信息安全體系結(jié)構(gòu)課后答案

1、第一章 概述1. 比較體系結(jié)構(gòu)的各種定義，并說明這些定義之間的異同點(diǎn)，指出其共性要素。 一個(gè)體系結(jié)構(gòu)應(yīng)該包括一組組件以及組件之間的聯(lián)系。ANSI/IEEE STD 1471-2000 使用的體系結(jié)構(gòu)的定義是：一個(gè)系統(tǒng)的基本組織，通過組件、 組件之間和組件與環(huán)境之間的關(guān)系以及管理其設(shè)計(jì)和演變的原則具體體現(xiàn)。IEEE 的體系結(jié)構(gòu)計(jì)劃研究組指出，體系結(jié)構(gòu)可以被認(rèn)為是“組件 +連接關(guān)系 +約束規(guī)則” 。 “組件”等同于“元素” ，“組件之間和組件與環(huán)境之間的關(guān)系”等價(jià)于“關(guān)系/連接關(guān)系”。2. 分析體系結(jié)構(gòu)的六種基本模式各自的優(yōu)缺點(diǎn)，描述最常用的四種結(jié)構(gòu)的特點(diǎn)。六種基本模型各自的優(yōu)缺點(diǎn)：（1）管道和過

2、濾器：在這種模式下，每個(gè)組件具有輸入和輸出的數(shù)據(jù)流集合，整個(gè)系統(tǒng)可 以被看成多個(gè)過濾器復(fù)合形成的數(shù)據(jù)處理組件。如： shell 編程，編譯器。（ 2）數(shù)據(jù)抽象和面向?qū)ο螅?在這種模式下， 數(shù)據(jù)和數(shù)據(jù)上的操作被封裝成抽象數(shù)據(jù)類型或 者對(duì)象。系統(tǒng)由大量對(duì)象組成， 在物理上， 對(duì)象之間通過函數(shù)或者過程調(diào)用相互作用； 在邏輯上，對(duì)象之間通過集成、復(fù)合等方式實(shí)現(xiàn)設(shè)計(jì)的復(fù)用。（3）事件驅(qū)動(dòng)：在這種模式下，系統(tǒng)提供事件的創(chuàng)建和發(fā)布的機(jī)制，對(duì)象產(chǎn)生事件，對(duì)象 通過向系統(tǒng)注冊(cè)關(guān)注這個(gè)事件并由此觸發(fā)出相應(yīng)的行為或者產(chǎn)生新的事件。 如： GUI 的模型。（ 4）分層次： 這種模式將系統(tǒng)功能和組件分成不同的功能層次，

3、一般而言，只有最上層的組件和功能可以被系統(tǒng)外的使用者訪問， 只有相鄰的層次之間才能夠有函數(shù)調(diào)用。 如： ISO 的開放系統(tǒng)互聯(lián)參考模型。（5）知識(shí)庫： 這種模型使用一個(gè)中心數(shù)據(jù)結(jié)構(gòu)表示系統(tǒng)的當(dāng)前狀態(tài)，一組相互獨(dú)立的組件在中心數(shù)據(jù)庫上進(jìn)行操作。如：傳統(tǒng)的數(shù)據(jù)庫模型。（6）解釋器：這種模式提供面向領(lǐng)域的一組指令，系統(tǒng)解釋這種語言，產(chǎn)生相應(yīng)的行為， 用戶使用這種指令完成復(fù)雜的操作。最常用的四種結(jié)構(gòu)的特點(diǎn)： 嚴(yán)格的層次結(jié)構(gòu)：系統(tǒng)可以被清楚地分解成不同的層次功能。 事件驅(qū)動(dòng)的結(jié)構(gòu)：適用于對(duì)互操作性、特別是異構(gòu)環(huán)境下的互操作性要求高的情況。 知識(shí)庫的結(jié)構(gòu)：適用于以大量數(shù)據(jù)為核心的系統(tǒng)。 基于解釋器的結(jié)構(gòu)：

