信息安全工程師考試習題及答案

考試必贏202X年信息平安工程師考試習題復習一、單項選擇題信息平安的根本屬性是。.保密性B.完整性C.可用性、可控性、可靠性D.A,B，C都是答案：D2．假設使用一種加密算法，它的加密方法很簡單：將每一個字母加5,即a加密成f。.這種算法的密鑰就是5,那么它屬于。對稱加密技術B.分組密碼技術C.公鑰加密技術D.單向函數密碼技術答案：A密碼學的目的是研究數據加密B.研究數據解密C.研究數據保密D.研究信息平安答案：CA方有一對密鑰〔KA公開，KA秘密〕，B方有一對密鑰〔KB公開，KB秘密〕，A方向B方發(fā)送數字簽名M,對信息M加密為：M'=KB公開〔KA秘密〔M〕〕。B方收到密文的解密方案是。KB公開〔KA秘密〔M'〕〕KA公開〔KA公開〔M'〕〕KA公開〔KB秘密〔M'〕〕KB秘密〔KA秘密〔M'〕〕答案：C數字簽名要預先使用單向Hash函數進行處理的原因是—_。多一道加密工序使密文更難破譯提X文的計算速度縮小簽名密文的長度，加快數字簽名和驗證簽名的運算速度保證密文能正確復原成明文答案：C6．身份鑒別是平安效勞中的重要一環(huán)，以下關于身份鑒別表達不正確的選項是—。身份鑒別是授權操作的根底身份鑒別一般不用提供雙向的認證目前一般采納基于對稱密鑰加密或公開密鑰加密的方法數字簽名機制是完成身份鑒別的重要機制答案：B7?防火墻用于將Internet和內部網絡隔離。是預防Internet火災的硬件設施是網絡平安和信息平安的軟件和硬件設施是保護線路不受破壞的軟件和硬件設施是起抗電磁干擾作用的硬件設施答案：B8.PKI支持的效勞不包含。非對稱密鑰技術及證書治理目錄效勞對稱密鑰的產生和分發(fā)訪問操作效勞答案：D9?設哈希函數H有128個可能的輸出（即輸出長度為128位），如果H的k個隨機輸入中至少有兩個產生相同輸出的概率大于0.5,則k約等于A.2128B.264C.232D.2256答案：B10.Bell-LaPadula模型的出發(fā)點是維護系統(tǒng)的，而Biba模型與Bell-LaPadula模型完全對立，它修正了Bell-LaPadula模型所忽略的信息的問題。它們存在共同的缺點：直接綁定主體與客體，授權工作困難。A.保密性可用性B.可用性保密性C.保密性完整性D.完整性保密性答案：C二、填空題ISO7498-2確定了五大類平安效勞，即鑒別、（訪問操作）、數據保密性、數據完整性和不可否認。同時，ISO7498-2也確定了八類平安機制，即加密機制、數據簽名機制、訪問操作機制、數據完整性機制、（認證交換）、業(yè)務填充機制、路由操作機制和公證機制。古典密碼包含替代密碼和置換密碼兩種，對稱密碼體制和非對稱密碼體制都屬于現代密碼體制。傳統(tǒng)的密碼系統(tǒng)主要存在兩個缺點：一是（密鑰治理與分配問題）；二是（認證問題）。在實際應用中，對稱密碼算法與非對稱密碼算法總是結合起來的，對稱密碼算法用于加密，而非對稱算法用于保護對稱算法的密鑰。3．依據使用密碼體制的不同可將數字簽名分為（基于對稱密碼體制的數字簽名）和（基于公鑰密碼體制的數字簽名），依據其完成目的的不同，一般又可將其分為（直接數字簽名）和（可仲裁數字簽名）。4.DES算法密鑰是64位，其中密鑰有效位是（56）位。RSA算法的平安是基于分解兩個大素數的積的困難。5．密鑰治理的主要內容包含密鑰的生成、分配、使用、存儲、備份、恢復和銷毀。密鑰生成形式有兩種：一種是由（中心集中）生成，另一種是由（個人分散）生成。6．認證技術包含（站點認證）、（報文認證）和身份認證，而身份認證的方法主要有口令、磁卡和智能卡、（生理特征識別）、（零知識證明）。NAT的完成方法有三種，分別是（靜態(tài)轉換）、（動態(tài)轉換）、（端口多路復用）。（數字簽名）是筆跡簽名的模擬，是一種包含預防源點或終點否認的認證技術。一、選擇題Kerberos的設計目標不包含〔B〕。認證B.授權C.記賬D.審計2?身份鑒別是平安效勞中的重要一環(huán)，以下關于身份鑒別表達不正確的選項是〔B〕。身份鑒別是授權操作的根底身份鑒別一般不用提供雙向的認證目前一般采納基于對稱密鑰加密或公開密鑰加密的方法數字簽名機制是完成身份鑒別的重要機制3?基于通信雙方共同擁有的但是不為別人了解的秘密，利用計算機強大的計算能力，以該秘密作為加密和解密的密鑰的認證是〔C〕。公鑰認證B.零知識認證共享密鑰認證D.口令認證〔C〕是一個對稱DES加密系統(tǒng)，它使用一個集中式的專鑰密碼功能，系統(tǒng)的核心是KDCTACACSB.RADIUSC.KerberosD.PKI二、問答題解釋身份認證的根本概念身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網絡資源，它是其他平安機制的根底身份認證是平安系統(tǒng)中的第—道關卡，識別身份后，由訪問監(jiān)視器依據用戶的身份和授權數據庫決定是否能夠訪問某個資源一旦身份認證系統(tǒng)被攻破，系統(tǒng)的全部平安措施將形同虛設，黑客攻擊的目標往往就是身份認證系統(tǒng)2?單機狀態(tài)下驗證用戶身份的三種因素是什么？〔1〕用戶所了解的東西：如口令、密碼?！?〕用戶所擁有的東西：如智能卡、你的證件?！?〕用戶所具有的生物特征：如指紋、聲音、視網膜掃描、DNA等。