網(wǎng)絡(luò)信息安全試題

試題一一、選擇題（共20分，每題2分）計(jì)算機(jī)網(wǎng)絡(luò)是地理上分散的多臺(tái)（）遵循約定的通信協(xié)議，通過軟硬件互聯(lián)的系統(tǒng)。計(jì)算機(jī) B.主從計(jì)算機(jī)C.自主計(jì)算機(jī) D.數(shù)字設(shè)備密碼學(xué)的目的是（）。研究數(shù)據(jù)加密 B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)保密 D.研究信息安全假設(shè)使用一種加密算法，它的加密方法很簡(jiǎn)單：將每一個(gè)字胃加5,即a加密成f這種算法的密鑰就是5,那么它屬于（）。對(duì)稱加密技術(shù) B.分組密碼技術(shù)C.公鑰加密技術(shù) D.單向函數(shù)密碼技術(shù)網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（）。用戶的方便性管理的復(fù)雜性對(duì)現(xiàn)有系統(tǒng)的影響及對(duì)不同平臺(tái)的支持上面3項(xiàng)都是A方有一對(duì)密鑰（KA公開，KA秘密），B方有一對(duì)密鑰（KB公開，KB秘密），A方向B方發(fā)送案是（）。A.KB公開（KA秘密（M’））C.KA公開（KB秘密（M’））數(shù)字簽WM,對(duì)信息M加密為案是（）。A.KB公開（KA秘密（M’））C.KA公開（KB秘密（M’））KA公開（KA公開（M’））D.KB秘密（電秘密（M’））“公開密鑰密碼體制”的含義是（）。A.將所有密鑰公開 B.將私有密鑰公開，公開密鑰保密將公開密鑰公開，私有密鑰保密 D.兩個(gè)密鑰相同互聯(lián)網(wǎng)站鏈接境外新聞網(wǎng)站，登載境外新聞媒體和互聯(lián)網(wǎng)站發(fā)布的新聞，必須另行報(bào)（）批準(zhǔn)。A.國(guó)務(wù)院新聞辦公室 B.文化部C.教育部 D.信息產(chǎn)業(yè)部《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》是（）發(fā)布的。A.國(guó)家安全部 B.公安部C.國(guó)家保密局 D.信息產(chǎn)業(yè)部涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，（）地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。A.不得直接或間接 B.不得直接C.不得間接 D.不得直接和間接（）主管全國(guó)計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)的保密工作。信息產(chǎn)業(yè)部國(guó)家保密局國(guó)家保密工作部門）國(guó)家安全部公安部二、填空題（共20分，每題2分）密碼系統(tǒng)包括以下4個(gè)方面：明文空間、密文空間、密鑰空間和密碼算法。解密算法D是加密算法E的逆運(yùn)算。常規(guī)密鑰密碼體制又稱為對(duì)稱密鑰密碼體制，是在公開密鑰密碼體制以前使用的密碼體制。如果加密密鑰和解密密鑰通同，這種密碼體制稱為對(duì)稱密碼體制。DES算法密鑰是_64_位，其中密鑰有效位是耍位。RSA算法的安全是基于分解兩個(gè)大素?cái)?shù)的積的困難。三、名詞解釋（共20分，每題4分）請(qǐng)解釋5種“竊取機(jī)密攻擊”方式的含義。1） 網(wǎng)絡(luò)踩點(diǎn)（Footprinting攻擊者事先匯集目標(biāo)的信息，通常采用Whois、FingerNslookup、Ping等工具獲得目標(biāo)的一些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵所做的第一步工作。2） 掃描攻擊（Scanning）這里的掃描主要指端口掃描，通常采用Nmap等各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息，比如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些網(wǎng)絡(luò)服務(wù)。黑客就可以利用這些服務(wù)的漏洞，進(jìn)行進(jìn)一步的入侵。這往往是黑客入侵所做的第二步工作。3） 協(xié)議棧指紋（StackFingerprinting別（也稱操作系統(tǒng)探測(cè)）黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同OS廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微差別，因此每種OS都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能夠確定目標(biāo)主機(jī)所運(yùn)行的OS。這往往也可以看作是掃描階段的一部分工作。4） 信息流嗅探（Snifferi）g通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜（Promiscuou）模式，或在各種局域網(wǎng)中某主機(jī)使用ARP欺驪，該主機(jī)就會(huì)接收所有經(jīng)過的數(shù)據(jù)包?；谶@樣的原理，黑客可以使用一個(gè)嗅探器（軟件或硬件）對(duì)網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視，從而收集到帳號(hào)和口令等信息。這是黑客入侵的第三步工作。5） 會(huì)話劫持（SessionHijacking所謂會(huì)話劫持，就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注入額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。這種攻擊方式可認(rèn)為是黑客入侵的第四步工作一一真正的攻擊中的一種。四、 問答題(共25分，每題5分)簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象。主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。簡(jiǎn)述對(duì)稱密鑰密碼體制的原理和特點(diǎn)。對(duì)稱密鑰密碼體制，對(duì)于大多數(shù)算法，解密算法是加密算法的逆運(yùn)算，加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強(qiáng)度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。IDEA是對(duì)稱加密算法還是非對(duì)稱加密算法？加密密鑰是多少位？IDEA是一種對(duì)稱密鑰算法，加密密鑰是128位。簡(jiǎn)述ISO信息安全模型定義及其含義。答：ISO信息安全定義：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。它包括三方面含義：信息安全的保護(hù)對(duì)象是信息資產(chǎn)，典型的信息資產(chǎn)包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。信息安全的目標(biāo)就是保證信息資產(chǎn)的三個(gè)基本安全屬性，保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。事先信息安全目標(biāo)的途徑要借助兩方面的控制措施，即技術(shù)措施和管理措施。簡(jiǎn)述信息安全的三個(gè)基本屬性。答：信息安全包括了保密性、完整性和可用性三個(gè)基本屬性：保密性一一Confidentialift保星系在存儲(chǔ)、使用、傳輸過程中不會(huì)泄露給非授權(quán)的用戶或者實(shí)體。完整性一一Integrity保信息在存儲(chǔ)、使用、傳輸過程中不被非授權(quán)用戶篡改；防止授權(quán)用戶對(duì)信息進(jìn)行不恰當(dāng)?shù)拇鄹?；保證信息的內(nèi)外一致性?？捎眯砸灰籄vailability角保授權(quán)用戶或者實(shí)體對(duì)于信息及資源的正確使用不會(huì)被異常拒絕，允許其可能而且及時(shí)地訪問信息及資源。五、 論述題(共1題，計(jì)15分)1、假如你是單位WEB服務(wù)器管理員，試述你會(huì)采取哪些主要措施來保障WEB服務(wù)器安全。參考答案訪問控制(IP地址限制、Windows帳戶、請(qǐng)求資源的Web權(quán)限、資源的NTFS權(quán)限)用虛擬目錄隱藏真實(shí)的網(wǎng)站結(jié)構(gòu)；設(shè)置基于SSL的加密和證書服務(wù)，以保證傳輸安全；完善定期審核機(jī)制；安裝防火墻及殺毒軟件；及時(shí)安裝操作系統(tǒng)補(bǔ)丁，減少操作系統(tǒng)漏洞等等。試題二一、 選擇題（共20分，每題2分）下列關(guān)于信息的說法 是錯(cuò)誤的。A.信息是人類社會(huì)發(fā)展的重要支柱 B.信息本身是無形的C.信息具有價(jià)值，需要保護(hù) D.信息可以以獨(dú)立形態(tài)存在信息安全經(jīng)歷了三個(gè)發(fā)展階段，以下 不屬于這三個(gè)發(fā)展階段。A.通信保密階段 B.加密機(jī)階段 C.信息安全階段 D.安全保障階段信息安全在通信保密階段對(duì)信息安全的關(guān)注局限安全屬性。A.不可否認(rèn)性 B.可用性 C.保密性 D.完整性信息安全在通信保密階段中主要應(yīng)用于 領(lǐng)域。A.軍事 B.商業(yè) C.科研 D.教育信息安全階段將研究領(lǐng)域擴(kuò)展到三個(gè)基本屬性，下列不屬于這三個(gè)基本屬性。A.保密性 B.完整性C.不可否認(rèn)性 D.可用性安全保障階段中將信息安全體系歸結(jié)為四個(gè)主要環(huán)節(jié)，下歹是正確的。A.策略、保護(hù)、響應(yīng)、恢復(fù) B.加密、認(rèn)證、保護(hù)、檢測(cè)C.策略、網(wǎng)絡(luò)攻防、密碼學(xué)、備份 D.保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)下面所列的安全機(jī)制不屬于信息安全保障體系中的事先保護(hù)環(huán)節(jié)。A.殺毒軟件 B.數(shù)字證書認(rèn)證 C.防火墻 D.數(shù)據(jù)庫加密根據(jù)IS0的信息安全定義，下列選項(xiàng)中是信息安全三個(gè)基本屬性之一。A.真實(shí)性 B.可用性 C.可審計(jì)性 D.可靠性為了數(shù)據(jù)傳輸時(shí)不發(fā)生數(shù)據(jù)截獲和信息泄密，采取了加密機(jī)制。這種做法體現(xiàn)了信息安全的屬性。A.