参考答案: 【问题1】（6分）
特征入侵检测和异常入侵检测。异常入侵检测。
【问题2】（3分）
（1）信息摘要
（2）发送方的私钥
（3）公钥
【问题3】（5分）
（1）文件恢复、文件修复、密码恢复、硬件故障恢复。
（2）差分备份
【问题4】（3分）
NAS，NAS，SAN

详细解析:

【问题1】（6分）
入侵检测系统（Intrusion Detection System,IDS）可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。入侵检测是基于入侵者的行为不同于一个合法用户的行为。通过可以量化的方式表现出来的假定。当然，不能期望入侵者的攻击行为和授权用户对资源的正常使用之间存在一个清楚的、确切的界限。相反，是存在着某些重叠的。
入侵检测技术可分为以下两种。
（1）特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前，基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。
（2）统计检测
统计检测又叫异常入侵检测，假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集（Normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。
【问题2】（3分）
数字签名技术即进行身份认证的技术。数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。在数字化文档上的数字签名类似于纸张上的手写签名，是不可伪造的。接收者能够验证文档确实来自签名者，并且签名后文档没有被修改过，从而保证信息的真实性和完整性。
利用公钥密码体制，数字签名是一个加密的消息摘要，附加在消息的后面。如果甲想要在他发给乙的消息中创建一个数字签名，需要遵循以下步骤.
1．甲创建一个公钥/私钥对；
2．甲把他的公钥给乙；
3．甲把要发送给乙的消息作为一个单项散列函数的输入，散列函数的输出就是消息摘要；
4．甲用他的私钥加密消息摘要，就得到数字签名。
甲发送给乙的数据是消息与数字签名的组合。
在接收方，乙需要遵循以下步骤，以验证消息的确来自甲，也就是验证甲的数字签名。
1．乙把接收到的数据分离成消息和数字签名；
2．乙使用甲的公钥对数字签名解密，从而得到消息摘要；
3．乙把消息作为甲所使用的相同散列函数的输入，得到一个消息摘要；
4．乙比较这两个消息摘要，看它们是否相互匹配。
如果乙计算出来的消息摘要与甲解密后的消息相匹配，则证明了该消息的完整性并验证了消息的发送者是甲。假若甲要抵赖曾发送消息给乙，乙可将密文和解密出的明文出示给第三方。第三方很容易用甲的公钥去证实甲曾发送该消息给乙，因为密文是甲用自己的私钥加密的，其他任何人都不可能生成这样的密文。反之，如果乙对消息进行伪造，由于乙没有甲的私钥，则乙不能在第三方面前出示伪造消息对应的密文。
【问题3】（5分）
数据恢复就是把遭受到破坏，或有硬件缺陷导致不可访问或不可获得，或由于病毒、误操作、意外事故（硬盘不小心摔坏）等各种原因导致的丢失的数据还原成正常的、可使用的数据，即恢复至它本来的“面目”。
数据修复不仅是对文件的逻辑恢复，还可以恢复物理损伤盘的数据，也可以恢复不同操作系统数据，恢复不同移动数码存储卡的数据。数据恢复包括：文件恢复、文件修复、密码恢复和硬 件故障等4个方面。文件恢复、文件修复、密码恢复都是逻辑恢复，硬件故障恢复属于物理恢复。
（1）文件恢复：主要是指数据相对计算机系统、文件系统的不可用性恢复。例如，误分区、误格式化、系统恢复盘误恢复系统、误删除文件、分区误克隆、分区表信息（MBR）丢失、引导扇区信息（BOOT）丢失、病毒破坏、黑客攻击及恶意程序、磁盘阵列服务器RAID信息丢失、突然断电、内存溢出、软件冲突、强行关机或死机等造成的文件或数据不可用。
（2）文件修复：主要是指相对于应用系统数据的不可用性恢复，一般是指文件的不可用性恢复。例如，Office系列文档修复，Microsoft SQL、Oracle等数据库文件修复，图片文件修复，Zip、MPEG文件以及 Microsoft Outlook、Exchange 邮件修复等。
（3）密码恢复：主要是指由于密码遗忘而无法使用数据进行的恢复工作。例如，Windows 2000、Windows XP 等操作系统密码恢复，Zip、rar、Word、Excel、Access、PDF等文档的密码恢复等。
（4）硬性故障：这类故障可以分为两类：一类是磁头烧坏、磁头老化、磁头芯片损坏、磁头偏移、磁组变形、电路板损坏、芯片烧坏等读取系统机械和电路故障等：另一类是存储介质物理损伤等。
数据备份有多种方式：全备份、增量备份、差分备份、按需备份等。
（1）全备份：备份系统中所有的数据；
（2）增量备份：只备份上次备份以后有变化的数据；
（3）差分备份：只备份上次完全备份以后有变化的数据；
（4）按需备份：根据临时需要有选择地进行数据备份。　
  全备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全备份最可靠；但是随着数据量的不断增大，我们将无法每天做全备份，而只能在周末进行全备份，其他时间我们采用所用时间更少的增量备份或采用介于两者之间的差分备份。各种备份的数据量不同：全备份>差分备份>增量备份。在备份时要根据它们的特点灵活使用。
【问题4】（3分）
数据存储是信息系统的基础。目前企业存储应用的体系结构主要有DAS（Direct Attached Storage）、NAS（Network Attached Storage）和SAN（Storage Area Network）三种模式。三种模式从体系架构的逻辑上看，有明显的区别。中小型企业存储具有以下几方面的要求：性能、安全性、扩展性、易用性、整体拥有成本和服务等。由于中小企业用户的存储系统构建并不是一蹴而就的事情，会经历从单机迈向网络化存储的过程，因此就存在 DAS、NAS和SAN三种存储方案共存的局面。
（1）直接外挂存储是最早采用的一种存储方式。这种存储方案的服务器结构如同PC架构，外部数据存储设备（如磁盘阵列、光盘机、磁带机等）都直接挂接在服务器内部总线上，数据存储设备是整个服务器结构的一部分，同样服务器也担负着整个网络的数据存储职责。
这种方案主要在早期的计算机和服务器上使用，由于当时对数据存储的需求并不大，单个服务器需要的存储能力就可以满足日常数据存储需求，因此在低档网络应用中相当普遍。但由于这种存储方案中的存储设备都是直接挂接在服务器上，所以其扩展能力非常有限。另外，数据存储任务也由服务器担当，使得服务器的性能受到相当大的影响，也十分不利于存储设备的增加和存储更复杂的多媒体数据流，所以这种存储方案目前通常只是在小型网络中使用。
（2）NAS方式独立于PC服务器，单独为网络数据存储而开发的一种文件服务器，因此也称为“网络存储器”或者“网络磁盘阵列”。它提供了一个简单、高性价比、高可用性、高扩展性和总拥有成本低的网络存储解决方案。
NAS是一种基于局域网设计的，专业网络文件存储及文件备份设备。按照TCP/IP进行通信，面向消息传递，以文件的I/O方式进行数据传输。在LAN环境下，NAS已经完全可以实现异构平台之间的数据级共享，如Windows、Linux、UNIX等平台的共享。因此，NAS存储方案对于企业来说，使用和维护成本相当低，完全可以由现有网络管理员担当。
（3）SAN与NAS完全不同，它不是把所有的存储设备集中安装在一个专门的NAS服务器中，而是通过光纤集线器、光纤路由器、光纤交换机等连接设备将磁盘阵列、磁带等存储设备与相关服务器连接起来组成一个高速专用子网，然后将其与企业现有局域网进行连接。NAS在文件级别上处理数据，而SAN以块为单位进行数据管理。