2023年信息安全期末考试题库及答案

题库

一、选择密码学的目的是（）L C o・.A.研究数据加・・.B.研究数据解密研究数据保•..研究信息安全..C.D.2•从袭击方式辨别袭击类型，可分为被动袭击和积极袭击被动袭击难以（C）,然而（C）这些袭击是可行的I；积极袭击难以（C）,然而（C）这些袭击是可行的制止,检测,制止,检.检测,制止,检测,制止・.A.B.检测，制止，制止，检.上面项都不是..C.D.

4.Hash Co多一道加密工序使密文更难破译..A.提高密文的计算速度..B..缩小签名密文日勺长度，加紧数字签名和验•・C证签名的运算速度保证密文能对时还原成明文..D..基于通信双方共同拥有的不过不为他人懂得日勺秘密，运用计算机强大勺计算能力，以该5H秘密作为加密和解密的密钥时认证是（Oo每个子网的内部..B.内部网络与外部网络日勺交叉点..C.部分内部网络与外部网络的结合处..D.的英文全称是

55.Do•・4・机密・..B.可用...完整...上面项都是D.3安全体系构造中的对象认证服务，使用完毕

57.Kerberos J0tl B・・八・认・・・・B.授・・・・C.记・・・.D.审计协议和隧道协议处在同一层

58.1PSec CVPN以上皆是.传播层保护的网络采用的重要技术是建立在基础・・A.PPT...B.L2T...C.GR...D.59A上的Ao可靠的传播服务，安全套接字层协议..A.I SSL.不可靠的传播服务，.协议•・B S.可靠日勺传播服务..协议..C.S..不可靠的传播服务，安全套接字层协议・.D JSSL

60.如下（D）不是包过滤防火墙重要过滤的信息？A.源IP地・.B.目日勺IP地・・ATCP源端口和目的端・.D.时间.将企业与外部供应商、客户及其他利益有关群体相连接日勺是（）61Bo内联网外联网远程接入无线.A.VP・.B.VP...C.VP...D.VPN

62.窃听是一种（A）袭击，袭击者（A）将自己口勺系统插入到发送站和接受站之间截获是一种（A）袭击，袭击者（A）将自己的J系统插入到发送站和接受站之间被动，不必，积极，必.积极，必须，被动，不必..A.B.积极,不必,被动,必.被动，必须,积极,不必..C.D.（）是一种对称加密系统，它使用一种集中式的专钥密码功能，系统区关键是

63.C DESI KDCoA.TACAC..B.RADIU...C.Kerbero...D.PKI

65.D AH ESP IKEA.PPT...B.L2T...C.L

2...D.IPSec和隧道协议属于协议

二、填空

1.密码系统包括如下4个方面明文空间、密文空间、密钥空间和密码算法

2.解密算法D是加密算法E时逆运算o

3.假如加密密钥和解密密钥相似，这种密码体制称为对称密码体制

4.DES算法密钥是64位，其中密钥有效位是56位

5.RSA算法的I安全是基于分解两个大素数的积的困难

6.公开密钥加密算法的用途重要包括两个方面密钥分派、数字签名

7.消息认证是验证信息的完整性，即验证数据在传送和存储过程中与否被篡改、重放或延迟等

8.Hash函数是可接受变长数据输入，并生成定长数据输出的函数

9.密钥管理的重要内容包括密钥的生成、分派、使用、存储、备份、恢复和销毁

10.密钥生成形式有两种一种是由中心集中生成，另一种是由个人分散生成

11.密钥的分派是指产生并使使用者获得密钥的过程

12.密钥分派中心的英文缩写是KDC o

13.数字签名是字迹签名的模拟，是一种包括防止源点或终点否认时认证技术

14.身份认证是验证信息发送者是真的，而不是冒充的，包括信源、信宿等的认证和识别

15.访问控制的目的是为了限制访问主体对访问客体的访问权限

16.防火墙是位于两个网络之间，一端是内部网络，另一端是外部网络

17.防火墙系统的体系构造分为双宿主机体系构造、屏蔽主机体系构造、屏蔽子网体系构造

18.IDS的物理实现不一样，按检测的监控位置划分，入侵检测系统可分为基于主机欧I入侵检测系统、基于网络欧I入侵检测系统和分布式入侵检测系统

19.计算机病毒的5个特性是积极传染性、破坏性、寄生性（隐蔽性）、潜伏性、多态性

20.恶意代码的基本形式尚有后门、逻辑炸弹、特洛伊木马、蠕虫、细菌

21.蠕虫是通过醛进行传播的

22.计算机病毒的工作机制有潜伏机制、传染机制、体现机制

三、问答题简述积极袭击与被动袭击的特点，并列举积极袭击与被动L袭击现象积极袭击是袭击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容导致信息破坏，使系统无法正常运行被动袭击是袭击者非常截获、窃取通信线路中区J信息，使信息保密性遭到破坏，信息泄露而无法察觉，给顾客带来巨大的损失简述对称密钥密码体制的原理和特点

