A. 网络安全协议IPsec-vpn的简单问题
【教授建议】
(1)建立因特网协议安全IPSec通道的方法、装置和系统
请参考http://www.aptchina.com/faming/5932509/
(2)IPSEC配置方法
请参考http://wenku..com/view/9c17300a76c66137ee0619ec.html
若有问题可以追加探讨。
B. 网络安全的题目 是对还是错呀..
第一个是错的
C. 网络安全的课题
众所周知,安全才是网络的生存之本。没有安全保障的信息资产,就无法实现自身的价值。作为信息的载体,网络亦然。网络安全的危害性显而易见,而造成网络安全问题的原因各不相同。
第一章 前 言
第二章 网络安全概述
第三章 网络安全解决方案
第四章 典型应用案例
第五章 未来网络安全解决方案发展趋势
第一章 前 言
当今的网络运营商正在经历一个令人振奋的信息爆炸时代,网络骨干带宽平均每六到九个月就要增加一倍。数据业务作为其中起主导作用的主要业务类型,要求并驱动网络结构开始发生根本性的改变。光互联网的出现为基于IP技术的网络应用奠定了新的基础。伴随网络的普及,信息网络技术的应用、关键业务系统扩展,电信部门业务系统安全成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。由于国际形势的变化,加剧了爆发"网络战争"的可能性,保障网络及信息安全直接关系到国家的经济安全甚至国家安全。因此如何使信息网络系统不受黑客和间谍的入侵,已成为国家电信基础网络健康发展所要考虑的重要问题。
在新的电信市场环境中,需求的多元化和信息消费的个性化逐渐成为必然趋势,这一点在数据通信领域体现得尤为明显。经过几年努力,公用数据通信网络在规模上和技术层次上都有了一个飞跃,用户数持续高速增长,信息业务用户发展尤为迅猛,全国性大集团性用户不断增加,并且开始向企业用户转移;政府上网工程进展顺利,电子商务已全面启动,中国电信安全认证体系通过了中国密码管理委员会和信息产业部举行的联合鉴定,并与金融部门开展了有效的合作。电信同时提供Internet接入业务,IP电话业务以及其他业务.该IP承载网承载图象、语音和数据的统一平台,强调Qos,VPN和计费等,成为新时代的多业务承载网。中国电信数据通信的发展定位于网络服务,实现个性化的服务。事实上,这一类网络功能非常丰富,如储值卡业务、电子商务认证平台、虚拟专用网等。而这一切都依赖于网络安全的保障,如果没有安全,个性化服务就根本无从谈起。只有电信的基础平台完善了,功能强化了,安全问题得到保障了,才能够提供真正个性化的服务。
由于电信部门的特殊性,传递重要信息、是整个国民通信系统的基础。它的安全性是尤其重要的。由于我们的一些技术和国外还有一定差距,国内现有的或正在建设中的网络,采用的网络设备和网络安全产品几乎全是国外厂家的产品。而只有使用国内自主研制的信息安全产品、具有自主版权的安全产品,才能真正掌握信息战场上的主动权,才能从根本上防范来自各种非法的恶意攻击和破坏。现今大多数计算机网络都把安全机制建立在网络层安全机制上,认为网络安全就仅仅是防火墙、加密机等设备。随着网络的互联程度的扩大,具体应用的多元化,这种安全机制对于网络环境来讲是十分有限的。面对种种威胁,必须采取有力的措施来保证计算机网络的安全。必须对网络的情况做深入的了解,对安全要求做严谨的分析,提出一个完善的安全解决方案。本方案根据电信网络的具体网络环境和具体的应用,介绍如何建立一套针对电信部门的完整的网络安全解决方案。
第二章 网络安全概述
网络安全的定义
什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止:
未授权的使用者访问信息
未授权而试图破坏或更改信息
这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。
在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。
电信行业的具体网络应用(结合典型案例)
电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素:
网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。
IP路由协议的优化。
IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。
带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。
稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。
从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。
骨干层网络承载能力
骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步,支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率,连接全部为光纤连接。
骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制,避免前向拥塞时的丢包。
可靠性和自愈能力
包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说,考虑网络的可靠性及自愈能力是必不可少的。
链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。充分体现采用光纤技术的优越性,不会引起业务的瞬间质量恶化,更不会引起业务的中断。
模块冗余。骨干设备的所有模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。
设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。切换时间小于3秒,以保证大部分IP应用不会出现超时错误。
