計(jì)算機(jī)安全名詞解釋

計(jì)算機(jī)信息系統(tǒng)(computerinformationsystem)：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。可信計(jì)算基(TrustedComputingBase，TCB)：計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶(hù)服務(wù)。隱蔽信道(CovertChannel)：非公開(kāi)的但讓進(jìn)程有可能以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。訪(fǎng)問(wèn)控制(AccessControl，AC)：限制已授權(quán)的用戶(hù)、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪(fǎng)問(wèn)本系統(tǒng)資源的過(guò)程。口令認(rèn)證不能取代訪(fǎng)問(wèn)控制。自主訪(fǎng)問(wèn)控制(discretionaryaccesscontrol，DAC):用來(lái)決定一個(gè)用戶(hù)是否有權(quán)限訪(fǎng)問(wèn)此客體的一種訪(fǎng)問(wèn)約束機(jī)制，該客體的所有者可以按照自己的意愿指定系統(tǒng)中的其他用戶(hù)對(duì)此客體的訪(fǎng)問(wèn)權(quán)。強(qiáng)制訪(fǎng)問(wèn)控制(mandatoryaccesscontrol，MAC):用于將系統(tǒng)中的信息分密級(jí)和類(lèi)進(jìn)行管理，以保證每個(gè)用戶(hù)只能夠訪(fǎng)問(wèn)那些被標(biāo)明可以由他訪(fǎng)問(wèn)的信息的一種訪(fǎng)問(wèn)約束機(jī)制。訪(fǎng)問(wèn)控制列表(AccessControlList，ACL)：與系統(tǒng)中客體相關(guān)聯(lián)的，用來(lái)指定系統(tǒng)中哪些用戶(hù)和組可以以何種模式訪(fǎng)問(wèn)該客體的控制列表。角色(role)：系統(tǒng)中一類(lèi)訪(fǎng)問(wèn)權(quán)限的集合?？腕w(object)：系統(tǒng)中被動(dòng)的主體行為承擔(dān)者。對(duì)一個(gè)客體的訪(fǎng)問(wèn)隱含著對(duì)其所含信息的訪(fǎng)問(wèn)。客體的實(shí)體類(lèi)型有記錄、程序塊、頁(yè)面、段、文件、目錄、目錄樹(shù)和程序，還有位、字節(jié)、字、字段、處理器、視頻顯示器、鍵盤(pán)、時(shí)鐘、打印機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)等?？腕w重用(objectreuse)：對(duì)曾經(jīng)包含一個(gè)或幾個(gè)客體的存儲(chǔ)介質(zhì)(如頁(yè)框、盤(pán)扇面、磁帶)重新分配和重用。為了安全地進(jìn)行重分配、重用，要求介質(zhì)不得包含重分配前的殘留數(shù)據(jù)。主體(subject)：主體(subject)是這樣的一種實(shí)體，它引起信息在客體之間的流動(dòng)。通常，這些實(shí)體是指人、進(jìn)程或設(shè)備等，一般是代表用戶(hù)執(zhí)行操作的進(jìn)程。如編輯一個(gè)文件時(shí)，編輯進(jìn)程是存取文件的主體，而文件是客體。標(biāo)識(shí)與鑒別(identification&authentication，I&A)：用于保證只有合法用戶(hù)才能進(jìn)入系統(tǒng)，進(jìn)而訪(fǎng)問(wèn)系統(tǒng)中的資源。基于角色的訪(fǎng)問(wèn)控制(Role-BasedAccessControl，RBAC)：兼有基于身份和基于規(guī)則的策略特征。可看作基于組的策略的變形，一個(gè)角色對(duì)應(yīng)一個(gè)組。例：銀行業(yè)務(wù)系統(tǒng)中用戶(hù)多種角色周邊網(wǎng)絡(luò)：周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱(chēng)為非軍事區(qū)(DMZ)。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽(tīng)。安全周界(securityperimeter):用半徑來(lái)表示的空間。該空間包圍著用于處理敏感信息的設(shè)備，并在有效的物理和技術(shù)控制之下，防止未授權(quán)的進(jìn)入或敏感信息的泄露。安全策略(securitypolicy)：對(duì)TCB中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則。簡(jiǎn)單地說(shuō)就是用戶(hù)對(duì)安全要求的描述。一個(gè)TCB中可以有一個(gè)或多個(gè)安全策略。是指一個(gè)特定的環(huán)境里(安全區(qū)域)，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的一系列條例、規(guī)則。(P16)安全模型(securitymodel)：用形式化的方法來(lái)描述如何實(shí)現(xiàn)系統(tǒng)的機(jī)密性、完整性和可用性等安全要求。包過(guò)濾(PacketFilter):包過(guò)濾，是防火墻的一類(lèi)。包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，他根據(jù)數(shù)據(jù)包源頭地址、目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)。只有滿(mǎn)足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余的數(shù)據(jù)包則被數(shù)據(jù)從數(shù)據(jù)流中丟棄。NAT(NetworkAddressTranslation)：中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址Q(chēng)P地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。就是將一個(gè)IP地址用另一個(gè)IP地址代替。就是將一個(gè)IP地址用另一個(gè)IP地址代替。封裝安全載荷(ESPEncapsulatingSecurityPayload)ESP屬于一種協(xié)議，提供了機(jī)密性、數(shù)據(jù)起源認(rèn)證、無(wú)連接的完整性、抗重播服務(wù)和有限業(yè)務(wù)流機(jī)密性。驗(yàn)證頭(AuthenticationHeader)認(rèn)證頭(AH)協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址認(rèn)證和一些有限的抗重播服務(wù)，AH不提供對(duì)通信數(shù)據(jù)的加密服務(wù)，與ESP協(xié)議相比，AH不提供對(duì)通信數(shù)據(jù)的加密服務(wù)，但能比ESP提供更加廣的數(shù)據(jù)認(rèn)證服務(wù)。分布式拒絕服務(wù)攻擊(DistributedDenialofService，DDos)：是對(duì)拒絕服務(wù)攻擊的發(fā)展。攻擊者控制大量的攻擊源，然后同時(shí)向攻擊目標(biāo)發(fā)起的一種拒絕服務(wù)攻擊。海量的信息會(huì)使得攻擊目標(biāo)帶寬迅速消失殆盡。