【正文】 的事件日志（EventLog)，以及 其他文本文件的內(nèi)容做分析：當(dāng)遇到違反掃描策略或發(fā)現(xiàn)已知安全漏洞時(shí)，提供及時(shí)的告警。告警可以采取多種方式，可 以是聲音、彈出窗口、電子郵件甚至手機(jī)短信等：產(chǎn)生分析報(bào)告，并告訴管理員如何彌補(bǔ)漏洞 xscan 掃描器的說法，正確的有 。，可以針對識別到的漏洞自動(dòng)發(fā)起攻擊 CGI 和 RPC 漏洞，xscan 給出了相應(yīng)的漏洞描述以及已有的通過此漏洞進(jìn)行攻擊的工具　， 是漏洞掃描器。 。 。 50 / 61 。 2022 年 3 月公布的《計(jì)算機(jī)病毒防治管理辦法》對計(jì)算機(jī)病毒的定義，下列屬于計(jì)算機(jī)病毒的有 。 Word 文檔攜帶的宏代碼，當(dāng)打開此文檔時(shí)宏代碼會(huì)搜索并感染計(jì)算機(jī)上所有的 Word 文檔，當(dāng)打開郵件附件時(shí)，郵件附件將自身發(fā)送給該用戶地址簿中前五 個(gè)郵件地址，如果該員工在一年內(nèi)被解雇則邏輯炸彈就會(huì)破壞系 統(tǒng)，并在其上安裝了一個(gè)后門程序 用戶打開了朋友發(fā)送來的一個(gè)鏈接后，發(fā)現(xiàn)每次有好友上線 都會(huì)自動(dòng)發(fā)送一個(gè)攜帶該鏈接的消息 。 。 U 盤復(fù)制文件時(shí)屏幕上出現(xiàn) U 盤寫保護(hù)的提示 四、問答題 。答：創(chuàng)建一個(gè)防火墻策略的步驟如下：（1）識別確實(shí)必要的網(wǎng)絡(luò)應(yīng)用程序；（2）識別與應(yīng)用程序相關(guān)的脆弱性；（3）對應(yīng)用程序的保護(hù)方式進(jìn)行成本—效益分析；（4）創(chuàng)建表示保護(hù)方式的應(yīng)用程序通信矩陣，并在應(yīng)用程序通信矩陣的基礎(chǔ)上建立防火墻規(guī)則集。 51 / 6外部網(wǎng)絡(luò)和 DMZ 之間的關(guān)系。答：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和 DMZ 的關(guān)系如下：（1）內(nèi)部網(wǎng)絡(luò)可以無限制地訪問外部網(wǎng)絡(luò)以及 DMZ；（2）外部網(wǎng)絡(luò)可以訪問 DMZ 的服務(wù)器的公開端口，如 Web 服務(wù)器的 80 端口；（3）外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)以及防火墻；（4）DMZ 不可以訪問內(nèi)部網(wǎng)絡(luò)，因?yàn)槿绻`背此策略，那么當(dāng)入侵者攻陷 DMZ 時(shí)，就可以進(jìn)一步攻陷內(nèi)部網(wǎng)絡(luò)的重要設(shè)備。 。答：防火墻環(huán)境構(gòu)建準(zhǔn)則為：（1）保持簡單。KISS（KeepItSimpleandStupid）原則是防火墻環(huán)境設(shè)計(jì)者首先意識到的基本原則。從本質(zhì)上來說，越簡單的防火墻解決方案越安全，越容易管理。設(shè)計(jì)和功能上的復(fù)雜往往導(dǎo)致配置上的錯(cuò)誤。（2）設(shè)備專用。不要把不是用來當(dāng)做防火墻使用的設(shè)備當(dāng)做防火墻使用。例如，路由器是被用來路由的，它的包過濾功能不是它的主要目的。在設(shè)計(jì)防火墻時(shí)，這些區(qū)別不應(yīng)該被忽視。只依靠路由器去提供防火墻功能是危險(xiǎn)的，它們很容易被錯(cuò)誤配置。與此類似的，也不應(yīng)該把交換機(jī)當(dāng)做防火墻來使用。（3）深度防御。深度防御是指創(chuàng)建多層安全，而不是一層安全。聲名狼藉的馬其諾防線是一個(gè)不應(yīng)該在防火墻環(huán)境中犯的錯(cuò)誤，即不要把所有的保護(hù)集中放置在一個(gè)防火墻上。應(yīng)在盡可能多的環(huán)境下安裝防火墻設(shè)備或開啟防火墻功能，在防火墻設(shè)備能被使用的地方使用防火墻設(shè)備，在路由器能被配置提供訪問控制和包過濾的情況下配置路由器的訪問控制和包過濾功能。假如一個(gè)服務(wù)器的操作系統(tǒng)能提供防火墻功能，那么就使用它。（4）注意內(nèi)部威脅。 ？各自的優(yōu)缺點(diǎn)分別是什么？答：入侵檢測技術(shù)可分為異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)兩類。