第13章 计算机网络安全

H3C网络安全技术与网络部署目次摘要 .................................................................................................................. 错误!未定义书签。

目次 . (1)1 绪论 (3)1.1 研究意义和背景 (3)1.2 目前研究现状 (3)1.2.1 局域网内部安全 (4)1.2.2 远程接入和边界安全 (5)1.2.4 路由安全 (6)1.3 研究内容和拟解决的问题 (7)1.4 结语 (7)2 网络安全概述 (8)2.1 网络安全的基本概念 (8)2.2 网络安全的特征 (9)2.3 网络安全策略 (9)2.3.1 网络物理安全策略 (9)2.3.2 网络访问控制策略 (10)2.3.3 网络信息加密策略 (10)2.3.4 网络安全管理策略 (10)3 局域网安全 (11)3.1 基于H3C系列交换机VLAN的应用 (11)3.2 基于VLAN的PVLAN技术的应用 (13)3.3 利用GVRP协议来管理VLAN (14)3.4 H3C交换机设备之间的端口汇聚 (14)3.5 启用端口镜像对流量进行监控 (15)3.6 构建安全的STP生成树体系 (17)3.7 多层交换体系中部署VRRP (18)3.8 IRF技术的应用 (19)4 边界网络安全 (21)4.1 NAT技术的应用 (22)4.2 ACL技术的应用 (22)4.3 VPN技术的应用 (24)4.3.1 IPsec VPN的应用 (25)4.3.2 IPsec 上的GRE隧道 (26)4.3.3 二层VPN技术L2TP的应用 (26)4.3.4 SSL VPN技术的应用 (27)4.3.5 DVPN技术的应用 (27)4.3.6 VPN技术在MPLS网络中的应用 (28)4.4 H3C SecPath系列防火墙/VPN的部署 (29)4.5 H3C的各类安全模块 (31)4.5.1 H3C SecBlade FW模块 (31)4.5.2 H3C SSL VPN模块 (32)4.5.3 H3C ASM 防病毒模块 (34)4.5.4 H3C NSM 网络监控模块 (35)4.6 H3C的IPS和UTM设备 (35)5 身份认证与访问控制 (38)5.1 AAA安全服务 (38)5.2 EAD安全解决方案 (40)5.3 802.1X身份认证 (41)5.4 设备安全 (42)5.4.1 物理安全 (43)5.4.2 登录方式和用户帐号 (43)5.4.3 SNMP协议的应用 (44)5.4.4 NTP协议的应用 (45)5.4.4 禁用不安全的服务 (45)6 路由安全 (47)6.1 静态路由协议 (47)6.1.1 利用静态路由实现负载分担 (47)6.1.2 利用静态路由实现路由备份 (47)6.2 OSPF路由协议 (48)6.2.1 OSPF身份验证 (48)6.2.2 分层路由 (48)6.2.3 可靠的扩散机制 (49)6.2.4 OSPF LSDB过载保护 (50)6.2.5 DR\BDR的选举和路由器ID的标识 (50)6.3 BGP路由协议 (50)6.3.1 BGP报文保护 (50)6.3.2 BGP对等体组Peer Group (51)6.3.3 BGP负载均衡 (51)6.3 操纵路由选择更新 (52)6.4.1 路由重分发 (52)6.4.2 静态路由和默认路由 (53)6.4.3 路由分发列表和映射表 (54)6.4.4 操纵管理距离 (54)7 网络攻击的趋势和主流的网络攻击 (55)7.1 ARP攻击 (56)7.2 DDOS攻击 (56)7.3 TCP SYN攻击 (57)7.4 口令攻击 (58)7.5 缓冲区溢出攻击 (58)7.6 蠕虫病毒 (58)7.7 Land 攻击 (59)7.8 Vlan攻击 (59)1 绪论1.1 研究意义和背景计算机网络安全已引起世界各国的关注，我国近几年才逐渐开始在高等教育中渗透计算机网络安全方面的基础知识和网络安全技术应用知识。

第一章一、选择题1. 计算机网络安全是指（C ）。

A. 网络中设备设置环境的安全B. 网络使用者的安全C. 网络中信息的安全D. 网络中财产的安全2. 数据未经授权不能进行的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，是指网络安全特性中的（B ）。

