网络规划项目安全复习资料练习情况总结题

1、-!选择（考20题）1.下面不属于木马特征的是（D ）A. 自动更换文件名，难于被发现B. 程序执行时不占太多系统资源C. 不需要服务端用户的允许就能获得系统的使用权D. 造成缓冲区的溢出，破坏程序的堆栈2.负责产生、分配并管理PKI结构下所有用户的证书的机构是（认证中心CAA.LDAP目录服务器 B.业务受理点C.注册机构RA D.3.基于SET协议的电子商务系统中对商家和持卡人进行认证的是（A.收单银行B.支付网关C. 认证中心 D.发卡银行C.对现有系统的影响及对不同平台的支持D. 上面3项都是文本加密5.防火墙是常用的一种网络安全装置，下列关于它的用途的说法（B）是对的。4.下列（B）

2、加密技术在加解密数据时采用的是双钥。A.对称密钥加密 B.公开密钥加密C.Hash 加密 D.A. 防止内部攻击B. 防止外部攻击C. 防止内部对外部的非法访问D. 既防外部攻击，又防内部对外部非法访问6.计算机病毒从本质上说是（B）。A.蛋白质 B. 程序代码 C. 应用程序D.硬件7.下列不属于IDS功能的是（D）。A.分析系统活动B.识别已知攻击C.OS 日志管理D.代理8.密码学的目的是（0。A.研究数据加密B.研究数据解密C. 研究数据保密D.研究信息安全除增加安全设施9.网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷,投资外，还应考虑（D）。A.用户的方便性B.管理的

3、复杂性-!10.A方有一对密钥 K A （公开） 和key A （秘密），B方有一对密钥 K B （公开） 和keyB （秘密），现A要向B发送一条消息M并对消息进行签名和加密，则以下方案正确的是(C )。A. E ( E ( M , Ka) , keyb)B. E ( E ( M , keya) , keyb)C. E ( E ( M , keya) , Kb)D. E ( E ( M , Ka) , Kb)11. “公开密钥密码体制”的含义是（C)。A.将所有密钥公开B.将私有密钥公开,公开密钥保密C.将公开密钥公开，私有密钥保密D.两个密钥相同12.信息安全的基本属性是（D)。A.机密性

4、 B. 可用性 C.完整性 D.上面3项都是13.对攻击可能性的分析在很大程度上带有（B)。A.客观性 B. 主观性 C. 盲目性 D.上面3项都不是A）的攻击。14.从安全属性对各种网络攻击进行分类，截获攻击是针对（A.机密性 B.可用性 C. 完整性 D.真实性C），然而（C）15.从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（这些攻击是可行的；主动攻击难以（C）,然而（C）这些攻击是可行的。A.阻止,检测,阻止,检测B.检测,阻止,检测,阻止C.检测，阻止，阻止，检测D.上面3项都不是16.窃听是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接收站之间。截获是一

5、种（A）攻击，攻击者（A）将自己的系统插入到发送站和接受站之间。A.被动，无须,主动,必须B.主动，必须,被动,无须C.主动，无须,被动,必须D.被动，必须,主动,无须17.拒绝服务攻击的后果是（D)。A.信息不可用B.应用程序不可用C. 系统宕机 D.无法向正常用户提供服务18.机密性服务提供信息的保密，机密性服务包括（D)。A.文件机密性B.信息传输机密性C.通信流的机密性D. 以上3项都是19.攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（A）。A.拒绝服务攻击B.地址欺骗攻击C.会话劫持D.信号包探测程序攻击-!20.攻击者截获并记录了从 A到B的数据

6、,然后又从早些时候所截获的数据中提取出信息新发往B称为（D）。A.中间人攻击 B.口令猜测器和字典攻击C.强力攻击D.重放攻击21.网络安全是在分布网络环境中对（D）提供安全保护。A.信息载体 B. 信息的处理、传输C. 信息的存储、访问D. 上面3项都是22.ISO安全体系结构中的对象认证服务，使用（B）完成。A.加密机制B.数字签名机制C.访问控制机制D.数据完整性机制23.数据保密性安全服务的基础是（D）。A.数据完整性机制B. 数字签名机制C. 访问控制机制D.加密机制24.可以被数据完整性机制防止的攻击方式是（D）。A.假冒源地址或用户的地址欺骗攻击B.抵赖做过信息的递交行为C.数据

7、中途被攻击者窃听获取D.数据在途中被攻击者篡改或破坏C.可被用户访问的资源 D.系统是否遭受入侵25.数字签名要预先使用单向Hash函数进行处理的原因是（C）。A.多一道加密工序使密文更难破译B.提高密文的计算速度C.D.保证密文能正确还原成明文缩小签名密文的长度，加快数字签名和验证签名的运算速度B）。A.身份认证是授权控制的基础B.身份认证一般不用提供双向的认证C.目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份认证的重要机制26. 身份认证是安全服务中的重要一环，以下关于身份认证叙述不正确的是（27. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的

