一个完整的域名由两个或两个以上词段组成,部分之间用英文句号\分隔,最后一个\的 右边部分称为顶级域名(TLD)或一级域名,最后一个\的左边部分称为二级域名(SLD), 二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。 36.什么是域名解析?最基本的一种域名解析方式是如何实现的?
答:域名解析是将域名重新转换为对应IP地址的过程。一个域名只对应一个IP地址,多个 域名可以同时解析到一个IP地址。域名解析需要由专门的域名解析服务器DNS完成。 域名解析的过程:当应用过程需要将一个主机域名映射为IP 地址时,就调用域名解析函数 将待转换的域名放在DNS 请求中,以UDP 报文方式发给本地域名服务器。查到域名后将 对应IP 地址放在应答报文中返回。若域名服务器不能回答该请求,则此域名服务器向根域 名服务器发出请求解析,找到下面的所有二级域名服务器,以此类推,直到查询到所请求的 域名并赋IP值返回。
37.为能支持Internet 所提供的服务,在操作系统中应配置哪些软件?
答:应配置WEB 浏览器,如IE、firefox、Chrome 等,特殊的服务可以根据需要安装对 应的软件。
38.何谓浏览器/服务器模式?浏览器和服务器的基本功能是什么?
答:浏览器/服务器模式即B/S 结构或Browser/Server 结构。只安装维护一个服务器 Server,客户端采用浏览器Browse 软件。利用成熟的WWW技术,结合多种Script 语言 (VBScript、JavaScript?)和ActiveX技术,是全新的软件系统构造技术。
在B/S体系结构系统中,浏览器向分布在网络上的许多服务器发出请求,服务器对浏览器 的请求进行处理,将用户所需信息返回到浏览器。而数据请求、加工、结果返回及动态网页 生成、数据库访问和应用程序执行等工作全部由Web Server完成。随着Windows将浏览 器技术植入操作系统内部,这种结构已成为当今应用软件的首选体系结构。
B/S 结构的主要特点是分布性广、维护方便、开发简单、共享性强、总体成本低。但数据 安全性、服务器要求高、数据传输慢、软件个性化特点明显降低,难以实现传统模式下的特 殊功能要求。
浏览器是指可以显示网页服务器或者文件系统的HTML 文件内容,并让用户与这些文件 交互的一种软件。服务器是网络上为客户端计算机提供各种服务的高可用性计算机。 第九章 系统安全性 第九章
1.系统安全的复杂性表现在哪几个方面?
答:(1)多面性:大规模系统存在多个风险点,每点都包括物理、逻辑及管理三方面安全。 (2)动态性:信息技术不断发展和攻击手段层出不穷,系统安全问题呈现出动态性。 (3)层次性:系统安全涉及多方面且相当复杂的问题,需要采用系统工程方法解决。 (4)适度性:根据实际需要提供适度安全目标加以实现。
2.对系统安全性的威胁有哪几种类型?
答:假冒身份、数据截获、拒绝服务、修改伪造信息、否认操作、中断传输、通信量分析。 3.攻击者可通过哪些途径对软件和数据进行威胁?
答:数据截获,修改信息,伪造信息,中断传输
4.可信任计算机系统评价标准将计算机系统的安全度分为哪几个等级?
答:该标准将计算机系统安全程度分为8级,有D1(安全度最低级)、C1(自由安全保护级)、 C2(受控存取控制级)、B1、B2、B3、A1、A2。
5.何谓对称加密算法和非对称加密算法?
