《計算機(jī)信息安全技術(shù)》課后習(xí)題與參考答案

1、第1章計算機(jī)信息平安概述習(xí)題參考答案1.對計算機(jī)信息平安造成威脅的主要因素有哪些？答：影響計算機(jī)信息平安的因素有很多，主要有自然威脅和人為威脅兩種。自然威脅包括：自然災(zāi)害、惡劣的場地環(huán)境、物理損壞、設(shè)備故障、電磁輻射和電磁干擾等。人為威脅包括：無意威脅、有意威脅。自然威脅的共同特點是突發(fā)性、自然性、非針對性。這類不平安因素不僅對計算機(jī)信息平安造成威脅，而且嚴(yán)重威脅著整個計算機(jī)系統(tǒng)的平安，因為物理上的破壞很容易消滅整個計算機(jī)信息管理系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)。人為惡意攻擊有明顯的企圖，其危害性相當(dāng)大，給信息平安、系統(tǒng)平安帶來了巨大的威脅。人為惡意攻擊能得逞的原因是計算機(jī)系統(tǒng)本身有平安缺陷，如通信鏈路的缺陷

2、、電磁輻射的缺陷、引進(jìn)技術(shù)的缺陷、軟件漏洞、網(wǎng)絡(luò)效勞的漏洞等。2.計算機(jī)信息平安的特性有哪些？答：信息平安的特性有：完整性完整性是指信息在存儲或傳輸?shù)倪^程中保持未經(jīng)授權(quán)不能改變的特性，即對抗主動攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改和破壞。可用性可用性是指信息可被授權(quán)者訪問并按需求使用的特性，即保證合法用戶對信息和資源的使用不會被不合理地拒絕。對可用性的攻擊就是阻斷信息的合理使用。XX性XX性是指信息不被泄露給未經(jīng)授權(quán)者的特性，即對抗被動攻擊，以保證XX信息不會泄露給非法用戶或供其使用?？煽匦钥煽匦允侵笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力的特性。授權(quán)機(jī)構(gòu)可以隨時控制信息的XX性，能夠?qū)π畔?/p>

3、施平安監(jiān)控。不可否認(rèn)性不可否認(rèn)性也稱為不可抵賴性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。致方不能否認(rèn)已致的信息，接收方也不能否認(rèn)已收到的信息。3.計算機(jī)信息平安的對策有哪些？答：要全面地應(yīng)對計算機(jī)信息平安問題，建立一個立體的計算機(jī)信息平安保障體系，一般主要從三個層面來做工作，那就是技術(shù)、管理、人員。1技術(shù)保障指運(yùn)用一系列技術(shù)層面的措施來保障信息系統(tǒng)的平安運(yùn)營，檢測、預(yù)防、應(yīng)對信息平安問題。2管理保障有如下措施：貫徹標(biāo)準(zhǔn)的IT治理方案。建立平安的基線配置。建立一個標(biāo)準(zhǔn)的事件響應(yīng)流程。3人員保障建立專門的應(yīng)急響應(yīng)小組。對員工進(jìn)展平安意識培訓(xùn)。建立一定的和信息安全相關(guān)鼓勵機(jī)制4.ISO

4、7498-2標(biāo)準(zhǔn)包含哪些內(nèi)容？答：ISO7498-2標(biāo)準(zhǔn)包括五類平安效勞以及提供這些效勞所需要的八類平安機(jī)制。ISO7498-2確定的五大類平安效勞，即鑒別效勞、訪問控制效勞、數(shù)據(jù)XX性效勞、數(shù)據(jù)完整性服務(wù)和制止否認(rèn)效勞。ISO7498-2標(biāo)準(zhǔn)確定的八大類平安機(jī)制，即：加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)填充機(jī)制、路由控制機(jī)制和公證機(jī)制。5.怎樣實現(xiàn)計算機(jī)信息平安？答：計算機(jī)信息平安主要包括三個方面：技術(shù)平安、管理平安和相應(yīng)的政策法律。平安管理是信息平安中具有能動性的組成局部；大多數(shù)平安事件和平安隱患的發(fā)生，并非完全是技術(shù)上的原因，而往往是由于管理不善而造成

5、的；法律法規(guī)是保護(hù)計算機(jī)信息平安的最終手段。所以我們在實際的操作中要盡量保證技術(shù)平安，加強(qiáng)監(jiān)視管理，制定完善的法律、法規(guī)和規(guī)章制度并嚴(yán)格執(zhí)行。要根據(jù)計算機(jī)信息平安的內(nèi)容，采取適當(dāng)?shù)拇胧?、技術(shù)來保證網(wǎng)絡(luò)和信息的XX性、完整性和可用性等信息平安特性；這樣也就實現(xiàn)了計算機(jī)信息平安。6.簡述對計算機(jī)信息平安的理解和認(rèn)識。答案略提示：可以主要從計算機(jī)信息的平安特性，計算機(jī)信息平安研究的內(nèi)容，技術(shù)平安、管理平安、政策法律等方面進(jìn)展探討。第12章軟件保護(hù)技術(shù)習(xí)題參考答案1.軟件保護(hù)經(jīng)歷了哪些階段？各有什么特點？答：軟件保護(hù)大致經(jīng)歷了3個階段：DOS時代、Windows時代、互聯(lián)網(wǎng)時代。各個階段的特點如下：1

6、DOS時代在DOS時代，軟盤是軟件流通的主要載體，軟盤保護(hù)也就成了軟件保護(hù)的主要方式。軟盤保護(hù)簡單、易實現(xiàn)、本錢低，成為軟件商得力的助手。在這一時期，還出現(xiàn)過一種密碼本保護(hù)模式，國內(nèi)在這個時期出現(xiàn)了卡保護(hù)技術(shù)。2Windows時代原有的軟盤保護(hù)技術(shù)被淘汰，保護(hù)鎖技術(shù)早在DOS時代就已經(jīng)存在了，但直到這個階段，才得到重視，保護(hù)鎖技術(shù)慢慢成為軟件保護(hù)的主流技術(shù)。Windows時代光盤保護(hù)技術(shù)也成為了關(guān)注的新焦點，光盤保護(hù)主要適用于批量大、軟件生命周期短的產(chǎn)品。3互聯(lián)網(wǎng)時代互聯(lián)網(wǎng)時代軟件注冊機(jī)制成為共享軟件的主流保護(hù)手段。針對軟件注冊機(jī)制中出現(xiàn)的軟件注冊信息被隨意擴(kuò)散的問題，有人提出了許可證保護(hù)方式

7、。該方式是對軟件注冊機(jī)制的一種改進(jìn)，把原來的“一人一碼的方式改成“一機(jī)一碼。2.簡述軟件保護(hù)的根本要求。答：軟件保護(hù)的目的主要有兩個：一是防止軟件被非法復(fù)制，二是防止軟件被非法使用和修改。為了到達(dá)這兩個目的，軟件保護(hù)必須滿足3個根本要求：反拷貝、反靜態(tài)分析和反動態(tài)跟蹤。3.除了文中提到的軟件保護(hù)技術(shù)，還有沒有其他軟件保護(hù)技術(shù)？試查詢并作簡要描述。答案：略。4.簡述軟件加殼的目的。答：軟件加殼的目的有兩個：一是對受保護(hù)的程序進(jìn)展保護(hù)，防止軟件的相關(guān)信息泄露，同時加殼技術(shù)中往往集成了反跟蹤、反內(nèi)存補(bǔ)丁、反dump等技術(shù)，可以有效防止軟件被反編譯和修改；二是對受保護(hù)的程序進(jìn)展壓縮，節(jié)省存儲空間，便于

