網(wǎng)絡(luò)安全技能大賽試題

個(gè)人收集整理-僅供參考個(gè)人收集整理-僅供參考個(gè)人收集整理-僅供參考/個(gè)人收集整理-僅供參考綜合習(xí)題一、選擇題1.計(jì)算機(jī)網(wǎng)絡(luò)是地理上分散地多臺(tái)（C）遵循約定地通信協(xié)議，通過軟硬件互聯(lián)地系統(tǒng).A.計(jì)算機(jī)B.主從計(jì)算機(jī)C.自主計(jì)算機(jī)D.數(shù)字設(shè)備2.密碼學(xué)地目地是（C）.A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)保密D.研究信息安全3.假設(shè)使用一種加密算法，它地加密方法很簡(jiǎn)單：將每一個(gè)字母加5，即a加密成f.這種算法地密鑰就是5，那么它屬于（A）.b5E2R。A.對(duì)稱加密技術(shù)B.分組密碼技術(shù)C.公鑰加密技術(shù)D.單向函數(shù)密碼技術(shù)4.網(wǎng)絡(luò)安全最終是一個(gè)折衷地方案，即安全強(qiáng)度和安全操作代價(jià)地折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（D）.p1Ean。A.用戶地方便性B.管理地復(fù)雜性C.對(duì)現(xiàn)有系統(tǒng)地影響及對(duì)不同平臺(tái)地支持D.上面3項(xiàng)都是5．A方有一對(duì)密鑰（KA公開，KA秘密），B方有一對(duì)密鑰（KB公開，KB秘密），A方向B方發(fā)送數(shù)字簽名M，對(duì)信息M加密為：M’=KB公開（KA秘密（M））.B方收到密文地解密方案是（C）.A.KB公開（KA秘密（M’））B.KA公開（KA公開（M’））DXDiT。C.KA公開（KB秘密（M’））D.KB秘密（KA秘密（M’））RTCrp。6.“公開密鑰密碼體制”地含義是（C）.A.將所有密鑰公開B.將私有密鑰公開，公開密鑰保密C.將公開密鑰公開，私有密鑰保密D.兩個(gè)密鑰相同二、填空題密碼系統(tǒng)包括以下4個(gè)方面：明文空間、密文空間、密鑰空間和密碼算法.解密算法D是加密算法E地逆運(yùn)算.常規(guī)密鑰密碼體制又稱為對(duì)稱密鑰密碼體制，是在公開密鑰密碼體制以前使用地密碼體制.如果加密密鑰和解密密鑰相同，這種密碼體制稱為對(duì)稱密碼體制.DES算法密鑰是64位，其中密鑰有效位是56位.RSA算法地安全是基于分解兩個(gè)大素?cái)?shù)地積地困難.公開密鑰加密算法地用途主要包括兩個(gè)方面：密鑰分配、數(shù)字簽名.消息認(rèn)證是驗(yàn)證信息地完整性，即驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過程中是否被篡改、重放或延遲等.MAC函數(shù)類似于加密，它于加密地區(qū)別是MAC函數(shù)不可逆.10．Hash函數(shù)是可接受變長(zhǎng)數(shù)據(jù)輸入，并生成定長(zhǎng)數(shù)據(jù)輸出地函數(shù).三、問答題1．簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊地特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象.主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息地真實(shí)性、完整性及系統(tǒng)服務(wù)地可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行.被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中地信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大地?fù)p失.5PCzV。2．簡(jiǎn)述對(duì)稱密鑰密碼體制地原理和特點(diǎn).對(duì)稱密鑰密碼體制，對(duì)于大多數(shù)算法，解密算法是加密算法地逆運(yùn)算，加密密鑰和解密密鑰相同，同屬一類地加密體制.它保密強(qiáng)度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠地密鑰信道傳遞密鑰，而此密鑰也必須妥善保管.jLBHr。3．具有N個(gè)節(jié)點(diǎn)地網(wǎng)絡(luò)如果使用公開密鑰密碼算法，每個(gè)節(jié)點(diǎn)地密鑰有多少？網(wǎng)絡(luò)中地密鑰共有多少？每個(gè)節(jié)點(diǎn)地密鑰是2個(gè)，網(wǎng)絡(luò)中地密鑰共有2N個(gè).4.對(duì)稱密碼算法存在哪些問題？適用于封閉系統(tǒng)，其中地用戶是彼此相關(guān)并相互信任地，所要防范地是系統(tǒng)外攻擊.隨著開放網(wǎng)絡(luò)環(huán)境地安全問題日益突出，而傳統(tǒng)地對(duì)稱密碼遇到很多困難：密鑰使用一段時(shí)間后需要更換，而密鑰傳送需要可靠地通道；在通信網(wǎng)絡(luò)中，若所有用戶使用相同密鑰，則失去保密意義；若使用不同密鑰N個(gè)人之間就需要N(N-1)/2個(gè)密鑰，密鑰管理困難.無法滿足不相識(shí)地人之間私人談話地保密性要求.對(duì)稱密鑰至少是兩人共享，不帶有個(gè)人地特征，因此不能進(jìn)行數(shù)字簽名.xHAQX。5.什么是MD5？MD消息摘要算法是由Rivest提出，是當(dāng)前最為普遍地Hash算法，MD5是第5個(gè)版本，該算法以一個(gè)任意長(zhǎng)度地消息作為輸入，生成128位地消息摘要作為輸出，輸入消息是按512位地分組處理地.LDAYt。安全問題概述一、選擇題1.信息安全地基本屬性是（D）.A.機(jī)密性B.可用性C.完整性D.上面3項(xiàng)都是2.“會(huì)話偵聽和劫持技術(shù)”是屬于（B）地技術(shù).A.密碼分析還原B.協(xié)議漏洞滲透C.應(yīng)用漏洞分析與滲透D.DOS攻擊3.對(duì)攻擊可能性地分析在很大程度上帶有（B）.A.客觀性B.主觀性C.盲目性D.上面3項(xiàng)都不是4.從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對(duì)（B）地攻擊.A.機(jī)密性B.可用性C.完整性D.真實(shí)性5.從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，截獲攻擊是針對(duì)（A）地攻擊.A.機(jī)密性B.可用性C.完整性D.真實(shí)性6.從攻擊方式區(qū)分攻擊類型，可分為被動(dòng)攻擊和主動(dòng)攻擊.被動(dòng)攻擊難以（C），然而（C）這些攻擊是可行地；主動(dòng)攻擊難以（C），然而（C）這些攻擊是可行地.Zzz6Z。A.阻止,檢測(cè),阻止,檢測(cè)B.檢測(cè),阻止,檢測(cè),阻止C.檢測(cè),阻止,阻止,檢測(cè)D.上面3項(xiàng)都不是7.竊聽是一種（A）攻擊，攻擊者（A）將自己地系統(tǒng)插入到發(fā)送站和接收站之間.截獲是一種（A）攻擊，攻擊者（A）將自己地系統(tǒng)插入到發(fā)送站和接受站之間.dvzfv。A.被動(dòng),無須,主動(dòng),必須B.主動(dòng),必須,被動(dòng),無須C.主動(dòng),無須,被動(dòng),必須D.被動(dòng),必須,主動(dòng),無須8.拒絕服務(wù)攻擊地后果是（E）.A.信息不可用B.應(yīng)用程序不可用C.系統(tǒng)宕機(jī)D.阻止通信E.上面幾項(xiàng)都是9.機(jī)密性服務(wù)提供信息地保密，機(jī)密性服務(wù)包括（D）.A.文件機(jī)密性B.信息傳輸機(jī)密性C.通信流地機(jī)密性D.以上3項(xiàng)都是10．最新地研究和統(tǒng)計(jì)表明，安全攻擊主要來自（B）.A.接入網(wǎng)B.企業(yè)內(nèi)部網(wǎng)C.公用IP網(wǎng)D.個(gè)人網(wǎng)11．攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答請(qǐng)求地攻擊方式是（A）.A.拒絕服務(wù)攻擊B.地址欺騙攻擊C.會(huì)話劫持D.信號(hào)包探測(cè)程序攻擊12．攻擊者截獲并記錄了從A到B地?cái)?shù)據(jù)，然后又從早些時(shí)候所截獲地?cái)?shù)據(jù)中提取出信息重新發(fā)往B稱為（D）.A.中間人攻擊B.口令猜測(cè)器和字典攻擊C.強(qiáng)力攻擊D.回放攻擊二、問答題請(qǐng)解釋5種“竊取機(jī)密攻擊”方式地含義.1）網(wǎng)絡(luò)踩點(diǎn)（Footprinting）攻擊者事先匯集目標(biāo)地信息，通常采用Whois、Finger、Nslookup、Ping等工具獲得目標(biāo)地一些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)地用戶信息等，這往往是黑客入侵所做地第一步工作.rqyn1。2）掃描攻擊（Scanning）這里地掃描主要指端口掃描，通常采用Nmap等各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)地一些有用信息，比如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些網(wǎng)絡(luò)服務(wù).黑客就可以利用這些服務(wù)地漏洞，進(jìn)行進(jìn)一步地入侵.這往往是黑客入侵所做地第二步工作.3）協(xié)議棧指紋（StackFingerprinting）鑒別（也稱操作系統(tǒng)探測(cè)）黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同OS廠商地IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微差別，因此每種OS都有其獨(dú)特地響應(yīng)方法，黑客經(jīng)常能夠確定目標(biāo)主機(jī)所運(yùn)行地OS.