堡壘主機(jī)：堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于外部網(wǎng)之中，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決的目的。PKI：PKI就是利用公開(kāi)密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。敏感標(biāo)記(sensitivitylabel)：用以表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，在可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪(fǎng)問(wèn)控制決策的依據(jù)。最小特權(quán)原理(LeastPrivilegeprinciple)：系統(tǒng)中每一個(gè)主體只能擁有與其操作相符的必需的最小特權(quán)集。VPN(VirtualPrivateNetwork)：是一種常用于連接中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的消息透過(guò)公用的網(wǎng)絡(luò)架構(gòu)(例如：互聯(lián)網(wǎng))來(lái)傳送內(nèi)部網(wǎng)的網(wǎng)絡(luò)消息。它利用已加密的通道協(xié)議(TunnelingProtocol)來(lái)達(dá)到保密、傳送端認(rèn)證、消息準(zhǔn)確性等私人消息安全效果。這種技術(shù)可以用不安全的網(wǎng)路(例如：網(wǎng)際網(wǎng)路)來(lái)傳送可靠、安全的消息?？尚磐?trustedpath):終端人員能借以直接同可信計(jì)算基通信的一種機(jī)制。該機(jī)制只能由有關(guān)終端操作人員或可信計(jì)算基啟動(dòng)，并且不能被不可信軟件模仿。多級(jí)安全(multilevelsecure,MLS):一類(lèi)包含不同等級(jí)敏感信息的系統(tǒng)，它既可供具有不同安全許可的用戶(hù)同時(shí)進(jìn)行合法訪(fǎng)問(wèn)，又能阻止用戶(hù)去訪(fǎng)問(wèn)其未被授權(quán)的信息。鑒別(authentication):驗(yàn)證用戶(hù)、設(shè)備和其他實(shí)體的身份；驗(yàn)證數(shù)據(jù)的完整性。授權(quán)(authorization):授予用戶(hù)、程序或進(jìn)程的訪(fǎng)問(wèn)權(quán)。保密性(confidentiality):為秘密數(shù)據(jù)提供保護(hù)方法及保護(hù)等級(jí)的一種特性。數(shù)據(jù)完整性(dataintegrity):信息系統(tǒng)中的數(shù)據(jù)與原始數(shù)據(jù)沒(méi)有發(fā)生變化，未遭受偶然或惡意的修改或破壞時(shí)所具有的性質(zhì)。漏洞(loophole):由軟硬件的設(shè)計(jì)疏忽或失誤導(dǎo)致的能避開(kāi)系統(tǒng)安全措施的一類(lèi)錯(cuò)誤?？尚庞?jì)算機(jī)系統(tǒng)(trustedcomputersystem):一個(gè)使用了足夠的硬件和軟件完整性機(jī)制，能夠用來(lái)同時(shí)處理大量敏感或分類(lèi)信息的系統(tǒng)。操作系統(tǒng)安全(operatingsystemsecurity):操作系統(tǒng)無(wú)錯(cuò)誤配置、無(wú)漏洞、無(wú)后門(mén)、無(wú)特洛伊木馬等，能防止非法用戶(hù)對(duì)計(jì)算機(jī)資源的非法存取，一般用來(lái)表達(dá)對(duì)操作系統(tǒng)的安全需求。安全操作系統(tǒng)(secureoperatingsystem):能對(duì)所管理的數(shù)據(jù)與資源提供適當(dāng)?shù)谋Ｗo(hù)級(jí)、有效地控制硬件與軟件功能的操作系統(tǒng)。多級(jí)安全操作系統(tǒng)(multilevelsecureoperatingsystem):實(shí)現(xiàn)了多級(jí)安全策略的安全操作系統(tǒng)，比如符合美國(guó)橘皮書(shū)(TCSEC)B1級(jí)以上的安全操作系統(tǒng)?；煜?confusion)：使密文與明文的統(tǒng)計(jì)獨(dú)立性關(guān)系復(fù)雜化。使得輸出是輸入的非線(xiàn)性函數(shù)；用于掩蓋明文和密文間的關(guān)系。通過(guò)代替法實(shí)現(xiàn)，如S盒。散布(diffusion):使每位明文盡可能影響多位密文。擴(kuò)展輸出對(duì)輸入的相關(guān)性，盡量使密文的每一位受明文中多位影響。通過(guò)置換法實(shí)現(xiàn)，如P盒。單獨(dú)用一種方法，容易被攻破。流密碼只依賴(lài)于混淆；分組密碼兩者都用。安全的五個(gè)要素？可用性、可靠性、完整性、機(jī)密性（保密性）、不可抵賴(lài)性簡(jiǎn)述檢測(cè)計(jì)算機(jī)病毒的常用方法。（P187）1） 直接檢測(cè)方法2） 特征代碼法3） 校驗(yàn)和法4） 行為檢測(cè)法5） 軟件模擬法可靠度、可維護(hù)度、可用度的含義？（P34）可靠性：在一定的條件下，在指定的時(shí)期內(nèi)系統(tǒng)無(wú)故障地執(zhí)行指令人物的可能性?？煽慷龋涸跁r(shí)刻系統(tǒng)正常的條件下，在給定的時(shí)間間隔內(nèi)，系統(tǒng)仍然能正確執(zhí)行其功能的概率稱(chēng)為可靠度。可維護(hù)性：指系統(tǒng)發(fā)生故障時(shí)容易進(jìn)行修復(fù)，以及平時(shí)易于維護(hù)的程度。可維護(hù)度：指計(jì)算機(jī)的維修效率，通常用平均修復(fù)時(shí)間（MTRF）來(lái)表示，。MTRF是指從故障發(fā)生到系統(tǒng)恢復(fù)平均所需的時(shí)間。可用性：指計(jì)算機(jī)的各種功能滿(mǎn)足需要要求的程度，也就是計(jì)算機(jī)系統(tǒng)在執(zhí)行任務(wù)的任何時(shí)刻能正常工作的概率?？捎枚龋合到y(tǒng)在t時(shí)刻處于正常狀態(tài)的概率稱(chēng)為可用度。什么是故障屏蔽技術(shù)（FaultMaskingTechnology）？故障屏蔽技術(shù)是防止系統(tǒng)中的故障在該系統(tǒng)的信息結(jié)構(gòu)中產(chǎn)生差錯(cuò)的各種措施的總稱(chēng)。其實(shí)質(zhì)是在故障效應(yīng)達(dá)到模塊輸出以前，利用冗余資源將故障影響掩蓋起來(lái)，達(dá)到容錯(cuò)的目的。什么是P2DR安全模型，PDRR安全模型？（P8）P2DR是一種可適應(yīng)網(wǎng)絡(luò)安全模型。主要包括策略（Policy）、保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）四部分。PDRR是美國(guó)國(guó)防部提出的“信息安全保障體系”中的安全模型，其概括了網(wǎng)絡(luò)安全的整個(gè)環(huán)節(jié)，包括保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）、恢復(fù)（Restore）四部分。TCSEC安全級(jí)別？可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TrustedComputerSystemEvaluationCriteriaTCSEC）。該標(biāo)準(zhǔn)將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。