【正文】 ：（1）who 命令：該命令主要用于查看當(dāng)前在線上的用戶情況，系統(tǒng)管理員可以使用 who 命令監(jiān)視每個登錄的用戶此時此刻的所作所為。（3）ps 命令：該命令是最基本的同時也是非常強(qiáng)大的進(jìn)程查看命令，利用它可以確定有哪些進(jìn)程正在運行及運行的狀態(tài)、進(jìn)程是否結(jié)束、進(jìn)程有沒有僵死、哪些進(jìn)程占用了過多的資源等。 SQL 注入攻擊的原理，以及對數(shù)據(jù)庫可能產(chǎn)生的不利影響。38 / 61SQL 注入攻擊可以獲取 Web 應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)的信息，還可以通過 SQL 注入攻擊竊取敏感數(shù)據(jù)、篡改數(shù)據(jù)、破壞數(shù)據(jù)，甚至以數(shù)據(jù)庫系統(tǒng)為橋梁進(jìn)一步入侵服務(wù)器操作系統(tǒng)，從而帶來更為巨大的破壞。答：Oracle 的身份認(rèn)證有兩種方式：外部身份認(rèn)證和 DBMS 認(rèn)證。這里的外部系統(tǒng)通常指的是操作系統(tǒng)。DBMS認(rèn)證則是傳統(tǒng)的帳號、口令方式的認(rèn)證。SQLServer 的身份認(rèn)證機(jī)制與 Oracle 有顯著區(qū)別。第一次身份認(rèn)證是在登錄時，在 DBMS 身份認(rèn)證模式下，訪問者必須提供一個有效的登錄 ID 和口令才能繼續(xù)向前；第二次身份認(rèn)證是當(dāng)訪問者通過上述驗證后，登錄 ID 必須與目標(biāo)數(shù)據(jù)庫里的某個用戶 ID 相聯(lián)系，才可以相應(yīng)地?fù)碛袑?shù)據(jù)庫的操作權(quán)限。答：恢復(fù)機(jī)制涉及兩個關(guān)鍵問題：如何建立冗余數(shù)據(jù)和如何利用這些冗余數(shù)據(jù)實施數(shù)據(jù)庫恢復(fù)。第六章 網(wǎng)絡(luò)安全 一、判斷題（如互聯(lián)網(wǎng)）之間，實施訪問控制策略的一個或一組系統(tǒng)。 對 39 / 61。 對 ，是指防火墻工作在數(shù)據(jù)鏈路層，類似于一個網(wǎng)橋。 對 ，就不能在再做任何改變。 錯 。 錯 。 對 ，企業(yè)的網(wǎng)絡(luò)安全就有了絕對的保障。對 可配置具有狀態(tài)包過濾機(jī)制的防火墻。 錯 ，每個連接兩個防火墻的計算機(jī)或網(wǎng)絡(luò)都是 DMZ。 對 ，不能同時采用。 對 。 對　，入侵響應(yīng)都屬于被動響應(yīng)。 對 ，是指系統(tǒng)把正常行為作為入侵攻擊而進(jìn)行報警的概率。 對 。在進(jìn)行分階段部署時，首先部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，因為它通常最容易安裝和維護(hù)，接下來部署基于主機(jī)的入侵檢測系統(tǒng)來保護(hù)至關(guān)重要的服務(wù)器。 錯 。 錯 ，一次性彌補(bǔ)所有的安全漏洞。 錯 。 錯 TCP 協(xié)議的三次握手過程。 錯 。 對 能夠進(jìn)行端口掃描。 對 41.“安全通道隔離”是一種邏輯隔離。 對 是與朋友聯(lián)機(jī)聊天的好工具，不必?fù)?dān)心病毒。 錯 “txt”文件時被啟動。 錯 、代價最小的技術(shù)。 錯 ，遵循一定的準(zhǔn)則就可以避免感染病毒。 錯 Rootkit 技術(shù)的病毒可以運行在內(nèi)核模式中。 錯 。 對 二、單選題 在網(wǎng)絡(luò)環(huán)境中的應(yīng)用。 OSI 網(wǎng)絡(luò)參考模型的 。42 / 61 。