信息安全概论 # 复习笔记

Ch1 信息安全概述

• 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。
• $P^{2}D{R}^2$动态安全模型研究的是基于企业网对象、依时间及策略特征的（Policy， Protection， Detection，Response，Restore）动态安全模型结构，由策略、防护、检测、响应和恢复等要素构成，是一种基于闭环控制、主动防御的动态安全模型，通过区域网络的路由及安全策略分析与制定，在网络内部及边界建立实时检测、监测和审计机制，采取实时、快速动态响应安全手段，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络安全环境。
  
• 信息安全的目标：

1. 保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。
2. 完整性：保证数据的一致性，防止数据被非法用户篡改。
3. 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。
4. 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。
5. 不可否认性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。
6. 可控制性：对信息的传播及内容具有控制能力。
7. 可追究性：对出现的网络安全问题提供调查的依据和手段。

• 信息与数据：
  信息是事务运动状态和不确定性的表述。
  用数字、字母、符号、汉字、图形、图像、声音、视频等形式输入计算机设备的都可以叫做数据。
  数据是信息的载体，是信息的表现形式。因此，如果一个数据被赋予了意义，就可以被称作是信息。

Ch2 网络安全基础

• 数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧为单位的数据。
• 网络层的任务就是选择合适的网间路由和交换结点， 确保数据及时传送。网络层将数据链路层提供的帧组成数据包。
  

IP数据包格式：
TCP报文格式：

• 针对7层OSI参考模型，不同层各有哪些安全技术？

第七层应用层 ：协议：DHCP • DNS • FTP • Gopher • HTTP • IMAP4 • IRC • NNTP • XMPP • POP3 • SIP • SMTP • SNMP • SSH • TELNET • RPC • RTCP • RTSP • TLS • SDP • SOAP • GTP • STUN • NTP
第六层表示层：不用协议
第五层会话层：不用协议
第四层传输层：协议：TCP • UDP • DCCP • SCTP • RTP • RSVP • PPTP • 更多
第三层网络层 协议：IP (IPv4 • IPv6) • ARP • RARP • ICMP • ICMPv6 • IGMP • RIP • OSPF • BGP • IS-IS • IPsec • 更多
第二层数据链路层 协议： 802.11 • 802.16 • Wi-Fi • WiMAX • ATM • DTM • 令牌环 • 以太网 • FDDI • 帧中继 • GPRS • EVDO • HSPA • HDLC • PPP • L2TP • ISDN • 更多
第一层物理层 协议： RS-443 、RS-232C、RS-485 、理-2593

Web服务器：IIS、weblogic、WebSphere、Apache、Tomcat

Ch3 网络扫描与监听

Pwn2Own、GeekPwn…
国家互联网应急中心：CNCERT

根据攻击目的的划分：
(1) 拒绝服务攻击
(2) 利用型攻击：口令猜测，特洛伊木马，缓冲区溢出
(3)信息收集型攻击：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）
(4)假消息攻击：DNS高速缓存污染、伪造电子邮件…
根据攻击技术划分：
(1)网络信息收集技术：目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术…
(2)目标网络权限提升技术：包括本地权限提升和远程权限提升。
(3)目标网络渗透技术：包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术
(4)目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。

TCP三次握手的过程如下：
客户端发送SYN（SEQ=x）报文给服务器端，进入SYN_SEND状态。
服务器端收到SYN报文，回应一个SYN （SEQ=y）ACK(ACK=x+1）报文，进入SYN_RECV状态。
确认号：其数值等于发送方的发送序号 +1
客户端收到服务器端的SYN报文，回应一个ACK(ACK=y+1）报文，进入Established状态。
三次握手完成，TCP客户端和服务器端成功地建立连接，可以开始传输数据了。

• 网络安全扫描的内容和大致步骤是什么？
  扫描是进行信息收集的一种必要工具，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手；而对于管理员，扫描同样具备检查漏洞，提高安全性的重要作用。网络管理员也常借助扫描器对所管辖的网络进行扫描，以发现自身系统中的安全隐患和存在的棘手问题，然后修补漏洞排除隐患。网络安全扫描的大致步骤为：
  （1）发现目标的扫描：如果将扫描比拟为收集情报的话，扫描目标就是寻找突破口了。例如，探测目标主机是否存活，并收集到各种关于该系统的有价值的信息。
  （2）探测开放服务的端口扫描：在找出网络上存活的系统之后，入侵者下一步就是要得到目标主机的操作系统信息和开放的服务。端口扫描就是发送信息到目标计算机的所需要扫描的端口，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。
  （3）漏洞扫描：漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。
• 网络监听的原理是什么？如何防止被监听？
  当主机工作监听模式下，无论数据包中的目标地址是什么，主机都会监听经过自己网络接口的包。
  防止：(1)从逻辑或物理上对网络分段(2)以交换式集线器代替共享式集线器(3)使用加密技术(4)划分VLAN

