Chhektu計(jì)算機(jī)網(wǎng)絡(luò)安全超強(qiáng)筆記解析

1、七夕，古今詩(shī)人慣詠星月與悲情。吾生雖晚，世態(tài)炎涼卻已看透矣。情也成空，且 作揮手袖底風(fēng)”罷。是夜，窗外風(fēng)雨如晦，吾獨(dú)坐陋室，聽一曲塵緣，合成詩(shī)韻 一首，覺放諸古今，亦獨(dú)有風(fēng)韻也。乃書于紙上。畢而臥。凄然入夢(mèng)。乙酉年七月初 七。-嘯之記。4751計(jì)算機(jī)網(wǎng)絡(luò)安全考試大綱和相關(guān)知識(shí)解答第1章結(jié)論本資料由本人親自整理、打印，用于2009年4月自考，現(xiàn)已通過(guò)考試，成績(jī)84 分。補(bǔ)充一點(diǎn):我主要看的這個(gè)資料，并未通讀教材。 一網(wǎng)友一、識(shí)記1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的典型安全威脅答:竊聽、重傳、偽造、篡改、非授權(quán)訪問(wèn)、拒絕服務(wù)攻擊、行為否認(rèn)、旁路 控制、電磁/射頻截獲、人員疏忽。2、計(jì)算機(jī)網(wǎng)絡(luò)安全的定義答:計(jì)算

2、機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息 數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。3、計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)答:保密性;完整性；可用性;不可否認(rèn)性；可控性。4、P2DR模型的結(jié)構(gòu)答:PPDR模型是一種常用的網(wǎng)絡(luò)安全模型，包含四個(gè)主要部分：Policy （安全策略、Protection （防護(hù)、Detection （檢測(cè)和 Response （向應(yīng)。5、網(wǎng)絡(luò)安全的主要技術(shù)答:物理安全措施；數(shù)據(jù)傳輸安全技術(shù)；內(nèi)外網(wǎng)隔離技術(shù)；入侵檢測(cè)技 術(shù);訪問(wèn)控制技術(shù)；審計(jì)技術(shù)；安全性檢測(cè)技術(shù)；防病毒技術(shù)；備份技術(shù)。二、領(lǐng)會(huì)1、OSI安全體系結(jié)構(gòu)P.28答:OSI安全體系結(jié)構(gòu)不是能實(shí)現(xiàn)的標(biāo)準(zhǔn)

3、，而是關(guān)于如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。(1安全服務(wù)。OSI安全體系結(jié)構(gòu)中定義了五大類安全服務(wù)，也稱為安全防護(hù)措 施。鑒別服務(wù)：訪問(wèn)控制服務(wù)；數(shù)據(jù)機(jī)密性服務(wù)；數(shù)據(jù)完整性服務(wù)：抗抵賴 性服務(wù)。(2安全機(jī)制。其基本的機(jī)制有：加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù) 據(jù)完整性機(jī)制、鑒別交換機(jī)制、通信業(yè)務(wù)流填充機(jī)制、路由控制和公證機(jī)制。2、計(jì)算機(jī)網(wǎng)絡(luò)安全管理的主要內(nèi)容 P.26答:網(wǎng)絡(luò)安全體系結(jié)構(gòu)；網(wǎng)絡(luò)攻擊手段與防范措施：網(wǎng)絡(luò)安全設(shè)計(jì)；網(wǎng)絡(luò) 安全標(biāo)準(zhǔn)、安全評(píng)測(cè)及認(rèn)證；網(wǎng)絡(luò)安全檢測(cè)技術(shù)；網(wǎng)絡(luò)安全設(shè)備：網(wǎng)絡(luò)安全管理 安全審計(jì);網(wǎng)絡(luò)犯罪偵查；網(wǎng)絡(luò)安全理論與政策；(10)網(wǎng)絡(luò)安全教育；(11)網(wǎng)絡(luò)安全法 律。概括起來(lái)，

4、網(wǎng)絡(luò)安全包括以下三個(gè)重要部分： 先進(jìn)的技術(shù)；嚴(yán)格的管理：威嚴(yán)的法律。3、網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)P.35答:網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)(1與In ternet更加緊密地結(jié)合,利用一切可以利用的方式進(jìn)行傳播。(2所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬和黑客程序的特 點(diǎn)于一身，破壞性大大增強(qiáng)。(3其擴(kuò)散極快，而更加注重欺騙性。(4利用系統(tǒng)漏洞將成為病毒有力的傳播方式。(5無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，使遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性加大。(6各種境外情報(bào)、諜報(bào)人員將越來(lái)越多地通過(guò)信息網(wǎng)絡(luò)渠道收集情報(bào)和竊取 資料。(7各種病毒、蠕蟲和后門技術(shù)越來(lái)越智能化，并出現(xiàn)整合趨勢(shì)，形成混合性威 脅。(8各種攻擊技術(shù)的隱秘性

5、增強(qiáng)，常規(guī)防范手段難以識(shí)別。(9分布式計(jì)算機(jī)技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅高強(qiáng)度密碼的安全性。(10 一些政府部門的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板。(11網(wǎng)絡(luò)管理安全問(wèn)題日益突出。4、網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)(網(wǎng)絡(luò)安全主要實(shí)用技術(shù)的發(fā)展 P.35答:網(wǎng)絡(luò)安全技術(shù)的發(fā)展是多維的、全方位的，主要有以下幾種： 物理隔離；邏輯隔離;防御來(lái)自網(wǎng)絡(luò)的攻擊；防御網(wǎng)絡(luò)上的病毒；身份 認(rèn)證；加密通信和虛擬專用網(wǎng)：入侵檢測(cè)和主動(dòng)防衛(wèi)；網(wǎng)管、審計(jì)和取證。三、應(yīng)用分析給定網(wǎng)絡(luò)可能存在的安全威脅第2章物理安全一、識(shí)記1、物理安全包含的主要內(nèi)容 P.41答:主要包括以下幾個(gè)方面 機(jī)房環(huán)境安全：通信線路安全；設(shè)備安全；電

