《2022年网络安全与管理习题答案 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全与管理习题答案 .pdf(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、习题 1 一、简答题1. 网络安全的目标主要表现在哪些方面? 答: 网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。(1) 可靠性。可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。可靠性用于保证在人为或者随机性破坏下系统的安全程度。(2) 可用性。 可用性是网络信息可被授权实体访问并按需求使用的特性。可用性是网络信息系统面向用户的安全性能。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。(3) 保密性。 保密性是网络信息不被泄露给
2、非授权的用户、实体或过程, 或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现,它是在可靠性和可用性基础之上,保障网络信息安全的重要手段。(4) 完整性。 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。(5) 不可抵赖性。 不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有
3、参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。(6) 可控性。可控性是对网络信息的传播及内容具有控制能力的特性。 2 简述 PDRR 安全模型的主要方面。答 :PDRR 是美国国防部提出的常见安全模型。它概括了网络安全的整个环节,即保护(Protect) 、检测( Detect ) 、响应( React ) 、恢复( Restore ) 。这 4 个部分构成了一个动态的信息安全周期。(1)防护。防护是PDRR 模型的最重要的部分。防护是预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵
4、,防护可以减少大多数的入侵事件。它包括缺陷扫描、访问控制及防火墙、数据加密、鉴别等。(2)检测。检测是PDRR模型的第二个环节。通常采用入侵检测系统(IDS)来检测系统漏洞和缺陷,增加系统的安全性能,从而消除攻击和入侵的条件。检测根据入侵事件的特征进行。(3)响应。响应是PDRR 模型中的第三个环节。响应就是已知一个入侵事件发生之后,进行的处理过程。通过入侵事件的报警进行响应通告,从而采取一定的措施来实现安全系统的补救过程。(4)恢复。恢复是PDRR 模型中的最后一个环节。恢复指的是事件发生后,进行初始化恢复的过程。通常用户通过系统的备份和还原来进行恢复,然后安全系统对应的补丁程序,实现安全漏
5、洞的修复等。 3简述 PPDR安全模型的主要方面。答: PPDR是美国国际互联网安全系统公司提出的可适应网络安全模型。它包括策略(Policy ) 、保护( Protection) 、检测( Detection) 、响应( Response)4 个部分。(1)策略。 PPDR安全模型的核心是安全策略,所有的防护、检测、响应都是依据安全策略实施的, 安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。(2)保护。保护就是采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。应该依据不同等级的系统安全要求来完善系统的安全功能、安全机制。保护通常
6、采用身份认证、防火墙、客户端软件、加密等传统的静态的安全技术来实现。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 12 页 - - - - - - - - - (3)检测。检测是PPDR 模型中非常重要的环节,检测是进行动态响应和动态保护的依据,同时强制网络落实安全策略,检测设备不间断地检测、监控网络和系统,及时发现网络中新的威胁和存在的弱点,通过循环的反馈来及时做出有效的响应。网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁。(4)响应。响应在
