最新网络安全认证技术概述.doc

《最新网络安全认证技术概述.doc》由会员分享，可在线阅读，更多相关《最新网络安全认证技术概述.doc（105页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全认证技术概述(可以直接使用，可编辑 优秀版资料，欢迎下载）网络安全认证技术概述网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程.其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的安全。一般可以分为两种：（1）身份认证:用于鉴别用户身份.(2）消息认证：用于保证信息的完整性和抗否认性;在很多情况下，用户要确认网上信息是不是假的,信息是否被第三方修改或伪造，这就需要消息认证。1.身份认证技

2、术认证（Authentication）是证实实体身份的过程，是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份，访问者有时也需要确认服务提供者的身份。身份认证是指计算机及网络系统确认操作者身份的过程。计算机网络系统是一个虚拟的数字世界.在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权.而现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说，保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题

3、.身份认证技术的诞生就是为了解决这个问题。如何通过技术手段保证用户的物理身份与数字身份相对应呢？在真实世界中，验证一个人的身份主要通过三种方式判定：一是根据你所知道的信息来证明你的身份(what you know），假设某些信息只有某个人知道,比如暗号等，通过询问这个信息就可以确认这个人的身份；二是根据你所拥有的东西来证明你的身份(what you have)，假设某一个东西只有某个人有，比如印章等，通过出示这个东西也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(who you are)，比如指纹、面貌等。在信息系统中,一般来说，有三个要素可以用于认证过程,即：用户的知识

4、(Knowledge)，如口令等；用户的物品(Possession），如IC卡等;用户的特征（Characteristic），如指纹等.现在计算机及网络系统中常用的身份认证方法如下：身份认证技术从是否使用硬件来看，可以分为软件认证和硬件认证;从认证需要验证的条件来看，可以分为单因子认证和双因子认证;从认证信息来看,可以分为静态认证和动态认证.身份认证技术的发展,经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。下面介绍常用的身份认证方法.(1）基于口令的认证方法传统的认证技术主要采用基于口令的认证方法.当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被

5、认证对象提交该对象的口令，认证方收到口令后,将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。这种认证方法的优点在于:一般的系统（如UNIX/Linux，WindowsNT/XP，NetWare等）都提供了对口令认证的支持，对于封闭的小型系统来说不失为一种简单可行的方法。(2)双因素认证在双因素认证系统中，用户除了拥有口令外,还拥有系统颁发的令牌访问设备。当用户向系统登录时，用户除了输入口令外,还要输入令牌访问设备所显示的数字.该数字是不断变化的，而且与认证服务器是同步的。（3)一次口令机制一次口令机制其实采用动态口令技术，是一种让用户的密码按照时间或使用次数不断动态变化,

6、每个密码只使用一次的技术.它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认.由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的.而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。（4)生物特征认证生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常

7、见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。（5）USB Key认证基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾.USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基

8、于冲击/响应的认证模式，二是基于PKI体系的认证模式。2.消息认证技术随着网络技术的发展,对网络传输过程中信息的保密性提出了更高的要求，这些要求主要包括：(1）对敏感的文件进行加密，即使别人截取文件也无法得到其内容。(2)保证数据的完整性,防止截获人在文件中加入其他信息。(3)对数据和信息的来源进行验证，以确保发信人的身份。现在业界普遍通过加密技术方式来满足以上要求，实现消息的安全认证。消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。消息认证实际上是对消息本身产生一个冗余的信息MAC(消息认证码），消息认证码是利用密钥对要认证的消息产生新的数据

9、块并对数据块加密生成的。它对于要保护的信息来说是唯一的，因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。消息认证技术可以防止数据的伪造和被篡改,以及证实消息来源的有效性,已广泛应用于信息网络。随着密码技术与计算机计算能力的提高，消息认证码的实现方法也在不断的改进和更新之中，多种实现方式会为更安全的消息认证码提供保障。选择题部分：第一章:(1）计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A保密性（2)网络安全的实质和关键是保护网络的安全。 C信息（3)实际上，网络的安全问题包括两方面的内容:一是，二

