网络安全简答题.doc

1. 什么是网络安全策略，怎么实现网络的安全？安全策略是指在一个特定的环境，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不但要靠先进的技术，而且也得靠严格和管理、法律约束和安全教育。先进的网络技术是网络安全的根本保证，用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统进行严格的安全管理。各计算机使用使用机构，企业和单位应建立相当的网络安全管理办法，离开强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识制定严格的法律、法规。计算机网络是一种新生事物，它的很多行为无河可依、无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪，必须建立与网络安全相关的法律、法规，使非法分子不也轻举妄动。2. 网络中的不安全因素是由那些方面引起的？计算机网络的不安全因素多种多样，不断出新，但归纳起来主要有以下几种：（1） 环境。计算机网络通过有线链路或是无线电波连接不同地域的计算机或终端，线路中经常有信息传送，因此，自然环境和社会环境对计算机网络都会产生巨大的影响。（2） 资源共享。计算机网络实现资源共享，各个终端可以访问主计算机的资源，各个终端之间也可以相互共享资源，这样为异地用户提供巨大方便，同时也给非法用户窃取信息、破坏信息创造了条件，非法用户有可能通过终端或节点进行非法浏览、非法修改。（3） 数据通信。计算机网络要通过数据通信来交换信息，这些信息是通过物理线路、无线电波以及电子设备进行的，这样在通信中传输的信息易受破坏。（4） 计算机病毒。计算机病毒一量侵入，在网络内再按指数增长进行再生，进行传染，很快就会遍及网络各个节点，短时间内可以造成网络的瘫痪。（5） 网络管理。网络系统中的正常运行离不开系统管理人员对网络系统的管理，对于系统的管理不当会造成设备的损坏，保密信息的人为泄露等。3. 计算机网络在面临的威胁主要有那些？计算机网络面临的威胁主要有：（1）人为的无意失误；（2）人为的恶意攻击；（3）网络软件的漏洞和“后门”.4. 网络安全策略主要有那些？网络安全策略主要有：（1）先进的网络安全技术是网络安全的根本保证。（2）严格的安全管理。（3）严格的法律法规。5. 网络安全应该满足那些目标？网络安全需要满足的目标有：身份真实性；信息保密性；信息完整性；服务可用性；不可否认性；系统可控性；系统易用性；可审查性。6. 构成合理密码的要素有那些？构成密码的要素有：（1）长于7个字符。（2）所包含的元素至少来自下列四个字符集中的三种：大写、小写、数字、特殊字符。（3）不要包含用户姓名、用户名或任何常见词的任意部分。信息安全是为了防止对知识、事实、数据或功能未经授权的使用、误用、未经授权的修改或拒绝面采取的一组措施。网络安全属性：完整性、可用性、机密性。可审查性是对出现的网络安全问题提供调查的依据和手段。防火墙的作用是：建立内部信息功能和外部信息功能之间的屏障。第二章计算机网络基础构造计算机网络的目的是：信息交流。交换机按其结构可分为固定端口交换机和模块化交换机。ISO/OSI是指计算机网络的开放系统互联模型。构成TCP/IP模型的四个层次是：网络接口层、网际层、传输层、应用层。卫星通信最大的缺点是：传输时延大。以太网帧的大小是：61-1518字节。网桥处理是：MAC帧。物理层交换的信息是：完全不有逻辑结构，只是单纯的比特流传输。在10Base-2的网络中，最多的中继器的数量是：4个。10Base-T采用的是星形网络结构。网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。同层-应用层。如果用户应用程序使用UDP协议进行数据传输，那么应用层协议必须承担可靠性方面的全部工作。计算机网络的关键设备包括：中心路由器、主干交换机、关键服务器。在WINDOWS系统中可以提供服务的是IIS。虚拟内存页面大小默认为内存的1.5倍。在TCP/IP网络中，为各种公共服务保留的端口号是1-1023。在ISOOSI/RM参考模型中，表示层实现数据加密和压缩功能。在TCP协议中通过端口号来区分不同的应用进程。虚拟局域网与传统局域网的区别在于：组网方法。