湖南科技大学计算机科学与工程学院
PKI实验报告
姓名:曾化丽
专业:信息安全
班级:3班
指导老师:曹步青
完成时间:2012年11月1日
实验项目名称:实验一:配置PKI与证书服务
实验时间:2012年10月21日实验类型:验证型
实验目的:
(1)了解PKI与证书服务的工作原理;
(2)熟悉掌握安装PKI与证书服务及配置PKI与证书服务;
实验内容以及步骤:
步骤一:工作组环境下CA的搭建,即创建PKI与证书服务器和站点
1.1为CA服务器配置静态ip地址如:19
2.168.1.11 掩码255.255.255.0;
1.2安装IIS服务
a.(支持web注册需先安装IIS服务,然后再装证书服务!)打开系统的“控制面板”,点击“添加或删除程序”;
b.点击“添加/删除Windows组件”打开“windows组件向导”;
c.在组件下,找到并单击“应用程序服务器”,然后单击“详细信息”;
d.在“应用程序服务器的自组件”中,勾选“Internet信息服务(IIS)”及“启用网络COM+访问”并点击“确定”,最后通过“下一步”、“下一步”至“完成”即可,至此IIS 服务安装成功。
1.3安装CA服务(即证书服务)
a.同样进入“添加/删除Windows组件”,在组件下找到并单击“证书服务”;
b.点击“下一步”选“独立根CA”;
c.点击“下一步”,在[此CA的公用名称]框中输入一个公用名称;
d.最后通过“下一步”至“完成”即可。
1.4打开mmc控制台添加“证书服务”,至此,CA服务成功启用,即CA搭建成功。
步骤二:Windows_Server_2003搭建邮件服务器
2.1安装配置邮件服务器
a.依次单击“开始”——“管理工具”——“管理您的服务器”,打开“管理您的服务器”控制台;
b.在这个管理控制台中我们可以看到服务器一斤成为的角色,单击“添加或删除角色”命令,开始管理服务器的角色;
c.当单击“添加或删除角色”命令,就会运行配置服务器向导;
d.在管理服务器角色中,可以查看已经安装的服务和支持而没有安装的服务,此时的服务器还不是邮件服务器,选择“邮件服务器(POP3,SMTP)”,单击“下一步”;
e.配置“身份验证方法”及“电子邮件域名”,单击“下一步”;
f.安装邮件服务POP3和SMTP,最后通过下一步、下一步至完成,即安装成功。
2.2搭建邮件服务器
a.Windows Server 2003的电子邮件服务器的功能简单,单击“管理工具”下的“POP3”服务;
b.在“POP3服务”中单击“添加邮箱”命令,在弹出的对话框内输入邮箱名(用户名)及密码;
c.常用的邮件客户端有Outlook(或Out look Express)及Foxmail等,以Windows XP 的Out look Express为例;第一次运行Out look Express,需要添加邮件账户、设置POP3及SMTP协议、设置的登录邮箱的账户和密码;最好先创建用户然后再为用户添加电子邮箱,至此,搭建邮件服务器成功。
步骤三:客户端利用数字证书签名加密邮件
3.1客户机A、B申请证书
a.打开客户端IE浏览器输入CA服务器的IP地址:htt://192.168.1.11/certsrv(根据实况输入);
b.选择“电子邮件保护证书”
c.填写用户识别信息,提交。
3.2证书颁发机构(证书服务器)颁发证书
3.3客户机A、B下载证书、安装证书、交换证书
a.查看挂起的证书申请的状态时选“电子邮件保护证书(2012年10月21日 9:20:34)”
b.状态为证书以颁发,则选“安装此证书”
3.4客户机 A用Outlook express邮件客户端对发送邮件签名加密
a.Outlook Express6中为邮件签名和加密,当账户选择数字证书,在账户属性里设置数字证书
b.发送邮件时有两个按钮:签名和加密
3.5客户机B用Outlook express邮件客户端对接收邮件解密验证
因为加密邮件,是使用对方的公钥,因此,本机获取不了对方的数字证书信息时,即获取不了对方的公钥,会提示无法获取数字证书,不能加密之类的提示。在加密前,先互发签名的邮件,让双方获取对方的数字证书信息。如此,客户端对接收邮件解密验证。
实验结果分析:
1、成功搭建CA服务器的结果
2、成功搭建邮件服务器的结果
实验总结:
1、学到了如何安装PKI与证书服务及配置PKI与证书服务,学会了如何利用数字证书签名和加密邮件,更知道了客户端利用数字证书签名加密邮件详细应用。
2、实验过程中碰到了许许多多的问题,我是在一次次的尝试、纠正、完善中完成了这个实验。如:安装IIS服务器时,在组件下我总是直接找到“Internet信息服务(IIS)”并勾选它,之后按“确定”,却总是安装不上该服务器,好几次尝试,自己又在网上搜索了一下别的方法,尝试了好几种方法总算安装成功了,至于原因,我上网搜、请教同学都没的到答案。
3、实验中有需要特别注意细节和技巧,如在安装CA服务器选择自己想设置的CA类型时,就要注意如果自己的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA”和“企业从属CA”(在域中的成员可以通过MMC和WEB方式申请证书);又如:要先安装IIS 之后,再安装证书服务器,在IIS服务器中出现的“默认的网站”中出现“certsrv"之后,可以用“浏览”功能看一下能不能用,如果能用,再打开网址“http://localhost/certsrv/
实验项目名称:实验二:WEB服务器上设置SSL
实验时间:2012年10月21日实验类型:验证型
实验目的:
(1)了解证书的发放过程;
(2)掌握证书服务的安装和在WEB服务器上配置SSL;
(3)熟悉使用HTTPS协议访问网站以验证结果。
实验内容以及步骤:
为了使用户访问WEB站点时可以使用HTTPS的安装方式浏览网页,可以通过SSL协议在WEB 服务器上启用安全通信通道以实现高安全性.
