版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
《计算机信息安全技术》课后习题及参考答案《计算机信息安全技术》课后习题及参考答案《计算机信息安全技术》课后习题及参考答案xxx公司《计算机信息安全技术》课后习题及参考答案文件编号:文件日期:修订次数:第1.0次更改批准审核制定方案设计,管理制度计算机信息安全概述习题参考答案1.对计算机信息安全造成威胁的主要因素有哪些答:影响计算机信息安全的因素有很多,主要有自然威胁和人为威胁两种。自然威胁包括:自然灾害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁干扰等。人为威胁包括:无意威胁、有意威胁。自然威胁的共同特点是突发性、自然性、非针对性。这类不安全因素不仅对计算机信息安全造成威胁,而且严重威胁着整个计算机系统的安全,因为物理上的破坏很容易毁灭整个计算机信息管理系统以及网络系统。人为恶意攻击有明显的企图,其危害性相当大,给信息安全、系统安全带来了巨大的威胁。人为恶意攻击能得逞的原因是计算机系统本身有安全缺陷,如通信链路的缺陷、电磁辐射的缺陷、引进技术的缺陷、软件漏洞、网络服务的漏洞等。2.计算机信息安全的特性有哪些答:信息安全的特性有:⑴完整性完整性是指信息在存储或传输的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。⑵可用性可用性是指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。对可用性的攻击就是阻断信息的合理使用。⑶保密性保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给非法用户或供其使用。⑷可控性可控性是指对信息的传播及内容具有控制能力的特性。授权机构可以随时控制信息的机密性,能够对信息实施安全监控。⑸不可否认性不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息,接收方也不能否认已收到的信息。3.计算机信息安全的对策有哪些答:要全面地应对计算机信息安全问题,建立一个立体的计算机信息安全保障体系,一般主要从三个层面来做工作,那就是技术、管理、人员。(1)技术保障指运用一系列技术层面的措施来保障信息系统的安全运营,检测、预防、应对信息安全问题。(2)管理保障有如下措施:①贯彻标准的IT治理方案。②建立安全的基线配置。③建立一个标准的事件响应流程。(3)人员保障①建立专门的应急响应小组。②对员工进行安全意识培训。③建立一定的和信息安全相关激励机制4.ISO7498-2标准包含哪些内容答:ISO7498-2标准包括五类安全服务以及提供这些服务所需要的八类安全机制。ISO7498-2确定的五大类安全服务,即鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和禁止否认服务。ISO7498-2标准确定的八大类安全机制,即:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。5.怎样实现计算机信息安全答:计算机信息安全主要包括三个方面:技术安全、管理安全和相应的政策法律。安全管理是信息安全中具有能动性的组成部分;大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的;法律法规是保护计算机信息安全的最终手段。所以我们在实际的操作中要尽量保证技术安全,加强监督管理,制定完善的法律、法规和规章制度并严格执行。要根据计算机信息安全的内容,采取适当的措施、技术来保证网络和信息的保密性、完整性和可用性等信息安全特性;这样也就实现了计算机信息安全。6.简述对计算机信息安全的理解和认识。(答案略)提示:可以主要从计算机信息的安全特性,计算机信息安全研究的内容,技术安全、管理安全、政策法律等方面进行探讨。第12章软件保护技术习题参考答案1.软件保护经历了哪些阶段各有什么特点答:软件保护大致经历了3个阶段:DOS时代、Windows时代、互联网时代。各个阶段的特点如下:(1)DOS时代在DOS时代,软盘是软件流通的主要载体,软盘保护也就成了软件保护的主要方式。软盘保护简单、易实现、成本低,成为软件商得力的助手。在这一时期,还出现过一种密码本保护模式,国内在这个时期出现了卡保护技术。(2)Windows时代原有的软盘保护技术被淘汰,保护锁技术早在DOS时代就已经存在了,但直到这个阶段,才得到重视,保护锁技术慢慢成为软件保护的主流技术。Windows时代光盘保护技术也成为了关注的新焦点,光盘保护主要适用于批量大、软件生命周期短的产品。(3)互联网时代互联网时代软件注册机制成为共享软件的主流保护手段。针对软件注册机制中出现的软件注册信息被随意扩散的问题,有人提出了许可证保护方式。该方式是对软件注册机制的一种改良,把原来的“一人一码”的方式改成“一机一码”。2.简述软件保护的基本要求。答:软件保护的目的主要有两个:一是防止软件被非法复制,二是防止软件被非法使用和修改。为了达到这两个目的,软件保护必须满足3个基本要求:反拷贝、反静态分析和反动态跟踪。3.除了文中提到的软件保护技术,还有没有其他软件保护技术试查询并作简要描述。答案:略。4.简述软件加壳的目的。答:软件加壳的目的有两个:一是对受保护的程序进行保护,防止软件的相关信息泄露,同时加壳技术中往往集成了反跟踪、反内存补丁、反dump等技术,可以有效防止软件被反编译和修改;二是对受保护的程序进行压缩,节省存储空间,便于快速传输。5.查询有关脱壳的资料,并进行加壳与脱壳练习。答案:略。第2章数据备份和数据恢复技术习题参考答案:1.数据备份的定义是什么答:数据备份就是将数据以某种方式加以保留,创建数据的副本。一旦原始数据被删除、覆盖或由于故障而无法访问时,可以利用副本恢复丢失或损坏的数据。2.数据备份的目的是什么答:备份技术的目的是将整个系统的数据或状态保存下来,这样不仅可以挽回硬件设备损坏带来的损失,还可以挽回逻辑错误和人为恶意破坏造成的损失。