異常入侵檢測技術(shù)（AnomalyDetection） ，也稱為基于行為的入侵檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況來檢測是否存在網(wǎng)絡(luò)入侵。異常入侵檢測的主要前提條件是入侵性活動(dòng)作為異?；顒?dòng)的子集，而理想狀況是異?；顒?dòng)集與入侵性活動(dòng)集相等。在這種情況下，若能檢驗(yàn)所有的異?；顒?dòng)，就能檢驗(yàn)所有的入侵性活動(dòng)。異常入侵檢測技術(shù)的核心問題是異常模型的建立?！　‘惓Ｈ肭謾z測技術(shù)的優(yōu)點(diǎn)是：（1）能夠檢測出使用新的網(wǎng)絡(luò)入侵方法的攻擊；（2）較少依賴于特定的主機(jī)操作系統(tǒng)?！　‘惓Ｈ肭謾z測技術(shù)的缺點(diǎn)是：（1）誤報(bào)率高；（2）行為模型建立困難；（3）難以對入侵行為進(jìn)行分類和命名?！　≌`用入侵檢測技術(shù)（MisuseDetection ） ，也稱為基于特征（ Signature）的入侵檢測技術(shù)，根據(jù)已知的網(wǎng)絡(luò)攻擊方法或系統(tǒng)安全缺陷方面的知識，建立特征數(shù)據(jù)庫，然后在收集到的網(wǎng)絡(luò)活動(dòng)中進(jìn)行特征匹配來檢測是否存在網(wǎng)絡(luò)入侵。誤用入侵檢測技術(shù)的主要前提條件是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征。誤用入侵檢測技術(shù)的核心問題是網(wǎng)絡(luò)攻擊特征庫的建立以及后期的維護(hù)和更新?！　≌`用入侵檢測技術(shù)的優(yōu)點(diǎn)是：（1）檢測準(zhǔn)確度高；52 / 61（2）技術(shù)相對成熟；（3）便于進(jìn)行系統(tǒng)防護(hù)?！　≌`用入侵檢測技術(shù)的缺點(diǎn)是：（1）不能檢測出新的網(wǎng)絡(luò)入侵方法的攻擊；（2）完全依賴于入侵特征的有效性；（3）維護(hù)特征庫的工作量巨大。 ？各自的優(yōu)點(diǎn)是什么？答：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署位置有以下幾種：（1）位于外部防火墻后面的 DMZ 區(qū)。　　DMZ 區(qū)的部署點(diǎn)在 DMZ 區(qū)的入口上，這是入侵檢測系統(tǒng)最常見的部署位置。入侵檢測系統(tǒng)部署在這個(gè)位置可以檢測到所有針對企業(yè)向外提供服務(wù)的服務(wù)器進(jìn)行的攻擊行為。對企業(yè)來說，防止對外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于DMZ 區(qū)中的各個(gè)服務(wù)器提供的服務(wù)有限，所以針對這些對外提供的服務(wù)進(jìn)行入侵檢測，可以使入侵檢測系統(tǒng)發(fā)揮最大的優(yōu)勢，對進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析。由于 DMZ 區(qū)中的服務(wù)器是外網(wǎng)可見的，因此，在這里的入侵檢測也是最為必要的?！　≡谠摬渴瘘c(diǎn)進(jìn)行入侵檢測有以下優(yōu)點(diǎn)：，這些攻擊已經(jīng)滲入過企業(yè)的第一層防御體系；； 區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；，入侵檢測系統(tǒng)經(jīng)過正確的配置也可以從被攻擊主機(jī)的反饋中獲得受到攻擊的信息。（2）位于外部防火墻的外部?！　⊥饩W(wǎng)入口部署點(diǎn)位于防火墻之前，入侵檢測系統(tǒng)在這個(gè)部署點(diǎn)可以檢測所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)。在這個(gè)位置上，入侵檢測器可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進(jìn)行記錄，這些攻擊包括對內(nèi)部服務(wù)器的攻擊、對防火墻本身的攻擊以及內(nèi)網(wǎng)機(jī)器不正常的網(wǎng)絡(luò)通信行為?！　∮捎谠摬渴瘘c(diǎn)在防火墻之前，因此，入侵檢測系統(tǒng)將處理所有的進(jìn)出數(shù)據(jù)。這種方式雖然對整體入侵行為記錄有幫助，但由于入侵檢測系統(tǒng)本身性能上的局限，在該點(diǎn)部署入侵檢測系統(tǒng)目前的效果并不理想。