系統(tǒng)管理與維護終版

1、1.密碼系統(tǒng)包括以下四個方面：明文空間、密文空間、密碼算法、密鑰空間2.解密算法D是加密算法E的逆運算3.常規(guī)密鑰體質(zhì)又稱為 對稱密鑰密碼體質(zhì)， 是在公開密鑰密碼體質(zhì)以前使用的密碼體制4.如果加密密鑰和解密密鑰 相同，這種密碼體制稱為對稱密碼體制5.DES算法密鑰是64位，其中密鑰有效位是56位6.RSA算法的安全是基于 分解兩個大素數(shù)的積 的困難7.公開密鑰加密算法的用途主要包括兩個方面 ：密鑰分配、數(shù)字簽名8.消息認(rèn)證是 驗證信息的完整性， 級驗證數(shù)據(jù)在傳送和存儲過程中是否被篡改、重放或延遲等9.MAC函數(shù)類似于加密，它于加密的區(qū)別是MAC函數(shù)不可逆10.HASH函數(shù)是可接受 變長 數(shù)據(jù)輸

2、入，并生成 定長 數(shù)據(jù)輸出的函數(shù)1.系統(tǒng)管理包括哪些基本內(nèi)容1) 系統(tǒng)監(jiān)控、配置和操作管理2) 事件關(guān)聯(lián)和自動化處理3) 最大限度保障應(yīng)用業(yè)務(wù)的可用性和連續(xù)性功能有效性：有效性驗證、一致性驗證、配置管理、操作行為安全審計性能管理指的是優(yōu)化網(wǎng)絡(luò)以及聯(lián)網(wǎng)的應(yīng)用系統(tǒng)性能的活動，包括對網(wǎng)絡(luò)以及應(yīng)用的檢測、及時發(fā)現(xiàn)網(wǎng)絡(luò)堵塞或中斷情況、全面的故障排除、基于事實的容量規(guī)劃和有效地分配網(wǎng)絡(luò)資源。2.信息安全的定義是什么？ISO給出的信息安全為定義：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護。保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞，更改、顯露”?；驹瓌t是：機密性，完整性，可用性1) 機密

3、性是指保證信息與信息系統(tǒng)不被非權(quán)限者所獲取與使用，主要保障技術(shù)是密碼技術(shù)。2) 完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，主要保障技術(shù)是校驗與認(rèn)證技術(shù)。3) 可用性是指信息與信息系統(tǒng)可被授權(quán)人正常使用，主要保障技術(shù)是數(shù)據(jù)摘要和數(shù)字簽名技術(shù)。3.簡述主動攻擊與被動攻擊的特點，并列舉主動攻擊與被動攻擊現(xiàn)象？主動攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計算機病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實性、完整性及系統(tǒng)服務(wù)的可用性，即通過中斷、偽造，篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運行。被動攻擊是攻擊者非常截獲、竊取通信線路中的信息，是信息保密性遭到破壞，信息泄露而無法察覺，給用戶

4、帶來損失。列舉：主動攻擊：假冒，重放，改寫消息，拒絕服務(wù)；被動攻擊：消息內(nèi)容泄露，流量分析4.什么是序列密鑰和分組密碼1) 序列密碼是流密碼（stream cipher)，加密和解密每次只處理一個符號（如一個字符或一個比特）。加密規(guī)則不依賴于明文流中的明文字符的位置。則稱為單碼代換密碼；否則稱為多碼代換密碼。常見算法有Vernam。2) 分組密碼。（block cipher)將明文分成固定長度的組。用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。 常見算法有DES，IDEA，RC6。5.什么是MD5算法MD消息摘要算法是由Rivest提出，是當(dāng)前最為普遍的Hash算法，MD5是第5個版本

5、，該算法以一個任意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理。通過比較信息在傳輸前后的MD5輸出值，可確認(rèn)信息內(nèi)容的完整性和一致性。6.請解釋5種“非法訪問“攻擊方式的含義1) 口令破解攻擊者可以通過獲取口令文件然后運用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可以通過猜測或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2) IP欺騙攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標(biāo)主機的信任，這主要針對Linux UNIX下建立起IP地址信任關(guān)系和主機實施欺騙。這也是黑客入侵中真正攻擊方

