網(wǎng)絡(luò)安全期末復(fù)習(xí)題

1、第1章 網(wǎng)絡(luò)安全概論1. 選擇題 (1) 計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用計(jì)算機(jī)網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的 、完整性、網(wǎng)絡(luò)服務(wù)可用性和可審查性受到保護(hù)。A機(jī)密性 B抗攻擊性C網(wǎng)絡(luò)服務(wù)管理性 D控制安全性 (2) 網(wǎng)絡(luò)安全的實(shí)質(zhì)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的 安全。A系統(tǒng) B軟件C信息 D網(wǎng)站 (3) 下面不屬于TCSEC標(biāo)準(zhǔn)定義的系統(tǒng)安全等級(jí)的4個(gè)方面是。A安全政策 B可說(shuō)明性C安全保障 D安全特征 (4) 在短時(shí)間內(nèi)向網(wǎng)絡(luò)中的某臺(tái)服務(wù)器發(fā)送大量無(wú)效連接請(qǐng)求，導(dǎo)致合法用戶暫時(shí)無(wú)法訪問(wèn)服務(wù)器的攻擊行為是破壞了 。A機(jī)密性 B完整性 C可用性 D可控性(5)如果訪問(wèn)者有意避開(kāi)系統(tǒng)的訪問(wèn)控制機(jī)制，則該

2、訪問(wèn)者對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用屬于 。A破環(huán)數(shù)據(jù)完整性 B非授權(quán)訪問(wèn) C信息泄漏 D拒絕服務(wù)攻擊答案: (1) A (2) C (3) D (4) C (5) B 2. 填空題(1) 計(jì)算機(jī)網(wǎng)絡(luò)安全是一門(mén)涉及 、 、 、通信技術(shù)、應(yīng)用數(shù)學(xué)、密碼技術(shù)、信息論等多學(xué)科的綜合性學(xué)科。答案: 計(jì)算機(jī)科學(xué) 、網(wǎng)絡(luò)技術(shù) 、信息安全技術(shù) (2) 網(wǎng)絡(luò)安全的5 大要素和技術(shù)特征，分別是 _、_、_、_、_。答案: 機(jī)密性、完整性、可用性、可控性、不可否認(rèn)性 (3) 計(jì)算機(jī)網(wǎng)絡(luò)安全所涉及的內(nèi)容包括是 、 、 、 、 等五個(gè)方面。答案: 實(shí)體安全、運(yùn)行安全 、系統(tǒng)安全、應(yīng)用安全、 管理安全 (4) 網(wǎng)絡(luò)信息

3、安全保障包括 、 、 和 四個(gè)方面。 (5) 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)分為 、 、 、 、 、 、 和 八大類(lèi)。 (6) 網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有 、 、 、 的特點(diǎn)。 (7) TCSEC是可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則的縮寫(xiě)，又稱網(wǎng)絡(luò)安全橙皮書(shū)，將安全分為 、 、 和文檔四個(gè)方面。(8)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面、充分、有效的安全評(píng)測(cè)，能夠快速查出 、 、 。答案: (4) 信息安全策略、信息安全管理、信息安全運(yùn)作和信息安全技術(shù)(5) 身份認(rèn)證、訪問(wèn)管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復(fù)(6) 多維主動(dòng)、綜合性、智能化、全方位防御(7) 安全政策、可說(shuō)明性、安全保障(8) 網(wǎng)絡(luò)安全隱患、安全漏

4、洞、網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力3. 簡(jiǎn)答題(1) 簡(jiǎn)述網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的內(nèi)容？ 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)主要包括： (1) 身份認(rèn)證（Identity and Authentication Management） (2) 訪問(wèn)管理（Access Management） (3) 加密（Cryptograghy） (4) 防惡意代碼（Anti-Malicode） (5) 加固（Hardening） (6) 監(jiān)控（Monitoring） (7) 審核跟蹤（Audit Trail）(8) 備份恢復(fù)（Backup and Recovery）(3) 網(wǎng)絡(luò)安全框架由哪幾部分組成？ (1)信息安全戰(zhàn)略 (2)信息安全政策和

5、標(biāo)準(zhǔn) (3)信息安全管理 (4)信息安全運(yùn)作 (5)信息安全技術(shù)(6) 網(wǎng)絡(luò)安全設(shè)計(jì)的原則有哪些？ 在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下7項(xiàng)基本原則： (1) 綜合性、整體性原則 (2) 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 (3)一致性原則 (4)易操作性原則 (5) 分步實(shí)施原則 (6) 多重保護(hù)原則 (7) 可評(píng)價(jià)性原則(7) 網(wǎng)絡(luò)安全的設(shè)計(jì)步驟是什么？ 根據(jù)信息安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全設(shè)計(jì)的原則,可以確定網(wǎng)絡(luò)安全設(shè)計(jì)的5個(gè)步驟: (1) 明確安全需求，進(jìn)行風(fēng)險(xiǎn)分析 (2) 選擇并確定網(wǎng)絡(luò)安全措施 (3) 方案實(shí)施 (4) 網(wǎng)絡(luò)試驗(yàn)及運(yùn)行 (5) 優(yōu)化及改進(jìn)第2章 網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)1. 選擇題

6、（1）SSL協(xié)議是（ ）之間實(shí)現(xiàn)加密傳輸?shù)膮f(xié)議。A.物理層和網(wǎng)絡(luò)層 B.網(wǎng)絡(luò)層和系統(tǒng)層C.傳輸層和應(yīng)用層 D.物理層和數(shù)據(jù)層（2）加密安全機(jī)制提供了數(shù)據(jù)的（ ）。A.可靠性和安全性 B.保密性和可控性C.完整性和安全性 D.保密性和完整性（3）抗抵賴性服務(wù)對(duì)證明信息的管理與具體服務(wù)項(xiàng)目和公證機(jī)制密切相關(guān)，通常都建立在（ ）層之上。A.物理層 B.網(wǎng)絡(luò)層C.傳輸層 D.應(yīng)用層（4）能在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層提供的網(wǎng)絡(luò)安全服務(wù)的是（ ）。A.認(rèn)證服務(wù) B.數(shù)據(jù)保密性服務(wù)C.數(shù)據(jù)完整性服務(wù) D.訪問(wèn)控制服務(wù)（5）傳輸層由于可以提供真正的端到端的連接，最適宜提供（ ）安全服務(wù)。A.數(shù)據(jù)