有哪兩種主要的存儲口令的方法，各是如何完成口令驗證的？直接明文存儲口令有很大風險，只要得到了存儲口令的數據庫，就可以得到全體人員的口令。比方攻擊者可以設法得到一個低優(yōu)先級的帳號和口令，進入系統(tǒng)后得到明文存儲口令的文件，這樣他就可以得到全體人員的口令。Hash散列存儲口令散列函數的目的是為文件、報文或其他分組數據產生“指紋〞。對于每一個用戶，系統(tǒng)存儲帳號和散列值對在一個口令文件中，當用戶登錄時，用戶輸入口令x,系統(tǒng)計算F(x),然后與口令文件中相應的散列值進行比對，成功即同意登錄。使用口令進行身份認證的優(yōu)缺點？優(yōu)點在于黑客即使得到了口令文件，通過散列值想要計算出原始口令在計算上也是不可能的，這就相對增加了平安性。嚴峻的平安問題〔單因素的認證〕，平安性僅依賴于口令，而且用戶往往選擇簡單記憶、簡單被猜測的口令〔平安系統(tǒng)最薄弱的突破口〕，口令文件也可被進行離線的字典式攻擊。有哪些生物特征可以作為身份認證的依據，這種認證的過程是怎樣的？以人體唯—的、可靠的、穩(wěn)定的生物特征〔如指紋、虹膜、臉部、掌紋等〕為依據，采納計算機強大的計算功能和網絡技術進行圖象處理和模式識別。該技術具有很好的平安性、可靠性和有效性。全部的工作有4個步驟：抓圖、抽取特征、比較和匹配。生物捕捉系統(tǒng)捕捉到生物特征的樣品，唯—的特征將會被提取并且被轉化成數字符號，這些符號被存成那個人的特征摸板，人們同識別系統(tǒng)交互進行身份認證，以確定匹配或不匹配。一、推斷題運行防病毒軟件可以援助預防受到網頁仿冒欺詐?！矊Α秤捎诰W絡釣魚通常利用垃圾郵件進行傳播，因此，各種反垃圾郵件的技術也都可以用來反網絡釣魚。〔對〕網絡釣魚的目標往往是細心選擇的一些電子郵件地址。〔對〕如果采納正確的用戶名和口令成功登錄網站，則證明這個網站不是仿冒的?！插e〕在來自可信站點的電子郵件中輸入個人或財務信息是平安的?！插e〕可以采納內容過濾技術來過濾垃圾郵件?！矊Α砐庫的大小和過濾的有效性是內容過濾產品非常重要的指標?！矊Α畴S著應用環(huán)境的復雜化和傳統(tǒng)平安技術的成熟，整合各種平安模塊成為信息平安領域的一個開展趨勢〔對〕9啟發(fā)式技術通過查找通用的非法內容特征，來嘗試檢測新形式和已知形式的才膚內容?！矊Α嘲酌麊畏桨敢?guī)定郵件接收者只接收自己所信賴的郵件發(fā)送者所發(fā)送過來的郵件〔。對〕實時X是簡單X的進一步開展，可以從根本上解決垃圾郵件問題?！插e〕二、單項選擇題以下不會援助減少收到的垃圾郵件數量的是一一一。使用垃圾郵件篩選器援助阻擋垃圾郵件.共享電子郵件地址或即時消息地址時應小心慎重安裝入侵檢測軟件收到垃圾郵件后向有關部門X參考答案：C三、多項選擇題以下郵件為垃圾郵件的有收件人無法拒收的電子郵件收件人事先預定的廣告、電子刊物等具有宣傳性質的電子郵件含有病毒、X、反動等不良信息或有害信息的郵件隱藏發(fā)件人身份、地址、標題等信息的電子郵件含有虛偽的信息源、發(fā)件人、路由等信息的電子郵件參考答案：ADE垃圾郵件帶來的危害有垃圾郵件占用很多互聯網資源垃圾郵件浪費廣闊用戶的時間和精力垃圾郵件提高了某些公司做廣告的效益垃圾郵件成為病毒傳播的主要途徑垃圾郵件迫使企業(yè)使用的操作系統(tǒng)參考答案：ABD網頁防篡改技術包含網站采納負載平衡技術B.防范網站、網頁被篡改C.訪問網頁時需要輸入用戶名和口令D.網頁被篡改后能夠自動恢復E采納HITPS協議進行網頁傳輸主參考答案：BD網絡釣魚常用的手段有利用垃圾郵件B.利用假冒網上銀行、網上證券網站C.利用虛偽的電子商務D.利用計算機病毒利用社會工程學參考答案：ABCDE內容過濾的目的包含阻擋不良信息對人們的侵害標準用戶的上網行為，提高工作效率預防敏感數據的泄漏遏制垃圾郵件的蔓延減少病毒對網絡的侵害參考答案：ABCDE7.內容過濾技術的應用領域包含A.防病毒B.網頁防篡改C.防火墻D.入侵檢測E.反垃圾郵件參考答案：ACDE一、推斷題防火墻是設置在內部網絡與外部網絡（如互聯網）之間，實施訪問操作策略的一個或一組系統(tǒng)。（對）軟件防火墻就是指個人防火墻。（錯）3?防火墻必需要提供VPN、NAT等功能。（錯）即使在企業(yè)環(huán)境中，個人防火墻作為企業(yè)縱深防范的一局部也是十分必要的。（對）只要使用了防火墻，企業(yè)的網絡平安就有了絕對的保證。（錯）防火墻規(guī)則集應該盡可能的簡單,-規(guī)則集越簡單，錯誤配置的可能性就越小，系統(tǒng)就越平安。（對）7?在一個有多個防火墻存在的環(huán)境中，每個連接兩個防火墻的計算機或網絡都是DMZ。（對）8?全部的漏洞都是可以通過打補丁來彌補的。（錯）9?通過網絡掃描，可以推斷目標主機的操作系統(tǒng)類型。（對）在計算機上安裝防病毒軟件之后，就不必擔憂計算機受到病毒攻擊。（錯）計算機病毒可能在用戶翻開"txt"文件時被啟動。（對）在平安模式下木馬程序不能啟動。（錯）大局部惡意網站所攜帶的病毒就是腳本病毒。（對）利用互聯網傳播已經成為了計算機病毒傳播的一個開展趨勢。（對）二、單項選擇題防火墻提供的接入模式不包含一一一。A.網關模式B.透明模式C.混合模式D.旁路接入模式參考答案：D2?