Ch4 黑客攻击技术

• 黑客攻击的一般过程是什么？
  踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息

密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、SQL注入攻击、网络蠕虫和社会工程攻击

DDoS：Distributed Denial of Service

• 什么是DDoS攻击？
  Dos：计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。
  分布式拒绝服务DDoS(Distributed Denial of Service)：处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。

IP欺骗

• IP地址欺骗攻击的原理是什么？如何防范？
  
  防范：（1）使用更强的随机序列号（2）在边界路由器上进行源地址过滤（3）禁止r-类型的服务。

Ch5 网络后门与网络隐身

木马

• 什么是木马？如何防范木马攻击？
  木马病毒是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。
  防范：
  第1，安装杀毒软件和个人防火墙，并及时升级。
  第2，把个人防火墙设置好安全等级，防止未知程序向外传送数据。
  第3，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

后门

• 什么是后门，后门与木马的异同点在哪里？
  后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
  都可以绕过安全性机制进入系统，后门一般是开发人员留下的，木马是攻击者留下的。

Ch6 计算机病毒与恶意软件

• 什么是计算机病毒，它怎么产生的？
  计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。
  产生过程：程序设计－＞传播－＞潜伏－＞触发－＞运行－＞实行攻击
• 计算机病毒的特征有哪些？
  繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性
• 什么是恶意软件？
  在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件。（不包含我国法律法规规定的计算机病毒）
• 恶意软件有哪些类型？
  病毒、蠕虫、木马、后门等
• ARP欺骗的原理是什么？
  把自己的MAC地址伪造成网关的地址来欺骗其它的主机。其他设备修改ARP缓存表中的数据。

病毒结构：引导（主动\被动）、传染、触发和破坏模块。
引导过程：
1、驻留内存： 病毒若要发挥其破坏作用，一般要驻留内存。必须开辟所用内存空间或覆盖系统占用的部分内存空间。
2、窃取系统控制权：病毒驻留内存后，必须取代或扩充系统的原有功能，并窃取系统的 控制权。此后病毒隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。
3、恢复系统功能 ：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时 机成熟后，进行感染和破坏的目的。
寄生方式：替代法、链接法
病毒监测：特征代码法、校验和法、行为监测法、虚拟执行法

Ch7 物理环境与设备安全

• 机房的物理位置选择应该注意哪些条件？
  防震、防风和防雨等能力的建筑内；避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。

• 简述门禁系统的作用。
  出了安全问题后，容易找到具体实施的人。

• 什么是物理隔离网闸？
  带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。
  
  

• 内网的安全管理应该注意什么?
  内部网络与外部网络隔离管理：研发网与外面的因特网是完全从物理上隔离的
  (1) 设置专门的上网区域（在研发区以外），叫它上网缓冲区。这个上网缓冲区，可以自由上因特网网络来查找资料。供需要上因特网的研发员工上网。但是上网缓冲区与研发区是物理隔离的，没有任何形式的联接。
  (2) 给重要员工配置笔记本，通过无线方式，上因特网来查找资料。
  
  控制研发区里的传输介质：（1）禁止公司员工将自己的笔记本电脑、U盘和MP3等传输介质带入公司（2）研发网机器上的U盘接口、串口、并口等采用带有公司公章的封条封上。封条封的时候要注意，要选择那种一碰就容易破碎的纸。（3）将研发网机器内部U盘接口、串口和并口等的接口线拔掉。
  （4）机箱上锁（5）BIOS设置里面将U盘接口，串口和并口等去掉

Ch8 防火墙技术

• 什么是网络防火墙？
  防火墙：位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查和筛选的一台、多台计算机或路由器。

防火墙安全策略:判断数据包合法的依据

• 防火墙的优缺点

优点：

1. 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理范围内。
2. 可以限制对某种特殊对象的访问。如限制某些用户对重要服务器的访问。
3. 具有出色的审计功能，可以对网络连接的记录、历史记录、故障记录等都具有很好的审计功能。
4. 可以对有关的管理人员发出警告。
5. 可以将内部网络结构隐藏起来。

缺点：

1. 不能防止不经过它的攻击和不能防止授权访问的攻击。
2. 只能对配置的规则有效，不能防止没有配置的访问。
3. 不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。
4. 不能防止针对一个设计上有问题的系统攻击。

防火墙其他功能：网络地址转换、用户身份验证、网络监控.

