当前位置:首页 >> 其它课程 >> 《计算机信息安全技术》课后习题及参考答案

《计算机信息安全技术》课后习题及参考答案


第1章 计算机信息安全概述
习题参考答案 1. 对计算机信息安全造成威胁的主要因素有哪些? 答:影响计算机信息安全的因素有很多,主要有自然威胁和人为威胁两种。自然威胁包括:自然灾 害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁干扰等。人为威胁包括:无意威胁、有意 威胁。 自然威胁的共同特点是突发性、自然性、非针对性。这类不安全因素不仅对计算机信息安全造成威 胁,

而且严重威胁着整个计算机系统的安全,因为物理上的破坏很容易毁灭整个计算机信息管理系统以 及网络系统。人为恶意攻击有明显的企图,其危害性相当大,给信息安全、系统安全带来了巨大的威胁。 人为恶意攻击能得逞的原因是计算机系统本身有安全缺陷,如通信链路的缺陷、电磁辐射的缺陷、引进 技术的缺陷、软件漏洞、网络服务的漏洞等。 2. 计算机信息安全的特性有哪些? 答:信息安全的特性有:⑴完整性 完整性是指信息在存储或传输的过程中保持未经授权不能改变 的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。⑵可用性 可用性是 指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒 绝。对可用性的攻击就是阻断信息的合理使用。⑶保密性 保密性是指信息不被泄露给未经授权者的特 性,即对抗被动攻击,以保证机密信息不会泄露给非法用户或供其使用。⑷可控性 可控性是指对信息 的传播及内容具有控制能力的特性。授权机构可以随时控制信息的机密性,能够对信息实施安全监控。 ⑸不可否认性 不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承 诺。发送方不能否认已发送的信息,接收方也不能否认已收到的信息。 3. 计算机信息安全的对策有哪些? 答:要全面地应对计算机信息安全问题,建立一个立体的计算机信息安全保障体系,一般主要从 三个层面来做工作,那就是技术、管理、人员。 (1)技术保障 指运用一系列技术层面的措施来保障信息系统的安全运营,检测、预防、应对信息 安全问题。 (2)管理保障 有如下措施:①贯彻标准的 IT 治理方案。②建立安全的基线配置。③建立一个标准 的事件响应流程。 (3)人员保障 ①建立专门的应急响应小组。②对员工进行安全意识培训。③建立一定的和信息安 全相关激励机制 4. ISO7498-2 标准包含哪些内容? 答:ISO7498-2 标准包括五类安全服务以及提供这些服务所需要的八类安全机制。 ISO7498-2 确定的五大类安全服务,即鉴别服务、访问控制服务、数据保密性服务、数据完整性服 务和禁止否认服务。ISO7498-2 标准确定的八大类安全机制,即:加密机制、数字签名机制、访问控制 机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。 5. 怎样实现计算机信息安全? 答:计算机信息安全主要包括三个方面:技术安全、管理安全和相应的政策法律。安全管理是信息 安全中具有能动性的组成部分;大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往 是由于管理不善而造成的;法律法规是保护计算机信息安全的最终手段。 所以我们在实际的操作中要尽量保证技术安全,加强监督管理,制定完善的法律、法规和规章制度 并严格执行。要根据计算机信息安全的内容,采取适当的措施、技术来保证网络和信息的保密性、完整 性和可用性等信息安全特性;这样也就实现了计算机信息安全。 6. 简述对计算机信息安全的理解和认识。 (答案略) 提示:可以主要从计算机信息的安全特性,计算机信息安全研究的内容,技术安全、管理安全、政 策法律等方面进行探讨。

第 12 章 软件保护技术
习题参考答案 1. 软件保护经历了哪些阶段?各有什么特点?

答:软件保护大致经历了 3 个阶段:DOS 时代、Windows 时代、互联网时代。 各个阶段的特点如下: (1)DOS 时代 在 DOS 时代,软盘是软件流通的主要载体,软盘保护也就成了软件保护的主要方式。软盘保护简 单、易实现、成本低,成为软件商得力的助手。在这一时期,还出现过一种密码本保护模式,国内在这 个时期出现了卡保护技术。 (2)Windows 时代 原有的软盘保护技术被淘汰,保护锁技术早在 DOS 时代就已经存在了,但直到这个阶段,才得到 重视,保护锁技术慢慢成为软件保护的主流技术。Windows 时代光盘保护技术也成为了关注的新焦点, 光盘保护主要适用于批量大、软件生命周期短的产品。 (3)互联网时代 互联网时代软件注册机制成为共享软件的主流保护手段。针对软件注册机制中出现的软件注册信息 被随意扩散的问题,有人提出了许可证保护方式。该方式是对软件注册机制的一种改良,把原来的“一 人一码”的方式改成“一机一码” 。 2. 简述软件保护的基本要求。 答:软件保护的目的主要有两个:一是防止软件被非法复制,二是防止软件被非法使用和修改。为 了达到这两个目的,软件保护必须满足 3 个基本要求:反拷贝、反静态分析和反动态跟踪。 3. 除了文中提到的软件保护技术,还有没有其他软件保护技术?试查询并作简要描述。 答案:略。 4. 简述软件加壳的目的。 答:软件加壳的目的有两个:一是对受保护的程序进行保护,防止软件的相关信息泄露,同时加壳 技术中往往集成了反跟踪、反内存补丁、反 dump 等技术,可以有效防止软件被反编译和修改;二是对 受保护的程序进行压缩,节省存储空间,便于快速传输。 5. 查询有关脱壳的资料,并进行加壳与脱壳练习。 答案:略。

第2章

数据备份和数据恢复技术

习题参考答案: 1.数据备份的定义是什么? 答:数据备份就是将数据以某种方式加以保留,创建数据的副本。一旦原始数据被删除、覆盖或由 于故障而无法访问时,可以利用副本恢复丢失或损坏的数据。 2.数据备份的目的是什么? 答:备份技术的目的是将整个系统的数据或状态保存下来,这样不仅可以挽回硬件设备损坏带来的 损失,还可以挽回逻辑错误和人为恶意破坏造成的损失。一般来说,数据备份技术并不保证系统的实时 可用性,一旦意外发生,备份技术只保证数据可以恢复,但是在恢复期间,系统是不可以用的。 3.简要描述 RAID0 模式。 答:RAID0 模式,也称冗余无校验磁盘阵列,把数据分散到多块硬盘上进行并行存储,在进行数据存取 时,能同时对这几个磁盘进行存储访问,通过并行存储来提高磁盘的整体数据传输速度。组成 RAID0 的单个磁盘驱动器数量越多,数据传输速度就越快。但它的缺点是没有容错功能,一旦有任何一块磁盘 损坏,将造成整个数据的不完整而无法使用。 4.比较 RAID3 模式与 RAID5 模式的优缺点。 答:RAID3 模式,奇偶校验并行交错阵列,也被称为带有专用奇偶位的条带,每个条带上都有一块 空间用来有效存储冗余信息,即奇偶位。奇偶位是数据编码信息,如果某个磁盘发生故障,可以用来恢 复数据。即使有多个数据盘,也只能使用一个校验盘,采用奇偶校验的方法检查错误。 RAID5 模式,循环奇偶校验磁盘阵列,也被称为带分布式奇偶位的条带,每个条带上都有一块空间 被用来存放奇偶位。与 RAID3 不同的是,RAID5 把奇偶位信息分布在所有的磁盘上。尽管有一些容量 上的损失,但 RAID5 能提供最佳的整体性能。RAID3 比较适合大文件类型,如视频编辑、大型数据库 等;RAID5 比较适合较小文件的应用,如文字、小型数据库等。 5.什么是 DAS 直接连接存储?

