第5章_Windows操作系统的安全机制
操作系统安全Windows系统资源的安全保护
5.1 文献系统和共享资源旳安全设置
文献系统
操作系统用于明确磁盘或分区上存储文献旳 措施和数据构造,即在磁盘上组织文献旳措 施。
从系统角度来看,文献系统是对文献存储器 空间进行组织和分派,负责文献存储并对存 入旳文献进行保护和检索旳系统。
系统默认旳组和顾客旳权限 默认状况下,系统为顾客分了6个组,并给每个组赋
予不一样旳操作权限,依次为: 管理员组(Administrators):对计算机/域有不
受限制旳完全访问权; 高权限顾客组(Power Users):拥有大部分管理
权限,但也有限制; 一般顾客组(Users):顾客无法对系统进行故意
5.1.3资源共享
高级文献共享 设置帐户 假如但愿网络顾客可以通过该帐户访问系统而不必要输入密码,
也可以随时更改xp系统旳安全方略:打开“控制面板→管理工 具→当地安全方略→当地方略→安全选项”,双击“账户: 使用 空白密码旳当地账户只容许进行控制台登录”选项,点选“已停 用”项,最终确定完毕。
密钥(FEK),文献使用DESX对称加密算法进行加密。 (3)数据加密区域(DDF)产生,这个区域包括了使用顾客
旳公钥加密旳FEK,FEK使用RSA非对称加密算法进行加密。 (4)数据恢复区域(DRF)产生,产生这个区域旳目旳是为
了防止顾客在特殊状况下发生无法对加密文献进行解密旳状况, 从而设置了恢复代理这一特殊顾客,恢复代理在加密数据恢复 方略(EDRP)中定义。DRF包括使用恢复代理旳公钥加密旳 FEK。假如在EDRP列表中有多种恢复代理,则FEK必须用每个 恢复代理旳公钥进行加密。 (5)包括加密数据、DDF及所有DRF旳加密文献被写入磁盘。 (6)在第(1)步中创立旳临时文献被删除。
智慧树知到 《网络空间安全概论》章节测试答案
智慧树知到《网络空间安全概论》章节测试答案第一章1、以下哪种安全问题属于网络空间安全问题中的移动安全问题?A:平台攻击B:有害信息C:终端被攻D:密码破解答案: 终端被攻2、blob.pngA:对B:错答案: 对3、下面是防范假冒热点措施的是()A:免费WiFi上购物B:任何时候不使用WiFi联网C:不打开WiFi自动连接D:全部都是答案: 不打开WiFi自动连接4、乱扫二维码,钱不翼而飞,主要是中了()A:病毒B:木马C:僵尸网络D:蠕虫答案: 木马5、在()年,美国《保护信息系统的国家计划》首次提出“网络空间”(cyberspace)概念。
A:2008B:2005C:2001D:2004答案: 20016、2014年12 月欧洲《国家网络空间安全战略: 制定和实施的实践指南》“网络空间安全尚没有统一的定义, 与信息安全的概念存在重叠, 后者主要关注保护特定系统或组织内的信息的安全, 而网络空间安全则侧重于保护基础设施及关键信息基础设施所构成的网络" 。
A:对B:错答案: 错第二章1、民事法律关系是用于解决运营者与使用者、运营者与运营者、使用者与使用者之间的民事法律纠纷问题。
A:对B:错答案: 对2、依照计算机信息网络国际联网安全保护管理办法的相关内容,若有单位或个人故意制作、传播计算机病毒等破坏性程序的,可以由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款。
A:对B:错答案: 对3、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚。
A:对B:错答案: 错4、有关有害数据及计算机病毒防治管理办法是公安部第52号令。
A:对B:错答案: 错5、任何单位和个人不得向社会发布虚假的计算机病毒疫情。
A:对B:错答案: 对第三章1、以下说法错误的是:()A:严格按照规范操作B:设备没有明显故障问题时,管理人员和操作人员不需要定期维护、保养设备C:计算机系统应制定或者设计病毒防范程序D:要求特别保护的设备应与其他设备进行隔离答案:2、以下措施能有效物理访问控制方法的是()A:在机房和数据中心加固更多的围墙和门B:专业摄像器材来监控相关设备C:设置专门的ID卡或其他辨明身份的证件D:设置警报装置和警报系统答案:ABCD3、下面哪个选项不属于IC安全威胁()A: 赝品ICB:盗版ICC: 逆向工程D: 硬件木马答案:B4、工控设备的safety主要考虑的是随机硬件故障、系统故障等等。
信息安全概论-张雪锋-习题答案
信息安全概论-张雪锋-习题答案(共6页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--信息安全概论--课后习题参考答案主编:张雪锋出版社:人民邮电出版社第一章1、结合实际谈谈你对“信息安全是一项系统工程”的理解。
答:该题为论述题,需要结合实际的信息系统,根据其采取的安全策略和防护措施展开论述。
2、当前信息系统面临的主要安全威胁有哪些答:对于信息系统来说,安全威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。
通过对已有的信息安全事件进行研究和分析,当前信息系统面临的主要安全威胁包括:信息泄露、破坏信息的完整性、非授权访问(非法使用)、窃听、业务流分析、假冒、网络钓鱼、社会工程攻击、旁路控制、特洛伊木马、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理侵入、窃取、业务欺骗等。
3、如何认识信息安全“三分靠技术,七分靠管理”答:该题为论述题,可以从人事管理、设备管理、场地管理、存储媒介管理、软件管理、网络管理、密码和密钥管理等方面展开论述。
第二章1、古典密码技术对现代密码体制的设计有哪些借鉴答:一种好的加密法应具有混淆性和扩散性。
混淆性意味着加密法应隐藏所有的局部模式,将可能导致破解密钥的提示性信息特征进行隐藏;扩散性要求加密法将密文的不同部分进行混合,使得任何字符都不在原来的位置。
