【正文】 GIDO（統(tǒng)一入侵檢測(cè)對(duì)象）,并將產(chǎn)生的新GIDO（統(tǒng)一入侵檢測(cè)對(duì)象）再傳送給其他組件，用于對(duì)獲取的事件信息進(jìn)行分析，從而判斷是否有入侵行為發(fā)生并檢測(cè)出具體的攻擊手段。(3) 響應(yīng)單元（Response Units），即響應(yīng)控制子系統(tǒng)。響應(yīng)單元處理收到GIDO（統(tǒng)一入侵檢測(cè)對(duì)象）,用以向系統(tǒng)管理員報(bào)告分析結(jié)果并采取適當(dāng)?shù)南鄳?yīng)策略以響應(yīng)入侵行為。(4) 事件數(shù)據(jù)庫(kù)（Event Databases），即數(shù)據(jù)庫(kù)子系統(tǒng)，用來(lái)存儲(chǔ)系統(tǒng)運(yùn)行的中間數(shù)據(jù)并進(jìn)行規(guī)則匹配的安全知識(shí)庫(kù)。，入侵檢測(cè)系統(tǒng)有哪些類型？各有何優(yōu)缺點(diǎn)？答：根據(jù)系統(tǒng)所檢測(cè)的對(duì)象分類：基于主機(jī)的入侵檢測(cè)系統(tǒng)（Hostbased IDS，HIDS）、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Networkbased IDS，NIDS）和混合入侵檢測(cè)系統(tǒng)（Hybrid IDS，混合IDS）。HIDS的優(yōu)點(diǎn)是：主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息；HIDS通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低；HIDS可部署在那些不需要使用入侵檢測(cè)、傳感器與控制臺(tái)之間通信帶寬不足的情況；HIDS在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。HIDS缺點(diǎn)有：HIDS安裝在我們需要保護(hù)的設(shè)備上；HIDS依賴于服務(wù)器固有的日志與監(jiān)視能力；全面部署HIDS代價(jià)較大；HIDS除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況；對(duì)入侵行為分析的工作量將隨著主機(jī)數(shù)目增加而增加。NIDS的優(yōu)點(diǎn)是： NIDS能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超出授權(quán)的非法訪問(wèn)；一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置； NIDS發(fā)生了故障也不會(huì)影響正常業(yè)務(wù)的運(yùn)行；NIDS安裝方便。NIDS的缺點(diǎn)有：NIDS只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包；NIDS很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)；NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，從而影響網(wǎng)絡(luò)的速度；NIDS處理加密的會(huì)話過(guò)程較困難?；旌螴DS是綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。雖然這種解決方案覆蓋面極大，但是產(chǎn)生的數(shù)據(jù)量和費(fèi)用將是巨大的。，入侵檢測(cè)系統(tǒng)有哪些類型？各有何優(yōu)缺點(diǎn)？答：根據(jù)數(shù)據(jù)分析方法分類，入侵檢測(cè)系統(tǒng)有基于異常檢測(cè)（Anomaly detection）的入侵檢測(cè)系統(tǒng)和基于誤用檢測(cè)（Misuse detection）的入侵檢測(cè)系統(tǒng)?；诋惓z測(cè)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)是：因?yàn)槭腔谛袨榈?，可以檢測(cè)到新型的入侵方式；不存在入侵特征庫(kù)，避免了繁瑣費(fèi)時(shí)的搜索匹配工作。