试题一【分析】

    【问题1】

    Linux系统在短短的几年之内就得到了非常迅猛的发展,这与Linux系统的良好特性是分不开的。Linux系统包含了Unix系统的全部功能和特性,简单地说,Linux系统具有以下主要特性。

    (1)开放性。

    这是指系统遵循世界标准规范,特别是遵循开放系统互连(OSI)国际标准。凡遵循国际标准所开发的硬件和软件,都能彼此兼容,可方便地实现互连。

    (2)多用户。

    这是指系统资源可以被不同用户使用,每个用户对自己的资源(例如:文件、设备)有特定的权限,互不影响。Linux和Unix都具有多用户的特性。

    (3)多任务。

    这是现代计算机最主要的一个特点。它是指计算机同时执行多个程序,而且各个程序的运行互相独立。Linux系统调度每一个进程平等地访问微处理器。由于CPU的处理速度非常快,其结果是,启动的应用程序看起来好像在并行运行。事实上,从处理器执行一个应用程序中的一组指令到Linux调度微处理器再次运行这个程序之间只有很短的时间延迟,用户是感觉不出来的。

    (4)良好的用户界面。

    Linux向用户提供了两种界面:用户界面和系统调用。Linux的传统用户界面是基于文本的命令行界面,即Shell,它既可以联机使用,又可存在文件上脱机使用。Shell有很强的程序设计能力,用户可方便地用它编制程序,从而为用户扩充系统功能提供了更高级的手段。可编程Shell是指将多条命令组合在一起,形成一个Shell程序,这个程序可以单独运行,也可以与其他程序同时运行。

    系统调用给用户提供编程时使用的界面。用户可以在编程时直接使用系统提供的系统调用命令。系统通过这个界面为用户程序提供低级、高效率的服务。

    Linux还为用户提供了图形用户界面。它利用鼠标、菜单、窗口、滚动条等设施,给用户呈现一个直观、易操作、交互性强的友好的图形化界面。

    (5)设备独立性。

    设备独立性是指操作系统把所有外部设备统一当作文件来看待,只要安装它们的驱动程序,任何用户都可以像使用文件一样,操纵、使用这些设备,而不必知道它们的具体存在形式。

    具有设备独立性的操作系统,通过把每一个外围设备看作一个独立文件来简化增加新设备的工作。当需要增加新设备时,系统管理员就在内核中增加必要的连接。这种连接(也称作设备驱动程序)保证每次调用设备提供服务时,内核以相同的方式来处理它们。当新的及更好的外设被开发并交付给用户时,操作允许在这些设备连接到内核后,就能不受限制地立即访问它们。设备独立性的关键在于内核的适应能力。其他操作系统只允许一定数量或一定种类的外部设备连接。而设备独立性的操作系统能够容纳任意种类及任意数量的设备,因为每一个设备都是通过其与内核的专用连接独立进行访问。

    Linux是具有设备独立性的操作系统,它的内核具有高度适应能力,随着更多的程序员加入Linux编程,会有更多硬件设备加入到各种Linux内核和发行版本中。另外,由于用户可以免费得到Linux的内核源代码,因此,用户可以修改内核源代码,以便适应新增加的外部设备。

    (6)丰富的网络功能。

    完善的内置网络是Linux一大特点。Linux在通信和网络功能方面优于其他操作系统。其他操作系统没有如此紧密地和内核结合在一起的连接网络的能力,也没有内置这些联网特,性的灵活性。而Linux为用户提供了完善的、强大的网络功能。

    ①支持Internet是其网络功能之一。Linux免费提供了大量支持Internet的软件,Internet是在Unix领域中建立并繁荣起来的,在这方面使用Linux是相当方便的,用户能用Linux与世界上的其他人通过Internet网络进行通信。

    ②文件传输是其网络功能之二。用户能通过一些Linux命令完成内部信息或文件的传输。

    ③Linux不仅允许进行文件和程序的传输,它还为系统管理员和技术人员提供了访问其他系统的窗口。通过这种远程访问的功能,一位技术人员能够有效地为多个系统服务,即使那些系统位于相距很远的地方。

