网络安全与管理习题答案Word文档格式.docx
《网络安全与管理习题答案Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全与管理习题答案Word文档格式.docx(19页珍藏版)》请在冰点文库上搜索。
PDRR是美国国防部提出的常见安全模型.它概括了网络安全的整个环节,即保护(Protect),检测(Detect),响应(React),恢复(Restore).这4个部分构成了一个动态的信息安全周期.
(1)防护.防护是PDRR模型的最重要的部分.防护是预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵,防护可以减少大多数的入侵事件.它包括缺陷扫描,访问控制及防火墙,数据加密,鉴别等.
(2)检测.检测是PDRR模型的第二个环节.通常采用入侵检测系统(IDS)来检测系统漏洞和缺陷,增加系统的安全性能,从而消除攻击和入侵的条件.检测根据入侵事件的特征进行.(3)响应.响应是PDRR模型中的第三个环节.响应就是已知一个入侵事件发生之后,进行的处理过程.通过入侵事件的报警进行响应通告,从而采取一定的措施来实现安全系统的补救过程.(4)恢复.恢复是PDRR模型中的最后一个环节.恢复指的是事件发生后,进行初始化恢复的过程.通常用户通过系统的备份和还原来进行恢复,然后安全系统对应的补丁程序,实现安全漏洞的修复等.安全模型的主要方面.
3.简述PPDR安全模型的主要方面.
PPDR是美国国际互联网安全系统公司提出的可适应网络安全模型.它包括策略(Policy),保护(Protection),检测(Detection),响应(Response)4个部分.
(1)策略.PPDR安全模型的核心是安全策略,所有的防护,检测,响应都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段.策略体系的建立包括安全策略的制订,评估,执行等.
(2)保护.保护就是采用一切手段保护信息系统的保密性,完整性,可用性,可控性和不可否认性.应该依据不同等级的系统安全要求来完善系统的安全功能,安全机制.保护通常采用身份认证,防火墙,客户端软件,加密等传统的静态的安全技术来实现.(3)检测.检测是PPDR模型中非常重要的环节,检测是进行动态响应和动态保护的依据,同时强制网络落实安全策略,检测设备不间断地检测,监控网络和系统,及时发现网络中新的威胁和存在的弱点,通过循环的反馈来及时做出有效的响应.网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁.(4)响应.响应在PPDR安全系统中占有最重要的位置,它是解决潜在安全问题最有效的方法.响应指的是在系统检测到安全漏洞后做出的处理方法.安全标准的主要内容.
4.简述TCSEC安全标准的主要内容.
美国国防部的可信计算机系统评价准则是计算机信息安全评估的第一个正式标准,具有划时代的意义.该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布.TCSEC将安全分为4个方面:
安全政策,可说明性,安全保障和文档.该标准将以上4个方面分为7个安全级别,按安全程度从最低到最高依次是D,C1,C2,B1,B2,B3,A1.
(1)D级.D级是最低的安全级别,拥有这个级别的操作系统是完全不可信任的.由于系统对用户没有任何访问限制,用户不需登记或使用密码即可登录,所以硬件和操作系统都容易受到损害.属于这个级别的操作系统有DOS,Windows3.x等.
(2)C级.C1是C类的一个安全子级.C1又称选择性安全保护(DiscretionarySecurityProtection)系统,它描述了一个典型的用在UNIX系统上的安全级别.该级别的系统对硬件有某种程度的保护,如硬件带锁装置和需要钥匙才能使用计算机等,用户必须通过登录认证方可使用系统,另外,C1系统允许系统管理员为一些程序或数据设立访问许可权限.C2级比C1级增加了几个特性——引进了受控访问环境,进一步限制用户执行某些指令或访问某些文件;
引进了系统审核,跟踪所有的安全事件,如是否成功登录,系统管理员修改用户权限或密码等.能够达到C2级别的常见操作系统有UNIX系统,Novell3.X或者更高版本,WindowsNT,Windows20**和Windows20**等.(3)B级.B级中有三个级别,B1级即标志安全保护(LabeledSecurityProtection),它支持多级安全,对网络,应用程序和工作站等实施不同的安全策略.这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统.B2级即结构保护级(StructuredProtection),它要求计算机系统中所有的对象都要加上标签,而且给设备(如工作站,终端和磁盘驱动器)分配单个或者多个安全级别.如用户可以访问某公司的工作站,但不允许访问含有员工工资信息的磁盘驱动器.B3级即安全域级别(SecurityDomain),该级别也要求用户通过一条可信任途径连接到系统上.同时,要求必须采用硬件来保护系统的数据存储区.(4)A级.A级即验证设计级别(VerifiedDesign),是当前橙皮书的最高级别,该级别包含了较低级别的所有的安全特性,还附加了一个严格的设计,控制和验证过程.设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析.
