网络安全概论试题集.doc

丽水学院20102011学年第2学期期终考查试卷（A）课程 网络安全技术 使用班级 网081、082 题号一二三四五总分得分班级： 学号： 姓名：一、判断题（本大题共有 小题，每小题 分，共 分）1. 对明文的加密有流密码和分组密码两种形式。2. 公钥密码体制在密钥管理上比对称密钥密码体制更为安全。3. 摘要算法属于非对称算法。4. 摘要算法是不可逆的。5. 数字签名主要使用的是非对称加密算法。6. Hash函数一定存在碰撞。7. 密钥管理是密码学领域最困难的部分。8. 密钥加密密钥又称二级密钥。9. 主机主密钥是一级密钥。10. 公钥算法中公钥的分配方法有：公开发布、公钥动态目录表和公钥证书。11. PKI 是公开密钥体系。12. RA是注册认证机构。13. 发起大规模的DDoS攻击通常要控制大量的中间网络或系统。14. 我们通常使用SMTP协议用来发送E-MAIL。 15. 病毒攻击是危害最大、影响最广、发展最快的攻击技术。16. DOS攻击的Syn flood攻击是利用通讯握手过程问题进行攻击。17. 缓冲区溢出既是系统层漏洞也是应用层漏洞。18. 扫描工具既可作为攻击工具也可以作为防范工具。19. TCP FIN属于典型的端口扫描类型。20. SSL协议是安全套接字层协议。21. L2TP与PPTP相比，加密方式可以采用Ipsec加密机制以增强安全性。22. 计算机信息系统的安全威胁同时来自内、外两个方面。23. 从统计的资料看，内部攻击是网络攻击的最主要攻击。24. 网络内部用户一定是合法用户而外部用户一定是非法用户。F25. 对于一个计算机网络来说，依靠防火墙即可以达到对网络内部和外部的安全防护。F26. 目前的防火墙防范主要是被动防范。27. DMZ 为非军事区。28. 包过滤防火墙主要是防范应用层的攻击。F29. IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。30. 目前入侵检测系统可以及时的阻止黑客的攻击。F31. 漏洞是指任何可以造成破坏系统或信息的弱点。32. 安全审计就是日志的记录。F33. Window nt/Unix/Linux操作系统属于C2安全级别34. TCSEC是美国的计算机安全评估机构和安全标准制定机构。二、单选题（本大题共有 小题，每小题 分，共 分）1. 数据机密性指的是_。AA保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B提供连接实体身份的鉴别C防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D确保数据数据是由合法实体发出的2. 数据在存储或传输时不被修改、破坏或数据包的丢失、乱序等指的是_。AA数据完整性B数据一致性C数据同步性D数据源发性3. 计算机网络安全的目标不包括_。AA可移植性B机密性C完整性D可用性4. 在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。它破坏了信息的_。AA可用性B机密性C完整性D真实性5. 按密钥的使用个数，密码系统可以分为_。CA置换密码系统和易位密码系统B分组密码系统和序列密码系统C对称密码系统和非对称密码系统D密码系统和密码分析系统6. DES是一种分组长度为 的加密算法。BA32位B64位C128位D256位7. TripleDES是一种加强了的DES加密算法，其密钥长度是DES的_倍。BA2倍B3倍C4倍D5倍8. 以下不属于对称式加密算法的是_。BADESBRSACGOSTDIDEA9. 以下算法中属于非对称算法的是_。BAHash算法BRSA算法CIDEAD三重DES10. 混合加密方式下，真正用来加解密通信过程中所传输数据的密钥是_。BA非对称算法的公钥B对称算法的密钥C非对称算法的私钥DCA中心的公钥11. 在公钥密码体制中，用于加密的密钥为_。AA公钥 B私钥 C公钥与私钥 D公钥或私钥 12. 下列不属于衡量加密技术强度的因素是 _。DA密钥的保密性 B算法强度 C密钥长度 D密钥名称 13. 加密技术不能实现_。DA数据信息的完整性B基于密码技术的身份认证C机密文件加密D基于IP头信息的包过滤14. 以下关于对称密钥加密说法正确的是_。CA加密方和解密方可以使用不同的算法B加密密钥和解密密钥可以是不同的C加密密钥和解密密钥必须是相同的D密钥的管理非常简单15. 