1、網(wǎng)絡(luò)安全技術(shù)習(xí)題答案第1章網(wǎng)絡(luò)安全概述.簡(jiǎn)答題（1）國(guó)際標(biāo)準(zhǔn)化組織（ISO）將網(wǎng)絡(luò)安全定義為：為保護(hù)數(shù)據(jù)處理系統(tǒng)而采取的技術(shù) 和管理的安全措施，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不會(huì)因偶然和故意的原因而遭到破壞、 更改和泄露。網(wǎng)絡(luò)安全包括兩方面內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全。國(guó)際電信聯(lián)盟（ITU）將網(wǎng)絡(luò)安全定義為：網(wǎng)絡(luò)安全是集合工具、政策、安全概念、 安全保障、指南、風(fēng)險(xiǎn)管理方法、行動(dòng)、培訓(xùn)、實(shí)踐案例、技術(shù)等內(nèi)容的一整套安全管理 體系，用于保護(hù)網(wǎng)絡(luò)環(huán)境、 組織和用戶(hù)的資產(chǎn)。 組織和用戶(hù)的資產(chǎn)包括連接的計(jì)算機(jī)設(shè)備、 人員、基礎(chǔ)設(shè)施、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)、電信系統(tǒng)，以及網(wǎng)絡(luò)環(huán)境中傳輸和存儲(chǔ)的信

2、息。我國(guó)自2017年6月1日起正式實(shí)施的中華人民共和國(guó)網(wǎng)絡(luò)安全法中也對(duì)網(wǎng)絡(luò)安 全賦予了更加明確的定義：網(wǎng)絡(luò)安全是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、 干擾、破壞和非法使用及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù) 的完整性、保密性、可用性的能力。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息系統(tǒng)安全，它包括系統(tǒng)安全運(yùn)行和系統(tǒng)信 息安全保護(hù)兩個(gè)方面。其中，信息系統(tǒng)的安全運(yùn)行是信息系統(tǒng)提供有效服務(wù)（即可用性） 的前提，信息的安全保護(hù)主要是確保數(shù)據(jù)信息的保密性和完整性。（2）網(wǎng)絡(luò)安全和網(wǎng)絡(luò)空間安全的核心都是信息安全，只是出發(fā)點(diǎn)和側(cè)重點(diǎn)有所差別。 信息安全使用范圍最廣，可以指線(xiàn)下和線(xiàn)上

3、的信息安全，即既可以指稱(chēng)傳統(tǒng)的信息系統(tǒng)安 全和計(jì)算機(jī)安全等類(lèi)型的信息安全，也可以指稱(chēng)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)空間安全，但無(wú)法完全替 代網(wǎng)絡(luò)安全與網(wǎng)絡(luò)空間安全的內(nèi)涵。網(wǎng)絡(luò)安全可以指稱(chēng)信息安全或網(wǎng)絡(luò)空間安全，但側(cè)重 點(diǎn)是線(xiàn)上安全和網(wǎng)絡(luò)社會(huì)安全。網(wǎng)絡(luò)空間安全可以指稱(chēng)信息安全或網(wǎng)絡(luò)安全，但側(cè)重點(diǎn)是 與陸、海、空、天（太空）等并行的空間概念，并一開(kāi)始就具有軍事性質(zhì)。與信息安全相 比，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)空間安全反映的信息安全更立體、更寬域、更多層次，也更多樣，更 能體現(xiàn)出網(wǎng)絡(luò)和空間的特征，并與其他安全領(lǐng)域更多地滲透與融合。相同之處： 三者均類(lèi)屬于非傳統(tǒng)安全領(lǐng)域（相對(duì)于軍事、政治和外交等傳統(tǒng)安全而言)； 三者都聚焦于信息

4、安全；三者可以互相使用(但各有側(cè)重點(diǎn)) 。不同之處： 三者的視角不同?！靶畔踩彼从车陌踩珕?wèn)題基于“信息”，“網(wǎng)絡(luò)安 全”所反映的安全問(wèn)題基于“網(wǎng)絡(luò)”，“網(wǎng)絡(luò)空間安全”所反映的安全問(wèn)題基于“空間”。 三 者提出的背景不同。信息安全最初是基于現(xiàn)實(shí)社會(huì)的安全問(wèn)題所提出的概念；網(wǎng)絡(luò)安全則是 基于互聯(lián)網(wǎng)的發(fā)展及網(wǎng)絡(luò)社會(huì)到來(lái)所面臨的信息安全新挑戰(zhàn)所提出的概念；網(wǎng)絡(luò)空間安全則 是基于對(duì)全球五大空間的新認(rèn)知，網(wǎng)域與現(xiàn)實(shí)空間中的陸域、海域、空域、太空一起，共同 形成了人類(lèi)自然與社會(huì)及國(guó)家的公域空間，具有全球空間的性質(zhì)。三者所涉內(nèi)涵和外延不同。信息安全以往較多地注重信息系統(tǒng)的物理安全和技術(shù)安全，隨著物聯(lián)網(wǎng)、

5、云計(jì)算、大數(shù) 據(jù)、移動(dòng)互聯(lián)網(wǎng)等信息技術(shù)的發(fā)展，這些新技術(shù)和新載體也帶來(lái)了新的信息安全問(wèn)題。在網(wǎng) 絡(luò)空間，安全主體易受攻擊，安全侵害迅即發(fā)生，威脅不可預(yù)知，易形成群體極化，安全防 范具有非技術(shù)性特點(diǎn)。不僅如此，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)空間安全將安全的范圍拓展至網(wǎng)絡(luò)空間中 所形成的一切安全問(wèn)題，涉及網(wǎng)絡(luò)政治、經(jīng)濟(jì)、文化、社會(huì)、外交和軍事等諸多領(lǐng)域，使信 息安全形成了綜合性和全球性的新特點(diǎn)。以上這些都是以往“信息安全” 一詞所不具備的內(nèi) 涵或無(wú)法完全涵蓋的，需要用“網(wǎng)絡(luò)安全”和“網(wǎng)絡(luò)空間安全”來(lái)表達(dá)。(3)網(wǎng)絡(luò)安全要實(shí)現(xiàn)的目標(biāo)，主要表現(xiàn)在系統(tǒng)的保密性、完整性、可用性、可控性 和可審查性等方面。保密性：也稱(chēng)機(jī)密

6、性，是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶(hù)和實(shí)體，或供其利用 的特性。可以通過(guò)信息加密、身份認(rèn)證、訪(fǎng)問(wèn)控制和安全通信協(xié)議等技術(shù)實(shí)現(xiàn)。信息加密 是防止信息非法泄露的基本手段，主要強(qiáng)調(diào)有用信息只被授權(quán)對(duì)象使用。完整性：是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即保持信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中不被修改、不被破壞和不會(huì)丟失。可用性：也稱(chēng)有效性，是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪(fǎng)問(wèn)并按需求使用的特性，即 系統(tǒng)面向用戶(hù)服務(wù)的安全特性。在系統(tǒng)運(yùn)行時(shí)，授權(quán)實(shí)體能正確存取所需信息；當(dāng)系統(tǒng)遭 受意外攻擊或破壞時(shí)，可以迅速恢復(fù)并能投入使用?？煽匦裕菏侵笇?duì)網(wǎng)絡(luò)信息的內(nèi)容及其傳播具有控制能力的特性，代表了網(wǎng)絡(luò)系統(tǒng) 和信息在傳輸

7、范圍和存放空間內(nèi)的可控程度。可審查性：也稱(chēng)不可抵賴(lài)性或不可否認(rèn)性，是指通信雙方在通信過(guò)程中，對(duì)自己 所發(fā)送或接收的信息不可抵賴(lài)或否認(rèn)，即發(fā)送者不能否認(rèn)其發(fā)送過(guò)信息的事實(shí)和信息的內(nèi)容，接收者也不能否認(rèn)其接收到信息的事實(shí)和內(nèi)容。也就是對(duì)出現(xiàn)的安全問(wèn)題提供調(diào)查的 依據(jù)和手段。(4)網(wǎng)絡(luò)安全涉及的內(nèi)容包括技術(shù)和管理等多個(gè)方面，需要相互補(bǔ)充、綜合協(xié)同防 范。其中，技術(shù)方面主要側(cè)重于防范外部非法攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管 理。從層次結(jié)構(gòu)上，可將網(wǎng)絡(luò)安全的內(nèi)容概括為以下5個(gè)方面。實(shí)體安全。實(shí)體安全又稱(chēng)物理安全，它包括環(huán)境安全、設(shè)備安全和介質(zhì)安全等，是指保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他介質(zhì)免遭火災(zāi)、水災(zāi)、