4、適用于應(yīng)用系統(tǒng)和用戶的交互非常復(fù)雜的情況。3. 比較信息安全體系結(jié)構(gòu)的各種定義，并說明這些定義之間的異同點(diǎn)。 信息系統(tǒng)的安全體系結(jié)構(gòu)是系統(tǒng)信息安全功能定義、設(shè)計(jì)、實(shí)施和驗(yàn)證的基礎(chǔ)。該體系結(jié) 構(gòu)應(yīng)該在反映整個(gè)信息系統(tǒng)安全策略的基礎(chǔ)上，描述該系統(tǒng)安全組件及其相關(guān)組件相互間 的邏輯關(guān)系與功能分配。信息系統(tǒng)的安全體系結(jié)構(gòu)是系統(tǒng)整體體系結(jié)構(gòu)描述的一部分，應(yīng)該包括一組相互依賴、協(xié) 作的安全功能相關(guān)元素的最高層描述與配置，這些元素共同實(shí)施系統(tǒng)的安全策略。4. 敘述 PDRR 模型。 信息安全保障明確了可用性、完整性、可認(rèn)證性、機(jī)密性和不可否認(rèn)性這五個(gè)基本的信息 安全屬性，提出了保護(hù)（Protect）、檢測(cè)（

5、Detect）、恢復(fù)（Restore）、響應(yīng)（React）四個(gè) 動(dòng) 態(tài)的信息安全環(huán)節(jié)，強(qiáng)調(diào)了信息安全保障的范疇不僅僅是對(duì)信息的保障，也包括對(duì)信息系 統(tǒng)的保障。5. 敘述信息安全保障的基本含義，闡述信息安全保障的基本要素。 信息安全保障明確定義為保護(hù)和防御信息及信息消系統(tǒng)，確保其可用性、 完整性、 機(jī)密性、可認(rèn)證性、不可否認(rèn)性等特性。這包括在信息系統(tǒng)中融入保護(hù)、檢測(cè)、響應(yīng)功能，并提供 信息系統(tǒng)的恢復(fù)功能。信息安全保障是對(duì)信息和信息系統(tǒng)的安全屬性及功能、效率進(jìn)行保障的動(dòng)態(tài)行為過程。 信息安全保障是人利用技術(shù)和管理來實(shí)現(xiàn)信息安全的一個(gè)過程。信息安全保障的基本要素是人、技術(shù)和管理。6. 敘述人、技術(shù)和

6、管理三個(gè)要素的基本含義及其相互關(guān)系。 人，包括信息安全保障目標(biāo)的實(shí)現(xiàn)過程中所有的相關(guān)人員。 技術(shù)，信息安全采用的技術(shù)，包括的要素有： IA 體系結(jié)構(gòu)， IA 準(zhǔn)則、對(duì)通過評(píng)估的產(chǎn)品 的采辦 /集成、系統(tǒng)風(fēng)險(xiǎn)評(píng)估 管理是對(duì)實(shí)現(xiàn)信息安全保障目標(biāo)負(fù)有責(zé)任的有關(guān)人員具有的管理職能。相互關(guān)系是：在實(shí)現(xiàn)信息安全保障目標(biāo)的過程中，三個(gè)要素相輔相成，缺一不可。7. 作為一個(gè)信息安全工作者，應(yīng)該遵循哪些道德規(guī)范？ 計(jì)算機(jī)道德規(guī)范的十條戒律第二章 信息安全體系結(jié)構(gòu)規(guī)劃與設(shè)計(jì)1. 簡(jiǎn)述網(wǎng)絡(luò)體系結(jié)構(gòu)與安全之間的關(guān)系，并敘述信息系統(tǒng)的基本內(nèi)涵。關(guān)系：越是大型的網(wǎng)絡(luò)，其結(jié)構(gòu)為復(fù)雜，涉及的人、技術(shù)、管理因素越多，可能存在的

