《計(jì)算機(jī)信息安全技術(shù)》課后習(xí)題與參考答案

1、第1章計(jì)算機(jī)信息平安概述習(xí)題參考答案1.對(duì)計(jì)算機(jī)信息平安造成威脅的主要因素有哪些？答：影響計(jì)算機(jī)信息平安的因素有很多，主要有自然威脅和人為威脅兩種。自然威脅包括：自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、物理?yè)p壞、設(shè)備故障、電磁輻射和電磁干擾等。人為威脅包括：無(wú)意威脅、有意威脅。自然威脅的共同特點(diǎn)是突發(fā)性、自然性、非針對(duì)性。這類不平安因素不僅對(duì)計(jì)算機(jī)信息平安造成威脅，而且嚴(yán)重威脅著整個(gè)計(jì)算機(jī)系統(tǒng)的平安，因?yàn)槲锢砩系钠茐暮苋菀紫麥缯麄€(gè)計(jì)算機(jī)信息管理系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)。人為惡意攻擊有明顯的企圖，其危害性相當(dāng)大，給信息平安、系統(tǒng)平安帶來(lái)了巨大的威脅。人為惡意攻擊能得逞的原因是計(jì)算機(jī)系統(tǒng)本身有平安缺陷，如通信鏈路的缺陷

2、、電磁輻射的缺陷、引進(jìn)技術(shù)的缺陷、軟件漏洞、網(wǎng)絡(luò)效勞的漏洞等。2.計(jì)算機(jī)信息平安的特性有哪些？答：信息平安的特性有：完整性完整性是指信息在存儲(chǔ)或傳輸?shù)倪^程中保持未經(jīng)授權(quán)不能改變的特性，即對(duì)抗主動(dòng)攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改和破壞?？捎眯钥捎眯允侵感畔⒖杀皇跈?quán)者訪問并按需求使用的特性，即保證合法用戶對(duì)信息和資源的使用不會(huì)被不合理地拒絕。對(duì)可用性的攻擊就是阻斷信息的合理使用。XX性XX性是指信息不被泄露給未經(jīng)授權(quán)者的特性，即對(duì)抗被動(dòng)攻擊，以保證XX信息不會(huì)泄露給非法用戶或供其使用?？煽匦钥煽匦允侵笇?duì)信息的傳播及內(nèi)容具有控制能力的特性。授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的XX性，能夠?qū)π畔?shí)

3、施平安監(jiān)控。不可否認(rèn)性不可否認(rèn)性也稱為不可抵賴性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。致方不能否認(rèn)已致的信息，接收方也不能否認(rèn)已收到的信息。3.計(jì)算機(jī)信息平安的對(duì)策有哪些？答：要全面地應(yīng)對(duì)計(jì)算機(jī)信息平安問題，建立一個(gè)立體的計(jì)算機(jī)信息平安保障體系，一般主要從三個(gè)層面來(lái)做工作，那就是技術(shù)、管理、人員。1技術(shù)保障指運(yùn)用一系列技術(shù)層面的措施來(lái)保障信息系統(tǒng)的平安運(yùn)營(yíng)，檢測(cè)、預(yù)防、應(yīng)對(duì)信息平安問題。2管理保障有如下措施：貫徹標(biāo)準(zhǔn)的IT治理方案。建立平安的基線配置。建立一個(gè)標(biāo)準(zhǔn)的事件響應(yīng)流程。3人員保障建立專門的應(yīng)急響應(yīng)小組。對(duì)員工進(jìn)展平安意識(shí)培訓(xùn)。建立一定的和信息安全相關(guān)鼓勵(lì)機(jī)制4.ISO

4、7498-2標(biāo)準(zhǔn)包含哪些內(nèi)容？答：ISO7498-2標(biāo)準(zhǔn)包括五類平安效勞以及提供這些效勞所需要的八類平安機(jī)制。ISO7498-2確定的五大類平安效勞，即鑒別效勞、訪問控制效勞、數(shù)據(jù)XX性效勞、數(shù)據(jù)完整性服務(wù)和制止否認(rèn)效勞。ISO7498-2標(biāo)準(zhǔn)確定的八大類平安機(jī)制，即：加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)填充機(jī)制、路由控制機(jī)制和公證機(jī)制。5.怎樣實(shí)現(xiàn)計(jì)算機(jī)信息平安？答：計(jì)算機(jī)信息平安主要包括三個(gè)方面：技術(shù)平安、管理平安和相應(yīng)的政策法律。平安管理是信息平安中具有能動(dòng)性的組成局部；大多數(shù)平安事件和平安隱患的發(fā)生，并非完全是技術(shù)上的原因，而往往是由于管理不善而造成

5、的；法律法規(guī)是保護(hù)計(jì)算機(jī)信息平安的最終手段。所以我們?cè)趯?shí)際的操作中要盡量保證技術(shù)平安，加強(qiáng)監(jiān)視管理，制定完善的法律、法規(guī)和規(guī)章制度并嚴(yán)格執(zhí)行。要根據(jù)計(jì)算機(jī)信息平安的內(nèi)容，采取適當(dāng)?shù)拇胧?、技術(shù)來(lái)保證網(wǎng)絡(luò)和信息的XX性、完整性和可用性等信息平安特性；這樣也就實(shí)現(xiàn)了計(jì)算機(jī)信息平安。6.簡(jiǎn)述對(duì)計(jì)算機(jī)信息平安的理解和認(rèn)識(shí)。答案略提示：可以主要從計(jì)算機(jī)信息的平安特性，計(jì)算機(jī)信息平安研究的內(nèi)容，技術(shù)平安、管理平安、政策法律等方面進(jìn)展探討。第12章軟件保護(hù)技術(shù)習(xí)題參考答案1.軟件保護(hù)經(jīng)歷了哪些階段？各有什么特點(diǎn)？答：軟件保護(hù)大致經(jīng)歷了3個(gè)階段：DOS時(shí)代、Windows時(shí)代、互聯(lián)網(wǎng)時(shí)代。各個(gè)階段的特點(diǎn)如下：1

6、DOS時(shí)代在DOS時(shí)代，軟盤是軟件流通的主要載體，軟盤保護(hù)也就成了軟件保護(hù)的主要方式。軟盤保護(hù)簡(jiǎn)單、易實(shí)現(xiàn)、本錢低，成為軟件商得力的助手。在這一時(shí)期，還出現(xiàn)過一種密碼本保護(hù)模式，國(guó)內(nèi)在這個(gè)時(shí)期出現(xiàn)了卡保護(hù)技術(shù)。2Windows時(shí)代原有的軟盤保護(hù)技術(shù)被淘汰，保護(hù)鎖技術(shù)早在DOS時(shí)代就已經(jīng)存在了，但直到這個(gè)階段，才得到重視，保護(hù)鎖技術(shù)慢慢成為軟件保護(hù)的主流技術(shù)。Windows時(shí)代光盤保護(hù)技術(shù)也成為了關(guān)注的新焦點(diǎn)，光盤保護(hù)主要適用于批量大、軟件生命周期短的產(chǎn)品。3互聯(lián)網(wǎng)時(shí)代互聯(lián)網(wǎng)時(shí)代軟件注冊(cè)機(jī)制成為共享軟件的主流保護(hù)手段。針對(duì)軟件注冊(cè)機(jī)制中出現(xiàn)的軟件注冊(cè)信息被隨意擴(kuò)散的問題，有人提出了許可證保護(hù)方式

7、。該方式是對(duì)軟件注冊(cè)機(jī)制的一種改進(jìn)，把原來(lái)的“一人一碼的方式改成“一機(jī)一碼。2.簡(jiǎn)述軟件保護(hù)的根本要求。答：軟件保護(hù)的目的主要有兩個(gè)：一是防止軟件被非法復(fù)制，二是防止軟件被非法使用和修改。為了到達(dá)這兩個(gè)目的，軟件保護(hù)必須滿足3個(gè)根本要求：反拷貝、反靜態(tài)分析和反動(dòng)態(tài)跟蹤。3.除了文中提到的軟件保護(hù)技術(shù)，還有沒有其他軟件保護(hù)技術(shù)？試查詢并作簡(jiǎn)要描述。答案：略。4.簡(jiǎn)述軟件加殼的目的。答：軟件加殼的目的有兩個(gè)：一是對(duì)受保護(hù)的程序進(jìn)展保護(hù)，防止軟件的相關(guān)信息泄露，同時(shí)加殼技術(shù)中往往集成了反跟蹤、反內(nèi)存補(bǔ)丁、反dump等技術(shù)，可以有效防止軟件被反編譯和修改；二是對(duì)受保護(hù)的程序進(jìn)展壓縮，節(jié)省存儲(chǔ)空間，便于

