《网络安全技术》习题答案

1、网络安全技术习题答案第1章网络安全概述.简答题（1）国际标准化组织（ISO）将网络安全定义为：为保护数据处理系统而采取的技术 和管理的安全措施，保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、 更改和泄露。网络安全包括两方面内容：一是网络的系统安全，二是网络的信息安全。国际电信联盟（ITU）将网络安全定义为：网络安全是集合工具、政策、安全概念、 安全保障、指南、风险管理方法、行动、培训、实践案例、技术等内容的一整套安全管理 体系，用于保护网络环境、 组织和用户的资产。 组织和用户的资产包括连接的计算机设备、 人员、基础设施、应用程序、网络服务、电信系统，以及网络环境中传输和存储的信

2、息。我国自2017年6月1日起正式实施的中华人民共和国网络安全法中也对网络安 全赋予了更加明确的定义：网络安全是指通过采取必要措施，防范对网络的攻击、侵入、 干扰、破坏和非法使用及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据 的完整性、保密性、可用性的能力。从本质上来讲，网络安全就是网络上的信息系统安全，它包括系统安全运行和系统信 息安全保护两个方面。其中，信息系统的安全运行是信息系统提供有效服务（即可用性） 的前提，信息的安全保护主要是确保数据信息的保密性和完整性。（2）网络安全和网络空间安全的核心都是信息安全，只是出发点和侧重点有所差别。 信息安全使用范围最广，可以指线下和线上

3、的信息安全，即既可以指称传统的信息系统安 全和计算机安全等类型的信息安全，也可以指称网络安全和网络空间安全，但无法完全替 代网络安全与网络空间安全的内涵。网络安全可以指称信息安全或网络空间安全，但侧重 点是线上安全和网络社会安全。网络空间安全可以指称信息安全或网络安全，但侧重点是 与陆、海、空、天（太空）等并行的空间概念，并一开始就具有军事性质。与信息安全相 比，网络安全与网络空间安全反映的信息安全更立体、更宽域、更多层次，也更多样，更 能体现出网络和空间的特征，并与其他安全领域更多地渗透与融合。相同之处： 三者均类属于非传统安全领域（相对于军事、政治和外交等传统安全而言)； 三者都聚焦于信息

4、安全；三者可以互相使用(但各有侧重点) 。不同之处： 三者的视角不同。“信息安全”所反映的安全问题基于“信息”，“网络安 全”所反映的安全问题基于“网络”，“网络空间安全”所反映的安全问题基于“空间”。 三 者提出的背景不同。信息安全最初是基于现实社会的安全问题所提出的概念；网络安全则是 基于互联网的发展及网络社会到来所面临的信息安全新挑战所提出的概念；网络空间安全则 是基于对全球五大空间的新认知，网域与现实空间中的陆域、海域、空域、太空一起，共同 形成了人类自然与社会及国家的公域空间，具有全球空间的性质。三者所涉内涵和外延不同。信息安全以往较多地注重信息系统的物理安全和技术安全，随着物联网、

5、云计算、大数 据、移动互联网等信息技术的发展，这些新技术和新载体也带来了新的信息安全问题。在网 络空间，安全主体易受攻击，安全侵害迅即发生，威胁不可预知，易形成群体极化，安全防 范具有非技术性特点。不仅如此，网络安全和网络空间安全将安全的范围拓展至网络空间中 所形成的一切安全问题，涉及网络政治、经济、文化、社会、外交和军事等诸多领域，使信 息安全形成了综合性和全球性的新特点。以上这些都是以往“信息安全” 一词所不具备的内 涵或无法完全涵盖的，需要用“网络安全”和“网络空间安全”来表达。(3)网络安全要实现的目标，主要表现在系统的保密性、完整性、可用性、可控性 和可审查性等方面。保密性：也称机密

6、性，是指网络信息不被泄露给非授权用户和实体，或供其利用 的特性。可以通过信息加密、身份认证、访问控制和安全通信协议等技术实现。信息加密 是防止信息非法泄露的基本手段，主要强调有用信息只被授权对象使用。完整性：是指网络信息未经授权不能进行改变的特性，即保持信息在传输、交换、存储和处理过程中不被修改、不被破坏和不会丢失。可用性：也称有效性，是指网络信息可被授权实体访问并按需求使用的特性，即 系统面向用户服务的安全特性。在系统运行时，授权实体能正确存取所需信息；当系统遭 受意外攻击或破坏时，可以迅速恢复并能投入使用。可控性：是指对网络信息的内容及其传播具有控制能力的特性，代表了网络系统 和信息在传输

7、范围和存放空间内的可控程度。可审查性：也称不可抵赖性或不可否认性，是指通信双方在通信过程中，对自己 所发送或接收的信息不可抵赖或否认，即发送者不能否认其发送过信息的事实和信息的内容，接收者也不能否认其接收到信息的事实和内容。也就是对出现的安全问题提供调查的 依据和手段。(4)网络安全涉及的内容包括技术和管理等多个方面，需要相互补充、综合协同防 范。其中，技术方面主要侧重于防范外部非法攻击，管理方面则侧重于内部人为因素的管 理。从层次结构上，可将网络安全的内容概括为以下5个方面。实体安全。实体安全又称物理安全，它包括环境安全、设备安全和介质安全等，是指保护网络设备、设施及其他介质免遭火灾、水灾、

