【正文】 字母、數(shù)字、特殊字符中兩者以上的組合，而且口令必須加密存儲、加密傳輸，并且保證口令存放載體的物理安全。采用口令字進行身份鑒別，特定是成本低，實現(xiàn)容易，但使用管理很不方便，不宜記憶。采用“智能卡＋口令字”的方式進行身份鑒別，口令字長度4位即可，便于用戶使用，增加了身份鑒別的安全性和可靠性，但成本較高。一般涉密信息系統(tǒng)的身份鑒別大多采用這種方式。采用人的生理特征進行身份鑒別，其特點是成本高，安全性強。國家保密規(guī)定要求絕密級信息系統(tǒng)的身份鑒別應采用這種強認證方式。簡述WEB站點面臨的主要安全威脅。答：來自網(wǎng)絡上的安全威脅與攻擊多種多樣，依照Web訪問的結構，可將其分類為對Web服務器的安全威脅、對Web客戶機的安全威脅和對通信信道的安全威脅三類。（1）對Web服務器的安全威脅對于Web服務器、服務器的操作系統(tǒng)、數(shù)據(jù)庫服務器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮：（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。，保存的有價值信息（如商業(yè)機密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫安全配置不當，很容易泄密。，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。用CGI腳本編寫的程序中的自身漏洞。（2）對Web客戶機的安全威脅現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應用，活動內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁的活動內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對用戶透明的程序，它可以完成一些動作，顯示動態(tài)圖像、下載和播放音樂、視頻等。當用戶使用瀏覽器查看帶有活動內(nèi)容的網(wǎng)頁時，這些應用程序會自動下載并在客戶機上運行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機上的信息。主要用到Java Applet和ActiveX技術。Java Applet使用Java語言開發(fā)，隨頁面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制Java Applet的活動，它不會訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實上Java Applet存在安全漏洞，可能被利用進行破壞。ActiveX 是微軟的一個控件技術，它封裝由網(wǎng)頁設計者放在網(wǎng)頁中來執(zhí)行特定的任務的程序，可以由微軟支持的多種語言開發(fā)但只能運行在Windows平臺。ActiveX在安全性上不如Java Applet，一旦下載，能像其他程序一樣執(zhí)行，訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險的。Cookie 是Netscape公司開發(fā)的，用來改善HTTP的無狀態(tài)性。無狀態(tài)的表現(xiàn)使得制造像購物車這樣要在一定時間內(nèi)記住用戶動作的東西很難。Cookie實際上是一段小消息，在瀏覽器第一次連接時由HTTP服務器送到瀏覽器端，以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給Web服務器，服務器用這個Cookie來記憶用戶和維護一個跨多個頁面的過程影像。Cookie不能用來竊取關于用戶或用戶計算機系統(tǒng)的信息，它們只能在某種程度上存儲用戶的信息，如計算機名字、IP地址、瀏覽器名稱和訪問的網(wǎng)頁的URL等。所以，Cookie是相對安全的。（3)對通信信道的安全威脅Internet 是連接Web客戶機和服務器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在著對保密性的安全威脅。未經(jīng)授權的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對信息完整性的安全威脅。此外，還有像利用拒絕服務攻擊，向網(wǎng)站服務器發(fā)送大量請求造成主機無法及時響應而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道，使網(wǎng)絡的速度便緩慢。1：[判斷題]從網(wǎng)絡安全管理角度考慮，任何人不要長期擔任與安全有關的職務。參考答案：正確2：[判斷題]訪問控制是網(wǎng)絡防范和保護的主要策略。參考答案：正確3：[判斷題]密碼保管不善屬于操作失誤的安全隱患。參考答案：錯誤4：[判斷題]最小特權、縱深防御是網(wǎng)絡安全原則之一。參考答案：正確5：[判斷題]發(fā)現(xiàn)木馬，首先要在計算機的后臺關掉其程序的運行。參考答案：錯誤6：[判斷題]CA機構能夠提供證書簽發(fā)、證書注銷、證書更新和信息加密功能 參考答案：錯誤7：[判斷題]我的公鑰證書是不能在網(wǎng)絡上公開的，否則其他人可能假冒我的身份或偽造我的數(shù)字簽名。參考答案：錯誤8：[判斷題]PKI證明實體的身份；而PMI證明實體具有什么權限，：正確9：[判斷題]使用最新版本的網(wǎng)頁瀏覽器軟件可以防御黑客攻擊。參考答案：錯誤10：[判斷題]電腦上安裝越多套防毒軟件，系統(tǒng)越安全 參考答案：錯誤11：[判斷題]開放性是UNIX系統(tǒng)的一大特點。