同時(shí)，對于進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)來說，入侵檢測系統(tǒng)不能定位攻擊的源或目的地址，系統(tǒng)管理員在處理攻擊行為上存在一定的難度?！　≡谠摬渴瘘c(diǎn)進(jìn)行入侵檢測有以下優(yōu)點(diǎn)：，并記錄最為原始的攻擊數(shù)據(jù)包；。（3）位于內(nèi)部網(wǎng)絡(luò)主干上。內(nèi)網(wǎng)主干部署點(diǎn)是最常用的部署位置，在這里入侵檢測系統(tǒng)主要檢測內(nèi)部網(wǎng)絡(luò)流出和經(jīng)過防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的通信。在這個(gè)位置，入侵檢測系統(tǒng)可以檢測所有通過防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)絡(luò)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對性的網(wǎng)絡(luò)管理。　　由于防火墻的過濾作用，防火墻已經(jīng)根據(jù)規(guī)則要求拋棄了大量的非法數(shù)據(jù)包。這樣就降低了通過入侵檢測系統(tǒng)的數(shù)據(jù)流量，使得入侵檢測系統(tǒng)能夠更有效地工作。當(dāng)然，由于入侵檢測系統(tǒng)在防火墻的內(nèi)部，防火墻已經(jīng)根據(jù)規(guī)則要求阻斷了部分攻擊，所以入侵檢測系統(tǒng)并不能記錄下所有可能的入侵行為。在該部署點(diǎn)進(jìn)行入侵檢測有以下優(yōu)點(diǎn)：；；53 / 61。（4）位于關(guān)鍵子網(wǎng)上?！　≡趦?nèi)部網(wǎng)絡(luò)中，總有一些子網(wǎng)因?yàn)榇嬖陉P(guān)鍵性數(shù)據(jù)和服務(wù)，需要更嚴(yán)格的管理，如資產(chǎn)管理子網(wǎng)、財(cái)務(wù)子網(wǎng)、員工檔案子網(wǎng)等，這些子網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵子網(wǎng)?！　⊥ㄟ^對這些子網(wǎng)進(jìn)行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會(huì)被外部或沒有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。由于關(guān)鍵子網(wǎng)位于內(nèi)部網(wǎng)絡(luò)的內(nèi)部，因此，流量相對要小一些，可以保證入侵檢測系統(tǒng)的有效檢測。在該部署點(diǎn)進(jìn)行入侵檢測有以下優(yōu)點(diǎn)：；，獲取最高的使用價(jià)值。 IDS 和 IPS 的關(guān)系。答：IDS 和 IPS 的關(guān)系如下：（1）IPS 是 IDS 的發(fā)展方向之一；（2）IPS 和 IDS 在逐漸走向融合，UTM 就是一個(gè)很好的例子。 UTM 是未來網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展方向，它集成了具有主動(dòng)響應(yīng)功能的入侵檢測系統(tǒng)和防火墻。 。答：基于網(wǎng)絡(luò)的漏洞掃描器，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞。一般來說，可以將基于網(wǎng)絡(luò)的漏洞掃描工具看做為一種漏洞信息收集工具，它根據(jù)漏洞的不同特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個(gè)或多個(gè)目標(biāo)服務(wù)器，以判斷某個(gè)特定的漏洞是否存在。基于網(wǎng)絡(luò)的漏洞掃描器包含網(wǎng)絡(luò)映射（NetworkMapping ）和端口掃描功能，一般由以下幾個(gè)部分組成：（1）漏洞數(shù)據(jù)庫模塊；（2）用戶配置控制臺(tái)模塊；（3）掃描引擎模塊；（4）當(dāng)前活動(dòng)的掃描知識庫模塊；（5）結(jié)果存儲(chǔ)器和報(bào)告生成工具。〖LM〗〖KG2〗。 。答：基于網(wǎng)絡(luò)的漏洞掃描器的不足之處有：（1）基于網(wǎng)絡(luò)的漏洞掃描器不能直接訪問目標(biāo)設(shè)備的文件系統(tǒng)，不能檢測相關(guān)的一些漏洞；（2）基于網(wǎng)絡(luò)的漏洞掃描器不易穿過防火墻。