    (7)可靠的系统安全。

    Linux采取了许多安全技术措施,包括对读、写控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。

    (8)良好的可移植性。

    Linux可移植性是指将操作系统从一个平台转移到另一个平台使它仍然能按其自身的方式运行的能力。Linux是一种可移植的操作系统,能够在从微型计算机到大型计算机的任何环境中和任何平台上运行。可移植性为运行Linux的不同计算机平台与其他任何机器进行准确而有效的通信提供了手段,不需要另外增加特殊的和昂贵的通信接口。

    【问题2】

    Linux是一个一体化内核(Monolithic Kernel)系统,”内核”指的是一个提供硬件抽象层、磁盘及文件系统控制、多任务等功能的系统软件。一个内核不是一套完整的操作系统。Linux内核的主要模块(或组件)分以下几个部分:存储管理、CPU和进程管理、文件系统、设备管理和驱动、网络通信,以及系统的初始化(引导)、系统调用等。作为一个生产操作系统和开源软件,Linux是测试新协议及其增强的良好平台。Linux支持大量网络协议,包括典型的TCP/IP,以及高速网络的扩展。Linux还是一个动态内核,支持动态添加或删除软件组件。

    【问题3】

    在Linux操作系统下,ping命令是常用的网络命令,它通常用来测试与目标主机的连通性。

    Cd命令通常是将当前目录切换至指定目录。mv命令可以用来移动文件或将文件改名。grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。

    试题一【答案】

    【问题1】

    Linux系统的4主要特点:源代码公开、完全免费、完全的多任务和多用户、适应多种硬件平台、稳定性好。

    【问题2】

    Linux内核开机时是从磁盘加载到内存的。Linux内核功能可以扩展。

    【问题3】

    ①    ping www.baidu.com    ;

    ②    cd /home/zhang    ;

    ③    mv  test  test.org    ;

    ④    grep ‘passwd’ test.c

 

 

 

 

 

 

试题二【分析】

    (1)TTL是time to Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。TTL是IPv4包头的一个8bit字段。TTL的作用是限制IP数据包在计算机网络中的存在的时间。TTL的最大值是255,TTL的一个推荐值是64。TTL的主要作用是避免IP包在网络中的无限循环和收发,节省了网络资源,并能使IP包的发送者能收到告警消息。

    (2)IP首部包含了分片和重组所需的信息。

    Identification字段:16比特,发送端发送的IP数据包标识字段都是一个唯一值,该值在分片时被复制到每个片中。

    R字段:1比特,保留未用。

    DF字段:Don’t Fragment,”不分片”位,1比特,如果将这一比特置1,IP层将不对数据报进行分片。

    MF字段:More Fragment,”更多的片”,1比特,除了最后一片外,其他每个组成数据报的片都要把该比特置1。

    Fragment Offset字段:13比特,该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。

    (3)当MF字段为0时,表示当前的数据包可能是最后一个分片,也可能是从未进行过分片,与此同时,如果offset字段也为0,则表示该数据报未经历过分片。

    (4)IP报头的protocol字段,8比特,用于标识出传输层的地址或协议号,表示数据要进行怎样的上层服务,应该交给自己上一层的哪个协议。一般定义:1表示ICMP,2表示IGMP,4表示IP,6表示TCP,8表示EGP,17表示UDP,41表示IPv6,89表示OSPF。

    (5) ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

    (6)数据包的封装都是经历了自上而下的过程,每到达一层,来自上层的用户数据就会添加本层的包头后,再向下传输。因而虽然TCP报头中不含长度字段,但可以通过IP包头中总长度字段减去IP报头长度,再减去TCP报头长度,即是应用层数据的长度。

    (7)TCP是面向连接的传输层协议,主要目标就是实现数据的可靠传输。在TCP的报头中,序号SEQ和确认号ACK配合使用即可使双方知道发送的数据包是否到达对方。一般情况下,双工传输时,采用捎带确认的机制即可实现。例如:发送方当前发送序号为n,如果接收方收到后,在回送的数据包的ACK字段中也标记为n,表示第n号数据包已经接收了。因为要发送1024字节的数据,其初始发送序号为3A47087C(十六进制数),确认序号应为初始发送序号加1024,此时,需要将1024转为十六进制数,最终得到确认号为3A470F7C。

