网络攻击与防护复习题2016
1、防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型
2、包过滤(Packet filtering)防火墙是最简单的防火墙,通常只包括对源和目
的的IP地址及端口的检查
3、包过滤防火墙的优缺点
包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。
它的不足之处也显而易见,包过滤防火墙配置困难,且无法满足各种安全要求,缺少审计和报警机制。
4、应用代理型
应用代理型防火墙(Application Proxy)工作在OSI的最高层,即应用层。
其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
5、从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种
6、数据备份就是将数据以某种方式加以保留,以便在系统需要时重新恢复和利
用。其作用主要体现在如下两个方面:
1.在数据遭到意外事件破坏时,通过数据恢复还原数据。
2.数据备份是历史数据保存归档的最佳方式。
备份的最基本问题是:为保证能恢复全部系统,需要备份多少以及何时进行备份。目前常用的备份方法备份策略有:
(1)全盘备份;(2)增量备份;
(3)差异备份;(4)按需备份
7、加密是把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形
式的过程
8、鉴别包括报文鉴别和身份验证。
报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。
身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统
报文鉴别和身份验证可采用数字签名技术来实现。
9、数字签名的功能:
●收方能够确认发方的签名,但不能伪造;
●发方发出签过名的信息后,不能再否认;
●收方对收到的签名信息也不能否认;
●一旦收发方出现争执,仲裁者可有充足的证据进行评判。
10、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的
或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
11、网络安全的目标
1.可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基本要求之一,是所有网络信息系统的建设和运行目标。
2.可用性
可用性是网络信息可被授权实体访问并按需求使用的特性,即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
3.保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
4.完整性
完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
保障网络信息完整性的主要方法有:
?协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;
?纠错编码方法:由此完成纠错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;
?密码校验和方法:它是抗篡改和传输失败的重要手段;
?数字签名:保障信息的真实性;
?公证:请求网络管理或中介机构证明信息的真实性。
5.不可抵赖性
不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中,确信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
6.可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
12、安全服务
1.对象认证安全服务
防止主动攻击的主要技术,认证就是识别和证实。识别是辩明一个对象的身份的过程,证实是证明该对象的身份就是其声明的身份的过程。
2.访问控制安全服务
防止超权使用资源。访问控制大体可分为自主访问控制和强制访问控制。
3.数据机密性安全服务
防止信息泄漏。这组安全服务又细分为:信息机密性、选择段机密性、业务流机密性。
4.数据完整性安全服务
防止非法地篡改信息、文件和业务流。这组安全服务又分为:联接完整性(有恢复或无恢复)、选择段有联接完整性、选择段无联接完整性。
5.防抵赖安全服务
证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。
13、物理隔离。物理隔离是指在任一时间和地点,计算机网络之间均不存在直接的
物理连接,而且没有任何公用的存储信息,保证系统内的数据在网际间不被重用,在某种程度上切断信息的流动途径。通常使用电源切换方法,隔离区域始终处于互不同时通电的状态,被隔离的网络端始终无法通过隔离部件交互信息。
14、逻辑隔离。逻辑隔离是指公共网络和专网之间物理连接,通过信息安全技术手
段确保隔离网络之间不存在数据通道,即逻辑上隔离。通常采用VLAN、访问控制、VPN、防火墙、身份识别、端口绑定等技术,通过使用协议转换、数据格式剥离和数据流控制等方法,在逻辑隔离区域之间实现单向数据传输,杜绝隔离网络之间直接的数据交换。
15、安全检测与评估。安全检测与评估是指通过配置网络安全漏洞扫描系统,定期
或不定期对一些关键设备和系统进行漏洞扫描和安全评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。安全监控与入侵防范包括入侵监测系统和安全审计。入侵监测系统主要安装在易受到攻击的服务器或防火墙附近,通过检查操作系统的审计数据或网络数据包信息,监测系统中违背安全策略或危及系统安全的行为或活动。安全审计是对网络上发生的事件进行记载、分析和报告的操作。
16、防火墙。防火墙是由软件和硬件组合而成,在内部网和外部网之间、专用网与
公共网之间的界面上构造的保护屏障。通过监测、限制、更改跨越防火墙的数据流,尽最大可能对外部屏蔽网络内部的信息、结构和运行状况,最大限度地阻止黑客的访问,
防止重要信息被更改、拷贝或毁坏,以此来实现网络的安全保护。
17、入侵检测
入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
18、入侵检测的方法
入侵检测方法有三种分类依据:
?根据物理位置进行分类。
?根据建模方法进行分类。
?根据时间分析进行分类。
常用的方法有三种:
?静态配置分析
?异常性检测方法
?基于行为的检测方法。
19、控制与审计是当前信息安全技术支撑平台的两大主流技术
20、安全=最少服务最小权限
?公理:所有的程序都有缺陷(摩菲定理)
?大程序定律:大程序的缺陷甚至比它包含的内容还多
?推理:一个安全相关程序有安全性缺陷
?定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要
?推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要
?定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能地小
?推论:防火墙基本法则:防火墙必须配置得尽可能地小,才能降低风险。
21、防火墙应用失败原因
?未制定完整的企业安全策略
?没有及时升级系统和安全漏洞库
?安全策略更新缓慢
?合作伙伴选择失败
?缺少有效的管理手段
22、VPN(Virtual Private Network) 它指的是以公用开放的网络(如Internet)作
为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。
23、VPN作用
?数据机密性保护
?数据完整性保护
?数据源身份认证
24、病毒的种类
1、系统病毒:感染windows操作系统的*.exe 和 *.dll文件
2、蠕虫病毒 :通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性
3、木马病毒
4、脚本病毒 :使用脚本语言编写,通过网页进行的传播的病毒
5、宏病毒 :让计算机感染传统型的病毒。删除硬盘上的文件或文档。
6、后门病毒:后门就是辅助木马进一步入侵的小程序,通常会开启若干端口或服务
25、木马
木马是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,进行各种文件操作,修改注册表,更改计算机配置等。
木马的防治措施:
?安装杀毒软件和个人防火墙,并及时升级。
?把个人防火墙设置好安全等级,防止未知程序向外传送数据。
?可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
?如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
26、恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、
改变或删除的任何脚本
27、浏览器劫持。使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览
器主页/搜索页等被修改为劫持软件指定的网站地址等异常
28、我国信息安全隐患原因
1. 互联网自身的安全隐患
