网络基础安全技术要求
信息安全技术网络基础安全技术要求
引言
本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统,主要说明为实现GB 7859—1999中每一个安全保护等级的安全要求,网络系统应采取的安全技术
措施,以及各安全技术要求在不同安全保护等级中具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统,不同的网络环境又会有不同的系统结构。然而,从网络系统
所实现的功能来看,可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度,网络信息安全可以概括为“保
障网上信息交换的安全”,具体表现为信息发送的安全、信息传输的安全和信息接收的安全,以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的,不同的
网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议(ISO/OSI),也称七层协议。
虽然很少有完全按照七层协议构建的网络系统,但是七层协议的理论价值和指导作用是任
何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述,可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备
来保障。因此,对七层协议的安全要求自然包括对网络设备的安全要求。
信息安全是与信息系统所实现的功能密切相关的,网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A.2关于网络各层协议主要功能的说明,对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要
描述,是确定网络各层安全功能要求的主要依据。
本标准以GB/T 20271-2006关于信息系统安全等级保护的通用技术要求为基础,围绕以访问控制为核心的思想进行编写,在对网络安全的组成与相互关系进行简要说明的基础上,第5章对网络安全功能基本技术分别进行了说明,第6章是对第5章网络安全功能的分级
分层情况的描述。在此基础上,本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以
前各章的内容外,还引用了GB/T 20271-2006中关于安全保证技术要求的内容。由于GB/T 20271-2006的安全保证技术要求,对网络而言没有需要特别说明的内容,所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。
信息安全技术
网络基础安全技术要求
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,根据网络系统在信息系统中的作用,规定了各个安全等级的网络系统所需要的基础安全技术的要求。
本标准适用于按等级化的要求进行的网络系统的设计和实现,对按等级化要求进行的网络系统安全的测试和管理可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后的所有修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T20271-2006 信息安全技
术信息系统通用安全技术要求
3 术语、定义和缩略语
3.1 术语和定义
GB 17859—1999确立的以及下列术语和定义适用于本标准。
3.1.1
网络安全 network security
网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征。
3.1.2
网络安全基础技术 basis technology of network security 实现各种类型的网络系统安全需要的所有基础性安全技术。
3.1.3
网络安全子系统 security subsystem of network
网络中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境,并提供安全网络所要求的附加用户服务。
注:按照GB 17859-1999对TCB(可信计算基)的定义,SSON(网络安全子系统)就是网络的TCB。
3.1.4
SSON安全策略 SS0N security policy 对SS0N中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。
3.1.5
安全功能策略 security function policy
为实现SSON安全要素要求的功能所采用的安全策略。
3.1.6
安全要素 security element
本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。
3.1.7
SSON安全功能 SSON security function
正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。
3.1.8
SSF控制范围 SSF scope of control
SSON的操作所涉及的主体和客体的范围。
3.2 缩略语
下列缩略语适用于本标准:
SFP 安全功能策略 security function policy
SSC SSF控制范围 SSF scope of control
SSF SSON安全功能 SSON security function
SSP SSON安全策略 SS0N security policy
SSON 网络安全子系统 security subsystem of network
4 网络安全组成与相互关系
根据OSI参考模型和GB 17859-1999所规定的安全保护等级和安全要素,网络安全的组成与相互关系如表1所示。
对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层,可分别按GB 17859-1999的各个安全等级的要求进行设计。
在各协议层中,安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。
5 网络安全功能基本要求
5.1 身份鉴别
5.1.1 用户标识
a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识。
b) 唯一性标识:应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与安全审计相关联。
c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
5.1.2 用户鉴别
a) 基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别。
b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求SSF应检测或防止由任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其它用户处复制的鉴别数
据的使用;
c) 一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用;
d) 多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且SSF 应根据所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份;
e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即SSF应在需要重鉴别的条件表所指示的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。
5.1.3 用户-主体绑定
在SSON安全功能控制范围之内,对一个已标识和鉴别的用户,为了要求SSF完成某个任务,需要激活另一个主体(如进程),这时,要求通过用户-主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审计行为相关联。
5.1.4 鉴别失败处理
要求SSF为不成功的鉴别尝试次数(包括尝试数目和时间的阈值)定义一个值,以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相
同的情况,并进行预先定义的处理。
5.2 自主访问控制
5.2.1 访问控制策略
SSF应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体与客体间操作的控制。
可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等。
5.2.2 访问控制功能
SSF应明确指出采用一条命名的访问控制策略所实现的特定功能,说明策略的使用和特征,以及该策略的控制范围。
无论采用何种自主访问控制策略,SSF应有能力提供:
——在安全属性或命名的安全属性组的客体上,执行访问控制SFP;
——在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问;
——在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问。
5.2.3 访问控制范围
网络系统中自主访问控制的覆盖范围分为:
a)子集访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所定义的主体、客体及其之间的操作;
b)完全访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定
的访问控制SFP覆盖。
5.2.4 访问控制粒度
网络系统中自主访问控制的粒度分为:
a)粗粒度:主体为用户组/用户级,客体为文件、数据库表级;