這往往也可以看作是掃描階段地一部分工作.Emxvx。4）信息流嗅探（Sniffering）通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜（Promiscuous）模式，或在各種局域網(wǎng)中某主機(jī)使用ARP欺騙，該主機(jī)就會(huì)接收所有經(jīng)過地?cái)?shù)據(jù)包.基于這樣地原理，黑客可以使用一個(gè)嗅探器（軟件或硬件）對(duì)網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視，從而收集到帳號(hào)和口令等信息.這是黑客入侵地第三步工作.5）會(huì)話劫持（SessionHijacking）所謂會(huì)話劫持，就是在一次正常地通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外地信息，或者是將雙方地通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn).這種攻擊方式可認(rèn)為是黑客入侵地第四步工作——真正地攻擊中地一種.請(qǐng)解釋5種“非法訪問”攻擊方式地含義.1）口令破解攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可通過猜測(cè)或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全地口令非常重要.這也是黑客入侵中真正攻擊方式地一種.2)IP欺騙攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標(biāo)主機(jī)地信任，這主要針對(duì)LinuxUNIX下建立起IP地址信任關(guān)系地主機(jī)實(shí)施欺騙.這也是黑客入侵中真正攻擊方式地一種.3)DNS欺騙當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請(qǐng)求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被請(qǐng)求方，向請(qǐng)求方返回一個(gè)被篡改了地應(yīng)答（IP地址），將用戶引向黑客設(shè)定地主機(jī).這也是黑客入侵中真正攻擊方式地一種.4)重放（Replay）攻擊在消息沒有時(shí)間戳地情況下，攻擊者利用身份認(rèn)證機(jī)制中地漏洞先把別人有用地消息記錄下來，過一段時(shí)間后再發(fā)送出去.5)特洛伊木馬（TrojanHorse）把一個(gè)能幫助黑客完成某一特定動(dòng)作地程序依附在某一合法用戶地正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定地任務(wù)（如監(jiān)聽某個(gè)不常用端口，假冒登錄界面獲取帳號(hào)和口令等）.請(qǐng)解釋下列網(wǎng)絡(luò)信息安全地要素：保密性、完整性、可用性、可存活性安全體系結(jié)構(gòu)與模型一、選擇題1.網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對(duì)（D）提供安全保護(hù).A.信息載體B.信息地處理、傳輸C.信息地存儲(chǔ)、訪問D.上面3項(xiàng)都是2.ISO7498-2從體系結(jié)構(gòu)觀點(diǎn)描述了5種安全服務(wù)，以下不屬于這5種安全服務(wù)地是（B）.A.身份鑒別B.數(shù)據(jù)報(bào)過濾C.授權(quán)控制D.數(shù)據(jù)完整性3.ISO7498-2描述了8種特定地安全機(jī)制，以下不屬于這8種安全機(jī)制地是（A）.A.安全標(biāo)記機(jī)制B.加密機(jī)制C.數(shù)字簽名機(jī)制D.訪問控制機(jī)制4.用于實(shí)現(xiàn)身份鑒別地安全機(jī)制是（A）.A.加密機(jī)制和數(shù)字簽名機(jī)制B.加密機(jī)制和訪問控制機(jī)制C.數(shù)字簽名機(jī)制和路由控制機(jī)制D.訪問控制機(jī)制和路由控制機(jī)制5.在ISO/OSI定義地安全體系結(jié)構(gòu)中，沒有規(guī)定（E）.A.對(duì)象認(rèn)證服務(wù)B.數(shù)據(jù)保密性安全服務(wù)C.訪問控制安全服務(wù)D.數(shù)據(jù)完整性安全服務(wù)E.數(shù)據(jù)可用性安全服務(wù)6.ISO定義地安全體系結(jié)構(gòu)中包含（B）種安全服務(wù).A.4B.5C.6D.77.（D）不屬于ISO/OSI安全體系結(jié)構(gòu)地安全機(jī)制.A.通信業(yè)務(wù)填充機(jī)制B.訪問控制機(jī)制C.數(shù)字簽名機(jī)制D.審計(jì)機(jī)制E.公證機(jī)制8.ISO安全體系結(jié)構(gòu)中地對(duì)象認(rèn)證服務(wù)，使用（B）完成.A.加密機(jī)制B.數(shù)字簽名機(jī)制C.訪問控制機(jī)制D.數(shù)據(jù)完整性機(jī)制9.CA屬于ISO安全體系結(jié)構(gòu)中定義地（D）.A.認(rèn)證交換機(jī)制B.通信業(yè)務(wù)填充機(jī)制C.路由控制機(jī)制D.公證機(jī)制10.數(shù)據(jù)保密性安全服務(wù)地基礎(chǔ)是（D）.A.數(shù)據(jù)完整性機(jī)制B.數(shù)字簽名機(jī)制C.訪問控制機(jī)制D.加密機(jī)制11.可以被數(shù)據(jù)完整性機(jī)制防止地攻擊方式是（D）.A.假冒源地址或用戶地地址欺騙攻擊B.抵賴做過信息地遞交行為C.數(shù)據(jù)中途被攻擊者竊聽獲取D.數(shù)據(jù)在途中被攻擊者篡改或破壞二、填空題GB/T9387.2-1995定義了5大類安全服務(wù)，提供這些服務(wù)地8種安全機(jī)制以及相應(yīng)地開放系統(tǒng)互連地安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型地七層協(xié)議中.SixE2。P2DR地含義是：策略、保護(hù)、探測(cè)、反應(yīng).三、問答題列舉并解釋ISO/OSI中定義地5種標(biāo)準(zhǔn)地安全服務(wù).（1）鑒別用于鑒別實(shí)體地身份和對(duì)身份地證實(shí)，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種.（2）訪問控制提供對(duì)越權(quán)使用資源地防御措施.（3）數(shù)據(jù)機(jī)密性針對(duì)信息泄露而采取地防御措施.分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種.（4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等.分為帶恢復(fù)地連接完整性、無恢復(fù)地連接完整性、選擇字段地連接完整性、無連接完整性、選擇字段無連接完整性五種.6ewMy。（5）抗否認(rèn)是針對(duì)對(duì)方否認(rèn)地防范措施，用來證實(shí)發(fā)生過地操作.包括有數(shù)據(jù)原發(fā)證明地抗否認(rèn)和有交付證明地抗否認(rèn)兩種.8．TCP/IP協(xié)議地網(wǎng)絡(luò)安全體系結(jié)構(gòu)地基礎(chǔ)框架是什么？由于OSI參考模型與TCP/IP參考模型之間存在對(duì)應(yīng)關(guān)系，因此可根據(jù)GB/T9387.2-1995地安全體系框架，將各種安全機(jī)制和安全服務(wù)映射到TCP/IP地協(xié)議集中，從而形成一個(gè)基于TCP/IP協(xié)議層次地網(wǎng)絡(luò)安全體系結(jié)構(gòu).kavU4。密鑰分配與管理一、填空題1．密鑰管理地主要內(nèi)容包括密鑰地生成、分配、使用、存儲(chǔ)、備份、恢復(fù)和銷毀.2.密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分散生成.密鑰地分配是指產(chǎn)生并使使用者獲得密鑰地過程.密鑰分配中心地英文縮寫是KDC.二、問答題1.常規(guī)加密密鑰地分配有幾種方案，請(qǐng)對(duì)比一下它們地優(yōu)缺點(diǎn).1.集中式密鑰分配方案由一個(gè)中心節(jié)點(diǎn)或者由一組節(jié)點(diǎn)組成層次結(jié)構(gòu)負(fù)責(zé)密鑰地產(chǎn)生并分配給通信地雙方，在這種方式下，用戶不需要保存大量地會(huì)話密鑰，只需要保存同中心節(jié)點(diǎn)地加密密鑰，用于安全傳送由中心節(jié)點(diǎn)產(chǎn)生地即將用于與第三方通信地會(huì)話密鑰.這種方式缺點(diǎn)是通信量大，同時(shí)需要較好地鑒別功能以鑒別中心節(jié)點(diǎn)和通信方.目前這方面主流技術(shù)是密鑰分配中心KDC技術(shù).我們假定每個(gè)通信方與密鑰分配中心KDC之間都共享一個(gè)惟一地主密鑰，并且這個(gè)惟一地主密鑰是通過其他安全地途徑傳遞.y6v3A。2.分散式密鑰分配方案使用密鑰分配中心進(jìn)行密鑰地分配要求密鑰分配中心是可信任地并且應(yīng)該保護(hù)它免于被破壞.如果密鑰分配中心被第三方破壞，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行通信地所有通信方將不能進(jìn)行正常地安全通信.如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會(huì)話密鑰進(jìn)行進(jìn)信地所有通信方之間地通信信息將被第三方竊聽到M2ub6。4.密鑰地產(chǎn)生需要注意哪些問題?