计算机网络安全试题

加粗为主校试题
第一章：
1. 威胁计算机网络安全的主要因素有哪些
答：⑴从威胁的对象看：主要可分为两大类：①对网络中信息的威胁②对网络中设备的威胁
⑵从Internet的技术基础看：①网络的资源是共享的，面向所有用户②各种协议的漏洞③各种系统的漏洞
⑶从人的因素考虑，影响网络安全的因素可分为人为和非人为两种情况。

2.简述计算机网络安全的内涵。

答：计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的保密性、完整性、可用性、可控性和抗抵赖性受到保护。

3.计算机网络安全包括那两个方面
答：内容包括两方面：硬安全（物理安全）和软安全（逻辑安全）。

4.什么是计算机网络安全策略
答：安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所建立的规则。

通常，包括建立安全环境的三个重要组成部分。

（1）严格的法规
（2）先进的技术
（3）有效的管理
5.制定计算机网络安全策略需要注意那些问题
答：制定网络安全管理策略首先要确定网络安全管理要保护什么，对于要保护的内容，一般有两种截然不同的保护原则。

一种是“没有明确表述为允许的都被认为是被禁止的”，
另一种是“一切没有明确表述为禁止的都被认为是允许的”。

6.计算机网络安全的主要技术措施。

答：一、利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户进行权限设置
二、在局域网的桌面工作站上部署防病毒软件
三、在Intranet系统与Internet连接之处部署防火墙
四、某些行业的关键业务在广域网上采用较少位数的加密传输，而其他行业在广域网上采用明文传输
第二章：
1. 解释网络安全体系结构的含义。

答：全部网络协议以层次化的结构形式所构成的集合，就称为网络体系结构。

2.网络安全有哪些需求
答：1．保密性2．完整性3．可用性4．可控性5．抗抵赖性
3.网络安全体系结构的任务是什么
答：提供有关形成网络安全方案的方法和若干必须遵循的思路、原则和标准。

它给出关于网络安全服务和网络安全机制的一般描述方式，以及各种安全服务与网络体系结构层次的对应关系。

4.开放系统互联安全体系结构提供了哪几类安全服务
答：6类安全服务：⑴对等实体鉴别⑵访问控制⑶数据保密⑷数据完整性⑸数
据源点鉴别⑹抗抵赖，又称不容否认
5.说明开放系统互联安全体系结构的安全机制。

答：⑴数据加密⑵数据签名⑶访问控制⑷数据完整性⑸交换鉴别⑹信息流填充⑺路由控制⑻公证
6.分析TCP/IP安全体系结构各层提供的安全服务。

7.美国可信计算机系统评估准则的安全等级划分。

答：
4个档次8个安全等级：
D级：安全保护欠缺级
C档为自主保护档级。

C1级：自主安全保护级。

C2级：受控访问保护级。

B档为强制保护档级。

B1级：有标记的安全保护级。

B2级：结构化保护级。

B3级：安全域保护级。

A档为验证保护档级。

A1级：经验证的设计保护级。

超A1级：验证实现级。

８.我国计算机信息系统安全等级保护划分准则将信息系统划分为那些安全等级答：5个安全等级，分别为第1级，用户自主保护级、第2级，系统审计保护级、第3级，安全标记保护级、第4级，结构化保护级和访问验证保护级
作业：
1、计算机网络安全的本质是什么
答：计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的保密性、完整性、可用性、可控性和抗抵赖性受到保护。

3、分析以下安全协议：
PPTP、L2TP、IPSec、SSL/TLS、SOCKS、S/MIME、PGP、PEM、SET、Kerberos、SHTTP、SSH
答：PPTP：点对点隧道协议（链路层）
L2TP：第二层隧道协议（链路层）
IPSec： IP安全性（网络层）
SSL/TLS：安全套接层协议/传输层安全协议（传输层）
SOCKS :防火墙安全会话转换协议(会话层)
S/MIME: 多用途网际邮件扩充协议(应用层 )
PGP: 邮件加密(应用层 )
PEM :保密增强电子邮件协议(应用层 )
SET: 安全电子交易协议(应用层)
Kerberos:网络认证协议
SHTTP:安全超文本传输协议
SSH:安全外壳协议
第三章：
1、远程攻击的目的是什么
答：进行一些非授权行为，如窃取数据、进行破坏等活动，也就是人们说的黑客行为。