6、源安全。2、機(jī)房安全要求和措施P.42答：3、硬件設(shè)備的使用管理P.50答:要根據(jù)硬件設(shè)備的具體配置情況，制定切實(shí)可行的硬件設(shè)備的操作使用規(guī) 程,并嚴(yán)格按操作規(guī)程進(jìn)行操作；建立設(shè)備使用情況日志，并嚴(yán)格登記使用過(guò)程的 情況;建立硬件設(shè)備故障情況登記表，詳細(xì)記錄故障性質(zhì)和修復(fù)情況；堅(jiān)持對(duì)設(shè) 備進(jìn)行例行維護(hù)和保養(yǎng)，并指定專人負(fù)責(zé)。4、電源對(duì)用電設(shè)備安全的潛在威脅答:脈動(dòng)與噪聲。電磁干擾。當(dāng)電源的電磁干擾比較強(qiáng)時(shí)，產(chǎn)生的電磁場(chǎng)就會(huì)影響到硬盤等磁性存儲(chǔ)介質(zhì)，久而久之就會(huì)使存儲(chǔ)的數(shù)據(jù)受到損害。二、領(lǐng)會(huì)1、機(jī)房安全等級(jí)劃分標(biāo)準(zhǔn)P.41答:機(jī)房的安全等級(jí)分為A類、B類和C類三個(gè)基本類別。A類:對(duì)計(jì)算機(jī)機(jī)房的安

7、全有嚴(yán)格的要求，有完善的計(jì)算機(jī)機(jī)房安全措施。B類:對(duì)計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)機(jī)房安全措施。C類:對(duì)計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)機(jī)房安全措施。2、通信線路安全技術(shù)P.49答：3、電磁輻射的防護(hù)措施P.51防護(hù)措施主要有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器 減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可以分為兩種：一種是采用各種電磁屏 蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和 金屬門窗進(jìn)行屏 蔽和隔離；第二種是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)， 利用干擾裝

8、置產(chǎn)生一種 與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī) 系統(tǒng)的工作頻率和信息特征。為提高電子設(shè)備的抗干擾能力，除在芯片、部件上提 高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波及接地等，其中屏蔽是應(yīng)用 最多的方法。4、機(jī)房供電的要求和方式P.53答:對(duì)機(jī)房安全供電的方式分為三類：一類供電:需建立不間斷供電系統(tǒng)。二類供電:需建立帶備用的供電系統(tǒng)。三類供電:按一般用戶供電考慮。對(duì)機(jī)房安全供電的要求P.53、應(yīng)用根據(jù)所需建設(shè)的網(wǎng)絡(luò)系統(tǒng)要求，分析機(jī)房安全、通信線路安全和供電的需求第3章信息加密與PKI一、識(shí)記1、明文、密文、密鑰、加密算法、解密算法等基本概念答:明文（Plaintext是作

9、為加密輸入的原始信息，即消息的原始形式，通常用m或p 表示。所有可能明文的有限集稱為明文空間，通常用M或P來(lái)表示。密文（Cliphertext是明文經(jīng)加密變換后的結(jié)果，即消息被加密處理后的形式，通常 用c表示。密鑰（Key是參與密碼變換的參數(shù)，通常用k表示。加密算法（Encryption Algorithm是將明文變換為密文的變換函數(shù)，相應(yīng)的變換過(guò) 程稱為加密,即編碼的過(guò)程，通常用E表示，即c=Ek （P。解密算法（Decryption Algorithm是將密文恢復(fù)為明文的變換函數(shù)，相應(yīng)的變換過(guò) 程稱為解密,即解碼的過(guò)程，通常用D表示，即p=Dk （c。2、加密體制的分類P.6163答:密碼

10、體制從原理上可分為兩大類： 單鑰或?qū)ΨQ密碼體制。最有影響的是DES算法，另有國(guó)際數(shù)據(jù)加密算法IDEA。單鑰密碼算法的優(yōu)點(diǎn)主要體現(xiàn)在其加密、解密處理速度快、保密度高等。 雙鑰或非對(duì)稱密碼體制。最有名的是RSA密碼體制，另有ElGamal算法。雙鑰密碼的優(yōu)點(diǎn)是可以公開加密密鑰，適應(yīng)網(wǎng)絡(luò)的開放性要求，且僅需保密解密 密鑰,所以密鑰管理問(wèn)題比較簡(jiǎn)單。缺點(diǎn)是雙鑰密碼算法一般比較復(fù)雜 ，加解密速度 慢。雙鑰密碼體制的產(chǎn)生主要基于兩個(gè)原因是為了解決常規(guī)密鑰密碼體制的密鑰管理與 分配的問(wèn)題；二是為了滿足對(duì)數(shù)字簽名的需求。在雙鑰密碼體制中，公開密鑰是可以公開的信息，而私有密鑰是需要保密的。3、認(rèn)證技術(shù)的分層模型

11、P.77答:認(rèn)證技術(shù)分為三個(gè)層次： 安全管理協(xié)議。主要任務(wù)是在安全體制的支持下，建立、強(qiáng)化和實(shí)施整個(gè)網(wǎng) 絡(luò)系統(tǒng)的安全策略。典型的安全管理協(xié)議有公用管理信息協(xié)議 （CMIP、簡(jiǎn)單網(wǎng)絡(luò) 管理協(xié)議（SNMP和分布式安全管理協(xié)議（DSM。 認(rèn)證體制。在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認(rèn)證功能。典型的認(rèn)證體制有 Kerberos體制、X.509體制和Light Kryptonight體制。 密碼體制。是認(rèn)證技術(shù)的基礎(chǔ)，它為認(rèn)證體制提供數(shù)學(xué)方法支持。典型的密 碼體制有DES體制、RSA體制。4、常用的數(shù)據(jù)加密方式P.75答:鏈路加密;節(jié)點(diǎn)加密：端到端加密。5、認(rèn)證體制應(yīng)滿足的條件 P.77答

