2022年信息安全試題答案題庫

題庫

一、選擇

1.密碼學的目的是(C)。

A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密

C.研究數(shù)據(jù)保密D.研究信息安全

2.從襲擊方式辨別襲擊類型，可分為被動襲擊和積極襲擊。被動襲擊難以(C),然而(C)

這些襲擊是可行的；積極襲擊難以(C),然而(C)這些襲擊是可行的。

A.制止，檢測，制止，檢測B.檢測，制止，檢測，制止

C.檢測,制止,制止,檢測D.上面3項都不是

3.數(shù)據(jù)保密性安全服務的基本是(D)o

A.數(shù)據(jù)完整性機制B.數(shù)字簽名機制

C.訪問控制機制D.加密機制

4.數(shù)字簽名要預先使用單向Hash函數(shù)進行解決的因素是(C)o

A.多一道加密工序使密文更難破譯

B.提高密文的計算速度

C.縮小簽名密文的長度，加快數(shù)字簽名和驗

證簽名時運算速度

D.保證密文能對歐I還原成明文

5.基于通信雙方共同擁有的但是不為別人懂得的秘密，運用計算機強大的計算能力，以該

秘密作為加密和解密的密鑰的認證是(C)。

A.公鑰認證B.零知識認證

C.共享密鑰認證D.口令認證

6.為了簡化管理，一般對訪問者(A),以避免訪問控制表過于龐大。

A.分類組織成組B.嚴格限制數(shù)量

C.按訪問時間排序，刪除長期沒有訪問的顧客

D.不作任何限制

7.PKI管理對象不涉及(A)o

A.ID和口令B.證書

C.密鑰D.證書撤銷

8.下面不屬于PKI構成部分的是(D)o

A.證書主體B.使用證書的應用和系統(tǒng)

C.證書權威機構D.AS

9.IKE協(xié)商的第一階段可以采用(C)o

A.主模式、迅速模式B.迅速模式、積極模式

C.主模式、積極模式D.新組模式

10.AH合同和ESP合同有(A)種工作模式。

A.二B.三C.四D.五

11.(C)屬于Web中使用的安全合同。

A.PEM、SSLB.S-HTTP、S/MIME

C.SSL、S-HTTPD.S/MIME、SSL

12.包過濾型防火墻原理上是基于(C)進行分析的技術。

A.物理層B.數(shù)據(jù)鏈路層

C.網絡層D.應用層

13.VPN的加密手段為(C)。

A.具有加密功能的防火墻

B.具有加密功能的路由器

C.VPN內的各臺主機對各自的信息進行相應的加密

D.單獨的加密設備

14.(B)通過一種使用專用連接的共享基本設施，連接公司總部、遠程辦事處和分支機構。

A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN

15.(C)通過一種使用專用連接的共享基本設施，將客戶、供應商、合伙伙伴或感愛好的

群體連接到公司內部網。

A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN

16.計算機病毒是計算機系統(tǒng)中一類隱藏在(C)上蓄意破壞的搗亂程序。

A.內存B.軟盤C.存儲介質D.網絡

17.“公開密鑰密碼體制”的含義是(C)?

A.將所有密鑰公開B.將私有密鑰公開，公開密鑰保密

C.將公開密鑰公開，私有密鑰保密D.兩個密鑰相似

18.”會話偵聽和劫持技術”是屬于(B)的技術。

A.密碼分析還原B.合同漏洞滲入

C.應用漏洞分析與滲入D.DOS襲擊

19.襲擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息

重新發(fā)往B稱為(D)o

A.中間人襲擊B.口令猜想器和字典襲擊

C.強力襲擊D.回放襲擊

20.在ISO/OSI定義的安全體系構造中，沒有規(guī)定(E)o

A.對象認證服務B.數(shù)據(jù)保密性安全服務

C.訪問控制安全服務D.數(shù)據(jù)完整性安全服務

E.數(shù)據(jù)可用性安全服務

21.Kerberos在祈求訪問應用服務器之前，必須(A)。

A.向TicketGranting服務器祈求應用服務器ticket

B.向認證服務器發(fā)送規(guī)定獲得“證書”的祈求

C.祈求獲得會話密鑰

D.直接與應用服務器協(xié)商會話密鑰

22.下列對訪問控制影響不大的是(D)o

A.主體身份B.客體身份

C.訪問類型D.主體與客體的類型

23.PKI的重要構成不涉及(B)o

A.證書授權CAB.SSL

C.注冊授權RAD.證書存儲庫CR

24.(A)合同必須提供驗證服務。

A.AHB.ESPC.GRED.以上皆是

25.下列選項中可以用在網絡層的合同是(D)。

A.SSLB.PGPC.PPTPD.IPSec

26、(A)合同是一種用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重播保護的機制，但

不提供數(shù)據(jù)機密性保護。

A.AH合同B.ESP合同C.IPSec合同D.PPTP合同

27.IPSec合同中負責對IP數(shù)據(jù)報加密的部分是(A)o

A.封裝安全負載(ESP)B.鑒別包頭(AH)

C.Internet密鑰互換(IKE)D.以上都不是

28.SSL產生會話密鑰的方式是(C)o

A.從密鑰管理數(shù)據(jù)庫中祈求獲得

B.每一臺客戶機分派一種密鑰的I方式

C.隨機由客戶機產生并加密后告知服務器

D.由服務器產生并分派給客戶機

29.為了減少風險，不建議使用的IInternet服務是（D）。

A.Web服務B.外部訪問內部系統(tǒng)

C.內部訪問InternetD.FTP服務

30.火墻用于將Internet和內部網絡隔離，（B）。

A.是避免Internet火災的I硬件設施

B.是網絡安全和信息安全的軟件和硬件設施

C.是保護線路不受破壞的軟件和硬件設施

D.是起抗電磁干擾作用的硬件設施

31.屬于第二層的VPN隧道合同有（B）。

A.IPSecB.PPTPC.GRED.以上皆不是

32.不屬于隧道合同的是（C）。

A.PPTPB.L2TPC.TCP/IPD.IPSec

33.PPTP和L2TP最適合于（D）。

A.局域網B.公司內部虛擬網

C.公司擴展虛擬網D.遠程訪問虛擬專用網

34.A方有一對密鑰（KA公開，KA秘密），B方有一對密鑰（KB公開，KB秘密），A方向B

方發(fā)送數(shù)字簽名M,對信息M加密為：M'=KB公開（KA秘密（M））。B方收到密文的解密方

案是

(C)o

A.KB公開(KA秘密(M'))B.KA公開(KA公開(M'))