互联网在设计之初就缺乏安全构架的总体规划,网络底层协议TCP/IP协议族是假定于可信环境,首先考虑的是网络互相联结,强调的是Internet开发性和便利性,欠缺网络安全的整体架构和设计,TCP/IP协议族存在安全漏洞和安全检测缺陷,黑客利用某些安全漏洞或安全缺陷作为攻击系统的手段。开放性和共享性是互联网的优点,但这同时也成为导致网络安全威胁的主要原因。
2. 缺乏国家信息安全战略和规划的统一指导
目前我国入网用户每年都以较大幅度增长,中国互联网络信息中心(CNNIC)发布的《第29次中国互联网络发展状况统计报告》显示,截止2011年12月底,我国网民总数已达5.13亿,全球第一。但总体上讲,我国网络信息化程度较发达国家水平还有相当大的差距,不论是国家还是民众,对于信息网络安全的意识还没有上升到国民经济和国家安全的高度。目前,我国还没有发布国家信息安全战略和规划的纲领性文件,缺乏全国统一的信息安全战略统筹和综合协调。
3. 基础薄弱,安全防护能力不强
目前,我国还不拥有信息安全技术的核心软件和硬件,信息安全基础薄弱,在核心芯片和系统内核方面缺乏自主研发,信息网络安全防护能力整体较弱,核心技术受制于人。当前,我国急需加快技术攻关和产业发展,加强信息安全防护技能和管理措施,提升网络与信息安全的监管能力和保障水平,确保重要信息系统和基础信息网络安全。
4. 信息安全人才不足
我国目前在信息安全体系结构、技术研发等方面尚处于初级阶段,信息安全产业在研发、运用等方面人才匮乏。信息安全行业普遍缺乏高素质的信息安全技术人员,高层次的信息安全人才尤其稀缺。由于人才匮乏,信息安全解决方案只能采用安全产品的简单集成,安全防
护效果不尽人意。
29、防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:
●防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。
●只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。
●防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。
30、传统的加密算法主要为
置换:按照规则改变内容的排列顺序
移位:打乱字母的排列顺序
31、数字加密的安全性取决于加密算法的强度和密钥的保密性
32、加密算法分类
对称密钥加密算法(又称私钥加密算法)
非对称密钥加密算法(又称公钥加密算法)
33、对称加密算法:密钥的管理是最大的问题
34、加密技术
加密技术分:对称加密算法(私钥加密)、非对称加密算法(公钥加密)
对称加密:加密密钥和解密密钥是相等的,如:DES算法
优点:加密速度快
缺点:安全性不高,密钥管理难
非对称加密算法:私钥和公钥不相等,如:RSA算法
优点:安全、密码管理简单
缺点:加密速度慢
非对称加密的算法、公钥都是公开的。私钥自行保存。
非对称加密算法的私钥用于解密和签名,公钥用于加密和验证。
35、数字签名方法是把整个明文都进行加密,在实际应用中由于加密很慢,所以经
常希望能够发送签名的明文文件而不要求加密整个报文。现在经常使用一种叫做“报文摘要”的数字签名方法。
36、网络中存在的威胁:
目前网络中存在的威胁主要表现在以下几个方面。
1.非授权访问
没有预先经过同意就使用网络或计算机资源被看作是非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。非授权访问主要包括以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
2.泄漏或丢失信息
泄漏或丢失信息指敏感数据被有意泄漏出去或丢失,通常包括:信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,得到用户密码、账号等重要信息),信息在存储介质中丢失或泄漏,敏感信息被隐蔽隧道窃取等
3.破环数据完整性
指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用等。
4.拒绝服务攻击
通过不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序响应来减慢甚至使网络服务瘫痪,影响正常的使用,导致合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务等。
5.利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机,而且用户很难防范。
37、如何保证信息安全
?高水平的人才是保证网络安全的基础
?先进的技术是网络安全的根本保证
?严格的安全管理是网络安全的关键
?法律法规的制定是网络安全的依靠
38、黑客攻击的手段:
?网络监听
?密码破解
?漏洞攻击
?扫描攻击
?拒绝服务攻击
?缓冲区溢出
?恶意代码攻击
?IP欺骗
39、主动防御技术:
数据加密
身份验证
存取控制
授权
虚拟网络
40、被动防御技术
?防火墙技术
?安全扫描技术
?路由过滤技术
?审记服务
?物理及管理安全
41、应用程序服务的安全漏洞
?Web 服务器:
–错误的Web目录结构
– CGI脚本缺陷
– Web服务器应用程序缺陷
–私人Web站点
–未索引的Web页
?数据库:
–危险的数据库读取删除操作, 缓冲区溢出
?路由器:
–源端口/源路由
?其他应用程序:
– Oracle, SAP, Peoplesoft 缺省帐户
–有缺陷的浏览器
42、P2DR动态安全模型
随着网络的蓬勃发展,人们已经意识到网络安全是最迫切需要解决的问题之一。由于传统的计算机安全理论不能适应动态变化的与多维互联的网络环境,于是可适应网络安全理论体系逐渐形成。可适应网络安全理论(或称动态信息安全理论)的主要模型是P2DR模型。P2DR 模型给网络安全管理提供了方法。所有的安全问题都可以在统一的策略指导下,采取防护、检测、响应等不断循环的动态过程。
1.P2DR动态安全模型的概念
P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,P2DR模型是一个动态模型,其中引进了时间的概念,而且对如何实现系统的安全,如何评估安全的状态,给出了可操作性的描述。P2DR模型是对传统安全模型的重大改进。
动态安全模型最基本原理是:信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。攻击成功花费的时间就是安全体系提供的防护时间;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间-检测时间;在检测到入侵后,系统会做出相应的响应动作,这也要花费时间-响应时间。
P2DR模型要求满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
P2DR模型赋予信息安全新的内涵:即“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。同时为信息安全问题解决给出了明确的方向:提高系统的防护时间,降低检测时间和响应时间。
P2DR模型包含4个主要部分,如图所示。
●安全策略 (Policy)
●防护 (Protection)
●检测 (Detection)
●响应 (Response)
43、DNS域名劫持及重定向
域名劫持通常是指,通过采用黑客手段控制了域名管理密码和域名管理邮
箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS 服务器上添加相应域名纪录,从而使访问该域名时,进入了黑客所指向的内容。
域名重定向攻击:将域名重新定向到其他的错误的IP,攻击方式出现了
很长时间。近几年来,出现了利用此的新的攻击手段。
44、“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
45、安全是一种能够识别和消除不安全因素的能力,安全是一个持续的过程
46、网络安全是网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断
47、入侵检测的作用
?监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作
?检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞
?对用户非正常活动的统计分析,发现攻击行为的规律
?检查系统程序和数据的一致性和正确性
?能够实时地对检测到的攻击行为进行响应
48、入侵检测的意义
?单纯的防护技术容易导致系统的盲目建设,一方面是不了解安全威胁的严峻
和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致资源浪费
?防火墙策略有明显的局限性
?静态安全措施不足以保护安全对象属性。
?而入侵检测系统在动态安全模型中占有重要的地位
49、网络安全行政管理的内容
(1)鉴别管理
(2)访问控制管理
(3)密钥管理
(4)信息网络的安全管理
50、安全世界的基本世界观:三分技术七分管理
51、网络安全风险来源:
?外部的攻击
?内部的安全隐患
?动态的网络环境
?有限的防御措施
?安全策略和实际执行之间的巨大差异
52、网络攻击技术中网络探测包括:
?主机扫描
?网络结构发现
?端口和服务扫描
?操作系统识别
?资源和用户信息扫描
53、网络攻击技术中欺骗技术包括:
?欺骗技术
-IP欺骗
?假冒他人的IP地址发送信息
-邮件欺骗
?假冒他人的邮件地址发送信息
-Web欺骗
?你连到的网站是真的吗?
