計算機網(wǎng)絡(luò)安全技術(shù)第二版習(xí)題答案

1、習(xí)題一1- 1簡述計算機網(wǎng)絡(luò)安全的定義。計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的 威脅和危害，即是指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、使 用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。1-2計算機網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)在哪幾個方面？試舉例說明。計算機網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)在以下幾個方面：1 操作系統(tǒng)的安全脆弱性，操作系統(tǒng)不安全，是計算機不安全的根本原因。2網(wǎng)絡(luò)系統(tǒng)的安全脆弱性

2、（1）網(wǎng)絡(luò)安全的脆弱性，（2）計算機硬件系統(tǒng)的故障，（3） 軟件本身的“后門” ，（4）軟件的漏洞。3數(shù)據(jù)庫管理系統(tǒng)的安全脆弱性，DBMS的安全級別是 B2級，那么操作系統(tǒng)的安全級別也應(yīng)該是B2級，但實踐中往往不是這樣做的。4 防火墻的局限性5天災(zāi)人禍，如地震、雷擊等。天災(zāi)輕則造成業(yè)務(wù)工作混亂，重則造成系統(tǒng)中斷或造 成無法估量的損失。6其他方面的原因，如環(huán)境和災(zāi)害的影響，計算機領(lǐng)域中任何重大的技術(shù)進步都對安 全性構(gòu)成新的威脅等。1-3簡述P2DR安全模型的涵義。2P DR安全模型是指：策略（ Policy ）、防護（Protection ）、檢測（Detection ）和響應(yīng)（Response

3、）。策略，安全策略具有一般性和普遍性，一個恰當?shù)陌踩呗钥倳殃P(guān)注的核 心集中到最高決策層認為必須值得注意的那些方面。防護，防護就是采用一切手段保護計算機網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性和不可否認性，預(yù)先阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無法順利地入侵。檢測，檢測是動態(tài)響應(yīng)和加強防護的依據(jù)，是強制落實安全策略的工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)及系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)。響應(yīng)，響應(yīng)就是在檢測到安全漏洞或一個攻擊（入侵）事件之后，及時采取有效的處理措施，避免危害進一步擴大，目的是把系統(tǒng)調(diào)整到安全狀態(tài)，或使系統(tǒng)提供正常的服務(wù)。1-4簡述PDRR網(wǎng)絡(luò)安全模型

4、的涵義。PDRR安全模型中安全策略的前三個環(huán)節(jié)和P2DR安全模型中后三個環(huán)節(jié)的內(nèi)涵基本相同，最后一個環(huán)節(jié)“恢復(fù)”，是指在系統(tǒng)被入侵之后，把系統(tǒng)恢復(fù)到原來的狀態(tài)，或者比原 來更安全的狀態(tài)。PDRR安全模型闡述了一個結(jié)論：安全的目標實際上就是盡可能地增大保 護時間，盡量減少檢測時間和響應(yīng)時間，在系統(tǒng)遭受到破壞后，應(yīng)盡快恢復(fù)，以減少系統(tǒng)暴露時間。也就是說：及時的檢測和響應(yīng)就是安全。1-5簡述In ternet網(wǎng)絡(luò)體系層次結(jié)構(gòu)?，F(xiàn)在In ternet使用的協(xié)議是TCP/IP協(xié)議。TCP/IP協(xié)議是一個四層結(jié)構(gòu)的網(wǎng)絡(luò)通信協(xié)議 組，這四層協(xié)議分別是：1、物理網(wǎng)絡(luò)接口層協(xié)議，網(wǎng)絡(luò)接口層定義了In terne

5、t和各種物理網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口；2、網(wǎng)際層協(xié)議，網(wǎng)際層是網(wǎng)絡(luò)互聯(lián)層，負責(zé)相鄰計算機之間的通信，提供端到端的分組傳送、數(shù)據(jù)分段和組裝、路由選擇等功能；3、傳輸層協(xié)議，傳輸層為使用層的使用進程或使用程序提供端到端的有效、可靠的連接以及通信和事務(wù)處理，該層使用的協(xié)議有TCP和UDP ； 4、使用層協(xié)議，使用層位于TCP/IP協(xié)議的最上層，向用戶提供一組使用程序和各種網(wǎng)絡(luò)服務(wù)。1- 6簡述網(wǎng)絡(luò)安全體系結(jié)構(gòu)框架。網(wǎng)絡(luò)安全是一個覆蓋范圍很廣的領(lǐng)域。為了更深刻地理解網(wǎng)絡(luò)安全問題，必須對這個領(lǐng)域進行系統(tǒng)、全面的了解。對于整個網(wǎng)絡(luò)安全體系，從不同得層面來看，包含的內(nèi)容和安全 要求不盡相同。（1）從消息的層次來看

6、，主要包括：完整性、保密性、不可否認性。（2）從網(wǎng)絡(luò)層次來看，主要包括：可靠性、可控性、可操作性。保證協(xié)議和系統(tǒng)能夠 互相連接、可計算性。（3）從技術(shù)層次上講，主要包括：數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、攻擊檢測技術(shù)、數(shù)據(jù) 恢復(fù)技術(shù)等。（4）從設(shè)備層次來看，主要包括：質(zhì)量保證、設(shè)備冗余備份、物理安全等。由此可見，計算機網(wǎng)絡(luò)安全的研究涉及到多個學(xué)科領(lǐng)域其邊界幾乎是無法限定的。同時隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，也還會有新的安全問題不斷出現(xiàn)。1- 7 ISO對OSI規(guī)定了哪5種級別的安全服務(wù)？制定了支持安全服務(wù)的哪8種安全機制？ISO對OSI規(guī)定了五種級別的安全服務(wù)：即對象認證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、防抵

7、賴。為了實現(xiàn)上述5種安全服務(wù)，ISO 7408-2中制定了支持安全服務(wù)的 8種安全機制，它們 分別是：加密機制（En ciphreme nt Mecha nisms ）、數(shù)字簽名機制（Digital Sig nature Mechanisms）、訪問控制機制 （Access Control Mechanisms ）、數(shù)據(jù)完整性機制 （Data Integrity Mechanisms）、鑒別交換機制（Authentication Mechanisms ）、通信業(yè)務(wù)填充機制（Traffic Padding Mechanisms ）、路由控制機制（ Routing Control Mechanis