保密性 B.完整性 C.可靠性 D.可用性定期對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時(shí)進(jìn)行恢復(fù)。該機(jī)制是為了滿足信息安全的屬性。A.真實(shí)性 B.完整性C.不可否認(rèn)性 D.可用性二、 填空題（共20分，每題2分）公開密鑰加密算法的用途主要包括兩個(gè)方面：密鑰分配室字簽名。消息認(rèn)證是驗(yàn)證信息的完整性，即驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過程中是否被篡改、重放或延遲等。MAC函數(shù)類似于加密，它于加密的區(qū)別是MAC函數(shù)王可逆。Hash函數(shù)是可接受變長(zhǎng)數(shù)據(jù)輸入，并生成矣長(zhǎng)數(shù)據(jù)輸出的函數(shù)。P2DR的含義是：策略、防護(hù)、檢測(cè)、反應(yīng)。三、名詞解釋(共20分，每題4分)列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。鑒別用于鑒別實(shí)體的身份和對(duì)身份的證實(shí)，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。訪問控制提供對(duì)越權(quán)使用資源的防御措施。數(shù)據(jù)機(jī)密性針對(duì)信息泄露而采取的防御措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種。數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等。分為帶恢復(fù)的連接完整性、無恢復(fù)的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種?？狗裾J(rèn)是針對(duì)對(duì)方否認(rèn)的防范措施，用來證實(shí)發(fā)生過的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。四、問答題(共25分，每題5分)簡(jiǎn)述如何確定一個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)。答：為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在信息系統(tǒng)所屬類型'、業(yè)務(wù)信息類型'、業(yè)務(wù)系統(tǒng)服務(wù)范圍'和業(yè)務(wù)依賴程度'四個(gè)定級(jí)要素方面的復(fù)制，然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全寶華等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。信息安全技術(shù)機(jī)制通常被劃分為幾個(gè)層次。試在每個(gè)層次中列舉兩種主要的安全機(jī)制。答:信息安全技術(shù)機(jī)制通?？梢詣澐譃樗膫€(gè)層次，每一層次中典型的安全機(jī)制如下所示：物理層安全，如視頻監(jiān)控、門禁系統(tǒng)；網(wǎng)絡(luò)等安全，如防火墻、IPSecVPN;系統(tǒng)層安全，如殺毒軟件，主機(jī)入侵檢測(cè)系統(tǒng)；應(yīng)用層安全，如用戶身份認(rèn)證、應(yīng)用層加密。簡(jiǎn)述信息安全發(fā)展所歷經(jīng)的三個(gè)主要階段以及它們各自的特點(diǎn)。答：信息安全發(fā)展歷經(jīng)了三個(gè)主要階段：通信保密階段，在這個(gè)階段中，關(guān)注的是通信內(nèi)容的保密性屬性，保密等同于信息安全。信息安全階段，人們發(fā)現(xiàn)，在原來所關(guān)注的保密性屬性之外，還有其他方面的屬性也應(yīng)當(dāng)是信息安全所關(guān)注的，這其中最主要的是完整性和可用性屬性，由此構(gòu)成了支撐信息安全體系的三要素。（3）安全保障階段，所謂安全保障，就是在統(tǒng)一安全策略的指導(dǎo)下，安全事件的事先預(yù)防（保護(hù)），事發(fā)處理（檢測(cè)Delection和響應(yīng)Restoration四個(gè)主要環(huán)節(jié)相互配合，構(gòu)成一個(gè)完整的保障體系。簡(jiǎn)述我國(guó)刑法對(duì)網(wǎng)絡(luò)犯罪的相關(guān)規(guī)定。答：我國(guó)刑法關(guān)于網(wǎng)絡(luò)犯罪的三個(gè)專門條款，分別規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪（第285條）；破壞計(jì)算機(jī)信息系統(tǒng)罪（第286條）；利用計(jì)算機(jī)實(shí)施金融詐驪、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪（第287條），并將其一并歸入分則第六章妨害社會(huì)管理秩序罪'第一節(jié)擾亂公共秩序罪”簡(jiǎn)述安全策劃體系所包含的內(nèi)容。答：一個(gè)合理的信息安全策略體系可以包括三個(gè)不同層次的策略文檔：（1） 總體安全策略，闡述了指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對(duì)于信息安全的看法和立場(chǎng)、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定以及對(duì)于信息資產(chǎn)的管理辦法等內(nèi)容；（2） 針對(duì)特定問題的具體策略，闡述了企業(yè)對(duì)于特定安全問題的聲明、立場(chǎng)、使用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容，例如，針對(duì)Interne訪問操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定有針對(duì)性的安全策略；（3）針對(duì)特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。五、論述題（共1題，計(jì)15分）試述你是如何理解信息安全領(lǐng)域'三分技術(shù)，七分管理'這名話的參考答案雖然目前有眾多的安全產(chǎn)品，但沒有任何一種能提供全方位的解決方案。1） 防病毒軟件:不能保護(hù)機(jī)構(gòu)免受使用合法程序?qū)ο到y(tǒng)進(jìn)行訪問的入侵者進(jìn)行的惡意破壞，也不能保護(hù)機(jī)構(gòu)免受另一類合法用戶的破壞。2） 訪問控制:不會(huì)阻止人們利用系統(tǒng)脆弱點(diǎn)以管理員身份獲得對(duì)系統(tǒng)的訪問并查看系統(tǒng)文件3） 防火墻:不會(huì)阻止攻擊者使用一個(gè)允許的連接進(jìn)行攻擊。也不能防止內(nèi)部攻擊。4） 入侵檢測(cè):不能檢測(cè)出合法用戶對(duì)信息的非正常訪問。支持自動(dòng)保護(hù)功能的入侵檢測(cè)系統(tǒng)還可以帶來附加的安全問題。如系統(tǒng)配置為阻止某個(gè)攻擊地址的訪問，之后會(huì)發(fā)現(xiàn)某用戶的通信被錯(cuò)誤識(shí)別為攻擊通信，則其再無法與你通信了。5） 策略管理:可能沒有考慮系統(tǒng)的薄弱點(diǎn)或應(yīng)用軟件中的錯(cuò)誤配置。這有可能導(dǎo)致侵入。計(jì)算機(jī)上的策略管理也不能保證用戶不寫下他們的密碼或?qū)⒚艽a提供給未經(jīng)授權(quán)的人。6） 薄弱點(diǎn)掃描本身并不會(huì)保護(hù)計(jì)算機(jī)系統(tǒng)，需在找出薄弱點(diǎn)后采取安全措施。該方法也不會(huì)發(fā)現(xiàn)合法用戶進(jìn)行的不正當(dāng)訪問，也不能發(fā)現(xiàn)已經(jīng)進(jìn)入系統(tǒng)、查找配置文件或補(bǔ)丁程序的弱點(diǎn)的入侵者。7） 加密:加密系統(tǒng)并不能分辨提交了同樣加密算法密鑰的用戶是合法還是非法用戶。加密本身不能提供安全保障，還必須對(duì)加密密鑰和系統(tǒng)有一個(gè)整體控制。8） 物理安全機(jī)制不能保護(hù)系統(tǒng)不受到合法訪問進(jìn)行的攻擊或通過網(wǎng)絡(luò)實(shí)施的攻擊。所以安全技術(shù)和產(chǎn)品只是安全實(shí)踐活動(dòng)的一部分，是實(shí)現(xiàn)安全需求的手段，還應(yīng)包括：制定完備的安全策略，通過風(fēng)險(xiǎn)評(píng)估來確定需求，根據(jù)需求選擇安全技術(shù)和產(chǎn)品，按照既定安全策略和流程規(guī)范來實(shí)施、維護(hù)和審查安全措施。信息安全并不是技術(shù)過程，而是管理過程。試題三一、選擇題（共20分，每題2分）數(shù)據(jù)在存儲(chǔ)過程中發(fā)生了非法訪問行為，這破壞了信息安全的屬性。A.保密性 B.完整性C.不可否認(rèn)性 D.可用性網(wǎng)上銀行系統(tǒng)的一次轉(zhuǎn)賬操作過程中發(fā)生了轉(zhuǎn)賬金額被非法篡改的行為，這破壞了信息安全的屬性。A.保密性 B.完整性C.不可否認(rèn)性 D.可用性PDR安全模型屬于類型。A.時(shí)間模型 B.作用模型C.結(jié)構(gòu)模型 D.關(guān)系模型《信息安全國(guó)家學(xué)說》是 的信息安全基本綱領(lǐng)性文件。A.法國(guó) B.美國(guó) C.俄羅斯 D.英國(guó)下列的犯罪行為不屬于我國(guó)刑法規(guī)定的與計(jì)算機(jī)有關(guān)的犯罪行為。A.竊取國(guó)家秘密 B.非法侵入計(jì)算機(jī)信息系統(tǒng)C.破壞計(jì)算機(jī)信息系統(tǒng)D.利用計(jì)算機(jī)實(shí)施金融詐驪我國(guó)刑法 規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪。A.第284條 B.第285條C.第286條 D.第287條信息安全領(lǐng)域內(nèi)最關(guān)鍵和最薄弱的環(huán)節(jié)。A.技術(shù) B.策略 C.管理制度 。.人信息安全管理領(lǐng)域權(quán)威的標(biāo)準(zhǔn)是。A.IS015408 B.IS017799/IS027001C.IS09001 D.IS014001IS017799/IS027001最初是由 提出的國(guó)家標(biāo)準(zhǔn)。A.美國(guó) B.澳大利亞 C.英國(guó) D.中國(guó)IS017799的內(nèi)容結(jié)構(gòu)按照進(jìn)行組織。A.管理原則 B.管理框架C.管理域控制目標(biāo)卷制措施 D.