课后习题参考答案.doc

习题参考答案第1章1计算机网络安全的定义是什么？答：国际标准化组织（ISO）对计算机网络安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。2常见的网络安全攻击方式有哪些？答：主动攻击和被动攻击有以下4种具体类型：窃听、中断、篡改和伪造。3常见的网络安全的威胁有哪些？答：网络安全威胁有：计算机病毒的威胁、木马程序的威胁、网络监听、黑客攻击、恶意程序攻击。4网络安全的构建原则是么？答：网络安全策略的设计过程应符合以下原则：木桶原则、整体性原则、均衡原则、一致性原则、技术与管理相结合原则、统筹规划，分步实施原则、动态性原则、易操作性原则。5网络安全的应用方向是什么？答：计算机网络安全的几个大致发展方向有：网络内容规范化、网络系统管理和安全管理方面、金融系统的安全、计算机网络安全的法律法规建设、计算机网络软件系统的安全、密码技术。第2章 1简述OSI参考模型的安全体系结构中定义了哪些安全服务和安全机制。答：OSI参考模型的安全体系结构中定义了以下5种基本的安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务、抗否认服务。制定了支持安全服务的8种安全机制：加密机制、数字签名机制、访问控制、数据完整性、鉴别交换机制、通信流量填充机制、路由选择控制机制、公证机制。2简述TCP/IP参考模型中的Internet层安全和应用层安全是如何实现的。答：Internet层安全主要是为了保证IP数据包能够正确地发往目的地，确保路由器间路由信息的适时交换以及路由表和路由信息的准确性和完整性。为保障安全采取的办法有：对路由器可以采用设置不同级别的访问并授予相应的权限等方式以防止非授权用户的非法修改，引入认证机制，以确保非授权的路由更新信息插入网络。使用安全性更高的新一代的互联网协议IPv6。应用层安全主要是针对具体文件及其内容。为保障安全采取的办法有：利用其他软件实现对已有应用层协议安全功能的扩展；提供文件级别的安全机制；提供多种安全服务的安全协议。第3章1描述你遇到过的计算机病毒及清除它们的方法。答：手动清除扫荡波病毒的步骤如下。1）下载MS08-067(KB958644)补丁，修复MS08-067漏洞。2）禁用IPC$空链接。打开“注册表编辑器”窗口，找到HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlLsa，在“编辑DWORD值”对话框中将restrictanonymous键值改为REG_DWORD：00000001，如图3-39所示。3）安装并启用杀毒软件的病毒监控，同时将病毒库升级至最新。手动清除Nimda病毒的步骤如下。1）断开网络，重启计算机。2）删除系统Temp文件夹中的文件，使用无毒的Riched20.dll文件去替换同名文件。3）删除系统文件下的load.exe和windows根目录下mmc.exe，搜索各个磁盘中的Admin.all和Readme.eml文件并彻底删除，更改磁盘中的共享文件的属性，取消文件共享，然后打上防御Nimda病毒的补丁。其他病毒参考书中内容。2如何清除冰河木马？请描述具体步骤。答：具体步骤如下。1）关闭冰河木马的进程，删除C:WINDOWSsystem32下的Kernel32.exe和Sysexplr.exe文件。2）在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run下，删除内容为C:WINDOWSsystem32Kernel32.exe的键值。3）在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion Runservices下，删除内容为C:WINDOWSsystem32Kernel32.exe的键值。4）修改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand中的默认值，在“编辑字符串”对话框中由中木马后的C:WINDOWSsystem32Sysexplr.exe %1改为正常情况下的C:WINDOWSsystem32notepad.exe %1。3如何手动删除“灰鸽子”木马？请描述具体步骤。答：1）重启受到攻击的计算机，进入计算机安全模式，设置Windows显示所有的文件，在Windows安装目录下搜索文件，输入搜索条件“_hook.dll”，开始搜索，如果找到该文件后，如搜索到的是hgz_hook.dll，删除该文件。更换输入条件“hgz.dll”和“hgz.exe”后继续搜索，找到文件进行删除。2）打开注册表编辑器，找到HKEY_LOCAL_MACHINESYSYTEMCurrentControlSet Services注册表项，查找“hgz.exe”，找到后删除即可。第4章1对称加密算法和非对称加密算法的工作原理分别是什么?答：对称加密采用的是对称密码编码技术，不论是数据加密还是数据解密使用的都是同一个密钥，即加密密钥也可用做解密密钥，并且从加密密钥能够推算出解密密钥非对称加密算法有两个密钥，公钥和私钥，一个用于加密，另一个用于解密。加密密钥不同于解密密钥，解密密钥也不能根据加密密钥推算出来。2简述数字签名技术的工作原理。答：数字签名的工作原理是：数据发送方使用自己的私钥对数据及与数据有关的变量进行运算，将合法的数字签名与数据原文一起传送给接收方，数据到达接收方后，接收方利用发送方的公钥对收到的数字签名进行运算，将得到的结果与发送方发送过来的签名做比较，如果相同，则说明收到的数据是完整的，在传输过程中没有被修改，反之说明数据被修改过，以此对数据完整性做检验，以确认签名的真实性和合法性。