信息安全技術(shù)課后題答案信息安全技術(shù)課后題答案信息安全技術(shù)課后題答案V:1.0精細整理，僅供參考信息安全技術(shù)課后題答案日期：20xx年X月第一章一、BA二、1.客戶端和服務(wù)器進行通信之前，要通過三次握手過程建立TCP連接。首先，客戶端向服務(wù)器發(fā)送一個同步（SYN）數(shù)據(jù)包，然后，服務(wù)器響應一個ACK位和SYN位置位的數(shù)據(jù)包，最后，客戶端響應一個ACK位置位的數(shù)據(jù)包。當然，三次握手過程會存在著半打開（half-open）問題，由于服務(wù)器對之前發(fā)起握手的客戶端存在信任關(guān)系，就會使端口一直處于打開狀態(tài)以等待客戶端的通信。2.有的信息安全技術(shù)都是為了達到一定的安全目標，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。

保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息，我們只需要保護好文件，不被非授權(quán)者接觸即可。而對計算機及網(wǎng)絡(luò)環(huán)境中的信息，不僅要制止非授權(quán)者對信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護信息保持原始的狀態(tài)，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴重的后果?？捎眯?Usability)是指授權(quán)主體在需要信息時能及時得到服務(wù)的能力?？捎眯允窃谛畔踩Ｗo階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項信息安全要求?？煽匦?Controlability)是指對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。不可否認性(Non-repudiation)是指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認其在交換過程中發(fā)送信息或接收信息的行為。第二章一、ACACDCC二、1.密碼學技術(shù)主要有對稱密碼算法、非對稱密碼算法、數(shù)字簽名技術(shù)、數(shù)字證書、信息隱藏技術(shù)等，密碼學在現(xiàn)代的意義是非常廣的，比如公鑰密碼技術(shù)用于數(shù)字簽名，認證服務(wù)，沒有它，大家常用的網(wǎng)上支付系統(tǒng)根本無法存在。還有一些重要的用戶登錄系統(tǒng)啊，手機通信中的信息加密等等，密碼學除了軍事用途以外，更多地還是應用在金融，網(wǎng)絡(luò)，通信等領(lǐng)域。2.對稱密碼算法運算量小，加密速度快，加密效率高，但加密前雙方必須共享密鑰這一性質(zhì)也造成對稱密碼算法存在一定的問題。（1）用戶使用對稱加密算法時，需要共享密鑰，使得用戶所擁有的鑰匙數(shù)量成幾何級數(shù)增長，密鑰管理成為用戶的負擔。（2）用戶在通信之前，需要建立連接來產(chǎn)生和獲取密鑰。這對擁有龐大用戶數(shù)量的網(wǎng)絡(luò)的通信空間提出了很高的要求。（3）密鑰不能被及時更換以保證信息的保密性。（4）消息的接收者不能檢查消息在接收之前是否經(jīng)過更改，數(shù)據(jù)的完整性得不到保證。（5）無法保證接收到的消息來自于聲明的發(fā)送者，因此，發(fā)送者能夠?qū)Πl(fā)送行為進行否認，不可否認性得不到保證。非對稱密碼算法解決了對稱算法的密鑰交換和消息否認問題，但仍存在一定問題。非對稱密碼算法最大的問題就是速度問題。因為在計算密鑰時，需要對大整數(shù)進行冪運算。例如，像RSA這樣速度最快的非對稱密碼算法比任何一種對稱密碼算法都要慢很多。因此，在對長消息進行加密時，非對稱密碼算法的速度就很難得到令人滿意的結(jié)果。另外，非對稱密碼算法還可能遭受中間人攻擊。3.RSA算法是一種非對稱密碼算法，所謂非對稱，就是指該算法需要一對密鑰，使用其中一個加密，則需要用另一個才能解密。RSA的算法涉及三個參數(shù)，n、e1、e2。其中，n是兩個大質(zhì)數(shù)p、q的積，n的二進制表示時所占用的位數(shù)，就是所謂的密鑰長度。e1和e2是一對相關(guān)的值，e1可以任意取，但要求e1與(p-1）*(q-1）互質(zhì)；再選擇e2，要求（e2*e1）mod((p-1）*(q-1））=1。（n，e1）,(n，e2）就是密鑰對。其中(n，e1）為公鑰，(n，e2）為私鑰。RSA加解密的算法完全相同，設(shè)A為明文，B為密文，則：A=B^e1modn；B=A^e2modn；e1和e2可以互換使用，即：A=B^e2modn；B=A^e1modn;4.數(shù)字證書以加密解密為核心，它采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把私有密鑰（即私鑰，僅用戶本人所知），然后用它進行解密和簽名；同時，用戶設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送方準備發(fā)送一份保密文件時，先使用接收方的公鑰對數(shù)據(jù)文件進行加密，而接收方則使用自己的私鑰對接收到的加密文件進行解密，這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。根據(jù)數(shù)字證書的應用分類，數(shù)字證書可以分為電子郵件證書、服務(wù)器證書和客戶端個人證書。第三章一、CC1.一個認證系統(tǒng)由五部分組成：用戶或工作組，特征信息，認證機構(gòu)，認證機制,訪問控制單元。用戶或工作組：指那些想要訪問系統(tǒng)資源的用戶或工作組。特征信息：指用戶向認證機構(gòu)提供的用于認證身份的信息。認證機構(gòu)：指識別用戶并指明用戶是否被授權(quán)訪問系統(tǒng)資源的組織或設(shè)備。認證機制：認證機制由三部分組成，分別是輸入組件，傳輸系統(tǒng)和核實器。訪問控制單元：用戶身份信息經(jīng)核實器分析計算的結(jié)果通過傳輸系統(tǒng)傳輸?shù)皆L問控制單元。2.S/Key口令。這種口令認證基于MD4和MD5加密算法產(chǎn)生，采用客戶-服務(wù)器模式?？蛻舳素撠熡胔ash函數(shù)產(chǎn)生每次登陸使用的口令，服務(wù)器端負責一次性口令的驗證，并支持用戶密鑰的安全交換。在認證的預處理過稱，服務(wù)器將種子以明文形式發(fā)送給客戶端，客戶端將種子和密鑰拼接在一起得到S。然后，客戶端對S進行hash運算得到一系列一次性口令。也就是說，第一次口令是通過對S進行N次hash運算得到，下一次的口令是通過對S進行N-1次hash運算得到。如果得到結(jié)果和存儲的值一致，就驗證了用戶身份的正確性。3.客戶機向認證服務(wù)器（AS）發(fā)送請求，要求得到某服務(wù)器的證書，然后AS的響應包含這些用客戶端密鑰加密的證書。證書的構(gòu)成為：1)服務(wù)器“ticket”；2)一個臨時加密密鑰（又稱為會話密鑰“sessionkey”）?？蛻魴C將ticket（包括用服務(wù)器密鑰加密的客戶機身份和一份會話密鑰的拷貝）傳送到服務(wù)器上。會話密鑰可以（現(xiàn)已經(jīng)由客戶機和服務(wù)器共享）用來認證客戶機或認證服務(wù)器，也可用來為通信雙方以后的通訊提供加密服務(wù)，或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務(wù)。第四章一、CC1.1）安全會話請求。2)服務(wù)器的X509證書。3)加密的會話密鑰。4)會話開始。2．傳輸模式：此模式用于主機與主機在不支持IPSec的網(wǎng)絡(luò)中通訊的情況。隧道模式：在兩個網(wǎng)絡(luò)設(shè)備中建立一個虛擬的通道，并對它們之間的所有通訊數(shù)據(jù)進行加密。3.在發(fā)送方有7個步驟：獲取郵件正文，檢索收件人公鑰，生成一次性會話密鑰，用會話密鑰加密郵件正文，用收件人公鑰加密會話密鑰，將會話密鑰附加到加密郵件，發(fā)送郵件。