网络安全与管理课后练习与答案

第一章绪论1.1.1、计算机网络面临的主要威胁：①计算机网络实体面临威胁（实体为网络中的关键设备）②计算机网络系统面临威胁（典型安全威胁）③恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）④计算机网络威胁的潜在对手和动机（恶意攻击/非恶意）2、典型的网络安全威胁：①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素：（1）偶发因素：如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。

（2）自然灾害：各种自然灾害对计算机系统构成严重的威胁。

（3）人为因素：人为因素对计算机网络的破坏也称为人对计算机网络的攻击。

可分为几个方面：①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因：①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念：计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。

1.3.1计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。

网络的安全问题包括两方面内容：一是网络的系统安全；二是网络的信息安全（最终目的）。

1.3.2计算机网络安全的目标：①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次：①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分：①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型：(P27图)1.4.2OSI安全体系结构：①术语②安全服务③安全机制五大类安全服务，也称安全防护措施（P29）：①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。

《⽹络安全与管理》试题及答案（已做）《⽹络安全与管理》试题⼀⼀．单项选择题1.在以下⼈为的恶意攻击⾏为中，属于主动攻击的是（ A ）A.数据篡改及破坏B.数据窃听C.数据流分析D.⾮法访问2.数据完整性指的是（ C ）A.保护⽹络中各系统之间交换的数据，防⽌因数据被截获⽽造成泄密B.提供连接实体⾝份的鉴别C.防⽌⾮法实体对⽤户的主动攻击，保证数据接受⽅收到的信息与发送⽅发送的信息完全⼀致D.确保数据数据是由合法实体发出的3.以下算法中属于⾮对称算法的是（ B ）A.DESB.RSA算法C.IDEAD.三重DES4.在混合加密⽅式下，真正⽤来加解密通信过程中所传输数据（明⽂）的密钥是（ B ）A.⾮对称算法的公钥B.对称算法的密钥C.⾮对称算法的私钥D.CA中⼼的公钥5.以下不属于代理服务技术优点的是（ D ）A.可以实现⾝份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭6.包过滤技术与代理服务技术相⽐较（ B ）A.包过滤技术安全性较弱、但会对⽹络性能产⽣明显影响B.包过滤技术对应⽤和⽤户是绝对透明的C.代理服务技术安全性较⾼、但不会对⽹络性能产⽣明显影响D.代理服务技术安全性⾼，对应⽤和⽤户透明度也很⾼7."DES是⼀种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中⼀部分⽤作奇偶校验,剩余部分作为密码的长度？" （B ）A.56位B.64位C.112位D.128位8.⿊客利⽤IP地址进⾏攻击的⽅法有：（A ）A.IP欺骗B.解密C.窃取⼝令D.发送病毒9.防⽌⽤户被冒名所欺骗的⽅法是：（A ）A.对信息源发⽅进⾏⾝份验证B.进⾏数据加密C.对访问⽹络的流量进⾏过滤和保护D.采⽤防⽕墙10.屏蔽路由器型防⽕墙采⽤的技术是基于：（B ）A.数据包过滤技术B.应⽤⽹关技术C.代理服务技术D.三种技术的结合11.以下关于防⽕墙的设计原则说法正确的是：（A ）A.保持设计的简单性B.不单单要提供防⽕墙的功能，还要尽量使⽤较⼤的组件C.保留尽可能多的服务和守护进程，从⽽能提供更多的⽹络服务D.⼀套防⽕墙就可以保护全部的⽹络12.SSL指的是：（ B ）A.加密认证协议B.安全套接层协议C.授权认证协议D.安全通道协议13.CA指的是：（A ）A.证书授权B.加密认证C.虚拟专⽤⽹D.安全套接层14.在安全审计的风险评估阶段，通常是按什么顺序来进⾏的：（A ）A.侦查阶段、渗透阶段、控制阶段B.渗透阶段、侦查阶段、控制阶段C.控制阶段、侦查阶段、渗透阶段D.侦查阶段、控制阶段、渗透阶段15.以下哪⼀项不属于⼊侵检测系统的功能：（ D ）A.监视⽹络上的通信数据流B.捕捉可疑的⽹络活动C.提供安全审计报告D.过滤⾮法的数据包16.⼊侵检测系统的第⼀步是：（B ）A.信号分析B.信息收集C.数据包过滤D.数据包检查17.以下哪⼀项不是⼊侵检测系统利⽤的信息：（C ）A.系统和⽹络⽇志⽂件B.⽬录和⽂件中的不期望的改变C.数据包头信息D.程序执⾏中的不期望⾏为18.⼊侵检测系统在进⾏信号分析时，⼀般通过三种常⽤的技术⼿段，以下哪⼀种不属于通常的三种技术⼿段：（ D ）A.模式匹配B.统计分析C.完整性分析D.密⽂分析19.以下哪⼀种⽅式是⼊侵检测系统所通常采⽤的：（A ）A.基于⽹络的⼊侵检测B.基于IP的⼊侵检测C.基于服务的⼊侵检测D.基于域名的⼊侵检测20.以下哪⼀项属于基于主机的⼊侵检测⽅式的优势：（C ）A.监视整个⽹段的通信B.不要求在⼤量的主机上安装和管理软件C.适应交换和加密D.具有更好的实时性21.以下关于计算机病毒的特征说法正确的是：（ C ）A.计算机病毒只具有破坏性，没有其他特征B.计算机病毒具有破坏性，不具有传染性C.破坏性和传染性是计算机病毒的两⼤主要特征D.计算机病毒只具有传染性，不具有破坏性22.以下关于宏病毒说法正确的是：（B ）A.宏病毒主要感染可执⾏⽂件B.宏病毒仅向办公⾃动化程序编制的⽂档进⾏传染C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区D.CIH病毒属于宏病毒23.以下哪⼀项不属于计算机病毒的防治策略：（D ）A.防毒能⼒B.查毒能⼒C.解毒能⼒D.禁毒能⼒24.在OSI七个层次的基础上，将安全体系划分为四个级别，以下那⼀个不属于四个级别：（ D ）A.⽹络级安全B.系统级安全C.应⽤级安全D.链路级安全25.⽹络层安全性的优点是：( A)A．保密性B．按照同样的加密密钥和访问控制策略来处理数据包C．提供基于进程对进程的安全服务D．透明性26.加密技术不能实现：（D ）A.数据信息的完整性B.基于密码技术的⾝份认证C.机密⽂件加密D.基于IP头信息的包过滤27.所谓加密是指将⼀个信息经过（）及加密函数转换，变成⽆意义的密⽂，⽽接受⽅则将此密⽂经过解密函数、（ A ）还原成明⽂。

第5章1判断题1-1 TCP/IP是ARPAnet中最早使用的通信协议。

〔×〕1-2 TCP/IP最早应用在ARPAnet中。

〔√〕1-3 由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进展路由传输，所以TCP是面向字节流的可靠的传输方式。