5.简述我国网络安全安全标准的主要内容.
我国的安全标准将信息系统安全分为5个等级,分别是:
自主保护级,系统审计保护级,安全标记保护级,结构化保护级和访问验证保护级.主要的安全考核指标有身份认证,自主访问控制,数据完整性,审计,隐蔽信道分析,客体重用,强制访问控制,安全标记,可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求.
(1)用户自主保护级.本级的安全保护机制可以使用户具备自主安全保护的能力.它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏.
(2)系统审计保护级.与用户自主保护级相比,本级的安全保护机制实施了更细的自主访问控制,它通过登录规程,审计安全性相关事件和隔离资源,使用户对自己的行为负责.(3)安全标记保护级.本级的安全保护机制具有系统审计保护级的所有功能.此外,还需提供有关安全策略模型,数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;
消除通过测试发现的任何错误.(4)结构化保护级.本级的安全保护机制建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体.本级的安全保护机制必须结构化为关键保护元素和非关键保护元素,其中,关键部分直接控制访问者对访问对象(主体对客体)的存取.另外,本级具有相当的抗渗透能力.(5)访问验证保护级.本级的安全保护机制具备结构化保护级的全部功能,它特别增设了访问验证功能,负责仲裁主体对客体的全部访问活动.在其构造时,排除那些对实施安全策略来说并非必要的代码;
在设计和现实时,从系统工程角度将其复杂性降低到最小程度.另外,本级具有非常强的抗渗透能力.
习题2
1.IEEE802委员会提出的局域网体系结构是什么?
IEEE802委员会提出的局域网体系结构包括物理层和数据链路层.
(1)物理层.物理层用来建立物理连接是必须的.物理层的主要功能有:
信号的编码与译码,进行同步用的前同步码的产生与去除,比特的传输与接收.物理层也要实现电气,机械,功能和规程四大特性的匹配.物理层提供的发送和接收信号的能力包括对宽带的频带分配和对基带的信号调制.
(2)数据链路层.数据链路层把数据转换成帧来传输,并实现帧的顺序控制,差错控制及流量控制等功能,使不可靠的链路变成可靠的链路,也是必要的.数据链路层分为MAC子层和LLC子层.MAC子层的主要功能为将上层交下来的数据封装成帧进行发送,接收时进行相反的过程:
首先将帧拆卸,然后实现和维护MAC协议,接着进行比特差错控制,最后寻址.MAC子层支持数据链路功能,并为LLC子层提供服务.LLC子层向高层提供一个或多个逻辑接口(具有帧发和帧收功能).LLC子层的主要功能是建立和释放数据链路层的逻辑连接,提供与高层的接口,差错控制,给帧加上序号.局域网对LLC子层是透明的.
2.常见的三种备份策略是什么?
(1)完全备份.完全备份(FullBackup)指的是每次对所有系统数据备份.由于每次是对系统进行完全备份,在备份数据中有大量内容是重复的,这些重复数据占用了大量的磁盘空间,并且需要备份的数据量相当大,备份所需时间也就较长.完全备份的优点是,当发生数据丢失的灾难时,只要用备份盘就可以恢复丢失的数据.