8、地震、有害氣體和其他環(huán)境事故破 壞的措施及過(guò)程。系統(tǒng)安全。系統(tǒng)安全包括網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全和數(shù)據(jù)庫(kù)系統(tǒng)安全等，是 指根據(jù)系統(tǒng)的特點(diǎn)、條件和管理要求，有針對(duì)性地為系統(tǒng)提供安全策略機(jī)制及保障措施、 安全管理規(guī)范和要求、應(yīng)急修復(fù)方法等。運(yùn)行安全。運(yùn)行安全包括相關(guān)系統(tǒng)的運(yùn)行安全和訪(fǎng)問(wèn)控制安全，如用防火墻進(jìn)行 內(nèi)外網(wǎng)隔離、訪(fǎng)問(wèn)控制等。具體來(lái)說(shuō)，運(yùn)行安全包括應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng) 安全性監(jiān)測(cè)、內(nèi)外網(wǎng)的隔離機(jī)制、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測(cè)、系統(tǒng)升級(jí)和補(bǔ)丁處理、最新安 全漏洞的跟蹤、系統(tǒng)的定期檢查和評(píng)估、 安全審計(jì)、網(wǎng)絡(luò)安全咨詢(xún)、災(zāi)難恢復(fù)機(jī)制與預(yù)防、 系統(tǒng)改造等。應(yīng)用安全。應(yīng)用安全由應(yīng)用軟件平臺(tái)安全

9、和應(yīng)用數(shù)據(jù)安全兩部分組成。具體來(lái)說(shuō)， 應(yīng)用安全包括業(yè)務(wù)數(shù)據(jù)的安全檢測(cè)與審計(jì)，系統(tǒng)的可靠性和可用性測(cè)試，數(shù)據(jù)資源訪(fǎng)問(wèn)控 制驗(yàn)證測(cè)試和數(shù)據(jù)保密性測(cè)試，數(shù)據(jù)的唯一性、一致性和防沖突檢測(cè)，實(shí)體的身份鑒別與 檢測(cè)，業(yè)務(wù)應(yīng)用軟件的程序安全性測(cè)試與分析，業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)機(jī)制的檢查等。管理安全。管理安全又稱(chēng)安全管理，涉及法律法規(guī)、政策策略、規(guī)范標(biāo)準(zhǔn)、人員、 設(shè)備、軟件、操作、文檔、數(shù)據(jù)、機(jī)房、運(yùn)營(yíng)、應(yīng)用系統(tǒng)、安全培訓(xùn)等各個(gè)方面。它主要 是指與人員、網(wǎng)絡(luò)系統(tǒng)和應(yīng)用與服務(wù)等安全管理相關(guān)的各種法律、法規(guī)、政策、策略、機(jī) 制、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段和措施等。(5)近些年，我國(guó)網(wǎng)絡(luò)安全政策逐步落地細(xì)化，相關(guān)標(biāo)準(zhǔn)緊密出

10、臺(tái)，但網(wǎng)絡(luò)安全事 件頻繁發(fā)生。具體來(lái)說(shuō)，表現(xiàn)在以下幾個(gè)方面。法律法規(guī)滯后，安全管理水平和意識(shí)薄弱。網(wǎng)絡(luò)安全保護(hù)方面的法律法規(guī)和管理政 策等尚不完善或相對(duì)滯后，用戶(hù)的網(wǎng)絡(luò)安全意識(shí)、機(jī)構(gòu)和企業(yè)的安全管理水平有待加強(qiáng)。政府與企業(yè)的側(cè)重點(diǎn)及要求不一致。政府注重信息資源及網(wǎng)絡(luò)安全的可管性和可 控性，企業(yè)則注重其經(jīng)濟(jì)效益、可用性和可靠性。但網(wǎng)絡(luò)安全涉及硬件、軟件、數(shù)據(jù)、服 務(wù)等多個(gè)方面的內(nèi)容，其防范和治理不可能只依賴(lài)政府或企業(yè)單方面的努力，推進(jìn)政府、 企業(yè)、行業(yè)協(xié)會(huì)等相關(guān)機(jī)構(gòu)的協(xié)作非常重要，但在具體實(shí)踐中也面臨著諸多挑戰(zhàn)。網(wǎng)絡(luò)系統(tǒng)時(shí)刻面臨各種安全威脅。計(jì)算機(jī)網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)的開(kāi)放性、交互性和分 散性等特點(diǎn)，

11、以及系統(tǒng)自身存在的安全漏洞和缺陷，致使網(wǎng)絡(luò)系統(tǒng)面臨各種威脅和風(fēng)險(xiǎn)， 時(shí)常受到侵?jǐn)_和攻擊，影響正常的網(wǎng)絡(luò)應(yīng)用和服務(wù)。個(gè)人隱私信息泄露極易發(fā)生。大數(shù)據(jù)時(shí)代的來(lái)臨，不僅帶來(lái)了全方位的社會(huì)變革， 同時(shí)也帶來(lái)了新的安全挑戰(zhàn)，數(shù)據(jù)泄露、數(shù)據(jù)濫用、隱私安全等問(wèn)題屢見(jiàn)不鮮。例如，移 動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息等現(xiàn)象大量存在， 違法違規(guī)使用個(gè)人信息的問(wèn)題尤其突出。網(wǎng)絡(luò)安全技術(shù)和手段略顯滯后。相對(duì)于新出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，以及移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)催生的安全需求，網(wǎng)絡(luò)安全技術(shù)的研發(fā)和更新還 略顯滯后，網(wǎng)絡(luò)安全防護(hù)手段有待加強(qiáng)。(6)總體來(lái)說(shuō)，網(wǎng)絡(luò)安全的主

12、要威脅有以下幾種：物理威脅。物理威脅在網(wǎng)絡(luò)中是最難控制的，它可能來(lái)源于外界的有意或無(wú)意的 破壞。物理威脅有時(shí)可以造成致命的系統(tǒng)破壞。因此，防范物理威脅是很重要的。但在網(wǎng) 絡(luò)管理和維護(hù)中很多物理威脅往往被忽略，如網(wǎng)絡(luò)設(shè)備被盜等。另外，在更換設(shè)備時(shí)，注 意銷(xiāo)毀無(wú)用系統(tǒng)信息也很重要。如在更換硬盤(pán)時(shí)，必須對(duì)不用的硬盤(pán)進(jìn)行格式化處理，因 為利用數(shù)據(jù)恢復(fù)軟件可以很容易地獲取之前從硬盤(pán)上刪除的文件。操作系統(tǒng)缺陷。操作系統(tǒng)是用戶(hù)在使用計(jì)算機(jī)前必須安裝的系統(tǒng)軟件。很多操作 系統(tǒng)在安裝時(shí)都存在端口開(kāi)放、無(wú)認(rèn)證服務(wù)和初始化配置等問(wèn)題，而這些又是操作系統(tǒng)自 帶的系統(tǒng)應(yīng)用程序，如果這些應(yīng)用程序有安全缺陷，那么系統(tǒng)就會(huì)處

13、于不安全狀態(tài)，這將 極大地影響系統(tǒng)的信息安全。網(wǎng)絡(luò)協(xié)議缺陷。由于 TCP/IP協(xié)議在最初設(shè)計(jì)時(shí)并沒(méi)有把安全作為考慮重點(diǎn)，而幾 乎所有的應(yīng)用協(xié)議都是基于 TCP/IP的，因此各種網(wǎng)絡(luò)低層協(xié)議本身的缺陷將極大地影響 上層應(yīng)用的安全。 體系結(jié)構(gòu)缺陷。在現(xiàn)實(shí)應(yīng)用中，大多數(shù)體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)都存在著安全問(wèn)題， 即使是非常完善的安全體系結(jié)構(gòu)，也有可能會(huì)因?yàn)橐粋€(gè)小小的編程缺陷而被攻擊。另外， 網(wǎng)絡(luò)體系中的各種構(gòu)件如果缺乏密切的合作，也容易導(dǎo)致整個(gè)系統(tǒng)被擊破。黑客程序。黑客(Hacker)的原意是指具有高超的編程技術(shù)、強(qiáng)烈的解決問(wèn)題和 克服限制欲望的人，而現(xiàn)在是泛指那些強(qiáng)行闖入系統(tǒng)或以某種惡意的目的破壞系統(tǒng)

14、的人。 黑客程序是一類(lèi)專(zhuān)門(mén)用于通過(guò)網(wǎng)絡(luò)對(duì)遠(yuǎn)程計(jì)算機(jī)設(shè)備進(jìn)行攻擊，進(jìn)而控制、竊取、破壞信 息的軟件程序。 惡意代碼。惡意代碼泛指所有惡意的程序代碼，是一種可造成目標(biāo)系統(tǒng)信息泄露 和資源濫用、破壞系統(tǒng)的完整性及可用性、違背目標(biāo)系統(tǒng)安全策略的程序代碼。它包括計(jì) 算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、后門(mén)、僵尸程序、邏輯炸彈等。惡意代碼具有兩個(gè)顯 著的特點(diǎn)：非授權(quán)性和破壞性。(7)漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)和系統(tǒng)安全策略，以及人為因素等方面 存在的缺陷，使得攻擊者能夠在未經(jīng)合法授權(quán)的情況下訪(fǎng)問(wèn)或破壞系統(tǒng)。根據(jù)漏洞的載體 (網(wǎng)絡(luò)實(shí)體)類(lèi)型，漏洞主要分為操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、數(shù)據(jù)庫(kù)漏洞和網(wǎng)絡(luò)服務(wù)