算法地安全性依賴于密鑰，如果用一個(gè)弱地密鑰產(chǎn)生方法，那么整個(gè)系統(tǒng)都將是弱地.DES有56位地密鑰，正常情況下任何一個(gè)56位地?cái)?shù)據(jù)串都能成為密鑰，所以共有256種可能地密鑰.在某些實(shí)現(xiàn)中，僅允許用ASCII碼地密鑰，并強(qiáng)制每一字節(jié)地最高位為零.有地實(shí)現(xiàn)甚至將大寫字母轉(zhuǎn)換成小寫字母.這些密鑰產(chǎn)生程序都使得DES地攻擊難度比正常情況下低幾千倍.因此，對(duì)于任何一種加密方法，其密鑰產(chǎn)生方法都不容忽視.0YujC。大部分密鑰生成算法采用隨機(jī)過程或者偽隨機(jī)過程來生成密鑰.隨機(jī)過程一般采用一個(gè)隨機(jī)數(shù)發(fā)生器，它地輸出是一個(gè)不確定地值.偽隨機(jī)過程一般采用噪聲源技術(shù)，通過噪聲源地功能產(chǎn)生二進(jìn)制地隨機(jī)序列或與之對(duì)應(yīng)地隨機(jī)數(shù).eUts8。5．KDC在密鑰分配過程中充當(dāng)何種角色？KDC在密鑰分配過程中充當(dāng)可信任地第三方.KDC保存有每個(gè)用戶和KDC之間共享地唯一密鑰，以便進(jìn)行分配.在密鑰分配過程中，KDC按照需要生成各對(duì)端用戶之間地會(huì)話密鑰，并由用戶和KDC共享地密鑰進(jìn)行加密，通過安全協(xié)議將會(huì)話密鑰安全地傳送給需要進(jìn)行通信地雙方.sQsAE。數(shù)字簽名與鑒別協(xié)議一、選擇題1.數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理地原因是（C）.A.多一道加密工序使密文更難破譯B.提高密文地計(jì)算速度C.縮小簽名密文地長(zhǎng)度，加快數(shù)字簽名和驗(yàn)證簽名地運(yùn)算速度D.保證密文能正確還原成明文二、填空題數(shù)字簽名是筆跡簽名地模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)地認(rèn)證技術(shù).三、問答題1.數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)地爭(zhēng)端：否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文.偽造，接收方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方.冒充，網(wǎng)絡(luò)上地某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文.篡改，接收方對(duì)收到地信息進(jìn)行篡改.2.請(qǐng)說明數(shù)字簽名地主要流程.數(shù)字簽名通過如下地流程進(jìn)行：(1)采用散列算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度地?cái)?shù)字串，稱為報(bào)文摘要(MessageDigest)，不同地報(bào)文所得到地報(bào)文摘要各異，但對(duì)相同地報(bào)文它地報(bào)文摘要卻是惟一地.在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出地報(bào)文摘要值就會(huì)與原先地值不相符，這樣就保證了報(bào)文地不可更改性.GMsIa。(2)發(fā)送方用目己地私有密鑰對(duì)摘要進(jìn)行加密來形成數(shù)字簽名.(3)這個(gè)數(shù)字簽名將作為報(bào)文地附件和報(bào)文一起發(fā)送給接收方.(4)接收方首先對(duì)接收到地原始報(bào)文用同樣地算法計(jì)算出新地報(bào)文摘要，再用發(fā)送方地公開密鑰對(duì)報(bào)文附件地?cái)?shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方地，否則就認(rèn)為收到地報(bào)文是偽造地或者中途被篡改.TIrRG。3.數(shù)字證書地原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）.每個(gè)用戶設(shè)定一僅為本人所知地私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名.7EqZc。采用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：(1)保證信息是由簽名者自己簽名發(fā)送地，簽名者不能否認(rèn)或難以否認(rèn).(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)地信息是真實(shí)信息.身份認(rèn)證一、選擇題1.Kerberos地設(shè)計(jì)目標(biāo)不包括（B）.A.認(rèn)證B.授權(quán)C.記賬D.審計(jì)2.身份鑒別是安全服務(wù)中地重要一環(huán)，以下關(guān)于身份鑒別敘述不正確地是（B）.A.身份鑒別是授權(quán)控制地基礎(chǔ)B.身份鑒別一般不用提供雙向地認(rèn)證C.目前一般采用基于對(duì)稱密鑰加密或公開密鑰加密地方法D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別地重要機(jī)制3.基于通信雙方共同擁有地但是不為別人知道地秘密，利用計(jì)算機(jī)強(qiáng)大地計(jì)算能力，以該秘密作為加密和解密地密鑰地認(rèn)證是（C）.lzq7I。A.公鑰認(rèn)證B.零知識(shí)認(rèn)證C.共享密鑰認(rèn)證D.口令認(rèn)證5．（C）是一個(gè)對(duì)稱DES加密系統(tǒng)，它使用一個(gè)集中式地專鑰密碼功能，系統(tǒng)地核心是KDC.A.TACACSB.RADIUSC.KerberosD.PKIzvpge。二、填空題身份認(rèn)證是驗(yàn)證信息發(fā)送者是真地，而不是冒充地，包括信源、信宿等地認(rèn)證和識(shí)別.三、問答題解釋身份認(rèn)證地基本概念.身份認(rèn)證是指用戶必須提供他是誰地證明，這種證實(shí)客戶地真實(shí)身份與其所聲稱地身份是否相符地過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制地基礎(chǔ).NrpoJ。身份認(rèn)證是安全系統(tǒng)中地第一道關(guān)卡，識(shí)別身份后，由訪問監(jiān)視器根據(jù)用戶地身份和授權(quán)數(shù)據(jù)庫(kù)決定是否能夠訪問某個(gè)資源.一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)地所有安全措施將形同虛設(shè)，黑客攻擊地目標(biāo)往往就是身份認(rèn)證系統(tǒng).1nowf。2.單機(jī)狀態(tài)下驗(yàn)證用戶身份地三種因素是什么？（1）用戶所知道地東西：如口令、密碼.（2）用戶所擁有地東西：如智能卡、身份證.（3）用戶所具有地生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等.3.有哪兩種主要地存儲(chǔ)口令地方式，各是如何實(shí)現(xiàn)口令驗(yàn)證地？1.直接明文存儲(chǔ)口令有很大風(fēng)險(xiǎn)，只要得到了存儲(chǔ)口令地?cái)?shù)據(jù)庫(kù)，就可以得到全體人員地口令.比如攻擊者可以設(shè)法得到一個(gè)低優(yōu)先級(jí)地帳號(hào)和口令，進(jìn)入系統(tǒng)后得到明文存儲(chǔ)口令地文件，這樣他就可以得到全體人員地口令.fjnFL。2.Hash散列存儲(chǔ)口令散列函數(shù)地目地是為文件、報(bào)文或其他分組數(shù)據(jù)產(chǎn)生“指紋”.對(duì)于每一個(gè)用戶，系統(tǒng)存儲(chǔ)帳號(hào)和散列值對(duì)在一個(gè)口令文件中，當(dāng)用戶登錄時(shí)，用戶輸入口令x，系統(tǒng)計(jì)算F(x)，然后與口令文件中相應(yīng)地散列值進(jìn)行比對(duì)，成功即允許登錄.tfnNh。5.使用口令進(jìn)行身份認(rèn)證地優(yōu)缺點(diǎn)？?jī)?yōu)點(diǎn)在于黑客即使得到了口令文件，通過散列值想要計(jì)算出原始口令在計(jì)算上也是不可能地，這就相對(duì)增加了安全性.HbmVN。嚴(yán)重地安全問題（單因素地認(rèn)證），安全性僅依賴于口令，而且用戶往往選擇容易記憶、容易被猜測(cè)地口令（安全系統(tǒng)最薄弱地突破口），口令文件也可被進(jìn)行離線地字典式攻擊.6.利用智能卡進(jìn)行地雙因素地認(rèn)證方式地原理是什么？智能卡具有硬件加密功能，有較高地安全性.每個(gè)用戶持有一張智能卡，智能卡存儲(chǔ)用戶個(gè)性化地秘密信息，同時(shí)在驗(yàn)證服務(wù)器中也存放該秘密信息.進(jìn)行認(rèn)證時(shí)，用戶輸入PIN（個(gè)人身份識(shí)別碼），智能卡認(rèn)證PIN，成功后，即可讀出智能卡中地秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證.V7l4j。雙因素地認(rèn)證方式（PIN+智能卡），即使PIN或智能卡被竊取，用戶仍不會(huì)被冒充.智能卡提供硬件保護(hù)措施和加密算法，可以利用這些功能加強(qiáng)安全性能.83lcP。7.有哪些生物特征可以作為身份認(rèn)證地依據(jù)，這種認(rèn)證地過程是怎樣地？以人體唯一地、可靠地、穩(wěn)定地生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計(jì)算機(jī)強(qiáng)大地計(jì)算功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖象處理和模式識(shí)別.該技術(shù)具有很好地安全性、可靠性和有效性.mZkkl。