一般来说,数据备份技术并不保证系统的实时可用性,一旦意外发生,备份技术只保证数据可以恢复,但是在恢复期间,系统是不可以用的。3.简要描述RAID0模式。答:RAID0模式,也称冗余无校验磁盘阵列,把数据分散到多块硬盘上进行并行存储,在进行数据存取时,能同时对这几个磁盘进行存储访问,通过并行存储来提高磁盘的整体数据传输速度。组成RAID0的单个磁盘驱动器数量越多,数据传输速度就越快。但它的缺点是没有容错功能,一旦有任何一块磁盘损坏,将造成整个数据的不完整而无法使用。4.比较RAID3模式与RAID5模式的优缺点。答:RAID3模式,奇偶校验并行交错阵列,也被称为带有专用奇偶位的条带,每个条带上都有一块空间用来有效存储冗余信息,即奇偶位。奇偶位是数据编码信息,如果某个磁盘发生故障,可以用来恢复数据。即使有多个数据盘,也只能使用一个校验盘,采用奇偶校验的方法检查错误。RAID5模式,循环奇偶校验磁盘阵列,也被称为带分布式奇偶位的条带,每个条带上都有一块空间被用来存放奇偶位。与RAID3不同的是,RAID5把奇偶位信息分布在所有的磁盘上。尽管有一些容量上的损失,但RAID5能提供最佳的整体性能。RAID3比较适合大文件类型,如视频编辑、大型数据库等;RAID5比较适合较小文件的应用,如文字、小型数据库等。5.什么是DAS直接连接存储答:DAS(DirectAttachedStorage)就是将传统的服务器与存储设备直接连接的存储方式。DAS的存储设备与服务器之间的数据传输通道是固定和专用的,通常有IDE、SCSI、光纤通道、USB通道等。DAS系统可以是一个单独的硬盘,一个RAID磁盘阵列或其它存储设备。每一台服务器只能管理和访问与之相连的存储设备,但不能实现与其它主机共享数据传输端口,只能依靠存储设备本身为主机提供数据服务。6.NAS结构和SAN结构的主要区别有哪些答:NAS结构和SAN结构的主要区别有:①SAN是一种网络,NAS产品是一个专有文件服务器或一个只能文件访问的设备。②SAN是只能独享的数据存储池,NAS是共享与独享兼顾的数据存储池。③SAN设备是基于数据块访问的,而NAS设备是基于文件访问的。④NAS产品能通过SAN连接到存储设备。⑤SAN的成本高,系统复杂度高;而NAS的成本低,系统复杂度低。7.什么是数据恢复答:数据恢复就是把遭受破坏、由于硬件缺陷导致不可能访问、不可获得、由于误操作等各种原因导致丢失的数据还原成正常数据的过程。8.简述恢复硬盘数据的步骤。答:硬盘恢复就是在硬盘上的系统文件受到严重破坏的情况下,用已备份的映像文件恢复被破坏的硬盘。由于在恢复过程中,目标盘上所有的文件、数据将全部丢失,因此在恢复之前,一定要将重要数据备份下来。硬盘恢复过程如下:(1)执行Ghost程序,在Ghost窗口中依次执行Local→Disk→FromImage命令,启动硬盘恢复功能。(2)在映像文件选择窗口中,选择需要还原的映像文件所在的硬盘或分区的路径和映像文件名;在弹出的目标硬盘窗口中,选择要还原的目标硬盘或分区;单击OK按钮,Ghost程序将会把保存在映像文件中的数据还原到目标硬盘上,包括分区、文件系统和用户数据等。9.试用Ghost软件备份系统盘。答案:略10.试用EasyRecovery恢复丢失的文件。答案:略第3章密码技术习题参考答案1.什么是密码技术密码技术的发展经历了哪几个阶段答:密码学是研究信息系统安全保密的科学,具体研究数据的加密、解密及变换,是密码编码学(使消息保密的科学与技术)和密码分析学(破译密文的科学与技术)的总称。密码学的发展可划分为三个阶段:第一阶段为从古代到1949年。这一时期可以看作是科学密码学的前夜时期,主要代表有棋盘密码和凯撒密码。第二阶段为从1949年到1975年。这段时期密码学理论的研究工作进展不大,公开的密码学文献很少。Shannon发表的“保密系统的信息理论”为私钥密码系统建立了理论基础,从此密码学发展成为一门具有艺术性的科学。第三阶段为从1976年至今。美国斯坦福大学的迪菲(Diffie)和赫尔曼(Hellman)两人发表的“密码学的新动向”一文导致了密码学上的一场革命,从而开创了公钥密码学的新纪元。2.密码体制的组成和分类有哪些答:通常情况下,一个密码体制由5个部分组成:明文信息空间M;密文信息空间C;密钥空间K;加密变换Ek:M→C,其中k∈K;解密变换Dk:C→M,其中k∈K。密码体制分为对称密钥密码技术(私钥加密)和非对称密钥密码技术(公钥加密)。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类;非对称密码体制加密使用两个不同的密钥:一个公共密钥和一个专用密钥。公共密钥加密算法主要有:RSA算法、背包算法、椭圆曲线算法等。3.什么是对称密码体制和非对称密码体制两者有何区别和联系答:对称(传统)密码体制是从传统的简单换位、代替密码发展而来的。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。1976年,Diffie、Hellman、Merkle分别提出了非对称密码体制的思想,这种密码体制不同于传统的对称密钥密码体制,它要求使用两个不同的密钥:一个公共密钥和一个专用密钥。用户首先要保障专用密钥的安全,公共密钥则可以公开发布信息。因公共密钥与专用密钥是紧密联系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。除加密功能外,公钥系统还可以提供数字签名。公共密钥加密算法主要有:RSA算法、背包算法、椭圆曲线算法等。对称密码体制和非对称密码体制两者的区别和联系如下:对称密码体制和非对称密码体制是密码体制的两种不同的分类。对称密码体制是应用较早的密码体制,技术成熟。在对称密码体制中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称密码体制的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是交易双方都使用同样密钥,安全性得不到保证。密钥管理成为了用户的负担。对称密码体制在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。