自考计算机网络安全课后答案.doc

计算机网络安全（自学考试 4751）课后答案 计算机网络面临的典型威胁 窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。 计算机网络的脆弱性 互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。 计算机网络安全目标 保密性、完整性、可用性、不可否认性、可控性 计算机网络安全层次 物理安全、逻辑安全、操作系统安全、联网安全 PPDR包括Policy、Protection Detection Response四个部分。防护、检测和响应组成了一个完整的、动态的安全循环。在整个安全策略的控制和指导下，综合运用防护工具和检测工具掌握系统的安全状态，然后通过适当的响应将网络系统调整到最安全或风险最低的状态，构成一个动态的安全防范体系。 网络安全技术包括 物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术 网络安全管理的主要内容：网络安全管理的法律法规、计算机网络安全评价标准。 网络安全技术的发展趋势：物理隔离、逻辑隔离、防御来自网络的攻击、防御来自网络的病毒、身份认证、加密通信和VPN、入侵检测和主动防御、网管审计和取证。 物理安全包括机房环境安全、通信线路安全、设备安全、电源安全 机房安全要求：场地选择、防火、内部装修、供配电、空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、防电磁泄露。 保障通信线路安全的技术措施：屏蔽电缆、高技术加压电缆、警报系统、局域PBX。 防止电磁辐射措施：屏蔽、滤波、隔离、接地 信息存储安全管理：四防垂直放置、严格管理硬盘数据、介质管理落实到人、介质备份分别放置、打印介质视同管理、超期数据清除、废弃介质销毁、长期数据转存。 密码学三个阶段：古代、古典、近代 密钥：参与密码变换的参数 加密算法：将明文变换为密文的变换函数 明文是作为加密输入的原始信息、密文是明文经加密变换后的结果 加密体制：单钥密码体制、双钥密码体制 认证技术可解决消息完整性、身份认证、消息序号及时间，其分层模型：安全管理协议、认证体制、密码体制 常用的数据加密方式：链路、节点、端到端 PKI：是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可以利用PKI平台提供的安全服务进行安全通信，其采用的标准密钥管理规则能为所有应用透明地提供加密和数据签名等服务所需的密钥和证书管理。 PKI的特点：节省费用、互操作性、开放性、一致的解决方案、可验证性、可选择性。 PKI组成：CA、证书库、证书撤消、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、时间戳、客户端软件。 数字签名与消息认证的区别：消息认证可以帮助接收方验证消息发送者的身份及是否被篡改，对防止第三者破坏是有效的，但当通信双方存在冲突时，需采用数字签名技术进行更有效的消息认证。 防火墙：位于被保护网络与外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 防火墙主要功能：过滤进出网络数据、管理进出网络的访问行为、封堵某些禁止的业务、记录通过防火墙的信息内容和活动、对网络攻击检测和告警。 防火墙的局限性：牺牲网络服务的开放性和灵活性、只是网安防护体系的一部分并非万能。 防火墙的体系结构：双重宿主主机、屏蔽主机、屏蔽子网 个人防火墙特点： 优点：增加保护级别，不需要硬件资源；可抵挡内部攻击；对公共网络的单个系统提供保护，能为用户隐蔽暴露在网络的信息。 缺点：对公共网络只有一个物理接口，使之本身容易受到攻击；运行时需要占用PC资源；只能对单机进行保护。 防火墙发展趋势：优良的性能、可扩展的结构和功能、简化的安装和管理、主动过滤、防病毒和黑客、发展联动技术 包过滤技术是在网络层对数据包进行选择，根据ACL检查数据流中每个包的源地址、目的地址、端口、协议状态来确定是否允许该数据包通过。 代理服务技术是由代理服务器代表客户处理连接请求，由其核实客户请求，用特定的安全化的Proxy应用程序来处理连接请求后递交服务器，在接收服务器应答后，经过进一步处理后，交付给客户。优点：安全；缺点速度慢。又称代理防火墙。 状态防火墙的特点：高安全性、高效性、可伸缩和易扩展性、应用范围广。 NAT工作原理：在局域网内部使用内部地址，当内部节点要与外部网络通信时，在网关处将内部地址替换成公用地址，从而在外网上正常使用。分为静态NAT、动态NAT、网络地址端口转换NAPT。 入侵检测原理：入侵检测是用于检测任何损害或企图损害系统的保密性、完整性、可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权