第9章网络安全

计算机网络安全基础（第三版）习题参考答案第一章习题：1．举出使用分层协议的两条理由？1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信；2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层；3.通过网络组件的标准化，允许多个提供商进行开发。

2．有两个网络，它们都提供可靠的面向连接的服务。

一个提供可靠的字节流，另一个提供可靠的比特流。

请问二者是否相同？为什么？不相同。

在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。

例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。

那么接收方共读了2048字节。

对于报文流，接收方将得到两个报文，、每个报文1024字节。

而对于字节流，报文边界不被识别。

接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。

3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。

OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。

每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。

TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。

与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。

两种模型的不同之处主要有：(1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。

OSI参考模型在各层次的实现上有所重复。

(2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。

第九章密码学与信息加密1. 密码学包含哪些概念？有什么功能？答：密码学（Cryptology）是研究信息系统安全保密的科学，密码编码学（Cryptography）主要研究对信息进行编码，实现对信息的隐藏。

密码分析学（Cryptanalytics）主要研究加密消息的破译或消息的伪造。

密码学主要包含以下几个概念：1）密码学的目标：保护数据的保密性、完整性和真实性。

保密性就是对数据进行加密，使非法用户无法读懂数据信息，而合法用户可以应用密钥读取信息。

完整性是对数据完整性的鉴别，以确定数据是否被非法纂改，保证合法用户得到正确、完整的信息。

真实性是数据来源的真实性、数据本身真实性的鉴别，可以保证合法用户不被欺骗。

2）消息的加密与解密：消息被称为明文，用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。

3）密码学的功能：提供除机密性外，密码学还提供鉴别、完整性和抗抵赖性等重要功能。

这些功能是通过计算机进行社会交流至关重要的需求。

鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。

完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。

抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息。

4）密码算法和密钥：密码算法也叫密码函数，是用于加密和解密的数学函数。

通常情况下，有两个相关的函数：一个用做加密，另一个用做解密。

密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据。

基于密钥的算法通常有两类：对称算法和公开密钥算法。

对称密钥加密，又称公钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。

它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

非对称密钥加密，又称私钥密钥加密。

它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。

第九章计算机网络安全基于对网络安全性的需求，网络操作系统一般采用4级安全保密机制，即注册安全、用户信任者权限、最大信任者权限屏蔽与()A.磁盘镜像B.UPS监控C.目录与文件属性D.文件备份正确答案是:C美国国防部与国家标准局将计算机系统的安全性划分为不同的安全等级。

下面的安全等级中，最低的是()A.A1B.B1C.C1D.D1正确答案是:D计算机网络系统中广泛使用的DES算法属于()A.不对称加密B.对称加密C.不可逆加密D.公开密钥加密正确答案是:B以下哪种技术不是实现防火墙的主流技术()A.包过滤技术B.应用级网关技术C.代理服务器技术D.NA T技术正确答案是:D在以下认证方式中，最常用的认证方式是()A.基于账户名／口令认证B.基于摘要算法认证C.基于PKI认证D.基于数据库认证正确答案是:A关于防火墙，以下哪种说法是错误的？A) 防火墙能隐藏内部IP地址B) 防火墙能控制进出内网的信息流向和信息包C) 防火墙能提供VPN功能D) 防火墙能阻止来自内部的威胁为了预防计算机病毒应采取的正确措施之一是( )。

A．不同任何人交流 B．绝不玩任何计算机游戏C．不用盗版软件和来历不明的磁盘 D．每天对磁盘进行格式化下面几种说法中，正确的是（）。

A|、在网上故意传播病毒只受到道义上的遣责B、在网上故意传播病毒应付相应的责任，以至刑事责任C、在网上可查阅、传播任意内容，包括黄色的、反动的D、在网上可对他人进行肆意攻击而不付任何责任Windows 2000与Windows 98相比在文件安全性方面有哪项改进？( )A.Windows 2000支持NTFS文件系统而Windows 98不支持B.Windows 2000可以提供共享目录而Windows 98不支持C.Windows 98支持FA T32而Windows 2000不支持D.Windows 98可以恢复已删除的文件而Windows 2000不支持在桌面办公系统（如：win98、win2000）中，什么类型的软件能够阻止外部主机对本地计算机的端口扫描？( )A：个人防火墙B：反病毒软件C：基于TCP/IP的检查工具，如netstatD：加密软件在非对称加密方式中使用那种密钥？( )A. 单密钥B. 公共/私有密钥C. 两对密钥D. 64bits加密密钥8、有设计者有意建立起来的进人用户系统的方法是；（）A、超级处理B、后门C、特洛伊木马D、计算机蠕虫9、一般而言，Internet防火墙建立在一个网络的（）A）内部子网之间传送信息的中枢B）每个子网的内部C）内部网络与外部网络的交叉点D）部分内部网络与外部网络的接合处10、计算机网络安全受到的威胁有很多，以下错误的是：( )A、黑客攻击B、计算机病毒C、拒绝服务攻击D、DMZ11、外部安全包括很多，以下错误的是：( )A、物理安全B、行为安全C、人事安全D、过程安全对照ISO/OSI 参考模型各个层中的网络安全服务，在物理层可以采用__(12)__加强通信线路的安全；在数据链路层，可以采用__(13)__进行链路加密；在网络层可以采用__(14)__来处理信息内外网络边界流动和建立透明的安全加密信道；在传输层主要解决进程到进程间的加密，最常见的传输层安全技术有SSL；为了将低层安全服务进行抽象和屏蔽，最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供__(15)__安全服务。

