信息安全技術(shù)HCIA-Security微課版第2版劉洪亮課后參考答案

第1章1.B2.D3.BCD4.ISMS信息安全發(fā)展歷程包括三個(gè)階段，分別是通信保密階段、信息安全階段信、息保障階段。信息安全涉及的風(fēng)險(xiǎn)有物理風(fēng)險(xiǎn)、信息風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)等。信息安全風(fēng)險(xiǎn)中的信息風(fēng)險(xiǎn)包括信息存儲(chǔ)安全、信息傳輸安全、信息訪問(wèn)安全。等級(jí)保護(hù)定義是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。邊界防護(hù)、訪問(wèn)控制、通信傳輸、入侵防范、惡意代碼防范、集中控制。等級(jí)保護(hù)流程分為定級(jí)、備案、測(cè)評(píng)、整改、監(jiān)督。第2章1.A2.C3.B4.TAB物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層以及應(yīng)用層。（1）簡(jiǎn)化了相關(guān)的網(wǎng)絡(luò)操作；（2）提供即插即用的兼容性和不同廠商之間的標(biāo)準(zhǔn)接口；（3）使各個(gè)廠商能夠設(shè)計(jì)出互操作的網(wǎng)絡(luò)設(shè)備，加快數(shù)據(jù)通信網(wǎng)絡(luò)發(fā)展；（4）防止一個(gè)區(qū)域網(wǎng)絡(luò)的變化影響另一個(gè)區(qū)域的網(wǎng)絡(luò)，因此，每一個(gè)區(qū)域的網(wǎng)絡(luò)都能單獨(dú)快速升級(jí)；（5）把復(fù)雜的網(wǎng)絡(luò)問(wèn)題分解為小的簡(jiǎn)單問(wèn)題，易于學(xué)習(xí)和操作。ARP、ICMP、OSPF、SNMP、NetStream等。連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備,能夠在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來(lái)自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。通過(guò)Console口登錄、通過(guò)Telnet登錄、通過(guò)SSH登錄、通過(guò)Web登錄。第3章1.AB2.ABD3.ACD4.D網(wǎng)絡(luò)安全威脅、應(yīng)用安全威脅、數(shù)據(jù)傳輸與終端安全威脅。惡意代碼是指故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼。中間人攻擊（Man-in-the-MiddleAttack，簡(jiǎn)稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”。人員、安全運(yùn)維與管理、安全產(chǎn)品與技術(shù)。安全意識(shí)、運(yùn)維管理、安全產(chǎn)品與技術(shù)。安全服務(wù)化、終端檢測(cè)重要性日益凸顯、流量管控由IP向應(yīng)用演進(jìn)、軟件定義安全防御方案（華為SDSec）。第4章1.ABCD2.ABC3.ABC4.ABCD5.ACD6.D7.ABCD8.ABCD9.A10.ABCD11.ABCD第5章1.B2.C3.ABCDE4.ABCD5.ABC6.ABD7.ABC8.ABCDE第6章1.ABC2.A3.“狀態(tài)檢測(cè)”機(jī)制以流量為單位來(lái)對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文進(jìn)行包過(guò)濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來(lái)。對(duì)于該流量的后續(xù)報(bào)文都直接根據(jù)這個(gè)“狀態(tài)”來(lái)判斷是轉(zhuǎn)發(fā)或進(jìn)行內(nèi)容安全檢測(cè)還是丟棄。這個(gè)“狀態(tài)”就是我們平常所述的會(huì)話表項(xiàng)。4.在多通道協(xié)議中，如FTP，控制通道和數(shù)據(jù)通道是分開(kāi)的。數(shù)據(jù)通道是在控制報(bào)文中動(dòng)態(tài)協(xié)商出來(lái)的，為了避免協(xié)商出來(lái)的通道不因其他規(guī)則的限制，如ACL而中斷，需要臨時(shí)開(kāi)啟一個(gè)通道，Servermap表項(xiàng)就是為了滿足這種應(yīng)用而設(shè)計(jì)的一種數(shù)據(jù)結(jié)構(gòu)。