【文章內容簡介】 后臺關掉其程序的運行。參考答案：錯誤6：[判斷題]CA機構能夠提供證書簽發(fā)、證書注銷、證書更新和信息加密功能 參考答案：錯誤7：[判斷題]我的公鑰證書是不能在網絡上公開的，否則其他人可能假冒我的身份或偽造我的數字簽名。參考答案：錯誤8：[判斷題]PKI證明實體的身份；而PMI證明實體具有什么權限，：正確9：[判斷題]使用最新版本的網頁瀏覽器軟件可以防御黑客攻擊。參考答案：錯誤10：[判斷題]電腦上安裝越多套防毒軟件，系統越安全 參考答案：錯誤11：[判斷題]開放性是UNIX系統的一大特點。參考答案：正確12：[判斷題]禁止使用活動腳本可以防范IE執(zhí)行本地任意程序。參考答案：錯誤13：[判斷題]用戶名或用戶帳號是所有計算機系統中最基本的安全形式。參考答案：正確14：[判斷題]WIN2000系統給NTFS格式下的文件加密，當系統被刪除，重新安裝后，原加密的文件就不能打開了。參考答案：正確15：[判斷題]我們通常使用SMTP協議用來接收EMAIL。參考答案：錯誤16：[判斷題]發(fā)送方使用AH協議處理數據包，需要對整個IP的數據包計算MAC，包括IP頭的所有字段和數據。參考答案：正確17：[判斷題]IPSec體系中，AH只能實現地址源發(fā)認證和數據完整性服務，ESP只能實現信息保密性數據加密服務。參考答案：錯誤18：[判斷題]SSL協議中多個會話（session）可以同時復用同一個連接（connection）的參數。參考答案：正確19：[判斷題]使用SSL安全機制可以確保數據傳輸的安全性，但是會影響系統的性能。參考答案：正確20：[判斷題]在SSL握手協議的過程中，ServerHello消息必須包含服務器的公鑰證書。參考答案：錯誤21：[判斷題]用戶名或用戶帳號是所有計算機系統中最基本的安全形式。參考答案：正確22：[判斷題]可以在局域網的網關處安裝一個病毒防火墻，從而解決整個局域網的防病毒問題。參考答案：錯誤23：[判斷題]非法訪問一旦突破數據包過濾型防火墻，即可對主機上的漏洞進行攻擊。參考答案：正確24：[判斷題]誤用檢測雖然比異常檢測的準確率高，但是不能檢測未知的攻擊類型。參考答案：正確25：[判斷題]可以在局域網的網關處安裝一個病毒防火墻，從而解決整個局域網的防病毒問題。參考答案：錯誤26：[判斷題]現代密碼體制把算法和密鑰分開，只需要保證密鑰的保密性就行了，算法是可以公開的。參考答案：正確27：[判斷題]端到端的加密設備可以把數據包中的網絡地址信息一起加密，從而抵御了流量分析類型的攻擊。參考答案：錯誤28：[判斷題]公開密鑰密碼體制比對稱密鑰密碼體制更為安全。參考答案：錯誤29：[判斷題]在公鑰密碼中，收信方和發(fā)信方使用的密鑰是相同的。參考答案：錯誤30：[判斷題]一個好的加密算法安全性依賴于密鑰安全性 參考答案：正確31：[判斷題]已知某應用程序感染了文件型病毒, 則該文件的大小變化情況一般是變小。參考答案：錯誤32：[判斷題]用直接偵聽、截獲信息、合法竊取、破譯分析、從遺棄的媒體分析獲取信息等手段竊取信息屬于主動攻擊。參考答案：錯誤33：[判斷題]計算機系統安全是指應用系統具備訪問控制機制，數據不被泄漏、丟失、篡改等 參考答案：錯誤第四次作業(yè)：名詞解釋：.為了防止對知識，事實，數據或者功能未經授權而是用，誤用，未經授權修改或者拒絕使用而采取的措施。，既信息在儲存或者傳輸過程中保持不被修改，不被破壞和丟失的特性。，通常人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染的計算機的數據，運行具有入侵性和破壞性的程序，破壞被感染的系統數據的安全性和完整性的目的。，或者語序黑客具有對系統的提升權限的過程，就是試圖在計算機內存空間中緩存過多的信息，原因是由于應用程序中存在漏洞，而在將用戶主句復制到另一個變量中時沒有檢查數據的復制量，可以通過檢查程序的源代碼發(fā)現。，預警，評估與響應的指揮控制系統，IDS從網絡或者主機獲取信息，然后依據現有知識對獲取的信息進行檢測，預警，評估并依據檢測結果做出響應的，從技術上分為異常檢測和誤用檢測，能證實信息是由發(fā)出方發(fā)出：任何人都不能偽造發(fā)出方的M的簽名：接收方收到的報文沒有被篡改過：假設發(fā)出方否認對信息M的簽名，可以通過第三方仲裁解決雙方間的爭議。：用戶行為是可預測的，遵循一致性模式，且用戶事件增加，異常檢測會適用的變化，異常檢測可發(fā)現未知的攻擊方法，體現了強健的保護機制，但是對于給定的度量計能否完備到所有異常的異常行為仍需要繼續(xù)研究。 ，但是解密速度較慢，對稱體制機密速度快，但是傳送困難。為了解決這一個問題，通常將兩者結合起來使用。