网络安全知识要点总结

第一章 结论

一、识记

1. 计算机网络系统面临的典型安全威胁：窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2. 计算机网络安全的定义：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保活。
3. 计算机网络安全的目标：保密性、完整性、可用性、不可否认性、可控性
4. P2DR模型的结构：它是一种常用的网络安全模型，包含四个部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。
5. 网络安全的主要技术：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术。

二、领会

1. OSI安全体系结构：OSI安全体系结构不是能实现的标准，而是关于如何设计标准的标准。安全服务：OSI安全体系结构定义了五大类安全服务，也称为安全防护措施， 鉴别服务；访问控制服务；数据机密性服务；数据完整性服务；抗抵赖性服务。 安全机制：其基本的机制有：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制。
2. 计算机网络安全管理的主要内容：网络安全体系；网络攻击手段与防范措施；网络安全设计；网络安全标准、安全评测认证；网络安全监测技术；网络安全设备；网络安全管理，安全审计；网络犯罪侦察；网络安全理论与政策；网络安全教育；网络安全法律。概括起来网络安全包括以下三个部分：先进的技术，严格的管理，威严的法律。
3. 网络安全威胁的发展趋势：
   与Internet更加紧密地结合，利用可以一切可以利用的方式进行传播。
   所有的病毒都具有混合型特征，集文件传染、蠕虫、木马和黑客程序的特点于一身，破坏性大大增强。
   其扩散速度极快，而更加注重欺骗性。
   利用系统漏洞将成为病毒有力的传播方式。
   无线网络技术的发展，使远程网络攻击的可能性加大。
   各种境外情报、谍报人员将越来越多的通过信息网络渠道收集情报和窃取资料。
   各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁。
   各种攻击技术的隐秘性增强，威胁高强度密码的安全性。
   一些政府部门的超级计算机资源将成为攻击者利用的跳板。
   网络管理安全问题日益突出。
4. 网络安全技术的发展趋势（网络安全主要实用技术的发展）：网络安全技术的发展是多维的、全方位的、主要有以下才几种：
   物理隔离
   逻辑隔离
   防御来自网络的攻击
   防御网络上的病毒
   身份认证
   加密通信和虚拟专用网
   入侵检测和主动防卫
   网管、审计、取证

三、应用
分析给定网络可能存在的安全威胁

第二章 物理安全

一、识记

1. 物理安全包含的主要内容：机房环境安全，通信线路安全，设备安全，电源安全
2. 硬件设备的使用管理：①要根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，并严格按操作规程进行操作;②建立设备使用情况日志，并严格登记使用过程的情况;③建立硬件设备故障情况登记表，详细记录故障性质和修复情况;④坚持对设备进行例行维护和保养，并指定专人负责。
3. 电源对用电设备安全的潜在威胁:①脉动与噪声。②电磁干扰。当电源的电磁干扰比较强时，产生的电磁场就会影响到硬盘等磁性存储介质，久而久之就会使存储的数据受到损害。

二、领会

1. 机房安全等级划分标准
   答:机房的安全等级分为A类、B类和C类三个基本类别。
   A类:对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。
   B类:对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。
   C类:对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。
2. 电磁辐射的防护措施
   防护措施主要有两类:
   一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合;
   另一类是对辐射的防护，这类防护措施又可以分为两种:一种是米用各种电做用敝首地，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水官、暧官立属 图13AB打4离;第二种是干扰的防护措施，即在计算机系统工作的同时，利用十扎农单厂土一什了H开0小统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
   为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波及接地等，其中屏蔽是应用最多的方法。
3. 机房供电的要求和方式
   答:对机房安全供电的方式分为三类:一类供电:需建立不间断供电系统。二类供电:需建立带备用的供电系统。三类供电:按一般用户供电考虑。