10、是网络的信息安全。 D网络的系统安全（4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。 C可用性（5）如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于.B非授权访问(6）计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分.A信息安全学科(7）实体安全包括.B环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类.D预防保护、检测跟踪、响应恢复第二章:（1）加密安全机制提供了数据的_.D保密性和完整

11、性（2）SSI协议是_之间实现加密传输协议。A传输层和应用层（3）实际应用时一般利用_加密技术进行密钥的协商和交换利用_加密技术进行用户数据的加密。B非对称对称(4）能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B数据保密性服务（5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。D数据保密性及以上各项（6）VPN的实现技术包括.D身份认证及以上技术第三章:（1)网络安全保障包括信息安全策略和 .D上述三点(2)网络安全保障体系框架的外围是 .D上述三点(3)名字服务、事务服务、时间服务和安全性服务是 提供的服务。CCORBA网络安全管理技术（4)一种全局的、全

12、员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和 。A持续改进模式的信息安全运作模式（5）我国网络安全立法体系框架分为 .B法律、行政法规和地方性法规、规章、规范性文档（6）网络安全管理规范是为保障实现信息安全政策的各项目标制定的一系列管理规定和规程，具有 。C强制效力第四章：（1)在黑客攻击技术中，是黑客发现获得主机信息的一种最佳途径。A端口扫描(2)一般情况下，大多数监听工具不能够分析的协议是 。DIPX和DECNet（3)改变路由信息，修改Windows NT注册表等行为属于拒绝服务攻击的方式。C服务利用型(4)利用以太网的特点，将设备网卡设置为“混杂模式”

13、，从而能够接收到整个以太网内的网络数据信息。C嗅探程序 (5）字典攻击被用于。B远程登录第五章:(1)加密在网络上的作用就是防止有价值的信息在网上被 。A拦截和破坏（2)负责证书申请者的信息录入、审核以及证书发放等工作的机构是 。DLDAP目录服务器（3) 情况下用户需要依照系统提示输入用户名和口令。B用户使用加密软件对自己编写的(）rice文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容（4)以下不属于AAA系统提供的服务类型。C访问(5）不论是网络的安全保密技术还是站点的安全技术,其核心问题是。A保护数据安全（6）数字签名是用于保障 。B完整性及不可否认性第六章：(1)使用密码技术

14、不仅可以保证信息的，而且可以保证信息的完整性和准确性，防止信息被篡改、伪造和假冒.A机密性(2）网络加密常用的方法有链路加密、加密和节点加密三种。B端到端(3）根据密码分析者破译时已具备的前提条件，通常人们将攻击类型分为4种：一是，二是，三是选定明文攻击，四是选择密文攻击。D唯密文攻击、已知明文攻击（4）密码体制不但具有保密功能，并且具有鉴别的功能。D混合加密体制（5)凯撒密码是方法,被称为循环移位密码，优点是密钥简单易记，缺点是安全性较差。B替换加密第七章：(1)数据库系统的安全不仅依赖自身内部的安全机制，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此,数据库系统的安全框架划分

15、为三个层次：网络系统层、宿主操作系统层、，三个层次一起形成数据库系统的安全体系。B数据库管理系统层(2）数据完整性是指数据的精确性和。它是为防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的.数据完整性分为4类：实体完整性(Entity Integrity）、域完整性（Domain Integrity)、参照完整性(Referential Integrity)、用户定义的完整性(User-defined Integrity）。C可靠性（3)本质上,网络数据库是一种能通过计算机网络通信进行组织、检索的相关数据集合。B存储（4)考虑到数据转存效率、数据存储

