网络安全试题库网络工程

网络安全试 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 一．单项选择题以下算法中属于非对称算法的是（ B   ）DESRSA算法IDEA三重DES"DES是一种数据分组的加密算法,DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？"（D）56位64位112位128位以下有关软件加密和硬件加密的比较，不正确的是（B）硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序硬件加密的兼容性比软件加密好硬件加密的安全性比软件加密好硬件加密的速度比软件加密快数据完整性指的是（   C ）保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密提供连接实体身份的鉴别防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致确保数据数据是由合法实体发出的下面有关3DES的数学描述，正确的是（B）C=E(E(E(P,K1),K1),K1)C=E(D(E(P,K1),K2),K1)C=E(D(E(P,K1),K1),K1)C=D(E(D(P,K1),K2),K1)黑客利用IP地址进行攻击的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 有：（A）IP欺骗解密窃取口令发送病毒屏蔽路由器型防火墙采用的技术是基于：（B）数据包过滤技术应用网关技术代理服务技术三种技术的结合在安全审计的风险评估阶段，通常是按什么顺序来进行的：（A）侦查阶段、渗透阶段、控制阶段渗透阶段、侦查阶段、控制阶段控制阶段、侦查阶段、渗透阶段侦查阶段、控制阶段、渗透阶段网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列身份认证可能会造成不安全后果的是：（A）基于口令的身份认证基于地址的身份认证密码认证都不是以下哪一项不是入侵检测系统利用的信息：（C）系统和网络日志文件目录和文件中的不期望的改变数据包头信息程序执行中的不期望行为以下哪一项属于基于主机的入侵检测方式的优势：（C）监视整个网段的通信不 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 在大量的主机上安装和管理软件适应交换和加密具有更好的实时性在OSI七个层次的基础上，将安全体系划分为四个级别，以下那一个不属于四个级别：（D）网络级安全系统级安全应用级安全链路级安全加密技术不能实现：（D）数据信息的完整性基于密码技术的身份认证机密文件加密基于IP头信息的包过滤以下关于混合加密方式说法正确的是：（B）采用公开密钥体制进行通信过程中的加解密处理采用公开密钥体制对对称密钥体制的密钥进行加密后的通信采用对称密钥体制对对称密钥体制的密钥进行加密后的通信采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点以下关于数字签名说法正确的是：（D）数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息数字签名能够解决数据的加密传输，即安全传输问题数字签名一般采用对称加密机制数字签名能够解决篡改、伪造等安全性问题防火墙中地址翻译的主要作用是：(B)提供代理服务隐藏内部网络地址进行入侵检测防止病毒入侵以下关于状态检测防火墙的描述，不正确的是（D）所检查的数据包称为状态包，多个数据包之间存在一些关联能够自动打开和关闭防火墙上的通信端口其状态检测表由规则表和连接状态表两部分组成在每一次操作中，必须首先检测规则表，然后再检测连接状态表（只检测连接状态表）以下关于VPN说法正确的是：（B）VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路VPN指的是用户通过公用网络建立的临时的、安全的连接VPN不能做到信息认证和身份认证VPN只能提供身份认证、不能提供加密数据的功能TCP可为通信双方提供可靠的双向连接，在包过滤系统中，下面关于TCP连接描述错误的是：(C)要拒绝一个TCP时只要拒绝连接的第一个包即可TCP段中首包的ACK＝0，后续包的ACK＝1确认号是用来保证数据可靠传输的编号//（确认号是目的主机在接收到数据后反馈给源主机的信息，告诉源主机已接收）"在CISCO过滤系统中，当ACK＝1时，“established""关键字为T，当ACK＝0时，“established""关键字为F"在DDoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击的计算机称为（B）攻击者主控端代理服务器被攻击者加密密钥的强度是：（A）A．2NB．2N-1C．2ND．