、目的地址、端口號和協(xié)議類型等標(biāo)志設(shè)置訪問控制列表實施對數(shù) 據(jù)包的過濾 OSI 網(wǎng)絡(luò)參考模型中網(wǎng)絡(luò)層以上的數(shù)據(jù)，因此可以很快地執(zhí)行、封堵端口的有效性和規(guī)則集的正確性，給過濾規(guī)則的制定和配置帶來了復(fù)雜 性，一般操作人員難以勝任管理，容易出現(xiàn)錯誤 。一般只能依據(jù)包頭信息，因此很容易受到“地址欺騙型”攻擊 NAT 說法錯誤的是 。43 / 61，不需要對企業(yè)那些必不可少的應(yīng)用軟件執(zhí)行風(fēng)險分析，就不能在再作任何改變，除了被指出的允許通過的通信類型和連接 DMZ 區(qū)的說法錯誤的是 。 ，入侵檢測系統(tǒng)可以不包括 。 　 。 16. 是在蜜罐技術(shù)上逐步發(fā)展起來的一個新的概念，在其中可以部署一個或者多個蜜罐，來構(gòu)成一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)。　 Snort 的說法錯誤的是＿ 18. C＿： Snort 前，用戶首先需要安裝相應(yīng)的數(shù)據(jù)包捕獲庫。 的有效性與用戶創(chuàng)建的入侵檢測規(guī)則無關(guān)。 。，它們能夠檢測基于網(wǎng)絡(luò)的入侵檢測 系統(tǒng)不能檢測的攻擊45 / 61，因為應(yīng)用程序日志并不像操作 系統(tǒng)審計追蹤日志那樣被很好地保護(hù) ，能發(fā)現(xiàn) 。 ，根據(jù)公認(rèn)的說法，迄今已經(jīng)發(fā)展了 個階段。，穿透網(wǎng)閘的安全控制，網(wǎng)閘兩端的網(wǎng)絡(luò)之間不存在物理連接 OSI 的二層以上發(fā)揮作用 ，下面說法錯誤的是 。46 / 61，然后將它保存到硬盤，但是如果它有病毒，立即關(guān)閉它 。通過以上描述可以判斷這種病毒的類型為 。 。，否則不要打開電子郵件附件 。（除 Email 傳遞等特殊用處的端口外） ICMP 類型的入站數(shù)據(jù)包，包含 SNMP 的所有入站數(shù)據(jù)包 ?！? 。 界面可以通過 SSL 加密用戶名和密碼。，使用者沒有成為刑事訴訟或民事訴訟對象的危險，蜜罐不提供任何實際的業(yè)務(wù)服務(wù)，所以搜集到的信息很大可能性都是由于黑客攻擊 造成的，漏報率和誤報率都比較低，不像目前的大部分防火墻和入侵檢測系統(tǒng)只能根據(jù)特征匹配方法來 檢測已知的攻擊，可以用一些低成本的設(shè)備 （CIDF）模型的組件包括 。對于主動響應(yīng)來說，其選擇的措施可以歸入的類別有 。由于交換機(jī)不支持共享媒質(zhì)的模式，傳統(tǒng)的采用一個嗅探器（sniffer ）來監(jiān)聽整個子網(wǎng)的辦法不再可行。，交換網(wǎng)絡(luò)和以前共享媒質(zhì)模式的網(wǎng)絡(luò)沒有任何區(qū)別、出口處（tap） 。 49 / 61 。告警可以采取多種方式，可 以是聲音、彈出窗口、電子郵件甚至手機(jī)短信等：產(chǎn)生分析報告，并告訴管理員如何彌補(bǔ)漏洞 xscan 掃描器的說法，正確的有 。 。 50 / 61 。 Word 文檔攜帶的宏代碼，當(dāng)打開此文檔時宏代碼會搜索并感染計算機(jī)上所有的 Word 文檔，當(dāng)打開郵件附件時，郵件附件將自身發(fā)送給該用戶地址簿中前五 個郵件地址，如果該員工在一年內(nèi)被解雇則邏輯炸彈就會破壞系 統(tǒng)，并在其上安裝了一個后門程序 用戶打開了朋友發(fā)送來的一個鏈接后，發(fā)現(xiàn)每次有好友上線 都會自動發(fā)送一個攜帶該鏈接的消息 。 U 盤復(fù)制文件時屏幕上出現(xiàn) U 盤寫保護(hù)的提示 四、問答題 。 51 / 6外部網(wǎng)絡(luò)和 DMZ 之間的關(guān)系。 。KISS（KeepItSimpleandStupid）原則是防火墻環(huán)境設(shè)計者首先意識到的基本原則。