1、加粗為主校試題第一章：1. 威脅計算機網(wǎng)絡安全的主要因素有哪些？ 答：從威脅的對象看：主要可分為兩大類：對網(wǎng)絡中信息的威脅 對網(wǎng)絡中設備的威脅從Internet的技術基礎看：網(wǎng)絡的資源是共享的，面向所有用戶各種協(xié)議的漏洞各種系統(tǒng)的漏洞從人的因素考慮，影響網(wǎng)絡安全的因素可分為人為和非人為兩種情況。2. 簡述計算機網(wǎng)絡安全的內(nèi)涵。 答：計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，信息數(shù)據(jù)的保密性、完整性、可用性、可控性和抗抵賴性受到保護。3. 計算機網(wǎng)絡安全包括那兩個方面？ 答：內(nèi)容包括兩方面：硬安全（物理安全）和軟安全（邏輯安全）。 4. 什么是計算機網(wǎng)絡安全策略？ 答：

2、安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所建立的規(guī)則。通常，包括建立安全環(huán)境的三個重要組成部分。 （1）嚴格的法規(guī) （2）先進的技術 （3）有效的管理5. 制定計算機網(wǎng)絡安全策略需要注意那些問題？ 答：制定網(wǎng)絡安全管理策略首先要確定網(wǎng)絡安全管理要保護什么，對于要保護的內(nèi)容 ，一般有兩種截然不同的保護原則。一種是“沒有明確表述為允許的都被認為是被禁止的”，另一種是“一切沒有明確表述為禁止的都被認為是允許的”。6. 計算機網(wǎng)絡安全的主要技術措施。 答：一、利用操作系統(tǒng)、數(shù)據(jù)庫、電子郵件、應用系統(tǒng)本身的安全性，對用戶進行權限設置 二、在局域網(wǎng)的桌面工作站上部署防病毒軟件 三、在I

3、ntranet系統(tǒng)與Internet連接之處部署防火墻 四、某些行業(yè)的關鍵業(yè)務在廣域網(wǎng)上采用較少位數(shù)的加密傳輸，而其他行業(yè)在廣域網(wǎng)上采用明文傳輸?shù)诙拢?. 解釋網(wǎng)絡安全體系結構的含義。 答：全部網(wǎng)絡協(xié)議以層次化的結構形式所構成的集合，就稱為網(wǎng)絡體系結構。2. 網(wǎng)絡安全有哪些需求？ 答：1保密性2完整性3可用性4可控性5抗抵賴性3. 網(wǎng)絡安全體系結構的任務是什么？ 答：提供有關形成網(wǎng)絡安全方案的方法和若干必須遵循的思路、原則和標準。它給出關于網(wǎng)絡安全服務和網(wǎng)絡安全機制的一般描述方式，以及各種安全服務與網(wǎng)絡體系結構層次的對應關系。4. 開放系統(tǒng)互聯(lián)安全體系結構提供了哪幾類安全服務？ 答：6類安全

4、服務：對等實體鑒別 訪問控制 數(shù)據(jù)保密 數(shù)據(jù)完整性 數(shù)據(jù)源點鑒別 抗抵賴，又稱不容否認 5. 說明開放系統(tǒng)互聯(lián)安全體系結構的安全機制。 答：數(shù)據(jù)加密 數(shù)據(jù)簽名 訪問控制 數(shù)據(jù)完整性 交換鑒別 信息流填充 路由控制 公證6. 分析TCP/IP安全體系結構各層提供的安全服務。 答：安 全 服 務TCP/IP體系結構層次網(wǎng)絡接口層 互聯(lián)網(wǎng)層 傳輸層 應用層對等實體鑒別 訪問控制 數(shù)據(jù)保密 數(shù)據(jù)完整性 數(shù)據(jù)源點鑒別 抗抵賴 7. 美國可信計算機系統(tǒng)評估準則的安全等級劃分。 答：4個檔次8個安全等級：D級： 安全保護欠缺級C檔為自主保護檔級。C1級：自主安全保護級。 C2級：受控訪問保護級。B檔為強制保

5、護檔級。B1級：有標記的安全保護級。 B2級：結構化保護級。 B3級：安全域保護級。A檔為驗證保護檔級。A1級：經(jīng)驗證的設計保護級。 超A1級：驗證實現(xiàn)級。. 我國計算機信息系統(tǒng)安全等級保護劃分準則將信息系統(tǒng)劃分為那些安全等級？ 答：5個安全等級，分別為第1級，用戶自主保護級、第2級，系統(tǒng)審計保護級、第3級，安全標記保護級、第4級，結構化保護級和訪問驗證保護級作業(yè)：1、 計算機網(wǎng)絡安全的本質是什么？ 答：計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，信息數(shù)據(jù)的保密性、完整性、可用性、可控性和抗抵賴性受到保護。 3、分析以下安全協(xié)議：PPTP、L2TP、IPSec、SSL/

