计算机网络安全基础(第5版)习题参考答案.doc

('计算机网络安全基础（第5版）习题参考答案第1章习题：1．举出使用分层协议的两条理由？1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信；2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层；3.通过网络组件的标准化，允许多个提供商进行开发。2．有两个网络，它们都提供可靠的面向连接的服务。一个提供可靠的字节流，另一个提供可靠的比特流。请问二者是否相同？为什么？不相同。在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。那么接收方共读了2048字节。对于报文流，接收方将得到两个报文，、每个报文1024字节。而对于字节流，报文边界不被识别。接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。两种模型的不同之处主要有：(1)TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。OSI参考模型在各层次的实现上有所重复。(2)TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。4．TCP和UDP之间的主要区别是什么？TCP，传输控制协议，提供的是面向连接的、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。UDP，用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。15．网桥、路由器、网关的主要区别是什么？网桥运行在数据链路层，采用介质访问控制（MAC）地址数据的中继功能，从而完成一个局域网到另一个局域网的数据包转发。网桥主要用于连接两个寻址方案兼容的局域网，即同一种类型的局域网。用网桥连接起来的局域网不受MAC定时特性的限制，理论上可达全球范围。路由器运行在网络层（分层模型的第三层），它的网间数据包中继采用的是网络层地址（如IP地址）。路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如帧中继的网络接口。用路由器连接起来的多个网络，它们仍保持各自的实体地位不变即它们各自都有自己独立的网络地址。网关用于实现不同体系结构网络之间的互联，它可以支持不同协议之间的转换，实现不同协议网络之间的通信和信息共享。6．分析路由器的作用及适用场合？路由器是局域网和广域网之间进行互联的关键设备，用于连接多个逻辑上分开的网络。通常的路由器都具有负载平衡、组织广播风暴、控制网络流量以及提高系统容错能力等功能。一般来说，路由器多数都可以支持多种协议，提供多种不同的物理接口。路由器的适用场合包括局域网和广域网等多种类型网络之间的连接。在主干网上，路由器的主要作用是路由选择，在地区网中，路由器的主要作用是网络连接和路由选择，在园区网内，路由器的作用是分割子网。7．因特网提供的主要服务有哪些？远程登录服务(Telnet)、文件传输服务(FTP)、电子邮件服务(E-Mail)、网络新闻服务(Usenet)、信息浏览服务(Gopher、WWW)、网络用户信息查询服务、实时会议服务、DNS服务、网络管理服务、NFS文件系统下的服务、X-Windows服务和网络打印服务。8．电子邮件的头部主要包括哪几部分？（写出最重要的3个）电子邮件分成两部分，头部和主体。头部包含有关接收方、发送方、信息内容等方面的信息。头部由若干行组成，每一行首先是一个关键字，一个冒号，然后是附加的信息。关键字有：From,To,Cc,Bcc,Date,Subject,Reply-To,X-Charset,X-Mailer等。9．接入因特网需要哪些设备和条件？1.计算机2.网卡，或Modem或ISDN卡3.电话线10．用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么？路由器可以连接不同的网络，是第三层的设备；网桥只能连接两个相同的网络，是第二层设备。另外，路由器可以隔离广播而网桥不隔离。11．