Chhektu計算機網絡安全超強筆記解析

1、七夕，古今詩人慣詠星月與悲情。吾生雖晚，世態(tài)炎涼卻已看透矣。情也成空，且 作揮手袖底風”罷。是夜，窗外風雨如晦，吾獨坐陋室，聽一曲塵緣，合成詩韻 一首，覺放諸古今，亦獨有風韻也。乃書于紙上。畢而臥。凄然入夢。乙酉年七月初 七。-嘯之記。4751計算機網絡安全考試大綱和相關知識解答第1章結論本資料由本人親自整理、打印，用于2009年4月自考，現(xiàn)已通過考試，成績84 分。補充一點:我主要看的這個資料，并未通讀教材。 一網友一、識記1、計算機網絡系統(tǒng)面臨的典型安全威脅答:竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路 控制、電磁/射頻截獲、人員疏忽。2、計算機網絡安全的定義答:計算

2、機網絡安全是指利用管理控制和技術措施，保證在一個網絡環(huán)境里，信息 數據的機密性、完整性及可使用性受到保護。3、計算機網絡安全的目標答:保密性;完整性；可用性;不可否認性；可控性。4、P2DR模型的結構答:PPDR模型是一種常用的網絡安全模型，包含四個主要部分：Policy （安全策略、Protection （防護、Detection （檢測和 Response （向應。5、網絡安全的主要技術答:物理安全措施；數據傳輸安全技術；內外網隔離技術；入侵檢測技 術;訪問控制技術；審計技術；安全性檢測技術；防病毒技術；備份技術。二、領會1、OSI安全體系結構P.28答:OSI安全體系結構不是能實現(xiàn)的標準

3、，而是關于如何設計標準的標準。(1安全服務。OSI安全體系結構中定義了五大類安全服務，也稱為安全防護措 施。鑒別服務：訪問控制服務；數據機密性服務；數據完整性服務：抗抵賴 性服務。(2安全機制。其基本的機制有：加密機制、數字簽名機制、訪問控制機制、數 據完整性機制、鑒別交換機制、通信業(yè)務流填充機制、路由控制和公證機制。2、計算機網絡安全管理的主要內容 P.26答:網絡安全體系結構；網絡攻擊手段與防范措施：網絡安全設計；網絡 安全標準、安全評測及認證；網絡安全檢測技術；網絡安全設備：網絡安全管理 安全審計;網絡犯罪偵查；網絡安全理論與政策；(10)網絡安全教育；(11)網絡安全法 律。概括起來，

4、網絡安全包括以下三個重要部分： 先進的技術；嚴格的管理：威嚴的法律。3、網絡安全威脅的發(fā)展趨勢P.35答:網絡安全威脅的發(fā)展趨勢(1與In ternet更加緊密地結合,利用一切可以利用的方式進行傳播。(2所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬和黑客程序的特 點于一身，破壞性大大增強。(3其擴散極快，而更加注重欺騙性。(4利用系統(tǒng)漏洞將成為病毒有力的傳播方式。(5無線網絡技術的發(fā)展，使遠程網絡攻擊的可能性加大。(6各種境外情報、諜報人員將越來越多地通過信息網絡渠道收集情報和竊取 資料。(7各種病毒、蠕蟲和后門技術越來越智能化，并出現(xiàn)整合趨勢，形成混合性威 脅。(8各種攻擊技術的隱秘性

5、增強，常規(guī)防范手段難以識別。(9分布式計算機技術用于攻擊的趨勢增強，威脅高強度密碼的安全性。(10 一些政府部門的超級計算機資源將成為攻擊者利用的跳板。(11網絡管理安全問題日益突出。4、網絡安全技術的發(fā)展趨勢(網絡安全主要實用技術的發(fā)展 P.35答:網絡安全技術的發(fā)展是多維的、全方位的，主要有以下幾種： 物理隔離；邏輯隔離;防御來自網絡的攻擊；防御網絡上的病毒；身份 認證；加密通信和虛擬專用網：入侵檢測和主動防衛(wèi)；網管、審計和取證。三、應用分析給定網絡可能存在的安全威脅第2章物理安全一、識記1、物理安全包含的主要內容 P.41答:主要包括以下幾個方面 機房環(huán)境安全：通信線路安全；設備安全；電

