文档介绍：该【网络安全课后答案 】是由【青山代下】上传分享，文档一共【17】页，该文档可以免费在线阅读，需要了解更多关于【网络安全课后答案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..第一章网络安全概述一、?网络安全有哪两方面的含义?计算机网络安全是指利用各种网络管理,控制和技术措施,使网络系统的硬件,软件及其系统中的数据资源受到保护,不因一些不利因素影响而使这些资源遭到破坏,更改,泄露,保证网络系统连续,可靠,安全地运行。网络安全包括信息系统的安全运行和系统信息的安全保护两方面。信息系统的安全运行是信息系统提供有效服务(即可用性)的前提,系统信息的安全保护主要是确保数据信息的机密性和完整性。?网络安全策略有哪些?网络安全的目标主要表现在系统的可用性、可靠性、机密性、完整性、不可依赖性及不可控性等方面。网络安全策略有:物理安全策略,访问控制策略,信息加密策略,安全管理策略。?网络风险评估的项目和可解决的问题有哪些?风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的祭出,风险评估是确定信息安全需求的一个重要途径,属于组织信息安全管理体系规划的过程。网络安全评估主要有以下项目:安全策略评估,网络物理安全评估,网络隔离的安全性评估,系统配置的安全性评估,网络防护能力评估,网络服务的安全性评估,网络应用系统的安全性评估,病毒防护系统的安全性评估,数据备份的安全性评估。可解决的问题有:防火墙配置不当的外部网络拓扑结构,路由器过滤规则的设置不当,弱认证机制,配置不当或易受攻击的电子邮件和DNS服务器,潜在的网络层Web服务器漏洞,配置不当的数据库服务器,易受攻击的FTP服务器。?网络漏洞有哪些类型?从广义上讲,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,从而可以使攻击者能够在未经系统合法用户授权的情况下访问或破坏系统。网络漏洞主要分为操作系统漏洞、网络协议漏洞、数据库漏洞和网络服务漏洞等。?物理威胁,操作系统缺陷,网络协议缺陷,体系结构缺陷,黑客程序,计算机病毒。?安全***技术,网络嗅探技术,数据加密技术,数字签名技术,鉴别技术,访问控制技术,安全审计技术,防火墙技术,入侵检测技术,病毒防范技术。,P,D,R的含义是什么?P2DR模型包含四个主要部分:Policy(安全策略),Protection(防护),Detection(检测)和Response(响应)。?网络安全服务和安全机制各有哪几项?OSI安全体系结构主要包括网络安全机制和网络安全服务两个方面的内容。网络安全服务:鉴别服务,访问控制服务,数据完整性服务,数据保密性服务,非否认服务。网络安全机制:加密机制,数字签名机制,访问控制机制,数据完整性机制,交换鉴别机制,:..信息量填充机制,路由控制机制,公证机制。。网络服务器的安全管理,口令管理,利用好安全管理工具,***,病毒防护,入侵检测和监控,网络日志管理,应急响应,软件和数据保护。。安全立法安全管理实体安全技术访问控制技术数据保密技术二、(可靠)性是指保证网络系统不因各种因素的影响而中断正常工作。2.(机密性)是网络信息未经授权不能进行改变的特性。(操作系统漏洞)、网络协议漏洞、(数据库漏洞)和(网络服务漏洞)等。(网络中存在)的不安全因素,这些不安全因素包括(网络本身的不可靠性和脆弱性)和(人为破坏)两方面。(物理威胁)、(操作系统缺陷)、(网络协议缺陷)和计算机病毒等。(企业外部)的网络风险和(企业内部)网络的风险进行评估。(加密机制)、(数字签名机制)、访问控制机制、(数据完整性机制)、交换鉴别机制、(路由控制机制)信息量填充机制和(公证机制)。(七)个级别,(D类)是最低级别,(A类)是最高级别,(C1)级是保护秘密信息的最低级别。三、单项选择题1、入侵者通过观察网络线路上的信息,而不干扰信息的正常流动,如搭线窃听或非授权地阅读信息,这样做不会影响信息的(A).、入侵者对传输中的信息或存储的信息进行各种非法处理,如有选择地更改、插入、延迟、删除或复制这些信息,这会破坏网络信息的(C)、入侵者利用操作系统存在的***进入网络系统进行非法操作,这样可能会影响到系统信息的(D)。、B、C都对4、网络安全包括(A)安全运行和(C)、保密性、完整性和可用性.(B)是指保护网络系统中的存储和传输的数据不被非法操作;(D)是指在保证数据完整性的同时,还要能使其被正常利用和操作;(A)主要是利用密码技术对数据进行加密处理,保证在系统中传输的数据不被无关人员识别。