A. 保密性B. 完整性C. 可用性D. 不可否认性3. 信息不泄露给非授权用户、实体或过程，或供其利用的特性，是指网络安全特征中的（A）。

A. 保密性B. 完整性C. 可用性D. 不可否认性4. 信息安全的3个最基本原则是保密性、（B ）和可用性，即C.I.A三元组。

A. 保密性B. 完整性C. 可用性D. 不可否认性二、简答题简述信息安全在其发展过程中经历的三阶段。

答：1）通信安全阶段：早在20世纪初期，通信技术不发达，对于安全问题人们主要强调信息的保密性，对于安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单的成为通信安全。

2）信息安全阶段：20世纪80年代，半导体和集成电路技术的飞速发展中，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为保密性，完整性和可用性为目标的信息安全阶段3）信息保障阶段：20世纪90年代信息安全的焦点并不仅仅是保密性、完整性、可用性，并衍生出了诸如抗否定性，可控性、真实性。

信息安全的保障核心是对系统或数据的4个方面的要求：保护，检测，反应，恢复第二章一、选择题1.网络监听是指（B）。

A. 远程观察一个用户的电脑B. 监视网络的状态、传输的数据流C. 监视PC系统运行情况D. 监视一个网站的发展方向。

2. 拒绝服务（DOS）攻击（ A ）。

A. 用超出被攻击目标处理能力的海量数据包来消耗可用系统、带宽资源等方法的攻击B. 全称是Distributed Denial of ServiceC. 拒绝来自一个服务器所发送回应（echo）请求的指令D. 入侵控制一个服务器后远程关机3. 通过非直接技术进行攻击称为（B ）攻击方法。

计算机网络信息安全工程师技术水平证书考试大纲一、课程性质、目的和要求计算机网络信息安全工程师技术水平证书考试是一种实践性很强的教育考试，对于考生的基本要求是具有扎实的理论基础和较强的实践能力，达到计算机网络信息安全工程师的水平。

二、考核方式和考核目标1．考试形式：纸卷2．考试分值比例：计算机网络信息安全工程师技术水平证书试卷由理论考试和实践考试两部分组成。

试卷总分值为100分，其中理论题占50分，实践题占50分。

3．考试时间：150分钟。

4．考核目标：要求考生掌握网络信息安全基础理论、网络安全技术与标准、网络安全管理实践及网络信息安全的相关知识。

三、考核知识点《计算机网络信息安全理论与实践教程》第一篇网络信息安全基础理论第1章网络信息安全概论第2章网络攻击原理与常用方法第3章网络安全体系第4章网络安全密码学基本理论第二篇网络安全技术与标准第5章物理与环境安全技术第6章认证技术的原理与应用第7章访问控制技术的原理与应用第8章防火墙技术的原理与应用第9章VPN技术的原理与应用第10章漏洞扫描技术的原理与应用第11章入侵检测技术的原理与应用第12章恶意代码防范技术的原理第13章网络物理隔离技术的原理与应用第14章网络安全新技术第15章网络安全技术相关标准第三篇网络安全管理实践第16章网络安全风险评估技术的原理与应用第17章Windows系统安全第18章UNIX/Linux操作系统安全第19章网络路由设备安全第20章应急响应技术的原理与灾害恢复计算机网络公共部分《计算机网络原理与操作系统》第一部分计算机网络原理第1章计算机网络概述1.1 计算机网络的形成及发展1.2 计算机网络的基本概念1.3 计算机网络的组成与拓扑结构1.4 计算机网络体系结构1.5 计算机网络的功能与应用第2章物理层2.1 数据通信基础2.2 数据交换技术2.3 传输介质2.4 物理层接口与协议第3章数据链路层3.1 数据链路层基础3.2 帧同步功能3.3 差错控制3.4 流量控制3.5 数据链路层协议3.6 协议描述与验证3.7 链路通信规程举例第4章网络层4.1 通信子网的操作方式和网络层提供的服务4.2 路由选择4.3 拥塞控制4.4 网络互连4.5 TCP/IP模型互联层协议第5章传输层5.1 传输服务5.2 TCP/IP体系的传输层5.3 用户数据包协议UDP5.4 传输控制协议TCP第6章会话层及其高层6.1 会话层6.2 表示层6.3 应用层第二部分网络操作系统第11章网络操作系统概述11.1 系统概述11.2 操作系统的形成和发展11.3 操作系统的基本概念第12章网络操作系统的基本功能12.1 进程管理12.2 设备管理12.3 存储管理12.4 文件系统第13章网络操作系统的服务13.1 共享资源的管理13.2 网络资源的访问控制13.3 网络操作系统的安全保护13.4 网络通信应用编程接口第14章Windows Server 2003网络操作系统14.1 Windows Server 2003操作系统简介14.2 Windows Server 2003的体系结构14.3 Windows Server 2003的内存管理14.4 Windows Server 2003的存储和文件系统服务14.5 Windows Server 2003的活动目录第15章Linux网络操作系统15.1 Linux操作系统简介15.2 Linux体系结构15.3 Linux的内存管理15.4 Linux的进程管理15.5 Linux中的文件系统五、题型及样题一、单选题互联网上的服务都是基于一种协议,WWW服务基于( )协议?A.SMIPB.HTTPC.SNMPD.TELNET二、简答题一般来讲，中国机构可以注册哪两种类型的域名？可以通过哪几种方式填写注册申请表？三、综合应用题利用ADSL数据通信网接入Internet是比较普遍的一种方式。

