網(wǎng)絡(luò)安全簡(jiǎn)答題

1、網(wǎng)絡(luò)安全技術(shù)考試題庫(kù)1. 計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅分為哪幾類？從人的 角度，威脅網(wǎng)絡(luò)安全的因素有哪些？答：計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩大 類：一是對(duì)網(wǎng)絡(luò)中信息的威脅，二是對(duì)網(wǎng)絡(luò)中設(shè)備的威 脅（2 分） 。從人的因素考慮，影響網(wǎng)絡(luò)安全的因素包括：（1）人為的無(wú)意失誤。 （1 分 ）（ 2）人為的惡意攻擊。 一種是主動(dòng)攻擊， 另一種是 被動(dòng)攻擊。 （1 分 ）（ 3）網(wǎng)絡(luò)軟件的漏洞和“后門” 。 （1 分 ） 2網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容？答:網(wǎng)絡(luò)攻擊： 網(wǎng)絡(luò)掃描、 監(jiān)聽(tīng)、入侵、后門、隱身； 網(wǎng)絡(luò)防御： 操作系統(tǒng)安全配置、 加密技術(shù)、 防火 墻技術(shù)、入侵檢測(cè)技術(shù)。4. 分析 TCP

2、/IP 協(xié)議，說(shuō)明各層可能受到的威脅及防御方 法。答：網(wǎng)絡(luò)層： IP 欺騙欺騙攻擊，保護(hù)措施：防火墻 過(guò)濾、打補(bǔ)丁；傳輸層：應(yīng)用層：郵件炸彈、病毒、木 馬等，防御方法：認(rèn)證、病毒掃描、安全教育等。 6請(qǐng)分析網(wǎng)絡(luò)安全的層次體系。答：從層次體系上，可以將網(wǎng)絡(luò)安全分成四個(gè)層次 上的安全：物理安全、邏輯安全、操作系統(tǒng)安全和聯(lián)網(wǎng) 安全。7. 請(qǐng)分析信息安全的層次體系。答：信息安全從總體上可以分成 5 個(gè)層次：安全的 密碼算法，安全協(xié)議，網(wǎng)絡(luò)安全，系統(tǒng)安全以及應(yīng)用安 全。10. 請(qǐng)說(shuō)明“冰河”木馬的工作方式。答：病毒通過(guò)修改系統(tǒng)注冊(cè)表，通過(guò)執(zhí)行文本文件 的雙擊打開(kāi)操作，駐留病毒程序，伺機(jī)實(shí)現(xiàn)遠(yuǎn)端控制目 的

3、?！緫?yīng)用題】1. 簡(jiǎn)述防范遠(yuǎn)程攻擊的技術(shù)措施。答：防范遠(yuǎn)程攻擊的主要技術(shù)措施有防火墻技術(shù)、 數(shù)據(jù)加密技術(shù)和入侵檢測(cè)技術(shù)等。 （2 分 ）（ 1）防火墻技術(shù)。 用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán) 人員的騷擾和黑客的入侵。 （1 分 ）（ 2）數(shù)據(jù)加密技術(shù)。 數(shù)據(jù)加密技術(shù)已經(jīng)成為所有通 信安全的基石。 （1 分 ）（ 3）入侵檢測(cè)技術(shù)。 是一種防范遠(yuǎn)程攻擊的重要技 術(shù)手段，能夠?qū)撛诘娜肭謩?dòng)作做出記錄，并且能夠預(yù) 測(cè)攻擊的后果。 （1 分 ）2. 防范遠(yuǎn)程攻擊的管理措施有那些？ 答：防范遠(yuǎn)程攻擊的管理措施：（1）使用系統(tǒng)最高的安全級(jí)別。高安全等級(jí)的系統(tǒng) 是防范遠(yuǎn)程攻擊的首選。 （2 分 ）（2）加強(qiáng)內(nèi)部

