網(wǎng)絡(luò)安全期末復(fù)習(xí)題

1、第1章 網(wǎng)絡(luò)安全概論1. 選擇題 (1) 計算機網(wǎng)絡(luò)安全是指利用計算機網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的 、完整性、網(wǎng)絡(luò)服務(wù)可用性和可審查性受到保護(hù)。A機密性 B抗攻擊性C網(wǎng)絡(luò)服務(wù)管理性 D控制安全性 (2) 網(wǎng)絡(luò)安全的實質(zhì)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的 安全。A系統(tǒng) B軟件C信息 D網(wǎng)站 (3) 下面不屬于TCSEC標(biāo)準(zhǔn)定義的系統(tǒng)安全等級的4個方面是。A安全政策 B可說明性C安全保障 D安全特征 (4) 在短時間內(nèi)向網(wǎng)絡(luò)中的某臺服務(wù)器發(fā)送大量無效連接請求，導(dǎo)致合法用戶暫時無法訪問服務(wù)器的攻擊行為是破壞了 。A機密性 B完整性 C可用性 D可控性(5)如果訪問者有意避開系統(tǒng)的訪問控制機制，則該

2、訪問者對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用屬于 。A破環(huán)數(shù)據(jù)完整性 B非授權(quán)訪問 C信息泄漏 D拒絕服務(wù)攻擊答案: (1) A (2) C (3) D (4) C (5) B 2. 填空題(1) 計算機網(wǎng)絡(luò)安全是一門涉及 、 、 、通信技術(shù)、應(yīng)用數(shù)學(xué)、密碼技術(shù)、信息論等多學(xué)科的綜合性學(xué)科。答案: 計算機科學(xué) 、網(wǎng)絡(luò)技術(shù) 、信息安全技術(shù) (2) 網(wǎng)絡(luò)安全的5 大要素和技術(shù)特征，分別是 _、_、_、_、_。答案: 機密性、完整性、可用性、可控性、不可否認(rèn)性 (3) 計算機網(wǎng)絡(luò)安全所涉及的內(nèi)容包括是 、 、 、 、 等五個方面。答案: 實體安全、運行安全 、系統(tǒng)安全、應(yīng)用安全、 管理安全 (4) 網(wǎng)絡(luò)信息

3、安全保障包括 、 、 和 四個方面。 (5) 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)分為 、 、 、 、 、 、 和 八大類。 (6) 網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有 、 、 、 的特點。 (7) TCSEC是可信計算系統(tǒng)評價準(zhǔn)則的縮寫，又稱網(wǎng)絡(luò)安全橙皮書，將安全分為 、 、 和文檔四個方面。(8)通過對計算機網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面、充分、有效的安全評測，能夠快速查出 、 、 。答案: (4) 信息安全策略、信息安全管理、信息安全運作和信息安全技術(shù)(5) 身份認(rèn)證、訪問管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復(fù)(6) 多維主動、綜合性、智能化、全方位防御(7) 安全政策、可說明性、安全保障(8) 網(wǎng)絡(luò)安全隱患、安全漏

4、洞、網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力3. 簡答題(1) 簡述網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的內(nèi)容？ 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)主要包括： (1) 身份認(rèn)證（Identity and Authentication Management） (2) 訪問管理（Access Management） (3) 加密（Cryptograghy） (4) 防惡意代碼（Anti-Malicode） (5) 加固（Hardening） (6) 監(jiān)控（Monitoring） (7) 審核跟蹤（Audit Trail）(8) 備份恢復(fù)（Backup and Recovery）(3) 網(wǎng)絡(luò)安全框架由哪幾部分組成？ (1)信息安全戰(zhàn)略 (2)信息安全政策和

5、標(biāo)準(zhǔn) (3)信息安全管理 (4)信息安全運作 (5)信息安全技術(shù)(6) 網(wǎng)絡(luò)安全設(shè)計的原則有哪些？ 在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下7項基本原則： (1) 綜合性、整體性原則 (2) 需求、風(fēng)險、代價平衡的原則 (3)一致性原則 (4)易操作性原則 (5) 分步實施原則 (6) 多重保護(hù)原則 (7) 可評價性原則(7) 網(wǎng)絡(luò)安全的設(shè)計步驟是什么？ 根據(jù)信息安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全設(shè)計的原則,可以確定網(wǎng)絡(luò)安全設(shè)計的5個步驟: (1) 明確安全需求，進(jìn)行風(fēng)險分析 (2) 選擇并確定網(wǎng)絡(luò)安全措施 (3) 方案實施 (4) 網(wǎng)絡(luò)試驗及運行 (5) 優(yōu)化及改進(jìn)第2章 網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)1. 選擇題

6、（1）SSL協(xié)議是（ ）之間實現(xiàn)加密傳輸?shù)膮f(xié)議。A.物理層和網(wǎng)絡(luò)層 B.網(wǎng)絡(luò)層和系統(tǒng)層C.傳輸層和應(yīng)用層 D.物理層和數(shù)據(jù)層（2）加密安全機制提供了數(shù)據(jù)的（ ）。A.可靠性和安全性 B.保密性和可控性C.完整性和安全性 D.保密性和完整性（3）抗抵賴性服務(wù)對證明信息的管理與具體服務(wù)項目和公證機制密切相關(guān)，通常都建立在（ ）層之上。A.物理層 B.網(wǎng)絡(luò)層C.傳輸層 D.應(yīng)用層（4）能在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層提供的網(wǎng)絡(luò)安全服務(wù)的是（ ）。A.認(rèn)證服務(wù) B.數(shù)據(jù)保密性服務(wù)C.數(shù)據(jù)完整性服務(wù) D.訪問控制服務(wù)（5）傳輸層由于可以提供真正的端到端的連接，最適宜提供（ ）安全服務(wù)。A.數(shù)據(jù)