2、列举常用的服务端口号如web、ftp、telnet、终端服务、dns服务等。

答：1，21端口：21端口主要用于FTP服务。

2，23端口：23端口主要用于Telnet服务。

3，80端口：主要用于在Web服务上传输信息的协议。

4，53端口53端口为DNS服务器所开放。

3、缓冲区溢出攻击的原理是什么
答：缓冲区是内存中存放数据的地方，在程序试图将数据存在内存中某一个位置，而空间不够时将发生缓冲区溢出。

造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

4、本地权限提升是如何进行的
答：利用Serv-U提升权限:方法一：本地溢出；办法二：要求对Serv-u安装目录有完全控制权。

5、按照实现技术分类，防火墙分为哪几类个有什么特点
答：
6、试配置瑞星防火墙规则。

答：1、打开防火墙界面---设置--IP规则设置2、增加规则---规则名称填入“TCP+抵御SCO炸弹”---协议类型选“TCP”---执行动作“禁止”---对方地址“任意地址”---本地地址“所有地址”---对方端口“任意端口”---本地端口选“端口范围”，在出现的两个框中，第一个填“3127”，第二填“3198”---确定。

7、黑客攻击与防范常用技术及其最新发展趋势。

答：远程攻击的主要手段
缓冲区溢出攻击、口令破解、网络侦听、拒绝服务攻击、欺骗攻击等主要攻击手段。

防范远程攻击的主要技术措施
防火墙技术、数据加密技术、入侵检测技术等防范远程攻击的主要技术措施。

趋势一：攻击过程的自动化与攻击工具的快速更新。

趋势二：攻击工具的不断复杂化。

趋势三：漏洞发现的更快。

趋势四：渗透防火墙。

第四章：
1、密码分析分为那几类，它们的含义是什么
答：1）穷举法（强力法、试凑法）:对截收的密报依次用各种可能的密钥试译，直到得到有意义的明文；或在不变密钥下，对所有可能的明文加密直到得到与截获密文一致为止。

2）分析破译法:
统计分析法:统计分析法是利用明文的已知统计规律进行破译的方法。

确定分析法:确定分析法利用一个或几个已知量用数学关系式表示出所求未知量。

2、已知明文为“wearediscovered ”，加密密钥为
17175=2118212219K ，请用hill 密码求解密文C 。

答：
3、已知明文为“columnar transposition cipher ”，密钥为K=7312546，请用置换密码求解密文C 。

4、请用Plarfair 密码加密消息“He is a student ”，密钥关键词是“new bike ”。

5、在DES 数据加密标准中，明文
M=0011 1000 1101 0101 1011 1000 0100 1101 0101 0011 1001 1001 0101 1110 0111，密钥K=1010 1011 0011 0100 1000 0110 1001 0100 1101 1001 0111 0011 1010 0010 1101 0011，试求L1和R1.
6、简述公开密钥密码体制的特点。

答：（1）保密强度高（2）密钥分配及管理简便（3）数字签名易实现
7、说明RSA 算法体制的设计原理，并对该体制进行安全性分析。

当p=5，q=11时，取e=3，利用该体制对明文08，09两组信息进行加密。

8、在使用RSA 的公钥系统中，如果截取了发送给其它用户的密文C=10，若此用户的公钥为e=5，n=35，说明明文的内容是什么
9、公开密钥的管理有多种方案，你认为那种方案最有效为什么
答：公开秘钥密码体制最有效，：传统密码体制中只有一个秘钥，因此在秘钥分配中必须同时确保秘钥的秘密性，真实性和完整性。

