【正文】 鑰確定了一組瀏覽器用戶最初信任的CA。盡管這組根密鑰可以被用戶修改，然而幾乎沒(méi)有普通用戶對(duì)于PKI和安全問(wèn)題能精通到可以進(jìn)行這種修改的程度。Web模型在方便性和簡(jiǎn)單互操作性方面有明顯的優(yōu)勢(shì),但是也存在一些安全隱患。(4) 在一般被稱作以用戶為中心的信任模型中，每個(gè)用戶都對(duì)決定信賴哪個(gè)證書和拒絕哪個(gè)證書直接完全地負(fù)責(zé)。在這個(gè)信任模型中，沒(méi)有專門的CA中心，每個(gè)用戶可以向他所信任的人簽發(fā)公鑰證書，通過(guò)這樣的方式建立一個(gè)信任網(wǎng)。因?yàn)橐蕾囉谟脩糇陨淼男袨楹蜎Q策能力，因此以用戶為中心的模型在技術(shù)水平較高和利害關(guān)系高度一致的群體中是可行的，但是在一般的群體（其用戶有極少或者沒(méi)有安全及PKI的概念）中是不現(xiàn)實(shí)的。這種模型一般不適合用在貿(mào)易、金融或政府環(huán)境中，因?yàn)樵谶@些環(huán)境下，通常希望或需要對(duì)用戶的信任實(shí)行某種控制，顯然這樣的信任策略在以用戶為中心的模型中是不可能實(shí)現(xiàn)的。 PKI可以提供哪些安全服務(wù)？答：PKI體系提供的安全服務(wù)功能，包括：身份認(rèn)證、完整性、機(jī)密性、不可否認(rèn)性、時(shí)間戳和數(shù)據(jù)的公正性服務(wù)。 ？答：。，并規(guī)定了實(shí)體認(rèn)證過(guò)程中廣泛適用的證書語(yǔ)法和數(shù)據(jù)接口。 ？答：通過(guò)發(fā)布證書撤銷列表（Certificate Revocation Lists，簡(jiǎn)稱CRL）確保必要時(shí)可以撤銷證書。對(duì)證書撤銷信息的查詢，也可以使用在線查詢方式。在線證書狀態(tài)協(xié)議（Online Certificate status Protocol，簡(jiǎn)稱OCSP）是IETF頒布的用于檢查數(shù)字證書在某一交易時(shí)間是否有效的標(biāo)準(zhǔn)，可以實(shí)時(shí)進(jìn)行這類檢查， 請(qǐng)具體描述給出PKI在網(wǎng)絡(luò)安全應(yīng)用中的位置及作用？答：PKI是利用公鑰密碼算法構(gòu)建的安全基礎(chǔ)設(shè)施，提供應(yīng)用層面的安全服務(wù)作為安全的基礎(chǔ)設(shè)施PKI需要提供的是基礎(chǔ)服務(wù)。安全基礎(chǔ)設(shè)施就是為整個(gè)應(yīng)用組織提供安全的基本框架，可以被組織中任何需要安全的應(yīng)用和對(duì)象使用。 對(duì)于使用公鑰/私鑰和證書等應(yīng)用中，比如在電子商務(wù)中對(duì)用戶身份的認(rèn)證，網(wǎng)上銀行客戶與銀行之間的認(rèn)證和交易簽名、電子郵件簽名、Web網(wǎng)站認(rèn)證等。PKI提供和證書相關(guān)的“透明”“無(wú)縫”的服務(wù)。PKI可以為上層應(yīng)用提供認(rèn)證性、保密性、數(shù)據(jù)完整性、不可否認(rèn)性等服務(wù)。 請(qǐng)給出案例，說(shuō)明基于PKI的SSL是如何工作的？答：在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立SSL連接，以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。利用PKI技術(shù)，SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信。此外服務(wù)器端和瀏覽器端通信時(shí)雙方可以通過(guò)數(shù)字證書的交互確認(rèn)對(duì)方的身份。基于PKI技術(shù)，結(jié)合SSL協(xié)議和數(shù)字證書，則可以保證Web交易多方面的安全需求，使Web上的交易和面對(duì)面的交易一樣安全?；贐/S結(jié)構(gòu)的應(yīng)用系統(tǒng)，客戶端通過(guò)HTTP協(xié)議或SSL協(xié)議進(jìn)入WebServer，使用WebServer兼做SSLserver。用戶使用的證書交給后臺(tái)的應(yīng)用服務(wù)器進(jìn)行解析，由應(yīng)用服務(wù)器轉(zhuǎn)向CA的LDAP目錄進(jìn)行查詢，同時(shí)CRL也在應(yīng)用服務(wù)器中存儲(chǔ)和查詢，對(duì)用戶的簽名的驗(yàn)證也是在應(yīng)用服務(wù)器中完成。