而证书服务必须是建立在安装IIS服务的基础上的。
步骤一:安装IIS服务
1.1(支持web注册需先安装IIS服务,然后再装证书服务!)打开系统的“控制面板”,点击“添加或删除程序”;
1.2点击“添加/删除Windows组件”打开“windows组件向导”;
1.3在组件下,找到并单击“应用程序服务器”,然后单击“详细信息”;
1.4在“应用程序服务器的自组件”中,勾选“Internet信息服务(IIS)”及“启用网络COM+访问”并点击“确定”,最后通过“下一步”、“下一步”至“完成”即可,至此IIS 服务安装成功。
步骤二:配置WEB服务器
2.1在“开始”菜单中选择“管理工具——Internet信息服务(IIS)管理器”;
2.2在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
2.3右击“网站”,在弹出菜单中选择“新建网站”,打开“网站创建向导”;
2.4依次填写“网站描述”、“IP地址”、“端口号”、“路径”和“网站访问权限”等。最后,为了便于方便访问,还应设置默认文档(Index.asp、Index.htm)。
步骤三:安装证书服务
3.1同样进入“添加/删除Windows组件”,在组件下找到并单击“证书服务”;
3.2点击“下一步”选“企业根CA”;
3.3点击“下一步”,在[此CA的公用名称]框中输入一个公用名称;
3.4最后通过“下一步”至“完成”即可。
步骤四:生成证书申请
4.1在“开始”菜单中选择“管理工具——Internet信息服务(IIS)管理器”;
4.2在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
4.3右击“默认网站”,点击属性;
4.4在[默认网站属性]框中选择“目录安全性”;
4.5在安全通行中点击“服务器证书”,出现服务器证书向导框;
4.6点击“下一步”,出现IIS向导;选择“新建证书”;
4.7点击“下一步”,单击“现在准备申请,但稍后发送”,然后单击“下一步”;
4.8在名称文本框中键入证书的描述性名称后,单击“下一步”;
4.9输入单位、部门信息,单击“下一步”;
4.10在“公用名”字段中,输入站点公用名,然后单击“下一步”;
重要说明:公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。如果您的站点在 Web 上并且被命名为https://www.doczj.com/doc/441814534.html,,这就是您应当指定的公用名。如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的 NetBIOS 或 DNS 名称。
4.11 在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息,然后单击“下一步”;
4.12 输入证书申请文件名;
该文件包含类似下面这样的信息。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
-----END NEW CERTIFICATE REQUEST-----
这是证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息,还包括自己公钥和用自己私钥签名的信息。
将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用自己的私钥签名的信息。CA 也验证申请中提供的信息。
当将申请提交到 CA 后,CA 将在一个文件中发回证书。然后应当重新启动 Web 服务器证书向导。
4.13单击“下一步”,该想到显示证书申请中包含的信息概要;
4.14单击“下一步”,然后单击“完成”完成申请过程;
证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后,可以再次使用 IIS 证书向导,在 Web 服务器上继续安装证书。
步骤五:提交证书申请
5.1使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板;
5.2启动 Internet Explorer,导航到如http://07-936F992F37A2/CertSrv,其中hostname 是运行 Microsoft 证书服务的计算机的名称,输入用户和密码;
5.3单击“申请一个证书”,然后单击“下一步”;
5.4在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”;
5.5点击使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS #7 文件续订证书申请;
5.6在保存的文本框里粘贴复制的证书文件内容;
5.7在“证书模板”组合框中,单击“Web 服务器”,然后,点击“提交”;
5.8选择“base64编码”点击“下载证书”;
5.9保存证书,关闭IE。
步骤六:在WEB服务器上安装证书
6.1在“开始”菜单中选择“管理工具——Internet信息服务(IIS)管理器”;
6.2在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
6.3右击“默认网站”,点击属性;
6.4在[默认网站属性]框中选择“目录安全性”;
6.5在安全通行中点击“服务器证书”,出现服务器证书向导框;
6.6点击“下一步”,出现IIS向导;选择“处理挂起的请求并安装证书”,然后单击“下一步”;
6.7输入包含CA响应的文件的路径和文件名,点击“下一步”;
6.8保持默认端口为443,点击“下一步”;
6.9显示证书信息,点击“下一步”,完成。
步骤七:WEB服务器启动SSL
7.1在“开始”菜单中选择“管理工具——Internet信息服务(IIS)管理器”;
7.2在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
7.3右击“默认网站”,点击属性;
7.4在[默认网站属性]框中选择“目录安全性”;
7.5在安全通信中点击“编辑”;
7.6勾选“要求安全通道SSL”,点击“确定”,完成。
实验结果分析:
1利用HTTP协议访问网站结果
2利用HTTPS协议访问网站结果
实验总结:
1、学到了如何安装证书服务和在WEB服务器上配置SSL;学会了使用HTTPS协议访问网站以验证结果。
2、实验过程中,碰到了许许多多的问题,如:在实验第4.6步时,我起初选择“服务器证书”总是提示不可用,通过网上搜索我知道了原因,这是因为我前面配置中选择了虚拟目录、目录或文件,于是返回第 4.2 步,重新选择 Web 站点。
3、实验中需要特别注意细节和技巧有:
实验中第4.9 步需注意:这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。
网站设置中,此时的web服务还仅适用与静态内容,即静态网页能正常浏览,常用Active Server Pages(ASP)功能没有被启用。所以还应在“Internet信息服务(IIS)管理器”的“web服务扩展”中选择允许“Active Server Pages”