7、隱 患也就越。 為了確保這些網(wǎng)絡(luò)的安全， 首先就要結(jié)合網(wǎng)絡(luò)使用的需要和網(wǎng)絡(luò)建設(shè)者的能力， 從設(shè)計(jì)之處開始準(zhǔn)確地判斷其信息安全需求，并在設(shè)計(jì)、實(shí)施、應(yīng)用和維護(hù)的全過程中， 結(jié)合有效地安全策略及其實(shí)施方法， 合理部署必要的信息安全產(chǎn)品， 將可能存在的風(fēng)險(xiǎn)控 制在可以接受的范圍之內(nèi)。信息系統(tǒng)的基本內(nèi)涵： 是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備， 設(shè)施構(gòu)成的， 按照一定的應(yīng) 用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。2. 畫圖說明物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全與安全管理六個(gè)層面之間 的邏輯關(guān)系。3. 簡(jiǎn)述物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全與安全管理六

8、個(gè)層面的主要安 全需求，并說明在一個(gè)信息系統(tǒng)中如何來平衡這些安全需求。物理安全需求主要包括： （ 1）物理位置的選擇（ 2）物理訪問控制（ 3）防盜竊和防破壞（4）防雷電（ 5）防火（ 6）防靜電（ 7）溫度與濕度控制（ 8）電力供應(yīng)（ 9）電磁防護(hù) 系統(tǒng)安全的安全需求： （ 1）操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)器安全需求（2）基于主機(jī)的入侵檢測(cè)（ 3）基于主機(jī)的漏洞掃描（ 4）基于主機(jī)的惡意代碼檢測(cè)與防范（ 5）基于主機(jī)的文件 完整性檢測(cè)（ 6）容災(zāi)、備份與恢復(fù)網(wǎng)絡(luò)安全的安全需求： （ 1）信息傳輸安全需求（ 2）網(wǎng)絡(luò)邊界防護(hù)安全需求（ 3）網(wǎng)絡(luò)上的 檢測(cè)與響應(yīng)安全需求數(shù)據(jù)安全的安全需求： （ 1

9、）數(shù)據(jù)機(jī)密性（ 2）數(shù)據(jù)完整性（ 3）數(shù)據(jù)可控性（ 4）數(shù)據(jù)的不可 否認(rèn)性（ 5）數(shù)據(jù)備份和恢復(fù)應(yīng)用安全的安全需求： （ 1）身份鑒別（ 2）安全標(biāo)記（ 3）訪問控制（ 4）可信路徑（ 5）安 全審計(jì)（ 6）剩余信息保護(hù)（ 7）通信完整性（ 8）通信機(jī)密性（ 9）不可否認(rèn)性（ 10）軟件 容錯(cuò)（ 11）資源控制安全管理的安全需求： （ 1）安全管理制度（ 2）安全管理機(jī)構(gòu)（ 3）人員安全管理（ 4）系統(tǒng) 建設(shè)管理（ 5）系統(tǒng)運(yùn)行維護(hù)管理4. 比較系統(tǒng)安全需求與網(wǎng)絡(luò)安全需求之間的異同點(diǎn)。 系統(tǒng)安全又稱主機(jī)系統(tǒng)安全，主要提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實(shí)現(xiàn) 操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安

10、全運(yùn)行，系統(tǒng)安全是保障信息系統(tǒng)安全的中堅(jiān)力量，系統(tǒng) 安全應(yīng)從身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息飽和、入侵防 范、惡意代碼防范和資源控制等方面考慮其安全性需求 網(wǎng)絡(luò)安全為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供了支持，一方面，確保網(wǎng)絡(luò)系統(tǒng)安 全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方面，確保在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的機(jī)密性、完整性和可 用性等。網(wǎng)絡(luò)安全應(yīng)從結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵檢測(cè)與防 范、惡意代碼檢測(cè)與防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面考慮其安全需求5. 談?wù)勛约簩?duì)信息安全體系結(jié)構(gòu)的設(shè)計(jì)原則的理解。6. 什么是安全策略？闡述安全策略的分類及其具體內(nèi)容。 安全策略是用一般