古典密码中包含有实现混淆性和扩散性的基本操作:替换和置乱,这些基本操作的实现方式对现代密码体制的设计具有很好的借鉴作用。
2、衡量密码体制安全性的基本准则有哪些答:衡量密码体制安全性的基本准则有以下几种:(1)计算安全的:如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的,那么就认为相应的密码体制是满足计算安全性的。
这意味着强力破解证明是安全的。
(2)可证明安全的:如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决,就认为相应的密码体制是满足可证明安全性的。
《操作系统安全》第三章_windows系统安全要素
3.1 Windows系統安全模型
• 影響Windows系統安全的要素有很多:安全模型,檔系 統,域和工作組,註冊表,進程和線程等等,其中 Windows系統安全模型是核心。
Windows系統安全模型
• Windows系統的安全性根植於Windows系統的核 心(Kernel)層,它為各層次提供一致的安全模型。 Windows系統安全模型是Windows系統中密不可 分的子系統,控制著Windows系統中對象的訪問(如 檔、記憶體、印表機等)。在Windows系統中,對象 實質上是指一系列資訊集合體,封裝了數據及處理過 程,使之成為一個可被廣泛引用的整體。當對象用於 網路環境時,稱之為資源;當對象在網路中共享時, 稱之為共用資源。
訪問令牌(Access Token)
• 受限令牌對於運行不可信代碼(例如電子郵件附件)很有 用。當您右鍵單擊可執行檔,選擇“運行方式”並選擇“ 保護我的電腦和數據不受未授權程式的活動影響”時, Microsoft Windows XP 就會使用受限令牌。
安全描述符(Security Descriptors)
第三章 Windows系統安全要素
Windows系統安全要素
• 一、目的要求 • 1.掌握Windows系統各種安全要素的概念,內涵和原 理。 • 2.掌握各種安全要素的管理操作及使用方法。 • 二、工具器材 • Windows Server 2003,Windows XP操作系統 • 三、學習方式建議 • 理論學習+上機操作
3.1.1 Windows系統安全模型組件
• 安全識別字 (SID,Security Identifiers) • 安全識別字標識一個用戶、組或登錄會話。每個用戶 都有一個唯一的 SID,在登錄時由操作系統檢索。當 你重新安裝系統後,也會得到一個唯一的SID。 SID 由電腦名、當前時間、當前用戶態線程的CPU耗費時 間的總和三個參數決定,以保證它的唯一性。
《操作系统安全》课程教学大纲
《操作系统安全》课程教学大纲课程名称操作系统安全课程编码131530019 课程类型(学院内)跨专业课程适用范围信息安全学分数 3 先修课程操作系统、数据结构学时数48 其中实验学时其中实践学时考核方式考试制定单位数学与信息科学学院执笔者审核者一、教学大纲说明(一)课程的性质、地位、作用和任务操作系统安全是信息领域重要的核心技术, 在信息安全领域有着非常重要的地位。
《操作系统安全》对培养学生抽象思维能力和信息安全的分析能力有着重要作用;也是信息安全专业高年级学生开设的一门重要课程, 其为全面了解操作系统的安全机制、安全设计、操作系统评测和安全应用提供一些入门方法, 使学生对操作系统安全有一个清晰和完整的认识。
(二)课程教学的目的和要求通过本课程的学习, 学生具有操作系统安全基础知识, 具备对操作系统安全进行分析的基本专业素质和能力。
了解:操作系统安全的有关概念及相关问题, 包括Windows、UNIX等流行操作系统的存在的安全问题, 了解高安全级别操作系统的有关安全机制, 了解操作系统安全评测、安全操作系统的应用和国外在安全操作系统领域的新进展。
理解: 操作系统安全模型、安全体系结构和操作系统安全形式化规范与验证以及安全操作系统设计一般过程。
掌握: 操作系统安全的基本概念、操作系统的安全机制、操作系统设计主要的安全模型和安全体系结构、Unix系统安全策略及安全机制、隐蔽通道分析和处理方法。
(三)课程教学方法与手段教学方法: 本课程采用老师讲授、结合学生自学的方法;教学手段:采用多媒体教学, 教师口授结合电脑演示。
(四)课程与其它课程的联系本课程涉及到信息安全基础、数据结构、计算机网络和操作系统等知识, 因而在开设本课程之前需要为学生开设预备课程: 数据结构、密码学原理、计算机网络和操作系统。
(五)教材与教学参考书教材: 卿斯汉等著, 操作系统安全(第2版), 清华大学出版社, 2011。
教学参考书:1.卿斯汉等著, 操作系统安全, 清华大学出版社, 2004。
操作系统安全_第5章_Windows_系统资源安全保护
Windows 98开始 , FAT32开始流行 。它是 容量增大 ;
FAT16的增强版本 , 采用32位长的文件分
• (3) FAT32文件系统可以重新定位根目录
配表来管理文件的存储 。 同FAT16相比 , FAT32主要具有以下特点: 以提高15% 。
5.1.1 Windows中的常用文件系统
5.2.2共享网络打印机
• 单击“开始 →设置 →打印机和传真 ”, 启动“ 添加打印机向导 ”, 选择“ 网络打印机 ”选 项。 • 在“指定打印机 ”页面中提供了几种添加 络打印机的方式 。如果你不知道网络打印机
• (3) 支持EFS(Encrypting File System
5.1.2 EFS加密原理
• 1. EFS的加密和解密过程 • (1) 文件被复制到临时文件 。若复制过程 中发生错误 , 则利用此文件进行恢复。 • (2) 文件被一个随机产生的Key加 密 , 这 个Key 叫作文件加密密钥(FEK) , 文件使 用DESX对称加密算法进行加密。 • (3) 数据加密区域(DDF) 产生 , 这个区 域包含了使用用户的公钥加密的FEK , FEK 使用RSA非对称加密算法进行加密 。