這樣的應(yīng)用適合用戶量較少的情況。第9章?防火墻能防病毒嗎？答：防火墻是位于一個(gè)或多個(gè)安全的內(nèi)部網(wǎng)絡(luò)和非安全的外部網(wǎng)絡(luò)(如Internet)之間的進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的網(wǎng)絡(luò)設(shè)備（或系統(tǒng)）。防火墻的目的是防止不期望的或未授權(quán)的用戶和主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)正常、安全地運(yùn)行。防火墻可以防病毒，但不能防所有的病毒。答：防火墻的主要功能：①集中的安全管理。②安全警報(bào)。③重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換。④審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)及使用情況。⑤向外發(fā)布信息。答：根據(jù)物理特性，防火墻可分為兩大類：軟件防火墻和硬件防火墻。從結(jié)構(gòu)上又可分為單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻三種。按工作位置可分為邊界防火墻、個(gè)人防火墻和混合防火墻。按防火墻性能可分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。從實(shí)現(xiàn)技術(shù)上分，防火墻可分為兩大類技術(shù)：數(shù)據(jù)包過(guò)濾技術(shù)和代理服務(wù)。答：防火墻的局限性主要表現(xiàn)在以下幾個(gè)方面：①防火墻不能防范不經(jīng)由防火墻的攻擊和威脅。②不能防御已經(jīng)授權(quán)的訪問(wèn)，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊，不能防御合法用戶惡意的攻擊以及社交攻擊等非預(yù)期的威脅。③防火墻不能防止感染了病毒的軟件或文件的傳輸。④防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。⑤不能修復(fù)脆弱的管理措施和存在問(wèn)題的安全策略。？答：在大多數(shù)情況下，數(shù)據(jù)包過(guò)濾是用設(shè)置了過(guò)濾規(guī)則的路由器來(lái)實(shí)現(xiàn)的。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)了一個(gè)包過(guò)濾路由器，該路由器便從包首部截取特定信息，然后依據(jù)過(guò)濾規(guī)則判定該包是否可通過(guò)或丟棄。一般從包首部截取的信息有：源IP地址、目的IP地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)、ICMP信息類型、封裝協(xié)議信息（TCP，UDP，ICMP或IP隧道）等。？答：代理服務(wù)器在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它們將核實(shí)客戶請(qǐng)求，并經(jīng)過(guò)特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受該服務(wù)器的應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。，你將推薦哪種體系結(jié)構(gòu)的防火墻？答：屏蔽子網(wǎng)防火墻在所有不同類型的防火墻結(jié)構(gòu)中能夠提供最高級(jí)別的安全性能，所以選它。第10章？答：入侵檢測(cè)是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。（IDS）通常由哪幾個(gè)部分組成？答：一個(gè)入侵檢測(cè)系統(tǒng)通常由三個(gè)部分組成：①提供事件記錄流的信息資源；②發(fā)現(xiàn)入侵事件的分析引擎；③對(duì)分析引擎的輸出做出反應(yīng)的響應(yīng)組件。，入侵檢測(cè)系統(tǒng)可分為哪幾類？各有何特點(diǎn)？答：根據(jù)數(shù)據(jù)源的不同，通?？