C.KA公開(KB秘密(M'))D.KB秘密(KA秘密(M,))

35.從安全屬性對多種網絡襲擊進行分類，阻斷襲擊是針對(B)的襲擊。

A.機密性B.可用性C.完整性D.真實性

11.襲擊者用傳播數(shù)據(jù)來沖擊網絡接口，使服務器過于繁忙以至于不能應答祈求的襲擊方

式是(A)o

A.回絕服務襲擊B.地址欺騙襲擊

C.會話劫持D.信號包探測程序襲擊

36.(D)不屬于ISO/OSI安全體系構造的安全機制。

A.通信業(yè)務填充機制B.訪問控制機制

C.數(shù)字簽名機制D.審計機制E.公證機制

37.CA屬于ISO安全體系構造中定義的j(D)o

A.認證互換機制B.通信業(yè)務填充機制

C.路由控制機制D.公證機制

38.訪問控制是指擬定(A)以及實行訪問權限的過程。

A.顧客權限B.可予以哪些主體訪問權利

C.可被顧客訪問的資源D.系統(tǒng)與否遭受入侵

39.PKI支持的服務不涉及(D)o

A.非對稱密鑰技術及證書管理B.目錄服務

C.對稱密鑰的產生和分發(fā)D.訪問控制服務

40.AH合同中必須實現(xiàn)的驗證算法是(A)=

A.HMAC-MD5和HMAC-SHA1B.NULL

C.HMAC-RIPEMD-160D.以上皆是

41.對動態(tài)網絡地址互換(NAT),不對時的說法是(B)。

A.將諸多內部地址映射到單個真實地址

B.外部網絡地址和內部地址一對一的映射

C.最多可有64000個同步的|動態(tài)NAT連接

D.每個連接使用一種端口

42.GRE合同的乘客合同是(D)o

A.IPB.IPXC.AppleTalkD.上述皆可

43.目前，VPN使用了(A)技術保證了通信的安全性。

隧道合同、身份認證和數(shù)據(jù)加密

身份認證、數(shù)據(jù)加密

隧道合同、身份認證

隧道合同、數(shù)據(jù)加密

44.IPSecVPN不太合用于(C),

已知范疇的IP地址的網絡

固定范疇的IP地址的網絡

動態(tài)分派IP地址的網絡

TCP/IP合同的網絡

45.假設使用一種加密算法，它的加密措施很簡樸：將每一種字母加5,即a加密成f。這

種算法的密鑰就是5,那么它屬于(A)o

A.對稱加密技術B.分組密碼技術

C.公鑰加密技術D.單向函數(shù)密碼技術

46.從安全屬性對多種網絡襲擊進行分類，截獲襲擊是針對(A)的襲擊。

A.機密性B.可用性C.完整性D.真實性

47.最新的研究和登記表白，安全襲擊重要來自(B)。

A.接入網B.公司內部網C.公用IP網D.個人網

48.用于實現(xiàn)身份鑒別的安全機制是(A)o

A.加密機制和數(shù)字簽名機制

B.加密機制和訪問控制機制

C.數(shù)字簽名機制和路由控制機制

D.訪問控制機制和路由控制機制

49.身份鑒別是安全服務中的重要一環(huán)，如下有關身份鑒別論述不對時的是(B)。

A.身份鑒別是授權控制的基本

B.身份鑒別一般不用提供雙向的認證

C.目前一般采用基于對稱密鑰加密或公開密鑰加密的措施

D.數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制

50.PKI可以執(zhí)行的功能是(A)和(C)o

A.鑒別計算機消息的始發(fā)者B.確認計算機的物理位置

C.保守消息的機密D.確認顧客具有的安全性特權

51.IKE合同由(A)合同混合而成。

A.ISAKMP、Oakley、SKEMEB.AH、ESP

C.L2TP、GRED.以上皆不是

52.一般而言，Internet防火墻建立在一種網絡的|(C)。

A.內部子網之間傳送信息的中樞

B.每個子網的I內部

C.內部網絡與外部網絡的交叉點

D.部分內部網絡與外部網絡的結合處

53.VPN的英文全稱是（B）o

A.VisualProtocolNetworkB.VirtualPrivateNetwork

C.VirtualProtocolNetworkD.VisualPrivateNetwork

54.L2Tp隧道在兩端的VPN服務器之間采用（A）來驗證對方日勺身份。

A.口令握手合同CHAPB.SSL

C.KerberosD.數(shù)字證書

55.信息安全的基本屬性是（D）o

A.機密性B.可用性

C.完整性D.上面3項都是

56.ISO安全體系構造中的對象認證服務，使用（B）完畢。

A.加密機制B.數(shù)字簽名機制

C.訪問控制機制D.數(shù)據(jù)完整性機制

57.Kerberos的I設計目的I不涉及（B）。

A.認證B.授權C.記賬D.審計

58.IPSec合同和（C）VPN隧道合同處在同一層。

A.PPTPB.L2TPC.GRED.以上皆是

59.傳播層保護的網絡采用的重要技術是建立在（A）基本上的（A）。

A.可靠的傳播服務，安全套接字層SSL合同

B.不可靠的傳播服務，S-HTTP合同

C.可靠的傳播服務，S-HTTP合同

D.不可靠的傳播服務，安全套接字層SSL合同

60.如下（D）不是包過濾防火墻重要過濾的信息？

A.源IP地址B.目的IP地址C.TCP源端口和目的端口D.時間

61.將公司與外部供應商、客戶及其她利益有關群體相連接的是（B）。

A.內聯(lián)網VPNB.外聯(lián)網VPNC.遠程接入VPND.無線VPN

62.竊聽是一種（A）襲擊，襲擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。截獲是

一種（A）襲擊，襲擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。

A.被動，不必，積極，必須B.積極，必須，被動，不必

C.積極，不必，被動，必須D.被動，必須，積極，不必

