计算机网络安全技术第二版习题答案Word文档格式.docx
《计算机网络安全技术第二版习题答案Word文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络安全技术第二版习题答案Word文档格式.docx(41页珍藏版)》请在冰豆网上搜索。
1-5简述Internet网络体系层次结构。
现在Internet使用的协议是TCP/IP协议。
TCP/IP协议是一个四层结构的网络通信协议组,这四层协议分别是:
1、物理网络接口层协议,网络接口层定义了Internet与各种物理网络之间的网络接口;
2、网际层协议,网际层是网络互联层,负责相邻计算机之间的通信,提供端到端的分组传送、数据分段与组装、路由选择等功能;
3、传输层协议,传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理,该层使用的协议有TCP与UDP;
4、应用层协议,应用层位于TCP/IP协议的最上层,向用户提供一组应用程序和各种网络服务。
1-6简述网络安全体系结构框架。
网络安全是一个覆盖范围很广的领域。
为了更深刻地理解网络安全问题,必须对这个领域进行系统、全面的了解。
对于整个网络安全体系,从不同得层面来看,包含的内容和安全要求不尽相同。
(1)从消息的层次来看,主要包括:
完整性、保密性、不可否认性。
(2)从网络层次来看,主要包括:
可靠性、可控性、可操作性。
保证协议和系统能够互相连接、可计算性。
(3)从技术层次上讲,主要包括:
数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。
(4)从设备层次来看,主要包括:
质量保证、设备冗余备份、物理安全等。
由此可见,计算机网络安全的研究涉及到多个学科领域.其边界几乎是无法限定的。
同时随着网络技术的发展,也还会有新的安全问题不断出现。
1-7ISO对OSI规定了哪5种级别的安全服务?
制定了支持安全服务的哪8种安全机制?
ISO对OSI规定了五种级别的安全服务:
即对象认证、访问控制、数据保密性、数据完整性、防抵赖。
为了实现上述5种安全服务,ISO7408-2中制定了支持安全服务的8种安全机制,它们分别是:
加密机制(EnciphrementMechanisms)、数字签名机制(DigitalSignatureMechanisms)、访问控制机制(AccessControlMechanisms)、数据完整性机制(DataIntegrityMechanisms)、鉴别交换机制(AuthenticationMechanisms)、通信业务填充机制(TrafficPaddingMechanisms)、路由控制机制(RoutingControlMechanisms)、公证机制(NotarizationMechanisms)。
1-8试述安全服务和安全机制之间的关系以及安全服务与层的关系。
1、安全服务与安全机制有着密切的关系,安全服务是由安全机制来实现的,体现了安全系统的功能。
一个安全服务可以由一个或几个安全机制来实现;
同样,同一个安全机制也可以用于实现不同的安全服务中,安全服务和安全机制并不是一一对应的。
实现对等实体鉴别服务可以采用系统设立的一种或多种安全机制实现,如采用数据加密、数据签名、鉴别交换、公证机制等。
访问控制的实现则采用访问控制机制的方法,如最有代表性的是采用委托监控器的方法。
数据保密可采用对数据加密的方法。
数据的完整性可采用加密和数据完整性机制。
数据源点鉴别采用加密和鉴别交换机制。
禁止否认采用加密和公证机制来实现。
2、ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能,相应地,在各层需要提供不同的安全机制和安全服务,为各系统单元提供不同的安全特性。
1.安全服务层次:
(1)认证服务、
(2)数据保密服务、(3)数据完整服务、(4)访问控制服务、(5)抗抵赖服务。
2.网络各层提供的安全服务。
通过上述对网络安全服务层次关系的分析得知:
某种安全服务只能由ISO/OSI网络7层中的某一(些)特定层有选择的提供,并不是在所有各层都能实现。
1-9 计算机网络安全的三个层次的具体内容是什么?
