计算机网络安全课后题答案.docx

1、计算机网络安全课后题答案第一章 绪论1. 计算机网络面临的安全威胁有哪些?答:1.主要威胁：计算机网络实体面临威胁（实体为网络中的关键设备）；计算机网络系统面临威胁（典型安全威胁）；恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）；计算机网络威胁有潜在对手和动机（恶意攻击/非恶意）2. 典型的网络安全威胁：窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。2.分析计算机网络的脆弱性和安全缺陷答：偶发因素：如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误； 自然灾害：各种自然灾害对计算机系统构成严重的威胁； 人为因素：人为因素

2、对计算机网络的破坏和威胁（包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击）。3.分析计算机网络的安全需求答：互联网具有不安全性；操作系统存在的安全问题；数据的安全问题；传输路线的安全问题；网络安全管理问题。4.分析计算机网络安全的内涵和外延是什么？答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性，完整性及可使用受到保护。网络的安全问题包括两方面的内容，一是网络的系统安全；二是网络的信息安全。从广义上说，网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。5.论述OSI安全体系结构答：OSI安全系统结构定义了鉴

3、别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务；也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。6.PPDR安全模型地结构答：PPDR模型是一种常用的网络安全模型，主包含四个主要部份：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。7.简述计算机网络安全技术答：网络安全技术：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术

4、。第二章 物理安全1. 物理安全主要包含哪些方面的内容答：机房环境安全、通信线路安全、设备安全和电源安全2. 计算机机房安全等级的划分标准是什么？答：机房的安全等级分为A类、B类和C类三个基本类别。A类：对计算机机房的安全有严格的要求；B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施；C类：对计算机机房的安全有基本的要求，有基本的计算机机房措施。3. 计算机机房安全技术主要技术措施有哪些？答：1.机房的安全要求：计算机机房选址应该避免靠近公共区域，避免窗户直接邻街，机房布局应该工作区在内，生活辅助区域在外，机房最好不要安排在底层或顶层；措施：保证所有进出计算机机房的人必须在

5、管理人员的监控之下，外来人员进入机房内部、应该办理相关手续，并对随身物品进行相应的检查。2.机房的防盗要求，对重要设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明一种通过光纤电缆保护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统更是一种更为可靠防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。3.机房的三度要求（温度（18-22度）、温度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5Um）为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。4.防静电措施：装修材料避免使用挂彩、地毯

6、等易吸尘，易产生静电的材料、应采用乙烯材料，安装防静电动板并将设备接地。5.接地与防雷要求：地线种类：保护地、直流地、屏蔽地、静电池和雷地池。接地系统：各自独立的接地系统；交、直分开的接地系统；共地接地系统；直流地、保护地共用地线系统和建筑物内共地系统。接地体：地桩、水平栅网、金属接地板和建筑基础钢筋防雷措施：使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线，机房本身有避雷设备和装置。6.机房的防火、防水措施：隔离、火灾报警系统、灭火措施和管理措施。4.保障通信线路安全的主要技术措施有哪些？答：电线加压技术；对光纤等通信路线的防窃听技术（距离大于最大限制的系统之间，不采用光纤线通信

7、）；加强复制器的安全，如用加压措施、警报系统和加强警卫等措施。4. 电磁辐射对网络通信安全的影响主要体现在哪些方面，防护措施有哪些？答：影响主要体现在：计算机系统可能会通过电磁辐射使信息被截获而失密，计算机系统中数据信息在空间中扩散。防护措施：一类对传导发射的防护，主要采用对电源线和信号线加装性能良好的滤波器，减少传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又可分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有：屏蔽、滤波、隔离、接地，其中屏蔽是应用最多的方法。5. 保障存储媒体安全的主要措施有哪些？答：存放数据的盘，应妥善保管；对硬盘上

8、的数据，要建立有效的级别、权限，并严格管理，必要时加密，以确保数据安全；存放数据的盘，管理须落到人，并登记；对存放重要数据的盘，要备份两份并分开保管；打印有业务数据的打印纸，要视同档案进行管理；凡超过数据保存期，必须经过特殊的数据加以清理；凡不能正常记录数据的盘，需经测试确认后由专人进行销毁，并做好登记；对需要长期保存的有效数据，应质量保证期内进行转存，并保证转存内容正确。第三章 信息加密与PKI1. 简述加密技术的基本原理，并指哪些常用的加密体制及代表算法。答：信息加密技术是利用密码学的原理与方法对传输数据提供保护手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。加密体制的分

