信息安全技術(shù)試題答案匯總(全)

1、考生考試時(shí)間： 10:29 - 11:48 得分：92分 通過情況：通過 信息技術(shù)與信息安全公需科目考試 考試結(jié)果1.(2分) 特別適用于實(shí)時(shí)和多任務(wù)的應(yīng)用領(lǐng)域的計(jì)算機(jī)是（ ）。 A. 巨型機(jī)B. 大型機(jī)C. 微型機(jī)D. 嵌入式計(jì)算機(jī) 你的答案: ABCD 得分: 2分 2.(2分) 負(fù)責(zé)對計(jì)算機(jī)系統(tǒng)的資源進(jìn)行管理的核心是（ ）。 A. 中央處理器 B. 存儲(chǔ)設(shè)備C. 操作系統(tǒng)D. 終端設(shè)備你的答案: ABCD 得分: 2分 3.(2分) 2013年12月4日國家工信部正式向中國移動(dòng)、中國聯(lián)通、中國電信發(fā)放了（ ）4G牌照。 A. WCDMA B. WiMaxC. TD-LTED. FDD-L

2、TE你的答案: ABCD 得分: 2分 4.(2分) 以下關(guān)于盜版軟件的說法，錯(cuò)誤的是（ ）。 A. 若出現(xiàn)問題可以找開發(fā)商負(fù)責(zé)賠償損失B. 使用盜版軟件是違法的 C. 成為計(jì)算機(jī)病毒的重要來源和傳播途徑之一D. 可能會(huì)包含不健康的內(nèi)容你的答案: ABCD 得分: 2分 5.(2分) 涉密信息系統(tǒng)工程監(jiān)理工作應(yīng)由（ ）的單位或組織自身力量承擔(dān)。 A. 具有信息系統(tǒng)工程監(jiān)理資質(zhì)的單位B. 具有涉密工程監(jiān)理資質(zhì)的單位C. 保密行政管理部門D. 涉密信息系統(tǒng)工程建設(shè)不需要監(jiān)理 你的答案: ABCD 得分: 0分 正確答案：B6.(2分) 以下關(guān)于智能建筑的描述，錯(cuò)誤的是（ ）。 A. 智能建筑強(qiáng)調(diào)用

3、戶體驗(yàn)，具有內(nèi)生發(fā)展動(dòng)力。B. 隨著建筑智能化的廣泛開展，我國智能建筑市場已接近飽和。 C. 建筑智能化已成為發(fā)展趨勢。D. 智能建筑能為用戶提供一個(gè)高效、舒適、便利的人性化建筑環(huán)境。你的答案: ABCD 得分: 2分 7.(2分) 網(wǎng)頁惡意代碼通常利用（ ）來實(shí)現(xiàn)植入并進(jìn)行攻擊。 A. 口令攻擊B. U盤工具 C. IE瀏覽器的漏洞D. 拒絕服務(wù)攻擊你的答案: ABCD 得分: 2分 8.(2分) 信息系統(tǒng)在什么階段要評(píng)估風(fēng)險(xiǎn)？（ ） A. 只在運(yùn)行維護(hù)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實(shí)現(xiàn)。 B. 只在規(guī)劃設(shè)計(jì)階段進(jìn)行風(fēng)險(xiǎn)評(píng)

4、估，以確定信息系統(tǒng)的安全目標(biāo)。C. 只在建設(shè)驗(yàn)收階段進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定系統(tǒng)的安全目標(biāo)達(dá)到與否。D. 信息系統(tǒng)在其生命周期的各階段都要進(jìn)行風(fēng)險(xiǎn)評(píng)估。你的答案: ABCD 得分: 2分 9.(2分) 下面不能防范電子郵件攻擊的是（ ）。 A. 采用FoxMailB. 采用電子郵件安全加密軟件C. 采用Outlook Express D. 安裝入侵檢測工具你的答案: ABCD 得分: 2分 10.(2分) 給Excel文件設(shè)置保護(hù)密碼，可以設(shè)置的密碼種類有（ ）。 A. 刪除權(quán)限密碼 B. 修改權(quán)限密碼C. 創(chuàng)建權(quán)限密碼D. 添加權(quán)限密碼你的答案: ABCD 得分: 2分 11.(2分) 覆蓋地理

5、范圍最大的網(wǎng)絡(luò)是（ ）。 A. 廣域網(wǎng)B. 城域網(wǎng)C. 無線網(wǎng) D. 國際互聯(lián)網(wǎng)你的答案: ABCD 得分: 2分 12.(2分) 在信息安全風(fēng)險(xiǎn)中，以下哪個(gè)說法是正確的？（ ） A. 風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。在對這些要素的評(píng)估過程中，需要充分考慮與這些基本要素相關(guān)的各類屬性。B. 風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。在對這些要素的評(píng)估過程中，不需要充分考慮與這些基本要素相關(guān)的各類屬性。C. 安全需求可通過安全措施得以滿足，不需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本。 D. 信息系統(tǒng)的風(fēng)險(xiǎn)在實(shí)施了安全措施后可以降為零。你的答案: ABCD 得

6、分: 2分 13.(2分) 根據(jù)國際上對數(shù)據(jù)備份能力的定義，下面不屬于容災(zāi)備份類型？（ ） A. 存儲(chǔ)介質(zhì)容災(zāi)備份B. 業(yè)務(wù)級(jí)容災(zāi)備份 C. 系統(tǒng)級(jí)容災(zāi)備份D. 數(shù)據(jù)級(jí)容災(zāi)備份你的答案: ABCD 得分: 2分 14.(2分) 靜止的衛(wèi)星的最大通信距離可以達(dá)到( ) 。 A. 18000kmB. 15000kmC. 10000 kmD. 20000 km 你的答案: ABCD 得分: 2分 15.(2分) 網(wǎng)絡(luò)安全協(xié)議包括（ ）。 A. SSL、TLS、IPSec、Telnet、SSH、SET等B. POP3和IMAP4C. SMTP D. TCP/IP你的答案: ABCD 得分: 2分 16

7、.(2分) 在信息系統(tǒng)安全防護(hù)體系設(shè)計(jì)中，保證“信息系統(tǒng)中數(shù)據(jù)不被非法修改、破壞、丟失或延時(shí)”是為了達(dá)到防護(hù)體系的（ ）目標(biāo)。 A. 可用B. 保密C. 可控D. 完整你的答案: ABCD 得分: 2分 17.(2分) 要安全瀏覽網(wǎng)頁，不應(yīng)該（ ）。 A. 定期清理瀏覽器緩存和上網(wǎng)歷史記錄B. 禁止使用ActiveX控件和Java 腳本 C. 定期清理瀏覽器CookiesD. 在他人計(jì)算機(jī)上使用“自動(dòng)登錄”和“記住密碼”功能你的答案: ABCD 得分: 2分 18.(2分) 系統(tǒng)攻擊不能實(shí)現(xiàn)（ ）。 A. 盜走硬盤B. 口令攻擊C. 進(jìn)入他人計(jì)算機(jī)系統(tǒng)D. IP欺騙 你的答案: ABCD 得分