网络安全百度百科
网络安全是指保护计算机网络系统、数据、通信和服务的安全性，防止网络系统和信息遭到未经授权的访问、利用、修改、破坏或评估。

网络安全涵盖了网络硬件设备的安全、网络软件的安全以及网络用户、网络服务的安全。

网络安全的重要性日益突出。

随着互联网的迅速发展，人们在网络上的活动正在不断增多，相关数据的重要性和敏感性也在不断提高。

黑客、网络病毒、恶意软件、网络钓鱼等网络安全威胁正在不断出现，对网络安全的需求日益迫切。

为了确保网络安全，可以采取以下措施：
1. 安装防火墙：防火墙可以监控网络通信，并根据规则对网络通信进行过滤，防止未经授权的访问。

2. 使用有效的密码：选择强密码，包括字母、数字和特殊字符，并定期更改密码。

3. 更新操作系统和软件：及时安装系统和软件的安全更新，以修补已发现的漏洞，提高系统的安全性。

4. 使用安全的网络连接：避免使用不安全的公共Wi-Fi网络，
尤其是在进行敏感的在线活动时。

5. 避免点击可疑链接和下载不明软件：不打开可疑邮件附件，不点击不明链接，不下载来历不明的软件，以防止恶意软件的
感染。

6. 加密通信：对于重要的网络通信，可以使用加密技术，确保通信内容的机密性和完整性。

7. 建立备份机制：定期备份重要的数据和文件，防止数据意外丢失。

网络安全是每个网络用户都应关注的问题，通过采取相应的安全措施，我们可以更好地保护自己的网络安全。

第一章网络安全管理概述1计算机网络安全（Computer Network Security，简称网络安全）是指利用网络管理控制和技术措施，保证网络环境中数据的保密性、完整性、可用性和可审查性受到保护。

保证网络系统的硬件、软件及其系统中的数据资源得到完整、准确、连续运行和服务不受干扰破坏和非授权使用。

2网络安全包括两方面：网络的系统安全和信息安全3网络管理的实质是对各种网络资源进行监测、控制、协调、报告故障等。

4什么是网络管理狭义的网络管理主要指对网络设备、运行和网络通信量的管理。

现在，网络管理已经突破了原有的概念和范畴。

其目的是提供对计算机网络的规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务保密性、完整性、可用性是信息安全的基本要求。

5 ISO定义网络管理(Network Management) 是规划、监督、组织和控制计算机网络通信服务，以及信息处理所必需的各种活动。

6网络信息安全管理的任务是保证网络信息的使用安全和信息载体的运行安全7，网络安全管理涉及到策略与规程、安全缺陷和防护所需的资源、防火墙、加密问题、鉴别与授权、客户机/服务器认证系统、报文传输安全、服务与协议以及对病毒防范及攻击的保护等方面的管理8网络安全管理主要包括安全设备管理、安全策略管理、安全风险控制、安全审计等几个方面。