还要注意:如果客户端访问web服务器时没有证书,可以在服务器地址:“http://locahost/certsrv/”处申请一个“浏览器的证书”然后颁发下载并安装就可以使用了。
另外,注意:如果WEB服务主目录所在分区是NTFS格式,而ASP网页有写入操作时(如用到新闻后台管理功能的),要注意设置写入修改权限。
实验项目名称:实验三:在域环境下配置CA并
应用到Web服务器和客服端
实验时间:2012年10月28日实验类型:验证型
实验目的:
(1)了解证书服务和Web服务器的工作原理;
(2)掌握安装证书服务及配置证书服务;
(3)熟悉配置WEB服务器的具体步骤。
实验内容以及步骤:
步骤一:安装IIS和CA(因为安装CA时要向默认网站里新建相应的虚拟目录,用来申请证书时使用。)
1.2安装IIS服务
a.(支持web注册需先安装IIS服务,然后再装证书服务!)打开系统的“控制面板”,点击“添加或删除程序”;
b.点击“添加/删除Windows组件”打开“windows组件向导”;
c.在组件下,找到并单击“应用程序服务器”,然后单击“详细信息”;
d.在“应用程序服务器的自组件”中,勾选“Internet信息服务(IIS)”及“启用网络COM+访问”并点击“确定”,最后通过“下一步”、“下一步”至“完成”即可,至此IIS 服务安装成功。
1.3安装CA服务(即证书服务)
a.同样进入“添加/删除Windows组件”,在组件下找到并单击“证书服务”;
b.点击“下一步”选“企业根CA”;注意:域环境下CA的类型有四种,在工作组环境下只有独立根可以建立。
c.点击“下一步”,在[此CA的公用名称]框中输入一个公用名称,一般与计算机名一样;
d.保持默认路径最后通过“下一步”至“完成”即可。
步骤二:配置web服务器
2.1按顺序依次点击“开始-程序-管理工具-Internet信息服务(IIS)管理”;
2.2在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
2.3右击“网站”,在弹出菜单中选择“新建网站”,打开“网站创建向导”;
2.4 输入相应的web站点的描述,单击“下一步”。
2.5依次填写“网站IP地址”、“”、“网站TCP端口(默认值80)”,点击“下一步”; 2.6输入相应的主目录的路径,单击“下一步”;
2.7设置相应的权限,单击“下一步”;单击“完成”。
最后,为了便于方便访问,还应设置默认文档(Index.asp、Index.htm)。
步骤三:查看站点是否可以成功的访问
3.1启动IE,输入http://192.168.1.11,可以成功的访问即可。
步骤四:给web服务器申请证书
因为CA被写入了默认网站的虚拟目录里,所以我们申请证书时要注意,将web先暂停一下,启用默认网站的配置。但是在那之前,先要web服务器上填写一个证书申请表。
4.1填写证书申请表
a.按顺序依次点击“开始-程序-管理工具-Internet信息服务(IIS)管理”;
b.右击web,选择“属性”;
c.选择“目录安全性”,在通信安全中单击“服务器证书”;
d.出现web服务器证书向导,单击“下一步”;
e.选择“新建证书”,单击“下一步”;
f.勾选“现在尊卑证书请求,但稍后发送(P)”单击“下一步”;
g.填写证书名称“web”单击“下一步”;
h.输入相应的单位和部门信息,单击“下一步”;
i.输入站点公用名称,如“client5”,单击“下一步”;
j.在“国家(地区)”、“省/自治区”、“市县”等文本框中输入相应的地理信息配置,单击“下一步”;
k.在证书请求的文件名框中选择证书申请表的目录,单击“下一步”;
l.单击“完成”,这时证书申请表已经成功的填写完成了。
4.2给web服务器申请证书
a.启动IE,在地址栏输入http://192.168.1.11/certsrv;
b.输入相应的用户名和密码,单击“确定”;
c.单击“添加”,添加相应的网站到相应的访问目录;
d.在选择一个任务中,单击选择“申请一个证书”;
e.在申请一个证书中,单击选择“高级证书申请”;
f.在高级证书申请中,选择第二项“使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请”;
g.将刚才填写的证书申请表填写到相应的位置,选择正确的证书模版,单击提交;
h.出现提示框,单击“是”;
i.于证书以颁发框中勾选DER编码,单击“下载证书”;
j.单击“保存”,选择“证书的保存位置”;
k.单击“保存”成功,证明已经成功的下载了证书。
步骤五:Web应用相应的证书
5.1web服务器上安装证书
a.在“开始”菜单中选择“管理工具——Internet信息服务(IIS)管理器”;
b.在“Internet信息服务(IIS)管理器”中双击“本地计算机”;
c.右击“默认网站”,点击属性;
d.在[默认网站属性]框中选择“目录安全性”;
e.在安全通行中点击“服务器证书”,出现服务器证书向导框;
f.点击“下一步”,出现IIS向导;选择“处理挂起的请求并安装证书”,然后单击“下一步”;
g.输入包含CA响应的文件的路径和文件名,点击“下一步”;
h.保持默认端口为443,点击“下一步”;
i.显示证书信息,点击“下一步”,完成。
5.2服务器端的证书应用
a.启动IE,输入http://192.168.1.11,可以成功的访问,这是因为还没有采用ssl 服务;
b.进入web的属性窗口的目录安全性选项卡。
c.在安全通信中,单击“编辑”。
d.选择“要求安全通道”,客户端证书选择忽略客户端证书,单击“确定”。
到此服务器端的证书应用已经成功的完成了。
步骤六:在客户端验证
6.1启动IE,输入http://192.168.1.11;
6.2不能成功。键入https://192.168.1.11,出现安全警报,单击“是”。
6.3已经成功的显示了。因为客户采用的是忽略客户端证书,所以客户端在访问web服务器的时候不提示下载证书;
6.4改变客户端的证书模式
a.选择“要求客户端证书”,单击“确定”。
步骤七:在客户端验证
7.1启动IE,输入https://192.168.1.11,提示没有证书;
7.2客户端下载证书
a.启动IE,输入http://192.168.1.11/certsrv;
b.输入相应的用户名和相应的密码,单击“确定”;
c.出现提示信息,将相应的网站添加到IE中;
d.在选择一个任务中,单击“申请一个证书”;
e.在申请一个证书中选择证书类型,单击“用户证书”;
f.出现用户证书----识别信息,单击“提交”;
g.在证书已颁发中,单击“安装此证书”;
h.提示证书已安装,此时证明证书已经成功。
7.3此时在验证
a.启动IE,输入https://192.168.1.11;
b.此时信息显示已经有了一个证书,单击“确定”;
c.证明已经成功的采用证书。
实验结果分析:
1、查看站点访问结果
2、在客户段验证结果
3、证书成功安装结果
实验总结:
1、学到了证书服务和Web服务器的工作原理;掌握安装证书服务及在域环境下配置证书服务;熟悉配置WEB服务器的具体步骤。