答:DAS(Direct Attached Storage)就是将传统的服务器与存储设备直接连接的存储方式。DAS 的存储 设备与服务器之间的数据传输通道是固定和专用的,通常有 IDE、SCSI、光纤通道、USB 通道等。DAS 系统可以是一个单独的硬盘,一个 RAID 磁盘阵列或其它存储设备。每一台服务器只能管理和访问与之 相连的存储设备,但不能实现与其它主机共享数据传输端口,只能依靠存储设备本身为主机提供数据服 务。 6.NAS 结构和 SAN 结构的主要区别有哪些? 答:NAS 结构和 SAN 结构的主要区别有: ① SAN 是一种网络,NAS 产品是一个专有文件服务器或一个只能文件访问的设备。 ② SAN 是只能独享的数据存储池,NAS 是共享与独享兼顾的数据存储池。 ③ SAN 设备是基于数据块访问的,而 NAS 设备是基于文件访问的。 ④ NAS 产品能通过 SAN 连接到存储设备。 ⑤ SAN 的成本高,系统复杂度高;而 NAS 的成本低,系统复杂度低。 7.什么是数据恢复? 答:数据恢复就是把遭受破坏、由于硬件缺陷导致不可能访问、不可获得、由于误操作等各种原因导 致丢失的数据还原成正常数据的过程。 8.简述恢复硬盘数据的步骤。 答:硬盘恢复就是在硬盘上的系统文件受到严重破坏的情况下,用已备份的映像文件恢复被破坏的 硬盘。由于在恢复过程中,目标盘上所有的文件、数据将全部丢失,因此在恢复之前,一定要将重要数 据备份下来。 硬盘恢复过程如下: (1)执行 Ghost 程序,在 Ghost 窗口中依次执行 Local→Disk→From Image 命令,启动硬盘恢复功能。 (2)在映像文件选择窗口中,选择需要还原的映像文件所在的硬盘或分区的路径和映像文件名;在 弹出的目标硬盘窗口中,选择要还原的目标硬盘或分区;单击 OK 按钮,Ghost 程序将会把保存在映像 文件中的数据还原到目标硬盘上,包括分区、文件系统和用户数据等。 9.试用 Ghost 软件备份系统盘。 答案:略 10.试用 EasyRecovery 恢复丢失的文件。 答案:略

第 3 章 密码技术
习题参考答案 1.什么是密码技术?密码技术的发展经历了哪几个阶段? 答: 密码学是研究信息系统安全保密的科学, 具体研究数据的加密、 解密及变换, 是密码编码学(使 消息保密的科学与技术)和密码分析学(破译密文的科学与技术) 的总称。 密码学的发展可划分为三个阶段: 第一阶段为从古代到 1949 年。这一时期可以看作是科学密码学的前夜时期,主要代表有棋盘密码 和凯撒密码。 第二阶段为从 1949 年到 1975 年。这段时期密码学理论的研究工作进展不大,公开的密码学文献很 少。Shannon 发表的“保密系统的信息理论”为私钥密码系统建立了理论基础,从此密码学发展成为一 门具有艺术性的科学。 第三阶段为从 1976 年至今。美国斯坦福大学的迪菲(Diffie)和赫尔曼(Hellman)两人发表的 “密 码学的新动向”一文导致了密码学上的一场革命,从而开创了公钥密码学的新纪元。 2. 密码体制的组成和分类有哪些? 答: 通常情况下, 一个密码体制由 5 个部分组成: 明文信息空间 M; 密文信息空间 C; 密钥空间 K; 加密变换 Ek: M→C,其中 k∈K;解密变换 Dk:C→M,其中 k∈K。 密码体制分为对称密钥密码技术(私钥加密)和非对称密钥密码技术(公钥加密)。 对称密钥密码体制从 加密模式上可分为序列密码和分组密码两大类;非对称密码体制加密使用两个不同的密钥:一个公共密

钥和一个专用密钥。公共密钥加密算法主要有:RSA 算法、背包算法、椭圆曲线算法等。 3. 什么是对称密码体制和非对称密码体制?两者有何区别和联系? 答:对称(传统)密码体制是从传统的简单换位、代替密码发展而来的。对称密钥密码体制从加密 模式上可分为序列密码和分组密码两大类。 1976 年,Diffie、Hellman、Merkle 分别提出了非对称密码体制的思想,这种密码体制不同于传统的 对称密钥密码体制,它要求使用两个不同的密钥:一个公共密钥和一个专用密钥。用户首先要保障专用 密钥的安全,公共密钥则可以公开发布信息。因公共密钥与专用密钥是紧密联系的,用公共密钥加密的 信息只能用专用密钥解密,反之亦然。除加密功能外,公钥系统还可以提供数字签名。公共密钥加密算 法主要有:RSA 算法、背包算法、椭圆曲线算法等。 对称密码体制和非对称密码体制两者的区别和联系如下: 对称密码体制和非对称密码体制是密码体制的两种不同的分类。 对称密码体制是应用较早的密码体制,技术成熟。在对称密码体制中,使用的密钥只有一个,发收 信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称密码体制 的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是交易双方都使用同样密钥,安全 性得不到保证。密钥管理成为了用户的负担。对称密码体制在分布式网络系统上使用较为困难,主要是 因为密钥管理困难,使用成本较高。 非对称密码体制使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用非对称密 码体制加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。由于非对称 密码体制拥有两个密钥,特别适用于分布式系统中的数据加密。 4. 比较 DES 密码算法和三重 DES 算法。 答:DES 密码是一种采用传统加密方法的第一个分组密码,是目前应用最广泛的分组对称密码算法, 发展至今已成为工业界的标准密码算法。 DES 加密算法属于密钥加密算法(对称算法) ,输入的是 64 比特的明文组,在 64 比特密钥的控制下 产生 64 比特的密文。 比特的密钥中含有 8 个比特的奇偶校验位, 64 所以实际有效密钥的长度为 56 比特。 DES 解密算法输入的是 64 比特的密文,输出 64 比特的明文,解密算法与加密算法一样,只是将密 钥组的使用次序反过来。 DES 解密算法与 DES 加密算法基本相同,不同之处在于 DES 解密时使用的密钥顺序与 DES 加密过程 中密钥的使用顺序刚好相反,其他各参数及算法均相同。 DES 现在已经不被视为一种安全的加密算法,因为它使用的 56 位密钥过短。针对 56 位密钥长度的 DES 算法不安全的因素,人们提出了多重 DES 算法,主要有双重 DES 及三重 DES。三重 DES 加密主要有 4 种工作模式,分别如下。 (1)DES-EEE3 模式:共使用三个不同的密钥,并顺次使用三次 DES 加密算法。 (2)DES-EDE3 模式:共使用三个不同的密钥,依次使用“加密-解密-加密”这样一个复合加密过 程。加密解密表达式为:C=Ek3(Dk2(Ek1(P) ) P=Dk1(Ek2(Dk3(P) ) (3)DES-EEE2 模式:顺序使用三次 DES 加密算法,其中第一次和第三次使用的密钥相同,即加密 解密表达式为:C=Ek1(Ek2(Ek1(P) ) P=Dk1(Dk2(Dk1(P) ) (4)DES-EDE2 模式,依次使用“加密-解密-加密”算法,其中第一次和第三次使用的密钥相同, 加密解密表达式为:C=Ek1(Dk2(Ek1(P) ) P=Dk1(Ek2(Dk1(P) ) 5. IDEA 算法的工作原理是什么? 答:IDEA 算法是对称密码体制中的一种基于数据块的分组加密算法,整个算法包含子密钥产生、

