【正文】 的事件日志（EventLog)，以及 其他文本文件的內(nèi)容做分析：當遇到違反掃描策略或發(fā)現(xiàn)已知安全漏洞時，提供及時的告警。告警可以采取多種方式，可 以是聲音、彈出窗口、電子郵件甚至手機短信等：產(chǎn)生分析報告，并告訴管理員如何彌補漏洞 xscan 掃描器的說法，正確的有 。，可以針對識別到的漏洞自動發(fā)起攻擊 CGI 和 RPC 漏洞，xscan 給出了相應(yīng)的漏洞描述以及已有的通過此漏洞進行攻擊的工具　， 是漏洞掃描器。 。 。 50 / 61 。 2022 年 3 月公布的《計算機病毒防治管理辦法》對計算機病毒的定義，下列屬于計算機病毒的有 。 Word 文檔攜帶的宏代碼，當打開此文檔時宏代碼會搜索并感染計算機上所有的 Word 文檔，當打開郵件附件時，郵件附件將自身發(fā)送給該用戶地址簿中前五 個郵件地址，如果該員工在一年內(nèi)被解雇則邏輯炸彈就會破壞系 統(tǒng)，并在其上安裝了一個后門程序 用戶打開了朋友發(fā)送來的一個鏈接后，發(fā)現(xiàn)每次有好友上線 都會自動發(fā)送一個攜帶該鏈接的消息 。 。 U 盤復(fù)制文件時屏幕上出現(xiàn) U 盤寫保護的提示 四、問答題 。答：創(chuàng)建一個防火墻策略的步驟如下：（1）識別確實必要的網(wǎng)絡(luò)應(yīng)用程序；（2）識別與應(yīng)用程序相關(guān)的脆弱性；（3）對應(yīng)用程序的保護方式進行成本—效益分析；（4）創(chuàng)建表示保護方式的應(yīng)用程序通信矩陣，并在應(yīng)用程序通信矩陣的基礎(chǔ)上建立防火墻規(guī)則集。 51 / 6外部網(wǎng)絡(luò)和 DMZ 之間的關(guān)系。答：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和 DMZ 的關(guān)系如下：（1）內(nèi)部網(wǎng)絡(luò)可以無限制地訪問外部網(wǎng)絡(luò)以及 DMZ；（2）外部網(wǎng)絡(luò)可以訪問 DMZ 的服務(wù)器的公開端口，如 Web 服務(wù)器的 80 端口；（3）外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)以及防火墻；（4）DMZ 不可以訪問內(nèi)部網(wǎng)絡(luò)，因為如果違背此策略，那么當入侵者攻陷 DMZ 時，就可以進一步攻陷內(nèi)部網(wǎng)絡(luò)的重要設(shè)備。 。答：防火墻環(huán)境構(gòu)建準則為：（1）保持簡單。KISS（KeepItSimpleandStupid）原則是防火墻環(huán)境設(shè)計者首先意識到的基本原則。從本質(zhì)上來說，越簡單的防火墻解決方案越安全，越容易管理。設(shè)計和功能上的復(fù)雜往往導(dǎo)致配置上的錯誤。（2）設(shè)備專用。不要把不是用來當做防火墻使用的設(shè)備當做防火墻使用。例如，路由器是被用來路由的，它的包過濾功能不是它的主要目的。在設(shè)計防火墻時，這些區(qū)別不應(yīng)該被忽視。只依靠路由器去提供防火墻功能是危險的，它們很容易被錯誤配置。與此類似的，也不應(yīng)該把交換機當做防火墻來使用。（3）深度防御。深度防御是指創(chuàng)建多層安全，而不是一層安全。聲名狼藉的馬其諾防線是一個不應(yīng)該在防火墻環(huán)境中犯的錯誤，即不要把所有的保護集中放置在一個防火墻上。應(yīng)在盡可能多的環(huán)境下安裝防火墻設(shè)備或開啟防火墻功能，在防火墻設(shè)備能被使用的地方使用防火墻設(shè)備，在路由器能被配置提供訪問控制和包過濾的情況下配置路由器的訪問控制和包過濾功能。假如一個服務(wù)器的操作系統(tǒng)能提供防火墻功能，那么就使用它。（4）注意內(nèi)部威脅。 ？各自的優(yōu)缺點分別是什么？答：入侵檢測技術(shù)可分為異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)兩類。