信息安全期末考試題庫及答案復習過程

信息安全期末考試題

庫及答案

精品文檔

題庫

一、選擇

1.密碼學的目的是（C）。

A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密

C.研究數(shù)據(jù)保密I）.研究信息安全

2.從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。被

動攻擊難以（C）,然而（C）這些攻擊是可行的；主動攻擊難

以（C）,然而（C）這些攻擊是可行的。

A.阻止，檢測，阻止，檢測B.檢測，阻止，檢測，阻止

C.檢測，阻止，阻止，檢測D.上面3項都不是

3.數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D）。

A.數(shù)據(jù)完整性機制B.數(shù)字簽名機制

C.訪問控制機制D.加密機制

4.數(shù)字簽名要預先使用單向函數(shù)進行處理的原因是（C）。

A.多一道加密工序使密文更難破譯

B.提高密文的計算速度

C.縮小簽名密文的長度，加快數(shù)字簽名和驗

證簽名的運算速度

D.保證密文能正確還原成明文

5.基于通信雙方共同擁有的但是不為別人知道的秘密，利用計

算機強大的計算能力，以該秘密作為加密和解密的密鑰的認證

是（C）O

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.公鑰認證B.零知識認證

C.共享密鑰認證D.口令認證

6.為了簡化管理，通常對訪問者（A）,以避免訪問控制表過

于龐大。

A.分類組織成組B.嚴格限制數(shù)量

C.按訪問時間排序，刪除長期沒有訪問的用戶

D.不作任何限制

7.管理對象不包括（A）。

A.和口令B.證書

C.密鑰D.證書撤消

8.下面不屬于組成部分的是（D）。

A.證書主體B.使用證書的應用和系統(tǒng)

C.證書權(quán)威機構(gòu)D.

9.協(xié)商的第一階段可以采用（C）。

A.主模式、快速模式B.快速模式、積極模式

C.主模式、積極模式D.新組模式

10.協(xié)議和協(xié)議有（A）種工作模式。

A.二B.三C.四D.五

11.（O屬于中使用的安全協(xié)議。

A.、B.、

C.、D.、

12.包過濾型防火墻原理上是基于（C）進行分析的技術(shù)。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.物理層B.數(shù)據(jù)鏈路層

C.網(wǎng)絡(luò)層D.應用層

13.的加密手段為(C)o

A.具有加密功能的防火墻

B.具有加密功能的路由器

C.內(nèi)的各臺主機對各自的信息進行相應的加密

D.單獨的加密設(shè)備

14.(B)通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總

部、遠程辦事處和分支機構(gòu)。

A.B.C.D.

15.(C)通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供

應商、合作伙伴或感興趣的

群體連接到企業(yè)內(nèi)部網(wǎng)。

A.B.C.D.

16.計算機病毒是計算機系統(tǒng)中一類隱藏在(C)上蓄意破壞的

搗亂程序。

A.內(nèi)存B,軟盤C.存儲介質(zhì)D.網(wǎng)絡(luò)

17.“公開密鑰密碼體制”的含義是(C)。

A.將所有密鑰公開B.將私有密鑰公

開，公開密鑰保密

C.將公開密鑰公開，私有密鑰保密D.兩個密鑰相同

18.“會話偵聽和劫持技術(shù)”是屬于(B)的技術(shù)。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.密碼分析還原B.協(xié)議漏洞滲透

C.應用漏洞分析與滲透D.攻擊

19.攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候

所截獲的數(shù)據(jù)中提取出信息

重新發(fā)往B稱為（D）。

A.中間人攻擊B.口令猜測器和字典攻擊

C.強力攻擊D.回放攻擊

20.在定義的安全體系結(jié)構(gòu)中,沒有規(guī)定（E）。

A.對象認證服務(wù)B.數(shù)據(jù)保密性安全服務(wù)

C.訪問控制安全服務(wù)D.數(shù)據(jù)完整性安全服務(wù)

E.數(shù)據(jù)可用性安全服務(wù)

21.在請求訪問應用服務(wù)器之前，必須（A）。

A.向服務(wù)器請求應用服務(wù)器

B.向認證服務(wù)器發(fā)送要求獲得“證書”的請求

C.請求獲得會話密鑰

D.直接與應用服務(wù)器協(xié)商會話密鑰

22.下列對訪問控制影響不大的是（D）。

A.主體身份B.客體身份

C.訪問類型D.主體與客體的類型

23.的主要組成不包括（B）。

A.證書授權(quán)B.

C.注冊授權(quán)D.證書存儲庫

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

24.(A)協(xié)議必須提供驗證服務(wù)。

A.B.C.D.以上皆是

25.下列選項中能夠用在網(wǎng)絡(luò)層的協(xié)議是(D)。

A.B.C.D.

26、(A)協(xié)議是一個用于提供數(shù)據(jù)報完整性、身份認證和可選

的抗重播保護的機制，但不提供數(shù)據(jù)機密性保護。

A.協(xié)議B.協(xié)議C.協(xié)議D.協(xié)議

27.協(xié)議中負責對數(shù)據(jù)報加密的部分是(A)。

A.封裝安全負載()B.鑒別包頭()

C.密鑰交換()D.以上都不是

28.產(chǎn)生會話密鑰的方式是(C)。

A.從密鑰管理數(shù)據(jù)庫中請求獲得

B.每一臺客戶機分配一個密鑰的方式

C.隨機由客戶機產(chǎn)生并加密后通知服務(wù)器

D.由服務(wù)器產(chǎn)生并分配給客戶機

29.為了降低風險，不建議使用的服務(wù)是(D)。

A.服務(wù)B.外部訪問內(nèi)部系統(tǒng)

C.內(nèi)部訪問D.服務(wù)

30.火墻用于將和內(nèi)部網(wǎng)絡(luò)隔離，(B)。

A.是防止火災的硬件設(shè)施

B.是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施

C.是保護線路不受破壞的軟件和硬件設(shè)施

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

I）.是起抗電磁干擾作用的硬件設(shè)施

31.屬于第二層的隧道協(xié)議有（B）。

A.B.D.以上皆不是

32.不屬于隧道協(xié)議的是（C）。

A.B.L2C.D.

