網(wǎng)絡(luò)安全試題庫 (網(wǎng)絡(luò)工程)

網(wǎng)絡(luò)平安試題

一.單項(xiàng)選擇題

1.以下算法中屬于非對(duì)稱算法的是(B)

A.DES

B.RSA算法

C.IDEA

D.三重DES

2."DES是一種數(shù)據(jù)分組的加密算法，DES它將數(shù)據(jù)分成長度為多少位的數(shù)據(jù)

塊，其中一部分用作奇偶校驗(yàn)，剩余部分作為密碼的長度？"(D)

A.56位

B.64位

C.112位

D.128位

3.以下有關(guān)軟件加密和硬件加密的比較，不正確的是(B)

A.硬件加密對(duì)用戶是透亮的，而軟件加密須要在操作系統(tǒng)或軟件中寫入加

密程序

B.硬件加密的兼容性比軟件加密好

C.硬件加密的平安性比軟件加密好

D.硬件加密的速度比軟件加密快

4.數(shù)據(jù)完整性指的是(C)

A.愛護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)，防止因數(shù)據(jù)被截獲而造成泄密

B.供應(yīng)連接實(shí)體身份的鑒別

C.防止非法實(shí)體對(duì)用戶的主動(dòng)攻擊，保證數(shù)據(jù)接受方收到的信息與發(fā)送方

發(fā)送的信息完全一樣

D.確保數(shù)據(jù)數(shù)據(jù)是由合法實(shí)體發(fā)出的

5.下面有關(guān)3DES的數(shù)學(xué)描述，正確的是(B)

A.C=E(E(E(P,K1),KI),K1)

B.C=E(D(E(P,KI),K2),KI)

C.C=E(D(E(P,KI),KI),KI)

D.C=D(E(D(P,KI),K2),KI)

6.黑客利用IP地址進(jìn)行攻擊的方法有：(A)

A.IP欺瞞

B.解密

C.竊取口令

D.發(fā)送病毒

7.屏蔽路由器型防火墻采納的技術(shù)是基于：(B)

A.數(shù)據(jù)包過濾技術(shù)

B.應(yīng)用網(wǎng)關(guān)技術(shù)

C.代理服務(wù)技術(shù)

D.三種技術(shù)的結(jié)合

8.在平安審計(jì)的風(fēng)險(xiǎn)評(píng)估階段，通常是按什么依次來進(jìn)行的：(A)

A.偵查階段、滲透階段、限制階段

B.滲透階段、偵查階段、限制階段

C.限制階段、偵查階段、滲透階段

D.偵查階段、限制階段、滲透階段

9.網(wǎng)絡(luò)入侵者運(yùn)用sniffer對(duì)網(wǎng)絡(luò)進(jìn)行偵聽，在防火墻實(shí)現(xiàn)認(rèn)證的方法中，下列

身份認(rèn)證可能會(huì)造成擔(dān)心全后果的是：（A）

A.基于口令的身份認(rèn)證

B.基于地址的身份認(rèn)證

C.密碼認(rèn)證

D.都不是

10.以下哪一項(xiàng)不是入侵檢測系統(tǒng)利用的信息：（C）

A.系統(tǒng)和網(wǎng)絡(luò)日志文件

B.書目和文件中的不期望的變更

C.數(shù)據(jù)包頭信息

D.程序執(zhí)行中的不期望行為

11.以下哪一項(xiàng)屬于基于主機(jī)的入侵檢測方式的優(yōu)勢：（C）

A.監(jiān)視整個(gè)網(wǎng)段的通信

B.不要求在大量的主機(jī)上安裝和管理軟件

C.適應(yīng)交換和加密

D.具有更好的實(shí)時(shí)性

12.在OSI七個(gè)層次的基礎(chǔ)上，將平安體系劃分為四個(gè)級(jí)別，以下那一個(gè)不屬于

四個(gè)級(jí)別：（D）

A.網(wǎng)絡(luò)級(jí)平安

B.系統(tǒng)級(jí)平安

C.應(yīng)用級(jí)平安

D.鏈路級(jí)平安

網(wǎng)絡(luò)安全需要應(yīng)該是全方位和整體的，在OSI七個(gè)層次的基礎(chǔ)上，桁安全體系劃分為四個(gè)級(jí)分別是（）

A、網(wǎng)絡(luò)級(jí)安全、系統(tǒng)級(jí)安全、應(yīng)用級(jí)安全、企業(yè)級(jí)安全

13.加密技術(shù)不能實(shí)現(xiàn)：（D）

A.數(shù)據(jù)信息的完整性

B.基于密碼技術(shù)的身份認(rèn)證

C.機(jī)密文件加密

D.基于IP頭信息的包過濾

14.以下關(guān)于混合加密方式說法正確的是：（B）

A.采納公開密鑰體制進(jìn)行通信過程中的加解密處理

B.采納公開密鑰體制對(duì)對(duì)稱密鑰體制的密鑰進(jìn)行加密后的通信

C.采納對(duì)稱密鑰體制對(duì)對(duì)稱密鑰體制的密鑰進(jìn)行加密后的通信

D.采納混合加密方式，利用了對(duì)稱密鑰體制的密鑰簡潔管理和非對(duì)稱密鑰

體制的加解密處理速度快的雙重優(yōu)點(diǎn)

15.以下關(guān)于數(shù)字簽名說法正確的是：（D）

A.數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信

息

B.數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即平安傳輸問題

C.數(shù)字簽名一般采納對(duì)稱加密機(jī)制

D.數(shù)字簽名能夠解決篡改、偽造等平安性問題

16.防火墻中地址翻譯的主要作用是：（B）

A.供應(yīng)代理服務(wù)

B.隱藏內(nèi)部網(wǎng)絡(luò)地址

C.進(jìn)行入侵檢測

D.防止病毒入侵

17.以下關(guān)于狀態(tài)檢測防火墻的描述，不正確的是（D）

A.所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個(gè)數(shù)據(jù)包之間存在一些關(guān)聯(lián)

B.能夠自動(dòng)打開和關(guān)閉防火墻上的通信端口

C.其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成

D.在每一次操作中，必需首先檢測規(guī)則表，然后再檢測連接狀態(tài)表（只檢

測連接狀態(tài)表）

18.以下關(guān)于VPN說法正確的是：（B）

A.VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、平安的

線路

B.VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、平安的連接

C.VPN不能做到信息認(rèn)證和身份認(rèn)證

D.VPN只能供應(yīng)身份認(rèn)證、不能供應(yīng)加密數(shù)據(jù)的功能

19.TCP可為通信雙方供應(yīng)牢靠的雙向連接，在包過濾系統(tǒng)中，下面關(guān)于TCP

連接描述錯(cuò)誤的是：（C）

A.要拒絕一個(gè)TCP時(shí)只要拒絕連接的第一個(gè)包即可

B.TCP段中首包的ACK=O,后續(xù)包的ACK=1

C.確認(rèn)號(hào)是用來保證數(shù)據(jù)牢靠傳輸?shù)木幪?hào)〃（確認(rèn)號(hào)是目的主機(jī)在接收到

數(shù)據(jù)后反饋給源主機(jī)的信息，告知源主機(jī)已接收）

D."在CISCO過濾系統(tǒng)中,當(dāng)ACK=1時(shí)，“established"”關(guān)鍵字為T,當(dāng)