2、由于前面所做的两个实验已经囊括了实验三的大部分实验步骤,因此在做这个实验时进展很顺利,没有碰到什么难题。
3、实验中需要特别注意基本都与前两个实验一样:如在安装CA服务器选择自己想设置的CA类型时,就要注意如果自己的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA”和“企业从属CA”(在域中的成员可以通过MMC和WEB方式申请证书);又如:要先安装IIS之后,再安装证书服务器,在IIS服务器中出现的“默认的网站”中出现“certsrv"之后,可以用“浏览”功能看一下能不能用,如果能用,再打开网址“http://localhost/certsrv/
网站设置中,此时的web服务还仅适用与静态内容,即静态网页能正常浏览,常用Active Server Pages(ASP)功能没有被启用。所以还应在“Internet信息服务(IIS)管理器”的“web服务扩展”中选择允许“Active Server Pages”
还要注意:如果客户端访问web服务器时没有证书,可以在服务器地址:“http://locahost/certsrv/”处申请一个“浏览器的证书”然后颁发下载并安装就可以使用了。
另外,注意:如果WEB服务主目录所在分区是NTFS格式,而ASP网页有写入操作时(如用到新闻后台管理功能的),要注意设置写入修改权限。
范文 2020年网络安全知识竞赛培训试题库【附答案】 1/ 17
2020 年网络安全知识竞赛培训试题库【附答案】单选题 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A) A、拒绝服务 B、文件共享 C、BIND 漏洞 D、远程过程调用 2.为了防御网络监听,最常用的方法是 (B) A、采用物理传输(非网络) B、信息加密 C、无线网
D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听 C、拒绝服务 D、IP 欺骗 4.主要用于加密机制的协议是(D) A、HTTP B、FTP C、TELNET D、SSL 3/ 17
5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? (B) A、缓存溢出攻击; B、钓鱼攻击 C、暗门攻击; D、DDOS 攻击 6.Windows NT 和 Windows 2000 系统能设置为在几次无效登录后锁定帐号,这可以防止(B) A、木马; B、暴力攻击; C、IP 欺骗; D、缓存溢出攻击
7.在以下认证方式中,最常用的认证方式是:(A) A 基于账户名/口令认证 B 基于摘要算法认证 ; C 基于 PKI 认证 ; D 基于数据库认证 8.以下哪项不属于防止口令猜测的措施? (B) A、严格限定从一个给定的终端进行非法认证的次数; B、确保口令不在终端上再现; C、防止用户使用太短的口令; D、使用机器产生的口令 9.下列不属于系统安全的技术是(B) 5/ 17
网络及安全培训考试 一、单项选择题(本大题共30小题,每小题2分,共60分) 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A ) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2、主要用于加密机制的协议是( D ) A、HTTP B、FTP C、TELNET D、SSL 3、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?( B ) A、缓存溢出攻击; B、钓鱼攻击; C、暗门攻击; D、DDOS攻击 4、在以下认证方式中,最常用的认证方式是:( A ) A基于账户名/口令认证;B基于摘要算法认证;C基于PKI认证;D基于数据库认证 5、抵御电子邮箱入侵措施中,不正确的是(D ) A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 6、不属于常见的危险密码是( D ) A、跟用户名相同的密码 B、使用生日作为密码 C、只有4位数的密码 D、10位的综合型密码 7、以下关于DOS攻击的描述,哪句话是正确的?( C ) (A)不需要侵入受攻击的系统(B)以窃取目标系统上的机密信息为目的 (C)导致目标系统无法处理正常用户的请求(D)如果目标系统没有漏洞,远程攻击就不可能成功 8、口令攻击的主要目的是( B ) (A)获取口令破坏系统(B)获取口令进入系统(C)仅获取口令没有用途 9、计算机病毒是_____(A) (A)计算机程序(B)数据(C)临时文件(D)应用软件 10、边界防范的根本作用是(C)
(A)对系统工作情况进行检验与控制,防止外部非法入侵 (B)对网络运行状况进行检验与控制,防止外部非法入侵 (C)对访问合法性进行检验与控制,防止外部非法入侵 11、路由设置是边界防范的(A) (A)基本手段之一(B)根本手段(C)无效手段 12、VPN是指(A) (A)虚拟的专用网络(B)虚拟的协议网络(C)虚拟的包过滤网络 13、NAT 是指(B) (A)网络地址传输(B)网络地址转换(C)网络地址跟踪 14、VPN通常用于建立____之间的安全通道(A) (A)总部与分支机构、与合作伙伴、与移动办公用户 (B)客户与客户、与合作伙伴、与远程用户 (C)总部与分支机构、与外部网站、与移动办公用户 15、在安全区域划分中DMZ 区通常用做(B) (A)数据区(B)对外服务区(C)重要业务区 16、目前用户局域网内部区域划分通常通过____实现(B) (A)物理隔离(B)Vlan 划分(C)防火墙防范 17、防火墙的部署(B) (A)只需要在与Internet 相连接的出入口设置 (B)在需要保护局域网络的所有出入口设置 (C)需要在出入口和网段之间进行部署 18、目前的防火墙防范主要是(B) (A)主动防范(B)被动防范(C)不一定 19、现代主动安全防御的主要手段是(A) A>探测、预警、监视、警报 B>嘹望、烟火、巡更、敲梆 C>调查、报告、分析、警报 20、计算机病毒是指:(C ) A .带细菌的磁盘 B. 已损坏的磁盘C. 具有破坏性的特制程序 D.被破坏了
《网络安全与管理》试题一 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是( D ) A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为 密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:(A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是:(A ) A.对信息源发方进行身份验证