在接收方有6個步驟：接受郵件，檢索加密郵件正文和會話密鑰，檢索收件人私鑰，用收件人私鑰解密會話密鑰，用解密的會話密鑰解密郵件正文，將解密郵件返回給收件人。4.在發(fā)送方有6個步驟：捕獲郵件正文，計算郵件的哈希值，檢索發(fā)件人私鑰，用發(fā)件人私鑰加密哈希值，附加加密的哈希值，發(fā)送郵件。在接受方有8個步驟：接受郵件，檢索加密的哈希值，檢索郵件正文，計算郵件哈希值，檢索發(fā)件人公鑰，用發(fā)件人的公鑰解密加密的哈希值，比較解密的哈希值和計算的哈希值，驗證簽名郵件。5.PPP的工作流程主要包括：（1）當用戶撥號接入ISP時，路由器的調(diào)制解調(diào)器對撥號做出確認，并建立一條物理連接。（2）PC機向路由器發(fā)送一系列的數(shù)據(jù)鏈路層協(xié)議（LCP）分組。這些分組及其響應選擇一些PPP參數(shù)，建立數(shù)據(jù)鏈路層。之后，PPP進行網(wǎng)絡(luò)層配置，網(wǎng)絡(luò)控制協(xié)議（NCP）給新接入的PC機分配一個臨時的IP地址，使PC機成為因特網(wǎng)上的一個主機。（3）通信完畢時，NCP釋放網(wǎng)絡(luò)層連接，收回原來分配出去的IP地址。（4）LCP釋放數(shù)據(jù)鏈路層連接，最后釋放物理層的連接。6.1用戶C請求票據(jù)許可票據(jù).2AS發(fā)放票據(jù)許可票據(jù)和會話密鑰。3用戶C請求服務(wù)器票據(jù)。4TGS發(fā)放服務(wù)器票據(jù)和會話密鑰。5用戶C請求服務(wù).6服務(wù)器S提供服務(wù)器認證信息。7.(1)用戶輸入用戶名和口令；(2)RADIUS客戶端根據(jù)獲取的用戶名和口令，向RADIUS服務(wù)器發(fā)送認證請求包（Access-Request）。(3)RADIUS服務(wù)器將該用戶信息與Users數(shù)據(jù)庫信息進行對比分析，如果認證成功，則將用戶的權(quán)限信息以認證響應包（Access-Accept）發(fā)送給RADIUS客戶端；如果認證失敗，則返回Access-Reject響應包。(4)RADIUS客戶端根據(jù)接收到的認證結(jié)果接入/拒絕用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費開始請求包（Accounting-Request），status-type取值為start；(5)RADIUS服務(wù)器返回計費開始響應包（Accounting-Response）；(6)RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費停止請求包（Accounting-Request），status-type取值為stop；(7)RADIUS服務(wù)器返回計費結(jié)束響應包（Accounting-Response）。8．(1)持卡客戶在網(wǎng)上商家看中商品后，和商家進行協(xié)商，然后發(fā)出請求購買信息。(2)商家要求客戶用電子銀行付款。(3)電子銀行提示客戶輸入密碼后與商家交換握手信息，確認商家和客戶兩端均合法。(4)客戶的電子銀行形成一個包含訂購信息與支付指令的報文發(fā)送給商家。(5)商家將含有客戶支付指令的信息發(fā)送給支付網(wǎng)關(guān)。(6)支付網(wǎng)關(guān)在確認客戶信用卡信息之后，向商家發(fā)送一個授權(quán)響應的報文。(7)商家向客戶的電子銀行發(fā)送一個確認信息。(8)將款項從客戶帳號轉(zhuǎn)到商家?guī)ぬ?，然后向顧客送貨，交易結(jié)束。9．整個VPN網(wǎng)絡(luò)中任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺上，用戶數(shù)據(jù)在邏輯鏈路中傳輸。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。第五章一、CD二、1.病毒是最為常見的一種惡意代碼，一個病毒就是一個簡單的程序，其目的在于尋找其他的程序，通過將自身的復件嵌入到程序的方式來感染其它程序，被感染的程序就叫做病毒宿主，當主程序運行時，病毒代碼同樣也會運行。病毒需要一個用于感染的宿主，脫離宿主，病毒就不能自我復制。從對計算機造成損害的意義上說，蠕蟲也是一種病毒，具有病毒的傳播性，隱蔽性，破壞性等特性。但蠕蟲與病毒在某些方面是不同的。蠕蟲不需要宿主程序，通過復制自身在互聯(lián)網(wǎng)環(huán)境下進行傳播。同時，與病毒主要是破壞計算機內(nèi)的文件系統(tǒng)不同，蠕蟲的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機。如“紅色代碼”，“尼姆達”。2.(1)校驗和計算：根據(jù)待發(fā)送消息M的二進制碼流通過CRC-32計算出完整性檢驗值ICVC(M)，然后把C(M)附在原始明文M的尾部，組成完整的明文P=<M，C(M)>；(2)密鑰流生成：選擇一個24位的初始向量IV，由IV和40位的共享密鑰K組成64位的密鑰流種子，將64位的種子輸入偽隨機序列產(chǎn)生器PRNG，經(jīng)過RC4算法生成密鑰序列或稱為密鑰流，它是初始化向量IV和密鑰K的函數(shù)，表示為RC4(IV，K)；(3)數(shù)據(jù)加密：將明文P=<M，C(M)>和密鑰流RC4(IV，K)相異或得到密文C，其數(shù)據(jù)表達式為：C=P⊕RC4(IV，K)，其中P=<M，C(M)>；(4)數(shù)據(jù)傳輸：在密文C的頭部附上IV，得到待發(fā)送的數(shù)據(jù)幀，然后通過無線方式將其發(fā)送到接收端；數(shù)據(jù)解密鏈路層數(shù)據(jù)的解密過程是加密過程的逆過程。在接收端，密鑰流RC4(IV，K)將被重新生成，與密文C相異或便可得到明文P"。接收方把解密后的明文P"分解成消息M"和校驗值C(M)"，并由M"計算出校驗和C(M")，比較C(M")和收到的校驗和C"是否一致，如果一致，則接受此數(shù)據(jù)幀；否則，將其丟棄。3.后門攻擊，暴力攻擊，緩沖區(qū)溢出攻擊，拒絕服務(wù)攻擊，中間人攻擊，社會工程學攻擊，對敏感系統(tǒng)的非授權(quán)訪問攻擊。對于常見的信息安全攻擊的防范主要從以下幾個層面進行：（1）物理安全層面對策:物理安全層面對策的主要目的就是保證系統(tǒng)實體有個安全的物理環(huán)境條件：防止網(wǎng)絡(luò)服務(wù)器、打印機、計算機系統(tǒng)等硬件設(shè)備和通信鏈路受到人為破壞、搭線攻擊以及自然災害等;證實用戶的使用權(quán)限與身份,以抑制一些不法用戶進行越權(quán)操作;保證計算機網(wǎng)絡(luò)系統(tǒng)有一個適合的電磁兼容工作環(huán)境;制定比較完備的安全管理制度,防止非法進入計算機機房的各種偷竊、破壞活動的發(fā)生。（2）技術(shù)層面對策：綜合應用網(wǎng)絡(luò)訪問控制、數(shù)據(jù)庫的備份與恢復、信息加密技術(shù)、反病毒技術(shù)、研發(fā)并完善高安全的操作系統(tǒng)等多項措施。（3）管理層面對策：計算機網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結(jié)合，才能使計算機網(wǎng)絡(luò)安全確實有效。第六章一、BA二、1.訪問控制是一系列用于保護系統(tǒng)資源的方法和組件，依據(jù)一定的規(guī)則來決定不同用戶對不同資源的操作權(quán)限，可以限制對關(guān)鍵資源的訪問，避免非法用戶的入侵及合法用戶誤操作對系統(tǒng)資源的破壞。訪問控制提供了系統(tǒng)的完整性和保密性。訪問控制的一般過程：主體創(chuàng)建一個訪問系統(tǒng)資源的訪問請求，然后將這個請求提交給訪問監(jiān)視器。訪問監(jiān)視器通過檢查一定的訪問策略，決定是否允許這個訪問請求。如果主體的訪問請求符合訪問策略，主體就被授權(quán)按照一定的規(guī)則訪問客體。2.狀態(tài)機模型：狀態(tài)機模型是一系列狀態(tài)以及特定狀態(tài)轉(zhuǎn)移的組合。當客體的狀態(tài)發(fā)生變化的時候，就會在兩個狀態(tài)之間發(fā)生狀態(tài)轉(zhuǎn)移。