计算机网络安全期末重点

计算机网络安全期末重点计算机网络安全期末重点计算机网络安全期末重点V:1.0精细整理，仅供参考计算机网络安全期末重点日期：20xx年X月第一章1、何为计算机网络安全网络安全有哪几个特征各特征的含义是什么网络安全指利用各种网络管理、控制和技术措施，使网络系统的硬件、软件及其系统中的数据资源受到保护，不因一些不利因素影响而使这些资源遭到破坏、更改、泄露，保证网络系统连续、可靠、安全地运行。网络安全特征：网络系统的可靠性：指保证网络系统不因各种因素的影响而中断正常工作。软件及数据的完整性：是指保护网络系统中存储和传输的软件（程序）及数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统中的程序不被破坏。软件及数据的可用性：是指在保证软件和数据完整性的同时，还要能使其被正常利用和操作。软件及数据的保密性：主要是利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据不被无关人员识别。2、网络系统的脆弱性主要表现在哪几个方面？操作系统的脆弱性；计算机系统本身的脆弱性；电磁泄露；数据的可访问性；通信系统和通信协议的弱点；数据库系统的脆弱性；网络存储介质的脆弱。3、网络安全的威胁主要来自那几个方面通常说网络威胁有哪两大类

网络安全地威胁主要来自外部的人为影响和自然环境的影响。无意威胁和故意威胁。4、OSI网络安全体系涉及哪几个方面网络安全服务和安全机制各有哪几项

网络安全体系结构主要包括网络安全机制和网络安全服务两方面。网络安全服务（五项）：鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和非否认服务。网络安全机制（八项）：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。5、P2DR模型中的P、P、D、R的含义是什么？安全策略、防护、检测、响应。6、请列出你熟悉的几种常用的网络安全防护措施。主动防护技术：数据加密、身份验证、访问控制、授权和虚拟网络（VAN）技术被动防护技术：防火墙技术、安全扫描、入侵检测、路由过滤、数据备份和归档、物理安全、安全管理等。被动攻击(窃取)：攻击者只通过监听网络线路上的信息流而获得信息内容，或获得信息内容，或获得信息的长度、传输频率等特征，以便进行信息流量分析攻击。（破坏保密性）主动攻击（中断、篡改、伪造）：攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。第二章1、简述常用的访问控制措施。入网访问控制2.权限访问控制3.属性访问控制4身份验证2、入网访问控制通常包括几个方面？用户名和口令验证账户锁定用户账户的默认限制3、举例说出选择口令和保护口令的方法。选择口令：1.口令长度尽量长2.含有一些特殊字符3.字母数字和其他符号交叉混用4.不要使用系统的默认口令5.不要选择用户的明显标识作为口令(如用户的电话号码、生日日期、姓名的拼音组合等)保护口令：1.不要将口令告诉别人，不要与别人共用一个口令2.不要将其记录在笔记本或计算机等明显位置3.要定期或不定期的更改口令4、使用系统安全程序测试口令的安全性5.重要的口令要进行加密处理等4、简述WindowsNT的安全技术。1.Kerberos：是一种验证协议，定义了客户端和密钥分配中心网络验证服务间的接口2.EFS：是一种加密文件系统，提供了从单一文件到整个目录的加密和解密功能3.IPSecurity：因特网安全协议，使用基于工业标准的算法和全面的安全性管理，为发生在企业防火墙两侧的基于TCP/IP的通信提供了安全性支持，使WindowsNT能够同时低于来自内部和外部的攻击5、简述Windows2000系统新增加和改进的安全措施和技术。安全措施：1.及时备份系统；2.设置系统格式为NTFS；3.加密文件或文件夹；4.取消共享目录的EveryOne分组；5.创建紧急修复磁盘；6.使用好安全规则；7.对系统进行跟踪记录。技术：1.活动目录；2.身份验证；3.基于对象的访问控制；4.数据安全性技术。6、简述Linuux系统的安全性。Linux的安全级已达到TCSEC的C2级。安全措施：身份验证机制、用户权限体系、文件加密机制、安全系统日志和审计机制、强制访问控制第三章简述机房选址是对机房环境及场地的考虑。1.避开有害气体来源以及存放腐蚀，易燃，易爆物品的地方，避开低洼，潮湿的地方，避开强震动源和强噪声源，避开电磁干扰源。2.外部容易接近的进出口应有栅栏或监控措施。3.机房内应安装监事和报警装置4.建筑物周围要有足够量度的照明设施和防止非法进入的设施5.机房供电系统应将动力，照明，用电与计算机系统供电线路分开简述机房的防火和防水措施。防火：建筑物防火、设置火灾报警系统及灭火装置、加强防火安全管理防水：1.机房的地面和墙壁使用防渗水和防潮材料处理2.机房四周应筑有水泥墙3.对机房房屋顶要进行防水处理，平顶屋要有坡度4.地板下区域要有合适的排水设施5.机房内，机房附近房间或机房的楼上不应有蓄水设备简述机房的静电防护设施？机房建设时，在机房地面铺设防静电地板工作人员在工作时穿戴防静电衣服和鞋帽工作人员在拆装和检修机器时应在手腕上戴防静电手环保持机房内相应的温度和湿度简述机房的电磁辐射防护设施？类型：对传导发射的防护、对辐射的保护具体保护：设备保护，使用低辐射力的设备终端建筑保护，采取相应屏蔽措施区域保护通信线路保护TEMPEST技术防护（抑制屏蔽和干扰性防护）简述机房的电源系统措施？隔离和自动稳压、稳压稳频器、不间断电源简述路由器协议安全的配置

