1、1计算机网络安全基础(第三版)习题讲解第一章习题:1举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。2有两个网络,它们都提供可靠的面向连接的服务。一个提供可靠的字节流,另一个提供可靠的比特流。请问二者是否相同?为什么?不相同。在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。例如,一个进程向一条连接写了 1024 字节,稍后又写了另外 1024
2、字节。那么接收方共读了 2048 字节。对于报文流,接收方将得到两个报文, 、每个报文 1024 字节。而对于字节流,报文边界不被识别。接收方把全部的 2048 字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。3举出 OSI 参考模型和 TCP/IP 参考模型的两个相同的方面和两个不同的方面。OSI 模型(开放式系统互连参考模型):这个模型把网络通信工作分为 7 层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。每层完成一定的功能,每层都直接为其上层提
3、供服务,并且所有层次都互相支持。TCP/IP 模型只有四个层次:应用层、传输层、网络层、网络接口层。与 OSI 功能相比,应用层对应的是 OSI 的应用层、表示层、会话层;网络接口层对应着 OSI 的数据链路层和物理层。两种模型的不同之处主要有:(1) TCP/IP 在实现上力求简单高效,如 IP 层并没有实现可靠的连接,而是把它交给了TCP 层实现,这样保证了 IP 层实现的简练性。OSI 参考模型在各层次的实现上有所重复。(2) TCP/IP 结构经历了十多年的实践考验,而 OSI 参考模型只是人们作为一种标准设计的;再则 TCP/IP 有广泛的应用实例支持,而 OSI 参考模型并没有。4
4、TCP 和 UDP 之间的主要区别是什么?TCP,传输控制协议,提供的是面向连接的、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个 TCP 连接,之后才能传输数据。 TCP 提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。UDP,用户数据报协议,是一个简单的面向数据报的运输层协议。UDP 不提供可靠性,它只是把应用程序传给 IP 层的数据报发送出去,但是并不能保证它们能到达目的地。由于UDP 在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快。5网桥、路由器、网关的主要区别是什么?网桥运行在数据链
5、路层,采用介质访问控制(MAC)地址数据的中继功能,从而完成2一个局域网到另一个局域网的数据包转发。网桥主要用于连接两个寻址方案兼容的局域网,即同一种类型的局域网。用网桥连接起来的局域网不受 MAC 定时特性的限制,理论上可达全球范围。路由器运行在网络层(分层模型的第三层) ,它的网间数据包中继采用的是网络层地址(如 IP 地址) 。路由器的能力比网桥强大的多,它不仅具备流量控制能力,还可以提供诸如帧中继的网络接口。用路由器连接起来的多个网络,它们仍保持各自的实体地位不变,即它们各自都有自己独立的网络地址。网关用于实现不同体系结构网络之间的互联,它可以支持不同协议之间的转换,实现不同协议网络之
6、间的通信和信息共享。6分析路由器的作用及适用场合?路由器是局域网和广域网之间进行互联的关键设备,用于连接多个逻辑上分开的网络。通常的路由器都具有负载平衡、组织广播风暴、控制网络流量以及提高系统容错能力等功能。一般来说,路由器多数都可以支持多种协议,提供多种不同的物理接口。路由器的适用场合包括局域网和广域网等多种类型网络之间的连接。在主干网上,路由器的主要作用是路由选择,在地区网中,路由器的主要作用是网络连接和路由选择,在园区网内,路由器的作用是分割子网。7Internet 提供的主要服务有哪些?远程登录服务(Telnet) 、 文件传输服务(FTP) 、 电子邮件服务(E-Mail) 、 网络
