网络信息安全技术习题与答案
网络信息安全课后习题答案
1•信息安全根源:①网络协议的开放性,共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。
2. 网络信息系统的资源:①人:决策、使用、管理者②应用:业务逻辑组件及界面组件组成③支撑:为开发应用组件而提供技术上支撑的资源。
3. 信息安全的任务:网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用;信息安全的任务是保障信息在存储、传输、处理等过程中的安全,具体有机密性、完整性、不可抵赖性、可用性。
4. 网络安全防范体系层次:物理层、系统层、网络层、应用层、管理层安全5. 常见的信息安全技术:密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。
-- .1. 简述对称加密和公钥加密的基本原理:所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密,或虽不相同,但可由其中任意一个很容易推出另一个;公钥加密使用使用一对唯一性密钥,一为公钥一为私钥,不能从加密密钥推出解密密钥。
常用的对称加密有:DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有:RSA、Diffie-Hellman 密钥交换、ElGamal2. 凯撒密码:每一个明文字符都由其右第三个字符代替RSA①选两个大素数pq②计算n=pq和® (n)=(p-1)(q-1) ③随机取加密密钥e,使e 和® (n)互素④计算解密密钥d,以满足ed=1moc^ (n)⑤加密函数E(x)=m e mod n,解密函数D(x)=c c mod n, m是明文,c使密文⑥{e , n}为公开密钥,d 为私人密钥, n 一般大于等于1024 位。
D-H密钥交换:①A和B定义大素数p及本源根a②A产生一个随机数x,计算X=c i mod p,并发送给B③B产生y,计算Y二a mod p,并发送给A④A计算k=Y x mod p⑤B计算k'二乂mod p⑥k, k'即为私密密钥1. PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱动。
网络与信息安全管理员习题(含答案)
网络与信息安全管理员习题(含答案)一、单选题(共69题,每题1分,共69分)1.()指Android为应用程序开发者提供的APIs,包括各种各样的控件。
A、操作系统层B、Android运行环境C、应用程序框架D、应用程序正确答案:C2.某单位一个大办公室内共需放置24台台式计算机,那么在进行网络规划时,一般考虑采用的传输介质是()。
A、多模光纤B、双绞线C、微波D、单模光纤正确答案:B3.数字信号经调制后的传输速率称波特率,即单位时间内传送的()个数。
A、模拟信号B、电信号C、光信号D、二进制数正确答案:D4.个人()在互联网上发布危险物品信息。
A、禁止B、向电信主管部门申请办理互联网信息服务增值电信业务经营许可后C、办理非经营性互联网信息服务备案手续D、持从事危险物品活动的合法资质材料到所在地县级以上人民政府公安正确答案:A5.()是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性,主要包括计算灾难发生的可能性、计算灾难发生后的损失、计算风险值。
A、风险计算B、风险评估C、风险规避D、风险量化正确答案:A6.网吧管理人员未核对登记上网消费者的有效身份证件并记录有关上网信息的,()可罚款、警告。
A、公安机关B、电信部门C、工商行政部门D、文化行政部门正确答案:A7.在Windows系统密码策略中,最短密码长度一般设置为至少()个字符。
A、10B、8C、6D、12正确答案:B8.以下不属于侧信道技术(利用非通信信道物理信息如能量消耗变化、电磁辐射变化进行分析攻击)的攻击技术是()。
A、能量分析B、计时分析C、B误注入D、干扰技术正确答案:D9.关于SELinux的转换,下列说法正确的是()。
