【网络安全】应用实践题（无答案）

第1章网络安全概述
(1) 安装、配置构建虚拟局域网（上机完成）：
下载并安装一种虚拟机软件，配置虚拟机并构建虚拟局域网。
(2) 下载并安装一种网络安全检测软件，对校园网安全检测并简要分析。
(3) 通过调研及参考资料，写出一份有关网络安全威胁的具体分析资料。
(4) 通过调研及借鉴资料，写出一份分析网络安全问题的报告。
解释下列网络信息安全的要素：
(5)举例说明保密性、完整性、可用性
保密性指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性，不会被未
授权的第三方非法获知。具有敏感性的秘密信息，只有得到拥有者的许可，其他人才能
够获得该信息，网络系统必须能够防止信息的非授权访问或泄露。
完整性指网络中的信息安全、精确与有效，不因人为的因素而改变信息原有的内容、
形式与流向，即不能为未授权的第三方修改。它包含数据完整性的内涵，即保证数据不
被非法地改动和销毁，同样还包含系统完整性的内涵，即保证系统以无害的方式按照预
定的功能运行，不受有意的或者意外的非法操作所破坏。信息的完整性是信息安全的基
本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于因特网上的协议
(如TCP/1P〉等，能够确保信息在数据包级别的完整性、即做到了传输过程中不丢信息
包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。
可用性就是要保障网络资源无论在何时，无论经过何种处理，只要需要即可使用，而
不因系统故障或误操作等使资源丢失或妨碍对资源的使用，使得严格时间要求的服务不
能得到及时的响应。另外，网络可用性还包括具有在某些不正常条件下继续运行的能力。
病毒就常常破坏信息的可用性，使系统不能正常运行，数据文件面目全非。

第2章网络安全技术基础
(1) 利用抓包工具，分析IP头的结构
(2) 利用抓包工具，分析TCP头的结构，并分析TCP的三次握手过程。
(3) 假定同一子网的两台主机，其中一台运行了sniffit。利用sniffit捕获Telnet到对方7号端口echo服务的包。
(4) 配置一台简单的VPN服务器
（5）VPN使用的主要技术。
1）隧道（封装）技术是目前实现不同VPN用户业务区分的基本方式。一个VPN可抽象为一个没有自环的连通图，每个顶点代表一个VPN端点（用户数据进入或离开VPN的设备端口），相邻顶点之间的边表示连结这两对应端点的逻辑通道，即隧道。
隧道以叠加在IP主干网上的方式运行。需安全传输的数据分组经一定的封装处理，从信源的一个VPN端点进入VPN，经相关隧道穿越VPN（物理上穿越不安全的互联网），到达信宿的另一个VPN端点，再经过相应解封装处理，便得到原始数据。（不仅指定传送的路径，在中转节点也不会解析原始数据）
2）当用户数据需要跨越多个运营商的网络时，在连接两个独立网络的节点该用户的数据分组需要被解封装和再次封装，可能会造成数据泄露，这就需要用到加密技术和密钥管理技术。目前主要的密钥交换和管理标准有SKIP和ISAKMP（安全联盟和密钥管理协议）。
3）对于支持远程接入或动态建立隧道的VPN，在隧道建立之前需要确认访问者身份，是否可以建立要求的隧道，若可以，系统还需根据访问者身份实施资源访问控制。这需要访问者与设备的身份认证技术和访问控制技术。
（6）TCP/IP协议的网络安全体系结构的基础框架
由于OSI参考模型与TCP/IP参考模型之间存在对应关系，因此可根据GB/T 9387.2-1995的安全体系框架，将各种安全机制和安全服务映射到TCP/IP的协议集中，从而形成一个基于TCP/IP协议层次的网络安全体系结构。

第3章网络安全体系及管理
（1）调研一个网络中心，了解并写出实体安全的具体要求。
（2）查看一台计算机的网络安全管理设置情况，如果不合适进行调整。
（3）利用一种网络安全管理工具，对网络安全性进行实际检测并分析。
（4）调研一个企事业单位，了解计算机网络安全管理的基本原则与工作规范情况。
（5）结合实际论述如何贯彻落实机房的各项安全管理规章制度。