7、保密性 B.數(shù)據(jù)完整性 C.訪問(wèn)控制服務(wù) D.認(rèn)證服務(wù)解答:（1）C （2）D （3）D （4）B （5）B2. 填空題（1）應(yīng)用層安全分解成 、 、 的安全，利用 各種協(xié)議運(yùn)行和管理。解答: （1）網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)、TCP/IP（2）安全套層SSL協(xié)議是在網(wǎng)絡(luò)傳輸過(guò)程中，提供通信雙方網(wǎng)絡(luò)信息的 性 和 性，由 和 兩層組成。解答:（2）保密性、可靠性、SSL 記錄協(xié)議、SSL握手協(xié)議（3）OSI/RM開(kāi)放式系統(tǒng)互連參考模型七層協(xié)議是 、 、 、 、 、 、 。解答:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層（4）ISO對(duì)OSI規(guī)定了 、 、 、 、 五種級(jí)別的安全服務(wù)

8、。解答: 對(duì)象認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、防抵賴（5）一個(gè)VPN連接由 、 和 三部分組成。一個(gè)高效、成功的VPN具有 、 、 、 四個(gè)特點(diǎn)。解答: 客戶機(jī)、隧道、服務(wù)器、安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充和靈活性、可管理性3.簡(jiǎn)答題（2）簡(jiǎn)述IPV6協(xié)議的基本特征及與IPV4的IP報(bào)頭格式的區(qū)別？TCP/IP的所有協(xié)議的數(shù)據(jù)都以IP數(shù)據(jù)報(bào)的形式傳輸，TCP/IP協(xié)議簇有兩種IP版本： IPv4和IPv6。IPv4的IP地址是TCP/IP網(wǎng)絡(luò)中唯一指定主機(jī)的32位地址,一個(gè)IP包頭占20字節(jié)包括IP版本號(hào)、長(zhǎng)度、服務(wù)類(lèi)型和其他配置信息及控制字段。IPv4在設(shè)計(jì)之初沒(méi)有考慮安全性，IP包

9、本身并不具有任何安全特性。IPv6簡(jiǎn)化了IP頭，其數(shù)據(jù)報(bào)更加靈活，同時(shí)IPv6還增加了對(duì)安全性的設(shè)計(jì)。IPv6協(xié)議相對(duì)于IPv4協(xié)議有許多重要的改進(jìn)，具有以下基本特征： (1)擴(kuò)展地址空間：IPv6將IPv4的IP地址從32位擴(kuò)充到128位，這使得網(wǎng)絡(luò)的規(guī)模可以得到充分?jǐn)U展，連接所有可能的裝置和設(shè)備，并使用唯一的全局網(wǎng)絡(luò)地址。 (2)簡(jiǎn)化報(bào)頭：IPv4有許多域和選項(xiàng)，由于報(bào)頭長(zhǎng)度不固定，不利于高效地處理，也不便于擴(kuò)展。I P v6針對(duì)這種實(shí)際情況，對(duì)報(bào)頭進(jìn)行了重新設(shè)計(jì)，由一個(gè)簡(jiǎn)化的長(zhǎng)度固定的基本報(bào)頭和多個(gè)可選的擴(kuò)展報(bào)頭組成。這樣既加快了路由速度，又能靈活地支持多種應(yīng)用，還便于以后擴(kuò)展新的應(yīng)用。

10、IPv4及 IPV6基本報(bào)頭如圖2-8和圖2-9所示。 圖2-8 IPV4的IP報(bào)頭 圖2-9 IPV6基本報(bào)頭(3)更好支持服務(wù)質(zhì)量QoS (Quality of Service):為上層特殊應(yīng)用的傳送信息流可以用流標(biāo)簽來(lái)識(shí)別，便于專門(mén)的處理。 (4)改善路由性能：層次化的地址分配便于實(shí)現(xiàn)路由聚合，進(jìn)而減少路由表的表項(xiàng)，而簡(jiǎn)化的IP分組頭部也減少了路由器的處理負(fù)載。 (5)內(nèi)嵌的安全機(jī)制：要求強(qiáng)制實(shí)現(xiàn)IPSec，提供了支持?jǐn)?shù)據(jù)源發(fā)認(rèn)證、完整性和保密性的能力，同時(shí)可以抗重放攻擊。IPv6內(nèi)嵌的安全機(jī)制主要由以下兩個(gè)擴(kuò)展報(bào)頭來(lái)實(shí)現(xiàn)：認(rèn)證頭AH(Authentication Header)和封裝安

11、全載荷ESP(Encapsulation Security Payload)。u 其中認(rèn)證頭AH可以實(shí)現(xiàn)以下三個(gè)功能：保護(hù)數(shù)據(jù)完整性(即不被非法篡改)；數(shù)據(jù)源發(fā)認(rèn)證(即防止源地址假冒)和抗重放(Replay)攻擊。 u 封裝安全載荷ESP則在AH所實(shí)現(xiàn)的安全功能基礎(chǔ)上，還增加了對(duì)數(shù)據(jù)保密性的支持。 u AH和ESP都有兩種使用方式：傳輸模式和隧道模式。傳輸模式只應(yīng)用于主機(jī)實(shí)現(xiàn)，并只提供對(duì)上層協(xié)議的保護(hù)，而不保護(hù)IP報(bào)頭。隧道模式（一種以隱含形式把數(shù)據(jù)包封裝到隧道協(xié)議中傳輸數(shù)據(jù)的方法，將在2.4.2介紹）可用于主機(jī)或安全網(wǎng)關(guān)。在隧道模式中，內(nèi)部的IP報(bào)頭帶有最終的源和目的地址，而外面的IP報(bào)頭可