4、管理。為對(duì)付內(nèi)部產(chǎn)生的黑客行為， 要在安全管理方面采取措施。 （2 分）（3）修補(bǔ)系統(tǒng)的漏洞。任何系統(tǒng)都是有漏洞的，應(yīng) 當(dāng)及時(shí)堵上已知的漏洞并及時(shí)發(fā)現(xiàn)未知的漏洞。 （1 分）3. 簡(jiǎn)述遠(yuǎn)程攻擊的主要手段。答：遠(yuǎn)程攻擊的手段主要有：（1）緩沖區(qū)溢出攻擊。 （1 分 ）（ 2）口令破解。 又稱口令攻擊， 口令是網(wǎng)絡(luò)安全防護(hù)的第一道防線。 （1 分 ）（ 3）網(wǎng)絡(luò)偵聽(tīng)。 是指在計(jì)算機(jī)網(wǎng)絡(luò)接口處截獲網(wǎng)上 計(jì)算機(jī)之間通信的數(shù)據(jù)。 （1 分 ）（ 4）拒絕服務(wù)攻擊。 是一種簡(jiǎn)單的破壞性攻擊。 （1 分）（ 5）欺騙攻擊。 （1 分 ）4. 簡(jiǎn)述端口掃描技術(shù)的原理 。答：端口掃描向目標(biāo)主機(jī)的 TCP/IP

5、服務(wù)端口發(fā)送探 測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng) （1 分） 。通過(guò)分析響 應(yīng)來(lái)判斷服務(wù)端口是打開(kāi)還是關(guān)閉，就可以得知端口提 供的服務(wù)或信息 （1 分） 。端口掃描也可以通過(guò)捕獲本地 主機(jī)或服務(wù)器的注入 / 流出 IP 數(shù)據(jù)包來(lái)監(jiān)視本地主機(jī)運(yùn) 行情況 （1 分 ） 。端口掃描只能對(duì)接收到的數(shù)據(jù)進(jìn)行分析， 幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供 進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。 （2 分 ）5. 緩沖區(qū)溢出攻擊的原理是什么？答：緩沖區(qū)溢出攻擊指的是一種系統(tǒng)攻擊的手段， 通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū) 的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指 令，以達(dá)到攻擊的目的。 （3

6、 分 ）緩沖區(qū)溢出攻擊最常見(jiàn)的方法是通過(guò)使某個(gè)特殊程 序的緩沖區(qū)溢出轉(zhuǎn)而執(zhí)行一個(gè) Shell ，通過(guò) Shell 的權(quán) 限可以執(zhí)行高級(jí)的命令。 如果這個(gè)特殊程序具有 System 權(quán)限，攻擊成功者就能獲得一個(gè)具有 Shell 權(quán)限的 Shell ，就可以對(duì)系統(tǒng)為所欲為了。 （2 分 ）7. 簡(jiǎn)述暴力攻擊的原理。答：使用窮舉法破譯密碼等信息的一種方法，如： 字典攻擊、破解操作系統(tǒng)密碼、破解郵箱密碼、破解軟 件密碼等。9. 簡(jiǎn)述緩沖區(qū)溢出的攻擊原理。答：當(dāng)目標(biāo)系統(tǒng)收到了超過(guò)其可接收的最大信息量 時(shí)，會(huì)發(fā)生緩沖區(qū)溢出。易造成目標(biāo)系統(tǒng)的程序修改， 由此產(chǎn)生系統(tǒng)后門。10. 簡(jiǎn)述拒絕服務(wù)的種類和原理。答

7、：拒絕服務(wù)攻擊主要是計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連 通性攻擊。通過(guò)耗用有限計(jì)算機(jī)資源，使得目標(biāo)主機(jī)無(wú) 法提供正常網(wǎng)絡(luò)服務(wù)。11. 簡(jiǎn)述DDoS的特點(diǎn)及常用攻擊手段。答：攻擊計(jì)算機(jī)控制著多臺(tái)主機(jī)，對(duì)目標(biāo)主機(jī)實(shí)施 攻擊， 大量瞬時(shí)網(wǎng)絡(luò)流量阻塞網(wǎng)絡(luò)， 使得目標(biāo)主機(jī)癱瘓。12. 留后門的原則是什么？答：原則就是讓管理員看不到有任何特別的地方。13. 列舉后門的三種程序，并闡述其原理和防御方法。答：1）遠(yuǎn)程開(kāi)啟TELNET服務(wù)（RTCS.VBE工具軟） 件，防御方法：注意對(duì)開(kāi)啟服務(wù)的監(jiān)護(hù)；2）建立WEB和TELNET服務(wù)（WNC.EXE，防御方法：注意對(duì)開(kāi)啟服務(wù)的 監(jiān)護(hù)；3）讓禁用的 GUEST用戶具有管理權(quán)限