6、式一種。3) DNS欺騙當(dāng)DNS服務(wù)器向另一個DNS服務(wù)器發(fā)送某個解析請求（由域名解析出IP地址）時，因為不進(jìn)行身份驗證，這樣黑客就可以冒充被請求方，向請求方返回一個被篡改了的應(yīng)答（IP地址），將用戶引向黑客設(shè)定的主機。這也是黑客入侵中真正攻擊方式的一種。4) 重放（Replay）攻擊在消息沒有時間戳情況下，攻擊者利用身份認(rèn)證機制中的漏洞先把別人有用的消息記錄下來，過一段時間后再發(fā)送出去。5) 特洛伊木馬（Trojan Horse）把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽某個不

7、常用的端口，假冒登陸界面獲取帳號和口令等）。7.列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)鑒別、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性、抗否認(rèn)1) 鑒別:用于鑒別實體的身份和對身份的證實，包括對等實體鑒別和數(shù)據(jù)原發(fā)鑒別兩種2) 訪問控制：提供對越權(quán)使用資源的防御措施3) 數(shù)據(jù)機密性針對信息泄露而采取的防御措施。分為連接機密性、無連接機密性、選擇字段機密性、通信業(yè)務(wù)流機密性四種4) 數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等，分為帶恢復(fù)到連接完整性、無恢復(fù)到連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。5) 抗否認(rèn)是針對對方否認(rèn)的防御措施，用來證實發(fā)生過

8、的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的看否認(rèn)兩種。8.了解ISO/OSI種定義的8種特定的安全機制以及各種安全機制和安全服務(wù)的關(guān)系安全服務(wù)可以單個使用，也可以組合起來使用，上述的安全服務(wù)可以借助以以下的安全機制來實現(xiàn)：1.加密機制：借助各種加密算法對存儲和傳輸?shù)臄?shù)據(jù)進(jìn)行加密2.數(shù)字簽名：使用私鑰簽名，公鑰進(jìn)行證實；3.訪問控制機制：根據(jù)訪問者的身份和有關(guān)信息，決定實體的范圍權(quán)限4.數(shù)據(jù)完整性機制：判斷信息在傳輸過程中是否被篡改過5.鑒別交換機制：用來實現(xiàn)對等實體的鑒別6.通信業(yè)務(wù)填充機制：通過填充冗余的業(yè)務(wù)流量來防止攻擊者對流量進(jìn)行分析7.路由選擇控制機制：防止不利的信息通過路由，使

9、用如網(wǎng)絡(luò)層防火墻8.公鑰機制：由第三方參與數(shù)字簽名，它基于通信雙方對第三方都絕對相信。9.數(shù)字簽名的作用當(dāng)通信雙方發(fā)生了下列情況時，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端1) 否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報文2) 偽造，接收方自己依靠一份報文，并聲稱它來自發(fā)送方3) 冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送報文4) 篡改，接收方對收到的信息進(jìn)行篡改10.請說明數(shù)字簽名的主要流程（1） 采用算法對原始報文進(jìn)行運算，得到一個固定長度的數(shù)字串，稱為報文摘要，不同的報文所行到的報文摘要各異，但對相同的報文它的報文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原

10、先的值不相符，這樣就保證了報文的不可更改性。（2） 發(fā)送方用自己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名。（3） 這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方（4） 接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要，再用發(fā)送方的分開密鑰對報文附件的數(shù)字簽名進(jìn)行解密，比較兩個報文摘要，如果值相同，接收方就能確認(rèn)該簽名是發(fā)送方的，否則就認(rèn)為收到的報文是依靠的或者中途篡改。11.單機狀態(tài)下驗證用戶身份的三種因素是什么？（1） 用戶所知道的東西：如口令、密碼（2） 用戶所擁有的東西：如智能卡，身份證（3） 用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等12.散列函數(shù)的基本性質(zhì)H