ACK=0時(shí)，“established""關(guān)鍵字為F"

20.在DDoS攻擊中，通過非法入侵并被限制，但并不向被攻擊者干脆發(fā)起攻擊

的計(jì)算機(jī)稱為（B）

A.攻擊者

B.主控端

C.代理服務(wù)器

D.被攻擊者

21.加密密鑰的強(qiáng)度是：（A）

A.2N

B.2NJ

C.2N

D.2N-1

22.IDS規(guī)則包括網(wǎng)絡(luò)誤用和：（A）

A.網(wǎng)絡(luò)異樣

B.系統(tǒng)誤用

C.系統(tǒng)異樣

D.操作異樣

23.防治要從防毒、查毒、（）三方面來進(jìn)行：（A）

A.解毒

B.隔離

C.反擊

D.重起

24.針對(duì)下列各種平安協(xié)議，最適合運(yùn)用外部網(wǎng)VPN上，用于在客戶機(jī)到服務(wù)

器的連接模式的是：（C）

A.IPsec

B.PPTP

C.SOCKSv5

D.L2TP

25.下列各種平安協(xié)議中運(yùn)用包過濾技術(shù)，適合用于可信的LAN到LAN之間的

VPN,即內(nèi)部網(wǎng)VPN的是：（D）

A.PPTP

B.L2TP

C.SOCKSv5

D.IPsec

26.目前在防火墻上供應(yīng)了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資

源的用戶訪問權(quán)限是：（C）

A.客戶認(rèn)證

B.回話認(rèn)證

C.用戶認(rèn)證

D.都不是

27.目前在防火墻上供應(yīng)了幾種認(rèn)證方法，其中防火墻供應(yīng)授權(quán)用戶特定的服務(wù)

權(quán)限是：（A）

A.客戶認(rèn)證

B.回話認(rèn)證

C.用戶認(rèn)證

D.都不是

28.目前在防火墻上供應(yīng)了幾種認(rèn)證方法，其中防火墻供應(yīng)通信雙方每次通信時(shí)

的會(huì)話授權(quán)機(jī)制是：（B）

A.客戶認(rèn)證

B.回話認(rèn)證

C.用戶認(rèn)證

D.都不是

29.運(yùn)用平安內(nèi)核的方法把可能引起平安問題的部分從操作系統(tǒng)的內(nèi)核中去掉，

形成平安等級(jí)更高的內(nèi)核，目前對(duì)平安操作系統(tǒng)的加固和改造可以從幾個(gè)方

面進(jìn)行。下面錯(cuò)誤的是：（D）

A.采納隨機(jī)連接序列號(hào)

B.駐留分組過濾模塊

C.取消動(dòng)態(tài)路由功能

D.盡可能地采納獨(dú)立平安內(nèi)核

30.在防火墻實(shí)現(xiàn)認(rèn)證的方法中，采納通過數(shù)據(jù)包中的源地址來認(rèn)證的是：（B）

A.基于口令的身份認(rèn)證

B.基于地址的身份認(rèn)證

C.密碼認(rèn)證

D.都不是

31.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：（D）

A.運(yùn)用IP加密技術(shù)

B.日志分析工具

C.攻擊檢測和報(bào)警

D.對(duì)訪問行為實(shí)施靜態(tài)、固定的限制

32.網(wǎng)絡(luò)入侵者運(yùn)用sniffer對(duì)網(wǎng)絡(luò)進(jìn)行偵聽，在防火墻實(shí)現(xiàn)認(rèn)證的方法中，下列

身份認(rèn)證可能會(huì)造成擔(dān)心全后果的是：（A）

A.基于口令的身份認(rèn)證

B.基于地址的身份認(rèn)證

C.密碼認(rèn)證

D.都不是

33.IPSec協(xié)議是開放的VPN協(xié)議。對(duì)它的描述有誤的是：（C）

A.適應(yīng)于向IPv6遷移

B.供應(yīng)在網(wǎng)絡(luò)層上的數(shù)據(jù)加密愛護(hù)

C.支持動(dòng)態(tài)的1P地址安排

D.不支持除TCP/IP外的其它協(xié)議

34.下面對(duì)電路級(jí)網(wǎng)關(guān)描述正確的是：B

A.它允許內(nèi)部網(wǎng)絡(luò)用戶不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)用戶在

訪問內(nèi)部網(wǎng)絡(luò)時(shí)會(huì)受到嚴(yán)格的限制

B.它在客戶機(jī)和服務(wù)器之間不說明應(yīng)用協(xié)議，僅依靠于TCP連接，而不進(jìn)

行任何附加包的過濾或處理

C.大多數(shù)電路級(jí)代理服務(wù)器是公共代理服務(wù)器，每個(gè)協(xié)議都能由它實(shí)現(xiàn)

D.對(duì)各種協(xié)議的支持不用做任何調(diào)整干脆實(shí)現(xiàn)

35.在Internet服務(wù)中運(yùn)用代理服務(wù)有很多須要留意的內(nèi)容，下述論述正確的是:

C

A.UDP是無連接的協(xié)議很簡潔實(shí)現(xiàn)代理

B.與犧牲主機(jī)的方式相比，代理方式更平安

C.對(duì)于某些服務(wù)，在技術(shù)上實(shí)現(xiàn)相對(duì)簡潔

D.很簡潔拒絕客戶機(jī)于服務(wù)器之間的返回連接

36.狀態(tài)檢查技術(shù)在OSI那層工作實(shí)現(xiàn)防火墻功能：C

A.鏈路層

B.傳輸層

C.網(wǎng)絡(luò)層

D.會(huì)話層

37.對(duì)狀態(tài)檢查技術(shù)的優(yōu)缺點(diǎn)描述有誤的是：C

A.采納檢測模塊監(jiān)測狀態(tài)信息

B.支持多種協(xié)議和應(yīng)用

C.不支持監(jiān)測RPC和UDP的端口信息

D.配置困難會(huì)降低網(wǎng)絡(luò)的速度

38.JOE是公司的一名業(yè)務(wù)代表，常常要在外地訪問公司的財(cái)務(wù)信息系統(tǒng)，他應(yīng)

