西南大学网络与继续教育学院课程考试试题卷类别：网教 专业：计算机应用技术 , 计算机教育 课程名称【编号】： 信息安全 【0836】 A 卷大作业 满分：100 分 一、大作业题目：1. 计算机病毒是网络中要重点防范的一种安全威胁，试全面总结各类计算机病毒的种类、特点及各自的防范要点。答：一、计算机病毒的分类《中华人民共和国计算机信息系统安全保护条例》对计算机病毒进行了明确的定义，计算机病毒是指计算机程序的编制者把已经编制好的对计算机内数据及功能都具有破坏作用的，并且能够自我复制的，对计算机的使用具有阻碍作用的，一组程序或者指令代码，插入到计算机程序当中。计算机病毒具体可以分为以下几种:一是二进制的文件型蠕虫和病毒，蠕虫的目标是对其它的计算机进行感染，而病毒的目标是对程序文件进行感染，同时它们都是由机器码编写而成。二是二进制流蠕虫，它通过网络从一台到另一台机器进行传播，出现在机器的内存当中。三是脚本文件蠕虫和病毒，脚本文件病毒是以文本形式写成的文件病毒，通过计算机解释程序的支持来执行，而脚本文件蠕虫的宿主为计算机，通过不同的计算机进行传染。四是引导型病毒，它是通过使计算机的硬盘、软盘的引导扇区受到感染来进行传播，而网络则不属于它进行传播的途径。五是混合型病毒，可以使计算机的引导扇区和文件或者数据文件和可执行文件同时受到感染。六是宏病毒，这类病毒属于常见型病毒，通过使数据文件受到感染来执行特定动作的宏指令。七是特洛伊木马、后门，从表面上来看特洛伊木马经常是作为一个较为完整的程序文件来出现，同时表现为一个比较有用的程序，但是它却在背后执行一些与自己的表象不符的动作，例如后门特洛伊木马就是一个比较特殊的类型。八是病毒制造以及黑客工具，用来产生病毒的程序叫做制造病毒工具，因为黑客是在比计算机病毒更早出现的以攻击和非法访问别人计算机为目的的特定群体，所以随着技术的更新出现了黑客工具。九是程序 Bug 以及逻辑、时间炸弹，在程序中出现的错误即 Bug，而由程序员留在程序中指定在特定的逻辑条件、时间下发作的 Bug就是逻辑、时间炸弹。二、计算机病毒的预防措施 (一)特征代码。如今被广泛应用的、开销最少、最简单的用于对已知计算机病毒进行检测的方法就是特征代码法，这种检测方式的优点就是:检测快速准确、误报率低、可以对病毒的具体名称进行识别，同时还可以针对病毒根据检验结果对它进行解毒处理。 (二)行为监测。行为监测是指，对病毒进行检测时可以利用它特有的行为特征来对它进行监测。我们在对病毒进行监测时所普遍使用到的行为特征有，占有 INT13H、截获系统操作、在可执行文件内做写入动作。它的优点就是可以对未知的病毒做较为准确的预报。 (三)校验和。校验和的方法对已知的和未知的计算机病毒都能进行显示，并且一些杀毒软件为了提高病毒的检测效力，除了特称代码法外，一些别的病毒检测方法也都纳入到了校验和的范围，但是这种方法并不能对检测出来的病毒的种类、名称进行显示，并且容易造成误报。它的优点是，能检测出未知的病毒，同时使用方法较为简单，可以发现查处出来的文件的细微变化。 (四)反病毒产品的研发。传统上对计算机病毒起防护作用的软件在启动时都需要由用户来执行，如启动计算机引导区、进行文件的扫描工作或者是对计算机病毒库进行升级软件的安装。由于近年来科技的快速发展，计算机已经由人工启动转向了在用户访问时进行病毒检测、集中管理、 Inter-net 升级等方式。同时可以与计算机操作系统达成更加紧密的集成，例如，为加入到计算机操作系统中成为它的一部分，一些软件在集成到计算机操作系统中时是以系统文件驱动的方式进行集成的，这样就可以更加紧密地预防计算机病毒。 (五)对软件进行模拟。对软件进行模拟即虚拟机法。由于多态性的病毒在每次感染时都会对其密码进行变化，所以特征代码法和行为检测法都难以对其做出有效的处理，而软件模拟法则可以很好地解决这个问题，软件在执行时仿真 CPU 来进行操作，在虚拟机器环境下对负责病毒执行的解码程序进行模拟，来解开变性病毒，这样它就可以把它的真正面目显露出来了，在这个时候再对其进行扫描检测。2. 现代公钥密码体制有多种用法，以 RSA 算法为例，试比较用 RSA 的私钥加密信息与用 RSA 的公钥加密信息两种方法有何区别？各自用在哪些场合和领域？3. 