计算机网络安全习题.pdf

第一章 计算机网络安全概述 一 问答题 1.何为计算机网络安全？网络安全有哪几个特征？各特征的含义是什么？ 网络安全是指利用各种网络管理 ,控制和技术措施，使网络系统的硬件,软件及其系统中 的数据资源受到保护，不因一些不利因素影响而使这些资源遭到破坏,更改,泄露，保证网络 系统连续 ,可靠,安全地运行 特征：网络系统的可靠性 -是指保证网络系统不因各种因素的影响而中断正常工作。 软件及数据的完整性 -是指保护网络系统中存储和传输的软件(程序)及数据不被 非法操作，即保证数据不被插入 ,替换和删除，数据分组不丢失 ,乱序，数据库中的数据或系 统中的程序不被破坏。 软件及数据的可用性 -是指在保证软件和数据完整性的同时， 还要能使其被正常 操作和利用。 软件及数据的保密性 -主要是利用密码技术对软件和数据进行加密处理，保证在 系统中存储和网络上传输的软件和数据不被无关人员识别。 2.网络系统的脆弱性主要表现在哪几个方面？ 操作系统的脆弱性 计算机系统本身的脆弱性 电磁泄露 数据的可访问性 通信系统和通信协议的弱点 数据库系统的脆弱性 网络存储介质的脆弱 3.网络安全的威胁主要来自哪些方面？通常说网络威胁有哪两大类？ 网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，它们包括对网络设 备的威胁和对网络中信息的威胁。这些威胁的主要表现有：非法授权访问，假冒合法用户， 病毒破坏，线路窃听，黑客入侵，干扰系统正常运行，修改或删除数据等。 这些威胁大致可分为无意威胁和故意威胁两大类。 4.OSI 网络安全体系涉及哪几个方面？网络安全服务和安全机制各有哪几项？ OSI 安全体系结构主要包括网络安全机制和网络安全服务两个方面的内容。 网络安全服务：鉴别服务，访问控制服务，数据完整性服务，数据保密性服务，非否 认服务。 网络安全机制：加密机制，数字签名机制，访问控制机制，数据完整性机制，交换鉴 别机制，信息量填充机制，路由控制机制，公证机制。 5.P2DR模型中的 P ,P ,D,R 的含义是什么？ P2DR 模型包含四个主要部分： Policy(安全策略 )，Protection(防护)，Detection(检测) 和 Response( 响应)。 6.请列出你熟悉的几种常用的网络安全防护措施。 安全立法 安全管理 实体安全技术 访问控制技术 数据保密技术 二 填空题 1.网络系统的 _可靠性_是指保证网络系统不因各种因素的影响而中断正常工作。 2.数据的_可用性_是指在保证软件和数据完整性的同时， 还要能使其被正常利用和操作。 3.网络威胁主要来自人为影响和外部_自然环境_的影响，它们包括对网络设备的威胁和 对_网络中信息_的威胁。 4.某些人或某些组织想方设法利用网络系统来获取相应领域的敏感信息，这种威胁属于 _故 意_威胁。 5.软,硬件的机能失常 ,人为误操作 ,管理不善而引起的威胁属于 _无意_威胁。 6.使用特殊技术对系统进行攻击，以便得到有针对性的信息就是一种_主动_攻击。 7.被动攻击的特点是偷听或监视传送，其目的是获得_信息内容_。 8.TCSEC 将计算机系统的安全分为 _7_个级别， _D_级是最低级别， _A_级是最高级别， _C2_级是保护敏感信息的最低级别。 三 单项选择题 1.网络系统面临的威胁主要是来自_(1)_影响，这些威胁大致可分为_(2)_两大类。入侵者对 传输中的信息或存储的信息进行各种非法处理，如有选择地更改 ,插入,延迟,删除或复制这些 信息，这是属于 _(3)_。入侵者通过观察网络线路上的信息，而不干扰信息的正常流动，如 搭线窃听或非授权地阅读信息，这是属于_(4)_。 (1) A.无意威胁和故意威胁 B.人为和自然环境 C.主动攻击和被动攻击 D.软件系统和硬件系统 (2) A.无意威胁和故意威胁 B.人为和自然环境 C.主动攻击和被动攻击 D.软件系统和硬件系统 (3) A.系统缺陷 B.漏洞威胁 C.主动攻击 D.被动攻击 (4) A.系统缺陷 B.漏洞威胁 C.主动攻击 D.被动攻击 B A C D 2.网络安全包括 _(1)_安全运行和 _(2)_安全保护两方面的内容。这就是通常所说的可靠性,保 密性,完整性和可用性。 _(3)_是指保护网络系统中存储和传输的数据不被非法操作；_(4)_是 指保证在数据完整性的同时，还要能使其被正常利用和操作；_(5)_主要是利用密码技术对 数据进行加密处理，保证在系统中传输的数据不被无关人员识别。 (1) A,系统 B.通信 C.信息 D.传输 (2) A,系统 B.通信 C.信息 D.传输 (3) A,保密性 B.完整性 C.可靠性 D.可用性 (4) A,保密性 B.完整性 C.可靠性 D.可用性 (5) A,保密性 B.完整性 C.可靠性 D.可用性 A C B D A 第二章 网络操作系统安全 一 问答题 1.简述常用的访问控制措施。 入网访问控制 权限访问控制 属性访问控制 身份验证 网络端口和节点的安全控制 2.入网访问控制通常包括哪几方面？ 用户名和口令验证 账户锁定 用户账户的默认限制 3.举例说出选择口令和保护口令的方法。 选择口令： 口令长度尽量长；口令不能是一个普通的英语单词 ,英文名字 ,昵称或其变形； 口令中要含有一些特殊字符；口令中要字母,数字和其他符号交叉混用；不要使用系统的默 认口令；不要选择用户的明显标识作为口令 保护口令：不要将口令告诉别人，不要与别人共用一个口令；不要将其记录在笔记本 或计算机等明显位置；要定期或不定期地更改口令；使用系统安全程序测试口令的安全性； 重要的口令要进行加密处理等。 4.简述 Windows NT 的安全技术。 Kerberos：Windows NT 系统的一种验证协议， 它定义了客户端和密钥分配中心网络验 证服务间的接口。 EFS：一种新型的 NTFS加密文件系统。 IP Security：一种新的网络安全性方案。 5.简述 Windows 2000系统新增加和改进的安全措施和技术。 安全措施：及时备份系统；设置系统格式为NTFS；加密文件或文件夹；取消共享目 录的 EveryOne组；创建紧急修复磁盘；使用好安全规则；对系统进行跟踪记录。 安全技术：活动目录；身份验证；基于对象的访问控制；数据安全性技术。 6.简述 Linux 系统的安全性。 Linux 是一种类似于 UNIX 操作系统的自由软件，是一种与UNIX 系统兼容的新型网 络操作系统。 Linux 的安全措施：身份验证机制；用户权限体系；文件加密机制；安全系统日志和 审计机制；强制访问控制； Linux 安全工具。 二 填空题 1.网络访问控制可分为自主访问控制和_强制访问控制_两大类。 2._自主访问控制_访问控制指由系统提供用户有权对自身所创建的访问对象(文件,数 据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访 问权限。 3.常用的身份验证方法有用户名和口令验证,_数字证书验证_,Security ID 验证和_用 户的生理特征验证_等。 4.Windows NT四种域模型为单域模型 ,_主域模型_,多主域模型和 _完全信任模型 _模型。 5.Windows NT 的安全管理主要包括 _帐号规则_,用户权限规则 ,_审核规则_和域管 理机制等。 三 单项选择题 1.网络访问控制可分为自主访问控制和强制访问控制两大类。_(1)_是指由系统对用户所创建 的对象进行统一的限制性规定。_(2)_是指由系统提供用户有权对自身所创建的访问对象进 行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。用 户名/口令,权限安全 ,属性安全等都属于 _(3)_。 (1) A.服务器安全控制 B.检测和锁定控制 C.自主访问控制 D.强制访问控制 (2) A.服务器安全控制 B.检测和锁定控制 C.自主访问控制 D.强制访问控制 (3) A.服务器安全控制 B.检测和锁定控制 C.自主访问控制 D.强制访问控制 D C D 2.根据 TCSEC安全准则，处理敏感信息所需最低安全级别是_(1)_，保护绝密信息的最低级 别是_(2)_，UNIX 和 Linux 系统的最低安全级别是 _(3)_，Windows 95/98系统的安全级别是 _(4)_。Windows NT/2000系统的最低安全级别是 _(5)_。 (1) A.D B.C1 C.C2 D.B1 (2) A.D B.C1 C.C2 D.B1 (3) A.D B.C1 C.C2 D.B1 (4) A.D B.C1 C.C2 D.B1 (5) A.D B.C1 C.C2 D.B1 C D C A C 第三章 计算机网络实体安全 一 问答题 1.简述机房选址时对机房环境及场地的考虑。 考虑机房的防火 ,防水,防雷及接地 ,防尘和防静电 ,防盗,防震等。 2.简述机房的防火和防水措施。 防火的主要措施：建筑物防火 ,设置报警系统及灭火装置和加强防火安全管理。 防水的主要措施：地面和墙壁使用防渗水和防潮材料；四周应筑有水泥墙角；屋顶进 行防水处理；地板下区域要有合适的排水设施；机房内,机房附近房间或机房的楼上不应有 蓄水设备。 3.简述机房的静电防护措施 *机房建设时，在机房地面铺设防静电地板。 *工作人员在工作时穿戴防静电衣服和鞋帽。 *工作人员在拆装和检修机器时应在手腕上戴防静电手环。 *保持机房内相应的温度和湿度等。 4.简述机房内的电磁辐射保护措施。 可按以下层次进行： *设备保护 (尽量使用低辐射的终端设备 ) *建筑保护 (在施工和装修时采用相应的屏蔽措施 ) *区域保护 (将机房设置在辐射保护区域内 ) *通信线路保护 (可采用链路加密和线路屏蔽的方法对传输的信息进行加密处理) *TEMPEST 技术防护 5.简述机房的电源系统措施。 *隔离和自动稳压 *稳压稳频器 *不间断电源 (UPS) 6.简述路由器协议安全的配置。 为保证路由协议的正常运行，网络管理员在配置路由器时要使用协议认证。具体操作 如下： *RIP 路由协议验证 . *OSPF 路由协议验证 . *EIGRP 路由协议的验证 . *简单网管协议 SNMP 的安全 . 7.简述安全交换机的性能。 在安全交换机中集成了安全认证，访问控制列表(ACL)，防火墙，入侵检测，防攻击， 防病毒等功能。 、 二 填空题 1.按计算机系统的安全要求，机房的安全可分为_A_,_B_,和_C_三个级别。 2.根据国家标准，大型计算机机房一般具有_交流工作地_,_直流工作地_,安全保 护地和_防雷保护地_等 4 种接地方式。 3.网络机房的保护通常包括机房的_防火_,_防水_,防雷和接地 ,_防尘和防静电_, 防盗,防震等措施。 4.一般情况下，机房的温度应控制在_1035_，机房相对湿度应为 _3080_%。 5.电磁辐射的保护可分为 _设备保护_,建筑保护 ,_区域保护_,_通信线路保护 _和 TEMPEST 技术防护等层次。 6.在 802.1x 协议中，具备 _客户端_,_认证系统_和_认证服务器_三个元素能够 完成基于端口的访问控制的用户认证和授权。 7.安全交换机采用了 _访问控制列表_来实现包过滤防火墙的安全功能， 增强安全防范 能力。 第四章 网络数据库与数据安全 一 问答题 1.简述数据库的安全措施。 *数据完整性技术 *数据备份和恢复技术 *数据加密技术 *访问控制技术 *用户身份验证技术 *数据鉴别 2.简述数据库系统安全威胁的来源。 *数据库应用程序通常都同操作系统的最高管理员密切相关 *人们对数据库安全的忽视 *部分数据库机制威胁网络低层安全 *安全特性缺陷 *数据库帐号密码容易泄露 *操作系统后门 *木马的威胁 3.何为数据库的完整性？数据库的完整性约束条件有哪些？ 数据库的完整性是指保护数据库数据的正确性和一致性。 完整性约束有数值类型与值域的完整性约束,关键字的约束 ,数据联系 (结构)的约束等。 这些约束都是在稳定状态下必须满足的条件，叫静态约束。 相应地还有动态约束， 就是指数 据库中的数据从一种状态变为另一种状态时，新旧数值之间的约束。 4.何为数据备份？数据备份有哪些类型？ 数据备份就是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分 数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程。 类型：冷备份，热备份，逻辑备份 5.何为数据容灾？数据容灾技术有哪些？ 数据容灾就是指建立一个异地的数据系统，该系统是本地关键应用数据的一个实时复 制。 SAN 和 NAS 技术,远程镜像技术 ,虚拟存储技术 ,基于 IP 的 SAN 的互联技术 ,快照技术 等。 二 填空题 1.