〔√〕1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。

〔×〕1-5 ARP欺骗只会影响计算机，而不会影响交换机和路由器等设备。

〔×〕1-6 DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS的IP地址。

〔×〕1-7 TCP和UDP一样都是面向字节流的数据传输方式。

〔×〕1-8 在使用DNS的网络中，只能使用域名来访问网络，而不能使用IP地址。

〔×〕1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录，将域名指向错误的IP地址。

〔×〕1-10 在DNSSEC系统中，只要在DNS服务器之间进展安全认证，而不需要在DNS客户端进展安全认证。

〔×〕2 填空题2-1 在网络接口层，将添加了网络首部的协议数据单元称网络组分组或数据帧。

2-2 用户在通过ADSL拨号方式上网时，IP地址与相关参数是DHCP服务器分配的。

2-3 TCP SYN泛洪攻击属于一种典型的DOS攻击。

2-4 DNS同时调用了TCP和UDP的53端口，其中 UTP 53 端口用于DNS客户端与DNS服务器端的通信，而 TCP 53 端口用于DNS区域之间的数据复制。

3 选择题3-1 下面关于IP协议的描述，不正确的答案是〔 B 〕A. 提供一种“尽力而为〞的服务B. 是一种面向连接的可靠的服务C. 是TCP/IP体系网络层唯一的一个协议D. 由于IP协议的PDU称为分组，所以IP网络也称为分组网络3-2 下面关于ARP工作原理的描述，不正确的答案是〔 C 〕A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C. ARP请求报文可以跨网段传输D. ARPA是通过AMC查询对应的IP地址3-3 ARP欺骗的实质是〔 A 〕A. 提供虚拟的MAC与IP地址的组合B. 让其他计算机知道自己的存在C. 窃取用户在网络中传输的数据D. 扰乱网络的正常运行3-4 在Windows操作系统中，对网关IP和MAC地址进展绑定的操作为〔 C 〕A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ffB. ARP –d 192.168.0.1 00-0a-03-aa-5d-ffC. ARP –s 192.168.0.1 00-0a-03-aa-5d-ffD. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff3-5 无法提供DHCP服务的设备可能是〔 C 〕A. 无线路由器B. 交换机C. 集线器D. 运行Windows 2008操作系统的计算机3-6 DHCP Snooping的功能是〔 B 〕A. 防止ARP欺骗B. 防止DHCP欺骗C. 进展端口与MAC地址的绑定D. 提供基于端口的用户认证3-7 TCP SYN泛洪攻击的原理是利用了〔 A 〕A. TCP三次握手过程B. TCP面向流的工作机制C. TCP数据传输中的窗口技术D. TCP连接终止时的FIN报文3-8 在Windows操作系统中，如果要显示当前TCP和UDP的详细通信情况，可以运行〔 D 〕A. ARP –aB. ipconfig/allC. netstat –nabD. ne -ab3-9 DNS的功能是〔 B 〕A. 建立应用进程与端口之间的对应关系B. 建立IP地址与域名之间的对应关系C. 建立IP地址与MAC地址之间的对应关系D. 建立设备端口与MAC地址之间的对应关系3-10 当用户通过域名访问某一合法时，打开的却是一个不健康的，发生该现象的原因可能是〔 D 〕A. ARP欺骗B. DHCP欺骗C. TCP SYN攻击D. DNS缓存中毒3-11 DNSSEC中并未采用〔 C 〕A.数字签名技术B. 公钥加密技术C. 对称加密技术D. 报文摘要技术第6章1判断题1-1 计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。

第一章网络安全与管理
1.外部环境安全、网络连接安全、操作系统安全、应用系统安全、
管理制度安全、人为因素影响。

2.配置管理、故障管理、性能管理、安全管理、记账管理。

3.为满足用户解决网络性能下降和改善网络瓶颈的需要，根据用
户网络应用的实际情况，为用户设计并实施检测方案，从不同
的角度做出分析，最终定位问题和故障点，并提供资源优化和
系统规划的建议。

4.SNMP的网络管理模型由三个关键元素组成：被管理的设备（网
元）、代理（agent）、代理（agent）。

5.略
6.①控制进出网络的信息流向和信息包；②提供使用和流量的
日志和审计；③隐藏内部IP地址及网络结构的细节；④提供
VPN功能。

否
7.网络故障诊断排除的过程一般是：重现故障，分析故障现象，定位故障范围，隔离故障和排除故障。

8.
“Ping”不通服务器，可能是以下几种情况：IP地址不在同一网段或子网掩码不同；物理链路不正常。

对物理链路问题，需要检查网卡与网线的接触问题、网线与交换机的接触问题、交换机与服务器的连接问题。

《网络安全与管理》陈红松编著课后习题解答1、网络安全与管理的定义是什么从而确保网络数据的可用性、完整性和保密性。

网络管理：就是指监督网络安全：通过采用各种技术和管理措施，使网络系统正常运行，组织和控制网络通信服务，以及信息处理所必须的各种活动的总称。

3、网络安全与管理有哪些特点①网络安全问题的必然性②相对性③动态性④广泛性⑤黑盒性1、OSI开放互联环境包括哪些安全服务和安全机制5类安全服务：鉴别、访问控制、数据机密性、数据完整性、抗否认性；8种特定的安全机制：加密、数字签名、访问控制、数据完整性、鉴别交换、通行业务填充、路由选择控制及公证；5种普遍性安全机制：可行功能度、安全标记、事件检测、安全审计跟踪、安全恢复。

1、网络攻击有哪些分类方法①矩阵分类法②基于攻击手段的分类③基于攻击过程的分类④基于目的的分类⑤基于多维属性的分类法3、网络风险的评估方法有哪些性分析方法⑥信息资产风险计算模型①威胁源的识别②脆弱性的识别③渗透测试④定量分析方法⑤定4 、简述网络安全风险管理过程①建立环境②鉴定风险③分析风险④评价风险⑤处理风险⑥监控和评审2、简述DES算法及RSA算法的加密过程DES算法：①输入64比特的明文，经过初始矩阵ip置换②在56比特的输入密钥控制下，进行16轮相同的迭代加密处理过程，即在16个48比特子密钥控制下进行16轮乘积变换③通过简单的换位和逆初始置换，得到64比特的输出密文。

RSA算法：①随机选择两个秘密的大素数p与q，且计算n=p*q②计算n的欧拉函数Φ(n）数值Φ(n）=（p-1)*（q-1）③随机选择一个大的正整数e，满足1<e> <φ(n）且gcd（φ(n），e）=1④根据e和φ(n），计算值d，d是e关于模φ（n）的乘法逆元，即d*e=1modφ(n）。

