计算机网络安全技术(第二版)习题答案.doc 34页

'习题一1-1　简述计算机网络安全的定义。计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。1-2　计算机网络系统的脆弱性主要表现在哪几个方面？试举例说明。计算机网络系统的脆弱性主要表现在以下几个方面：1．操作系统的安全脆弱性，操作系统不安全，是计算机不安全的根本原因。2．网络系统的安全脆弱性（1）网络安全的脆弱性，（2）计算机硬件系统的故障，（3）软件本身的“后门”，（4）软件的漏洞。3．数据库管理系统的安全脆弱性，DBMS的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。4．防火墙的局限性5．天灾人祸，如地震、雷击等。天灾轻则造成业务工作混乱，重则造成系统中断或造成无法估量的损失。6．其他方面的原因，如环境和灾害的影响，计算机领域中任何重大的技术进步都对安全性构成新的威胁等。1-3简述P2DR安全模型的涵义。P2DR安全模型是指：策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）。策略，安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。防护，防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵。检测，检测是动态响应和加强防护的依据，是强制落实安全策略的工具，通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。响应，响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时采取有效的处理措施，避免危害进一步扩大，目的是把系统调整到安全状态，或使系统提供正常的服务。1-4简述PDRR网络安全模型的涵义。PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同，最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。PDRR安全模型阐述了一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间，在系统遭受到破坏后，应尽快恢复，以减少系统暴露时间。也就是说：及时的检测和响应就是安全。34 1-5简述Internet网络体系层次结构。现在Internet使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组，这四层协议分别是：1、物理网络接口层协议，网络接口层定义了Internet与各种物理网络之间的网络接口；2、网际层协议，网际层是网络互联层，负责相邻计算机之间的通信，提供端到端的分组传送、数据分段与组装、路由选择等功能；3、传输层协议，传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理，该层使用的协议有TCP与UDP；4、应用层协议，应用层位于TCP/IP协议的最上层，向用户提供一组应用程序和各种网络服务。1-6简述网络安全体系结构框架。网络安全是一个覆盖范围很广的领域。为了更深刻地理解网络安全问题，必须对这个领域进行系统、全面的了解。对于整个网络安全体系，从不同得层面来看，包含的内容和安全要求不尽相同。（1）从消息的层次来看，主要包括：完整性、保密性、不可否认性。（2）从网络层次来看，主要包括：可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。（3）从技术层次上讲，主要包括：数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。（4）从设备层次来看，主要包括：质量保证、设备冗余备份、物理安全等。由此可见，计算机网络安全的研究涉及到多个学科领域.其边界几乎是无法限定的。同时随着网络技术的发展，也还会有新的安全问题不断出现。1-7ISO对OSI规定了哪5种级别的安全服务？制定了支持安全服务的哪8种安全机制？ISO对OSI规定了五种级别的安全服务：即对象认证、访问控制、数据保密性、数据完整性、防抵赖。为了实现上述5种安全服务，ISO7408-2中制定了支持安全服务的8种安全机制，它们分别是：加密机制（EnciphrementMechanisms）、数字签名机制（DigitalSignatureMechanisms）、访问控制机制（AccessControlMechanisms）、数据完整性机制（DataIntegrityMechanisms）、鉴别交换机制（AuthenticationMechanisms）、通信业务填充机制（TrafficPaddingMechanisms）、路由控制机制（RoutingControlMechanisms）、公证机制（NotarizationMechanisms）。1-8试述安全服务和安全机制之间的关系以及安全服务与层的关系。1、安全服务与安全机制有着密切的关系，安全服务是由安全机制来实现的，体现了安全系统的功能。一个安全服务可以由一个或几个安全机制来实现；同样，同一个安全机制也可以用于实现不同的安全服务中，安全服务和安全机制并不是一一对应的。实现对等实体鉴别服务可以采用系统设立的一种或多种安全机制实现，如采用数据加密、数据签名、鉴别交换、公证机制等。访问控制的实现则采用访问控制机制的方法，如最有代表性的是采用委托监控器的方法。数据保密可采用对数据加密的方法。数据的完整性可采用加密和数据完整性机制。34 数据源点鉴别采用加密和鉴别交换机制。禁止否认采用加密和公证机制来实现。2、ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能，相应地，在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。1．安全服务层次：（1）认证服务、（2）数据保密服务、（3）数据完整服务、（4）访问控制服务、（5）抗抵赖服务。2．网络各层提供的安全服务。通过上述对网络安全服务层次关系的分析得知：某种安全服务只能由ISO/OSI网络7层中的某一（些）特定层有选择的提供，并不是在所有各层都能实现。1-9　计算机网络安全的三个层次的具体内容是什么？计算机网络安全的实质就是安全立法、安全技术和安全管理的综合实施，这三个层次体现了安全策略的限制、监视和保障职能：1、安全立法计算机网络的使用范围越来越广，其安全问题也面临着严重危机和挑战，单纯依靠技术水平的提高来保护安全不可能真正遏制网络破坏，各国政府都已经出台了相应的法律法规来约束和管理计算机网络的安全问题，让广大的网络使用者遵从一定的“游戏规则”。目前，国外许多政府纷纷制定计算机安全方面的法律、法规，对计算机犯罪定罪、量刑产生的威慑力可使有犯罪企图的人产生畏惧心理，从而减少犯罪的可能，保持社会的安定，这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。2、安全技术安全技术措施是计算机网络安全的重要保证，是方法、工具、设备、手段乃至需求、环境的综合，也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多，尤其是在网络技术高速发展的今天，不仅涉及计算机和外部、外围设备，通信和网络系统实体，还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。安全技术主要涉及下面三点：物理安全技术、网络安全技术和信息安全技术。3、安全管理安全管理作为计算机网络安全的第三个层次，包括从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术，七分管理”，正体现于此。1-10　简述《可信计算机系统评估标准》的内容。1983年美国国防部提出了一套《可信计算机系统评估标准》（TCSEC，TrustedComputerSystemEvaluationCriteria），将计算机系统的可信程度，即安全等级划分为D、C、B、A四类7级，由低到高。D级暂时不分子级；C级分为C1和C2两个子级，C2比C1提供更多的保护；B级分为B1、B2和B3共3个子级，由低到高；A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。34 1-11　简述信息系统评估通用准则、安全评估的国内通用准则的要点。信息系统评估通用准则的要点如下：1、安全的层次框架：自下而上。2、安全环境：使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。3、安全目的：对防范威胁、满足所需的组织安全政策和假设声明。4、评估对象安全需求：对安全目的的细化，主要是一组对安全功能和保证的技术需求。5、评估对象安全规范：对评估对象实际实现或计划实现的定义。6、评估对象安全实现：与规范一致的评估对象实际实现。国内通用准则的要点：我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。在此标准中，一个重要的概念是可信计算基（TCB）。可信计算基是一个实现安全策略的机制，包括硬件、固件和软件，它们将根据安全策略来处理主体（例如，系统管理员、安全管理员、用户等）对客体（例如，进程、文件、记录、设备等）的访问。习题二2-1　简述物理安全的定义、目的与内容。物理安全，是保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏；确保系统有一个良好的电磁兼容工作环境；把有害的攻击隔离。实体安全的内容主要包括：环境安全、电磁防护、物理隔离以及安全管理。2-2　计算机房场地的安全要求有哪些？为保证物理安全，应对计算机及其网络系统的实体访问进行控制，即对内部或外部人员出入工作场所（主机房、数据处理区和辅助区等）进行限制。计算机房的设计应考虑减少无关人员进入机房的机会。同时，计算机房应避免靠近公共区域，避免窗户直接邻街，应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。在一个高大的建筑内，计算机房最好不要建在潮湿的底层，也尽量避免建在顶层，因顶层可能会有漏雨和雷电穿窗而入的危险。