SSL协议在网络应用层和传输层之间提供加密方案。在数据传输过程中，差错主要是由通信过程的噪声引起的。TCP和UDP是工作在传输层的Internet协议，TCP是一可靠的、面向连接的协议，专门设计用于在不可靠的Internet上提供可靠的，端到端的字节流通信。TCP协议可以确保一台主机的字节流无差错的传送到目的主机。UDP协议是一种不可靠、无连接的协议，主要是用于不要求数据报顺序到达的传输中，数据报传输顺序的检查与排序由应用层完成。UDP向应用程序提供了一种发送封装的原始IP数据的方法，并且发送时无需要建立连接。1. 为什么要划分子网？子网掩码的作用是什么？由于Intelnet的每台主机都需要分配一个唯一的IP地址，因此分配的IP地址奶多，这将使路由器的路由表变的很大，进而影响了路由器在进行路由选择时的工作效率。解决这个问题的方法就是将一个大的网络划分为几个较小的网络，每个小的网络称为一个子网。当一个分组到达一个路由器时，路由器应该能够判断出IP地址的网络地址。子网掩码用来判断IP地址的那一部分是网络号与子网号，哪一部分是主机号。为了完成这种编号分享，路由器将对IP地址和子网掩码进行”与“运算。2. 在IP协议中，差错校验只针对IP数据报的头部进行，而未包含数据部分，试解释这样设计的主要原因。IP数据报在通信子网中进行传输时，由于每个路由器都需要对接收的IP数据报进行核验以判断是否出现了传输差错，而且还需要重新计算校验和（因为头部中的某些字段值改变了，例如TTL字段值）。如果IP数据报的差错校验包括头部和数据部分，路由器用于处理每个IP数据报的时间无疑会增加，也就是路由器的负载将会大大加重，因此，IP数据包的传输时延将会变长，同时，传输效率也会下降。另外，实际上IP数据报数据部分的校验往往是由上层完成的。因此如果在IP协议中对IP数据报的数据部分再进行校验将会引起多余和重复。3. 当路由器在转发某个IP数据报发现差错（例如目的结点不可达）时，只能向发送该数据报的源节点发出ICMP差错报文，而不能向该数据报经过的中间路由器发送差错报文，为什么？一个IP数据报的头部中关于路由唯一可用的信息是标志源主机的IP地址和标志目的主机的目的IP地址，而不包含该数据报在通信子网中所经过的完整路径（除了采用源路由器选项的情形）。因此当一个IP数据报到达某个特定的路由器时，这个路由器不可能知道该数据报到达之前所以过的路径。当路由器在转发该数据报时发现差错时，并不知道那些中间结点曾处理该数据报，因此只能向该数据报的源结点发送ICMP报文。尽管源结点可能不是导致该差错的结点，还是可以采取一定的措施来纠正这个差错。4. 多台DHCP服务器的管理办法。在多台DHCP服务器中，选择一台DHCP服务器作为管理服务器来管理其它的DHCP服务器。在充当管理服务器的一台DHCP服务器上选择“开始-程序-管理工具-DHCP”，打开DHCP控制窗口。在DHCP窗口中选择“树”目录中的“DHCP”，然后右键选择“添加服务器”选项。在对话框的“此服务器”下方选择一台DHCP服务器（当然此服务器必须是在运行状态），然后点击“确定”。就显示了新加的DHCP服务器。5. 试述DHCP初始化租约过程。（1） 请求IP租约：客户能过广播形式发送DHCPDISCOVER（DHCP发现）报文；（2） 提供IP租约：DHCP服务器返回一个DHCPOFFER报文；（3） 选择IP租约：客户设置服务器ID和IP地址，并发送服务器一个DHCPREQUEST报文。（4） 确认IP租约：服务器发送DHCPACk(dhcp确认)报文，以确定些租约成立，在此报文中还包含有其它的DHCP选项信息。6. 网络管理员的工作有那些？（1） 网络服务器的管理；（2） 网络用户的管理；（3） 网络文件和目录的管理；（4） 网络贩配置和管理；（5） IP地址的管理；（6） 网络安全管理；（7） 网络布线的日常维护；（8） 关键设备的管理。7. AAAA指的是什么？（1）.Authentication(身份验证)。对用户进行确定和身份验证的过程。可以使用多种方法验证用户，最常用的是用户名和密码的组合。（2）.Authorization(授权)。确定经过验证的用户可以访问的内容和执行的操作过程。（3）.Accounting(记录)。记录用户在某设备上正在执行的操作和已经执行的操作。8.