6、源安全。2、機房安全要求和措施P.42答：3、硬件設備的使用管理P.50答:要根據硬件設備的具體配置情況，制定切實可行的硬件設備的操作使用規(guī) 程,并嚴格按操作規(guī)程進行操作；建立設備使用情況日志，并嚴格登記使用過程的 情況;建立硬件設備故障情況登記表，詳細記錄故障性質和修復情況；堅持對設 備進行例行維護和保養(yǎng)，并指定專人負責。4、電源對用電設備安全的潛在威脅答:脈動與噪聲。電磁干擾。當電源的電磁干擾比較強時，產生的電磁場就會影響到硬盤等磁性存儲介質，久而久之就會使存儲的數據受到損害。二、領會1、機房安全等級劃分標準P.41答:機房的安全等級分為A類、B類和C類三個基本類別。A類:對計算機機房的安

7、全有嚴格的要求，有完善的計算機機房安全措施。B類:對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。C類:對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。2、通信線路安全技術P.49答：3、電磁輻射的防護措施P.51防護措施主要有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器 減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，這類防護措施又可以分為兩種：一種是采用各種電磁屏 蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和 金屬門窗進行屏 蔽和隔離；第二種是干擾的防護措施，即在計算機系統(tǒng)工作的同時， 利用干擾裝

8、置產生一種 與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機 系統(tǒng)的工作頻率和信息特征。為提高電子設備的抗干擾能力，除在芯片、部件上提 高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、吸波及接地等，其中屏蔽是應用 最多的方法。4、機房供電的要求和方式P.53答:對機房安全供電的方式分為三類：一類供電:需建立不間斷供電系統(tǒng)。二類供電:需建立帶備用的供電系統(tǒng)。三類供電:按一般用戶供電考慮。對機房安全供電的要求P.53、應用根據所需建設的網絡系統(tǒng)要求，分析機房安全、通信線路安全和供電的需求第3章信息加密與PKI一、識記1、明文、密文、密鑰、加密算法、解密算法等基本概念答:明文（Plaintext是作

9、為加密輸入的原始信息，即消息的原始形式，通常用m或p 表示。所有可能明文的有限集稱為明文空間，通常用M或P來表示。密文（Cliphertext是明文經加密變換后的結果，即消息被加密處理后的形式，通常 用c表示。密鑰（Key是參與密碼變換的參數，通常用k表示。加密算法（Encryption Algorithm是將明文變換為密文的變換函數，相應的變換過 程稱為加密,即編碼的過程，通常用E表示，即c=Ek （P。解密算法（Decryption Algorithm是將密文恢復為明文的變換函數，相應的變換過 程稱為解密,即解碼的過程，通常用D表示，即p=Dk （c。2、加密體制的分類P.6163答:密碼

10、體制從原理上可分為兩大類： 單鑰或對稱密碼體制。最有影響的是DES算法，另有國際數據加密算法IDEA。單鑰密碼算法的優(yōu)點主要體現(xiàn)在其加密、解密處理速度快、保密度高等。 雙鑰或非對稱密碼體制。最有名的是RSA密碼體制，另有ElGamal算法。雙鑰密碼的優(yōu)點是可以公開加密密鑰，適應網絡的開放性要求，且僅需保密解密 密鑰,所以密鑰管理問題比較簡單。缺點是雙鑰密碼算法一般比較復雜 ，加解密速度 慢。雙鑰密碼體制的產生主要基于兩個原因是為了解決常規(guī)密鑰密碼體制的密鑰管理與 分配的問題；二是為了滿足對數字簽名的需求。在雙鑰密碼體制中，公開密鑰是可以公開的信息，而私有密鑰是需要保密的。3、認證技術的分層模型

11、P.77答:認證技術分為三個層次： 安全管理協(xié)議。主要任務是在安全體制的支持下，建立、強化和實施整個網 絡系統(tǒng)的安全策略。典型的安全管理協(xié)議有公用管理信息協(xié)議 （CMIP、簡單網絡 管理協(xié)議（SNMP和分布式安全管理協(xié)議（DSM。 認證體制。在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認證功能。典型的認證體制有 Kerberos體制、X.509體制和Light Kryptonight體制。 密碼體制。是認證技術的基礎，它為認證體制提供數學方法支持。典型的密 碼體制有DES體制、RSA體制。4、常用的數據加密方式P.75答:鏈路加密;節(jié)點加密：端到端加密。5、認證體制應滿足的條件 P.77答

12、:一個安全的認證體制應該至少滿足以下要求 意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性。 消息的發(fā)送者對所發(fā)的消息不能抵賴，有時也要求消息的接收者不能否認收 到的消息。除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。6 PKI的基本概念和特點P.83答:PKI是一個用公鑰密碼算法原理和技術來提供安全服務的通用型基礎平臺，用戶可利用PKI平臺提供的安全服務進行安全通信。特點:透明性、一致性。附：1、密碼學的發(fā)展經歷了三個階段：古代加密方法、古典密碼和近代密碼。2、 身份認證常用的方式主要有兩種：通行字（口令方式和持證方式。P.79二、領會1、 單鑰密碼體制與雙鑰密碼體制的區(qū)別P.61答

