1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研 究内容。

  2. 信息安全从总体上可以分成 5个层次，密码技术是信息安全中研 究的关键点。

  3. 从1998年到2006年，平均年增长幅度达 全事件的重要的因素是系统和网络安全脆弱性（

  算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和 终端）分配单个或者多个安全级别。

  5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻 击和防御。

  1. 网络攻击和防御分别包括哪些内容？ 答：①攻击技术：网络扫描，网络监听，网络入侵，网络后门，网 络隐身

  ②防御技术：安全操作系统和操作系统的安全配置，加密技术，防 火墙技术，入侵检测，网络安全协议。

  (3 )操作系统特点：操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。

  (4)联网安全特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。

  答：目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域，并影响到社会的稳

  1.osi参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。

  2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据来进行编码。。

  3.子网掩码是用来判断任意两台计算机的ip地址是否属于同一子网络的根据。。

  1.网络层的基本功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。

  2.tcp/ip协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于osi参考模型中的7层。

  4.ping指令通过发送icmp包来验证与另一台tcp/ip计算机的ip 级连接，应答消息的接收情况将和往返过程的次数一起显示出来。

  答：（1）物理层：物理层是最底层，这一层负责传送比特流，它从第二层数据链路层接收数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。

  （2）数据链路层：它肩负两个责任：发送和接收数据，还要提供数据有效传输的端到端连接。

  （4）传输层：基本功能是完成网络中不同主机上的用户进程之间可靠的数据通信。

  （5 ）会话层：允许不同机器上的用户之间建立会话关系。会话层允许进行类似传输层的普通数据的传送，在某一些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登录，或者在两台机器间传递文件。会话层提供的服务之一是管理对线 ）表示层：表示层完成某些特定的功能，这些功能不必由每个用户自己来实现。表示层服务的一个典型例子是用一种一致选定的标准方法对数据来进行编码。

  2.简述tcp/ip协议族的基本结构，并分析每层可能受到的威胁及如何防御。

  答：讨论tcp/ip的时候，总是按五层来看，即物理层擞据链路层，网络层，传输层和应用层.1.物理层:这里的威胁主要是窃听，那使用防窃听技术就可以了2数据链路层:有很多工具可以捕获数据帧，如果有条件的线网络层:针对ip包的攻击是很多的，还在于ipv4的数据包本身是不经过加密处理的，所以里面的信息非常容易被截获，现在能够正常的使用ip sec来提供加密机制；4.传输层:针对tc P的攻击也多了，在这里通常用进程到进程（或者说端到端的）加密，也就是在发送信息之前将信息加密，接收到信息后再去信息进行解密，但一般会使用ssl;5.应用层:在应用层能做的事情太多，所以在这里做一些安全措施也是有效的；

  答：端口：0服务：reserved说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中常的闭合

  典型的扫描，使用ip地址为0.0.0.0，设置ack位并在以太网层广播。

  irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。irix机器在发布是含有几个默认的无密码的帐户，如：

  符的服务。udp版本将会在收到udp包后回应含有垃圾字符的包。tcp连接时会发送含有垃圾字符的数据流直到连接关闭。hacker利

  用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。同样fraggle dos 攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包，受害者为

  端口：21服务：ftp说明：ftp服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。

  端口：22服务：ssh说明：pcanywhere 建立的tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用rsaref库的版本就会有不少的漏洞存在。