b)中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;
c)细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级或元素级。
5.3 标记
5.3.1 主体标记
应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。
5.3.2 客体标记
应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。
5.3.3 标记完整性
敏感标记应能准确地表示特定主体或客体的访问控制属性,主体和客体应以此发生关联。当数据从SSON输出时,根据需要,敏感标记应能准确地和明确地表示输出数据的内部标记,并与输出的数据相关
联。
5.3.4 有标记信息的输出
SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权
用户实现,并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定,或对与通信信道或I/O设备
有关的安全保护等级进行安全审计。
a) 向多级安全设备的输出:当SSON将一客体信息输出到一个具有多级安全的I/O设备时,与该客体有关的敏感标记也应输出,并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上
。当SSON在多级通信信道上输出或输入一客体信息时,该信道使用的协议应在敏感标
记和被发送或被接收的有关信息之间提供明确的配对关系;
b) 向单级安全设备的输出:单级I/O设备和单级通信信道不需要维持其处理信息的敏
感标记,但SSON应包含一种机制,使SSON与一个授权用户能可靠地实现指定的安全级的
信息通信。这种信息经由单级
通信信道或I/O设备输入/输出;
c) 人可读标记的输出:SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束,以适当地表示输出敏感性。SSON应按默认值标记人可读的、编页的、具
有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部,以适当地表示该输出总的敏感性,或表示该页信息的敏感性。SSON应该按默认值,并以一种适当方法标记具有人可读的敏感标记
的其他形式的人可读的输出(如图形),以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由SSON审计。
5.4 强制访问控制
5.4.1 访问控制策略
网络强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突。当前常见的强制访
问控制策略有:
a) 多级安全模型:基本思想是,在对主、客体进行标记的基础上,SSOIS控制范围内的所有主体对客体的直接或间接的访问应满足:
——向下读原则:仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记中的非等级类别包含了客体标记中的全部非等级类别,主体才能读该客体;
——向上写原则:仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记中的非等级类别包含于客体标记中的非等级类别,主体才能写该客体;
b) 基于角色的访问控制(BRAC):基本思想是,按角色进行权限的分配和管理;通过对主体进行角色授予,使主体获得相应角色的权限;通过撤消主体的角色授予,取消主体所获得的相应角色权限。在
基于角色的访问控制中,标记信息是对主体的授权信息;
c) 特权用户管理:基本思想是,针对特权用户权限过于集中所带来的安全隐患,对特权用户按最小授权原则进行管理。实现特权用户的权限分离;仅授予特权用户为完成自身任务所需要的最小权限。
5.4.2 访问控制功能
SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供:
——在标记或命名的标记组的客体上,执行访问控制SFP;
——按受控主体和受控客体之间的允许访问规则,决定允许受控主体对受控客体执行受控操作;
——按受控主体和受控客体之间的拒绝访问规则,决定拒绝受控主体对受控客体执行受控操作。
5.4.3 访问控制范围
网络强制访问控制的覆盖范围分为:
a) 子集访问控制:对每个确定的强制访问控制,SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作;
b) 完全访问控制:对每个确定的强制访问控制,SSF应覆盖信息系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控
制SFP覆盖。
5.4.4 访问控制粒度
网络强制访问控制的粒度分为:
a)中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;
b)细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级和/或元素级。
5.4.5 访问控制环境
a) 单一安全域环境:在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时,应将其标记信息同时输出;
b) 多安全域环境:在多安全域环境实施统一安全策略的强制访问控制时,应在这些安全域中维持统一的标记信息和访问规则。当被控制客体在这些安全域之间移动时,应将其标记信息一起移动。
5.5 数据流控制
对网络中以数据流方式实现数据流动的情况,应采用数据流控制机制实现对数据流动的控制,以防止具有高等级安全的数据信息向低等级的区域流动。
5.6 安全审计
5.6.1 安全审计的响应
安全审计SSF应按以下要求响应审计事件:
a) 记审计日志:当检测到可能有安全侵害事件时,将审计数据记入审计日志;
b) 实时报警生成:当检测到可能有安全侵害事件时,生成实时报警信息;
c) 违例进程终止:当检测到可能有安全侵害事件时,将违例进程终止;
d) 服务取消:当检测到可能有安全侵害事件时,取消当前的服务;
e) 用户账号断开与失效:当检测到可能有安全侵害事件时,将当前的用户账号断开,并使其失效。
5.6.2 安全审计数据产生
SSF应按以下要求产生审计数据:
a) 为下述可审计事件产生审计记录:
——审计功能的启动和关闭;
——使用身份鉴别机制;
——将客体引入用户地址空间(例如:打开文件、程序初始化);
——删除客体;
——系统管理员、系统安全员、审计员和一般操作员所实施的操作;
——其他与系统安全有关的事件或专门定义的可审计事件;
b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;
c) 对于身份鉴别事件,审计记录应包含请求的来源(例如:终端标识符);
d) 对于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安全保护等级;
e) 将每个可审计事件与引起该事件的用户相关联。
5.6.3 安全审计分析
安全审计分析应包括:
a) 潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害。
这些规则包括:
——由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;
——任何其他的规则;
b) 基于异常检测的描述:应维护用户所具有的质疑等级——历史使用情况,以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时,SSF应能指出将要发生对安全
性的威胁;
c) 简单攻击探测:应能检测到对SSF实施有重大威胁的签名事件的出现。为此,SSF 应维护指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,
指出一个对SSF的攻击即将到来;
d) 复杂攻击探测:在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵情况,并能根据已知的事件序列模拟出完整的入侵情况,还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。
5.6.4 安全审计查阅
安全审计查阅工具应具有:
a) 审计查阅:提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力。当用户是人时,必须以人类可懂的方式表示信息;当用户是外部IT 实体时,必须以电子方式无歧
义地表示审计信息;
b) 有限审计查阅:在上述审计查阅的基础上,审计查阅工具应禁止具有读访问权限以外的用户读取审计信息;
c) 可选审计查阅:在上述有限审计查阅的基础上,审计查阅工具应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能
力。
5.6.5 安全审计事件选择
应根据以下属性选择可审计事件:
a) 客体身份、用户身份、主体身份、主机身份、事件类型;
b) 作为审计选择性依据的附加属性。
5.6.6 安全审计事件存储
应具有以下创建并维护安全的审计踪迹记录的能力:
a) 受保护的审计踪迹存储:要求审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改;
b) 审计数据的可用性确保:要求在意外情况出现时,能检测或防止对审计记录的修改,以及在发生审计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏;
c) 审计数据可能丢失情况下的措施:要求当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理;
d) 防止审计数据丢失:要求在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记
录”和“一旦审计存储失败所采取的其它行动”等措施,防止审计数据丢失。
5.7 用户数据完整性