RIP路由协议验证OSPF路由协议验证：简单口令认证MD5认证EIGRP路由协议验证简单网管协议SNMP的安全简述安全交换机的性能？安全认证访问控制列表防火墙入侵检测防攻击防病毒填空题：按计算机系统的安全要求，机房的安全可分为A级B级C级三个级别根据国家标准，大型计算机机房一般具有交流工作地直流工作地安全保护地防雷保护地等4种接地方式。网络机房的保护通常包括机房的防火防水防雷和接地，防静电防盗防震等措施一般情况下，机房的温度应控制在10-35度，机房的相对湿度应为30%-80%电磁辐射的保护可分为设备保护，建筑保护，区域保护，通信线路保护和TEMPEST技术等层次在802.1x协议中，具备客户端认证系统和认证服务器三个元素能够完成基于端口的访问控制的用户认证和授权。安全交换机采用了ACL来实现包过滤防火墙的安全功能，增强安全防范能力。第四章1、简述数据库数据的安全措施。有效的用户名/口令鉴别用户访问权限控制数据存取权限、方式控制审计跟踪数据加密组织电磁信息泄露简述数据库系统安全威胁的来源。物理和环境的因素事物内部故障系统故障介质故障并发时间人为破坏病毒与黑客何为数据库的完整性数据库的完整性约束条件有哪些

指保护数据库数据的正确性和一致性静态约束：数值类型与值域的完整性约束、关键字的约束、数据联系（结构）的约束等动态约束：数据从一种状态变成另一种状态时，新旧数值之间的约束何为数据备份数据备份有哪些类型

指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程。计算机系统中的数据备份，通常是指将存储在计算机系统中的数据复制到磁带、磁盘、光盘等存储介质上，在计算机意外的地方另行保管。类型：冷备份、热备份、逻辑备份何为数据容灾数据容灾技术有哪些