A、在特殊目录创建文件时不会发生文件类型的转B、在任何目录创建文件时都会发生转换C、域转换与否取决于安全上下文D、当执行了一个被限定类型的程序时不会发生进正确答案:C10.在Linux系统中,图形文件、数据文件、文档文件等都属于()。
计算机三级《信息安全技术》练习题及答案
计算机三级《信息安全技术》练习题及答案计算机三级《信息安全技术》练习题及答案 11. 信息安全经历了三个发展阶段,以下____不属于这三个发展阶段。
BA 通信保密阶段B 加密机阶段C 信息安全阶段D 安全保障阶段2.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。
CA 不可否认性B 可用性C 保密性D 完整性3.信息安全在通信保密阶段中主要应用于____领域。
AA 军事B 商业C 科研D 教育4.信息安全阶段将研究领域扩展到三个基本属性,下列____不属于这三个基本属性。
CA 保密性B 完整性C 不可否认性D 可用性5.安全保障阶段中将信息安全体系归结为四个主要环节,下列____是正确的。
DA 策略、保护、响应、恢复B 加密、认证、保护、检测C 策略、网络攻防、密码学、备份D 保护、检测、响应、恢复6. 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。
AA 杀毒软件B 数字证书认证C 防火墙D 数据库加密7. 根据ISO的信息安全定义,下列选项中____是信息安全三个基本属性之一。
BA 真实性B 可用性C 可审计性D 可靠性8. 为了数据传输时不发生数据截获和信息泄密,采取了加密机制。
这种做法体现了信息安全的____属性。
AA 保密性B 完整性C 可靠性D 可用性9. 定期对系统和数据进行备份,在发生灾难时进行恢复。
该机制是为了满足信息安全的____属性。
DA 真实性B 完整性C 不可否认性D 可用性10. 数据在存储过程中发生了非法访问行为,这破坏了信息安全的____属性。
AA 保密性B 完整性C 不可否认性D 可用性11. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的___属性。
B A 保密性 B 完整性 C 不可否认性 D 可用性12. PDR安全模型属于____类型。
AA 时间模型B 作用模型C 结构模型D 关系模型13. 《信息安全国家学说》是____的信息安全基本纲领性文件。
网络信息安全管理员练习题库+参考答案
网络信息安全管理员练习题库+参考答案一、单选题(共80题,每题1分,共80分)1、( )是操作系统。
A、WPSB、WordC、WindowsD、Office正确答案:C2、以太网帧最长为( )个字节。
数据部分 1500BA、1500B、1518C、46D、64正确答案:B3、Ping Internet中远程主机的地址,可以确认( )的设置是否正确A、网卡B、子网掩码C、网关D、DNS正确答案:C4、本地安全策略的常用操作不包括( )A、启用密码策略B、启动IP安全策略管理C、设置公钥策略D、编辑安全策略正确答案:A5、下列属于企业文化功能的是( )A、技术培训功能B、社交功能C、整合功能D、科学研究功能正确答案:C6、后缀名是 HTML 的文件是( )。
A、超文本文档B、WORC、文档D、可执行文件格式E、DLL正确答案:A7、机房专用空调机组是( )。
A、五制冷回路B、六制冷回路C、双制冷回路D、七制冷回路正确答案:C8、RIP 协议支持的最大跳数为( )A、17B、15C、16D、14正确答案:B9、域名前面加上( )信息及主机类型信息就构成了网址。
A、逻辑协议B、网络协议C、物理协议D、传输协议正确答案:D10、把磁盘从逻辑上划分成一系列同心圆,每个同心圆称为一个( )A、分区B、扇区C、磁道D、簇正确答案:C11、将域名映射为 IP 地址的系统称为( )A、DNSB、DHCPC、WINSD、FTP正确答案:A12、IPv6 地址总长度是 IPv4 地址长度的( )倍。
