計(jì)算機(jī)安全技術(shù)復(fù)習(xí)資料

1、計(jì)算機(jī)平安技術(shù)復(fù)習(xí)資料一、單項(xiàng)選擇題（每題2分，總分40分）.數(shù)據(jù)完整性指的是（C ）A、保護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)，防止因數(shù)據(jù)被截獲而造成泄密B、提供連接實(shí)體身份的鑒別C、防止非法實(shí)體對(duì)用戶的主動(dòng)攻擊，保證數(shù)據(jù)接受方收到的信息與發(fā)送方發(fā)送的信息完全 一致D、確保數(shù)據(jù)數(shù)據(jù)是由合法實(shí)體發(fā)出的.在混合加密方式下，真正用來加解密通 信過程中所傳輸數(shù)據(jù)（明文）的密鑰是（B ）A、非對(duì)稱算法的公鑰B、對(duì)稱算法的密鑰C、非對(duì)稱算法的私鑰 D、CA中心的公鑰.在建立堡壘主機(jī)時(shí)（A ）A、在堡壘主機(jī)上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù) B、在堡壘主機(jī)上應(yīng)設(shè)置盡可能多的網(wǎng)絡(luò)服 務(wù)C、對(duì)必須設(shè)置的服務(wù)給與盡可能高的權(quán)限

2、D、 堡壘主機(jī)不管發(fā)生任何入侵情況，內(nèi)部網(wǎng)始終信任4.4.Kerberos協(xié)議是用來作為:A.法傳送數(shù)據(jù)的方法B.加密數(shù)據(jù)的方法C身份鑒別的方法D.訪問控制的方5.防止用戶被冒名所欺騙的方法是：（AA.對(duì)信息源發(fā)方進(jìn)行身份驗(yàn)證B.進(jìn)行數(shù)據(jù)加密C.對(duì)訪問網(wǎng)絡(luò)的流量進(jìn)行過濾和保護(hù)D.采用防火墻6.SSL指的是：（B ）A.加密認(rèn)證協(xié)議 B.平安套接層協(xié)議C.授權(quán)認(rèn)證協(xié)議D.平安通道協(xié)議.以下哪一項(xiàng)不屬于入侵檢測(cè)系統(tǒng)的功能：（BA.監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B.捕捉可疑的網(wǎng)絡(luò)活動(dòng)C.提供平安審計(jì)報(bào)告D.過濾非法 的數(shù)據(jù)包.以下哪一項(xiàng)屬于基于主機(jī)的入侵檢測(cè)方式的優(yōu)勢(shì)：（C ）A.監(jiān)視整個(gè)網(wǎng)段的通信 B.不

3、要求在大量的主機(jī)上安裝和管 理軟件C.適應(yīng)交換和加密D.具有更好的實(shí)時(shí)性.以下關(guān)于計(jì)算機(jī)病毒的特征說法正確的選項(xiàng)是：（ C ）A.計(jì)算機(jī)病毒只具有破壞性，沒有其他特征B.計(jì)算機(jī)病毒具有破壞性，不具有傳染性C.破壞性和傳染性是計(jì)算機(jī)病毒的兩大主要特征D.計(jì)算機(jī)病毒只具有傳染性，不具有 破壞性.加密技術(shù)不能實(shí)現(xiàn)：（D ）A.數(shù)據(jù)信息的完整性B.基于密碼技術(shù)的身份認(rèn)證C.機(jī)密文件加密 D.基于IP頭信息的包過濾.以下關(guān)于對(duì)稱密鑰加密說法正確的選項(xiàng)是：（B ）A.加密方和解密方可以使用不同的算法B.加密密鑰和解密密鑰可以是不同的C.加密密鑰和解密密鑰必須是相同的 D.密鑰的管理非常簡單.以下關(guān)于數(shù)字簽