管理制度二、填空題（共20分，每題2分）密鑰管理的主要內(nèi)容包括密鑰的生成、分配、使用、存儲(chǔ)、備份、恢復(fù)和銷毀。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分散生成。密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過程。三、名詞解釋（共20分，每題4分）請(qǐng)解釋下列5種“非法訪問”攻擊方式的含義。1） 口令破解攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可通過猜測(cè)或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2） IP欺驪攻擊者可通過偽裝成被信任源IP地址等方式來驪取目標(biāo)主機(jī)的信任，這主要針對(duì)LinuxUNIX下建立起IP地址信任關(guān)系的主機(jī)實(shí)施欺驪。這也是黑客入侵中真正攻擊方式的一種。3） DNS欺驪當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請(qǐng)求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被請(qǐng)求方，向請(qǐng)求方返回一個(gè)被篡改了的應(yīng)答（IP地址），將用戶引向黑客設(shè)定的主機(jī)。這也是黑客入侵中真正攻擊方式的一種。4） 重放（Replay）攻擊在消息沒有時(shí)間戳的情況下，攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來，過一段時(shí)間后再發(fā)送出去。5） 特洛伊木馬（TrojanHors）e把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽某個(gè)不常用端口，假冒登錄界面獲取帳號(hào)和口令等）。四、問答題（共25分，每題5分）簡(jiǎn)述安全策劃體系所包含的內(nèi)容。答：一個(gè)合理的信息安全策略體系可以包括三個(gè)不同層次的策略文檔：（1） 總體安全策略，闡述了指導(dǎo)性的戰(zhàn)略綱領(lǐng)性文件，闡明了企業(yè)對(duì)于信息安全的看法和立場(chǎng)、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定以及對(duì)于信息資產(chǎn)的管理辦法等內(nèi)容；（2） 針對(duì)特定問題的具體策略，闡述了企業(yè)對(duì)于特定安全問題的聲明、立場(chǎng)、使用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容，例如，針對(duì)Interne訪問操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定有針對(duì)性的安全策略；（3） 針對(duì)特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等。簡(jiǎn)述至少六種安全問題的策略。答：（1）物理安全策略；（2）網(wǎng)絡(luò)安全策略；（3）數(shù)據(jù)加密策略；（4）數(shù)據(jù)備份策略；（5）病毒防護(hù)策略；（6）系統(tǒng)安全策略；（7）身份認(rèn)證及授權(quán)策略；（8）災(zāi)難恢復(fù)策略；（9）事故處理、緊急響應(yīng)策略；（10）安全教育策略；（11）口令安全策略；（12）補(bǔ)丁管理策略；（13）系統(tǒng)變更控制策略；（14）商業(yè)伙伴、客戶關(guān)系策略；（15）復(fù)查審計(jì)策略。試編寫一個(gè)簡(jiǎn)單的口令管理策略。答：（1）所有活動(dòng)賬號(hào)都必須有口令保護(hù)。（2）生成賬號(hào)時(shí)，系統(tǒng)管理員應(yīng)分配給合法用戶一個(gè)唯一的口令，用戶在第一次登錄時(shí)應(yīng)該更改口令。(3)口令必須至少要含有8個(gè)字符。口令必須同時(shí)含有字母和非字母字符。必須定期用監(jiān)控工具檢查口令的強(qiáng)度和長(zhǎng)度是否合格?？诹畈荒芎陀脩裘蛘叩卿浢嗤?。口令必須至少60天更改一次。簡(jiǎn)述入侵檢測(cè)系統(tǒng)IDS所采取的兩種主要方法。答：(1)誤用檢測(cè)：通過對(duì)比已知攻擊手段及系統(tǒng)漏洞的簽名特征來判斷系統(tǒng)中是否有入侵行為發(fā)生。具體地說，根據(jù)靜態(tài)的、預(yù)先定好的簽名集合來過濾網(wǎng)絡(luò)中的數(shù)據(jù)流主要是IP層)，一旦發(fā)現(xiàn)數(shù)據(jù)包特征與某個(gè)簽名相匹配，則認(rèn)為是一次入侵。(2)異常檢測(cè)：指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不以來具體行為是否出想來檢測(cè)，所以也被稱為基于行為的檢測(cè)。異常檢測(cè)利用統(tǒng)計(jì)或特征分析的方法來檢測(cè)系統(tǒng)的異常行為。首先定義檢測(cè)假設(shè)，任何對(duì)系統(tǒng)的入侵和誤操作都會(huì)導(dǎo)致系統(tǒng)異常，這樣對(duì)入侵的檢測(cè)就可以歸結(jié)到對(duì)系統(tǒng)異常的檢測(cè)。簡(jiǎn)述我們信息安全保護(hù)等級(jí)的含義。答：信息安全等級(jí)保護(hù)是指：對(duì)國(guó)家秘密信息、法人或其它組織及公民的專有信息以及公開信息的存儲(chǔ)、傳輸和處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；對(duì)信息系統(tǒng)中發(fā)生的信息安全事件按照等級(jí)進(jìn)行響應(yīng)和處置等。五、論述題(共1題，計(jì)15分)假如你是一個(gè)網(wǎng)絡(luò)管理員，請(qǐng)假定網(wǎng)絡(luò)場(chǎng)景，說明你會(huì)采取哪些措施來構(gòu)建網(wǎng)絡(luò)安全體系，這些措施各有什么作用。將重要設(shè)備放入專門房間，保持良好環(huán)境，有專入制度，保證物理安全；在網(wǎng)關(guān)出口使用防火墻，如果對(duì)網(wǎng)絡(luò)安全要求較高，可以使用狀態(tài)檢測(cè)型防火墻，如果對(duì)速度要求高可以使用硬件防火墻。在防火墻后面使用IDS，與防火墻配合使用，以加強(qiáng)內(nèi)網(wǎng)安全。將所有服務(wù)器放置在專門的DMZ區(qū)域。對(duì)于內(nèi)網(wǎng)安全，可以使用域環(huán)境，由DC統(tǒng)一管理帳號(hào)和密碼，針對(duì)不同的用戶和組設(shè)置不同的權(quán)限。做好操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件升級(jí)維護(hù)，做好數(shù)據(jù)備份，保障數(shù)據(jù)安全；購(gòu)買正版殺毒軟件并及時(shí)升級(jí)；對(duì)外通信采用IPSec或SSL等VPN加密技術(shù)，保障通信安全；為系統(tǒng)設(shè)置安全口令，做好訪問控制，保障系統(tǒng)使用安全；建立完善的安全管理制度、審計(jì)制度、建立應(yīng)急響應(yīng)機(jī)構(gòu)和機(jī)制；做好內(nèi)部安全監(jiān)管、安全培訓(xùn)等。試題四一、選擇題（共20分，每題2分） 對(duì)于信息安全管理負(fù)有責(zé)任。高級(jí)管理層 B.安全管理員C.IT管理員 D.所有與信息系統(tǒng)有關(guān)人員對(duì)于提高人員安全意識(shí)和安全操作技能來說，以下所列的安全管理最有效的是A.安全檢查 B.教育與培訓(xùn) C.責(zé)任追究 D.制度約束《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是由中華人民共和國(guó) 第l47號(hào)發(fā)布的。A.國(guó)務(wù)院令 B.全國(guó)人民代表大會(huì)令C.公安部令 D.國(guó)家安全部令《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》規(guī)定，負(fù)責(zé)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所安全審核和對(duì)違反網(wǎng)絡(luò)安全管理規(guī)定行為的查處。A.人民法院 B.公安機(jī)關(guān)C.工商行政管理部門 D.國(guó)家安全部門計(jì)算機(jī)病毒最本質(zhì)的特性是 。A.寄生性 B.潛伏性C.破壞性 D.攻擊性全策略是得到大部分需求的支持并同時(shí)能夠保護(hù)企業(yè)的利益。A.有效的 B.合法的C.實(shí)際的 D.成熟的在PDR安全模型中最核心的組件是 。A.策略 B.保護(hù)措施C.檢測(cè)措施 D.響應(yīng)措施制定災(zāi)難恢復(fù)策略，最重要的是要知道哪些是商務(wù)工作中最重要的設(shè)施，在發(fā)生災(zāi)難后，這些設(shè)施的。A.恢復(fù)預(yù)算是多少 B.恢復(fù)時(shí)間是多長(zhǎng)仁恢復(fù)人員有幾個(gè) 。.恢復(fù)設(shè)備有多少在完成了大部分策略的編制工作后，需要對(duì)其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為。A.可接受使用策略AUPB.安全方針C.適用性聲明 D.操作規(guī)范對(duì)保護(hù)數(shù)據(jù)來說，功能完善、使用靈活的必不可少。A.系統(tǒng)軟件 B.備份軟件C.數(shù)據(jù)庫軟件 D.網(wǎng)絡(luò)軟件二、填空題(共20分，每題2分)密鑰分配中心的英文縮寫是KDC。數(shù)字簽名是筆跡簽名的模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。身份認(rèn)證是驗(yàn)證信息發(fā)送者是真的，而不是冒充的，包括信源、信宿等的認(rèn)證和識(shí)別。訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限。防火墻是位于兩個(gè)網(wǎng)絡(luò)之間，一端是內(nèi)部網(wǎng)絡(luò)，另一端是外部網(wǎng)絡(luò)。三、名詞解釋(共20分，每題4分)解釋下列5種安全技術(shù)機(jī)制答：(1)安全補(bǔ)丁管理平臺(tái)。安裝安全補(bǔ)丁之后的系統(tǒng)軟件，將彌補(bǔ)原來所存在的安全漏洞，達(dá)到安全加固的效果。加固后的系統(tǒng)，對(duì)于跟該安全漏洞有關(guān)的蠕蟲病毒攻擊都具備徹底的免疫能力。