信息安全基础简答题.doc

1.网络攻击和防御分别包括哪些内容？2.从层次上，网络安全可以分成哪几层？每层有什么特点？3.为什么要研究网络安全？1、简述OSI参考模型的结构2、简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。5、简述常用的网络服务及提供服务的默认端口6、简述ping指令、ipconfig指令、netstat指令、net指令、at指令和tracer指令的功能和用途。2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？5、扫描分成哪两类？每类有什么特点？可以使用那些工具进行扫描及各有什么特点？6、网络监听技术的原理是什么？1.简述社会工程学攻击的原理。3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应如何防御？4.简述Unicode漏洞的基本原理。5.简述缓冲区溢出攻击的原理。6.简述拒绝服务的种类与原理。9.简述DDoS的特点及常用的攻击手段，如何防范？2、如何留后门程序？列举三种后门程序，并阐述原理及如何防御。4、简述木马由来，并简述木马和后门的区别5、简述网络代理跳板的功能4、说明恶意代码的作用机制的6各方面，并图示恶意代码攻击模型简述蠕虫的功能结构2、简述审核策略、密码策略、账户策略的含义，以及这些策略如何保护操作系统不被入侵。8、简述安全操作系统的机制1.密码学包含呢些概念？有什么功能？2.简述对称加密算法的基本原理.简述公开密钥算法基本原理2.简述防火墙的分类，并说明分组过滤防火墙的基本原理3.常见防火墙的模型有哪些？比较它们的优缺点7.什么事入侵检测系统？简述入侵检测系统目前面临的挑战。5说明Web安全性中网络层，传输层和应用层安全性的实现机制。2.简述IP安全的作用方式。1. 说明IP安全的必要性网络安全问答题第一章：1.网络攻击和防御分别包括哪些内容？攻击技术主要包括：1)网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2)网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3)网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。4)网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。5)网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御技术主要包括;1)安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。2)加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。3)防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。4)入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。5)网络安全协议：保证传输的数据不被截获和监听。2.从层次上，网络安全可以分成哪几层？每层有什么特点？4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。物理安全：防盗、防火、防静电、防雷击和防电磁泄漏。逻辑安全：计算机的逻辑安全需要用口令、文件许可等方法来实现。操作系统安全：操作系统是计算机中最基本、最重要的软件。联网安全通过以下两方面的安全服务来达到：a：访问控制服务：用来保护计算机和联网资源不被非授权使用。b：通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。3.为什么要研究网络安全？网络需要与外界联系，同时也受到许多方面威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等，目前研究网络安全已经不只为了信息和数据的安全性，网络安全已经渗透到国家的政治、经济、军事等领域。第二章：1、简述OSI参考模型的结构a、物理层：最底层，负责传送比特流，它从第二层数据链路层接受数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。物理层可能受到的安全威胁是搭线窃听和监听。可以利用数据加密、数据标签加密，数据标签，流量填充等方法保护物理层的安全。b、数据链路层：负责发送和接收数据，还要提供数据有效传输的端到端连接。c、网络层：完成网络中主机间的报文传输。d、传输层：完成网络中不同主机上的用户进程之间可靠的数据通信。传输层连接是真正端到端的e、会话层：允许不同机器上的用户建立回话关系。提供的服务之一是管理会话控制。会话层允许信息同时双向传输，或限制只能单向传输。为了管理活动，会话层提供了令牌，令牌可以在回话双方之间移动，只有持有令牌的一方可以执行某种操作。f、表示层：表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型的例子是用一种标准方法对数据进行编码。g、应用层：包含大量人们普遍需要的协议。2、简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。a、网络接口层：包括用于物理连接、传输的所有传输功能。