當(dāng)采納的平安、廉價(jià)的通訊方式是：B

A.PPP連接到公司的RAS服務(wù)器上

B.遠(yuǎn)程訪問VPN

C,電子郵件

D.與財(cái)務(wù)系統(tǒng)的服務(wù)器PPP連接

39.下面關(guān)于外部網(wǎng)VPN的描述錯(cuò)誤的有：C

A.外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的平安

B.其目的在于保證數(shù)據(jù)傳輸中不被修改

C.VPN服務(wù)器放在Internet上位于防火墻之外

D.VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上

40.SOCKSv5的優(yōu)點(diǎn)是定義了特別具體的訪問限制，它在OSI的那一層限制數(shù)

據(jù)流：D

A.應(yīng)用層

B.網(wǎng)絡(luò)層

C.傳輸層

D.會(huì)話層

二.推斷題

1.PKI和PMI在應(yīng)用中必需進(jìn)行綁定，而不能在物理上分開。（x）

2.當(dāng)通過閱讀器以在線方式申請(qǐng)數(shù)字證書時(shí)，申請(qǐng)證書和下載證書的計(jì)算機(jī)必

需是同一臺(tái)計(jì)算機(jī)。（4）

3.在網(wǎng)絡(luò)身份認(rèn)證中采納審計(jì)的目的是對(duì)全部用戶的行為進(jìn)行記錄，以便于進(jìn)

行核查。（4）

4.要實(shí)現(xiàn)DDoS攻擊，攻擊者必需能夠限制大量的計(jì)算機(jī)為其服務(wù)。（4）

5.由于在TCP協(xié)議的傳輸過程中，傳輸層須要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)

為組成單元?jiǎng)澐殖啥鄠€(gè)字節(jié)段，然后每個(gè)字節(jié)段單獨(dú)進(jìn)行路由傳輸，所以

TCP是面對(duì)字節(jié)流的牢靠的傳輸方式。N）

6.ARP緩存只能保存主動(dòng)查詢獲得的IP和MAC的對(duì)應(yīng)關(guān)系，而不會(huì)保存以

廣播形式接收到的IP和MAC的對(duì)應(yīng)關(guān)系。（x）

7.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采納的字典

要比字典攻擊中運(yùn)用的字典的范圍要大。（4）

8.DHCP服務(wù)器只能給客戶端供應(yīng)IP地址和網(wǎng)關(guān)地址，而不能供應(yīng)DNS服務(wù)

器的IP地址。（x）

9.當(dāng)硬件配置相同時(shí)，代理防火墻對(duì)網(wǎng)絡(luò)運(yùn)行性能的影響要比包過濾防火墻

小。（x）

10.在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中，只有狀態(tài)檢測防火墻可以

在肯定程度上檢測并防止內(nèi)部用戶的惡意破壞。（4）

三.填空題

1.計(jì)算機(jī)網(wǎng)絡(luò)的資源共享包括（）共享和（）共享。

2.依據(jù)網(wǎng)絡(luò)覆蓋的地理范圍大小，計(jì)算機(jī)網(wǎng)絡(luò)可分為（）、（）和（）0

3.依據(jù)結(jié)點(diǎn)之間的關(guān)系，可將計(jì)算機(jī)網(wǎng)絡(luò)分為（）網(wǎng)絡(luò)和（）網(wǎng)絡(luò)。

4.對(duì)等型網(wǎng)絡(luò)與客戶/服務(wù)器型網(wǎng)絡(luò)的最大區(qū)分就是（）。

5.網(wǎng)絡(luò)平安具有（）、（）和（）o

6.網(wǎng)絡(luò)平安機(jī)密性的主要防范措施是（）。

7.網(wǎng)絡(luò)平安完整性的主要防范措施是（）o

8.網(wǎng)絡(luò)平安可用性的主要防范措施是（）。

9.網(wǎng)絡(luò)平安機(jī)制包括（）和（）o

10.國際標(biāo)準(zhǔn)化組織ISO提出的“開放系統(tǒng)互連參考模型（OSI）”有（）層。

11.OSI參考模型從低到高第3層是（）層。

12.入侵監(jiān)測系統(tǒng)通常分為基于（）和基于（）兩類。

13.數(shù)據(jù)加密的基本過程就是將可讀信息譯成（）的代碼形式。

14.訪問限制主要有兩種類型：（）訪問限制和（）訪問限制。

15.網(wǎng)絡(luò)訪問限制通常由（）實(shí)現(xiàn)。

16.密碼按密鑰方式劃分，可分為（）式密碼和（）式密碼。

17.DES加密算法主要采納（）和（）的方法加密。

18.非對(duì)稱密碼技術(shù)也稱為（）密碼技術(shù)。

19.DES算法的密鑰為（）位,實(shí)際加密時(shí)僅用到其中的（）位。

20.數(shù)字簽名技術(shù)實(shí)現(xiàn)的基礎(chǔ)是（）技術(shù)。

21.數(shù)字水印技術(shù)主要包括（）、（）和（）。

22.數(shù)字水印技術(shù)的特點(diǎn)是（）、（）和（）。

23.入侵監(jiān)測系統(tǒng)一般包括（）、（）、（）和（）四部分功能。

24.依據(jù)數(shù)據(jù)來源的不同，入侵監(jiān)測系統(tǒng)可以分為（）、）和（）

入侵監(jiān)測系統(tǒng)三類。

25.依據(jù)數(shù)據(jù)監(jiān)測方法的不同，入侵監(jiān)測系統(tǒng)可以分為（）監(jiān)測模型和（）

監(jiān)測模型兩類。

26.廣域網(wǎng)簡稱為（）o

27.局域網(wǎng)簡稱為（）o

28.在TCP/IP參考模型中，應(yīng)用層協(xié)議的（）用來實(shí)現(xiàn)互聯(lián)網(wǎng)中電子郵件傳

送功能。

29.電子商務(wù)的體系結(jié)構(gòu)可以分為網(wǎng)絡(luò)基礎(chǔ)平臺(tái)、平安結(jié)構(gòu)、（）、業(yè)務(wù)系統(tǒng)