按安全程度低-＞高排序D、C1、C2、B1、B2、B3、A1。C:酌情B:強(qiáng)制A:核實(shí)保護(hù)。D類(lèi)：最低保護(hù)。無(wú)賬戶(hù)；任意訪(fǎng)問(wèn)文件。C1類(lèi)：自決的安全保護(hù)。系統(tǒng)能夠把用戶(hù)和數(shù)據(jù)隔開(kāi)，用戶(hù)以根據(jù)需要采用系統(tǒng)提供的訪(fǎng)問(wèn)控制措施來(lái)保護(hù)自己的數(shù)據(jù)，系統(tǒng)中必有一個(gè)防止破壞的區(qū)域，其中包含安全功能。C2類(lèi)：訪(fǎng)問(wèn)級(jí)別控制?？刂屏６雀?xì)，使得允許或拒絕任何用戶(hù)訪(fǎng)問(wèn)單個(gè)文件成為可能。系統(tǒng)必須對(duì)所有的注冊(cè)、文件的打開(kāi)、建立和刪除進(jìn)行記錄。審計(jì)跟蹤必須追蹤到每個(gè)用戶(hù)對(duì)每個(gè)目標(biāo)的訪(fǎng)問(wèn)。B1類(lèi)：有標(biāo)簽的安全保護(hù)。系統(tǒng)中的每個(gè)對(duì)象都有一個(gè)敏感性標(biāo)簽而每個(gè)用戶(hù)都有一個(gè)許可級(jí)別。許可級(jí)別定義了用戶(hù)可處理的敏感性標(biāo)簽。系統(tǒng)中的每個(gè)文件都按內(nèi)容分類(lèi)并標(biāo)有敏感性標(biāo)簽，任何對(duì)用戶(hù)許可級(jí)別和成員分類(lèi)的更改都受到嚴(yán)格控制，即使文件所有者也不能隨意改變文件許可權(quán)限。B2類(lèi)：結(jié)構(gòu)化保護(hù)。系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)要經(jīng)過(guò)徹底的測(cè)試和審查。系統(tǒng)應(yīng)結(jié)構(gòu)化為明確而獨(dú)立的模塊，遵循最小特權(quán)原則。必須對(duì)所有目標(biāo)和實(shí)體實(shí)施訪(fǎng)問(wèn)控制。政策，要有專(zhuān)職人員負(fù)責(zé)實(shí)施，要進(jìn)行隱蔽信道分析。系統(tǒng)必須維護(hù)一個(gè)保護(hù)域，保護(hù)系統(tǒng)的完整性，防止外部干擾。B3類(lèi)：安全域。系統(tǒng)的安全功能足夠小，以利廣泛測(cè)試。必須滿(mǎn)足參考監(jiān)視器需求以傳遞所有的主體到客體的訪(fǎng)問(wèn)。要有安全管理員，安全硬件裝置，審計(jì)機(jī)制擴(kuò)展到用信號(hào)通知安全相關(guān)事件，還要有恢復(fù)規(guī)程，系統(tǒng)高度抗侵?jǐn)_。A1類(lèi)：核實(shí)保護(hù)。最初設(shè)計(jì)系統(tǒng)就充分考慮安全性。有“正式安全策略模型”其中包括由公理組成的形式化證明。系統(tǒng)的頂級(jí)技術(shù)規(guī)格必須與模型相對(duì)應(yīng)，系統(tǒng)還包括分發(fā)控制和隱蔽信道分析。項(xiàng)別名 郡捅if刖 孑A]可驗(yàn)證的安壘設(shè)計(jì)北彖洲要求產(chǎn)格的救學(xué)正用,證印親蔬蘋(píng)會(huì)危段甦Honeys宅11SCOMPE3強(qiáng)快數(shù)據(jù)除蒞初村更，倪拍層與吊之間的所有室互信皂Hcuey?仙％Rde如、SyacmiXTS-額黯構(gòu)化事差祐爐點(diǎn)持藏件保護(hù)，內(nèi)存匡域置點(diǎn)擬另段，并在行產(chǎn)檸W護(hù)XENIX、日?ymEIMULTl京EI瞭C2的保護(hù)纏別葉，利用展是成每個(gè)革元叫捏供該一步的保護(hù)AThS:TSystemVC2訪(fǎng)向控制棵護(hù)?.用白.；井一伯廳詁匕幻，1'史供審ir E申黃仲-救據(jù)、交件和迎程提供某統(tǒng)驅(qū)別的俱護(hù)機(jī)徵口3頗 .UMXCI誘擇由支全保1P用J與數(shù)據(jù)公下區(qū)分同戶(hù)薜，以用戶(hù)組為單位中那歸UNIXD無(wú)佝在的賓全謀始您-DOS什么是數(shù)字簽名？數(shù)字簽名與信息加密的區(qū)別？數(shù)字簽名：通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到的用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。數(shù)字簽名與信息加密的區(qū)別：數(shù)字簽名的加密/解密過(guò)程和信息（報(bào)文）的加密/解密過(guò)程雖然都可使用公開(kāi)密鑰算法，但實(shí)現(xiàn)過(guò)程正好相反，使用的密鑰對(duì)也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對(duì)，發(fā)送方用自己的私有密鑰進(jìn)行加密（簽名），接收方用發(fā)送方的公開(kāi)密鑰進(jìn)行解密（驗(yàn)證）。這是一個(gè)一對(duì)多的關(guān)系：任何擁有發(fā)送方公開(kāi)密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。而信息（報(bào)文）的加密/解密則使用的是接收方的密鑰對(duì)，這是多對(duì)一的關(guān)系：任何知道接收方公開(kāi)密鑰的人都可以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能對(duì)信息解密。在實(shí)用過(guò)程中，通常一個(gè)用戶(hù)擁有兩個(gè)密鑰對(duì)，一個(gè)密鑰對(duì)用來(lái)對(duì)數(shù)字簽名進(jìn)行加密/解密，一個(gè)密鑰對(duì)用來(lái)對(duì)信息（報(bào)文）進(jìn)行加密/解密。這種方式提供了更高的安全性。數(shù)字簽名大多采用非對(duì)稱(chēng)密鑰加密算法，它能保證發(fā)送信息的完整性、身份的真實(shí)性和不可否認(rèn)性，而數(shù)字加密采用了對(duì)稱(chēng)密鑰加密算法和非對(duì)稱(chēng)密鑰加密算法相結(jié)合的方法，它能保證發(fā)送信息的保密性。數(shù)字簽名和信息加密過(guò)程的區(qū)別比較明顯（如下圖所示）?；谥鳈C(jī)的掃描和基于網(wǎng)絡(luò)的掃描有什么不同？（P174）基于網(wǎng)絡(luò)的掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪(fǎng)問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞?；谥鳈C(jī)的漏洞掃描通常在目標(biāo)系統(tǒng)上安裝一個(gè)代理或者服務(wù)，以便能夠訪(fǎng)問(wèn)所有的文件和進(jìn)程，這也使得基于漏洞的掃描能夠掃描更多的漏洞?；诰W(wǎng)絡(luò)的掃描：優(yōu)勢(shì)：獨(dú)立于操作系統(tǒng)，監(jiān)測(cè)實(shí)時(shí)性強(qiáng)缺點(diǎn)：需要傳回大量的網(wǎng)絡(luò)包，無(wú)法分析加密數(shù)據(jù)，存在攻擊特征被拆分的情況?；诰W(wǎng)絡(luò)的掃描：優(yōu)勢(shì)：能很好的處理加密數(shù)據(jù)包，可以綜合多個(gè)數(shù)據(jù)源進(jìn)行分析。高速網(wǎng)絡(luò)情況下不存在數(shù)據(jù)表丟失。缺點(diǎn)：降低系統(tǒng)性能配置和維護(hù)困難，逃避檢測(cè)存在數(shù)據(jù)欺騙的問(wèn)題，實(shí)時(shí)性較差什么是防火墻?