自考計(jì)算機(jī)網(wǎng)絡(luò)安全課后習(xí)題答案

計(jì)算機(jī)網(wǎng)絡(luò)安全（自學(xué)考試 4751）課后答案計(jì)算機(jī)網(wǎng)絡(luò)面臨的典型威脅竊聽(tīng)、重傳、偽造、篡改、非授權(quán)訪問(wèn)、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁 /射頻截獲、人員疏忽。計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性互聯(lián)網(wǎng)具有不安全性、 操作系統(tǒng)存在安全問(wèn)題、 數(shù)據(jù)的安全問(wèn)題、傳輸線路安全問(wèn)題、網(wǎng)絡(luò)安全管理問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)保密性、完整性、可用性、不可否認(rèn)性、可控性計(jì)算機(jī)網(wǎng)絡(luò)安全層次物理安全、邏輯安全、操作系統(tǒng)安全、聯(lián)網(wǎng)安全PPDR包才PPolicy、ProtectionDetectionResponse四個(gè)部分。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。在整個(gè)安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具和檢測(cè)工具掌握系統(tǒng)的安全狀態(tài)，然后通過(guò)適當(dāng)?shù)捻憫?yīng)將網(wǎng)絡(luò)系統(tǒng)調(diào)整到最安全或風(fēng)險(xiǎn)最低的狀態(tài)，構(gòu)成一個(gè)動(dòng)態(tài)的安全防范體系。網(wǎng)絡(luò)安全技術(shù)包括物理安全措施、數(shù)據(jù)傳輸安全技術(shù)、 內(nèi)外網(wǎng)隔離技術(shù)、入侵檢測(cè)技術(shù)、 訪問(wèn)控制技術(shù)、 審計(jì)技術(shù)、 安全性檢測(cè)技術(shù)、防病毒技術(shù)、備份技術(shù)、終端安全技術(shù)網(wǎng)絡(luò)安全管理的主要內(nèi)容： 網(wǎng)絡(luò)安全管理的法律法規(guī)、 計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)： 物理隔離、邏輯隔離、 防御來(lái)自網(wǎng)絡(luò)的攻擊、防御來(lái)自網(wǎng)絡(luò)的病毒、身份認(rèn)證、加密通信和VPN、入侵檢測(cè)和主動(dòng)防御、網(wǎng)管審計(jì)和取證。物理安全包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全機(jī)房安全要求：場(chǎng)地選擇、防火、內(nèi)部裝修、供配電、空調(diào)、火災(zāi)報(bào)警及消防設(shè)施、防水、防靜電、防雷擊、防鼠害、防電磁泄露。保障通信線路安全的技術(shù)措施： 屏蔽電纜、 高技術(shù)加壓電纜、警報(bào)系統(tǒng)、局域 PBX。防止電磁輻射措施：屏蔽、濾波、隔離、接地信息存儲(chǔ)安全管理：四防垂直放置、嚴(yán)格管理硬盤數(shù)據(jù)、介質(zhì)管理落實(shí)到人、 介質(zhì)備份分別放置、 打印介質(zhì)視同管理、超期數(shù)據(jù)清除、廢棄介質(zhì)銷毀、長(zhǎng)期數(shù)據(jù)轉(zhuǎn)存。密碼學(xué)三個(gè)階段：古代、古典、近代密鑰：參與密碼變換的參數(shù)加密算法：將明文變換為密文的變換函數(shù)明文是作為加密輸入的原始信息、 密文是明文經(jīng)加密變換后的結(jié)果加密體制：?jiǎn)舞€密碼體制、雙鑰密碼體制認(rèn)證技術(shù)可解決消息完整性、 身份認(rèn)證、 消息序號(hào)及時(shí)間，其分層模型：安全管理協(xié)議、認(rèn)證體制、密碼體制常用的數(shù)據(jù)加密方式：鏈路、節(jié)點(diǎn)、端到端PKI:是一個(gè)用公鑰密碼算法原理和技術(shù)來(lái)提供安全服務(wù)的通用型基礎(chǔ)平臺(tái)，用戶可以利用 PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信，其采用的標(biāo)準(zhǔn)密鑰管理規(guī)則能為所有應(yīng)用透明地提供加密和數(shù)據(jù)簽名等服務(wù)所需的密鑰和證書(shū)管理。PKI的特點(diǎn)：節(jié)省費(fèi)用、互操作性、開(kāi)放性、一致的解決方案、可驗(yàn)證性、可選擇性。PKI組成：CA證書(shū)庫(kù)、證書(shū)撤消、密鑰備份和恢復(fù)、自動(dòng)更新密鑰、密鑰歷史檔案、交叉認(rèn)證、時(shí)間戳、客戶端軟件。數(shù)字簽名與消息認(rèn)證的區(qū)別： 消息認(rèn)證可以幫助接收方驗(yàn)證消息發(fā)送者的身份及是否被篡改，對(duì)防止第三者破壞是有效的，但當(dāng)通信雙方存在沖突時(shí)，需采用數(shù)字簽名技術(shù)進(jìn)行更有效的消息認(rèn)證。防火墻：位于被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。