网络空间安全习题答案

什么是网络空间安全？答案：网络空间安全是指利用各种网络管理、控制和技术措施，使网络系统的硬件、软件及其系统中的数据资源受到保护，避免这些资源遭到破坏、更改、泄露，保证网络系统连续、可靠、安全地运行。网络空间安全有哪些重要意义？答案：（1）网络运营和管理者认为对本地网络信息的访问、读写等操作应受到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁，要防御和制止攻击者的攻击。（2）网络安全技术部门认为通过掌握病毒、黑客入侵、计算机犯罪以及其他主动或被动攻击的基本原理和实施过程，提升技术手段对其进行防范，以保证网络软硬件设备、设施的安全运行。（3）安全保密部门认为应该对非法的、有害的或涉及国家机密的信息进行过滤和堵截，从而避免机密信息泄露，以减少社会危害。（4）社会教育和意识形态领域部门认为必须控制网络上不健康的内容，因为这些信息将对社会的稳定和发展产生不利。（5）网络用户（个人、企业等）认为涉及个人隐私或商业利益的信息在网络中传输时应受到绝对的保护，避免他人利用一些技术手段，如窃听、冒充、篡改和抵赖等侵犯或损坏其自身利益，同时避免其他用户对存储用户信息的计算机系统进行非法访问或破坏。网络空间安全的基本内容包括哪几个方面？答案：实体安全：环境安全、设备安全和媒体安全；运行安全：风险分析、审计跟踪、备份与恢复、应急处理、安全和运行检测、系统修复等；系统安全：系统安全监测、灾难恢复机制、系统改造管理、跟踪最新安全漏洞、系统升级和补丁修复等；应用安全：保护应用软件开发平台和应用系统的安全采取的安全措施；管理安全：对人和网络系统安全管理的法规、政策、策略、规范、标准、技术手段、机制和措施等。网络空间安全威胁的来源有哪些？答案：黑客攻击、网络犯罪、网络恐怖主义、网络战网络空间安全面临的挑战有哪些？答案：网络渗透危害政治安全、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖和违法犯罪破坏社会安全、网络空间的国际竞争方兴未艾、网络空间的机遇和挑战并存，机遇大于挑战网络空间安全的技术体系包括哪几个方面？答案：网络层防御技术、系统层与应用层防御技术、设备层防御技术、人员防御技术、大数据与云安全网络空间安全战略包括哪几个方面？答案：（1）坚定捍卫网络空间主权、（2）坚决维护国家安全、（3）保护关键信息基础设施、（4）加强网络文化建设、（5）打击网络恐怖和违法犯罪、（6）完善网络治理体系、（7）夯实网络安全基础、（8）提升网络空间防护能力、（9）强化网络空间国际合作8.《网络安全法》的六大亮点是什么？答案：不得出售个人信息、严厉打击网络诈骗、以法律形式明确“网络实名制”、重点保护关键信息基础设施、惩治攻击破坏我国关键信息基础设施的境外组织和个人、重大突发事件可采取“网络通信管制”。第2章1.简述机房选址时对机房环境及场地的考虑。答案：按计算机系统的安全要求，计算机机房的安全可分为A级、B级和C级三个基本级别。A级：有严格的要求，有完善的机房安全措施，有最高的安全性和可靠性等。

B级：有较严格的要求，有较完善的机房安全措施。C级：有基本的要求，有基本的机房安全措施。C级要求机房确保系统一般运行时的最低安全性和可靠性。计算站场地选址原则1）应避开易发生火灾的危险区域，如油库；2）应避开尘埃、有毒腐蚀性气体；3）应避开低洼潮湿及落雷区域；4）应避开强振动、强噪声源；5）应避开用水设备及不宜设在高层；6）应避开强电场、强磁场；7）应避开有地震危害的区域；8）应避开有腐蚀性的重盐害区域。2.简述安全交换机的性能。答案：在黑客攻击和病毒侵扰下，交换机最基本的安全功能就是继续保持其高效的数据转发速率，不受到各类黑客攻击的干扰。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。3.电磁泄漏的防护途径有哪些？答案：1）泄漏源的防护、2）泄露路径的防护设计4.简述系统健壮性的评价指标。答案：系统的健壮性，即提系统的可靠性、可用性和可维护性。可靠性意味着即使发生故障，系统也能正常运行。系统可用性即系统服务不中断的运行时间与系统实际运行时间的比例，高可用性意味着系统服务不中断，运行时间占实际运行时间的比例更大。可维修性是衡量一个系统的可修复（恢复）性和可改进性的难易程度。所谓可修复性是指在系统发生故障后能够排除（或抑制）故障予以修复，并返回到原来正常运行状态的可能性。系统可用性取决于系统可靠性及可维护性的高低，其中可靠性是指系统服务多久不中断，可维修性是指服务中断后多久可恢复。三者之间的关系可表示为：可用性=可靠性/（可靠性+可维护性）5.冗余技术有哪些？答案：主要的冗余技术有结构冗余（硬件冗余和软件冗余）、信息冗余、时间冗余和冗余附加四种。结构冗余是常用的冗余技术，按其工作方式，可分为静态冗余、动态冗余和混合冗余三种。6.简述什么是容灾备份系统？答案：容灾备份系统，又称为灾难恢复系统，就是通过特定的容灾机制，确保在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的计算机信息系统。7.简述几种常用的备份技术。答案：1）定期磁带备份数据、2）远程磁带库、光盘库备份、3）远程关键数据+磁带备份、4）网络数据镜像、5）远程镜像磁盘8.简述容灾备份的关键技术。答案：基础技术：1)备份、2)镜像、3)复制、4)快照近些年来采用的新技术:1）存储虚拟化、2）灾备链路带宽精简技术、3）日志同步技术、4）持续数据保护技术第3章安全性与操作系统之间的关系是怎样的？答案：操作系统是计算机系统的核心，负责管理硬件资源和软件程序。操作系统的安全性直接影响着整个计算机系统的安全。一个安全的操作系统可以：防止未授权访问：通过用户认证、访问控制机制等防止非法用户访问系统资源和数据。保证数据完整性：通过文件系统权限、加密等技术防止数据被篡改或破坏。确保系统可用性：通过冗余设计、故障恢复机制等确保系统稳定运行。提供安全审计：记录系统操作，便于追踪和分析安全问题。从操作系统安全的角度如何理解计算机恶意代码、病毒、特洛伊木马之间的关系？答案：计算机恶意代码是一个总称，泛指所有对计算机系统造成危害的代码，包括病毒、蠕虫、木马等。病毒是一种自我复制、破坏系统资源的恶意代码。特洛伊木马是一种隐藏在合法程序中的恶意代码，被运行后会对系统造成破坏。病毒和特洛伊木马都是恶意代码的子集，它们都会对操作系统安全造成威胁。操作系统的通用安全需求主要包括哪些？请简要描述这些需求的含义和通用机制。答案：机密性：保证信息不被未授权用户访问。通用机制包括：加密、访问控制。完整性：保证信息不被篡改或破坏。通用机制包括：防护机制和检测机制可追究性：记录用户操作，便于追踪责任。通用机制包括：审计日志、身份认证。可用性：保证系统资源随时可用。通用机制包括：冗余设计、故障恢复。在安全操作系统中，对于用户的标识与鉴别需要注意哪些问题？答案：用户标识符的唯一性：保证每个用户都有一个唯一的标识符。鉴别信息的保密性：防止鉴别信息被泄露，例如使用强密码、多因素认证。鉴别过程的可靠性：确保鉴别过程不会受到攻击，例如防止暴力破解。自主访问控制与强制访问控制是安全操作系统常用的两种访问控制机制，请分别简述两种访问控制的基本内容以及它们之间的异同点。答案：自主访问控制(DAC)：DAC允许用户或系统管理员根据需要设置和控制对系统资源的访问权限。用户可以自主地决定哪些用户可以访问其资源，以及他们可以执行哪些操作（如读、写、执行等）。强制访问控制(MAC)：MAC由操作系统强制实施，不允许用户或管理员修改访问权限。每个主体和客体都被赋予一个安全属性，如安全级别和分类。