【正文】 字母、數(shù)字、特殊字符中兩者以上的組合，而且口令必須加密存儲(chǔ)、加密傳輸，并且保證口令存放載體的物理安全。采用口令字進(jìn)行身份鑒別，特定是成本低，實(shí)現(xiàn)容易，但使用管理很不方便，不宜記憶。采用“智能卡＋口令字”的方式進(jìn)行身份鑒別，口令字長(zhǎng)度4位即可，便于用戶使用，增加了身份鑒別的安全性和可靠性，但成本較高。一般涉密信息系統(tǒng)的身份鑒別大多采用這種方式。采用人的生理特征進(jìn)行身份鑒別，其特點(diǎn)是成本高，安全性強(qiáng)。國(guó)家保密規(guī)定要求絕密級(jí)信息系統(tǒng)的身份鑒別應(yīng)采用這種強(qiáng)認(rèn)證方式。簡(jiǎn)述WEB站點(diǎn)面臨的主要安全威脅。答：來自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣，依照Web訪問的結(jié)構(gòu)，可將其分類為對(duì)Web服務(wù)器的安全威脅、對(duì)Web客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類。（1）對(duì)Web服務(wù)器的安全威脅對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮：（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。，保存的有價(jià)值信息（如商業(yè)機(jī)密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫(kù)安全配置不當(dāng)，很容易泄密。，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。用CGI腳本編寫的程序中的自身漏洞。（2）對(duì)Web客戶機(jī)的安全威脅現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶透明的程序，它可以完成一些動(dòng)作，顯示動(dòng)態(tài)圖像、下載和播放音樂、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)，這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。主要用到Java Applet和ActiveX技術(shù)。Java Applet使用Java語(yǔ)言開發(fā)，隨頁(yè)面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制Java Applet的活動(dòng)，它不會(huì)訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上Java Applet存在安全漏洞，可能被利用進(jìn)行破壞。ActiveX 是微軟的一個(gè)控件技術(shù)，它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來執(zhí)行特定的任務(wù)的程序，可以由微軟支持的多種語(yǔ)言開發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在安全性上不如Java Applet，一旦下載，能像其他程序一樣執(zhí)行，訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險(xiǎn)的。Cookie 是Netscape公司開發(fā)的，用來改善HTTP的無狀態(tài)性。無狀態(tài)的表現(xiàn)使得制造像購(gòu)物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息，在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端，以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器，服務(wù)器用這個(gè)Cookie來記憶用戶和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過程影像。Cookie不能用來竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息，它們只能在某種程度上存儲(chǔ)用戶的信息，如計(jì)算機(jī)名字、IP地址、瀏覽器名稱和訪問的網(wǎng)頁(yè)的URL等。所以，Cookie是相對(duì)安全的。（3)對(duì)通信信道的安全威脅Internet 是連接Web客戶機(jī)和服務(wù)器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對(duì)信道進(jìn)行偵聽，竊取機(jī)密信息，存在著對(duì)保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無法及時(shí)響應(yīng)而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。