将一个C类网络分成8个子网，若我们用的网络号为202.204.125。试写出网络划分的方法和子网掩码。将一个C类网络划分成8个子网，掩码应占3位111，这样子网掩码是：255.255.255.224，8个子网主机号的范围是：00000001~00011110，00100001~00111110，01000001~01011110，01100001~01111110，10000001~10011110，10100001~10111110，11000001~11011110，11100001~11111110。写成点分十进制后：202.204.125.1~202.204.125.30；202.204.125.33~2202.204.125.62；202.204.125.65~202.204.125.94；202.204.125.97~202.204.125.126；202.204.125.129~202.204.125.158；202.204.125.161~202.204.125.190；202.204.124.193~202.204.125.222；202.204.125.225~202.204.125.254。第2章习题：1．网络安全的含义是什么？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改和泄漏，系统连续、可靠、正常的运行，网络服务不中断。2．网络安全有哪些特征？保密性、完整性、可用性和可控性。3．什么是网络安全的最大威胁？网络安全主要面临的安全威胁有：非授权访问、信息泄露、拒绝服务4．网络安全主要有哪些关键技术？主机安全技术；身份认证技术；访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术。5．如何实施网络安全的安全策略？实施安全策略要注意几个问题：安全局政策不要过于繁琐，不能只是一个决定或者方针；安全政策一定要真正执行；策略的实施不仅仅是管理人员的事，而且也是技术人员的事。安全策略应包括如下内容：网络用户的安全责任；系统管理员的安全责任；正确利用网络资源，规定谁可以使用网络资源；检测到安全问题时的对策。6．如何理解协议安全的脆弱性？计算机网络系统普遍使用的TCP/IP以及FTP、E-mail，NFS等都包含着许多影响网络安全的因素，存在许多漏洞。7．数据库管理系统有哪些不安全因素？主要从物理安全、网络安全、管理安全等方面进行论述。8．解释网络信息安全模型。网络信息安全模型中，政策、法律、法规是基石，它是建立安全管理的标准和方法；第二部分是增强的用户认证，主要目的是提供访问控制。用户认证的方法主要有用户持有的证件、用户知道的信息、用户特有的特征。第三部分是授权，主要是为特许用户提供合适的访问权限，并监控用户的活动，时期不越权使用。之后是加密，加密主要满足认证、一致性、隐秘性、不可抵赖的需求。模型的顶部是审计与监控，这是最后一道防线，包括数据的备份。39．对因特网进行安全管理需要哪些措施？安全管理的目的是利用各种措施来支持安全政策的实施，需从安全立法、加强管理和发展安全技术着手。10．简述信息包筛选的工作原理。略。第3章习题：1．计算机系统安全的主要目标是什么？在一定的外部环境下，保证系统资源的安全性、完整性、可靠性、保密性、有效性、合法性和服务可用性。2．简述计算机系统安全技术的主要内容（1）实体硬件安全技术：为保证计算机设备及其他设施免受危害所采取的措施，包括计算机设备、通信线路及设施等。（2）软件系统安全技术：包括口令控制、鉴别技术、软件加密、掌握高安全产品的质量标准等。（3）数据信息安全技术：包括对各种用户的身份识别技术、口令、指纹验证、存取控制技术、紧急处置和系统恢复等。（4）网络站点安全技术：包括防火墙技术、网络跟踪检测技术、路由控制隔离技术、流量控制分析技术等。（5）运行服务安全技术：包括系统的使用与维护、随机故障维护技术、软件可靠性、可维护性保证技术等。（6）病毒防治技术：包括计算机病毒检测、诊断和消除等。（7）防火墙技术：包括电子邮件和远程终端访问等。（8）计算机应用系统的安全评价：作为安全保密工作的尺度。3．计算机系统安全技术标准有哪些？D级、C1级、C2级、B1级、B2级、B3级、A级4．访问控制的含义是什么？