因此，安全補(bǔ)丁的管理可以從根本上減低計(jì)算機(jī)病毒所造成的安全風(fēng)險(xiǎn)。防火墻。防火墻可以實(shí)現(xiàn)理想的屏蔽和隔離保護(hù)，即便系統(tǒng)內(nèi)部有安全漏洞，外部網(wǎng)絡(luò)環(huán)境中有計(jì)算機(jī)病毒，由于防火墻的保護(hù)，禁止了兩個(gè)因素相結(jié)合的途徑，系統(tǒng)也不會(huì)被計(jì)算機(jī)病毒感染和破壞。網(wǎng)絡(luò)入侵檢測(cè)。當(dāng)網(wǎng)絡(luò)中爆發(fā)蠕蟲病毒事件之后，整個(gè)網(wǎng)絡(luò)的通信性能都會(huì)受到非常顯著的影響。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)除了對(duì)典型的網(wǎng)絡(luò)攻擊和入侵行為進(jìn)行檢測(cè)之外，還包含了文寸蠕蟲病毒流量的分析和檢測(cè)能力，它所提供的事件報(bào)警和分析日志，能夠?yàn)榭焖俣ㄎ皇录蚝团懦收咸峁┲匾闹С帜芰ΑＯ到y(tǒng)和數(shù)據(jù)備份。對(duì)于重要系統(tǒng)軟件和業(yè)務(wù)數(shù)據(jù)的備份處理，不僅是重要的，而且是必須的，只有持防患于未然的態(tài)度，才能真正實(shí)現(xiàn)未雨綢繆。殺毒軟件：用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能，是計(jì)算機(jī)防御系統(tǒng)的重要組成部分。四、問答題(共25分，每題5分)簡(jiǎn)述計(jì)算機(jī)病毒的分類方法。答：對(duì)于計(jì)算機(jī)病毒的分類，目前常見的分類方式有以下幾種：根據(jù)破壞程度進(jìn)行分類，可以分為良性計(jì)算機(jī)病毒和惡性計(jì)算機(jī)病毒兩類。根據(jù)系統(tǒng)軟件環(huán)境的類型進(jìn)行分類，可以分為DOS病毒、Windows病毒、UNIX病毒以及其他操作系統(tǒng)病毒。根據(jù)宿主類型進(jìn)行分類，可以分為有宿主的計(jì)算機(jī)病毒和無宿主的計(jì)算機(jī)病毒兩類。其中，有宿主的計(jì)算機(jī)病毒又包括了引導(dǎo)性病毒、文件型病毒、宏病毒等，而無宿主的計(jì)算機(jī)病毒則以網(wǎng)絡(luò)蠕蟲類病毒為典型代表。建立一個(gè)有效的計(jì)算機(jī)病毒防治體系應(yīng)當(dāng)包括哪些主要內(nèi)容。答：建立一個(gè)有效的計(jì)算機(jī)病毒防治體系，應(yīng)當(dāng)包含以下主要方面：編寫明確的計(jì)算機(jī)病毒防治策略。建立計(jì)算機(jī)病毒防治核心技術(shù)機(jī)制，包括網(wǎng)絡(luò)版殺毒系統(tǒng)和安全補(bǔ)丁管理平臺(tái)。建立計(jì)算機(jī)病毒防治輔助技術(shù)機(jī)制，包括防火墻、網(wǎng)絡(luò)入侵檢測(cè)、系統(tǒng)和數(shù)據(jù)備份。（4） 建立計(jì)算機(jī)病毒防治配套管理規(guī)范，包括日常維護(hù)規(guī)范和應(yīng)急響應(yīng)計(jì)劃。（5） 文寸所有計(jì)算機(jī)信息系統(tǒng)用戶提供教育和培訓(xùn)。簡(jiǎn)述至少5種與信息安全違法行為有關(guān)的處罰方式。答：（1）警告；（2）通報(bào)批評(píng)；（3）罰款；（4）拘留；（5）沒收違法所得；（6）吊銷許可證；（7）責(zé)令停機(jī)整頓；（8）責(zé)令停止聯(lián)網(wǎng)。簡(jiǎn)述3種向公安機(jī)關(guān)報(bào)告網(wǎng)絡(luò)犯罪案件的途徑。答：公安機(jī)關(guān)作為管轄部門，為了保證計(jì)算機(jī)案件的及時(shí)受理，建立了暢通的報(bào)警渠道。發(fā)現(xiàn)案件的使用單位和個(gè)人，可以通過以下渠道報(bào)案，公安機(jī)關(guān)應(yīng)在24小時(shí)之內(nèi)迅速完成案件的受理。（1） 直接向所轄地區(qū)的派出所報(bào)案，由派出所予以受理。（2） 通過統(tǒng)一報(bào)警電話110，向公安機(jī)關(guān)報(bào)案。（3） 通過所在地公安機(jī)關(guān)在互聯(lián)網(wǎng)上設(shè)立的報(bào)警網(wǎng)站報(bào)案。簡(jiǎn)述防火墻所具有的局限性。答：防火墻產(chǎn)品雖然是網(wǎng)絡(luò)安全的主要機(jī)制，但是也存在一定的局限性；例如無法阻止內(nèi)部主機(jī)之間的攻擊行為；無法防止旁路'通道的出現(xiàn)及其引起的安全隱患；無法阻止病毒侵襲；可能構(gòu)成內(nèi)、外網(wǎng)之間潛在的信息處理瓶頸。五、論述題（共1題，計(jì)15分）試論述目前造成計(jì)算機(jī)網(wǎng)絡(luò)不安全的原因是什么?可采取哪些相應(yīng)的安全措施？參考答案不安全原因1.網(wǎng)絡(luò)自身的特性2.網(wǎng)絡(luò)技術(shù)的開方攵3.網(wǎng)絡(luò)協(xié)議的漏洞4.通信系統(tǒng)和信息系統(tǒng)的自身缺陷5.系統(tǒng)〃后門”黑客及病毒等惡意程序的攻擊。措施制定安全策略：如采用什么樣的安全保障體系、確定網(wǎng)絡(luò)資源職責(zé)劃分、制定使用規(guī)則、制定日常維護(hù)規(guī)程、確定在遇到安全問題時(shí)采取的措施；采取加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別、業(yè)務(wù)填充、路由控制、公證仲裁等機(jī)制。具體技術(shù)措施如：1）設(shè)置IP限制，屏蔽有威脅的IP地址2）設(shè)置身份驗(yàn)證，確保只有合法用戶才能訪問授權(quán)范圍內(nèi)的資源3）設(shè)置資源的WEB權(quán)限4）設(shè)置文件或目錄的NTFS權(quán)限5）用虛擬目錄隱藏真實(shí)的網(wǎng)站結(jié)構(gòu)6）設(shè)置基于SSL的加密和證書服務(wù)，保證傳輸安全7）完善定期審核機(jī)制8）安裝防火墻軟件9）安裝殺毒軟件10）及時(shí)安裝操作系統(tǒng)補(bǔ)丁，減少操作系統(tǒng)漏洞試題五一、選擇題（共20分，每題2分）防止靜態(tài)信息被非授權(quán)訪問和防止動(dòng)態(tài)信息被截取解密。A.數(shù)據(jù)完整性 B.數(shù)據(jù)可用性C.數(shù)據(jù)可靠性 D.數(shù)據(jù)保密性用戶身份鑒別是通過 完成的。A.口令驗(yàn)證 B.審計(jì)策略C.存取控制 D.查詢功能故意輸入計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)，危害計(jì)算機(jī)信息系統(tǒng)安全的個(gè)人，由公安機(jī)關(guān)處以 OA.3年以下有期徒刑或拘役 B.警告或者處以5000元以下的罰款C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罰款網(wǎng)絡(luò)數(shù)據(jù)備份的實(shí)現(xiàn)主要需要考慮的問題不包括 oA.架設(shè)高速局域網(wǎng) B.分析應(yīng)用環(huán)境 C.選擇備份硬件設(shè)備 D.選擇備份管理軟件《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在 向當(dāng)?shù)乜h級(jí)以上人民政府公安機(jī)關(guān)報(bào)告。A.8小時(shí)內(nèi) B.12小時(shí)內(nèi) C.24小時(shí)內(nèi) D.48小時(shí)內(nèi)公安部網(wǎng)絡(luò)違法案件舉報(bào)網(wǎng)站的網(wǎng)址oA.C.http://www.cyberpoliceA.C.http://www.cyberpolicecn D.對(duì)于違反信息安全法律、法規(guī)行為的行政處罰中，是較輕的處罰方式。A.警告 B.罰款沒收違法所得 D.吊銷許可證對(duì)于違法行為的罰款處罰，屬于行政處罰中的o化人身自由罰 B.聲譽(yù)罰C.財(cái)產(chǎn)罰 D.資格罰對(duì)于違法行為的通報(bào)批評(píng)處罰，屬于行政處罰中的oA.人身自由罰 B.聲譽(yù)罰 C.財(cái)產(chǎn)罰 D.資格罰1994年2月國(guó)務(wù)院發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》賦予 對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作行使監(jiān)督管理職權(quán)。A.信息產(chǎn)業(yè)部 B.全國(guó)人大C.公安機(jī)關(guān) D.國(guó)家工商總局二、填空題（共20分，每題2分）防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)2.IDS的物理實(shí)現(xiàn)不同，按檢測(cè)的監(jiān)控位置劃分，入侵檢測(cè)系統(tǒng)可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。計(jì)算機(jī)病毒的5個(gè)特征是：主動(dòng)傳染性、破壞性、寄生性（隱蔽性）、潛伏性、多態(tài)性三、名詞解釋（共20分，每題4分）病毒的特征代碼病毒的特征代碼是病毒程序編制者用來識(shí)別自己編寫程序的唯一代碼串。因此檢測(cè)病毒程序可利用病毒的特征代碼來檢測(cè)病毒，以防止病毒程序感染。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號(hào)網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計(jì)算機(jī)病毒或細(xì)菌。可以向系統(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。蠕蟲是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個(gè)改變其他程序功能的病毒。入侵檢測(cè)系統(tǒng)IDS它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門。黑客攻擊過程中的目標(biāo)探測(cè)和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。VPNVPN是VirtualPrivateNetw的■縮寫，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Interne連接而成的邏輯上的虛擬子網(wǎng)。