網(wǎng)絡(luò)安全知識(shí)大闖關(guān)答案(網(wǎng)絡(luò)安全知識(shí))

1.網(wǎng)絡(luò)安全知識(shí)

網(wǎng)絡(luò)系統(tǒng)安全管理措施 網(wǎng)上大部分的攻擊是針對(duì)網(wǎng)絡(luò)上的服務(wù)器系統(tǒng) ， 其中包括電子郵件 ， 匿名 FTP, WWW, DNS, News 等服務(wù)系統(tǒng)。

這些系統(tǒng)大都是運(yùn)行在 UNIX 系統(tǒng)上的，其中有 SUN 的 Solaris, SCO UNIX, HPUX, SGI 的 IRIX, IBM 的 AIX， 和 Linux 等。系統(tǒng)之所以易受攻擊，有各方面的因素。

首先是這些系統(tǒng)知名度高，容易引起注意，其次，系統(tǒng)本身存在漏洞。我們一方面可采用一些防衛(wèi)性措施； 另一方面， 網(wǎng)絡(luò)系統(tǒng)管理員可以應(yīng)用一些工具，來(lái)查找系統(tǒng)安全漏洞，或從網(wǎng)上截獲報(bào)文進(jìn)行分析。

下面我們以 Sun 的 Solaris 為例 ， 來(lái)具體介紹可采用哪些安全防衛(wèi)措施。 （一）安裝系統(tǒng)補(bǔ)丁程序 （Patch） 任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)的將補(bǔ)?。?Patch ）打上。

SUN 公司為了彌補(bǔ)他們的操作系統(tǒng)的安全漏洞 ， 在他們的網(wǎng)站上及時(shí)的提供了大量的 Patch， 這些 Patch 程序可以從各地的 SUNSITE 站點(diǎn)獲取。這些 Patches 在北大 FTP 上的地址是 ： ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches （二）采用最新版本的服務(wù)方軟件 和操作系統(tǒng)一樣，在服務(wù)器上運(yùn)行的服務(wù)方軟件也需要不斷的更新，而且新版本的軟件往往提供了更多更好的功能來(lái)保證服務(wù)器更有效更安全的運(yùn)行。

為了將安全漏洞降低到最小 ， 系統(tǒng)管理員必須及時(shí)更新服務(wù)方軟件。下面給出幾個(gè)目前最新版本的服務(wù)方軟件： * 域名服務(wù) DNS 軟件 ： Bind-8.x * 匿名 FTP 軟件 ： Wu-ftpd2.4.2-academ[BETA-18] 版 * 鏡像軟件 ： Mirror-2.9 版 * Sendmail : Sendmail8.9.x 版 * News : INN2.1 版 * HTTPD : Apache_1.3. x 版 這些版本更新得非?？欤蠹铱梢愿櫵麄兊恼郊夷夸泚?lái)獲得最新軟件。

（ 三 ） 口令安全 口令可以說是系統(tǒng)的第一道防線，目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)口令開始的，一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒有作用。所以對(duì)口令進(jìn)行安全地管理可以說是系統(tǒng)管理員的重要職責(zé)。

目前大多數(shù)的 Unix 系統(tǒng)都將用戶賬號(hào)信息和加密口令分開存放，在 /etc/passwd 文件中不在包含加密口令，而加密口令是存放在 /etc/shadow 文件中，該文件只有超級(jí)用戶 （root） 可讀。在這里特別須注意的是一些系統(tǒng)帳號(hào)，如 uucp, ftp,news 等，一定不要給它們?cè)O(shè)置 /bin/sh,/bin/csh 等 Shell 變量，可以在 /etc/passwd 中將它們的 Shell 變量置空，或設(shè)為 /bin/ftponly 等。

/bin/ftponly 可以是一個(gè)簡(jiǎn)單的 Shell 程序，如下： # ！ /bin/sh echo “ Sorry, ftp only allowed.” exit 0 不要忘記在 /etc/shells 中加入 /bin/ftponly 。 （四）文件目錄權(quán)限 特別要注意系統(tǒng)中那些所有這為 root 的 SUID, SGID 的文件，因?yàn)橐坏┯泻诳瓦M(jìn)入你的系統(tǒng)，他可通過這些程序獲得超級(jí)用戶權(quán)限。