三、应用
根据所需建设的网络系统要求，分析机房安全、通信线路安全和供电的需求

第三章 信息加密与PKI

一、识记

1. 明文、密文、密钥、加密算法、解密算法等基本概念
   答:明文(Plaintext）是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集称为明文空间，通常用M或P来表示。
   密文(Cliphertext)是明文经加密变换后的结果，即消息被加密处理后的形式，
   通常用c表示。
   密钥(Key)是参与密码变换的参数，通常用k表示。
   加密算法(Encryption Algorithm）是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示，即c=Ek§。
   解密算法(Decryption Algorithm)是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D表示，即p-Dk ©。
2. 加密体制的分类
   答:密码体制从原理上可分为两大类:
   ①单钥或对称密码体制。最有影响的是DES算法，另有国际数据加密算法IDEA。单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。
   ②双钥或非对称密码体制。最有名的是RSA密码体制，另有ElGamal算法。
   双钥密码的优点是可以公开加密密钥，适应网络的开放性要求，且仅需保密解密密钥，所以密钥管理问题比较简单。缺点是双钥密码算法一般比较复杂，加解密速度慢。
   双钥密码体制的产生主要基于两个原因:一是为了解决常规密钥密码体制的密钥管理与分配的问题;二是为了满足对数字签名的需求。
   在双钥密码体制中，公开密钥是可以公开的信息，而私有密钥是需要保密的。
3. 认证技术的分层模型
   答:认证技术分为三个层次:
   ①安全管理协议。主要任务是在安全体制的支持下，建立、强化和实施整个网络系统的安全策略。典型的安全管理协议有公用管理信息协议(CMIP)、简单网络管理协议(SNMP)和分布式安全管理协议(DSM)。
   ②认证体制。在安全管理协议的控制和密码体制的支持下，完成各种认证功能。典型的认证体制有Kerberos体制、x.509体制和Light Kryptonight体制。
   ③密码体制。是认证技术的基础，它为认证体制提供数学方法支持。典型的密码体制有DES体制、RSA体制。
4. 常用的数据加密方式
   答:①链路加密;②节点加密;③端到端加密。
5. 认证体制应满足的条件
   答:一个安全的认证体制应该至少满足以下要求
   ①意定的接收者能够检验和证实消息的合法性、真实性和完整性。
   ②消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息。
   ③除了合法的消息发送者外，其他人不能伪造发送消息。
6. PKI的基本概念和特点
   答: PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。
   特点:透明性、一致性。
   附:
   1、密码学的发展经历了三个阶段:古代加密方法、古典密码和近代密码。
   2、身份认证常用的方式主要有两种:通行字(口令）方式和持证方式。

二、领会

1. 单钥密码体制与双钥密码体制的区别
   答:①单钥密码体制的加密密钥和解密密钥相同，从一个可以推出另外一个;双钥密码体制的原理是加密密钥与解密密钥不同，从一个难以推出另一个。②单钥密码体制基于代替和换位方法;双钥密码算法基于数学问题求解的困难性。③单钥密码体制是对称密码体制;双钥密码体制是非对称密码体制。
2. DES、IDEA、RSA加密算法的基本原理
   答:DES即数据加密标准（Date Encryption Standard)于1977年由美国国家标准局公布，是IBM公司研制的一种对二元数据进行加密的分组密码，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展。密钥长度为64bit，其中有效密钥长度56bit，其余8bit为奇偶校验。DES的整个体制是公开的，系统的安全性主要依赖于密钥的保密，其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP"及16个子密钥产生器构成。
   IDEA是International Data Encryption Algorithm的缩写，即国际数据加密算法。它是根据中国学者朱学嘉博士与著名密码学家James Massey于1990年联合提出的建议标准算法PES改进而来的。它的明文与密文块都是64bit，密钥长度为128bit，作为单钥体制的密码，其加密与解密过程雷同，只是密钥存在差异，IDEA无论是采用软件还是硬件实现都比较容易，而且加解密的速度很快。
   RSA体制是由R.L.Rivest和L.Adleman设计的用数论构造双钥的方法，它既可用于加密，也可用于数字签名。RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。
3. 认证的三个目的
   答:认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术，其目的:
   一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改;
   二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等;
   三是消息的序号和操作时间(时间性)等的认证，其目的是防止消息重放或延迟等攻击。
4. 手写签名与数字签名的区别
   答:手写签名与数字签名的主要区别在于:
   一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异;
   二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。
5. 数字签名与消息认证的区别
   答:数字签名与消息认证的区别是:消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对于防止第三者破外是有效的，但自仔仕利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进
   行更有效的消息认证。
6. PKI认证技术的组成
   答:公钥基础设施（Public Key Infrastructure，PKI)，主要包括:
   ①CA认证机构。CA作为数字证书签发机构，是PKI的核心，是PKI应用中权威的、可信任的，公正的第三方机构。②证书库。是CA颁发证书和撤销证书的集中存放在，是网上的一种公共信息库，供广大用户进行开往式查询。③证书撤销。④密钥备份和恢复。⑤自动更新密钥。⑥密钥历史档案。⑦交叉认证。⑧不可否认性。⑨时间戳。⑩客户端软件。

