计算机网络安全基础第三版习题参考答案

计算机网络安全基础（第三版）习题参考答案
第一章习题：
1．举出使用分层协议的两条理由？
1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信；
2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层；
3.通过网络组件的标准化，允许多个提供商进行开发。

2．有两个网络，它们都提供可靠的面向连接的服务。

一个提供可靠的字节流，另一个提供可靠的比特流。

请问二者是否相同？为什么？
不相同。

在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。

例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。

那么接收方共读了2048字节。

对于报文流，接收方将得到两个报文，、每个报文1024字节。

而对于字节流，报文边界不被识别。

接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。

3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。

OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。

每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。

TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。

与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。

两种模型的不同之处主要有：
(1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。

OSI参考模型在各层次的实现上有所重复。

(2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。

4．TCP和UDP之间的主要区别是什么？
TCP，传输控制协议，提供的是面向连接的、可靠的字节流服务。

当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。

TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。

UDP，用户数据报协议，是一个简单的面向数据报的运输层协议。

UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。

由于UDP 在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。

5．网桥、路由器、网关的主要区别是什么？
网桥运行在数据链路层，采用介质访问控制（MAC）地址数据的中继功能，从而完成一个局域网到另一个局域网的数据包转发。

网桥主要用于连接两个寻址方案兼容的局域网，
即同一种类型的局域网。

用网桥连接起来的局域网不受MAC定时特性的限制，理论上可达全球范围。

路由器运行在网络层（分层模型的第三层），它的网间数据包中继采用的是网络层地址（如IP地址）。

路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如帧中继的网络接口。

用路由器连接起来的多个网络，它们仍保持各自的实体地位不变，即它们各自都有自己独立的网络地址。

网关用于实现不同体系结构网络之间的互联，它可以支持不同协议之间的转换，实现不同协议网络之间的通信和信息共享。

6．分析路由器的作用及适用场合？
路由器是局域网和广域网之间进行互联的关键设备，用于连接多个逻辑上分开的网络。

通常的路由器都具有负载平衡、组织广播风暴、控制网络流量以及提高系统容错能力等功能。

一般来说，路由器多数都可以支持多种协议，提供多种不同的物理接口。

路由器的适用场合包括局域网和广域网等多种类型网络之间的连接。

在主干网上，路由器的主要作用是路由选择，在地区网中，路由器的主要作用是网络连接和路由选择，在园区网内，路由器的作用是分割子网。

7．Internet提供的主要服务有哪些？
远程登录服务(Telnet) 、文件传输服务(FTP) 、电子邮件服务(E-Mail) 、网络新闻服务(Usenet) 、信息浏览服务(Gopher、WWW) 、网络用户信息查询服务、实时会议服务、DNS 服务、网络管理服务、NFS文件系统下的服务、X-Windows服务和网络打印服务。

8．电子邮件的头部主要包括哪几部分？（写出最重要的三个）
电子邮件分成两部分，头部和主体。

头部包含有关接收方、发送方、信息内容等方面的信息。

头部由若干行组成，每一行首先是一个关键字，一个冒号，然后是附加的信息。

关键字有：From, To, Cc, Bcc, Date, Subject,Reply-To, X-Charset, X-Mailer等。

9．接入Internet需要哪些设备和条件？
1.计算机
2.网卡，或Modem或ISDN卡
3.电话线
10．用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么？
路由器可以连接不同的网络，是第三层的设备；网桥只能连接两个相同的网络，是第二层设备。

另外，路由器可以隔离广播而网桥不隔离。

第二章习题：
1．网络操作系统与单机操作系统之间的主要区别是什么？
操作系统的主要功能有：管理系统内所有资源，为用户提供服务，网络操作系统和单机操作系统都具备这些功能，但是两者还有区别。

一是管理的范围不同，单机操作系统管理的是本机资源，网络操作系统要为用户提供各种基本网络服务，管理的是整个网络的资源，包括本地和网络的；二是提供的服务不同，单机操作系统为本地用户提供服务，网络操作系统同时还要为网络用户提供服务。