7、新闻服务(Usenet) 、信息浏览服务(Gopher、WWW) 、网络用户信息查询服务、实时会议服务、DNS 服务、网络管理服务、NFS 文件系统下的服务、X-Windows 服务和网络打印服务。8电子邮件的头部主要包括哪几部分?(写出最重要的三个)电子邮件分成两部分,头部和主体。头部包含有关接收方、发送方、信息内容等方面的信息。头部由若干行组成,每一行首先是一个关键字,一个冒号,然后是附加的信息。关键字有:From, To, Cc, Bcc, Date, Subject,Reply-To, X-Charset, X-Mailer 等。9接入 Internet 需要哪些设备和条件?1.计算机
8、 2.网卡,或 Modem 或 ISDN 卡 3.电话线10用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么?路由器可以连接不同的网络,是第三层的设备;网桥只能连接两个相同的网络,是第二层设备。另外,路由器可以隔离广播而网桥不隔离。第二章习题:1网络操作系统与单机操作系统之间的主要区别是什么?操作系统的主要功能有:管理系统内所有资源,为用户提供服务,网络操作系统和单机操作系统都具备这些功能,但是两者还有区别。一是管理的范围不同,单机操作系统管理的是本机资源,网络操作系统要为用户提供各种基本网络服务,管理的是整个网络的资源,包括本地和网络的;二是提供的服务不同,单机操作系统为本地用户
9、提供服务,网络操作系统同时还要为网络用户提供服务。2局域网操作系统有哪些基本服务功能?3局域网必须能为用户提供各种基本网络服务:文件服务、打印服务、数据库服务、通信服务、分布式服务、网络管理服务、Internet/Intranet 等。3Unix 操作系统的主要特点有哪些?UNIX 是一个多任务多用户的操作系统,它具有的特点如下:可靠性高;极强的伸缩性;网络功能强;强大的数据库支持功能;开放性好。4Linux 操作系统的主要特点有哪些?Linux 是按照 UNIX 风格设计的操作系统, Linux 具有如下一些主要特点:与 UNIX 高度兼容;高度的稳定性和可靠性;完全开放源代码,价格低廉;系
10、统安全可靠,绝无后门。5Windows 操作系统的主要特点有哪些?可靠、高效能、连接性、经济6Windows 操作系统的安全特点是什么?在 Windows 中所有的对象都有一个安全标示符,安全性标识符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性,所有的命名对象、进程和线程都有与之关联的安全描述。Windows 安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例。7Unix 操作系统的文件访问控制是基于什么来完成的?UNIX 操作系统的资源访问控制是基于文件的。系统中的每一个文件都具有一定的访问权限,只有具有这种访问权
11、限的用户才能访问该文件,否则系统将给出 Permission Denied 的错误信息。8Unix 操作系统对文件进行操作的有哪三类用户?用户本人;用户所在组的用户;其他用户。9简述 NTFS 文件系统的特点?NTFS 文件系统具有如下特点:1) NTFS 可以支持的分区大小可以达到 2TB;2) NTFS 是一个可恢复的文件系统;3) NTFS 支持对分区、文件夹和文件的压缩;4) NTFS 采用了更小的簇,可以更有效率的管理磁盘空间;5) 在 NTFS 分区上,可以共享资源、文件夹以及文件设置访问许可权限;6) 在 NTFS 文件系统下可以进行磁盘配额管理;7) NTFS 使用一个“变更”
12、日志来跟踪记录文件所发生的变更。10在 Windows 操作系统中对文件访问许可设置有哪些?略。详见 67 页表 2.411在 Windows 操作系统中对目录访问许可设置有哪些?略。详见 67 页表 2.54第三章习题:1网络安全的含义是什么?网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的原因而遭到破坏、更改和泄漏,系统连续、可靠、正常的运行,网络服务不中断。2网络安全有哪些特征?保密性、完整性、可用性和可控性。3什么是网络安全的最大威胁?网络安全主要面临的安全威胁有:非授权访问、信息泄露、拒绝服务4网络安全主要有哪些关键技术?主机安全技术;身份认证技术;访问控
