网络安全第3网络安全基础知识测试1.doc

20072008学年 网络安全测试姓名： 学号： 一、 选择题（22550）1. 信息安全是信息技术的一种重要特性，以下不属于这种特性基本含义的属性有：（C）（A）可核查性 （B）完整性（C）复杂性 （D）可靠性2. TCPIP协议体系不安全的根源在于（AC）（A）缺乏加密机制 （B）缺乏审计机制（C）缺乏认证机制 （D）面向无连接的特性3. TCP协议提供面向连接特性的基础是（B）（A）IP的面向无连接特性；（B）TCP的三次握手机制；（C）TCP的端口机制；（D）TCP的窗口机制。4. 数字证书的关键属性包括：（A）（A）公钥信息 （B）用户信息 （C）证书ID （D）权威签名5. IDS能够提供的功能有：（A）（A）入侵攻击检测（B）网络扫描事件检测（C）SSL通信的内容检测（D）用户安全策略评估6. 能够抵抗（B）密码分析的算法具有更强抗攻击能力。（A）仅只密文攻击（B）选择密文攻击（C）已知明文攻击（D）选择明文攻击7. 美国国防部安全标准定义了4个安全级别，其中最高安全级提供了最全面的安全支持，它是A（A）a级 （B）b级 （C）c级 （D）d级8. 基于网络低层协议、利用协议或操作系统实现时的漏洞来达到攻击目的，这种攻击方式称为C（A）服务攻击（B）拒绝服务攻击（C）被动攻击（D）非服务攻击9. 特洛伊木马攻击的威胁类型属于B（a）授权侵犯威胁（b）植入威胁（c）渗入威胁（d）旁路控制威胁10. 如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为C（a）常规加密系统（b）单密钥加密系统（c）公钥加密系统（d）对称加密系统11. 用户a通过计算机网络向用户b发消息，表示自己同意签订某个合同，随后用户a反悔，不承认自己发过该条消息。为了防止这种情况发生，应采用A（a）数字签名技术（b）消息认证技术（c）数据加密技术（d）身份认证技术12. 以下关于公用/私有密钥加密技术的叙述中，正确的是：AC（a）私钥加密的文件不能用公钥解密；（b）公用密钥加密的文件不能用私有密钥解密（c）公用密钥和私有密钥相互关联；（d）公用密钥和私有密钥不相互关联13. 以下关于des加密算法和idea加密算法的说法中错误的是：CD（a）des是一个分组加密算法，它以64位为分组对数据加密（b）idea是一种使用一个密钥对64位数据块进行加密的加密算法（c）des和idea均为对称密钥加密算法（d）des和idea均使用128位（16字节）密钥进行操作14. 在公钥密码体制中，用于加密的密钥为A（a）公钥（b）私钥（c）公钥与私钥（d）公钥或私钥15. 在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。这是对D（a）可用性的攻击（b）保密性的攻击（c）完整性的攻击（d）真实性的攻击16. 以下哪一项不是分组密码的优点？D（a）良好的扩散性 （b）对插入的敏感程度高（c）不需要密钥同步 （d）加密速度快17. 在公钥密码体制中，不公开的是：（D）（.公钥.私钥.加密算法）（a）（b）（c）和（d）和18. 从网络高层协议角度，网络攻击可以分为A（a）主动攻击与被动攻击（b）服务攻击与非服务攻击（c）病毒攻击与主机攻击（d）浸入攻击与植入攻击19. 保证数据的完整性就是ABC（a）保证因特网上传送的数据信息不被第三方监视和窃取（b）保证因特网上传送的数据信息不被篡改（c）保证电子商务交易各方的真实身份（d）保证发送方不能抵赖曾经发送过某数据信息20. 按密钥的使用个数，密码系统可以分为B（a）置换密码系统和易位密码系统 （b）分组密码系统和序列密码系统（c）对称密码系统和非对称密码系统 （d）密码学系统和密码分析学系统21. 关于数字签名，下面【 A】说法是错误的（a）数字签名技术能够保证信息传输过程中的安全性（b）数字签名技术能够保证信息传输过程中的完整性（c）数字签名技术能够对发送者的身份进行认证（d）数字签名技术能够防止交易中抵赖的发生22. 下列口令维护措施中，不合理的是：【B】（a）限制登录次数； （b）怕把口令忘记，将其记录在本子上；（c）去掉guest（客人）账号；（d）第一次进入系统就修改系统指定的口令。23. 关于加密技术，下列【B】说法是错误的。（a）对称密码体制中加密算法和解密算法是保密的（b）密码分析的目的就是千方百计地寻找密钥或明文（c）对称密码体制的加密密钥和解密密钥是相同的（d）所有的密钥都有生存周期24. 在网络安全中，截取是指未授权的实体得到了资源的访问权。