7、PPDR 安全系统中占有最重要的位置,它是解决潜在安全问题最有效的方法。响应指的是在系统检测到安全漏洞后做出的处理方法。4简述 TCSEC 安全标准的主要内容。答:美国国防部的可信计算机系统评价准则是计算机信息安全评估的第一个正式标准,具有划时代的意义。该准则于1970 年由美国国防科学委员会提出,并于 1985 年 12 月由美国国防部公布。 TCSEC 将安全分为4 个方面:安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7 个安全级别,按安全程度从最低到最高依次是D、C1、C2、B1、B2、B3、 A1。(1)D 级。 D级是最低的安全级别,拥有这个级别的操作系统是完全不可信
8、任的。由于系统对用户没有任何访问限制,用户不需登记或使用密码即可登录,所以硬件和操作系统都容易受到损害。属于这个级别的操作系统有DOS 、Windows 3.x 等。(2)C 级。 C1是 C 类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统, 它描述了一个典型的用在UNIX系统上的安全级别。该级别的系统对硬件有某种程度的保护,如硬件带锁装置和需要钥匙才能使用计算机等,用户必须通过登录认证方可使用系统,另外,C1系统允许系统管理员为一些程序或数据设立访问许可权限。C2级比 C1级增加了几个特性引进了受控访问环境,进一步限制用户执
9、行某些指令或访问某些文件;引进了系统审核,跟踪所有的安全事件,如是否成功登录,系统管理员修改用户权限或密码等。能够达到C2级别的常见操作系统有UNIX系统、Novell 3.X 或者更高版本、 Windows NT 、 Windows 2000 和 Windows 2003 等。(3)B 级。 B级中有三个级别,B1级即标志安全保护(Labeled Security Protection) ,它支持多级安全,对网络、应用程序和工作站等实施不同的安全策略。这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。B2级即结构保护级(Structured Protection)
10、,它要求计算机系统中所有的对象都要加上标签,而且给设备(如工作站、终端和磁盘驱动器)分配单个或者多个安全级别。如用户可以访问某公司的工作站,但不允许访问含有员工工资信息的磁盘驱动器。B3级即安全域级别(Security Domain),该级别也要求用户通过一条可信任途径连接到系统上。同时,要求必须采用硬件来保护系统的数据存储区。(4)A 级。 A级即验证设计级别(Verified Design) ,是当前橙皮书的最高级别,该级别包含了较低级别的所有的安全特性,还附加了一个严格的设计、控制和验证过程。设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。5简述我国网络安全安全标准的
11、主要内容。答:我国的安全标准将信息系统安全分为5 个等级,分别是:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。(1) 用户自主保护级。本级的安全保护机制可以使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。(2) 系统审计保护级。与用户自主保护级相比,本级的安全保护机制实施了更细的自主访问控制,
12、它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。(3) 安全标记保护级。本级的安全保护机制具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。(4) 结构化保护级。本级的安全保护机制建立于一个明确定义的形式化安全策略模型之上,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 12 页 - - - - - - - - - 它要求将第三级系