b、网络层：在两个主机之间通信必需的协议组成，通信的数据报文必须是可路由的。网络层必须支持路由和路由管理。该层常见的协议是：IP、ICMP、IGMP。该层可能受到的威胁是IP欺骗攻击，保护措施是使用防火墙过滤和打系统补丁。c、传输层：功能是网络中对数据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流（传输和接收）。该层能识别特殊应用，对乱序收到的数据进行重新排序。该层包括两个协议：传输控制协议(TCP)和用户数据报协议(UDP)。d、应用层：提供远程访问和资源共享。包括：Telnet服务、FTP服务、SMTP服务和HTTP服务等，该层是最难保护的一层。简单邮件传输协议（SMTP）容易受到的威胁是：邮件炸弹、病毒、匿名邮件和木马等。保护措施是认证、附件病毒扫描和用户安全意识教育。文件传输协议（FTP）容易受到的威胁是：明文传输、黑客恶意传输非法使用等。保护的措施是不许匿名登陆录，单独的服务器分区、禁止执行程序等。超文本传输协议（HTTP）容易受到的威胁是恶意程序（ActiveX控件，ASP程序和CGI程序等）。5、简述常用的网络服务及提供服务的默认端口a、FTP服务：FTP的默认端口是20(用于数据传输)和21(用于命令传输)。在TCP/IP中，FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。b、Telnet服务：给用户提供了一种通过网络登录远程服务器的方式。通过端口23工作。要求有一个Telnet服务器，服务器等待着远程计算机的授权登陆。c、E-mail服务：使用的两个主要协议是简单邮件传输协议（SMTP）和邮局协议（POP）。SMTP默认占用25端口，用来发送邮件，POP占用110端口，用来接收邮件。d、Web服务：目前最常用的服务，使用HTTP协议，默认Web服务占用80端口。e、以下分别为常用端口、协议和对应的服务：21、TCP、FTP服务；25、TCP、SMTP服务；53、TCP/UDP、DNS服务；80、TCP、Web服务；135、TCP、RPC服务；137、UDP、NetBIOS域名服务；138、UDP、NetBIOS数据报服务；139、TCP、NetBIOS会话服务；443、TCP、基于SSL的HTTP服务；445、TCP/UDP、Microsoft SMB服务；3389、TCP、Windows终端服务6、简述ping指令、ipconfig指令、netstat指令、net指令、at指令和tracer指令的功能和用途。ping：通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。应答消息的接收情况和往返过程的次数一起显示出来。ping指令用于检测网络的连接性和可到达性，如果不带参数，ping将显示帮助。ipconfig：显示所有TCP/IP网络配置信息、刷新动态主机配置协议和域名系统设置。使用时不带参数可显示所有适配器的IP地址、子网掩码和默认网关。netstat：显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP，ICMP，TCP和UDP协议）。使用命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被 人入侵的最简单方法。net：功能非常强大，在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。at：建立一个计划任务，并设置在某一时刻执行。但是必须先与对方建立信任链接。tracer：是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。用IP生存时间（TTL）字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。第四章：2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？隐藏IP：通常有两种方式实现IP的隐藏：第一种方法是首先入侵互联网上的一台计算机（俗称“肉鸡”），利用这台计算进行攻击，这样即使被发现了，也是“肉鸡”的IP地址；第二种方式是做多级跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址。踩点扫描：通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。获得系统或管理员权限：目的是连接到远程计算机。种植后门：为了保持长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。在网络中隐身：一次成功的入侵后，一般在对方的计算机上已经存储了相关的登陆日志，这样就容易被管理员发现。在入侵完毕后需要清除登陆日志及其他相关的日志。5、扫描分成哪两类？每类有什么特点？可以使用那些工具进行扫描及各有什么特点？主动策略和被动式策略。 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同 安全规则抵触的对象进行检查。 主动式策略是基于网络的，他通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。 被动：a.系统用户扫描可以使用工具软件GetNTUser：该工具可以在WinNt4及Win2000操作系统上使用，完全的图形化界面，使用简单，可以使用多种方式对系统的密码强度进行测试；b.