4個(gè)層次。

30.電子郵件服務(wù)采納（）工作模式。

答案：

1.（硬件資源）、（軟件資源）。

2.（局域網(wǎng)）、（廣域網(wǎng)）（城域網(wǎng)）

3.（客戶/服務(wù)器型）（對(duì)等型）

4.（對(duì)等型網(wǎng)絡(luò)沒有專設(shè)服務(wù)器）

5.（機(jī)密性）、（完整性）（可用性）

6.（密碼技術(shù)）

7.（校驗(yàn)與認(rèn)證技術(shù)）

8.（確保信息與信息系統(tǒng)處于一個(gè)牢靠的運(yùn)行狀態(tài)之下）

9.（技術(shù)機(jī)制）（管理機(jī)制）

10.（7）

11.（網(wǎng)絡(luò)）

12.（主機(jī)）（網(wǎng)絡(luò)）

13.（密文）

14.（網(wǎng)絡(luò)）（系統(tǒng)）

15.（防火墻）

16.（對(duì)稱）（非對(duì)稱）

17.（替換）（移位）

18.（公鑰）

19.（64）（56）

20.（密碼）

21.（數(shù)字水印嵌入技術(shù)）（數(shù)字水印提取）（數(shù)字水印監(jiān)測技術(shù)）

22.（不行知覺性）（平安性）（穩(wěn)健性）

23.（事務(wù)提?。ㄈ肭址治觯ㄈ肭猪憫?yīng)）（遠(yuǎn)程管理）

24.（基于主機(jī)）（基于網(wǎng)絡(luò)）（混合型）

25.（異樣）（誤用）

26.（WAN）

27.（LAN）

28.（電子郵件協(xié)議SMTP）

29.（支付體系）

30.（客戶機(jī)/服務(wù)器）

四.名詞說明題

1.對(duì)稱加密與非對(duì)稱加密

在一個(gè)加密系統(tǒng)中，加密和解密運(yùn)用同一個(gè)密鑰，這種加密方式稱為對(duì)稱加

密，也稱為單密鑰加密（2分）。假如系統(tǒng)采納的是雙密鑰體系，存在兩個(gè)相

互關(guān)聯(lián)的密碼，其中一個(gè)用于加密，另一個(gè)用于解密，這種加密方法稱為非

對(duì)稱加密，也稱為公鑰加密（2分）

2.DNS緩存中毒

DNS為了提高查詢效率，采納了緩存機(jī)制，把用戶查詢過的最新記錄存放在

緩存中，并設(shè)置生存周期（TimeToLive,TTL）0在記錄沒有超過TTL之前，

DNS緩存中的記錄一旦被客戶端查詢，DNS服務(wù)器（包括各級(jí)名字服務(wù)器）

將把緩存區(qū)中的記錄干脆返回給客戶端，而不須要進(jìn)行逐級(jí)查詢，提高了查

詢速率。（2分）DNS緩存中毒利用了DNS緩存機(jī)制，在DNS服務(wù)器的緩

存中存入大量錯(cuò)誤的數(shù)據(jù)記錄主動(dòng)供用戶查詢。由于緩存中大量錯(cuò)誤的記錄

是攻擊者偽造的，而偽造者可能會(huì)依據(jù)不同的意圖偽造不同的記錄。由于

DNS服務(wù)器之間會(huì)進(jìn)行記錄的同步復(fù)制，所以在TTL內(nèi)，緩存中毒的DNS

服務(wù)器有可能將錯(cuò)誤的記錄發(fā)送給其他的DNS服務(wù)器，導(dǎo)致更多的DNS服

務(wù)器中毒。（2分）

3.機(jī)密性、完整性、可用性、可控性

機(jī)密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程（1分）；完整性是指只

有得到允許的人或應(yīng)用進(jìn)程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被更

改（1分）；可用性是指只有得到授權(quán)的用戶在須要時(shí)才可以訪問數(shù)據(jù)，即使

在網(wǎng)絡(luò)被攻擊時(shí)也不能阻礙授權(quán)用戶對(duì)網(wǎng)絡(luò)的運(yùn)用（1分）；可控性是指能夠

對(duì)授權(quán)范圍內(nèi)的信息流向和行為方式進(jìn)行限制。（1分）

4.VPN

VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，

為用戶供應(yīng)一條與專用網(wǎng)絡(luò)具有相同通信功能的平安數(shù)據(jù)通道，實(shí)現(xiàn)不同網(wǎng)

絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接（2分）。從VPN的定義來看，其中

“虛擬”是指用戶不須要建立自己專用的物理線路，而是利用Internet等公

共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實(shí)現(xiàn)與專用數(shù)據(jù)通道

相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在

公共網(wǎng)絡(luò)上的用戶都能夠運(yùn)用的，而是只有經(jīng)過授權(quán)的用戶才可以運(yùn)用。同

時(shí)，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，從而保證了傳輸內(nèi)容的完整性

和機(jī)密性。（2分）

5.防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部局域網(wǎng)和不行信任的公共

網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)平安域之間的一系列部件的組合（2分），通過監(jiān)測、限制、

更改進(jìn)入不同網(wǎng)絡(luò)或不同平安域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的

信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不行預(yù)料的、潛在破壞性的入侵，實(shí)現(xiàn)

網(wǎng)絡(luò)的平安愛護(hù)。

五.簡答題

1.PGP平安通信的基本原理是什么？

答：A要寄信給B,他們相互知道對(duì)方的公鑰，A用MD5算法產(chǎn)生128位

數(shù)作為郵件文摘，并用自己私鑰加密，A在郵件后加上那串郵件文摘，再用

B的公鑰把整個(gè)郵件加密后寄出，B收到后用自己的私鑰解密，得到A的原

文和簽名，B也從原文中計(jì)算出128的特征值，并和A的簽名進(jìn)行比對(duì)。

2.依據(jù)加密和解密是否運(yùn)用相同的密鑰可分為哪兩種？其中，他們代表性的算

法各有哪些？

答：對(duì)稱密鑰密碼算法，常用算法：DES，AES,IDEA,

非對(duì)稱密碼，常用算法：RSA,DSA,

3.緩沖區(qū)溢出攻擊的產(chǎn)生緣由是什么？如何避開？

答：產(chǎn)生緣由：通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢

出，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。

避開：對(duì)存入緩沖區(qū)的數(shù)據(jù)要進(jìn)行超長中斷，防止緩沖區(qū)溢出，同時(shí)還應(yīng)當(dāng)

檢查返回值。

4.請(qǐng)說明什么是VPN,其關(guān)鍵技術(shù)除了隧道技術(shù)，還有另外哪3個(gè)？

答：IPSec協(xié)議是主要用于構(gòu)造VPN的，IPSec平安體系結(jié)構(gòu)由哪3個(gè)主要

部分組成？再分別寫出IPSec供應(yīng)的平安協(xié)議，認(rèn)證頭（AH）與封裝平安有

效載荷（ESP）在隧道模式下各自的頭格式。

VPN是虛擬專用網(wǎng)技術(shù),是通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的,平安的連接,