8、（PSU.EXE 修改注冊(cè)表） ，防御方法：監(jiān)護(hù)系統(tǒng)注冊(cè)表。14. 簡(jiǎn)述木馬由來(lái)及木馬和后門的差異。答：木馬是一種可以駐留在對(duì)方服務(wù)器系統(tǒng)中的程 序（服務(wù)器端、 客戶端），其功能是通過(guò)客戶端控制駐留 在對(duì)方服務(wù)器中的服務(wù)器端。木馬功能較強(qiáng)，具有遠(yuǎn)程 控制功能，后門功能單一，只提供登錄使用。16. 簡(jiǎn)述兩種通過(guò) UNICODE漏洞，進(jìn)行攻擊的方式。答：入侵目標(biāo)操作系統(tǒng)；刪除目標(biāo)系統(tǒng)主頁(yè)。17. 簡(jiǎn)述一次成功的攻擊，可分為哪幾個(gè)步驟？答：1、隱藏IP ； 2、踩點(diǎn)掃描；3、獲得系統(tǒng)或管 理員權(quán)限；4、種植后門；5、在網(wǎng)絡(luò)中隱身。18. 簡(jiǎn)述網(wǎng)絡(luò)監(jiān)聽(tīng)的原理及常用方法。答：網(wǎng)絡(luò)監(jiān)聽(tīng)的目的是截獲通信的內(nèi)

9、容，監(jiān)聽(tīng)的手 段是對(duì)協(xié)議進(jìn)行分析。Sniffer pro就是一個(gè)完善的網(wǎng)絡(luò)監(jiān)聽(tīng)工具。19. 簡(jiǎn)述SQL注入漏洞的原理。答：利用惡意 SQL語(yǔ)句（web缺少對(duì)SQL語(yǔ)句的鑒 別）實(shí)現(xiàn)對(duì)后臺(tái)數(shù)據(jù)庫(kù)的攻擊行為。答：P2P網(wǎng)絡(luò)是對(duì)等網(wǎng)絡(luò)，即點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)。產(chǎn)生的 安全隱患主要有無(wú)賴流量和大量上傳下載產(chǎn)生的病毒傳 播等問(wèn)題。1. 試述如何防止特洛伊木馬的非法訪問(wèn)。答：通過(guò)強(qiáng)加一些不可逾越的訪問(wèn)限制，系統(tǒng)可以 防止一些類型的特洛伊木馬的攻擊。在強(qiáng)制訪問(wèn)控制中， 系統(tǒng)對(duì)主體與客體都分配一個(gè)特殊的安全屬性，這種安 全屬性一般不能更改，系統(tǒng)通過(guò)比較主體與客體安全屬 性來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。用戶為某個(gè)

10、目的而運(yùn)行的程序，不能改變它自己及任何其他客體的 安全屬性。（2分）以下兩種方法可以減少特洛伊木馬攻擊成功的可能 性。（1）限制訪問(wèn)控制的靈活性 （2分）用戶修改訪問(wèn) 控制信息的唯一途徑是請(qǐng)求一個(gè)特權(quán)系統(tǒng)的功能調(diào)用，這種方法就可以消除偷改訪問(wèn)控制的特洛伊木馬的攻 擊。（2分）（2）過(guò)程控制（2分）采用過(guò)程控制可以減少特洛伊 木馬攻擊的機(jī)會(huì)。（2分）2. 分析漏洞掃描存在問(wèn)題及如何解決。答：漏洞掃描中的問(wèn)題及完善建議有：（1）系統(tǒng)配置規(guī)則庫(kù)問(wèn)題存在局限性 如果規(guī)則庫(kù)設(shè)計(jì)的不準(zhǔn)確，預(yù)報(bào)的準(zhǔn)確度就無(wú)從 談起；（1分） 它是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而 對(duì)網(wǎng)絡(luò)系統(tǒng)的很多危險(xiǎn)的威脅卻是來(lái)自未知

