安全性。
5)隔离不同网络,防止内部信息的外泄。
2.简述防火墙的不足之处。
答:
1)不能防备全部网络安全问题。
2)不能防范已感染了病毒的文件和软件在网络上进行传送。
3)防火墙的存在,限制了一些有用的网络服务。
4)防火墙无法防范通过防火墙以外的其他途径的攻击。
5)可靠性和可用性。
3.什么是DMZ?
简述DMZ的作用。
答:
DMZ最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。
进一步被指为不信任系统提供服务的鼓励网络段。
他是一个孤立的网络,通常把不信任的系统放在那里,DMZ中的系统与其他网络分开。
在一般的情况下,DMZ配置成使用internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行传输是严格禁止的。
4.防火墙的主要技术有哪几种?
答:
包过滤技术、代理技术、电路级网关、状态包检查技术。
5.简述包过滤型防火墙的优缺点。
答:
优点:
处理包的速度比代理服务器快。
实现包过滤几乎不需要费用。
包过滤路由器对用户和应用来讲是透明的。
缺点:
1)防火墙维护比较困难,定义数据包过滤器比较复杂。
2)只能阻止一种类型的IP欺骗。
3)任何直接经过路由器的数据包都有被用作数据驱动攻击的潜在危险。
4)一些包过滤网关不支持有效的用户认证。
5)不可能提供有用的日志或根本不提供。
6)随着过滤器数目的增加,路由器的吞吐量会下降。
7)IP包过滤无法对网络上流动的信息提供全面的控制。
8)允许外部网络直接连接到内部网络的主机上,易造成敏感数据的泄漏。
6.简述状态检查防火墙的工作原理及特点。
答:
他对每个通过防火墙的数据包都要进行检查,看这些数据包是否属于一个已经通过防火墙并且正在进行连接的会话,或者基于一组与包过滤规则相似的规则集对数据包进行处理。
特点:
1)连接表的使用大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。
2)他能够对特定类型的数据进行检查。
第5章
1、填空题
1.入侵者可以分为外部入侵者和内部入侵者。
2.入侵检测系统包含事件产生器、事件分析器、响应单元、事件数据库四个组件。
3.根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统两大类。
4.主机文件检测的检测对象主要包括系统日志、文件系统、进程记录。
5.入侵检测系统的检测分析技术主要分为异常检测和误用检测两大类。
6.目前,异常检测技术主要分为统计分析异常检测、贝叶斯推理异常检测、神经网络异常检测、模式预测异常检测、数据采掘异常检测、机器学习异常检测几种类型。
7.误用检测技术主要分为专家系统误用检测、特征分析误用检测、模型推理误用检测、条件概率误用检测、键盘监控误用检测几种类型。
二、问答题
1.什么叫入侵检测系统?
入侵检测系统的主要功能有哪些?
答:
定义:
入侵检测系统是一种能够通过分析系统安全数据来检测入侵活动的系统。
功能:
1)监测并分析用户和系统的活动
2)检查系统配置和漏洞
3)评估关系关键资源和数据文件的完整性
4)识别已知的攻击行为
5)统计分析异常行为
6)对操作系统进行日志管理,并识别违反安全策略的用户活动
2.基于主机的入侵检测系统和基于网络的入侵检测系统各有哪些优势和不足?
答:
基于主机的入侵检测系统:
优点:
1)检测准确度较高
2)可以检测到没有明显行为特征的入侵
3)能够对不同的操作系统进行有针对性的检测
4)成本较低
5)不会因网络流量影响性能
6)适于加密和交换环境
缺点:
1)实时性较差
2)无法检测数据包的全部
3)检测效果取决于日志系统
4)占用主机资源
5)隐蔽性较差
6)如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用
基于网络入侵检测系统:
优点:
1)可以提供实时的网络检测
2)可以同时保护多台网络主机
3)具有良好的隐蔽性
4)有效保护入侵证据
5)不影响被保护主机的性能
缺点:
1)防入侵欺骗的能力通常较差
2)在交换式网络中难以配置
3)检测性能受硬件条件限制
4)不能处理加密后的数据
3.简述异常检测技术的基本原理。
答:
异常检测技术也称为基于行为的检测技术,是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
异常检测技术首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。
如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比对,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
4.试比较异常检测技术和误用检测技术各有哪些优势和不足。
答:
异常检测技术:
优点:
1)能够检测出新的网络入侵方法的攻击
2)较少依赖于特定的主机操作系统
3)对于内部合法用户的越违法行为的检测能力较强
缺点:
1)误报率高
2)行为模型建立困难
3)难以对入侵行为进行分类和命名
误用检测技术:
优点:
1)检测准确度高
2)技术相对成熟
3)便于进行系统防护
缺点:
1)不能检测出新的入侵行为
2)完全依赖于入侵特征的有效性
3)维护特征库的工作量巨大
4)难以检测来自用户内部的攻击
5.简述入侵检测系统的优缺点。
答:
优点:
1)可以检测和分析系统事件以及用户的行为
2)可以检测系统设置的安全状态
