信息安全考試題庫

最新資料歡迎閱讀信息安全考試題庫一、填空題1、網(wǎng)絡(luò)安全的定義是（指網(wǎng)絡(luò)信息系統(tǒng)的安全，其內(nèi)涵是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的安全服務(wù)）2、安全協(xié)議的分類：、、、（認(rèn)證協(xié)議、密鑰管理協(xié)議、不可否認(rèn)協(xié)議、信息安全交換協(xié)議）3、安全協(xié)議的安全性質(zhì)、、、（認(rèn)證性、機(jī)密性、完整性和不可否認(rèn)性）4、IP協(xié)議是網(wǎng)絡(luò)層使用的最主要的通信協(xié)議，以下是IP數(shù)據(jù)包的格式，請?zhí)钊氡砀裰腥鄙俚脑貙c(diǎn)協(xié)議（ppp）是為而設(shè)計的鏈路層協(xié)議。（同等單元之間傳輸數(shù)據(jù)包）7、PPP協(xié)議的目的主要是用來通過建立點(diǎn)對點(diǎn)連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡單連接的一種共同的解決方案。（撥號或?qū)＞€方式）8、連接過程中的主要狀態(tài)填入下圖1建立2認(rèn)證3網(wǎng)絡(luò)4打開5終止6靜止11、IPsec的設(shè)計目標(biāo)是（為最新資料歡迎閱讀IPv4和IPv6提供可互操作的，高質(zhì)量的，基于密碼學(xué)的安全性傳輸）IPsec協(xié)議【注：AH和ESP】支持的工作模式有（）模式和（）模式。（傳輸、隧道）13、IPsec傳輸模式的一個缺點(diǎn)是（內(nèi)網(wǎng)中的各個主機(jī)只能使用公有IP地址，而不能使用私有IP地址）IPsec隧道模式的一個優(yōu)點(diǎn)（可以保護(hù)子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)）IPsec主要由、以及組成。（AH協(xié)議、ESP協(xié)議、負(fù)責(zé)密鑰管理的IKE協(xié)議）IPsec工作在IP層，提供、、、、以及等安全服務(wù)。（訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、機(jī)密性保護(hù)、有限的數(shù)據(jù)流機(jī)密性保護(hù)、抗重放攻擊）17、可以為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。（AH）18、ESP提供和AH類似的安全服務(wù)，但增加了和等兩個額外的安全服務(wù)。（數(shù)據(jù)機(jī)密性保護(hù)、有限的流機(jī)密性保護(hù)）19、客戶機(jī)與服務(wù)器交換數(shù)據(jù)前，先交換初始握手信息，在握手信息中采用了各種加密技術(shù)，以保證其和。（機(jī)密性、數(shù)據(jù)完整性）20、SSL維護(hù)數(shù)據(jù)完整性采用的兩種方法是和散列函數(shù)、機(jī)密共享）21、握手協(xié)議中客戶機(jī)服務(wù)器之間建立連接的過程分為4個階段：、、、（建立安全能力、最新資料歡迎閱讀服務(wù)器身份認(rèn)證和密鑰交換、客戶機(jī)認(rèn)證和密鑰交換、完成）22、SSL支持三種驗(yàn)證方式：、、（客戶和服務(wù)器都驗(yàn)證、只驗(yàn)證服務(wù)器、完全匿名）SSL提供的安全措施能夠抵御等攻擊方法（重放攻擊中間人攻擊部分流量分析synflooding攻擊）23、握手協(xié)議由一系列客戶機(jī)與服務(wù)器的交換消息組成，每個消息都有三個字段：、和（類型、長度、內(nèi)容）24、SSL位于TCPIP層和應(yīng)用層之間，為應(yīng)用層提供安全的服務(wù)，其目標(biāo)是保證兩個應(yīng)用之間通信的和，可以在服務(wù)器和客戶機(jī)兩端同時實(shí)現(xiàn)支持。（機(jī)密性、可靠性）25、SSL協(xié)議分為兩層，低層是高層是。（SSL記錄協(xié)議層、SSL握手協(xié)議層）26、SSL協(xié)議全稱為（安全套接字協(xié)議）27、SSL協(xié)議中采用的認(rèn)證算法是通過進(jìn)行數(shù)字簽名來實(shí)現(xiàn)。