8、地震、有害气体和其他环境事故破 坏的措施及过程。系统安全。系统安全包括网络系统安全、操作系统安全和数据库系统安全等，是 指根据系统的特点、条件和管理要求，有针对性地为系统提供安全策略机制及保障措施、 安全管理规范和要求、应急修复方法等。运行安全。运行安全包括相关系统的运行安全和访问控制安全，如用防火墙进行 内外网隔离、访问控制等。具体来说，运行安全包括应急处置机制和配套服务、网络系统 安全性监测、内外网的隔离机制、网络安全产品运行监测、系统升级和补丁处理、最新安 全漏洞的跟踪、系统的定期检查和评估、 安全审计、网络安全咨询、灾难恢复机制与预防、 系统改造等。应用安全。应用安全由应用软件平台安全

9、和应用数据安全两部分组成。具体来说， 应用安全包括业务数据的安全检测与审计，系统的可靠性和可用性测试，数据资源访问控 制验证测试和数据保密性测试，数据的唯一性、一致性和防冲突检测，实体的身份鉴别与 检测，业务应用软件的程序安全性测试与分析，业务数据的备份与恢复机制的检查等。管理安全。管理安全又称安全管理，涉及法律法规、政策策略、规范标准、人员、 设备、软件、操作、文档、数据、机房、运营、应用系统、安全培训等各个方面。它主要 是指与人员、网络系统和应用与服务等安全管理相关的各种法律、法规、政策、策略、机 制、规范、标准、技术手段和措施等。(5)近些年，我国网络安全政策逐步落地细化，相关标准紧密出

10、台，但网络安全事 件频繁发生。具体来说，表现在以下几个方面。法律法规滞后，安全管理水平和意识薄弱。网络安全保护方面的法律法规和管理政 策等尚不完善或相对滞后，用户的网络安全意识、机构和企业的安全管理水平有待加强。政府与企业的侧重点及要求不一致。政府注重信息资源及网络安全的可管性和可 控性，企业则注重其经济效益、可用性和可靠性。但网络安全涉及硬件、软件、数据、服 务等多个方面的内容，其防范和治理不可能只依赖政府或企业单方面的努力，推进政府、 企业、行业协会等相关机构的协作非常重要，但在具体实践中也面临着诸多挑战。网络系统时刻面临各种安全威胁。计算机网络和移动网络的开放性、交互性和分 散性等特点，

11、以及系统自身存在的安全漏洞和缺陷，致使网络系统面临各种威胁和风险， 时常受到侵扰和攻击，影响正常的网络应用和服务。个人隐私信息泄露极易发生。大数据时代的来临，不仅带来了全方位的社会变革， 同时也带来了新的安全挑战，数据泄露、数据滥用、隐私安全等问题屡见不鲜。例如，移 动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息等现象大量存在， 违法违规使用个人信息的问题尤其突出。网络安全技术和手段略显滞后。相对于新出现的各种网络安全问题，以及移动互联网、云计算、大数据、物联网等新技术催生的安全需求，网络安全技术的研发和更新还 略显滞后，网络安全防护手段有待加强。(6)总体来说，网络安全的主

12、要威胁有以下几种：物理威胁。物理威胁在网络中是最难控制的，它可能来源于外界的有意或无意的 破坏。物理威胁有时可以造成致命的系统破坏。因此，防范物理威胁是很重要的。但在网 络管理和维护中很多物理威胁往往被忽略，如网络设备被盗等。另外，在更换设备时，注 意销毁无用系统信息也很重要。如在更换硬盘时，必须对不用的硬盘进行格式化处理，因 为利用数据恢复软件可以很容易地获取之前从硬盘上删除的文件。操作系统缺陷。操作系统是用户在使用计算机前必须安装的系统软件。很多操作 系统在安装时都存在端口开放、无认证服务和初始化配置等问题，而这些又是操作系统自 带的系统应用程序，如果这些应用程序有安全缺陷，那么系统就会处

13、于不安全状态，这将 极大地影响系统的信息安全。网络协议缺陷。由于 TCP/IP协议在最初设计时并没有把安全作为考虑重点，而几 乎所有的应用协议都是基于 TCP/IP的，因此各种网络低层协议本身的缺陷将极大地影响 上层应用的安全。 体系结构缺陷。在现实应用中，大多数体系结构的设计和实现都存在着安全问题， 即使是非常完善的安全体系结构，也有可能会因为一个小小的编程缺陷而被攻击。另外， 网络体系中的各种构件如果缺乏密切的合作，也容易导致整个系统被击破。黑客程序。黑客(Hacker)的原意是指具有高超的编程技术、强烈的解决问题和 克服限制欲望的人，而现在是泛指那些强行闯入系统或以某种恶意的目的破坏系统

14、的人。 黑客程序是一类专门用于通过网络对远程计算机设备进行攻击，进而控制、窃取、破坏信 息的软件程序。 恶意代码。恶意代码泛指所有恶意的程序代码，是一种可造成目标系统信息泄露 和资源滥用、破坏系统的完整性及可用性、违背目标系统安全策略的程序代码。它包括计 算机病毒、网络蠕虫、特洛伊木马、后门、僵尸程序、逻辑炸弹等。恶意代码具有两个显 著的特点：非授权性和破坏性。(7)漏洞是在硬件、软件、协议的具体实现和系统安全策略，以及人为因素等方面 存在的缺陷，使得攻击者能够在未经合法授权的情况下访问或破坏系统。根据漏洞的载体 (网络实体)类型，漏洞主要分为操作系统漏洞、网络协议漏洞、数据库漏洞和网络服务

15、漏洞等。(8)常用的网络安全模型有 P2DR, PDRR, MPDRR , APPDRR等。P2DR是美国国际互联网安全系统公司(ISS)提出的动态网络安全体系的代表模 型，也是动态安全模型的雏形。它包含 4个主要部分：策略(Policy)、防护(Protection)、 检测(Detection)和响应(Reaction)。其中，防护、检测和响应组成了一个完整、动态的安全循环，在安全策略的指导下彳证网络的安全。P2DR安全模型的基本思想是：在整体安全策略的控制和指导下，在综合运用防护工具（如防火墙、身份认证、加密等）的同时，利 用检测工具（如漏洞评估、 入侵检测等）了解和评估系统的安全状态，