    (8)TCP的window字段,也就是窗口字段,占16位,用来控制对方发送的数据量,单位为字节。TCP连接的一端依据设置的缓存空间大小确定自己的接收窗体大小,然后通知对方以确定对方的发送窗体的上限。一般来说,双方通过告知对方这个值的大小,保证数据高速,可靠传输。

    (9)系统用一个四元组来唯一标识一个TCP连接:{local ip,local port,remote ip,remote port}。

    ①client最大tcp连接数。

    client每次发起tcp连接请求时,除非绑定端口,通常会让系统选取一个空闲的本地端口(local port),该端口是独占的,不能和其他tcp连接共享。tcp端口的数据类型是unsigned short,因此本地端口个数最大只有65536,端口0有特殊含义,不能使用,这样可用端口最多只有65535,所以在全部作为client端的情况下,最大tcp连接数为65535,这些连接可以连到不同的server ip。

    ②server最大tcp连接数。

    server通常固定在某个本地端口上监听,等待client的连接请求。不考虑地址重用(Unix的SO_REUSEADDR选项)的情况下,即使server端有多个ip,本地监听端口也是独占的,因此server端tcp连接四元组中只有remote ip(也就是client ip)和remote port(客户端port)是可变的,因此最大tcp连接为客户端ip数×客户端port数,对IPv4,不考虑ip地址分类等因素,最大tcp连接数约为2的32次方(ip数)×2的16次方(port数),也就是server端单机最大tcp连接数约为2的48次方。

    ③实际的tcp连接数。

    上面给出的是理论上的单机最大连接数,在实际环境中,受到机器资源、操作系统等的限制,特别是sever端,其最大并发tcp连接数远不能达到理论上限。

    (10)TCP报头中,RST字段表示连接重置。RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;

    试题二【答案】

    (1)TTL字段作用为防止路由环路。

    (2)与分片有关字段有ID,Flag,Offset。

    (3)判断未分片的条件:MF=0,Offset=0。

    (4)向高层提交的依据是根据protocol值不同提交不同高层协议处理程序。

    (5)ICMP作用:差错控制,当发生差错时向源端计算机报告问题;ping测试;询问/应答报文。

    (6)TCP中数据长度:IP报头中有总长度字段,扣除IP和TCP报头长度,就是数据长度。

    (7)ACK的值为  3A470F7C。

    (8)通报接收缓冲区大小的字段是window size。

    (9)关于单机TCP连接总数的说法是错误,因为确定TCP连接依靠远端计算机IP地址、端口号,以及本地计算机IP地址、端口号,而不仅仅靠本地端口号,因此允许超过65536个连接。

    (10)字段是RST比特。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

试题三【分析】

    【问题1】

    要求每个子网规模相同,且都能容纳100台计算机,即IP地址的主机部分,需要7位,N的7次方,128台,可以满足要求。子网掩码反映出在IP地址中,网络部分占用了多少位。由于最后7位用作主机部分,即前面的25位都是网络部分。所以,子网掩码为:N55.255.255.128。

    地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

    每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。有了主机名,用户就不要死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。

    主机名到IP地址的映射有两种方式:

    ①静态映射。每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;

    ②动态映射。建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。

    通过主机名,最终得到该主机名对应的IP地址的过程叫作域名解析(或主机名解析)。主机在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。主机可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。

    路由可分为静态、动态路由。静态路由由管理员手动维护;动态路由由路由协议自动维护。

    距离向量路由算法(Distance Vector Routing)包括RIP、IGRP、EIGRP协议,链路状态路由算法(Link-State Routing)包括OSPF、IS-IS协议。

    路由协议是路由器之间实现路由信息共享的一种机制,它允许路由器之间相互交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时,它需要及时地将这一变化通知与之相连接的其他路由器,以保证数据的正确传递。路由协议不承担网络上终端用户之间的数据传输任务。

    RIP协议是一种传统的路由协议,适合比较小型的网络。OSPF协议则是在Internet网络急剧膨胀的时候制定出来的,它克服了RIP协议的许多缺陷。RIP是距离矢量路由协议;OSPF是链路状态路由协议。

    RIP协议一条路由有15跳(网关或路由器)的限制,如果一个RIP网络路由跨越超过15跳(路由器),则它认为网络不可到达,而OSPF对跨越路由器的种数没有限制。

    OSPF协议支持可变长度子网掩码(VLSM),RIP则不支持,这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持。