第4章防火墙技术

一、识记

1. 防火墙的基本概念
   答:防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
2. 防火墙的体系结构类型
   答:防火墙的体系结构一般有以下几种
   ①双重宿主主机体系结构;②屏蔽主机体系结构;③屏蔽子网体系结构。
3. 个人防火墙的特点
   答:个人防火墙的优点:
   ①增加了保护级别，不需要额外的硬件资源。
   ②个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。
   ③个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如IP地址之类的信息等。
   个人防火墙的缺点:
   ①个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。②个人防火墙在运行时需要战用个人计算机的内存、CPU时间等资源。
   ③个人防火墙只能对单机提供保护，不能保护网络系统。
4. 防火墙的发展趋势
   答:①优良的性能;②可扩展的结构和功能;③简化的安装与管理;④主动过滤;⑤防病毒与防黑客;⑥发展联动技术。

二、领会

1. 防火墙的主要功能
   答:无论何种类型的防火墙都应具备五大基本功能:
   (1)过滤进、出网络的数据
   (2）管理进、出网络的访问行为
   (3）封堵某些禁止的业务
   (4）记录通过防火墙的信息内容和活动
   (5）对网络攻击检测和告警
2. 防火墙的局限性
   答:主要体现在以下几个方面
   (1)网络的安全性通常是以网络服务的开放性和灵活性为代价
   防火墙通常会使网络系统的部分功能被削弱。
   ①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻
   碍;
   ②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传
   输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。
   (2〉防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失
   ①只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力;
   ②不能解决来自内部网络的攻击和安全问题;
   ③不能防止受病毒感染的文件的传输;
   ④不能防止策略配置不当或错误配置引起的安全威胁;
   ⑤不能防止自然或人为的故意破坏;
   ⑥不能防止本身安全漏洞的威胁。
3. 数据包过滤技术的工作原理P.110
   答:包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。
   数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。
   数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，这通常安装在路由器上。
   数据包过滤防火墙的缺点有两个:
   一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击;
   二是数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
4. 代理服务技术的工作原理
   答:代理服务器(Proxy)技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。
   所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。
   代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制;而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。
   代理服务器(Proxy Server)作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应。代理客户机(Proxy Client)负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。
5. 状态检测技术的工作原理
   答:基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。
   状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包，然后分析这些数据包的当前状态，并将其与前一时刻相应的状态信息进行对比，从而得到对该数据包的控制信息。
   检测引擎支持多种协议和应用程序，并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前，检测引擎通过状态监视器要收集有关状态信息，结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。一旦有某个访问违反了安全规则，该访问就会被拒绝，记录并报告有关状态信息。
6. NAT技术的工作原理
   答:网络地址转换(Network Address Translation，NAT），这是一个Internet工程任务组(Internet Engineering Task Force ,IETF)的标准，允许一个整体机构以一个公用IP地址出现在互联网上，这是一种把内部私有IP地址翻译成合法网络IP地址的技术。
   NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享互联网连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入互联网中。这时，NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到NAT的存在。
   NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
7. 个人防火墙的主要功能
   答:
   ①IP数据包过滤功能
   ②安全规划的修订功能
   ③对特定网络攻击数据包的拦截功能
   ④应用程序网络访问控制功能
   ⑤网络快速切断/恢复功能
   ⑥日志记录功能
   ⑦网络攻击的报警功能
   ⑧产品自身安全功能