異常入侵檢測技術(shù)（AnomalyDetection） ，也稱為基于行為的入侵檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況來檢測是否存在網(wǎng)絡(luò)入侵。異常入侵檢測的主要前提條件是入侵性活動作為異?；顒拥淖蛹?，而理想狀況是異?；顒蛹c入侵性活動集相等。在這種情況下，若能檢驗所有的異?；顒?，就能檢驗所有的入侵性活動。異常入侵檢測技術(shù)的核心問題是異常模型的建立?！　‘惓Ｈ肭謾z測技術(shù)的優(yōu)點是：（1）能夠檢測出使用新的網(wǎng)絡(luò)入侵方法的攻擊；（2）較少依賴于特定的主機操作系統(tǒng)?！　‘惓Ｈ肭謾z測技術(shù)的缺點是：（1）誤報率高；（2）行為模型建立困難；（3）難以對入侵行為進行分類和命名?！　≌`用入侵檢測技術(shù)（MisuseDetection ） ，也稱為基于特征（ Signature）的入侵檢測技術(shù)，根據(jù)已知的網(wǎng)絡(luò)攻擊方法或系統(tǒng)安全缺陷方面的知識，建立特征數(shù)據(jù)庫，然后在收集到的網(wǎng)絡(luò)活動中進行特征匹配來檢測是否存在網(wǎng)絡(luò)入侵。誤用入侵檢測技術(shù)的主要前提條件是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征。誤用入侵檢測技術(shù)的核心問題是網(wǎng)絡(luò)攻擊特征庫的建立以及后期的維護和更新。　　誤用入侵檢測技術(shù)的優(yōu)點是：（1）檢測準確度高；52 / 61（2）技術(shù)相對成熟；（3）便于進行系統(tǒng)防護?！　≌`用入侵檢測技術(shù)的缺點是：（1）不能檢測出新的網(wǎng)絡(luò)入侵方法的攻擊；（2）完全依賴于入侵特征的有效性；（3）維護特征庫的工作量巨大。 ？各自的優(yōu)點是什么？答：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署位置有以下幾種：（1）位于外部防火墻后面的 DMZ 區(qū)?！　MZ 區(qū)的部署點在 DMZ 區(qū)的入口上，這是入侵檢測系統(tǒng)最常見的部署位置。入侵檢測系統(tǒng)部署在這個位置可以檢測到所有針對企業(yè)向外提供服務(wù)的服務(wù)器進行的攻擊行為。對企業(yè)來說，防止對外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于DMZ 區(qū)中的各個服務(wù)器提供的服務(wù)有限，所以針對這些對外提供的服務(wù)進行入侵檢測，可以使入侵檢測系統(tǒng)發(fā)揮最大的優(yōu)勢，對進出的網(wǎng)絡(luò)數(shù)據(jù)進行分析。由于 DMZ 區(qū)中的服務(wù)器是外網(wǎng)可見的，因此，在這里的入侵檢測也是最為必要的?！　≡谠摬渴瘘c進行入侵檢測有以下優(yōu)點：，這些攻擊已經(jīng)滲入過企業(yè)的第一層防御體系；； 區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；，入侵檢測系統(tǒng)經(jīng)過正確的配置也可以從被攻擊主機的反饋中獲得受到攻擊的信息。（2）位于外部防火墻的外部。　　外網(wǎng)入口部署點位于防火墻之前，入侵檢測系統(tǒng)在這個部署點可以檢測所有進出防火墻外網(wǎng)口的數(shù)據(jù)。在這個位置上，入侵檢測器可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進行記錄，這些攻擊包括對內(nèi)部服務(wù)器的攻擊、對防火墻本身的攻擊以及內(nèi)網(wǎng)機器不正常的網(wǎng)絡(luò)通信行為。　　由于該部署點在防火墻之前，因此，入侵檢測系統(tǒng)將處理所有的進出數(shù)據(jù)。這種方式雖然對整體入侵行為記錄有幫助，但由于入侵檢測系統(tǒng)本身性能上的局限，在該點部署入侵檢測系統(tǒng)目前的效果并不理想。