12、:一個(gè)安全的認(rèn)證體制應(yīng)該至少滿足以下要求 意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性。 消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴，有時(shí)也要求消息的接收者不能否認(rèn)收 到的消息。除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。6 PKI的基本概念和特點(diǎn)P.83答:PKI是一個(gè)用公鑰密碼算法原理和技術(shù)來(lái)提供安全服務(wù)的通用型基礎(chǔ)平臺(tái)，用戶可利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。特點(diǎn):透明性、一致性。附：1、密碼學(xué)的發(fā)展經(jīng)歷了三個(gè)階段：古代加密方法、古典密碼和近代密碼。2、 身份認(rèn)證常用的方式主要有兩種：通行字（口令方式和持證方式。P.79二、領(lǐng)會(huì)1、 單鑰密碼體制與雙鑰密碼體制的區(qū)別P.61答

13、:單鑰密碼體制的加密密鑰和解密密鑰相同，從一個(gè)可以推出另外一個(gè)；雙鑰 密碼體制的原理是加密密鑰與解密密鑰不同，從一個(gè)難以推出另一個(gè)。單鑰密碼 體制基于代替和換位方法；雙鑰密碼算法基于數(shù)學(xué)問(wèn)題求解的困難性。單鑰密碼體制是對(duì)稱密碼體制；雙鑰密碼體制是非對(duì)稱密碼體制。2、DES、IDEA、RSA加密算法的基本原理答:DES即數(shù)據(jù)加密標(biāo)準(zhǔn)（Date Encryption Standard于1977年由美國(guó)國(guó)家標(biāo)準(zhǔn)局公布,是IBM公司研制的一種對(duì)二元數(shù)據(jù)進(jìn)行加密的分組密碼，數(shù)據(jù)分組長(zhǎng)度為64bit ,密文分組 長(zhǎng)度也是64bit ,沒(méi)有數(shù)據(jù)擴(kuò)展。密鑰長(zhǎng)度為64bit ,其中有效密鑰長(zhǎng) 度56bit ,其

14、余8bit為奇偶校驗(yàn)。DES的整個(gè)體制是公開的，系統(tǒng)的安全性主要依賴 于密鑰的保密，其算法主要由初 始置換IP、16輪迭代的乘積變換、逆初始轉(zhuǎn)換IP -1及16個(gè)子密鑰產(chǎn)生器構(gòu)成。P.66IDEA 是 International Data Encryption Algorithm 的縮寫，即國(guó)際數(shù)據(jù)加密算法。它是根據(jù) 中國(guó)學(xué)者朱學(xué)嘉博士與著名密碼學(xué)家James Massey于1990年聯(lián)合提出的 建議標(biāo)準(zhǔn)算法PES改進(jìn)而來(lái)的。它的明文與密文塊都是 64bit，密鑰長(zhǎng)度為128bit , 作為單鑰體制的密碼，其加密與解密過(guò)程雷同，只是密鑰存在差異，IDEA無(wú)論是采 用軟件還是硬件實(shí)現(xiàn)都比較容易，

15、而且加解密的速度很快。P.69RSA體制是由R.L.Rivest和L.Adleman設(shè)計(jì)的用數(shù)論構(gòu)造雙鑰的方法,它既可 用于加密,也可用于數(shù)字簽名。RSA算法的安全性建立在數(shù)論中 大數(shù)分解和素?cái)?shù) 檢測(cè)”的理論基礎(chǔ)上。P.723、認(rèn)證的三個(gè)目的P.77答:認(rèn)證技術(shù)是防止不法分子對(duì)信息系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)，其目的: 一是消息完整性認(rèn)證，即驗(yàn)證信息在傳送或存儲(chǔ)過(guò)程中是否被篡改；二是身份認(rèn)證，即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符，如口令、密鑰 等;三是消息的序號(hào)和操作時(shí)間（時(shí)間性等的認(rèn)證，其目的是防止消息重放或延遲等 攻擊。4、手寫簽名與數(shù)字簽名的區(qū)別 P.78答:手寫簽名與數(shù)字簽名的

16、主要區(qū)別在于：一是手寫簽名是不變的，而數(shù)字簽名對(duì)不同的消息是不同的，即手寫簽名因人而 異，數(shù)字簽名因消息而異；二是手寫簽名是易被模擬的，無(wú)論哪種文字的手寫簽名，偽造者都容易模仿，而數(shù) 字簽名是在密鑰控制下產(chǎn)生的，在沒(méi)有密鑰的情況下，模仿者幾乎無(wú)法模仿出數(shù)字簽 名。5、數(shù)字簽名與消息認(rèn)證的區(qū)別 P.82答:數(shù)字簽名與消息認(rèn)證的區(qū)別是：消息認(rèn)證可以幫助接收方驗(yàn)證消息發(fā)送者的身份及消息是否被篡改。當(dāng)收發(fā)者之間沒(méi)有利害沖突時(shí)，這種方式對(duì)于防止第三者破壞是有效的，但當(dāng)存在利害沖突時(shí)，單純采用消息認(rèn)證技術(shù)就無(wú)法解決糾紛，這時(shí)就 需要借助于數(shù)字簽名技術(shù)來(lái)輔助進(jìn)行更有效的消息認(rèn)證。6 PKI認(rèn)證技術(shù)的組成P.