下面關于DMZ區(qū)的說法錯誤的選項是通常DMZ包含同意來自互聯網的通信可進入的設備，如Web效勞器、FTP效勞器、SMTP效勞器和DNS效勞器等內部網絡可以無限制地訪問外部網絡以及DMZDMZ可以訪問內部網絡有兩個DMZ的防火墻環(huán)境的典型策略是主防火墻采納NAT方法工作，而內部防火墻采納透明模式工作以減少內部網絡結構的復雜程度參考答案：C下面病毒出現的時間最晚的類型是A.攜帶特洛伊術馬的病毒B.以網絡釣魚為目的的病毒C.通過網絡傳播的蠕蟲病毒D.OEice文檔攜帶的宏病毒參考答案：B不能預防計算機感染病毒的措施是定時備份重要文件經常更新操作系統(tǒng)除非確切了解附件內容，否則不要翻開電子郵件附件重要部門的計算機盡量專機專用與外界隔絕參考答案：A企業(yè)在選擇防病毒產品時不應該考慮的指標為產品能夠從一個中央位置進行遠程安裝、升級產品的誤報、漏報率較低產品提供詳細的病毒活動記錄產品能夠預防企業(yè)X信息通過郵件被傳出參考答案：D一、推斷題1.常見的操作系統(tǒng)包含DOS、UNIX、Linux、Windows、Netware、Oracle等?！插e〕2?操作系統(tǒng)在概念上一般分為兩局部:內核（Kernel）以及殼（Shell）,有些操作系統(tǒng)的內核與殼完全分開（如MicrosoftWindows、UNIX、Linux等）;另一些的內核與殼關系緊密（如UNIX、Linux等內核及殼只是操作層次上不同而已。〔錯〕域帳號的名稱在域中必須是唯—的，而且也不能和本地帳號名稱相同，否則會引起混亂。〔錯〕Windows防火墻能援助阻擋計算機病毒和蠕蟲進入用戶的計算機，但該防火墻不能檢測或去除已經感染計算機的病毒和蠕蟲〔對〕數據庫系統(tǒng)是一種封閉的系統(tǒng)，其中的數據無法由多個用戶共享?！插e〕數據庫平安只依靠技術即可保證?！插e〕通過采納各種技術和治理手段，可以獲得絕對平安的數據庫系統(tǒng)?！插e〕數據庫治理員擁有數據庫的一切權限。〔對〕完全備份就是對全部數據庫數據進行備份?！矊Α扯雾椷x擇題Windows系統(tǒng)的用戶帳號有兩種根本類型，分別是全局帳號和A.本地帳號B.域帳號C.X帳號D.局部帳號參考答案:AWindows系統(tǒng)安裝完后，默認情況下系統(tǒng)將產生兩個帳號，分別是治理員帳號和二一。A.本地帳號B.域帳號C.X帳號D.局部帳號參考答案:C計算機網絡組織結構中有兩種根本結構，分別是域和A.用戶組B.工作組C.本地組D.全局組參考答案:B4?某公司的工作時間是上午8點半至12點，下午1點至5點半，每次系統(tǒng)備份需要一個半小時，以下適宜作為系統(tǒng)數據備份的時間是一一一。A.上午8點B.中午12點C.下午3點D.凌晨1點參考答案:D5、.FTP（文件傳輸協議,FileTransferProtocol,簡稱HP）效勞、SMTP（簡單郵件傳輸協議,SimpleMailTransferProtocol,簡稱SMTP）效勞、HTTP（超文本傳輸協議,HyperTextTransportProtocol,簡稱HTTP）、HTIPS（加密并通過平安端口傳輸的另一種HTIm效勞分別對應的端口是A.252180554B.212580443C.2111080554D.2125443554參考答案:B三、多項選擇題操作系統(tǒng)的根本功能有A.處理器治理B.存儲治理C.文件治理D.設備治理參考答案:ABCDWindows系統(tǒng)中的用戶組包含A.全局組B.本地組C.特別組D.標準組參考答案:ABCWindows系統(tǒng)登錄流程中使用的系統(tǒng)平安模塊有平安帳號治理（SemrityAccountManager簡稱SAM）模塊Windows系統(tǒng)的注冊（Winhgon）模塊本地平安認證（LocalSecurityAuthority簡稱LSA）模塊平安引用監(jiān)控器模塊參考答案:ABC數據庫故障可能有A.磁盤故障B.事務內部的故障C.系統(tǒng)故障D.介質故障計算機病毒或惡意攻擊參考答案:ABCDE推斷題信息網絡的物理平安要從環(huán)境平安和設備平安兩個角度來考慮?！矊Α秤嬎銠C場地可以選擇在公共地域人流量比較大的地方。〔錯〕計算機場地可以選擇在化工廠生產車間附近?！插e〕計算機場地在正常情況下溫度保持在18~28攝氏度?！矊Α硻C房供電線路和動力、照明用電可以用同一線路?！插e〕只要手干凈就可以直接觸摸或者擦拔電路組件，不必有進一步的措施。〔錯〕由于傳輸的內容不同，電力線可以與網絡線同槽鋪設?！插e〕接地線在穿越墻壁、樓板和地坪時應套鋼管或其他非金屬的保護套管，鋼管應與接地線做電氣連通.〔對〕新添設備時應該先給設備或者部件做上明顯標記，最好是明顯的無法除去的標記,以防更換和方便查找贓物?！矊Α硻C房內的環(huán)境對粉塵含量沒有要求?！插e〕有很高使用價值或很高X程度的重要數據應采納加密等方法進行保護?！矊Α臣埥橘|資料廢棄應用碎紙機粉碎或焚毀?！矊Α骋?、填空題〔網絡平安策略〕是網絡平安系統(tǒng)的靈魂與核心，是我們?yōu)榱吮Ｗo網絡平安而制定的一系列法律、法規(guī)和措施的總和。網絡平安是指網絡系統(tǒng)的硬件、軟件及〔系統(tǒng)中的數據〕的平安。