8、: 2分 19.(2分) 我國衛(wèi)星導(dǎo)航系統(tǒng)的名字叫（ ）。 A. 天宮 B. 玉兔C. 神州D. 北斗你的答案: ABCD 得分: 2分 20.(2分) 計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備中的無交換能力的交換機(jī)（集線器）屬于哪一層共享設(shè)備（ ）。 A. 物理層B. 數(shù)據(jù)鏈路層C. 傳輸層 D. 網(wǎng)絡(luò)層你的答案: ABCD 得分: 2分 多選題：21.(2分) 以下哪些計(jì)算機(jī)語言是高級(jí)語言？（ ） A. BASICB. PASCALC. #JAVA D. C你的答案: ABCD 得分: 2分 22.(2分) 常用的非對稱密碼算法有哪些？（ ） A. ElGamal算法 B. 數(shù)據(jù)加密標(biāo)準(zhǔn)C. 橢圓曲線密碼算法D

9、. RSA公鑰加密算法你的答案: ABCD 得分: 2分 23.(2分) 信息隱藏技術(shù)主要應(yīng)用有哪些？（ ） A. 數(shù)據(jù)加密 B. 數(shù)字作品版權(quán)保護(hù)C. 數(shù)據(jù)完整性保護(hù)和不可抵賴性的確認(rèn)D. 數(shù)據(jù)保密你的答案: ABCD 得分: 2分 24.(2分) 第四代移動(dòng)通信技術(shù)（4G）特點(diǎn)包括（ ）。 A. 流量價(jià)格更低B. 上網(wǎng)速度快C. 延遲時(shí)間短D. 流量價(jià)格更高 你的答案: ABCD 得分: 2分 25.(2分) 統(tǒng)一資源定位符中常用的協(xié)議？（ ） A. ddosB. https C. ftpD. http你的答案: ABCD 得分: 2分 26.(2分) 防范內(nèi)部人員惡意破壞的做法有（ ）。

10、 A. 嚴(yán)格訪問控制B. 完善的管理措施C. 有效的內(nèi)部審計(jì)D. 適度的安全防護(hù)措施 你的答案: ABCD 得分: 2分 27.(2分) 信息安全面臨哪些威脅？（ ） A. 信息間諜B. 網(wǎng)絡(luò)黑客C. 計(jì)算機(jī)病毒 D. 信息系統(tǒng)的脆弱性你的答案: ABCD 得分: 2分 28.(2分) 一般來說無線傳感器節(jié)點(diǎn)中集成了( )。 A. 通信模塊B. 無線基站 C. 數(shù)據(jù)處理單元D. 傳感器你的答案: ABCD 得分: 2分 29.(2分) 下面關(guān)于SSID說法正確的是（ ）。 A. 通過對多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問APB. 提供了40位和128

11、位長度的密鑰機(jī)制 C. 只有設(shè)置為名稱相同SSID的值的電腦才能互相通信D. SSID就是一個(gè)局域網(wǎng)的名稱你的答案: ABCD 得分: 2分 30.(2分) WLAN主要適合應(yīng)用在以下哪些場合？（ ） A. 難以使用傳統(tǒng)的布線網(wǎng)絡(luò)的場所B. 使用無線網(wǎng)絡(luò)成本比較低的場所 C. 人員流動(dòng)性大的場所D. 搭建臨時(shí)性網(wǎng)絡(luò)你的答案: ABCD 得分: 2分 31.(2分) 以下不是木馬程序具有的特征是（ ）。 A. 繁殖性B. 感染性 C. 欺騙性D. 隱蔽性你的答案: ABCD 得分: 0分 正確答案：A、B32.(2分) 防范XSS攻擊的措施是（ ）。 A. 應(yīng)盡量手工輸入U(xiǎn)RL地址B. 網(wǎng)站管理

12、員應(yīng)注重過濾特殊字符，限制輸入長度，在代碼層面上杜絕XSS漏洞出現(xiàn)的可能性C. 不要隨意點(diǎn)擊別人留在論壇留言板里的鏈接D. 不要打開來歷不明的郵件、郵件附件、帖子等 你的答案: ABCD 得分: 2分 33.(2分) 攻擊者通過端口掃描，可以直接獲得（ ）。 A. 目標(biāo)主機(jī)的口令B. 給目標(biāo)主機(jī)種植木馬 C. 目標(biāo)主機(jī)使用了什么操作系統(tǒng)D. 目標(biāo)主機(jī)開放了哪些端口服務(wù)你的答案: ABCD 得分: 2分 34.(2分) 以下屬于電子商務(wù)功能的是（ ）。 A. 意見征詢、交易管理 B. 廣告宣傳、咨詢洽談C. 網(wǎng)上訂購、網(wǎng)上支付D. 電子賬戶、服務(wù)傳遞你的答案: ABCD 得分: 2分 35.(2

13、分) 為了避免被誘入釣魚網(wǎng)站，應(yīng)該（ ）。 A. 不要輕信來自陌生郵件、手機(jī)短信或者論壇上的信息B. 使用搜索功能來查找相關(guān)網(wǎng)站C. 檢查網(wǎng)站的安全協(xié)議 D. 用好殺毒軟件的反釣魚功能你的答案: ABCD 得分: 2分 判斷題：36.(2分) 系統(tǒng)安全加固可以防范惡意代碼攻擊。 你的答案: 正確錯(cuò)誤 得分: 2分 37.(2分) 三層交換機(jī)屬于物理層共享設(shè)備，可并行進(jìn)行多個(gè)端口對之間的數(shù)據(jù)傳輸。 你的答案: 正確錯(cuò)誤 得分: 2分 38.(2分) 我國的信息化發(fā)展不平衡，總的來說，東部沿海地區(qū)信息化指數(shù)高，從東部到西部信息化指數(shù)逐漸降低。 你的答案: 正確錯(cuò)誤 得分: 2分 39.(2分) 瀏