8、计算能力，以该秘密作为加密和解密的密钥的认证是（0。A.公钥认证B. 零知识认证 C.共享密钥认证D.口令认证系统的核心是KDC28. （C）是一个对称DES加密系统，它使用一个集中式的专钥密码功能,A. TACACS B. RADIUS C. Kerberos D. PKI29. 访问控制是指确定（A）以及实施访问权限的过程。A.用户权限B.可给予哪些主体访问权利-!30. 一般而言，In ternet 防火墙建立在一个网络的（0。A.内部子网之间传送信息的中枢B.每个子网的内部C.内部网络与外部网络的交叉点D.部分内部网络与外部网络的结合处31.包过滤型防火墙原理上是基于（C）进行分析的技

9、术。A.物理层B.数据链路层C. 网络层D.应用层32.对动态网络地址交换（NAT,不正确的说法是（B）。A.将很多内部地址映射到单个真实地址B.外部网络地址和内部地址一对一的映射C.最多可有64000个同时的动态 NAT连接D.每个连接使用一个端口33.以下（D）不是包过滤防火墙主要过滤的信息?A.源IP地址 B. 目的IP地址 C. TCP 源端口和目的端口D. 时间34.防火墙用于将In ternet和内部网络隔离（B）。A.是防止In ternet火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施C.是保护线路不受破坏的软件和硬件设施D.是起抗电磁干扰作用的硬件设施35.身份认证的

10、含义是（C）。A:注册一个用户B:标识一个用户C:验证一个用户 D:授权一个用户36.下列四项中不属于计算机病毒特征的是（0。A:潜伏性 B: 传染性 C: 免疫性D:破坏性37.灾难恢复计划或者业务连续性计划关注的是信息资产的（A）属性。A:可用性 B:真实性 C:完整性D:保密性38.（ A）是最常用的公钥密码算法。A:RSA B:DSA C:椭圆曲线D:量子密码39.PKI所管理的基本元素是（C）。A:密钥 B: 用户身份 C:数字证书D:数字签名40.关于信息安全，下列说法中正确的是（0。A:信息安全等同于网络安全B:信息安全由技术措施实现C:信息安全应当技术与管理并重D:管理措施在信

11、息安全中不重要41.在PPDRF安全模型中，（B）是属于安全事件发生后的补救措施。A:保护 B: 恢复 C: 响应D:检测42.下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。A:杀毒软件 B:数字证书认证C:防火墙 D: 数据库加密43.计算机病毒的实时监控属于（B）类的技术措施。A:保护 B: 检测 C: 响应D:恢复44.下列关于信息安全策略维护的说法,（B）是错误的。A:安全策略的维护应当由专门的部门完成B:安全策略制定完成并发布之后，不需要再对其进行修改C：应当定期对安全策略进行审查和修订D:维护工作应当周期性进行 45.防火墙最主要被部署在（A）位置。A:网络边界

12、B: 骨干线路 C:重要服务器D:桌面终端46.根据计算机信息系统国际联网保密管理规定，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行（B）。A:逻辑隔离 B:物理隔离C: 安装防火墙 D:VLAN 划分47.对日志数据进行审计检查，属于（B）类控制措施。A:预防 B: 检测 C: 威慑 D:修正48系统备份与普通数据备份的不同在于，它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（A）。A:恢复整个系统B:恢复所有数据C:恢复全部程序D:恢复网络设置49.关于数字签名，下面哪种说法是错误的？ （A

13、）A.数字签名技术能够保证信息传输过程中的安全性B.数字签名技术能够保证信息传输过程中的完整性C.数字签名技术能够对发送者的身份进行认证D.数字签名技术能够防止交易中抵赖的发生-!界处提供动态包过滤、应用安全代理等安全服务。(X)填空（考10题）1.根据检测策略，攻击检测方法可分为（基于异常行为特征的攻击检测）和（基于正常行为特征的攻击检测）。2. 包过滤防火墙工作在 OSI的（网络）3.数据未经授权不能进行更改的特性叫（完整性）。4.把敏感数据转换为不能理解的乱码的过程称为（加密）；将乱码还原为原文的过程称为（解 密）。6.攻击者对系统进行攻击，5.使用DES对64比特的明文加密，生成（64

14、）比特的密文。以便得到有针对性的信息，攻击主要分为主动攻击和（被动攻击）两种。7.IPSec有（传输模式）和（隧道模式）两种工作模式。8.计算机病毒检测分为（内存）检测和（硬盘）检测。9.入侵检测系统根据目标系统的类型可以分为基于主机的入侵检测系统和基于（网络）的入侵检测系统。10.密码系统包括以下 4个方面：明文空间、密文空间、密钥空间和密码算法。解密算法D是加密算法E的（逆运算）。11.如果加密密钥和解密密钥（相同），这种密码体制称为 （对称密码体制）。12.RSA算法的安全是基于（分解两个大素数的积）的困难。13.消息认证是 （验证信息的完整性），即验证数据在传送和存储过程中是否被篡改、

