第10章计算机信息系统安全习题（P257-258）一、复习题1、计算机网络系统主要面临哪些威胁答：由于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞或“后门”，还有网络内部的威胁（比如用户的误操作，资源滥用和恶意行为使得再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应）等安全问题的根源。

网络信息安全主要面临以下威胁。

非授权访问：非授权访问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

非授权访问的威胁涉及到受影响的用户数量和可能被泄露的信息。

入侵是一件很难办的事，它将动摇人的信心。

而入侵者往往将目标对准政府部门或学术组织。

信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

具有严格分类的信息系统不应该直接连接Internet。

破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

拒绝服务攻击：拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒，通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2、简述计算机网络信息系统的安全服务与安全机制。

答：通常将为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施称为安全服务。

ISO7498-2中定义的5类安全服务是：数据完整性，鉴别，数据保密，访问控制，不可否认，这5类安全服务同面的安全目标的5个方面基本对应。

安全机制是实现安全服务的技术手段，表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。

信息系统的安全是一个系统的概念，为了保障整个系统的安全可以采用多种机制。

ISO7498-2中定义了8类安全机制：加密机制，数字签名机制，访问控制机制，数据完整性机制，鉴别机制，通信业务填充机制，路由控制机制，公证机制。

以上是特定安全机制，可以嵌入到合适的协议层提供一些OSI安全服务。

另外还有五种安全机制如下：可信功能度，安全标志，事件检测，安全审计跟踪，安全恢复。

一种安全机制可以提供多种安全服务，而一种安全服务也可采用多种安全机制。

3、什么是对称密钥，什么是非对称密钥，各有何特点答：现代密码术是根据密约规则和密钥算法将人可阅读的明文与不可阅读的密文相互转换的技术。

将明文变为密文的过程称为加密；将密文译回明文的过程称为解密。

密钥是随机的长数列比特数位串，它和算法结合，完成加／解密的过程。

在对称密钥密码术中，用相同的密钥来锁和打开“箱子”。

这种技术无论加密还是解密都是用同一把钥匙。

这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。

但对称密钥密码术这在使用方便的同时，也带来了一系列问题，一是由于收／发双方使用同一个密钥，密钥的分发和定期更换的安全问题。

二是由于收发双方要使用同一个密钥，多人（设为N）通信时，密钥数目就会成几何级数的膨胀。

三是收发双方必须事先统一并相互信任。

四是对称密钥可提供保密性，但不能提供身份鉴别和不可否认性。

非对称密钥密码术又叫双匙技术。

此技术使用两个相关互补的钥匙：一个称为公用钥匙（public key），另一个称为私人钥匙（secret key）。

公用钥匙是大家被告知的，而私人钥匙则只有每个人自己知道。

发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。

收信人再用自己的私人钥匙将其解密。

除了私人钥匙的持有者，没有人——即使是发信者——能够将其解密。

公用钥匙是公开的，即使在网络不安全情况下，也可以通过网络告知发信人。

而只知道公用钥匙是无法导出私人钥匙的。

下图是两种密钥技术的对比：4、什么是计算机病毒，是如何分类的答：计算机病毒在传染性、潜伏性等方面类似于生物病毒，是一种能入侵到计算机和计算机网络、危害其正常工作的“病原体”；它是人为的具有传染性、潜伏性为特征的无机体。

计算机病毒的分类方法很多，按病毒攻击对象的机型可以分为：攻击微型计算机的病毒、攻击小型计算机的病毒、攻击中、大型计算机的病毒和攻击计算机网络的病毒；按病毒攻击计算机的操作系统可以分为：攻击Macintosh系统的病毒、攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒和攻击OS/2系统的病毒；按计算机病毒破坏行为的能力可以分为：无害型病毒、无危险型病毒、危险型病毒和非常危险型病毒。

在这里主要介绍两种分类方法。

5、当前计算机病毒有哪些新特征答：计算机病毒除具备程序性、传染性、潜伏性、干扰与破坏性、可触发性、针对性、衍生性、夺取系统的控制权、依附性和不可预见性等10个基本特征外，还有抗分析、隐蔽性、诱惑欺骗性、传播方式多样、破坏性、变形性、远程启动性、攻击对象和攻击技术的混合性，还有多态性。