63.（C）是一種對稱DES加密系統(tǒng)，它使用一種集中式的專鑰密碼功能，系統(tǒng)的核心是

KDCo

A.TACACSB.RADIUSC.KerberosD.PKI

64.下列合同中，（A）合同的數(shù)據(jù)可以受到IPSec的保護。

A.TCP、UDP、IPB.ARP

C.RARPD.以上皆可以

65、（D）合同重要由AH、ESP和IKE合同構成。

A.PPTPB.L2TPC.L2FD.IPSec

66.PPTP、L2Tp和L2F隧道合同屬于（B）合同。

A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道

67.機密性服務提供信息的保密，機密性服務涉及（D）。

A.文獻機密性B.信息傳播機密性

C.通信流的機密性D.以上3項都是

68.不屬于VPN的核心技術是（C）。

A.隧道技術B.身份認證C.日記記錄D.訪問控制

69.（A）通過一種擁有與專用網絡相似方略的共享基本設施，提供對公司內部網或外部

網的I遠程訪問。

A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN

70.VP-YgRj^-QueoTgoefYyEyO

A.Oa'oNSiu(B.A，,u(zA*NSiu(

C.|0?B[?g:D.R6kb*OaE.N—bQFyyf/

71.N?b@<6eoyuR-VPN'/cy均0

A.AccessVPNB.IntranetVPN

C.ExtranetVPND.NaNvfNf/

N(E0Xkzz

ly[JEx|u-Bm%oSEY,]SftN*e1一byfe:j:zz?60]在ej:zz?60[在''￥zz?6TC^Ex{—

2y%oa[^{—Of/R[TE{-1OEeoR??D{T0

3yY,goeR便便”￥T(E%。即用[出'￥0O<yy?UyI[^xOSR6ySN:[uyd[^xOSR60

4yDES{—lO^^f/y64yOMyQvN-[比"￥geHOMf/956yOMO

5yRSA{_16e6[%oQhf/W混％(^N*^}epe6yie6VS-%0

6yQL[出5￥R[^{—10e6u(?mmep「W{~T0

7ym^o<H<Af/1CE<AOW'oe6「(Eet''VSs§(E<AepcnW(O?T(E-XP?CzN-NT&，<{W

e904Ie>bAd?B{IO

8yHashQyepf/Sic￥SxS0”epcn?uQeyAvubepcn?uQue6QyepO

9y[㈤'￥{jte6'i%o?Q…9m%°S包㈤'￥eGb0Rm>0O?u(0]XP”0YNgO'bYTCE

?kAO

lOy[^),￥ub_b_gN$yfyNylf/ulN-A-^NubySaeNyff/ulN*N°R

ecub0

lly[比'軍e6Rm>f/cN§uAvO?O?u(€/?_——比'冬e6?Cz0

12y[比'里Rm>N-_Aeo,ne^)Q?4KDC0

13.數(shù)字簽名是筆跡簽名的模擬，是一種涉及避免源點或終點否認日勺認證

技術。

14.身份認證是驗證信息發(fā)送者是真的,而不是冒充日勺，涉及信源、信宿

等日勺認證和辨認。

15.訪問控制日勺目的是為了限制訪問主體對訪問客體日勺訪問權限。

16.防火墻是位于兩個網絡之間，一端是內部網絡，另一端是外部網

之。

17.防火墻系統(tǒng)日勺體系構造分為雙宿主機體系構造、屏蔽主機體系構造、

屏蔽子網體系構造。

18.IDS日勺物理實現(xiàn)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)可分為基

于主機日勺入侵檢測系統(tǒng)、基于網絡日勺入侵檢測系統(tǒng)和分布式入侵檢測系

統(tǒng)。

19.計算機病毒日勺5個特性是：積極傳染性、破壞性、寄生性（隱蔽性）、

潛伏性、多態(tài)性。

20.歹意代碼日勺基本形式尚有后門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌。

21.蠕蟲是通過網縫進行傳播時。

22.計算機病毒日勺工作機制有潛伏機制、傳染機制、體現(xiàn)機制。

三、問答題

1.簡述積極襲擊與被動襲擊的特點，并列舉積極襲擊與被動襲

擊現(xiàn)象。

積極襲擊是襲擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統(tǒng)內

部，破壞信息的真實性、完整性及系統(tǒng)服務的可用性，即通過中斷、偽造、篡改

和重排信息內容導致信息破壞，使系統(tǒng)無法正常運營。被動襲擊是襲擊者非常截

獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給

顧客帶來巨大日勺損失。

2.簡述對稱密鑰密碼體制的原理和特點。

對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法日勺逆運算，加密

密鑰和解密密鑰相似，同屬一類日勺加密體制。它保密強度高但開放性差，規(guī)定發(fā)

送者和接受者在安全通信之前，需要有可靠日勺密鑰信道傳遞密鑰，而此密鑰也必

須妥善保管。

4.什么是序列密碼和分組密碼？

序列密碼是一種對明文中日勺單個位（有時對字節(jié)）運算日勺算法。分組密碼是

把明文信息

分割成塊構造，逐塊予以加密和解密。塊日勺長度由算法設計者預先擬定。

5.簡述公開密鑰密碼機制的原理和特點？

公開密鑰密碼體制是使用品有兩個密鑰的編碼解碼算法，加密和解密日勺能力

是分開的；

這兩個密鑰一種保密，另一種公開。根據(jù)應用日勺需要，發(fā)送方可以使用接受方日勺

公開密鑰加密消息，或使用發(fā)送方日勺私有密鑰簽名消息，或兩個都使用，以完畢

某種類型日勺密碼編碼解碼功能。

6.什么是MD5?