A、5B、3C、2D、4正确答案:D13、通过控制端口配置交换机及路由器时使用的连接电缆是( )A、同轴线B、直连线C、交叉线D、反转线正确答案:D14、下列关于勤劳节俭的论述中,正确的是( )A、新时代需要巧干,不需要勤劳B、勤劳节俭有利于企业持续发展C、新时代需要创造,不需要节俭D、勤劳一定能使人致富正确答案:B15、在对标准”100BASE -T”的解释中,下列解释错误的是( )A、100B、BASC、表示传输方式是基带传输D、TE、整个标准的意义是双绞线快速以太网标准正确答案:A16、公司和企业的 Intemet 顶级域名是( )A、COMB、GOVC、EDUD、NET正确答案:A17、将内部专用 IP 地址转换为外部公用 IP 地址的技术是( )A、NATC、ARPD、RAPR正确答案:A18、使用下列( )用户组的成员登录,可以创建新的用户组。
《网络与信息安全》习题(1)
《⽹络与信息安全》习题(1)⼀、单项选择题1. DES是使⽤最⼴泛的对称密码,它的密钥长度为位。
A. 64B. 56C. 128D. 10242.数字签名是⼀种认证技术,它保证消息的来源与。
A. 保密性B. 完整性C. 可⽤性D. 不可重放3.分组密码有5种⼯作模式,适合传输DES密钥。
A.ECB B. CBC C. CFB D.OFB4.关于双钥密码体制的正确描述是。
A.双钥密码体制中加解密密钥不相同,从⼀个很难计算出另⼀个B.双钥密码体制中加密密钥与解密密钥相同,或是实质上等同C.双钥密码体制中加解密密钥虽不相同,但是可以从⼀个推导出另⼀个D.双钥密码体制中加解密密钥是否相同可以根据⽤户要求决定5.下列关于⽹络防⽕墙说法错误的是。
A.⽹络防⽕墙不能解决来⾃内部⽹络的攻击和安全问题B.⽹络防⽕墙能防⽌受病毒感染的⽂件的传输C.⽹络防⽕墙不能防⽌策略配置不当或错误配置引起的安全威胁D.⽹络防⽕墙不能防⽌本⾝安全漏洞的威胁6.数字签名是附加于消息之后的⼀种数据,它是对消息的密码变换,保证了和完整性。
A.保密性B.消息的来源 C.可⽤性 D.不可否认性7.关于RSA,以下说法不正确的是。
A.收发双⽅使⽤不同的密钥 B.⾮对称密码C.流密码 D.分组密码8.作为⽹络层安全协议,IPSEC有三个协议组成。
A. AH、ESP、IKE B. AH、ESP、PGPC. AH、TLS、IKE D. AH、SSL、IKE9.DES是使⽤最⼴泛的对称密码,它的分组长度为位。
A.64 B.56 C.128 D.102411.下⾯各种加密算法中属于双钥制加密算法的是。
A.RSA B.LUC C.DES D.DSA12.对⽹络中两个相邻节点之间传输的数据进⾏加密保护的是。
A.节点加密B.链路加密 C.端到端加密D.DES加密13.⼀般⽽⾔,Internet防⽕墙建⽴在⼀个⽹络的。
A.内部⽹络与外部⽹络的交叉点 B.每个⼦⽹的内部C.部分内部⽹络与外部⽹络的结合处 D.内部⼦⽹之间传送信息的中枢14.将获得的信息再次发送以产⽣⾮授权效果的攻击为。
网络信息安全课后习题答案
4.电子邮件服务主要采用的安全协议有S/MIME协议和PEM协议。
二、选择题
1.创建Web虚拟目录的用途是(C)
A.用来模拟主目录的假文件夹
B.用一个假的目录来避免感染病毒
C.以一个固定的别名来指向实际的路径,当主目录改变时,相对用户而言是不变的
第一章
一、填空题
1.信息安全有三大要素,分别是保密性、完整性、可用性。
2.信息的完整性包括两方面,分别是确保信息在存储、使用、传输过程中不会被非授权用户篡改和防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
3.网络安全防护体系的技术支撑手段主要包括评估、防护、检测、恢复、响应。
4.网络安全防护体系的核心是安全技术。
[6]通过采用SSL硬件加速、多线程及缓冲技术,具有很好的应用性能。
第五章
简答题
1.简述什么是防火墙,以及防火墙的主要任务是什么。
防火墙是一种网络安全防护技术,是隔离内部网络和外部网络的一个防御体系。
主要任务:包过滤、应用程序代理网关。
2.防火墙的主要功能有哪些?