15、漏洞等。(8)常用的網(wǎng)絡(luò)安全模型有 P2DR, PDRR, MPDRR , APPDRR等。P2DR是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模 型，也是動(dòng)態(tài)安全模型的雛形。它包含 4個(gè)主要部分：策略(Policy)、防護(hù)(Protection)、 檢測(cè)(Detection)和響應(yīng)(Reaction)。其中，防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下彳證網(wǎng)絡(luò)的安全。P2DR安全模型的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時(shí)，利 用檢測(cè)工具（如漏洞評(píng)估、 入侵檢測(cè)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，

16、通過(guò)適當(dāng)?shù)姆磻?yīng)將系 統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。 美國(guó)國(guó)防部提出的PDRR安全模型，是常用的描述網(wǎng)絡(luò)安全整個(gè)過(guò)程和環(huán)節(jié)的網(wǎng)絡(luò) 安全模型，它包含了網(wǎng)絡(luò)安全的 4個(gè)環(huán)節(jié)：防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction） 和恢復(fù)（Recovery）。PDRR安全模型是一種公認(rèn)的比較完善且有效的網(wǎng)絡(luò)信息安全解決方 案，可以用于政府、機(jī)關(guān)、企業(yè)等機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)。PDRR安全模型與P2DR安全模型有很多相似之處。其中，防護(hù)（Protection）和檢測(cè)（Detection）兩個(gè)環(huán)節(jié)的基本思想是相同的， P2DR安全模型中的響應(yīng)（Reaction）環(huán)節(jié)包含了緊急

17、響應(yīng)和恢復(fù)處理兩部分，而在 PDRR 安全模型中響應(yīng)（Reaction）和恢復(fù)（Recovery）是分開(kāi)的，內(nèi)容也有所擴(kuò)展。MPDRR安全模型是一種比較常見(jiàn)的具有縱深防御體系的網(wǎng)絡(luò)安全模型，它包含了 5個(gè)環(huán)節(jié)：管理（Management）、防護(hù)（Protection） 檢測(cè)（Detection） 響應(yīng)（Reaction）和 恢復(fù)（Recovery）。MPDRR安全模型是在PDRR安全模型基礎(chǔ)上發(fā)展而成，它吸取了 PDRR安全模型的優(yōu)點(diǎn)，并加入了PDRR安全模型所沒(méi)有的“管理”這一環(huán)節(jié)，從而將技術(shù)和管理融為一體，整個(gè)安全體系的建立必須經(jīng)過(guò)安全管理進(jìn)行統(tǒng)一協(xié)調(diào)和實(shí)施。APPDRR安全模型認(rèn)為，網(wǎng)絡(luò)

18、安全由風(fēng)險(xiǎn)評(píng)估 （Assessment）、安全策略（Policy）、 系統(tǒng)防護(hù)（Protection）、動(dòng)態(tài)檢測(cè)（Detection ）、實(shí)時(shí)響應(yīng)（Reaction）和災(zāi)難恢復(fù)（Recovery） 6個(gè)部分完成。根據(jù) APPDRR安全模型，風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的第1個(gè)重要環(huán)節(jié)，通過(guò)它掌握網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)信息，進(jìn)而采取必要的處置措施，使網(wǎng)絡(luò)安全水平呈現(xiàn)動(dòng)態(tài)螺旋 上升的趨勢(shì)。安全策略是第2個(gè)重要環(huán)節(jié)，起著承上啟下的作用：一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險(xiǎn)評(píng)估的結(jié)果和安全需求的變化進(jìn)行相應(yīng)的更新；另一方面，安全策略在整個(gè)網(wǎng)絡(luò) 安全工作中處于原則性的指導(dǎo)地位，其后的檢測(cè)、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展

19、開(kāi)。系統(tǒng)防護(hù)是第 3個(gè)重要環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護(hù)措施。接下來(lái)是動(dòng)態(tài)檢測(cè)、 實(shí)時(shí)響應(yīng)和災(zāi)難恢復(fù)，體現(xiàn)了安全動(dòng)態(tài)防護(hù)與安全入侵、安全威脅的對(duì)抗性特征。（9）網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則是保障網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品，在設(shè)計(jì)、建設(shè)、研發(fā)、實(shí)施、使用、測(cè)評(píng)和管理維護(hù)過(guò)程中，實(shí)現(xiàn)其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范與依 據(jù)。目前，主要的國(guó)際網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則有美國(guó)TCSEC （橙皮書(shū)）、歐洲I ITSEC、通用準(zhǔn)則（CC）等；國(guó)內(nèi)的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則主要是計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則。美國(guó)TCSEC （橙皮書(shū)）。1985年，美國(guó)國(guó)防部正式發(fā)布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 （TCSEC），這是國(guó)際公認(rèn)

20、的第一個(gè)計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則。由于采用了橙色書(shū)皮，人們 通常稱(chēng)其為“橙皮書(shū)”。TCSEC定義了系統(tǒng)的安全策略、系統(tǒng)的可審計(jì)機(jī)制、系統(tǒng)安全的可操 作性、系統(tǒng)安全的生命期保證，以及建立和維護(hù)的系統(tǒng)安全等5要素的相關(guān)文件。TCSEC根據(jù)計(jì)算機(jī)系統(tǒng)所采用的安全策略、系統(tǒng)所具備的安全功能，將系統(tǒng)分為4類(lèi)共7個(gè)安全級(jí)別。歐洲ITSEC。1991年，歐洲的英國(guó)、法國(guó)、德國(guó)和荷蘭 4國(guó)在借鑒TCSEC的基礎(chǔ) 上，聯(lián)合提出了信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）。TCSEC將保密作為安全重點(diǎn)，而ITSEC 則將首次提出的完整性和可用性作為與保密性同等重要的因素，并將可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度。它定義

21、了從E0級(jí)（不滿(mǎn)足品質(zhì)）到 E6級(jí)（形式化驗(yàn)證）的 7個(gè)安全等級(jí)和10種安全功能。 通用準(zhǔn)則（CC）。信息技術(shù)安全評(píng)估通用準(zhǔn)則（ CC）由美國(guó)、歐洲等國(guó)家與國(guó) 際標(biāo)準(zhǔn)化組織聯(lián)合提出，它結(jié)合了ITSEC, CTCPEC及FC的主要特征，強(qiáng)調(diào)將網(wǎng)絡(luò)信息安全的功能與保障分離，將功能需求分為9類(lèi)63族（項(xiàng)），將保障分為7類(lèi)29族。CC的先進(jìn)性體現(xiàn)在其結(jié)構(gòu)的開(kāi)放性、表達(dá)方式的通用性、結(jié)構(gòu)及表達(dá)方式的內(nèi)在完備性和實(shí)用 性4個(gè)方面。CC于1996年發(fā)布1.0版，此后經(jīng)歷了諸多的更新和改進(jìn)。為提高我國(guó)的信息系統(tǒng)安全保護(hù)水平，國(guó)家公安部組織制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 1785

22、9 1999）,該準(zhǔn)則于1999年9月13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于 2001年1月1日起實(shí)施。此準(zhǔn)則將信息系統(tǒng)安全劃分為 5 個(gè)等級(jí)（用戶(hù)自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪(fǎng)問(wèn)驗(yàn)證 保護(hù)級(jí)）。（10）網(wǎng)絡(luò)安全策略是指在特定的環(huán)境中，為保證達(dá)到一定級(jí)別的安全保護(hù)所必須遵 守的規(guī)則。要實(shí)現(xiàn)網(wǎng)絡(luò)安全，一般從以下幾個(gè)方面制定網(wǎng)絡(luò)安全策略。物理安全策略。制定物理安全策略的目的是：a.保護(hù)計(jì)算機(jī)系統(tǒng)、交換機(jī)、路由器、服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線(xiàn)竊聽(tīng)等攻擊；b.驗(yàn)證用戶(hù)身份和使用權(quán)限，防止用戶(hù)越權(quán)操作；c.確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容環(huán)境

23、；d.建立完備的機(jī)房安全管理制度，防止非法人員進(jìn)入網(wǎng)絡(luò)中心進(jìn)行偷竊和破壞活動(dòng)等。訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。它通 過(guò)減少用戶(hù)對(duì)資源的訪(fǎng)問(wèn)來(lái)降低資源被攻擊的概率，以達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的目的。訪(fǎng) 問(wèn)控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源 的重要手段。信息加密策略。信息加密的目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和在通信線(xiàn)路上傳 輸?shù)臄?shù)據(jù)的安全。信息加密可以在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層實(shí)現(xiàn)，用戶(hù)可根據(jù)不同的 需要，選擇適當(dāng)?shù)募用芊绞?。加密是?shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一。安全管理策略。在網(wǎng)絡(luò)安全中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章

24、制度，對(duì)于 確保網(wǎng)絡(luò)的安全、可靠運(yùn)行，將起到十分有效的作用。使用計(jì)算機(jī)網(wǎng)絡(luò)的各企事業(yè)單位， 應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，提高整體的網(wǎng)絡(luò)安全意識(shí)。網(wǎng)絡(luò)安全管 理策略包括：確定安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作的使用規(guī)程和人員出 入機(jī)房的管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。（11）關(guān)鍵性的網(wǎng)絡(luò)安全技術(shù)主要有10種，分別如下。鑒別技術(shù)。鑒別技術(shù)用在安全通信中，目的是對(duì)通信雙方的身份及傳輸數(shù)據(jù)的完 整性進(jìn)行驗(yàn)證。按照鑒別內(nèi)容的不同，鑒別技術(shù)可以分為用戶(hù)身份鑒別和消息內(nèi)容鑒別。 利用數(shù)字簽名，可同時(shí)實(shí)現(xiàn)收發(fā)雙方的身份鑒別和消息完整性鑒別。加密技術(shù)。加密技術(shù)是最基本的網(wǎng)