2.对称密钥密码体制，对于大多数算法，解密算法是加密算法的逆运算，加密密钥和解密密钥相似，同属一类的加密体制它保密强度高但开放性差，规定发送者和接受者在安全通信之前，需要有可靠的密钥信道传递密钥，而此密钥也必须妥善保管什么是序列密码和分组密码序列密码是一种对明文中的单个位（有时对字节）运算的算法分组密码是把明文信息分割成块构造，逐块予以加密和解密块日勺长度由算法设计者预先确定简述公开密钥密码机制的原理和特点公开密钥密码体制是使用品有两个密钥区I编码解码算法，加密和解密区I能力是分开口勺；这两个密钥一种保密，另一种公开根据应用日勺需要，发送方可以使用接受方日勺公开密钥加密消息，或使用发送方日勺私有密钥签名消息、，或两个都使用，以完毕某种类型的密码编码解码功能什么是MD5MD消息摘要算法是由Rivest提出，是目前最为普遍的Hash算法，MD5是第5个版本，该算法以一种任意长度的消息作为输入，生成128位的消息摘要作为输出，输入消息是按512位的分组处理的I第二章安全问题概述

一、选择题

二、问答题请解释种“窃取机密袭击”方式的含义

1.51网络踩点Footprinting袭击者事先汇集目的I曰勺信息，一般采用Whois、Finger、Nslookup、Ping等工具获得目的I的某些信息，如域名、IP地址、网络拓扑构造、有关的顾客信息等，这往往是黑客入侵所做的第一步工作2扫描袭击Scanning这里的扫描重要指端口扫描，一般采用Nmap等多种端口扫描工具，可以获得目的计算机的I某些有用信息，例如机器上打开了哪些端口，这样就懂得开设了哪些网络服务黑客就可以运用这些服务的漏洞，进行深入的入侵这往往是黑客入侵所做的第二步工作3协议栈指纹Stack Fingerprinting鉴别也称操作系统探测黑客对目欧I主机发出探测包，由于不一样OS厂商的IIP协议栈实现之间存在许多细微差异，因此每种OS均有其独特的响应措施，黑客常常可以确定目的主机所运行的IOS这往往也可以看作是扫描阶段的一部分工作4信息流嗅探Sniffering通过在共享局域网中将某主机网卡设置成混杂Promiscuous模式，或在多种局域网中某主机使用ARP欺骗，该主机就会接受所有通过的数据包基于这样的原理，黑客可以使用一种嗅探器软件或硬件对网络信息流进行监视，从而搜集到帐号和口令等信息这是黑客入侵的第三步工作5会话劫持Session Hijacking所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中,或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中变化，即从直接联络变成交由黑客中转这种袭击方式可认为是黑客入侵的第四步工作——真正的袭击中的一种请解释种“非法访问”袭击方式的含义

2.51口令破解袭击者可以通过获取口令文献然后运用口令破解工具进行字典袭击或暴力袭击来获得口令，也可通过猜测或窃听等方式获取口令，从而进入系统进行非法访问，选择安全的口令非常重要这也是黑客入侵中真正袭击方式的I一种2IP欺骗袭击者可通过伪装成被信任源IP地址等方式来骗取目的主机的信任，这重要针对LinuxUNIX下建立起IP地址信任关系的主机实行欺骗这也是黑客入侵中真正袭击方式的一种3DNS欺骗当DNS服务器向另一种DNS服务器发送某个解析祈求由域名解析出IP地址时，因为不进行身份验证，这样黑客就可以冒充被祈求方，向祈求方返回一种被篡改了的I应答IP地址，将顾客引向黑客设定的主机这也是黑客入侵中真正袭击方式的一种4重放Replay袭击在消息没有时间戳的状况下，袭击者运用身份认证机制中的漏洞先把他人有用时消息记录下来，过一段时间后再发送出去5）特洛伊木马（TrojanHorse）把一种能协助黑客完毕某一特定动作的程序依附在某一合法顾客的正常程序中，而一旦顾客触发正常程序，黑客代码同步被激活，这些代码往往能完毕黑客早已指定的I任务（如监听某个不常用端口，假冒登录界面获取帐号和口令等）.理解下列多种袭击方式:

7.PKI Ao・・A・ID和口・・・・

9.IKE Co.主模式、迅速模.迅速模式、积极模式・・A B..主模式、积极模.新组模式・・C D.协议和协议有种工作模式

10.AH ESPA.五・・A..・.B....C....D属于中使用日勺安全协议

一、选择题

三、问答题列举并解释中定义的种原则的安全服务

1.ISO/OSI51鉴别用于鉴别实体的身份和对身份的证明，包括对等实体鉴别和数据原发鉴别两种2访问控制提供对越权使用资源的防御措施3数据机密性针对信息泄露而采用的防御措施分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种4数据完整性防止非法篡改信息，如修改、复制、插入和删除等分为带恢复时连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种5抗否认是针对对方否认的防备措施，用来证明发生过的操作包括有数据原发证明的I抗否认和有交付证明的抗否认两种解释六层网络安全体系中各层安全性的含义

2.