(1)(2)(3)(4)(5):..5、WinDows2000/NT系统的最低安全级别是(B)。、ISO的网络安全体系结构中安全服务不包括(B)服务。、设置用户权限、采取用户身份证认证等手段属于(D)技术。、制定(A)策略的目的之一是保护网络系统中的交换机、路由器、服务器等硬件实体和通信链路免受攻击。、?目前较常用的网络操作系统有UNIX、Linux、WindowsNT/2000/2003等。?其作用是什么?补丁程序是指对于大型软件系统在使用过程中暴露的问题而发布的解决问题的小程序。就像衣服烂了就要打补丁一样,软件也需要。软件是软件编程人员所编写的,编写的程序不可能十全十美,所以也就免不了会出现BUG,而补丁就是专门修复这些BUG的。补丁是由软件的原作者编制的,因此可以访问他们的网络下载补丁程序。?NT:账户数据库漏洞,SMB协议漏洞,Guest账户漏洞,默认共享连接漏洞,多次尝试连接次数漏洞,显示用户名漏洞,打印漏洞。2000:登录输入法漏洞,空连接漏洞,拒绝服务攻击漏洞,IIS溢出漏洞,Unicode漏洞,IIS验证漏洞,域账号锁定漏洞,ActiveX控件漏洞。XP:升级程序带来的漏洞,UPnP服务漏洞,压缩文件夹漏洞,服务拒绝漏洞,WindowsMediaPlayer漏洞,虚拟机漏洞,热键漏洞,账号快速切换漏洞。?第1步:展开账户锁定策略。在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,在右侧窗口中显示可进行配置的账户策略。第2步:配置账户锁定阈值。右击“账户锁定阈值”,选择“属性”。输入无效登录锁定账户的次数,单击“应用”→“确定”即可。第3步:配置账户锁定时间。右击“账户锁定时间”,选择“属性”,,设定时间后点击“确定”按钮。第4步:配置复位账户锁定计数器。右击“复位账户锁定计数器”,选择“属性”,,设定时间后点击“确定”按钮。?(1)硬件安全:硬件安全是网络操作系统安全的基础。(2)安全标记:对于系统用户而言,系统必须有一个安全而唯一的标记。在用户进入系统:..时,这个安全标记不仅可以判断用户的合法性,而且还应该防止用户的身份被破译。(3)访问控制:在合法用户进入系统后,安全操作系统还应该能够控制用户对程序或数据的访问,防止用户越权使用程序或数据。(4)最小权力:操作系统配置的安全策略使用户仅仅能够获得其工作需要的操作权限。(5)安全审计:安全操作系统应该做到对用户操作过程的记录、检查和审计。?配置系统密码策略的操作如下:第1步:打开“密码策略”。在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”,在右侧窗口中显示可进行配置的密码策略。第2步:配置密码复杂性要求。右击“密码必须符合复杂性要求”,选择“属性”。点选“已启用”,再单击“应用”→“确定”,即可启动密码复杂性设置。第3步:配置密码长度。右击“密码长度最小值”,选择“属性”。输入字符的长度值,再单击“应用”→“确定”即可。第4步:配置密码最长使用期限。右击“密码最长存留期”,选择“属性”。输入密码的过期时间(本例为30天,系统默认为42天),单击“确定”即可。第5步:配置密码最短使用期限。配置“密码最短存留期”的方法类似于“密码最长存留期”。第6步:配置强制密码历史。右击“强制密码历史”,选择“属性”;选择“保留密码历史”的数字,再“确定”即可。“强制密码历史”的意思是用户在修改密码时必须满足所规定记住密码的个数而不能连续使用旧密码。二、(自主访问控制)和(强制访问控制)两大类。2.(自主访问控制)访问控制指由系统提供用户有权对自身锁创建的访问对象进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。(基础)。(安全性),并对事故进行记录。(对于大型软件系统在使用过程中暴露的问题而发布的解决问题的)小程序。(自动更新)和手工操作。三、。(D)是指由系统对用户所创建的对象进行统一的限制性规定。(C)是指由系统提供用户有权对自身所创建的访问对象进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。用户名/口令、权限安全、属性安全等都属于(D)。(1)(2)(3):..(A)(B)后可修改系统默认的TTL值。、。数据库管理系统(DBMS):它是为数据库的建立,使用和维护而配置的软件。