访问控制是对进入系统的控制，作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。5．如何从Unix系统登录？申请账号，输入正确的用户账号、密码，登录6．如何从WindowsXP系统登录？Windowsxp系统的登录主要有4种方式：（1）交互式登录：通过相应的用户账号和密码在本机登录。（2）网络登录：输入的账号、密码必须是对方主机上的。4（3）服务登录：采用不同的用户账号登录，可以是域用户帐户、本地用户账户或系统帐户，不同帐户的访问、控制权限不同。（4）批处理登录：所用账号要具有批处理工作的权利。7．怎样保护系统的口令？选择安全的口令、系统使用口令的生命期控制、WindowsXP系统的口令管理8．什么是口令的生命周期？管理员可以为口令设定一个时间，当到期后，系统会强制要求用户更改系统口令。9．如何保护口令的安全？不要将口令告诉别人，不要用系统指定的口令，最好不用e-mail传送口令，帐户长期不用应暂停，限制用户的登录时间，限制用户的登录次数，记录最后登录时的情况，使用TFTP获取口令文件，定期查看日志文件，确保除root外没有其它公共账号，使用特殊用户组限制，关闭没有口令却可以运行命令的账号。10．建立口令应遵循哪些规则？选择长口令，包括英文字母和数字的组合，不要使用英语单词，不要使用相同口令访问多个系统，不要使用名字，不选择难记忆口令，使用UNIX安全程序。第4章习题：1．简述数据完整性的概念及影响数据完整性的主要因素。数据完整性泛指与损坏和丢失相对的数据的状态，它通常表明数据的可靠性与准确性是可以信赖的，同时也意味着数据有可能是无效的或不完整的。影响数据完整性的因素主要有：硬件故障、网络故障、逻辑问题、意外的灾难性事件和人为的因素。2．什么是容错与网络冗余技术，实现容错系统的主要方法有哪些？容错是指当系统出现某些指定的硬件或软件的错误时，系统仍能执行规定的一组程序。或者说程序不会因系统中的故障而中断或被修改，并且执行结果也不包含系统中故障所引起的差错。实现容错系统的主要方法有：1）空闲备件；2）负载平衡；3）镜像；4）复现；5）冗余系统配件；6）存储系统的冗余网络冗余技术是保证在网络系统中，作为传输数据介质的线路和其他的网络连接部件都必须有维持正常运行时间的备用途径。3．实现存储系统冗余的方法有哪些？1）磁盘镜像：这是最常见的，也是常用的实现存储系统容错的方法之一。磁盘镜像时两个磁盘的格式需相同。1）磁盘双联：在镜像磁盘对中增加一个I/O控制器便称为磁盘双联。2）冗余磁盘阵列：是一种能够在不经历任何故障时间的情况下更换正在出错的磁盘或5已发生故障的磁盘的存储系统，它是保证磁盘子系统非故障时间的一条途径。4．简述“镜像”的概念。镜像是物理上的镜像原理在计算机技术上的具体应用，它所指的是将数据原样从一台计算机（或服务器）上拷贝到另一台计算机（或服务器）上。5．网络系统备份的主要目的是什么？网络系统备份的主要目的是尽可能快地恢复计算机或计算机网络系统所需要的数据和系统信息。6．网络备份系统的主要部件有哪些？网络备份由如下四种基本部件组成：目标：目标是指被备份或恢复的任何系统；工具：工具是执行备份任务（如把数据从目标复制到磁带上）的系统；设备：设备通常指将数据写到可移动介质上的存储设备，一般指磁带；SCSI总线：SCSI总线是指将设备和联网计算机连接在一起的电缆和接头。7．简述磁带轮换的概念及模式。磁带轮换是指在备份过程中使用磁带的一种方法，它是根据某些预先制定的方法决定应该使用哪些磁带。1）A/B轮换，在这种方式中，把一组磁带分为A、B两组。“A”在偶数日使用，“B”在奇数日使用，或反之。这种方式不能长时间保存数据。2）每周轮换，这种方法每周换一次磁带。这种方法当数据较少时很有效。3）每日轮换，它要求每一天都得更换磁带，即需要有七个标明星期一到星期日的磁带。这种方式，在联合使用全盘备份和差别备份或增量备份时较有效。4）每月轮换，它通常的实现方法是每月的开始进行一次全盘备份，然后在该月余下的那些天里在其他的磁带上作增量备份。5）祖、父、孙轮换，它是前面所讲的每日、每周、每月轮换的组合。6）日历规则轮换方法，按照日历安排介质的轮换。7）混合轮换，按需进行备份，作为日常备份的一种补充。8）无线增量，只需做一次全盘备份。8．