访问控制功能、防止外部攻击功能、地址转换功能、日志与报警功能、身份认证功能。
2.入侵检测系统的主要功能有(A、B、C、D)。
A.检测并分析系统和用户的活动B.检查系统配置和漏洞
C.评估系统关键资源和数据文件的完整性D.识别已知和未知的攻击行为
3.IDS产品性能指标有(A、B、C、D)
A.每秒数据流量B.每秒抓包数C.每秒能监控的网络连接数D.每秒能够处理的事件数
4.入侵检测产品所面临的挑战主要有(A、B、C、D)。
清除:借助专业杀毒软件或是清除木马的软件来进行。
网络信息安全课后习题答案
第一章网络安全综述1.什么是网络安全答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
2.网络安全包括哪些内容答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面答:1)物理威胁(1)身份识别错误。
(2)偷窃。
(3)间谍行为。
(4)废物搜寻。
2)系统漏洞造成的威胁(1)不安全服务。
(2)乘虚而入。
(3)配置和初始化。
3)身份鉴别威胁(1)编辑口令。
(2)口令破解。
(3)口令圈套。
(4)算法考虑不周。
4)线缆连接威胁(1)拨号进入。
(2)窃听。
(3)冒名顶替。
5)有害程序(1)病毒。
(2)更新或下载。
(3)特洛伊木马。
(4)代码炸弹。
4.在网络安全中,什么是被动攻击什么是主动攻击答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。
被动攻击分为两种,分别是析出消息内容和通信量分析。
被动攻击非常难以检测,因为它们并不会导致数据有任何改变。
然而,防止这些攻击是可能的。
因此,对付被动攻击的重点是防止而不是检测。
攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。
这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。
5.简述访问控制策略的内容。
答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
网络与信息安全技术期末考试习题库与答案
欢迎共阅网络与信息安全技术A卷一、单项选择题(每小题2分,共20分)1•信息安全的基本属性是______ 。
A.保密性B.完整性C.可用性、可控性、可靠性D. A , B , C都是2•假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于______ 。
A.对称加密技术B.分组密码技术C.公钥加密技术D.单向函数密码技术3•密码学的目的是 _____ 。
卞' ;°A.研究数据加密B.研究数据解密C.研究数据保密D.研究信息安全4. A方有一对密钥(K ),B方有一对密钥(K B公开,K 秘密), 向一签名M,对信息M加密为:M ' = K B公开(K A秘密(M ))。
B方收到密文的解密方案是____________________ 。
A.K B公开(K A秘密(M ' ))B. K A公开(K A公开(M' ,.)) . VC. K A公开(K B秘密(M'))D. K B秘密(K A秘密(M'))5•数字签名要预先使用单向Hash函数进行处理的原因是_________ 。
厂二飞A.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度,加快数字签名和验证签名的运算速度D.保证密文能正确还原成明文6•身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是____ 。
A.身份鉴别是授权控制的基础B.身份鉴别一般不用提供双向的认证C.目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制7.防火墙用于将In ternet和内部网络隔离 _____ 。
A.是防止Internet火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施C.是保护线路不受破坏的软件和硬件设施D.是起抗电磁干扰作用的硬件设施8.PKI支持的服务不包括_______ 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络信息安全技术》课外习题谢昕教授第1章(1)什么是计算机通信信息安全?主要涉及哪几个方面的内容?答:确保以电磁信号为主要形式的、在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中、处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可否认性,使这些信息内容与人、通信网络、环境有关的技术和管理规程形成有机集合。