網絡平安體系是由〔網絡平安法律體系〕、網絡平安治理體系和網絡平安技術體系三局部組成的，它們相輔相成。網絡平安體系是由網絡平安法律體系、〔網絡平安治理體系〕和網絡平安技術體系三局部組成的，它們相輔相成。網絡平安〔保密性〕方面的特征指信息不泄露給非授權的用戶、實體及過程，或供其利用的特性。網絡平安〔完整性〕方面的特征指數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和喪失的特性。網絡平安〔可用性〕方面的特征指可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網絡環(huán)境下拒絕效勞、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。網絡平安〔可控性〕方面的特征指對信息的傳播及內容具有操作能力，可以操作授權范圍內的信息流向及行為方法。網絡平安〔可審查性〕方面的特征對出現的平安問題提供調查的依據和手段，用戶不能抵賴曾做出的行為，也不能否認曾經接到對方的信息。網絡平安〔可保護性〕方面的特征保護軟、硬件資源不被非法占有，免受病毒的侵害。二、簡答題網絡平安的定義和目標是什么？網絡平安的定義：網絡平安是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據的平安，它表達于網絡信息的存儲、傳輸和使用過程。所謂的網絡平安性就是網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網絡效勞不中斷。網絡平安的目標：確保網絡系統(tǒng)的信息平安。在網絡系統(tǒng)中，任何調用指令和任何信息反響均是通過網絡傳輸完成的，所以網絡信息傳輸上的平安就顯得特別重要。信息的傳輸平安主要是指信息在動態(tài)傳輸過程中的平安。保證網絡信息傳輸平安需要注意哪些問題？為確保網絡信息的傳輸平安，尤其需要預防如下5個問題?！?〕截獲對網上傳輸的信息，攻擊者只需在網絡的傳輸鏈路上通過物理或邏輯的手段，就能對數據進行非法的截獲〔Interception〕與監(jiān)聽，進而得到用戶或效勞方的敏感信息?！?〕偽造對用戶身份偽造〔Fabrication〕這一常見的網絡攻擊方法，傳統(tǒng)的對策一般采納身份認證方法來進行防護，但是，用于用戶身份認證的密碼在登錄時常常是以明文的方法在網絡上進行傳輸的，很簡單被攻擊者在網絡上截獲，進而可以對用戶的身份進行仿冒，使身份認證機制被攻破。身份認證的密碼90％以上是用代碼形式傳輸的?！?〕篡改攻擊者有可能對網絡上的信息進行截獲并且篡改Modification〕其內容〔增加、截去或改寫〕，使用戶無法獲得X、有用的信息或落入攻擊者的陷阱。〔4〕中斷攻擊者通過各種方法，中斷〔Interruption〕用戶的正常通信，到達自己的目的?！?〕重發(fā)信息重發(fā)〔Repeat〕的攻擊方法，即攻擊者截獲網絡上的密文信息后，并不將其破譯，而是把這些數據包再次向有關效勞器〔如銀行的交易效勞器〕發(fā)送，以完成惡意的目的。網絡平安威脅包含哪些內容？網絡存在的威脅主要表現在以下幾個方面?！?〕非授權訪問：沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統(tǒng)進行違法操作、合法用戶以未授權方法進行操作等?！?〕信息泄漏或喪失：指敏感數據在有意或無意中被泄漏出去或喪失，它通常包含信息在傳輸中喪失或泄漏〔如黑客們利用電磁泄漏或搭線竊聽等方法可截獲X信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息和不良網站〕，信息在存儲介質中喪失或泄漏，通過建立隱蔽隧道等竊取敏感信息等?！?〕破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。〔4〕拒絕效勞攻擊：它不斷對網絡效勞系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統(tǒng)或不能得到相應的效勞?！?〕利用網絡傳播病毒：通過網絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。請簡述網絡平安問題的原因?！?〕泄密竊密危害加大?！?〕核心設備平安漏洞或后門難以防控。〔3〕病毒泛濫防不勝防?！?〕網絡攻擊從技術炫耀轉向利益驅動網絡平安防護的主要方法有哪些？〔1〕物理平安策略：物理平安策略的目的是保護計算機系統(tǒng)、網絡效勞器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、預防用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的平安治理制度，預防非法進入計算機操作室和各種偷竊、破壞活動的發(fā)生。〔2〕訪問操作策略：訪問操作是網絡平安防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它主要由入網訪問操作、網絡的權限操作、目錄級平安操作、屬性平安操作、網絡效勞器平安操作、網絡檢測和鎖定操作和網絡端口和結點的平安操作組成。