系统根据安全属性自动判断主体是否可以访问客体，以及可以执行哪些操作。相同点：两种机制都是为了保护系统资源的安全，防止未授权访问和恶意操作。不同点：控制方式：DAC由用户或管理员控制，MAC由操作系统强制实施。安全性：MAC的安全性高于DAC。灵活性：DAC的灵活性高于MAC。管理复杂度：MAC的管理复杂度高于DAC。在自主访问控制中常有几种表达访问控制信息的方式，分别简述它们的主要内容并且分析各自的优缺点。答案：(1).基于行的自主访问控制：能力表：每个用户都拥有一个能力表，列出其可以访问的客体以及访问权限。优点是灵活性高，用户可以自由地控制其资源的访问权限。缺点是管理复杂，系统需要维护大量的能力表，且能力转移存在安全隐患。前缀表：每个用户都有一个前缀表，列出其可以访问的客体以及访问权限。优点是安全性较高，访问权限的控制比较严格。缺点是灵活性较差，用户无法自由地控制其资源的访问权限。口令：每个客体都对应一个口令，用户需要输入正确的口令才能访问该客体。优点是实现简单，易于理解。缺点是安全性较差，口令容易泄露，且难以管理大量客体的口令。(2).基于列的自主访问控制：保护位：对每个主体、主体组以及客体拥有者指定一个访问模式集合。优点是实现简单，易于理解。缺点是表达能力有限，无法表达复杂的访问控制策略。访问控制表（ACL）：每个客体都对应一个ACL，列出可以访问该客体的主体以及访问权限。优点是表达能力强，可以表达复杂的访问控制策略。缺点是管理复杂，ACL可能会很长，且难以优化。为什么在实现了强制访问控制的不同系统中，访问控制的主/客体范畴、控制规则可能会有所不同?答案：安全策略不同：不同的系统可能采用不同的安全策略，有些系统可能更注重信息的机密性，而有些系统可能更注重信息的完整性。应用场景不同：不同的系统可能应用于不同的场景，有些系统可能应用于军事领域，而有些系统可能应用于民用领域。实现技术的不同：不同的系统可能采用不同的实现技术，有些系统可能采用标签机制，而有些系统可能采用访问控制列表机制。在一个安全操作系统中，特权的设置与访问控制机制的关系是怎样的？答案：特权可以用于执行一些敏感操作，特权是指超越访问控制限制的权限，允许进程执行一些敏感操作，通常由系统管理员设置。访问控制机制是指对系统资源进行保护的机制，它可以限制用户对系统资源的访问，防止非法访问和恶意操作。特权与访问控制机制的关系：特权和访问控制机制相互配合，共同保障系统的安全性。特权是访问控制机制的基础，它允许进程执行一些敏感操作。访问控制机制是特权的约束，它可以限制用户对系统资源的访问，防止非法访问和恶意操作。特权的设置需要谨慎，避免将过高的权限赋予普通用户，否则可能会导致系统安全风险。访问控制机制的设置需要根据系统的安全需求进行，确保只有授权的用户才能访问系统资源。在一个安全操作系统中，审计日志空间满了以后怎么办？请给出几种可行的设计思路。答案：1.增加审计日志空间：将审计日志存储到更大的磁盘分区或文件系统中。2.自动清理旧的审计日志：设置审计日志的保留期限，当审计日志空间不足时，自动删除最旧的审计日志。3.转储审计日志：将审计日志定期转储到其他存储设备。4.压缩审计日志：对审计日志进行压缩，减少存储空间的使用。在安全操作系统中，对于用户的标识与鉴别需要注意哪些问题？请简述Linux与Windows的标识与鉴别机制。答案：注意问题：用户标识：系统需要为每个用户分配一个唯一的用户标识符，用户标识符需要具有不可伪造性、持久性。用户鉴别：系统需要验证用户身份的真实性，需要用户提供一些只有他们知道或拥有的信息，用户鉴别机制需要具有安全性。Linux与Windows的标识与鉴别机制：Linux：Linux使用用户名和密码进行用户鉴别，还可以使用SSH密钥、指纹识别等机制进行用户鉴别。提供用户管理工具方便管理员管理用户。提供审计工具用于记录用户操作。Windows：Windows使用用户名和密码进行用户鉴别，还可以使用智能卡、生物识别等机制进行用户鉴别。提供用户管理工具，方便管理员管理用户。提供事件查看器用于查看系统事件和用户操作。

第4章1.什么是数据库安全？答案：数据库安全包含两层含义：第一层是指系统运行安全，系统运行安全通常受到的威胁主要指一些网络不法分子通过互联网、局域网等入侵电脑，使系统无法正常启动，或超负荷让电脑运行大量算法，并关闭CPU风扇，使CPU过热烧坏等破坏性活动；第二层是指系统信息安全，系统信息安全通常受到的威胁主要有攻击者入侵数据库，并盜取想要的资料。2.数据库安全的威胁有哪些？答案：物理安全威胁：自然或意外灾害、磁盘故障、控制器故障、电源故障、存储器故障、芯片和主板的故障逻辑安全威胁：非授权访问、推理访问数据、病毒、特洛伊木马、天窗或隐蔽通道传输安全威胁：对网络上信息的监听、对用户身份的仿冒、对信息的否认对信息进行重放人为错误的威胁：操作人员或系统用户的错误输入，应用程序的不正确使用，都可能导致系统内部的安全机制的失效，导致非法访问数据的可能，也可能导致系统拒绝提供数据服务。3.数据库安全的需求有哪些？答案：保密性、完整性、可用性、可控性、隐私性4.认证在数据库访问机制中是什么作用？身份认证模式包括哪几个方面？答案：身份验证机制是数据库安全管理中的基础，用于确认用户的真实身份。其主要目的是确保只有经过合法认证的用户才能访问数据库。常见的单机状态下身份认证方式主要包括以下几个方面：基于知识的认证方式基于属性的认证方式基于持有的认证方式常见的网络环境下的身份认证协议主要存在两种——S/KEY协议和Kerberos协议。5.Kerberos协议基本思想是什么？其验证过程是什么？答案：基本思想：Kerberos很好地解决了攻击者可能来自某个服务器所信任的工作站的问题。在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。当结合使用网络访问控制和网络层安全协议时，可以保证只有经过授权的工作站才能连接到服务器，并可以防止传输的数据流被非法窃听，同时服务器只能对授权用户提供服务，并能够鉴别服务请求的种类。验证过程：用户（Client）首先应向认证服务器（AS）申请得到一个票据许可票据Tickettgs，由用户工作站的客户端模块保存，每当用户申请新的服务，客户端则用该票据证明自己的身份；由票据许可服务器（TGS）向特定的服务（V）授予一个服务许可票据Ticketv，客户将每个服务许可票据保存后，在每次请求特定服务时使用该票据证实自己的身份，这两种票据都是可以重用的。6.什么是权限、角色与架构？他们之间的关系是什么？答案：权限：是指用户可以访问的数据库以及数据库对象可以执行的相关操作。用户若要对数据库及其对象进行相关操作，必须具有相应的权限。角色：是一组权限的集合，对管理权限而言，角色是一个工具，是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任设定他们的角色。架构：在ANSISQL-92标准里，架构被定义为由单个用户所有的一组数据库对象，可以看成是一个存放数据库对象的容器，这些数据库对象包含表、视图、存储过程等，位于数据库内部，而数据库位于服务器内部。7.数据库系统安全技术包括哪些内容？答案：SQL注入的防范技术：输入验证防御、使用参数化语句防御、输入与输出规范化防御、Web防火墙数据库备份：完整备份、增量备份、事务日志备份、按需备份数据库恢复：完整恢复模式、大容量日志记录恢复模式、简单恢复模式数据库加密：字段加密、密钥动态管理、合理处理数据、不影响合法用户的操作数据库审核技术：服务器级别的审核、数据库级别的审核第5章1.叙述以下密码术语的含义：密码学、明文、密文、加密、解密、密钥、密码体制。