ASPF技術(shù)檢測(cè)IP層之上的應(yīng)用層報(bào)文信息，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的Servermap表項(xiàng)，以允許相關(guān)的報(bào)文通過(guò)。Server-map通常只是用檢查首個(gè)報(bào)文，通道建立后的報(bào)文還是根據(jù)會(huì)話表來(lái)轉(zhuǎn)發(fā)。5.分片緩存中首包分片和其它分片的區(qū)別在于標(biāo)志位和片偏移，標(biāo)志位是001，表示后面還有分片，標(biāo)志位是000，表示該數(shù)據(jù)包為最后1個(gè)分段數(shù)據(jù)包;片偏移表示該IP包在該組分片包中位置，片偏移是0，表示該數(shù)據(jù)包為首包分片，片偏移不是0，表示該數(shù)據(jù)包為其它分片。首包分片先到，設(shè)備對(duì)首包分片進(jìn)行包過(guò)濾規(guī)則檢查，并根據(jù)判斷結(jié)果建立會(huì)話表項(xiàng)，對(duì)于該流量的后續(xù)報(bào)文都直接根據(jù)會(huì)話表項(xiàng)來(lái)判斷是轉(zhuǎn)發(fā)還是丟棄。首包分片晚到，設(shè)備會(huì)將非首片的分片報(bào)文緩存至分片散列表，等待首片到來(lái)建立會(huì)話后，將所有分片報(bào)文進(jìn)行轉(zhuǎn)發(fā)。若在指定的時(shí)間內(nèi)首片分片報(bào)文沒(méi)有到來(lái)，防火墻將丟棄分片緩存中的分片報(bào)文。端口識(shí)別，也稱端口映射，是防火墻用來(lái)識(shí)別使用非標(biāo)準(zhǔn)端口的應(yīng)用層協(xié)議報(bào)文，把非標(biāo)準(zhǔn)協(xié)議端口映射成可識(shí)別的應(yīng)用、協(xié)議、端口。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。只對(duì)安全域間的數(shù)據(jù)流動(dòng)生效，因此在配置端口映射時(shí)，也必須配置安全區(qū)域和安全域間。第7章Easy-ip主要適用于公網(wǎng)接口IP地址是動(dòng)態(tài)獲取的，或者只有設(shè)備的公網(wǎng)接口上的公網(wǎng)地址可用的情況，比如撥號(hào)網(wǎng)絡(luò)。對(duì)于同一個(gè)內(nèi)部服務(wù)器發(fā)布多個(gè)公網(wǎng)IP供外部網(wǎng)絡(luò)訪問(wèn)的場(chǎng)景，如果不同公網(wǎng)IP所在的鏈路規(guī)劃在同一個(gè)安全區(qū)域，可以通過(guò)配置指定no-reverse參數(shù)的NATServer來(lái)實(shí)現(xiàn)。指定no-reverse參數(shù)后，可以配置多個(gè)global地址和同一個(gè)inside地址建立映射關(guān)系。指定no-reverse參數(shù)后，設(shè)備生成的Server-map表只有正方向，內(nèi)部服務(wù)器主動(dòng)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，設(shè)備無(wú)法將內(nèi)部服務(wù)器的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，內(nèi)部服務(wù)器也就無(wú)法主動(dòng)向外發(fā)起連接。因此，通過(guò)指定no-reverse參數(shù)可以禁止內(nèi)部服務(wù)器主動(dòng)訪問(wèn)外部網(wǎng)絡(luò)。域間雙向NAT的應(yīng)用場(chǎng)景:當(dāng)配置NATServer時(shí)，服務(wù)器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應(yīng)報(bào)文，如果要簡(jiǎn)化配置，避免配置到公網(wǎng)地址的路由，則可以對(duì)外網(wǎng)用戶的源IP地址也進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的源IP地址與服務(wù)器的私網(wǎng)地址在同一網(wǎng)段。