7、保密性 B.數(shù)據(jù)完整性 C.訪問控制服務(wù) D.認(rèn)證服務(wù)解答:（1）C （2）D （3）D （4）B （5）B2. 填空題（1）應(yīng)用層安全分解成 、 、 的安全，利用 各種協(xié)議運行和管理。解答: （1）網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫、TCP/IP（2）安全套層SSL協(xié)議是在網(wǎng)絡(luò)傳輸過程中，提供通信雙方網(wǎng)絡(luò)信息的 性 和 性，由 和 兩層組成。解答:（2）保密性、可靠性、SSL 記錄協(xié)議、SSL握手協(xié)議（3）OSI/RM開放式系統(tǒng)互連參考模型七層協(xié)議是 、 、 、 、 、 、 。解答:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層（4）ISO對OSI規(guī)定了 、 、 、 、 五種級別的安全服務(wù)

8、。解答: 對象認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、防抵賴（5）一個VPN連接由 、 和 三部分組成。一個高效、成功的VPN具有 、 、 、 四個特點。解答: 客戶機、隧道、服務(wù)器、安全保障、服務(wù)質(zhì)量保證、可擴充和靈活性、可管理性3.簡答題（2）簡述IPV6協(xié)議的基本特征及與IPV4的IP報頭格式的區(qū)別？TCP/IP的所有協(xié)議的數(shù)據(jù)都以IP數(shù)據(jù)報的形式傳輸，TCP/IP協(xié)議簇有兩種IP版本： IPv4和IPv6。IPv4的IP地址是TCP/IP網(wǎng)絡(luò)中唯一指定主機的32位地址,一個IP包頭占20字節(jié)包括IP版本號、長度、服務(wù)類型和其他配置信息及控制字段。IPv4在設(shè)計之初沒有考慮安全性，IP包

9、本身并不具有任何安全特性。IPv6簡化了IP頭，其數(shù)據(jù)報更加靈活，同時IPv6還增加了對安全性的設(shè)計。IPv6協(xié)議相對于IPv4協(xié)議有許多重要的改進(jìn)，具有以下基本特征： (1)擴展地址空間：IPv6將IPv4的IP地址從32位擴充到128位，這使得網(wǎng)絡(luò)的規(guī)?？梢缘玫匠浞?jǐn)U展，連接所有可能的裝置和設(shè)備，并使用唯一的全局網(wǎng)絡(luò)地址。 (2)簡化報頭：IPv4有許多域和選項，由于報頭長度不固定，不利于高效地處理，也不便于擴展。I P v6針對這種實際情況，對報頭進(jìn)行了重新設(shè)計，由一個簡化的長度固定的基本報頭和多個可選的擴展報頭組成。這樣既加快了路由速度，又能靈活地支持多種應(yīng)用，還便于以后擴展新的應(yīng)用。

10、IPv4及 IPV6基本報頭如圖2-8和圖2-9所示。 圖2-8 IPV4的IP報頭 圖2-9 IPV6基本報頭(3)更好支持服務(wù)質(zhì)量QoS (Quality of Service):為上層特殊應(yīng)用的傳送信息流可以用流標(biāo)簽來識別，便于專門的處理。 (4)改善路由性能：層次化的地址分配便于實現(xiàn)路由聚合，進(jìn)而減少路由表的表項，而簡化的IP分組頭部也減少了路由器的處理負(fù)載。 (5)內(nèi)嵌的安全機制：要求強制實現(xiàn)IPSec，提供了支持?jǐn)?shù)據(jù)源發(fā)認(rèn)證、完整性和保密性的能力，同時可以抗重放攻擊。IPv6內(nèi)嵌的安全機制主要由以下兩個擴展報頭來實現(xiàn)：認(rèn)證頭AH(Authentication Header)和封裝安

11、全載荷ESP(Encapsulation Security Payload)。u 其中認(rèn)證頭AH可以實現(xiàn)以下三個功能：保護(hù)數(shù)據(jù)完整性(即不被非法篡改)；數(shù)據(jù)源發(fā)認(rèn)證(即防止源地址假冒)和抗重放(Replay)攻擊。 u 封裝安全載荷ESP則在AH所實現(xiàn)的安全功能基礎(chǔ)上，還增加了對數(shù)據(jù)保密性的支持。 u AH和ESP都有兩種使用方式：傳輸模式和隧道模式。傳輸模式只應(yīng)用于主機實現(xiàn)，并只提供對上層協(xié)議的保護(hù)，而不保護(hù)IP報頭。隧道模式（一種以隱含形式把數(shù)據(jù)包封裝到隧道協(xié)議中傳輸數(shù)據(jù)的方法，將在2.4.2介紹）可用于主機或安全網(wǎng)關(guān)。在隧道模式中，內(nèi)部的IP報頭帶有最終的源和目的地址，而外面的IP報頭可