机房建筑和结构从安全的角度，还应该考虑：1）电梯和楼梯不能直接进入机房。2）建筑物周围应有足够亮度的照明设施和防止非法进入的设施。3）外部容易接近的进出口，如风道口、排风口、窗户、应急门等应有栅栏或监控措施，而周边应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。4）机房进出口须设置应急电话。34 5）机房供电系统应将动力照明用电与计算机系统供电线路分开，机房及疏散通道应配备应急照明装置。6）计算机中心周围100m内不能有危险建筑物。危险建筑物指易燃、易爆、有害气体等存放场所，如加油站、煤气站、天燃气煤气管道和散发有强烈腐蚀气体的设施、工厂等。7）进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。8）照明应达到规定标准。2-3　简述机房的三度要求。机房的三度要求分别是：温度、湿度、洁净度。确保这三个要求是为了保证系统的正常运行。1．温度计算机系统内有许多元器件，不仅发热量大而且对高温、低温敏感。环境温度过高或过低都容易引起硬件损坏。2．湿度机房内相对湿度过高会使电气部分绝缘性降低，会加速金属器件的腐蚀，引起绝缘性能下降，灰尘的导电性能增强，耐潮性能不良和器件失效的可能性增大；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。3．洁净度灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；灰尘还会增加机械磨损，尤其对驱动器和盘片，灰尘不仅会使读出、写入信息出现错误，而且会划伤盘片，甚至损坏磁头。因此，计算机房必须有除尘、防尘的设备和措施，保持清洁卫生，以保证设备的正常工作。2-4　机房内应采取哪些防静电措施？常用的电源保护装置有哪些？机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外，工作人员的服装和鞋最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。电源保护装置有金属氧化物可变电阻（MOV）、硅雪崩二极管（SAZD）、气体放电管（GDT）、滤波器、电压调整变压器（VRT）和不间断电源（UPS）等。2-5　计算机房的地线、接地系统、接地体各有哪些种类？计算机房的地线分为：保护地线、直流地线、屏蔽地线、静电地线、雷击地线。接地系统：计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。主要有以下几种：（1）各自独立的接地系统、（2）交、直流分开的接地系统、（3）共地接地系统、（4）直流地、保护地共用地线系统、（5）建筑物内共地系统。接地体：接地体的埋设是接地系统好坏的关键。通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。2-6　简述机房的防雷、防火、防水措施。34 防雷：机房的外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。机器设备应有专用地线，机房本身有避雷设施，设备(包括通信设备和电源设备)有防雷击的技术设施，机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的。机房的设备本身也应有避雷装置和设施。一个远程计算机信息网络场地应在电力线路、通信线路、天馈馈线线路、接地引线上作好防雷电的入侵。防火、防水：为避免火灾、水灾，应采取如下具体措施：1．隔离建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。系统中特别重要的设备，应尽量与人员频繁出入的地区和堆积易燃物（如打印纸）的区域隔离。所有机房门应为防火门，外层应有金属蒙皮。计算机房内部应用阻燃材料装修。机房内应有排水装置，机房上部应有防水层，下部应有防漏层，以避免渗水、漏水现象。2．火灾报警系统火灾报警系统的作用是在火灾初期就能检测到并及时发出警报。3．灭火设施机房应有适用于计算机机房的灭火器材，机房所在楼层应有防火栓和必要的灭火器材和工具，这些物品应具有明显的标记，且需定期检查。4．管理措施机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。2-7　简述电磁干扰的分类及危害。按干扰的耦合方式不同，可将电磁干扰分为传导干扰和辐射干扰两类。（1）传导干扰：传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。（2）辐射干扰：辐射干扰是通过介质以电磁场的形式传播的干扰。电磁干扰的危害（1）计算机电磁辐射的危害计算机作为一台电子设备，它自身的电磁辐射可造成两种危害：电磁干扰和信息泄漏。（2）外部电磁场对计算机正常工作的影响除了计算机对外的电磁辐射造成信息泄漏的危害外，外部强电磁场通过辐射、传导、耦合等方式也对计算机的正常工作产生很多危害。2-8电磁防护的措施有哪些？目前主要电磁防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可分为以下两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。34 为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。2-9　简述物理隔离的安全要求。物理隔离，在安全上的要求主要有下面三点：（1）在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。（2）在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。（3）在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储。2-10　简述物理隔离技术经历了哪三个阶段？每个阶段各有什么技术特点。物理隔离技术经历了：彻底的物理隔离、协议隔离、物理隔离网闸三个阶段：1．第一阶段——彻底的物理隔离利用物理隔离卡、安全隔离计算机和隔离集线器（交换机）所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要分时访问两个不同的、物理隔离的网络的应用环境。2．第二阶段——协议隔离协议隔离通常指两个网络之间存在着直接的物理连接，但通过专用（或私有）协议来连接两个网络。基于协议隔离的安全隔离系统实际上是两台主机的结合体，在网络中充当网关的作用。隔离系统中两台主机之间的连接或利用网络，或利用串口、并口，还可利用USB接口等，并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道，入侵者无法通过直接的网络连接进入内网，从而达到对内网的保护。3．第三阶段——物理隔离网闸技术物理隔离网闸在两个网络之间创建了一个物理隔断，从物理上阻断了具有潜在攻击可能的一切连接。而且它没有网络连接，把通信协议全部剥离，以原始数据方式进行“摆渡”。因此，它能够抵御互联网目前存在的几乎所有攻击，例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。2-11计算机网络管理的主要功能有哪些？计算机网络管理的主要功能是：故障管理功能，配置管理功能，性能管理功能，安全管理功能和计费管理功能。（1）故障管理：故障管理（FaultManagement）是网络管理中最基本的功能之一，即对网络非正常的操作引起的故障进行检查、诊断和排除。（2）配置管理：配置管理（ConfigurationManagement）就是定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。（3）性能管理：性能管理（PerformanceManagement）用于收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。（4）安全管理：安全管理（SecurityManagement）是指监视、审查和控制用户对网络的访问，并产生安全日志，以保证合法用户对网络的访问。（5）计费管理：计费管理（AccountingManagement）记录网络资源的使用，目的是控制和监测网络操作的费用和代价。2-12画出计算机网络管理的逻辑结构模型。34 2-13什么是简单网络管理协议（SNMP）？简述SNMP的管理结构模型、工作原理及特点。简单网络管理协议（SNMP）：SNMP（SimpleNetworkManagementProtocol），即简单网络管理协议，是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议，而且是TCP/IP协议族的一部分，工作于用户数据报文协议（UDP）上。SNMP的管理结构模型：SNMP主要用于OSI七层模型中较低几个层次的管理，它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理（ManagementAgents）、至少一个管理工作站（NetworkManagementStation）、一种通用的网络管理协议（ManagementProtocol）和一个或多个管理信息库（MIB）四部分组成。SNMP的工作原理：SNMP的原理十分简单，它以轮询和应答的方式进行工作，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库（MIB）和管理协议四个部分。SNMP的特点：SNM之所以能成为流传最广，应用最多的一个网络管理协议，是因为它具有简单、易于实现，具有很好的扩展性等优点。2-14简述公共管理信息协议（CMIP）。CMIP（CommonManagementInformationProtocol）即公共管理信息协议，是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案，应用在OSI环境下。CMIP与SNMP一样，也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中，被管代理和管理者没有明确的区分，任何一个网络设备既可以是被管代理，也可以是管理者。