网络项目安全技术复习预习题.doc

《网络项目安全技术复习预习题.doc》由会员分享，可在线阅读，更多相关《网络项目安全技术复习预习题.doc（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.网络安全技术复习题(郑州大学信息工程学院 2012-11-20)一.单项选择题1.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的这是对（A ）。 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? AA.拒绝服务 B.文件共享 C.BIND 漏洞 D.远程过程调用 3.关于 80 年代 Mirros 蠕虫危害的描述，哪句话是错误的? （B ）。 A.占用了大量的计算机处理器的时间，导致拒绝服务 B.窃取用户的机密信息，破坏计算机数据文件 C.该蠕虫

2、利用 Unix 系统上的漏洞传播 D.大量的流量堵塞了网络，导致网络瘫痪 4.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么? BA.安装防病毒软件 B.给系统安装最新的补丁 C.安装防火墙 D.安装入侵检测系统 5.为了防御网络监听，最常用的方法是：（B ）。 A.采用物理传输（非网络） B.信息加密 C.无线网 D.使用专线传输 6.以下不属于防火墙作用的是 （C ）。A.过滤信息 B.管理进程 C.清除病毒 D.审计监测 7.防火墙可分为两种基本类型是 （C ）。A.分组过滤型和复合型 B.复合型和应用代理型 C.分组过滤型和应用代理型 D.以上都

3、不对 8.以下不属分布式防火墙的产品的有 （B ）。A.网络防火墙 B.软件防火墙 C.主机防火墙 D. 中心防火墙 9.以下不属入侵检测中要收集的信息的是 （ B）。A.系统和网络日志文件 B.目录和文件的内容 C.程序执行中不期望的行为 D.物理形式的入侵信息 10.以下关于 DOS 攻击的描述，哪句话是正确的? （A ）。A.导致目标系统无法处理正常用户的请求 B.不需要侵入受攻击的系统 C.以窃取目标系统上的机密信息为目的 D.如果目标系统没有漏洞，远程攻击就不可能成功 11.PKI 的全称是 （D ）。A. Private Key Intrusion B. Public Key In

4、trusion C. Private Key Infrastructure D. Public Key Infrastructure 12.下面哪个是为广域网（WWW）上计算机之间传送加密信息而设计的标准通信协议 AA.SSL B.HTTPS C.HTTP D.TSL 13.PPTP 是建立在哪两种已经建立的通信协议基础上（B ）。 A.PPP 解密空间 DkM,其中 kK。3.简述 IP 欺骗攻击的步骤，并列举三种以上的防范措施。首先，目标主机已经选一。其次，信任模式已被发现， 并找到了一个被目标主机信任的主机。黑客为了进行 IP 欺骗，进行以下工作： 使得被信任的主机丧失工作能力，同时采样

5、目标主机发出的 TCP 序列号， 猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标 主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令 放置一个系统后门，以进行非授权操作。 防范措施：1.抛弃基于地址的信任策略 2.进行包过滤 3. 使用随机化的初始序列号 4.简述缓冲区溢出攻击的原理。 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。*作系统所使用的缓冲区又

6、被称为堆栈，在各个*作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。 .5.简述 DDoS 攻击的概念。 DDOS 是英文 Distributed Denial of Service 的缩写，意即“分布式拒绝服务” ，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻 止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。DDOS 的攻击策略侧重于 通过很多“僵尸主机” （被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被

7、实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝 服务攻击又被称之为“洪水式攻击”，常见的 DDOS 攻击手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 等；6.简述包过滤防火墙的基本特点及其工作原理。 包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP 层），故也称网络层防火墙（ Networ

8、k Lev Firewall）或 IP 过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。 7.描述对单机计算机病毒的防范方法。 装杀毒软件，开启防火墙，定期杀毒，电脑重要文件备份。不要随便直接运行或直接打开电子函件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和 Office 文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。8.简述

9、CIDF(公共入侵检测框架)模型的组成及结构。事件产生器、事件分析器、事件数据库、事件响应器分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 ；控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。9.简述基于主机的扫描器和基于网络的扫描器的异同。第一，基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供 Windows 2000 操作系统的密码，这种情况