1.物理安全防止物理通路日勺损坏、窃听和袭击干扰等，保证物理安全是整个网络安全时前提，包括环境安全、设备安全和媒体安全三个方面

2.链路安全保证通过网络链路传送的数据不被窃听，重要针对公用信道的传播安全在公共链路上采用一定的安全手段可以保证信息传播的安全，对抗通信链路上的I窃听、篡改、重放、流量分析等袭击

3.网络级安全需要从网络架构（路由对的I）、网络访问控制（防火墙、安全网关、VPN）、漏洞扫描、网络监控与入侵检测等多方面加以保证，形成积极性的网络防御体系

4.信息安全包括信息传播安全（完整性、机密性、不可抵赖和可用性等）、信息存储安全（数据备份和恢复、数据访问控制措施、防病毒）和信息（内容）审计

5.应用安全包括应用平台（OS、数据库服务器、Web服务器）的I安全、应用程序的安全

6.顾客安全顾客合法性，即顾客的身份认证和访问控制属于哪个安全级别，为何

9.Windows2023ServerWindows2023Server属于C2级由于它有访问控制、权限控制，可以防止非授权访问，并通过注册提供对顾客事件口勺跟踪和审计第八章密钥分派与管理

一、填空题

二、问答题在密钥分派过程中充当何种角色？

5.KDC在密钥分派过程中充当可信任的第三方保留有每个顾客和之间共享的唯一密钥，以KDC KDC KDC I便进行分派在密钥分派过程中,按照需要生成各对端顾客之间的会话密钥，并由顾客和共享勺KDCKDCH密钥进行加密，通过安全协议将会话密钥安全地传送给需要进行通信的双方第十章数字签名与鉴别协议

三、问答题数字签名有什么作用？L当通信双方发生了下列状况时，数字签名技术必须可以处理引起的争端•否认，发送方不承认自己发送过某一报文•伪造，接受方自己伪造一份报文，并声称它来自发送方•冒充，网络上的某个顾客冒充另一种顾客接受或发送报文•篡改，接受方对收到的I信息进行篡改.请阐明数字签名的重要流程2数字签名通过如下的流程进行1采用散列算法对原始报文进行运算，得到一种固定长度的数字串，称为报文摘要MessageDigest,不一样的I报文所得到欧I报文摘要各异，但对相似欧I报文它时报文摘要却是惟一日勺在数学上保证，只要改动报文中任何一位，重新计算出日勺报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性2发送方用目己的私有密钥对摘要进行加密来形成数字签名3这个数字签名将作为报文的附件和报文一起发送给接受方4接受方首先对接受到的原始报文用同样的算法计算出新时报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，假如值相似，接受方就能确认该数字签名是发送方的I,否则就认为收到的I报文是伪造时或者中途被篡改.数字证书的原理是什么？3数字证书采用公开密钥体制例如RSA每个顾客设定一仅为本人所知及I私有密钥，用它进行解密和签名；同步设定一公开密钥，为一组顾客所共享，用于加密和验证签名采用数字证书，可以确认如下两点1保证信息是由签名者自己签名发送的I,签名者不能否认或难以否认2保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息.报文鉴别有什么作用，公开密钥加密算法相对于常规加密4算法有什么长处？报文鉴别往往必须处理如下日勺问题1报文是由确认的发送方产生的2报文的I内容是没有被修改正的3报文是按传送时时相似次序收到的4报文传送给确定的对方一种措施是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的另一种措施常规加密算法也提供了鉴别但有两个问题，一是不轻易进行常规密钥的分发，二是接受方没有措施使第三方相信该报文就是从发送方送来於I,而不是接受方自己伪造欧I因此，一种完善的I鉴别协议往往考虑到了报文源、报文宿、报文内容和报文时间性的鉴别第十二章身份认证

三、问答题解释身份认证的基本概念

1.身份认证是指顾客必须提供他是谁日勺证明，这种证明客户的真实身份与其所声称的身份与否相符的过程是为了限制非法顾客访问网络资源，它是其他安全机制的基础身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据顾客的身份和授权数据库决定与否可以访问某个资源一旦身份认证系统被攻破，系统的所有安全措施将形同虚设，黑客袭击日勺目的往往就是身份认证系统.单机状态下验证顾客身份的三种原因是什么？21顾客所懂得的I东西如口令、密码2顾客所拥有的J东西如智能卡、身份证3顾客所具有的生物特性如指纹、声音、视网膜扫描、DNA等.理解散列函数的基本性质4散列函数H必须具有性质•H能用于任何长度的数据分组；•H产生定长时输出;•对任何给定的x,Hx要相对轻易计算；•对任何给定的码h,寻找x使得Hx=h在计算上是不可行的，称为单向性;•对任何给定的I分组X,寻找不等于x的y,使得Hy=Hx在计算上是不可行的称为弱抗冲突Weak；Collision Resistance•寻找对任何日勺x,y对，使得Hy=Hx在计算上是不可行的，称为强抗冲突Strong CollisionResistance.理解系统的长处12Kerberos I1安全网络窃听者不能获得必要信息以假冒其他顾客,Kerberos应足够强健以致于潜在的敌人无法找到它的弱点连接2可靠Kerberos应高度可靠并且应借助于一个分布式服务器体系构造,使得一种系统能够备份另一种系统3透明理想状况下顾客除了规定输入口令以外应感觉不到认证的发生4可伸缩系统应可以支持大数量的客户和服务器，这意味着需要一种模块化的分布式结构第十三章授权与访问控制