答案：密码学：一词来源于古希腊的Crypto和Graphein，意思是密写，以认识密码变换为本质，加密与解密基本规律为研究对象。加密：指将明文信息采取数学方法进行函数转换，将其转换成密文，只有特定接收方才能将其解密并还原成明文的过程，是保证信息保密性的主要技术手段。解密：将密文还原成明文的过程。明文：是加密前的原始信息。密文：是明文被加密后的信息。密钥：是控制加密算法和解密算法得以实现。密码体制：是指用于加密和解密信息的一整套方法和规则的集合。它包括加密算法、解密算法、密钥生成、分配和管理等机制。密码体制确保敏感信息在不安全环境中的安全传输和存储。键信息，分为加密密钥和解密密钥。2.古典密码体制中有哪些具体密码法？现代密码的设计还离不开它们的基本思想。答案：置换密码：置换密码亦称换位密码，是指明文字母本身不变，根据某种规则改变明文字母在原文中的相应位置，使之成为密文的一种方法。代换密码3.假设明文M=encryption，考虑两字母组合的最大值为2525，选取参数，， ，试用RSA算法对其进行加密。答案：n=p×q=43×59=2537ϕ(n)=(p−1)×(q−1)=(43−1)×(59−1)=42×58=2436计算gcd(e,ϕ(n))=gcd(12,2436)=12由于gcd(e,ϕ(n))≠1，说明e=12不是有效选择，RSA需要e和ϕ(n)互素。应选取其他的e值（比如5,7,17等）。我们可以选择e=5来代替。d是e在ϕ(n)下的乘法逆元，满足e×d≡1mod  ϕ(n)。将明文"encryption"转换为对应的数字为：[5,14,3,18,25,16,20,9,15,14]使用RSA算法（参数e=5,n=2537）进行加密后得到的密文为：[588,2517,243,2040,712,795,843,698,812,2517]4.在DES算法中，密钥的生成主要分为哪几步？答案：①加／解密输入分组依表5-3重新排列，通过初始置换来打乱数据原来的顺序，再分为与两个32位的分组。②与第一子密钥、经函数运算后，得到的32位输出再与逐位异或（XOR）运算。③其结果成为下一轮的，则成为下一轮的，如此连续运行16轮。5.简述DES算法和RSA算法保密的关键所在。答案：DES算法的保密关键在于其对称加密机制，使用同一个密钥进行加密和解密。它通过对明文进行多轮的置换和替换操作，使得明文变成难以被识别的密文。即使攻击者截获密文，由于没有密钥，无法轻易还原明文。因此，密钥的保密性是DES算法安全性的核心。RSA算法的保密关键在于它的非对称性，即使用一对密钥进行加密和解密，公钥加密，私钥解密。RSA基于大素数分解的数学难题，虽然公钥是公开的，但要从公钥推导出私钥是极其困难的，因此保证了密文的安全性。6.在RSA算法中，令公钥N=164009，估计，求和的值。答案：p+q=2×405=810N=p×q=164009x2−(p+q)x+N=0即：x^2-810x+164009=0我们可以通过解这个二次方程来求p和q。通过解二次方程，得出：p=409q=401因此，公钥N=164009对应的两个素数p和q分别为409和401。7.为什么Diffie-Hellman公钥体制具有很高的安全性？答案：8.数字签名的基本原理是什么？答案：数字签名的基本原理是利用公钥密码学，通过加密技术确保数据的完整性、真实性和不可否认性。具体步骤如下：生成消息摘要（哈希）：发送者首先对待签名的数据或消息（如电子邮件、文件）应用哈希函数，生成一个固定长度的消息摘要。该摘要是原始消息的唯一指纹，若消息内容发生任何改变，摘要也会改变。私钥加密摘要：发送者使用其私钥对生成的消息摘要进行加密，这个加密后的摘要就是数字签名。私钥只能由发送者拥有，因此加密后的摘要具有唯一性和不可伪造性。附加数字签名和消息：发送者将数字签名附加到原始消息上一起发送给接收者。验证数字签名：接收者收到带有数字签名的消息后，会做以下操作：使用发送者的公钥对数字签名进行解密，得到发送者加密的消息摘要。同时，接收者对原始消息重新计算哈希值，并将其与解密得到的消息摘要进行比对。验证结果：如果两者一致，说明消息在传输过程中未被篡改，且确实由发送者发出。如果不一致，说明消息被篡改或者发送者身份不正确。

第6章什么是身份认证？答案：“身份认证”是计算机及网络系统验证主体的真实身份是否就是其声称的那个人的过程，即鉴别用户是否为合法用户，是安防体系的一个重要组成部分。身份认证的内容包括两个，一个是身份，另一个是授权。“身份”的作用是让系统知道确实存在这样一个用户，如用户名；“授权”的作用是让系统判断该用户是否有权访问他申请访问的资源或数据。身份认证有哪几种方法？答案：（1）用户名/密码方式（2）IC卡认证（3）动态口令（4）智能卡技术（5）生物特征认证（6）USBKey认证PKI的构成要素有哪些？答案：完整的PKI系统应该具有五大系统，包括了认证中心CA、数字证书库、密钥备份及恢复系统、证书作废处理系统、客户端应用接口系统等基本构成部分。在DES算法中，密钥的生成主要分为哪几步？答案：DES全部16轮的加/解密结构如图5-3所示，其上方的64位输入分组数据可能是明文，也可能是密文，由使用者做加密或解密而定。加密与解密的不同只在于最右边的16个子密钥的使用顺序不同，加密的子密钥顺序为，而解密的子密钥顺序正好相反，为，其运算过程如图5-3所示：①加／解密输入分组依表5-3重新排列，通过初始置换来打乱数据原来的顺序，再分为与两个32位的分组。②与第一子密钥、经函数运算后，得到的32位输出再与逐位异或（XOR）运算。③其结果成为下一轮的，则成为下一轮的，如此连续运行16轮。也可用下列两个式子来表示其运算过程：，最后所得的与不再互换，直接连接成64位的分组，再根据表5-4重新排列次序做终结置换动作，得到64位的输出。图5-3DES的加/解密结构表5-3加解密输入分组与重排值表5-4终结置换输出值5850423426181024084816562464326052443628201243974715552363316254463830221463864614542262306456484032241683754513532161295749413325179136444125220602859514335271911335343115119592761534537292113534242105018582663554739312315733141949175725简述Kerberos身份认证的原理。答案：首先，在用户要求某一服务时，系统提示用户输入名字，用户输入后，就向认证服务器发送一个包含用户名字和TGS服务器名字的请求，如果认证服务器验证通过，会产生一个会话密钥（会话密钥用于客户和TGS间的通信）和入场券。该入场券包含用户名、TGS服务器名字、当前时间、人场券的生命周期、用户IP地址和刚创建的会话密钥，并使用TGS的私钥进行加密。其次，认证服务器把产生的会话密钥和入场券用该用户的私钥进行加密并发送给用户；用于加密的私钥是从用户的口令转换得到的，因此在得到响应后，用户会被要求输入口令，通过口令才可以得到加密后的私钥，从而得到入场券和会话密钥；用户在取得入场券的会话之后，就从内存中删除其私钥，并保存入场券和会话密钥，以备后续过程中再次使用。在入场券的生命周期中间，用户可以多次使用该入场券访问TGS服务器。最后，如果用户希望访问服务器就要建立一个认证符，包括用户的IP地址和当前时间，使用会话密钥加密后和入场券一起送给响应服务器，服务器用会话密钥取得认证符，用其私钥取得入场券；两者进行比较，如果信息相符，则说明用户合法，从而可以让用户访问服务器。另外，如果用户希望服务器证实自己的身份，则服务器需要把用户送来的认证中的时间戳加1后，用会话密钥加密后送给用户。经过这样的交换后，用户和服务器可以相互信任对方，而且拥有一个会话密钥，可以用于以后的通信。生物特征识别的技术有哪些？答案：虹膜识别人脸识别指纹识别掌纹识别手形识别静脉识别