(2)增量备份.增量备份(IncrementalBackup)指的是将系统的备份点进行设置,当下一次进行系统备份的时候只存储系统里面增加的信息点.该备份的优点是没有重复的备份数据,节省磁盘空间,缩短备份时间.缺点是在发生灾难时,恢复数据比较麻烦.由于各个备份点的相互关系像链子一样,所以任何一个出现问题就可能导致系统恢复不能正常进行.(3)差分备份.差分备份(DifferentialBackup)指的是先进行一次系统完全备份,以后数据的备份都是选择和当前系统不同的部分,将不同的信息点记录下来.恢复的时候,只要使用系统全备份的磁盘与发生灾难前一天的备份磁盘,就可以将系统完全恢复.差分备份策略在避免了以上两种策略的缺陷的同时,又具有了它们的所有优点.首先,它无须每天都对系统做完全备份,因此备份所需时间短,节省磁盘空间;
其次,灾难恢复比较方便.
3.常见的三种存储和归档技术分别是什么?
常见的三种存储和归档技术分别是网络附加存储,直连式存储和存储网络三种方式.
(1)直连方式存储是最先被采用的网络存储系统.在DAS存储体系结构中,为避免出现单点错误,通常采用多个服务器共享一个存储系统.
(2)网络附加存储是一种专业的网络文件存储及文件备份解决方案.它是基于局域网设计,按照TCP/IP协议进行通信,以文件输入/输出方式进行数据传输.NAS系统包括处理器,文件服务管理模块和多个用于数据存储的硬盘驱动器.它可以应用在任何网络环境当中.主服务器和客户端可以非常方便地在NAS上存取任意格式的文件,包括SMB格式,NFS格式和CIFS格式等.(3)存储区域网络是一种通过光纤集线器,光纤路由器,光纤交换机等连接设备将磁盘阵列等存储设备与相关服务器连接起来的高速专用子网.SAN提供了一种与现有LAN连接的简易方法,允许企业独立地增加它们的存储容量,并使网络性能不至于受到数据访问的影响,SAN是目前人们公认的最具有发展潜力的存储技术方案.
4.什么是VLAN?
它有什么特点?
虚拟局域网即VLAN,它是一种将局域网设备从逻辑上划分网段的技术.VLAN在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段,不同网络的端到端的逻辑网络.一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中.VLAN从逻辑上把实际网络划分成不同的广播域,VLAN从而有效地控制广播风暴的发生,提高了网络的安全性,有效地控制了网络的广播范围.内的各个工作站不限制地理范围,并且可以工作在不同的物理网段.借助VLAN技术,能将不同地点,不同网络,不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便灵活.
习题3
1.简述IP安全体系结构.
IPSec已成为IP安全体系结构的标准.完整的IPSec安全体系结构由体系结构,封装安全有效载荷(ESP),鉴别首部,加密算法,鉴别算法,密钥管理,解释域和策略组成.
(1)体系结构:
覆盖了定义IP安全技术的一般性概念,安全需求,定义和机制.
(2)封装安全有效载荷(ESP):
覆盖了使用ESP进行分组加密和可选的鉴别有关分组的格式和一般问题.(3)鉴别首部:
覆盖了使用All进行分组鉴别的分组的格式和一般问题.(4)加密算法:
一组文档描述了怎样将不同的加密算法用于ESP.(5)鉴别算法:
一组文档描述了怎样将不同的鉴别算法用于AH和ESP可选的鉴别选项.(6)密钥管理:
描述密钥管理机制的文档.(7)解释域:
包含了其他文档需要的为了彼此间相互联系的一些值.(8)策略:
决定两个实体之间能否通信,以及如何进行通信.
2.简述IPSec协议的工作原理.
简述答:
IPSec(Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性.IPSec两个基本目标:
保护IP数据包安全;
为抵御网络攻击提供防护措施.为了达到上述目标IPSec提供了两种安全机制:
认证和加密.IPSec协议组包含认证头(AH)协议,封装安全有效载荷(ESP)协议和Internet密钥交换(IKE)协议.其中AH协议定义了认证的应用方法,提供数据源认证,完整性和反重播保证;
ESP协议定义了加密和可选认证的应用方法,提供可靠性保证.