16、通过适当的反应将系 统调整到“最安全”和“风险最低”的状态。 美国国防部提出的PDRR安全模型，是常用的描述网络安全整个过程和环节的网络 安全模型，它包含了网络安全的 4个环节：防护（Protection）、检测（Detection）、响应（Reaction） 和恢复（Recovery）。PDRR安全模型是一种公认的比较完善且有效的网络信息安全解决方 案，可以用于政府、机关、企业等机构的网络系统。PDRR安全模型与P2DR安全模型有很多相似之处。其中，防护（Protection）和检测（Detection）两个环节的基本思想是相同的， P2DR安全模型中的响应（Reaction）环节包含了紧急

17、响应和恢复处理两部分，而在 PDRR 安全模型中响应（Reaction）和恢复（Recovery）是分开的，内容也有所扩展。MPDRR安全模型是一种比较常见的具有纵深防御体系的网络安全模型，它包含了 5个环节：管理（Management）、防护（Protection） 检测（Detection） 响应（Reaction）和 恢复（Recovery）。MPDRR安全模型是在PDRR安全模型基础上发展而成，它吸取了 PDRR安全模型的优点，并加入了PDRR安全模型所没有的“管理”这一环节，从而将技术和管理融为一体，整个安全体系的建立必须经过安全管理进行统一协调和实施。APPDRR安全模型认为，网络

18、安全由风险评估 （Assessment）、安全策略（Policy）、 系统防护（Protection）、动态检测（Detection ）、实时响应（Reaction）和灾难恢复（Recovery） 6个部分完成。根据 APPDRR安全模型，风险评估是网络安全的第1个重要环节，通过它掌握网络安全面临的风险信息，进而采取必要的处置措施，使网络安全水平呈现动态螺旋 上升的趋势。安全策略是第2个重要环节，起着承上启下的作用：一方面，安全策略应当随着风险评估的结果和安全需求的变化进行相应的更新；另一方面，安全策略在整个网络 安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展

19、开。系统防护是第 3个重要环节，体现了网络安全的静态防护措施。接下来是动态检测、 实时响应和灾难恢复，体现了安全动态防护与安全入侵、安全威胁的对抗性特征。（9）网络安全评估准则是保障网络安全技术及产品，在设计、建设、研发、实施、使用、测评和管理维护过程中，实现其一致性、可靠性、可控性、先进性和符合性的技术规范与依 据。目前，主要的国际网络安全评估准则有美国TCSEC （橙皮书）、欧洲I ITSEC、通用准则（CC）等；国内的网络安全评估准则主要是计算机信息系统 安全保护等级划分准则。美国TCSEC （橙皮书）。1985年，美国国防部正式发布了可信计算机系统评估准则 （TCSEC），这是国际公认

20、的第一个计算机系统安全评估准则。由于采用了橙色书皮，人们 通常称其为“橙皮书”。TCSEC定义了系统的安全策略、系统的可审计机制、系统安全的可操 作性、系统安全的生命期保证，以及建立和维护的系统安全等5要素的相关文件。TCSEC根据计算机系统所采用的安全策略、系统所具备的安全功能，将系统分为4类共7个安全级别。欧洲ITSEC。1991年，欧洲的英国、法国、德国和荷兰 4国在借鉴TCSEC的基础 上，联合提出了信息技术安全评估准则（ITSEC）。TCSEC将保密作为安全重点，而ITSEC 则将首次提出的完整性和可用性作为与保密性同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。它定义

21、了从E0级（不满足品质）到 E6级（形式化验证）的 7个安全等级和10种安全功能。 通用准则（CC）。信息技术安全评估通用准则（ CC）由美国、欧洲等国家与国 际标准化组织联合提出，它结合了ITSEC, CTCPEC及FC的主要特征，强调将网络信息安全的功能与保障分离，将功能需求分为9类63族（项），将保障分为7类29族。CC的先进性体现在其结构的开放性、表达方式的通用性、结构及表达方式的内在完备性和实用 性4个方面。CC于1996年发布1.0版，此后经历了诸多的更新和改进。为提高我国的信息系统安全保护水平，国家公安部组织制定了强制性国家标准计算机信息系统 安全保护等级划分准则（GB 1785

22、9 1999）,该准则于1999年9月13日经国家质量技术监督局发布，并于 2001年1月1日起实施。此准则将信息系统安全划分为 5 个等级（用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证 保护级）。（10）网络安全策略是指在特定的环境中，为保证达到一定级别的安全保护所必须遵 守的规则。要实现网络安全，一般从以下几个方面制定网络安全策略。物理安全策略。制定物理安全策略的目的是：a.保护计算机系统、交换机、路由器、服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听等攻击；b.验证用户身份和使用权限，防止用户越权操作；c.确保网络设备有一个良好的电磁兼容环境

23、；d.建立完备的机房安全管理制度，防止非法人员进入网络中心进行偷窃和破坏活动等。访问控制策略。访问控制的主要任务是保证网络资源不被非法使用和访问。它通 过减少用户对资源的访问来降低资源被攻击的概率，以达到保护网络系统安全的目的。访 问控制策略是保证网络安全最重要的核心策略之一，是维护网络系统安全、保护网络资源 的重要手段。信息加密策略。信息加密的目的是保护网络系统中存储的数据和在通信线路上传 输的数据的安全。信息加密可以在数据链路层、网络层和应用层实现，用户可根据不同的 需要，选择适当的加密方式。加密是实现网络安全的最有效的技术之一。安全管理策略。在网络安全中，加强网络的安全管理，制定有关规章

