浙江开放大学 文本 《网络安全技术》课后题目整理

浙江开放大学 开放专科计算机网络技术专业 《网络安全技术》课后题汇总 第一章 1,《中华人民共和回网络安全法》什么时间正式施行？（B】 A.2016年11月17日 B.2017年6月1日 C.2017年11月17日 D,2016年6月1日 2.互联网出口必领向公司信息化注管部门进行(A)后方可使用. A。备案审批 B.申请 C.说明 D.报备 3.按照1S0安全结构文就定义，网络安全漏洞是（C), A.钦件程序BUG B.网络硬件设备缺陷 C。造成破环系统或者信息的雨，点 D.网路病毒及网络攻击 4.网馅安全涉及以下些学科？(ABCE) A.计增机科学B。通信技术 C.信息安全技术 D,经济数学E.网路技术 5.从特征上看，阿络安全棕包含机密性，可用性、可控性、可审查性之外，还有(B), A.可管理性B.完型性 C.可升级 D,以上都不对 6.PDR安全模型是岩策格(Policy、防护(Protection)和响应(Response),还有 (A). A,检测(Detection) B.破坏(De5troy) C.升级(Update) D.t密(Encryption) 7,保摩网路安全的基本目标就是要能够具备安全保护能力、应总反应能力、信总对抗能 力和(C). A.安全评估德力 B.威胁发现能力

浙江开放大学 开放专科计算机网络技术专业 《网络安全技术》课后题汇总 第一章 1．《中华人民共和国网络安全法》什么时间正式施行？（ B ） A．2016 年 11 月 17 日 B．2017 年 6 月 1 日 C．2017 年 11 月 17 日 D．2016 年 6 月 1 日 2．互联网出口必须向公司信息化主管部门进行（ A ）后方可使用。 A．备案审批 B．申请 C．说明 D．报备 3．按照 ISO 安全结构文献定义，网络安全漏洞是（ C ）。 A．软件程序 BUG B．网络硬件设备缺陷 C．造成破坏系统或者信息的弱点 D．网络病毒及网络攻击 4．网络安全涉及以下哪些学科？（ ABCE ） A．计算机科学 B．通信技术 C．信息安全技术 D．经济数学 E．网络技术 5．从特征上看，网络安全除包含机密性、可用性、可控性、可审查性之外，还有（ B ）。 A．可管理性 B．完整性 C．可升级 D．以上都不对 6．P2DR 安全模型是指策略（Policy）、防护（Protection）和响应（Response），还有 （ A ）。 A．检测（Detection） B．破坏（Destroy） C．升级（Update） D．加密（Encryption） 7．保障网络安全的基本目标就是要能够具备安全保护能力、应急反应能力、信息对抗能 力和（ C ）。 A．安全评估能力 B．威胁发现能力

C,隐思发现能力 D,网烙病西防护力 8.网络安全的威助和攻击，归钠起来可能来自以下哪几个方面？（AB0】 A.内部操作不当 B.内部管理缺失 C.网络设备故尊 D.外郭的威肋和犯罪 9.从内客上看，路安全大致包括以下4个方面的内容（网路实体安全）、（软件安全）、 (数据安全)、（安全管理）， 10.国家不支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准 行业标准的制定，（×) 11.网络安全是指网路系统的硬件、钦件及系统中的歇据受到保护，不受然的或者恶 意的原因生玻坏更改。泄露，系统连续可靠正常地运行，网络服务不中断。（√） 12.防护可以分为三大类：软件安全防护、网路安全防护和信息安全防护。（￥） 13.计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能组 止授极的用户对它的访问或破环.(、) 14.竖到服务的目的在于保证信息的可靠性.实现份认正的主要方法包括口今、数字 证书、基于生物特征《比如纹、声音等)的认证等。〔√】 15.拒绝服务攻击是指采取不断对网馅服务系统进行干扰，改变其正常的作业流程，执 行正常程序使系统响应减慢甚全雍疏。《】 第二章 1.外部攻击事件分为哪几类？各有什么特点？ 答：分为5种分别是 (1)破坏型攻击 破怀型攻击以破怀对方系统为主要目标，破坏的方式包括使对方系统拒绝提供服务、 除有用据甚至操作系统、破硬件系统（如QH病毒）等。其中，病毒攻击、拒绝务 (Denial of Service)是最常见的皱坏性攻击， (2)利用型攻击 利用型攻击是一类试图直接对目标计算机进行控制的攻击，目标计算机一旦被攻击者控 制，其上的信急可能枝南取，文件可能被修改，层至还可以利用目标计算机作为就板来攻击 2