9信息系统的安全管理部门应根据管理原则和系统处理数据的保密性，制订相应的管理制度、采用相应的规范。

10网络安全管理的基本任务包括：1) 评估网络安全，掌握安全状况，确定安全等级；2) 根据等级要求，确定安全管理范围、职责和权限等；3) 健全完善网络中心及重要机房人员出入管理制度；4) 健全操作规程和策略；5) 建立健全系统维护制度，采用加密机制及密钥管理；6) 制订具体的应急及恢复的措施、技术和方法；7) 集中监控和管理所有安全软硬件产品；8) 集中补丁下载、分发、升级和审计；9) 加强系统监控，及时发现异常流量，并及时分析处理。

第5章1判断题1-1 TCP/IP是ARPAnet中最早使用的通信协议。

〔×〕1-2 TCP/IP最早应用在ARPAnet中。

〔√〕1-3 由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进展路由传输，所以TCP是面向字节流的可靠的传输方式。

〔√〕1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。

〔×〕1-5 ARP欺骗只会影响计算机，而不会影响交换机和路由器等设备。

〔×〕1-6 DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS的IP地址。

〔×〕1-7 TCP和UDP一样都是面向字节流的数据传输方式。

〔×〕1-8 在使用DNS的网络中，只能使用域名来访问网络，而不能使用IP地址。

〔×〕1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录，将域名指向错误的IP地址。

〔×〕1-10 在DNSSEC系统中，只要在DNS服务器之间进展安全认证，而不需要在DNS客户端进展安全认证。

〔×〕2 填空题2-1 在网络接口层，将添加了网络首部的协议数据单元称网络组分组或数据帧。

2-2 用户在通过ADSL拨号方式上网时，IP地址与相关参数是DHCP服务器分配的。

2-3 TCP SYN泛洪攻击属于一种典型的DOS攻击。

2-4 DNS同时调用了TCP和UDP的53端口，其中 UTP 53 端口用于DNS客户端与DNS服务器端的通信，而 TCP 53 端口用于DNS区域之间的数据复制。

3 选择题3-1 下面关于IP协议的描述，不正确的答案是〔 B 〕A. 提供一种“尽力而为〞的服务B. 是一种面向连接的可靠的服务C. 是TCP/IP体系网络层唯一的一个协议D. 由于IP协议的PDU称为分组，所以IP网络也称为分组网络3-2 下面关于ARP工作原理的描述，不正确的答案是〔 C 〕A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C. ARP请求报文可以跨网段传输D. ARPA是通过AMC查询对应的IP地址3-3 ARP欺骗的实质是〔 A 〕A. 提供虚拟的MAC与IP地址的组合B. 让其他计算机知道自己的存在C. 窃取用户在网络中传输的数据D. 扰乱网络的正常运行3-4 在Windows操作系统中，对网关IP和MAC地址进展绑定的操作为〔 C 〕A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ffB. ARP –d 192.168.0.1 00-0a-03-aa-5d-ffC. ARP –s 192.168.0.1 00-0a-03-aa-5d-ffD. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff3-5 无法提供DHCP服务的设备可能是〔 C 〕A. 无线路由器B. 交换机C. 集线器D. 运行Windows 2008操作系统的计算机3-6 DHCP Snooping的功能是〔 B 〕A. 防止ARP欺骗B. 防止DHCP欺骗C. 进展端口与MAC地址的绑定D. 提供基于端口的用户认证3-7 TCP SYN泛洪攻击的原理是利用了〔 A 〕A. TCP三次握手过程B. TCP面向流的工作机制C. TCP数据传输中的窗口技术D. TCP连接终止时的FIN报文3-8 在Windows操作系统中，如果要显示当前TCP和UDP的详细通信情况，可以运行〔 D 〕A. ARP –aB. ipconfig/allC. netstat –nabD. ne -ab3-9 DNS的功能是〔 B 〕A. 建立应用进程与端口之间的对应关系B. 建立IP地址与域名之间的对应关系C. 建立IP地址与MAC地址之间的对应关系D. 建立设备端口与MAC地址之间的对应关系3-10 当用户通过域名访问某一合法时，打开的却是一个不健康的，发生该现象的原因可能是〔 D 〕A. ARP欺骗B. DHCP欺骗C. TCP SYN攻击D. DNS缓存中毒3-11 DNSSEC中并未采用〔 C 〕A.数字签名技术B. 公钥加密技术C. 对称加密技术D. 报文摘要技术第6章1判断题1-1 计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。