-其他欺骗
?DNS欺骗
?非技术性欺骗
54、会话劫持分两种:
被动劫持
?监听网络流量,发现密码或者其他敏感信息
主动劫持
?找到当前会话并接管过来,迫使一方下线,由劫持者取而代之
?攻击者接管了一个合法会话后,可以做更多危害性更大的事情
55、DDoS攻击由三部分组成:
客户端程序(黑客主机)
控制点(Master)
代理程序(Zombie),或者称为攻击点(daemon)
56、黑客和入侵者
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。黑客是那些检查(网络)系统完整性和安全性的人,他们通常非常精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。黑客通常会去寻找网络中漏洞,但是往往并不去破坏计算机系统。正是因为黑客的存在,人们才会不断了解计算机系统中存在的安全问题
入侵者(Cracker,有人翻译成“骇客”)是那些利用网络漏洞破坏系统的人,他们往往会通过计算机系统漏洞来入侵。他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。
真正的黑客应该是一个负责任的人,他们认为破坏计算机系统是不正当的。但是现在Hacker 和Cracker 已经混为一谈,人们通常将入侵计算机系统的人统称为“黑客”。
57、 网络攻击可以分为主动攻击和被动攻击两大类型
? 主动攻击包含攻击者访问他所需信息的故意行为。攻击者是在主动地做一
些不利于他人系统的事情。正因为如此,找到他们是较容易的。主动攻击包括拒绝服务攻击、信息篡改、资源使用以及欺骗等攻击方法。
? 被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一
点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。
58、 字典攻击:攻击者预先将可能性较大的密钥计算的加密值,通过与被攻击的加密值进行比较,以此来对加密消息进行解密的一种攻击。
59、 动态密码的特点:
? 密码卡每一分钟都产生一个新的密码,不可预测,并只能使用一次;
? 密钥存放在服务器和密码卡中,不在网络中传输。
? 所以,动态密码不怕被人偷看,不怕“黑客”的网络窃听,不怕“重放攻
击”,不能猜测,不易破解,具有较高的安全性和使用方便性。
60、 图片附加码方法能有效的防止“机器人暴力破解法”——攻击者使用特定的程序企图遍历所有可能的密码并模拟登录过程。因为附加图片是非标准化的,只能由人的大脑来识别,识别的过程虽然只需要几秒钟,但却有效的防止了机器人暴力破解。
61、 远程网络攻击基本步骤:一是确定目标;二是信息收集;三是确定攻击方法;四是做好善后工作。
62、 根据应用环境不同,网络安全可分为运行系统安全、网络信息安全、信息传输安全和信息内容安全。
63、 数据完整性机制有三种重要的类型:连接完整性机制、无连接完整性机制和选域完整性机制
64、 数字签名机制包括两个过程:对数据单元签名和验证签过名的数据单元
65、 网络安全的基本威胁包括:信息泄露、完整性破坏、业务拒绝和非法使用
66、 目前网络存在的安全问题主要包括计算机系统安全、数据库系统安全、计算机病毒的防治和网络站点的安全
67、 安全策略是指在某个安全区域内,用于所有与安全相关活动的一套规则
68、 制定安全策略的原则包括:适应性原则、动态性原则、简单性原则和系统性原则
69、 物理安全主要包括:环境安全、设备安全和媒体安全
70、 网络信息的安全管理包括三类活动:系统安全管理、安全服务管理和安全机制管理
71、 哈希函数(散列函数或散列算法,Hash Function )在信息安全中扮演着极其重要的角色,在保障信息的完整性(未被篡改)、数字签名、验证等有关协议中有着重要应用。
Hash 函数是一个将任意长度的比特串压缩映射到固定长度的函数,输出的结果称为Hash 值。Hash 函数的安全性质如下:
散列性:对于任意输入x ,输出的哈希值)(x h 应当和区间[0,2n ]中均匀分布的二进制串
在计算上是不可区分的。
单向性:已知一个哈希值y ,找出一个输入串x ,使得)(x h y =,在计算上是不可行的。 碰撞性:找出两个不同的输入值,即x y ≠,使得)()(y h x h =在计算上是不可行的。
72、 一个完善的公钥基础设施应该具备以下功能:证书管理、密钥历史记录的管理、密钥的自动更新、数字签名的不可否认性和交叉认证。
73、系统攻击通常分为三个阶段:寻找攻击目标、信息收集和正式攻击
74、针对网络协议的攻击通常分为两类:中间攻击和欺骗攻击
75、端口扫描防御可以分为两类:主机级防御和网络级防御
76、端口扫描技术可分为TCP链接扫描、TCP同步扫描、FIN系列扫描、UDP扫描、ACK(应答)扫描和窗口扫描
77、简述IP欺骗的步骤:
1.选择攻击目标A,发现一个信任关系和一个被信任的主机B;
2.使得被信任主机B的网络功能暂时瘫痪,并获得被攻击主机A的TCP发送序号样本;
3.将自己的主机Z伪装成为被信任的主机B,并猜测主机A的发送序号;
4.尝试侵入主机A。
78、典型的入侵监测系统IDS模型包括三个部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的分析结果产生反应的响应部件。
79、入侵监测产品通常由两部分组成:传感器和控制台。
80、简述当前入侵监测系统存在的主要问题
1.IDS产品的检测准确率比较低,漏报和误报比较多;
2.对分布式攻击和拒绝服务攻击的监测和防御能力较弱
3.尚不能和其他安全部件很好的互动;
4.缺乏国际、国内标准
5.对IDS产品的测试评估缺乏统一的标准和平台
81、根据系统所采用的检测模型,IDS可分为三类:异常检测;滥用检测和混合检测。
82、入侵监测系统根据其数据来源可分为三类:基于主机的入侵监测系统、基于网络的入侵监测系统和分布式入侵监测系统
83、简述防火墙的基本功能
1.对出入网络的访问行为进行管理和控制;
2.过滤出入网络的数据,强化安全策略;
3.对网络存取和访问进行监控审计
4.对不安全的服务进行限制或者阻拦,防止内部信息的泄露。
84、简述虚拟专用网的优点:
降低成本;易于扩展;保证安全;建网迅速
85、恶意代码,又称网页病毒,特指夹带在网页中,当用户访问页面时,由WEB 服务器下载到客户端环境中执行,并对客户端造成不同程度危害的代码。
86、根据恶意代码的生存环境及其攻击关键点,恶意代码可分为HTML解释器漏洞恶意代码;脚本解释器漏洞恶意代码;应用程序漏洞恶意代码和恶意控件
87、计算机病毒主要由潜伏机制、传染机制和表现机制构成。
88、制定信息安全管理策略的原则
1.适用性原则;
2.可行性原则
3.动态性原则
4.简单性原则
5.系统性原则
89、美国国家计算机安全中心(NCSC)将计算机系统的可信程度划分为四类七个安
全级别。
90、简述我国计算机信息系统安全保护等级如何划分
第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级
91、防火墙性能方面的发展趋势是:高速度、多功能化、高稳定可靠性、智能化和
高适应性。
92、拒绝服务攻击
拒绝服务攻击的概念:
广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。