8、快速傳輸。5.查詢有關(guān)脫殼的資料，并進(jìn)展加殼與脫殼練習(xí)。答案：略。第2章數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)技術(shù)習(xí)題參考答案：1數(shù)據(jù)備份的定義是什么？答：數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保存，創(chuàng)立數(shù)據(jù)的副本。一旦原始數(shù)據(jù)被刪除、覆蓋或由于故障而無(wú)法訪問時(shí)，可以利用副本恢復(fù)喪失或損壞的數(shù)據(jù)。2數(shù)據(jù)備份的目的是什么？答：備份技術(shù)的目的是將整個(gè)系統(tǒng)的數(shù)據(jù)或狀態(tài)保存下來(lái)，這樣不僅可以挽回硬件設(shè)備損壞帶來(lái)的損失，還可以挽回邏輯錯(cuò)誤和人為惡意破壞造成的損失。一般來(lái)說，數(shù)據(jù)備份技術(shù)并不保證系統(tǒng)的實(shí)時(shí)可用性，一旦意外發(fā)生，備份技術(shù)只保證數(shù)據(jù)可以恢復(fù)，但是在恢復(fù)期間，系統(tǒng)是不可以用的。3簡(jiǎn)要描述RAID0模式。答：RAID0模式

9、,也稱冗余無(wú)校驗(yàn)磁盤陣列,把數(shù)據(jù)分散到多塊硬盤上進(jìn)展并行存儲(chǔ)，在進(jìn)展數(shù)據(jù)存取時(shí)，能同時(shí)對(duì)這幾個(gè)磁盤進(jìn)展存儲(chǔ)訪問，通過并行存儲(chǔ)來(lái)提高磁盤的整體數(shù)據(jù)傳輸速度。組成RAID0的單個(gè)磁盤驅(qū)動(dòng)器數(shù)量越多，數(shù)據(jù)傳輸速度就越快。但它的缺點(diǎn)是沒有容錯(cuò)功能，一旦有任何一塊磁盤損壞，將造成整個(gè)數(shù)據(jù)的不完整而無(wú)法使用。4比擬RAID3模式與RAID5模式的優(yōu)缺點(diǎn)。答：RAID3模式，奇偶校驗(yàn)并行交織陣列，也被稱為帶有專用奇偶位的條帶，每個(gè)條帶上都有一塊空間用來(lái)有效存儲(chǔ)冗余信息，即奇偶位。奇偶位是數(shù)據(jù)編碼信息，如果某個(gè)磁盤發(fā)生故障，可以用來(lái)恢復(fù)數(shù)據(jù)。即使有多個(gè)數(shù)據(jù)盤，也只能使用一個(gè)校驗(yàn)盤，采用奇偶校驗(yàn)的方法檢查錯(cuò)誤。

10、RAID5模式，循環(huán)奇偶校驗(yàn)磁盤陣列，也被稱為帶分布式奇偶位的條帶，每個(gè)條帶上都有一塊空間被用來(lái)存放奇偶位。與RAID3不同的是，RAID5把奇偶位信息分布在所有的磁盤上。盡管有一些容量上的損失，但RAID5能提供最正確的整體性能。RAID3比擬適合大文件類型，如視頻編輯、大型數(shù)據(jù)庫(kù)等；RAID5比擬適合較小文件的應(yīng)用，如文字、小型數(shù)據(jù)庫(kù)等。5什么是DAS直接連接存儲(chǔ)？答：DAS(DirectAttachedStorage)就是將傳統(tǒng)的效勞器與存儲(chǔ)設(shè)備直接連接的存儲(chǔ)方式。DAS的存儲(chǔ)設(shè)備與效勞器之間的數(shù)據(jù)傳輸通道是固定和專用的，通常有IDE、SCSI、光纖通道、USB通道等。DAS系統(tǒng)可以是一

11、個(gè)單獨(dú)的硬盤，一個(gè)RAID磁盤陣列或其它存儲(chǔ)設(shè)備。每一臺(tái)效勞器只能管理和訪問與之相連的存儲(chǔ)設(shè)備，但不能實(shí)現(xiàn)與其它主機(jī)共享數(shù)據(jù)傳輸端口，只能依靠存儲(chǔ)設(shè)備本身為主機(jī)提供數(shù)據(jù)服務(wù)。6NAS構(gòu)造和SAN構(gòu)造的主要區(qū)別有哪些？答：NAS構(gòu)造和SAN構(gòu)造的主要區(qū)別有：SAN是一種網(wǎng)絡(luò)，NAS產(chǎn)品是一個(gè)專有文件效勞器或一個(gè)只能文件訪問的設(shè)備。SAN是只能獨(dú)享的數(shù)據(jù)存儲(chǔ)池，NAS是共享與獨(dú)享兼顧的數(shù)據(jù)存儲(chǔ)池。SAN設(shè)備是基于數(shù)據(jù)塊訪問的，而NAS設(shè)備是基于文件訪問的。NAS產(chǎn)品能通過SAN連接到存儲(chǔ)設(shè)備。SAN的本錢高，系統(tǒng)復(fù)雜度高；而NAS的本錢低，系統(tǒng)復(fù)雜度低。7什么是數(shù)據(jù)恢復(fù)？答：數(shù)據(jù)恢復(fù)就是把遭受破壞

12、、由于硬件缺陷導(dǎo)致不可能訪問、不可獲得、由于誤操作等各種原因?qū)е聠适У臄?shù)據(jù)復(fù)原成正常數(shù)據(jù)的過程。8簡(jiǎn)述恢復(fù)硬盤數(shù)據(jù)的步驟。答：硬盤恢復(fù)就是在硬盤上的系統(tǒng)文件受到嚴(yán)重破壞的情況下，用已備份的映像文件恢復(fù)被破壞的硬盤。由于在恢復(fù)過程中，目標(biāo)盤上所有的文件、數(shù)據(jù)將全部喪失，因此在恢復(fù)之前，一定要將重要數(shù)據(jù)備份下來(lái)。硬盤恢復(fù)過程如下：1執(zhí)行Ghost程序，在Ghost窗口中依次執(zhí)行LocalDiskFromImage命令，啟動(dòng)硬盤恢復(fù)功能。2在映像文件選擇窗口中，選擇需要復(fù)原的映像文件所在的硬盤或分區(qū)的路徑和映像文件名；在彈出的目標(biāo)硬盤窗口中，選擇要復(fù)原的目標(biāo)硬盤或分區(qū)；單擊OK按鈕，Ghost程序?qū)?/p>

13、會(huì)把保存在映像文件中的數(shù)據(jù)復(fù)原到目標(biāo)硬盤上，包括分區(qū)、文件系統(tǒng)和用戶數(shù)據(jù)等。9試用Ghost軟件備份系統(tǒng)盤。答案：略10試用EasyRecovery恢復(fù)喪失的文件。答案：略第3章密碼技術(shù)習(xí)題參考答案1什么是密碼技術(shù)？密碼技術(shù)的開展經(jīng)歷了哪幾個(gè)階段？答：密碼學(xué)是研究信息系統(tǒng)平安XX的科學(xué)，具體研究數(shù)據(jù)的加密、解密及變換，是密碼編碼學(xué)(使消息XX的科學(xué)與技術(shù))和密碼分析學(xué)(破譯密文的科學(xué)與技術(shù))的總稱。密碼學(xué)的開展可劃分為三個(gè)階段：第一階段為從古代到1949年。這一時(shí)期可以看作是科學(xué)密碼學(xué)的前夜時(shí)期，主要代表有棋盤密碼和凱撒密碼。第二階段為從1949年到1975年。這段時(shí)期密碼學(xué)理論的研究工作進(jìn)展

14、不大，公開的密碼學(xué)文獻(xiàn)很少。Shannon發(fā)表的“XX系統(tǒng)的信息理論為私鑰密碼系統(tǒng)建立了理論根底，從此密碼學(xué)開展成為一門具有藝術(shù)性的科學(xué)。第三階段為從1976年至今。美國(guó)斯坦福大學(xué)的迪菲Diffie和赫爾曼(Hellman)兩人發(fā)表的“密碼學(xué)的新動(dòng)向一文導(dǎo)致了密碼學(xué)上的一場(chǎng)革命，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元。2.密碼體制的組成和分類有哪些？答：通常情況下，一個(gè)密碼體制由5個(gè)局部組成：明文信息空間M；密文信息空間C；密鑰空間K；加密變換Ek:MC，其中kK；解密變換Dk：CM，其中kK。密碼體制分為對(duì)稱密鑰密碼技術(shù)(私鑰加密)和非對(duì)稱密鑰密碼技術(shù)(公鑰加密)。對(duì)稱密鑰密碼體制從加密模式上可分為序