8、快速傳輸。5.查詢有關(guān)脫殼的資料，并進(jìn)展加殼與脫殼練習(xí)。答案：略。第2章數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)技術(shù)習(xí)題參考答案：1數(shù)據(jù)備份的定義是什么？答：數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保存，創(chuàng)立數(shù)據(jù)的副本。一旦原始數(shù)據(jù)被刪除、覆蓋或由于故障而無法訪問時，可以利用副本恢復(fù)喪失或損壞的數(shù)據(jù)。2數(shù)據(jù)備份的目的是什么？答：備份技術(shù)的目的是將整個系統(tǒng)的數(shù)據(jù)或狀態(tài)保存下來，這樣不僅可以挽回硬件設(shè)備損壞帶來的損失，還可以挽回邏輯錯誤和人為惡意破壞造成的損失。一般來說，數(shù)據(jù)備份技術(shù)并不保證系統(tǒng)的實時可用性，一旦意外發(fā)生，備份技術(shù)只保證數(shù)據(jù)可以恢復(fù)，但是在恢復(fù)期間，系統(tǒng)是不可以用的。3簡要描述RAID0模式。答：RAID0模式

9、,也稱冗余無校驗磁盤陣列,把數(shù)據(jù)分散到多塊硬盤上進(jìn)展并行存儲，在進(jìn)展數(shù)據(jù)存取時，能同時對這幾個磁盤進(jìn)展存儲訪問，通過并行存儲來提高磁盤的整體數(shù)據(jù)傳輸速度。組成RAID0的單個磁盤驅(qū)動器數(shù)量越多，數(shù)據(jù)傳輸速度就越快。但它的缺點是沒有容錯功能，一旦有任何一塊磁盤損壞，將造成整個數(shù)據(jù)的不完整而無法使用。4比擬RAID3模式與RAID5模式的優(yōu)缺點。答：RAID3模式，奇偶校驗并行交織陣列，也被稱為帶有專用奇偶位的條帶，每個條帶上都有一塊空間用來有效存儲冗余信息，即奇偶位。奇偶位是數(shù)據(jù)編碼信息，如果某個磁盤發(fā)生故障，可以用來恢復(fù)數(shù)據(jù)。即使有多個數(shù)據(jù)盤，也只能使用一個校驗盤，采用奇偶校驗的方法檢查錯誤。

10、RAID5模式，循環(huán)奇偶校驗磁盤陣列，也被稱為帶分布式奇偶位的條帶，每個條帶上都有一塊空間被用來存放奇偶位。與RAID3不同的是，RAID5把奇偶位信息分布在所有的磁盤上。盡管有一些容量上的損失，但RAID5能提供最正確的整體性能。RAID3比擬適合大文件類型，如視頻編輯、大型數(shù)據(jù)庫等；RAID5比擬適合較小文件的應(yīng)用，如文字、小型數(shù)據(jù)庫等。5什么是DAS直接連接存儲？答：DAS(DirectAttachedStorage)就是將傳統(tǒng)的效勞器與存儲設(shè)備直接連接的存儲方式。DAS的存儲設(shè)備與效勞器之間的數(shù)據(jù)傳輸通道是固定和專用的，通常有IDE、SCSI、光纖通道、USB通道等。DAS系統(tǒng)可以是一

11、個單獨的硬盤，一個RAID磁盤陣列或其它存儲設(shè)備。每一臺效勞器只能管理和訪問與之相連的存儲設(shè)備，但不能實現(xiàn)與其它主機(jī)共享數(shù)據(jù)傳輸端口，只能依靠存儲設(shè)備本身為主機(jī)提供數(shù)據(jù)服務(wù)。6NAS構(gòu)造和SAN構(gòu)造的主要區(qū)別有哪些？答：NAS構(gòu)造和SAN構(gòu)造的主要區(qū)別有：SAN是一種網(wǎng)絡(luò)，NAS產(chǎn)品是一個專有文件效勞器或一個只能文件訪問的設(shè)備。SAN是只能獨享的數(shù)據(jù)存儲池，NAS是共享與獨享兼顧的數(shù)據(jù)存儲池。SAN設(shè)備是基于數(shù)據(jù)塊訪問的，而NAS設(shè)備是基于文件訪問的。NAS產(chǎn)品能通過SAN連接到存儲設(shè)備。SAN的本錢高，系統(tǒng)復(fù)雜度高；而NAS的本錢低，系統(tǒng)復(fù)雜度低。7什么是數(shù)據(jù)恢復(fù)？答：數(shù)據(jù)恢復(fù)就是把遭受破壞

12、、由于硬件缺陷導(dǎo)致不可能訪問、不可獲得、由于誤操作等各種原因?qū)е聠适У臄?shù)據(jù)復(fù)原成正常數(shù)據(jù)的過程。8簡述恢復(fù)硬盤數(shù)據(jù)的步驟。答：硬盤恢復(fù)就是在硬盤上的系統(tǒng)文件受到嚴(yán)重破壞的情況下，用已備份的映像文件恢復(fù)被破壞的硬盤。由于在恢復(fù)過程中，目標(biāo)盤上所有的文件、數(shù)據(jù)將全部喪失，因此在恢復(fù)之前，一定要將重要數(shù)據(jù)備份下來。硬盤恢復(fù)過程如下：1執(zhí)行Ghost程序，在Ghost窗口中依次執(zhí)行LocalDiskFromImage命令，啟動硬盤恢復(fù)功能。2在映像文件選擇窗口中，選擇需要復(fù)原的映像文件所在的硬盤或分區(qū)的路徑和映像文件名；在彈出的目標(biāo)硬盤窗口中，選擇要復(fù)原的目標(biāo)硬盤或分區(qū)；單擊OK按鈕，Ghost程序?qū)?/p>

13、會把保存在映像文件中的數(shù)據(jù)復(fù)原到目標(biāo)硬盤上，包括分區(qū)、文件系統(tǒng)和用戶數(shù)據(jù)等。9試用Ghost軟件備份系統(tǒng)盤。答案：略10試用EasyRecovery恢復(fù)喪失的文件。答案：略第3章密碼技術(shù)習(xí)題參考答案1什么是密碼技術(shù)？密碼技術(shù)的開展經(jīng)歷了哪幾個階段？答：密碼學(xué)是研究信息系統(tǒng)平安XX的科學(xué)，具體研究數(shù)據(jù)的加密、解密及變換，是密碼編碼學(xué)(使消息XX的科學(xué)與技術(shù))和密碼分析學(xué)(破譯密文的科學(xué)與技術(shù))的總稱。密碼學(xué)的開展可劃分為三個階段：第一階段為從古代到1949年。這一時期可以看作是科學(xué)密碼學(xué)的前夜時期，主要代表有棋盤密碼和凱撒密碼。第二階段為從1949年到1975年。這段時期密碼學(xué)理論的研究工作進(jìn)展

14、不大，公開的密碼學(xué)文獻(xiàn)很少。Shannon發(fā)表的“XX系統(tǒng)的信息理論為私鑰密碼系統(tǒng)建立了理論根底，從此密碼學(xué)開展成為一門具有藝術(shù)性的科學(xué)。第三階段為從1976年至今。美國斯坦福大學(xué)的迪菲Diffie和赫爾曼(Hellman)兩人發(fā)表的“密碼學(xué)的新動向一文導(dǎo)致了密碼學(xué)上的一場革命，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元。2.密碼體制的組成和分類有哪些？答：通常情況下，一個密碼體制由5個局部組成：明文信息空間M；密文信息空間C；密鑰空間K；加密變換Ek:MC，其中kK；解密變換Dk：CM，其中kK。密碼體制分為對稱密鑰密碼技術(shù)(私鑰加密)和非對稱密鑰密碼技術(shù)(公鑰加密)。對稱密鑰密碼體制從加密模式上可分為序