93、简述交叉认证过程
首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
94、简述SSL安全协议的概念及功能
SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
95、简述好的防火墙具有的5个特性。
(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
96、简述消息认证和身份认证的概念及两者的差别。
消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程。
身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。
身份认证与消息认证的差别:
(1)身份认证一般都是实时的,消息认证一般不提供实时性。(2)身份认证只证实
实体的身份,消息认证要证实消息的合法性和完整性。(3)数字签名是实现身份认证的有效途径。
97、Ipsec
IPsec(Internet Protocol Security),是通过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec由两大部分组成:(1)建立安全分组流的密钥交换协议;(2)保护分组流的协议。前者为互联网密钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。
98、简述病毒的定义及其破坏性的主要表现。
病毒的定义:
病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。
病毒的破坏性的主要表现:直接破坏计算机上的重要信息;抢占系统资源,降低系统性能;窃取主机上的重要信息;破坏计算机硬件;导致网络阻塞,甚至瘫痪;使邮件服务器、Web服务器不能提供正常服务。
99、技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因
素的管理
100、可靠性是指网络信息系统能够在规定条件下和规定时间内完成规定功能的特性
101、可靠性测度方法主要有三种:抗毁性、生存性和有效性
102、完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。
103、不同威胁的存在及其重要性是随着环境的变化而变化的,一般分为基本威胁、可实现的威胁和潜在威胁
104、网络安全所面临的问题比较多,主要包括:(1)非法访问和破坏不断加剧(2)网络管理存在诸多漏洞(3)网络设计有一定缺陷(4)软件系统存在着安全漏洞或后门(5)病毒危害程度不断加大(6)网络内部的滥用现象严重
105、网络存在的安全问题主要包括计算机系统安全、数据库系统安全、计算机病毒的防治和网络站点的安全
106、制定安全策略时应遵循一些基本原则:适应性原则、动态性原则、简单性原则、系统性原则
107、研究密码体制设计的技术和学科叫做密码编码学,研究在未知密钥的情况下,从密文推出明文或密钥的技术和学科称为密码分析学
108、一个好的密钥管理系统应该做到:密钥难以被窃取
109、端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等
110、电子邮件的传输代理主要是基于简单邮件传输协议(SMTP)协议,接收代理主要是基于POP3协议
111、典型的入侵检测系统(Intrusion Detection System,简称IDS)模型包括三个功能部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的分析结果产生反应的响应部件
112、一个入侵检测产品通常由两部分组成:传感器与控制台。
113、入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,它所基于的重要前提是:非法行为和合法行为是可区分的
114、从系统构成来看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分。
115、系统所采用的检测模型,将IDS分为三类:异常检测、滥用检测、混合检测
116、入侵检测系统按照其数据来源来看,可以分为三类:基于主机的入侵检测系统、基于网络的入侵检测系统、分布式的入侵检测系统
117、入侵检测系统的检测分析技术主要分为两大类:异常检测和误用检测。
118、防火墙主要包括五部分:安全操作系统;过滤器;网关;域名服务;E-mail 处理。
119、虚拟专用网应该提供以下功能:(1)数据的封装和加密。(2)支持数据分组的透明传输。(3)隧道机制。(4)安全功能。(5)提供访问控制。(6)服务质量。(7)不可否认性。
120、实现虚拟专用网的关键技术是隧道技术、加解密技术、密钥管理技术和身份认证技术。
121、恶意代码,又称网页病毒,特指夹带在网页中,当用户访问页面时,由Web服务器下载到客户端环境中执行,并对客户端造成不同程度危害的代码。
122、计算机安全包括硬件安全、软件安全、数据安全和运行安全等
123、计算机病毒的结构主要由潜伏机制、传染机制和表现机制构成。
124、从种类上来讲,网络备份包括全盘备份、增量备份、差别备份、按需备份和排除。
125、备份恢复操作通常可以分成三类:全盘恢复、个别文件恢复和重定向恢复。
126、国际标准化组织ISO把网络管理划分为五个领域,包括故障、性能、配置、记帐和安全管理
127、网络安全管理面临的主要风险表现在以下几个方面:(1)安全的模糊性。(2)网络的开放性。(3)产品的垄断性。(4)技术的公开性。(5)网络的安全威胁。
128、安全管理的目标主要包括:(1)对网络和系统的安全性进行评估。(2)确保访问控制政策的实施。(3)有效监控。(4)网络和系统的可用性。
129、网络安全是指网络系统的硬件、软件及其系统中的数据得到有效的保护,不会由于偶然的或者恶意的原因而遭到破坏、更改和泄露,系统能够连续可靠正常地运行,且能保证网络服务不中断。
130、数据加密机制就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还是许多安全机制的基础。加密机制能够提供,或有助于提供保护以防止:
消息流的观察和篡改;通信业务流分析;抵赖;伪造;非授权连接;篡改消息。
131、网络安全威胁一般分为基本威胁、可实现的威胁和潜在威胁。
132、基本威胁主要包括信息泄露、完整性破坏、业务拒绝和非法使用四个方面
133、
134、
135、
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.wendangku.net/doc/5a9400441.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.wendangku.net/doc/5a9400441.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.wendangku.net/doc/5a9400441.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.wendangku.net/doc/5a9400441.html,