15、列密碼和分組密碼兩大類；非對(duì)稱密碼體制加密使用兩個(gè)不同的密鑰：一個(gè)公共密鑰和一個(gè)專用密鑰。公共密鑰加密算法主要有：RSA算法、背包算法、橢圓曲線算法等。3.什么是對(duì)稱密碼體制和非對(duì)稱密碼體制？?jī)烧哂泻螀^(qū)別和聯(lián)系？答：對(duì)稱傳統(tǒng)密碼體制是從傳統(tǒng)的簡(jiǎn)單換位、代替密碼開展而來(lái)的。對(duì)稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。1976年，Diffie、Hellman、Merkle分別提出了非對(duì)稱密碼體制的思想，這種密碼體制不同于傳統(tǒng)的對(duì)稱密鑰密碼體制，它要求使用兩個(gè)不同的密鑰：一個(gè)公共密鑰和一個(gè)專用密鑰。用戶首先要保障專用密鑰的平安，公共密鑰那么可以公開發(fā)布信息。因公共密鑰與專用密鑰是嚴(yán)密

16、聯(lián)系的，用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。除加密功能外，公鑰系統(tǒng)還可以提供數(shù)字簽名。公共密鑰加密算法主要有：RSA算法、背包算法、橢圓曲線算法等。對(duì)稱密碼體制和非對(duì)稱密碼體制兩者的區(qū)別和聯(lián)系如下：對(duì)稱密碼體制和非對(duì)稱密碼體制是密碼體制的兩種不同的分類。對(duì)稱密碼體制是應(yīng)用較早的密碼體制，技術(shù)成熟。在對(duì)稱密碼體制中，使用的密鑰只有一個(gè)，發(fā)收信雙方都使用這個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)展加密和解密，這就要求解密方事先必須知道加密密鑰。對(duì)稱密碼體制的特點(diǎn)是算法公開、計(jì)算量小、加密速度快、加密效率高。缺乏之處是交易雙方都使用同樣密鑰，平安性得不到保證。密鑰管理成為了用戶的負(fù)擔(dān)。對(duì)稱密碼體制在分布式網(wǎng)絡(luò)系

17、統(tǒng)上使用較為困難，主要是因?yàn)槊荑€管理困難，使用本錢較高。非對(duì)稱密碼體制使用兩把完全不同但又是完全匹配的一對(duì)鑰匙公鑰和私鑰。在使用非對(duì)稱密碼體制加密文件時(shí)，只有使用匹配的一對(duì)公鑰和私鑰，才能完成對(duì)明文的加密和解密過程。由于非對(duì)稱密碼體制擁有兩個(gè)密鑰，特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。4.比擬DES密碼算法和三重DES算法。答：DES密碼是一種采用傳統(tǒng)加密方法的第一個(gè)分組密碼，是目前應(yīng)用最廣泛的分組對(duì)稱密碼算法，開展至今已成為工業(yè)界的標(biāo)準(zhǔn)密碼算法。DES加密算法屬于密鑰加密算法對(duì)稱算法，輸入的是64比特的明文組，在64比特密鑰的控制下產(chǎn)生64比特的密文。64比特的密鑰中含有8個(gè)比特的奇偶校驗(yàn)位，所

18、以實(shí)際有效密鑰的長(zhǎng)度為56比特。DES解密算法輸入的是64比特的密文，輸出64比特的明文，解密算法與加密算法一樣，只是將密鑰組的使用次序反過來(lái)。DES解密算法與DES加密算法根本一樣，不同之處在于DES解密時(shí)使用的密鑰順序與DES加密過程中密鑰的使用順序剛好相反，其他各參數(shù)及算法均一樣。DES現(xiàn)在已經(jīng)不被視為一種平安的加密算法，因?yàn)樗褂玫?6位密鑰過短。針對(duì)56位密鑰長(zhǎng)度的DES算法不平安的因素，人們提出了多重DES算法，主要有雙重DES及三重DES。三重DES加密主要有4種工作模式，分別如下。1DES-EEE3模式：共使用三個(gè)不同的密鑰，并順次使用三次DES加密算法。2DES-EDE3模式

19、：共使用三個(gè)不同的密鑰，依次使用“加密-解密-加密這樣一個(gè)復(fù)合加密過程。加密解密表達(dá)式為：C=Ek3Dk2Ek1PP=Dk1Ek2Dk3P3DES-EEE2模式：順序使用三次DES加密算法，其中第一次和第三次使用的密鑰一樣，即加密解密表達(dá)式為：C=Ek1Ek2Ek1PP=Dk1Dk2Dk1P4DES-EDE2模式，依次使用“加密-解密-加密算法，其中第一次和第三次使用的密鑰一樣，加密解密表達(dá)式為：C=Ek1Dk2Ek1PP=Dk1Ek2Dk1P5.IDEA算法的工作原理是什么？答：IDEA算法是對(duì)稱密碼體制中的一種基于數(shù)據(jù)塊的分組加密算法，整個(gè)算法包含子密鑰產(chǎn)生、數(shù)據(jù)加密過程、數(shù)據(jù)解密過程三個(gè)

20、局部。該算法規(guī)定明文塊與密文塊均為64比特，密鑰長(zhǎng)度為128比特，加密與解密算法一樣，只是密鑰各異，其根本工作原理如下列圖所示。密鑰發(fā)生器明文加密器E解密器D密文IDEA工作原理6.簡(jiǎn)述RSA算法的優(yōu)點(diǎn)和缺點(diǎn)。答：RSA算法的優(yōu)點(diǎn)：1RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法，也易于理解和操作。普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。2RSA算法的加密密鑰和加密算法分開，使得密鑰分配更為方便。它特別符合計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。3RSA算法解決了大量網(wǎng)絡(luò)用戶密鑰管理的難題，這是公鑰密碼系統(tǒng)相對(duì)于對(duì)稱密碼系統(tǒng)最為突出的優(yōu)點(diǎn)。RSA算法的缺點(diǎn):(1)產(chǎn)生密鑰很麻煩，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，難以做到一次一密

21、。(2)RSA的平安性依賴于大數(shù)的因子分解。但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價(jià)，而且密碼學(xué)界多數(shù)人士?jī)A向于因子分解不是問題。(3)加解密速度太慢。由于RSA算法的分組長(zhǎng)度太大，為保證平安性，n至少也要600比特以上，這樣使運(yùn)算代價(jià)很高，尤其是加解密速度較慢，較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí)；而且隨著大數(shù)分解技術(shù)的開展，n的長(zhǎng)度還在增加，不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。第4章數(shù)字簽名與認(rèn)證技術(shù)習(xí)題參考答案1.什么是數(shù)字簽名技術(shù)？它的實(shí)現(xiàn)方法有哪些？答：數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完

22、整性并保護(hù)數(shù)據(jù)，防止被人偽造。它是對(duì)電子形式的消息進(jìn)展簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。實(shí)現(xiàn)數(shù)字簽名有很多方法，從整體上來(lái)說分為兩類：用非對(duì)稱加密算法進(jìn)展數(shù)字簽名和用對(duì)稱加密算法進(jìn)展數(shù)字簽名。2.常見的口令攻擊技術(shù)有哪些？答：常見的口令攻擊方式有3種，即從用戶主機(jī)中獲取口令，在通信線路上截獲口令，從遠(yuǎn)端系統(tǒng)中破解口令。常見的口令攻擊方法有：社會(huì)工程學(xué)、猜想攻擊、字典攻擊、窮舉攻擊、混合攻擊、直接破解系統(tǒng)口令文件、嗅探器、鍵盤記錄器。3.什么是生物特征識(shí)別技術(shù)？列舉生活中常見的生物特征識(shí)別技術(shù)。答：生物識(shí)別技術(shù)是指利用人體生物特征進(jìn)展身份認(rèn)證的一種技術(shù)。具體來(lái)說，生物特征識(shí)別技