15、列密碼和分組密碼兩大類；非對稱密碼體制加密使用兩個不同的密鑰：一個公共密鑰和一個專用密鑰。公共密鑰加密算法主要有：RSA算法、背包算法、橢圓曲線算法等。3.什么是對稱密碼體制和非對稱密碼體制？兩者有何區(qū)別和聯(lián)系？答：對稱傳統(tǒng)密碼體制是從傳統(tǒng)的簡單換位、代替密碼開展而來的。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。1976年，Diffie、Hellman、Merkle分別提出了非對稱密碼體制的思想，這種密碼體制不同于傳統(tǒng)的對稱密鑰密碼體制，它要求使用兩個不同的密鑰：一個公共密鑰和一個專用密鑰。用戶首先要保障專用密鑰的平安，公共密鑰那么可以公開發(fā)布信息。因公共密鑰與專用密鑰是嚴(yán)密

16、聯(lián)系的，用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。除加密功能外，公鑰系統(tǒng)還可以提供數(shù)字簽名。公共密鑰加密算法主要有：RSA算法、背包算法、橢圓曲線算法等。對稱密碼體制和非對稱密碼體制兩者的區(qū)別和聯(lián)系如下：對稱密碼體制和非對稱密碼體制是密碼體制的兩種不同的分類。對稱密碼體制是應(yīng)用較早的密碼體制，技術(shù)成熟。在對稱密碼體制中，使用的密鑰只有一個，發(fā)收信雙方都使用這個密鑰對數(shù)據(jù)進(jìn)展加密和解密，這就要求解密方事先必須知道加密密鑰。對稱密碼體制的特點是算法公開、計算量小、加密速度快、加密效率高。缺乏之處是交易雙方都使用同樣密鑰，平安性得不到保證。密鑰管理成為了用戶的負(fù)擔(dān)。對稱密碼體制在分布式網(wǎng)絡(luò)系

17、統(tǒng)上使用較為困難，主要是因為密鑰管理困難，使用本錢較高。非對稱密碼體制使用兩把完全不同但又是完全匹配的一對鑰匙公鑰和私鑰。在使用非對稱密碼體制加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。由于非對稱密碼體制擁有兩個密鑰，特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。4.比擬DES密碼算法和三重DES算法。答：DES密碼是一種采用傳統(tǒng)加密方法的第一個分組密碼，是目前應(yīng)用最廣泛的分組對稱密碼算法，開展至今已成為工業(yè)界的標(biāo)準(zhǔn)密碼算法。DES加密算法屬于密鑰加密算法對稱算法，輸入的是64比特的明文組，在64比特密鑰的控制下產(chǎn)生64比特的密文。64比特的密鑰中含有8個比特的奇偶校驗位，所

18、以實際有效密鑰的長度為56比特。DES解密算法輸入的是64比特的密文，輸出64比特的明文，解密算法與加密算法一樣，只是將密鑰組的使用次序反過來。DES解密算法與DES加密算法根本一樣，不同之處在于DES解密時使用的密鑰順序與DES加密過程中密鑰的使用順序剛好相反，其他各參數(shù)及算法均一樣。DES現(xiàn)在已經(jīng)不被視為一種平安的加密算法，因為它使用的56位密鑰過短。針對56位密鑰長度的DES算法不平安的因素，人們提出了多重DES算法，主要有雙重DES及三重DES。三重DES加密主要有4種工作模式，分別如下。1DES-EEE3模式：共使用三個不同的密鑰，并順次使用三次DES加密算法。2DES-EDE3模式

19、：共使用三個不同的密鑰，依次使用“加密-解密-加密這樣一個復(fù)合加密過程。加密解密表達(dá)式為：C=Ek3Dk2Ek1PP=Dk1Ek2Dk3P3DES-EEE2模式：順序使用三次DES加密算法，其中第一次和第三次使用的密鑰一樣，即加密解密表達(dá)式為：C=Ek1Ek2Ek1PP=Dk1Dk2Dk1P4DES-EDE2模式，依次使用“加密-解密-加密算法，其中第一次和第三次使用的密鑰一樣，加密解密表達(dá)式為：C=Ek1Dk2Ek1PP=Dk1Ek2Dk1P5.IDEA算法的工作原理是什么？答：IDEA算法是對稱密碼體制中的一種基于數(shù)據(jù)塊的分組加密算法，整個算法包含子密鑰產(chǎn)生、數(shù)據(jù)加密過程、數(shù)據(jù)解密過程三個

20、局部。該算法規(guī)定明文塊與密文塊均為64比特，密鑰長度為128比特，加密與解密算法一樣，只是密鑰各異，其根本工作原理如下列圖所示。密鑰發(fā)生器明文加密器E解密器D密文IDEA工作原理6.簡述RSA算法的優(yōu)點和缺點。答：RSA算法的優(yōu)點：1RSA算法是第一個能同時用于加密和數(shù)字簽名的算法，也易于理解和操作。普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。2RSA算法的加密密鑰和加密算法分開，使得密鑰分配更為方便。它特別符合計算機(jī)網(wǎng)絡(luò)環(huán)境。3RSA算法解決了大量網(wǎng)絡(luò)用戶密鑰管理的難題，這是公鑰密碼系統(tǒng)相對于對稱密碼系統(tǒng)最為突出的優(yōu)點。RSA算法的缺點:(1)產(chǎn)生密鑰很麻煩，受到素數(shù)產(chǎn)生技術(shù)的限制，難以做到一次一密

21、。(2)RSA的平安性依賴于大數(shù)的因子分解。但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價，而且密碼學(xué)界多數(shù)人士傾向于因子分解不是問題。(3)加解密速度太慢。由于RSA算法的分組長度太大，為保證平安性，n至少也要600比特以上，這樣使運(yùn)算代價很高，尤其是加解密速度較慢，較對稱密碼算法慢幾個數(shù)量級；而且隨著大數(shù)分解技術(shù)的開展，n的長度還在增加，不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。第4章數(shù)字簽名與認(rèn)證技術(shù)習(xí)題參考答案1.什么是數(shù)字簽名技術(shù)？它的實現(xiàn)方法有哪些？答：數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完

22、整性并保護(hù)數(shù)據(jù)，防止被人偽造。它是對電子形式的消息進(jìn)展簽名的一種方法，一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸。實現(xiàn)數(shù)字簽名有很多方法，從整體上來說分為兩類：用非對稱加密算法進(jìn)展數(shù)字簽名和用對稱加密算法進(jìn)展數(shù)字簽名。2.常見的口令攻擊技術(shù)有哪些？答：常見的口令攻擊方式有3種，即從用戶主機(jī)中獲取口令，在通信線路上截獲口令，從遠(yuǎn)端系統(tǒng)中破解口令。常見的口令攻擊方法有：社會工程學(xué)、猜想攻擊、字典攻擊、窮舉攻擊、混合攻擊、直接破解系統(tǒng)口令文件、嗅探器、鍵盤記錄器。3.什么是生物特征識別技術(shù)？列舉生活中常見的生物特征識別技術(shù)。答：生物識別技術(shù)是指利用人體生物特征進(jìn)展身份認(rèn)證的一種技術(shù)。具體來說，生物特征識別技

23、術(shù)就是通過計算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特性和行為特征來進(jìn)展個人身份的鑒定。生活中常見的生物特征識別技術(shù)有：指紋識別、虹膜識別、面部識別、手型識別。4.什么是指紋識別？簡述其工作原理。答：指紋識別指通過比擬不同指紋的細(xì)節(jié)特征來進(jìn)展鑒別。由于每個人的指紋不同，就是同一人的十指之間，指紋也有明顯區(qū)別，因此指紋可用于身份鑒定。指紋識別的原理步驟如下：1集?。菏紫壤弥讣y掃描器，將指紋的圖形及其他相關(guān)特征集取下來。2演算：將圖形及相關(guān)特征，運(yùn)用程序進(jìn)展運(yùn)算及統(tǒng)計，找出該指紋具有所謂“人人不同且終身不變的特性的相關(guān)特征點，并將其數(shù)位化。3傳送：將數(shù)