12、能包含性質(zhì)不同的IP地址，如安全網(wǎng)關(guān)地址。 （6）簡述無線網(wǎng)絡(luò)的安全問題及保證安全的基本技術(shù)？1. 無線網(wǎng)絡(luò)的安全問題 無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用微波進(jìn)行輻射傳播，因此，只要在Access Point (AP)覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號，AP無法將無線信號定向到一個特定的接收設(shè)備，因此，無線的安全保密問題就顯得尤為突出。 2. 無線安全基本技術(shù)(1) 訪問控制-利用ESSID、MAC限制，可以防止非法無線設(shè)備入侵(2) 數(shù)據(jù)加密-基于WEP的安全解決方案(3) 新一代無線安全技術(shù)IEEE802.11i(4) TKIP-新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法(

13、5) AES- 是一種對稱的塊加密技術(shù)，提供比WEP/TKIP中RC4算法更高的加密性能(6) 端口訪問控制技術(shù)（IEEE802.1x）和可擴展認(rèn)證協(xié)議（EAP）(7) WPA（WiFi Protected Access）規(guī)范- WPA是一種可替代 WEP的無線安全技術(shù)第3章 網(wǎng)絡(luò)安全管理技術(shù)1. 選擇題（1）計算機網(wǎng)絡(luò)安全管理主要功能不包括（ ）。A.性能和配置管理功能 B.安全和計費管理功能C.故障管理功能 D.網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)管理者的管理功能（2）網(wǎng)絡(luò)安全管理技術(shù)涉及網(wǎng)絡(luò)安全技術(shù)和管理的很多方面，從廣義的范圍來看（ ）是安全網(wǎng)絡(luò)管理的一種手段。A.掃描和評估 B. 防火墻和入侵檢測系統(tǒng)安全

14、設(shè)備 C.監(jiān)控和審計 D. 防火墻及殺毒軟件（3）名字服務(wù)、事務(wù)服務(wù)、時間服務(wù)和安全性服務(wù)是（ ）提供的服務(wù)。A. 遠(yuǎn)程IT管理的整合式應(yīng)用管理技術(shù) B. APM網(wǎng)絡(luò)安全管理技術(shù)C. CORBA網(wǎng)絡(luò)安全管理技術(shù) D. 基于WeB的網(wǎng)絡(luò)管理模式（4）與安全有關(guān)的事件，如企業(yè)猜測密碼、使用未經(jīng)授權(quán)的權(quán)限訪問、修改應(yīng)用軟件以及系統(tǒng)軟件等屬于安全實施的（ ）。A.信息和軟件的安全存儲 B.安裝入侵檢測系統(tǒng)并監(jiān)視 C.對網(wǎng)絡(luò)系統(tǒng)及時安裝最新補丁軟件 D.啟動系統(tǒng)事件日志（5）（ ）功能是使用戶能夠能過輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來達(dá)到網(wǎng)絡(luò)管理目的，并且已經(jīng)發(fā)展成為各種網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)。

15、A. TCP/IP協(xié)議 B.公共管理信息協(xié)議CMIS/CMIP C.簡單網(wǎng)絡(luò)管理協(xié)議SNMP D.用戶數(shù)據(jù)報文協(xié)議UDP解答: （1）D （2）B （3）C （4）D （5）C 2. 填空題（1）OSI/RM安全管理包括 、 和 ，其處理的管理信息存儲在 或 中。解答: （1）系統(tǒng)安全管理、安全服務(wù)管理、安全機制管理、數(shù)據(jù)表、文件（2）網(wǎng)絡(luò)安全管理功能包括計算機網(wǎng)絡(luò)的 、 、 、 等所需要的各種活動。ISO定義的開放系統(tǒng)的計算機網(wǎng)絡(luò)管理的功能包括 、 、 、 、 。（2）運行、處理、維護(hù)、服務(wù)提供、故障管理功能、配置管理功能、性能管理功能、安全管理功能、計費管理功能（3） 是信息安全保障體系的

16、一個重要組成部分，按照 的思想，為實現(xiàn)信息安全戰(zhàn)略而搭建。一般來說防護(hù)體系包括 、 和 三層防護(hù)結(jié)構(gòu)。（3）信息安全管理體系、多層防護(hù)、認(rèn)知宣傳教育、組織管理控制、審計監(jiān)督（4）網(wǎng)絡(luò)管理是通過 來實現(xiàn)的，基本模型由 、 和 三部分構(gòu)成。（4）構(gòu)建網(wǎng)絡(luò)管理系統(tǒng)NMS、網(wǎng)絡(luò)管理工作站、代理、管理數(shù)據(jù)庫（5）在網(wǎng)絡(luò)管理系統(tǒng)的組成部分中， 最重要，最有影響的是 和 代表了兩大網(wǎng)絡(luò)管理解決方案。（5）網(wǎng)絡(luò)管理協(xié)議、SNMP、CMIS/CMIP3.簡答題（3）網(wǎng)絡(luò)安全管理的技術(shù)有哪些？1. 網(wǎng)絡(luò)安全管理技術(shù)概念 網(wǎng)絡(luò)安全管理技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全管理和維護(hù)的技術(shù)，需要利用多種網(wǎng)絡(luò)安全技術(shù)和設(shè)備，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行