防火墻的功能有哪些？防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪(fǎng)問(wèn)以達(dá)到保護(hù)系統(tǒng)安全的目的。功能：阻止和允許“阻止”就是阻止某種類(lèi)型的通信量通過(guò)防火墻。“允許”就是允許某種類(lèi)型的通信量通過(guò)防火墻。防火墻可以實(shí)行強(qiáng)制的網(wǎng)絡(luò)安全策略，E.g.:禁止不安全的協(xié)議NFS，禁止finger。對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)。E.g.:網(wǎng)絡(luò)使用和濫用的記錄統(tǒng)計(jì)。使用內(nèi)部防火墻可以防止一個(gè)網(wǎng)段的問(wèn)題傳播到另一個(gè)網(wǎng)段。防火墻的優(yōu)點(diǎn)：防止易受攻擊的服務(wù)控制訪(fǎng)問(wèn)網(wǎng)點(diǎn)系統(tǒng)集中安全性增強(qiáng)的保密、強(qiáng)化私有權(quán)防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為三類(lèi)：包過(guò)濾、代理服務(wù)器、狀態(tài)監(jiān)視器。數(shù)據(jù)包過(guò)濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。

描述：對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)（源地址、目標(biāo)地址、端口號(hào)等）。過(guò)濾系統(tǒng)是一臺(tái)路由器或是一臺(tái)主機(jī)，其中用于過(guò)濾數(shù)據(jù)包的路由器稱(chēng)為屏蔽路由器。數(shù)據(jù)包過(guò)濾一般用屏蔽路由器實(shí)現(xiàn)。屏蔽路由器與一般路由器的區(qū)別：除了決定是否有到達(dá)目的地址的路徑，還要決定是否“應(yīng)該”發(fā)送數(shù)據(jù)包。大多數(shù)數(shù)據(jù)包過(guò)濾系統(tǒng)在數(shù)據(jù)本身上不做任何事，即它們不做基于內(nèi)容的決定。包過(guò)濾防火墻優(yōu)缺點(diǎn)應(yīng)用層表示層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層t數(shù)據(jù)鏈路層會(huì)話(huà)層應(yīng)用層表示層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層t數(shù)據(jù)鏈路層會(huì)話(huà)層傳輸層網(wǎng)緡層物理層互連的物理介質(zhì)優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明（無(wú)略口令等）缺點(diǎn)：安全性低（IP欺騙等）不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀(guān)身份鑒別的作用是什么？有哪些身份鑒別機(jī)制？身份鑒別是用于確定所聲明的身份的有效性。有生物特征識(shí)別、零知識(shí)身份鑒別。堡壘主機(jī)的構(gòu)建原則是什么？堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡，每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來(lái)管理、控制和保護(hù)，而另一塊連接另一個(gè)網(wǎng)絡(luò)，通常是公網(wǎng)也就是Internet。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個(gè)進(jìn)程來(lái)提供對(duì)從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。用一臺(tái)裝有兩塊網(wǎng)卡的計(jì)算機(jī)作為堡壘主機(jī)（Bastionhost），兩塊網(wǎng)卡分別與內(nèi)部網(wǎng)和外部網(wǎng)（或屏蔽路由器）相連，每塊網(wǎng)卡有各自的IP地址。堡壘主機(jī)上運(yùn)行防火墻軟件——代理服務(wù)（應(yīng)用層網(wǎng)關(guān)）。在建立雙宿主機(jī)時(shí)，應(yīng)關(guān)閉操作系統(tǒng)的路由功能（IP轉(zhuǎn)發(fā)），否則兩塊網(wǎng)卡間的通信會(huì)繞過(guò)代理服務(wù)器軟件。優(yōu)點(diǎn)：與屏蔽路由器相比，提供日志以備檢查。缺點(diǎn)：雙宿主機(jī)易受攻擊。堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其他主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。建立堡壘主機(jī)的一般原則有兩條:最簡(jiǎn)化原則和預(yù)防原則。物理安全主要包括哪幾個(gè)方面？環(huán)境安全、設(shè)備安全、介質(zhì)安全。（P26）TEMPEST技術(shù)的主要目的是什么？計(jì)算機(jī)中的TEMPEST技術(shù)主要采用哪些技術(shù)措施？主要目的是減少計(jì)算機(jī)中外泄的信息。抑制信息泄露的技術(shù)包括：電子屏蔽技術(shù)和物理抑制技術(shù)（P30）。防火墻的體系結(jié)構(gòu)有哪幾種？屏蔽路由結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)（P144）什么是容錯(cuò)？容錯(cuò)技術(shù)主要包括哪些?容錯(cuò)是用冗余的資源使計(jì)算機(jī)具有容忍故障的能力，即在產(chǎn)生故障的情況下，仍有能力繼續(xù)完成指定的算法。（P35）為什么要進(jìn)行數(shù)據(jù)備份？什么是完全備份、差異備份、增量備份？（P37）完全備份:對(duì)包括系統(tǒng)應(yīng)用程序和數(shù)據(jù)庫(kù)等在內(nèi)的一個(gè)備份周期內(nèi)的數(shù)據(jù)進(jìn)行完全備份。差異備份：只備份自上次完全備份以后有變化的數(shù)據(jù)。增量備份：只備份自上次備份以后有變化的數(shù)據(jù)。按需備份：根據(jù)臨時(shí)需要有選擇地進(jìn)行數(shù)據(jù)備份。RAID技術(shù)分為哪些等級(jí)？（P41）（廉價(jià)冗余磁盤(pán)陣列RedundantArrayofInexpensiveDisk）（獨(dú)立冗余磁盤(pán)陣列RedundantArrayofIndependentDisk）RAID0：無(wú)冗余無(wú)校驗(yàn)的側(cè)盤(pán)陣列。RAID1：鏡像磁盤(pán)陣列RAID2：糾錯(cuò)海明碼磁盤(pán)陣列RAID3&RAID4：奇校驗(yàn)或偶校驗(yàn)的磁盤(pán)陣列RAID5：無(wú)獨(dú)立校驗(yàn)盤(pán)的奇偶校驗(yàn)磁盤(pán)陣列RAID6：帶有兩種分布存儲(chǔ)的奇偶校驗(yàn)碼的獨(dú)立磁盤(pán)結(jié)構(gòu)RAID7：優(yōu)化的高速數(shù)據(jù)傳送磁盤(pán)結(jié)構(gòu)RAID10：高可靠性與高效磁盤(pán)結(jié)構(gòu)RAID53：高效數(shù)據(jù)傳送磁盤(pán)結(jié)構(gòu)安全的Hash函數(shù)一般滿(mǎn)足哪些要求？