通信网络安全与保密(大作业答案).docVIP

什么是计算机病毒计算机病毒（Computer Virus）：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码具有破坏性，复制性和传染性。f、访问控制策略规则中的优先原则：规定了被应用访问控制策略的次序和规则中的优先规则。 （3）机密性：机密的主要目的是防止数据的泄露，确保信息仅仅是对被援权者可用。a、信息的保护：是通过确保数据被限制于援权者，或通过特定方式表达数据来实现。这种保护方式在于数据只对拥有某种关键信息的人才可访问的。实现的方法（a）防止数据存在性和数据特性的知识被人理解，（b）防止对数据的读访问，（c）防止数据语议的知识被人理解；保护数据项的表达式不被泄露，保护数据表达式规则不被泄露。b、隐藏和揭示操作：隐藏操作可模型化为信息从一个环境A移动到A与另一个环境C交叠的区域，揭示操作可看作是隐藏操作的逆操作。 （4）数据的完整性：完整性机制可以识别结构化数据的某些变换，并且不损坏数据的完整性，这些机制允许对签名或密封数据进行交换，而无须分别对签名或密封重新计算。（a）完整性服务的目标：是保护数据免受未援权的修改，包括数据的未援权创建和册除，通过屏蔽、证实、去屏蔽的行为来完成完整性服务；（b）完整性服务方式：应用于信息恢复、传输和管理中的完整性服务有两种方式：第一种对于OSI环境传输的信息，通过屏蔽、使用（N-1）设备的传输及去屏蔽结合起来，形成（N）服务传输，提供完整性服务；第二种对于数据的存储和恢复，通过将屏蔽、存储和恢复及去屏蔽结合起来，提供完整性服务。 （5）不可否认性：（a）不可否认性服务：目的是提供有关特定事件或行为的证据，包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。（b）可信第三方的作用：它的参与是不可否认性的关键，因为仲裁者不可能在没有支持的由争执双方提交的声明基础上做出判断。它除了具有密钥证明、身份证明、时间戳和证据储存等通用功能外还有传递代理和仲裁功能；（c）不可否认性证据：原发不可否认性必须包括原发者可辨别标识符、被发送的数据或数据的数字指纹等证据，也可包括接受者可辨识标识符、数据发出的日期和时间等证据。 四、简述包过滤的基本特点和工作原理。 答：（一）工作原理：1、包的概念：基于协议特定的标准，网络转发设备能够区分包和限制包的能力称为包过滤，数据包是网络上信息流动的单位，由包头和数据组成。包过滤是一种安全机制，它控制那些数据包可以进出网络，那些不可以。 2、包过滤系统的特点：主要特点是可以让我们在一台机器上提供对整个网络的保护，主要优点是仅用一个放置在重要位置上的包过滤路由器就可以保护整个网络，主要缺点是使得该拒绝的包也能进出网络。 3、包过滤器的操作：有如下工作方式：（1）包过滤的标准必须由包过滤设备端口存储起来，即包过滤规则；（2）包到端口时检查报头语法，不检查包体；（3）包过滤规则以特殊的方式存储；（4）如果一条规则阻止，则此包不被通过，（5）如果一条规则允许，则此包可继续，（6）如果一个包不满足任何一条规则，则此包被阻塞。4、局限性：（1）定义包过滤器规则比较复杂；（2）网络设备的吞吐量随过滤数目的增加而减少；（3）不能彻底防止地址欺骗；（4）一些应用协议不适合数据包过滤；（5）正常的包过滤无法执行某些安全策略；（6）一些包过滤不提任何日志能力；（7）IP包过滤难以进行有效的流量控制。 （二）包过滤技术的特点：1、如果在路由器上实现包过滤，费用非常小；2、流量适中并定义较少的过滤器，对路由器的性能几乎没影响；3、包过滤路由器对用户和应用来讲是透明的；4、定义包过滤器会比较复杂；5、任何直接经过路由器的数据包都有被用做数据驱运式攻击的潜在危险；6、随过滤数目的增加，路由器吞吐量会下降；7、包过滤器可能无法对网上流动的信息提供全面控制；8、系统启动时随机分配端口，就很难进行有效过滤；9、通常包过滤器只按规则丢弃数据包，不具备审计功能。