33.和L2最適合于（D）o

A.局域網(wǎng)B.企業(yè)內(nèi)部虛擬網(wǎng)

C.企業(yè)擴展虛擬網(wǎng)D.遠程訪問虛擬專用

網(wǎng)

34.A方有一對密鑰（公開，秘密），B方有一對密鑰（公開,

秘密），A方向B方發(fā)送數(shù)字簽名M,對信息M加密為：=

公開（秘密（2）。B方收到密文的解密方案是

(C)0

A.公開（秘密（M,））B.公開（公開

（M'））

C.公開（秘密（M'））D.秘密（秘密

（M'））

35.從安全屬性對各種網(wǎng)絡(luò)攻擊進行分類，阻斷攻擊是針對

（B）的攻擊。

A.機密性B.可用性C.完整性D.真實性

11.攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以

至于不能應答請求的攻擊方

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

式是（A）。

A.拒絕服務(wù)攻擊B.地址欺騙攻擊

C.會話劫持D.信號包探測程序攻擊

36.（D）不屬于安全體系結(jié)構(gòu)的安全機制。

A.通信業(yè)務(wù)填充機制B.訪問控制機制

C.數(shù)字簽名機制D.審計機制E.公證機制

37.屬于安全體系結(jié)構(gòu)中定義的（D）。

A.認證交換機制B.通信業(yè)務(wù)填充機制

C.路由控制機制D.公證機制

38.訪問控制是指確定（A）以及實施訪問權(quán)限的過程。

A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利

C.可被用戶訪問的資源D.系統(tǒng)是否遭受入侵

39.支持的服務(wù)不包括（D）。

A.非對稱密鑰技術(shù)及證書管理B.目錄服務(wù)

C.對稱密鑰的產(chǎn)生和分發(fā)D.訪問控制服務(wù)

40.協(xié)議中必須實現(xiàn)的驗證算法是（A）。

A.5和1B.

C.160D.以上皆是

41.對動態(tài)網(wǎng)絡(luò)地址交換（）,不正確的說法是（B）。

A.將很多內(nèi)部地址映射到單個真實地址

B.外部網(wǎng)絡(luò)地址和內(nèi)部地址一對一的映射

C.最多可有64000個同時的動態(tài)連接

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

D.每個連接使用一個端口

42.協(xié)議的乘客協(xié)議是（D）。

A.B.C.D.上述皆可

43.目前，使用了（A）技術(shù)保證了通信的安全性。

隧道協(xié)議、身份認證和數(shù)據(jù)加密

身份認證、數(shù)據(jù)加密

隧道協(xié)議、身份認證

隧道協(xié)議、數(shù)據(jù)加密

44.不太適合用于（C）。

已知范圍的地址的網(wǎng)絡(luò)

固定范圍的地址的網(wǎng)絡(luò)

動態(tài)分配地址的網(wǎng)絡(luò)

協(xié)議的網(wǎng)絡(luò)

45.假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個

字母加5,即a加密成f。這種算法的密鑰就是5,那么它屬于

（A）。

A.對稱加密技術(shù)B.分組密碼技術(shù)

C.公鑰加密技術(shù)D.單向函數(shù)密碼技術(shù)

46.從安全屬性對各種網(wǎng)絡(luò)攻擊進行分類，截獲攻擊是針對

（A）的攻擊。

A.機密性B.可用性C.完整性D.真實性

47.最新的研究和統(tǒng)計表明，安全攻擊主要來自（B）。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.接入網(wǎng)B.企業(yè)內(nèi)部網(wǎng)C.公用網(wǎng)D.個人

網(wǎng)

48.用于實現(xiàn)身份鑒別的安全機制是（A）。

A.加密機制和數(shù)字簽名機制

B.加密機制和訪問控制機制

C.數(shù)字簽名機制和路由控制機制

D.訪問控制機制和路由控制機制

49.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘

述不正確的是（B）。

A.身份鑒別是授權(quán)控制的基礎(chǔ)

B.身份鑒別一般不用提供雙向的認證

C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法

D.數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制

50能夠執(zhí)行的功能是（A）和（C）o

A.鑒別計算機消息的始發(fā)者B.確認計算機的物理

位置

C.保守消息的機密D.確認用戶具有的安

全性特權(quán)

51.協(xié)議由（A）協(xié)議混合而成。

A.、、B.、

C.L2、D.以上皆不是

52.一般而言，防火墻建立在一個網(wǎng)絡(luò)的（C）。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.內(nèi)部子網(wǎng)之間傳送信息的中樞

B.每個子網(wǎng)的內(nèi)部

C.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點

D.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

53.的英文全稱是（B）。

A.B.

C.D.

54.L2隧道在兩端的服務(wù)器之間采用（A）來驗證對方的身

份。

A.口令握手協(xié)議B.

C.D.數(shù)字證書

55.信息安全的基本屬性是（D）。

A.機密性B.可用性

C.完整性D.上面3項都是

56.安全體系結(jié)構(gòu)中的對象認證服務(wù)，使用（B）完成。

A.加密機制B.數(shù)字簽名機制

C.訪問控制機制D.數(shù)據(jù)完整性機制

57.的設(shè)計目標不包括（B）。

A.認證B.授權(quán)C.記賬D.審計

58.協(xié)議和（C）隧道協(xié)議處于同一層。

A.B.L2C.D.以上皆是

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

59.傳輸層保護的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（A）基礎(chǔ)上的

（A）o

A.可靠的傳輸服務(wù)，安全套接字層協(xié)議

B.不可靠的傳輸服務(wù)，協(xié)議

C.可靠的傳輸服務(wù)，協(xié)議

D.不可靠的傳輸服務(wù)，安全套接字層協(xié)議

60.以下（D）不是包過濾防火墻主要過濾的信息？

A.源地址B.目的地址C.源端口和目的端口D.

時間

61.將公司與外部供應商、客戶及其他利益相關(guān)群體相連接的

是（B）o

A.內(nèi)聯(lián)網(wǎng)B.外聯(lián)網(wǎng)C.遠程接入I）.無

線

62.竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到

發(fā)送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將

自己的系統(tǒng)插入到發(fā)送站和接受站之間。

A.被動，無須，主動，必須B.主動，必須，被動，無須

C.主動，無須，被動，必須D.被動，必須，主動，無須

63.（C）是一個對稱加密系統(tǒng)，它使用一個集中式的專鑰密碼

功能，系統(tǒng)的核心是

O

A.B.C.D.

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

64.下列協(xié)議中，（A）協(xié)議的數(shù)據(jù)可以受到的保護。

A.、、B.

C.D.以上皆可以

65、（D）協(xié)議主要由、和協(xié)議組成。

A.B.L2C.L2FD.

66.、L2和L2F隧道協(xié)議屬于（B）協(xié)議。

A.第一層隧道B.第二層隧道C.第三層隧道

D.第四層隧道

67.機密性服務(wù)提供信息的保密，機密性服務(wù)包括（D）。

A.文件機密性B.信息傳輸機密性

C.通信流的機密性D.以上3項都是

68.不屬于的核心技術(shù)是（C）。

A.隧道技術(shù)B.身份認證C.日志記錄D.

訪問控制

69.（A）通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,

提供對企業(yè)內(nèi)部網(wǎng)或外部

網(wǎng)的遠程訪問。

A.B.C.I）.

70.拒絕服務(wù)攻擊的后果是（E）。

A.信息不可用B.應用程序不可用

C.系統(tǒng)宕機D.阻止通信E.上面幾項都是

71.通常所說的移動是指（A）。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

A.B.