3)以系统的安全状态为基础,跟踪任何对系统安全的修改操作
4)通过模式识别等技术从通信行为中检测出已知的攻击行为
5)可以对网络通信行为进行统计,并进行检测分析
6)管理操作系统认证和日志机制并对产生的数据进行分析处理
7)在检测到攻击时,通过适当的方式进行适当的报警处理
8)通过分析引擎的配置对网络的安全进行评估和监督
9)允许非安全领域的管理人员对重要的安全事件进行有效地处理
缺点:
1)入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞
2)对于高负载的网络或主机,很难实现对网络入侵的实时检测
3)基于知识的入侵检测系统很难检测到未知的攻击行为
4)入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响
5)入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为地进行处理
6)网络入侵检测系统在纯交换环境下无法正常工作,只有对交换环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数据进行分析处理
7)入侵检测系统主要是对网络行为进行分析检测,不能解决信息资源中存在的安全问题
6.简述入侵检测系统的配置过程。
答:
1)确定入侵检测的需求
2)设计入侵检测系统在网络中的拓扑位置
3)配置入侵检测系统
4)入侵检测系统磨合
5)入侵检测系统的使用及自调节
第6章
1、填空题
1.DOS病毒的绝大部分是感染DOS可执行文件,如:
.EXE、.COM、.BAT等文件。
2.CIH病毒是第一个直接攻击和破坏硬件的计算机病毒。
3.从近两年的发展趋势看,病毒的威胁将变得更为复杂,病毒的发展呈现出网络化、隐蔽化、多样化、破坏性更强和简单化等特点。
4.计算机病毒程序一般由感染模块、触发模块、破坏模块和主控模块组成。
5.计算机病毒的防治主要从预防、检测和清除三个方面来进行。
6.计算机病毒的检测方式有特征代码法、校验和法、行为检测法、软件模拟法、启发式扫描技术几种。
2、问答题
1.什么是计算机病毒?
计算机病毒的发展过程有哪些阶段?
答:
计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.早期病毒的产生
2.DOS病毒阶段
3.Windows平台阶段
4.网络病毒阶段
5.病毒发展的未来趋势
(1)网络化
(2)隐蔽化(3)多样化(4)破坏性强(5)简单化
2.计算机病毒的特征与种类
答:
特征:
(1)可执行性。
(2)传染性。
(3)潜伏性。
(4)隐蔽性。
(5)破坏性。
(6)不可预见性。
(7)夺取系统控制权
种类:
1.按病毒的传染方式
1)引导型病毒2)文件型病毒3)复合型病毒
2.按病毒的破坏程度
1)良性病毒2)恶性病毒
3.按病毒的算法分类
1)伴随性病毒2)蠕虫型病毒3)寄生型病毒4)变型病毒
4.按病毒的链接方式
1)源码型病毒2)入侵型病毒3)操作系统型病毒4)外壳型病毒
3.简述引导型病毒的工作方式
4.简述宏病毒的工作方式与预防方法
答:
宏病毒是利用宏语句编写的。
它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。
预防措施:
1)用最新版的反病毒清除宏病毒。
2)用写字板或word6.0文档作为清除宏病毒的桥梁。
5.简述蠕虫病毒的工作方式
6.脚本病毒工作方式与预防办法
答:
脚本病毒是一种特殊的网络病毒。
脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。
脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等)。
有些脚本语言,例如VBScript(VisualBasicScript)以及JavaScript病毒,必须通过Microsoft的WindowsScriptingHost(WSH)才能够激活执行以及感染其他文件。
预防方法:
1)在IE设置中将Activex插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。
2)及时升级系统和打补丁。
7.简述计算机病毒防护策略的发展趋势
传统的防毒策略:
1)基于点的保护策略
2)被动式保护战略
新防护策略:
1)多层次保护策略
2)集中式管理策略
3)病毒爆发预防策略
第7章
一、填空题
1.常见的口令破解方法有直接猜解简单口令、字典攻击、强力破解、组合攻击、Web欺骗方法。
2.网络监听的防范措施有从逻辑或物理上对网络分段、以交换式集线器代替共享式集线器、使用加密技术、划分VLAN。
3.一般的木马程序都利用TCP/IP协议,采用C/S结构。
4.特洛伊木马主要的隐藏方法有在任务栏里隐藏、在任务管理器里隐藏、改变端口、隐藏通信。
5.在Windows平台下,很多木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括win.ini、system.ini和注册表等。
6.DoS攻击的模式主要有利用软件实现的缺陷、利用协议的漏洞、资源消耗三种。
7.SYNFlood这种DoS攻击的防范措施主要有缩短SYNTimeout时间、设置SYNCookie、负反馈策略、退让策略。
8.DDoS的攻击过程主要分为收集主机信息、占领傀儡机、实际攻击三个步骤。
9.检测DDoS攻击的主要方法有根据异常情况分析、使用DDoS检测工具。
二、问答题
1.黑客攻击的阶段有哪些?