  答：ping是用来侦测网络上的远端主机是不是真的存在，并判断网络状况是不是正常的网络侦测工具校验与远程计算机或本地计算机的连接。只有在安装tcp/ip协议之后才能用该命令。ip co nfig，查看当前电脑的ip配置，显示所有tcp/ip网络配置信息、刷新动态主机配置协议(dhcP)和域名系统(dns)设置,使用不带参数的ipconfig 可以显示所有适配器的ip地址、子网掩码和默认网关。在dos命令行下输入ipconfig 指令；

  tracert指令用ip生存时间字段和icmp错误信息来确定一个主机到网络上其他主机的路由；

  net，在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。

  1. 进程就是应用程序的执行实例（或称一个执行程序），是程序动 态的描述。

  2. 在main （）函数中定义两个参数 argc 和argv ，其 的是命令行参数的个数argc 存储的是命令行各个参数的

  事情时还可以做另外一件事。 尤其是在多个cpu 的情况下，可以更充分地利用硬件资源的优势。

  1. 目前流行两大语法体系：basic 语系和c 语系，同一个语系下语 言的基本语法是一样的。

  1. 踩点是通过各种途径对所要攻击的目标进行多方面的了解（包 括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时 间和地点。

  2. 对非连续端口进行的，并且源地址不一致、时间间隔长而没有规 律的扫描，称之为慢速扫描。

  2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口 令及其他同安全规则抵触的对象进行检查。

  ip 、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身。 简答题

  踩点扫描：踩点是通过种种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点，扫描的目的是利用各种工具在攻击目标的ip地址或地址段上的主机上寻找漏洞。（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。

  种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

  答：黑客攻击和网络安全是紧密结合在一起的，研究网络安全不研究黑客攻击技术等同于纸上谈兵，研究攻击技术不研究网络安全等同于闭门造车，某种意义上说没有攻击就没有安全。

  答：只有通过种种途径探查对方的各方面情况才能确定攻击的时机，为下一步入侵提供良好的策略。

  5.扫描分成哪两类？每类有什么特点？能够正常的使用哪些工具进行扫描、各有什么特点？答：（1）网络扫描大体上分为两种策略：一种是主动式策略；另外一种是被动式策略。

  （2）被动式策略特点：基于主机之上的，对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行全方位检查，被动式扫描不会对系统造成破坏。工具及特点：getntuser :系统用户扫描；Portscan :开放端口扫描；shed :共享目录扫描。

  （3 ）主动式策略特点：基于网络的，它通过执行一些脚本文件模拟对系统来进行攻击的行为并记录系统的反应，从而发现其中的漏洞。

  主动式扫描对系统来进行模拟攻击可能会对系统造成破坏。工具及特点：x-scan-v2.3 :对指定ip地址段（单机）进行安全漏洞检测。

  答：网络监听的目的是截获通信的内容，监听的手段是对协议做多元化的分析。sniffer的原理是：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的

  机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包做多元化的分析，就得到了局域网中通信的数据。

  2.分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。

  答：社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们盼望渗透的组织那里获得信息。

  3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解word文档的密码？针对暴力攻击应当如何防御？答：1）破解电子邮箱密码，一个比较著名的工具软件是，黑雨 - pop3邮箱密码暴力破解器，该软件分别对计算机和网络环境来优化的攻击算法:深度算法，多线程深度算法，广度算法和多线程广度

  算法。该程序能以每秒50到100个密码的速度进行匹配。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字，字

  置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码就被破解了。防范这种暴力攻击，可以加长密码。

  3)程序首先通过扫描得到系统的用户，然后利用字典镇南关每一个密码来登录系统，看是否成功，如果成功则将密码显示。

  区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖 实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种 修改的结果将在系统上产生一个后门。

  答：当目标操作系统收到了超过它的能接收的最大信息量时，将发 生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实 际的程序数据。这种溢出使目标系统的程序被修改，经过这种修改 的结果将在系统上产生一个后门。缓冲区溢出原理用代码表示为：

  答：原理：凡是造成目标系统拒绝提供服务的攻击都称为 其目的是使目标计算机或网络没办法提供正常的服务。

  种类：最常见的dos 攻击是计算机网络带宽攻击和连通性攻击；比 较著名的拒绝服务攻击还包括 syn 风暴、smurf 攻击和利用处理程

  答:1.主要威胁：计算机网络实体面临威胁（实体为网络中的关键设 备）；计算机网络系统面临威胁（典型安全威胁）；恶意程序的威 胁（如计算机病毒、网络蠕虫、间谍软件、木马程序）；计算机网 络威胁有潜在对手和动机（恶意攻击 /非恶意）2.典型的网络安全威 胁：窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为 否