12、能包含性質(zhì)不同的IP地址，如安全網(wǎng)關(guān)地址。 （6）簡(jiǎn)述無(wú)線網(wǎng)絡(luò)的安全問(wèn)題及保證安全的基本技術(shù)？1. 無(wú)線網(wǎng)絡(luò)的安全問(wèn)題 無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用微波進(jìn)行輻射傳播，因此，只要在Access Point (AP)覆蓋的范圍內(nèi)，所有的無(wú)線終端都可以接收到無(wú)線信號(hào)，AP無(wú)法將無(wú)線信號(hào)定向到一個(gè)特定的接收設(shè)備，因此，無(wú)線的安全保密問(wèn)題就顯得尤為突出。 2. 無(wú)線安全基本技術(shù)(1) 訪問(wèn)控制-利用ESSID、MAC限制，可以防止非法無(wú)線設(shè)備入侵(2) 數(shù)據(jù)加密-基于WEP的安全解決方案(3) 新一代無(wú)線安全技術(shù)IEEE802.11i(4) TKIP-新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法(

13、5) AES- 是一種對(duì)稱的塊加密技術(shù)，提供比WEP/TKIP中RC4算法更高的加密性能(6) 端口訪問(wèn)控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）(7) WPA（WiFi Protected Access）規(guī)范- WPA是一種可替代 WEP的無(wú)線安全技術(shù)第3章 網(wǎng)絡(luò)安全管理技術(shù)1. 選擇題（1）計(jì)算機(jī)網(wǎng)絡(luò)安全管理主要功能不包括（ ）。A.性能和配置管理功能 B.安全和計(jì)費(fèi)管理功能C.故障管理功能 D.網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)管理者的管理功能（2）網(wǎng)絡(luò)安全管理技術(shù)涉及網(wǎng)絡(luò)安全技術(shù)和管理的很多方面，從廣義的范圍來(lái)看（ ）是安全網(wǎng)絡(luò)管理的一種手段。A.掃描和評(píng)估 B. 防火墻和入侵檢測(cè)系統(tǒng)安全

14、設(shè)備 C.監(jiān)控和審計(jì) D. 防火墻及殺毒軟件（3）名字服務(wù)、事務(wù)服務(wù)、時(shí)間服務(wù)和安全性服務(wù)是（ ）提供的服務(wù)。A. 遠(yuǎn)程IT管理的整合式應(yīng)用管理技術(shù) B. APM網(wǎng)絡(luò)安全管理技術(shù)C. CORBA網(wǎng)絡(luò)安全管理技術(shù) D. 基于WeB的網(wǎng)絡(luò)管理模式（4）與安全有關(guān)的事件，如企業(yè)猜測(cè)密碼、使用未經(jīng)授權(quán)的權(quán)限訪問(wèn)、修改應(yīng)用軟件以及系統(tǒng)軟件等屬于安全實(shí)施的（ ）。A.信息和軟件的安全存儲(chǔ) B.安裝入侵檢測(cè)系統(tǒng)并監(jiān)視 C.對(duì)網(wǎng)絡(luò)系統(tǒng)及時(shí)安裝最新補(bǔ)丁軟件 D.啟動(dòng)系統(tǒng)事件日志（5）（ ）功能是使用戶能夠能過(guò)輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來(lái)達(dá)到網(wǎng)絡(luò)管理目的，并且已經(jīng)發(fā)展成為各種網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)。

15、A. TCP/IP協(xié)議 B.公共管理信息協(xié)議CMIS/CMIP C.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP D.用戶數(shù)據(jù)報(bào)文協(xié)議UDP解答: （1）D （2）B （3）C （4）D （5）C 2. 填空題（1）OSI/RM安全管理包括 、 和 ，其處理的管理信息存儲(chǔ)在 或 中。解答: （1）系統(tǒng)安全管理、安全服務(wù)管理、安全機(jī)制管理、數(shù)據(jù)表、文件（2）網(wǎng)絡(luò)安全管理功能包括計(jì)算機(jī)網(wǎng)絡(luò)的 、 、 、 等所需要的各種活動(dòng)。ISO定義的開(kāi)放系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)管理的功能包括 、 、 、 、 。（2）運(yùn)行、處理、維護(hù)、服務(wù)提供、故障管理功能、配置管理功能、性能管理功能、安全管理功能、計(jì)費(fèi)管理功能（3） 是信息安全保障體系的

16、一個(gè)重要組成部分，按照 的思想，為實(shí)現(xiàn)信息安全戰(zhàn)略而搭建。一般來(lái)說(shuō)防護(hù)體系包括 、 和 三層防護(hù)結(jié)構(gòu)。（3）信息安全管理體系、多層防護(hù)、認(rèn)知宣傳教育、組織管理控制、審計(jì)監(jiān)督（4）網(wǎng)絡(luò)管理是通過(guò) 來(lái)實(shí)現(xiàn)的，基本模型由 、 和 三部分構(gòu)成。（4）構(gòu)建網(wǎng)絡(luò)管理系統(tǒng)NMS、網(wǎng)絡(luò)管理工作站、代理、管理數(shù)據(jù)庫(kù)（5）在網(wǎng)絡(luò)管理系統(tǒng)的組成部分中， 最重要，最有影響的是 和 代表了兩大網(wǎng)絡(luò)管理解決方案。（5）網(wǎng)絡(luò)管理協(xié)議、SNMP、CMIS/CMIP3.簡(jiǎn)答題（3）網(wǎng)絡(luò)安全管理的技術(shù)有哪些？1. 網(wǎng)絡(luò)安全管理技術(shù)概念 網(wǎng)絡(luò)安全管理技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和維護(hù)的技術(shù)，需要利用多種網(wǎng)絡(luò)安全技術(shù)和設(shè)備，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行