所有地工作有4個(gè)步驟：抓圖、抽取特征、比較和匹配.生物捕捉系統(tǒng)捕捉到生物特征地樣品，唯一地特征將會(huì)被提取并且被轉(zhuǎn)化成數(shù)字符號(hào)，這些符號(hào)被存成那個(gè)人地特征摸板，人們同識(shí)別系統(tǒng)交互進(jìn)行身份認(rèn)證，以確定匹配或不匹配AVktR。授權(quán)與訪問控制一、選擇題1.訪問控制是指確定（A）以及實(shí)施訪問權(quán)限地過程.A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利C.可被用戶訪問地資源D.系統(tǒng)是否遭受入侵2.下列對(duì)訪問控制影響不大地是（D）.A.主體身份B.客體身份C.訪問類型D.主體與客體地類型3.為了簡(jiǎn)化管理，通常對(duì)訪問者（A），以避免訪問控制表過于龐大.A.分類組織成組B.嚴(yán)格限制數(shù)量C.按訪問時(shí)間排序，刪除長(zhǎng)期沒有訪問地用戶D.不作任何限制二、填空題訪問控制地目地是為了限制訪問主體對(duì)訪問客體地訪問權(quán)限.三、問答題解釋訪問控制地基本概念.訪問控制是建立在身份認(rèn)證基礎(chǔ)上地，通過限制對(duì)關(guān)鍵資源地訪問，防止非法用戶地侵入或因?yàn)楹戏ㄓ脩舻夭簧鞑僮鞫斐傻仄茐?ORjBn。訪問控制地目地：限制主體對(duì)訪問客體地訪問權(quán)限（安全訪問策略），從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用.2.訪問控制有幾種常用地實(shí)現(xiàn)方法？它們各有什么特點(diǎn)？1訪問控制矩陣行表示客體（各種資源），列表示主體（通常為用戶），行和列地交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體地訪問權(quán)限.通常一個(gè)文件地Own權(quán)限表示可以授予（Authorize）或撤消（Revoke）其他用戶對(duì)該文件地訪問控制權(quán)限.2MiJT。2訪問能力表實(shí)際地系統(tǒng)中雖然可能有很多地主體與客體，但兩者之間地權(quán)限關(guān)系可能并不多.為了減輕系統(tǒng)地開銷與浪費(fèi)，我們可以從主體（行）出發(fā)，表達(dá)矩陣某一行地信息，這就是訪問能力表（Capabilities）.gIiSp。只有當(dāng)一個(gè)主體對(duì)某個(gè)客體擁有訪問地能力時(shí)，它才能訪問這個(gè)客體.但是要從訪問能力表獲得對(duì)某一特定客體有特定權(quán)限地所有主體就比較困難.在一個(gè)安全系統(tǒng)中，正是客體本身需要得到可靠地保護(hù)，訪問控制服務(wù)也應(yīng)該能夠控制可訪問某一客體地主體集合，于是出現(xiàn)了以客體為出發(fā)點(diǎn)地實(shí)現(xiàn)方式——ACL.uEh0U。3訪問控制表也可以從客體（列）出發(fā)，表達(dá)矩陣某一列地信息，這就是訪問控制表（AccessControlList）.它可以對(duì)某一特定資源指定任意一個(gè)用戶地訪問權(quán)限，還可以將有相同權(quán)限地用戶分組，并授予組地訪問權(quán).IAg9q。4授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRelations）地每一行表示了主體和客體地一個(gè)授權(quán)關(guān)系.對(duì)表按客體進(jìn)行排序，可以得到訪問控制表地優(yōu)勢(shì)；對(duì)表按主體進(jìn)行排序，可以得到訪問能力表地優(yōu)勢(shì).適合采用關(guān)系數(shù)據(jù)庫(kù)來實(shí)現(xiàn).WwghW。3.訪問控制表ACL有什么優(yōu)缺點(diǎn)？ACL地優(yōu)點(diǎn)：表述直觀、易于理解，比較容易查出對(duì)某一特定資源擁有訪問權(quán)限地所有用戶，有效地實(shí)施授權(quán)管理.asfps。ACL應(yīng)用到規(guī)模大地企業(yè)內(nèi)部網(wǎng)時(shí)，有問題：（1）網(wǎng)絡(luò)資源很多，ACL需要設(shè)定大量地表項(xiàng)，而且修改起來比較困難，實(shí)現(xiàn)整個(gè)組織范圍內(nèi)一致地控制政策也比較困難.（2）單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜地安全政策.4.有哪幾種訪問控制策略？三種不同地訪問控制策略：自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色地訪問控制（RBAC），前兩種屬于傳統(tǒng)地訪問控制策略，而RBAC是90年代后期出現(xiàn)地，有很大地優(yōu)勢(shì)，所以發(fā)展很快.ooeyY。每種策略并非是絕對(duì)互斥地，我們可以把幾種策略綜合起來應(yīng)用從而獲得更好、更安全地系統(tǒng)保護(hù)——多重地訪問控制策略.BkeGu。PKI技術(shù)一、選擇題1.PKI支持地服務(wù)不包括（D）.A.非對(duì)稱密鑰技術(shù)及證書管理B.目錄服務(wù)C.對(duì)稱密鑰地產(chǎn)生和分發(fā)D.訪問控制服務(wù)2.PKI地主要組成不包括（B）.A.證書授權(quán)CAB.SSLC.注冊(cè)授權(quán)RAD.證書存儲(chǔ)庫(kù)CR3.PKI管理對(duì)象不包括（A）.A.ID和口令B.證書C.密鑰D.證書撤消4.下面不屬于PKI組成部分地是（D）.A.證書主體B.使用證書地應(yīng)用和系統(tǒng)C.證書權(quán)威機(jī)構(gòu)D.ASPKI能夠執(zhí)行地功能是（A）和（C）.A.鑒別計(jì)算機(jī)消息地始發(fā)者B.確認(rèn)計(jì)算機(jī)地物理位置C.保守消息地機(jī)密D.確認(rèn)用戶具有地安全性特權(quán)二、問答題1.為什么說在PKI中采用公鑰技術(shù)地關(guān)鍵是如何確認(rèn)某個(gè)人真正地公鑰？如何確認(rèn)？信息地可認(rèn)證性是信息安全地一個(gè)重要方面.認(rèn)證地目地有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者地真實(shí)性，確認(rèn)他沒有被冒充；另一個(gè)是驗(yàn)證信息地完整性，確認(rèn)被驗(yàn)證地信息在傳遞或存儲(chǔ)過程中沒有被篡改、重組或延遲.PgdO0。在認(rèn)證體制中，通常存在一個(gè)可信地第三方，用于仲裁、頒發(fā)證書和管理某些機(jī)密信息.公鑰密碼技術(shù)可以提供網(wǎng)絡(luò)中信息安全地全面解決方案.采用公鑰技術(shù)地關(guān)鍵是如何確認(rèn)某個(gè)人真正地公鑰.在PKI中，為了確保用戶及他所持有密鑰地正確性，公開密鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立地第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心(CA)，來確認(rèn)聲稱擁有公開密鑰地人地真正身份.3cdXw。要確認(rèn)一個(gè)公共密鑰，CA首先制作一張“數(shù)字證書”，它包含用戶身份地部分信息及用戶所持有地公開密鑰，然后CA利用本身地私鑰為數(shù)字證書加上數(shù)字簽名.h8c52。任何想發(fā)放自己公鑰地用戶，可以去認(rèn)證中心(CA)申請(qǐng)自己地證書.CA中心在認(rèn)證該人地真實(shí)身份后，頒發(fā)包含用戶公鑰地?cái)?shù)字證書，它包含用戶地真實(shí)身份、并證實(shí)用戶公鑰地有效期和作用范圍(用于交換密鑰還是數(shù)字簽名).其他用戶只要能驗(yàn)證證書是真實(shí)地，并且信任頒發(fā)證書地CA，就可以確認(rèn)用戶地公鑰.v4bdy。2.什么是數(shù)字證書？現(xiàn)有地?cái)?shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名地包含公開密鑰擁有者信息以及公開密鑰地文件.認(rèn)證中心(CA)作為權(quán)威地、可信賴地、公正地第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù).認(rèn)證中心頒發(fā)地?cái)?shù)字證書均遵循X.509V3標(biāo)準(zhǔn).X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受.X.509證書已應(yīng)用于許多網(wǎng)絡(luò)安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME.J0bm4。3.X.509規(guī)范中是如何定義實(shí)體A信任實(shí)體B地？在PKI中信任又是什么具體含義？X.509規(guī)范中給出了適用于我們目標(biāo)地定義：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望地那樣行動(dòng)，則A信任B.在PKI中，我們可以把這個(gè)定義具體化為：如果一個(gè)用戶假定CA可以把任一公鑰綁定到某個(gè)實(shí)體上，則他信任該CA.5.簡(jiǎn)述認(rèn)證機(jī)構(gòu)地嚴(yán)格層次結(jié)構(gòu)模型地性質(zhì)？層次結(jié)構(gòu)中地所有實(shí)體都信任惟一地根CA.在認(rèn)證機(jī)構(gòu)地嚴(yán)格層次結(jié)構(gòu)中，每個(gè)實(shí)體(包括中介CA和終端實(shí)體)都必須擁有根CA地公鑰，該公鑰地安裝是在這個(gè)模型中為隨后進(jìn)行地所有通信進(jìn)行證書處理地基礎(chǔ)，因此，它必須通過一種安全（帶外）地方式來完成.XVauA。值得注意地是，在一個(gè)多層地嚴(yán)格層次結(jié)構(gòu)中．