    RIP协议不是针对网络的实际情况而是定期地广播路由表,这对网络的带宽资源是个极大的浪费,特别对大型的广域网。OSPF协议的路由广播更新只发生在路由状态变化的时候,采用IP多路广播来发送链路状态更新信息,这样对带宽是种节约。

    RIP网络是一个平面网络,对网络没有分层。OSPF在网络中建立起层次概念,在自治域中可以划分网络域,使路由的广播限制在一定的范围内,避免链路中继资源的浪费。

    OSPF在路由广播时采用了授权机制,保证了网络安全。

    【问题2】

    IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)  定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

    传输模式和隧道模式的区别:

    ①传输模式在AH、ESP处理前后IP头保持不变,主要应用于End-to-End应用场景。

    ②隧道模式在AH、ESP处理之后再封装一个外网IP头,主要用于Site-to-Site的应用场景。

    常用的VPN技术主要有以下几个。

    ①MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2VPN)和三层MPLS VPN(即MPLS L3VPN)。

    ②SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

    ③IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通信的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

    【问题3】

    IPSec VPN的应用场景分为三种。

    ①Site-to-Site(站点到站点或者网关到网关):如弯曲评论的三个机构分布在互联网的三个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干Pc)之间的数据通过这些网关建立的IPSec隧道实现安全互联。

    ②End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。

    ③End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

    VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由以下两类协议组成。

    ①AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。

    ②ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。

    为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。

    试题三【答案】

    【问题1】

    (1)最多32个子网,子网掩码为255.255.255.128。

    (2)ARP协议属于网络层,主要作用是将IP地址转换为MAC地址。DNS协议属于应用层,主要作用是将域名转换为IP地址。

    (3)使用RIP协议时,路由器之间交换的信息是距离矢量。使用OSPF协议时,路由器之间交换的信息是链路状态。OSPF比RIP性能更好,表现在拓扑结构变化时收敛速度快。

    【问题2】

    IPsec VPN工作网络层,应当采用ESP的隧道模式,其他的VPN技术还有MPLS和PPTP。

    【问题3】

    说法正确的有B、D,说法错误的有A、C。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

试题四【分析】

    【问题1】

    Spanning Tree Protocol(STP)的基本思想就是按照”树”的结构构造网络的拓扑结构,树的根是一个称为根桥的桥设备,根桥的确立是由交换机或网桥的BID(Bridge ID)确定的,BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成,不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始,逐级形成一棵树,根桥定时发送配置BPDU,非根桥接收配置BPDU,刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU(新接入的设备会发送BPDU,但该设备的BID比当前根桥大),接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU,以告知其当前网络中根桥;如果接收到的BPDU更优,将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命(Max Age,默认20s)后还没有接收到最佳BPDU的时候,该端口将进入监听状态,该设备将产生TCN BPDU,并从根端口转发出去,从指定端口接收到TCN BPDU的上级设备将发送确认,然后再向上级设备发送TCN BPDU,此过程持续到根桥为止,然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化,网络中的所有设备接收到后将CAM表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。

    【问题2】

    用enable命令使能STP协议,使用STP命令中的priority参数修改相应优先级。用disable禁用STP协议。

    【问题3】

    生成树协议运行生成树算法(STA).生成树算法很复杂,但是其过程可以归纳为以下三个步骤:

    ①选择根网桥;

    ②选择根端口:

    ③选择指定端口。

    关于选择根网桥:选择根网桥的依据是网桥ID,网桥ID由网桥优先级和网桥MAC地址组成。网桥的默认优先级是32768。使用show mac-address-table时,显示在最前面的MAC地址就是计算时所使用的MAC地址。网桥ID值小的为根网桥,当优先级相同时,MAC地址小的为根网桥。

    关于选择根端口:每个非根交换机选择一个根端口。选择顺序为:到根网桥最低的根路径成本一发送BPDU的网桥ID较小一端口ID较小的。端口ID由端口优先级与端口编号组成。默认的端口优先级为128。

    关于选择指定端口:每个网段上选择一个指定端口。选择顺序为:根路径成本较低→发送BPDU的交换机的网桥ID值较小→本端口的ID值较小。另外,根网桥的接口皆为指定端口,因为根网桥上端口的根路径成本为0。