C.D.以上皆不是

二、填空

1.密碼系統(tǒng)包括以下4個方面：明文空間、密文空間、密鑰

空間和密碼算法。

2.解密算法D是加密算法E的（逆運算）o

3.如果加密密鑰和解密密鑰（相同）,這種密碼體制稱為

對稱密碼體制。

4.算法密鑰是（64）位,其中密鑰有效位是（56）位。

5.算法的安全是基于分解兩個大素數(shù)的積的困難。

6.公開密鑰加密算法的用途主要包括兩個方面：密鑰分配、

數(shù)字簽名。

7.消息認證是驗證信息的完整性，即驗證數(shù)據(jù)在傳送和存

儲過程中是否被篡改、重放或延遲等。

8.函數(shù)是可接受變近數(shù)據(jù)輸入，并生成定長數(shù)據(jù)輸出的

函數(shù)。

9.密鑰管理的主要內(nèi)容包括密鑰的生成、分配、使用、存

儲、備份、恢復和銷毀。

10.密鑰生成形式有兩種：一種是由中心集中生成，另一種

是由個人分散生成。

11.密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過程。

12.密鑰分配中心的英文縮寫是_o

13.數(shù)字簽名是筆跡簽名的模擬，是一種包括防止源點或終

點否認的認證技術(shù)。

14.身份認證是驗證信息發(fā)送者是真的,而不是冒充的，包

括信源、信宿等的認證和識別。

15.訪問控制的目的是為了限制訪問主體對訪問客體的訪問

權(quán)限。

16.防火墻是位于兩個網(wǎng)絡(luò)之間，一端是內(nèi)部網(wǎng)絡(luò)，另一

端是外部網(wǎng)絡(luò)。

17.防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機體系結(jié)構(gòu)、屏蔽主

機體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

18.的物理實現(xiàn)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)

可分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系

統(tǒng)和分布式入侵檢測系統(tǒng)。

19.計算機病毒的5個特征是：主動傳染性、破壞性、寄生性

（隱蔽性）、潛伏性、多態(tài)性。

20.惡意代碼的基本形式還有后門、邏輯炸彈、特洛伊木

n,蠕中細菌

21.篇蟲是芯過面絡(luò)進行傳播的。

22.計算機病毒的工作機制有潛伏機制、傳染機制、表現(xiàn)機

制。

三、問答題

1.簡述主動攻擊與被動攻擊的特點，并列舉主動攻擊與被動攻

擊現(xiàn)象。

主動攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計算機病毒傳

入信息系統(tǒng)內(nèi)部，破壞信息的真實性、完整性及系統(tǒng)服務(wù)的可

用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破

壞，使系統(tǒng)無法正常運行。被動攻擊是攻擊者非常截獲、竊取

通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法

察覺，給用戶帶來巨大的損失。

2.簡述對稱密鑰密碼體制的原理和特點。

對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法

的逆運算，加密密鑰和解密密鑰相同，同屬一類的加密體制。

它保密強度高但開放性差，要求發(fā)送者和接收者在安全通信之

前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保

管。

4.什么是序列密碼和分組密碼？

序列密碼是一種對明文中的單個位（有時對字節(jié)）運算的算

洋公幺日宓碼早和n日日寸傳自

分割版塊結(jié)窗「逐塊予以力藤和解密。塊的長度由算法設(shè)計者

預先確定。

5.簡述公開密鑰密碼機制的原理和特點？

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

公開密鑰密碼體制是使用具有兩個密鑰的編碼解碼算法，加

密和解密的能力是分開的；

這兩個密鑰一個保密，另一個公開。根據(jù)應用的需要，發(fā)送方

可以使用接收方的公開密鑰加密消息，或使用發(fā)送方的私有密

鑰簽名消息，或兩個都使用，以完成某種類型的密碼編碼解碼

功能。

6.什么是5?

消息摘要算法是由提出，是當前最為普遍的算法，5是第5

個版本，

該算法以一個任意長度的消息作為輸入，生成128位的消息摘

要作為輸出，輸入消息是按512位的分組處理的。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

第二章安全問題概述

一、選擇題

二、問答題

1.請解釋5種“竊取機密攻擊”方式的含義。

1）網(wǎng)絡(luò)踩點（）

攻擊者事先匯集目標的信息，通常采用、、、等工具獲得

目標的一些信息，如域名、地址、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、相關(guān)的用戶

信息等，這往往是黑客入侵所做的第一步工作。

2）掃描攻擊（）

這里的掃描主要指端口掃描，通常采用等各種端口掃描工

具，可以獲得目標計算

機的一些有用信息，比如機器上打開了哪些端口，這樣就知道

開設(shè)了哪些網(wǎng)絡(luò)服務(wù)。黑客

就可以利用這些服務(wù)的漏洞，進行進一步的入侵。這往往是黑

客入侵所做的第二步工作。

3）協(xié)議棧指紋（）鑒別（也稱操作系統(tǒng)探測）

黑客對目標主機發(fā)出探測包，由于不同廠商的協(xié)議棧實現(xiàn)

之間存在許多細微差別，

因此每種都有其獨特的響應方法，黑客經(jīng)常能夠確定目標主機

所運行的。這往往也可

以看作是掃描階段的一部分工作。

4）信息流嗅探（）

通過在共享局域網(wǎng)中將某主機網(wǎng)卡設(shè)置成混雜（）模式，

或在各種局域網(wǎng)

中某主機使用欺騙，該主機就會接收所有經(jīng)過的數(shù)據(jù)包?；?/p>

這樣的原理，黑客可以

使用一個嗅探器（軟件或硬件）對網(wǎng)絡(luò)信息流進行監(jiān)視，從而

收集到帳號和口令等信息。

這是黑客入侵的第三步工作。

5）會話劫持（）

所謂會話劫持，就是在一次正常的通信過程中，黑客作為

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

第三方參與到其中，或者是

在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改

變，即從直接聯(lián)系變成交由

黑客中轉(zhuǎn)。這種攻擊方式可認為是黑客入侵的第四步工作-

真正的攻擊中的一種。

2.請解釋5種“非法訪問”攻擊方式的含義。

1）口令破解

攻擊者可以通過獲取口令文件然后運用口令破解工具進行

字典攻擊或暴力攻擊來獲得

口令，也可通過猜測或竊聽等方式獲取口令，從而進入系統(tǒng)進

行非法訪問，選擇安全的口

令非常重要。這也是黑客入侵中真正攻擊方式的一種。

2）欺騙

攻擊者可通過偽裝成被信任源地址等方式來騙取目標主機

的信任，這主要針對

下建立起地址信任關(guān)系的主機實施欺騙。這也是黑客入侵中真

正攻擊方式的一種。

3）欺騙

當服務(wù)器向另一個服務(wù)器發(fā)送某個解析請求（由域名解析

出地址）時，因

為不進行身份驗證，這樣黑客就可以冒充被請求方，向請求方

返回一個被篡改了的應答（

地址），將用戶引向黑客設(shè)定的主機。這也是黑客入侵中真正

攻擊方式的一種。

4）重放（）攻擊

在消息沒有時間戳的情況下，攻擊者利用身份認證機制中

的漏洞先把別人有用的消息

記錄下來，過一段時間后再發(fā)送出去。

5）特洛伊木馬（）

把一個能幫助黑客完成某一特定動作的程序依附在某一合

法用戶的正常程序中，而一

旦用戶觸發(fā)正常程序，黑客代碼同時被激活，這些代碼往往能

完成黑客早已指定的任務(wù)（如

監(jiān)聽某個不常用端口，假冒登錄界面獲取帳號和口令等）。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