三、问答题解释访问控制的基本概念

1.访问控制是建立在身份认证基础上的通过限制对关键资源日勺访问，防止非法顾客的侵入或由于合法顾客时I,不慎操作而导致的破坏访问控制的目日勺限制主体对访问客体的访问权限（安全访问方略），从而使计算机系统在合法范围内使用.访问控制有几种常用的实现措施？它们各有什么特点？21访问控制矩阵行表达客体（多种资源），列表达主体（一般为顾客），行和列的交叉点表达某个主体对某个客体的I访问权限一般一种文献的Own权限表达可以授予（Authorize）或撤销（Revoke）其他顾客对该文献的I访问控制权限2访问能力表实际的系统中虽然也许有诸多的主体与客体，但两者之间的I权限关系也许并不多为了减轻系统的开销与挥霍，我们可以从主体（行）出发，体现矩阵某一行日勺信息，这就是访问能力表（Capabilities）只有当一种主体对某个客体拥有访问的能力时，它才能访问这个客体不过要从访问能力表获得对某一特定客体有特定权限时所有主体就比较困难在一种安全系统中，正是客体自身需要得到可靠的保护，访问控制服务也应当可以控制可访问某一客体的主体集合，于是出现了以客体为出发点的I实现方式一一ACLo3访问控制表也可以从客体（列）出发，体现矩阵某一列日勺信息，这就是访问控制表（Access ControlList）它可以对某一特定资源指定任意一种顾客的访问权限，还可以将有相似权限的I顾客分组，并o授予组的I访问权4授权关系表授权关系表Authorization Relations的I每一行表达了主体和客体欧I一种授权关系对表按客体进行排序，可以得到访问控制表的优势；对表按主体进行排序，可以得到访问能力表日勺优势适合采用关系数据库来实现.为何能制止特洛伊木马？8MACMAC可以制止特洛伊木马一种特洛伊木马是在一种执行某些合法功能日勺程序中隐藏日勺代码，它运用运行此程序的主体的权限违反安全方略，通过伪装成有用的程序在进程中泄露信息制止特洛伊木马的I方略是基于非循环信息流，由于MAC方略是通过梯度安全标签实现信息的单向流通，从而它可以很好地制止特洛伊木马区I泄密第十四章技术PKI

二、问答题.什么是数字证书？既有的数字证书由谁颁发，遵照什么原则,2有什么特点？数字证书是一种经证书认证中心CA数字签名的包括公开密钥拥有者信息以及公开密钥的J文献认证中心CA作为权威的J、可信赖日勺、公正的第三方机构，专门负责为多种认证需求提供数字证书服务认证中心颁发日勺数字证书均遵照X.509V3原则X.509原则在编排公共密钥密码格式方面已被广为接受X.509证书已应用于许多网络安全，其中包括IPSecIP安全、SSL、SET、S/MIMEo规范中是怎样定义实体信任实体的？在中

13.VPN Co具有加密功能日勺防火墙..A.具有加密功能日勺路由器..B.内日勺各台主机对各自的信息进行对应的加密..C.VPN单独勺加密设备..D.H通过一种使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构

14.BA.Acces.VP..B.Intrane.VP..C.Extrane.VP..D.Interne.VPN通过一种使用专用连接日勺共享基础设施，将客户、供应商、合作伙伴或感爱好的群体连接到企业内部

441.认证机构日勺严格层次构造模型认证机构CA的严格层次构造可以被描绘为一棵倒置的树，根代表一种对整个PKI系统的J所有实体均有尤其意义的I CA----------------------------------般叫做根CA RootCA,它充当信任的根或“信任锚TrustAnchor”——也就是认证的I起点或终点

2.分布式信任构造模型分布式信任构造把信任分散在两个或多种CA上也就是说,A把CA1作为他的J信任锚，而B可以把CA2做为他的J信任锚由于这些CA都作为信任锚，因此对应的CA必须是整个PKI系统的一种子集所构成的严格层次构造的根CAo

3.Web模型Web模型依赖于流行的浏览器，许多CA的公钥被预装在原则的浏览器上这些公钥确定了一组CA,浏览器顾客最初信任这些CA并将它们作为证书检查的根从主线上讲，它更类似于认证机构日勺严格层次构造模型，这是一种有隐含根的严格层次构造

4.以顾客为中心的信任模型每个顾客自己决定信任哪些证书一般，顾客的最初信任对象包括顾客日勺朋友、家人或同事，但与否信任某证书则被许多原因所左右有哪些详细的职责？

9.CA•验证并标识证书申请者的身份•保证CA用于签名证书的J非对称密钥的质量•保证整个签证过程的安全性，保证签名私钥时安全性•证书材料信息（包括公钥证书序列号、CA标识等）的管理•确定并检查证书的有效期限•保证证书主体标识的惟一性，防止重名•公布并维护作废证书表（CRL）•对整个证书签发过程做日志记录•向申请人发告知其中最为重要的是CA自己的一对密钥的管理，它必须保证高度的机密性,防止他方伪造证书第十五章的安全IP

一、选择题

二、问答题和协议以及的关系是什么？l.IPSec IPVPNIPSec是一种由IETF设计时端到端确实保IP层通信安全的机制不是一种单独的I协议，而是一组协议IPSec是伴随IPv6的制定而产生的I,后来也增长了对IPv4的J支持在前者中是必须支持的，在后者中是可选的IPSec作为一种第三层隧道协议实现了VPN通信，可认为IP网络通信提供透明的安全服务，免遭窃听和篡改，保证数据日勺完整性和机密性，有效抵御网络袭击，同步保持易用性包括了哪个最重要的协议简述这个协议的重要IPSec33功能？IPSec众多的J RFC通过关系图组织在一起，它包括了三个最重要的I协议AH、ESP、IKEo1AH为IP数据包提供如下3种服务无连接的I数据完整性验证、数据源身份认证和防重放袭击数据完整性验证通过哈希函数如MD5产生的校验来保证；数据源身份认证通过在计算验证码时加入一种共享密钥来实现；AH报头中的I序列号可以防止重放袭击2ESP除了为IP数据包提供AH已经有的3种服务外，还提供数据包加密和数据流加密数据包加密是指对一种IP包进行加密整个IP包或其载荷部分，一般用于客户端计算机；数据流加密一般用于支持IPSec的路由器，源端路由器并不关怀IP包的内容，对整个IP包进行加密后传播，目的端路由器将该包解密后将原始数据包继续转发AH和ESP可以单独使用，也可以嵌套使用可以在两台主机、两台安全网关防火墙和路由器，或者主机与安全网关之间使用3IKE负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的措施IKE将密钥协商的成果保留在安全联盟SA中，供AH和ESP后来通信时使用解释域DOI为使用IKE进行协商SA的协议统一分派标识符第十六章电子邮件的安全