    试题四【答案】

    【问题1】

    交换机ID由优先级和MAC地址组成,端口ID由端口优先级和端口号组成。

    【问题2】

    (1)stp    enable

    (2)[Switch1]    stp    priority    4096

    [Switch2]    stp    priority    0

    (3)在交换机端口配置中禁用STP的命令是:stp disable

    【问题3】

    根交换机是Switch2,理由是交换机ID最小的网桥作为根交换机,交换机ID是由交换机优先级和MAC地址组成,网络中Switch2的优先级为最小(0),其他三台交换机的根端口:Switch1的根端口为E0/0,Switch3的根端口为E0/1,Switch4的根端口为E0/1,理由是交换机中到达根交换机的路径开销最小的端口为根端口,到达根交换机的路径开销相等时,端口ID最小者为根端口。Switch3和Switch4的E0/1到达根交换机的路径开销最小,Switch1的E0/0和E0/1到达根交换机的路径开销相等,但E0/0的端口ID最小。

 

 

试题五【分析】

    SQL是一种介于关系代数与关系演算之间的结构化查询语言,其功能不仅仅是查询,它是一种通用的、功能极强的关系型数据库语言。本题主要考查SQL语句的基本使用方法。

    试题五【答案】

    【问题1】

    ALTER TABLE S ADD SDEP CHAR (30);

    【问题2】

    select SNAME,SCORE from S,C,SC where CNAME=’计算机网络’and C.CNO=SC.CNO and S.SNO=SC.SNO ORDER BY SCORE DESC;

    【问题3】

    insert into CVALUES (’12’,’数据);

    【问题4】

    update C SET CNAME=’高等数学’WHERE CNO=’12’:

 

 

 

试题六【分析】   【问题1】

     访问控制的功能主要有以下几点。

    ①防止非法的主体进入受保护的网络资源。

    ②允许合法用户访问受保护的网络资源。

    ③防止合法的用户对受保护的网络资源进行非授权的访问。

    存储在数据库中的所有数据值均正确的状态。如果数据库中存储有不正确的数据值,则该数据库称为已丧失数据完整性。数据完整性(Data Integrity)是指数据的精确性(Accuracy)和可靠性(Reliability)。它是应防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的。数据库采用多种方法来保证数据完整性,包括外键、约束、规则和触发器。

    应用层的安全协议有:电子邮件安全协议、Web服务安全协议、Kerberos网络认证协议等。

    传输层安全协议有:SSL安全套接层协议:为诸如网站、电子邮件、网上传真等等数据传输进行保密

    网络层安全协议有:IPSec协议。

    【问题2】

    公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。

    防火墙技术虽然出现了许多,但总体来讲可分为”包过滤型”和”应用代理型”两大类。

    ①包过滤(Packet Filtering)型。

    包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

    ②应用代理(Application Proxy)型。

    应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全”阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。

    【问题3】

    SATA(Serial Advanced Technology Attachment)是串行ATA的缩写,目前能够见到的有SATA-1和SATA-2两种标准。SATA是一种完全不同于并行ATA的新型硬盘接口类型,相对于并行ATA来说,它具有非常多的优势。

    首先,SATA以连续串行的方式传送数据,一次只会传送一位数据。这样能减少SATA接口的针脚数目,使连接电缆数目变少,效率也会更高。实际上,SATA仅用四支针脚就能完成所有的工作,分别用于连接电缆、连接地线、发送数据和接收数据,同时这样的架构还能降低系统能耗和减小系统复杂性。

    其次,SATA的起点更高、发展潜力更大,SATA 1.0定义的数据传输率可达150MB/s,这比并行ATA(即ATA/133)所能达到的133MB/s的最高数据传输率还高,而SATA 2.0的数据传输率将达到300MB/s,最终SATA将实现600MB/s的最高数据传输率。

    SCSI(Small Computer System Interface)是一种专门为小型计算机系统设计的存储单元接口模式,可以对计算机中的多个设备进行动态分工操作,对于系统同时要求的多个任务可以灵活机动的适当分配,动态完成。

    NTFS(New Technology File System)是WindowsNT环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。

