第七章 网络安全技术

第7章习题及解答

选择题:

( 1 ) 在信息传递过程中为了保证安全可以采用（ABC ）方法

( A ) 数据加密( B ) 身份认证( C ) 数字签名( D ) 防火墙

( 2 ) 网络的安全性包括（ABCD ）

( A ) 可用性( B ) 完整性( C ) 保密性( D ) 不可抵赖性

( 3 ) 目前网络中存在的安全隐患有（ABD ）

( A) 非授权访问( B ) 破坏数据完整性( C ) 病毒( D ) 信息泄

( 4 ) 常用的网络内部安全技术有（ABCD ）

( A ) 漏洞扫描( B ) 入侵检测( C ) 安全审计( D ) 病毒防范

( 5 ) 网络加密的方法包括（ABC ）

( A ) 链路加密( B ) 端到端加密( C ) 混合加密( D ) 物理加密

( 6 ) 在网络中进行身份认证的方法有（ABC ）

( A ) 基于口令的认证( B ) 质询握手认证( C ) KERBEROS 认证( D ) SET

( 7 ) Kerberos 采用（ A ）模式来实现

( A ) C/S ( B ) B/S ( C ) P2P ( D ) 以上都不是

( 8 ) 防火墙的构成方式包括（ABCD ）

( A ) 简单的双宿主主机结构( B ) 带有屏蔽路由器的单网段防火墙结构

( C ) 单MDZ 防火墙结构( D ) 双DMZ 防火墙结构

( 9 ) 在网络中可用来发现网络中已经潜在的安全问题的方法是（ A ）( A ) 漏洞扫描( B ) 入侵检测( C ) 审计技术( D ) 防火墙

简答题：

1. 为什么PGP要压缩明文？

简答：压缩可以节省传输的数据量，同时因为压缩过程减少了明文中的重复模式，大大增强了对密码分析的抵御能力，从而可以加强密文的安全性。

2. 说明Kerberos认证中票证发放服务器TGS的作用。

简答：TGS 的功能是发放用户许可证（所谓的“票证”），使服务器S 相信TGS 许可证的持有者确实是自称的那个人。

3. 网络加密可以使用端到端加密方法，但它的报文头部以明文方式出现在网络上，这样做安全吗？

简答：端到端的加密方法不够安全。网络报文中包含的发送方和接收方的地址信息未被加密。

4. 安全电子商务系统（SET）是如何解决信用卡号的安全性问题的？

简答：SET 采用了RSA 体制对通信双方进行认证，并利用DES 、RC4 或者任何其它的对称加密法对传输的信息进行加密。客户电子交易时包含支付信用卡的报文由此进行了加密，保证了安全。

5. 用户的权限控制是针对网络非法操作所提出的一种安全保护措施，它是如何保证网络系统安全的？

简答：权限控制机制控制用户和用户足可以访问那些目录、子目录、文件和其他信息。可以指定用户对这些文件、目录、设备能够执行哪些操作。权限控制有两种实现方式：受托者指派和继承权限屏蔽。

6. 为什么要使用访问控制表？说明3个表内应该有的内容。

简答：一个访问控制表指出谁可以用什么方式访问该对象。访问控制表内应有的内容有：所有者、组、访问方式等。

7. 在防火墙系统中存在“非军事区”，该区域内一般有些什么设备？它们为什么要放在“非军事区”内？如果放在其他区域内会有什么问题？

简答：

“非军事区”中一般有屏蔽路由器和堡垒主机。Internet 上任何跨越防火墙的数据信息必须先后经过这两个网络安全单元。若放在其他区域，屏蔽路由器和堡垒主机就无法起到数据包过滤和代理服务器的作用，防火墙也就无法起到阻止内部网受到攻击的作用。

8. 为什么防火墙不能防范病毒？

简答：

防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。

9. 防火墙和入侵检测系统都是维护网络安全的重要工具，它们之间是什么样的关系？

简答：

防火墙和入侵检测可以很好的互补，这种互补体现在静态和动态两个方面。静态方面是IDS可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态方面是当IDS发现攻击行为时，可以通知防火墙对已经建立的链接进行有效的阻断，同时通知防火墙修改策略，防止签字的进一步的可能性。

10. 说明防火墙中包过滤技术的操作流程。

简答：

数据包过滤技术逐个检查输入数据流中的每个数据包，根据数据包的原地址、目标地址、使用的端口号等，或它们之间各种可能的组合来确定是否允许数据包通过。