16、空间等相关因素，数据转存可以考虑完全转存(备份)与转存（备份)两种方式。C增量(5)保障网络数据库系统安全，不仅涉及应用技术,还包括管理等层面上的问题，是各个防范措施综合应用的结果，是物理安全、网络安全、安全等方面的防范策略有效的结合。A管理(6)通常,数据库的保密性和可用性之间不可避免地存在冲突。对数据库加密必然会带来数据存储与索引、和管理等一系列问题。D密钥分配第八章：(1）计算机病毒的主要特点不包括。C传染性（2）“熊猫烧香是一种。C蠕虫病毒（3)木马的清除方式有和两种。C杀毒软件清除(4)计算机病毒是能够破坏计算机正常工作的、的一组计算机指令或程序。D不清楚（5）强制安装和难以卸载的软

17、件都属于。D恶意软件第九章：（1)拒绝服务攻击的一个基本思想是C工作站和服务器停止工作2)TCP采用三次握手形式建立连接，在 开始发送数据。C第三步之后（3)驻留在多个网络设备上的程序在短时间内产生大量的请求信息冲击某Web服务器，导致该服务器不堪重负，无法正常响应其他合法用户的请求，这属于.CDDoS攻击(4）关于防火墙，以下说法是错误的。D防火墙能阻止来自内部的威胁(5）以下说法正确的是。D防火墙如果配置不当，会导致更大的安全风险第十章：(1)攻击者入侵的常用手段之一是试图获得Administrator账户的口令。每台计算机至少需要一个账户拥有Administrator（管理员）权限，但不

18、一定非用Administrator这个名称，可以是.DLifeMiniator(2)UNIX是一个多用户系统，一般用户对系统的使用是通过用户进人的。用户进入系统后就有了删除、修改操作系统和应用系统的程序或数据的可能性。A注册(3)IP地址欺骗是很多攻击的基础，之所以使用这个方法，是因为IP路由IP包时对IP头中提供的、不做任何检查.CIP源地址(4）Web站点服务体系结构中的BSD分别指浏览器、和数据库。A服务器（5)系统恢复是指操作系统在系统无法正常运作的情况下，通过调用已经备份好的系统资料或系统数据，使系统按照备份时的部分或全部正常启动运行的进行运作。B数值特征(6）入侵者通常会使用网络嗅

19、探器获得在网络上以明文传输的用户名和口令。当判断系统是否被安装嗅探器，首先要看当前是否有进程使网络接口处于 。B混杂模式第十一章：（1)下面不是网站攻击方式。DHTTPS(2）下面关于使用恶意脚本攻击的说法错误的是。A只要严格遵守同源策略,就可以阻止跨站脚本攻击的发生(3)下面常用于WebAPI的数据接口有。(可多选） AXML BJSON CREST(4)Mashup网站应该尽可能采用下面方式来加强安全.(可多选)ABCD第十二章：(1)在设计网络安全解决方案中，系统是基础、是核心、管理是保证。B安全策略(2)得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作，以

20、上是实现安全方案的目标。D可用性（3)在设计编写网络方案时，是网络安全解决方案与其他项目的最大区别。A网络方案的动态性（4)在某部分系统出现问题时，不影响企业信息系统的正常运行是网络方案设计中需求。C系统的可用性和及时恢复性（5)在网络安全需求分析中,安全系统必须具有，以适应网络规模的变化。D可伸缩性与可扩展性填空题：第一章：（1）计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。(2)网络信息安全的5大要素和技术特征分别是保密性、完整性、可用性、可靠性和可控性、可审查性。（3)从层次结构上，计算机网络安全所涉及的内容包括实体

21、安全、运行安全、系统安全、应用安全、管理安全5个方面。(4）网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中，提高物理上逻辑上的防护、监控、反应恢复和对抗的能力。(5)网络安全关键技术分为身份认证、访问管理、加密、防恶、加固、监控、审核跟踪和恢复备份8大类.（6)网络安全技术的发展趋势具有多维主动、综合性、智能化、全方位防御的特点。(7)国际标准化组织（ISO）提m信息安全的定义是：为数据处理系统建立和采取的技术及管理保护，保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄露.(8）利用网络安全模型可以构建网络安全体系及结构，进行具体的网络安全方案的制定、规划、设