3.简述SSL协议的工作过程.
SSL协议的工作过程如下:
(1)客户端向服务器提出请求,要求建立安全通信连接.
(2)客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度.(3)服务器将其服务器证书发送给客户端.该证书包含服务器的公钥,并用CA的私钥加密.(4)客户端使用CA的公钥对服务器证书进行解密,获得服务器公钥.客户端产生用户创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器.(5)服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其使用服务器公钥加密,再发送给客户端.这样服务器和客户端上方都拥有了会话密钥.(6)服务器和客户端使用会话密钥来加密和解密传输的数据.它们之间德安数据传输使用的是对称加密.
4.简述SET协议的安全体系结构.
SET协议的安全体系由支付系统参与各方组成了系统逻辑结构.参与方主要有:
(1)持卡人,即消费者.电子商务环境中,消费者通过web浏览器或客户端软件购物,与商家交流,通过发卡机构颁发的付款卡进行结算.
(2)商家:
提供在线商店或商品光盘给消费者.(3)发卡机构:
它是一金融机构,为持卡人开帐户,并且发放支付卡.(4)银行:
它为商家建立帐户,并且处理支付卡的认证和支付事宜.(5)支付网关:
是由受款银行或指定的第三方操纵操作的设备,它将Internet上传输的数据转换为金融机构内部数据,并处理商家的支付信息,同时也包括来自消费者的支付指令.
习题4
1.防火墙的功能是什么?
防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件.是一种允许或阻止业务来往的网络通信安全机制,提供可控的过滤网络通信,只允许授权的通信.目的是保护网络不被他人侵扰.通过使用防火墙可以实现以下功能.
(1)隐藏内部网络.
(2)控制内网络对外部网络的访问.(3)控制外部网络用户对内部网络的访问.(4)监视网络安全,(6)对内部用户的Internet使用进行并提供安全日志并预警.(5)缓解IP地址空间短缺问题.审计和记录.(7)引出DMZ区域,可设置各种服务器.除了上面的功能,现在的很多防火墙还具备一些流量控制和抵御DoS攻击的功能,但是这些功能不属于普遍的防火墙功能.
2.包过滤防火墙和代理防火墙的工作原理是什么?
包过滤防火墙是通过数据包的包头信息和管理员设定的规则表比较后,来判断如何处理当前的数据包的.其工作过程如下:
(1)数据包从外网传送到防火墙后,防火墙抢在IP层向TCP层传送前,将数据包转发给包检查模块进行处理.
(2)包检查模块首先将包头信息与第一条规则进行比较,如果与第一条规则匹配,则对它进行审核判断是否转发该数据包,如果是转发,则将数据包转发给TCP层处理,否则就将该报丢弃.(3)如果包头信息与第一条规则不匹配,则与第二条规则比较.接下来的步骤与上同.直到所有规则都比较完毕.要是都不匹配,则丢弃该数据包.代理客户端的用户与代理服务器交谈而不是面对远在因特网上的"
真正的"
服务器.代理服务器评价来自客户的请求,并且决定认可哪一个或否认哪一个.如果一个请求被认可,代理服务器代表客户接触真正的服务器,并且转发从代理客户到真正的服务器的请求,并将服务器的相应传送回代理客户.
3.简述软件防火墙和硬件防火墙的优缺点.
防火墙可以是硬件防火墙,也可以是软件防火墙.硬件防火墙安装简单,性能高,可以避免操作系统的安全性漏洞.高带宽,高吞吐量,真正线速防火墙.安全与速度同时兼顾.没有用户限制.性价比高.管理简单,快捷.软件防火墙运行在通用操作系统上,性能依靠于计算机CPU,内存等.基于通用操作系统,对底层操作系统的安全依赖性很高.由于操作系统平台的限制,极易造成网络带宽瓶颈.但可以满足低带宽低流量环境下的安全需要,高速环境下容易造成系统瓶颈.有用户限制.软件防火墙的优点在于:
件防火墙有着硬件防火墙少有的扩充性和易操控性.因此,对于大型网络,网络流量大,与外部联系较多,且内部数据比较重要,就要求由高性能硬件防火墙.对于中小型网络,其网络流量不是很大,对管理需要精简管理费用,这时就可以选择软件防火墙产品.