></φ(n）且gcd（φ(n），e）=1④根据e和φ(n），计算值d，d是e关于模φ（n）的乘法逆元，即d*e=1modφ(n）。

网络安全与管理习题答案习题 1一,简答题1.网络安全的目标主要表现在哪些方面?答:网络安全的目标主要表现在系统的可靠性,可用性,保密性,完整性,不可抵赖性和可控性等方面. (1)可靠性. 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性.可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标.可靠性用于保证在人为或者随机性破坏下系统的安全程度. (2)可用性.可用性是网络信息可被授权实体访问并按需求使用的特性.可用性是网络信息系统面向用户的安全性能.可用性应满足身份识别与确认,访问控制,业务流控制,路由选择控制,审计跟踪等要求. (3)保密性. 保密性是网络信息不被泄露给非授权的用户, 实体或过程, 或供其利用的特性. 即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性.保密性主要通过信息加密,身份认证,访问控制,安全通信协议等技术实现,它是在可靠性和可用性基础之上,保障网络信息安全的重要手段. (4)完整性.完整性是网络信息未经授权不能进行改变的特性.即网络信息在存储或传输过程中保持不被偶然或蓄意地删除,修改,伪造,乱序,重放,插入等破坏和丢失的特性.完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输. (5)不可抵赖性.不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性.即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺.利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息. (6)可控性.可控性是对网络信息的传播及内容具有控制能力的特性. 安全模型的主要方面.2.简述 PDRR 安全模型的主要方面.答:PDRR 是美国国防部提出的常见安全模型.它概括了网络安全的整个环节,即保护(Protect) ,检测(Detect) ,响应(React) ,恢复(Restore) .这 4 个部分构成了一个动态的信息安全周期. (1)防护.防护是 PDRR 模型的最重要的部分.防护是预先阻止攻击可以发生的条件产生, 让攻击者无法顺利地入侵,防护可以减少大多数的入侵事件.它包括缺陷扫描,访问控制及防火墙,数据加密,鉴别等. (2)检测.检测是 PDRR 模型的第二个环节.通常采用入侵检测系统(IDS)来检测系统漏洞和缺陷,增加系统的安全性能,从而消除攻击和入侵的条件.检测根据入侵事件的特征进行. (3)响应.响应是 PDRR 模型中的第三个环节.响应就是已知一个入侵事件发生之后,进行的处理过程.通过入侵事件的报警进行响应通告,从而采取一定的措施来实现安全系统的补救过程. (4)恢复.恢复是 PDRR 模型中的最后一个环节.恢复指的是事件发生后,进行初始化恢复的过程.通常用户通过系统的备份和还原来进行恢复,然后安全系统对应的补丁程序,实现安全漏洞的修复等. 安全模型的主要方面.3.简述 PPDR 安全模型的主要方面.答:PPDR 是美国国际互联网安全系统公司提出的可适应网络安全模型.它包括策略 (Policy) ,保护(Protection) ,检测(Detection) ,响应(Response)4 个部分. (1)策略.PPDR 安全模型的核心是安全策略,所有的防护,检测,响应都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段.策略体系的建立包括安全策略的制订, 评估,执行等. (2)保护.保护就是采用一切手段保护信息系统的保密性,完整性,可用性,可控性和不可否认性.应该依据不同等级的系统安全要求来完善系统的安全功能,安全机制.保护通常采用身份认证,防火墙,客户端软件,加密等传统的静态的安全技术来实现.(3)检测.检测是 PPDR 模型中非常重要的环节,检测是进行动态响应和动态保护的依据, 同时强制网络落实安全策略,检测设备不间断地检测,监控网络和系统,及时发现网络中新的威胁和存在的弱点,通过循环的反馈来及时做出有效的响应.网络的安全风险是实时存在的, 检测的对象主要针对系统自身的脆弱性及外部威胁. (4)响应.响应在 PPDR 安全系统中占有最重要的位置,它是解决潜在安全问题最有效的方法.响应指的是在系统检测到安全漏洞后做出的处理方法. 安全标准的主要内容.4.简述 TCSEC 安全标准的主要内容.答:美国国防部的可信计算机系统评价准则是计算机信息安全评估的第一个正式标准,具有划时代的意义.该准则于 1970 年由美国国防科学委员会提出,并于 1985 年 12 月由美国国防部公布.TCSEC 将安全分为 4 个方面:安全政策,可说明性,安全保障和文档.该标准将以上 4 个方面分为7 个安全级别,按安全程度从最低到最高依次是D,C1,C2,B1,B2,B3,A1. (1)D 级.D 级是最低的安全级别,拥有这个级别的操作系统是完全不可信任的.由于系统对用户没有任何访问限制,用户不需登记或使用密码即可登录,所以硬件和操作系统都容易受到损害.属于这个级别的操作系统有 DOS,Windows 3.x 等. (2)C 级.C1 是C 类的一个安全子级.C1 又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在 UNIX 系统上的安全级别.该级别的系统对硬件有某种程度的保护,如硬件带锁装置和需要钥匙才能使用计算机等,用户必须通过登录认证方可使用系统,另外,C1 系统允许系统管理员为一些程序或数据设立访问许可权限.C2 级比 C1 级增加了几个特性——引进了受控访问环境,进一步限制用户执行某些指令或访问某些文件;引进了系统审核,跟踪所有的安全事件,如是否成功登录,系统管理员修改用户权限或密码等. 能够达到 C2 级别的常见操作系统有 UNIX 系统, Novell 3.X 或者更高版本, Windows NT, Windows 2000 和 Windows 2003 等. (3)B 级.B 级中有三个级别,B1 级即标志安全保护(Labeled Security Protection) ,它支持多级安全,对网络,应用程序和工作站等实施不同的安全策略.这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统. B2 级即结构保护级(Structured Protection),它要求计算机系统中所有的对象都要加上标签, 而且给设备(如工作站,终端和磁盘驱动器)分配单个或者多个安全级别.如用户可以访问某公司的工作站,但不允许访问含有员工工资信息的磁盘驱动器. B3 级即安全域级别(Security Domain),该级别也要求用户通过一条可信任途径连接到系统上. 同时,要求必须采用硬件来保护系统的数据存储区. (4)A 级.A级即验证设计级别(Verified Design) ,是当前橙皮书的最高级别,该级别包含了较低级别的所有的安全特性,还附加了一个严格的设计,控制和验证过程.设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析.5.简述我国网络安全安全标准的主要内容.答:我国的安全标准将信息系统安全分为 5 个等级,分别是:自主保护级,系统审计保护级,安全标记保护级,结构化保护级和访问验证保护级.