（P83）1） 輸入x可以為任意長(zhǎng)度，輸出數(shù)據(jù)串長(zhǎng)度固定。2） 單向性，正向計(jì)算容易，即給定任意x，容易計(jì)算出H（x）；反向計(jì)算困難，即給定一個(gè)Hash值h，很難找出一個(gè)特定輸入乂，使得h=H（x）。3） 抗沖突性（抗碰撞性），包括兩個(gè)含義：一是給出一條信息x，找出一條消息y使H（x）=H（y）是計(jì)算上不可行的（弱抗沖突）；二是找出任意兩條消息x，y，使得H（x）=H（y）也是計(jì)算上不可行的（強(qiáng)抗沖突）。Bell-Lapadula安全模型？Biba安全模型？P（130）BellUPadula模型為防止泄密:”上寫(xiě)“"下讀”BellUPadula模型為防止泄密:”上寫(xiě)“"下讀”Biba模型完整性：防止刪改數(shù)據(jù).木馬"下寫(xiě)”"上讀”拒絕服務(wù)攻擊的主要目的是什么？拒絕服務(wù)攻擊的目的是使計(jì)算機(jī)或者網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。是黑客常用的攻擊手段之一。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿(mǎn)，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶(hù)的連接復(fù)位，影響合法用戶(hù)的連接。簡(jiǎn)述網(wǎng)絡(luò)安全掃描的內(nèi)容（P178）一次完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：1） 第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。2） 第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類(lèi)型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息。3） 第三階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。端口掃描的目的是什么？當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以通過(guò)端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。DES算法的脆弱性？（P57）什么是數(shù)字證書(shū)？數(shù)字證書(shū)就是互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類(lèi)似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)（CertificateAuthority）中心發(fā)行的，CA是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶(hù)身份，并對(duì)用戶(hù)證書(shū)進(jìn)行簽名，以確保證書(shū)持有者的身份和公鑰的擁有權(quán)。冗余技術(shù)的分類(lèi)？（P35）根據(jù)資源的不同，可以將冗余技術(shù)分為硬件冗余、軟件冗余、信息冗余、和時(shí)間冗余。包過(guò)濾防火墻的優(yōu)缺點(diǎn)？?jī)?yōu)點(diǎn)：速度快，性能高（無(wú)帳號(hào)口令等）缺點(diǎn)：安全14冗余技術(shù)的分類(lèi)？（P35）根據(jù)資源的不同，可以將冗余技術(shù)分為硬件冗余、軟件冗余、信息冗余、和時(shí)間冗余。包過(guò)濾防火墻的優(yōu)缺點(diǎn)？?jī)?yōu)點(diǎn)：速度快，性能高（無(wú)帳號(hào)口令等）缺點(diǎn)：安全14低（IP歐騙等）不能根據(jù)狀態(tài)信息曲亍控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀(guān)應(yīng)用層表示層會(huì)話(huà)層傳輸層包過(guò)濾防火墻優(yōu)缺點(diǎn)數(shù)據(jù)鏈路層物理層互連的物理介質(zhì)數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話(huà)層傳輸層27.包過(guò)濾路由器的優(yōu)缺點(diǎn)（P150）？選擇題網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對(duì)（D）提供安全保護(hù)。信息載體B.信息的處理、傳輸C.信息的存儲(chǔ)、訪(fǎng)問(wèn)D.上面3項(xiàng)都是網(wǎng)絡(luò)安全的基本屬性是（D）。機(jī)密性B.可用性C.完整性D.上面3項(xiàng)都是密碼學(xué)的目的是（C）。研究數(shù)據(jù)加密 B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)保密 D.研究信息安全假設(shè)使用一種加密算法，它的加密方法很簡(jiǎn)單：將每一個(gè)字母加5,即a加密成f,b加密成g。這種算法的密鑰就是5,那么它屬于（A）。對(duì)稱(chēng)密碼技術(shù) B.分組密碼技術(shù)C.公鑰密碼技術(shù) D.單向函數(shù)密碼技術(shù)訪(fǎng)問(wèn)控制是指確定（B）以及實(shí)施訪(fǎng)問(wèn)權(quán)限的過(guò)程。用戶(hù)權(quán)限 B.可給予那些主體訪(fǎng)問(wèn)權(quán)利C.可被用戶(hù)訪(fǎng)問(wèn)的資源 D.系統(tǒng)是否遭受入侵一般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的（C）。內(nèi)部子網(wǎng)之間傳送信息的中樞每個(gè)子網(wǎng)的內(nèi)部?jī)?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接合處可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TrustedComputerSystemEvaluationCriteria,TCSEC）共分為（）大類(lèi)（）級(jí)。（A）47B.37C.45D.46桔皮書(shū)定義了4個(gè)安全層次，從D層（最低保護(hù)層）到A層（驗(yàn)證性保護(hù)層），其中D級(jí)的安全保護(hù)是最低的，屬于D級(jí)的系統(tǒng)是不安全的，以下操作系統(tǒng)中屬于D級(jí)安全的是（A）。運(yùn)行非UNIX的Macintosh機(jī)運(yùn)行Linux的PC機(jī)UNIX系統(tǒng)XENIX計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類(lèi)隱藏在（C）上蓄意破壞的搗亂程序。內(nèi)存B.軟盤(pán)C.存儲(chǔ)介質(zhì)D.網(wǎng)絡(luò)對(duì)攻擊可能性的分析在很大程度上帶有（B）?？陀^(guān)性B.主觀(guān)性C.盲目性D.上面3項(xiàng)都不是網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（D）。用戶(hù)的方便性B.管理的復(fù)雜性對(duì)現(xiàn)有系統(tǒng)的影響及對(duì)不同平臺(tái)的支持上面3項(xiàng)都是從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類(lèi)，阻斷攻擊是針對(duì)（B）的攻擊。