开放端口扫描使用工具软件PortScan可以得到对方计算机开放的端口：工具软件可以将所有端口的开放情况做一个测试，通过端口扫描可以知道对方开放了哪些网络服务，从而根据某些服务的漏洞进行攻击。c.目录共享扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享，该软件可以扫描一个IP地址段的共享信息。d.利用TCP协议实现端口扫描：实现端口扫描的程序可以使用TCP协议和UDP协议，原理是通过Socket连接对方的计算机的某端口，试图和该端口进行连接，如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口。 主动：漏洞扫描可使用工具软件X-Scan-v2.3，该软件系统要求为Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(或单机进行安全漏洞检测)，支持插件功能，提供图形界面和命令行操作两种操作方式。扫描内容包括：远程操作系统类型及版本；标准端口状态及端口Banner信息；SNMP信息；CGI漏洞；IIS漏洞；RPC漏洞；SSL漏洞；SQL-SERVER,FTP-SERVER,SMTP-SERVER,POP3-SERVER,NT-SERVER弱口令用户；NT服务器NETBIOS信息；注册表信息等。6、网络监听技术的原理是什么？ 网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。 监听器Sniffer的原理是：在局域网中与其他计算机进行数据交换时数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。第五章：1.简述社会工程学攻击的原理。社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应如何防御？ 暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，需要求助于非常精密复杂的算法，使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息，即使拥有这种设备，也将花掉8天时间去破解加密算法。实际上，破解加密过程用8天已经是非常短的时间了。 字典攻击是一种最常见的暴力攻击。如果黑客试图通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符，包括大小写、数字和通配符等。字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，大多数的用户使用标准单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破解密码。强壮的密码则通过结合大小写字母、数字和通配符来击败字典攻击。破解操作系统密码：字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则显示密码。暴力破解邮箱密码：邮箱密码一般需要设置为8位以上，7位以下的密码容易被破解。尤其7位全部是数字的密码，更容易被破解。比较著名的破解电子邮箱密码的工具软件是：黑雨POP3邮箱密码破解器。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字、字母和特殊字符的组合就可以有效抵抗暴力攻击。Word文档暴力破解：使用工具软件Advanced Office XP Password Recovery（AOXPPR）。4.简述Unicode漏洞的基本原理。一：什么是UNICODE漏洞 NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。 攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。 (1) 如果系统包含某个可执行目录，就可能执行任意系统命令。二.骇客是如何利用UNICODE漏洞来入侵 使用Unicode漏洞的攻击方式，书上介绍两种：入侵到对方的操作系统和删除对方站点主页。1.首先我们的来寻找一台存在UNICODE漏洞的主机，这里我们可以使用的工具非常多，只要是能扫CGI漏洞的都可以，不过我更喜欢流光，因为流光的功能是非常强大的。注意：我们这里是的目的是通过入侵方法来学会防范，所以以下我们使用的主机都是假设的。 建议简单解决方案： 1.限制网络用户访问和调用cmd的权限。 2.在Scripts、Msadc目录没必要使用的情况下，删除该文件夹或者改名。 3.安装NT系统时不要使用默认WINNT路径，比方说，可以改名为lucky或者其他名字。 临时解决方法： NSFOCUS建议您再没有安装补丁之前，暂时采用下列方法临时解决问题： 1、如果不需要可执行的CGI，可以删除可执行虚拟目录例如 /scripts等等。 2、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区 5.简述缓冲区溢出攻击的原理。 目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。缓冲区溢出原理很简单，如下：void function(char*szParal) char buff16; strcpy(buffer,szParal);程序中利用strcpy()函数将szParal中的内容拷贝到buff中，只要szParal的长度大于16，就会造成缓冲区溢出。