4、名說法正確的選項(xiàng)是：（C ）A.數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B.數(shù)字簽名能夠解決數(shù)據(jù)的加密傳 輸，即平安傳輸問題C.數(shù)字簽名一般采用對(duì)稱加密機(jī)制D.數(shù)字簽名能夠解決篡改、偽造等平安性問題.以下關(guān)于VPN說法正確的選項(xiàng)是：（D ）VPN指的是用戶自己租用線路，和 公共網(wǎng)絡(luò)物理上完全隔離的、平安的線路VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、平安的連接VPN不能做到信息認(rèn)證和身份認(rèn)證VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能.為了簡化管理，訪問者通常被分類，設(shè)置訪問控制時(shí)可以按（B ）進(jìn)行設(shè)定，防止訪 問控制表過于龐大。A.嚴(yán)格限制數(shù)量B.分類組織成組C.不

5、作任何限制D.按訪問時(shí)間排序，并刪除一些長期沒有訪問的用戶.以下（D）不屬于將入侵檢測(cè)系統(tǒng)部署在DMZ中的優(yōu)點(diǎn)。A.可以查到受保護(hù)區(qū)域主機(jī)被攻擊的狀態(tài)B.可以檢測(cè)防火墻系統(tǒng)的策略配置是否合理C.可以檢測(cè)DMZ被黑客攻擊的重點(diǎn)D.可以審計(jì)來自Internet上對(duì)受到保護(hù)網(wǎng)絡(luò)的攻擊類型.下面不屬于SYN FLOODING攻擊的防范方法的是（C ）A.縮短SYN Timeout （連接等待超時(shí)）時(shí)間 B.利用防火墻技術(shù)C. TCP段加密D.根據(jù)源IP記錄SYN連接.過濾路由器可用于防止IP欺騙方式攻擊。該路由器的正確過濾規(guī)那么是（D ）A.允許源地址包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器進(jìn)入B.允許源

6、地址包含外部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器進(jìn)入C.允許目的地址包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器發(fā)出D.允許源地址和目的地址都包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器.可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（D ）oA.假冒源地址或用戶的地址欺騙攻擊B.抵賴做過信息的遞交行為C.數(shù)據(jù)中途被攻擊者竊聽獲取D.數(shù)據(jù)在途中被攻擊者篡改或破壞)o.向有限存儲(chǔ)空間輸入超長字符串的攻擊手段是（AA.緩沖區(qū)溢出 B.網(wǎng)絡(luò)監(jiān)聽C.端口掃描 D.IP欺騙.愷撒密碼的加密方法可以表示如下函數(shù)（B ）,其中a是明文字母，n是字符集字 母個(gè)數(shù)，k是密鑰。A. F（a）=（k+n） mod a B. F（a）=（a+k） m

7、od n C. F（a）=（a+n） mod k D. F（k）=n mod（k+a）二、填空題（每空1分，共10分）：.按照分析方法（檢測(cè)方法）入侵檢測(cè)系統(tǒng)可分為（異常檢測(cè)模型 ）和（誤用檢測(cè) 模型）o.在進(jìn)行協(xié)議分析與入侵檢測(cè)時(shí)，網(wǎng)卡的工作模式應(yīng)處于（混雜模式 ）。3,有一種攻擊不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng) 響應(yīng)減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種 攻擊叫做（拒絕服務(wù)攻擊）。.如果目標(biāo)主機(jī)阻塞了 ICMP回顯請(qǐng)求報(bào)文，我們可以通過類型為（初步判斷）和（使用 其他類型）的ICMP報(bào)文來探測(cè)目標(biāo)主機(jī)是否存活。.網(wǎng)絡(luò)