17、安全、合理、有效和高效的管理和維護(hù)。 網(wǎng)絡(luò)安全管理技術(shù)一般需要實(shí)施一個(gè)基于多層次安全防護(hù)的策略和管理協(xié)議，將網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)、病毒檢測(cè)和網(wǎng)絡(luò)流量管理等安全技術(shù)應(yīng)用于內(nèi)網(wǎng)，進(jìn)行統(tǒng)一的管理和控制，各種安全技術(shù)彼此補(bǔ)充、相互配合，對(duì)網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和控制，形成一個(gè)安全策略集中管理、安全檢查機(jī)制分散布置的分布式安全防護(hù)體系結(jié)構(gòu)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)進(jìn)行安全保護(hù)和管理。 監(jiān)控和審計(jì)是與網(wǎng)絡(luò)管理密切相關(guān)的技術(shù)。監(jiān)控和審計(jì)是通過(guò)對(duì)網(wǎng)絡(luò)通信過(guò)程中可疑、有害信息或行為進(jìn)行記錄為事后處理提供依據(jù)，從而對(duì)黑客形成一個(gè)強(qiáng)有力的威懾和最終達(dá)到提高網(wǎng)絡(luò)整體安全性的目的。 （4）網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型的構(gòu)成及各組成部分的內(nèi)容是

18、什么？現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)（Network Management System, 簡(jiǎn)稱NMS）主要由如下部分組成：l 多個(gè)被管代理（Managed Agents）及被管理對(duì)象（Managed Object）l 用于執(zhí)行具體管理工作的網(wǎng)絡(luò)管理器（Network Management）l 公共網(wǎng)絡(luò)管理協(xié)議（Network Manager Protocol，簡(jiǎn)NMP）l 系統(tǒng)管理應(yīng)用進(jìn)程(System Management Application Programme，簡(jiǎn)稱管理進(jìn)程SMAP)l 管理信息庫(kù)（Management Information Base，簡(jiǎn)稱MIB）。第4 章 黑客攻防與入侵

19、檢測(cè)1. 選擇題（1）在黑客攻擊技術(shù)中，（ ）黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑。A.網(wǎng)絡(luò)監(jiān)聽(tīng) B.緩沖區(qū)溢出 C.端口掃描 D.口令破解（2）一般情況下，大多數(shù)監(jiān)聽(tīng)工具不能夠分析的協(xié)議是（ ）。A. 標(biāo)準(zhǔn)以太網(wǎng) B. TCP/IP C. SNMP和CMIS D. IPX和DECNet（3）改變路由信息、修改WinDows NT注冊(cè)表等行為屬于拒絕服務(wù)攻擊的（ ）方式。A.資源消耗型 B.配置修改型 C.服務(wù)利用型 D. 物理破壞型（4）（ ）是建立完善的訪問(wèn)控制策略，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)遭受攻擊情況并加以追蹤和防范，避免對(duì)網(wǎng)絡(luò)造成更大損失。A. 動(dòng)態(tài)站點(diǎn)監(jiān)控 B.實(shí)施存取控制 C. 安全管理檢測(cè) D

20、.完善服務(wù)器系統(tǒng)安全性能（5）（ ）是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，可以遠(yuǎn)程上傳、修改注冊(cè)表等，集聚危險(xiǎn)性還在于，在服務(wù)端被執(zhí)行后，如果發(fā)現(xiàn)防火墻就會(huì)終止該進(jìn)程，使安裝的防火墻完全失去控制。A.冰河 B.網(wǎng)絡(luò)公牛C.網(wǎng)絡(luò)神偷 D.廣外女生解答：（1）C （2）C （3）B （4）A （5）D2. 填空題（1）黑客的“攻擊五部曲”是 、 、 、 、 。解答：隱藏IP、 踩點(diǎn)掃描、獲得特權(quán)、種植后門(mén)、隱身退出（2）端口掃描的防范也稱為 ，主要有 和 兩種方法。解答：系統(tǒng)加固、關(guān)閉閑置及危險(xiǎn)端口、屏蔽出現(xiàn)掃描癥狀的端口（3）密碼攻擊一般有 、 和 三種方法。其中 有蠻力攻擊和字典攻擊兩種方式。解答：網(wǎng)絡(luò)

21、監(jiān)聽(tīng)非法得到用戶密碼、密碼破解、放置特洛伊木馬程序、密碼破解（4）網(wǎng)絡(luò)安全防范技術(shù)也稱為 ，主要包括訪問(wèn)控制、 、 、 、補(bǔ)丁安全、 、數(shù)據(jù)安全等。解答：加固技術(shù)、安全漏洞掃描、入侵檢測(cè)、攻擊滲透性測(cè)試、關(guān)閉不必要的端口與服務(wù)等（5）入侵檢測(cè)系統(tǒng)模型由 、 、 、 以及 五個(gè)主要部分組成。解答：信息收集器、分析器、響應(yīng)、數(shù)據(jù)庫(kù)、目錄服務(wù)器3.簡(jiǎn)答題（1）常用的黑客攻擊技術(shù)有哪些？對(duì)每一種攻擊技術(shù)的防范對(duì)策是什么？1) 端口掃描攻防1) 端口掃描作用網(wǎng)絡(luò)端口為一組16位號(hào)碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號(hào)端口、FTP端口21、Telnet

22、端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過(guò)端口進(jìn)行的，同時(shí)也為黑客提供了一個(gè)隱蔽的入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描能得到許多有用的信息。通過(guò)端口掃描，可以得到許多需要的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞防患于未然。端口掃描往往成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑。2)端口掃描的防范對(duì)策 端口掃描的防范也稱為系統(tǒng)“加固”，主要有兩種方法。 (1) 關(guān)閉閑置及危險(xiǎn)端口 (2) 屏蔽出現(xiàn)掃描癥狀的端口2 )網(wǎng)絡(luò)監(jiān)聽(tīng)攻防網(wǎng)絡(luò)嗅探就是使網(wǎng)絡(luò)接口接收不屬于本主機(jī)的數(shù)據(jù)。通常賬戶和密碼等信息都以明文的形式在以太網(wǎng)上傳輸，一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上嗅探到，用戶就可能會(huì)遭到損害。對(duì)于網(wǎng)絡(luò)嗅探攻擊，可以采取以下一些措施進(jìn)