存在类似strcpy()函数这样问题的C语言函数还有:strcat(),gets(),scanf()。当然，随便往缓冲区填写数据使它溢出一般只会出现“分段错误”，而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令，如果该shell有管理员权限，就可以对系统进行任意操作。6.简述拒绝服务的种类与原理。 凡是造成目标计算机拒绝提供服务的攻击都成为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的信息量冲击网络，是网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 比较著名的拒绝服务攻击包括：SYN风暴、Smurf攻击和利用处理程序错误进行攻击。SYN风暴：它是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。针对不同的系统，攻击的结果可能不同，但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。攻击者通常伪造主机D不可达的IP地址作为源地址。为了使拒绝服务的时间长于超时所用的时间，攻击者会持续不断地发送SYN包，故称为“SYN风暴”。Smurf攻击：这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法是大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。利用处理程序错误进行攻击：SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽，迫使目标受害主机拒绝对正常的服务请求响应。利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字段。9.简述DDoS的特点及常用的攻击手段，如何防范？DDoS：分布式拒绝服务攻击。特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台甚至上千台机器的力量对单一攻击目标实施攻击。在悬殊的带宽力量对比下，被攻击的主机会很快因不胜重负而瘫痪。实践证明，这种攻击方式是非常有效的，而且难以抵挡。分布式拒绝攻击技术发展十分迅速，由于其隐蔽性和分布性很难被识别和防御。攻击手段：攻击者在客户端操纵攻击过程。每个主控端是一台是已被攻击者入侵并运行了特定程序的系统主机。每个主控端主机能够控制多个代理端/分布端。每个代理端也是一台已被入侵并运行某种特定程序的系统主机，是执行攻击的角色。多个代理端/分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝服务攻击数据包。攻击过程实施的顺序为：攻击者-主控端-分布端-目标主机。发动DDoS攻击分为以下两个阶段：1、初始的大规模入侵阶段：在该阶段，攻击者使用自动工具扫描远程脆弱主机，并采用典型的黑客入侵手段得到这些主机的控制权，安装DDoS代理端/分布端。这些主机也是DDos的受害者。目前还没有DDoS工具能够自发完成对代理端的入侵。2、大规模DoS攻击阶段：即通过主控端和代理端/分布端对目标受害主机发起大规模拒绝服务攻击。防范：(攻击方式和解决方案)1、破坏物理设备：例行检查物理实体的安全；使用容错和荣誉网络硬件的方法，必要时迅速实现物理设备切换，从而保证提供正常的应用服务。2、破坏配置文件：错误配置也会成为系统的安全隐患，这些错误配置常常发生在硬件装置、系统或应用程序中。管理员首先应该正确设置系统及相关软件的配置信息，并将这些敏感信息备份到软盘等安全介质上；利用Tripwire等工具的帮助及时发现配置文件的变化，并快速恢复这些配置信息保证系统和网络的正常运行。3、利用网络协议或系统的设计弱点和实现漏洞：若要从根本上克服这些弱点，需要重新设计协议层，加入更多的安全控制机制。若要在现有的网络构架中弥补这些弱点，可以采取上面介绍的半透明网关或主动监视技术。4、消耗系统资源防范措施1、及时的给系统打补丁2、定期检查系统安全3、建立资源分配模型，设置阀值，统计敏感资源的使用情况。4、优化路由器配置5、使用第三方的日志分析系统6、使用DNS来跟踪匿名攻击7、对于重要的WEB服务器，为一个域名建立多个镜像主机。第六章：2、如何留后门程序？列举三种后门程序，并阐述原理及如何防御。 网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员账号来实现。 只要能不通过正常登陆进入系统的途径都成为网络后门。后门的好坏取决于被管理员发现的概率。只要不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的地方。1）远程启动Telnet服务：利用主机上的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。如果Telnet是关闭的，就不能登陆。2）记录管理员口令修改过程 3）建立Web服务和Telnet服务：使用工具软件wnc.exe可以在对方的主机上开启两个服务：Web服务和Telnet服务其中Web服务的端口是808，Telnet服务的端口是707执行很简单，只要在对方的命令行下执行一下wnc.exe就可以4、简述木马由来，并简述木马和后门的区别 木马是一种可以驻留在对方系统中的一种程序，一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机 。