2.参考答案：ACL的优点：表述直观、易于理解，比较容易查出对某一特定资

源拥有访问权限的所有用户，有效地实施授权管理。

ACL应用到规模大的企业内部网时，有问题：

（1）网络资源很多，ACL需要设定大量的表项，而且修改起来比较困难，实现整个组织

范围内一致的控制政策也比较困难。

（2）单纯使用ACL，不易实现最小权限原则及复杂的安全政策。

3.参考答案：①公钥密码体制的基本思想是把密钥分成两个部分：公开密钥和私有密钥（简称公钥和私钥），公钥可以向外公布，私钥则是保密的；密钥中

的任何一个可以用来加密，另一个可以用来解密；公钥和私钥必须配对使用，否则不能打开加密文件；已知密码算法和密钥中的一个，求解另一个在计算上是不可行的。②相对于传统密码体制来说，公钥密码体制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放，而私有密钥由持有者妥善地秘密保存。这样，任何人都可以通过某种公开的途径获得一个用户的公开密要，然后进行保密通信，而解密者只能是知道私钥的密钥持有者，该体制简化了密钥的分配与分发；同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性，使得公钥密码体制不仅能像传统密码体制那样用于消息加密，实现秘密通信，还可以广泛应用于数字签名、认证等领域。

4.参考答案：1、使用不可见墨水给报纸上的某些字母作上标记来向间谍发送

消息。

2、在一个录音带的某些位置上加一些不易察觉的回声

3、将消息写在木板上，然后用石灰水把它刷白。

4、将信函隐藏在信使的鞋底里或妇女的耳饰中。

5、由信鸽携带便条传送消息。

6、通过改变字母笔画的高度或在掩蔽文体的字母上面或下面挖出非常小的小孔

（或用无形的墨水印制作非常小的斑点）来隐藏正文。

7、在纸上打印各种小像素点组成的块来对诸如日期、打印机进行标识，将用户标识符等信息进行编码

8、将秘密消息隐藏在大小不超过一个句号或小墨水点的空间里。

9、将消息隐藏在微缩胶片中。

10、把在显微镜下可见的图像隐藏在耳朵、鼻孔以及手指甲里；或者先将间谍之间要传送的消息经过若干照相缩影步骤后缩小到微粒状，然后粘在无关紧要的杂志等文字材料中的句号或逗号上。

11、在印刷旅行支票时使用特殊紫外线荧光墨水。

12、制作特殊的雕塑或绘画作品，使得从不同角度看会显示出不同的印像。

13、利用掩蔽材料的预定位置上的某些误差和风格特性来隐藏消息。比如，利用字的标准体和斜体来进行编码，从而实现信息隐藏；将版权信息和序列号隐藏在行间距和文档的其他格式特性之中;通过对文档的各行提升或降低三百分之一英寸来表示0或1等。

5.参考答案：数据库安全是指采取各种安全措施对数据库及其相关文件和数据

进行保护。数据库系统的重要指标之一是确保系统安全，以各种防范措施防止

非授权使用数据库，主要通过DBMS实现的。数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存储等技术进行安全控制。

数据库安全的核心和关键是其数据安全。数据安全是指以保护措施确保数据的完整性、保密性、可用性、可控性和可审查性。由于数据库存储着大量的重要信息和机密数据，而且在数据库系统中大量数据集中存放，供多用户共享，因此，必须加强对数据库访问的控制和数据安全防护。

6.参考答案：主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信

息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、

伪造、篡改和重排信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。

7.参考答案：智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张

智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘

密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。

双因素的认证方式（PIN+智能卡），即使PIN或智能卡被窃取，用户仍不会被冒充。智能卡提供硬件保护措施和加密算法，可以利用这些功能加强安全性能。

8.参考答案：主要工作在应用层，又称为应用层防火墙。它检查进出的数据

包，通过自身复制传递数据，防止在受信主机与非受信主机间直接建立联系。

应用层网关能够理解应用层上的协议，能够做复杂的访问控制，并做精细的注册和审核。

基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。

常用的应用层网关已有相应的代理服务软件，如HTTP、SMTP、FTP、Telnet等，但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络层防火墙和一般的代理服务。

应用层网关有较好的访问控制能力，是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦，有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件，使用时工作量大，效率明显不如网络层防火墙。