这是对【C】。（a）可用性的攻击（b）完整性的攻击（c）保密性的攻击（d）真实性的攻击25. 下面的【C】加密算法属于对称加密算法。（a）rsa （b）dsa（c）des （d）ras二、 名词解释（4520）26. 缓冲区溢出27. ESP28. 代理服务29. 启发式扫描30. DH交换三、 问答题（5420）31. 简述DNS欺骗攻击的原理和防御手段。32. 简述NAT技术的原理、作用和优缺点。33. 对比IPSec和SSL的异同？34. 如何全面防范信息安全威胁？二、26、缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为堆栈. 在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出。27、ESP机制主要为通信提供机密性保护。依据建立安全关联式的选择，它也能为通信提供鉴别保护。28、 代理服务是在Internet上指Proxy Server，即代理服务器，它是一个软件，运行于某台计算机上，使用代理服务器的计算机与Internet交换信息时都先将信息发给代理服务器，由其转发，并且将收到的应答回送给该计算机。使用代理服务器的目的有：出于安全考虑或局域网的Internet出口有限等。代理服务是运行在防火墙主机上的专门的应用程序，或者称服务程序。29、 启发式扫描，实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”，相当于此种扫描能根据病毒库、云安全资料等智能判断病毒木马程序的能力。30、 DH交换是一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分。密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密。三、31、冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。防范方法总结来说就只有两条。(1) 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。(2) 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些，基本上就可以避免DNS欺骗攻击了。32、 NAT即网络地址翻译，就是讲一个IP地址用另一个IP地址代替。主要应用在：网络管理员希望隐藏内部网络的IP地址，这样互联网上的主机无法判断内部网络的情况；内部网络的IP地址是无效的IP地址，这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法的IP地址很难办到，因此需要翻译IP地址。优点:可以实现一种“单向路由”；可以在内部网中定义很多的内部用户，通过动态分配的方法共享很少几个外部IP地址；提供很大的灵活性。缺点：不是一种安全解决方案，它不能提供类似防火墙，包过滤，隧道等技术的安全性，仅仅在包的最外层该百年IP地址；影响到网络原有的一些管理功能。33、IPSec协议是网络层的安全协议，可以通过对网络层的数据报进行加密、防止第三方窃听数据和安全密钥交换来实现网络通信的安全。SSL协议（安全套接层）是建立在传输层与网络层之间的一个协议，通过对传输层的数据报进行加密封装和安全认证等方法在本地主机和远程主机之间形成一个安全通信的通道，同样也可以防止第三方窃听数据。这两个协议都可以用于虚拟专用网（VPN）的建设。34、信息安全威胁防范措施：一、物理防范措施：网络物理安全性除了在系统设计中需要考虑外，还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施，将一些重要设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。二、访问控制措施：访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。入网访问控制网络的权限控制目录级安全控制属性安全控制网络服务器安全控制网络检测和锁定控制网络管理员对网络实施监控，服务器应记录用户对网络资源的访问，对于非法访问应报警。网络端口和节点的安全控制三、网络安全通信措施 ：建立物理安全的传输媒介。如在网络中使用光纤来传送数据可以防止信息被窃取。对传输数据进行加密 四、网络安全管理措施：一旦发生故障，能及时发现，并采取有效手段，最终使网络性能达到最优，从而减少网络维护费用。