计算机网络安全的实质就是安全立法、安全技术和安全管理的综合实施,这三个层次体现了安全策略的限制、监视和保障职能:
1、安全立法
计算机网络的使用范围越来越广,其安全问题也面临着严重危机和挑战,单纯依靠技术水平的提高来保护安全不可能真正遏制网络破坏,各国政府都已经出台了相应的法律法规来约束和管理计算机网络的安全问题,让广大的网络使用者遵从一定的“游戏规则”。
目前,国外许多政府纷纷制定计算机安全方面的法律、法规,对计算机犯罪定罪、量刑产生的威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能,保持社会的安定,这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。
2、安全技术
安全技术措施是计算机网络安全的重要保证,是方法、工具、设备、手段乃至需求、环境的综合,也是整个系统安全的物质技术基础。
计算机网络安全技术涉及的内容很多,尤其是在网络技术高速发展的今天,不仅涉及计算机和外部、外围设备,通信和网络系统实体,还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。
安全技术的实施应贯彻落实在系统开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。
安全技术主要涉及下面三点:
物理安全技术、网络安全技术和信息安全技术。
3、安全管理
安全管理作为计算机网络安全的第三个层次,包括从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多个方面。
这些规章制度是一切技术措施得以贯彻实施的重要保证。
所谓“三分技术,七分管理”,正体现于此。
1-10 简述《可信计算机系统评估标准》的内容。
1983年美国国防部提出了一套《可信计算机系统评估标准》(TCSEC,TrustedComputerSystemEvaluationCriteria),将计算机系统的可信程度,即安全等级划分为D、C、B、A四类7级,由低到高。
D级暂时不分子级;
C级分为C1和C2两个子级,C2比C1提供更多的保护;
B级分为B1、B2和B3共3个子级,由低到高;
A级暂时不分子级。
每级包括它下级的所有特性,从最简单的系统安全特性直到最高级的计算机安全模型技术,不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。
1-11 简述信息系统评估通用准则、安全评估的国内通用准则的要点。
信息系统评估通用准则的要点如下:
1、安全的层次框架:
自下而上。
2、安全环境:
使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。
3、安全目的:
对防范威胁、满足所需的组织安全政策和假设声明。
4、评估对象安全需求:
对安全目的的细化,主要是一组对安全功能和保证的技术需求。
5、评估对象安全规范:
对评估对象实际实现或计划实现的定义。
6、评估对象安全实现:
与规范一致的评估对象实际实现。
国内通用准则的要点:
我国也制定了计算机信息系统安全等级划分准则。
国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础。
此标准将信息系统分成5个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
在此标准中,一个重要的概念是可信计算基(TCB)。
可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(例如,系统管理员、安全管理员、用户等)对客体(例如,进程、文件、记录、设备等)的访问。
习题二
2-1 简述物理安全的定义、目的与内容。
物理安全,是保护计算机设备、设施(含网络)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;
确保系统有一个良好的电磁兼容工作环境;
把有害的攻击隔离。
实体安全的内容主要包括:
环境安全、电磁防护、物理隔离以及安全管理。
2-2 计算机房场地的安全要求有哪些?
为保证物理安全,应对计算机及其网络系统的实体访问进行控制,即对内部或外部人员出入工作场所(主机房、数据处理区和辅助区等)进行限制。
计算机房的设计应考虑减少无关人员进入机房的机会。
同时,计算机房应避免靠近公共区域,避免窗户直接邻街,应安排机房在内(室内靠中央位置),辅助工作区域在外(室内周边位置)。
在一个高大的建筑内,计算机房最好不要建在潮湿的底层,也尽量避免建在顶层,因顶层可能会有漏雨和雷电穿窗而入的危险。
机房建筑和结构从安全的角度,还应该考虑:
1)电梯和楼梯不能直接进入机房。
2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。
3)外部容易接近的进出口,如风道口、排风口、窗户、应急门等应有栅栏或监控措施,而周边应有物理屏障(隔墙、带刺铁丝网等)和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。
4)机房进出口须设置应急电话。
5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。
6)计算机中心周围100m内不能有危险建筑物。
危险建筑物指易燃、易爆、有害气体等存放场所,如加油站、煤气站、天燃气煤气管道和散发有强烈腐蚀气体的设施、工厂等。
7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。
8)照明应达到规定标准。
2-3 简述机房的三度要求。
机房的三度要求分别是:
温度、湿度、洁净度。
确保这三个要求是为了保证系统的正常运行。
1.温度
计算机系统内有许多元器件,不仅发热量大而且对高温、低温敏感。
环境温度过高或过低都容易引起硬件损坏。
2.湿度
机房内相对湿度过高会使电气部分绝缘性降低,会加速金属器件的腐蚀,引起绝缘性能下降,灰尘的导电性能增强,耐潮性能不良和器件失效的可能性增大;
而相对湿度过低、过于干燥会导致计算机中某些器件龟裂,印刷电路板变形,特别是静电感应增加,使计算机内信息丢失、损坏芯片,对计算机带来严重危害。
3.洁净度
灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏,甚至造成击穿;
灰尘还会增加机械磨损,尤其对驱动器和盘片,灰尘不仅会使读出、写入信息出现错误,而且会划伤盘片,甚至损坏磁头。
因此,计算机房必须有除尘、防尘的设备和措施,保持清洁卫生,以保证设备的正常工作。
2-4 机房内应采取哪些防静电措施?