梢苑譃榛谥鳈C(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)三種?；谥鳈C(jī)的入侵檢測(cè)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)，并輔之以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等，在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲得必要的數(shù)據(jù)來(lái)源，并通過(guò)協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為的。分布式入侵檢測(cè)系統(tǒng)是能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)。答：在誤用檢測(cè)中，入侵過(guò)程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。通過(guò)事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。誤用檢測(cè)基于己知的系統(tǒng)缺陷和入侵模式，它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過(guò)度依賴事先定義好的安全策略，所以無(wú)法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏報(bào)。在異常檢測(cè)中，觀察到的不是己知的入侵行為，而是所研究的通信過(guò)程中的異?，F(xiàn)象，它通過(guò)檢測(cè)系統(tǒng)的行為或使用情況的變化來(lái)完成。通過(guò)建立正常輪廓，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?，并如何做出具體決策。異常檢測(cè)可以識(shí)別出那些與正常過(guò)程有較大偏差的行為，但無(wú)法知道具體的入侵情況。由于對(duì)各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強(qiáng)，且缺乏精確的判定準(zhǔn)則，異常檢測(cè)經(jīng)常會(huì)出現(xiàn)虛警情況，但可以檢測(cè)到系統(tǒng)未知的攻擊行為。？答：基于數(shù)據(jù)挖掘的異常檢測(cè)以數(shù)據(jù)為中心，把入侵檢測(cè)看成一個(gè)數(shù)據(jù)分析過(guò)程，利用數(shù)據(jù)挖掘的方法從審計(jì)數(shù)據(jù)或數(shù)據(jù)流中提取出感興趣的知識(shí)，這些知識(shí)是隱含的、事先未知的潛在有用信息，提取的知識(shí)表示為概念、規(guī)則、規(guī)律、模式等形式，并用這些知識(shí)去檢測(cè)異常入侵和已知的入侵。 簡(jiǎn)述入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的異同。答：IPS與IDS在檢測(cè)方面的原理相同，首先由信息采集模塊實(shí)施信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，然后利用模式匹配、協(xié)議分析、統(tǒng)計(jì)分析和完整性分析等技術(shù)手段，由信號(hào)分析模塊對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析；最后由反應(yīng)模塊對(duì)分析結(jié)果做出相應(yīng)的反應(yīng)。IPS與IDS主要的不同點(diǎn)有：（1）入侵檢測(cè)系統(tǒng)的功能是通過(guò)監(jiān)視網(wǎng)絡(luò)和系統(tǒng)中的數(shù)據(jù)流，檢測(cè)是否存在有違反安全策略的行為或企圖，若有則發(fā)出警報(bào)通知管理員采取措施；IPS能夠提供主動(dòng)性的防御，在遇到攻擊時(shí)能夠檢測(cè)并嘗試阻止入侵。（2）IPS串聯(lián)在網(wǎng)絡(luò)上，利用了OSI參考模型的所有七層信息，對(duì)攻擊進(jìn)行過(guò)濾，提供了一種主動(dòng)的、積極的入侵防范。而IDS只是旁路并聯(lián)安裝，檢測(cè)入侵行為。（3）IDS使用非確定性的方法從現(xiàn)在和歷史的通信流中查找威脅或者潛在的威脅，包括執(zhí)行通信流、通信模式和異常活動(dòng)的統(tǒng)計(jì)分析。