2．局域网操作系统有哪些基本服务功能？
局域网必须能为用户提供各种基本网络服务：文件服务、打印服务、数据库服务、通
信服务、分布式服务、网络管理服务、Internet/Intranet等。

3．Unix操作系统的主要特点有哪些？
UNIX是一个多任务多用户的操作系统，它具有的特点如下：
可靠性高；极强的伸缩性；网络功能强；强大的数据库支持功能；开放性好。

4．Linux操作系统的主要特点有哪些？
Linux是按照UNIX风格设计的操作系统，Linux具有如下一些主要特点：
与UNIX高度兼容；高度的稳定性和可靠性；完全开放源代码，价格低廉；系统安全可靠，绝无后门。

5．Windows 操作系统的主要特点有哪些？
可靠、高效能、连接性、经济
6．Windows 操作系统的安全特点是什么？
在Windows中所有的对象都有一个安全标示符，安全性标识符上列出了允许用户和组在对象上可以执行的动作。

安全性标识符可以用来设置和查询一个对象的安全属性，所有的命名对象、进程和线程都有与之关联的安全描述。

Windows安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例。

7．Unix操作系统的文件访问控制是基于什么来完成的？
UNIX操作系统的资源访问控制是基于文件的。

系统中的每一个文件都具有一定的访问权限，只有具有这种访问权限的用户才能访问该文件，否则系统将给出Permission Denied 的错误信息。

8．Unix操作系统对文件进行操作的有哪三类用户？
用户本人；用户所在组的用户；其他用户。

9．简述NTFS文件系统的特点？
NTFS文件系统具有如下特点：
1)NTFS可以支持的分区大小可以达到2TB；
2)NTFS是一个可恢复的文件系统；
3)NTFS支持对分区、文件夹和文件的压缩；
4)NTFS采用了更小的簇，可以更有效率的管理磁盘空间；
5)在NTFS分区上，可以共享资源、文件夹以及文件设置访问许可权限；
6)在NTFS文件系统下可以进行磁盘配额管理；
7)NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。

第三章习题：
1．网络安全的含义是什么？
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改和泄漏，系统连续、可靠、正常的运行，网络服务不中断。

2．网络安全有哪些特征？
保密性、完整性、可用性和可控性。

3．什么是网络安全的最大威胁？
网络安全主要面临的安全威胁有：非授权访问、信息泄露、拒绝服务
4．网络安全主要有哪些关键技术？
主机安全技术；身份认证技术；访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术。

5．如何实施网络安全的安全策略？
实施安全策略要注意几个问题：
安全局政策不要过于繁琐，不能只是一个决定或者方针；安全政策一定要真正执行；策略的实施不仅仅是管理人员的事，而且也是技术人员的事。

