计算机系统安全作业.doc

计算机系统安全作业：第一章1. 什么是计算机系统安全？答：计算机系统安全，是指微计算机系统建立和采取的技术与管理的安全保护措施，这些安全保护措施可以保护计算机系统中的硬件，软件以及数据，防止因偶然或恶意的原因而使系统或信息遭到破坏，更改或泄露。计算机系统安全包括物理安全，运行安全以及信息安全三个方面。2. 对于计算机系统安全，有哪些典型的攻击？简单列举几个。答：。分类1. 被动攻击直接侦收截获信息合法窃取破译分析从遗弃的媒体中分析获取信息2. 主动攻击窃取并干扰通信线路中的信息返回参透线间插入非法冒充系统人员窃取密和毁坏系统数据，信息的活动等。方法1. 暴力攻击2. 拒绝服务攻击3. 嗅探4. 欺骗5. 社会工程3. 实施纵深防御的技术有哪些？答：1.防火墙技术 2.物理隔离 3.身份认证 4.VPN 5.访问控制 6.入侵检测 7.漏洞扫描 8.加密 9.安全审计 10.病毒防护 11.非法外连监控 12.操作系统安全 13.数据安全 14.数据备份 15.灾难恢复及应急响应4. 什么事系统安全策略？答：兴叹全策略是指在系统环境里，为了保证提供一定级别的安全保护所必须遵守的一系列条例和规则。5. OSI安全系统结构中，包括哪些安全服务？安全服务与安全机制之间的关系如何？答：有5类服务：认证服务，访问控制服务，数据机密性服务，数据完整性服务，不可否认性服务。 一项安全服务可以由若干项安全机制来实现。安全服务提供者对信息的机密性，完整性和来源的真实性进行保护和鉴别的过程称为安全服务。 6. 结构化保护级的主要特征有哪些？答：1）TCB基于一个明确定义的形式化安全保护策略2）将第三极实施的（自主和强制）访问控制扩展到所有主体和客体。3）针对隐蔽信道，将TCB结构成为关键保护元素和非关键保护元素。4）TCB具有合理定义的接口，使其能够经受严格的测试盒复查。5）通过提供可信路径来增强鉴别机制。6）支持系统管理员和操作员的可确认性，提供可信的实施管理方法，增强严格的配置管理控制。第二章1.常见的认证技术有哪些？答：人脸识别，指纹识别，虹膜识别，手形识别，掌纹识别，身份验证，击键识别，签名识别 ，图形化的验证码，双因子认证，等等。5.如何实现机密性保护？如何实现完整性保护？答：来自一个使用访问控制保护的环境的信息项，在使用隐藏信息的方法银奖没有必要。当它运动到一个不同的没有可靠地访问控制保护的环境时，要在这个环境中的维持机密性，就必须使用加密。紧接着数据项又运动到另一个访问控制方法保护的环境，这时就不需要隐藏信息的方法。6.简单描述一下不可否认服务的实现过程。答：首先要提出服务请求，然后政局产生。证据产生与关键行为相关联，而且由一方或者操作一致的某几方组成的群体来完成，它或它们扮演者证据产生者的角色。然后是证据传递，存储关键行为发生后，证据已经产生，证据要被传递到最终需要使用的一方或几方，和（或）被可信第三方存储可能作为将来的参考。这个阶段以后是证据验证，就是核对被传递的或被可信地保存着的证据，它的目的是让各方信任被提供的证据将会足以应付纠纷引发的事件。最后阶段是纠纷解决，它确实可以发生在那些阶段发生之后不久，但更可能发生在之后很久。7.安全审计有哪些功能？答：1）记录关键事件 2）提供可集中处理审计日志的数据形式。 3）提供易于使用的软件工具。 4）实时安全报警。第三章1. 有几种分离方式可以用来保护操作系统？它们的优缺点是什么？答：1）物理分离。此时不同的用户使用不同的物理对象，比如根据输出数据的安全等级的不同分离打印机，这样提供了很强形式的分离，但不现实。2）时间分离。要求不同的进程在不同时间执行，避免了并发带来的许多问题。3）逻辑分离。逻辑分离通过沙箱实现，每个进程在各自的沙箱内运行，进程在它的啥箱内可做任意的事情，但限制它在沙箱外的行为。4）加密分离。此时进程加密他们的数据和计算，使得外部进程很难理解它们。4.列举一些用户认证方式，这些认证方式的优缺点各是什么？答：用于用户身份认证的方法一般有四种 个人所知道的信息：口令，PIN（用户标识码），问题答案等 个人所持有物品：智能卡，钥匙等，通常称令牌 个人静态生理特征：指纹、虹膜识别以及人脸识别等 个人动态行为特征：语音，笔迹，打字节奏等6.什么是可信操作系统？