〔3〕防火墻操作：防火墻是近期開展起來的一種保護計算機網絡平安的技術性措施，它是一個用以阻擋網絡中的黑客訪問某個機構網絡的屏障，也可稱之為操作進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監(jiān)控系統(tǒng)來隔離內部和外部網絡以阻擋外部網絡的侵入。當前主流的防火墻主要分為三類：濾防火墻、代理防火墻和雙穴主機防火墻?！?〕信息加密策略：網絡加密常用的方法有鏈路加密、端點加密和結點加密三種。鏈路加密的目的是保護網絡結點之間的鏈路信息平安；端點加密的目的是對源端用戶到目的端用戶的數據提供保護；結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供保護。信息加密過程是由多種多樣的加密算法來具體實施的，它以很小的代價提供很大的平安保護在多數情況下，信息加密是保證信息X性的唯—方法。據不完全統(tǒng)計，到目前為止，已經公開發(fā)表的各種加密算法多達數百種。主要分為常規(guī)加密算法和公鑰加密算法?！?〕網絡平安治理策略：在網絡平安中，除了采納上述技術措施之外，加強網絡的平安治理，制定有關規(guī)章制度，對于確保網絡的平安、可靠地運行，將起到十分有效的作用網絡的平安治理策略包含：確定平安治理等級和平安治理范圍；制訂有關網絡操作使用規(guī)程和人員出入機房的治理制度；制訂網絡系統(tǒng)的維護制度和應急措施等。一、填空題古典密碼的兩個根本工作原理是代換和〔置換〕。古典密碼中凱撒密碼的加密工作原理采納的是的〔代換〕。〔代換密碼〕的主要思想是通過符號的簡單替換而到達掩蓋明文信息的目的，也就是將明文中的字母由其他字母、數字或者符號取代的一種方法，其中的替代方案就稱為〔密鑰〕?！捕啾泶鷵Q〕使用從明文字母到密文字母的多個映射來隱藏字母出現的頻率分布，明文字符和密文字符的關系是一對多的。通過重新排列消息中元素的位置而不改變元素本身來變換一個消息的密碼方案稱為〔置換密碼〕?！擦髅艽a體制〕以簡潔、快速的特點，成為新一代移動通信的主流加密算法?！睤ES〕密碼算法是1977年由美國國家標準局公布的第一個分組密碼算法。DES在國際通信保密舞臺上生動了25年后，在21世紀初被新的數據加密標準〔AES〕取代。RSA非對稱密碼體制的平安性依賴于〔大整數分解〕的困難性。公鑰密碼系統(tǒng)中，信息發(fā)送方用接收方的〔公鑰〕加密報文，則只有接收者可以用自己的〔私鑰〕解密該信息。二、簡答題如何理解分組密碼的設計思想中擴散？通常如何完成擴散？擴散是將明文組及密鑰組的影響迅速地散布到輸出的密文組中，通常通過置換〔Permutation〕的方法來完成擴散。多表代換密碼相比單表代換密碼有什么優(yōu)點？多表代換使用從明文字母到密文字母的多個映射來隱藏字母出現的頻率分布，明文字符和密文字符的關系是一對多的，在隱藏言語字母的頻率上是有優(yōu)勢的，它使得攻擊者不能用單字母頻率統(tǒng)計來破解密文。設計分組密碼算法的核心技術是什么？復雜函數是通過簡單函數迭代假設干輪而完成的，通過簡單的輪函數及置換等運算，充分利用非線性運算，完成加、解密目的。流密碼的主要思想是什么，其密鑰流有什么特點？流密碼的根本思想是加密和解密運算每次只處理一個符號，可以是一個字符或一個比特。理想的流密碼屬于一次一密的密碼體制，其中使用的密鑰流的長度與消息流長度相同。分組密碼工作模式中的電碼本模式如何工作？電碼本模式是最簡單的工作模式，該模式將輸入的消息分成肯定比特長度的分組〔將最后的分組填充〕，使用秘密密鑰加密每個分組。另一端在接收到加密的分組后，解密每個分組并得到初始消息。一、填空題數字簽名技術是以〔公鑰密碼〕體制為根底而開展和成熟起來的?！睷SA公鑰密碼體制〕是第—個可用于數字簽名的公鑰密碼體制。消息認證是使消息的接收者能夠檢驗〔收到的消息是否是真實〕的認證方法。身份認證中，了解某事是指〔一個只有要被驗證的原告才了解的秘密〕。身份認證中，擁有某事是指〔一些可以提供原告你的證件明的材料〕。身份認證中，固有某事是指〔具有原告的一些本質特征〕。DSS規(guī)定了〔DSA〕算法與SHA哈希函數結合使用以完成數字簽名數據文件的接收者可以利用〔簽名者的公鑰〕作用于數字簽名上，以驗證數據文件的真實性、完整性。單向認證是指〔只對其中的一個主體的身份進行認證〕。目前常用的生物特征識別技術所用的生物特征有基于生理特征的，如〔人臉〕、〔指紋〕、〔虹膜〕。二、簡答題公鑰密碼為什么能夠用于數字簽名？〔不確定）公鑰密碼技術是通過公鑰根底設施〔PKI〕確立用戶彼此用戶的信托。PKI能夠為根底平臺上的全部網絡用戶透明地提供采納加密和數字簽名等密碼學技術所必需的密鑰和證書治理，能夠為系統(tǒng)中的信息傳遞提供X性、真實性、完整性、不可否認性的四大技術支持，成為保證網上交易與信息傳遞平安的有效平臺。公鑰密碼為什么能夠用于身份認證？公鑰密碼技術是通過公鑰根底設施〔PKI〕確立用戶彼此用戶的信托。PKI的組成中有一個認證機構CA,有了認證機關CA簽發(fā)的公鑰證書，網絡用戶就可以讓需要通信的對方了解他的公鑰，同時對方還必須能夠驗證公鑰的合法性，即必須能夠拒絕偽造的公鑰。因此，公要密碼能夠用于身份認證。數據源認證有哪些特征？