第7章1.什么是访问控制？访问控制包括哪几个要素？答案：(1)访问控制指系统对用户身份及其所属的预先定义的策略组，限制其使用数据资源能力的手段，通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。(2)访问控制包括3个要素：主体、客体和控制策略。2.访问控制机制包括哪些？答案：（1）基于访问控制表的访问控制机制（2）基于能力的访问控制机制（3）基于标签的访问控制机制（4）基于上下文的访问控制机制3.什么是自主访问控制？什么是强制访问控制？这两种访问控制有什么区别？答案：（1）自主访问控制又称任意访问控制（DiscretionaryAccessControl，DAC），是指根据主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法。（2）强制访问控制（MandatoryAccessControl，MAC）最早是由美国政府和军方提出的，用于保护那些处理特别敏感数据（如政府保密信息或企业敏感数据）的系统。（3）与DAC相比，MAC更为严格，其访问控制策略由安全管理员统一管理，而不是由数据属主来授权和管理数据的访问权限，因此强制访问控制提供的访问控制机制无法绕过。4.比较目录表、访问控制列表、访问控制矩阵、访问控制安全标签列表和权限位的访问控制实现机制各有什么优缺点。答案：（1）目录表访问控制机制的优点是容易实现，依据该表监督主体对客体的访问比较简便。其缺点是系统开销、浪费较大。（2）访问控制列表表述直观、易于理解，而且比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。缺点是任何得到授权的客体都有一个访问控制列表，当授权客体数量多时，会出现存放空间碎片，造成浪费；其次，每个客体被访问时，都需要对访问控制列表从头到尾扫描一遍，影响系统运行速度，并浪费了存储空间。（3）访问控制清晰地实现认证与访问控制的相互分离，但是查找和实现起来有一定的难度。在较大的系统中，用户和文件系统要管理的文件都很多，这样矩阵中的许多格可能都为空，造成很大的存储空间浪费。（4）访问控制安全标签列表建立了一个严格的安全等级集合。访问控制标签列表是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略。（5）权限位的访问控制方法以客体为中心，简单、易实现，适合于操作种类不太复杂的场合。由于操作系统中的客体主要是文件、进程，操作种类相对单一。5.基于角色的访问控制的特点有哪些？答案：（1）以角色作为访问控制的主体。（2）角色继承。（3）最小特权原则。（4）职责分离（主体与角色的分离）。（5）角色容量。6.哪种访问控制模式使用多级安全策略？答案：强制访问控制7.基于组的策略应用于什么情况下？答案：基于组的策略是基于个人的策略的扩充，指一组用户被允许使用同样的访问控制规则访问同样的客体。8.列举几种重要的访问控制策略配置实例。答案：（1）入网访问控制（2）目录级安全控制（3）操作权限控制（4）属性安全控制（5）防火墙控制（6）网络监测和锁定控制（7）网络端口和节点的安全控制（8）网络服务器安全控制

第8章1.简述信息过滤的基本原理答案：信息过滤的基本原理是在动态的信息流中，根据用户的需求，搜索和识别用户预期的信息，屏蔽无用和不良的信息。其实现过程包括将用户需求与原始信息进行特征抽取和表示，然后通过过滤规则将两者进行匹配，最终实现信息的筛选和过滤。此外，过滤系统还会根据用户的反馈进行动态调整和优化，以提高过滤的准确性和效率。2.常用的信息过滤评价指标有哪些？简述各指标的含义与度量方法答案：人们通常都是通过使用信息检索的评价方法来对信息过滤进行评价，最为常用的是信息检索中的两个指标：查全率（Recall）和查准率（Precision）。查全率，或称召回率，是被过滤出的正确文本占应被过滤文本的比率；查准率，或称准确率，是被过滤出的正确文本占全部被过滤出文本的比率。两者对应的数学公式分别为：例如，假设信息集合大小为，其中与用户需求相关的信息集合大小为。通过信息过滤系统进行过滤，若已经通过过滤的条相关信息中，有条是与用户需求相关的，则该系统的查全率，其查准率。3.给出三种以上网络不良信息过滤方法答案：（1）分级法：根据网页的内容属性或其他特征，按照一定的标准进行分类，并通过浏览器的安全设置选项实现过滤。（2）URL地址列表法：利用预先编制好的URL或IP地址列表（白名单或黑名单），决定用户是否可以访问这些站点。（3）动态文本分析法：根据用户需求模板对动态的文本信息进行过滤，并利用反馈机制改进用户需求模板。通常利用关键词列表或规则进行匹配过滤。（4）基于内容的过滤方法：包括文本内容关键词识别过滤和基于人工智能的内容识别过滤，后者通过判断信息是否属于不良或不宜信息来实现过滤。4.信息隐藏的基本原理是什么？答案：信息隐藏的基本原理是利用载体信息（如图像、音频、视频等）在存储或传输过程中在时间和空间等方面的冗余特性，将有意义的秘密信息隐藏到载体信息中，使得非授权者难以察觉或提取隐藏的信息。这种方法既保持了载体信息的正常使用，又实现了秘密信息的隐蔽传输和存储。5.比较数字隐写和数字水印之间的异同答案：相同点：两者都利用信息隐藏技术，将秘密信息嵌入到载体信息中。嵌入和提取过程可能需要密钥，也可能不需要。不同点：目的和应用场景：数字隐写主要强调信息隐藏的隐秘性与不可察觉性，适用于隐蔽通信；而数字水印则主要用于版权保护和防伪，强调水印信息的存在性和可检测性。技术要求：数字隐写特别注重透明性和不可检测性；而数字水印则更强调鲁棒性或脆弱性（根据具体应用而定）。信息容量：数字隐写一般希望获得尽可能大的信息容量；而数字水印所需的信息容量相对较小。6.数字水印的基本特征有哪些？答案：安全性：水印难以被非法检测、复制或去除。可证明性：水印能为版权保护提供可靠证据。冗余性：水印信息离散地分布在载体对象的多个位置，以提高稳健性。透明性：嵌入水印不影响载体数据的使用价值，对音频、图像、视频等保持视觉或听觉上的不可察觉性。稳健性：水印能抵抗常见的信号处理、滤波、压缩等攻击而不失真。7.用户隐私保护需求可分为哪几类？请简要说明答案：用户隐私保护需求可分为以下几类：身份隐私：保护用户身份不被泄露，防止去匿名化。属性隐私：保护用户个人敏感属性信息不被公开。社交关系隐私：保护用户的社交关系不被他人窥探。位置轨迹隐私：保护用户的真实位置、敏感地理位置及活动规律等不被跟踪和泄露。8.位置轨迹隐私保护方法有哪些？答案：位置轨迹隐私保护方法主要包括：基于匿名的保护：如假名隐私保护方法和混合区域机制方法，通过隐藏用户真实身份的标识信息来保护位置轨迹隐私。基于位置模糊化机制：如虚假地址隐私保护方法、空间匿名方法和时空匿名方法，通过掩盖或模糊用户的准确位置来保护隐私。基于差分隐私的保护：通过对原始数据添加噪声或转换后添加噪声，确保插入或删除单条记录对整体输出结果影响不显著，从而实现隐私保护。基于隐私政策的位置轨迹隐私保护：通过用户明确的隐私协议来保护位置信息不被非法采集。位置欺诈防御技术：利用空间和时间概率模型分辨真实用户的位置请求和虚假位置请求。

