10 网络安全(18问)    返回上一级

1.网络安全的含义是什么?

2.什么是网络安全的最大威胁?

3.网络安全的防范措施有哪些?

4.防火墙的类型有哪些?

5.设置防火墙的目的和功能是什么?

6.什么是网络管理?网络管理的主要功能有哪些?

7 Internet网的安全解决方案是什么?

8.网络防病毒技术主要内容是什么?

9.什么是防火墙、有哪些类型,比较它们在维护网络安全方面的优缺点。

10.常用的计算机网络安全工具或技术有哪些?

11.在建设一个企业网时,应该如何制定网络的安全计划和安全策略?

12.访问控制技术有哪些,各有什么特点?

13.网络的物理安全是网络安全中很重要的一部分,应该如何保证网络的物理安全性?

14.在组建Intranet时,为什么要设置防火墙?它具有什么优缺点?

15.防火墙分为哪几种,在保护网络的安全性方面,它们各起什么作用?

16.常见的网络攻击有哪些,使用什么方法可以解决?

17.使用对称密钥是不是可以避免中间人攻击呢?

18.CA的基本过程是怎样的?

 

返回

 

1.网络安全的含义是什么?

答:网络安全本质上是指网络上的信息安全,所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。

 

TOP

  

2.什么是网络安全的最大威胁?

答:网络安全最大的威胁是:

①“黑客”的攻击。黑客的攻击对于目前的网络来说是一个很大的问题,任何系统都存在安全漏洞,这给黑客们留下了可以利用它进行攻击的条件,这给用户造成了很大的损失。

②计算机病毒。网络的高速发展也给病毒的传播和发展创造了条件,病毒在网络上肆意、快速的传播,给广大计算机用户带来了潜在的威胁,给系统安全带来了隐患。

③拒绝服务攻击(Denial of Service Attack)。拒绝服务严格来说是破坏网络服务的一种技术方式,具体实现的方式很多,它们最终的目的就是使受害主机和网络失去及时接受处理外界请求或无法及时回应外界请求的能力,这种攻击在网络上也较多,网络危害也较大。

 

TOP

  

3.网络安全的防范措施有哪些?

答:网络安全的防范措施有:用备份和镜像技术提高数据完整性;防毒;安装补丁程序;提高物理安全;构筑因特网防火墙;遵守废品处理守则;仔细阅读日志;加密;提防虚假的安全。

 

TOP

  

4.防火墙的类型有哪些?

答:防火墙有许多种形式,有的以软件形式运行在普通计算机上,有的以硬件形式单独实现,也有的以固件形式设计在路由器中。根据防火墙实现原理的不同,通常将其分为包过滤防火墙、应用级防火墙(又称代理型防火墙)和状态检测防火墙(也称状态监视器)。

 

TOP

  

5.设置防火墙的目的和功能是什么?

答:设置防火墙的目的和功能是:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄。

 

TOP

  

6.什么是网络管理?网络管理的主要功能有哪些?

答:网络管理是控制一个复杂的计算机网络使得它具有最高的效率和生产力的过程。网络管理功能主要包括以下几个方面:

l)故障管理:包括故障检测、故障定位和故障改正;

2)配置管理:只有在有权配置整个网络时,才可能正确地管理该网络;

3)计费管理:跟踪用户对网络资源的使用情况,对其收取合理的费用;

4)性能管理:包括网络性能和系统性能;

5)安全管理:大多数的实用系统都能管理网络硬件的安全性能,例如,管理用户登录,在特定的路由器或网桥上进行各种操作,有些系统还有检测、警报和提示功能,例如,在连接中断时发出警报以提醒操作员。

 

TOP

  

7 Internet网的安全解决方案是什么?

答:从整体上看,Internet网络安全问题可分为以下几个层次,即操作系统层、用户层、应用层、网络层(路由器)和数据链路层。这5个层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。

  网络层的安全是Internet网络安全解决方案中最重要的部分。涉及到3个方面:

  (1IP协议本身的安全性。IP协议本身未经加密使人们非法盗窃信息和口令成为可能;

  (2)网管协议的安全性。由于SNMP协议的认证机制非常简单,而且使用未加保密的明码传输,这就可能通过非法途径获得SNMP协议分组并分析破解有关网络管理信息;

3)最重要的方面,就是网络交换设备的安全性。交换设备包括路由器和ATM设备。由于Internet普遍采用路由器方式的无连接转发技术,而且路由协议是动态更新的 OSPF RIP协议。这些协议动态更新都装有协议的路由器路由表。一旦某一个路由器发生故障或问题,将迅速波及到路由器相关的整个Internet自治域。

 

TOP

  

8.网络防病毒技术主要内容是什么?

答:网络防病毒技术包括预防病毒、检测病毒和消除病毒等三种技术:

网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测。工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的工作着手,通过网络环境管理网络上的所有机器。例如,利用网络唤醒功    能,在夜间对全网的客户机进行扫描,检查病毒情况。利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。

 

TOP

  

9.什么是防火墙、有哪些类型,比较它们在维护网络安全方面的优缺点。

答:防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。

根据防范的方式和侧重点的不同,防火墙可分为三大类:

1 数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。它的缺点有两点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。

2 应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。

3 代理服务

代理服务(Proxy Service),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接",由两个终止代理服务器上的"链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹其应用层代理服务数据控制及传输过程。

上述三种方式中,应用级网关和代理服务方式的防火墙大多是基于主机的,价格比较贵,但性能好,安装和使用也比数据包过滤的防火墙复杂。

 

TOP

  

10.常用的计算机网络安全工具或技术有哪些?