終端實(shí)體直接被其上層地CA認(rèn)證(也就是頒發(fā)證書)，但是它們地信任錨是另一個(gè)不同地CA(根CA).bR9C6。6.Web信任模型有哪些安全隱患？Web模型在方便性和簡(jiǎn)單互操作性方面有明顯地優(yōu)勢(shì)，但是也存在許多安全隱患.例如，因?yàn)闉g覽器地用戶自動(dòng)地信任預(yù)安裝地所有公鑰，所以即使這些根CA中有一個(gè)是“壞地”(例如，該CA從沒有認(rèn)真核實(shí)被認(rèn)證地實(shí)體)，安全性將被完全破壞.pN9LB。另外一個(gè)潛在地安全隱患是沒有實(shí)用地機(jī)制來撤消嵌入到瀏覽器中地根密鑰.如果發(fā)現(xiàn)一個(gè)根密鑰是“壞地”(就像前而所討論地那樣)或者與根地公鑰相應(yīng)地私鑰被泄密了，要使全世界數(shù)百萬個(gè)瀏覽器都自動(dòng)地廢止該密鑰地使用是不可能地.DJ8T7。7.以用戶為中心地信任模型是怎樣實(shí)現(xiàn)信任關(guān)系地？哪個(gè)實(shí)際系統(tǒng)是使用這種模型地？PGP最能說明以用戶為中心地信任模型，在PGP中，一個(gè)用戶通過擔(dān)當(dāng)CA（簽署其他實(shí)體地公鑰）并使其公鑰被其他人所認(rèn)證來建立（或參加）所謂地信任網(wǎng)（WebofTrust）.QF81D。例如，當(dāng)A1ice收到一個(gè)據(jù)稱屬于Bob地證書時(shí)，她將發(fā)現(xiàn)這個(gè)證書是由她不認(rèn)識(shí)地David簽署地，但是David地證書是由她認(rèn)識(shí)并且信任地Catherine簽署地.在這種情況下，Alice可以決定信任Bob地密鑰（即信任從Catherine到David再到Bob地密鑰鏈），也可以決定不信任Bob地密鑰（認(rèn)為“未知地”Bob與“已知地”Catherine之間地“距離大遠(yuǎn)”）.4B7a9。因?yàn)橐蕾囉谟脩糇陨淼匦袨楹蜎Q策能力，因此以用戶為中心地模型在技術(shù)水平較高和利害關(guān)系高度一致地群體中是可行地，但是在一般地群體（它地許多用戶有極少或者沒有安全及PKI地概念）中是不現(xiàn)實(shí)地.ix6iF。10.構(gòu)造證書庫(kù)地最佳方法是什么？證書庫(kù)是證書地集中存放地，是網(wǎng)上地一種公共信息庫(kù)，用戶可以從此處獲得其他用戶地證書和公鑰.構(gòu)造證書庫(kù)地最佳方法是采用支持LDAP協(xié)議地目錄系統(tǒng)，用戶或相關(guān)地應(yīng)用通過LDAP來訪問證書庫(kù).系統(tǒng)必須確保證書庫(kù)地完整性，防止偽造、篡改證書.wt6qb。11.掌握證書管理有哪3個(gè)階段組成，每個(gè)階段包括哪些具體內(nèi)容？1證書管理（1）初始化階段1.終端實(shí)體注冊(cè)終端實(shí)體注冊(cè)是單個(gè)用戶或進(jìn)程地身份被建立和驗(yàn)證地過程.注冊(cè)過程能夠通過不同地方法來實(shí)現(xiàn)，圖示說明了一個(gè)實(shí)體初始化包括一個(gè)RA和一個(gè)CA地可能地方案（注意RA部件根本不存在地其他可能方案也是可用地）.終端實(shí)體注冊(cè)是在線執(zhí)行地，是用注冊(cè)表格地交換來說明地.注冊(cè)過程一般要求包括將一個(gè)或更多地共享秘密賦給終端實(shí)體以便后來在初始化過程中CA確認(rèn)那個(gè)個(gè)體.Kp5zH。2.密鑰對(duì)產(chǎn)生密鑰資料可以在終端實(shí)體注冊(cè)過程之前或直接響應(yīng)終端實(shí)體注冊(cè)過程時(shí)產(chǎn)生.在RA中或在CA中產(chǎn)生密鑰資料是可能地.每個(gè)終端實(shí)體多個(gè)密鑰可以被用做支持分離地和截然不同地服務(wù).例如，一個(gè)密鑰對(duì)可以被用作支持不可否認(rèn)性服務(wù)而另一個(gè)密鑰對(duì)可以被用作支持機(jī)密性或密鑰管理功能（雙密鑰對(duì)模型）.Yl4Hd。3.證書創(chuàng)建和密鑰/證書分發(fā)無論密鑰在哪里產(chǎn)生，證書創(chuàng)建地職責(zé)都將單獨(dú)地落在被授權(quán)地CA上.如果公鑰是被終端實(shí)體而不是CA所產(chǎn)生地，那么該公鑰必須被安全地傳送到CA以便其能夠被放入證書.ch4PJ。一旦密鑰資料和相關(guān)地證書已經(jīng)被產(chǎn)生，它們必須被適當(dāng)分發(fā).請(qǐng)求證書和從可信實(shí)體（即CA）取回證書（以及相關(guān)地密鑰，如果適用地話）地必要條件是要求一個(gè)安全協(xié)議機(jī)制.qd3Yf。4.證書分發(fā)如果私鑰和相應(yīng)地公鑰證書已經(jīng)被分發(fā)，那么有一種或多種傳送給另一個(gè)實(shí)體地方法：?帶外分發(fā)；?在一個(gè)公眾地資料庫(kù)或數(shù)據(jù)庫(kù)中公布，以使查詢和在線檢索簡(jiǎn)便；?帶內(nèi)協(xié)議分發(fā)，例如，包括帶有安全E-mail報(bào)文地適用地驗(yàn)證證書.被用做數(shù)字簽名目地地證書可以僅需要分發(fā)給它們地所有者，被用做機(jī)密性目地地證書對(duì)于發(fā)信方必須是容易獲得地.E836L。5.密鑰備份和托管一定比例地加密密鑰將因?yàn)樵S多原因（忘記密碼、磁盤被破壞、失常地智能卡或雇員被解雇）使這些密鑰地所有者無法訪問，這就需要事先進(jìn)行密鑰備份.S42eh。密鑰托管是指把一個(gè)秘密地密鑰或私鑰交由第三方保管，這樣做地問題是哪些密鑰應(yīng)委托保管以及誰是可以信任地第三方（政府？）.501nN。（2）頒布階段1.證書檢索證書檢索與訪問一個(gè)終端實(shí)體證書地能力有關(guān).檢索一個(gè)終端實(shí)體證書地需求可能被兩個(gè)不同地使用要求所驅(qū)動(dòng).?加密發(fā)給其他實(shí)體地?cái)?shù)據(jù)地需求；?驗(yàn)證一個(gè)從另一個(gè)實(shí)體收到地?cái)?shù)字簽名地需求.2.證書驗(yàn)證證書驗(yàn)證與評(píng)估一個(gè)給定證書地合法性和證書頒發(fā)者地可信賴性有關(guān).證書驗(yàn)證是在基于那個(gè)證書被準(zhǔn)許加密操作之前進(jìn)行地.jW1vi。3.密鑰恢復(fù)密鑰管理生命周期包括從遠(yuǎn)程備份設(shè)施（如可信密鑰恢復(fù)中心或CA）中恢復(fù)私有加密密鑰地能力.密鑰地恢復(fù)能使PKI管理員和終端用戶地負(fù)擔(dān)減至最小，這個(gè)過程必須盡可能最大程度自動(dòng)化.xS0DO。4.密鑰更新當(dāng)證書被頒發(fā)時(shí)，其被賦與一個(gè)固定地生存期.當(dāng)證書“接近”過期時(shí)，必須頒發(fā)一個(gè)新地公/私鑰和相關(guān)證書，這被稱為密鑰更新.應(yīng)該允許一個(gè)合理地轉(zhuǎn)變時(shí)間使依托方取得新證書，從而避免與過期證書所有有關(guān)地服務(wù)中斷.這個(gè)過程是自動(dòng)地，并對(duì)終端用戶完全透明.LOZMk。（3）取消階段1.證書過期證書在頒布時(shí)被賦與一個(gè)固定地生存期，在其被建立地有效期結(jié)束后，證書將會(huì)過期.當(dāng)一個(gè)證書過期后，與該證書有關(guān)地終端實(shí)體可能發(fā)生三件事：ZKZUQ。?沒有活動(dòng)：終端實(shí)體不在參加PKI；?證書恢復(fù)：相同地公鑰被加入新有效期地新證書（當(dāng)與最初證書地頒布有關(guān)地環(huán)境沒有變化時(shí)使用，并且它仍然認(rèn)為是可靠地）；dGY2m。?證書更新：一個(gè)新地公/私鑰對(duì)被產(chǎn)生，并且一個(gè)新地證書被頒發(fā).2.證書撤消在證書自然過期之前對(duì)給定證書地即時(shí)取消（可疑地密鑰損害、作業(yè)狀態(tài)地變化或者雇傭終止等）.一個(gè)終端用戶個(gè)人可以親自初始化自己地證書撤消（例如由于相應(yīng)私有密鑰地可疑損害）.RA可以代表終端用戶被用做初始化證書撤消.經(jīng)授權(quán)地管理者也可以有能力撤消終端實(shí)體地證書.rCYbS。3.密鑰歷史由于機(jī)密性加密密鑰最后要過期，因此可靠安全地存儲(chǔ)用做解密地私有密鑰是必須地，這被稱作密鑰歷史，否則無法恢復(fù).FyXjo。4.密鑰檔案可靠地保存已經(jīng)過期地用于驗(yàn)證數(shù)字簽名地公鑰，以便對(duì)歷史文檔地?cái)?shù)字簽名進(jìn)行驗(yàn)證.12.什么是X.500目錄服務(wù)？X.500是一種CCITT針對(duì)已經(jīng)被ISO接受地目錄服務(wù)系統(tǒng)地建議，它定義了一個(gè)機(jī)構(gòu)如何在一個(gè)企業(yè)地全局范圍內(nèi)共享名字和與它們相關(guān)地對(duì)象.TuWrU。一個(gè)完整地X.500系統(tǒng)稱為一個(gè)“目錄”，X.500是層次性地，其中地管理性域(機(jī)構(gòu)、分支、部門和工作組)可以提供這些域內(nèi)地用戶和資源地信息.它被認(rèn)為是實(shí)現(xiàn)一個(gè)目錄服務(wù)地最好途徑.7qWAq。X.500目錄服務(wù)是一種用于開發(fā)一個(gè)單位內(nèi)部人員目錄地標(biāo)準(zhǔn)方法，這個(gè)目錄可以成為全球目錄地一部分，任何人都可以查詢這個(gè)單位中人員地信息.這個(gè)目錄有一個(gè)樹型結(jié)構(gòu)：國(guó)家，單位(或組織)，部門和個(gè)人.一個(gè)知名和最大地X.500目錄是用于管理域名注冊(cè)地InterNIC.llVIW。X.500目錄服務(wù)可以向需要訪問網(wǎng)絡(luò)任何地方資源地電子函件系統(tǒng)和應(yīng)用，或需要知道在網(wǎng)絡(luò)上地實(shí)體名字和地點(diǎn)地管理系統(tǒng)提供信息.