非对称密码体制使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用非对称密码体制加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。由于非对称密码体制拥有两个密钥,特别适用于分布式系统中的数据加密。4.比较DES密码算法和三重DES算法。答:DES密码是一种采用传统加密方法的第一个分组密码,是目前应用最广泛的分组对称密码算法,发展至今已成为工业界的标准密码算法。DES加密算法属于密钥加密算法(对称算法),输入的是64比特的明文组,在64比特密钥的控制下产生64比特的密文。64比特的密钥中含有8个比特的奇偶校验位,所以实际有效密钥的长度为56比特。DES解密算法输入的是64比特的密文,输出64比特的明文,解密算法与加密算法一样,只是将密钥组的使用次序反过来。DES解密算法与DES加密算法基本相同,不同之处在于DES解密时使用的密钥顺序与DES加密过程中密钥的使用顺序刚好相反,其他各参数及算法均相同。DES现在已经不被视为一种安全的加密算法,因为它使用的56位密钥过短。针对56位密钥长度的DES算法不安全的因素,人们提出了多重DES算法,主要有双重DES及三重DES。三重DES加密主要有4种工作模式,分别如下。(1)DES-EEE3模式:共使用三个不同的密钥,并顺次使用三次DES加密算法。(2)DES-EDE3模式:共使用三个不同的密钥,依次使用“加密-解密-加密”这样一个复合加密过程。加密解密表达式为:C=Ek3(Dk2(Ek1(P))P=Dk1(Ek2(Dk3(P))(3)DES-EEE2模式:顺序使用三次DES加密算法,其中第一次和第三次使用的密钥相同,即加密解密表达式为:C=Ek1(Ek2(Ek1(P))P=Dk1(Dk2(Dk1(P))(4)DES-EDE2模式,依次使用“加密-解密-加密”算法,其中第一次和第三次使用的密钥相同,加密解密表达式为:C=Ek1(Dk2(Ek1(P))P=Dk1(Ek2(Dk1(P))5.IDEA算法的工作原理是什么答:IDEA算法是对称密码体制中的一种基于数据块的分组加密算法,整个算法包含子密钥产生、数据加密过程、数据解密过程三个部分。该算法规定明文块与密文块均为64比特,密钥长度为128比特,加密与解密算法相同,只是密钥各异,其基本工作原理如下图所示。密钥发生器密钥发生器加密器E解密器D明文密文IDEA工作原理6.简述RSA算法的优点和缺点。答:RSA算法的优点:(1)RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。普遍认为是目前最优秀的公钥方案之一。(2)RSA算法的加密密钥和加密算法分开,使得密钥分配更为方便。它特别符合计算机网络环境。(3)RSA算法解决了大量网络用户密钥管理的难题,这是公钥密码系统相对于对称密码系统最为突出的优点。RSA算法的缺点:(1)产生密钥很麻烦,受到素数产生技术的限制,难以做到一次一密。(2)RSA的安全性依赖于大数的因子分解。但并没有从理论上证明破译RSA的难度与大数分解难度等价,而且密码学界多数人士倾向于因子分解不是问题。(3)加解密速度太慢。由于RSA算法的分组长度太大,为保证安全性,n至少也要600比特以上,这样使运算代价很高,尤其是加解密速度较慢,较对称密码算法慢几个数量级;而且随着大数分解技术的发展,n的长度还在增加,不利于数据格式的标准化。第4章数字签名与认证技术习题参考答案1.什么是数字签名技术它的实现方法有哪些答:数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。实现数字签名有很多方法,从整体上来说分为两类:用非对称加密算法进行数字签名和用对称加密算法进行数字签名。2.常见的口令攻击技术有哪些答:常见的口令攻击方式有3种,即从用户主机中获取口令,在通信线路上截获口令,从远端系统中破解口令。常见的口令攻击方法有:社会工程学、猜测攻击、字典攻击、穷举攻击、混合攻击、直接破解系统口令文件、嗅探器、键盘记录器。3.什么是生物特征识别技术列举生活中常见的生物特征识别技术。答:生物识别技术是指利用人体生物特征进行身份认证的一种技术。具体来说,生物特征识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性和行为特征来进行个人身份的鉴定。生活中常见的生物特征识别技术有:指纹识别、虹膜识别、面部识别、手型识别。4.什么是指纹识别简述其工作原理。答:指纹识别指通过比较不同指纹的细节特征来进行鉴别。由于每个人的指纹不同,就是同一人的十指之间,指纹也有明显区别,因此指纹可用于身份鉴定。指纹识别的原理步骤如下:(1)集取:首先利用指纹扫描器,将指纹的图形及其他相关特征集取下来。(2)演算:将图形及相关特征,运用程序进行运算及统计,找出该指纹具有所谓“人人不同且终身不变的特性”的相关特征点,并将其数位化。(3)传送:将数位化的指纹特征在电脑上运用各种方式传送,不论是其传送方式或加解密方式,均仍保留该特性。(4)验证:传送过来的数据再经运算、验证其与资料库中比对资料的相似程度。如果达到一定达到一定程度以上的统计相似度、差异在某种极低的几率以下,即可代表这是由本人传送过来的指纹数据。故只要符合上述原理,中间无任何转换上的漏失且在一定的比对值以上,均可确认是本人的指纹。5.什么是虹膜识别简述其工作原理。答:虹膜身份识别技术即利用虹膜图像进行自动虹膜识别,它是一项创新技术,它涉及现代数学、信号处理、模式识别、图像处理等多个领域,是当今国际计算机应用领域前沿性的研究课题之一。虹膜识别的工作原理为:(1)由一个专用的摄像头拍摄虹膜图像。(2)专用的转换算法会将虹膜的可视特征转换成一个512字节长度的虹膜代码。(3)识别系统将生成的代码与代码库中的虹膜代码进行逐一比较,当相似率超过某个边界值(一般是67%)时,系统判定检测者的身份与某个样本相符,而如果相似程度低于这个边界值,系统就会认为检测者的身份与该样本预期身份不符合,进入下一轮的比较。第5章信息隐藏技术习题参考答案1.什么是信息隐藏答:信息隐藏,也叫数据隐藏。