17、安全、合理、有效和高效的管理和維護(hù)。 網(wǎng)絡(luò)安全管理技術(shù)一般需要實施一個基于多層次安全防護(hù)的策略和管理協(xié)議，將網(wǎng)絡(luò)訪問控制、入侵檢測、病毒檢測和網(wǎng)絡(luò)流量管理等安全技術(shù)應(yīng)用于內(nèi)網(wǎng)，進(jìn)行統(tǒng)一的管理和控制，各種安全技術(shù)彼此補充、相互配合，對網(wǎng)絡(luò)行為進(jìn)行檢測和控制，形成一個安全策略集中管理、安全檢查機制分散布置的分布式安全防護(hù)體系結(jié)構(gòu)，實現(xiàn)對內(nèi)網(wǎng)進(jìn)行安全保護(hù)和管理。 監(jiān)控和審計是與網(wǎng)絡(luò)管理密切相關(guān)的技術(shù)。監(jiān)控和審計是通過對網(wǎng)絡(luò)通信過程中可疑、有害信息或行為進(jìn)行記錄為事后處理提供依據(jù)，從而對黑客形成一個強有力的威懾和最終達(dá)到提高網(wǎng)絡(luò)整體安全性的目的。 （4）網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型的構(gòu)成及各組成部分的內(nèi)容是

18、什么？現(xiàn)代計算機網(wǎng)絡(luò)管理系統(tǒng)（Network Management System, 簡稱NMS）主要由如下部分組成：l 多個被管代理（Managed Agents）及被管理對象（Managed Object）l 用于執(zhí)行具體管理工作的網(wǎng)絡(luò)管理器（Network Management）l 公共網(wǎng)絡(luò)管理協(xié)議（Network Manager Protocol，簡NMP）l 系統(tǒng)管理應(yīng)用進(jìn)程(System Management Application Programme，簡稱管理進(jìn)程SMAP)l 管理信息庫（Management Information Base，簡稱MIB）。第4 章 黑客攻防與入侵

19、檢測1. 選擇題（1）在黑客攻擊技術(shù)中，（ ）黑客發(fā)現(xiàn)獲得主機信息的一種最佳途徑。A.網(wǎng)絡(luò)監(jiān)聽 B.緩沖區(qū)溢出 C.端口掃描 D.口令破解（2）一般情況下，大多數(shù)監(jiān)聽工具不能夠分析的協(xié)議是（ ）。A. 標(biāo)準(zhǔn)以太網(wǎng) B. TCP/IP C. SNMP和CMIS D. IPX和DECNet（3）改變路由信息、修改WinDows NT注冊表等行為屬于拒絕服務(wù)攻擊的（ ）方式。A.資源消耗型 B.配置修改型 C.服務(wù)利用型 D. 物理破壞型（4）（ ）是建立完善的訪問控制策略，及時發(fā)現(xiàn)網(wǎng)絡(luò)遭受攻擊情況并加以追蹤和防范，避免對網(wǎng)絡(luò)造成更大損失。A. 動態(tài)站點監(jiān)控 B.實施存取控制 C. 安全管理檢測 D

20、.完善服務(wù)器系統(tǒng)安全性能（5）（ ）是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，可以遠(yuǎn)程上傳、修改注冊表等，集聚危險性還在于，在服務(wù)端被執(zhí)行后，如果發(fā)現(xiàn)防火墻就會終止該進(jìn)程，使安裝的防火墻完全失去控制。A.冰河 B.網(wǎng)絡(luò)公牛C.網(wǎng)絡(luò)神偷 D.廣外女生解答：（1）C （2）C （3）B （4）A （5）D2. 填空題（1）黑客的“攻擊五部曲”是 、 、 、 、 。解答：隱藏IP、 踩點掃描、獲得特權(quán)、種植后門、隱身退出（2）端口掃描的防范也稱為 ，主要有 和 兩種方法。解答：系統(tǒng)加固、關(guān)閉閑置及危險端口、屏蔽出現(xiàn)掃描癥狀的端口（3）密碼攻擊一般有 、 和 三種方法。其中 有蠻力攻擊和字典攻擊兩種方式。解答：網(wǎng)絡(luò)

21、監(jiān)聽非法得到用戶密碼、密碼破解、放置特洛伊木馬程序、密碼破解（4）網(wǎng)絡(luò)安全防范技術(shù)也稱為 ，主要包括訪問控制、 、 、 、補丁安全、 、數(shù)據(jù)安全等。解答：加固技術(shù)、安全漏洞掃描、入侵檢測、攻擊滲透性測試、關(guān)閉不必要的端口與服務(wù)等（5）入侵檢測系統(tǒng)模型由 、 、 、 以及 五個主要部分組成。解答：信息收集器、分析器、響應(yīng)、數(shù)據(jù)庫、目錄服務(wù)器3.簡答題（1）常用的黑客攻擊技術(shù)有哪些？對每一種攻擊技術(shù)的防范對策是什么？1) 端口掃描攻防1) 端口掃描作用網(wǎng)絡(luò)端口為一組16位號碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號端口、FTP端口21、Telnet