17、84答:公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure, PKI ,主要包括CA認(rèn)證機(jī)構(gòu)。CA 作為數(shù)字證書簽發(fā)機(jī)構(gòu)，是PKI的核心，是PKI應(yīng)用中權(quán)威的、可信任的，公正的第 三方機(jī)構(gòu)。證書庫(kù)。是CA頒發(fā)證書和撤銷證書的集中存放在，是網(wǎng)上的一種公 共信息庫(kù)，供廣大用戶進(jìn)行開往式查詢。證書撤銷。密鑰備份和恢復(fù)。自動(dòng) 更新密鑰。密鑰歷史檔案。交叉認(rèn)證。不可否認(rèn)性。時(shí)間戳?？蛻舳塑浖?。三、應(yīng)用將給定的明文按照給定的古典或單鑰密碼算法變換成密文P.64答:教材中例子P.64凱撒（Caesar密碼是對(duì)英文26個(gè)字母進(jìn)行移位代替的密碼，其q=26。這種密碼 之所以稱為凱撒密碼,是因?yàn)閯P撒

18、使用過(guò)K =3（表示密文為該字母后第3個(gè)字母的 這種密碼。使用 凱撒密碼，若明文為M =Casesar cipher is a shift substituti on則密文為C =Fdvhvdu flskhu lv d vkliw vxevwlwxwlrq教材中課后習(xí)題P.99第4題：選擇凱撒（Caesar密碼系統(tǒng)的密鑰K =6。若明文為Caesar密文是什么。答:密文為Igkygx第4章防火墻技術(shù)一、識(shí)記1、防火墻的基本概念P.103答:防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組 系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛 在破壞性的侵

19、擾。2、防火墻的體系結(jié)構(gòu)類型P.106答:防火墻的體系結(jié)構(gòu)一般有以下幾種 雙重宿主主機(jī)體系結(jié)構(gòu)；屏蔽主機(jī)體系結(jié)構(gòu)：屏蔽子網(wǎng)體系結(jié)構(gòu)。3、個(gè)人防火墻的特點(diǎn)答:個(gè)人防火墻的優(yōu)點(diǎn)： 增加了保護(hù)級(jí)別，不需要額外的硬件資源。 個(gè)人防火墻除了可以抵擋外來(lái)攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。 個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù) ，能夠?yàn)橛脩綦[蔽暴露在 網(wǎng)絡(luò)上的 信息,如IP地址之類的信息等。個(gè)人防火墻的缺點(diǎn)：個(gè)人防火墻對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口 ，導(dǎo)致個(gè)人防火墻本身容易受到威 脅。個(gè)人防火墻在運(yùn)行時(shí)需要戰(zhàn)用個(gè)人計(jì)算機(jī)的內(nèi)存、CPU時(shí)間等資源。 個(gè)人防火墻只能對(duì)單機(jī)提供保護(hù)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)。4、防火

20、墻的發(fā)展趨勢(shì)答:優(yōu)良的性能;可擴(kuò)展的結(jié)構(gòu)和功能；簡(jiǎn)化的安裝與管理；主動(dòng)過(guò)濾： 防病毒與防黑客；發(fā)展聯(lián)動(dòng)技術(shù)。二、領(lǐng)會(huì)1、防火墻的主要功能P.104答:無(wú)論何種類型的防火墻都應(yīng)具備五大基本功能：(1過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)(2管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為(3封堵某些禁止的業(yè)務(wù)(4記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)(5對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警2、防火墻的局限性P.105答:主要體現(xiàn)在以下幾個(gè)方面(1網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)防火墻通常會(huì)使網(wǎng)絡(luò)系統(tǒng)的部分功能被削弱。 由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流 受到阻礙； 由于在防火墻上附加各種信息服務(wù)的代理軟件，增大

21、了網(wǎng)絡(luò)管理開銷，減慢了 信息傳輸速率,在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。(2防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失 只能防范經(jīng)過(guò)其本身的非法訪問(wèn)和攻擊，對(duì)繞過(guò)防火墻的訪問(wèn)和攻擊無(wú)能為 力；不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題； 不能防止受病毒感染的文件的傳輸； 不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅； 不能防止自然或人為的故意破壞； 不能防止本身安全漏洞的威脅。3、各類防火墻的特點(diǎn)4、數(shù)據(jù)包過(guò)濾技術(shù)的工作原理 P.110答:包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，通?；贗P數(shù)據(jù)包的源地址、目的地址、源端 口和目的端口進(jìn)行過(guò)濾。它的優(yōu)點(diǎn)是效率比較高，對(duì)用戶來(lái)

22、說(shuō)是透明的。缺點(diǎn)是對(duì) 于大多數(shù)服務(wù)和 協(xié)議不能提供安全保障，無(wú)法有效地區(qū)分同一 IP地址的不同用戶， 并且包過(guò)濾防火墻難于配 置、監(jiān)控和管理，不能提供足夠的日志和報(bào)警。數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò) 濾邏輯,被稱為訪問(wèn)控制列表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地 址、所用的端口號(hào)和 協(xié)議狀態(tài)等因素或它們的組合，來(lái)確定是否允許該數(shù)據(jù)包通 過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，這 通常安裝在路由器上。數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有兩個(gè)：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、

23、目的地址及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被 竊聽或假冒5、代理服務(wù)技術(shù)的工作原理 P.116答:代理服務(wù)器（Proxy技術(shù)是一種較新型的防火墻技術(shù),它分為應(yīng)用層網(wǎng)關(guān)和電 路層網(wǎng)關(guān)。所謂代理服務(wù)器，是指代表客戶處理連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè) 客戶的連 接意圖時(shí)，它將核實(shí)客戶請(qǐng)求，并用特定的安全化的Proxy應(yīng)用程序來(lái)處理 連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并進(jìn)一步處 理后,將答復(fù)交給發(fā) 出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以又叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)