狀態(tài)機模型通常用來模擬現(xiàn)實的實體以及實體之間狀態(tài)的轉(zhuǎn)移。當一個主體請求訪問某個客體時，必須有一個事先定義的允許客體從關(guān)閉的不可讀狀態(tài)，變?yōu)殚_放狀態(tài)的轉(zhuǎn)移函數(shù)。Bell-LaPadula模型：使用訪問控制表和安全標簽實現(xiàn)客體安全性，是典型的保密型多級安全模型。在早期的安全模型中，只要主體的安全級別高于客體的安全級別，就可以對客體進行訪問。這樣很容易造成信息的泄露，即高安全級別的主機將敏感信息寫入較低安全級別的客體中，而較低安全級別的主體通過讀操作就可以獲得這些信息。Biba模型：Bell-LaPadula模型很好的解決了信息的保密性問題，但也同時存在著低安全級別的用戶可以對高安全級別的用戶數(shù)據(jù)進行修改，刪除等操作，給信息的完整性帶來威脅。Biba模型的開發(fā)正是為了實現(xiàn)對信息的完整性保護。、Clark-Wilson模型：Clark-Wilson模型是在Biba模型之后開發(fā)出來的。與Biba模型和Bell-LaPadula模型不同的是，Clark-Wilson模型并不是建立在狀態(tài)機模型上的，而是采用一種不同的方法來保證數(shù)據(jù)的完整性。Clark-Wilson模型通過少量關(guān)系緊密的訪問控制程序來限制所有的訪問控制。這種模型在訪問程序中使用安全標簽來保證對客體的訪問，更適合于數(shù)據(jù)完整性更加重要的商業(yè)環(huán)境中。3.窮舉攻擊：嘗試所有可能的字母組合來滿足認證口令，以獲取對客體的訪問權(quán)限。字典攻擊：字典攻擊事實上就是窮舉攻擊的子集。字典攻擊并不嘗試所有的口令組合，而是從一個列表或字典中嘗試那些常用的口令。很容易找到那些常用的用戶ID和口令。欺騙攻擊：攻擊者放置一個偽造的登陸程序來迷惑用戶，騙取用戶ID和口令。這種方式看起來就像是正常的登陸屏幕，所以用戶很可能提供需要的信息。程序并不會把用戶連接到所請求的系統(tǒng)上，而是返回一個登錄失敗的提示信息。第七章一、BD二、1.路由器的一個重要作用是連接網(wǎng)絡(luò)，并且給發(fā)往目的地的通信流量選擇合適的路由。在保護網(wǎng)絡(luò)的邊界安全中，路由器同樣起到了很重要的作用。大多數(shù)情況下，路由器是用戶從因特網(wǎng)進入網(wǎng)絡(luò)所碰到的第一個物理設(shè)備。因此，路由器應該限制進入被保護網(wǎng)絡(luò)的通信流量，以此來加強網(wǎng)絡(luò)安全。2.（1）代理服務(wù)器首先檢查自己的數(shù)據(jù)緩沖區(qū)，確認在之前它是否為客戶端回答過相同的請求。（2）如果服務(wù)器緩存中有這些信息，那么服務(wù)器考慮這些信息是否足夠用來回答客戶端的這個請求。這個過程可以通過對數(shù)據(jù)上的時間戳和一個可設(shè)置的閥值來進行比較來完成。如果目前這些信息是足夠的，那么代理服務(wù)器就使用緩存中的信息來回答客戶端的請求，過程結(jié)束。（3）如果緩存中的信息已經(jīng)過時了或在緩存中并不存在被請求的信息，那么，代理服務(wù)器就會代表客戶端向遠程的WEB服務(wù)器發(fā)起一個請求。這個WEB服務(wù)器并不知道代理服務(wù)器的存在，它只是把代理服務(wù)器當成和其它客戶端一樣的客戶端。接下來，它會把應答數(shù)據(jù)發(fā)送給代理服務(wù)器。（4）當代理服務(wù)器收到來自于WEB服務(wù)器的信息時，它會首先處理這個應答信息（因為這個信息中有可能包含惡意內(nèi)容），然后應答客戶端的請求。（5）如果這個服務(wù)器使用了緩存，接下來，它會在緩存中存儲應答信息的副本，這樣就能方便之后應答來自網(wǎng)絡(luò)客戶的請求。3.硬件防火墻和軟件防火墻，包過濾防火墻，狀態(tài)檢測防火墻。4．屏蔽主機：防火墻是連接內(nèi)網(wǎng)和外部網(wǎng)絡(luò)的唯一鏈路。所有進入或離開內(nèi)網(wǎng)的數(shù)據(jù)包都必須經(jīng)過這個防火墻。這種拓撲是最容易應用的，也是最便宜的。然而，如果內(nèi)網(wǎng)向外網(wǎng)提供某種服務(wù)，這種結(jié)構(gòu)同樣面臨著巨大的安全風險。屏蔽子網(wǎng)防火墻：屏蔽子網(wǎng)（通常被稱為非軍事區(qū)或DMZ）防火墻拓撲結(jié)構(gòu)同樣是使用一個防火墻，但是，有三個網(wǎng)絡(luò)接口。對于堡壘主機防火墻，一塊網(wǎng)卡連接因特網(wǎng)（或其它外部網(wǎng)絡(luò)），另一個連接內(nèi)網(wǎng)。對于屏蔽子網(wǎng)防火墻，第三塊網(wǎng)卡連接屏蔽子網(wǎng)。雙重防火墻：像屏蔽子網(wǎng)防火墻一樣，雙重防火墻同樣提供一個DMZ網(wǎng)絡(luò)用來設(shè)置公共服務(wù)。然而，雙重防火墻并沒有使用一個帶有三塊網(wǎng)卡的防火墻來實現(xiàn)這個目標，而是使用兩個帶有兩塊網(wǎng)卡的防火墻來創(chuàng)建一個中間區(qū)域。第八章一、BAABA、CCACABCD二、1.入侵檢測系統(tǒng)的檢測機制一般可以分為三種：基于異常的檢測機制，基于特征的檢測機制，以及兩者混合的檢測機制。(1)異常檢測基于異常的檢測，通過將系統(tǒng)或用戶行為與正常行為進行比較來判別是否為入侵行為，通常會首先給出一個系統(tǒng)正常行為的特征列表，即“白名單”列表。然后將系統(tǒng)或用戶行為特征和“白名單”中的行為特征進行比較，如果匹配，則判定系統(tǒng)或用戶的行為是正常行為，否則，判定系統(tǒng)或用戶的行為是入侵行為。(2)誤用檢測不同于異常檢測，誤用檢測假定每個入侵行為都能夠用一個獨特的模式或特征所代表，因此在系統(tǒng)中建立異常行為的特征庫，然后將系統(tǒng)或用戶的行為與特征庫進行比較。若特征相互匹配，則判定系統(tǒng)或用戶的行為是入侵行為，若不能匹配，則判定系統(tǒng)或用戶行為是正常行為。2.通過數(shù)據(jù)來源的不同，可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。(1)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是將整個網(wǎng)絡(luò)作為掃描范圍，通過檢測整個網(wǎng)絡(luò)來發(fā)現(xiàn)網(wǎng)絡(luò)上異常的，不恰當?shù)模蚱渌赡軐е挛词跈?quán)，有害事件發(fā)生的事件。NIDS有幾種不同的運行模式：一種是作為獨立的機器，在混雜模式下檢測所有的網(wǎng)絡(luò)數(shù)據(jù)；另一種是將自己變?yōu)槟繕酥鳈C，檢測流經(jīng)自己的所有網(wǎng)絡(luò)數(shù)據(jù)。(2)基于主機的入侵檢測系統(tǒng)（HIDS）系統(tǒng)的信息誤用問題不只是外部的入侵造成的，更多的是來自于系統(tǒng)內(nèi)部。為避免系統(tǒng)內(nèi)部的攻擊，安全專家將檢測轉(zhuǎn)向組織網(wǎng)絡(luò)的內(nèi)部，檢測針對本地主機入侵行為的系統(tǒng)被稱為基于主機的入侵檢測系統(tǒng)（HIDS）。基于主機的入侵檢測是在單一主機上進行惡意行為檢測的技術(shù)。HIDS部署在單一的目標主機上，利用軟件檢測主機的具體日志信息，如Windows系統(tǒng)中的系統(tǒng)日志、事件日志、安全日志或UNIX系統(tǒng)中的系統(tǒng)日志。當這些文件發(fā)生了變化，HIDS就將相關(guān)事件與攻擊特征表進行匹配，如果匹配，那判定系統(tǒng)內(nèi)有攻擊發(fā)生。入侵檢測系統(tǒng)的設(shè)計準則包括以下幾點：(1)其配置結(jié)束后可以自我運行。(2)工作時必須時刻保持積極的工作狀態(tài)且自身不易被攻擊。(3)能夠識別系統(tǒng)不常見的行為，每一個入侵檢測系統(tǒng)都會遺漏一些異常行為，不過一個好的系統(tǒng)能夠盡可能多得發(fā)現(xiàn)入侵行為。(4)系統(tǒng)運行要盡可能減少對正常工作的影響。(5)系統(tǒng)必須可控，可調(diào)試。第九章一、DB二、1.