6、TLS、SOCKS、S/MIME、PGP、PEM、SET、Kerberos、SHTTP、SSH 答：PPTP：點對點隧道協(xié)議（鏈路層）L2TP：第二層隧道協(xié)議（鏈路層）IPSec： IP安全性（網(wǎng)絡層）SSL/TLS：安全套接層協(xié)議/傳輸層安全協(xié)議（傳輸層）SOCKS :防火墻安全會話轉換協(xié)議(會話層) S/MIME: 多用途網(wǎng)際郵件擴充協(xié)議(應用層 ) PGP: 郵件加密(應用層 )PEM :保密增強電子郵件協(xié)議(應用層 )SET: 安全電子交易協(xié)議(應用層)Kerberos:網(wǎng)絡認證協(xié)議SHTTP: 安全超文本傳輸協(xié)議SSH: 安全外殼協(xié)議 第三章：1、遠程攻擊的目的是什么? 答：進行一些

7、非授權行為，如竊取數(shù)據(jù)、進行破壞等活動，也就是人們說的黑客行為。2、列舉常用的服務端口號？如web、ftp、telnet、終端服務、dns服務等。答：1，21端口：21端口主要用于FTP服務。 2，23端口：23端口主要用于Telnet服務。 3，80端口：主要用于在Web服務上傳輸信息的協(xié)議。 4，53端口53端口為DNS服務器所開放。3、 緩沖區(qū)溢出攻擊的原理是什么？ 答：緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方，在程序試圖將數(shù)據(jù)存在內(nèi)存中某一個位置，而空間不夠時將發(fā)生緩沖區(qū)溢出。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)。4、 本地權限提升是如何進行的？ 答：利用Serv-U提升權限:方

8、法一：本地溢出；辦法二：要求對Serv-u安裝目錄有完全控制權。5、按照實現(xiàn)技術分類，防火墻分為哪幾類？個有什么特點？答：6、 試配置瑞星防火墻規(guī)則。答：1、打開防火墻界面-設置-IP規(guī)則設置2、增加規(guī)則-規(guī)則名稱填入“TCP+抵御SCO炸彈”-協(xié)議類型選“TCP”-執(zhí)行動作“禁止”-對方地址“任意地址”-本地地址“所有地址”-對方端口“任意端口”-本地端口選“端口范圍”，在出現(xiàn)的兩個框中，第一個填“3127”，第二填“3198”-確定。7、 黑客攻擊與防范常用技術及其最新發(fā)展趨勢。答：遠程攻擊的主要手段 緩沖區(qū)溢出攻擊、口令破解、網(wǎng)絡偵聽、拒絕服務攻擊、欺騙攻擊等主要攻擊手段。防范遠程攻擊的

9、主要技術措施 防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術等防范遠程攻擊的主要技術措施。 趨勢一：攻擊過程的自動化與攻擊工具的快速更新。趨勢二：攻擊工具的不斷復雜化。趨勢三：漏洞發(fā)現(xiàn)的更快。趨勢四：滲透防火墻。第四章：1、密碼分析分為那幾類，它們的含義是什么? 答：1）窮舉法（強力法、試湊法）:對截收的密報依次用各種可能的密鑰試譯，直到得到有意義的明文；或在不變密鑰下，對所有可能的明文加密直到得到與截獲密文一致為止。 2）分析破譯法: 統(tǒng)計分析法:統(tǒng)計分析法是利用明文的已知統(tǒng)計規(guī)律進行破譯的方法。 確定分析法:確定分析法利用一個或幾個已知量用數(shù)學關系式表示出所求未知量。2、 已知明文為“weared

10、iscovered”，加密密鑰為，請用hill密碼求解密文C。 答：3、已知明文為“columnar transposition cipher”，密鑰為K=7312546，請用置換密碼求解密文C。4、請用Plarfair密碼加密消息“He is a student”，密鑰關鍵詞是“new bike”。5、在DES數(shù)據(jù)加密標準中，明文M=0011 1000 1101 0101 1011 1000 0100 1101 0101 0011 1001 1001 0101 1110 0111，密鑰K=1010 1011 0011 0100 1000 0110 1001 0100 1101 1001 01

11、11 0011 1010 0010 1101 0011，試求L1和R1.6、 簡述公開密鑰密碼體制的特點。 答：（1）保密強度高（2）密鑰分配及管理簡便（3）數(shù)字簽名易實現(xiàn)7、 說明RSA算法體制的設計原理，并對該體制進行安全性分析。當p=5，q=11時，取e=3，利用該體制對明文08，09兩組信息進行加密。 8、 在使用RSA的公鑰系統(tǒng)中，如果截取了發(fā)送給其它用戶的密文C=10，若此用戶的公鑰為e=5，n=35，說明明文的內(nèi)容是什么？ 9、 公開密鑰的管理有多種方案，你認為那種方案最有效？為什么？ 答：公開秘鑰密碼體制最有效，：傳統(tǒng)密碼體制中只有一個秘鑰，因此在秘鑰分配中必須同時確保秘鑰的秘