答：如果信赖一个系统的安全性，就认为这个系统是可信的。可信操作系统是安全操作系统的进一步发展，它不是主观臆造的，是在安全操作系统的基础上发展起来。第五章1. 简单分析系统的安全漏洞。答：漏洞也叫脆弱性，是计算机系统在硬件，软件，协议的具体实现或系统安全策略上存在的缺陷或者不足。2. 漏洞的分类标准有哪些？答：1）根据漏洞被攻击者利用的方式分类2）根据漏洞形成的主要原因分类3）根据漏洞对系统安全造成的危害分类4）根据漏洞对系统安全造成的直接威胁分类5）根据漏洞的触发条件分类6）根据漏洞的操作角度分类7）根绝漏洞发生的时序分类3. 漏洞库主要包括哪些信息？答：1）漏洞基本信息：漏洞名称，CVE编号，本地编号，发布更新时间等。2）漏洞分类分级信息：漏洞级别类型，攻击类型效果等。3）参考资源信息：权威网站中与此漏洞相关的信息。4）受影响的系统：此漏洞对哪些系统构成威胁的信息。5）关键字：描述此漏洞最关键的信息。6）补丁信息：漏洞补救方法，补丁信息和补丁下载地址信息等。7. 简单举例几个常用的扫描器，并说明它们的工作原理。答：现在大量的扫描器集成了主机扫描，端口扫描和漏洞扫描的功能，而且还具有攻击功能，常用的有X-scan，Fluxay等。 X-scan 是国内著名网络安全组织安全焦点开发的综合扫描工具。 首先对其参数进行设置，这里设置扫描的IP范围为202.119.201.65202.119.201.254.在全局设置模块，可以设置要扫描的选项：如操作系统信息，弱口令，IIS漏洞等，还可以设置并发扫描的线程的数量。还可以设置扫描插件，对刚才设置的网段进行扫描。 Fluxay流光不但集成了漏洞扫描，弱口令扫描，而且还附带常用的入侵工具。使用流光扫描时，通常要把扫描的线程设置为中等（选择“选项”“系统设置”命令），若线程过高，可能会出现错误。流光的功能比X-scan的功能多，而且更复杂。第六章1. 计算机病毒具有哪些特征？答：1）非授权可执行性2）感染性3）寄生性4）隐蔽性5）潜伏性6）可触发性7）破坏性8）主动攻击型 2. 蠕虫和病毒有哪些不同？答：1）蠕虫是一个可以独立运行的程序。但病毒不能独立存在，必须将自身的代码附着在其他程序中，其程序的激活依赖于宿主程序的执行。2）蠕虫可以自动通过传播，不需要利用文件寄生技术；而病毒需要依赖于宿主文件进行传播。3）蠕虫通常感染的对象是有相应漏洞或者其他脆弱性德计算机系统，而病毒的感染对象则是计算机中的文件系统。3. 说明一下木马的工作原理。答：特洛伊木马通常由一个客户端和一个服务器端构成，客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制就可以通过对被入侵电脑发送指令来传输和修改文件。还有一些木马不具备远程登录的功能。它们的存在只是为了隐蔽恶意进程的痕迹。 常见的木马有冰河，网络神偷，灰鸽子。4. 缓冲区溢出的工作原理是什么？答：缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。 当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃8. 分布式拒绝服务攻击的工具有哪些？它们是如何工作的？答：常用的DDoS工具有Trinoo、TFN、Stacheluraht、TFN2K和Trinity v3等。第七章1. 什么叫防火墙？说明防火墙的作用和设置防火墙的目的。答：防火墙是指一个由软件和硬件设备组成而成，在内部网和外部网之间，专用网与公用网之间的界面上构造的保护屏障。 位于两个或多个网络设备之间，通过执行访问控制策略来达到网络安全的目的。 它隔离了内部和外部网络，是内部和外部网络通信的唯一途径，能够根据指定的访问规则对流经它的信息进行监控和审查，以保护内部网络不受攻击和非法访问。2. 防火墙的功能有哪些？答：1）防火墙作为网络的集中监视点，是网络安全的屏障2）隔离内外网络，保护内部网络，防止内部信息的外泄3）强化网络安全策略4）有效记录和审计内外网络活动3. 防火墙主要分为哪几类？答：1. 网络级防火墙 2. 应用级网关 3. 规则检查防火墙 4. 电路级网关4.你是如何配置个人防火墙的？