试分析数据库安全的重要性，说明数据库安全所面临的威胁。数据库是网络系统的核心部分，有价值的数据资源都存放其中，不允许受到恶意侵害，或未经授权的存取与修改。所面临的威胁主要有篡改、损坏和窃取。9．数据库中采用了哪些安全技术和保护措施？主要包括两个方面：支持数据库的操作系统，数据库管理系统（DBMS）。DBMS的安全使用特性的几点要求：多用户、高可靠性、频繁更新、文件大。10．数据库的安全策略有哪些？简述其要点。（1）用户标识和鉴定：通过核对用户的名字或身份决定该用户对系统的使用权。（2）存取控制：对用户权限进行合法权检查。（3）数据分级：把数据分级，对每一级数据对象赋予一定的保密级。6（4）数据加密：用密码存储口令、数据，对远程终端信息用密码传输。11．数据库管理系统的主要职能有哪些？（1）有正确的编译功能，能正确执行规定的操作；（2）能正确执行数据库命令；（3）保证数据的安全性、完整性，能抵御一定程度的物理攻击，能维护和提交数据库内容；（4）能识别用户，分配授权和进行访问控制，包括身份识别和验证；（5）顺利执行数据库访问，保证网络通信功能。12．简述常用数据库的备份方法。常用的数据库备份方法有冷备份、热备份和逻辑备份3种。冷备份需要关闭数据库系统，在没有任何用户对它进行访问的情况下备份。热备份在系统运行时进行备份，依赖于日志文件中更新或更改指令的堆叠，不是真正将数据写入数据库。逻辑备份是使用软件技术从数据库中提取数据，并将数据映像输出。13．简述易地更新恢复技术。每个关系有一个页表，页表中的每一项是一个指针，指向关系中的每一页（块）。当更新时，旧页保持不变，将新内容写入新页。在提交时，页表的指针从旧页指向新页。14．简述介质失效后，恢复的一般步骤。（1）修复系统，必要时更换磁盘；（2）如果系统崩溃，则重新启动系统；（3）加载最近的备份；（4）用运行日志中的后像重做，取最近备份以后提交的所有事务。15．什么叫“前像”，什么叫“后像”？前像是指数据库被一个事务更新时，所涉及的物理块更新后的影像，它以物理块为单位。后像是指数据库被一个事务更新时，所涉及的物理块更新前的影像，同前像一样以物理块为单位。第5章习题：1．什么是计算机病毒？计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，他能复制自身并将其插入到其他程序中以执行恶意的行动。2．计算病毒的基本特征是什么？可以编写人为破坏；自我复制；夺取系统控制权；隐蔽性；潜伏性；不可预见性。3．简述计算机病毒攻击的对象及所造成的危害。（1）攻击系统数据区：受损数据不易恢复；7（2）攻击文件：删除文件、改名、替换内容、丢失簇、对文件加密；（3）攻击内存：大量占用、改变内存总量、禁止分配、蚕食内存；（4）干扰系统运行：不执行命令、干扰内部命令的执行、虚假警报等；（5）干扰键盘、喇叭或屏幕：封锁键盘、喇叭发出响声、滚屏等；（6）攻击CMOS：对CMOS进行写入操作，破坏CMOS中的数据；（7）干扰打印机：假报警、间断性打印等；（8）破坏网络系统：非法使用网络资源，破坏电子邮件等。4．病毒按寄生方式分为哪几类？文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒、宏病毒5．计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？计算机病毒程序由引导模块、传染模块、干扰或破坏模块组成。预防：下载正规网站资源，下载后扫描；安装正版杀毒软件和防火墙；关闭危险服务、端口及共享；删除多余或停用的账户；使用移动存储设备前先扫描病毒；定期彻底全盘查毒，定期备份重要文件等。6．简述检测计算机病毒的常用方法。比较法：比较被检测对象与原始备份；扫描法：利用病毒特征代码串对被检测对象进行扫描；计算特征字的识别法：也是基于特征串扫描；分析法：利用反汇编技术。7．简述宏病毒的特征及其清除方法。宏病毒的特征：感染.doc文档及.dot模板文件；通常是Word在打开带宏病毒文档或模板时进行传染；多数宏病毒包含AutoOpen、AutoClose等自动宏；含有对文档读写操作的宏命令；在.doc文档及.dot模板中以.BFF格式存放。