24、位化的指紋特征在電腦上運(yùn)用各種方式傳送，不管是其傳送方式或加解密方式，均仍保存該特性。4驗證：傳送過來的數(shù)據(jù)再經(jīng)運(yùn)算、驗證其與資料庫中比對資料的相似程度。如果到達(dá)一定到達(dá)一定程度以上的統(tǒng)計相似度、差異在某種極低的幾率以下，即可代表這是由本人傳送過來的指紋數(shù)據(jù)。故只要符合上述原理，中間無任何轉(zhuǎn)換上的漏失且在一定的比對值以上，均可確認(rèn)是本人的指紋。5.什么是虹膜識別？簡述其工作原理。答：虹膜身份識別技術(shù)即利用虹膜圖像進(jìn)展自動虹膜識別，它是一項創(chuàng)新技術(shù)，它涉及現(xiàn)代數(shù)學(xué)、信號處理、模式識別、圖像處理等多個領(lǐng)域，是當(dāng)今國際計算機(jī)應(yīng)用領(lǐng)域前沿性的研究課題之一。虹膜識別的工作原理為：1由一個專用的攝像頭拍攝

25、虹膜圖像。2專用的轉(zhuǎn)換算法會將虹膜的可視特征轉(zhuǎn)換成一個512字節(jié)長度的虹膜代碼。3識別系統(tǒng)將生成的代碼與代碼庫中的虹膜代碼進(jìn)展逐一比擬，當(dāng)相似率超過某個邊界值一般是67%時，系統(tǒng)判定檢測者的身份與某個樣本相符，而如果相似程度低于這個邊界值，系統(tǒng)就會認(rèn)為檢測者的身份與該樣本預(yù)期身份不符合，進(jìn)入下一輪的比擬。第5章信息隱藏技術(shù)習(xí)題參考答案1什么是信息隱藏？答：信息隱藏，也叫數(shù)據(jù)隱藏。簡單地說，信息隱藏就是將秘密信息隱藏于另一非XX的載體之中，載體可以是圖像、音頻、視頻、文本，也可以是信道，甚至編碼體制或整個系統(tǒng)。廣義的信息隱藏包括隱寫術(shù)、數(shù)字水印、數(shù)字指紋、隱藏信道、閾下信道、低截獲概率和匿名通信

26、等。從狹義上看，信息隱藏就是將一個XX信息隱藏于另一個公開的信息中，然后通過公開信息的傳輸來傳遞XX信息。狹義的信息隱藏通常指隱寫術(shù)和數(shù)字水印以及數(shù)字指紋。2簡述幾種典型的信息隱藏技術(shù)。答：典型的信息隱藏技術(shù)包括時域替換技術(shù)、變換域技術(shù)和可視密碼技術(shù)。時域替換技術(shù)的根本原理是用秘密信息比特替換掉封面信息中不重要的局部，以到達(dá)對秘密信息進(jìn)展編碼的目的。時域替換技術(shù)具有較大的隱藏信息量容納性和不可見性透明性，但穩(wěn)健性魯棒性較弱。這種技術(shù)比擬有代表性的是最不重要比特位LSB方法。變換域技術(shù)的根本原理是將秘密信息嵌入到數(shù)字作品的某一變換域中。這種技術(shù)比時域替換技術(shù)能更有效地抵御攻擊，并且還保持了對人的

27、不易覺察性。變換域方法具有較強(qiáng)的不可見性和穩(wěn)健性，是目前應(yīng)用很廣泛的算法。但變換域技術(shù)的復(fù)雜性和技術(shù)性與時域替換技術(shù)相比都要更高?？梢暶艽a技術(shù)是Naor和Shamir于1994年首次提出的，其主要特點是恢復(fù)秘密圖像時不需要任何復(fù)雜的密碼學(xué)計算，而是以人的視覺即可將秘密圖像區(qū)分出來。3.信息隱藏技術(shù)有哪些特點？答：信息隱藏技術(shù)通常有以下特點：1透明性或不可感知性2魯棒性3平安性4不可檢測性5自恢復(fù)性6嵌入強(qiáng)度信息量4什么是數(shù)字水?。看穑簲?shù)字水印是利用人類感知器官的不敏感特性以及多媒體數(shù)據(jù)中存在的冗余，通過一定的算法將秘密信息隱藏到宿主信息中，且水印的添加不會影響原數(shù)據(jù)的內(nèi)容和正常使用。嵌入到多媒

28、體數(shù)據(jù)中的信息可以是數(shù)字、序列號、文字、圖像標(biāo)志等，以起到保護(hù)、標(biāo)識產(chǎn)品、秘密通信、驗證歸屬權(quán)、鑒別數(shù)據(jù)真?zhèn)蔚茸饔谩Ｒ话闱闆r下秘密消息需要經(jīng)過適當(dāng)變換后才能嵌入到數(shù)字作品中，通常把經(jīng)過變換的秘密信息叫做數(shù)字水印。5數(shù)字水印有哪些特性？答：數(shù)字水印的特性有：1有效性2逼真度3數(shù)據(jù)容量4盲檢測與明檢測5虛檢率6魯棒性7平安性。6簡述數(shù)字水印的幾種典型算法。答：數(shù)字水印的典型算法有：1最低有效位算法LSB最低有效位算法是第一個數(shù)字水印算法，是一種典型的空間域信息隱藏算法。LSB算法雖然可隱藏較多的信息，但隱藏的信息可以被輕易移去，無法滿足數(shù)字水印的魯棒性要求，因此現(xiàn)在的數(shù)字水印軟件已經(jīng)很少采用LSB

29、算法。(2)Patchwork算法Patchwork算法主要用于打印票據(jù)的防偽。Patchwork算法隱藏在特定圖像區(qū)域的統(tǒng)計特性中，其魯棒性很強(qiáng)，可以有效地抵御剪切、灰度校正、有損壓縮等攻擊，其缺陷是數(shù)據(jù)量較低，抵抗力較弱。3DCT變換域數(shù)字水印算法DCT變換域數(shù)字水印是目前研究最多的一種數(shù)字水印，它具有魯棒性強(qiáng)、隱蔽性好的特點。其主要思想是在圖像的DCT變換域上選擇中低頻系數(shù)疊加水印信息。4直接序列擴(kuò)頻水印算法該算法是擴(kuò)頻通信技術(shù)在數(shù)字水印中的應(yīng)用。擴(kuò)頻通信將待傳遞的信息通過擴(kuò)頻碼調(diào)制后散布于非常寬的頻帶中，使其具有偽隨機(jī)特性。收信方通過相應(yīng)的擴(kuò)頻碼進(jìn)展解擴(kuò)，獲得真正的傳輸信息。擴(kuò)頻通信具

30、有抗干擾性強(qiáng)、高度XX的特性。7數(shù)字視頻水印的嵌入算法有哪些？答：數(shù)字視頻水印的嵌入算法很多，可以分為兩大類：在原始視頻中嵌入水印和在壓縮視頻流中嵌入水印。在原始視頻中嵌入水印的方法又可以分為在空間域嵌入水印和在變換頻率域嵌入水印。在壓縮視頻中嵌入水印一般考慮MPEG編碼標(biāo)準(zhǔn)。在MPEG編碼標(biāo)準(zhǔn)中，有3種圖像類型：內(nèi)部編碼幀(I幀)、前向預(yù)測幀(P幀)和雙向預(yù)測幀(B幀)。8.視頻水印攻擊分為哪幾類？答：目前視頻水印的攻擊主要有以下4種情況：1簡單攻擊2檢測失效攻擊3“混淆攻擊4移去水印攻擊。第6章計算機(jī)病毒防X技術(shù)習(xí)題參考答案1.簡述計算機(jī)病毒的定義和特征。答：計算機(jī)病毒的定義：廣義上，能夠

