当前位置：文档库 › 计算机网络安全课后题答案

计算机网络安全课后题答案

第一章绪论

1. 计算机网络面临的安全威胁有哪些?

答:1.主要威胁：计算机网络实体面临威胁（实体为网络中的关键设备）；计算机网络系统面临威胁（典型安全威胁）；恶意程序的威胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）；计算机网络威胁有潜在对手和动机（恶意攻击/非恶意） 2. 典型的网络安全威胁：窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否

认、旁路控制、电磁/射频截获、人员疏忽。

2.分析计算机网络的脆弱性和安全缺陷

答：偶发因素：如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误；自然灾害：各种自然灾害对计算机系统构成严重的威胁；人为因素：人为因素对计算机网络的破坏和威胁（包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击）。

3.分析计算机网络的安全需求

答：互联网具有不安全性；操作系统存在的安全问题；数据的安全问题；传输路线的安全问题；网络安全管理问题。

4.分析计算机网络安全的内涵和外延是什么？

答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性，完整性及可使用受到保护。网络的安全问题包括两方面的内容，一是网络的系统安全；二是网络的信息安全。从广义上说，网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。

5.论述OSI安全体系结构

答：OSI安全系统结构定义了鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务；也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。

6.PPDR安全模型地结构

答：PPDR模型是一种常用的网络安全模型，主包含四个主要部份：Policy（安全策略）、Protection（防护）、Detection （检测）和Response（响应）。

7.简述计算机网络安全技术

答：网络安全技术：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。

第二章物理安全

1. 物理安全主要包含哪些方面的内容

答：机房环境安全、通信线路安全、设备安全和电源安全

2. 计算机机房安全等级的划分标准是什么？

答：机房的安全等级分为A类、B类和C类三个基本类别。A类：对计算机机房的安全有严格的要求；B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施；C类：对计算机机房的安全有基本的要求，有基本的计算机机房措施。

3. 计算机机房安全技术主要技术措施有哪些？

答：1.机房的安全要求：计算机机房选址应该避免靠近公共区域，避免窗户直接邻街，机房布局应该工作区在内，生活辅助区域在外，机房最好不要安排在底层或顶层；措施：保证所有进出计算机机房的人必须在管理人员的监控之下，外来人员进入机房内部、应该办理相关手续，并对随身物品进行相应的检查。

2.机房的防盗要求，对重要设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明一种通过光纤电缆保护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统更是一种更为可靠防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。

3.机房的三度要求（温度（18-22度）、温度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5Um））为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。

4.防静电措施：装修材料避免使用挂彩、地毯等易吸尘，易产生静电的材料、应采用乙烯材料，安装防静电动板并将设备接地。

5.接地与防雷要求：

地线种类：保护地、直流地、屏蔽地、静电池和雷地池。

接地系统：各自独立的接地系统；交、直分开的接地系统；共地接地系统；直流地、保护地共用地线系统和建筑物内共地系统。

接地体：地桩、水平栅网、金属接地板和建筑基础钢筋

防雷措施：使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线，机房本身有避雷设备和装置。6.机房的防火、防水措施：隔离、火灾报警系统、灭火措施和管理措施。

4.保障通信线路安全的主要技术措施有哪些？

答：电线加压技术；对光纤等通信路线的防窃听技术（距离大于最大限制的系统之间，不采用光纤线通信）；加强复制器的安全，如用加压措施、警报系统和加强警卫等措施。

4. 电磁辐射对网络通信安全的影响主要体现在哪些方面，防护措施有哪些？

答：影响主要体现在：计算机系统可能会通过电磁辐射使信息被截获而失密，计算机系统中数据信息在空间中扩散。防护措施：一类对传导发射的防护，主要采用对电源线和信号线加装性能良好的滤波器，减少传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又可分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的防护措施。为提高电子设备的抗干扰能力，主要措施有：屏蔽、滤波、隔离、接地，其中屏蔽是应用最多的方法。

5. 保障存储媒体安全的主要措施有哪些？

答：存放数据的盘，应妥善保管；对硬盘上的数据，要建立有效的级别、权限，并严格管理，必要时加密，以确保数据安全；存放数据的盘，管理须落到人，并登记；对存放重要数据的盘，要备份两份并分开保管；打印有业务数据的打印纸，要视同档案进行管理；凡超过数据保存期，必须经过特殊的数据加以清理；凡不能正常记录数据的盘，需经测试确认后由专人进行销毁，并做好登记；对需要长期保存的有效数据，应质量保证期内进行转存，并保证转存内容正确。

第三章信息加密与PKI

1. 简述加密技术的基本原理，并指哪些常用的加密体制及代表算法。

答：信息加密技术是利用密码学的原理与方法对传输数据提供保护手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。加密体制的分类：从原理上分为两类：即

单钥或对称密码体制（代表算法：DES算法，IDEA算法）和双钥或非对称密码体制（代表算法：RSA算法，ElGamal 算法）。

2. DES加密过程有几个基本步骤？试分析其安全性能。

答：1.初始置换IP及其逆初始化转换IP-1；乘积变换；选择扩展运算、选择压缩运算和置换运算；DES安全性分析及其变形

3.RSA签名方法与RSA加密方法对密钥的使用有什么不同？

答：RSA加密方法是在多个密钥中选中一部分密钥作为加密密钥，另一些作为解密密钥。RSA签名方法：如有k1/k2/k3三个密钥，可将k1作为A的签名私密钥，k2作为B的签名密钥，k3作为公开的验证签名密钥，实现这种多签名体制，需要一个可信赖中心对A和B分配秘密签名密钥。

3. 试简述解决网络数据加密的三种方式。

答：常用的网络数据加密方式有：

链路加密:对网络中两个相邻节点之间传输的数据进行加密保护；

节点加密：指在信息传输过程的节点进行解密和加密；

端到端的加密：指对一对用户之间的数据连续地提供保护。

4.认证的目的是什么？认证体制的要求和技术是什么？

答：1.认证的目的有三个：一消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，目的是防止消息重放或延迟等攻击。 2.一个安全的认证体制至少应该满足以下要求：意定的接收者能够检验和证实消息的合法性，真实性和满足性；消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息；除了合法的消息发送外，其他人不能伪造发送消息。

3．数字签名技术，一种实现消息完整性认证和身份认证的重要技术；身份认证技术，包括直接身份认证技术和间接身份认证技术；消息认证技术，包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。

5.什么是PKI？其用途有哪些？

答：PKI是一个用公钥密码算法原理和技术提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。

6. 简述PKI的功能模块组成。

答：主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA、证书库、证书撤销、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、不可否认证、时间戳和客户端软件

第四章防火墙技术

1. 简述防火墙的定义

答：防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问，管理内部用户访问外部网络，防止对重要信息资源的非法存取和访问，以达到保护内部网络系统安全的目的。

2. 防火墙的主要功能有哪些？

答：防火墙是网络安全策略的有机组成部分，它通过控制和监制网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙具有五大基本功能：过滤进、出网络的数据；和管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

3. 防火墙的体系结构有哪几种？简述各自的特点。

答：1.双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。

2.双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络往另一个网络发送IP数据包。双重宿主主机体系结构是由一台同时连接在内外网络的双重宿主主机提供安全保障的，而屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全的主机仅仅与被保护的内部网络相连。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔开。