答：安全掃描是對系統(tǒng)評估以發(fā)現(xiàn)所有已知漏洞的過程。掃描的過程非常簡單，分為以下幾個步驟：（1）為操作系統(tǒng)創(chuàng)建一個列表，列表中包含了目前所有已知的安全漏洞（有很多可用的資源可以幫助用戶完成這個步驟）；（2）對列表中的每一個漏洞進行檢查以確定其是否存在于系統(tǒng)中（也有很多現(xiàn)成的工具可以幫助完成這一步驟）；（3）記錄系統(tǒng)存在的漏洞；（4）根據(jù)嚴重程度以及處理時所花費的成本對存在的漏洞劃分等級；（5）根據(jù)情況采取修補措施。2.答：Windows共享資源功能存在三個比較主要的安全漏洞。（1）共享資源增加了非授權(quán)用戶獲得資源訪問權(quán)的可能性。用戶共享一個資源之后，就必須考慮對資源的訪問控制。如果某一個用戶的文件夾能夠被局域網(wǎng)的所有人訪問，攻擊者就可以通過攻破局域網(wǎng)的任何一臺計算機來獲得對資源的訪問。（2）SMB應用以及Samba都包含著一定的缺陷。在著名的漏洞網(wǎng)站上，就有幾種Windows共享資源的軟件漏洞。用戶要確保了解最新的軟件漏洞，保證所有軟件的及時更新。（3）網(wǎng)絡(luò)資源共享的漏洞使得攻破一臺計算機等同于攻破一組計算機。如果攻擊者獲得了網(wǎng)絡(luò)上一臺計算機的訪問，他就能夠?qū)阂獯a引入到共享文件夾中，隨后影響整個網(wǎng)絡(luò)。如果用戶必須共享資源，就要確保了解資源的位置，保證每一種資源都是安全的。在Windows2003之前，共享的默認設(shè)置是Everyone-FullControl權(quán)限，也就是說如果用戶創(chuàng)建了一個共享，并且沒有限制對它的訪問，那么所有人都能夠?qū)@個共享資源進行讀和寫。通過在命令提示符下輸入netshare，用戶可以在Windows計算機上查看所有的本地系統(tǒng)共享。共享資源的掃描工具叫做共享掃描，原理是通過向用戶網(wǎng)絡(luò)發(fā)送SMB數(shù)據(jù)包檢查所有活躍的資源共享。和處理所有的安全事件一樣，對共享資源的保護，要確保用戶比攻擊者了解更多的信息，要限制用戶直接泄露的信息數(shù)量。要經(jīng)常對用戶網(wǎng)絡(luò)進行共享掃描，以保證用戶使用的所有資源的安全。3．答：Internet協(xié)議（IP）棧指紋識別是用來進行操作系統(tǒng)指紋識別最重要的工具。Nmap掃描工具有九種獨立的測試。在每種測試中，Nmap同時向目標計算機的三種端口發(fā)送一定數(shù)量的TCP和UDP數(shù)據(jù)包。這三種端口是開放的TCP端口，關(guān)閉的TCP端口和關(guān)閉的UDP端口。每個數(shù)據(jù)包都設(shè)置了詳細的標志位來引起特定的響應。收到響應數(shù)據(jù)包后，對數(shù)據(jù)包進行分析，并和已知IP棧的響應進行比較。如果結(jié)果匹配，就說明在目標計算機上運行著相應的IP棧和操作系統(tǒng)。Sprint掃描工具是另一種創(chuàng)建IP和操作系統(tǒng)指紋的工具，能以主動方式或被動方式運行。在主動方式中，Sprint主動和目標計算機建立連接，并且交換各種數(shù)據(jù)包，并且能夠?qū)邮盏降臄?shù)據(jù)包的SYN/ACK標志進行分析來猜測操作系統(tǒng)的類型。在被動方式中，Sprint僅僅只是偵聽來自于目標計算機的數(shù)據(jù)包，并且執(zhí)行同樣的SYN/ACK標志分析。除了猜測操作系統(tǒng)，Sprint同時也能夠給出正常的開機運行時間信息，運行復雜的標志抓取功能來發(fā)掘更多的系統(tǒng)信息。Xprobe2向目標計算機發(fā)送特定的ICMP或TCP數(shù)據(jù)包，并分析計算機的響應。Xprobe2不需要首先掃描目標計算機的端口。比起Nmap和以主動形式運行的Sprint，端口掃描功能的缺失以及ICMP數(shù)據(jù)包的使用在計算機上引起了一定的干擾。Xprobe2同樣使用指紋矩陣的方法來代替線性方法，通過使用指紋矩陣能夠產(chǎn)生“近似匹配”。當其它的工具返回檢測失敗的時候，Xprobe2卻能夠做出一個積極的響應。第十章一、CD二、1．答：白名單過濾是根據(jù)白名單列表進行的。這個白名單列表是一個允許訪問列表，由第三方審查和編譯。列表上的所有內(nèi)容都是允許訪問的，可以是一個允許訪問的網(wǎng)頁的URL列表，一個合法關(guān)鍵詞列表，或是一個合法通信數(shù)據(jù)包的包簽名列表。黑名單過濾是基于有害內(nèi)容的名單進行的。這個名單可能包含網(wǎng)站的URL，關(guān)鍵詞，以及通信數(shù)據(jù)包的簽名等內(nèi)容。由于黑名單規(guī)模的有限性以及易管理性，這種方法比白名單過濾更常見。2.答：內(nèi)容過濾可以在發(fā)生在兩個層次：應用層和網(wǎng)絡(luò)層。應用層的過濾是根據(jù)網(wǎng)頁URL進行的，可以阻塞特定的網(wǎng)頁或FTP站點。網(wǎng)絡(luò)層的過濾是包過濾，要求路由器檢查流入或流出的每一個通信數(shù)據(jù)包的IP地址（有些時候還包括端口號等其他信息），將其和白名單或黑名單上的數(shù)據(jù)進行對比。應用層過濾根據(jù)組成阻塞標準的類別進行，包括URL，關(guān)鍵詞等。應用層過濾同樣能夠被設(shè)置在很多的地點，包括用戶PC機上，網(wǎng)絡(luò)網(wǎng)關(guān)上，第三方服務(wù)器上，以及ISP機器上。在每一個地點，每一個相當高效的過濾機制都能夠被成功應用。當在網(wǎng)絡(luò)上或在ISP上進行應用層過濾的時候，可能就會用到一個特定的代理服務(wù)器。代理服務(wù)器根據(jù)過濾規(guī)則阻止進入或流出服務(wù)器的內(nèi)容。對于來自于用戶或客戶端的每一個請求，代理服務(wù)器將會把客戶的請求以及包含有Web站點，F(xiàn)TP站點和新聞組的黑名單進行比較。如果用戶請求訪問的URL就在黑名單之上，代理服務(wù)器就會做出有效的阻塞手段。除了阻塞流入或流出網(wǎng)絡(luò)或用戶計算機的數(shù)據(jù)流，代理服務(wù)器還能存儲經(jīng)常訪問的數(shù)據(jù)。因為每一個網(wǎng)絡(luò)包都有源IP地址和目的IP地址，使得TCP協(xié)議能夠在網(wǎng)絡(luò)中成功地傳輸數(shù)據(jù)包，同時也能對傳輸錯誤進行記錄。在數(shù)據(jù)包水平的過濾和阻塞中，過濾實體有一個由“禁止”和“壞”IP地址組成的黑名單。這個阻塞和過濾過程是通過將所有進入或流出的數(shù)據(jù)包的IP地址和特定的黑名單上的IP地址進行比較完成的。然而，由于技術(shù)上和非技術(shù)上存在的問題，包層次的過濾是有局限性的。3.答：目前，病毒主要有兩種分類方式：基于傳播方式的計算機病毒分類和基于結(jié)果的病毒分類?；趥鞑シ绞降挠嬎銠C病毒可以分為特洛伊木馬病毒、多態(tài)病毒、隱藏型病毒、逆錄病毒、加殼病毒、伴隨病毒、噬菌體病毒?；诮Y(jié)果的計算機病毒可以分為錯誤生成病毒、數(shù)據(jù)和程序破壞者、系統(tǒng)粉碎機、計算機時間竊取病毒、硬件破壞者病毒、邏輯/時間炸彈。 計算機病毒進行感染的方式主要通過以下幾步：（1）駐入內(nèi)存：病毒要達到傳染的目的必須駐留于內(nèi)存之中，所以病毒傳染的第一步是駐留內(nèi)存；（2）尋找傳染機會：病毒駐入內(nèi)存之后，首先尋找可進行攻擊的對象，并判定這一對象是否可被傳染（有些病毒的傳染是無條件的）；（3）進行傳染：當病毒尋找到傳染的對象并判定可進行傳染之后，通過INT13H這一磁盤中斷服務(wù)程序達到傳染磁盤的目的，并將其寫入磁盤系統(tǒng)；一般病毒將在內(nèi)存中申請一空間，以便常駐內(nèi)存或為常駐內(nèi)存程序（TSR），病毒為使自己不被發(fā)現(xiàn)，此時一般不覆蓋其它數(shù)據(jù)的，通常病毒程序?qū)懡o于內(nèi)存高端，其傳染方式如上病毒存儲方式。計算機病毒來源渠道主要從以下5個方面：盜版軟件、公開軟件、電子公告欄、通訊與網(wǎng)絡(luò)、正版軟件。4.答：垃圾郵件的主要危害有以下幾點：（1）占用網(wǎng)絡(luò)帶寬，造成郵件服務(wù)器擁塞，進而降低整個網(wǎng)絡(luò)的運行效率。