（RSA算法）28、密鑰交換的目的是創(chuàng)造一個通信雙方都知道但攻擊者不知道的預(yù)主秘密，預(yù)主秘密用于生成主秘密，主秘密用于產(chǎn)生、、、（Certificate_Verify消息、Finished消息、加密密鑰和MAC消息）二、選擇題2S-HTTP是在（D）的HTTP協(xié)議A傳輸層B鏈路層C網(wǎng)絡(luò)層D應(yīng)用層5、下列哪一項(xiàng)不是SSL所提供的服務(wù)：（D）A用戶和服務(wù)器的合法認(rèn)證B加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)C維護(hù)數(shù)據(jù)完整性D保留通信雙方的通信時的基本信息最新資料歡迎閱讀6、SSL握手協(xié)議有（）種消息類型:A8BC10117、在密鑰管理方面，哪一項(xiàng)不是SSL題：（）數(shù)據(jù)的完整性未得到保護(hù)客戶機(jī)和服務(wù)器互相發(fā)送自己能夠支持的加密算法時，是以明文傳送的存在被攻擊修改的可能為了兼容以前的版本，可能會降低安全性所有的會話密鑰中都將生成主密鑰，握手協(xié)議的安全完全依賴于對主密鑰的保護(hù)8、下列哪項(xiàng)說法是錯誤的（）SSL的密鑰交換包括匿名密鑰交換和非匿名密鑰交換兩種BSSL3、0使用AH作為消息驗(yàn)證算法，可阻止重放攻擊和截斷連接攻擊CSSL支持3種驗(yàn)證方式D當(dāng)服務(wù)器被驗(yàn)證時，就有減少完全匿名會話遭受中間人攻擊的可能9在ssl的認(rèn)證算法中，下列哪對密鑰是一個公/私鑰對（A）A服務(wù)器方的寫密鑰和客戶方的讀密鑰。B服務(wù)器方的寫密鑰和服務(wù)器方的讀密鑰。C服務(wù)器方的寫密鑰和客戶方的寫密鑰。D服務(wù)器方的讀密鑰和客戶方的讀密鑰。10、CipherSuite字段中的第一個元素密鑰交換模式中，不支持的密鑰交換模式是哪個（D）A固定的DifferHellmanB短暫的DifferHellmanC匿名的DifferHellmanD長期的DifferHellman11、哪一項(xiàng)不是決定客戶機(jī)發(fā)送ClientKeyExchang消息的密鑰交換類型：（D）ARSAB固定的DifferHellmanCFortezzaD長期的DifferHellman13、下列哪種情況不是服務(wù)器需要發(fā)送ServerKeyExchange消息的情況：（C）A匿名的DifferHellmanB短暫的DifferHellmanC更改密碼組并完成握手協(xié)議DRSA密鑰交換14、下列哪個不是SSL現(xiàn)有的版本（D）ASSL1、0BSSL最新資料歡迎閱讀2、0CSSL3、0DSSL4、015、設(shè)計AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)包（B）的認(rèn)證機(jī)制。A、安全性B、完整性C、可靠性D、機(jī)密性16、設(shè)計ESP協(xié)議的主要目的是提高IP數(shù)據(jù)包的（A）。A、安全性B、完整性C、可靠性D、機(jī)密性17、ESP數(shù)據(jù)包由（）個固定長度的字段和（）個變長字段組成。正確選項(xiàng)是（D）A、4和2B、2和3C、3和4D、4和318、AH頭由（）個固定長度字段和（）個變長字段組成。正確選項(xiàng)是（C）A、2和5B、1和2C、5和1D、2和1IPsec是為了彌補(bǔ)（B）協(xié)議簇的安全缺陷，為IP層及其上層協(xié)議提護(hù)而設(shè)計的。最新資料歡迎閱讀A、HTTPTCP/IPSNMPD、PPP20、在ESP數(shù)據(jù)包中，安全參數(shù)索引【SPI】和序列號都是（C）位的整數(shù)。A、8B、16C、32D、6421、IKE包括（A）個交換階段，定義了（B）種交換模式。A、2B、4C、6D、822、ISAKMP的全稱是（D）。A、鑒別頭協(xié)議B、封裝安全載荷協(xié)議C、Internet密鑰交換協(xié)議D、Internet安全關(guān)聯(lián)和密鑰管理協(xié)議23、AH的外出處理過程包括：檢索（）；查找對應(yīng)的（）；構(gòu)造（）載荷；為載荷添加IP頭；其他處理。正確的選項(xiàng)是（A）。