數據源認證包含從發(fā)送者到接收者的消息傳輸過程，接收者在接收時會驗證消息；接收方執(zhí)行消息驗證的目的在于確認消息發(fā)送者的身份；確認在原消息離開消息發(fā)送者之后的數據完整性以及確認消息傳輸的“活現性〞。在身份認證中，原告可以使用哪些證據來向驗證者證明自己的身份并以現實生活中的實例說明？原告可以使用三種類型的證據來完成：了解某事、擁有某事、固有某事，向驗證者證明自己的身份。消息認證的目的是什么？消息認證的目的有兩個：其一是消息源的認證，即驗證消息的X是真實的；其二是消息的認證，即驗證信息在傳送過程中未被篡改。一、填空題1?按照網絡攻擊技術的分類，DoS是典型的〔堵塞類〕攻擊。網絡攻擊技術中的〔操作〕類網絡攻擊試圖獲得對目標機器的操作權。3?無漏洞滲透技術的研究重點是在欺騙成功之后，對〔數據包〕的處理?！差l率分析〕是破解經典密碼的一個根本方法。5?對于密碼分析的結果來說，〔完全破解〕是指攻擊者獲得秘密鑰匙。對于密碼分析的結果來說〔，全局演繹〕是指攻擊者獲得一個和加密與解密相當的算法。對于密碼分析的結果來說，〔分辯算法〕是指攻擊者能夠區(qū)別加密算法和隨機排列。密碼被分析復原對系統(tǒng)來說是災難性的，所以用戶肯定要養(yǎng)成〔經常修改密碼〕的好習慣，并設置強度足夠的密碼以預防一般性的分析復原攻擊。密碼破解并不考慮待破解密碼本身，而是通過〔猜解或者直接破壞原密碼的密碼驗證機制〕來到達和密碼分析一樣的最終效果，或者是密碼對應的權限。DoS攻擊的目的是〔阻擋用戶利用資源〕。二、簡答題什么是黑客？黑客被人們視為通過制造性方法來統(tǒng)戰(zhàn)腦力極限的人黑客攻擊的動機都有哪些？好奇心理2.挑戰(zhàn)性。3.報復心理4，經濟利益5，政治目的，6.情報獵取黑客攻擊的流程是什么？黑客攻擊一個系統(tǒng)的流程一般來說分為以下的五個階段：偵察、掃描、獲得訪問、維持訪問和擦除蹤跡。4?什么是DoS攻擊拒絕效勞〔DenialofServer,DoS〕攻擊是一種常用的攻擊方法。DoS攻擊廣義上可以指任何導致效勞器不能正常提供效勞的攻擊。確切地說，DoS攻擊即成心攻擊網絡協議的缺陷或直接通過各種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的效勞，使目標系統(tǒng)停止響應甚至崩潰。這些效勞資源包含網絡帶寬、文件系統(tǒng)空間容量、放開的進程或者同意的連接等。5?洪水式DoS攻擊的根本原理是什么？洪水式攻擊的根本原理是讓被攻擊效勞器充滿大量要求回復的信息，消耗網絡帶寬或系統(tǒng)資源，導致網絡或系統(tǒng)不堪負荷以至由于癱瘓而停止提供正常的網絡效勞。一、填空題1、〔漏洞〕是在硬件、軟件、協議的具體完成或系統(tǒng)平安策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。2、掃描又可以劃分為三個不同的階段，即覺察目標、〔搜集信息〕和漏洞檢測。3、ICMP報文的前兩個字節(jié)說明報文的〔類型〕。4、ICMP報文的第三個和第四個字節(jié)是ICMP報文的〔校驗〕和字段。5、通常網絡上收到ICMP回顯請求的主機都會向請求者發(fā)送〔ICMP回顯應答〕〔類型為0〕報文。6、如果發(fā)送者接收到來自目標的ICMP回顯應答，就能了解〔目標目前處于〕活動狀態(tài)7、如果發(fā)送者接收不到來自目標的ICMP回顯應答，就可以初步推斷〔主機不可達或發(fā)送的包被對方的設備過濾掉〕。8、ICMP掃描的缺點是〔很簡單被防火墻限制〕。9、播送ICMP利用的是〔ICMP回顯請求〕和ICMP回顯應答這兩種報文。10、掃描端口的目的是為了獵取目標主機提供的效勞信息，通過效勞器放開的〔端口號〕。二、簡答題1．什么是漏洞？漏洞是在硬件、軟件、協議的具體完成或系統(tǒng)平安策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。在計算機平安領域，平安漏洞〔SecurityHole〕通常又稱為脆弱性〔Vulnerability〕，是計算機系統(tǒng)在硬件、軟件、協議的設計和完成過程中或系統(tǒng)平安策略上存在的缺陷或缺少，未授權用戶可以利用漏洞獲得對系統(tǒng)或者資源的額外權限，獵取原本不能獵取的信息，從而破壞信息的平安性。脆弱〔Vulnerable〕狀態(tài)是指能夠使用已授權的狀態(tài)變換到達未授權狀態(tài)的已授權狀態(tài)?；蛘哒f脆弱性可以使黑客通過一種已經獲得的權限暴力升級到更高的權限。2．漏洞檢測的方法分為哪幾種？直接測試〔Test〕：直接測試是指利用漏洞特點覺察系統(tǒng)漏洞的方法。要找出系統(tǒng)中的常見漏洞，最顯而易見的方法就是試圖滲透漏洞。滲透測試是指使用針對漏洞特點設計的腳本或者程序檢測漏洞。依據滲透方法的不同，可以將測試分為兩種不同的類型：可以直接觀察到的測試和只能間接觀察到的測試。推斷〔Inference〕：推斷是指不利用系統(tǒng)漏洞而推斷漏洞是否存在的方法。它并不直接滲透漏洞，只是間接地尋找漏洞存在的證據。采納推斷方法的檢測手段主要有版本檢查〔VersionCheck〕、程序行為分析、操作系統(tǒng)堆棧指紋分析和時序分析等。