8、ms ）、公證機制（ Notarization Mechanisms）。1- 8試述安全服務(wù)和安全機制之間的關(guān)系以及安全服務(wù)和層的關(guān)系。1、安全服務(wù)和安全機制有著密切的關(guān)系，安全服務(wù)是由安全機制來實現(xiàn)的，體現(xiàn)了安全系統(tǒng)的功能。一個安全服務(wù)可以由一個或幾個安全機制來實現(xiàn)；同樣，同一個安全機制也可以用于實現(xiàn)不同的安全服務(wù)中，安全服務(wù)和安全機制并不是對應(yīng)的。實現(xiàn)對等實體鑒別服務(wù)可以采用系統(tǒng)設(shè)立的一種或多種安全機制實現(xiàn)，如采用數(shù)據(jù)加 密、數(shù)據(jù)簽名、鑒別交換、公證機制等。訪問控制的實現(xiàn)則采用訪問控制機制的方法，如最有代表性的是采用委托監(jiān)控器的方法。數(shù)據(jù)保密可采用對數(shù)據(jù)加密的方法。數(shù)據(jù)的完整性可采用加密和

9、數(shù)據(jù)完整性機制。數(shù)據(jù)源點鑒別采用加密和鑒別交換機制。禁止否認采用加密和公證機制來實現(xiàn)。2、ISO的開放系統(tǒng)互連參考模型的七個不同層次各自完成不同的功能，相應(yīng)地，在各 層需要提供不同的安全機制和安全服務(wù)，為各系統(tǒng)單元提供不同的安全特性。1 安全服務(wù)層次：（1、認證服務(wù)、（2）數(shù)據(jù)保密服務(wù)、（3、數(shù)據(jù)完整服務(wù)、（4）訪問 控制服務(wù)、（5）抗抵賴服務(wù)。2網(wǎng)絡(luò)各層提供的安全服務(wù)。通過上述對網(wǎng)絡(luò)安全服務(wù)層次關(guān)系的分析得知：某種安全服務(wù)只能由ISO/OSI網(wǎng)絡(luò)7層中的某一（些）特定層有選擇的提供，并不是在所有各層都能實現(xiàn)。1- 9計算機網(wǎng)絡(luò)安全的三個層次的具體內(nèi)容是什么？計算機網(wǎng)絡(luò)安全的實質(zhì)就是安全立法、

10、安全技術(shù)和安全管理的綜合實施，這三個層次體現(xiàn)了安全策略的限制、監(jiān)視和保障職能：1、安全立法計算機網(wǎng)絡(luò)的使用范圍越來越廣，其安全問題也面臨著嚴重危機和挑戰(zhàn)，單純依靠技術(shù)水平的提高來保護安全不可能真正遏制網(wǎng)絡(luò)破壞，各國政府都已經(jīng)出臺了相應(yīng)的法律法規(guī)來約束和管理計算機網(wǎng)絡(luò)的安全問題，讓廣大的網(wǎng)絡(luò)使用者遵從一定的“游戲規(guī)則”。目前，國外許多政府紛紛制定計算機安全方面的法律、法規(guī)，對計算機犯罪定罪、量刑產(chǎn)生的威懾力可使有犯罪企圖的人產(chǎn)生畏懼心理，從而減少犯罪的可能，保持社會的安定， 這些法規(guī)主要涉及到信息系統(tǒng)安全保護、國際聯(lián)網(wǎng)管理、商用密碼管理、計算機病毒防治和安全產(chǎn)品檢測和銷售五個方面。2、安全技術(shù)安

11、全技術(shù)措施是計算機網(wǎng)絡(luò)安全的重要保證，是方法、工具、設(shè)備、手段乃至需求、環(huán)境的綜合，也是整個系統(tǒng)安全的物質(zhì)技術(shù)基礎(chǔ)。計算機網(wǎng)絡(luò)安全技術(shù)涉及的內(nèi)容很多，尤其是在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，不僅涉及計算機和外部、外圍設(shè)備，通信和網(wǎng)絡(luò)系統(tǒng)實體， 還涉及到數(shù)據(jù)安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全、運行安全、防病毒技術(shù)、站點的安 全以及系統(tǒng)結(jié)構(gòu)、工藝和保密、壓縮技術(shù)。安全技術(shù)的實施應(yīng)貫徹落實在系統(tǒng)開發(fā)的各個階 段，從系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)評價到系統(tǒng)的運行、維護及管理。安全技術(shù)主要涉及下面三點：物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和信息安全技術(shù)。3、安全管理安全管理作為計算機網(wǎng)絡(luò)安全的第三個層次，

12、包括從人事資源管理到資產(chǎn)物業(yè)管理，從教育培訓(xùn)、資格認證到人事考核鑒定制度，從動態(tài)運行機制到日常工作規(guī)范、崗位責(zé)任制度等多個方面。這些規(guī)章制度是一切技術(shù)措施得以貫徹實施的重要保證。所謂“三分技術(shù)，七分管理”，正體現(xiàn)于此。1- 10簡述可信計算機系統(tǒng)評估標準的內(nèi)容。1983年美國國防部提出了一套 可信計算機系統(tǒng)評估標準(TCSEC, Trusted ComputerSystem Evaluation Criteria)，將計算機系統(tǒng)的可信程度，即安全等級劃分為D、C、B、A四類7級，由低到高。D級暫時不分子級；C級分為C1和C2兩個子級，C2比C1提供更多 的保護；B級分為B1、B2和B3共3個子

13、級，由低到高；A級暫時不分子級。每級包括它下級的所有特性，從最簡單的系統(tǒng)安全特性直到最高級的計算機安全模型技術(shù)，不同計算機信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密強度的不同標準。1- 11簡述信息系統(tǒng)評估通用準則、安全評估的國內(nèi)通用準則的要點。信息系統(tǒng)評估通用準則的要點如下：1、安全的層次框架：自下而上。2、安全環(huán)境：使用評估對象時須遵照的法律和組織安全政策以及存在的安全威脅。3、安全目的：對防范威脅、滿足所需的組織安全政策和假設(shè)聲明。4、評估對象安全需求： 對安全目的的細化， 主要是一組對安全功能和保證的技術(shù)需求。5、評估對象安全規(guī)范：對評估對象實際實現(xiàn)或計劃實現(xiàn)的定義。6、評估對象安全實