  答：偶发因素：如电源故障、设备的功能失常及软件开发过程留下 的漏洞或逻辑错误； 自然灾害：各种自然灾害对计算机系统构成严

  答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性，完整性及可使用受到保护。网络的安全问题包括两方面的内容，一是网络的系统安全；二是网络的信息安全。从广义上说，网络上信息的保密性、完整性、可用性、不可否性和可控性是有关技术和理论都是网络安全的研究领域。

  务、数据完整性服务和抵抗赖性服务等五类网络安全服务；也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。

  答：PPdr模型是一种常用的网络安全模型，主包含四个主要部份：policy （安全策略）、P rotecti on （防护）、detectio n （检测）和response （响应）。

  答：网络安全技术：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性能检测技术、防病毒技术、备份技术和终端安全技术。

  答：机房的安全等级分为a类、b类和c类三个基本类别。a类：对计算机机房的安全有严格的要求；b类：对计算机机房的安全有较

  答：1.机房的安全要求：计算机机房选址应该避免靠近公共区域，避免窗户直接邻街，机房布局应该工作区在内，生活辅助区域在外，机房建议还是不要安排在底层或顶层；措施：保证所有进出计算机机房的人必须在管理人员的监控之下，外来人员进入机房内部、应该办理相关手续，并对随身物品进行一定的检查。

  2.机房的防盗要求，对重要设备和存储媒体应采取严格的防盗措施。措施：早期采取增加质量和胶粘的防盗措施，后国外发明一种通过光纤电缆保

  护重要设备的方法，一种更方便的措施类似于超市的防盗系统，视频监视系统更是一种更为可靠防盗设备，能对计算机网络系统的外围环境、操作环境进行实时的全程监控。

  3.机房的三度要求（温度（18-22度）、温度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5um ））为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。

  4.防静电措施：装修用到的材料避开使用挂彩、地毯等易吸尘，易产生静电的材料、应采用乙烯材料，安装防静电动板并将设备接地。

  接地系统：各自独立的接地系统；交、直分开的接地系统；共地接地系统；直流地、保护地共用地线系统和建筑物内共地系统。

  防雷措施：使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线，机房本身有避雷设备和装置。

  答：电线加压技术；对光纤等通信路线的防窃听技术（距离大于最大限制的系统之间，不采用光纤线通信）；加强复制器的安全，如用加压措施、警报系统和加强警卫等措施。

  答：影响大多数表现在：计算机系统可能会通过电磁辐射使信息被截获而失密，计算机系统中数据信息在空间中扩散。保护措施：一类

  对传导发射的防护，主要是采用对电源线和信号线加装性能好的滤波器，减少传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又可分为两种：一种是采用各种电磁屏蔽措施，第二种是干扰的保护措施。为提高电子设备的抗干扰的能力，主要措施有：屏蔽、滤波、隔离、接地，其中屏蔽是应用最多的方法。

  答：存放数据的盘，应谨慎保管；对硬盘上的数据，要建立有效的级别、权限，并严格管理，必要时加密，以确保数据安全；存放数据的盘，管理须落到人，并登记；对存放重要数据的盘，要备份两份并分开保管；打印有业务数据的打印纸，要视同档案来管理；凡超过数据保存期，一定要经过特殊的数据加以清理；凡异常记录数据的盘，需经测试确认后由专人进行销毁，并做好登记；对需要长期保存的有效数据，应质量保证期内进行转存，

  1.简述加密技术的基础原理，并指哪些常用的加密体制及代表算法。答：信息加密技术是利用密码学的原理与方法对传输数据提供保护手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。加密体制的分类：从原理上分为两类：即