24、制度，对于 确保网络的安全、可靠运行，将起到十分有效的作用。使用计算机网络的各企事业单位， 应建立相应的网络安全管理办法，加强内部管理，提高整体的网络安全意识。网络安全管 理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作的使用规程和人员出 入机房的管理制度；制定网络系统的维护制度和应急措施等。（11）关键性的网络安全技术主要有10种，分别如下。鉴别技术。鉴别技术用在安全通信中，目的是对通信双方的身份及传输数据的完 整性进行验证。按照鉴别内容的不同，鉴别技术可以分为用户身份鉴别和消息内容鉴别。 利用数字签名，可同时实现收发双方的身份鉴别和消息完整性鉴别。加密技术。加密技术是最基本的网

25、络安全手段，包括加密算法、密钥长度确定、 密钥生命周期（生成、分发、存储、输入/输出、更新、恢复和销毁等）安全措施和管理等。 它通过对信息进行重新编码来隐藏信息内容，使非法用户无法获取信息的真实内容。现代 加密算法不仅可以实现信息加密，还可以实现数字签名和认证等功能。访问控制技术。访问控制技术是指保障授权用户在其权限内对授权资源进行正当 使用，防止非授权使用的措施。它通常采用设置口令和入网限制，采取 CA认证和数字签 名等技术对用户身份进行验证和确认、设置不同软件及数据资源的属性和访问权限，以及 进行网络监控、网络审计和跟踪等。恶意代码防范技术。恶意代码防范技术是指建立、健全恶意代码（如病毒、

26、木马 等）的预防、检测、隔离和清除机制，预防恶意代码入侵， 迅速隔离和查杀已感染病毒等， 识别并清除网内恶意代码。防火墙技术。防火墙是在两个网络之间执行访问控制策略的一个或一组系统，它 包括硬件和软件。防火墙对经过的每一个数据包进行检测，判断数据包是否与事先设置的 过滤规则匹配，并按控制机制做出相应的动作，从而保护网络的安全。入侵检测技术。入侵检测技术是一种动态的攻击检测技术，能够在网络系统的运 行过程中发现入侵者的攻击行为和踪迹。一旦发现网络被攻击，立刻根据用户所定义的动 作做出反应，如报警、记录、切断或拦截等。入侵检测系统被认为是防火墙之后的第二道 安全防线，与防火墙相辅相成，构成比较完整

27、的网络安全基础结构。加固技术。加固技术是指对系统漏洞及隐患采取必要的安全防范措施，主要包括 安全性配置、关闭不必要的服务端口、 系统漏洞扫描、渗透性测试、安装或更新安全补丁、 增设防御功能和对特定攻击的预防手段等，以提高系统自身的安全性。监控技术。监控技术是指通过监控用户主体的各种访问行为，确保在对网络等客 体的访问过程中有效地采用合适的安全技术手段。审计跟踪技术。审计跟踪技术是指对网络系统异常访问、探测及操作等事件进行 及时核查、记录和追踪，即利用多项审计跟踪不同活动。它能记录和分析用户使用网络系 统进行所有活动的过程，对可能产生破坏性的行为进行审计和跟踪。备份恢复技术。备份恢复技术是指在网

28、络系统出现异常、故障或入侵等意外情况时，为及时恢复系统和数据而进行的预先备份等技术方法。其主要包括4个方面：备份技术、容错技术、冗余技术和不间断电源保护。（12）网络安全技术与黑客攻击技术密不可分，它是在网络安全专家和黑客的攻防对 抗中逐步发展起来的。黑客主攻，安全专家主防。如果没有黑客的网络攻击活动，网络安 全技术就不可能如此快速地发展。黑客攻击技术主要是指使用网络的非正常用户，利用网络系统的安全缺陷进行数据窃取、伪造或破坏时所使用的相关技术，涉及计算机通信、密码学、社会心理学等众多领域 的技术和理论。而网络安全技术主要是指用来保证在互联网上进行信息安全传输的技术， 主要包括依靠密码学理论来

29、实现网络多类型、各层次服务中的身份认证及数字签名等技 术，以保证信息在网络中传输的保密性、完整性、可用性、可控性和可审查性。网络安全技术和黑客攻击技术所使用的物质基础是相同的，计算机网络及共用基础架构和通信协议等，是两者技术施展的共同物质基础。网络安全技术薄弱时，黑客攻击技术 容易得逞。但是，网络安全技术负责为网络信息安全保驾护航，黑客攻击技术则是挑战网 络安全技术的强度，两者使用的技术原理大同小异，目的却截然相反。因此，它们是相互 斗争又相互依存的关系。(13)略。2.实践题答案：略。第2章计算机恶意代码.简答题(1)关于恶意代码，目前还没有统一的定义，下面列出常见的几种。恶意代码是任何的程

30、序或可执行代码，其目的是在用户未授权的情况下更改或控 制计算机及网络系统。 恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机 代码，其实质是可以在特定环境下独立执行的指令集或嵌入到其他程序中的代码。恶意代码是指经过存储介质和网络进行传播，从一台计算机系统到另外一台计算 机系统，未经授权认证破坏计算机系统完整性的程序或代码。常见的恶意代码有计算机病毒、网络蠕虫、特洛伊木马、后门(陷阱) 、僵尸程序、 逻辑炸弹、恶意脚本等。(2)计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。计算机病毒具有繁殖