MD消息摘要算法是由Rivest提出，是目前最為普遍的Hash算法，MD5是

第5個版本，

該算法以一種任意長度日勺消息作為輸入，生成128位日勺消息摘要作為輸出，輸入

消息是按512位的分組解決時。

第二章安全問題概述

一、選擇題

二、問答題

1.請解釋5種“竊取機密襲擊”方式的含義。

1)網絡踩點(Footprinting)

襲擊者事先匯集目的I日勺信息，一般采用Whois、Finger、Nslookup^Ping等

工具獲得目日勺的某些信息，如域名、IP地址、網絡拓撲構造、有關的顧客信息

等，這往往是黑客入侵所做日勺第一步工作。

2)掃描襲擊(Scanning)

這里日勺掃描重要指端口掃描，一般采用Nmap等多種端口掃描工具，可以獲

得目日勺計算

機日勺某些有用信息，例如機器上打開了哪些端口，這樣就懂得開設了哪些網絡服

務。黑客

就可以運用這些服務日勺漏洞，進行進一步日勺入侵。這往往是黑客入侵所做日勺第二

步工作。

3)合同棧指紋(StackFingerprinting)鑒別(也稱操作系統(tǒng)探測)

黑客對目日勺主機發(fā)出探測包，由于不同OS廠商的IP合同棧實現(xiàn)之間存在許

多細微差別,

因此每種OS均有其獨特日勺響應措施，黑客常?？梢詳M定目的主機所運營的OS。

這往往也可

以看作是掃描階段的一部分工作。

4)信息流嗅探(SniffeHng)

通過在共享局域網中將某主機網卡設立成混雜(Promiscuous)模式，或在

多種局域網

中某主機使用ARP欺騙，該主機就會接受所有通過日勺數(shù)據(jù)包。基于這樣日勺原理，

黑客可以

使用一種嗅探器(軟件或硬件)對網絡信息流進行監(jiān)視，從而收集到帳號和口令

等信息。

這是黑客入侵日勺第三步工作。

5)會話劫持(SessionHijacking)

所謂會話劫持，就是在一次正常日勺通信過程中，黑客作為第三方參與到其中，

或者是

在數(shù)據(jù)流里注射額外日勺信息，或者是將雙方日勺通信模式暗中變化，即從直接聯(lián)系

變成交由

黑客中轉。這種襲擊方式可覺得是黑客入侵日勺第四步工作——真正日勺襲擊中日勺一

種。

2.請解釋5種“非法訪問”襲擊方式的含義。

1)口令破解

襲擊者可以通過獲取口令文獻然后運用口令破解工具進行字典襲擊或暴力

襲擊來獲得

口令，也可通過猜想或竊聽等方式獲取口令，從而進入系統(tǒng)進行非法訪問，選擇

安全的口

令非常重要。這也是黑客入侵中真正襲擊方式日勺一種。

2）IP欺騙

襲擊者可通過偽裝成被信任源IP地址等方式來騙取目日勺主機日勺信任，這重要

針對Linux

UNIX下建立起IP地址信任關系日勺主機實行欺騙。這也是黑客入侵中真正襲擊方

式日勺一種。

3）DNS欺騙

當DNS服務器向另一種DNS服務器發(fā)送某個解析祈求（由域名解析出IP地

址）時，因

為不進行身份驗證，這樣黑客就可以冒充被祈求方，向祈求方返回一種被篡改了

時應答（IP

地址），將顧客引向黑客設定日勺主機。這也是黑客入侵中真正襲擊方式日勺一種。

4）重放（Replay）襲擊

在消息沒有時間戳日勺狀況下，襲擊者運用身份認證機制中日勺漏洞先把別人有

用日勺消息

記錄下來，過一段時間后再發(fā)送出去。

5）特洛伊木馬（TrojanHorse）

把一種能協(xié)助黑客完畢某一特定動作日勺程序依附在某一合法顧客的正常程

序中，而一

旦顧客觸發(fā)正常程序，黑客代碼同步被激活，這些代碼往往能完畢黑客早已指定

日勺任務（如

監(jiān)聽某個不常用端口，假冒登錄界面獲取帳號和口令等）。

4.理解下列多種襲擊方式：

UDPFloodsFraggleAttacks電子郵件炸彈、緩沖區(qū)溢出

襲擊、社交工程

1）UDPFlood

有些系統(tǒng)在安裝后，沒有對缺省配備進行必要日勺修改，使得某些容易遭受襲

擊日勺服務端口對外敞開著。Echo服務（TCP7和UDP7）對接受到日勺每個字符進

行回送；Chargen（TCP19和UDP19）對每個接受到的數(shù)據(jù)包都返回某些隨機

生成日勺字符（如果是與Chargen服務在TCP19端口建立了連接，它會不斷返回

亂字符直到連接中斷）。

黑客一般會選擇兩個遠程目日勺，生成偽造的UDP數(shù)據(jù)包，目日勺地是一臺主

機的Chargen服務端口，來源地假冒為另一臺主機日勺Echo服務端口。這樣，第

一臺主機上的Chargen服務返回的隨機字符就發(fā)送給第二臺主機日勺Echo服務了，

第二臺主機再回送收到日勺字符，如此反復，最后導致這兩臺主機應接不暇而回絕

服務，同步

導致網絡帶寬日勺損耗。

2）FraggleAttack它對SmurfAttack做了簡樸日勺修改，使用的I是UDP應答消息而

非ICMP。

3）電子郵件炸彈

黑客運用某個“無辜”日勺郵件服務器，持續(xù)不斷地向襲擊目日勺（郵件地址）發(fā)

送垃圾郵件，很也許“撐破”顧客的信箱，導致正常郵件的丟失。4）緩沖區(qū)溢出

襲擊

十近年來應用非常廣泛的一種襲擊手段，近年來，許多出名的安全漏洞都與

緩沖區(qū)溢出有關。

所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導致程序原有流程日勺變化，黑客

借此精心構造填充數(shù)據(jù)，讓程序轉而執(zhí)行特殊日勺代碼，最后獲得系統(tǒng)日勺控制權。

5)社交工程(SocialEngineering)