5.7.1 存储数据的完整性
应对存储在SSC内的用户数据进行完整性保护,包括:
a) 完整性检测:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测;
b) 完整性检测和恢复:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进
行完整性检测,并且当检测到完整性错误时,SSF应采取必要的SSF应采取必要的恢复、审计或报警措施。
5.7.2 传输数据的完整性
当用户数据在SSF和其它可信IT系统间传输时应提供完整性保护,包括:
a) 完整性检测:要求对被传输的用户数据进行检测,及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生;
b) 数据交换恢复:由接收者SSON借助于源可信IT系统提供的信息,或由接收者SSON 自己无须来自源可信IT系统的任何帮助,能恢复被破坏的数据为原始的用户数据。若没有可恢复条件,应向源可信IT系
统提供反馈信息。
5.7.3 处理数据的完整性
回退:对信息系统中处理中的数据,应通过“回退”进行完整性保护,即要求SSF应执行访问控制SFP,以允许对所定义的操作序列进行回退。
5.8 用户数据保密性
5.8.1 存储数据的保密性
应对存储在SSC内的用户数据进行保密性保护。
5.8.2 传输数据的保密性
应对在SSC内传输的用户数据进行保密性保护。
5.8.3 客体安全重用
在对资源进行动态管理的系统中,客体资源(寄存器、内存、磁盘等记录介质)中的剩余信息不应引起信息的泄露。客体安全重用分为:
a) 子集信息保护:要求对SSON安全控制范围之内的某个子集的客体资源,在将其分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;
b) 完全信息保护:要求对SSON安全控制范围之内的所有客体资源,在将其分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;
c) 特殊信息保护:对于某些需要特别保护的信息,应采用专门的方法对客体资源中的残留信息做彻底清除,如对剩磁的清除等。
5.9 可信路径
用户与SSF间的可信路径应:
a) 提供真实的端点标识,并保护通信数据免遭修改和泄露;
b) 利用可信路径的通信可以由SSF自身、本地用户或远程用户发起;
c) 对原发用户的鉴别或需要可信路径的其它服务均使用可信路径。
5.10 抗抵赖
5.10.1 抗原发抵赖
应确保信息的发送者不能否认曾经发送过该信息。这就要求SSF提供一种方法,来确保接收信息的主体在数据交换期间能获得证明信息原发的证据,而且该证据可由该主体或第三方主体验证。
抗原发抵赖分为:
a) 选择性原发证明:要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者或接收者的请求时,能就传输的信息产生原发证据,证明该信息的发送由该原发者所为;
b) 强制性原发证明:要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候都能就传输的信息强制产生原发证据,证明该信息的发送由该原发者所为。
5.10.2 抗接收抵赖
应确保信息的接收者不能否认接受过该信息。这就要求SSF提供一种方法,来确保发送信息的主体在数据交换期间能获得证明该信息被接收的证据,而且该证据可由该主体或第三方主体验证。
抗接收抵赖分为:
a) 选择性接收证明:要求SSF具有为主体提供请求信息接收证据的能力。即SSF在接到原发者或接收者的请求时,能就接收到的信息产生接收证据,证明该信息的接收由该接收者所为;
b) 强制性接收证明:要求SSF总是对收到的信息产生接收证据。即SSF能在任何时候对收到的信息强制产生接收证据,证明该信息的接收由该接收者所为。
5.11 网络安全监控
网络安全监控应采用以下安全技术和机制:
a) 网络安全探测机制:在组成网络系统的各个重要部位,设置探测器,实时监听网络数据流,监视和记录内、外部用户出入网络的相关操作,在发现违规模式和未授权访问时,报告网络安全监控中心;
b) 网络安全监控中心:设置安全监控中心,对收到的来自探测器的信息,根据安全策略进行分析,并作审计、报告、事件记录和报警等处理。网络安全监控中心应具有必要的远程管理功能,如对探测器实
现远程参数设置、远程数据下载、远程启动等操作。网络安全监控中心还应具有实时响应功能,包括攻击分析和响应、误操作分析和响应、漏洞分析和响应等。
6 网络安全功能分层分级要求
6.1 身份鉴别功能
应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。一般以用户名和用户标识符来标识一个用户,应确保在一个信息系统中用户名和用户标识符的唯一性,严格的唯一性应维持在网络系统的整个生存周期都有效,即使一个用户的账户已被删除,他的用户名和标识符也不能再使用,并由此确保用户的唯一性和可区别性。鉴别应确保用户的真实性。可以用口令进行鉴别,更严格的身份鉴别可采用智能IC卡密码技术,指纹、虹膜等特征信息进行身份鉴别,并在每次用户登录系统之前进行鉴别。口令应是不可见的,并在存储和传输时进行保护。智能IC卡身份鉴别应以密码技术为基础,并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况,要求按鉴别失败所描述的要求进行处理。用户在系统中的行为一般由进程代为执行,要求按用户-主体绑定所描述的要求,将用户与代表该用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系上。比如,一个用户通过键入一条命令要求访问一个指定文件,信息系统运行某一进程实现这一功能。这时,该进程应与该用户相关联,于是该进程的行为即可看作该用户的行为。
身份鉴别应区分实体鉴别和数据起源鉴别:当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别,它可以作为访问控制服务的一种必要支持;当身份信息是由数据项发送者提交时叫数据起源鉴别,它是确保部分完整性目标的直接方法,确保知道某个数据项的真正起源。表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求。
6.2 自主访问控制功能
应按照对访问控制策略的要求,选择所需的访问控制策略,并按照对访问控制功能的要求,设计和实现所需要的自主访问控制功能。当使用文件、目录和网络设备时,网络管理员应给文件、目录等指定访问属性。访问控制规则应将给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。自主访问控制应能控制以下权限:
a) 向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等;
b) 为每个命名客体指定用户名和用户组,以及规定他们对客体的访问模式。
表3给出了从用户自主保护级到访问验证保护级对自主访问控制功能的分层分级要求。
6.3 标记功能
应按照主体标记和客体标记所描述的要求进行标记设计。
在网络环境中,带有特定标记的数据应能被安全策略禁止通过某些子网、链路或中继。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,请求回避某些特定的子网、链路或中继。
包含数据项的资源应具有与这些数据相关联的敏感标记。敏感标记可能是与被传送的数据相连的附加数据,也可能是隐含的信息,例如使用一个特定密钥加密数据所隐含的信息或由该数据的上下文所隐含
的信息,可由数据源或路由来隐含。明显的敏感标记必须是清晰可辨认的,以便对它们作适当的验证。此外,它们还必须安全可靠地依附于与之关联的数据。
对于在通信期间要移动的数据项,发起通信的进程与实体,响应通信的进程与实体,在通信时被用到的信道和其他资源等,都可以用各自的敏感信息来标记。安全策略应指明如何使用敏感信息以提供必要的安全性。当安全策略是基于用户身份时,不论直接或通过进程访问数据,敏感标记均应包含有关用户身份的信息。用于特定标记的那些规则应该表示在安全管理信息库中的一个安全策略中,如果需要,还应与端系统协商。标记可以附带敏感信息,指明其敏感性,说明处理与分布上的隐蔽处,强制定时与定位,以及指明对该端系统特有的要求。
采用的安全策略决定了标记所携带的敏感信息及其含义,不同的网络会有差异。
表4给出了从安全标记保护级到访问验证保护级对标记功能的分层分级要求。
6.4 强制访问控制功能
应按照强制访问控制功能的要求,选择所需的访问控制策略,设计和实现所需要的强制访问控制功能。
强制访问控制应由专门设置的系统安全员统一管理系统中与该访问控制有关的事件和
信息。为了防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患,应将系
统的常规管理、与安全有关的
管理以及审计管理,由系统管理员、系统安全员和系统审计员分别承担,并在三者之间形成相互制约的关系。
采用多级安全模型的强制访问控制应将SSON安全控制范围内的所有主、客体成分通过
标记方式设置敏感标记,这些敏感标记与访问规则一起确定每一次主体对客体的访问是否
被允许。
这里所要求的对客体的控制范围除涉及系统内部的存储、处理和传输过程外,还应包括将信息进行输入、输出操作的过程,即无论信息以何种形式存在,都应有一定的安全属性
与其相关联,并按强制访问
控制规则对其进行控制。
第三级的强制访问控制应对SSON所定义的主体与客体实施控制。第四级以上的强制访
问控制应扩展到信息系统中的所有主体与客体。表5给出了从安全标记保护级到访问验证
保护级强制访问控制功能的分层分级要求。
6.5 数据流控制功能
对在网络中以数据流方式进行的数据交换,应按照数据流控制的要求进行用户数据保密性保护设计。表6给出了从安全标记保护级到访问验证保护级对数据流控制功能的分层分
级要求。
6.6 安全审计功能
应按照对安全审计的要求进行设计。按安全审计数据产生的描述产生审计数据;按安全审计查阅的描述提供审计查阅、有限审计查阅和可选审计查阅;按安全审计事件选择的描
述提供对审计事件的选择;