12、密性，真實性和完整性。而公開秘要密碼體制中有兩個秘鑰，在秘鑰分配時必須確保其解密鑰的秘密性，真實性和完整性。而加秘鑰是公開的，因此在分配公鑰時，不需要確保其秘密性，但必須確保公鑰的真實性和完整性，絕對不允許攻擊者替換或者更改用戶的公開秘鑰。第五章：5.15 簡述數(shù)字簽名的基本原理。 答：S=E(M,Kd) C=e(m,Ke)5.16 簡述身份認證的基本原理。 答：1）識別:識別是指要明確訪問者是誰，即必須對系統(tǒng)中的每個合法用戶都有識別能力。 2）驗證:驗證是指在訪問者聲稱自己的身份后(向系統(tǒng)輸入它的識別符)，系統(tǒng)還必須對它所聲稱的身份進行驗證，以防假冒。5.17 簡述PKI的組成原理。 答：5

13、.18 簡述windows下獲取私鑰的步驟，并上機進行實踐。 答：運行mmc-控制臺-添加/刪除管理單元-添加-證書-添加-我的賬戶-操作-所有任務-導出-導出私鑰5.19 簡述建立X.509標準的目的是什么？答：1）證實自己的身份，進行安全通信；2）獲取相應權限，對自己的行為不能抵賴；作業(yè)：1，簡述數(shù)字簽名的原理。2、 簡述數(shù)字證書的作用。 答：1）證實自己的身份，進行安全通信；2）獲取相應權限，對自己的行為不能抵賴；3、簡述數(shù)字證書的X.509標準格式。 答：1、證書版本信息；2、證書序列號；3、證書所用簽名算法；4、證書的頒發(fā)機構；5、證書有效期；6、證書所有人名稱；7、證書的公開密鑰；

14、8、發(fā)行者對證書的簽名第7章 ：1、什么叫網(wǎng)絡病毒？ 答：1）狹義的網(wǎng)絡病毒:即網(wǎng)絡病毒應該是充分利用網(wǎng)絡的協(xié)議以及網(wǎng)絡的體系結構作為其傳播的途徑或機制，同時網(wǎng)絡病毒的破壞對象也應是針對網(wǎng)絡的。2）廣義的網(wǎng)絡病毒:只要能夠在網(wǎng)絡上傳播并能對網(wǎng)絡產(chǎn)生破壞的病毒，不論它破壞的是網(wǎng)絡還是聯(lián)網(wǎng)計算機，都可稱為網(wǎng)絡病毒。2、 計算機病毒會給我們帶來什么樣的危害？1） 答：電腦運行比平常遲鈍2） 程序載入時間比平常久3） 不尋常的錯誤出現(xiàn)4） 程序運行緩慢5） 系統(tǒng)內(nèi)存容量忽然大量減少6） 磁盤可利用空間突然減少7） 文件屬性、擴展名更改8） 經(jīng)常死機3、 我們在日常使用計算機上網(wǎng)的過程當中，應當注意些什

15、么？ 答：一是嚴格管理制度，對網(wǎng)絡系統(tǒng)啟動盤、用戶數(shù)據(jù)盤等從嚴管理與檢測，嚴禁在網(wǎng)絡工作站上運行與本部門業(yè)務無關的軟件；二是充分利用網(wǎng)絡系統(tǒng)安全管理方面的功能。4、 對于已知病毒，我們該怎么防范？ 答：（1）基于工作站的操作系統(tǒng)防范病毒。 一是使用病毒防殺軟件； 二是安裝防毒卡或防毒芯片。（2）基于服務器可裝載模塊NLM的防病毒技術。24小時實時掃描和監(jiān)控網(wǎng)絡文件中的病毒、集中全盤文件掃描實時監(jiān)測工作站運行5、 如果用戶的計算機感染了病毒，該怎么辦？ 答：（1）關閉文件服務器。（2）用系統(tǒng)盤查殺系統(tǒng)管理員工作站。（3）用系統(tǒng)盤查殺文件服務器。（4）備份重要文件、數(shù)據(jù)，不要執(zhí)行硬盤中的程序或向硬