11、的術(shù)語對(duì)安全需求和屬性進(jìn)行描述，不涉及具體的實(shí)現(xiàn)過程。 安全策略分為管理性安全策略和技術(shù)性安全策略。管理性安全策略主要涉及內(nèi)部人員安全 策略，物理和環(huán)境安全策略，應(yīng)用操作中的輸入輸出介質(zhì)控制策略，應(yīng)急策略，硬件和系 統(tǒng)軟件維護(hù)控制策略，完整性控制策略， 歸檔策略，安全意識(shí)和培訓(xùn)策略， 事件響應(yīng)策略。 技術(shù)性安全策略主要涉及標(biāo)識(shí)和認(rèn)證策略，邏輯訪問控制策略，公共訪問控制策略，審計(jì) 追蹤策略。7. 論述安全需求與安全策略之間的關(guān)系。 安全需求既與安全策略的制定和安全等級(jí)的確定有關(guān)，又與信息安全技術(shù)和產(chǎn)品的特點(diǎn)有 關(guān)。安全策略是用一般的術(shù)語對(duì)安全需求和屬性進(jìn)行描述。8. 你認(rèn)為應(yīng)該從哪一個(gè)視角進(jìn)行信

12、息安全需求分析？第三章 信息安全技術(shù)支撐1. 密碼服務(wù)系統(tǒng)通常由哪些部件組成？這些部件各自的作用是什么？ 密碼服務(wù)系統(tǒng)由密碼芯片、 密碼模塊、 客戶端密碼服務(wù)設(shè)備、 服務(wù)器端密碼服務(wù)設(shè)備組成。 密碼芯片的作用是通過 RAM 傳輸模式、 FIFO 傳輸模式提供數(shù)據(jù)的交互。 密碼模塊的作用是用于 VPN 、鏈路密碼機(jī)等各種密碼服務(wù)設(shè)備，也可直接作為客戶端密 碼服務(wù)設(shè)備?？蛻舳嗣艽a服務(wù)設(shè)備的作用是提供終端密碼服務(wù)。服務(wù)器端密碼服務(wù)設(shè)備的作用是密鑰管理基礎(chǔ)設(shè)施（ KMI ）、公開密鑰基礎(chǔ)設(shè)施（ PKI ）、 安全管理設(shè)備、安全防護(hù)設(shè)備等，提供性能穩(wěn)定、功能強(qiáng)大的安全服務(wù)設(shè)備。2. 一個(gè)實(shí)際的應(yīng)用系統(tǒng)會(huì)

13、涉及哪些密碼應(yīng)用？ 密碼證書運(yùn)算；密鑰加密運(yùn)算；數(shù)據(jù)傳輸；數(shù)據(jù)存儲(chǔ)；數(shù)字簽名；消息摘要與驗(yàn)證；數(shù)字 信封3. 密碼服務(wù)系統(tǒng)接口的主要功能是什么？ 封裝硬件接口驅(qū)動(dòng)，包括各種操作系統(tǒng)平臺(tái)、硬件平臺(tái)的驅(qū)動(dòng)，必須具備良好的性能和兼 容性。同時(shí)提供基本密碼函數(shù)、密鑰管理接口調(diào)用，安全協(xié)議及模型則交由上層中間件進(jìn) 行封裝。4. 密鑰管理基礎(chǔ)設(shè)施主要有哪些功能？密鑰管理系統(tǒng)的邏輯組成主要有哪些部件？ 主要包括用戶注冊(cè)、密鑰下載、密鑰管理（生成、分發(fā)、存儲(chǔ)、銷毀、更新） 、密鑰協(xié)商、 系統(tǒng)日志和審計(jì)等功能。密鑰管理系統(tǒng)的邏輯組成主要有密鑰生成子系統(tǒng)、密鑰庫子系統(tǒng)、密鑰恢復(fù)子系統(tǒng)、密鑰 管理子系統(tǒng)和管理終端組