25、絡(luò)安全手段，包括加密算法、密鑰長(zhǎng)度確定、 密鑰生命周期（生成、分發(fā)、存儲(chǔ)、輸入/輸出、更新、恢復(fù)和銷(xiāo)毀等）安全措施和管理等。 它通過(guò)對(duì)信息進(jìn)行重新編碼來(lái)隱藏信息內(nèi)容，使非法用戶(hù)無(wú)法獲取信息的真實(shí)內(nèi)容。現(xiàn)代 加密算法不僅可以實(shí)現(xiàn)信息加密，還可以實(shí)現(xiàn)數(shù)字簽名和認(rèn)證等功能。訪(fǎng)問(wèn)控制技術(shù)。訪(fǎng)問(wèn)控制技術(shù)是指保障授權(quán)用戶(hù)在其權(quán)限內(nèi)對(duì)授權(quán)資源進(jìn)行正當(dāng) 使用，防止非授權(quán)使用的措施。它通常采用設(shè)置口令和入網(wǎng)限制，采取 CA認(rèn)證和數(shù)字簽 名等技術(shù)對(duì)用戶(hù)身份進(jìn)行驗(yàn)證和確認(rèn)、設(shè)置不同軟件及數(shù)據(jù)資源的屬性和訪(fǎng)問(wèn)權(quán)限，以及 進(jìn)行網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)審計(jì)和跟蹤等。惡意代碼防范技術(shù)。惡意代碼防范技術(shù)是指建立、健全惡意代碼（如病毒、

26、木馬 等）的預(yù)防、檢測(cè)、隔離和清除機(jī)制，預(yù)防惡意代碼入侵， 迅速隔離和查殺已感染病毒等， 識(shí)別并清除網(wǎng)內(nèi)惡意代碼。防火墻技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪(fǎng)問(wèn)控制策略的一個(gè)或一組系統(tǒng)，它 包括硬件和軟件。防火墻對(duì)經(jīng)過(guò)的每一個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)，判斷數(shù)據(jù)包是否與事先設(shè)置的 過(guò)濾規(guī)則匹配，并按控制機(jī)制做出相應(yīng)的動(dòng)作，從而保護(hù)網(wǎng)絡(luò)的安全。入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的攻擊檢測(cè)技術(shù)，能夠在網(wǎng)絡(luò)系統(tǒng)的運(yùn) 行過(guò)程中發(fā)現(xiàn)入侵者的攻擊行為和蹤跡。一旦發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊，立刻根據(jù)用戶(hù)所定義的動(dòng) 作做出反應(yīng)，如報(bào)警、記錄、切斷或攔截等。入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道 安全防線(xiàn)，與防火墻相輔相成，構(gòu)成比較完整

27、的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)。加固技術(shù)。加固技術(shù)是指對(duì)系統(tǒng)漏洞及隱患采取必要的安全防范措施，主要包括 安全性配置、關(guān)閉不必要的服務(wù)端口、 系統(tǒng)漏洞掃描、滲透性測(cè)試、安裝或更新安全補(bǔ)丁、 增設(shè)防御功能和對(duì)特定攻擊的預(yù)防手段等，以提高系統(tǒng)自身的安全性。監(jiān)控技術(shù)。監(jiān)控技術(shù)是指通過(guò)監(jiān)控用戶(hù)主體的各種訪(fǎng)問(wèn)行為，確保在對(duì)網(wǎng)絡(luò)等客 體的訪(fǎng)問(wèn)過(guò)程中有效地采用合適的安全技術(shù)手段。審計(jì)跟蹤技術(shù)。審計(jì)跟蹤技術(shù)是指對(duì)網(wǎng)絡(luò)系統(tǒng)異常訪(fǎng)問(wèn)、探測(cè)及操作等事件進(jìn)行 及時(shí)核查、記錄和追蹤，即利用多項(xiàng)審計(jì)跟蹤不同活動(dòng)。它能記錄和分析用戶(hù)使用網(wǎng)絡(luò)系 統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，對(duì)可能產(chǎn)生破壞性的行為進(jìn)行審計(jì)和跟蹤。備份恢復(fù)技術(shù)。備份恢復(fù)技術(shù)是指在網(wǎng)

28、絡(luò)系統(tǒng)出現(xiàn)異常、故障或入侵等意外情況時(shí)，為及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù)而進(jìn)行的預(yù)先備份等技術(shù)方法。其主要包括4個(gè)方面：備份技術(shù)、容錯(cuò)技術(shù)、冗余技術(shù)和不間斷電源保護(hù)。（12）網(wǎng)絡(luò)安全技術(shù)與黑客攻擊技術(shù)密不可分，它是在網(wǎng)絡(luò)安全專(zhuān)家和黑客的攻防對(duì) 抗中逐步發(fā)展起來(lái)的。黑客主攻，安全專(zhuān)家主防。如果沒(méi)有黑客的網(wǎng)絡(luò)攻擊活動(dòng)，網(wǎng)絡(luò)安 全技術(shù)就不可能如此快速地發(fā)展。黑客攻擊技術(shù)主要是指使用網(wǎng)絡(luò)的非正常用戶(hù)，利用網(wǎng)絡(luò)系統(tǒng)的安全缺陷進(jìn)行數(shù)據(jù)竊取、偽造或破壞時(shí)所使用的相關(guān)技術(shù)，涉及計(jì)算機(jī)通信、密碼學(xué)、社會(huì)心理學(xué)等眾多領(lǐng)域 的技術(shù)和理論。而網(wǎng)絡(luò)安全技術(shù)主要是指用來(lái)保證在互聯(lián)網(wǎng)上進(jìn)行信息安全傳輸?shù)募夹g(shù)， 主要包括依靠密碼學(xué)理論來(lái)

29、實(shí)現(xiàn)網(wǎng)絡(luò)多類(lèi)型、各層次服務(wù)中的身份認(rèn)證及數(shù)字簽名等技 術(shù)，以保證信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄浴⑼暾?、可用性、可控性和可審查性。網(wǎng)絡(luò)安全技術(shù)和黑客攻擊技術(shù)所使用的物質(zhì)基礎(chǔ)是相同的，計(jì)算機(jī)網(wǎng)絡(luò)及共用基礎(chǔ)架構(gòu)和通信協(xié)議等，是兩者技術(shù)施展的共同物質(zhì)基礎(chǔ)。網(wǎng)絡(luò)安全技術(shù)薄弱時(shí)，黑客攻擊技術(shù) 容易得逞。但是，網(wǎng)絡(luò)安全技術(shù)負(fù)責(zé)為網(wǎng)絡(luò)信息安全保駕護(hù)航，黑客攻擊技術(shù)則是挑戰(zhàn)網(wǎng) 絡(luò)安全技術(shù)的強(qiáng)度，兩者使用的技術(shù)原理大同小異，目的卻截然相反。因此，它們是相互 斗爭(zhēng)又相互依存的關(guān)系。(13)略。2.實(shí)踐題答案：略。第2章計(jì)算機(jī)惡意代碼.簡(jiǎn)答題(1)關(guān)于惡意代碼，目前還沒(méi)有統(tǒng)一的定義，下面列出常見(jiàn)的幾種。惡意代碼是任何的程

30、序或可執(zhí)行代碼，其目的是在用戶(hù)未授權(quán)的情況下更改或控 制計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)。 惡意代碼是指故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī) 代碼，其實(shí)質(zhì)是可以在特定環(huán)境下獨(dú)立執(zhí)行的指令集或嵌入到其他程序中的代碼。惡意代碼是指經(jīng)過(guò)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另外一臺(tái)計(jì)算 機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。常見(jiàn)的惡意代碼有計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、后門(mén)(陷阱) 、僵尸程序、 邏輯炸彈、惡意腳本等。(2)計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)， 影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有繁殖

31、 性、傳染性、破壞性、隱蔽性和潛伏性、可觸發(fā)性、衍生性、不可預(yù)見(jiàn)性等特征。(3)在預(yù)防計(jì)算機(jī)病毒時(shí)，一般應(yīng)做到以下幾點(diǎn)。安裝防病毒軟件并及時(shí)升級(jí)。在網(wǎng)絡(luò)系統(tǒng)中，用戶(hù)應(yīng)至少安裝一套先進(jìn)的防病毒軟件，并要及時(shí)地進(jìn)行升級(jí)，以便查殺新型病毒。不輕易運(yùn)行不明程序。不要輕易運(yùn)行下載的程序或別人傳給的程序，哪怕是好友 發(fā)來(lái)的程序，除非對(duì)方有特別的說(shuō)明。因?yàn)閷?duì)方有可能不知道，而是病毒程序悄悄附著上 來(lái)的，或者對(duì)方的計(jì)算機(jī)有可能已經(jīng)被感染，只是其不知道而已。加載補(bǔ)丁程序?，F(xiàn)在很多病毒的傳播都是利用了系統(tǒng)的漏洞，網(wǎng)絡(luò)管理人員需要 經(jīng)常到系統(tǒng)廠商網(wǎng)站上下載并安裝相應(yīng)的系統(tǒng)漏洞補(bǔ)丁，減少系統(tǒng)被攻擊的可能。 不隨意接收