14、覽器緩存和上網(wǎng)歷史記錄能完整還原用戶訪問互聯(lián)網(wǎng)的詳細(xì)信息，并反映用戶的使用習(xí)慣、隱私等。因此應(yīng)當(dāng)定期清理這些信息以避免他人獲得并造成隱私泄密。 你的答案: 正確錯(cuò)誤 得分: 2分 40.(2分) 光纖通過光在玻璃或塑料纖維中的全反射而進(jìn)行光傳導(dǎo)，傳導(dǎo)損耗比電在電線中的傳導(dǎo)損耗低得多。 你的答案: 正確錯(cuò)誤 得分: 2分 41.(2分) 無線網(wǎng)絡(luò)不受空間的限制，可以在無線網(wǎng)的信號(hào)覆蓋區(qū)域任何一個(gè)位置接入網(wǎng)絡(luò)。 你的答案: 正確錯(cuò)誤 得分: 2分 42.(2分) 蹭網(wǎng)指攻擊者使用自己計(jì)算機(jī)中的無線網(wǎng)卡連接他人的無線路由器上網(wǎng)，而不是通過正規(guī)的ISP提供的線路上網(wǎng)。 你的答案: 正確錯(cuò)誤 得分: 2

15、分 43.(2分) SQL注入攻擊可以控制網(wǎng)站服務(wù)器。 你的答案: 正確錯(cuò)誤 得分: 0分 正確答案：正確44.(2分) 企業(yè)與消費(fèi)者之間的電子商務(wù)是企業(yè)透過網(wǎng)絡(luò)銷售產(chǎn)品或服務(wù)個(gè)人消費(fèi)者。這也是目前一般最常見的模式。 你的答案: 正確錯(cuò)誤 得分: 2分 45.(2分) 涉密信息系統(tǒng)的建設(shè)使用單位應(yīng)對系統(tǒng)設(shè)計(jì)方案進(jìn)行審查論證，保密行政管理部門應(yīng)參與方案審查論證，在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo)。 你的答案: 正確錯(cuò)誤 得分: 2分 46.(2分) 風(fēng)險(xiǎn)分析階段的主要工作就是完成風(fēng)險(xiǎn)的分析和計(jì)算。 你的答案: 正確錯(cuò)誤 得分: 0分 正確答案：錯(cuò)誤47.(2分) 某個(gè)程序給智能手機(jī)發(fā)送垃圾信息不屬

16、于智能手機(jī)病毒攻擊。 你的答案: 正確錯(cuò)誤 得分: 2分 48.(2分) 政府系統(tǒng)信息安全檢查指根據(jù)國家的相關(guān)要求，國家信息化主管部門牽頭，公安、保密、安全等部門參加，對政府信息系統(tǒng)開展的聯(lián)合檢查。 你的答案: 正確錯(cuò)誤 得分: 2分 49.(2分) APT攻擊是一種“惡意商業(yè)間諜威脅”的攻擊。 你的答案: 正確錯(cuò)誤 得分: 2分 50.(2分) 通常情況下端口掃描能發(fā)現(xiàn)目標(biāo)主機(jī)開哪些服務(wù)。 你的答案: 正確錯(cuò)誤 得分: 2分 綜合習(xí)題一、選擇題1. 計(jì)算機(jī)網(wǎng)絡(luò)是地理上分散的多臺(tái)（C）遵循約定的通信協(xié)議，通過軟硬件互聯(lián)的系統(tǒng)。 A. 計(jì)算機(jī) B. 主從計(jì)算機(jī) C. 自主計(jì)算機(jī) D. 數(shù)字設(shè)備2

17、. 密碼學(xué)的目的是（C）。 A. 研究數(shù)據(jù)加密 B. 研究數(shù)據(jù)解密 C. 研究數(shù)據(jù)保密 D. 研究信息安全3. 假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個(gè)字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（A）。 A. 對稱加密技術(shù) B. 分組密碼技術(shù) C. 公鑰加密技術(shù) D. 單向函數(shù)密碼技術(shù)4. 網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（D）。 A. 用戶的方便性 B. 管理的復(fù)雜性 C. 對現(xiàn)有系統(tǒng)的影響及對不同平臺(tái)的支持 D. 上面3項(xiàng)都是5A方有一對密鑰（KA公開，KA秘密），B方有一對密鑰（KB公開，KB秘密），A方

18、向B方發(fā)送數(shù)字簽名M，對信息M加密為：M= KB公開（KA秘密（M）。B方收到密文的解密方案是（C）。A. KB公開（KA秘密（M） B. KA公開（KA公開（M）C. KA公開（KB秘密（M） D. KB秘密（KA秘密（M）6. “公開密鑰密碼體制”的含義是（C）。 A. 將所有密鑰公開 B. 將私有密鑰公開，公開密鑰保密 C. 將公開密鑰公開，私有密鑰保密 D. 兩個(gè)密鑰相同二、填空題密碼系統(tǒng)包括以下4個(gè)方面：明文空間、密文空間、密鑰空間和密碼算法。解密算法D是加密算法E的 逆運(yùn)算 。常規(guī)密鑰密碼體制又稱為 對稱密鑰密碼體制 ，是在公開密鑰密碼體制以前使用的密碼體制。如果加密密鑰和解密密鑰

19、 相同 ，這種密碼體制稱為對稱密碼體制。DES算法密鑰是 64 位，其中密鑰有效位是 56 位。RSA算法的安全是基于 分解兩個(gè)大素?cái)?shù)的積 的困難。公開密鑰加密算法的用途主要包括兩個(gè)方面：密鑰分配、數(shù)字簽名。消息認(rèn)證是 驗(yàn)證信息的完整性 ，即驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過程中是否被篡改、重放或延遲等。MAC函數(shù)類似于加密，它于加密的區(qū)別是MAC函數(shù) 不 可逆。10Hash函數(shù)是可接受 變長 數(shù)據(jù)輸入，并生成 定長 數(shù)據(jù)輸出的函數(shù)。三、問答題1簡述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象。主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)

20、的可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。2簡述對稱密鑰密碼體制的原理和特點(diǎn)。對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法的逆運(yùn)算，加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強(qiáng)度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。3具有N個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)如果使用公開密鑰密碼算法，每個(gè)節(jié)點(diǎn)的密鑰有多少？網(wǎng)絡(luò)中的密鑰共有多少？每個(gè)節(jié)點(diǎn)的密鑰是2個(gè)，網(wǎng)絡(luò)中的密鑰共有2N個(gè)。對稱密碼算法存在哪

21、些問題？適用于封閉系統(tǒng)，其中的用戶是彼此相關(guān)并相互信任的，所要防范的是系統(tǒng)外攻擊。隨著開放網(wǎng)絡(luò)環(huán)境的安全問題日益突出，而傳統(tǒng)的對稱密碼遇到很多困難：密鑰使用一段時(shí)間后需要更換，而密鑰傳送需要可靠的通道；在通信網(wǎng)絡(luò)中，若所有用戶使用相同密鑰，則失去保密意義；若使用不同密鑰N個(gè)人之間就需要N(N-1)/2個(gè)密鑰，密鑰管理困難。無法滿足不相識(shí)的人之間私人談話的保密性要求。對稱密鑰至少是兩人共享，不帶有個(gè)人的特征，因此不能進(jìn)行數(shù)字簽名。IDEA是對稱加密算法還是非對稱加密算法？加密密鑰是多少位？IDEA是一種對稱密鑰算法，加密密鑰是128位。什么是序列密碼和分組密碼？序列密碼是一種對明文中的單個(gè)位（有