• 什么是数据包过滤防火墙，其工作原理是什么?
  包过滤（Packet Filtering）：防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。
  根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包。

状态检测技术：基于连接状态检测的包过滤
应用网关技术（代理服务器技术）：在网络应用层上的协议过滤，它针对特定的网络应用服务协议进行过滤，并且能够对数据包进行分析并形成相关的报告。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。
优点：内容级的过滤、安全性高；缺点：维护困难，速度慢。

• 代理服务器防火墙的工作原理是什么？
  作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。 受保护网内部用户对外部网访问时，也需要通过代理防火墙，才能向外提出请求，这样外网只能看到防火墙，从而隐藏了受保护网内部地址，提高了安全性。

防火墙在网络中的放置方式也被称为防火墙的体系结构：双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。
非军事区（DeMilitarized Zone，DMZ）：内部网中需要向外部提供服务的服务器设置在单独的网段

• 试比较防火墙的三种体系结构的优缺点。

1. 双重宿主主机体系结构 ：
   双重宿主主机至少有两个网络接口。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信，但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，它安装了防火墙的软件，一般在双重宿主主机上安装代理服务器软件，可以为不同的服务提供转发，并同时根据策略进行过滤和控制。
2. 被屏蔽主机体系结构
   被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开。安全由数据包过滤提供。在屏蔽路由器上设置数据包过滤策略，让所有的外部连接只能到达内部堡垒主机。
   
   缺点：结构相对比较复杂。
3. 被屏蔽子网体系结构
   
   优点：（1）入侵者必须突破多个不同的设备（2）内部网络对外网不可见（3）内部网不能直接通往Internet
   缺点是实施和管理比较复杂。

Ch9 入侵监测技术

IDS:intrusion detection system

• 一个局域网安装了防火墙后，为什么还需要安装入侵检测系统？
  防火墙技术的局限性：第一，入侵者可寻找防火墙背后可能敞开的后门；第二，不能阻止内部攻击；第三，通常不能提供实时的入侵检测能力；第四，不能主动跟踪入侵者；第五，不能对病毒进行有效防护。

IDS检测两种类型的入侵：来自外部世界的闯入和内部攻击者。

• 入侵检测系统可以从哪些角度进行分类？
  按照采集器的数据来源，可分为三种，即基于主机的IDS、基于网络的IDS和基于路由器的IDS。
  按照分析器所采用的数据分析方式，可分为异常检测系统、误用检测系统和混合检测系统。
  按照分析器进行数据分析的位置，IDS可分为集中式和分布式。
  根据响应方式，入侵检测系统可分为主动和被动响应系统。
  根据系统的工作方式，可分为离线检测和在线检测。

目前主要有哪些入侵检测方法？这些方法有哪些优缺点？
异常检测技术：基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。
- （1）用户行为概率统计模型
- （2）预测模式生成：审计事件的序列不是随机的，而是符合可识别的模式的。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析
- （3）人工神经网络

误用检测技术：基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。
- 专家系统\模型推理(不确定性推理)\状态转换分析\模式匹配

• 一个IDS一般由哪几部分构成？
  三个功能部件：提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。

Ch10 VPN技术

VPN:Virtual Private Network

• 什么是VPN？它基于什么样的网络？有什么优点？
  VPN将物理上分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。
  基于Internet。
  优点：（1）成本低（2）易于扩展（3）安全性高（4）支持常用网络协议

VPN分为几种类型？各种类型有何特点？

Access VPN（远程访问VPN）：企业内部人员流动频繁或远程办公的情况，出差员工或者在家办公的员工利用当地ISP和企业的VPN网关建立私有的隧道连接。

Intranet VPN（企业内部网VPN）：企业内部异地分支机构的互联，网关对网关VPN

Extranet VPN（企业扩展VPN）：将客户、供应商、合作伙伴或兴趣群体连接到企业内部网，也是网关对网关的VPN。

• VPN中使用的隧道协议主要有哪些？
  第二层隧道协议有L2F、PPTP、L2TP等，第三层隧道协议有GRE、IPSec

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。
VPN中常用的身份认证技术：
（1）安全口令：S/Key协议和令牌口令认证方案。
（2）PPP认证协议：口令认证协议PAP、质询握手协议CHAP、可扩展认证协议EAP
（3）使用认证机制的协议