11、的漏洞，這 樣，如果規(guī)則庫(kù)更新不及時(shí)， 預(yù)報(bào)準(zhǔn)確度也會(huì)相應(yīng)降低； （1分）（1分）完善建議：系統(tǒng)配置規(guī)則庫(kù)應(yīng)能不斷地被擴(kuò)充和修 正，這樣也是對(duì)系統(tǒng)漏洞庫(kù)的擴(kuò)充和修正，這在目前來(lái) 講仍需要專家的指導(dǎo)和參與才能實(shí)現(xiàn)。（2分）（2）漏洞庫(kù)信息要求漏洞庫(kù)信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的主 要判斷依據(jù)。如果漏洞庫(kù)住處不全面或得不到即時(shí)的更 新，不但不能發(fā)（3分）完善建議：漏洞庫(kù)信息不但應(yīng)具備完整性和有效性， 也應(yīng)具備簡(jiǎn)易性的特點(diǎn)，這樣即使是用戶自己也易于對(duì) 漏洞庫(kù)進(jìn)行添加配置，從而實(shí)現(xiàn)對(duì)漏洞庫(kù)的即時(shí)更新。 （2分）3. 簡(jiǎn)述研究惡意代碼的必要性。答：防護(hù)國(guó)家等信息安全。4 簡(jiǎn)述惡意代碼長(zhǎng)期存在的原因

12、。答：系統(tǒng)漏洞層出不窮；利益驅(qū)使等。5. 惡意代碼是如何定義的，可以分為哪幾類？答: Grimes的定義：經(jīng)過(guò)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播， 未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序和代碼。7. 說(shuō)明PE病毒的原理及影響問(wèn)題。起源于DOS系統(tǒng)，發(fā)展于 WINDOWS通常采用匯編 格式編寫(xiě)，且格式為 PE=具有數(shù)量極多、破壞性大和功 能強(qiáng)等特點(diǎn)。其核心技術(shù)是感染模塊。8. 簡(jiǎn)述腳本病毒常用的自身隱藏方式。答：隨機(jī)選取密鑰對(duì)自己的部分代碼實(shí)施加密；采 用變形技術(shù)；采用多態(tài)技術(shù)加殼。10.簡(jiǎn)述U盤病毒通常的幾種隱藏方式。答：作為系統(tǒng)文件隱藏；偽裝為其他文件；隱藏在 系統(tǒng)文件夾中；運(yùn)用 WINDOWS洞等?！?/p>

13、應(yīng)用題】1. 自主訪問(wèn)控制的模式有哪幾種？答：自主訪問(wèn)控制模式有：（1）文件。對(duì)文件常設(shè)置的訪問(wèn)模式有以下幾種：讀和復(fù)制，寫(xiě)和刪除，運(yùn)行，無(wú)效。（3分）（2）目 錄對(duì)于一個(gè)目錄型客體，它的訪問(wèn)模式的最小集合包括：讀，寫(xiě)-擴(kuò)展。（2分）2. 什么是蜜罐技術(shù)？蜜罐的特點(diǎn)是什么？答：蜜罐技術(shù)通過(guò)一個(gè)由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來(lái)引誘黑客， 并對(duì)黑客進(jìn)行跟蹤和記錄。（1分） 蜜罐的特點(diǎn)：（1） 它不是一個(gè)單一的系統(tǒng)， 而是一個(gè)網(wǎng)絡(luò)，是一 種高度相互作用的蜜罐，裝有多個(gè)系統(tǒng)和應(yīng)用軟件。（2 分）（2）所有放置在蜜罐網(wǎng)內(nèi)的系統(tǒng)都是標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)，即真實(shí)的系統(tǒng)和應(yīng)用軟件，都不是仿效的。（2分）5.簡(jiǎn)述信

14、息流模型的組成答：信息流模型一般有以下 5部分組成。 客體集合，如文件、程序、變量等，它表示信息 的存放處。（2分） 進(jìn)程集合，它表示與信息流有關(guān)的活動(dòng)主體。（2分） 安全類集合，它表示離散的信息類，如安全系統(tǒng)中的權(quán)力級(jí)別和對(duì)象類別。（2分） 類間復(fù)合操作符，用于確定在兩類信息上操作所 產(chǎn)生的信息。（1分） 流關(guān)系，用于決定在任一對(duì)安全類之間，信息能否從一個(gè)安全流向另一個(gè)安全類。（1分）信息流動(dòng)策略規(guī)定信息必須由低安全類向高安全類 或同安全類流動(dòng)，而不允許信息由高安全類向低類或無(wú) 關(guān)類流動(dòng)。（2分）8. 訪問(wèn)控制的基本任務(wù)是什么？答：訪問(wèn)控制的基本任務(wù)有：（1） 用戶身份認(rèn)證。認(rèn)證就是證實(shí)用戶