而公开秘要密码体制中有两个秘钥，在秘钥分配时必须确保其解密钥的秘密性，真实性和完整性。

而加秘钥是公开的，因此在分配公钥时，不需要确保其秘密性，但必须确保公钥的真实性和完整性，绝对不允许攻击者替换或者更改用户的公开秘钥。

第五章：
简述数字签名的基本原理。

答：S=E(M,Kd)
C=e(m,Ke)
简述身份认证的基本原理。

答：1）识别:识别是指要明确访问者是谁，即必须对系统中的每个合法用户都有识别能力。

2）验证:验证是指在访问者声称自己的身份后(向系统输入它的识别符)，系统还必须对它所声称的身份进行验证，以防假冒。

简述PKI的组成原理。

答：
简述windows下获取私钥的步骤，并上机进行实践。

答：运行—mmc--控制台--添加/删除管理单元--添加--证书--添加--我的账户--操作--所有任务--导出--导出私钥
简述建立标准的目的是什么
答：1）证实自己的身份，进行安全通信；
2）获取相应权限，对自己的行为不能抵赖；
作业：
1，简述数字签名的原理。

2、简述数字证书的作用。

答：1）证实自己的身份，进行安全通信；
2）获取相应权限，对自己的行为不能抵赖；
3、简述数字证书的标准格式。

答：1、证书版本信息；
2、证书序列号；
3、证书所用签名算法；
4、证书的颁发机构；
5、证书有效期；
6、证书所有人名称；
7、证书的公开密钥；
8、发行者对证书的签名
第七章：
第八章1、什么叫网络病毒
答：1）狭义的网络病毒:即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或机制，同时网络病毒的破坏对象也应是针对网络的。

2）广义的网络病毒:只要能够在网络上传播并能对网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，都可称为网络病毒。

2、计算机病毒会给我们带来什么样的危害
1）答：电脑运行比平常迟钝
2）程序载入时间比平常久
3）不寻常的错误出现
4）程序运行缓慢
5）系统内存容量忽然大量减少
6）磁盘可利用空间突然减少
7）文件属性、扩展名更改
8）经常死机
3、我们在日常使用计算机上网的过程当中，应当注意些什么
答：一是严格管理制度，对网络系统启动盘、用户数据盘等从严管理与检测，严禁在网络工作站上运行与本部门业务无关的软件；二是充分利用网络系统安全管理方面的功能。

4、对于已知病毒，我们该怎么防范
答：（1）基于工作站的操作系统防范病毒。

一是使用病毒防杀软件；
二是安装防毒卡或防毒芯片。

（2）基于服务器可装载模块NLM的防病毒技术。

24小时实时扫描和监控网络文件中的病毒、
集中全盘文件扫描
实时监测工作站运行
5、如果用户的计算机感染了病毒，该怎么办
答：（1）关闭文件服务器。

（2）用系统盘查杀系统管理员工作站。

（3）用系统盘查杀文件服务器。

（4）备份重要文件、数据，不要执行硬盘中的程序或向硬盘中拷贝文件，以免破坏硬盘文件、数据的结构。

（5）查杀所有文件，恢复或删除被病毒感染的文件。

（6）确认病毒被彻底清除后，方可重新开启网络服务器。

（7）检查病毒的来源，堵住漏洞。

6、多层次防御策略的意义是什么
答：多层病毒防御体系，是指在每个客户机上要安装针对客户机的反病毒软件，在服务器上安装专用于服务器的反病毒软件，在Internet网关上要安装基于网关的反病毒软件。

同时每个用户都要确保自己使用的PC机不受病毒的感染，从而保证整个内部网的安全。

7、如果让你来管理一个局域网，为了防止病毒入侵，你该做哪些工作
答：①加强网络系统管理
②尽量减少有盘工作站
③网络服务器必须使用专门的机器
④使用防病毒卡或防病毒软件
8、如果你的系统安装了最新版本的杀毒软件以及防火墙，是不是可以表明你的计算机就不会被病毒感染了为什么
9、如果将文件改为只读,或者将磁盘设置为写保护状态，能否感染病毒，为什么
10、网络反病毒技术的主要内容包括哪些
答：1．针对网络硬件的措施
（1）基于工作站的操作系统防范病毒。