2N-1IDS规则包括网络误用和：（A）网络异常系统误用系统异常操作异常防治要从防毒、查毒、（）三方面来进行：（A）解毒隔离反击重起针对下列各种安全协议，最适合使用外部网VPN上，用于在客户机到服务器的连接模式的是：(C)IPsecPPTPSOCKSv5L2TP下列各种安全协议中使用包过滤技术，适合用于可信的LAN到LAN之间的VPN，即内部网VPN的是:（D）PPTPL2TPSOCKSv5IPsec目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资源的用户访问权限是：(C)客户认证回话认证用户认证都不是目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限是：（A）客户认证回话认证用户认证都不是目前在防火墙上提供了几种认证方法，其中防火墙提供通信双方每次通信时的会话授权机制是：（B）客户认证回话认证用户认证都不是使用安全内核的方法把可能引起安全问题的部分从操作系统的内核中去掉，形成安全等级更高的内核，目前对安全操作系统的加固和改造可以从几个方面进行。下面错误的是：（D）采用随机连接序列号驻留分组过滤模块取消动态路由功能尽可能地采用独立安全内核在防火墙实现认证的方法中，采用通过数据包中的源地址来认证的是：（B）基于口令的身份认证基于地址的身份认证密码认证都不是随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代：（D）使用IP加密技术日志 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 工具攻击检测和报警对访问行为实施静态、固定的控制网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列身份认证可能会造成不安全后果的是：（A）基于口令的身份认证基于地址的身份认证密码认证都不是IPSec协议是开放的VPN协议。对它的描述有误的是：(C)适应于向IPv6迁移提供在网络层上的数据加密保护支持动态的IP地址分配不支持除TCP/IP外的其它协议下面对电路级网关描述正确的是：B它允许内部网络用户不受任何限制地访问外部网络，但外部网络用户在访问内部网络时会受到严格的控制它在客户机和服务器之间不解释应用协议，仅依赖于TCP连接，而不进行任何附加包的过滤或处理大多数电路级代理服务器是公共代理服务器，每个协议都能由它实现对各种协议的支持不用做任何调整直接实现在Internet服务中使用代理服务有许多需要注意的内容，下述论述正确的是：CUDP是无连接的协议很容易实现代理与牺牲主机的方式相比，代理方式更安全对于某些服务，在技术上实现相对容易很容易拒绝客户机于服务器之间的返回连接状态检查技术在OSI那层工作实现防火墙功能：C链路层传输层网络层会话层对状态检查技术的优缺点描述有误的是：C采用检测模块监测状态信息支持多种协议和应用不支持监测RPC和UDP的端口信息配置复杂会降低网络的速度JOE是公司的一名业务代表，经常要在外地访问公司的财务信息系统，他应该采用的安全、廉价的通讯方式是：BPPP连接到公司的RAS服务器上远程访问VPN电子邮件与财务系统的服务器PPP连接下面关于外部网VPN的描述错误的有：C外部网VPN能保证包括TCP和UDP服务的安全其目的在于保证数据传输中不被修改VPN服务器放在Internet上位于防火墙之外VPN可以建在应用层或网络层上SOCKSv5的优点是定义了非常详细的访问控制，它在OSI的那一层控制数据流：D应用层网络层传输层会话层二．判断题PKI和PMI在应用中必须进行绑定，而不能在物理上分开。（×）当通过浏览器以在线方式申请数字证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 时，申请证书和下载证书的计算机必须是同一台计算机。（√）在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进行核查。（√）要实现DDoS攻击，攻击者必须能够控制大量的计算机为其服务。（√）由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进行路由传输，所以TCP是面向字节流的可靠的传输方式。（√）ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。（×）暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大。（√）DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS服务器的IP地址。（×）当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。（×）在传统的包过滤、代理和状态检测3类防火墙中，只有状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。（√）三．填空题1．计算机网络的资源共享包括（）共享和（）共享。2．