22、時(shí)對字節(jié)）運(yùn)算的算法。分組密碼是把明文信息分割成塊結(jié)構(gòu)，逐塊予以加密和解密。塊的長度由算法設(shè)計(jì)者預(yù)先確定。簡述公開密鑰密碼機(jī)制的原理和特點(diǎn)？公開密鑰密碼體制是使用具有兩個(gè)密鑰的編碼解碼算法，加密和解密的能力是分開的；這兩個(gè)密鑰一個(gè)保密，另一個(gè)公開。根據(jù)應(yīng)用的需要，發(fā)送方可以使用接收方的公開密鑰加密消息，或使用發(fā)送方的私有密鑰簽名消息，或兩個(gè)都使用，以完成某種類型的密碼編碼解碼功能。什么是MD5？MD消息摘要算法是由Rivest提出，是當(dāng)前最為普遍的Hash算法，MD5是第5個(gè)版本，該算法以一個(gè)任意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。安全問題概述

23、一、選擇題1. 信息安全的基本屬性是（D）。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 上面3項(xiàng)都是2. “會(huì)話偵聽和劫持技術(shù)”是屬于（B）的技術(shù)。 A. 密碼分析還原 B. 協(xié)議漏洞滲透 C. 應(yīng)用漏洞分析與滲透 D. DOS攻擊3. 對攻擊可能性的分析在很大程度上帶有（B）。 A. 客觀性 B. 主觀性 C. 盲目性 D. 上面3項(xiàng)都不是4. 從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對（B）的攻擊。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 真實(shí)性5. 從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類，截獲攻擊是針對（A）的攻擊。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 真實(shí)性6

24、. 從攻擊方式區(qū)分攻擊類型，可分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊難以（C），然而（C）這些攻擊是可行的；主動(dòng)攻擊難以（C），然而（C）這些攻擊是可行的。 A. 阻止,檢測,阻止,檢測 B. 檢測,阻止,檢測,阻止 C. 檢測,阻止,阻止,檢測 D. 上面3項(xiàng)都不是7. 竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。 A. 被動(dòng),無須,主動(dòng),必須 B. 主動(dòng),必須,被動(dòng),無須 C. 主動(dòng),無須,被動(dòng),必須 D. 被動(dòng),必須,主動(dòng),無須8. 拒絕服務(wù)攻擊的后果是（E）。 A. 信息不可用 B. 應(yīng)用程序

25、不可用 C. 系統(tǒng)宕機(jī) D. 阻止通信 E. 上面幾項(xiàng)都是9. 機(jī)密性服務(wù)提供信息的保密，機(jī)密性服務(wù)包括（D）。 A. 文件機(jī)密性 B. 信息傳輸機(jī)密性 C. 通信流的機(jī)密性 D. 以上3項(xiàng)都是10最新的研究和統(tǒng)計(jì)表明，安全攻擊主要來自（B）。A. 接入網(wǎng) B. 企業(yè)內(nèi)部網(wǎng) C. 公用IP網(wǎng) D. 個(gè)人網(wǎng)11攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答請求的攻擊方式是（A）。A. 拒絕服務(wù)攻擊 B. 地址欺騙攻擊C. 會(huì)話劫持 D. 信號(hào)包探測程序攻擊12攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時(shí)候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（D）。A. 中間人攻擊 B. 口

26、令猜測器和字典攻擊C. 強(qiáng)力攻擊 D. 回放攻擊二、問答題請解釋5種“竊取機(jī)密攻擊”方式的含義。1）網(wǎng)絡(luò)踩點(diǎn)（Footprinting） 攻擊者事先匯集目標(biāo)的信息，通常采用Whois、Finger、Nslookup、Ping等工具獲得目標(biāo)的一些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵所做的第一步工作。2）掃描攻擊（Scanning） 這里的掃描主要指端口掃描，通常采用Nmap等各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息，比如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些網(wǎng)絡(luò)服務(wù)。黑客就可以利用這些服務(wù)的漏洞，進(jìn)行進(jìn)一步的入侵。這往往是黑客入侵所做的第二步工作

27、。3）協(xié)議棧指紋（Stack Fingerprinting）鑒別（也稱操作系統(tǒng)探測） 黑客對目標(biāo)主機(jī)發(fā)出探測包，由于不同OS廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微差別，因此每種OS都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能夠確定目標(biāo)主機(jī)所運(yùn)行的OS。這往往也可以看作是掃描階段的一部分工作。4）信息流嗅探（Sniffering） 通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜（Promiscuous）模式，或在各種局域網(wǎng)中某主機(jī)使用ARP欺騙，該主機(jī)就會(huì)接收所有經(jīng)過的數(shù)據(jù)包?；谶@樣的原理，黑客可以使用一個(gè)嗅探器（軟件或硬件）對網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視，從而收集到帳號(hào)和口令等信息。這是黑客入侵的第三步工作。5）會(huì)話劫持

28、（Session Hijacking） 所謂會(huì)話劫持，就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。這種攻擊方式可認(rèn)為是黑客入侵的第四步工作真正的攻擊中的一種。請解釋5種“非法訪問”攻擊方式的含義。1）口令破解 攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可通過猜測或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2) IP欺騙 攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標(biāo)主機(jī)的信任，這主要針

29、對Linux UNIX下建立起IP地址信任關(guān)系的主機(jī)實(shí)施欺騙。這也是黑客入侵中真正攻擊方式的一種。3) DNS欺騙 當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被請求方，向請求方返回一個(gè)被篡改了的應(yīng)答（IP地址），將用戶引向黑客設(shè)定的主機(jī)。這也是黑客入侵中真正攻擊方式的一種。4) 重放（Replay）攻擊 在消息沒有時(shí)間戳的情況下，攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來，過一段時(shí)間后再發(fā)送出去。5) 特洛伊木馬（Trojan Horse） 把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程序

30、中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽某個(gè)不常用端口，假冒登錄界面獲取帳號(hào)和口令等）。請解釋下列網(wǎng)絡(luò)信息安全的要素： 保密性、完整性、可用性、可存活性安全體系結(jié)構(gòu)與模型一、選擇題1. 網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對（D）提供安全保護(hù)。 A. 信息載體 B. 信息的處理、傳輸 C. 信息的存儲(chǔ)、訪問 D. 上面3項(xiàng)都是2. ISO 7498-2從體系結(jié)構(gòu)觀點(diǎn)描述了5種安全服務(wù)，以下不屬于這5種安全服務(wù)的是（B）。 A. 身份鑒別 B. 數(shù)據(jù)報(bào)過濾 C. 授權(quán)控制 D. 數(shù)據(jù)完整性3. ISO 7498-2描述了8種特定的安全機(jī)制，以下不屬于這8