14、現(xiàn)：和規(guī)范一致的評估對象實際實現(xiàn)。國內(nèi)通用準則的要點：我國也制定了計算機信息系統(tǒng)安全等級劃分準則。國家標準GB17859-99是我國計算機信息系統(tǒng)安全等級保護系列標準的核心，是實行計算機信息系統(tǒng) 安全等級保護制度建設(shè)的重要基礎(chǔ)。此標準將信息系統(tǒng)分成 5個級別，分別是用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。在此標準中，一 個重要的概念是可信計算基（TCB ）。可信計算基是一個實現(xiàn)安全策略的機制，包括硬件、 固件和軟件，它們將根據(jù)安全策略來處理主體（例如，系統(tǒng)管理員、安全管理員、用戶等） 對客體（例如，進程、文件、記錄、設(shè)備等）的訪問。習(xí)題二2- 1簡述物理安

15、全的定義、目的和內(nèi)容。物理安全，是保護計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他 環(huán)境事故（如電磁污染等）破壞的措施和過程。實體安全的目的是保護計算機、網(wǎng)絡(luò)服務(wù)器、交換機、路由器、打印機等硬件實體和通 信設(shè)施免受自然災(zāi)害、 人為失誤、犯罪行為的破壞；確保系統(tǒng)有一個良好的電磁兼容工作環(huán) 境；把有害的攻擊隔離。實體安全的內(nèi)容主要包括：環(huán)境安全、電磁防護、物理隔離以及安全管理。2-2計算機房場地的安全要求有哪些？為保證物理安全，應(yīng)對計算機及其網(wǎng)絡(luò)系統(tǒng)的實體訪問進行控制，即對內(nèi)部或外部人員出入工作場所（主機房、數(shù)據(jù)處理區(qū)和輔助區(qū)等）進行限制。計算機房的設(shè)計應(yīng)考慮減少無關(guān)人員進入機房

16、的機會。同時，計算機房應(yīng)避免靠近公共區(qū)域，避免窗戶直接鄰街，應(yīng)安排機房在內(nèi)（室內(nèi)靠中央位置），輔助工作區(qū)域在外（室內(nèi)周邊位置）。在一個高大的建筑內(nèi)，計算機房最好不要建在潮濕的底層，也盡量避免建在頂 層，因頂層可能會有漏雨和雷電穿窗而入的危險。機房建筑和結(jié)構(gòu)從安全的角度，還應(yīng)該考慮：1）電梯和樓梯不能直接進入機房。2）建筑物周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進入的設(shè)施。3）外部容易接近的進出口，如風(fēng)道口、排風(fēng)口、窗戶、應(yīng)急門等應(yīng)有柵欄或監(jiān)控措施， 而周邊應(yīng)有物理屏障（隔墻、帶刺鐵絲網(wǎng)等）和監(jiān)視報警系統(tǒng)，窗口應(yīng)采取防范措施，必要 時安裝自動報警設(shè)備。4）機房進出口須設(shè)置應(yīng)急電話。5）機房供電系統(tǒng)

17、應(yīng)將動力照明用電和計算機系統(tǒng)供電線路分開，機房及疏散通道應(yīng)配 備應(yīng)急照明裝置。6）計算機中心周圍 100m內(nèi)不能有危險建筑物。危險建筑物指易燃、易爆、有害氣體 等存放場所，如加油站、煤氣站、天燃氣煤氣管道和散發(fā)有強烈腐蝕氣體的設(shè)施、工廠等。7）進出機房時要更衣、換鞋，機房的門窗在建造時應(yīng)考慮封閉性能。8）照明應(yīng)達到規(guī)定標準。2-3簡述機房的三度要求。機房的三度要求分別是：溫度、濕度、潔凈度。確保這三個要求是為了保證系統(tǒng)的正常運行。1. 溫度計算機系統(tǒng)內(nèi)有許多元器件，不僅發(fā)熱量大而且對高溫、低溫敏感。環(huán)境溫度過高或過 低都容易引起硬件損壞。2. 濕度機房內(nèi)相對濕度過高會使電氣部分絕緣性降低，會加

18、速金屬器件的腐蝕， 引起絕緣性能下降，灰塵的導(dǎo)電性能增強，耐潮性能不良和器件失效的可能性增大；而相對濕度過低、過于干燥會導(dǎo)致計算機中某些器件龜裂， 印刷電路板變形，特別是靜電感應(yīng)增加， 使計算機內(nèi) 信息丟失、損壞芯片，對計算機帶來嚴重危害。3 潔凈度灰塵會造成接插件的接觸不良、發(fā)熱元件的散熱效率降低、絕緣破壞，甚至造成擊穿； 灰塵還會增加機械磨損， 尤其對驅(qū)動器和盤片，灰塵不僅會使讀出、寫入信息出現(xiàn)錯誤，而 且會劃傷盤片，甚至損壞磁頭。因此，計算機房必須有除塵、防塵的設(shè)備和措施，保持清潔 衛(wèi)生，以保證設(shè)備的正常工作。2- 4機房內(nèi)應(yīng)采取哪些防靜電措施？常用的電源保護裝置有哪些？機房內(nèi)一般應(yīng)采用

19、乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。 為了防靜電機房一般安裝防靜電地板，并將地板和設(shè)備接地以便將物體積聚的靜電迅速排泄到大地。機房內(nèi)的專用工作臺或重要的操作臺應(yīng)有接地平板。此外，工作人員的服裝和鞋最好用低阻值的材料制作，機房內(nèi)應(yīng)保持一定濕度，在北方干燥季節(jié)應(yīng)適當加濕，以免因干燥 而產(chǎn)生靜電。電源保護裝置有金屬氧化物可變電阻（MOV ）、硅雪崩二極管（SAZD ）、氣體放電管（GDT ）、濾波器、電壓調(diào)整變壓器（ VRT ）和不間斷電源（UPS）等。2- 5計算機房的地線、接地系統(tǒng)、接地體各有哪些種類？計算機房的地線分為：保護地線、直流地線、屏蔽地線、靜電地線、雷擊地線。