第9章什么是防火墙?防火墙的主要功能有哪些?答案：防火墙是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，即隔离技术，是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，是在两个网络通讯时执行的一种访问控制尺度，其能最大限度阻止网络中的黑客访问特定网络。防火墙的功能：（1）不同的网络，限制安全问题的扩散，对安全集中管理，简化安全管理的复杂程度。（2）防火墙可以方便地记录网络上的各种非法活动（尤其是经过防火墙的数据包），监视网络的安全性，遇到紧急情况报警。（3）防火墙可以作为部署网络地址转换（NetworkAddressTranslation，NAT）的地点，利用NAT技术，将有限的公有IP地址静态或动态地与内部的私有地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。（4）防火墙是审计和记录Internet使用费用的一个最佳地点。（5）防火墙也可以作为IPSec的平台。过滤在理解高层协议内容的情况下，才能实现这种功能。（6）内容控制功能。防火墙可分为哪几种类型?它们分别是如何工作的?答案：（1）网络级防火墙。网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，比较判断的信息和规则表，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。检查每一条规则直至发现包中的信息与某规则是否相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。（2）应用级网关防火墙。这种防火墙有较好的访问控制，是目前最安全的防火墙技术。应用级网关防火墙又称为代理服务器。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。（3）电路级网关防火墙。用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话（session）是否合法。电路级网关在OSI模型中会话层上过滤数据包，这样比包过滤防火墙要高二层。（4）状态监视器。状态检测防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据（即状态信息），并动态地保存起来作为以后制定安全决策的参考。防火墙有哪几种关键技术？答案：（1）包过滤技术：这是防火墙中最基本的技术，它根据定义好的规则来允许或拒绝数据包的通过。这些规则通常基于数据包的源地址、目的地址、端口号和协议类型等。（2）状态检测技术：状态检测技术是包过滤技术的一种扩展，它不仅检查数据包的头部信息，还会跟踪数据包的状态，从而提供更细致的控制和更高的安全性。（3）代理服务技术：代理服务器防火墙工作在OSI模型的应用层，它参与到一个TCP连接的全过程，可以对特定的应用层进行服务，因此也称为应用型防火墙。简述防火墙的包过滤技术？答案：包过滤技术是在网络的出入口（如路由器）对通过的数据包进行检查和选择的。选择的依据是系统内设置的过滤逻辑（包过滤规则），也称为访问控制表（AccessControlTable）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合，来确定是否允许该数据包通过。通过检查，只有满足条件的数据包才允许通过，否则被抛弃（过滤掉）。包过滤防火墙要遵循的一条基本原则就是“最小特权原则”，即明确允许管理员希望通过的那些数据包，禁止其他的数据包。在网络上传输的每个数据包都可分为数据和包头两部分。包过滤器就是根据包头信息来判断该包是否符合网络管理员设定的规则表中的规则，以确定是否允许数据包通过。包过滤防火墙既可以允许授权的服务程序和主机直接访问内部网络，也可以过滤指定的端口和内部用户的Internet地址信息。大多数包过滤防火墙的功能可以设置在内部网络与外部网络之间的路由器上，作为第一道安全防线。IP技术是什么？它的作用是什么？答案：IP技术是Internet中的基础协议，由IP协议控制的协议单元称为IP数据报。IP协议提供不可靠的，尽最大努力的、无连接的数据报传递服务。IP协议的基本任务是通过互联网传输数据报，各个IP数据报独立传输。IP协议不保证传送的可靠性，在主机资源不足的情况下，它可能丢弃某些数据报，同时IP协议也不检查被数据链路层丢弃的报文。IP技术的作用包括：（1）确定数据报应当在本地处理还是转发出去。（2）如果目的主机直接在本地网中，IP协议将直接把数据报传送给本地网中的目的主机。（3）如果目的主机是在远程网上，则IP将数据报再传送给本地路由器，由本地路由器将数据报传送给下一个路由器或目的主机。（4）在传送过程中若发生差错或意外情况则无法处理数据报，这就需要ICMP协议来向源节点报告差错情况，以便源节点对此做出相应的处理。什么是虚拟专用网？答案：虚拟专用网（VPN）是一种常用于连接中大型企业或团体内部网络的技术，允许远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN通过使用加密和隧道技术在公共网络（如互联网）上建立一条安全的通信通道，使得数据传输过程中的隐私和完整性得到保护。VPN技术的主要作用?答案：（1）帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立安全连接。（2）保证在公共信息网上传输的数据安全，避免数据在传输过程中被窃取或篡改。（3）降低企业建立专网的成本，因为它利用了现有的公共网络基础设施。什么是VPN的隧道（封装）技术?答案：隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其他协议的数据帧或包重新封装，然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。在VPN中，隧道技术使得数据包能够在公共网络，如互联网上，安全地传输。这个过程涉及到对原始数据包进行封装，即在数据包外部添加新的头部信息，这些头部信息包含了穿越公共网络所需的路由信息。封装后的数据包在到达目的地后会被解封装，还原成原始的数据格式，以便接收方可以读取和理解。这种技术允许在不安全的网络上创建一个逻辑上的安全连接，从而实现了不同网络节点之间的私密和安全通信。通过隧道技术，VPN能够在公共网络上模拟出一个私有的、端到端的连接，即使数据在传输过程中经过了多个网络节点，也能保持数据的安全性和完整性。

第10章1.什么是恶意程序？答案：恶意程序通常是指带有攻击意图所编写的一段程序，是一种可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性，违背目标系统安全策略的程序代码。2.恶意程序的分类有哪些？答案：计算机病毒、蠕虫、木马程序、后门程序和逻辑炸弹3.简述计算机病毒的基本原理答案：计算机病毒潜入到计算机内部时会附着在程序中，当宿主程序启动后，病毒就随之被激活并感染系统中的其他部分。通过这种方式，越来越多的程序、文件被感染，病毒进一步扩散。DOS病毒通过将自己的复制文件附着在宿主程序的末尾来感染程序Windows病毒通常向宿主程序附着一个以上的拷贝，将其代码隐藏在程序代码的开始、中间或末尾4.如何防范计算机病毒？答案：（1）养成良好的安全习惯（2）关闭或删除系统中不需要的服务（3）使用复杂的密码（4）安装防火墙和专业的杀毒软件进行全面监控（5）经常升级操作系统的安全补丁（6）及时备份计算机中有价值的信息（7）迅速隔离受感染的计算机5.什么是蠕虫？蠕虫和计算机病毒的区别是什么？答案：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些特性，如传染性、隐蔽性、破坏性，等等，同时具有自己的一些特征，如不需要宿主文件、自身触发等等。