22、计和实施等,也可以用于实际应用过程的 。第二章：(1）安全套接层（SSL)协议是在网络传输过程中，提供通信双方网络信息保密性和可靠性。由SSL协商层和记录层两层组成。(2）OSIRM开放式系统互联参考模型7层协议是物理层、数据链路层、传输层、网络层、会话层、表示层、应用层。(3）ISO对OSI规定了有效性、保密性、完整性、可靠性、不可否认性5种级别的安全服务。(4)应用层安全分解为网络层、操作系统、数据库安全，利用各种协议运行和管理。（5)与OSI参考模型不同，TCPIP模型由低到高依次由网络接口层、网络层、传输层和应用层4部分组成.(6)一个VPN连接由客户端、隧道和服务器3部分组成.（7)

23、一个高效、成功的VPN具有安全保障、服务质量保证、可扩充性和灵活性、可管理性4个特点.第三章：（1)信息安全保障体系架构包括5个部分:信息安全策略、信息安全政策和标准、信息安全运作、信息安全管理和信息安全技术。（2)TCPIP网络安全管理体系结构包括分层安全管理、安全服务与机制和系统安全管理3个方面。(3)信息安全管理体系是信息安全保障体系的一个重要组成部分，按照多层防护的思想，为实现信息安全战略而搭建.一般来说，防护体系包括认知宣传教育、组织管理控制和审计监督三层防护结构。（4）信息安全标准是确保信息安全的产品和系统，在设计、研发、生产、建设、使用、测评过程中，解决产品和系统的一致性、可靠性

24、、可控性、先进性和符合性的技术规范、技术依据。（5)网络安全策略包括三个重要组成部分：安全立法、安全管理和安全技术.（6）网络安全保障包括信息安全策略、信息安全管理、信息安全运作和信息安全技术4个方面。(7）TCSEC是可信计算系统评价准则的缩写，又称网络安全橙皮书，将安全分为安全策略、可说明性、安全保障和文档4个方面.(8)通过对计算机网络系统进行全面、充分、有效的安全测评,能够快速查出网络安全隐患、安全漏洞、网络系统的抗攻击能力.(9)实体安全的内容主要包括环境安全、设备安全、媒体安全3个方面，主要指5项防护(简称5防）：防盗、防火、防静电、防雷击、防电磁泄漏。（10)基于软件的保护方式一

25、般分为注册码、许可证文件、许可证服务器、应用服务器模式和软件老化等。第四章：（1）黑客的“攻击五部曲”是隐藏IP、踩点扫描、获得特权、种植后门、隐身退出。（2）端口扫描的防范也称为系统“加固”，主要有屏蔽出现扫面症状的端口和关闭闲置及有潜在危险的端口。(3)黑客攻击计算机的手段可分为破坏性攻击和非破坏性攻击.常见的黑客行为有盗窃资料、攻击网站、进行恶作剧、告知漏洞、获取目标主机系统的非法访问权.(4)分布式拒绝服务攻击就是利用更多的傀儡机对目标发起进攻，以比从前更大的规模进攻受害者。（5）按数据来源和系统结构分类,入侵检测系统分为基于主机、基于网络和分布式三类.第五章:(1)认证技术是网络用户

26、身份认证与识别的重要手段，也是计算机网络安全中的一个重要内容。从鉴别对象上来看，分为消息认证和用户身份认证两种。(2)数字签名利用了双重加密的方法来实现信息的真实性与不可抵赖性。(3)安全审计有系统级审计、应用级审计和用户级审计三种类型。(4）审计跟踪(Audit Trail）是可以重构、评估、审查环境与用户行为的系统活动记录.（5）AAA是认证、鉴权、审计的简称，基于AAA机制的中心认证系统正适合用于远程用户的管理.AAA并非是一种具体的实现技术,而是一种安全体系框架.第六章：(1)现代密码学是一门涉及数学、物理学信息论、计算机科学等多学科的综合性学科。（2）密码技术包括密码算法设计、密码分