主要的安全考核指标有身份认证,自主访问控制,数据完整性,审计,隐蔽信道分析,客体重用,强制访问控制,安全标记,可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求. (1)用户自主保护级.本级的安全保护机制可以使用户具备自主安全保护的能力.它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息, 避免其他用户对数据的非法读写与破坏. (2)系统审计保护级.与用户自主保护级相比,本级的安全保护机制实施了更细的自主访问控制,它通过登录规程,审计安全性相关事件和隔离资源,使用户对自己的行为负责. (3)安全标记保护级.本级的安全保护机制具有系统审计保护级的所有功能.此外,还需提供有关安全策略模型,数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误. (4)结构化保护级.本级的安全保护机制建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体.本级的安全保护机制必须结构化为关键保护元素和非关键保护元素,其中,关键部分直接控制访问者对访问对象(主体对客体)的存取.另外,本级具有相当的抗渗透能力. (5)访问验证保护级.本级的安全保护机制具备结构化保护级的全部功能,它特别增设了访问验证功能,负责仲裁主体对客体的全部访问活动.在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度.另外,本级具有非常强的抗渗透能力.习题 21.IEEE 802 委员会提出的局域网体系结构是什么?答:IEEE 802 委员会提出的局域网体系结构包括物理层和数据链路层.(1) 物理层.物理层用来建立物理连接是必须的.物理层的主要功能有:信号的编码与译码,进行同步用的前同步码的产生与去除,比特的传输与接收.物理层也要实现电气,机械, 功能和规程四大特性的匹配.物理层提供的发送和接收信号的能力包括对宽带的频带分配和对基带的信号调制. (2) 数据链路层.数据链路层把数据转换成帧来传输,并实现帧的顺序控制,差错控制及流量控制等功能,使不可靠的链路变成可靠的链路,也是必要的.数据链路层分为 MAC 子层和 LLC 子层. MAC 子层的主要功能为将上层交下来的数据封装成帧进行发送,接收时进行相反的过程: 首先将帧拆卸,然后实现和维护 MAC 协议,接着进行比特差错控制,最后寻址.MAC 子层支持数据链路功能,并为 LLC 子层提供服务. LLC 子层向高层提供一个或多个逻辑接口(具有帧发和帧收功能) .LLC 子层的主要功能是建立和释放数据链路层的逻辑连接,提供与高层的接口,差错控制,给帧加上序号.局域网对 LLC 子层是透明的.2.常见的三种备份策略是什么?答:(1)完全备份.完全备份(Full Backup)指的是每次对所有系统数据备份.由于每次是对系统进行完全备份,在备份数据中有大量内容是重复的,这些重复数据占用了大量的磁盘空间, 并且需要备份的数据量相当大,备份所需时间也就较长.完全备份的优点是,当发生数据丢失的灾难时,只要用备份盘就可以恢复丢失的数据. (2)增量备份.增量备份(Incremental Backup)指的是将系统的备份点进行设置,当下一次进行系统备份的时候只存储系统里面增加的信息点.该备份的优点是没有重复的备份数据,节省磁盘空间,缩短备份时间.缺点是在发生灾难时,恢复数据比较麻烦.由于各个备份点的相互关系像链子一样,所以任何一个出现问题就可能导致系统恢复不能正常进行. (3)差分备份.差分备份(Differential Backup)指的是先进行一次系统完全备份,以后数据的备份都是选择和当前系统不同的部分,将不同的信息点记录下来.恢复的时候,只要使用系统全备份的磁盘与发生灾难前一天的备份磁盘,就可以将系统完全恢复.差分备份策略在避免了以上两种策略的缺陷的同时,又具有了它们的所有优点.首先,它无须每天都对系统做完全备份,因此备份所需时间短,节省磁盘空间;其次,灾难恢复比较方便. 3.常见的三种存储和归档技术分别是什么?答:常见的三种存储和归档技术分别是网络附加存储,直连式存储和存储网络三种方式. (1)直连方式存储是最先被采用的网络存储系统.在DAS 存储体系结构中,为避免出现单点错误,通常采用多个服务器共享一个存储系统. (2)网络附加存储是一种专业的网络文件存储及文件备份解决方案.它是基于局域网设计, 按照 TCP/IP 协议进行通信,以文件输入/输出方式进行数据传输.NAS 系统包括处理器,文件服务管理模块和多个用于数据存储的硬盘驱动器.它可以应用在任何网络环境当中.主服务器和客户端可以非常方便地在 NAS 上存取任意格式的文件,包括 SMB 格式,NFS 格式和 CIFS 格式等. (3)存储区域网络是一种通过光纤集线器,光纤路由器,光纤交换机等连接设备将磁盘阵列等存储设备与相关服务器连接起来的高速专用子网.SAN 提供了一种与现有LAN 连接的简易方法,允许企业独立地增加它们的存储容量,并使网络性能不至于受到数据访问的影响,SAN 是目前人们公认的最具有发展潜力的存储技术方案.4.什么是 VLAN?它有什么特点?答:虚拟局域网即 VLAN,它是一种将局域网设备从逻辑上划分网段的技术.VLAN 在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段,不同网络的端到端的逻辑网络. 一个 VLAN 组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中. VLAN 从逻辑上把实际网络划分成不同的广播域, VLAN 从而有效地控制广播风暴的发生, 提高了网络的安全性, 有效地控制了网络的广播范围. 内的各个工作站不限制地理范围,并且可以工作在不同的物理网段.借助 VLAN 技术,能将不同地点,不同网络,不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地 LAN 一样方便灵活.习题 3一,简答题1.简述 IP 安全体系结构.答:IPSec 已成为 IP 安全体系结构的标准.完整的 IPSec 安全体系结构由体系结构,封装安全有效载荷(ESP) ,鉴别首部,加密算法,鉴别算法,密钥管理,解释域和策略组成. (1)体系结构:覆盖了定义 IP 安全技术的一般性概念,安全需求,定义和机制. (2)封装安全有效载荷(ESP) :覆盖了使用 ESP 进行分组加密和可选的鉴别有关分组的格式和一般问题. (3)鉴别首部:覆盖了使用 All 进行分组鉴别的分组的格式和一般问题. (4)加密算法:一组文档描述了怎样将不同的加密算法用于 ESP.(5)鉴别算法:一组文档描述了怎样将不同的鉴别算法用于 AH 和 ESP 可选的鉴别选项. (6)密钥管理:描述密钥管理机制的文档. (7)解释域:包含了其他文档需要的为了彼此间相互联系的一些值. (8)策略:决定两个实体之间能否通信,以及如何进行通信.2.简述 IPSec 协议的工作原理.简述答:IPSec(Internet 协议安全)是一个工业标准网络安全协议,为IP 网络通信提供透明的安全服务, 保护 TCP/IP 通信免遭窃听和篡改, 可以有效抵御网络攻击, 同时保持易用性. IPSec 两个基本目标:保护 IP 数据包安全;为抵御网络攻击提供防护措施.为了达到上述目标 IPSec 提供了两种安全机制:认证和加密.IPSec 协议组包含认证头(AH)协议,封装安全有效载荷 (ESP)协议和 Internet 密钥交换(IKE)协议.