31、引起計算機(jī)故障，破壞計算機(jī)數(shù)據(jù)的程序都可稱為計算機(jī)病毒；狹義上，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自主復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒主要有以下幾種特征：破壞性、傳染性、隱蔽性、寄生性、潛伏性、可觸發(fā)性、針對性、不可預(yù)見性。2.計算機(jī)病毒由哪些模塊組成？各模塊有什么功能？答：計算機(jī)病毒程序一般由三大模塊組成：引導(dǎo)模塊、傳染模塊、破壞/表現(xiàn)模塊。各模塊的功能：引導(dǎo)模塊的作用是把計算機(jī)病毒由外存引入到內(nèi)存，使傳染模塊和破壞模塊處于活動狀態(tài)；計算機(jī)病毒的傳染模塊主要是將計算機(jī)病毒傳染到其他對象上去。破壞/表現(xiàn)模塊的主要作用是實施計算機(jī)病毒的破

32、壞/表現(xiàn)功能，是計算機(jī)病毒的主體模塊，它負(fù)責(zé)實施計算機(jī)病毒的破壞/表現(xiàn)動作，這些動作可能是破壞文件、損壞數(shù)據(jù)或占用系統(tǒng)資源等，干擾系統(tǒng)正常運(yùn)行，甚至造成系統(tǒng)癱瘓。3.簡述宏病毒的工作機(jī)制，以及去除宏病毒的方法。答：宏病毒利用宏語言VBA，VisualBasicForApplication編寫，宏病毒不傳染可執(zhí)行文件，而是將特定的宏命令代碼附加在指定的文檔文件上，當(dāng)翻開帶有宏病毒的文檔文件時，宏病毒就會被激活，并轉(zhuǎn)移到計算機(jī)中，駐留在Normal模板上，執(zhí)行宏的時候，會將這些命令或動作激活。所有自動保存的文檔都會“感染上這種宏病毒。宏病毒通過文檔文件的翻開或關(guān)閉操作來獲得系統(tǒng)的控制權(quán)，實現(xiàn)宏病毒

33、在不同文檔文件之間的共享和傳遞，到達(dá)傳染的目的。去除宏病毒有兩種方法：1手工刪除宏：翻開微軟辦公自動化系列軟件中的宏管理器工具宏M宏M管理器G，將不明來源的自動執(zhí)行宏刪除即可。2使用殺毒軟件去除：目前的殺毒軟件都具備去除宏病毒的能力，可利用殺毒軟件對文檔文件進(jìn)展殺毒，以去除宏病毒。4.計算機(jī)病毒的常用診斷檢測方法有哪些？答：計算機(jī)病毒的常用診斷檢測方法有：特征碼法、校驗和法、行為監(jiān)測法、軟件模擬法、VICE先知掃描法等。5.網(wǎng)絡(luò)病毒有哪些特征？怎樣防X網(wǎng)絡(luò)病毒？答：網(wǎng)絡(luò)病毒的特征有：1傳播方式多樣化2傳播速度更快3難以徹底去除4破壞性更大5網(wǎng)絡(luò)病毒觸發(fā)條件的多樣化6潛在的危險更大。在網(wǎng)絡(luò)操作系

34、統(tǒng)中一般提供了目錄和文件訪問權(quán)限與屬性兩種平安措施，屬性優(yōu)先于訪問權(quán)限?？梢愿鶕?jù)用戶對目錄和文件的操作能力分別分配不同的訪問權(quán)限和屬性，比方對于公用目錄中的系統(tǒng)文件和工具軟件，只設(shè)置成只讀屬性；系統(tǒng)程序所在的目錄不授權(quán)修改權(quán)和超級用戶權(quán)。這樣，計算機(jī)病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳?，其他的用戶也不會感染病毒。網(wǎng)絡(luò)上公用目錄或共享目錄的平安性措施對于防止計算機(jī)病毒在網(wǎng)上傳播起到了積極作用，采用基于網(wǎng)絡(luò)目錄和文件平安性的方法對防止網(wǎng)絡(luò)病毒也起到了一定的作用。防X網(wǎng)絡(luò)病毒要充分利用網(wǎng)絡(luò)操作系統(tǒng)本身所提供的平安保護(hù)措施，加強(qiáng)網(wǎng)絡(luò)平安管理，做好網(wǎng)絡(luò)病毒的預(yù)防工作，以減小網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)用戶所造成的危害。

35、6.如何去除計算機(jī)病毒？答：常用的去除計算機(jī)病毒的方法有：1殺毒軟件去除法2主引導(dǎo)區(qū)信息恢復(fù)法當(dāng)計算機(jī)系統(tǒng)感染上引導(dǎo)型病毒時，可采用備份的主引導(dǎo)扇區(qū)文件進(jìn)行覆蓋，從而恢復(fù)主引導(dǎo)扇區(qū)信息。3程序覆蓋法適合于文件型病毒，一旦發(fā)現(xiàn)某些程序或文件被感染了文件型病毒，可重新安裝該程序，安裝過程根據(jù)提示信息對所有文件進(jìn)展覆蓋，即可去除病毒。4格式化磁盤法是最徹底的去除計算機(jī)病毒的方法。對于一些較頑固的計算機(jī)病毒，只能采用格式化或者低級格式化磁盤的方法來進(jìn)展去除。5手工去除法適合于所有的計算機(jī)病毒，特別是對那些新出現(xiàn)的未知的計算機(jī)病毒，不過這種方法要求的專業(yè)性稍高一些，一般適用于計算機(jī)類專業(yè)人員操作。7.試

36、為你所在學(xué)校的校園網(wǎng)制定平安的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)？答案略提示：根據(jù)所在學(xué)校校園網(wǎng)的開展規(guī)模和實際情況制定相應(yīng)的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。第7章網(wǎng)絡(luò)攻擊與防X技術(shù)習(xí)題參考答案：1網(wǎng)絡(luò)監(jiān)聽的原理是什么？答：在一個實際的局域網(wǎng)絡(luò)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的，網(wǎng)卡內(nèi)的單片程序解析數(shù)據(jù)幀中的目的MAC地址，并根據(jù)網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收，如果該接收，就接收數(shù)據(jù)，同時產(chǎn)生中斷信號通知CPU，否那么丟棄。如果將網(wǎng)卡的工作模式設(shè)置為“混雜模式，那么網(wǎng)卡將承受所有傳遞給它的數(shù)據(jù)包，這就是網(wǎng)絡(luò)監(jiān)聽的根本原理。2網(wǎng)絡(luò)監(jiān)聽的防X和檢測有哪幾種方式？答：1采用ARPAddressResolutionProtocol，地

37、址解析協(xié)議技術(shù)進(jìn)展檢測。2采用DNS技術(shù)進(jìn)展檢測。3采用網(wǎng)絡(luò)和主機(jī)響應(yīng)時間測試的方法進(jìn)展檢測。3緩沖區(qū)溢出攻擊的防X分哪幾個步驟？答：緩沖區(qū)溢出攻擊的防X分兩個步驟：1將攻擊代碼植入被攻擊程序中；2使被攻擊程序跳轉(zhuǎn)到植入的攻擊代碼處執(zhí)行。4IP欺騙攻擊的原理是什么？答：IP欺騙，簡單來說就是向目標(biāo)主機(jī)致源地址為非本機(jī)IP地址的數(shù)據(jù)包。5簡述IP欺騙攻擊的步驟。答：IP欺騙的攻擊步驟如以下所示：(1)假設(shè)Z企圖攻擊A，而A信任B。(2)假設(shè)Z已經(jīng)知道了被信任的B，就使用某種方法使B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。(3)Z對A當(dāng)前的ISN號進(jìn)展取樣。Z還要知道A當(dāng)前的TCP的初始順序號IS