第4章密码和加密技术
（1）已知RSA算法中，素数p=5,q=7,模数n=35,公开密钥e=5,密文c=10，求明文。试用手工完成RSA公开密钥密码体制算法加密运算。
（2）利用对称加密算法对“123456789”进行加密，并进行解密。（上机完成）
（3）已知密文C= abacnuaiotettgfksr，且知其是使用替代密码方法加密。请用程序分析出其明文和密钥。
（4）通过调研及借鉴资料，写出一份分析密码学与网络安全管理的研究报告。
（5）恺撒密码加密运算公式为c=m+k mod 26 ，密钥可以是0至25内的任何一个确定的数，试用程序实现算法，要求可灵活设置密钥。
（6）为什么PGP在加密明文之前先压缩它？
PGP内核使用Pkzip算法来压缩加密前的明文。一方面对电子邮件而言，压缩后加密再经过7位编码密文有可能比明文更短，这就节省了网络传输的时间。另一方面，经过压缩的明文，实际上相当于多经过了一次变换，信息更加杂乱无章，能更强地抵御攻击。
（7）基于X.509数字证书在PKI中的作用
X.509数字证书是各实体在网络中的身份证明，它证书了实体所声明的身份与其公钥的匹配关系。从公钥管理的机制讲，数字证书是非对称密码体制中密钥管理的媒介。即在非对称密码体制中，公钥的分发、传送是通过数字证书来实现的。通过数字证书，可以提供身份的认证与识别，完整性、保密性和不可否认等安全服务。
（8）实施PKI的过程中产生了哪些问题，如何解决？
首先是实施的问题，PKI定义了严格的操作协议和信任层次关系。任何向CA申请数字证书的人必须经过线下(offline)的身份验证(通常由RA完成)，这种身份验证工作很难扩展到整个Internet范围，因此，现今构建的PKI系统都局限在一定范围内，这造成了PKI系统扩展问题。
由于不同PKI系统都定义了各自的信任策略，在进行互相认证的时候，为了避免由于信任策略不同而产生的问题，普遍的做法是忽略信任策略。这样，本质上是管理Internet上的信任关系的PKI就仅仅起到身份验证的作用了。
提出用PMI解决。

第5章黑客攻防与检测防御
(1) 利用一种端口扫描工具软件，练习对网络端口进行扫描，检查安全漏洞和隐患。
(2) 调查一个网站的网络防范配置情况。
(3) 使用X-Scan 对服务器进行评估。（上机操作）
(4) 安装配置和使用绿盟科技“冰之眼”。（上机操作）
(5) 通过调研及参考资料，写出一篇黑客攻击原因与预防的研究报告。
（6）常见的黑客攻击过程。
1）目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。
①踩点（Footprinting）。黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。
②扫描（Scanning）。在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。
③查点（Enumeration）。从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。
2）获得访问权（Gaining Access）。通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。
3）特权提升（Escalating Privilege）。在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。
4）窃取（Stealing）。对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。
5）掩盖踪迹（Covering Tracks）。此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。
6）创建后门（Creating Bookdoor）。在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。
（7）IDS及其基本功能
入侵检测系统IDS，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
1）监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作；
2）核查系统配置和漏洞并提示管理员修补漏洞；
3）评估系统关键资源和数据文件的完整性；
4）识别已知的攻击行为，统计分析异常行为；
5）操作系统日志管理，并识别违反安全策略的用户活动等

第6章身份认证与访问控制
（1）练习Windows的审计系统的功能和实现。
（2）查看Windows Server 2008安全事件的记录日志，并进行分析。
（3）查看个人数字凭证的申请、颁发和使用过程，用软件和上网练习演示个人数字签名和认证过程。
(4) 通过调研及借鉴资料，写出一份分析网络安全问题的报告。
（5）访问控制表ACL有什么优缺点？
ACL的优点：表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。
ACL应用到规模大的企业内部网时，有问题：
1）网络资源很多，ACL需要设定大量的表项，而且修改起来比较困难，实现整个组织范围内一致的控制政策也比较困难。
2）单纯使用ACL，不易实现最小权限原则及复杂的安全政策。
（6）有哪几种访问控制策略？
三种不同的访问控制策略：自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC），前两种属于传统的访问控制策略，而RBAC是90年代后期出现的，有很大的优势，所以发展很快。
每种策略并非是绝对互斥的，我们可以把几种策略综合起来应用从而获得更好、更安全的系统保护——多重的访问控制策略。