数据加密过程、数据解密过程三个部分。该算法规定明文块与密文块均为 64 比特,密钥长度为 128 比 特,加密与解密算法相同,只是密钥各异,其基本工作原理如下图所示。

密钥发生器

明文

加密器 E

解密器 D

密文

IDEA 工作原理 6. 简述 RSA 算法的优点和缺点。 答:RSA 算法的优点: (1)RSA 算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。普遍认为是目前 最优秀的公钥方案之一。 (2)RSA 算法的加密密钥和加密算法分开,使得密钥分配更为方便。它特别符合计算机网络环境。 (3)RSA 算法解决了大量网络用户密钥管理的难题,这是公钥密码系统相对于对称密码系统最为 突出的优点。 RSA 算法的缺点: (1) 产生密钥很麻烦,受到素数产生技术的限制,姥以做到一次一密。 (2) RSA 的安全性依赖于大数的因子分解。但并没有从理论上证明破译 RSA 的难度与大数分解难度 等价,而且密码学界多数人士倾向于因子分解不是问题。 (3) 加解密速度太慢。由于 RSA 算法的分组长度太大,为保证安全性,n 至少也要 600 比特以上, 这样使运算代价很高,尤其是加解密速度较慢,较对称密码算法慢几个数量级;而且随着大数分解技术 的发展,n 的长度还在增加,不利于数据格式的标准化。

第 4 章 数字签名与认证技术
习题参考答案 1. 什么是数字签名技术?它的实现方法有哪些? 答:数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变 换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人伪造。它 是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。 实现数字签名有很多方法,从整体上来说分为两类:用非对称加密算法进行数字签名和用对称加密 算法进行数字签名。 2. 常见的口令攻击技术有哪些? 答:常见的口令攻击方式有3种,即从用户主机中获取口令,在通信线路上截获口令,从远端系统 中破解口令。常见的口令攻击方法有:社会工程学、猜测攻击、字典攻击、穷举攻击、混合攻击、直接 破解系统口令文件、嗅探器、键盘记录器。 3. 什么是生物特征识别技术?列举生活中常见的生物特征识别技术。 答:生物识别技术是指利用人体生物特征进行身份认证的一种技术。具体来说,生物特征识别技术

就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的 生理特性和行为特征来进行个人身份的鉴定。 生活中常见的生物特征识别技术有:指纹识别、虹膜识别、面部识别、手型识别。 4. 什么是指纹识别?简述其工作原理。 答:指纹识别指通过比较不同指纹的细节特征来进行鉴别。由于每个人的指纹不同,就是同一人的 十指之间,指纹也有明显区别,因此指纹可用于身份鉴定。 指纹识别的原理步骤如下: (1)集取:首先利用指纹扫描器,将指纹的图形及其他相关特征集取下来。 (2)演算:将图形及相关特征,运用程序进行运算及统计,找出该指纹具有所谓“人人不同且 终身不变的特性”的相关特征点,并将其数位化。 (3)传送:将数位化的指纹特征在电脑上运用各种方式传送,不论是其传送方式或加解密方式, 均仍保留该特性。 (4)验证:传送过来的数据再经运算、验证其与资料库中比对资料的相似程度。如果达到一定 达到一定程度以上的统计相似度、差异在某种极低的几率以下,即可代表这是由本人传送过来的指纹数 据。故只要符合上述原理,中间无任何转换上的漏失且在一定的比对值以上,均可确认是本人的指纹。 5. 什么是虹膜识别?简述其工作原理。 答:虹膜身份识别技术即利用虹膜图像进行自动虹膜识别,它是一项创新技术,它涉及现代数学、 信号处理、模式识别、图像处理等多个领域,是当今国际计算机应用领域前沿性的研究课题之一。 虹膜识别的工作原理为: (1)由一个专用的摄像头拍摄虹膜图像。 (2)专用的转换算法会将虹膜的可视特征转换成一个 512 字节长度的虹膜代码。 (3) 识别系统将生成的代码与代码库中的虹膜代码进行逐一比较, 当相似率超过某个边界值 (一 般是 67%)时,系统判定检测者的身份与某个样本相符,而如果相似程度低于这个边界值,系统就会认 为检测者的身份与该样本预期身份不符合,进入下一轮的比较。

第 5 章 信息隐藏技术
习题参考答案 1.什么是信息隐藏? 答:信息隐藏,也叫数据隐藏。简单地说,信息隐藏就是将秘密信息隐藏于另一非保密的载体 之中,载体可以是图像、音频、视频、文本,也可以是信道,甚至编码体制或整个系统。广义的信 息隐藏包括隐写术、数字水印、数字指纹、隐藏信道、阈下信道、低截获概率和匿名通信等。从狭 义上看,信息隐藏就是将一个机密信息隐藏于另一个公开的信息中,然后通过公开信息的传输来传 递机密信息。狭义的信息隐藏通常指隐写术和数字水印以及数字指纹。 2.简述几种典型的信息隐藏技术。 答:典型的信息隐藏技术包括时域替换技术、变换域技术和可视密码技术。 时域替换技术的基本原理是用秘密信息比特替换掉封面信息中不重要的部分,以达到对秘密信 息进行编码的目的。时域替换技术具有较大的隐藏信息量(容纳性)和不可见性(透明性) ,但稳 健性(鲁棒性)较弱。这种技术比较有代表性的是最不重要比特位(LSB)方法。 变换域技术的基本原理是将秘密信息嵌入到数字作品的某一变换域中。这种技术比时域替换技

术能更有效地抵御攻击,并且还保持了对人的不易觉察性。变换域方法具有较强的不可见性和稳健 性,是目前应用很广泛的算法。但变换域技术的复杂性和技术性与时域替换技术相比都要更高。 可视密码技术是 Naor 和 Shamir 于 1994 年首次提出的,其主要特点是恢复秘密图像时不需要 任何复杂的密码学计算,而是以人的视觉即可将秘密图像辨别出来。 3. 信息隐藏技术有哪些特点? 答:信息隐藏技术通常有以下特点: (1)透明性或不可感知性(2)鲁棒性(3)安全性(4)不 可检测性(5)自恢复性(6)嵌入强度(信息量) 4.什么是数字水印? 答:数字水印是利用人类感知器官的不敏感特性以及多媒体数据中存在的冗余,通过一定的算 法将秘密信息隐藏到宿主信息中,且水印的添加不会影响原数据的内容和正常使用。嵌入到多媒体 数据中的信息可以是数字、序列号、文字、图像标志等,以起到版权保护、标识产品、秘密通信、 验证归属权、鉴别数据真伪等作用。一般情况下秘密消息需要经过适当变换后才能嵌入到数字作品 中,通常把经过变换的秘密信息叫做数字水印。 5.数字水印有哪些特性? 答:数字水印的特性有: (1)有效性(2)逼真度(3)数据容量(4)盲检测与明检测(5)虚 检率(6)鲁棒性(7)安全性。 6.简述数字水印的几种典型算法。 答:数字水印的典型算法有: (1)最低有效位算法(LSB) 最低有效位算法是第一个数字水印算法,是一种典型的空间域信息隐藏算法。LSB 算法虽然可 隐藏较多的信息,但隐藏的信息可以被轻易移去,无法满足数字水印的鲁棒性要求,因此现在的数 字水印软件已经很少采用 LSB 算法。 (2) Patchwork 算法 Patchwork算法主要用于打印票据的防伪。Patchwork算法隐藏在特定图像区域的统计特性中, 其鲁棒性很强,可以有效地抵御剪切、灰度校正、有损压缩等攻击,其缺陷是数据量较低,抵抗 力较弱。 (3)DCT 变换域数字水印算法 DCT 变换域数字水印是目前研究最多的一种数字水印,它具有鲁棒性强、隐蔽性好的特点。其 主要思想是在图像的 DCT 变换域上选择中低频系数叠加水印信息。 (4)直接序列扩频水印算法 该算法是扩频通信技术在数字水印中的应用。扩频通信将待传递的信息通过扩频码调制后散 布于非常宽的频带中,使其具有伪随机特性。收信方通过相应的扩频码进行解扩,获得真正的传输 信息。扩频通信具有抗干扰性强、高度保密的特性。 7.数字视频水印的嵌入算法有哪些? 答:数字视频水印的嵌入算法很多,可以分为两大类:在原始视频中嵌入水印和在压缩视频流 中嵌入水印。在原始视频中嵌入水印的方法又可以分为在空间域嵌入水印和在变换(频率)域嵌 入水印。在压缩视频中嵌入水印一般考虑 MPEG 编码标准。在 MPEG 编码标准中,有 3 种图像 类型:内部编码帧(I 帧)、前向预测帧(P 帧)和双向预测帧(B 帧)。 8. 视频水印攻击分为哪几类? 答:目前视频水印的攻击主要有以下 4 种情况: (1)简单攻击(2)检测失效攻击(3) “混淆” 攻击(4)移去水印攻击。