31、 性、传染性、破坏性、隐蔽性和潜伏性、可触发性、衍生性、不可预见性等特征。(3)在预防计算机病毒时，一般应做到以下几点。安装防病毒软件并及时升级。在网络系统中，用户应至少安装一套先进的防病毒软件，并要及时地进行升级，以便查杀新型病毒。不轻易运行不明程序。不要轻易运行下载的程序或别人传给的程序，哪怕是好友 发来的程序，除非对方有特别的说明。因为对方有可能不知道，而是病毒程序悄悄附着上 来的，或者对方的计算机有可能已经被感染，只是其不知道而已。加载补丁程序。现在很多病毒的传播都是利用了系统的漏洞，网络管理人员需要 经常到系统厂商网站上下载并安装相应的系统漏洞补丁，减少系统被攻击的可能。 不随意接收

32、和打开邮件。用户接收电子邮件时需要注意，对于陌生人的邮件，不 要贸然接收，更不能随意打开。如果邮件中附件文件的扩展名是EXE,那就更要小心了。当用户收到邮件时也不要随意转发，在转发邮件前最好先确认邮件的安全性，以避免接收 方接到邮件后直接打开邮件而被病毒感染。从正规网站下载软件。用户可从正规网站上下载文件或工具软件，这样可减少对 系统的威胁。(4)当网络系统感染病毒后，可采取以下措施进行紧急处理，恢复系统或受损部分。隔离。当某计算机感染病毒后，可将其与其他计算机进行隔离，避免相互复制和 通信。当网络中某节点感染病毒后，网络管理人员必须立即切断该节点与网络的连接，以 避免病毒扩散到整个网络。 报

33、警。病毒感染点被隔离后，要立即向网络系统安全管理人员报警。查毒源。接到报警后，网络系统安全管理人员可使用相应的防病毒系统鉴别受感 染的机器和用户，检查那些经常引起病毒感染的节点和用户，并查找病毒的来源。采取应对方法和对策。网络系统安全管理人员要对病毒的破坏程度进行分析检查， 并根据需要采取有效的病毒清除方法和对策。如果被感染的大部分是系统文件和应用程序 文件，且感染程度较深，则可采取重装系统的方法来清除病毒；如果感染的是关键数据文 件，或破坏较严重时，可请防病毒专家进行清除病毒和恢复数据的工作。 在修复前备份数据。在对被感染的病毒进行清除前，应尽可能地将重要的数据文 件备份，以防止在使用防病毒

34、软件或其他清除工具查杀病毒时，将重要的数据文件误杀。清除病毒。将重要的数据备份后，运行查杀病毒软件，并对相关系统进行扫描。一旦发现病毒，就立即清除。如果可执行文件中的病毒不能清除，应将其删除，然后再安 装相应的程序。重启和恢复。病毒被清除后，应重新启动计算机，并再次使用防病毒软件检测系 统是否还有病毒，并恢复被破坏的数据。(5)网络蠕虫是通过网络传播，无须用户干预且能够独立地或者依赖文件共享主动 攻击的恶意代码，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权进 行传播。计算机病毒是一段代码，能把自身加到其他程序包括操作系统上，它不能独立运行，需要由它的宿主程序运行来激活。网络蠕虫具

35、有计算机病毒的一般性特征，如传染性、破 坏性等，但它强调自身的主动性和独立性，具有主动攻击、行踪隐蔽、利用漏洞、造成网 络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征。(6)木马是一种带有恶意性质的远程控制软件，通常悄悄地在寄宿主机上运行，在用户毫无察觉的情况下使攻击者获得远程访问和控制系统的权限。木马程序一般包括客户端 (Client)部分和服务器端(Server)部分，采用C/S工作模式。客户端就是木马控制者在本地使用的各种命令的控制台，服务器端则在他人的计算机中运行，只有运行过服务器端的计算机才能够完全受控。客户端放置在木马控制者的计算机中，服务 器端放置在被入侵的计算机中，木

36、马控制者通过客户端与被入侵计算机的服务器端建立远程 连接。一旦连接建立，木马控制者就可以通过对被入侵计算机发送指令来传输和修改文件。(7)网页木马是在宏病毒、传统木马等恶意代码基础上，随着Web技术的广泛应用发展出来的一种新形态的恶意代码。它一般通过HTML页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的，而整个攻击流程是一个“特洛伊木马”式的、隐蔽 的、用户无察觉的过程。挖矿木马是攻击者通过非法手段植入到用户计算机中的“挖矿机”程序，它可以利用受害者计算机的运算力进行挖矿，从而获取数字货币(如比特币、以太币等)。由于硬件性能的限制，攻击者通常需要大量计算机进行运算，以获得一定数

37、量的数字货币。硬件木马是指插入原始电路的微小的恶意电路。这种电路潜伏在原始电路之中，在电路运行到某些特定的值或条件时，使原始电路发生本不该有的情况。这种恶意电路可对原始电路进行有目的性的修改，如泄露信息给攻击者，使电路功能发生改变，甚至直 接损坏电路等。(8)预防木马的措施主要有： 不随意打开来历不明的邮件，阻塞可疑邮件； 不随意下载来历不明的软件； 及时修补漏洞和关闭可疑的端口； 尽量少用共享文件夹；运行实时监控程序；经常升级系统和更新病毒库；限制使用不必要的具有传输能力的程序。可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作 情况、系统日志及运行速度有无异常等对木

38、马进行检测。另外，还应查看是否有可疑的启 动程序或可疑的进程存在，是否修改了 win.ini , system.ini系统配置文件和注册表。(9)后门也称陷阱，它是允许攻击者绕过系统常规安全控制机制而获得对程序或系统的控制权的程序，是能够根据攻击者的意图而提供的访问通道。后门类似于木马，都是隐藏在用户系统中向外发送信息，而且本身具有一定的操作权限，同时能够供攻击者远程控制本机时使用。区别在于，木马是完整的软件，而后门程序 的代码往往有限且功能单一。后门程序不一定有自我复制的功能，即后门程序不一定会主动去感染其他的计算机程序，这点与计算机病毒不同。从本质上讲，后门是一种供远程控制的通道，它可以绕