22、端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過端口進(jìn)行的，同時也為黑客提供了一個隱蔽的入侵通道。對目標(biāo)計算機進(jìn)行端口掃描能得到許多有用的信息。通過端口掃描，可以得到許多需要的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞防患于未然。端口掃描往往成為黑客發(fā)現(xiàn)獲得主機信息的一種最佳途徑。2)端口掃描的防范對策 端口掃描的防范也稱為系統(tǒng)“加固”，主要有兩種方法。 (1) 關(guān)閉閑置及危險端口 (2) 屏蔽出現(xiàn)掃描癥狀的端口2 )網(wǎng)絡(luò)監(jiān)聽攻防網(wǎng)絡(luò)嗅探就是使網(wǎng)絡(luò)接口接收不屬于本主機的數(shù)據(jù)。通常賬戶和密碼等信息都以明文的形式在以太網(wǎng)上傳輸，一旦被黑客在雜錯節(jié)點上嗅探到，用戶就可能會遭到損害。對于網(wǎng)絡(luò)嗅探攻擊，可以采取以下一些措施進(jìn)

23、行防范。(1) 網(wǎng)絡(luò)分段(2) 加密(3) 一次性密碼技術(shù)5) 緩沖區(qū)溢出攻防(1) 編寫正確的代碼(2) 非執(zhí)行的緩沖區(qū) (3) 數(shù)組邊界檢查(4) 程序指針完整性檢查6) 拒絕服務(wù)攻防到目前為止，進(jìn)行DDoS 攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞。檢測DDoS攻擊的主要方法有以下幾種： (1)根據(jù)異常情況分析 (2)使用DDoS檢測工具 對DDoS攻擊的主要防范策略包括： (1)盡早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。 (2)在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。 (3)利用網(wǎng)絡(luò)安全設(shè)備如防火墻等來加固網(wǎng)絡(luò)的

24、安全性。 (4)比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制。 (5)當(dāng)發(fā)現(xiàn)自己正在遭受DDoS攻擊時，應(yīng)當(dāng)啟動應(yīng)付策略，盡快追蹤攻擊包，并及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋已知攻擊節(jié)點的流量。 (6)對于潛在的DDoS攻擊，應(yīng)當(dāng)及時清除，以免留下后患。 （2）闡明特洛伊木馬攻擊的步驟及原理？ 1） 使用木馬工具進(jìn)行網(wǎng)絡(luò)入侵，基本過程可以分為6個步驟。 (1) 配置木馬 (2) 傳播木馬 (3) 運行木馬 (4) 泄露信息。收集一些服務(wù)端的軟硬件信息，并通過E-mail或ICQ 等告知控制端用戶。

25、(5) 建立連接。服務(wù)端安裝木馬程序，且控制端及服務(wù)端都要在線?？刂贫丝梢酝ㄟ^木馬端口與服務(wù)端建立連接。 (6) 遠(yuǎn)程控制。通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 控制端口可以享有的控制權(quán)限： 竊取密碼、文件操作、修改注冊表和系統(tǒng)操作。2)特洛伊木馬攻擊原理特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 一個完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。 （6）入侵檢測系統(tǒng)的主要功能有哪些？其特點是什么？入侵檢測系統(tǒng)主要功能包括6個方面：(1) 監(jiān)視、分析用戶及系統(tǒng)活動；(2) 系統(tǒng)構(gòu)造和弱點的審計；(

26、3) 識別反映已知進(jìn)攻的活動模式并向相關(guān)人員報警；(4) 異常行為模式的統(tǒng)計分析；(5) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6) 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 入侵檢測系統(tǒng)的特點： 入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一，通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)，是對防火墻技術(shù)的合理補充。IDS幫助系統(tǒng)防范網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理功能，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。 入侵檢測和安全防護(hù)有根本性的區(qū)別：安全防護(hù)和黑客的關(guān)系是“防

27、護(hù)在明，黑客在暗”，入侵檢測和黑客的關(guān)系則是“黑客在明，檢測在暗”。安全防護(hù)主要修補系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件；入侵檢測并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征一般與系統(tǒng)缺陷有邏輯關(guān)系，對入侵事件的特征進(jìn)行檢測，所以入侵檢測系統(tǒng)是黑客的克星。（7）簡述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？1. 提高防范意識2. 設(shè)置安全口令3. 實施存取控制4. 加密及認(rèn)證5. 定期分析系統(tǒng)日志6. 完善服務(wù)器系統(tǒng)安全性能7. 進(jìn)行動態(tài)站點監(jiān)控8. 安全管理檢測9. 做好數(shù)據(jù)備份10. 使用防火墻和防毒軟件（8）簡述端口掃描的原理。最簡單的端口掃描程序僅僅是檢查目標(biāo)主

28、機在哪些端口可以建立TCP 連接，如果可以建立連接，則說明主機在那個端口被監(jiān)聽。 對于非法入侵者而言，要想知道端口上具體提供的服務(wù)，必須用相應(yīng)的協(xié)議來驗證才能確定，因為一個服務(wù)進(jìn)程總是為了完成某種具體的工作而設(shè)計的。 （9）從網(wǎng)絡(luò)安全角度分析為什么在實際應(yīng)用中要開放盡量少的端口？網(wǎng)絡(luò)端口為一組16位號碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號端口、FTP端口21、Telnet端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過端口進(jìn)行的，同時也為黑客提供了一個隱蔽的入侵通道。對目標(biāo)計算機進(jìn)行端口掃描能得到許多有用的信息。通過端口掃描，可以得到許多需要的信息