14、成。5. 請(qǐng)簡(jiǎn)要說明認(rèn)證體系的組成及其核心部件CA 的主要作用。認(rèn)證體系由數(shù)字證書認(rèn)證機(jī)構(gòu)（CA ）、數(shù)字證書審核注冊(cè)中心 （RA ）、密鑰管理中心（KMC ）、目錄服務(wù)系統(tǒng)、可信時(shí)間戳系統(tǒng)組成。CA 的主要作用是證書查詢驗(yàn)證服務(wù)。6. 什么是目錄服務(wù)？什么是目錄樹？認(rèn)證體系中的目錄服務(wù)通常采用什么協(xié)議？ 目錄服務(wù)是一種專門的數(shù)據(jù)庫，是軟件、硬件、策略以及管理的合成體，服務(wù)于各種應(yīng)用 程序。目錄樹是認(rèn)證體系中的目錄服務(wù)涉及輕量級(jí)目錄訪問協(xié)議（ Lightweight Directory Access Protocol ， LDAP ）和基于 X.500 的目錄。7. 簡(jiǎn)要描述認(rèn)證體系的三種基本

15、信任模型。 樹狀模型：各結(jié)點(diǎn)按照一定的層次關(guān)系（即上下級(jí)關(guān)系）組織在一起，任意兩個(gè)結(jié)點(diǎn)之間 都可以通過它們共同的上級(jí)結(jié)點(diǎn)（在整個(gè)樹狀模型中是唯一的）建立一條信任路徑。這種 模型對(duì)于層次結(jié)構(gòu)關(guān)系明確的應(yīng)用非常實(shí)用。信任鏈模型：各節(jié)點(diǎn)彼此間具有某種單一的信任關(guān)系，但并不具備層次關(guān)系。這種模型適 用于形式松散，但又彼此間存在信任關(guān)系的機(jī)構(gòu)。網(wǎng)狀模型：各結(jié)點(diǎn)相互之間存在的信任關(guān)系比較復(fù)雜，不是嚴(yán)格的層次關(guān)系，也不是單一 的信任鏈關(guān)系，而是呈現(xiàn)為錯(cuò)綜復(fù)雜的網(wǎng)狀關(guān)系。這種模型通常被用于不同行業(yè)的多個(gè)機(jī) 構(gòu)之間。8. 什么是交叉認(rèn)證？什么是橋 CA ？ 交叉認(rèn)證用于原先相互獨(dú)立的不同認(rèn)證體系的兩個(gè)結(jié)點(diǎn) CA

16、 之間，目的是在這些認(rèn)證體系 之間建立信任關(guān)系，實(shí)現(xiàn)方法是由這兩個(gè)結(jié)點(diǎn) CA 向?qū)Ψ降母?CA 簽發(fā)證書，從而支持這 兩個(gè)認(rèn)證體系之間的互操作。橋 CA 是交叉認(rèn)證的一個(gè)特例， 它與原先彼此獨(dú)立的各個(gè)信任體系的根節(jié)點(diǎn)進(jìn)行交叉認(rèn)證， 從而在這些根節(jié)點(diǎn)之間建立信任關(guān)系。9. 簡(jiǎn)要說明可信時(shí)間戳的組成。 時(shí)間服務(wù)器：通過國(guó)家授時(shí)中心為時(shí)間戳服務(wù)提供可信時(shí)間服務(wù)，監(jiān)控并校準(zhǔn)時(shí)間戳服務(wù) 器的時(shí)間。時(shí)間戳證據(jù)存儲(chǔ)服務(wù)器：安全存儲(chǔ)時(shí)間戳及其相關(guān)數(shù)據(jù)。 時(shí)間戳服務(wù)器：為請(qǐng)求數(shù)據(jù)簽發(fā)可信的時(shí)間戳。 密碼服務(wù)系統(tǒng)：為時(shí)間戳服務(wù)提供基本的密碼操作。10. 生物特征識(shí)別可以采用的生物特征有哪些？生物特征識(shí)別也是一種非