24、議。代理防火墻通過(guò)編程來(lái) 弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制；而且,還可用 來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層 網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。代理服務(wù)器（Proxy Server作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有請(qǐng)求，也向客戶 端轉(zhuǎn)發(fā)響應(yīng)。代理客戶機(jī)（Proxy Client負(fù)責(zé)代表內(nèi)部客戶 端向外部服務(wù)器發(fā)出請(qǐng)求，當(dāng)然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。&狀態(tài)檢測(cè)技術(shù)的工作原理 P.119答:基于狀態(tài)檢測(cè)技術(shù)的防火墻是由 Check Poi nt軟件技術(shù)有限公司率先提出的 也稱為動(dòng)態(tài)包過(guò)濾防火墻?；跔顟B(tài)檢測(cè)技術(shù)的防火墻通過(guò)一個(gè)在網(wǎng)關(guān)處執(zhí)行網(wǎng) 絡(luò)安

25、全策略的檢測(cè) 引擎而獲得非常好的安全特性。檢測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn) 行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施檢測(cè)。它將抽取的狀 態(tài)信息動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行安 全策略的參考。檢測(cè)引擎維護(hù)一個(gè)動(dòng)態(tài)的 狀態(tài)信息表并對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行檢查，一旦發(fā)現(xiàn)某個(gè)連接的參數(shù)有意外變化，則立 即將其終止。狀態(tài)檢測(cè)防火墻監(jiān)視和跟蹤每一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定是否 允許網(wǎng)絡(luò) 數(shù)據(jù)包通過(guò)防火墻。它在協(xié)議棧底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包的當(dāng)前狀態(tài)，并將其與前一時(shí)刻相應(yīng)的狀態(tài)信息進(jìn)行對(duì)比，從而得到對(duì)該數(shù)據(jù)包的控制 信息。檢測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。當(dāng)

26、 用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)操作系統(tǒng)前，檢測(cè)引擎通過(guò)狀態(tài)監(jiān)視器要收集有關(guān)狀態(tài)信息， 結(jié)合網(wǎng)絡(luò)配置和 安全規(guī)則做出接納、拒絕、身份認(rèn)證及報(bào)警等處理動(dòng)作。一旦有 某個(gè)訪問(wèn)違反了安全規(guī)則，該訪問(wèn)就會(huì)被拒絕，記錄并報(bào)告有關(guān)狀態(tài)信息。7、NAT技術(shù)的工作原理P.121答:網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Tran slation , NAT ,這是一個(gè) In ternet 工程任 務(wù)組（Internet Engineering Task Force ,IETF的標(biāo)準(zhǔn),允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用 IP 地址出現(xiàn)在互聯(lián)網(wǎng)上,這是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技 術(shù)。NAT就是在局域網(wǎng)內(nèi)

27、部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行 通信時(shí),就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)上正常使用。 NAT可以使多臺(tái)計(jì)算機(jī)共享互聯(lián)網(wǎng)連接，這一功能很好地解決了公共IP地址緊缺 的問(wèn)題。通過(guò)這種方法，可以只申請(qǐng)一個(gè)合法IP地址,就把整個(gè)局域網(wǎng)中的計(jì)算機(jī) 接入互聯(lián)網(wǎng)中。這時(shí),NAT屏蔽了內(nèi)部網(wǎng) 絡(luò)，所有內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來(lái) 說(shuō)是不可見的，而內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)用戶通常不會(huì)意 識(shí)到NAT的存在。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備 中。8個(gè)人防火墻的主要功能P.135答:IP數(shù)據(jù)包過(guò)濾功能 安全規(guī)劃的修訂功能 對(duì)特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功

28、能 應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)控制功能 網(wǎng)絡(luò)快速切斷/恢復(fù)功能 日志記錄功能 網(wǎng)絡(luò)攻擊的報(bào)警功能 產(chǎn)品自身安全功能三、應(yīng)用防火墻的典型應(yīng)用P.128附：從工作原理角度看，防火墻主要可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩 類防火墻的具體實(shí)現(xiàn)技術(shù)主要有包過(guò)濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測(cè)技術(shù)和 NAT技術(shù)等。第5章入侵檢測(cè)技術(shù)一、識(shí)記1、入侵檢測(cè)的原理P.148答:入侵檢測(cè)是用于檢測(cè)任何損害或者企圖損害系統(tǒng)的保密性、完整性或可用 性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手 段。所謂入侵檢測(cè)系統(tǒng)，就是執(zhí)行入

29、侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品。入侵檢測(cè)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法，其應(yīng)用前 提是:入侵行為和合法行為是可區(qū)分的，也即可以通過(guò)提取行為的模式特征來(lái)判斷該 行為的性質(zhì)。入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題：一是如何充分并可靠地提取描述行 為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。2、入侵檢測(cè)的系統(tǒng)結(jié)構(gòu)組成 P.149答:根據(jù)任務(wù)屬性的不同，入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)可分為兩個(gè)部分：中心檢測(cè)平 臺(tái)和代理服務(wù)器。3、入侵檢測(cè)系統(tǒng)的分類P.149答:(1基于數(shù)據(jù)源的分類：基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入 侵檢測(cè)系統(tǒng)及文件完整性檢查系統(tǒng)。(2基于檢測(cè)理論的分類

30、：異常檢測(cè)和誤用檢測(cè)。(3基于檢測(cè)時(shí)效的分類：在線檢測(cè)和離線檢測(cè)。4、 分布式入侵檢測(cè)的優(yōu)勢(shì)和技術(shù)難點(diǎn)P.163答:分布式入侵檢測(cè)的優(yōu)勢(shì)檢測(cè)大范圍的攻擊行為；提高檢測(cè)的準(zhǔn)確度：提高檢測(cè)效率；協(xié)調(diào)響應(yīng)措 施。分布式入侵檢測(cè)的技術(shù)難點(diǎn) 事件產(chǎn)生及存儲(chǔ)；狀態(tài)空間管理及規(guī)則復(fù)雜度；知識(shí)庫(kù)管理；推理技術(shù)。5、入侵檢測(cè)系統(tǒng)的主要標(biāo)準(zhǔn)的名稱答:IETF/IDWG。IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)消息交換格式 (IDMEF、入侵檢測(cè)交換協(xié)議(IDXP及隧道輪廓(Tunnel Profile ； CIDF。CIDF的工作集中體現(xiàn)在四個(gè)方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描 述語(yǔ)言和應(yīng)用編程接口 API。二、領(lǐng)