11、能用于任何長度的數(shù)據(jù)分組；H產(chǎn)生定長的輸出；對任何給定的x，H(x)要相對容易計算；對任何給定的碼h，尋找z使得H(x)=h 在計算上 是不可行的，稱為單向性；對任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計算上是不可行的，稱為弱抗沖突（Weak Collision Resistance）；尋找對任何的(x,y)對，使得H(y)=H(x)在計算上是不可行的，稱為強抗沖突（Strong Collision Resistance）。13.Kerberos鑒別過程1) 用戶登錄工作站請求主機服務(wù)2) AS在數(shù)據(jù)庫中驗證用戶的訪問權(quán)限，生成票據(jù)許可票據(jù)和合適密鑰，采用用戶口令推導(dǎo)出的密

12、鑰進(jìn)行加密。3) 工作站提示用戶輸入口令收到的報文進(jìn)行解密，然后將票據(jù)許可票據(jù)和包含用戶名 網(wǎng)絡(luò)地址和時間戳的鑒別符發(fā)往TGS。4) TGS對票據(jù)和鑒別符進(jìn)行解密，驗證請求，然后生成請求服務(wù)許可票據(jù)。5) 工作站將票據(jù)和鑒別符發(fā)給服務(wù)器。6) 服務(wù)器驗證票據(jù)和鑒別符的匹配情況，然后許可訪問服務(wù)，如果需要雙向鑒別，服務(wù)器返回一個鑒別符。14.WEB安全威脅威脅后果對策完整性用戶數(shù)據(jù)修改丟失小席設(shè)備受損其他威脅的漏洞密碼校驗和瀏覽器被惡意木馬侵入更改存儲更改傳輸中的消息流量機密性網(wǎng)上竊聽信息丟失機密性丟失傳輸加密Web 代理從服務(wù)器竊取信息網(wǎng)絡(luò)配置信息關(guān)于特定用戶與服務(wù)會話信息拒絕服務(wù)殺死用戶線程

13、斷網(wǎng)難以防范虛假請求耗盡可用資源網(wǎng)絡(luò)阻塞用無意義信息填滿磁盤或內(nèi)存阻止用戶正常應(yīng)用用DNS攻擊孤立機器認(rèn)證假冒合法用戶假冒用戶身份鑒別技術(shù)加密技術(shù)偽造數(shù)據(jù)使虛假信息得以確認(rèn)15.SSL握手過程1) 客戶端通過SSL協(xié)議把服務(wù)器需要的客戶端的SSL版本信息，加密算法設(shè)置，會話數(shù)據(jù)，發(fā)送給服務(wù)器。2) 服務(wù)器通過SSL協(xié)議把自己的SSL的版本信息，加密算法設(shè)置，會話數(shù)據(jù)和其他通信需要的信息發(fā)給客戶端。服務(wù)器也把服務(wù)器的證書發(fā)給客戶端，另外如果客戶端請求服務(wù)器資源需要客戶端認(rèn)證，服務(wù)器端就會請求客戶端的證書。3) 客戶端使用這些服務(wù)器發(fā)來的信息認(rèn)證服務(wù)器（詳情見認(rèn)證細(xì)節(jié)）。如果服務(wù)器不能被認(rèn)證，那么

14、客戶將被提示一個警告，并且通知客戶不能建立加密和認(rèn)證連接。如果服務(wù)器被成功認(rèn)證，客戶端將進(jìn)入第四步。4) 使用到目前為止的所有數(shù)據(jù)生成握手過程。客戶端(和服務(wù)器合作之下)為會話創(chuàng)建一個pre-master secret(一個用在對稱加密密鑰生成中的 46 字節(jié)的隨機數(shù)字)。使用服務(wù)器的公共密鑰加密（在第二部的服務(wù)器的證書中獲得公共密鑰），然后把這個加了密的pre-master secret發(fā)送給服務(wù)器。5) 如果服務(wù)器請求客戶端認(rèn)證（在握手過程是可選項），客戶端也需要標(biāo)記一個特殊的數(shù)據(jù)包，客戶端和服務(wù)器都知道的。在這個過程中，客戶端發(fā)送一個通過pre-master secret加密過的標(biāo)記的數(shù)