15、重放或延迟等。14.三种不同的访问控制策略： 自主访问控制（DAC、强制访问控制（MAC和基于角色的访问控制（RBAC判断（考10题）1. 按对明文的处理方式密码可以分为分组密码和单钥密码。(X)(V)2. 主动攻击和被动攻击的最大区别是是否改变信息的内容。3.散列函数在进行鉴别时需要密钥。(X)4.数字签名和加密是完全相同的两个过程。(X)5.NAT技术难以解决目前IP地址资源紧张的问题。(X)6. 口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。（V）7.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网

16、络和系统等层面的安全状况。8.包过滤防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺之保护能力。（V）9.防火墙属于网络安全的范畴，是网络安全保护中最基本的安全机制，只能在内部网络的边名词解释（考5题）1.密码分析：密码分析是指研究在不知道密钥的情况下恢复出明文或密钥，甚至二者兼得。但是，密码分析通常不包括并非主要针对密码算法或协议的攻击。2.理想的密码系统： 在没有密钥的情况下，想从密文恢复出明文是不可能的。也就是说，即使攻击者完全了解系统使用的算法以及许多其他的相关信息,她也不能在没有密钥的情况下恢复出明文。这是加密系统的目标，但现实中往往并非能够如愿以偿。3.数字证书：数字证书（

17、或称为公钥证书， 抑或简称为证书）包含了用户的名称以及伴随的相关用户的公钥，该证书由证书权威机构签名，证书权威机构也可简称为CA通常，签发的数字证书都有一个有效期。4.数字签名：数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串,段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。5.SYN-FL00D攻击：SYN Flood是当前最流行的 DoS （拒绝服务攻击）与 DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的 TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。6.单点登录：指的是让验证者 Alice仅

18、仅认证一次，然后无论她在In ternet上再去往哪里,这个认证成功的结果都会一直“跟着”她。也就是说，初始的认证过程需要Alice 的参与,但是后续的认证将在各个场景的后台自动进行。7.堆栈溢出攻击：堆栈溢出特指一种颇具破坏性的攻击方式，这种攻击依赖于缓冲区溢出。对于堆栈溢出攻击，入侵者的兴趣集中在处于函数调用过程中的堆栈。8.零知识证明：零知识证明也叫 ZKP,指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。9.会话密钥：会话密钥是保证用户跟其它计算机或者两台

19、计算机之间安全通信会话而随机产生的加密和解密密钥。会话密钥有时称对称密钥，因为同一密钥用于加密和解密。-!简答题(考4题)1.Difie-Hellman 密钥交换算法原理:，都存在指数n,设定P为素数，并假定g是生成器，即对于任何的x 1,2, . ,p -1使得x= gnmod P。素数p和生成器g是公开的。对于实际的密钥交换过程，Alice随机地选择秘密的指数a, Bob随机地选择秘密的指数b。Alice计算ga mod p,并将结果发送给Bob,而Bob计算gb modp，也将结果发送给 Alice 。Alice 执行如下计算：（gb）a mod p=gab mod pBob 执行如下计

20、算：（ga）b mod p=gab mod p最后，gab mod p就是共享的秘密，其典型的用途是作为对称密钥。2.访问控制身份认证-方法与授权-原则二者联系:身份-认证: 基于“你知道”的认证方法一一口令的认证。基于“你是谁”的认证方式一一生物特征技术。基于“你具有什么”的认证方法一一双因素认证方式。授权-原则:厂最小权限原则Y 最小泄露原则多级安全策略联系:3.安全模型中机密性模型Bell-Lapadula模型与完整性模型Biba模型:Bell-La padula模型：用于保证信息的机密性，蕴含了高水印原则。星特性：主体S能够对客体0执行写操作，当且仅当L(S) < L(0)。Bi

21、ba模型：用于保证信息的完整性，蕴含了低水印原则。无上写，无下读写访问规则：主体 S能够对客体O执行写操作，当且仅当I(O) < I(S)。-Biba模型：主体S能够对客体O执行读操作，当且仅当I(S) < I(O)。4入侵检测方法特点:关于入侵检测，有两种不同的方法: 基于特征的IDS :主要是基于明确的已知特征或者模式来检测攻击。优势:1.能够发出比较明确具体的报警，因为这些特征都是与一些特定模式的攻击相匹配。2.简单、高效以及优秀的检测已知攻击的能力。劣势:1.只能检测出已知类型的攻击。即便是已知攻击的轻微变体也可能会被基于特征的入侵检测系统错过。2.特征的数量可能会非常多从而带来性能的下降。3. 描述特征文件必须足够新。基于异常的IDS :主要是先尝