第7章操作系统与站点安全
(1) 在Linux系统下对比SUID在设置前后对系统安全的影响。
(2) 对windows server 2012进行配置使其禁用 Ctrl+Alt+Del。
(3) 尝试恢复从硬盘上删除的文件，并分析其中恢复的原因。
（4）在用户端，防范垃圾邮件有如下方式：
1）不随便公开自己的电子邮件地址，防止其被收入垃圾邮件的发送地址列表。因为有很多软件可以自动收集这些新闻组文章或者论坛中出现过的电子邮件地址。一旦被收入这些垃圾邮件的地址列表中，一些不怀好意的收集者将出售这些电子邮件地址牟利，然后，很不幸地，这个地址将可能源源不断地收到各种垃圾邮件。
2）尽量采用转发的方式收信，避免直接使用ISP提供的信箱。申请一个转发信箱地址，结合垃圾邮件过滤，然后再转发到自己的真实信箱。实践证明，这的确是一个非常有效的方法。只有结合使用地址过滤和字符串特征过滤才能取得最好的过滤效果。
不要回复垃圾邮件，这是一个诱人进一步上当的花招。
（5）在服务器端和用户端各有哪些方式防范垃圾邮件？
在服务器端，应该设置发信人身份认证，以防止自己的邮件服务器被选做垃圾邮件的传递者。现在包括不少国内知名电子邮件提供者在内的诸多邮件服务器被国外的拒绝垃圾邮件组织列为垃圾邮件来源。结果是：所有来自该服务器的邮件全部被拒收!

第8章数据库与数据防护技术
(1) 在SQL Server 2012中进行用户密码的设置，体现出密码的安全策略。
(2) 通过实例说明SQL Server 2012中如何实现透明加密。

第9章计算机病毒及恶意软件防范
（1）下载一种杀毒软件，安装设置后查毒，如有病毒，进行杀毒操作。
（2）搜索至少两种木马，了解其发作症状以及清除办法。
（3）计算机病毒基本防范措施。
计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。
（4）病毒的特征代码和作用
病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒，以防止病毒程序感染。
（5）网络蠕虫及其传播途径
网络蠕虫是一种可以通过网络（永久连接网络或拨号网络）进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得象计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬件或文件系统中繁殖，而典型的蠕虫程序会在内存中维持一个活动副本。蠕虫是一个独立运行的程序，自身不改变其他的程序，但可以携带一个改变其他程序功能的病毒。

第10章防火墙技术
（1）Linux防火墙配置（上机完成）
假定一个内部网络通过一个Linux防火墙接入外部网络，要求实现两点要求：
①Linux防火墙通过NAT屏蔽内部网络拓扑结构，让内网可以访问外网
②限制内网用户只能通过80端口访问外网的WWW服务器，而外网不能向内网发送任何连接请求。
具体实现中，可以使用三台计算机完成实验要求。其中一台作为Linux防火墙，一台作为内网计算机模拟整个内部网络，一台作为外网计算机模拟外部网络。
（2）目前个人防火墙有很多种，除了天网防火墙外，还有Agnitum Outpost Firewall、ZoneAarm Firewall、Norman Personal Firewall、Jetico Personal Firewall、F-Secure、Comodo Firewall、瑞星个人防火墙、江民防火墙、卡巴斯基全功能安全软件、风云防火墙、诺顿Norton Internet Security，下载这些软件，使用X-Scan进行综合扫描，使用lxia公司出品的Qcheck软件进行性能测试，并将结果记录下来，比较这些防火墙的优缺点。
（3）包过滤防火墙的过滤原理
包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。
这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。
（4）状态检测防火墙的原理，相对包过滤防火墙的优点
状态检测又称动态包过滤，所以状态检测防火墙又称动态防火墙，最早由CheckPoint提出。
状态检测是一种相当于4、5层的过滤技术，既提供了比包过滤防火墙更高的安全性和更灵活的处理，也避免了应用层网关的速度降低问题。要实现状态检测防火墙，最重要的是实现连接的跟踪功能，并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”，以决定是否让来自Internet的包通过或丢弃。
（5）应用层网关的工作过程及优缺点
主要工作在应用层，又称为应用层防火墙。它检查进出的数据包，通过自身复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议，能够做复杂的访问控制，并做精细的注册和审核。
基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。
常用的应用层网关已有相应的代理服务软件，如HTTP、SMTP、FTP、Telnet等，但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络层防火墙和一般的代理服务。
应用层网关有较好的访问控制能力，是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦，有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件，使用时工作量大，效率明显不如网络层防火墙。
（6）代理服务器优缺点
代理服务技术的优点是：隐蔽内部网络拓扑信息；网关理解应用协议，可以实施更细粒度的访问控制；较强的数据流监控和报告功能。（主机认证和用户认证）缺点是对每一类应用都需要一个专门的代理，灵活性不够；每一种网络应用服务的安全问题各不相同，分析困难，因此实现困难。速度慢。
（7）静态包过滤和动态包过滤区别
静态包过滤在遇到利用动态端口的协议时会发生困难，如FTP，防火墙事先无法知道哪些端口需要打开，就需要将所有可能用到的端口打开，会给安全带来不必要的隐患。
而状态检测通过检查应用程序信息(如FTP的PORT和PASV命令)，来判断此端口是否需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。