15、據(jù)包和客戶端自己的證書給服務(wù)器。6) 如果服務(wù)器請求了客戶端的認(rèn)證，那么服務(wù)器就要嘗試去認(rèn)證客戶端。（具體的看客戶端認(rèn)證細(xì)節(jié)）如果客戶端認(rèn)證不通過，會話將被終止。如果客戶端被認(rèn)證通過，服務(wù)器將使用私有密鑰解密pre-master secret，然后執(zhí)行一系列步驟生成master secret7) 客戶端和服務(wù)器端使用master secret去生成會話密鑰。會話密碼是在ssl 會話的時候?qū)ΨQ密鑰被用來加密，解密信息校驗信息完整性的密鑰。（檢查會話過程中任何數(shù)據(jù)改變）8) 客戶端發(fā)送一個信息給服務(wù)器端，通知服務(wù)器端未來的信息將被會話密碼加密，然后客戶端發(fā)送一個單獨（加密）信息指示客戶端部分的握手

16、會話已經(jīng)完成。9) 服務(wù)器發(fā)送一個信息通知客戶端未來的會話信息將被會話密碼加密，然后服務(wù)器發(fā)送一個單獨（加密）信息指示服務(wù)器部分的握手部分已經(jīng)完成10) SSL握手結(jié)束，開始正式會話。客戶端和服務(wù)器端使用對稱會話密鑰加密解密數(shù)據(jù)并且互相傳送校驗完整性。11) 這是一個正常的操作過程和加密隧道。在任何時候，當(dāng)內(nèi)部或者外部觸發(fā)條件（不是自動就是用戶手動），任何一端就要從新協(xié)商會話，所有的流程將從新開始。16.IPSec包含了哪三個重要的方面？（1） AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。數(shù)據(jù)完整性驗證通過哈希函數(shù)（如MD5）產(chǎn)生的校驗來保證；數(shù)據(jù)源身

17、份認(rèn)證通過在計算驗證碼時加入一個共享密鑰來實現(xiàn)，AH報頭中的序列號可以防止重放攻擊。（2） ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對一個IP包進(jìn)行加密（整個IP包或其載荷部分），一般用于客戶端計算機；數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對整個IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。AH和ESP可以單獨使用，也可以嵌套使用?？梢栽趦膳_主機、兩臺安全網(wǎng)關(guān)（防火墻和路由器），可者主機與安全網(wǎng)關(guān)之間使用。（3） IKE負(fù)責(zé)密鑰管理，定義了通信實體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成的會話

18、密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時使用。解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識符。17.述IPSEC的兩種運行模式的性質(zhì)和不同？1. 傳輸模式要保護的內(nèi)容是IP包的載荷，可能是TCP/UDP/ICMP等協(xié)議，還可能是AH/ESP協(xié)議（嵌套）。傳輸模式為上層協(xié)議提供安全保護，通常情況下，傳輸模式只適用于兩臺主機之間的安全通信。正常情況下，傳輸層數(shù)據(jù)包在IP中添加一個IP頭部構(gòu)成IP包。啟用IPSec之后，IPSec會在傳輸層數(shù)據(jù)前面增加AH/ESP或二者，構(gòu)成一個AH/ESP數(shù)據(jù)包，然后再添加IP善組成新的IP包。2. 隧道模

19、式保護的內(nèi)容是整個原始IP包，為IP協(xié)議提供安全保護。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)，就必須使用隧道模式。路由器對需要進(jìn)行IPSec保護的原始IP包看作一個整體，作為要保護的內(nèi)容，前面加上AH/ESP頭部，再添加新IP頭部，組成新的IP包。隧道模式的數(shù)據(jù)包有兩個IP頭：內(nèi)部頭由路由器背后的主機創(chuàng)建，外部頭由提供IPSec的設(shè)備（主機/路由器）創(chuàng)建。通信終點同受保護的內(nèi)部頭指定，而IPSec終點則由外部頭指定。18.為什么說AH的運行運行模式都不能穿越NAT？在AH傳輸模式中，被AH驗證的區(qū)域是整個IP 包（可變字段除外），包括IP 包頭部，因此源/目的IP 地址是不能修改的，否