  答：1.初始置换ip及其逆初始化转换ip-1 ;乘积变换；选择扩展运算、选择压缩运算和置换运算；des安全性分析及其变形

  答：rsa加密方法是在多个密钥中选中一部分密钥作为加密密钥，另一些作为解密密钥。rsa签名方法：如有k1/k2/k3三个密钥，可将k1作为a的签名私密钥，k2作为b的签名密钥，k3作为公开的

  验证签名密钥，实现这种多签名体制，需要一个可信赖中心对分配秘密签名密钥。

  链路加密:对网络中两个相邻节点之间传输的数据来进行加密保护；节点加密：指在信息传输过程的节点进行解密和加密；端到端的加密：指对一对用户之间的数据连续地提供保护。

  4.认证的目的是什么？认证体制的要求和技术是什么？答：1.认证的目的有三个：一消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）等的认证，目的是防止消息重放或延迟等攻击。2?—个安全的认证体制至少应该满足以下要求：意定的接收者能够检验和证实消息的合法性，真实性和满足性；消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息；除了合法的消息发送外，其他人不能伪造发送消息。

  3 .数字签名技术，一种实现消息完整性认证和身份认证的重要技术；身份认证技术，包括直接身份认证技术和间接身份认证技术；消息认证技术，包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。

  答：pki是一个用公钥密码算法原理和技术提供安全服务的通用型基础平台，用户可利用pki平台提供的安全服务进行安全通信。pki采

  用标准的密钥管理规则，能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。

  答：最重要的包含认证机构ca、证书库、密钥备份、证书作废处理系统和pki 应用接口系统等。认证机构ca、证书库、证书撤销、密钥备份和恢

  复、自动更新密钥、密钥历史档案、交叉认证、不可否认证、时间戳和客户端软件

  答：防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通

  信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问，管理内部用户访问外部网络，防止对重要信息资源的非法存取和访问，以达到保护内部网络系统安全的目的。

  答：防火墙是网络安全策略的有机组成部分，它经过控制和监制网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙具有五大基本功能：过滤进、出网络的数据；和管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的内容信息和活动；对网络攻击的检测和告警。3.防火墙的体系结构有哪几种？简述各自的特点。

  2.双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络往另一个网络发送ip数据包。双重宿主主机体系结构是由一台同时连接在内外网络的双重宿主主机提供安全保障的，而屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全的主机仅仅与被保护的内部网络相连。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与

  目的地址、源端口和目的端口进行过滤。数据包过滤技术是在网络层对数据包做出合理的选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。

  3.包过滤型防火墙一般有一个包检查模块，能够准确的通过数据包头的各项信息来控制站点与站点、站点与网络、网络与网络之间的访问，但不能控制传输的数据，因为内容是应用层数据。

  答：1.数据包过滤技术能允许或不允许某些数据包在网络上传输，主要是根据有：数据包的源地址、目的地址、协议类型（tcp、udp、icmp等）、tcp或udp的源端口和目的端口、icmp消息类型。

  2.包过滤系统只能进行类似以下情况的操作：不让任何用户从外部网用tel net登录；允许任何用户用smt p往内部网发电子邮件；只允许某台计算机通过nntp往内部网发新闻。但包过滤不能允许进行

  如下的操作：允许某个用户从外部网用 tele nt 登录而不允许其他用 户进行这种操作；允许用户传送一些文件而不允许用户传送其他文 件。 5. 简述代理防火墙的工作原理，并阐述代理技术的优缺点。