4.简述包过滤防火墙的工作机制和包过滤模型。

答：1.包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。

3. 包过滤型防火墙一般有一个包检查模块，可以根据数据包头的各项信息来控制站点与站点、站点与网络、网络与网络之间的访问，但不能控制传输的数据，因为内容是应用层数据。

4. 简述包过滤的工作过程。

答：1.数据包过滤技术可以允许或不允许某些数据包在网络上传输，主要依据有：数据包的源地址、目的地址、协议类型（TCP、UDP、ICMP等）、TCP或UDP的源端口和目的端口、ICMP消息类型。

2.包过滤系统只能进行类似以下情况的操作：不让任何用户从外部网用Telnet登录；允许任何用户用SMTP往内部网发电子邮件；只允许某台计算机通过NNTP往内部网发新闻。但包过滤不能允许进行如下的操作：允许某个用户从外部网用Telent登录而不允许其他用户进行这种操作；允许用户传送一些文件而不允许用户传送其他文件。

5.简述代理防火墙的工作原理，并阐述代理技术的优缺点。

答：1.所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实服务器上，然后接受服务应答，并进行进一步处理后，将答复交给发出请求的客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。 2.优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。缺点：代理速度较路由慢；代理对用户不透明；对于每项服务代理可能要求不同的服务器；代理服务器不能保证免受手所有协议弱点的限制；代理不能改进底层协议的安全性。

5. 简述状态检测防火墙的特点。

答：状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，克服了两者的不足，能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否允许通过。优点：高安全性、高效性、可伸展性和易扩展性、应用范围广。不足：对大量状态信息的处理过程可能会造成网络的连接的某种迟滞。

6. 简述NAT技术的工作原理

答：NAT技术就是一种把内部私有IP地址翻译顾合法网络IP地址的技术。简单来说，NAT技术就是在局域网内部中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。

7. 试描述攻击者用于发现和侦察防火墙的典型技巧。

答：攻击者往往通过发掘信息关系和最薄弱环节上的安全脆弱点来绕过防火墙，或者由拔点账号实施攻击来避免防火墙。典型技巧：

1. 用获取防火墙标识进行攻击。凭借端口扫描和标识等获取技巧，攻击者能效地确定目标

网络上几乎每个防火墙的类型、版本和规则。 2. 穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿

透防火墙扫描。 3. 利用分组过滤的脆弱点进行攻击。利用ACL规则设计不完善的防火墙，允许某些分组不

受约束的通过。

4. 利用应用代理的脆弱点进行攻击。

8. 简述个人防火墙的特点

答：优点：增加了保护级别，不需要额外的硬件资源；个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，比如IP地址之类的信息等。

缺点：个人防火墙对公共网络只有一个物理接口，导致个人防火墙本向容易受到威胁；个人防火墙在运行时需要占用个人计算机内存、cPU时间等资源；个人防火墙只能对单机提供保护，不能保护网络系统。

9. 简述防火墙的发展动态和趋势。

答：防火墙的发展动态：防火墙有许多防范功能，但由于互联网的开放性，它也有力不能及的地方，主要表现以下几个方面：防火墙不能防范不经由防火墙的攻击；防火墙目前还不能防止感染病毒的软件或文件的传输，这只能在每台主机上安装反病毒软件；防火墙不能防止数据驱动式攻击；另外，防火墙还存着安装、管理、配置复杂的特点，在高流量的网络中，防火墙还容易成为网络的瓶颈。

防火墙的发展趋势：优良的性能；可扩展的结构和功能；简化的安装和管理；主动过滤；防病毒与防黑客；发展联动技术。

第五章入侵检测技术

1.简述入侵检测系统的基本原理

答：侵入检测是用于检测任何损害或企图损害系统的保密性，完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

2.入侵检测的系统结构和功能结构的组成

答：1.由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成看，入侵检测系统应包括数据提取、入侵分析、响应处理、和远程管理四大部分。 2.入侵检测系统的功能结构可分为两个部分：中心检测平台和代理服务器，中心检测平台和代理服务器之间通过安全的远程过程调用。

3.入侵检测的分类

2.由于功能和体系结构的复杂性，入侵检测系统模型可分为数据源、检测理论和检测时效三种。基于数据源的分类，按照数据源处所的位置可把入侵检测系统分为三类，即基于主机基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。基于检测理论的分类，可分为异常检测和误用检测两种。基于检测时效的分类，IDS在处理数据的时候可采用实时在线检测方式（实时检测）、批处理方式（离线检测）。

入侵检测分析模型

答：入侵检测分析处理可分为三个阶段：构建分析器、对实际现场数据进行分析、反馈和提炼过程。其中前两个阶段包含三个功能，即数据处理、数据分类（数据可分为入侵指标、非入侵指示或不确定）和后处理。

4．简述误用检测的技术实现

答：误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖可靠的用户活动记录和分析事件的方法。分为条件概率预测法、产生式/专家系统、状态转换方法（状态转换分析、有色Petri-Net、语言/基于API方法）、用于批模式分析的信息检索技术、KeyStroke Monitor和基于模型的方法。

5. 简述异常检测的技术实现

异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加，异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量集来描述的。为Denning的原始模型、量化分析、统计度量、非参数统计度量和基于规则的方法。

6.指出分布式入侵检测的优势和劣势

答：分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优势：检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施；分布式入侵检测的技术难点：事件产生及存储、状态空间管理及规则复杂度、知识库管理和推理技术。

7. 入侵检测系统的标准

答：1.IETF/IDWG.IDWG定义了用于入侵检测与响应（IDR）系统之间或与需要交互管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）及隧道轮廓 2.CIDF.CIDF的工作集中体现在四个方面：IDS体系结构、通信机制、描述语言和应用编程接口API。8.CIDF的体系结构组成

答：分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现，而事件数据库是文件或数据流的形式。

第六章网络安全检测技术

1. 安全威胁的概念和分类？

答：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可分为人为安全威胁和非人为安全威胁两大类。安全威胁和安全漏洞密切相关，安全漏洞的可度量性使人们对系统安全的潜在影响有了更加直观的认识。

2. 什么是安全漏洞，安全漏洞产生的内在原因是什么？

答：1.漏洞是指在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

2.漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。检测只能发现错误，证明错误的存在，不能证明错误的不存在。尤其是像操作系统这样的大型软件不可避免地存在着设计上的缺陷，这些缺陷反映在安全功能上便造成了系统的安全脆弱性。

3.网络安全漏洞的分类有哪些？

答：1.按漏洞可能对系统造成的直接威胁分类，有：远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露和其他漏洞。 2．按漏洞成因分类：输入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误。

4.网络安全漏洞检测技术分哪几类？具体作用是什么？

答：网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通过安全漏洞探测可以发现系统中可能存在的安全漏洞。网络安全漏洞检测的一个重要目的就是要在入侵者之前发现系统中存在的安全问题，及时地采取相应防护措施。

5. 端口扫描技术的原理是什么？根据通信协议的不同可以分为哪几类？

答：端口扫描的原理是向目标主机的TCP/IP端口发现探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP端口（全连接、半连接）和UDP端口两大类。