一種低技術含量破壞網絡安全日勺有效措施，但它其實是高檔黑客技術日勺一

種，往往使得處在看似嚴密防護下日勺網絡系統(tǒng)浮現(xiàn)致命日勺突破口。這種技術是運

用說服或欺騙日勺方式，讓網絡內部日勺人(安全意識單薄日勺職工)來提供必要日勺信

息，從而獲得對信息系統(tǒng)的訪問。

6.請解釋下列網絡信息安全的要素：

保密性、完整性、可用性、可存活性

近年來，學術界又開始提出一個新的安全就會一可存活性SueivabUityL區(qū)來的

茶境并沒有保證措電來抵抗各件系統(tǒng)錯誤和安全傷害.叫存活的網絡系統(tǒng)就觸設計來在

面對這些鳳險的時候仍鈦能騷存活.歷似可存活性指的就是網絡汁算機條燒的這樣一種

能力?它能在面對各種攻擊或管諜的情沆卜第續(xù)提供核心的服務.而且能夠及時地恢復

全部的服務.這是一個新的融合計算機安全和商叱風險管理的課題，它的玄點不僅是對

抗計算機入侵者，還要保證在各種網勢攻擊的情況下向業(yè)目保得以實現(xiàn)，關雄的商業(yè)功

能科以保辛.提高對網絡攻擊的系統(tǒng)引尋活性，同時也提高了商業(yè)系統(tǒng)在而對?些并牛

,吧童的事故與故障的可存活性：

俁密性指網絡占的數(shù)據(jù)必須按照數(shù)據(jù)的擁有者的要求保證一定的秘密性，不會被未

授權的第三方非法獲犯，具有敏感性的秘密信息，只有得到擁有者的許可，其他人才能

夠獲得該信息，網絡系統(tǒng)必須能夠防上信息的非授權訪何或泄露。

完整性指網絡中的信息安全、精確與有效,不因人為的優(yōu)素而丈變信息原有的內容、

形式與流向，即不能為未授權的第三方修改，它包含數(shù)據(jù)完整性的內涵，即俁證數(shù)據(jù)不

被非法地改動和銷毀，同樣還包含系統(tǒng)完整性的內涵，即保證系統(tǒng)以無害的方式按照預

定的功能運行，不受有意的或者意外的非法操作所破壞。信息的完整性是信息安全的基

本要求,破不信息的完整性是影冉信息安全的常目手段e當前，運行于因特網上的悔議

（如TCP/IP）等，能夠確保信息在數(shù)據(jù)包級我的完整性.即斂到了傳?輸過程中不去信息

包，不重復接收信息包，但耳無法制止未授權第三方封信息包內部的修改。

可用性就是要保障網絡資源無論在何時，無論經過何種處理，只要需要即可使用，而

不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用，使得嚴格時間要求冏服務不

箋得到及時的響應。另外，網絡可用性還包括具有在某些不正常條件下繼續(xù)運行的能力。

扃毒就常常破壞信息的可用性，使系統(tǒng)不能正常運行，數(shù)據(jù)文件面目全非。

第三章安全體系構造與模型

、選擇題

三、問答題

1.列舉并解釋ISO/OSI中定義的5種原則的安全服務。

（1）鑒別

用于鑒別實體的身份和對身份的證明，涉及對等實體鑒別和數(shù)據(jù)原發(fā)鑒別兩

種。

（2）訪問控制

提供對越權使用資源日勺防御措施。

（3）數(shù)據(jù)機密性

針對信息泄露而采用的防御措施。分為連接機密性、無連接機密性、選擇字

段機密性、通信業(yè)務流機密性四種。

（4）數(shù)據(jù)完整性

避免非法篡改信息，如修改、復制、插入和刪除等。分為帶恢復日勺連接完整

性、無恢復日勺連接完整性、選擇字段日勺連接完整性、無連接完整性、選擇字段無

連接完整性五種。（5）抗否認

是針對對方否認日勺防備措施，用來證明發(fā)生過日勺操作。涉及有數(shù)據(jù)原發(fā)證明

日勺抗否認和有交付證明日勺抗否認兩種。

2.解釋六層網絡安全體系中各層安全性的含義。

1.物理安全

避免物理通路的損壞、竊聽和襲擊（干擾等），保證物理安全是整個網絡安

全的前提，涉及環(huán)境安全、設備安全和媒體安全三個方面。

2.鏈路安全

保證通過網絡鏈路傳送的數(shù)據(jù)不被竊聽，重要針對公用信道日勺傳播安全。在

公共鏈路上采用一定日勺安全手段可以保證信息傳播日勺安全，對抗通信鏈路上的竊

聽、篡改、重放、流量分析等襲擊。

3.網絡級安全

需要從網絡架構（路由對日勺）、網絡訪問控制（防火墻、安全網關、VPN）、

漏洞掃描、

網絡監(jiān)控與入侵檢測等多方面加以保證，形成積極性的網絡防御體系。

4.信息安全

涉及信息傳播安全（完整性、機密性、不可抵賴和可用性等）、信息存儲安

全（數(shù)據(jù)備份和恢復、數(shù)據(jù)訪問控制措施、防病毒）和信息（內容）審計。

5.應用安全

涉及應用平臺（OS、數(shù)據(jù)庫服務器、Web服務器）日勺安全、應用程序日勺安

全。

6.顧客安全

顧客合法性，即顧客日勺身份認證和訪問控制。

9.WindowsServer屬于哪個安全級別，為什么？

WindowsServer屬于C2級。由于它有訪問控制、權限控制，可以避免非

授權訪問，并通過注冊提供對顧客事件日勺跟蹤和審計。

第八章密鑰分派與管理

一、填空題

二、問答題

5.KDC在密鑰分派過程中充當何種角色？

KDC在密鑰分派過程中充當可信任的第三方。KDC保存有每個顧客和KDC之間共享

時唯一密鑰，以便進行分派。在密鑰分派過程中，KDC按照需要生成各對端顧客之間的會

話密鑰，并由顧客和KDC共享的密鑰進行加密，通過安全合同將會話密鑰安全地傳送給需

要進行通信的雙方。

第十章數(shù)字簽名與鑒別合同

三、問答題

1.數(shù)字簽名有什么作用？