13、制技术、密码技术、防火墙技术、安全审计技术、安全管理技术。5如何实施网络安全的安全策略?实施安全策略要注意几个问题:安全局政策不要过于繁琐,不能只是一个决定或者方针;安全政策一定要真正执行;策略的实施不仅仅是管理人员的事,而且也是技术人员的事。安全策略应包括如下内容:网络用户的安全责任;系统管理员的安全责任;正确利用网络资源,规定谁可以使用网络资源;检测到安全问题时的对策。6如何理解协议安全的脆弱性?计算机网络系统普遍使用的 TCP/IP 以及 FTP、E-mail,NFS 等都包含着许多影响网络安全的因素,存在许多漏洞。7数据库管理系统有哪些不安全因素?主要从物理安全、网络安全、管理安全等方
14、面进行论述。8解释网络信息安全模型。网络信息安全模型中,政策、法律、法规是基石,它是建立安全管理的标准和方法;第二部分是增强的用户认证,主要目的是提供访问控制。用户认证的方法主要有用户持有的证件、用户知道的信息、用户特有的特征。第三部分是授权,主要是为特许用户提供合适的访问权限,并监控用户的活动,时期不越权使用。之后是加密,加密主要满足认证、一致性、隐秘性、不可抵赖的需求。模型的顶部是审计与监控,这是最后一道防线,包括数据的备份。9对因特网进行安全管理需要哪些措施? 安全管理的目的是利用各种措施来支持安全政策的实施,需从安全立法、加强管理和发展安全技术着手。10简述信息包筛选的工作原理。略。5
15、第四章习题:1计算机系统安全的主要目标是什么?在一定的外部环境下,保证系统资源的安全性、完整性、可靠性、保密性、有效性、合法性和服务可用性。2简述计算机系统安全技术的主要内容(1)实体硬件安全技术:为保证计算机设备及其他设施免受危害所采取的措施,包括计算机设备、通信线路及设施等。(2)软件系统安全技术:包括口令控制、鉴别技术、软件加密、掌握高安全产品的质量标准等。 (3)数据信息安全技术:包括对各种用户的身份识别技术、口令、指纹验证、存取控制技术、紧急处置和系统恢复等。(4)网络站点安全技术:包括防火墙技术、网络跟踪检测技术、路由控制隔离技术、流量控制分析技术等。(5)运行服务安全技术:包括系
16、统的使用与维护、随机故障维护技术、软件可靠性、可维护性保证技术等。(6)病毒防治技术:包括计算机病毒检测、诊断和消除等。(7)防火墙技术:包括电子邮件和远程终端访问等。(8)计算机应用系统的安全评价:作为安全保密工作的尺度。3计算机系统安全技术标准有哪些?D 级、C1 级、C2 级、B1 级、B2 级、B3 级、A 级4访问控制的含义是什么?访问控制是对进入系统的控制,作用是对需要访问系统及其数据的人进行识别,并检验其合法身份。5如何从 Unix 系统登录?申请账号,输入正确的用户账号、密码,登录6如何从 Windows xp 系统登录?Windows xp 系统的登录主要有 4 种方式:(1
17、)交互式登录:通过相应的用户账号和密码在本机登录。(2)网络登录:输入的账号、密码必须是对方主机上的。(3)服务登录:采用不同的用户账号登录,可以是域用户帐户、本地用户账户或系统帐户,不同帐户的访问、控制权限不同。(4)批处理登录:所用账号要具有批处理工作的权利。7怎样保护系统的口令?选择安全的口令、系统使用口令的生命期控制、Windows XP 系统的口令管理8什么是口令的生命周期?管理员可以为口令设定一个时间,当到期后,系统会强制要求用户更改系统口令。69如何保护口令的安全?不要将口令告诉别人,不要用系统指定的口令,最好不用 e-mail 传送口令,帐户长期不用应暂停,限制用户的登录时间,
18、限制用户的登录次数,记录最后登录时的情况,使用TFTP 获取口令文件,定期查看日志文件,确保除 root 外没有其它公共账号,使用特殊用户组限制,关闭没有口令却可以运行命令的账号。10建立口令应遵循哪些规则?选择长口令,包括英文字母和数字的组合,不要使用英语单词,不要使用相同口令访问多个系统,不要使用名字,不选择难记忆口令,使用 UNIX 安全程序。第五章习题:1试分析数据库安全的重要性,说明数据库安全所面临的威胁。数据库是网络系统的核心部分,有价值的数据资源都存放其中,不允许受到恶意侵害,或未经授权的存取与修改。所面临的威胁主要有篡改、损坏和窃取。2数据库中采用了哪些安全技术和保护措施?主要