這個(gè)目錄是一個(gè)目錄信息數(shù)據(jù)庫(kù)(DIB).yhUQs。13.什么是X.509方案，它是如何實(shí)現(xiàn)數(shù)字簽名地？X.509是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案——X.509公共密鑰證書，在X.509方案中，默認(rèn)地加密體制是公鑰密碼體制.MdUZY。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字簽名地方案.用戶可生成一段信息及其摘要(指紋).用戶用專用密鑰對(duì)摘要加密以形成簽名，接收者用發(fā)送者地公共密鑰對(duì)簽名解密，并將之與收到地信息“指紋”進(jìn)行比較，以確定其真實(shí)性.09T7t。15.X.500和LDAP有什么聯(lián)系和區(qū)別？LDAP協(xié)議基于X.500標(biāo)準(zhǔn)，但是比較簡(jiǎn)單，并且可以根據(jù)需要定制，LDAP支持TCP/IP.在企業(yè)范圍內(nèi)實(shí)現(xiàn)LDAP可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上地所有地應(yīng)用程序從LDAP目錄中獲取信息（電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密鑰、聯(lián)系人列表）.e5TfZ。16.實(shí)施PKI地過程中產(chǎn)生了哪些問題，如何解決？首先是實(shí)施地問題，PKI定義了嚴(yán)格地操作協(xié)議和信任層次關(guān)系.任何向CA申請(qǐng)數(shù)字證書地人必須經(jīng)過線下(offline)地身份驗(yàn)證(通常由RA完成)，這種身份驗(yàn)證工作很難擴(kuò)展到整個(gè)Internet范圍，因此，現(xiàn)今構(gòu)建地PKI系統(tǒng)都局限在一定范圍內(nèi)，這造成了PKI系統(tǒng)擴(kuò)展問題.s1Sov。由于不同PKI系統(tǒng)都定義了各自地信任策略，在進(jìn)行互相認(rèn)證地時(shí)候，為了避免由于信任策略不同而產(chǎn)生地問題，普遍地做法是忽略信任策略.這樣，本質(zhì)上是管理Internet上地信任關(guān)系地PKI就僅僅起到身份驗(yàn)證地作用了.GXRw1。提出用PMI解決.17．什么是證書鏈？根CA證書由誰簽發(fā)？由于一個(gè)公鑰用戶擁有地可信證書管理中心數(shù)量有限，要與大量不同管理域地用戶建立安全通信需要CA建立信任關(guān)系，這樣就要構(gòu)造一個(gè)證書鏈.證書鏈?zhǔn)亲畛Ｓ玫赜糜隍?yàn)證實(shí)體它地公鑰之間地綁定地方法.一個(gè)證書鏈一般是從根CA證書開始，前一個(gè)證書主體是后一個(gè)證書地簽發(fā)者.也就是說，該主題對(duì)后一個(gè)證書進(jìn)行了簽名.而根CA證書是由根自己簽發(fā)地.UTREx。18．?dāng)⑹龌赬.509數(shù)字證書在PKI中地作用.X.509數(shù)字證書是各實(shí)體在網(wǎng)絡(luò)中地身份證明，它證書了實(shí)體所聲明地身份與其公鑰地匹配關(guān)系.從公鑰管理地機(jī)制講，數(shù)字證書是非對(duì)稱密碼體制中密鑰管理地媒介.即在非對(duì)稱密碼體制中，公鑰地分發(fā)、傳送是通過數(shù)字證書來實(shí)現(xiàn)地.通過數(shù)字證書，可以提供身份地認(rèn)證與識(shí)別，完整性、保密性和不可否認(rèn)等安全服務(wù).8PQN3。電子郵件地安全一、問答題1.電子郵件存在哪些安全性問題？1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動(dòng)郵件等.垃圾郵件會(huì)增加網(wǎng)絡(luò)負(fù)荷，影響網(wǎng)絡(luò)傳輸速度，占用郵件服務(wù)器地空間.mLPVz。2）詐騙郵件通常指那些帶有惡意地欺詐性郵件.利用電子郵件地快速、便宜，發(fā)信人能迅速讓大量受害者上當(dāng).3）郵件炸彈指在短時(shí)間內(nèi)向同一信箱發(fā)送大量電子郵件地行為，信箱不能承受時(shí)就會(huì)崩潰.4）通過電子郵件傳播地病毒通常用VBScript編寫，且大多數(shù)采用附件地形式夾帶在電子郵件中.當(dāng)收信人打開附件后，病毒會(huì)查詢他地通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴(kuò)散.AHP35。端到端地安全電子郵件技術(shù)，能夠保證郵件從發(fā)出到接收地整個(gè)過程中地哪三種安全性？端到端地安全電子郵件技術(shù)，保證郵件從被發(fā)出到被接收地整個(gè)過程中，內(nèi)容保密、無法修改、并且不可否認(rèn).目前地Internet上，有兩套成型地端到端安全電子郵件標(biāo)準(zhǔn)：PGP和S/MIME.它一般只對(duì)信體進(jìn)行加密和簽名，而信頭則由于郵件傳輸中尋址和路由地需要，必須保證原封不動(dòng).NDOcB。為什么PGP在加密明文之前先壓縮它？PGP內(nèi)核使用Pkzip算法來壓縮加密前地明文.一方面對(duì)電子郵件而言，壓縮后加密再經(jīng)過7位編碼密文有可能比明文更短，這就節(jié)省了網(wǎng)絡(luò)傳輸?shù)貢r(shí)間.另一方面，經(jīng)過壓縮地明文，實(shí)際上相當(dāng)于多經(jīng)過了一次變換，信息更加雜亂無章，能更強(qiáng)地抵御攻擊.1zOk7。在服務(wù)器端和用戶端各有哪些方式防范垃圾郵件？在服務(wù)器端，應(yīng)該設(shè)置發(fā)信人身份認(rèn)證，以防止自己地郵件服務(wù)器被選做垃圾郵件地傳遞者.現(xiàn)在包括不少國(guó)內(nèi)知名電子郵件提供者在內(nèi)地諸多郵件服務(wù)器被國(guó)外地拒絕垃圾郵件組織列為垃圾郵件來源.結(jié)果是：所有來自該服務(wù)器地郵件全部被拒收!fuNsD。在用戶端，防范垃圾郵件有如下方式：1）不隨便公開自己地電子郵件地址，防止其被收入垃圾郵件地發(fā)送地址列表.因?yàn)橛泻芏嘬浖梢宰詣?dòng)收集這些新聞組文章或者論壇中出現(xiàn)過地電子郵件地址.一旦被收入這些tqMB9。垃圾郵件地地址列表中，一些不懷好意地收集者將出售這些電子郵件地址牟利，然后，很不幸地，這個(gè)地址將可能源源不斷地收到各種垃圾郵件.HmMJF。2）盡量采用轉(zhuǎn)發(fā)地方式收信，避免直接使用ISP提供地信箱.申請(qǐng)一個(gè)轉(zhuǎn)發(fā)信箱地址，結(jié)合垃圾郵件過濾，然后再轉(zhuǎn)發(fā)到自己地真實(shí)信箱.實(shí)踐證明，這地確是一個(gè)非常有效地方法.只有結(jié)合使用地址過濾和字符串特征過濾才能取得最好地過濾效果.ViLRa。不要回復(fù)垃圾郵件，這是一個(gè)誘人進(jìn)一步上當(dāng)?shù)鼗ㄕ?Web與電子商務(wù)地安全一、選擇題1.SSL產(chǎn)生會(huì)話密鑰地方式是（C）.A.從密鑰管理數(shù)據(jù)庫(kù)中請(qǐng)求獲得B.每一臺(tái)客戶機(jī)分配一個(gè)密鑰地方式C.隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并分配給客戶機(jī)2.（C）屬于Web中使用地安全協(xié)議.A.PEM、SSLB.S-HTTP、S/MIMEC.SSL、S-HTTPD.S/MIME、SSL3.傳輸層保護(hù)地網(wǎng)絡(luò)采用地主要技術(shù)是建立在（A）基礎(chǔ)上地（A）.A.可靠地傳輸服務(wù)，安全套接字層SSL協(xié)議B.不可靠地傳輸服務(wù)，S-HTTP協(xié)議C.可靠地傳輸服務(wù)，S-HTTP協(xié)議D.不可靠地傳輸服務(wù)，安全套接字層SSL協(xié)議二、問答題9、什么是SET電子錢包？SET交易發(fā)生地先決條件是，每個(gè)持卡人(客戶)必須擁有一個(gè)惟一地電子(數(shù)字)證書，且由客戶確定口令，并用這個(gè)口令對(duì)數(shù)字證書、私鑰、信用卡號(hào)碼及其他信息進(jìn)行加密存儲(chǔ)，這些與符合SET協(xié)議地軟件一起組成了一個(gè)SET電子錢包.9eK0G。10、簡(jiǎn)述一個(gè)成功地SET交易地標(biāo)準(zhǔn)流程.(1)客戶在網(wǎng)上商店選中商品并決定使用電子錢包付款，商家服務(wù)器上地POS軟件發(fā)報(bào)文給客戶地瀏覽器要求電子錢包付款.naK8c。(2)電子錢包提示客戶輸入口令后與商家服務(wù)器交換“握手”消息，確認(rèn)客戶、商家均為合法，初始化支付請(qǐng)求和支付響應(yīng).B6JgI。(3)客戶地電子錢包形成一個(gè)包含購(gòu)買訂單、支付命令(內(nèi)含加密了地客戶信用卡號(hào)碼)地報(bào)文發(fā)送給商家.(4)商家POS軟件生成授權(quán)請(qǐng)求報(bào)文(內(nèi)含客戶地支付命令)，發(fā)給收單銀行地支付網(wǎng)關(guān).(5)支付網(wǎng)關(guān)在確認(rèn)客戶信用卡沒有超過透支額度地情況下，向商家發(fā)送一個(gè)授權(quán)響應(yīng)報(bào)文.(6)商家向客戶地電子錢包發(fā)送一個(gè)購(gòu)買響應(yīng)報(bào)文，交易結(jié)束，客戶等待商家送貨上防火墻技術(shù)一、選擇題1.一般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)地（C）.A.內(nèi)部子網(wǎng)之間傳送信息地中樞B.每個(gè)子網(wǎng)地內(nèi)部C.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)地交叉點(diǎn)D.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)地結(jié)合處2.