其中 AH 协议定义了认证的应用方法,提供数据源认证,完整性和反重播保证;ESP 协议定义了加密和可选认证的应用方法,提供可靠性保证.3.简述 SSL 协议的工作过程.答:SSL 协议的工作过程如下: (1)客户端向服务器提出请求,要求建立安全通信连接. (2)客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度. (3)服务器将其服务器证书发送给客户端.该证书包含服务器的公钥,并用 CA 的私钥加密. (4)客户端使用 CA 的公钥对服务器证书进行解密,获得服务器公钥.客户端产生用户创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器. (5)服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其使用服务器公钥加密,再发送给客户端.这样服务器和客户端上方都拥有了会话密钥. (6)服务器和客户端使用会话密钥来加密和解密传输的数据.它们之间德安数据传输使用的是对称加密.4.简述 SET 协议的安全体系结构.答:SET 协议的安全体系由支付系统参与各方组成了系统逻辑结构.参与方主要有: (1)持卡人,即消费者.电子商务环境中,消费者通过 web 浏览器或客户端软件购物, 与商家交流,通过发卡机构颁发的付款卡进行结算. (2)商家:提供在线商店或商品光盘给消费者. (3)发卡机构:它是一金融机构,为持卡人开帐户,并且发放支付卡. (4)银行:它为商家建立帐户,并且处理支付卡的认证和支付事宜. (5)支付网关:是由受款银行或指定的第三方操纵操作的设备,它将 Internet 上传输的数据转换为金融机构内部数据,并处理商家的支付信息,同时也包括来自消费者的支付指令.习题 4一,简答题1.防火墙的功能是什么?答:防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件.是一种允许或阻止业务来往的网络通信安全机制,提供可控的过滤网络通信,只允许授权的通信. 目的是保护网络不被他人侵扰.通过使用防火墙可以实现以下功能. (1)隐藏内部网络. (2) 控制内网络对外部网络的访问. (3)控制外部网络用户对内部网络的访问. (4)监视网络安全, (6)对内部用户的 Internet 使用进行并提供安全日志并预警. (5)缓解 IP 地址空间短缺问题. 审计和记录. (7)引出 DMZ 区域,可设置各种服务器.除了上面的功能,现在的很多防火墙还具备一些流量控制和抵御 DoS 攻击的功能,但是这些功能不属于普遍的防火墙功能.2.包过滤防火墙和代理防火墙的工作原理是什么?答:包过滤防火墙是通过数据包的包头信息和管理员设定的规则表比较后,来判断如何处理当前的数据包的.其工作过程如下: (1)数据包从外网传送到防火墙后,防火墙抢在 IP 层向 TCP 层传送前,将数据包转发给包检查模块进行处理. (2)包检查模块首先将包头信息与第一条规则进行比较,如果与第一条规则匹配,则对它进行审核判断是否转发该数据包,如果是转发,则将数据包转发给 TCP 层处理,否则就将该报丢弃.(3)如果包头信息与第一条规则不匹配,则与第二条规则比较.接下来的步骤与上同.直到所有规则都比较完毕.要是都不匹配,则丢弃该数据包. 代理客户端的用户与代理服务器交谈而不是面对远在因特网上的"真正的"服务器.代理服务器评价来自客户的请求,并且决定认可哪一个或否认哪一个.如果一个请求被认可,代理服务器代表客户接触真正的服务器,并且转发从代理客户到真正的服务器的请求,并将服务器的相应传送回代理客户.3.简述软件防火墙和硬件防火墙的优缺点.答:防火墙可以是硬件防火墙,也可以是软件防火墙.硬件防火墙安装简单,性能高,可以避免操作系统的安全性漏洞.高带宽,高吞吐量,真正线速防火墙.安全与速度同时兼顾. 没有用户限制.性价比高.管理简单,快捷. 软件防火墙运行在通用操作系统上,性能依靠于计算机 CPU,内存等.基于通用操作系统, 对底层操作系统的安全依赖性很高.由于操作系统平台的限制,极易造成网络带宽瓶颈.但可以满足低带宽低流量环境下的安全需要,高速环境下容易造成系统瓶颈.有用户限制.软件防火墙的优点在于:件防火墙有着硬件防火墙少有的扩充性和易操控性. 因此,对于大型网络,网络流量大,与外部联系较多,且内部数据比较重要,就要求由高性能硬件防火墙.对于中小型网络,其网络流量不是很大,对管理需要精简管理费用,这时就可以选择软件防火墙产品.4.简述如何选择一个合适的防火墙.答:一个好的防火墙应该具备如下的特点: (1)自身的安全性. (2)系统的稳定性. (3) 是否高效. (4)是否可靠. (5)是否功能灵活,强大. (6)是否配置方便. (7)是否可以抵抗拒绝服务攻击. (8)是否可扩展,可升级等等习题 5一,简答题1.简述密码体制的分类方法.答:按密钥使用的数量不同,对密码体制可以分为对称密码(又称为单钥密码)和公钥密码(又称为非对称密码) .对于对称密钥密码而言,按照针对明文处理方式的不同,又可以分为流密码和分组密码.2.简述公钥密码体制的密钥分配机制.答:常用的公钥分配方法有以下几种: (1)公开发布.用户将自己的公钥发给所有其他用户或向某一团体广播.这种方法简单但有一个非常大的缺陷,别人能容易地伪造这种公开的发布. (2)公钥动态目录表.指建立一个公用的公钥动态目录表,表的建立和维护以及公钥的分布由某个公钥管理机构承担,每个用户都可靠地知道管理机构的公钥,由于每一用户要想与他人通信都要求助于公钥管理机构,因而公钥管理机构有可能成为系统的瓶颈,而且公钥目录表也容易被窜扰.分配公钥的一种安全有效的方法是采用公钥证书,用户通过公钥证书相互之间交换自己的公钥而无需与公钥管理机构联系. (3) 公钥证书. 公钥证书内证书管理机构 CA 为用户建立, 其中的数据项有该用户的公钥, 用户的身份和时戳等.所有的数据经 CA 用自己的私钱签字后就形成证书.证书中可能还包括一些辅助信息,如公钥使用期限,公钥序列号或识别号,采用的公钥算法,使用者的住址或网址等.习题 6一,简答题1.什么是入侵检测系统?一般网络 IDS 有哪几个组成部分?答:入侵检测系统(Intrusion Detection System,IDS)指的是任何有能力检测系统或网络状态改变的系统或系统的集合.一般 IDS 是由检测引擎(又称为 sensor) ,监视和存储主机,分析器或控制站三部分组成.2.简述主机入侵检测系统的结构.答:主机型入侵检测系统一般由审计数据源,审计记录数据库,审计数据分析器组成.审计数据源即是目标系统中的审计数据如日志数据等,审计记录数据库是正常的系统数据记录如文件属性和进程状态等,审计数据分析器是根据审计数据源和审计记录数据库来检测系统是否存在被入侵的行为.3.简述网络入侵检测系统的结构.答:网络入侵检测系统包括一般的网络系统本身,检测引擎,存储警报信息的数据库系统, 入侵特征数据库,分析控制台等组成.4.简述分布式入侵检测系统的结构.答:分布式入侵检测系统一般由全局检测器及控制台系统,n 个检测器及相应的攻击特征库,n 个数据采集器等组成.5.简述 IDS 和 IPS 的区别.答:IDS 能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理.IPS 是一种主动的,积极的入侵防范,阻止系统,它部署在网络的进出口处, 当它检测到攻击企图后, 它会自动地将攻击包丢掉或采取措施将攻击源阻断.IPS 的检测功能类似于 IDS,但IPS 检测到攻击后会采取行动阻止攻击,可以说 IPS 是基于 IDS 的,。