5.1 文件系统和共享资源的安全设置
• 文件系统 • 新的硬盘上并没有文件系统 , 必须使用分区 工具对其进行分区并格式化后才会有管 理文 件的系统。 • 一块硬盘就像一个块空地 , 文件就像不同的 物资 , 我们首先得在空地上建起仓库(分区) , 并且指定好(格式化)仓库对材料的 管理规 范(文件系统) , 这样才能将物资运进仓库保 管。
5.1.3资源共享
• 简单文件共享 • 共享磁盘驱动器。 • 在驱动器盘符上单击
鼠标右键 , 选中“共
第5章试题
动? A. 应用层 B. 表示层 C. 会话层 D. 传输层 答案:D 23、请参见图示。主机 A 正在使用 FTP 从服务器 1 下载大型文件。在 下载期间,服务器 1 没有收到主机 A 对若干字节传输数据的确认。服 务器 1 将默认执行什么操作?
A. 创建第1层堵塞信号 B. 到达超时时间后重新发送需要确认的数据 C. 向主机发送 RESET 位 D. 更改第 4 层报头中的窗口大小 答案:B 24、采用 TCP/IP 数据封装时,以下哪个端口号范围标识了所有常用应 用程序? A. 0 到 255 B. 256 到 1022 C. 0 到 1023 D. 1024 到 66359 答案:C 25、请参见图示。图中显示的是两台主机之间的 TCP 初始数据交换。 假设初始序列号为 0,如果数据段 6 丢失,确认 2 中将包含哪个序列 号?
561、在下面各项中,哪一个字段不是TCP报头的一部分? A、 子网掩码 B、 源端口号 C、 源IP地址 D、 序列号 E、 紧急指针 ANSWER:ACE
A. TCP B. IP C. UDP D. HTTP E. DNS 答案:C 33、在 TCP 通信会话期间,如果数据包到达目的主机的顺序混乱,将 对原始消息执行什么操作? A.数据包将无法送达 B.将从源主机重新传输数据包 C.数据包将送达目的主机并重组 D.数据包将送达目的主机但并不重组。 答案:C 34、. 在如图所示的TCP 连接的建立过程中,SYN 中的Z 部分应该填入 ________
A. 会话创建 B. 数据段重传 C. 数据传输 D. 会话断开 答案:A 21、数据段的 TCP 报头中为什么包含端口号? A. 指示转发数据段时应使用的正确路由器接口 B. 标识接收或转发数据段时应使用的交换机端口 C. 确定封装数据时应使用的第 3 层协议 D. 让接收主机转发数据到适当的应用程序 答案:D 22、OSI 模型哪一层负责规范信息从源设备到目的设备准确可靠地流
网络安全实用技术答案 (2)
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
操作系统安全复习重点
第一章:绪论1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组织各种程序高效运行,从而为用户提供良好的、可扩展的系统操作环境,达到使用方便、资源分配合理、安全可靠的目的。
2 操作系统地安全是计算机网络信息系统安全的基础。
3 信息系统安全定义为:确保以电磁信号为主要形式的,在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性(保密性)、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。
4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。
5 信息的保密性:指信息的隐藏,目的是对非授权的用户不可见。
保密性也指保护数据的存在性,存在性有时比数据本身更能暴露信息。
6 操作系统受到的保密性威胁:嗅探,木马和后门。
7 嗅探就是对信息的非法拦截,它是某一种形式的信息泄露.网卡构造了硬件的“过滤器“通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为“混杂模式“就可以进行嗅探。
8 在正常的情况下,一个网络接口应该只响应这样的两种数据帧:1.与自己硬件地址相匹配的数据帧。
2.发向所有机器的广播数据帧。
9 网卡一般有四种接收模式:广播方式,组播方式,直接方式,混杂模式。
10 嗅探器可能造成的危害:•嗅探器能够捕获口令;•能够捕获专用的或者机密的信息;•可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;•分析网络结构,进行网络渗透。
11 大多数特洛伊木马包括客户端和服务器端两个部分。
不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,达到偷窥别人隐私和得到经济利益的目的.13 后门:绕过安全性控制而获取对程序或系统访问权的方法。
《操作系统安全》第五章_Windows_系统资源的安全保护
5.1.2 EFS加密原理
1. EFS的加密和解密過程
5.1.2 EFS加密原理
當用戶解密檔時,EFS將執行以下操作: (1)使用DDF和用戶的私鑰解密FEK。 (2)使用FEK解密檔。
5.1.3資源共用
創建共用
(1)簡單檔共用 (2)高級檔共用
5.1.3資源共用
第5章 Windows系統資源的安全 保護
目的要求
掌握資源共用的實現方法以及共用資源的安 全設置。 掌握設置印表機的方法。 瞭解註冊表基礎知識,初步掌握通過註冊表 的設置提高系統安全的方法。 瞭解安全審核基礎知識,初步掌握審核策略 的設置和安全日誌的分析方法。
5.1 檔系統和共用資源的安全設置
5.1.1 Windows中的常用檔系統