按照网络覆盖的地理范围大小，计算机网络可分为（）、（）和（）。3．按照结点之间的关系，可将计算机网络分为（）网络和（）网络。4．对等型网络与客户/服务器型网络的最大区别就是（）。5．网络安全具有（）、（）和（）。6．网络安全机密性的主要防范措施是（）。7．网络安全完整性的主要防范措施是（）。8．网络安全可用性的主要防范措施是（）。9．网络安全机制包括（）和（）。10．国际标准化组织ISO提出的“开放系统互连参考模型(OSI)”有（）层。11．OSI参考模型从低到高第3层是（）层。12．入侵监测系统通常分为基于（）和基于（）两类。13．数据加密的基本过程就是将可读信息译成（）的代码形式。14．访问控制主要有两种类型：（）访问控制和（）访问控制。15．网络访问控制通常由（）实现。16．密码按密钥方式划分，可分为（）式密码和（）式密码。17．DES加密算法主要采用（）和（）的方法加密。18．非对称密码技术也称为（）密码技术。19．DES算法的密钥为（）位，实际加密时仅用到其中的（）位。20．数字签名技术实现的基础是（）技术。21．数字水印技术主要包括（）、（）和（）。22．数字水印技术的特点是（）、（）和（）。23．入侵监测系统一般包括（）、（）、（）和（）四部分功能。24．按照数据来源的不同，入侵监测系统可以分为（）、（）和（）入侵监测系统三类。25．按照数据监测方法的不同，入侵监测系统可以分为（）监测模型和（）监测模型两类。26．广域网简称为（）。27．局域网简称为（）。28．在TCP/IP参考模型中，应用层协议的（）用来实现互联网中电子邮件传送功能。29．电子商务的体系结构可以分为网络基础平台、安全结构、（）、业务系统4个层次。30．电子邮件服务采用（）工作模式。答案：1．（硬件资源）、（软件资源）。2．（局域网）、（广域网）（城域网）3．（客户/服务器型）（对等型）4．（对等型网络没有专设服务器）5．（机密性）、（完整性）（可用性）6．（密码技术）7．（校验与认证技术）8．（确保信息与信息系统处于一个可靠的运行状态之下）9．（技术机制）（管理机制）10．（7）11．（网络）12．（主机）（网络）13．（密文）14．（网络）（系统）15．（防火墙）16．（对称）（非对称）17．（替换）（移位）18．（公钥）19．（64）（56）20．（密码）21．（数字水印嵌入技术）（数字水印提取）（数字水印监测技术）22．（不可知觉性）（安全性）（稳健性）23．（事件提取）（入侵分析）（入侵响应）（远程管理）24．（基于主机）（基于网络）（混合型）25．（异常）（误用）26．（WAN）27．（LAN）28．（电子邮件协议SMTP）29．（支付体系）30．（客户机/服务器）四．名词解释题对称加密与非对称加密在一个加密系统中，加密和解密使用同一个密钥，这种加密方式称为对称加密，也称为单密钥加密（2分）。如果系统采用的是双密钥体系，存在两个相互关联的密码，其中一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密（2分）DNS缓存中毒DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（TimeToLive，TTL）。在记录没有超过TTL之前，DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。（2分）DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。（2分）机密性、完整性、可用性、可控性机密性是确保信息不暴露给未经授权的人或应用进程（1分）；完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改（1分）；可用性是指只有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用（1分）；可控性是指能够对授权范围内的信息流向和行为方式进行控制。（1分）VPNVPN（虚拟专用网）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接（2分）。从VPN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。（2分）防火墙防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合（2分），通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。五．简答题PGP安全通信的基本原理是什么？答：A要寄信给B，他们互相知道对方的公钥，A用MD5算法产生128位数作为邮件文摘，并用自己私钥加密，A在邮件后加上那串邮件文摘，再用B的公钥把整个邮件加密后寄出，B收到后用自己的私钥解密，得到A的原文和签名，B也从原文中计算出128的特征值，并和A的签名进行比对。按照加密和解密是否使用相同的密钥可分为哪两种？其中，他们代表性的算法各有哪些？