第一章课后练习选择题1.向有限的空间输入超长的字符串是（A ）攻击手段。

A、缓冲区溢出B、网络监听C、端口扫描D、IP欺骗2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（A ）漏洞。

A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用3.不属于黑客被动攻击的是（A ）A、缓冲区溢出B、运行恶意软件C、浏览恶意代码网页D、打开病毒4. 抵御电子邮箱入侵措施中，不正确的是（D）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器5. 不属于常见的危险密码的是（D）。

A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10的综合型密码6．属于黑客入侵的常用手段的是（D）。

A、口令设置B、邮件群发C、窃取情报D、IP欺骗7．计算机网络系统的安全威胁不包括（D）。

A、黑客攻击B、网络内部的安全威胁C、病毒攻击D、自然灾害8．信息安全危害的两大源头是病毒和黑客，因为黑客是（C）。

A、计算机编程高手B、Cookies的发布者C、网络的非法入侵者D、信息垃圾的制造者9．以下不属于计算机安全措施的是（D）。

A、下载并安装系统漏洞补丁程序B、安装并定时升级正版杀毒软件C、安装软件防火墙D、不将计算机连入互联网10.为了降低风险，不建议使用的Internet服务是（B）。

（找不到）A、Web服务B、外部访问内部系统C、内部访问InternetD、FTP服务11．截至2008年6月底，中国网民数量达到（A），网民规模跃居世界第一位。

A、2.53亿B、3.35亿C、0.53亿D、1.53亿填空题1．比较常用的防范黑客的技术产品是（）、（）和安全工具包/软件。

（找不到）2．用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次，这种密码叫做（动态密码）。

3．生物特征识别技术是通过计算机，利用人体所固有的生理特征或行为特征来进行个人身份鉴定。

网络安全与管理答案网络安全与管理是指采取一系列措施保护网络系统和数据不受未经授权的访问、使用、修改和破坏的行为。

在当今数字化时代，网络安全与管理变得越来越重要，因为互联网的普及给犯罪分子提供了更多的机会来入侵和盗取个人和企业的敏感信息。

下面是我对网络安全与管理的答案：首先，网络安全与管理需要建立强大的网络防御措施。

这包括安装和升级防火墙和安全软件，确保网络系统不受恶意软件和病毒的侵害。

任何与外部网络的连接都应受到认证和授权，以防止未经授权的访问。

此外，还需要定期备份和更新数据，以保护数据不会因意外破坏或故障而丢失。

同时，网络管理员还应定期监测网络流量和事件日志，及时发现并应对潜在的安全威胁。

其次，网络安全与管理还需要进行员工培训和教育。

员工是网络安全的薄弱环节，因为他们可能会犯错误或受到钓鱼邮件等诈骗手段影响而泄露敏感信息。

因此，必须向员工提供关于网络安全的培训和教育，教授如何识别和应对潜在的网络威胁，以保护自己和公司的利益。

此外，网络安全与管理需要进行定期的安全审计和风险评估。

安全审计可以确保网络系统和措施的有效性，并找出潜在的漏洞和风险。

风险评估可以帮助企业了解其网络系统和数据所面临的威胁，并制定相应的安全措施来应对这些威胁。

这些措施可能包括加强密码策略、限制员工访问特定网站和应用程序、以及建立访问控制和身份验证系统等。

最后，网络安全与管理还需要建立紧急响应计划。

尽管我们已经采取了一系列的预防措施，但网络安全威胁仍然存在。

当发生安全事件时，必须能够迅速采取行动来限制损失并恢复被影响的系统和数据。

紧急响应计划应该明确指定责任人和行动步骤，并进行测试和演练，以确保能够在紧急情况下有效地应对网络安全威胁。

综上所述，网络安全与管理对于保护个人和企业的敏感信息和数据安全至关重要。

通过建立强大的网络防御措施、进行员工培训和教育、定期的安全审计和风险评估，以及建立紧急响应计划，可以增强网络安全的能力，并提高网络系统和数据的保护水平。

第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容？答：攻击技术主要包括以下几个方面。

（1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。

（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括以下几个方面。

（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。

（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。

（3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。

（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。

（5）网络安全协议：保证传输的数据不被截获和监听。

2. 从层次上，网络安全可以分成哪几层？每层有什么特点？答：从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。

物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。

逻辑安全需要用口令、文件许可等方法来实现。

操作系统安全，操作系统必须能区分用户，以便防止相互干扰。

操作系统不允许一个用户修改由另一个账户产生的数据。

联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。

（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。

（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

（感觉如果说是特点的话这样回答有点别扭。

）3. 为什么要研究网络安全？答：网络需要与外界联系，同时也就受到许多方面的威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。

网络安全与管理试题三及答案一、单项选择题（每题1分，共20分）1.信息或者信息系统可被合法用户访问，并按其要求运行的特性称为信息的。

A.可用性B.保密性C.完整性D.不可否认性2.计算机系统具有不同的安全等级，其中Windows NT的安全等级是。

A.B1B.C1C.C2D.D13.实体安全主要是指计算机和通信线路的安全性。

A.网络硬件设备B.软件C.操作系统D.应用系统4. 是一种自动检测远程或本地主机安全性弱点的程序。

A.杀毒程序B.扫描器程序C.防火墙D.操作系统5.向有限的空间输入超长的字符串是攻击手段。

A.缓冲区溢出B.网络监听C.端口扫描D.IP欺骗6.软件驻留在用户计算机中，侦听目标计算机的操作，并可对目标计算机进行特定操作的黑客攻击手段是。

A.缓冲区溢出B.木马C.拒绝服务D.暴力破解7.关于计算机病毒，下列说法错误的是。

A.计算机病毒是一个程序B.计算机病毒具有传染性C.计算机病毒的运行不消耗CPU资源D.病毒并不一定都具有破坏力8.宏病毒可以感染。

A.可执行文件B.引导扇区/分区表C.Word/Excel文档D.数据库文件9.以下方法中，不适用于检测计算机病毒的是。

A.特征代码法B.校验和法C.加密D.软件模拟法10.防火墙不通过它的连接。

A.不能控制B.能控制C.能过滤D.能禁止11.关于防火墙技术的描述中，错误的是。

A.可以支持网络地址转换B.可以保护脆弱的服务C.可以查、杀各种病毒D.可以增强保密性12.在Windows Server 2003系统中，活动目录的域名采用的是形式。

