系統(tǒng)管理與維護(hù) Amis

1、題目填空題:密碼系統(tǒng)包括以下4個(gè)方面:明文空間,密文空間,密鑰空間和密碼算法解密算法D是加密算法E的逆運(yùn)算常規(guī)密碼密鑰體制又稱為:對(duì)稱密鑰密碼體制,是在公開(kāi)密鑰密碼體制以前使用的密碼體制若加密密鑰解密密鑰相同,則稱為對(duì)稱密鑰體制DES算法密鑰是64位,其中密鑰有效位56位RSA算法的安全是基于分解兩個(gè)大素?cái)?shù)的積的困難公開(kāi)密鑰加密算法的用途主要包括:密鑰分配數(shù)字簽名消息認(rèn)證是驗(yàn)證信息的完整性,即驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過(guò)程中是否被篡改、重放或延遲等MAC函數(shù)類似于加密，它與加密的區(qū)別是：mac函數(shù)不可逆HASH函數(shù)是可接受變長(zhǎng)數(shù)據(jù)輸入，并生成定長(zhǎng)數(shù)據(jù)輸出的函數(shù)0. 系統(tǒng)安全管理包含哪些基本內(nèi)容？ 1

2、信息安全的定義是什么？包含了哪3個(gè)基本原則，并分別解釋？（寫(xiě)英文加分）ISO給出的信息安全為定義：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護(hù)。保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞，更改、顯露”。 基本原則是：機(jī)密性，完整性，可用性機(jī)密性是指保證信息與信息系統(tǒng)不被非權(quán)限者所獲取與使用，主要保障技術(shù)是密碼技術(shù)。完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來(lái)源不被偽造，主要保障技術(shù)是校驗(yàn)與認(rèn)證技術(shù)?？捎眯允侵感畔⑴c信息系統(tǒng)可被授權(quán)人正常使用，主要保障技術(shù)是數(shù)據(jù)摘要和數(shù)字簽名技術(shù)。 （針對(duì)其的方法和保障？） 2簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象？（定義

3、，重要區(qū)別：信息泄露是否被發(fā)現(xiàn)，現(xiàn)象各列三點(diǎn)以上）主動(dòng)攻擊是攻擊者通過(guò)網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性，即通過(guò)中斷、偽造，篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無(wú)法正常運(yùn)行。被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息，是信息保密性遭到破壞，信息泄露而無(wú)法察覺(jué)，給用戶帶來(lái)?yè)p失。 3什么是序列密碼和分組密碼？序列密碼是一種對(duì)明文中的單個(gè)位。序列密碼是流密碼（stream cipher)，加密和解密每次只處理一個(gè)符號(hào)（如一個(gè)字符或一個(gè)比特）。加密規(guī)則不依賴于明文流中的明文字符的位置。則稱為單碼代換密碼；否則稱為多碼代換密碼。常見(jiàn)算法有Ve

4、rnam。分組密碼。（block cipher)將明文分成固定長(zhǎng)度的組。用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。 常見(jiàn)算法有DES，IDEA，RC6。4什么是MD5算法MD消息摘要算法是由Rivest提出，是當(dāng)前最為普遍的Hash算法，MD5是第5個(gè)版本，該算法以一個(gè)任意長(zhǎng)度的消息作為輸入，生成128位（無(wú)論輸入多長(zhǎng)，輸出都為128位）的消息摘要作為輸出，輸入消息是按512位的分組處理。通過(guò)比較信息在傳輸前后的MD5輸出值，可確認(rèn)信息內(nèi)容的完整性和一致性。 5 請(qǐng)解釋5種“非法訪問(wèn)”攻擊方式的含義。1）口令破解攻擊者可以通過(guò)獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來(lái)

5、獲得口令，也可以通過(guò)猜測(cè)或竊聽(tīng)等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問(wèn)，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2）IP欺騙攻擊者可通過(guò)偽裝成被信任源IP地址等方式來(lái)騙取目標(biāo)主機(jī)的信任，這主要針對(duì)Linux UNIX下建立起IP地址信任關(guān)系和主機(jī)實(shí)施欺騙。這也是黑客入侵中真正攻擊方式一種。3）DNS欺騙當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請(qǐng)求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被請(qǐng)求方，向請(qǐng)求方返回一個(gè)被篡改了的應(yīng)答（IP地址），將用戶引向黑客設(shè)定的主機(jī)。這也是黑客入侵中真正攻擊方式的一種。4）重放（Replay）攻擊在消息沒(méi)有時(shí)間戳