其特点有:,3数据独立于程序,4数据由DBMS统一管理和控制。。缺陷:忽略数据库的安全,没有内置一些基本安全策略,数据库账号密码容易泄漏,操作系统***,木马威胁。威胁:篡改,损坏,窃取。。系统安全性策略,数据安全型策略,用户安全性策略,DBA安全性策略,应用程序开发者安全性策略。?影响数据完整性的因素有哪些?数据完整性的目的就是保证网络数据库系统中的数据处于一种完整或未被损坏的状态。数据完整性意味着数据不会由于有意或无意的事件而被改变或丢失。相反,数据完整性的丧失,就意味着发生了导致数据被改变或丢失的事件。影响数据完整性的因素:硬件故障,软件故障,网络故障,人为威胁,灾难性事件。?数据备份有哪些类型?数据备份是指为防止系统出现操作失误或系统故障而导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程。网络系统中的数据备份,通常是指将存储在计算机系统中的数据复制到磁带、磁盘、光盘等存储介质上,在网络以外的地方另行保管。按数据备份时的数据库状态的不同可分为冷备份、热备份和逻辑备份。?数据恢复措施有哪些?数据恢复是指将备份到存储介质上的数据恢复到网络系统中的操作,它与数据备份是一个相反的过程。数据恢复操作通常可分为三类,全盘恢复、个别文件恢复和重定向恢复。二、,可有(完全备份)、(增量备份)、(差别备份)和按需备份:..等备份方式。(全盘恢复)、(个别文件恢复)和重定向恢复。(系统)安全性和数据库(数据)安全性两层涵义。4.(数据的一致性和并发控制)是指在多用户环境下,对数据库的并行操作进行规范的机制,从而保证数据的正确性与一致性。,甚至使数据库中全部或部分数据丢失,希望能尽快恢复到原数据库状态或重建一个完整的数据库,该处理称为(全盘恢复)。6.(数据备份)是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据从主机的硬盘或阵列中复制到其他存储介质上的过程。(硬件故障)、软件故障、(网络故障)、人为威胁和意外灾难等。三、(D)。、B、、(A)和DBMS三个层次。(A)备份。(D)是指保护网络中存储和传输数据不被非法改变。、文件损坏、数据交换错误、操作系统错误等是影响数据完整性的(B)原因。A人为因素B软件和数据故障C硬件故障D网络故障第四章网络硬件设备安全一、“冗余”含义及冗余的目的。系统冗余就是重复配置系统中的一些部件。当系统某些部件发生故障时,冗余配置的其他部件介入并承担故障部件的工作,由此提高系统的可靠性。也就是说,冗余是将相同的功能设计在两个或两个以上设备中,如果一个设备有问题,另外一个设备就会自动承担起正常工作。冗余的目的是:系统运行不受局部故障的影响,故障部件的维护对整个系统的功能实现没有影响,并可以实现在线维护,使故障部件得到及时的修复;?什么是端口汇聚?服务器镜像就是设置两台服务器(一个为主服务器,另一个为备份服务器),装有相同的网络操作系统和重要软件,通过网卡连接。当主服务器发生故障时,备份服务器接替主服务器工作,实现主、备服务器之间容错切换。在备份服务器工作期间,用户可对主服务器故障进:..行修复,并重新恢复系统。端口聚合也叫以太通道,主要用于交换机之间的连接。利用端口汇聚技术,交换机会把一组物理端口联合起来,作为一个逻辑通道。端口聚合可将多个物理连接当做一个单一的逻辑连接来处理,它允许两个交换机之间通过多个端口并行连接,同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性技术。?网络服务器系统冗余,核心交换机冗余,供电系统的冗余,链接冗余,网络边界设备冗余,空闲备件。。严格控制可以访问路由器的管理员;对路由器的任何一次维护都需要记录备案,要有完备的路由器的安全访问和维护记录日志;建议不要远程访问路由器;要严格地为IOS(Cisco网际操作系统)作安全备份,及时升级和修补IOS软件,并迅速为IOS安装补丁;要为路由器的配置文件作安全备份;为路由器配备UPS设备,或者至少要有冗余电源。为进入特权模式设置强壮的密码,可采用enablesecret(不要采用enablepassword)命令进行设置,并且启用Servicepassword-encryption;严格控制CON端口的访问;如果不使用AUX端口,则应禁止该端口,使用如下命令即可(默认情况下是未被启用);若要对权限进行分级,采用权限分级策略。。;流量控制;防范DDoS攻击;虚拟局域网VLAN;基于ACL的防火墙功能;IDS功能。。