A.DNSB.NTFSC.HPFSD.AES13.凯撒密码是一种置换密码，对其破译的最多尝试次数是。

A.2次B.13次C.25次D.26次14. 在DES加密算法中，采用的密钥长度和被加密的分组长度分别是。

A.64位和56位B.64位和64位C.56位和56位D.56位和64位15. 在认证过程中，如果明文由A发送到B，那么对明文进行签名的密钥为。

1、网络安全的主要目标。

答：可用性：可用性指信息或信息系统可被合法用户访问，并按其要求运行。

机密性：机密性将对敏感数据的访问权限控制在那些经授权的个人，只有他们能查看数据。

完整性：完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。

不可抵赖性：防止个人否认先前已执行的动作，确保数据接收方能确信发送方的身份。

2、Sniffer的工作原理。

答：在正常情况下，一个合法的网络接口只响应两种数据帧。

帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有广播地址。

而Sniffer就是一种能将本地网卡状态设置成混杂模式的软件，当网卡处于这种混杂模式时，该网卡具有广播地址，他对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

3、什么是端口镜像。

答：端口镜像就是把交换机的一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

4、为什么要端口镜像答：交换机组建的网络是根据交换机内部MAC表进行数据转发，因此需要通过配置交换机来把一个或多个端口的数据转发到某一个端口来实现对网络的监听。

5、TCSEC有哪些等级和级别。

简述C1,C2,B1的主要安全要求。

答：TCSEC将计算机系统的安全划分4个等级7个级别。

C1、所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。

C2、比C1加强了可调用的审慎控制，在连接到网络上市，用户分别对各自的行为负责。

B1、系统对网络控制下的每个对象都进行灵敏度标记，系统使用灵敏度标记作为所有强迫访问控制的基础。

6、安全操作系统的基本特征。

答：最小特权原则。

是指应限定网络中每个主体所必需的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。

自主访问控制和强制访问控制。

自主访问控制（DAC）是一个接入控制服务，它执行基于系统实体身份和他们到系统资源的介入授权。

强制访问控制是强加给访问主体的，即系统强制主体服从访问控制政策。

网络安全课后答案一、选择题1. 网络攻击常见类型包括哪些？答：A. 计算机病毒 B. 木马程序 C. 钓鱼 D. DoS攻击 E. 漏洞利用解析：网络攻击常见类型包括计算机病毒、木马程序、钓鱼、DoS 攻击和漏洞利用等。

2. 密码安全性评估的主要指标有哪些？答：A. 密码长度 B. 密码复杂度 C. 密码复用 D. 密码加密算法 E. 密码存储方式解析：密码安全性评估的主要指标包括密码长度、密码复杂度、密码复用、密码加密算法以及密码存储方式等。

3. 网络防火墙的作用是什么？答：网络防火墙的作用是保护内部网络不受未经授权的外部访问和攻击，控制网络流量，过滤恶意流量，并提供网络安全审计和监控功能等。

4. 什么是DDoS攻击？答：DDoS攻击（分布式拒绝服务攻击）是指攻击者通过控制多个主机或服务器，同时向目标服务器发送大量请求，使目标服务器无法正常响应合法用户的请求，从而导致服务中断或不可用。

5. 什么是网络钓鱼？答：网络钓鱼是指攻击者利用伪造的网站、电子邮件或即时通讯工具等手段，冒充合法的实体，诱骗用户提供个人敏感信息（如银行账号、密码等），以达到非法获取用户信息或金钱财产的目的。

二、简答题1. 请简要解释HTTPS协议的工作原理。

答：HTTPS（Hypertext Transfer Protocol Secure）是在HTTP基础上加入SSL/TLS协议进行加密通信的协议。

工作原理如下：（1）客户端向服务器发起HTTPS请求。

（2）服务器返回签名的SSL证书。

（3）客户端验证SSL证书的合法性。

（4）客户端生成随机的对称密钥，并使用服务器的公钥进行加密，发送给服务器。

（5）服务器使用私钥解密得到对称密钥。

（6）双方使用对称密钥进行加密通信。

2. 请简要介绍一种网络攻击：SQL注入。

答：SQL注入是指攻击者通过在Web应用程序的输入字段中注入恶意的SQL语句，以执行未经授权的数据库操作。

攻击者通过构造恶意的输入来绕过应用程序的输入验证，成功注入的SQL语句会被数据库执行，导致数据泄露、数据修改或服务器被控制等安全问题。

习题1一、简答题1.网络安全的目标主要表现在哪些方面?答:网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。

(1)可靠性。

可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。

可靠性是系统安全的最基于要求之一，是所有网络信息系统的建设和运行目标。

可靠性用于保证在人为或者随机性破坏下系统的安全程度。

(2)可用性。

可用性是网络信息可被授权实体访问并按需求使用的特性。

可用性是网络信息系统面向用户的安全性能。

可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。

(3)保密性。

保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。

即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现，它是在可靠性和可用性基础之上，保障网络信息安全的重要手段。

(4)完整性。

完整性是网络信息未经授权不能进行改变的特性。

即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。

(5)不可抵赖性。

不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。

即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。

(6)可控性。

可控性是对网络信息的传播及内容具有控制能力的特性。

2．简述PDRR安全模型的主要方面。

答:PDRR是美国国防部提出的常见安全模型。

它概括了网络安全的整个环节，即保护（Protect）、检测（Detect）、响应（React）、恢复（Restore）。

这4个部分构成了一个动态的信息安全周期。

网络安全与管理试题二及答案一、单项选择题（每题1分，共20分）1.计算机网络安全的目标不包括。

A.保密性B.不可否认性C.免疫性D.完整性2.PPDR模型中的D代表的含义是。

A.检测B.响应C.关系D.安全3.计算机系统的实体安全是指保证。

A.安装的操作系统安全B.操作人员安全C.计算机系统各种设备安全D.计算机硬盘内的数据安全4. 就是要确定你的IP地址是否可以到达，运行哪种操作系统，运行哪些服务器程序，是否有后门存在。

A.对各种软件漏洞的攻击B.缓冲区溢出攻击C.IP 地址和端口扫描D.服务型攻击5.有一种称为嗅探器的软件，它是通过捕获网络上传送的数据包来收集敏感数据，这些数据可能是用户的账号和密码，或者一些机密数据等等。

A.softice Ｂ.Unicode Ｃ.W32Dasm Ｄ.Sniffer6.DDoS的中文含义是。

A.分布式拒绝服务攻击B.入侵检测系统C.扫描工具D.攻击工具7.用户每次打开Word程序编辑文档时，计算机都会把文档传送到另一台FTP服务器上，于是用户怀疑最大的可能性是Word程序中已被植入了。