13、:單鑰密碼體制的加密密鑰和解密密鑰相同，從一個可以推出另外一個；雙鑰 密碼體制的原理是加密密鑰與解密密鑰不同，從一個難以推出另一個。單鑰密碼 體制基于代替和換位方法；雙鑰密碼算法基于數學問題求解的困難性。單鑰密碼體制是對稱密碼體制；雙鑰密碼體制是非對稱密碼體制。2、DES、IDEA、RSA加密算法的基本原理答:DES即數據加密標準（Date Encryption Standard于1977年由美國國家標準局公布,是IBM公司研制的一種對二元數據進行加密的分組密碼，數據分組長度為64bit ,密文分組 長度也是64bit ,沒有數據擴展。密鑰長度為64bit ,其中有效密鑰長 度56bit ,其

14、余8bit為奇偶校驗。DES的整個體制是公開的，系統(tǒng)的安全性主要依賴 于密鑰的保密，其算法主要由初 始置換IP、16輪迭代的乘積變換、逆初始轉換IP -1及16個子密鑰產生器構成。P.66IDEA 是 International Data Encryption Algorithm 的縮寫，即國際數據加密算法。它是根據 中國學者朱學嘉博士與著名密碼學家James Massey于1990年聯(lián)合提出的 建議標準算法PES改進而來的。它的明文與密文塊都是 64bit，密鑰長度為128bit , 作為單鑰體制的密碼，其加密與解密過程雷同，只是密鑰存在差異，IDEA無論是采 用軟件還是硬件實現(xiàn)都比較容易，

15、而且加解密的速度很快。P.69RSA體制是由R.L.Rivest和L.Adleman設計的用數論構造雙鑰的方法,它既可 用于加密,也可用于數字簽名。RSA算法的安全性建立在數論中 大數分解和素數 檢測”的理論基礎上。P.723、認證的三個目的P.77答:認證技術是防止不法分子對信息系統(tǒng)進行主動攻擊的一種重要技術，其目的: 一是消息完整性認證，即驗證信息在傳送或存儲過程中是否被篡改；二是身份認證，即驗證消息的收發(fā)者是否持有正確的身份認證符，如口令、密鑰 等;三是消息的序號和操作時間（時間性等的認證，其目的是防止消息重放或延遲等 攻擊。4、手寫簽名與數字簽名的區(qū)別 P.78答:手寫簽名與數字簽名的

16、主要區(qū)別在于：一是手寫簽名是不變的，而數字簽名對不同的消息是不同的，即手寫簽名因人而 異，數字簽名因消息而異；二是手寫簽名是易被模擬的，無論哪種文字的手寫簽名，偽造者都容易模仿，而數 字簽名是在密鑰控制下產生的，在沒有密鑰的情況下，模仿者幾乎無法模仿出數字簽 名。5、數字簽名與消息認證的區(qū)別 P.82答:數字簽名與消息認證的區(qū)別是：消息認證可以幫助接收方驗證消息發(fā)送者的身份及消息是否被篡改。當收發(fā)者之間沒有利害沖突時，這種方式對于防止第三者破壞是有效的，但當存在利害沖突時，單純采用消息認證技術就無法解決糾紛，這時就 需要借助于數字簽名技術來輔助進行更有效的消息認證。6 PKI認證技術的組成P.

17、84答:公鑰基礎設施（Public Key Infrastructure, PKI ,主要包括CA認證機構。CA 作為數字證書簽發(fā)機構，是PKI的核心，是PKI應用中權威的、可信任的，公正的第 三方機構。證書庫。是CA頒發(fā)證書和撤銷證書的集中存放在，是網上的一種公 共信息庫，供廣大用戶進行開往式查詢。證書撤銷。密鑰備份和恢復。自動 更新密鑰。密鑰歷史檔案。交叉認證。不可否認性。時間戳?？蛻舳塑浖Ｈ?、應用將給定的明文按照給定的古典或單鑰密碼算法變換成密文P.64答:教材中例子P.64凱撒（Caesar密碼是對英文26個字母進行移位代替的密碼，其q=26。這種密碼 之所以稱為凱撒密碼,是因為凱撒