20、接地系統(tǒng)：計算機房的接地系統(tǒng)是指計算機系統(tǒng)本身和場地的各種接地的設(shè)計和具體實 施。主要有以下幾種：（1 ）各自獨立的接地系統(tǒng)、（2）交、直流分開的接地系統(tǒng)、（3）共地接地系統(tǒng)、（4）直流地、保護地共用地線系統(tǒng)、（5）建筑物內(nèi)共地系統(tǒng)。接地體：接地體的埋設(shè)是接地系統(tǒng)好壞的關(guān)鍵。通常采用的接地體有地樁、水平柵網(wǎng)、 金屬板、建筑物基礎(chǔ)鋼筋等。2- 6簡述機房的防雷、防火、防水措施。防雷：機房的外部防雷應(yīng)使用接閃器、引下線和接地裝置， 吸引雷電流，并為其泄放提供一條低阻值通道。機器設(shè)備應(yīng)有專用地線，機房本身有避雷設(shè)施，設(shè)備（包括通信設(shè)備和電源設(shè)備）有防雷擊的技術(shù)設(shè)施，機房的內(nèi)部防雷主要采取屏蔽、等電位

21、連接、合理布線或防閃器、 過電壓保護等技術(shù)措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設(shè)備本 身也應(yīng)有避雷裝置和設(shè)施。一個遠程計算機信息網(wǎng)絡(luò)場地應(yīng)在電力線路、通信線路、天饋饋線線路、接地引線上作好防雷電的入侵。防火、防水：為避免火災(zāi)、水災(zāi)，應(yīng)采取如下具體措施：1 隔離建筑內(nèi)的計算機房四周應(yīng)設(shè)計一個隔離帶，以使外部的火災(zāi)至少可隔離一個小時。系統(tǒng)中特別重要的設(shè)備，應(yīng)盡量和人員頻繁出入的地區(qū)和堆積易燃物（如打印紙）的區(qū)域隔離。所有機房門應(yīng)為防火門，外層應(yīng)有金屬蒙皮。計算機房內(nèi)部使用阻燃材料裝修。機房內(nèi)應(yīng)有排水裝置，機房上部應(yīng)有防水層，下部應(yīng)有防漏層，以避免滲水、漏水現(xiàn)象。2.

22、火災(zāi)報警系統(tǒng)火災(zāi)報警系統(tǒng)的作用是在火災(zāi)初期就能檢測到并及時發(fā)出警報。3. 滅火設(shè)施機房應(yīng)有適用于計算機機房的滅火器材，機房所在樓層應(yīng)有防火栓和必要的滅火器材和工具，這些物品應(yīng)具有明顯的標記，且需定期檢查。4. 管理措施機房應(yīng)有應(yīng)急計劃及相關(guān)制度，要嚴格執(zhí)行計算機房環(huán)境和設(shè)備維護的各項規(guī)章制度， 加強對火災(zāi)隱患部位的檢查。2- 7簡述電磁干擾的分類及危害。按干擾的耦合方式不同，可將電磁干擾分為傳導(dǎo)干擾和輻射干擾兩類。（1）傳導(dǎo)干擾：傳導(dǎo)干擾是通過干擾源和被干擾電路之間存在的一個公共阻抗而產(chǎn)生的 干擾。（2）輻射干擾：輻射干擾是通過介質(zhì)以電磁場的形式傳播的干擾。電磁干擾的危害（1）計算機電磁輻射的

23、危害計算機作為一臺電子設(shè)備，它自身的電磁輻射可造成兩種危害：電磁干擾和信息泄漏。（2 ）外部電磁場對計算機正常工作的影響除了計算機對外的電磁輻射造成信息泄漏的危害外，外部強電磁場通過輻射、傳導(dǎo)、耦合等方式也對計算機的正常工作產(chǎn)生很多危害。2- 8電磁防護的措施有哪些？目前主要電磁防護措施有兩類：一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器， 減小傳輸阻抗和導(dǎo)線間的交叉耦合；另一類是對輻射的防護， 這類防護措施又可分為以下兩種：一種是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、 暖氣管和金屬門窗進行屏蔽和隔離；第二種是干擾的防護措施，即

24、在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種和計算機系統(tǒng)輻射相關(guān)的偽噪 聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。為提高電子設(shè)備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波、接地等。其中屏蔽是使用最多的方法。2- 9簡述物理隔離的安全要求。物理隔離，在安全上的要求主要有下面三點：（1） 在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；同時防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)。（2） 在物理輻射上隔斷內(nèi)部網(wǎng)和外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式 泄漏到外部網(wǎng)。（3） 在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境，對于斷電后會遺失信息

25、的部件，如內(nèi)存、處理器 等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清除處理，防止殘留信息出網(wǎng)；對于斷電非遺失性設(shè)備如磁 帶機、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)和外部網(wǎng)信息要分開存儲。2- 10簡述物理隔離技術(shù)經(jīng)歷了哪三個階段？每個階段各有什么技術(shù)特點。物理隔離技術(shù)經(jīng)歷了：徹底的物理隔離、協(xié)議隔離、物理隔離網(wǎng)閘三個階段：1第一階段一一徹底的物理隔離利用物理隔離卡、 安全隔離計算機和隔離集線器 （交換機）所產(chǎn)生的網(wǎng)絡(luò)隔離， 是徹底 的物理隔離，兩個網(wǎng)絡(luò)之間沒有信息交流，所以也就可以抵御所有的網(wǎng)絡(luò)攻擊， 它們適用于 一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網(wǎng)絡(luò)的使用環(huán)境。2第二階段協(xié)議隔離協(xié)議隔離通常指兩個