计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。不同的是，病毒不能独立运行，需要有它的宿主程序运行来激活它，而网络蠕虫强调自身的主动性和独立性。6.简述蠕虫的工作原理。答案：蠕虫首先生成一个IP地址作为要攻击的对象，然后对被攻击的对象进行探测扫描，检查有无主机存在。如果存在，则继续探测它是否存在漏洞。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。然后该蠕虫就将蠕虫的主体迁移到目标主机，蠕虫程序进入被感染的系统，并对目标主机进行攻击、传染和现场处理。现场处理主要包括实体隐藏、信息搜集等工作。蠕虫入侵到某台计算机上后，会在被感染的计算机上产生自己的多个副本，每个副本会启动搜索程序寻找新的攻击目标。一般要重复上述过程m次（m为该蠕虫产生的繁殖副本数量）。不同的蠕虫，采取的IP生成策略也不同，每一步进行的繁简程度也不同，需要具体对待。7.简述木马程序的基本原理。答案：木马是一个程序，它驻留在计算机里，随计算机自动启动，并侦听某一端口，识别到所接收的数据后，对目标计算机执行特定的操作。8.用户该如何加强木马安全防范意识答案：1）不随便下载软件，不执行任何来历不明的软件。2）不随意在网站上散播个人电子邮箱地址，对邮箱的邮件过滤进行合理设置并确保电子邮箱防病毒功能处于开启状态，当收到来历不明的邮件时，千万不要打开，应尽快删除。并加强邮件监控系统，拒收垃圾邮件。3）除对IE升级和及时安装补丁外，同时禁用浏览器的“ActiveX控件和插件”以及“Java脚本”功能，以防恶意站点网页木马的“全自动入侵”。4）在可能的情况下采用代理上网，隐藏自己的地址，以防不良企图者获取用于入侵计算机的有关信息。5）及时修补漏洞和关闭可疑的端口6）尽量少用共享文件夹7）运行实时监控程序8）经常升级系统和更新病毒库

第11章1.黑客是什么？答案：黑客（Hacker），源于英语动词hack，原意是指计算机技术水平高超的电脑专家，尤其是指程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙，而对这些人正确的英文叫法是cracker，音译为“骇客”。黑客与骇客的主要区别是黑客们修补相关漏洞，而骇客们却抓住这些漏洞对其他电脑进行入侵。在网络发展初期，网络方面的立法还不够健全，黑客在法律的漏洞下可以为所欲为。目前各国法律的发展速度仍落后于互联网的发展速度，在黑客活动转入地下以后，其攻击的隐蔽性更强，使得当前法律和技术缺乏针对网络犯罪卓有成效的法纪和跟踪手段，无规范的黑客活动已经成为网络安全的重要威胁。2.信息收集类攻击有哪些？如何对其进行防御？答案：信息收集类攻击主要包括扫Sniffer、扫描技术，其他信息收集类攻击（包括：体系结构探测，利用信息服务和假消息攻击。）Sniffer的防御：1）网络分段2）加密传输数据3）注意重点区域的安全防范扫描器的防御：1）反扫描技术2）端口扫描监测工具3）防火墙技术4）审计技术体系结构探测：可以通过去掉或修改各种Banner，包括操作系统和各种应用服务，阻断用于识别的端口用以扰乱对方的攻击计划。利用信息服务：（1）DNS域转换：可以通过在防火墙处过滤掉域转换请求进行防御。Finger服务：可以通过关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。LDAP服务：公共机器上提供LDAP服务，那么可以通过把LDAP服务器放入DMZ来进行防御。3.入侵类攻击有哪些？如何对其进行防御？答案：口令攻击、缓冲区溢出攻击、APT攻击、社会工程学攻击口令攻击的防御：1）设置强口令2）防止未授权泄露、修改和删除3）一次性口令技术APT的防御：1）使用威胁情报2）建立强大的出口规则3）收集强大的日志分析4）人工干预缓冲区溢出的防御：1）编写正确的代码2）运行期保护方法3）阻止攻击代码执行4）加强系统保护社会工程学攻击的防御1）当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前请设法向其确认身份，验证可靠性和权威性。认真浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。永远不要点击来自未知发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL。永远不要在未知发送者的电子邮件中下载附件。如果有必要，可以在保护视图中打开附件，这个在许多\o"操作系统"操作系统中是默认启用的。2）拒绝来自陌生人的在线电脑技术帮助，无论他们声称自己是多么正当的。3）使用强大的防火墙来保护你的电脑空间，及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。4）下载软件及操作系统补丁，预防零漏洞。及时跟随软件供应商发布的补丁同时尽可能快地安装补丁版本。5）关注网站的URL。恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名(例如将.com变为.net)。4.欺骗类攻击有哪些？如何进行防御？答案：（1）欺骗类攻击类型IP欺骗：指使用其他计算机的IP地址来骗取连接，获得信息或得到特权。TCP会话劫持。指攻击者作为第三方参与双方的会话中，将双方的通信模式暗中改变。ARP欺骗。指利用ARP协议中的缺陷，把自己伪装成“中间人”，获取局域网内的所有信息报文。电子邮件欺骗。利用伪装或虚假的电子邮件发送方地址的欺骗。DNS欺骗。在域名与IP地址转换过程中实现的欺骗。Web欺骗。创造某个万维网网站的复制影像，欺骗网站用户的攻击。（2）如何进行防御IP欺骗攻击的防御：1）进行包过滤2）防范信任关系欺骗TCP会话劫持防御：1）进行加密2）使用随机序列号3）限制保护措施ARP欺骗防御：1）MAC地址绑定。使网络中每台计算机的IP地址与硬件地址一一对应，不可更改。2）使用静态ARP缓存。手动更新缓存中的记录，使ARP欺骗无法进行。3）使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。这里要确保这台ARP服务器不被攻击者控制。使用ARP欺骗防护软件，如ARP防火墙。及时发现正在进行ARP欺骗的主机，并将其隔离。5.拒绝服务类攻击有哪些？如何进行防御？答案：UDP洪水攻击、SYN洪水与Land攻击、DoS及DDoS攻击6.入侵检测的基本原理是什么？其关键技术有哪些？答案：（1）入侵检测的基本原理入侵（Intrusion）是指潜在的、有预谋的、违背授权的用户试图接入信息、操纵信息，对计算机和网络资源的恶意使用，造成系统数据的丢失和破坏，致使系统不可靠或者不可用的企图或可能性。作为一种主动的网络安全防御措施，入侵检测技术是指通过对在计算机和网络上收集到的数据进行分析，采取技术手段发现入侵和入侵企图，检测计算机网络中违反安全策略的行为，以便采取有效的措施来堵塞漏洞和修复系统。违反安全策略的行为有：入侵，指来自外部网络非法用户的恶意访问或破坏；滥用，指网络或系统的合法用户在不正常的行为下，获得了特殊权限并实施威胁性访问或破坏。进行入侵检测的软件与硬件的组合称为入侵检测系统（IntrusionDetectionSystem，IDS），它能够主动保护网络和系统免遭非法攻击，是防火墙、虚拟专用网的进一步深化。它构成一个主动的、智能的网络安全检测体系，在保护网络安全运行的同时，简化了系统的管理。