包過濾型防火墻原理上是基于（C）進(jìn)行分析地技術(shù).A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.應(yīng)用層3.為了降低風(fēng)險(xiǎn)，不建議使用地Internet服務(wù)是（D）.A.Web服務(wù)B.外部訪問內(nèi)部系統(tǒng)C.內(nèi)部訪問InternetD.FTP服務(wù)4.對(duì)非軍事DMZ而言，正確地解釋是（D）.A.DMZ是一個(gè)真正可信地網(wǎng)絡(luò)部分B.DMZ網(wǎng)絡(luò)訪問控制策略決定允許或禁止進(jìn)入DMZ通信C.允許外部用戶訪問DMZ系統(tǒng)上合適地服務(wù)D.以上3項(xiàng)都是5.對(duì)動(dòng)態(tài)網(wǎng)絡(luò)地址交換（NAT），不正確地說法是（B）.A.將很多內(nèi)部地址映射到單個(gè)真實(shí)地址B.外部網(wǎng)絡(luò)地址和內(nèi)部地址一對(duì)一地映射C.最多可有64000個(gè)同時(shí)地動(dòng)態(tài)NAT連接D.每個(gè)連接使用一個(gè)端口以下（D）不是包過濾防火墻主要過濾地信息？A.源IP地址B.目地IP地址C.TCP源端口和目地端口D.時(shí)間防火墻用于將Internet和內(nèi)部網(wǎng)絡(luò)隔離，（B）.A.是防止Internet火災(zāi)地硬件設(shè)施B.是網(wǎng)絡(luò)安全和信息安全地軟件和硬件設(shè)施C.是保護(hù)線路不受破壞地軟件和硬件設(shè)施D.是起抗電磁干擾作用地硬件設(shè)施二、填空題防火墻是位于兩個(gè)網(wǎng)絡(luò)之間，一端是內(nèi)部網(wǎng)絡(luò)，另一端是外部網(wǎng)絡(luò).防火墻系統(tǒng)地體系結(jié)構(gòu)分為雙宿主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu).三、問答題1.什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)地內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)地訪問以及管理內(nèi)部用戶訪問Internet地權(quán)限.換言之，一個(gè)防火墻在一個(gè)被認(rèn)為是安全和可信地內(nèi)部網(wǎng)絡(luò)和一個(gè)被認(rèn)為是不那么安全和可信地外部網(wǎng)絡(luò)(通常是Internet)之間提供一個(gè)封鎖工具.P2Ipe。如果沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)地安全性完全依賴于每個(gè)主機(jī)，因此，所有地主機(jī)都必須達(dá)到一致地高度安全水平，這在實(shí)際操作時(shí)非常困難.而防火墻被設(shè)計(jì)為只運(yùn)行專用地訪問控制軟件地設(shè)備，沒有其他地服務(wù)，因此也就意味著相對(duì)少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會(huì)使內(nèi)部網(wǎng)絡(luò)更加安全.3YIxK。防火墻所遵循地原則是在保證網(wǎng)絡(luò)暢通地情況下，盡可能保證內(nèi)部網(wǎng)絡(luò)地安全.它是一種被動(dòng)地技術(shù)，是一種靜態(tài)安全部件.gUHFg。2.防火墻應(yīng)滿足地基本條件是什么？作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制地一組組件地集合，防火墻應(yīng)滿足地基本條件如下：(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間地所有數(shù)據(jù)流必須經(jīng)過防火墻.(2)只有符合安全策略地?cái)?shù)據(jù)流才能通過防火墻.(3)防火墻自身具有高可靠性，應(yīng)對(duì)滲透(Penetration)免疫，即它本身是不可被侵入地.3.列舉防火墻地幾個(gè)基本功能？(1)隔離不同地網(wǎng)絡(luò)，限制安全問題地?cái)U(kuò)散，對(duì)安全集中管理，簡(jiǎn)化了安全管理地復(fù)雜程度.(2)防火墻可以方便地記錄網(wǎng)絡(luò)上地各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)地安全性，遇到緊急情況報(bào)警.(3)防火墻可以作為部署NAT地地點(diǎn)，利用NAT技術(shù)，將有限地IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部地IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺地問題或者隱藏內(nèi)部網(wǎng)絡(luò)地結(jié)構(gòu).uQHOM。(4)防火墻是審計(jì)和記錄Internet使用費(fèi)用地一個(gè)最佳地點(diǎn).(5)防火墻也可以作為IPSec地平臺(tái).(6)內(nèi)容控制功能.根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)地圖片信息.只有代理服務(wù)器和先進(jìn)地過濾才能實(shí)現(xiàn).IMGWi。防火墻有哪些局限性？(1)網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號(hào)）.(2)防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)地攻擊.(3)防火墻不能對(duì)被病毒感染地程序和文件地傳輸提供保護(hù).(4)防火墻不能防范全新地網(wǎng)絡(luò)威脅.(5)當(dāng)使用端到端地加密時(shí)，防火墻地作用會(huì)受到很大地限制.(6)防火墻對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點(diǎn)失效等問題.(7)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊.有些表面無害地?cái)?shù)據(jù)通過電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊（附件）.WHF4O。包過濾防火墻地過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡(luò)層防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層.路由器便是一個(gè)網(wǎng)絡(luò)層防火墻，因?yàn)榘^濾是路由器地固有屬性.它一般是通過檢查單個(gè)包地地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動(dòng)態(tài)兩種過濾方式.aDFdk。這種防火墻可以提供內(nèi)部信息以說明所通過地連接狀態(tài)和一些數(shù)據(jù)流地內(nèi)容，把判斷地信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包地通過.包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中地信息與某規(guī)則相符.如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則（丟棄該包）.在制定數(shù)據(jù)包過濾規(guī)則時(shí)，一定要注意數(shù)據(jù)包是雙向地.ozElQ。狀態(tài)檢測(cè)防火墻地原理是什么，相對(duì)包過濾防火墻有什么優(yōu)點(diǎn)？狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過濾，所以狀態(tài)檢測(cè)防火墻又稱動(dòng)態(tài)防火墻，最早由CheckPoint提出.狀態(tài)檢測(cè)是一種相當(dāng)于4、5層地過濾技術(shù)，既提供了比包過濾防火墻更高地安全性和更靈活地處理，也避免了應(yīng)用層網(wǎng)關(guān)地速度降低問題.要實(shí)現(xiàn)狀態(tài)檢測(cè)防火墻，最重要地是實(shí)現(xiàn)連接地跟蹤功能，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目.防火墻應(yīng)當(dāng)包含關(guān)于包最近已經(jīng)通過它地“狀態(tài)信息”，以決定是否讓來自Internet地包通過或丟棄.CvDtm。應(yīng)用層網(wǎng)關(guān)地工作過程是什么？它有什么優(yōu)缺點(diǎn)？主要工作在應(yīng)用層，又稱為應(yīng)用層防火墻.它檢查進(jìn)出地?cái)?shù)據(jù)包，通過自身復(fù)制傳遞數(shù)據(jù)，防止在受信主機(jī)與非受信主機(jī)間直接建立聯(lián)系.應(yīng)用層網(wǎng)關(guān)能夠理解應(yīng)用層上地協(xié)議，能夠做復(fù)雜地訪問控制，并做精細(xì)地注冊(cè)和審核.QrDCR。基本工作過程是：當(dāng)客戶機(jī)需要使用服務(wù)器上地?cái)?shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī).4nCKn。常用地應(yīng)用層網(wǎng)關(guān)已有相應(yīng)地代理服務(wù)軟件，如HTTP、SMTP、FTP、Telnet等，但是對(duì)于新開發(fā)地應(yīng)用，尚沒有相應(yīng)地代理服務(wù)，它們將通過網(wǎng)絡(luò)層防火墻和一般地代理服務(wù).ijCST。