    EXT是延伸文件系统(Extended file system,缩写为EXT或EXT1),也译为扩展文件系统,一种文件系统,于1992年4月发表,是为Linux核心所做的第一个文件系统。它采用Unix文件系统(UFS)的元数据结构,以克服MNIX文件系统性能不佳的问题。它是在Linux上,第一个利用虚拟文件系统实现出的文件系统。

    CIFS是一个新提出的协议,它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。CIFS使用客户/服务器模式。客户程序请求远在服务器上的服务器程序为它提供服务。服务器获得请求并返回响应。CIFS是公共的或开放的SMB协议版本,并由Microsoft使用。SMB协议在局域网上用于服务器文件访问和打印的协议。像SMB协议一样,CIFS在高层运行,而不像TCP/IP协议那样运行在底层。CIFS可以看作是应用程序协议如文件传输协议和超文本传输协议的一个实现。

    【问题4】

    目前被采用最多的备份策略主要有以下三种。

    ①完全备份(Full Backup)。

    每天对自己的系统进行完全备份。例如,星期一用一盘磁带对整个系统进行备份,星期二再用另一盘磁带对整个系统进行备份,依此类推。这种备份策略的好处是:当发生数据丢失的灾难时,只要用一盘磁带(即故障发生前一天的备份磁带),就可以恢复丢失的数据。然而它亦有不足之处,首先,由于每天都对整个系统进行完全备份,造成备份的数据大量重复。这些重复的数据占用了大量的磁带空间,这对用户来说就意味着增加成本。其次,由于需要备份的数据量较大,因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限的单位来说,选择这种备份策略是不明智的。

    ②增量备份(Incremental Backup)。

    星期天进行一次完全备份,然后在接下来的六天里只对当天新的或被修改过的数据进行备份。这种备份策略的优点是节省了磁带空间,缩短了备份时间。但它的缺点在于,当灾难发生时,数据的恢复比较麻烦。例如,系统在星期三的早晨发生故障,丢失了大量的数据,那么现在就要将系统恢复到星期二晚上时的状态。这时系统管理员就要首先找出星期天的那盘完全备份磁带进行系统恢复,然后再找出星期一的磁带来恢复星期一的数据,然后找出星期二的磁带来恢复星期二的数据。很明显,这种方式很烦琐。另外,这种备份的可靠性也很差。在这种备份方式下,各盘磁带间的关系就像链子一样,一环套一环,其中任何一盘磁带出了问题都会导致整条链子脱节。比如在上例中,若星期二的磁带出了故障,那么管理员最多只能将系统恢复到星期一晚上时的状态。

    ③差分备份(Differential Backup)。

    管理员先在星期天进行一次系统完全备份,然后在接下来的几天里,管理员再将当天所有与星期天不同的数据(新的或修改过的)备份到磁带上。差分备份策略在避免了以上两种策略的缺陷的同时,又具有了它们的所有优点。首先,它无须每天都对系统做完全备份,因此备份所需时间短,并节省了磁带空间,其次,它的灾难恢复也很方便。系统管理员只需两盘磁带,即星期天的磁带与故障发生前一天的磁带,就可以将系统恢复。

    在实际应用中,备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。

   试题六【答案】

    【问题1】

    (1)防止未授权用户非法使用系统资源的是访问控制

    阻止非法实体对数据的修改、插入、删除等操作的是数据完整性

    (2)应用层的安全协议:PGP、MIME、HTTPS、SNMPv3、Kerberos中的一种。

    传输层的安全协议:SSL(或TLS)。

    网络层的安全协议:IPSec。

    【问题2】

    (1)用来加密数据的是公钥,用来解密数据的是私钥。

    (2)网络防火墙根据工作协议层次的不同,包括网络层包过滤防火墙、应用层代理服务器防火墙。

    【问题3】

    (1)应用于个人计算机的主流接口是串行ATA(SATA),应用于服务器的是小型计算机系统接口(SCSI)。

    (2)采用NTFS文件系统的是Windows,采用EXT文件系统的是linux,CIFS文件系统的核心是服务器信息块(SMB)协议。

    【问题4】

    数据备份:完全备份、增量备份、差分备份

 

 

 




1 条评论

通信工程互联网技术2015年实务 - Christopher · 2019年10月29日 下午11:24

[…] 详细答案 […]

发表评论

电子邮件地址不会被公开。 必填项已用*标注