2 C．隐患发现能力 D．网络病毒防护能力 8．网络安全的威胁和攻击，归纳起来可能来自以下哪几个方面？（ ABD ） A．内部操作不当 B．内部管理缺失 C．网络设备故障 D．外部的威胁和犯罪 9．从内容上看，网络安全大致包括以下 4 个方面的内容（网络实体安全）、（软件安全 ）、 （数据安全）、（安全管理 ）。 10．国家不支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、 行业标准的制定。（ × ） 11．网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶 意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。（ √ ） 12．防护可以分为三大类：软件安全防护、网络安全防护和信息安全防护。（ × ） 13．计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻 止非授权的用户对它的访问或破坏。（ √ ） 14．鉴别服务的目的在于保证信息的可靠性。实现身份认证的主要方法包括口令、数字 证书、基于生物特征（比如指纹、声音等）的认证等。（ √ ） 15．拒绝服务攻击是指采取不断对网络服务系统进行干扰，改变其正常的作业流程，执 行正常程序使系统响应减慢甚至瘫痪。（ × ） 第二章 1．外部攻击事件分为哪几类？各有什么特点？ 答：分为 5 种分别是 （1）破坏型攻击 破坏型攻击以破坏对方系统为主要目标，破坏的方式包括使对方系统拒绝提供服务、 删除有用数据甚至操作系统、破坏硬件系统（如 CIH 病毒）等。其中，病毒攻击、拒绝服务 （Denial of Service）是最常见的破坏性攻击。 （2）利用型攻击 利用型攻击是一类试图直接对目标计算机进行控制的攻击，目标计算机一旦被攻击者控 制，其上的信息可能被窃取，文件可能被修改，甚至还可以利用目标计算机作为跳板来攻击

其他计算机 (3)信息收集型攻击 信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信 息 (4)网络款明攻击 ①DNS欺骗攻击。DNS服务器与其他服务器进行信息交换时不进行身份验证，攻击者 可以将不正确的信息拖进来，井把用户引向攻击者自己的主机， ②电子邮件攻击，由于SMTP不对邹件发送者进行身份认证，攻击者可以对内部客户 伪造电子邮件。 ③Wb骗。针对浏览网贞的个人用户进行欺骗，非法获取或者破坏个人用户的艳私 和数据资料. ④P欺骗，伪造数记包源P地址的攻击，它实现的可能性基于两个前提：TCP/IP网络 在路由选择时，只判断目的P地址，而不对源P地址进行判断：两台主机之间存在基于P 地址的认证授权访问. (5)垃圾信息攻击 垃圾信息是指发送者因种目的大量发送的，而接收者又不愿意接资收的信息，多数情况下， 垃圾信息攻击不以破坏对方为目的。而是以传特定信息为主要目的，如发送大量的广告信 息等 2.简述攻击的步聚。 攻击步骤分为三个阶段 (1)攻击的准备阶段在攻击的准备阶段重点做3件事情：确定攻击目的、收集目标台 总，以及准备攻击工具 (2)攻击的实施阶段 本阶段实施具体的攻击行动。作为破坏性攻击，只需要利用工具发动攻击即可：而作为 入侵性攻击。往往需要利用收集到的信息，找到系统洞洞，然后利用该渴洞获取一定的权限。 大多数攻击成功的范例都是利用被攻击者系统本身的漏闹 (3)攻击的芭后阶段 对于攻击者来讲，完成前两个阶段的工作，也就基本上完成了攻击的目的，所以，攻击 的普后阶段往往会披忽视。 3.常见的端口扫描方式有几种？各有什么特点？