计算机通信信息安全实际上是一门涉及计算机科学、网络技术、通信技术、密码技术、管理科学、应用数学、数论、信息论等多种学科的综合性内容。
(2)简单说明网络安全所面临的威胁,举例说明在日常生活中你曾经遇到的计算机安全威胁,并说明你是如何应对的。
答:网络安全面临以下威胁:基本安全威胁:✍信息泄露(机密性):窃听、探测✍完整性破坏(完整性):修改、复制✍拒绝服务(可用性):加大负载、中断服务✍非法使用(合法性):侵入计算机系统、盗用潜在的安全威胁偶发威胁与故意威胁✍偶发性威胁:指那些不带预谋企图的威胁,发出的威胁不带主观故意。
✍故意性威胁:指发出的威胁带有主观故意,它的范围可以从使用易行的监视工具进行随意的监听和检测,到使用特别的专用工具进行攻击。
主动威胁或被动威胁✍主动威胁:指对系统中所含信息的篡改,或对系统的状态或操作的改变。
✍被动威胁:不对系统中所含信息进行直接的任何篡改,而且系统的操作与状态也不受改变。
(3)什么是网络安全服务?主要有哪些安全服务?答:在计算机通信网络中,系统提供的主要的安全防护措施被称作安全服务。
安全服务主要包括:✍认证✍访问控制✍机密性✍完整性✍不可否认性第2章(1)什么是计算机病毒?它由哪几部分构成?答:计算机病毒定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用且能自我复制的一组计算机指令或者程序代码。
病毒的基本结构✍引导部分:把病毒程序加载到内存。
功能:驻留内存、修改中断、修改高端内存、保存原中断向量✍传染部分:把病毒代码复制到传染目标上。
功能:条件判断、与主程序连接、设置标志。
✍表现部分:运行、实施破坏功能:条件判断、显示、文件读写(2)计算机病毒的基本特征是什么?答:计算机病毒具有以下特征:✍隐蔽性:隐藏在操作系统的引导扇区、可执行文件、数据文件、标记的坏扇区。
✍传染性:自我复制✍潜伏性:定期发作✍可触发性:控制条件,日期、时间、标识、计数器✍表现性或破坏性:干扰系统、破坏数据、占用资源(3)说明计算机病毒与计算机存储结构之间的关系答:计算机病毒与计算机存储结构之间的关系:✍磁盘空间的总体划分:主引导记录区(只有硬盘有)、引导记录区、文件分配表(FAT)、目录区和数据区。
✍软盘空间的总体划分:引导记录区、文件分配表1、文件分配表2、根目录区以及数据区✍硬盘空间的总体划分:主引导记录区:主引导程序、分区信息表多个系统分区:✍系统型病毒的磁盘存储结构:磁盘引导扇区(引导部分)、磁盘其他的扇区(传染、表现部分)第3章(1)什么是对称密码算法?什么是非对称密码算法?两者各有什么优缺点?答:✍对称密码体制(私钥):加密密钥和解密密钥相同,且都需要保密。
优点:加密算法比较简便、高效、密钥简短,对方破译极其困难,且经受住时间的检验和攻击;缺点:密钥必须通过安全的途径传送。
✍非对称密码体制(公钥):加密密钥和解密密钥不相同,一个公开,一个保密。
优点:可以适应网络的开放性要求,且密钥管理简单。
增加数字签名应用。
缺点:算法复杂,且加密数据的速率较低。
(2)说明公开密钥体制实现数字签名的过程?(3)密钥生成所遵循的原则是什么?密钥产生的基本原则✍增加密钥空间✍避免选择具有明显特征的密钥✍随机密钥✍变换密钥✍非线性密钥第4章(1)计算机系统的漏洞有哪几类?答:计算机系统漏洞的表现方式包括:✍物理漏洞:此类漏洞由未授权人员访问站点引起,他们可以浏览那些不被允许的地方。
✍软件漏洞:此类漏洞由“错误授权”的应用程序引起。
✍不兼容漏洞:此类漏洞由系统集成过程中由于各部分不兼容引起。
✍缺乏安全策略(2)数据库面临的主要安全威胁有哪些?答:数据库面临的安全威胁:对数据库构成的威胁主要有篡改、损坏和窃取三种情况。
✍篡改:对数据库中的数据未经授权进行修改,使其失去原来的真实性。
原因:个人利益驱动、隐藏证据、恶作剧和无知✍损坏:表和整个数据库部分或全部被删除、移走或破坏。
原因:破坏、恶作剧和病毒。
✍窃取:一般是针对敏感数据,其手法除了将数据复制到软盘之类的可移动介质上,也可以把数据打印后取走。
原因:工商业间谍的窃取、不满和要离开的员工的窃取、被窃的数据可能比想像中更有价值。
(3)用户程序主要存在哪些安全问题?✍耗时程序✍死锁问题✍病毒程序✍蠕虫程序第5章(1)计算机安全服务有哪几类?✍认证服务✍访问控制服务✍机密性服务✍数据完整性服务✍不可否认性服务(2)简述访问控制的基本原理。