18、使用過K =3（表示密文為該字母后第3個字母的 這種密碼。使用 凱撒密碼，若明文為M =Casesar cipher is a shift substituti on則密文為C =Fdvhvdu flskhu lv d vkliw vxevwlwxwlrq教材中課后習題P.99第4題：選擇凱撒（Caesar密碼系統(tǒng)的密鑰K =6。若明文為Caesar密文是什么。答:密文為Igkygx第4章防火墻技術一、識記1、防火墻的基本概念P.103答:防火墻是位于被保護網絡和外部網絡之間執(zhí)行訪問控制策略的一個或一組 系統(tǒng)，包括硬件和軟件，它構成一道屏障，以防止發(fā)生對被保護網絡的不可預測的、潛 在破壞性的侵

19、擾。2、防火墻的體系結構類型P.106答:防火墻的體系結構一般有以下幾種 雙重宿主主機體系結構；屏蔽主機體系結構：屏蔽子網體系結構。3、個人防火墻的特點答:個人防火墻的優(yōu)點： 增加了保護級別，不需要額外的硬件資源。 個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內部的攻擊。 個人防火墻是對公共網絡中的單個系統(tǒng)提供了保護 ，能夠為用戶隱蔽暴露在 網絡上的 信息,如IP地址之類的信息等。個人防火墻的缺點：個人防火墻對公共網絡只有一個物理接口 ，導致個人防火墻本身容易受到威 脅。個人防火墻在運行時需要戰(zhàn)用個人計算機的內存、CPU時間等資源。 個人防火墻只能對單機提供保護，不能保護網絡系統(tǒng)。4、防火

20、墻的發(fā)展趨勢答:優(yōu)良的性能;可擴展的結構和功能；簡化的安裝與管理；主動過濾： 防病毒與防黑客；發(fā)展聯(lián)動技術。二、領會1、防火墻的主要功能P.104答:無論何種類型的防火墻都應具備五大基本功能：(1過濾進、出網絡的數據(2管理進、出網絡的訪問行為(3封堵某些禁止的業(yè)務(4記錄通過防火墻的信息內容和活動(5對網絡攻擊檢測和告警2、防火墻的局限性P.105答:主要體現(xiàn)在以下幾個方面(1網絡的安全性通常是以網絡服務的開放性和靈活性為代價防火墻通常會使網絡系統(tǒng)的部分功能被削弱。 由于防火墻的隔離作用，在保護內部網絡的同時使它與外部網絡的信息交流 受到阻礙； 由于在防火墻上附加各種信息服務的代理軟件，增大

21、了網絡管理開銷，減慢了 信息傳輸速率,在大量使用分布式應用的情況下，使用防火墻是不切實際的。(2防火墻只是整個網絡安全防護體系的一部分，而且防火墻并非萬無一失 只能防范經過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為 力；不能解決來自內部網絡的攻擊和安全問題； 不能防止受病毒感染的文件的傳輸； 不能防止策略配置不當或錯誤配置引起的安全威脅； 不能防止自然或人為的故意破壞； 不能防止本身安全漏洞的威脅。3、各類防火墻的特點4、數據包過濾技術的工作原理 P.110答:包過濾防火墻工作在網絡層，通?；贗P數據包的源地址、目的地址、源端 口和目的端口進行過濾。它的優(yōu)點是效率比較高，對用戶來

22、說是透明的。缺點是對 于大多數服務和 協(xié)議不能提供安全保障，無法有效地區(qū)分同一 IP地址的不同用戶， 并且包過濾防火墻難于配 置、監(jiān)控和管理，不能提供足夠的日志和報警。數據包過濾技術是在網絡層對數據包進行選擇，選擇的依據是系統(tǒng)內設置的過 濾邏輯,被稱為訪問控制列表。通過檢查數據流中每個數據包的源地址、目的地 址、所用的端口號和 協(xié)議狀態(tài)等因素或它們的組合，來確定是否允許該數據包通 過。數據包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網絡性能和透明性好，這 通常安裝在路由器上。數據包過濾防火墻的缺點有兩個：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數據包的源地址、

23、目的地址及IP的端口號都在數據包的頭部，很有可能被 竊聽或假冒5、代理服務技術的工作原理 P.116答:代理服務器（Proxy技術是一種較新型的防火墻技術,它分為應用層網關和電 路層網關。所謂代理服務器，是指代表客戶處理連接請求的程序。當代理服務器得到一個 客戶的連 接意圖時，它將核實客戶請求，并用特定的安全化的Proxy應用程序來處理 連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并進一步處 理后,將答復交給發(fā) 出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發(fā)揮了中間轉接和隔離內、外部網絡的作用，所以又叫代理防火墻。代理防火墻工作于應用層，且針對特定的應用層協(xié)