27、析、安全协议、身份认证、数字签名、密钥管理消息确认、密钥托管等多项技术。（3)在加密系统中原有的信息称为明文 ,由明文变为密文的过程称为加密，由密文 还原成明文的过程称为解密。（4)数据加密标准（DES)是对称加密技术,专为二进制编码数据设计的,典型的按分组方式工作的单密码算法。(5）常用的传统加密方法有代码加密、替换加密、边位加密和一次性加密4种。第七章：（1）SQI。Server 2021提供两种身份认证模式来保护对服务器访问的安全，它们分别是Windows验证模式和混合模式。（2)数据库的保密性是对用户的认证与鉴别、存取控制、数据库加密及推理控制等安全机制的控制下得以实现。（3)数据库中

28、的事务应该具有原子性、一致性、隔离性和持久性4种属性.（4)网络数据库系统的体系结构分为两种类型:主机终端结构和分层结构。（5）访问控制策略、数据库登录权限类、资源管理权限类和数据库管理员权限类构成网络数据库访问控制模型。（6）在SQL Server 2021中可以为登录名配置具体的表级权限和列级权限.第八章:(1)根据计算机病毒的破坏程度可将病毒分为无害型病毒、危险型病毒、毁灭型病毒.(2)计算机病毒一般由引导单元、传染单元、触发单元三个单元构成。（3)计算机病毒的传染单元主要包括传染控制模块、传染判断模块、传染操作模块三个模块。(4）计算机病毒根据病毒依附载体可划分为引导区病毒、文件型病毒

29、、复合型病毒、宏病毒、蠕虫病毒。（5)计算机病毒的主要传播途径有移动式存储介质、网络传播.（6）计算机运行异常的主要现象包括无法开机、开机速度慢、系统运行速度慢、频繁重启、无故死机、自动关机等。第九章：(1）防火墙隔离了内外部网络，是内外部网络通信的唯一途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。(2)防火墙是一种被动设备,即对于新的未知攻击或者策略配置有误，防火墙就无能为力了.(3)从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。(4)包过滤型防火墙工作在OSI网络参考模型的网络层和传输层。(5）第

30、一代应用网关型防火墙的核心技术是代理技术.（6）单一主机防火墙独立于其他网络设备,它位于网络边界。（7)组织的雇员可以是要到外围区域或Internet的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户等，被称为内部防火墙的完全信任用户。(8)堡垒主机是位于外围网络中的服务器，向内部和外部用户提供服务。(9)拒绝服务攻击是利用TCP协议设计上的缺陷，通过特定方式发送大量的TCP请求从而导致受攻击方CPU超负荷或内存不足的一种攻击方式。（10）针对SYN Flood攻击,防火墙通常有SYN网关、被动式SYN网关和 三种防护方式。第十章:（1)系统盘保存有操作系统中的核心功能程

31、序,如果被木马程序进行伪装替换，将给系统埋下安全隐患。所以，在权限方面，系统盘只赋予Administration和System权限。（2）Windows Server 2003在身份验证方面支持智能卡登录和单点登录.（3）UNIX操作系统中,ls命令显示为-rwxrxr-x 1 foo staff 7734 Apr 05 17：07demofile，则说明同组用户对该文件具有读和执行的访问权限。（4)在Linux系统中,采用插入式验证模块（Pluggable Authentication Modules，PAM）酐J*dL制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序