CMIP克服了SNMP的许多缺点，如安全性方面，CMIP支持授权、访问控制、安全日志等机制，构成一个相对安全的系统，定义相当详细复杂。2-15简述计算机网络安全管理的基本原则与工作规范。计算机网络系统的安全管理主要基于以下三个原则：（1）多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。（2）任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。（3）职责分离原则：在计算机网络34 系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是：（1）根据工作的重要程度，确定该系统的安全等级。（2）根据确定的安全等级，确定安全管理的范围。（3）制订相应的机房出入管理制度。（4）制订严格的操作规程。（5）制订完备的系统维护制度。（6）制订应急措施。习题三3-1　简要回答防火墙的定义和发展简史。防火墙的定义：防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙的发展简史：第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙：1992年，USC信息科学院的Bob.Braden开发出了基于动态包过滤（DynamicPacketFilter）技术的第四代防火墙，后来演变为目前所说的状态监视（StateFulinspection）技术。1994年，以色列的Check.Point公司开发出了第一个基于这种技术的商业化的产品。第五代防火墙：1998年，NAI公司推出了一种自适应代理（AdaptiveProxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。3-2　设置防火墙目的是什么？防火墙的功能和局限性各有哪些？通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。防火墙的34 主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。防火墙的局限性：1．防火墙防外不防内、2．网络应用受到结构性限制、3．防火墙难于管理和配置，易造成安全漏洞、4．效率较低、故障率高、5．很难为用户在防火墙内外提供一致的安全策略、6．防火墙只实现了粗粒度的访问控制。3-3　简述防火墙的发展动态和趋势。防火墙技术发展动态和趋势：（1）优良的性能、（2）可扩展的结构和功能、（3）简化的安装与管理、（4）主动过滤、（5）防病毒与防黑客。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。3-4　试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？数据包过滤（PacketFiltering）技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。选择的依据是系统内设置的过滤逻辑，被称为访问控制表（AccessControlTable）或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络。包过滤的优点：1）不用改动应用程序、2）一个过滤路由器能协助保护整个网络、3）数据包过滤对用户透明、4）过滤路由器速度快、效率高。包过滤的缺点：1）不能彻底防止地址欺骗、2）一些应用协议不适合于数据包过滤、3）正常的数据包过滤路由器无法执行某些安全策略、4）安全性较差、5）数据包工具存在很多局限性。1）静态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙，这种类型的防火墙根据定义好的过滤规则审查每个数据包，即与规则表进行比较，以便确定其是否与某一条包过滤规则匹配。2）动态包过滤。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤所具有的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。3-5　试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。代理技术的优点：1）代理易于配置、2）代理能生成各项记录、3）代理能灵活、完全地控制进出流量、内容、4）代理能过滤数据内容、5）代理能为用户提供透明的加密机制、6）代理可以方便地与其他安全手段集成。34 代理技术的缺点：1）代理速度较路由器慢、2）代理对用户不透明、3）对于每项服务代理可能要求不同的服务器、4）代理服务不能保证免受所有协议弱点的限制、5）代理不能改进底层协议的安全性。应用层网关（ApplicationLevelGateways）防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。优点：应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。缺点：代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75M~100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。电路层网关防火墙，另一种类型的代理技术称为电路层网关（CircuitLevelGateway）或TCP通道（TCPTunnels）。在电路层网关中，包被提交用户应用层处理。电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件。它结合了应用层网关型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。3-6　防火墙的主要技术及实现方式有哪些？防火墙的安全技术包括包过滤技术、代理、网络地址转换（NAT）等多种技术。应用防火墙的设计实现方式主要有：应用网关代理、回路级代理服务器、代管服务器、IP通道（IPTunnels）、隔离域名服务器（SplitDomainNameSever）、邮件转发技术（MailForwarding）。3-7　防火墙的常见体系结构有哪几种？一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，屏蔽路由器的优点是简单和低（硬件）成本。其缺点在于正确建立包过滤规则比较困难，屏蔽路由器的管理成本高，缺乏用户级身份认证等。代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。由于对更高安全性的要求，屏蔽路由器和代理服务器通常组合在一起构成混合系统，形成复合型防火墙产品。3-8　屏蔽路由器防火墙和屏蔽主机网关防火墙各是如何实现的？屏蔽路由器（ScreeningRouter）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽主机网关（ScreenedGateway34 ）由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务，即在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全（包过滤），又实现了应用层安全（代理服务）。屏蔽主机网关很容易实现：在内部网络与因特网的交汇点，安装一台屏蔽路由器，同时在内部网络上安装一个堡垒主机（应用层网关）即可，屏蔽主机网关防火墙具有双重保护，比双缩主机网关防火墙更灵活，安全性更高。3-9　简述分布式防火墙的体系结构、主要特点。分布式防火墙的体系结构包含如下三个部分：1．网络防火墙、2．主机防火墙、3．中心管理。分布式防火墙具有以下几个主要特点：1．主机驻留、2．嵌入操作系统内核、3．类似于个人防火墙、4．适用于服务器托管。3-10分布式防火墙的优势主要体现在哪几个方面？分布式防火墙的优势主要体现在如下几个方面：（1）增强系统的安全性：增加了针对主机的入侵检测和防护功能，加强了对内部攻击的防范，可以实施全方位的安全策略。（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。（4）实施主机策略：对网络中的各节点可以起到更安全的防护。（5）应用更为广泛，支持VPN通信。习题四4-1攻击者常用的攻击工具有哪些？攻击者常用的攻击工具有：（1）DOS攻击工具、（2）木马程序、（3）分布式工具。4-2简述口令入侵的原理。所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。4-3简述网络攻击的步骤。画出黑客攻击企业内部局域网的典型流程。攻击者在一次攻击过程中的通常做法是：首先隐藏位置，接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪，最后实施攻击、开辟后门等七个步骤。黑客攻击企业内部局域网的典型流程如下：34 4-4攻击者隐藏自己的行踪时通常采用哪些技术？攻击者隐藏自己的行踪通常要用到如下技术：1）连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IPSPOOF技术等；2）进程隐藏，如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等；3）篡改日志文件中的审计信息；4）改变系统时间，造成日志文件数据紊乱，以迷惑系统管理员。4-5简述网络攻击的防范措施。网络攻击的防范措施主要有：（1）提高安全意识；（2）使用能防病毒、防黑客的防火墙软件；（3）设置代理服务器，隐藏自已的IP地址；（4）安装过滤器路由器，防止IP欺骗；（5）建立完善的访问控制策略；（6）采用加密技术；（7）做好备份工作。4-6简述网络攻击的处理对策。网络攻击的处理对策：（1）发现攻击者，借助下面一些途径可以发现攻击者。1）攻击者正在行动时，捉住攻击者；2）根据系统发生的一些改变推断系统以被入侵；3）其他站点的管理员那里收到邮件，称从本站点有人对“他”的站点大肆活动；4）根据网络系统中一些奇怪的现象，发现攻击者；5）经常注意登录文件并对可逆行为进行快速检查，检查访问及错误登录文件，检查系统命令如login等的使用情况；6）使用一些工具软件可以帮助发现攻击者。