是一條穿過混亂的公用網(wǎng)絡(luò)平安，穩(wěn)定的遂道。

除了隧道技術(shù)，還有加解密技術(shù)，密鑰管理技術(shù)，運(yùn)用者與設(shè)備身份認(rèn)證技

術(shù)。

由平安協(xié)議、平安聯(lián)盟和密鑰管理組成。

隧道模式的AH頭格式：新IP頭|AH頭|原始IP頭|數(shù)據(jù)

隧道模式的ESP頭格式：新IP頭|ESP頭|原始IP頭|數(shù)據(jù)|ESP尾|驗(yàn)證數(shù)據(jù)

5.VPN是當(dāng)前最常用的網(wǎng)絡(luò)技術(shù)之一，請(qǐng)簡述它有哪些優(yōu)點(diǎn)？

答：搭建成本低、敏捷性高、VPN網(wǎng)絡(luò)有很好的兼容性和可擴(kuò)展性，提高了

網(wǎng)絡(luò)的牢靠性。企業(yè)可以利用VPN快速開展新的服務(wù)和連接設(shè)施，簡化了

企業(yè)聯(lián)網(wǎng)和廣域網(wǎng)操作。

6.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么應(yīng)用？

數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的包含公開密鑰擁有者信

息以及公開密鑰的文件。認(rèn)證中心（CA）作為權(quán)威，可信任的，公正的第

三方機(jī)構(gòu)，特地負(fù)責(zé)為各種認(rèn)證須要供應(yīng)數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)

字證書均遵循X.509V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰方面己被廣為接受。

X.509證書已應(yīng)用于很多網(wǎng)絡(luò)平安，其中包括IPSEC,SSL,SET,S/MIMEo

7.簡述對(duì)稱密鑰密碼體制的原理和特點(diǎn)？

答：對(duì)稱密鑰密碼體制，對(duì)于大多數(shù)算法，解密算法是加密算法的逆運(yùn)算，

加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強(qiáng)度性高但開放性

差，要求發(fā)送者和接收者在平安通信之前，須要有牢靠的密鑰信道傳遞密鑰,

因此密鑰也必須要妥當(dāng)保管。

8.在網(wǎng)絡(luò)平安體系中，有哪五種平安服務(wù)？

答：實(shí)體認(rèn)證平安服務(wù)，訪問限制平安服務(wù)，數(shù)據(jù)保密性平安服務(wù)，數(shù)據(jù)完

整性平安服務(wù)，抗抵賴性平安服務(wù)。

9.簡述公開密鑰密碼機(jī)制的原理和特點(diǎn)。

答：公開密鑰密碼體制是運(yùn)用具有兩個(gè)密鑰的編碼解碼算法，加密和解密的

實(shí)力是分開的，這兩個(gè)密鑰一個(gè)保密，另一個(gè)公開。依據(jù)應(yīng)用的須要，發(fā)送

方可以運(yùn)用接收方的公開密鑰加密消息，或運(yùn)用發(fā)送方的私有密鑰簽名消

息，或兩個(gè)都運(yùn)用，以完成某種類型的密碼編碼解碼功能。

10.網(wǎng)絡(luò)信息平安的四層模式是哪四層？防火墻和VPN分別是哪種模式？

答：四層：信息通道模式，網(wǎng)絡(luò)系統(tǒng)門衛(wèi)模式，網(wǎng)絡(luò)系統(tǒng)內(nèi)部的模式，CPU

和操作系統(tǒng)的模式。

防火墻是網(wǎng)絡(luò)系統(tǒng)門衛(wèi)的模式；VPN是信息通道模式。

1.信息平安的基本屬性是（機(jī)密性、可用性、完整性）。2.對(duì)攻擊

可能性的分析在很大程度上帶有（主觀性）。

3.從平安屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對(duì)（可用性）的攻

擊。4.從平安屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，截獲攻擊是針對(duì)（機(jī)密性）的攻

擊。5.拒絕服務(wù)攻擊的后果是（D）。

A.信息不行用B.應(yīng)用程序不行用C.阻擋通信D.上面幾項(xiàng)都是6.機(jī)

密性服務(wù)供應(yīng)信息的保密，機(jī)密性服務(wù)包括（D）。

A.文件機(jī)密性B.信息傳輸機(jī)密性C.通信流的機(jī)密性D.以上3項(xiàng)都是

7.最新的探討和統(tǒng)計(jì)表明，平安攻擊主要來自（企業(yè)內(nèi)部網(wǎng)）。

8.攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答

懇求的攻擊方式是（拒絕服務(wù)攻擊）。

9.密碼學(xué)的目的是（探討數(shù)據(jù)保密）。

10.假設(shè)運(yùn)用一種加密算法，它的加密方法很簡潔：將每一個(gè)字母加5,即

a加密成f。這種算法的密鑰就是5,那么它屬于（對(duì)稱加密技術(shù)）。

11.“公開密鑰密碼體制”的含義是（將公開密鑰公開，私有密鑰保密）。

12.用于實(shí)現(xiàn)身份鑒別的平安機(jī)制是（加密機(jī)制和數(shù)字簽名機(jī)制）。13.數(shù)

據(jù)保密性平安服務(wù)的基礎(chǔ)是（加密機(jī)制）。

14.可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（數(shù)據(jù)在途中被攻擊者篡改或

破壞）。

15.數(shù)字簽名要預(yù)先運(yùn)用單向Hash函數(shù)進(jìn)行處理的緣由是（縮小簽名密文

的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度）。

16.身份鑒別是平安服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是

（身份鑒別一般不用供應(yīng)雙向的認(rèn)證

17.PKI支持的服務(wù)不包括（訪問限制服務(wù)）。18.下面不屬于PKI組成

部分的是（D）o

A.證書主體B.運(yùn)用證書的應(yīng)用和系統(tǒng)C.證書權(quán)威機(jī)構(gòu)D.AS19.一

般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的（內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)）。

20.包過濾型防火墻原理上是基于（網(wǎng)絡(luò)層）進(jìn)行分析的技術(shù)。21.“周邊

網(wǎng)絡(luò)”是指：（介于內(nèi)網(wǎng)與外網(wǎng)之間的愛護(hù)網(wǎng)絡(luò)）。22.防火墻用于將Intern

et和內(nèi)部網(wǎng)絡(luò)隔離，（是網(wǎng)絡(luò)平安和信息平安的軟件和硬件設(shè)施23.計(jì)算機(jī)病

毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（存儲(chǔ)介質(zhì)）上蓄意破壞的搗亂程序。24.信息

平安經(jīng)驗(yàn)了三個(gè)發(fā)展階段，以下—不屬于這三個(gè)發(fā)展階段。（D）

A通信保密階段B加密機(jī)階段C信息平安階段D平安保障階段

25.信息平安階段將探討領(lǐng)域擴(kuò)展到三個(gè)基本屬性，下列—不屬于這三個(gè)