安全策略应包括如下内容：
网络用户的安全责任；系统管理员的安全责任；正确利用网络资源，规定谁可以使用网络资源；检测到安全问题时的对策。

6．如何理解协议安全的脆弱性？
计算机网络系统普遍使用的TCP/IP以及FTP、E-mail，NFS等都包含着许多影响网络安全的因素，存在许多漏洞。

7．数据库管理系统有哪些不安全因素？
主要从物理安全、网络安全、管理安全等方面进行论述。

8．解释网络信息安全模型。

网络信息安全模型中，政策、法律、法规是基石，它是建立安全管理的标准和方法；第二部分是增强的用户认证，主要目的是提供访问控制。

用户认证的方法主要有用户持有的证件、用户知道的信息、用户特有的特征。

第三部分是授权，主要是为特许用户提供合适的访问权限，并监控用户的活动，时期不越权使用。

之后是加密，加密主要满足认证、一致性、隐秘性、不可抵赖的需求。

模型的顶部是审计与监控，这是最后一道防线，包括数据的备份。

9．对因特网进行安全管理需要哪些措施？
安全管理的目的是利用各种措施来支持安全政策的实施，需从安全立法、加强管理和发展安全技术着手。

第四章习题：
1．计算机系统安全的主要目标是什么？
在一定的外部环境下，保证系统资源的安全性、完整性、可靠性、保密性、有效性、合法性和服务可用性。

2．简述计算机系统安全技术的主要内容
（1）实体硬件安全技术：为保证计算机设备及其他设施免受危害所采取的措施，包括计算机设备、通信线路及设施等。

（2）软件系统安全技术：包括口令控制、鉴别技术、软件加密、掌握高安全产品的质量标准等。

（3）数据信息安全技术：包括对各种用户的身份识别技术、口令、指纹验证、存取控制技术、紧急处置和系统恢复等。

（4）网络站点安全技术：包括防火墙技术、网络跟踪检测技术、路由控制隔离技术、流量控制分析技术等。

（5）运行服务安全技术：包括系统的使用与维护、随机故障维护技术、软件可靠性、可维护性保证技术等。

（6）病毒防治技术：包括计算机病毒检测、诊断和消除等。

（7）防火墙技术：包括电子邮件和远程终端访问等。

（8）计算机应用系统的安全评价：作为安全保密工作的尺度。

3．计算机系统安全技术标准有哪些？
D级、C1级、C2级、B1级、B2级、B3级、A级
4．访问控制的含义是什么？
访问控制是对进入系统的控制，作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。

5．如何从Unix系统登录？
申请账号，输入正确的用户账号、密码，登录
6．如何从Windows xp系统登录？
Windows xp系统的登录主要有4种方式：
（1）交互式登录：通过相应的用户账号和密码在本机登录。

（2）网络登录：输入的账号、密码必须是对方主机上的。

（3）服务登录：采用不同的用户账号登录，可以是域用户帐户、本地用户账户或系统帐户，不同帐户的访问、控制权限不同。

（4）批处理登录：所用账号要具有批处理工作的权利。

7．怎样保护系统的口令？
选择安全的口令、系统使用口令的生命期控制、Windows XP系统的口令管理
8．什么是口令的生命周期？
管理员可以为口令设定一个时间，当到期后，系统会强制要求用户更改系统口令。

9．如何保护口令的安全？
不要将口令告诉别人，不要用系统指定的口令，最好不用e-mail传送口令，帐户长期不用应暂停，限制用户的登录时间，限制用户的登录次数，记录最后登录时的情况，使用TFTP 获取口令文件，定期查看日志文件，确保除root外没有其它公共账号，使用特殊用户组限制，关闭没有口令却可以运行命令的账号。

10．建立口令应遵循哪些规则？
选择长口令，包括英文字母和数字的组合，不要使用英语单词，不要使用相同口令访问多个系统，不要使用名字，不选择难记忆口令，使用UNIX安全程序。

第五章习题：
1．试分析数据库安全的重要性，说明数据库安全所面临的威胁。

数据库是网络系统的核心部分，有价值的数据资源都存放其中，不允许受到恶意侵害，或未经授权的存取与修改。

所面临的威胁主要有篡改、损坏和窃取。

2．数据库中采用了哪些安全技术和保护措施？
主要包括两个方面：支持数据库的操作系统，数据库管理系统（DBMS）。

DBMS的安全使用特性的几点要求：多用户、高可靠性、频繁更新、文件大。

3．数据库的安全策略有哪些？简述其要点。

（1）用户标识和鉴定：通过核对用户的名字或身份决定该用户对系统的使用权。

（2）存取控制：对用户权限进行合法权检查。

（3）数据分级：把数据分级，对每一级数据对象赋予一定的保密级。

（4）数据加密：用密码存储口令、数据，对远程终端信息用密码传输。

4．数据库的加密有哪些要求？加密方式有哪些种类？
为了更好地保证数据的安全性，可用密码存储口令、数据，对远程终端信息用密码传输防止中途非法截获等。

加密方式有：用加密算法对明文加密、明钥加密法等。

5．事务处理日志在数据库中有何作用？
在动态转储方式中，后备副本和日志文件综合起来才能有效地恢复数据库；在静态转储方式中，数据库毁坏后装入后备副本，利用日志文件把已完成事务进行重新处理，对故障发生时尚未完成的事务进行撤销。