23、行防范。(1) 網(wǎng)絡(luò)分段(2) 加密(3) 一次性密碼技術(shù)5) 緩沖區(qū)溢出攻防(1) 編寫(xiě)正確的代碼(2) 非執(zhí)行的緩沖區(qū) (3) 數(shù)組邊界檢查(4) 程序指針完整性檢查6) 拒絕服務(wù)攻防到目前為止，進(jìn)行DDoS 攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞。檢測(cè)DDoS攻擊的主要方法有以下幾種： (1)根據(jù)異常情況分析 (2)使用DDoS檢測(cè)工具 對(duì)DDoS攻擊的主要防范策略包括： (1)盡早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。 (2)在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。 (3)利用網(wǎng)絡(luò)安全設(shè)備如防火墻等來(lái)加固網(wǎng)絡(luò)的

24、安全性。 (4)比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問(wèn)控制和對(duì)帶寬總量的限制。 (5)當(dāng)發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)應(yīng)付策略，盡快追蹤攻擊包，并及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量。 (6)對(duì)于潛在的DDoS攻擊，應(yīng)當(dāng)及時(shí)清除，以免留下后患。 （2）闡明特洛伊木馬攻擊的步驟及原理？ 1） 使用木馬工具進(jìn)行網(wǎng)絡(luò)入侵，基本過(guò)程可以分為6個(gè)步驟。 (1) 配置木馬 (2) 傳播木馬 (3) 運(yùn)行木馬 (4) 泄露信息。收集一些服務(wù)端的軟硬件信息，并通過(guò)E-mail或ICQ 等告知控制端用戶。

25、(5) 建立連接。服務(wù)端安裝木馬程序，且控制端及服務(wù)端都要在線。控制端可以通過(guò)木馬端口與服務(wù)端建立連接。 (6) 遠(yuǎn)程控制。通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 控制端口可以享有的控制權(quán)限： 竊取密碼、文件操作、修改注冊(cè)表和系統(tǒng)操作。2)特洛伊木馬攻擊原理特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和攻擊Dos等特殊功能的后門(mén)程序。 一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。 （6）入侵檢測(cè)系統(tǒng)的主要功能有哪些？其特點(diǎn)是什么？入侵檢測(cè)系統(tǒng)主要功能包括6個(gè)方面：(1) 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；(2) 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；(

26、3) 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人員報(bào)警；(4) 異常行為模式的統(tǒng)計(jì)分析；(5) 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6) 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 入侵檢測(cè)系統(tǒng)的特點(diǎn)： 入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)，是對(duì)防火墻技術(shù)的合理補(bǔ)充。IDS幫助系統(tǒng)防范網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理功能，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測(cè)和安全防護(hù)有根本性的區(qū)別：安全防護(hù)和黑客的關(guān)系是“防

27、護(hù)在明，黑客在暗”，入侵檢測(cè)和黑客的關(guān)系則是“黑客在明，檢測(cè)在暗”。安全防護(hù)主要修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件；入侵檢測(cè)并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征一般與系統(tǒng)缺陷有邏輯關(guān)系，對(duì)入侵事件的特征進(jìn)行檢測(cè)，所以入侵檢測(cè)系統(tǒng)是黑客的克星。（7）簡(jiǎn)述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？1. 提高防范意識(shí)2. 設(shè)置安全口令3. 實(shí)施存取控制4. 加密及認(rèn)證5. 定期分析系統(tǒng)日志6. 完善服務(wù)器系統(tǒng)安全性能7. 進(jìn)行動(dòng)態(tài)站點(diǎn)監(jiān)控8. 安全管理檢測(cè)9. 做好數(shù)據(jù)備份10. 使用防火墻和防毒軟件（8）簡(jiǎn)述端口掃描的原理。最簡(jiǎn)單的端口掃描程序僅僅是檢查目標(biāo)主

28、機(jī)在哪些端口可以建立TCP 連接，如果可以建立連接，則說(shuō)明主機(jī)在那個(gè)端口被監(jiān)聽(tīng)。 對(duì)于非法入侵者而言，要想知道端口上具體提供的服務(wù)，必須用相應(yīng)的協(xié)議來(lái)驗(yàn)證才能確定，因?yàn)橐粋€(gè)服務(wù)進(jìn)程總是為了完成某種具體的工作而設(shè)計(jì)的。 （9）從網(wǎng)絡(luò)安全角度分析為什么在實(shí)際應(yīng)用中要開(kāi)放盡量少的端口？網(wǎng)絡(luò)端口為一組16位號(hào)碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號(hào)端口、FTP端口21、Telnet端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過(guò)端口進(jìn)行的，同時(shí)也為黑客提供了一個(gè)隱蔽的入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描能得到許多有用的信息。通過(guò)端口掃描，可以得到許多需要的信息

29、，往往成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑, 所以從網(wǎng)絡(luò)安全角度在實(shí)際應(yīng)用中要開(kāi)放盡量少的端口。（10）在實(shí)際應(yīng)用中應(yīng)怎樣防范口令破譯？ 通常保持密碼安全的要點(diǎn)： (1) 要將密碼寫(xiě)下來(lái)，以免遺失； (2) 不要將密碼保存在電腦文件中； (3) 不要選取顯而易見(jiàn)的信息做密碼； (4) 不要讓他人知道； (5) 不要在不同系統(tǒng)中使用同一密碼； (6) 在輸入密碼時(shí)應(yīng)確認(rèn)身邊無(wú)人或其他人在1米線外看不到輸入密碼的地方； (7) 定期改變密碼，至少25 個(gè)月改變一次。（11）簡(jiǎn)述出現(xiàn)DDoS 時(shí)可能發(fā)生的現(xiàn)象。被攻擊主機(jī)上出現(xiàn)大量等待的TCP 連接，網(wǎng)絡(luò)中充斥著大量的無(wú)用數(shù)據(jù)包，源地址為假的，制造