38、N。Z首先與A的一個端口建立一個正常的，如主機(jī)Z的25端口，并記錄A的ISN，以及Z到A的大致往返時間RTTRoundTripTime。通常，這個過程要重復(fù)屢次以便求出RTT的平均值和存儲最后致的ISN。在Z知道了A的ISN基值和增加規(guī)律比方ISN每秒增加128000，每次增加64000后，也知道了從Z到A需要的RTT/2的時間。這時必須立即進(jìn)展攻擊，否那么在這之間會有其它主機(jī)與A，ISN將比預(yù)料的多出64000。(4)Z向A致帶有SYN標(biāo)志的數(shù)據(jù)段請求，只是源IP改成了B，B因為遭受到Z的攻擊，已經(jīng)無法響應(yīng)。(5)Z等待一會兒，讓A有足夠時間致SYN+ACK數(shù)據(jù)Z看不到這個包。然后Z再次偽裝

39、成B向A致ACK數(shù)據(jù)包，此時致的數(shù)據(jù)段帶有Z預(yù)測的A的ISN+1。如果Z的預(yù)測準(zhǔn)確，A將會接收ACK，Z與A的連接建立，數(shù)據(jù)傳送開場，Z就可以使用命令對A進(jìn)展非授權(quán)操作。6如何防XDoS和DDoS攻擊？答：1在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，制止那些不必要的網(wǎng)絡(luò)效勞。建立邊界平安界限，確保輸出的數(shù)據(jù)包能夠受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的平安日志。2用網(wǎng)絡(luò)平安設(shè)備如防火墻來加固網(wǎng)絡(luò)的平安性，配置好這些設(shè)備的平安規(guī)那么，過濾掉所有可能的偽造數(shù)據(jù)包。3網(wǎng)絡(luò)效勞提供商協(xié)調(diào)工作，讓網(wǎng)絡(luò)效勞提供商幫助實現(xiàn)路由的訪問控制和對帶寬總量的限制。4用戶發(fā)現(xiàn)自己正在遭受DDoS攻擊時，應(yīng)

40、當(dāng)啟動自己的應(yīng)對策略，盡可能快地追蹤攻擊包，并且及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他結(jié)點，從而阻擋從攻擊結(jié)點的流量。5如果用戶是潛在的DDoS攻擊受害者，并且發(fā)現(xiàn)自己的計算機(jī)被攻擊者用作受控效勞器端和攻擊效勞器端時，用戶不能因為自己的系統(tǒng)暫時沒有受到損害而掉以輕心。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，將會對用戶的系統(tǒng)產(chǎn)生一個很大的威脅。所以用戶只要發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它去除，以免留下后患。7S/MIME提供哪些功能？答：S/MIME提供以下功能：1封裝數(shù)據(jù)：加密內(nèi)容和加密密鑰2簽名數(shù)據(jù)：致者對消息進(jìn)展簽名，并用私鑰加密，對消息和簽名都使用base64

41、編碼，簽名后的消息只有使用S/MIME的接收者才能閱讀。3透明簽名數(shù)據(jù)：致者對消息簽名，但只有簽名使用base64編碼，接收者即使沒有使用S/MIME，也可以閱讀消息內(nèi)容，但不能驗證簽名。4簽名和封裝數(shù)據(jù)：加密后的數(shù)據(jù)可以再簽名，簽名和透明簽名過的數(shù)據(jù)可以再加密。8IPSec平安體系構(gòu)造中包括了哪幾種最根本的協(xié)議？答：IPSec平安體系構(gòu)造中包括以下3種最根本的協(xié)議：1認(rèn)證頭AHAuthenticationHeader協(xié)議為IP包提供信息源認(rèn)證和完整性保證。2封裝平安ESPEncapsulatingSecurityPayload協(xié)議提供加密保證。3Internet平安協(xié)會和密鑰管理ISAKMP

42、InternetSecurityAssociationandKeyManagementProtocol協(xié)議提供雙方交流時的共享平安信息，它支持IPSec協(xié)議的密鑰管理要求。9簡述SSL傳輸數(shù)據(jù)的過程。答：SSL傳輸數(shù)據(jù)的過程為：1客戶端向效勞器端致客戶端SSL版本號、加密算法設(shè)置、隨機(jī)產(chǎn)生的數(shù)據(jù)和其他效勞器需要用于跟客戶端通訊的數(shù)據(jù)。2效勞器向客戶端致效勞器的SSL版本號、加密算法設(shè)置、隨機(jī)產(chǎn)生的數(shù)據(jù)和其他客戶端需要用于跟效勞器通訊的數(shù)據(jù)。另外，效勞器還要致自己的證書，如果客戶端正在請求需要認(rèn)證的信息，那么效勞器同時也要請求獲得客戶端的證書。3客戶端用效勞器致的信息驗證效勞器身份。如果認(rèn)證不成

43、功，用戶將得到一個警告，然后加密數(shù)據(jù)連接將無法建立。如果成功，那么繼續(xù)下一步。4創(chuàng)立連接所用的預(yù)制秘密密鑰，并用效勞器的公鑰加密從第2步中傳送的效勞器證書中得到，傳送給效勞器。5如果效勞器也請求客戶端驗證，那么客戶端將對用于建立加密連接使用的數(shù)據(jù)進(jìn)展簽名。把這次產(chǎn)生的加密數(shù)據(jù)和自己的證書同時傳送給效勞器用來產(chǎn)生預(yù)制秘密密鑰。6效勞器將試圖驗證客戶端身份，如果客戶端不能獲得認(rèn)證，連接將被中止，如果被成功認(rèn)證，效勞器用自己的私鑰加密預(yù)制秘密密鑰，然后執(zhí)行一系列步驟產(chǎn)生主密鑰。7效勞器和客戶端同時產(chǎn)生SessionKey之后的所有數(shù)據(jù)都是用對稱密鑰算法來進(jìn)展交流的。8客戶端向效勞器致信息說明以后的所

44、有信息都將用SessionKey加密。至此，它會傳送一個單獨的信息標(biāo)識客戶端的握手局部己經(jīng)宣告完畢。9效勞器向客戶端致信息說明以后的所有信息都將用SessionKey加密。至此，它會傳送一個單獨的信息標(biāo)識效勞器端的握手局部已經(jīng)宣告完畢。10SSL握手過程成功完畢，一個SSL數(shù)據(jù)傳送過程建立?？蛻舳撕托谄鏖_場用SessionKey加密、解密雙方交互的所有數(shù)據(jù)。10簡述SET協(xié)議的工作過程。答：SET協(xié)議的工作過程為：1消費者利用自己的PC機(jī)通過因特網(wǎng)選定所要購置的物品，并在計算機(jī)上輸入訂貨單，訂貨單上包括在線商店、購置物品名稱及數(shù)量、交貨時間及地點等相關(guān)信息。2通過電子商務(wù)效勞器與有關(guān)在線商店

45、聯(lián)系在線商店作出應(yīng)答，告訴消費者所填訂貨單的貨物單價、應(yīng)付款數(shù)，交貨方式等信息是否準(zhǔn)確，是否有變化。3消費者選擇付款方式，確認(rèn)訂單簽發(fā)付款指令此時SET開場介入。4在SET中，消費者必須對訂單和付款指令進(jìn)展數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到消費者的XX信息。5在線商店承受訂單后，向消費者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。6在線商店致訂單確認(rèn)信息給消費者。消費者端軟件可記錄交易日志，以備將來查詢。7在線商店致貨物或提供效勞并通知收單銀行將錢從消費者的XX轉(zhuǎn)移到商店XX，或通知發(fā)卡銀行請求支付。在認(rèn)證操作和支付