缺點(diǎn)是：閾值設(shè)置困難，活動(dòng)文檔需要常常維護(hù)更新，異常檢測(cè)器容易導(dǎo)致計(jì)算開銷增大。基于誤用檢測(cè)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)有：能準(zhǔn)確檢測(cè)出入侵特征庫(kù)中已定義好的入侵，不會(huì)產(chǎn)生太多的誤報(bào)；檢測(cè)結(jié)果清晰，對(duì)入侵事件有準(zhǔn)確的定位；升級(jí)維護(hù)方便。缺點(diǎn)是：對(duì)于未被編碼的入侵行為它是檢測(cè)不到的，即只能檢測(cè)出已知的入侵，而對(duì)未知的可能入侵是無(wú)能為力的；容易產(chǎn)生漏報(bào)；入侵特征庫(kù)存在難以管理和搜索的效率問(wèn)題。？答：入侵檢測(cè)系統(tǒng)有哪些分析方法有：簡(jiǎn)單模式匹配、專家系統(tǒng)、狀態(tài)轉(zhuǎn)移分析、統(tǒng)計(jì)分析、人工免疫、遺傳算法、人工神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘和協(xié)議分析和狀態(tài)協(xié)議分析技術(shù)等。？答：CIDF的規(guī)格文檔由4部分組成:體系結(jié)構(gòu)（The Common Intrusion Detection Framework Architecture）、通訊機(jī)制（Communication in the Common Intrusion Detection Framework）、描述語(yǔ)言（A Common Intrusion Specification Language）、應(yīng)用編程接口API（Common Intrusion Detection Framework APIs）。答：Snort由數(shù)據(jù)包解碼器、檢測(cè)引擎和日志/ 報(bào)警子系統(tǒng)三部分組成。 Snort的入侵檢測(cè)流程分為兩步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；第二步是使用這些規(guī)則進(jìn)行匹配流程。答：(1) 誤報(bào)和漏報(bào) (2) 隱私和安全 (3) 被動(dòng)分析與主動(dòng)發(fā)現(xiàn) (4) 沒(méi)有統(tǒng)一的測(cè)試評(píng)估標(biāo)準(zhǔn)？答：(1) 入侵檢測(cè)產(chǎn)品是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證 (2) 入侵檢測(cè)產(chǎn)品結(jié)構(gòu)是否合理(3) 入侵檢測(cè)產(chǎn)品的易用性和可擴(kuò)展性(4) 入侵檢測(cè)產(chǎn)品的檢測(cè)能力和響應(yīng)能力(5) 入侵檢測(cè)產(chǎn)品自身的保護(hù)能力第10章 操作系統(tǒng)安全技術(shù)習(xí)題參考答案1. 操作系統(tǒng)的安全機(jī)制有哪些？答：操作系統(tǒng)的安全機(jī)制有：（1）硬件安全機(jī)制（2）標(biāo)識(shí)與鑒別（3）訪問(wèn)控制（4）最小特權(quán)管理（5）可信通路（6）隱蔽通道(7) 安全審計(jì)2. 訪問(wèn)控制包括哪兩種方式？訪問(wèn)方式通常包括自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制兩種方式。自主訪問(wèn)控制是指主體對(duì)客體的訪問(wèn)權(quán)限只能由客體的宿主或超級(jí)用戶決定或更改。強(qiáng)制訪問(wèn)控制是由專門的安全管理員按照一定的規(guī)則分別對(duì)操作系統(tǒng)中的主體和客體作相應(yīng)的安全標(biāo)記，而且基于特定的強(qiáng)制訪問(wèn)規(guī)則來(lái)決定是否允許訪問(wèn)。3. 什么是安全審計(jì)？安全審計(jì)是對(duì)操作系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。它是一種事后追查的安全機(jī)制，其主要目標(biāo)是檢測(cè)和判定非法用戶對(duì)系統(tǒng)的滲透或入侵，識(shí)別誤操作并記錄進(jìn)程基于特定安全級(jí)活動(dòng)的詳細(xì)情況，并顯示合法用戶的誤操作。