防火墻主要功能： 過(guò)濾進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)、 管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為、封堵某些禁止的業(yè)務(wù)、記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)、對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警。防火墻的局限性： 犧牲網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈活性、 只是網(wǎng)安防護(hù)體系的一部分并非萬(wàn)能。防火墻的體系結(jié)構(gòu)：雙重宿主主機(jī)、 屏蔽主機(jī)、屏蔽子網(wǎng)個(gè)人防火墻特點(diǎn)：優(yōu)點(diǎn)：增加保護(hù)級(jí)別， 不需要硬件資源； 可抵擋內(nèi)部攻擊；對(duì)公共網(wǎng)絡(luò)的單個(gè)系統(tǒng)提供保護(hù)， 能為用戶隱蔽暴露在網(wǎng)絡(luò)的信息。缺點(diǎn)：對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口， 使之本身容易受到攻擊；運(yùn)行時(shí)需要占用PC資源；只能對(duì)單機(jī)進(jìn)行保護(hù)。防火墻發(fā)展趨勢(shì)：優(yōu)良的性能、可擴(kuò)展的結(jié)構(gòu)和功能、簡(jiǎn)化的安裝和管理、主動(dòng)過(guò)濾、防病毒和黑客、發(fā)展聯(lián)動(dòng)技術(shù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇， 根據(jù)ACL檢查數(shù)據(jù)流中每個(gè)包的源地址、目的地址、端口、協(xié)議狀態(tài)來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。代理服務(wù)技術(shù)是由代理服務(wù)器代表客戶處理連接請(qǐng)求， 由其核實(shí)客戶請(qǐng)求，用特定的安全化的 Proxy應(yīng)用程序來(lái)處理連接請(qǐng)求后遞交服務(wù)器，在接收服務(wù)器應(yīng)答后，經(jīng)過(guò)進(jìn)一步處理后，交付給客戶。優(yōu)點(diǎn)：安全；缺點(diǎn)速度慢。又稱代理防火墻。狀態(tài)防火墻的特點(diǎn)：高安全性、高效性、 可伸縮和易擴(kuò)展性、應(yīng)用范圍廣。NAT工作原理：在局域網(wǎng)內(nèi)部使用內(nèi)部地址， 當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)通信時(shí)，在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在外網(wǎng)上正常使用。分為靜態(tài) NAT；動(dòng)態(tài)NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT。入侵檢測(cè)原理： 入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性、可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供用效的手段。IDS包括軟硬件產(chǎn)品。入侵檢測(cè)系統(tǒng)構(gòu)成：數(shù)據(jù)提取、入侵分析、響應(yīng)處理、遠(yuǎn)程管理四部分組成。入侵檢測(cè)系統(tǒng)分類： 1、基于數(shù)據(jù)源的分類有主機(jī)、 網(wǎng)絡(luò)、混合、網(wǎng)關(guān)、文件。 2、基于檢測(cè)理論的分類有異常檢測(cè)和誤用檢測(cè)。 3、基于檢測(cè)時(shí)效分為在線式和離線式。分布式IDS優(yōu)勢(shì)和技術(shù)難點(diǎn)：優(yōu)勢(shì)是檢測(cè)大范圍的攻擊行為、提高檢測(cè)的準(zhǔn)確度、提高檢測(cè)效率、協(xié)調(diào)響應(yīng)措施。難點(diǎn)在于事件的產(chǎn)生和存儲(chǔ)、狀態(tài)空間管理和規(guī)則復(fù)雜度、知識(shí)庫(kù)管理、推理技術(shù)。入侵檢測(cè)系統(tǒng)主要標(biāo)準(zhǔn)的名稱： IETF/IDWG、CIDF。入侵檢測(cè)系統(tǒng)的分析模型： 構(gòu)建分析器、 對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和提煉過(guò)程。誤用檢測(cè)和異常檢測(cè)的原理： 誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的，適用于對(duì)已知模式的可行檢測(cè)。異常檢測(cè)根據(jù)用戶行為的特征輪廓（度量集）來(lái)判斷是否合法。CIDF體系結(jié)構(gòu)組成：由事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)組成。IDS研究熱點(diǎn)：神經(jīng)網(wǎng)絡(luò)、免疫學(xué)方法、數(shù)據(jù)挖掘方法、基因算法、基于代理的檢測(cè)。安全威脅是指所有能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)信息的機(jī)密性、可用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素?？