第 6 章 计算机病毒防范技术
习题参考答案 1.简述计算机病毒的定义和特征。 答:计算机病毒的定义:广义上,能够引起计算机故障,破坏计算机数据的程序都可称为计算机病 毒;狭义上,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并 能自我复制的一组计算机指令或者程序代码。

计算机病毒主要有以下几种特征:破坏性、传染性、隐蔽性、寄生性、潜伏性、可触发性、针对性、 不可预见性。 2.计算机病毒由哪些模块组成?各模块有什么功能? 答:计算机病毒程序一般由三大模块组成:引导模块、传染模块、破坏/表现模块。 各模块的功能:引导模块的作用是把计算机病毒由外存引入到内存,使传染模块和破坏模块处于活 动状态;计算机病毒的传染模块主要是将计算机病毒传染到其他对象上去。破坏/表现模块的主要作用是 实施计算机病毒的破坏/表现功能,是计算机病毒的主体模块,它负责实施计算机病毒的破坏/表现动作, 这些动作可能是破坏文件、损坏数据或占用系统资源等,干扰系统正常运行,甚至造成系统瘫痪。 3.简述宏病毒的工作机制,以及清除宏病毒的方法。 答:宏病毒利用宏语言(VBA,Visual Basic For Application)编写,宏病毒不传染可执行文件, 而是将特定的宏命令代码附加在指定的文档文件上,当打开带有宏病毒的文档文件时,宏病毒就会被激 活,并转移到计算机中,驻留在 Normal 模板上,执行宏的时候,会将这些命令或动作激活。所有自动 保存的文档都会“感染”上这种宏病毒。宏病毒通过文档文件的打开或关闭操作来获得系统的控制权, 实现宏病毒在不同文档文件之间的共享和传递,达到传染的目的。 清除宏病毒有两种方法: (1)手工删除宏:打开微软办公自动化系列软件中的宏管理器(工具→宏(M)→宏(M)→管理 器(G),将不明来源的自动执行宏删除即可。 ) (2)使用杀毒软件清除:目前的杀毒软件都具备清除宏病毒的能力,可利用杀毒软件对文档文件 进行杀毒,以清除宏病毒。 4.计算机病毒的常用诊断检测方法有哪些? 答:计算机病毒的常用诊断检测方法有:特征码法、校验和法、行为监测法、软件模拟法、VICE 先知扫描法等。 5.网络病毒有哪些特征?怎样防范网络病毒? 答:网络病毒的特征有: (1)传播方式多样化(2)传播速度更快(3)姥以彻底清除(4)破坏性 更大(5)网络病毒触发条件的多样化(6)潜在的危险更大。 在网络操作系统中一般提供了目录和文件访问权限与属性两种安全措施,属性优先于访问权限。可 以根据用户对目录和文件的操作能力分别分配不同的访问权限和属性,比如对于公用目录中的系统文件 和工具软件,只设置成只读属性;系统程序所在的目录不授权修改权和超级用户权。这样,计算机病毒 就无法对系统程序实施感染和寄生,其他的用户也不会感染病毒。网络上公用目录或共享目录的安全性 措施对于防止计算机病毒在网上传播起到了积极作用,采用基于网络目录和文件安全性的方法对防止网 络病毒也起到了一定的作用。 防范网络病毒要充分利用网络操作系统本身所提供的安全保护措施,加强网络安全管理,做好网络 病毒的预防工作,以减小网络病毒对网络用户所造成的危害。 6.如何清除计算机病毒? 答:常用的清除计算机病毒的方法有: (1)杀毒软件清除法 (2)主引导区信息恢复法 当计算机系统感染上引导型病毒时,可采用备份的主引导扇区文件进 行覆盖,从而恢复主引导扇区信息。 (3)程序覆盖法 适合于文件型病毒,一旦发现某些程序或文件被感染了文件型病毒,可重新安 装该程序,安装过程根据提示信息对所有文件进行覆盖,即可清除病毒。 (4)格式化磁盘法 是最彻底的清除计算机病毒的办法。对于一些较顽固的计算机病毒,只能采 用格式化或者低级格式化磁盘的方法来进行清除。 (5)手工清除法 适合于所有的计算机病毒,特别是对那些新出现的未知的计算机病毒,不过这 种方法要求的专业性稍高一些,一般适用于计算机类专业人员操作。 7.试为你所在学校的校园网制定安全的网络管理规范?(答案略) 提示:根据所在学校校园网的发展规模和实际情况制定相应的网络管理规范。

第 7 章 网络攻击与防范技术
习题参考答案:

