作业复习与思考题答案.docx

1、作业复习与思考题答案计算机安全与保密练习册答案练习一答案：1、 计算机网络中采用分层协议的两条理由如下： 1) 把网络操作分成复杂性较低的单元，结构清晰，易于实现和维护2) 定义并提供了具有兼容性的标准接口3) 使设计人员能专心设计和开发所关心的功能模块4) 独立性强上层只需了解下层通过层间接口提供什么服务黑箱方法5) 适应性强只要服务和接口不变，层内实现方法可任意改变6) 一个区域网络的变化不会影响另外一个区域的网络，因此每个区域的网络可单独升级或改造2、为进行网络中的数据交换（通信）而建立的规则、标准或约定。(网络协议=语义+语法+规则)3、OSI七层： 1) 物理层：主要是利用物理传输介

2、质为数据链路层提供物理连接，以便透明的传递比特流。 2) 数据链路层。在通信实体之间建立数据链路连接，传送以帧为单位的数据，采用差错控制，流量控制方法。 3) 网络层：通过路由算法，为分组通过通信子网选择最适当的路径。 4) 传输层：是向用户提供可靠的端到端服务，透明的传送报文。 5) 会话层：组织两个会话进程之间的通信，并管理数据的交换。 6) 表示层：处理在两个通信系统中交换信息的表示方式。 7) 应用层：应用层是OSI参考模型中的最高层。确定进程之间通信的性质，以满足用户的需要。 4、TCP协议是面向连接的可靠的协议。UDP协议是无连接的不可靠协议。 5、 路由器实现网络互联是发生在网络

3、层。主要功能有路由选择，多路重发以及出错检测等 。6、因特网提供的基本服务主要有: 1) 电子邮件E-MAIL. 2) 远程登陆Telnet 3) 文件传输FTP. 4) WWW服务5) 电子邮件服务7、一台微机、调制解调器和电话线。选择一个为用户提供因特网接入服务ISP。 练习二答案：1、 主要包括：1) 可靠性高。2) 极强的伸缩性。3) 网络功能强。4) 强大的数据库支持功能。5) 开放性好。 UNIX系统一开始就作为开放系统，UNIX操作系统的源程序一开始就向学术界开放。6) 通用。UNIX系统在设计过程中考虑了通用性，使之适合于不同类型（分时和批处理）用户的需要。2、主要包括：1)

4、与Unix高度兼容。2) 高度的稳定性和可靠性。3) 完全开放源代码，价格低廉。4) 安全可靠，绝无后门。3、Windows NT具有支持多种网络协议、内置的因特网功能和支持NTFS文件系统等显著特点。4、Unix系统的资源访问控制是基于文件的，为了维护系统的安全性，系统中每一个文件都具有一定的访问权限，只有具有这种访问权限的用户才能访问该文件，否则系统将给出Permission Denied的错误信息。5、有三类用户 ：用户本人 、用户所在组的用户 、其它用户6、 NTFS文件系统是一种安全的文件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何

5、使用这个文件。五个预定义的许可为：拒绝访问，读取，更改，完全控制和选择性访问。练习三答案：1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2、（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据XX不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容

6、具有控制能力。3、(1)非授权访问（unauthorized access）：一个非授权的人的入侵。(2)信息泄露（disclosure of information）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。(3)拒绝服务（denial of service）：使得系统难以或不可能继续执行任务的所有问题。4、主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术。5、一个完整的网络信息安全系统至少包括三类措施： 1) 社会的法律政策，企业的规章制度及网络安全教育2) 技术方面的措施，如防火墙技术、防病毒。信息加密、身份确认以及授权

7、等3) 审计与管理措施，包括技术与社会措施6、对Internet网的安全管理措施包括：1）制定安全保密遵循的基本原则： 根据所面临的安全问题，决定安全的策略。 根据实际需要综合考虑，适时地对现有策略进行适当的修改，每当有新的技术时就要补充相应的安全策略。 构造企业内部网络，在Intranet和 Internet之间设置“防火墙”以及相应的安全措施。2）完善管理功能3）加大安全技术的开发力度 练习四答案：1、主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。2、计算机系统安全技术主要包括：（1）实体硬件安全 （2）软件系统安全