路由冗余。网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题,数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中,网络连接发生变化时,路由表的收敛时间应小于30秒。
拥塞控制与服务质量保障
拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。
接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。
队列机制。具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。
先期拥塞控制。当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。
资源预留。对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。
端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。
网络的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展,以及网络规模的扩展能力。
交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力,以适应数据类业务急速膨胀的现实。
骨干带宽扩展。骨干带宽应具备高的带宽扩展能力,以适应数据类业务急速膨胀的现实。
网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力,应能满足本网络覆盖某省移动整个地区的需求。
与其他网络的互联
保证与中国移动互联网,INTERNET国内国际出口的无缝连接。
通信协议的支持
以支持TCP/IP协议为主,兼支持IPX、DECNET、APPLE-TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求,必须支持OSPF路由协议。然而,由于OSPF协议非常耗费CPU和内存,而本网络未来十分庞大复杂,必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。
支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。
支持MPLS标准,便于利用MPLS开展增值业务,如VPN、TE流量工程等。
网络管理与安全体系
支持整个网络系统各种网络设备的统一网络管理。
支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。
支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
网络设备支持多级管理权限,支持RADIUS、TACACS+等认证机制。
对网管、认证计费等网段保证足够的安全性。
IP增值业务的支持
技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此,运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。
传送时延
带宽成本的下降使得当今新型电信服务商在进行其网络规划时,会以系统容量作为其主要考虑的要素。但是,有一点需要提起注意的是,IP技术本身是面向非连接的技术,其最主要的特点是,在突发状态下易于出现拥塞,因此,即使在高带宽的网络中,也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响,如根据ITU-T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络,尤其当网络负荷增大时,如何确保时延要求更为至关重要,要确保这一点的关键在于采用设备对于延迟的控制能力,即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。
RAS (Reliability, Availability, Serviceability)
RAS是运营级网络必须考虑的问题,如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时,关键点在于网络中不能因出现单点故障而引起全网瘫痪,特别在对于象某省移动这些的全省骨干网而言更是如此。为此,必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性,包括电源冗余备份,控制板备份,交换矩阵备份,风扇的合理设计等功能;整体上,Cisco通过提供MPLSFRR和MPLS流量工程技术,可以保证通道级的快速保护切换,从而最大程度的保证了端到端的业务可用性。
虚拟专用网(VPN)
虚拟专用网是目前获得广泛应用,也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术,如IPSec、L2TP等来构造VPN之外,Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet,并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性,可操作性等方面开拓了一条新的途径;同时,极大地简化了网络运营程序,从而极大地降低了运营费用。另外,采用Cisco跨多个AS及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施,并可与其他运营商合作实现更广阔的业务能力。
服务质量保证
通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此,选用MDRR/WRED技术,可以为对时延敏感业务生成单独的优先级队列,保证时延要求;同时还专门对基于Multicast的应用提供了专门的队列支持,从而从真正意义上向网上实时多媒体应用迈进一步。