23、術(shù)就是通過計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性和行為特征來(lái)進(jìn)展個(gè)人身份的鑒定。生活中常見的生物特征識(shí)別技術(shù)有：指紋識(shí)別、虹膜識(shí)別、面部識(shí)別、手型識(shí)別。4.什么是指紋識(shí)別？簡(jiǎn)述其工作原理。答：指紋識(shí)別指通過比擬不同指紋的細(xì)節(jié)特征來(lái)進(jìn)展鑒別。由于每個(gè)人的指紋不同，就是同一人的十指之間，指紋也有明顯區(qū)別，因此指紋可用于身份鑒定。指紋識(shí)別的原理步驟如下：1集取：首先利用指紋掃描器，將指紋的圖形及其他相關(guān)特征集取下來(lái)。2演算：將圖形及相關(guān)特征，運(yùn)用程序進(jìn)展運(yùn)算及統(tǒng)計(jì)，找出該指紋具有所謂“人人不同且終身不變的特性的相關(guān)特征點(diǎn)，并將其數(shù)位化。3傳送：將數(shù)

24、位化的指紋特征在電腦上運(yùn)用各種方式傳送，不管是其傳送方式或加解密方式，均仍保存該特性。4驗(yàn)證：傳送過來(lái)的數(shù)據(jù)再經(jīng)運(yùn)算、驗(yàn)證其與資料庫(kù)中比對(duì)資料的相似程度。如果到達(dá)一定到達(dá)一定程度以上的統(tǒng)計(jì)相似度、差異在某種極低的幾率以下，即可代表這是由本人傳送過來(lái)的指紋數(shù)據(jù)。故只要符合上述原理，中間無(wú)任何轉(zhuǎn)換上的漏失且在一定的比對(duì)值以上，均可確認(rèn)是本人的指紋。5.什么是虹膜識(shí)別？簡(jiǎn)述其工作原理。答：虹膜身份識(shí)別技術(shù)即利用虹膜圖像進(jìn)展自動(dòng)虹膜識(shí)別，它是一項(xiàng)創(chuàng)新技術(shù)，它涉及現(xiàn)代數(shù)學(xué)、信號(hào)處理、模式識(shí)別、圖像處理等多個(gè)領(lǐng)域，是當(dāng)今國(guó)際計(jì)算機(jī)應(yīng)用領(lǐng)域前沿性的研究課題之一。虹膜識(shí)別的工作原理為：1由一個(gè)專用的攝像頭拍攝

25、虹膜圖像。2專用的轉(zhuǎn)換算法會(huì)將虹膜的可視特征轉(zhuǎn)換成一個(gè)512字節(jié)長(zhǎng)度的虹膜代碼。3識(shí)別系統(tǒng)將生成的代碼與代碼庫(kù)中的虹膜代碼進(jìn)展逐一比擬，當(dāng)相似率超過某個(gè)邊界值一般是67%時(shí)，系統(tǒng)判定檢測(cè)者的身份與某個(gè)樣本相符，而如果相似程度低于這個(gè)邊界值，系統(tǒng)就會(huì)認(rèn)為檢測(cè)者的身份與該樣本預(yù)期身份不符合，進(jìn)入下一輪的比擬。第5章信息隱藏技術(shù)習(xí)題參考答案1什么是信息隱藏？答：信息隱藏，也叫數(shù)據(jù)隱藏。簡(jiǎn)單地說，信息隱藏就是將秘密信息隱藏于另一非XX的載體之中，載體可以是圖像、音頻、視頻、文本，也可以是信道，甚至編碼體制或整個(gè)系統(tǒng)。廣義的信息隱藏包括隱寫術(shù)、數(shù)字水印、數(shù)字指紋、隱藏信道、閾下信道、低截獲概率和匿名通信

26、等。從狹義上看，信息隱藏就是將一個(gè)XX信息隱藏于另一個(gè)公開的信息中，然后通過公開信息的傳輸來(lái)傳遞XX信息。狹義的信息隱藏通常指隱寫術(shù)和數(shù)字水印以及數(shù)字指紋。2簡(jiǎn)述幾種典型的信息隱藏技術(shù)。答：典型的信息隱藏技術(shù)包括時(shí)域替換技術(shù)、變換域技術(shù)和可視密碼技術(shù)。時(shí)域替換技術(shù)的根本原理是用秘密信息比特替換掉封面信息中不重要的局部，以到達(dá)對(duì)秘密信息進(jìn)展編碼的目的。時(shí)域替換技術(shù)具有較大的隱藏信息量容納性和不可見性透明性，但穩(wěn)健性魯棒性較弱。這種技術(shù)比擬有代表性的是最不重要比特位LSB方法。變換域技術(shù)的根本原理是將秘密信息嵌入到數(shù)字作品的某一變換域中。這種技術(shù)比時(shí)域替換技術(shù)能更有效地抵御攻擊，并且還保持了對(duì)人的

27、不易覺察性。變換域方法具有較強(qiáng)的不可見性和穩(wěn)健性，是目前應(yīng)用很廣泛的算法。但變換域技術(shù)的復(fù)雜性和技術(shù)性與時(shí)域替換技術(shù)相比都要更高。可視密碼技術(shù)是Naor和Shamir于1994年首次提出的，其主要特點(diǎn)是恢復(fù)秘密圖像時(shí)不需要任何復(fù)雜的密碼學(xué)計(jì)算，而是以人的視覺即可將秘密圖像區(qū)分出來(lái)。3.信息隱藏技術(shù)有哪些特點(diǎn)？答：信息隱藏技術(shù)通常有以下特點(diǎn)：1透明性或不可感知性2魯棒性3平安性4不可檢測(cè)性5自恢復(fù)性6嵌入強(qiáng)度信息量4什么是數(shù)字水印？答：數(shù)字水印是利用人類感知器官的不敏感特性以及多媒體數(shù)據(jù)中存在的冗余，通過一定的算法將秘密信息隱藏到宿主信息中，且水印的添加不會(huì)影響原數(shù)據(jù)的內(nèi)容和正常使用。嵌入到多媒

28、體數(shù)據(jù)中的信息可以是數(shù)字、序列號(hào)、文字、圖像標(biāo)志等，以起到保護(hù)、標(biāo)識(shí)產(chǎn)品、秘密通信、驗(yàn)證歸屬權(quán)、鑒別數(shù)據(jù)真?zhèn)蔚茸饔?。一般情況下秘密消息需要經(jīng)過適當(dāng)變換后才能嵌入到數(shù)字作品中，通常把經(jīng)過變換的秘密信息叫做數(shù)字水印。5數(shù)字水印有哪些特性？答：數(shù)字水印的特性有：1有效性2逼真度3數(shù)據(jù)容量4盲檢測(cè)與明檢測(cè)5虛檢率6魯棒性7平安性。6簡(jiǎn)述數(shù)字水印的幾種典型算法。答：數(shù)字水印的典型算法有：1最低有效位算法LSB最低有效位算法是第一個(gè)數(shù)字水印算法，是一種典型的空間域信息隱藏算法。LSB算法雖然可隱藏較多的信息，但隱藏的信息可以被輕易移去，無(wú)法滿足數(shù)字水印的魯棒性要求，因此現(xiàn)在的數(shù)字水印軟件已經(jīng)很少采用LSB

29、算法。(2)Patchwork算法Patchwork算法主要用于打印票據(jù)的防偽。Patchwork算法隱藏在特定圖像區(qū)域的統(tǒng)計(jì)特性中，其魯棒性很強(qiáng)，可以有效地抵御剪切、灰度校正、有損壓縮等攻擊，其缺陷是數(shù)據(jù)量較低，抵抗力較弱。3DCT變換域數(shù)字水印算法DCT變換域數(shù)字水印是目前研究最多的一種數(shù)字水印，它具有魯棒性強(qiáng)、隱蔽性好的特點(diǎn)。其主要思想是在圖像的DCT變換域上選擇中低頻系數(shù)疊加水印信息。4直接序列擴(kuò)頻水印算法該算法是擴(kuò)頻通信技術(shù)在數(shù)字水印中的應(yīng)用。擴(kuò)頻通信將待傳遞的信息通過擴(kuò)頻碼調(diào)制后散布于非常寬的頻帶中，使其具有偽隨機(jī)特性。收信方通過相應(yīng)的擴(kuò)頻碼進(jìn)展解擴(kuò)，獲得真正的傳輸信息。擴(kuò)頻通信具

30、有抗干擾性強(qiáng)、高度XX的特性。7數(shù)字視頻水印的嵌入算法有哪些？答：數(shù)字視頻水印的嵌入算法很多，可以分為兩大類：在原始視頻中嵌入水印和在壓縮視頻流中嵌入水印。在原始視頻中嵌入水印的方法又可以分為在空間域嵌入水印和在變換頻率域嵌入水印。在壓縮視頻中嵌入水印一般考慮MPEG編碼標(biāo)準(zhǔn)。在MPEG編碼標(biāo)準(zhǔn)中，有3種圖像類型：內(nèi)部編碼幀(I幀)、前向預(yù)測(cè)幀(P幀)和雙向預(yù)測(cè)幀(B幀)。8.視頻水印攻擊分為哪幾類？答：目前視頻水印的攻擊主要有以下4種情況：1簡(jiǎn)單攻擊2檢測(cè)失效攻擊3“混淆攻擊4移去水印攻擊。第6章計(jì)算機(jī)病毒防X技術(shù)習(xí)題參考答案1.簡(jiǎn)述計(jì)算機(jī)病毒的定義和特征。答：計(jì)算機(jī)病毒的定義：廣義上，能夠