參考答案：正確12：[判斷題]禁止使用活動腳本可以防范IE執(zhí)行本地任意程序。參考答案：錯誤13：[判斷題]用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。參考答案：正確14：[判斷題]WIN2000系統(tǒng)給NTFS格式下的文件加密，當系統(tǒng)被刪除，重新安裝后，原加密的文件就不能打開了。參考答案：正確15：[判斷題]我們通常使用SMTP協(xié)議用來接收EMAIL。參考答案：錯誤16：[判斷題]發(fā)送方使用AH協(xié)議處理數(shù)據(jù)包，需要對整個IP的數(shù)據(jù)包計算MAC，包括IP頭的所有字段和數(shù)據(jù)。參考答案：正確17：[判斷題]IPSec體系中，AH只能實現(xiàn)地址源發(fā)認證和數(shù)據(jù)完整性服務，ESP只能實現(xiàn)信息保密性數(shù)據(jù)加密服務。參考答案：錯誤18：[判斷題]SSL協(xié)議中多個會話（session）可以同時復用同一個連接（connection）的參數(shù)。參考答案：正確19：[判斷題]使用SSL安全機制可以確保數(shù)據(jù)傳輸?shù)陌踩?，但是會影響系統(tǒng)的性能。參考答案：正確20：[判斷題]在SSL握手協(xié)議的過程中，ServerHello消息必須包含服務器的公鑰證書。參考答案：錯誤21：[判斷題]用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。參考答案：正確22：[判斷題]可以在局域網(wǎng)的網(wǎng)關處安裝一個病毒防火墻，從而解決整個局域網(wǎng)的防病毒問題。參考答案：錯誤23：[判斷題]非法訪問一旦突破數(shù)據(jù)包過濾型防火墻，即可對主機上的漏洞進行攻擊。參考答案：正確24：[判斷題]誤用檢測雖然比異常檢測的準確率高，但是不能檢測未知的攻擊類型。參考答案：正確25：[判斷題]可以在局域網(wǎng)的網(wǎng)關處安裝一個病毒防火墻，從而解決整個局域網(wǎng)的防病毒問題。參考答案：錯誤26：[判斷題]現(xiàn)代密碼體制把算法和密鑰分開，只需要保證密鑰的保密性就行了，算法是可以公開的。參考答案：正確27：[判斷題]端到端的加密設備可以把數(shù)據(jù)包中的網(wǎng)絡地址信息一起加密，從而抵御了流量分析類型的攻擊。參考答案：錯誤28：[判斷題]公開密鑰密碼體制比對稱密鑰密碼體制更為安全。參考答案：錯誤29：[判斷題]在公鑰密碼中，收信方和發(fā)信方使用的密鑰是相同的。參考答案：錯誤30：[判斷題]一個好的加密算法安全性依賴于密鑰安全性 參考答案：正確31：[判斷題]已知某應用程序感染了文件型病毒, 則該文件的大小變化情況一般是變小。參考答案：錯誤32：[判斷題]用直接偵聽、截獲信息、合法竊取、破譯分析、從遺棄的媒體分析獲取信息等手段竊取信息屬于主動攻擊。參考答案：錯誤33：[判斷題]計算機系統(tǒng)安全是指應用系統(tǒng)具備訪問控制機制，數(shù)據(jù)不被泄漏、丟失、篡改等 參考答案：錯誤第四次作業(yè)：名詞解釋：.為了防止對知識，事實，數(shù)據(jù)或者功能未經(jīng)授權而是用，誤用，未經(jīng)授權修改或者拒絕使用而采取的措施。，既信息在儲存或者傳輸過程中保持不被修改，不被破壞和丟失的特性。，通常人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染的計算機的數(shù)據(jù)，運行具有入侵性和破壞性的程序，破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。，或者語序黑客具有對系統(tǒng)的提升權限的過程，就是試圖在計算機內(nèi)存空間中緩存過多的信息，原因是由于應用程序中存在漏洞，而在將用戶主句復制到另一個變量中時沒有檢查數(shù)據(jù)的復制量，可以通過檢查程序的源代碼發(fā)現(xiàn)。，預警，評估與響應的指揮控制系統(tǒng)，IDS從網(wǎng)絡或者主機獲取信息，然后依據(jù)現(xiàn)有知識對獲取的信息進行檢測，預警，評估并依據(jù)檢測結果做出響應的，從技術上分為異常檢測和誤用檢測，能證實信息是由發(fā)出方發(fā)出：任何人都不能偽造發(fā)出方的M的簽名：接收方收到的報文沒有被篡改過：假設發(fā)出方否認對信息M的簽名，可以通過第三方仲裁解決雙方間的爭議。：用戶行為是可預測的，遵循一致性模式，且用戶事件增加，異常檢測會適用的變化，異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強健的保護機制，但是對于給定的度量計能否完備到所有異常的異常行為仍需要繼續(xù)研究。 ，但是解密速度較慢，對稱體制機密速度快，但是傳送困難。為了解決這一個問題，通常將兩者結合起來使用。即通過對稱機密體制加密數(shù)據(jù)，而收方用非對稱體制中的公開鑰DES秘鑰，在一起發(fā)送給接受者，接收者使用自己的私秘鑰解鎖，再使用DES秘鑰解密數(shù)據(jù)，這種技術稱為數(shù)字信封。，保護計算機資源的重要手段。，一個只要問題是對公開鑰匙的假冒，偽造篡改，為解決這一問題，通訊雙方可將公鑰提交給可信任的第三方進行驗證，并出具相應的證書，從而防止它人為公鑰進行偽造篡改，這一體制稱為CA認證，把網(wǎng)絡上的數(shù)據(jù)再傳輸達到安全的公共網(wǎng)絡地目的。特點是：通訊數(shù)據(jù)是經(jīng)過加密的，遠程站點是經(jīng)過認證的，可以使用多種協(xié)議，連接是點對點的。