32、和打開(kāi)郵件。用戶(hù)接收電子郵件時(shí)需要注意，對(duì)于陌生人的郵件，不 要貿(mào)然接收，更不能隨意打開(kāi)。如果郵件中附件文件的擴(kuò)展名是EXE,那就更要小心了。當(dāng)用戶(hù)收到郵件時(shí)也不要隨意轉(zhuǎn)發(fā)，在轉(zhuǎn)發(fā)郵件前最好先確認(rèn)郵件的安全性，以避免接收 方接到郵件后直接打開(kāi)郵件而被病毒感染。從正規(guī)網(wǎng)站下載軟件。用戶(hù)可從正規(guī)網(wǎng)站上下載文件或工具軟件，這樣可減少對(duì) 系統(tǒng)的威脅。(4)當(dāng)網(wǎng)絡(luò)系統(tǒng)感染病毒后，可采取以下措施進(jìn)行緊急處理，恢復(fù)系統(tǒng)或受損部分。隔離。當(dāng)某計(jì)算機(jī)感染病毒后，可將其與其他計(jì)算機(jī)進(jìn)行隔離，避免相互復(fù)制和 通信。當(dāng)網(wǎng)絡(luò)中某節(jié)點(diǎn)感染病毒后，網(wǎng)絡(luò)管理人員必須立即切斷該節(jié)點(diǎn)與網(wǎng)絡(luò)的連接，以 避免病毒擴(kuò)散到整個(gè)網(wǎng)絡(luò)。 報(bào)

33、警。病毒感染點(diǎn)被隔離后，要立即向網(wǎng)絡(luò)系統(tǒng)安全管理人員報(bào)警。查毒源。接到報(bào)警后，網(wǎng)絡(luò)系統(tǒng)安全管理人員可使用相應(yīng)的防病毒系統(tǒng)鑒別受感 染的機(jī)器和用戶(hù)，檢查那些經(jīng)常引起病毒感染的節(jié)點(diǎn)和用戶(hù)，并查找病毒的來(lái)源。采取應(yīng)對(duì)方法和對(duì)策。網(wǎng)絡(luò)系統(tǒng)安全管理人員要對(duì)病毒的破壞程度進(jìn)行分析檢查， 并根據(jù)需要采取有效的病毒清除方法和對(duì)策。如果被感染的大部分是系統(tǒng)文件和應(yīng)用程序 文件，且感染程度較深，則可采取重裝系統(tǒng)的方法來(lái)清除病毒；如果感染的是關(guān)鍵數(shù)據(jù)文 件，或破壞較嚴(yán)重時(shí)，可請(qǐng)防病毒專(zhuān)家進(jìn)行清除病毒和恢復(fù)數(shù)據(jù)的工作。 在修復(fù)前備份數(shù)據(jù)。在對(duì)被感染的病毒進(jìn)行清除前，應(yīng)盡可能地將重要的數(shù)據(jù)文 件備份，以防止在使用防病毒

34、軟件或其他清除工具查殺病毒時(shí)，將重要的數(shù)據(jù)文件誤殺。清除病毒。將重要的數(shù)據(jù)備份后，運(yùn)行查殺病毒軟件，并對(duì)相關(guān)系統(tǒng)進(jìn)行掃描。一旦發(fā)現(xiàn)病毒，就立即清除。如果可執(zhí)行文件中的病毒不能清除，應(yīng)將其刪除，然后再安 裝相應(yīng)的程序。重啟和恢復(fù)。病毒被清除后，應(yīng)重新啟動(dòng)計(jì)算機(jī)，并再次使用防病毒軟件檢測(cè)系 統(tǒng)是否還有病毒，并恢復(fù)被破壞的數(shù)據(jù)。(5)網(wǎng)絡(luò)蠕蟲(chóng)是通過(guò)網(wǎng)絡(luò)傳播，無(wú)須用戶(hù)干預(yù)且能夠獨(dú)立地或者依賴(lài)文件共享主動(dòng) 攻擊的惡意代碼，它通過(guò)不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)進(jìn) 行傳播。計(jì)算機(jī)病毒是一段代碼，能把自身加到其他程序包括操作系統(tǒng)上，它不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來(lái)激活。網(wǎng)絡(luò)蠕蟲(chóng)具

35、有計(jì)算機(jī)病毒的一般性特征，如傳染性、破 壞性等，但它強(qiáng)調(diào)自身的主動(dòng)性和獨(dú)立性，具有主動(dòng)攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng) 絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征。(6)木馬是一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件，通常悄悄地在寄宿主機(jī)上運(yùn)行，在用戶(hù)毫無(wú)察覺(jué)的情況下使攻擊者獲得遠(yuǎn)程訪(fǎng)問(wèn)和控制系統(tǒng)的權(quán)限。木馬程序一般包括客戶(hù)端 (Client)部分和服務(wù)器端(Server)部分，采用C/S工作模式。客戶(hù)端就是木馬控制者在本地使用的各種命令的控制臺(tái)，服務(wù)器端則在他人的計(jì)算機(jī)中運(yùn)行，只有運(yùn)行過(guò)服務(wù)器端的計(jì)算機(jī)才能夠完全受控。客戶(hù)端放置在木馬控制者的計(jì)算機(jī)中，服務(wù) 器端放置在被入侵的計(jì)算機(jī)中，木

36、馬控制者通過(guò)客戶(hù)端與被入侵計(jì)算機(jī)的服務(wù)器端建立遠(yuǎn)程 連接。一旦連接建立，木馬控制者就可以通過(guò)對(duì)被入侵計(jì)算機(jī)發(fā)送指令來(lái)傳輸和修改文件。(7)網(wǎng)頁(yè)木馬是在宏病毒、傳統(tǒng)木馬等惡意代碼基礎(chǔ)上，隨著Web技術(shù)的廣泛應(yīng)用發(fā)展出來(lái)的一種新形態(tài)的惡意代碼。它一般通過(guò)HTML頁(yè)面中的一段惡意腳本達(dá)到在客戶(hù)端下載、執(zhí)行惡意可執(zhí)行文件的目的，而整個(gè)攻擊流程是一個(gè)“特洛伊木馬”式的、隱蔽 的、用戶(hù)無(wú)察覺(jué)的過(guò)程。挖礦木馬是攻擊者通過(guò)非法手段植入到用戶(hù)計(jì)算機(jī)中的“挖礦機(jī)”程序，它可以利用受害者計(jì)算機(jī)的運(yùn)算力進(jìn)行挖礦，從而獲取數(shù)字貨幣(如比特幣、以太幣等)。由于硬件性能的限制，攻擊者通常需要大量計(jì)算機(jī)進(jìn)行運(yùn)算，以獲得一定數(shù)

37、量的數(shù)字貨幣。硬件木馬是指插入原始電路的微小的惡意電路。這種電路潛伏在原始電路之中，在電路運(yùn)行到某些特定的值或條件時(shí)，使原始電路發(fā)生本不該有的情況。這種惡意電路可對(duì)原始電路進(jìn)行有目的性的修改，如泄露信息給攻擊者，使電路功能發(fā)生改變，甚至直 接損壞電路等。(8)預(yù)防木馬的措施主要有： 不隨意打開(kāi)來(lái)歷不明的郵件，阻塞可疑郵件； 不隨意下載來(lái)歷不明的軟件； 及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口； 盡量少用共享文件夾；運(yùn)行實(shí)時(shí)監(jiān)控程序；經(jīng)常升級(jí)系統(tǒng)和更新病毒庫(kù)；限制使用不必要的具有傳輸能力的程序?？梢酝ㄟ^(guò)查看系統(tǒng)端口開(kāi)放的情況、系統(tǒng)服務(wù)情況、系統(tǒng)任務(wù)運(yùn)行情況、網(wǎng)卡的工作 情況、系統(tǒng)日志及運(yùn)行速度有無(wú)異常等對(duì)木

38、馬進(jìn)行檢測(cè)。另外，還應(yīng)查看是否有可疑的啟 動(dòng)程序或可疑的進(jìn)程存在，是否修改了 win.ini , system.ini系統(tǒng)配置文件和注冊(cè)表。(9)后門(mén)也稱(chēng)陷阱，它是允許攻擊者繞過(guò)系統(tǒng)常規(guī)安全控制機(jī)制而獲得對(duì)程序或系統(tǒng)的控制權(quán)的程序，是能夠根據(jù)攻擊者的意圖而提供的訪(fǎng)問(wèn)通道。后門(mén)類(lèi)似于木馬，都是隱藏在用戶(hù)系統(tǒng)中向外發(fā)送信息，而且本身具有一定的操作權(quán)限，同時(shí)能夠供攻擊者遠(yuǎn)程控制本機(jī)時(shí)使用。區(qū)別在于，木馬是完整的軟件，而后門(mén)程序 的代碼往往有限且功能單一。后門(mén)程序不一定有自我復(fù)制的功能，即后門(mén)程序不一定會(huì)主動(dòng)去感染其他的計(jì)算機(jī)程序，這點(diǎn)與計(jì)算機(jī)病毒不同。從本質(zhì)上講，后門(mén)是一種供遠(yuǎn)程控制的通道，它可以繞