答:对称加密也叫私钥加密,是指加密和解密使用相同密钥的加密算法。加密密钥能够从解 密密钥中推算出来,解密密钥也能够从加密密钥中推算出来。在大多数对称算法中,加密和
解密的密钥相同,也称为保密密钥算法或单密钥算法。
非对称加密算法需要两个密钥:公钥(publickey)和私钥(privatekey)。公钥与私 钥配对,如果用公钥加密数据,只有用对应的私钥才能解密。 6.什么是易位法和置换算法?试举例说明置换算法。
答:易位法是指按一定规则,重新安排明文中的比特或字符顺序形成密文,而字符本身保持 不变。置换法是按照一定规则,用一个字符去置换另一个字符形成密文。 如:How are you?的每个字符用后面的字母代替就是Ipx bsf zpv? 7.试说明DES加密的处理过程。 答:分为四个阶段:
第一阶段,将明文分出64 位明文段,并做初始易位得到X0,左移32 位,记为L0, 右移32位,记为R0。
第二阶段,对X0进行16次迭代,每一次用56位加密密钥Ki。 第三阶段,把经过16次迭代处理的结果的左32位与右32位互换位置。 第四阶段,进行初始易位的逆变换。
8.试说明非对称加密的主要特点。
答:非对称加密算法复杂、安全性依赖于算法与密钥,加密解密速度慢。对称密码体制只有 密钥,安全性就是密钥的安全性,而非对称加密有公钥和私钥,安全性更强。 9.试说明保密数据签名的加密和解密方式。 答:(1)发送者A 可用自己的私用密钥Kda对明文P进行加密,得到密文DKda(P)。 (2)A 再用B的公钥Keb对DKda(P)加密,得到EKeb(DKda(P))后送B。 (3)B收到后,先用私钥Kdb解密,得到DKda(EKeb(DKda(P)))= DKda(P)。 (4)B再用A的公钥Kea 对DKda(P)解密,得到EKeb(DKda(P))=P。
10.数字证明书的作用是什么?用一例来说明数字证明书的申请、发放和使用过程。 答:数字证明书又称公钥证明书,用于证明通信请求者的身份。 数字证明书的申请、发放和使用过程如下:
(1) 用户 A 先向CA申请数字证明书,A 应提供身份证明和希望使用的公钥A。
(2) CA 收到A 发来的申请报告后,若接受申请,便发给A 一份数字证明书,其中包括公钥
A 和CA 发证者的签名等信息,并对所有信息利用CA 私钥加密(即对CA 进行数字签名)。 (3) 用户 A 在向B 发送信息时,由A用私钥对报文加密(数字签名),连同证明书发给B。 (4) 为能对收到的数字证明书解密,用户B须向CA申请获得CA 的公钥B。CA 收到用户 B 的申请后,可决定将公钥B发给用户B。
(5) 用户 B 利用CA 公钥B 对数字证明书解密,确认该数字证明书系原件,并从数字证明 书中获得公钥A,并且确认该公钥A系用户A的密钥。
(6) 用户 B再利用公钥A 对用户A 发来的加密报文解密,得到用发来报文的真实明文。 11.何谓链路加密?其主要特点是什么?
答:链路加密是对网络相邻节点间的通信线路上传输的数据的加密过程。特点是: (1)相邻节点间的物理信道上传输的报文是密文,在所有中间节点上的报文则是明文。 (2)对不同的链路分别采用不同的加密密钥。
12.何谓端-端加密?其主要特点是什么? 答:端-端加密是在源主机或前端机FEP高层(从传输层到应用层)对传输数据进行的加密。 特点:(1)整个网络传输过程中的报文正文都是密文,信息到达目标主机后才译成明文。 (2)不能对报头中的控制信息加密,否则中间结点无法得知目标地址和控制信息。 13.可利用哪几种方式来确定用户身份的真实性?
答: (1)口令密码组合;(2)物理标志(3)生物标志 (4)公开密钥 14.在基于口令机制的身份认证技术中,通常应满足哪些要求?
答:口令长度适中 、自动断开连接 、隐蔽回送显示 、记录和报告。 15.基于物理标志的认证技术又可细分为哪几种? 答:主要有基于磁卡或IC卡的两种认证技术 。
16.智能卡可分为哪几种类型?这些是否都可用于基于用户持有物的认证技术中? 答:智能卡分为存储器卡、微处理器卡和密码卡等类型。
存储器卡没有安全功能,不能用于基于用户持有物的认证;微处理器卡和密码卡采用了 加密措施,可以用于基于用户持有物的认证。
17.被选用的人的生理标志应具有哪几个条件?请列举几种常用的生理标志。
答:被选用的生理标志应具有三个基本条件,即足够的可变性、稳定性好、不易伪装。 常用的生理标志是指纹、视网膜组织、声音、手指长度等。
18.对生物识别系统的要求有哪些?一个生物识别系统通常是有哪几部分组成的? 答:对生物识别系统的要求有:性能满足要求(抗欺骗和防伪防攻击)、能被用户接受、系 统成本适当。
一个生物识别系统通常由注册和识别两部分组成。注册部分配有一张用户注册表,识别 部分要对用户进行身份认证和生物特征识别。 19.试详细说明SSL所提供的安全服务。
答:SSL称为安全套接层协议,用于提供Internet 上的信息保密,身份认证服务,目前SSL 已成为利用公开密钥进行身份认证的工业标准。
SSL 提供的安全服务有:申请数字证书(服务器申请数字证书、客户申请数字证书) 和SSL握手协议(身份认证、协商加密算法和协商加密密钥)。 20.什么是保护域?进程与保护域之间存在着什么动态联系?