24、議。代理防火墻通過編程來 弄清用戶應用層的流量，并能在用戶層和應用協(xié)議層間提供訪問控制；而且,還可用 來保持一個所有應用程序使用的記錄。記錄和控制所有進出流量的能力是應用層 網關的主要優(yōu)點之一。代理服務器（Proxy Server作為內部網絡客戶端的服務器，攔截住所有請求，也向客戶 端轉發(fā)響應。代理客戶機（Proxy Client負責代表內部客戶 端向外部服務器發(fā)出請求，當然也向代理服務器轉發(fā)響應。&狀態(tài)檢測技術的工作原理 P.119答:基于狀態(tài)檢測技術的防火墻是由 Check Poi nt軟件技術有限公司率先提出的 也稱為動態(tài)包過濾防火墻?；跔顟B(tài)檢測技術的防火墻通過一個在網關處執(zhí)行網 絡安

25、全策略的檢測 引擎而獲得非常好的安全特性。檢測引擎在不影響網絡正常運 行的前提下，采用抽取有關數據的方法對網絡通信的各層實施檢測。它將抽取的狀 態(tài)信息動態(tài)地保存起來作為以后執(zhí)行安 全策略的參考。檢測引擎維護一個動態(tài)的 狀態(tài)信息表并對后續(xù)的數據包進行檢查，一旦發(fā)現(xiàn)某個連接的參數有意外變化，則立 即將其終止。狀態(tài)檢測防火墻監(jiān)視和跟蹤每一個有效連接的狀態(tài)，并根據這些信息決定是否 允許網絡 數據包通過防火墻。它在協(xié)議棧底層截取數據包，然后分析這些數據包的當前狀態(tài)，并將其與前一時刻相應的狀態(tài)信息進行對比，從而得到對該數據包的控制 信息。檢測引擎支持多種協(xié)議和應用程序，并可以方便地實現(xiàn)應用和服務的擴充。當

26、 用戶訪問請求到達網關操作系統(tǒng)前，檢測引擎通過狀態(tài)監(jiān)視器要收集有關狀態(tài)信息， 結合網絡配置和 安全規(guī)則做出接納、拒絕、身份認證及報警等處理動作。一旦有 某個訪問違反了安全規(guī)則，該訪問就會被拒絕，記錄并報告有關狀態(tài)信息。7、NAT技術的工作原理P.121答:網絡地址轉換（Network Address Tran slation , NAT ,這是一個 In ternet 工程任 務組（Internet Engineering Task Force ,IETF的標準,允許一個整體機構以一個公用 IP 地址出現(xiàn)在互聯(lián)網上,這是一種把內部私有IP地址翻譯成合法網絡IP地址的技 術。NAT就是在局域網內

27、部網絡中使用內部地址，而當內部節(jié)點要與外部網絡進行 通信時,就在網關處將內部地址替換成公用地址，從而在外部公網上正常使用。 NAT可以使多臺計算機共享互聯(lián)網連接，這一功能很好地解決了公共IP地址緊缺 的問題。通過這種方法，可以只申請一個合法IP地址,就把整個局域網中的計算機 接入互聯(lián)網中。這時,NAT屏蔽了內部網 絡，所有內部網絡計算機對于公共網絡來 說是不可見的，而內部網絡計算機用戶通常不會意 識到NAT的存在。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備 中。8個人防火墻的主要功能P.135答:IP數據包過濾功能 安全規(guī)劃的修訂功能 對特定網絡攻擊數據包的攔截功

28、能 應用程序網絡訪問控制功能 網絡快速切斷/恢復功能 日志記錄功能 網絡攻擊的報警功能 產品自身安全功能三、應用防火墻的典型應用P.128附：從工作原理角度看，防火墻主要可以分為網絡層防火墻和應用層防火墻。這兩 類防火墻的具體實現(xiàn)技術主要有包過濾技術、代理服務技術、狀態(tài)檢測技術和 NAT技術等。第5章入侵檢測技術一、識記1、入侵檢測的原理P.148答:入侵檢測是用于檢測任何損害或者企圖損害系統(tǒng)的保密性、完整性或可用 性的一種網絡安全技術。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權或惡意的系統(tǒng)及網絡行為，為防范入侵行為提供有效的手 段。所謂入侵檢測系統(tǒng)，就是執(zhí)行入