8、平安的威脅可以分為兩大類,其中一種是通過截取以前的合法記錄稍后重新加入一個(gè) 連接，這叫做重放攻擊（R叩lay Attack）。為防止這種攻擊，可以采用的方法是（加入時(shí)間戳）。PSec是IETF以RFC形式公布的一組平安協(xié)議集，它包括AH與ESP兩個(gè)平安機(jī)制, 其中（AH）不支持保密服務(wù)。.計(jì)算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和（表現(xiàn)）機(jī)制構(gòu)成。.通信量分析攻擊可以確定通信的位置和通信主機(jī)的身份,還可以觀察交換信息的頻度和長 度。這類平安攻擊屬于（被動(dòng)）攻擊。三、簡答題（每題10分，共30分）：.什么是容錯(cuò)？容錯(cuò)技術(shù)主要包括哪些？答：容錯(cuò)FT技術(shù)一般利用冗余硬件交叉檢測(cè)操作結(jié)果。隨著處理器速度的加

9、快和價(jià)格的下 跌而越來越多的轉(zhuǎn)移到軟件中。未來容錯(cuò)技術(shù)將完全在軟件環(huán)境中完成，那時(shí)他和高可用性 技術(shù)之間的差異也就隨時(shí)消失了。局域網(wǎng)的核心設(shè)備是服務(wù)器，用戶不斷從文件服務(wù)器中大量存取數(shù)據(jù)，文件服務(wù)器集中管理 系統(tǒng)共享資源。但是如果文件服務(wù)器或文件服務(wù)器的硬盤出現(xiàn)故障，數(shù)據(jù)就會(huì)喪失，所以我 們?cè)谶@里講解容錯(cuò)技術(shù)是針對(duì)服務(wù)器、服務(wù)器硬盤和供電系統(tǒng)的。.平安的Hash函數(shù)一般滿足哪些要求？答：Hash一般翻譯成散列，也有直接翻譯為“哈希”的，就是把任意長度的輸入，通過散列算 法變換成固定長度的輸出，該輸出就是散列值，這種轉(zhuǎn)換就是一種壓縮映射，散列值的空間 遠(yuǎn)小于輸入的空間，不同的輸入可能散列成相同的

10、輸出，而不可能從散列值來唯一確實(shí)定輸 入值，簡單地說就是將一種任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。HAS主 要用于信息平安領(lǐng)域中的加密算法，它把一些不同長度的信息轉(zhuǎn)換成雜亂的128位的編碼 里，叫做HASH值，也可以說，hash找到一種數(shù)據(jù)內(nèi)容和數(shù)據(jù)存放地址之間的映射關(guān)系了 解了 hash基本定義，就不能不提到一些著名的hash算法，而他們都以MD4為基礎(chǔ)設(shè)計(jì)的。 那么他們說都是什么意思呢？這里簡單說一下，MD4是MIT的在1990年設(shè)計(jì)的，MD是menssage digest的縮寫。它適用在32位字長 的處理器上用高速軟件實(shí)現(xiàn)，它是基于32位操作數(shù)的操作來實(shí)現(xiàn)的。MD5MD5是

11、Rivest于1991年對(duì)MD4改進(jìn)版本。他對(duì)輸入仍以512分組，其輸出是32 位字的級(jí)聯(lián)，與MD4相同。MD5比MD4來的復(fù)雜，并且速度較之慢一點(diǎn)，但更平安，在 抗分析和抗差分方面表現(xiàn)更好。SHAI及其他SHAI是由NISTNSA設(shè)計(jì)為同DSA 一起使用的，它對(duì)長度小于264的輸 入,產(chǎn)生長度為160bit散列值。因此抗窮舉性更好。SHA-1設(shè)計(jì)時(shí)基于和MD4相同原理, 并且模仿了該算法。3 .堡壘主機(jī)的構(gòu)建原那么是什么？答：堡壘主機(jī)是一種被強(qiáng)化的可以預(yù)防進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以 到達(dá)把整個(gè)網(wǎng)路的平安問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其他主機(jī)的安 全目的。

12、堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善 的主機(jī)。一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡，每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi) 部網(wǎng)絡(luò)用來管理、控制和保護(hù)，而另一塊連接另一個(gè)網(wǎng)絡(luò)，通常公網(wǎng)也就是internet.堡壘主 機(jī)經(jīng)常是配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個(gè)進(jìn)程來提供對(duì)從公網(wǎng)到私網(wǎng)有網(wǎng)絡(luò)的特殊協(xié)議路 由，反之亦然。四、計(jì)算題（共10分）1.創(chuàng)立關(guān)鍵詞為telegram”的Playfair加密法，并用它來加密以下文字： next time,jay, try something different1、首先生成加密矩陣TELGR2、AMBCD3、FHIKN4、OPQSU5、