入侵检测系统的主要任务是从计算机系统和网络的不同环节收集数据、分析数据，寻找入侵活动的特征，并对自动监测到的行为做出响应，记录并报告监测过程和结果，从中识别出计算机系统和网络中是否存在违反安全策略的行为和遭到袭击的迹象。当系统发现入侵行为时，会发出报警信号，并提取入侵的行为特征，从而编制成安全规则并分发给防火墙，与防火墙联合阻断入侵行为的再次发生。入侵检测具有智能监控、实时探测、动态响应、易于配置的特点。由于入侵检测所需要的分析数据源仅仅是记录系统活动轨迹的审计数据，因此，它几乎适用于所有的计算机系统。入侵检测技术的引入，使得网络系统的安全性得到进一步的提高。入侵检测系统的一般组成主要有信息采集模块、分析模块和响应管理模块。信息采集模块主要用来搜集原始数据信息，将各类混杂的信息按一定的格式进行格式化并交给分析模块分析；分析模块是入侵检测系统的核心部件，它完成对数据的解析，给出怀疑值或做出判断；响应管理模块的主要功能是根据分析模块的结果做出决策和响应。管理模块与采集模块一样，分布于网络中。为了更好地完成入侵检测系统的功能，系统一般还有数据预处理模块、通信模块和数据存储模块等。（2）关键技术：1）基于主机的入侵检测系统2）基于网络的入侵检测系统混合式入侵检测系统7.简述企业网络入侵检测解决方案及其优势。答案：（1）解决方案网神SecIDS3600通过高效的模式匹配、异常检测、协议分析等技术手段，对用户网络链路的实时监控，期间发现大量的DoS/DDoS、Web攻击等异常行为攻击特征，设备能及时向管理员发出警告信息，根据用户实际环境监测统计分析，为管理员提供及时准确的网络行为分析数据，有助于针对性地对网络采取一些规避补救措施，保障了网络的安全及可靠性。网神SecIDS3600可以通过单机部署的方式部署在服务器上。单机部署方式即把管理控制台安装在一台功能较强大的计算机上。虽然集中式部署的计算能力可能不如分布式部署，但这种部署方式有利于管理，对于一般的中小企业很适用。这种模式适合于负载不是很重，设备较少的网络环境。（2）优势SecIDS3600入侵检测系统是基于网络安全技术和黑客技术多年研究的基础上开发的网络入侵检测系统。SecIDS3600入侵检测系统是一项创新性的网络威胁和流量分析系统，它综合了网络监控和入侵检测功能，能够实时监控网络传输，通过对高速网络上的数据包捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对以往的行为和事件的统计分析，自动发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，帮助企业最大限度地保护公司内部的网络安全。8.简述用户网络入侵防御解决方案及其优势答案：（1）解决方案网神SecIPS3600入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、垃圾邮件、DoS/DDoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。1）针对应用程序防护，它可以提供扩展至用户端、服务器及第2-7层的网络型攻击防护，可以分辨出合法与有害的封包内容，防范所有已知与未知形式的攻击。2）针对网络架构防护，它的网络架构防护机制提供了一系列网络漏洞过滤器，以保护路由器、交换器、DNS服务器等网络设备免于遭受攻击。3）针对性能保护，它可以用于保护网络带宽及主机性能，免于被非法应用程序占用正常的网络性能，从根本上缓解因实时通讯软件给网络链路带来的压力。（2）优势1）优异的产品性能SecIPS3600入侵防御系统专门设计了安全、可靠、高效的硬件运行平台，大大提升了处理能力、吞叶量，保了证系统的安全性和抗毁性。SecIPS3600入侵防御系统支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为。SecIPS3600入侵防御系统依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。2）高可用性SecIPS3600入侵防御系统支持失效开放（FailBypass）机制，当出现软件故障、硬件故障、电源故障时，系统Bypass电口自动切换到直通状态，以保障网络可用性，避免单点故障，不会成为业务的阻断点。SecIPS3600入侵防御系统的工作模式灵活多样，支持Inline主动防御、旁路检测方式，能够快速部署在各种网络环境中。3）对攻击事件的取证能力SecIPS3600可提供客户最完整的攻击事件记录信息，这些信息包括黑客攻击的目标主机、攻击的时间、攻击的手法种类、攻击的次数、黑客攻击的来源地址，客户可从内建的报表系统功能中轻易地搜寻到所需要的详细信息，而不需额外添购一些软件。4）强大的管理和报表功能网络入侵防御系统的主要功能之一是对黑客的入侵攻击事件提供实时的检测与预警及完整的分析报告。SecIPS3600主动式网络入侵防御系统中包含一套完整的报表系统，提供了多用户可同时使用的报表界面，可以查询、打印所有检测到的网络攻击事件及系统事件，其中不仅可以检视攻击事件的攻击名称、攻击严重程度、攻击时间、攻击来源及被攻击对象等信息，也提供攻击事件的各式统计图与条形图分析。

第12章DNS存在的安全隐患是什么？答案：防火墙一般不会限制对DNS的访问；DNS可以泄漏内部的网络拓朴结构；DNS存在许多简单有效的远程缓冲溢出攻击；几乎所有的网站都需要DNS；DNS的本身性能问题是关系到整个应用的关键。DNS的欺骗原理是什么？答案：让DNS服务器的缓存中存有错误的IP地址，即在DNS缓存中放一个伪造的缓存记录。为此，攻击者需要做两件事：（1）先伪造一个用户的DNS请求；（2）再伪造一个查询应答。分别阐述在网络层、传输层和应用层实现Web安全的方法，它们各有哪些优缺点？答案：1.网络层安全实现方法：防火墙：通过设置规则来控制进入和离开的网络流量。入侵检测系统（IDS）和入侵防御系统（IPS）：监控网络流量以检测和防止恶意活动。虚拟专用网络（VPN）：在公共网络上创建安全的私人通道，保护数据传输。优点：能够有效地防止未授权的访问。可以实时监控网络流量并进行响应。VPN提供安全的远程访问。缺点：配置和管理复杂，可能需要专业知识。防火墙和IDS/IPS可能产生误报。仅能保护网络层面，无法解决应用层的漏洞。2.传输层安全实现方法：传输层安全协议（TLS/SSL）：为Web应用提供加密的通信渠道，以保护数据在传输过程中的安全。端口加密：确保传输层使用加密的端口进行数据交换。优点：提供数据加密，保护数据在传输过程中的机密性和完整性。保护用户隐私，防止中间人攻击。被广泛支持，许多浏览器和服务器都有内置的支持。缺点：需要证书和密钥管理，增加了管理复杂性。性能开销，尤其是在高负载情况下。无法解决应用层的逻辑漏洞和缺陷。3.应用层安全实现方法：Web应用防火墙（WAF）：保护Web应用免受常见攻击，如SQL注入和跨站脚本（XSS）。输入验证和过滤：确保用户输入的数据是安全的，防止恶意数据被处理。安全编码实践：开发过程中遵循最佳实践，以减少漏洞的出现。优点：直接针对应用层的安全漏洞，能够有效减少攻击面。可以根据应用的具体需求进行定制。及时检测和响应应用层的攻击。缺点：可能导致误拦截合法请求，影响用户体验。需要不断更新和维护，适应新的攻击方法。依赖于开发者的安全意识和编码能力。JavaApplet和ActiveX的安全机制有什么不同？答案：JavaApplet就是活动内容的一种。它使用Java语言开发，可以实现各种各样的客户端应用。这些Applet随页面下载下来，只要浏览器兼容Java，它就可在浏览器上自动运行。