简单地说,信息隐藏就是将秘密信息隐藏于另一非保密的载体之中,载体可以是图像、音频、视频、文本,也可以是信道,甚至编码体制或整个系统。广义的信息隐藏包括隐写术、数字水印、数字指纹、隐藏信道、阈下信道、低截获概率和匿名通信等。从狭义上看,信息隐藏就是将一个机密信息隐藏于另一个公开的信息中,然后通过公开信息的传输来传递机密信息。狭义的信息隐藏通常指隐写术和数字水印以及数字指纹。2.简述几种典型的信息隐藏技术。答:典型的信息隐藏技术包括时域替换技术、变换域技术和可视密码技术。时域替换技术的基本原理是用秘密信息比特替换掉封面信息中不重要的部分,以达到对秘密信息进行编码的目的。时域替换技术具有较大的隐藏信息量(容纳性)和不可见性(透明性),但稳健性(鲁棒性)较弱。这种技术比较有代表性的是最不重要比特位(LSB)方法。变换域技术的基本原理是将秘密信息嵌入到数字作品的某一变换域中。这种技术比时域替换技术能更有效地抵御攻击,并且还保持了对人的不易觉察性。变换域方法具有较强的不可见性和稳健性,是目前应用很广泛的算法。但变换域技术的复杂性和技术性与时域替换技术相比都要更高。可视密码技术是Naor和Shamir于1994年首次提出的,其主要特点是恢复秘密图像时不需要任何复杂的密码学计算,而是以人的视觉即可将秘密图像辨别出来。3.信息隐藏技术有哪些特点答:信息隐藏技术通常有以下特点:(1)透明性或不可感知性(2)鲁棒性(3)安全性(4)不可检测性(5)自恢复性(6)嵌入强度(信息量)4.什么是数字水印答:数字水印是利用人类感知器官的不敏感特性以及多媒体数据中存在的冗余,通过一定的算法将秘密信息隐藏到宿主信息中,且水印的添加不会影响原数据的内容和正常使用。嵌入到多媒体数据中的信息可以是数字、序列号、文字、图像标志等,以起到版权保护、标识产品、秘密通信、验证归属权、鉴别数据真伪等作用。一般情况下秘密消息需要经过适当变换后才能嵌入到数字作品中,通常把经过变换的秘密信息叫做数字水印。5.数字水印有哪些特性答:数字水印的特性有:(1)有效性(2)逼真度(3)数据容量(4)盲检测与明检测(5)虚检率(6)鲁棒性(7)安全性。6.简述数字水印的几种典型算法。答:数字水印的典型算法有:(1)最低有效位算法(LSB)最低有效位算法是第一个数字水印算法,是一种典型的空间域信息隐藏算法。LSB算法虽然可隐藏较多的信息,但隐藏的信息可以被轻易移去,无法满足数字水印的鲁棒性要求,因此现在的数字水印软件已经很少采用LSB算法。(2)Patchwork算法Patchwork算法主要用于打印票据的防伪。Patchwork算法隐藏在特定图像区域的统计特性中,其鲁棒性很强,可以有效地抵御剪切、灰度校正、有损压缩等攻击,其缺陷是数据量较低,抵抗力较弱。(3)DCT变换域数字水印算法DCT变换域数字水印是目前研究最多的一种数字水印,它具有鲁棒性强、隐蔽性好的特点。其主要思想是在图像的DCT变换域上选择中低频系数叠加水印信息。(4)直接序列扩频水印算法该算法是扩频通信技术在数字水印中的应用。扩频通信将待传递的信息通过扩频码调制后散布于非常宽的频带中,使其具有伪随机特性。收信方通过相应的扩频码进行解扩,获得真正的传输信息。扩频通信具有抗干扰性强、高度保密的特性。7.数字视频水印的嵌入算法有哪些答:数字视频水印的嵌入算法很多,可以分为两大类:在原始视频中嵌入水印和在压缩视频流中嵌入水印。在原始视频中嵌入水印的方法又可以分为在空间域嵌入水印和在变换(频率)域嵌入水印。在压缩视频中嵌入水印一般考虑MPEG编码标准。在MPEG编码标准中,有3种图像类型:内部编码帧(I帧)、前向预测帧(P帧)和双向预测帧(B帧)。 8.视频水印攻击分为哪几类答:目前视频水印的攻击主要有以下4种情况:(1)简单攻击(2)检测失效攻击(3)“混淆”攻击(4)移去水印攻击。第6章计算机病毒防范技术习题参考答案1.简述计算机病毒的定义和特征。答:计算机病毒的定义:广义上,能够引起计算机故障,破坏计算机数据的程序都可称为计算机病毒;狭义上,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒主要有以下几种特征:破坏性、传染性、隐蔽性、寄生性、潜伏性、可触发性、针对性、不可预见性。2.计算机病毒由哪些模块组成各模块有什么功能答:计算机病毒程序一般由三大模块组成:引导模块、传染模块、破坏/表现模块。各模块的功能:引导模块的作用是把计算机病毒由外存引入到内存,使传染模块和破坏模块处于活动状态;计算机病毒的传染模块主要是将计算机病毒传染到其他对象上去。破坏/表现模块的主要作用是实施计算机病毒的破坏/表现功能,是计算机病毒的主体模块,它负责实施计算机病毒的破坏/表现动作,这些动作可能是破坏文件、损坏数据或占用系统资源等,干扰系统正常运行,甚至造成系统瘫痪。3.简述宏病毒的工作机制,以及清除宏病毒的方法。答:宏病毒利用宏语言(VBA,VisualBasicForApplication)编写,宏病毒不传染可执行文件,而是将特定的宏命令代码附加在指定的文档文件上,当打开带有宏病毒的文档文件时,宏病毒就会被激活,并转移到计算机中,驻留在Normal模板上,执行宏的时候,会将这些命令或动作激活。所有自动保存的文档都会“感染”上这种宏病毒。宏病毒通过文档文件的打开或关闭操作来获得系统的控制权,实现宏病毒在不同文档文件之间的共享和传递,达到传染的目的。清除宏病毒有两种方法:(1)手工删除宏:打开微软办公自动化系列软件中的宏管理器(工具→宏(M)→宏(M)→管理器(G)),将不明来源的自动执行宏删除即可。(2)使用杀毒软件清除:目前的杀毒软件都具备清除宏病毒的能力,可利用杀毒软件对文档文件进行杀毒,以清除宏病毒。4.计算机病毒的常用诊断检测方法有哪些答:计算机病毒的常用诊断检测方法有:特征码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。5.网络病毒有哪些特征怎样防范网络病毒答:网络病毒的特征有:(1)传播方式多样化(2)传播速度更快(3)难以彻底清除(4)破坏性更大(5)网络病毒触发条件的多样化(6)潜在的危险更大。在网络操作系统中一般提供了目录和文件访问权限与属性两种安全措施,属性优先于访问权限。