3 其他计算机。 （3）信息收集型攻击 信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信 息。 （4）网络欺骗攻击 ① DNS 欺骗攻击。DNS 服务器与其他服务器进行信息交换时不进行身份验证，攻击者 可以将不正确的信息掺进来，并把用户引向攻击者自己的主机。 ② 电子邮件攻击。由于 SMTP 不对邮件发送者进行身份认证，攻击者可以对内部客户 伪造电子邮件。 ③ Web 欺骗。针对浏览网页的个人用户进行欺骗，非法获取或者破坏个人用户的隐私 和数据资料。 ④ IP 欺骗。伪造数据包源 IP 地址的攻击，它实现的可能性基于两个前提：TCP/IP 网络 在路由选择时，只判断目的 IP 地址，而不对源 IP 地址进行判断；两台主机之间存在基于 IP 地址的认证授权访问。 （5）垃圾信息攻击 垃圾信息是指发送者因某种目的大量发送的，而接收者又不愿意接收的信息。多数情况下， 垃圾信息攻击不以破坏对方为目的，而是以传播特定信息为主要目的，如发送大量的广告信 息等。 2．简述攻击的步骤。 攻击步骤分为三个阶段 （1） 攻击的准备阶段 在攻击的准备阶段重点做 3 件事情：确定攻击目的、收集目标信 息，以及准备攻击工具。 （2） 攻击的实施阶段 本阶段实施具体的攻击行动。作为破坏性攻击，只需要利用工具发动攻击即可；而作为 入侵性攻击，往往需要利用收集到的信息，找到系统漏洞，然后利用该漏洞获取一定的权限。 大多数攻击成功的范例都是利用被攻击者系统本身的漏洞。 （3） 攻击的善后阶段 对于攻击者来讲，完成前两个阶段的工作，也就基本上完成了攻击的目的，所以，攻击 的善后阶段往往会被忽视。 3． 常见的端口扫描方式有几种？各有什么特点？

(1)全TCP连接 这种扫描方法使用3次摇手，与目标计算机建立标准的TCP连接。这种方法容易被 目标主机记录，但获取的信总此较详细， (2)半打开式扫描(SYN扫描) 扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送速立连接请求。 由于扫描过程中，全连接尚未建立，所以大大蜂低了被目标计算机记录的可能。并 且加快了扫描速度。 (3)FIN扫描 依靠发送FIN字段来判断目标计算机的指定端口是否活动.发送一个FIN=1的TCP 报文到一个关闭的端口时，该报文会被玉掉，并返回一个RST报文，如果当FN报 文到一个活动端口时，该报文只是简单地丢弃，不会返回任何回应，从中可以看出， FN扫描没有涉及任何TCP连接部分，因此，这种扫描比前两种都安全。 (4)第三方扫描 第三方扫描又称“代到妇描”，这种妇描闲利用第三方主机来代替入侵者进行扫描。第 三方主机一设是入侵者证过入侵其他计算机而得的，该主机又被称为“肉鸡”，是 安全防御系数极低的个人计算机 (5)NUL扫描 NU儿L扫描是FIN扫描的变种，它将TCP数据包的所有标志位都置空，然后发送给 目标主机上需要税划的TCP瑞口。这样做的目的城是，可以让数据包绕过防火墙成 者DS的过滤. (6)XMas-TREE扫描 与NULL扫描类似的，还有一种稼之为XMas-TREE圣挺树的扫描。这种妇摧的特 点是，将TCP数据包中的紧急标志位.推送标志位.终止标志都置1。这也是不符 合RFC标准的，因此不同类型的系统，在接收到此类数记包时，会有不同的反应， 圣凝树扫描也常用来区分操作系统类型， 4.如何防御IPC5入侵？ (1)因除默认共享 (2)禁止空连接进行枚举攻击。打开注册表缤粗器，在HKEY_LOCAL MACHINE SYSTEM\CurrentControlSet\control\Lsa Restrict Anonymous=DWORD 4

4 （1）全 TCP 连接 这种扫描方法使用 3 次握手，与目标计算机建立标准的 TCP 连接。这种方法容易被 目标主机记录，但获取的信息比较详细。 （2）半打开式扫描（SYN 扫描） 扫描主机自动向目标计算机的指定端口发送 SYN 数据段，表示发送建立连接请求。 由于扫描过程中，全连接尚未建立，所以大大降低了被目标计算机记录的可能，并 且加快了扫描速度。 （3）FIN 扫描 依靠发送 FIN 字段来判断目标计算机的指定端口是否活动。发送一个 FIN=1 的 TCP 报文到一个关闭的端口时，该报文会被丢掉，并返回一个 RST 报文。如果当 FIN 报 文到一个活动端口时，该报文只是简单地丢弃，不会返回任何回应。从中可以看出， FIN 扫描没有涉及任何 TCP 连接部分，因此，这种扫描比前两种都安全。 （4）第三方扫描 第三方扫描又称“代理扫描”，这种扫描利用第三方主机来代替入侵者进行扫描。第 三方主机一般是入侵者通过入侵其他计算机而得到的，该主机又被称为“肉鸡”，是 安全防御系数极低的个人计算机。 （5）NULL 扫描 NULL 扫描是 FIN 扫描的变种，它将 TCP 数据包的所有标志位都置空，然后发送给 目标主机上需要探测的 TCP 端口。这样做的目的就是，可以让数据包绕过防火墙或 者 IDS 的过滤。 （6）XMas-TREE 扫描 与 NULL 扫描类似的，还有一种称之为 XMas-TREE 圣诞树的扫描。这种扫描的特 点是，将 TCP 数据包中的紧急标志位、推送标志位、终止标志都置 1。这也是不符 合 RFC 标准的，因此不同类型的系统，在接收到此类数据包时，会有不同的反应。 圣诞树扫描也常用来区分操作系统类型。 4． 如何防御 IPC$入侵？ ( 1） 删除默认共享。 （2） 禁止空连接进行枚举攻击。打开注册表编辑器，在 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\control\Lsa 中把 Restrict Anonymous=DWORD