第五章 入侵检测技术

一、识记

1. 入侵检测的原理
   答:入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。
   入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一-种方法，其应用前提是:入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。
   入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据， 二是如何根据特征数据,高效并准确地判定行为的性质。
2. 入侵检测的系统结构组成
   答:根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器。
3. 入侵检测系统的分类.
   答: (1)基于数据源的分类:基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。
   (2)基于检测理论的分类:异常检测和误用检测。
   (3)基于检测时效的分类:在线检测和离线检测。
4. 分布式入侵检测的优势和技术难点.
   答:分布式入侵检测的优势
   ①检测大范围的攻击行为;②提高检测的准确度;③提高检测效率;④协调响应措施。
   分布式入侵检测的技术难点
   ①事件产性及存储;②状态空间管理及规则复杂度;③知识库管理;④推理技术。
5. 入侵检测系统的主要标准的名称
   答:①IETF/IDWG。 IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP) 及隧道轮廓(Tunnel Profile) ;
   ②CIDF。CIDF的工作集中体现在四个方面: IDS的体系结构、通信机制、描述语言和应用编程接口API。

二、领会

1. 入侵检测系统的分析模型
   答:分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段:
   ①第一阶段主要进行分析弓|擎的构造,分析引擎是执行预处理、分类和后处理的核心功能;
   ②第二阶段,入侵分析主要进行现场实际事件流的分析,在这个阶段分析器通过分析现场的实际数据，识别出入侵及其他重要的活动;
   ③第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新，与此同时,一些误用检测引擎还对系统进行优化工作, 如定期删除无用记录等。对于异常检测，历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。
2. CIDF体系结构组成
   答: CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础 上提出了一个通用模型，将入侵检测系统分为四个基本组件，事件产生器、事件分析器、响应单元和事件数据库。
   在该模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。
   以上四个组件只是逻辑实体，一 个组件可能是某台计算机上的一一个进程甚至线程,也可能是多个计算机上的多个进程，它们以GIDO (统一入侵检测对象)格式进行数据交换。

第六章 网络安全检测技术

一、识记

1. 安全威胁的概念
   答:安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。
2. 安全漏洞的概念
   答:安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。
3. 端口扫描的基本原理
   答:端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP端口和UDP端口两大类，因此端口扫描技术也可以相应地分为TCP端口扫描技术和UDP端口扫描技术。

二、领会

1. 网络安全漏洞的分类方法
   答:漏洞的分类方法主要有①按漏洞可能对系统造成的直接威胁分类;②按漏洞的成因分类两大类。
2. 操作系统类型探测的主要方法
   答:由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统类型信息是网络安全检测的一个重要内容。
   操作系统探测技术主要包括:
   ①获取标识信息探测技术; .
   ②基于TCP/IP协议栈的操作系统指纹探测技术;
   ③ICMP响应分析探测技术。
3. 信息型漏洞探测和攻击型漏洞探测技术的原理P.186
   答: (1) 信息型漏洞探测原理:大部分的网络安全漏洞都与特定的目标状态直接相关，因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。该技术具有实现方便、对目标不产生破坏性影响的特点，广泛应用于各类网络安全漏洞扫描软件中。其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。这主要是因为该技术在本质上是一种间接探测技术，探测过程中某些不确定因素的影响无法完全消除。
   为提高漏洞探测的准确率和效率,引进如下两种改进措施:
   顺序扫描技术，可以将收集到的漏洞和信息用于另一个扫描过程以进行更 深层次的扫描–即以并行方式收集漏洞信息,然后在多个组件之间共享这些信息。
   多重服务检测技术，即不按照RFC所指定的端口号来区分目标主机所运行的服务，而是按照服务本身的真实响应来识别服务类型。
   (2)攻击型漏洞探测原理:模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的-般过程，对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。
   模拟攻击技术也有其局限性，首先,模拟攻击行为难以做到面面俱到，因此就有可能存在一些漏洞无法探测到;其次,模拟攻击过程不可能做到完全没有破坏性,对目标系统不可避免地会带来一定的负面影响。
   模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。
   附:按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击型漏洞探测。
   按照漏洞探测的技术特征，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。