即通過對稱機密體制加密數據，而收方用非對稱體制中的公開鑰DES秘鑰，在一起發(fā)送給接受者，接收者使用自己的私秘鑰解鎖，再使用DES秘鑰解密數據，這種技術稱為數字信封。，保護計算機資源的重要手段。，一個只要問題是對公開鑰匙的假冒，偽造篡改，為解決這一問題，通訊雙方可將公鑰提交給可信任的第三方進行驗證，并出具相應的證書，從而防止它人為公鑰進行偽造篡改，這一體制稱為CA認證，把網絡上的數據再傳輸達到安全的公共網絡地目的。特點是：通訊數據是經過加密的，遠程站點是經過認證的，可以使用多種協議，連接是點對點的。，用于適當的通訊通過，從而保護機構的網絡或者計算機系統。類型：應用層防火墻和數據包過濾防火墻。第五次作業(yè)：? ？。？。？其基本要求是什么？有哪些基本的數字簽名方法？。、ipconfig指令、netstat指令、net指令、Tracert和at指令的功能和用途。，各自目的是什么。，它們與TCP/IP協議的對應關系：網絡安全是指網絡系統的硬件,軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統連續(xù)可靠正常地運行,網絡服務不中斷。網絡安全的特征(1)保密性:信息不泄露給非授權的用戶,實體或過程,或供其利用的特性.(2)完整性:數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性.(3)可用性:可被授權實體訪問并按需求使用的特性,破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊.(4)可控性:對信息的傳播及內容具有控制能力.(5)不可否認性：保證信息行為人不能否認其信息行為。：(1)加密機制(enciphrement mechanisms)(2)數字簽名機制(digital signature mechanisms)(3)訪問控制機制(access control mechanisms)(4)數據完整性機制(data integrity mechanisms)(5)鑒別交換機制(authentication mechanisms)(6)通信業(yè)務填充機制(traffic padding mechanisms)(7)路由控制機制(routing control mechanisms)(8)公證機制(notarization mechanisms)：包過濾技術可以允許或不允許某些包在網絡上傳遞,它依據以下的判據據。(2)將包的源地址作為判據。(3)1)不讓任何用戶從外部網用Telnet登錄。(2)允許任1)將包的目的地址作為判何用戶使用SMTP往內部網發(fā)電子郵件。(3)：(1)傳統密碼體制中密鑰不能公開，且k1=k2，而公鑰體制中k1k2，且k1可以公開，而從k1無法得到有關k2的任何信息。(2)秘鑰的傳送上，傳統密鑰必須要傳送，而公開鑰不需要；(3)從數字簽名角度，對稱鑰困難，而公開鑰很容易；(4)加密速度上，對稱鑰快，而公開鑰慢；(5)用途上，對稱鑰主要是數據加密，公開鑰主要是數字簽名、密鑰分配加密。：(1)對任意長度的明文m，產生固定長度的哈希值h(m)；(2)對任意的明文m，哈希函數值h(m)可由硬件或軟件容易得到；(3)對任意哈希函數值x，要找到一個明文m與之對應，即x＝h(m)，在計算上不可行；(4)對一個明文m1，要找到另一個不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行；(5)要找到任意一對不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行。：Kerberos協議主要用于計算機網絡的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(ticketgranting ticket)訪問多個服務，即SSO(Single Sign On)。由于在每個Client和Service之間建立了共享密鑰，使得該協議具有相當的安全性。：(1)入侵檢測是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性的一種網絡安全技術。(2)它通過監(jiān)視受保護系統的狀態(tài)和活動，用采誤用檢測或異常檢測方式，發(fā)現非授權或惡意的系統及網絡行為，為防范入侵行為提供有效手段。(3)其應用前提是：入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為模式特征來判斷該行為的性質。(4)入侵檢測系統需要解決兩個問題：一是如何充分可靠地提取描述行為特征的數據，二是如何根據特征數據，高效并準確地判定行為的性質。：非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結合起來使用。