46、操作中間一般會有一個時間間隔，例如，在每天的下班前請求銀行結(jié)一天的帳。11VPN具有哪些特點？答：VPN的特點有：1使用VPN專用網(wǎng)的構(gòu)建將使費用大幅降低。VPN不需要像傳統(tǒng)的專用網(wǎng)那樣租用專線，設(shè)置大量的數(shù)據(jù)機(jī)或遠(yuǎn)程存取效勞器等設(shè)備。例如，遠(yuǎn)程訪問VPN用戶只需通過本地的信息效勞提供商ISP登錄到Internet上，就可以在他的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道，用這種Internet作為遠(yuǎn)程訪問的骨干網(wǎng)方案比傳統(tǒng)的方案如租用專線或遠(yuǎn)端撥號等更易實現(xiàn)，費用更少。2VPN靈活性大。VPN方便更改網(wǎng)絡(luò)構(gòu)造，方便連接新的用戶和。3VPN易于管理維護(hù)。VPN中可以使用RADIUSRemoteAu

47、thenticDialInUserService來簡化管理，使用RADIUS時，從管理上只需維護(hù)一個訪問權(quán)限的中心數(shù)據(jù)庫來簡化用戶的認(rèn)證管理，無須同時管理地理上分散的遠(yuǎn)程訪問效勞器的訪問權(quán)限和用戶認(rèn)證。同時在VPN中，較少的網(wǎng)絡(luò)設(shè)備和線路也使網(wǎng)絡(luò)的維護(hù)較容易。12VPN的實現(xiàn)技術(shù)有哪幾種？答：VPN的實現(xiàn)技術(shù)有以下4種：(1)隧道協(xié)議(2)隧道效勞器(3)認(rèn)證(4)加密13簡述構(gòu)建VPN的一般步驟。答：構(gòu)建VPN的一般步驟為：1架設(shè)VPN效勞器；2給用戶分配遠(yuǎn)程訪問的權(quán)限；3在VPN客戶端建立Internet連接；4在VPN客戶端建立VPN撥號連接；5VPN客戶端連上Internet并與VPN

48、效勞器建立連接。構(gòu)建好VPN之后可以從以下3個方面來驗證是否已經(jīng)成功構(gòu)建了VPN：1構(gòu)建的VPN是否可以直接訪問內(nèi)網(wǎng)的計算機(jī)資源。2構(gòu)建的VPN是否可以訪問VPN效勞器的Internet接口。3驗證數(shù)據(jù)在傳輸過程是否被加密，可以分別在內(nèi)網(wǎng)的計算機(jī)和VPN效勞器上安裝網(wǎng)絡(luò)監(jiān)視器，從外網(wǎng)發(fā)起訪問，捕獲并分析數(shù)據(jù)包是否被加密。第8章防火墻技術(shù)習(xí)題參考答案1簡述防火墻的定義。答：防火墻是一種隔離控制技術(shù)。它是位于兩個信任程度不同的網(wǎng)絡(luò)之間的能夠提供網(wǎng)絡(luò)平安保障的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通訊進(jìn)展控制，按照統(tǒng)一的平安策略，阻止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)重要數(shù)據(jù)的訪問和非法存取，以到達(dá)保護(hù)系統(tǒng)平安的

49、目的。2防火墻的主要功能有哪些？又有哪些局限性？答：主要功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息。管理進(jìn)出網(wǎng)絡(luò)的訪問行為。便于集中平安保護(hù)。對網(wǎng)絡(luò)存取和訪問進(jìn)展監(jiān)控審計。實施NAT技術(shù)的理想平臺。局限性：防火墻不能防X不經(jīng)過防火墻的攻擊。防火墻不能防X網(wǎng)絡(luò)內(nèi)部的攻擊。防火墻不能防X內(nèi)部人員的泄密行為。防火墻不能防X因配置不當(dāng)或錯誤配置引起的平安威脅。防火墻不能防X利用網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)展的攻擊。防火墻不能防X利用效勞器系統(tǒng)的漏洞進(jìn)展的攻擊。防火墻不能防X感染病毒文件的傳輸。防火墻不能防X本身平安漏洞的威脅。防火墻不能防X人為的或自然的破壞。3什么是堡壘主機(jī)？堡壘主機(jī)有哪幾種類型？堡壘主機(jī)的作用是什么？答：堡

50、壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的主機(jī)。根據(jù)不同的平安要求，有單宿主堡壘主機(jī)、雙宿主堡壘主機(jī)和受害堡壘主機(jī)3種類型。堡壘主機(jī)根本上都被放置在網(wǎng)絡(luò)的周邊或非軍事區(qū)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點，從而把整個網(wǎng)絡(luò)的平安問題都集中在堡壘主機(jī)上解決。4什么是DMZ？為什么要設(shè)立DMZ？DMZ中一般放置哪些設(shè)備？答：DMZDemilitarizedZone，非軍事區(qū)或隔離區(qū)指為不信任系統(tǒng)效勞的孤立網(wǎng)段。它把內(nèi)部網(wǎng)絡(luò)中需要向外提供效勞的效勞器集中放置到一個單獨的網(wǎng)段，與內(nèi)部網(wǎng)絡(luò)隔離開，這個網(wǎng)段就是DMZ。它解決了需要公開的效勞與內(nèi)部網(wǎng)絡(luò)平安策略相矛盾的問題。DMZ區(qū)中一般放置堡壘主機(jī)、提供各種服務(wù)的效勞器和

51、Modem池。5屏蔽路由器體系構(gòu)造的優(yōu)缺點是什么？答：屏蔽路由器體系構(gòu)造的優(yōu)點是構(gòu)造簡單，容易實現(xiàn)，本錢低廉。只需在邊界路由器中參加一個包過濾軟件就可以了，現(xiàn)在標(biāo)準(zhǔn)的路由器軟件中都包含有過濾功能；屏蔽路由器對用戶是透明的，無需修改、配置用戶主機(jī)。缺點是：不能識別不同的用戶；屏蔽路由器沒有較好的監(jiān)視和日志功能、報警功能，無法保存攻擊蹤跡，不易覺察入侵行為；依賴一個單一的設(shè)備保護(hù)系統(tǒng)的風(fēng)險比擬大；被保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)的主機(jī)直接通信，使整個網(wǎng)絡(luò)受到威脅。6雙宿主主機(jī)體系構(gòu)造的特點有哪些？其主要的缺點是什么？答：雙宿主主機(jī)構(gòu)造是在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間放置一臺雙宿主堡壘主機(jī)作為防火墻。雙宿主

52、堡壘主機(jī)的兩個網(wǎng)卡分別連接內(nèi)、外部網(wǎng)絡(luò)，監(jiān)控過往數(shù)據(jù)。內(nèi)、外網(wǎng)絡(luò)通信必須經(jīng)過堡壘主機(jī)。堡壘主機(jī)不使用包過濾規(guī)那么，而是相當(dāng)于一個網(wǎng)關(guān)，割斷了兩個網(wǎng)絡(luò)IP層之間的直接通信。兩個網(wǎng)絡(luò)之間的通信是通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理效勞來實現(xiàn)。堡壘主機(jī)上運(yùn)行的防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供效勞等。雙宿主主機(jī)構(gòu)造主要的缺點是：一旦攻擊者侵入堡壘主機(jī)并使其具有路由功能，那么任何外部網(wǎng)絡(luò)用戶都可以隨便訪問內(nèi)部網(wǎng)絡(luò)。7包過濾技術(shù)的原理是什么？狀態(tài)檢測技術(shù)有哪些優(yōu)勢？答：包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)，其核心是包過濾算法的設(shè)計，也叫做平安策略設(shè)計。包過濾防火墻讀取流過它的每一個數(shù)據(jù)包的報頭信息，然后用預(yù)