以下关于非对称密钥加密说法正确的是_。BA加密方和解密方使用的是不同的算法B加密密钥和解密密钥是不同的C加密密钥和解密密钥匙相同的D加密密钥和解密密钥没有任何关系16. 以下关于混合加密方式说法正确的是_。BA采用公开密钥体制进行通信过程中的加解密处理B采用公开密钥体制对对称密钥体制的密钥进行加密后的通信C采用对称密钥体制对对称密钥体制的密钥进行加密后的通信D采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点17. 以下关于数字签名说法正确的是_。DA数字签名是在所传输的数据后附加上一段毫无关系的数字信息B数字签名能够解决数据的加密传输，即安全传输问题C数字签名一般采用对称加密机制D数字签名能够解决篡改、伪造等安全性问题18. 以下关于CA认证中心说法正确的是_。CACA认证是使用对称密钥机制的认证方法BCA认证中心只负责签名，不负责证书的产生CCA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份DCA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心19. 关于CA和数字证书的关系，以下说法不正确的是_。BA数字证书是保证双方之间的通讯安全的电子信任关系，他由CA签发B数字证书一般依靠CA中心的对称密钥机制来实现C在电子交易中，数字证书可以用于表明参与方的身份D数字证书能以一种不能被假冒的方式证明证书持有人身份20. 下面哪项是数字证书中的内容_。DA证书发布人的姓名B发行证书的实体 C实体的公开密钥 D上面所有的都是数字证书的组成部分 21. PKI中应用的加密方式为_。BA对称加密 B非对称加密 CHASH加密 D单向加密 22. PKI的全称是_。DAPrivate Key Intrusion BPublic Key IntrusionCPrivate Key Infrastructure DPublic Key Infrastructure 23. 公钥基础设施PKI的核心组成部分是_。 AA认证机构CABX509标准C密钥备份和恢复DPKI应用接口系统24. 使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? _。AA拒绝服务B文件共享CBIND漏洞D远程过程调用 25. 关于80年代Mirros 蠕虫危害的描述，错误的是 _。BA占用了大量的计算机处理器的时间，导致拒绝服务B窃取用户的机密信息，破坏计算机数据文件C该蠕虫利用Unix系统上的漏洞传播D大量的流量堵塞了网络，导致网络瘫痪 26. 许多黑客攻击都是利用软件实现系统中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是_。 BA安装防病毒软件 B给系统安装最新的补丁C安装防火墙D安装入侵检测系统 27. 为了防御网络监听，最常用的方法是_。BA采用物理传输（非网络） B信息加密 C无线网 D使用专线传输 28. 以下关于DOS攻击的描述，不正确的是 _。CA导致目标系统无法处理正常用户的请求 B不需要侵入受攻击的系统C以窃取目标系统上的机密信息为目的D如果目标系统没有漏洞，远程攻击就不可能成功 29. 下列计算机病毒检测手段中，主要用于检测已知病毒的是_。 AA特征代码法B校验和法C行为监测法D软件模拟法30. 在计算机病毒检测手段中，校验和法的优点是_。 DA不会误报B能识别病毒名称C能检测出隐蔽性病毒D能发现未知病毒31. 传入我国的第一例计算机病毒是_。BA大麻病毒B小球病毒C1575病毒D米开朗基罗病毒32. 以下关于计算机病毒的特征说法正确的是_。CA计算机病毒只具有破坏性，没有其他特征B计算机病毒具有破坏性，不具有传染性C破坏性和传染性是计算机病毒的两大主要特征D计算机病毒只具有传染性，不具有破坏性33. 以下关于宏病毒说法正确的是_。BA宏病毒主要感染可执行文件B宏病毒仅向办公自动化程序编制的文档进行传染C宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区DCIH病毒属于宏病毒34. 以下不属于防火墙作用的是_。BA过滤信息 B管理进程 C清除病毒 D审计监测 35. 防火墙可分为两种基本类型是_。