6．数据库管理系统的主要职能有哪些？
（1）有正确的编译功能，能正确执行规定的操作；
（2）能正确执行数据库命令；
（3）保证数据的安全性、完整性，能抵御一定程度的物理攻击，能维护和提交数据库内容；（4）能识别用户，分配授权和进行访问控制，包括身份识别和验证；
（5）顺利执行数据库访问，保证网络通信功能。

7．简述常用数据库的备份方法。

常用的数据库备份方法有冷备份、热备份和逻辑备份3种。

冷备份需要关闭数据库系统，在没有任何用户对它进行访问的情况下备份。

热备份在系统运行时进行备份，依赖于日志文件中更新或更改指令的堆叠，不是真正将数据写入数据库。

逻辑备份是使用软件技术从数据库中提取数据，并将数据映像输出。

8．简述易地更新恢复技术。

每个关系有一个页表，页表中的每一项是一个指针，指向关系中的每一页（块）。

当更新时，旧页保持不变，将新内容写入新页。

在提交时，页表的指针从旧页指向新页。

9．简述介质失效后，恢复的一般步骤。

（1）修复系统，必要时更换磁盘；
（2）如果系统崩溃，则重新启动系统；
（3）加载最近的备份；
（4）用运行日志中的后像重做，取最近备份以后提交的所有事务。

10．什么叫“前像”，什么叫“后像”？
前像是指数据库被一个事务更新时，所涉及的物理块更新后的影像，它以物理块为单位。

后像是指数据库被一个事务更新时，所涉及的物理块更新前的影像，同前像一样以物理块为单位。

第六章习题：
1．什么是计算机病毒？
计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其他系统。

它通常隐藏在其他看起来无害的程序中，他能复制自身并将其插入到其他程序中以执行恶意的行动。

2．计算病毒的基本特征是什么？
可以编写人为破坏；自我复制；夺取系统控制权；隐蔽性；潜伏性；不可预见性。

3．简述计算机病毒攻击的对象及所造成的危害。

（1）攻击系统数据区：受损数据不易恢复；
（2）攻击文件：删除文件、改名、替换内容、丢失簇、对文件加密；
（3）攻击内存：大量占用、改变内存总量、禁止分配、蚕食内存；
（4）干扰系统运行：不执行命令、干扰内部命令的执行、虚假警报等；
（5）干扰键盘、喇叭或屏幕：封锁键盘、喇叭发出响声、滚屏等；
（6）攻击CMOS：对CMOS进行写入操作，破坏CMOS中的数据；
（7）干扰打印机：假报警、间断性打印等；
（8）破坏网络系统：非法使用网络资源，破坏电子邮件等。

4．病毒按寄生方式分为哪几类？
文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒、宏病毒
5．计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？
计算机病毒程序由引导模块、传染模块、干扰或破坏模块组成。

预防：下载正规网站资源，下载后扫描；安装正版杀毒软件和防火墙；关闭危险服务、端口及共享；删除多余或停用的账户；使用移动存储设备前先扫描病毒；定期彻底全盘查毒，定期备份重要文件等。

6．简述检测计算机病毒的常用方法。

比较法：比较被检测对象与原始备份；扫描法：利用病毒特征代码串对被检测对象进行扫描；计算特征字的识别法：也是基于特征串扫描；分析法：利用反汇编技术。

7．简述宏病毒的特征及其清除方法。

宏病毒的特征：感染.doc文档及.dot模板文件；通常是Word在打开带宏病毒文档或模板时进行传染；多数宏病毒包含AutoOpen、AutoClose等自动宏；含有对文档读写操作的宏命令；在.doc文档及.dot模板中以.BFF格式存放。

宏病毒的清除：使用选项“提示保存Normal模板”；不要通过Shift键来禁止运行自动
宏；查看宏代码并删除；使用DisableAutoMacro宏；设置的只读属性；的密码保护。