帶憑證的測試〔TestwithCredentials〕：憑證是指訪問效勞所需要的用戶名或者密碼，包含UNIX的登錄權限和從網絡調用WindowsNT的API的能力。帶憑證的測試定義是：除了目標主機IP地址以外，直接測試和推斷兩種方法都不需要其他任何信息3．主動掃描有什么優(yōu)缺點？主動掃描是傳統(tǒng)的掃描方法，擁有較長的開展歷史，它是通過給目標主機發(fā)送特定的包并搜集回應包來取得相關信息的。當然，無響應本身也是信息，它說明可能存在過濾設備將探測包或探測回應濾了。主動掃描的優(yōu)勢在于通常能較快獵取信息，X性也比較高。缺點在于，易于被覺察，很難掩蓋掃描痕跡；而且要成功實施主動掃描通常需要突破防火墻，但突破防火墻是很困難的。被動掃描是通過監(jiān)聽網絡包來取得信息。由于被動掃描具有很多優(yōu)點，近年來備受重視，其主要優(yōu)點是對它的檢測幾乎是不可能的。被動掃描一般只需要監(jiān)聽網絡流量而不需要主動發(fā)送網絡包，也不易受防火墻影響。而其主要缺點在于速度較慢，而且X性較差，當目標不產生網絡流量時就無法得知目標的任何信息。4．被動掃描有什么優(yōu)缺點？被動掃描是通過監(jiān)聽網絡包來取得信息。由于被動掃描具有很多優(yōu)點，近年來備受重視，其主要優(yōu)點是對它的檢測幾乎是不可能的。被動掃描一般只需要監(jiān)聽網絡流量而不需要主動發(fā)送網絡包，也不易受防火墻影響。而其主要缺點在于速度較慢，而且X性較差，當目標不產生網絡流量時就無法得知目標的任何信息。5．ICMP掃描的原理是什么？有什么優(yōu)缺點作為IP協議一個組成局部，ICMP用來傳遞過失報文和其他需要注意的信息。一般使用最多的是用戶的Pingo如果發(fā)送者接收到來自目標的ICMP回顯應答，就能了解目標目前處于活動狀態(tài)，否則可以初步推斷主機不可達或發(fā)送的包被對方的設備過濾掉。使用這種方X詢多個主機的方法稱為ICMP掃描。該掃描的優(yōu)點是：簡單、系統(tǒng)支持。缺點是：很簡單被防火墻限制。一、填空題1、Internet的平安是指互聯網絡的平安，它主要包含網上的〔數據信息平安〕和網絡設備效勞的運行平安。2、網絡面臨的平安威脅可分為兩種：一是對網絡數據的威脅；二是對〔網絡設備〕的威脅。3、Web效勞的平安威脅分為四類：完整性、保密性、〔拒絕效勞〕和認證鑒別。4、目前互聯網的攻擊分為主動攻擊和〔被動攻擊）兩大類。5、SSL協議的目標是提供兩個應用間通信的（保密性和可靠性）。6、（域名系統(tǒng)）是將域名和IP地址相互映射的一個分布式數據庫，提供主機名字和IP地址之間的轉換信息。7、IPv6解決了IP地址（數量短缺）的問題8、局域網內的DNS欺騙是基于（ARP）欺騙之上的網絡攻擊。9、AH可以增加IP數據報的（平安性）。10、AH協議提供無連接的完整性、數據源認證和（防重放）保護效勞。二、簡答題1．網絡面臨的平安威脅主要有哪些方面？網絡面臨的平安威脅可分為兩種：一是對網絡數據的威脅；二是對網絡設備的威脅。概括起來主要威脅包含以下幾個方面：1〕由自然力造成的非人為的數據喪失、設備失效、線路阻斷。2〕人為但屬于操作人員無意的失誤造成的數據喪失。3〕來自外部和內部人員的惡意攻擊和入侵。2?【答案不確定】請結合自己的認識，簡述一下Internet面臨的平安威脅。網絡面臨的平安威脅可分為兩種：一是對網絡數據的威脅；二是對網絡設備的威脅。概括起來主要威脅包含以下幾個方面。1〕由自然力造成的非人為的數據喪失、設備失效、線路阻斷。2〕人為但屬于操作人員無意的失誤造成的數據喪失。3〕來自外部和內部人員的惡意攻擊和入侵。3．Web效勞有哪些方面的平安隱患？可用的預防策略都是哪些？〔1〕主動攻擊：主動攻擊是指攻擊者通過有選擇的修改破壞數據流以到達其非法目的，可以歸納為中斷、篡改和偽造?！?〕被動攻擊：被動攻擊主要是指攻擊者監(jiān)聽網絡上的信息流，從而獵取信息的內容。防患策略：〔1〕網絡層：IPSec可提供端到端的平安機制，可對數據包進行平安處理，支持數據加密可確保資料的完整性?！?〕傳輸層：完成數據的平安傳輸可采納SSL和TLS,傳輸層平安〕來提供平安效勞?！?〕應用層：完成通信平安的標準有SET、S/MIME、PGP，可以在相應的應用中提供X性、完整性和不可抵賴性等平安效勞。4．SSL的目標是什么，可提供的根本平安效勞？SSL協議的目標是提供兩個應用間通信的保密性和可靠性，可在效勞器和客戶端同時完成支持?？商峁┑母酒桨残谟校盒畔⒈Ｃ?、信息完整性、相互認證5．SSL握手協議的四個階段各完成什么工作？SSL握手協議包含以下四個階段。1〕發(fā)起階段客戶端發(fā)送一個Client-Hello消息并等待，效勞器發(fā)送一個Server-Hello消息。2〕效勞器認證和密鑰交換階段效勞器發(fā)送自己的證書，然后發(fā)送可選的Server-Key-Exchange消息，接著發(fā)送Certificate-Request消息，向客戶端請求一個證書，最后效勞器發(fā)送Server-Hello-Done消息，并等待客戶端應答。3〕客戶端認證和密鑰交換階段客戶端收到Server-Hello-Done消息后，驗證效勞器提供的證書，發(fā)送客戶端證書，然后依據密鑰交換的類型發(fā)送Client-Key-Exchange消息，最后發(fā)送一個包含對前面全部消息簽名的Certificate-Verify消息。