安全915章思考题答案Word文档下载推荐.docx

安全915章思考题答案Word文档下载推荐.docx

《安全915章思考题答案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《安全915章思考题答案Word文档下载推荐.docx（12页珍藏版）》请在冰豆网上搜索。

主客体的关系是相对的。

2．什么是自主访问控制？

什么是强制访问控制？

自主访问控制：

自主访问控制（DiscretionaryAccessControl，DAC）是这样的一种控制方式，由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。

也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。

　　自主访问控制是保护系统资源不被非法访问的一种有效手段。

但是这种控制是自主的，即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。

自主访问控制是一种比较宽松的访问控制,一个主题的访问权限具有传递性。

强制访问控制：

强制访问控制（MandatoryAccessControl——MAC），用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。

通俗的来说，在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。

其中多级安全（MultiLevelSecure,MLS）就是一种强制访问控制策略。

3.查阅有关资料,说说访问控制的一些实际案例。

第十章网络安全协议

1．IPSec是由哪两部分构成的，有哪两种工作模式？

IPSec协议的组成：

IPSec协议组包含AH协议、ESP协议和密钥交换标准（Internetkeyexchange，IKE）协议；

鉴别首部AH，AH协议定义了认证的应用方法，提供数据源认证和完整性保证；

封装安全载荷ESP，ESP协议定义了加密和可选认证的应用方法，提供可靠性保证；

Internet密钥交换IKE协议。

IPSec的工作模式：

IPSec有两种工作模式：

•传输模式：

传输模式的保护对象是IP载荷，即对运行于IP之上的协议进行保护，采用传输模式时，原IP数据包的报文头之后的数据发生改变，IP报文头不变，只有在要求两个主机的端到端的安全保障时，才能使用传输模式。

隧道模式：

隧道模式的保护对象是整个IP数据包，它将一个数据包用一个新的数据包封装，再加上一个新的IP报文头，通常在数据包的始发点或目的地不是安全终点的情况下需要使用隧道模式。

2．在应用层实现安全服务和在网络层实现安全服务有何不同？

HTTPS（全称：

HypertextTransferProtocoloverSecureSocketLayer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

用于安全的HTTP数据传输。

https:

URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。

网景公司开发

3．什么是SSL，提供哪些服务？

SSL协议的概念：

SecureSocketsLayer安全套接层,缩写，SSL；

最初SSL是为C/S之间的Http协议提供加密的安全协议，集成在IE上。

SSL在传输层对网络连接进行加密。

SSL协议是一种国际的加密及身份认证通信协议，最初为互联网上保密文档传输而研发的，后来成为Internet上安全通信与交易的标准；

SSL是一个传输层的安全协议。

SSL提供的服务：

SSL协议提供的服务主要有：

􀁹

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

4．在SSL握手协议中，客户端与服务器要产生一条新连接时，要经过哪四个阶段？

５．列举IPSec、SSL协议的应用。

第十一章黑客攻击技术

1．什么是社会工程学攻击？

所谓“社会工程学攻击”，就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等等不公开资料。

如诈骗银行信用卡号码，电话诈骗，如以知名人士的名义去推销诈骗等。

社会工程学是未来10年最大的安全风险，利用人性的弱点轻易地潜入防护严密的网络系统，免费下载软件捆绑流氓软件、病毒、间谍软件等。

2．简述口令攻击的不同方式。

攻击者攻击目标时常常把破译用户的口令作为攻击的开始。

只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。

如果这个用户有域管理员或root用户权限，这是极其危险的。

（1）字典攻击　　

因为多数人使用普通词典中的单词作为口令，发起词典攻击通常是较好的开端。

词典攻击使用一个包含大多数词典单词的文件，用这些单词猜测用户口令。

使用一部1万个单词的词典一般能猜测出系统中70%的口令。

在多数系统中，和尝试所有的组合相比，词典攻击能在很短的时间内完成。

（2）强行攻击　　

许多人认为如果使用足够长的口令，或者使用足够完善的加密模式，就能有一个攻不破的口令。

事实上没有攻不破的口令，这只是个时间问题。

如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。

这种类型的攻击方式叫强行攻击。

使用强行攻击，先从字母a开始，尝试aa、ab、ac等等，然后尝试aaa、aab、aac……。

攻击者也可以利用分布式攻击。

如果攻击者希望在尽量短的时间内破解口令，他不必购买大量昂贵的计算机。

他会闯入几个有大批计算机的公司并利用他们的资源破解口令。

（3）是利用系统管理员的失误

在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。

黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。

同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。

例如，让Windows95/98系统后门洞开的BO就是利用了Windows的基本设计缺陷。

、放置特洛伊木马程序　　特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。

当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。

攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

（4）NTCrack　　

NTCrack是UNIX破解程序的一部分，但是在NT环境下破解。

NTCrack与UNIX中的破解类似，但是NTCrack在功能上非常有限。

它不象其他程序一样提取口令哈希，它和NTSweep的工作原理类似。

必须给NTCrack一个userid和要测试的口令组合，然后程序会告诉用户是否成功。

（5）PWDump2　　

PWDump2不是一个口令破解程序，但是它能用来从SAM数据库中提取口令哈希。

L0phtcrack已经内建了这个特征，但是PWDump2还是很有用的。

首先，它是一个小型的、易使用的命令行工具，能提取口令哈希；

其次，目前很多情况下L0phtcrack的版本不能提取口令哈希。

如SYSTEM是一个能在NT下运行的程序，为SAM数据库提供了很强的加密功能，如果SYSTEM在使用，L0phtcrack就无法提取哈希口令，但是PWDump2还能使用；

而且要在windows2000下提取哈希口令，必须使用PWDump2，因为系统使用了更强的加密模式来保护信息。

3．简述木马欺骗技术。

木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。

木马欺骗技术主要有：

（1）伪装成其它类型的文件，可执行文件需要伪装其它文件。

如伪装成图片文件。

（2）合并程序欺骗。

（3）插入其它文件内部。

（4）伪装成应用程序扩展组件。

（5）把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件。

（6）在Word文档中加入木马文件。

第十二章网络防御技术

一、填空题

1．包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。

应用层代理防火墙是工作在OSI的最高层，即应用层。

其特点是完全"

阻隔"

了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

2．入侵检测技术是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

3．入侵检测的第一步是负责采集数据，内容包括系统、网络、数据及用户活动的状态和行为。

入侵检测的第二步是数据分析，一般通过三种技术手段进行分析：

模式匹配、统计分析、完整性分析。

入侵检测的第三步是入侵响应：

进行日志记录、触发报警等。

4．计算机取证技术是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，对能够为法庭接受的、足够可靠和有说服性的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交认证的过程。

二、简答题

1．根据入侵检测原理，入侵检测技术可以分为几类？

入侵检测技术的分类：

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

技术划分

（1）异常检测模型（AnomalyDetection）：

检测与可接受行为之间的偏差。

如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

这种检测模型漏报率低，误报率高。

因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

（2）误用检测模型（MisuseDetection）：

检测与已知的不可接受行为之间的匹配程度。

如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。

收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

这种检测模型误报率低、漏报率高。

对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

对象划分

（1）基于主机：

系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。

主机型入侵检测系统保护的一般是所在的主机系统。

是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。

（2）基于网络：

系统分析的数据是网络上的数据包。

网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

（3）混合型：

基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

2．简述计算机取证技术。

（1）计算机取证的定义

计算机取证（ComputerForensics）由InternationalAssociationofComputerSpecialists（IACS）在1991年美国举行的国际计算机专家会议上首次提出。

也称数字取证、电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，对能够为法庭接受的、足够可靠和有说服性的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交认证的过程。