按安全审计事件存储中受保护的审计踪迹存储、审计数据的可用性确保、审计数据可能丢失行动和防止审计事件丢失的要求来保存审计事件;按安全审计分析中的潜在侵害分析、
基于异常检测的描述以及简单攻击探测和复杂攻击探测的要求进行审计分析设计;按安全审计的自动响应的要求设计相应的功能。
网络安全审计涉及与安全有关的事件,包括事件的探测、收集、控制,进行事件责任的追查。审计中必须包含的信息的典型类型包括:标定哪些网段需要有限授权访问或数据加密,哪些设备、文件和目录需要加锁或口令保护,哪些文件应该进行存档备份,执行备份程序的频率,以及网络所使用的病毒防护措施的类型等。安全审计通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,从而对资源使用情况进行事后分析。审计也是发现和追踪安全事件的常用措施,能够自动记录攻击发起人的IP地址及企图攻击的时间,以及攻击包数据,给系统安全管理及追查网络犯罪提供可靠的线索。安全审计应该提供有关网络所使用的紧急事件和灾难处理程序,提供准确的网络安全审计和趋向分析报告,支持安全程序的计划和评估。对于较高安全等级的安全审计数据,可通过数字签名技术进行保护,限定审计数据可由审计员处理,但不可修改。
表7给出了从系统审计保护级到访问验证保护级对安全审计功能的分层分级要求。
6.7 用户数据完整性保护功能
应对系统中存储、传输和处理的用户数据采取有效措施,防止其遭受非授权用户的修改、破坏或删除。
对存储在系统中的用户数据的完整性保护,较低安全要求应按照存储数据的完整性保护中完整性监视的要求,设计相应的SSON安全功能模块,对SSON安全控制范围内的用户数据进行完整性保护;较高
安全要求应通过密码支持系统所提供的功能,对加密存储的数据进行存储数据的完整性检验或采用其它相应的安全机制,在检测到完整性错误时采取必要的恢复措施。对经过网络传输的用户数据完整性保
护,应按照SSON间通信保护中用户用户数据保密性和完整性检测、以及源恢复和目的恢复的要求设计相应的SSON安全功能模块。
对系统中进行处理的数据的完整性保护,应按照回退的要求设计相应的SSON安全功能模块,进行异常情况的操作序列回退,以确保数据的完整性。表8给出了从用户自主保护级到访问验证保护级用户数据
完整性保护功能的分层分级要求。
6.8 用户数据保密性保护功能
应对系统中存储、传输和处理的信息采取有效的保护措施,防止其遭受非授权的泄露。
对存储在系统中的数据的完整性保护,较低安全要求应按照存储数据的保密性保护的一般方法,设计相应的SSON安全功能模块,对SSON安全控制范围内的用户数据进行完整性保护;较高安全要求应通过密码支持系统所提供的功能或相应安全性的安全机制所提供的安全功能,对存储的数据进行保密性保护。
对在系统中传输的数据,较低级别应按照存储数据的保密性保护的要求,设计相应的SSON安全功能模块,对SSON安全控制范围内的用户数据进行保密性保护;较高安全要求的系统应通过密码支持系统所提供的功能或其它相应的安全机制所提供的安全功能,进行严格的保密性保护。对系统运行中动态管理和分配的资源,应采用有效措施,防止其剩余信息引起的信息泄露。表9给出了从用户自主保护级到访问验证保护级用户数据保密性保护功能的分层分级要求。
6.9 可信路径功能
应提供用户与SSON之间安全地进行数据传输的保证,要求按用户与SSF间可信路径所描述的要求进行设计。表10给出结构化保护级和访问验证保护级可信路径功能的分层分级要求。
6.10 抗抵赖功能
应提供通信双方身份的真实性和双方对信交换行为的不可抵赖性。对信息的发送方,SSON应按抗原发抵赖中选择性原发证明/强制性原发证明的要求进行设计;对信息的接收方,SSON应按抗接收抵
赖中选择性接收证明/强制性接受证明的要求进行设计。
表11给出了从安全标记保护级到访问验证保护级抗抵赖功能的分层分级要求。
6.11 网络安全监控功能
应提供对网络系统运行进行安全监控的功能。网络安全监控机制通过在网络环境的各个关键部位设置分布式探测器收集与安全相关的信息,并由网络安全监控中心汇集和分析,及时发现各种违规行为。表12给出了从安全标记保护级到访问验证保护级网络安全监控功能的分层分级要求。
7 网络安全技术分级要求
7.1 第一级:用户自主保护级
7.1.1 第一级安全功能要求
7.1.2 第一级安全保证要求
7.2 第二级:系统审计保护级
7.2.1 第二级安全功能要求
7.2.2 第二级安全保证要求
7.3 第三级:安全标记保护级
7.3.1 第三级安全功能要求操作;
操作;
操作;
操作;
操作;
操作;
7.3.2 第三级安全保证要求7.4 第四级:结构化保护级7.4.1 第四级安全功能要求实体鉴别;
作;
作;
;
作;
作;
作;
7.4.2 第四级安全保证要求7.5 第五级:访问验证保护级7.5.1 第五级安全功能要求操作;
操作;
作;
操作;
操作;
操作;
7.5.2 第五级安全保证要求
附录 A
(资料性附录)
标准概念说明
A.1 组成与相互关系
A.2 关于网络各层协议主要功能的说明
物理层的主要功能是为数据链路层提供物理连接,以透明地传送位数据流,并负责物理连接的激活、维持和撤消。物理层的设计与具体的物理介质有关。除介质外,物理层的设备还有中继器和集中器等。
根据物理层所完成的主要功能,物理层安全可采用加密数据流的方法来确保所传送的数据受到应有的保密性和完整性保护,防止其遭受非授权的泄露或破坏。物理层安全还应包括对物理线路和设备的安全保护。对于加密机来说,其自身安全也应有相应的要求。链路层的主要功能是负责在两个相邻节点间的链路上无差错地传送以帧为单位的数据,将有差错的物理链路转化为无差错链路,并负责数据链路的建立、维持和释放,进行校验、重发和流量控制。实现链路层协议,需要必要的软、硬件,以及网桥和二层交换机等链路层设备。根据链路层所完成的主要功能,链路层安全应确保所传送的数据受到应有的保密性和完整性保护,防止其受到非授权的泄露或破坏。链路层安全主要应考虑链路级实体鉴别、支持链路加密、VLAN划分、第二层转发协议(L2F)、第二层隧道协议(L2TP))等安全技术和机制,对网上传输的信息进行安全保护。链路层信息安全保护是网络系统安全保护的重要组成部分。不同等级的安全保护要求链路层具有不同的安全机制和措施。
对实现链路层协议的软、硬件设备自身进行安全保护也是链路层安全应考虑的问题。网络层的主要功能是选择合适的路由和交换节点,以透明地向目的节点交付发送节点所发送的分组或包。网络层的设备有路由器、三层(路由)交换机等。网络层的作用是将数据分成一定长度的分组,将分组穿过子网从信源传送到信宿,并负责进行路由选择,控制分组流量,解决网络互连。根据网络层所要完成的主要功能,网络层安全主要应对实现网络层协议的信息处理系统,采用身份鉴别、访问控制、加密、一致性检验等方法来确保所传送的数据受到应有的保密性和完整性保护,防止其受到非授权的泄露或破坏。实现网络层安全功能的SSON,对不同的安全保护等级有不同的安全要求,应采用不同的方法和策略来设计。网络层安全主要应通过 IP包过滤、地址转换(NAT)、虚拟专用网、虚拟IP地址(VIP)、第三层隧道协议(包括通用路由封装(GRE)、IPSec)等安全技术和机制,对网上传输的信息进行保护。网络层的主要安全设备有:安全路由器、VPN网关、网络密码机等。
传输层的主要功能是向上一层提供一个可靠的端到端的通信服务,即在源节点与目的节点之间透明地传送报文。传输层的主要设备有传统网关、四层交换机等。传输层是第一个端-端层,为上层用户提供不依赖于具体网络的透明的端-端数据传输服务,进行差错控制
和流量控制,通过分流和复用提高传输效率、降低传输费用。根据传输层所完成的主要功能,传输层安全主要应采用身份鉴别、访问控制、加密等方法,确保所传送的数据受到应有的保密性和完整性保护,防止其受到非授权的泄露或破坏。不同的安全保护等级对实现传输层安全功能的SSON有不同的安全要求,应采用不同的安全策略。会话层负责在两个会话用户之间建立和清除对话,并有故障恢复功能。会话层是最“薄”的一层,在有些网络中可以省略。会话层的设备有传统网关等。根据会话层所实现的功能,会话层安全应采用身份鉴别、访问控制、加密等方法,确保所传输的信息的保密性和完整性。不同的安全保护等级对实现会话层安全功能的SSON 有不同的安全要求,应采用不同的安全策略。表示层为上层用户提供数据或信息语法的表示转换,负责系统内部的数据表示与抽象数据表示之间的转换工作,还可以进行数据加/解密和压缩/解压缩等转换。表示层的设备有传统网关等。根据表示层所实现的功能,表示层安全应通过身份鉴别、访问控制、保密性、完整性和抗抵赖等,确保所传输的信息的保密性和完整性。不同的安全保护等级对实现表示层安全功能的SSON有不同的安全要求,应采用不同的安全策略。
应用层描述网络提供的通用服务,主要功能是提供应用进程所需要的信息交换和远程操作,并作为相互作用的应用进程的用户代理,完成信息交换所必须的功能。应用层的网络设备有传统网关、七层交换机等。应用层协议描述了某一特定领域或某一类应用的通信功能,如域名服务、文件传输、电子邮件等。应用层安全应通过身份鉴别、访问控制、保密性、完整性和抗抵赖等,确保所传输数据信息的保密性和完整性。不同的安全保护等级对实现应用层安全功能的SSON有不同的安全要求,应采用不同的安全策略。
A.3 关于安全保护等级划分
在进行网络的安全性设计时,应根据OSI参考模型,考虑实际构成网络的每一层协议实现的安全性,把每一层协议的处理当作一个相对独立的信息处理系统来看待,使其达到网络整体安全要求的安全保护等级。
A.4 关于主体和客体
在一个网络系统中,每一个实体成分都必须或者是主体,或者是客体,或者既是主体又是客体。网络系统的各层协议之间的关系也应看成是主、客体关系。他们之间协同工作,共同完成两个实体之间传送数据的任务。
A.5 关于SSON、SSF、SSP、SFP及其相互关系
SSON、SSF、SSP、SFP是本标准中的重要的概念。在网络各层协议的实现中,SSON(网络安全子系统)是构成一个安全的网络系统的所有安全保护装置的组合体。一个SSON可以包含多个SSFSSOIS安全功能模块),每个SSF是一个或多个SFP(安全功能策略)的实现。SSP(SSON安全功能策略)是这些SFP的总称,构成一个安全域,以防止不可信主体的干扰和篡改。实现SSF有两种方法,一种是设置前端过滤器,另一种是设置访问监控器。两者都是在一定硬件基础上通过软件实现确定的安全策略,并提供所要求的附加服务。在网络环境下,一个SSON可能跨网络实现,构成一个物理上分散、逻辑上统一的分布式SSON。