汉中中南技能培训学校 《电子商务》技能培训考试题 姓名:成绩: 一、填空题(每题4分,共40分) 1、电子商务的特点主要包括高效性、、虚拟性、、技术依赖性、安全敏感性、协作性和动态性等。 2、电子商务的应用框架分为四个层次和两个支柱。四个层次分别为、多媒体内容与网络发布基础、消息与信息传输基础和。 3、电子商务的收益可大体分为以下三个方面:、对消费者的收益和。 4、我们通常讲的网络互联技术分为、和Intert技术。 5、目前计算机网络传输介质有双绞线、、和空间介质(卫星网)。 6、数字证书主要由以下三部分信息组成:、用户身份信息和CA 签名。 7、PKI主要由以下三部分组成:、和管理功能。 8、电子商务的最基本要求是实现、、商流和物流的畅通和一致。 9、电子商务的分类按参与主体可分为、和C2C三种主要模式 10、电子银行一般认为可分为三个阶段:电话银行、和。 二、选择题(每题4分,共40分) 1、保证实现安全电子商务所面临的任务中不包括( )。 A.数据的完整性 B.信息的保密 C.操作的正确性 D.身份认证的真实 性 2、ARPANET网络成功的最主要原因是其采用后来被称为互联网“通用语言”的( )。 A. 安全套接层(SSL)协议 B. CCITTX.509国际标准化协议 C. TCP/IP标准网络协议 D. 文件传输FTP协议 3、电子商务活动的直接参与者通常不包括( )。 A. 用户 B. 商家 C. 金融机构 D. 政府机构 4、一般认为:( )是最早出现的真正意义上的电子商务。
A. Spread Sheet B EDI C.. EDP D:SSL 5、HTTP、FTP、SMTP、TELNET等协议属于( )的协议。 A. 物理层 B. 传输层 C. 会话层 D. 应用层 6、实施电子商务项目时,项目团队一般不包含下列哪类人员()。 A. 业务经理 B. 系统管理员 C. 数据库管理员 D. 公关人员 7、IP地址与域名的关系,以下叙述正确的是()。 A. IP地址与域名一一对应 B. 一个IP地址可对应多个域名 C. 一个域名可对应多个IP地址 D. IP地址与域名是多对多的对应关 8、电子商务安全协议SET主要用于()。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付 9、现阶段网络银行成功的发展模式为()。 A. 传统银行提供网络银行服务 B. 建设纯网络银行 C. Internet银行与电话银行结合 D. Internet银行与PC银行结合 10、电子商务的应用框架分为()。 A. 两个层次和四个支柱 B. 四个层次和两个支柱 C. 信息发布和信息服务 D. 信息发布和商品销售。 三、判断题(判断正误,并在括号内填“√”或“X”,每题2分,共20分) 1、()物流是电子商务系统的重要组成部分,不能独立于电子商务系统单独存在。 2、()所有通过计算机传递的商务信息 都属于网络商务信息的。 3、()企业只有建立自己的网站平台 才能够开展网络营销活动。 4、()IP 地址与域名是表示主机的两种符号系统,一个IP 地址可以对应多个域名,但一个域名只能对应一个IP 地址。 5、()自建网站,注册域名很有必要,为便于营销和客户使用,可申请多个域名用于同一个网站。 6、()企业建网上商场,可以选用的方法是自建网站、租用服务器空间或实行服务器托管。 7、()网络营销不等于电子商务。 8、()网络营销可以实现全程营销的互动性。 9、()在线问卷法是属于间接的市场调研。 10、()直接电子商务,是指有形货物的电子订货,仍然需要利用传统渠道如邮政服务和商业快递车送货。
-2014 信息安全管理练习题判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是(C)的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是(D)。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是(B)。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是(A)。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为(A)。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范
2020年网络安全法知识竞赛培训试题【附答案】 单选题 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2.为了防御网络监听,最常用的方法是(B) A、采用物理传输(非网络) B、信息加密 C、无线网
D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听 C、拒绝服务 D、IP欺骗 4.主要用于加密机制的协议是(D) A、HTTP B、FTP C、TELNET D、SSL
5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? (B) A、缓存溢出攻击; B、钓鱼攻击 C、暗门攻击; D、DDOS攻击 6.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止(B) A、木马; B、暴力攻击; C、IP欺骗; D、缓存溢出攻击
7.在以下认证方式中,最常用的认证方式是:(A) A基于账户名/口令认证 B基于摘要算法认证; C基于PKI认证; D基于数据库认证 8.以下哪项不属于防止口令猜测的措施? (B) A、严格限定从一个给定的终端进行非法认证的次数; B、确保口令不在终端上再现; C、防止用户使用太短的口令; D、使用机器产生的口令 9.下列不属于系统安全的技术是(B)
A、防火墙 B、加密狗 C、认证 D、防病毒 10.抵御电子邮箱入侵措施中,不正确的是( D ) A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 11.不属于常见的危险密码是( D ) A、跟用户名相同的密码
试题以word形式上传,形如2008001张三.doc的文件,编程题代码直接写在题目下方,结果以抓图形式粘贴在该word文档中。 一、论述题(40分): 以文件网络传输的安全性分析为例,阐述pki系统产生的必要性与基本技术特点分析。 (不得少于400字)。 随着网络的发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施(PKI, Public Key Infrastructure)逐步在国内外得到广泛应用。 pki系统基本技术特点分析 1. 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。 2、由于密码技术的采用,保护机密性是PKI最得天独厚的优点。 3、由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。 4、PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。 5、PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI 都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。 二、编程题(60分,代码占40分,结果20分): 利用openssl,结合activeperl环境搭建,用vc++实现对原文pki exam的16位秘文的生成。#include