答：对称密钥密码算法，常用算法：DES，AES,IDEA,非对称密码，常用算法：RSA,DSA,缓冲区溢出攻击的产生原因是什么？如何避免？答：产生原因：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，使程序转而执行其它指令，以达到攻击的目的。避免：对存入缓冲区的数据要进行超长中断，防止缓冲区溢出，同时还应当检查返回值。请解释什么是VPN，其关键技术除了隧道技术，还有另外哪3个？答：IPSec协议是主要用于构造VPN的，IPSec安全体系结构由哪3个主要部分组成？再分别写出IPSec提供的安全协议，认证头（AH）与封装安全有效载荷（ESP）在隧道模式下各自的头格式。VPN是虚拟专用网技术，是通过一个公用网络建立一个临时的，安全的连接，是一条穿过混乱的公用网络安全，稳定的遂道。除了隧道技术，还有加解密技术，密钥管理技术，使用者与设备身份认证技术。由安全协议、安全联盟和密钥管理组成。隧道模式的AH头格式： 新IP头|AH头|原始IP头|数据隧道模式的ESP头格式：新IP头|ESP头|原始IP头|数据|ESP尾|验证数据VPN是当前最常用的网络技术之一，请简述它有哪些优点？答：搭建成本低、灵活性高、VPN网络有很好的兼容性和可扩展性，提高了网络的可靠性。企业可以利用VPN迅速开展新的服务和连接设施，简化了企业联网和广域网操作。什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么应用？数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心（CA）作为权威，可信赖的，公正的第三方机构，专门负责为各种认证需要提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥方面已被广为接受。X.509证书已应用于许多网络安全，其中包括IPSEC，SSL，SET，S/MIME。简述对称密钥密码体制的原理和特点？答：对称密钥密码体制，对于大多数算法，解密算法是加密算法的逆运算，加密密钥和解密密钥相同，同属一类的加密体制。它保密强度性高但开放性差，要求发送者和接收者在安全通信之前，需要有可靠的密钥信道传递密钥，因此密钥也必须要妥善保管。在网络安全体系中，有哪五种安全服务？答：实体认证安全服务，访问控制安全服务，数据保密性安全服务，数据完整性安全服务，抗抵赖性安全服务。简述公开密钥密码机制的原理和特点。答：公开密钥密码体制是使用具有两个密钥的编码解码算法，加密和解密的能力是分开的，这两个密钥一个保密，另一个公开。根据应用的需要，发送方可以使用接收方的公开密钥加密消息，或使用发送方的私有密钥签名消息，或两个都使用，以完成某种类型的密码编码解码功能。网络信息安全的四层模式是哪四层？防火墙和VPN分别是哪种模式？答：四层：信息通道模式，网络系统门卫模式，网络系统内部的模式，CPU和操作系统的模式。防火墙是网络系统门卫的模式；VPN是信息通道模式。1.信息安全的基本属性是（机密性、可用性、完整性）。2.对攻击可能性的分析在很大程度上带有（主观性）。3.从安全属性对各种网络攻击进行分类，阻断攻击是针对（可用性）的攻击。4.从安全属性对各种网络攻击进行分类，截获攻击是针对（机密性）的攻击。5.拒绝服务攻击的后果是（D）。A.信息不可用B.应用程序不可用C.阻止通信D.上面几项都是6.机密性服务提供信息的保密，机密性服务包括（D）。A.文件机密性B.信息传输机密性C.通信流的机密性D.以上3项都是7．最新的研究和统计表明，安全攻击主要来自（企业内部网）。8．攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（拒绝服务攻击）。9.密码学的目的是（研究数据保密）。10.假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（对称加密技术）。11.“公开密钥密码体制”的含义是（将公开密钥公开，私有密钥保密）。12.用于实现身份鉴别的安全机制是（加密机制和数字签名机制）。13.数据保密性安全服务的基础是（加密机制）。14.可以被数据完整性机制防止的攻击方式是（数据在途中被攻击者篡改或破坏）。15.数字签名要预先使用单向Hash函数进行处理的原因是（缩小签名密文的长度，加快数字签名和验证签名的运算速度）。16.身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是（身份鉴别一般不用提供双向的认证17.PKI支持的服务不包括（访问控制服务）。18.下面不属于PKI组成部分的是（D）。A.证书主体B.使用证书的应用和系统C.证书权威机构D.AS19.一般而言，Internet防火墙建立在一个网络的（内部网络与外部网络的交叉点）。20.包过滤型防火墙原理上是基于（网络层）进行分析的技术。21.“周边网络”是指：（介于内网与外网之间的保护网络）。22.防火墙用于将Internet和内部网络隔离，（是网络安全和信息安全的软件和硬件设施23.