宏病毒的清除：使用选项“提示保存Normal模板”；不要通过Shift键来禁止运行自动宏；查看宏代码并删除；使用DisableAutoMacro宏；设置Normal.dot的只读属性；Normal.dot的密码保护。8．什么是计算机病毒免疫？通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。9．简述计算机病毒的防治措施。使用合法原版的软件，将重要的资料备份，杀毒软件，注意观察一些现象等。10．什么是网络病毒，防治网络病毒的要点是什么？计算机网络病毒是在计算机网络上传播扩散，专门攻击网络薄弱环节、破坏网络资源的计算机病毒。防治：使用防毒软件保护客户机和服务器，使用特定的优秀的防毒软件等。第6章习题：81．什么是数据加密？简述加密和解密的过程。数据机密是基本的保证通信安全的方法。数据加密的基本过程包括对称为明文的可读信息进行加处理，形成称为密文或密码的代码形式。该过程的逆过程为解密，即将该编码信息转化为其原来形成的过程。加密的过程就是通过加密算法，用密钥对明文进行信息处理的过程。加密算法通常是公开的，现在只有少数几种加密算法，如DES、RSA等。解密的过程就是加密的逆过程，通过加密算法将密文还原成明文信息。2．在凯撒密码中令密钥k=8，制造一张明文字母与密文字母对照表。ABCDEFGHIJKLMNOPQRSTUVWXYZk=8IJKLMNOPQRSTUVWXYZABCDEFGH3．用维吉尼亚法加密下段文字：COMPUTERANDPASSWORDSYSTEM，密钥为KEYWORD。可对照教材161页中的维吉尼亚表。由维吉尼亚表得密文为：MSKLIKHBELZDRVCAMNRJBCXCI。4．DES算法主要有哪几部分？DES算法采用56位的密钥，在16轮内完成对64位数据块的加密。每轮所用的子密钥由初始密钥分解而来。DES算法主要分为两部分：置换（初始置换、扩充置换及最终逆初始置换）和替代（S盒），另外还有基于密码的复杂计算。5．在DES算法中，密钥Ki的生成主要分哪几步？略。6．简述加密函数f的计算过程。DES对64位的明文进行16轮形同的运算，这些运算即为函数f，在运算过程中数据和密钥结合。在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位，并通过一个异或操作与48位密钥结合，通过8个S盒将这个48位替代成新的32位数据，再将其置换一次。7．简述DES算法中的依次迭代过程。略。8．简述DES算法和RSA算法保密的关键所在。DES算法的密钥有56位，通过16轮操作进行最终加密。DES的安全性依赖于解密速度。现在DES密钥的求解只有穷举，算法的安全性还是很可靠的。RSA算法的安全性依赖于大数分解。公钥和私钥都是两个大素数的函数，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。9．公开密钥体制的主要特点是什么？加密能力与解密能力是分开的；密钥分发简单；需要保存的密钥量大大减少，N个用户只需要N个；可满足不相识的人之间保密通信；可以实现数字签名。910．说明公开密钥体制实现数字签名的过程。数字签名时至少要将数字证书的公共部分和其他信息加在一起，才能确认信息的完整性。在信息和数字证书发送之前，要先通过散列算法生成信息摘要，用发送者的私钥对信息摘要加密，然后将这个数字签名作为附件和报文送给接收方。当接收方收到报文后，用发送方的公钥解密信息摘要进行验证，然后通过散列算法计算信息摘要比较结果，如果两个信息摘要相同，则可确认是由发送方签名的。11．RSA算法的密钥是如何选择的？给定n=pq，p和q是大素数，edmodφ(n)=1，公开密钥为(n，e)，秘密密钥为(n，d)加密：m∈[0,n-1]，gcd(m,n)=1,则c=memodn解密：m=cdmodn=(memodn)dmodn=medmodn=m签名：s=mdmodn验证：m=semodn=(mdmodn)emodn=medmodn=m12．~13.略。14．已知线性替代密码的变换函数为：f（a）=akmod26。设已知明码字母J（9）对应于密文字母P（15），即9kmod26=15，试计算密钥k以破译此密码。由题知：9kmod26=15，则k要满足的条件是：(9k-15)%26==0。