6、情況下，攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來(lái)，過(guò)一段時(shí)間后再發(fā)送出去。5）特洛伊木馬（Trojan Horse）把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽(tīng)某個(gè)不常用的端口，假冒登陸界面獲取帳號(hào)和口令等）。 （必考）安全服務(wù)需求和對(duì)應(yīng)的安全機(jī)制6 列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。鑒別: 用于鑒別實(shí)體的身份和對(duì)身份的證實(shí)，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種 訪問(wèn)控制：提供對(duì)越權(quán)使用資源的防御措施數(shù)據(jù)機(jī)密性針對(duì)信息泄露而采取的防御措施。分為連接機(jī)

7、密性、無(wú)連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等，分為帶恢復(fù)到連接完整性、無(wú)恢復(fù)到連接完整性、選擇字段的連接完整性、無(wú)連接完整性、選擇字段無(wú)連接完整性五種?？狗裾J(rèn)是針對(duì)對(duì)方否認(rèn)的防御措施，用來(lái)證實(shí)發(fā)生過(guò)的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的看否認(rèn)兩種。7 了解ISO/OSI中定義的8種特定的安全機(jī)制以及各種安全機(jī)制和安全服務(wù)的關(guān)系。安全服務(wù)可以單個(gè)使用，也可以組合起來(lái)使用，上述的安全服務(wù)可以借助以以下的安全機(jī)制來(lái)實(shí)現(xiàn)：加密機(jī)制：借助各種加密算法對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密數(shù)字簽名：使用私鑰簽名，公鑰進(jìn)行證實(shí)；訪問(wèn)控制機(jī)制：根

8、據(jù)訪問(wèn)者的身份和有關(guān)信息，決定實(shí)體的范圍權(quán)限數(shù)據(jù)完整性機(jī)制：判斷信息在傳輸過(guò)程中是否被篡改過(guò)鑒別交換機(jī)制：用來(lái)實(shí)現(xiàn)對(duì)等實(shí)體的鑒別通信業(yè)務(wù)填充機(jī)制：通過(guò)填充冗余的業(yè)務(wù)流量來(lái)防止攻擊者對(duì)流量進(jìn)行分析路由選擇控制機(jī)制：防止不利的信息通過(guò)路由，使用如網(wǎng)絡(luò)層防火墻公鑰機(jī)制：由第三方參與數(shù)字簽名，它基于通信雙方對(duì)第三方都絕對(duì)相信。OSI安全服務(wù)與安全機(jī)制的關(guān)系8 數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭(zhēng)端否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過(guò)某一報(bào)文偽造，接收方自己依靠一份報(bào)文，并聲稱它來(lái)自發(fā)送方冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文篡改，接收方對(duì)收到的信息進(jìn)行篡

9、改 9 請(qǐng)說(shuō)明數(shù)字簽名的主要流程。數(shù)字簽名通過(guò)如下的流程進(jìn)行 采用算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度的數(shù)字串，稱為報(bào)文摘要，不同的報(bào)文所行到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。（將內(nèi)容固定下來(lái)）發(fā)送方用自己的私有密鑰對(duì)摘要進(jìn)行加密來(lái)形成數(shù)字簽名。（將身份固定下來(lái)）這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方接收方首先對(duì)接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的分開(kāi)密鑰對(duì)報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能

10、確認(rèn)該簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是依靠的或者中途篡改。10 單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？用戶所知道的東西：如口令、密碼 用戶所擁有的東西：如智能卡，身份證用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等11 散列函數(shù)的基本性質(zhì)。 散列函數(shù)H必須具有性質(zhì)：H能用于任何長(zhǎng)度的數(shù)據(jù)分組；H產(chǎn)生定長(zhǎng)的輸出；對(duì)任何給定的x，H(x)要相對(duì)容易計(jì)算；對(duì)任何給定的碼h，尋找z使得H(x)=h 在計(jì)算上 是不可行的，稱為單向性；對(duì)任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計(jì)算上是不可行的，稱為弱抗沖突（Weak Collision Resistance）；尋找對(duì)