31、種安全機(jī)制的是（A）。 A. 安全標(biāo)記機(jī)制 B. 加密機(jī)制 C. 數(shù)字簽名機(jī)制 D. 訪問控制機(jī)制4. 用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（A）。 A. 加密機(jī)制和數(shù)字簽名機(jī)制 B. 加密機(jī)制和訪問控制機(jī)制 C. 數(shù)字簽名機(jī)制和路由控制機(jī)制 D. 訪問控制機(jī)制和路由控制機(jī)制5. 在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（E）。 A. 對象認(rèn)證服務(wù) B.數(shù)據(jù)保密性安全服務(wù) C. 訪問控制安全服務(wù) D. 數(shù)據(jù)完整性安全服務(wù) E. 數(shù)據(jù)可用性安全服務(wù)6. ISO定義的安全體系結(jié)構(gòu)中包含（B）種安全服務(wù)。 A. 4 B. 5 C. 6 D. 77. （D）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機(jī)制。

32、A. 通信業(yè)務(wù)填充機(jī)制 B. 訪問控制機(jī)制 C. 數(shù)字簽名機(jī)制 D. 審計(jì)機(jī)制 E. 公證機(jī)制8. ISO安全體系結(jié)構(gòu)中的對象認(rèn)證服務(wù)，使用（B）完成。 A. 加密機(jī)制 B. 數(shù)字簽名機(jī)制 C. 訪問控制機(jī)制 D. 數(shù)據(jù)完整性機(jī)制9. CA屬于ISO安全體系結(jié)構(gòu)中定義的（D）。 A. 認(rèn)證交換機(jī)制 B. 通信業(yè)務(wù)填充機(jī)制 C. 路由控制機(jī)制 D. 公證機(jī)制10. 數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D）。 A. 數(shù)據(jù)完整性機(jī)制 B. 數(shù)字簽名機(jī)制 C. 訪問控制機(jī)制 D. 加密機(jī)制11. 可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（D）。 A. 假冒源地址或用戶的地址欺騙攻擊 B. 抵賴做過信息的遞交行為

33、C. 數(shù)據(jù)中途被攻擊者竊聽獲取 D. 數(shù)據(jù)在途中被攻擊者篡改或破壞二、填空題GB/T 9387.2-1995定義了5大類 安全服務(wù) ，提供這些服務(wù)的8種 安全機(jī)制 以及相應(yīng)的開放系統(tǒng)互連的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中。P2DR的含義是：策略、保護(hù)、探測、反應(yīng)。三、問答題列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。（1）鑒別 用于鑒別實(shí)體的身份和對身份的證實(shí)，包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問控制 提供對越權(quán)使用資源的防御措施。（3）數(shù)據(jù)機(jī)密性 針對信息泄露而采取的防御措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種。（

34、4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等。分為帶恢復(fù)的連接完整性、無恢復(fù)的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。（5）抗否認(rèn)是針對對方否認(rèn)的防范措施，用來證實(shí)發(fā)生過的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。8TCP/IP協(xié)議的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)框架是什么？由于OSI參考模型與TCP/IP參考模型之間存在對應(yīng)關(guān)系，因此可根據(jù)GB/T 9387.2-1995的安全體系框架，將各種安全機(jī)制和安全服務(wù)映射到TCP/IP的協(xié)議集中，從而形成一個(gè)基于TCP/IP協(xié)議層次的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。密鑰分配與管理一、填空題1密鑰管理的主要內(nèi)

35、容包括密鑰的 生成、分配、使用、存儲(chǔ)、備份、恢復(fù)和銷毀。2. 密鑰生成形式有兩種：一種是由 中心集中 生成，另一種是由 個(gè)人分散 生成。密鑰的分配是指產(chǎn)生并使使用者獲得 密鑰 的過程。密鑰分配中心的英文縮寫是 KDC 。二、問答題1. 常規(guī)加密密鑰的分配有幾種方案，請對比一下它們的優(yōu)缺點(diǎn)。1. 集中式密鑰分配方案 由一個(gè)中心節(jié)點(diǎn)或者由一組節(jié)點(diǎn)組成層次結(jié)構(gòu)負(fù)責(zé)密鑰的產(chǎn)生并分配給通信的雙方，在這種方式下，用戶不需要保存大量的會(huì)話密鑰，只需要保存同中心節(jié)點(diǎn)的加密密鑰，用于安全傳送由中心節(jié)點(diǎn)產(chǎn)生的即將用于與第三方通信的會(huì)話密鑰。這種方式缺點(diǎn)是通信量大，同時(shí)需要較好的鑒別功能以鑒別中心節(jié)點(diǎn)和通信方。目前

36、這方面主流技術(shù)是密鑰分配中心KDC技術(shù)。我們假定每個(gè)通信方與密鑰分配中心KDC之間都共享一個(gè)惟一的主密鑰，并且這個(gè)惟一的主密鑰是通過其他安全的途徑傳遞。2. 分散式密鑰分配方案 使用密鑰分配中心進(jìn)行密鑰的分配要求密鑰分配中心是可信任的并且應(yīng)該保護(hù)它免于被破壞。如果密鑰分配中心被第三方破壞，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行通信的所有通信方將不能進(jìn)行正常的安全通信。如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行進(jìn)信的所有通信方之間的通信信息將被第三方竊聽到4. 密鑰的產(chǎn)生需要注意哪些問題?算法的安全性依賴于密鑰，如果用一個(gè)弱的密鑰產(chǎn)生方法，那么整個(gè)系統(tǒng)都將是弱的

37、。DES有56位的密鑰，正常情況下任何一個(gè)56位的數(shù)據(jù)串都能成為密鑰，所以共有256種可能的密鑰。在某些實(shí)現(xiàn)中，僅允許用ASCII碼的密鑰，并強(qiáng)制每一字節(jié)的最高位為零。有的實(shí)現(xiàn)甚至將大寫字母轉(zhuǎn)換成小寫字母。這些密鑰產(chǎn)生程序都使得DES的攻擊難度比正常情況下低幾千倍。因此，對于任何一種加密方法，其密鑰產(chǎn)生方法都不容忽視。大部分密鑰生成算法采用隨機(jī)過程或者偽隨機(jī)過程來生成密鑰。隨機(jī)過程一般采用一個(gè)隨機(jī)數(shù)發(fā)生器，它的輸出是一個(gè)不確定的值。偽隨機(jī)過程一般采用噪聲源技術(shù)，通過噪聲源的功能產(chǎn)生二進(jìn)制的隨機(jī)序列或與之對應(yīng)的隨機(jī)數(shù)。5KDC在密鑰分配過程中充當(dāng)何種角色？KDC在密鑰分配過程中充當(dāng)可信任的第三方