答:防火墙:一种有效的网络安全机制,在内部网与外部网之间实施安全防范的系统,确定哪些内部资源允许外部访问以及允许哪些内部网用户访问哪些外部资源及服务等

鉴别:为保证信息交换过程的合法性和有效性,身份认证是证实信息交换过程合法有效的一种重要手段,包括报文鉴别、身份认证和数字签名

访问控制的基本任务是防止非法用户进入系统以及合法用户对系统资源的非法使用,访问控制包括两个处理过程:识别与认证用户

此外还包括加/解密技术、审计和入侵检测和安全扫描等。

 

TOP

  

11.在建设一个企业网时,应该如何制定网络的安全计划和安全策略?

答:制定安全计划应考虑的问题有:网络中各类服务器是否安全?谁可以访问服务器以及访问哪些内容?服务器是否被保护免受灾难和其他潜在问题的影响?服务器上是否有防止病毒的措施?谁可以具有系统管理员的权利访网络?对访问服务器的工作站或客户机是否采取了安全措施?在工作站上是否安装了访问控制?……

安全策略应包括的内容有:创建安全的网络环境、数据加密、调制解调器的安全、灾难和意外计划、系统计划和管理、使用防火墙技术;

 

TOP

  

12.访问控制技术有哪些,各有什么特点?

答:基于口令的访问控制技术和选择性访问控制技术。对于前者,只要保证口令机密,非授权用户就无法使用该账户,由于口令只是一个字符串,一旦被别人获取,口令就不能提供任何安全了。访问控制可以有效地将非授的人拒之于系统之外。当一个普通用户进入系统后,应该限制其操作权限,不能毫无限制地访问系统上所有的程序、文件、信息等。选择性访问控制的思想在于明确地规定了对文件和数据的操作权限

 

TOP

  

13.网络的物理安全是网络安全中很重要的一部分,应该如何保证网络的物理安全性?

答:保证设备物理安全的关键就是只让经过授权的人员接触、操作和使用设备。防止对计算机设备非法接触的方法包括:使用系统安全锁,有钥匙和口令的用户才允许访问计算机终端;进入房间时要求有访问卡,使用钥匙、令牌或“智能卡”等设备来限制接触

 

TOP

  

14.在组建Intranet时,为什么要设置防火墙?它具有什么优缺点?

防火墙使用硬件平台和软件平台来决定什么请求可以从外部网络进入到内部网络或者从内部网络进入到外部网络,其中包括的信息有电子邮件消息、文件传输、登录到系统以及类似的操作等等。

优点:防火墙允许网络管理员在网络中定义一个控制点:它将未经授权的用户(如黑客、攻击者、破坏者或间谍)阻挡在受保护的内部网络之外,禁止易受攻击的服务进、出受保护的网络,并防止各类路由攻击。防火墙是一个监视Internet安全和预警的方便端点。防火墙是审查和记录Internet使用情况的最佳点。防火墙则是设置网络地址翻译器(NAT)的最佳位置

点:存在许多不能防范的安全威胁。例如,Internet防火墙还不能防范不经过防火墙产生的攻击。防火墙不能防范由于内部用户不注意所造成的威胁。防火墙很难防止受到病毒感染的软件或文件在网络上传输等。另外,防火墙对网络的性能会产生一些影响。

 

TOP

  

15.防火墙分为哪几种,在保护网络的安全性方面,它们各起什么作用?

:一个典型的防火墙由以下一个或多个组件组成:包过滤路由器、应用网关(或代理服务器)和堡垒主机。包过滤路由器也被称为屏蔽路由器。一个包过滤路由器可以决定对它所收到的每个数据包的取舍。路由器逐一审查每份数据包以及它是否与某个包过滤规则相匹配。

应用网关上安装有特殊用途的特别应用程序,被称为代理服务或代理服务器程序,它可以使得各种服务不再直接通过防火墙转发。对这种应用数据的转发取决于代理服务器的配置。可以将代理服务器配置为只支持一个应用程序的特定功能,同时拒绝所有其他功能,也可以配置代理程序支持所有的功能,比如,同时支持WWWFTPTelnetSMTPDNS

垒主机是Internet上的主机能够连接到的、惟一的内部网络上的系统,它对外而言,屏蔽了内部网络的主机系统,所以任何外部的系统试图访问内部的系统或服务时,都必须连接到堡垒主机上。

 

TOP

  

16.常见的网络攻击有哪些,使用什么方法可以解决?

:常见的网络攻击有特洛伊木马、拒绝服务攻击、邮件炸弹、过载攻击、入侵信息窃取等。解决方法略。

 

TOP

  

17.使用对称密钥是不是可以避免中间人攻击呢?

答:使用对称密钥的攻击方式,就是教材p572上叙述的传统的“三种”方式,“中间人“方式属于不对称加密术出现后才出现的“新问题”。

 

TOP

  

18CA的基本过程是怎样的?

书中有关KDC理解很清楚,但关于CA却有些不明白: 它的基本过程是什么?(图P596 7.20 很清楚的显示了KDC 的过程)

答:见p6007.22。其中关键问题是把BOB的身份和公钥加以信用绑定(通过BOB向注册机构进行登记),这个过程的关键是CABOB的调查是否到位(就象工商局注册公司的验资)。然后,由CA 向有需要的人或机构提供证书(certificate),这时候,BOB的网站信用变成了CA的信用。用户可以知道BOB公布的公钥是经过CA验证的。

 

TOP