39、過(guò)系 統(tǒng)常規(guī)的安全設(shè)置。(10)后門(mén)根據(jù)其實(shí)現(xiàn)方式的不同，可分為網(wǎng)頁(yè)后門(mén)、 線(xiàn)程插入后門(mén)、擴(kuò)展后門(mén)、C/S后門(mén)和賬戶(hù)后門(mén)等。(11)僵尸程序(Bot)是指實(shí)現(xiàn)惡意控制功能的程序代碼。它和命令與控制服務(wù)器、 控制者等共同組成的可通信、可控制的網(wǎng)絡(luò)，被稱(chēng)為僵尸網(wǎng)絡(luò)(Botnet)。攻擊者通常利用僵尸網(wǎng)絡(luò)發(fā)起各種惡意行為，如對(duì)任何指定主機(jī)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件、竊取敏感信息、濫用資源等。2.實(shí)踐題(1)略。(2)利益的驅(qū)使是惡意代碼泛濫的主要原因，另外軟件漏洞也是惡意代碼得以傳播 的主要因素。 利益驅(qū)使。如果無(wú)利可圖，則沒(méi)有人會(huì)冒著觸犯法律的風(fēng)險(xiǎn)去散布和利 用惡意代碼。正是

40、因?yàn)槔帽I號(hào)木馬、網(wǎng)銀木馬等惡意軟件可以獲得巨大的物質(zhì)利益，而 間諜軟件等可以竊取用戶(hù)的隱私進(jìn)而訛詐用戶(hù)，才使得攻擊者樂(lè)此不疲，研發(fā)出越來(lái)越先 進(jìn)的惡意代碼。 系統(tǒng)和應(yīng)用軟件存在漏洞。軟件漏洞是導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的 根本原因。分析與測(cè)試是發(fā)現(xiàn)軟件漏洞的主要技術(shù)手段，然而由于軟件的復(fù)雜性，在現(xiàn)有 的資源條件下，要對(duì)所有軟件進(jìn)行徹底分析與測(cè)試，是一個(gè)尚待解決的世界難題。這就導(dǎo) 致現(xiàn)有軟件不可避免地存在漏洞和缺陷，這正是惡意代碼賴(lài)以生存的基礎(chǔ)。(3)略。(4)略。第3章網(wǎng)絡(luò)攻擊技術(shù)1.簡(jiǎn)答題(1)對(duì)于網(wǎng)絡(luò)攻擊，主要有兩種定義：一種是指攻擊僅僅發(fā)生在入侵行為完成，且 入侵者已在目標(biāo)網(wǎng)絡(luò)中；另一種

41、是指可能使網(wǎng)絡(luò)系統(tǒng)受到破壞的所有行為。網(wǎng)絡(luò)攻擊可對(duì) 網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性和可審查性等造成威脅和破壞。根據(jù)攻擊實(shí)現(xiàn)方法的不同，可將網(wǎng)絡(luò)攻擊分為主動(dòng)攻擊和被動(dòng)攻擊兩類(lèi)。主動(dòng)攻擊是 指攻擊者為了實(shí)現(xiàn)攻擊目的，主動(dòng)對(duì)需要訪(fǎng)問(wèn)的信息進(jìn)行非授權(quán)的訪(fǎng)問(wèn)行為，它一般可以 分為中斷、篡改和偽造 3種類(lèi)型。被動(dòng)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng) 的硬件、軟件及系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊，它一般可以分為竊聽(tīng)和流量分析兩種類(lèi)型。(2)網(wǎng)絡(luò)攻擊的常見(jiàn)形式主要包括口令竊取、欺騙攻擊、漏洞攻擊、惡意代碼攻擊、拒絕服務(wù)攻擊等。口令竊取是指通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)、弱口令掃描、社會(huì)工程學(xué)或暴力破解等各種方式非法獲

42、 取目標(biāo)系統(tǒng)的用戶(hù)賬號(hào)和口令，然后冒充該合法用戶(hù)非法訪(fǎng)問(wèn)目標(biāo)系統(tǒng)。欺騙攻擊攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)并進(jìn)行數(shù)據(jù)篡改和嗅探，而通信雙方卻毫不知情， 因此也稱(chēng)為中間人攻擊( MITM )。漏洞攻擊是指利用硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略方面存在的缺陷，編 寫(xiě)利用該缺陷的破解代碼和破解工具，實(shí)施遠(yuǎn)程攻擊目標(biāo)系統(tǒng)或目標(biāo)網(wǎng)絡(luò)。這是最主流的 主動(dòng)攻擊方式。惡意代碼是指未經(jīng)授權(quán)認(rèn)證且可以破壞系統(tǒng)完整性的程序或代碼，惡意代碼攻擊則是 指將惡意代碼隱蔽傳送到目標(biāo)主機(jī)，并可遠(yuǎn)程執(zhí)行未經(jīng)授權(quán)的操作，從而實(shí)施信息竊取、 信息篡改或其他破壞行為。常見(jiàn)的攻擊方式包括網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、木馬攻擊、后門(mén)攻 擊和惡意腳本等

43、。拒絕服務(wù)(DoS)攻擊通常是指造成目標(biāo)無(wú)法正常提供服務(wù)的攻擊，可能是利用TCP/IP協(xié)議的設(shè)計(jì)或?qū)崿F(xiàn)漏洞、各種系統(tǒng)或服務(wù)程序的實(shí)現(xiàn)漏洞造成目標(biāo)系統(tǒng)無(wú)法提供正常服務(wù) 的攻擊，也可能是通過(guò)各種手段消耗網(wǎng)絡(luò)帶寬及目標(biāo)的系統(tǒng)資源(如CPU時(shí)間、磁盤(pán)空間、物理內(nèi)存等)使得目標(biāo)停止提供正常服務(wù)的攻擊。(3)分布式拒絕服務(wù)(DDoS)攻擊是指多個(gè)攻擊源同時(shí)向單一目標(biāo)發(fā)起相同的DoS攻擊，也稱(chēng)為協(xié)同 DoS攻擊，使得目標(biāo)很快陷于癱瘓。(4)攻擊者攻擊網(wǎng)絡(luò)系統(tǒng)通常先鎖定攻擊目標(biāo)，再利用一些公開(kāi)協(xié)議或安全工具收 集目標(biāo)的相關(guān)信息，然后掃描分析系統(tǒng)的弱點(diǎn)和漏洞，進(jìn)而發(fā)動(dòng)對(duì)目標(biāo)的網(wǎng)絡(luò)攻擊。一次 成功的網(wǎng)絡(luò)攻擊通常包

44、括信息收集、端口和漏洞掃描、網(wǎng)絡(luò)隱身、實(shí)施攻擊、植入后門(mén)和 清除痕跡等步驟。網(wǎng)絡(luò)攻擊過(guò)程可以劃分為3個(gè)階段：準(zhǔn)備階段、實(shí)施階段和善后階段。(5)在收集攻擊目標(biāo)信息時(shí)，一般采用如下幾種方法：通過(guò)Windows命令收集信息、通過(guò) Whois查詢(xún)收集信息、通過(guò) Web挖掘分析收集信息、通過(guò)社會(huì)工程學(xué)收集信息、通 過(guò)網(wǎng)絡(luò)掃描收集信息、通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)收集信息。(6) Whois查詢(xún)是指查詢(xún)某個(gè)域名或 IP是否已注冊(cè)，以及注冊(cè)時(shí)的詳細(xì)信息。它可 以查詢(xún)域名或IP的歸屬者，包括其聯(lián)系方式、注冊(cè)和到期時(shí)間等。社會(huì)工程學(xué)是通過(guò)操縱人來(lái)實(shí)施某些行為或泄露機(jī)密信息的一種攻擊方法，實(shí)際上就是對(duì)人的欺騙。它通常以交談、欺

45、騙、假冒或偽裝等方式開(kāi)始，從合法用戶(hù)那里套取用戶(hù) 的敏感信息，如系統(tǒng)配置、口令或其他有助于進(jìn)一步攻擊的有用信息。(7)網(wǎng)絡(luò)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)的安全檢測(cè)，以便發(fā)現(xiàn)安 全隱患和可被攻擊者利用的漏洞。它是基于網(wǎng)絡(luò)的遠(yuǎn)程服務(wù)發(fā)現(xiàn)和系統(tǒng)脆弱點(diǎn)檢測(cè)的一種技術(shù)。從實(shí)現(xiàn)的技術(shù)角度看，網(wǎng)絡(luò)掃描可分為基于主機(jī)的掃描和基于網(wǎng)絡(luò)的掃描，有時(shí)也稱(chēng)為被動(dòng)式策略?huà)呙韬椭鲃?dòng)式策略?huà)呙?。根?jù)掃描的目的不同，基于網(wǎng)絡(luò)的掃描可分為端口 掃描、類(lèi)型和版本掃描、漏洞掃描、弱口令掃描、Web漏洞掃描和系統(tǒng)配置掃描等類(lèi)型。(8)攻擊者攻擊網(wǎng)絡(luò)系統(tǒng)所使用的工具，通?？梢苑譃閽呙桀?lèi)、口令破解類(lèi)、監(jiān)聽(tīng) 類(lèi)和遠(yuǎn)程監(jiān)控類(lèi)工具