30、高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊，利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。（12）簡(jiǎn)述電子郵件炸彈的原理及防范技術(shù)。原理：是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來(lái)危險(xiǎn)，甚至癱瘓。防范技術(shù)：其防范方法與防范其他密碼破解、拒收垃圾郵件和防范病毒方法類(lèi)似。第5章 身份認(rèn)證與訪問(wèn)控制1. 選擇題（1）在常用的身份認(rèn)證方式中，（ ）是采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證

31、模式，具有安全性、移動(dòng)性和使用的方便性。A. 智能卡認(rèn)證 B. 動(dòng)態(tài)令牌認(rèn)證 C. USB Key D. 用戶名及密碼方式認(rèn)證（2）以下（ ）屬于生物識(shí)別中的次級(jí)生物識(shí)別技術(shù)。A. 網(wǎng)膜識(shí)別 B. DNA C. 語(yǔ)音識(shí)別 D. 指紋識(shí)別（3）數(shù)據(jù)簽名的（ ）功能是指簽名可以證明是簽字者而不是其他人在文件上簽字。A. 簽名不可偽造 B. 簽名不可變更C. 簽名不可抵賴 D. 簽名是可信的（4）在綜合訪問(wèn)控制策略中，系統(tǒng)管理員權(quán)限、讀/寫(xiě)權(quán)限、修改權(quán)限屬于（ ）。A. 網(wǎng)絡(luò)的權(quán)限控制 B. 屬性安全控制C. 網(wǎng)絡(luò)服務(wù)安全控制 D. 目錄級(jí)安全控制（5）以下（ ）不屬于AAA系統(tǒng)提供的服務(wù)類(lèi)型。A.

32、 認(rèn)證 B. 鑒權(quán)C. 訪問(wèn) D. 審計(jì)解答：（1）B （2）C （3）A （4）D （5）C2. 填空題（1）身份認(rèn)證是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問(wèn)不同 的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否 、 和 的過(guò)程。解答：保護(hù)級(jí)別、真實(shí)、合法、唯一（2）數(shù)字簽名是指用戶用自己的 對(duì)原始數(shù)據(jù)進(jìn)行 所得到 ，專門(mén)用于保證信息來(lái)源的 、數(shù)據(jù)傳輸?shù)?和 。解答：私鑰 加密、特殊數(shù)字串、真實(shí)性、完整性、防抵賴性（3）訪問(wèn)控制包括三個(gè)要素，即 、 和 。訪問(wèn)控制的主要內(nèi)容包括 、 和 三個(gè)方面。解答：主體 客體、控制策略、認(rèn)證、控制策略實(shí)現(xiàn)、審計(jì)（4）訪問(wèn)控制模式有三種模式，即 、 和 。解答：自主訪

33、問(wèn)控制DAC、強(qiáng)制訪問(wèn)控制MAC、基本角色的訪問(wèn)控制RBAC（5）計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)是通過(guò)一定的 ，利用 系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序 、 和 每個(gè)事件的環(huán)境及活動(dòng)，是對(duì)和的要補(bǔ)充和完善。解答：安全策略、記錄及分析、檢查、審查、檢驗(yàn)、防火墻技術(shù)、入侵檢測(cè)技術(shù)3. 簡(jiǎn)答題（1）簡(jiǎn)述數(shù)字簽名技術(shù)的實(shí)現(xiàn)過(guò)程？對(duì)一個(gè)電子文件進(jìn)行數(shù)字簽名并在網(wǎng)上傳輸，通常需要的技術(shù)實(shí)現(xiàn)過(guò)程包括：網(wǎng)上身份認(rèn)證、進(jìn)行簽名和對(duì)簽名的驗(yàn)證。1. 身份認(rèn)證的實(shí)現(xiàn)過(guò)程PKI 提供的服務(wù)首先是認(rèn)證，即身份識(shí)別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體。認(rèn)證的前提是甲、乙雙方都具有第三方CA 所簽發(fā)的證書(shū)。認(rèn)證分單向認(rèn)證和

34、雙向認(rèn)證。 1) 單向認(rèn)證 ，單向認(rèn)證是甲、乙雙方在網(wǎng)上通信時(shí)，甲只需要認(rèn)證乙的身份。這時(shí)甲需要獲取乙的證書(shū)，獲取的方式有兩種，一種是在通信時(shí)乙直接將證書(shū)傳送給甲，另一種是甲向CA 的目錄服務(wù)器查詢索取。甲獲得乙的證書(shū)后，首先用CA 的根證書(shū)公鑰驗(yàn)證該證書(shū)的簽名，驗(yàn)證通過(guò)說(shuō)明該證書(shū)是第三方CA 簽發(fā)的有效證書(shū)。然后檢查證書(shū)的有效期及檢查該證書(shū)是否已被作廢(LRC 檢查)而進(jìn)入黑名單。2)雙向認(rèn)證。甲乙雙方在網(wǎng)上查詢對(duì)方證書(shū)的有效性及黑名單時(shí)，采用LDAP協(xié)議(Light Directory Access Protocol)，它是一種輕型目錄訪問(wèn)協(xié)議，過(guò)程如圖所示。 網(wǎng)上通信的雙方，在互相認(rèn)證身