38、。KDC保存有每個(gè)用戶和KDC之間共享的唯一密鑰，以便進(jìn)行分配。在密鑰分配過程中，KDC按照需要生成各對端用戶之間的會(huì)話密鑰，并由用戶和KDC共享的密鑰進(jìn)行加密，通過安全協(xié)議將會(huì)話密鑰安全地傳送給需要進(jìn)行通信的雙方。 數(shù)字簽名與鑒別協(xié)議一、選擇題1. 數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是（C）。 A. 多一道加密工序使密文更難破譯 B. 提高密文的計(jì)算速度 C. 縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度 D. 保證密文能正確還原成明文二、填空題數(shù)字簽名 是筆跡簽名的模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。三、問答題1. 數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情

39、況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端： 否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文。 偽造，接收方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方。 冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文。 篡改，接收方對收到的信息進(jìn)行篡改。2. 請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進(jìn)行：(1) 采用散列算法對原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字串，稱為報(bào)文摘要(Message Digest)，不同的報(bào)文所得到的報(bào)文摘要各異，但對相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。(2) 發(fā)送方用目己的

40、私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名。(3) 這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。(4) 接收方首先對接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的公開密鑰對報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改。3. 數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。 采用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：(1) 保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)

41、或難以否認(rèn)。(2) 保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信息。身份認(rèn)證一、選擇題1. Kerberos的設(shè)計(jì)目標(biāo)不包括（B）。 A. 認(rèn)證 B.授權(quán) C.記賬 D.審計(jì)2. 身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（B）。 A. 身份鑒別是授權(quán)控制的基礎(chǔ) B. 身份鑒別一般不用提供雙向的認(rèn)證 C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法 D. 數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制3. 基于通信雙方共同擁有的但是不為別人知道的秘密，利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力，以該秘密作為加密和解密的密鑰的認(rèn)證是（C）。 A. 公鑰認(rèn)證 B. 零知識(shí)認(rèn)證 C.

42、 共享密鑰認(rèn)證 D. 口令認(rèn)證5（C）是一個(gè)對稱DES加密系統(tǒng)，它使用一個(gè)集中式的專鑰密碼功能，系統(tǒng)的核心是KDC。A. TACACS B. RADIUS C. Kerberos D. PKI二、填空題身份認(rèn)證是 驗(yàn)證信息發(fā)送者是真的 ，而不是冒充的，包括信源、信宿等的認(rèn)證和識(shí)別。三、問答題解釋身份認(rèn)證的基本概念。身份認(rèn)證是指用戶必須提供他是誰的證明，這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。 身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，識(shí)別身份后，由訪問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個(gè)資源。一旦身份認(rèn)證系統(tǒng)被攻破，系

43、統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。2. 單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？（1）用戶所知道的東西：如口令、密碼。（2）用戶所擁有的東西：如智能卡、身份證。（3）用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等。3. 有哪兩種主要的存儲(chǔ)口令的方式，各是如何實(shí)現(xiàn)口令驗(yàn)證的？1. 直接明文存儲(chǔ)口令 有很大風(fēng)險(xiǎn)，只要得到了存儲(chǔ)口令的數(shù)據(jù)庫，就可以得到全體人員的口令。比如攻擊者可以設(shè)法得到一個(gè)低優(yōu)先級(jí)的帳號(hào)和口令，進(jìn)入系統(tǒng)后得到明文存儲(chǔ)口令的文件，這樣他就可以得到全體人員的口令。2. Hash散列存儲(chǔ)口令 散列函數(shù)的目的是為文件、報(bào)文或其他分組數(shù)據(jù)產(chǎn)生“指紋”

44、。對于每一個(gè)用戶，系統(tǒng)存儲(chǔ)帳號(hào)和散列值對在一個(gè)口令文件中，當(dāng)用戶登錄時(shí)，用戶輸入口令x，系統(tǒng)計(jì)算F(x)，然后與口令文件中相應(yīng)的散列值進(jìn)行比對，成功即允許登錄。5. 使用口令進(jìn)行身份認(rèn)證的優(yōu)缺點(diǎn)？優(yōu)點(diǎn)在于黑客即使得到了口令文件，通過散列值想要計(jì)算出原始口令在計(jì)算上也是不可能的，這就相對增加了安全性。 嚴(yán)重的安全問題（單因素的認(rèn)證），安全性僅依賴于口令，而且用戶往往選擇容易記憶、容易被猜測的口令（安全系統(tǒng)最薄弱的突破口），口令文件也可被進(jìn)行離線的字典式攻擊。6. 利用智能卡進(jìn)行的雙因素的認(rèn)證方式的原理是什么？智能卡具有硬件加密功能，有較高的安全性。每個(gè)用戶持有一張智能卡，智能卡存儲(chǔ)用戶個(gè)性化的秘

45、密信息，同時(shí)在驗(yàn)證服務(wù)器中也存放該秘密信息。進(jìn)行認(rèn)證時(shí)，用戶輸入PIN（個(gè)人身份識(shí)別碼），智能卡認(rèn)證PIN，成功后，即可讀出智能卡中的秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證。 雙因素的認(rèn)證方式（PIN+智能卡），即使PIN或智能卡被竊取，用戶仍不會(huì)被冒充。智能卡提供硬件保護(hù)措施和加密算法，可以利用這些功能加強(qiáng)安全性能。7. 有哪些生物特征可以作為身份認(rèn)證的依據(jù)，這種認(rèn)證的過程是怎樣的？以人體唯一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計(jì)算機(jī)強(qiáng)大的計(jì)算功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖象處理和模式識(shí)別。該技術(shù)具有很好的安全性、可靠性和有效性。 所有的工作有4個(gè)步驟：抓圖、抽

46、取特征、比較和匹配。生物捕捉系統(tǒng)捕捉到生物特征的樣品，唯一的特征將會(huì)被提取并且被轉(zhuǎn)化成數(shù)字符號(hào)，這些符號(hào)被存成那個(gè)人的特征摸板，人們同識(shí)別系統(tǒng)交互進(jìn)行身份認(rèn)證，以確定匹配或不匹配授權(quán)與訪問控制一、選擇題1. 訪問控制是指確定（A）以及實(shí)施訪問權(quán)限的過程。 A. 用戶權(quán)限 B. 可給予哪些主體訪問權(quán)利 C. 可被用戶訪問的資源 D. 系統(tǒng)是否遭受入侵2. 下列對訪問控制影響不大的是（D）。 A. 主體身份 B. 客體身份 C. 訪問類型 D. 主體與客體的類型3. 為了簡化管理，通常對訪問者（A），以避免訪問控制表過于龐大。 A. 分類組織成組 B. 嚴(yán)格限制數(shù)量 C. 按訪問時(shí)間排序，刪除長期