13、统中的自主和强制访问控制扩展到所有主体与客体。本级的安全保护机制必须结构化为关键保护元素和非关键保护元素,其中,关键部分直接控制访问者对访问对象(主体对客体)的存取。另外,本级具有相当的抗渗透能力。(5) 访问验证保护级。本级的安全保护机制具备结构化保护级的全部功能,它特别增设了访问验证功能,负责仲裁主体对客体的全部访问活动。在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。另外,本级具有非常强的抗渗透能力。习题 2 1.IEEE 802委员会提出的局域网体系结构是什么?答:IEEE 802委员会提出的局域网体系结构包括物理层和数据链
14、路层。 (1) 物理层。物理层用来建立物理连接是必须的。物理层的主要功能有:信号的编码与译码、进行同步用的前同步码的产生与去除、比特的传输与接收。物理层也要实现电气、机械、功能和规程四大特性的匹配。物理层提供的发送和接收信号的能力包括对宽带的频带分配和对基带的信号调制。(2) 数据链路层。数据链路层把数据转换成帧来传输,并实现帧的顺序控制、差错控制及流量控制等功能,使不可靠的链路变成可靠的链路,也是必要的。数据链路层分为MAC子层和LLC子层。MAC子层的主要功能为将上层交下来的数据封装成帧进行发送,接收时进行相反的过程:首先将帧拆卸,然后实现和维护MAC协议,接着进行比特差错控制,最后寻址。
15、MAC子层支持数据链路功能,并为LLC子层提供服务。LLC 子层向高层提供一个或多个逻辑接口(具有帧发和帧收功能)。LLC 子层的主要功能是建立和释放数据链路层的逻辑连接、提供与高层的接口、差错控制、给帧加上序号。局域网对LLC子层是透明的。2. 常见的三种备份策略是什么?答:(1) 完全备份。完全备份(Full Backup) 指的是每次对所有系统数据备份。由于每次是对系统进行完全备份,在备份数据中有大量内容是重复的,这些重复数据占用了大量的磁盘空间,并且需要备份的数据量相当大,备份所需时间也就较长。完全备份的优点是,当发生数据丢失的灾难时,只要用备份盘就可以恢复丢失的数据。(2) 增量备份
16、。增量备份(Incremental Backup) 指的是将系统的备份点进行设置,当下一次进行系统备份的时候只存储系统里面增加的信息点。该备份的优点是没有重复的备份数据,节省磁盘空间,缩短备份时间。缺点是在发生灾难时,恢复数据比较麻烦。由于各个备份点的相互关系像链子一样,所以任何一个出现问题就可能导致系统恢复不能正常进行。(3) 差分备份。差分备份(Differential Backup)指的是先进行一次系统完全备份,以后数据的备份都是选择和当前系统不同的部分,将不同的信息点记录下来。恢复的时候,只要使用系统全备份的磁盘与发生灾难前一天的备份磁盘,就可以将系统完全恢复。差分备份策略在避免了以上
17、两种策略的缺陷的同时,又具有了它们的所有优点。首先,它无须每天都对系统做完全备份,因此备份所需时间短,节省磁盘空间;其次,灾难恢复比较方便。3. 常见的三种存储和归档技术分别是什么?答: 常见的三种存储和归档技术分别是网络附加存储、直连式存储和存储网络三种方式。(1) 直连方式存储是最先被采用的网络存储系统。在 DAS存储体系结构中,为避免出现单点错误,通常采用多个服务器共享一个存储系统。(2) 网络附加存储是一种专业的网络文件存储及文件备份解决方案。它是基于局域网设计,按照 TCP/IP 协议进行通信,以文件输入/ 输出方式进行数据传输。NAS系统包括处理器、文件服务管理模块和多个用于数据存
18、储的硬盘驱动器。它可以应用在任何网络环境当中。主服务器和客户端可以非常方便地在NAS上存取任意格式的文件,包括SMB格式、 NFS格式和 CIFS 格式等。(3) 存储区域网络是一种通过光纤集线器、光纤路由器、 光纤交换机等连接设备将磁盘阵列名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 12 页 - - - - - - - - - 等存储设备与相关服务器连接起来的高速专用子网。SAN提供了一种与现有LAN连接的简易方法,允许企业独立地增加它们的存储容量,并使网络性能不至
19、于受到数据访问的影响,SAN 是目前人们公认的最具有发展潜力的存储技术方案。4. 什么是 VLAN ?它有什么特点?答: 虚拟局域网即VLAN ,它是一种将局域网设备从逻辑上划分网段的技术。VLAN在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN 从逻辑上把实际网络划分成不同的广播域,从而有效地控制广播风暴的发生,提高了网络的安全性,有效地控制了网络的广播范围。VLAN内的各个工作站不限制地理范围,并且可以工作在不同的物