一、问答题.电子邮件存在哪些安全性问题？11）垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等垃圾邮件会增长网络负荷，影响网络传播速度，占用邮件服务器的空间2）诈骗邮件一般指那些带有恶意的欺诈性邮件运用电子邮件的I迅速、廉价，发信人能迅速让大量受害者上当3）邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为，信箱不能承受时就会瓦解4）通过电子邮件传播欧I病毒一般用VBScript编写，且大多数采用附件口勺形式夹带在电子邮件中当收信人打开附件后，病毒会查询他口勺通讯簿,给其上所有或部分人发信，并将自身放入附件中，以此方式继续传播扩散端到端时安全电子邮件技术，可以保证邮件从发出到接受欧整I个过程中的哪三种安全性端到端日勺安全电子邮件技术，保证邮件从被发出到被接受日勺整个过程中，内容保密、无法修改、并且不可否认目前的internet上，有两套成型的端到端安全电子邮件原则PGP和S/MIME它一般只对信体进行加密和签名，而信头则由于邮件传播中寻址和路由时需要，必须保证原封不动画图阐明的工作原理

2.PGPB的RSA公开IHA发送前

①MD5是单向的；

⑥而加密Kin Km10®Pi«Z»两者拼接

②DA只对散列值（短）加届

⑦编码（混乱更难破解）

③ZIP后明1更再用IDEA快（混乱更难破解）1）机定性要先压缩再加密，反之密文不一定变短2）完整性

④KM是随机生成的对称密钥，不需要分发3）不可否认（数字签名）

⑤不直接用EB对PiZ加密（慢））4第十七章与电子商务的安全Web

二、问答题讨论一下为何出现的漏洞对服务器的安全威胁最L CGIWeb大？相比前面提到的问题，CGI也许出现日勺漏洞诸多，而被攻破后所能导致的威胁也很大程序设计人员的一种简朴日勺错误或不规范的1编程就也许为系统增长一种安全漏洞一种故意放置时有恶意的CGI程序可以自由访问系统资源，使系统失效、删除文献或查看顾客的保密信息（包括顾客名和口令）•阐明的概念和功能3SSL安全套接层协议SSL重要是使用公开密钥体制和X.5O9数字证书技术保护信息传播的机密性和完整性，但它不能保证信息时不可抵赖性，重要合用于点对点之间的信息传播它是Netscape企业提出欧I基于Web应用欧J安全协议，它包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上口勺数据保密性SSL通过在浏览器软件和Web服务器之间建立一条安全通道，实现信息在Internet中传送日勺保密性在TCP/IP协议族中，SSL位于TCP层之上、应用层之下这使它可以独立于应用层，从而使应用层协议可以直接建立在SSL之上SSL协议包括如下某些子协议；SSL记录协议、SSL握手协议、SSL更改密码阐明协议和SSL警告协议SSL记录协议建立在可靠的传播协议（例如TCP）上，用来封装高层的I协议SSL握手协议准许服务器端与客户端在开始传播数据前，可以通过特定附加密算法互相鉴别什么是电子钱包？SETSET交易发生的先决条件是，每个持卡人（客户）必须拥有一种惟一日勺电子（数字）证书，且由客户确定口令，并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储，这些与符合SET协议的软件一起构成了一种SET电子钱包

9.简述的记录协议和握手协议SSLSSL记录协议是建立在可靠欧J传播协议（如TCP）之上，为更高层提供基本的安全服务，如提供数据封装、眼所、加密等基本功能的支持SSL记录协议用来定义数据传播日勺格式，它包括日勺记录头和记录数据格式的规定在SSL协议中，所有日勺传播数据都被封装在记录中SSL握手协议负责建立目前会话状态日勺参数双方协商一种协议版本，选择密码算法，互相认证（不是必须的I）,并且使用公钥加密技术通过一系列互换欧I消息在客户端和服务器之间生成共享密钥第十八章防火墙技术