即用對稱加密體制（如DES）加密數據，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數據。這種技術被稱為數字信封。：數字簽名是使以數字形式存儲的明文信息經過特定密碼變換生成密文，作為相應明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。對數字簽名的基本要求有：(1)簽名接收者能容易地驗證簽字者對消息所做的數字簽名；(2)任何人，包括簽名接收者，都不能偽造簽名者的簽字；(3)發(fā)生爭議時，可由第三方解決爭議。數字簽名基本分類：(1)直接數字簽名：僅涉及通信方(信源、信宿)，假定信宿知道信源的公開密鑰，數字簽名通過信源對整個報文用私有密鑰加密，或對報文的摘要加密來實現。弱點在于方案的有效性依賴于信源私有密鑰的安全性。(2)需仲裁的數字簽名：直接數字簽名的問題可以通過仲裁解決，簽名方的簽名報文首先送給仲裁者，仲裁者對報文和簽名進行測試以檢驗出處和內容，然后注上日期和仲裁說明后發(fā)給接收方。：這是數字簽名的新應用。首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新摘要，然后用簽發(fā)者的私鑰加密。任何一個消息接收者都可以驗證消息的真實性。驗證方法：給接收者發(fā)送信息時，同時發(fā)送另一條消息的摘要，接收者對消息生成摘要，將它和另一個摘要連接起來生成新摘要，如果它與解密后的雙重簽名相等，則可確定消息的真實性。：(1)操作系統的物理安全(2)保護Guest帳戶(3)**用戶數量(4)多個管理員賬號(5)管理員賬號改名(6)陷阱賬號(7)設置安全密碼(8)屏幕保護密碼(9)NTFS分區(qū)(10)安裝防毒軟件(11)關閉不必要的服務(12)關閉不必要的端口(13)開啟審核策略(14)開啟密碼策略(15)開啟賬戶策略(16)備份敏感文件(17)關閉默認共享(18)禁止TTL判斷主機類型 ：(1)ping指令，通過發(fā)送ICMP包來驗證與另一臺TCP/IP計算機的IP級連接，用于檢測網絡的連接性和可到達性。(2)ipconfig指令，顯示所有TCP/IP網絡配置信息、刷新動態(tài)主機配置協議(DHCP)和域名系統(DNS)設置。使用不帶參數的ipconfig可以顯示所有適配器的IP地址、子網掩碼和默認網關。(3)netstat指令，顯示活動的連接、計算機禁用詞語的端口、以太網統計信息、IP路由表、IPv4統計信息（IP、ICMP、TCP和UDP協議）。(4)net指令，功能非常的強大，net指令在網絡安全領域通常用來查看計算機上的用戶列表、添加和刪除用戶、和對方計算機建立連接、啟動或者停止某網絡服務等。(5)Tracert（跟蹤路由）指令，是路由跟蹤實用程序，用于確定IP數據報訪問目標所采取的路徑。Tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機到網絡上其他主機的路由。(6)AT命令，安排在特定日期和時間運行命令和程序。要使用AT命令，計劃服務必須已在運行中。：（1）過濾進、出網絡的數據：根據事先定義好的策略允許或禁止數據通信。（2）管理進、出網絡的訪問行為：通過將動態(tài)的、應用層的過濾能力和認證相結合，實現WWW、FTP、HTTP和Telnet等廣泛的服務支持。（3）封堵某些禁止的業(yè)務：利用防火墻對不安全服務進行了封堵。（4）記錄通過防火墻的信息內容和活動：提供審計功能。（5）對網絡攻擊檢測和告警。：（1）端口掃描：掌握系統**了哪些端口、提供了哪些網絡服務。（2）操作系統探測：操作系統漏洞總是與操作系統類型和版本相聯系，因此通過探測操作系統類型信息，從而知道有何種漏洞。（3）安全漏洞探測：發(fā)現系統中可能存在的安全漏洞。：應用層：S/MIMEPGPSET 會話層：SSL/TLS KERBEROS 網絡層：IPSEC第六次作業(yè)：假如你是單位WEB服務器管理員，試述你會采取哪些主要措施來保障WEB服務器安全。試述你是如何理解信息安全領域”三分技術，七分管理”這名話的。假如你是一個網絡管理員，請假定網絡場景，說明你會采取哪些措施來構建網絡安全體系，這些措施各有什么作用。試論述目前造成計算機網絡不安全的原因是什么?可采取哪些相應的安全措施？216。訪問控制（IP地址**、Windows帳戶、請求資源的Web權限、資源的NTFS權限）用虛擬目錄隱藏真實的網站結構；設置基于SSL的加密和證書服務，以保證傳輸安全； 完善定期審核機制； 安裝防火墻及殺毒軟件；及時安裝操作系統補丁，減少操作系統漏洞等等。雖然目前有眾多的安全產品，但沒有任何一種能提供全方位的解決方案。1)防病