20、理网段。借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN 一样方便灵活。习题 3 一、简答题1.简述 IP 安全体系结构。答: IPSec 已成为IP 安全体系结构的标准。完整的IPSec 安全体系结构由体系结构、封装安全有效载荷(ESP) 、鉴别首部、加密算法、鉴别算法、密钥管理、解释域和策略组成。( 1)体系结构:覆盖了定义IP 安全技术的一般性概念、安全需求、定义和机制。( 2)封装安全有效载荷(ESP) :覆盖了使用ESP 进行分组加密和可选的鉴别有关分组的格式和一般问题。( 3)鉴别首部:覆盖了使用All 进行分组鉴别的分组的格
21、式和一般问题。( 4)加密算法:一组文档描述了怎样将不同的加密算法用于ESP。( 5)鉴别算法:一组文档描述了怎样将不同的鉴别算法用于AH 和 ESP可选的鉴别选项。( 6)密钥管理:描述密钥管理机制的文档。( 7)解释域:包含了其他文档需要的为了彼此间相互联系的一些值。( 8)策略:决定两个实体之间能否通信,以及如何进行通信。2.简述 IPSec 协议的工作原理。答: IPSec(Internet 协议安全)是一个工业标准网络安全协议,为IP 网络通信提供透明的安全服务, 保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。 IPSec两个基本目标:保护IP 数据包
22、安全;为抵御网络攻击提供防护措施。为了达到上述目标IPSec提供了两种安全机制:认证和加密。IPSec 协议组包含认证头(AH )协议、封装安全有效载荷(ESP)协议和Internet 密钥交换( IKE )协议。其中AH 协议定义了认证的应用方法,提供数据源认证、完整性和反重播保证;ESP 协议定义了加密和可选认证的应用方法,提供可靠性保证。3.简述 SSL 协议的工作过程。答: SSL 协议的工作过程如下:(1)客户端向服务器提出请求,要求建立安全通信连接。(2)客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度。(3)服务器将其服务器证书发送给客户端。该证书包含服务器的公钥,并
23、用CA 的私钥加密。(4)客户端使用CA 的公钥对服务器证书进行解密,获得服务器公钥。客户端产生用户创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器。(5)服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其使用服务器公钥加密,再发送给客户端。这样服务器和客户端上方都拥有了会话密钥。(6)服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间德安数据传输使用的是对称加密。4.简述 SET 协议的安全体系结构。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共
24、 12 页 - - - - - - - - - 答: SET 协议的安全体系由支付系统参与各方组成了系统逻辑结构。参与方主要有:(1)持卡人,即消费者。电子商务环境中,消费者通过web 浏览器或客户端软件购物,与商家交流,通过发卡机构颁发的付款卡进行结算。(2)商家:提供在线商店或商品光盘给消费者。(3)发卡机构:它是一金融机构,为持卡人开帐户,并且发放支付卡。(4)银行:它为商家建立帐户,并且处理支付卡的认证和支付事宜。(5)支付网关:是由受款银行或指定的第三方操纵操作的设备,它将Internet 上传输的数据转换为金融机构内部数据,并处理商家的支付信息,同时也包括来自消费者的支付指令。习题
25、 4 一、简答题1.防火墙的功能是什么?答:防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件。是一种允许或阻止业务来往的网络通信安全机制,提供可控的过滤网络通信,只允许授权的通信。目的是保护网络不被他人侵扰。通过使用防火墙可以实现以下功能。(1)隐藏内部网络。 (2)控制内网络对外部网络的访问。(3)控制外部网络用户对内部网络的访问。(4)监视网络安全,并提供安全日志并预警。( 5)缓解 IP 地址空间短缺问题。 (6)对内部用户的Internet 使用进行审计和记录。 (7)引出DMZ区域,可设置各种服务器。除了上面的功能,现在的很多防火墙还具备一些流量控制和抵御DoS