IPS必須是確定性的，它所執(zhí)行的所有丟棄通信包的行為必須是正確的。 簡(jiǎn)述入侵防御系統(tǒng)的工作原理。答：IPS通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，數(shù)據(jù)流經(jīng)過(guò)IPS處理引擎進(jìn)行大規(guī)模并行深層檢測(cè)，檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。IPS 數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，里面包含許多種類的過(guò)濾器，每種過(guò)濾器采用并行處理檢測(cè)和協(xié)議重組分析的工作方式，分析相對(duì)類型的數(shù)據(jù)包，深層檢查數(shù)據(jù)包的內(nèi)容。當(dāng)數(shù)據(jù)流進(jìn)入IPS引擎之后，第1步，首先對(duì)每個(gè)數(shù)據(jù)包進(jìn)行逐一字節(jié)地檢查，異常的數(shù)據(jù)包被丟棄，通過(guò)檢查的數(shù)據(jù)包依據(jù)報(bào)頭信息，如源IP地址、目的IP地址、端口號(hào)和應(yīng)用域等進(jìn)行分類，并記錄數(shù)據(jù)流的狀態(tài)信息。第2步，根據(jù)數(shù)據(jù)包的分類，相關(guān)的過(guò)濾器進(jìn)行篩選，若任何數(shù)據(jù)包符合匹配條件，則標(biāo)志為命中。第3步，標(biāo)志為“命中”的數(shù)據(jù)包會(huì)被丟棄，檢測(cè)安全的數(shù)據(jù)包可以繼續(xù)前進(jìn)。第4步，命中數(shù)據(jù)包丟棄時(shí)，與之相關(guān)的流狀態(tài)信息也會(huì)被更新，指示IPS丟棄該流中其余的所有內(nèi)容。第11章？它基本分為哪些類型？答：根據(jù)分析計(jì)算機(jī)病毒的產(chǎn)生、傳播和破壞行為，可以將它的主要特征概括為：傳染性、潛伏性、隱蔽性、多態(tài)性和破壞性?；绢愋陀校焊腥疚募筒《?、感染引導(dǎo)區(qū)型病毒、宏病毒、惡作劇電子郵件和變形病毒等。？各個(gè)模塊是如何工作的？答：計(jì)算機(jī)病毒一般由三個(gè)模塊構(gòu)成：引導(dǎo)模塊、感染模塊和破壞模塊。引導(dǎo)模塊是計(jì)算機(jī)病毒的控制中心，當(dāng)程序開(kāi)始工作時(shí)將病毒程序從外存引入內(nèi)存，使病毒的感染模塊和破壞模塊處于活動(dòng)狀態(tài)，當(dāng)觸發(fā)條件滿足時(shí)，病毒會(huì)按照設(shè)計(jì)的程序去調(diào)用破壞模塊發(fā)動(dòng)攻擊。感染模塊是完成計(jì)算機(jī)病毒的擴(kuò)散功能。它尋找到感染目標(biāo)后，判斷目標(biāo)是否已被感染，若目標(biāo)未感染則完成感染工作。破壞模塊是計(jì)算機(jī)病毒的核心部分，它完成設(shè)計(jì)者的破壞初衷。首先判斷程序運(yùn)行過(guò)程中是否出現(xiàn)了滿足病毒觸發(fā)條件的情況，若滿足則調(diào)用破壞程序的功能，比如刪除程序，改寫磁盤上的文件內(nèi)容等。？它與一般計(jì)算機(jī)病毒之間的聯(lián)系和區(qū)別有哪些？答：蠕蟲病毒是自包含的程序(或是一套程序),它通常是經(jīng)過(guò)某種網(wǎng)絡(luò)連接將自身從一臺(tái)計(jì)算機(jī)分發(fā)到其他計(jì)算機(jī)系統(tǒng)中。蠕蟲病毒具有一般計(jì)算機(jī)病毒的一些共性，如感染性、隱蔽性、破壞性等，都攻擊計(jì)算機(jī)系統(tǒng)。蠕蟲病毒與一般計(jì)算機(jī)病毒不同的是，它利用計(jì)算機(jī)系統(tǒng)的漏洞主動(dòng)攻擊網(wǎng)絡(luò)計(jì)算機(jī)，傳播方式是采用網(wǎng)絡(luò)連接或電子郵件方式由一臺(tái)計(jì)算機(jī)自我復(fù)制到另外一臺(tái)計(jì)算機(jī)，不感染文件，而一般病毒必須以其他程序文件為宿主文件進(jìn)行依附感染和傳播。