（2）侵犯收件人的隱私權(quán)，侵占收件人信箱空間，耗費收件人的時間、精力和金錢。有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴重損害了他人的信譽。（3）成為被黑客利用的工具。2000年2月，黑客攻擊雅虎等五大熱門網(wǎng)站就是一個例子。黑客首先侵入并控制了一些高帶寬的網(wǎng)站，集中眾多服務(wù)器的帶寬能力，然后用數(shù)以億萬計的垃圾郵件猛烈襲擊目標，造成被攻擊網(wǎng)站網(wǎng)路堵塞，最終癱瘓。（4）嚴重影響ISP的服務(wù)形象。在國際上，頻繁轉(zhuǎn)發(fā)垃圾郵件的主機會被上級國際因特網(wǎng)服務(wù)提供商列入國際垃圾郵件數(shù)據(jù)庫，從而導致該主機不能訪問國外許多網(wǎng)絡(luò)。而且收到垃圾郵件的用戶會因為ISP沒有建立完善的垃圾郵件過濾機制，而轉(zhuǎn)向其它ISP。當前主要的防范措施有以下幾種方式可以用來對抗垃圾郵件：（1）避免在公共場所張貼電子郵件地址。個人網(wǎng)頁底部的電子郵件地址是垃圾郵件制造者的必選目標。如果必須在個人網(wǎng)頁上放置個人電子郵件，嘗試找一種方式隱藏它。（2）限制填寫要求電子郵件地址的在線表格。如果有可能，就一直避免在填寫表格的時候提供電子郵件地址。（3）使用不容易被猜到的電子郵件地址?，F(xiàn)在，垃圾郵件制造者正在試圖猜測電子郵件地址，因此盡量使用難以被猜測到的電子郵件地址。（4）使用多個電子郵件地址。建議同時使用多個電子郵件地址，在個人商業(yè)用途上使用一個地址。當填寫無關(guān)緊要的信息時，使用不同的電子郵件地址。（5）垃圾郵件過濾。建議在網(wǎng)絡(luò)層或應用層使用垃圾郵件過濾來阻塞不想要的電子郵件。盡管這種方法存在著一定的問題，但是能夠極大地減少用戶接受到的垃圾郵件的數(shù)量?，F(xiàn)在，許多的ISP都支持垃圾郵件過濾。（6）立法。當前的反垃圾郵件技術(shù)主要可以分為4大類：過濾技術(shù)、驗證查詢技術(shù)、挑戰(zhàn)技術(shù)和密碼術(shù)，這些解決辦法都可以減少垃圾郵件問題，但是也都存在各自的局限性。過濾技術(shù)是一種相對來說最簡單卻很直接的處理垃圾郵件技術(shù)。這種技術(shù)主要用于接收系統(tǒng)（MUA，如OUTLOOKEXPRESS或者MTA，如sendmail）來辨別和處理垃圾郵件。從應用情況來看，這種技術(shù)也是使用最廣泛的，比如很多郵件服務(wù)器上的反垃圾郵件插件、反垃圾郵件網(wǎng)關(guān)、客戶端上的反垃圾郵件功能等，都是采用的過濾技術(shù)。垃圾郵件一般都是使用偽造的發(fā)送者地址，極少數(shù)的垃圾郵件才會用真實地址。垃圾郵件發(fā)送者基于以下幾點原因來偽造郵件：因為是違法的，在很多國家，發(fā)送垃圾郵件都是違法行為，通過偽造發(fā)送地址，發(fā)送者就可能避免被起訴；因為不受歡迎，垃圾郵件發(fā)送者都明白垃圾郵件是不受歡迎的，通過偽造發(fā)送者地址，就可能減少這種反應；受到ISP的限制，多數(shù)ISP都有防止垃圾郵件的服務(wù)條款，通過偽造發(fā)送者地址，他們可以減少被ISP禁止網(wǎng)絡(luò)訪問的可能性。因此，如果我們能夠采用類似黑白名單一樣，能夠更智能地識別哪些是偽造的郵件，哪些是合法的郵件，那么就能從很大程度上解決垃圾郵件問題，驗證查詢技術(shù)正是基于這樣的出發(fā)點而產(chǎn)生的。挑戰(zhàn)技術(shù)通過延緩郵件處理過程，將可以阻礙大量垃圾郵件的發(fā)送。那些只發(fā)送少量郵件的正常用戶不會受到明顯的影響。但是，挑戰(zhàn)技術(shù)只在很少人使用的情況下獲得了成功。如果在更普及的情況下，可能人們更關(guān)心的是是否會影響到郵件傳遞而不是會阻礙垃圾郵件。目前，業(yè)界提出了采用密碼技術(shù)來驗證郵件發(fā)送者的方案。從本質(zhì)上來說，這些系統(tǒng)采用證書方式來提供證明。沒有適當?shù)淖C書，偽造的郵件就很容易被識別出來。第十一章一、BB二、1.答：每一個系統(tǒng)都有可能被入侵。系統(tǒng)被入侵后，系統(tǒng)數(shù)據(jù)可能被破壞或被竊取，因此，必須對網(wǎng)絡(luò)上的系統(tǒng)進行安全評估。一般評估過程由以下幾個部分組成：對系統(tǒng)進行完整的風險、威脅分析；制定合適的安全策略；對系統(tǒng)進行強制性的補丁安裝和安全升級。同時，系統(tǒng)在與無安全措施的終端進行資源共享時，還需要一個標準化的規(guī)程使風險降到最低。2.答：本質(zhì)上來說，安全策略是一系列用于規(guī)定與限制系統(tǒng)資源使用和所有用戶安全責任級別的策略和進程。安全策略的作用就是對某些請求給予明確的拒絕，這樣才能很好地限制網(wǎng)絡(luò)的主機數(shù)、資源和用戶的使用權(quán)限，從而保護系統(tǒng)的安全。能夠公平的情況地完成以上任務(wù)3.答：因為計算機歷史上不乏失敗的軟件項目和軟件故障導致重大災難的例子，如千年恐慌。軟件發(fā)生運行錯誤有不同的原因，有些很明顯是人為的錯誤、軟件自身的錯誤或者軟件運行環(huán)境的不兼容性。4.答：目前有多種方法進行安全威脅分析，這些方法一般分為兩類：通過計算年預期虧損量進行威脅分析和通過攻擊樹進行威脅分析兩種。定量風險方法要求關(guān)注的是量化的數(shù)據(jù)，結(jié)果雖然很直觀，但這樣不能保證數(shù)據(jù)的完整和可靠?？偟膩碚f，信息安全事件的歷史數(shù)據(jù)不多，構(gòu)建相關(guān)的經(jīng)驗模型存在困難，有些威脅不存在頻率數(shù)據(jù)，從而很難準確的把握事件的影響和概率。Schneier通過使用攻擊樹的模型來進行風險分析。攻擊樹就是虛擬的顯示可能對目標造成的攻擊，攻擊樹的根節(jié)點就是攻擊的最終目的，其它的節(jié)點就是攻擊為了達到最終的目的而必須實行的子步驟。第十二章一、CA二、1．答：通過制定通告計劃，可以發(fā)現(xiàn)不同級別的資產(chǎn)和不同級別的災難環(huán)境下，所要告知的對象是不一樣的。及時進行通報可以使管理員有時間采取相應的行為減少災難對信息系統(tǒng)的影響。2．答：現(xiàn)有的災難備份技術(shù)主要有三種，1.基于磁盤系統(tǒng)的災難備份技術(shù)，基于磁盤系統(tǒng)的遠程數(shù)據(jù)備份技術(shù)是以磁盤系統(tǒng)為基礎(chǔ)，采用硬件數(shù)據(jù)復制技術(shù)，借助磁盤控制器提供的功能，通過專線實現(xiàn)物理存儲器之間的數(shù)據(jù)交換。這種方式的優(yōu)點是，它獨立于主機和主機操作系統(tǒng)，不占用主機的CPU、主機通道和網(wǎng)絡(luò)資源，對主機透明，也不需要對現(xiàn)有應用系統(tǒng)作任何改動。2.基于軟件方式的災難備份技術(shù)，軟件方式的災難備份技術(shù)是基于操作系統(tǒng)級的災難備份解決方案。其特點是與操作系統(tǒng)平臺相關(guān)，而對應用程序是透明的。此方式通過通信網(wǎng)絡(luò)，實現(xiàn)數(shù)據(jù)在兩個不同地點之間的實時備份。3.其它災難備份技術(shù)的解決方案，目前，各大知名數(shù)據(jù)業(yè)務(wù)公司都相繼推出自己的災難備份技術(shù)解決方案，如通過磁帶庫技術(shù)實現(xiàn)數(shù)據(jù)遠程備份解決方案，Sybase、ORACLE的數(shù)據(jù)庫鏡像技術(shù)解決方案等。3．答：目前，常用的存儲優(yōu)化技術(shù)有DAS（直接連接存儲），NAS（網(wǎng)絡(luò)連接存儲）和SAN（存儲區(qū)域網(wǎng)絡(luò)）。DAS存儲結(jié)構(gòu)的數(shù)據(jù)量越大，備份和恢復的時間就越長，對服務(wù)器硬件的依賴性和影響就越大。其優(yōu)點是存取速度快、建立方便；但也存在一些明顯的缺點，如單點錯誤問題、擴展困難等。與之相比，NAS存儲系統(tǒng)有很多優(yōu)點：（1）數(shù)據(jù)存儲和數(shù)據(jù)處理功能分離，消除了網(wǎng)絡(luò)的帶寬并頸。