15、的身份。（1 分）（2）授權(quán)。根據(jù)不同的用戶分配給不同的使用資源，決定訪問(wèn)權(quán)限的因素有用戶類別、資源和訪問(wèn)規(guī)則。（2分）（3）文件保護(hù)。對(duì)文件提供附加保護(hù)，使非授權(quán)用戶不可讀。 （1 分 ）（4）審計(jì)。 記錄用戶的行動(dòng)， 以說(shuō)明安全方案的有 效性。 （1 分 ）9. 訪問(wèn)控制包括哪幾個(gè)層次？答： 訪問(wèn)控制的層次包括：（ 1）入網(wǎng)訪問(wèn)控制。 入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供 了第一層訪問(wèn)控制。 （1 分 ）（ 2）網(wǎng)絡(luò)權(quán)限控制。 是針對(duì)網(wǎng)絡(luò)非法操作所提出的 一種安全保護(hù)措施。 （1 分 ）（3）目錄級(jí)安全控制。控制用戶對(duì)目錄、文件、設(shè) 備的訪問(wèn)。 （1 分 ）（4）屬性安全控制。 給文件、 目錄等指定

16、訪問(wèn)屬性。 （1 分 ）（ 5）服務(wù)器安全控制。 網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上 執(zhí)行一系列操作。 （1 分 ）10. 試述建立安全模型的原因和安全模型的特點(diǎn)。答：設(shè)計(jì)安全模型的主要目的是確定系統(tǒng)安全訪問(wèn) 控制策略、決定系統(tǒng)內(nèi)部主體對(duì)客體的訪問(wèn)和監(jiān)控方式 等。 （2 分 ）安全模型一般有如下幾個(gè)特點(diǎn)：（1） 能充分體現(xiàn)預(yù)定的安全需要，應(yīng)清楚地、準(zhǔn)確 地表達(dá)安全策略。 （2 分 ）（2） 模型的安全表達(dá)是無(wú)二意性的。 （2 分 ）（3）模型應(yīng)該是簡(jiǎn)單的、 抽象的、 易于理解和實(shí)現(xiàn)， 而且應(yīng)易于驗(yàn)證。 （2 分 ）（4）安全模型應(yīng)當(dāng)只涉及安全性質(zhì)，對(duì)系統(tǒng)的其他 功能及實(shí)現(xiàn)不能有影響和太大的削弱。 （2

17、分）13. 如何關(guān)閉不需要的端口和服務(wù)。答：通過(guò) TCP/IP 協(xié)議屬性的高級(jí)設(shè)置完成。14. 簡(jiǎn)述安全模型的意義及 BLP模型的特點(diǎn)。 答：安全模型：對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述，為安全策略及其機(jī)制提供了 一種框架。 BLP 模型是一種適用于軍事安全策略的操作 系統(tǒng)安全模型。15. 簡(jiǎn)述安全模型的意義及 Biba 模型的特點(diǎn)。 答：安全模型：對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述，為安全策略及其機(jī)制提供了 一種框架。 Biba 模型是一種適用于保護(hù)信息完整性的操 作系統(tǒng)安全模型。16. 簡(jiǎn)述 Flask 安全體系結(jié)構(gòu)的優(yōu)點(diǎn)。 答：該結(jié)構(gòu)使策略的可變通性的

18、實(shí)現(xiàn)成為可能。安全結(jié)構(gòu)中機(jī)制和策略清晰區(qū)分，使得系統(tǒng)可以使用比以 前更少的策略來(lái)支持更多的安全策略集合。17. 簡(jiǎn)述安全操作系統(tǒng)的機(jī)制。答：操作系統(tǒng)源代碼中內(nèi)置了特定的安全策略，通 過(guò)一些設(shè)置，使操作系統(tǒng)更安全。18. 列舉三種以上的安全操作系統(tǒng)。答：Tmach/ASOS/SOFTO等。19. 訪問(wèn)控制機(jī)制的理論基礎(chǔ)是訪問(wèn)監(jiān)控器。 其引用 驗(yàn)證機(jī)制需同時(shí)滿足三個(gè)基本原則，即：具有自我保護(hù) 能力；總是處于活躍狀態(tài)；設(shè)計(jì)得足夠小。請(qǐng)就上述原 則說(shuō)明其涵義。答：保持自身完整性；程序?qū)Y源的引用應(yīng)得到驗(yàn) 證機(jī)制的仲裁；保證引用驗(yàn)證機(jī)制的實(shí)現(xiàn)是正確和符合要求的。20. 簡(jiǎn)述操作系統(tǒng)安全內(nèi)核的意義。答：操

