1、描述五种基本安全技术的方法和作用.(第一章)P14
答:
1).防火墙技术:
内部网络(可信赖的网络)和外部网络(不可信赖的网络)之间的屏障,按照安全规则来控制数据包的进出。
工作方式:过滤器:检查数据包的来源和目的地;数据包内容扫描:根据规定接收或拒绝数据包;数据包模式检查:是否符合已知“友好”数据包的位模式。2).加密技术:
信息的重新组合,使得只有收发双方才能解码并还原信息的一种手段。目前,加密正逐步被集成到系统和网络中,如IETF正在发展的下一代网际协议IPv6.硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。3).身份认证技术:
防火墙是系统的第一道防线,用以防止非法数据的侵入,而安全检查的作用则是阻止非法用户.
认证方式:密码、人体生理特征(如指纹)的识别、智能IC卡或USB盘4).数字签名技术:
证明消息确实是由发送者签发的;验证数据或程序的完整性
5)。内容检查技术:
反病毒软件可以清除E—mail病毒;完善防火墙可以对付新型Java和ActiveX病毒
2、描述替代密码和置换密码所使用的加密方法。(第二章)P20
替代密码:明文中的每一个字符被替换为另外一个字符得到密文;逆替换恢复明文
置换密码:重排明文的字母顺序得到密文;逆重排恢复明文
3、描述D-H算法的过程与作用。(第四章)P57
用于密钥分配,其安全性基于计算离散对数的困难性。
DH算法过程:
1)、相互产生密钥对
2)、交换公钥
3)、用对方的公钥和自己的私钥运行DH算法得到一个密钥X
4)、A产生一个对称加密密钥加密数据,同时用密钥X加密这个对称的加密密钥并发送给B
5)、B用密钥X解密对称的加密密钥,得到对称的加密密钥
6)、B用这个对称的加密密钥来解密A的数据
4、描述PGP系统的过程与作用.(第四章)
PGP(Pretty Good Privacy):基于RSA与IDEA的开源的加密邮件软件
发送方
•生成新的IDEA密钥k(对称)
•用对方RSA公钥加密k,用k加密邮件信息m,一起发送
接收方
•用本方RSA私钥解密得到k
•用k解密邮件信息
5、描述同步洪水攻击(SYN FLOOD)的目的、所利用的协议机制和攻击方
法。(第五章)P79
目的:使目标主机无法对正常的连接请求进行应答
利用:三次握手协议的实现机制——主机在接收到SYN请求时,必须在侦听队列中对此连接请求保持75秒的跟踪;由于资源有限,主机能够打开的连接数有限。
方法:攻击者向主机发送多个SYN请求,且不应答对其返回的SYN+ACK包,使其侦听队列被阻塞,从而无法接受其它新的(正常的)连接请求,直到部分打开的连接完成或者超时。
6、描述Smurf攻击的目的、所利用的协议机制和攻击方法。(第五章)P90
目的:使大量通信充斥目标系统,发生DoS(拒绝服务)
利用:广播机制和ICMP响应优先机制
手段:攻击者伪装成目标主机(IP地址欺骗),向一个具有大量主机的广播地址(称为反弹站点)发送一个欺骗性ping分组(源地址就是攻击者希望攻击的系统),使广播地址网段中的所有主机都向目标主机发送echo响应,导致目标系统被大量的echo信息吞没,阻止了该系统为正常请求提供服务。
7、比较IPSec的两种操作模式的异同(保护对象、安全技术、实施要求等)。
(第6章)P121
答:传输模式:只保护IP包的有效负载,并不修改原IP协议报头,容易受到流量监视和分析;可使用认证和加密技术(AH认证,ESP认证和加密);要求收发端点必须支持对IPSec协议的处理。
隧道模式:保护原来的整个IP包,并生成新的IP协议报头,同时保护原IP包内数据和报头信息;隐藏原IP协议报头可避免受到流量监视和分析;可使用认证和加密技术(AH认证,ESP认证和加密);允许在网关设备或在收发端点完成对IPSec协议的处理,如果网关设备支持IPSec的实施,则不需修改子网内机器的系统或应用程序。
8、描述状态检测防火墙的思想与方法.(第10章)P197 10。2.4 + P218 10.5.9答:思想:基于包过滤技术,增加包和包之间的安全上下文检查,利用连接的状态信息做出决策
方法:包在发送前,先在检测模块中检测,其信息保留在为评价后续连接企图的动态状态表(库)中,为后续连接的处理策略提供处理依据
9、描述X.509强认证程序的实现机制.(第8章)
答:实现机制:引入认证中心(Certificate Authority,CA,可信第三方),为每位网络用户签发电子证书(将每用户公钥与个人身份结合的数据,使用CA的私钥签名;对用户公钥、用户身份和CA签名实现绑定及以目录形式发布,合称电子证书或数字证书)。用户间认证时使用电子证书,验证流程如下,其中公钥环即CA目录服务器;明文为某约定输入集合,如对方的名字,时间等。
10、描述检测病毒的主要方法.(第14章)P306
答:
特征代码法:选定好的病毒特征代码(程序文件中的若干连续字节串)是病毒扫描程序的精华所在(代表性与效率兼顾),无法检测未知病毒、多态病毒、在扫毒前从宿主剥离代码的病毒;
校验和法:1)保存正常文件的校验和,2)在文件使用前按照文件现有内容重新算校验和,3)与原来保存的校验和进行比较,确认文件是否被感染
可发现未知病毒;但不能识别病毒类和病毒名称,而且不能区分文件的正常变动,且产生误报
行为检测法:监测病毒的共同的特殊的行为(复制、隐蔽、修改系统设置、占用内存、以及争夺系统控制等);可发现未知病毒,但不能识别病毒类和病毒名称,并可能产生误报
软件模拟法:针对多态形病毒,使用软件模拟系统环境,引诱和监视病毒的运行以实现检测和识别.是改进的特征代码法
比较法:用原始备份与被检测的数据进行比较;是笨重的校验和法
分析法:针对新病毒的研究时使用(代码分析和动态跟踪)
题型与分值
1、单项选择题(每题2分,共30分)
2、填空题(每空2分,共22分)
3、简答题(每题6分,共18分)
4、综合题(每题10分,共30分)(包括若干小问题)
提纲:(答案是本人总结的答案,如若有错,概不负责)
第1章
1、基本安全技术
第2章
1、加密系统模型
Dk2(E k1(M))=M,M为明文,E k1为加密(encrypt)算法,Dk2为解密(decode)算法
2、替代密码和置换密码,密钥的作用
密钥用于对明文进行加密和对密文进行解密。
3、对称密码体系:概念和优点
对称密钥密码体系也叫密钥密码体系,它是指消息发送方和消息接收方必须使用相同的密钥,该密钥必须保密。发送方用该密钥对待发消息进行加密,然后将消息传输至接收方,接收方再用相同的密钥对收到的消息进行解密。
优点是计算开销小,算法简单,加密解密速度快,是目前用于信息加密的主要算法.
第3章
1、概念及通用算法
MD5、SHA、MAC
第4章
1、公钥密码体系:概念、安全基础和优点
非对称密码体制也叫公钥加密技术,该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两把不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,顾其可称为公钥密码体制。
RSA密码系统的安全性:基于大数分解的困难性(陷门单向函数:求一对大素数的乘积很容易,但要对这个乘积进行因式分解则非常困难)
陷门单向函数是当不知道陷门信息的情况下求逆困难,而知道陷门的情况下求逆容易的函数.