39、过系 统常规的安全设置。(10)后门根据其实现方式的不同，可分为网页后门、 线程插入后门、扩展后门、C/S后门和账户后门等。(11)僵尸程序(Bot)是指实现恶意控制功能的程序代码。它和命令与控制服务器、 控制者等共同组成的可通信、可控制的网络，被称为僵尸网络(Botnet)。攻击者通常利用僵尸网络发起各种恶意行为，如对任何指定主机发起分布式拒绝服务(DDoS)攻击、发送垃圾邮件、窃取敏感信息、滥用资源等。2.实践题(1)略。(2)利益的驱使是恶意代码泛滥的主要原因，另外软件漏洞也是恶意代码得以传播 的主要因素。 利益驱使。如果无利可图，则没有人会冒着触犯法律的风险去散布和利 用恶意代码。正是

40、因为利用盗号木马、网银木马等恶意软件可以获得巨大的物质利益，而 间谍软件等可以窃取用户的隐私进而讹诈用户，才使得攻击者乐此不疲，研发出越来越先 进的恶意代码。 系统和应用软件存在漏洞。软件漏洞是导致网络信息系统安全问题的 根本原因。分析与测试是发现软件漏洞的主要技术手段，然而由于软件的复杂性，在现有 的资源条件下，要对所有软件进行彻底分析与测试，是一个尚待解决的世界难题。这就导 致现有软件不可避免地存在漏洞和缺陷，这正是恶意代码赖以生存的基础。(3)略。(4)略。第3章网络攻击技术1.简答题(1)对于网络攻击，主要有两种定义：一种是指攻击仅仅发生在入侵行为完成，且 入侵者已在目标网络中；另一种

41、是指可能使网络系统受到破坏的所有行为。网络攻击可对 网络系统的保密性、完整性、可用性、可控性和可审查性等造成威胁和破坏。根据攻击实现方法的不同，可将网络攻击分为主动攻击和被动攻击两类。主动攻击是 指攻击者为了实现攻击目的，主动对需要访问的信息进行非授权的访问行为，它一般可以 分为中断、篡改和伪造 3种类型。被动攻击是利用网络存在的漏洞和安全缺陷对网络系统 的硬件、软件及系统中的数据进行的攻击，它一般可以分为窃听和流量分析两种类型。(2)网络攻击的常见形式主要包括口令窃取、欺骗攻击、漏洞攻击、恶意代码攻击、拒绝服务攻击等。口令窃取是指通过网络监听、弱口令扫描、社会工程学或暴力破解等各种方式非法获

42、 取目标系统的用户账号和口令，然后冒充该合法用户非法访问目标系统。欺骗攻击拦截正常的网络通信数据并进行数据篡改和嗅探，而通信双方却毫不知情， 因此也称为中间人攻击( MITM )。漏洞攻击是指利用硬件、软件、协议的具体实现或系统安全策略方面存在的缺陷，编 写利用该缺陷的破解代码和破解工具，实施远程攻击目标系统或目标网络。这是最主流的 主动攻击方式。恶意代码是指未经授权认证且可以破坏系统完整性的程序或代码，恶意代码攻击则是 指将恶意代码隐蔽传送到目标主机，并可远程执行未经授权的操作，从而实施信息窃取、 信息篡改或其他破坏行为。常见的攻击方式包括网络病毒、网络蠕虫、木马攻击、后门攻 击和恶意脚本等

43、。拒绝服务(DoS)攻击通常是指造成目标无法正常提供服务的攻击，可能是利用TCP/IP协议的设计或实现漏洞、各种系统或服务程序的实现漏洞造成目标系统无法提供正常服务 的攻击，也可能是通过各种手段消耗网络带宽及目标的系统资源(如CPU时间、磁盘空间、物理内存等)使得目标停止提供正常服务的攻击。(3)分布式拒绝服务(DDoS)攻击是指多个攻击源同时向单一目标发起相同的DoS攻击，也称为协同 DoS攻击，使得目标很快陷于瘫痪。(4)攻击者攻击网络系统通常先锁定攻击目标，再利用一些公开协议或安全工具收 集目标的相关信息，然后扫描分析系统的弱点和漏洞，进而发动对目标的网络攻击。一次 成功的网络攻击通常包

44、括信息收集、端口和漏洞扫描、网络隐身、实施攻击、植入后门和 清除痕迹等步骤。网络攻击过程可以划分为3个阶段：准备阶段、实施阶段和善后阶段。(5)在收集攻击目标信息时，一般采用如下几种方法：通过Windows命令收集信息、通过 Whois查询收集信息、通过 Web挖掘分析收集信息、通过社会工程学收集信息、通 过网络扫描收集信息、通过网络监听收集信息。(6) Whois查询是指查询某个域名或 IP是否已注册，以及注册时的详细信息。它可 以查询域名或IP的归属者，包括其联系方式、注册和到期时间等。社会工程学是通过操纵人来实施某些行为或泄露机密信息的一种攻击方法，实际上就是对人的欺骗。它通常以交谈、欺

45、骗、假冒或伪装等方式开始，从合法用户那里套取用户 的敏感信息，如系统配置、口令或其他有助于进一步攻击的有用信息。(7)网络扫描就是对计算机系统或其他网络设备进行相关的安全检测，以便发现安 全隐患和可被攻击者利用的漏洞。它是基于网络的远程服务发现和系统脆弱点检测的一种技术。从实现的技术角度看，网络扫描可分为基于主机的扫描和基于网络的扫描，有时也称为被动式策略扫描和主动式策略扫描。根据扫描的目的不同，基于网络的扫描可分为端口 扫描、类型和版本扫描、漏洞扫描、弱口令扫描、Web漏洞扫描和系统配置扫描等类型。(8)攻击者攻击网络系统所使用的工具，通常可以分为扫描类、口令破解类、监听 类和远程监控类工具