  答：1.所谓代理服务器，是指代表客户处理连接请求的程序。当代 理服务器得到一个客户的连接意图时，它将核实客户请求，并用特 定的安全化的Proxy 应用程序来处理连接请求，将处理后的请求传 递到真实服务器上，然后接受服务应答，并进行进一步处理后，将 答复交给发出请求的客户。代理服务器在外部网络向内部网络申请 服务时发挥了中间转接和隔离内、外部网的作用，所以又叫代理防 火墙。代理防火墙工作于应用层，且针对特定的应用层协议。 2.优 点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控 制进出流量、内容；代理能过滤数据内容；代理能为用户更好的提供透明 的加密机制；代理可以方便地与其他安全手段集成。 缺点：代理速 度较路由慢；代理对用户不透明；对于每项服务代理可能要求不同 的服务器；代理服务器不能够确保免受手所有协议弱点的限制；代理 不能改进底层协议的安全性。

  服务器防火墙的长 处，克服了两者的不足，可以依据协议、端口， 地址的详细情况决定数据包是否允许通过。

  性、可伸展性和易扩展性、应用场景范围广。不足： 处理过程可能会造成网络的连接的某种迟滞。

  答：nat 技术就是一种把内部私有ip 地址翻译顾合法网络ip 地址的 技术。简单来说，nat 技术就是在局域网内部中使用内部地址，而当 内部节点要与外部网络进行通信时，就在网关处将内部地址替换成 公用地址，从而在外部公网上正常使用。

  答：攻击者往往通过发掘信息关系和最薄弱环节上的安全脆弱点来 绕过防火墙，或者由拔点账号实施攻击来避免防火墙。典型技巧：

  1. 用获取防火墙标识进行攻击。凭借端口扫描和标识等获取技巧， 攻击者能效地确定目标

  透防火墙扫描。3.利用分组过滤的脆弱点进行攻击。利用 设计以及源地址、目的 优

  答：优点：增加了保护级别，不需要额外的硬件资源；个人防火墙除了能抵挡外来攻击的同时，还可以抵挡内部的攻击；个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，比如ip 地址之类的信息等。

  缺点：个人防火墙对公共网络只有一个物理接口，导致个人防火墙本向容易受到威胁；个人防火墙在运行时需要占用个人计算机内存、cpu时间等资源；个人防火墙只能对单机提供保护，不能保护网络系统。

  答：防火墙的发展动态：防火墙有许多防范功能，但由于互联网的开放性，它也有力不能及的地方，主要体现以下几个方面：防火墙不能防范不经由防火墙的攻击；防火墙目前还不能防止感染病毒的软件或文件的传输，这只能在每台主机上安装反病毒软件；防火墙不能防止数据驱动式攻击；另外，防火墙还存着安装、管理、配置复杂的特点，在高流量的网络中，防火墙还容易成为网络的瓶颈。

  防火墙的发展的新趋势：优良的性能；可扩展的结构和功能；简化的安装和管理；主动过滤；防病毒与防黑客；发展联动技术。

  1.简述入侵检测系统的基本原理答：侵入检测是用于检测任何损害或企图损害系统的保密性，完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

  答：1.由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也不一样。从系统构成看，入侵检测系统应包括数据提取、入侵分析、响应处理、和远程管理四大部分。 2.入侵检测系统的功

  2.由于功能和体系结构的复杂性，入侵检测系统模型可分为数据源、检测理论和检测时效三种。基于数据源的分类，按照数据源处所的位置可把入侵检测系统分为三类，即基于主机基于网络、混合入侵

  检测、基于网关的入侵检测系统及文件完整性检查系统。基于检测理论的分类，可分为异常检测和误用检测两种。基于检测时效的分类，ids在处理数据的时候可采用实时在线检测方式（实时检测）、批解决方法（离线检测）。

  答：入侵检测分析处理可分为三个阶段：构建分析器、对实际现场数据来进行分析、反馈和提炼过程。其中前两个阶段包含三个功能，即数据处理、数据分类（数据可分为入侵指标、非入侵指示或不确定）和后处理。

  答：误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖可靠的用户活动记录和分析事件的方法。分为条件概率预测法、产生式/专家系统、状态转换

  方法（状态转换分析、有色Petri-net、语言/基于api方法）、用于批模式分析的信息检索技术、keystroke mon itor 和基于模型的方法。

  异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加，异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量集来描述的。为denning