8、（3）数据信息安全（4）网络站点安全 （5）运行服务安全 （6）病毒防治技术（7）防火墙技术 （8）计算机应用系统的安全评价3、计算机系统安全技术标准 1) 加密机制 2) 数字签名机制 3) 访问控制机制 4) 数据完整性机制 5) 鉴别交换机制 6) 通信业务填充机制 7) 路由控制机制 8) 公证机制 4、访问控制是计算机保护中极其重要的一环。它是在身份识别的基础上，根据身份对提出的资源访问请求加以控制。在访问控制中，对其访问必须进行控制的资源称为客体，同理，必须控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进程，程序或用户。客体包括各种资源，如文件，设备，信号量等。

9、访问控制中第三个元素是保护规则，它定义了主体与客体可能的相互作用途径。5、 选择性访问控制是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体。6、强制性访问控制为访问系统中的信息提供了更为严格的控制，这种访问控制基于被访问信息的敏感性，这种敏感性是通过标签（Label）来表示的练习五答案：1、数据库的安全性是指数据库的任何部分都不允许受到恶意侵害，或XX的存取与修改。数据库是网络系统的核心部分，有价值的数据资源都存放在其中，这些共享的数据资源既要面对必需的可用性需求，又要面对被篡改、损坏和被窃取的威胁。

10、2、主要包括：用户标识和鉴定、存取控制、数据分级、数据加密3、较之传统的数据加密技术，数据库密码系统有其自身的要求和特点。传统的加密以报文为单位，加脱密都是从头至尾顺序进行。数据库数据的使用方法决定了它不可能以整个数据库文件为单位进行加密。当符合检索条件的记录被检索出来后，就必须对该记录迅速脱密。然而该记录是数据库文件中随机的一段，无法从中间开始脱密，除非从头到尾进行一次脱密，然后再去查找相应的这个记录，显然这是不合适的。必须解决随机地从数据库文件中某一段数据开始脱密的问题。4、 数据库管理系统（Data Base Management System ，DBMS）是一个专门负责数据库管理和维护

11、的计算机软件系统。它是数据库系统的核心，对数据库系统的功能和性能有着决定性影响。DBMS的主要职能为：（1）有正确的编译功能，能正确执行规定的操作；（2）能正确执行数据库命令；（3）保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容；（4）能识别用户，分配授权和进行访问控制，包括身份识别和验证；（5）顺利执行数据库访问，保证网络通信功能。5、常用的数据库备份的方法有冷备份、热备份和逻辑备份三种。冷备份的思想是关闭数据库系统，在没有任何用户对它进行访问的情况下备份。这。数据库正在运行时所进行的备份称为热备份。逻辑备份是使用软件技术从数据库中提取数据并将结果写入一个输出文件

12、。该输出文件不是一个数据库表，而是表中的所有数据的一个映像。6、所谓的前像是指数据库被一个事务更新时，所涉及的物理块更新后的影像，它以物理块为单位。前像在恢复中所起的作用是帮助数据库恢复更新前的状态，即撤销更新，这种操作称为撤销（undo）。后像恰好与前像相反，它是当数据库被某一事务更新时，所涉及的物理块更新前的影像，其单位和前像一样以物理块为单位。后像的作用是帮助数据库恢复到更新后的状态，相当于重做一次更新。这种操作在恢复技术中称为重做（Redo）。 练习六答案：1、计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代

13、码2、根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。1) 刻意编写人为破坏2) 自我复制能力 3) 夺取系统控制权 4) 隐蔽性 5) 潜伏性 6) 不可预见性3、计算机病毒的破坏行为1) 攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。2) 攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。3) 攻击内存。内存是计算机的重要资源，也是病毒攻击的重要目标。干扰系统运行，使运行速度下降。4) 干扰系统运行，使运行速度下降。5) 干扰键盘、喇叭或屏幕。6) 攻击CMOS。7) 干扰打印机。如假报警、间断性打

14、印或更换字符。8) 网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。4、文件病毒、引导扇区病毒、多裂变病毒、异形病毒、宏病毒、网络病毒。5、（1）比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 （2）搜索法 搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 （3）计算机病毒特征字的识别法（4）分析法 本方法由专业反病毒技术人员使用。6、 “宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。主要感染office文件（如WORD文件）宏病毒的防治和清除方法是：（1）使用选项“提示保存Normal模板” （2）