基本屬性。（C）

A保密性B完整性C不行否認(rèn)性D可用性

26.平安保障階段中將信息平安體系歸結(jié)為四個(gè)主要環(huán)節(jié)，下列—是正確

的。（愛護(hù)、檢測、響應(yīng)、復(fù)原

27.下面所列的—平安機(jī)制不屬于信息平安保障體系中的事先愛護(hù)環(huán)節(jié)。

（殺毒軟件）28.為了數(shù)據(jù)傳輸時(shí)不發(fā)生數(shù)據(jù)截獲和信息泄密，實(shí)行了加密機(jī)

制。這種做法體現(xiàn)了信息平安的—屬性。（保密性）

29.定期對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時(shí)進(jìn)行復(fù)原。該機(jī)制是為了滿

意信息平安的—屬性。（可用性）

30.數(shù)據(jù)在存儲(chǔ)過程中發(fā)生了非法訪問行為，這破壞了信息平安的—屬

性。（保密性）

31.網(wǎng)上銀行系統(tǒng)的一次轉(zhuǎn)賬操作過程中發(fā)生了轉(zhuǎn)賬金額被非法篡改的行

為，這破壞了信息平安的—屬性。（完整性）

32.計(jì)算機(jī)病毒最本質(zhì)的特性是—o（破壞性）33.用戶身份鑒別是

通過完成的。（口令驗(yàn)證）

34.對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行過濾和限制的信息平安技術(shù)機(jī)制是―-（防火

墻）35.下列不屬于防火墻核心技術(shù)的是—o（日志審計(jì)）

36.計(jì)算機(jī)病毒的實(shí)時(shí)監(jiān)控屬于一類的技術(shù)措施。（檢測）

37.針對(duì)操作系統(tǒng)平安漏洞的蠕蟲病毒根治的技術(shù)措施是—o（安裝平安

補(bǔ)丁程序）38.不是計(jì)算機(jī)病毒所具有的特點(diǎn)—o（可預(yù)見性）39.下列

關(guān)于用戶口令說法錯(cuò)誤的是一o（困難口令平安性足夠高，不須要定期修改）

40.公鑰密碼基礎(chǔ)設(shè)施PKI解決了信息系統(tǒng)中的—問題。（身份信任）41.

PKI所管理的基本元素是—。（數(shù)字證書）42.下列關(guān)于防火墻的錯(cuò)誤說

法是—o（重要的邊界愛護(hù)機(jī)制）43.入侵檢測技術(shù)可以分為誤用檢測和_

兩大類。（異樣檢測）44.不屬于必需的災(zāi)前預(yù)防性措施。（不間斷

電源，至少應(yīng)給服務(wù)器等關(guān)鍵設(shè)備配備45.—最好地描述了數(shù)字證書。（等同

于在網(wǎng)絡(luò)上證明個(gè)人和公司身份的身份證）46.身份認(rèn)證的含義是—o（驗(yàn)

證一個(gè)用戶）47.口令機(jī)制通常用于—o（認(rèn)證）

48.對(duì)日志數(shù)據(jù)進(jìn)行審計(jì)檢查，屬于一類限制措施。（檢測）

49.系統(tǒng)備份與一般數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備

份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便快速

（復(fù)原整個(gè)系統(tǒng)）50.在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)當(dāng)是—的一部分,

構(gòu)建防火墻時(shí)要考慮其愛護(hù)的范圍。（全局平安策略）

51.基于密碼技術(shù)的訪問限制是防止—的主要防護(hù)手段。（數(shù)據(jù)傳輸泄

密）52.避開對(duì)系統(tǒng)非法訪問的主要方法是—o（訪問限制）53.對(duì)愛

護(hù)數(shù)據(jù)來說，功能完善、運(yùn)用敏捷的—必不行少。（備份軟件）54.在一

個(gè)信息平安保障體系中，最重要的核心組成部分為——。（平安策略）55、不

能防止計(jì)算機(jī)感染病毒的措施是。（定時(shí)備份重要文件）

二、填空題

1.信息平安的大致內(nèi)容包括三個(gè)部分：物理平安，網(wǎng)絡(luò)平安和操作系統(tǒng)平

安。

2.黑客攻擊網(wǎng)絡(luò)的步驟：隱藏IP、信息收集、限制或破壞目標(biāo)系統(tǒng)、種植

后I】和在網(wǎng)絡(luò)中隱身。

3.社交工程主要通過人工或者網(wǎng)絡(luò)手段間接獲得攻擊對(duì)象的信息資料。

4.密鑰管理的主要內(nèi)容包括密鑰的生成、安排、運(yùn)用、存儲(chǔ)、備份、復(fù)原

和銷毀。5.密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分

散生成。6.密鑰的安排是指產(chǎn)生并運(yùn)用者獲得密鑰的過程。

7.計(jì)算機(jī)病毒的5個(gè)特征是：主動(dòng)傳染性、破壞性、寄生性（隱藏性）、

潛藏性、多態(tài)性。8.惡意代碼的基本形式還有后門、邏輯炸彈、特洛伊木馬、

蠕蟲、細(xì)菌。9.蠕蟲是通過網(wǎng)絡(luò)進(jìn)行傳播的。

10.從實(shí)現(xiàn)方式上看，防火墻可以分為硬件防火墻和軟件防火墻。

11.防火墻的基本類型有：包過濾防火墻、應(yīng)用代理防火墻、電路級(jí)網(wǎng)關(guān)防

火墻和狀態(tài)檢測防火墻。

12.從檢測方式上看，入侵檢測技術(shù)可以分為異樣檢測模型和誤用檢測模型

兩類。

13.從檢測對(duì)象上看，入侵檢測技術(shù)可以分為基于主機(jī)的入侵檢測系統(tǒng)的和

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩類。

14.網(wǎng)絡(luò)連接的跟蹤實(shí)力和數(shù)據(jù)包的重組實(shí)力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行協(xié)

議分析、應(yīng)用層入侵分析的基礎(chǔ)。

三、推斷題（A代表對(duì)，B代表錯(cuò)）

1.信息平安保障階段中，平安策略是核心，對(duì)事先愛護(hù)、事發(fā)檢測和響應(yīng)、

事后復(fù)原起到了統(tǒng)一指導(dǎo)作用。（B）

2.只要投資足夠，技術(shù)措施完備，就能夠保證百分之百的信息平安。（B）

3.Windows2000/xp系統(tǒng)供應(yīng)了口令平安策略，以對(duì)帳戶口令平安進(jìn)行愛

護(hù)。（B）

4.信息平安等同于網(wǎng)絡(luò)平安。（B）

5.一個(gè)完整的信息平安保障體系，應(yīng)當(dāng)包括平安策略（Policy）、愛護(hù)（Pro

tection）>檢測（Detection）、響應(yīng)（Reaction）、復(fù)原Restoration）五個(gè)主要環(huán)