可以根据用户对目录和文件的操作能力分别分配不同的访问权限和属性,比如对于公用目录中的系统文件和工具软件,只设置成只读属性;系统程序所在的目录不授权修改权和超级用户权。这样,计算机病毒就无法对系统程序实施感染和寄生,其他的用户也不会感染病毒。网络上公用目录或共享目录的安全性措施对于防止计算机病毒在网上传播起到了积极作用,采用基于网络目录和文件安全性的方法对防止网络病毒也起到了一定的作用。防范网络病毒要充分利用网络操作系统本身所提供的安全保护措施,加强网络安全管理,做好网络病毒的预防工作,以减小网络病毒对网络用户所造成的危害。6.如何清除计算机病毒答:常用的清除计算机病毒的方法有:(1)杀毒软件清除法(2)主引导区信息恢复法当计算机系统感染上引导型病毒时,可采用备份的主引导扇区文件进行覆盖,从而恢复主引导扇区信息。(3)程序覆盖法适合于文件型病毒,一旦发现某些程序或文件被感染了文件型病毒,可重新安装该程序,安装过程根据提示信息对所有文件进行覆盖,即可清除病毒。(4)格式化磁盘法是最彻底的清除计算机病毒的办法。对于一些较顽固的计算机病毒,只能采用格式化或者低级格式化磁盘的方法来进行清除。(5)手工清除法适合于所有的计算机病毒,特别是对那些新出现的未知的计算机病毒,不过这种方法要求的专业性稍高一些,一般适用于计算机类专业人员操作。7.试为你所在学校的校园网制定安全的网络管理规范(答案略)提示:根据所在学校校园网的发展规模和实际情况制定相应的网络管理规范。第7章网络攻击与防范技术习题参考答案:1.网络监听的原理是什么答:在一个实际的局域网络中,数据的收发是由网卡来完成的,网卡内的单片程序解析数据帧中的目的MAC地址,并根据网卡驱动程序设置的接收模式判断该不该接收,如果该接收,就接收数据,同时产生中断信号通知CPU,否则丢弃。如果将网卡的工作模式设置为“混杂模式”,那么网卡将接受所有传递给它的数据包,这就是网络监听的基本原理。2.网络监听的防范和检测有哪几种方式答:(1)采用ARP(AddressResolutionProtocol,地址解析协议)技术进行检测。(2)采用DNS技术进行检测。(3)采用网络和主机响应时间测试的方法进行检测。3.缓冲区溢出攻击的防范分哪几个步骤答:缓冲区溢出攻击的防范分两个步骤:(1)将攻击代码植入被攻击程序中;(2)使被攻击程序跳转到植入的攻击代码处执行。4.IP欺骗攻击的原理是什么答:IP欺骗,简单来说就是向目标主机发送源地址为非本机IP地址的数据包。5.简述IP欺骗攻击的步骤。答:IP欺骗的攻击步骤如以下所示:(1)假设Z企图攻击A,而A信任B。(2)假设Z已经知道了被信任的B,就使用某种方法使B的网络功能暂时瘫痪,以免对攻击造成干扰。(3)Z对A当前的ISN号进行取样。Z还要知道A当前的TCP的初始顺序号ISN。Z首先与A的一个端口建立一个正常的链接,如主机Z的25端口,并记录A的ISN,以及Z到A的大致往返时间RTT(RoundTripTime)。通常,这个过程要重复多次以便求出RTT的平均值和存储最后发送的ISN。在Z知道了A的ISN基值和增加规律(比如ISN每秒增加128000,每次链接增加64000)后,也知道了从Z到A需要的RTT/2的时间。这时必须立即进行攻击,否则在这之间会有其它主机与A链接,ISN将比预料的多出64000。(4)Z向A发送带有SYN标志的数据段请求链接,只是源IP改成了B,B因为遭受到Z的攻击,已经无法响应。(5)Z等待一会儿,让A有足够时间发送SYN+ACK数据(Z看不到这个包)。然后Z再次伪装成B向A发送ACK数据包,此时发送的数据段带有Z预测的A的ISN+1。如果Z的预测准确,A将会接收ACK,Z与A的连接建立,数据传送开始,Z就可以使用命令对A进行非授权操作。6.如何防范DoS和DDoS攻击答:(1)在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的数据包能够受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。(2)用网络安全设备(如防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。(3)网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。(4)用户发现自己正在遭受DDoS攻击时,应当启动自己的应对策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他结点,从而阻挡从已知攻击结点的流量。(5)如果用户是潜在的DDoS攻击受害者,并且发现自己的计算机被攻击者用作受控服务器端和攻击服务器端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞,将会对用户的系统产生一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。7.S/MIME提供哪些功能答:S/MIME提供以下功能:(1)封装数据:加密内容和加密密钥(2)签名数据:发送者对消息进行签名,并用私钥加密,对消息和签名都使用base64编码,签名后的消息只有使用S/MIME的接收者才能阅读。(3)透明签名数据:发送者对消息签名,但只有签名使用base64编码,接收者即使没有使用S/MIME,也可以阅读消息内容,但不能验证签名。(4)签名和封装数据:加密后的数据可以再签名,签名和透明签名过的数据可以再加密。8.IPSec安全体系结构中包括了哪几种最基本的协议答:IPSec安全体系结构中包括以下3种最基本的协议:(1)认证头AH(AuthenticationHeader)协议为IP包提供信息源认证和完整性保证。(2)封装安全ESP(EncapsulatingSecurityPayload)协议提供加密保证。(3)Internet安全协会和密钥管理ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议提供双方交流时的共享安全信息,它支持IPSec协议的密钥管理要求。9.简述SSL传输数据的过程。