同時，對于進行網(wǎng)絡(luò)地址轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)來說，入侵檢測系統(tǒng)不能定位攻擊的源或目的地址，系統(tǒng)管理員在處理攻擊行為上存在一定的難度?！　≡谠摬渴瘘c進行入侵檢測有以下優(yōu)點：，并記錄最為原始的攻擊數(shù)據(jù)包；。（3）位于內(nèi)部網(wǎng)絡(luò)主干上。內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測系統(tǒng)主要檢測內(nèi)部網(wǎng)絡(luò)流出和經(jīng)過防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的通信。在這個位置，入侵檢測系統(tǒng)可以檢測所有通過防火墻進入的攻擊以及內(nèi)部網(wǎng)絡(luò)向外部的不正常操作，并且可以準確地定位攻擊的源和目的，方便系統(tǒng)管理員進行針對性的網(wǎng)絡(luò)管理。　　由于防火墻的過濾作用，防火墻已經(jīng)根據(jù)規(guī)則要求拋棄了大量的非法數(shù)據(jù)包。這樣就降低了通過入侵檢測系統(tǒng)的數(shù)據(jù)流量，使得入侵檢測系統(tǒng)能夠更有效地工作。當然，由于入侵檢測系統(tǒng)在防火墻的內(nèi)部，防火墻已經(jīng)根據(jù)規(guī)則要求阻斷了部分攻擊，所以入侵檢測系統(tǒng)并不能記錄下所有可能的入侵行為。在該部署點進行入侵檢測有以下優(yōu)點：；；53 / 61。（4）位于關(guān)鍵子網(wǎng)上?！　≡趦?nèi)部網(wǎng)絡(luò)中，總有一些子網(wǎng)因為存在關(guān)鍵性數(shù)據(jù)和服務(wù)，需要更嚴格的管理，如資產(chǎn)管理子網(wǎng)、財務(wù)子網(wǎng)、員工檔案子網(wǎng)等，這些子網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵子網(wǎng)?！　⊥ㄟ^對這些子網(wǎng)進行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護關(guān)鍵的網(wǎng)絡(luò)不會被外部或沒有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。由于關(guān)鍵子網(wǎng)位于內(nèi)部網(wǎng)絡(luò)的內(nèi)部，因此，流量相對要小一些，可以保證入侵檢測系統(tǒng)的有效檢測。在該部署點進行入侵檢測有以下優(yōu)點：；，獲取最高的使用價值。 IDS 和 IPS 的關(guān)系。答：IDS 和 IPS 的關(guān)系如下：（1）IPS 是 IDS 的發(fā)展方向之一；（2）IPS 和 IDS 在逐漸走向融合，UTM 就是一個很好的例子。 UTM 是未來網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展方向，它集成了具有主動響應(yīng)功能的入侵檢測系統(tǒng)和防火墻。 。答：基于網(wǎng)絡(luò)的漏洞掃描器，就是通過網(wǎng)絡(luò)來掃描遠程計算機中的漏洞。一般來說，可以將基于網(wǎng)絡(luò)的漏洞掃描工具看做為一種漏洞信息收集工具，它根據(jù)漏洞的不同特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個或多個目標服務(wù)器，以判斷某個特定的漏洞是否存在。基于網(wǎng)絡(luò)的漏洞掃描器包含網(wǎng)絡(luò)映射（NetworkMapping ）和端口掃描功能，一般由以下幾個部分組成：（1）漏洞數(shù)據(jù)庫模塊；（2）用戶配置控制臺模塊；（3）掃描引擎模塊；（4）當前活動的掃描知識庫模塊；（5）結(jié)果存儲器和報告生成工具。〖LM〗〖KG2〗。 。答：基于網(wǎng)絡(luò)的漏洞掃描器的不足之處有：（1）基于網(wǎng)絡(luò)的漏洞掃描器不能直接訪問目標設(shè)備的文件系統(tǒng)，不能檢測相關(guān)的一些漏洞；（2）基于網(wǎng)絡(luò)的漏洞掃描器不易穿過防火墻。