常见的入侵类型：数据包嗅探器、IP欺骗、拒绝服务攻击、应用程序攻击、网络侦察。广域网的安全管理：良好的网络拓扑规划、对网络设备进行安全配置、确保路由安全、使用ACL进行数据管理、使用AAA加强访问控制和认证。5.简述防火墙的弱点和不足。（1）防火墙不能防范不经过防火墙的攻击；（2）防火墙不能防止来自网络内部的攻击和安全问题；（3）防火墙通常不具备实时监控入侵的能力；（4）防火墙不能防止安全策略配置不当或者错误所引起的威胁；（5）防火墙不能防病毒（并不检查数据包内容）；（6）防火墙本身也会有安全漏洞。3.PPP帧的起始和结束标志都是0x7e，若在信息字段中出现与此相同的字符，必须进行填充。在同步数据链路中，采用（比特填充法）方法进行填充；在异步数据链路中，采用（字符填充法）方法进行填充。4.与SNMP1.0相比，SNMP2.0版本增加两种新的协议数据单元操作是（InformRequest）和（GetBulkRequest）。8.数据链路层协议可分为（面向字符的通信规程）和（面向比特的通信规程）两类。HDLC帧格式包括：信息帧、无编号帧、管理帧。网络协议组成的规则：语义、语法、规则。基于网络安全的需要，网络操作系统一般提供了四级安全保密机制：注册安全性，用户信任者权限与、最大信任者权限屏蔽、目录与文件属性。5.跳频的主要优点是什么？GSM系统有几种实现跳频的方式？优点：能大大提高通信系统抗多径衰落的能力，相当于频率分集；提高通信系统抗频率干扰的能力；保密性强，可以防止信号被窃听。GSM系统有基带跳频（BBH）和射频跳频（SFH）两种。1.简述Windows系统的安全机制。（1）认证机制；（2）访问控制机制；（3）审计/日志机制；（4）协议过滤IPSec和防火墙；（5）文件加密系统。3.简述WindowsServer2000系统的安全特性：（1）活动目录；（2）NTFS文件系统；（3）存储服务；（4）数据和通信安全。4.简述WindowsServer2003的安全模型。（1）身份认证；（2）访问控制；（3）加密文件系统；（4）公钥基础设施PKI；（5）IPSec协议安全性。1.请简述黑客攻击的五个步骤。（1）隐藏身份、IP地址、地理位置；（2）踩点扫描（收集信息），挖掘漏洞；（3）获得（管理员）权限；（4）种植后门和木马程序；（5）清除攻击痕迹。2.简述黑客攻击的技术有那些？远程信息探测、远程缓冲溢出攻击、CGI攻击、拒绝服务攻、口令攻击、木马攻击、欺骗攻击、恶意代码、社会工程。3.什么是DoS攻击？DoS攻击可划分为哪三种类型？DoS攻击即拒绝服务攻击，是以消耗服务器资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击的目的。DoS攻击可划分为三种类型：带宽攻击、协议攻击、逻辑攻击。常见的安全防御技术有：身份鉴别技术、访问控制技术、密码技术、防火墙技术、安全审计技术、入侵检测技术。庄子云：“人生天地之间，若白驹过隙，忽然而已。”是呀，春秋置换，日月交替，这从指尖悄然划过的时光，没有一点声响，没有一刻停留，仿佛眨眼的功夫，半生已过。人活在世上，就像暂时寄宿于尘世，当生命的列车驶到终点，情愿也罢，不情愿也罢，微笑也罢，苦笑也罢，都不得不向生命挥手作别。我们无法挽住时光的脚步，无法改变人生的宿命。但我们可以拿起生活的画笔，把自己的人生涂抹成色彩靓丽的颜色。生命如此短暂，岂容随意挥霍！只有在该辛勤耕耘的时候播洒汗水，一程风雨后，人生的筐篓里才能装满硕果。就算是烟花划过天空，也要留下短暂的绚烂。只有让这仅有一次的生命丰盈充实，才不枉来尘世走一遭。雁过留声，人过留名，这一趟人生旅程，总该留下点儿什么！生活是柴米油盐的平淡，也是行色匆匆的奔波。一粥一饭来之不易，一丝一缕物力维艰。前行的路上，有风也有雨。有时候，风雨扑面而来，打在脸上，很疼，可是，我们不能向生活低头认输，咬牙抹去脸上的雨水，还有泪水，甩开脚步，接着向前。我们需要呈现最好的自己给世界，需要许诺最好的生活给家人。所以，生活再累，不能后退。即使生活赐予我们一杯不加糖的苦咖啡，皱一皱眉头，也要饮下。人生是一场跋涉，也是一场选择。我们能抵达哪里，能看到什么样的风景，能成为什么样的人，都在于我们的选择。如果我们选择面朝大海，朝着阳光的方向挥手微笑，我们的世界必会收获一片春暖花开。如果我们选择小桥流水，在不动声色的日子里种篱修菊，我们的世界必会