根据以上对电信行业的典型应用的分析,我们认为,以上各条都是运营商最关心的问题,我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求,不影响电信网络的正常使用,可以看到电信网络对网络安全产品的要求是非常高的。
网络安全风险分析
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
1、物理安全风险分析
我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
地震、水灾、火灾等环境事故造成整个系统毁灭
电源故障造成设备断电以至操作系统引导失败或数据库信息丢失
电磁辐射可能造成数据信息被窃取或偷阅
不能保证几个不同机密程度网络的物理隔离
2、网络安全风险分析
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
3、系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
4、应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
4.1 公开服务器应用
电信省中心负责全省的汇接、网络管理、业务管理和信息服务,所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器,如果没有采取一些访问控制,恶意入侵者就可能利用这些公开服务器存在的安全漏洞(开放的其它协议、端口号等)控制这些服务器,甚至利用公开服务器网络作桥梁入侵到内部局域网,盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的,完成计费、认证等功能,他们的安全性应得到100%的保证。
4.2 病毒传播
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。
4.3信息存储
由于天灾或其它意外事故,数据库服务器造到破坏,如果没有采用相应的安全备份与恢复系统,则可能造成数据丢失后果,至少可能造成长时间的中断服务。
4.4 管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和技术解决方案的结合。
D. 求关于网络安全方面的课题
一、 判断题(每题2分,共20分)
1. WIN2000系统给NTFS格式下的文件加密,当系统被删除,重新安装后,原加密的文件就不能打开了。 ( )
2. 禁止使用活动脚本可以防范IE执行本地任意程序。 ( )
3. 发现木马,首先要在计算机的后台关掉其程序的运行。 ( )
4. 按计算机病毒的传染方式来分类,可分为良性病毒和恶性病毒。 ( )
5. 非法访问一旦突破数据包过滤型防火墙,即可对主机上的漏洞进行攻击。 ( )
6. 最小特权、纵深防御是网络安全原则之一。 ( )
7. 开放性是UNIX系统的一大特点。 ( )
8. 密码保管不善属于操作失误的安全隐患。 ( )
9. 我们通常使用SMTP协议用来接收E-MAIL。 ( )
10. 使用最新版本的网页浏览器软件可以防御黑客攻击。 ( )
三、 简答题(任选8题,每题5分,共40分)
1. 简述密码体制的概念及其图示。
2. 简述IP欺骗攻击的步骤,并列举三种以上的防范措施。
3. 简述缓冲区溢出攻击的原理。
4. 简述DDoS攻击的概念。
5. 简述包过滤防火墙的基本特点及其工作原理。
6. 描述对单机计算机病毒的防范方法。
7. 简述CIDF(公共入侵检测框架)模型的组成及结构。
8. 简述基于主机的扫描器和基于网络的扫描器的异同。
四、 分析题(10分)
1. 假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取哪些措施来构建你的网络安全体系,这些措施各有什么作用,它们之间有什么联系?
答案:
1.正确,如果原来没有导出密钥,连管理员都不能打开,只有以前用户本人能打开。
2.错,禁用活动脚本只能防范一些基本的script脚本程序。
3.错,是前台不是后台,(并且一般发现木马我通常不会这么干)。
4.错,
5.对,包过滤防火墙只能正对IP地址过滤不检查数据包的内容,一旦被突破,非法数据就可畅通无阻。
6.对
7.对
8.错
9.SMTP是简单邮件传输协议,其端口是25,是用来发送邮件的,接受用POP3(邮局协议)
10.错,简直是无稽之谈
1。密码体制大体上可以分为对称加密,不对称加密,单向加密,具体的概念搂住自己网上查去。
2,3,。。。。下面都是一些网络安全基本的概念,网上都可以查得到,自己搞定
四。
1、在网关的出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。
2、在内网使用IDS,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。
3、如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。
4、对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。
E. 关于网络安全的一些题目
计算64位编成密码操作的数量进行为一份n 位纯文本使用CBC, k 位OFB 和k 位CFP 。 计数所有编成密码操作, 不仅操作执行了在纯文本。
2.扭转XOR-ing 和编成密码次序在CBC 编成密码[ 考夫曼, 无花果。 4-5, p.98 ], i.e., c1 被计算作为E(m1) xor IV 。 这工作吗? 它事关吗? 辩解您的答复使用弱点和问题被辨认在书和在类。
3.在RSA 算法, 什么是某事被编成密码不会是在Z*n 的可能性?
4.在可能的防御的描述反对人在这中间攻击[ 考夫曼.2i6.4.2, 3], 它声明那编成密码Diffie-Hellman 价值以另一sides..s 公开密钥将防止攻击。 为什么这个案件假定是, 攻击者可能编成密码什么它想要以另一sides.. 公开密钥?