答:SSL传输数据的过程为:(1)客户端向服务器端发送客户端SSL版本号、加密算法设置、随机产生的数据和其他服务器需要用于跟客户端通讯的数据。(2)服务器向客户端发送服务器的SSL版本号、加密算法设置、随机产生的数据和其他客户端需要用于跟服务器通讯的数据。另外,服务器还要发送自己的证书,如果客户端正在请求需要认证的信息,那么服务器同时也要请求获得客户端的证书。(3)客户端用服务器发送的信息验证服务器身份。如果认证不成功,用户将得到一个警告,然后加密数据连接将无法建立。如果成功,则继续下一步。(4)创建连接所用的预制秘密密钥,并用服务器的公钥加密(从第2步中传送的服务器证书中得到),传送给服务器。(5)如果服务器也请求客户端验证,那么客户端将对用于建立加密连接使用的数据进行签名。把这次产生的加密数据和自己的证书同时传送给服务器用来产生预制秘密密钥。(6)服务器将试图验证客户端身份,如果客户端不能获得认证,连接将被中止,如果被成功认证,服务器用自己的私钥加密预制秘密密钥,然后执行一系列步骤产生主密钥。(7)服务器和客户端同时产生SessionKey之后的所有数据都是用对称密钥算法来进行交流的。(8)客户端向服务器发送信息说明以后的所有信息都将用SessionKey加密。至此,它会传送一个单独的信息标识客户端的握手部分己经宣告结束。(9)服务器向客户端发送信息说明以后的所有信息都将用SessionKey加密。至此,它会传送一个单独的信息标识服务器端的握手部分已经宣告结束。(10)SSL握手过程成功结束,一个SSL数据传送过程建立。客户端和服务器开始用SessionKey加密、解密双方交互的所有数据。10.简述SET协议的工作过程。答:SET协议的工作过程为:(1)消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入订货单,订货单上包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。(2)通过电子商务服务器与有关在线商店联系在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数,交货方式等信息是否准确,是否有变化。(3)消费者选择付款方式,确认订单签发付款指令此时SET开始介入。(4)在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。(5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。(6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。(7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的帐。11.VPN具有哪些特点答:VPN的特点有:(1)使用VPN专用网的构建将使费用大幅降低。VPN不需要像传统的专用网那样租用专线,设置大量的数据机或远程存取服务器等设备。例如,远程访问VPN用户只需通过本地的信息服务提供商(ISP)登录到Internet上,就可以在他的办公室和公司内部网之间建立一条加密信道,用这种Internet作为远程访问的骨干网方案比传统的方案(如租用专线或远端拨号等)更易实现,费用更少。(2)VPN灵活性大。VPN方便更改网络结构,方便连接新的用户和网站。(3)VPN易于管理维护。VPN中可以使用RADIUS(RemoteAuthenticDialInUserService)来简化管理,使用RADIUS时,从管理上只需维护一个访问权限的中心数据库来简化用户的认证管理,无须同时管理地理上分散的远程访问服务器的访问权限和用户认证。同时在VPN中,较少的网络设备和线路也使网络的维护较容易。12.VPN的实现技术有哪几种答:VPN的实现技术有以下4种:(1)隧道协议(2)隧道服务器(3)认证(4)加密13.简述构建VPN的一般步骤。答:构建VPN的一般步骤为:(1)架设VPN服务器;(2)给用户分配远程访问的权限;(3)在VPN客户端建立Internet连接;(4)在VPN客户端建立VPN拨号连接;(5)VPN客户端连上Internet并与VPN服务器建立连接。构建好VPN之后可以从以下3个方面来验证是否已经成功构建了VPN:(1)构建的VPN是否可以直接访问内网的计算机资源。(2)构建的VPN是否可以访问VPN服务器的Internet接口。(3)验证数据在传输过程是否被加密,可以分别在内网的计算机和VPN服务器上安装网络监视器,从外网发起访问,捕获并分析数据包是否被加密。第8章防火墙技术习题参考答案1.简述防火墙的定义。答:防火墙是一种隔离控制技术。它是位于两个信任程度不同的网络之间的能够提供网络安全保障的软件或硬件设备的组合,它对两个网络之间的通讯进行控制,按照统一的安全策略,阻止外部网络对内部网络重要数据的访问和非法存取,以达到保护系统安全的目的。2.防火墙的主要功能有哪些又有哪些局限性答:主要功能:①过滤进出网络的数据信息。②管理进出网络的访问行为。③便于集中安全保护。④对网络存取和访问进行监控审计。⑤实施NAT技术的理想平台。局限性:①防火墙不能防范不经过防火墙的攻击。②防火墙不能防范网络内部的攻击。③防火墙不能防范内部人员的泄密行为。④防火墙不能防范因配置不当或错误配置引起的安全威胁。⑤防火墙不能防范利用网络协议的缺陷进行的攻击。⑥防火墙不能防范利用服务器系统的漏洞进行的攻击。⑦防火墙不能防范感染病毒文件的传输。⑧防火墙不能防范本身安全漏洞的威胁。⑨防火墙不能防范人为的或自然的破坏。3.什么是堡垒主机堡垒主机有哪几种类型堡垒主机的作用是什么答:堡垒主机是一种被强化的可以防御进攻的主机。根据不同的安全要求,有单宿主堡垒主机、双宿主堡垒主机和受害堡垒主机3种类型。堡垒主机基本上都被放置在网络的周边或非军事区,作为进入内部网络的一个检查点,从而把整个网络的安全问题都集中在堡垒主机上解决。4.什么是DMZ为什么要设立DMZDMZ中一般放置哪些设备答:DMZ(DemilitarizedZone,非军事区或隔离区)指为不信任系统服务的孤立网段。它把内部网络中需要向外提供服务的服务器集中放置到一个单独的网段,与内部网络隔离开,这个网段就是DMZ。