13、VWXYZ6、蔣明文兩兩分組7、NE XT TI ME IA YT RY SO ME TH IN GD IF FE RE NT8、加密結(jié)果如下：HR VL LF HM FB VG GZ UP HM EF KF RC KH HT TL FR 五、論述題（共10分）1. Windows操作系統(tǒng)的平安配置方案？答：一物理平安服務(wù)器應(yīng)當(dāng)放置在安裝了監(jiān)視器隔離房間內(nèi)，并且監(jiān)視器應(yīng)當(dāng)保存15天以內(nèi)的錄像記錄。 另外，機(jī)箱、鍵盤、抽屜等要上鎖，以保證旁人即使在無人值守時(shí)也無法使用此計(jì)算機(jī)，鑰 匙要放在平安的地方。二停止GUEST的賬號(hào)在計(jì)算機(jī)管理中將GUEST賬號(hào)停止掉，任何時(shí)候不允許Guest賬號(hào)登錄系統(tǒng)

14、。為了保險(xiǎn)起 見，最好給Guest賬號(hào)加上一個(gè)復(fù)雜的密碼，并且修改Guest賬號(hào)屬性，設(shè)置拒絕遠(yuǎn)程訪問。 三限制用戶數(shù)量去掉所有的測(cè)試賬戶、共享賬號(hào)和普通部門賬號(hào)，用戶組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查 系統(tǒng)賬號(hào)，刪除已經(jīng)不適應(yīng)的賬號(hào)。很多賬號(hào)不利于管理員管理，而黑客在賬號(hào)多的系統(tǒng)中可利用的賬 號(hào)就更多，所以合理規(guī)劃系統(tǒng)中的賬號(hào)分配。四多個(gè)管理員賬號(hào)管理員不應(yīng)該經(jīng)常使用管理者賬號(hào)登錄系統(tǒng)，這樣有可能被一些能夠查看的進(jìn)程中的密碼軟 件所窺探到，應(yīng)該為自己建立普通賬號(hào)來進(jìn)行日常工作。同時(shí)為了防止管理員賬號(hào)一旦被入 侵者得到，管理員擁有備份的管理員賬號(hào)還可以有機(jī)會(huì)系統(tǒng)管理員權(quán)限，不過因此帶來了多 個(gè)賬

15、號(hào)的潛在問題。五管理員賬號(hào)改名在windows2000系統(tǒng)中管理員賬號(hào)是不能被停用的，這意味著攻擊者可 以一再嘗試猜想此賬戶的密碼。把管理員賬號(hào)改名可以有效防止這一點(diǎn)。不要蔣名稱改為 Admin之類，而盡量將其偽裝為普通用戶。六陷阱賬號(hào)再更改了管理員名稱后，可以建立一個(gè)Adminstrator普通用戶，將其權(quán)限設(shè)置為最低，并且加 上一個(gè)10位以上的復(fù)雜密碼，借此花費(fèi)大量入侵者的時(shí)間，并且發(fā)現(xiàn)入侵者的企圖。七 更改文件共享的默認(rèn)權(quán)限將共享文件的權(quán)限從Everyon更改為授權(quán)用戶，Everyon意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶都 能夠訪問這些共享文件。八平安密碼平安密碼的定義是：平安期內(nèi)無法破解出來密碼就是平安密碼，也就是說，就算獲取得到了 密碼文檔，必須花費(fèi)42天或許更長時(shí)間才能破解出來，平安策略默認(rèn)42天更改一次密碼，九屏幕保護(hù)/屏幕鎖定密碼防止內(nèi)部人員破壞服務(wù)器的一道屏障。在管理員離開時(shí)，