47、沒有訪問的用戶 D. 不作任何限制二、填空題訪問控制 的目的是為了限制訪問主體對訪問客體的訪問權(quán)限。三、問答題解釋訪問控制的基本概念。訪問控制是建立在身份認(rèn)證基礎(chǔ)上的，通過限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐摹?訪問控制的目的：限制主體對訪問客體的訪問權(quán)限（安全訪問策略），從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。2. 訪問控制有幾種常用的實(shí)現(xiàn)方法？它們各有什么特點(diǎn)？1 訪問控制矩陣 行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點(diǎn)表示某個(gè)主體對某個(gè)客體的訪問權(quán)限。通常一個(gè)文件的Own權(quán)限表示可以授予（Authorize）或撤消（Revoke）其

48、他用戶對該文件的訪問控制權(quán)限。2 訪問能力表 實(shí)際的系統(tǒng)中雖然可能有很多的主體與客體，但兩者之間的權(quán)限關(guān)系可能并不多。為了減輕系統(tǒng)的開銷與浪費(fèi)，我們可以從主體（行）出發(fā)，表達(dá)矩陣某一行的信息，這就是訪問能力表（Capabilities）。 只有當(dāng)一個(gè)主體對某個(gè)客體擁有訪問的能力時(shí)，它才能訪問這個(gè)客體。但是要從訪問能力表獲得對某一特定客體有特定權(quán)限的所有主體就比較困難。在一個(gè)安全系統(tǒng)中，正是客體本身需要得到可靠的保護(hù)，訪問控制服務(wù)也應(yīng)該能夠控制可訪問某一客體的主體集合，于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式ACL。3 訪問控制表 也可以從客體（列）出發(fā)，表達(dá)矩陣某一列的信息，這就是訪問控制表（Acc

49、ess Control List）。它可以對某一特定資源指定任意一個(gè)用戶的訪問權(quán)限，還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。4 授權(quán)關(guān)系表 授權(quán)關(guān)系表（Authorization Relations）的每一行表示了主體和客體的一個(gè)授權(quán)關(guān)系。對表按客體進(jìn)行排序，可以得到訪問控制表的優(yōu)勢；對表按主體進(jìn)行排序，可以得到訪問能力表的優(yōu)勢。適合采用關(guān)系數(shù)據(jù)庫來實(shí)現(xiàn)。3. 訪問控制表ACL有什么優(yōu)缺點(diǎn)？ ACL的優(yōu)點(diǎn)：表述直觀、易于理解，比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，有效地實(shí)施授權(quán)管理。ACL應(yīng)用到規(guī)模大的企業(yè)內(nèi)部網(wǎng)時(shí)，有問題：（1）網(wǎng)絡(luò)資源很多，ACL需要設(shè)定大量的表項(xiàng)，而且

50、修改起來比較困難，實(shí)現(xiàn)整個(gè)組織范圍內(nèi)一致的控制政策也比較困難。（2）單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策。4. 有哪幾種訪問控制策略？三種不同的訪問控制策略：自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC），前兩種屬于傳統(tǒng)的訪問控制策略，而RBAC是90年代后期出現(xiàn)的，有很大的優(yōu)勢，所以發(fā)展很快。每種策略并非是絕對互斥的，我們可以把幾種策略綜合起來應(yīng)用從而獲得更好、更安全的系統(tǒng)保護(hù)多重的訪問控制策略。PKI技術(shù)一、選擇題1. PKI支持的服務(wù)不包括（D）。 A. 非對稱密鑰技術(shù)及證書管理 B. 目錄服務(wù) C. 對稱密鑰的產(chǎn)生和分發(fā) D. 訪問控制服

51、務(wù)2. PKI的主要組成不包括（B）。 A. 證書授權(quán)CA B. SSL C. 注冊授權(quán)RA D. 證書存儲(chǔ)庫CR3. PKI管理對象不包括（A）。 A. ID和口令 B. 證書 C. 密鑰 D. 證書撤消4. 下面不屬于PKI組成部分的是（D）。 A. 證書主體 B. 使用證書的應(yīng)用和系統(tǒng) C. 證書權(quán)威機(jī)構(gòu) D. ASPKI能夠執(zhí)行的功能是（A）和（C）。A. 鑒別計(jì)算機(jī)消息的始發(fā)者 B. 確認(rèn)計(jì)算機(jī)的物理位置C. 保守消息的機(jī)密 D. 確認(rèn)用戶具有的安全性特權(quán)二、問答題1. 為什么說在PKI中采用公鑰技術(shù)的關(guān)鍵是如何確認(rèn)某個(gè)人真正的公鑰？如何確認(rèn)？信息的可認(rèn)證性是信息安全的一個(gè)重要方面。

52、認(rèn)證的目的有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者的真實(shí)性，確認(rèn)他沒有被冒充；另一個(gè)是驗(yàn)證信息的完整性，確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過程中沒有被篡改、重組或延遲。在認(rèn)證體制中，通常存在一個(gè)可信的第三方，用于仲裁、頒發(fā)證書和管理某些機(jī)密信息。公鑰密碼技術(shù)可以提供網(wǎng)絡(luò)中信息安全的全面解決方案。采用公鑰技術(shù)的關(guān)鍵是如何確認(rèn)某個(gè)人真正的公鑰。在PKI中，為了確保用戶及他所持有密鑰的正確性，公開密鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心(CA)，來確認(rèn)聲稱擁有公開密鑰的人的真正身份。要確認(rèn)一個(gè)公共密鑰，CA首先制作一張“數(shù)字證書”，它包含用戶身份的部分信息及用戶所持有的公開密鑰，然后CA利用本身的私鑰

53、為數(shù)字證書加上數(shù)字簽名。 任何想發(fā)放自己公鑰的用戶，可以去認(rèn)證中心(CA)申請自己的證書。CA中心在認(rèn)證該人的真實(shí)身份后，頒發(fā)包含用戶公鑰的數(shù)字證書，它包含用戶的真實(shí)身份、并證實(shí)用戶公鑰的有效期和作用范圍(用于交換密鑰還是數(shù)字簽名)。其他用戶只要能驗(yàn)證證書是真實(shí)的，并且信任頒發(fā)證書的CA，就可以確認(rèn)用戶的公鑰。2. 什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。認(rèn)證中心(CA)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.