SSL协议：身份认证是基于证书的。对服务器的认证是必须的

Ch11 Windows操作系统安全*

没有什么内容。

Ch12 Unix与Linux操作系统安全*

没有什么内容。

Ch13 密码学基础

古典密码算法有替代加密、置换加密；对称加密算法包括DES和AES；非对称加密算法包括RSA、背包密码、Rabin、椭圆曲线等。目前在数据通信中使用最普遍的算法有DES算法和RSA算法

• 对称加密算法的特点是什么？

• 非对称加密算法的特点是什么？

• 什么是散列函数？它的作用是什么？
  把一个单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆转的数据。

• 信息安全中为什么要引入数字签名？数字签名的基本原理是什么？
  确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
  基本原理：将要传送的明文通过一种函数运算（Hash）转换成报文摘要（不同的明文对应不同的报文摘要），报文摘要用私钥加密后与明文一起传送给接收方，接收方用发送方的公钥来解密报文摘要，再对收到的明文产生新的报文摘要并与发送方的报文摘要比较

Ch14 PKI原理与应用

1. 什么是PKI，它的作用是什么？
   PKI是生成、管理、存储、分发和撤销基于公开密码的公钥证书所需要的硬件、软件、人员、策略和规程的总和。
   作用：管理公钥如，证书签发、证书作废、证书获取、证书状态查询、身份认证、完整性、抗抵赖性，保密性。

2. PKI由哪些部分构成？
   密钥管理中心KMC、CA(Certification Authority)认证机构、RA(Registration Authority)注册审核机构、证书/CRL发布系统和应用接口系统五部分

补充说明：发布系统主要提供LDAP服务和OCSP服务。

3. 什么是CA，它的作用是什么？
   证书颁发机构，向实体办法证书。
4. 什么是数字证书，它的作用是什么？
   数字证书=用户标识＋用户公钥及其它信息＋CA签名
   数字证书是网络用户的身份证明。数字证书提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。是一个防篡改的数据集合，它可以证实一个公开密钥与某一最终用户之间的捆绑。
   数字证书的作用：
   A.访问需要客户验证的安全站点。
   B.用对方的数字证书向对方发送加密的信息。
   C.给对方发送带自己签名的信息。

PKI是由很多CA及CA信任链组成的。通过3种方式组织到一起。
第一种是首先建立根CA，再在根CA下组成分层的体系结构，上层CA向下层CA发放证书。
第二种是CA连接成网状，并且它们之间的地位相互平等。
第三种是融合分层结构和网状结构体系特点的混合体系结构规范，这种混合体系结构也叫桥接体系结构。桥接体系结构是为解决以上两种体系交叉信任而建立的，它具有两种体系结构的优点。
国际上常用的是分层体系结构和桥接体系结构。

Ch15 数据库系统安全

• 针对数据库的攻击有哪些？
  缓冲区溢出（堆栈溢出）、堆溢出
  弱口令攻击
  利用漏洞对数据库发起的攻击
  SQL注入攻击

• 如何保障数据库系统的安全？
  (1)网络层安全：防火墙、入侵检测、VPN技术
  (2)操作系统层安全：配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项
  (3)数据库管理系统层安全：对数据库文件进行加密处理。

• SQL注入攻击的原理是什么？
  应用程序在编写时没有对用户输入数据的合法性进行检验，导致应用程序通过用户输入的数据构造SQL查询语句时存在着安全隐患。

• SQL注入攻击的过程是什么？
  (1) 发现SQL注入位置。(2) 判断数据库的类型。(3) 通过SQL注入获取需要的数据。(4) 执行其他的操作。

• 如何防范SQL注入攻击？
  服务器层面：
  (1) 修改服务器初始配置(2) 及时安装服务器安全补丁(3) 关闭服务器的错误提示信息(4) 配置目录权限(5) 删除危险的服务器组件(6) 及时分析系统日志
  数据库层面：
  (1) 修改数据库初始配置(2) 及时升级数据库(3) 最小权利法则
  脚本解析器安全设置：特殊字符转义和过滤、限制用户输入长度