答:
(1)信息收集;
(2)系统安全弱点的探测;
(3)网络攻击。
2.安全口令的设置原则有哪些?
答:
(1)设置的口令尽可能复杂,口令至少包含字母、数字和标点符号、一些其他的字符组合;
(2)口令的长度至少8位,不要将口令写下来;
(3)不要将口令存于终端功能键或调制解调器的字符串存储器中;
(4)不要选取显而易见的信息作口令;
(5)不要让人知道,不要让人看见自己在输入口令;
(6)不要交替使用两个口令;
(7)不要在不同系统上使用同一口令;
(8)定期更改口令。
3.端口扫描的原理是什么?
其扫描分为哪几类?
答:
1)端口扫描的原理
端口扫描程序通常是检查目标主机在哪些端口可以建立TCP连接,如果可以建立连接,则说明该主机在那个端口监听。
例如是否能用匿名登录FTP站点,是否有可写的FTP目录,是否能用Telnet登录等。
为了避免被很容易地探测到应用的服务端口,很多管理员将站点的标准服务端口换成其他不容易猜出的端口。
例如,有的HTTP服务将80端口换成8080。
对于这种情况,入侵者扫描到端口后会用相应的协议进行验证,确定对应的服务类型,以便可以根据不同服务的弱点和漏洞进行攻击。
因为不同的协议都有一定的验证命令序列。
通过正常的命令序列,就可以完成对应协议提供的服务。
2)端口扫描分为以下几类:
(1)TCPconnect()扫描
(2)TCPSYN扫描
(3)TCPFIN扫描
(4)IP段扫描
(5)TCP反向ident扫描
(6)FTP返回攻击
(7)UDPICMP端口不能到达扫描
(8)UDPrecvfrom()和write()扫描
(9)ICMPecho扫描
4.简述网络监听的原理及解决方法。
答:
1)网络监听的原理:
一般情况下,要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,一般只有与数据包中目标地址一致的那台主机才能接收。
然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。
而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。
也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
2)网络监听的解决方法:
(1)网络监听的检测
<1>在UnixOS下,可以用ps-aun或ps-augx查看系统所有进程的清单,通过清单可以看到每个进程占用的CPU时间与内存等。
在Windows2000平台下,除了可以通过“任务管理器”查看进程信息外,可以在命令行模式下用Netstat-a查看当前系统的哪些TCP端口正在使用或被监听。
<2>可以用正确的IP地址和错误的物理地址去ping被怀疑的主机,运行监听程序的机器会有响应。
<3>在被监听的计算机上向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。
通过比较前后该机器性能加以判断。
<4>许多网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时,可以在DNS系统上观测有没有明显增多的解析请求。
<5>使用反监听工具(如antisniffer)等进行检测。
(2)对网络监听的防范措施
<1>从逻辑或物理上对网络分段。
<2>以交换式集线器代替共享式集线器。
<3>使用加密技术。
<4>划分VLAN。
5.特洛伊木马的种类有哪些?
答:
(1)破坏型
(2)密码发送型
(3)远程访问型
(4)键盘记录木马
(5)DoS攻击木马
(6)代理木马
(7)FTP木马
(8)程序杀手木马
(9)反弹端口型木马
6.如何检测特洛伊木马?
答:
一般系统如果被种入了特洛伊木马,系统一般会有一些异常情况。
例如机器突然间变的很慢,鼠标不听使唤,上网速度突然变慢,无故自动关机,自动重启之类的现象。
这时用户需要检测是否种入了木马。
检测有以下几种常用的方法。
(1)系统命令检测
(2)文件属性检测
(3)系统配置文件检测
(4)检测工具检测
7.简述IP欺骗的原理及防范措施。
答:
1)IP欺骗的原理
所谓IP电子欺骗,就是伪造某台主机的IP地址的技术。
其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。
被伪造的主机往往具有某种特权或者被另外的主机所信任IP欺骗通常都要用编写的程序实现。
IP欺骗者通过使用RAWSocket编程,发送带有假冒的源IP地址的IP数据包,来达到自己的目的。
另外,在现在的网上,也有大量的可以发送伪造的IP地址的工具可用。
使用它可以任意指定源IP地址,以免留下自己的痕迹。
2)IP欺骗的防范措施
(1)抛弃基于地址的信任策略;
(2)进行包过滤;
(3)使用加密方法;
(4)使用随机化的初始序列号。
第8章
一、填空题
1.使用TCP/IP协议的网络所提供的http、ftp、e-mail、rpc和
Nfs都包含许多不安全的因素,存在许多漏洞。
2.Web面临的威胁包括客户端与服务器之间信息传输的安全、服务器端的安全问题、客户端安全问题。
3.在windows2000下,针对目前比较流行的asp木马,可以通过设置F
升级会员 