6. 操作系统探测技术分为几类？

答：操作系统探测主要包括：获取标识信息探测技术、基于TCP/IP协议栈的操作系统指纹探测技术和ICMP响应分析探测技术。

7. 安全漏洞探测技术有哪些分类？

答：安全漏洞探测是采用各种方法对目标可能存在的己知安全漏洞进行逐项检查。按照安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击漏洞探测两种。按照漏洞探测的技术特征，又可以划分为基于应

用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。

第七章计算机病毒与恶意代码防范技术

1. 简述计算机病毒的定义和特征。

答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制一组计算机指令或者程序代码。计算机病毒具有以下特征：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性和可触发性。

2. 简述计算机病毒的危害。

答：计算机病毒的危害主要有：直接破坏计算机数据信息；占用磁盘空间和对信息的破坏；

抢占系统资源；影响计算机运行速度；计算机病毒错误与不可见的危害；计算机病毒的兼容性对系统运行的影响；给用户造成严重的心理压力。

3. 简述计算机病毒的分类。

答：按照计病毒攻击的系统分类，有攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒。按照病毒的链接分类，有源码型病毒、嵌入型病毒、外壳病毒和操作系统病毒。按照病毒的破坏情况分类，有良性计算机病毒、恶性计算机病毒。按照病毒的寄生方式分类，有引导型病毒、文件型病毒和复合型病毒。按照病毒的传播媒介分类，有单机病毒和网络病毒。

4. 试述计算机病毒的-般构成、各个功能模块的作用和作用机制。

答：计算机病毒一般包括三大功能模块，即引导模块、传染模块和发作模块（破坏/表现模块）。

1.引导模块，计算机病毒要对系统进行破坏，争夺系统控制权是至关重要的，一般的病毒都是由引导模块从系统获取控制权，引导病毒的其他部分工作。中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程对外部事件发出中断请求及时进行处理，处理完后立即返回断点，继续CPU原来的工作。

2.传染模块，计算机的传染是病毒由一个系统扩散到另一个系统，由一张磁盘传入另一张磁盘，由一个网络传播到另一个网络的过程。计算机病毒是不能独立存在的，它必须寄生于一个特定的寄生宿主上。

3.发作模块，计算机病毒潜伏在系统中处于发作就绪状态，一旦病毒发作就执行病毒设计者的目的的操作。破坏机制在设计原理、工作原理与传染机制基本相同。

5.目前计算机病毒预防采用的技术有哪些？

答：严格的管理、有效的技术、宏病毒的防范、电子邮件病毒的防范。

5. 对于计算机的病毒有哪些检测技术？

答：特征代码法、检验和法、行为监测法和软件模拟法。

6. 简述计算机病毒的发展趋势。

答：利用微软件漏洞主动传播；局域网内快速传播、以多种方式传播、双程序结构、用即时工具传播病毒。

7. 什么是恶意代码？防范恶意代码有哪些？

答：恶意代码是一种程序，通常在人们没有察觉有情况下把代码寄宿到另一段程序中，从而达到破坏被感染计算机的数据，运行具有入侵性或破坏性的程序，破坏被感染系统数据的安全性和完整性的目的。防范恶意代码可以分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。

8. 简述恶意代码所使用的关键技术。

答：恶意代码的主要关键技术有生存技术、攻击技术和隐藏技术。生存技术主要包括4个方面：反跟踪技术、加密技术、模糊变换技术和自动生产技术。攻击技术包括：进程注入技术、端口复用技术、对抗检测技术、端口反向连接和缓冲区溢出攻击技术等。隐藏技术通常包括本地隐藏和通信隐藏，本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等；通信隐藏主要包括通信内容隐藏和传输通道隐藏。

9. CIH病毒一般破坏哪些部位？它发作时有哪些现象？

答：CIH病毒一般破坏硬盘数据甚至主板上的BIOS的内容，导致主机无法启动。发作现象：显示器突然黑屏，硬盘指标灯闪烁为停，重新开机后，计算机无法启动

计算机网络课后答案

第三章 2. 计算机网络采用层次结构的模型有什么好处？答：计算机网络采用层次结构的模型具有以下好处： (1) 各层之间相互独立，高层不需要知道低层是如何实现的，只知道该层通过层间的接口所提供的服务。 (2) 各层都可以采用最合适的技术来实现，只要这层提供的接口保持不变，各层实现技术的改变不影响其他屋。(3) 整个系统被分解为若干个品于处理的部分，这种结构使得复杂系统的实现和维护容易控制。(4) 每层的功能和提供的服务都有精确的说明，这样做有利于实现标准化。 3. ISO在制定OSI参考模型时对层次划分的原则是什么？答:ISO在制定OSI参考模型时对层次划分的原则是：(1) 网中各结点都具有相同的层次。(2)不同结点的同等层具有相同的功能。(3)同一结点内相邻层之间通过接口通信。(4)每一层可以使用下层提供的服务，并向其上层提供服务。(5)不同结点的同等层通过协议来实现对等层之间的通信。 4. 请描述在OSI 参考模型屮数据传输的基本过程。答: OSI 参考模型中数据传输的基本过程:当源结点的应用进程的数据传送到应用层时，应用层为数据加上本层控制报头后，组织成应用的数据服务单元，然后再传输到表示层；表示层接收到这个数据单元后，加上木层的控制报头构成表示层的数据服务单元，再传送到会话层。依此类推，数据传送到传输层；传输层接收到这个数据单元后，加上木层的控制报头后构成传输层的数据服务单元(报文)；报文传送到网络层时，由于网络层数据单元的长度有限制，传输层长报文将被分成多个较短的数据字段，加上网络层的控制报头后构成网络层的数据服务申i 元(分组)；网络层的分组传送到数据链路层时，加上数据链路层的控制信息后构成数据链路层的数据服务单元(顿数据链路层的巾贞传送到物理层后，物理层将以比特流的方式通过传输介质传输。当比特流到达目的结点时，再从物理层开始逐层上传，每层对各层的控制报头进行处理，将用户数据上交高层，最终将源结点的应用进程的数据发送给目的结点的应用进程。 4. 请描述在OSI 参考模型中数据传输的基本过程。 5. 1.OSI 环境中数据发送过程 1) 应用层当进程A 的数据传送到应用层时，应用层为数据加上应用层报头，组成应用层的协议数据单元，再传送到表示层。 2) 表示层表示层接收到应用层数据单元后，加上表示层报头组成表示层协议数据单元，再传送到会话层。表示层按照协议要求对数据进行格式变换和加密处理。 3) 会话层会话层接收到表示层数据单元后，加上会话层报头组成会话层协议数据单元，再传送到传输层。会话层报头用来协调通信主机进程之间的通信

计算机网络课后习题答案(第三章)