26、 攻击的功能,但是这些功能不属于普遍的防火墙功能。2.包过滤防火墙和代理防火墙的工作原理是什么?答:包过滤防火墙是通过数据包的包头信息和管理员设定的规则表比较后,来判断如何处理当前的数据包的。其工作过程如下:(1)数据包从外网传送到防火墙后,防火墙抢在IP 层向 TCP 层传送前,将数据包转发给包检查模块进行处理。(2)包检查模块首先将包头信息与第一条规则进行比较,如果与第一条规则匹配,则对它进行审核判断是否转发该数据包,如果是转发,则将数据包转发给TCP 层处理,否则就将该报丢弃。(3)如果包头信息与第一条规则不匹配,则与第二条规则比较。接下来的步骤与上同。直到所有规则都比较完毕。要是都不匹
27、配,则丢弃该数据包。代理客户端的用户与代理服务器交谈而不是面对远在因特网上的“真正的”服务器。代理服务器评价来自客户的请求,并且决定认可哪一个或否认哪一个。如果一个请求被认可,代理服务器代表客户接触真正的服务器,并且转发从代理客户到真正的服务器的请求,并将服务器的相应传送回代理客户。3.简述软件防火墙和硬件防火墙的优缺点。答:防火墙可以是硬件防火墙,也可以是软件防火墙。硬件防火墙安装简单,性能高,可以避免操作系统的安全性漏洞。高带宽,高吞吐量,真正线速防火墙。安全与速度同时兼顾。没有用户限制。性价比高。管理简单、快捷。软件防火墙运行在通用操作系统上,性能依靠于计算机CPU 、内存等。基于通用操
28、作系统,对底层操作系统的安全依赖性很高。由于操作系统平台的限制,极易造成网络带宽瓶颈。但可以满足低带宽低流量环境下的安全需要,高速环境下容易造成系统瓶颈。有用户限制。软件防火墙的优点在于:件防火墙有着硬件防火墙少有的扩充性和易操控性。因此,对于大型网络,网络流量大,与外部联系较多,且内部数据比较重要,就要求由高性能硬件防火墙。对于中小型网络,其网络流量不是很大,对管理需要精简管理费用,这时就可以选择软件防火墙产品。4.简述如何选择一个合适的防火墙。答:一个好的防火墙应该具备如下的特点:(1)自身的安全性。 (2)系统的稳定性。 (3)是否高效。(4)是否可靠。 (5)是否功能灵活、强大。(6)
29、是否配置方便。 (7)是否可以抵抗拒绝服务攻击。 (8)是否可扩展、可升级等等名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 12 页 - - - - - - - - - 习题 5 一、简答题1.简述密码体制的分类方法。答:按密钥使用的数量不同,对密码体制可以分为对称密码(又称为单钥密码)和公钥密码(又称为非对称密码) 。对于对称密钥密码而言,按照针对明文处理方式的不同,又可以分为流密码和分组密码。2.简述公钥密码体制的密钥分配机制。答:常用的公钥分配方法有以下几种:(1
30、)公开发布。用户将自己的公钥发给所有其他用户或向某一团体广播。这种方法简单但有一个非常大的缺陷,别人能容易地伪造这种公开的发布。(2)公钥动态目录表。指建立一个公用的公钥动态目录表,表的建立和维护以及公钥的分布由某个公钥管理机构承担,每个用户都可靠地知道管理机构的公钥,由于每一用户要想与他人通信都要求助于公钥管理机构,因而公钥管理机构有可能成为系统的瓶颈,而且公钥目录表也容易被窜扰。分配公钥的一种安全有效的方法是采用公钥证书,用户通过公钥证书相互之间交换自己的公钥而无需与公钥管理机构联系。(3)公钥证书。 公钥证书内证书管理机构CA 为用户建立, 其中的数据项有该用户的公钥、用户的身份和时戳等
31、。所有的数据经CA 用自己的私钱签字后就形成证书。证书中可能还包括一些辅助信息,如公钥使用期限、公钥序列号或识别号、采用的公钥算法、使用者的住址或网址等。二、操作题1.提示:见3.4.1 节。2.提示:见实例5-2。习题 6 一、简答题1.什么是入侵检测系统?一般网络IDS 有哪几个组成部分?答:入侵检测系统(Intrusion Detection System ,IDS)指的是任何有能力检测系统或网络状态改变的系统或系统的集合。一般IDS 是由检测引擎(又称为sensor ) 、监视和存储主机、分析器或控制站三部分组成。2.简述主机入侵检测系统的结构。答:主机型入侵检测系统一般由审计数据源、