网络安全技术大纲第1章网络脆弱性的原因1.开放性的网络环境2.协议本身的脆弱性3.操作系统的漏洞4.人为因素网络安全的定义网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统联系可靠正常地运行，网络服务不中断。

网络安全的基本要素1.保密性2.完整性3.可用性4.可控性5.不可否认性课后习题选择题1.计算机网络的安全是指网（络中信息的安全）。

2.嘻嘻风险主要是指（信息存储安全、信息传输安全、信息访问安全）。

3.以下（数据存储的唯一性）不是保证网络安全的要素。

4.信息安全就是要防止非法攻击和病毒的传播，保障电子信息的有效性，从具体的意义上来理解，需要保证以下（保密性、完整性、可用性、可控性、不可否认性）几个方面5.（信息在理解上出现的偏差）不是信息失真的原因。

6.（实体安全）是用来保证硬件和软件本身的安全的。

7.黑客搭线窃听属于信息（传输安全）风险。

8.（入网访问控制）策略是防止非法访问的第一档防线。

9.对企业网络最大的威胁是（内部员工的恶意攻击）。

10.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的，这是对（可用性的攻击）。

11.从系统整体看，“漏洞”包括（技术因素、认得因素、规划，策略和执行该过程）等几方面。

问答题网络本身存在哪些安全缺陷？1.伤害身体2.心理方面3.易惹是非4.影响学业5.安全问题6.网络内容的伤害7.社会角色及观念的改变黑客入侵攻击的一般过程1.确定攻击目标2.收集被攻击对象的有关信息3.利用适当的工具进行扫描4.建立模拟环境，进行模拟攻击5.实施攻击6.清除痕迹7.创建后门扫描器的作用1.检测主机是否在线2.扫描目标系统开放的端口3.获取目标操作系统的敏感信息4.扫描其他系统的敏感信息常用扫描器1.Nmap2.ISS3.ESM4.流光（fluxay）5.X-scan6.SSS7.LC网络监听的一个前提条件是将网卡设置为混杂模式木马的分类1.远程访问型木马2.键盘记录木马3.密码发送型木马4.破坏型木马5.代理木马6.FTP木马7.下载型木马木马的工作过程1.配置木马2.传播木马3.启动木马4.建立连接5.远程控制拒绝服务攻击的定义拒绝服务攻击从广义上讲可以指任何导致网络设备（服务器、防火请、交换机、路由器等）不能正常提供服务的攻击。

计算机网络安全试题计算机网络安全试题第一章概论1. 安全法规、安全技术和安全管理，是计算机信息系统安全保护的三大组成部分。

答案:Y 难度:A2. 计算机信息系统的基本组成是:计算机实体、信息和（）。

A（网络B（媒体C（人D（密文答案:C 难度:C3. 计算机信息系统安全包括实体安全、信息安全、运行安全和人员安全等部分。

答案:Y 难度:B4. 从系统工程的角度，要求计算机信息网络具有（）。

A（可用性、完整性、保密性B（真实性（不可抵赖性）C（可靠性、可控性D（稳定性答案:ABC 难度:B5. 计算机信息系统的安全威胁同时来自内、外两个方答案:Y 难度:A6. 计算机信息网络脆弱性引发信息社会脆弱性和安全问题。

答案:Y难度:A7. 实施计算机信息系统安全保护的措施包括:( ) 。

A(安全法规B、安全管理C(安全技术D(安全培训答案:ABC 难度:B8. 对全国公共信息网络安全监察工作是公安工作的一个重要组成部分。

答案:Y 难度:A9( 为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统的入侵检测能力、系统的事件反应能力和如果系统遭到入侵引起破坏的快速恢复能力答案:Y 难度:C10(OSI 层的安全技术来考虑安全模型( )A(物理层B(数据链路层C(网络层、传输层、会话层D(表示层、应用层答案:ABCD 难度:C11( 数据链路层可以采用(）和加密技术，由于不同的链路层协议的帧格式都有区别厂所以在加密时必须区别不同的链路层协议。