第九章网络信息安全选择题1．网络安全的属性不包括______。

A．保密性 B．完整性 C．可用性 D．通用性答案：D2．计算机安全通常包括硬件、______安全。

A．数据和运行 B．软件和数据C．软件、数据和操作 D．软件答案：B3．用某种方法伪装消息以隐藏它的内容的过程称为______。

A．数据格式化 B．数据加工C．数据加密 D．数据解密答案：C4．若信息在传输过程被未经授权的人篡改，将会影响到信息的________。

A．保密性 B．完整性 C．可用性 D．可控性答案：B5．加密技术不仅具有______，而且具有数字签名、身份验证、秘密分存、系统安全等功能。

A．信息加密功能 B．信息保存功能C．信息维护功能 D．信息封存功能答案：A6．基于密码技术的传输控制是防止数据______泄密的主要防护手段。

A．连接 B．访问C．传输 D．保护答案：C7．在数据被加密后，必须保证不能再从系统中_____它。

A．阅读 B．传输 C．可见 D．删除答案：A8．网络环境下身份认证协议通常采用______来保证消息的完整性、机密性。

A．知识因子 B．拥有因子C．生物因子 D．密码学机制答案：D9．活动目录服务通过________服务功能提升Windows的安全性。

A．域间信任关系 B．组策略安全管理C．身份鉴别与访问控制 D．以上皆是答案：D10．不属于Windows XP系统安全优势的是________。

A．安全模板 B．透明的软件限制策略C．支持NTFS和加密文件系统EFS D．远程桌面明文账户名传送答案：D11. 下面不能够预防计算机病毒感染的方式是_______。

A. 及时安装各种补丁程序B. 安装杀毒软件,并及时更新和升级C. 定期扫描计算机D. 经常下载并安装各种软件答案：D12．网络安全攻击事件中大部分是来自( )的侵犯。

A．城域网 B．内部网络C．广域网 D．外部网络答案：B13．保护计算机网络免受外部的攻击所采用的常用技术称为______。

第9章入侵检测系统1. 单项选择题1) B2) D3) D4) C5) A6) D2、简答题（1）什么叫入侵检测,入侵检测系统有哪些功能？入侵检测系统（简称“IDS”）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

入侵检测系统功能主要有:●识别黑客常用入侵与攻击手段●监控网络异常通信●鉴别对系统漏洞及后门的利用●完善网络安全管理（2）根据检测对象的不同,入侵检测系统可分哪几种？根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。

主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源.主机型入侵检测系统保护的一般是所在的系统。

网络型入侵检测系统的数据源是网络上的数据包.一般网络型入侵检测系统担负着保护整个网段的任务。

混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补，还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测。

（3）常用的入侵检测系统的技术有哪几种？其原理分别是什么？常用的入侵检测系统的技术有两种，一种基于误用检测（Anomal Detection），另一种基于异常检测（Misuse Detection）.对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征，检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中，说明是入侵行为,此方法非常类似杀毒软件。

基于误用的检测技术对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。

基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出）,然后将系统运行时的数值与所定义的“正常"情况比较，得出是否有被攻击的迹象。