计算100以内的k有：19，45，71，97。满足此条件1000以内的k有：1945719712314917520122725327930533135738340943546148751353956559161764366969572174777379982585187790392995598115．已知RSA密码体制的公开密码为n=55，e=7，试加密明文m=10，通过求解p、q和d破译这种密码体制。设截获到密码文C=35，求出它对应的明码文。（1）n=pq=55，p、q均为质数，e=7与(p-1)(q-1)是互质的，得到p=5,q=11由(de)mod(p-1)(q-1)=1，即(7d)mod40=1得d=23（2）明文X=10，由公式C=Xemodn得密码文为C=10。（3）密码文C=35，由公式X=Cdmodn得明码文为X=30。16．~17.略。第7章习题：101．IPSec能对应用层提供保护吗？IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改。IPSec工作于网络层，对终端站点间所有传输数据进行保护。它对应用层的保护是间接的，保护应用层可采用代理防火墙/保密网关技术。2．按照IPSec协议体系框架，如果需要在AH或ESP中增加新的算法，需要对协议做些什么修改工作？除修改AH和ESP外还要修改Internet密钥交换（IKE）协议。3．简述防火墙的工作原理。防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件或软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。4．防火墙的体系结构有哪些？目前防火墙的体系结构一般有三种：1)双重宿主主机体系结构2)主机过滤体系结构3)子网过滤体系结构5．在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以实现？两种，一种是使用已经由数据包过滤的服务，另一种是由堡垒主机使用代理服务。6．安装一个简单的防火墙和一个代理服务的软件。略7．简述黑客是如何攻击一个网站的。通常黑客攻击有三个阶段：1）信息收集。黑客会利用一些公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息；2）系统安全弱点的探测。黑客可能使用自编程序或者利用公开的工具，自动扫描驻留在网络上的主机，以寻求该系统的安全漏洞或安全弱点；3）网络攻击。黑客一旦获得了对攻击的目标系统的访问权后，就可能通过各种方式进行攻击，实施破坏活动。8．简述入侵检测系统的工作原理，比较基于主机和基于网络应用的入侵检测系统的优缺点。入侵检测系统（IDS）通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。优点：基于主机：有专门的检测代理，能提供更详尽的相关信息，误报率低，复杂性相对基于网络的要低；基于网络应用：不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。11缺点：基于主机：依赖于服务器固有的日志与监视能力，不能确保及时采集到审计；基于网络应用：由于要检测整个网段的流量，处理的信息量大，易遭受拒绝服务（DOS）攻击。9．构建一个VPN系统需要解决哪些关键技术？这些关键技术各起什么作用？构建一个VPN系统需要解决的关键技术分别是隧道技术、加解密技术、密钥管理技术、身份鉴别技术、访问控制技术。(1)隧道技术通过采用一种称为“隧道”的技术，建立点对点的连接，使数据包在公共网络上的专用隧道内传输。主要利用网络隧道协议来实现这种功能。(2)加解密技术。VPN可直接利用现有技术提供足够的安全保障，同时又不带来太多的系统开销。(3)密钥管理技术。密钥管理的主要任务是如何在公用数据网中安全地传递密钥，而不被窃取。(4)身份鉴别技术。在使用公共网络进行专用通信时，使用者和管理者最关心的主要问题就是通信的安全性，它不仅包括传输的保密性，而且还需要对用户进行鉴别。(2分)(5)访问控制技术：确定合法用户对特定资源的访问权限，以实现对信息资源的最大限度保护。10．用IPSec机制实现VPN时，如果企业内部网使用了私用IP地址怎么办？