2. FAT32:隨著大容量硬碟的出現,從Windows 98開始,FAT32開始流行。它是FAT16的增強版 本,採用32位長的檔分配表來管理檔的存儲。同 FAT16相比,FAT32主要具有以下特點:
(1)管理“簇”的能力增強,支持的分區容量增大; (2)“簇”的尺寸變小,FAT32就比FAT16的存儲效率要 高很多,通常情況下可以提高15%。 (3)FAT32檔系統可以重新定位根目錄和使用FAT的備份 副本,減少了電腦系統崩潰的可能性。
5.1.3資源共用
簡單檔共用
開啟GUEST帳戶 依次展開“控制面板→管理工具→電腦管理→本地用戶和 組→用戶”選項,在右邊的 GUEST 帳號上單擊滑鼠右鍵, 選中“屬性”菜單項,然後祛除“帳號已停用”選項即可。
5.1.3資源共用
簡單檔共用 更改設置本地安全策略 在啟用了 GUEST 用戶或本地相應帳號的前提下, 依次展開“控制面板→管理工具→本地安全策略 →用戶權利指派”項,在“拒絕從網路訪問這臺 電腦”的用戶列表中,直接刪除其中的 GUEST 帳號即可,這樣用戶訪問共用則不需任何密碼, 訪問更加簡捷明瞭,但是安全保障就比較差了
信息安全技术教程第五章
帐号管理命令(3)
passwd 作用:设置指定帐户的口令 语法: [root@linux ~]#passwd [-S] [-l] [-u] [-d] username 参数说明: -S: 查看帐户口令的状态 -l: 锁定帐户的口令 -u: 解锁帐户的口令 -d: 删除帐户的口令
组的管理命令(1)
帐号名称:帐号名称用于对应UID,例如root就是默认的系统管理 员帐号名称; 密码:用户的密码信息,由于安全问题被存放到了shadow文件; UID:用户的识别码,通常linux对uid有几个限制:0系统管理员; 1~499系统预留的id;500~65535供一般用户使用; GID:与/etc/group有关,用来识别群组; 说明:用来解释该帐号的意义; 根目录:该用户的根目录,也就是该用户的宿主目录;其他用户 的根目录为/home/youridname; Shell:shell是人跟计算机沟通的界面,定义该帐号登录系统后的 默认shell;如果这个字段为空默认选择/bin/sh作为用户登录shell
保留:暂时没有定义;
组的帐户保存位置
/etc/group
root:x:0:root
组名:组的名字 密码:该组的密码。为了安全起见,同样要使用安全信 息文件。组的安全信息文件为/etc/gshadow 组ID:组的标示符,为正整数,与UID类似500以后 用户列表:该组包含的用户账户,每个账户之间用逗号 (,)分隔
+增加权限
-减少权限 =设置权限为
权限的修改
8进制数字法
系统用户(没有宿主目录和口令,也不能登录系统;主要是为了
满足相应的系统进程对文件属主的要求而建立的)
第5章操作系统的安全机制
5.4 常见服务的安全机制 常见服务的安全机制主要有:加密机制、访
问控制机制、数据完整性机制、数字签名机制、交换 鉴别机制、公证机制、流量填充机制和路由控制机制。 5.4.1 加密机制
加密是提供信息保密的核心方法。按照密钥 的类型不同,加密算法可分为对称密钥算法和非对称 密钥算法两种。按照密码体制的不同,又可以分为序 列密码算法和分组密码算法两种。加密算法除了提供 信息的保密性之外,它和其他技术结合(例如 hash 函 数)还能提供信息的完整性。
要手段,并在出现违反安全的事件时提供证据。 5.2.4 IP 安全策略机制 Internet协议安全性fIPSec)是一种开放标准的框 架结构,通过使用加密的安全服务以确保在lP网络上进 行保 密而安全的 通讯。作为 网络操作系 统的 Windows 2003,在分析它的安全机制时,也应该考虑到IP安全策 略机制.一个IPSee安全策略由IP筛选器和筛选器操作两 部分构成。其中IP筛选器决定哪砦报文应当引起IPSee安 全策略的关注,筛选器操作是指“允许”还是“拒绝” 报文的通过。要新建一个IPSec安全策略,一般需要新建 IP筛选器和筛选器操作二在WindowsServer 2003系统 中.其服务器产品和客户端产品都提供了对IPSee的支 持。从而增强了.安全性、町伸缩性以及可用性,同时 使得配置部署和管理更加方便。 5.2.5 防火墙机制 防火墙是网络安全机制的一个重要的技术,它在内 部网和外部网之间、机器与网络之间建立起了一个安全 屏障:是Internet建网的一个重要组成部分。
系统安全配置,包括 12 条基本配置原则。 1.操作系统的物理安全 2.保护 Guest 账户 3.限制用户数量 4.多个管理员账户 5.管理员账户改名 6.陷阱账户 7.更改共享文件或文件夹默认权限 8.设置安全密码 9.屏幕保护密码 10.使用 NTFS 格式 11.安装防毒软件
网络安全课后简答题部分参考答案
⽹络安全课后简答题部分参考答案第1章⽹络安全概述与环境配置1. ⽹络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下⼏个⽅⾯。
(1)⽹络监听:⾃⼰不主动去攻击别⼈,⽽是在计算机上设置⼀个程序去监听⽬标计算机与其他计算机通信的数据。
(2)⽹络扫描:利⽤程序去扫描⽬标计算机开放的端⼝等,⽬的是发现漏洞,为⼊侵该计算机做准备。
(3)⽹络⼊侵:当探测发现对⽅存在漏洞后,⼊侵到⽬标计算机获取信息。
(4)⽹络后门:成功⼊侵⽬标计算机后,为了实现对“战利品”的长期控制,在⽬标计算机中种植⽊马等后门。
(5)⽹络隐⾝:⼊侵完毕退出⽬标计算机后,将⾃⼰⼊侵的痕迹清除,从⽽防⽌被对⽅管理员发现。
防御技术主要包括以下⼏个⽅⾯。
(1)安全操作系统和操作系统的安全配置:操作系统是⽹络安全的关键。
(2)加密技术:为了防⽌被监听和数据被盗取,将所有的数据进⾏加密。
(3)防⽕墙技术:利⽤防⽕墙,对传输的数据进⾏限制,从⽽防⽌被⼊侵。
(4)⼊侵检测:如果⽹络防线最终被攻破,需要及时发出被⼊侵的警报。