31、引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序都可稱為計(jì)算機(jī)病毒；狹義上，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自主復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒主要有以下幾種特征：破壞性、傳染性、隱蔽性、寄生性、潛伏性、可觸發(fā)性、針對(duì)性、不可預(yù)見性。2.計(jì)算機(jī)病毒由哪些模塊組成？各模塊有什么功能？答：計(jì)算機(jī)病毒程序一般由三大模塊組成：引導(dǎo)模塊、傳染模塊、破壞/表現(xiàn)模塊。各模塊的功能：引導(dǎo)模塊的作用是把計(jì)算機(jī)病毒由外存引入到內(nèi)存，使傳染模塊和破壞模塊處于活動(dòng)狀態(tài)；計(jì)算機(jī)病毒的傳染模塊主要是將計(jì)算機(jī)病毒傳染到其他對(duì)象上去。破壞/表現(xiàn)模塊的主要作用是實(shí)施計(jì)算機(jī)病毒的破

32、壞/表現(xiàn)功能，是計(jì)算機(jī)病毒的主體模塊，它負(fù)責(zé)實(shí)施計(jì)算機(jī)病毒的破壞/表現(xiàn)動(dòng)作，這些動(dòng)作可能是破壞文件、損壞數(shù)據(jù)或占用系統(tǒng)資源等，干擾系統(tǒng)正常運(yùn)行，甚至造成系統(tǒng)癱瘓。3.簡(jiǎn)述宏病毒的工作機(jī)制，以及去除宏病毒的方法。答：宏病毒利用宏語(yǔ)言VBA，VisualBasicForApplication編寫，宏病毒不傳染可執(zhí)行文件，而是將特定的宏命令代碼附加在指定的文檔文件上，當(dāng)翻開帶有宏病毒的文檔文件時(shí)，宏病毒就會(huì)被激活，并轉(zhuǎn)移到計(jì)算機(jī)中，駐留在Normal模板上，執(zhí)行宏的時(shí)候，會(huì)將這些命令或動(dòng)作激活。所有自動(dòng)保存的文檔都會(huì)“感染上這種宏病毒。宏病毒通過文檔文件的翻開或關(guān)閉操作來(lái)獲得系統(tǒng)的控制權(quán)，實(shí)現(xiàn)宏病毒

33、在不同文檔文件之間的共享和傳遞，到達(dá)傳染的目的。去除宏病毒有兩種方法：1手工刪除宏：翻開微軟辦公自動(dòng)化系列軟件中的宏管理器工具宏M宏M管理器G，將不明來(lái)源的自動(dòng)執(zhí)行宏刪除即可。2使用殺毒軟件去除：目前的殺毒軟件都具備去除宏病毒的能力，可利用殺毒軟件對(duì)文檔文件進(jìn)展殺毒，以去除宏病毒。4.計(jì)算機(jī)病毒的常用診斷檢測(cè)方法有哪些？答：計(jì)算機(jī)病毒的常用診斷檢測(cè)方法有：特征碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法、VICE先知掃描法等。5.網(wǎng)絡(luò)病毒有哪些特征？怎樣防X網(wǎng)絡(luò)病毒？答：網(wǎng)絡(luò)病毒的特征有：1傳播方式多樣化2傳播速度更快3難以徹底去除4破壞性更大5網(wǎng)絡(luò)病毒觸發(fā)條件的多樣化6潛在的危險(xiǎn)更大。在網(wǎng)絡(luò)操作系

34、統(tǒng)中一般提供了目錄和文件訪問權(quán)限與屬性兩種平安措施，屬性優(yōu)先于訪問權(quán)限。可以根據(jù)用戶對(duì)目錄和文件的操作能力分別分配不同的訪問權(quán)限和屬性，比方對(duì)于公用目錄中的系統(tǒng)文件和工具軟件，只設(shè)置成只讀屬性；系統(tǒng)程序所在的目錄不授權(quán)修改權(quán)和超級(jí)用戶權(quán)。這樣，計(jì)算機(jī)病毒就無(wú)法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳?，其他的用戶也不?huì)感染病毒。網(wǎng)絡(luò)上公用目錄或共享目錄的平安性措施對(duì)于防止計(jì)算機(jī)病毒在網(wǎng)上傳播起到了積極作用，采用基于網(wǎng)絡(luò)目錄和文件平安性的方法對(duì)防止網(wǎng)絡(luò)病毒也起到了一定的作用。防X網(wǎng)絡(luò)病毒要充分利用網(wǎng)絡(luò)操作系統(tǒng)本身所提供的平安保護(hù)措施，加強(qiáng)網(wǎng)絡(luò)平安管理，做好網(wǎng)絡(luò)病毒的預(yù)防工作，以減小網(wǎng)絡(luò)病毒對(duì)網(wǎng)絡(luò)用戶所造成的危害。

35、6.如何去除計(jì)算機(jī)病毒？答：常用的去除計(jì)算機(jī)病毒的方法有：1殺毒軟件去除法2主引導(dǎo)區(qū)信息恢復(fù)法當(dāng)計(jì)算機(jī)系統(tǒng)感染上引導(dǎo)型病毒時(shí)，可采用備份的主引導(dǎo)扇區(qū)文件進(jìn)行覆蓋，從而恢復(fù)主引導(dǎo)扇區(qū)信息。3程序覆蓋法適合于文件型病毒，一旦發(fā)現(xiàn)某些程序或文件被感染了文件型病毒，可重新安裝該程序，安裝過程根據(jù)提示信息對(duì)所有文件進(jìn)展覆蓋，即可去除病毒。4格式化磁盤法是最徹底的去除計(jì)算機(jī)病毒的方法。對(duì)于一些較頑固的計(jì)算機(jī)病毒，只能采用格式化或者低級(jí)格式化磁盤的方法來(lái)進(jìn)展去除。5手工去除法適合于所有的計(jì)算機(jī)病毒，特別是對(duì)那些新出現(xiàn)的未知的計(jì)算機(jī)病毒，不過這種方法要求的專業(yè)性稍高一些，一般適用于計(jì)算機(jī)類專業(yè)人員操作。7.試

36、為你所在學(xué)校的校園網(wǎng)制定平安的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)？答案略提示：根據(jù)所在學(xué)校校園網(wǎng)的開展規(guī)模和實(shí)際情況制定相應(yīng)的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。第7章網(wǎng)絡(luò)攻擊與防X技術(shù)習(xí)題參考答案：1網(wǎng)絡(luò)監(jiān)聽的原理是什么？答：在一個(gè)實(shí)際的局域網(wǎng)絡(luò)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來(lái)完成的，網(wǎng)卡內(nèi)的單片程序解析數(shù)據(jù)幀中的目的MAC地址，并根據(jù)網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，如果該接收，就接收數(shù)據(jù)，同時(shí)產(chǎn)生中斷信號(hào)通知CPU，否那么丟棄。如果將網(wǎng)卡的工作模式設(shè)置為“混雜模式，那么網(wǎng)卡將承受所有傳遞給它的數(shù)據(jù)包，這就是網(wǎng)絡(luò)監(jiān)聽的根本原理。2網(wǎng)絡(luò)監(jiān)聽的防X和檢測(cè)有哪幾種方式？答：1采用ARPAddressResolutionProtocol，地

37、址解析協(xié)議技術(shù)進(jìn)展檢測(cè)。2采用DNS技術(shù)進(jìn)展檢測(cè)。3采用網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試的方法進(jìn)展檢測(cè)。3緩沖區(qū)溢出攻擊的防X分哪幾個(gè)步驟？答：緩沖區(qū)溢出攻擊的防X分兩個(gè)步驟：1將攻擊代碼植入被攻擊程序中；2使被攻擊程序跳轉(zhuǎn)到植入的攻擊代碼處執(zhí)行。4IP欺騙攻擊的原理是什么？答：IP欺騙，簡(jiǎn)單來(lái)說就是向目標(biāo)主機(jī)致源地址為非本機(jī)IP地址的數(shù)據(jù)包。5簡(jiǎn)述IP欺騙攻擊的步驟。答：IP欺騙的攻擊步驟如以下所示：(1)假設(shè)Z企圖攻擊A，而A信任B。(2)假設(shè)Z已經(jīng)知道了被信任的B，就使用某種方法使B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，以免對(duì)攻擊造成干擾。(3)Z對(duì)A當(dāng)前的ISN號(hào)進(jìn)展取樣。Z還要知道A當(dāng)前的TCP的初始順序號(hào)IS