19、包括两个方面:支持数据库的操作系统,数据库管理系统(DBMS) 。DBMS 的安全使用特性的几点要求:多用户、高可靠性、频繁更新、文件大。3数据库的安全策略有哪些?简述其要点。(1)用户标识和鉴定:通过核对用户的名字或身份决定该用户对系统的使用权。(2)存取控制:对用户权限进行合法权检查。(3)数据分级:把数据分级,对每一级数据对象赋予一定的保密级。(4)数据加密:用密码存储口令、数据,对远程终端信息用密码传输。4数据库的加密有哪些要求?加密方式有哪些种类?为了更好地保证数据的安全性,可用密码存储口令、数据,对远程终端信息用密码传输防止中途非法截获等。加密方式有:用加密算法对明文加密、明钥加密
20、法等。5事务处理日志在数据库中有何作用?在动态转储方式中,后备副本和日志文件综合起来才能有效地恢复数据库;在静态转储方式中,数据库毁坏后装入后备副本,利用日志文件把已完成事务进行重新处理,对故障发生时尚未完成的事务进行撤销。6数据库管理系统的主要职能有哪些?(1)有正确的编译功能,能正确执行规定的操作;(2)能正确执行数据库命令;(3)保证数据的安全性、完整性,能抵御一定程度的物理攻击,能维护和提交数据库内容;(4)能识别用户,分配授权和进行访问控制,包括身份识别和验证;(5)顺利执行数据库访问,保证网络通信功能。77简述常用数据库的备份方法。常用的数据库备份方法有冷备份、热备份和逻辑备份 3
21、 种。冷备份需要关闭数据库系统,在没有任何用户对它进行访问的情况下备份。热备份在系统运行时进行备份,依赖于日志文件中更新或更改指令的堆叠,不是真正将数据写入数据库。逻辑备份是使用软件技术从数据库中提取数据,并将数据映像输出。8简述易地更新恢复技术。每个关系有一个页表,页表中的每一项是一个指针,指向关系中的每一页(块) 。当更新时,旧页保持不变,将新内容写入新页。在提交时,页表的指针从旧页指向新页。9简述介质失效后,恢复的一般步骤。(1)修复系统,必要时更换磁盘;(2)如果系统崩溃,则重新启动系统;(3)加载最近的备份;(4)用运行日志中的后像重做,取最近备份以后提交的所有事务。10什么叫“前像
22、” ,什么叫“后像”?前像是指数据库被一个事务更新时,所涉及的物理块更新后的影像,它以物理块为单位。后像是指数据库被一个事务更新时,所涉及的物理块更新前的影像,同前像一样以物理块为单位。第六章习题:1什么是计算机病毒?计算机病毒是一种“计算机程序” ,它不仅能破坏计算机系统,而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中,他能复制自身并将其插入到其他程序中以执行恶意的行动。2计算病毒的基本特征是什么?可以编写人为破坏;自我复制;夺取系统控制权;隐蔽性;潜伏性;不可预见性。3简述计算机病毒攻击的对象及所造成的危害。(1)攻击系统数据区:受损数据不易恢复;(2)攻击文件:删除文
23、件、改名、替换内容、丢失簇、对文件加密;(3)攻击内存:大量占用、改变内存总量、禁止分配、蚕食内存;(4)干扰系统运行:不执行命令、干扰内部命令的执行、虚假警报等;(5)干扰键盘、喇叭或屏幕:封锁键盘、喇叭发出响声、滚屏等;(6)攻击 CMOS:对 CMOS 进行写入操作,破坏 CMOS 中的数据;(7)干扰打印机:假报警、间断性打印等;(8)破坏网络系统:非法使用网络资源,破坏电子邮件等。4病毒按寄生方式分为哪几类?文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒、宏病毒5计算机病毒一般由哪几部分构成,各部分的作用是什么?计算机病毒的预防有哪几方面?8计算机病毒程序由引导模块、传染模块