32、。这是因为PAM采用封闭包的方式,将所有与身份验证有关的逻辑全部隐藏在模块内。(5)Web站点所面临的风险有系统层面的、应用层面的、网络层面的和业务层面的。（6)软件限制策略可以对未知或不被信任的软件进行控制.第十一章：(1）常见的注入式SQL攻击对策有使用使用参数绑定式SQL和特殊字符转义处理两种。（2）原则上Wiki并不进行认证，属于谁都可以更新的一种服务。作为补救手段,每次变更的IP地址 和变更内容都被记录下来，以备查询。（3)在电子商务活动中,造成交易各方电子数据差异的原因主要有如下几种可能：数据录人或显示时的数据歧义、意外差错或蓄意欺诈行为，数据传输过程中的数据误传、片段缺失或信息次

33、序的前后颠倒等。（4）应用程序在客户端通过JavaScript验证输入,虽然响应速度快，方便用户，但是客户端JavaScript可以被修改或屏蔽,即使在客户端验证完的内容，在服务器端也必须重新验证.(5）利用认证API的过程中主要有三个角色：一个是认证供应商,一个是认证用户商，还有一个就是普通用户。（6)Ajax简单地讲就是使用JavaScript和XML利用异步通信进行信息交换的方式。第十二章：(1）高质量的网络安全解决方案主要体现在网络安全技术、网络安全管理和网络安全策略 三个方面,其中技术是基础、策略是核心、管理是保证。（2)制定网络安全解决方案时，网络系统的安全原则体现在动态性原则、严

34、谨性原则唯一性原则、整体性原则和专业原则5个方面。(3)安全审计是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。（4)在网络安全设计方案中，只能做到尽力避免风险和努力消除风险的根源，不能做到降低由于风险所带来的隐患和损失、完全彻底消灭风险。(5)方案中选择网络安全产品时主要考察其类型、功能、特点、原理、使用和维护方法。16）一个优秀的网络安全解决方案应当是全方位的立体的整体解决方案,同时还需要兼顾网络安全管理等其他因素.简答题：第一章：（1）简述威胁网络安全的因素有哪些？答：（2)网络安全的概念是什么?答：计算机网络安全是指利用计算机网络管理控制和技术措施，保证网络系统及数据的保密性

35、、完整性、网络服务可用性和可审查性受到保护.狭义上，网络安全是指计算机及其网络系统资源和信息资源不受有害因素的威胁和危害.广义上，凡是涉及到计算机网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的相关技术和理论,都是网络安全的研究领域。网络安全问题包括两方面内容，一是网络的系统安全，二是网络的信息安全，而网络安全的最终目标和关键是保护网络的信息安全。(3）网络安全的目标是什么?答：网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中，提高物理上逻辑上的防护、监控、反应恢复和对抗的能力。最终目标就是通过各种技术与管理手段实现网络信息系统的保密性、完整性、可用性、可靠性与

36、可控性和可审查性。（4）网络安全的主要内容包括哪些方面？答：网络安全的内容包括操作系统安全、数据库安全、网络站点安全、病毒与防护、访问控制、加密与鉴别等7方面；从层次结构上讲分为实体安全、运行安全、系统安全、应用安全和管理安全。（5)简述网络安全的保护范畴。答：网络安全是确保计算机网络中的信息资源安全,凡涉及网络信息的保密性、完整性、有效性、可控性、和可审查性的理论、技术与管理都属于网络安全的研究范畴。第二章:（1)TCPIP的4层协议与OSI参考模型7层协议是怎样对应的?答：应用层对应应用层;表示层,会话层,传输层对应传输层，网络层对应网络层；数据链路层和物理层对应网络接口层.(2）IPv6

37、协议的报头格式与IPv4有什么区别?答：(3）简述传输控制协议（TCP)的结构及实现的协议功能。答：（4）简述无线网络的安全问题及保证安全的基本技术。答：第三章：（1）信息安全保障体系架构具体包括哪5个部分?答：网络安全策略、网络安全政策和标准、网络安全运作、网络安全管理、网络安全技术。（2)如何理解“七分管理，三分技术，运作贯穿始终”?(3)国外的网络安全法律法规和我国的网络安全法律法规有何差异？（4)网络安全评估准则和方法的内容是什么?（5）网络安全管理规范及策略有哪些？第四章：(1)入侵检测的基本功能是什么?答:对网络流量的跟踪与分析能力；对已知攻击特征的识别功能;对异常行为的分析、统计

