组网技术与网络管理 教学课件 作者 7 302 12208 3k ch 11.docVIP

11.9 思考与练习 1. 填空题 (1) 网络安全的目标是机密性、完整性、可用性、真实性和不可否认性安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理根据密钥类型不同可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。包过滤防火墙设置在网络，可以在路由器上实现包过滤。从功能上将入侵检测系统划分为个基本部分：数据采集子系统、数据分析子系统、控制台子系统数据库管理子系统2. 选择题 (1) 信息的( A )就是保证信息在从信源到信宿传输过程前后的一致性。 A．真实性 B．完整性 C．保密性 D．不可否认性 (2) 下列安全协议中直接应用于网络层的安全协议是( ACD )。 A．SSH B．IDS C．IPSec D．SSL (3) IPSec协议体系中，( A )协议主要是对密钥交换进行管理为了克服高温、潮湿、低温、干燥等给计算机设备带来的危害，通常计算机机房的湿度控制在之间。％％％％％％45％65％3. 问答题 1) 简述网络安全防范体系的结构框架。 答：网络安全防范体系的科学性可行性是其可顺利实施的保障。基于DISSP扩展的一个三维安全防范技术体系框架结构第一维是安全服务，给出了种安全属性(ITU-T REC-X.800-199103-I)第二维是系统单元，给出了信息网络系统的组成第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。 框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证访问控制，应用平台需要有针对用户的认证访问控制，需要保证数据传输的完整性保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则该信息网络是安全的。目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力。IDS监控的对象，可以分为两大类：基于网络的系统：这种ID放置网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常基于主机的系统：这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然能对网络攻击进行识别并做出反应，但其侧重点在于发现，不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡网络外部。因此通过网络安全检测技术和防火墙系统结合，可以实现一个完整的网络安全解决方案。PSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配当找到一个相匹配的规则时，包过滤防火墙就按照该规则制的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。IPSec通过查询SPD(Security P1icy Database安全策略数据库)决定对接收到的IP数据包处理。但是IPSec不同于包过滤防火墙的是对IP数据包的处理方法除了丢弃直接转发(绕过IPSec)外，还有一种即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性真实性完整性，通过Internet进安全的通信才成为可能。IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施者。但无论是进行加