設(shè)計和功能上的復(fù)雜往往導(dǎo)致配置上的錯誤。不要把不是用來當(dāng)做防火墻使用的設(shè)備當(dāng)做防火墻使用。在設(shè)計防火墻時，這些區(qū)別不應(yīng)該被忽視。與此類似的，也不應(yīng)該把交換機(jī)當(dāng)做防火墻來使用。深度防御是指創(chuàng)建多層安全，而不是一層安全。應(yīng)在盡可能多的環(huán)境下安裝防火墻設(shè)備或開啟防火墻功能，在防火墻設(shè)備能被使用的地方使用防火墻設(shè)備，在路由器能被配置提供訪問控制和包過濾的情況下配置路由器的訪問控制和包過濾功能。（4）注意內(nèi)部威脅。異常入侵檢測技術(shù)（AnomalyDetection） ，也稱為基于行為的入侵檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況來檢測是否存在網(wǎng)絡(luò)入侵。在這種情況下，若能檢驗所有的異?；顒樱湍軝z驗所有的入侵性活動?！　‘惓Ｈ肭謾z測技術(shù)的優(yōu)點是：（1）能夠檢測出使用新的網(wǎng)絡(luò)入侵方法的攻擊；（2）較少依賴于特定的主機(jī)操作系統(tǒng)?！　≌`用入侵檢測技術(shù)（MisuseDetection ） ，也稱為基于特征（ Signature）的入侵檢測技術(shù)，根據(jù)已知的網(wǎng)絡(luò)攻擊方法或系統(tǒng)安全缺陷方面的知識，建立特征數(shù)據(jù)庫，然后在收集到的網(wǎng)絡(luò)活動中進(jìn)行特征匹配來檢測是否存在網(wǎng)絡(luò)入侵。誤用入侵檢測技術(shù)的核心問題是網(wǎng)絡(luò)攻擊特征庫的建立以及后期的維護(hù)和更新?！　≌`用入侵檢測技術(shù)的缺點是：（1）不能檢測出新的網(wǎng)絡(luò)入侵方法的攻擊；（2）完全依賴于入侵特征的有效性；（3）維護(hù)特征庫的工作量巨大。　　DMZ 區(qū)的部署點在 DMZ 區(qū)的入口上，這是入侵檢測系統(tǒng)最常見的部署位置。對企業(yè)來說，防止對外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于 DMZ 區(qū)中的服務(wù)器是外網(wǎng)可見的，因此，在這里的入侵檢測也是最為必要的。（2）位于外部防火墻的外部。在這個位置上，入侵檢測器可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進(jìn)行記錄，這些攻擊包括對內(nèi)部服務(wù)器的攻擊、對防火墻本身的攻擊以及內(nèi)網(wǎng)機(jī)器不正常的網(wǎng)絡(luò)通信行為。這種方式雖然對整體入侵行為記錄有幫助，但由于入侵檢測系統(tǒng)本身性能上的局限，在該點部署入侵檢測系統(tǒng)目前的效果并不理想?！　≡谠摬渴瘘c進(jìn)行入侵檢測有以下優(yōu)點：，并記錄最為原始的攻擊數(shù)據(jù)包；。內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測系統(tǒng)主要檢測內(nèi)部網(wǎng)絡(luò)流出和經(jīng)過防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的通信?！　∮捎诜阑饓Φ倪^濾作用，防火墻已經(jīng)根據(jù)規(guī)則要求拋棄了大量的非法數(shù)據(jù)包。當(dāng)然，由于入侵檢測系統(tǒng)在防火墻的內(nèi)部，防火墻已經(jīng)根據(jù)規(guī)則要求阻斷了部分攻擊，所以入侵檢測系統(tǒng)并不能記錄下所有可能的入侵行為。（4）位于關(guān)鍵子網(wǎng)上?！　