當網(wǎng)絡(luò)服務(wù)器崩潰時，用戶仍能訪問NAS設(shè)備中的數(shù)據(jù)；當NAS故障時，網(wǎng)絡(luò)上與主服務(wù)器相關(guān)的其它操作也不會受到影響，甚至更新或替換存儲設(shè)備時也不需關(guān)閉整個網(wǎng)絡(luò)。（2）NAS設(shè)備不依賴于通用的操作系統(tǒng)，而是采用了瘦服務(wù)器（thinserver）技術(shù)，應用于高效的文件共享任務(wù)中，不同的主機與客戶端通過文件共享協(xié)定存取NAS上的數(shù)據(jù)，實現(xiàn)文件共享功能。例如UNIX中的NFS和WindowsNT中的CIFS，其中基于網(wǎng)絡(luò)的文件級鎖定提供了高級并發(fā)訪問保護的功能。（3）實現(xiàn)簡單。NAS存儲結(jié)構(gòu)成本較低、易于安裝、管理和擴展、使用性能和可靠性均較高，適用于那些需要通過網(wǎng)絡(luò)將文件數(shù)據(jù)傳送到多臺客戶機上的用戶。NAS設(shè)備在數(shù)據(jù)必須長距離傳送的環(huán)境中可以很好地發(fā)揮作用。而SAN具有如下優(yōu)點：（1）使用FC通道調(diào)節(jié)技術(shù)來優(yōu)化存儲器與服務(wù)器之間的數(shù)據(jù)快傳輸，通過支持存儲器與服務(wù)器之間進行大容量數(shù)據(jù)塊傳遞軟件，減少了發(fā)送對數(shù)據(jù)塊的分割，也減少了對通信節(jié)點的預處理，從而，具有更快的響應速度和更高的數(shù)據(jù)帶寬。（2）高性能的FC交換機和FC網(wǎng)絡(luò)的使用確保了設(shè)備連接的可靠性和高效率，提高了容錯度。（3）利用多條FC鏈路建立冗余通道，保證了傳輸鏈路的可靠性，通過SAN內(nèi)部的FC網(wǎng)絡(luò)建立多層次的存儲備份體系，保證了系統(tǒng)的高可靠性，這都保證了企業(yè)的數(shù)據(jù)完整性、可靠性和安全性要求。（4）基于網(wǎng)絡(luò)的存儲虛擬化，將主機與存儲的聯(lián)系斷開，可動態(tài)地從集中存儲中分配存儲量。虛擬存儲的可伸縮性簡化了網(wǎng)絡(luò)服務(wù)的使用和可擴展性，也提高了硬件設(shè)備的初期回報。（5）提供高效的故障恢復環(huán)境，大大提高了應用軟件的可用性。（6）安裝容易、快速，對服務(wù)器的要求降低，可大大降低服務(wù)器的成本，有利于高性能存儲系統(tǒng)在更廣的范圍內(nèi)普及及應用。4．答：CDP（ContinuousDataProtection，持續(xù)數(shù)據(jù)保護）技術(shù)是目前最熱門的數(shù)據(jù)保護技術(shù)，是對傳統(tǒng)數(shù)據(jù)備份技術(shù)的一次革命性的重大突破?，F(xiàn)在，CDP為用戶提供了新的數(shù)據(jù)保護手段，CDP系統(tǒng)會不斷監(jiān)測關(guān)鍵數(shù)據(jù)的變化，不斷地自動實現(xiàn)數(shù)據(jù)的保護系統(tǒng)，管理員無須關(guān)注數(shù)據(jù)的備份過程，而是僅僅當災難發(fā)生后，簡單地選擇需要恢復到的時間點即可實現(xiàn)數(shù)據(jù)的快速恢復。CDP技術(shù)可以捕捉到一切文件級或數(shù)據(jù)塊級別的數(shù)據(jù)寫改動，可以對備份對象進行更加細化的粒度的恢復，可以恢復到任意時間點。通過在操作系統(tǒng)核心層中植入文件過濾驅(qū)動程序，來實時捕獲所有文件訪問操作。對于需要CDP連續(xù)備份保護的文件，當CDP管理模塊經(jīng)由文件過濾驅(qū)動攔截到其改寫操作時，則預先將文件數(shù)據(jù)變化部分連同當前的系統(tǒng)時間戳一起自動備份到UnaCDP存儲體。從理論上說，任何一次的文件數(shù)據(jù)變化都會被自動記錄，因而稱之為持續(xù)數(shù)據(jù)保護。5．答：0級：無異地備份，僅在本地備份，沒制定災難恢復計劃，不具備真正災難恢復能力，成本最低。是所有容災方案的基礎(chǔ)，從個人用戶到企業(yè)級用戶都廣泛采用。1級：實現(xiàn)異地備份，將關(guān)鍵數(shù)據(jù)備份到本地，后送異地保存，但異地無可用的備份中心。作為異地容災的手段，此方案在許多中小網(wǎng)站和中小企業(yè)中采用較多。2級：熱備份站點備份，備份關(guān)鍵數(shù)據(jù)并存放到異地，制定相應的災難恢復計劃，備份介質(zhì)采用交通運輸方法送往異地，在異地有熱備份中心，但保存的數(shù)據(jù)是上次備份的數(shù)據(jù)。災難發(fā)生后可能會有幾天甚至幾周有數(shù)據(jù)丟失，故不能用于關(guān)鍵數(shù)據(jù)的容災。3級：在線數(shù)據(jù)恢復，通過網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)備份并存放到外地，制定相應的災難恢復計劃，有熱備份中心，備份站點要保持持續(xù)運行，對網(wǎng)絡(luò)要求較高，成本有所增加。4級：定時數(shù)據(jù)備份，在3級方案基礎(chǔ)上，用備份管理軟件自動通過網(wǎng)絡(luò)將部分關(guān)鍵數(shù)據(jù)定時備份到異地，并制定相應的災難恢復計劃。對備份管理軟件和網(wǎng)絡(luò)要求較高，導致成本增加，尚不能滿足關(guān)鍵行業(yè)對關(guān)鍵數(shù)據(jù)容災的要求。5級：實時數(shù)據(jù)備份，在前幾級容災方案的基礎(chǔ)上使用硬件鏡像技術(shù)和軟件的數(shù)據(jù)復制技術(shù)，關(guān)鍵應用使用雙重在線存儲，減少了數(shù)據(jù)的丟失量，降低了業(yè)務(wù)的恢復時間。既能保證當前交易正常進行，又能實時復制交易的數(shù)據(jù)到異地，是目前應用最廣泛的方案。6級：零數(shù)據(jù)丟失，利用專用網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)同步鏡像到備份中心，數(shù)據(jù)在本地和異地都要進行確認，恢復速度最快，實現(xiàn)零數(shù)據(jù)丟失。投資大，適合資金實力雄厚的大型企業(yè)和電信企業(yè)，適合交易較少或非實時交易的關(guān)鍵數(shù)據(jù)系統(tǒng)，目前采用此方案的用戶不多。第十三章一、CD二、1．答：計算機取證是以計算機為基礎(chǔ)的司法鑒定科學技術(shù)。通過以計算機為基礎(chǔ)的資料作為證據(jù)，涉及到提取、審查、保存、分析、評價，從而為民事，刑事，行政和其它案件提供有關(guān)的信息。2．答：計算機取證和網(wǎng)絡(luò)取證的過程是一樣的，分為三個步驟：尋找證據(jù)；保存證據(jù)并確保其完整性不受損壞；對提取出來的數(shù)據(jù)進行合法性認證，具體包括確認數(shù)據(jù)是原始數(shù)據(jù)而沒有經(jīng)過修改。具體可以分為：1.尋找證據(jù)；2.處理證據(jù)；3.證據(jù)恢復；4.證據(jù)保存；5.證據(jù)傳輸3．答：常見的網(wǎng)絡(luò)取證工具有tcpdump或strings命令。tcpdump可以在大量信息中過濾個別符合條件的數(shù)據(jù)包，strings命令可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應的信息，例如Snort就可以根據(jù)特定的網(wǎng)絡(luò)條件來生成警報或其它操作。偵查員分析證據(jù)的能力會被系統(tǒng)的權(quán)限所限制。大部分商用的取證工具在網(wǎng)絡(luò)中通過監(jiān)控網(wǎng)絡(luò)中每個端口的流量來監(jiān)控內(nèi)部、外部的網(wǎng)絡(luò)數(shù)據(jù)，通過這些數(shù)據(jù)，就可以知道網(wǎng)絡(luò)上的用戶行為與行為對象。監(jiān)控行為中的預警情報收集技術(shù)稱為“偵查探針”，現(xiàn)在很多標準的取證工具如tcpdump都提供這些探針，當然網(wǎng)絡(luò)中的探針也有可能來自其它的網(wǎng)絡(luò)監(jiān)控設(shè)備如防火墻，入侵檢測系統(tǒng)。