20、則會被檢測出來。然而如果該包在傳送過程中經(jīng)過NAT網(wǎng)關(guān)，其源/目的IP 地址將被改變，將造成到達(dá)目的地址后的完整性驗證失敗。因此，AH在傳輸模式下和NAT是沖突的，不能同時使用，或者說AH不能穿越NAT。在AH隧道模式中，AH插入到原始IP頭部字段之前，然后再AH之前增加一個新的IP頭部。AH的驗證范圍也是整個IP包，此時AH也不能穿越NAT。19.AH輸出-輸入處理流程 20.ESP輸出-輸入處理流程（19，20必考一題）21.說明SSL的概念和功能安全套接層協(xié)議SSL主要是使用公開密鑰體制和X509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，但它不能保證信息的不可抵賴性，主要適用于點對點之間

21、的信息傳輸。它是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL通過在瀏覽器軟件和Web服務(wù)器之間建立一條安全通道，實現(xiàn)信息在Inrernet中傳送的保密性。 在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。這使它可以獨立與應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在SSL之上。SSL協(xié)議包括以下一些子協(xié)。立在可靠地傳輸協(xié)議（例如TCP）上，用來封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法互相鑒別。22.防火墻實現(xiàn)的靜態(tài)包過濾和動態(tài)包過濾有什么不

22、同？靜態(tài)包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如FTP、防火墻事先無法知道哪些端口需要打開，就需要將所有可能用到的端口打開，會給安全帶來不必要的隱患。而狀態(tài)檢測通過檢查應(yīng)用程序信息（如FTP德PORT和PASV命令），來判斷此端口是否需要臨時打開，而當(dāng)傳輸結(jié)束時，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。23.列舉防火墻的幾個基本功能隔離不同的網(wǎng)絡(luò)，限制安全問題的擴散，對安全集中管理，簡化了安全管理的復(fù)雜程度。防火墻可以方便地記錄網(wǎng)絡(luò)上各種非法活動，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報警。防火墻可以作為部署NAT的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短

23、缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。防火墻是審計和記錄Internet使用費用的一個最佳地點。防火墻可以作為IPSec的平臺。內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息，只有代理服務(wù)器和先進(jìn)的過濾才能實現(xiàn)。24.防火墻有哪些局限性網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號）。防火墻不能防范來之內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻不能對被病毒感染的程序和文件傳輸提供保護。防火墻不能防范全新的網(wǎng)絡(luò)威脅。當(dāng)使用端到端的加密時，防火墻的作用會受到很大的限制。防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點失效等問題。防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊

24、。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機上，一旦被執(zhí)行就形成攻擊。25.分組過濾防火墻的過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡(luò)層防火墻，因為它是工作在網(wǎng)絡(luò)層。路由器便是一個網(wǎng)絡(luò)層防火墻，因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動態(tài)兩種過濾方式。26.舉出靜態(tài)包過濾的過濾的幾種判斷依據(jù)數(shù)據(jù)包協(xié)議類型TCP、UDP、ICMP、IGMP等。源/目的IP地址。源/目的端口FTP、HTTP、DNS等。IP選項：源路由、記錄路由等。TCP選項：SYN、ACK、FIN、RST等。其他協(xié)議選項ICMP ECH

25、O、ICMP REPLY等。數(shù)據(jù)包流向in或out。數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口eth0、eth1。27.什么是IDS，它有哪些基本功能入侵檢測系統(tǒng)IDS，它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的安全措施。1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補漏洞；3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識別已知的攻擊行為，統(tǒng)計分析異常行為；5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。28.Ids有哪兩類分析方法，并對兩者進(jìn)行比較1. 異常檢測