29、，往往成為黑客發(fā)現(xiàn)獲得主機信息的一種最佳途徑, 所以從網(wǎng)絡(luò)安全角度在實際應(yīng)用中要開放盡量少的端口。（10）在實際應(yīng)用中應(yīng)怎樣防范口令破譯？ 通常保持密碼安全的要點： (1) 要將密碼寫下來，以免遺失； (2) 不要將密碼保存在電腦文件中； (3) 不要選取顯而易見的信息做密碼； (4) 不要讓他人知道； (5) 不要在不同系統(tǒng)中使用同一密碼； (6) 在輸入密碼時應(yīng)確認(rèn)身邊無人或其他人在1米線外看不到輸入密碼的地方； (7) 定期改變密碼，至少25 個月改變一次。（11）簡述出現(xiàn)DDoS 時可能發(fā)生的現(xiàn)象。被攻擊主機上出現(xiàn)大量等待的TCP 連接，網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，源地址為假的，制造

30、高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊，利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求，嚴(yán)重時會造成系統(tǒng)死機。（12）簡述電子郵件炸彈的原理及防范技術(shù)。原理：是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險，甚至癱瘓。防范技術(shù)：其防范方法與防范其他密碼破解、拒收垃圾郵件和防范病毒方法類似。第5章 身份認(rèn)證與訪問控制1. 選擇題（1）在常用的身份認(rèn)證方式中，（ ）是采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證

31、模式，具有安全性、移動性和使用的方便性。A. 智能卡認(rèn)證 B. 動態(tài)令牌認(rèn)證 C. USB Key D. 用戶名及密碼方式認(rèn)證（2）以下（ ）屬于生物識別中的次級生物識別技術(shù)。A. 網(wǎng)膜識別 B. DNA C. 語音識別 D. 指紋識別（3）數(shù)據(jù)簽名的（ ）功能是指簽名可以證明是簽字者而不是其他人在文件上簽字。A. 簽名不可偽造 B. 簽名不可變更C. 簽名不可抵賴 D. 簽名是可信的（4）在綜合訪問控制策略中，系統(tǒng)管理員權(quán)限、讀/寫權(quán)限、修改權(quán)限屬于（ ）。A. 網(wǎng)絡(luò)的權(quán)限控制 B. 屬性安全控制C. 網(wǎng)絡(luò)服務(wù)安全控制 D. 目錄級安全控制（5）以下（ ）不屬于AAA系統(tǒng)提供的服務(wù)類型。A.

32、 認(rèn)證 B. 鑒權(quán)C. 訪問 D. 審計解答：（1）B （2）C （3）A （4）D （5）C2. 填空題（1）身份認(rèn)證是計算機網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同 的系統(tǒng)資源時，系統(tǒng)確認(rèn)該用戶的身份是否 、 和 的過程。解答：保護(hù)級別、真實、合法、唯一（2）數(shù)字簽名是指用戶用自己的 對原始數(shù)據(jù)進(jìn)行 所得到 ，專門用于保證信息來源的 、數(shù)據(jù)傳輸?shù)?和 。解答：私鑰 加密、特殊數(shù)字串、真實性、完整性、防抵賴性（3）訪問控制包括三個要素，即 、 和 。訪問控制的主要內(nèi)容包括 、 和 三個方面。解答：主體 客體、控制策略、認(rèn)證、控制策略實現(xiàn)、審計（4）訪問控制模式有三種模式，即 、 和 。解答：自主訪

33、問控制DAC、強制訪問控制MAC、基本角色的訪問控制RBAC（5）計算機網(wǎng)絡(luò)安全審計是通過一定的 ，利用 系統(tǒng)活動和用戶活動的歷史操作事件，按照順序 、 和 每個事件的環(huán)境及活動，是對和的要補充和完善。解答：安全策略、記錄及分析、檢查、審查、檢驗、防火墻技術(shù)、入侵檢測技術(shù)3. 簡答題（1）簡述數(shù)字簽名技術(shù)的實現(xiàn)過程？對一個電子文件進(jìn)行數(shù)字簽名并在網(wǎng)上傳輸，通常需要的技術(shù)實現(xiàn)過程包括：網(wǎng)上身份認(rèn)證、進(jìn)行簽名和對簽名的驗證。1. 身份認(rèn)證的實現(xiàn)過程PKI 提供的服務(wù)首先是認(rèn)證，即身份識別與鑒別，就是確認(rèn)實體即為自己所聲明的實體。認(rèn)證的前提是甲、乙雙方都具有第三方CA 所簽發(fā)的證書。認(rèn)證分單向認(rèn)證和

34、雙向認(rèn)證。 1) 單向認(rèn)證 ，單向認(rèn)證是甲、乙雙方在網(wǎng)上通信時，甲只需要認(rèn)證乙的身份。這時甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時乙直接將證書傳送給甲，另一種是甲向CA 的目錄服務(wù)器查詢索取。甲獲得乙的證書后，首先用CA 的根證書公鑰驗證該證書的簽名，驗證通過說明該證書是第三方CA 簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢(LRC 檢查)而進(jìn)入黑名單。2)雙向認(rèn)證。甲乙雙方在網(wǎng)上查詢對方證書的有效性及黑名單時，采用LDAP協(xié)議(Light Directory Access Protocol)，它是一種輕型目錄訪問協(xié)議，過程如圖所示。 網(wǎng)上通信的雙方，在互相認(rèn)證身