目前 Interenet 上有不少工具軟件可幫助你來(lái)檢查權(quán)限，在下面我們會(huì)介紹。 （五） 限制網(wǎng)絡(luò)用戶對(duì)系統(tǒng)的訪問 這種限制分兩步 ： 1） 通過 IP 地址來(lái)限制 ， 這是通過安裝 TCP_Wrappers 軟件來(lái)實(shí)現(xiàn)的。

該軟件可對(duì)系統(tǒng)進(jìn)行 telnet, ftp, rlogin, rsh, finger, talk 等訪問的 IP 進(jìn)行了控制 ， 比如你可以只允許網(wǎng)控中心內(nèi)部的一些機(jī)器對(duì)服務(wù)器進(jìn)行這些操作。 2） 超級(jí)用戶口令 ， 只允許系統(tǒng)管理員知道 ， 并要求定期修改。

另外，不允許用戶遠(yuǎn)程登陸來(lái)訪問 root， 這是在系統(tǒng)文件 /etc/default/login 中缺省設(shè)置好的。 （六）關(guān)閉不必要的服務(wù)端口 通過修改 /etc/services 和 /etc/inetd.conf 文件 ， 將不需要的服務(wù)和服務(wù)端口關(guān)閉。

（七）定期對(duì)服務(wù)器進(jìn)行備份 為了防止不能預(yù)料的系統(tǒng)故障 ， 或用戶不小心的非法操作 ， 必須對(duì)系統(tǒng)進(jìn)行了安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外 ， 還應(yīng)對(duì)修改過的數(shù)據(jù)進(jìn)行每周一次的備份。

同時(shí)應(yīng)該將修改過的重要的系統(tǒng)文件存放在不同的服務(wù)器上 ， 以便在系統(tǒng)萬(wàn)一崩潰時(shí) （ 通常是硬盤出錯(cuò) ）， 可以及時(shí)地將系統(tǒng)恢復(fù)到最佳狀態(tài)。 目前各類 Unix 系統(tǒng)都有功能很強(qiáng)的備份工具，如 Solaris 中的 ufsdump 和 ufsrestore 。

（八）設(shè)置系統(tǒng)日志 通過運(yùn)行系統(tǒng)日志程序， 系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的情形，包括最近登陸時(shí)間，輸入過的每一條命令，磁盤空間和 CPU 占用情況。日志程序會(huì)定期生成報(bào)表，通過對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異?，F(xiàn)象。

比如，如果你發(fā)現(xiàn)有某一帳號(hào)總是在半夜登陸，就要警惕了，也許該帳號(hào)已被盜用；如果某一系統(tǒng)帳號(hào)象 uucp 有人登陸或占用大量的 CPU 或磁盤，也要引起注意。 Solaris2.x 中，通過運(yùn)行 /etc/init.d/acct start|stop 來(lái)啟動(dòng)或停止系統(tǒng)日志的運(yùn)行，所有的日志信息是放在 /var/adm/acct 目錄下。

運(yùn)行系統(tǒng)日志的主要缺點(diǎn)是要占用大量的磁盤空間。 （九）定期檢查系統(tǒng)安全性 . 這種檢查是通過定期運(yùn)行系統(tǒng)安全檢測(cè)工具來(lái)實(shí)現(xiàn)的。

通過這些工具 ， 可以檢查 ： ¨ 用戶口令的安全性 ， 包括口令的內(nèi)容 ， 格式 ， 存活期等。 ¨ 文件被訪問權(quán)限的合法性 ， 包括 SUID 文件存在與否 ， 權(quán)限為 777 或 666 的文件或目錄 ， 系統(tǒng)文件一致性檢查 ， 用戶家目錄和啟動(dòng)文件的合法性檢查等。

¨ 匿名 FTP 設(shè)置安全性檢查。 ¨ 對(duì) tftp, sendmail 中的 decode alias, inetd.conf 中的隱含 shells 等的檢查。

