计算机四级网络工程师-计算机网络-第6章网络管理与网络安全

计算机四级网络工程师-计算机网络-第6章网络管理与网络安全

单选题

需要直接记忆单选

种子文件中包含了Tracker服务器的相关信息和发布者共享的文件的信息。整个下载过程中，Tracker服务器仅负责提供下载该文件的用户列表，并不仔储文性本身。

数字版权管理主要采用的技术为数字水印、版权保护、数字签名和数据加密。

公钥基础设施（PKI）是利用公钥加密和数字签名技术建立的安全服务基础设施，以保证网络环境中数据的私密性、完整性与不可抵赖性。

网络管理包括5大功能：配置管理、故障管理、计费管理、性能管理、安全管理。

网络管理的目标是满足运营者及用户对网络的有效性、可靠性、并放性、综合性、安全性和经济性的要求。网络管理要有一定的安全性，但并不能保证网络的绝对安全。

管理信息库（MIB）是TCP/IP网络管理协议标准框架的内容之一，MB定义了受管设备必须保存的数据项、分许对每不数据项进行的操作及其含义，即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。

国际标准化组织（ISO）定义的网管模型包括4个部分：组织模型、信息模型、通信模型和功能模型。

SNMPv1最大的特点是简单性，容易实现且成本低。

SNMP即简单网络管理协议，SNMPv1简单实用，设计之初没有考虑安全问题，SNIMPv2提高安全性和更有效地传递管理信息方面进行改进，具体包活提供验证、加些和时间同恶机制。支持轮询和中断的亡作模式。CMP和SNMP属一不同类型的管理协议。

从被管理设备中收集数据有两种方法，一种是轮询方法，另外种是基于中断的方法。SNMP使用嵌人到网络设置中代理软件来收集网络的通信信一息和有关网络设备的统计数据。代理软件不断地收集统计数据，并发这些数据记录到一个管理信息库（MIB）中。

SNMP协议采用轮询监控方式，管理器定时向代理请求获得管理信息，并根据返回信息判断是否发生异常。在网络管理领域，SO制定的是通用管理信息服务（CMIS）与通用管理信息协议（CMIP）。CMIP是一种应用层的网络协议。

配置管理是最基本的网络管理功能，负责网络的建立、业务的展开及配置数据的维护。主要包括：

1. 设置放系统中有关路由操作的参数
2. 被管对象和被管对象组名字的管理
3. 初始化或关闭被管对象
4. 根据要求收集系统当前状态的有关信息
5. 获取系统重要变化的信息
6. 更改系统的配置

DES每次处理一个64位的明文分组，并且每次生成一个64位的密文分组。DES算法采用64位密钥长度，其中8位用于奇偶校验，用户可使用其余的56位。

RSA公钥加密算法第一个既能用于数据加密也能用于数字签名的算法。RSA算法是一种非对称密码算法，其密钥长度是可变的，用户既可以用长密钥以增加安全性，文可以用短密钥以提高加密速度。

目前，广泛应用的数字签名算法是消息摘要（MD5）。它是Rivest于1994年发表的一种单向散列算法，可对任意长度的数据生成128位的散列值。

ElGamal算法，是一种较为常见的加密算法，它是基于1984年提出的公钥密码体制和圆曲线加密体系，属于非对称加密。在加密过程中，生成的些文长度是明文的两语。

对称加密技术使用相同的密钥对信息进行加密和解密。由于通信双方加密与解密使用司一个密钥，所以密钥在加密方和解密方之间的传递和分发必须通过安全通道进行。常用的对称加密算法有DES（数字加密算法）、DEA算法、RC2算法、RC4算法与SKipjack算法等。

网络安全性标准将网络安全性等级划分为A、B、C、D等4类，其中A类安全等级最高：D类安全等级最低，属于安全保护类。B类系统属于强制性安全保护类型：分为3人级别：B1；B2与B3级。C类系统是用户能定义访问控制要求的自主保护类型，分为C1级和C2级两个级别。

B类系统属于强制性安全保护类型，分为3个级别：B1、B2与B3级。B1是标记安全保护：B2是结构化安全保护：B3是安全域机制保护。某信息系统具有安全内核，其安全等级至少是B3。

服务攻击是指攻击者对E-mail、FTP、Web或DNS服务器发起政主，造成服务器亡作不正常，其至造成服务器瘫痪。

被动攻击试图了解或利用系统的信息但不影响系统的资源，被动攻击的特性是对传输进行窃听和检测。攻击者的目标是获得传输的信息。载获网上银行密码、信息内容的泄露和流量分析等属于被动攻击。

在X.800中将安全攻击分为两类：被动攻击和主动攻击。主动攻击包括拒绝服务攻击、分布式拒绝服务（DDos）、信息纂改、资源使用、地址欺骊、伪装、重放等攻击方法。被动攻击包括载获网上银行密码、信息内容的泄露和流量分析等。

3种最常用的防火墙是包过滤路由器、应用级网关和电路级网关。应用级网关也叫代理服务器，它在应用级的通信中扮演着一个消息传递者的角色。代理服务器可以工作在应用层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。