一是使用病毒防杀软件；
二是安装防毒卡或防毒芯片。

（2）基于服务器可装载模块NLM（netware loadable modu1e）的防病毒技术。

24小时实时扫描和监控网络文件中的病毒、
集中全盘文件扫描
实时监测工作站运行。

安装网络反毒软件
3．清除网络中的病毒
11、CMOS中是否可以感染病毒为什么
第八章：
1、简述防火墙的定义。

答：防火墙是指一个有软件和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问，以及管理内部用户访问外界网络的权限。

2、设计防火墙的安全策略有哪几种普遍采用哪一种整体安全策略主要包括哪些主要内容答：（1）用户帐号策略、
用户权限策略、
信任关系策略、
包过滤策略、
认证、签名和数据加密策略、
密钥分配策略、
审计策略、
3、按照防火墙对内、外来往数据的处理方法，可分为那两大类分别介绍其技术特点。

答：1）包过滤：通过拦截数据包，读出并拒绝那些不符合标准的数据包，过滤掉不应入站的消信息
2）应用代理:它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。

4、包过滤的基本概念是什么包过滤有哪些优缺点
答：包过滤作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。

只要满足过滤规则的数据包才被转发到相应的目的地址的出口端，其余数据包则从数据流中丢失。

优点：其只要优点是仅用放置在重要位置上的包过滤路由器就可保护整个网络。

缺点：在机器上配置包过滤规则比较困难
对系统中的包过滤规则的配置进行测试比较麻烦
许多产品的包过滤功能有这样或那样的局限性，要寻找一个比较完整的包过滤产品比较困难
6、什么是应用代理，代理服务有哪些优缺点
答：应用代理，也叫应用网关，他作用在应用层，其特点是完全”阻隔“了网络通信流，通过对每种应用服务编制专门工作站实现。

应用代理或应用代理服务器是代理网络内部用户与外部网络服务器进行信息交换的程序。

优点：代理服务器允许用户“直接”访问互联网
代理服务器适合于进行日志记录
缺点：代理服务器落后与非代理服务器
每个代理服务器要求不同的服务器
代理服务一般要求对客户程序进行修改
代理服务对某些服务来说是不适合的
代理服务不能保护用户不受协议本身缺点的限制
7、什么是双重宿主主机体系结构什么是主机过滤体系结构什么是子网过滤体系结构各
有什么优缺点
答：双重宿主主机体系结构：在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成
通常采用代理服务的方法
堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等。

优点：堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计。

缺点：该方式的防火墙仍是网络的“单失效点”。

隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合主机过滤体系结构：一个分组过滤路由器连接外部网络，同时一个运行网关软件并提供较高安全等级的堡垒主机安装在内部网络。

通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。

过滤路由器是否正确配置是这种防火墙安全与否的关键。

过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。

优点：比双重宿主主机体系结构更高的安全性和可靠性
缺点：设计风险大
子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与互联网隔开。

子网过滤体系结构的最简单形式是应用了两个过滤路由器，一个位于参数网络与内部网络之间，另一个位于参数网络与外部网络之间。

8、防火墙的组合形式主要有哪几种
答：1、使用多堡垒主机2合并内部路由器和外部路由器3、合并堡垒主机和内部路由器4、合并堡垒主机和外部路由器5、合并多台内部路由器6、合并多台外部路由器7、使用多个参数网络8、使用双宿主主机与子网过滤。

9、堡垒主机建立的一般原则有那几条其主要内容是什么
答：（1）最简化原则：堡垒主机越简单，对它进行保护就越方便。

堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在错误，而这些差错就有可能使堡垒主机的安全保障出问题。

（2）预防原则：尽管已对堡垒主机严加保护，但还可能被入侵者破坏。

对此应有所准备，只有充分地对最坏的情况加以准备，并设计好对策，才可有备无患。

对网络的其他部分施加保护时，也应考虑到”堡垒主机被攻破怎么办“。