CA分组过滤型和复合型 B复合型和应用代理型C分组过滤型和应用代理型 D以上都不对 36. 为广域网上计算机之间传送加密信息而设计的标准通信协议是_。AASSLBHTTPSCHTTPDTSL 37. 以下不属于代理服务技术优点的是_。DA可以实现身份认证B内部地址的屏蔽和转换功能C可以实现访问控制D可以防范数据驱动侵袭38. 包过滤技术与代理服务技术相比较_。BA包过滤技术安全性较弱、但会对网络性能产生明显影响B包过滤技术对应用和用户是绝对透明的C代理服务技术安全性较高、但不会对网络性能产生明显影响D代理服务技术安全性高，对应用和用户透明度也很高39. 在建立堡垒主机时_。AA在堡垒主机上应设置尽可能少的网络服务B在堡垒主机上应设置尽可能多的网络服务C对必须设置的服务给与尽可能高的权限D不论发生任何入侵情况，内部网始终信任堡垒主机40. Unix和Windows NT操作系统是符合那个级别的安全标准_。CAA级BB级CC级DD级41. 黑客利用IP地址进行攻击的方法有_。AAIP欺骗 B解密 C窃取口令 D发送病毒42. 防止用户被冒名所欺骗的方法是_。AA对信息源发方进行身份验证B进行数据加密C对访问网络的流量进行过滤和保护D采用防火墙43. 以下关于防火墙的设计原则说法正确的是_。AA保持设计的简单性B不单单要提供防火墙的功能，还要尽量使用较大的组件C保留尽可能多的服务和守护进程，从而能提供更多的网络服务D一套防火墙就可以保护全部的网络44. 下面属于网络防火墙功能的是( ) AA过滤进、出网络的数据B保护内部和外部网络C保护操作系统D阻止来自于内部网络的各种危害45. 包过滤防火墙工作在( ) AA网络层B传输层C会话层D应用层46. 当入侵检测分析引擎判断到有入侵后，紧接着应该采取的行为是( ) AA记录证据B跟踪入侵者C数据过滤D拦截47. CA指的是_。AA证书授权B加密认证C虚拟专用网D安全套接层48. 在以下认证方式中，最常用的认证方式是：AA基于账户名/口令认证B基于摘要算法认证C基于PKI认证D基于数据库认证49. 以下哪一项不属于入侵检测系统的功能_。DA监视网络上的通信数据流B捕捉可疑的网络活动C提供安全审计报告D过滤非法的数据包50. 能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是_。AA基于网络的入侵检测方式B基于文件的入侵检测方式C基于主机的入侵检测方式D基于系统的入侵检测方式51. 以下哪一种方式是入侵检测系统所通常采用的_。AA基于网络的入侵检测B基于IP的入侵检测C基于服务的入侵检测D基于域名的入侵检测52. 以下哪一项属于基于主机的入侵检测方式的优势_。CA监视整个网段的通信B不要求在大量的主机上安装和管理软件C适应交换和加密D具有更好的实时性53. 入侵检测系统的第一步是_。BA信号分析B信息收集C数据包过滤D数据包检查54. 以下不属入侵检测中要收集的信息的是_。DA系统和网络日志文件 B目录和文件的内容 C程序执行中不期望的行为 D物理形式的入侵信息55. 以下哪一项不是入侵检测系统利用的信息_。CA系统和网络日志文件B目录和文件中的不期望的改变C数据包头信息D程序执行中的不期望行为56. 审计管理指_。CA保证数据接收方收到的信息与发送方发送的信息完全一致B防止因数据被截获而造成的泄密C对用户和程序使用资源的情况进行记录和审查D保证信息使用者都可有得到相应授权的全部服务57. 包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是_。CA路由器B一台独立的主机C交换机D网桥58. 计算机网络按威胁对象大体可分为两种：一是对网络中信息的威胁； 二是：BA人为破坏B对网络中设备的威胁C病毒威胁D对网络人员的威胁59. 防火墙中地址翻译的主要作用是_。BA提供代理服务B隐藏内部网络地址C进行入侵检测D防止病毒入侵60. 下列各种安全协议中使用包过滤技术，适合用于可信的LAN到LAN之间的VPN，即内部网VPN的是_。DAPPTPBL2TPCSOCKS v5DIPsec61. IPSEC能提供对数据包的加密，与它联合运用的技术是_。DASSLBPPTPCL2TPDVPN 62. 针对下列各种安全协议，最适合使用外部网VPN上，用于在客户机到服务器的连接模式的是_。CAIPsecBPPTPCSOCKS v5DL2TP63. IPSec协议是开放的VPN协议。