5
计算机网络管理员考试试题库和答案
计算机网络管理员考试试题和答案 一、单项选择题(每题1分,共40分) 1系统以( )为单位给磁盘文件分配磁盘空间。 ( D ) A.二进制位 B.字节 C.扇区 D.簇2.用 98系统安装光盘引导系统后,假设光盘盘符为E,光盘E的当前目录为E:\98,并且在当前目录下含有外部命令,下列命令行( )可以完成C盘格式化并且生成根目录。 ( D ) :> :>\ :\ C:\ C: 3.能直接执行的文件,扩展名必须是( )。 ( B ) 、、、、 、、、、 4.电子计算机可直接执行的指令,一般包含( )两个部分。 ( B ) A.数字和文字 B.操作码和地址码 C.数字和运算符号 D.源操作数和目的操作数 5.分页显示当前文件目录的命令是( )。 ( A ) C: 6.操作系统中,文件系统的主要目标是( )。 ( B ) A.实现虚拟存储 B.实现对文件的按名存取 C.实现对文件的内容存取 D.实现对文件的高速输入和输出 7.国际标准化协会()的网络参考模型有( )层协议。 ( C ) A.5 B.6 C.7 D.8 8.能将高级语言源程序转换成目标程序的是: ( C ) A.调试程序 B.解释程序 C.编译程序 D.编辑程序 9. 计算机病毒传染的可能途径是: ( A ) A.使用外来软盘 B.磁盘驱动器故障 C.使用表面被污染的盘面 D.键入了错误命令 10. 在内存中,每个基本单位都被赋予一个唯一的序号,这个序号称为: ( D ) A.字节 B.编号 C.容量 D.地址11.下列诸因素中,对微型计算机工作影响最小的是: ( B ) A.尘土 B.噪声 C.温度 D.湿度 12.下列存储设备中断电后信息完全丢失的是: ( C ) A.光盘 B.硬盘 13.在地理上分散布置的多台独立计算机通过通信线路互联构成的系统称为( ),它使信息传输与处理功能相结合,使多个用户能共享软、硬件资源,提高信息处理的能力。 ( C ) A.数据库 B.电话网 C.计算机网络 D.智能计算机 14.下列四项内容中,不属于(因特网)基本功能是: ( D )
计算机网络攻击常见手法及防范措施
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
中小企业网络安全解决方案
中小企业网络安全解决 方案 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
瑞华中小企业网络安全解决方案 2009-10-26
网络现状分析 伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet 所具有的开放 性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络 系统不受病毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事情之一。尤 其是证券行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏 感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对用户机构信息 安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护设计。 网络的发展加剧了病毒的快速传播 企业网络分析 企业网络面临的安全 问题 系统漏洞、安全隐患多 可利用资源丰富 病毒扩散速度快 企业用户对网络依赖性强 网络使用人员安全意识薄弱
网络管理漏洞较多 内部网络无法管控 信息保密性难以保证 基础网络应用成为黑客和病毒制造者的攻击目标 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网可能带来的损失 网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失 网络安全/病毒事故导致内部网络瘫痪,无法正常工作 网络带宽的不断加大,员工的行为无法约束,使工作效率大大下降。 系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网络堵塞,业务无法正常运行。 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与 境外服务器连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。 网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的状态。 瑞华中小网络安全解决方案 面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全防护体系, 对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部 业务的正常运行。对所有通过的数据进行检测,包括HTTP、FTP、SMTP、POP3 等协议传输的 数据,内部网络的规范应用进行管控,而且还提供了对外服务器的保护、防止黑客对这些网 络的攻击等等。下面是部署典型中小网络结构拓扑图:
网管员考试试题(有答案)
笔试: 一、单选题 基于计算机的信息系统主要包括计算机硬件系统、计算机软件系统、数据及其存储介质、通信系统、信息采集设备、(1)和工作人员等七大部分。 (1)A.信息处理系统B.信息管理者C.安全系统D.规章制度 试题解析: 有道是:三分管理,七分技术。 答案:D 某IP网络连接如下图所示,在这种配置下IP全局广播分组不能够通过的路径是(12)。 计算机R计算机T (2)A.计算机P和计算机Q之间的路径 B.计算机P和计算机S之间的路径 C.计算机Q和计算机R之间的路径 D.计算机S和计算机T之间的路径 试题解析: 路由器可以隔绝IP全局广播包。 答案:B 在Windows操作系统中可以通过安装(3)组件创建Web站点。 (3)A.IIS B.IE C.WWW D.DNS 试题解析: 常识。 答案:A 我国自行研制的移动通信3G标准是(4)。 (4)A.TD-SCDMA B.WCDMA C.CDMA2000 D.GPRS 试题解析:
记住TD-SCDMA吧,这是IT领域内中国难得的荣耀。 答案:A “
网络管理试题及答案
