網絡安全知識大闖關答案(網絡安全知識)

1.網絡安全知識

網絡系統(tǒng)安全管理措施 網上大部分的攻擊是針對網絡上的服務器系統(tǒng) ， 其中包括電子郵件 ， 匿名 FTP, WWW, DNS, News 等服務系統(tǒng)。

這些系統(tǒng)大都是運行在 UNIX 系統(tǒng)上的，其中有 SUN 的 Solaris, SCO UNIX, HPUX, SGI 的 IRIX, IBM 的 AIX， 和 Linux 等。系統(tǒng)之所以易受攻擊，有各方面的因素。

首先是這些系統(tǒng)知名度高，容易引起注意，其次，系統(tǒng)本身存在漏洞。我們一方面可采用一些防衛(wèi)性措施； 另一方面， 網絡系統(tǒng)管理員可以應用一些工具，來查找系統(tǒng)安全漏洞，或從網上截獲報文進行分析。

下面我們以 Sun 的 Solaris 為例 ， 來具體介紹可采用哪些安全防衛(wèi)措施。 （一）安裝系統(tǒng)補丁程序 （Patch） 任何操作系統(tǒng)都有漏洞，作為網絡系統(tǒng)管理員就有責任及時的將補?。?Patch ）打上。

SUN 公司為了彌補他們的操作系統(tǒng)的安全漏洞 ， 在他們的網站上及時的提供了大量的 Patch， 這些 Patch 程序可以從各地的 SUNSITE 站點獲取。這些 Patches 在北大 FTP 上的地址是 ： ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches （二）采用最新版本的服務方軟件 和操作系統(tǒng)一樣，在服務器上運行的服務方軟件也需要不斷的更新，而且新版本的軟件往往提供了更多更好的功能來保證服務器更有效更安全的運行。

為了將安全漏洞降低到最小 ， 系統(tǒng)管理員必須及時更新服務方軟件。下面給出幾個目前最新版本的服務方軟件： * 域名服務 DNS 軟件 ： Bind-8.x * 匿名 FTP 軟件 ： Wu-ftpd2.4.2-academ[BETA-18] 版 * 鏡像軟件 ： Mirror-2.9 版 * Sendmail : Sendmail8.9.x 版 * News : INN2.1 版 * HTTPD : Apache_1.3. x 版 這些版本更新得非?？欤蠹铱梢愿櫵麄兊恼郊夷夸泚慝@得最新軟件。

（ 三 ） 口令安全 口令可以說是系統(tǒng)的第一道防線，目前網上的大部分對系統(tǒng)的攻擊都是從截獲或猜測口令開始的，一旦黑客進入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒有作用。所以對口令進行安全地管理可以說是系統(tǒng)管理員的重要職責。

目前大多數的 Unix 系統(tǒng)都將用戶賬號信息和加密口令分開存放，在 /etc/passwd 文件中不在包含加密口令，而加密口令是存放在 /etc/shadow 文件中，該文件只有超級用戶 （root） 可讀。在這里特別須注意的是一些系統(tǒng)帳號，如 uucp, ftp,news 等，一定不要給它們設置 /bin/sh,/bin/csh 等 Shell 變量，可以在 /etc/passwd 中將它們的 Shell 變量置空，或設為 /bin/ftponly 等。

/bin/ftponly 可以是一個簡單的 Shell 程序，如下： # ！ /bin/sh echo “ Sorry, ftp only allowed.” exit 0 不要忘記在 /etc/shells 中加入 /bin/ftponly 。 （四）文件目錄權限 特別要注意系統(tǒng)中那些所有這為 root 的 SUID, SGID 的文件，因為一旦有黑客進入你的系統(tǒng)，他可通過這些程序獲得超級用戶權限。

目前 Interenet 上有不少工具軟件可幫助你來檢查權限，在下面我們會介紹。 （五） 限制網絡用戶對系統(tǒng)的訪問 這種限制分兩步 ： 1） 通過 IP 地址來限制 ， 這是通過安裝 TCP_Wrappers 軟件來實現的。

該軟件可對系統(tǒng)進行 telnet, ftp, rlogin, rsh, finger, talk 等訪問的 IP 進行了控制 ， 比如你可以只允許網控中心內部的一些機器對服務器進行這些操作。 2） 超級用戶口令 ， 只允許系統(tǒng)管理員知道 ， 并要求定期修改。

另外，不允許用戶遠程登陸來訪問 root， 這是在系統(tǒng)文件 /etc/default/login 中缺省設置好的。 （六）關閉不必要的服務端口 通過修改 /etc/services 和 /etc/inetd.conf 文件 ， 將不需要的服務和服務端口關閉。

（七）定期對服務器進行備份 為了防止不能預料的系統(tǒng)故障 ， 或用戶不小心的非法操作 ， 必須對系統(tǒng)進行了安全備份。除了對全系統(tǒng)進行每月一次的備份外 ， 還應對修改過的數據進行每周一次的備份。