Virtua是針對(duì)傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。四、問答題（共25分，每題5分）簡(jiǎn)述信息安全脆弱性的分類及其內(nèi)容。答：信息安全脆弱性的分類及其內(nèi)容如下所示；脆弱性分類：一、 技術(shù)脆弱性1、 物理安全：物理設(shè)備的訪問控制、電力供應(yīng)等2、 網(wǎng)絡(luò)安全：基礎(chǔ)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等3、 系統(tǒng)安全：應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等4、 應(yīng)用安全：應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等二、 管理脆弱性安全管理：安全策略、組織安全、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全等簡(jiǎn)述物理安全的技術(shù)層面的主要內(nèi)容。答：物理安全的技術(shù)層面主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全和媒體安全。（1）環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（2設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；（3媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。簡(jiǎn)述有害數(shù)據(jù)的含義。答：有害數(shù)據(jù)，是指計(jì)算機(jī)信息系統(tǒng)及其存儲(chǔ)介質(zhì)中存在、出現(xiàn)的，以計(jì)算機(jī)程序、圖像、文字、聲音等多種形式表示的，含有攻擊人民民主專政、社會(huì)主義制度，攻擊黨和國(guó)家領(lǐng)導(dǎo)人，破壞民族團(tuán)結(jié)等危害國(guó)家安全內(nèi)容的信息，含有宣揚(yáng)封建迷信、淫穢色情、兇殺、教唆犯罪等危害社會(huì)治安秩序內(nèi)容的信息，以及危害計(jì)算機(jī)信息系統(tǒng)運(yùn)行和功能發(fā)揮，應(yīng)用軟件、數(shù)據(jù)可靠性、完整性和保密性，用于違法活動(dòng)的計(jì)算機(jī)程序含計(jì)算機(jī)病毒）。簡(jiǎn)述計(jì)算機(jī)病毒的含義。答：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。什么是互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所？答：互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所，是指通過計(jì)算機(jī)等裝置向公眾提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的網(wǎng)吧、電腦休閑室等營(yíng)業(yè)性場(chǎng)所。五、論述題（共1題，計(jì)15分）至少分析、討論5種信息系統(tǒng)所面臨的安全威脅。答：信息系統(tǒng)所面臨的常見安全威脅如下所示：軟硬件故障：由于設(shè)備硬件故障、通信鏈接中斷、信息系統(tǒng)或軟件Bug導(dǎo)致對(duì)業(yè)務(wù)、高效穩(wěn)定運(yùn)行的影響。物理環(huán)境威脅：斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害。無作為或操作失誤：由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意的執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。管理不到位：安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。惡意代碼和病毒：具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。越權(quán)或?yàn)E用：通過采用一些，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。黑客攻擊技術(shù)：利用黑客工具和技術(shù)，例如，偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺驪、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。物理攻擊：物理接觸、物理破壞、盜竊

試題六一、選擇題（共20分，每題2分）《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》規(guī)定，互聯(lián)單位、接入單位、使用計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的法人和其他組織（包括跨省、自治區(qū)、直轄市聯(lián)網(wǎng)的單位和所屬的分支機(jī)構(gòu)），應(yīng)當(dāng)自網(wǎng)絡(luò)正式聯(lián)通之日日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機(jī)關(guān)指定的受理機(jī)關(guān)辦理備案手續(xù)。TOC\o"1-5"\h\z7 B.10 C.15 D.302.互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位落實(shí)的記錄留存技術(shù)措施，應(yīng)當(dāng)具有至少保存天記錄備份的功能。A.10 B.30 C.60 D.90對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行過濾和控制的信息安全技術(shù)機(jī)制。A.防火墻 B.IDSC.Sniffer D.IPSec下列不屬于防火墻核心技術(shù)的是一B.NAT技術(shù)D.B.NAT技術(shù)D.日志審計(jì)B.安全控制更細(xì)化、更靈活D.服務(wù)對(duì)象更廣泛C.應(yīng)用代理技術(shù)應(yīng)用代理防火墻的主要優(yōu)點(diǎn)是―A.加密強(qiáng)度更高C.安全服務(wù)的透明性更好安全管理中經(jīng)常會(huì)采用權(quán)限分離”的辦法，防止單個(gè)人員權(quán)限過高，出現(xiàn)內(nèi)部人員的違法犯罪行為，權(quán)限分離'屬于控制措施。A.管理 B.檢測(cè) C.響應(yīng) D.運(yùn)行安全管理中采用的職位輪換喊者強(qiáng)制休假，辦'法是為了發(fā)現(xiàn)特定的崗位人員是否存在違規(guī)操作行為，屬于 控制措施。A.管理 B.檢測(cè) C.響應(yīng) D.運(yùn)行下列選項(xiàng)中不屬于人員安全管理措施的是 。A.行為監(jiān)控 B.安全培訓(xùn) C.人員離崗 D.背景/技能審查《計(jì)算機(jī)病毒防治管理辦法》規(guī)定，主管全國(guó)的計(jì)算機(jī)病毒防治管理工作。A.信息產(chǎn)業(yè)部 B.國(guó)家病毒防范管理中心C.公安部公共信息網(wǎng)絡(luò)安全監(jiān)察 D.國(guó)務(wù)院信息化建設(shè)領(lǐng)導(dǎo)小組計(jì)算機(jī)病毒的實(shí)時(shí)監(jiān)控屬于 類的技術(shù)措施。A.保護(hù) B.檢測(cè) C.響應(yīng) 。.恢復(fù)二、填空題（共20分，每題2分）針對(duì)操作系統(tǒng)安全漏洞的蠕蟲病毒根治的技術(shù)措施是 。安裝安全補(bǔ)丁程序能夠有效地防御未知的新病毒對(duì)信息系統(tǒng)造成破壞的安全措施。防火墻隔具有代表性的攻擊硬件設(shè)備的病毒。CIH傳統(tǒng)的文件型病毒以計(jì)算機(jī)操作系統(tǒng)作為攻擊對(duì)象，而現(xiàn)在越來越多的網(wǎng)絡(luò)蠕蟲病毒將攻擊范圍擴(kuò)大到了等重要網(wǎng)絡(luò)資源。網(wǎng)絡(luò)帶寬 不是計(jì)算機(jī)病毒所具有的特點(diǎn)。可預(yù)見性進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。信息系統(tǒng)對(duì)于遠(yuǎn)程訪問型VPN來說，產(chǎn)品經(jīng)常與防火墻及NAT機(jī)制存在兼容性問題，導(dǎo)致安全隧道建立失敗。IPSecVPN1999年，我國(guó)發(fā)布的第一個(gè)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)GB17859—1999，提出將信息系統(tǒng)的安全等級(jí)劃分為個(gè)等級(jí)，并提出每個(gè)級(jí)別的安全功能要求。5等級(jí)保護(hù)標(biāo)準(zhǔn)GBl7859主要是參考了而提出。美國(guó)TCSEC我國(guó)在1999年發(fā)布的國(guó)家標(biāo)）為信息安全等級(jí)保護(hù)奠定了基礎(chǔ)°GBl7859三、 名詞解釋（共20分，每題4分）MD5MD5消息摘要算法是由Rivest是出，是當(dāng)前最為普遍的Hash算法，MD5是第5個(gè)版本，該算法以一個(gè)任意長(zhǎng)度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。計(jì)算機(jī)病毒：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)：經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動(dòng)；互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施：指保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全、防范違法犯罪的技術(shù)設(shè)施和技術(shù)方法。數(shù)字簽名：以電子形式存在于數(shù)據(jù)信息之中的，或作為其附件的，可用于辨別數(shù)據(jù)簽署人的身份的數(shù)據(jù)信息。四、 問答題（共25分，每題5分）請(qǐng)說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進(jìn)行：⑴采用散列算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度的數(shù)字串，稱為報(bào)文摘要（MessageDigest）不同的報(bào)文所得到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。