非对称密码体制的优点在于:首先,在多人之间进行保密信息传输所需的密钥组和数量很小;第二,密钥的发布不成问题;第三,公开密钥系统可实现数字签名。
缺点:公开密钥加密比私有密钥加密在加密/解密时的速度慢。
2、RSA算法:加密和签名
加密:首先将消息m分成大小比n小的数据分组,对分组mi进行加密:
公钥加密算法中使用最广的是RSA。RSA使用两个密钥,一个公共密钥,一个专用密钥。如用其中一个加密,则可用另一个解密,密钥长度从40到2048bit 可变,加密时也把明文分成块,块的大小可变,但不能超过密钥的长度,RSA算法把每一块明文转化为与密钥长度相同的密文块.
RSA数字签名算法,包括签名算法和验证签名算法。首先用MD5算法对信息作散列计算。签名的过程需要用户的私钥,验证过程需要用户的公钥.A用签名算法将字符串形式的消息处理成签名;B用验证签名算法验证签名是否是A对消息的签名,确认是A发送的消息;消息没有被篡改过;A一定发送过消息。
3、Diffie-Hellman算法:密钥交换
Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie—Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm)。这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密。双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息。
第5章
1、源路由欺骗:方法和目的
伪造具有假的源IP地址的包;伪装可信主机攻击服务器
2、死亡之ping:方法和目的
产生单个包的长度超过了IP协议定的包长度;这很容易导致系统进入非稳定状态,是一种典型的缓存溢出攻击。
3、泪滴:方法和目的
重叠(Overlap):一种违规操作,某IP包被切割后,在各以太网帧分片中存在重复的部分(既在前一分片,又在后一分片)
协议实现时的漏洞:如果存在重叠段的分片包的长度小于重叠部分长度(后面的分片整个落入前面的分片中) ,内核将无法进行正常处理
4、LAND:方法和目的
将TCP包的源地址和目的地址都设置成目的主机的IP地址,源端口和目的端口都设置成相同,但是对应的端口所提供的服务器必须是激活的。LAND攻击可以非常有效地使目标机器重新启动或者死机.
5、IP欺骗:方法和目的
入侵者伪造具有假的源IP地址的包,该地址是目标主机的可信任地址,利用基于IP地址认证的应用程序,其结果是使未授权的远端用户进入带有防火墙的主机系统。
6、同步洪水:方法和目的
7、UDP FRAGGLE / ICMP Smurf:方法和目的
8、ARP缓存中毒/ DNS欺骗:方法和目的
ARP攻击ARP重定向
目的:恶意主机假冒路由器,导致主机发送数据到错误的目的(恶意主机窃听或引发拒绝服务)
利用:ARP响应与ARP请求之间没有特定关系
手段:缓存中毒(Cache Poisoning),发送虚假ARP响应,包含恶意主机的硬件地址对路由器IP地址的映射.这样所有发往路由器的包都将送往恶意主机DNS欺骗
目的:欺骗基于域名认证的主机
利用:目标主机信任DNS的域名查询结果
手段:控制一台Internet上的授权DNS服务器,或至少能修改这台服务器的DNS记录
修改DNS记录,映射目标主机的信任者的域名为入侵主机的IP
入侵主机直接连接目标主机,欺骗其信任服务
第6章
1、VPN:概念和优点、可实现哪些安全基本要素
VPN提供一种在公共网络上实现网络安全保密通信的方法。通过基于共享的IP网络,VPN为用户远程接入,外部网和内联网连接提供安全而稳定的通信隧道,而其费用比专用租用线路低得多。VPN通过在共享网络当中开挖一条保密隧道的技术来仿真一条点对点连接,用于发送和接受加密的数据。VPN的高级安全特性可以有效保护在隧道中传输的数据。
VPN网络中的通信信息是保密的,实现安全机制:
数据加密
数据源认证
密钥的安全产生和及时更新
分组重放攻击和欺骗攻击保护
2、安全关联:概念和作用
安全关联(英语:Security association,缩写为SA),又译为安全性关联、安全群组、安全参数组合,为了提供安全的通讯环境,在两个网络实体之间,所建立起的共享网络安全属性。一个安全关联中,在网络连线前,要先交换网络资料参
数,包含了加密模式与加密算法,安全加密金钥等。网络安全关联与金钥管理协定(Internet Security Association and Key Management Protocol,缩写为ISAKM,或ISAKMP)提供了安全关联的基础框架。互联网金钥交换提供了金钥交换的机制。
3、IPSec的两种操作模式
4、AH和ESP的作用
认证报头协议(AH)提供数据完整性、数据源身份验证服务
封装安全有效载荷(ESP)提供机密性、数据源的身份验证、数据的完整性和抗重播服务
5、IKE的作用
IKE(Internet Key Exchange,ISAKMP/Oakley)在两个实体之间建立一条经过认证的安全隧道,并对用于IPSec的安全关联进行协商。
第7章
1、SSL的作用和体系结构
位于TCP/IP和应用层协议之间,为应用层数据提供认证和加密,是两个进程之间的隧道
SSL两层协议结构:
SSL记录协议,规定数据传输格式
SSL握手协议(包括改变密码规范协议和告警协议),实现服务器和客户之间的相互认证、协商加密和MAC算法、协商加密密钥
2、SSL握手协议的工作过程
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器回复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
第8章
1、身份认证的基本方法及各自的特点
基于用户知道什么的身份认证:
口令
用户输入用户标识和口令(或PIN码)◊系统对输入的口令与此前为该用户标识存储的口令进行比较◊如果匹配,该用户就可得到授权并获得访问权基于用户拥有什么的身份认证:
令牌
•记忆令牌(磁卡、ATM卡)
只存储信息,和身份识别码(口令)一起使用
•智能卡
采用内置微处理器,支持多种接口和协议,支持挑战应答式的认证
基于用户是谁的身份认证:
生物特征识别
•生理属性(如指纹、视网膜识别等)
•行为属性(如声音识别、手写签名识别等)
2、Kerberos系统模型的技术基础
Kerberos是基于对称密码学(采用DES或其他算法),服务器与每个实体分别共享(对称)密钥,该密钥便是实体身份的证明。
3、X。509的简单认证和强认证的技术基础
简单认证(Simple Authentication)程序:使用最常见的口令(Password)认证,安全度较低
强认证(Strong Authentication)程序:把用户的公开密钥封装成证书,使用证书进行认证,高安全度
4、数字证书的使用
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心.认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动.数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
第10章
5、堡垒主机:概念和作用
通常是指那些在安全方面能够达到普通工作站所不能达到程度的计算机系统.