的键值改为00000001。修改完毕里启计算机，这样便禁止了空连接进行枚举攻 击。不过要说明的是。这种方法并不能禁止建立空连接 (3)关闭Server服务.Server服务是IPC$和默认共亨所依就的服务，如果关闭erver 报务，PC和欧认共享便不存在，但可时服务器也丧失其他一些服务，因比该方法 只话合个人计算机使用。可通过“控制面板”一“管理工具”一“服务”命令打开 报务管理器，在服务管理器中找到Server服务，然后禁止 5.入侵者如何隐藏自己的行踪？ 当非法用户尝试时网络进行破坏前，首先探和分析网路的基本信息、状态，以及结 构。为了在这些探和分析中隐孩自己的行碳，主要采取以下几种方法 1.文件传输与文件隐：技术 2,扫描隐藏技术 3.入侵隐技术 第三章 1。什么是拒绝服务？常见的拒绝服务有思些？ DoS(Denial of Service,拒绝服务】是指相止或拒绝合法使用者存取网销服务器。蓝成DoS 的皮击行方被称为D0S欢击，即将大量的法申请封包传送给指定的目标主机，其目的是完全消耗目 标主机资源。使计篇机网络无法提供工常的授务。量常见的D5攻击包括计慎机同饱带高攻击和座 通性攻击， 2。举个拒绝服务的实例，并通过实验验证】 举例：分布式拒绝服务

5 的键值改为 00000001。修改完毕重启计算机，这样便禁止了空连接进行枚举攻 击。不过要说明的是，这种方法并不能禁止建立空连接。 ( 3 )关闭 Server 服务。Server 服务是 IPC$和默认共享所依赖的服务，如果关闭 Server 服务，IPC$和默认共享便不存在，但同时服务器也丧失其他一些服务，因此该方法 只适合个人计算机使用。可通过“控制面板”→“管理工具”→“服务”命令打开 服务管理器，在服务管理器中找到 Server 服务，然后禁止。 5． 入侵者如何隐藏自己的行踪？ 当非法用户尝试对网络进行破坏前，首先探测和分析网络的基本信息、状态，以及结 构。为了在这些探测和分析中隐藏自己的行踪，主要采取以下几种方法 1．文件传输与文件隐藏技术 2．扫描隐藏技术 3．入侵隐藏技术 第三章 1．什么是拒绝服务？常见的拒绝服务有哪些？ DoS（Denial of Service，拒绝服务）是指阻止或拒绝合法使用者存取网络服务器。造成 DoS 的攻击行为被称为 DoS 攻击，即将大量的非法申请封包传送给指定的目标主机，其目的是完全消耗目 标主机资源，使计算机或网络无法提供正常的服务。最常见的 DoS 攻击包括计算机网络带宽攻击和连 通性攻击。 2．举个拒绝服务的实例，并通过实验验证。 举例：分布式拒绝服务