26、網(wǎng)絡(luò)之間存在著直接的物理連接，但通過專用（或私有）協(xié)議來連接兩個網(wǎng)絡(luò)。基于協(xié)議隔離的安全隔離系統(tǒng)實際上是兩臺主機的結(jié)合體，在網(wǎng)絡(luò)中充當網(wǎng)關(guān)的作用。隔離系統(tǒng)中兩臺主機之間的連接或利用網(wǎng)絡(luò)，或利用串口、并口，還可利用USB接口等，并綁定專用協(xié)議。這些綁定專用協(xié)議的連接在有的資料中被稱為安全通道。有了這樣的安全通道，入侵者無法通過直接的網(wǎng)絡(luò)連接進入內(nèi)網(wǎng)，從而達到對內(nèi)網(wǎng)的保護。3 第三階段一一物理隔離網(wǎng)閘技術(shù)物理隔離網(wǎng)閘在兩個網(wǎng)絡(luò)之間創(chuàng)建了一個物理隔斷，從物理上阻斷了具有潛在攻擊可能的一切連接。而且它沒有網(wǎng)絡(luò)連接，把通信協(xié)議全部剝離，以原始數(shù)據(jù)方式進行“擺渡”。因此，它能夠抵御互聯(lián)網(wǎng)目前存在的幾乎所有

27、攻擊，例如基于操作系統(tǒng)漏洞的入侵、基于 TCP/IP漏洞的攻擊、特洛伊木馬和基于隧道的攻擊等。2- 11計算機網(wǎng)絡(luò)管理的主要功能有哪些？計算機網(wǎng)絡(luò)管理的主要功能是：故障管理功能，配置管理功能，性能管理功能，安全管理功能和計費管理功能。(1)故障管理：故障管理(Fault Man ageme nt)是網(wǎng)絡(luò)管理中最基 本的功能之一，即對網(wǎng)絡(luò)非正常的操作引起的故障進行檢查、診斷和排除。(2)配置管理：配置管理(Configuration Management)就是定義、收集、監(jiān)測和管理系統(tǒng)的配置參數(shù)，使 得網(wǎng)絡(luò)性能達到最優(yōu)。(3)性能管理：性能管理(Performanee Management)用于

28、收集分析 有關(guān)被管網(wǎng)絡(luò)當前狀況的數(shù)據(jù)信息，并維持和分析性能日志。(4)安全管理：安全管理(Security Management )是指監(jiān)視、審查和控制用戶對網(wǎng)絡(luò)的訪問，并產(chǎn)生安全日志，以保 證合法用戶對網(wǎng)絡(luò)的訪問。(5)計費管理：計費管理( Aeeounting Management)記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。2- 12 畫出計算機網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)模型。2-13 什么是簡單網(wǎng)絡(luò)管理協(xié)議(SNMP )?簡述SNMP的管理結(jié)構(gòu)模型、工作原理及 特點。簡單網(wǎng)絡(luò)管理協(xié)議(SNMP): SNMP (Simple Network Management Protocol)

29、,即簡單 網(wǎng)絡(luò)管理協(xié)議，是使用戶能夠通過輪詢、 設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來達到網(wǎng)絡(luò)管理目的的 一種網(wǎng)絡(luò)協(xié)議。它是一個使用級的協(xié)議，而且是TCP/IP協(xié)議族的一部分，工作于用戶數(shù)據(jù)報文協(xié)議(UDP)上。SNMP的管理結(jié)構(gòu)模型：SNMP主要用于 OSI七層模型中較低幾個層次的管理，它的 基本功能包括監(jiān)視網(wǎng)絡(luò)性能、檢測分析網(wǎng)絡(luò)差錯和配置網(wǎng)絡(luò)。SNMP網(wǎng)絡(luò)管理模型由多個管理代理(Management Agents )、至少一個管理工作站( Network Management Station )、一種 通用的網(wǎng)絡(luò)管理協(xié)議 (Management Protocol)和一個或多個管理信息庫(MIB )四部

30、分組成。SNMP的工作原理：SNMP的原理十分簡單，它以輪詢和應(yīng)答的方式進行工作，采用集中或者集中分布式的控制方法對整個網(wǎng)絡(luò)進行控制和管理。整個網(wǎng)絡(luò)管理系統(tǒng)包括SNMP管理者、SNMP代理、管理信息庫（MIB ）和管理協(xié)議四個部分。SNMP的特點：SNM之所以能成為流傳最廣，使用最多的一個網(wǎng)絡(luò)管理協(xié)議，是因為 它具有簡單、易于實現(xiàn)，具有很好的擴展性等優(yōu)點。2-14 簡述公共管理信息協(xié)議（CMIP）。CMIP （ Com mon Ma nageme nt In formation Protocol ）即公共管理信息協(xié)議，是在OSI 制定的網(wǎng)絡(luò)管理框架中提出的網(wǎng)絡(luò)管理協(xié)議。它是一個分布式的網(wǎng)絡(luò)管理

31、解決方案，使用在OSI環(huán)境下。CMIP和SNMP 一樣，也是由被管代理、 管理者、管理協(xié)議和管理信息庫組成。 在CMIP中，被管代理和管理者沒有明確的區(qū)分，任何一個網(wǎng)絡(luò)設(shè)備既可以是被管代理，也可以是管理者。CMIP克服了 SNMP的許多缺點，如安全性方面，CMIP支持授權(quán)、訪問控制、安全日志等機制，構(gòu)成一個相對安全的系統(tǒng)，定義相當詳細復(fù)雜。2- 15簡述計算機網(wǎng)絡(luò)安全管理的基本原則和工作規(guī)范。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要基于以下三個原則：（1）多人負責(zé)原則：每一項和安全有關(guān)的活動，都必須有兩人或多人在場。（2）任期有限原則：一般地講，任何人最好不要長期擔任和安全有關(guān)的職務(wù)，以免使 他認為這個職

32、務(wù)是專有的或永久性的。（3）職責(zé)分離原則：在計算機網(wǎng)絡(luò)系統(tǒng)工作的人員不要打聽、了解或參和職責(zé)以外的 任何和安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：（1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。（2）根據(jù)確定的安全等級，確定安全管理的范圍。（3）制訂相應(yīng)的機房出入管理制度。（4）制訂嚴格的操作規(guī)程。（5）制訂完備的系統(tǒng)維護制度。（6）制訂應(yīng)急措施。習(xí)題三3- 1簡要回答防火墻的定義和發(fā)展簡史。防火墻的定義：防火墻是位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、或兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)