按数据备份时备份的数据不同，可有 _完全备份_,_增量备份_,_差别备份_和 按需备份等备份方式。 2.数据恢复操作通常可分为三类： _全盘恢复_,_个别文件恢复_和重定向恢复。 3.数据备份是数据容灾的 _基础_。 4.数据的_完整性_是指保护网络中存储和传输数据不被非法改变。 5.数据库安全包括数据库 _系统_安全性和数据库 _数据_安全性两次含义。 6._并发控制_是指在多用户的环境下， 对数据库的并行操作进行规范的机制， 从而保证 数据的正确性与一致性。 7.当故障影响数据库系统操作，甚至使数据库中全部或部分数据丢失时，希望能尽快恢复到 原数据库状态或重建一个完整的数据库，该处理称为_数据库恢复_。 8._数据备份_是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分 数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程。 9.影响数据完整性的主要因素有_硬件故障_,软件故障 ,_网络故障_,人为威胁和意 外灾难等。 三 单项选择题 1.按数据备份时数据库状态的不同有( D )。 A.热备份 B.冷备份 C.逻辑备份 D.A,B,C都对 2.数据库系统的安全框架可以划分为网络系统,( A )和 DBMS 三个层次。 A.操作系统 B.数据库系统 C.软件系统 D.容错系统 3.按备份周期对整个系统所有的文件进行备份的方式是( A )备份。 A.完全 B.增量 C.差别 D.按需 第五章 数据加密与鉴别 一 问答题 1.简述密码学的两方面含义。 密码学包括密码编码学和密码分析学两部分。前者是研究密码变化的规律并用之于编 制密码以及保护密码信息的科学； 后者是研究密码变化的规律并用之于分析密码以获取信息 情报的科学。 2.何为分组密码和序列密码？ 分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n 的 组（可看成长度为 n 的矢量） ，每组分别在密钥的控制下变换成等长的输出数字（简称密文 数字）序列。 序列密码也称流密码，是对称密码算法的一种。 3.何为移位密码和替代密码？举例说明。 移位密码也叫换位密码。移位密码是在加密时只对明文字母(字符,符号)重新排序，每 个字母位置变化了，但没被隐藏起来。 替代密码也叫置换密码。替代密码就是在加密时将明文中的每个或每组字符由另一个 或另一组字符所替换，原字符被隐藏起来，即形成密文。 替代密码有简单替代 ,多字母替 代和多表替代等类型。 4.简述对称密钥密码和非对称密钥密码体制及其特点。 对称密钥密码体制也叫传统密钥密码体制，其基本思想就是“加密密钥和解密密钥相 同或相近” ，由其中一个可推导出另一个。使用时两个密钥均需保密，因此该体制也叫单密 钥密码体制。 特点：对称密码体制保密强度高，但开放性差，它要求发送者和接收者在 安全通信之前，需要有可靠的密钥信道传递密钥， 而双方用户通信所用的密钥也必须妥善保 管。 公开密钥密码体制也称非对称密钥密码体制，是使用具有两个密钥的编码解码算法， 加密和解密的能力是分开的： 这两个密钥一个保密， 另一个公开。根据应用的需要， 发送方 可以使用接收方的公开密钥加密消息，或使用发送方的私有密钥签名消息，或两个都使用， 以完成某种类型的密码编码解码功能。 5.简述链路加密和端 -端加密。 链路加密是指传输数据仅在数据链路层上进行加密。 链路加密是为保护两相邻节点之 间链路上传输的数据而设立的。 只要把两个密码设备安装在两个节点间的线路上，并装有同 样的密钥即可。 端-端加密是传输数据在应用层上完成加密的。端-端加密可对两个用户之间传输的数 据提供连续的安全保护。 数据在初始节点上被加密， 直到目的节点时才被解密， 在中间节点 和链路上数据均以密文形式传输。 6.PGP软件的功能是什么？可应用在什么场合？ PGP软件兼有加密和签名两种功能。它不但可以对用户的邮件保密，以防止非授权者 阅读，还能对邮件进行数字签名，使收信人确信邮件未被第三者篡改。 7.简述数字签名的功能。 数字签名能保证信息完整性，可防止电子信息因易被修改而有人作伪。或冒用别人名 义发送信息，或发出 (收到)信件后又加以否认等情况发生。 二 填空题 1.密码学包括密码编码学和 _密码分析学_两部分。