常用的电源保护装置有哪些?
机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。
为了防静电机房一般安装防静电地板,并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。
机房内的专用工作台或重要的操作台应有接地平板。
此外,工作人员的服装和鞋最好用低阻值的材料制作,机房内应保持一定湿度,在北方干燥季节应适当加湿,以免因干燥而产生静电。
电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。
2-5 计算机房的地线、接地系统、接地体各有哪些种类?
计算机房的地线分为:
保护地线、直流地线、屏蔽地线、静电地线、雷击地线。
接地系统:
计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。
主要有以下几种:
(1)各自独立的接地系统、
(2)交、直流分开的接地系统、(3)共地接地系统、(4)直流地、保护地共用地线系统、(5)建筑物内共地系统。
接地体:
接地体的埋设是接地系统好坏的关键。
通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。
2-6 简述机房的防雷、防火、防水措施。
防雷:
机房的外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。
机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击的技术设施,机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。
机房的设备本身也应有避雷装置和设施。
一个远程计算机信息网络场地应在电力线路、通信线路、天馈馈线线路、接地引线上作好防雷电的入侵。
防火、防水:
为避免火灾、水灾,应采取如下具体措施:
1.隔离
建筑内的计算机房四周应设计一个隔离带,以使外部的火灾至少可隔离一个小时。
系统中特别重要的设备,应尽量与人员频繁出入的地区和堆积易燃物(如打印纸)的区域隔离。
所有机房门应为防火门,外层应有金属蒙皮。
计算机房内部应用阻燃材料装修。
机房内应有排水装置,机房上部应有防水层,下部应有防漏层,以避免渗水、漏水现象。
2.火灾报警系统
火灾报警系统的作用是在火灾初期就能检测到并及时发出警报。
3.灭火设施
机房应有适用于计算机机房的灭火器材,机房所在楼层应有防火栓和必要的灭火器材和工具,这些物品应具有明显的标记,且需定期检查。
4.管理措施
机房应有应急计划及相关制度,要严格执行计算机房环境和设备维护的各项规章制度,加强对火灾隐患部位的检查。
2-7 简述电磁干扰的分类及危害。
按干扰的耦合方式不同,可将电磁干扰分为传导干扰和辐射干扰两类。
(1)传导干扰:
传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。
(2)辐射干扰:
辐射干扰是通过介质以电磁场的形式传播的干扰。
电磁干扰的危害
(1)计算机电磁辐射的危害计算机作为一台电子设备,它自身的电磁辐射可造成两种危害:
电磁干扰和信息泄漏。
(2)外部电磁场对计算机正常工作的影响
除了计算机对外的电磁辐射造成信息泄漏的危害外,外部强电磁场通过辐射、传导、耦合等方式也对计算机的正常工作产生很多危害。
2-8电磁防护的措施有哪些?
目前主要电磁防护措施有两类:
一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
另一类是对辐射的防护,这类防护措施又可分为以下两种:
一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;
第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波、接地等。
其中屏蔽是应用最多的方法。
2-9 简述物理隔离的安全要求。
物理隔离,在安全上的要求主要有下面三点:
(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;
同时防止内部网信息通过网络连接泄漏到外部网。
(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。
(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;
对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。
2-10 简述物理隔离技术经历了哪三个阶段?