A（路由选择B（入侵检测C（数字签名D。

访问控制答案:B 难度:C12（网络中所采用的安全机制主要有:（）。

A（区域防护B（加密和隐蔽机制; 认证和身份鉴别机制; 审计;完整性保护C（权力控制和存取控制; 业务填充; 路由控制D（公证机制; 冗余和备份答案:BCD 难度:D 13（公开密钥基础设施（PKl）由以下部分组成:（）。

A（认证中心; 登记中心B（质检中心C（咨询服务D（证书持有者; 用户; 证书库答案:AD 难度:C 14（公安机关在对其他国家行政机关行使计算机信息系统安全管时，其双方的法律地位是对等的答案:N 难度:B15（人民警察在行使计算机信息系统安全监管权时是代表国家的，所以是行政主体。

第1章网络安全概论(1) 计算机网络安全是一门涉及、、、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。

答案: 计算机科学、网络技术、信息安全技术(2) 网络安全的 5 大要素和技术特征，分别是 ______、______、______、______、______。

答案: 机密性、完整性、可用性、可控性、不可否认性(3) 计算机网络安全所涉及的内容包括是、、、、等五个方面。

答案: 实体安全、运行安全、系统安全、应用安全、管理安全(4) 网络信息安全保障包括、、和四个方面。

(5) 网络安全关键技术分为、、、、、、和八大类。

(6) 网络安全技术的发展具有、、、的特点。

(7) TCSEC是可信计算系统评价准则的缩写，又称网络安全橙皮书，将安全分为、、和文档四个方面。

(8)通过对计算机网络系统进行全面、充分、有效的安全评测，能够快速查出、、。

答案:(4) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力第2章网络安全技术基础2. 填空题（1）应用层安全分解成、、的安全，利用各种协议运行和管理。

解答:（1）网络层、操作系统、数据库、TCP/IP（2）安全套层SSL协议是在网络传输过程中，提供通信双方网络信息的性和性，由和两层组成。

解答:（2）保密性、可靠性、SSL 记录协议、SSL握手协议（3）OSI/RM开放式系统互连参考模型七层协议是、、、、、、。

解答:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层（4）ISO对OSI规定了、、、、五种级别的安全服务。

解答: 对象认证、访问控制、数据保密性、数据完整性、防抵赖（5）一个VPN连接由、和三部分组成。

一个高效、成功的VPN具有、、、四个特点。

计算机网络安全期末复习资料一、单选题1、网络安全5个基本要素包括：机密性、完整性、（ B ）、可控性、可审查性。

A.可塑性B.可用性C.可选性D.可靠性2、身份鉴别威胁主要包括4个方面：口令圈套、（ C ）、算法考虑不周、编辑口令。

A.不安全服务 B.窃听 C.口令破解.D.逻辑炸弹.3、安全隔离技术经过的5个发展阶段有：完全隔离、硬件卡隔离、（ A ）、空气开关隔离、安全通道隔离。

A.数据转播隔离B.网络分段C.访问控制D.数据加密4、蜜罐可以分为牺牲型蜜罐、( B )、测量型蜜罐三种基本类型。

A.软件型B.外观型蜜罐C.综合型D.硬件型5、信息安全的三个基本要素是人、技术和（C ）。

A.协议B.设备C.管理D.软件6、网络安全的5个基本要素不包括以下（D ）。

A.机密性B.完整性C.可用性D.可复制性7、病毒属于（ C ）威胁。

A.物理B.系统漏洞C.有害程序D.身份鉴别8、TCSEC评估准则中以下安全级别最高的是（D ）级。

A.DB.C2C.B3D.A9、（ A ）型蜜罐主要是用于研究攻击的特征和发展趋势，对攻击行为进行追踪和分析，了解攻击者所使用的攻击工具和方法，帮助安全组织研究系统所面临的威胁，以便更好地抵抗这些威胁。