第十四章一、CA二、1.操作系統(tǒng)必須執(zhí)行四種基本的安全功能來支持保密性，完整性，以及數(shù)據(jù)的可用性：識別用戶，限制對授權(quán)資源的訪問，記錄用戶活動，保證和其他計算機以及設(shè)備的連接。其中，最后一個功能被極大簡化了。操作系統(tǒng)不僅要保證存儲數(shù)據(jù)的安全，還必須能提供一種方式使得數(shù)據(jù)能夠安全地發(fā)送到另外一個系統(tǒng)。這四種功能組成了操作系統(tǒng)職責的核心，至少是和安全相關(guān)職責的核心。 操作系統(tǒng)的安全能夠確保用戶程序受控的訪問硬件資源，保證保密性、數(shù)據(jù)完整性和可用性，使得用戶在任何時候都能訪問到所需資源。2.系統(tǒng)備份可以向用戶正在使用的系統(tǒng)提供一個副本，在原版本丟失的情況下可以使用?？赡軙泻芏喾N原因?qū)е孪到y(tǒng)原版本的丟失，服務(wù)器遭到攻擊導致失效，惡意攻擊破壞重要數(shù)據(jù)，或是硬件失靈。在任何一種情況下，都需要依靠系統(tǒng)的備份來恢復系統(tǒng)的運行。系統(tǒng)備份的危險在于系統(tǒng)備份通常被創(chuàng)建在可移動的介質(zhì)上。而介質(zhì)能夠被傳輸?shù)胶苓h的地方。除非對用戶備份的傳輸途徑和存儲地點進行嚴格的物理控制，否則這些備份可能會落入惡意第三方手中。相比較而言，在數(shù)據(jù)中心得到數(shù)據(jù)肯定比通過數(shù)據(jù)備份得到數(shù)據(jù)要更困難。即使保密性并不是用戶最初關(guān)心的重點，可是一個完整的系統(tǒng)備份通常包含了足夠信息用于攻擊者向運行中的系統(tǒng)攻擊。3.Windows系統(tǒng)安全設(shè)置方法主要有以下幾步：（1）初級安全篇：1）物理安全2）停掉Guest帳號3）限制不必要的用戶數(shù)量4）創(chuàng)建2個管理員用帳號5）把系統(tǒng)administrator帳號改名6）創(chuàng)建一個陷阱帳號7）把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”8）使用安全密碼9）設(shè)置屏幕保護密碼10）使用NTFS格式分區(qū)11）運行防毒軟件12）保障備份盤的安全（2）中級安全篇：1）利用win2000的安全配置工具來配置策略2）關(guān)閉不必要的服務(wù)3）關(guān)閉不必要的端口4）打開審核策略Unix系統(tǒng)安全設(shè)置方法主要有以下幾步：1）帳號與口令安全:檢查是否有口令復雜度設(shè)置、是否有口令最短口令長度要求、是否有口令過期策略、是否存在無用帳號等等2）網(wǎng)絡(luò)與服務(wù)安全：對于不存在的服務(wù)的安全性檢查，結(jié)果欄統(tǒng)一填寫“不適用”，對于一些特定網(wǎng)絡(luò)服務(wù)應用，如Web，DNS，Datebase根據(jù)情況選擇特定的修補與加固文檔。3）文件系統(tǒng)安全：在進行find搜索時，需要避開擁有大量小文件的系統(tǒng)和當時負載很高的系統(tǒng)。4）安全補丁情況：對于Solaris系統(tǒng)，使用showrev–p命令收集補丁列表，詢問管理員大概補丁安裝時間（也可查看/var/adm/patch目錄和其下文件的創(chuàng)建時間。5）日志審計6）安全增強設(shè)置：banner設(shè)置、堆棧溢出保護、eeprom狀態(tài)、stop-a設(shè)置、core轉(zhuǎn)儲等等7）后門檢查：以下檢查僅在單獨的應急響應時使用，操作時參見《unix后門檢測技術(shù)白皮書》第十五章一、AD二、

1.安全操作系統(tǒng)（也稱可信操作系統(tǒng),TrustedOperatingSysterms），是指計算機信息系統(tǒng)在自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術(shù)要求。不但具有安全特性，還應具有安全保障能力。安全操作系統(tǒng)一般具有下述關(guān)鍵安全特性：（1）用戶識別和鑒別（User

IdentificationandAuthentication）（2）強制訪問控制（MAC，MandatoryAccessControl）（3）自主訪問控制（DAC，DiscretionaryAccessControl）（４）對象重用保護（ORP，ObjectReuseProtection）（５）全面調(diào)節(jié)（ＣＭ，CompleteMediation）（６）可信路徑（ＴＰTrustedPath）（７）可確認性（Accountability）（８）審計日志歸并（ＡＬＲ，AuditLogReduction）（9）入侵檢測（ID，IntrusionDetection）安全檢查列表的產(chǎn)生方式?jīng)Q定了它的效力。一個好的檢查列表是根據(jù)大量的經(jīng)驗以及安全專家的意見形成的。這個列表應該是過去保護計算機安全的所有方法的總結(jié)，包括已經(jīng)采取的措施以及還沒有采取的措施。當系統(tǒng)安全非常重要的時候，用戶可以應用一個在安全環(huán)境中開發(fā)和測試的檢查列表。用戶完成每一個步驟之后，要花一些時間記錄下工作進展，并做一些適當?shù)臉擞?。用戶需要對檢查列表不斷進行更新，以反映出最新的信息和經(jīng)驗。隨著系統(tǒng)和軟件的不斷改變，保證信息安全所需要的步驟也應該不斷地更新。一個好的檢查列表要不斷地成熟，擁有太多的檢查列表會使得系統(tǒng)維護變得異常困難。3.操作系統(tǒng)安全中最重要的方面就是用戶必須保證文件系統(tǒng)的安全。從安全角度講，用戶了解操作系統(tǒng)如何處理安全是十分重要的。每一個目錄和文件有著獨立的權(quán)限，規(guī)定著哪個用戶可以瀏覽和修改文件系統(tǒng)。下面三個部分包含了有關(guān)文件系統(tǒng)的問題。（1）NT文件系統(tǒng)安全（NTFS）Windows服務(wù)器首選的文件系統(tǒng)是NT文件系統(tǒng)（NTFS）。Windows2000和更新的Windows操作系統(tǒng)版本使得管理員對文件和文件夾有更多的控制，用戶可以獲得13種不同的權(quán)限類型。每一個權(quán)限設(shè)置都被保存在一個訪問控制目錄（ACE）中。對被授權(quán)訪問文件或文件夾的用戶或用戶組，都有一個單獨的ACE。NTFS使得管理員可以為系統(tǒng)中的每一個文件和文件夾提供非常明確的訪問規(guī)則。（2）Windows共享安全Windows操作系統(tǒng)支持文件夾和打印機的共享或遠程使用。旦共享了一個打印機或文件夾，這個打印機或文件夾就能夠被遠程用戶所訪問，這具有一定的風險。（3）UNIX文件系統(tǒng)安全在UNIX中，系統(tǒng)的所有權(quán)限都是明確的。遠程用戶必須出示身份證書才能獲得對資源的訪問權(quán)限。在UNIX系統(tǒng)中，基于文件的權(quán)限是本地（native）的，對UNIX文件系統(tǒng)安全模式進行第十六章一、BA二、1.當啟動一個日志記錄程序時，首先要對該程序的初始值進行一系列的設(shè)置，以下幾個因素是需要考慮的重點：（1）需要記錄的行為內(nèi)容；目前很多安全管理員的想法是記錄系統(tǒng)中的每一個事件。這種方案可以避免安全事件的遺漏，但缺點是日志記錄程序的效率太低，因此需要明確應該對系統(tǒng)的哪些事件作出記錄.（2）日志記錄需要保存的時間；每個操作系統(tǒng)都允許對日志記錄進行自動存儲，但會根據(jù)時間或存儲空間的規(guī)則覆蓋相應的日志文件，具體使用哪種規(guī)則需要安全管理人員根據(jù)安全的優(yōu)先級來判斷。（3）何種事件發(fā)生后，應在第一時間對安全管理員進行報警。目前，主流的操作系統(tǒng)都可以在特定安全事件發(fā)生后對安全管理員進行報警，這樣可以在安全事件發(fā)生的第一事件就使的安全管理員了解到事件的情況，并采取及時有效的措施。系統(tǒng)報警形式主要包括電子郵件，紙質(zhì)報告，短信，即時通訊，電話等多種形式。