3公钥基础架构（PKI）、CA、数字证书的工作原理分别是什么?答：PKI技术利用公钥理论和技术建立并提供网络信息安全服务的基础设施，它的管理平台能够为网络中所有用户提供所需的密钥管理，用户可以在PKI平台上实现加密和数字签名等密码服务。PKI能够保证应用程序自身数据、资源的安全和在交换过程中的安全。CA作为网络安全通信中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性验证的工作。CA为每个使用公开密钥的客户发放数字证书，数字证书是一个经证书颁发机构签名的包含公开密钥拥有者信息以及公开密钥的文件，CA机构的签名使第三方不能伪造和篡改证书，本章后面会进行详细介绍。CA除了发放数字证书外，还负责产生、分配和管理所有参与网络电子信息交换各方所需的数字证书，并提供一系列密钥生命周期内的管理服务。数字证书的每个客户首先产生自己的密钥对，自己设定一个特定的仅为本人所知的私钥用来进行解密和签名，设定一个公钥用于其他人加密发送给自己消息或用于验证自己签名。客户将公钥及部分个人身份信息传送给CA。CA核实身份后，再次请求确认由用户发送而来的信息，CA接着将颁发给客户一个数字证书，该证书内包含客户的个人信息及其公钥，同时还附有认证中心的数字签名。客户可使用自己的数字证书与其他通信方安全交换数据。数字证书采用公钥密码体制，公钥将在客户的数字证书中公布并寄存于数字证书认证中心，私钥将存放在客户计算机上。第5章 防火墙技术1防火墙的工作模式有3种，分别是什么？答：3种防火墙的工作模式分别是路由模式、透明模式和NAT（网络地址转换）模式。2防火墙的实施方式主要有哪些？答：基于单个主机的防火墙、基于网络主机的防火墙、硬件防火墙。3防火墙的3种实现技术分别是什么？它们分别有何特点？答：3种实现技术分别是数据包过滤、应用层代理、状态检测技术。数据包过滤技术就是对内、外网络之间传输的数据包按照某些特征事先设置一系列的安全规则（或称安全策略），进行过滤或筛选，使符合安全规则的数据包通过，而丢弃那些不符合安全规则的数据包应用层代理是指在应用层上为转发数据的客户端服务，防火墙会根据应用层的协议来进行访问控制，防火墙不仅能够看到下面几层的内容还可以看到应用层的信息。防火墙根据应用层的信息来作出是否进行转发和阻止的决定。状态检测技术通过其抽取部分网络数据（即状态信息），并动态保存起来作为以后安全决策的参考，对于无连接的协议（如RPC和基于UDP的应用），使用它可以为之提供虚拟的会话信息。第6章 1配置一个安全模板，其中包含账户策略及禁止端口的策略，并导入到Windows Server 2003中。答：在计算机桌面上选择“开始”“运行”，在弹出的对话框中输入mmc，在控制台1界面上选择“文件”“添加/删除管理单元”，添加安全模板，首先配置安全模板，在安全模板中设定相应的策略，导出保存，在需要使用该模板的计算机上在组策略编辑器中导入即可。2通过注册表禁止IPC连接。答：修改注册表Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous 的值为1就可以。第7章1端口的种类和常用的端口扫描软件有哪些？答：端口根据参考对象的不同有多种划分方法。根据端口的性质划分（1）公认端口（2）注册端口（3）动态和私有端口根据提供的服务方式划分（1）TCP端口（2）UDP端口常用的端口扫描软件有：SuperScan、X-scan2如何防御端口扫描的攻击？答：查看端口的状态、关闭闲置和危险的端口、隐藏操作系统类型3简述如何扫描目标计算机的开放端口。答： 打开SuperScan主界面，如图7-3所示，默认为“Scan”选项卡，主要用于进行端口扫描，允许输入一个或多个主机名或IP地址范围，也可选择文件中的输入地址列表。选择“Host and Service Discovery”选项卡，该标签可设置主机和服务选项，包括要扫描端口类型和端口列表，可在扫描的时候查看更多详细信息。SuperScan会显示扫描了哪些主机和在每台主机上哪些端口是开放的。返回“Scan”选项卡，输入主机名或IP范围后，单击图标按钮，SuperScan开始扫描地址。扫描进程结束后，SuperScan将提供一个主机列表，是关于每台扫描过的主机被发现的开放端口信息。第8章1简述入侵检测系统的工作原理。答： 入侵检测系统的工作有以下步骤完成：（1）信息采集入侵检测的第一步即为信息采集，由放置在不同网段区域的传感器和不同主机代理来采集信息，采集信息包括网络、系统、数据、用户活动的状态和行为。（2）信息分析将采集到的信息传给检测引擎，检测引擎驻留在传感器中，它通过各种技术进行检测，若检测到某种误用模式，会向控制台发送警告，报告存在入侵行为。（3）结果处理控制台收到警告后，会按照预先定义的响应来采取相应的措施，如重新配置路由器和防火墙、切断设备间连接、终止程序进程等，利用这些操作来防御入侵行为。2简述基于网络的入侵检测系统的部署。答：基于主机的入侵检测系统部署，可根据每一台主机的实际情况安装入侵检测系统，为主机提供高级别的保护。一般会进行有选择性的安装，如挑选关键或重点主机来安装入侵检测系统，这样不仅可以降低成本，更能将主要的精力集中在最需要保护的主机上，并可集中分析和管理这些主机系统产生的日志。基于网络的入侵检测系统运行在网络中，它通常分为传感器和控制台两部分，传感器即为检测器，负责采集数据、分析数据和生产安全事件，它对网络进行监听，查找每一数据包内隐藏的恶意入侵，当检测到攻击时，传感器能立即做出一连串的响应：向控制台发出警告、记录入侵证据、采取防御措施。3简述入侵检测系统与入侵防护系统的相同点与不同点。答：IPS是一种积极主动的防范入侵