4.简述如何选择一个合适的防火墙.
一个好的防火墙应该具备如下的特点:
(1)自身的安全性.
(2)系统的稳定性.(3)是否高效.(4)是否可靠.(5)是否功能灵活,强大.(6)是否配置方便.(7)是否可以抵抗拒绝服务攻击.(8)是否可扩展,可升级等等
习题5
1.简述密码体制的分类方法.
按密钥使用的数量不同,对密码体制可以分为对称密码(又称为单钥密码)和公钥密码(又称为非对称密码).对于对称密钥密码而言,按照针对明文处理方式的不同,又可以分为流密码和分组密码.
2.简述公钥密码体制的密钥分配机制.
常用的公钥分配方法有以下几种:
(1)公开发布.用户将自己的公钥发给所有其他用户或向某一团体广播.这种方法简单但有一个非常大的缺陷,别人能容易地伪造这种公开的发布.
(2)公钥动态目录表.指建立一个公用的公钥动态目录表,表的建立和维护以及公钥的分布由某个公钥管理机构承担,每个用户都可靠地知道管理机构的公钥,由于每一用户要想与他人通信都要求助于公钥管理机构,因而公钥管理机构有可能成为系统的瓶颈,而且公钥目录表也容易被窜扰.分配公钥的一种安全有效的方法是采用公钥证书,用户通过公钥证书相互之间交换自己的公钥而无需与公钥管理机构联系.(3)公钥证书.公钥证书内证书管理机构CA为用户建立,其中的数据项有该用户的公钥,用户的身份和时戳等.所有的数据经CA用自己的私钱签字后就形成证书.证书中可能还包括一些辅助信息,如公钥使用期限,公钥序列号或识别号,采用的公钥算法,使用者的住址或网址等.
习题6
1.什么是入侵检测系统?
一般网络IDS有哪几个组成部分?
入侵检测系统(IntrusionDetectionSystem,IDS)指的是任何有能力检测系统或网络状态改变的系统或系统的集合.一般IDS是由检测引擎(又称为sensor),监视和存储主机,分析器或控制站三部分组成.2.简述主机入侵检测系统的结构.
主机型入侵检测系统一般由审计数据源,审计记录数据库,审计数据分析器组成.审计数据源即是目标系统中的审计数据如日志数据等,审计记录数据库是正常的系统数据记录如文件属性和进程状态等,审计数据分析器是根据审计数据源和审计记录数据库来检测系统是否存在被入侵的行为.
3.简述网络入侵检测系统的结构.
网络入侵检测系统包括一般的网络系统本身,检测引擎,存储警报信息的数据库系统,入侵特征数据库,分析控制台等组成.
4.简述分布式入侵检测系统的结构.
分布式入侵检测系统一般由全局检测器及控制台系统,n个检测器及相应的攻击特征库,n个数据采集器等组成.
5.简述IDS和IPS的区别.
IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理.IPS是一种主动的,积极的入侵防范,阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断.IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,可以说IPS是基于IDS的,是建立在IDS发展的基础上的新生网络安全产品.
习题7
1.什么是计算机病毒,病毒的基本特征是什么?
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.计算机病毒的共同特征如下:
(1)传染性.传染性是病毒的最基本特征.计算机病毒有很强的再生机制,病毒程序一旦加到运行的程序体上,就能感染其它程序,并且迅速扩散到整个计算机系统,当与网络进行数据交换时,也将病毒在网上传播.是否具有传染性是判别一个程序是否为计算机病毒的最重要条件.
(2)破坏性.病毒指的是带有破坏性质的恶意程序,所以病毒对系统的破坏性成为其重要的衡量方式.由于计算机病毒的破坏能力各不相同,将其分为良性病毒和恶性病毒.(3)隐蔽性.大多数计
升级会员 