计算机网络课后习题答案（第三章） (2009-12-14 18:16:22) 转载▼ 标签：课程-计算机教育第三章数据链路层 3-01 数据链路(即逻辑链路)与链路(即物理链路)有何区别? “电路接通了”与”数据链路接通了”的区别何在? 答：数据链路与链路的区别在于数据链路出链路外，还必须有一些必要的规程来控制数据的传输，因此，数据链路比链路多了实现通信规程所需要的硬件和软件。 “电路接通了”表示链路两端的结点交换机已经开机，物理连接已经能够传送比特流了，但是，数据传输并不可靠，在物理连接基础上，再建立数据链路连接，才是“数据链路接通了”，此后，由于数据链路连接具有检测、确认和重传功能，才使不太可靠的物理链路变成可靠的数据链路，进行可靠的数据传输当数据链路断开连接时，物理电路连接不一定跟着断开连接。 3-02 数据链路层中的链路控制包括哪些功能?试讨论数据链路层做成可靠的链路层有哪些优点和缺点. 答：链路管理帧定界流量控制差错控制将数据和控制信息区分开透明传输寻址可靠的链路层的优点和缺点取决于所应用的环境：对于干扰严重的信道，可靠的链路层可以将重传范围约束在局部链路，防止全网络的传输效率受损；对于优质信道，采用可靠的链路层会增大资源开销，影响传输效率。 3-03 网络适配器的作用是什么?网络适配器工作在哪一层? 答：适配器（即网卡）来实现数据链路层和物理层这两层的协议的硬件和软件网络适配器工作在TCP/IP协议中的网络接口层（OSI中的数据链里层和物理层） 3-04 数据链路层的三个基本问题(帧定界、透明传输和差错检测)为什么都必须加以解决？答：帧定界是分组交换的必然要求透明传输避免消息符号与帧定界符号相混淆

计算机网络安全第二版课后答案

计算机网络安全第二版课后答案【篇一：计算机网络安全教程第 2版__亲自整理最全课后答案】 txt> 一、选择题 1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成 5个层次，密码技术是信息安全中研究的关键点。 3. 信息安全的目标cia 指的是机密性，完整性，可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下 5个级别二、填空题 1. 信息保障的核心思想是对系统或者数据的 4个方面的要求：保护（protect ），检测（detect ），反应（react ），恢复（restore ） 2. t cg 目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台 trusted computi ng platform 性。 3. 从1998年到2006年，平均年增长幅度达全事件的主要因素是系统和网络安全脆弱性（穷，这些安全威胁事件给in ternet 带来巨大的经济损失。 4. b 2级，又叫结构保护（structured protection ）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防，以提高整体的安全 50 %左右，使这些安 vul nerability ）层

御。三、简答题 1.网络攻击和防御分别包括哪些内容？答：①攻击技术：网络扫描，网络监听，网络入侵，网络后门，网络隐身 ②防御技术：安全操作系统和操作系统的安全配置，加密技术，防火墙技术，入侵检测，网络安全协议。 2.从层次上，网络安全可以分成哪几层？每层有什么特点？答：从层次体系上，可以将网络安全分为4个层次上的安全：（1）物理安全特点：防火，防盗，防静电，防雷击和防电磁泄露。（2）逻辑安全特点：计算机的逻辑安全需要用口令、文件许可等方法实现。（3 ）操作系统特点：操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。（4）联网安全特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全？答：目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域，并影响到社会的稳定。网络安全协议基础一、选择题 1.o si参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。 2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。

计算机网络课后习题答案谢希仁第五版

<<计算机网络>> 谢希仁编著---习题解答第一章概述习题1-02 试简述分组交换的要点。答：采用存储转发的分组交换技术，实质上是在计算机网络的通信过程中动态分配传输线路或信道带宽的一种策略。它的工作机理是：首先将待发的数据报文划分成若干个大小有限的短数据块，在每个数据块前面加上一些控制信息(即首部)，包括诸如数据收发的目的地址、源地址，数据块的序号等，形成一个个分组，然后各分组在交换网内采用“存储转发”机制将数据从源端发送到目的端。由于节点交换机暂时存储的是一个个短的分组，而不是整个的长报文，且每一分组都暂存在交换机的内存中并可进行相应的处理，这就使得分组的转发速度非常快。分组交换网是由若干节点交换机和连接这些交换机的链路组成，每一结点就是一个小型计算机。基于分组交换的数据通信是实现计算机与计算机之间或计算机与人之间的通信，其通信过程需要定义严格的协议；分组交换网的主要优点： 1、高效。在分组传输的过程中动态分配传输带宽。 2、灵活。每个结点均有智能，可根据情况决定路由和对数据做必要的处理。 3、迅速。以分组作为传送单位，在每个结点存储转发，网络使用高速链路。 4、可靠。完善的网络协议；分布式多路由的通信子网。电路交换相比，分组交换的不足之处是：①每一分组在经过每一交换节点时都会产生一定的传输延时，考虑到节点处理分组的能力和分组排队等候处理的时间，以及每一分组经过的路由可能不等同，使得每一分组的传输延时长短不一。因此，它不适用于一些实时、连续的应用场合，如电话话音、视频图像等数据的传输；②由于每一分组都额外附加一个头信息，从而降低了携带用户数据的通信容量；③分组交换网中的每一节点需要更多地参与对信息转换的处理，如在发送端需要将长报文划分为若干段分组，在接收端必须按序将每个分组组装起来，恢复出原报文数据等，从而降低了数据传输的效率。习题1-03 试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。答：电路交换，它的主要特点是：①在通话的全部时间内用户独占分配的传输线路或信道带宽，即采用的是静态分配策略；②通信双方建立的通路中任何一点出现了故障，就会中断通话，必须重新拨号建立连接，方可继续，这对十分紧急而重要的通信是不利的。显然，这种交换技术适应模拟信号的数据传输。然而在计算机网络中还可以传输数字信号。数字信号通信与模拟信号通信的本质区别在于数字信号的离散性和可存储性。这些特性使得它在数据传输过程中不仅可以间断分时发送，而且可以进行再加工、再处理。

计算机网络课后题答案第七章

第七章网络安全 7-01 计算机网络都面临哪几种威胁？主动攻击和被动攻击的区别是什么？对于计算机网络的安全措施都有哪些？答：计算机网络面临以下的四种威胁：截获（），中断()，篡改(),伪造（）。网络安全的威胁可以分为两大类：即被动攻击和主动攻击。主动攻击是指攻击者对某个连接中通过的进行各种处理。如有选择地更改、删除、延迟这些。甚至还可将合成的或伪造的送入到一个连接中去。主动攻击又可进一步划分为三种，即更改报文流；拒绝报文服务；伪造连接初始化。被动攻击是指观察和分析某一个协议数据单元而不干扰信息流。即使这些数据对攻击者来说是不易理解的，它也可通过观察的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究的长度和传输的频度，以便了解所交换的数据的性质。这种被动攻击又称为通信量分析。还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：计算机病毒；计算机蠕虫；特洛伊木马；

逻辑炸弹。对付被动攻击可采用各种数据加密动技术，而对付主动攻击，则需加密技术与适当的鉴别技术结合。 7-02 试解释以下名词：（1）重放攻击；（2）拒绝服务；（3）访问控制；（4）流量分析；（5）恶意程序。答：（1）重放攻击：所谓重放攻击（）就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。（2）拒绝服务：( )指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。（3）访问控制：（）也叫做存取控制或接入控制。必须对接入网络的权限加以控制，并规定每个用户的接入权限。（4）流量分析：通过观察的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究的长度和传输的频度，以便了解所交换的数据的某种性质。这种被动攻击又称为流量分析（）。（5）恶意程序：恶意程序（）通常是指带有攻击意图所编写的