域內(nèi)NAT是指當(dāng)內(nèi)網(wǎng)用戶和服務(wù)器部署在同一安全區(qū)域的情況下，仍然希望內(nèi)網(wǎng)用戶只能通過(guò)訪問(wèn)服務(wù)器的公網(wǎng)地址的場(chǎng)景。在實(shí)現(xiàn)域內(nèi)NAT過(guò)程中，既要將訪問(wèn)內(nèi)部服務(wù)器的報(bào)文的目的地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址，又需要將源地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。在配置NATServer時(shí)防火墻會(huì)生產(chǎn)靜態(tài)ServerMap表項(xiàng)，而根據(jù)防火墻轉(zhuǎn)發(fā)流程，防火墻在創(chuàng)建會(huì)話時(shí)查詢的表項(xiàng)依次為servermap表，路由表，安全策略，NAT策略。因此在配置NATserver時(shí)，相應(yīng)的安全策略中，從外網(wǎng)到內(nèi)網(wǎng)的目的網(wǎng)段應(yīng)該為內(nèi)網(wǎng)服務(wù)器所在的真實(shí)網(wǎng)段地址;而在配置源NAT時(shí)，相應(yīng)安全策略中指定的源地址應(yīng)該為內(nèi)網(wǎng)真實(shí)網(wǎng)段的地址而非轉(zhuǎn)換后的地址。第8章1.B2.A3.ABD4.D第9章1.D2.ABC3.ABD4.A5.D第10章1.BCD2.D3.ACD4.ABC5.A第11章1.ABC2.ABCD3.C4.BCD5.B6.ABC7.ABC8.CD9.AB10.ABCD11.D12.ABCD13.D14.AC第12章1.BCD2.ABC3.ABC4.BC5.ACD6.AB7.ABCD第13章1.D2.D3、BCP和災(zāi)難恢復(fù)計(jì)劃（DRP）都是為了降低災(zāi)難對(duì)業(yè)務(wù)持續(xù)運(yùn)營(yíng)的影響。災(zāi)難恢復(fù)計(jì)劃在BCP中止時(shí)開(kāi)始，當(dāng)災(zāi)難發(fā)生且業(yè)務(wù)連續(xù)性計(jì)劃無(wú)法阻止業(yè)務(wù)中斷時(shí)，災(zāi)難恢復(fù)計(jì)劃開(kāi)始生效。4、（1）項(xiàng)目范圍和計(jì)劃編制（2）業(yè)務(wù)影響評(píng)估（3）連續(xù)性計(jì)劃編制（4）BCP文檔化5、（1）實(shí)施恢復(fù)策略（2）執(zhí)行災(zāi)難恢復(fù)過(guò)程（3）測(cè)試災(zāi)難恢復(fù)計(jì)劃6、（1）事故確認(rèn)（2）請(qǐng)求執(zhí)法（3）證據(jù)收集（4）約談個(gè)人（5）提起訴訟7、（1）抓包（2）端口鏡像（3）日志8、鏡像端口：是指被監(jiān)控的端口，鏡像端口收發(fā)的報(bào)文將被復(fù)制一份到與監(jiān)控設(shè)備相連的端口。觀察端口：是指連接監(jiān)控設(shè)備的端口，用于將鏡像端口復(fù)制過(guò)來(lái)的報(bào)文發(fā)送給監(jiān)控設(shè)備。9、Windows事件日志文件本質(zhì)上是數(shù)據(jù)庫(kù)，其中包括有系統(tǒng)日志、應(yīng)用程序日志、安全日志。第14章1.D2.C3、（1）電子數(shù)據(jù)鑒定的客觀性（2）電子數(shù)據(jù)鑒定的關(guān)聯(lián)性（3）電子數(shù)據(jù)鑒定的合法性4、（1）密碼破譯，數(shù)據(jù)解密（2）文件屬性分析（3）數(shù)字摘要分析（4）日志分析技術(shù)（5）反向工程等。5、（1）人為性（2）高科技性（3）多樣性（4）脆弱性、易破壞性（5）動(dòng)態(tài)傳輸性、生動(dòng)形象性（6）無(wú)形性。第15章1.B2、（1）準(zhǔn)備階段（2）檢測(cè)階段（3）抑制階段（4）根除階段（5）恢復(fù)階段（6）總結(jié)階段3、（1）有害程序事件：計(jì)算機(jī)病毒、蠕蟲(chóng)、特洛伊木馬、僵尸網(wǎng)絡(luò)、混合型程序攻擊、網(wǎng)頁(yè)內(nèi)嵌惡意代碼等等。（2）網(wǎng)絡(luò)攻擊事件：拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽(tīng)、網(wǎng)絡(luò)釣魚(yú)、干擾事件等等。（3）信息破壞事件：信息篡改、信息假冒、信息泄露、信息竊取、信息丟失事件