对它的描述有误的是_。CA适应于向IPv6迁移。B提供在网络层上的数据加密保护。C支持动态的IP地址分配。D不支持除TCP/IP外的其它协议。64. Ipsec不可以做到_。DA认证B完整性检查C加密D签发证书65. IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息_。AA隧道模式B管道模式C传输模式D安全模式66. SSL指的是_。BA加密认证协议B安全套接层协议C授权认证协议D安全通道协议67. 随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代_。DA使用IP加密技术。B日志分析工具。C攻击检测和报警。D对访问行为实施静态、固定的控制。68. 下面关于防火墙的说法中，正确的是_。 CA防火墙可以解决来自内部网络的攻击B防火墙可以防止受病毒感染的文件的传输C防火墙会削弱计算机网络系统的性能D防火墙可以防止错误配置引起的安全威胁69. 包过滤技术防火墙在过滤数据包时，一般不关心_。 DA数据包的源地址B数据包的目的地址C数据包的协议类型D数据包的内容70. 为控制企业内部对外的访问以及抵御外部对内部网的攻击，最好的选择是_。BAIDS B防火墙 C杀毒软件 D路由器71. 关于屏蔽子网防火墙，下列说法错误的是: _。 DA屏蔽子网防火墙是几种防火墙类型中最安全的B屏蔽子网防火墙既支持应用级网关也支持电路级网关C内部网对于Internet来说是不可见的D内部用户可以不通过DMZ直接访问Internet 72. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择_。BAAllow BNATCSATDFwdFast 73. 密码技术中，识别个人网络上的机器或机构的技术称为_。BA认证B数字签名C签名识别D解密 74. 一个用户通过验证登录后，系统需要确定该用户可以做些什么，这项服务是_。BA认证B访问控制C不可否定性D数据完整性 75. WEB站点的管理员决定让站点使用SSL，那他得将WEB服务器监听的端口改为 _。CA80 B119 C443 D433 76. SSL加密的过程包括以下步骤:通过验证以后，所有数据通过密钥进行加密，使用DEC和RC4加密进行加密。随后客户端随机生成一个对称密钥。信息通过HASH加密，或者一次性加密（MD5/SHA）进行完整性确认。客户端和服务器协商建立加密通道的特定算法。_。DA B C D 77. 在访问因特网过程中，为了防止Web页面中恶意代码对自己计算机的损害，可以采取以下哪种防范措施？_。BA利用SSL访问Web站点B将要访问的Web站点按其可信度分配到浏览器的不同安全区域C在浏览器中安装数字证书D要求Web站点安装数字证书 78. 一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不必要的服务，这属于_原则。AA最小特权B阻塞点C失效保护状态D防御多样化79. 向有限的空间输入超长的字符串是_攻击。AA缓冲区溢出B网络监听C拒绝服务DIP欺骗80. 主要用于加密机制的协议是_。DAHTTP BFTPCTELNET DSSL81. Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号，这可以防止_。BA木马 B暴力攻击CIP欺骗D缓存溢出攻击82. 下列不属于系统安全的技术是_。BA防火墙B加密狗C认证D防病毒83. 电路级网关是以下哪一种软/硬件的类型? _。AA防火墙B入侵检测软件C端口D商业支付程序84. 以下哪个标准是信息安全管理国际标准？_。CAISO9000-2000BSSE-CMMCISO17799DISO15408三多项选择题（每题2分，共30分，答错无分，答不全得1分）1. 计算机病毒的主要来源有_ ACDA.黑客组织编写B.计算机自动产生C.恶意编制D.恶作剧2. 以下哪些措施可以有效提高病毒防治能力ABCDA.安装、升级杀毒软件B.升级系统、打补丁C.提高安全防范意识D.不要轻易打开来历不明的邮件3. 利用密码技术，可以实现网络安全所要求的_。ABCDA.数据机密性B.数据完整性C.数据可用性D.身份认证4. 在加密过程中，必须用到的三个主要元素是_。ABCA.明文B.密钥C.加密函数D.传输信道5. 加密的强度主要取决于_。ABDA.