计算机病毒是计算机系统中一类隐藏在（存储介质）上蓄意破坏的捣乱程序。24.信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。（D）A通信保密阶段B加密机阶段C信息安全阶段D安全保障阶段25.信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。（C）A保密性B完整性C不可否认性D可用性26.安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。（保护、检测、响应、恢复27.下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。（杀毒软件）28.为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的____属性。（保密性）29.定期对系统和数据进行备份，在发生灾难时进行恢复。该机制是为了满足信息安全的____属性。（可用性）30.数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。（保密性）31.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。（完整性）32.计算机病毒最本质的特性是____。（破坏性）33.用户身份鉴别是通过____完成的。（口令验证）34.对网络层数据包进行过滤和控制的信息安全技术机制是____。（防火墙）35.下列不属于防火墙核心技术的是____。（日志审计）36.计算机病毒的实时监控属于____类的技术措施。（检测）37.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。（安装安全补丁程序）38.不是计算机病毒所具有的特点____。（可预见性）39.下列关于用户口令说法错误的是____。（复杂口令安全性足够高，不需要定期修改）40.公钥密码基础设施PKI解决了信息系统中的____问题。（身份信任）41.PKI所管理的基本元素是____。（数字证书）42.下列关于防火墙的错误说法是____。（重要的边界保护机制）43.入侵检测技术可以分为误用检测和____两大类。（异常检测）44.____不属于必需的灾前预防性措施。（不间断电源，至少应给服务器等关键设备配备45.___最好地描述了数字证书。（等同于在网络上证明个人和公司身份的身份证）46.身份认证的含义是____。（验证一个用户）47.口令机制通常用于____。（认证）48.对日志数据进行审计检查，属于____类控制措施。（检测）49．系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速____。（恢复整个系统）50．在一个企业网中，防火墙应该是____的一部分，构建防火墙时要考虑其保护的范围。（全局安全策略）51．基于密码技术的访问控制是防止____的主要防护手段。（数据传输泄密）52．避免对系统非法访问的主要方法是____。（访问控制）53．对保护数据来说，功能完善、使用灵活的____必不可少。（备份软件）54．在一个信息安全保障体系中，最重要的核心组成部分为____。（安全策略）55、不能防止计算机感染病毒的措施是_______。（定时备份重要文件）二、填空题1.信息安全的大致内容包括三个部分：物理安全，网络安全和操作系统安全。2.黑客攻击网络的步骤：隐藏IP、信息收集、控制或破坏目标系统、种植后门和在网络中隐身。3.社交工程主要通过人工或者网络手段间接获取攻击对象的信息资料。4．密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。5.密钥生成形式有两种：一种是由中心集中生成，另一种是由个人分散生成。6.密钥的分配是指产生并使用者获得密钥的过程。7．计算机病毒的5个特征是：主动传染性、破坏性、寄生性（隐蔽性）、潜伏性、多态性。8．恶意代码的基本形式还有后门、逻辑炸弹、特洛伊木马、蠕虫、细菌。9.蠕虫是通过网络进行传播的。10.从实现方式上看，防火墙可以分为硬件防火墙和软件防火墙。11.防火墙的基本类型有：包过滤防火墙、应用代理防火墙、电路级网关防火墙和状态检测防火墙。12.从检测方式上看，入侵检测技术可以分为异常检测模型和误用检测模型两类。13.从检测对象上看，入侵检测技术可以分为基于主机的入侵检测系统的和基于网络的入侵检测系统两类。14.网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。三、判断题(A代表对，B代表错)1.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(B)2.只要投资充足，技术措施完备，就能够保证百分之百的信息安全。(B)3.Windows2000／xp系统提供了口令安全策略，以对帐户口令安全进行保护。(B)4.