¨ 對(duì) NFS 文件系。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)試題

1. 最有效的保護(hù)E-mail的方法是使用加密簽字，如（ B ），來(lái)驗(yàn)證E-mail信息。通過驗(yàn)證E-mail信息，可以保證信息確實(shí)來(lái)自發(fā)信人，并保證在傳輸過程沒有被修改。

A. Diffie-Hellman

B. Pretty Good Privacy(PGP)

C. Key Distribution Center(KDC)

D. IDEA

2. 黑客要想控制某些用戶，需要把木馬程序安裝到用戶的機(jī)器中，實(shí)際上安裝的是（B）

A. 木馬的控制端程序

B. 木馬的服務(wù)器端程序

C. 不用安裝

D. 控制端、服務(wù)端程序都必需安裝

3. 下列不屬于包過濾檢查的是（D）

A. 源地址和目標(biāo)地址

B. 源端口和目標(biāo)端口

C. 協(xié)議

D. 數(shù)據(jù)包的內(nèi)容

4. 代理服務(wù)作為防火墻技術(shù)主要在OSI的哪一層實(shí)現(xiàn)（A）

A. 數(shù)據(jù)鏈路層

B. 網(wǎng)絡(luò)層

C. 表示層

D. 應(yīng)用層

5. 加密在網(wǎng)絡(luò)上的作用就是防止有價(jià)值的信息在網(wǎng)上被（ D本題答案說法不一個(gè)人認(rèn)為是D）。

A. 攔截和破壞

B. 攔截和竊取

C. 篡改和損壞

D. 篡改和竊取

6. 按照可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)，安全等級(jí)滿足C2級(jí)要求的操作系統(tǒng)是（D）

A. DOS

B. Windows XP

C. Windows NT

D. Unix

7. 下面關(guān)于口令的安全描述中錯(cuò)誤的是（B和D說的都不是很正確。。）`

A. 口令要定期更換

B. 口令越長(zhǎng)越安全

C. 容易記憶的口令不安全

D. 口令中使用的字符越多越不容易被猜中

8. 不對(duì)稱加密通信中的用戶認(rèn)證是通過（B）確定的

A. 數(shù)字簽名

B. 數(shù)字證書

C. 消息文摘

D. 公私鑰關(guān)系

9. 對(duì)于IP欺騙攻擊，過濾路由器不能防范的是（ D ） 。

A.偽裝成內(nèi)部主機(jī)的外部IP欺騙

B.外部主機(jī)的IP欺騙

C.偽裝成外部可信任主機(jī)的IP欺騙

D.內(nèi)部主機(jī)對(duì)外部網(wǎng)絡(luò)的IP地址欺騙

10.RSA加密算法不具有的優(yōu)點(diǎn)是（D）

A.可借助CA中心發(fā)放密鑰，確保密鑰發(fā)放的安全方便

B.可進(jìn)行用戶認(rèn)證

C.可進(jìn)行信息認(rèn)證

D.運(yùn)行速度快，可用于大批量數(shù)據(jù)加密

11.PGP加密軟件采用的加密算法（C）

A.DES

B.RSA

C.背包算法

D.IDEA

12.以下說法正確的是（D）

A.木馬不像病毒那樣有破壞性

B.木馬不像病毒那樣能夠自我復(fù)制

C.木馬不像病毒那樣是獨(dú)立運(yùn)行的程序

D.木馬與病毒都是獨(dú)立運(yùn)行的程序

13.使用防病毒軟件時(shí)，一般要求用戶每隔2周進(jìn)行升級(jí)，這樣做的目的是（C）

A.對(duì)付最新的病毒，因此需要下載最新的程序

B.程序中有錯(cuò)誤，所以要不斷升級(jí)，消除程序中的BUG

C.新的病毒在不斷出現(xiàn)，因此需要用及時(shí)更新病毒的特征碼資料庫(kù)

D.以上說法的都不對(duì)

14.防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（D）

A.路由器型

B.服務(wù)器型

C.屏蔽主機(jī)結(jié)構(gòu)

D.屏蔽子網(wǎng)結(jié)構(gòu)

剩下的由高人來(lái)補(bǔ)。