29、侵檢測任務的硬件或軟件產品。入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權的一種方法，其應用前 提是:入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為的模式特征來判斷該 行為的性質。入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分并可靠地提取描述行 為特征的數據，二是如何根據特征數據，高效并準確地判定行為的性質。2、入侵檢測的系統(tǒng)結構組成 P.149答:根據任務屬性的不同，入侵檢測系統(tǒng)的功能結構可分為兩個部分：中心檢測平 臺和代理服務器。3、入侵檢測系統(tǒng)的分類P.149答:(1基于數據源的分類：基于主機、基于網絡、混合入侵檢測、基于網關的入 侵檢測系統(tǒng)及文件完整性檢查系統(tǒng)。(2基于檢測理論的分類

30、：異常檢測和誤用檢測。(3基于檢測時效的分類：在線檢測和離線檢測。4、 分布式入侵檢測的優(yōu)勢和技術難點P.163答:分布式入侵檢測的優(yōu)勢檢測大范圍的攻擊行為；提高檢測的準確度：提高檢測效率；協(xié)調響應措 施。分布式入侵檢測的技術難點 事件產生及存儲；狀態(tài)空間管理及規(guī)則復雜度；知識庫管理；推理技術。5、入侵檢測系統(tǒng)的主要標準的名稱答:IETF/IDWG。IDWG提出了三項建議草案：入侵檢測消息交換格式 (IDMEF、入侵檢測交換協(xié)議(IDXP及隧道輪廓(Tunnel Profile ； CIDF。CIDF的工作集中體現(xiàn)在四個方面：IDS的體系結構、通信機制、描 述語言和應用編程接口 API。二、領

31、會1、入侵檢測系統(tǒng)的分析模型P.152答:分析是入侵檢測的核心功能。入侵檢測分析處理過程可分為三個階段 第一階段主要進行分析引擎的構造，分析引擎是執(zhí)行預處理、分類和后處理的核心功能； 第二階段，入侵分析主要進行現(xiàn)場實際事件流的分析，在這個階段分析器通過 分析現(xiàn)場的實際數據，識別出入侵及其他重要的活動； 第三階段，與反饋和提煉過程相聯(lián)系的功能是分析引擎的維護及其他如規(guī)劃 集提煉等功能。誤用檢測在這個階段的活動主要體現(xiàn)在基于新攻擊信息對特征數 據庫進行更新，與此同時,一些誤用檢測引擎還對系統(tǒng)進行優(yōu)化工作，如定期刪除無用 記錄等。對于異常檢測，歷史統(tǒng)計特征輪廓的定時更新是反饋和提煉階段的主要工 作。

32、2、誤用檢測和異常檢測的基本原理 P.1531563、CIDF體系結構組成P.169答:CIDF指公共入侵檢測框架。CIDF在IDES和NIDES的基礎上提出了一個 通用模型,將入侵檢測系統(tǒng)分為四個基本組件，事件產生器、事件分析器、響應單元 和事件數據庫。在該模型中,事件產生器、事件分析器和響應單元通常以應用程序 的形式出現(xiàn)，而事件 數據庫則是以文件或數據流的形式。CIDF將IDS需要分析的數據統(tǒng)稱為事件，它可以是網絡 中的數據包，也可以是從系統(tǒng)日志或其他途徑得到的 信息。以上四個組件只是邏輯實體，一個組件可能是某臺計算機上的一個進程甚至線 程，也可能是多個計算機上的多個進程，它們以GIDO

33、（統(tǒng)一入侵檢測對象格式進行 數據交換。第6章網絡安全檢測技術、識記1、安全威脅的概念P.181答:安全威脅是指所有能夠對計算機網絡信息系統(tǒng)的網絡服務和網絡信息的機 密性、可 用性和完整性產生阻礙、破壞或中斷的各種因素。2、安全漏洞的概念P.182答:安全漏洞是在硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。3、端口掃描的基本原理P.184答:端口掃描的原理是向目標主機的 TCP/IP端口發(fā)送探測數據包,并記錄目標 主機的響 應。通過分析響應來判斷端口是打開還是關閉等狀態(tài)信息。根據所使用 通信協(xié)議的不同網絡通信端口可以分為TCP端口和U

34、DP端口兩大類,因此端口掃 描技術也可以相應地分為TCP端口掃描技術和UDP端口掃描技術。二、領會1、 網絡安全漏洞威脅等級的劃分方法P.1812、網絡安全漏洞的分類方法 P.182答:漏洞的分類方法主要有按漏洞可能對系統(tǒng)造成的直接威脅分類；按漏洞的成因分類兩大類。3、操作系統(tǒng)類型探測的主要方法 P.185答:由于操作系統(tǒng)的漏洞信息總是與操作系統(tǒng)的類型和版本相聯(lián)系的，因此操作 系統(tǒng)類型信息是網絡安全檢測的一個重要內容。操作系統(tǒng)探測技術主要包括：獲取標識信息探測技術 基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測技術 ICMP響應分析探測技術。4、信息型漏洞探測和攻擊型漏洞探測技術的原理P.186答：