33、絡(luò)和 In ternet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信 進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達到保護系統(tǒng)安全的目的。防火墻的發(fā)展簡史：第一代防火墻：第一代防火墻技術(shù)幾乎和路由器同時出現(xiàn)，采用了包過濾（Packet Filter）技術(shù)。第二、三代防火墻：1989年，貝爾實驗室的 Dave. Presotto和Howard.Trickey推出了第 二代防火墻，即電路層防火墻，同時提出了第三代防火墻一一使用層防火墻（代理防火墻） 的初步結(jié)構(gòu)。第四代防火墻：1992年，US

34、C信息科學(xué)院的 Bob.Braden開發(fā)出了基于動態(tài)包過濾（Dynamic Packet Filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（StateFulinspection ）技術(shù)。1994年，以色列的 Check.Point公司開發(fā)出了第一個基于這種技術(shù)的 商業(yè)化的產(chǎn)品。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（ Adaptive Proxy ）技術(shù)，并 在其產(chǎn)品Gauntlet Fire wall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。3- 2設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？通常使用防火墻的

35、目的有以下幾個方面：限制他人進入內(nèi)部網(wǎng)絡(luò)； 過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施； 限定人們訪問特殊站點； 為監(jiān)視局域網(wǎng)安全 提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動； 對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。防火墻的局限性：1 防火墻防外不防內(nèi)、2 網(wǎng)絡(luò)使用受到結(jié)構(gòu)性限制、3 防

36、火墻難于管理和配置，易造成安全漏洞、4 效率較低、故障率高、5 很難為用戶在防火墻內(nèi)外提供一致的安全策略、6 防火墻只實現(xiàn)了粗粒度的訪問控制。3- 3簡述防火墻的發(fā)展動態(tài)和趨勢。防火墻技術(shù)發(fā)展動態(tài)和趨勢：（1）優(yōu)良的性能、（2）可擴展的結(jié)構(gòu)和功能、（3）簡化的 安裝和管理、（4）主動過濾、（5）防病毒和防黑客。未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、使用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。3- 4試述包過濾防火墻的原理及特點。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別？數(shù)據(jù)包過濾（Packet Filtering ）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過 設(shè)備對進出網(wǎng)絡(luò)的

37、數(shù)據(jù)流進行有選擇地控制和操作。包過濾操作一般都是在選擇路由的同時在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇或過濾（通常是對從In ternet進入到內(nèi)部網(wǎng)絡(luò)的包進行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表 （Access Co ntrol Table）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。包過濾的優(yōu)點：1）不用改動使用程序、2） 一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、3）數(shù)據(jù)包過濾對用戶透明、4）過濾路由器速度快、效率高。包過濾的缺點：1）不能徹底防止地址欺騙、2） 一些使用協(xié)議不適合于數(shù)據(jù)包過濾、3）正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略、4）安全性較差、5）數(shù)據(jù)包

38、工具存在很多局限性。1）靜態(tài)包過濾。一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài) 包過濾防火墻，這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，即和規(guī)則表進行比較，以便確定其是否和某一條包過濾規(guī)則匹配。2）動態(tài)包過濾。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表和連接狀態(tài)表的共同配合進行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾所

39、具有的問題，使防火墻彌補了許多不安全的隱 患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。3- 5試述代理防火墻的原理及特點。使用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？當代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的 Proxy使用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器 應(yīng)答，并做進一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理防火墻工作于使用層，且針對特定的使用層協(xié)議。代理防火墻通過編程來弄清用戶使用層的流量，并能在用戶層和使用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有使用程序使用的記錄。代理技術(shù)的優(yōu)點：1）代

40、理易于配置、2）代理能生成各項記錄、3）代理能靈活、完全地控制進出流量、內(nèi)容、4 ）代理能過濾數(shù)據(jù)內(nèi)容、5 ）代理能為用戶提供透明的加密機制、6）代理可以方便地和其他安全手段集成。代理技術(shù)的缺點：1）代理速度較路由器慢、 2）代理對用戶不透明、3）對于每項服務(wù) 代理可能要求不同的服務(wù)器、 4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制、5 ）代理不能改進底層協(xié)議的安全性。使用層網(wǎng)關(guān)（Application Level Gateways ）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù) 就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。優(yōu)點：使用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全，這種類型的防火

41、墻被網(wǎng)絡(luò)安全專家和媒體公認為是最安全的 防火墻。缺點：代理防火墻的最大缺點就是速度相對比較慢，當用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到 75M100Mbps時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的 瓶頸。電路層網(wǎng)關(guān)防火墻，另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Circuit Level Gateway）或TCP通道（TCP Tunnels）。在電路層網(wǎng)關(guān)中， 包被提交用戶使用層處理。電路層網(wǎng)關(guān)是建立使用層網(wǎng)關(guān)的一個更加靈活方法。它是針對數(shù)據(jù)包過濾和使用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機軟件。它結(jié)合

42、了使用層網(wǎng)關(guān)型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。3- 6防火墻的主要技術(shù)及實現(xiàn)方式有哪些？防火墻的安全技術(shù)包括包過濾技術(shù)、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等多種技術(shù)。 使用防火墻的設(shè)計實現(xiàn)方式主要有：使用網(wǎng)關(guān)代理、回路級代理服務(wù)器、代管服務(wù)器、IP通道（IP Tunnels）、隔離域名服務(wù)器（Split Domain Name Sever）、郵件轉(zhuǎn)發(fā)技術(shù)（Mail Forwarding ）。3- 7防火墻的常見體系結(jié)構(gòu)有哪幾種？一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到

43、來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，屏蔽路由器的優(yōu)點是簡單和低 （硬件）成本。其缺點在于正確建立包過濾規(guī)則比較困難，屏蔽路由器的管理成本高，缺乏用戶級身份認證等。代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程，它能夠代替網(wǎng)絡(luò)用戶完成特定的 TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個使用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡(luò)使用而連接兩 個網(wǎng)絡(luò)的網(wǎng)關(guān)。由于對更高安全性的要求，屏蔽路由器和代理服務(wù)器通常組合在一起構(gòu)成混 合系統(tǒng)，形成復(fù)合型防火墻產(chǎn)品。3- 8屏蔽路由器防火墻和屏蔽主機網(wǎng)關(guān)防火墻各是如何實現(xiàn)的？屏蔽路由器(Screening Router)又叫包過濾路由器，