31、會(huì)1、入侵檢測(cè)系統(tǒng)的分析模型P.152答:分析是入侵檢測(cè)的核心功能。入侵檢測(cè)分析處理過(guò)程可分為三個(gè)階段 第一階段主要進(jìn)行分析引擎的構(gòu)造，分析引擎是執(zhí)行預(yù)處理、分類和后處理的核心功能； 第二階段，入侵分析主要進(jìn)行現(xiàn)場(chǎng)實(shí)際事件流的分析，在這個(gè)階段分析器通過(guò) 分析現(xiàn)場(chǎng)的實(shí)際數(shù)據(jù)，識(shí)別出入侵及其他重要的活動(dòng)； 第三階段，與反饋和提煉過(guò)程相聯(lián)系的功能是分析引擎的維護(hù)及其他如規(guī)劃 集提煉等功能。誤用檢測(cè)在這個(gè)階段的活動(dòng)主要體現(xiàn)在基于新攻擊信息對(duì)特征數(shù) 據(jù)庫(kù)進(jìn)行更新，與此同時(shí),一些誤用檢測(cè)引擎還對(duì)系統(tǒng)進(jìn)行優(yōu)化工作，如定期刪除無(wú)用 記錄等。對(duì)于異常檢測(cè)，歷史統(tǒng)計(jì)特征輪廓的定時(shí)更新是反饋和提煉階段的主要工 作。

32、2、誤用檢測(cè)和異常檢測(cè)的基本原理 P.1531563、CIDF體系結(jié)構(gòu)組成P.169答:CIDF指公共入侵檢測(cè)框架。CIDF在IDES和NIDES的基礎(chǔ)上提出了一個(gè) 通用模型,將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件，事件產(chǎn)生器、事件分析器、響應(yīng)單元 和事件數(shù)據(jù)庫(kù)。在該模型中,事件產(chǎn)生器、事件分析器和響應(yīng)單元通常以應(yīng)用程序 的形式出現(xiàn)，而事件 數(shù)據(jù)庫(kù)則是以文件或數(shù)據(jù)流的形式。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò) 中的數(shù)據(jù)包，也可以是從系統(tǒng)日志或其他途徑得到的 信息。以上四個(gè)組件只是邏輯實(shí)體，一個(gè)組件可能是某臺(tái)計(jì)算機(jī)上的一個(gè)進(jìn)程甚至線 程，也可能是多個(gè)計(jì)算機(jī)上的多個(gè)進(jìn)程，它們以GIDO

33、（統(tǒng)一入侵檢測(cè)對(duì)象格式進(jìn)行 數(shù)據(jù)交換。第6章網(wǎng)絡(luò)安全檢測(cè)技術(shù)、識(shí)記1、安全威脅的概念P.181答:安全威脅是指所有能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)信息的機(jī) 密性、可 用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。2、安全漏洞的概念P.182答:安全漏洞是在硬件、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。3、端口掃描的基本原理P.184答:端口掃描的原理是向目標(biāo)主機(jī)的 TCP/IP端口發(fā)送探測(cè)數(shù)據(jù)包,并記錄目標(biāo) 主機(jī)的響 應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷端口是打開還是關(guān)閉等狀態(tài)信息。根據(jù)所使用 通信協(xié)議的不同網(wǎng)絡(luò)通信端口可以分為TCP端口和U

34、DP端口兩大類,因此端口掃 描技術(shù)也可以相應(yīng)地分為TCP端口掃描技術(shù)和UDP端口掃描技術(shù)。二、領(lǐng)會(huì)1、 網(wǎng)絡(luò)安全漏洞威脅等級(jí)的劃分方法P.1812、網(wǎng)絡(luò)安全漏洞的分類方法 P.182答:漏洞的分類方法主要有按漏洞可能對(duì)系統(tǒng)造成的直接威脅分類；按漏洞的成因分類兩大類。3、操作系統(tǒng)類型探測(cè)的主要方法 P.185答:由于操作系統(tǒng)的漏洞信息總是與操作系統(tǒng)的類型和版本相聯(lián)系的，因此操作 系統(tǒng)類型信息是網(wǎng)絡(luò)安全檢測(cè)的一個(gè)重要內(nèi)容。操作系統(tǒng)探測(cè)技術(shù)主要包括：獲取標(biāo)識(shí)信息探測(cè)技術(shù) 基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測(cè)技術(shù) ICMP響應(yīng)分析探測(cè)技術(shù)。4、信息型漏洞探測(cè)和攻擊型漏洞探測(cè)技術(shù)的原理P.186答：

35、(1信息型漏洞探測(cè)原理：大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀態(tài)直接相關(guān),因此只要對(duì)目標(biāo)的此類信息進(jìn)行準(zhǔn)確探測(cè)就可以在很大程度上確定目標(biāo)存在的安全漏洞。該技術(shù)具有實(shí)現(xiàn)方便、對(duì)目標(biāo)不產(chǎn)生破壞性影響的特點(diǎn) ，廣泛應(yīng)用于各 類網(wǎng)絡(luò)安全漏洞掃描軟件中。其不足之處是對(duì)于具體某個(gè)漏洞存在與否，難以做出 確定性的結(jié)論。這主要是因?yàn)樵?技術(shù)在本質(zhì)上是一種間接探測(cè)技術(shù)，探測(cè)過(guò)程中某 些不確定因素的影響無(wú)法完全消除。 為提高漏洞探測(cè)的準(zhǔn)確率和效率，引進(jìn)如下兩 種改進(jìn)措施：順序掃描技術(shù)，可以將收集到的漏洞和信息用于另一個(gè)掃描過(guò)程以進(jìn)行更深層次的掃描一一即以并行方式收集漏洞信息，然后在多個(gè)組件之間共享這些信息。多重服務(wù)