Java使用沙盒（sandbox）根据安全模式所定义的规则来限制JavaApplet的活动。ActiveX是另一种活动内容的形式，可以用许多程序设计语言来开发，但它只能运行在安装Windows的计算机上。ActiveX使用“代码签名”（codesigning）机制，在安全性方面不如JavaApplet。一旦下载，它就能像其他程序一样执行能访问包括操作系统代码在内的所有系统资源，这是非常危险的。电子邮件公共密钥系统的工作原理是什么？答案：用户自己持有一把密钥（私钥），将另一把密钥（公钥）公开。当用户向外发送邮件时，首先使用一种单向摘要函数从邮件中得到固定长度的信息摘要值，该值与邮件的内容相关，也称为邮件指纹。然后使用自己的密钥对指纹进行加密。接收者可以使用用户的公钥进行解密，重新生成指纹，将该指纹与发送者发送的指纹进行比较，即可确定该邮件是由合法用户发送而非假冒，同时也保证邮件在发送过程中没有被更改，这就是数字签名。发送者也可以使用接收者的公钥进行加密，其保证只有拥有对应密钥的真实接收者才能进行解密，从而得到电子邮件的明文信息。简述几种保护电子邮件安全的措施。答案：（1）使用安全的邮件客户端（2）邮件加密和签名从邮件本身安全的角度看，既要保证邮件不被无关的人窃取或更改，又要使接收者能确定该邮件是由合法发送者发出的。（3）把垃圾邮件放到垃圾邮件活页夹里（4）不随意公开或有意隐藏自己的邮件地址（5）垃圾邮件过滤技术（6）谨慎使用自动回信功能（7）保护邮件列表中的Email地址电子商务存在哪些威胁？答案：1.从物理角度看：（1）操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如服务器中的账户系统的安全、域账户安全及用户安全设防等漏洞。（2）防火墙的安全性。防火墙产品自身是否安全，是否设置错误，是否能够抵御各种入侵，一切需要经过检验。（3）评估机构。缺乏有效的手段监管、评估网络系统的安全性，不存在一个权威性的商务系统安全评估标准。（4）电子商务系统内部运行多种网络协议，如TCP/IP、IPX/SPX、NETBEUI等，而这些网络协议并非专为安全通讯而设计，可能暗藏隐患。（5）网络传输的安全。目的是保证数据传输过程中的完整性与保密性，如SSL（SecureSocketsLayer）协议，特别适合于点对点通信。但它缺少用户证明，只能保证传输过程的安全，无法知道在传输过程中是否被窃听。（6）资料存取的安全。在目前的操作系统和数据管理系统中均有不同程度的安全问题需要考虑。2.从服务对象来看：（1）对销售者的威胁：中央系统安全性被破坏；竞争者检索商品递送状况；客户资料被竞争者获悉；被他人假冒而损害公司的信誉；消费者提交订单后不付款；获取他人的机密数据。（2）对消费者的威胁：虚假订单；付款后不能收到商品；机密性丧失；拒绝服务。电子商务安全有哪些关键技术？答案：（1）密码技术对称加密算法（SymmetricEncryption）、非对称加密算法（AsymmetricEncryption）（2）数字签名（3）虚拟专用网技术

第13章1.什么是网络舆情？答案：网络舆情是指在各种事件的刺激下，公众通过互联网发布的对该事件的所有认知、态度、情感和行为倾向的集合。2.网络舆情包含哪些构成要素？答案：网络舆情主要包括以下构成要素：1）舆情主体是公众，既突出了舆情是一种个人的心理反应过程，也说明它的形成和变化受到群体心理的影响。2）舆情的客体是各种事件，包括社会事件、社会热点问题、社会冲突、社会活动，也包括公众人物的所言所行等等。3）舆情的本体是所有认知、态度、情感和行为倾向的集合。这一界定表明，舆情往往呈现出错综复杂的状态，多种不同的认知、态度、情感和行为倾向常常交织在一起，互相碰撞和影响。4）舆情的产生和变化是在一定的时间和空间内进行的，而互联网为公众表达和传播舆情提供了新载体。3.网络舆情的特征有哪些？答案：网络舆情具有以下特征：自由性与可控性交互性与即时性隐匿性与外显性情绪化与非理性丰富性与多元性群体极化性4.网络舆情研判指标体系包括哪几个方面？答案：网络舆情研判指标体系包括以下五个方面：舆情发布者指标、舆情要素指标、舆情要素指标、舆情受众指标、舆情传播指标以及区域和谐度指标。5.网络舆情预警系统包括什么？答案：网络舆情预警系统由上往下分为数据采集层、舆情研判层、决策处置层。数据采集层主要完成信息采集及数据预处理的工作，并将采集到的信息数据放置于数据库中。在舆情研判层，舆情分析人员根据研判指标体系，采用合理的研判技术对舆情态势进行研判，并将研判结果提供给决策处置层。决策处置层根据舆情态势发出预警报告，处置机构根据舆情态势、处置程序启动实施应急处置方案。6.网络舆情的应对可以从哪几个方面来评判？答案：网络舆情的应对可以依据以下六项指标来评判：机构响应，是指事发之后，有关部门进行响应的速度、层级、态度等。信息透明度，指在舆情事件发生后，有关部门响应过程中有没有在适度的范围内进行信息公开，使信息透明，避免谣言的流传。形象和公信力，指在舆情事件应对过程中，有关部门能不能时刻注意维护和提高单位的形象和公信力，避免因为负面事件对单位的形象和公信力所造成负面影响。动态反应能力，指有些问题如果第一时间没有及时正确的应对，甚至存在一些过失，但如能在后续过程中及时调整，并进行妥善回应，也能获得好的结果。网络应对技巧，是指能不能利用互联网加强沟通、疏导，比如说开通微博官方账号平台，设立留言板，及时回复留言，进行网上访谈等，这些都是行之有效的网络应对技巧。后期的问责和处理情况，舆情事件必然涉及一些责任人，有关部门能不能妥善地进行问责处理，平息民意，也是一个重要的能力。7.从哪几个方面对网络舆情进行引导？答案：常用的网络舆情引导方法有以下几种：典型报道引导。典型报道是通过寻求典型，塑造典型，树立标准供大家参考和模仿的一种网络舆情引导方式。深度报道引导。深度报道是指建立事件发展的现实基础上，不只是简单地报告事实，而是为读者梳理出关于对事实的认识。网络新闻评论引导。对网络舆情的引导不仅可以通过不断更新的网络报道作用于公众的认知，引导舆论态势，还可以通过直接或间接的意见表达引导公众的认知。“意见领袖”引导。“意见领袖”引导是指充分利用信息传播者自身的影响力，达到引导网络舆情的效果，通过他们就社会事件发表的意见和看法，将信息传播给受众，形成了信息从媒介，到意见领袖，再到受众的二级传播。

8.有哪些关于网络舆情的法律法规？答案：全国人民代表大会常务委员会关于加强网络信息保护的决定全国人民代表大会常务委员会关于维护互联网安全的决定两高发布办理网络诽谤等刑事案件司法解释关于加强网络信息保护的决定关于维护互联网安全的决定微博散布谣言可追刑事责任网络安全管理办法实施中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国电信条例互联网上网服务营业场所管理条例互联网信息服务管理办法中国公用计算机互联网国际联网管理办法互联网新闻信息服务管理规定互联网著作权行政保护办法互联网出版管理暂行规定互联网文化管理暂行规定互联网等信息网络传播视听节目管理办法互联网站从事登载新闻业务管理暂行规定最高人民法院、最高人民检察院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体法律若干问题的解释（二）

第14章1.本章新介绍的网络新型安全技术有哪些？答案：云计算安全、物联网安全、大数据安全、移动互联网安全、区块链安全2.什么是云计算，它那些主要安全技术？答案：云计算安全技术是信息安全扩展到云计算范畴的创新研究领域，它需要针对云计算的安全需求，通过传统安全手段与依据云计算所定制的安全技术相结合，从云计算架构的各个层次入手，使云计算的运行安全风险