19、作系統(tǒng)的可信內(nèi)核。是實(shí)現(xiàn)訪問(wèn)監(jiān)控器的一 種技術(shù)。不允許有任何繞過(guò)安全內(nèi)核存取控制檢查的存 取行為存在。21. 簡(jiǎn)述可信計(jì)算基的內(nèi)涵和意義。 答：由操作系統(tǒng)安全依賴的、實(shí)施安全策略的可信軟件、硬件，負(fù)責(zé)系統(tǒng)安全管理的人員共同組成。其組 成中，軟件部分是安全操作系統(tǒng)的核心內(nèi)容。22. 簡(jiǎn)述自主訪問(wèn)控制的內(nèi)涵及其保護(hù)的對(duì)象。 答：自主訪問(wèn)控制用以決定主體 （用戶 ）對(duì)客體的一種訪問(wèn)約束機(jī)制。其保護(hù)對(duì)象包括：文件、目錄、IPC、設(shè)備等。通過(guò)訪問(wèn)控制矩陣實(shí)現(xiàn)。23. 簡(jiǎn)述強(qiáng)制訪問(wèn)控制的內(nèi)涵及其保護(hù)的對(duì)象。 答：由安全管理員對(duì)每一個(gè)對(duì)象（包括：文件、目錄、IPC、設(shè)備等）設(shè)置安全屬性。主體對(duì)客體的訪問(wèn)將

20、啟動(dòng)強(qiáng)制訪問(wèn)機(jī)制，通過(guò)比較主、客體間的安全屬性， 決定是否允許訪問(wèn)的建立。24. 簡(jiǎn)述計(jì)算機(jī)系統(tǒng) （安全操作系統(tǒng)） 安全體系結(jié)構(gòu) 的內(nèi)涵。答：詳細(xì)描述系統(tǒng)中安全相關(guān)的方面；描述安全相 關(guān)模塊之間的關(guān)系；提出指導(dǎo)設(shè)計(jì)的基本原理；提出開(kāi) 發(fā)框架和層次結(jié)構(gòu)?！緫?yīng)用題】1. 簡(jiǎn)述公開(kāi)密鑰密碼體制的特點(diǎn)。答： 公開(kāi)密鑰密碼體制的特點(diǎn)：（1）保密強(qiáng)度高。 其理論基礎(chǔ)是基于數(shù)論中大素?cái)?shù) 因數(shù)分解的難度問(wèn)題， 當(dāng) n 大于 2048 位時(shí)，目前的算法 無(wú)法在有效時(shí)間內(nèi)破譯 RSA。 （1 分 ）（ 2）密鑰分配及管理簡(jiǎn)便在RSA體制中，加密密鑰和解密密鑰互異、分離。 加密密鑰可以公開(kāi)，解密密鑰則由用戶秘密保存

21、，秘密 保存的密鑰量減少，這就使得密鑰分配更加方便，便于 密鑰管理。 （2 分）（ 3）數(shù)字簽名易實(shí)現(xiàn)在RSA體制中，只有接收方利用自己的解密密鑰對(duì) 明文進(jìn)行簽名，其他任何人可利用公開(kāi)密鑰對(duì)簽名文進(jìn) 行驗(yàn)證，但無(wú)法偽造。 （2 分）2. 密碼分析可分為哪幾類，它們的含義是什么？答： 密碼分析可分為窮舉法和分析破譯法 （2 分） ：（1）窮舉法。 又稱強(qiáng)力法或完全試湊法， 它對(duì)截收 的密報(bào)依次用各種可能的密鑰試譯，直到得到有意義的 明文；或者在不變密鑰下，對(duì)所有可能的明文加密直到 得到的密文與截獲密文一致為止。 （1 分）（ 2）分析破譯法。 分析破譯法有確定性和統(tǒng)計(jì)性兩 類。確定性分析法利用一