信息安全等同于网络安全。(B)5.一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。(A)6.防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。(A)7.公钥密码体制算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。(A)8.对信息的这种防篡改、防删除、防插入的特性称为数据完整性保护。(A)9.防火墙安全策略一旦设定，就不能再做任何改变。(B)10.只要使用了防火墙，企业的网络安全就有了绝对的保障。(B)11.防火墙是设置在内部网络与外部网络（如互联网）之间、或不同内部网络之间，实施访问控制策略的一个或一组系统。(A)12.企业内部只需要在网关和各服务器上安装防病毒软件，客户端不需要安装。(B)13.运行防病毒软件可以帮助防止遭受网页仿冒欺诈。(A)四、问答题1.特洛伊木马（TrojanHorse）把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，而一旦用户触发正常程序，黑客代码同时被激活，这些代码往往能完成黑客早已指定的任务（如监听某个不常用端口，假冒登录界面获取帐号和口令等）。2.黑客：利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。3.宏病毒利用MSOffice的开放性即Word和Excel中提供的WordBasic/ExcelBasic编程接口，专门制作的一个或多个具有病毒特点的宏指令集合，这种病毒能通过文件的打开或关闭来获取控制权，并能通过doc文档和dot模板进行自我复制及传播。4.蠕虫病毒一种能够自动通过网络进行自我传播的恶意程序。它不需要附着在其他程序上，而是独立存在的。当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。5．漏洞漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。6.数据机密性针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。7.数据完整性防止非法篡改信息，如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。8.数字签名有什么作用？当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端：否认，发送方不承认自己发送过某一报文。伪造，接收方自己伪造一份报文，并声称它来自发送方。冒充，网络上的某个用户冒充另一个用户接收或发送报文。篡改，接收方对收到的信息进行篡改。9.什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。10.数字证书的原理是什么？数字证书采用公开密钥体制（例如RSA）。每个用户设定一仅为本人所知的私有密钥，用它进行解密和签名；同时设定一公开密钥，为一组用户所共享，用于加密和验证签名。采用数字证书，能够确认以下两点：(1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。(2)保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息。11.解释身份认证的基本概念。身份认证是指用户必须提供他是谁的证明，这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础。身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破，系统的所有安全措施将形同虚设，黑客攻击的目标往往就是身份认证系统。五、分析题1.试用古典密码技术中采用替代密码技术的方法实现原文加密成密文：对英文的前21个字母分别向前移4位，其替代关系为：明文密文aebcdefghifghijkljklmnopqrrststumnopquabcdjiangsunanjing密文：是什么？nmerkbdrernmrk2.什么是安全协议？安全协议应用在什么领域，请列举出3个安全协议。安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配。主要应用在金融系统、商务系统、政务系统和军事系统。例如代表性的安全协议有：IPSec协议、SSL协议、SSH协议、TLS协议、PGP协议、PEM协议等。3.叙述数字签名的过程报文的发送方从报文文本中生成一个散列值或报文摘要，发送方用自己的私人密钥对这个散列值或报文摘要进行加密来形成发送方的数字签名，然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值或报文摘要，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值或报文摘要相同，那么接收方就能确认该数字签名是发送方的。