网络安全课后答案

1.列出物理网风险的4种类型。答：窃听；回答（重放）；插入；拒绝服务（DoS）。 2.什么是身份鉴别栈？答：身份鉴别栈是一个OSI栈，它位于网络用户的OSI栈前面，管理网络的身份鉴别。 3.列出对有线物理网攻击的5种类型。答：连接破坏；干扰；侦察；插入攻击；回答。 4.有哪几种动态LAN链接的身份鉴别方法？答：Modem身份鉴别凭证；呼叫者ID；自动回叫；生成安全动态链接。 5.列出无线网的各种风险。答：分组嗅测；服务集标识（SSID）信息；假冒；寄生者；直接安全漏洞。 6.WEP是一种高强度安全方法吗？为什么？答：是。WEP能主动阻止连接，可以确定意图，如果攻击者解密和访问一个有WEP的网络，就很清楚地暴躁其攻击的意图。WEP是通用的，几乎所有无线网络路由器都支持WEP，并且相互兼容。 7.什么是数据链路的随意模式？答：正常模式下，网络寻址机制（也就是MAC）能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤，运行在随意模式的结点能接收所有报文帧，而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。 8.列出各种缓解数据层风险的方法。答：硬编码硬件地址；数据身份鉴别；高层身份鉴别；分析器和工具。 9.试述CHAP的功能、特点和局限性。答：CHAP使用共享密钥对初始网络连接进行身份鉴别，提供了一种方法对两个结点进行身份鉴别，但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统，它是基于密钥交换和共享密钥，身份鉴别相当安全，可用于易受窃听攻击的网络。 CHAP具有局限性。首先，只是在启动连接时进行身份鉴别，之后PPP不提供安全，某些攻击者具有在身份鉴别后拦截连接进行窃听的能力；再次，假如窃听者捕获到两个不长的随机数的协商，那么，对蛮力攻击，哈希函数可能易受攻击。 10.ARP为什么会受损？ARP受损后有何影响？如何能缓解ARP受损？答：ARP表包含一个临时的缓存，以存储最近看到的MAC地址，只有一个新的IP地址（或MAC）要查找时，才需要ARP分组，当一个无效的或不经意的差错进入ARP表，这个缓冲就会使系统的ARP受损。 ARP受损影响：资源攻击、DoS攻击和MitM攻击。缓解ARP受损方法：硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。 11.基于路由器的攻击有哪几种？路由表淹没后有哪几种结果？答：基于路由器的攻击：直接攻击、表中毒、表淹没、度量攻击、环路攻击。路由表淹没后的结果：忽略新的路由、清除老的路由或清除最坏的路由。 12.OSI网络层是否定义地址的身份鉴别和验证？基于数字和名字的地址机制容易受到何种地址攻击？答：否；基于数字和名字的地址机制容易受到假地址和拦截的攻击。 13.什么是分段机制的主要危险？假如分段超时值设置过低会有什么后果？答：丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。 14.网络层提供哪些QoS功能？QoS攻击有哪些？答：网络层提供建立和释放网络连接的功能，也保证相同的结点间建立多个连接，而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。 QoS攻击主要有：Ping攻击（DoS）、Smurf攻击（DDoS）。 15.网络层有哪些安全风险？网络层安全风险缓解方法有哪些？它们有哪些局限性？答：窃听、伪装以及插入攻击。缓解方法有：安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。局限性：安全协议：虽然能检测某些数据差错，但对检测攻击者没有大用处。网络不兼容能力：虽然IPv6支持数据加密，但很多高层协议和应用不支持IPv6。体系结构：知音的网络层通信能够进入数据链路隧道，和正常的网络层通信一样得到允许和保护。安全过滤：这种方法是在模糊安全的水平。防火墙和过滤出口：它并不能阻止来自源点伪装的网络。 16.什么是IP的安全风险？答：地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。 17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么？答：优缺点：禁用ICMP：ICMP提供测试、流控和差错处理，但并不提供网络路由的基本功能；非路由地址：采用非路由网络地址，使攻击者不能直接访问被保护的主机； NAT：NAT服务器提供两个安全效果（匿名和隐私），攻击者不能连接到内部主机；反向NAT：NAT最大的缺点是不能作为一个主机，反向NAT（RNAT）提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射； IP过滤：过滤器的规则能限制基于特定主机、子网或服务类型（TCP、UDP或ICMP）的分组；出口过滤：一方面提供了最大的安全以防外部的攻击者，另一方面对内部用户提供了最大的方便，但允许在内部网络的攻击者对外部资源进行攻击； IPSec：高层协议不许提供自己的加密，也无需修改就可用IPSec，这使IPSec成为安全连接和VPN的理想解决方案； IPv6：扩大地址空间，在网络层提供身份鉴别和加密连接的功能，提供了完整的VPN解决方案。 IPSec和IPv6的异同：从安全方面看，IPv6和IPSec本质上是相同的，两者都提供强的身份鉴别、加密和VPN支持。从可行性方面看，从IPv4转换到IPv6，路由器和网络设备必须更新以支持IPv6协议。

计算机网络谢希仁第七版课后答案完整版

计算机网络第七版答案第一章概述 1-01 计算机网络向用户可以提供那些服务？答：连通性和共享 1-02 简述分组交换的要点。答：（1）报文分组，加首部（2）经路由器储存转发（3）在目的地合并 1-03 试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。答：（1）电路交换：端对端通信质量因约定了通信资源获得可靠保障，对连续传送大量数据效率高。（2）报文交换：无须预约传输带宽，动态逐段利用传输带宽对突发式数据通信效率高，通信迅速。（3）分组交换：具有报文交换之高效、迅速的要点，且各分组小，路由灵活，网络生存性能好。 1-04 为什么说因特网是自印刷术以来人类通信方面最大的变革？答：融合其他通信网络，在信息化过程中起核心作用，提供最好的连通性和信息共享，第一次提供了各种媒体形式的实时交互能力。 1-05 因特网的发展大致分为哪几个阶段？请指出这几个阶段的主要特点。答：从单个网络APPANET向互联网发展；TCP/IP协议的初步成型建成三级结构的Internet；分为主干网、地区网和校园网；形成多层次ISP结构的Internet；ISP首次出现。 1-06 简述因特网标准制定的几个阶段？答：（1）因特网草案(Internet Draft) ——在这个阶段还不是RFC 文档。（2）建议标准(Proposed Standard) ——从这个阶段开始就成为RFC 文档。（3）草案标准(Draft Standard)（4）因特网标准(Internet Standard) 1-07小写和大写开头的英文名internet 和Internet在意思上有何重要区别？答：（1）internet（互联网或互连网）：通用名词，它泛指由多个计算机网络互连而成的网络。；协议无特指（2）Internet（因特网）：专用名词，特指采用TCP/IP 协议的互联网络。区别：后者实际上是前者的双向应用 1-08 计算机网络都有哪些类别？各种类别的网络都有哪些特点？答：按范围：（1）广域网WAN：远程、高速、是Internet的核心网。（2）城域网：城市范围，链接多个局域网。（3）局域网：校园、企业、机关、社区。（4）个域网PAN：个人电子设备按用户：公用网：面向公共营运。专用网：面向特定机构。 1-09 计算机网络中的主干网和本地接入网的主要区别是什么？答：主干网：提供远程覆盖\高速传输\和路由器最优化通信。本地接入网：主要支持用户的访问本地，实现散户接入，速率低。 1-10 试在下列条件下比较电路交换和分组交换。要传送的报文共x（bit）。从源点到终点共经过k段链路，每段链路的传播时延为d（s），数据率为b(b/s)。在电路交换时电路的建立时间为s(s)。在分组交换时分组长度为p(bit)，且各结点的排队等待时间可忽略不计。问在怎样的条件下，分组交换的时延比电路交换的要小？（提示：画一下草图观察k段链路共有几个结点。）答：线路交换时延：kd+x/b+s, 分组交换时延：kd+(x/p)*(p/b)+ (k-1)*(p/b)，其中(k-1)*(p/b)表示K段传输中，有(k-1)次的储存转发延迟，当s>(k-1)*(p/b)时，电路交换的时延比分组交换的时延大，当x>>p,相反。 1-11在上题的分组交换网中，设报文长度和分组长度分别为x和(p+h)(bit),其中p为分组的数据部分的长度，而h为每个分组所带的控制信息固定长度，与p的大小无关。通信的两端共经过k段链路。链路的数据率为b(b/s)，但传播时延和结点的排队时间均可忽略不计。若打算使总的时延为最小，问分组的数据部分长度p应取为多大？（提示：参考图1-12的分组交换部分，观察总的时延是由哪几部分组成。）答：总时延D表达式，分组交换时延为：D= kd+(x/p)*((p+h)/b)+ (k-1)*(p+h)/b D对p求导后，令其值等于0，求得p=[(xh)/(k-1)]^0.5