35、(1信息型漏洞探測原理：大部分的網絡安全漏洞都與特定的目標狀態(tài)直接相關,因此只要對目標的此類信息進行準確探測就可以在很大程度上確定目標存在的安全漏洞。該技術具有實現(xiàn)方便、對目標不產生破壞性影響的特點 ，廣泛應用于各 類網絡安全漏洞掃描軟件中。其不足之處是對于具體某個漏洞存在與否，難以做出 確定性的結論。這主要是因為該 技術在本質上是一種間接探測技術，探測過程中某 些不確定因素的影響無法完全消除。 為提高漏洞探測的準確率和效率，引進如下兩 種改進措施：順序掃描技術，可以將收集到的漏洞和信息用于另一個掃描過程以進行更深層次的掃描一一即以并行方式收集漏洞信息，然后在多個組件之間共享這些信息。多重服務

36、檢測技術，即不按照RFC所指定的端口號來區(qū)分目標主機所運行的服 務,而是按照服務本身的真實響應來識別服務類型。(2攻擊型漏洞探測原理：模擬攻擊是最直接的漏洞探測技術，其探測結果的準確 率也是最高的。該探測技術的主要思想是模擬網絡入侵的一般過程 ，對目標系統(tǒng)進 行無惡意攻擊嘗試，若攻擊成功則表明相應安全漏洞必然存在。模擬攻擊技術也有其局限性，首先，模擬攻擊行為難以做到面面俱到，因此就有可 能存在一些漏洞無法探測到；其次,模擬攻擊過程不可能做到完全沒有破壞性，對目 標系統(tǒng)不可 避免地會帶來一定的負面影響。模擬攻擊主要通過專用攻擊腳本語言、通用程序設計語言和成形的攻擊工具來 進行。附:按照網絡安全漏

37、洞的可利用方式來劃分，漏洞探測技術可以分為信息型漏洞 探測和 攻擊型漏洞探測。P.186按照漏洞探測的技術特征，又可以劃分為基于應用的探測技術、基于主機的探測技術、基于目標的探測技術和基于網絡的探測技術等。P.186第7章計算機病毒與惡意代碼一、識記1、計算機病毒的定義P.199答:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞 數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。2、計算機病毒的主要危害P.202答:直接破壞計算機數據信息；占用磁盤空間和對信息的破壞；搶占系統(tǒng)資 源；影響計算機運行速度；計算機病毒錯誤與不可預見的危害：計算機病毒的 兼容性對系統(tǒng)運

38、行的影響；給用戶造成嚴重的心理壓力。3、計算機病毒的防范手段P.216答:特征代碼法；檢驗和法；行為監(jiān)測法：軟件模擬法。4、惡意代碼的特征與分類 P.222答:惡意的目的；本身是程序：通過執(zhí)行發(fā)生作用。5、惡意代碼的防范措施P.228答:及時更新系統(tǒng)，修補安全漏洞：設置安全策略，限制腳本程序的運行；啟 用防火墻，過濾不必要的服務和系統(tǒng)信息；養(yǎng)成良好的上網習慣。二、領會1、計算機病毒的特征P.201答:根據計算機病毒的產生、傳染和破壞行為的分析，計算機病毒一般具有以下 特征:非授權可執(zhí)行性：隱蔽性;傳染性;潛伏性;表現(xiàn)性或破壞性；可觸發(fā) 性。2、計算機病毒的分類P.208答:計算機病毒的分類有：

39、(1按照病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒；攻擊Windows系統(tǒng)的病毒；攻擊UNIX系統(tǒng)的病 毒；攻擊OS/2系統(tǒng)的病毒。(2按照病毒的攻擊機型分類攻擊微型計算機的病毒；攻擊小型機的計算機病毒；攻擊工作站的計算機 病毒。(3按照病毒的鏈接方式分類源碼型病毒；嵌入型病毒；外殼型病毒;操作系統(tǒng)型病毒。(4按照病毒的破壞情況分類良性計算機病毒；惡性計算機病毒。(5按照病毒的寄生方式分類引導型病毒；文件型病毒：復合型病毒。(6按照病毒的傳播媒介分類單機病毒；網絡病毒。3、常用計算機病毒檢測手段的基本原理 P.216答:(1特征代碼法。實現(xiàn)步驟：采集已知病毒樣本；在病毒樣本中，抽取特征 代碼。打開