A.研究B.产品C.白帽D.黑帽10、数字签名能够提供身份认证、数据完整性和（ D ）等安全服务。

A.访问控制B.校验C.加密D.不可抵赖11、非法接收者在截获密文后试图从中分析出明文的过程称为（ B ）。

A.攻击B.破译C.解密D.加密12、关于DES的描述中，错误的是（ B ）。

A.采用64位的分组长度B.是由ISO设计的数据加密标准。

C.密钥长度为64位，实际使用56位D.是一个遵循Feistel密码结构的分组密码算法13、以下不属于一个保密体制或保密系统组成部分的是CA.明文、密文B.密钥C.间谍软件D.加密算法和解密算法14、下列不属于数字签名需要满足的要求的是BA.发送者事后不能否认对报文的签名B.接收者可以对发送者的报文进行修改C.接收者能够核实发送者发送的报文签名D.接收者不能伪造发送者的报文签名15、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明（ C ）。

本栏目责任编辑：代影网络通讯及安全浅谈计算机网络信息安全与防范周汝锦（福建警察学院，福建福州350000）摘要：当前社会已经步入了信息化发展的新时代，而计算机技术也随之进入一个全新的阶段，融入普通百姓的生活当中，并开始逐渐渗透入社会的每个角落，其给人们带来了巨大的快捷和便利，而且在网络环境下，高效的信息传输效率极大地满足了人们对信息的需求，但是，网络信息安全问题的出现，则会对网络系统造成巨大的负面影响。

该文阐述保障网络信息安全的重要性，接下来着重分析当前网络信息安全存在的问题，最后有针对性地给出问题解决的策略。

关键词：计算机网络信息；安全；威胁；发展中图分类号：TP393文献标识码：A文章编号：1009-3044(2021)14-0018-02开放科学（资源服务）标识码（OSID ）：1当前我国网络信息安全现状1.1信息技术的发展为信息安全管理增加了新的课题网络信息安全技术的发展，我国当前主要是应用防火墙的方式来维护网络信息的发展，由于互联网固有的虚拟性，使得互联网具有虚拟空间的自由性，人们在网络上交流信息，认为这是一种非常自由的交流方式，所以就会出现在网络上交流一些违反相关规定和法律的信息，这是不利于国家的法律建设的，这就需要一定的安全防护措施对这些信息进行初步的阻挡，防止这些信息在网络上进一步传播，还有一点就是，由于近些年来国际环境日益严峻，一些国家会采用非法的方式，利用互联网对另一国家的信息进行监控和监听，盗取另一个国家的信息安全，所以很多国家在发展互联网时就建立了互联网防火墙，用来维护互联网的安全，对于信息做出的保护，也防止其他不安全信息渗透到我国。

防火墙的建设是维护我国网络信息发展的一个重要手段，也是可以净化我国网络环境的一个有效方式，要向互联网得到健康长久的发展，就必须要利用防火墙来维护新型安全。

1.2网络信息安全的基础和手段有待提高近些年来，随着互联网在我国的发展速度逐渐加快，发展规模越来越大，我国也更加重视互联网的安全问题，因为这不仅关系到国人民的个人网络安全，甚至已经上升到国家层面，一些国家利用不正当的手段来通过互联网盗取我国安全信息，对我国做出非法图谋，对于互联网的信息安全问题，我国也做出了一系列的防护措施，但是总体来说，仍然存在着一些问题，需要我们解决，第一点，就是我国现在属于社会主义的初级阶段，科技创新能力不够强，在一些软件和核心技术的使用方面，仍然需要通过从其他国家进口的方式来完成，还有一点就是我国当前大多数人面对于网络信息安全的重视程度不够。

一、名词解释黑客（P103）木马（P163）网络后门和网络隐身（P6）恶意代码（P185）VNP（p307）防火墙（P275）入侵检测系统（P288） DDOS（p146）ICMP协议：ICMP是（Internet Control Message Protocol）Internet控制报文协议。