F. 有关网络安全的题目
晕哦。发外语怎么让不懂 的回答啊。没事出来现的啊。
G. 网络安全试题及答案
第一章 网络安全概述
【单选题】
1.计算机网络的安全是指( )
A、网络中设备设置环境的安全
B、网络使用者的安全
C、网络中信息的安全
D、网络的财产安全
正确答案: C 我的答案:C
2.黑客搭线窃听属于( )风险。
A、信息存储安全信息
B、信息传输安全
C、信息访问安全
D、以上都不正确
正确答案: B 我的答案:B
3.为了保证计算机信息安全,通常使用( ),以使计算机只允许用户在输入正确的保密信息时进入系统。
A、口令
B、命令
C、密码
D、密钥
正确答案: A 我的答案:C
4.对企业网络最大的威胁是()。
A、黑客攻击
B、外国政府
C、竞争对手
D、内部员工的恶意攻击
正确答案: D 我的答案:D
5.信息不泄露给非授权的用户、实体或过程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正确答案: A 我的答案:A
6.信息安全就是要防止非法攻击和病毒的传播,保障电子信息的有效性,从具体意义上理解,需要保证以下( )。
Ⅰ.保密性 Ⅱ.完整性 Ⅲ.可用性 Ⅳ.可控性 Ⅴ.不可否认性
A、Ⅰ、Ⅱ和Ⅳ B
B、Ⅱ和Ⅲ C
C、Ⅱ、Ⅲ和Ⅳ D
D、都是
正确答案: D 我的答案:D
7.信息风险主要指( )
A、信息存储安全
B、信息传输安全
C、信息访问安全
D、以上都正确
正确答案: D 我的答案:D
8.( )不是信息失真的原因
A、信源提供的信息不完全、不准确
B、信息在编码、译码和传递过程中受到干扰
C、信宿(信箱)接受信息出现偏差
D、信箱在理解上的偏差
正确答案: D 我的答案:A
9.以下( )不是保证网络安全的要素
A、信息的保密性
B、发送信息的不可否认性
C、数据交换的完整性
D、数据存储的唯一性
正确答案: D 我的答案:B
第二章 黑客常用系统攻击方法1
【单选题】
1.网络攻击的发展趋势是( )
A、黑客攻击与网络病毒日益融合
B、攻击工具日益先进
C、病毒攻击
D、黑客攻击
正确答案: A 我的答案:A
2.拒绝服务攻击( )
A、A.用超过被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击
B、全程是Distributed Denial Of Service
C、拒绝来自一个服务器所发送回应请求的指令
D、入侵控制一个服务器后远程关机
正确答案: A 我的答案:A
3.局域网中如果某台计算机受到了ARP欺骗,那么它发出去的数据包中,( )地址是错误的
A、源IP地址
B、目标IP地址
C、源MAC地址
D、目标MAC地址
正确答案: D 我的答案:A
4.在网络攻击活动中,Tribal Flood Netw(TFN)是( )类的攻击程序
A、拒绝服务
B、字典攻击
C、网络监听
D、病毒程序
正确答案: A 我的答案:A
5.HTTP默认端口号为( )
A、21
B、80
C、8080
D、23
正确答案: B 我的答案:B
6.DDOS攻击破坏了( )
A、可用性
B、保密性
C、完整性
D、真实性
正确答案: A 我的答案:A
7.漏洞评估产品在选择时应注意( )
A、是否具有针对网络、主机和数据库漏洞的检测功能
B、产品的扫描能力
C、产品的评估能力
D、产品的漏洞修复能力
E、以上都不正确
正确答案: E 我的答案:A
第二章 黑客常用系统攻击方法2
【单选题】
1.关于“攻击工具日益先进,攻击者需要的技能日趋下降”的观点不正确的是( )
A、网络受到的攻击的可能性越来越大
B、.网络受到的攻击的可能性将越来越小
C、网络攻击无处不在
D、网络风险日益严重
正确答案: B
2.在程序编写上防范缓冲区溢出攻击的方法有( )
Ⅰ.编写正确、安全的代码 Ⅱ.程序指针完整性检测
Ⅲ.数组边界检查 Ⅳ.使用应用程序保护软件
A、 Ⅰ、Ⅱ和Ⅳ
B、 Ⅰ、Ⅱ和Ⅲ
C、 Ⅱ和Ⅲ
D、都是
正确答案: B
3.HTTP默认端口号为( )
A、21
B、80
C、8080
D、23
正确答案: B
4.信息不泄露给非授权的用户、实体或过程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正确答案: A
5.为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是( )
A、数字水印
B、数字签名
C、访问控制
D、发电子邮箱确认
正确答案: B
6.在建立网站的目录结构时,最好的做法是( )。
A、将所有文件最好都放在根目录下
B、目录层次选在3到5层
C、按栏目内容建立子目录
D、最好使用中文目录
正确答案: C
【判断题】
7.冒充信件回复、冒名Yahoo发信、下载电子贺卡同意书,使用的是叫做“字典攻击”的方法
正确答案:×
8当服务器遭受到DoS攻击的时候,只需要重新启动系统就可以阻止攻击。
正确答案:×
9.一般情况下,采用Port scan可以比较快速地了解某台主机上提供了哪些网络服务。