A.6 关于数据流控制
《计算机网络基础与应用配套练习(第二版)》参考答案
《计算机网络基础与应用配套练习》参考答案 (2017年7月改) 模块一计算机网络基础 任务一认识网络 一、填空题 1.通信设备、线路、资源共享、数据通信 2.资源共享、数据通信 3.终端 4.局域网、城域网 5.地址围、传输介质、建筑物、单位 6.网络启动芯片 7.工作站、服务器 8.对等网、工作站/服务器网 9.传输介质、拓扑结构、访问控制方式 10.LAN 11.远程网、局域网 12.Internet、信息系统 三、判断题 四、解答题 1.什么是计算机网络?它有哪些功能?举例说明计算机网络的应用。 答:计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。计算机网络要实现资源共享和数据通信功能;主要应用有网络会议、电子商务、网上办公、网上交流、网络影音等。 2.计算机网络可分为几类?网络系统可由哪些系统构成? 答:计算机网络按其拓扑结构分为星形结构、总线形结构、环形结构、树形结构 星形:传输快,网络构形简单,建网容易,便于控制和管理,但可靠性低,网络共享能力差。 总线形:网络结构简单、灵活,可扩充性能好,可靠性高,速度快,成本低,但实时性较差。 环形:结构简单,可靠性高,但不便于扩充,系统响应延时长,信息传输效率相对较低。 树形:网络成本低,结构简单,扩充方便、灵活。
3.典型的局域网络硬件由哪些部分组成?并说出各部分的作用。 答:局域网硬件包括交换机、网卡、路由器等。 网卡是网络接口卡的简称,是计算机与网络之间的连接设备; 交换机是组成网络系统的核心设备,用于实现计算机之间的连接; 路由器是一种连接多个网络或网段的网络设备。 4.简述计算机网络软硬件的基本组成。 答:计算机网络硬件由计算机或终端设备、传输介质、网络设备组成;计算机网络软件由网络操作系统、网络协议和网络应用软件组成。 5.通信网中常用的通信传输介质有哪几种? 答:常见的通信传输介质有:同轴电缆、双绞线、光纤、无线微波、低轨卫星信号、蓝牙。 任务二认识网络标识及通信协议 一、填空题 1.国际标准化组织 2.逻辑链路子层、媒体访问控制子层 3.TCP/IP 4.传输控制协议/网际协议 5.网络号、主机号 6.IP地址 7.32、128 8.网络号、主机号 9.网络层、应用层 10.802.3 三、判断题 四、解答题 1.什么是计算机网络协议?其作用是什么? 答:网络通信协议就是网络设备进行正常通信的一套规则,这套规则可以理解为一种彼此都能听得懂的公用语言。它是网络中设备以何种方式交换信息的一系列规定的组合,它对信息交换的速率、传输代码、代码结构、传输控制步骤、出错控制等许多参数做出定义。 2.什么是计算机局域网?它由哪几部分组成的? 答:局域网指在有限的地理围构作的计算机网络,它是计算机硬件和传输介质的结合,典型特征是位
网络信息安全基础知识培训
网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂
8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病
计算机网络基础与应用课程标准
《计算机网络基础与应用》课程标准 1.概述 1.1课程性质 计算机网络是计算机技术和通信技术密切结合而形成的新的技术领域,是当今计算机界公认的主流技术之一,也是迅速发展并在信息社会中得到广泛应用的一门综合性学科。作为信息类学生应该了解并掌握一定程度的计算机网络与数据 通信的知识及应用。 总时间:课内64学时。学分:4 1.2课程作用 过本课程的学习使学生能够在已有的计算机基础知识、计算机系统结构和计算机原理等基础上,对网络技术有一个系统的、全面的了解;理解计算机网络的体系结构和基本原理,尤其是TCP/IP协议簇和IEEE 802系列,培养实际动手能力,使学生能充分运用并掌握科学的现代化网络管理方法和手段,为本专业服务,为今后能够迅速地适应社会各方面管理工作的需要服务,为Internet开发与管理和局域网的组建、规划和管理打下良好基础,从而为社会培养高素质的现代化信息管理人材。 1.3课程设计 1.3.1课程设计理念: 《计算机网络基础与应用》是计算机网络基础课程中重要的实践环节,是计算机网络基础课程不可分割的组成部分,是将计算机网络的理论知识用于实践的重要过程,是培养高技能应用性人才不可缺少的重要手段之一。本课程包括计算机网络的验证性实验和综合性设计实验两部分。通过实验的学习加深学生对计算机网络的理论知识理解和综合运用理论知识解决实际问题的能力。 1.3.2课程设计思路: 本课程设计是为了巩固计算机网络基础理论教学所学知识、检验教学效果、增强实际动手能力培养的重要实践教学环节。通过本课程设计,使学生加深对计算机网络的理解,熟悉局域网中搭建小型局域网基本方法,培养实际动手能力。并且发挥学生主观能动性,培养学生自我学习的能力
网络基础知识培训资料
网络基础知识 .什么是局域网: 局部区域网络( )通常简称为"局域网",缩写为。局域网是结构复杂程度最低的计算机网络。局域网仅是在同一地点上经网络连在一起的一组计算机。局域网通常挨得很近,它是目前应用最广泛的一类网络。通常将具有如下特征的网称为局域网。 )网络所覆盖的地理范围比较小。通常不超过几十公里,甚至只在一幢建筑或一个房间内。 )信息的传输速率比较高,其范围自到,近来已达到。而广域网运行时的传输率一般为、或者、。专用线路也只能达到。 )网络的经营权和管理权属于某个单位。 .什么是广域网: 广域网( , )它是影响广泛的复杂网络系统。 由两个以上的构成,这些间的连接可以穿越*以上的距离。大型的可以由各大洲的许多和组成。最广为人知的就是,它由全球成千上万的和组成。 有时、和间的边界非常不明显,很难确定在何处终止、或在何处开始。但是可以通过四种网络特性通信介质、协议、拓扑以及私有网和公共网间的边界点来确定网络的类型。通信介质是指用来连接计算机和网络的电缆、光纤电缆、无线电波或微波。通常结束在通信介质改变的地方,如从基于电线的电缆转变为光纤。电线电缆的通常通过光纤电缆与其他的连接。 .什么是网桥: 网桥这种设备看上去有点像中继器。它具有单个的输入端口和输出端口。它与中继器的不同之处就在于它能够解析它收发的数据。网桥属于模型的数据链路层;数据链路层能够进行流控制、纠错处理以及地址分配。网桥能够解析它所接受的帧,并能指导如何把数据传送到目的地。特别是它能够读取目标地址信息(),并决定是否向网络的其他段转发(重发)数据包,而且,如果数据包的目标地址与源地址位于同一段,就可以把它过滤掉。当节点通过网桥传输数据时,网桥就会根据已知的地址和它们在网络中的位置建立过滤数据库(也就是人们熟知的转发表)。网桥利用过滤数据库来决定是转发数据包还是把它过滤掉. .什么是网关: 网关不能完全归为一种网络硬件。用概括性的术语来讲,它们应该是能够连接不同网络的软件和硬件的结合产品。特别地,它们可以使用不同的格式、通信协议或结构连接起两个系统。和本章前面讨论的不一样,网关实际上通过重新封装信息以使它们能被另一个系统读取。为了完成这项任务,网关必须能运行在模型的几个层上。网关必须同应用通信,建立和管理会话,传输已经编码的数据,并解析逻辑和物理地址数据。
计算机网络基础及internet应用试题
计算机网络基础及internet应用 一、单项选择题 02 "地址栏中输入的https://www.360docs.net/doc/5315087369.html,中,https://www.360docs.net/doc/5315087369.html, 是一个__A____。 A.域名 B.文件 C.邮箱 D.国家" 03 "通常所说的ADSL是指__A___。 A.上网方式 B.电脑品牌 C.网络服务商 D.网页制作技术" 04 "下列四项中表示电子邮件地址的是__A___。 A.ks@https://www.360docs.net/doc/5315087369.html, B.192.168.0.1 https://www.360docs.net/doc/5315087369.html, https://www.360docs.net/doc/5315087369.html, 06 下列四项中表示域名的是__A____。 https://www.360docs.net/doc/5315087369.html,tv.co B.hk@https://www.360docs.net/doc/5315087369.html, C.zjwww@https://www.360docs.net/doc/5315087369.html, D.202.96.68.1234 08 电子邮件地址stu@https://www.360docs.net/doc/5315087369.html,中的https://www.360docs.net/doc/5315087369.html,是代表_D_ A.用户名 B.学校名 C.学生姓名 D.邮件服务器名称" 10 "计算机网络最突出的特点是_A___。 A.资源共享 B.运算精度高 C.运算速度快 D.内存容量大 14 "网址“https://www.360docs.net/doc/5315087369.html,”中的“cn”表示__D____。 A.英国 B.美国 C.日本 D.中国" 15 "在因特网上专门用于传输文件的协议是_A_ 。 A.FTP B.HTTP C.NEWS D.W ord" 16 "“https://www.360docs.net/doc/5315087369.html,”是指__ A____。 A.域名 B.程序语句 C.电子邮件地址 D.超文本传输协议" 20 "地址“ftp://218.0.0.123”中的“ftp”是指____A__。 A.协议 B.网址 C.新闻组 D.邮件信箱" 21 " 如果申请了一个免费电子信箱为zjxm@https://www.360docs.net/doc/5315087369.html,,则该电子信箱的账号是__A ___。 A.zjxm B.@https://www.360docs.net/doc/5315087369.html, C.@sina https://www.360docs.net/doc/5315087369.html, " 22 "http是一种__D____。 A.域名 B.高级语言 C.服务器名称 D.超文本传输协议" 23 "上因特网浏览信息时,常用的浏览器是__D____。 A.KV3000 B.Word 97 C.WPS 2000 D.Internet Explorer" 26 "下列属于计算机网络通信设备的是__B____。 A.显卡 B.网线 C.音箱 D.声卡" 27 "个人计算机通过电话线拨号方式接入因特网时,应使用的设备是__B____。 A.交换机 B.调制解调器 C.电话机 D.浏览器软件