15、不要通过Shift键来禁止运行自动宏（3）查看宏代码并删除 （4）使用DisableAutoMacros宏（5）使用Word 97的报警设置（6）设置Normal.dot的只读属性 （7）Normal.dot的密码保护7、计算机病毒的免疫，就是通过一定的方法，使计算机自身具有防御计算机病毒感染的能力8、 在计算机上预装转反病毒软件、对硬盘进行定期病毒检测、尽量不要用软盘去启动系统、不要使用来路不明的软件、不要打开来路不明的邮件中的附件、定期与不定期地进行磁盘文件备份工作。即使更新反病毒软件的病毒特征库。练习七答案：1、数据加密：就是把原本一个较大范围的人（或者机器）都能够读懂、理解和识别的信息

16、（这些信息可以是语音、文字、图像和符号，等等）通过一定的方法（算法），使之成为一些晦涩难懂的或者是偏离信息原意的信息，从而达到保障信息安全目的的过程。数据加密的基本过程包括对称为明文的可读信息进行处理，形成称为密文或密码的代码形式。该过程的逆过程称为解密，即将该编码信息转化为其原来的形式的过程。2、明文abcdefghijklm密文IJKLMNOPQRSTU明文nopqrstuvwxyz密文VWXYZABCDEFGH3、VPXZGIAXIVWPUBTTMJPWIZITWZT4、DES主要包含三个部分。一个是密钥产生部分；一个是换位操作，即初始置换和逆初始置换部分，另一个是复杂的、与密钥有关的乘

17、积变换部分。加密前，先将明文分成64bit的分组，然后将64bit二进制码输入到密码器中。密码器对输入的64位码首先进行初始置换，然后在64bit主密钥产生的16个子密钥控制下进行16轮乘积变换，接着再进行末置换就得到64位已加密的密文。5、0，6，8，5 6、主要特点是加密密钥与解密密钥不相同，从一个很难得出另一个。采用双密钥体制的每个用户都有一对选定的密钥，其中一个是秘密的，而另一个则可以公开，并可以象电话号码一样注册公布。7、n=pq=1113=143 若选e=7,求ed=1mod(p-1)(q-1)=7d=1mod 120,求得d=103 得到公开密钥（e,n）=(7,143) 私有密

18、钥（d,n）=(103,143) 若设要加密的明文m=85,将密后得密文c=857mod 143=123 解密过程为：m=123103mod143=85练习八答案：1、从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合2、防火墙的基本功能是： 1) 过滤进入内部网络的数据包 2) 管理进入内部网络的访问 3) 阻挡被禁止的访问 4) 记录通过防火墙的信息和活动 5) 对网络攻击进行检测和告警3、双重宿主主机体系结构；屏蔽主机型；主机过滤体系结构；子网过滤体系

19、结构4、应该是一个整体网络的保护者；必须能弥补其它操作系统的不足；应该为使用者提供不同平台的选择；防火墙应能向使用者提供完善的售后服务5、包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。其工作原理是通过拦截数据包，读出并拒绝那些不符合标准的包头，依据地址和服务进行过滤，过滤掉不应入站的信息。6、代理服务(Proxy)是运行在防火墙上的一种服务器程序。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此，它又被称为应用级网关。练习九答案：1. 因特网服务的安全隐患主要包括

20、在：电子邮件、文件传输（FTP）、远程登录（Telnet）、用户新闻（Usenet News）和万维网（WWW）等服务中。2. 所谓IP欺骗，就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。3. 黑客指利用通信软件，通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者或入侵行为。练习十答案：1、数据完整性这一术语用来泛指与损坏和丢失相对的数据的状态，它通常表明数据的可靠性与准确性是可以信赖的，同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据地正确性、有效性和一致性。 （1）正确性。数据在输入时要保证其输入值与定义这个