（2）计算机证据

计算机证据的表现形式具有如下特性：

a）高科技性；

b）存储形式多样性；

c）客观实在易变性；

d）存在的广域性：

网络犯罪现场范围一般由犯罪嫌疑人使用网络的大小而决定；

e）计算机证据可以记录在计算机系统中，还可以存储在其他类似的电子记录系统之中。

（3）计算机取证的分类和证据来源

由于计算机系统和网络数据流在证据特性上的差异，人们常用基于主机的取证和基于网络的取证两种的说法。

基于主机的证据主要包括：

a）操作系统审计跟踪、系统日志文件、应用日志；

b）备份介质；

c）入侵者残存物，如程序、进程；

d）SwapFile；

e）临时文件；

f）UnallocatedSpace一些刚刚删除的文件可以在这里找到；

g）SlackSpace；

h）系统缓冲区；

i）文件的电子特征（如MACTimes）；

j）可恢复的数据；

k）加密及隐藏的文件；

l）系统时间；

m）打印机及其他设备的内存等。

基于网络的证据主要有：

a）Firewall日志；

b）IDS日志；

c）Proxy日志；

d）httpServer日志；

e）I&

A系统；

f）访问控制系统；

g）Router日志；

h）核心dump；

i）其他网络工具和取证分析系统产生的记录和日志信息等。

（4）计算机取证原则

司法机关对计算机网络犯罪进行侦查取证、审查起诉、审判定罪时，只有严格遵循计算机取证的原则才能保证司法活动合法、高效、公正。

计算机取证的基本原则有：

a）关联性原则：

分析计算机数据或信息与案件事实有无关联，关联程度如何，是否是实质性关联。

b）合法性原则：

违反法定程序取得的证据应予排除。

c）客观性原则：

考察计算机证据在生成、存储、传输过程有无剪接、删改、替换的情况，其内容是否前后一致、通顺，符合逻辑。

第十三章安全电子支付

1．简述安全电子交易SET的支付模式。

SET协议的目标：

信息在互联网上安全传输，不能被窃听或篡改◦用户资料要妥善保护，商家只能看到订货信息，看不到用户的账户信息◦持卡人和商家相互认证，以确定对方身份。

软件遵循相同的协议和消息格式，具有兼容性和互操作性。

SET协议（SecureElectronicTransaction），被称之为安全电子交易协议，是由MasterCard和Visa联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型。

SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。

SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。

2．什么是数字现金？

简述它的特点及应用过程。

数字现金的定义

数字现金（E-cash）是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值。

数字现金的特点：

货币价值、可交换性、可存储性、重复性；

1）购买E-cash；

2）存储E-cash；

3）用E-cash购买商品或服务；

4）资金清算；

5）确认订单；

数字现金支付的特点

1）银行和卖方之间应有协议和授权关系；

2）买方、卖方和E-cash银行都需使用E-cash软件；

3）因为数字现金可以申请到非常小的面额，所以数字现金适用于小的交易量；

4）身份验证是由E-cash本身完成的；

5）E-cash银行负责买方和卖方之间资金的转移；

6）具有现金特点，可以存、取、转让；

7）这种方式比较安全；

8）E-cash与普通钱一样会丢失。

3．简述电子支付的安全性保障。

电子支票支付的安全性要求

电子支票的认证

电子支票是客户用其私钥所签署的一个文件。

接收者（商家或商家的开户行）使用支付者的公钥来解密客户的签字。

这样将使得接收者相信发送者的确签署过这一支票。

公钥的发送

发送者及其开户行必须向接收者提供自己的公钥。

提供方法是将他们的X．509证书附加在电子支票上。

私钥的存储

为了防止欺诈，可向客户提供一个Smart卡，以实现对私钥的安全存储。

银行本票

银行本票由银行按如下方式发行：

发行银行首先产生支票，用其私钥对其签字，并将其证书附加到支票上。

接收银行使用发行银行的公钥来解密数字签字。

第十四章移动商务安全

1．简述WAP协议。

WAP（WirelessApplicationProtocol，无线应用协议），用于向智能终端进行智能化传递的无须授权、不依赖于平台的协议

WAP提供安全迅速、灵活、在线和交互式连接服务、信息和其他用户的媒介；

是公开的全球无线协议标准。

WAP提供一套开放、统一的技术平台。

WAP协议可应用于GSM、CDMA、TDMA、3G等多种网络。

2．论述移动电子商务的安全解决方案。

移动支付解决方案

（1）基于WAP的无线电子商务安全解决方案；

（2）基于端到端的SMS无线电子商务安全解决方案。

第十五章防病毒技术

1．简述计算机病毒的特征。

非法性、表现性、隐藏性、破坏性、变异性、潜伏性、传染性、不可预见性、可触发性、针对性。

2．简述计算机病毒引起的种种异常现象。

1）计算机系统运行速度明显降低；

2）系统容易死机；

3）文件改变；

4）磁盘可用空间迅速减少；

5）系统参数修改；

6）文件被破坏；

7）频繁产生错误信息；

8）系统异常频繁重启动；

9）密码错误输入；

10）Office宏命令提示。

3．防止木马的方法有哪些？

电脑中了木马后的症状：

1）电脑的反应速度明显降低；

2）硬盘在不停的读写；

3）鼠标和键盘使用不灵；

4）窗口关闭或打开；

5）网络传输指示灯一直在闪烁。

防止特洛伊木马的主要方法有：

1）安装反病毒软件。

或者安装特洛伊木马删除软件。

2）建立个人防火墙。

3）不要执行来历不明的软件和程序。

4）经常升级系统。

5）将“我的电脑”设置为始终显示文件扩展名状态。

依次展开“我的电脑”→“工具”→“文件夹选项”→“查看”标签，去掉“显示已知文件类型的扩展名”前面的勾，将文件真正的扩展名显示出来。