作用:最大程度利用操作系统所提供的资源保护、审计和认证机制等功能;删除对完成既定任务不需要的应用和服务来减少成为受害目标的机会。一般用作高度安全的计算机网关。
6、防火墙的概念和工作方法
它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
防火墙是在内部网和外部网之间实施安全防范的系统.可认为它是一种访问控制机制,用于确定哪些内部服务对外开放,以及允许哪些外部服务对内部开放。它可以根据网络传输的类型决定IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程控制企业内部、管理企业内部人员对Internet的访问。
防火墙主要提供以下四种服务:
(1)服务控制:确定可以访问的网络服务类型。
(2) 方向控制:特定服务的方向流控制。
(3)用户控制:内部用户、外部用户所需的某种形式的认证机制。
(4)行为控制:控制如何使用某种特定的服务。
7、技术:包过滤、应用代理、电路级网关、状态包检测
包过滤技术:根据包的头部信息来决定是否要将包继续传输,大部分的包过滤器只过滤最有用的数据域。
应用代理技术:
禁止所有通过防火墙的直接连接
在协议栈的最高层(应用层)检查每一个包,根据连接细节(识别应用程序的命令等)实现各种安全策略
内建代理功能:在防火墙处终止客户连接,并初始化一条到受保护内部网络的新连接,将内部和外部系统隔离开来,从外面只看到代理服务器,而看不到任何内部资源
电路级网关技术:
•监视两主机建立连接时的握手信息,判断该会话请求是否合法(代理连接发起阶段的信息);一旦会话连接有效,该网关建立两个TCP连接(保护内部资源),复制、传递数据,对会话建立后传输的具体内容不再作进一步地分析
•包过滤型防火墙允许内外计算机系统建立直接联系,而电路级网关无法IP 直达(两个TCP连接)
状态包检测技术:
•基于包过滤技术,状态包检测模式增加了包和包之间的安全上下文检查,利用连接的状态信息做出决策(网络层)
•包在发送前,先在检测模块中检测,其信息保留在为评价后续连接企图的动态状态表(库)中,为后续连接的处理策略提供处理依据•允许直接连接内部、外部主机系统
8、体系结构的特点和示意图:双重宿主、屏蔽主机、屏蔽子网
双重宿主:围绕至少有两个网络接口(NIC)的计算机构筑,该计算机充当网络之间的代理服务器(而非路由器),禁止直接转发功能(防火墙内部、外部系统之间的IP通信被完全阻止).
屏蔽主机:外部网络——屏蔽路由器——内部网络堡垒主机—-内部网络系统
屏蔽路由器配置策略:
•外—>内,所有通信由堡垒主机代理转发
•内—>外,允许某些服务直接经由路由器的数据包过滤后转发,某些服务必须由堡垒主机代理转发或不允许任何服务直接经由路由器转发,所有服务必须由堡垒主机代理
屏蔽子网:外部网络—-外部屏蔽路由器——边界网络———堡垒主机——内部路由器———内部网络系统(图10—10所示)
边界网络:隔离堡垒主机和内部网络,减轻堡垒主机被攻破造成的后果;放置不可靠的、较脆弱的服务
内部网络:提供高安全要求的服务
第11章
1、动态安全模型
动态安全模型-—P2DR模型
以安全策略(policy)为核心,运用保护(protection)措施(身份认证、防火墙等),利用检测(detection)工具(漏洞评估、入侵检测),通过响应(response)机制将系统调整到“最安全”状态。
2、入侵检测的过程模型及该过程的各主要步骤
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统中收集的信息及对其的分析,从中发现违反安全策略的行为和遭到攻击的迹象,同时做出响应。
入侵检测的一般过程:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应。
•信息源:收集到的数据,系统的审计数据或网络数据包
•数据预处理:数据转化和数据简约
•检测模型:输入预处理后的数据,根据检测算法,输出是否遭到入侵的判断结果
•响应处理:综合安全策略和检测结果作出反应,采取防御措施
3、入侵检测系统的数据来源:基于主机或网络
基于主机:以主机上的系统日志、应用程序日志等审计记录文件作为数据源基于网络:以原始的网络数据包作为数据源
4、入侵检测系统的分析技术:正常行为轮廓或攻击签名的定义
异常检测:定义正常行为模式,判断当前的系统或用户的行为是否偏离
误用检测:定义入侵行为模式(攻击签名),判断这些攻击签名是否出现
第14章
1、病毒的含义,病毒程序和正常程序的区别
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
病毒程序:
一般比较小,在几百到几千字节之间
并非完整的程序,必须依附在其它程序上
没有文件名
有感染性,能将自身复制到其它程序上
在用户完全不知道的情况下执行
在一定条件下有破坏作用
正常程序:
一般比较大
是完整的程序,独立的存在于磁盘上
有自己的文件名和扩展名,如COM、EXE
不能自我复制
根据用户的命令执行
无破坏作用
2、病毒的特点
感染性(传染性):根本属性,可以把自身复制到其它程序(宿主)中
潜伏性(隐蔽性):依附寄生在其他程序中;感染后并不立即发作,而是要潜伏一段时间(潜伏期).
可触发性:因某个事件出现,诱发病毒进行感染或进行破坏
破坏性:可破坏文件、数据、主板、系统等.
衍生性:病毒变种
多样性:病毒多种多样
3、病毒检测技术
信息安全复习题(含答案) 密码学的目的是。【C】 A.研究数据加密B.研究数据解密 C.研究数据保密D.研究信息安全 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑。【D】 A.用户的方便性 B.管理的复杂性 C.对现有系统的影响及对不同平台的支持 D.上面3项都是 破解双方通信获得明文是属于的技术。【A】 A.密码分析还原 B.协议漏洞渗透 C.应用漏洞分析与渗透 D.DOS攻击 窃听是一种攻击,攻击者将自己的系统插入到发送站和接收站之间。截获是一种攻击,攻击者将自己的系统插入到发送站和接受站之间。【A】 A.被动,无须,主动,必须 B.主动,必须,被动,无须
C.主动,无须,被动,必须 D.被动,必须,主动,无须 以下不是包过滤防火墙主要过滤的信息?【D】 A.源IP地址 B.目的IP地址 C.TCP源端口和目的端口 D.时间 PKI是____。【C】A.PrivateKeyInfrastructureB.PublicKeyInstitute C.PublicKeyInfrastructure公钥基础设施D.PrivateKeyInstitute 防火墙最主要被部署在____位置。【A】 A.网络边界B.骨干线路 C.重要服务器D.桌面终端 下列____机制不属于应用层安 全。【C】 A.数字签名B.应用代理
C.主机入侵检测D.应用审计 ___最好地描述了数字证书。【A】A.等同于在网络上证明个人和公司身份的身份证B.浏览器的一标准特性,它使得黑客不能得知用户的身份 C.网站要求用户使用用户名和密码登陆的安全机制D.伴随在线交易证明购买的收据 下列不属于防火墙核心技术的是____。【D】 A?(静态/动态)包过滤技术B?NAT技术 C?应用代理技术D?日志审计 信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。【B】 A?强制保护级B?专控保护级???C?监督保护级 D?指导保护级E?自主保护级? 公钥密码基础设施PKI解决了信息系统中的____问题。【A】
复习题 1.( A )防火墙是在网络的入口对通过的数据包进行选择,只有满 足条件的数据包才能通过,否则被抛弃。 a)A、包过滤B、应用网关C、帧过滤 D、代理 2.防火墙的性能指标参数中,那一项指标会直接影响到防火墙所能支持的最 大信息点数( B ) A、吞吐量 B、并发连接数 C、延时 D、平均无故障时间 3.SSL安全套接字协议所使用的端口是( B )。 a)A、80 B、443 C、1433 D、3389 4.电子邮件的发件人利用某些特殊的电子邮件软件在短时间内不断重复地将 电子邮件寄给同一个收件人,这种破坏方式叫做(B)。 A、邮件病毒 B、邮件炸弹 C、特洛伊木马 D、逻辑炸弹 5.入侵检测系统的第二步是( A )。 A、信号分析 B、信息收集 C、数据包过滤 D、数据包检查 6.下面关于IPSec 的说法哪个是错误的( D )。 A、它是一套用于网络层安全的协议 B、它可以提供数据源 认证服务