1：[判斷題]從網(wǎng)絡(luò)安全管理角度考慮，任何人不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)。參考答案：正確2：[判斷題]訪問控制是網(wǎng)絡(luò)防范和保護(hù)的主要策略。參考答案：正確3：[判斷題]密碼保管不善屬于操作失誤的安全隱患。參考答案：錯(cuò)誤4：[判斷題]最小特權(quán)、縱深防御是網(wǎng)絡(luò)安全原則之一。參考答案：正確5：[判斷題]發(fā)現(xiàn)木馬，首先要在計(jì)算機(jī)的后臺(tái)關(guān)掉其程序的運(yùn)行。參考答案：錯(cuò)誤6：[判斷題]CA機(jī)構(gòu)能夠提供證書簽發(fā)、證書注銷、證書更新和信息加密功能 參考答案：錯(cuò)誤7：[判斷題]我的公鑰證書是不能在網(wǎng)絡(luò)上公開的，否則其他人可能假冒我的身份或偽造我的數(shù)字簽名。參考答案：錯(cuò)誤8：[判斷題]PKI證明實(shí)體的身份；而PMI證明實(shí)體具有什么權(quán)限，：正確9：[判斷題]使用最新版本的網(wǎng)頁(yè)瀏覽器軟件可以防御黑客攻擊。參考答案：錯(cuò)誤10：[判斷題]電腦上安裝越多套防毒軟件，系統(tǒng)越安全 參考答案：錯(cuò)誤11：[判斷題]開放性是UNIX系統(tǒng)的一大特點(diǎn)。參考答案：正確12：[判斷題]禁止使用活動(dòng)腳本可以防范IE執(zhí)行本地任意程序。參考答案：錯(cuò)誤13：[判斷題]用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。參考答案：正確14：[判斷題]WIN2000系統(tǒng)給NTFS格式下的文件加密，當(dāng)系統(tǒng)被刪除，重新安裝后，原加密的文件就不能打開了。參考答案：正確15：[判斷題]我們通常使用SMTP協(xié)議用來接收EMAIL。參考答案：錯(cuò)誤16：[判斷題]發(fā)送方使用AH協(xié)議處理數(shù)據(jù)包，需要對(duì)整個(gè)IP的數(shù)據(jù)包計(jì)算MAC，包括IP頭的所有字段和數(shù)據(jù)。參考答案：正確17：[判斷題]IPSec體系中，AH只能實(shí)現(xiàn)地址源發(fā)認(rèn)證和數(shù)據(jù)完整性服務(wù)，ESP只能實(shí)現(xiàn)信息保密性數(shù)據(jù)加密服務(wù)。參考答案：錯(cuò)誤18：[判斷題]SSL協(xié)議中多個(gè)會(huì)話（session）可以同時(shí)復(fù)用同一個(gè)連接（connection）的參數(shù)。參考答案：正確19：[判斷題]使用SSL安全機(jī)制可以確保數(shù)據(jù)傳輸?shù)陌踩?，但是?huì)影響系統(tǒng)的性能。參考答案：正確20：[判斷題]在SSL握手協(xié)議的過程中，ServerHello消息必須包含服務(wù)器的公鑰證書。參考答案：錯(cuò)誤21：[判斷題]用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。參考答案：正確22：[判斷題]可以在局域網(wǎng)的網(wǎng)關(guān)處安裝一個(gè)病毒防火墻，從而解決整個(gè)局域網(wǎng)的防病毒問題。參考答案：錯(cuò)誤23：[判斷題]非法訪問一旦突破數(shù)據(jù)包過濾型防火墻，即可對(duì)主機(jī)上的漏洞進(jìn)行攻擊。參考答案：正確24：[判斷題]誤用檢測(cè)雖然比異常檢測(cè)的準(zhǔn)確率高，但是不能檢測(cè)未知的攻擊類型。參考答案：正確25：[判斷題]可以在局域網(wǎng)的網(wǎng)關(guān)處安裝一個(gè)病毒防火墻，從而解決整個(gè)局域網(wǎng)的防病毒問題。參考答案：錯(cuò)誤26：[判斷題]現(xiàn)代密碼體制把算法和密鑰分開，只需要保證密鑰的保密性就行了，算法是可以公開的。參考答案：正確27：[判斷題]端到端的加密設(shè)備可以把數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息一起加密，從而抵御了流量分析類型的攻擊。參考答案：錯(cuò)誤28：[判斷題]公開密鑰密碼體制比對(duì)稱密鑰密碼體制更為安全。參考答案：錯(cuò)誤29：[判斷題]在公鑰密碼中，收信方和發(fā)信方使用的密鑰是相同的。參考答案：錯(cuò)誤30：[判斷題]一個(gè)好的加密算法安全性依賴于密鑰安全性 參考答案：正確31：[判斷題]已知某應(yīng)用程序感染了文件型病毒, 則該文件的大小變化情況一般是變小。參考答案：錯(cuò)誤32：[判斷題]用直接偵聽、截獲信息、合法竊取、破譯分析、從遺棄的媒體分析獲取信息等手段竊取信息屬于主動(dòng)攻擊。