本文格式为Word版,下载可任意编辑计算机网络安全简答题参考答案 第1章 网络安好概述与环境配置 1. 网络攻击和防卫分别包括哪些内容? 答:攻击技术主要包括以下几个方面 (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据 (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是察觉漏洞,为入侵该计算机做打定 (3)网络入侵:当探测察觉对方存在漏洞后,入侵到目标计算机获取信息 (4)网络后门:告成入侵目标计算机后,为了实现对“战利品”的长期操纵,在目标计算机中种植木马等后门 (5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹除掉,从而防止被对方管理员察觉 防卫技术主要包括以下几个方面 (1)安好操作系统和操作系统的安好配置:操作系统是网络安好的关键 (2)加密技术:为了防止被监听和数据被盗取,将全体的数据举行加密 (3)防火墙技术:利用防火墙,对传输的数据举行限制,从而防止被入侵 (4)入侵检测:假设网络防线最终被攻破,需要实时发出被入侵的警报 (5)网络安好协议:保证传输的数据不被截获和监听 2. 从层次上,网络安好可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安好分成4个层次上的安好:物理安好,规律安好,操作系统安好和联网安好。
物理安好主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏 规律安好需要用口令、文件许可等方法来实现 操作系统安好,操作系统务必能区分用户,以便防止相互干扰操作系统不允许一个用户修改由另一个账户产生的数据 联网安好通过访问操纵服务和通信安好服务两方面的安好服务来达成1)访问操纵服务:用来养护计算机和联网资源不被非授权使用2)通信安好服务:用来认证数据机要性与完整性,以及各通信的可相信性 (感觉假设说是特点的话这样回复有点别扭 3. 为什么要研究网络安好? 答:网络需要与外界联系,同时也就受到大量方面的要挟:物理要挟、系统漏洞造成的要挟、身份鉴别要挟、线缆连接要挟和有害程序要挟等可细致开展) 4. 分别举两个例子说明网络安好与政治、经济、社会稳定和军事的联系 答:政治:在1999年1月份左右,美国黑客组织“美国地下军团”联合了波兰、英国的黑客组织及其他的黑客组织,有组织地对我国的政府网站举行了攻击在1999年7月,台湾李登辉提出两国论的时候,我国一些政府网站遭到攻击 经济:1999年4月26日,台湾人编制的CIH病毒的大爆发,据统计,我国受其影响的PC机总量达36万台之多。
有人估计在这次事情中,经济损失高达12亿元2022年3月30日,中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)对网民用于处理网络安好事情支出的费用举行统计显示:2022年,网民处理安好事情所支出的服务费用共计153亿元人民币;在实际产生费用的人群中,费用在100元及以下的占比51.2%;人均费用约588.9元;如按国内3.84亿网民计算,人均处理网络安好事故费用约为39.9元 社会:1999年4月,河南商都热线的一个BBS上,一张说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的混乱,三天十万人上街排队,一天提款十多亿2022年2月8日正是春节,新浪网遭遇攻击,电子邮件服务器瘫痪了18个小时,造成了几百万用户无法正常联络 军事:在其次次世界大战中,美国破译了日本人的密码,几乎全歼山本五十六的舰队,重创了日本海军2022年1月,日本防卫省抉择,在2022年度建立一支特意的“网络空间防卫队”,初期人数为60人,相关经费达7000多万美元,以警惕黑客攻击,加强养护机密信息的才能 5. 国内和国际上对于网络安好方面有哪些立法? 答:国内立法处境: 目前网络安好方面的法规已经写入《中华人民共和国宪法》。
于1982年8月23日写入《中华人民共和国商标法》,于1984年3月12日写入《中华人民共和国专利法》,于1988年9月5日写入《中华人民共和国保守国家机要法》,于1993年9月2日写入《中华人民共和国反不正值竞争法》于1991年6月4日写入《计算机软件养护条例》,于1994年2月18日写入《中华人民共和国计算机信息系统安好养护条例》,为了加强对计算机犯罪的打击力度,在1997年对《刑法》举行重新修订时,加进了计算机犯罪的条款 于1999年10月7日写入《商用密码管理条例》,于2000年9月20日写入《互联网信息服务管理手段》,于2000年9月25日写入《中华人民共和国电信条例》,于2000年12月29日写入《全国人大常委会关于网络安好和信息安好的抉择》 国际立法处境: 美国和日本是计算机网络安好对比完善的国家,一些进展中国家和第三世界国家的计算机网络安好方面的法规还不够完善 欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织为在共同体内正常地举行信息市场运作,该组织在诸多问题上建立了一系列法律,概括包括:竞争(反托拉斯)法,产品责任、商标和广告规定法,学识产权养护法,养护软件、数据和多媒体产品及版权法,以及数据养护法、跨境电子贸易法、税收法、司法等。