46、軟件。常見(jiàn)的網(wǎng)絡(luò)掃描工具軟件有Zenmap, SuperScan, X-Scan ,Nessus, Shadow Security Scanner, Acunetix WVS , Fluxay , OpenVAS 等；口令破解類(lèi)工具 軟件有 Cain&Abel , John the Ripper, Brutus, Ncrack, hashcat, Ophcrack, Aircrack-ng 等; 監(jiān)聽(tīng)類(lèi)工具軟件有 Wireshark, Sniffer Pro, MiniSniffer等；遠(yuǎn)程監(jiān)控類(lèi)工具軟件有網(wǎng)銀型 木馬、網(wǎng)游型木馬、 FTP型木馬、灰鴿子、冰河、網(wǎng)絡(luò)神偷等。(9)所謂網(wǎng)絡(luò)隱身，

47、就是使目標(biāo)不知道與其通信的設(shè)備的真實(shí)IP地址或MAC地址。一般通過(guò)IP地址欺騙、MAC地址欺騙、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理隱藏等技術(shù)，將攻擊者的真 實(shí)IP地址或MAC地址隱藏起來(lái)。(10)網(wǎng)絡(luò)攻擊的作用點(diǎn)可分為以下幾類(lèi)：賬戶(hù)、文件系統(tǒng)、進(jìn)程、系統(tǒng)資源與信息、網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)。(11)植入后門(mén)的方法通常包括開(kāi)放連接端口、修改系統(tǒng)配置、安裝監(jiān)控器、建立隱 蔽連接通道、創(chuàng)建用戶(hù)賬號(hào)、安裝遠(yuǎn)程控制工具和替換系統(tǒng)文件等。(12)以Windows系統(tǒng)為例，攻擊可能留下的痕跡主要包括以下幾種。 事件查看器記錄的管理事件日志、系統(tǒng)日志、安全日志、 Setup日志、應(yīng)用程序日 志、應(yīng)用程序和服務(wù)日志。可使用 wevtut

48、il命令清除某類(lèi)日志，以應(yīng)用程序日志為例，清 除該類(lèi)日志的命令是 wevtutil cl application ”。如果利用HTTP協(xié)議進(jìn)行攻擊或者后門(mén)設(shè)置，則可能在瀏覽器或者Web服務(wù)器上留下相應(yīng)的訪(fǎng)問(wèn)和使用記錄。例如，對(duì)于 IE瀏覽器的訪(fǎng)問(wèn)痕跡，可以使用其配置程序 “inetcpl.cpl”(位于 C:WindowsSystem32)進(jìn)行不同類(lèi)別的清除。相應(yīng)的系統(tǒng)使用痕跡。可以使用 360安全衛(wèi)士等第三方工具進(jìn)行清除。2.實(shí)踐題答案：略。第4章防火墻與入侵檢測(cè)技術(shù)1.簡(jiǎn)答題(1)訪(fǎng)問(wèn)控制是按用戶(hù)身份及其所歸屬的某項(xiàng)定義組來(lái)限制用戶(hù)對(duì)某些信息項(xiàng)的訪(fǎng) 問(wèn)，或限制對(duì)某些控制功能的使用的一種技術(shù)

49、。為了保證系統(tǒng)信息的保密性和完整性，必 須對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制包含兩層意思：一是用戶(hù)身份認(rèn)證，即對(duì)用戶(hù)進(jìn)入系統(tǒng)的控制，常用方法是 用戶(hù)賬戶(hù)和口令限制；二是用戶(hù)權(quán)限確認(rèn)，即用戶(hù)進(jìn)入系統(tǒng)后對(duì)其所能訪(fǎng)問(wèn)的資源進(jìn)行的 限制，常用方法是訪(fǎng)問(wèn)權(quán)限和資源屬性限制。(2) 一般而言，訪(fǎng)問(wèn)控制系統(tǒng)包括主體、客體和控制策略3個(gè)要素。它們之間的行為關(guān)系為：主體提出一系列正常的請(qǐng)求信息，通過(guò)信息系統(tǒng)入口到達(dá)控制策略的監(jiān)控器，由控制策略判斷是否允許這次請(qǐng)求。此時(shí)，必須先要確認(rèn)是否為合法的主體，也就是對(duì)主體進(jìn)行 認(rèn)證。主體通過(guò)驗(yàn)證才能訪(fǎng)問(wèn)客體， 但并不保證其有權(quán)限對(duì)客體進(jìn)行操作。客體對(duì)主體的驗(yàn)證一般會(huì)鑒別用戶(hù)

50、的標(biāo)識(shí)和用戶(hù)密碼，對(duì)主體的具體約束由訪(fǎng)問(wèn)控制表來(lái)控制實(shí)現(xiàn)。(3)訪(fǎng)問(wèn)控制可分為自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色的訪(fǎng)問(wèn)控制3種類(lèi)型。自主訪(fǎng)問(wèn)控制是一種最為普遍的訪(fǎng)問(wèn)控制手段，它是在確認(rèn)主體身份及它們所屬組的基礎(chǔ)上對(duì)訪(fǎng)問(wèn)進(jìn)行限定的一種方法。其基本思想是：允許某個(gè)主體顯式地指定其他主體對(duì) 該主體所擁有的信息資源是否可以訪(fǎng)問(wèn)及可執(zhí)行的訪(fǎng)問(wèn)類(lèi)型。強(qiáng)制訪(fǎng)問(wèn)控制是“強(qiáng)加”給訪(fǎng)問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪(fǎng)問(wèn)控制規(guī)則，這種規(guī) 則是強(qiáng)制性規(guī)定的，用戶(hù)或用戶(hù)的程序不能加以修改?；诮巧脑L(fǎng)問(wèn)控制是通過(guò)對(duì)角色的訪(fǎng)問(wèn)所進(jìn)行的控制。在基于角色的訪(fǎng)問(wèn)控制中， 權(quán)限與角色相關(guān)聯(lián)，用戶(hù)通過(guò)成為適當(dāng)角色的成員而得到其角色的

51、權(quán)限。(4)訪(fǎng)問(wèn)控制系統(tǒng)的實(shí)現(xiàn)方法(即訪(fǎng)問(wèn)控制機(jī)制)主要有訪(fǎng)問(wèn)控制矩陣、訪(fǎng)問(wèn)控制 表、訪(fǎng)問(wèn)能力表和授權(quán)關(guān)系表等。訪(fǎng)問(wèn)控制矩陣簡(jiǎn)單直觀，易于理解，但查找和實(shí)現(xiàn)起來(lái) 有一定的難度，且往往許多主體和客體之間并無(wú)聯(lián)系，矩陣中會(huì)出現(xiàn)很多空項(xiàng)。訪(fǎng)問(wèn)控制 表是采用最多的一種訪(fǎng)問(wèn)控制實(shí)現(xiàn)方式，其優(yōu)點(diǎn)在于實(shí)現(xiàn)簡(jiǎn)單，任何得到授權(quán)的主體都可 以擁有一個(gè)訪(fǎng)問(wèn)表(項(xiàng))，其中都包括主體的身份和主體對(duì)這個(gè)客體的訪(fǎng)問(wèn)權(quán)限。訪(fǎng)問(wèn)能 力表是以主體(如用戶(hù))為中心建立的訪(fǎng)問(wèn)權(quán)限表，它可以看成是訪(fǎng)問(wèn)控制矩陣的另一種 實(shí)現(xiàn)方式，即通過(guò)提取矩陣中的行信息而生成。訪(fǎng)問(wèn)控制表和訪(fǎng)問(wèn)能力表都存在一定的不 足，而授權(quán)關(guān)系表則綜合了二者的優(yōu)點(diǎn)。(

52、5)在Internet上，防火墻相當(dāng)于在網(wǎng)絡(luò)邊界構(gòu)造了一個(gè)保護(hù)層，并強(qiáng)制所有的訪(fǎng)問(wèn) 都必須經(jīng)過(guò)該保護(hù)層，在此進(jìn)行檢查和連接，只有被授權(quán)的通信才能通過(guò)，從而使內(nèi)部網(wǎng) 絡(luò)和外部網(wǎng)絡(luò)在一定意義上隔離，以防止外部用戶(hù)非法使用內(nèi)部資源及敏感數(shù)據(jù)失竊，同 時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備不被破壞。防火墻的主要功能包括：過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為；封堵某些禁止的網(wǎng)絡(luò)訪(fǎng)問(wèn)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。(6)防火墻具有多種不同的分類(lèi)方法。按照實(shí)現(xiàn)方式，可分為軟件防火墻和硬件防 火墻；按照使用范圍，可分為個(gè)人防火墻和網(wǎng)絡(luò)防火墻；按照協(xié)議層次(即防火墻在網(wǎng)絡(luò) 協(xié)議棧中的過(guò)濾層次)，