（2）發(fā)送方用目己的私有密鑰對(duì)摘要進(jìn)行加密來形成數(shù)字簽名。⑶這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。（4）接收方首先對(duì)接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的公開密鑰對(duì)報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改。數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。采用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：（1） 保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。（2） 保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信息。單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？（1） 用戶所知道的東西：如口令、密碼。（2） 用戶所擁有的東西：如智能卡、身份證。（3） 用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等。有哪兩種主要的存儲(chǔ)口令的方式，各是如何實(shí)現(xiàn)口令驗(yàn)證的？（1） 直接明文存儲(chǔ)口令有很大風(fēng)險(xiǎn)，只要得到了存儲(chǔ)口令的數(shù)據(jù)庫，就可以得到全體人員的口令。比如攻擊者可以設(shè)法得到一個(gè)低優(yōu)先級(jí)的帳號(hào)和口令，進(jìn)入系統(tǒng)后得到明文存儲(chǔ)口令的文件，這樣他就可以得到全體人員的口令。（2） Hash散列存儲(chǔ)口令散列函數(shù)的目的是為文件、報(bào)文或其他分組數(shù)據(jù)產(chǎn)生“指紋”對(duì)于每一個(gè)用戶，系統(tǒng)存儲(chǔ)帳號(hào)和散列值對(duì)在一個(gè)口令文件中，當(dāng)用戶登錄時(shí)，用戶輸入口令x，系統(tǒng)計(jì)算F（x）,然后與口令文件中相應(yīng)的散列值進(jìn)行比對(duì)，成功即允許登錄。使用口令進(jìn)行身份認(rèn)證的優(yōu)缺點(diǎn)？?jī)?yōu)點(diǎn)在于黑客即使得到了口令文件，通過散列值想要計(jì)算出原始口令在計(jì)算上也是不可能的，這就相對(duì)增加了安全性。嚴(yán)重的安全問題（單因素的認(rèn)證），安全性僅依賴于口令，而且用戶往往選擇容易記憶、容易被猜測(cè)的口令（安全系統(tǒng)最薄弱的突破口），口令文件也可被進(jìn)行離線的字典式攻擊。五、論述題（共1題，計(jì)15分）試介紹VPN使用了哪些主要技術(shù)。1） 隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。一個(gè)VPN可抽象為一個(gè)沒有自環(huán)的連通圖，每個(gè)頂點(diǎn)代表一個(gè)VPN端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開VPN的設(shè)備端口），相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對(duì)應(yīng)端點(diǎn)的邏輯通道，即隧道。隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個(gè)VPN端點(diǎn)，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）2） 當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會(huì)造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3） 對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制。這需要訪問者與設(shè)備的身份認(rèn)證技術(shù)和訪問控制技術(shù)。試題七一、 選擇題（共20分，每題2分）安全脆弱性是產(chǎn)生安全事件的。內(nèi)因 ：8.外因C.根本原因 D.不相關(guān)因素下列關(guān)于用戶口令說法錯(cuò)誤的是 。A.口令不能設(shè)置為空 B.口令長(zhǎng)度越長(zhǎng)，安全性越高C.復(fù)雜口令安全性足夠高，不需要定期修改 D.口令認(rèn)證是最常見的認(rèn)證機(jī)制在使用復(fù)雜度不高的口令時(shí)，容易產(chǎn)生弱令的安全脆弱性，被攻擊者利用，從而破解用戶帳戶，下列具有最好的口令復(fù)雜度。A.morrison B.Wm.$*F2m5@C.27776394 D.wangjing1977按照通常的口令使用策略，口令修改操作的周期應(yīng)為天。A.60 B.90 C.30 D.120對(duì)口令進(jìn)行安全性管理和使用，最終是為了。口令不被攻擊者非法獲得防止攻擊者非法獲得訪問和操作權(quán)限保證用戶帳戶的安全性規(guī)范用戶操作行為人們?cè)O(shè)計(jì)了，以改善口令認(rèn)證自身安全性不足的問題。A.統(tǒng)一身份管理 B.指紋認(rèn)證C.數(shù)字證書認(rèn)證 D.動(dòng)態(tài)口令認(rèn)證機(jī)制PKI是 。A.PrivateKeyInfrastructure B.PublicKeyInstituteC.PublicKeyInfrastructure D.PrivateKeyInstitute公鑰密碼基礎(chǔ)設(shè)施PKI解決了信息系統(tǒng)中的問題。A.身份信任 B.權(quán)限管理 C.安全審計(jì) D.加密PKI所管理的基本元素是 。A.密鑰 B.用戶身份C.數(shù)字證書 D.數(shù)字簽名最終提交給普通終端用戶，并且要求其簽署和遵守的安全策略。A.口令策略 B.保密協(xié)議C.可接受使用策略 D.責(zé)任追究制度二、 填空題（共20分，每題2分）1、實(shí)體安全是指保證計(jì)算機(jī)系統(tǒng)硬件安全、可靠地運(yùn)行，確保它們?cè)趯?duì)信息的采集、處理、傳送和存儲(chǔ)過程中，不會(huì)受到人為或者其他因素造成的危害。2、 SS」協(xié)議主要用于加密機(jī)制。3、 為了網(wǎng)絡(luò)系統(tǒng)的安全，一般應(yīng)在Intrane和Interne之間部署防火墻。4、 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，既可以對(duì)外部黑客的攻擊行為進(jìn)行檢測(cè)，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，誦常部署在網(wǎng)絡(luò)交換機(jī)的監(jiān)聽端口、內(nèi)網(wǎng)和外網(wǎng)的邊界。5、 計(jì)算機(jī)病毒是段程序，它能夠侵入計(jì)算機(jī)系統(tǒng)，并且能夠通過修改其他程序，把自己或者自己的變種復(fù)制插入其他程序中，這些程序又可傳染別的程序，實(shí)現(xiàn)繁殖傳播。6、 使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于拒絕服務(wù)漏洞。7、 對(duì)于重要的計(jì)算機(jī)系統(tǒng)，更換操作人員時(shí)，令原操作員迅速交出掌握的各種技術(shù)資料、磁盤等存儲(chǔ)器件.同時(shí)改變系統(tǒng)的口令密碼。三、 名詞解釋（共20分，每題4分）蠕蟲蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電，子郵件單鑰密碼體制無論加密還是解密都使用同一個(gè)密鑰，因此，此密碼體制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。包過濾技術(shù)基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（PacketFiltering其技術(shù)原理在于加入IP過濾功能的路由器逐一審查包頭信息，并根據(jù)匹配和規(guī)則決定包的前行或被舍棄，以達(dá)到拒絕發(fā)送可疑的包的目的。入侵檢測(cè)技術(shù)通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。5.SQL注入攻擊：利用現(xiàn)有應(yīng)用程序，將惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力。是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一，用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)。四、 問答題（共25分，每題5分）說明信息安全的內(nèi)涵。答：從其主要內(nèi)容劃分，包括實(shí)體安全、網(wǎng)絡(luò)安全、軟件安全、運(yùn)行安全和信息安全等五個(gè)方面；從其結(jié)構(gòu)層次劃分，包括物理安全、安全控制和安全服務(wù)等三個(gè)方面。容災(zāi)與備份之間是什么關(guān)系？答：容災(zāi)強(qiáng)調(diào)的是在災(zāi)難發(fā)生時(shí)，保證系統(tǒng)業(yè)務(wù)持續(xù)不間斷地運(yùn)行的能力，而災(zāi)難恢復(fù)強(qiáng)調(diào)的災(zāi)難之后，系統(tǒng)的恢復(fù)能力。數(shù)據(jù)備份是把文件或數(shù)據(jù)庫從原來存儲(chǔ)的地方復(fù)制到其他地方的活動(dòng)，其目的是為了在設(shè)備發(fā)生故障或發(fā)生其他威脅數(shù)據(jù)安全的災(zāi)害時(shí)保護(hù)數(shù)據(jù)，將數(shù)據(jù)遭破壞的程度減到最小。什么是本地用戶組？什么是域用戶組？它們之間是什么關(guān)系？答：本地用戶帳號(hào)只能建立在Windows2000獨(dú)立服務(wù)器上，以控制用戶對(duì)該計(jì)算機(jī)資源的訪問。也就是說，如果一個(gè)用戶需要訪問多臺(tái)計(jì)算機(jī)上的資源，而這些計(jì)算機(jī)不屬于某個(gè)域，則用戶要在每一臺(tái)需要訪問的計(jì)算機(jī)上擁有相應(yīng)的本地用戶帳號(hào)，并在登錄某臺(tái)計(jì)算機(jī)時(shí)由該計(jì)算機(jī)驗(yàn)證。