35、份之后，即可發(fā)送簽名的數(shù)據(jù)電文。3.原文保密的數(shù)據(jù)簽名的實現(xiàn)方法上述數(shù)字簽名中定義的對原文做數(shù)字摘要及簽名并傳輸原文，實際上在很多場合傳輸?shù)脑囊蟊Ｃ?，不許別人接觸。要求對原文進(jìn)行加密的數(shù)字簽名方法的實現(xiàn)涉及到“數(shù)字信封”的問題，這個處理過程稍微復(fù)雜一些，但數(shù)字簽名的基本原理仍是相同的，其簽名過程如圖5-8 所示。圖5-8 原文加密的數(shù)字簽名實現(xiàn)方法這是一個典型的“數(shù)字信封”處理過程。其基本原理是將原文用對稱密鑰加密傳輸，而將對稱密鑰用收方公鑰加密發(fā)送給對方。如同將對稱密鑰放在同一個數(shù)字信封，收方收到數(shù)字信封，用自己的私鑰解密信封，取出對稱密鑰解密得原文。原文加密的數(shù)字簽名的過程：(1) 發(fā)

36、方A 將原文信息進(jìn)行哈希(Hash)運算，得到一哈希值，即數(shù)字摘要MD。(2) 發(fā)方A 用自己的私鑰PVA，采用非對稱RSA 算法對數(shù)字摘要MD 進(jìn)行加密，即得數(shù)字簽名DS。(3) 發(fā)方A 用對稱算法DES 的對稱密鑰SK 對原文信息、數(shù)字簽名DS 及發(fā)方A 證書的公鑰PBA 采用對稱算法加密，得加密信息E。(4) 發(fā)方用收方B 的公鑰PBB，采用RSA 算法對對稱密鑰SK 加密，形成數(shù)字信封DE，就好像將對稱密鑰SK 裝到了一個用收方公鑰加密的信封里。(5) 發(fā)方A 將加密信息E 和數(shù)字信封DE 一起發(fā)送給收方B。(6) 收方B 接收到數(shù)字信封DE 后，首先用自己的私鑰PVB 解密數(shù)字信封，

37、取出對稱密鑰SK。(7) 收方B 用對稱密鑰SK 通過DES 算法解密加密信息E，還原出原文信息、數(shù)字簽名DS 及發(fā)方A 證書的公鑰PBA。(8) 收方B 驗證數(shù)字簽名，先用發(fā)方A 的公鑰解密數(shù)字簽名得數(shù)字摘要MD。(9) 收方B 同時將原文信息用同樣的哈希運算，求得一個新的數(shù)字摘要MD。(10)將兩個數(shù)字摘要MD 和MD進(jìn)行比較，驗證原文是否被修改，如果二者相等，說明數(shù)據(jù)沒有被篡改，是保密傳輸?shù)?，簽名是真實的，否則拒絕該簽名。這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，其他沒經(jīng)認(rèn)證和授權(quán)的人看不見或讀不懂原數(shù)據(jù)，起到了在數(shù)字簽名傳輸中對敏感數(shù)據(jù)的保密作用。以上就是現(xiàn)行電子簽名中普遍被使用

38、而又具有可操作性的、安全的、數(shù)字簽名的技術(shù)實現(xiàn)原理和全部過程。（3）簡述安全審計的目的和類型？目的和意義在于： (1) 對潛在的攻擊者起到重大震懾和警告的作用； (2) 測試系統(tǒng)的控制是否恰當(dāng)，以便于進(jìn)行調(diào)整，保證與既定安全策略和操作能夠協(xié)調(diào)一致。(3) 對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，作出損害評估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)；(4) 對系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評價和反饋，便于修訂決策和部署。(5) 為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。安全審計有三種類型： (1) 系統(tǒng)級審計 (2) 應(yīng)用級審計 (3) 用戶級審計

39、2Windows NT的訪問控制過程 （1）創(chuàng)建賬號。當(dāng)一個賬號被創(chuàng)建時，Windows NT系統(tǒng)為它分配一個安全標(biāo)識（SID）。安全標(biāo)識和賬號惟一對應(yīng)，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。安全標(biāo)識與對應(yīng)的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。 （2）登錄過程（LP）控制。每次用戶登錄時，用戶應(yīng)輸入用戶名、口令和用戶希望登錄的服務(wù)器/域等信息，登錄主機把這些信息傳送給系統(tǒng)的安全賬號管理器，安全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給客戶機或工作站允許訪問的信息，記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息，并返回用戶的安全標(biāo)識和用戶所在組的

40、安全標(biāo)識。工作站為用戶生成一個進(jìn)程。 （3）創(chuàng)建訪問令牌。當(dāng)用戶登錄成功后，本地安全授權(quán)機構(gòu)（LSA）為用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標(biāo)識等信息。以后用戶每新建一個進(jìn)程，都將訪問并復(fù)制令牌作為該進(jìn)程的訪問令牌。 （4）訪問對象控制。當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個對象時，安全引用監(jiān)視器（SRM）將用戶/進(jìn)程的訪問令牌中的安全標(biāo)識（SID）與對象安全描述符（是NT為共享資源創(chuàng)建的一組安全屬性，包括所有者安全標(biāo)識、組安全標(biāo)識、自主訪問控制表、系統(tǒng)訪問控制表和訪問控制項）中的自主訪問控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問該對象。在這個過程中應(yīng)該注意：安全標(biāo)識（SID）對應(yīng)賬號的整