17、密碼的認(rèn)證方式。 目前可以采用的生物特征主要有： 指紋、 聲音、 虹膜、視網(wǎng)膜、手形、面部等。11. 簡(jiǎn)述授權(quán)體系的基本結(jié)構(gòu)，并詳述策略實(shí)施點(diǎn)和策略決策點(diǎn)的作用。策略實(shí)施點(diǎn)介于訪問者和目標(biāo)之間，當(dāng)訪問者申請(qǐng)?jiān)L問目標(biāo)時(shí)，策略實(shí)施點(diǎn)向策略決策點(diǎn) 申請(qǐng)授權(quán)，并根據(jù)授權(quán)決策的結(jié)果確定允許訪問目標(biāo)或拒絕訪問。策略決策點(diǎn)負(fù)責(zé)接收和評(píng)價(jià)授權(quán)請(qǐng)求。當(dāng)接收到一個(gè)授權(quán)請(qǐng)求時(shí)，它從策略倉庫中獲得策 略數(shù)據(jù)，并依據(jù)策略邏輯、訪問者的安全屬性和當(dāng)前條件進(jìn)行決策，然后將決策結(jié)果返回 給策略實(shí)施點(diǎn)。12. 簡(jiǎn)要說明容災(zāi)備份與故障恢復(fù)系統(tǒng)的運(yùn)作過程。（ 1）正常情況下， 業(yè)務(wù)處理只在主中心運(yùn)行；業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)的任何修改，實(shí)時(shí)

18、同步地復(fù) 制到備份中心。（ 2）當(dāng)主中心的某些子系統(tǒng)發(fā)生故障時(shí)， 系統(tǒng)會(huì)自動(dòng)地快速切換到主中心的其他設(shè)備， 確 保系統(tǒng)正常運(yùn)行。（ 3）當(dāng)災(zāi)難發(fā)生， 導(dǎo)致主中心整個(gè)系統(tǒng)癱瘓時(shí)， 能實(shí)時(shí)監(jiān)測(cè)到這種異常情況，及時(shí)向管理 員發(fā)送各種警報(bào)，并按照預(yù)定的規(guī)則在備份中心啟動(dòng)整個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)。（ 4）主中心系統(tǒng)恢復(fù)后， 可將備份中心的當(dāng)前數(shù)據(jù)復(fù)制回主中心，然后將業(yè)務(wù)處理從備份中心切換回主中心，備份中心重新回到備份狀態(tài)。13. 制定具體的備份策略必須遵循哪些原則？建立異地備份中心需要滿足什么基本要求？ 遵循的原則：（1）對(duì)所有的關(guān)鍵應(yīng)用，至少保證各種必要的熱備份機(jī)制。（ 2）對(duì)于所有應(yīng)用， 提供磁帶備份和恢復(fù)

19、機(jī)制， 保證系統(tǒng)能根據(jù)備份策略恢復(fù)至指定時(shí)間 的狀態(tài)。（3）對(duì)于操作系統(tǒng)和應(yīng)用程序代碼，在每次系統(tǒng)更新或安裝新軟件時(shí)做一次全備份。 （4）對(duì)一些關(guān)鍵數(shù)據(jù)，預(yù)先定義備份窗口大小，再根據(jù)備份數(shù)據(jù)計(jì)量所需的備份速度。（5）保存有過時(shí)數(shù)據(jù)的介質(zhì)可重新覆蓋使用。（ 6）根據(jù)介質(zhì)容量、 全備份、 增量備份和每種介質(zhì)的保留時(shí)間或輪換頻率計(jì)算出所需的介 質(zhì)數(shù)目。（ 7 ）備份好的介質(zhì)，運(yùn)輸?shù)絺浞葜行慕y(tǒng)一保存。 異地備份中心的建立需要滿足的要求“（1）備份中心與主中心之間的距離不小于500km 。（2）備份中心具備足夠的網(wǎng)絡(luò)帶寬，以便確保與主中心的數(shù)據(jù)保持同步。（3）備份中心要有足夠的處理能力，以便成功接管主中