4.了解下列各種攻擊方式：

、、電子郵件炸彈、緩沖區(qū)溢出攻擊、社交工程

1）

有些系統(tǒng)在安裝后，沒有對缺省配置進行必要的修改，使

得一些容易遭受攻擊的服務(wù)端口對外敞開著。服務(wù)（7和7）對

接收到的每個字符進行回送；（19和19）對每個接收到的數(shù)

據(jù)包都返回一些隨機生成的字符（如果是與服務(wù)在19端口建立

了連接，它會不斷返回亂字符直到連接中斷）。

黑客一般會選擇兩個遠程目標，生成偽造的數(shù)據(jù)包，目的

地是一臺主機的服務(wù)端口，來源地假冒為另一臺主機的服務(wù)端

口。這樣，第一臺主機上的服務(wù)返回的隨機字符就發(fā)送給第二

臺主機的服務(wù)了，第二臺主機再回送收到的字符，如此反復，

最終導致這兩臺主機應接不暇而拒絕服務(wù)，同時

造成網(wǎng)絡(luò)帶寬的損耗。

2）它對做了簡單的修改，使用的是應答消息而非。

3）電子郵件炸彈

黑客利用某個“無辜”的郵件服務(wù)器，持續(xù)不斷地向攻擊

目標（郵件地址）發(fā)送垃圾郵件，很可能“撐破”用戶的信

箱，導致正常郵件的丟失。4）緩沖區(qū)溢出攻擊

十多年來應用非常廣泛的一種攻擊手段，近年來，許多著

名的安全漏洞都與緩沖區(qū)溢出有關(guān)。

所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導致程序原有

流程的改變，黑客借此精心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特

殊的代碼，最終獲得系統(tǒng)的控制權(quán)。5）社交工程（）

一種低技術(shù)含量破壞網(wǎng)絡(luò)安全的有效方法，但它其實是高

級黑客技術(shù)的一種，往往使得處在看似嚴密防護下的網(wǎng)絡(luò)系統(tǒng)

出現(xiàn)致命的突破口。這種技術(shù)是利用說服或欺騙的方式，讓網(wǎng)

