信息安全技术（HCIA-Security）（微课版）（第2版）-课后习题答案汇 刘洪亮

第1章1.B2.D3.BCD4.ISMS信息安全发展历程包括三个阶段，分别是通信保密阶段、信息安全阶段信、息保障阶段。信息安全涉及的风险有物理风险、信息风险、系统风险、应用风险、网络风险、管理风险等。信息安全风险中的信息风险包括信息存储安全、信息传输安全、信息访问安全。等级保护定义是对信息和信息载体按照重要性等级分级别进行保护的一种工作。边界防护、访问控制、通信传输、入侵防范、恶意代码防范、集中控制。等级保护流程分为定级、备案、测评、整改、监督。第2章1.A2.C3.B4.TAB物理层、数据链路层、网络层、传输层、会话层、表示层以及应用层。（1）简化了相关的网络操作；（2）提供即插即用的兼容性和不同厂商之间的标准接口；（3）使各个厂商能够设计出互操作的网络设备，加快数据通信网络发展；（4）防止一个区域网络的变化影响另一个区域的网络，因此，每一个区域的网络都能单独快速升级；（5）把复杂的网络问题分解为小的简单问题，易于学习和操作。ARP、ICMP、OSPF、SNMP、NetStream等。连接因特网中各局域网、广域网的设备,能够在不同的网络之间转发数据包。它是一种位于内部网络与外部网络之间的网络安全系统,主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。通过Console口登录、通过Telnet登录、通过SSH登录、通过Web登录。第3章1.AB2.ABD3.ACD4.D网络安全威胁、应用安全威胁、数据传输与终端安全威胁。恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。人员、安全运维与管理、安全产品与技术。安全意识、运维管理、安全产品与技术。安全服务化、终端检测重要性日益凸显、流量管控由IP向应用演进、软件定义安全防御方案（华为SDSec）。第4章1.ABCD2.ABC3.ABC4.ABCD5.ACD6.D7.ABCD8.ABCD9.A10.ABCD11.ABCD第5章1.B2.C3.ABCDE4.ABCD5.ABC6.ABD7.ABC8.ABCDE第6章1.ABC2.A3.“状态检测”机制以流量为单位来对报文进行检测和转发，即对一条流量的第一个报文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发或进行内容安全检测还是丢弃。这个“状态”就是我们平常所述的会话表项。4.在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的，为了避免协商出来的通道不因其他规则的限制，如ACL而中断，需要临时开启一个通道，Servermap表项就是为了满足这种应用而设计的一种数据结构。ASPF技术检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的Servermap表项，以允许相关的报文通过。Server-map通常只是用检查首个报文，通道建立后的报文还是根据会话表来转发。5.分片缓存中首包分片和其它分片的区别在于标志位和片偏移，标志位是001，表示后面还有分片，标志位是000，表示该数据包为最后1个分段数据包;片偏移表示该IP包在该组分片包中位置，片偏移是0，表示该数据包为首包分片，片偏移不是0，表示该数据包为其它分片。首包分片先到，设备对首包分片进行包过滤规则检查，并根据判断结果建立会话表项，对于该流量的后续报文都直接根据会话表项来判断是转发还是丢弃。首包分片晚到，设备会将非首片的分片报文缓存至分片散列表，等待首片到来建立会话后，将所有分片报文进行转发。若在指定的时间内首片分片报文没有到来，防火墙将丢弃分片缓存中的分片报文。端口识别，也称端口映射，是防火墙用来识别使用非标准端口的应用层协议报文，把非标准协议端口映射成可识别的应用、协议、端口。端口映射支持的应用层协议包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。只对安全域间的数据流动生效，因此在配置端口映射时，也必须配置安全区域和安全域间。第7章Easy-ip主要适用于公网接口IP地址是动态获取的，或者只有设备的公网接口上的公网地址可用的情况，比如拨号网络。对于同一个内部服务器发布多个公网IP供外部网络访问的场景，如果不同公网IP所在的链路规划在同一个安全区域，可以通过配置指定no-reverse参数的NATServer来实现。指定no-reverse参数后，可以配置多个global地址和同一个inside地址建立映射关系。指定no-reverse参数后，设备生成的Server-map表只有正方向，内部服务器主动访问外部网络时，设备无法将内部服务器的私网地址转换成公网地址，内部服务器也就无法主动向外发起连接。因此，通过指定no-reverse参数可以禁止内部服务器主动访问外部网络。域间双向NAT的应用场景:当配置NATServer时，服务器需要配置到公网地址的路由才可正常发送回应报文，如果要简化配置，避免配置到公网地址的路由，则可以对外网用户的源IP地址也进行转换，转换后的源IP地址与服务器的私网地址在同一网段。域内NAT是指当内网用户和服务器部署在同一安全区域的情况下，仍然希望内网用户只能通过访问服务器的公网地址的场景。在实现域内NAT过程中，既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址，又需要将源地址由私网地址转换为公网地址。在配置NATServer时防火墙会生产静态ServerMap表项，而根据防火墙转发流程，防火墙在创建会话时查询的表项依次为servermap表，路由表，安全策略，NAT策略。因此在配置NATserver时，相应的安全策略中，从外网到内网的目的网段应该为内网服务器所在的真实网段地址;而在配置源NAT时，相应安全策略中指定的源地址应该为内网真实网段的地址而非转换后的地址。第8章1.B2.A3.ABD4.D第9章1.D2.ABC3.ABD4.A5.D第10章1.BCD2.D3.ACD4.ABC5.A第11章1.ABC2.ABCD3.C4.BCD5.B6.ABC7.ABC8.CD9.AB10.ABCD11.D12.ABCD13.D14.AC第12章1.BCD2.ABC3.ABC4.BC5.ACD6.AB7.ABCD第13章1.D2.D3、BCP和灾难恢复计划（DRP）都是为了降低灾难对业务持续运营的影响。灾难恢复计划在BCP中止时开始，当灾难发生且业务连续性计划无法阻止业务中断时，灾难恢复计划开始生效。4、（1）项目范围和计划编制（2）业务影响评估（3）连续性计划编制（4）BCP文档化5、（1）实施恢复策略（2）执行灾难恢复过程（3）测试灾难恢复计划6、（1）事故确认（2）请求执法（3）证据收集（4）约谈个人（5）提起诉讼7、（1）抓包（2）端口镜像（3）日志8、镜像端口：是指被监控的端口，镜像端口收发的报文将被复制一份到与监控设备相连的端口。观察端口：是指连接监控设备的端口，用于将镜像端口复制过来的报文发送给监控设备。9、Windows事件日志文件本质上是数据库，其中包括有系统日志、应用程序日志、安全日志。第14章1.D2.C3、（1）电子数据鉴定的客观性（2）电子数据鉴定的关联性（3）电子数据鉴定的合法性4、（1）密码破译，数据解密（2）文件属性分析（3）数字摘要分析（4）日志分析技术（5）反向工程等。5、（1）人为性（2）高科技性（3）多样性（4）脆弱性、易破坏性（5）动态传输性、生动形象性（6）无形性。第15章1.B2、（1）准备阶段（2）检测阶段（3）抑制阶段（4）根除阶段（5）恢复阶段（6）总结阶段3、（1）有害程序事件：计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合型程序攻击、网页内嵌恶意代码等等。（2）网络攻击事件：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件等等。（3）信息破坏事件：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失事件