网络安全知识大闯关答案(网络安全知识)

1.网络安全知识

网络系统安全管理措施 网上大部分的攻击是针对网络上的服务器系统 ， 其中包括电子邮件 ， 匿名 FTP, WWW, DNS, News 等服务系统。

这些系统大都是运行在 UNIX 系统上的，其中有 SUN 的 Solaris, SCO UNIX, HPUX, SGI 的 IRIX, IBM 的 AIX， 和 Linux 等。系统之所以易受攻击，有各方面的因素。

首先是这些系统知名度高，容易引起注意，其次，系统本身存在漏洞。我们一方面可采用一些防卫性措施； 另一方面， 网络系统管理员可以应用一些工具，来查找系统安全漏洞，或从网上截获报文进行分析。

下面我们以 Sun 的 Solaris 为例 ， 来具体介绍可采用哪些安全防卫措施。 （一）安装系统补丁程序 （Patch） 任何操作系统都有漏洞，作为网络系统管理员就有责任及时的将补丁（ Patch ）打上。

SUN 公司为了弥补他们的操作系统的安全漏洞 ， 在他们的网站上及时的提供了大量的 Patch， 这些 Patch 程序可以从各地的 SUNSITE 站点获取。这些 Patches 在北大 FTP 上的地址是 ： ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches （二）采用最新版本的服务方软件 和操作系统一样，在服务器上运行的服务方软件也需要不断的更新，而且新版本的软件往往提供了更多更好的功能来保证服务器更有效更安全的运行。

为了将安全漏洞降低到最小 ， 系统管理员必须及时更新服务方软件。下面给出几个目前最新版本的服务方软件： * 域名服务 DNS 软件 ： Bind-8.x * 匿名 FTP 软件 ： Wu-ftpd2.4.2-academ[BETA-18] 版 * 镜像软件 ： Mirror-2.9 版 * Sendmail : Sendmail8.9.x 版 * News : INN2.1 版 * HTTPD : Apache_1.3. x 版 这些版本更新得非常快，大家可以跟踪他们的正式家目录来获得最新软件。

（ 三 ） 口令安全 口令可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测口令开始的，一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用。所以对口令进行安全地管理可以说是系统管理员的重要职责。

目前大多数的 Unix 系统都将用户账号信息和加密口令分开存放，在 /etc/passwd 文件中不在包含加密口令，而加密口令是存放在 /etc/shadow 文件中，该文件只有超级用户 （root） 可读。在这里特别须注意的是一些系统帐号，如 uucp, ftp,news 等，一定不要给它们设置 /bin/sh,/bin/csh 等 Shell 变量，可以在 /etc/passwd 中将它们的 Shell 变量置空，或设为 /bin/ftponly 等。

/bin/ftponly 可以是一个简单的 Shell 程序，如下： # ！ /bin/sh echo “ Sorry, ftp only allowed.” exit 0 不要忘记在 /etc/shells 中加入 /bin/ftponly 。 （四）文件目录权限 特别要注意系统中那些所有这为 root 的 SUID, SGID 的文件，因为一旦有黑客进入你的系统，他可通过这些程序获得超级用户权限。

目前 Interenet 上有不少工具软件可帮助你来检查权限，在下面我们会介绍。 （五） 限制网络用户对系统的访问 这种限制分两步 ： 1） 通过 IP 地址来限制 ， 这是通过安装 TCP_Wrappers 软件来实现的。

该软件可对系统进行 telnet, ftp, rlogin, rsh, finger, talk 等访问的 IP 进行了控制 ， 比如你可以只允许网控中心内部的一些机器对服务器进行这些操作。 2） 超级用户口令 ， 只允许系统管理员知道 ， 并要求定期修改。

另外，不允许用户远程登陆来访问 root， 这是在系统文件 /etc/default/login 中缺省设置好的。 （六）关闭不必要的服务端口 通过修改 /etc/services 和 /etc/inetd.conf 文件 ， 将不需要的服务和服务端口关闭。

（七）定期对服务器进行备份 为了防止不能预料的系统故障 ， 或用户不小心的非法操作 ， 必须对系统进行了安全备份。除了对全系统进行每月一次的备份外 ， 还应对修改过的数据进行每周一次的备份。

同时应该将修改过的重要的系统文件存放在不同的服务器上 ， 以便在系统万一崩溃时 （ 通常是硬盘出错 ）， 可以及时地将系统恢复到最佳状态。 目前各类 Unix 系统都有功能很强的备份工具，如 Solaris 中的 ufsdump 和 ufsrestore 。