PKI笔试题 一、选择题(15X4,共60分) 1.下列那个算法属于非对称算法()。 A.SSF33 B.DES C.SM3 D.ECC 2.下列哪项不是对称算法的缺点()。 A.在多人通信加密情况下,需要使用的密钥对数过于庞大 B.共享密钥的传输过程不能有效加密传输 C.不能解决防抵赖的问题 D.加密运算复杂,不适合于大数据加密 3.对于非对称算法在签名应用中的下列描述,那个是正确的描述() A.私钥签名公钥验签。 B.公钥签名私钥验签。 C.私钥签名私钥验签。 D.公钥签名公钥验签。 4.关于PKI技术所能解决的问题,以下所列错误的是() A.通过加密解密技术来解决信息的保密性问题。 B.通过签名技术来解决信息的不可抵赖性。 C.能解决信息的完整性不被破坏。 D.能提高大并发下的WEB服务器性能。 5.CA指的是:() A.证书注册中心; B. 密钥管理中心; C.安全管理中心; D.证书认证中心; 6.关于双证书,下面描述错误的是() A. 加密证书私钥由KM托管; B. 双证书是2张证书,签名证书和加密证书; C. 签名证书私钥由证书载体生成; D. 签名证书私钥可以被导出; 7.可以用来签发证书的介质,以下所列那个是错误的() A. 智能卡 B. USB-KEY C. 微软的CSP容器 D. U盘 8.下列不属于PKI应用的是() A. 电子签章技术 B. 数据挖掘技术 C. 时间戳技术 D. SSl通讯技术 9.PKI体系不包括() A.CA B. RA C. KM D. DB 10.非对称算法在保密中的应用,下面描述正确的是()。 A. 公钥加密私钥解密 B. 公钥解密私钥加密 C. 公钥加密公钥解密 D.私钥加密私钥解密 11、负责产生、分配并管理PKI结构下所有用户的机构是() A.LDAP目录服务器B.业务受理点
一、选择题 1、下面哪个单元不属于GSM交换系统部分() A EIR B RBS C VLR D SC 答:B 2、计费是由下面哪个网元来完成() A HLR B AU C C MSC D BSC 答:C 3、下面哪个不是AUC产生的三参数组中的参数() A RAND B SRES C Ki D Kc 答:C 4、()产生鉴权所需的三参数组,而鉴权是在()中进行的。 A VLR B MS C C AUC D HLR 答:C、B 5、GPRS是一种()交换方式。 A:电路B:包C:无线D:TCP/IP 答:B 6、SGSN对用户的计费方式是()。 A:按时间计费B:按流量计费C:包月计费答:B 7、计费文件是由()产生。 A:HLR B:BSC C:BGW D:MSC 答:D 8、有关Route Reflector,下列哪一种说法正确: A、它减小了BGP路由表 B、它使能了Route Summarization C、它们减小了BGP会话数 D、它们修改了水平分割 答:C 9、什么是VLAN A.一个可路由网络 B.一个共享的物理介质 C.在同一广播域内的一组端口 D.一个共享的冲突域 答:C 10、以下哪一种方法能最有效地减小路由表项? A.路由过滤器 B.路由汇总 C.压缩 D.交换 答:B 11、下面哪个路由协议是链路状态协议? A.RIP
B.静态 C.BGP D.IS-IS 答:D 12、一台路由器,同时运行着OSPF,RIP,IS-IS和静态路由协议,哪一个路由协议优先权最高? A.OSPF B.RIP C.IS-IS D.静态 答:D 13、下面的地址哪个不是保留地址? A. 10.130.55.6 B. 172.30.38.5 C. 192.168.54.1 D. 172.15.124.57 答:D 14、WAP使用了什么通道方式,建立了节点和wap网关之间的通讯? L2TP B.GRE C.PPP D.IPSec 答:B 15、BGP通过什么协议来连接? A.TCP B.UDP C.SNMP D.IPX 答:A 16、下面哪一个不属于OSI参考模型? A.系统层 B.应用层 C.会话层 D.物理层 答:A 17、路由属于OSI参考模型的哪一层? A.物理层 B.数据链路层 C.网络层 D.传输层 答:C 18、在以太网上,何时会发生冲突? A.当一台主机未通知其他主机就向外发包时 B.在传输过程中出现错误时
PKI期末试卷 一,填空(1分x20=20分) 1、SSL协议是独立的协议,它对其上层协议是透明的。SSL协议提供安全连接时有一些基本属性,包括:通信内容保密验证使用非对称密钥可靠连接 2、证书管理标准主要包括证书管理协议和证书请求消息格式 3、CRL(Certificate Revocation List)中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。 4、识别用户的身份的两种不同形式分别是身份认证和身份鉴定 5、SET协议中的角色,包括持卡人、发卡银行、认证中心 6、PKCS#1中定义的两个数据转换原语为I2OSP和OS2IP 7、交叉认证就是能使一个CA扩展其信任范围的一种实现机制。 8、PKI体系现存的问题很多,包括相关法律体系的建立赔付机制的缺失用户认识不足 9、D-H密钥交换协议的最大优势是,密钥交换双方不需要事先约定,利用离散对数的难解性来实现密钥的交换。 10、PKI是一种新的安全技术,它基于公开密钥密码技术,通过数字证书建立信任关系二,名词解释(6分x4=24分) 1、LDAP; LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 2、信任域; 信任域是PKI原理中,与信任模型有关的一个概念。指的是一个组织内的个体在一组公共安全策略控制下所能信任的个体集合。 3、WPKI WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI(PublicKeyInfrastrcture)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。 4、信任模型 信任模型是PKI原理中的一个重要概念,指建立信任关系和验证证书时寻找和遍历信任路径的模型。 三,简答(15分x3=45分) 1.什么是RA?RA的组成有哪几部分?RA的功能与任务主要是哪些 数字证书注册中心,又叫RA(Registration Authority ),是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的