32、审计记录数据库、审计数据分析器组成。审计数据源即是目标系统中的审计数据如日志数据等,审计记录数据库是正常的系统数据记录如文件属性和进程状态等,审计数据分析器是根据审计数据源和审计记录数据库来检测系统是否存在被入侵的行为。3.简述网络入侵检测系统的结构。答:网络入侵检测系统包括一般的网络系统本身、检测引擎、存储警报信息的数据库系统、入侵特征数据库、分析控制台等组成。4.简述分布式入侵检测系统的结构。分布式入侵检测系统一般由全局检测器及控制台系统、n 个检测器及相应的攻击特征库、n个数据采集器等组成。5.简述 IDS 和 IPS 的区别。答: IDS 能检测到信息流中的恶意代码,但由于是被动处理通
33、信,本身不能对数据流作任何处理。 IPS 是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS 的检测功能类似于 IDS,但 IPS 检测到攻击后会采取行动阻止攻击,可以说IPS 是基于 IDS 的、是建立在 IDS 发展的基础上的新生网络安全产品。二、操作题名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 12 页 - - - - - - - - - 可参见“ Quidway SecEn
34、gine D500 入侵检测系统用户手册” (http:/ )习题 7 一、简答题1. 什么是计算机病毒,病毒的基本特征是什么?答: 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的共同特征如下:(1)传染性。传染性是病毒的最基本特征。计算机病毒有很强的再生机制,病毒程序一旦加到运行的程序体上,就能感染其它程序,并且迅速扩散到整个计算机系统,当与网络进行数据交换时,也将病毒在网上传播。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。(2)破坏性。 病毒指的是带有破坏性质的恶意程序,所以病毒对系
35、统的破坏性成为其重要的衡量方式。由于计算机病毒的破坏能力各不相同,将其分为良性病毒和恶性病毒。(3)隐蔽性。 大多数计算机病毒是代码设计非常短小的程序。它通常把自己隐蔽在系统正常程序中,以防止用户发现。隐蔽性是病毒的反侦察特性。(4)潜伏性。计算机病毒入侵系统后,一般不立即发作,而是具有一定的潜伏期。一般在潜伏期中,病毒进行大量的复制,直到用户触发的时候,才暴发出其强大的破坏性。(5)触发性。触发性又叫激发性,它指的是病毒在某种情况的激活下产生的破坏过程。大多数病毒都在进入系统后有一段时间的潜伏性,随着到达病毒的触发条件时,病毒就激活了。 2. 根据病毒寄生方式分类,病毒可分哪几类?答: 计算
36、机病毒按照其寄生方式,分为以下几种: (1)网络型病毒。 通过计算机网络传播、感染网络中的可执行文件. 病毒入侵网络系统的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。引导型病毒对工作站或服务器的硬盘分区表或DOS 引导区进行传染。 通过在有盘工作站上执行带毒程序,而传染服务器映射盘上的文件。由于病毒在网络中传播速度非常快,故其扩散范围很大,所以网络型病毒清除难度大。(2)文件型病毒。文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。 一般只传染磁盘上的可执行COM 文件(如 EXE文件) 。被感染的文件分为可执行文件类和文本文件类。(3)引导
37、型病毒。引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它依托的环境是 BIOS中断服务程序。引导型病毒主要感染软盘、硬盘的引导扇区或主引导扇区,在用户对软盘硬盘进行读写操作时进行感染。(4)复合型病毒。 混合型病毒不仅传染可执行文件而且还传染硬盘引导区,被这种病毒传染的系统用格式化命令都不能消除此类病毒。具有引导型病毒和文件型病毒寄生方式的计算机病毒称作复合型病毒。因此扩大了这种病毒的传染途径。3. 什么是木马病毒?答: 木马病毒带有黑客性质,它有强大的控制和破坏能力,可进行窃取密码、 控制系统操作、进行文件操作等。木马由客户端和服务器端两个执行程序组成,客户端是用于攻击者远程