它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

二、问答题1.TCP和UDP的不同。

（p42）TCP---传输控制协议,提供的是面向连接、可靠的字节流服务。

当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。

TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。

开销大，传输速度慢。

UDP---用户数据报协议，是一个简单的面向数据报的运输层协议。

UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。

由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。

2.计算机病毒的特征：可执行性。

计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。

传染性。

计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。

破坏性。

所有的计算机病毒都是一种可执行程序,会降低计算机系统的工作效率,占用系统资源。

潜伏性。

计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。

隐蔽性。

病毒一般是具有很高编程技巧,短小精悍的程序。

通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现，与正常程序是不容易区别开来的。

针对性。

计算机病毒一般针对于特定的操作系统。

1、《计算机网络》（第4版）英文影印版 Andrew S. Tanenbaum著清华大学出版社简介：本书是国内外使用最为广泛的计算机网络经典教材。

全书按照网络协议模型（物理层、数据链路层、介质访问控制子层、网络层、传输层和应用层），自下而上系统地介绍了计算机网络的基本原理，并给出了大量实例。

在讲述各网络层的同时，还融合进了近年来迅速发展起来的各种网络技术，如Internet、SONET、ADSL、CDMA、WLAN和蓝牙等。

另外，针对当前计算机网络的发展现状以及计算机安全的重要性，本书用了一整间的篇幅对计算机安全进行了深入讨论。

本书的适用对象很广泛。

对于学习计算机网络课程的本科生以及研究生，本书都可以作为教材或教学参考书，每一章后面的大量练习题，可用于课程作业或者复习要点。

对于从事网络研究、网络工程以及使用和管理网络的科研和工程技术人员，本书也是一本很有价值的参考读物。

2、《计算机网络》（第4版） Andrew S. Tanenbaum著，潘爱民译清华大学出版社简介：本书是国内外使用最广泛的计算机网络经典教材。

本书为翻译版。

全书按照网络协议模型（物理层、数据链路层、介质访问控制层、网络层、传输层和应用层），自下而上系统地介绍了计算机网络的基本原理，并给出了大量实例。

在讲述各网络层的同时，还融合了近年来迅速发展起来的各种网络技术，如Internet、SONET、ADSL、CDMA、WLAN和蓝牙等。

另外，针对当前计算机网络的发展现状以及计算机安全的重要性，本书用一整章的篇幅对计算机安全进行了深入讨论。

本书的适用对象很广泛。

对于学习计算机网络课程的本科生以及研究生，本书都可以作为教材或教学参考书。

每一章后面的大量练习题，可用于课程作业或复习要点。

对于从事网络研究、网络工程以及使用和管理网络的科研和工程技术人员，本书也是一本很有价值的参考读物3、《计算机网络》（第5版）谢希仁编著电子工业出版社简介：本书自1989年首次出版以来，于1994年、1999年和2003年分别出了修订版。

第1章网络安全概论(1) 计算机网络安全是一门涉及、、、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。

答案: 计算机科学、网络技术、信息安全技术(2) 网络安全的5 大要素和技术特征，分别是 ______、______、______、______、______。

答案: 机密性、完整性、可用性、可控性、不可否认性(3) 计算机网络安全所涉及的内容包括是、、、、等五个方面。

答案: 实体安全、运行安全、系统安全、应用安全、管理安全(4) 网络信息安全保障包括、、和四个方面。

(5) 网络安全关键技术分为、、、、、、和八大类。

(6) 网络安全技术的发展具有、、、的特点。

(7) TCSEC是可信计算系统评价准则的缩写，又称网络安全橙皮书，将安全分为、、和文档四个方面。

(8)通过对计算机网络系统进行全面、充分、有效的安全评测，能够快速查出、、。

答案:(4) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力第2章网络安全技术基础2. 填空题（1）应用层安全分解成、、的安全，利用各种协议运行和管理。

解答:（1）网络层、操作系统、数据库、TCP/IP（2）安全套层SSL协议是在网络传输过程中，提供通信双方网络信息的性和性，由和两层组成。

解答:（2）保密性、可靠性、SSL 记录协议、SSL握手协议（3）OSI/RM开放式系统互连参考模型七层协议是、、、、、、。

解答:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层（4）ISO对OSI规定了、、、、五种级别的安全服务。

解答: 对象认证、访问控制、数据保密性、数据完整性、防抵赖（5）一个VPN连接由、和三部分组成。

一个高效、成功的VPN 具有、、、四个特点。