41、個有效期，而訪問令牌只對應(yīng)某一次賬號登錄。第6章 密碼與加密技術(shù)1.選擇題（1）（ ）密碼體制，不但具有保密功能，并且具有鑒別的功能。 A. 對稱 B. 私鑰 C. 非對稱 D. 混合加密體制（2）網(wǎng)絡(luò)加密方式的（ ）是把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報文的每一位進(jìn)行加密，而且把路由信息、校驗和等控制信息全部加密。A. 鏈路加密 B. 節(jié)點對節(jié)點加密C. 端對端加密 D.混合加密（3）愷撒密碼是（ ）方法，被稱為循環(huán)移位密碼，優(yōu)點是密鑰簡單易記，缺點是安全性較差。A.代碼加密 B.替換加密C.變位加密 D.一次性加密（4）在加密服務(wù)中，（ ）是用于保障數(shù)據(jù)的真實性和完整性的，目前主要有兩種生成MA.C.的方

42、式。A. 加密和解密 B. 數(shù)字簽名 C. 密鑰安置 D.消息認(rèn)證碼（5）根據(jù)信息隱藏的技術(shù)要求和目的，下列（ ）不屬于數(shù)字水印需要達(dá)到的基本特征。A. 隱藏性 B. 安全性 C. 完整性 D. 強壯性解答：（1）C （2）A （3）B （4）D （5）C2.填空題（1）在加密系統(tǒng)中，原有的信息稱為 ，由 變?yōu)?的過程稱為加密，由 還原成 的過程稱為解密。 解答：明文、明文、密文、密文、明文（2） 是保護(hù)大型傳輸網(wǎng)絡(luò)系統(tǒng)上各種信息的惟一實現(xiàn)手段，是保障信息安全的 。解答：密碼技術(shù)、核心技術(shù)（3）對稱密碼體制加密解密使用 的密鑰；非對稱密碼體制的加密解密使用 的密鑰，而且加密密鑰和解密密鑰要求

43、互相推算。解答：相同、不相同、無法（4）數(shù)據(jù)加密標(biāo)準(zhǔn)DES是 加密技術(shù)，專為 編碼數(shù)據(jù)設(shè)計的，典型的按 方式工作的 密碼算法。解答：代碼加密、替換加密、變位加密、一次性加密（5）常用的加密方法有 、 、 、 四種。解答：對稱、二進(jìn)制、分組、單鑰3.簡答題（3）簡述密碼的破譯方法和防止密碼被破譯的措施？密碼破譯方法1密鑰的窮盡搜索 破譯密文最簡單的方法，就是嘗試所有可能的密鑰組合。如果破譯者有識別正確解密結(jié)果的能力，雖然大多數(shù)的密鑰組合破解嘗試都可能失敗，但最終有可能被破譯者得到密鑰和原文，這個過程稱為密鑰的窮盡搜索。密鑰的窮盡搜索，一般可用簡單的工具軟件或機械裝置，如同組合密碼攻擊一樣，搜索效

44、率很低，甚至達(dá)到的程度很小。如果加密系統(tǒng)密鑰生成的概率分布不均勻，比如有些密鑰組合根本不會出現(xiàn)，而另一些組合則經(jīng)常出現(xiàn)，那么密鑰的有效長度則減小了很多。破譯者利用這種規(guī)律就可能大大加快搜索的速度。另外，利用多臺或更先進(jìn)的計算機進(jìn)行分布式搜索，其威脅也是很大的。2密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。 (1) 已知明文的破譯方法：密碼分析員可以通過一段明文和密文的對應(yīng)關(guān)系，經(jīng)過分析發(fā)現(xiàn)加密的密鑰。所以，過時或常用加密的明文、密文和密鑰，仍然具有被利用的危險性。(2) 選定明文的破譯方法：密碼分析員可以設(shè)法讓對手加密一段選定的明文，并獲得加密后的結(jié)果，經(jīng)過分

45、析也可以確定加密的密鑰。（4）如何進(jìn)行簡單的變位加密？已知明文是“來賓已出現(xiàn)住在人民路”， 密鑰是：4168257390，則加密后，密文是什么？簡單的變位加密：首先選擇一個用數(shù)字表示的密鑰，寫成一行，然后把明文逐行寫在數(shù)字下。按密鑰中數(shù)字指示的順序，逐列將原文抄寫下來，即為加密后的密文 。密鑰： 4 1 6 8 2 5 7 3 9 0明文：來 賓 已 出 現(xiàn) 住 在 人 民 路 0 1 2 3 4 5 6 7 8 9密文：路 賓 現(xiàn) 人 來 住 已 在 出 民(5)已知明文是“One World One Dream”，用5列變位加密后，密文是什么？O n e W or l d O ne D r e am 則密文是：OremnlDedrWOeona（6）已知明文是“One World One Dream”，按行排在矩陣中，置換f=，用矩陣變位加密方法后，密文是什