16、盤中拷貝文件，以免破壞硬盤文件、數(shù)據(jù)的結構。（5）查殺所有文件，恢復或刪除被病毒感染的文件。（6）確認病毒被徹底清除后，方可重新開啟網(wǎng)絡服務器。（7）檢查病毒的來源，堵住漏洞。6、 多層次防御策略的意義是什么？ 答：多層病毒防御體系，是指在每個客戶機上要安裝針對客戶機的反病毒軟件，在服務器上安裝專用于服務器的反病毒軟件，在Internet網(wǎng)關上要安裝基于網(wǎng)關的反病毒軟件。同時每個用戶都要確保自己使用的PC機不受病毒的感染，從而保證整個內(nèi)部網(wǎng)的安全。7、 如果讓你來管理一個局域網(wǎng)，為了防止病毒入侵，你該做哪些工作？ 答：加強網(wǎng)絡系統(tǒng)管理 盡量減少有盤工作站 網(wǎng)絡服務器必須使用專門的機器 使用防病

17、毒卡或防病毒軟件 8、如果你的系統(tǒng)安裝了最新版本的殺毒軟件以及防火墻，是不是可以表明你的計算機就不會被病毒感染了？為什么？9、如果將文件改為只讀,或者將磁盤設置為寫保護狀態(tài)，能否感染病毒，為什么？10、網(wǎng)絡反病毒技術的主要內(nèi)容包括哪些？ 答：1針對網(wǎng)絡硬件的措施 （1）基于工作站的操作系統(tǒng)防范病毒。 一是使用病毒防殺軟件； 二是安裝防毒卡或防毒芯片。 （2）基于服務器可裝載模塊NLM（netware loadable modu1e）的防病毒技術。24小時實時掃描和監(jiān)控網(wǎng)絡文件中的病毒、集中全盤文件掃描實時監(jiān)測工作站運行。安裝網(wǎng)絡反毒軟件3清除網(wǎng)絡中的病毒11、CMOS中是否可以感染病毒？為什么

18、？第八章：1、簡述防火墻的定義。 答：防火墻是指一個有軟件和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡訪問，以及管理內(nèi)部用戶訪問外界網(wǎng)絡的權限。2、設計防火墻的安全策略有哪幾種？普遍采用哪一種？整體安全策略主要包括哪些主要內(nèi)容？答：（1） 用戶帳號策略、 用戶權限策略、 信任關系策略、 包過濾策略、 認證、簽名和數(shù)據(jù)加密策略、 密鑰分配策略、 審計策略、3、 按照防火墻對內(nèi)、外來往數(shù)據(jù)的處理方法，可分為那兩大類？分別介紹其技術特點。 答：1）包過濾：通過攔截數(shù)據(jù)包，讀出并拒絕那些不符合標準的數(shù)據(jù)包，過濾掉不應入站的消信息 2）應用代理:它將內(nèi)部用戶的請求確

19、認后送達外部服務器，同時將外部服務器的響應再回送給用戶。4、 包過濾的基本概念是什么？包過濾有哪些優(yōu)缺點？ 答：包過濾作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只要滿足過濾規(guī)則的數(shù)據(jù)包才被轉發(fā)到相應的目的地址的出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟失。優(yōu)點：其只要優(yōu)點是僅用放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡。缺點：在機器上配置包過濾規(guī)則比較困難 對系統(tǒng)中的包過濾規(guī)則的配置進行測試比較麻煩 許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要尋找一個比較完整的包過濾產(chǎn)品比較困難6、 什么是應用代理，代理服務有哪些優(yōu)缺點？ 答：應用代理，也叫

20、應用網(wǎng)關，他作用在應用層，其特點是完全”阻隔“了網(wǎng)絡通信流，通過對每種應用服務編制專門工作站實現(xiàn)。應用代理或應用代理服務器是代理網(wǎng)絡 內(nèi)部用戶與外部網(wǎng)絡服務器進行信息交換的程序。 優(yōu)點：代理服務器允許用戶“直接”訪問互聯(lián)網(wǎng) 代理服務器適合于進行日志記錄 缺點：代理服務器落后與非代理服務器 每個代理服務器要求不同的服務器 代理服務一般要求對客戶程序進行修改 代理服務對某些服務來說是不適合的 代理服務不能保護用戶不受協(xié)議本身缺點的限制7、 什么是雙重宿主主機體系結構？什么是主機過濾體系結構？什么是子網(wǎng)過濾體系結構？各有什么優(yōu)缺點？ 答：雙重宿主主機體系結構：在被保護網(wǎng)絡和Internet之間設置一個具有雙網(wǎng)卡的堡壘主機，IP層的通信完全被阻止，兩個網(wǎng)絡之間的通信可以通過應用層數(shù)據(jù)共享或應用層代理服務來完成 通常采用代理服務的方法 堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序和提供服務等。優(yōu)點：堡壘主機的系統(tǒng)軟件可用于身份認證和維護系統(tǒng)日志，有利于進行安全審計。缺點：該方式的防火墻仍是網(wǎng)絡的“單失效點”。 隔離了一