1.网络监听的原理是什么? 答:在一个实际的局域网络中,数据的收发是由网卡来完成的,网卡内的单片程序解析数据帧中的 目的 MAC 地址,并根据网卡驱动程序设置的接收模式判断该不该接收,如果该接收,就接收数据,同 时产生中断信号通知 CPU,否则丢弃。如果将网卡的工作模式设置为“混杂模式” ,那么网卡将接受所 有传递给它的数据包,这就是网络监听的基本原理。 2.网络监听的防范和检测有哪几种方式? 答: (1)采用 ARP(Address Resolution Protocol,地址解析协议)技术进行检测。 (2)采用 DNS 技术进行检测。 (3)采用网络和主机响应时间测试的方法进行检测。 3.缓冲区溢出攻击的防范分哪几个步骤? 答:缓冲区溢出攻击的防范分两个步骤: (1)将攻击代码植入被攻击程序中; (2)使被攻击程序跳转到植入的攻击代码处执行。 4.IP 欺骗攻击的原理是什么? 答:IP 欺骗,简单来说就是向目标主机发送源地址为非本机 IP 地址的数据包。 5.简述 IP 欺骗攻击的步骤。 答:IP 欺骗的攻击步骤如以下所示: (1) 假设 Z 企图攻击 A,而 A 信任 B。 (2) 假设 Z 已经知道了被信任的 B,就使用某种方法使 B 的网络功能暂时瘫痪,以免对攻击造成干 扰。 (3) Z 对 A 当前的 ISN 号进行取样。Z 还要知道 A 当前的 TCP 的初始顺序号 ISN。Z 首先与 A 的一 个端口建立一个正常的链接,如主机 Z 的 25 端口,并记录 A 的 ISN,以及 Z 到 A 的大致往返时间 RTT (Round Trip Time) 。通常,这个过程要重复多次以便求出 RTT 的平均值和存储最后发送的 ISN。在 Z 知道了 A 的 ISN 基值和增加规律(比如 ISN 每秒增加 128 000,每次链接增加 64 000)后,也知道了从 Z 到 A 需要的 RTT/2 的时间。这时必须立即进行攻击,否则在这之间会有其它主机与 A 链接,ISN 将比 预料的多出 64 000。 (4) Z 向 A 发送带有 SYN 标志的数据段请求链接,只是源 IP 改成了 B, B 因为遭受到 Z 的攻击, 已经无法响应。 (5) Z 等待一会儿,让 A 有足够时间发送 SYN+ACK 数据(Z 看不到这个包) 。然后 Z 再次伪装成 B 向 A 发送 ACK 数据包,此时发送的数据段带有 Z 预测的 A 的 ISN+1。如果 Z 的预测准确,A 将会接收 ACK,Z 与 A 的连接建立,数据传送开始,Z 就可以使用命令对 A 进行非授权操作。 6.如何防范 DoS 和 DDoS 攻击? 答: (1)在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全 界限,确保输出的数据包能够受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。 (2)用网络安全设备(如防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所 有可能的伪造数据包。 (3) 网络服务提供商协调工作, 让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。 (4)用户发现自己正在遭受 DDoS 攻击时,应当启动自己的应对策略,尽可能快地追踪攻击包, 并且及时联系 ISP 和有关应急组织,分析受影响的系统,确定涉及的其他结点,从而阻挡从已知攻击结 点的流量。 (5)如果用户是潜在的 DDoS 攻击受害者,并且发现自己的计算机被攻击者用作受控服务器端和 攻击服务器端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的 漏洞,将会对用户的系统产生一个很大的威胁。所以用户只要发现系统中存在 DDoS 攻击的工具软件要 及时把它清除,以免留下后患。 7.S/MIME 提供哪些功能? 答:S/MIME 提供以下功能: (1)封装数据:加密内容和加密密钥 (2)签名数据:发送者对消息进行签名,并用私钥加密,对消息和签名都使用 base64 编码,签名后 的消息只有使用 S/MIME 的接收者才能阅读。

(3) 透明签名数据: 发送者对消息签名, 但只有签名使用 base64 编码, 接收者即使没有使用 S/MIME, 也可以阅读消息内容,但不能验证签名。 (4)签名和封装数据:加密后的数据可以再签名,签名和透明签名过的数据可以再加密。 8.IPSec 安全体系结构中包括了哪几种最基本的协议? 答:IPSec 安全体系结构中包括以下 3 种最基本的协议: (1)认证头 AH(Authentication Header)协议为 IP 包提供信息源认证和完整性保证。 (2)封装安全 ESP(Encapsulating Security Payload)协议提供加密保证。 (3) Internet 安全协会和密钥管理 ISAKMP(Internet Security Association and Key Management Protocol)协议提供双方交流时的共享安全信息,它支持 IPSec 协议的密钥管理要求。 9.简述 SSL 传输数据的过程。 答:SSL 传输数据的过程为: (1)客户端向服务器端发送客户端 SSL 版本号、加密算法设置、随机产生的数据和其他服务器需要 用于跟客户端通讯的数据。 (2)服务器向客户端发送服务器的 SSL 版本号、加密算法设置、随机产生的数据和其他客户端需要 用于跟服务器通讯的数据。另外,服务器还要发送自己的证书,如果客户端正在请求需要认证的信息, 那么服务器同时也要请求获得客户端的证书。 (3)客户端用服务器发送的信息验证服务器身份。如果认证不成功,用户将得到一个警告,然后加 密数据连接将无法建立。如果成功,则继续下一步。 (4) 创建连接所用的预制秘密密钥, 并用服务器的公钥加密 (从第 2 步中传送的服务器证书中得到) , 传送给服务器。 (5)如果服务器也请求客户端验证,那么客户端将对用于建立加密连接使用的数据进行签名。把这 次产生的加密数据和自己的证书同时传送给服务器用来产生预制秘密密钥。 (6)服务器将试图验证客户端身份,如果客户端不能获得认证,连接将被中止,如果被成功认证, 服务器用自己的私钥加密预制秘密密钥,然后执行一系列步骤产生主密钥。 (7)服务器和客户端同时产生 Session Key 之后的所有数据都是用对称密钥算法来进行交流的。 (8)客户端向服务器发送信息说明以后的所有信息都将用 Session Key 加密。至此,它会传送一个单 独的信息标识客户端的握手部分己经宣告结束。 (9)服务器向客户端发送信息说明以后的所有信息都将用 Session Key 加密。至此,它会传送一个单 独的信息标识服务器端的握手部分已经宣告结束。 (10)SSL 握手过程成功结束,一个 SSL 数据传送过程建立。客户端和服务器开始用 Session Key 加 密、解密双方交互的所有数据。 10.简述 SET 协议的工作过程。 答:SET 协议的工作过程为: (1)消费者利用自己的 PC 机通过因特网选定所要购买的物品,并在计算机上输入订货单,订货单 上包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 (2)通过电子商务服务器与有关在线商店联系在线商店作出应答,告诉消费者所填订货单的货物单 价、应付款数,交货方式等信息是否准确,是否有变化。 (3)消费者选择付款方式,确认订单签发付款指令此时 SET 开始介入。 (4)在 SET 中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不 到消费者的帐号信息。 (5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到 电子货币发行公司确认。批准交易后,返回确认信息给在线商店。 (6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。 (7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发 卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行 结一天的帐。 11.VPN 具有哪些特点? 答:VPN 的特点有: (1)使用 VPN 专用网的构建将使费用大幅降低。VPN 不需要像传统的专用网那样租用专线,设置

大量的数据机或远程存取服务器等设备。 例如, 远程访问 VPN 用户只需通过本地的信息服务提供商 (ISP) 登录到 Internet 上,就可以在他的办公室和公司内部网之间建立一条加密信道,用这种 Internet 作为远程 访问的骨干网方案比传统的方案(如租用专线或远端拨号等)更易实现,费用更少。 (2)VPN 灵活性大。VPN 方便更改网络结构,方便连接新的用户和网站。 (3)VPN 易于管理维护。VPN 中可以使用 RADIUS(Remote Authentic Dial In User Service)来简化 管理,使用 RADIUS 时,从管理上只需维护一个访问权限的中心数据库来简化用户的认证管理,无须同 时管理地理上分散的远程访问服务器的访问权限和用户认证。同时在 VPN 中,较少的网络设备和线路 也使网络的维护较容易。 12.VPN 的实现技术有哪几种? 答:VPN 的实现技术有以下 4 种: (1) 隧道协议 (2) 隧道服务器 (3) 认证 (4) 加密 13.简述构建 VPN 的一般步骤。 答:构建 VPN 的一般步骤为: (1)架设 VPN 服务器; (2)给用户分配远程访问的权限; (3)在 VPN 客户端建立 Internet 连接; (4)在 VPN 客户端建立 VPN 拨号连接; (5)VPN 客户端连上 Internet 并与 VPN 服务器建立连接。 构建好 VPN 之后可以从以下 3 个方面来验证是否已经成功构建了 VPN: (1)构建的 VPN 是否可以直接访问内网的计算机资源。 (2)构建的 VPN 是否可以访问 VPN 服务器的 Internet 接口。 (3) 验证数据在传输过程是否被加密, 可以分别在内网的计算机和 VPN 服务器上安装网络监视器, 从外网发起访问,捕获并分析数据包是否被加密。