第七章 计算机病毒与恶意代码

一、识记

1. 计算机病毒的定义
   答:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一-组计算机指令或者程序代码。
2. 计算机病毒的主要危害
   答:①直接破坏计算机数据信息;②占用磁盘空间和对信息的破坏;③抢占系统资源;④影响计算机运行速度;⑤计算机病毒错误与不可预见的危害;⑥计算机病毒的兼容性对系统运行的影响;⑦给用户造成严重的心理压力。
3. 计算机病毒的防范手段
   答:①特征代码法;②检验和法;③行为监测法;④软件模拟法。
4. 恶意代码的特征与分类
   答:①恶意的目的;②本身是程序;③通过执行发生作用。
5. 恶意代码的防范措施
   答:①及时更新系统，修补安全漏洞;②设置安全策略，限制脚本程序的运行;③启用防火墙,过滤不必要的服务和系统信息;④养成良好的上网习惯。

二、领会

1. 计算机病毒的特征
   答:根据计算机病毒的产生、传染和破坏行为的分析，计算机病毒一般具有以下特征:
   ①非授权可执行性;②隐蔽性;③传染性;④潜伏性;⑤表现性或破坏性;⑥可触发性。
2. 计算机病毒的分类.
   答:计算机病毒的分类有:
   (1)按照病毒攻击的系统分类
   ①攻击DOS系统的病毒;②攻击Windows系统的病毒 ;③攻击UNIX系统的病毒;④攻击OS/2系统的病毒。
   (2)按照病毒的攻击机型分类
   ①攻击微型计算机的病毒;②攻击小型机的计算机病毒;③攻击工作站的计算机病毒。
   (3)按照病毒的链接方式分类
   ①源码型病毒;②嵌入型病毒;③外壳型病毒;④操作系统型病毒。
   (4)按照病毒的破坏情况分类
   ①良性计算机病毒;②恶性计算机病毒。
   (5)按照病毒的寄生方式分类
   ①引导型病毒;②文件型病毒;③复合型病毒。
   (6)按照病毒的传播媒介分类
   ①单机病毒;②网络病毒。
3. 常用计算机病毒检测手段的基本原理
   答: (1) 特征代码法。实现步骤:①采集已知病毒样本;②在病毒样本中，抽取特征代码。③打开被检测文件,在文件中搜索,检查文件中是否有病毒数据库中的病毒特征代码。
   特征代码法的特点:①速度慢;②误报警率低;③不能检查多形性病毒;④不能对付隐蔽性
   病毒。
   (2)检验和法。将正常文件的内容，计算其校验和,将该检验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用前，检查文件现在内容算出的校验和与原来保存的校验和是否一致， 因而可以发现文件是否感染,这种方法称为校验和法，这既可以发现已知病毒，又可以发现未知病毒。
   (3)行为监测法。利用病毒特有行为特征来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为， 而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。
   (4)软件模拟法。多态性病毒每次感染都变化其病毒密码，对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同,把染毒的病毒代码相互比较，也无法找出相同的可能用为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知道病毒的种类,难于进行消毒处理。
   软件模拟法可以检测多态性病毒，这是一种软件分析器，用软件方法来模拟和分析程序的运行。新型检测工具纳入了软件模拟法，该类工具开始运行时,使用特征代码法检测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码后,再运行特征代码法来识别病毒的种类。
4. 恶意代码的关键技术
   答:恶意代码的主要关键技术有:
   ①生存技术。主要包括4个方面:反跟踪技术、加密技术、模糊变换技术和自动生产技术。
   ②攻击技术。常见攻击技术包括:进程注入技术、三线程技术、端口复用技术、对抗检测技术、端口反向连接技术和缓冲区溢出攻击技术等。
   ③隐藏技术。隐藏技术通常包括本地隐藏和通信隐藏。本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等;通信隐藏主要包括通信内容隐藏和传输通道隐藏。