46、软件。常见的网络扫描工具软件有Zenmap, SuperScan, X-Scan ,Nessus, Shadow Security Scanner, Acunetix WVS , Fluxay , OpenVAS 等；口令破解类工具 软件有 Cain&Abel , John the Ripper, Brutus, Ncrack, hashcat, Ophcrack, Aircrack-ng 等; 监听类工具软件有 Wireshark, Sniffer Pro, MiniSniffer等；远程监控类工具软件有网银型 木马、网游型木马、 FTP型木马、灰鸽子、冰河、网络神偷等。(9)所谓网络隐身，

47、就是使目标不知道与其通信的设备的真实IP地址或MAC地址。一般通过IP地址欺骗、MAC地址欺骗、网络地址转换、代理隐藏等技术，将攻击者的真 实IP地址或MAC地址隐藏起来。(10)网络攻击的作用点可分为以下几类：账户、文件系统、进程、系统资源与信息、网络及网络服务。(11)植入后门的方法通常包括开放连接端口、修改系统配置、安装监控器、建立隐 蔽连接通道、创建用户账号、安装远程控制工具和替换系统文件等。(12)以Windows系统为例，攻击可能留下的痕迹主要包括以下几种。 事件查看器记录的管理事件日志、系统日志、安全日志、 Setup日志、应用程序日 志、应用程序和服务日志。可使用 wevtut

48、il命令清除某类日志，以应用程序日志为例，清 除该类日志的命令是 wevtutil cl application ”。如果利用HTTP协议进行攻击或者后门设置，则可能在浏览器或者Web服务器上留下相应的访问和使用记录。例如，对于 IE浏览器的访问痕迹，可以使用其配置程序 “inetcpl.cpl”(位于 C:WindowsSystem32)进行不同类别的清除。相应的系统使用痕迹。可以使用 360安全卫士等第三方工具进行清除。2.实践题答案：略。第4章防火墙与入侵检测技术1.简答题(1)访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访 问，或限制对某些控制功能的使用的一种技术

49、。为了保证系统信息的保密性和完整性，必 须对网络系统实施访问控制。访问控制包含两层意思：一是用户身份认证，即对用户进入系统的控制，常用方法是 用户账户和口令限制；二是用户权限确认，即用户进入系统后对其所能访问的资源进行的 限制，常用方法是访问权限和资源属性限制。(2) 一般而言，访问控制系统包括主体、客体和控制策略3个要素。它们之间的行为关系为：主体提出一系列正常的请求信息，通过信息系统入口到达控制策略的监控器，由控制策略判断是否允许这次请求。此时，必须先要确认是否为合法的主体，也就是对主体进行 认证。主体通过验证才能访问客体， 但并不保证其有权限对客体进行操作。客体对主体的验证一般会鉴别用户

50、的标识和用户密码，对主体的具体约束由访问控制表来控制实现。(3)访问控制可分为自主访问控制、强制访问控制和基于角色的访问控制3种类型。自主访问控制是一种最为普遍的访问控制手段，它是在确认主体身份及它们所属组的基础上对访问进行限定的一种方法。其基本思想是：允许某个主体显式地指定其他主体对 该主体所拥有的信息资源是否可以访问及可执行的访问类型。强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制规则，这种规 则是强制性规定的，用户或用户的程序不能加以修改。基于角色的访问控制是通过对角色的访问所进行的控制。在基于角色的访问控制中， 权限与角色相关联，用户通过成为适当角色的成员而得到其角色的

51、权限。(4)访问控制系统的实现方法(即访问控制机制)主要有访问控制矩阵、访问控制 表、访问能力表和授权关系表等。访问控制矩阵简单直观，易于理解，但查找和实现起来 有一定的难度，且往往许多主体和客体之间并无联系，矩阵中会出现很多空项。访问控制 表是采用最多的一种访问控制实现方式，其优点在于实现简单，任何得到授权的主体都可 以拥有一个访问表(项)，其中都包括主体的身份和主体对这个客体的访问权限。访问能 力表是以主体(如用户)为中心建立的访问权限表，它可以看成是访问控制矩阵的另一种 实现方式，即通过提取矩阵中的行信息而生成。访问控制表和访问能力表都存在一定的不 足，而授权关系表则综合了二者的优点。(

52、5)在Internet上，防火墙相当于在网络边界构造了一个保护层，并强制所有的访问 都必须经过该保护层，在此进行检查和连接，只有被授权的通信才能通过，从而使内部网 络和外部网络在一定意义上隔离，以防止外部用户非法使用内部资源及敏感数据失窃，同 时保护内部网络设备不被破坏。防火墙的主要功能包括：过滤进出网络的数据； 管理进出网络的访问行为；封堵某些禁止的网络访问；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。(6)防火墙具有多种不同的分类方法。按照实现方式，可分为软件防火墙和硬件防 火墙；按照使用范围，可分为个人防火墙和网络防火墙；按照协议层次(即防火墙在网络 协议栈中的过滤层次)，