38、控制植入木马的机器,服务器端程序即是木马程序。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马入侵目标计算机后,会把目标计算机的IP 地址、 木马端口等信息发判断给入侵者,从而使入侵者利用这些信息来控制目标计算机。目前的木马病毒的类型包括普通的以单独 EXE文件执行的木马、进程插入式木马和Rootkit类木马。4. 什么是宏病毒?答: 宏病毒就是使用Word的 VBA编程接口,编写的具有病毒特征的宏集合。它危害性大,它以二进制文件加密压缩格式存入.doc 或 .dot文件中,它通过 WORD 文档或模板进行大量自我复制及传染。一旦运行宏病毒,相应的Normal 模板会被传染,所有打
39、开的word 文档都会在自动保存时被传染。多数宏病毒包含AutoExec、AutoOpen 和 AutoNew等自动宏, 通过这些自动宏名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 12 页 - - - - - - - - - 病毒取得文档(模板)操作权。宏病毒的种类很多,版本也各不相同,为了能查杀各类宏病毒,关键是恢复文件参数。一般的杀毒软件均以查杀宏病毒。5. 什么是蠕虫病毒?答: 蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它大量消耗系统资源,使其
40、它程序运行减慢以至停止,最后导致系统和网络瘫痪。蠕虫病毒的传染目标是互联网内的所有计算机,从而导致网络瘫痪。蠕虫病毒分为两类:一种利用系统漏洞主动进行攻击;另外一种通过网络服务传播。6. 什么是 PE病毒?答:PE 病毒是指所有感染Windows下 PE文件格式的病毒。 PE病毒大多数采用Win32 汇编编写。该病毒感染普通PE EXE文件并把自己的代码加到EXE文件尾部,修改原程序的入口点以指向病毒体 ,PE 病毒病毒没有.data段, 变量和数据全部放在.code 段,病毒本身没有什么危害. 但被感染的文件可能被破坏不能正常运行。7. 简述病毒处理的步骤。答: 计算机病毒的处理包括防毒、查
41、毒、杀毒三方面;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。(1) 防毒。防毒是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、 E-MAIL、 HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。(2) 查
42、毒。查毒是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区) 、网络等。查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。(3) 杀毒。 杀毒是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。 该恢复过程不能破坏未被病毒修改的内容。感染对象包括: 内存、引导区 (含主引导区) 、可执行文件、文档文件、网络等。8. 简述查杀病毒的几种新技术。答:(1) 宏指纹技术。此项技术是基于Office复合文档BIFF 格式精确查杀各
43、类宏病毒的技术,它可以查杀所有的在Office文档中存在的可知的和未知的宏病毒,并且可以修复部分被破坏的 Office文档。(2) 嵌入式杀毒技术。 嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS-Office 、Outlook 、IE 、Winzip 、迅雷等应用软件进行被动式杀毒。(3) 未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。(4) 病毒免疫技术。 病毒免疫指的是加强自主
44、访问控制和设置磁盘禁写保护区来实现病毒免疫的技术。由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离。习题 8 1. 常见的网络管理新技术有哪些?答:(1)RMON 技术。 RMON 即远程网络监控。RMON 的目标是为了扩展SNMP 的 MIBII (管理信息库),使 SNMP 更为有效、更为积极主动地监控远程设备。RMON MIB 由一组统计数据、分析数据和诊断数据构成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析功能。 RMON探测器和 RMON 客户机软件结合在一起在网络环境中实名师资料总结 - - -精品资料欢迎下载