C、它可以提供流量保密服务 D、它只能在Ipv4 环 境下使用 7.计算机病毒的传染性是指计算机病毒可以(C )。 A、从计算机的一个地方传递到另一个地方 B、传染 C、自我复 制D、扩散 8.随着Internet发展的势头和防火墙的更新,防火墙的哪种功能将被取代 ( D )。 a)A、使用IP加密技术B、日志分析工具 b)C、攻击检测和报警D、对访问行为实施静态、固 定的控制 9.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于 ( B )手段。 A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击 10.下面有关隧道技术的描述,不正确的是( C ) 1.隧道技术是VPN的核心技术 2.隧道技术建立在Internet等公共网络已有的数据通信方式之上 3.隧道技术仅仅应用在VPN中 4.隧道的工作过程是:在一端将要发送的数据进行封装,然后通 过已建立的虚拟通道(隧道)进行传输;在隧道的另一端进行 解封操作,将得到的原始数据交给对端设备。 11.以下关于VPN的说法中的( C )是正确的。 A、VPN是虚拟专用网的简称,它只能由ISP维护和实施 B、VPN是只能在第二层数据链路层上实现加密
1、描述五种基本安全技术的方法和作用.(第一章)P14 答: 1).防火墙技术: 内部网络(可信赖的网络)和外部网络(不可信赖的网络)之间的屏障,按照安全规则来控制数据包的进出。 工作方式:过滤器:检查数据包的来源和目的地;数据包内容扫描:根据规定接收或拒绝数据包;数据包模式检查:是否符合已知“友好”数据包的位模式。2).加密技术: 信息的重新组合,使得只有收发双方才能解码并还原信息的一种手段。目前,加密正逐步被集成到系统和网络中,如IETF正在发展的下一代网际协议IPv6.硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。3).身份认证技术: 防火墙是系统的第一道防线,用以防止非法数据的侵入,而安全检查的作用则是阻止非法用户. 认证方式:密码、人体生理特征(如指纹)的识别、智能IC卡或USB盘4).数字签名技术: 证明消息确实是由发送者签发的;验证数据或程序的完整性 5)。内容检查技术: 反病毒软件可以清除E—mail病毒;完善防火墙可以对付新型Java和ActiveX病毒 2、描述替代密码和置换密码所使用的加密方法。(第二章)P20 替代密码:明文中的每一个字符被替换为另外一个字符得到密文;逆替换恢复明文 置换密码:重排明文的字母顺序得到密文;逆重排恢复明文 3、描述D-H算法的过程与作用。(第四章)P57 用于密钥分配,其安全性基于计算离散对数的困难性。 DH算法过程: 1)、相互产生密钥对 2)、交换公钥 3)、用对方的公钥和自己的私钥运行DH算法得到一个密钥X 4)、A产生一个对称加密密钥加密数据,同时用密钥X加密这个对称的加密密钥并发送给B 5)、B用密钥X解密对称的加密密钥,得到对称的加密密钥 6)、B用这个对称的加密密钥来解密A的数据 4、描述PGP系统的过程与作用.(第四章) PGP(Pretty Good Privacy):基于RSA与IDEA的开源的加密邮件软件 发送方 •生成新的IDEA密钥k(对称) •用对方RSA公钥加密k,用k加密邮件信息m,一起发送 接收方 •用本方RSA私钥解密得到k •用k解密邮件信息 5、描述同步洪水攻击(SYN FLOOD)的目的、所利用的协议机制和攻击方 法。(第五章)P79
网络安全期末复习题及答案 一、选择题: 1.计算机网络安全的目标不包括(A) A.可移植性 B.保密性 C.可控性 D.可用性 2.SNMP的中文含义为(B) A.公用管理信息协议 B.简单网络管理协议 C.分布式安全管理协议 D.简单邮件传输协议 3.端口扫描技术(D) A.只能作为攻击工具 B.只能作为防御工具 C.只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4. A 5. A.IP 6. A 7. A 8.(B) A 9.) A 10. A 11. A 12. A 13. A、 14. A.木马的控制端程序B.木马的服务器端程序 C.不用安装D.控制端、服务端程序都必需安装 15.为了保证口令的安全,哪项做法是不正确的(C) A用户口令长度不少于6个字符B口令字符最好是数字、字母和其他字符的混合 C口令显示在显示屏上D对用户口令进行加密 16.以下说法正确的是(B) A.木马不像病毒那样有破坏性B.木马不像病毒那样能够自我复制 C.木马不像病毒那样是独立运行的程序D.木马与病毒都是独立运行的程序 17.端口扫描的原理是向目标主机的________端口发送探测数据包,并记录目标主机的响应。(C) A.FTP B.UDP C.TCP/IP D.WWW 18.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为(B)。
A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 19.在进行微软数据库(MicrosoftSQLDatabase)口令猜测的时候,我们一般会猜测拥有数据库最 高权限登录用户的密码口令,这个用户的名称是(C)? A.admin B.administrator C.sa D.root 20.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提(C)? A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 21.下列哪一种扫描技术属于半开放(半连接)扫描(B)? A.TCPConnect扫描 B.TCPSYN扫描 C.TCPFIN扫描 D.TCPACK扫描 22.恶意大量消耗网络带宽属于拒绝服务攻击中的哪一种类型(C)? A.配置修改 B.基于系统缺陷型 C.资源消耗型 D.物理实体破坏型 23.现今,网络攻击与病毒、蠕虫程序越来越有结合的趋势,病毒、蠕虫的复制传播特点使得攻击 A. C. 24. A. C. 25. A. C. 26. A. 27. 28. A. C. 29. A. B. C. D. 30. C. 的TTL都设置成一样的值。 D.IP数据包中的TTL值每经过网络上的一个路由器或者网关时,都会被减去一,直到该数据包顺利发送至接收方或者变成零为止 31.着名的Nmap软件工具不能实现下列哪一项功能(B)? A.端口扫描 B.高级端口扫描 C.安全漏洞扫描 D.操作系统类型探测 32.特洛伊木马攻击的威胁类型属于(B)。 A.授权侵犯威胁 B.植入威胁C.渗入威胁D.旁路控制威胁 33.在网络安全中,修改指未授权的实体不仅得到了访问权,而且还篡改了网络系统的资源,这是 对(C)。 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 34.在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。这是对(A)。
网络安全题库及答案(汇总1000题) 一、1单项选择题(1-605) 1、Chinese Wall 模型的设计宗旨是:(A)。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是:(C)。 A、―三分靠技术,七分靠管理‖ B、―七分靠技术,三分靠管理‖ C、―谁主管,谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下(B)不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和 维护项目应该(A)。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看,计算机系统的最主要弱点是(B)。 A、内部计算机处理 B、系统输入输出