正确答案:×
10.Dos攻击不但能使目标主机停止服务,还能入侵系统,打开后门,得到想要的资料。
正确答案:×
11.社会工程攻击目前不容忽视,面对社会工程攻击,最好的方法使对员工进行全面的教育。
正确答案:√
第三章 计算机病毒1
【单选题】
1.每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒,这种病毒而检测方法叫做( )。
A、比较法
B、特征字的识别法
C、搜索法
D、分析法
E、扫描法
正确答案: B 我的答案:E
2.( )病毒式定期发作的,可以设置Flash ROM 写状态来避免病毒破坏ROM。
A、Melissa
B、CIH
C、I love you
D、蠕虫
正确答案: B 我的答案:D
3.以下( )不是杀毒软件
A、瑞星
B、Word
C、Norton AntiVirus
D、金山毒霸
正确答案: B 我的答案:B
4.效率最高、最保险的杀毒方式( )。
A、手动杀毒
B、自动杀毒
C、杀毒软件
D、磁盘格式化
正确答案: D 我的答案:D
【多选题】
5.计算机病毒的传播方式有( )。
A、通过共享资源传播
B、通过网页恶意脚本传播
C、通过网络文件传输传播
D、通过电子邮件传播
正确答案: ABCD 我的答案:ABCD
6.计算机病毒按其表现性质可分为( )
A、良性的
B、恶性的
C、随机的
D、定时的
正确答案: AB 我的答案:ABCD
【判断题】
7.木马与传统病毒不同的是:木马不自我复制。( )
正确答案:√ 我的答案:√
8.在OUTLOOKEXPRESS 中仅预览邮件的内容而不打开邮件的附件不会中毒的。( )
正确答案:× 我的答案:×
9.文本文件不会感染宏病毒。( )
正确答案:× 我的答案:√
10.按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。( )
正确答案:√ 我的答案:√
11.世界上第一个攻击硬件的病毒是CIH.( )
正确答案:√ 我的答案:√
第三章 计算机病毒2
【单选题】
1.计算机病毒的特征( )。
A、隐蔽性
B、潜伏性、传染性
C、破坏性
D、可触发性
E、以上都正确
正确答案: E 我的答案:E
2.每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒,这种病毒而检测方法叫做( )。
A、比较法
B、特征字的识别法
C、搜索法
D、分析法
E、扫描法
正确答案: B 我的答案:B
3.下列叙述中正确的是( )。
A、计算机病毒只感染可执行文件
B、计算机病毒只感染文本文件
C、计算机病毒只能通过软件复制的方式进行传播
D、计算机病毒可以通过读写磁盘或网络等方式进行传播
正确答案: D 我的答案:D
4.计算机病毒的破坏方式包括( )。
A、删除修改文件类
B、抢占系统资源类
C、非法访问系统进程类
D、破坏操作系统类
正确答案: ABCD 我的答案:ABCD
【判断题】
5.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会是系统感染病毒。( )
正确答案:× 我的答案:×
6.将文件的属性设为只读不可以保护其不被病毒感染.( )
正确答案:× 我的答案:×
7.重新格式化硬盘可以清楚所有病毒。( )
正确答案:× 我的答案:√
8. GIF和JPG格式的文件不会感染病毒。( )
正确答案:× 我的答案:×
9.蠕虫病毒是指一个程序(或一组程序),会自我复制、传播到其他计算机系统中去( )。
正确答案:√ 我的答案:√
第四章 数据加密技术1
【单选题】
1.可以认为数据的加密和解密是对数据进行的某种交换,加密和解密的过程都是在( )的控制下进行的
A、名文
B、密文
C、信息
D、密钥
正确答案: D 我的答案:D
2.为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是( )
A、数字水印
B、数字签名
C、访问控制
D、发电子邮箱确认
正确答案: B 我的答案:B
3.以下关于加密说法正确的是( )
A、加密包括对称加密和非对称加密两种
B、信息隐蔽式加密的一种方法
C、如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密
D、密钥的位数越多,信息的安全性越高
正确答案: D 我的答案:A
4.( )是网络通信中标志通信各方身份信息的一系列数据,提供一种在INTERNER上验证身份的方式。
A、数字认证
B、数字证书
C、电子认证
D、电子证书
正确答案: B 我的答案:B
5.数字证书采用公钥体制时,每个用户设定一把公钥,由本人公开,用其进行( )
A、加密和验证签名
B、解密和签名
C、加密
D、解密
正确答案: A 我的答案:A
第四章 数据加密技术2
【单选题】
1.在公开密钥体制中,加密密钥即( )
A、解密密钥
B、私密密钥
C、公开密钥
D、私有密钥
正确答案: C 我的答案:C
2.Set协议又称为( )