A、SPD,SA,AHSA,SPD,AHSPD,AH,SAD、SA,AH,SPD最新資料歡迎閱讀24、IKE的基礎(chǔ)是（C）等三個協(xié)議。A、ISAKMP，AH，ESPISAKMP，Oakley，AHISAKMP，Oakley，SKEMEISAKMP，Oakley，ESP25、下列哪種協(xié)議是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議。（D）ATCP/IP協(xié)議BSNMP協(xié)議CPPTP協(xié)議DPPP協(xié)議26、下列哪個不是PPP在連接過程中的主要狀態(tài)。（C）A靜止B建立C配置D終止27、目前應(yīng)用最為廣泛的第二層隧道協(xié)議是（B）APPP協(xié)議BPPTP協(xié)議CL2TP協(xié)議DSSL協(xié)議28、協(xié)議兼容了PPTP協(xié)議和L2F協(xié)議。（B）APPP協(xié)議BL2TP協(xié)議CPAP協(xié)議DCHAP協(xié)議三、判斷題11、SSL是位于TCP/IP層和數(shù)據(jù)鏈路層的安全通信協(xié)議。（錯）（應(yīng)是位于TCP/IP和應(yīng)用層）12、SSL采用的加密技術(shù)既有對稱密鑰，也有公開密鑰。（對）13、MAC算法等同于散列函數(shù)，接收任意長度消息，生成一個固定長度輸出。（錯）（MAC算法除接收一個消息外，還需要接收一個密鑰）14、SSL記錄協(xié)議允許服務(wù)器和客戶機(jī)相互驗(yàn)證，協(xié)商加密和MAC算法以及保密密鑰。（錯）（應(yīng)是SSL握手協(xié)議）15、SSL的客戶端使用散列函數(shù)獲得服務(wù)器的信息摘要，再用自己的私鑰加密形成數(shù)字簽名的目的是對服務(wù)器進(jìn)行認(rèn)證。（錯）（應(yīng)是被服務(wù)器認(rèn)證）16、IPsec傳輸模式具有優(yōu)點(diǎn)：即使是內(nèi)網(wǎng)中的其他用戶，也不能理解在主機(jī)A和主機(jī)B之間傳輸?shù)臄?shù)據(jù)的內(nèi)容。（對）17、IPsec傳輸模式中，各主機(jī)不能分擔(dān)IPsec處理負(fù)荷。最新資料歡迎閱讀（錯）18、IPsec傳輸模式不能實(shí)現(xiàn)對端用戶的透明服務(wù)。用戶為了獲得IPsec提供的安全服務(wù)，必須消耗內(nèi)存，花費(fèi)處理時間。（對）19、IPsec傳輸模式不會暴露子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)。（錯）20.IPsec隧道模式能夠保護(hù)子網(wǎng)內(nèi)部的所有用戶透明地享受安全網(wǎng)關(guān)提供的安全保護(hù)。（對）21、邛$6。隧道模式中，IPsec主要集中在安全網(wǎng)關(guān)，增加了安全網(wǎng)關(guān)的處理負(fù)擔(dān)，容易造成通信瓶頸。（對）24、L2TP通過隧道技術(shù)實(shí)現(xiàn)在IP網(wǎng)絡(luò)上傳輸?shù)腜PP分組。（錯）（L2TP通過隧道技術(shù)實(shí)現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組）26、L2TP協(xié)議利用AVP來構(gòu)造控制消息，比起PPTP中固化的消息格式來說，L2TP的消息格式更靈活。（對）27、L2TP是一種具有完善安全功能的協(xié)議。（錯）（不具有完善安全功能）28、PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供機(jī)密性保護(hù)，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。（對）四、名詞解釋IPsec的含義答：IPsec是為了彌補(bǔ)TCP/IP協(xié)議簇的安全缺陷，為IP層及其上層協(xié)議提供保護(hù)而設(shè)計的。它是一組基于密碼學(xué)的安全的開放網(wǎng)絡(luò)安全協(xié)議，總稱IP安全（IPsecurity）體系結(jié)構(gòu)，簡稱IPsec。