IPSec该采用何种模式？IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。IPSec应采用传输（transport）模式。第8章习题：1．总结因特网上不安全的因素。因特网的安全隐患有：1)电子邮件2)文件传输协议（FTP）3)远程登录4)用户新闻5)万维网（WWW）2．简述无线局域网的安全漏洞及应对措施。12无线局域网安全漏洞：（1）传输介质的脆弱性传统的有线局域网采用单一传输媒体)))铜线与无源集线器,这些集线器端口和线缆接头差不多都连接到具备一定程度物理安全性的设备中,因而攻击者很难进入这类传输介质。与此对照,无线局域网的传输媒体大气空间则脆弱得多,很多空间都在无线局域网所有者的物理控制范围之外。网络基础架构的这些差别导致无线局域网与有线局域网的安全性不在同一个级别上。（2）WEP机制所产生的无线局域网安全缺陷有线等效保密协议WEP是802.11标准中用来保护WLAN安全传输的数据链路级协议。但WEP并不能完全保证加密传输的有效性,它不具备全面的认证、访问控制和完整性校验功能。而无线局域网的安全性机制是建立在WEP基础之上的,一旦WEP遭到破坏,整个系统的安全性也就不复存在。（3）IPSec的安全脆弱性IPSec是基于IP的安全协议,是由IETFIPSec工作组制定的,其目标是通过适当的安全机制提供数据机密性、数据完整性、访问控制和身份认证等安全服务,保证了端到端IP数据传输的安全。但IPSec并不是专门为WLAN应用而设计的,因为IPSec仅仅保护的是网络层和更高层的协议,不顾及数据链路层的安全。应对措施：（1）数据加密机制数据加密机制是用来保证用户数据的机密性和完整性,防止在WLAN中传输的数据被非法窃听和篡改。常用的数据加密机制有以下8种：WEP协议、IPSec协议、802.1X、快速重置密钥、VPN虚拟专用网、SNMPv3、新一代安全标准IEEE802.11i、WAPI中国标准。（2）数据认证机制认证提供了关于用户身份的保证,它是数据保护的基础,合法身份下的数据保护才有意义。认证是最重要的安全措施,因为在某种程度上其它安全业务依赖于它。常用的数据认证机制有以下4种:开放式认证、基于共享密钥的认证、RADIUS认证、PPP扩展认证协议(EAP)。（3）访问控制机制访问控制机制是对访问网络的用户身份进行鉴别和认证,防止非法用户通过假冒或欺骗等手法入侵网络系统。目前,WLAN主要采用以下2种访问控制技术：基于服务组标识符(SSID)的认证、基于MAC地址的访问控制列表(ACL)系统。3．从网上查找监控工具、Web统计工具，简要记录其功能。监控工具：LSC局域网屏幕监控系统、AnySpy（网络警察）等Web统计工具：微软的Gatineau、AWStats等5．利用端口扫描程序，查看网络上的一台主机，这台主机运行的是什么操作系统，该主机提供了哪些服务？略6．查找网上FTP站点的漏洞。略7．简述IP欺骗技术。13所谓IP欺骗，就是伪造某台主机IP地址的技术，被伪造的主机往往具有某种特权或者被另外的主机所信任。通常欺骗者通过使用RAWSocket编程，发送带有假冒的源IP地址的IP数据包，来达到自己的目的。IP欺骗技术有如下三个特征：1）只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这方面缺陷。2）这种技术出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。3）很容易防备这种攻击方法，如使用防火墙等。8．简述黑客是如何攻击一个网站的。通常黑客攻击有三个阶段：4）信息收集。黑客会利用一些公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息；5）系统安全弱点的探测。黑客可能使用自编程序或者利用公开的工具，自动扫描驻留在网络上的主机，以寻求该系统的安全漏洞或安全弱点；6）网络攻击。黑客一旦获得了对攻击的目标系统的访问权后，就可能通过各种方式进行攻击，实施破坏活动。9．说明电子邮件匿名转发的常用手段。改变电子邮件的发送者名字；让其他人发送邮件；使用匿名服务器等。10．撰写一篇有关计算机网络安全的论文。略14',)