攻击者发起DDoS攻击的第一步，就是导找在Internet上有混洞的主机，进入系统 后在其上安装后门程序，攻击者入Q的主机越多，其攻击队伍就趣壮大。第二步在入侵 主机上安装攻击程序，其中一部分主机充当攻击的主控端，另一部分主机充当攻击的代 理端，最后各郎分主机各司其职，在攻击者的调遭下对攻击对象发起攻击。由于攻击者 在幕后探纵，所以在攻击时不会受到监控系统的跟踪，身份不客易被发现 4.局域网中的MSSQL服务器在什么情况下能够枝SQL server Sniffer腺探到？应该如何 防范？ 局域网中的MSSQL报务器存在混闹情况下能被SQL server Sniffer嗅探到 预防sql注入的方法 (1)在设i计应用程序时，完全使用参数化查询(Parameterized Query)来设i计数据 访问功能。 (2)在组合SQL字符串时，针对所传入的参数作字符取代（将单引号字符取代为连续 2个单引号字符). (3)如果使用PHP开发网页程序的话，可以打开PHP的.魔术引号(Magic quote)功 能〔自动将所有的网页传入参数。将单引号字符取代为连续2个单引号字符)。 (4)使用其他更安全的方式连接SQL数苦车。例如，已修正过SQL注入问题的数据库 连接组件，如ASPNET的SqlDataSource对象或是LINQ to SQL. (5)使用SQL防注入系统 第四章 1.危苦极大的计算机病击CH发作的典型日期是〔D)。 A.6月4日 B.4月1日 C.5月26日 D.4月26日 2.计算机病毒可以使整个计算机症预，危去极大，计算机病毒是(B). A,一种芯片 B。一段特制的程序 C.一种生物病毒 D.一条命令 3,下面关于病毒的描述不正确的是(C). A,病番具有传染性 B。病毒能损坏硬件 C.病毒可加快运行速度 D.带每文件长度可能不会增加 6

6 攻击者发起 DDoS 攻击的第一步，就是寻找在 Internet 上有漏洞的主机，进入系统 后在其上安装后门程序，攻击者入侵的主机越多，其攻击队伍就越壮大。第二步在入侵 主机上安装攻击程序，其中一部分主机充当攻击的主控端，另一部分主机充当攻击的代 理端，最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者 在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。 4.局域网中的 MSSQL 服务器在什么情况下能够被 SQL server Sniffer 嗅探到？应该如何 防范？ 局域网中的 MSSQL 服务器存在漏洞情况下能够被 SQL server Sniffer 嗅探到 预防 sql 注入的方法 （1）在设计应用程序时，完全使用参数化查询（Parameterized Query）来设计数据 访问功能。 （2） 在组合 SQL 字符串时，针对所传入的参数作字符取代（将单引号字符取代为连续 2 个单引号字符）。 （3） 如果使用 PHP 开发网页程序的话，可以打开 PHP 的魔术引号（Magic quote）功 能（自动将所有的网页传入参数，将单引号字符取代为连续 2 个单引号字符）。 （4）使用其他更安全的方式连接 SQL 数据库。例如，已修正过 SQL 注入问题的数据库 连接组件，如 ASP.NET 的 SqlDataSource 对象或是 LINQ to SQL。 （5） 使用 SQL 防注入系统。 第四章 1．危害极大的计算机病毒 CIH 发作的典型日期是（ D ）。 A．6 月 4 日 B．４月 1 日 C．5 月 26 日 D．4 月 26 日 2．计算机病毒可以使整个计算机瘫痪，危害极大，计算机病毒是（B）。 A．一种芯片 B．一段特制的程序 C．一种生物病毒 D．一条命令 3．下面关于病毒的描述不正确的是（ C ）。 A．病毒具有传染性 B．病毒能损坏硬件 C．病毒可加快运行速度 D．带毒文件长度可能不会增加

4.计算机向毒是指(D). A,腐化的针算机程序 B.编制有错误的计算机程序 C.计算机的程字已被破坏 D.以危害系统为目的的特殊的计算机程 序 5.系统引导型病击主要将改的中断向量是(B). A.INT 10H B.INT 13H C.INT 19H D.INT 21H 6.病击最先获得系统控制的是它的（A)。 A.引导模块 B.传染模块 C,破坏模块 D.感染标志块 7.计算机病哥的基本特征是只有（传染性】性、（玻坏性）性.潜状性和透发因素 8.Word的（通用模板(Normal..dot))为宏筋每的很入开启了一扇大门， 9.计算机病毒的发谅地是（美国】。 10.计算机病毒的结构主要分为（程序结构)和（存储结构）. 11.我国计算机病毒的发作开始于(1989)年 12.简达文件型病毒、引导型病毒、宏病毒和蝶虫病毒的特点. (1)文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。 文件型病霉一般附着在被染的文件的首部、民部，或者中间的空闲部分， (2)引导型病毒是搭改写磁盘上的引导房区信总的病毒。引导型病毒主要染软盘和硬 盘的引导扇区或者主引导区，在系统启动时，由于先行执行引导扇区上的引号程序 使得病击加裁到系统内存上. (3)宏病毒Office软件文档或模板中的 (4)蠕虫(Wom)病毒是一种函过网络传招的恶意病毒. 13.简达什么是特洛伊木马. 特洛伊木马病毒是指隐在正常程序中的一段具有特殊功能的恶意代码，它具备破坏 和除文件、发送密码、记录键盘和用户操作、玻坏用户系统，员至使系统絳疯的功 能 14.简还什么是木马的加壳与脱壳. 加壳：一个程序写完后，并不是把写好的程序直接提供给用户使用，而是需费过一些 软件对应用程序进行处理，处理的目的有两个，一个是为了保护程序游代码、防止被悠 玫和破坏，另一个是适过边加壳后，减小程序的体积

