第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容答：攻击技术主要包括以下几个方面。

（1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。

（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括以下几个方面。

（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。

（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。

（3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。

（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。

（5）网络安全协议：保证传输的数据不被截获和监听。

2. 从层次上，网络安全可以分成哪几层每层有什么特点答：从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。

物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。

逻辑安全需要用口令、文件许可等方法来实现。

操作系统安全，操作系统必须能区分用户，以便防止相互干扰。

操作系统不允许一个用户修改由另一个账户产生的数据。

联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。

（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。

（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

（感觉如果说是特点的话这样回答有点别扭。

）3. 为什么要研究网络安全答：网络需要与外界联系，同时也就受到许多方面的威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。

（可详细展开）4. 分别举两个例子说明网络安全与政治、经济、社会稳定和军事的联系。

答：政治：在1999年1月份左右，美国黑客组织“美国地下军团”联合了波兰、英国的黑客组织及其他的黑客组织，有组织地对我国的政府网站进行了攻击。

在1999年7月，台湾李登辉提出两国论的时候，我国一些政府网站遭到攻击。

经济：1999年4月26日，台湾人编制的CIH病毒的大爆发，据统计，我国受其影响的PC机总量达36万台之多。

有人估计在这次事件中，经济损失高达12亿元。

2010年3月30日，中国互联网络信息中心（CNNIC）和国家互联网应急中心（CNCERT）对网民用于处理网络安全事件支出的费用进行统计显示：2009年，网民处理安全事件所支出的服务费用共计153亿元人民币；在实际产生费用的人群中，费用在100元及以下的占比%；人均费用约元；如按国内亿网民计算，人均处理网络安全事故费用约为元。

社会：1999年4月，河南商都热线的一个BBS上，一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提款十多亿。

2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万用户无法正常联络。

军事：在第二次世界大战中，美国破译了日本人的密码，几乎全歼山本五十六的舰队，重创了日本海军。

2010年1月，日本防卫省决定，在2011年度建立一支专门的“网络空间防卫队”，初期人数为60人，相关经费达7000多万美元，以防备黑客攻击，加强保护机密信息的能力。

5. 国内和国际上对于网络安全方面有哪些立法答：国内立法情况：目前网络安全方面的法规已经写入《中华人民共和国宪法》。

于1982年8月23日写入《中华人民共和国商标法》，于1984年3月12日写入《中华人民共和国专利法》，于1988年9月５日写入《中华人民共和国保守国家秘密法》，于1993年9月2日写入《中华人民共和国反不正当竞争法》。

于1991年6月4日写入《计算机软件保护条例》，于1994年2月18日写入《中华人民共和国计算机信息系统安全保护条例》，为了加强对计算机犯罪的打击力度，在1997年对《刑法》进行重新修订时，加进了计算机犯罪的条款。

于1999年10月7日写入《商用密码管理条例》，于2000年9月20日写入《互联网信息服务管理办法》，于2000年9月25日写入《中华人民共和国电信条例》，于2000年12月29日写入《全国人大常委会关于网络安全和信息安全的决定》。

国际立法情况：美国和日本是计算机网络安全比较完善的国家，一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善。

欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。

为在共同体内正常地进行信息市场运作，该组织在诸多问题上建立了一系列法律，具体包括：竞争（反托拉斯）法，产品责任、商标和广告规定法，知识产权保护法，保护软件、数据和多媒体产品及在线版权法，以及数据保护法、跨境电子贸易法、税收法、司法等。

这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。

6. 网络安全橙皮书是什么包括哪些内容答：网络安全橙皮书是根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），1985年橙皮书成为美国国防部的标准，多年以来它一直是评估多用户主机和小型操作系统的主要方法。

其他子系统（如数据库和网络）也一直用橙皮书来解释评估。

橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。

D没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。

属于这个级别的操作系统有DOS和Windows 98等。

C1是C类的一个安全子级。

C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。

这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。

用户拥有的访问权是指对文件和目标的访问权。

文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。

C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。

该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。

另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。

审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。

审计的缺点在于它需要额外的处理时间和磁盘空间。

使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。

授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。

能够达到C2级别的常见操作系统有如下几种：（1）UNIX系统；（2）Novell 或者更高版本；（3）Windows NT，Windows 2000和Windows 2003。

B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。

安全级别存在秘密和绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。

B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。

B3级，又叫做安全域（Security Domain）级别，使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。

该级别也要求用户通过一条可信任途径连接到系统上。

A级，又称验证设计（Verified Design）级别，是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。

该级别包含较低级别的所有的安全特性。

第2章网络安全协议基础1. 简述OSI参考模型的结构答：OSI参考模型是国际标准化组织（International Standards Organization，ISO）制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层，自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

2. 简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御答：TCP/IP协议族包括4个功能层，自顶向下分别为：应用层、传输层、网络层、网络接口层。

应用层中很多应用程序驻留并运行在此层，并且依赖于底层的功能，使得该层是最难保护的一层。

简单邮件传输协议（SMTP）容易受到的威胁是：邮件炸弹，病毒，匿名邮件和木马等。

保护措施是认证、附件病毒扫描和用户安全意识教育。

文件传输协议（FTP）容易受到的威胁是：明文传输、黑客恶意传输非法使用等。

保护的措施是不许匿名登录，单独的服务器分区，禁止执行程序等。

超文本传输协议（HTTP）容易受到的威胁是：恶意程序（ActiveX控件，ASP程序和CGI程序等）。

传输层可能受到的威胁是拒绝服务（DOS）和分布式拒绝（DDOS）服务的攻击，其中包括TCP SYN淹没攻击、SSL中间人攻击、Land攻击、UDP淹没攻击、端口扫描攻击等，保护措施是正确设置客户端SSL，使用防火墙对来源不明的有害数据进行过渡等。

网络层可能受到的威胁是IP欺骗攻击，保护措施是使用防火墙过滤和打系统补丁。

网络接口层又可分为数据链路层和物理层。

数据链路层可能受到的威胁是内容录址存储器表格淹没、VLAN中继、操纵生成树协议、MAC地址欺骗、ARP攻击、专用VLAN、DHCP 耗竭等。

保护措施是，在交换机上配置端口安全选项可以防止CAM表淹没攻击。

正确配置VLAN可以防止VLAN中继攻击。

使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变，可防止操纵生成树协议的攻击，同时也可以强化生成树协议的域边界。

使用端口安全命令可以防止MAC欺骗攻击。

对路由器端口访问控制列表（ACL）进行设置可以防止专用VLAN攻击。