44、是最簡單、最常見的防火墻，屏蔽 路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽主機網(wǎng)關(guān)(Screened Gateway)由屏蔽路由器和使用網(wǎng)關(guān)組成，屏蔽路由器的作用 是包過濾，使用網(wǎng)關(guān)的作用是代理服務(wù)， 即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障， 既實現(xiàn)了網(wǎng)絡(luò)層安全 (包過濾)，又實現(xiàn)了使用層安全(代理服務(wù))。屏蔽主機網(wǎng)關(guān)很容易實 現(xiàn)：在內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)的交匯點，安裝一臺屏蔽路由器， 同時在內(nèi)部網(wǎng)絡(luò)上安裝一個堡壘主機(使用層網(wǎng)關(guān)) 即

45、可，屏蔽主機網(wǎng)關(guān)防火墻具有雙重保護，比雙縮主機網(wǎng)關(guān)防火墻更靈活，安全性更高。3- 9簡述分布式防火墻的體系結(jié)構(gòu)、主要特點。分布式防火墻的體系結(jié)構(gòu)包含如下三個部分：1網(wǎng)絡(luò)防火墻、2 主機防火墻、3中心管理。分布式防火墻具有以下幾個主要特點：仁主機駐留、2.嵌入操作系統(tǒng)內(nèi)核、3.類似于個人防火墻、4 適用于服務(wù)器托管。3- 10分布式防火墻的優(yōu)勢主要體現(xiàn)在哪幾個方面？分布式防火墻的優(yōu)勢主要體現(xiàn)在如下幾個方面：(1) 增強系統(tǒng)的安全性：增加了針對主機的入侵檢測和防護功能，加強了對內(nèi)部攻擊 的防范，可以實施全方位的安全策略。(2) 提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。(3) 系統(tǒng)的擴

46、展性：分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。(4) 實施主機策略：對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。(5) 使用更為廣泛，支持 VPN通信。習(xí)題四4- 1攻擊者常用的攻擊工具有哪些？攻擊者常用的攻擊工具有：(1) DOS攻擊工具、(2)木馬程序、(3)分布式工具。4- 2 簡述口令入侵的原理。所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進行合法用戶口令的破譯。4- 3簡述網(wǎng)絡(luò)攻擊的步驟。畫出黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程。攻擊者在一次攻擊過程中的通常做法是：首先隱藏位置，接著網(wǎng)

47、絡(luò)探測和資料收集、對系統(tǒng)弱點進行挖掘、獲得系統(tǒng)控制權(quán)、隱藏行蹤，最后實施攻擊、開辟后門等七個步驟。黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程如下：4- 4攻擊者隱藏自己的行蹤時通常采用哪些技術(shù)？攻擊者隱藏自己的行蹤通常要用到如下技術(shù)：1） 連接隱藏，如冒充其他用戶、修改LOGNAME環(huán)境變量、修改utmp日志文件、使 用IP SPOOF技術(shù)等；2）進程隱藏，如使用重定向技術(shù)減少 PS給出的信息量、用特洛伊木馬代替 PS程序等;3）篡改日志文件中的審計信息；4）改變系統(tǒng)時間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。4- 5簡述網(wǎng)絡(luò)攻擊的防范措施。網(wǎng)絡(luò)攻擊的防范措施主要有：（1 ）提高安全意識；（2）使用能

48、防病毒、防黑客的防火墻軟件；（3）設(shè)置代理服務(wù)器，隱藏自已的IP地址；（4）安裝過濾器路由器，防止IP欺騙;（5）建立完善的訪問控制策略；（6）采用加密技術(shù)；（7）做好備份工作。4- 6 簡述網(wǎng)絡(luò)攻擊的處理對策。網(wǎng)絡(luò)攻擊的處理對策：（1）發(fā)現(xiàn)攻擊者，借助下面一些途徑可以發(fā)現(xiàn)攻擊者。1）攻擊者正在行動時，捉住攻擊者；2）根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)以被入侵；3）其他站點的管理員那里收到郵件，稱從本站點有人對“他”的站點大肆活動；4）根據(jù)網(wǎng)絡(luò)系統(tǒng)中一些奇怪的現(xiàn)象，發(fā)現(xiàn)攻擊者；5）經(jīng)常注意登錄文件并對可逆行為進行快速檢查，檢查訪問及錯誤登錄文件，檢查 系統(tǒng)命令如login等的使用情況；6）使用一些

49、工具軟件可以幫助發(fā)現(xiàn)攻擊者。（2）處理原則：不要驚慌、記錄每一件事情，甚至包括日期和時間、估計形勢、采取相應(yīng)措施。（3）發(fā)現(xiàn)攻擊者后的處理對策發(fā)現(xiàn)攻擊者后，網(wǎng)絡(luò)管理員的主要目的不是抓住他們，而是應(yīng)把保護用戶、 保護網(wǎng)絡(luò)系統(tǒng)的文件和資源放在首位。因此，可采取下面某些對策。1）不理睬;2）使用write或者talk工具詢問他們究竟想要做什么；3）跟蹤這個連接，找出攻擊者的來路和身份；4）這管理員可以使用一些工具來監(jiān)視攻擊者，觀察他們正在做什么；5）殺死這個進程來切斷攻擊者和系統(tǒng)的連接；6）找出安全漏洞并修補漏洞，再恢復(fù)系統(tǒng)；7）最后，根據(jù)記錄的整個文件的發(fā)生發(fā)展過程，編檔保存，并從中吸取經(jīng)驗教訓(xùn)。