21、表相应的域的类型一致。 （2）有效性。在保证数据有效的前提下，系统还要约束数据的有效性。 （3）一致性。当不同的用户使用数据库时，应该保证他们取出的数据必须一致。影响数据完整性的因素主要有五种：硬件故障、网络故障、逻辑问题、意外的灾难性事件和人为的因素。2、容错技术：在一定程度上容忍故障的技术，当系统因某种原因出错或者失效，系统能够继续工作，程序能够继续运行，不会因计算机故障而中止或被修改，执行结构也不包含系统中故障引起的差错。冗余技术是容错技术的重要结构，它以增加资源的办法换取可靠性。由于资源的不同，冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。3、实现存储系统冗余的最为流行的几种方法

22、是：磁盘镜像、磁盘双联和RAID技术。4、在镜像技术中，两个部件执行完全相同的工作，如果其中的一个出现故障，系统将其识别出来并切换到另一个系统，维持系统地继续工作。5、 备份的主要目的是用来放止因系统故障、人为的和自然因素导致系统重要数据丢失。避免因此而造成重大损失。计算机安全试题（A卷）答案一、 填空题（每空1分，30分）1中继器网桥路由器网关2保密性、完整性、可用性、可控性3实体安全 网络与信息安全 应用安全464 165.客体主体6.篡改损坏窃取7.能够强化安全策略能有效地记录因特网上的活动防火墙限制暴露用户点是一个安全策略的检查站8正确性有效性一致性。9.硬件故障网络故障逻辑问题意外的

23、灾难性事件人为的因素。二、 问答题（每题10分）1为进行网络中的数据交换（通信）而建立的规则、标准或约定。(网络协议=语义+语法+规则)2 主要包括：1) 可靠性高。2) 极强的伸缩性。3) 网络功能强。4) 强大的数据库支持功能。5) 开放性好。 UNIX系统一开始就作为开放系统，UNIX操作系统的源程序一开始就向学术界开放。6）通用。UNIX系统在设计过程中考虑了通用性，使之适合于不同类型（分时和批处理）用户的需要。3强制性访问控制为访问系统中的信息提供了更为严格的控制，这种访问控制基于被访问信息的敏感性，这种敏感性是通过标签（Label）来表示的。4计算机病毒,是指编制或者在计算机程序中

24、插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。病毒的特点：传染性、隐藏性强、潜伏性、破坏性、5（7，120） （103，120） 6包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。其工作原理是通过拦截数据包，读出并拒绝那些不符合标准的包头，依据地址和服务进行过滤，过滤掉不应入站的信息。7数据完整性这一术语用来泛指与损坏和丢失相对的数据的状态，它通常表明数据的可靠性与准确性是可以信赖的，同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据地正确性、有效性和一致性 影响数据完整性的因素主要有五种：硬件故障、网络故障、

25、逻辑问题、意外的灾难性事件和人为的因素计算机安全试题（B卷）答案一、 填空题（每空1分，30分）1保密性 完整性可用性可控性：2 明文 密文 加密过程 解密过程3AD4冷备份 热备份 逻辑备5访问控制 硬件和软件 保护网络不被可疑人侵扰6双重宿主机、主机过滤、子网过滤7电子邮件文件传输（FTP）远程登录（Telnet）用户新闻（Usenet News）8硬件故障网络故障逻辑问题意外的灾难性事件人为的因素。9文件病毒 引导扇区病毒 二、问答题（每题10分）1TCP协议是面向连接的可靠的协议。UDP协议是无连接的不可靠协议。2Windows NT具有支持多种网络协议、内置的因特网功能和支持NTFS

26、文件系统等显著特点。3选择性访问控制是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体。4在计算机上预装转反病毒软件、对硬盘进行定期病毒检测、尽量不要用软盘去启动系统、不要使用来路不明的软件、不要打开来路不明的邮件中的附件、定期与不定期地进行磁盘文件备份工作。即使更新反病毒软件的病毒特征库。5（11，90） （41，90）6代理服务(Proxy)是运行在防火墙上的一种服务器程序。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此，它又被称为应用级网关。7 RAID（冗余磁盘阵列）是一种能够在不经历任何故障时间的情况下更换正在出错的磁盘或已发生故障的磁盘的存储系统，它是保证磁盘子系统非故障时间的一条途径。 RAID的另一个优点是在其上面传输数据的速度远远高于单独一个磁盘上传输数据时的速度。即数据能够从RAID上较快地读出来。