8．什么是计算机病毒免疫？
通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。

9．简述计算机病毒的防治措施。

使用合法原版的软件，将重要的资料备份，杀毒软件，注意观察一些现象等。

10．什么是网络病毒，防治网络病毒的要点是什么？
计算机网络病毒是在计算机网络上传播扩散，专门攻击网络薄弱环节、破坏网络资源的计算机病毒。

防治：使用防毒软件保护客户机和服务器，使用特定的优秀的防毒软件等。

第七章习题：
1．什么是数据加密？简述加密和解密的过程。

数据机密是基本的保证通信安全的方法。

数据加密的基本过程包括对称为明文的可读信息进行加处理，形成称为密文或密码的代码形式。

该过程的逆过程为解密，即将该编码信息转化为其原来形成的过程。

加密的过程就是通过加密算法，用密钥对明文进行信息处理的过程。

加密算法通常是公开的，现在只有少数几种加密算法，如DES、RSA等。

解密的过程就是加密的逆过程，通过加密算法将密文还原成明文信息。

2．在凯撒密码中令密钥k=8，制造一张明文字母与密文字母对照表。

ABCDEFGHIJKLMNOPQRSTUVWXYZ k=8
IJKLMNOPQRSTUVWXYZABCDEFGH
3．用维吉尼亚法加密下段文字：COMPUTER AND PASSWORD SYSTEM，密钥为KEYWORD。

略。

可对照172页表7.1维吉尼亚表。

4．DES算法主要有哪几部分？
DES算法采用56位的密钥，在16轮内完成对64位数据块的加密。

每轮所用的子密钥由初始密钥分解而来。

DES算法主要分为两部分：置换（初始置换、扩充置换及最终逆初始置换）和替代（S盒），另外还有基于密码的复杂计算。

6．简述加密函数f的计算过程。

DES对64位的明文进行16轮形同的运算，这些运算即为函数f，在运算过程中数据和密钥结合。

在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。

通过一个扩展置换将数据的右半部分扩展成48位，并通过一个异或操作与48位密钥结合，通过8个S盒将这个48位替代成新的32位数据，再将其置换一次。

8．简述DES算法和RSA算法保密的关键所在。

DES算法的密钥有56位，通过16轮操作进行最终加密。

DES的安全性依赖于解密速度。

现在DES密钥的求解只有穷举，算法的安全性还是很可靠的。

RSA算法的安全性依赖于大数分解。

公钥和私钥都是两个大素数的函数，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。

9．公开密钥体制的主要特点是什么？
加密能力与解密能力是分开的；密钥分发简单；需要保存的密钥量大大减少，N个用户只需要N个；可满足不相识的人之间保密通信；可以实现数字签名。

10．说明公开密钥体制实现数字签名的过程。

数字签名时至少要将数字证书的公共部分和其他信息加在一起，才能确认信息的完整性。

在信息和数字证书发送之前，要先通过散列算法生成信息摘要，用发送者的私钥对信息摘要加密，然后将这个数字签名作为附件和报文送给接收方。

当接收方收到报文后，用发送方的公钥解密信息摘要进行验证，然后通过散列算法计算信息摘要比较结果，如果两个信息摘要相同，则可确认是由发送方签名的。

11．RSA算法的密钥是如何选择的？
给定n = pq，p和q是大素数，ed modφ(n) = 1，公开密钥为(n，e)，秘密密钥为(n，d) 加密：m ∈[0, n-1]，gcd(m, n) = 1, 则c = me mod n
解密：m = cd mod n = (me mod n )d mod n= m ed mod n = m
签名：s = md mod n
验证：m = se mod n = (md mod n )e mod n= m ed mod n = m
第八章习题：
1．IPSec能对应用层提供保护吗？
IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改。

IPSec工作于网络层，对终端站点间所有传输数据进行保护。

它对应用层的保护是间接的，保护应用层可采用代理防火墙/保密网关技术。

2．按照IPSec协议体系框架，如果需要在AH或ESP中增加新的算法，需要对协议做些什么修改工作？
除修改AH和ESP外还要修改Internet密钥交换（IKE）协议。

3．简述防火墙的工作原理。

防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件或软件，目的是保护网络不被他人侵扰。

本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。

4．防火墙的体系结构有哪些？
目前防火墙的体系结构一般有三种：
1)双重宿主主机体系结构
2)主机过滤体系结构
3)子网过滤体系结构
5．在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以。