第11章电子商务及网站安全
(1) 设计一套利用人体生物信息特征进行身份认证的网上购物系统，和其他购物网站比较一下优缺点。
(2) 结合淘宝网，分析其网站的安全管理解决方案。
(3) 自己建立一个网站，实践各项安全漏洞的防范措施。
（4）SET电子钱包应用
SET交易发生的先决条件是，每个持卡人(客户)必须拥有一个惟一的电子(数字)证书，且由客户确定口令，并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储，这些与符合SET协议的软件一起组成了一个SET电子钱包。
（5）简述一个成功的SET交易的标准流程。

客户在网上商店选中商品并决定使用电子钱包付款，商家服务器上的POS软件发报文给客户的浏览器要求电子钱包付款。
电子钱包提示客户输入口令后与商家服务器交换“握手”消息，确认客户、商家均为合法，初始化支付请求和支付响应。
客户的电子钱包形成一个包含购买订单、支付命令(内含加密了的客户信用卡号码)的报文发送给商家。
商家POS软件生成授权请求报文(内含客户的支付命令)，发给收单银行的支付网关。
支付网关在确认客户信用卡没有超过透支额度的情况下，向商家发送一个授权响应报文。
商家向客户的电子钱包发送一个购买响应报文，交易结束，客户等待商家送货上

第12章网络安全新技术及解决方案
（综合应用及课程设计）
（1）通过进行校园网调查，分析现有的网络安全解决方案，并提出解决办法。
（2）对企事业网站进行社会实践调查，编写一份完整的网络安全解决方案。

【网络安全】应用实践题（无答案）相关推荐

生产实践题目计算机,生产运作管理课后计算机题和实践题[部分]答案解析.doc
WORD格式整理 PAGE 专业知识分享生产运作管理课后计算机题及实践题(部分)答案一.计算题第四章计算题 1.一个制造厂计划在某车间旁增加一侧房,建一条新的生产线,--. 解:A方案的月运输量 ...
程序设计综合实践题库答案
第一章: 1 [多选题] (2分) 抽象数据类型ADTList的基本操作有( ). A.两个线性表合并Merge() B.销毁线性表Destroy (L) C.创建空表Create () D.迭代下一 ...
沈师 Java程序设计 PTA 填空题、程序填空题无答案版
答案链接:https://blog.csdn.net/a2272062968/article/details/117787042 请写出以下程序运行结果: public class MyFor{pub ...
BJUT算法设计与分析考试真题无答案
试题为考后回忆.如有侵权联系删除. (1,2题选其一) 1.生兔子问题 8分已知兔子从第3个月开始,每个月都能繁殖1对兔子. (1)现在,第一个月领养了1对兔子.写出这种情况下,1年中(12个月)每 ...
2021北邮自考c++实践题及答案
北邮c++实践考期,只能在每年的下半年进行报名,11月进行考试.由于疫情原因,现在均为线上考试,每人的考题不同,但是大同小异,此为2021年的c++实践考题编程如下 : 运行结果如下: 最后祝大家考 ...
沈师数据库原理 PTA 填空题无答案版
答案链接:https://blog.csdn.net/a2272062968/article/details/117713227 1.1是长期存储在计算机内有组织.可共享的大量数据的集合. 数据模型的 ...
网络安全知识竞赛题库及答案（多选题1-100题）
1.在日常生活中,以下哪些选项容易造成我们的敏感信息被非法窃取? A.随意丢弃快递单或包裹(正确答案) B.定期更新各类平台的密码,密码中涵盖数字.大小写字母和特殊符号 C.电脑不设置锁屏密码(正确答 ...
数据库系统原理与实践题库及答案（完整版）
数据库系统原理与实践题库及答案 1．简要说明数据.数据库.数据库管理系统和数据库系统的概念. 答:数据:数据库中存储的基本对象是数据(Data),从计算机的角度来看,数据是指能够被计算机存储和处理的符 ...
2016专接本c语言真题_云南特岗教师考试真题（中学信息技术）9套(无答案)
目录: 1. 云南省2009年中央特岗计划教师招考试卷(中学信息技术) 2. 云南省2010年中央特岗计划教师招考试卷(中学信息技术) 3. 云南省2011年中央特岗计划教师招考试卷(中学信息技术) ...
python数据挖掘例题_数据挖掘与python实践试题及答案
数据挖掘与python实践试题及答案更多相关问题 [填空题] 进厂检验之所以重要,因为它是涂料入厂()工序 [多选] 裂纹可能是由于下列哪些原因造成的:() [多选] 涂装车间常用的消防器材共有几种 ...

【网络安全】应用实践题（无答案）

【网络安全】应用实践题（无答案）相关推荐

最新文章

热门文章