45、- - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 12 页 - - - - - - - - - 施 RMON 。RMON 的监控功能是否有效,关键在于其探测器要具有存储统计数据历史的能力,这样就不需要不停地轮询才能生成一个有关网络运行状况趋势的视图。当一个探测器发现一个网段处于一种不正常状态时,它会主动与网络管理控制台的RMON 客户应用程序联系,并将描述不正常状况的捕获信息转发。(2) 基于 Web的网络管理技术。 基于 Web的网络管理系统的根本点就是允许通过Web浏览器进行网络管理。基于Web的网络管理模式的
46、实现有两种方式。第一种方式是代理方式,即在一个内部工作站上运行Web服务器 (代理)。这个工作站轮流与端点设备通信,浏览器用户与代理通信,同时代理与端点设备之间通信。在这种方式下,网络管理软件成为操作系统上的一个应用。它介于浏览器和网络设备之间。在管理过程中,网络管理软件负责将收集到的网络信息传送到浏览器 (Web服务器代理),并将传统管理协议转换成Web协议。第二种实现方式是嵌入式。它将 Web功能嵌入到网络设备中,每个设备有自己的Web地址,管理员可通过浏览器直接访问并管理该设备。在这种方式下,网络管理软件与网络设备集成在一起。网络管理软件无须完成协议转换。所有的管理信息都是通过HTTP协
47、议传送。2. 常见的网络管理模式有几种类型?分别各有什么特点?答:(1) 集中式网络管理。集中式网络管理系统可以统管全部网络。全网所有需要管理的数据,均存储在一个集中的数据库中。这种系统的优点是网络管理系统处于高度集中、易于全面做出决断的最佳位置,网络升级时仅需要处理集中点。由于所有数据均接到统一的中央数据库,所以易于管理、维护和扩容。它的缺点是中央数据库一旦出现故障,将导致全网瘫痪;此外建设网络管理系统的链路承载的业务量很大,有时将超出负荷能力。采用这类的管理方式,包括HP公司的 Open View NMS 、Cabletron Systems公司的 Spectrum 、IBMTivli公司
48、的 Net View和 Sun Microsystems公司的 Net Manager 等网络管理系统。(2) 分级式网络管理。这种网络管理模式是由一个网络管理系统,即经理人作为另外几个网络管理系统经理人的总经理人。由各经理人管理各自所管辖的领域,而由总经理人总的管辖对其他经理人所应管辖的部分。这种系统的优点是分散了网络/资源的负荷, 使得各个网络管理可更接近被管单元,降低了总网络管理系统需收集传送的业务量,该系统比集中式网管系统可靠。这种网络管理系统的缺点是比集中式系统复杂,系统设备价格也相应有所提高。国际上已采用这种模式的系统有HP Open View (高层和较低层的NMS )以及 Ci
49、sco Networks(较低层NMS )等网络管理系统。(3) 分布式网络管理。这是一种与管理系统设备位置无关的网管系统。虽然它与位置无关,但是从收集网管的数据等功能来说,还是可以集中的。分布式网络管理模式的优点是完全分散了网络 / 资源的负荷, 网络管理系统的规模大小可按需要来任意调整,这种网络管理模式具有很高的可靠性(无单点障碍)。其缺点是系统设备更复杂些(需要有分布应用的架构)。这是一种崭新、并正在迅速发展及扩大其应用的网络管理技术,尚无标准可循。这类模式已普遍被国际接受,被认为是最有前途的新模式和高技术。3.OSI 网络管理功能体现在哪几个方面?答:(1) 故障管理。故障管理指系统出
50、现异常情况下的管理操作。在大型计算机网络中,当发生网络故障时,往往不能轻易、具体地确定故障所在的准确位置。因此,需要有一个故障管理系统,科学地管理网络发生的所有故障,并记录每个故障的产生及相关信息,最后确定并改正那些故障,保证网络能提供连续可靠的服务。故障管理的目标是自动监测、记录网络故障并通知用户,以便网络有效地运行。(2) 计费管理。计算机网络系统通过计费系统来记录和统计用户和通信线路的数据传输量,并记录操作动作。以此来监视线路工作的繁闲情况和不同资源的利用情况,以供决策参考。计费管理负责记录网络资源的使用情况和使用这些资源的代价。计费管理的目标是衡量网络的利用率,以便一个或一组用户可以按