算法的强度B.密钥的机密性C.明文的长度D.密钥的强度6. 以下对于对称密钥加密说法正确的是_。BCDA.对称加密算法的密钥易于管理B.加解密双方使用同样的密钥C.DES算法属于对称加密算法D.相对于非对称加密算法，加解密处理速度比较快7. 相对于对称加密算法，非对称密钥加密算法_。ACDA.加密数据的速率较低B.更适合于现有网络中对所传输数据（明文）的加解密处理C.安全性更好D.加密和解密的密钥不同8. 以下对于混合加密方式说法正确的是_。BCDA.使用公开密钥密码体制对要传输的信息（明文）进行加解密处理B.使用对称加密算法队要传输的信息（明文）进行加解密处理C.使用公开密钥密码体制对称加密密码体制的密钥进行加密后的通信D.对称密钥交换的安全信道是通过公开密钥密码体制来保证的9. 在通信过程中，只采用数字签名可以解决_。等问题。ABCA.数据完整性B.数据的抗抵赖性C.数据的篡改D.数据的机密性10. 防火墙不能防止以下那些攻击行为_。ABDA.内部网络用户的攻击B.传送已感染病毒的软件和文件C.外部网络用户的IP地址欺骗D.数据驱动型的攻击11. 以下属于包过滤技术的优点的是_。BCA.能够对高层协议实现有效过滤B.具有较快的数据包的处理速度C.为用户提供透明的服务，不需要改变客户端的程序和自己本身的行为D.能够提供内部地址的屏蔽和转换功能12. 以下关于包过滤技术与代理技术的比较，正确的是_。ABCA.包过滤技术的安全性较弱，代理服务技术的安全性较高B.包过滤不会对网络性能产生明显影响C.代理服务技术会严重影响网络性能D.代理服务技术对应用和用户是绝对透明的13. 对于防火墙的设计准则，业界有一个非常著名的标准，即两个基本的策略_。BCA.允许从内部站点访问Internet而不允许从Internet访问内部站点B.没有明确允许的就是禁止的C.没有明确禁止的就是允许的D.只允许从Internet访问特定的系统14. 建立堡垒主机的一般原则_。ACA.最简化原则B.复杂化原则C.预防原则D.网络隔断原则15. HASH加密使用复杂的数字算法来实现有效的加密，其算法包括： ABCA、MD2 B、MD4 C、MD5 D、MD8 16. 应对操作系统安全漏洞的基本方法是什么？ABCA.对默认安装进行必要的调整B.给所有用户设置严格的口令C.及时安装最新的安全补丁D.更换到另一种操作系统四、填空题（本大题共有 空，每空 分，共 分）1. AES每轮变换的基本操作包括4个阶段：字节代替、行移位、 和轮密钥异或。列混合2. 网络安全的目标是保护信息的机密性、完整性、不可否认性和可用性。3. 在加密系统中，作为输入的原始信息称为明文，加密变换后的结果称为密文。4. 采用凯撒密码算法计算出的密文C=FLSKHU，则明文M=cipher。5. 分组密码的结构一般可以分为两种：Feistel网络结构和SP网络结构。6. DES采用Feistel网络结构，而AES采用SP网络结构。7. 加密算法分为对称加密与非对称加密两种类型8. 对称加密需要1个密钥，常见的对称加密算法有DES、TripleDES、IDEA。9. DES算法的密钥的长度为64bits。10. 在公开密钥体制中每个用户保存着一对密钥是公钥和私钥。11. RSA算法的安全性基于大整数分解因子的困难性。12. ELGamal算法的安全性是基于求解离散对数问题的困难性。13. 椭圆曲线密码体制的安全性依赖于求解椭圆曲线离散对数问题的困难性。14. 常见的摘要加密算法有MD5、SHA。15. 保证信息的完整性和抗否认性主要通过信息认证和数字签名来实现。16. 数字签名技术是非对称加密算法和消息摘要相结合的产物。17. 大多数安全的散列函数都采用了分块填充链接的模式，其结构是迭代型的。18. 加密、认证和签名是保护信息的机密性、完整性和抗否认性的主要技术措施。19. 根据加密物理位置的不同，可分为端-端加密和链路加密。20. 完整性检测也称消息认证，主要通过消息摘要实现。21. 密钥管理主要管理密钥的产生到销毁的全过程，其中分配和存储是最大的难题。22. 两个通信终端用户在一次通话或交换数据时使用的密钥称为会话密钥（Session Key）。23. 公钥密码体制的一个重要用途就是分配对称密码体制使用的密钥，而不用于保密通信。24. Needham/Schroeder是一个基于对称加密算法的双向认证协议，它要求有可信任的第三方KDC参与，采用Challenge/Response（提问/应答）的方式。