（八）设置系统日志 通过运行系统日志程序， 系统会记录下所有用户使用系统的情形，包括最近登陆时间，输入过的每一条命令，磁盘空间和 CPU 占用情况。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

比如，如果你发现有某一帐号总是在半夜登陆，就要警惕了，也许该帐号已被盗用；如果某一系统帐号象 uucp 有人登陆或占用大量的 CPU 或磁盘，也要引起注意。 Solaris2.x 中，通过运行 /etc/init.d/acct start|stop 来启动或停止系统日志的运行，所有的日志信息是放在 /var/adm/acct 目录下。

运行系统日志的主要缺点是要占用大量的磁盘空间。 （九）定期检查系统安全性 . 这种检查是通过定期运行系统安全检测工具来实现的。

通过这些工具 ， 可以检查 ： ¨ 用户口令的安全性 ， 包括口令的内容 ， 格式 ， 存活期等。 ¨ 文件被访问权限的合法性 ， 包括 SUID 文件存在与否 ， 权限为 777 或 666 的文件或目录 ， 系统文件一致性检查 ， 用户家目录和启动文件的合法性检查等。

¨ 匿名 FTP 设置安全性检查。 ¨ 对 tftp, sendmail 中的 decode alias, inetd.conf 中的隐含 shells 等的检查。

¨ 对 NFS 文件系。

2.计算机网络安全技术试题

1. 最有效的保护E-mail的方法是使用加密签字，如（ B ），来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来自发信人，并保证在传输过程没有被修改。

A. Diffie-Hellman

B. Pretty Good Privacy(PGP)

C. Key Distribution Center(KDC)

D. IDEA

2. 黑客要想控制某些用户，需要把木马程序安装到用户的机器中，实际上安装的是（B）

A. 木马的控制端程序

B. 木马的服务器端程序

C. 不用安装

D. 控制端、服务端程序都必需安装

3. 下列不属于包过滤检查的是（D）

A. 源地址和目标地址

B. 源端口和目标端口

C. 协议

D. 数据包的内容

4. 代理服务作为防火墙技术主要在OSI的哪一层实现（A）

A. 数据链路层

B. 网络层

C. 表示层

D. 应用层

5. 加密在网络上的作用就是防止有价值的信息在网上被（ D本题答案说法不一个人认为是D）。

A. 拦截和破坏

B. 拦截和窃取

C. 篡改和损坏

D. 篡改和窃取

6. 按照可信计算机评估标准，安全等级满足C2级要求的操作系统是（D）

A. DOS

B. Windows XP

C. Windows NT

D. Unix

7. 下面关于口令的安全描述中错误的是（B和D说的都不是很正确。。）`

A. 口令要定期更换

B. 口令越长越安全

C. 容易记忆的口令不安全

D. 口令中使用的字符越多越不容易被猜中

8. 不对称加密通信中的用户认证是通过（B）确定的

A. 数字签名

B. 数字证书

C. 消息文摘

D. 公私钥关系

9. 对于IP欺骗攻击，过滤路由器不能防范的是（ D ） 。

A.伪装成内部主机的外部IP欺骗

B.外部主机的IP欺骗

C.伪装成外部可信任主机的IP欺骗

D.内部主机对外部网络的IP地址欺骗

10.RSA加密算法不具有的优点是（D）

A.可借助CA中心发放密钥，确保密钥发放的安全方便

B.可进行用户认证

C.可进行信息认证

D.运行速度快，可用于大批量数据加密

11.PGP加密软件采用的加密算法（C）

A.DES

B.RSA

C.背包算法

D.IDEA

12.以下说法正确的是（D）

A.木马不像病毒那样有破坏性

B.木马不像病毒那样能够自我复制

C.木马不像病毒那样是独立运行的程序

D.木马与病毒都是独立运行的程序

13.使用防病毒软件时，一般要求用户每隔2周进行升级，这样做的目的是（C）

A.对付最新的病毒，因此需要下载最新的程序

B.程序中有错误，所以要不断升级，消除程序中的BUG

C.新的病毒在不断出现，因此需要用及时更新病毒的特征码资料库

D.以上说法的都不对

14.防火墙的安全性角度，最好的防火墙结构类型是（D）

A.路由器型

B.服务器型

C.屏蔽主机结构

D.屏蔽子网结构

剩下的由高人来补。