每个阶段各有什么技术特点。
物理隔离技术经历了:
彻底的物理隔离、协议隔离、物理隔离网闸三个阶段:
1.第一阶段——彻底的物理隔离
利用物理隔离卡、安全隔离计算机和隔离集线器(交换机)所产生的网络隔离,是彻底的物理隔离,两个网络之间没有信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络的应用环境。
2.第二阶段——协议隔离
协议隔离通常指两个网络之间存在着直接的物理连接,但通过专用(或私有)协议来连接两个网络。
基于协议隔离的安全隔离系统实际上是两台主机的结合体,在网络中充当网关的作用。
隔离系统中两台主机之间的连接或利用网络,或利用串口、并口,还可利用USB接口等,并绑定专用协议。
这些绑定专用协议的连接在有的资料中被称为安全通道。
有了这样的安全通道,入侵者无法通过直接的网络连接进入内网,从而达到对内网的保护。
3.第三阶段——物理隔离网闸技术
物理隔离网闸在两个网络之间创建了一个物理隔断,从物理上阻断了具有潜在攻击可能的一切连接。
而且它没有网络连接,把通信协议全部剥离,以原始数据方式进行“摆渡”。
因此,它能够抵御互联网目前存在的几乎所有攻击,例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。
2-11计算机网络管理的主要功能有哪些?
计算机网络管理的主要功能是:
故障管理功能,配置管理功能,性能管理功能,安全管理功能和计费管理功能。
(1)故障管理:
故障管理(FaultManagement)是网络管理中最基本的功能之一,即对网络非正常的操作引起的故障进行检查、诊断和排除。
(2)配置管理:
配置管理(ConfigurationManagement)就是定义、收集、监测和管理系统的配置参数,使得网络性能达到最优。
(3)性能管理:
性能管理(PerformanceManagement)用于收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。
(4)安全管理:
安全管理(SecurityManagement)是指监视、审查和控制用户对网络的访问,并产生安全日志,以保证合法用户对网络的访问。
(5)计费管理:
计费管理(AccountingManagement)记录网络资源的使用,目的是控制和监测网络操作的费用和代价。
2-12画出计算机网络管理的逻辑结构模型。
2-13什么是简单网络管理协议(SNMP)?
简述SNMP的管理结构模型、工作原理及特点。
简单网络管理协议(SNMP):
SNMP(SimpleNetworkManagementProtocol),即简单网络管理协议,是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。
它是一个应用级的协议,而且是TCP/IP协议族的一部分,工作于用户数据报文协议(UDP)上。
SNMP的管理结构模型:
SNMP主要用于OSI七层模型中较低几个层次的管理,它的基本功能包括监视网络性能、检测分析网络差错和配置网络。
SNMP网络管理模型由多个管理代理(ManagementAgents)、至少一个管理工作站(NetworkManagementStation)、一种通用的网络管理协议(ManagementProtocol)和一个或多个管理信息库(MIB)四部分组成。
SNMP的工作原理:
SNMP的原理十分简单,它以轮询和应答的方式进行工作,采用集中或者集中分布式的控制方法对整个网络进行控制和管理。
整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库(MIB)和管理协议四个部分。
SNMP的特点:
SNM之所以能成为流传最广,应用最多的一个网络管理协议,是因为它具有简单、易于实现,具有很好的扩展性等优点。
2-14简述公共管理信息协议(CMIP)。
CMIP(CommonManagementInformationProtocol)即公共管理信息协议,是在OSI制定的网络管理框架中提出的网络管理协议。
它是一个分布式的网络管理解决方案,应用在OSI环境下。
CMIP与SNMP一样,也是由被管代理、管理者、管理协议与管理信息库组成。
在CMIP中,被管代理和管理者没有明确的区分,任何一个网络设备既可以是被管代理,也可以是管理者。
CMIP克服了SNMP的许多缺点,如安全性方面,CMIP支持授权、访问控制、安全日志等机制,构成一个相对安全的系统,定义相当详细复杂。
2-15简述计算机网络安全管理的基本原则与工作规范。
计算机网络系统的安全管理主要基于以下三个原则:
(1)多人负责原则:
每一项与安全有关的活动,都必须有两人或多人在场。
(2)任期有限原则:
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。
(3)职责分离原则:
在计算机网络系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性,制订相应的管理制度或采用相应的规范。
具体工作是:
(1)根据工作的重要程度,确定该系统的安全等级。
(2)根据确定的安全等级,确定安全管理的范围。
(3)制订相应的机房出入管理制度。
(4)制订严格的操作规程。
(5)制订完备的系统维护制度。
(6)制订应急措施。
习题三
3-1 简要回答防火墙的定义和发展简史。
防火墙的定义:
防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙的发展简史:
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(PacketFi
升级会员 