它解决了需要公开的服务与内部网络安全策略相矛盾的问题。DMZ区中一般放置堡垒主机、提供各种服务的服务器和Modem池。5.屏蔽路由器体系结构的优缺点是什么答:屏蔽路由器体系结构的优点是结构简单,容易实现,成本低廉。只需在边界路由器中加入一个包过滤软件就可以了,现在标准的路由器软件中都包含有过滤功能;屏蔽路由器对用户是透明的,无需修改、配置用户主机。缺点是:不能识别不同的用户;屏蔽路由器没有较好的监视和日志功能、报警功能,无法保留攻击踪迹,不易发觉入侵行为;依赖一个单一的设备保护系统的风险比较大;被保护的内部网络主机与外部网络的主机直接通信,使整个网络受到威胁。6.双宿主主机体系结构的特点有哪些其主要的缺点是什么答:双宿主主机结构是在外部网络和内部网络之间放置一台双宿主堡垒主机作为防火墙。双宿主堡垒主机的两个网卡分别连接内、外部网络,监控过往数据。内、外网络通信必须经过堡垒主机。堡垒主机不使用包过滤规则,而是相当于一个网关,割断了两个网络IP层之间的直接通信。两个网络之间的通信是通过应用层数据共享或应用层代理服务来实现。堡垒主机上运行的防火墙软件,可以转发应用程序,提供服务等。双宿主主机结构主要的缺点是:一旦攻击者侵入堡垒主机并使其具有路由功能,则任何外部网络用户都可以随便访问内部网络。7.包过滤技术的原理是什么状态检测技术有哪些优势答:包过滤技术是一种基于网络层的防火墙技术,其核心是包过滤算法的设计,也叫做安全策略设计。包过滤防火墙读取流过它的每一个数据包的报头信息,然后用预先设定好的过滤规则与之逐条匹配。匹配成功的数据包按照过滤规则允许通过的被转发,不允许通过的则被丢弃。如果没有一条过滤规则与数据包报头的信息匹配,防火墙会使用丢弃这一默认规则丢弃数据包。包过滤技术检查数据包报头的信息主要有:源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号、TCP标志位、协议等。状态检测技术的优点是:具有识别带有欺骗性源IP地址包的能力;能够提供详细的日志;检查的层面能够从网络层至应用层。其缺点是可能会造成网络连接的某种延时,特别是在有许多连接同时激活或有大量的过滤规则存在时。但这种情况将随着硬件运行速度的不断提升越来越不易察觉。8.包过滤规则的建立要遵循哪些原则答:包过滤规则的建立要遵循的原则有:①遵循“拒绝所有”安全策略。利用防火墙先把内、外网络隔离,在隔离的基础上再有条件的开放,可以大大减少网络安全危险。②规则库应该阻止任何外部网络用户对位于防火墙后面的内部网络主机的访问。但应该放开对DMZ区应用服务器的访问。③规则库应该允许内部网络用户有限制的访问外部网络。9.代理服务技术的工作原理是什么应用层网关与电路层网关的区别是什么答:代理服务是指代表客户处理连接请求的专用应用程序,也可称为代理服务器程序。代理服务器得到一个客户的连接意图时,先对客户的请求进行核实,并用特定的安全化的代理应用程序处理连接请求,然后将处理后的请求传递到真正的服务器上,再接收真正服务器的应答,做进一步处理后将答复交给发出请求的第一个客户。客户对代理服务器中间的传递是没有任何感觉的,还以为是直接访问了服务器。而对真正的服务器来说也是看不到真正的客户的,只看到代理服务器,以为代理服务器就是客户。这样代理服务器对客户就起到了保护作用。应用层网关的核心技术就是代理服务器技术,是基于软件的,通常安装在带有操作系统的主机上。它通过代理技术参与到一个TCP连接的全过程,并在网络应用层上建立协议过滤和转发功能,所以叫做应用层网关;电路层网关也称为TCP通道,它通过在TCP三次握手建立连接的过程中,检查双方的SYN、ASK和序列号是否合乎逻辑,来判断该请求的会话是否合法。一旦网关认为会话是合法的,就建立连接,并维护一张合法会话连接表,当会话信息与表中的条目匹配时才允许数据包通过,会话结束后,表中的条目就被删除。电路层网关适用于多种协议,但不解释应用协议中的命令就建立了连接。10.简述自适应代理技术的工作原理。答:自适应代理技术的组成有两个基本要素:自适应代理服务器和动态包过滤器。在自适应代理与动态包过滤器之间存在一个控制通道。初始的安全检查仍在应用层中进行,保证传统防火墙的最大安全性,一旦可信任的身份得到认证,建立了安全通道,随后的数据包就重新定向到网络层传输。这里做定的仍然是代理。第9章入侵检测技术习题参考答案1.什么是入侵检测什么是入侵检测系统入侵检测系统的功能有哪些答:入侵检测(IntrusionDetection,ID)就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。入侵检测系统(IntrusionDetectionSystems,IDS)是按照一定的安全策略,为系统建立的安全辅助系统;是完成入侵检测功能的软件、硬件的集合。总体来说其主要功能有:用户和系统行为的检测和分析。重要的系统和数据文件的完整性评估。系统配置和漏洞的审计检查。异常行为模式的统计分析。已知的攻击行为模式的识别。操作系统的审计跟踪管理及违反安全策略的用户行为的识别。2.根据CIDF模型,入侵检测系统一般由哪几部分组成各部分的作用是什么答:CIDF模型的4个组件和各自的作用如下:(1)事件产生器(EventGenerators),即信息获取子系统,用于收集来自主机和网络的事件信息,为检测信息提供原始数据,并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。(2)事件分析器(EventAnalyzers),即分析子系统,是入侵检测系统的核心部分。事件分析器分析从其他组件收到GIDO(统一入侵检测对象),并将产生的新GIDO(统一入侵检测对象)再传送给其他组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。(3)响应单元(ResponseUnits),即响应控制子系统。响应单元处理收到GIDO(统一入侵检测对象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。(4)事件数据库(EventDatabases),即数据库子系统,用来存储系统运行的中间数据并进行规则匹配的安全知识库。