當通信雙方發(fā)生了下列狀況時，數(shù)字簽名技術必須可以解決引起日勺爭端：

?否認，發(fā)送方不承認自己發(fā)送過某一報文。

?偽造，接受方自己偽造一份報文，并聲稱它來自發(fā)送方。

?冒充，網絡上日勺某個顧客冒充另一種顧客接受或發(fā)送報文。

?篡改，接受方對收到日勺信息進行篡改。

2.請闡明數(shù)字簽名的重要流程。

數(shù)字簽名通過如下日勺流程進行：

(1)采用散列算法對原始報文進行運算，得到一種固定長度的數(shù)字串，稱為

報文摘要(MessageDigest),不同日勺報文所得到的報文摘要各異，但對相似日勺報文

它的報文摘要卻是惟一日勺。在數(shù)學上保證，只要改動報文中任何一位，重新計算

出日勺報文摘要值就會與原先日勺值不相符，這樣就保證了報文日勺不可更改性。

(2)發(fā)送方用目己日勺私有密鑰對摘要進行加密來形成數(shù)字簽名。

(3)這個數(shù)字簽名將作為報文日勺附件和報文一起發(fā)送給接受方。

(4)接受方一方面對接受到日勺原始報文用同樣日勺算法計算出新日勺報文摘要，

再用發(fā)送方日勺公開密鑰對報文附件日勺數(shù)字簽名進行解密，比較兩個報文摘要，如

果值相似，接受方就能確認該數(shù)字簽名是發(fā)送方日勺，否則就覺得收到日勺報文是偽

造的或者半途被篡改。

3.數(shù)字證書的原理是什么？

數(shù)字證書采用公開密鑰體制(例如RSA)。每個顧客設定一僅為本人所知的

私有密鑰，用它進行解密和簽名；同步設定一公開密鑰，為一組顧客所共享，用

于加密和驗證簽名O

采用數(shù)字證書，可以確認如下兩點：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。

(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)日勺信息是真實信息。

4.報文鑒別有什么作用，公開密鑰加密算法相對于常規(guī)加密算

法有什么長處？

報文鑒別往往必須解決如下日勺問題：

(1)報文是由確認的發(fā)送方產生日勺。

(2)報文日勺內容是沒有被修改正日勺。

(3)報文是按傳送時日勺相似順序收到的。

(4)報文傳送給擬定日勺對方。

一種措施是發(fā)送方用自己日勺私鑰對報文簽名，簽名足以使任何人相信報文是

可信日勺。另一種措施常規(guī)加密算法也提供了鑒別。但有兩個問題，一是不容易進

行常規(guī)密鑰日勺分發(fā)，二是接受方沒有措施使第三方相信該報文就是從發(fā)送方送來

日勺，而不是接受方自己偽造日勺。

因此，一種完善日勺鑒別合同往往考慮到了報文源、報文宿、報文內容和報文

時間性日勺鑒別。

第十二章身份認證

三、問答題

1.解釋身份認證的基本概念。

身份認證是指顧客必須提供她是誰日勺證明，這種證明客戶的真實身份與其所

聲稱的身份與否相符的過程是為了限制非法顧客訪問網絡資源，它是其她安全機

制的基本。

身份認證是安全系統(tǒng)中的第一道關卡，辨認身份后，由訪問監(jiān)視器根據(jù)顧客

日勺身份和授權數(shù)據(jù)庫決定與否可以訪問某個資源。一旦身份認證系統(tǒng)被攻破，系

統(tǒng)日勺所有安全措施將形同虛設，黑客襲擊日勺目的往往就是身份認證系統(tǒng)。

2.單機狀態(tài)下驗證顧客身份的三種因素是什么？

(1)顧客所懂得日勺東西：如口令、密碼。

(2)顧客所擁有日勺東西：如智能卡、身份證。

(3)顧客所具有日勺生物特性：如指紋、聲音、視網膜掃描、DNA等。

4.理解散列函數(shù)的基本性質。

散列函數(shù)H必須具有性質：

?H能用于任何長度日勺數(shù)據(jù)分組；

?H產生定長日勺輸出；

?對任何給定日勺x,H(x)要相對容易計算；

?對任何給定日勺碼h,尋找x使得H(x)=h在計算上是不可行日勺，稱為單向性；

?對任何給定日勺分組x,尋找不等于x日勺y,使得H(y)=H(x)在計算上是不可行的,

稱為弱抗沖突(WeakCollisionResistance)；

?尋找對任何日勺(x,y)對，使得H(y)=H(x)在計算上是不可行日勺，稱為強抗沖突

(StrongCollisionResistance)。

12.理解Kerberos系統(tǒng)的I長處。

⑴安全：網絡竊聽者不能獲得必要信息以假冒其她顧客，Kerberos應足夠強健

以致于潛在

日勺敵人無法找到它日勺弱點連接。

(2)可靠：Kerberos應高度可靠并且應借助于一個分布式服務器體系構造，使得

一種系統(tǒng)能

夠備份另一種系統(tǒng)。

(3)透明：抱負狀況下顧客除了規(guī)定輸入口令以外應感覺不到認證日勺發(fā)生。

(4)可伸縮：系統(tǒng)應可以支持大數(shù)量日勺客戶和服務器，這意味著需要一種模塊化

日勺分布式結

構。

第十三章授權與訪問控制

三、問答題

1.解釋訪問控制的基本概念。

訪問控制是建立在身份認證基本上日勺，通過限制對核心資源日勺訪問，避免非

法顧客的侵入或由于合法顧客日勺不慎操作而導致日勺破壞。

訪問控制日勺目日勺：限制主體對訪問客體日勺訪問權限(安全訪問方略)，從而

使計算機系統(tǒng)在合法范疇內使用。

2.訪問控制有幾種常用的實現(xiàn)措施？它們各有什么特點？

1訪問控制矩陣

行表達客體(多種資源)，列表達主體(一般為顧客)，行和列的交叉點表達

某個主體對某個客體的訪問權限。一般一種文獻的Own權限表達可以授予