36、檢測(cè)技術(shù)，即不按照RFC所指定的端口號(hào)來(lái)區(qū)分目標(biāo)主機(jī)所運(yùn)行的服 務(wù),而是按照服務(wù)本身的真實(shí)響應(yīng)來(lái)識(shí)別服務(wù)類型。(2攻擊型漏洞探測(cè)原理：模擬攻擊是最直接的漏洞探測(cè)技術(shù)，其探測(cè)結(jié)果的準(zhǔn)確 率也是最高的。該探測(cè)技術(shù)的主要思想是模擬網(wǎng)絡(luò)入侵的一般過(guò)程 ，對(duì)目標(biāo)系統(tǒng)進(jìn) 行無(wú)惡意攻擊嘗試，若攻擊成功則表明相應(yīng)安全漏洞必然存在。模擬攻擊技術(shù)也有其局限性，首先，模擬攻擊行為難以做到面面俱到，因此就有可 能存在一些漏洞無(wú)法探測(cè)到；其次,模擬攻擊過(guò)程不可能做到完全沒(méi)有破壞性，對(duì)目 標(biāo)系統(tǒng)不可 避免地會(huì)帶來(lái)一定的負(fù)面影響。模擬攻擊主要通過(guò)專用攻擊腳本語(yǔ)言、通用程序設(shè)計(jì)語(yǔ)言和成形的攻擊工具來(lái) 進(jìn)行。附:按照網(wǎng)絡(luò)安全漏

37、洞的可利用方式來(lái)劃分，漏洞探測(cè)技術(shù)可以分為信息型漏洞 探測(cè)和 攻擊型漏洞探測(cè)。P.186按照漏洞探測(cè)的技術(shù)特征，又可以劃分為基于應(yīng)用的探測(cè)技術(shù)、基于主機(jī)的探測(cè)技術(shù)、基于目標(biāo)的探測(cè)技術(shù)和基于網(wǎng)絡(luò)的探測(cè)技術(shù)等。P.186第7章計(jì)算機(jī)病毒與惡意代碼一、識(shí)記1、計(jì)算機(jī)病毒的定義P.199答:計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞 數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2、計(jì)算機(jī)病毒的主要危害P.202答:直接破壞計(jì)算機(jī)數(shù)據(jù)信息；占用磁盤空間和對(duì)信息的破壞；搶占系統(tǒng)資 源；影響計(jì)算機(jī)運(yùn)行速度；計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害：計(jì)算機(jī)病毒的 兼容性對(duì)系統(tǒng)運(yùn)

38、行的影響；給用戶造成嚴(yán)重的心理壓力。3、計(jì)算機(jī)病毒的防范手段P.216答:特征代碼法；檢驗(yàn)和法；行為監(jiān)測(cè)法：軟件模擬法。4、惡意代碼的特征與分類 P.222答:惡意的目的；本身是程序：通過(guò)執(zhí)行發(fā)生作用。5、惡意代碼的防范措施P.228答:及時(shí)更新系統(tǒng)，修補(bǔ)安全漏洞：設(shè)置安全策略，限制腳本程序的運(yùn)行；啟 用防火墻，過(guò)濾不必要的服務(wù)和系統(tǒng)信息；養(yǎng)成良好的上網(wǎng)習(xí)慣。二、領(lǐng)會(huì)1、計(jì)算機(jī)病毒的特征P.201答:根據(jù)計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，計(jì)算機(jī)病毒一般具有以下 特征:非授權(quán)可執(zhí)行性：隱蔽性;傳染性;潛伏性;表現(xiàn)性或破壞性；可觸發(fā) 性。2、計(jì)算機(jī)病毒的分類P.208答:計(jì)算機(jī)病毒的分類有：

39、(1按照病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒；攻擊Windows系統(tǒng)的病毒；攻擊UNIX系統(tǒng)的病 毒；攻擊OS/2系統(tǒng)的病毒。(2按照病毒的攻擊機(jī)型分類攻擊微型計(jì)算機(jī)的病毒；攻擊小型機(jī)的計(jì)算機(jī)病毒；攻擊工作站的計(jì)算機(jī) 病毒。(3按照病毒的鏈接方式分類源碼型病毒；嵌入型病毒；外殼型病毒;操作系統(tǒng)型病毒。(4按照病毒的破壞情況分類良性計(jì)算機(jī)病毒；惡性計(jì)算機(jī)病毒。(5按照病毒的寄生方式分類引導(dǎo)型病毒；文件型病毒：復(fù)合型病毒。(6按照病毒的傳播媒介分類單機(jī)病毒；網(wǎng)絡(luò)病毒。3、常用計(jì)算機(jī)病毒檢測(cè)手段的基本原理 P.216答:(1特征代碼法。實(shí)現(xiàn)步驟：采集已知病毒樣本；在病毒樣本中，抽取特征 代碼。打開

40、被檢測(cè)文件，在文件中搜索，檢查文件中是否有病毒數(shù)據(jù)庫(kù)中的病毒特 征代碼。特征代碼法的特點(diǎn)：速度慢;誤報(bào)警率低;不能檢查多形性病毒；不 能對(duì)付隱蔽性病毒。(2檢驗(yàn)和法。將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該檢驗(yàn)和寫入文件中或?qū)懭?別的文件中保存。在文件使用過(guò)程中，定期地或每次使用前，檢查文件現(xiàn)在內(nèi)容算出 的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法稱為 校驗(yàn)和法，這既可 以發(fā)現(xiàn)已知病毒，又可以發(fā)現(xiàn)未知病毒。(3行為監(jiān)測(cè)法。利用病毒特有行為特征來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。 通過(guò)對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正 常程序中，這些行為比