同時應該將修改過的重要的系統(tǒng)文件存放在不同的服務器上 ， 以便在系統(tǒng)萬一崩潰時 （ 通常是硬盤出錯 ）， 可以及時地將系統(tǒng)恢復到最佳狀態(tài)。 目前各類 Unix 系統(tǒng)都有功能很強的備份工具，如 Solaris 中的 ufsdump 和 ufsrestore 。

（八）設置系統(tǒng)日志 通過運行系統(tǒng)日志程序， 系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形，包括最近登陸時間，輸入過的每一條命令，磁盤空間和 CPU 占用情況。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異?，F象。

比如，如果你發(fā)現有某一帳號總是在半夜登陸，就要警惕了，也許該帳號已被盜用；如果某一系統(tǒng)帳號象 uucp 有人登陸或占用大量的 CPU 或磁盤，也要引起注意。 Solaris2.x 中，通過運行 /etc/init.d/acct start|stop 來啟動或停止系統(tǒng)日志的運行，所有的日志信息是放在 /var/adm/acct 目錄下。

運行系統(tǒng)日志的主要缺點是要占用大量的磁盤空間。 （九）定期檢查系統(tǒng)安全性 . 這種檢查是通過定期運行系統(tǒng)安全檢測工具來實現的。

通過這些工具 ， 可以檢查 ： ¨ 用戶口令的安全性 ， 包括口令的內容 ， 格式 ， 存活期等。 ¨ 文件被訪問權限的合法性 ， 包括 SUID 文件存在與否 ， 權限為 777 或 666 的文件或目錄 ， 系統(tǒng)文件一致性檢查 ， 用戶家目錄和啟動文件的合法性檢查等。

¨ 匿名 FTP 設置安全性檢查。 ¨ 對 tftp, sendmail 中的 decode alias, inetd.conf 中的隱含 shells 等的檢查。

¨ 對 NFS 文件系。

2.計算機網絡安全技術試題

1. 最有效的保護E-mail的方法是使用加密簽字，如（ B ），來驗證E-mail信息。通過驗證E-mail信息，可以保證信息確實來自發(fā)信人，并保證在傳輸過程沒有被修改。

A. Diffie-Hellman

B. Pretty Good Privacy(PGP)

C. Key Distribution Center(KDC)

D. IDEA

2. 黑客要想控制某些用戶，需要把木馬程序安裝到用戶的機器中，實際上安裝的是（B）

A. 木馬的控制端程序

B. 木馬的服務器端程序

C. 不用安裝

D. 控制端、服務端程序都必需安裝

3. 下列不屬于包過濾檢查的是（D）

A. 源地址和目標地址

B. 源端口和目標端口

C. 協(xié)議

D. 數據包的內容

4. 代理服務作為防火墻技術主要在OSI的哪一層實現（A）

A. 數據鏈路層

B. 網絡層

C. 表示層

D. 應用層

5. 加密在網絡上的作用就是防止有價值的信息在網上被（ D本題答案說法不一個人認為是D）。

A. 攔截和破壞

B. 攔截和竊取

C. 篡改和損壞

D. 篡改和竊取

6. 按照可信計算機評估標準，安全等級滿足C2級要求的操作系統(tǒng)是（D）

A. DOS

B. Windows XP

C. Windows NT

D. Unix

7. 下面關于口令的安全描述中錯誤的是（B和D說的都不是很正確。。）`

A. 口令要定期更換

B. 口令越長越安全

C. 容易記憶的口令不安全

D. 口令中使用的字符越多越不容易被猜中

8. 不對稱加密通信中的用戶認證是通過（B）確定的

A. 數字簽名

B. 數字證書

C. 消息文摘

D. 公私鑰關系

9. 對于IP欺騙攻擊，過濾路由器不能防范的是（ D ） 。

A.偽裝成內部主機的外部IP欺騙

B.外部主機的IP欺騙

C.偽裝成外部可信任主機的IP欺騙

D.內部主機對外部網絡的IP地址欺騙

10.RSA加密算法不具有的優(yōu)點是（D）

A.可借助CA中心發(fā)放密鑰，確保密鑰發(fā)放的安全方便

B.可進行用戶認證

C.可進行信息認證

D.運行速度快，可用于大批量數據加密

11.PGP加密軟件采用的加密算法（C）

A.DES

B.RSA

C.背包算法

D.IDEA

12.以下說法正確的是（D）

A.木馬不像病毒那樣有破壞性

B.木馬不像病毒那樣能夠自我復制

C.木馬不像病毒那樣是獨立運行的程序

D.木馬與病毒都是獨立運行的程序

13.使用防病毒軟件時，一般要求用戶每隔2周進行升級，這樣做的目的是（C）

A.對付最新的病毒，因此需要下載最新的程序

B.程序中有錯誤，所以要不斷升級，消除程序中的BUG

C.新的病毒在不斷出現，因此需要用及時更新病毒的特征碼資料庫

D.以上說法的都不對

14.防火墻的安全性角度，最好的防火墻結構類型是（D）

A.路由器型

B.服務器型

C.屏蔽主機結構

D.屏蔽子網結構

剩下的由高人來補。