网络安全复习题教材.docxVIP

第一章网络安全概述2．网络系统面临的主要威胁有哪些？答：网络系统威胁主要有两个方面：网络存储威胁和网络传输威胁。网络存储威胁是指信息在网络结点上静态存放状态下受到的威胁，主要是网络内部或外部对信息的非法访问。网络传输威胁是指信息在动态传输过程中受到的威胁，主要有以下几种威胁。截获、中断、篡改和伪造。3．主动攻击和被动攻击的区别是什么？答：在被动攻击中，攻击者只是观察和分析某一个协议数据单元而不干扰信息流。主动攻击是指攻击者对某个连接中通过的协议数据单元进行各种处理。第2章网络安全体系结构1．计算机网络安全的模型有哪两种？答：（1）P2DR模型：P2DR是Policy（策略）、Protection（防护）、Detection（检测）和 Response（响应）的缩写。P2DR 模型是在整体的策略的控制和指导下，在运用防护工具保证系统运行的同时，利用检测工具评估系统的安全状态，通过响应工具将系统调整到相对安全和风险最低的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证系统的安全。（2）PDRR模型：PDRR是Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）的缩写。PDRR模型中安全策略的前三个环节与PPDR模型中后三个环节的含义基本相同。最后一个环节，恢复是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。2．简述Internet网络安全体系结构框架。答：OSI安全体系结构的内容主要包括：描述了安全服务及相关的安全机制，提出了参考模型，定义了安全服务和安全机制在参考模型中的位置。安全体系结构三维图见下图。第四章2.会话建立过程由呼叫触发，在拨号接入的情况下，由用户至LAC的入呼叫触发。消息过程将交换如下信息：LAC和LNS各自为会话分配的会话ID；数据信道的承载类型和帧封装类型；主被叫号码及子地址；收发线路速率；数据消息是否要加序号。在拨号接入时，虽然PPP的终点是在LNS，但LAC亦可根据需要与远端系统进行LCP协商和认证，称为代理LCP协商和认证。LAC与用户协商完成后，启动与LNS间的入呼叫会话建立过程，并在成功消息ICCN（IncomingCallConnected）中，将LAC和用户最终交换的LCP协商结果、用户初次发送的LCP协商请求、以及认证类型和认证参数送给LNS，LNS审核后可以省略LCP协商过程，如果LNS认为LAC不可信任，也可重新发起和远端系统的LCP协商。会话建立过程下图为LAC执行代理协商和认证的入呼叫接入的协议过程。图中假设PC用户经PSTN(Public Switched Telephone Network)拨号方式发起呼叫，用户认证采用PAP算法。LAC根据用户名确定接入的ISP并在ICCN消息中将协商和认证结果传给LNS，LNS认可后将给用户分配动态IP地址。LNS还具有资源分配功能，如果隧道中的呼叫数已达到一定限度，LNS可以不再接受新的呼叫。L2TP PPP连接全程建立过程3.IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。下图是IPSec一个应用示例，图中有一个用户系统和两个LAN。LAN内的通信未考虑安全性，然而从用户系统和LAN发出通信业务流时，都需在网际设备中使用IPSec协议。网际设备指路由器或防火墙等设备，用于将LAN连接到外部网中。网际设备对发往WAN的业务流进行加密和压缩，对来自WAN的业务流进行解密和解压缩。以上运算对LAN上的工作站和服务器来说都是透明的。4.密码规范变更协议由单个消息组成，该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态，更新用于当前连接的密码组。为了保障SSL传输过程的安全性，双方应该每隔一段时间改变加密规范。5.（1）强行密码分析攻击：SSL能抵御强行密码分析以安全地保护机密数据，SSL所使用的加密算法应该在被选择明文∕被选择密文攻击下是安全的。IETF的IPSEC工作组的最近研究表明，SSL 3.0的记录层能够抵御这些强有力的攻击（2）重放攻击：通过在生成的数据中加入隐藏的序列号，来防止重放攻击。这种机制也可以防止被耽搁的，被重新排序的，或者是被删除数据的干扰。序列号的长度是位。另外，序列号由每个连