機(jī)密性B.可用性C.完整性D.真實(shí)性從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類(lèi)，截獲攻擊是針對(duì)（A）的攻擊。機(jī)密性B.可用性C.完整性D.真實(shí)性從攻擊方式區(qū)分攻擊類(lèi)型，可分為被動(dòng)攻擊和主動(dòng)攻擊，被動(dòng)攻擊難以（），然而（）這些攻擊是可行的；主動(dòng)攻擊難以（），然而（）這些攻擊是可行的。（C）阻止，檢測(cè)，阻止，檢測(cè)檢測(cè)，阻止，檢測(cè)，阻止檢測(cè)，阻止，阻止，檢測(cè)上面3項(xiàng)都不是竊聽(tīng)是一種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是-種（）攻擊，攻擊者（）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。（A）被動(dòng)，無(wú)須，主動(dòng)，必須主動(dòng)，必須，被動(dòng)，無(wú)須主動(dòng)，無(wú)須，被動(dòng)，必須被動(dòng)，必須，主動(dòng)，無(wú)須威脅是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件，威脅包括（D）。目標(biāo)B.代理C.事件D.上面3項(xiàng)都是對(duì)目標(biāo)的攻擊威脅通常通過(guò)代理實(shí)現(xiàn)，而代理需要的特性包括（D）。訪(fǎng)問(wèn)目標(biāo)的能力 B.對(duì)目標(biāo)發(fā)出威脅的動(dòng)機(jī)有關(guān)目標(biāo)的知識(shí) D.上面3項(xiàng)都是拒絕服務(wù)攻擊的后果是（E）。信息不可用 B.應(yīng)用程序不可用 C.系統(tǒng)宕機(jī)阻止通信 E.上面幾項(xiàng)都是機(jī)密性服務(wù)提供信息的保密，機(jī)密性服務(wù)包括（D）。文件機(jī)密性 B.信息傳輸機(jī)密性C.通信流的機(jī)密性 D.以上3項(xiàng)都是完整性服務(wù)提供信息的正確性。該服務(wù)必須和（C）服務(wù)配合工作，才能對(duì)抗篡改攻擊。A.機(jī)密性B.可用性C.可審性D.以上3項(xiàng)都是數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是（C）。多一道加密工序使密文更難破譯提高密文的計(jì)算速度縮小簽名密文的長(zhǎng)度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度保證密文能正確地還原成明文Kerberos的設(shè)計(jì)目標(biāo)不包括（B）。A.認(rèn)證B.授權(quán)C.記賬D.加密身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別的敘述不正確的是（B）。身份鑒別是授權(quán)控制的基礎(chǔ)身份鑒別一般不用提供雙向的認(rèn)證目前一般采用基于對(duì)稱(chēng)密鑰加密或公開(kāi)密鑰加密的方法數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制基于通信雙方共同擁有的但是不為別人知道的秘密，利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力，以該秘密作為加密和解密的密鑰的認(rèn)證是（C）。A.公鑰認(rèn)證 B.零知識(shí)認(rèn)證C.共享密鑰認(rèn)證 D.口令認(rèn)證Kerberos在請(qǐng)求訪(fǎng)問(wèn)應(yīng)用服務(wù)器之前，必須（A）。向TicketGranting服務(wù)器請(qǐng)求應(yīng)用服務(wù)器ticket向認(rèn)證服務(wù)器發(fā)送要求獲得“證書(shū)”的請(qǐng)求請(qǐng)求獲得會(huì)話(huà)密鑰直接與應(yīng)用服務(wù)器協(xié)商會(huì)話(huà)密鑰下面不屬于PKI（公鑰基礎(chǔ)設(shè)施）的組成部分的是（D）。證書(shū)主體B.使用證書(shū)的應(yīng)用和系統(tǒng)C.證書(shū)權(quán)威機(jī)構(gòu) D.AS下列對(duì)訪(fǎng)問(wèn)控制影響不大的是（D）。主體身份 B.客體身份C.訪(fǎng)問(wèn)類(lèi)型 D.主體與客體的類(lèi)型為了簡(jiǎn)化管理，通常對(duì)訪(fǎng)問(wèn)者（A），避免訪(fǎng)問(wèn)控制表過(guò)于龐大。分類(lèi)組織成組嚴(yán)格限制數(shù)量按訪(fǎng)問(wèn)時(shí)間排序，并刪除一些長(zhǎng)期沒(méi)有訪(fǎng)問(wèn)的用戶(hù)不作任何限制一個(gè)報(bào)文的端到端傳遞由OSI模型的（B）層負(fù)責(zé)處理。A.網(wǎng)絡(luò)B.傳輸C.會(huì)話(huà)D.表示在開(kāi)放系統(tǒng)互連環(huán)境中，兩個(gè)N層實(shí)體進(jìn)行通信，它們可能用到的服務(wù)是（A）。A.N-1層提供的服務(wù)B.N層提供的服務(wù)C.N+1層提供的服務(wù)D.以上3項(xiàng)都不是在某個(gè)網(wǎng)絡(luò)上的兩臺(tái)機(jī)器之間傳輸2小時(shí)的文件，而網(wǎng)絡(luò)每隔1小時(shí)崩潰一次，這時(shí)可以考慮在數(shù)據(jù)流中加入一個(gè)校驗(yàn)點(diǎn)，使得在網(wǎng)絡(luò)崩潰后，只是最后一個(gè)校驗(yàn)點(diǎn)之后的數(shù)據(jù)進(jìn)行重傳。在OSI模型中，這個(gè)校驗(yàn)點(diǎn)最有可能是由（C）完成的。A.應(yīng)用層B.表示層C.會(huì)話(huà)層D.傳輸層當(dāng)進(jìn)行文本文件傳輸時(shí)，可能需要進(jìn)行數(shù)據(jù)壓縮，在OSI模型中，規(guī)定完成這一工作的是（B）。A.應(yīng)用層B.表示層C.會(huì)話(huà)層D.傳輸層用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（A）。加密機(jī)制和數(shù)字簽名機(jī)制加密機(jī)制和訪(fǎng)問(wèn)控制機(jī)制數(shù)字簽名機(jī)制和路由控制機(jī)制訪(fǎng)問(wèn)控制機(jī)制和路由控制機(jī)制在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒(méi)有規(guī)定（E）。A.對(duì)象認(rèn)證服務(wù) B.訪(fǎng)問(wèn)控制安全服務(wù)C.數(shù)據(jù)保密性安全服務(wù) D.數(shù)據(jù)完整性安全服務(wù)數(shù)據(jù)可用性安全服務(wù)身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別的敘述不正確的是（B）。身份鑒別是授權(quán)控制的基礎(chǔ)身份鑒別一般不用提供雙向的認(rèn)證目前一般采用基于對(duì)稱(chēng)密鑰加密或公開(kāi)密鑰加密的方法數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制（D）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機(jī)制。A.