34 （2）处理原则：不要惊慌、记录每一件事情，甚至包括日期和时间、估计形势、采取相应措施。（3）发现攻击者后的处理对策发现攻击者后，网络管理员的主要目的不是抓住他们，而是应把保护用户、保护网络系统的文件和资源放在首位。因此，可采取下面某些对策。1）不理睬；2）使用write或者talk工具询问他们究竟想要做什么；3）跟踪这个连接，找出攻击者的来路和身份；4）这管理员可以使用一些工具来监视攻击者，观察他们正在做什么；5）杀死这个进程来切断攻击者与系统的连接；6）找出安全漏洞并修补漏洞，再恢复系统；7）最后，根据记录的整个文件的发生发展过程，编档保存，并从中吸取经验教训。4-7一个成功的入侵检测系统至少要满足哪5个要求？一个成功的入侵检测系统至少要满足以下5个要求：①实时性要求：如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，就有可能把破坏控制在最小限度，并记录下攻击过程，可作为证据回放。②可扩展性要求：攻击手段多而复杂，攻击行为特征也各不相同。③适应性要求：入侵检测系统必须能够适用于多种不同的环境，比如高速大容量的计算机网络环境。④安全性与可用性要求：入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。⑤有效性要求：能够证明根据某一设计所建立的入侵检测系统是切实有效的。4-8简述入侵检测系统的组成、特点。入侵检测系统通常由两部分组成：传感器（Sensor）与控制台（Console）。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的IDS通常提供图形界面的控制台。入侵检测系统的主要特点如下：（1）入侵检测技术是动态安全技术的最核心技术之一（2）入侵检测是防火墙的合理补充（3）入侵检测系统是黑客的克星4-9分别说明入侵检测系统的通用模型和统一模型。通用模型采用的是一个混合结构，包含了一个异常检测器和一个专家系统，异常检测器采用统计技术描述异常行为，专家系统采用基于规则的方法检测己知的危害行为。异常检测器对行为的渐变是自适应的，因此引入专家系统能有效防止逐步改变的入侵行为，提高准确率。该模型由以下6个主要部分构成：（1）主体（Subjects）、（2）对象（Objets）、（3）审计记录（Auditrecords）、（4）活动简档（ActivityProfile）、（5）异常记录（AnomalyRecoal）、（6）活动规则。34 入侵检测系统统一模型由5个主要部分组成：（1）信息收集器、（2）分析器、（3）响应、（4）数据库、（5）目录服务器。4-10简述入侵检测的过程。入侵检测的过程：1．入侵信息的收集：入侵检测的第一步是信息收集，收集的内容包括系统、网络、数据及用户活动的状态和行为。2．信号分析：对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过四种技术手段进行分析：模式匹配、统计分析、专家系统和完整性分析。3．响应：入侵检测响应方式分为被动响应和主动响应。4-11什么是异常检测、误用检测、特征检测？异常检测：基于异常的检测技术有一个假设，就是入侵事件的行为不同于一般正常用户或者系统的行为。通过多种方法可以建立正常或者有效行为的模型。入侵检测系统在检测的时候就把当前行为和正常模型比较，如果比较结果有一定的偏离，则报警异常。误用检测：进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。特征检测：特征检测关注的是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。4-12基于主机的IDS和基于网络的IDS各有什么特点？基于主机的IDS的特点：1）主要优点：①确定攻击是否成功；②能够检查到基于网络的入侵检测系统检查不出的攻击；③能够监视特定的系统活动；④适用被加密的和交换的环境；⑤近于实时的检测和响应；⑥不要求额外的硬件设备；⑦低廉的成本。2）主要弱点：①基于主机的IDS安装在需要保护的设备上，如当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统，这会降低应用系统的效率；②基于主机的IDS依赖于服务器固有的日志与监视能力；③全面部署基于主机的IDS代价较大，用户很难将所有主机用基于主机的IDS保护起来，只能选择保护部分重要主机；④基于主机的IDS除了监测自身的主机以外，根本不监测网络上的情况。基于网络的IDS的特点：1）主要优点：①拥有成本较低；②检测基于主机的IDS漏掉的攻击；③攻击者不易转移证据；④实时检测和响应；⑤检测未成功的攻击和不良意图；⑥操作系统无关性；⑦安装简便。2）主要弱点：①监测范围的局限性；②基于网络的IDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测；③基于网络的IDS可能会将大量的数据传回分析系统中，影响系统性能和响应速度；④基于网络的IDS处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。34 4-13你曾遇到过何种类型的网络攻击？采取了哪些措施保护你的计算机网络系统？4-14攻击者入侵系统后通过更改系统中的可执行文件、库文件或日志文件来隐藏其活动，如果你是系统安全管理员，你将通过何种方法检测出这种活动？4-15　系统恢复过程中应对哪些遗留物进行分析？系统恢复过程中对遗留物进行分析：（1）检查入侵者对系统软件和配置文件的修改：1）校验系统中所有的二进制文件2）校验系统配置文件（2）检查被修改的数据（3）检查入侵者留下的工具和数据1）网络监听工具2）特洛伊木马程序3）安全缺陷攻击程序4）后门5）入侵者使用的其他工具（4）检查网络监听工具4-16　简述系统的恢复过程。系统的恢复过程：1．切断被入侵系统的入侵者访问途径；2．复制一份被侵入系统；3．入侵途径分析；4．遗留物分析；5．检查网络上的其他系统和涉及到的运送站点；6．评估入侵事件的影响，恢复系统。习题五5-1　简述访问控制的三个要素、7种策略。访问控制包括三个要素，即主体、客体和控制策略。具体的访问控制策略有如下7种：（1）入网访问控制、（2）网络的权限控制、（3）目录级安全控制、（4）属性安全控制、（5）网络服务器安全控制、（6）网络监测和锁定控制、（7）网络端口和节点的安全控制。5-2　简述访问控制的内容。访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计三个方面的内容。5-3　简述自主访问控制模型、强制访问控制模型、基于角色的访问控制模型。自主访问控制模型（DiscretionaryAccessControlModel，DACModel）是根据自主访问控制策略建立的一种模型，它基于对主体或主体所属的主体组的识别来限制对客体的访问，也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。34 强制访问控制模型（MandatoryAccessControlModel，MACModel）是一种多级访问控制策略，它的主要特点是系统对主体和客体实行强制访问控制：系统事先给所有的主体和客体指定不同的安全级别，比如绝密级、机密级、秘密级和无密级。在实施访问控制时，系统先对主体和客体的安全级别进行比较，再决定主体能否访问该客体。所以，不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。基于角色的访问控制模式（RoleBasedAccessControlModel，RBACModel）就是为克服自主访问控制模型和强制访问控制模型中存在的问题而提出来的。在基于角色的访问控制模式中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限。系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。5-4　试述访问控制的安全策略以及实施原则。访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于规则的安全策略。这两种安全策略建立的基础都是授权行为。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于规则的安全策略等同于MAC安全策略。实施原则有如下三点：（1）最小特权原则、（2）最小泄漏原则、（3）多级安全策略。5-5　简述安全审计的类型。安全审计的类型有三种，分别为：系统级审计、应用级审计和用户级审计。（1）系统级审计。系统级审计的内容主要包括登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。（2）应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。（3）用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。5-6　简述日志的内容。日志分析的主要内容是什么？在理想情况下，日志应该记录每一个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史事件。一般情况下，日志记录的内容应该满足以下原则：（l）日志应该记录任何必要的事件，以检测己知的攻击模式。（2）日志应该记录任何必要的事件，以检测异常的攻击模式。（3）日志应该记录关于记录系统连续可靠工作的信息。日志分析主要内容如下：（l）潜在侵害分析。（2）基于异常检测的轮廓。（3）简单攻击探测。（4）复杂攻击探测。34 5-7　简述WindowsNT的访问控制过程。WindowsNT的访问控制过程：（1）创建账号。当一个账号被创建时，WindowsNT系统为它分配一个安全标识（SID）。（2）登录过程（LP）控制。（3）创建访问令牌。（4）访问对象控制。5-8　Windows的审计系统是如何实现的？采用什么策略？几乎WindowsNT系统中的每一项事务都可以在一定程度上被审计，在WindowsNT中可以在Explorer和Usermanager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活DirectoryAuditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在Usermanager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。