40、被檢測文件，在文件中搜索，檢查文件中是否有病毒數據庫中的病毒特 征代碼。特征代碼法的特點：速度慢;誤報警率低;不能檢查多形性病毒；不 能對付隱蔽性病毒。(2檢驗和法。將正常文件的內容，計算其校驗和，將該檢驗和寫入文件中或寫入 別的文件中保存。在文件使用過程中，定期地或每次使用前，檢查文件現(xiàn)在內容算出 的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法稱為 校驗和法，這既可 以發(fā)現(xiàn)已知病毒，又可以發(fā)現(xiàn)未知病毒。(3行為監(jiān)測法。利用病毒特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。 通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正 常程序中，這些行為比

41、較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立 即報警。(4軟件模擬法。多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒 代碼相互比 較,也無法找出相同的可能用為特征的穩(wěn)定代碼。雖然行為檢測法可以 檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知道病毒的種類，難于進行消毒處理。軟件模擬法可以檢測多態(tài)性病毒，這是一種軟件分析器，用軟件方法來模擬和分 析程序的運行。新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代 碼法檢測病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待

42、 病毒自身 的密碼譯碼后，再運行特征代碼法來識別病毒的種類。4、惡意代碼的關鍵技術 P.222答:惡意代碼的主要關鍵技術有 生存技術。主要包括4個方面:反跟蹤技術、加密技術、模糊變換技術和自 動生產技術。 攻擊技術。常見攻擊技術包括：進程注入技術、三線程技術、端口復用技 術、對抗檢 測技術、端口反向連接技術和緩沖區(qū)溢出攻擊技術等。 隱藏技術。隱藏技術通常包括本地隱藏和通信隱藏。本地隱藏主要有文件隱 藏、進程 隱藏、網絡連接隱藏和內核模塊隱藏等；通信隱藏主要包括通信內容隱藏 和傳輸通道隱藏。第8章網絡安全解決方案一、識記1、計算機網絡安全設計遵循的基本原則 P.235答:需求、風險、代價平衡分析

43、的原則：綜合性、整體性原則；一致性原 則;易操作性原則；適應性、靈活性原則；多重保護原則；2、網絡安全體系的主要內容 P.233答:網絡安全體系結構是對網絡信息安全基本問題的應對措施的集合，通常由保 護、檢測、響應和恢復等手段構成。保護、檢測、響應、恢復涵蓋了對現(xiàn)代網絡信息系統(tǒng)保護的各個方面，構成了一個完整的體系，使網絡信息安全建筑在更堅實的基礎上。四個概念之間存在著一 定的因果和依存關 系,形成一個整體。如果全面的保護仍然不能確保安全 ，就需要檢 測來為響應創(chuàng)造條件；有效與充分地響應安全事件，將大大減少對保護和恢復的依賴 恢復能力是在其他措施均失效的情形下的最后保障機制。可以看出，計算機網絡

44、的安全保護是一個涉及多個層面的系統(tǒng)工程，必須全面、協(xié)調地 應用多種技術才能達到有效保護的目的3、網絡安全解決方案的基本概念 P.236答:一份好的網絡安全解決方案，不僅要考慮技術，還要考慮策略和管理。三者的 關系是，技術是關鍵，策略是核心,管理是保證。二、領會1、保護、檢測、響應、恢復”的含義P.234答:保護（Protect :保護包括傳統(tǒng)安全概念的繼承，用加解密技術、訪問控制技 術、數字簽名技術，從信息動態(tài)流動、數據靜態(tài)存儲和經授權方可使用，以及可驗證 的信息交換過程等多方面對數據及其網上操作加以保護。檢測（Detect :檢測的含義是對信息傳輸的內容的可控性的檢測，對信息平臺訪問 過程的檢測,對違規(guī)與惡意攻擊的檢測，對系統(tǒng)與網絡弱點與漏洞的檢測等。響應（React在復雜的信息環(huán)境中，保證在任何時候信息平臺能高效正常運行，要 求安全體系提供有力的響應機制，包括在遇到攻擊和緊急事件時能及時采取措施?；謴停≧estore狹義的恢復指災難恢復，在系統(tǒng)受到攻擊的時候，評估系統(tǒng)受到的 危害與損失,按緊急響應預案進行數據與系統(tǒng)恢復，啟動備份系統(tǒng)恢復工作等。廣義 的恢復還包括災難生存等現(xiàn)代新興學科的研究。保證信息系統(tǒng)在惡劣的條件下，甚至在遭到惡意攻擊的條件下，仍能有效地發(fā)揮效能。2、網絡安全解決方案應包括的主要內容 P.238答:一份完整的網絡解決方案