第九章病毒小知识一、一般病毒的发作条件尽管不同的计算机病毒在引导方式，传染对象，传播方式，激活条件及外部表现形式上多个不相同，但在某些方面却有着共同之处。

例如，一般计算机病毒都可以从逻辑上划分引导、传染、表现或破坏等几部分。

这几部分各司其职，在病毒丛静态到动态的进程过程中各起不同的作用。

又如，无论是系统引导型病毒还是文件型病毒，就其传染过程来说是相似的。

一般都经历驻入内存、判断传染条件和实施传染三个阶段。

此外，不论什么样的病毒，其各部分只有在激活以后才能发挥其作用等等。

病毒激活都是有一定条件的，并且各部分的激活条件不同。

任何一种病毒，最先获得系统控制的是它的引导部分。

系统引导型病毒的引导部分位于系统引导扇区。

它利用诸如DOS自举之类引导而在系统加电或复位时获得控制。

文件型病毒的引导部分一般位于正常的程序代码之前。

当用于将被感染的文件调入内存执行时，无意间就把系统控制转给了病毒引导部分。

获得控制后，病毒的引导部分除完成病毒整体调入外，还为其他几部分的激活设置相应的条件。

一般来说，病毒的传播、表现/破坏部分的激活条件均不相同。

传播部分通常以调用某中断为条件，因而很容易激活。

表现/破坏部分当仅调用某中断并且系统时间为某一定值时激活，故潜伏期相对较长。

当病毒各部分的激活条件均不满足时，病毒一直处于“假休眠”状态，系统工作与没有病毒时无异，给用户一种系统一切正常的假象，实际上是病毒伺机发作。

这个时期是病毒的潜伏期，潜伏期的长短因病毒而异。

由于潜伏期的存在，使得病毒更具有伪装性和欺骗性，从而增强了自身的活力。

一个设计巧妙的病毒正是具备了很好的隐藏伪装性和欺骗性及其不易察觉的潜伏期，成为流行一时的著名病毒。

二、计算机病毒的命名当前，计算机病毒机器变种种类繁多，这些病毒都是秘密文件，在文件目录表中查找不到标识它们的文件名，而且往往病毒都是非授权侵入系统，又流传的十分迅速和广泛，因此很难找到它们的根源。

为了更好的分析和检测并消除这些病毒，也为了互相交流检测和防治病毒的经验和方法，需要对流传较广，影响教的的病毒给予一个特定的名字，用以标识不同的病毒。

第一章序论计算机网络面临的主要威胁1、计算机网络中受到威胁的实体2、计算机网络系统面临威胁威胁描述窃听网络中传输的敏感信息被窃听。

重传攻击者将事先获得部分或全部信息重新发送给接收者。

伪造攻击者将伪造的信息发送给接收者。

篡改攻击者对通讯信息进行修改、删除、插入，再发送。

非授权访问通过假冒、身份攻击、系统漏洞等手段，获取系统访问权拒绝服务攻击攻击者使系统响应减慢甚至瘫痪，阻止合法用户获得服务。

行为否认通讯实体否认已经发生的行为。

旁路控制攻击者发掘系统的缺陷或安全脆弱性。

电磁/射频截获攻击者从电磁辐射中提取信息。

人员疏忽授权的人为了利益或由于粗心将信息泄漏给未授权人。

3、恶意程序的威胁(计算机病毒的威胁)4、计算机网络威胁的潜在对手和动机恶意攻击的潜在对手国家黑客恐怖份子/计算机恐怖份子有组织计算机犯罪其他犯罪成员国际新闻社工业竞争不满的雇员计算机网络不安全的主要因素、偶发性因素：如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。

自然灾害：各种自然灾害（如地震、风暴、泥石流、建筑物破坏等）。

人为因素：一些不法之徒，利用计算机网络或潜入计算机房，篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。

此外，管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网络造成威胁。

1．被动攻击2．主动攻击3．邻近攻击4．内部人员攻击不安全的主要原因1．Internet具有不安全性2．操作系统存在安全问题3．数据的安全问题4．数据的安全问题5．网络安全管理问题网络安全的定义(目标)p8计算机网络安全的定义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。

第9章防火墙应用技术1．选择题（1）拒绝服务攻击的一个基本思想是（）A．不断发送垃圾邮件工作站B．迫使服务器的缓冲区满C．工作站和服务器停止工作D．服务器停止工作（2）TCP采用三次握手形式建立连接，在（）时候开始发送数据。

A．第一步B．第二步C．第三步之后D．第三步（3）驻留在多个网络设备上的程序在短时间内产生大量的请求信息冲击某web服务器，导致该服务器不堪重负，无法正常相应其他合法用户的请求，这属于（）A．上网冲浪B中间人攻击C．DDoS攻击D．MAC攻击（4）关于防火墙，以下( )说法是错误的。

A.防火墙能隐藏内部IP地址B.防火墙能控制进出内网的信息流向和信息包C.防火墙能提供VPN功能D.防火墙能阻止来自内部的威胁（5）以下说法正确的是（）A.防火墙能够抵御一切网络攻击B.防火墙是一种主动安全策略执行设备C.防火墙本身不需要提供防护D.防火墙如果配置不当，会导致更大的安全风险解答：B C C D D2．填空题（1）防火墙隔离了内部、外部网络，是内、外部网络通信的途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。