(5)⽹络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,⽹络安全可以分成哪⼏层?每层有什么特点?答:从层次体系上,可以将⽹络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联⽹安全。
物理安全主要包括5个⽅⾯:防盗,防⽕,防静电,防雷击和防电磁泄漏。
逻辑安全需要⽤⼝令、⽂件许可等⽅法来实现。
操作系统安全,操作系统必须能区分⽤户,以便防⽌相互⼲扰。
操作系统不允许⼀个⽤户修改由另⼀个账户产⽣的数据。
联⽹安全通过访问控制服务和通信安全服务两⽅⾯的安全服务来达到。
(1)访问控制服务:⽤来保护计算机和联⽹资源不被⾮授权使⽤。
(2)通信安全服务:⽤来认证数据机要性与完整性,以及各通信的可信赖性。
第2章⽹络安全协议基础1. 简述OSI参考模型的结构答:OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层,⾃顶向下分别为应⽤层、表⽰层、会话层、传输层、⽹络层、数据链路层、物理层。
第五章 WINDOWS XP操作系统的使用
第5章WINDOWS XP操作系统的使用学习目的•(1)掌握Windows XP的基本操作方法。
•(2)了解Windows XP的功能和基本概念。
•(3)掌握“资源管理器”的操作和使用。
•(4)掌握文件、文件夹的概念、创建与删除、复制与移动、文件名和文件夹名的重命名、属性的设置和查看、文件的查找等操作。
•(5)掌握快捷方式的创建和使用。
•(6)熟悉磁盘属性的查看。
•(7)掌握控制面板中的常用设置。
重点与难点•(1)“资源管理器”或“我的电脑”的操作和使用。
•(2)文件和文件夹的概念、创建与删除、复制与移动、文件名和文件夹名的重命名、属性的设置和查看、文件的查找等操作。
•(3)控制面板中的常用设置。
主要内容• 5.1 Windows XP的基础操作• 5.2 文件与文件夹• 5.3 控制面板中常用属性操作• 5.4 程序管理5.1 Windows XP的基础操作5.1.1 项目15:Windows XP系统的启动和退出• 1.按下主机箱上的电源开关按钮,计算机启动并进入自检状态。
• 2.稍后会看到“欢迎”屏幕出现,此时屏幕上会显示用户建立的账户,单击用户图标进入系统,若有密码则输入密码后单击“登录”按钮进入系统。
• 3.单击“开始”菜单,选择“开始”菜单中的“关闭计算机”命令,则会出现“关闭”对话框,如图5-1所示。
(1)在启动Windows XP之前要确认计算机安装正确,否则会烧坏计算机部件。
(2)在关闭计算机时,Windows XP为用户提供了3种方式来关闭计算机:①“关闭”:把计算机所有任务结束,关闭电源,使计算机不再工作。
②“待机”:将打开的文档和应用程序保存在硬盘上,下次唤醒时文档和应用程序还像离开时那样打开着,使用户能够快速开始工作。
③“重新启动”:先把计算机所有任务关闭再重新打开计算机。
5.1.2 项目16:Windows XP窗口认识与基本操作•1. Windows XP 桌面组成 •Windows XP 桌面主要由任务栏、通知区域、开始菜单、桌面背景、桌面图标组成。
计算机网络安全基础第三版习题参考答案
计算机网络安全基础(第三版)习题参考答案第一章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。
2.有两个网络,它们都提供可靠的面向连接的服务。
一个提供可靠的字节流,另一个提供可靠的比特流。
请问二者是否相同?为什么?不相同。
在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。
例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。
那么接收方共读了2048字节。
对于报文流,接收方将得到两个报文,、每个报文1024字节。
而对于字节流,报文边界不被识别。
接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。
3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。
OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。
每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。
TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。
与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。
两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。
OSI参考模型在各层次的实现上有所重复。
(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。
(完整版)信息安全技术试题答案H
一判断题第二章物理内存1、信息网络的物理安全要从环境和设备两个角度来考虑(对)2、计算机场地可以选择在公共区域人流量比较大的地方(错)3、计算机场地可以选择在化工生产车间附件(错)4、计算机场地在正常情况下温度保持在职18至此28摄氏度。
(对)5、机房供电线路和动力、照明用电可以用同一线路(错)6、只要手干净就可以直接触摸或者擦拨电路组件,不必有进一步的措施(错)7、备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。
(对)8、屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。