2012-2013学年第1学期期中考试试题课程名称《PKI技术及其应用》 考试方式(开)卷适用专业09计科 考试时间( 120 )分钟 一、名词解释(20分,每小题4分) 1.公钥基础设施 2. 数字证书 3. 信任关系 4.证书生命周期 5.认证惯例陈述 二、选择题(10分,每题2分) 1.数字证书不包括( ) A. 证书所有人公钥 B.证书有效期 C. 证书所有人私钥 D. 认证机构名 2.中国PKI论坛成立于( ) A. 1980 年 B. 1990年 C. 1998年 D. 2001年3.RA与CA功能的一个主要不同点在于() A.注册、注销以及批准或拒绝对用户证书属性的变更要求B.对证书申请人进行合法性确认 C.发放证书 D.向有权拥有身份标记的人当面分发标记或恢复旧标记 4. 以下哪种形式不是简单鉴别( ) A.刮刮卡 B. 口令+ID以明文方式传输 C.随机数加密保护 D.三向认证鉴别 5.下列哪种方式不是PKI管理的传输方式()A.基于TCP的管理协议 B.基于文件大小的协议 C.通过电邮的管理协议D.通过HTTP的管理协议 三、简答题( 共30分,每题10分) 1.PKI的核心服务有哪些? 2. CA如何对证书进行更新? 3. 信任模型是什么?有哪几种典型的信任模型? 四、分析题( 共40分,每题20分) 1.试详细描述DES算法,并描述加密和解密的过程。 2. 试分析CA系统在网络基础上实施的安全性。
《PKI技术及其应用》标准答案 1. 公钥基础设施:是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。 2. 数字证书:又叫“数字身份证”、“网络身份证”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。 3. 信任关系:当两个认证机构中的一方给对方的公钥或双方给对方的公钥颁发证书时,二者之间就建立了这种信任关系。 4. 证书生命周期:证书申请、证书生成、证书存储、证书发布、证书废止这一过程就是证书的生命周期。 5.认证惯例陈述:一种认证惯例陈述可采取CA宣布的形式,包括它的信任系统详细情况及它在操作中和在支持颁发证书中采用的惯例,或者它可以是一种适用于CA的条令或规则和相似的主题。它也可以是CA和签署者之间的部分契约。一种认证惯例陈述也可由多份文档、公共法律组合、私人合同或声明组成。 二、选择题(10分,每题2分) 1. C 2. D 3.C 4.D 5.B 三、简答题( 共30分,每题10分) 1. (1)PKI服务的认证性:使得实体甲可以用自己的私钥加密一段挑战 信息,乙收到信息后用甲的公钥(如果乙不知道甲的公钥可以到公开的网站或机构去查明)对信息进行解密,从而确定甲就是甲所声明的实体本身。 (2)PKI服务的保密性:采用了类似于完整性服务的机制,具体如下: a.甲生成一个对称密钥(使用密钥协商协议)。 b. 用对称密钥加密数据(使用对称分组密码)。 c.将加密后的数据发送给对方。 (3)不可否认性服务是指从技术上保证实体对他们的行为的诚实性。最受关注的是对数据来源的不可抵赖,即用户不可能否认敏感消息或文件。此外,还包括其他类型的不可否认性,如传输的不可否认性、创建的不可否认性以及同意的不可否认性等。 2.这个过程依赖于CA,使用它先前的密钥签名新证书,并且使用新密钥签名旧证书。结果是根CA经历一次密钥更新创建了4个证书。这4个证书是: 旧用旧证书原始自签名证书,此时先前的CA私钥被用来签名CA证书中先前的公开密钥。 旧用新证书用新CA私钥签名的CA证书中的原始公开密钥。 新用旧证书用先前的CA私钥签名的CA证书中的新的公开密钥。 新用新证书用新CA私钥签名的CA证书中的新的公开密钥。 先前的CA证书(旧用旧证书)在密钥更新事件发生时由所有依赖方拥有。新用旧证书允许新产生的CA公开密钥由先前的、可信的密钥证实。一旦新密钥是可信的,依赖方获得的新CA证书(新用新证书)将能够信任它,此时旧用旧证书和新用旧证书对于依赖方不再是必要的。新用旧证书的有效期限从新CA密钥的密钥产生时间开始,在所有依赖方转移到承认新密钥的适当日期结束。最后的可能时间是先前的密钥的过期期限。旧用新证书实现旧密钥对向新密钥对的平滑转换,其有效期从先前的密钥对产生的日期开始,到旧用旧证书过期的日期结束。在CA新旧证书交迭时期,旧证书
网络安全培训考试题 一、单选题 1、当访问web网站的某个页面资源不存在时,将会出现的HTTP状态码是___D___ A、200 B、302 C、401 D、404 状态码:是用以表示网页服务器HTTP响应状态的3位数 302:请求的资源现在临时从不同的 URI 响应请求。 401:Bad Request 语义有误,当前请求无法被服务器理解。除非进行修改,否则客户端不应该重复提交 这个请求。 404:Not Found请求失败,请求所希望得到的资源未被在服务器上发现。 2、下列哪些不属于黑客地下产业链类型?___C___ A、真实资产盗窃地下产业链 B、互联网资源与服务滥用地下产业链 C、移动互联网金融产业链 D、网络虚拟资产盗窃地下产业链 无地下产业链关键词 3、许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对此最可靠的解决方案是什么?___C___ (A)安装防火墙 (B)安装入侵检测系统 (C)给系统安装最新的补丁 (D)安装防病毒软件 4、下列哪类工具是日常用来扫描web漏洞的工具?___A___ A、IBM APPSCAN B、Nessus目前全世界最多人使用的系统漏洞扫描与分析软件 C、NMAP N etwork Mapper是Linux下的网络扫描和嗅探工具包 D、X-SCAN国内安全焦点出品,多线程方式对指定IP地址段(或单机)进行安全漏洞检测 5、下列哪一项不是黑客在入侵踩点(信息搜集)阶段使用到的技术?___D___ A、公开信息的合理利用及分析 B、IP及域名信息收集 C、主机及系统信息收集 D、使用sqlmap验证SQL注入漏洞是否存在 6、常规端口扫描和半开式扫描的区别是?___B___ A、没什么区别 B、没有完成三次握手,缺少ACK过程 C、半开式采用UDP方式扫描 D、扫描准确性不一样 7、下列哪一个选项不属于XSS跨站脚本漏洞危害:___C___ A、钓鱼欺骗 B、身份盗用 C、SQL数据泄露
1.下面关于信息安全保障的说法正确的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是: A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”, 再到“信息安全”,直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制
6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是: A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型? A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是? A 它可以用来实现完整性保护,也可以用来实现机密性保护 B在强制访问控制的系统中,用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低