35、份之后，即可發(fā)送簽名的數(shù)據(jù)電文。3.原文保密的數(shù)據(jù)簽名的實(shí)現(xiàn)方法上述數(shù)字簽名中定義的對(duì)原文做數(shù)字摘要及簽名并傳輸原文，實(shí)際上在很多場(chǎng)合傳輸?shù)脑囊蟊Ｃ?，不許別人接觸。要求對(duì)原文進(jìn)行加密的數(shù)字簽名方法的實(shí)現(xiàn)涉及到“數(shù)字信封”的問(wèn)題，這個(gè)處理過(guò)程稍微復(fù)雜一些，但數(shù)字簽名的基本原理仍是相同的，其簽名過(guò)程如圖5-8 所示。圖5-8 原文加密的數(shù)字簽名實(shí)現(xiàn)方法這是一個(gè)典型的“數(shù)字信封”處理過(guò)程。其基本原理是將原文用對(duì)稱密鑰加密傳輸，而將對(duì)稱密鑰用收方公鑰加密發(fā)送給對(duì)方。如同將對(duì)稱密鑰放在同一個(gè)數(shù)字信封，收方收到數(shù)字信封，用自己的私鑰解密信封，取出對(duì)稱密鑰解密得原文。原文加密的數(shù)字簽名的過(guò)程：(1) 發(fā)

36、方A 將原文信息進(jìn)行哈希(Hash)運(yùn)算，得到一哈希值，即數(shù)字摘要MD。(2) 發(fā)方A 用自己的私鑰PVA，采用非對(duì)稱RSA 算法對(duì)數(shù)字摘要MD 進(jìn)行加密，即得數(shù)字簽名DS。(3) 發(fā)方A 用對(duì)稱算法DES 的對(duì)稱密鑰SK 對(duì)原文信息、數(shù)字簽名DS 及發(fā)方A 證書(shū)的公鑰PBA 采用對(duì)稱算法加密，得加密信息E。(4) 發(fā)方用收方B 的公鑰PBB，采用RSA 算法對(duì)對(duì)稱密鑰SK 加密，形成數(shù)字信封DE，就好像將對(duì)稱密鑰SK 裝到了一個(gè)用收方公鑰加密的信封里。(5) 發(fā)方A 將加密信息E 和數(shù)字信封DE 一起發(fā)送給收方B。(6) 收方B 接收到數(shù)字信封DE 后，首先用自己的私鑰PVB 解密數(shù)字信封，

37、取出對(duì)稱密鑰SK。(7) 收方B 用對(duì)稱密鑰SK 通過(guò)DES 算法解密加密信息E，還原出原文信息、數(shù)字簽名DS 及發(fā)方A 證書(shū)的公鑰PBA。(8) 收方B 驗(yàn)證數(shù)字簽名，先用發(fā)方A 的公鑰解密數(shù)字簽名得數(shù)字摘要MD。(9) 收方B 同時(shí)將原文信息用同樣的哈希運(yùn)算，求得一個(gè)新的數(shù)字摘要MD。(10)將兩個(gè)數(shù)字摘要MD 和MD進(jìn)行比較，驗(yàn)證原文是否被修改，如果二者相等，說(shuō)明數(shù)據(jù)沒(méi)有被篡改，是保密傳輸?shù)模灻钦鎸?shí)的，否則拒絕該簽名。這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，其他沒(méi)經(jīng)認(rèn)證和授權(quán)的人看不見(jiàn)或讀不懂原數(shù)據(jù)，起到了在數(shù)字簽名傳輸中對(duì)敏感數(shù)據(jù)的保密作用。以上就是現(xiàn)行電子簽名中普遍被使用

38、而又具有可操作性的、安全的、數(shù)字簽名的技術(shù)實(shí)現(xiàn)原理和全部過(guò)程。（3）簡(jiǎn)述安全審計(jì)的目的和類(lèi)型？目的和意義在于： (1) 對(duì)潛在的攻擊者起到重大震懾和警告的作用； (2) 測(cè)試系統(tǒng)的控制是否恰當(dāng)，以便于進(jìn)行調(diào)整，保證與既定安全策略和操作能夠協(xié)調(diào)一致。(3) 對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為，作出損害評(píng)估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)；(4) 對(duì)系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評(píng)價(jià)和反饋，便于修訂決策和部署。(5) 為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。安全審計(jì)有三種類(lèi)型： (1) 系統(tǒng)級(jí)審計(jì) (2) 應(yīng)用級(jí)審計(jì) (3) 用戶級(jí)審計(jì)

39、2Windows NT的訪問(wèn)控制過(guò)程 （1）創(chuàng)建賬號(hào)。當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows NT系統(tǒng)為它分配一個(gè)安全標(biāo)識(shí)（SID）。安全標(biāo)識(shí)和賬號(hào)惟一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫(kù)里。 （2）登錄過(guò)程（LP）控制。每次用戶登錄時(shí)，用戶應(yīng)輸入用戶名、口令和用戶希望登錄的服務(wù)器/域等信息，登錄主機(jī)把這些信息傳送給系統(tǒng)的安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給客戶機(jī)或工作站允許訪問(wèn)的信息，記錄用戶賬號(hào)的特權(quán)、主目錄位置、工作站參數(shù)等信息，并返回用戶的安全標(biāo)識(shí)和用戶所在組的

40、安全標(biāo)識(shí)。工作站為用戶生成一個(gè)進(jìn)程。 （3）創(chuàng)建訪問(wèn)令牌。當(dāng)用戶登錄成功后，本地安全授權(quán)機(jī)構(gòu)（LSA）為用戶創(chuàng)建一個(gè)訪問(wèn)令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。以后用戶每新建一個(gè)進(jìn)程，都將訪問(wèn)并復(fù)制令牌作為該進(jìn)程的訪問(wèn)令牌。 （4）訪問(wèn)對(duì)象控制。當(dāng)用戶或者用戶生成的進(jìn)程要訪問(wèn)某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器（SRM）將用戶/進(jìn)程的訪問(wèn)令牌中的安全標(biāo)識(shí)（SID）與對(duì)象安全描述符（是NT為共享資源創(chuàng)建的一組安全屬性，包括所有者安全標(biāo)識(shí)、組安全標(biāo)識(shí)、自主訪問(wèn)控制表、系統(tǒng)訪問(wèn)控制表和訪問(wèn)控制項(xiàng)）中的自主訪問(wèn)控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問(wèn)該對(duì)象。在這個(gè)過(guò)程中應(yīng)該注意：安全標(biāo)識(shí)（SID）對(duì)應(yīng)賬號(hào)的整