這些本地用戶帳號(hào)存放在創(chuàng)建該帳號(hào)的計(jì)算機(jī)上的本地SAM數(shù)據(jù)庫中，且在存放該帳域用戶帳號(hào)是用戶訪問域的唯一憑證，因此，在域中必須是唯一的。域用戶帳號(hào)在域控制器上建立，作為活動(dòng)目錄的一個(gè)對(duì)象保存在域的數(shù)據(jù)庫中。用戶在從域中的任何一臺(tái)計(jì)算機(jī)登錄到域中的時(shí)候必須提供一個(gè)合法的域用戶帳號(hào)，該帳號(hào)將被域控制器所驗(yàn)證。號(hào)的計(jì)算機(jī)上必須是唯一的。Administrators屬于該administator本地組內(nèi)的用戶，都具備系統(tǒng)管理員的權(quán)限，它們擁有對(duì)這臺(tái)計(jì)算機(jī)最大的控制權(quán)限，可以執(zhí)行整臺(tái)計(jì)算機(jī)的管理任務(wù)。內(nèi)置的系統(tǒng)管理員帳房Administrate是本地組的成員，而且無法將它從該組刪除。如果這臺(tái)計(jì)算機(jī)已加入域，則域的DomainAdmins會(huì)自動(dòng)地加入到該計(jì)算機(jī)的Administrator組內(nèi)。也就是說，域上的系統(tǒng)管理員在這臺(tái)計(jì)算機(jī)上也具備著系統(tǒng)管理員的權(quán)限。解釋字典攻擊一種強(qiáng)制力方法，指使用常用的術(shù)語或單詞列表進(jìn)行認(rèn)證。例如，攻擊者發(fā)現(xiàn)密碼可能是使用傳統(tǒng)字典加上名字列表，于是使用兩個(gè)源對(duì)脆弱的密碼進(jìn)行攻擊。什么是鏈路加密？答：鏈路加密是對(duì)相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。它工作在OSI參考模型的第二層，即在數(shù)據(jù)鏈路層進(jìn)行。鏈路加密側(cè)重于在通信鏈路上而不考慮信源和信宿，對(duì)通過各鏈路的數(shù)據(jù)采用不同的加密密鑰提供安全保護(hù)，它不僅對(duì)數(shù)據(jù)加密，而且還對(duì)高層的協(xié)議信息（地址、檢錯(cuò)、幀頭幀尾）加密，在不同節(jié)點(diǎn)對(duì)之間使用不同的加密密鑰。但在節(jié)點(diǎn)處，要先對(duì)接收到的數(shù)據(jù)進(jìn)行解密，獲得路由信息，然后再使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密，再進(jìn)行傳輸。在節(jié)點(diǎn)處傳輸數(shù)據(jù)以明文方式存在。因此，所有節(jié)點(diǎn)在物理上必須是安全的。五、論述題（共1題，計(jì)15分）1.什么是數(shù)字簽名？它在電子商務(wù)中起什么作用？答：i）從技術(shù)上來講，數(shù)字簽名其實(shí)就是通過一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文或消息）進(jìn)行處理，產(chǎn)生別人無法識(shí)別的一段數(shù)字串，這個(gè)數(shù)字串用來證明報(bào)文的來源并核實(shí)報(bào)文是否發(fā)生了變化。在數(shù)字簽名中，私有密鑰是某個(gè)人知道的秘密值，與之配對(duì)的唯一公開密鑰存放在數(shù)字證書或公共數(shù)據(jù)庫中，用簽名人掌握的秘密值簽署文件，用對(duì)應(yīng)的數(shù)字證書進(jìn)行驗(yàn)證。2）數(shù)字簽名技術(shù)最早應(yīng)用于用戶登錄過程。對(duì)于大多數(shù)用戶來講，用戶名和口令已習(xí)以為常了，其中隱含的簽名技術(shù)可能并不為人所知。推動(dòng)數(shù)字簽名廣泛應(yīng)用的最大功臣應(yīng)當(dāng)是PKI技術(shù)。在各國(guó)政府的積極支持下，PKI作為電子商務(wù)、電子政務(wù)的技術(shù)平臺(tái)，使得技術(shù)應(yīng)用、商業(yè)價(jià)值、生產(chǎn)力提高成為有機(jī)的整體，得到了長(zhǎng)足的發(fā)展，數(shù)字證書的概念已逐漸被越來越多的人所接受，極大地促進(jìn)了信息化建設(shè)的進(jìn)程。到目前為止，全國(guó)各省市幾乎都建立了自己的CA認(rèn)證中心，這些CA中心的數(shù)字證書及相關(guān)應(yīng)用方案被廣泛應(yīng)用于網(wǎng)上報(bào)關(guān)、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)檢、網(wǎng)上辦公、網(wǎng)上招投標(biāo)、網(wǎng)上采購(gòu)、數(shù)字工商等大型電子政務(wù)和電子商務(wù)工程。試題八一、選擇題（共20分，每題2分）信息安全領(lǐng)域內(nèi)最關(guān)鍵和最薄弱的環(huán)節(jié)是（D）。A、技術(shù)B、策略C、管理制度 D、，人信息安全管理領(lǐng)域權(quán)威的標(biāo)準(zhǔn)是（B）。A、ISO15408B、ISO17799/ISO2700英） C、ISO9001D、ISO14001注：美國(guó)在2003年公布了《確保網(wǎng)絡(luò)空間安全的國(guó)家戰(zhàn)略》。對(duì)電磁兼容性（ElectromagneticCompatibil簡(jiǎn)稱EMC）標(biāo)準(zhǔn)的描述正確的是（C）A.同一個(gè)國(guó)家的是恒定不變的B.不是強(qiáng)制的C.各個(gè)國(guó)家不相同D.以上均錯(cuò)誤物理安全的管理應(yīng)做到（D）所有相關(guān)人員都必須進(jìn)行相應(yīng)的培訓(xùn)，明確個(gè)人工作職責(zé)制定嚴(yán)格的值班和考勤制度，安排人員定期檢查各種設(shè)備的運(yùn)行情況在重要場(chǎng)所的迸出口安裝監(jiān)視器，并對(duì)進(jìn)出情況進(jìn)行錄像以上均正確計(jì)算機(jī)系統(tǒng)中的信息資源只能被授予權(quán)限的用戶修改，這是網(wǎng)絡(luò)安全的（B）。A、保密性B、^q2^完整性 C、可利用性 D、可靠性加密密鑰和解密密鑰相同的密碼系統(tǒng)為（C）A、非對(duì)稱密鑰體制 B、公鑰體制 C、單鑰體制 。、雙鑰體制我國(guó)《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》將災(zāi)難恢復(fù)分成了級(jí)（B）。A.五B.六 C.七D.八8.下圖（B）是 存儲(chǔ)類型的結(jié)構(gòu)圖。A.NASB.SAN C.以上都不是9.Windows系統(tǒng)安裝完后，默認(rèn)情況下系統(tǒng)將產(chǎn)生兩個(gè)帳號(hào)，分別是管理員帳號(hào)和（C）。A.本地帳號(hào)B.域帳號(hào) C.來賓帳號(hào) D.局部帳號(hào)10.計(jì)算機(jī)網(wǎng)絡(luò)組織結(jié)構(gòu)中有兩種基本結(jié)構(gòu)，分別是域和（B）A.用戶組 B.工作組 C.本地組 D.全局組二、填空題（共20分，每題2分）解密算法D是加密算法E的逆運(yùn)算。常規(guī)密鑰密碼體制又稱為對(duì)稱密鑰密碼體制,是在公開密鑰密碼體制以前使用的密碼體制。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分散生成。密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過程。計(jì)算機(jī)病毒的5個(gè)特征是：主動(dòng)傳染性、破壞性、寄生性、潛伏性、多態(tài)性三、名詞解釋(共20分，每題4分)口令破解攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可通過猜測(cè)或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2.IP欺驪攻擊者可通過偽裝成被信任源IP地址等方式來驪取目標(biāo)主機(jī)的信任，這主要針對(duì)Linux.UNIX下建立起IP地址信任關(guān)系的主機(jī)實(shí)施欺驪。這也是黑客入侵中真正攻擊方式的一種。病毒的特征代碼病毒的特征代碼是病毒程序編制者用來識(shí)別自己編寫程序的唯一代碼串。因此檢測(cè)病毒程序可利用病毒的特征代碼來檢測(cè)病毒，以防止病毒程序感染。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)(永久連接網(wǎng)絡(luò)或撥號(hào)網(wǎng)絡(luò))進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計(jì)算機(jī)病毒或細(xì)菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。蠕蟲是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個(gè)改變其他程序功能的病毒。入侵檢測(cè)系統(tǒng)IDS它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門。四、問答題(共25分，每題5分)簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象。主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。簡(jiǎn)述信息安全的三個(gè)基本屬性。答：信息安全包括了保密性、完整性和可用性三個(gè)基本屬性：保密性一一Confidentialift保星系在存儲(chǔ)、使用、傳輸過程中不會(huì)泄露給非授權(quán)的用戶或者實(shí)體。完整性一一Integrity保信息在存儲(chǔ)、使用、傳輸過程中不被非授權(quán)用戶篡改；防止授權(quán)用戶對(duì)信息進(jìn)行不恰當(dāng)?shù)拇鄹模槐ＷC信息的內(nèi)外一致性。可用性一一Availability角保授權(quán)用戶或者實(shí)體對(duì)于信息及資源的正確使用不會(huì)被異常拒絕，允許其可能而且及時(shí)地訪問信息及資源。簡(jiǎn)述物理安全的技術(shù)層面的主要內(nèi)容。答：物理安全的技術(shù)層面主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全和媒體安全。