24、、干扰或破坏模块组成。预防:下载正规网站资源,下载后扫描;安装正版杀毒软件和防火墙;关闭危险服务、端口及共享;删除多余或停用的账户;使用移动存储设备前先扫描病毒;定期彻底全盘查毒,定期备份重要文件等。6简述检测计算机病毒的常用方法。比较法:比较被检测对象与原始备份;扫描法:利用病毒特征代码串对被检测对象进行扫描;计算特征字的识别法:也是基于特征串扫描;分析法:利用反汇编技术。7简述宏病毒的特征及其清除方法。宏病毒的特征:感染.doc 文档及.dot 模板文件;通常是 Word 在打开带宏病毒文档或模板时进行传染;多数宏病毒包含 AutoOpen、AutoClose 等自动宏;含有对文档读写操作
25、的宏命令;在.doc 文档及.dot 模板中以.BFF 格式存放。宏病毒的清除:使用选项“提示保存 Normal 模板” ;不要通过 Shift 键来禁止运行自动宏;查看宏代码并删除;使用 DisableAutoMacro 宏;设置 Normal.dot 的只读属性;Normal.dot 的密码保护。8什么是计算机病毒免疫?通过一定的方法,使计算机自身具有防御计算机病毒感染的能力。9简述计算机病毒的防治措施。使用合法原版的软件,将重要的资料备份,杀毒软件,注意观察一些现象等。10什么是网络病毒,防治网络病毒的要点是什么?计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源
26、的计算机病毒。防治:使用防毒软件保护客户机和服务器,使用特定的优秀的防毒软件等。第七章习题:1什么是数据加密?简述加密和解密的过程。数据机密是基本的保证通信安全的方法。数据加密的基本过程包括对称为明文的可读信息进行加处理,形成称为密文或密码的代码形式。该过程的逆过程为解密,即将该编码信息转化为其原来形成的过程。加密的过程就是通过加密算法,用密钥对明文进行信息处理的过程。加密算法通常是公开的,现在只有少数几种加密算法,如 DES、RSA 等。解密的过程就是加密的逆过程,通过加密算法将密文还原成明文信息。2在凯撒密码中令密钥 k=8,制造一张明文字母与密文字母对照表。ABCDEFGHIJKLMNO
27、PQRSTUVWXYZ k=8IJKLMNOPQRSTUVWXYZABCDEFGH3用维吉尼亚法加密下段文字:COMPUTER AND PASSWORD SYSTEM,密钥为 KEYWORD。略。可对照 172 页表 7.1 维吉尼亚表。94DES 算法主要有哪几部分?DES 算法采用 56 位的密钥,在 16 轮内完成对 64 位数据块的加密。每轮所用的子密钥由初始密钥分解而来。DES 算法主要分为两部分:置换(初始置换、扩充置换及最终逆初始置换)和替代(S 盒) ,另外还有基于密码的复杂计算。5在 DES 算法中,密钥 Ki 的生成主要分哪几步?略。6简述加密函数 f 的计算过程。DES
28、对 64 位的明文进行 16 轮形同的运算,这些运算即为函数 f,在运算过程中数据和密钥结合。在每一轮中,密钥位移位,然后再从密钥的 56 位中选出 48 位。通过一个扩展置换将数据的右半部分扩展成 48 位,并通过一个异或操作与 48 位密钥结合,通过 8 个S 盒将这个 48 位替代成新的 32 位数据,再将其置换一次。7简述 DES 算法中的依次迭代过程。略。8简述 DES 算法和 RSA 算法保密的关键所在。DES 算法的密钥有 56 位,通过 16 轮操作进行最终加密。DES 的安全性依赖于解密速度。现在 DES 密钥的求解只有穷举,算法的安全性还是很可靠的。RSA 算法的安全性依赖
29、于大数分解。公钥和私钥都是两个大素数的函数,从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。9公开密钥体制的主要特点是什么?加密能力与解密能力是分开的;密钥分发简单;需要保存的密钥量大大减少,N 个用户只需要 N 个;可满足不相识的人之间保密通信;可以实现数字签名。10说明公开密钥体制实现数字签名的过程。数字签名时至少要将数字证书的公共部分和其他信息加在一起,才能确认信息的完整性。在信息和数字证书发送之前,要先通过散列算法生成信息摘要,用发送者的私钥对信息摘要加密,然后将这个数字签名作为附件和报文送给接收方。当接收方收到报文后,用发送方的公钥解密信息摘要进行验证,然后通过散列算法计算