10、下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。另外，Unix 系统中有些程序带有 SetUID 和 SetGID 功能，这种情况下，涉及到 Unix 系统文件的权限许可问题，也无法检测。第二，基于网络的漏洞扫描器不能穿过防火墙。如图 3 所示，与端口扫描器相关的端口，防火墙没有开放，端口扫描终止。第三，扫描服务器与目标主机之间通讯过程中的加密机制。从图 3 可以看出，控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话，攻击者就可以利用sniffer 工具，来监听网络中的数据包，进而得到各目标注集中的漏洞信息。六.网络攻击技术简答

11、题1.攻击一般有哪几个步骤? 预攻击 攻击 后攻击2.举例说明如何利用缓冲区溢出实现攻击。NetMeeting 缓冲区溢出：攻击者的代码可以在客户端执行，恶意的网页作者连接到 NetMeeting 的 SpeedDial 入口，导致 NeetMeeting 停止响应或者挂起，停止响应后，攻击者的代码将在受害者的计算机中执行；.如 Remote root exploit，通过网络，无需认证即可获得远程主机的 root 权限。3.目标信息收集是黑客攻击的首先要做的工作，可以通过哪些方法收集哪些信息？非技术手段：从目标机构的网站获取；新闻报道，出版物；新闻组或论坛；假冒他人，获取第三方的信任；搜索引

12、擎技术手段：Ping； Tracert / Traceroute； Rusers / Finger； Host / nslookup这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息4.常用的扫描技术有哪几种?端口扫描技术TCP Connect() 扫描 TCP SYN 扫描 漏洞扫描技术CGI 漏洞扫描、POP3 漏洞扫描、FTP 漏洞扫描5.为什么远程计算机的操作系统可以被识别?利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证6.简述网络嗅探的原理

13、。网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段。 7.简述 DDoS 攻击的原理，举出两种不同的攻击方式。分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。TCP 混乱数据包攻击，用 UDP 协议的攻击，WEB Server 多连接攻击8.结合身边的网络环境或现实的攻击实例，了解攻击者使用的网络攻击方法。社会工程学攻击 物理攻击 暴力攻击 利用 Unicode 漏洞攻击利用缓冲区溢出漏洞进行攻击等技术。七. 计算机病毒及恶意代码简答题 1.传统病毒和木马.蠕虫各有哪些特点和区别？病毒：有传染性、隐蔽性、潜伏性

14、、破坏性 木马：它是具有欺骗性的文件，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点 蠕虫：通过网络协议漏洞进行网络传播，不利用文件寄生(有的只存在于内存中) ，对网络造成拒绝服务，以及和黑客技术相结合 2.脚本病毒的原理是什么，如何进行防御？利用脚本来进行破坏的病毒，其特征为本身是一个 ASCII 码或加密的 ASCII 码文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统命令造成危害。禁用文件系统对象 FileSystemObject，卸载 Windows Scripting Host，删除 VBS、VBE、JS、J

15、SE 文件后缀名与应用程序的映射。3.蠕虫的工作机制是什么，如何在网络上大规模传输？是指利用网络缺陷进行繁殖的病毒程序，其原始特征之一是通过网络协议漏洞进行网络传播。蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。4.木马技术有哪些植入方法？木马是如何实现加载和隐

16、藏的？.方法：利用启动入口植入：方法二系统路径遍历优先级欺骗：方法三文件并联型木马： 方法四替换系统文件： 网页植入、程序下载、人工植入1、集成到程序中 2 、隐藏在配置文件中 3、潜伏在 Win.ini 中 4、伪装在普通文件中 5、内置到注册表中5.什么是网络钓鱼？主要有哪些方法？网络钓鱼”攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。网络钓鱼的主要手法：这个病毒是发送电子邮件，虚假信息引诱用户中圈套等方式，假冒网上银行、网上证