安全審計(jì)為操作系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和證據(jù)支持，以備在違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)、過(guò)程和責(zé)任人。４．Windows操作系統(tǒng)的安全機(jī)制有哪些？答：Windows操作系統(tǒng)的安全機(jī)制有：（1）活動(dòng)目錄服務(wù)（2）Kerberos協(xié)議（3）PKI（4）智能卡 （5）加密文件系統(tǒng)（6）安全配置模板（7）安全賬號(hào)管理器。５．操作系統(tǒng)常規(guī)的安全配置包括哪些方面？答：操作系統(tǒng)常規(guī)的安全配置包括以下五個(gè)方面：（1）停用Guest賬號(hào)、限制用戶數(shù)量；（2）創(chuàng)建多個(gè)管理員賬號(hào)、管理員賬號(hào)重命名；（3）創(chuàng)建陷阱賬號(hào)、更改默認(rèn)權(quán)限、設(shè)置安全密碼；（4）設(shè)置屏幕保護(hù)密碼、使用NTFS分區(qū)；（5）安裝防病毒軟件、確保備份資料盤的安全。６．如何配置操作系統(tǒng)的安全策略？答：（1）配置操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)；（2）關(guān)閉不必要的端口、開啟審核策略；（3）開啟密碼策略、開啟賬戶策略、備份敏感數(shù)據(jù)文件；（4）不顯示上次登陸用戶名、禁止建立空連接。7. 簡(jiǎn)述對(duì)操作系統(tǒng)安全的理解和認(rèn)識(shí)。答案（略）：提示：可從操作系統(tǒng)安全機(jī)制和安全配置等方面來(lái)探討操作系統(tǒng)的安全。第11章 數(shù)據(jù)庫(kù)系統(tǒng)安全習(xí)題參考答案：1. 數(shù)據(jù)庫(kù)安全包括哪些方面？答：數(shù)據(jù)庫(kù)系統(tǒng)安全包含系統(tǒng)運(yùn)行安全和系統(tǒng)信息安全兩層含義。系統(tǒng)運(yùn)行安全指法律、政策的保護(hù)，如用戶是否具有合法權(quán)利等；物理控制安全，如機(jī)房加鎖等；硬件運(yùn)行安全；操作系統(tǒng)安全；災(zāi)害、故障恢復(fù)；電磁信息泄漏的預(yù)防。系統(tǒng)信息安全指用戶口令認(rèn)證；用戶存取權(quán)限控制；數(shù)據(jù)存取權(quán)限、存取方式控制、審計(jì)跟蹤和數(shù)據(jù)加密。2. 數(shù)據(jù)庫(kù)安全的重要性有哪些？答：數(shù)據(jù)庫(kù)安全的重要性有：(1) 保護(hù)敏感信息和數(shù)據(jù)資產(chǎn)(2) 數(shù)據(jù)庫(kù)安全漏洞的威脅(3) 數(shù)據(jù)庫(kù)是電子商務(wù)、ERP系統(tǒng)和其它重要的商業(yè)系統(tǒng)的基礎(chǔ)3. 數(shù)據(jù)庫(kù)有哪幾個(gè)方面的安全需求?答：數(shù)據(jù)庫(kù)有以下七個(gè)方面的安全需求：（1）物理上數(shù)據(jù)庫(kù)的完整性。預(yù)防數(shù)據(jù)庫(kù)中數(shù)據(jù)物理方面的問(wèn)題：如突然斷電以及被災(zāi)害破壞后能重構(gòu)數(shù)據(jù)庫(kù)。（2）邏輯上數(shù)據(jù)庫(kù)的完整性。保持?jǐn)?shù)據(jù)庫(kù)中數(shù)據(jù)的結(jié)構(gòu)，比如：一個(gè)字段的修改不至于影響其他字段。（3）元素的完整性。保證包含在每個(gè)元素中的數(shù)據(jù)是準(zhǔn)確的。（4）可審計(jì)性。能夠追蹤到誰(shuí)訪問(wèn)、誰(shuí)修改過(guò)數(shù)據(jù)元素。（5）訪問(wèn)控制。只允許用戶訪問(wèn)被授權(quán)訪問(wèn)的數(shù)據(jù)，不同的用戶有不同的訪問(wèn)模式，如讀或?qū)?。?）用戶認(rèn)證。確保每個(gè)用戶被正確地識(shí)別，這樣既便于審計(jì)追蹤也能限制對(duì)特定數(shù)據(jù)的訪問(wèn)。（7）可用性。用戶一般可以訪問(wèn)數(shù)據(jù)庫(kù)以及所有被授權(quán)訪問(wèn)的數(shù)據(jù)。