NT的审计规则如下：（l）登录及注销。登录及注销或连接到网络；（2）用户及组管理；（3）文件及对象访问；（4）安全性规则更改；（5）重新启动、关机及系统级事件；（6）进程跟踪；（7）文件和目录审计。5-9　基于角色的访问控制是如何实现的？有什么优点？基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的，如下图所示。用户先经认证后获得一个角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。这种访问控制方法的具有如下特点。（l）提供了三种授权管理的控制途径；（2）系统中所有角色的关系结构可以是层次化的，便于管理；（3）具有较好的提供最小权利的能力，提高了安全性；（4）具有责权分离的能力。习题六6-1　简述磁盘镜像技术和条块技术的工作原理。34 磁盘镜像技术。磁盘镜像就是在一台服务器内安装两个（或者多个）独立的硬盘，即用一块磁盘控制器连接两个性能相同的硬盘。当系统工作时，将数据同时存入这两个硬盘，这两份数据称为镜像关系。当一个硬盘出现故障时，可以使用另一个硬盘，从而保证网络系统正常运行。条块技术。条块（Striping）技术是把进入RAID控制器的数据分割成很多部分，每一部分为一个条块，再采用并行处理方式把条块数据分布到RAID阵列的所有驱动器上。6-2　RAID有哪几种级别？各有何特点？目前对RAID级别的定义可以获得业界广泛认可的有4种，即RAID0、RAID1、RAID10和RAID5。（1）RAID0：具有成本低、读写性能极高、存储空间利用率高等特点，适用于音视频信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余和校验，其安全性大大降低，构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失（2）RAID1：这种方式安全性高、技术简单、管理方便、读写性能好。RAID1的缺点是无法扩展，数据空间浪费大。（3）RAID10：即RAID0+1,它的读写性能出色，安全性高，但缺点是构建阵列的成本投入大，数据空间利用率低，不是经济高效的方案。（4）RAID5：RAID5具有数据安全、读写速度快、空间利用率高等优点，应用非常广泛。RAID5的缺点是写操作较慢，6-3　分别说明三种存储技术：DAS，NAS和SAN的原理和特点。DAS是指直接将存储设备连接到服务器上，连接方式有两种，即SCSI线缆和光纤通道。DAS是一种传统的也是目前最常见的网络存储设备。局域网中典型的DAS存储拓扑结构和应用网络架构环境，这种数据管理是“以服务器为中心”的，DAS数据存储设备被视为“外围”设备，直接挂接在各种服务器或客户端扩展接口下，其本身是硬件的堆叠，不带有任何存储操作系统，而且所有的应用软件很明显都是和存储子系统配套的。DAS的主要优点是价格低廉、配置简单、使用方便；另外，DAS通常被用于单一主机或双机系统中，用于增加硬盘存储容量和提高系统的可用性及可靠性。所谓SAN，是指在网络服务器群的后端，采用光纤通道（FiberChannel，FC）协议连接成高速专用网络，使网络服务器与多种存储设备直接连接。SAN通常由存储设备（专用磁盘阵列、磁带机）和光纤交换机组成。SAN的主要优点：（1）性能相当高，光纤通道协议在传送大数据块时非常有效，这使得SAN非常适用于存储密集型环境；（2）集中存取，更有效地利用存储资源；（3）简单、集中的存储管理，降低了管理工作量，节约了时间和金钱；（4）存储设备到服务器的多对多连接方式，提高了灵活性和可扩充性；（5）集中的存储备份，其中性能、数据一致性和可靠性可以确保关键数据的安全，缩短了数据备份和恢复的时间，提高了吞吐量；（6）通过备份软件，可以做到Server-Free和LAN-Free备份，减轻服务器和网络负担，降低了LAN拥塞；（7）具备恢复能力的网络设计，为确保业务连续性提供了更高的数据可用性；（8）卓越的可扩展性和投资保护，可以根据业务需求轻松添加更多的存储设备；（9）服务器和存储设备可以在物理上分离，确保动态存储分区，存储环境安全性更高；（10）无需中断业务，即可添加或重新配置存储资源；（11）保证短期和长期的投资回报；（12）开放的、业界标准的光纤通道技术还使得SAN非常灵活。34 NAS或称为网络直联存储设备、网络磁盘阵列，是一种将分布、独立的数据整合为大型、集中化管理的数据中心，以便于对不同主机和应用服务器进行访问的技术。通俗地讲，直接挂接在网上的、提供数据和文件服务的存储设备，实际上就是一台专用的NAS服务器。NAS的主要优点：（1）数据成为了网络的中心，NAS设备是直接连接在网络上并单独作为一个文件服务器存在的，网络中所有设备的数据全部存储在这一个NAS设备中，简化了网络架构；（2）将NAS设备连接到网络上非常方便；（3）由于NAS设备的安装、调试、使用和管理非常简单，因此对于选用NAS作为网络数据存储设备的企业用户来说，昂贵的设备管理与维护费用将不复存在；（4）由于NAS是直接连接到TCP/IP网络（LAN或WAN）上，支持通用的网络存储数据传输协议，如NFS（NetworkFileSystem，用于UNIX操作系统环境下，实现文件级的数据共享）和CIFS（CommonInternetFileSystem，用于Windows操作系统环境下，实现文件级的数据共享）等，所以不需要任何附加软件，即可在几乎所有平台之间实现跨平台的数据共享；（5）采用集中式存储结构，摒弃了DAS的分散存储方式，网络管理员可以方便地管理数据和维护设备，同时NAS设备允许用户在网络上存取数据，有效改善了网络的性能；（6）NAS与应用服务器之间交换的是文件，所以NAS产品比较适合于文件存储；（7）NAS设备内置优化的独立存储操作系统，可以有效紧密地释放系统总线资源，全力支持I/O存储，因此NAS设备的效率较DAS设备高出60%以上；（8）NAS设备一般会提供错误恢复系统，并会通过E-mail系统将报警信息自动发给系统管理员，同时NAS设备会进行动态监测，并提供详细的日志报告，以求全面保护数据；（9）NAS产品是真正即插即用的产品。6-4　简述备份的方式、层次和类型。备份有多种方式，最常用的是完全备份、增量备份、差额备份三种方式。备份可以分为三个层次：硬件级、软件级和人工级。目前有三种常用的备份类型：冷备份、热备份和逻辑备份。6-5　如何设计日常备份制度？日常备份制度（BackupRoutines）描述了每天的备份以什么方式，使用什么备份介质进行，是系统备份方案的具体实施细则。在制订完毕后，应严格按照制度进行日常备份，否则将无法达到备份方案的目标。日常备份制度包括磁带轮换策略和日常操作规程。1．磁带轮换策略，常见的磁带轮换策略有以下几种：（1）三带轮换策略、（2）6带轮换策略、（3）祖-父-子（GFS：Grandfather-Father-Son）轮换策略。2．日常操作规程：（1）准备工作、（2）日常操作。6-6　常用的存储备份介质和网络存储备份软件有哪些？网络存储备份系统使用较多的存储备份介质有：磁带、磁光盘驱动器（Magneto-OpticalDisk，MO）、硬盘、CD-ROM、WORM等。目前被广泛采用的备份介质还是磁带。目前比较流行的专业备份软件有CA的ARCserve2000、Veritas的BackupExec以及Legato的Networker等。6-7　六带轮换策略和祖-父-子轮换策略的原理是什么？34 6带轮换策略。这种策略需要6盘磁带。用户从星期一到星期四的每天都分别使用一盘磁带进行增量备份，然后星期五使用第五盘磁带进行完全备份。第二个星期的星期一到星期四重复使用第一个星期的4盘磁带，到了第二个星期五使用第六盘磁带进行完全备份。这种轮换策略能够备份两周的数据。祖-父-子（GFS：Grandfather-Father-Son）轮换策略。将6带轮换策略扩展到一个月以上，就成为祖-父-子轮换策略。这种策略由三级备份组成：日备份、周备份、月备份。日备份为增量备份，月备份和周备份为完全备份。日带共4盘，用于周一至周四的增量备份，每周轮换使用；周带一般不少于4盘，顺序轮换使用，用于星期五进行完全备份；月带数量视情况而定，用于每月最后一次完全备份，备份后将数据留档保存。这种轮换策略能够备份一年的数据。6-8　如何设计灾难恢复措施？灾难恢复措施包括：灾难预防制度、灾难演习制度及灾难恢复制度。1．灾难预防制度，为了预防灾难的发生，需要做灾难恢复备份。2．灾难演习制度，要能够保证灾难恢复的可靠性，光进行备份是不够的，还要进行灾难演练。3．灾难恢复，拥有完整的备份方案，并严格执行以上的备份措施，当面对突如其来的灾难时，就可以应付自如。习题七7-1　简述计算机病毒的定义、分类、特点、感染途径。计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒分类：1．按感染方式分为引导型、文件型和混合型病毒；2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒；3．按破坏性可分为良性病毒和恶性病毒；4．网络病毒。计算机病毒的特点：（1）刻意编写，人为破坏；（2）自我复制能力；（3）夺取系统控制权；（4）隐蔽性；（5）潜伏性；（6）不可预见性。计算机病毒的感染途径：目前，病毒主要通过电子邮件、外部介质、下载这三种途径进入用户的计算机，其中九成以上的病毒是通过电子邮件感染的，Internet正在逐步成为病毒入侵的主要途径。7-2　典型的病毒运行机制可以分为哪4个阶段。典型的病毒运行机制可以分为感染、潜伏、繁殖和发作4个阶段。（1）感染是指病毒自我复制并传播给其他程序；（2）潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为；（3）繁殖是病毒程序不断地由一部计算机向其他计算机进行传播的状态；（4）发作是非法程序所实施的各种恶意行动。34 7-3　简述网络计算机病毒的特点，网络对病毒的敏感性。网络计算机病毒的特点：（1）感染方式多、（2）感染速度快、（3）清除难度大、（4）破坏性强、（5）可激发性、（6）潜在性。网络对病毒的敏感性：1．