这些法律若与其成员国原有国家法律相冲突,那么务必以共同体的法律为准 6. 网络安好橙皮书是什么?包括哪些内容? 答:网络安好橙皮书是根据美国国防部开发的计算机安好标准——可信任计算机标准评价准那么(Trusted Computer Standards Evaluation Criteria,TCSEC),1985年橙皮书成为美国国防部的标准,多年以来它一向是评估多用户主机和小型操作系统的主要方法其他子系统(如数据库和网络)也一向用橙皮书来解释评估橙皮书把安好的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示 表1-1 安 全 级 别 类 别 级 别 名 称 主 要 特 征 低级养护 没有安好养护 D D 自主安好养护 自主存储操纵 C1 C 受控存储操纵 单独的可查性,安好标识 C2 B1 标识的安好养护 强制存取操纵,安好标识 布局化养护 面向安好的体系布局,较好的抗渗透才能 B B2 安好区域 存取监控、高抗渗透才能 B3 A A 验证设计 形式化的最高级描述和验证 D级是最低的安好级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不成信任的。
对于硬件来说,没有任何养护措施,操作系统轻易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件属于这个级别的操作系统有DOS和Windows 98等 C1是C类的一个安好子级C1又称选择性安好养护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安好级别这种级别的系统对硬件又有某种程度的养护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并抉择用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性依旧存在 用户拥有的访问权是指对文件和目标的访问权文件的拥有者和超级用户可以变更文件的访问属性,从而对不同的用户授予不通的访问权限 C2级除了包含C1级的特征外,理应具有访问操纵环境(Controlled Access Environment)权力该环境具有进一步限制用户执行某些命令或者 访问某些文件的权限,而且还参与了身份认证等级另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以察觉入侵的痕迹,如屡屡登录失败,也可以大致揣测出可能有人想入侵系统。
审计除了可以记录下系统管理员执行的活动以外,还参与了身份认证级别,这样就可以知道谁在执行这些命令审计的缺点在于它需要额外的处理时间和磁盘空间 使用附加身份验证就可以让一个C2级系统用户在不是超级用户的处境下有权执行系统管理任务授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目次能够达成C2级别的常见操作系统有如下几种: (1)UNIX系统; (2)Novell 3.X或者更高版本; (3)Windows NT,Windows 2000和Windows 2022 B级中有三个级别,B1级即标志安好养护(Labeled Security Protection),是支持多级安好(例如:机要和绝密)的第一个级别,这个级别说明处于强制性访问操纵之下的对象,系统不允许文件的拥有者变更其许可权限 安好级别存在机要和绝密级别,这种安好级别的计算机系统一般在政府机构中,譬如国防部和国家安好局的计算机系统 B2级,又叫布局养护(Structured Protection)级别,它要求计算机系统中全体的对象都要加上标签,而且给设备(磁盘、磁带和终端)调配单个或者多个安好级别。
B3级,又叫做安好域(Security Domain)级别,使用安装硬件的方式来加强域的安好,例如,内存管理硬件用于养护安好域免遭无授权访问或更改其他安好域的对象该级别也要求用户通过一条可信任途径连接到系统上 A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、操纵和验证过程该级别包含较低级别的全体的安好特性 第2章 网络安好协议根基 1. 简述OSI参考模型的布局 答:OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个彼此连接的协议层,自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层 2. 简述TCP/IP协议族的根本布局,并分析每层可能受到的要挟及如何防卫 答:TCP/IP协议族包括4个功能层,自顶向下分别为:应用层、传输层、网络层、网络接口层 应用层中好多应用程序驻留并运行在此层,并且凭借于底层的功能,使得该层是最难养护的一层简朴邮件传输协议(SMTP)轻易受到的要挟是:邮件炸弹,病毒,匿名邮件和木马等。
养护措施是认证、附件病毒扫描和用户安好意识教导文件传输协议(FTP)轻易受到的要挟是:明文传输、黑客恶意传输非法使用等养护的措施是不许匿名登录,单独的服务器分区,遏止执行程序等超文本传输协议(HTTP)轻易受到的要挟是:恶意程序(ActiveX控件,ASP程序和CGI程序等) 传输层可能受到的要挟是拒绝服务(DOS)和分布式拒绝(DDOS)服务的攻击,其中包括TCP SYN吞噬攻击、SSL中间人攻击、Land攻击、UDP吞噬攻击、端口扫描攻击等,养护措施是正确设置客户端SSL,使用防火墙对来源不明的有害数据举行过渡等 网络层可能受到的要挟是IP坑骗攻击,养护措施是使用防火墙过滤和打系统补丁 网络接口层又可分为数据链路层和物理层 数据链路层可能受到的要挟是内容录址存储器表格吞噬、VLAN中继、操纵生成树协议、MAC地址坑骗、ARP攻击、专用VLAN、DHCP耗竭等养护措施是,在交换机上配置端口安好选项可以防止CAM表吞噬攻击正确配置VLAN可以防止VLAN中继攻击使用根目次养护和BPDU养护加强命令来保持网络中主网桥的位置不发生变更,可防止操纵生成树协议的攻击,同时也可以强化生成树协议的域边界。
使用端口安好命令可以防止MAC坑骗攻击对路由器端口访问操纵列表(ACL)举行设置可以防止专用VLAN攻击。