11、任何的(x,y)對(duì)，使得H(y)=H(x)在計(jì)算上是不可行的，稱為強(qiáng)抗沖突（Strong Collision Resistance）。（散列和MD5之間的相似性與區(qū)別看看）12 Kerberos鑒別過(guò)程用戶登錄工作站請(qǐng)求主機(jī)服務(wù)AS在數(shù)據(jù)庫(kù)中驗(yàn)證用戶的訪問(wèn)權(quán)限，生成票據(jù)許可票據(jù)和合適密鑰，采用用戶口令推導(dǎo)出的密鑰進(jìn)行加密。工作站提示用戶輸入口令收到的報(bào)文進(jìn)行解密，然后將票據(jù)許可票據(jù)和包含用戶名、網(wǎng)絡(luò)地址和時(shí)間戳的鑒別符發(fā)往TGS。TGS對(duì)票據(jù)和鑒別符進(jìn)行解密，驗(yàn)證請(qǐng)求，然后生成請(qǐng)求服務(wù)許可票據(jù)。工作站將票據(jù)和鑒別符發(fā)給服務(wù)器。服務(wù)器驗(yàn)證票據(jù)和鑒別符的匹配情況，然后許可訪問(wèn)服務(wù)，如果需要雙向鑒別

12、，服務(wù)器返回一個(gè)鑒別符。13 Web安全威脅 威脅后果對(duì)策完整性用戶數(shù)據(jù)修改丟失小席設(shè)備受損其他威脅的漏洞密碼校驗(yàn)和瀏覽器被惡意木馬侵入更改存儲(chǔ)更改傳輸中的消息流量機(jī)密性網(wǎng)上竊聽(tīng)信息丟失機(jī)密性丟失傳輸加密Web 代理從服務(wù)器竊取信息網(wǎng)絡(luò)配置信息關(guān)于特定用戶與服務(wù)會(huì)話信息拒絕服務(wù)殺死用戶線程斷網(wǎng)難以防范虛假請(qǐng)求耗盡可用資源網(wǎng)絡(luò)阻塞用無(wú)意義信息填滿磁盤(pán)或內(nèi)存阻止用戶正常應(yīng)用用DNS攻擊孤立機(jī)器 認(rèn)證假冒合法用戶假冒用戶身份鑒別技術(shù)加密技術(shù)偽造數(shù)據(jù)使虛假信息得以確認(rèn)SSL握手過(guò)程15 IPSec包含了哪3個(gè)最重要的協(xié)議？簡(jiǎn)述這3個(gè)協(xié)議的主要功能？IPSec眾多的RFC通過(guò)關(guān)系圖組織在一起，它包含了三

13、個(gè)最重要的協(xié)議：AH, ESP, IKE （1） AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無(wú)連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。數(shù)據(jù)完整性驗(yàn)證通過(guò)哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來(lái)保證；數(shù)據(jù)源身份認(rèn)證通過(guò)在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來(lái)實(shí)現(xiàn)，AH報(bào)頭中的序列號(hào)可以防止重放攻擊。 （2） ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對(duì)一個(gè)IP包進(jìn)行加密（整個(gè)IP包或其載荷部分），一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。

14、 AH和ESP可以單獨(dú)使用，也可以嵌套使用?？梢栽趦膳_(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），可者主機(jī)與安全網(wǎng)關(guān)之間使用。 （3） IKE負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成的會(huì)話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。 16 述IPSec的兩種運(yùn)行模式的性質(zhì)和不同？ 1. 傳輸模式 要保護(hù)的內(nèi)容是IP包的載荷，可能是TCP/UDP/ICMP等協(xié)議，還可能是AH/ESP協(xié)議（嵌套）。傳輸模式為上層協(xié)議提供安全保護(hù)，通常情況下，傳輸模式只適用于兩臺(tái)主機(jī)之間的安

15、全通信。 正常情況下，傳輸層數(shù)據(jù)包在IP中添加一個(gè)IP頭部構(gòu)成IP包。啟用IPSec之后，IPSec會(huì)在傳輸層數(shù)據(jù)前面增加AH/ESP或二者，構(gòu)成一個(gè)AH/ESP數(shù)據(jù)包，然后再添加IP善組成新的IP包。 2. 隧道模式 保護(hù)的內(nèi)容是整個(gè)原始IP包，為IP協(xié)議提供安全保護(hù)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)，就必須使用隧道模式。 路由器對(duì)需要進(jìn)行IPSec保護(hù)的原始IP包看作一個(gè)整體，作為要保護(hù)的內(nèi)容，前面加上AH/ESP頭部，再添加新IP頭部，組成新的IP包。 隧道模式的數(shù)據(jù)包有兩個(gè)IP頭：內(nèi)部頭由路由器背后的主機(jī)創(chuàng)建，外部頭由提供IPSec的設(shè)備（主機(jī)/路由器）創(chuàng)建。通信終點(diǎn)同受