25. Kerberos是为TCP/IP网络设计的第三方鉴别协议，以Needham /Schroeder协议为基础，采用对称加密算法。26. 在Kerberos的认证过程中，需要使用两种凭证：票据和鉴别码。27. X.509协议是基于公钥证书和CA的认证协议。28. PKI的核心部分是CA，它同时也是数字证书的签发机构。29. 访问控制是针对越权使用资源的防御措施。30. 任何访问控制策略最终均可被模型化为访问矩阵形式。按列看是访问控制表（ACL）内容，按行看是访问能力表（CL）内容。多数集中式操作系统使用ACL方法。31. 访问控制策略主要有自主访问控制、强制访问控制和基于角色访问控制三种。32. 根据扫描方法的不同，端口扫描技术可分为全开扫描、半开扫描、秘密扫描、区段扫描等。全开扫描最精确，但容易被检测到；秘密扫描能避开某些IDS和绕过防火墙，但可能误报。33. 入侵检测的一般步骤有信息收集和信息分析。34. 入侵检测类型按检测方法可分为：异常检测、误用检测和特征检测。按照数据来源可分为：基于主机、基于网络和混合型。35. 一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐。36. CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。37. 防火墙主要采用了两种基本的技术：数据包过滤型和代理服务。包过滤防火墙又可分为静态包过滤型和状态检测型两种； 代理型防火墙又可分为应用级网关和电路级网关两大类。38. 防火墙的规则设置中的缺省设置通常为禁止39. DMZ在计算机中表示非军事区。40. 防火墙常见的体系结构有双宿主主机、被屏蔽主机和被屏蔽子网等。双宿主机通常有2个网络接口。五、简答题(本大题共4小题，每小题5分，共20分)1. 密码系统按密钥特点分哪两类？各有什么特点？分单密钥系统和双密钥系统。单密钥系统又称为对称密码系统和秘密密钥密码系统，单密钥系统的加密密钥和解密密钥相同，或实质上等同，即从一个易于得出另一个。双密钥体制又称为非对称密码体制和公开密钥密码体制。双密钥体制有两个密钥，一个是公开的密钥，用K1表示，谁都可以使用；另一个是私人密钥，用K2表示，只由采用此体制的人自己掌握。从公开的密钥推不出私人密钥。2. 传统密码算法的两种基本运算是什么？代换和置换。前者是将明文中的每个元素映射成另外一个元素；后者是将明文中的元素重新排列。3. 什么是混淆和扩散？混淆和扩散是Shannon提出的设计密码系统的两种基本方法。扩散：明文的统计结构被扩散消失到密文的，使得明文和密文之间的统计关系尽量复杂。即让每个明文数字尽可能地影响多个密文数字。混淆：使得密文的统计特性与密钥的取值之间的关系尽量复杂，阻止攻击者发现密钥。4. 用密钥词cat实现vigenere密码，加密明文vigenere coper，所得的密文是什么？Key: catcatcatcatcatcatPlaintext: vigenerecoperChipertext: XIZGNXTEVQPXT5. Feistel密码中每轮发生了什么样的变化？（1）将输入分组分成左右两部分。（2）以右半部数据和子密钥作为参数，对左半部数据实施代换操作。（3）将两部分进行互换，完成置换操作。6. S盒的概念？S盒用在DES算法中，每个s盒都由6位输入产生4位输出，所有说，s盒定义了一个普通的可逆代换。相当程度上，DES的强度取决于s盒的设计，但是，s盒的构造方法是不公开的。7. AES每轮变换的基本操作有哪些？每轮包括4个阶段：字节代替、行移位、列混合和轮密钥异或。8. 分组密码最基本的四种工作模式？（1）ECB，电码本模式。（2）CBC，密码分组连接模式（3）CFB，密码反馈模式。（4）OFB，输出反馈模式。9. 已知明文是：10110101011001，密码是：10011010011101，试写出按位异或进行加密和解密的过程。10. 对比对称算法和公钥算法？（从用途，速度和效率等方面）对称算法：速度快，主要用于数据加密，只有一个密钥。公钥算法：速度较慢，主要用于数字签名和密钥交换，有两个密钥。11. 什么是消息认证码和散列函数？（1）消息认证码(MAC)：用一个密钥控制的公开函数作用后产生的固定长度的数值，也称密码校验和。（2）散列函数(Hash)：将任意长度的消息映射为定长的散列值的函数，以散列值作为认证符。