网络对文件病毒的敏感性，一般的文件病毒可以通过以下三种网络环境传播。（1）网络服务器上的文件病毒；（2）端到端网络上的文件病毒；（3）Internet上的文件病毒。2．网络对引导病毒的敏感性：（1）网络服务器上的引导病毒；（2）端到端网络上的引导病毒；（3）Internet上的引导病毒。3．网络对宏病毒的敏感性：（1）网络服务器上的宏病毒；（2）端到端网络上的宏病毒；（3）Internet上的宏病毒。7-4　试述反病毒涉及的主要技术。目前成熟的反病毒技术已经完全可以做到对所有的已知病毒彻底预防、彻底杀除，主要涉及以下三大技术。1．实时监视技术，这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。2．自动解压缩技术，目前我们在Internet、光盘以及Windows中接触到的大多数文件都是以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件已成为了计算机病毒传播的温床。3．全平台反病毒技术，目前病毒活跃的平台有：DOS、Windows、WindowsNT、NetWare、UNIX等。为了将反病毒软件与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，在每一个点上都安装相应的反病毒模块，才能做到网络的真正安全和可靠。7-5　感染病毒的计算机会出现哪些异常情况？计算机工作时，如出现下列异常现象，则有可能感染了病毒。（1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复；（2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音；（3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作；（4）硬盘不能引导系统；（5）磁盘上的文件或程序丢失；（6）磁盘读/写文件明显变慢，访问的时间加长；（7）系统引导变慢或出现问题，有时出现“写保护错”提示；（8）系统经常死机或出现异常的重启动现象；（9）原来运行的程序突然不能运行，总是出现出错提示；（10）打印机不能正常启动。7-6　什么是网络病毒，防治网络病毒的要点是什么？详述电子邮件病毒的防范措施。网络病毒是指在网上运行和传播，影响和破坏网络系统的病毒。下面是防范计算机网络病毒的一些措施：（1）在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站；（2）在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户；（3）对非共享软件，将其执行文件和覆盖文件如*.COM，*.EXE，*.OVL等备份到文件服务器上，定期从服务器上复制到本地硬盘上进行重写操作；（4）34 接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再复制到本地硬盘上；（5）工作站采用防病毒芯片，这样可防止引导型病毒；（6）正确设置文件属性，合理规范用户的访问权限；（7）建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测；（8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理；（9）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet、用户与网络之间进行隔离。电子邮件病毒的防范措施：（1）首先，不要轻易打开陌生人来信中的附件文件；（2）对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行；（3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事；（4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范；（5）使用优秀的防毒软件对电子邮件进行专门的保护。（6）使用防毒软件同时保护客户机和服务器；（7）使用特定的SMTP杀毒软件。7-7　根治计算机病毒要从哪几个方面着手？根治计算机病毒要从以下几个方面着手：1．建立、健全法律和管理制度；2．加强教育和宣传；3．采取更有效的技术措施；4．网络计算机病毒的防治；5．电子邮件病毒的防范措施。7-8　简述防病毒软件的性能特点、选购指标。防病毒软件的性能特点：（1）能实时监控病毒可能的入口；（2）能扫描多种文件，包括压缩文件、电子邮件、网页和下载的文件等；（3）能定期更新；（4）用户界面友好，能进行远程安装和管理；（5）服务优良，技术支持及时、到位，即发现一个新病毒后很短时间内就能获得防治方法。防病毒软件的选购指标：（1）扫描速度、（2）识别率、（3）病毒清除测试。7-9　简述防病毒软件的工作原理。34 防病毒软件按其工作原理可分为病毒扫描程序、内存扫描程序、完整性检查器和行为监视器。1．病毒扫描程序，病毒扫描程序是在文件和引导记录中搜索病毒的程序。它只能检测出已经知道的病毒，对于防止新病毒和未知病毒感染几乎没有什么帮助。2．内存扫描程序，内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒。3．完整性检查器，完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。4．行为监视器，行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。7-10　简述构筑防病毒体系的基本原则。构筑防病毒体系的基本原则：1．化被动为主动、2．全方位保护、3．技术管理双保险、4．循序渐进部署合适的防病毒体系。习题八8-1　简述数据库系统的组成及各部分的功能。数据库系统主要由数据库，数据库管理系统和数据库管理人员三部分构成。数据库用来存放各种数据。数据库管理系统不但为用户及应用程序提供数据访问，负责数据库的管理、维护工作，还要按数据库管理员的要求保证数据库的安全性和完整性。数据库管理人员负责管理、开发和使用数据库。8-2　数据库系统的安全框架可以划分为哪三个层次？从广义上讲，数据库系统的安全框架可以划分为三个层次：网络系统层次、操作系统层次、数据库管理系统层次。（1）据库的安全首先依赖于网络系统，网络系统的安全是数据库安全的第一道屏障。（2）操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。（3）当前面两个层次已经被突破的情况下，数据库管理系统在一定程度上能保障数据库数据的安全。8-3　简述数据库系统的安全特性和安全性要求。数据库系统的安全特性和安全性要求主要体现在以下几个方面：（1）数据独立性。理论上数据独立性分为两种：物理独立性和逻辑独立性。这两种独立性都要靠数据库管理系统来实现。（2）数据安全性。保护数据不被非授权人员访问，通过授权、口令和数据加密等方式实现。（3）数据的完整性。要求数据在可靠性与准确性上是可信赖的，数据完整性包括数据的正确性、有效性和一致性。（4）并发控制。要求多个用户对用以数据库进行访问时保证数据的正确性。（5）故障恢复。要求当数据库系统运行时出现物理或逻辑上的错误时，如何尽快将它恢复正常。8-4　数据库中采用了哪些安全技术和保护措施？简述其要点。数据库中采用了以下安全技术和保护措施：（1）用户标识和鉴定。通过核对用户的名字或身份（ID），决定该用户对系统的使用权。数据库系统不允许一个未经授权的用户对数据库进行操作。34 （2）通过对用户进行授权，每当用户发出数据请求的操作后，DBMS查找数据字典，根据用户权限进行合法性检查。（3）数据分级。这种方案为每一数据对象赋予一定的保密级。系统规定两条访问规则：用户只能查看比他级别低的或同级的数据；用户只能修改和他同级的数据。（4）数据库加密。就是利用各种加密算法对数据库中的重要数据进行加密，以实现数据存储的安全保护。（5）在数据定义方面，通过完整性约束来实现数据的正确性、有效性和一致性。8-5　数据库怎样进行并发控制。数据库的并发控制主要通过封锁方法来实现：当某事务修改数据时，将数据封锁，这样在该事务读取和修改数据时，其他的事务就不能对数据进行读取和修改，直到该事务解除封锁。8-6　数据库的加密有哪些要求？数据库的加密方式有哪些种类？如何修复被破坏的库文件结构。数据库的加密要求有：数据库密码系统应采用公开密钥；采用多级密钥结构；要求加密体制为二元函数；所采用的加密算法必须符合数据库的特性。可以再三个层次对数据库进行加密：在OS层加密；在DBMS内核层实现加密；在DBMS外层实现加密。利用转储和日志文件可以有效地恢复数据库。1）当数据库本身被破坏时可重装转储的后备副本，然后运行日志文件，执行事务恢复，这样就可以重建数据库。2）当数据库本身没有被破坏，但内容已经不可靠时可利用日志文件恢复事务，从而使数据库回到某一正确状态。这时不必重装后备副本。8-7　怎样避免数据库操作的死锁？数据库解决死锁问题的主要方法有以下几种：（1）每个事务一次就将所有要使用的数据全部加锁，否则就不能执行。（2）预先规定一个封锁顺序，所有的事务都必须按这个顺序对数据执行封锁。（3）不预防死锁的发生，而是让系统用某种方法判断当前系统中是否有死锁现象。如果发生死锁再设法解除，使事务再继续运行。8-8　时标技术的作用是什么？时标技术的作用是避免因出现数据不一致而造成的破坏数据库完整性。8-9　简述数据库的恢复方法。数据库的恢复大至有如下这些办法：（1）周期性地对整个数据库进行转储，把它复制到备份介质中，作为后备副本，以备恢复之用。转储通常又可分为静态转储和动态转储。静态转储是指转储期间不允许对数据库进行任何存取、修改活动，而动态转储是指在存储期间允许对数据库进行存取或修改。（2）对数据库的每次修改，都记下修改前后的值，写入“运行日志”数集中。它与后备副本结合，可有效地恢复数据库。8-10　攻击数据库的常用方法有哪些？34 攻击数据库的方法有：突破Script的限制；对SQL口令的突破；利用多语句执行漏洞；SQLServer的安装漏洞；数据库的利用；数据库扫描工具。8-11　事务处理日志在数据库中有何作用？日志文件是用来记录对数据库每一次更新活动的文件。当数据库毁坏后可重新装入后备副本把数据库恢复到转储结束时刻的正确状态。