53、可分為包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)防火墻和應(yīng)用級(jí)網(wǎng)關(guān)防火墻(也稱(chēng)代理防火墻)。利用包過(guò)濾技術(shù)在網(wǎng)絡(luò)層實(shí)現(xiàn)的防火墻稱(chēng)為包過(guò)濾防火墻。包過(guò)濾防火墻中的安全訪(fǎng)問(wèn)策略(過(guò)濾規(guī)則)是網(wǎng)絡(luò)管理人員事先設(shè)置好的，主要通過(guò)對(duì)進(jìn)入防火墻的數(shù)據(jù)包的源 IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過(guò)防火墻。代理防火墻通過(guò)一種代理技術(shù)參與到一個(gè)TCP連接的全過(guò)程，具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能，一般是指運(yùn)行代理服務(wù)器的主機(jī)。它提供了一種更好的安全控制機(jī) 制，可以在應(yīng)用層檢測(cè)所有數(shù)據(jù)，允許客戶(hù)端通過(guò)代理與網(wǎng)絡(luò)服務(wù)進(jìn)行非直接的連接。(7)常用的防火墻技術(shù)有包過(guò)濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測(cè)技術(shù)、自

54、適應(yīng)代理 技術(shù)等。為了增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性能，通常會(huì)將其中多種防火墻技術(shù)組合在一起使用， 以彌補(bǔ)各自的缺陷。(8)入侵是對(duì)信息系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)，以及未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從而查看網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊跡象的一種機(jī)制，它是一種主動(dòng)的網(wǎng)絡(luò)安全技術(shù)。所有能夠執(zhí)行入侵檢測(cè)任務(wù)和實(shí)現(xiàn)入侵檢測(cè)功能的系統(tǒng)都可稱(chēng)為入侵檢測(cè)系統(tǒng)(IDS),其中包括軟件系統(tǒng)或軟硬件結(jié)合的系統(tǒng)。入侵檢測(cè)系統(tǒng)一般位于內(nèi)部網(wǎng)絡(luò)的入口處，安裝在防火墻的后面，用于檢測(cè)外部攻擊者的入侵和內(nèi)部用戶(hù)的非法活動(dòng)。(9)入侵檢測(cè)系統(tǒng)主要具有以下功能：監(jiān)視網(wǎng)絡(luò)系

55、統(tǒng)的運(yùn)行狀況，查找非法訪(fǎng)問(wèn)和未授權(quán)操作； 對(duì)系統(tǒng)的構(gòu)造和弱點(diǎn)進(jìn)行審計(jì)，報(bào)告系統(tǒng)中存在的安全威脅； 識(shí)別 和分析網(wǎng)絡(luò)攻擊的行為特征并報(bào)警；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；對(duì)操作系統(tǒng)進(jìn)行跟蹤審計(jì)，并識(shí)別用戶(hù)違反安全策略的行為；具有容錯(cuò)功能，即使系統(tǒng)發(fā)生崩潰，也不會(huì)丟失數(shù)據(jù)，或者在系統(tǒng)重啟后重建自己的信息庫(kù)。根據(jù)數(shù)據(jù)來(lái)源的不同，入侵檢測(cè)系統(tǒng)可以分為以下3種基本類(lèi)型：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)、基于主機(jī)的入侵檢測(cè)系統(tǒng)( HIDS)、分布式入侵檢測(cè)系統(tǒng)(DIDS)。(10)為了實(shí)現(xiàn)對(duì)入侵的檢測(cè)，入侵檢測(cè)系統(tǒng)需要完成信息收集、信息分析和安全響應(yīng)過(guò)程。入侵檢測(cè)的第一步是信息收集。信息收集的內(nèi)容包括系

56、統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活 動(dòng)的狀態(tài)和行為。信息分析是指對(duì)收集到的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為等 信息，進(jìn)行模式匹配、統(tǒng)計(jì)分析和完整性分析等，進(jìn)而得到實(shí)時(shí)檢測(cè)所必需的信息。入侵 檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為后，必須及時(shí)作出響應(yīng)，包括終止網(wǎng)絡(luò)服務(wù)、記錄事件日志、報(bào) 警、阻斷等。(11)常用的入侵檢測(cè)技術(shù)有誤用檢測(cè)技術(shù)、異常檢測(cè)技術(shù)等。誤用檢測(cè)技術(shù)又稱(chēng)基于知識(shí)的入侵檢測(cè)技術(shù)，它假定所有入侵行為和手段(及其變種)都能夠表達(dá)為一種模式或 特征，并對(duì)已知的入侵行為和手段進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式或攻擊簽名，通 過(guò)系統(tǒng)當(dāng)前狀態(tài)與攻擊模式或攻擊簽名的匹配來(lái)判斷入侵行為。異常檢測(cè)技術(shù)又稱(chēng)基于行 為的

57、入侵檢測(cè)技術(shù)，用來(lái)識(shí)別主機(jī)或網(wǎng)絡(luò)中的異常行為。2.實(shí)踐題答案：略。第5章 數(shù)據(jù)加密與VPN技術(shù)1.簡(jiǎn)答題(1)密碼學(xué)涉及信息的加密、解密和密碼技術(shù)在信息傳遞過(guò)程中的應(yīng)用，它是研究 如何隱秘地傳遞信息的科學(xué)。密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)。其中，密碼編碼學(xué)主 要研究密碼變化的規(guī)律并用于編制密碼，以保護(hù)秘密信息；密碼分析學(xué)主要研究密碼變化 的規(guī)律并用于分析(解釋)密碼，以獲取信息情報(bào)。密碼編碼學(xué)實(shí)現(xiàn)對(duì)信息進(jìn)行保密，而 密碼分析學(xué)則實(shí)現(xiàn)對(duì)信息進(jìn)行解密，二者相輔相成、互相促進(jìn)。(2)密碼系統(tǒng)的工作過(guò)程通常為：首先，發(fā)送方和接收方通過(guò)安全信道獲得一對(duì)用 于加密和解密的密鑰；然后發(fā)送方將明文加密后成為密

58、文，通過(guò)公共信道傳輸?shù)浇邮辗剑?接收方用相應(yīng)的解密算法對(duì)密文進(jìn)行解密，恢復(fù)出原始明文。 其中涉及明文、密文、密鑰、密碼算法、加密、解密等術(shù)語(yǔ)。(3)密碼根據(jù)明文加密時(shí)的處理方法可分為分組密碼和序列密碼。其中，分組密碼 是將明文序列以固定的長(zhǎng)度進(jìn)行分組，每組明文用相同的密鑰和算法進(jìn)行變換，得到一組 密文；序列密碼是將明文的原始信息轉(zhuǎn)換為數(shù)據(jù)序列，再將其與密鑰序列進(jìn)行“異或”運(yùn) 算，生成密文序列發(fā)送給接收者。(4)對(duì)稱(chēng)密鑰密碼的加密密鑰和解密密鑰都是保密的，二者相同或相近(通過(guò)其中 一個(gè)可以很容易得到另一個(gè))；非對(duì)稱(chēng)密鑰密碼的加密密鑰和解密密鑰是不同的(通過(guò)其 中一個(gè)無(wú)法得到另一個(gè))，二者中通常一

59、個(gè)是公開(kāi)的，另一個(gè)是保密的。(5)密碼編碼學(xué)的主要任務(wù)是研究如何通過(guò)編碼技術(shù)來(lái)改變被保護(hù)信息的形式，使 得編碼后的信息只能被指定接收者識(shí)別。密碼分析學(xué)是指在不知道關(guān)于密鑰的任何信息的 情況下，利用各種技術(shù)手段，試圖通過(guò)密文來(lái)得到明文或密鑰的全部或部分信息。(6)常用的密碼分析技術(shù)有唯密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文 攻擊、選擇文本攻擊等。(7)如果一個(gè)密碼系統(tǒng)的加密密鑰和解密密鑰相同，或者加密密鑰和解密密鑰可以 從對(duì)方推導(dǎo)出來(lái)，這樣的密碼體制稱(chēng)為對(duì)稱(chēng)密碼體制。非對(duì)稱(chēng)密碼體制又稱(chēng)公開(kāi)密鑰密碼 體制，就是使用不同的加密密鑰和解密密鑰，它是一種“由已知的加密密鑰推導(dǎo)出解密密 鑰在計(jì)算上

60、是不可行的”密碼體制。(8) DES通過(guò)一系列復(fù)雜的操作將固定長(zhǎng)度的明文變成同樣長(zhǎng)度的密文，它是一種典型的塊密碼。對(duì)于 DES來(lái)說(shuō)，其塊長(zhǎng)度是 64位（有效密鑰長(zhǎng)度是 56位），同時(shí)它使用 密鑰來(lái)自定義變換過(guò)程，因此只有持有加密密鑰的用戶(hù)才能解密密文。AES是一種迭代的、對(duì)稱(chēng)密鑰分組的密碼，它可以使用128, 192和256位密鑰，并且用128位（16字節(jié)）分組來(lái)加密和解密數(shù)據(jù)。 該算法通過(guò)分組密碼返回的加密數(shù)據(jù)的位 數(shù)與輸入數(shù)據(jù)相同，迭代加密使用一個(gè)循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。RSA是1977年由麻省理工學(xué)院的三位科學(xué)家 Rivest, Shamir和Adleman共同提出的