參考答案：錯(cuò)誤33：[判斷題]計(jì)算機(jī)系統(tǒng)安全是指應(yīng)用系統(tǒng)具備訪問控制機(jī)制，數(shù)據(jù)不被泄漏、丟失、篡改等 參考答案：錯(cuò)誤第四次作業(yè)：名詞解釋：.為了防止對(duì)知識(shí)，事實(shí)，數(shù)據(jù)或者功能未經(jīng)授權(quán)而是用，誤用，未經(jīng)授權(quán)修改或者拒絕使用而采取的措施。，既信息在儲(chǔ)存或者傳輸過程中保持不被修改，不被破壞和丟失的特性。，通常人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染的計(jì)算機(jī)的數(shù)據(jù)，運(yùn)行具有入侵性和破壞性的程序，破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。，或者語(yǔ)序黑客具有對(duì)系統(tǒng)的提升權(quán)限的過程，就是試圖在計(jì)算機(jī)內(nèi)存空間中緩存過多的信息，原因是由于應(yīng)用程序中存在漏洞，而在將用戶主句復(fù)制到另一個(gè)變量中時(shí)沒有檢查數(shù)據(jù)的復(fù)制量，可以通過檢查程序的源代碼發(fā)現(xiàn)。，預(yù)警，評(píng)估與響應(yīng)的指揮控制系統(tǒng)，IDS從網(wǎng)絡(luò)或者主機(jī)獲取信息，然后依據(jù)現(xiàn)有知識(shí)對(duì)獲取的信息進(jìn)行檢測(cè)，預(yù)警，評(píng)估并依據(jù)檢測(cè)結(jié)果做出響應(yīng)的，從技術(shù)上分為異常檢測(cè)和誤用檢測(cè)，能證實(shí)信息是由發(fā)出方發(fā)出：任何人都不能偽造發(fā)出方的M的簽名：接收方收到的報(bào)文沒有被篡改過：假設(shè)發(fā)出方否認(rèn)對(duì)信息M的簽名，可以通過第三方仲裁解決雙方間的爭(zhēng)議。：用戶行為是可預(yù)測(cè)的，遵循一致性模式，且用戶事件增加，異常檢測(cè)會(huì)適用的變化，異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)健的保護(hù)機(jī)制，但是對(duì)于給定的度量計(jì)能否完備到所有異常的異常行為仍需要繼續(xù)研究。 ，但是解密速度較慢，對(duì)稱體制機(jī)密速度快，但是傳送困難。為了解決這一個(gè)問題，通常將兩者結(jié)合起來使用。即通過對(duì)稱機(jī)密體制加密數(shù)據(jù)，而收方用非對(duì)稱體制中的公開鑰DES秘鑰，在一起發(fā)送給接受者，接收者使用自己的私秘鑰解鎖，再使用DES秘鑰解密數(shù)據(jù)，這種技術(shù)稱為數(shù)字信封。，保護(hù)計(jì)算機(jī)資源的重要手段。，一個(gè)只要問題是對(duì)公開鑰匙的假冒，偽造篡改，為解決這一問題，通訊雙方可將公鑰提交給可信任的第三方進(jìn)行驗(yàn)證，并出具相應(yīng)的證書，從而防止它人為公鑰進(jìn)行偽造篡改，這一體制稱為CA認(rèn)證，把網(wǎng)絡(luò)上的數(shù)據(jù)再傳輸達(dá)到安全的公共網(wǎng)絡(luò)地目的。特點(diǎn)是：通訊數(shù)據(jù)是經(jīng)過加密的，遠(yuǎn)程站點(diǎn)是經(jīng)過認(rèn)證的，可以使用多種協(xié)議，連接是點(diǎn)對(duì)點(diǎn)的。，用于適當(dāng)?shù)耐ㄓ嵧ㄟ^，從而保護(hù)機(jī)構(gòu)的網(wǎng)絡(luò)或者計(jì)算機(jī)系統(tǒng)。類型：應(yīng)用層防火墻和數(shù)據(jù)包過濾防火墻。第五次作業(yè)：? ？。？。？其基本要求是什么？有哪些基本的數(shù)字簽名方法？。、ipconfig指令、netstat指令、net指令、Tracert和at指令的功能和用途。，各自目的是什么。，它們與TCP/IP協(xié)議的對(duì)應(yīng)關(guān)系：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件,軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的特征(1)保密性:信息不泄露給非授權(quán)的用戶,實(shí)體或過程,或供其利用的特性.(2)完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,即信息在存儲(chǔ)或傳輸過程中保持不被修改,不被破壞和丟失的特性.(3)可用性:可被授權(quán)實(shí)體訪問并按需求使用的特性,破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊.(4)可控性:對(duì)信息的傳播及內(nèi)容具有控制能力.(5)不可否認(rèn)性：保證信息行為人不能否認(rèn)其信息行為。