12. 如何实现用签名进行身份和消息认证？EKRa（ H（M）|M 。先将消息M用hash算法（MD5 or SHA1）算出mac（消息认证码），然后，用a的私钥加密此认证码，最后和原始的消息并在一起，发送到接受方b。b首先用a的公钥KPa解密前面部分，然后用同样的hash算法对M进行hash操作，比较两个结果是否相等。从而实现身份和消息认证。13. 数字签名可以实现哪些功能？ （1） 保证信息传输过程中的完整性：安全单向散列函数的特性保证如果两条信息的信息摘要相同，那么它们信息内容也相同。（2） 发送者的身份认证：数字签名技术使用公用密钥加密算法，发送者使用自己的私有对发送的信息进行加密。（3） 防止交易中的抵赖发生：当交易中的抵赖行为发生时，接受者可以将接收到的密文呈现给第三方。14. 公钥算法RSA、DH和DSS算法的用途是什么？（1）RSA加密/解密、数字签名、密钥交换；（2）DH密钥交换；（3）DSS数字签名。15. 密钥管理主要研究哪些内容。密钥（Key）是由数字、字母或特殊符号组成的字符串，它可以控制加密解密的过程。密码算法的安全强度，在很大程度上依赖于密钥的安全保护，这就是密钥管理的研究内容。密钥管理是一门综合性技术，它涉及到密钥的产生、分配、存储、修改以及销毁的全过程，同时还与密钥的行政管理制度与人员的素质密切相关。16. 什么是消息重放？有哪些方法可以抵御消息的重放攻击？消息重放：攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。对付重放攻击两种常用的方法是：时间戳和提问/应答方式。17. PKI公钥基础设施是基于证书的认证体系结构，它包含哪些基本元素？包含证书颁发机构CA、注册认证机构RA、证书库（X.509标准）、密钥备份及恢复、证书作废处理系统、PKI应用接口系统等部分。18. 在拨号环境中的认证分哪两部分，具体协议有哪些？（1）用户的调制解调器和网络访问服务器 （NAS）之间使用PPP认证协议认证 ，这类认证协议包括 PAP、CHAP等；（2）NAS和认证服务器进行认证，这类协议包括TACACS+、RADIUS等。19. 严格的口令策略应当包含哪些要素？答：满足一定的长度，比如8位以上；同时包含数字，字母和特殊字符；系统强制要求定期更改口令。20. 一般的系统攻击有哪些步骤？答： 1）确定攻击目标；2）收集被攻击目标的信息；3）利用工具扫描； 4）模拟攻击； 5）实施攻击；6）清除痕迹。21. 什么是DOS攻击？分为哪几类？ Dos攻击就是想办法让目标机器停止提供服务或资源访问，从而阻止正常用户的访问。DoS的攻击方式主要有两种：（1）以消耗目标主机的可用资源为目的，利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，例如死亡之ping、SYN Flood等；（2）另一种是以消耗服务器链的有效带宽为目的，通过发送大量数据包将链路带宽全部占用，从而使合法用户请求无法达到服务器，例如蠕虫。22. 防火墙的主要技术及实现方式有哪些？六、综合设计题（本大题10分）1. 假如你是一个网络管理员，请假定一个网络应用场景，并说明你会采取哪些措施来构建你的网络安全体系，这些措施各有什么作用，它们之间有什么联系？1）在网关的出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙，如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。2）在内网使用IDS，它和防火墙配合使用，可以加强内网安全，对于来自内部的攻击可以及时报警。3）如果有服务器要发布到外网，可以设置专门的DMZ区放置服务器。4）对于内网安全，可以使用域环境，由DC统一管理帐号和密码，针对不同的用户和组设置不同的权限。2. 某局域网如下图，其中：1号设备是路由器，4号设备是交换机，5和6号设备是DMZ区服务器，7、8和9号设备是个人计算机。请回答下列问题：(1)2和3号设备中，哪个设备是防火墙?哪个设备是交换机?(2)3套个人防火墙软件最适合安装在哪3个设备上?(只能选3个设备)(3)5套防病毒软件应该安装在哪5个设备上?(只能选5个设备)解：2号设备是防火墙；3号设备是交换机；3套个人防火墙最适合安装在7、8、9号设备上；5套防病毒软件应该分别装在5、6、7、8、9号设备上。