38、N。Z首先與A的一個(gè)端口建立一個(gè)正常的，如主機(jī)Z的25端口，并記錄A的ISN，以及Z到A的大致往返時(shí)間RTTRoundTripTime。通常，這個(gè)過程要重復(fù)屢次以便求出RTT的平均值和存儲(chǔ)最后致的ISN。在Z知道了A的ISN基值和增加規(guī)律比方ISN每秒增加128000，每次增加64000后，也知道了從Z到A需要的RTT/2的時(shí)間。這時(shí)必須立即進(jìn)展攻擊，否那么在這之間會(huì)有其它主機(jī)與A，ISN將比預(yù)料的多出64000。(4)Z向A致帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求，只是源IP改成了B，B因?yàn)樵馐艿絑的攻擊，已經(jīng)無(wú)法響應(yīng)。(5)Z等待一會(huì)兒，讓A有足夠時(shí)間致SYN+ACK數(shù)據(jù)Z看不到這個(gè)包。然后Z再次偽裝

39、成B向A致ACK數(shù)據(jù)包，此時(shí)致的數(shù)據(jù)段帶有Z預(yù)測(cè)的A的ISN+1。如果Z的預(yù)測(cè)準(zhǔn)確，A將會(huì)接收ACK，Z與A的連接建立，數(shù)據(jù)傳送開場(chǎng)，Z就可以使用命令對(duì)A進(jìn)展非授權(quán)操作。6如何防XDoS和DDoS攻擊？答：1在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，制止那些不必要的網(wǎng)絡(luò)效勞。建立邊界平安界限，確保輸出的數(shù)據(jù)包能夠受到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的平安日志。2用網(wǎng)絡(luò)平安設(shè)備如防火墻來(lái)加固網(wǎng)絡(luò)的平安性，配置好這些設(shè)備的平安規(guī)那么，過濾掉所有可能的偽造數(shù)據(jù)包。3網(wǎng)絡(luò)效勞提供商協(xié)調(diào)工作，讓網(wǎng)絡(luò)效勞提供商幫助實(shí)現(xiàn)路由的訪問控制和對(duì)帶寬總量的限制。4用戶發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，應(yīng)

40、當(dāng)啟動(dòng)自己的應(yīng)對(duì)策略，盡可能快地追蹤攻擊包，并且及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他結(jié)點(diǎn)，從而阻擋從攻擊結(jié)點(diǎn)的流量。5如果用戶是潛在的DDoS攻擊受害者，并且發(fā)現(xiàn)自己的計(jì)算機(jī)被攻擊者用作受控效勞器端和攻擊效勞器端時(shí)，用戶不能因?yàn)樽约旱南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，將會(huì)對(duì)用戶的系統(tǒng)產(chǎn)生一個(gè)很大的威脅。所以用戶只要發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時(shí)把它去除，以免留下后患。7S/MIME提供哪些功能？答：S/MIME提供以下功能：1封裝數(shù)據(jù)：加密內(nèi)容和加密密鑰2簽名數(shù)據(jù)：致者對(duì)消息進(jìn)展簽名，并用私鑰加密，對(duì)消息和簽名都使用base64

41、編碼，簽名后的消息只有使用S/MIME的接收者才能閱讀。3透明簽名數(shù)據(jù)：致者對(duì)消息簽名，但只有簽名使用base64編碼，接收者即使沒有使用S/MIME，也可以閱讀消息內(nèi)容，但不能驗(yàn)證簽名。4簽名和封裝數(shù)據(jù)：加密后的數(shù)據(jù)可以再簽名，簽名和透明簽名過的數(shù)據(jù)可以再加密。8IPSec平安體系構(gòu)造中包括了哪幾種最根本的協(xié)議？答：IPSec平安體系構(gòu)造中包括以下3種最根本的協(xié)議：1認(rèn)證頭AHAuthenticationHeader協(xié)議為IP包提供信息源認(rèn)證和完整性保證。2封裝平安ESPEncapsulatingSecurityPayload協(xié)議提供加密保證。3Internet平安協(xié)會(huì)和密鑰管理ISAKMP

42、InternetSecurityAssociationandKeyManagementProtocol協(xié)議提供雙方交流時(shí)的共享平安信息，它支持IPSec協(xié)議的密鑰管理要求。9簡(jiǎn)述SSL傳輸數(shù)據(jù)的過程。答：SSL傳輸數(shù)據(jù)的過程為：1客戶端向效勞器端致客戶端SSL版本號(hào)、加密算法設(shè)置、隨機(jī)產(chǎn)生的數(shù)據(jù)和其他效勞器需要用于跟客戶端通訊的數(shù)據(jù)。2效勞器向客戶端致效勞器的SSL版本號(hào)、加密算法設(shè)置、隨機(jī)產(chǎn)生的數(shù)據(jù)和其他客戶端需要用于跟效勞器通訊的數(shù)據(jù)。另外，效勞器還要致自己的證書，如果客戶端正在請(qǐng)求需要認(rèn)證的信息，那么效勞器同時(shí)也要請(qǐng)求獲得客戶端的證書。3客戶端用效勞器致的信息驗(yàn)證效勞器身份。如果認(rèn)證不成

43、功，用戶將得到一個(gè)警告，然后加密數(shù)據(jù)連接將無(wú)法建立。如果成功，那么繼續(xù)下一步。4創(chuàng)立連接所用的預(yù)制秘密密鑰，并用效勞器的公鑰加密從第2步中傳送的效勞器證書中得到，傳送給效勞器。5如果效勞器也請(qǐng)求客戶端驗(yàn)證，那么客戶端將對(duì)用于建立加密連接使用的數(shù)據(jù)進(jìn)展簽名。把這次產(chǎn)生的加密數(shù)據(jù)和自己的證書同時(shí)傳送給效勞器用來(lái)產(chǎn)生預(yù)制秘密密鑰。6效勞器將試圖驗(yàn)證客戶端身份，如果客戶端不能獲得認(rèn)證，連接將被中止，如果被成功認(rèn)證，效勞器用自己的私鑰加密預(yù)制秘密密鑰，然后執(zhí)行一系列步驟產(chǎn)生主密鑰。7效勞器和客戶端同時(shí)產(chǎn)生SessionKey之后的所有數(shù)據(jù)都是用對(duì)稱密鑰算法來(lái)進(jìn)展交流的。8客戶端向效勞器致信息說明以后的所

44、有信息都將用SessionKey加密。至此，它會(huì)傳送一個(gè)單獨(dú)的信息標(biāo)識(shí)客戶端的握手局部己經(jīng)宣告完畢。9效勞器向客戶端致信息說明以后的所有信息都將用SessionKey加密。至此，它會(huì)傳送一個(gè)單獨(dú)的信息標(biāo)識(shí)效勞器端的握手局部已經(jīng)宣告完畢。10SSL握手過程成功完畢，一個(gè)SSL數(shù)據(jù)傳送過程建立。客戶端和效勞器開場(chǎng)用SessionKey加密、解密雙方交互的所有數(shù)據(jù)。10簡(jiǎn)述SET協(xié)議的工作過程。答：SET協(xié)議的工作過程為：1消費(fèi)者利用自己的PC機(jī)通過因特網(wǎng)選定所要購(gòu)置的物品，并在計(jì)算機(jī)上輸入訂貨單，訂貨單上包括在線商店、購(gòu)置物品名稱及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息。2通過電子商務(wù)效勞器與有關(guān)在線商店

45、聯(lián)系在線商店作出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)，交貨方式等信息是否準(zhǔn)確，是否有變化。3消費(fèi)者選擇付款方式，確認(rèn)訂單簽發(fā)付款指令此時(shí)SET開場(chǎng)介入。4在SET中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)展數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的XX信息。5在線商店承受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。6在線商店致訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來(lái)查詢。7在線商店致貨物或提供效勞并通知收單銀行將錢從消費(fèi)者的XX轉(zhuǎn)移到商店XX，或通知發(fā)卡銀行請(qǐng)求支付。在認(rèn)證操作和支付