(Authorize)或撤銷(Revoke)其她顧客對該文獻的1訪問控制權限。

2訪問能力表

實際日勺系統(tǒng)中雖然也許有諸多日勺主體與客體，但兩者之間日勺權限關系也許并

不多。為了減輕系統(tǒng)日勺開銷與揮霍，我們可以從主體(行)出發(fā)，體現(xiàn)矩陣某一

行日勺信息，這就是訪問能力表(Capabilities)。

只有當一種主體對某個客體擁有訪問日勺能力時，它才干訪問這個客體。但是

要從訪問能力表獲得對某一特定客體有特定權限日勺所有主體就比較困難。在一種

安全系統(tǒng)中，正是客體自身需要得到可靠日勺保護，訪問控制服務也應當可以控制

可訪問某一客體日勺主體集合，于是浮現(xiàn)了以客體為出發(fā)點日勺實現(xiàn)方式——ACLO

3訪問控制表

也可以從客體(列)出發(fā),體現(xiàn)矩陣某一列日勺信息，這就是訪問控制表(Access

Control

List)o它可以對某一特定資源指定任意一種顧客日勺訪問權限，還可以將有相似權

限日勺顧客分組，并授予組日勺訪問權。

4授權關系表

授權關系表(AuthorizationRelations)的I每一行表達了主體和客體的I一種授

權關系。對表按客體進行排序，可以得到訪問控制表的優(yōu)勢；對表按主體進行排

序，可以得到訪問能力表日勺優(yōu)勢。適合采用關系數(shù)據(jù)庫來實現(xiàn)。

8.為什么MAC能制止特洛伊木馬？

MAC可以制止特洛伊木馬。一種特洛伊木馬是在一種執(zhí)行某些合法功能時

程序中隱藏的代碼，它運用運營此程序日勺主體日勺權限違背安全方略，通過偽裝成

有用日勺程序在進程中泄露信息。

制止特洛伊木馬的方略是基于非循環(huán)信息流，由于MAC方略是通過梯度安

全標簽實現(xiàn)信息的單向流通，從而它可以較好地制止特洛伊木馬的泄密。

第十四章PKI技術

二、問答題

2.什么是數(shù)字證書？既有的數(shù)字證書由誰頒發(fā)，遵循什么原則，

有什么特點？

數(shù)字證書是一種經證書認證中心(CA)數(shù)字簽名的涉及公開密鑰擁有者信息

以及公開密鑰的文獻。認證中心(CA)作為權威的、可信賴日勺、公正日勺第三方機構,

專門負責為多種認證需求提供數(shù)字證書服務。認證中心頒發(fā)日勺數(shù)字證書均遵循

X.509V3原則。X.509原則在編排公共密鑰密碼格式方面已被廣為接受。X.509

證書已應用于許多網絡安全，其中涉及IPSecQP安全)、SSL、SET、S/MIMEo

3.X.509規(guī)范中是如何定義實體A信任實體B的？在PKI中信任

又是什么具體含義？

X.509規(guī)范中給出了合用于我們目日勺日勺定義：

當實體A假定實體B嚴格地按A所盼望日勺那樣行

動，則A信任B。在PKI中，我們可以把這個定

義具體化為：如果一種顧客假定CA可以把任一

公鑰綁定到某個實體上，則她信任該CAo

4.有哪4種常用的信任模型？

1.認證機構日勺嚴格層次構造模型

認證機構(CA)日勺嚴格層次構造可以被描繪為一棵倒置的樹，根代表一種對整

個PKI系統(tǒng)的所有實體均有特別意義日勺CA——一般叫做根CA(RootCA),它充

當信任的根或“信任錨(TrustAnchor)^^——也就是認證的起點或終點。

2.分布式信任構造模型

分布式信任構造把信任分散在兩個或多種CA上。也就是說，A把CA1作

為她日勺信任錨，而B可以把CA2做為她日勺信任錨。由于這些CA都作為信任錨,

因此相應日勺CA必須是整個PKI系統(tǒng)日勺一種子集所構成日勺嚴格層次構造日勺根CA。

3.Web模型

Web模型依賴于流行日勺瀏覽器，許多CA日勺公鑰被預裝在原則日勺瀏覽器上。

這些公鑰擬定了一組CA,瀏覽器顧客最初信任這些CA并將它們作為證書檢查

日勺根。從主線上講，它更類似于認證機構日勺嚴格層次構造模型，這是一種有隱含

根的嚴格層次構造。

4.以顧客為中心日勺信任模型

每個顧客自己決定信任哪些證書。一般，顧客的最初信任對象涉及顧客日勺朋

友、家人或同事，但與否信任某證書則被許多因素所左右。

9.CA有哪些具體的職責？

?驗證并標記證書申請者日勺身份。

?保證CA用于簽名證書日勺非對稱密鑰的質量。

?保證整個簽證過程的安全性，保證簽名私鑰日勺安全性。

?證書材料信息(涉及公鑰證書序列號、CA標記等)的管理。

?擬定并檢查證書日勺有效期限。

?保證證書主體標記的惟一性，避免重名。

?發(fā)布并維護作廢證書表(CRL)。

?對整個證書簽發(fā)過程做日記記錄。

?向申請人發(fā)告知。

其中最為重要的是CA自己日勺一對密鑰的管理，它必須保證高度日勺機密性,

避免她方偽造證書。

第十五章IP日勺安全

一、選擇題

二、問答題

1.IPSec和IP合同以及VPN的關系是什么？

IPSec是一種由IETF設計日勺端到端日勺保證IP層通信安全的機制。不是一種

單獨日勺合同，而是一組合同。IPSec是隨著IPv6日勺制定而產生日勺，后來也增長了

對IPv4日勺支持。在前者中是必須支持日勺，在后者中是可選的。

IPSec作為一種第三層隧道合同實現(xiàn)了VPN通信，可覺得IP網絡通信提供

透明的安全服務，免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機密性，有效抵御網絡

襲擊，同步保持易用性。

2.IPSec涉及了哪3個最重要的合同？簡述這3個合同的重要功

肥?