17、券网站，骗取用户帐号密码实施盗窃，还有的利用虚假的电子商务进行欺骗。6.僵尸程序和木马技术有哪些异同点？僵尸网络 :僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染 bot 程序（僵尸程序） ，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。木马技术：木马是一类恶意程序。木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，不一定要控制。7.通过哪些方法可以检测到木马?检测网络连接 ，禁用不明服务， 轻松检查账户 对比系统服务项 杀毒软件 1、 检查注册表中 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVers

18、ionRun 和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为 EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项） 。2、 检查注册表 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMai

19、n 中的几项（如 Local Page） ，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码（如“万花谷”）就经常修改这几项。3、检查 HKEY_CLASSES_ROOTinifile shellopencommand 和 HKEY_CLASSES_ROOT txtfileshellopencommand 等等几个常用文件类型的默认 打 开 程 序 是 否 被 更 改 。 这 个 一 定 要 改 回 来 ， 很 多 病 毒 就是 通 过 修 改 .txt、 .ini 等 的 默 认 打 开 程 序 而 清 除 不 了 的 。 例 如 “罗 密 欧 与 朱 丽 叶 ”?BleBla

20、病 毒 就 修 改 了 很 多 文 件（ 包 括 .jpg、 .rar、 .mp3等 ） 的 默 认 打 开 程 序 。8.什么是浏览器劫持？浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象） 、WinsockLSP 等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。所谓浏览器劫持是指网页浏览器（IE 等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。9.什么是流氓软件，流氓软件具有哪些特征？流氓软件，也叫“恶意软件” ，是对网络上散播的带有不良

21、目的软件的一种称呼。也指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。流氓软件通常具有以下特征：采用多种社会和技术手段，强行或者秘密安装，并抵制卸载； 强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项； 强行弹出广告，或者其他干扰用户占用系统资源行为； 有侵害用户信息和财产安全的潜在因素或者隐患；与病毒联合侵入用户电脑;停用防毒软件或其他电脑管理程式来做进一步的破坏;.未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。 八. 操作系统安全简答题 1.操作系统的访问控制方法有哪些？ 自主访

22、问控制（Discretionary Access Control，DAC） 强制访问控制（Mandatory Access Control，MAC）两种形式2.以 Windows XP/2000/2003 为例，分析该操作系统具有哪些访问控制功能？注册表安全策略、组策略、文件和文件夹加密及其访问控制。3.Windows 系统的安全机制都有哪些？硬件安全机制 操作系统的安全标识与鉴别访问控制、最小特权管理 可信通路和安全审计4. 以你本人所使用的操作系统为例，你目前已采取了哪些安全措施？分析还存在哪些安全隐患，考虑下一步该采 取哪些安全措施来增强系统的安全性。我使用了金山毒霸杀毒软件，停止了 G

23、uest 帐号，设置了名为“Administrator”的陷阱账号，设置了复杂的开机密码，关闭了不必要的服务，关闭了不必要的端口、开启了审核策略，及时更新补丁。安全级别还不够高，还可以关闭 DirectDraw、关闭默认共享；禁用 Dump File、加密 Temp 文件夹、锁住注册表、关机时清除文件；禁止判断主机类型、抵抗 DDOS。5.在学习生活中你和你的同事.同学遇到过 QQ 帐号.网络游戏帐号或者网上交易帐号被盗的情况吗？分析原因并思考以后该采取哪些措施进行有效防范？被网络钓鱼骗了，中了木马，在网吧被浏览器几下密码。没有安全意识，关闭不必要的服务，关闭不必要的端口，经常更新系统补丁，浏

24、览器禁用 cookie，关闭默认共享6.以你本人所使用的操作系统为例，检测该系统存在哪些安全漏洞？平时你是如何来修复操作系统漏洞和应用软件漏洞的？UPnP 存在缓冲区溢出漏洞，自注销”漏洞 ，远程桌面漏洞 。下载安装响应补丁，离开时锁定计算机，停止远程桌面使用。九. 防火墙及其应用简答题1.什么是防火墙？解释防火墙的基本功能及其局限性。指隔离在本地网络与外界网络之间的一道防御系统。一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，他是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。可以限制未授权的用户进入内部网络，过滤掉