木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。 木马来自于“特洛伊木马”，英文名称为Trojan Horse传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城由于特洛伊木马程序的功能和此类似，故而得名。 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。5、简述网络代理跳板的功能 当从本地入侵其他主机的时候，自己的IP会暴露给对方通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的IP地址，这样就可以有效的保护自己的安全。 本地通过两级代理入侵某一台主机，这样在被入侵的主机上，就不会留下的自己的信息可以选择更多的代理级别，但是考虑到网络带宽的问题，一般选择两到三级代理比较合适。选择代理服务的原则是选择不同地区的主机作为代理比如现在要入侵北美的某一台主机，选择南非的某一台主机作为一级代理服务器，选择北欧的某一台计算机作为二级代理，再选择南美的一台主机作为三级代理服务器，这样很安全了。 可以选择做代理的主机有一个先决条件，必须先安装相关的代理软件，一般都是将已经被入侵的主机作为代理服务器。 第七章：4、说明恶意代码的作用机制的6各方面，并图示恶意代码攻击模型1）侵入系统：是恶意代码实现其恶意目的的必要条件2）维持或提升现有特权：恶意代码的传播与破坏必需盗用用户或者进程的合法权限才能完成3）隐蔽策略：为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。4）潜伏：恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏行动。5）破坏：恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等。6）重复1-5对新的目标实施新的攻击过程8、简述蠕虫的功能结构 网络蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无须计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的结点主机，通过局域网或者互联网从一个结点传播到另外一个结点。 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。主功能模块：1）信息搜集模块：该该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构，边界路由信息等等，这些信息可以单独使用或被其他个体共享。2）扫描探测模块：完成对待定主机的脆弱性检测，决定采用何种的攻击渗透方式。3）攻击渗透模块：该模块利用扫描探测模块获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的。4）自我推进模块：该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。辅助功能模块：是对除主体功能模块外其他模块的归纳或预测，主要有5个功能模块构成。1）实体隐藏模块：包括对蠕虫各个实体组成部分的隐藏、变形、加密及进程的隐藏，主要提高蠕虫的生存能力。2）宿主破坏模块：用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机上留下后门等。3）信息通信模块：使蠕虫间、蠕虫同黑洞之间能进行交流，这是未来蠕虫发展的重点。利用通信模块，蠕虫间可以共享某些信息，使蠕虫的编写者更好地控制蠕虫的行为4）远程控制模块：控制模块的功能是调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令5）自动升级模块：可以使蠕虫编写者随时更新其他模块的功能，从而实现不同的攻击目的。第八章：2、简述审核策略、密码策略、账户策略的含义，以及这些策略如何保护操作系统不被入侵。审核策略：是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来。审核策略在默认状态下是没有开启的。密码策略：本地安全设置中的密码策略在默认的情况下都没有开启。账户策略：可以有效防止字典式攻击。当某一用户连续尝试5次登陆都失败后将自动锁定该账户，30分钟后自动复位被锁定的账户。8、简述安全操作系统的机制包括：硬件安全机制、操作系统的安全标识与鉴别、访问控制、最小特权管理、可信通路和安全审计。硬件安全机制：存储保护、运行保护、I/O保护安全标识与鉴别：是涉及用户和系统的一个过程。访问控制：自主访问控制（最常用的一类访问控制机制，用来决定用户是否有权访问一些特定客体的一种访问约束机制）、强制访问控制MAC（在此机制下，系统中的每个进程、文件、IPC客体都被赋予了相应的安全属性，这些安全属性不能改变的，它由管理部门或操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接的修改）最小特权管理：为使系统能够正常的运行，系统中的某些进程需具有一些可违反系统安全策略的操作能力，这些进程一般是系统管理员/操作员进程。