4〕結束階段客戶端發(fā)送Change-Cipher-Spec消息，告知協商得到的密碼算法列表，然后用新的算法和密鑰參數發(fā)送一個Finished消息，以檢驗密鑰交換和認證過程是否已經成功。效勞器同樣發(fā)送Change-Cipher-Spec和Finished消息。一、填空題1、在通用入侵檢測模型中，〔行為特征〕表是整個檢測系統(tǒng)的核心，它包含了用于計算用戶行為特征的全部變量。2、依據入侵檢測模型，入侵檢測系統(tǒng)的原理可分為異常檢測原理和〔誤用檢測〕原理。3、第—代入侵檢測技術采納〔主機日志分析〕、〔模式匹配〕的方法；4、一個入侵檢測系統(tǒng)至少包含〔事件提取〕、入侵分析、入侵響應和遠程治理四局部功能。5、第三代入侵檢測技術引入了協議分析、〔行為異?！撤治龅确椒?。6、在通用入侵檢測模型中，〔事件產生器〕可依據具體應用環(huán)境而有所不同，一般來自審計記錄、網絡數據包以及其他可視行為，這些事件構成了入侵檢測的根底。7、在通用入侵檢測模型中，〔規(guī)則模塊〕可以由系統(tǒng)平安策略、入侵模式等組成，8、在通用入侵檢測模型中，〔規(guī)則模塊〕可以為推斷是否入侵提供參考機制。9、依據入侵檢測模型，入侵檢測系統(tǒng)的原理分為異常檢測原理和〔誤用檢測原理〕。10、〔異?！硻z測原理依據假設攻擊與正常的〔合法的〕活動有很大的差異來識別攻擊二、簡答題1、什么是網絡入侵檢測？網絡入侵檢測是從計算機網絡或計算機系統(tǒng)中的假設干關鍵點搜集信息并對其進行分析，從中覺察網絡或系統(tǒng)中是否有違反平安策略的行為和遭到突擊的跡象的一種機制2、入侵檢測技術至今已經歷三代：第—代技術采納主機日志分析、模式匹配的方法；第二代技術出現在20世紀90年代中期，主要包含網絡數據包截獲、主機網絡數據和審計數據分析、基于網絡的入侵檢測和基于主機的入侵檢測等方法；第三代技術出現在202X年前后，引入了協議分析、行為異常分析等方法。3、基于異常檢測原理的入侵檢測方法和技術有如下幾種方法。1〕統(tǒng)計異常檢測方法。2〕特征選擇異常檢測方法。3〕基于貝葉斯推理的異常檢測方法。4〕基于貝葉斯網絡的異常檢測方法。5〕基于模式預測的異常檢測方法。4、基于誤用檢測原理的入侵檢測方法和技術主要有如下幾種。1〕基于條件的概率誤用檢測方法。2〕基于專家系統(tǒng)的誤用檢測方法。3〕基于狀態(tài)遷移分析的誤用檢測方法。4〕基于鍵盤監(jiān)控的誤用檢測方法。5〕基于模型的誤用檢測方法。5、目前，先進的入侵檢測系統(tǒng)的完成方法有哪些？基于概率統(tǒng)計模型的檢測、基于神經網絡的檢測、基于專家系統(tǒng)的檢測、基于模型推理的檢測和基于免疫的檢測等技術。一、填空題1、〔誤用〕檢測原理是指依據已經了解的入侵方法來檢測入侵。2、當實際使用檢測系統(tǒng)時，首先面臨的問題就是決定應該在系統(tǒng)的什么位置安裝檢測和分析入侵行為用的〔感應器Sensor或檢測引擎Engine〕。3、基于概率統(tǒng)計的檢測技術優(yōu)越性在于它應用了成熟的〔概率統(tǒng)計理論〕。4、在入侵檢測系統(tǒng)中，〔數據分析〕是入侵檢測的核心。5、數據分析有模式匹配、統(tǒng)計分析和完整性分析三種手段，其中〔完整性分析〕則用于事后分析。6、入侵檢測系統(tǒng)中〔事件提取〕功能負責提取與被保護系統(tǒng)相關的運行數據或記錄，并負責對數據進行簡單的過濾。7、入侵檢測系統(tǒng)中〔入侵分析〕的任務就是在提取到的運行數據中找出入侵的痕跡，將授權的正常訪問行為和非授權的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進行定位。8、入侵檢測系統(tǒng)中入侵響應功能在〔分析出入侵行為〕后被觸發(fā)。9、從數據X角度分類，入侵檢測系統(tǒng)有三種根本結構：基于網絡、基于主機和〔分布式〕入侵檢測系統(tǒng)。10、基于網絡的入侵檢測系統(tǒng)數據X于〔網絡上〕的數據流。二、簡答題1、什么是基于概率統(tǒng)計的檢測技術，有什么優(yōu)缺點？是對用戶歷史行為建立模型。依據該模型，當覺察有可疑的用戶行為發(fā)生時保持跟蹤，并監(jiān)視和記錄該用戶的行為。這種方法的優(yōu)越性在于它應用了成熟的概率統(tǒng)計理論；缺點是由于用戶的行為非常復雜，因而要想X地匹配一個用戶的歷史行為非常困難，易造成系統(tǒng)誤報、錯報和漏報；定義入侵閾值比較困難，閾值高則誤檢率增高，閾值低則漏檢率增高。2、入侵檢測系統(tǒng)執(zhí)行的主要任務有哪些？包含：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數據文件的完整性；審計、跟蹤治理操作系統(tǒng)，識別用戶違反平安策略的行為。3、入侵檢測中信息搜集的內容都有哪些，這些信息的X—般有哪些？包含系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng)日志、目錄以