A.蠕虫病毒B.特洛伊木马C.FTP匿名服务器D.陷门8.在下列4 项中，不属于计算机病毒特征的是。

A.传染性B.隐蔽性C.免疫性D.可激发性9.为了预防计算机病毒，应采取的正确措施是。

A.每天都对计算机硬盘和软件进行格式化B.不用盗版软件和来历不明的软盘C.不同任何人交流D.不玩任何计算机游戏10.下面正确的说法是。

A.防火墙可以防范一切黑客入侵B.防火墙增加杀毒功能后可以提高防火墙工作速度C. 在一个安全体系中不能同时使用两个防火墙D.防火墙可以实现网络地址翻译功能防火墙11.包过滤技术与代理服务技术相比较。

A.包过滤技术安全性较弱、但会对网络性能产生明显影响B.包过滤技术对应用和用户是绝对透明的C.代理服务技术安全性较高、但不会对网络性能产生明显影响D.代理服务技术安全性高，对应用和用户透明度也很高12.在Windows Server 2003系统中，活动目录的域名采用的是形式。

网络安全课后答案网络安全课后答案一、选择题：1. B2. C3. A4. B5. C6. A7. B8. C9. A 10. B二、判断题：1. 对2. 错3. 对4. 对5. 对6. 错7. 对8. 错9. 对10. 错三、简答题：1. 什么是网络安全？网络安全是指保护网络系统和网络数据不受非法访问、使用、泄漏、损毁和干扰，确保网络的可靠性和保密性的一系列措施和技术手段。

2. 网络攻击的类型有哪些？常见的网络攻击类型包括计算机病毒、木马、网络蠕虫、DDoS攻击、恶意软件、网络钓鱼、黑客攻击等。

3. 常见的网络安全威胁有哪些？常见的网络安全威胁包括计算机病毒、网络钓鱼、黑客攻击、数据泄露、网络诈骗等。

4. 请简述网络钓鱼的工作原理。

网络钓鱼是指攻击者通过伪造合法靠谱的网站或信息，诱使用户提供个人敏感信息或进行非法操作的一种网络攻击手段。

攻击者会通过仿冒银行、电商平台等网站的方式，诱骗用户点击钓鱼网站链接，然后在页面中伪造输入框等形式来获取用户的账号密码等敏感信息。

5. 网络安全防护措施有哪些？常见的网络安全防护措施包括使用防火墙、安装杀毒软件、定期备份数据、定期更新系统和应用程序、使用复杂密码、进行网络安全培训等。

四、论述题：网络安全在现代社会中越来越重要，一旦网络系统受到攻击，可能导致重大的经济和社会损失。

因此，需要采取一系列措施来保护网络安全。

首先，企业和个人需要定期更新系统和应用程序，及时修补漏洞。

更新操作系统和应用程序可以修复已知的漏洞，从而避免被攻击者利用。

同时，还需要定期进行系统和应用程序的安全扫描，及时发现并修复潜在的安全风险。

其次，使用强密码也是保护网络安全的重要手段。

强密码应该是由字母、数字和特殊字符组成的组合，长度不少于8位。

此外，还应该避免使用常见的密码，如生日、手机号等容易被猜测的密码。

另外，用户还需要进行网络安全培训，提高安全意识。

网络钓鱼等社会工程学攻击往往利用用户的不知情和轻信心理，通过伪装成合法的信息和网站来骗取用户的敏感信息。

第一章课后练习选择题1.向有限的空间输入超长的字符串是（A ）攻击手段。

A、缓冲区溢出B、网络监听C、端口扫描D、IP欺骗2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（A ）漏洞。

A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用3.不属于黑客被动攻击的是（A ）A、缓冲区溢出B、运行恶意软件C、浏览恶意代码网页D、打开病毒4. 抵御电子邮箱入侵措施中，不正确的是（D）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器5. 不属于常见的危险密码的是（D）。

A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10的综合型密码6．属于黑客入侵的常用手段的是（D）。

A、口令设置B、邮件群发C、窃取情报D、IP欺骗7．计算机网络系统的安全威胁不包括（D）。

A、黑客攻击B、网络内部的安全威胁C、病毒攻击D、自然灾害8．信息安全危害的两大源头是病毒和黑客，因为黑客是（C）。

A、计算机编程高手B、Cookies的发布者C、网络的非法入侵者D、信息垃圾的制造者9．以下不属于计算机安全措施的是（D）。

A、下载并安装系统漏洞补丁程序B、安装并定时升级正版杀毒软件C、安装软件防火墙D、不将计算机连入互联网10.为了降低风险，不建议使用的Internet服务是（B）。

（找不到）A、Web服务B、外部访问内部系统C、内部访问InternetD、FTP服务11．截至2008年6月底，中国网民数量达到（A），网民规模跃居世界第一位。

A、2.53亿B、3.35亿C、0.53亿D、1.53亿填空题1．比较常用的防范黑客的技术产品是（）、（）和安全工具包/软件。

（找不到）2．用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次，这种密码叫做（动态密码）。

3．生物特征识别技术是通过计算机，利用人体所固有的生理特征或行为特征来进行个人身份鉴定。

网络安全管理员练习题+答案一、单选题（共100题，每题1分，共100分）1、下列哪个命令是将用户密码的最大天数设为30天？（）A、chage -M 30 testuserB、chage -W 30 testuserC、chage -d 30 testuserD、chage -E 30 testuser正确答案：A2、下面关于二层以太网交换机的描述，说法不正确的是（）。

A、二层以太网交换机工作在数据链路层B、能够学习 MAC 地址C、按照以太网帧二层头部信息进行转发D、需要对所转发的报文三层头部做一定的修改，然后再转发正确答案：D3、在OSI参考模型中，上层协议实体与下层协议实体之间的逻辑接口叫做服务访问点（spa）.在Internet中，网络层的服务访问点是（）。

A、MAC地址B、LLC地址C、IP地址D、端口号正确答案：D4、根据《中华人民共和国网络安全法》的规定，国家实行（）制度A、区域保护B、合作保护C、网络安全等级D、保护分类保护正确答案：C5、以太网交换机端口A配置成10/100M自协商工作状态，与10/100M自协商网卡连接，自协商过程结束后端口A的工作状态：（）A、10M半双工B、10M全双工C、100M半双工D、100M全双工正确答案：D6、根据我国《电子签名法》的规定，数据电文是以电子、光学、磁或者类似手段（）的信息。

A、生成、发送、接收、储存B、生成、发送C、生成、接收、储存D、生产、接收正确答案：A7、在OSI七个层次的基础上，将安全体系划分为四个级别，以下哪一个不属于四个级别：（）A、链路级安全B、网络级安全C、应用级安全D、系统级安全正确答案：A8、“公开密钥密码体制”的含义是（）。

A、将所有密钥公开B、将私有密钥公开，公开密钥保密C、将公开密钥公开，私有密钥保密D、两个密钥相同正确答案：C9、关键基础信息设施网络设备和网络安全设备应按规定选用（）中的相关设备。

A、《电力监控系统安全防护规定》B、《网络关键设备和网络安全专用产品目录》C、《国家密码管理局批准使用》D、《国家密码管理局准予销售》正确答案：B10、网络安全风险划分为( )。