计算机网络课后习题及解答

第一章概述 1-03 试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。答：（1）电路交换：端对端通信质量因约定了通信资源获得可靠保障，对连续传送大量数据效率高。（2）报文交换：无须预约传输带宽，动态逐段利用传输带宽对突发式数据通信效率高，通信迅速。（3）分组交换：具有报文交换之高效、迅速的要点，且各分组小，路由灵活，网络生存性能好。 1-12 因特网的两大组成部分（边缘部分与核心部分）的特点是什么？它们的工作方式各有什么特点？答：边缘部分：由各主机构成，用户直接进行信息处理和信息共享;低速连入核心网。核心部分：由各路由器连网，负责为边缘部分提供高速远程分组交换。 1-17 收发两端之间的传输距离为1000km，信号在媒体上的传播速率为2×108m/s。试计算以下两种情况的发送时延和传播时延：（1）数据长度为107bit,数据发送速率为100kb/s。（2）数据长度为103bit,数据发送速率为1Gb/s。从上面的计算中可以得到什么样的结论？解：（1）发送时延：ts=107/105=100s 传播时延tp=106/(2×108)=0.005s （2）发送时延ts =103/109=1μs 传播时延：tp=106/(2×108)=0.005s 结论：若数据长度大而发送速率低，则在总的时延中，发送时延往往大于传播时延。但若数据长度短而发送速率高，则传播时延就可能是总时延中的主要成分。 1-21 协议与服务有何区别？有何关系？答：网络协议：为进行网络中的数据交换而建立的规则、标准或约定。由以下三个要素组成：（1）语法：即数据与控制信息的结构或格式。（2）语义：即需要发出何种控制信息，完成何种动作以及做出何种响应。（3）同步：即事件实现顺序的详细说明。协议是控制两个对等实体进行通信的规则的集合。在协议的控制下，两个对等实体间的通信使得本层能够向上一层提供服务，而要实现本层协议，还需要使用下面一层提供服务。协议和服务的概念的区分： 1、协议的实现保证了能够向上一层提供服务。本层的服务用户只能看见服务而无法看见下面的协议。下面的协议对上面的服务用户是透明的。 2、协议是“水平的”，即协议是控制两个对等实体进行通信的规则。但服务是“垂直的”，即服务是由下层通过层间接口向上层提供的。上层使用所

自考计算机网络安全课后习题答案

计算机网络安全（自学考试4751）课后答案 1.计算机网络面临的典型威胁窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。 2.计算机网络的脆弱性互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。 3.计算机网络安全目标性、完整性、可用性、不可否认性、可控性 4.计算机网络安全层次物理安全、逻辑安全、操作系统安全、联网安全 5.PPDR包括Policy、Protection Detection Response四个部分。防护、检测和响应组成了一个完整的、动态的安全循环。在整个安全策略的控制和指导下，综合运用防护工具和检测工具掌握系统的安全状态，然后通过适当的响应将网络系统调整到最安全或风险最低的状态，构成一个动态的安全防体系。 6.网络安全技术包括物理安全措施、数据传输安全技术、外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术 7.网络安全管理的主要容：网络安全管理的法律法规、计算

机网络安全评价标准。 8.网络安全技术的发展趋势：物理隔离、逻辑隔离、防御来自网络的攻击、防御来自网络的病毒、身份认证、加密通信和VPN、入侵检测和主动防御、网管审计和取证。 9.物理安全包括机房环境安全、通信线路安全、设备安全、电源安全 10.机房安全要求：场地选择、防火、部装修、供配电、空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、防电磁泄露。 11.保障通信线路安全的技术措施：屏蔽电缆、高技术加压电缆、警报系统、局域PBX。 12.防止电磁辐射措施：屏蔽、滤波、隔离、接地 13.信息存储安全管理：四防垂直放置、严格管理硬盘数据、介质管理落实到人、介质备份分别放置、打印介质视同管理、超期数据清除、废弃介质销毁、长期数据转存。 14.密码学三个阶段：古代、古典、近代 15.密钥：参与密码变换的参数 16.加密算法：将明文变换为密文的变换函数 17.明文是作为加密输入的原始信息、密文是明文经加密变换后的结果 18.加密体制：单钥密码体制、双钥密码体制 19.认证技术可解决消息完整性、身份认证、消息序号及

计算机网络原理课后答案

- 1 - 第１章节计算机网络概述 1．计算机网络的发展可以分为哪几个阶段？每个阶段各有什么特点？ A 面向终端的计算机网络：以单个计算机为中心的远程联机系统。这类简单的“终端—通信线路—计算机”系统，成了计算机网络的雏形。 B 计算机—计算机网络：呈现出多处中心的特点。 C 开放式标准化网络：OSI/RM 的提出，开创了一个具有统一的网络体系结构，遵循国际标准化协议的计算机网络新时代。 D 因特网广泛应用和高速网络技术发展：覆盖范围广、具有足够的带宽、很好的服务质量与完善的安全机制，支持多媒体信息通信，以满足不同的应用需求，具备高度的可靠性与完善的管理功能。2．计算机网络可分为哪两大子网？它们各实现什么功能？通信子网和资源子网资源子网负责信息处理，通信子网负责全网中的信息传递。 3．简述各种计算机网络拓扑类型的优缺点。星形拓扑结构的优点是：控制简单；故障诊断和隔离容易；方便服务，中央节点可方便地对各个站点提供服务和网络重新配置。缺点是：电缆长度和安装工作量客观；中央节点的负担较重形成“瓶颈”；各站点的分布处理能力较低。总线拓扑结构的优点是：所需要的电缆数量少；简单又是无源工作，有较高的可靠性；易于扩充增加或减少用户比较方便。缺点是：传输距离有限，通信范围受到限制；故障诊断和隔离较困难；分布式协议不能保证信息的及时传输，不具有实时功能。树形拓扑结构的优点是：易于扩展、故障隔离较容易，缺点是：各个节点对根的依赖性太大。环形拓扑结构的优点是：电缆长度短；可采用光纤，光纤的传输率高，十分适合于环形拓扑的单方向传输；所有计算机都能公平地访问网络的其它部分，网络性能稳定。缺点是：节点的故障会引起全网故障；环节点的加入和撤出过程较复杂；环形拓扑结构的介质访问控制协议都采用令牌传递的方式，在负载很轻时，信道利用率相对来说就比较低。混合形拓扑结构的优点是：故障诊断和隔离较为方便；易于扩展；安装方便。缺点是：需要选用带智能的集中器；像星形拓扑结构一样，集中器到各个站点的电缆安装长度会增加。网形拓扑结构的优点是：不受瓶颈问题和失效问题的影响，缺点是：这种结构比较复杂，成本比较高，提供上述功能的网络协议也较复杂。 4．广播式网络与点对点式网络有何区别? 在广播式网络中,所有联网计算机都共享一个公共信道。当一台计算机利用共享信道发送报