絡(luò)內(nèi)部的人（安全意識薄弱的職員）來提供必要的信息，從而

獲得對信息系統(tǒng)的訪問。

6.請解釋下列網(wǎng)絡(luò)信息安全的要素：

保密性、完整性、可用性、可存活性

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

近年來，學術(shù)界又開始提出一個新的安全概念——可存活性(Survivability),原來的

系統(tǒng)并沒有保證措施來抵抗各件系統(tǒng)錯誤和安全傷害,可存活的網(wǎng)絡(luò)系統(tǒng)就是設(shè)計來在

面時這些We險的時候仍然能夠存活.爐以可存活性指的就是網(wǎng)絡(luò)汁算機系統(tǒng)的這樣?種

能力：它能在面前各種攻擊或錯誤的情況卜.緘續(xù)提供核心的服務(wù),而旦能夠及時地恢復

全部的服務(wù).這是一個新的融合計算機安全和幅業(yè)風險管理的課題，它的焦點不僅是對

抗計算機入侵者，還要保證在各種網(wǎng)珞攻擊的情況下商業(yè)目標得以實現(xiàn),關(guān)犍的商業(yè)功

能得以保持,提高對網(wǎng)絡(luò)攻擊的系統(tǒng)可存活性，同時也提高了商業(yè)系統(tǒng)在而對一些并非

惡意的事故與故障的可存活性。

保密性指網(wǎng)絡(luò)中的數(shù)據(jù)必須按照數(shù)據(jù)的擁有者的要求保證一定的秘密性，不會被未

授權(quán)的第三方非法獲知。具有敏感性的秘密信息，只有得到擁有者的許可，其他人才能

夠獲得該信息，網(wǎng)絡(luò)系統(tǒng)必須能夠防止信息的非授權(quán)訪問或泄露。

完整性指網(wǎng)絡(luò)中的信息安全、精確與有效，不因人為的因素而改變信息原有的內(nèi)容、

形式與流向，即不能為未授權(quán)的第三方修改。它包含數(shù)據(jù)完整性的內(nèi)涵，即保證數(shù)據(jù)不

被非法地改動和銷毀，同樣還包含系統(tǒng)完整性的內(nèi)涵，即保證系統(tǒng)以無害的方式按照預

定的功能運行，不受有意的或者意外的非法操作所破壞.信息的完整性是信息安全的基

本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行于因特網(wǎng)上的協(xié)議

(如TCP/IP)等，能夠確保信息在數(shù)據(jù)包級別的完整性,即做到了傳輸過程中不丟信息

包，不重復接收信息包，但卻無法制止未授權(quán)第三方對信息包內(nèi)部的修改。

可用性就是要保障網(wǎng)絡(luò)資源無論在何時，無論經(jīng)過何種處理，只要需要即可使用，而

不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用，使得嚴格時間要求的服務(wù)不

能得到及時的響應。另外，網(wǎng)絡(luò)可用性還包括具有在某些不正常條件下繼續(xù)運行的能力。

病毒就常常破壞信息的可用性，使系統(tǒng)不能正常運行，數(shù)據(jù)文件面目全非。

第二章安全體系結(jié)構(gòu)與模型

一、選擇題

三、問答題

1.列舉并解釋中定義的5種標準的安全服務(wù)。

(1)鑒別

用于鑒別實體的身份和對身份的證實，包括對等實體鑒別

和數(shù)據(jù)原發(fā)鑒別兩種。

(2)訪問控制

提供對越權(quán)使用資源的防御措施。

(3)數(shù)據(jù)機密性

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

針對信息泄露而采取的防御措施。分為連接機密性、無連

接機密性、選擇字段機密性、通信業(yè)務(wù)流機密性四種。

（4）數(shù)據(jù)完整性

防止非法篡改信息，如修改、復制、插入和刪除等。分為

帶恢復的連接完整性、無恢復的連接完整性、選擇字段的連接

完整性、無連接完整性、選擇字段無連接完整性五種。（5）抗

否認

是針對對方否認的防范措施，用來證實發(fā)生過的操作。包括

有數(shù)據(jù)原發(fā)證明的抗否認和有交付證明的抗否認兩種。

2.解釋六層網(wǎng)絡(luò)安全體系中各層安全性的含義。

1.物理安全

防止物理通路的損壞、竊聽和攻擊（干擾等），保證物理

安全是整個網(wǎng)絡(luò)安全的前提，包括環(huán)境安全、設(shè)備安全和媒體

安全三個方面。

2.鏈路安全

保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽，主要針對公用信

道的傳輸安全。在公共鏈路上采用一定的安全手段可以保證信

息傳輸?shù)陌踩瑢雇ㄐ沛溌飞系母`聽、篡改、重放、流量分

析等攻擊。

3.網(wǎng)絡(luò)級安全

需要從網(wǎng)絡(luò)架構(gòu)（路由正確）、網(wǎng)絡(luò)訪問控制（防火墻、

安全網(wǎng)關(guān)、）、漏洞掃描、

網(wǎng)絡(luò)監(jiān)控與入侵檢測等多方面加以保證，形成主動性的網(wǎng)絡(luò)防

御體系。

4.信息安全

包括信息傳輸安全（完整性、機密性、不可抵賴和可用性

等）、信息存儲安全（數(shù)據(jù)備份和恢復、數(shù)據(jù)訪問控制措施、

防病毒）和信息（內(nèi)容）審計。

5.應用安全

包括應用平臺（、數(shù)據(jù)庫服務(wù)器、服務(wù)器）的安全、應用

程序的安全。

6.用戶安全

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

用戶合法性，即用戶的身份認證和訪問控制。

9.2000屬于哪個安全級別，為什么？

2000屬于C2級。因為它有訪問控制、權(quán)限控制，可以避

免非授權(quán)訪問，并通過注冊提供對用戶事件的跟蹤和審計。

第八章密鑰分配與管理

一、填空題

二、問答題

5.在密鑰分配過程中充當何種角色？

在密鑰分配過程中充當可信任的第三方。保存有每個用戶和

之間共享的唯一密鑰，以便進行分配。在密鑰分配過程中，按

照需要生成各對端用戶之間的會話密鑰，并由用戶和共享的密

鑰進行加密，通過安全協(xié)議將會話密鑰安全地傳送給需要進行

通信的雙方。

第十章數(shù)字簽名與鑒別協(xié)議

三、問答題

1.數(shù)字簽名有什么作用？

當通信雙方發(fā)生了下列情況時，數(shù)字簽名技術(shù)必須能夠解

決引發(fā)的爭端：

?否認，發(fā)送方不承認自己發(fā)送過某一報文。

?偽造，接收方自己偽造一份報文，并聲稱它來自發(fā)送方。

?冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送報文。

?篡改，接收方對收到的信息進行篡改。

2.請說明數(shù)字簽名的主要流程。

數(shù)字簽名通過如下的流程進行：

(1)采用散列算法對原始報文進行運算，得到一個固定長

度的數(shù)字串，稱為報文摘要()，不同的報文所得到的報文摘要

各異，但對相同的報文它的報文摘要卻是惟一的。在數(shù)學上保

證，只要改動報文中任何一位，重新計算出的報文摘要值就會

與原先的值不相符，這樣就保證了報文的不可更改性。

(2)發(fā)送方用目己的私有密鑰對摘要進行加密來形成數(shù)字

簽名。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

(3)這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接

收方。

(4)接收方首先對接收到的原始報文用同樣的算法計算出

新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數(shù)字簽名

進行解密，比較兩個報文摘要，如果值相同，接收方就能確認

該數(shù)字簽名是發(fā)送方的，否則就認為收到的報文是偽造的或者

中途被篡改。

3.數(shù)字證書的原理是什么？

數(shù)字證書采用公開密鑰體制(例如)。每個用戶設(shè)定一僅

為本人所知的私有密鑰，用它進行解密和簽名；同時設(shè)定一公

開密鑰，為一組用戶所共享，用于加密和驗證簽名。

采用數(shù)字證書，能夠確認以下兩點：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或

難以否認。

(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的

信息是真實信息。

4.報文鑒別有什么作用，公開密鑰加密算法相對于常規(guī)加密算

法有什么優(yōu)點？

報文鑒別往往必須解決如下的問題：

(1)報文是由確認的發(fā)送方產(chǎn)生的。

(2)報文的內(nèi)容是沒有被修改過的。

(3)報文是按傳送時的相同順序收到的。

(4)報文傳送給確定的對方。

一種方法是發(fā)送方用自己的私鑰對報文簽名，簽名足以使

任何人相信報文是可信的。另一種方法常規(guī)加密算法也提供了

鑒別。但有兩個問題，一是不容易進行常規(guī)密鑰的分發(fā)，二是

接收方?jīng)]有辦法使第三方相信該報文就是從發(fā)送方送來的，而

不是接收方自己偽造的。

因此，一個完善的鑒別協(xié)議往往考慮到了報文源、報文

宿、報文內(nèi)容和報文時間性的鑒別。

第十二章身份認證

三、問答題

1.解釋身份認證的基本概念。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

身份認證是指用戶必須提供他是誰的證明，這種證實客戶

的真實身份與其所聲稱的身份是否相符的過程是為了限制非法

用戶訪問網(wǎng)絡(luò)資源，它是其他安全機制的基礎(chǔ)。

身份認證是安全系統(tǒng)中的第一道關(guān)卡，識別身份后，由訪

問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個

資源。一旦身份認證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同

虛設(shè)，黑客攻擊的目標往往就是身份認證系統(tǒng)。

2.單機狀態(tài)下驗證用戶身份的三種因素是什么？

(1)用戶所知道的東西：如口令、密碼。

(2)用戶所擁有的東西：如智能卡、身份證。

(3)用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、

等。

4.了解散列函數(shù)的基本性質(zhì)。

散列函數(shù)H必須具有性質(zhì)：

?H能用于任何長度的數(shù)據(jù)分組；

?H產(chǎn)生定長的輸出；

?對任何給定的x,H(x)要相對容易計算；

?對任何給定的碼h,尋找x使得H(x)在計算上是不可行

的，稱為單向性；

?對任何給定的分組x,尋找不等于x的y,使得H(y)(x)在計

算上是不可行的，稱為弱抗沖突()；

?尋找對任何的()對，使得H(y)(x)在計算上是不可行的，稱

為強抗沖突()。

12.了解系統(tǒng)的優(yōu)點。

(1)安全：網(wǎng)絡(luò)竊聽者不能獲得必要信息以假冒其他用戶，應

足夠強壯以致于潛在

的敵人無法找到它的弱點連接。

(2)可靠：應高度可靠并且應借助于一個分布式服務(wù)器體系結(jié)

構(gòu)，使得一個系統(tǒng)能

夠備份另一個系統(tǒng)。

(3)透明：理想情況下用戶除了要求輸入口令以外應感覺不到

認證的發(fā)生。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

（4）可伸縮：系統(tǒng)應能夠支持大數(shù)量的客戶和服務(wù)器，這意味

著需要一個模塊化的分布式結(jié)