41、個(gè)有效期，而訪問(wèn)令牌只對(duì)應(yīng)某一次賬號(hào)登錄。第6章 密碼與加密技術(shù)1.選擇題（1）（ ）密碼體制，不但具有保密功能，并且具有鑒別的功能。 A. 對(duì)稱 B. 私鑰 C. 非對(duì)稱 D. 混合加密體制（2）網(wǎng)絡(luò)加密方式的（ ）是把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文的每一位進(jìn)行加密，而且把路由信息、校驗(yàn)和等控制信息全部加密。A. 鏈路加密 B. 節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密C. 端對(duì)端加密 D.混合加密（3）愷撒密碼是（ ）方法，被稱為循環(huán)移位密碼，優(yōu)點(diǎn)是密鑰簡(jiǎn)單易記，缺點(diǎn)是安全性較差。A.代碼加密 B.替換加密C.變位加密 D.一次性加密（4）在加密服務(wù)中，（ ）是用于保障數(shù)據(jù)的真實(shí)性和完整性的，目前主要有兩種生成MA.C.的方

42、式。A. 加密和解密 B. 數(shù)字簽名 C. 密鑰安置 D.消息認(rèn)證碼（5）根據(jù)信息隱藏的技術(shù)要求和目的，下列（ ）不屬于數(shù)字水印需要達(dá)到的基本特征。A. 隱藏性 B. 安全性 C. 完整性 D. 強(qiáng)壯性解答：（1）C （2）A （3）B （4）D （5）C2.填空題（1）在加密系統(tǒng)中，原有的信息稱為 ，由 變?yōu)?的過(guò)程稱為加密，由 還原成 的過(guò)程稱為解密。 解答：明文、明文、密文、密文、明文（2） 是保護(hù)大型傳輸網(wǎng)絡(luò)系統(tǒng)上各種信息的惟一實(shí)現(xiàn)手段，是保障信息安全的 。解答：密碼技術(shù)、核心技術(shù)（3）對(duì)稱密碼體制加密解密使用 的密鑰；非對(duì)稱密碼體制的加密解密使用 的密鑰，而且加密密鑰和解密密鑰要求

43、互相推算。解答：相同、不相同、無(wú)法（4）數(shù)據(jù)加密標(biāo)準(zhǔn)DES是 加密技術(shù)，專為 編碼數(shù)據(jù)設(shè)計(jì)的，典型的按 方式工作的 密碼算法。解答：代碼加密、替換加密、變位加密、一次性加密（5）常用的加密方法有 、 、 、 四種。解答：對(duì)稱、二進(jìn)制、分組、單鑰3.簡(jiǎn)答題（3）簡(jiǎn)述密碼的破譯方法和防止密碼被破譯的措施？密碼破譯方法1密鑰的窮盡搜索 破譯密文最簡(jiǎn)單的方法，就是嘗試所有可能的密鑰組合。如果破譯者有識(shí)別正確解密結(jié)果的能力，雖然大多數(shù)的密鑰組合破解嘗試都可能失敗，但最終有可能被破譯者得到密鑰和原文，這個(gè)過(guò)程稱為密鑰的窮盡搜索。密鑰的窮盡搜索，一般可用簡(jiǎn)單的工具軟件或機(jī)械裝置，如同組合密碼攻擊一樣，搜索效

44、率很低，甚至達(dá)到的程度很小。如果加密系統(tǒng)密鑰生成的概率分布不均勻，比如有些密鑰組合根本不會(huì)出現(xiàn)，而另一些組合則經(jīng)常出現(xiàn)，那么密鑰的有效長(zhǎng)度則減小了很多。破譯者利用這種規(guī)律就可能大大加快搜索的速度。另外，利用多臺(tái)或更先進(jìn)的計(jì)算機(jī)進(jìn)行分布式搜索，其威脅也是很大的。2密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。 (1) 已知明文的破譯方法：密碼分析員可以通過(guò)一段明文和密文的對(duì)應(yīng)關(guān)系，經(jīng)過(guò)分析發(fā)現(xiàn)加密的密鑰。所以，過(guò)時(shí)或常用加密的明文、密文和密鑰，仍然具有被利用的危險(xiǎn)性。(2) 選定明文的破譯方法：密碼分析員可以設(shè)法讓對(duì)手加密一段選定的明文，并獲得加密后的結(jié)果，經(jīng)過(guò)分

45、析也可以確定加密的密鑰。（4）如何進(jìn)行簡(jiǎn)單的變位加密？已知明文是“來(lái)賓已出現(xiàn)住在人民路”， 密鑰是：4168257390，則加密后，密文是什么？簡(jiǎn)單的變位加密：首先選擇一個(gè)用數(shù)字表示的密鑰，寫(xiě)成一行，然后把明文逐行寫(xiě)在數(shù)字下。按密鑰中數(shù)字指示的順序，逐列將原文抄寫(xiě)下來(lái)，即為加密后的密文 。密鑰： 4 1 6 8 2 5 7 3 9 0明文：來(lái) 賓 已 出 現(xiàn) 住 在 人 民 路 0 1 2 3 4 5 6 7 8 9密文：路 賓 現(xiàn) 人 來(lái) 住 已 在 出 民(5)已知明文是“One World One Dream”，用5列變位加密后，密文是什么？O n e W or l d O ne D r e am 則密文是：OremnlDedrWOeona（6）已知明文是“One World One Dream”，按行排在矩陣中，置換f=，用矩陣變位加密方法后，密文是什