计算机系统在遭遇到不可抗拒的灾难和意外时，仍能保证系统数据的完整、可用和系统正常运行。SAN和NAS技术、远程镜像技术、快照技术、虚拟存储技术数据库安全：包括数据库系统的安全性（指在系统级控制数据库的存取和使用的机制）和数据库数据的安全性（指在对象级控制数据库的存取和使用的机制）两层含义。数据库的安全性：指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。数据恢复：指将备份到存储介质上的数据再恢复到计算机系统中（注：与数据备份是相反的过程）第五章简述密码学的两方面含义密码学包括密码编码学和密码分析学。密码编码学是研究密码变化的规律并用之于编制密码以保护秘密信息的科学。是实现对信息保密的。密码分析学是研究密码变化的规律并用之于分析（解释）密码以获取信息的情报科学。是实现对信息解密的。何为分组密码和序列密码（分类标准：明文加密时的处理过程）分组密码：以分组为单位，在密钥的控制下进行的一系列线性和非线性变换而得到密文。序列密码：采用一个比特流发生器随机产生二进制比特流。何为移位密码和替代密码？举例说明。（分类标准：密码转换操作的原理）移位密码：在加密时将明文字母（字符、符号）重新排序，每个字母位置变化了，但没被隐藏起来。是一种打乱跃文顺序的加密方法。替代密码：在加密时将明文中的每个或每组字符由另一个或另一组字符所替换，原字符被隐藏起来，即形成密文。简述对称密钥密码和非对称密钥密码体质及其特点（分类标准：按加密和解密密钥的类型）对称密钥密码：加密密钥和解密密钥相同或相近，有其中一个很容易得出另一个。加密密钥和解密密钥都需要保密。非对称密钥密码：加密密钥与解密密钥不同，且有其中一个不容易得到另一个。往往一个是公开的，另一个是保密的。简述链路加密和端-端加密都是硬件实现的数据加密。链路加密：传输数据仅在数据链路层上进行加密，可以防止报文流量分析的攻击。对一条链路的通信采取保护。端-端加密：传输数据在应用层上完成加密，只能对信息的正文进行加密而不能对报头加密。对防止信息流量分析攻击是脆弱的。对整个网络的通信采取保护PGP软件的功能是什么可应用在什么场合

加密和签名电子邮件和文件简述数字签名的功能。（1）收方能确认发方的签名，但不能伪签（2）发方发出签过名的信息后，不能再否认（3）收方对收到的签名信息也不能否认（4）一旦收发方出现争执，仲裁者可有充足的证据进行评判。公开密钥密码系统：采用不同的加密密钥和解密密钥来对信息加密和解密，有其中一个不容易得到另一个。通常，加密密钥是公开的，解密密钥是保密的，加密和解密算法都是公开的。每个用户拥有一个对外公开的加密密钥（成为公钥）和对外保密的解密密钥（成为私钥）密钥管理：包括密钥的产生、密钥的存储和保护、密钥的更新、密钥的分发、密钥的验证、密钥的使用和密钥的校徽等。鉴别：也叫验证，是防止主动攻击的重要技术。目的是验证用户身份合法性和用户间传出信息的完整性与真实性。鉴别服务包括报文鉴别和身份验证两方面。报文鉴别：为了确保数据的完整性和真实性，对报文的来源、时间及目的地进行验证。其过程涉及加密和密钥交换。身份验证：验证申请进入网络系统者是否是合法用户，以防非法用户访问系统。涉及识别、验证两个过程。数字签名：防止他人对传输的文件进行破坏，以及如何确定发信人的身份所采取的手段。CA认证：网络的一种安全控制技术，可以提供网上交易所需的“信任”。（注：CA证书授权中心或认证中心）数字证书：经CA认证中心数字签名的、包含公钥拥有者信息以及公钥的文件。第六章防火墙的主要功能有哪些？网络安全的屏障②强化网络安全策略③对网络存取和访问进行监控审计④防止内部信息的外泄⑤安全策略检查防火墙有几种体系结构，各有什么特点？①过滤路由器结构:作为内外链接的唯一通道，要求所有的报文都必须在此通过检查。