唯一（2）防火墙是一种设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了。

被动安全策略执行（3）从防火墙的软、硬件形式来分的话，防火墙可以分为防火墙和硬件防火墙以及防火墙。

软件、芯片级（4）包过滤型防火墙工作在OSI网络参考模型的和。

网络层、传输层（5）第一代应用网关型防火墙的核心技术是。

代理服务器技术（6）单一主机防火墙独立于其它网络设备，它位于。

网络边界（7）组织的雇员，可以是要到外围区域或Internet 的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户等，被称为内部防火墙的。

完全信任用户（8）是位于外围网络中的服务器，向内部和外部用户提供服务。

堡垒主机（9）利用TCP协议的设计上的缺陷，通过特定方式发送大量的TCP 请求从而导致受攻击方CPU超负荷或内存不足的一种攻击方式。

第 9 章：网络安全解决方案和病毒防护试题1(2016年下半年试题3)阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】图3-1是某互联网服务企业网络拓扑，该企业主要对外提供网站消息发布、在线销售管理服务，Web网站和在线销售管理服务系统采用JavaEE开发，中间件使用Weblogic，采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。

【问题1】（6分）根据网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范，为上图中的安全设备选择相应的网络安全设备。

在安全设备1处部署(1)；在安全设备2处部署(2)；在安全设备3处部署(3)。

(1)～(3)备选答案：（3）A.防火墙 B．入侵检测系统(IDS) C．入侵防御系统(IPS)【问题2】（6分，多选题）在网络中需要加入如下安全防范措施：（4）A.访问控制B．NATC．上网行为审计D．包检测分析E．数据库审计F．DDoS攻击检测和阻止G．服务器负载均衡H．异常流量阻断I．漏洞扫描J．Web应用防护其中，在防火墙上可部署的防范措施有 (4)；在IDS上可部署的防范措施有(5)；在口S上可部署的防范措施有(6)。

【问题3】（5分）结合上述拓扑，请简要说明入侵防御系统(IPS)的不足和缺点。

【问题4】（8分）该企避网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告，报告内容包括：1．利用Java反序列化漏洞，可以上传jsp文件到服务器。

2．可以获取到数据库链接信息。

3．可以链接数据库，查看系统表和用户表，获取到系统管理员登录帐号和密码信息，其中登录密码为明文存储。

4．使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。

针对上述存在的多处安全漏洞，提出相应的改进措施。

试题分析问题1 ：A B C试题分析:内网用户去往外网需要部署NAT，安全设备1部署防火墙。

看图安全设备2旁挂，部署IDS对网络流量进行检测不影响网络。

第一章二填空题1 网络系统的()性是指保证网络系统不因素的影响而中断正常工作。

可靠性2 数据的(）性是指在保证软件和数据完整性的同时,还要能使其被正常利用和操作。

可用性3 网络攻击主要有（）攻击和（）攻击两大类.被动、主动4 网络威胁主要来自认为影响和外部（）的影响,它们包括对网络设备的威胁和对()的威胁。

自然环境、网络中信息5 被动攻击的特点是偷听或监视传送，其墓地是获得(）.信息内容或信息的长度、传输频率等特征6 某些人或者某些组织想方设法利用网络系统来获取相应领域的敏感信息，这种威胁属于（）威胁。

故意7 软、硬件的机能失常、认为误操作、管理不善而引起的威胁属于（)威胁。

无意8 使用特殊级数对系统进行攻击,以便得到有针对性的信息就是一种(）攻击。

主动9 数据恢复操作的种类有(）、（）和重定向恢复。

全盘恢复、个别文件恢复三选择题1 入侵者通过观察网络线路上的信息，而不干扰信息的正常流动，如搭线窃听或非授权地阅读信息，这事属于（)。

AA 被动攻击B 主动攻击C 无意威胁D 系统缺陷2 入侵者对传书中的信息或者存储的信息进行各种非法处理，如有选择地个该、插入、延迟、删除或者复制这些信息,这是属于(）。

BA 无意威胁B 主动攻击C 系统缺陷D 漏洞威胁3 入侵者利用操作系统存在的后门进入系统进行非法操作，这样的威胁属于（)A 被动攻击B 无意威胁C 系统缺陷D窃取威胁 C4 软件错误、文件损坏、数据交换错误、操作系统错误等是影响数据完整性的（）原因。

BA 人为因素B 软件和数据故障C 硬件故障D 网络故障5 磁盘故障、I/O控制器故障、电源故障、存储器故障、芯片和主板故障是影响数据完整性的（）原因。

DA 人为因素B 软件故障C网络故障 D 硬件故障6 属于通信系统与通信协议的脆弱性的是（).CA 介质的剩磁效应B 硬件和软件故障C TCP/IP漏洞D 数据库分级管理7 属于计算机系统本身的脆弱性的是（）AA 硬件和软件故障B 介质的剩磁效应C TCP/IP漏洞D 数据库分级管理8 网络系统面临的威胁主要是来自（1)(）影响，这些威胁大致可分为(2）（)两大类。