第八章 网络安全解决方案

一、识记

1. 计算机网络安全设计遵循的基本原则
   答:①需求、风险、代价平衡分析的原则;②综合性、整体性原则;③-致性原则; ④易操作性原则;⑤适应性、灵活性原则;⑥多重保护原则;
2. 网络安全体系的主要内容
   答:网络安全体系结构是对网络信息安全基本问题的应对措施的集合，通常由保护、检测、响应和恢复等手段构成。
   保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面，构成了一个完整的体系，使网络信息安全建筑在更坚实的基础上。四个概念之间存在着一定的因果和依存关系，形成一个整体。如果全面的保护仍然不能确保安全，就需要检测来为响应创造条件;有效与充分地响应安全事件，将大大减少对保护和恢复的依赖;恢复能力是在其他措施均失效的情形下的最后保障机制。
   可以看出，计算机网络的安全保护是一一个涉及多 个层面的系统工程，必须全面、协调地应用多种技术才能达到有效保护的目的。
3. 网络安全解决方案的基本概念
   答:一份好的网络安全解决方案，不仅要考虑技术，还要考虑策略和管理。三者的关系是，技术是关键，策略是核心，管理是保证。

二、领会

1. “保护、检测、响应、恢复”的含义
   答:保护(Protect) :保护包括传统安全概念的继承，用加解密技术、访问控制技术、数字签名技术，从信息动态流动、数据静态存储和经授权方可使用，以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。
   检测(Detect):检测的含义是对信息传输的内容的可控性的检测，对信息平台访问过程的检测，对违规与恶意攻击的检测，对系统与网络弱点与漏洞的检测等。
   响应(React):在复杂的信息环境中，保证在任何时候信息平台能高效正常运行，要求安全体系提供有力的响应机制，包括在遇到攻击和紧急事件时能及时采取措施。
   恢复(Restore):狭义的恢复指灾难恢复，在系统受到攻击的时候，评估系统受到的危害与损失，按紧急响应预案进行数据与系统恢复，启动备份系统恢复工作等。广义的恢复还包括灾难
   生存等现代新兴学科的研究。保证信息系统在恶劣的条件下，甚至在遭到恶意攻击的条件下，仍能有效地发挥效能。
2. 网络安全解决方案应包括的主要内容
   答:一份完整的网络解决方案应该包括以下七个主要方面，在实际应用中可以根据需要进行适当取舍。
   ①网络安全需求分析;②网络安全风险分析;③网络安全威胁分析;④网络系统的安全原则;⑤网络安全产品;⑥风险评估;⑦安全服务。
3. 单机用户面临的主要安全威胁
   答:单机上网用户面临的安全问题主要有:计算机硬件设备的安全、计算机病毒、网络蠕虫、恶意攻击、木马程序、网站恶意代码、操作系统和应用软件漏洞等。除此之外还有电子邮件的安全问题。
4. 电子邮件安全的主要措施
   答:从技术上看，没有任何方法能够阻止攻击者截取电子邮件数据包，用户无法确定自己的邮件将会经过那些路由器，也不能确定经过这些路由器会发生什么，更无从知道电子邮件发送出去后在传输过程中会发生什么。
   保护电子邮件安全的唯一方法就是让攻击者无法理解截获的数据包，即对电子邮件的内容进行某种形式的加密处理。目前已经出现了一些解决电子邮件安全问题的加密系统解决方案，其中最具代表性的是PGP加密系统。
   对单机用户的操作系统进行安全配置也是单机用户网络安全解决方案的一个重要方面。
5. 计算机信息系统安全管理的主要原则
   答:计算机信息系统的安全管理主要基于三个原则:
   ①多人负责原则;②任期有限原则;③职责分离原则。