22、個(gè)或幾個(gè)已知量用數(shù)學(xué)關(guān)系式 表示出所求未知量。統(tǒng)計(jì)分析法是利用明文的已知統(tǒng)計(jì) 規(guī)律進(jìn)行破譯的方法。 （2 分）3. 簡(jiǎn)述對(duì)稱加密算法的基本原理。 答：加密和解密密鑰可相互推導(dǎo)或一致，由通信算法協(xié)商解決，其算法的安全性完全依賴于密鑰的保護(hù)。4. 簡(jiǎn)述公鑰算法的基本原理。 答：加密、解密密鑰不同且無(wú)法相互推導(dǎo)，分公鑰和私鑰兩種，算法較為復(fù)雜，但安全性較高。5. 簡(jiǎn)述PGP加密技術(shù)的應(yīng)用。答：是一個(gè)基于RSA公鑰加密體系的郵件加密軟件， 提出來(lái)公共鑰匙或不對(duì)稱文件的加密技術(shù)。6. 簡(jiǎn)述RSA加密算法安全性的數(shù)學(xué)基礎(chǔ)。答：RSA加密算法的安全性依賴于大數(shù)分解數(shù)學(xué)難 題?！緫?yīng)用題】1. 什么是依據(jù)地址進(jìn)

23、行過(guò)濾？答在包過(guò)濾系統(tǒng)中，最簡(jiǎn)單的方法是依據(jù)地址進(jìn)行 過(guò)濾（1分）。用地址進(jìn)行過(guò)濾可以不管使用什么協(xié)議， 僅根據(jù)源地址/目的地址對(duì)流動(dòng)的包進(jìn)行過(guò)濾（2分）。使用這種方法可以 只讓某些被指定的外部主機(jī)與某些被指定的內(nèi)部主機(jī)進(jìn) 行交互（1分），此外還可以防止黑客采用偽裝包來(lái)對(duì)網(wǎng) 絡(luò)進(jìn)行攻擊。（1分）2. 簡(jiǎn)述包過(guò)濾的優(yōu)點(diǎn)。答：包過(guò)濾方式有很多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是 僅用放置在重要位置上的包過(guò)濾路由器就可保護(hù)整個(gè)網(wǎng) 絡(luò)。（2分）包過(guò)濾不需要用戶軟件的支持，也不要求對(duì)客戶機(jī) 做特別的設(shè)置，也沒(méi)有必要對(duì)用戶做任何培訓(xùn)。（1分）包過(guò)濾工作對(duì)用戶來(lái)講是透明的，這種透明就是在 不要求用戶進(jìn)行任何操作的前題下

24、完成包過(guò)濾工作。（1分）3. 入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有哪些？答：入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng) 計(jì)檢測(cè)與專家系統(tǒng)。（2分）特征檢測(cè)對(duì)已知的攻擊或入侵的方式做出確定性的 描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的 入侵事件模式相匹配時(shí)，即報(bào)警。（1分）統(tǒng)計(jì)模型常用異常檢測(cè)。（1分）用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)的特征入 侵行為。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完 全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性。 （1分）4. 按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法可分為 哪兩大類，分別論述其技術(shù)特點(diǎn)。答：按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法，大致可以分為兩大類：包過(guò)濾防火墻和應(yīng)用代理防

25、火墻。（2分）包過(guò)濾防火墻又稱為過(guò)濾路由器，它通過(guò)將包頭信 息和管理員設(shè)定的規(guī)則表比較，如果有一條規(guī)則不允許 發(fā)送某個(gè)包，路由器就將它丟棄。（2分）在包過(guò)濾系統(tǒng)中，又包括依據(jù)地址進(jìn)行過(guò)濾和依據(jù)服務(wù)進(jìn)行過(guò)濾。（2分）應(yīng)用代理，也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，其特 點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)的通信流，通過(guò)對(duì)每種應(yīng)用服 務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流 的作用。（2分）代理服務(wù)器有一些特殊類型，主要表現(xiàn)為應(yīng)用級(jí)和 回路級(jí)代理、公共與專用代理服務(wù)器和智能代理服務(wù)器。（2分）5. 設(shè)計(jì)和建立堡壘主機(jī)的基本原則是什么？答： 設(shè)計(jì)和建立堡壘主機(jī)的基本原則有基本兩條： 最簡(jiǎn)化原則和預(yù)防原則。（1分）（1）最簡(jiǎn)化原則：堡壘主機(jī)越簡(jiǎn)單， 對(duì)它進(jìn)行保護(hù)就越方便，以堡壘主機(jī)上設(shè)置的服務(wù)必須最少，同時(shí)對(duì) 必須設(shè)置的服務(wù)軟件只能給予盡可能低的權(quán)限。（2分）（2） 預(yù)防原則：盡管已對(duì)堡壘主機(jī)嚴(yán)加保護(hù)，但仍 有可能