，用于適當?shù)耐ㄓ嵧ㄟ^，從而保護機構的網(wǎng)絡或者計算機系統(tǒng)。類型：應用層防火墻和數(shù)據(jù)包過濾防火墻。第五次作業(yè)：? ？。？。？其基本要求是什么？有哪些基本的數(shù)字簽名方法？。、ipconfig指令、netstat指令、net指令、Tracert和at指令的功能和用途。，各自目的是什么。，它們與TCP/IP協(xié)議的對應關系：網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件,軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全的特征(1)保密性:信息不泄露給非授權的用戶,實體或過程,或供其利用的特性.(2)完整性:數(shù)據(jù)未經(jīng)授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性.(3)可用性:可被授權實體訪問并按需求使用的特性,破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊.(4)可控性:對信息的傳播及內(nèi)容具有控制能力.(5)不可否認性：保證信息行為人不能否認其信息行為。：(1)加密機制(enciphrement mechanisms)(2)數(shù)字簽名機制(digital signature mechanisms)(3)訪問控制機制(access control mechanisms)(4)數(shù)據(jù)完整性機制(data integrity mechanisms)(5)鑒別交換機制(authentication mechanisms)(6)通信業(yè)務填充機制(traffic padding mechanisms)(7)路由控制機制(routing control mechanisms)(8)公證機制(notarization mechanisms)：包過濾技術可以允許或不允許某些包在網(wǎng)絡上傳遞,它依據(jù)以下的判據(jù)據(jù)。(2)將包的源地址作為判據(jù)。(3)1)不讓任何用戶從外部網(wǎng)用Telnet登錄。(2)允許任1)將包的目的地址作為判何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。(3)：(1)傳統(tǒng)密碼體制中密鑰不能公開，且k1=k2，而公鑰體制中k1k2，且k1可以公開，而從k1無法得到有關k2的任何信息。(2)秘鑰的傳送上，傳統(tǒng)密鑰必須要傳送，而公開鑰不需要；(3)從數(shù)字簽名角度，對稱鑰困難，而公開鑰很容易；(4)加密速度上，對稱鑰快，而公開鑰慢；(5)用途上，對稱鑰主要是數(shù)據(jù)加密，公開鑰主要是數(shù)字簽名、密鑰分配加密。：(1)對任意長度的明文m，產(chǎn)生固定長度的哈希值h(m)；(2)對任意的明文m，哈希函數(shù)值h(m)可由硬件或軟件容易得到；(3)對任意哈希函數(shù)值x，要找到一個明文m與之對應，即x＝h(m)，在計算上不可行；(4)對一個明文m1，要找到另一個不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行；(5)要找到任意一對不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行。：Kerberos協(xié)議主要用于計算機網(wǎng)絡的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticketgranting ticket)訪問多個服務，即SSO(Single Sign On)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩?。?1)入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡安全技術。(2)它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，用采誤用檢測或異常檢測方式，發(fā)現(xiàn)非授權或惡意的系統(tǒng)及網(wǎng)絡行為，為防范入侵行為提供有效手段。(3)其應用前提是：入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為模式特征來判斷該行為的性質(zhì)。(4)入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分可靠地提取描述行為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。：非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結合起來使用。即用對稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術被稱為數(shù)字信封。：數(shù)字簽名是使以數(shù)字形式存儲的明文信息經(jīng)過特定密碼變換生成密文，作為相應明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。對數(shù)字簽名的基本要求有：(1)簽名接收者能容易地驗證簽字者對消息所做的數(shù)字簽名；(2)任何人，包括簽名接收者，都不能偽造簽名者的簽字；(3)發(fā)生爭議時，可由第三方解決爭議。數(shù)字簽名基本分類：(1)直接數(shù)字簽名：僅涉及通信方(信源、信宿)，假定信宿知道信源的公