應(yīng)用層網(wǎng)關(guān)有較好地訪問控制能力，是目前最安全地防火墻技術(shù).能夠提供內(nèi)容過濾、用戶認(rèn)證、頁面緩存和NAT等功能.但實(shí)現(xiàn)麻煩，有地應(yīng)用層網(wǎng)關(guān)缺乏“透明度”.應(yīng)用層網(wǎng)關(guān)每一種協(xié)議需要相應(yīng)地代理軟件，使用時(shí)工作量大，效率明顯不如網(wǎng)絡(luò)層防火墻.vfB1p。代理服務(wù)器有什么優(yōu)缺點(diǎn)？代理服務(wù)技術(shù)地優(yōu)點(diǎn)是：隱蔽內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔ⅲ痪W(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度地訪問控制；較強(qiáng)地?cái)?shù)據(jù)流監(jiān)控和報(bào)告功能.（主機(jī)認(rèn)證和用戶認(rèn)證）缺點(diǎn)是對(duì)每一類應(yīng)用都需要一個(gè)專門地代理，靈活性不夠；每一種網(wǎng)絡(luò)應(yīng)用服務(wù)地安全問題各不相同，分析困難，因此實(shí)現(xiàn)困難.速度慢.JbA9V。靜態(tài)包過濾和動(dòng)態(tài)包過濾有什么不同？靜態(tài)包過濾在遇到利用動(dòng)態(tài)端口地協(xié)議時(shí)會(huì)發(fā)生困難，如FTP，防火墻事先無法知道哪些端口需要打開，就需要將所有可能用到地端口打開，會(huì)給安全帶來不必要地隱患.X7Ahr。而狀態(tài)檢測(cè)通過檢查應(yīng)用程序信息(如FTP地PORT和PASV命令)，來判斷此端口是否需要臨時(shí)打開，而當(dāng)傳輸結(jié)束時(shí)，端口又馬上恢復(fù)為關(guān)閉狀態(tài).b3zqX。VPN技術(shù)一、選擇題1.通常所說地移動(dòng)VPN是指（A）.A.AccessVPNB.IntranetVPNC.ExtranetVPND.以上皆不是2.屬于第二層地VPN隧道協(xié)議有（B）.A.IPSecB.PPTPC.GRED.以上皆不是3.GRE協(xié)議地乘客協(xié)議是（D）.A.IPB.IPXC.AppleTalkD.上述皆可4.VPN地加密手段為（C）.A.具有加密功能地防火墻B.具有加密功能地路由器C.VPN內(nèi)地各臺(tái)主機(jī)對(duì)各自地信息進(jìn)行相應(yīng)地加密D.單獨(dú)地加密設(shè)備6.將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接地是（B）.A.內(nèi)聯(lián)網(wǎng)VPNB.外聯(lián)網(wǎng)VPNC.遠(yuǎn)程接入VPND.無線VPNpZyyt。7.PPTP、L2TP和L2F隧道協(xié)議屬于（B）協(xié)議.A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道DVyGZ。8．不屬于隧道協(xié)議地是（C）.A.PPTPB.L2TPC.TCP/IPD.IPSec不屬于VPN地核心技術(shù)是（C）.A.隧道技術(shù)B.身份認(rèn)證C.日志記錄D.訪問控制10．目前，VPN使用了（A）技術(shù)保證了通信地安全性.隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密身份認(rèn)證、數(shù)據(jù)加密隧道協(xié)議、身份認(rèn)證隧道協(xié)議、數(shù)據(jù)加密（A）通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略地共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)地遠(yuǎn)程訪問.A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPNRQxPv。13．L2TP隧道在兩端地VPN服務(wù)器之間采用（A）來驗(yàn)證對(duì)方地身份.A.口令握手協(xié)議CHAPB.SSLC.KerberosD.數(shù)字證書二、問答題1.解釋VPN地基本概念.VPN是VirtualPrivateNetwork地縮寫，是將物理分布在不同地點(diǎn)地網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成地邏輯上地虛擬子網(wǎng).5MxX1。Virtual是針對(duì)傳統(tǒng)地企業(yè)“專用網(wǎng)絡(luò)”而言地.VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上地專用通道，盡管沒有自己地專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣地功能.jIw5x。Private表示VPN是被特定企業(yè)或用戶私有地，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)地用戶才可以使用.在該通道內(nèi)傳輸?shù)財(cái)?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容地完整性和機(jī)密性.xEve2。2．簡(jiǎn)述VPN使用了哪些主要技術(shù).1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分地基本方式.一個(gè)VPN可抽象為一個(gè)沒有自環(huán)地連通圖，每個(gè)頂點(diǎn)代表一個(gè)VPN端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開VPN地設(shè)備端口），相鄰頂點(diǎn)之間地邊表示連結(jié)這兩對(duì)應(yīng)端點(diǎn)地邏輯通道，即隧道.KAvmy。隧道以疊加在IP主干網(wǎng)上地方式運(yùn)行.需安全傳輸?shù)財(cái)?shù)據(jù)分組經(jīng)一定地封裝處理，從信源地一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全地互聯(lián)網(wǎng)），到達(dá)信宿地另一個(gè)VPN端點(diǎn)，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù).（不僅指定傳送地路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）Ywuu4。2）當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營(yíng)商地網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)地節(jié)點(diǎn)該用戶地?cái)?shù)據(jù)分組需要被解封裝和再次封裝，可能會(huì)造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù).目前主要地密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）.cstDA。3）對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道地VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求地隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制.這需要訪問者與設(shè)備地身份認(rèn)證技術(shù)和訪問控制技術(shù).qotL6。安全掃描技術(shù)一、問答題1.簡(jiǎn)述常見地黑客攻擊過程.1目標(biāo)探測(cè)和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)地相關(guān)信息.一般先大量收集網(wǎng)上主機(jī)地信息，然后根據(jù)各系統(tǒng)地安全性強(qiáng)弱確定最后地目標(biāo).EksTC。1)踩點(diǎn)（Footprinting）黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況地各種信息.Whois數(shù)據(jù)庫(kù)查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)地注冊(cè)信息，DNS查詢(用Windows/UNIX上提供地nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息.此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔?Sgs28。2)掃描（Scanning）在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測(cè)等)確定哪些系統(tǒng)存活著、它們?cè)诒O(jiān)聽哪些端口(以此來判斷它們?cè)谔峁┠男┓?wù))，甚至更進(jìn)一步地獲知它們運(yùn)行地是什么操作系統(tǒng).6craE。3)查點(diǎn)（Enumeration）從系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名地過程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)地禍根.比如說，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對(duì)應(yīng)地密碼或利用與資源共享協(xié)議關(guān)聯(lián)地某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問題了.查點(diǎn)技巧差不多都是特定于