只要防火墻不開放相關(guān)端口，掃描就不能進(jìn)行。 。答：網(wǎng)絡(luò)隔離，主要是指把兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)通過物理設(shè)備隔離開來，使得在任何時(shí)刻、任何兩個(gè)網(wǎng)絡(luò)之間都不會(huì)存在物理連接。網(wǎng)絡(luò)隔離的關(guān)鍵在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過隔離設(shè)備在網(wǎng)絡(luò)之間不存在物理連接的前提下，完成網(wǎng)間的數(shù)據(jù)交換。由于物理連接不存在，所以雙方的數(shù)據(jù)交換不是直接的，而是要通過第三方“轉(zhuǎn)交” 。 ？答：計(jì)算機(jī)病毒的特征有：非法性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性。 。54 / 61答：文件型病毒和網(wǎng)絡(luò)蠕蟲病毒的區(qū)別如下：（1）文件型病毒需要通過受感染的宿主文件進(jìn)行傳播，而網(wǎng)絡(luò)蠕蟲病毒不使用宿主文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制；（2）文件型病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而網(wǎng)絡(luò)蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)；（3）網(wǎng)絡(luò)蠕蟲病毒比文件型病毒傳播速度更快、更具破壞性，它可以在很短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。 。答：特征代碼技術(shù)的工作原理是：通過檢查文件中是否含有病毒特征碼數(shù)據(jù)庫中的病毒特征代碼來檢測病毒。校驗(yàn)和技術(shù)的工作原理是：計(jì)算正常文件內(nèi)容的校驗(yàn)和，并將其寫入特定文件中保存。定期或者每次使用之前檢查文件內(nèi)容的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否已經(jīng)感染計(jì)算機(jī)病毒?！　√卣鞔a技術(shù)能夠發(fā)現(xiàn)已知病毒，并且能夠判斷是何種病毒；校驗(yàn)和技術(shù)既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，但是它不能判斷到底是何種病毒。第七章 應(yīng)用安全 　　一、判斷題 ，其優(yōu)點(diǎn)是規(guī)則可以共享，因此它的推廣性很強(qiáng)。 言的真實(shí)地址。 可以判斷出電子郵件的確切來源，因此，可以降低垃圾郵件以及域名欺騙等行為發(fā)生的可能。 （DomainKeysIdentifiedMail）技術(shù)以和 DomainKeys 相同的方式用 DNS發(fā)布的公開密鑰驗(yàn)證簽名，并且利用思科的標(biāo)題簽名技術(shù)確保一致性。 。55 / 61 ，因此，各種反垃圾郵件的技術(shù)也都可以用來反網(wǎng)絡(luò)釣魚。 。 ，則證明這個(gè)網(wǎng)站不是仿冒的。8.錯(cuò) 。 。 。 。 ，整合各種安全模塊成為信息安全領(lǐng)域的一個(gè)發(fā)展趨勢。 ，來嘗試檢測新形式和已知形式的非法內(nèi)容。 件。 ，可以從根本上解決垃圾郵件問題。 、自學(xué)習(xí)的能力，目前已經(jīng)得到了廣泛的應(yīng)用。 56 / 61，可以防止 SQL 注入攻擊。 二、單選題 。 。 　 。 。、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售、共 享、交換或者向通過上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件，向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件57 / 61，在互聯(lián)網(wǎng)電子郵件標(biāo)題信息前部注明“廣告”或者“AD” 字樣 。 。 ，則應(yīng)采取 措施。 。 。 58 / 61 “刪除”操作去警告其他許多用戶的垃圾郵件過濾技術(shù)是 。 。 DNS 測試 。(Phishing)一詞，是“Fishing”和“Ph