構(gòu)。

第十三章授權(quán)與訪問控制

三、問答題

1.解釋訪問控制的基本概念。

訪問控制是建立在身份認證基礎(chǔ)上的，通過限制對關(guān)鍵資

源的訪問，防止非法用戶的侵入或因為合法用戶的不慎操作而

造成的破壞。

訪問控制的目的：限制主體對訪問客體的訪問權(quán)限（安全

訪問策略），從而使計算機系統(tǒng)在合法范圍內(nèi)使用。

2.訪問控制有幾種常用的實現(xiàn)方法？它們各有什么特點？

1訪問控制矩陣

行表示客體（各種資源），列表示主體（通常為用戶），

行和列的交叉點表示某個主體對某個客體的訪問權(quán)限。通常一

個文件的權(quán)限表示可以授予（）或撤消（）其他用戶對該文件

的訪問控制權(quán)限。

2訪問能力表

實際的系統(tǒng)中雖然可能有很多的主體與客體，但兩者之間

的權(quán)限關(guān)系可能并不多。為了減輕系統(tǒng)的開銷與浪費，我們可

以從主體（行）出發(fā)，表達矩陣某一行的信息，這就是訪問能

力表（）0

只有當一個主體對某個客體擁有訪問的能力時，它才能訪

問這個客體。但是要從訪問能力表獲得對某一特定客體有特定

權(quán)限的所有主體就比較困難。在一個安全系統(tǒng)中，正是客體本

身需要得到可靠的保護，訪問控制服務(wù)也應該能夠控制可訪問

某一客體的主體集合，于是出現(xiàn)了以客體為出發(fā)點的實現(xiàn)方式

3訪問控制表

也可以從客體（列）出發(fā)，表達矩陣某一列的信息，這就

是訪問控制表（

）0它可以對某一特定資源指定任意一個用戶的訪問權(quán)限，還

可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

4授權(quán)關(guān)系表

授權(quán)關(guān)系表()的每一行表示了主體和客體的一個授權(quán)關(guān)

系。對表按客體進行排序，可以得到訪問控制表的優(yōu)勢；對表

按主體進行排序，可以得到訪問能力表的優(yōu)勢。適合采用關(guān)系

數(shù)據(jù)庫來實現(xiàn)。

8.為什么能阻止特洛伊木馬？

能夠阻止特洛伊木馬。一個特洛伊木馬是在一個執(zhí)行某些

合法功能的程序中隱藏的代碼，它利用運行此程序的主體的權(quán)

限違反安全策略，通過偽裝成有用的程序在進程中泄露信息。

阻止特洛伊木馬的策略是基于非循環(huán)信息流，由于策略是

通過梯度安全標簽實現(xiàn)信息的單向流通，從而它可以很好地阻

止特洛伊木馬的泄密。

第十四章技術(shù)

二、問答題

2.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標

準，有什么特點？

數(shù)字證書是一個經(jīng)證書認證中心()數(shù)字簽名的包含公開密

鑰擁有者信息以及公開密鑰的文件。認證中心()作為權(quán)威的、

可信賴的、公正的第三方機構(gòu)，專門負責為各種認證需求提供

數(shù)字證書服務(wù)。認證中心頒發(fā)的數(shù)字證書均遵循X.509V3標

準。X.509標準在編排公共密鑰密碼格式方面已被廣為接受。

X.509證書已應用于許多網(wǎng)絡(luò)安全，其中包括(安全)、、、。

3.X.509規(guī)范中是如何定義實體A信任實體B的？在中信任又是

什么具體含義？

X.509規(guī)范中給出了適用于我們目標的定義：

當實體A假定實體B嚴格地按A所期望的那樣行

動，則A信任B。在中，我們可以把這個定

義具體化為：如果一個用戶假定可以把任一

公鑰綁定到某個實體上，則他信任該。

4.有哪4種常見的信任模型？

1.認證機構(gòu)的嚴格層次結(jié)構(gòu)模型

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

認證機構(gòu)（）的嚴格層次結(jié)構(gòu)可以被描繪為一棵倒置的樹，

根代表一個對整個系統(tǒng)的所有實體都有特別意義的一一通常叫

做根（），它充當信任的根或“信任錨（）”一一也就是認證的

起點或終點。

2.分布式信任結(jié)構(gòu)模型

分布式信任結(jié)構(gòu)把信任分散在兩個或多個上。也就是說，A

把1作為他的信任錨，而B可以把2做為他的信任錨。因為這

些都作為信任錨，因此相應的必須是整個系統(tǒng)的一個子集所構(gòu)

成的嚴格層次結(jié)構(gòu)的根。

3.模型

模型依賴于流行的瀏覽器，許多的公鑰被預裝在標準的瀏

覽器上。這些公鑰確定了一組，瀏覽器用戶最初信任這些并將

它們作為證書檢驗的根。從根本上講，它更類似于認證機構(gòu)的

嚴格層次結(jié)構(gòu)模型，這是一種有隱含根的嚴格層次結(jié)構(gòu)。

4.以用戶為中心的信任模型

每個用戶自己決定信任哪些證書。通常，用戶的最初信任

對象包括用戶的朋友、家人或同事，但是否信任某證書則被許

多因素所左右。

9.有哪些具體的職責？

?驗證并標識證書申請者的身份。

?確保用于簽名證書的非對稱密鑰的質(zhì)量。

?確保整個簽證過程的安全性，確保簽名私鑰的安全性。

?證書材料信息（包括公鑰證書序列號、標識等）的管理。

?確定并檢查證書的有效期限。

?確保證書主體標識的惟一性，防止重名。

?發(fā)布并維護作廢證書表（）0

?對整個證書簽發(fā)過程做日志記錄。

,向申請人發(fā)通知。

其中最為重要的是自己的一對密鑰的管理，它必須確保高

度的機密性，防止他方偽造證書。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

第十五章的安全

一、選擇題

二、問答題

1.和協(xié)議以及的關(guān)系是什么？

是一種由設(shè)計的端到端的確保層通信安全的機制。不是一

個單獨的協(xié)議，而是一組協(xié)議。是隨著6的制定而產(chǎn)生的，后

來也增加了對4的支持。在前者中是必須支持的，在后者中是

可選的。

作為一個第三層隧道協(xié)議實現(xiàn)了通信，可以為網(wǎng)絡(luò)通信提

供透明的安全服務(wù)，免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機

密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。

2.包含了哪3個最重要的協(xié)議？簡述這3個協(xié)議的主要功能？

眾多的通過關(guān)系圖組織在一起，它包含了三個最重要的協(xié)

議：、、。

(1)為數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗證、

數(shù)據(jù)源身份認證和防重放攻擊。數(shù)據(jù)完整性驗證通過哈希函數(shù)