26、 假定所有入侵行為都是與正常行為不同的，如果建立系統(tǒng)正常行為的軌跡（特征文件Profiles），那么理論上可以通過統(tǒng)計那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)的數(shù)量，來識別入侵企圖，即把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。 這樣根據(jù)各自不同的正常活動建立起來的特征文件，便具有用戶特性。入侵者使用正常用戶的賬號，但其行為并不會與正常用戶的行為相吻合，從而可以被檢測出來。對于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，所以也被稱為基于行為（Behavebased）的檢測。2. 誤

27、用探測（基于知識（Knowledgebased）檢測) 假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。 誤用檢測系統(tǒng)的關(guān)鍵問題是如何從已經(jīng)入侵中提取和編寫特征，使得其能夠覆蓋該入侵的所有可能的變種，而同時不會匹配到非入侵活動（把真正入侵與正常行為區(qū)分開來）。29.SNMP5個功能域1 配置管理（收集和傳播有關(guān)資源當(dāng)前狀態(tài)的數(shù)據(jù)，設(shè)置和修改與網(wǎng)絡(luò)組件有關(guān)的參數(shù)，啟動和關(guān)閉被管對象，改變網(wǎng)絡(luò)配置）2 失效管理（發(fā)現(xiàn)和報告故

28、障，記錄接受到得事件報告，并進(jìn)行分析處理，安排執(zhí)行診斷測試、失效跟蹤及失效恢復(fù)）3 性能管理（收集和傳播與資源性能的當(dāng)前水平相關(guān)的數(shù)據(jù)，檢查和維護性能記錄，并進(jìn)行分析與規(guī)劃）4 安全管理（保證網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源不被非法使用，保證網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)地訪問）5 計費管理（通知用戶有關(guān)費用，允許對被管理資源的使用設(shè)置計費限制，當(dāng)使用多種資源實現(xiàn)所需通信，可將各種費用綜合）30.分別解釋windows安全子系統(tǒng)包括5個關(guān)鍵的組件（1）安全標(biāo)識符（Security Identifiers）每次當(dāng)我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給該用戶或組一個唯一的SID，當(dāng)你重新安裝系統(tǒng)后，也會得到

29、一個唯一的SID。SID是唯一的，不隨用戶的刪除而分配到另外的用戶使用。SID永遠(yuǎn)都是唯一的，SID是由計算機名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費時間的總和這三個參數(shù)以保證它的唯一性。（2）訪問令牌（Access Tokens）當(dāng)用戶通過驗證后，登錄進(jìn)程會給用戶一個訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證。當(dāng)用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows NT系統(tǒng)，然后Windows NT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當(dāng)?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗證的時候由登錄進(jìn)程所提供的，所以改變用戶的權(quán)限則訪問令牌須要注銷后重新登

30、錄，重新獲取訪問令牌。（3）安全描述符（Security Descriptors）Windows NT系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。（4）訪問控制列表（ Access Control Lists）訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）和系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限、允許或拒絕。每一個用戶或組在任意訪問控制列表中歐冠都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。（5）訪問控制項（Access Control Entries）訪問控制

31、項有兩種：允許訪問和拒絕訪問。拒絕訪問總是優(yōu)先于允許訪問。31.Windows 2000本地登錄過程1.輸入用戶名及密碼然后按回車 Graphical Identifiaction and Authentication (GINA)會收集這些信息。2.GINA傳送這些安全信息給Local Security Authority(LSA)來進(jìn)行驗證。3. The LSA傳遞這些信息給Security Support Provider Interface(SSPI)，SSPI是一個與Kerberos和NTLM通訊的接口服務(wù)。4.SSPI傳遞用戶名及密碼給Kerberos SSP。 Kerberos SSP檢查目的機器是本機還是域名，如果是本機，KERberos返回錯誤信息給SSPI如果找不到KDC，機器生成一個用戶可見的內(nèi)部錯誤5.這個內(nèi)部錯誤出發(fā)SSPI通知GINA,GINA再次傳遞這些安全信息給LSA。LSA再