通信業(yè)務(wù)填充機(jī)制 B.訪(fǎng)問(wèn)控制機(jī)制C.數(shù)字簽名機(jī)制 D.審計(jì)機(jī)制 E.公證機(jī)制ISO定義的安全體系結(jié)構(gòu)中包含（B）種安全服務(wù)。A.4B.5C.6D.7ISO安全體系結(jié)構(gòu)中的對(duì)象認(rèn)證安全服務(wù)，使用（B）完成。A.加密機(jī)制 B.數(shù)字簽名機(jī)制C.訪(fǎng)問(wèn)控制機(jī)制 D.數(shù)據(jù)完整性機(jī)制CA屬于ISO安全體系結(jié)構(gòu)中定義的（D）。A.認(rèn)證交換機(jī)制 B.通信業(yè)務(wù)填充機(jī)制C.路由控制機(jī)制 D.公證機(jī)制數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D）。A.數(shù)據(jù)完整性機(jī)制 B.數(shù)字簽名機(jī)制C.訪(fǎng)問(wèn)控制機(jī)制 D.加密機(jī)制路由控制機(jī)制用以防范（B）。路由器被攻擊者破壞非法用戶(hù)利用欺騙性的路由協(xié)議，篡改路由信息、竊取敏感數(shù)據(jù)在網(wǎng)絡(luò)層進(jìn)行分析，防止非法信息通過(guò)路由以上3項(xiàng)都不是數(shù)據(jù)完整性安全機(jī)制可與（C）使用相同的方法實(shí)現(xiàn)。A.加密機(jī)制 B.公證機(jī)制C.數(shù)字簽名機(jī)制 D.訪(fǎng)問(wèn)控制機(jī)制可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（D）。假冒源地址或用戶(hù)的地址欺騙攻擊抵賴(lài)做過(guò)信息的遞交行為數(shù)據(jù)中途被攻擊者竊聽(tīng)獲取數(shù)據(jù)在途中被攻擊者篡改或破壞VPN的加密手段為（C）。具有加密功能的防火墻帶有加密功能的路由器VPN內(nèi)的各臺(tái)主機(jī)對(duì)各自的信息進(jìn)行相應(yīng)的加密單獨(dú)的加密設(shè)備IPSec協(xié)議中負(fù)責(zé)對(duì)IP數(shù)據(jù)報(bào)加密的部分是（A）。A.封裝安全負(fù)載（ESP） B.鑒別包頭（AH）C.Internet密鑰交換（IKE） D.以上都不是分組過(guò)濾型防火墻原理上是基于（C）進(jìn)行分析的技術(shù)。物理層B.數(shù)據(jù)鏈路層 C.網(wǎng)絡(luò)層D.應(yīng)用層SSL產(chǎn)生會(huì)話(huà)密鑰的方式是（C）。從密鑰管理數(shù)據(jù)庫(kù)中請(qǐng)求獲得每一臺(tái)客戶(hù)機(jī)分配一個(gè)密鑰的方式隨機(jī)由客戶(hù)機(jī)產(chǎn)生并加密后通知服務(wù)器由服務(wù)器產(chǎn)生并分配給客戶(hù)機(jī)（C）屬于Web中使用的安全協(xié)議。A.PEM、SSLB.S-HTTP、S/MIMEC.SSL、S-HTTPD.S/MIME、SSL為了降低風(fēng)險(xiǎn)，不建議使用的Internet服務(wù)是（D）。A.Web服務(wù)B.外部訪(fǎng)問(wèn)內(nèi)部系統(tǒng)C.內(nèi)部訪(fǎng)問(wèn)InternetD.FTP服務(wù)為了提高可用性，采用多線(xiàn)接入多ISP的通信結(jié)構(gòu)，采用這種方案需要解決問(wèn)題是（D）。需要ISP具有邊界網(wǎng)關(guān)協(xié)議BGP知識(shí)連接物理路由的冗余編址方案以上3項(xiàng)都是對(duì)非軍事區(qū)DMZ而言，正確的解釋是（C）。DMZ是一個(gè)非真正可信的網(wǎng)絡(luò)部分DMZ網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略決定允許或禁止進(jìn)入DMZ通信允許外部用戶(hù)訪(fǎng)問(wèn)DMZ系統(tǒng)上合適的服務(wù)以上3項(xiàng)都是對(duì)動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），不正確的說(shuō)法是（B）。將很多內(nèi)部地址映射到單個(gè)真實(shí)地址外部網(wǎng)絡(luò)地址和內(nèi)部地址一對(duì)一的映射最多可有64000個(gè)同時(shí)的動(dòng)態(tài)NAT連接每個(gè)連接使用一個(gè)端口第二層保護(hù)的網(wǎng)絡(luò)一般可達(dá)到點(diǎn)對(duì)點(diǎn)間（D）。A.較強(qiáng)的身份認(rèn)證 B.保密性C.連續(xù)的通道認(rèn)證 D.以上3項(xiàng)都是第三層保護(hù)的網(wǎng)絡(luò)與第二層保護(hù)的網(wǎng)絡(luò)相比在通信成本上占有一定優(yōu)勢(shì)，它只需要（）進(jìn)行保護(hù)。主要采用的技術(shù)是（C）。A.認(rèn)證機(jī)制，防火墻B.訪(fǎng)問(wèn)控制機(jī)制，IPSec訪(fǎng)問(wèn)控制機(jī)制，防火墻和IPSec認(rèn)證機(jī)制，防火墻和IPSec傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（A）基礎(chǔ)上的（）?？煽康膫鬏敺?wù)，安全套接字層SSL協(xié)議不可靠的傳輸服務(wù)，S-HTTP協(xié)議可靠的傳輸服務(wù)，S-HTTP協(xié)議不可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議通常所說(shuō)的移動(dòng)VPN是指（A）。A.AccessVPN B.IntranetVPNC.ExtranetVPN D.以上皆不是屬于第二層的VPN隧道協(xié)議有（B）。A.IPSecB.PPTPC.GRED.以上皆不是GRE協(xié)議（B）。A.既封裝，又加密 B.只封裝，不加密C.不封裝，只加密 D.不封裝，不加密PPTP客戶(hù)端使用（A）建立連接。TCP協(xié)議B.UDP協(xié)議C.L2TP協(xié)議D.以上皆不是GRE協(xié)議的乘客協(xié)議是（D）。A.IPB.IPXC.AppleTalkD.上述皆可IPSec協(xié)議和（C）VPN隧道協(xié)議處于同一層。A.PPTPB.L2TPC.GRED.以上皆是AH協(xié)議中必須實(shí)現(xiàn)的驗(yàn)證算法是（A）。A.HMAC-MD5和HMAC-SHA1B.NULLC.HMAC-RIPEMD-160 D.以上皆是ESP協(xié)議中不是必須實(shí)現(xiàn)的驗(yàn)證算法的是（D）。A.HMAC-MD5 B.HMAC-SHA1C.NULL D.HMAC-RIPEMD-160ESP協(xié)議中必須實(shí)現(xiàn)的加密算法是（C）。A.僅DES-CBC B.僅NULLC.DES-CBC和NULLD.3DES-CBC（A）協(xié)議必須提供驗(yàn)證服務(wù)。A.AHB.ESPC.GRED.以上皆是下列協(xié)議中，（A）協(xié)議的數(shù)據(jù)可以受到IPSec的保護(hù)。A.TCP、UDP、IP B.ARPC.RARP D.以上皆可以“會(huì)話(huà)偵聽(tīng)與劫持技術(shù)”是屬于（B）的技術(shù)。A.密碼分析還原 B.協(xié)議漏洞滲透應(yīng)用漏洞分析與滲透 D.DoS攻擊計(jì)算機(jī)病毒主要由（潛伏）機(jī)制、（傳染）機(jī)制和（表現(xiàn)）機(jī)制構(gòu)成。