50、4- 7 一個成功的入侵檢測系統(tǒng)至少要滿足哪5個要求？一個成功的入侵檢測系統(tǒng)至少要滿足以下5個要求： 實時性要求：如果攻擊或者攻擊的企圖能夠被盡快發(fā)現(xiàn)，就有可能查出攻擊者的位置，阻止進一步的攻擊活動，就有可能把破壞控制在最小限度，并記錄下攻擊過程， 可作為證據(jù)回放。 可擴展性要求：攻擊手段多而復(fù)雜，攻擊行為特征也各不相同。 適應(yīng)性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量的計算機網(wǎng)絡(luò)環(huán)境。 安全性和可用性要求： 入侵檢測系統(tǒng)必須盡可能的完善和健壯，不能向其宿主計算機系統(tǒng)以及其所屬的計算機環(huán)境中引入新的安全問題及安全隱患。 有效性要求：能夠證明根據(jù)某一設(shè)計所建立的入侵檢測系統(tǒng)

51、是切實有效的。4- 8簡述入侵檢測系統(tǒng)的組成、特點。入侵檢測系統(tǒng)通常由兩部分組成：傳感器（Sensor）和控制臺（Console）。傳感器負責(zé)采集數(shù)據(jù)（網(wǎng)絡(luò)包、系統(tǒng)日志等）、分析數(shù)據(jù)并生成安全事件?？刂婆_主要起到中央管理的 作用，商品化的IDS通常提供圖形界面的控制臺。入侵檢測系統(tǒng)的主要特點如下：（1）入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一（2）入侵檢測是防火墻的合理補充（3）入侵檢測系統(tǒng)是黑客的克星4- 9分別說明入侵檢測系統(tǒng)的通用模型和統(tǒng)一模型。通用模型采用的是一個混合結(jié)構(gòu)， 包含了一個異常檢測器和一個專家系統(tǒng)， 異常檢測器采用統(tǒng)計技術(shù)描述異常行為，專家系統(tǒng)采用基于規(guī)則的方法檢測己知的

52、危害行為。異常檢測器對行為的漸變是自適應(yīng)的， 因此引入專家系統(tǒng)能有效防止逐步改變的入侵行為，提高準確率。該模型由以下 6個主要部分構(gòu)成：（1）主體（Subjects）、（2）對象（Objets）、（3）審計 記錄（Auditrecords ）、（ 4）活動簡檔（ActivityProfile ）、（ 5）異常記錄（AnomalyRecoal ）、（6）活動規(guī)則。入侵檢測系統(tǒng)統(tǒng)一模型由 5個主要部分組成：（1）信息收集器、（2）分析器、（3）響應(yīng)、（4）數(shù)據(jù)庫、（5）目錄服務(wù)器。4- 10 簡述入侵檢測的過程。入侵檢測的過程：1 入侵信息的收集：入侵檢測的第一步是信息收集，收集的內(nèi)容包括系統(tǒng)、網(wǎng)

53、絡(luò)、數(shù) 據(jù)及用戶活動的狀態(tài)和行為。2信號分析：對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過四種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析、專家系統(tǒng)和完整性分析。3.響應(yīng)：入侵檢測響應(yīng)方式分為被動響應(yīng)和主動響應(yīng)。4-11什么是異常檢測、誤用檢測、特征檢測？異常檢測：基于異常的檢測技術(shù)有一個假設(shè)，就是入侵事件的行為不同于一般正常用戶或者系統(tǒng)的行為。通過多種方法可以建立正常或者有效行為的模型。入侵檢測系統(tǒng)在檢測的時候就把當前行為和正常模型比較，如果比較結(jié)果有一定的偏離，則報警異常。誤用檢測：進行誤用檢測的前提是所有的入侵行為都有可被檢測到的特征。誤用檢測系統(tǒng)提供攻擊特征庫，當監(jiān)測的

54、用戶或系統(tǒng)行為和庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。特征檢測：特征檢測關(guān)注的是系統(tǒng)本身的行為。定義系統(tǒng)行為輪廓，并將系統(tǒng)行為和輪廓進行比較，對未指明為正常行為的事件定義為入侵。4-12 基于主機的IDS和基于網(wǎng)絡(luò)的IDS各有什么特點？基于主機的IDS的特點：1）主要優(yōu)點：確定攻擊是否成功； 能夠檢查到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)檢查不出的攻擊；能夠監(jiān)視特定的系統(tǒng)活動；適用被加密的和交換的環(huán)境； 近于實時的檢測和響應(yīng)；不要求 額外的硬件設(shè)備；低廉的成本。2）主要弱點：基于主機的IDS安裝在需要保護的設(shè)備上，如當一個數(shù)據(jù)庫服務(wù)器要保護時，就要 在服務(wù)器本身上安裝入侵檢測系統(tǒng)，這會降低使用系統(tǒng)的

55、效率；基于主機的IDS依賴于服務(wù)器固有的日志和監(jiān)視能力；全面部署基于主機的IDS代價較大，用戶很難將所有主機用基于主機的IDS保護起來，只能選擇保護部分重要主機；基于主機的IDS除了監(jiān)測自身的主機以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況?；诰W(wǎng)絡(luò)的IDS的特點：1）主要優(yōu)點：擁有成本較低；檢測基于主機的IDS漏掉的攻擊；攻擊者不易轉(zhuǎn)移證據(jù)；實時檢測和響應(yīng)；檢測未成功的攻擊和不良意圖；操作系統(tǒng)無關(guān)性；安裝簡便。2）主要弱點：監(jiān)測范圍的局限性；基于網(wǎng)絡(luò)的IDS為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算和分析時間的攻擊檢測； 基于網(wǎng)絡(luò)的IDS可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中，影響系統(tǒng)性能和響應(yīng)速度；基 于網(wǎng)絡(luò)的IDS處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。4-13你曾遇到過何種類型的網(wǎng)絡(luò)攻擊？采取了哪些措施保護你的計算機網(wǎng)絡(luò)系統(tǒng)？4-14攻擊者入侵系統(tǒng)后通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏其活動，如果你是系統(tǒng)安全管理員，你將通過何種方法檢測出這種活動？4-15系統(tǒng)恢復(fù)過程中應(yīng)對哪些遺留物進行分析？系統(tǒng)恢復(fù)過程中對遺留物進行分析：（1 ）檢查入侵者對系統(tǒng)軟件和配置文件的修改：1）校驗系統(tǒng)中所有的二進制文件2）校驗系統(tǒng)配置文件（2）檢查