20、心的業(yè)務(wù)。（4）備份中心與主中心的應(yīng)用切換必須快速可靠。14. 數(shù)據(jù)備份有幾種主要類型？實(shí)施數(shù)據(jù)備份的方式有哪幾種？ 數(shù)據(jù)備份有三種類型：安全備份、特別備份和增量備份。 數(shù)據(jù)備份的實(shí)現(xiàn)方式有：磁盤陣列，磁介質(zhì)備份/恢復(fù)系統(tǒng)，本地雙機(jī)熱備份系統(tǒng)。15. 進(jìn)行系統(tǒng)恢復(fù)有哪些主要措施？進(jìn)行數(shù)據(jù)恢復(fù)需要考慮哪些因素？ 系統(tǒng)恢復(fù)的措施主要有：群集配置；雙機(jī)熱備份；磁盤鏡像；故障恢復(fù)管理。 數(shù)據(jù)恢復(fù)需要考慮的兩個(gè)關(guān)鍵因素是數(shù)據(jù)恢復(fù)的過程和數(shù)據(jù)恢復(fù)所選的成本。16. 網(wǎng)關(guān)防病毒系統(tǒng)的功能要求主要是什么？ 高度的穩(wěn)定性；靈活部署的方式和能力；附帶內(nèi)容過濾和緊急處理能力；可擴(kuò)展性和可管 理性；管理界面和其他。1

21、7. 什么是入侵檢測(cè)？ CIDF 定義的五類入侵檢測(cè)系統(tǒng)構(gòu)件分別有什么作用？ 入侵檢測(cè)時(shí)指通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析， 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時(shí)做出響應(yīng)。 通用入侵檢測(cè)框架的 5 類構(gòu)件及其作用： 事件構(gòu)件：整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件具備一定的數(shù)據(jù)過 濾功能。分析構(gòu)件： 分析事件數(shù)據(jù)， 以及其他構(gòu)件的數(shù)據(jù)信息， 根據(jù)數(shù)據(jù)分析確定應(yīng)該采取的行動(dòng)。 數(shù)據(jù)庫構(gòu)件：對(duì)系統(tǒng)各個(gè)階段的數(shù)據(jù)進(jìn)行管理，在 IDS 中，數(shù)據(jù)量很大，數(shù)據(jù)的動(dòng)態(tài)性也 很強(qiáng)，同時(shí)因?yàn)榭紤]到系統(tǒng)的處理層次需要將數(shù)據(jù)用多種形式緩存，

22、所以必須 有一個(gè)數(shù)據(jù)庫構(gòu)件。響應(yīng)構(gòu)件：對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈 反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。目錄服務(wù)構(gòu)件：它用于各構(gòu)件定位其他構(gòu)件，更重要的是控制其他構(gòu)件傳遞的數(shù)據(jù)并認(rèn)證 其他構(gòu)件的使用，以防止 IDS 本身受到攻擊。18. 入侵檢測(cè)系統(tǒng)有幾種分類方法？基于行為的入侵檢測(cè)的基本原理是什么？入侵檢測(cè)系統(tǒng)分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于代理的入侵 檢測(cè)系統(tǒng)?；谛袨榈娜肭謾z測(cè)系統(tǒng)的基本原理是假定所有的入侵行為都是異常的。首先建立系統(tǒng)或 用戶的“正?！毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特 征輪廓來判斷是否