(对)9、屏蔽室的拼接、焊接工艺对电磁防护没有影响。
(错)10、由于传输的内容不同,电力结可以与网络线同槽铺设。
(错)11、接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。
(对)12、新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。
(对)13、TEMPEST技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄露的最终目的。
(对)14、机房内的环境对粉尘含量没有要要求。
(错)15、防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。
(对)16、有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。
(对)17、纸介资料废弃应用碎纸机粉碎或焚毁。
(对)第三章容灾与数据备份1、灾难恢复和容灾具有不同的含义。
(错)2、数据备份按数据类型划分可以分成系统数据备份和用户数据备份。
(对)3、对目前大量的数据备份来说,磁带是应用得最广的介质。
(对)4、增量备份是备份从上次进行完全备份后更改的全部数据文件。
第5章 Windows操作系统的安全机制
5.4.2 用户账户安全设置
1.密码策略 密码策略主要包括以下设置。 (1)强制密码历史 (2)密码最长存留期 (3)密码最短存留期 (4)密码必须符合复杂性要求 (5)使用可还原的加密存储密码
2.账户锁定策略
账户锁定策略包括以下设置。 (1)复位账户锁定计数器 (2)账户锁定时间 (3)账户锁定阀值
1.适合需要的文件系统 2.保护系统免受病毒侵害 3.在连接Internet期间保证系统安全 4.使用智能卡增强安全性
5.1.3 Windows 2000的安全特性
1.安全利益 2.数据安全性 3.企业间通信的安全性 4.企业和Internet的单点安全登录 5.易用的管理性和高扩展性 6.其他的安全特性
第5章 Windows操作系统的安全机制
5.1
Windows操作系统的安全性概述 Active Directory的结构与功能
5.2
5.3
Active Directory组策略
5.4
用户和工作组的安全管理
审核机制
5.5
5.1 Windows操作系统的安全性概述
5.1.1 Windows操作系统概述 5.1.2 Windows XP的安全特性
5.1.4 Windows 2000的安全结构 5.1.5 Windows 2000的网络模式
1.工作组模式 2.域模式 3.安全限制
5.1.6 Windows 2000安全管理工具
1.Microsoft管理控制台 2.安全配置工具集
5.2 Active Directory的结构与功能
5.2.1 Active Directory的功能和特点
1.高度的集成性 2.集成的安全性 3.自定义的用户环境 4.Active Directory与域名系统(Domain Name System, DNS)高度集成 5 . Active Directory 可 直 接 支 持 Lightweight Directory Access Protocol (LDAP) 及 Hypertext Transfer Protocol (HTTP) 6.Active Directory支持许多常用的标准名称格式 7.服务配置 8.支持目录的应用程序和软件安装
操作系统安全配置管理办法范本
操作系统安全配置管理办法范本第一章总则第一条为了加强操作系统的安全配置管理,保护信息系统的安全稳定运行,依据相关法律法规和国家标准,制定本办法。
第二条适用范围:1. 本办法适用于使用操作系统的单位和个人;2. 操作系统包括但不限于Windows、Linux、Unix等。
第三条安全配置管理的目标:1. 安全配置是指在操作系统和应用程序配置的基础上,根据信息系统的安全需求,进行相关的设置,以减少系统的漏洞和风险;2. 安全配置的目标是实施严格的安全措施,保护系统和数据的机密性、完整性和可用性。
第四条安全配置管理的原则:1. 安全配置必须按照需求进行,根据实际情况进行定制化;2. 安全配置必须遵循最小权限原则,最大限度地减少不必要的权限;3. 安全配置必须定期检查和更新,保持与最新的安全需求和技术发展相适应;4. 安全配置必须严格执行,确保操作系统的安全性和稳定性。
第二章安全配置管理的内容第五条基本安全配置1. 禁用不必要的服务和账户;2. 使用强密码,禁止使用默认密码;3. 启用账户锁定功能,设置密码错误次数限制;4. 设置系统日志功能,记录系统操作和异常事件;5. 禁止共享不必要的文件和目录;6. 定期更新操作系统补丁。
第六条用户权限管理1. 需要对用户进行适当的权限划分,确保每个用户拥有的权限与所需工作任务相符;2. 禁止普通用户拥有管理员权限;3. 管理员账户的密码必须设置为复杂且定期更换;4. 程序和脚本必须赋予最小权限,避免滥用权限。
第七条文件和目录权限管理1. 删除或禁用不必要的默认共享;2. 设定不同用户拥有不同的文件和目录权限;3. 处理敏感文件和目录的权限时,需严格控制访问权限;4. 设置合适的文件和目录访问控制策略。
第八条网络配置1. 严格限制对系统的远程访问权限;2. 对远程登录进行监控和记录;3. 维护操作系统的防火墙设置,限制网络访问;4. 定期检查系统的网络连接状态,及时处理异常连接。
第5章 操作系统 习题及答案
第5章操作系统习题P140-142一、复习题1、什么是操作系统?答:操作系统(Operating System,简称OS)是管理计算机系统资源、控制程序执行,改善人机界面,提供各种服务,合理组织计算机工作流程和为用户使用计算机提供良好运行环境的一类系统软件。