步骤 1 配置各接口地址（略）步骤 2 创建ACL# 创建访问控制列表ACL3001，仅允许特定内部主机129.38.1.1 和129.38.1.2 访问外部网络，禁止其它所有主机的对外访问。 system-viewQuidway acl number 3001Quidway-acl-adv-3001 rule permit ip source 129.38.1.1 0Quidway-acl-adv-3001 rule permit ip source 129.38.1.2 0Quidway-acl-adv-3001 rule deny ip# 创建访问控制列表ACL3002，仅允许特定外部主机202.1.2.3 访问内部网络中的服务器129.38.1.105，禁止其它所有的对内访问。Quidway acl number 3002Quidway-acl-adv-3002 rule permit tcp source 202.1.2.3 0 destination 129.38.1.1050Quidway-acl-adv-3002 rule deny ip步骤 3 定义两个类，分别匹配ACL3001 和ACL3002Quidway traffic classifier class1Quidway-classifier-class1 if-match acl 3001Quidway-classifier-class1 quitQuidway traffic classifier class2Quidway-classifier-class2 if-match acl 3002步骤 4 定义流行为，启动包过滤防火墙功能Quidway traffic behavior behavior1Quidway-behavior-behavior1 deny步骤 5 定义两个策略，为不同类的报文指定流行为Quidway traffic policy mypolicy1Quidway-trafficpolicy-mypolicy1 classifier class1 behavior behavior1Quidway-trafficpolicy-mypolicy1 quitQuidway traffic policy mypolicy2Quidway-trafficpolicy-mypolicy2 classifier class2 behavior behavior1步骤 6 在路由器的Ethernet2/0/0 和ATM1/0/0 接口上应用策略Quidway interface ethernet 2/0/0Quidway-Ethernet2/0/0 traffic-policy mypolicy1 inboundQuidway-Ethernet2/0/0 quitQuidway interface atm 1/0/0Quidway-ATM1/0/0 traffic-policy mypolicy2 inbound步骤 7 检查配置结果以外部主机202.1.2.3 为例。在外部主机202.1.2.3 上使用ping 命令，可以看到它能够ping 通内部服务器129.38.1.105，但不能ping 通192.38.1.1。ping 129.38.1.105PING 129.38.1.105 data bytes, press CTRL_C to breakReply from 129.38.1.105: bytes=56 Sequence=1 ttl=255 time=1 msReply from 129.38.1.105: bytes=56 Sequence=2 ttl=255 time=1 msReply from 129.38.1.105: bytes=56 Sequence=3 ttl=255 time=1 msReply from 129.38.1.105: bytes=56 Sequence=4 ttl=255 time=1 msReply from 129.38.1.105: bytes=56 Sequence=5 ttl=255 time=1 ms- 129.38.1.105 ping statistics -5 packet(s) transmitted5 packet(s) rece