9、类：从原理上分为两类：即单钥或对称密码体制（代表算法：DES算法，IDEA算法）和双钥或非 对称密码体制（代表算法：RSA算法，ElGamal算法）。2. DES加密过程有几个基本步骤？试分析其安全性能。答：1.初始置换IP及其逆初始化转换IP-1；乘积变换；选择扩展运算、选择压缩运算和置换运算；DES安全性分析及其变形3.RSA签名方法与RSA加密方法对密钥的使用有什么不同？答：RSA加密方法是在 多个密钥中选中一部分密钥作为加密密钥，另一些作为解密密钥。RSA签名方法：如有k1/k2/k3三个密钥，可将k1作为A的签名私密钥，k2作为B的签名密钥，k3作为公开的验证签名密钥，实现这种多签名

10、体制，需要一个可信赖中心对A和B分配秘密签名密钥。3. 试简述解决网络数据加密的三种方式。答：常用的网络数据加密方式有：链路加密:对网络中两个相邻节点之间传输的数据进行加密保护；节点加密：指在信息传输过程的节点进行解密和加密；端到端的加密：指对一对用户之间的数据连续地提供保护。4.认证的目的是什么？认证体制的要求和技术是什么？答：1.认证的目的有三个：一消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，目的是防止消息重放或延迟等攻击。 2.一个安全的认证体制至少应该满足以

11、下要求：意定的接收者能够检验和证实消息的合法性，真实性和满足性；消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息；除了合法的消息发送外，其他人不能伪造发送消息。3数字签名技术，一种实现消息完整性认证和身份认证的重要技术；身份认证技术，包括直接身份认证技术和间接身份认证技术；消息认证技术，包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。5.什么是PKI？其用途有哪些？答：PKI是一个用公钥密码算法原理和技术提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码

12、服务所需要的密钥和证书管理。6. 简述PKI的功能模块组成。答：主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA、证书库、证书撤销、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、不可否认证、时间戳和客户端软件第四章 防火墙技术1. 简述防火墙的定义答：防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问，管理内部用户访问外部网络，防止对重要信息资源的非法存取和

13、访问，以达到保护内部网络系统安全的目的。2. 防火墙的主要功能有哪些？答：防火墙是网络安全策略的有机组成部分，它通过控制和监制网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙具有五大基本功能：过滤进、出网络的数据；和管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。3. 防火墙的体系结构有哪几种？简述各自的特点。答：1.双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。2.双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一

14、个网络往另一个网络发送IP数据包。双重宿主主机体系结构是由一台同时连接在内外网络的双重宿主主机提供安全保障的，而屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全的主机仅仅与被保护的内部网络相连。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔开。4.简述包过滤防火墙的工作机制和包过滤模型。答：1.包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。3. 包过滤型防火墙一般有一个包检查模块，可以根

15、据数据包头的各项信息来控制站点与站点、站点与网络、网络与网络之间的访问，但不能控制传输的数据，因为内容是应用层数据。4. 简述包过滤的工作过程。答：1.数据包过滤技术可以允许或不允许某些数据包在网络上传输，主要依据有：数据包的源地址、目的地址、协议类型（TCP、UDP、ICMP等）、TCP或UDP的源端口和目的端口、ICMP消息类型。 2.包过滤系统只能进行类似以下情况的操作：不让任何用户从外部网用Telnet登录；允许任何用户用SMTP往内部网发电子邮件；只允许某台计算机通过NNTP往内部网发新闻。但包过滤不能允许进行如下的操作：允许某个用户从外部网用Telent登录而不允许其他用户进行这种

16、操作；允许用户传送一些文件而不允许用户传送其他文件。5.简述代理防火墙的工作原理，并阐述代理技术的优缺点。答：1.所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实服务器上，然后接受服务应答，并进行进一步处理后，将答复交给发出请求的客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。 2.优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。