最新資料歡迎閱讀6、安全關(guān)聯(lián)（SA）的含義答：所謂SA是指通信對等方之間為了給需要受保護(hù)的數(shù)據(jù)流提供安全服務(wù)而對某些要素的一種協(xié)定。7、電子SPD的含義答：SPD是安全策略數(shù)據(jù)庫。SPD指定了應(yīng)用在到達(dá)或者來自某特定主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)流的策略。8、SAD的含義答：SAD是安全關(guān)聯(lián)數(shù)據(jù)庫。SAD包含每一個SA的參數(shù)信息9、目的IP地址答：可以是一個32位的IPv4地址或者128位的IPv6地址。10、路徑最大傳輸單元答：表明IP數(shù)據(jù)包從源主機(jī)到目的主機(jī)的過程中，無需分段的IP數(shù)據(jù)包的最大長度。五、簡述題1、安全協(xié)議的缺陷分類及含義答：（1）基本協(xié)議缺陷，基本協(xié)議缺陷是由于在安全協(xié)議的設(shè)計中沒有或很少防范攻擊者而引發(fā)的協(xié)議缺陷。（2）并行會話缺陷，協(xié)議對并行會話攻擊缺乏防范，從而導(dǎo)致攻擊者通過交換適當(dāng)?shù)膮f(xié)議消息能夠獲得所需要的信息。（3）口令/密鑰猜測缺陷，這類缺陷主要是用戶選擇常用詞匯或通過一些隨即數(shù)生成算法制造密鑰，導(dǎo)致攻擊者能夠輕易恢復(fù)密鑰。（4）陳舊消息缺陷，陳舊消息缺陷是指協(xié)議設(shè)計中對消息的新鮮性沒有充分考慮，從而致使攻擊者能夠消息重放攻擊，包括消息愿的攻擊、消息目的的攻擊等。（5）內(nèi)部協(xié)議缺陷，協(xié)議的可達(dá)性存在問題，協(xié)議的參與者至少有一方不最新資料歡迎閱讀能完成所需要的動作而導(dǎo)致的缺陷。（6）密碼系統(tǒng)缺陷，協(xié)議中使用密碼算法和密碼協(xié)議導(dǎo)致協(xié)議不能完全滿足所需要的機(jī)密性、人證性等需求而產(chǎn)生的缺陷2、請寫出根據(jù)安全協(xié)議缺陷分類而歸納的10條設(shè)計原則。答：（1）每條消息都應(yīng)該是清晰完整的（2）加密部分從文字形式上是可以區(qū)分的（3）如果一個參與者的標(biāo)識對于某條消息的內(nèi)容是重要的，那么最好在消息中明確地包含參與者的名字（4）如果同一個主體既需要簽名又需要加密，就在加密之前進(jìn)行簽名（5）與消息的執(zhí)行相關(guān)的前提條件應(yīng)當(dāng)明確給出，并且其正確性與合理性應(yīng)能夠得到驗(yàn)證（6）協(xié)議必須能夠保證“提問”具有方向性，而且可以進(jìn)行區(qū)分7）在認(rèn)證協(xié)議中加入兩個基本要求：一個是認(rèn)證服務(wù)器只響應(yīng)新鮮請求；另一個是認(rèn)證服務(wù)器只響應(yīng)可驗(yàn)證的真實(shí)性（8）保證臨時值和會話密鑰等重要消息的新鮮性，盡量采用異步認(rèn)證方式，避免采用同步時鐘（時間戳）的認(rèn)證方式（9）使用形式化驗(yàn)證工具對協(xié)議進(jìn)行驗(yàn)證，檢測協(xié)議各種狀態(tài)的可達(dá)性，是否會出現(xiàn)死鎖或者死循環(huán)（10）盡可能使用健全的密碼體制，保護(hù)協(xié)議中敏感數(shù)據(jù)的機(jī)密性、認(rèn)證性和完整性等安全特性3、簡述TCP/IP協(xié)議簇協(xié)議存在的安全隱患答：傳輸層的協(xié)議的安全隱患、網(wǎng)絡(luò)層協(xié)議的安全隱患、連路層協(xié)議的安全隱患、應(yīng)用層協(xié)議的安全隱患。4、簡單論述控制連接的建立過程答：（1）在PAC和PNS之間建立控制連接之前，先建立一條TCP連接。（2）發(fā)送者通過SCCRQ告知應(yīng)答者將建立一條控制連接，SCCRQ中包括了對本地硬件環(huán)境的描述。（3）當(dāng)收到發(fā)起者發(fā)來的SCCRQ消息時，應(yīng)答者將對該消息中給出的版本號、載體能力等字段進(jìn)行檢查，若符合應(yīng)答者的通訊配置要求，則應(yīng)答者發(fā)回最新資料歡迎閱讀SCCRP作為回答。5、PPTP協(xié)議存在哪些安全風(fēng)險答：（1）在PAC與PNS之間PPTP協(xié)議沒有為控制連接的建立過程、入站呼叫/出站呼叫的建立過程提供任何認(rèn)證機(jī)制。