后者是研究密码变化的规律并用之 于分析密码以获取信息情报的科学，即研究如何_攻破_一个密码系统，恢复被隐藏信息 的本来面目。 2.把明文变换成密文的过程叫 _加密_；解密过程是利用解密密钥， 对_密文_按照解密算 法规则变换，得到 _明文_的过程。 3.网络通信加密主要有 _链路加密_和端-端加密方式。 4.对称密码体制和公钥密码体制的代表算法分别是_DES_和_RSA_。 5.公钥密码体制中的一个密钥是 _公开的_的，另一个是 _加密的_的，对称密码体制中 加密和解密密钥都是 _公开的_的。 6.密钥管理的主要过程有密钥的产生,_保护_和_分发_。 7.数字证书有 _保证信息的保密性_,_保证信息的完整性_,保证交易实体 身份的真实性和 _保证不可否认性_四大功能。 8.鉴别包括 _报文鉴别_和身份验证，常用的身份验证的方法有 _口令_,_个人持证 _和_个人特征_等。 9.PGP 使用混合加密算法，它是由一个对称加密算法_IDEA_和一个非对称加密算法 _RSA_实现数据的加密。 10.PGP软件不仅有 _加密_功能，还有_鉴别_功能。这两种功能可以同时使用， 也可以_ 单独_使用。 三 单项选择题 1.在加密时将明文中的每个或每组字符由另一个或另一组字符所替换，原字符被隐藏起来， 这种密码叫 ( B )。 A.移位密码 B.替代密码 C.分组密码 D.序列密码 2.如果加密密钥和解密密钥相同或相近，这样的密码系统称为( A )系统。 A.对称密码 B.非对称密码 C.公钥密码 D.分组密码 3.DES算法一次可用 56 位密钥组把 ( C )位明文(或密文)组数据加密 (或解密 )。 A.32 B.48 C.64 D.128 4.( D )是典型的公钥密码算法。 A.DES B.IDEA C.MD5 D.RSA 5.CA 认证中心没有 _(1)_功能， _(2)_也不是数字证书的功能。 (1)A.证书的颁发 B.证书的申请 C.证书的查询 D.证书的归档 (2)A.保证交易者身份的真实性 B.保证交易的不可否认性 C.保证数据的完整性 D.保证系统的可靠性 B D 6.在 RSA 算法中，取密钥 e=3.d=7，则明文 4 的密文是 ( D )。 A.28 B.29 C.30 D.31 第六章 防火墙 一 问答题 1.防火墙的主要功能有哪些？ *网络安全的屏障 *强化网络安全策略 *对网络存取和访问进行监控审计 *防止内部信息的外泄 *安全策略检查 2.防火墙有几种体系结构，各有什么特点？ *过滤路由器结构。最简单的防火墙结构，过滤路由器防火墙作为内外连接的唯一通道， 要求所有的报文都必须在此通过检查。路由器上可以安装基于IP 层的报文过滤软件，实现 报文过滤功能。缺点是一旦被攻击并隐藏后很难被发现，而且不能识别不同的用户。 *双穴主机结构。双穴主机防火墙是围绕着具有双穴机构的主计算机而构建的。双穴主 机可与内部网系统通信，也可与外部网系统通信。双穴主机防火墙工作在OSI 的最高层， 它掌握着应用系统中可用作安全决策的全部信息。 *主机过滤结构。主机过滤防火墙是由一台过滤路由器与外部网相连，再通过一个可提 供安全保护的堡垒主机与外部网络相连。主机要求的级别较高。 *子网过滤结构。子网过滤结构是在主机过滤结构中又增加一个额外的安全层次而构成 的。是一种比较复杂的结构，它提供了比较完善的网络安全保障和较灵活的应用方式。 3.简述防火墙的发展趋势。 智能化，高速度，分布式，多功能，专业化 4.简述包过滤防火墙工作机制。 包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规 则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP 层） ，故也称网络层防火墙 （Network Lev Firewall）或 IP 过滤器（ IP filters） 。数据包过滤（ Packet Filtering ）是指在网 络层对数据包进行分析、 选择。通过检查数据流中每一个数据包的源IP 地址、目的 IP 地址、 源端口号、目的端口号、 协议类型等因素或它们的组合来确定是否允许该数据包通过。在网 络层提供较低级别的安全防护和控制。 5.代理防火