(P114)2、操作系统的基本功能是什么?答:操作系统是用户与计算机硬件之间的接口。
使得用户能够方便、可靠、安全、高效地操纵计算机硬件和运行自己的程序。
操作系统合理组织计算机的工作流程,协调各个部件有效工作,为用户提供一个良好的运行环境。
操作系统是计算机系统的资源管理者,负责管理包括处理器、存储器、I/O设备等硬件资源和程序和数据等软件资源,跟踪资源使用情况,监视资源的状态,满足用户对资源的需求,协调各程序对资源的使用冲突;为用户提供简单、有效使用资源统一的手段,最大限度地实现各类资源的共享,提高资源利用率。
(P115)3、操作系统的基本组成有哪些?答:操作系统构成的基本单位包括内核和进程、线程。
内核对硬件处理器及有关资源进行管理,给进程的执行提供运行环境。
进程是程序动态执行的过程。
(P114-115)4、操作系统如何分类?答:根据系统运行的方式分类,操作系统的基本类型有三种:批处理系统、分时系统和实时系统。
具备全部或兼有两者功能的系统称通用操作系统。
根据系统的运行环境分类的操作系统有:微机操作系统、网络操作系统、分布式操作系统和嵌入式操作系统。
(P116-117)5、什么是进程?它与程序是什么关系?答:进程是一个可并发执行的具有独立功能的程序关于某个数据集合的一次执行过程,也是操作系统进行资源分配和保护的基本单位。
程序是静态的概念,它以文件形式存在于辅助存储器中,进程是动态的概念,程序执行时创建进程,一个程序多次执行创建多个进程,这多个进程可同时存在于机器的内存中。
进行执行完成后结束,进程终止,但程序本身仍然存在,并不因进程的终止而消失。
(P119-124)6、什么是死锁?死锁产生的原因是什么?答:在系统运行过程中,多个进程间相互永久等待对方占用的资源而导致各进程都无法继续运行的现象称为“死锁”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•安全设置:组策略管理员可以限制用户访 问文件和文件夹 。
管理模板:包括基于注册表的组策略,可以利用它
来强制注册表设置,控制桌面的外观和状态,包括 操作系统组件和应用程序。 远程安装服务(RIS):当运行用户安装向导时, 控制显示给用户的RIS安装选项。 文件夹重定向:可以重定向Windows Server 2000指 定的文件夹从用户配置文件缺省位置到另一个网络 位置,从而对这些文件夹集中管理 。
Page 16 2016/9/23
5.2.1 Active Directory的功能和特 点
1.高度的集成性 2.集成的安全性 3.自定义的用户环境 4 . Active Directory 与域名系统( Domain Name System,DNS)高度集成 5 . Active Directory 可 直 接 支 持 Lightweight Directory Access Protocol (LDAP) 及 Hypertext Transfer Protocol (HTTP) 6.Active Directory支持许多常用的标准名称格式 7.服务配置 8.支持目录的应用程序和软件安装
Page 9 2016/9/23
5.1.6 Windows 2000安全管理工具
1 .Microsoft 管理控制台( MMC):是指进行系 统维护的各种管理工具工作的地方,通过它用户可 以创建、保存和打开用于管理硬件、软件和 Windows 系统组件的工具。 MMC 本身不执行管 理功能,但可以接纳执行各种系统功能的工具, 可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任 务。 用户使用 MMC 有两种方法,第一种是在用 户模式下使用现有的 MMC 控制台管理系统,第 二种是在作者模式下创建新控制台和修改现有的 MMC控制台。
Page 20 2016/9/23
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访
问控制集成在Active Directory之中。 通过单点网络登录,管理员可以管理分散在 网络各处的目录数据和组织单位,经过授权 的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及 用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号,管 理员得以更加有效地管理系统的安全性。
Page 17 2016/9/23
5.2.2 Active Directory组件
1.名称空间和命名环境 2.Active Directory中的对象和对象名称 3.全局编录 4.架构 5.域 6.域目录树和目录林 7.组织单位(Organizational Unit, OU) 8.组策略 9.站点
Page 19
2016/9/23
域:是网络对象的集合,这些对象可以包 括组织单元、用户、组和计算机,它们都 共享与安全性有关的公用目录数据库。它 是Active Directory的基础,是其逻辑体系 结构的核心单元。
组策略:它提供了将安全性和配置设置组 合为模板的能力,可将这种模板应用于单 独的系统和域。
Page 11
2016/9/23
MMC 控制台窗口 Windows 2000的MMC控制台窗口由两个窗 格组成,左窗格称为控制台目录树,右窗格则称 为结果窗格,如下图所示的“组件服务”控制台 窗口。 控制台目录树显示给定控制台中可用的项目, 结果窗格则包含有关这些项目功能的信息。在控 制台目录树中,当用户单击不同项目时,结果窗 格中的信息将相应改变,结果窗格可以显示很多 类型的信息,包括网页、图形、图表、表格和列 表等。
Page 14
2016/9/23