54、509 V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應(yīng)用于許多網(wǎng)絡(luò)安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。3. X.509規(guī)范中是如何定義實(shí)體A信任實(shí)體B的？在PKI中信任又是什么具體含義？X.509規(guī)范中給出了適用于我們目標(biāo)的定義：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望的那樣行動(dòng)，則A信任B。在PKI中，我們可以把這個(gè)定義具體化為：如果一個(gè)用戶假定CA可以把任一公鑰綁定到某個(gè)實(shí)體上，則他信任該CA。5. 簡述認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型的性質(zhì)？層次結(jié)構(gòu)中的所有實(shí)體都信任惟一的根CA。在認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)中，每個(gè)實(shí)體(包括中介CA和

55、終端實(shí)體)都必須擁有根CA的公鑰，該公鑰的安裝是在這個(gè)模型中為隨后進(jìn)行的所有通信進(jìn)行證書處理的基礎(chǔ)，因此，它必須通過一種安全（帶外）的方式來完成。 值得注意的是，在一個(gè)多層的嚴(yán)格層次結(jié)構(gòu)中終端實(shí)體直接被其上層的CA認(rèn)證(也就是頒發(fā)證書)，但是它們的信任錨是另一個(gè)不同的CA (根CA)。6. Web信任模型有哪些安全隱患？Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多安全隱患。例如，因?yàn)闉g覽器的用戶自動(dòng)地信任預(yù)安裝的所有公鑰，所以即使這些根CA中有一個(gè)是“壞的”(例如，該CA從沒有認(rèn)真核實(shí)被認(rèn)證的實(shí)體)，安全性將被完全破壞。另外一個(gè)潛在的安全隱患是沒有實(shí)用的機(jī)制來撤消嵌入到瀏覽

56、器中的根密鑰。如果發(fā)現(xiàn)一個(gè)根密鑰是“壞的”(就像前而所討論的那樣)或者與根的公鑰相應(yīng)的私鑰被泄密了，要使全世界數(shù)百萬個(gè)瀏覽器都自動(dòng)地廢止該密鑰的使用是不可能的。7. 以用戶為中心的信任模型是怎樣實(shí)現(xiàn)信任關(guān)系的？哪個(gè)實(shí)際系統(tǒng)是使用這種模型的？PGP最能說明以用戶為中心的信任模型，在PGP中，一個(gè)用戶通過擔(dān)當(dāng)CA（簽署其他實(shí)體的公鑰）并使其公鑰被其他人所認(rèn)證來建立（或參加）所謂的信任網(wǎng)（Web of Trust）。 例如，當(dāng)A1ice收到一個(gè)據(jù)稱屬于Bob的證書時(shí)，她將發(fā)現(xiàn)這個(gè)證書是由她不認(rèn)識(shí)的David簽署的，但是David的證書是由她認(rèn)識(shí)并且信任的Catherine簽署的。在這種情況下，Ali

57、ce可以決定信任Bob的密鑰（即信任從Catherine到David再到Bob的密鑰鏈），也可以決定不信任Bob的密鑰（認(rèn)為“未知的”Bob與“已知的”Catherine之間的“距離大遠(yuǎn)”）。因?yàn)橐蕾囉谟脩糇陨淼男袨楹蜎Q策能力，因此以用戶為中心的模型在技術(shù)水平較高和利害關(guān)系高度一致的群體中是可行的，但是在一般的群體（它的許多用戶有極少或者沒有安全及PKI的概念）中是不現(xiàn)實(shí)的。10. 構(gòu)造證書庫的最佳方法是什么？證書庫是證書的集中存放地，是網(wǎng)上的一種公共信息庫，用戶可以從此處獲得其他用戶的證書和公鑰。構(gòu)造證書庫的最佳方法是采用支持LDAP協(xié)議的目錄系統(tǒng)，用戶或相關(guān)的應(yīng)用通過LDAP來訪問證書庫

58、。系統(tǒng)必須確保證書庫的完整性，防止偽造、篡改證書。11. 掌握證書管理有哪3個(gè)階段組成，每個(gè)階段包括哪些具體內(nèi)容？1 證書管理（1）初始化階段1. 終端實(shí)體注冊終端實(shí)體注冊是單個(gè)用戶或進(jìn)程的身份被建立和驗(yàn)證的過程。注冊過程能夠通過不同的方法來實(shí)現(xiàn)，圖示說明了一個(gè)實(shí)體初始化包括一個(gè)RA和一個(gè)CA的可能的方案（注意RA部件根本不存在的其他可能方案也是可用的）。終端實(shí)體注冊是在線執(zhí)行的，是用注冊表格的交換來說明的。注冊過程一般要求包括將一個(gè)或更多的共享秘密賦給終端實(shí)體以便后來在初始化過程中CA確認(rèn)那個(gè)個(gè)體。2. 密鑰對產(chǎn)生 密鑰資料可以在終端實(shí)體注冊過程之前或直接響應(yīng)終端實(shí)體注冊過程時(shí)產(chǎn)生。在RA中

59、或在CA中產(chǎn)生密鑰資料是可能的。每個(gè)終端實(shí)體多個(gè)密鑰可以被用做支持分離的和截然不同的服務(wù)。例如，一個(gè)密鑰對可以被用作支持不可否認(rèn)性服務(wù)而另一個(gè)密鑰對可以被用作支持機(jī)密性或密鑰管理功能（雙密鑰對模型）。3. 證書創(chuàng)建和密鑰/證書分發(fā) 無論密鑰在哪里產(chǎn)生，證書創(chuàng)建的職責(zé)都將單獨(dú)地落在被授權(quán)的CA上。如果公鑰是被終端實(shí)體而不是CA所產(chǎn)生的，那么該公鑰必須被安全地傳送到CA以便其能夠被放入證書。一旦密鑰資料和相關(guān)的證書已經(jīng)被產(chǎn)生，它們必須被適當(dāng)分發(fā)。請求證書和從可信實(shí)體（即CA）取回證書（以及相關(guān)的密鑰，如果適用的話）的必要條件是要求一個(gè)安全協(xié)議機(jī)制。4. 證書分發(fā) 如果私鑰和相應(yīng)的公鑰證書已經(jīng)被分發(fā)

60、，那么有一種或多種傳送給另一個(gè)實(shí)體的方法： 帶外分發(fā)； 在一個(gè)公眾的資料庫或數(shù)據(jù)庫中公布，以使查詢和在線檢索簡便； 帶內(nèi)協(xié)議分發(fā)，例如，包括帶有安全E-mail報(bào)文的適用的驗(yàn)證證書。被用做數(shù)字簽名目的的證書可以僅需要分發(fā)給它們的所有者，被用做機(jī)密性目的的證書對于發(fā)信方必須是容易獲得的。5. 密鑰備份和托管 一定比例的加密密鑰將因?yàn)樵S多原因（忘記密碼、磁盤被破壞、失常的智能卡或雇員被解雇）使這些密鑰的所有者無法訪問，這就需要事先進(jìn)行密鑰備份。密鑰托管是指把一個(gè)秘密的密鑰或私鑰交由第三方保管，這樣做的問題是哪些密鑰應(yīng)委托保管以及誰是可以信任的第三方（政府？）。（2）頒布階段1. 證書檢索 證書檢索