53、可分为包过滤防火墙、电路级网关防火墙和应用级网关防火墙(也称代理防火墙)。利用包过滤技术在网络层实现的防火墙称为包过滤防火墙。包过滤防火墙中的安全访问策略(过滤规则)是网络管理人员事先设置好的，主要通过对进入防火墙的数据包的源 IP地址、目的IP地址、协议及端口进行设置，决定是否允许数据包通过防火墙。代理防火墙通过一种代理技术参与到一个TCP连接的全过程，具有传统的代理服务器和防火墙的双重功能，一般是指运行代理服务器的主机。它提供了一种更好的安全控制机 制，可以在应用层检测所有数据，允许客户端通过代理与网络服务进行非直接的连接。(7)常用的防火墙技术有包过滤技术、代理服务技术、状态检测技术、自

54、适应代理 技术等。为了增强网络系统的安全性能，通常会将其中多种防火墙技术组合在一起使用， 以弥补各自的缺陷。(8)入侵是对信息系统的非授权访问，以及未经许可在信息系统中进行的操作。入侵检测是从计算机网络系统中的若干关键点收集信息并对其进行分析，从而查看网络中是否有违反安全策略的行为和被攻击迹象的一种机制，它是一种主动的网络安全技术。所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统(IDS),其中包括软件系统或软硬件结合的系统。入侵检测系统一般位于内部网络的入口处，安装在防火墙的后面，用于检测外部攻击者的入侵和内部用户的非法活动。(9)入侵检测系统主要具有以下功能：监视网络系

55、统的运行状况，查找非法访问和未授权操作； 对系统的构造和弱点进行审计，报告系统中存在的安全威胁； 识别 和分析网络攻击的行为特征并报警；评估重要系统和数据文件的完整性；对操作系统进行跟踪审计，并识别用户违反安全策略的行为；具有容错功能，即使系统发生崩溃，也不会丢失数据，或者在系统重启后重建自己的信息库。根据数据来源的不同，入侵检测系统可以分为以下3种基本类型：基于网络的入侵检测系统(NIDS)、基于主机的入侵检测系统( HIDS)、分布式入侵检测系统(DIDS)。(10)为了实现对入侵的检测，入侵检测系统需要完成信息收集、信息分析和安全响应过程。入侵检测的第一步是信息收集。信息收集的内容包括系

56、统、网络、数据及用户活 动的状态和行为。信息分析是指对收集到的系统、网络、数据及用户活动的状态和行为等 信息，进行模式匹配、统计分析和完整性分析等，进而得到实时检测所必需的信息。入侵 检测系统在发现入侵行为后，必须及时作出响应，包括终止网络服务、记录事件日志、报 警、阻断等。(11)常用的入侵检测技术有误用检测技术、异常检测技术等。误用检测技术又称基于知识的入侵检测技术，它假定所有入侵行为和手段(及其变种)都能够表达为一种模式或 特征，并对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，通 过系统当前状态与攻击模式或攻击签名的匹配来判断入侵行为。异常检测技术又称基于行 为的

57、入侵检测技术，用来识别主机或网络中的异常行为。2.实践题答案：略。第5章 数据加密与VPN技术1.简答题(1)密码学涉及信息的加密、解密和密码技术在信息传递过程中的应用，它是研究 如何隐秘地传递信息的科学。密码学包括密码编码学和密码分析学。其中，密码编码学主 要研究密码变化的规律并用于编制密码，以保护秘密信息；密码分析学主要研究密码变化 的规律并用于分析(解释)密码，以获取信息情报。密码编码学实现对信息进行保密，而 密码分析学则实现对信息进行解密，二者相辅相成、互相促进。(2)密码系统的工作过程通常为：首先，发送方和接收方通过安全信道获得一对用 于加密和解密的密钥；然后发送方将明文加密后成为密

58、文，通过公共信道传输到接收方； 接收方用相应的解密算法对密文进行解密，恢复出原始明文。 其中涉及明文、密文、密钥、密码算法、加密、解密等术语。(3)密码根据明文加密时的处理方法可分为分组密码和序列密码。其中，分组密码 是将明文序列以固定的长度进行分组，每组明文用相同的密钥和算法进行变换，得到一组 密文；序列密码是将明文的原始信息转换为数据序列，再将其与密钥序列进行“异或”运 算，生成密文序列发送给接收者。(4)对称密钥密码的加密密钥和解密密钥都是保密的，二者相同或相近(通过其中 一个可以很容易得到另一个)；非对称密钥密码的加密密钥和解密密钥是不同的(通过其 中一个无法得到另一个)，二者中通常一

59、个是公开的，另一个是保密的。(5)密码编码学的主要任务是研究如何通过编码技术来改变被保护信息的形式，使 得编码后的信息只能被指定接收者识别。密码分析学是指在不知道关于密钥的任何信息的 情况下，利用各种技术手段，试图通过密文来得到明文或密钥的全部或部分信息。(6)常用的密码分析技术有唯密文攻击、已知明文攻击、选择明文攻击、选择密文 攻击、选择文本攻击等。(7)如果一个密码系统的加密密钥和解密密钥相同，或者加密密钥和解密密钥可以 从对方推导出来，这样的密码体制称为对称密码体制。非对称密码体制又称公开密钥密码 体制，就是使用不同的加密密钥和解密密钥，它是一种“由已知的加密密钥推导出解密密 钥在计算上

60、是不可行的”密码体制。(8) DES通过一系列复杂的操作将固定长度的明文变成同样长度的密文，它是一种典型的块密码。对于 DES来说，其块长度是 64位（有效密钥长度是 56位），同时它使用 密钥来自定义变换过程，因此只有持有加密密钥的用户才能解密密文。AES是一种迭代的、对称密钥分组的密码，它可以使用128, 192和256位密钥，并且用128位（16字节）分组来加密和解密数据。 该算法通过分组密码返回的加密数据的位 数与输入数据相同，迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。RSA是1977年由麻省理工学院的三位科学家 Rivest, Shamir和Adleman共同提出的