✍访问控制模型✍访问控制要素✍执行访问控制功能✍访问控制组件的分布✍粒度和容度✍访问控制策略规则中的优先原则(3)机密性以哪几种方式影响信息的恢复、传输以及管理?✍通过访问控制提供机密性✍通过加密提供机密性✍通过数据填充提供机密性✍通过虚假事件提供机密性✍通过保护PDU头提供机密性✍通过时间可变域提供机密性✍通过上下文位置提供机密性(4)完整性服务机制有哪几种分类方法?✍根据防范的违规分类未授权的数据修改;未授权的数据创建;未授权的数据删除;未授权的数据插入;未授权的数据重放。
✍依据提供的保护方法分类阻止完整性损坏检测完整性损坏✍依据是否包括恢复机制分类在具有恢复机制的情况下,去屏蔽操作在证实操作一旦发生改变时,能够恢复原始数据在不带恢复功能的情况下,一旦证实操作指示发生改变,去屏蔽操作不能恢复原始数据。
第6章(1)防火墙在硬件和软件上有什么特点?答:防火墙通常是一组硬件设备,在硬件上,它可能是一台路由器,也可能是一台普通计算机,更多的情况下它可能是一台专用计算机。
不管是什么样的硬件形式,都把它称为堡垒主机,其目的如同一个安全门,为门内的部门提供安全,控制受保护区域的出入。
从软件上讲,防火墙是实施安全控制策略的规则,防火墙软件就是这些规则在具体系统中实现的软件。
这些软件包括网络链接、数据转发、数据分析、安全检查、数据过滤和操作记录等功能。
(2)简述防火墙的基本功能和缺陷。
答:防火墙的基本功能✍防火墙能够强化安全策略✍防火墙能有效地记录因特网上的活动✍防火墙限制暴露用户点✍防火墙是一个安全策略的检查站防火墙的缺陷:✍不能防范内部威胁✍不能防范绕开它的攻击✍防火墙不能自动防御新威✍防火墙不能有效防范病毒(3)简述包过滤的基本特点和工作原理。
答:包过滤技术特点✍在路由器上实现包过滤,则费用非常小。
✍在流量适中并定义较少过滤器时,对路由器的性能几乎没有影响✍包过滤路由器对用户和应用来讲是透明的,易于维护。
✍定义数据包过滤器会比较复杂。
✍任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险。
✍随着过滤器数目的增加,路由器的吞吐量会下降。
✍包过滤器可能无法对网络上流动的信息提供全面的控制。
✍对于采用动态分配端口的服务。
✍通常包过滤器只按规则丢弃数据包,而不使用记录和用户报告,不具备审计功能,使得管理员不能从访问记录中发现黑客的攻击记录。
包过滤的工作原理:包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:✍将包的目的地址作为判据;✍将包的源地址作为判据;✍将包的传送协议作为判据。
包过滤器操作:几乎所有的包过滤设备(过滤路由器或包过滤网关)都按照如下方式工作:✍包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则。
✍当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP 或UDP报头中的字段,不检查包体的内容。
✍包过滤器规则以特殊的方式存储。
✍如果一条规则阻止包传输或接收,此包便不被允许通过。
✍如果一条规则允许包传输或接收,该包可以继续处理。
✍如果一个包不满足任何一条规则,该包被阻塞。
(4)简述代理服务的作用。
✍代理服务允许用户“直接”访问因特网✍代理服务有利于做日志✍代理服务滞后于非代理服务✍每个代理服务要求不同的服务器✍代理服务一般要求对客户或程序进行修改第7章(1)简述安全管理的目标和原则。
答:严格的安全管理需要达到以下目标:✍防止未授权访问✍防止泄密✍防止用户拒绝系统的管理✍保证系统的完整性安全管理原则✍多人负责原则✍任期有限原则✍职责分离原则计算机操作与计算机编程机密资料的接收和传送安全管理和系统管理应用程序和系统程序的编制访问证件的管理与其他工作计算机操作与信息处理系统使用媒介的保管等(2)简述安全审计的目的和功能。
安全审计是系统记录和活动的独立复审和验证。
安全审计的目的包括✍辅助辨识和分析未经授权的活动或攻击;✍帮助并且保证那些实体响应行动处理这些活动;✍促进开发改进的损伤控制处理程序;✍认可与已经建立的安全策略的一致性;✍报告那些可能与系统控制不相适应的信息;✍辨识可能需要的对控制、策略和处理程序的改变。
支持一个安全审计和报警服务需要多种功能:✍事件辨别器:它提供事件的初始分析,确定是否将该事件转送给审计记录器或报警处理器。
✍事件记录器:它将接收到的消息生成审计记录,并把该记录存入一个安全审计跟踪。
✍报警处理器:它产生一个审计消息,同时产生合适的行动以响应一个安全报警。
✍审计分析器:它检查一个安全审计跟踪,如果合适的话,生成安全报警和安全审计消息。
✍审计跟踪验证器:它从一个或多个安全审计跟踪产生安全审计报告。
✍审计提供器:它按照某些准则提供审计记录。
✍审计归档器:它将安全审计跟踪归档。