三、问答题什么是防火墙，为何需要有防火墙？L防火墙是一种装置，它是由软件/硬件设备组合而成，一般处在企业的内部局域网与Internet之间，限制J Internet顾客对内部网络日勺访问以及管理内部顾客访问Internet区J权限换言之，一种防火墙在一种被认为是安全和可信的I内部网络和一种被认为是不那么安全和可信的外部网络一般是Internet之间提供一种封锁工具假如没有防火墙，则整个内部网络日勺安全性完全依赖于每个主机，因此,所有日勺主机都必须到达一致日勺高度安全水平，这在实际操作时非常困难而防火墙被设计为只运行专用的访问控制软件的设备，没有其他的服务，因此也就意味着相对少某些缺陷和安全漏洞，这就使得安全管理变得更为以便，易于控制，也会使内部网络愈加安全防火墙所遵照日勺原则是在保证网络畅通日勺状况下，尽量保证内部网络的安全它是一种被动日勺技术，是一种静态安所有件.防火墙应满足的基本条件是什么？2作为网络间实行网间访问控制的一组组件的集合，防火墙应满足的基本条件如下1内部网络和外部网络之间日勺所有数据流必须通过防火墙2只有符合安全方略的数据流才能通过防火墙3防火墙自身具有高可靠性，应对渗透Penetration免疫，即它自身是不可被侵入的I.列举防火墙的几种基本功能？31隔离不一样的网络，限制安全问题的扩散，对安全集中管理，简化了安全管理的复杂程度2防火墙可以以便地记录网络上的多种非法活动，监视网络的安全性，碰到紧急状况报警3防火墙可以作为布署NAT曰勺地点，运用NAT技术，将有限的IP地址动态或静态地与内部曰勺IP地址对应起来，用来缓和地址空间短缺的问题或者隐藏内部网络的构造4防火墙是审计和记录Internet使用费用欧I一种最佳地点

（5）防火墙也可以作为IPSec的J平台

（6）内容控制功能根据数据内容进行控制，例如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部顾客访问外部服务日勺图片信息只有代理服务器和先进日勺过滤才能实现第十九章技术VPN

二、问答题解释的基本概念

1.VPNVPN是Virtual PrivateNetwork的缩写，是将物理分布在不一样地点的I网络通过公用骨干网，尤其是Internet连接而成日勺逻辑上的虚拟子网Virtual是针对老式的企业“专用网络”而言日勺VPN则是运用公共网络资源和设备建立一种逻辑上日勺专用通道，尽管没有自己的专用线路，但它却可以提供和专用网络同样日勺功能Private表达VPN是被特定企业或顾客私有的，公共网络上只有通过授权的顾客才可以使用在该通道内传播口勺数据通过了加密和认证，保证了传播内容的完整性和机密性简述使用了哪些重要技术

2.VPN1）隧道（封装）技术是目前实现不一样VPN顾客业务辨别的基本方式一种VPN可抽象为一种没有自环的连通图，每个顶点代表一种VPN端点（顾客数据进入或离开VPNaJ设备端口），相邻顶点之间的边表达连结这两对应端点日勺逻辑通道，即隧道隧道以叠加在IP主干网上的方式运行需安全传播的数据分组经一定的封装处理，从信源的一种VPN端点进入VPN,经有关隧道穿越VPN（物理上穿越不安全日勺互联网），抵达信宿的另一种VPN端点，再通过对应解封装处理，便得到原始数据（不仅指定传送的途径，在中转节点也不会解析原始数据）2）当顾客数据需要跨越多种运行商日勺网络时，在连接两个独立网络欧I节点该顾客的数据分组需要被解封装和再次封装，也许会导致数据泄露，这就需要用到加密技术和密钥管理技术目前重要的密钥互换和管理原则有SKIP和ISAKMP（安全联盟和密钥管理协议）3）对于支持远程接入或动态建立隧道的VPN,在隧道建立之前需要确认访问者身份，与否可以建立规定的隧道，若可以，系统还需根据访问者身份实行资源访问控制这需要访问者与设备的身份认证技术和访问控制技术有哪三种类型？它们的特点和应用场所分别是什么？VPN

1.Acces.VPN（远程接入网）即所谓移动VPN,合用于企业内部人员流动频繁和远程办公欧I状况，出差员工或在家办公的I员工运用当地ISP就可以和企业的VPN网关建立私有的I隧道连接通过拨入当地的ISP进入Internet再连接企业的VPN网关，在顾客和VPN网关之间建立一种安全的“隧道”，通过该隧道安全地访问远程的I内部网（节省通信费用，又保证了安全性）•.拨入方式包括拨号、ISDN、ADSL等.唯一日勺规定就是可以使用合法IP地址访问Internet

2.Intrane.VPN（内联网）假如要进行企业内部异地分支构造的互联，可以使用Intranet VPN的J方式,即所谓的I网关对网关VPNo在异地两个网络的J网关之间建立了一种加密的VPN隧道，两端日勺内部网络可以通过该VPN隧道安全地进行通信

3.Extrane.VPN（外联网）假如一种企业但愿将客户、供应商、合作伙伴连接到企业内部网，可以使用Extranet VPNo其实也是一种网关对网关的VPN,但它需要有不一样协议和设备之间日勺配合和不一样日勺安全配置举例阐明什么是乘客协议、封装协议和传播协议？

（1）乘客协议顾客真正要传播（也即被封装）的数据，如IP、PPP、SLIP等

（2）封装协议用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE

（3）传播协议乘客协议被封装后应用传播协议，例如UDP协议.理解第三层隧道协议一一8GREOGRE是通用日勺路由封装协议，支持所有日勺路由协议（如RIP

2.OSPF等），用于在IP包中封装任何协议的I数据包（IP、IPX、NetBEUI等）在GRE中，乘客协议就是上面这些被封装的协议，封装协议就是GRE,传播协议就是IPo在GRE欧I处理中，诸多协议的J细微差异都被忽视，这使得GRE不限于某个特定的“X overY”日勺应用，而是一种通用日勺封装形式原始IP包日勺IP地址一般是企业私有网络规划的保留IP地址，而外层的IP地址是企业网络出口欧IIP地址，因此，尽管私有网络的HP地址无法和外部网络进行对时的路由，但这个封装之后的IP包可以在Internet上路由一一最简朴的VPN技术（NAT,非IP数据包能在IP互联网上传送）GRE VPN适合某些小型点对点的网络互联第二十章安全扫描技术..C.应用漏洞分析与渗・・.D.DOS袭击袭击者截获并记录了从到日勺数据，然后又从早些时候所截获的数据中提取出信息