A、安全套协议层协议
B、安全电子交易协议
C、信息传输安全协议
D、网上购物协议
正确答案: B 我的答案:B
3.数字签名为保证其不可更改性,双方约定使用( )
A、Hash算法
B、RSA算法
C、CAP算法
D、ACR算法
正确答案: B 我的答案:A
4.安全套接层协议时( )。
A、SET
B、S-HTTP
C、HTTP
D、SSL
正确答案: D 我的答案:D
第五章 防火墙技术1
【单选题】
1.为确保企业管理局域网的信息安全,防止来自Internet的黑客入侵,采用( )可以实现一定的防范作用。
A、网络管理软件
B、邮件列表
C、防火墙
D、防病毒软件
正确答案: C
2.防火墙采用的最简单的技术是( )。
A、安装保护卡
B、隔离
C、包过滤
D、设置进入密码
正确答案: C
3.下列关于防火墙的说法正确的是( )。
A、防火墙的安全性能是根据系统安全的要求而设置的
B、防火墙的安全性能是一致的,一般没有级别之分
C、防火墙不能把内部网络隔离为可信任网络
D、一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统
正确答案: A
4.( )不是防火墙的功能。
A、过滤进出网络的数据包
B、保护存储数据安全
C、封堵某些禁止的访问行为
D、记录通过防火墙的信息内容和活动
正确答案: B
5.( )不是专门的防火墙产品。
A、ISA server 2004
B、Cisco router
C、Topsec 网络卫士
D、check point防火墙
正确答案: B
6.有一个主机专门被用做内部网络和外部网络的分界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台主机进行通信,防火墙外面的系统(Internet上的系统)也可以与这台主机进行通信,但防火墙两边的系统之间不能直接进行通信,这是( )的防火墙。
A、屏蔽主机式体系结构
B、筛选路由式体系结构
C、双网主机式体系结构
D、屏蔽子网式体系结构
正确答案: A
7.对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种防火墙技术称为( )。
A、包过滤技术
B、状态检测技术
C、代理服务技术
D、以上都不正确
正确答案: B
8.防火墙的作用包括( )。(多选题)
A、提高计算机系统总体的安全性
B、提高网络速度
C、控制对网点系统的访问
D、数据加密
正确答案: AC
第五章 防火墙技术2
【单选题】
1.防火墙技术可以分为( )等三大类。
A、包过滤、入侵检测和数据加密
B、包过滤、入侵检测和应用代理
C、包过滤、应用代理和入侵检测
D、包过滤、状态检测和应用代理
正确答案: D
2.防火墙系统通常由( )组成。
A、杀病毒卡和杀毒软件
B、代理服务器和入侵检测系统
C、过滤路由器和入侵检测系统
D、过滤路由器和代理服务器
正确答案: D
3.防火墙防止不希望的、未经授权的通信进出被保护的内部网络,是一种( )网络安全措施。
A、被动的
B、主动的
C、能够防止内部犯罪的
D、能够解决所有问题的
正确答案: A
4.防火墙是建立在内外网络边界上的一类安全保护机制,其安全架构基于( )。
A、流量控制技术
B、加密技术
C、信息流填充技术
D、访问控制技术
正确答案: D
5.一般作为代理服务器的堡垒主机上装有( )。
A、一块网卡且有一个IP地址
B、两个网卡且有两个不同的IP地址
C、两个网卡且有相同的IP地址
D、多个网卡且动态获得IP地址
正确答案: A
6.代理服务器上运行的是( )
A、代理服务器软件
B、网络操作系统
C、数据库管理系统
D、应用软件
正确答案: A
7.在ISO OSI/RM中队网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中,用户身份认证在( )进行。
A、网络层
B、会话层
C、物理层
D、应用层
正确答案: D
8.在ISO OSI/RM中队网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中,IP过滤型防火墙在( )通过控制网络边界的信息流动来强化内部网络的安全性。
A、网络层
B、会话层
C、物理层
D、应用层
正确答案: A
第六章 Windows Server的安全1
【单选题】
1.WindowServer2003系统的安全日志通过( )设置。
A、事件查看器
B、服务器管理器
C、本地安全策略
D、网络适配器
正确答案: C
2. 用户匿名登录主机时,用户名为( )。
A、guest
B、OK
C、Admin
D、Anonymous
正确答案: D
3.为了保证计算机信息安全,通常使用( ),以使计算机只允许用户在输入正确的保密信息时进入系统。
A、口令
B、命令
C、密码
D、密钥
正确答案: C
【多选题】
4.( )是Windows Server2003服务器系统自带的远程管理系统。(多选题)
A、Telnet services