答:保护域是进程对一组对象访问权的集合,规定了进程能访问对象和执行的操作。 进程与保护域之间的动态联系是指进程的可用资源集在个生命周期中是变化的;进程运行在 不同的阶段可以根据需要从一个保护域切换到另一个保护域。 21.试举例说明具有域切换权的访问控制矩阵。
答:在访问矩阵中增加几个对象,分别作为访问矩阵中的几个域,当且仅当switch 包含在 access(i,j)时,才允许进程从域i 切换到域j。例如在下图中,域D1和D2对应的项目中有S, 故允许域D1中的进程切换到域D2 中,在域D2和D3 中也有S,表示D2 域中进行的进程
可切换到域D3中,但不允许该进程再从域D3返回到域D1。
22.如何利用拷贝权来扩散某种访问权?
答:如果域i 具有对象j 的某访问权acess(i,j)的拷贝权,则运行在域i 的进程可将其访问权 acess(i,j)扩展到访问矩阵同一列中的其它域,即为运行在其它域的进程也赋予关于同一对象 的同样访问(acess(i,j))。
23.如何利用拥有权来增删某种访问权?
答:如果域i 具有关于对象j 的所有权,则运行在域i 的进程可以增删在j 列的任何项中的
任何访问权。或该进程可以增删在任何其它域中运行的进程关于对象j的任何访问权。 24.增加控制权的主要目的是什么?试举例说明控制权的应用。
答:控制权用于改变某个域中运行进程关于不同对象的访问权。若某域访问权access(i,j) 中含有控制权C,则运行在Di 域中的进程能改变运行在Qj 域中的任何进程关于任何对象
的任何访问权。
25.什么是访问控制表?什么是访问权限表? 答:访问控制表是指对访问矩阵按列划分,为每列建立一张访问控制表ACL,由有序对(域, 权集)组成,用来保证系统安全性的一种手段。
访问权限表是指对访问矩阵按行划分,由每行构成一张访问权限表。
26.系统如何利用访问控制表和访问权限表来实现对文件的保护? 答:当进程第一次试图访问一个对象时,必须先检查访问控制表,查看是否有权访问该对象。 如果无则拒绝访问,并构成一个例外异常事件;否则便允许访问,并为之建立访问权限,以 便快速验证其访问的合法性。当进程不再访问该对象时便撤销该访问权限。 27.什么是病毒?它有什么样的危害?
答:病毒是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机系统使用并 且能够自我复制的一组计算机计算机指令或程序代码。
计算机病毒的危害:占用系统空间、占用处理机时间、破坏文件、使机器运行异常。 28. 计算机病毒的特征是什么?它与一般的程序有何区别?
答:计算机病毒的特征是寄生性、传染性、隐蔽性和破坏性。
它与一般程序的区别是:病毒程序通常不是独立的程序,具有自我复制和迅速传播的传 染性,想方设法隐藏自身,存在的基本目标就是破坏性。
29.什么是文件型病毒?试说明文件型病毒对文件的感染方式。
答:文件型病毒是指采用寄生方式附着在正常程序里,病毒发作时原来程序仍能正常运行, 以致用户不能及时发现而长期潜伏下来的病毒。
文件型病毒对文件的感染方式是主动攻击和执行时感染的方式。 30.病毒设计者采取了哪几种隐藏方式来让病毒逃避检测?
答:(1)隐藏于目录和注册表空间。 (2)隐藏于程序的页内零头里。 (3)更改用于磁盘分配的数据结构。 (4)更改坏扇区列表。 31.用户可采用哪些方法来预防病毒?
答:(1)定期在外存备份重要软件和数据 (2)使用安全性高的操作系统 (3)使用正版软件 (4)使用高性能反病毒软件
(5) 不轻易打开来历不明的电子邮件 (6)定期检查外存并清除病毒 32.试说明基于病毒数据库的病毒检测方法。
答:(1)建立病毒数据库 (2)扫描硬盘上的可执行文件
第十章
1.UNIX系统具有哪些特征?