对服务器进行安全设置;进行日常的安全检测;加强服务器的日常管理;采取安全的访问控制措施;禁用不必要的服务;修改注册表;正确划分文件系统格式;正确设置磁盘的安全性;7简述客户机实体安全和系统安全策略。客户机实体安全:设定使用者授权机制,设定访问控制权限,定期执行备份工作客户机系统安全:重视软件相关的安全修补程序,安装防毒软件并定期更新病毒码,远程管理的安全性,减少不必要的应用程序,合理使用客户机管理程序,不随意下载或执行来源不明的文档或程序。。文件服务器,数据库服务器,HDCP服务器,Web服务器,FTP服务器,DNS服务器,STMP服务器,应用服务器。。(1)为提高计算机网络机房的安全可靠性,机房应有一个良好的环境。因此,机房的场地选择应考虑避开有害气体源以及存放腐蚀、易燃、易爆物品的地方,避开低洼、潮湿的地方,避开强振动源和强噪音源,避开电磁干扰源。(2)机房内应安装监视和报警装置。在机房内通风孔、隐蔽地方安装监视器和报警器,用来监视和检测入侵者,预报意外灾害等。。机房火灾的防范要以预防为主、防消结合。平时加强防范,消除一切火灾隐患;一旦失火,要积极扑救;灾后做好弥补、恢复工作,减少损失。机房防火的主要措施有建筑物防火、设置报警系统及灭火装置和加强防火安全管理。一般,可采取的防水措施有在机房地面和墙壁使用防渗水和防潮材料处理、在机房四周筑有水泥墙脚(防水围墙)、对机房屋顶进行防水处理、地板下区域设置合适的排水设施、机房内或附近及楼上房间一般不应有用水设备、机房必须设置水淹报警装置等。:..。机房建设时,在机房地面铺设静电地板;工作人员在工作时穿戴防静电衣服和鞋帽;工作人员在拆装和检修机器时应在手腕上戴防静电手环;保持机房内相应的温度和湿度。。电磁干扰和电磁辐射不是一回事。电磁干扰是系统外部电磁场对系统内部设备及信息的干扰;而电磁辐射是电的基本特性,是系统内部的电磁波向外部的传播。电磁辐射出的信息不仅容易被截取并破译,而且当发射频率高到一定程度时会对人体有害。?简述NAT的应用。workAddressTranslation,网络地址转换)是将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。?它的作用是什么?VRRP(VirtualRouterRedundancyProtocol,虚拟路由器冗余协议)是一种选择性协议,它可以把一个虚拟路由器的责任动态分配到局域网中的VRRP路由器。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到虚拟IP地址上。一旦主路由器不可用,这种选择过程就提供动态的故障转移机制,允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的优点是有更高默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。?设定使用者授权机制;设定访问控制权限;定期执行备份工作。二、(存储设备)冗余、(电源)冗余和(网卡)冗余等。(核心交换机)冗余、(供电系统的)冗余、(链接)冗余和(网络边界设备)冗余等。(防火)、(防水)、防雷和接地、(防静电)、防盗、防震等措施。,机房的温度应控制在(10~35)℃,机房相对湿度应为(30%~80)%。5.“冗余”就是(增加多余的设备),以保证系统更加可靠、安全地工作。(网络服务器)、(核心交换机)、(存储设备)和(供电设备)等。(自适应)路由选择算法和(非自适应)路由选择算法两大类。(文件服务器)、(数据库服务器)、(/通用服务器)和(应用服务器)服务器等,(HDCP服务器)、(Web服务器)、(FTP服务器)和(DNS服务器)等。三、(A)。(D)是网络供电系统的冗余措施。:..,这是(B)现象引起的。.(C)是网络系统的互连设备。、。层次结构:网络接口层、网络层、传输层、应用层协议:网络层主要协议IP和ICMP,IP中的基础协议,他提供了不可靠的、尽最大努力的、无连接的数据报传递服务。ICMP是一种面向连接的协议,用于传输错误报告控制信息。传输层主要协议TCP和UDP,TCP协议是再IP协议提供的服务基础上,支持面向连接的、可靠地传输服务。UDP协议是直接利用IP协议进行UDP数据报的传输,因此UDP提供的是无连接、不保证数据完整到达目的地的传输。应用层为协议的最高层,在该层应用程序与协议相互配合,发送或接收数据,TCP/IP协议集在应用层上有远程登录协议()、文件传输协议(FTP)、电子邮件协议(SMTP)、域名系统(DNS)。