16、保護(hù)的內(nèi)部頭指定，而IPSec終點(diǎn)則由外部頭指定。 AH輸入-輸出處理流程17 為什么說(shuō)AH的兩種運(yùn)行模式都不能穿越NAT（即為什么不能過(guò)網(wǎng)關(guān)）？ 在AH傳輸模式中，被AH驗(yàn)證的區(qū)域是整個(gè)IP 包（可變字段除外），包括IP 包頭部，因此源/目的IP 地址是不能修改的，否則會(huì)被檢測(cè)出來(lái)。然而如果該包在傳送過(guò)程中經(jīng)過(guò)NAT網(wǎng)關(guān)，其源/目的IP 地址將被改變，將造成到達(dá)目的地址后的完整性驗(yàn)證失敗。因此，AH在傳輸模式下和NAT是沖突的，不能同時(shí)使用，或者說(shuō)AH不能穿越NAT。 在AH隧道模式中，AH插入到原始IP頭部字段之前，然后再AH之前增加一個(gè)新的IP頭部。AH的驗(yàn)證范圍也是整個(gè)IP包，此時(shí)AH

17、也不能穿越NAT。17 說(shuō)明SSL的概念和功能。 安全套接層協(xié)議SSL主要是使用公開(kāi)密鑰體制和X509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。它是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL通過(guò)在瀏覽器軟件和Web服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在Inrernet中傳送的保密性。 在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。這使它可以獨(dú)立與應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在SSL之上。SSL協(xié)議包括以下一些

18、子協(xié)。立在可靠地傳輸協(xié)議（例如TCP）上，用來(lái)封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開(kāi)始傳輸數(shù)據(jù)前，能夠通過(guò)特定的加密算法互相鑒別。18 防火墻實(shí)現(xiàn)的靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾有什么不同？ 靜態(tài)包過(guò)濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難，如FTP、防火墻事先無(wú)法知道哪些端口需要打開(kāi)，就需要將所有可能用到的端口打開(kāi)，會(huì)給安全帶來(lái)不必要的隱患。 而狀態(tài)檢測(cè)通過(guò)檢查應(yīng)用程序信息（如FTP德PORT和PASV命令），來(lái)判斷此端口是否需要臨時(shí)打開(kāi)，而當(dāng)傳輸結(jié)束時(shí)，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。19 列舉防火墻的幾個(gè)基本功能？(答5點(diǎn)以上)隔離不同的網(wǎng)絡(luò)，限制安全問(wèn)題的擴(kuò)散，對(duì)安全集中管理，簡(jiǎn)化了安

19、全管理的復(fù)雜程度。防火墻可以方便地記錄網(wǎng)絡(luò)上各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報(bào)警。防火墻可以作為部署NAT的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。防火墻是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。防火墻可以作為IPSec的平臺(tái)。內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，比如防火墻可以從電子郵件中過(guò)濾掉垃圾郵件，可以過(guò)濾掉內(nèi)部用戶訪問(wèn)外部服務(wù)的圖片信息，只有代理服務(wù)器和先進(jìn)的過(guò)濾才能實(shí)現(xiàn)。20 防火墻有哪些局限性？網(wǎng)絡(luò)上有些攻擊可以繞過(guò)防火墻（如撥號(hào)）。防火墻不能防范來(lái)之內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻不

20、能對(duì)被病毒感染的程序和文件傳輸提供保護(hù)。防火墻不能防范全新的網(wǎng)絡(luò)威脅。當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制。防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸以及單點(diǎn)失效等問(wèn)題。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。有些表面無(wú)害的數(shù)據(jù)通過(guò)電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊。21 過(guò)濾防火墻的過(guò)濾原理是什么？（這個(gè)題目被刪了，考還是不考？）包過(guò)濾防火墻也稱分組過(guò)濾路由器，又叫網(wǎng)絡(luò)層防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層。路由器便是一個(gè)網(wǎng)絡(luò)層防火墻，因?yàn)榘^(guò)濾是路由器的固有屬性。它一般是通過(guò)檢查單個(gè)包的地址、協(xié)議、端口等信息來(lái)決定是否允許此數(shù)據(jù)包通過(guò)，有靜態(tài)和動(dòng)態(tài)兩種過(guò)濾方式。22 舉出