(如5)產(chǎn)生的校驗來保證；數(shù)據(jù)源身份認證通過在計算驗證

碼時加入一個共享密鑰來實現(xiàn)；報頭中的序列號可以防止重放

攻擊。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

(2)除了為數(shù)據(jù)包提供已有的3種服務(wù)外，還提供數(shù)據(jù)包加密

和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對一個包進行加密(整個包或

其載荷部分)，一般用于客戶端計算機；數(shù)據(jù)流加密一般用于

支持的路由器，源端路由器并不關(guān)心包的內(nèi)容，對整個包進行

加密后傳輸，目的端路由器將該包解密后將原始數(shù)據(jù)包繼續(xù)轉(zhuǎn)

發(fā)。

和可以單獨使用，也可以嵌套使用。可以在兩臺主機、兩

臺安全網(wǎng)關(guān)(防火墻和路由器)，或者主機與安全網(wǎng)關(guān)之間使

用。

(3)負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加

密算法以及生成共享的會話密鑰的方法。將密鑰協(xié)商的結(jié)果保

留在安全聯(lián)盟()中，供和以后通信時使用。解釋域()為使用進

行協(xié)商的協(xié)議統(tǒng)一分配標識符。

第十六章電子郵件的安全

一、問答題

1.電子郵件存在哪些安全性問題？

1)垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件

等。垃圾郵件會增加網(wǎng)絡(luò)負荷，影響網(wǎng)絡(luò)傳輸速度，占用郵件

服務(wù)器的空間。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件

的快速、便宜，發(fā)信人能迅速讓大量受害者上當。

3）郵件炸彈指在短時間內(nèi)向同一信箱發(fā)送大量電子郵件的行

為，信箱不能承受時就會崩潰。4）通過電子郵件傳播的病毒通

常用編寫，且大多數(shù)采用附件的形式夾帶在電子郵件中。當收

信人打開附件后，病毒會查詢他的通訊簿，給其上所有或部分

人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。

2.端到端的安全電子郵件技術(shù)，能夠保證郵件從發(fā)出到接收的

整個過程中的哪三種安全性？

端到端的安全電子郵件技術(shù)，保證郵件從被發(fā)出到被接收

的整個過程中，內(nèi)容保密、無法修改、并且不可否認。目前的

上，有兩套成型的端到端安全電子郵件標準：和。它一般只對

信體進行加密和簽名，而信頭則由于郵件傳輸中尋址和路

由的需要，必須保證原封不動。

3.畫圖說明的工作原理。

B的RSA

公開始a

隨救生液的6

PGP的工作原理

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

發(fā)送前：①MD5是單向的；⑥而EB加密Km,Km加密P[Z,兩者拼線,

②以內(nèi)撤列值（短）W;?編碼（混亂更難破解）。

③ZIP后明文變短再用IDEA快（混亂更難破解）1）機密性

要先壓縮再加密，反之密文不一定會。2）藕性

④KM是隨機生成的對稱密銅，不需要分發(fā)。3）不可否認（賄啜名）

⑤不直接用EB對PiZ加密（慢）。4）IDS藕

第十七章與電子商務(wù)的安全

二、問答題

1.討論一下為什么出現(xiàn)的漏洞對服務(wù)器的安全威脅最大？

相比前面提到的問題，可能出現(xiàn)的漏洞很多，而被攻破后

所能造成的威脅也很大。程序設(shè)計人員的一個簡單的錯誤或不

規(guī)范的編程就可能為系統(tǒng)增加一個安全漏洞。一個故意放置的

有惡意的程序能夠自由訪問系統(tǒng)資源，使系統(tǒng)失效、刪除文件

或查看顧客的保密信息（包括用戶名和口令）。

3.說明的概念和功能。

安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證

書技術(shù)保護信息傳輸?shù)臋C密性和完整性，但它不能保證信息的

不可抵賴性，主要適用于點對點之間的信息傳輸。它是公司提

出的基于應用的安全協(xié)議，它包括服務(wù)器認證、客戶認證（可

選）、鏈路上的數(shù)據(jù)完整性和鏈路上的數(shù)據(jù)保密性。通過在瀏覽

器軟件和服務(wù)器之間建立一條安全通道，實現(xiàn)信息在中傳送的

保密性。

在協(xié)議族中，位于層之上、應用層之下。這使它可以獨立

于應用層，從而使應用層協(xié)議可以直接建立在之上。協(xié)議包括

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

以下一些子協(xié)議；記錄協(xié)議、握手協(xié)議、更改密碼說明協(xié)議和

警告協(xié)議。記錄協(xié)議建立在可靠的傳輸協(xié)議（例如）上，用來封

裝高層的協(xié)議。握手協(xié)議準許服務(wù)器端與客戶端在開始傳輸數(shù)

據(jù)前，能夠通過特定的加密算法相互鑒別。

4.什么是電子錢包？

交易發(fā)生的先決條件是，每個持卡人（客戶）必須擁有一個

惟一的電子（數(shù)字）證書，且由客戶確定口令，并用這個口令對

數(shù)字證書、私鑰、信用卡號碼及其他信息進行加密存儲，這些

與符合協(xié)議的軟件一起組成了一個電子錢包。

9.簡述的記錄協(xié)議和握手協(xié)議。

記錄協(xié)議是建立在可靠的傳輸協(xié)議（如）之上，為更高層提

供基本的安全服

務(wù)，如提供數(shù)據(jù)封裝、眼所、加密等基本功能的支持。

記錄協(xié)議用來定義數(shù)據(jù)傳輸?shù)母袷剑ǖ挠涗涱^和記錄

數(shù)據(jù)格式的規(guī)定。在協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄

中。

握手協(xié)議負責建立當前會話狀態(tài)的參數(shù)。雙方協(xié)商一個協(xié)議

版本，選擇密碼算法，相互認證（不是必須的），并且使用公

鑰加密技術(shù)通過一系列交換的消息在客戶端和服務(wù)器之間生成

共享密鑰。

第十八章防火墻技術(shù)

三、問答題

1.什么是防火墻，為什么需要有防火墻？

防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常

處于企業(yè)的內(nèi)部局域網(wǎng)與之間，限制用戶對內(nèi)部網(wǎng)絡(luò)的訪問以

及管理內(nèi)部用戶訪問的權(quán)限。換言之，一個防火墻在一個被認

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認為是不那么安全和可信

的外部網(wǎng)絡(luò)(通常是)之間提供一個封鎖工具。如果沒有防火

墻，則整個內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個主機，因此，所

有的主機都必須達到一致的高度安全水平，這在實際操作時非

常困難。而防火墻被設(shè)計為只運行專用的訪問控制軟件的設(shè)

備，沒有其他的服務(wù)，因此也就意味著相對少一些缺陷和安全

漏洞，這就使得安全管理變得更為方便，易于控制，也會使內(nèi)