6、如何发现和清除计算机病毒答：通过采取技术上和管理上的措施，计算机病毒是完全可以防范的；虽然新出现的病毒可采用更隐蔽的手段，利用现有DOS系统安全防护机制的漏洞，以及反病毒防御技术上尚存在的缺陷，使病毒能够暂时在某一计算机上存活并进行某种破坏，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技术和管理措施，这新病毒就无法逾越计算机安全保护屏障，从而不能广泛传播。

计算机病毒检测的方法主要有比较法、搜索法和分析法，具体工具有病毒扫描程序、完整性检查程序和行为封锁软件；计算机病毒的防治主要有建立程序的特征值档案、严格的内存管理和中断向量管理；计算机感染病毒后的恢复主要是防治和修复引导记录病毒、防治和修复可执行文件病毒。

7、简述病毒的作用机理。

答：（1）病毒的引导机理计算机的任何操作系统都有自举过程。

对于MS-DOS而言，当该操作系统在启动时，首先由系统调入引导扇区记录并执行之，然后将DOS调入内存。

某些攻击DOS操作系统类型的计算机病毒正是利用了这一点。

该病毒程序的引导模块率先将自身的程序代码引入并驻留在内存中。

病毒代码驻留内存的策略一般有两种，其一是通过程序驻留；其二是把病毒代码转移到内存高端并占用该范围的部分空间，以便病毒代码不被覆盖。

病毒的传染机理传染是病毒最本质的特征之一，是病毒的再生机制。

在单机环境下，计算机病毒的传染途径有：通过磁盘引导扇区进行传染。

通过操作系统文件进行传染。

通过应用文件进行传染。

在因特网中，通过电子邮件、Web页面进行传播的病毒已经是屡见不鲜的事实了。

基于计算机病毒技术的发展趋势，可以预料，通过电磁波进行传染的病毒也是有可能出现的。

并非一种病毒只能通过单一的传染途径进行传染，有的病毒还具有通过多种途径进行传染的能力。

病毒的破坏表现机理病毒程序的引导模块和传染模块是为破坏表现模块服务的。

破坏表现模块可以在第一次病毒代码加载时运行；也可能在第一次病毒代码加载时，只有引导模块引入内存，然后再通过触发某些中断机制而运行。

一般情况下，病毒是基于一个或若干个设定的破坏条件都满足的情况下才触发其破坏表现功能。

该破坏条件五花八门，可以是时间、日期；可以是文件名、文件扩展名；可以是人名、运行次数等。

8、简述防火墙的分类及其主要工作原理。

答：防火墙是指设置的不同网络之间、对网络进行相互安全隔离的部件或设施的组合。

其功能是，可以提高内部网络的安全；可以强化网络安全策略；可以对网络的存取和访问进行监控；可以防止内部信息的泄露。

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。

根据不同的技术实现，几种常见类型的防火墙工作原理如下：（1）包过滤型包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。

包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。

这样系统就具有很好的传输性能，可扩展能力强。

但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

（2）应用网关型应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机／服务器模式实现的。

每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

所以，应用网关防火墙具有可伸缩性差的缺点。

（3）代理型代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。

代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。

从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。

当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。

由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

（4）状态检测型状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

9、什么是入侵检测系统，试分析其结构和工作原理。

答：入侵检测是对网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。

入侵检测是指从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到攻击的迹象。

入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测的系统结构入侵检测的通用模式事件发生器可根据具体应用环境而有所不同，一般可来自审计记录、网络数据包以及其他可视行为。

这些事件构成了检测的基础。

行为特征表是整个检测系统的核心，它包含了用于计算用户行为特征的所有变量，这些变量可根据具体所采纳的统计方法以及事件记录中的具体动作模式而定义，并根据匹配上的记录数据更新变量值。

10、试比较防火墙和入侵检测系统。

答：所谓入侵检测其实就是指试图监视和尽可能阻止有害信息的入侵，或者其他能够对用户的系统和网络资源产生危害的行为。