第7章计算机病毒与恶意代码
一、识记
1、计算机病毒的定义P.199
答:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的主要危害P.202
答:①直接破坏计算机数据信息;②占用磁盘空间和对信息的破坏;③抢占系统资源;④影响计算机运行速度;⑤计算机病毒错误与不可预见的危害;⑥计算机病毒的兼容性对系统运行的影响;⑦给用户造成严重的心理压力。
3、计算机病毒的防范手段P.216
答:①特征代码法;②检验和法;③行为监测法;④软件模拟法。
4、恶意代码的特征与分类P.222
答:①恶意的目的;②本身是程序;③通过执行发生作用。
5、恶意代码的防范措施P.228
答:①及时更新系统,修补安全漏洞;②设置安全策略,限制脚本程序的运行;③启用防火墙,过滤不必要的服务和系统信息;④养成良好的上网习惯。
二、领会
1、计算机病毒的特征P.201
答:根据计算机病毒的产生、传染和破坏行为的分析,计算机病毒一般具有以下特征:
①非授权可执行性;②隐蔽性;③传染性;④潜伏性;⑤表现性或破坏性;⑥可触发性。
2、计算机病毒的分类P.208
答:计算机病毒的分类有:
(
1
)按照病毒***的系统分类
①***
DOS
系统的病毒;②***
Windows
系统的病毒;③***
UNIX
系统的病毒;④***
OS/2
系统的病毒。
(
2
)按照病毒的***机型分类
①***微型计算机的病毒;②***小型机的计算机病毒;③***工作站的计算机病毒。
(3)按照病毒的链接方式分类
①源码型病毒;②嵌入型病毒;③外壳型病毒;④操作系统型病毒。
(4)按照病毒的破坏情况分类
①良性计算机病毒;②恶性计算机病毒。
(5)按照病毒的寄生方式分类
①引导型病毒;②文件型病毒;③复合型病毒。
(6)按照病毒的传播媒介分类
①单机病毒;②网络病毒。
3、常用计算机病毒检测手段的基本原理P.216
答:(
1
)特征代码法。实现步骤:①采集已知病毒样本;②在病毒样本中,抽取特征代码。③打开被检测文件,在文件中搜索,检查文件中是否有病毒数据库中的病毒特征代码。
特征代码法的特点:①速度慢;②误报警率低;③不能检查多形性病毒;④不能对付隐蔽性病毒。
(
2
)检验和法。将正常文件的内容,计算其校验和,将该检验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法称为校验和法,这既可以发现已知病毒,又可以发现未知病毒。
(
3
)行为监测法。利用病毒特有行为特征来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
(
4
)软件模拟法。多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能用为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知道病毒的种类,难于进行消毒处理。
软件模拟法可以检测多态性病毒,这是一种软件分析器,用软件方法来模拟和分析程序的运行。新型检测工具纳入了软件模拟法,该类工具开始运行时,使用特征代码法检测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监视病毒的运行,待病毒自身的密码译码后,再运行特征代码法来识别病毒的种类。
4、恶意代码的关键技术P.222
答:恶意代码的主要关键技术有:
①生存技术。主要包括
4
个方面:反跟踪技术、加密技术、模糊变换技术和自动生产技术。
②***技术。常见***技术包括:进程注入技术、三线程技术、端口复用技术、对抗检测技术、端口反向连接技术和缓冲区溢出***技术等。
③隐藏技术。隐藏技术通常包括本地隐藏和通信隐藏。本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等;通信隐藏主要包括通信内容隐藏和传输通道隐藏。
第8章网络安全解决方案
一、识记
1、计算机网络安全设计遵循的基本原则P.235
答:①需求、风险、代价平衡分析的原则;②综合性、整体性原则;③一致性原则;④易操作性原则;⑤适应性、灵活性原则;⑥多重保护原则;
2、网络安全体系的主要内容P.233
答:网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护、检测、响应和恢复等手段构成。
保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面,构成了一个完整的体系,使网络信息安全建筑在更坚实的基础上。四个概念之间存在着一定的因果和依存关系,形成一个整体。如果全面的保护仍然不能确保安全,就需要检测来为响应创造条件;有效与充分地响应安全事件,将大大减少对保护和恢复的依赖;恢复能力是在其他措施均失效的情形下的最后保障机制。
可以看出,计算机网络的安全保护是一个涉及多个层面的系统工程,必须全面、协调地应用多种技术才能达到有效保护的目的。
3、网络安全解决方案的基本概念P.236
答:一份好的网络安全解决方案,不仅要考虑技术,还要考虑策略和管理。三者的关系是,技术是关键,策略是核心,管理是保证。
二、领会
1、“保护、检测、响应、恢复”的含义P.234
答:保护(Protect):保护包括传统安全概念的继承,用加解密技术、访问控制技术、数字签名技术,从信息动态流动、数据静态存储和经授权方可使用,以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。
检测(Detect):检测的含义是对信息传输的内容的可控性的检测,对信息平台访问过程的检测,对违规与恶意***的检测,对系统与网络弱点与漏洞的检测等。
响应(React):在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制,包括在遇到***和紧急事件时能及时采取措施。
恢复(Restore):狭义的恢复指灾难恢复,在系统受到***的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。广义的恢复还包括灾难生存等现代新兴学科的研究。保证信息系统在恶劣的条件下,甚至在遭到恶意***的条件下,仍能有效地发挥效能。
2、网络安全解决方案应包括的主要内容P.238
答:一份完整的网络解决方案应该包括以下七个主要方面,在实际应用中可以根据需要进行适当取舍。
①网络安全需求分析;②网络安全风险分析;③网络安全威胁分析;④网络系统的安全原则;⑤网络安全产品;⑥风险评估;⑦安全服务。
3、单机用户面临的主要安全威胁P.245
答:单机上网用户面临的安全问题主要有:计算机硬件设备的安全、计算机病毒、网络蠕虫、恶意***、***程序、网站恶意代码、操作系统和应用软件漏洞等。除此之外还有电子邮件的安全问题。
4、电子邮件安全的主要措施P.247
答:从技术上看,没有任何方法能够阻止***者截取电子邮件数据包,用户无法确定自己的邮件将会经过那些路由器,也不能确定经过这些路由器会发生什么,更无从知道电子邮件发送出去后在传输过程中会发生什么。
保护电子邮件安全的唯一方法就是让***者无法理解截获的数据包,即对电子邮件的内容进行某种形式的加密处理。目前已经出现了一些解决电子邮件安全问题的加密系统解决方案,其中最具代表性的是PGP加密系统。
对单机用户的操作系统进行安全配置也是单机用户网络安全解决方案的一个重要方面。
5、计算机信息系统安全管理的主要原则P.248
答:计算机信息系统的安全管理主要基于三个原则:
①多人负责原则;②任期有限原则;③职责分离原则。
三、应用
1、对给定的网络安全解决方案进行分析
2、根据给定的需求,设计网络安全解决方案P.240