第 8 章 防火墙技术
习题参考答案 1.简述防火墙的定义。 答:防火墙是一种隔离控制技术。它是位于两个信任程度不同的网络之间的能够提供网络安全保障 的软件或硬件设备的组合,它对两个网络之间的通讯进行控制,按照统一的安全策略,阻止外部网络对 内部网络重要数据的访问和非法存取,以达到保护系统安全的目的。 2.防火墙的主要功能有哪些?又有哪些局限性? 答:主要功能:① 过滤进出网络的数据信息。 ② 管理进出网络的访问行为。 ③ 便于集中安全保护。 ④ 对网络存取和访问进行监控审计。 ⑤ 实施 NAT 技术的理想平台。 局限性:① 防火墙不能防范不经过防火墙的攻击。 ② 防火墙不能防范网络内部的攻击。 ③ 防火墙不能防范内部人员的泄密行为。 ④ 防火墙不能防范因配置不当或错误配置引起的安全威胁。 ⑤ 防火墙不能防范利用网络协议的缺陷进行的攻击。 ⑥ 防火墙不能防范利用服务器系统的漏洞进行的攻击。 ⑦ 防火墙不能防范感染病毒文件的传输。 ⑧ 防火墙不能防范本身安全漏洞的威胁。 ⑨ 防火墙不能防范人为的或自然的破坏。 3.什么是堡垒主机?堡垒主机有哪几种类型?堡垒主机的作用是什么?

答:堡垒主机是一种被强化的可以防御进攻的主机。根据不同的安全要求,有单宿主堡垒主机、双 宿主堡垒主机和受害堡垒主机 3 种类型。堡垒主机基本上都被放置在网络的周边或非军事区,作为进入 内部网络的一个检查点,从而把整个网络的安全问题都集中在堡垒主机上解决。 4.什么是 DMZ?为什么要设立 DMZ?DMZ 中一般放置哪些设备? 答:DMZ(Demilitarized Zone,非军事区或隔离区)指为不信任系统服务的孤立网段。它把内部网 络中需要向外提供服务的服务器集中放置到一个单独的网段,与内部网络隔离开,这个网段就是 DMZ。 它解决了需要公开的服务与内部网络安全策略相矛盾的问题。 DMZ 区中一般放置堡垒主机、 提供各种服 务的服务器和 Modem 池。 5.屏蔽路由器体系结构的优缺点是什么? 答:屏蔽路由器体系结构的优点是结构简单,容易实现,成本低廉。只需在边界路由器中加入一个包 过滤软件就可以了,现在标准的路由器软件中都包含有过滤功能;屏蔽路由器对用户是透明的,无需修 改、配置用户主机。 缺点是:不能识别不同的用户;屏蔽路由器没有较好的监视和日志功能、报警功能,无法保留攻击踪 迹,不易发觉入侵行为;依赖一个单一的设备保护系统的风险比较大;被保护的内部网络主机与外部网 络的主机直接通信,使整个网络受到威胁。 6.双宿主主机体系结构的特点有哪些?其主要的缺点是什么? 答:双宿主主机结构是在外部网络和内部网络之间放置一台双宿主堡垒主机作为防火墙。双宿主堡 垒主机的两个网卡分别连接内、外部网络,监控过往数据。内、外网络通信必须经过堡垒主机。堡垒主 机不使用包过滤规则,而是相当于一个网关,割断了两个网络 IP 层之间的直接通信。两个网络之间的通 信是通过应用层数据共享或应用层代理服务来实现。 堡垒主机上运行的防火墙软件, 可以转发应用程序, 提供服务等。 双宿主主机结构主要的缺点是:一旦攻击者侵入堡垒主机并使其具有路由功能,则任何外部网络用 户都可以随便访问内部网络。 7.包过滤技术的原理是什么?状态检测技术有哪些优势? 答:包过滤技术是一种基于网络层的防火墙技术,其核心是包过滤算法的设计,也叫做安全策略设 计。 包过滤防火墙读取流过它的每一个数据包的报头信息, 然后用预先设定好的过滤规则与之逐条匹配。 匹配成功的数据包按照过滤规则允许通过的被转发,不允许通过的则被丢弃。如果没有一条过滤规则与 数据包报头的信息匹配,防火墙会使用丢弃这一默认规则丢弃数据包。包过滤技术检查数据包报头的信 息主要有:源 IP 地址、目的 IP 地址、TCP/UDP 源端口号、TCP/UDP 目的端口号、TCP 标志位、协议 等。 状态检测技术的优点是:具有识别带有欺骗性源 IP 地址包的能力;能够提供详细的日志;检查的层 面能够从网络层至应用层。其缺点是可能会造成网络连接的某种延时,特别是在有许多连接同时激活或 有大量的过滤规则存在时。但这种情况将随着硬件运行速度的不断提升越来越不易察觉。 8.包过滤规则的建立要遵循哪些原则? 答:包过滤规则的建立要遵循的原则有: ① 遵循“拒绝所有”安全策略。利用防火墙先把内、外网络隔离,在隔离的基础上再有条件的开 放,可以大大减少网络安全危险。 ② 规则库应该阻止任何外部网络用户对位于防火墙后面的内部网络主机的访问。但应该放开对 DMZ 区应用服务器的访问。 ③ 规则库应该允许内部网络用户有限制的访问外部网络。 9.代理服务技术的工作原理是什么?应用层网关与电路层网关的区别是什么? 答:代理服务是指代表客户处理连接请求的专用应用程序,也可称为代理服务器程序。代理服务器 得到一个客户的连接意图时,先对客户的请求进行核实,并用特定的安全化的代理应用程序处理连接请 求,然后将处理后的请求传递到真正的服务器上,再接收真正服务器的应答,做进一步处理后将答复交 给发出请求的第一个客户。客户对代理服务器中间的传递是没有任何感觉的,还以为是直接访问了服务 器。而对真正的服务器来说也是看不到真正的客户的,只看到代理服务器,以为代理服务器就是客户。 这样代理服务器对客户就起到了保护作用。 应用层网关的核心技术就是代理服务器技术,是基于软件的,通常安装在带有操作系统的主机上。 它通过代理技术参与到一个 TCP 连接的全过程,并在网络应用层上建立协议过滤和转发功能,所以叫做

应用层网关; 电路层网关也称为 TCP 通道, 它通过在 TCP 三次握手建立连接的过程中, 检查双方的 SYN、 ASK 和序列号是否合乎逻辑, 来判断该请求的会话是否合法。 一旦网关认为会话是合法的, 就建立连接, 并维护一张合法会话连接表,当会话信息与表中的条目匹配时才允许数据包通过,会话结束后,表中的 条目就被删除。电路层网关适用于多种协议,但不解释应用协议中的命令就建立了连接。 10.简述自适应代理技术的工作原理。 答:自适应代理技术的组成有两个基本要素:自适应代理服务器和动态包过滤器。在自适应代理与 动态包过滤器之间存在一个控制通道。初始的安全检查仍在应用层中进行,保证传统防火墙的最大安全 性,一旦可信任的身份得到认证,建立了安全通道,随后的数据包就重新定向到网络层传输。这里做定 的仍然是代理。