C、通讯和网络 D、外部计算机处理 6、从风险管理的角度,以下哪种方法不可取?(D) A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入,安全意识和安全手段之间形成(B)。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?(D)。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在 该系统重新上线前管理员不需查看:(C) A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行(B)。 A、逻辑隔离
网络安全管理员练习题库(含答案) 一、单选题(共100题,每题1分,共100分) 1、网络安全包括物理安全和( ) 安全 A、服务器 B、软件 C、硬件 D、逻辑 正确答案:D 2、操作系统安全机制不包括( ) A、审计 B、安装最新的系统补丁 C、用户的登录 D、文件和设备使用权限 正确答案:B 3、网页病毒(又称网页恶意代码)是利用网页来进行破坏的病毒,它是使用一些 SCRIPT 语言编写的恶意代码。攻击者通常利用( )植入网页病毒。 A、拒绝服务攻击 B、口令攻击 C、平台漏洞 D、U 盘工具 正确答案:C 4、以下正确描述安全策略的是?( ) A、策略应有一个所有者,负责按复查程序维护和复查该策略。 B、信息安全策略不应得到组织的最高管理者批准。 C、安全策略应包括管理层对信息安全管理工作的承诺。 D、安全策略一旦建立和发布,则不可变更。 正确答案:C 5、以下下关于职业道德描述错误的是( )。 A、职业道德是从业人员的基本品质。 B、职业道德是从业人员在职业活动中的行为准则。 C、职业道德是职业纪律方面的最低要求。 D、职业道德是从业人员特定行为规范。 正确答案:C
6、隐患扫描(Scanner)和信息安全风险评估之间是怎样的关系?( ) A、信息安全风险评估就是隐患扫描 B、隐患扫描是信息安全风险评估中的一部分,是技术脆弱性评估 C、隐患扫描就是信息安全风险评估 D、信息安全风险评估是隐患扫描的一个部分 正确答案:B 7、网络应用服务安全,指的是( )上运行的网络应用服务是否能够稳定、持续运行 A、客户端 B、主机 C、服务器 D、网络 正确答案:B 8、“网络日志”简称为( ) A、BBS B、E-mail C、Blog D、ICQ 正确答案:C 9、在《信息安全风险评估规范》风险评估的工作形式中,信息安全风险评估有那两种方式( ) A、自评估和检查评估 B、自评估和第二方评估 C、第二方评估和第三方评估 D、检查评估和第二方评估 正确答案:A 10、以下有关信息安全管理员职责的叙述,正确的是( )。 A、信息安全管理员应该对企业信息系统进行优化升级。 B、信息安全管理员应该负责为用户编写安全应用程序。 C、信息安全管理员应该对信息系统安全事件进行积极处理 D、信息安全管理员应该为企业开发安全的信息系统。 正确答案:C 11、当一台无线设备想要与另一台无线设备关联时,必须在这两台设备之间是使用什么密码?( )
1、什么是入侵检测系统? 答:入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术. IDS最早出现在1980年4月。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 2、请说明DES算法的基本过程? 答:DES加密算法特点:分组比较短、密钥太短、密码生命周期短、运算速度较慢. DES工作的基本原理是,其入口参数有三个:key、data、mode. key为加密解密使用的密钥,data为加密解密的数据,mode为其工作模式。当模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密,当模式为解密模式时,key用于对数据解密.实际运用中,密钥只用到了64位中的56位,这样才具有高的安全性. 3、信息安全有哪些常见的威胁?信息安全的实现有哪些主要技术措施? 答:常见威胁有非授权访问、信息泄露、破坏数据完整性,拒绝服务攻击,恶意代码.信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾难恢复和备份技术. 4、什么是密码分析,其攻击类型有哪些?DES算法中S盒的作用是什么? 答:密码分析是指研究在不知道密钥的情况下来恢复明文的科学.攻击类型有只有密文的攻击,已知明文的攻击,选择明文的攻击,适应性选择明文攻击,选择密文的攻击,选择密钥的攻击,橡皮管密码攻击.S盒是DES算法的核心.其功能是把6bit数据变为4bit数据. 5、什么事通信网络安全?涉及哪些方面? 答:通信网络安全保护网络系统的硬件、软件、数据及通信过程,不应偶然或恶意原因遭到破坏、更改和泄漏,保证系统连续可靠正常地运行,保证网络服务不中断。 涉及通信网络上信息的机密性、完整性、可用性、真实性、可控性,要求具有抵御各种安全威胁能力。 6、密码体制分类 答:(1)对称加密算法:加密密钥和解密密钥相同或等价的,且都需要保密.DES IDEA FEAL—8 LOKI。 优点:加密算法简单、高效、密钥简短,破译极其困难。缺点:密钥必须通过安全的途径传送。 (2)非对称密码体制(公钥、收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥)RSA。优点:可以适应网络的开放要求,且密钥管理问题也较为简单,方便地实现数字签名和验证。缺点:算法复杂,加密数据的速率较低。 7、包过滤基本特点和工作原理? 答:基本特点:可以让我们在一台机器上提供对整个网络的保护。 工作原理:包过滤是一种安全机制,它控制哪些数据包可以进出网络,而哪些数据包应被网络拒绝。包过滤路由器是具有包过滤特性的一种路由器。在对包做出路由决定时,普通路由器只依据包的目的地址引导包,而包过滤路由器就必须依据路由器中的包过滤规则做出是否引导该包的决定。 8、代理服务器作用? 答:代理,也称为应用级网关,是一个提供替代连接并且充当服务的网关。代理服务是运行在防火墙主机上的一些特定应用程序或者服务程序.代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间.代理在后台处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。代理服务器可使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。 9.简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。 主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非正常截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。 10.简述对称密钥密码体制的原理和特点。 对称密钥密码体制,对于大多数算法,解密算法是加密算法的逆运算,加密密钥和解密密钥相同,同属一类的加密体制.它保密强度高但开放性差,要求发送者和接收者在安全通信之前,需要有可靠的密钥信道传递密钥,而此密钥也必须妥善保管. 11。常规加密密钥的分配有几种方案,请对比一下它们的优缺点. (1)集中式密钥分配方案 由一个中心节点或者由一组节点组成层次结构负责密钥的产生并分配给通信的双方,在这种方式下,用户不需要保存大量的会话密钥,只需要保存同中心节点的加密密钥,用于安全传送由中心节点产生的即将用于与第三方通信的会话密钥.这种方式缺点是通信量大,同时需要较好的鉴别功能以鉴别中心节点和通信方.目前这方面主流技术是密钥分配中心KDC技术。我们假定每个通信方与密钥分配中心KDC之间都共享一个惟一的主密钥,并且这个惟一的主密钥是通过其他安全的途径传递。 (2)分散式密钥分配方案 使用密钥分配中心进行密钥的分配要求密钥分配中心是可信任的并且应该保护它免于被破坏.如果密钥分配中心被第三方破坏,那么所有依靠该密钥分配中心分配会话密钥进行通信的所有通信方将不能进行正常的安全通信。如果密钥分配中心被第三方控制,那么所有依靠该密钥分配中心分配会话密钥进行进信的所有通信方之间的通信信息将被第三方窃听到 12。密钥的产生需要注意哪些问题? 算法的安全性依赖于密钥,如果用一个弱的密钥产生方法,那么整个系统都将是弱的。DES有56位的密钥,正常情况下任何一个56位的数据串都能成为密钥,所以共有256种可能的密钥。在某些实现中,仅允许用ASCII码的密钥,并强制每一字节的最高位为零。有的实现甚至将大写字母转换成小写字母。这些密钥产生程序都使得DES的攻击难度比正常情况下低几千倍。因此,对于任何一种加密方法,其密钥产生方法都不容忽视。大部分密钥生成算法采用随机过程或者伪随机过程来生成密钥。随机过程一般采用一个随机数发生器,它的输出是一个不确定的值。伪随机过程一般采用噪声源技术,通过噪声源的功能产生二进制的随机序列或与之对应的随机数。 13. 请说明数字签名的主要流程。 数字签名通过如下的流程进行: (1)采用散列算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要(Message Digest),不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是惟一的。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,这样就保证了报文的不可更改性. (2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。 (3) 这个数字签名将作为报文的附件和报文一起发送给接收方。 (4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改. 14、解释身份认证的基本概念。 身份认证是指用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础. 身份认证是安全系统中的第一道关卡,识别身份后,由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破,系统的所有安全措施将形同虚设,黑客攻击的目标往往就是身份认证系统。 15。使用口令进行身份认证的优缺点? 优点在于黑客即使得到了口令文件,通过散列值想要计算出原始口令在计算上也是不可能的,这就相对增加了安全性。缺点:严重的安全问题(单因素的认证),安全性仅依赖于口令,而且用户往往选择容易记忆、容易被猜测的口令(安全系统最薄弱的突破口),口令文件也可被进行离线的字典
《网络安全技术》在线平时作业1-00001 第1题. 可信计算机系统评估准则(Trusted Computer System Evaluation Criteria, TCSEC)共分为()大类()级。 选项A:4,7 选项B:3,7 选项C:4,5 选项D:4,6 参考答案:A 第2题. 为了简化管理,通常对访问者(),避免访问控制表过于庞大。 选项A:分类组织成组 选项B:严格限制数量 选项C:按访问时间排序,并删除一些长期没有访问的用户 选项D:不作任何限制 参考答案:A 第3题. 数字签名要预先使用单向Hash函数进行处理的原因是()。 选项A:多一道加密工序使密文更难破译 选项B:提高密文的计算速度 选项C:缩小签名密文的长度,加快数字签名和验证签名的运算 速度 选项D:保证密文能正确地还原成明文 参考答案:C 第4题. 橘皮书定义了4个安全层次,从D层(最低保护层)到A层 (验证性保护层),其中D级的安全保护是最低的,属于D级的系统是 不安全的,以下操作系统中属于D级安全的是()。
选项A:运行非UNIX的Macintosh机 选项B:运行Linux的PC 选项C:UNIX系统 选项D:XENIX 参考答案:A 第5题. ISO安全体系结构中的对象认证安全服务,使用( )完成。 选项A:加密机制 选项B:数字签名机制 选项C:访问控制机制 选项D:数据完整性机制 参考答案:B 第6题. 下列对访问控制影响不大的是()。 选项A:主体身份 选项B:客体身份 选项C:访问类型 选项D:主体与客体的类型 参考答案:D 第7题. 利用私钥对明文信息进行的变换称为( ),将利用公钥对明文信息进行的变换称为( )。 选项A:封装加密 选项B:加密签名 选项C:签名加密 选项D:加密封装 参考答案:C
《网络与信息安全》综合练习题 一.选择题 1.以下对网络安全管理的描述中,正确的是(D)。 D) 安全管理的目标是保证重要的信息不被未授权的用户访问. 2.以下有关网络管理功能的描述中,错误的是(D). D)安全管理是使网络性能维持在较好水平。 3.有些计算机系统的安全性不高,不对用户进行验证,这类系统的安全级别是(A).A)D1 4.Windows NT操作系统能够达到的最高安全级别是(B)。B)C2 5.下面操作系统能够达到C2安全级别的是(D)。D)Ⅲ和ⅣⅢ。Windows NT Ⅳ.NetWare3。x 6.计算机系统处理敏感信息需要的最低安全级别是(C).C)C2 7.计算机系统具有不同的安全级别,其中Windows 98的安全等级是(D)。D)D1 8.计算机系统具有不同的安全等级,其中Windows NT的安全等级是(C)。C)C2 9。网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。10.网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。11.某种网络安全威胁是通过非法手段取得对数据的使用权,并对数据进行恶意添加和修改。这种安全威胁属于(B).B)破坏数据完整性 12.以下方法不能用于计算机病毒检测的是(B)。B)加密可执行程序 13.若每次打开Word程序编辑文当时,计算机都会把文档传送到另一FTP服务器,那么可以怀疑Word程序被黑客植入(B)。B)特洛伊木马 14.网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。 15.当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源,这是对网络__可用_性的攻击。 16.有一类攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。 17.下面攻击方法属于被动攻击的是(C).C)通信量分析攻击 18.下面攻击属于非服务攻击的是(C)。C)Ⅱ和ⅢⅡ。源路由攻击Ⅲ。地址欺骗攻击 19.下面()攻击属于服务攻击.D)Ⅰ和ⅣⅠ。邮件炸弹攻击Ⅳ。DOS 攻击 20.通信量分析攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度.这类安全攻击属于_被动性_攻击。 21.从信源向信宿流动过程中,信息被插入一些欺骗性的消息,这类攻击属于(B)。B)截取攻击 22.网络安全攻击方法可以分为服务攻击与_非服务_攻击。 23.关于RC5加密算法的描述中,正确的是(D)。D)分组和密钥长度都可变24.下面不属于对称加密的是(D)。D)RSA 25.DES是一种常用的对称加密算法,其一般的分组长度为(C).C)64位26.关于RC5加密技术的描述中,正确的是(C)。C)它的密钥长度可变27.对称加密机制的安全性取决于_密钥_的保密性。 28.以下关于公钥密码体制的描述中,错误的是(C)。C)一定比常规加密更安全 29.以下关于公钥分发的描述中,错误的是(D)。D)公钥的分发比较简单30.张三从CA得到了李四的数字证书,张三可以从该数字证书中得到李四的(D)。D)公钥 31.在认证过程中,如果明文由A发送到B,那么对明文进行签名的密钥为(B)。 B)A的私钥 32.为了确定信息在网络传输过程中是否被他人篡改,一般采用的技术是(C). C)消息认证技术 33.MD5是一种常用的摘要算法,它产生的消息摘要长度是(C)。C)128位34.用户张三给文件服务器发命令,要求将文件“张三。doc”删除。文件服务器上的认证机制需要确定的主要问题是(C).C)该命令是否是张三发出的35.防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。 36.以下关于数字签名的描述中,错误的事(B)。B)数字签名可以保证消息内容的机密性 37.数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。 38.关于数字签名的描述中,错误的是(C)。C)可以保证消息内容的机密性39.Kerberos是一种网络认证协议,它采用的加密算法是(C)。C)DES 40.IPSec不能提供(D)服务。D)文件加密 41.下面关于IPSec的说法错误的是(D)。D)它只能在IPv4环境下使用