蠕蟲和一般病毒之間的區(qū)別蠕蟲一般病毒存在形式獨(dú)立程序寄生復(fù)制方式自我復(fù)制嵌入到宿主程序（文件）中感染方式主動(dòng)攻擊宿主程序運(yùn)行感染目標(biāo)網(wǎng)絡(luò)上其他計(jì)算機(jī)本地文件觸發(fā)感染程序自身計(jì)算機(jī)使用者影響重點(diǎn)網(wǎng)絡(luò)、系統(tǒng)性能文件系統(tǒng)用戶無(wú)關(guān)病毒傳播的關(guān)鍵環(huán)節(jié)防止措施為系統(tǒng)漏洞打補(bǔ)丁從宿主文件中清除？它是如何工作的？答：木馬是一種偽裝成正常程序的惡意代碼。木馬程序表面上看有用或無(wú)害，但卻包含了為完成特殊任務(wù)而編制的代碼，比如在系統(tǒng)中提供后門使黑客可以竊取數(shù)據(jù)、更改系統(tǒng)配置或?qū)嵤┢茐牡?，這些特殊功能處于隱蔽狀態(tài)，執(zhí)行時(shí)不為人知。從過(guò)程上看木馬入侵大致可分為六步： 1. 配置木馬，木馬配置程序?yàn)榱嗽诜?wù)端盡可能的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo)，捆綁文件等。另外木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址等。2. 傳播木馬，傳播方式主要有兩種：一種是通過(guò)EMAIL，另一種是軟件下載，打開(kāi)郵件或者下載后，只要運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。3. 運(yùn)行木馬，服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。安裝后就可以啟動(dòng)木馬了。 4. 信息泄露，木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò)EMAIL，IRC或ICO的方式告知控制端用戶。 5. 建立連接，在服務(wù)端已安裝了木馬程序和控制端，服務(wù)端都要在線的情況下，控制端可以通過(guò)木馬端口與服務(wù)端建立連接。 6. 遠(yuǎn)程控制，木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道?？刂贫松系目刂贫顺绦蚩山暹@條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。？蠕蟲和木馬是如何防治的？答：計(jì)算機(jī)病毒的防治技術(shù)大致可以分為三個(gè)方面：預(yù)防病毒、檢測(cè)病毒和清除病毒。對(duì)于蠕蟲的防治可以采用以下主要措施：(1)修補(bǔ)系統(tǒng)漏洞及時(shí)下載系統(tǒng)漏洞補(bǔ)丁程序，并及時(shí)升級(jí)系統(tǒng)；(2)設(shè)置防火墻：禁止除服務(wù)端口外的其它端口，切斷蠕蟲的傳輸通道和通信通道；(3)對(duì)郵件進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播；(4)建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)包括各種操作系統(tǒng)補(bǔ)丁程序升級(jí)、各種常用的應(yīng)用軟件升級(jí)、各種殺毒軟件病毒庫(kù)的升級(jí)等等；(5)建立災(zāi)難備份系統(tǒng)對(duì)于數(shù)據(jù)庫(kù)和數(shù)據(jù)系統(tǒng)，必須采用定期備份、多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失；(6) 采用入侵檢測(cè)技術(shù)：入侵檢測(cè)是一種主動(dòng)防御網(wǎng)絡(luò)攻擊的技術(shù)，不僅能主動(dòng)監(jiān)控外網(wǎng)的攻擊還能監(jiān)控來(lái)自內(nèi)部的攻擊，彌補(bǔ)了防火墻的不足。建立病毒檢測(cè)系統(tǒng)能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和蠕蟲攻擊，對(duì)感染蠕蟲的機(jī)器及時(shí)斷開(kāi)；(7)刪除蠕蟲要利用的程序：刪除或重命名客戶端上傳程序：如ftp．exe和fftp．exe；刪除或重命名命令解釋器：如Unix系統(tǒng)下的shell，Windows系統(tǒng)下的cmd．exe和WScript．exe等。普通木馬病毒入侵后手工清除的基本步驟為：（1）斷開(kāi)網(wǎng)絡(luò)。（2）檢查進(jìn)程，發(fā)現(xiàn)可疑的進(jìn)程立即殺掉。