部網(wǎng)絡(luò)更加安全。

防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情況下，盡可能

保證內(nèi)部網(wǎng)絡(luò)的安全。它是一種被動的技術(shù)，是一種靜態(tài)安全

部件。

2.防火墻應滿足的基本條件是什么？

作為網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合，防火墻

應滿足的基本條件如下：

(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。

(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻。

(3)防火墻自身具有高可靠性，應對滲透()免疫，即它本身是

不可被侵入的。

3.列舉防火墻的幾個基本功能？

(1)隔離不同的網(wǎng)絡(luò)，限制安全問題的擴散，對安全集中

管理，簡化了安全管理的復雜程度。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

(2)防火墻可以方便地記錄網(wǎng)絡(luò)上的各種非法活動，監(jiān)視

網(wǎng)絡(luò)的安全性，遇到緊急情況報警。

(3)防火墻可以作為部署的地點，利用技術(shù)，將有限的地

址動態(tài)或靜態(tài)地與內(nèi)部的地址對應起來，用來緩解地址空間短

缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。

(4)防火墻是審計和記錄使用費用的一個最佳地點。

(5)防火墻也可以作為的平臺。

(6)內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進行控制，比如防火墻

可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問

外部服務(wù)的圖片信息。只有代理服務(wù)器和先進的過濾才能實

現(xiàn)。

第十九章技術(shù)

二、問答題

1.解釋的基本概念。

是的縮寫，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨

干網(wǎng)，尤其是連接而成的邏輯上的虛擬子網(wǎng)。

是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。則是利用公共網(wǎng)

絡(luò)資源和設(shè)備建立一個邏輯上的專用通道，盡管沒有自己的專

用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。

表示是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授

權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認

證，保證了傳輸內(nèi)容的完整性和機密性。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

3.簡述使用了哪些主要技術(shù)。

1）隧道（封裝）技術(shù)是目前實現(xiàn)不同用戶業(yè)務(wù)區(qū)分的基本

方式。一個可抽象為一個沒有自環(huán)的連通圖，每個頂點代表一

個端點（用戶數(shù)據(jù)進入或離開的設(shè)備端口），相鄰頂點之間的

邊表示連結(jié)這兩對應端點的邏輯通道，即隧道。

隧道以疊加在主干網(wǎng)上的方式運行。需安全傳輸?shù)臄?shù)據(jù)分

組經(jīng)一定的封裝處理，從信源的一個端點進入，經(jīng)相關(guān)隧道穿

越（物理上穿越不安全的互聯(lián)網(wǎng)），到達信宿的另一個端點，

再經(jīng)過相應解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的

路徑，在中轉(zhuǎn)節(jié)點也不會解析原始數(shù)據(jù)）

2）當用戶數(shù)據(jù)需要跨越多個運營商的網(wǎng)絡(luò)時，在連接兩個

獨立網(wǎng)絡(luò)的節(jié)點該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，

可能會造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技

術(shù)。目前主要的密鑰交換和管理標準有和（安全聯(lián)盟和密鑰管

理協(xié)議）。

3）對于支持遠程接入或動態(tài)建立隧道的，在隧道建立之前

需要確認訪問者身份，是否可以建立要求的隧道，若可以，系

統(tǒng)還需根據(jù)訪問者身份實施資源訪問控制。這需要訪問者與設(shè)

備的身份認證技術(shù)和訪問控制技術(shù)。

4.有哪三種類型？它們的特點和應用場合分別是什么？

1.（遠程接入網(wǎng)）

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

即所謂移動，適用于企業(yè)內(nèi)部人員流動頻繁和遠程辦公的

情況，出差員工或在家辦公的員工利用當?shù)鼐涂梢院推髽I(yè)的網(wǎng)

關(guān)建立私有的隧道連接。

通過撥入當?shù)氐倪M入再連接企業(yè)的網(wǎng)關(guān)，在用戶和網(wǎng)關(guān)之

間建立一個安全的“隧道”，通過該隧道安全地訪問遠程的內(nèi)

部網(wǎng)（節(jié)省通信費用，又保證了安全性）。

撥入方式包括撥號、、等，唯一的要求就是能夠使用合法

地址訪問。2.（內(nèi)聯(lián)網(wǎng)）

如果要進行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián)，可以使用的方

式，即所謂的網(wǎng)關(guān)對網(wǎng)關(guān)。在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了

一個加密的隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該隧道安全地進行

通信。

3.（外聯(lián)網(wǎng)）

如果一個企業(yè)希望將客戶、供應商、合作伙伴連接到企業(yè)

內(nèi)部網(wǎng)，可以使用。其實也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的，但它需要有

不同協(xié)議和設(shè)備之間的配合和不同的安全配置。

5.舉例說明什么是乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議？

（1）乘客協(xié)議：用戶真正要傳輸（也即被封裝）的數(shù)據(jù)，

如、、等。

（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、、

L2、o

（3）傳輸協(xié)議：乘客協(xié)議被封裝后應用傳輸協(xié)議，例如協(xié)議。

8.了解第三層隧道協(xié)議一一。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

是通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如2、

等），用于在包中封裝任何協(xié)議的數(shù)據(jù)包（、、等）。在中，

乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是，傳輸協(xié)

議就是。在的處理中，很多協(xié)議的細微差別都被忽略，這使得

不限于某個特定的“XY”的應用，而是一種通用的封裝形

式。

原始包的地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留地址，而外

層的地址是企業(yè)網(wǎng)絡(luò)出口的地址，因此，盡管私有網(wǎng)絡(luò)的地址

無法和外部網(wǎng)絡(luò)進行正確的路由，但這個封裝之后的包可以在

上路由一一最簡單的技術(shù)。（,非數(shù)據(jù)包能在互聯(lián)網(wǎng)上傳送）

適合一些小型點對點的網(wǎng)絡(luò)互聯(lián)。

第二十章安全掃描技術(shù)

一、問答題

1.簡述常見的黑客攻擊過程。

1目標探測和信息攫取

先確定攻擊日標并收集目標系統(tǒng)的相關(guān)信息。一般先大量

收集網(wǎng)上主機的信息，然后根據(jù)各系統(tǒng)的安全性強弱確定最后

的目標。

1）踩點（）

黑客必須盡可能收集目標系統(tǒng)安全狀況的各種信息。數(shù)據(jù)

庫查詢可以獲得很多關(guān)于目標系統(tǒng)的注冊信息，查詢（用上提供

的命令客戶端）也可令黑客獲得關(guān)于目標系統(tǒng)域名、地址、務(wù)

器、郵件服務(wù)器等有用信息。此外還可以用工具獲得一些網(wǎng)絡(luò)

拓撲和路由信息。

收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除

精品文檔

2）掃描（）

在掃描階段，我們將使用各種工具和技巧（如掃射、端口掃

描以及操作系統(tǒng)檢測等）確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些

端口（以此來判斷它們在提供哪些服務(wù)），甚至更進一步地獲知

它們運行的是什么操作系統(tǒng)。3）查點（）

從系統(tǒng)中抽取有效賬號