网络管理试卷及答案 一、单选题(本大题共小题,每小题分,共分) 1.对一个网络管理员来说,网络管理的目标不是()B A.提高设备的利用率 B.为用户提供更丰富的服务 C.降低整个网络的运行费用 D.提高安全性 2.网络管理中的安全管理是指保护管理站和代理之间下列哪项的安全?( )A A.信息交换 B.信息存储 C.信息索引 D.完整信息 3.下述各功能中,属于性能管理范畴的功能是()B A.网络规划和资源管理功能 B.工作负载监视功能 C.运行日志控制功能 D.测试管理功能 4.下述各功能中,属于配置管理的范畴的功能是()D A.测试管理功能 B.数据收集功能 C.工作负载监视功能 D.定义和修改网络元素间的互联关系 5.不属于网络故障管理功能的是()C A.判断故障原因 B.检测和报警 C.设置对象参数 D.诊断功能 6.信息资源在计算机网络中只能由被授予权限的用户修改,这种安全需求称为 ()B A.保密性 B.数据完整性 C.可用性 D.一致性 7.篡改是破坏了数据的()A A.完整性 B.一致性 C.保密性 D.可利用性 8.防止数据源被假冒,最有效的加密机制是()C A.消息认证 B.消息摘要 C.数字签名 D.替换加密 9.在OSI管理的面向对象模型中,把一个子类有多个超类的特性称为()B A.继承性 B.多继承性 C.多态性 D.同质异晶性 10.在OSI管理的面向对象模型中,把可以导致同一超类下的不同子类对所继承 的同一操作做出不同的响应的特性称为()C A.继承性 B.多继承性 C.多态性 D.同质异晶性 11.在OSI管理的面向对象模型中,把一个对象可以是多个对象类的实例的特性 称为()D A.继承性 B.多继承性 C.多态性 D.同质异晶性 12.互联网中的所有端系统和路由器都必须实现的协议是()A A.IP协议 B.ICMP协议 C.UDP协议 D.TCP协议 13.在TCP/IP协议簇中,保证端系统之间可靠地发送和接收数据,并给应用进 程提供访问端口的协议是()B A.IP协议 B.TCP协议 C.UDP协议 D.ICMP协议 14.在TCP/IP协议簇中用于在主机、路由器之间传递控制消息的协议是()D A.IP协议 B.TCP协议 C.UDP协议 D.ICMP协议 15.在Internet网络管理的体系结构中,SNMP协议定义在()D A.网络访问层 B.网际层巳传输层D.应用层
大型企事业单位网络安全防护解决方案
大型企事业单位网络安全防护解决方案计算机病毒通过POP 3、SMTP和HTTP等各类协议穿过防火墙进入企业内部进行传播l 内部网络易被外部黑客攻击l 对外的服务器(如:www、ftp、邮件服务器等)无安全防护,易被黑客攻击l 内部某些重要的服务器或网络被非法访问,造成信息泄密l 内部网络用户上网行为无有效的监控管理,影响日常工作效率,同时易形成内部网络的安全隐患l 分支机构也同样存在以上网络安全问题l 大量的垃圾邮件不断吞噬着网络和系统资源,同时垃圾邮件中又大都携带有网络病毒和不良Web 内容,不但浪费公司资源,影响工作效率,还会增加更多的不安全因素。l 分支机构网络和总部网络的连接安全问题,相互之间数据交换的安全问题l 远程、移动用户对公司内部网络的安全访问面对以上种种网络安全威胁,传统的单一功能的网络安全产品诸如防火墙等已经不能再满足企业的安全需求,因为普通防火墙只能在网络层上保护内网的计算机、服务器等不受外网的恶意攻击与非法访问,并不能阻断病毒、垃圾邮件等非安全因素进入到内网。因此,有必要在公司的网络与Internet边界建立全面的防护机制,在公司的网络边界处将网络安全威胁拒之门外,防止其通过网络连接传播到内网的服务器或计算机上。卓尔InfoGate UTM整体解决方案招商卓尔在深刻理解大型企事业单位网络结构及业务应用的前提下,结合多年网络安全领域所积累的经验,为大型企事业单位量身定制了一款高效可信赖的网络安全整体解决方案――卓尔InfoGate UTM安全网关。卓尔InfoGate UTM安全网关集防病毒、反垃圾邮件、Web内容过滤、泄密防范、VPN、防火墙等功能于一体,可在Internet入口及关键节点处全面阻止网络安全威胁进入到企事业单位内部,监控所有进出内部网络的HTTP、FTP和EMAIL 等数据流,并对上述数据进行过滤,同时通过VPN功能,为分支机构、远程、移动用户提供一个安全的远程连接功能,形成对公司内部网络强有力、全方位的安全防护。相关案例卓尔InfoGate坚强作后盾中国20万用户股海自在弄潮机构:股海观潮传媒集团用户评论:“经过公司总部半年左右的实际运行,从技术与实用的角度,卓尔InfoGate完全满足了安全防范与管理的系统要求,……为我总部业务的高效运行提供了可靠保障。”股海观潮总经理王先生安全的成功――广东省邮政与深圳市邮政的共同认可机构:广东省邮政、深圳市邮政用户评论:“在
网络管理员试题及答案
网络管理员试题 1.请写出568A与568B的线序 在水晶头朝上、金属接触点朝向人时,从左到右: A类为: 1白绿、2绿,3白橙、4兰、5白兰、6橙、7白棕、8棕。 B类为: 1白橙、2橙,3白绿、4兰、5白兰、6绿,7白棕、8棕。 2.按照数据访问速度排序:硬盘、CPU、光驱、内存 CPU 内存硬盘光驱 3.请写出下列服务使用的默认端口POP3、SMTP、FTP、telnet、DHCP、DNS、HTTP ftp:21 telnet:23 DHCP:67,68 SMTP:25 110 143 pop3:110 109 smtp:25 DNS:53 http:80 4.网卡MAC是由6组什么组成的 由16进制数据组成,前三组表示厂商,有IEEE来分配,并可以在细分,后三组表示该制造商所制造的某个网络产品(如网卡)的系列号。 5.ISO/OSI 7层模型是什么 OSI网络分层参考模型 第一层:物理层第二层:数据链路层第三层:网络层第四层:传输层第五层:会话层第六层:表示层第七层:应用层 6.C/S、B/S结构的全称是什么? C/S结构,即Client/Server(客户机/服务器)结构 B/S结构,即Browser/Server(浏览器/服务器)结构 7.综合布线包括什么 综合布线包括六大子系统: 建筑群连接子系统 设备连接子系统 干线(垂直)子系统 管理子系统 水平子系统 工作区子系统 含网络布线系统,监控系统,闭路电视系统 8.路由器和交换机属于几层设备 路由器属于三层设备,交换机(通常所指的)属于二层设备
9.计算机中的端口共有多少个 TCP:0-65535,UDP:0-65535也就是共有65536*2=131072个端口 10. 什么是MBR ? 如何恢复MBR? MBR为硬盘引导扇区,可以98启动盘启动计算机并输入sfdisk /mbr可恢复 11. 你在局域网内想获得IP 192.168.1.2 的MAC,在XP系统的命令提示符中如何操作? 方法是先ping 192.168.1.2 在用ARP -a命令查看arp列表即可获得 12. 查看编辑本地策略,可以在开始/运行中输入什么 gpedit.ms 13. 将FAT32转换为NTFS分区的命令是什么 convert x: /fs:ntfs x:表示要转换的分区 14. 手动更新DHCP分配的IP地址是什么 ipconfig /renew 15. XP每个分区下都有个System Volume Information名的隐藏目录是做什么的?还有pagefile.sys文件? System Volume Information中文名称可以翻译为“系统卷标信息”,它存储着系统还原的备份信息。关闭系统还原功能就可以让该文件夹容量变小,并不会增长。如果非要删除需使用Administrator账户登录,然后再进行删除。这是WinXP自动生成的文件夹,您的计算机的每个分区上都有一个 System Volume Information 文件夹。 pagefile.sys是Windows下的一个虚拟内存,它的作用与物理内存基本相似,但它是作为物理内存的“后备力量”而存在的. 16. 默认时XP的文件共享是没办法设置用户权限的,只有一个是否允许网络用户更改我的文件选项,但要需要对此共享文件夹设置不同的用户权限,该怎么做? 打开资源管理器---工具---文件夹选项---查看---使用简单文件共享(推荐)把前面的勾勾去掉,或者打开组策略编辑器---计算机配置----windows设置---本地策略---安全选项---网络访问:本地帐户的共享安全模式,把该属性修改为“经典”模式也可以。 