：(1)加密機(jī)制(enciphrement mechanisms)(2)數(shù)字簽名機(jī)制(digital signature mechanisms)(3)訪問控制機(jī)制(access control mechanisms)(4)數(shù)據(jù)完整性機(jī)制(data integrity mechanisms)(5)鑒別交換機(jī)制(authentication mechanisms)(6)通信業(yè)務(wù)填充機(jī)制(traffic padding mechanisms)(7)路由控制機(jī)制(routing control mechanisms)(8)公證機(jī)制(notarization mechanisms)：包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的判據(jù)據(jù)。(2)將包的源地址作為判據(jù)。(3)1)不讓任何用戶從外部網(wǎng)用Telnet登錄。(2)允許任1)將包的目的地址作為判何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。(3)：(1)傳統(tǒng)密碼體制中密鑰不能公開，且k1=k2，而公鑰體制中k1k2，且k1可以公開，而從k1無法得到有關(guān)k2的任何信息。(2)秘鑰的傳送上，傳統(tǒng)密鑰必須要傳送，而公開鑰不需要；(3)從數(shù)字簽名角度，對(duì)稱鑰困難，而公開鑰很容易；(4)加密速度上，對(duì)稱鑰快，而公開鑰慢；(5)用途上，對(duì)稱鑰主要是數(shù)據(jù)加密，公開鑰主要是數(shù)字簽名、密鑰分配加密。：(1)對(duì)任意長(zhǎng)度的明文m，產(chǎn)生固定長(zhǎng)度的哈希值h(m)；(2)對(duì)任意的明文m，哈希函數(shù)值h(m)可由硬件或軟件容易得到；(3)對(duì)任意哈希函數(shù)值x，要找到一個(gè)明文m與之對(duì)應(yīng)，即x＝h(m)，在計(jì)算上不可行；(4)對(duì)一個(gè)明文m1，要找到另一個(gè)不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在計(jì)算上不可行；(5)要找到任意一對(duì)不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在計(jì)算上不可行。：Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),其特點(diǎn)是用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)(ticketgranting ticket)訪問多個(gè)服務(wù)，即SSO(Single Sign On)。由于在每個(gè)Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩浴＃?1)入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。(2)它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，用采誤用檢測(cè)或異常檢測(cè)方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效手段。(3)其應(yīng)用前提是：入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為模式特征來判斷該行為的性質(zhì)。(4)入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問題：一是如何充分可靠地提取描述行為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。：非對(duì)稱體制密鑰傳送方便，但加解密速度較慢，對(duì)稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結(jié)合起來使用。即用對(duì)稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對(duì)稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術(shù)被稱為數(shù)字信封。：數(shù)字簽名是使以數(shù)字形式存儲(chǔ)的明文信息經(jīng)過特定密碼變換生成密文，作為相應(yīng)明文的簽名，使明文信息的接收者能夠驗(yàn)證信息確實(shí)來自合法用戶，以及確認(rèn)信息發(fā)送者身份。對(duì)數(shù)字簽名的基本要求有：(1)簽名接收者能容易地驗(yàn)證簽字者對(duì)消息所做的數(shù)字簽名；(2)任何人，包括簽名接收者，都不能偽造簽名者的簽字；(3)發(fā)生爭(zhēng)議時(shí)，可由第三方解決爭(zhēng)議。數(shù)字簽名基本分類：(1)直接數(shù)字簽名：僅涉及通信方(信源、信宿)，假定信宿知道信源的公