25、不安全的服务和非法用户；防止入侵者接近网络防御设施；限制内部用户访问特殊站点。不能防范网络内部的攻击；不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限；不能防止传送己感染病毒的软件或文件；2 .简述防火墙技术发展的未来趋势。(1)实用专门的芯片负责访问控制功能、设计新的防火墙的技术构架。(2)数据加密技术的实用，使合法访问更安全。(3)混合实用包过滤技术、代理服务技术和其它一些新技术。(4)目前，人们正在设计新的 IP 协议和 IPV6。IP 协议的变化将对防火墙的建立与运行产生深刻的影响。(5)分布式防火墙。(6)对数据包的全方位的检

26、查。3.阐述包过滤防火墙.电路级网关和应用级网关防火墙的工作原理。 数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定.是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。 电路级网关提供一个重要的安全功能代理服务器，对数据包起转发的作用。 应用级网关可以工作在 OSI 七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，4.说明屏蔽子网防火墙体系架构的特点，并比较它与双宿主主机.屏蔽主机体系结构的优劣。屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”网络后，它支持网络层和应

27、用层安全功能。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。5.了解你身边的网络（如实验室网络、校园网）采用何种防火墙体系结构，并以图例阐述它的工作方式。校园网防火墙一般是屏蔽子网体系结构，他是在屏蔽主机体系结构基础上,添加了额外的一层保护体系 周边网络。堡垒主机位于周边网络上 ,周边网络和内部网络被内部路由器分开。这样做是因为堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机 ,能减少在堡垒主机被侵入的影响。6.构建防火墙体系的基本步骤有哪些？并说明每一步骤中应当注

28、意的地方。(1) 选择一台具有路由能力的 PC； (2) 加上两块网卡， 例如以太网或串行卡等； (3) 禁止 IP 转发； (4) 打开一个网卡通向 Internet； (5) 打开另一个网卡通向内部网。十. 网络隔离技术简答题1.简述路由器的概念及其工作原理。路由器（Router）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是用于连接两个或者多个网络的网络互连设备。路由器工作于 OSI 七层协议中的第三层，其主要任务是接收来自一个网络接口的数据包，根据其中所含的目的地址，决定转发到下一个目的地址。因此，路由器首先得

29、在转发路由表中查找它的目的地址，若找到了目的地址，就在数据包的帧格前添加下一个 MAC 地址，同时 IP 数据包头的 TTL（Time To Live）域也开始减数，并重新计算校验和。当数据包被送到输出端口时，它需要按顺序等待，以便被传送到输出链路上。2.如何合理的选择路由器功能？根据网络地址转换 包过滤 状态包过滤 访问控制选择3.路由器的加固方法有哪些？ 加固操作系统； 锁住管理点； 禁止不必要的服务：如 NTP，finger 等阻断因特网控制消息协议（ICMP） 禁止源路由 路由器日志查看4.为什么要进行资源隔离？资源隔离包括哪些内容？资源隔离的主要目的是将入侵行为带来的影响控制在特定的

30、区域，资源隔离有助于更好的实施安全策略资源隔离有助于实施管理。子网隔离 服务隔离 用户隔离 数据隔离5.试述资源隔离的主要依据。资源敏感度 资源受到损害的可能性 易管理性 设计者自己的分类标准6.资源隔离的基本方法有哪些？同一子网内的资源隔离：不同服务用不同的用户身份进行管理；使用特定的工具进行安全区域的划分；不同服务尽可能运行在不同的服务器上。不同子网的资源隔离。7.详细叙述资源隔离的四种技术。路由器 防火墙 交换机 VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术.十一. 网络安全技术简答题1. 试述网络安全的的特性。保密性; 完整性; 可用