B、Terminalservices
C、PC anywhere
D、IPC
正确答案: ABD
5.1、 Windows Server2003服务器采取的安全措施包括( )。(多选题)
A、使用NTFS格式的磁盘分区
B、及时对操作系统使用补丁程序堵塞安全漏洞
C、实行强有力的安全管理策略
D、借助防火墙对服务器提供保护
E、关闭不需要的服务器组件
正确答案: ABCDE
第六章 Windows Server的安全2
【单选题】
1.( )不是Windows 的共享访问权限。
A、只读
B、完全控制
C、更改
D、读取及执行
正确答案: D
2.WindowsServer2003的注册表根键( )是确定不同文件后缀的文件类型。
A、HKEY_CLASSES_ROOT
B、HKEY_USER
C、HKEY_LOCAL_MACHINE
D、HKEY_SYSTEM
正确答案: A
3.为了保证Windows Server2003服务器不被攻击者非法启动,管理员应该采取( )措施.
A、备份注册表
B、利用SYSKEY
C、使用加密设备
D、审计注册表的用户权限
正确答案: B
【多选题】
4.( )可以启动Windows Server2003的注册编辑器。(多选题)
A、REGERDIT.EXE
B、DFVIEW.EXE
C、FDISK.EXE
D、REGISTRY.EXE
E、REGEDT32.EXE
正确答案: AE
5.有些病毒为了在计算机启动的时候自动加载,可以更改注册表,()键值更改注册表自带加载项。(多选题)
A、HKLM\software\microsoft\windows\currentversion\run
B、HKLM\software\microsoft\windows\currentversion\runonce
C、HKLM\software\microsoft\windows\currentversion\runservices
D、HKLM\software\microsoft\windows\currentversion\runservicesonce
正确答案: ABCD
6.在保证密码安全中,应该采取的正确措施有( )。(多选题)
A、不用生日密码
B、不使用少于5位数的密码
C、不用纯数字
D、将密码设的很复杂并在20位以上
正确答案: ABC
H. 求一份关于网络安全配置服务器的端到端IPSEC VPN实验心得
IPSec
VPN端到端技术
Seclarity最近发布的网卡,集成了Peer
to
Peer的VPN功能,从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡,在这些网卡中集成了IPSec
VPN的终端,从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接,安全性更高。
要实现在网络中的端到端安全,需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central
Command
Console软件帮忙。Central
Command
Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件,在这个服务器上,有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置,相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。
推荐理由
一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久,而且这也将是大势所趋,特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec
VPN的解决方案顺应这一大方向。今天来看,用户获得Seclarity的端到端VPN方案,需要付出的代价是采用新的网卡。但是这也代表着一个趋势,未来的计算机系统,网卡需要承担更多的工作,降低对CPU的压力,就像今天很多网卡可以做到的TCP/IP的Off
load。
另一个推荐理由是,该产品是基于用户信息提供安全策略,集中配置和分发执行。这比固化在网卡中要好,更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID,一方面是管理上不方便,另外一旦网卡丢失,也会带来新的安全隐患。
Seclarity端到端VPN设备
■
关键特性
集中的安全策略设定,提供PC到PC的端到端安全通信能力,利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。
■
应用领域
对局域网、广域网安全有高要求的用户。
I. 网络安全类题目
1A
2A
3记得不太清了
4A
网线,网卡,集线器
反转链接
网络设置中安装上协议,tcp/ip,其实有一个简单的协议,给忘了不好意思,设置共享,和ip
好久没接触过网络了
子网划分都忘得差不多了