7 4．计算机病毒是指（ D ）。 A．腐化的计算机程序 B．编制有错误的计算机程序 C．计算机的程序已被破坏 D．以危害系统为目的的特殊的计算机程 序 5．系统引导型病毒主要修改的中断向量是（B ）。 A．INT 10H B．INT 13H C．INT 19H D．INT 21H 6．病毒最先获得系统控制的是它的（ A ）。 A．引导模块 B．传染模块 C．破坏模块 D．感染标志模块 7．计算机病毒的基本特征是具有（ 传染性 ）性、（ 破坏性 ）性、潜伏性和诱发因素。 8．Word 的（通用模板（Normal.dot） ）为宏病毒的侵入开启了一扇大门。 9．计算机病毒的发源地是（ 美国 ）。 10．计算机病毒的结构主要分为（ 程序结构 ）和（ 存储结构 ）。 11．我国计算机病毒的发作开始于（ 1989 ）年。 12．简述文件型病毒、引导型病毒、宏病毒和蠕虫病毒的特点。 （1）文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。 文件型病毒一般附着在被感染的文件的首部、尾部，或者中间的空闲部分。 （2）引导型病毒是指改写磁盘上的引导扇区信息的病毒。引导型病毒主要感染软盘和硬 盘的引导扇区或者主引导区，在系统启动时，由于先行执行引导扇区上的引导程序， 使得病毒加载到系统内存上。 （3）宏病毒 Office 软件文档或模板中的 （4）蠕虫（Worm）病毒是一种通过网络传播的恶意病毒。 13．简述什么是特洛伊木马。 特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，它具备破坏 和删除文件、发送密码、记录键盘和用户操作、破坏用户系统，甚至使系统瘫痪的功 能。 14．简述什么是木马的加壳与脱壳。 加壳：一个程序写完后，并不是把写好的程序直接提供给用户使用，而是需要通过一些 软件对应用程序进行处理，处理的目的有两个，一个是为了保护程序源代码、防止被修 改和破坏，另一个是通过加壳后，减小程序的体积

脱壳：目的是把功加壳后的程序恢复成毫无包装的可执行代码。这样未授权者便可以对程 序进行修改。 15.根据病毒攻击的系统对®不同，计算机病毒分为思几类？根据不同的连接方式，计 算机病毒可以分成几类？ (1)按照计算机病母攻击的系统分类 ①攻击DOS系统的病毒。这类病毒出现最早、数量最多，变种也最多. ②@攻击Windows系统的病毒.由于Window5系统是多用户、多任务的图形界面操作 系统，深受用户的欢迎，Wnd0%系统正逐新成为病每攻击的主要对象， ③攻击UNX系统的病毒，当前，UNX系统应用非常广泛，并目许多大型的阿络设备 均采用UNIX作为其主要的操作系统。所以UNIX病毒的出现，对人类的信息安全是一个严 重的威助. (2)按照叶算机病毒的雠接方式分类 ①源码型病毒，该病霉攻击高级语言编写的程序，该病毒在高级语言所编写的程疗绢译 前插入到源程序中，经编译成为合法程序的一部分， ②嵌入型病香，这种病毒是将自身嵌入到现有程疗中，把计算机病哥的主体程序与其攻 击的对象以插入的方式链接，这种计算机病毒是难以端写的，一日侵入程序体后也较难消除， ③外壳型病击。将其自身包压在主程序的四周，对原来的程序不作修改。这种病击最为 常见，易于貔写，也易于发现。一般试文件的大小即可知道。 ④操作系统型病毒.这种病毒用它自己的程序赢图加入或取代部分操作系统的程序镇块 进行工作，具有很强的破坏力，可以导致整个系统的避疯。“圆点”病毒和“大麻”病母抚是 典型的慢作系统型病毒。 第五章 1.简述Sniffer的工作原理 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数蜗的能力，而每 个网铭接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他阿络接口的硬件 地址。同时，每个网络至少还要一个广插地址 2.试阐述利用Sniffer排除网路故障的思路。 通过Sniffer Pro仪表盘 8