IPSec眾多日勺RFC通過關系圖組織在一起，它涉及了三個最重要日勺合同：

AH、ESP、IKEo

(1)AH為IP數(shù)據(jù)包提供如下3種服務：無連接日勺數(shù)據(jù)完整性驗證、數(shù)據(jù)源身

份認證和防重放襲擊。數(shù)據(jù)完整性驗證通過哈希函數(shù)(如MD5)產生日勺校驗來

保證；數(shù)據(jù)源身份認證通過在計算驗證碼時加入一種共享密鑰來實現(xiàn)；AH報頭

中日勺序列號可以避免重放襲擊。

(2)ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務外，還提供數(shù)據(jù)包加密和數(shù)

據(jù)流加密。數(shù)據(jù)包加密是指對一種IP包進行加密(整個IP包或其載荷部分)，

一般用于客戶端計算機；數(shù)據(jù)流加密一般用于支持IPSec日勺路由器，源端路由器

并不關懷IP包日勺內容，對整個IP包進行加密后傳播，目日勺端路由器將該包解密

后將原始數(shù)據(jù)包繼續(xù)轉發(fā)。

AH和ESP可以單獨使用，也可以嵌套使用?？梢栽趦膳_主機、兩臺安全網

關(防火墻和路由器)，或者主機與安全網關之間使用。

(3)IKE負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及

生成共享日勺會話密鑰的措施。IKE將密鑰協(xié)商日勺成果保存在安全聯(lián)盟(SA)中，供

AH和ESP后來通信時使用。解釋域(DOI)為使用IKE進行協(xié)商SA的合同統(tǒng)一

分派標記符。

第十六章電子郵件日勺安全

一、問答題

1.電子郵件存在哪些安全性問題？

1）垃圾郵件涉及廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增

長網絡負荷，影響網絡傳播速度，占用郵件服務器日勺空間。

2）詐騙郵件一般指那些帶有歹意日勺欺詐性郵件。運用電子郵件日勺迅速、便宜，

發(fā)信人能迅速讓大量受害者上當。

3）郵件炸彈指在短時間內向同一信箱發(fā)送大量電子郵件日勺行為，信箱不能承受

時就會崩潰。4）通過電子郵件傳播日勺病毒一般用VBScript編寫，且大多數(shù)采用

附件日勺形式夾帶在電子郵件中。當收信人打開附件后，病毒會查詢她日勺通訊簿，

給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。

2.端到端的安全電子郵件技術，可以保證郵件從發(fā)出到接受時

整個過程中的哪三種安全性？

端到端日勺安全電子郵件技術，保證郵件從被發(fā)出到被接受日勺整個過程中，內

容保密、無法修改、并且不可否認。目前日勺Internet上，有兩套成型日勺端到端安

全電子郵件原則：PGP和S/MIME。它一般只對信體進行加密和簽名，而信

頭則由于郵件傳播中尋址和路由時需要，必須保證原封不動。

3.畫圖闡明PGP的工作原理。

發(fā)送前：0MD5是單向的；?而EgiXfSKm,Km加苗P】N,兩者拼接,

②DA史描列值（短）好；?編碼（混亂更難破解）。

③ZIP后明文變短再用IDEA快（混亂更難破解）1）機密性

要先壓縮再皿，反之至文不一定變短。2）會性

④KM是隨機生成的對稱密銅.不為要分發(fā).3）不可葡A（數(shù)錢名）

?不直接用EB對PiN加定（慢14）追旗

第十七章Web與電子商務的安全

二、問答題

1.討論一下為什么CGI浮現(xiàn)的漏洞對Web服務器的安全威脅最

大？

相比前面提到日勺問題，CGI也許浮現(xiàn)日勺漏洞諸多，而被攻破后所能導致日勺威

脅也很大。程序設計人員日勺一種簡樸日勺錯誤或不規(guī)范日勺編程就也許為系統(tǒng)增長一

種安全漏洞。一種故意放置日勺有歹意日勺CGI程序可以自由訪問系統(tǒng)資源，使系

統(tǒng)失效、刪除文獻或查看顧客的保密信息（涉及顧客名和口令）。

3.闡明SSL的概念和功能。

安全套接層合同SSL重要是使用公開密鑰體制和X.509數(shù)字證書技術保護

信息傳播日勺機密性和完整性，但它不能保證信息的不可抵賴性，重要合用于點對

點之間日勺信息傳播。它是Netscape公司提出日勺基于Web應用的;安全合同，它涉

及服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上日勺數(shù)據(jù)

保密性。SSL通過在瀏覽器軟件和Web服務器之間建立一條安全通道，實現(xiàn)信

息在Internet中傳送日勺保密性。

在TCP/IP合同族中，SSL位于TCP層之上、應用層之下。這使它可以獨立

于應用層，從而使應用層合同可以直接建上在SSL之上。SSL合同涉及如下某

些子合同；SSL記錄合同、SSL握手合同、SSL更改密碼闡明合同和SSL警告

合同。SSL記錄合同建立在可靠的I傳播合同（例如TCP）上，用來封裝高層日勺合同。

SSL握手合同準許服務器端與客戶端在開始傳播數(shù)據(jù)前，可以通過特定日勺加密算

法互相鑒別。

4.什么是SET電子錢包？

SET交易發(fā)生的先決條件是，每個持卡人（客戶）必須擁有一種惟一的電子（數(shù)

字）證書，且由客戶擬定口令，并用這個口令對數(shù)字證書、私鑰、信用卡號碼及

其她信息進行加密存儲，這些與符合SET合同日勺軟件一起構成了一種SET電子

錢包。

9.簡述SSL的記錄合同和握手合同。

SSL記錄合同是建立在可靠日勺傳播合同（如TCP）之上，為更高層提供基本

的安全服

務，如提供數(shù)據(jù)封裝、眼所、加密等基本功能的支持。

SSL記錄合同用來定義數(shù)據(jù)傳播日勺格式，它涉及時記錄頭和記錄數(shù)據(jù)格式日勺

規(guī)定。在SSL合同中，所有的傳播數(shù)據(jù)都被封裝在記錄中。

SSL握手合同負責建立目前會話狀態(tài)日勺參數(shù)。雙方協(xié)商一種合同版本，選擇

密碼算法，互相認證（不是必須的），并且使用公鑰加密技術通過一系列互換日勺

消息在客戶端和服務器之間生成共享密鑰。

第十八章防火墻技術

三、問答題

1.什么是防火墻，為什么需要有防火墻？

防火墻是一種裝置，它是由軟件/硬件設備組合而成