報警機制可由以上多種方式組成。2.對系統(tǒng)進行日志記錄之后要通過分析這些數(shù)據(jù)對系統(tǒng)環(huán)境進行監(jiān)控。具體有兩個操作：建立正常行為輪廓，監(jiān)測異常的行為。(1)建立正常行為基準分析日志文件的第一步就是先了解哪些行為屬于正常行為，這些正常行為也可以稱為行為基準。這些行為基準就是不同的系統(tǒng)在不同環(huán)境中、不同時間段中的正常系統(tǒng)資源消耗，將用于日后的異常行為監(jiān)測。不同時間段或不同環(huán)境下的系統(tǒng)基準是不一樣的。(2)監(jiān)測異常行為建立系統(tǒng)基準之后，下一步就是監(jiān)測異常行為，需要考慮以下幾方面因素：eq\o\ac(○,1)行為偏離系統(tǒng)基準的程度eq\o\ac(○,2)偏差行為發(fā)生的時間eq\o\ac(○,3)需要報告的異常事件類型3.審計小組在進行信息安全審計時，可以利用一系列具有審計功能的工具。這些工具包括審計過程中的任務(wù)列表，用于探測系統(tǒng)漏洞的漏洞評估工具等。通用的審計工具進行審計的過程如下：（1）檢驗表檢驗表提供了一種簡單的途徑將組織中重復的工作標準化。檢驗表主要分為審計檢驗表、設(shè)置檢驗表、漏洞檢驗表等，每種檢驗表在審計過程中都起到了重要作用。設(shè)計合理的檢驗表可以幫助系統(tǒng)管理員在信息安全審計中發(fā)揮重要的作用。（2）IP和端口掃描IP掃描和端口掃描器是入侵者尋找系統(tǒng)漏洞的兩個重要工具。首先通過IP探測確定網(wǎng)絡(luò)中運行的系統(tǒng)，然后進一步探測發(fā)現(xiàn)開放的端口及服務(wù)。有些服務(wù)可能包含漏洞，入侵者們就通過這些數(shù)據(jù)對系統(tǒng)進行惡意攻擊。安全管理者同樣可以利用這些掃描器檢測在網(wǎng)絡(luò)中運行的流氓系統(tǒng)和服務(wù)。（3）漏洞掃描漏洞掃描器分析系統(tǒng)中常見的漏洞，并將其匯總起來形成詳細的報告，同時給出相應的補救方法。（4）完整性檢驗另一個用于安全審計的工具是文件完整性檢驗，這類工具通過密碼簽名技術(shù)對系統(tǒng)中每一個受保護的文件進行數(shù)字簽名來提供完整性保護。（5）滲透測試滲透測試用系統(tǒng)化的方式對系統(tǒng)安全防御進行滲透，從而檢測系統(tǒng)當前的安全態(tài)勢。第十七章一、BC二、1.電子商務(wù)是以互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施和標準為基礎(chǔ)，涉及到電子技術(shù)、計算機技術(shù)、通信技術(shù)等廣泛領(lǐng)域。為了保證電子商務(wù)整個過程的安全順利執(zhí)行，一些安全技術(shù)和安全機制被運用到電子商務(wù)中。典型的安全技術(shù)有以下幾種：防火墻技術(shù)防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機制，它負責過濾進入或離開計算機網(wǎng)絡(luò)的通信數(shù)據(jù)，通過對接收到的數(shù)據(jù)包和防火墻內(nèi)部過濾規(guī)則庫中的安全規(guī)則進行比較，決定是否把一個數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地。（2）數(shù)字加密技術(shù)數(shù)字加密通過加密算法對敏感信息進行加密，然后把加密好的數(shù)據(jù)（稱為密文）和密鑰在線路上傳送給接收方或者在數(shù)據(jù)庫中存儲，接收方只有通過解密算法對密文進行解密才能獲取敏感信息，從而保證了數(shù)據(jù)的機密性。（3）認證技術(shù)安全認證技術(shù)是保證電子商務(wù)活動中的交易雙方身份及其所用文件真實性的必要手段，它包括：數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字時間戳技術(shù)、數(shù)字證書和生物識別技術(shù)等。（4）協(xié)議層技術(shù)電子商務(wù)中最常見的安全機制有SSL（安全套接層協(xié)議）及SET（安全電子交易協(xié)議）兩種。SSL是由Netscape開發(fā)的，旨在為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，它在應用程序進行數(shù)據(jù)交換前通過交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。SET協(xié)議是由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu)，共同制定的應用于互聯(lián)網(wǎng)上的以銀行卡為基礎(chǔ)進行在線交易的安全標準，它采用公鑰密碼體制和數(shù)字證書標準，主要應用于保障網(wǎng)上購物信息的安全性。2.數(shù)據(jù)庫系統(tǒng)安全有兩層含義，第一是指系統(tǒng)運行安全。系統(tǒng)運行安全通常受到各種威脅，如一些網(wǎng)絡(luò)不法分子通過網(wǎng)絡(luò)等手段入侵計算機使系統(tǒng)無法正常啟動或其它破壞硬件的活動，導致系統(tǒng)不能正常提供各種服務(wù)；第二是指系統(tǒng)信息安全，指保護數(shù)據(jù)庫以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)，如黑客經(jīng)常入侵數(shù)據(jù)庫盜取各種敏感資料等。從廣義上講，數(shù)據(jù)庫系統(tǒng)的安全性涉及到以下三個方面：（1）網(wǎng)絡(luò)系統(tǒng)安全：這是數(shù)據(jù)庫的第一道安全屏障，數(shù)據(jù)庫面向網(wǎng)絡(luò)用戶提供各種信息服務(wù)，其安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。因此，可以說網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應用的外部環(huán)境和基礎(chǔ)。（2）宿主操作系統(tǒng)安全：操作系統(tǒng)是數(shù)據(jù)庫系統(tǒng)的運行平臺。操作系統(tǒng)的安全策略和安全管理策略能為數(shù)據(jù)庫系統(tǒng)提供某種程度上的保護。這些安全策略用于配置計算機的安全設(shè)置，如密碼策略、審核策略、賬戶權(quán)利分配等。（3）數(shù)據(jù)庫管理系統(tǒng)安全：不同的數(shù)據(jù)庫管理系統(tǒng)采用不同的安全設(shè)置策略。 SQLServer的安全配置經(jīng)常包括：使用安全的密碼策略，使用安全的賬號策略，加強數(shù)據(jù)庫日志的管理，使用協(xié)議加密，采取一些防注入措施等。這三個方面構(gòu)筑成數(shù)據(jù)庫的安全體系，與數(shù)據(jù)安全的關(guān)系是緊密相連，防范的重要性也逐層加強。3.Web服務(wù)技術(shù)是最近幾年迅速興起的一種應用集成技術(shù)，是一個嶄新的分布式計算模型，一經(jīng)推出就以它的松耦合性、跨平臺性和交互性受到眾多企業(yè)的支持。而Web服務(wù)的這些特性也引出了一些安全問題，制約了它的應用和推廣發(fā)展。傳統(tǒng)的Web安全技術(shù)主要集中于對網(wǎng)絡(luò)連接和傳輸層的保護。通常有安全套接字層(SSL)、IP安全協(xié)議(IPSec)、防火墻規(guī)則以及虛擬專用網(wǎng)(VPN)等。目前Web服務(wù)中采用的安全技術(shù)主要有以下幾種：①在客戶端建立用戶信任機制，執(zhí)行服務(wù)時將相應的認證信息導入服務(wù)器；②在SOAP消息頭中加入針對特定應用的安全表示(token)，則可從中提取認證、信任信息；③在某個特定的應用領(lǐng)域內(nèi)，對服務(wù)提供者的內(nèi)部敏感數(shù)據(jù)進行加密，當其收到服務(wù)請求后直接在加密了的數(shù)據(jù)上進行相應的計算和處理，計算結(jié)果解密后返回給服務(wù)請求者；