38、与响应功能；特征库的在线升级功能；数据文件的完整性检验功能；自定义特征的响应功能；系统漏洞的预报警功能。（2)通常按端口号分布把端口分为几部分?并简单说明。答：按端口号分布可分为三段：公认端口01023 ，又称常用端口，为已经公认定义或为将要公认定义的软件保留的。这些端口紧密绑定一些服务 且明确表示了某种服务协议。注册端口 102449151 ，又称保留端口 这些端口松散 绑定一些服务.动态/私有端口4915265535。理论上不应为服务器分配这些端口.(3）什么是统一威胁管理?答：将防病毒、入侵检测和防火墙安全设备划归统一威胁管理,主要提供一项或多项安全功能,同时将多种安全特性集成与一个硬件

39、设备里,形成标准的统一威胁管理平台.（4）什么是异常入侵检测?什么是特征入侵检测?答:异常检测的假设是入侵者活动异常于主体的活动。特征检测是对已知的攻击或入侵方式作出确定性的描述,形成相应的时间模式。第五章：（1)什么是数字签名?有哪些基本的数字签名方法？答:数字签名是以电子形式存储于数据信息中或作为其附件或逻辑上与之有联系的数据,可用于辨识数据签署人的身份，并表明签署人对数据中所包含信息的认可.“基本的数字签名方法”：RSA,DSA，椭圆曲线数字签名,盲签名等。（2)简述消息认证和身份认证的概念及两者间的差别。答:消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程。身份认证是指证实客

40、户的真实身份与其所声称的身份是否相符的过程。身份认证与消息认证的差别：(1）身份认证一般都是实时的，消息认证一般不提供实时性。（2）身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性。（3）数字签名是实现身份认证的有效途径。（3)简述安全审计的目的和类型.答：目的：对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。对已出现的破坏事件做出评估并提供有效的灾难恢复和追究责任的依据.对系统控制，安全策略与规程中的变更进行评价和反馈，以便修订决策和部署协助系统管理员及时发现网路系统入侵或潜在的系统漏洞及隐患。类型：系

41、统级审计，应用级审计，用户级审计。(4)简述证书的概念、作用、获取方式及其验证过程。答：证书的概念：是一个经证书授权中心数字签名的，包含公开密钥拥有者信息以及公开密钥的文件。证书的作用:用来向系统中其他实体证明自己的身份：分发公钥。证书的获取方式：（1）发送者发送签名信息时附加发送证件；（2）单独发送证书信息;（3）访问证书发布的目录服务器；（4）从证书相关实体获得。证书的验证过程：(1）将客户端发来的数据解密；（2）将解密后的数据分解成原始数据、签名数据、客户证书3部分；（3）用CA根证书验证客户证书的签名完整性;（4)检查客户证书是否有效；(5)检查客户证书是否作废；（6）验证客户证书结构

42、中的证书用途;（7)客户证书验证原始数据的签名完整性；（8）如以上各项均验证通过,则接受该数据。（5)身份认证的技术方法有哪些？特点是什么？答：（1）用户名及密码方式（2）智能卡认证（3）动态令牌认证（4）USBKey认证(5）生物识别技术(6）CA认证第六章(1）任何加密系统,不论形式多么复杂，至少应包括哪4个部分?答：明文，密文，加密解密算法，密钥(2)网络的加密方式有哪些？答:储存加密:单级数据信息保密,多级数据信息保密。通信加密：链路加密，节点加密，端端加密。(3)简述RSA算法中密钥的产生,数据加密和解密的过程，并简单说明RSA算法安全性的原理.答：原理(涉及到加密算法）：1。取两个