17. 刚刚装好的XP系统C盘下只显示哪几个文件夹? 只有 windows,program files ,documents and settings,System Volume Information(有隐藏属性),RECYCLER(有隐藏属性)。 18. Windows XP系统盘C 盘根目录下都有哪几个重要的文件(隐藏文件) ntldr ,https://www.wendangku.net/doc/5a9400441.html,,boot.ini 19. 简述计算机从加电到启动系统时主板的工作流程,按照屏幕显示顺序描述 电--[自检]---BIOS信息---显卡的参数--CPU的参数--内存的参数--硬盘的参数---光驱的参数---显示PCI等主板的其他的I/O等参数----(如果有RAID卡这步应该会显示)----BIOS将更新ESCD最后给出(Verifying DMI Poll DATA...........Update Success)字样---读取MBR记录-----调用NTLDR做一系列操作(这时的控制权从BIOS移交到硬盘/OS)---读取boot.ini文件(显示操作系统选择菜单)进入给定的操作---等等一系列操作都属于操作系统的部分了,不在这个问题的范围---最终看到桌面
计算机软考网络管理员试题及答案汇总
计算机软考网络管理员试题及答案汇总
计算机软考网络管理员试题及答案1 1.IP地址中,B类地址的范围(C) A.63到127 B. 64到128 C. 128到191 D. 127到192 2.ATM(异步传输模式)的参考模型包含三个平面,它们是(A) A.用户平面控制平面管理平面 B.用户平面操作平面控制平面 C.操作平面控制平面管理平面 D.用户平面操作平面管理平面 3.决定网络使用性能的关键因素是(C) A.网络拓扑结构 B.网络传输介质 C.网络操作系统
D.网络软件 4.授予专利权的创造和实用新弄应当具备条件是(C) A.新颖性 B.实用性 C.其它三项都应具备 D.具有创造性 5.PCI总路线可用于32位或64位系统,采用总线时钟能够是33MHz和66MHz,当采用66MHz总线时钟工作于64位系统时,其数据传输速率为(A)Mb/s. A.528 B.264 C.1056 D.132 6.一条SCSI总线最多能够连接(A)台设备 A.8
B.4 C.2 D.1 7.采用时分多路复用技术时,输入到多路复用器的信号一般是(D) A.数字模拟混合信号 B.数字信号或模拟信号 C.模拟信号 D.数字信号 8.局域网中两种主要的介质访问方式是(B) A.直接方式和间接方式 B.竞争方式和C令牌方式 C.数据报和虚电路 D.数据报和包方式 9.下列IP中,(C)不是InterNIC保留的PrivateIP A.172.16.0.0
B.10.0.0.0 C.202.102.128.68 D.192.168.0.0 10.一般IP地址10.0.0.0对应的子网掩码为(D) A.126.19.0.12 B.255.255.0.0 C.255.240.0.0 D.255.0.0.0 11.IP地址为131.107.16.200的主机处于 (A)类网络中 A.B类 B.C类 C.A类 D.D类
网站安全防护解决方案
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.wendangku.net/doc/5a9400441.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
招聘网络管理员的测试题
招聘网络管理员的测试题 一、选择题 1、数据库管理技术是在的基础上发展起来的。 A.文件系统B.编译系统C.应用程序系统D.数据库管理系统 2、数据模型的三要素是数据结构、数据操作和。 A.数据安全B.数据兼容C.数据约束条件D.数据维护 3、建立数据库系统的主要目标是减少数据的冗余,提高数据的独立性,并集中检查。A.数据操作性B.数据兼容性C.数据完整性D.数据可维护性 4、CPU执行程序时,为了从内存中读取指令,需要先将的内容输送到数据总线。 A.指令寄存器B.程序计数器(PC) C.标志寄存器 D.变址寄存器 5、不能减少用户计算机被攻击的可能性。 A 选用比较长和复杂的用户登录口令 B 使用防病毒软件 C 尽量避免开放过多的网络服务 D 定期扫描系统硬盘碎片 6、TCP/IP协议分为四层,分别为应用层、传输层、网际层和网络接口层。不属于应用层协议的是。 A.SNMP B.UDP C.TELNET D.FFP 7、通过局域网连接到Internet时,计算机上必须有。 A.MODEM B.网络适配器C.电话D.USB接口 8、若Web站点的Intemet域名是www.1wh.com,IP为192.168.1.21,现将TCP 端口改为8080,则用户在浏览器的地址栏中输入后就可访问该网站。 A http://192.168.1.21 B http://www.1wh.com C http://192.168.1.21:8080 D http://www.1wh.com/8080 9、每个Web站点必须有一个主目录来发布信息,lis默认的主目录为,除了主目录以外还可以采用虚拟目录作为发布目录。 A.\Website B.\Inetpub\wwwroot
计算机网络管理员中级考试题及答案
计算机网络管理员中级考试模拟题 一、单项选择 1. 职业道德通过(A),起着增强企业凝聚力的作用。 A、协调员工之间的关系 B、增加职工福利 C、为员工创造发展空间 D、调节企业与社会的关系 2. 对供电质量要求(B)的负载中使用的UPS是后备式。 A、较高 B、较低 C、不 高 D、最高 3. 计算机机房的构造、装修必须严格遵守有关消防规定,如建筑耐火等级不应低于(D )。 A、三级和四级 B、四级和五级 C、五级和六级 D、一级和二级 4. 计算机机房应配备最实用的灭火器是(B)。 A、水或泡沫灭火器 B、干粉或二氧化碳灭火器 C、清水或二氧化碳灭火器 D、二氧化碳或泡沫灭火器 5. 对于异步传输,下列说法正确的是(A)。 A、又称起止式传输 B、需要合作 C、有时需要合作,有时不需要 D、只有接收都同意才能发送 6. CSMA/CD是(C)访问方式之一。 A、广域网 B、城域网 C、局域 网 D、以太网 7. Token Ring网络中采用的是(D)。 A、竞争方式 B、SMA/CA或者令牌方式 C、CSMA/CE D、令牌方式 8. 非屏蔽双绞线的英文缩写是(A)。 A、UTP B、STP C、 VTP D、RTP 9. 在一个庞大和复杂的网络系统中,网络管理服务可以集中管理网络,并简化复杂的管理任务,下列(D)不是网络管理服务可以提供的服务。 A、流量监测的控制 B、负载平衡 C、硬件诊断和失效报警 D、漏洞扫描和检测 10. 英文缩写ATM的意思是(B)。 A、通用异步接收/发送装置 B、异步传输模式 C、专用异步接收/发送装置 D、同步传输模式 11. 英文缩写DNS的意思是(A)。 A、域名系统 B、Novell目录服务 C、数据通信设备 D、不连续多基频模式 12. 下列选项的(A)专利权期限为二十年。 A、著作权中的署名权 B、发明专利权 C、实用新型专利权 D、外观设计专利权 13. 配电柜内设有(B)各一根。 A、地线和电源线 B、地线和中性线 C、电源线和中性线 D、火线和零线