30、信息摘要比较结果,如果两个信息摘要相同,则可确认是由发送方签名的。11RSA 算法的密钥是如何选择的?给定 n = pq,p 和 q 是大素数,ed mod(n) = 1,公开密钥为(n,e) ,秘密密钥为(n,d) 加密:m 0, n-1,gcd(m, n) = 1, 则 c = me mod n 解密:m = cd mod n = (me mod n )d mod n= m ed mod n = m 签名:s = md mod n 验证:m = se mod n = (md mod n )e mod n= m ed mod n = m1217略。10第八章习题:1IPSec 能对应用层提供
31、保护吗?IPSec 是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护TCP/IP 通信免遭窃听和篡改。IPSec 工作于网络层,对终端站点间所有传输数据进行保护。它对应用层的保护是间接的,保护应用层可采用代理防火墙/ 保密网关技术。2按照 IPSec 协议体系框架,如果需要在 AH 或 ESP 中增加新的算法,需要对协议做些什么修改工作?除修改 AH 和 ESP 外还要修改 Internet 密钥交换(IKE)协议。3简述防火墙的工作原理。防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件或软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业
32、务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。4防火墙的体系结构有哪些?目前防火墙的体系结构一般有三种:1) 双重宿主主机体系结构2) 主机过滤体系结构3) 子网过滤体系结构5在主机过滤体系结构防火墙中,内部网的主机想要请求外网的服务,有几种方式可以实现?两种,一种是使用已经由数据包过滤的服务,另一种是由堡垒主机使用代理服务。6安装一个简单的防火墙和一个代理服务的软件。略7简述入侵检测系统的工作原理,比较基于主机和基于网络应用的入侵检测系统的优缺点。入侵检测系统(IDS)通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反
33、安全策略的行为和遭到袭击的迹象。优点:基于主机:有专门的检测代理,能提供更详尽的相关信息,误报率低,复杂性相对基于网络的要低;基于网络应用:不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。缺点:基于主机:依赖于服务器固有的日志与监视能力,不能确保及时采集到审计;基于网络应用:由于要检测整个网段的流量,处理的信息量大,易遭受拒绝服务(DOS)攻击。118构建一个 VPN 系统需要解决哪些关键技术?这些关键技术各起什么作用?1) 隧道技术:VPN 的核心就是隧道技术,隧道是一种通过因特网在网络之间传递数据的方式。在 VPN 主要有两种隧道,一种是
34、端到端的,另一种是节点到节点的。2) 加密技术:保证 VPN 的私有和专用特点,在发送者发送数据之前对数据加密,当数据到达后再由接受者进行解密。3) 用户身份认证技术:主要用于远程访问的情况,以确定用户的合法性和使用权限。4) 访问控制技术:确定合法用户对特定资源的访问权限,以实现对信息资源的最大限度保护。9用 IPSec 机制实现 VPN 时,如果企业内部网使用了私用 IP 地址怎么办?IPSec 该采用何种模式?IPSEC 协议通过包封装技术,能够利用 Internet 可路由的地址,封装内部网络的 IP 地址,实现异地网络的互通。IPSec 应采用传输(transport)模式。第九章习
35、题:1总结因特网上不安全的因素。因特网的安全隐患有:1) 电子邮件2) 文件传输协议(FTP )3) 远程登录4) 用户新闻5) 万维网(WWW)2从网上查找监控工具、Web 统计工具,简要记录其功能。监控工具:LSC 局域网屏幕监控系统、AnySpy(网络警察)等Web 统计工具:微软的 Gatineau、AWStats 等3利用端口扫描程序,查看网络上的一台主机,这台主机运行的是什么操作系统,该主机提供了哪些服务?略4查找网上 FTP 站点的漏洞。略5简述 IP 欺骗技术。所谓 IP 欺骗,就是伪造某台主机 IP 地址的技术,被伪造的主机往往具有某种特权或者被另外的主机所信任。通常欺骗者通