最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统是由包过滤路由器和应用级网关组合而成。包过滤路由器也称为屏蔽路由器，它是被保护的内部网络与外部网络之间的第一道防线。由于包过滤在网络层、传输层进行操作，种操作对于应用层是透明的，因此不要求客户机与服务器程序作任何修改。包过滤路由器会检查TCP报头的端口号字节，对于TCP报头信息，可以是源地址、目的地址、协议类型、IP选项、源端口号、目的端口号、TCPACK标识等。

AH(Authentication Header，验证报头协议)主要是用来提供数据完整性校验和源校验，即只提供校验功能，并没有提供加密功能。重放：是指将获得的信息再次发送，以在非授权情况下进行传输。

在IPSec协议簇中，有两个主要的协议：身份认证头（AH）协议和封装安全负载（ESP）协议。AH协议提供了源身份认证和数据完整性，ESP协议提供了数据完整性，身份认证和秘密性。IPSec协议工作在OSI模型的网络层。

SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，保证了在因特网上使用信用卡进行在线购物的安全。其主要目的是解决信用卡电子付款的安全保障性问题，这包括：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息。PGP、S/MIME、MOSS是与电子邮件安全相关的协议与标准。

在安全协议中，属于传输层协议的是TLS的Internet SSL标准。

数据加密标准DES属于对称加密算法；RSA与EIGamal算法属于公钥加密。

S/MIME侧重于作为商业和组织使用的工业标准，而PGP作为个人安全电子邮件标准。二者并不能完全兼容。S/MIME主要支持功能有：加密的数据、签名的数据、透明签名的数据、签名并加密的数据。在网络层方面，需要获得IPSec的支持。

S/MIME协议是专门用来保障电子邮件安全的一种应用层加密协议。不支持域名解析服务以及DNS的请求加密功能。

公钥密码是基于数学函数的算法而不是基于置换和代替技术。公钥密码是非对称的，它使用两个独立的密钥。公钥算法依赖丁一个加密密钥和一个与之相关但不相同的解密密钥，其特点是：仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的，加密算法相对复杂。常见的公钥密码体制分为3类：加密/解密、数字签名、密钥交换。RSA、ElGamal算法、背包加密算法是常见的公钥加密算法，DES是属丁对称加密算法之一。

可用来作认证的函数分为三类：信息加密函数、信息认证码和散列函数。散列函数是一个定长的Hash值，常见的散列函数有MD5和SHA-1，MD5通过四步处理得到128位消息摘要，而SHA-1生成160位信息摘要，

基于公钥密码体制和私钥密码体制都可以获得数字签名。数学签名必须使用对发送者来说是唯一的信息，以防伪造和抵赖。在数学签名创建过程中，需要用到私钥加密消息摘要。在数字签名的验证中，签名信息与原有信息相关。

数据加密标准（DES）是最典型的对称加密算法，3DES仍采用DES算法作为核心，其迭代次数是DES的3倍。其他对称加密算法主要包括IDEA、Blowfish、RC2、RC4、RC5、CAST等。RSA是一种典型的公钥加密算法，其他对称加密算法主要包括DSS、ElGamal与Diffie-Hellman等。

PGP（相当好的私密性）是一个安全电子邮件加密软件，它主要由5种服务组成：鉴别、机密性、压缩、电子邮件的兼容性和分段，支持多语种安装平台。数字签名使用DSS/SHA或RSA/SHA算法，报文加密采用CAST或IDEA，或使用Diffie-Hellman的3DES或RSA算法。PGP也提供了公共密钥认证机制，但是这个机制完全不同丁通用的认证中心（CA）。PGP公共密钥通过委托网站进行认证，它也可以通过互联网上的PGP公共密钥服务器发布。

X.509由CCITT制定，它通过X.500目录提供认证服务的框架，该目录可以看成是公钥证书的数据库。每个证书包含厂一个可信机构签名的用户公钥（可通过可信的第三方实现认证）。Kerberos由MIT开发，是TCP/IP网络设计的可信第二方签别协议，基丁对称密钥体制。

ISO制定的公共管理信息协议（CMIP）主要是针对OSI模型的传输环境设计的，支持的是7种CMIS服务。CMIP提供管理信息传输服务的应用层协议，而CMIS支持管理进程和管理代理之间的通信要求，二者规定了OSI系统的网络管理标准。在网络管理过程中，CMP不是通过轮询是通过事性报告进行作的：SNMP简单网络管理协议，SNMP与CMIP的应用范围同，所以他不个能相互兼容。

三种最常用的防火墙是包过滤路由器、应用级网关和电路级网关。包过滤路由器也被称为屏蔽路由器，采用的原理即数据包过滤技术，依据一套规则对收到的包进行处理，决定是转发还是去弃，过滤的具体处理方法根据数据包所包含的信息定，比如源P地址、目的卫P地址、源和目的的传输层地址、P协议域、接口等。其中包过滤路由器的包过滤在网络层、传输层进行操作，这种操作对于应用层是透明的，因此不要求客户机与服务器程序做任何修改。

多选题【本章无多选内容，看单选知识点，无需点击】