43、素数p ,q；2。定义一个变量n,n=pq；3.计算一个(我是手工打的不好找符号）值d,d=(p-1)(q-1);取一个数e ，e 与d 互质，1ed;给明文（）加密的e次方乘于d.6.解密的公式为的n 次方乘于d.n是密钥(有位)，e和d是公钥（4)简述密码破译方法和防止密码破泽的措施。(5)举例说明如何实现非对称密钥的管理。第七章(1)简述网络数据库结构中cs与BS的区别。(2）网络环境下，如何对网络数据库进行安全防护?(3）数据库的安全管理与数据的安全管理有何不同？(4）如何保障数据的完整性?答：数据库完整性（Database Integrity）是指DB中数据的正确性和相容性。对于DB

44、应用系统至关重要，主要作用体现在： （1）防止合法用户向数据库中添加不合语义的数据。 （2）利用基于DBMS的完整性控制机制实现业务规则，易于定义和理解，且可降低应用程序的复杂性，提高运行效率。（3）合理的DB完整性设计，可协调兼顾DB完整性和系统效能。（4）在应用软件的功能测试中,有助于发现软件错误。 （5）如何对网络数据库的用户进行管理？第八章(1）简述计算机病毒的特点。答：潜伏性、传染性、破坏性、隐蔽性、多样性、触发性。(2）计算机中毒的异常表现有哪些?答：系统运行速度慢，无故弹出对话框或网页，用户名和密码等用户信息被篡改，甚至是死机。系统瘫痪等.(3）如何清除计算机病毒?（4）什么是恶

45、意软件?答：在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上安装运行，侵害用户的合法权益的软件。第九章（3)正确配置防火墙以后，是否必然能够保证网络安全？如果不是，试简述防火墙的缺点。答：不行，(4）防火墙的基本结构是怎样的?如何起到“防火墙”的作用？(5)SYN Flood攻击的原理是什么？答：利用TCP协议的缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负载或内存不足），最终导致系统或服务器宕机。第十章：(1）Windows系统采用哪些身份验证机制？答：交互式登录过程和网络身份验证过程。（2)Web站点中系统安全策略的配置起到关键的作用,其中的安全策

46、略包括哪些?（3)系统恢复的过程包括一整套的方案，具体包括哪些步骤与内容？第十一章：（1）电子商务安全技术要素有哪些?答：数据有效性、数据完整性、信息保密性、系统可靠性、不可否认性。（2)建设和维护博客网站时需要考虑哪些安全问题？（3）防范注入式SQI攻击有哪些方法？并具体描述各种方法。答：输入验证：严格规范输入格式，服务器端确认验证，验证全部输入参数，不发行通行证；无害化处理。第十二章:(1) 网络安全解决方案的主要内容有哪些？答：网络安全技术、网络安全策略和网络安全管理三方面，网络安全技术是基础、安全策略是核心、安全管理是保证。(2) 网络安全的目标及设计原则是什么?答:设计网络安全解决方

47、案的目标：(1） 机构各部门、各单位局域网得到有效地安全保护； （2） 保障与Internet相连的安全保护;(3) 提供关键信息的加密传输与存储安全； (4） 保证应用业务系统的正常安全运行；（5） 提供安全网的监控与审计措施； (6） 最终目标：机密性、完整性、可用性、可控性与可审查性. 设计重点3个方面:(1） 访问控制。(2) 数据加密。（3) 安全审计。(3) 评价网络安全解决方案的质量标准有哪些？答：(1） 确切唯一性。(2） 综合把握和预见性.(3） 评估结果和建议应准确。(4） 针对性强且安全防范能力提高。(5） 切实体现对用户的服务支持.(6) 以网络安全工程的思想和方式组织实施.(7） 网络安全是动态的、整体的、专业的工程。(8） 方案中采用的安全产品、技术和措施，都应经得起验证、推敲、论证