在网络管理中，经常会用到一些常用的计算机指令，请回答以下几个指令的功能和用途：ping、ipconfig、netstat、net、Tracert 和 at。答：(1)ping 指令，通过发送 ICMP 包来验证与另一台 TCP/IP 计算机的 IP 级连接，用于检测网络的连接性和可到达性。(2)ipconfig 指令，显示所有 TCP/IP 网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。使用不带参数的 ipconfig 可以显示所有适配器的 IP 地址、子网掩码和默认网关。(3)netstat 指令，显示活动的连接、计算机禁用词语的端口、以太网统计信息、IP 路由表、IPv4 统计信息（IP、ICMP、TCP 和 UDP 协议）。(4)net 指令，功能非常的强大，net 指令在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。(5)Tracert（跟踪路由）指令，是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间(TTL)字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。(6)AT 命令，安排在特定日期和时间运行命令和程序。要使用 AT 命令，计划服务必须已在运行中。4. 假设 A 通过网络向 B 发送一份机密文件，试分析在这个过程中可能遇到的各种安全威胁，并论述应采取何种相应措施进行防范。5. 防火墙是目前几乎所有企业网络都会采用的一种安全技术，请全面分析防火墙的技术种类，其优势与不足。答：1 网络地址转换1.1 NAT 的使用优点网络地址转换，有语音目前 IPV4 地址环视主流，并且根据目前国内外一般网络状况的分析，在这样的条件下，使用 NAT 的优点还是很明显的：1）所有内部的 IP 地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有人可以通过制定 I- 1 - P 地址的方式直接对网络内的任何一台特有的计算机发起攻击。2）如果因为某种原因公共 IP 地址资源比较短缺的话，NAT 可以使整个内部网络共享一个 IP 地址。3）可以启用基本的包过滤防火墙安全机制，因为所有传入的包，如果没有专门指定配置到 NAT，那么就会被丢弃，内部网络的计算机就不可能直接访问外部网络。1.2 NAT 的使用缺点 NAT 的使用缺点：1））NAT 的操作耗费设备资源，增加延时。2）不能通过 ping 或 trace 来探测应用了 NAT 技术的路由器内部的局域网主机的连通性。3）某些应用可能无法穿越 NAT，如应用 L2TP 协议建立的 VPN 在特殊情况下无法穿透 NAT 来建立连接。其中 NAT 增加设备负荷与网络延时主要体现在：NAT 表占设备内存，（NAT 操作）查询 NAT 表耗 CPU，（NAT 操作）地址转换也耗 CPU。针对于这种情况，如果条件允许的话，可以给路由器单独配置一个 NAT 处理模块，以减轻因大量主机同时上网给设备带来的负担。2 个人防火墙个人防火墙，也就是通常的单机版防火墙，个人防火墙是保护个人计算机接入公共网络（如因特网）的安全有效措施。个人防火墙以软件防火墙为主，很少见到有个人用硬件防火墙设备。2.1 个人防火墙的优点个人防火墙的优点是：1）增加了保护功能：个人防火墙具有安全保护功能，既可以抵挡外来攻击，还可以抵挡内部攻击。2）易于配置：通常可以使用直接的配置选项获得基本可使用的配置。3）廉价：个人防火墙不需要额外的硬件资源就可以为内部网的个人用户和公共网络中的单个系统提供安全保护。已经被集成到 windows xp 系统中。2.2 个人防火墙的缺点个人防火墙主要的缺点1) 接口通信受限：个人防火墙对公共网络只有一个物理接口，而真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。2) 集中管理比较困难：个人防火墙需要在每个客户端进行配置，这样增加了管理的开销。3) 性能限制：个人防火墙是为了保护单个计算机系统而设计的，但是如果安装它的计算机是与内部网络上的其他计算机共享到 Internet 的连接，则它也可以保 护小型网络。