计算机网络应用基础试题与答案
计算机网络基础参考试题及答案解析 -、单项选择题 (1)我国在1991年建成第一条与国际互联网连接的专线,与斯坦福大学连接成功,实现者是中国科学院的( )。 A)数学所 B)物理所 C)高能所 D)情报所 答案:B) 解析:1991年6月我国第一条与国际互联网连接的专线建成,它从中国科学院高能物理研究所接到美国斯坦大学的直线加速器中心。 (2)关于计算机网络的讨论中,下列哪个观点是正确的? ( ) A)组建计算机网络的目的是实现局域网的互联 B)联入网络的所有计算机都必须使用同样的操作系统 C)网络必须采用一个具有全局资源调度能力的分布操作系统 D)互联的计算机是分布在不同地理位置的多台独立的自治计算机系统 答案:D) 解析:目前计算机网络的基本特征有:计算机网络建立的主要目的是实现计算机资源的共享;互联的计算机是分布在不同地理位置的多台独立的“自治计算机”;联网计算机之间的通信必须遵循共同的网络协议,并不要求连入网络的计算机使用相同的操作系统。 (3)广域网覆盖的地理范围从几十公里到几千公里。它的通信子网主要使用( )。 A)报文交换技术 B)分组交换技术 C)文件交换技术 D)电路交换技术 答案:B) 解析:广域网的通信子网主要使用分组交换技术,将分布在不同地区的局域网或计算机系统互联起来,达到资源共享的目的。 (4)关于城域网建设方案特点的描述中,下列哪些是正确的? (
) ①主干传输介质采用光纤 ②交换结点采用基于IP交换的高速路由交换机或ATM交换机 ③采用ISO/OSI七层结构模型 ④采用核心交换层,业务汇聚层与接入层3层模式 A)①②④ B)②③ C)①③④ D)①②③ 答案:A) 解析:本题考查城域网建设方案的共同点。目前各 种城域网的建设方案有几个共同点,那就是:传输介质用光纤,交换 结点采用基于IP交换的高速路由交换机或者ATM交换机,在体系结构上 采用核心交换层、业务汇聚层与接入层的3层模式,以适应各种业务需 求、不同协议与不同类型用户的接入需要。 (5)广域网一般采用网状拓扑构型,该构型的系统可靠性高,但是 结构复杂。为了实现正确的传输必须采用( )。 I.光纤传输技术 Ⅱ.路由选择算法 Ⅲ.无线通信技术 Ⅳ.流量控制方法 A)I和Ⅱ B)I和Ⅲ C)Ⅱ和Ⅳ D)Ⅲ和Ⅳ 答案:C) 解析:网状拓扑结点之间的连接是任意的,可靠性 高,结构复杂,广域网基本上都采用这种构型。网状拓扑的优点是系 统可靠性高,但是结构复杂,必须采用路由选择算法与流量控制方法 来实现正确的传输。目前实际存在和使用的广域网基本上都是采用网 状拓扑构型。 (6)常用的数据传输速率单位有Kbps、Mbps、Gbps,lGbps等于( )。 A)1×103Mbps B)1×103Kbps C) l×106Mbps D) 1×109Kbps 答案:A) 解析:本题考查简单的单位换算。所谓数据传输速
网络信息安全基础知识培训
网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容
(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀3、及时安装系统补丁
4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级
4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件
第七章__Internet基础及应用测试题
Internet基础知识测试题 选择题 1.目前世界上最大的计算机网络是。 A)Intranet B)Internet C)Extranet D)Ethernet 2.个人用户接入Internet要首先连接到。 A)ICP B)TCP C)ISP D)P2P 3.Internet的前身是。 A)ARPANET B)NSFNET C)CERNET D)INTRANET 4.以下对IP地址的说法不正确的是。 A)IP地址的主要功能是为了相互区分 B)Internet中计算机的IP地址不可以重复 C)IP地址是可以自己任意指定 D)IP地址采用了二进制 5.Internet上使用的客户机/服务器(Client/Server)模式中,是提出服务请求的主机,而是提供服务的主机。 A)PC机/小型机 B)用户机/客户机 C)客户机/服务器 D)小型机/服务器 6.下列说法不正确的是。 A)IP协议只负责数据的传输,它尽可能传输更多的数据包 B)TCP协议负责数据在主机之间正确可靠的传输 C)TCP/IP协议所采用的通信方式是分组交换 D)多台计算机设置同一个IP地址连接到Internet 7.在IPv6协议中,IP地址由位二进制数组成。 A)32 B)210 C)64 D)128 8.下面的IP地址中属于C类地址的是。 A)61.6.151.11 B)128.67.205.71 C)202.203.208.35 D)255.255.255.192 9.Internet中的主机之间进行通信时,利用子网掩码和IP地址进行运算就可以得到主机的网络地址。 A)与 B)或 C)非 D)加 10.Internet上计算机的域名由多个域构成,域间用分隔。 A)冒号 B)逗号 C)空格 D)句点 11.下面关于域名的说法正确的是。 A)域名是计算机所在的行政区域名 B)使用域名的原因是访问时速度更快 C)域名中最左边的部分是顶级域名 D)域名具有惟一性 12.Internet域名地址中的net代表。 A)政府部门 B)商业部门 C)网络服务器 D)一般用户 13.Internet域名地址中的gov代表。 A)政府部门 B)商业部门 C)网络服务器 D)一般用户 14.以下选项中,不是顶级域名。 A)net B)gov C)www D)com 15.从网址https://www.360docs.net/doc/5315087369.html, 可以看出它是中国的一个的站点。 A)商业机构 B)网络机构 C)政府部门 D)教育机构 16.一个URL地址的一般组成格式从左到右依次为。 A)资源类型,存放资源主机的域名和资源文件名 B)资源类型,资源文件名和存放资源主机的域名 C)主机域名,资源类型,资源文件名 D)资源文件名,主机域名,资源类型 17.URL的作用是。 A)查找主机的地址 B)定位Internet上信息资源的地址 C)域名与IP地址的转换 D)网上文件的文件名 18.下列说法中正确的是。 A)无线上网方式只能用手机上网 B)局域网中的计算机不可以访问Internet C)个人用户先连接到ICP,再通过ICP连接到Internet。 D)笔记本电脑也可以无线上网 19.WWW也被称为“环球网”,它与Internet的关系是。 A)都表示因特网,只不过名称不同 B)WWW是Internet上的一个应用 C)只有通过WWW才能访问Internet D)WWW是Internet上的一种协议 20.如果URL地址以http开始,表示该资源遵循的是协议。 A)纯文本 B)POP3 C)TCP/IP D)超文本传输 21.电子邮件地址的格式是。 A)用户名@主机域名 B)用户名At主机名 C)用户名.主机域名 D)主机名.用户名22.采用POP3方式收发电子邮件时,以下说法中正确的是。 A)发送电子邮件服务器使用SMTP协议 B)接收电子邮件服务器的域名或IP地址,应填入自己的电子邮件地址 C)发送邮件服务器是指电子邮件发送者的计算机 D)接收邮件服务器是指电子邮件接收者的计算机 23.下面关于电子邮件的说法正确的是。 A)如果发送电子邮件时对方没有上网,则电子邮件会丢失 B)可以在任何时间来收发电子邮件 C)换一台计算机或换一个地点后就不可以用原来的账号收发电子邮件 D)网络上的电子邮件地址代表一个IP地址 24.Internet上的服务都是基于一定的协议,文件传输服务基于协议。 A)SMTP B)TELNET C)HTTP D)FTP 25.用户通过Internet接收电子邮件时,用户的电子邮件信箱是设在。 A)用户的计算机上 B)邮电部门的邮件中转站上 C)用户的电子邮件服务器上 D)根本不存在实际的电子信箱 26.匿名FTP服务的含义是。 A)在Internet上没有地址的FTP服务器 B)在Internet上看不到地址的计算机 C)发送匿名信息的计算机 D)允许没有账号的用户登录到FTP服务器 27.以下对于各种网络应用描述不正确的是。 A)论坛可以分为综合类论坛和专题类论坛 B)即时通信是指能够即时发送和接收因特网消息等的Internet业务 C)博客的内容只能自己浏览 D)可以通过手机写博客
网络信息安全基础知识培训学习
主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀
3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法
网络基础及因特网应用选择题(总)