计算机网络课后题答案解析

第一章一、名词解释广域网：覆盖范围从几十公里到几千公里，是一个国家、地区或横跨几个洲的网络。城域网：可以满足几十公里范围内的大量企业、机关、公司的多个局域网互联的需要，并能实现大量用户与数据、语音、图像等多种信息传输的网络。局域网：用于有限地理范围，将各种计算机、外设互联起来的网络。通信子网：由各种通信控制处理机、通信线路与其他通讯设备组成，负责全网的通信处理业务。资源子网：由各种主机、外设、软件与信息资源组成，负责全网的数据处理业务，并向网络用户提供各种网络资源与网络服务。计算机网络：以能够相互共享资源的方式互联起来的自制计算机系统的集合。分布式系统：存在着一个能为用户自动管理资源的网络操作系统，由它来自动调用完成用户任务所需的资源，整个网络系统对用户来说就像一个大的计算机系统一样。公用数据网：由邮电部门或通信部门统一组建与管理，向社会用户提供数据通信服务的网络。广播网络：网络中的计算机或设备使用一个共享的通信介质进行数据传播，网络中的所有结点都能收到任一结点发出的数据信息。点—点网络：是两台计算机之间通过一条物理线路连接的网络。四、简答题 1、计算机网络的发展可以划分为几个阶段？每个阶段的特点？四个阶段：1）远程联机阶段2)互联网络阶段3）标准化网络阶段4）网络互连与高速网络阶段远程特点：系统中只有一个计算机处理中心，各终端通过通信线路共享主计算机的硬件和软件资源，主计算机负担过重，终端独占线路，资源利用率低。互联特点：实现计算机与计算机通信的计算机网络系统，呈现出的是多台计算机处理中心的特点。标准化网络阶段：网络体系结构与协议标准化的研究广域网、局域网与分组交换技术的研究与应用网络互联与高速网络阶段：Internet技术的广泛应用网络计算技术的研究与发展宽带城域网与接入网技术的研究与发展网络与信息安全技术的研究与发展。 2. 按照资源共享的观点定义的计算机网络应具备哪几个主要特征？建立的主要目的是实现计算机资源的共享；互连的计算机是分布在不同地理位置的多台独立“自治系统”；连网计算机在通信过程中必须遵循相同的网络协议。 3、什么是计算机网络？计算机网络是把分布在不同地点，并具有独立功能的多个计算机系统通过通信设备和线路连接起来，在功能完善的网络软件和协议的管理下，以实现网络中资源共享为目标的系统。 4、计算机网络的主要功能是什么？ 1）资源共享：硬件资源、软件资源、数据资源、信道资源；2）网络通信；3）分布式处理；4）集中管理；5）均衡负载 5、计算机网络硬件包括哪些？主计算机、网络工作站、网络终端、通信处理机、通信线路、信息变换设备

网络安全课后简答题部分参考答案

第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容？答：攻击技术主要包括以下几个方面。（1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御技术主要包括以下几个方面。（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。（3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。（5）网络安全协议：保证传输的数据不被截获和监听。 2. 从层次上，网络安全可以分成哪几层？每层有什么特点？答：从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。逻辑安全需要用口令、文件许可等方法来实现。操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。第2章网络安全协议基础 1. 简述OSI参考模型的结构答： OSI参考模型是国际标准化组织（International Standards Organization，ISO）制定的模

计算机网络课后答案(全部)

计算机网络习题解答教材计算机网络谢希仁编著第一章概述习题1-01 计算机网络的发展可划分为几个阶段?每个阶段各有何特点? 答: 计算机网络的发展过程大致经历了四个阶段。第一阶段：(20世纪60年代)以单个计算机为中心的面向终端的计算机网络系统。这种网络系统是以批处理信息为主要目的。它的缺点是：如果计算机的负荷较重，会导致系统响应时间过长；单机系统的可靠性一般较低，一旦计算机发生故障，将导致整个网络系统的瘫痪。第二阶段：(20世纪70年代)以分组交换网为中心的多主机互连的计算机网络系统。为了克服第一代计算机网络的缺点，提高网络的可靠性和可用性，人们开始研究如何将多台计算机相互连接的方法。人们首先借鉴了电信部门的电路交换的思想。所谓“交换”，从通信资源的分配角度来看，就是由交换设备动态地分配传输线路资源或信道带宽所采用的一种技术。电话交换机采用的交换技术是电路交换(或线路交换)，它的主要特点是：①在通话的全部时间内用户独占分配的传输线路或信道带宽，即采用的是静态分配策略；②通信双方建立的通路中任何一点出现了故障，就会中断通话，必须重新拨号建立连接，方可继续，这对十分紧急而重要的通信是不利的。显然，这种交换技术适应模拟信号的数据传输。然而在计算机网络中还可以传输数字信号。数字信号通信与模拟信号通信的本质区别在于数字信号的离散性和可存储性。这些特性使得它在数据传输过程中不仅可以间断分时发送，而且可以进行再加工、再处理。③计算机数据的产生往往是“突发式”的，比如当用户用键盘输入数据和编辑文件时，或计算机正在进行处理而未得出结果时，通信线路资源实际上是空闲的，从而造成通信线路资源的极大浪费。据统计，在计算机间的数据通信中，用来传送数据的时间往往不到10%甚至1%。另外，由于各异的计算机和终端的传输数据的速率各不相同，采用电路交换就很难相互通信。为此，必须寻找出一种新的适应计算机通信的交换技术。1964年，巴兰(Baran)在美国兰德(Rand)公司“论分布式通信”的研究报告中提出了存储转发(store and forward)的概念。1962 —1965年，美国国防部的高级研究计划署(Advanced Research Projects Agency，ARPA)和英国的国家物理实验室(National Physics Laboratory，NPL)都在对新型的计算机通信技术进行研究。英国NPL的戴维德(David)于1966年首次提出了“分组”(Packet)这一概念。1969年12月，美国的分组交换网网络中传送的信息被划分成分组(packet)，该网称为分组交换网ARPANET(当时仅有4个交换点投入运行)。ARPANET的成功，标志着计算机网络的发展进入了一个新纪元。现在大家都公认ARPANET为分组交换网之父，并将分组交换网的出现作为现代电信时代的开始。分组交换网是由若干节点交换机和连接这些交换机的链路组成，每一结点就是一个小型计算机。它的工作机理是：首先将待发的数据报文划分成若干个大小有限的短数据块，在每个数据块前面加上一些控制信息(即首部)，包括诸如数据收发的目的地址、源地址，数据块的序号等，形成一个个分组，然后各分组在交换网内采用“存储转发”机制将数据从源端发送到目的端。由于节点交换机暂时存储的是一个个短的分组，而不是整个的长报文，且每一分组都暂存在交换机的内存中并可进行相应的处理，这就使得分组的转发速度非常快。由此可见，通信与计算机的相互结合，不仅为计算机之间的数据传递和交换提供了必要的手段，而且也大大提高了通信网络的各种性能。由此可见，采用存储转发的分组交换技术，实质上是在计算机网络的通信过程中动态分配传输线路或信道带宽的一种策略。值得说明的是，分组交换技术所采用的存储转发原理并不是一个全新的概念，它是借鉴了电报通信中基于存储转发原理的报文交换的思想。它们的关键区别在于通信对象发生了变化。基于分组交换的数据通信是实现计算机与计算机之间或计算机与人之间的通信，其通信过程需要定义严格的协