3.根据系统所检测的对象分类,入侵检测系统有哪些类型各有何优缺点答:根据系统所检测的对象分类:基于主机的入侵检测系统(Host-basedIDS,HIDS)、基于网络的入侵检测系统(Network-basedIDS,NIDS)和混合入侵检测系统(HybridIDS,混合IDS)。HIDS的优点是:主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息;HIDS通常情况下比网络入侵检测系统误报率要低;HIDS可部署在那些不需要使用入侵检测、传感器与控制台之间通信带宽不足的情况;HIDS在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。HIDS缺点有:HIDS安装在我们需要保护的设备上;HIDS依赖于服务器固有的日志与监视能力;全面部署HIDS代价较大;HIDS除了监测自身的主机以外,根本不监测网络上的情况;对入侵行为分析的工作量将随着主机数目增加而增加。NIDS的优点是:NIDS能够检测那些来自网络的攻击,它能够检测到超出授权的非法访问;一个网络入侵检测系统不需要改变服务器等主机的配置;NIDS发生了故障也不会影响正常业务的运行;NIDS安装方便。NIDS的缺点有:NIDS只检查它直接连接网段的通信,不能检测在不同网段的网络包;NIDS很难实现一些复杂的需要大量计算与分析时间的攻击检测;NIDS可能会将大量的数据传回分析系统中,从而影响网络的速度;NIDS处理加密的会话过程较困难。混合IDS是综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。虽然这种解决方案覆盖面极大,但是产生的数据量和费用将是巨大的。4.根据数据分析方法分类,入侵检测系统有哪些类型各有何优缺点答:根据数据分析方法分类,入侵检测系统有基于异常检测(Anomalydetection)的入侵检测系统和基于误用检测(Misusedetection)的入侵检测系统。基于异常检测的入侵检测系统优点是:因为是基于行为的,可以检测到新型的入侵方式;不存在入侵特征库,避免了繁琐费时的搜索匹配工作。缺点是:阈值设置困难,活动文档需要常常维护更新,异常检测器容易导致计算开销增大。基于误用检测的入侵检测系统优点有:能准确检测出入侵特征库中已定义好的入侵,不会产生太多的误报;检测结果清晰,对入侵事件有准确的定位;升级维护方便。缺点是:对于未被编码的入侵行为它是检测不到的,即只能检测出已知的入侵,而对未知的可能入侵是无能为力的;容易产生漏报;入侵特征库存在难以管理和搜索的效率问题。5.入侵检测系统有哪些分析方法答:入侵检测系统有哪些分析方法有:简单模式匹配、专家系统、状态转移分析、统计分析、人工免疫、遗传算法、人工神经网络、数据挖掘和协议分析和状态协议分析技术等。文档由哪几部分组成答:CIDF的规格文档由4部分组成:体系结构(TheCommonIntrusionDetectionFrameworkArchitecture)、通讯机制(CommunicationintheCommonIntrusionDetectionFramework)、描述语言(ACommonIntrusionSpecificationLanguage)、应用编程接口API(CommonIntrusionDetectionFrameworkAPIs)。7.简述Snort的组成和入侵检测流程。答:Snort由数据包解码器、检测引擎和日志/报警子系统三部分组成。Snort的入侵检测流程分为两步:第一步是规则的解析流程,包括从规则文件中读取规则和在内存中组织规则;第二步是使用这些规则进行匹配流程。8.简述入侵检测的局限性。答:(1)误报和漏报(2)隐私和安全(3)被动分析与主动发现(4)没有统一的测试评估标准9.如何选购入侵检测产品答:(1)入侵检测产品是否通过了国家权威机构认证(2)入侵检测产品结构是否合理(3)入侵检测产品的易用性和可扩展性(4)入侵检测产品的检测能力和响应能力(5)入侵检测产品自身的保护能力第10章操作系统安全技术习题参考答案1.操作系统的安全机制有哪些答:操作系统的安全机制有:(1)硬件安全机制(2)标识与鉴别(3)访问控制(4)最小特权管理(5)可信通路(6)隐蔽通道(7)安全审计2.访问控制包括哪两种方式访问方式通常包括自主访问控制和强制访问控制两种方式。自主访问控制是指主体对客体的访问权限只能由客体的宿主或超级用户决定或更改。强制访问控制是由专门的安全管理员按照一定的规则分别对操作系统中的主体和客体作相应的安全标记,而且基于特定的强制访问规则来决定是否允许访问。3.什么是安全审计安全审计是对操作系统中有
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 安徽省蚌埠市田家炳中学、五中2025届生物高二上期末复习检测试题含解析
- 安徽省池州市江南中学2025届生物高三上期末复习检测试题含解析
- 2025届上海市浦东新区市级名校生物高二上期末学业质量监测试题含解析
- 2025届青海省西宁市大通回族土族自治县高二生物第一学期期末考试试题含解析
- 江苏省盐城市阜宁中学2025届高三英语第一学期期末统考试题含解析
- 2025届福建省泉州实验中学数学高二上期末综合测试模拟试题含解析
- 2025届福建省泉州市南安第一中学高三生物第一学期期末经典模拟试题含解析
- 湖南省百所重点名校大联考2025届语文高三上期末质量检测模拟试题含解析
- 上海宝山同洲模范学校2025届高三生物第一学期期末联考模拟试题含解析
- 2025届江苏省无锡市高一数学第一学期期末复习检测模拟试题含解析
- 智慧消防系统详细建设方案
- 西南交通大学铁路车站及枢纽枢纽区段站课程设计说明书
- 上海市中小学生职业体验活动项目申报表
- 1.天津市装饰装修定额说明、计算规则
- 对公客户管理方案(修改版)
- 肾移植术的解剖(1)
- 《政务礼仪》PPT课件.ppt
- 文身的危害PPT精选课件
- IFRS17保险合同准则评析及影响分析
- PLC课程设计(停车场车位控制 )
- 软件项目运维工作记录表
评论
0/150
提交评论