②双穴主机结构:具有两个或两个以上的接口，在防火墙里它相当于一个网关；双穴主机网关使用一台装有两块网卡的堡垒主机做防火墙。

③主机过滤结构:由一台过滤路由器与外部网络相连，再通过一个可以提供安全保护的堡垒主机与内部网络连接。

④子网过滤结构:在内部网络和外部网络过之间建立一个被隔离的子网，用两台过滤器将这一子网分别与内部网络和外部网分开。简述防火墙的发展趋势。防火墙技术应具备智能化、高速度、分布式、多功能、专业化的发展趋势。简述包过滤防火墙工作机制。包过滤技术是在网络的出入口（如路由器）对通过的数据包进行检查和选择的。选择的依据是系统内设置的过滤逻辑（包过滤规则），也称为访问控制表，通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合，来确定是否允许该数据包通过，通过检查，只有满足条件的数据包才能允许通过。代理防火墙有哪些优缺点？（1）优点：①安全性好②易于配置③能生成各项记录④能灵活、完全地控制进出的流量和内容⑤能过滤数据内容⑥能为用户提供透明的加密机智⑦可以方便地与其他安全技术集成（2）缺点：①速度较慢②对用户不透明③对于不同的服务代理可能要求不同的服务器④通常要求对客户或者过程进行限制⑤代理不能改进底层协议的安全性个人防火墙：个人防火墙是一种能够保护个人计算机系统安全的软件，是可以直接在用户计算机操作系统上运行的软件服务。内部防火墙：（为了保护内部网络虫咬信息的爱犬又是也需要洗内部网络的部分站点再加以保护，以免受内部网其他站点的侵袭。因此，）需要在统一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立一层防火墙，这就是内部防火墙。第一章网络系统的可靠性是指保证网络系统不因各种因素的影响而中断正常的工作。数据的可用性是指在保证软件和数据的完整性的同时，还要能使其被正常利用和操作。网络威胁主要来自认为影响和外部自然环境的影响，他们包括对网络设备的威胁和对网络中信息的威胁。某些人或某些组织想方设法利用网络系统来获取相应领域的敏感信息，这种威胁属于故意威胁。软、硬件的机能市场、人为误操作、管理不善而引起的威胁属于无意威胁。使用特殊技术对系统进行攻击，以便得到有针对性的信息就是一种主动攻击。被动攻击的特点是偷听或监听传送，其目的是获得信息内容。TCSEC将计算机系统的安全分为7个级别，D是最低级别，A是最高级别，C2级是保护敏感信息的最低级别。第二章网络访问控制可分为自主访问控制和强制访问控制。自主访问控制指由系统提供用户有侵权对自身所创建的访问对象（文件、数据表等）进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。常用的身份验证方法有用户名和口令验证、数字证书、SecurityID验证和用户的生理特征等。WindowsNT四种领域型为单域模型，主域模型，多主域模型和完全信赖模型。WindowsNT的安全管理主要包括账号规则，用户权限规则，审核规则和域管理机制等第三章1.按计算机系统的安全要求，机房的安全可分为A级、B级、C级三个级别2.根据国家标准，大型计算机机房一般具有交流工作地直流工作地安全保护地防雷保护地等4种接地方式。3.网络机房的保护通常包括机房的防火防水防雷和接地，防静电防盗防震等措施4.一般情况下，机房的温度应控制在10-35度，机房的相对湿度应为30%-80%5.电磁辐射的保护可分为设备保护，建筑保护，区域保护，通信线路保护和TEMPEST技术等层次6.在802.1x协议中，具备客户端认证系统和认证服务器三个元素能够完成基于端口的访问控制的用户认证和授权。7.安全交换机采用了ACL来实现包过滤防火墙的安全功能，增强安全防范能力。第四章按数据被备份是备份的数据不同，可有安全备份，增量备份，差别备份和按需备份等备份方式。数据恢复操作通常可分为三类：全盘恢复，个别文件恢复和重定向恢复。数据备份是数据容灾的基础。数据的完整性是指保护网络中存储和传输数据不被非法改变。 数据库安全包括数据库系统安全性和数据库信息安全性两层含义。并发控制是指在多用户的环境下，对数据库的并行操作进行规范的机制，从而保证数据的正确性与一致性。当故障影响数据库系统操作，甚至是数据库中全部或部分数据丢失是，希