23.PKI Bo证书授权注册授权.证书存储库..A.C..・.B.SSL..C.R..・・D CR

一、问答题简述常见的黑客袭击过程L1目的|探测和信息攫取先确定袭击日标并搜集目的系统的有关信息一般先大量搜集网上主机的信息，然后根据各系统的I安全性强弱确定最终的目的1踩点Footprinting黑客必须尽量搜集目日勺系统安全状况日勺多种信息Whois数据库查询可以获得诸多有关目的系统的注册信息,DNS查询用Windows/UNIX上提供日勺nslookup命令客户端也可令黑客获得有关目的系统域名、IP地址、DNS务器、邮件服务器等有用信息此外还可以用traceroute工具获得某些网络拓扑和路由信息2扫描Scanning在扫描阶段，我们将使用多种工具和技巧如Ping扫射、端口扫描以及操作系统检测等确定哪些系统存活着、它们在监听哪些端口以此来判断它们在提供哪些服务，甚至更深入地获知它们运行的是什么操作系统3查点Enumeration从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很也许成为目的系统的祸端例如说，一旦查点查出一种有效顾客名或共享资源，袭击者猜出对应的密码或运用与资源共享协议关联的某些脆弱点一般就只是一种时间问题了查点技巧差不多都是特定于操作系统的，因此规定使用前面环节汇集的信息2获得访问权Gaining Access通过密码窃听、共享文献的I野蛮袭击、攫取密码文献并破解或缓冲区溢出袭击等来获得系统的访问权限3特权提高（Escalating Privilege）在获得一般账户后，黑客常常会试图获得更高的权限，例如获得系统管理员权限一般可以采用密码破解（如用LOphtcrack破解NT的I SAM文献）、运用已知的漏洞或脆弱点等技术4窃取（Stealing）对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIXBtlrhost文献等）5掩盖踪迹（Covering Tracks）此时最重要就隐藏自己踪迹，以防被管理员发现，例如清除日志记录、使用rootkits等工具6创立后门（CreatingBookdoor）在系统的不一样部分布置陷阱和后门，以便入侵者在后来仍能从容获得特权访问什么是漏洞扫描？

9.系统漏洞检测又称漏洞扫描，就是对重要网络信息进行检查，发现其中可被袭击者运用口勺漏洞第二十二章网络病毒防备

三、问答题掌握恶意代码的概念和分类，以及几种重要的恶意代码L黑客编写的扰乱社会和个人，甚至起着破坏作用H勺计算机程序，就是恶意代码1）按恶意代码与否需要宿主，即特定的应用程序、工具程序或系统程序需要宿主日勺恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行

2.按恶意代码与否可以自我复制.不能自我复制的恶意代码是不感染的.可以自我复制的恶意代码是可感染的

1.不感染的J依附性恶意代码

（1）特洛伊木马一段能实既有用的或必需的功能的程序，不过同步还完毕某些不为人知的功能，这些额外的功能往往是有害的（试图访问未授权资源、试图制止正常访问、试图更改或破坏数据和系统等）它一般没有自我复制的机制，但欺骗性是其得以传播的主线原因电子新闻组和电子邮件是它的重要传播途径特洛伊木马常常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到网上直接传播，轻易被不知情的顾客接受和继续传播

（2）逻辑炸弹一段具有破坏性的I代码，事先预置于较大的程序中，等待某扳机事件（特殊日期或指定事件）发生触发其破坏行为它往往被那些有怨恨的职工使用，一旦逻辑炸弹被触发，就会导致数据或文献的变化或删除、计算机死机等

（3）后门或陷门是进入系统或程序的一种秘密入口，它可以通过识别某种特定的输入序列或特定帐户，使访问者绕过访问的安全检查、直接获得访问权利，并且一般高于一般顾客的特权

2.不感染的独立性恶意代码1点滴器.•为传送和安装其他恶意代码而设计的.它自身不具有直接欧I感染性和破坏性它专门对抗反病毒检测.使用了加密手段.以制止反病毒程序发现它们当特定事件出现时.它将启动.将自身包括的I恶意代码释放出来