网络信息安全管理员习题库(含参考答案) 一、单选题(共80题,每题1分,共80分) 1、政府部门的 Internet 顶级域名是指( ) A、COM B、GOV C、EDU D、NET 正确答案:B 2、不支持可变长子网掩码的路由协议有( ) A、IS B、RIP C、RIP D、OSP 正确答案:C 3、Ping 命令是一个基于( )协议的实用程序。 A、ICMP B、IGMP C、TCP D、UDP 正确答案:A 4、机房门窗及边框要严谨,最好用铁皮包镶门的下缘是属于机房防鼠措施的( ) A、电力防治 B、生态防治 C、化学防治 D、器械防治 正确答案:B 5、企业创新要求员工努力做到( ) A、大胆地试、大胆地阳,敢于提出新问题 B、激发人的灵感,遏制冲动和情感 C、不能是守成规,但也不能标新立异 D、大胆地破除现有的结论,自创理论体系 正确答案:A 6、以下配置默认路由的命令正确的是( )
A、ip B、ip C、ip D、ip 正确答案:C 7、麦克风输入插头应接在( )口上 A、SPEAKER B、UN C、IN D、LINEOUT E、MI 正确答案:D 8、我国生产的 CPU 被命名为( )。 A、龙芯 B、银河 C、曙光 D、长城 正确答案:A 9、交换机的缓存越小,能记住的 MAC 地址数量就( ) A、越少 B、越多 C、不变 正确答案:A 10、设置宽带路由器参数时,如果上网方式是 ADSL 虚拟拨号,WAN 口连接类型应设置为( ) A、PPPo B、静态 C、动态 D、不用设置 正确答案:A 11、计算机网络建立的主要目的是实现计算机资源的共享,其中共享的计算机资源主要是指( ) A、软件、硬件与数据 B、软件与数据库
复习提要 考试时间:12月27日〔周日〕晚上7:00-9:00 考试地点:X4357,X4358 考试题型: 填空、单项选择、判断、简答、计算、论述。 一、定义与概念 1.什么是信息与信息系统? 信息是对客观世界中各种事物的运动状态和变化的反映,是客观事物之间相互联系和相互作用的表征,表现的是客观事物运动状态和变化的实质内容。 信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。 2.什么是信息平安? 为数据处理系统而采取的技术的和管理的平安保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄漏。 3.什么是国家网络空间? 是指该国运营、许可运营、以及按传统主权疆域依法管制的全部网络信息系统的总体,它包括地理位置超越其领土、领海、领空的通
信设备比方海底光纤、地球卫星以及无线传输介质〔声、电磁波、可见光等〕,和分布在全世界的上述信息系统的用户〔包括设备终端和使用者〕。 4.什么是计算机网络? 将多个具有独立工作能力的计算机系统通过通信设备和线路由功能完善的网络软件实现资源共享、数据通信和网络计算的系统。5.什么是计算机网络平安? 网络平安是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络效劳不中断。 6.什么是计算机网络协议? 为计算机网络中进行数据交换而建立的规那么、标准或约定的集合。 7.什么是计算机病毒? 计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码〞。 8、网络入侵一般步骤: 一般分:前期准备、实施入侵和后期处理。 1〕准备阶段需要完成的工作主要包括明确入侵目的、确定入侵对象以及选择入侵手段, 2〕实施入侵阶段是真正的攻击阶段,主要包括扫描探测和攻击。
●为增强访问网页的安全性,可以采用(14)C 协议;为证明数据发送者的身份与数据的真实性需使用(15)C。 (14)A. Telnet B. POP3 C. HTTPS D. DNS (15)A. 散列算法 B. 时间戳 C. 数字信封 D. 加密算法 ●甲和乙采用公钥密码体制对数据文件进行加密传送,甲用乙的公钥加密数据文件,乙使用(47)来对数据文件进行解密。D (47)A. 甲的公钥 B. 甲的私钥 C. 乙的公钥 D. 乙的私钥 ●下列选项中,防范网络监听最有效的方法是(48)。C (48)A. 安装防火墙 B. 采用无线网络传输 C. 数据加密 D. 漏洞扫描 ●(49)不属于计算机病毒防治策略。A (49)A. 本机磁盘碎片整理 B. 安装并及时升级防病毒软件 C. 在安装新软件前进行病毒检测 D. 常备一张“干净”的系统引导盘 ●(50)不属于防火墙能够实现的功能。B (50)A. 网络地址转换 B. 差错控制 C. 数据包过滤 D. 数据转发 ●以下关于数字签名的说法中错误的是(51)。C (51)A.能够检测报文在传输过程中是否被篡改B.能够对报文发送者的身份进行认证 C.能够检测报文在传输过程中是否加密 D.能够检测网络中的某一用户是否冒充另一用户发送报文 ●下列关于代理服务器功能的描述中,(64)是正确的。D (64)A.具有MAC地址解析功能 B.具有域名转换功能 C.具有动态地址分配功能 D.具有网络地址转换功能 ●(52)主要包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息以及评测风险、提供安全建议和改进措施等功能。D (52)A. 访问控制技术 B. 漏洞扫描技术 C. 入侵检测技术 D. 统一威胁安全管理技术 ●在非授权的情况下使用Sniffer 接收和截获网络上传输的信息,这种攻击方式属于(53)。C (53)A. 放置特洛伊木马程序 B. DoS 攻击 C. 网络监听 D. 网络欺骗 ●在公司内网中部署(54)可以最大限度防范内部攻击。D (54)A. 防火墙 B. 电磁泄密及防护系统 C. 邮件过滤系统 D. 入侵检测系统 ●包过滤防火墙不能(55)。A (55)A. 防止感染了病毒的软件或文件的传输 B. 防止企业内网用户访问外网的主机 C. 读取通过防火墙的数据内容 D. 防止企业外网用户访问内网的主机 ●下面选项中,(56)D不能实现安全邮件传输。(56)A. PGP B. TLS C. S/MIME D. SMTP ●如果访问一个网站速度很慢,可能有多种原因,但首先应该排除的是(59)。D (59)A. 网络服务器忙 B. 通信线路忙 C. 本地终端遭遇病毒 D. 没有访问权限 ●在Windows操作系统中运行(67)命令可观察本机当前所有连接及端口等信息。D (67)A. arp B. tracert C. nslookup D. netstat ●关于FTP 协议,下面的描述中,不正确的是(31)。C (31)A. FTP 协议使用多个端口号 B. FTP 可以上传文件,也可以下载文件 C. FTP 报文通过UDP 报文传送 D. FTP 是应用层协议 ●以下关于DoS 攻击的描述中,正确的是(44)。C (44)A. 以传播病毒为目的 B. 以窃取受攻击系统上的机密信息为目的 C. 以导致受攻击系统无法处理正常用户的 请求为目的 D. 以扫描受攻击系统上的漏洞为目的 ●以下不属于网络安全控制技术的是(45)。D (45)A. 防火墙技术 B. 访问控制技术 C. 入侵检测技术 D. 差错控制技术 ●以下哪项措施不能有效提高系统的病毒防治能力?(46)C (46)A. 安装、升级杀毒软件 B. 下载安装系统补丁 C. 定期备份数据文件 D. 不要轻易打开来历不明的邮件