填空题 1、.对于商家和顾客的交易双方,SSL协议有利于商家而不利于顾客。 2、.要保证证书是有效的,必须要满足这样一些条件:一是证书没有超过有效期,二是密钥没有被修改,三是证书不在CA发行的无效证书清单中。 3、.数字签名技术的主要功能是:保证信息传输过程中的完整性,对发送者的身份认证,防止交易中的抵赖发生。 4、. SSL可用于保护正常运行于TCP上的任何应用协议,如 _HTTP__、__FTP_、SMTP或Telnet的通信。 4.密码技术是保证网络、信息安全的核心技术。信息在网络中传输时,通常不是以_明文_而是以__密文_的方式进行通讯传输的。 5.现在广为人们知晓的_传输控制_协议(TCP)和_网际__协议(IP),常写为TCP/IP。 6.数字签名分为确定和随机两种,其中RSA签名属于确定性签名,ELGamal 签名属于 随机签名。 15.IPSec有两种工作模式,分别是_____传输模式_____和____隧道模式______。 16.商务数据的机密性可用_____加密_____和__信息隐匿______技术实现。 17.PKI是基于__数字ID____的,作用就象是一个电子护照,把用户的____数字签名_____绑接到其公钥上。 18.通过一个____密钥_____和__加密算法____可将明文变换成一种伪装的信息。 27.根据近代密码学的观点,一个密码系统的安全性取决于对__密钥___的保护,而不取决于对__算法_的保密。 28.在网络连接技术中,从表面上看它类似于一种专用连接,但实际上是在共享网络上实现的,这种连接技术称为__VPN__,它往往使用一种被称作___隧道__的技术。 29.一个典型的CA系统包括安全服务器、注册机构RA、__CA服务器__、__LDAP 服务器__和数据库服务器等。 1、根据网络安全的定义,网络安全应具有的六个特征为:保密性、完整性、可用性、可控性、可审核性、可保护性 10. SSL协议是一个分层协议,由两层组成:网络层和应用层。 3、防火墙主要可分为以下三种类型:软件防火墙、硬件防火墙和
第一部分基础知识 中国石化2014年信息技术安全竞赛基础知识试卷(D卷) 一、基础部分单选题(每题0.5分,共10题,合计5分) 1、信息化建设和信息安全建设的关系应当是: A. 信息化建设的结束就是信息安全建设的开始 B. 信息化建设和信息安全建设应同步规划、同步实施 C. 信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D. 以上说法都正确 2、国有企业越来越重视信息安全,最根本的原因是: A. 国家越来越重视信息安全,出台了一系列政策法规 B. 信息化投入加大,信息系统软硬件的成本的价值越来越高 C. 业务目标实现越来越依赖于信息系统的正常运行 D. 社会舆论的压力 3、计算机病毒的预防措施包括: A. 管理、技术、硬件 B. 软件、安全意识、技术 C. 管理、技术、安全意识 D. 硬件、技术 4、物联网三要素是: A. 感知传输智能应用 B. 感知互联交换 C. 识别传感应用 D. 互联传输交换 5、信息安全最大的威胁是: A. 人,特别是内部人员 B. 四处肆虐的计算机病毒 C. 防不胜防的计算机漏洞 D. 日趋复杂的信息网络 6、中国石化网络准入控制系统在进行户身份认证时是根据_____核实。
A. OA服务器 B. 数据库服务器 C. radius服务器 D. 活动目录服务器 7、云安全基础服务属于云基础软件服务层,为各类应用提供信息安全服务,是支撑云应用满足用户安全的重要手段,以下哪项不属于云安全基础服务: A. 云用户身份管理服务 B. 云访问控制服务 C. 云审计服务 D. 云应用程序服务 8、个人申请数字证书需填写《中国石化个人数字证书申请表》,经所在部门、人事部门、信息管理部门审核,交由数字证书注册受理机构所属单位信息管理部门审批,审批通过后交____办理。 A. PKI B. CA C. LRA D. RA 9、中国石化PKI/CA系统签发的数字证书包括个人数字证书、设备/服务器数字证书,有效期为____年。 A. 1 B. 3 C. 5 D. 8 10、下面说法错误的是: A. 我国密码算法的审批和商用密码产品许可证的管理由国家密码管理局负责 B. 对计算机网络上危害国家安全的事件进行侦查由国家安全部负责 C. 公共信息网络安全监察和信息安全产品的测评与认证由公安部负责 D. 全国保守国家秘密的工作由国家保密局负责 二、基础部分不定项选择题(每题1.5分,共8题,合计12分;少选得0.5分,多选不得分) 11、可以用来签发证书的介质,以下所列错误的是: A. 智能卡 B. USB-KEY C. 微软的CSP容器 D. U盘 12、中国石化数字证书管理系统(PKI/CA)所能提供的服务有: A. 数字签名 B. 安全邮件S/MIME C. 监控审计 D. 数据加解密 E. 身份认证 13、以下可以有效提升企业在使用云计算时的安全性的有: A. 基于角色的用户访问 B. 高风险数据防护
1-5 DCCDE 6-10 DDCBC 11-15 DCDAA 16-20 DDDAD 第一部分模拟试题 第一题单项选择题(在每小题列出的四个选项中只有一个选项是符合题目要求的,请将正确选项前的字母 填在题后的括号内) 1、网络安全的基本属性是( D)。 A、机密性 B、可用性 C、完整性 D、上面3项都是 2、计算机病毒是计算机系统中一类隐藏在(C )上蓄意破坏的捣乱程序。 A、内存 B、软盘 C、存储介质 D、网络 3、密码学的目的是(C )。 A、研究数据加密 B、研究数据解密 C、研究数据保密 D、研究信息安全 4、网络安全是在分布网络环境中对(D )提供安全保护。 A、信息载体 B、信息的处理、传输 C、信息的存储、访问 D、上面3项都是 5、拒绝服务攻击的后果是(E )。 A、信息不可用 B、应用程序不可用 C、系统宕机 D、阻止通信 E、上面几项都是 6、对目标的攻击威胁通常通过代理实现,而代理需要的特性包括(D )。 A、访问目标的能力 B、对目标发出威胁的动机 C、有关目标的知识 D、上面3项都是 7、威胁是一个可能破坏信息系统环境安全的动作或事件,威胁包括( D)。 A、目标 B、代理 C、事件 D、上面3项都是 8、风险是丢失需要保护的( C)的可能性,风险是( )和( )的综合结果。
A、资产,攻击目标,威胁事件 B、设备,威胁,漏洞 C、资产,威胁,漏洞 D、上面3项都不对 9、一个组织的固定网络连接是由某些类型的(B )接入的。 A、无线通信线路 B、固定通信线路 C、通信子网 D、以上说法均不正确 10、最低级别的信息应该是(C )。 A、不公开的 B、加敏感信息标志的 C、公开的 D、私有的 11、下列对访问控制影响不大的是( D)。 A、主体身份 B、客体身份 C、访问类型 D、主体与客体的类型 12、基于通信双方共同拥有但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是( C)。 A、公钥认证 B、零知识认证 C、共享密钥认证 D、口令认证 13、下面不属于PKI(公钥基础设施)的组成部分的是(D )。 A、证书主体 B、使用证书的应用和系统 C、证书权威机构 D、AS 14、Kerberos在请求访问应用服务器之前,必须( A)。 A、向Ticket Granting服务器请求应用服务器ticket B、向认证服务器发送要求获得“证书”的请求 C、请求获得会话密钥 D、直接与应用服务器协商会话密钥 15、选择开发策略的次序,取决于评估阶段对(A )。 A、风险的识别 B、信息资产价值分析 C、文本检查的结果 D、网络信息安全服务