网络基础及因特网应用练习题 1.以下因特网应用中,____是将信息检索和超文本技术融合而成的。 A:电子邮件EMAIL B:文件传输FTP C:电子公告牌系统BBS D:网页浏览 2.以下是重新浏览已经访问过的网站信息的操作,不正确的是____。 A:单击工具栏中“后退”按钮B:单击键盘上退格键 C:单击工具栏上的“刷新”按钮D:alt +左光标移动键 3.在Outlook Express 中设置惟一电子邮件帐号:kao@sina.com,现成功接收到一封来自shi@sina.com 的邮件,则以下说法正确的是 A:在收件箱中有kao@sina.com邮件 B:在收件箱中有shi@sina.com邮件 C:在本地文件夹中有kao@sina.com邮件 D:在本地文件夹中有shi@sina.com邮件 3.计算机网络的主要应用有情报资料检索、远程教育、金融系统、军事应用等,因特网在发展过程中, 最初的应用就是______。 A:情报资料检索B:远程教育C:金融系统D:军事应用 4.浏览因特网网页时,在带有链接的图片上右击,出现一列快捷菜单,则 A:选择“目标另存为……”可以保存该图片 B:选择“目标另存为……”可以保存该图片链接的文件 C:选择“添加到收藏夹……”可以保存该图片 D:选择“打开链接”可以保存该图片 5.在Outlook Express中_____操作可以设置电子邮件帐号。 A:选择工具菜单中“帐号……”命令B:选择工具菜单中“选项……”命令 C:选择邮件菜单中“帐号……”命令D:选择邮件菜单中“选项……”命令 6.在Outlook Express中_____操作可以设置电子邮件帐号。 A:选择工具菜单中“帐号……”命令B:选择工具菜单中“选项……”命令 C:选择邮件菜单中“帐号……”命令D:选择邮件菜单中“选项……”命令 7.在Outlook Express中,默认情况下删除邮件后,该邮件_______。 A:在回收站中B:在草稿箱中C:在已删除邮件文件夹中D:在本地文件夹中 8.以下IE工具栏中的______命令按钮不会新打开一个窗口。 A:搜索B:历史C:收藏D:打印 9.使用调制解调器连入因特网时,应在IE的“Internet选项…”中设置______比较合适。 A:始终拨打默认连接B:从不进行拨号连接 C:不论网络连接是否存在都进行拨号D:使用代理服务器 10.以下_____不是Internet Explorer工具栏上的默认按钮。 A:搜索B:收藏夹C:保存D:打印 11.将当前浏览的标题为“welcome”的页面保存时(采用默认文件名)_____。 A:可以得到一个index.htm页面和index文件夹 B:可以得到一个welcome.htm页面和welcome.files文件夹 C:可以得到一个index.htm页面和welcome文件夹 D:可以得到一个welcome.htm页面和index文件夹 12.在收到kao@https://www.360docs.net/doc/5315087369.html,的主题为“听课名单”的邮件后,若点击“转发”按钮将该邮件转发给mao@https://www.360docs.net/doc/5315087369.html,, 则_____。 A:在发件人栏填上mao@163.Net B:在主题栏填上“听课名单” C:在收件人栏填上kao@https://www.360docs.net/doc/5315087369.html, D:主题栏上自动填有:FW:听课名单或转发:听课名单
实用计算机网络技术第三版课后习题参考答案精修订
实用计算机网络技术第三版课后习题参考答案 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-
实用计算机网络技术(第3版)课后答案 第1章计算机网络基础知识 一、 二、
三、 1、网络硬件:即网络设备,是构成网络的节点,包括计算机和网络互联设备。 传输介质:传输介质是把网络节点连接起来的数据传输通道,包括有线传输介质和无线传输介质。 网络软件:网络软件是负责实现数据在网络设备之间通过传输介质进行传输的软件系统。包括网络操作系统、网络传输协议、网络管理软件、网络服务软件、网络应用软件。 2、资源共享,如打印机共享;数据传输,如发送电子邮件;协调负载,如分布式计算系统;提供服务,如网页发布服务。 3、IP地址是给每一个使用TCP/IP协议的计算机分配的一个惟一的地址,IP地址的结构能够实现在计算机网络中很方便地进行寻址。IP地址由一长串十进制数字组成,分为4段l2位,不容易记忆。为了方便用户的使用,便于计算机按层次结构查询,就有了域名。域名系统是一个树状结构,由一个根域(名字为空)下属若干的顶级域,顶级域下属若干个二级域、三级域、四级域或更多。域名肯定有对应的IP地址,IP地址却不一定都有域名,二者不是一一对应关系。一个IP可以有多个域名,在动态DNS应用中,一个域名也会对应多个IP地址。 4、从主机位借三位作为子网位,划分为八个子网,具体如下表:
第2章网络传输介质一、
二、 三、 1、有线、无线 2、双绞线、光纤、同轴电缆;微波、红外、蓝牙 3、光信号、电信号 4、粗同轴电缆、细同轴电缆 5、发光、注入型激光
2016春季学期《互联网基础与应用》综合练习题问题详解TF
“互联网基础与应用”综合练习题参考答案 一、填空题 1.计算机网络 2.通信线路路由器主机信息资源 3.客户机/服务器 4.因特网协会(Internet Society,ISOC)中国互联网络信息中心(China Internet Network Information Center,简称CNNIC) 5.语法语义时序 6.网络接口层、网络层、传输层、应用层 7.TCP/IP传输控制协议(Transmission Control Protocol,TCP)网际协议(Internet Protocol, IP) 8.域名解析将主机域名映射成主机的IP地址 9.网络攻击计算机病毒垃圾灰色软件 10.统一资源定位符(URL)超文本传送协议(HTTP)超文本标记语言(HTML) 11.Web蜘蛛数据库搜索工具 12.“发送服务器”(SMTP服务器)“接收服务器”(POP3服务器或IMAP服务器) 13.FTP命令行程序WWW浏览器FTP客户端程序。 14.状态连接 15.Telnet 仿真终端 https://www.360docs.net/doc/5315087369.html,enet 17.Telnet 文本 18.对等直接交换信息 19.Internet服务提供商(Internet Service Provider, ISP) 20.拨号接入xDSL接入局域网接入DDN专线接入无线接入 21.WLAN方式移动通信网方式 22.URL 网址 23.直接向浏览器输入一个关心的网址(URL) 登录到某个知名门户登录到某个搜索引擎 24.协议类型://服务器地址(必要时需加上端口号)/路径/文件名 25.输入需要访问网页的URL地址或显示当前网页的URL地址 26.网页网址检索 27.定期搜索提交搜索 28.用户名服务器名 29.SMTP协议POP3协议IMAP协议 30.HTTP 31.浏览器电子客户端 32.通过浏览器下载通过FTP下载P2P文件下载 33.通过超下载文件使用浏览器登录FTP站点下载文件 34.Torrent BT种子 35.文本音频视频 36.WebQQ 37.信息流和资金流及物流的统一网络安全网络信用 38.140 39.专业性微博门户微博
计算机网络基础与应用考试试卷及答案1
《计算机网络基础与应用》模拟试卷二 一、选择题(每题2分) 1.下列 A 拓扑结构网络的实时性较好。 A.环型B.总线型C.星型D.蜂窝型 2.当两个不同类型的网络彼此相连时,必须使用的设备是 B 。 A.交换机B.路由器C.收发器D.中继器 3.下列 C 不是OSI模型中物理层的主要功能。 A.机械特性B.电气特性C.流量特性D.功能特性 4.数据链路层处理的数据单位称为 B 。 A.位B.帧C.包D.段 5.路由器上的每个接口属于一个 C 域,不同的接口属于不同的 B 域。 A.路由B.冲突C.广播D.交换 二、填空题(每题3分) 1.计算机网络可以划分为由资源子网和通信子网组成的二级子网结构。 2.根据计算机网络的交换方式,可以分为电路交换网、报文交换网和分组交换网三种类型。 3.按使用的传输介质划分,信道可以分为有线信道___和__无线信道__两类。 4.按数据传输的方向和时序关系分类,信道可以分为_单工信道__、__半双工信道__和__全双工信道__ 三类。 5.按同步方式划分,交换可以分为同步交换和异步交换两种类型。 6.按占用信道的方式划分,交换可以分为电路交换和分组交换两种类型。 7.按信号分割方式划分,信道共享技术分为频分复用、时分复用、波分复用和码分复用 四种类型。 8.网络层所提供的服务可以分为面向连接服务和无连接两类服务。 9.根据光纤传输点模数的不同,光纤主要分为单模和多模两种类型。 10.MAC地址也称物理地址,是内置在网卡中的一组代码,由12 个十六进制数组成,总长48 位。 11.IEEE 802参考模型将OSI参考模型的数据链路层划分为逻辑链路控制子层与介质访问控制子层。 12.VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通 讯是需要有路由来完成的。 13.交叉双绞线的一个RJ45接头要采用568A 线序,另一个RJ45接头要采用568B 线序。 14.IPv6的地址位数增加到了128 位,即16 个字节。 15.网络安全包括物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等几个部分。 三、名词解释(每题5分) 1.时分复用 将整个频带的信道按时间划分成等长的时分复用帧。每个时分复用帧按照用户的数目再划分成等长的时隙。将一个时分复用帧的各个时隙按顺序编号,每一位时分复用的用户都将占有一个编号的时隙。而且对于任意一个时分复用帧来说,一个特定的用户所占用的时隙的编号是固定的。也即,对于一个特定的用户而言,在每一个时分复用帧中都有一个固定的时间片专门为其提供信道的使用服务。
网络信息安全知识培训