節(jié)。（A）

6.防火墻雖然是網(wǎng)絡(luò)層重要的平安機(jī)制，但是它對(duì)于計(jì)算機(jī)病毒缺乏愛護(hù)

實(shí)力。（A）

7.公鑰密碼體制算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是有關(guān)的密

鑰進(jìn)行解密。（A）

8.對(duì)信息的這種防篡改、防刪除、防插入的特性稱為數(shù)據(jù)完整性愛護(hù)。（

A）

9.防火墻平安策略一旦設(shè)定，就不能再做任何變更。（B）

10.只要運(yùn)用了防火墻，企業(yè)的網(wǎng)絡(luò)平安就有了肯定的保障。（B）

11.防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間、或不同內(nèi)部網(wǎng)

絡(luò)之間，實(shí)施訪問限制策略的一個(gè)或一組系統(tǒng)。（A）

12.企業(yè)內(nèi)部只須要在網(wǎng)關(guān)和各服務(wù)器上安裝防病毒軟件，客戶端不須要安

裝。（B）

13.運(yùn)行防病毒軟件可以幫助防止遭遇網(wǎng)頁仿冒欺詐。（A）

四、問答題

1.特洛伊木馬(TrojanHorse)

把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程

序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成

黑客早已指定的任務(wù)(如監(jiān)聽某個(gè)不常用端口，假冒登錄界面獲得帳號(hào)和口令

等)。

2.黑客：利用系統(tǒng)平安漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。

3.宏病毒

利用MSOffice的開放性即Word和Excel中供應(yīng)的WordBasic/ExcelBa

sic編程接口，特地制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏指令集合，這種病毒能

通過文件的打開或關(guān)閉來獲得限制權(quán)，并能通過doc文檔和dot模板進(jìn)行自我復(fù)

制及傳播。

4.蠕蟲病毒

一種能夠自動(dòng)通過網(wǎng)絡(luò)進(jìn)行自我傳播的惡意程序。它不須要附著在其他程序

上，而是獨(dú)立存在的。當(dāng)形成規(guī)模、傳播速度過快時(shí)會(huì)極大地消耗網(wǎng)絡(luò)資源導(dǎo)致

大面積網(wǎng)絡(luò)擁塞甚至癱瘓。

5.漏洞

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)平安策略上存在的缺陷，從而

可以使攻擊者能夠在未授權(quán)的狀況下訪問或破壞系統(tǒng)。

6.數(shù)據(jù)機(jī)密性

針對(duì)信息泄露而實(shí)行的防衛(wèi)措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字

段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種。

7.數(shù)據(jù)完整性

防止非法篡改信息，如修改、復(fù)制、插入和刪除等。分為帶復(fù)原的連接完整

性、無復(fù)原的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無

連接完整性五種。8.數(shù)字簽名有什么作用？

當(dāng)通信雙方發(fā)生了下列狀況時(shí)，數(shù)字簽名技術(shù)必需能夠解決引發(fā)的爭端：

否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文。

偽造，接收方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方。冒充，網(wǎng)絡(luò)上的

某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文。篡改，接收方對(duì)收到的信息進(jìn)行篡

改。

9.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特

點(diǎn)？

數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息

以及公開密鑰的文件。認(rèn)證中心(CA)作為權(quán)威的、可信任的、公正的第三方機(jī)構(gòu),

特地負(fù)責(zé)為各種認(rèn)證需求供應(yīng)數(shù)字證書服務(wù)。

10.數(shù)字證書的原理是什么？

數(shù)字證書采納公開密鑰體制(例如RSA)。每個(gè)用戶設(shè)定一僅為本人所知的

私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用

于加密和驗(yàn)證簽名。采納數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。

(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信

息。

11.說明身份認(rèn)證的基本概念。

身份認(rèn)證是指用戶必需供應(yīng)他是誰的證明，這種證明客戶的真實(shí)身份與其所

聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他平安機(jī)

制的基礎(chǔ)。

身份認(rèn)證是平安系統(tǒng)中的第一道關(guān)卡，識(shí)別身份后，由訪問監(jiān)視器依據(jù)用戶

的身份和授權(quán)數(shù)據(jù)庫確定是否能夠訪問某個(gè)資源。一旦身份認(rèn)證系統(tǒng)被攻破，系

統(tǒng)的全部平安措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。

五、分析題

1.試用古典密碼技術(shù)中采納替代密碼技術(shù)的方法實(shí)現(xiàn)原文加密成密文：

對(duì)英文的前21個(gè)字母分別向前移4位，其替代關(guān)系為：明文密文aebcd

efghifghijkljklmnopqrrststumnopquab

cd

jiangsunanjing密文：是什么？nmerkbdrernmrk

2.什么是平安協(xié)議？平安協(xié)議應(yīng)用在什么領(lǐng)域，請(qǐng)列舉出3個(gè)平安協(xié)議。

平安協(xié)議是建立在密碼體制基礎(chǔ)上的一種交互通信協(xié)議，它運(yùn)用密碼算法和

協(xié)議邏輯來實(shí)現(xiàn)認(rèn)證和密鑰安排。主要應(yīng)用在金融系統(tǒng)、商務(wù)系統(tǒng)、政務(wù)系統(tǒng)和

軍事系統(tǒng)。例如代表性的平安協(xié)議有：IPSec協(xié)議、SSL協(xié)議、SSH協(xié)議、TLS

協(xié)議、PGP協(xié)議、PEM協(xié)議等。3.敘述數(shù)字簽名的過程

報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)散列值或報(bào)文摘要，發(fā)送方用自己的私

人密鑰對(duì)這個(gè)散列值或報(bào)文摘要進(jìn)行加密來形成發(fā)送方的數(shù)字簽名，然后，這個(gè)

數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先

從接收到的原始報(bào)文中計(jì)算出散列值或報(bào)文摘要，接著再用發(fā)送方的公鑰來對(duì)報(bào)

文附加的數(shù)字簽名進(jìn)行解密。假如兩個(gè)散列值或報(bào)文摘要相同，那么接收方就能

確認(rèn)該數(shù)字簽名是發(fā)送方的。

4.什么是防火墻，為什么須要有防火墻？

防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部

局域網(wǎng)與Internet之間，限制Intewet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用

戶訪問Internet的權(quán)限。換言之，一個(gè)防火墻在一個(gè)被認(rèn)為是平安和可信的內(nèi)

部網(wǎng)絡(luò)和一個(gè)被認(rèn)為是不那么平安和可信的外部網(wǎng)絡(luò)（通常是Internet）之間供

應(yīng)一個(gè)封鎖工具。

假如沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)的平安性完全依靠于每個(gè)主機(jī)，因此，全