(1)应用软件和数据文件的独立原则,用户即使具有数据文件的访问权限,但若没有其关联软件的访问权限,仍然不能打开这个文件。(2)软件限制策略的冲突处理原则,软件限制策略与其他组策略一样,可以在多个级别上进行设置,软件限制策略可以在本地计算机、站点、域或组织单元等多个环节进行设置,每个级别又可以针对用户与计算机进行设置。(3)默认情况下,软件限制策略提供了“不受限的”和“不允许的”两种软件限制规则。“不受限的”规则规定所有用户都可以运行指定的应用软件。“不允许的”规则规定所有用户,都不能运行指定应用软件,无论其是否对数据文件具有访问权限。。加密文件系统(EncryptingFileSystem,EFS)是Windows文件系统的内置文件加密工具,它以公共密钥加密为基础,使用CryptoAPI架构,提供一种透明的文件加密服务。EFS可对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,这在很大程度上提高了数据的安全性。。IP安全协议(IPSecurity,IPSec)是一个网络安全协议的工业标准,也是目前TCP/IP网络的安全化协议标准。IPSec最主要的功能是为IP通信提供加密和认证,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,有效抵御网络攻击,同时保持其易用性。。SSL是基于Web应用的安全协议,主要提供用户和服务器的合法性认证、数据加密解密和数据完整性的功能。:..提供基于口令和基于密钥的两种级别的安全验证;从服务器端来看,SSH提供对远程连接的处理,一般包括公钥认证、密钥交换、对称密钥加密和非安全连接。,其中最著名的协议是(TCP)协议和(IP)协议。(不可靠的)、(尽最大努力的)和(无连接的)数据传输服务。(身份认证)、(保密性)和连续的信道认证。(主机对主机)的安全服务,相应的安全协议可用来在上建立安全的(IP)通道和(VPN)。(进程对进程)的安全服务。(包括应用协议)进行(修改和扩充)的安全服务,加入新的安全功能。(SET)、SEPP、(PEM)和S-HTTP协议等。(EFS)是Windows文件系统内置的(文件加密工具),它以(公共密钥加密)为基础,提供一种透明的(文件加密)服务。,当保存文件时EFS将自动对文件进行(加密),当用户重新打开文件时候,系统将对文件进行(自动解密)。(Windows2000/XP/2003操作系统)和(NTFS)分区格式。(IPSec)是一个网络安全协议标准,其主要功能是为了IP通信提供(加密和认证),保护TCP/IP通信免遭(窃听和篡改),有效抵御(网络攻击),同时保持其易用性。(网络认证协议AH)、(封装安全载荷协议ESP)、(密钥管理协议IKE)和用于网络认证及加密的一些算法组成的系统协议。(IPv6)环境,它有(隧道模式)和(传输模式)两种工作模式。(加密和验证)。AH协议用于(对数据包包头进行完整性验证),ESP协议用于(对数据的加密和完整性验证)。(安全通道)的协议,已被广泛用于Web浏览器与服务器之间的(身份认证)和(加密数据传输)。、具有易于使用、(安全性)和(灵活性)好等优点,是一种在不安全网络上提供(安全远程登陆)及其他安全网络服务的协议。(传输层)协议、(用户认证)协议和(连接)协议三部分组成,(客户端)和(服务器端)两部分。服务器端提供对远程连接的处理,一般包括(公钥认证)、(密钥交换)、(对称密钥加密)和非安全连接。在客户端,SSH提供基于(口令)和基于(密钥)的两种级别的安全验证。三、单项选择题1、IPSeC服务可提供(D)。:..EFS系统可提供(D)。、IPSeC是由AH、ESP、(C)提供的。,在传送过程中若发生差错就需要(C)协议向源节点报告差错情况,以便源节点对此做出相应的处理。、ESP必须在(A)格式下工作。、SSL协议提供在客户端和服务器之间的(B)。。密码学包括密码编码学和密码分析学。前者是研究密码变化的规律并用之于编制密码以保护秘密信息的科学,即研究如何通过编码技术来改变被保护信息的形式,使得编码后的信息除指定接受者之外的其他人都不能理解;后者是研究密码变化的规律并用之于分析密码以获取信息情报的科学,即研究如何攻破一个密码系统,恢复被隐藏起来的信息的本来面目。密码编码学是实现对信息的保密,密码分析学是实现对信息解密的。、解密、密钥和密码算法?明文转变为密文的过程称为加密;密文转换为明文的过程称为解密;密码算法也叫密码函数,是用于加密和解密的变换规则,多为数学函数,