自考计算机网络安全课后习题答案

1、计算机网络安全（自学考试 4751 ）课后答案1.计算机网络面临的典型威胁 窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、 行为否认、旁路控制、电磁 / 射频截获、人员疏忽。2.计算机网络的脆弱性互联网具有不安全性、 操作系统存在安全问题、 数据的安 全问题、传输线路安全问题、网络安全管理问题。3.计算机网络安全目标 性、完整性、可用性、不可否认性、可控性4.计算机网络安全层次 物理安全、逻辑安全、操作系统安全、联网安全5. PPDR 包括 Policy 、Protection Detection Response四个部分。防护、检测和响应组成了一个完整的、动态的安全 循环。在整个安全策略

2、的控制和指导下，综合运用防护工具 和检测工具掌握系统的安全状态，然后通过适当的响应将网 络系统调整到最安全或风险最低的状态，构成一个动态的安 全防体系。6.网络安全技术包括物理安全措施、数据传输安全技术、 外网隔离技术、 入侵 检测技术、访问控制技术、审计技术、安全性检测技术、 防病毒技术、备份技术、终端安全技术7.网络安全管理的主要容： 网络安全管理的法律法规、 计算 机网络安全评价标准。8.网络安全技术的发展趋势： 物理隔离、逻辑隔离、 防御来 自网络的攻击、防御来自网络的病毒、身份认证、加密通信 和 VPN 、入侵检测和主动防御、网管审计和取证。9.物理安全包括机房环境安全、通信线路安全

3、、设备安全、 电源安全10.机房安全要求：场地选择、防火、部装修、供配电、 空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠 害、防电磁泄露。11.保障通信线路安全的技术措施：屏蔽电缆、高技术加 压电缆、警报系统、局域 PBX 。12.防止电磁辐射措施：屏蔽、滤波、隔离、接地13.信息存储安全管理：四防垂直放置、严格管理硬盘数 据、介质管理落实到人、介质备份分别放置、打印介质视同 管理、超期数据清除、废弃介质销毁、长期数据转存。14.密码学三个阶段：古代、古典、近代15.密钥：参与密码变换的参数16.加密算法：将明文变换为密文的变换函数17.明文是作为加密输入的原始信息、密文是明文经加密

4、变换后的结果18.加密体制：单钥密码体制、双钥密码体制19.认证技术可解决消息完整性、身份认证、消息序号及时间，其分层模型：安全管理协议、认证体制、密码体制20.常用的数据加密方式：链路、节点、端到端21.PKI:是一个用公钥密码算法原理和技术来提供安全服 务的通用型基础平台，用户可以利用 PKI 平台提供的安全服 务进行安全通信，其采用的标准密钥管理规则能为所有应用 透明地提供加密和数据签名等服务所需的密钥和证书管理。22.PKI 的特点:节省费用、互操作性、开放性、一致的解 决方案、可验证性、可选择性。23.PKI 组成: CA 、证书库、证书撤消、密钥备份和恢复、 自动更新密钥、密钥历史

5、档案、交叉认证、时间戳、客户端 软件。24.数字签名与消息认证的区别:消息认证可以帮助接收 方验证消息发送者的身份及是否被篡改，对防止第三者破坏 是有效的，但当通信双方存在冲突时，需采用数字签名技术 进行更有效的消息认证。25.防火墙:位于被保护网络与外部网络之间执行访问控 制策略的一个或一组系统，包括硬件和软件，它构成一道屏 障，以防止发生对被保护网络的不可预测的、潜在破坏性的 侵扰。26.防火墙主要功能:过滤进出网络数据、管理进出网络 的访问行为、封堵某些禁止的业务、记录通过防火墙的信息 容和活动、对网络攻击检测和告警。27.防火墙的局限性：牺牲网络服务的开放性和灵活性、 只是网安防护体系

6、的一部分并非万能。28.防火墙的体系结构：双重宿主主机、屏蔽主机、屏蔽 子网29.个人防火墙特点：优点：增加保护级别，不需要硬件资源；可抵挡部攻击； 对公共网络的单个系统提供保护， 能为用户隐蔽暴露在网 络的信息。缺点： 对公共网络只有一个物理接口， 使之本身容易受到 攻击；运行时需要占用 PC 资源；只能对单机进行保护。30.防火墙发展趋势：优良的性能、可扩展的结构和功能、 简化的安装和管理、主动过滤、防病毒和黑客、发展联动技 术31.包过滤技术是在网络层对数据包进行选择，根据 ACL 检查数据流中每个包的源地址、目的地址、端口、协议状态 来确定是否允许该数据包通过。32.代理服务技术是由代

7、理服务器代表客户处理连接请 求，由其核实客户请求，用特定的安全化的 Proxy 应用程序 来处理连接请求后递交服务器，在接收服务器应答后，经过 进一步处理后，交付给客户。优点：安全；缺点速度慢。又 称代理防火墙。33.状态防火墙的特点：高安全性、高效性、可伸缩和易 扩展性、应用围广。34.NAT 工作原理：在局域网部使用部地址，当部节点要 与外部网络通信时，在网关处将部地址替换成公用地址，从 而在外网上正常使用。分为静态 NAT 、动态 NAT 、网络地 址端口转换 NAPT 。35.入侵检测原理：入侵检测是用于检测任何损害或企图 损害系统的性、完整性、可用性的一种网络安全技术。它通 过监视受