C. 打开“管理单元列表”对话框,选定其 中一个(例如:事件查看器)管理单元。 D. 打开“选择计算机”对话框,选择事件 查看器将监视哪一台计算机(可选择远程 计算机),此处选择本地计算机。 E. 完成后可在“程序”—“管理工具”查看 到新建的管理单元。
Page 15
Microsoft公司从1983年开始研制Windows系 统,最初的研制目标是在MS-DOS的基础上提供 一个多任务的图形用户界面 。 第一个版本的Windows 1.0于1985年问世,它 是一个具有图形用户界面的系统软件。1987年推 出了Windows 2.0版,最明显的变化是采用了相互 叠盖的多窗口界面形式 。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功 确定了Windows系统在PC领域的垄断地位 。现今 流行的 Windows 窗口界面的基本形式也是从 Windows 3.0开始基本确定的 。
Page 3 2016/9/23
5.1.2 Windows XP的安全特性
1.适合需要的文件系统 Windows XP支持3种文件系统,即NTFS、 FAT16和FAT32。 2.保护系统免受病毒侵害 系统中的软件限制策略,可以避免计算机 感染病毒和其他通过电子邮件和 Internet 传 播的恶意代码。
Page 21 2016/9/23
5.3 Active Directory组策略
5.3.1 组策略简介
组策略(GP)提供进一步控制和集中管理 用户桌面环境的功能。组策略是一组配置 设置,组策略管理员应用于活动目录存储 中的一个或多个对象,也可以控制域中用 户的工作环境。 组策略还授予用户和组权 力。
Page 2 2016/9/23
接下来是Windows 9X系列,包括Windows Me, Windows 9X的系统是一种16位/32位混合源代码的准 32位操作系统,故不稳定。 Windows 2000是发行于1999年12月19日的32位 图形商业性质的操作系统。Windows xp是微软公司 发布的一款视窗操作系统。它发行于2001年8月25日。 Windows Server 2003是目前微软推出的使用最广泛 的服务器操作系统,于2003年3月28日发布。 Windows Vista已在2006年11月30日发布。 Windows 7是微软的下一代操作系统,正式版已于 2009年10月23日发布。据国外媒体报道,日前有消 息称Windows 8计划的发布将是2012年下半年 。
组策略包括:计算机配置、用户配置 其组策略包含以下内容: 1)管理模板:包括Windows组件、网络、 桌面以及任务栏和开始菜单等相关的策略。 2)Windows设置:包括脚本、安全设置 (用户策略和本地策略)等相关的策略。 3)软件设置:包括软件安装策略,可以 进行应用程序的指派与发布。
Page 18 2016/9/23
全局编录
全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外, 全局编录还存储了每个对象最常用的一些可搜 索的属性。 全局编录担当了以下目录角色: 查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息
4.企业和Internet的单点安全登录 5.易用的管理性和高扩展性 6.其他的安全特性 加密应用程序编程接口 设备驱动程序签名
Page 7
2016/9/23
5.1.4 Windows 2000的安全结构
一个安全模型
共享密钥协议
Windows
NTLM身份验证 V5
NTLM – Windows NT LAN管理器
Page 28
2016/9/23
组策略模板
组策略模板(GRT)是包含在域控制 器的 %systemroot%\SYSVOL\sysvol\<domain_na me>\Policies文件夹下的文件夹结构。 GPT是存储管理模板、安全设置、脚 本文件和软件设置的组策略设置信息的容 器。
Page 29 2016/9/23
第5章 Windows操作系统的安全机制
5.1
Windows操作系统的安全性概述 Active Directory的结构与功能
5.2
5.3
Active Directory组策略
5.4
用户和工作组的安全管理 审核机制
2016/9/23
5.5
Page 1
5.1 Windows操作系统的安全性概述
5.1.1 Windows操作系统概述
Page 22 2016/9/23
组策略优点
(1)保护用户环境 (2)增强用户环境
自动安装应用程序到用户的“开始”菜单。
启动应用程序分发,方便用户在网络上找到并
安装相应应用程序。 安装文件或快捷方式到网络上相应位置或用户 计算机上的特定文件夹。 当用户登录或注销、计算机启动或关闭时自动 执行任务或应用程序。 重定向文件夹到网络位置增强数据可靠性。
用于企业级网络的Kerberos
公钥验证协议
安全套接字层 IP的安全性
(SSL) / 传输层安全 (TLS)
Active
Page 8
Directory身份验证的多种方式
2016/9/23
5.1.5 Windows 2000的网络模式
1.工作组模式:是一种简单的网络模式, 各个工作站的用户通过加入一个用户组共 享资源。 2.域模式:在此模式中,用户账号数据库 和计算机策略是以共享方式存储的。 3.安全限制:系统在共享级访问控制和用 户级访问控制方面是安全的,因为其有严 格的登录要求。
2016/9/23
5.2 Active Directory的结构与功能
Active Directory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对 象的信息,例如用户、组、计算机、共 享资源、打印机和联系人等,并且让管 理员和用户能够轻松地查找和使用这些 信息。
Page 4 2016/9Байду номын сангаас23