環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；(2設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；（3媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。簡(jiǎn)述有害數(shù)據(jù)的含義。答：有害數(shù)據(jù)，是指計(jì)算機(jī)信息系統(tǒng)及其存儲(chǔ)介質(zhì)中存在、出現(xiàn)的，以計(jì)算機(jī)程序、圖像、文字、聲音等多種形式表示的，含有攻擊人民民主專政、社會(huì)主義制度，攻擊黨和國(guó)家領(lǐng)導(dǎo)人，破壞民族團(tuán)結(jié)等危害國(guó)家安全內(nèi)容的信息，含有宣揚(yáng)封建迷信、淫穢色情、兇殺、教唆犯罪等危害社會(huì)治安秩序內(nèi)容的信息，以及危害計(jì)算機(jī)信息系統(tǒng)運(yùn)行和功能發(fā)揮，應(yīng)用軟件、數(shù)據(jù)可靠性、完整性和保密性，用于違法活動(dòng)的計(jì)算機(jī)程序含計(jì)算機(jī)病毒）。單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？（1） 用戶所知道的東西：如口令、密碼。（2） 用戶所擁有的東西：如智能卡、身份證。（3） 用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等。五、論述題（共1題，計(jì)15分）1、假如你是單位WEB服務(wù)器管理員，試述你會(huì)采取哪些主要措施來保障WEB服務(wù)器安全。參考答案訪問控制（IP地址限制、Windows帳戶、請(qǐng)求資源的Web權(quán)限、資源的NTFS權(quán)限）用虛擬目錄隱藏真實(shí)的網(wǎng)站結(jié)構(gòu)；設(shè)置基于SSL的加密和證書服務(wù)，以保證傳輸安全；完善定期審核機(jī)制；安裝防火墻及殺毒軟件；及時(shí)安裝操作系統(tǒng)補(bǔ)丁，減少操作系統(tǒng)漏洞等等。試題九一、 選擇題（共20分，每題2分）信息安全領(lǐng)域內(nèi)最關(guān)鍵和最薄弱的環(huán)節(jié)是（）。TOC\o"1-5"\h\zA.技術(shù)B.策略 C.管理制度 。.人特洛伊木馬是指一種計(jì)算機(jī)程序，它駐留在目標(biāo)計(jì)算機(jī)中，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)，這個(gè)程序會(huì)（）。A.不啟動(dòng) B.遠(yuǎn)程控制啟動(dòng) 仁自動(dòng)啟動(dòng) D.本地手工啟動(dòng)對(duì)電磁兼容性（ElectromagneticCompatibility,EMC）標(biāo)準(zhǔn)的描述正確的是（ ）A.同一個(gè)國(guó)家的是恒定不變的B.不是強(qiáng)制的C.各個(gè)國(guó)家不相同D.以上均錯(cuò)誤物理安全的管理應(yīng)做到（ ）所有相關(guān)人員都必須進(jìn)行相應(yīng)的培訓(xùn)，明確個(gè)人工作職責(zé)。制定嚴(yán)格的值班和考勤制度，安排人員定期檢查各種設(shè)備的運(yùn)行情況。在重要場(chǎng)所的迸出口安裝監(jiān)視器，并對(duì)進(jìn)出情況進(jìn)行錄像。以上均正確計(jì)算機(jī)系統(tǒng)中的信息資源只能被授予權(quán)限的用戶修改，這是網(wǎng)絡(luò)安全的（）。A.保密性B.數(shù)據(jù)完整性 C.可利用性 D.可靠性加密密鑰和解密密鑰相同的密碼系統(tǒng)為（）A.非對(duì)稱密鑰體制 B.公鑰體制 C.單鑰體制。.雙鑰體制目前對(duì)于大量數(shù)據(jù)存儲(chǔ)來說，容量大、成本低、技術(shù)成熟、廣泛使用的介質(zhì)是（）A.磁盤B.磁帶C.光盤D.軟盤下面哪種攻擊方法屬于被動(dòng)攻擊？（）A.拒絕服務(wù)攻擊 B.重放攻擊 C.通信量分析攻擊 D.假冒攻擊Windows系統(tǒng)安裝完后，默認(rèn)情況下系統(tǒng)將產(chǎn)生兩個(gè)帳號(hào)，分別是管理員帳號(hào)和（ ）。A.本地帳號(hào) B.域帳號(hào)C.來賓帳號(hào) D.局部帳號(hào)計(jì)算機(jī)網(wǎng)絡(luò)組織結(jié)構(gòu)中有兩種基本結(jié)構(gòu)，分別是域和（）A.用戶組 B.X作組 C.本地組D.全局組1—5:DCCDC;6-10CCCCB二、 填空題（共20分，每題2分）實(shí)體安全是指保證計(jì)算機(jī)全、可靠地運(yùn)行，確保它們?cè)趯?duì)信息的采集、處理、傳送和存儲(chǔ)過程中，不會(huì)受到人為或者其他因素造成的危害。系統(tǒng)硬件協(xié)議主要用于加密機(jī)制。SSL為了網(wǎng)絡(luò)系統(tǒng)的安全，一般應(yīng)在Intrane和Interne之間部署 。防火墻，既可以對(duì)外部黑客的攻擊行為進(jìn)行檢測(cè)，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在 . 。入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)交換機(jī)的監(jiān)聽端口；內(nèi)網(wǎng)和外網(wǎng)的邊界計(jì)算機(jī)病毒是 ，它能夠侵，并且能夠通過修改其他程序，把自己或者自己的變種復(fù)制插入其他程序中，這些程序又可傳染別的程序，實(shí)現(xiàn)繁殖傳播。一段程序；計(jì)算機(jī)系統(tǒng)使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致系統(tǒng)停止正常服務(wù)，這屬于攻擊。拒絕服務(wù)對(duì)于重要的計(jì)算機(jī)系統(tǒng)，更換操作人員時(shí)，令原操作員迅速交出掌握的各種技術(shù)資料、磁盤等存儲(chǔ)器件，同時(shí)改變系統(tǒng)的 口令密碼三、名詞解釋（共20分，每題4分）邏輯炸彈：算機(jī)中的邏輯炸彈”是指在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序2分），該程序觸發(fā)后造成計(jì)算機(jī)數(shù)據(jù)丟失、計(jì)算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€(gè)系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。（2分）加密：是以某種特殊的算法改變?cè)械男畔?shù)據(jù)（2分），使得未授權(quán)的用戶即使獲得了已加密的信息，但因不知解密的方法，仍然無法了解信息的內(nèi)容。（2分）防火墻：是一項(xiàng)協(xié)助確保信息安全的設(shè)備（2分），會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。（2分）分布式拒絕服務(wù)攻擊：指借助于客戶/服務(wù)器技術(shù)（2分），將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。從而使合法用戶無法得到服務(wù)的響應(yīng)。（2分）E-mail炸彈：用偽造的IP地址和電子郵件地址向同一信箱發(fā)送成千上萬甚至無窮多次的內(nèi)容相同的郵件（2分），從而擠滿信箱，把正常郵件給沖掉的一種攻擊。（2分）四、問答題（共25分，每題5分）說明信息安全的內(nèi)涵。答：信息的保密性：使信息不泄露給未授權(quán)的個(gè)體、實(shí)體、過程或不使信息為其利用的特性；（2分）信息的完整性：保護(hù)資產(chǎn)準(zhǔn)確性和完備性的特征；（2分）信息的可用性：已授權(quán)實(shí)體一旦需要就可訪問和使用的特征。（1分）容災(zāi)與備份之間是什么關(guān)系？答：容災(zāi)強(qiáng)調(diào)的是在災(zāi)難發(fā)生時(shí)，保證系統(tǒng)業(yè)務(wù)持續(xù)不間斷地運(yùn)行的能力，而災(zāi)難恢復(fù)強(qiáng)調(diào)的災(zāi)難之后，系統(tǒng)的恢復(fù)能力。（2分）數(shù)據(jù)備份是把文件或數(shù)據(jù)庫從原來存儲(chǔ)的地方復(fù)制到其他地方的活動(dòng)，其目的是為了在設(shè)備發(fā)生故障或發(fā)生其他威脅數(shù)據(jù)安全的災(zāi)害時(shí)保護(hù)數(shù)據(jù)，將數(shù)據(jù)遭破壞的程度減到最小。（3分）什么是本地用戶組？什么是域用戶組？它們之間是什么關(guān)系？答：本地用戶帳號(hào)只能對(duì)該計(jì)算機(jī)資源的訪問。（2分）域用戶帳號(hào)在域控制器上建立，作為活動(dòng)目錄的一個(gè)對(duì)象保存在域的數(shù)據(jù)庫中。用戶在從域中的任何一臺(tái)計(jì)算機(jī)登錄到域中的時(shí)候必須提供一個(gè)合法的域用戶帳號(hào)，該帳號(hào)將被域控制器所驗(yàn)證。號(hào)的計(jì)算機(jī)上必須是唯一的。（3分）域上的系統(tǒng)管理員在這臺(tái)計(jì)算機(jī)上也具備著系統(tǒng)管理員的權(quán)限。解釋字典攻擊：一種強(qiáng)制力方法，指使用常用的術(shù)語或單詞列表進(jìn)行認(rèn)證。（2分）例如，攻擊者發(fā)現(xiàn)密碼可能是使用傳統(tǒng)字典加上名字列表，于是使用兩個(gè)源對(duì)脆弱的密碼進(jìn)行攻擊。（3分）容災(zāi)與備份之間是什么關(guān)系？答：容災(zāi)強(qiáng)調(diào)的是在災(zāi)難發(fā)生時(shí)，保證系統(tǒng)業(yè)務(wù)持續(xù)不間斷地運(yùn)行的能力，而災(zāi)難恢復(fù)強(qiáng)調(diào)的災(zāi)難之后，系統(tǒng)的恢復(fù)能力。數(shù)據(jù)備份是把文件或數(shù)據(jù)庫從原來存儲(chǔ)的地方復(fù)制到其他地方的活動(dòng)，其目的是為了在設(shè)備發(fā)生故障或發(fā)生其他威脅數(shù)據(jù)安全的災(zāi)害時(shí)保護(hù)數(shù)據(jù)，將數(shù)據(jù)遭破壞的程度減到最小。五、論述題（共1題，計(jì)15分）簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象。答：主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)，性、完整性及系統(tǒng)服務(wù)的可用，性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)攻擊是攻擊