网络信息安全知识培训 网络信息安全知识培训网络信息安全基础知识培训 主要内容 ? 网络信息安全知识包括哪些内容 ? 培养良好的上网习惯 ? 如何防范电脑病毒 ? 如何安装杀毒软件 ? 如何防范邮件病毒 ? 如何防止QQ 密码被盗 ? 如何清除浏览器中的不明网址 ? 各单位二级站点的安全管理 ? 如何提高操作系统的安全性 ? 基本网络故障排查 网络信息安全知识包括哪些基本内容 ? ( 一) 网络安全概述 ? ( 二) 网络安全协议基础 ? ( 三) 网络安全编程基础 ? ( 四) 网络扫描与网络监听 ? ( 五) 网络入侵 ? ( 六) 密码学与信息加密 ? ( 七) 防火墙与入侵检测 ? ( 八) 网络安全方案设计 ? ( 九) 安全审计与日志分析 培养良好的上网习惯 ? 1、安装杀毒软件 ? 2、要对安装的杀毒软件进行定期的升级和查杀 ? 3、及时安装系统补丁 ? 4、最好下网并关机 ? 5、尽量少使用BT 下载,同时下载项目不要太多 ? 6、不要频繁下载安装免费的新软件 ? 7、玩游戏时,不要使用外挂 ? 8、不要使用黑客软件 ? 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 ? 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 ? 建议: ? 1 、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 ? 2 、写保护所有系统盘,绝不把用户数据写到系统盘上 ? 3 、安装真正有效的防毒软件,并经常进行升级 ? 4 、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet 、Email 中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 ? 5 、尽量不要使用软盘启动计算机
计算机网络基础答案-(23675)
计算机网络基础 请在以下五组题目中任选一组作答,满分100 分。 第一组: 一、计算题( 20 分) 1. 卫星信道的数据率为1M b/s 。数据帧长为2000bit。忽略确认帧长和处理时间。试计算下 列情况下的信道利用率: (1)停止等待协议。答:k=1,2/504=1/252 (2)连续ARQ协议, Wt=7。答:14/504=7/252 ( 3)连续ARQ协议,Wt=127。答: 254/504=127/252 (4)连续ARQ协议,Wt=255。答:2W=510>504,故信道利用率为1。 二、论述题( 40 分) 试用具体例子说明为什么在运输连接建立时要使用三次握手。 说明如不这样做可能会出现什么情况。 答:我们知道, 3 次握手完成两个重要的功能,既要双方做好发送数据的准备工 作(双方都知道彼此已准备好),也要允许双方就初始序列号进行协商,这个序 列号在握手过程中被发送和确认。 现在把三次握手改成仅需要两次握手,死锁是可能发生的。作为例子,考虑计算 机A 和 B 之间的通信,假定 B 给 A 发送一个连接请求分组, A 收到了这个分组, 并发送了确认应答分组。按照两次握手的协定, A 认为连接已经成功地建立了,可 以开始发送数据分组。可是, B在 A 的应答分组在传输中被丢失的情况下,将不知 道 A 是否已准备好,不知道 A 建议什么样的序列号, B 甚至怀疑 A 是否收到自己的连接请求分组。在这种情况下, B 认为连接还未建立成功,将忽略 A 发来的任何数 据分组,只等待连接确认应答分组。而 A 在发出的分组超时后,重复发送同样的 分组。这样就形成了死锁。 三、简答题(每小题 20 分,共 40 分) 1.简述异步传输模式的特点。 答:异步传输将比特分成小组进行传送,小组可以是8 位的 1 个字符或更长。发送方可以 在任何时刻发送这些比特组,而接收方从不知道它们会在什么时候到达。一个常见的例子是 -
刘兵《计算机网络基础与Internet应用(第三版)》参考答案
计算机网络基础与Internet应用 (第三版) 习题参考答案
第一章 一、填空题 1.局域网、城域网、广域网 2.专用网、公用网 3.WWW、FTP、EMAIL 4.计算机网络系统 5.报文交换、报文分组交换 6.电路交换 7.防火墙 8.telnet 9.TCP/IP协议 10.域名 二、选择题 1-5:ABDDB 6-10:ABDAD 三、判断 1-5:TTFFF 6-10:FTFFF 四、简答题 1.解: (1)把分布在不同地理位置上的具有独立功能的多台计算机、终端及其附属设备在物理上互连,按照网络协议相互通信,以共享硬件、软件和数据资源为目标的系统称作计算机网络。 (2)主要功能:数据通信、资源共享、计算机系统可靠性和可用性的提高、易于进行分布处理 2.解:按使用范围分为局域网、城域网和广域网 按建设计算机网络的属性来分:公用网和专用网。 按网络的拓扑结构来分:星形、总线形、环形、树形、全互连形和不规则形。 按信息的交换方式来分:电路交换、报文交换和报文分组交换。 3.(1)远程登录服务Telnet(Remote Login) (2)文件传送服务FTP (3)电子邮件服务E-mail(Electronic Mail) (4)电子公告板系统(BBS) (5)万维网 4.解:在对等网络模式中,相连的机器之间彼此处于同等地位,没有主从之分故又称为对等网络(Peer to Peer network)。它们能够相互共享资源,每台计算机都能以同样方式作用于对方。5. (1)星型拓扑结构是由中心结点和通过点对点链路连接到中心结点的各站点组成。星型拓扑结构的中心结点是主结点,它接收各分散站点的信息再转发给相应的站点。目前这种星型拓扑结构几乎是Ethernet双绞线网络专用的。这种星型拓扑结构的中心结点是由集线器或者是交换机来承担的。 (2)星型拓扑结构有以下优点:由于每个设备都用一根线路和中心结点相连,如果这根线路损坏,或与之相连的工作站出现故障时,在星型拓扑结构中,不会对整个网络造成大的影响,而仅会影响该工作站;网络的扩展容易;控制和诊断方便;访问协议简单。 星型拓扑结构也存在着一定的缺点:
计算机网络基础与Internet应用(答案)
第2部分网络基础与Internet应用 关于IP地址和Internet域名的关系: 一个IP地址可以对应多个域名 为了实现计算机通过有线电视线路联入Internet,必不可少的硬件设备是电缆调制解调器 浏览器的默认URL地址___D___。 指打开Web浏览器时,浏览器自动访问的URL地址 下列有关万维网的叙述中,说法错误的是__D____。 A:万维网通常简称维WWW(√) B:万维网采用超文本与超媒体技术(√) C:万维网最基本的组成是HTML主页(√) D:因特网就是万维网(×) 万维网使用的协议是HTTP 在下列有关万维网信息浏览服务的叙述中,说法错误的是 A:万维网遵循HTTP超文本传输协议(√) B:编写Web主页的基本语言是HTML超文本标识语言(√) C:万维网仅由相互链接的Web主页文件组成(×) D:显示与播放Web主页内容的客户程序是Web浏览器(√) 下列内容中,可以直接嵌入万维网的主页文件中的是 Java Script 脚本语言源程序 Web浏览器通过搜索引擎查询信息的主要方法为分类目录查询与关键词查询 在使用Web浏览器访问Web主页系统时 在同一个web浏览器窗口不可以同时访问多个URL地址对应的信息服务 Internet上计算机的名字由许多域构成,域间用分隔符号是 小圆点 有关在Internet上计算机的IP地址和域名的说法中,错误的是 A:IP地址与域名的转换一般由域名服务器来完成(√) B:域名服务器就是DNS服务器(√) C:与Internet连接的任何一台计算机或网络都有IP地址(√) D:与Internet连接的任何一台计算机或网络都有域名(×) Internet不属于某个国家或组织 在Internet上使用的基本通信协议是TCP/IP 以下IP地址中,正确的是 A:192.168 B:192 C:192.168.0.1 D:192.168.0 有些URL前部的ftp表示文件传输协议 在网址https://www.360docs.net/doc/5315087369.html, /中,com表示域名 在“收件箱”和“已发送邮件”文件夹中被删除的邮件会转移到“已删除邮件”文件夹中。那么在“已删除邮件”文件夹中,选中某邮件点击“删除”按钮,该邮件将会被彻底删除要将一封电子邮件同时发送给几个人,可以在收件人栏中输入他们的地址,所用分隔是,关于发送电子邮件,
计算机网络技术(第三版)习题
附录:课后习题答案 第一章 1.计算机网络就是指,将分布在不同地理位置具有独立功能的多台计算机及其外部设 备,用通信设备和通信线路连接起来,在网络操作系统和通信协议及网络管理 软件的管理协调下,实现资源共享、信息传递的系统。 计算机网络的功能主要体现在以下几方面: ①实现计算机系统的资源共享 ②实现数据信息的快速传递 ③提高可靠性 ④提供负载均衡与分布式处理能力 ⑤集中管理 ⑥综合信息服务 2. 略 3. 用户资源子网提供访问网络和处理数据的能力,是由主机系统、终端控制器和终端 组成;通信子网是计算机网络中负责数据通信的部分,主要完成数据的传输、交换 以及通信控制。通信子网为用户资源子网提供信息传输服务;用户资源子网上用户 间的通信是建立在通信子网的基础上的。网络书稿第二版-(附习题答案) 4. 星型的中心节点是主节点,它接收各分散节点的信息再转发给相应节点,具有中继 交换和数据处理功能。星型网的结构简单,建网容易,但可靠性差,中心节点 是网络的瓶颈,一旦出现故障则全网瘫痪。 网络中节点计算机连成环型就成为环型网络。环路上,信息单向从一个节点传送到 另一个节点,传送路径固定,没有路径选择问题。环型网络实现简单,适应传 输信息量不大的场合。由于信息从源节点到目的节点都要经过环路中的每个节点, 任何节点的故障均导致环路不能正常工作,可靠性较差。 总线结构中,各节点通过一个或多个通信线路与公共总线连接。总线型结构简单、 扩展容易。网络中任何节点的故障都不会造成全网的故障,可靠性较高。 树型网络是分层结构,适用于分级管理和控制系统。与星型结构相比,由于通信线 路长度较短,成本低、易推广,但结构较星型复杂。网络中,除叶节点极其连 线外,任一节点或连线的故障均影响其所在支路网络的正常工作。 网状结构又称为不规则型,网络中各节点的连接没有一定的规则,一般当节点地理 分散,而通信线路是设计中主要考虑因素时,采用不规则网络。目前,实际存在的 广域网,大都采用这种结构。