計(jì)算機(jī)病毒按連接方式分為（B）、（入侵型病毒）、（F）和（I），按破壞性質(zhì)分為（A）和（C），按感染方式分為（E）、（G）和（H）。A.良性病毒B.源碼型病毒C.惡性病毒嵌入型病毒 E.引導(dǎo)型病毒 F.外殼型病毒G.文件型病毒 H.混合型病毒 I.操作系統(tǒng)型病毒病毒防治技術(shù)分為“防”和“治”兩部分?！胺馈倍炯夹g(shù)包括（預(yù)防）技術(shù)和（免疫）技術(shù)；“治”毒技術(shù)包括（檢測(cè)）技術(shù)和（消除）技術(shù)。計(jì)算機(jī)病毒特征判定技術(shù)有（比較）法、（掃描）法、（校驗(yàn)）法和（分析）法?；诰W(wǎng)絡(luò)的多層次的病毒防御體系中設(shè)置的多道防線(xiàn)包括（客戶(hù)端）防線(xiàn)、（服務(wù)器）防線(xiàn)、（Internet網(wǎng)關(guān)）防線(xiàn)和（防火墻）防線(xiàn)。病毒防治軟件的類(lèi)型分為（病毒掃描）型、（完整性檢查）型和（行為封鎖）型。網(wǎng)絡(luò)應(yīng)用安全平臺(tái)WebST是（B）的實(shí)現(xiàn)。A.CA B.AAs C.應(yīng)用安全威脅可分為外部安全威脅與內(nèi)部安全威脅兩類(lèi)。由威脅引起的損失可分為直接損失與間接損失兩類(lèi)。根據(jù)美國(guó)CSI/FBI的統(tǒng)計(jì)資料，大部分嚴(yán)重的經(jīng)濟(jì)損失來(lái)自（）安全威脅，而（B）又占總損失的大部分。A.外部，間接 B.內(nèi)部，間接C.內(nèi)部，直接 D.外部，直接安全模型的核心組成是（C）和（）。風(fēng)險(xiǎn)評(píng)估，安全策略信息分類(lèi)處理，安全需求風(fēng)險(xiǎn)評(píng)估，信息分類(lèi)處理D.上面3項(xiàng)都不是技術(shù)安全需求集中在對(duì)（D）的控制上，而技術(shù)安全控制的主要目標(biāo)是保護(hù)組織信息資產(chǎn)的（）。A.計(jì)算機(jī)系統(tǒng)、完整性 B.網(wǎng)絡(luò)系統(tǒng)、可用性C.應(yīng)用程序、機(jī)密性 D.上面3項(xiàng)都是計(jì)算機(jī)系統(tǒng)的鑒別包括（D）。A.用戶(hù)標(biāo)識(shí)認(rèn)證 B.傳輸原發(fā)點(diǎn)的鑒別C.內(nèi)容鑒別及特征檢測(cè) D.以上3項(xiàng)都是安全基礎(chǔ)設(shè)施的主要組成是（D）。A.網(wǎng)絡(luò)和平臺(tái) B.平臺(tái)和物理設(shè)施C.物理設(shè)施和處理過(guò)程 D.上面3項(xiàng)都是安全基礎(chǔ)設(shè)施設(shè)計(jì)的基本目標(biāo)是保護(hù)（B）。A.企業(yè)的網(wǎng)絡(luò) B.企業(yè)的資產(chǎn)C.企業(yè)的平臺(tái) D.企業(yè)的知識(shí)財(cái)產(chǎn)。安全基礎(chǔ)設(shè)施設(shè)計(jì)指南應(yīng)包括（D）。保證企業(yè)安全策略和過(guò)程和當(dāng)前經(jīng)營(yíng)業(yè)務(wù)目標(biāo)一致開(kāi)發(fā)一個(gè)計(jì)算機(jī)事故響應(yīng)組CIRT設(shè)計(jì)基礎(chǔ)設(shè)施安全服務(wù)以上3項(xiàng)都是支撐性基礎(chǔ)設(shè)施是能提供安全服務(wù)的一套相互關(guān)聯(lián)的活動(dòng)與基礎(chǔ)設(shè)施，最重要的支撐性基礎(chǔ)設(shè)施是（C）。A.KMI/PKI B.PKI以及檢測(cè)與響應(yīng)C.KMI/PKI以及檢測(cè)與響應(yīng)D.以上3項(xiàng)都不是KMI/PKI支持的服務(wù)不包括（C）。非對(duì)稱(chēng)密鑰技術(shù)及證書(shū)管理對(duì)稱(chēng)密鑰的產(chǎn)生和分發(fā)訪(fǎng)問(wèn)控制服務(wù) D.目錄服務(wù)PKI的主要組成不包括（B）。A.證書(shū)授權(quán)CA B.SSLC.注冊(cè)授權(quán)RA D.證書(shū)存儲(chǔ)庫(kù)CRPKI管理對(duì)象不包括（A）。A. ID和口令 B.證書(shū)C.密鑰 D.證書(shū)撤銷(xiāo)列表下列基礎(chǔ)設(shè)施目錄服務(wù)的特性（C）是不正確的。A.優(yōu)化的數(shù)據(jù)恢復(fù) B.定義的名字空間C.高度的集中性 D.提供對(duì)多種應(yīng)用的訪(fǎng)問(wèn)信息系統(tǒng)安全工程ISSE是由美國(guó)國(guó)家安全局發(fā)布的《信息保障技術(shù)框架（IATF）》3.0版本中提出的設(shè)計(jì)和實(shí)施信息系統(tǒng)（A）。A.安全工程方法 B.安全工程框架C.安全工程體系結(jié)構(gòu) D.安全工程標(biāo)準(zhǔn)如何組織一個(gè)安全的計(jì)算機(jī)系統(tǒng)?所謂計(jì)算機(jī)安全就是：為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。可以看出主要從三個(gè)方面進(jìn)行保護(hù)，即硬件安全，軟件安全和數(shù)據(jù)安全。計(jì)算機(jī)安全中最重要的是存儲(chǔ)數(shù)據(jù)的安全，其面臨的主要威脅包括：計(jì)算機(jī)病毒、非法訪(fǎng)問(wèn)等。對(duì)于計(jì)算機(jī)硬件來(lái)講，空氣濕度、靜電、電磁場(chǎng)、電壓穩(wěn)定性等都會(huì)產(chǎn)生不同程度的影響。我們需要是我們的電腦工作在適宜而又安全的環(huán)境中。此外，我們能還可以通采噪聲干擾源和電磁屏蔽技術(shù)防止計(jì)算機(jī)的電磁泄露。軟件方面，基本防護(hù)措施是：配置專(zhuān)職系統(tǒng)安全保密員；增設(shè)軟件系統(tǒng)安全機(jī)制，使盜竊者不能以合法身份進(jìn)入系統(tǒng)；利用操作系統(tǒng)的訪(fǎng)問(wèn)控制技術(shù)建立三道防線(xiàn)；配置網(wǎng)絡(luò)安全設(shè)備、應(yīng)用網(wǎng)絡(luò)安全技術(shù)；在計(jì)算機(jī)內(nèi)設(shè)置操作日志，對(duì)重要數(shù)據(jù)的讀、寫(xiě)、修改進(jìn)行自動(dòng)記錄。安裝個(gè)人防火墻以抵御黑客的襲擊，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)你的計(jì)算機(jī)，防止他們更改、拷貝、毀壞你的重要信息。數(shù)據(jù)安全方面，要保障重要數(shù)據(jù)的完整性，機(jī)密性，可靠性。需要對(duì)本地重要數(shù)據(jù)加密。在網(wǎng)絡(luò)上接受或者傳輸機(jī)密文件時(shí)，注意采用公鑰加密技術(shù)對(duì)對(duì)信息加密，同時(shí)采用數(shù)字證書(shū)和身份認(rèn)證等多重安全保障措施。具體做法有：停止Guest賬號(hào)。在［計(jì)算機(jī)管理］中將Guest賬號(hào)停止掉，任何時(shí)候不允許Guest賬號(hào)登錄系統(tǒng)。限制用戶(hù)數(shù)量。去掉所有的測(cè)試賬戶(hù)、共享賬號(hào)和普通部門(mén)賬號(hào)，等等。用戶(hù)組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的賬號(hào)，刪除已經(jīng)不適用的賬號(hào)。陷阱賬號(hào)。在