46、操作中間一般會(huì)有一個(gè)時(shí)間間隔，例如，在每天的下班前請(qǐng)求銀行結(jié)一天的帳。11VPN具有哪些特點(diǎn)？答：VPN的特點(diǎn)有：1使用VPN專用網(wǎng)的構(gòu)建將使費(fèi)用大幅降低。VPN不需要像傳統(tǒng)的專用網(wǎng)那樣租用專線，設(shè)置大量的數(shù)據(jù)機(jī)或遠(yuǎn)程存取效勞器等設(shè)備。例如，遠(yuǎn)程訪問VPN用戶只需通過本地的信息效勞提供商ISP登錄到Internet上，就可以在他的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道，用這種Internet作為遠(yuǎn)程訪問的骨干網(wǎng)方案比傳統(tǒng)的方案如租用專線或遠(yuǎn)端撥號(hào)等更易實(shí)現(xiàn)，費(fèi)用更少。2VPN靈活性大。VPN方便更改網(wǎng)絡(luò)構(gòu)造，方便連接新的用戶和。3VPN易于管理維護(hù)。VPN中可以使用RADIUSRemoteAu

47、thenticDialInUserService來(lái)簡(jiǎn)化管理，使用RADIUS時(shí)，從管理上只需維護(hù)一個(gè)訪問權(quán)限的中心數(shù)據(jù)庫(kù)來(lái)簡(jiǎn)化用戶的認(rèn)證管理，無(wú)須同時(shí)管理地理上分散的遠(yuǎn)程訪問效勞器的訪問權(quán)限和用戶認(rèn)證。同時(shí)在VPN中，較少的網(wǎng)絡(luò)設(shè)備和線路也使網(wǎng)絡(luò)的維護(hù)較容易。12VPN的實(shí)現(xiàn)技術(shù)有哪幾種？答：VPN的實(shí)現(xiàn)技術(shù)有以下4種：(1)隧道協(xié)議(2)隧道效勞器(3)認(rèn)證(4)加密13簡(jiǎn)述構(gòu)建VPN的一般步驟。答：構(gòu)建VPN的一般步驟為：1架設(shè)VPN效勞器；2給用戶分配遠(yuǎn)程訪問的權(quán)限；3在VPN客戶端建立Internet連接；4在VPN客戶端建立VPN撥號(hào)連接；5VPN客戶端連上Internet并與VPN

48、效勞器建立連接。構(gòu)建好VPN之后可以從以下3個(gè)方面來(lái)驗(yàn)證是否已經(jīng)成功構(gòu)建了VPN：1構(gòu)建的VPN是否可以直接訪問內(nèi)網(wǎng)的計(jì)算機(jī)資源。2構(gòu)建的VPN是否可以訪問VPN效勞器的Internet接口。3驗(yàn)證數(shù)據(jù)在傳輸過程是否被加密，可以分別在內(nèi)網(wǎng)的計(jì)算機(jī)和VPN效勞器上安裝網(wǎng)絡(luò)監(jiān)視器，從外網(wǎng)發(fā)起訪問，捕獲并分析數(shù)據(jù)包是否被加密。第8章防火墻技術(shù)習(xí)題參考答案1簡(jiǎn)述防火墻的定義。答：防火墻是一種隔離控制技術(shù)。它是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的能夠提供網(wǎng)絡(luò)平安保障的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通訊進(jìn)展控制，按照統(tǒng)一的平安策略，阻止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)重要數(shù)據(jù)的訪問和非法存取，以到達(dá)保護(hù)系統(tǒng)平安的

49、目的。2防火墻的主要功能有哪些？又有哪些局限性？答：主要功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息。管理進(jìn)出網(wǎng)絡(luò)的訪問行為。便于集中平安保護(hù)。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)展監(jiān)控審計(jì)。實(shí)施NAT技術(shù)的理想平臺(tái)。局限性：防火墻不能防X不經(jīng)過防火墻的攻擊。防火墻不能防X網(wǎng)絡(luò)內(nèi)部的攻擊。防火墻不能防X內(nèi)部人員的泄密行為。防火墻不能防X因配置不當(dāng)或錯(cuò)誤配置引起的平安威脅。防火墻不能防X利用網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)展的攻擊。防火墻不能防X利用效勞器系統(tǒng)的漏洞進(jìn)展的攻擊。防火墻不能防X感染病毒文件的傳輸。防火墻不能防X本身平安漏洞的威脅。防火墻不能防X人為的或自然的破壞。3什么是堡壘主機(jī)？堡壘主機(jī)有哪幾種類型？堡壘主機(jī)的作用是什么？答：堡

50、壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的主機(jī)。根據(jù)不同的平安要求，有單宿主堡壘主機(jī)、雙宿主堡壘主機(jī)和受害堡壘主機(jī)3種類型。堡壘主機(jī)根本上都被放置在網(wǎng)絡(luò)的周邊或非軍事區(qū)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，從而把整個(gè)網(wǎng)絡(luò)的平安問題都集中在堡壘主機(jī)上解決。4什么是DMZ？為什么要設(shè)立DMZ？DMZ中一般放置哪些設(shè)備？答：DMZDemilitarizedZone，非軍事區(qū)或隔離區(qū)指為不信任系統(tǒng)效勞的孤立網(wǎng)段。它把內(nèi)部網(wǎng)絡(luò)中需要向外提供效勞的效勞器集中放置到一個(gè)單獨(dú)的網(wǎng)段，與內(nèi)部網(wǎng)絡(luò)隔離開，這個(gè)網(wǎng)段就是DMZ。它解決了需要公開的效勞與內(nèi)部網(wǎng)絡(luò)平安策略相矛盾的問題。DMZ區(qū)中一般放置堡壘主機(jī)、提供各種服務(wù)的效勞器和

51、Modem池。5屏蔽路由器體系構(gòu)造的優(yōu)缺點(diǎn)是什么？答：屏蔽路由器體系構(gòu)造的優(yōu)點(diǎn)是構(gòu)造簡(jiǎn)單，容易實(shí)現(xiàn)，本錢低廉。只需在邊界路由器中參加一個(gè)包過濾軟件就可以了，現(xiàn)在標(biāo)準(zhǔn)的路由器軟件中都包含有過濾功能；屏蔽路由器對(duì)用戶是透明的，無(wú)需修改、配置用戶主機(jī)。缺點(diǎn)是：不能識(shí)別不同的用戶；屏蔽路由器沒有較好的監(jiān)視和日志功能、報(bào)警功能，無(wú)法保存攻擊蹤跡，不易覺察入侵行為；依賴一個(gè)單一的設(shè)備保護(hù)系統(tǒng)的風(fēng)險(xiǎn)比擬大；被保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)的主機(jī)直接通信，使整個(gè)網(wǎng)絡(luò)受到威脅。6雙宿主主機(jī)體系構(gòu)造的特點(diǎn)有哪些？其主要的缺點(diǎn)是什么？答：雙宿主主機(jī)構(gòu)造是在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間放置一臺(tái)雙宿主堡壘主機(jī)作為防火墻。雙宿主

52、堡壘主機(jī)的兩個(gè)網(wǎng)卡分別連接內(nèi)、外部網(wǎng)絡(luò)，監(jiān)控過往數(shù)據(jù)。內(nèi)、外網(wǎng)絡(luò)通信必須經(jīng)過堡壘主機(jī)。堡壘主機(jī)不使用包過濾規(guī)那么，而是相當(dāng)于一個(gè)網(wǎng)關(guān)，割斷了兩個(gè)網(wǎng)絡(luò)IP層之間的直接通信。兩個(gè)網(wǎng)絡(luò)之間的通信是通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理效勞來(lái)實(shí)現(xiàn)。堡壘主機(jī)上運(yùn)行的防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供效勞等。雙宿主主機(jī)構(gòu)造主要的缺點(diǎn)是：一旦攻擊者侵入堡壘主機(jī)并使其具有路由功能，那么任何外部網(wǎng)絡(luò)用戶都可以隨便訪問內(nèi)部網(wǎng)絡(luò)。7包過濾技術(shù)的原理是什么？狀態(tài)檢測(cè)技術(shù)有哪些優(yōu)勢(shì)？答：包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)，其核心是包過濾算法的設(shè)計(jì)，也叫做平安策略設(shè)計(jì)。包過濾防火墻讀取流過它的每一個(gè)數(shù)據(jù)包的報(bào)頭信息，然后用預(yù)