8、保护系统的状态和活动，采用误用检测或异常检测 的方式，发现非授权或恶意的系统及网络行为，为防入侵行 为提供用效的手段。 IDS 包括软硬件产品。36.入侵检测系统构成：数据提取、入侵分析、响应处理、 远程管理四部分组成。37.入侵检测系统分类： 1 、基于数据源的分类有主机、网 络、混合、网关、文件。 2 、基于检测理论的分类有异常检 测和误用检测。 3 、基于检测时效分为在线式和离线式。38.分布式 IDS 优势和技术难点：优势是检测大围的攻击 行为、提高检测的准确度、提高检测效率、协调响应措施。 难点在于事件的产生和存储、状态空间管理和规则复杂度、 知识库管理、推理技术。39.入侵检测系统

9、主要标准的名称： IETF/IDWG 、CIDF 。40.入侵检测系统的分析模型：构建分析器、对实际现场 数据进行分析，反馈和提炼过程。41.误用检测和异常检测的原理：误用检测是按照预定模 式搜寻事件数据的，适用于对已知模式的可行检测。异常检 测根据用户行为的特征轮廓（度量集）来判断是否合法。42.CIDF 体系结构组成：由事件产生器、事件分析器、响 应单元、事件数据库组成。43.IDS 研究热点：神经网络、免疫学方法、数据挖掘方 法、基因算法、基于代理的检测。44.安全威胁是指所有能够对计算机网络信息系统的网络 服务和网络信息的性、可用性和完整性产生阻碍、破坏或中 断的各种因素。可分为人为或

10、非人为两大类。45.安全漏洞是在硬件、软件和协议的具体实现或系统安 全策略上存在的缺陷，从而可以使攻击者能够在未授权的情 况下访问或破坏系统。46.端口扫描的基本原理是向目标主机的 TCP/IP 端口发 送探测数据包，并记录目标主机的响应，通过分析响应来判 断端口是打开还是关闭等状态信息。可分为 TCP/UDP 端口 扫描两种。47.漏洞威胁的等级分类：低、中、高严重度。48.漏洞的分类方法：按漏洞可能对系统造成的直接威胁 分类和按漏洞的成因分类。49.网络安全检测技术分类：端口扫描技术、操作系统探 测技术、安全漏洞探测技术（分为信息型和攻击型） 。50.操作系统类型探测的主要方法：获取标识信

11、息探测技 术、基于 TCP/IP 协议栈的操作系统指纹探测技术、 ICMP 响应分析探测技术。51.信息型漏洞探测原理是大部分网络安全漏洞与特定的 目标状态直接相关，通过探测此类信息即可在很大程度上确 定目标存在的安全漏洞。52.攻击型漏洞探测原理是模拟网络入侵的一般过程，对 目标系统进行无恶意攻击尝试，若攻击成功则表示相应安全 漏洞一定存在。53.计算机病毒：指编制或者在计算机程序中插入的破坏 计算机功能或者毁坏数据，影响计算机使用，并能自我复制 的一组计算机指令或程序代码。54.计算机病毒的危害： 1、直接破坏计算机数据信息 2 、 占用磁盘空间和对信息的破坏 3 、抢占系统资源 4、影响

12、计 算机运行速度 5 、计算机病毒错误和不可预见的危害6、计算机病毒兼容性对系统运行的影响 7 给用户造成严重的心 理压力。55.计算机病毒的防：严格的管理、有效的技术。56.计算机病毒的特征：非授权可执行性、隐蔽性、传染 性、潜伏性、表现性或破坏性、可触发性。57.计算机病毒的分类：按攻击系统（ DOS 、Windows 、Unix 、OS/2 ）；按病毒攻击机型（微型、小型机、工作站） 按病毒的方式（源码型、嵌入型、外壳型、操作系统型） ； 按破坏情况（良性、恶性） ；按病毒寄生方式（引导型、文 件性、复合型） ；按病毒的传播媒介分类（单机、网络） 。58.常见计算机病毒检测手段：特征代码

13、法、校验和法、 行为监测法、软件模拟法。59.恶意代码的关键技术：生存技术（反跟踪、加密、模 糊变换、自动生产） 、攻击技术（进程注入、三线程、端口 复用、对抗检测、端口反向连接技术、缓冲区溢出攻击） 、 隐藏技术（本地隐藏、通信隐藏） 。60.宏病毒的特征： Word 宏病毒会感染 .doc .dot 文件、 在打开一个带毒文件时，激活宏病毒、多数宏病毒包含自动 宏、包含文档读写的宏命令。61.恶意代码是一种程序，通常在人们没有察觉的情况下 把代码寄宿到另一段程序中，从而达到破坏被感染计算机数 据，运行具有入侵性和破坏性的程序，破坏被感染系统数据 的安全性和完整性的目的。 分为木马、 网络蠕

14、虫、 移动代码、 复合型病毒。62.恶意代码的防：及时更新系统修补安全漏洞、设置安 全策略限制脚本程序的运行、启用防火墙过滤不必要的服务 和系统信息、养成良好的上网习惯。63.计算机病毒发展趋势：从单一传播、单种行为发展到 通过互联网传播，集电子、文件传染等多种传播方式，融黑客、木马等多种攻击手段于一身的新病毒“恶意代码”64.网络安全设计的基本原则： 1、需求、风险、代价平衡 分析的原则 2 、综合性、整体性原则 3、一致性原则 4、易 操作原则 5、适应性、灵活性原则 6 、多种保护原则。65.网络安全体系结构是对网络信息安全基本问题的应对 措施的集合，通常由保护、检测、响应和恢复等手段构成。66.单机上网用户面临的