因此一個合法用戶與總部建立的會話或控制連接都可能受到攻擊。（2）PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供機(jī)密性保護(hù)，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。（3）PPTP協(xié)議對傳輸于隧道間的數(shù)據(jù)不提供完整性的保護(hù)，因此攻擊者可能注入虛假控制信息或數(shù)據(jù)信息，還可以對傳輸?shù)臄?shù)據(jù)進(jìn)行惡意的修改。6、PPTP相比較，L2TP主要在那些方面做了改進(jìn)，L2TP自身存在哪些缺陷？答：改進(jìn)：（1）在協(xié)議的適用性方面，L2TP通過隧道技術(shù)實(shí)現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組，而不是像PPTP協(xié)議一樣僅適用于IP網(wǎng)絡(luò)。（2）在消息的結(jié)構(gòu)方面，L2TP協(xié)議利用AVP來構(gòu)造控制信息，比起PPTP中固化的消息格式來說，L2TP的消息格式更為靈活。（3）在安全性方面，L2TP協(xié)議可以通過AVP的隱藏，使用戶可以在隧道中安全地傳輸一些敏感信息，例如用戶ID、口令等。L2TP協(xié)議中還包含了一種簡單的類似CHAP的隧道認(rèn)證機(jī)制，可以在控制連接的建立之時選擇性地進(jìn)行身份認(rèn)證。缺陷：L2TP隧道的認(rèn)證機(jī)制只能提供LAC和LNS之間在隧道建立階段的認(rèn)證，而不能有效的保護(hù)控制連接和數(shù)據(jù)隧道中的報文。因此，L2TP的認(rèn)證不能解決L2TP隧道易受攻擊的缺點(diǎn)。最新資料歡迎閱讀為了實(shí)現(xiàn)認(rèn)證，LAC和LNS對之間必須有一個共享密鑰，但L2TP不提供密鑰協(xié)商與共享的功能。7、簡述設(shè)計IKE【注：Internet密鑰交換協(xié)議】的目的答：用IPsec保護(hù)一個IP數(shù)據(jù)流之前，必須先建立一個SA。SA可以手工或動態(tài)創(chuàng)建。當(dāng)用戶數(shù)量不多，而且密鑰的更新頻率不高時，可以選擇使用手工建立的方式。但當(dāng)用戶較多，網(wǎng)絡(luò)規(guī)模較大時，就應(yīng)該選擇自動方式。IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護(hù)SA的協(xié)議。它包括兩個交換協(xié)議，定義了四種交換模式，允許使用四種認(rèn)證方法。8、簡述IPsec在支持VPN方面的缺陷答：不支持基于用戶的認(rèn)證；不支持動態(tài)地址和多種VPN應(yīng)用模式；不支持多協(xié)議；關(guān)于IKE的問題；關(guān)于服務(wù)質(zhì)量保證問題。9、簡述IPsec的體系結(jié)構(gòu)。答：IPsec主要由鑒別頭（AH）協(xié)議，封裝安全載荷（ESP）協(xié)議以及負(fù)責(zé)密鑰管理的Internet密鑰交換（IKE）協(xié)議組成。各協(xié)議之間的關(guān)系【見課本P84圖】XXXXX：IPsec體系。它包含一般概念，安全需求，定義和定義IPsec的技術(shù)機(jī)制。AH協(xié)議和ESP協(xié)議。它們是IPsec用于保護(hù)傳輸數(shù)據(jù)安全的兩個主要協(xié)議。解釋域DOI。通信雙方必須保持對消息相同的解釋規(guī)則，即應(yīng)持有相同的最新資料歡迎閱讀解釋域。加密算法和認(rèn)證算法。ESP涉及這兩種算法，AH涉及認(rèn)證算法。密鑰管理。IPsec密鑰管理主要由IKE協(xié)議完成。策略。決定兩個實(shí)體之間能否通信及如何通信。14、SSL（TLS）協(xié)議提供服務(wù)可以歸納為那幾個方面。答：1、用戶和服務(wù)器的合法性認(rèn)、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)3、維護(hù)數(shù)據(jù)的完整性15、請論述SSL握手協(xié)議的工作過程答：握手協(xié)議分為4個階段：1、建立安全能力。建立安全能