只要防火墻不開放相關(guān)端口，掃描就不能進行。 。答：網(wǎng)絡(luò)隔離，主要是指把兩個或兩個以上的網(wǎng)絡(luò)通過物理設(shè)備隔離開來，使得在任何時刻、任何兩個網(wǎng)絡(luò)之間都不會存在物理連接。網(wǎng)絡(luò)隔離的關(guān)鍵在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過隔離設(shè)備在網(wǎng)絡(luò)之間不存在物理連接的前提下，完成網(wǎng)間的數(shù)據(jù)交換。由于物理連接不存在，所以雙方的數(shù)據(jù)交換不是直接的，而是要通過第三方“轉(zhuǎn)交” 。 ？答：計算機病毒的特征有：非法性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性。 。54 / 61答：文件型病毒和網(wǎng)絡(luò)蠕蟲病毒的區(qū)別如下：（1）文件型病毒需要通過受感染的宿主文件進行傳播，而網(wǎng)絡(luò)蠕蟲病毒不使用宿主文件即可在系統(tǒng)之間進行自我復(fù)制；（2）文件型病毒的傳染能力主要是針對計算機內(nèi)的文件系統(tǒng)而言，而網(wǎng)絡(luò)蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機；（3）網(wǎng)絡(luò)蠕蟲病毒比文件型病毒傳播速度更快、更具破壞性，它可以在很短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。 。答：特征代碼技術(shù)的工作原理是：通過檢查文件中是否含有病毒特征碼數(shù)據(jù)庫中的病毒特征代碼來檢測病毒。校驗和技術(shù)的工作原理是：計算正常文件內(nèi)容的校驗和，并將其寫入特定文件中保存。定期或者每次使用之前檢查文件內(nèi)容的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否已經(jīng)感染計算機病毒?！　√卣鞔a技術(shù)能夠發(fā)現(xiàn)已知病毒，并且能夠判斷是何種病毒；校驗和技術(shù)既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，但是它不能判斷到底是何種病毒。第七章 應(yīng)用安全 　　一、判斷題 ，其優(yōu)點是規(guī)則可以共享，因此它的推廣性很強。 言的真實地址。 可以判斷出電子郵件的確切來源，因此，可以降低垃圾郵件以及域名欺騙等行為發(fā)生的可能。 （DomainKeysIdentifiedMail）技術(shù)以和 DomainKeys 相同的方式用 DNS發(fā)布的公開密鑰驗證簽名，并且利用思科的標題簽名技術(shù)確保一致性。 。55 / 61 ，因此，各種反垃圾郵件的技術(shù)也都可以用來反網(wǎng)絡(luò)釣魚。 。 ，則證明這個網(wǎng)站不是仿冒的。8.錯 。 。 。 。 ，整合各種安全模塊成為信息安全領(lǐng)域的一個發(fā)展趨勢。 ，來嘗試檢測新形式和已知形式的非法內(nèi)容。 件。 ，可以從根本上解決垃圾郵件問題。 、自學習的能力，目前已經(jīng)得到了廣泛的應(yīng)用。 56 / 61，可以防止 SQL 注入攻擊。 二、單選題 。 。 　 。 。、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售、共 享、交換或者向通過上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件，向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件57 / 61，在互聯(lián)網(wǎng)電子郵件標題信息前部注明“廣告”或者“AD” 字樣 。 。 ，則應(yīng)采取 措施。 。 。 58 / 61 “刪除”操作去警告其他許多用戶的垃圾郵件過濾技術(shù)是 。 。 DNS 測試 。(Phishing)一詞，是“Fishing”和“Ph