一般定义一个特权就是可违反系统安全策略的一个操作的能力。可信通路：特权用户在进行特权操作时，也要有办法证实从终端上输出的信息是正确的，而不是来自于特洛伊木马。这些都需要一个机制保障用户和内核的通信，这种机制就是由可信通路提供的。安全审计：就是对系统中有关安全的活动进行记录、检查及审核。主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。第九章：1.密码学包含呢些概念？有什么功能？消息：被称为明文；密文：加了密的消息；加密：用某种方法伪装消息以隐藏它的内容的过程；解密：把密文转变为明文的过程；鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息。2.简述对称加密算法的基本原理分两类，序列算法和分组算法，有时也称为传统密码算法，加密密钥能够从解密密钥中推算出来，在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法加密和解密表示为：EK（M）=C DK（C）=M4.简述公开密钥算法基本原理加密密钥和解密密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。加密密钥叫公开密钥，解密密钥叫私人密钥，公开密钥K1加密表示为：EK1（M）=C，公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M第十章2.简述防火墙的分类，并说明分组过滤防火墙的基本原理。分组过滤防火墙、应用代理防火墙、状态检测防火墙。分组过滤防火墙作用在协议族的网络层和传输层；应用代理也叫应用网关，作用在应用层，特点是完全阻隔网络通信流；状态检测，直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后确定是否允许该数据包通过。分组过滤防火墙基本原理：防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、目的端口和ICMP消息类型。如果包的信息匹配所允许的数据包，该数据包按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。3.常见防火墙的模型有哪些？比较它们的优缺点。筛选路由器模型，是网络的第一道防线，功能是实施包过滤，该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能；单宿主堡垒主机（屏蔽主机防火墙）模型，由包过滤路由器和堡垒主机组成，实现了网络层安全和应用层安全，优点是安全性比较高，但增加了成本开销和降低了系统性能，并且对内部计算机用户也会产生影响；双宿主堡垒主机模型（屏蔽防火墙系统模型），可以构造更加安全的防火墙系统，如果运行用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁；屏蔽子网模型，用了两个包过滤路由器和一个堡垒主机，是最安全的防火墙系统之一，支持网络层和应用层安全功能。7.什么事入侵检测系统？简述入侵检测系统目前面临的挑战。入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。入侵检测系统面临的挑战：一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的正常假警报，而诱导没有警觉性的管理员把入侵检测系统关掉。没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个：缺乏共享数据机制、缺乏集中协调机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。第十一章2. 说明IP安全的必要性目前占统治地位的IPv4在设计之初没有考虑安全性，IP包本身并不具备任何安全特性，导致在网络上传输的数据很容易受到各式各样的攻击，比如：伪造IP包地址、修改其内容、重播以前的包，以及在传输途中拦截并查看包的内容。因此，通信双方不能保证受到IP数据报的真实性。为了加强Internet的安全性，制定一套IP安全协议，IPSec，弥补了IPv4在协议设计时缺乏安全性的考虑，IPSec目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、机密性等。2.简述IP安全的作用方式。IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH协议和ESP协议会进行拦截，在IP头与上层协议之间需插入一个IPSec头。隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。将整个IP数据包进行封装，然后增加一个IP头，并在外部与内部IP头之间插入一个IPSec头。5说明Web安全性中网络层，传输层和应用层安全性的实现机制。IPSec可提供端到端的安全机制，可在网络层上对数据包进行安全处理。基于网络层使用IPSec来实现Web安全的模型如下：HTTPFTPSMTPTCPIP/IPSec安全套接层SSL和TLS（传输层安全）通常工作在TCP层之上，可以为更高层协议提供安全服务。结构如图：HTTPFTPSMTPSSL或TLSTCPIP将安全服务直接嵌入应用程序中，从而在应用层实现通信安全。结构如图：S/MIMEPGPSETKerberosSMTP,HTTPUDPTCPIP留后门的原则是什么？