煞譃槿藶榛蚍侨藶閮纱箢悺０踩┒词窃谟布?、 軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。端口掃描的基本原理是向目標(biāo)主機(jī)的 TCP/IP端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)，通過(guò)分析響應(yīng)來(lái)判斷端口是打開(kāi)還是關(guān)閉等狀態(tài)信息。 可分為TCP/UDP端口掃描兩種。漏洞威脅的等級(jí)分類：低、中、高嚴(yán)重度。漏洞的分類方法： 按漏洞可能對(duì)系統(tǒng)造成的直接威脅分類和按漏洞的成因分類。網(wǎng)絡(luò)安全檢測(cè)技術(shù)分類： 端口掃描技術(shù)、 操作系統(tǒng)探測(cè)技術(shù)、安全漏洞探測(cè)技術(shù)（分為信息型和攻擊型） 。操作系統(tǒng)類型探測(cè)的主要方法：獲取標(biāo)識(shí)信息探測(cè)技術(shù)、基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測(cè)技術(shù)、 ICMP響應(yīng)分析探測(cè)技術(shù)。信息型漏洞探測(cè)原理是大部分網(wǎng)絡(luò)安全漏洞與特定的目標(biāo)狀態(tài)直接相關(guān)，通過(guò)探測(cè)此類信息即可在很大程度上確定目標(biāo)存在的安全漏洞。攻擊型漏洞探測(cè)原理是模擬網(wǎng)絡(luò)入侵的一般過(guò)程， 對(duì)目標(biāo)系統(tǒng)進(jìn)行無(wú)惡意攻擊嘗試，若攻擊成功則表示相應(yīng)安全漏洞一定存在。計(jì)算機(jī)病毒： 指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒的危害： 1、直接破壞計(jì)算機(jī)數(shù)據(jù)信息 2、占用磁盤空間和對(duì)信息的破壞 3、搶占系統(tǒng)資源 4、影響計(jì)算機(jī)運(yùn)行速度 5、計(jì)算機(jī)病毒錯(cuò)誤和不可預(yù)見(jiàn)的危害 6、計(jì)算機(jī)病毒兼容性對(duì)系統(tǒng)運(yùn)行的影響 7給用戶造成嚴(yán)重的心理壓力。計(jì)算機(jī)病毒的防范：嚴(yán)格的管理、有效的技術(shù)。計(jì)算機(jī)病毒的特征：非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現(xiàn)性或破壞性、可觸發(fā)性。計(jì)算機(jī)病毒的分類：按攻擊系統(tǒng)（ DOS、Windows、Unix、OS/2）；按病毒攻擊機(jī)型（微型、小型機(jī)、工作站） ；按病毒的鏈接方式（源碼型、嵌入型、外殼型、操作系統(tǒng)型） ；按破壞情況（良性、惡性） ；按病毒寄生方式（引導(dǎo)型、文件性、復(fù)合型） ；按病毒的傳播媒介分類（單機(jī)、網(wǎng)絡(luò)）常見(jiàn)計(jì)算機(jī)病毒檢測(cè)手段： 特征代碼法、 校驗(yàn)和法、 行為監(jiān)測(cè)法、軟件模擬法。惡意代碼的關(guān)鍵技術(shù)：生存技術(shù)（反跟蹤、加密、模糊變換、自動(dòng)生產(chǎn)） 、攻擊技術(shù)（進(jìn)程注入、三線程、端口復(fù)用、對(duì)抗檢測(cè)、端口反向連接技術(shù)、緩沖區(qū)溢出攻擊） 、隱藏技術(shù)（本地隱藏、通信隱藏） 。宏病毒的特征： Word宏病毒會(huì)感染 .doc.dot文件、在打開(kāi)一個(gè)帶毒文件時(shí)，激活宏病毒、多數(shù)宏病毒包含自動(dòng)宏、包含文檔讀寫的宏命令。惡意代碼是一種程序， 通常在人們沒(méi)有察覺(jué)的情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染計(jì)算機(jī)數(shù)據(jù)，運(yùn)行具有入侵性和破壞性的程序，破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。分為木馬、網(wǎng)絡(luò)蠕蟲(chóng)、移動(dòng)代碼、復(fù)合型病毒。惡意代碼的防范： 及時(shí)更新系統(tǒng)修補(bǔ)安全漏洞、 設(shè)置安全策略限制腳本程序的運(yùn)行、啟用防火墻過(guò)濾不必要的服務(wù)和系統(tǒng)信息、養(yǎng)成良好的上網(wǎng)習(xí)慣。計(jì)算機(jī)病毒發(fā)展趨勢(shì)： 從單一傳播、 單種行為發(fā)展到通過(guò)互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段于一身的新病毒“惡意代碼” 。網(wǎng)絡(luò)安全設(shè)計(jì)的基本原則： 1、需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 2、綜合性、整體性原則 3、一致性原則 4、易操作原則 5、適應(yīng)性、靈活性原則 6、多種保護(hù)原則。網(wǎng)絡(luò)安全體系結(jié)構(gòu)是對(duì)網(wǎng)絡(luò)信息安全基本問(wèn)題的應(yīng)對(duì)措施的集合，通常由保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等手段構(gòu)成。單機(jī)上網(wǎng)用戶面臨的主要安全威脅