个人防火墙在充当小型网络路由器时将导致其性能下降。不如专业防火墙方案有效，因为它们通常只限于阻止 IP 和端口地址。3 包过滤防火墙3.1 使用包过滤防火墙的技术优点包过滤防火墙主要是在内部网络和外部网络之间选择性地包过滤，使用包过滤防火墙的技术优点是显而易见的：1）防火墙对每条传入和传出网络的包实行低水平控制。2）每个 IP 包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。3）防火墙可以识别和丢弃带欺骗性源 IP 地址的包。3.2 使用包过滤防火墙的局限性包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过防火墙是困难的。包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。但是很显然，使用包过滤防火墙也存在极大的局限性：1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种 Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。2）为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web 服务器默认端口为 80，而计算机上又安装了 RealAudio 服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer 正好是使用 80 端口而搜寻的，就这样无意中，RealPlayer 就利用了 Web 服务器的端口。3）只能阻止一种类型的 IP 欺骗，即外部主机伪装内部主机的 IP，对于外部主机伪装其他可信任的外部主机的 IP 却不可阻止。4 状态/动态检测防火墙采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要，可动态地在过滤规则中增加或更新条目。4.1 状态/动态检测防火墙的优势1）检查 IP 包的每个字段的能力，并遵从基于包中信息的过滤规则。2）识别带有欺骗性源 IP 地址包的能力。3）基于应用程序信息验证一个包的状态的能力，例如，基于一个已经建立的 FTP 连接，允许返回的 FTP 包通过。4）基于应用程序信息验证一个包状态的能力，例如，允许一个先前认证过的连接继续与被授予的服务通信。5）记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所以信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。4.2 状态/动态检测防火墙的固有的缺点虽然状态/动态检测防火墙的功能近乎完美，但是也存在其自身固有的缺点：状态 /动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能造成网络连接的某种迟滞，特别是在同时有许多连接激活，或者是有大量的过滤网络通信的规则存在时。目前，防火墙的硬件速度一直在提高，速度硬件速度越快，这个问题就越不易察觉。速度的解决也从部分上缓解了状态检测防火墙的这个弱点。5 应用程序代理防火墙5.1 应用程序代理防火墙的使用优点应用级防火墙，其性能总的来说，要比上述两种防火墙的性能有一个质的提高，使用应用程序代理防火墙的优点很明显：1）指定对连接的控制。允许或拒绝基于服务器 IP 地址的访问，或者是允许或拒绝基于用户所请求连接的 IP 地址的访问。2）通过限制某些协议的传出请求，来减少网络中不必要的服务。3）大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪和发生的未授权访问的事件是很有用的。5.2 应用程序代理防火墙的使用缺点使用应用程序代理防火墙的缺点有：1）必须在一定范围内定制用户的系统， 对不同的应用层服务都可能需要定制不同的应用代理防火墙软件，缺乏灵活性，不易扩展。2）一些应用程序可能根本不支持代理连接。- 2 - 二、大作业要求：大作业共需要完成三道题：第 1-2 题选作一题，满分 30 分；第 3-4 题选作一题，满分 30 分；第 5 题必做，满分 40 分。- 3 -