8 脱壳：目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便可以对程 序进行修改。 15．根据病毒攻击的系统对象不同，计算机病毒分为哪几类？根据不同的连接方式，计 算机病毒可以分成哪几类？ （1）按照计算机病毒攻击的系统分类 ① 攻击 DOS 系统的病毒。这类病毒出现最早、数量最多，变种也最多。 ② 攻击 Windows 系统的病毒。由于 Windows 系统是多用户、多任务的图形界面操作 系统，深受用户的欢迎，Windows 系统正逐渐成为病毒攻击的主要对象。 ③ 攻击 UNIX 系统的病毒。当前，UNIX 系统应用非常广泛，并且许多大型的网络设备 均采用 UNIX 作为其主要的操作系统，所以 UNIX 病毒的出现，对人类的信息安全是一个严 重的威胁。 （2）按照计算机病毒的链接方式分类 ① 源码型病毒。该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译 前插入到源程序中，经编译成为合法程序的一部分。 ② 嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻 击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。 ③ 外壳型病毒。将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为 常见，易于编写，也易于发现，一般测试文件的大小即可知道。 ④ 操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块 进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。“圆点”病毒和“大麻”病毒就是 典型的操作系统型病毒。 第五章 1．简述 Sniffer 的工作原理。 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每 个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件 地址，同时，每个网络至少还要一个广播地址。 2． 试阐述利用 Sniffer 排除网络故障的思路。 通过 Sniffer Pro 仪表盘

〔1)显示网络带宽利用率和错误统计。 (2)通过表格显示网铭利用率、数据规模分布和错误的详细统计。 (3)可以设定饺值进行报警、保存历史信息产生日志 (4)利用率(Utilization)显示线缆使用带宽的百分比，通过设定阔值来区分正常情况 与警成区域，对于100Mbt/5或更高带宽的局域网而言，其值一般设定为40%， (5)每秒包的数量(Packets/s)说明当前数据包的传输速率，通过其可以了解网络中 的大小，可以判断网络是否工作正常，例如，利用率极高、超过侦而每秒包的敌量也 很大，有可能意味着存在网路病毒，如冲击波、ARP病哥等。 (6)每秒错误数量(E0rs/S》显示当前冲突的错误和碎片的数量，一设该项作用不 大。但是如果监测的是路由器或三层交换机且每秒错误数量长时问超过闲值，那么必须查 看路由器或三层交换机的工作状态、设置，了解不同网段的网络运行状况 3。阐述入侵检测系统的份类及其代缺点 (1)按照检测类型划分 ā.异常检测模型 b特征检测模型 (2).按照检测对像划分 a.基于主机的入侵检测产品 b基于网络的DS 4.入慢检闲系统有些基本的第路？ (1)基于主机的入慢防护(HIPS):用于保护服务器和主机系统不受不法分子的攻击和 误探作的破坏， (2)基于网路的入侵防护(NPS):通过检测流经的网路流量，提供对网路体系的安全 保护，一旦辨识出有入侵行为。NPS就阻断该网络会话 (3)应用入侵防护(AP):将基于主机的入侵防护扩展成为位于应用报务器之前的网 络信息安全设备。 5.简述蜜被的分类. 9

9 （1）显示网络带宽利用率和错误统计。 （2）通过表格显示网络利用率、数据规模分布和错误的详细统计。 （3）可以设定阈值进行报警、保存历史信息产生日志。 （4）利用率（Utilization）显示线缆使用带宽的百分比，通过设定阈值来区分正常情况 与警戒区域。对于 100Mbit/s 或更高带宽的局域网而言，其阈值一般设定为 40%。 （5）每秒包的数量（Packets/s）说明当前数据包的传输速率，通过其可以了解网络中 帧的大小，可以判断网络是否工作正常。例如，利用率极高、超过阈值而每秒包的数量也 很大，有可能意味着存在网络病毒，如冲击波、ARP 病毒等。 （6）每秒错误数量（Errors/s）显示当前冲突的错误帧和碎片的数量，一般该项作用不 大。但是如果监测的是路由器或三层交换机且每秒错误数量长时间超过阈值，那么必须查 看路由器或三层交换机的工作状态、设置，了解不同网段的网络运行状况。 3． 阐述入侵检测系统的分类及其优缺点。 （1）按照检测类型划分 a.异常检测模型 b.特征检测模型 ( 2 )．按照检测对象划分 a.基于主机的入侵检测产品 b 基于网络的 IDS 4．入侵检测系统有哪些基本的策略？ （1）基于主机的入侵防护（HIPS）：用于保护服务器和主机系统不受不法分子的攻击和 误操作的破坏。 （2）基于网络的入侵防护（NIPS）：通过检测流经的网络流量，提供对网络体系的安全 保护，一旦辨识出有入侵行为，NIPS 就阻断该网络会话。 （3）应用入侵防护（AIP）：将基于主机的入侵防护扩展成为位于应用服务器之前的网 络信息安全设备。 5．简述蜜罐的分类