然后利用日志文件，把已完成的事务进行重新处理，对故障发生时尚未完成的事务进行撤销处理。这样不必重新运行那些已完成的事务程序，就可把数据库恢复到故障前某一时刻的正确状态。8-12　Oracle中保障数据库安全的主要方法有哪些？Oracle利用下列机制管理数据库的安全性：数据库用户和模式；权限；角色；存储设置和空间份额；资源限制；审计。8-13　说明Oracle中用户、权限和角色的关系。用户权限的管理包括哪些内容？用户可以存取数据库，运行数据库应用和使用该用户名连接到定义该用户的数据库。用户的存取权限受用户安全域的设置所控制，安全域包括用户可用的权限和角色。角色是相关权限的命名组，可以授权给用户和角色。一个角色可以授予系统权限或对象权限，可以授权给其他角色，但不能循环授权。任何角色可以授权给任何数据库用户。建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。用户权限的管理包括以下内容：（1）是由数据库系统还是由操作系统维护用户授权信息。（2）设置用户的默认表空间和临时表空间。（3）列出用户可存的表空间和在表空间中可以使用空间份额。（4）设置用户资源限制的环境文件，该限制规定了用户可用的系统资源的总量。（5）规定用户具有的权限和角色，可以存取相应的对象。8-14　Oracle中概要文件中有几种类型的限制参数，简要介绍它们的作用。1）SESSIONS_PER_USER：限制每个用户所允许建立的最大并发会话数目。2）CPU_PER_SESSION：限制每个会话所能使用的CPU时间。3）CPU_PER_CALL：限制每条SQL语句所能使用的CPU时间。4）LAGICAL_READS_PER_SESSION：限制每个会话所能读取的数据块数目，包括从内存中读取的数据块和从硬盘中读取的数据块。5）LAGICAL_READS_PER_CALL：限制每条SQL语句所能读取的数据块数目，包括从内存中读取的数据块和从硬盘中读取的数据块。6）CONNECT_TIME：限制每个会话能连接到数据库的最长时间。7）IDLE_TIME：限制每个会话所允许的最大连续空闲时间。8）COMPOSITE_LIMIT：用于设置“组合资源限制”。9）PRIVATE_SGA：该参数限制在SGA中为每个会话所能分配的最大私有SQL区的大小。8-15　Oracle的审计功能是什么？审计是对选定的用户动作的监控和记录，通常用于：34 1）审查可疑的活动。例如，数据被非授权用户删除，此时安全管理员可以决定对该数据库的所有连接进行审计，对数据库的所有表的成功的或不成功的删除进行审计。2）监视和收集关于指定数据库活动的数据。习题九9-1　简述对称密钥密码体制、非对称密钥密码体制的加密原理和各自的特点。对称密码体制的加密方式可分为：（1）序列密码，。它的主要原理是：通过有限状态机制产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列。（2）分组密码。分组密码的工作方式是将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。其主要特点：加解密双方在加解密过程中要使用完全相同或本质上等同的密钥。非对称密钥密码体制的加密原理：在加密过程中，密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开，用于对信息的加密；而另一把则作为则私有密钥进行保存，用于对加密信息的解密。其特点有：具有较强的保密功能，还克服了密钥发布的问题，并具有鉴别功能。9-2　为什么说混合加密体制是保证网络上传输信息的安全的一种较好的可行方法？混合加密体制采用公开密钥密码技术在通信双方之间建立连接，包括双方的认证过程以及密钥的交换（传送秘密密钥），在连接建立以后，双有可以使用对称加密技术对实际传输的数据进行加密解密。这样既解决了密钥分发的困难，又解决了加、解密的速度和效率问题，是目前解决网络上传输信息安全的一种较好的可行方法。9-3　简述链路加密、节点加密和端对端加密等三种加密方式的特点。链路加密方式只对通信链路中的数据加密，而不对网络节点内的数据加密。使用链路加密装置能为链路上的所有报文提供传输服务：即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有加密装置，以便解密、加密报文。节点加密方式在中间节点里装有用于加、解密的保护装置，即由这个装置来完成一个密钥向另一个密钥的变换。除了在保护装置里，即使在节点内也不会出现明文。端对端方式由发送方加密的数据在没有到达最终目的地——接受节点之前不被解密。加密、解密只是在源节点和目的节点进行。这种方式可以实现按各通信对象的要求改变加密密钥以及按应用程序进行密钥管理等。9-4　试述代码加密、替换加密以及一次性密码簿加密的原理。代码加密是发送秘密消息的最简单做法，就是使用通信双方预先设定的一组代码。代码可以是日常词汇、专有名词或特殊用语，但都有一个预先指定的确切含。替换加密原理是用一个或多个字符替换另一个字符进行加密。一次性密码簿加密原理是把长度相同的任何明文都一一映射到长度相同的报文集合上（按位异或和循环移位的性质）进行加密。34 9-5　已知明文是“TheChangShaHuNanComputerCollege”，用列变位法加密后，密文是什么？设密钥数字为5，补充字符为Q，进行加密后密文为：TaanuoehnHCtlQeguoelQCSNmreQhhapCgQ。9-6　将明文“JIAOWUCHUC”按行排在3*4矩阵中，按书中给定的置换，使用矩阵变位法加密方法，试写出加密和解密过程。加密过程：“JIAOWUCHU”按行排在3*4矩阵中为：1234JIAOWUCHU按置换后重新排列得：1234IOJAUHWCU所以，密文为：IOJAUHWCU。解密过程：“IOJAUHWCU”按行排在3*4矩阵中为：1234IOJAUHWCU按置换后重新排列得：1234JIAOWUCHU所以，将密文解密后得明文为：“JIAOWUCHU”。9-7　已知明文是：1101001101110001，密码是：0101111110100110，试写出加密和解密过程。已知明文是：1101001101110001，密码是：0101111110100110，试写出加密和解密过程。加密过程：（明文与密码按位异或计算）明文：1101001101110001密码：0101111110100110密文：100011001101011134 解密过程：密文：1000110011010111密码：0101111110100110明文：11010011011100019-8　简述密码的破译方法和防止密码被破译的措施。破译方法有：（1）密钥穷尽搜索，就是尝试所有可能的密钥组合，是破译密文最简单的方法。（2）密码分析，常见的密码分析方法有：a已知明文的破译方法，在这种方法中，密码分析员掌握了一段明文和对应的密文，目的是发现加密的密钥。b选定明文的破译方法，在这种方法中，密码分析员设法让对手加密一段分析员选定的明文，并获得加密后的结果，目的是确定加密的密钥。（3）其他破译方法，例如可以欺骗用户，套出密钥；在用户输入密钥时，应用各种技术手段，“窥视”或“偷窃”密钥内容；利用加密系统实现中的缺陷或漏洞；对用户使用的加密系统偷梁换柱；从用户工作生活环境的其他来源获得未加密的保密信息；让口令的另一方透露密钥或信息；威胁用户交出密钥等等。防止破译的方法有：（1）强壮的加密算法。一个好的加密算法往往只有用穷举法才能得到密钥，所以只要密钥足够长就会很安全。（2）动态会话密钥。每次会话的密钥不同。（3）保护关键密钥。定期变换加密会话的密钥。9-9　试述DES算法的加密过程。DES算法的加密过程如下：将64位明文数据用初始变换IP置换，得到一个乱序的64位明文，然后分成左右等长的、各32位的两个分组，分别记为L0和R0。接着在48位的子密钥K1、K2、…、K16分别作用下，进行16轮完全类似的乘积变换（迭代）运算，第i轮的乘积变换（迭代）运算得到Li和Ri，最后一轮（第16轮）的乘积变换（迭代）运算得到L16和R16，需将其左右交换位置，得到64位数据R16L16。最后再用初始逆变换IP-1进行置换，产生64位密文数据。9-10　简述DES算法中的乘积变换（迭代）过程。DES算法的核心部分是迭代运算。DES加密时把明文以64位为单位分成块。64位的明文数据经初始变换后进入加密迭代运算：每轮开始时将输入的64位数据分成左、右长度相等的两半，右半部分原封不动地作为本轮输出数据的左半部分，即下一轮迭代输入数据的左半部分；同时对右半部分进行一系列的变换：先用轮函数f作用于右半部分，然后将所得结果（32位数据）与输入数据的左半部分进行逐位异或，最后将所得数据作为本轮输出的64位数据的右半部分。9-11简述DES算法中轮函数f的组成及作用过程。34 轮函数的功能是将32位的输入转化为32位的输出。为了将32位的右半部分与56位的密钥相结合，需要进行两个变换：通过重复某些位将32位的右半部分扩展为48位，而56位密钥则通过选择其中的某些位则减少至48位。轮函数f由扩展置换运算E、与子密钥Ki的逻辑异或运算、选择压缩运算、以及置换P组成。9-12简述DES算法中子密钥的生成流程。DES算法中子密钥的生成流程如下：首先，用子密钥换位表对给定的密钥数据进行变换作用：去掉其中的奇偶校验位，并对剩下的、实际有效的密钥进行重新排序。其次，将经过变换后得到数据分为左右等长的两部分，接着进行循环左移。再次，用子密钥换位表对每轮数据进行变换作用：选择性地去掉其中部分数据，同时对剩下的数据进行重新排序，作为本轮迭代的子密钥。最后进行逆初始变换。9-13详述RSA算法的演算过程及其安全性。RSA算法的演算过程如下：（1）密钥配制过程，密钥配制过程就是设计出公开密钥PK与秘密密钥SK。（2）加密，利用公开密钥对明文进行加密得到密文。（3）解密，利用秘密密钥对密文进行解密。RSA的保密性基于一个数学假设：对一个很大的合数进行质因数分解是不可能的。RSA用到的是两个非常大的质数的乘积，用目前的计算机水平是无法分解的。9-14　假设需要加密的明文信息为m=14，选择：e=3，p=5，q=11，试说明使用RSA算法的加密和解密过程及结果。质数p=5，q=11，p和q的乘积为n=5×11=55，算出另一个数z=(p-1)×(q-1)=40；再选取一个与z=40互质的数，例如e=3，则公开密钥=（n，e）=（55，3）。对于这个e值，可以算出其逆：d=27。