41、較罕見。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立 即報(bào)警。(4軟件模擬法。多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒 代碼相互比 較,也無(wú)法找出相同的可能用為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以 檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢啦《镜姆N類，難于進(jìn)行消毒處理。軟件模擬法可以檢測(cè)多態(tài)性病毒，這是一種軟件分析器，用軟件方法來(lái)模擬和分 析程序的運(yùn)行。新型檢測(cè)工具納入了軟件模擬法，該類工具開始運(yùn)行時(shí)，使用特征代 碼法檢測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒的運(yùn)行，待

42、 病毒自身 的密碼譯碼后，再運(yùn)行特征代碼法來(lái)識(shí)別病毒的種類。4、惡意代碼的關(guān)鍵技術(shù) P.222答:惡意代碼的主要關(guān)鍵技術(shù)有 生存技術(shù)。主要包括4個(gè)方面:反跟蹤技術(shù)、加密技術(shù)、模糊變換技術(shù)和自 動(dòng)生產(chǎn)技術(shù)。 攻擊技術(shù)。常見攻擊技術(shù)包括：進(jìn)程注入技術(shù)、三線程技術(shù)、端口復(fù)用技 術(shù)、對(duì)抗檢 測(cè)技術(shù)、端口反向連接技術(shù)和緩沖區(qū)溢出攻擊技術(shù)等。 隱藏技術(shù)。隱藏技術(shù)通常包括本地隱藏和通信隱藏。本地隱藏主要有文件隱 藏、進(jìn)程 隱藏、網(wǎng)絡(luò)連接隱藏和內(nèi)核模塊隱藏等；通信隱藏主要包括通信內(nèi)容隱藏 和傳輸通道隱藏。第8章網(wǎng)絡(luò)安全解決方案一、識(shí)記1、計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)遵循的基本原則 P.235答:需求、風(fēng)險(xiǎn)、代價(jià)平衡分析

43、的原則：綜合性、整體性原則；一致性原 則;易操作性原則；適應(yīng)性、靈活性原則；多重保護(hù)原則；2、網(wǎng)絡(luò)安全體系的主要內(nèi)容 P.233答:網(wǎng)絡(luò)安全體系結(jié)構(gòu)是對(duì)網(wǎng)絡(luò)信息安全基本問(wèn)題的應(yīng)對(duì)措施的集合，通常由保 護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等手段構(gòu)成。保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)涵蓋了對(duì)現(xiàn)代網(wǎng)絡(luò)信息系統(tǒng)保護(hù)的各個(gè)方面，構(gòu)成了一個(gè)完整的體系，使網(wǎng)絡(luò)信息安全建筑在更堅(jiān)實(shí)的基礎(chǔ)上。四個(gè)概念之間存在著一 定的因果和依存關(guān) 系,形成一個(gè)整體。如果全面的保護(hù)仍然不能確保安全 ，就需要檢 測(cè)來(lái)為響應(yīng)創(chuàng)造條件；有效與充分地響應(yīng)安全事件，將大大減少對(duì)保護(hù)和恢復(fù)的依賴 恢復(fù)能力是在其他措施均失效的情形下的最后保障機(jī)制。可以看出，計(jì)算機(jī)網(wǎng)絡(luò)

44、的安全保護(hù)是一個(gè)涉及多個(gè)層面的系統(tǒng)工程，必須全面、協(xié)調(diào)地 應(yīng)用多種技術(shù)才能達(dá)到有效保護(hù)的目的3、網(wǎng)絡(luò)安全解決方案的基本概念 P.236答:一份好的網(wǎng)絡(luò)安全解決方案，不僅要考慮技術(shù)，還要考慮策略和管理。三者的 關(guān)系是，技術(shù)是關(guān)鍵，策略是核心,管理是保證。二、領(lǐng)會(huì)1、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)”的含義P.234答:保護(hù)（Protect :保護(hù)包括傳統(tǒng)安全概念的繼承，用加解密技術(shù)、訪問(wèn)控制技 術(shù)、數(shù)字簽名技術(shù)，從信息動(dòng)態(tài)流動(dòng)、數(shù)據(jù)靜態(tài)存儲(chǔ)和經(jīng)授權(quán)方可使用，以及可驗(yàn)證 的信息交換過(guò)程等多方面對(duì)數(shù)據(jù)及其網(wǎng)上操作加以保護(hù)。檢測(cè)（Detect :檢測(cè)的含義是對(duì)信息傳輸?shù)膬?nèi)容的可控性的檢測(cè)，對(duì)信息平臺(tái)訪問(wèn) 過(guò)程的檢測(cè),對(duì)違規(guī)與惡意攻擊的檢測(cè)，對(duì)系統(tǒng)與網(wǎng)絡(luò)弱點(diǎn)與漏洞的檢測(cè)等。響應(yīng)（React在復(fù)雜的信息環(huán)境中，保證在任何時(shí)候信息平臺(tái)能高效正常運(yùn)行，要 求安全體系提供有力的響應(yīng)機(jī)制，包括在遇到攻擊和緊急事件時(shí)能及時(shí)采取措施。恢復(fù)（Restore狹義的恢復(fù)指災(zāi)難恢復(fù)，在系統(tǒng)受到攻擊的時(shí)候，評(píng)估系統(tǒng)受到的 危害與損失,按緊急響應(yīng)預(yù)案進(jìn)行數(shù)據(jù)與系統(tǒng)恢復(fù)，啟動(dòng)備份系統(tǒng)恢復(fù)工作等。廣義 的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究。保證信息系統(tǒng)在惡劣的條件下，甚至在遭到惡意攻擊的條件下，仍能有效地發(fā)揮效能。2、網(wǎng)絡(luò)安全解決方案應(yīng)包括的主要內(nèi)容 P.238答:一份完整的網(wǎng)絡(luò)解決方案