31、性; 可控性; 可审查性2、什么是包过滤防火墙？简述它的工作原理。包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。 数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。 数据包过滤是通过对数据包的 IP 头和 TCP 头或 UDP 头的检查来实现的。3.调查一款防火墙产品，通过实际应用理解其安全策略。联想 smart 系列企业级防火墙。4.简述入侵检测系统的工作原理。入侵检测系统通常由入侵检测的软件与硬件组合，是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自

32、外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动） ，以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 5.入侵检测监测系统实施的具体检测方法有哪些？1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。5

33、）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。6.简述入侵检测目前面临的挑战。层出不穷的入侵手段 越来越多的信息采用加密的方法传输 不断增大的网络流量缺乏标准 误报率过高7.什么是 VPN？如何对 VPN 进行分类？虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN 的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。包括按VPN 的应用方式分类、按 VPN 的应用平台分类、按 VPN

34、 的协议分类、按 VPN 的服务类型分类、按 VPN 的部署模式分类。可分为专用的 VPN 硬件 支持 VPN 的硬件或软件防火墙 VPN 软件 VPN 服务提供商十二、计算机系统安全简单题1.计算机物理安全有哪些内容？应该如何保障？物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等事故以及人为行为导致的破坏的过程。物理安全可以分成两大类：环境安全和设备安全。其中，环境安全包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等；设备安全包括设备的防盗、防电磁泄露、防电磁干扰、存储介质管理等。物理安全也必须配合

35、一定的安全管理措施，如严格人员的管理、采用相应的监视设备等。.2.试述容错系统的工作方式。静态冗余。常用的有：三模冗余 TMR（TripleModulerRedundancy）和多模冗余。动态冗余。动态冗余的主要方式是多重模块待机储备，当系统检测到某工作模块出现错误时，就用一个备用的模块来顶替它并重新运行。混合冗余。它兼有静态冗余和动态冗余的长处。3.什么是磁盘阵列？简要阐述 RAID 系统阵列的优点。用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安全性。 可以让很多磁盘驱动器同时传输数据 ；有较为完备的相互校验/ 恢复的措施 ；提高了 RAID 系统的容错度，提高了系统的稳定冗余性

36、。4.试述 OS 的安全机制和安全策略。硬件安全机制 操作系统的安全标识与鉴别 访问控制、最小特权管理 可信通路和安全审计及时打补丁，关闭无用服务，增强用户认证 增强访问控制。5.什么是可信计算机？可信计算、可信用计算（TrustedComputing，TC）是一项由可信计算组织（TrustedComputing Group，前称为TCPA）推动和开发的技术。这个术语来源于可信系统（Trusted systems），并且有其特定含义。从技术角度来讲，“可信的”（Trusted）未必意味着对用户而言是“值得信赖的”（Trustworthy）。确切而言，它意味着可以充分相信其行为会更全面地遵循设计

37、，而执行设计者和软件编写者所禁止的行为的概率很低。为保证较大系统的安全，而必须被信任的系统，是构成安全计算机信息系统的所有安全保护装置的组合体，以防止不可信主体的干扰和篡改。6.UNIX 操作系统的文件权限如何设置？1 检查系统核心 2 挂载分区 3 设置 ACL 权限 Unix 操作系统提供了两种方式，分别为相对模式与绝对模式。相对模式是在原有的权限基础上进行修改，chmod 权限修改命令只修改命令行中指定的权限，而其他权限将保持不变。而绝对模式则是直接设置文件的最终权限。在绝对模式中，分别利用三个八进制数字表示三个权限。如 4 表示读权限、2 表示写权限、1 表示执行权限。如果系统工程师需

38、要为文件设置不同的权限，只需要进行简单的加减计算即可。7.解释安全标识、系统访问令牌、安全描述符、访问控制列表和访问控制项的概念。安全标识符一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows 中的内部进程将引用帐户的 SID 而不是帐户的用户名或组名。访问令牌Windows 操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。当用用户权利指派户登陆时，系统创建一个访问令牌，然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。有两种令牌：主令牌和模拟的令牌。主令牌是与进程相关的；模拟的令牌是与模拟令牌的线程相关的。安全描述符