⊥ㄟ^對這些子網(wǎng)進(jìn)行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會被外部或沒有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。在該部署點進(jìn)行入侵檢測有以下優(yōu)點：；，獲取最高的使用價值。答：IDS 和 IPS 的關(guān)系如下：（1）IPS 是 IDS 的發(fā)展方向之一；（2）IPS 和 IDS 在逐漸走向融合，UTM 就是一個很好的例子。 。一般來說，可以將基于網(wǎng)絡(luò)的漏洞掃描工具看做為一種漏洞信息收集工具，它根據(jù)漏洞的不同特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個或多個目標(biāo)服務(wù)器，以判斷某個特定的漏洞是否存在?！糒M〗〖KG2〗。答：基于網(wǎng)絡(luò)的漏洞掃描器的不足之處有：（1）基于網(wǎng)絡(luò)的漏洞掃描器不能直接訪問目標(biāo)設(shè)備的文件系統(tǒng)，不能檢測相關(guān)的一些漏洞；（2）基于網(wǎng)絡(luò)的漏洞掃描器不易穿過防火墻。 。網(wǎng)絡(luò)隔離的關(guān)鍵在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過隔離設(shè)備在網(wǎng)絡(luò)之間不存在物理連接的前提下，完成網(wǎng)間的數(shù)據(jù)交換。 ？答：計算機(jī)病毒的特征有：非法性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性。54 / 61答：文件型病毒和網(wǎng)絡(luò)蠕蟲病毒的區(qū)別如下：（1）文件型病毒需要通過受感染的宿主文件進(jìn)行傳播，而網(wǎng)絡(luò)蠕蟲病毒不使用宿主文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制；（2）文件型病毒的傳染能力主要是針對計算機(jī)內(nèi)的文件系統(tǒng)而言，而網(wǎng)絡(luò)蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機(jī)；（3）網(wǎng)絡(luò)蠕蟲病毒比文件型病毒傳播速度更快、更具破壞性，它可以在很短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。答：特征代碼技術(shù)的工作原理是：通過檢查文件中是否含有病毒特征碼數(shù)據(jù)庫中的病毒特征代碼來檢測病毒。定期或者每次使用之前檢查文件內(nèi)容的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否已經(jīng)感染計算機(jī)病毒。第七章 應(yīng)用安全 　　一、判斷題 ，其優(yōu)點是規(guī)則可以共享，因此它的推廣性很強(qiáng)。 可以判斷出電子郵件的確切來源，因此，可以降低垃圾郵件以及域名欺騙等行為發(fā)生的可能。 。 。8.錯 。 。 ，整合各種安全模塊成為信息安全領(lǐng)域的一個發(fā)展趨勢。 件。 、自學(xué)習(xí)的能力，目前已經(jīng)得到了廣泛的應(yīng)用。 二、單選題 。 　 。、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售、共 享、交換或者向通過上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件，向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件57 / 61，在互聯(lián)網(wǎng)電子郵件標(biāo)題信息前部注明“廣告”或者“AD” 字樣 。 ，則應(yīng)采取 措施。 。 。(Phishing)一詞，是“Fishing”