53、先設(shè)定好的過濾規(guī)那么與之逐條匹配。匹配成功的數(shù)據(jù)包按照過濾規(guī)那么允許通過的被轉(zhuǎn)發(fā)，不允許通過的那么被丟棄。如果沒有一條過濾規(guī)那么與數(shù)據(jù)包報頭的信息匹配，防火墻會使用丟棄這一默認(rèn)規(guī)那么丟棄數(shù)據(jù)包。包過濾技術(shù)檢查數(shù)據(jù)包報頭的信息主要有：源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號、TCP標(biāo)志位、協(xié)議等。狀態(tài)檢測技術(shù)的優(yōu)點是：具有識別帶有欺騙性源IP地址包的能力；能夠提供詳細(xì)的日志；檢查的層面能夠從網(wǎng)絡(luò)層至應(yīng)用層。其缺點是可能會造成網(wǎng)絡(luò)連接的某種延時，特別是在有許多連接同時激活或有大量的過濾規(guī)那么存在時。但這種情況將隨著硬件運(yùn)行速度的不斷提升越來越不易覺察。8包過濾規(guī)那

54、么的建立要遵循哪些原那么？答：包過濾規(guī)那么的建立要遵循的原那么有：遵循“拒絕所有平安策略。利用防火墻先把內(nèi)、外網(wǎng)絡(luò)隔離，在隔離的根底上再有條件的開放，可以大大減少網(wǎng)絡(luò)平安危險。規(guī)那么庫應(yīng)該阻止任何外部網(wǎng)絡(luò)用戶對位于防火墻后面的內(nèi)部網(wǎng)絡(luò)主機(jī)的訪問。但應(yīng)該放開對DMZ區(qū)應(yīng)用效勞器的訪問。規(guī)那么庫應(yīng)該允許內(nèi)部網(wǎng)絡(luò)用戶有限制的訪問外部網(wǎng)絡(luò)。9代理效勞技術(shù)的工作原理是什么？應(yīng)用層網(wǎng)關(guān)與電路層網(wǎng)關(guān)的區(qū)別是什么？答：代理效勞是指代表客戶處理連接請求的專用應(yīng)用程序，也可稱為代理效勞器程序。代理效勞器得到一個客戶的連接意圖時，先對客戶的請求進(jìn)展核實，并用特定的平安化的代理應(yīng)用程序處理連接請求，然后將處理后的請求

55、傳遞到真正的效勞器上，再接收真正效勞器的應(yīng)答，做進(jìn)一步處理后將答復(fù)交給發(fā)出請求的第一個客戶?？蛻魧Υ硇谄髦虚g的傳遞是沒有任何感覺的，還以為是直接訪問了效勞器。而對真正的效勞器來說也是看不到真正的客戶的，只看到代理效勞器，以為代理效勞器就是客戶。這樣代理效勞器對客戶就起到了保護(hù)作用。應(yīng)用層網(wǎng)關(guān)的核心技術(shù)就是代理效勞器技術(shù)，是基于軟件的，通常安裝在帶有操作系統(tǒng)的主機(jī)上。它通過代理技術(shù)參與到一個TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)；電路層網(wǎng)關(guān)也稱為TCP通道，它通過在TCP三次握手建立連接的過程中，檢查雙方的SYN、ASK和序列號是否符合邏輯，來判斷該請

56、求的會話是否合法。一旦網(wǎng)關(guān)認(rèn)為會話是合法的，就建立連接，并維護(hù)一X合法會話連接表，當(dāng)會話信息與表中的條目匹配時才允許數(shù)據(jù)包通過，會話完畢后，表中的條目就被刪除。電路層網(wǎng)關(guān)適用于多種協(xié)議，但不解釋應(yīng)用協(xié)議中的命令就建立了連接。10簡述自適應(yīng)代理技術(shù)的工作原理。答：自適應(yīng)代理技術(shù)的組成有兩個根本要素：自適應(yīng)代理效勞器和動態(tài)包過濾器。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。初始的平安檢查仍在應(yīng)用層中進(jìn)展，保證傳統(tǒng)防火墻的最大平安性，一旦可信任的身份得到認(rèn)證，建立了平安通道，隨后的數(shù)據(jù)包就重新定向到網(wǎng)絡(luò)層傳輸。這里做定的仍然是代理。第9章入侵檢測技術(shù)習(xí)題參考答案1.什么是入侵檢測？什么是入侵檢

57、測系統(tǒng)？入侵檢測系統(tǒng)的功能有哪些？答：入侵檢測IntrusionDetection，ID就是通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點收集信息并對其進(jìn)展分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和遭到攻擊的跡象，同時做出響應(yīng)。入侵檢測系統(tǒng)IntrusionDetectionSystems，IDS是按照一定的平安策略，為系統(tǒng)建立的平安輔助系統(tǒng)；是完成入侵檢測功能的軟件、硬件的集合?？傮w來說其主要功能有：(1)用戶和系統(tǒng)行為的檢測和分析。(2)重要的系統(tǒng)和數(shù)據(jù)文件的完整性評估。(3)系統(tǒng)配置和漏洞的審計檢查。(4)異常行為模式的統(tǒng)計分析。(5)的攻擊行為模式的識別。(6)操作系統(tǒng)的審計跟

58、蹤管理及違反平安策略的用戶行為的識別。2.根據(jù)CIDF模型，入侵檢測系統(tǒng)一般由哪幾局部組成？各局部的作用是什么？答：CIDF模型的4個組件和各自的作用如下：(1)事件產(chǎn)生器EventGenerators,即信息獲取子系統(tǒng)，用于收集來自主機(jī)和網(wǎng)絡(luò)的事件信息，為檢測信息提供原始數(shù)據(jù)，并將這些事件轉(zhuǎn)換成CIDF的GIDO統(tǒng)一入侵檢測對象格式傳送給其他組件。(2)事件分析器EventAnalyzers,即分析子系統(tǒng)，是入侵檢測系統(tǒng)的核心局部。事件分析器分析從其他組件收到GIDO統(tǒng)一入侵檢測對象,并將產(chǎn)生的新GIDO統(tǒng)一入侵檢測對象再傳送給其他組件，用于對獲取的事件信息進(jìn)展分析，從而判斷是否有入侵行為發(fā)

59、生并檢測出具體的攻擊手段。(3)響應(yīng)單元ResponseUnits，即響應(yīng)控制子系統(tǒng)。響應(yīng)單元處理收到GIDO統(tǒng)一入侵檢測對象,用以向系統(tǒng)管理員報告分析結(jié)果并采取適當(dāng)?shù)南鄳?yīng)策略以響應(yīng)入侵行為。(4)事件數(shù)據(jù)庫EventDatabases，即數(shù)據(jù)庫子系統(tǒng)，用來存儲系統(tǒng)運(yùn)行的中間數(shù)據(jù)并進(jìn)展規(guī)那么匹配的平安知識庫。3.根據(jù)系統(tǒng)所檢測的對象分類，入侵檢測系統(tǒng)有哪些類型？各有何優(yōu)缺點？答：根據(jù)系統(tǒng)所檢測的對象分類：基于主機(jī)的入侵檢測系統(tǒng)Host-basedIDS，HIDS、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)Network-basedIDS，NIDS和混合入侵檢測系統(tǒng)HybridIDS，混合IDS。HIDS的優(yōu)點是：

60、主機(jī)入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息；HIDS通常情況下比網(wǎng)絡(luò)入侵檢測系統(tǒng)誤報率要低；HIDS可部署在那些不需要使用入侵檢測、傳感器與控制臺之間通信帶寬缺乏的情況；HIDS在不使用諸如“停頓效勞、“注銷用戶等響應(yīng)方法時風(fēng)險較少。HIDS缺點有：HIDS安裝在我們需要保護(hù)的設(shè)備上；HIDS依賴于效勞器固有的日志與監(jiān)視能力；全面部署HIDS代價較大；HIDS除了監(jiān)測自身的主機(jī)以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況；對入侵行為分析的工作量將隨著主機(jī)數(shù)目增加而增加。NIDS的優(yōu)點是：NIDS能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超出授權(quán)的非法訪問；一個網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變效