  的原始模型、量化分析、统计度量、非参数统计度量和基于规则的方法。6.指出分布式入侵检测的优势和劣势

  答：分布式入侵检测由于采用了非集中的系统结构和解决方法，相对于传统的单机ids具有一些明显的优势：检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施；分布式入侵检测的技术难点：事件产生及存储、状态空间管理及规则复杂度、知识库管理和推理技术。

  答：l.ietf/idwg.idwg 定义了用于入侵检测与响应（idr ）系统之间或与需要交互管理系统之间的信息共享所需要的数据格式和交换规程。idwg 提出了三项建议草案：入侵检测消息交换格式（idmef ）、入侵检测交换协议（idxp ）及隧道轮廓2.cidf.cidf的工作集中体现在四个方面：ids 体系结构、通信机制、描述语言和应用编程接口

  答：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种各样的因素。安全威胁可分为人为安全威胁和非人为安全威胁两大类。安全威胁和安全漏洞紧密关联，安全漏洞的可度量性使人们对系统安全的潜在影响有了更加直观的认识。

  答：1.漏洞是指在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而能够使攻击者能够在未授权的情况下访问或破坏系统。

  2.漏洞的产生有其必然性，是因为软件的正确性通常是通过检验测试来保障的。检测只能发现错误，证明错误的存在，不能证明错误的不存在。尤其是像操作系统这样的大型软件不可避免地存在着设计上的缺陷，这些缺陷反映在安全功能上便造成了系统的安全脆弱性。

  答：1.按漏洞可能对系统造成的直接威胁分类，有：远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露和其他漏洞。 2 .按漏洞成因分类：输

  入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误。

  答：网络安全漏洞检测最重要的包含端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪

  些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通 过安全漏洞探测不难发现系统中有几率存在的安全漏洞。网络安全漏 洞检测的一个重要目的是要在入侵者之前发现系统中存在的安全 问题，及时地采取对应防护措施。

  5. 端口扫描技术的原理是什么？根据通信协议的不同可大致分为哪几 类？ 答：端口扫描的原理是向目标主机的 tcp/ip 端口发现探测数据包，

  并记录目标主机的响应。通过一系列分析响应来判断端口是打开还是关闭 等状态信息。根据所使用通信协议的不同，网络通信端口可大致分为 tcp 端口（全连接、半连接）和 udp 端口两大类。

  答：操作系统探测最重要的包含：获取标识信息探测技术、基于 协议栈的操作系统指纹探测技术和 icmp 响应分析探测技术。

  答：安全漏洞探测是采用很多方法对目标有几率存在的己知安全漏洞 进行逐项检查。按照安全漏洞的可利用方式来划分，漏洞探测技术 可大致分为信息型漏洞探测和攻击漏洞探测两种。按照漏洞探测的技 术特征，又可以划分为基于应

  2. 信息安全从总体上可以分成 5个层次，密码技术 是信息安全中研 究的关键点。

  4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息 系统安全保护等级划分准则》将计算机安全保护划分为以下 别。 二、填空题

  1. 信息保障的核心思想是对系统或者数据的 4个方面的要求：保护 （Protect ），检测（detect ），反应（react ），恢复

  的重要的因素是系统和网络安全脆弱性（vul nerability ）层出不穷，这些安全威胁事件给in ternet带来非常大的经济损失。

  4.b2级，又叫它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。

  答：①攻击技术：网络扫描，网络监听，网络入侵，网络后门，网络隐身②防御技术：安全操作系统和操作系统的安全配置，加密技术，防

  （1 ）物理安全特点：防火，防盗，防静电，防雷击和防电磁泄露。（2）逻辑安全特点：计算机的逻辑安全需要用口令、文件许可等方法实现。

  （4）联网安全特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。

  答：目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域，并影响到社会的稳定。

  1.o si参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成

  2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据来进行编码。。

  1.网络层的基本功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。