计算机网络课后题答案

第三章 1.网卡的主要功能有哪些？它实现了网络的哪几层协议？网卡工作在OSI模型的数据链路层，是最基本的网络设备，是单个计算机与网络连接的桥梁。它主要实现如下功能： (1) 数据的封装与解封，信号的发送与接收。 (2) 介质访问控制协议的实现。采用不同拓扑结构，对于不同传输介质的网络，介质的访问方式也会有所不同，需要有相应的介质访问控制协议来规范介质的访问方式，从而使网络用户方便、有效地使用传输介质传递信息。 (3) 串/并行转换。因为网卡通过总线以并行传输方式与计算机联系，而网卡与网络的通信线路采用串行传输方式联系，所以网卡应具有串/并行转换功能。 (4) 发送时，将计算机产生的数字数据转变为适于通信线路传输的数字信号形式，即编码；接收时，将到达网络中的数字信号还原为原始形式，即译码。 2.网卡有几种分类方式？ 1．按连接的传输介质分类 2．按照总线类型分类 3.使用粗缆、细缆及双绞线的网卡接口名称分别是什么？粗缆网卡使用AUI连接头，用来连接收发器电缆，现在已经看不到这种网卡的使用了。细缆网卡使用BNC连接头，用来与BNC T型连接头相连，现在也很少使用，在一些布网较早的单位还可以见到。连接同轴电缆的网卡速率一般为10 Mb/s。双绞线网卡是现在最常用的，使用RJ-45插槽，用来连接网线的RJ-45插头。 4.简述安装网卡的主要步骤。对于台式计算机，若使用USB网卡，则只要将网卡插入计算机的USB接口中就可以了；若使用ISA或者PCI网卡，则需以下安装步骤： (1) 断开电源，打开机箱。 (2) 在主板上找到相应的网卡插槽，图3.8所示为ISA插槽和PCI插槽。选择要插入网卡的插槽，将与该插槽对应的机箱金属挡板取下，留下空缺位置 (3)将网卡的金属挡板朝向机箱背板，网卡下方的插条对准插槽，双手均匀用力将网卡插入插槽内，这时网卡金属挡板正好填补了上一步操作留下的空缺位置 (4) 根据机箱结构，需要时用螺丝固定金属挡板，合上机箱即可。对于笔记本电脑，网卡的安装较为简单。首先找到笔记本的PCMCIA 插槽，如图3.10所示，然后将PCMCIA网卡有金属触点的一头插入PCMCIA 插槽，这样网卡就安装好了 5.集线器是哪一层的设备，它的主要功能是什么？集线器属于物理层设备，它的作用可以简单的理解为将一些机器连接起来组成一个局域网。 6.在集线器或交换机的连接中，级联与堆叠连接方式有什么异同？ 1.级联是通过集线器的某个端口与其他集线器相连，堆叠是通过集线器背板上的专用堆叠端口连接起来的，该端口只有堆叠式集线器才具备。 2.距离不同堆叠端口之间的连接线也是专用的。堆叠连接线长度很短，一般不超过1 m，因此与级联相比，堆叠方式受距离限制很大。 3.但堆叠线缆能够在集线器之间建立一条较宽的宽带链路，再加上堆叠单元具有可管理性，这使得堆叠方式在性能方面远比级联方式好。 7.交换机是哪一层的设备，它的主要功能是什么？交换机是二层网络设备（即OSI参考模型中的数据链路层）。

计算机网络课后习题答案

计算机网络课后习题答案文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

1习题一、填空题 1．在OSI参考模型中，网络层所提供的服务包括虚电路服务和数据报服务。 2．如果网络系统中的每台计算机既是服务器，又是工作站，则称其为对等网。 3．网络协议主要由语法、语义和规则三个要素组成。 4．OSI参考模型规定网络层的主要功能有：分组传送、流量控制和网络连接建立与管理。 5．物理层为建立、维护和释放数据链路实体之间二进制比特传输的物理连接，提供机械的、电气的、功能的和规程的特性。 6．设置传输层的主要目的是在源主机和目的主机进程之间提供可靠的端到端通信。7．在OSI参考模型中，应用层上支持文件传输的协议是文件传送、存取和管理 FTAM ，支持网络管理的协议是报文处理系统MHS 。二．选择题 1．按覆盖的地理范围分类，计算机网络可以分成局域网、城域网和广域网。 2．如果某种局域网的拓扑结构是 A ，则局域网中任何一个结点出现故障都不会影响整个网络的工作。 A）总线型结构 B）树型结构 C）环型结构 D）星型结构 3．网状拓扑的计算机网络特点是：系统可靠性高，但是结构复杂，必须采用路由选择算法和流量控制方法。 4．在OSI七层结构模型中，执行路径选择的层是 B 。 A）物理层 B）网络层 C）数据链路层 D）传输层

5．在OSI七层结构模型中，实现帧同步功能的层是 C 。 A）物理层 B）传输层 C）数据链路层 D）网络层 6．在OSI七层协议中，提供一种建立连接并有序传输数据的方法的层是C。 A）传输层 B）表示层 C）会话层 D）应用层 7．在地理上分散布置的多台独立计算机通过通信线路互联构成的系统称为（C）使信息传输与信息功能相结合，使多个用户能够共享软、硬件资源，提高信息的能力。 A）分散系统B）电话网C）计算机网络D）智能计算机 8．若要对数据进行字符转换和数字转换，以及数据压缩，应在OSI（D）层上实现。A）网络层B）传输层C）会话层D）表示层三、思考题 1．简述计算机网络的定义、分类和主要功能。计算机网络的定义：计算机网络，就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来，以功能完善的网络软件（即网络通信协议、信息交换方式、网络操作系统等）实现网络中资源共享和信息传递的系统。计算机网络可以从不同的角度进行分类：（1）根据网络的交换功能分为电路交换、报文交换、分组交换和混合交换；（2）根据网络的拓扑结构可以分为星型网、树型网、总线网、环型网、网状网等；（3）根据网络的通信性能可以分为资源共享计算机网络、分布式计算机网络和远程通信网络；（4）根据网络的覆盖范围与规模可分为局域网、城域网和广域网；