因为e×d=3×27=81，满足e×dmodz=1；即81mod40=1成立。则秘密密钥=（n，d）=（55，27）。由明文m=14和公开密钥（n，e）=（55，3）可以算出加密值：c=memodn=143mod55=49。由密文c=49，利用秘密密钥计算：m=cdmodn=4927mod55=14，因此实现了解密。习题十10-1　名词解释：认证、身份认证、时间戳、零知识证明、消息认证、散列函数、数字签名、DSS。认证：对实体身份进行认证和传输内容进行审计、确认的过程。身份认证：是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。时间戳：是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要；（2）时间戳收到文件的日期和时间；（3）时间戳的数字签名。34 零知识证明：在不将知识的任何内容泄露给验证者的前提下，使用某种有效的数学方法证明自己拥有该知识。消息认证：就是验证消息的完整性。它包含两个含义：一个是验证消息的发送者是真正的而不是冒充的，即数据起源认证；二是验证消息在传送过程中未被篡改、重放或延迟等。散列函数：定义一个函数将任意长度的消息映射为定长的散列值，以散列值作为认证符。数字签名：用数字代替手工签名，用来证明消息发送者的身份和消息真实性的一种数据认证方法。DSS：DisitalSignatureStandard，由美国国家标准技术研究所利用安全散列算法提出的一种新的数字签名技术，并以此作为标准，即数字签名标准。10-2简述身份认证的作用、分类及身份认证系统的组成。身份认证的作用是为了确保用户身份的真实、合法和唯一，以防止非法人员进入系统，防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据的完整性的情况的发生。身份认证的分类：按身份认证所用到的物理介质来分：用户所知道的,用户所拥有或携带的物品,用户具有的独一无二的特征或能力。按身份认证所应用的系统来分：单机系统的身份认证，网络系统的身份认证。按身份认证的基本原理上来分：静态身份认证，动态身份认证。按身份认证所采用的认证协议来分：双向认证，单项认证。按照认证协议所使用的密码技术来分：基于对称密钥密码体制的认证协议，基于公开密钥密码体制的认证协议。身份认证的系统组成：认证服务器：负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的相关资讯。认证系统用户端软件：认证系统用户端通常都是需要进行登陆的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协议。认证设备：认证设备是使用者用来产生或计算密码的软硬件设备。10-3简述物理认证的方法有哪些？物理认证的方法主要有以下几种：口令认证是最常用的一种技术，服务器将用户输入的用户名和口令与数据库里的用户名和口令进行比较，如果相符，就通过了认证。智能卡认证，基于智能卡的认证机制有：提问/应答认证、时间同步认证和事件同步认证等方式。生物特征认证，是指通过自动化技术利用人体的生理特征或行为特征进行身份鉴定。10-4　Needham/Schroeder认证协议中，攻击者即使不知道会话密钥，也可以假冒接收方B与发送方A建立会话，给出这种攻击的过程。Needham/Schroeder协议认证过程：Needham/Schroeder是一个基于对称加密算法的协议，它要求有第三方的可信权威机构——34 鉴别服务器（密钥分发中心KDC）参与，KDC拥有每个用户的秘密密钥。若用户A欲与用户B通信，则用户A向鉴别服务器申请会话密钥。在会话密钥的分配过程中，A、B互相认证对方的身份。协议认证过程如下图所示：其中，KDC是密钥分发中心；IDA是表示A身份的惟一标识，IDB是表示B身份的惟一标识；秘密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥；Ks是由KDC分发的A与B的会话密钥；EX表示使用密钥X加密；N1和N2是两个一次性随机数；f(N)是对N进行一个运算。10-5分别描述基于对称密钥技术的双向认证协议、基于公开密钥技术的双向认证协议过程。基于对称密钥技术的双向认证协议过程：用户A欲与用户B通信，则用户A向鉴别服务器申请会话密钥。在会话密钥的分配过程中，A、B互相认证对方的身份。具体过程如下：①A→KDC：IDA‖IDB‖N1；A向KDC申请要和B通信。明文消息中包含一个大的随机数N1。②KDC→A：EKa[KS‖IDB‖N1‖EKb[KS‖IDA]]；KDC发送一个使用A和KDC之间共享的密钥Ka加密的消息。③A→B：EKb[KS‖IDA]；A将许可证EKb[KS‖IDA]发给B。④B→A：EKs[N2]；B解密许可证EKb[KS‖IDA]获得会话密钥Ks，然后产生随机数N2，B向A发送消息EKs[N2]。⑤A→B：EKs[f(N2)]；A向B发送消息EKs[f(N2)]以证明是真正的A与B通信。其中，KDC是密钥分发中心；IDA是表示A身份的惟一标识，IDB是表示B身份的惟一标识；秘密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥；Ks是由KDC分发的A与B的会话密钥；EX表示使用密钥X加密；N1和N2是两个一次性随机数；f(N)是对N进行一个运算。基于公开密钥技术的双向认证协议过程（以WOO92b协议为例来说明）：①A→KDC：IDA‖IDB；A向KDC提出和B通信。②KDC→A：EKRkdc[IDB‖KUb]；A得到B的公钥。③A→B：EKUb[Na‖IDA]；A向B提出通信要求，包含一个随机数Na。④B→KDC：IDB‖IDA‖EKUkdc[Na]；B向KDC询问A的公钥。⑤KDC→B：EKRkdc[IDA‖KUa]‖EKUb[EKRkdc[Na‖KS‖IDA‖IDB]]；B得到A的公钥和一段KDC签名的消息。⑥B→A：EKUa[EKRkdc[Na‖KS‖IDA‖IDB]‖Nb]；B将这段消息和随机数Nb发给A，A在KDC签名的消息中找到Na，知道这不是一个重放。⑦A→B：EKs[Nb]。A使用刚得到的会话密钥回答B。34 其中，KUa是A的公钥；KRa是A的私钥；KUkdc是KDC的公钥；KRkdc是KDC的私钥。10-6简述散列函数的特性及其应满足的基本要求。散列函数的特性：①一致性：相同的输入产生相同的输出；②随机性：消息摘要外观是随机的，以防被猜出源消息；③惟一性：几乎不可能找到两个消息产生相同的消息摘要；④单向性：即如果给出输出，则很难确定出输入消息。应满足的基本要求：（l）输入x可以为任意长度，输出数据串长度固定（最小128位）；（2）正向计算容易，即给定任何x，容易算出H（x）；反向计算困难，即给出一Hash值h，很难找出一特定输入x，使h=H（x）；（3）抗冲突性，包括两个含义：一是给出一消息x，找出一消息y使H（x）=H（y）是计算上不可行的；二是找出任意两条消息x、y，使H（x）=H（y）也是计算上不可行的。10-7试描述将散列函数用于消息认证的基本过程。散列函数用于消息认证的基本过程如下：发送者A向接收者B发送消息M，将散列函数用于消息认证的基本过程如下：（1）发送者将消息M作为单向散列函数H的输入，得到消息摘要，记作h=H（M）或MD=H（M）。（2）A将消息摘要H（M）连消息M一齐发送给B。（3）B将消息和消息摘要分离，并利用消息生成消息摘要。（4）比较两消息摘要，如果相同，则消息在传送期间没被更改。10-8画图并描述直接数字签名原理。假设发送方为A，接收方为B。数字签名如图10-6所示。具体过程描述如下：（l）A采用散列算法对原始消息M进行运算，得到一个较短的、固定长度的数字串h——消息摘要h=H（M）。由M可以很快生成h，但由h几乎不可能生成M。（2）A用自己的私钥KDa对消息摘要h进行加密来形成发送方的数字签名S。（3）A将这个数字签名S将作为消息的附件和消息M一起发送给接收方B，即A将M‖S发送给B。34 （4）接收方B收到M‖S后，再验证S是否A的签名：B首先从接收到的原始消息中用同样的算法计算出新的消息摘要：h1=H（M），再用发送方A的公钥KEa对消息附件的数字签名S进行解密得到消息摘要h2；比较两个消息摘要，如果h1=h2，B就能确认：①数字签名S是发送方的；②原始消息M没有被篡改过；③事后当A否认曾发过此消息时，B可出示原始消息M和用KDa加密的数字签名S来证明A确实给B发送过这段消息M。10-9论述需仲裁的数字签名方案（对采用对称密钥加密方法、公开密钥加密技术的数字签名分开论述）。（1）采用对称密钥加密方法的数字签名：设用户A为发送方，用户B为接收方，C为仲裁方。其中用户A和仲裁方C具有相同的密钥Ka，用户B和仲裁C具有相同的密钥Kb。假定A、B之间已事先统一了数字签名的格式，数字签名过程见下图：A先发送消息E′(Ka)给C，C用Ka解密，证实消息来源于A并要求发往B后，C向B发送消息E″(Kb)。B收到后用Kb解密，得知消息内容和仲裁方C保证消息来源于A。与此同时，B还收到A发来的消息E(Ka)，由于采用Ka加密，B无法解密，但保留下E(Ka)的备份，以防今后发生争执。仲裁方C声明消息发自A，证实消息是真实的。若A事后否认，C可拿出A发来的消息E′(Ka)来说明，C可用Ka重新加密消息，证明只有A能够产生产E′(Ka)。（2）采用公开密钥加密技术的数字签名：假如用户A和用户B的加密密钥（公开的）分别为KEa、KEb，而解密密钥（保密的）分别为KDa、KDb。用户A为发送方，用户B为接收方。如图10-8所示，发送时，用户A首先用自己的私人（解密）密钥KDa加密明文x（因为KEa、KDa是成对互异的，可相互调换使用），得到Da(x)，再用用户B的公开密钥KEb将其加密，得到Eb(x)，将Eb(x)发送到用户B。用户B收到消息Eb(x)后，首先用自己的解密密钥EDb将Eb(x)解密，得到Da(x)，这就是一个数字签名。然后再用用户A的公开密钥KEa来对Da(x)解密，得到明文x。用户B由此得知明文x和它来源于用户A。假如事后用户A不承认曾向用户B发出明文x而提交仲裁时，由于用户B保留了明文x和Da(x)，仲裁方可判断出，用户B虽可得到用户A的公开密钥KEa，但只有用户A才持有保密的解密密钥KDa。用户B保存的明文x由Eb(x)和Da(x)解出，而Da(x)只有持有KDa的用户A才可发出，从而使明文x的来源得到确认。34'