网络安全管理员复习题含参考答案 一、单选题(共40题,每题1分,共40分) 1、活动目录(Active Directory)是由组织单元、域、()和域林构成的层次结构。 A、超域 B、域树 C、域控制器 D、团体 正确答案:B 2、有关域树的概念的描述不正确的是()。 A、域树中这些域之间的信任关系是自动创建的,单向,可传递的信任关系 B、域树中这些域有着邻接的名字空间 C、域树中这些域共享相同的架构和配置信息 D、域树是一个或多个域构成 正确答案:A 3、下列密码存储方式中,()是比较安全的。 A、明文存储 B、密码经过对称转换后存储 C、对称加密之后存储 D、使用SHA256哈希算法进行存储 正确答案:D 4、信息安全等级保护的5个级别中,()是最高级别,属于关系到国计民生的最关键信息系统的保护。 A、专控保护级 B、监督保护级 C、指导保护级 D、强制保护级 正确答案:A 5、一个C/S应用系统通过本地命名的方法配置客户端到服务器的连接,客户端和服务器运行在两台电脑上,当从客户端连接数据库时,收到一个TNS错误,检查发现只在服务器上有一个tnsnames.ora文件,拷贝该文件到客户端,客户端能够连接的服务器,下面哪一句描述是正确的? A、配置本地命名连接tnsnames.ora必须在客户端电脑上
B、为了客户端的连接tnsnames.ora必须从服务器上删除 C、配置本地命名连接tnsnames.ora必须在客户端和服务器端都配置 D、客户端不需要tnsnames.ora文件;这个问题与拷贝该文件到客户端无关 正确答案:A 6、对公民、法人和其他组织的合法权益造成特别严重损害,定义为几级() A、第一级 B、第四级 C、第三级 D、第二级 正确答案:D 7、HTTPS是一种安全的HTTP协议,它使用()来保证信息安全,使用()来发送和接收报文 A、SSH,UDP的443端口 B、SSL,TCP的443端口 C、SSL,UDP的443端口 D、SSH,TCP的443端口 正确答案:B 8、信息系统既能够保证数据不被非法地改动和销毁,也能够保证系统不被有意或无意的非法操作所破坏描述的系统安全属性是()。 A、可控性 B、完整性 C、可用性 D、机密性 正确答案:B 9、ARP欺骗可以对局域网用户产生()威胁。 A、挂马 B、局域网网络中断 C、中间人攻击 D、以上均是 正确答案:D 10、有关NTFS文件系统优点的描述中,()是不正确的 A、NTFS可防止未授权用户访问文件
网络安全基础应用与标准(第二版)复习题答案(完整版)— —sogood 复习题答案 1、什么是OSI安全体系结构?(P6) 安全攻击:任何可能会危及机构的信息安全的行为 安全机制:用来检测、防范安全攻击并从中恢复系统的机制 安全服务:一种用了增强机构的数据处理系统安全性和信息传递安全性的服务。这些服务是用来防范安全攻击的,它们利用了一种或多种安全机制来提供服务。 2、被动和主动安全威胁之间有什么不同?(p6) 被动攻击的本质是窃听或监视数据传输,被动攻击非常难以检测,因为它们根本不改变数据,因此,对付被动攻击的重点是防范而不是检测;主动攻击包含数据流的改写和错误数据流的添加 3列出并简要定义被动和主动安全攻击的分类?(p6) 被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务 4、列出并简要定义安全服务的分类?(p9) 认证:确保通信实体就是它所声称的那个实体 访问控制:防止对资源的非授权使用 数据机密性:防止非授权数据的泄露 数据完整性:确保被认证实体发送的数据与接收到的数据完全相同 不可抵赖性:提供对被全程参与或部分参与通信实体之一拒绝的防范 5、列出并简要定义安全机制的分类?(p11-12) 加密:使用数学算法将数据转换为不可轻易理解的形式。这种转换和随后的数据恢复都依赖与算法本身以及零个或者更多的加密密钥数字签名:为了允许数据单元接收方证明数据源和数据单元的完整性,并且防止数据伪造而追加到数据源中的数据或者是以上数据单
元的密码转换访问控制 访问控制:强制执行对源的访问权限的各种机制 数据完整性:确保数据单元或者数据单元流完整性的各种机制 可信功能:相对应某个标准而言正确的功能(例如,由安全策略建立的标准) 安全标签:绑定在资源(可能是数据单元)上的记号,用来命名或者指定该资源的安全属性事件检测:与安全相关的事件的检测安全审计跟踪:收集可能对安全审计有用的数据,它对系统记录和活动记录进行单独的检查和分析 认证交换:通过信息交换以确保一个实体身份的一种机制 流量填充:通过填充数据流空余位的方式来干扰流量分析 路由控制:支持对某些数据的特定物理安全通道的选择,并且允许路由改变,特别是当安全性受到威胁时 公证:使用可信的第三方以确保某种数据交换的属性 安全恢复:处理来自机制的请求,例如事件处理和管理功能,并且采取恢复措施。 第二章: 1、对称密码的基本因素是什么?(p23) 明文,加密算法,秘密密钥,密文,解密算法 2、加密算法使用的两个基本功能是什么?p24 替换和转换 3、两个人通过对称密码通信需要多少个密钥?p24 1个 4、分组密码和流密码的区别是什么?p33 流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。比如des是64比特的明文一次性加密成密文。 密码分析方面有很多不同。比如流密码中,比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现,也方便在计算机上软件实现。
网络安全管理员初级工习题库(含参考答案) 一、单选题(共40题,每题1分,共40分) 1、计算机机房应配备最实用的灭火器是()。 A、水或泡沫灭火器 B、干粉或二氧化碳灭火器 C、清水或二氧化碳灭火器 D、二氧化碳或泡沫灭火器 正确答案:B 2、事发单位初步确定事件等级后并具备报送条件时应在30分钟内填报(),通过邮件、传真等方式向公司信息中心和公司信息部报告 A、应急工作专报 B、工作方案 C、管理信息系统网络与信息安全事件快速报告单 D、消缺单 正确答案:C 3、初步验收主要包括()实施项目的初步验收。 A、招标文件 B、开发项目 C、完成任务 D、竣工项目 正确答案:B 4、电气工作人员对《电业安全工作规程》(发电厂和变电所电气部分)应()考试一次。因故间断电气工作连续()以上者,必须重新温习本规程,并经考试合格后,方能恢复工作。 A、每年,一个月 B、每年,三个月 C、每年,六个月 D、三个月,六个月 正确答案:B 5、进行等级保护定义的最后一个环节是:() A、信息系统的安全保护等级由业务信息安全保护等级决定 B、信息系统的安全保护等级由系统服务安全保护等级决定 C、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较低者决定
D、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定 正确答案:D 6、在广域网中,数据分组从源结点传送到目的结点的过程需要进行路由选择与()。 A、用户控制 B、数据加密 C、地址编码 D、分组转发 正确答案:D 7、信息安全保障应与信息化建设并重,坚持()与信息化建设同步规划、同步建设、同步投入运行。 A、计算机安全 B、信息系统安全 C、信息安全 D、网络安全 正确答案:B 8、网络层的主要任务是提供()。 A、进程通信服务 B、路径选择服务 C、物理连接服务 D、端-端连接服务 正确答案:B 9、以下关于防火墙的设计原则说法正确的是?() A、一套防火墙就可以保护全部的网络 B、保持涉及的简单性 C、不单单要提供防火墙的功能,还要尽量使用较大的组件 D、保留尽可能多的服务和守护进程,从而能提供更多的网络服务 正确答案:B 10、下面描述正确的是()。 A、设置写保护后使用U盘就不会使U盘内的文件感染病毒 B、只要不执行U盘中的程序,就不会使系统感染病毒 C、只要不使用U盘,就不会使系统感染病毒 D、软盘比U盘更容易感染病毒