4. 數(shù)據(jù)庫(kù)有哪些安全威脅？答：數(shù)據(jù)庫(kù)的安全威脅有：（1）硬件故障引起的信息破壞或丟失。如存儲(chǔ)設(shè)備的損壞、系統(tǒng)突然斷電等造成信息的丟失或破壞。（2）軟件保護(hù)失效造成的信息泄露。如操作系統(tǒng)漏洞、缺少存儲(chǔ)控制機(jī)制或破壞了存儲(chǔ)控制機(jī)制而造成信息的泄露。（3）應(yīng)用程序設(shè)計(jì)出現(xiàn)漏洞。如被黑客利用安裝了木馬程序。（4）計(jì)算機(jī)病毒入侵系統(tǒng)，造成信息的泄露、丟失或破壞。（5）計(jì)算機(jī)放置在不安全的場(chǎng)所被竊聽。（6）授權(quán)者制定了不正確或不安全的防護(hù)策略。（7）數(shù)據(jù)錯(cuò)誤輸入或處理錯(cuò)誤。例如準(zhǔn)備輸入的數(shù)據(jù)在輸入前被修改、機(jī)密數(shù)據(jù)在輸入前被泄密。（8）非授權(quán)用戶的非法存取或授權(quán)用戶的越權(quán)存取。5. 數(shù)據(jù)庫(kù)安全策略包括哪幾種？答：數(shù)據(jù)庫(kù)的安全策略有以下8類：（1）最小特權(quán)策略。（2）最大共享策略。（3）粒度適當(dāng)策略。（4）按內(nèi)容存取控制策略。（5）開系統(tǒng)和閉系統(tǒng)策略。（6）按存取類型控制策略。（7）按上下文存取控制策略。（8）根據(jù)歷史存取控制策略。6. 比較庫(kù)內(nèi)加密與庫(kù)外加密的優(yōu)缺點(diǎn)。答：庫(kù)內(nèi)加密的優(yōu)點(diǎn)是加密功能強(qiáng)，與庫(kù)外加密方式相比，它的加密功能集成了DBMS原有的功能。此外，對(duì)于數(shù)據(jù)庫(kù)應(yīng)用來(lái)說(shuō)，庫(kù)內(nèi)加密方式是完全透明的，可以直接使用。庫(kù)內(nèi)加密的缺點(diǎn)主要有：（1）對(duì)數(shù)據(jù)庫(kù)系統(tǒng)影響較大。DBMS除了完成正常的功能外，還要進(jìn)行加密/解密運(yùn)算，而加密/解密運(yùn)算在服務(wù)器端進(jìn)行，因此加重了數(shù)據(jù)庫(kù)服務(wù)的負(fù)擔(dān)。（2）密鑰管理安全風(fēng)險(xiǎn)大。由于加密密鑰通常與數(shù)據(jù)庫(kù)保存在一起，因此加密密鑰的安全保護(hù)依賴于DBMS中的訪問(wèn)控制機(jī)制。作為改進(jìn)，可以采用額外的硬件加密器保存密鑰。（3）加密功能依賴DBMS開發(fā)商的支持 DBMS通常只提供有限的加密算法與加密強(qiáng)度，因此自主性大大降低。庫(kù)外加密的密鑰管理比較簡(jiǎn)單，只需借用文件加密的密鑰管理方法即可。缺點(diǎn)是對(duì)數(shù)據(jù)庫(kù)的讀寫比較麻煩，每次都要進(jìn)行加密/解密的工作，對(duì)程序的編寫和讀寫數(shù)據(jù)庫(kù)的速度都會(huì)造成影響。7. 舉例說(shuō)明數(shù)據(jù)庫(kù)的分級(jí)密鑰管理方式。 答：目前研究和應(yīng)用比較多的是多級(jí)密鑰管理體制。在加密粒度為數(shù)據(jù)項(xiàng)的三級(jí)密鑰管理體制中，整個(gè)系統(tǒng)密鑰結(jié)構(gòu)由主密鑰、表密鑰和各個(gè)數(shù)據(jù)項(xiàng)密鑰組成。整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)有一個(gè)主密鑰，每個(gè)數(shù)據(jù)表有一個(gè)表密鑰。表密鑰被主密鑰加密后以密文形式保存在數(shù)據(jù)字典中，數(shù)據(jù)項(xiàng)密鑰由主密鑰及數(shù)據(jù)項(xiàng)所在的行、列 通過(guò)某種函數(shù)自動(dòng)生成。在多級(jí)密鑰體制中，主密鑰是加密子系統(tǒng)的關(guān)鍵，它的安全性在很大程度上決定了數(shù)據(jù)庫(kù)系統(tǒng)的安全性。8. 數(shù)據(jù)庫(kù)的恢復(fù)技術(shù)有哪些？答：數(shù)據(jù)庫(kù)的恢復(fù)還有技術(shù)有：(1)數(shù)據(jù)轉(zhuǎn)儲(chǔ) ；(2)登記日志文件。