3.可感染的依附性恶意代码计算机病毒是一段附着在其他程序上时可以进行自我复制的代码，由于绝大多数恶意代码都或多或少地具有计算机病毒的特性

4.可感染的J独立性恶意代码1蠕虫一种通过计算机网络可以自我复制和扩散的程序蠕虫不需要宿主，不会与其他特定功能程序混合蠕虫感染的是系统环境如操作系统或邮件系统新感染系统采用同样的方式进行复制和传播，使得蠕虫传播非常迅速蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统和网络的瓦解，成为拒绝服务袭击的工具2细菌在计算机系统中不停复制自己的程序一种经典日勺细菌是在多任务系统中生成它的两个副本，然后以指数级增长，最终占用所有的系统资源，无法为顾客提供服务计算机病毒的定义和特性是什么？计算机病毒，是指编制或者在计算机程序中插入日勺破坏计算机功能或者毁坏数据，影响计算机使用，并可以自我复制勺一组计算机指令或者程序代码H1积极传染性这是病毒区别于其他程序的I一种主线特性病毒可以将自身代码积极复制到其他文献或扇区中，这个过程并不需要人为时干预病毒通过多种渠道从已被感染的计算机扩散到未被感染日勺计算机所谓“感染”，就是病毒将自身嵌入到合法程序的指令序列中，致使执行合法程序的操作会招致病毒程序时共同执行或以病毒程序日勺执行取而代之2）破坏性这也是计算机病毒的I一种基本特性，例如删除文献、毁坏主板BIOS、影响正常的使用等近年来伴随将特洛伊木马程序、蠕虫程序等纳入计算机病毒的范围，将盗取信息、使用他人计算机日勺资源等也列入了破坏行为日勺范围3）寄生性（隐蔽性）初期的计算机病毒绝大多数都不是完整的程序，一般都是附着在其他程序中病毒获得系统控制权后，可以在很短时间里传染大量其他程序，并且计算机系统一般仍能正常运行，顾客不会感到任何异常（非常危险）当然目前的I某些病毒自身就是一种完整的程序4）潜伏性病毒进入系统之后一般不会立即发作，可以或长或短地潜伏在合法程序中,进行传染而不被人发现潜伏的时间越长，传染范围越大5）多态性病毒试图在每一次感染时变化它的形态，使对它的检测变得更困难一种多态病毒还是本来的病毒，但不能通过扫描特性字符串来发现病毒代码的重要部分相似，但体现方式发生了变化，也就是同一程序由不一样的I字节序列表达什么是病毒的特性代码它有什么作用

9.病毒的I特性代码是病毒程序编制者用来识别自己编写程序口勺唯一代码串因此检测病毒程序可运用病毒的特性代码来检测病毒，以防止病毒程序感染什么是网络蠕虫？它的传播途径是什么？

10.网络蠕虫是一种可以通过网络（永久连接网络或拨号网络）进行自身复制的病毒程序一旦在系统中激活，蠕虫可以体现得象计算机病毒或细菌可以向系统注入特洛伊木马程序，或者进行任何次数欧I破坏或消灭行动一般计算机病毒需要在计算机的硬件或文献系统中繁殖，而经典的蠕虫程序会在内存中维持一种活动副本蠕虫是一种独立运行口勺程序，自身不变化其他口勺程序，但可以携带一种变化其他程序功能的病毒协议必须提供验证服务

24.A,以上皆是・・A・A・・..B.ES....C.GR....D下列选项中可以用在网络层日勺协议是

25.DoA.SS...B.PG...C.PPT..D.IPSec协议是一种用于提供数据报完整性、身份认证和可选的抗重播保护的机制，但不提

26.A IP供数据机密性保护A.AH协B.ESP协・.C.IPSec协..D.PPTP协议协议中负责对数据报加密的部分是

27.IPSec IPAo封装安全负载.鉴别包头.・A.ESP...B AH密钥互换以上都不是..C.Internet IKE..D.产生会话密钥的方式是

30.Internet B是防止火灾时硬件设施A.Internet是网络安全和信息安全勺软件和硬件设施B.H是保护线路不受破坏的软件和硬件设施C.是起抗电磁干扰作用的硬件设施D.属于第二层的］隧道协议有（）

31.VPN Bo以上皆不是..A.IPSe...B.PPT.・.C・GR.・.D.不属于隧道协议的是（）

32.Co.A.PPT...B.L2T...C.TCP/I..D.IPSec和最适合于（）

35.从安全属性对多种网络袭击进行分类，阻断袭击是针对（B）的袭击机密..可用•.完整..真实性..A.B.C.D.袭击者用传播数据来冲击网络接口，使服务器过于繁忙以至于不能应答祈求的袭击方

39.PKI JDo非对称密钥技术及证书管...目录服务..A.B.・・C.对称密钥的产生和分・・・..D.访问控制服务协议中必须实现的验证算法是

40.AH Ao和..A.HMAC-MD5HMAC-SHA..B.NULL以上皆是..C.HMAC-RIPEMD-

42.GRE Do上述皆可..A.IP...C.AppleTal...D.

43.目前，VPN使用了（A）技术保证了通信时安全性隧道协议、身份认证和数据加密身份认证、数据加密隧道协议、身份认证隧道协议、数据加密

44.IPSec VPN不太合用于（C）已知范围日勺地址的网络IP固定范围的地址取网络I IPI动态分派地址的网络IP协议的网络TCP/IP.假设使用一种加密算法，它的加密措施很简朴将每一种字母加即加密成这种455,a f算法时密钥就是那么它属于（）5,Ao..A.对称加密技.・.B.分组密码技术公钥加密技••.单向函数密码技术..C.D.

46.从安全属性对多种网络袭击进行分类，截获袭击是针对（A）的袭击..A.机密・.B.可用..C.完整..D.真实性最新勺研究和记录表明，安全袭击重要来自

47.H BoA.接入・.B.企业内部・.C.公用IP..D.个人网.用于实现身份鉴别的安全机制是48Ao加密机制和数字签名机制・.A.・・B・加密机制和访问控制机制数字签名机制和路由控制机制・.C.访问控制机制和路由控制机制..D..身份鉴别是安全服务中勺重要一环，如下有关身份鉴别论述不对勺的是49H HBo身份鉴别是授权控制的基础・.A.身份鉴别一般不用提供双向的认证..B.I目前一般采用基于对称密钥加密或公开密钥加密的措施・.C.数字签名机制是实现身份鉴别的重要机制..D.可以执行口勺功能是和