(1)按照密署，蜜罐可以分为以下两种。 ā产品型：用于保护单位网格，实现防御、检测和帮助对攻击的响应，主要产品有 KFSensor、.Specter..ManTrap等. b.研究型：用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具， 如GenⅡ蜜网、Honeyd等. (2)按照攻击者在蜜中活动的交互性级别，蛮可以分为以下两种。 .低交互型：又称伪系统蜜望。用于模拟服务和操作系统。利用一些工具程序强大的模 仿能力，伪造出不氟于自己平台的“漏同”。它容易部碧、减少风脸，但只能辅获少量信息， 其主要产品有Specter、.KFSensor.Honeyd等， b高交互型：又称实系统蜜罐。它是最真实的密罐，运行着真实的系统，并且带有真实 可入侵的混洞，属于最危检的洞洞，但是它记录下的入侵信息往往是最真实的。可以铺获 更丰富的信息，但部署复杂、风检较大等，其主要产品有ManTrap、GenⅡ密网等， 第六章 1,数据加密技术的分类有那些？ 数据加密技术主要分为数据传输们密和数据存储加密。数据传输加密技术主要是对传输 中的数据流进行加密，常用的有以下3种。 ·链路加密。链路加密的传输数锯仅在数据链路层进行加密，不考心信源和信店，它 用于保护话信节点间的数据，接收方是传送路径上的各台节点机，信总在每台节点 机内都要被辉密和再加密，依次进行，直至到达目的地。 ·节点加密。节点加密是在节点处采用一个与节点机相连的密码装置。密文在该装置 中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺 点。 ·荒到端加密.端到端加密是数起从一端到另一端提供的加密方式。数据在发送端被 加密，在接收端解密，中间节点处不以明文的形式出现。端到端加密是在应用层完 成的， 2.分析IPSec VPN和SSL VPN的忧劣 IPSec VPN能够提供基于互联网的加密隧道，满足所有基于TCP1P网铭的应用需要， 10

10 （1）按照部署，蜜罐可以分为以下两种。 a.产品型：用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有 KFSensor、Specter、ManTrap 等。 b.研究型：用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具， 如 Gen Ⅱ蜜网、Honeyd 等。 （2）按照攻击者在蜜罐中活动的交互性级别，蜜罐可以分为以下两种。 a.低交互型：又称伪系统蜜罐。用于模拟服务和操作系统，利用一些工具程序强大的模 仿能力，伪造出不属于自己平台的“漏洞”。它容易部署、减少风险，但只能捕获少量信息， 其主要产品有 Specter、KFSensor、Honeyd 等。 b.高交互型：又称实系统蜜罐。它是最真实的蜜罐，运行着真实的系统，并且带有真实 可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获 更丰富的信息，但部署复杂、风险较大等，其主要产品有 ManTrap、GenⅡ蜜网等。 第六章 1．数据加密技术的分类有哪些？ 数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输 中的数据流进行加密，常用的有以下 3 种。 ⚫ 链路加密。链路加密的传输数据仅在数据链路层进行加密，不考虑信源和信宿，它 用于保护通信节点间的数据，接收方是传送路径上的各台节点机，信息在每台节点 机内都要被解密和再加密，依次进行，直至到达目的地。 ⚫ 节点加密。节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置 中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺 点。 ⚫ 端到端加密。端到端加密是数据从一端到另一端提供的加密方式。数据在发送端被 加密，在接收端解密，中间节点处不以明文的形式出现。端到端加密是在应用层完 成的。 2．分析 IPSec VPN 和 SSL VPN 的优劣。 IPSec VPN 能够提供基于互联网的加密隧道，满足所有基于 TCP/IP 网络的应用需要