Ch16 信息安全管理与法律法规*

ISMS: Information Security Management Systems 信息安全管理体系

• PDCA 模型具有哪些特点？ Plan、Do、Check 和Act
  大环套小环，小环保大环，推动大循环
  不断前进、不断提高

• ISO 17799:2000的主要内容是什么？

• ISO 27001提出的建立信息安全管理体系的步骤是什么？

Ch17 信息系统等级保护与风险管理*

• 简述我国等级保护的主要内容。
  A . 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任
  B . 采取防范危害网络安全行为的技术措施
  C . 配备相应的硬件和软件检测、记录网络运行状态、网络安全事件，按照规定留存相关网络日志
  D . 采取数据分类、重要数据备份和加密等措施

（1） 第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护。
（2）第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。会对社会秩序和公共利益造成轻微损害，但不损害国家安全。
（3）第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。
（4）第四级为强制保护级
（5）第五级为专控保护级

信息系统等级保护实施生命周期内的主要活动有四个阶段，包括定级阶段、规划设计阶段、安全实施/实现阶段、安全运行管理阶段

• 风险评估的主要方法有哪些？
  （1）定制个性化的评估方法（2）安全整体框架的设计（3） 多用户决策评估（4）敏感性分析（5）集中化决策管理（6）评估结果管理

风险评估具体过程：
1、识别与评价资产
1 资产识别
2 资产分类
3-1 定性分析
3-2 定量分析
4 输出结果
识别并评估威胁
1 威胁识别
2 威胁分类
3 威胁赋值
4 输出结果
识别并评估脆弱性
1 脆弱性识别
2 脆弱性分类
3 脆弱性赋值
4 输出结果

Ch18 信息系统应急响应

• CNCERT/CC主要提供哪些基本服务？
  网络蠕虫事件、DDOS攻击事件、网页篡改事件、网络欺诈事件…
  1.信息获取：通过各种信息渠道与合作体系，及时获取各种安全事件与安全技术的相关信息；
  2.事件监测：及时发现各类重大安全隐患与安全事件，向有关部门发出预警信息，提供技术支持；
  3.事件处理：协调国内各应急小组处理公共互联网上的各类重大安全事件，同时，作为国际上与中国进行安全事件协调处理的主要接口，协调处理来自国内外的安全事件投诉；
  4.数据分析：对各类安全事件的有关数据进行综合分析，形成权威的数据分析报告；
  5.资源建设：收集整理安全漏洞、补丁、攻击防御工具、最新网络安全技术等各种基础信息资源，为各方面的相关工作提供支持；
  6.安全研究：跟踪研究各种安全问题和技术，为安全防护和应急处理提供技术和理论基础；
  7.安全培训：进行网络安全应急处理技术及应急组织建设等方面的培训；
  8.技术咨询：提供安全事件处理的各类技术咨询；
  9.国际交流：组织国内计算机网络安全应急组织进行国际合作与交流。

• 应急响应主要有哪6个阶段？
  准备、事件检测、抑制、根除、恢复、报告

• 简述Windows下的应急响应方法。
  （1）拔掉网线（2）查看、对比进程，找出出问题的进程（3）查看、对比端口，找出出问题的端口（4）查看开放端口所对应的程序（5） 查看、对比注册表（6）查看其他安全工具的日志

Ch19 数据备份与恢复*

没什么内容

习题

写出英文全称：
VPN: Virtual Private Network
IDS: Intrusion Detection System
DDoS： Distrubuted Denial of Service
ISMS： Information Security Management Systems

SSL: Secure Sockets Layer
ARP:Address Resolution Protocol
DHCP：Dynamic Host Configuration Protocol
TCP，Transmission Control Protocol
UDP，User Datagram Protocol
IP：Internet Protocol
ICMP：Internet Control Message Protocol
FTP：File Transfer Protocol

对称密码体制：Symmetric Cryptosystem
非对称密码体制：Asymmetric Cryptosystem
唯密文攻击(Ciphertext-only Attack)
已知明文攻击(Known Plaintext Attack)
选择明文攻击(Chosen Plaintext Attack)
选择密文攻击(Chosen Ciphertext Attack)

DES(Data Encryption Standard)
MD5：Message-Digest Algorithm 5
PKI:Public Key Infrastructure
CA, Certificate Authority
OCSP：Online Certificate Status Protocol，在线证书状态协议.
CRL(Certificate Revocation List )证书吊销列表
PKCS：The Public-Key Cryptography Standards (PKCS)
LDAP ：Lightweight Directory Access Protocol
SET：secure Electronic Transaction