21、靜態(tài)包過(guò)濾的過(guò)濾的幾個(gè)判斷依據(jù)。靜態(tài)包過(guò)濾的判斷依據(jù)有（只考慮IP包）：數(shù)據(jù)包協(xié)議類型TCP、UDP、ICMP、IGMP等。源/目的IP地址。源/目的端口FTP、HTTP、DNS等。IP選項(xiàng)：源路由、記錄路由等。TCP選項(xiàng)：SYN、ACK、FIN、RST等。其他協(xié)議選項(xiàng)ICMP ECHO、ICMP REPLY等。數(shù)據(jù)包流向in或out。數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口eth0、eth1。23 什么是IDS，它有哪些基本功能？入侵檢測(cè)系統(tǒng)IDS，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的安全措施。1）監(jiān)測(cè)并分析用戶

22、和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補(bǔ)漏洞；3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為；5）操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等。24 IDS有哪兩類分析方法，并對(duì)兩者分析比較。1. 異常檢測(cè)假定所有入侵行為都是與正常行為不同的，如果建立系統(tǒng)正常行為的軌跡（特征文件Profiles），那么理論上可以通過(guò)統(tǒng)計(jì)那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)的數(shù)量，來(lái)識(shí)別入侵企圖，即把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。#Pnuts 紅色段落是后來(lái)被老師刪去的 例如，一個(gè)程序員的正?；顒?dòng)與一個(gè)打字員

23、的正?；顒?dòng)肯定不同，打字員常用的是編輯/打印文件等命令；而程序員則更多地使用編輯/編譯/調(diào)試/運(yùn)行等命令。 這樣根據(jù)各自不同的正?；顒?dòng)建立起來(lái)的特征文件，便具有用戶特性。入侵者使用正常用戶的賬號(hào)，但其行為并不會(huì)與正常用戶的行為相吻合，從而可以被檢測(cè)出來(lái)。對(duì)于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵，所以也被稱為基于行為（Behavebased）的檢測(cè)。2. 誤用探測(cè)（基于知識(shí)（Knowledgebased）檢測(cè)) 假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有

24、已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過(guò)分析入侵過(guò)程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。 誤用檢測(cè)系統(tǒng)的關(guān)鍵問(wèn)題是如何從已經(jīng)入侵中提取和編寫(xiě)特征，使得其能夠覆蓋該入侵的所有可能的變種，而同時(shí)不會(huì)匹配到非入侵活動(dòng)（把真正入侵與正常行為區(qū)分開(kāi)來(lái)）。25 SNMP 5個(gè)功能域1 配置管理收集和傳播有關(guān)資源當(dāng)前狀態(tài)的數(shù)據(jù)設(shè)置和修改與網(wǎng)絡(luò)組件有關(guān)的參數(shù)啟動(dòng)和關(guān)閉被管對(duì)象改變網(wǎng)絡(luò)配置2 失效管理發(fā)現(xiàn)和報(bào)告故障記錄接受到得事件報(bào)告，并進(jìn)行分析處理安排執(zhí)行診斷測(cè)試、失效跟蹤及失效恢復(fù)3 性能管理收集和傳播與資源性能的當(dāng)前水平相關(guān)的數(shù)據(jù)檢查和維護(hù)性能記錄，并進(jìn)行分析與規(guī)劃4 安全管理保證網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源不被非法使用保證網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)地訪問(wèn)5 計(jì)費(fèi)管理通知用戶有關(guān)費(fèi)用允許對(duì)被管理資源的使用設(shè)置計(jì)費(fèi)限制當(dāng)使用多種資源實(shí)現(xiàn)所需通信，可將各種費(fèi)用綜合26 分別解釋W(xué)indows 安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件27 Windows 2000 本地登陸過(guò)程1.輸入用戶名及密碼然后按回車 Graphical Identifiaction and Authentication (GINA)會(huì)收集這些信息。2.GINA傳送這些安全信息給Local Security Autho