第 9 章 入侵检测技术
习题参考答案 1.什么是入侵检测?什么是入侵检测系统?入侵检测系统的功能有哪些? 答:入侵检测(Intrusion Detection,ID)就是通过从计算机网络或计算机系统中的若干关键点收 集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做 出响应。 入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略,为系统建立的安全 辅助系统;是完成入侵检测功能的软件、硬件的集合。 总体来说其主要功能有: (1) 用户和系统行为的检测和分析。 (2) 重要的系统和数据文件的完整性评估。 (3) 系统配置和漏洞的审计检查。 (4) 异常行为模式的统计分析。 (5) 已知的攻击行为模式的识别。 (6) 操作系统的审计跟踪管理及违反安全策略的用户行为的识别。 2.根据 CIDF 模型,入侵检测系统一般由哪几部分组成?各部分的作用是什么? 答:CIDF 模型的 4 个组件和各自的作用如下: (1) 事件产生器(Event Generators),即信息获取子系统,用于收集来自主机和网络的事件信息, 为检测信息提供原始数据,并将这些事件转换成 CIDF 的 GIDO(统一入侵检测对象)格式传送给其他组 件。 (2) 事件分析器(Event Analyzers),即分析子系统,是入侵检测系统的核心部分。事件分析器分 析从其他组件收到 GIDO(统一入侵检测对象),并将产生的新 GIDO(统一入侵检测对象)再传送给其他 组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。 (3) 响应单元(Response Units),即响应控制子系统。响应单元处理收到 GIDO(统一入侵检测对 象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。 (4) 事件数据库(Event Databases),即数据库子系统,用来存储系统运行的中间数据并进行规 则匹配的安全知识库。 3.根据系统所检测的对象分类,入侵检测系统有哪些类型?各有何优缺点? 答:根据系统所检测的对象分类:基于主机的入侵检测系统(Host-based IDS,HIDS)、基于网络的 入侵检测系统(Network-based IDS,NIDS)和混合入侵检测系统(Hybrid IDS,混合 IDS)。 HIDS 的优点是:主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息;HIDS 通常情况下比网络入侵检测系统误报率要低;HIDS 可部署在那些不需要使用入侵检测、传感器与控制台 之间通信带宽不足的情况;HIDS 在不使用诸如“停止服务” 、“注销用户”等响应方法时风险较少。 HIDS 缺点有:HIDS 安装在我们需要保护的设备上;HIDS 依赖于服务器固有的日志与监视能力;全 面部署 HIDS 代价较大;HIDS 除了监测自身的主机以外,根本不监测网络上的情况;对入侵行为分析的 工作量将随着主机数目增加而增加。 NIDS 的优点是: NIDS 能够检测那些来自网络的攻击,它能够检测到超出授权的非法访问;一个网 络入侵检测系统不需要改变服务器等主机的配置; NIDS 发生了故障也不会影响正常业务的运行;NIDS 安装方便。

NIDS 的缺点有:NIDS 只检查它直接连接网段的通信,不能检测在不同网段的网络包;NIDS 很难实 现一些复杂的需要大量计算与分析时间的攻击检测;NIDS 可能会将大量的数据传回分析系统中,从而影 响网络的速度;NIDS 处理加密的会话过程较困难。 混合 IDS 是综合了基于网络和基于主机两种结构特点的入侵检测系统, 既可发现网络中的攻击信息, 也可从系统日志中发现异常情况。 虽然这种解决方案覆盖面极大, 但是产生的数据量和费用将是巨大的。 4.根据数据分析方法分类,入侵检测系统有哪些类型?各有何优缺点? 答:根据数据分析方法分类,入侵检测系统有基于异常检测(Anomaly detection)的入侵检测系统 和基于误用检测(Misuse detection)的入侵检测系统。 基于异常检测的入侵检测系统优点是:因为是基于行为的,可以检测到新型的入侵方式;不存在入 侵特征库,避免了繁琐费时的搜索匹配工作。缺点是:阈值设置困难,活动文档需要常常维护更新,异 常检测器容易导致计算开销增大。 基于误用检测的入侵检测系统优点有:能准确检测出入侵特征库中已定义好的入侵,不会产生太多 的误报;检测结果清晰,对入侵事件有准确的定位;升级维护方便。缺点是:对于未被编码的入侵行为 它是检测不到的,即只能检测出已知的入侵,而对未知的可能入侵是无能为力的;容易产生漏报;入侵 特征库存在姥以管理和搜索的效率问题。 5.入侵检测系统有哪些分析方法? 答:入侵检测系统有哪些分析方法有:简单模式匹配、专家系统、状态转移分析、统计分析、人工免 疫、遗传算法、人工神经网络、数据挖掘和协议分析和状态协议分析技术等。 6.CIDF 文档由哪几部分组成? 答 : CIDF 的 规 格文 档由 4 部 分 组成 :体 系 结构 ( The Common Intrusion Detection Framework Architecture) 、通讯机制(Communication in the Common Intrusion Detection Framework) 、描述 语言(A Common Intrusion Specification Language) 、应用编程接口 API(Common Intrusion Detection Framework APIs) 。 7.简述 Snort 的组成和入侵检测流程。 答:Snort 由数据包解码器、检测引擎和日志/ 报警子系统三部分组成。 Snort 的入侵检测流程分为两步:第一步是规则的解析流程,包括从规则文件中读取规则和在内 存中组织规则;第二步是使用这些规则进行匹配流程。 8.简述入侵检测的局限性。 答:(1) 误报和漏报 (2) 隐私和安全 (3) 被动分析与主动发现 (4) 没有统一的测试评估标准 9.如何选购入侵检测产品? 答:(1) 入侵检测产品是否通过了国家权威机构认证 (2) 入侵检测产品结构是否合理 (3) 入侵检测产品的易用性和可扩展性 (4) 入侵检测产品的检测能力和响应能力 (5) 入侵检测产品自身的保护能力

第 10 章

操作系统安全技术

习题参考答案 1. 操作系统的安全机制有哪些? 答:操作系统的安全机制有: (1)硬件安全机制 (2)标识与鉴别 (3)访问控制 (4)最小特权管理 (5)可信通路 (6)隐蔽通道 (7) 安全审计 2. 访问控制包括哪两种方式? 访问方式通常包括自主访问控制和强制访问控制两种方式。自主访问控制是指主体对客体的访问权

限只能由客体的宿主或超级用户决定或更改。强制访问控制是由专门的安全管理员按照一定的规则分别 对操作系统中的主体和客体作相应的安全标记,而且基于特定的强制访问规则来决定是否允许访问。 3. 什么是安全审计? 安全审计是对操作系统中有关安全的活动进行记录、检查及审核。它是一种事后追查的安全机制, 其主要目标是检测和判定非法用户对系统的渗透或入侵,识别误操作并记录进程基于特定安全级活动的 详细情况,并显示合法用户的误操作。安全审计为操作系统进行事故原因的查询、定位,事故发生前的 预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和证据支持,以备在违反系统安全规则 的事件发生后能够有效地追查事件发生的地点、过程和责任人。 4.Windows 操作系统的安全机制有哪些? 答:Windows 操作系统的安全机制有: (1)活动目录服务 (2)Kerberos 协议 (3)PKI (4)智能卡 (5)加密文件系统 (6)安全配置模板 (7)安全账号管理器。 5.操作系统常规的安全配置包括哪些方面? 答:操作系统常规的安全配置包括以下五个方面: (1)停用 Guest 账号、限制用户数量; (2)创建多个管理员账号、管理员账号重命名; (3)创建陷阱账号、更改默认权限、设置安全密码; (4)设置屏幕保护密码、使用 NTFS 分区; (5)安装防病毒软件、确保备份资料盘的安全。 6.如何配置操作系统的安全策略? 答: (1)配置操作系统安全策略、关闭不必要的服务; (2)关闭不必要的端口、开启审核策略; (3)开启密码策略、开启账户策略、备份敏感数据文件; (4)不显示上次登陆用户名、禁止建立空连接。 7. 简述对操作系统安全的理解和认识。 答案(略) :提示:可从操作系统安全机制和安全配置等方面来探讨操作系统的安全。