答:开放性、多用户多任务环境、功能强大高效、丰富网络功能、支持多处理器。 2.试说明UNIX系统的内核结构。
答:UNIX 内核结构分四层:最底层是硬件,次底层是OS 核心,第二层是OS 与用户接口
shell及编译程序等,最高层是应用程序。
3.UNIX系统中的PCB含哪几部分?用图说明各部分之间的关系。 答:UNIX 系统中的PCB含进程表项、U区、系统区表、进程区表。
4.进程映像含哪几部分?其中系统级上、下文动态部分的作用是什么? 答:进程映像含用户上下文、寄存器上下文、系统级上下文。
系统级上下文动态部分的作用是当因中断或系统调用进入核心状态时,核心把一个寄存
器上下文压入核心栈,退出系统调用时,核心又弹出寄存器上下文,在上下文切换时,核心 将压入老进程的上下文,弹出新进程的上下文。
5.在UNIX系统中用于进程控制的主要系统调用有哪些?它们各自的主要功能是什么? 答:用于进程控制的主要系统调用有: (1)fork系统调用:用于创建新进程 (2)exit系统调用:实现进程自我终止 (3)exec 系统调用:改变进程原有代码
(4)wait 系统调用:将调用进程挂起并等待子进程终止 6.为创建一个新进程,须做哪些工作?
答:为新进程分配一个进程表项和进程标志符;检查同时运行的进程数目;拷贝进程表项中 的数据;子进程继承父进程的所有文件;为子进程创建进程上下文;子进程执行。 7.为何要采取进程自我终止方式?如何实现exit?
答:为了及时回收进程占用的资源,在进程任务完成后应尽快撤销。Unix 内核用exit 实现 进程的自我终止。父进程在创建子进程时,应在子进程末尾安排exit使子进程能自我终止。 实现 exit的具体操作是:关闭软中断、回收资源、写记账信息和置进程为僵死状态。 8.在UNIX系统中采用了何种调度算法?如何确定进程的优先数? 答:UNIX 系统采用动态优先数轮转的进程调度算法。优先数确定公式: 优先数 =(最近使用CPU的时间/2)+基本用户优先数 9.在进入sleep过程后,内核应做哪些处理?
答:进入sleep过程后,核心首先保存进入睡眠时的处理机运行级,提高处理机的运行优先 级屏蔽所有中断,将该进程置为睡眠状态,将睡眠地址保存在进程表项中,将该进程放入睡 眠队列。如果进程的睡眠不可中断,在进程上下文切换后,进程便安稳睡眠。当进程被唤醒 并被调度执行,将恢复处理机的运行级为进入睡眠时的值,此时允许中断处理机。 10.试说明信号与中断两种机制间的异同处。
答:不同点:中断有优先级,而信号没有,所有信号皆平等;信号处理程序在用户态运行, 而中断处理程序是在核心态运行;还有中断响应及时,而信号响应通常都是延时的。 相同点:都采用异步通信方式;当检测出信号或中断请求时都暂停正在执行的程序而转 去执行相应的处理程序;都在处理完毕返回到原来断点;对信号或中断都可进行屏蔽。 11.扼要说明信号机制中信号的发送和对信号的处理功能。
答:信号发送是指由发送进程把信号送到目标进程的proc 结构中信号域的某一位上。 对信号的处理功能:首先利用系统调用signal(sig,func)预置对信号的处理方式,
func=1时屏蔽该类信号;func=0时,进程收到信号后终止自己;func为非0非1时,func 值作为信号处理程序的指针,系统从核心态转为用户态并执行相应的处理程序,处理完毕再 返回用户程序的断点处。
12.什么是管道?无名管道和有名管道的主要差别是什么? 答:管道是指能连接写进程和读进程,并允许它们以生产者消费者方式进行通信的一个共享 文件或pipe 文件。无名管道是个临时文件,是利用系统调用pipe()建立起来的无路径名 文件,只有调用pipe 的进程及其子孙进程才能识别此文件描述符而利用该文件(管道)进 行通信;有名管道是利用mknod 系统调用建立的、可以在文件系统中长期存在的有路径名 文件,其它进程可以知道其存在,并利用该路径名访问的文件。 13.在读、写管道时,应遵循哪些规则?
答:(1)对pipe 文件大小的限制 (2)进程互斥
(3)进程写管道时在管道空间上满足生产者操作规则