部的主機(jī)都必需達(dá)到一樣的高度平安水平，這在實(shí)際操作時(shí)特別困難。而防火墻

被設(shè)計(jì)為只運(yùn)行專用的訪問限制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著

相對(duì)少一些缺陷和平安漏洞，這就使得平安管理變得更為便利，易于限制，也會(huì)

使內(nèi)部網(wǎng)絡(luò)更加平安。防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的狀況下，盡可

能保證內(nèi)部網(wǎng)絡(luò)的平安。它是一種被動(dòng)的技術(shù)，是一種靜態(tài)平安部件。5.防火

墻應(yīng)滿意的基本條件是什么？

作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問限制的一組組件的集合，防火墻應(yīng)滿意的基本條件

如下：(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的全部數(shù)據(jù)流必需經(jīng)過防火墻。(2)只有

符合平安策略的數(shù)據(jù)流才能通過防火墻。

(3)防火墻自身具有高牢靠性，應(yīng)對(duì)滲透(Penetration)免疫，即它本身是

不行被侵入的。

1、信息系統(tǒng)平安的五個(gè)特性是保密性、完整性、不行否認(rèn)性、可用性和可控性.（網(wǎng)

絡(luò)平安特性：保密性，完整性，可用性，可控性，可審查性）

2、信息在通信過程中面臨著4中威逼：中斷、截獲、篡改、偽造。其中主動(dòng)攻

擊有偽造、篡改、中斷，被動(dòng)攻擊有威逼。

（主動(dòng)攻擊破壞信息完整性，被動(dòng)攻擊不對(duì)數(shù)據(jù)做修改）

3、身份認(rèn)證和消息認(rèn)證存在差別，身份認(rèn)證只證明主體的真實(shí)身份與其所稱的

身份是否符合，消息認(rèn)證要證明消息的真實(shí)性和完整性，消息的依次性和時(shí)間性。

實(shí)現(xiàn)身份認(rèn)證的有效途徑是數(shù)字簽名。

4、Kerberos是20世紀(jì)80年頭由麻省理工設(shè)計(jì)的一種完全基于（可信任第三方且

通過對(duì)稱DES）加密體制的認(rèn)證系統(tǒng)。Kerberos系統(tǒng)包括認(rèn)證服務(wù)器AS和授權(quán)

服務(wù)器TGS,認(rèn)證服務(wù)對(duì)用戶進(jìn)行身份認(rèn)證，授權(quán)服務(wù)器實(shí)現(xiàn)產(chǎn)生會(huì)話密鑰功

能。

5、PKI采納證書管理公鑰，通過第三方的可信任機(jī)構(gòu)認(rèn)證中心CA把用戶的公

鑰和用戶的其它信息捆綁在一起，在INTERNET上驗(yàn)證用戶身份。PKI公鑰基

礎(chǔ)設(shè)施就是供應(yīng)公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)

6、防火墻的結(jié)構(gòu)主要有包過濾防火墻，雙宿網(wǎng)關(guān)防火墻，屏蔽主機(jī)防火墻和屏

蔽子網(wǎng)防火墻。

7、在防火墻所采納的技術(shù)中，包過濾技術(shù)是在網(wǎng)絡(luò)層和傳輸層攔截全部的信息

流，代理是針對(duì)每一個(gè)特定的應(yīng)用都有一個(gè)程序，代理是企圖在應(yīng)用層實(shí)現(xiàn)防火

墻的功能。代理的主要特點(diǎn)是狀態(tài)性。

8、VPN的基本原理是利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝，在互聯(lián)網(wǎng)中建立虛擬的專

用通道，使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端

的平安連接

9、CIDF依據(jù)IDS系統(tǒng)的通用需求以及現(xiàn)有IDS的系統(tǒng)結(jié)構(gòu)，將IDS系統(tǒng)構(gòu)成

劃分如下部分：事務(wù)發(fā)生器、事務(wù)分析器、事務(wù)數(shù)據(jù)庫和響應(yīng)單元。

10、惡意程序的存在形式有病毒、蠕蟲、特洛伊木馬、邏輯炸彈、細(xì)菌和陷門等。

其中蠕蟲是通過系統(tǒng)漏洞、自身復(fù)制在網(wǎng)絡(luò)上傳播的

14、在密碼學(xué)中我們通常將源信息成為明文，將加密后的信息成為密文。這個(gè)

變換處理過程稱為加密過程，它的逆過程稱為解密過程。

15、信任模型描述了建立信任關(guān)系的方法，找尋和遍歷信任路徑的規(guī)則，主要有

四種典型的信任模型：認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型、分布式信任結(jié)構(gòu)模型、

Web模型、以用戶為中心的信任模型

16.—數(shù)據(jù)機(jī)密性就是保證信息不能被未經(jīng)授權(quán)者閱讀。

17.主要的物理擔(dān)心全因素有自然災(zāi)難、硬件故障、操作失誤或意外疏漏和計(jì)

算機(jī)系統(tǒng)機(jī)房的環(huán)境平安。

18平安策略按授權(quán)性質(zhì)可分為—基于規(guī)則的和一基于身份的。

19.信息平安主要有三條基本的管理原則：―從不單獨(dú)一、一任期有限

—和責(zé)任分別一。

9、換位密碼依據(jù)肯定的規(guī)則重新支配明文字母，使之成為密文10.Internet

傳輸層的面對(duì)連接的協(xié)議是TCP。（無連接UDP）

二、推斷題

1.計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)威逼不大。（X）

2.黑客攻擊是屬于人為的攻擊行為。（J）

3.信息依據(jù)敏感程度一般可為成非保密的、內(nèi)部運(yùn)用的、保密的、絕密的幾類。

（X）

4.防止發(fā)送數(shù)據(jù)方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過的數(shù)據(jù)是一種抗抵賴性的形式。

（V）

5.密鑰是用來加密、解密的一些特別的信息。（V）

6.在非對(duì)稱密鑰密碼體制中，發(fā)信方與收信方運(yùn)用不同的密鑰。（V）

7.數(shù)據(jù)加密可以采納軟件和硬件方式加密。（J）

8.Kerberos協(xié)議是建立在非對(duì)稱加密算法RAS上的。（X）

9.PGP是專用來為電子郵件供應(yīng)加密的。（V）

10.Kerberos能為分布式計(jì)算機(jī)環(huán)境供應(yīng)對(duì)用戶單方進(jìn)行驗(yàn)證的方法。（X）

三、單項(xiàng)選擇題

1、TCP協(xié)議主要應(yīng)用于哪一層（B）

A、應(yīng)用層B、傳輸層C、INTERNET層