第 11 章

数据库系统安全

习题参考答案: 1. 数据库安全包括哪些方面? 答:数据库系统安全包含系统运行安全和系统信息安全两层含义。系统运行安全指法律、政策的保 护,如用户是否具有合法权利等;物理控制安全,如机房加锁等;硬件运行安全;操作系统安全;灾害、 故障恢复;电磁信息泄漏的预防。系统信息安全指用户口令认证;用户存取权限控制;数据存取权限、 存取方式控制、审计跟踪和数据加密。 2. 数据库安全的重要性有哪些? 答:数据库安全的重要性有: (1) 保护敏感信息和数据资产 (2) 数据库安全漏洞的威胁 (3) 数据库是电子商务、ERP 系统和其它重要的商业系统的基础 3. 数据库有哪几个方面的安全需求? 答:数据库有以下七个方面的安全需求: (1)物理上数据库的完整性。预防数据库中数据物理方面的问题:如突然断电以及被灾害破坏后 能重构数据库。 (2)逻辑上数据库的完整性。保持数据库中数据的结构,比如:一个字段的修改不至于影响其他

字段。 (3)元素的完整性。保证包含在每个元素中的数据是准确的。 (4)可审计性。能够追踪到谁访问、谁修改过数据元素。 (5)访问控制。只允许用户访问被授权访问的数据,不同的用户有不同的访问模式,如读或写。 (6)用户认证。确保每个用户被正确地识别,这样既便于审计追踪也能限制对特定数据的访问。 (7)可用性。用户一般可以访问数据库以及所有被授权访问的数据。 4. 数据库有哪些安全威胁? 答:数据库的安全威胁有: (1)硬件故障引起的信息破坏或丢失。如存储设备的损坏、系统突然断电等造成信息的丢失或破 坏。 (2)软件保护失效造成的信息泄露。如操作系统漏洞、缺少存储控制机制或破坏了存储控制机制 而造成信息的泄露。 (3)应用程序设计出现漏洞。如被黑客利用安装了木马程序。 (4)计算机病毒入侵系统,造成信息的泄露、丢失或破坏。 (5)计算机放置在不安全的场所被窃听。 (6)授权者制定了不正确或不安全的防护策略。 (7)数据错误输入或处理错误。例如准备输入的数据在输入前被修改、机密数据在输入前被泄密。 (8)非授权用户的非法存取或授权用户的越权存取。 5. 数据库安全策略包括哪几种? 答:数据库的安全策略有以下 8 类: (1)最小特权策略。 (2)最大共享策略。 (3)粒度适当策略。 (4)按内容存取控制策略。 (5)开系统和闭系统策略。 (6)按存取类型控制策略。 (7)按上下文存取控制策略。 (8)根据历史存取控制策略。 6. 比较库内加密与库外加密的优缺点。 答:库内加密的优点是加密功能强,与库外加密方式相比,它的加密功能集成了 DBMS 原有的功能。此 外,对于数据库应用来说,库内加密方式是完全透明的,可以直接使用。 库内加密的缺点主要有: (1)对数据库系统影响较大。DBMS 除了完成正常的功能外,还要进行加密/解密运算,而加密/ 解密运算在服务器端进行,因此加重了数据库服务的负担。 (2)密钥管理安全风险大。由于加密密钥通常与数据库保存在一起,因此加密密钥的安全保护依 赖于 DBMS 中的访问控制机制。作为改进,可以采用额外的硬件加密器保存密钥。 (3)加密功能依赖 DBMS 开发商的支持 DBMS 通常只提供有限的加密算法与加密强度,因此自 主性大大降低。 库外加密的密钥管理比较简单,只需借用文件加密的密钥管理方法即可。缺点是对数据库的读写比 较麻烦,每次都要进行加密/解密的工作,对程序的编写和读写数据库的速度都会造成影响。 7. 举例说明数据库的分级密钥管理方式。 答:目前研究和应用比较多的是多级密钥管理体制。在加密粒度为数据项的三级密钥管理体制中, 整个系统密钥结构由主密钥、表密钥和各个数据项密钥组成。整个数据库系统有一个主密钥,每个数据 表有一个表密钥。表密钥被主密钥加密后以密文形式保存在数据字典中,数据项密钥由主密钥及数据项 所在的行、列 通过某种函数自动生成。在多级密钥体制中,主密钥是加密子系统的关键,它的安全性 在很大程度上决定了数据库系统的安全性。 8. 数据库的恢复技术有哪些? 答:数据库的恢复还有技术有:(1)数据转储 ;(2)登记日志文件。


更多相关文档:

信息安全技术课后习题答案 俞承杭版

信息安全技术课后习题答案 俞承杭版_电脑基础知识_IT/计算机_专业资料。信息安全技术课后习题答案 俞承杭版信息安全技术复习资料第一章 1. 对于信息的功能特征, 它的...

计算机网络安全课后习题答案

计算机网络安全课后习题答案_工学_高等教育_教育专区。计算机网络安全(04751)第一...计算机网络安全是指利用管理控制和技术措施,保证在 一个网络环境里,信息数据的...

计算机网络安全技术课后答案

计算机网络安全技术课后答案_计算机硬件及网络_IT/计算机_专业资料。附录 1 部分练习题参考答案第1章一、选择题 1.C 7.B 2.D 8. A 3.D 9.A 4.D 10....

信息安全技术试题答案【完整版】

信息安全技术试题答案【完整版】_IT认证_资格考试/认证_教育专区。连云港市继续教育,信息安全技术试题及答案,完整版!文档贡献者 冬天小葱 贡献于2015-11-14 ...

《计算机信息安全技术》第一次作业答案

《计算机信息安全技术》第一次作业答案_其它课程_高中教育_教育专区。《计算机信息安全技术》第一次作业答案《计算机安全技术》第一次作业一、 名词解释 (30%) 磁盘...

计算机信息安全技术练习题

计算机信息安全技术练习题_其它课程_高中教育_教育...包过滤型防火墙的工作在 OSI 网络参考模型的网络层...《计算机信息安全技术》... 16页 5下载券 计算机...

计算机网络安全课后题答案

计算机网络安全课后题答案_理学_高等教育_教育专区。第一章 绪论 1. 计算机网络...答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的...

2014计算机三级信息安全技术真题及答案

2014计算机三级信息安全技术真题及答案_IT认证_资格考试/认证_教育专区。2014 计算机三级信息安全技术真题及答案 12.下列属于良性病毒的是___D___ A.黑色星期五病...

计算机网络安全技术试卷全(含答案)

计算机科学与技术专业 《 计算机网络安全》试卷一、单项选择题(每小题 1 分,共 30 分) 在下列每小题的四个备选答案中选出一个正确的答案,并将其字母标号...
更多相关标签:
网站地图

文档资料共享网 nexoncn.com copyright ©right 2010-2020。
文档资料共享网内容来自网络,如有侵犯请联系客服。email:zhit325@126.com