23、發(fā)生了入侵。19. 什么是中間件？它有什么特點(diǎn)？簡(jiǎn)要描述安全中間件的體系結(jié)構(gòu)。 中間件是一種獨(dú)立的系統(tǒng)軟件或服務(wù)程序，位于客戶機(jī) /服務(wù)器的操作系統(tǒng)之上，管理計(jì)算 資源和網(wǎng)絡(luò)通信。特點(diǎn)：安全性高，透明性高，適應(yīng)性強(qiáng)，可擴(kuò)展性強(qiáng)，維護(hù)量小，即插即用。20. WAP 的結(jié)構(gòu)與萬維網(wǎng)（ www ）的結(jié)構(gòu)有什么不同之處？WAP 結(jié)構(gòu)與萬維網(wǎng)（ www ）結(jié)構(gòu)有多類似的地方，最大的不同之處就在于在 WAP 的模型 中增加了 WAP 網(wǎng)關(guān)；移動(dòng)終端是通過 WAP 網(wǎng)關(guān)連接到有線網(wǎng)絡(luò)中的服務(wù)器上的。21. 簡(jiǎn)要說明 WAP 協(xié)議棧和有線網(wǎng)絡(luò)協(xié)議棧的聯(lián)系。22. WAP 的安全體系結(jié)構(gòu)中的 WPKI 具有什么

24、結(jié)構(gòu)？簡(jiǎn)要說明 WPKI 的工作流程。23.802.11b 協(xié)議的主要組件是什么？ ESSID 有什么作用？802.11b協(xié)議有兩個(gè)主要組件，即遠(yuǎn)程設(shè)備中的無線網(wǎng)絡(luò)接口卡（NIC ）和無線接入點(diǎn)（AP ）。ESSID 是接入點(diǎn)與無線 LAN 適配器之間一個(gè)共享的、明文方式的名稱，如果 LAN 適配器 與接入點(diǎn)的 ESSID 相同，就允許 LAN 適配器與接入點(diǎn)相連。24.保障 WLAN 的技術(shù)措施喲哪些？ 服務(wù)區(qū)標(biāo)識(shí)符匹配；無線網(wǎng)卡物理地址過濾；有線等效保密；端口訪問控制技術(shù)（IEEE802.1X）和可擴(kuò)展認(rèn)證協(xié)議（EAP）； WPA（ wi-fi保護(hù)訪問）技術(shù)；高級(jí)的無線局域網(wǎng)安 全標(biāo)準(zhǔn) I

25、EEE 802.11i第四章 主要信息安全產(chǎn)品1. 簡(jiǎn)要說明惡意代碼防范產(chǎn)品的發(fā)展趨勢(shì)。 智能關(guān)聯(lián)；告警泛濫抑制；告警融合；可信任防御模型。2. 依據(jù)防火墻的實(shí)現(xiàn)形式，它可以分為哪幾類？ 嵌入式防火墻；軟件防火墻；硬件防火墻；應(yīng)用程序防火墻。3. 防火墻采用了哪幾類技術(shù)？靜態(tài)分組過濾；動(dòng)態(tài)分組過濾；狀態(tài)過濾；代理服務(wù)器。4. 在網(wǎng)絡(luò)邊界上和網(wǎng)絡(luò)內(nèi)部部署防火墻，需要考慮的問題有什么不同？設(shè)置邊界防火墻的正確位置應(yīng)該在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可以有效地防范外部網(wǎng)絡(luò)的攻擊。源地址的過濾，拒絕外部非法 IP 地址訪問；制定訪問策略，只有被授權(quán)的外部主 機(jī)可以訪問內(nèi)網(wǎng)；外網(wǎng)對(duì) DMZ 區(qū)主機(jī)的所有訪問都要經(jīng)過防火墻，全面監(jiān)視外網(wǎng)對(duì)內(nèi)網(wǎng)的 訪問活動(dòng)，并詳細(xì)記錄；地址轉(zhuǎn)換，外網(wǎng)看不到內(nèi)網(wǎng)的結(jié)構(gòu)，黑客失去攻擊目標(biāo)。內(nèi)部防火墻精確制定每個(gè)用戶的訪問權(quán)限， 保證內(nèi)部網(wǎng)絡(luò)只能訪問必要的資源； 對(duì)于撥 號(hào)備份線路的連接， 通過強(qiáng)大的認(rèn)證功能， 實(shí)現(xiàn)對(duì)遠(yuǎn)程用戶的管理； 記錄網(wǎng)段間的訪問信息， 及時(shí)發(fā)現(xiàn)誤操作和