53、先設(shè)定好的過濾規(guī)那么與之逐條匹配。匹配成功的數(shù)據(jù)包按照過濾規(guī)那么允許通過的被轉(zhuǎn)發(fā)，不允許通過的那么被丟棄。如果沒有一條過濾規(guī)那么與數(shù)據(jù)包報(bào)頭的信息匹配，防火墻會(huì)使用丟棄這一默認(rèn)規(guī)那么丟棄數(shù)據(jù)包。包過濾技術(shù)檢查數(shù)據(jù)包報(bào)頭的信息主要有：源IP地址、目的IP地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)、TCP標(biāo)志位、協(xié)議等。狀態(tài)檢測(cè)技術(shù)的優(yōu)點(diǎn)是：具有識(shí)別帶有欺騙性源IP地址包的能力；能夠提供詳細(xì)的日志；檢查的層面能夠從網(wǎng)絡(luò)層至應(yīng)用層。其缺點(diǎn)是可能會(huì)造成網(wǎng)絡(luò)連接的某種延時(shí)，特別是在有許多連接同時(shí)激活或有大量的過濾規(guī)那么存在時(shí)。但這種情況將隨著硬件運(yùn)行速度的不斷提升越來(lái)越不易覺察。8包過濾規(guī)那

54、么的建立要遵循哪些原那么？答：包過濾規(guī)那么的建立要遵循的原那么有：遵循“拒絕所有平安策略。利用防火墻先把內(nèi)、外網(wǎng)絡(luò)隔離，在隔離的根底上再有條件的開放，可以大大減少網(wǎng)絡(luò)平安危險(xiǎn)。規(guī)那么庫(kù)應(yīng)該阻止任何外部網(wǎng)絡(luò)用戶對(duì)位于防火墻后面的內(nèi)部網(wǎng)絡(luò)主機(jī)的訪問。但應(yīng)該放開對(duì)DMZ區(qū)應(yīng)用效勞器的訪問。規(guī)那么庫(kù)應(yīng)該允許內(nèi)部網(wǎng)絡(luò)用戶有限制的訪問外部網(wǎng)絡(luò)。9代理效勞技術(shù)的工作原理是什么？應(yīng)用層網(wǎng)關(guān)與電路層網(wǎng)關(guān)的區(qū)別是什么？答：代理效勞是指代表客戶處理連接請(qǐng)求的專用應(yīng)用程序，也可稱為代理效勞器程序。代理效勞器得到一個(gè)客戶的連接意圖時(shí)，先對(duì)客戶的請(qǐng)求進(jìn)展核實(shí)，并用特定的平安化的代理應(yīng)用程序處理連接請(qǐng)求，然后將處理后的請(qǐng)求

55、傳遞到真正的效勞器上，再接收真正效勞器的應(yīng)答，做進(jìn)一步處理后將答復(fù)交給發(fā)出請(qǐng)求的第一個(gè)客戶?？蛻魧?duì)代理效勞器中間的傳遞是沒有任何感覺的，還以為是直接訪問了效勞器。而對(duì)真正的效勞器來(lái)說也是看不到真正的客戶的，只看到代理效勞器，以為代理效勞器就是客戶。這樣代理效勞器對(duì)客戶就起到了保護(hù)作用。應(yīng)用層網(wǎng)關(guān)的核心技術(shù)就是代理效勞器技術(shù)，是基于軟件的，通常安裝在帶有操作系統(tǒng)的主機(jī)上。它通過代理技術(shù)參與到一個(gè)TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)；電路層網(wǎng)關(guān)也稱為TCP通道，它通過在TCP三次握手建立連接的過程中，檢查雙方的SYN、ASK和序列號(hào)是否符合邏輯，來(lái)判斷該請(qǐng)

56、求的會(huì)話是否合法。一旦網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就建立連接，并維護(hù)一X合法會(huì)話連接表，當(dāng)會(huì)話信息與表中的條目匹配時(shí)才允許數(shù)據(jù)包通過，會(huì)話完畢后，表中的條目就被刪除。電路層網(wǎng)關(guān)適用于多種協(xié)議，但不解釋應(yīng)用協(xié)議中的命令就建立了連接。10簡(jiǎn)述自適應(yīng)代理技術(shù)的工作原理。答：自適應(yīng)代理技術(shù)的組成有兩個(gè)根本要素：自適應(yīng)代理效勞器和動(dòng)態(tài)包過濾器。在自適應(yīng)代理與動(dòng)態(tài)包過濾器之間存在一個(gè)控制通道。初始的平安檢查仍在應(yīng)用層中進(jìn)展，保證傳統(tǒng)防火墻的最大平安性，一旦可信任的身份得到認(rèn)證，建立了平安通道，隨后的數(shù)據(jù)包就重新定向到網(wǎng)絡(luò)層傳輸。這里做定的仍然是代理。第9章入侵檢測(cè)技術(shù)習(xí)題參考答案1.什么是入侵檢測(cè)？什么是入侵檢

57、測(cè)系統(tǒng)？入侵檢測(cè)系統(tǒng)的功能有哪些？答：入侵檢測(cè)IntrusionDetection，ID就是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)展分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和遭到攻擊的跡象，同時(shí)做出響應(yīng)。入侵檢測(cè)系統(tǒng)IntrusionDetectionSystems，IDS是按照一定的平安策略，為系統(tǒng)建立的平安輔助系統(tǒng)；是完成入侵檢測(cè)功能的軟件、硬件的集合?？傮w來(lái)說其主要功能有：(1)用戶和系統(tǒng)行為的檢測(cè)和分析。(2)重要的系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估。(3)系統(tǒng)配置和漏洞的審計(jì)檢查。(4)異常行為模式的統(tǒng)計(jì)分析。(5)的攻擊行為模式的識(shí)別。(6)操作系統(tǒng)的審計(jì)跟

58、蹤管理及違反平安策略的用戶行為的識(shí)別。2.根據(jù)CIDF模型，入侵檢測(cè)系統(tǒng)一般由哪幾局部組成？各局部的作用是什么？答：CIDF模型的4個(gè)組件和各自的作用如下：(1)事件產(chǎn)生器EventGenerators,即信息獲取子系統(tǒng)，用于收集來(lái)自主機(jī)和網(wǎng)絡(luò)的事件信息，為檢測(cè)信息提供原始數(shù)據(jù)，并將這些事件轉(zhuǎn)換成CIDF的GIDO統(tǒng)一入侵檢測(cè)對(duì)象格式傳送給其他組件。(2)事件分析器EventAnalyzers,即分析子系統(tǒng)，是入侵檢測(cè)系統(tǒng)的核心局部。事件分析器分析從其他組件收到GIDO統(tǒng)一入侵檢測(cè)對(duì)象,并將產(chǎn)生的新GIDO統(tǒng)一入侵檢測(cè)對(duì)象再傳送給其他組件，用于對(duì)獲取的事件信息進(jìn)展分析，從而判斷是否有入侵行為發(fā)

59、生并檢測(cè)出具體的攻擊手段。(3)響應(yīng)單元ResponseUnits，即響應(yīng)控制子系統(tǒng)。響應(yīng)單元處理收到GIDO統(tǒng)一入侵檢測(cè)對(duì)象,用以向系統(tǒng)管理員報(bào)告分析結(jié)果并采取適當(dāng)?shù)南鄳?yīng)策略以響應(yīng)入侵行為。(4)事件數(shù)據(jù)庫(kù)EventDatabases，即數(shù)據(jù)庫(kù)子系統(tǒng)，用來(lái)存儲(chǔ)系統(tǒng)運(yùn)行的中間數(shù)據(jù)并進(jìn)展規(guī)那么匹配的平安知識(shí)庫(kù)。3.根據(jù)系統(tǒng)所檢測(cè)的對(duì)象分類，入侵檢測(cè)系統(tǒng)有哪些類型？各有何優(yōu)缺點(diǎn)？答：根據(jù)系統(tǒng)所檢測(cè)的對(duì)象分類：基于主機(jī)的入侵檢測(cè)系統(tǒng)Host-basedIDS，HIDS、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)Network-basedIDS，NIDS和混合入侵檢測(cè)系統(tǒng)HybridIDS，混合IDS。HIDS的優(yōu)點(diǎn)是：

60、主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息；HIDS通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低；HIDS可部署在那些不需要使用入侵檢測(cè)、傳感器與控制臺(tái)之間通信帶寬缺乏的情況；HIDS在不使用諸如“停頓效勞、“注銷用戶等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。HIDS缺點(diǎn)有：HIDS安裝在我們需要保護(hù)的設(shè)備上；HIDS依賴于效勞器固有的日志與監(jiān)視能力；全面部署HIDS代價(jià)較大；HIDS除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況；對(duì)入侵行為分析的工作量將隨著主機(jī)數(shù)目增加而增加。NIDS的優(yōu)點(diǎn)是：NIDS能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超出授權(quán)的非法訪問；一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變效