4.什么是防火墙，为什么需要有防火墙？防火墙是一种装置，它是由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须达到一致的高度安全水平，这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备，没有其他的服务，因此也就意味着相对少一些缺陷和安全漏洞，这就使得安全管理变得更为方便，易于控制，也会使内部网络更加安全。防火墙所遵循的原则是在保证网络畅通的情况下，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。5.防火墙应满足的基本条件是什么？作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：(1)内部网络和外部网络之间的所有数据流必须经过防火墙。(2)只有符合安全策略的数据流才能通过防火墙。(3)防火墙自身具有高可靠性，应对渗透(Penetration)免疫，即它本身是不可被侵入的。1、信息系统安全的五个特性是保密性、完整性、不可否认性、可用性和可控性. (网络安全特性：保密性，完整性，可用性，可控性，可审查性) 2、信息在通信过程中面临着4中威胁：中断、截获、篡改、伪造。其中主动攻击有伪造、篡改、中断，被动攻击有威胁。 （主动攻击破坏信息完整性，被动攻击不对数据做修改） 3、身份认证和消息认证存在差别，身份认证只证实主体的真实身份与其所称的身份是否符合，消息认证要证实消息的真实性和完整性，消息的顺序性和时间性。实现身份认证的有效途径是数字签名。 4、Kerberos是20世纪80年代由麻省理工设计的一种完全基于(可信任第三方且通过对称DES）加密体制的认证系统。Kerberos系统包括认证服务器AS和授权服务器TGS，认证服务对用户进行身份认证，授权服务器实现产生会话密钥功能。 5、PKI采用证书管理公钥，通过第三方的可信任机构认证中心CA把用户的公钥和用户的其它信息捆绑在一起，在INTERNET上验证用户身份。PKI公钥基础设施就是提供公钥加密和数字签名服务的系统 6、防火墙的结构主要有包过滤防火墙，双宿网关防火墙，屏蔽主机防火墙和屏蔽子网防火墙。 7、在防火墙所采用的技术中，包过滤技术是在网络层和传输层拦截所有的信息流，代理是针对每一个特定的应用都有一个程序，代理是企图在应用层实现防火墙的功能。代理的主要特点是状态性。 8、VPN的基本原理是利用隧道技术对数据进行封装，在互联网中建立虚拟的专用通道，使数据在具有认证和加密机制的隧道中穿越，从而实现点到点或端到端的安全连接 9、CIDF根据IDS系统的通用需求以及现有IDS的系统结构，将IDS系统构成划分如下部分：事件发生器、事件分析器、事件数据库和响应单元。 10、恶意程序的存在形式有病毒、蠕虫、特洛伊木马、逻辑炸弹、细菌和陷门等。其中蠕虫是通过系统漏洞、自身复制在网络上传播的 14、在密码学中我们通常将源信息成为明文，将加密后的信息成为密文 。这个变换处理过程称为加密过程，它的逆过程称为解密过程。 15、信任模型描述了建立信任关系的方法，寻找和遍历信任路径的规则，主要有四种典型的信任模型：认证机构的严格层次结构模型、分布式信任结构模型、Web模型、以用户为中心的信任模型 16．___数据机密性_____就是保证信息不能被未经授权者阅读。 17．主要的物理不安全因素有 自然灾害、硬件故障、操作失误或意外疏漏和计算机系统机房的环境安全。 18安全策略按授权性质可分为__基于规则的______和___基于身份的_____。  19．信息安全主要有三条基本的管理原则： ____从不单独____、____任期有限____和_____责任分离___。 9、换位密码根据一定的规则重新安排明文字母，使之成为密文_。 10．Internet传输层的面向连接的协议是TCP。(无连接 UDP)  二、判断题 1. 计算机病毒对计算机网络系统威胁不大。                    （ ×  ）2. 黑客攻击是属于人为的攻击行为。    （√  ） 3. 信息根据敏感程度一般可为成非保密的、内部使用的、保密的、绝密的几类。（×） 4. 防止发送数据方发送数据后否认自已发送过的数据是一种抗抵赖性的形式。（√ ） 5. 密钥是用来加密、解密的一些特殊的信息。 （  √ ） 6. 在非对称密钥密码体制中，发信方与收信方使用不同的密钥。           （ √ ） 7. 数据加密可以采用软件和硬件方式加密。                        （  √ ） 8. Kerberos协议是建立在非对称加密算法RAS上的。        （ ×  ） 9. PGP是专用来为电子邮件提供加密的。                              （ √ ） 10. Kerberos能为分布式计算机环境提供对用户单方进行验证的方法。      （ ×  ） 三、单项选择题 1、TCP协议主要应用于哪一层（ B ） A、应用层         B、传输层           C、INTERNET层       D、网络层 2、加密算法若按照密钥的类型划分可以分为（A  ）两种。 A.     公开密钥加密算法和对称密钥加密算法； B.     公开密钥加密算法和算法分组密码； C.     序列密码和分组密码； D.     序列密码和公开密钥加密算法 3、保密密钥的分发所采用的机制是（B ）。 A、MD5                                    B、三重DES  C、KERBEROS                                 D、RC-5   4、不属于黑客被动攻击的是（ A ） A、缓冲区溢出    B、运行恶意软件    C、浏览恶意代码网页   D、打开病毒附件 5、关于防火墙的描述不正确的是：（  C  ） A．防火墙不能防止内部攻击。 B．如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 C．防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D．防火墙可以防止伪装成内部信任主机的IP地址欺骗。 7、虚拟专用网常用的安全协议为（  C   ） A．X.25   B．ATM   C．IPSEC        D．NNTP 8、注册机构RA不能完成的功能是（D ） A．接收用户申请并录入用户资料； B．审核用户的申请； C．对用户的申请（包括证书申请、更新申请和挂失申请）进行批准或否决； D．制作证书并发放。 9、MD5文摘算法得出的文摘大小是（A） A．128位  B．160位  C．128字节  D．160字节  10、1977年由美国国家标准局（NBS）批准的联邦数据加密标准DES的密钥位数是（B）。 A．192位  B．56位  C．42字节  D．128字节 11、数据库安全系统特性中与损坏和丢失相关的数据状态是指（A ）。 A、数据的完整性                            B、数据的安全性 C、数据的独立性                            D、数据的可用性 12、RSA属于（B ）。 A、秘密密钥密码                            B、公用密钥密码 C、保密密钥密码                            D、对称密钥密码 13、保密密钥的分发所采用的机制是（B ）。 A、MD5                                    B、三重DES  C、KERBEROS                                 D、RC-5 14、防火墙是指（C ）。 A、一个特定软件                            B、一个特定硬件 C、执行访问控制策略的一组系统              D、一批硬件的总称 16．计算机病毒通常是____D____。 A．  一条命令  B．一个文件  C．一个标记  D．一段程序代码 17．在下列4 项中，不属于计算机病毒特征的是_____C___。 A．  潜伏性  B．传播性  C．免疫性  D．激发性 20．关于入侵检测技术，下列哪一项描述是错误的___A_____。 A．入侵检测系统不对系统或网络造成任何影响 B．审计数据或系统日志信息是入侵检测系统的一项主要信息来源 C．入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵 D．  基于网络的入侵检测系统无法检查加密的数据流  21．入侵检测系统提供的基本服务功能包括___D_____。 A．异常检测和入侵检测    B．入侵检测和攻击告警 B．  异常检测和攻击告警    D．异常检测、入侵检测和攻击告警 12、入侵检测系统提供的基本服务功能包括（ D   ）。 A．异常检测和入侵检测         B．入侵检测和攻击告警 B．异常检测和攻击告警          D．异常检测、入侵检测和攻击告警 13、某加密系统采用密钥为5的凯萨密码对明文进行加密，若生成的密文是XHMTTQ，则其对应的明文是（ B  ）。 A．people         B．school       C．person        D．monkey 14、DES是分组乘积密码．它所选取的选代次数是（B    ）。 A．8             B．16           C．32           D．64 15、在采用RSA公开钥加密系统中．若鲍勃想给艾丽斯发送一封邮件．并且想让艾丽斯知道邮件是鲍勃发出的，则鲍勃应陔选用的加衔密钥是（ C   ）。 A．鲍勃的公钥    B．艾丽斯的公钥 C．鲍勃的私钥   D．艾丽斯的私钥 16、TCP协议工作于TCP/IP模型的（ C   ）。 A．物理层        B．网络层        C．传输层       D．应用层