网络攻击与防御实验报告全解
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
网络安全解决方案概述
网络安全解决方案概述 一、网络信息安全系统设计原则目前,对于新建网络或者已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 依照上述思想,网络信息安全系统应遵循如下设计原则 1、满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 2、需求、风险、代价平衡的原则对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 3、综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当
2005网络管理员上午试题及答案分析
全国计算机技术与软件专业技术资格(水平)考试 2005年上半年网络管理员上午试卷 (考试时间9:00~11:30 共150分钟) 1 下填涂准考证号。 2.本试卷的试题中共有75个空格,需要全部解答,每个空格1分,满分75分。 3.每个空格对应一个序号,有A、B、C、D四个选项,请选择一个最恰当的选项作为解答,在答题卡相应序号下填涂该选项。 4.解答前务必阅读例题和答题卡上的例题填涂样式及填涂注意事项。解答时用正规2B铅笔正确填涂选项,如需修改,请用橡皮擦干净,否则会导致不能正确评分。 【例题】 ●2005年下半年全国计算机技术与软件专业技术资格(水平)考试日期(88)月(89)日。 (88)A.4 B.5 C.6 D.7 (89)A.27 B.28 C.29 D.30 因为考试日期是“5月29日”,故(88)选B,(89)选C,应在答题卡序号88下对B填涂,在序号89下对C填涂(参看答题卡)。 计算机网络概述 ●(29)不是通信协议的基本元素。 (29)A.格式B.语法C.传输介质D.计时 解析:协议由语法、语义和定时三个基本元素组成。 ●若用8位机器码表示十进制数-101,则原码表示的形式为(8);补码表示的形式为(9)。 (8)A.11100101B.10011011 C.11010101 D.11100111 (9)A.11100101 B,1001101l C.11010101 D.11100111 解析:原码用第1位作符号位,符号位为1表示负数,符号位为0表示正数。补码为原码的反码加1。 ●某计算机内存按字节编址,内存地址区域从44000H到6BFFFH,共有(11)K字节。若采用16Kx4bit 的SRAM芯片,构成该内存区域共需(12)片。 (11)A.128 B.160C.180 D.220 (12)A.5 B.10 C.20 D.32 解析:1K等于1024位,(6BFFFH-44000H)/1024=160,8bit为1位。 ●CPU执行程序时,为了从内存中读取指令,需要先将(13)的内容输送到(14)上。 (13)A.指令寄存器B.程序计数器(PC)C.标志寄存器 D.变址寄存器 (14)A.数据总线B.地址总线C.控制总线 D.通信总线 解析:数据存储在变址寄存器中,指令存储在指令存储器中。 ●(15)技术是在主存中同时存放若干个程序,并使这些程序交替执行,以提高系统资源的利用率。 (15)A.多道程序设计B.Spooling C.缓冲 D.虚拟设备 解析:多处理可将多个程序同时存放在内存中,使程序并发执行。
云安全等保防护解决方案
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其 是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主
要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。 1.1等级保护挑战 传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而,对于云计算而言,保护对象和保护区域边界都具有动态性。因此,云计算环境下的等级保护面临新的挑战: ·业务可控性 云计算环境下,数据可能会在数据中心和物理主机之间移动,导致用户无法知道数据真实存储位置。另外,云平台引入了虚拟抽象层,其覆盖范围可以涵盖不同区域的物理设施,传统的等级保护并没有考虑这种情况。 ·核心技术的自主可控 由于云计算中许多核心技术仍然控制在国外企业手中,许多所谓的自主产品也可能是对国外购买的商业产品的改良,本质就是买下了推广他人产品的权利,随着国内云市场的不断发展,对云环境的自主可控性带来很大的挑战。 ·虚拟化安全 在云计算安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,对云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。
网络管理员理论试题
计算机网络管理员预赛试题 一、单选题(每小题1分,共35分) 1.判断下列地址属于C类地址的是()。 A、100.2.3.4 B、192.10.20.30 C、138.6.7.8 D、10.100.21.61 2.因特网域名的总长度不得超过()个字符。 A、55 B、155 C、255 D、355 3.私有网络地址是指内部网络的主机地址,而公有网络地址是指在()上的全球唯一 的IP地址。 A、因特网 B、城域网 C、局域网 D、虚拟网 4.在计算机上实现的数据加密,其加密或解密变换是由()控制实现的。 A、密钥 B、程序 C、电路 D、人工 5.网关使应用不同协议的网络可以通过网关相连,网关使用了OSI协议的全部()。 A.四层 B.五层 C.六层 D.七层 6.因特网中的文件传送服务客户在和服务器建立连接前就要经过一个被广为熟知的() 的过程。 A.连接 B.面向连接 C.两次握手 D.三次握手 7.因特网中的文件传送服务需要2个端口,其中()端口是作为控制连接端口,用于 发送指令给服务器以及等待服务器响应。 A.20 B.21 C.22 D.23 8.网络安全中的访问控制规则是处理主体对客体访问的()的合法性问题,一个主体 只能访问经过授权使用的给定客体。 A.权限设置 B.机制 C.方法 D.对象
9.OSI模型的哪一层最恰当地描述了100BASET标准? ( ) A. 数据链路层 B.网络层 C.物理层 D.传输层 10.下列哪一项恰当地描述了OSI模型中传输层的功能? ( ) A. 它通过流量控制来发送数据 B.它提供传输的最佳路径 C. 它决定网络寻址 D.它允许网络分段 11.下列哪一个功能是路由器用来在网络中转发数据分组的?( ) A.应用程序和介质 B.路径选择和交换 c.广播和冲突检测 D.上述答案都不对 12.下列哪两项是动态路由选择的基本类型?( ) A.静态及缺省 D.TCP和UDP交换 c.距离矢量和链路状态 D.上述答案都不对 13.哪一项技术使用了窗口操作来保证一台电脑发送的数据流通过数据链路发送到另外一 台电脑时不出现数据重复和丢失?( ) A.确认和重传 B.封装和广播 C.校验和流控 D.同步和确认 14.动态路由选择的一个优点是什么?( ) A.网络开销小,可以减少网络流量