36、过使用 RAW Socket 编程,发送带有假冒的源 IP 地址的 IP 数据包,来达到自己的目的。IP 欺骗技术有如下三个特征:1)只有少数平台能够被这种技术攻击,也就是说很多平台都不具有这方面缺陷。2)这种技术出现的可能性比较小,因为这种技术不好理解,也不好操作,只有一些真正的网络高手才能做到这点。3)很容易防备这种攻击方法,如使用防火墙等126简述黑客是如何攻击一个网站的。通常黑客攻击有三个阶段:1)信息收集。黑客会利用一些公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息;2)系统安全弱点的探测。黑客可能使用自编程序或者利用公开的工具,自动扫描驻留在网络上的主机,以寻求该系统
37、的安全漏洞或安全弱点;3)网络攻击。黑客一旦获得了对攻击的目标系统的访问权后,就可能通过各种方式进行攻击,实施破坏活动。7说明电子邮件匿名转发的常用手段。改变电子邮件的发送者名字;让其他人发送邮件;使用匿名服务器等。8撰写一篇有关计算机网络安全的论文。略第十章习题:1简述数据完整性的概念及影响数据完整性的主要因素。数据完整性泛指与损坏和丢失相对的数据的状态,它通常表明数据的可靠性与准确性是可以信赖的,同时也意味着数据有可能是无效的或不完整的。影响数据完整性的因素主要有:硬件故障、网络故障、逻辑问题、意外的灾难性事件和人为的因素。2什么是容错与网络冗余技术,实现容错系统的主要方法有哪些?容错是指
38、当系统出现某些指定的硬件或软件的错误时,系统仍能执行规定的一组程序。或者说程序不会因系统中的故障而中断或被修改,并且执行结果也不包含系统中故障所引起的差错。实现容错系统的主要方法有:1)空闲备件;2)负载平衡;3)镜像;4)复现;5)冗余系统配件;6)存储系统的冗余网络冗余技术是保证在网络系统中,作为传输数据介质的线路和其他的网络连接部件都必须有维持正常运行时间的备用途径。3实现存储系统冗余的方法有哪些?1)磁盘镜像:这是最常见的,也是常用的实现存储系统容错的方法之一。磁盘镜像时两个磁盘的格式需相同。2)磁盘双联:在镜像磁盘对中增加一个 I/O 控制器便称为磁盘双联。3)冗余磁盘阵列:是一种能
39、够在不经历任何故障时间的情况下更换正在出错的磁盘或已发生故障的磁盘的存储系统,它是保证磁盘子系统非故障时间的一条途径。4简述“镜像”的概念。镜像是物理上的镜像原理在计算机技术上的具体应用,它所指的是将数据原样从一台计算机(或服务器)上拷贝到另一台计算机(或服务器)上。135网络系统备份的主要目的是什么?网络系统备份的主要目的是尽可能快地恢复计算机或计算机网络系统所需要的数据和系统信息。6网络备份系统的主要部件有哪些?网络备份由如下四种基本部件组成:目标:目标是指被备份或恢复的任何系统;工具:工具是执行备份任务(如把数据从目标复制到磁带上)的系统;设备:设备通常指将数据写到可移动介质上的存储设备
40、,一般指磁带;SCSI 总线:SCSI 总线是指将设备和联网计算机连接在一起的电缆和接头。7简述磁带轮换的概念及模式。磁带轮换是指在备份过程中使用磁带的一种方法,它是根据某些预先制定的方法决定应该使用哪些磁带。1)A/B 轮换,在这种方式中,把一组磁带分为 A、B 两组。 “A”在偶数日使用,“B”在奇数日使用,或反之。这种方式不能长时间保存数据。2)每周轮换,这种方法每周换一次磁带。这种方法当数据较少时很有效。3)每日轮换,它要求每一天都得更换磁带,即需要有七个标明星期一到星期日的磁带。这种方式,在联合使用全盘备份和差别备份或增量备份时较有效。4)每月轮换,它通常的实现方法是每月的开始进行一次全盘备份,然后在该月余下的那些天里在其他的磁带上作增量备份。 5)祖、父、孙轮换,它是前面所讲的每日、每周、每月轮换的组合。6)日历规则轮换方法,按照日历安排介质的轮换。7)混合轮换,按需进行备份,作为日常备份的一种补充。8)无线增量,只需做一次全盘备份。8设计一个典型的网络备份系统。可参考 10.3.5 设计。9撰写一篇有关提高数据完整性的论文。略
