网络信息安全题库,网络信息安全题库1000道题

('网络信息安全题库一、单项选择题1.密码学的目的是（）。A.研究数据加密B.研究数据解密C.研究数据保密(正确答案)D.研究漏洞扫描2.数据机密性安全服务的基础是（）。A.数据完整性机制B.数字签名机制C.访问控制机制D.加密机制(正确答案)3.数字签名要预先使用单向Hash函数进行处理的原因是（）。A.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度，加快数字签名和验证签名的运算速度(正确答案)D.保证密文能正确还原成明文4.基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（）。A.公钥认证B.零知识认证C.共享密钥认证(正确答案)D.口令认证5.PKI管理对象不包括（）。A.ID和口令(正确答案)B.证书C.密钥D.证书撤消列表6．AH协议和ESP协议有（）种工作模式。A.二(正确答案)B.三C.四D.五7.（）属于应用层使用的安全协议。A.SSLB.SET(正确答案)C.IPSecD.TLS8.包过滤型防火墙原理上是基于（）进行分析的技术。A.物理层B.数据链路层C.网络层(正确答案)D.应用层9.计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序。A.内存B.软盘C.存储介质(正确答案)D.云盘10.“公开密钥密码体制”的含义是（）。A.将所有密钥公开B.将私有密钥公开，公开密钥保密C.将公开密钥公开，私有密钥保密(正确答案)D.两个密钥相同11．攻击者截获并记录了从A到B的数据，于是从早些时候所截获的数据中提取出信息重新发往B称为（）。A.中间人攻击B.字典攻击C.强力攻击D.重放攻击(正确答案)12.PKI的主要组成不包括（）。A.证书授权CAB.SSL(正确答案)C.注册授权RAD.证书存储库CR13.（）协议必须提供认证服务。A.AH(正确答案)B.ESPC.CDMAD.以上皆是14．下列选项中能够用在网络层的协议是（）。A.SSLB.PGPC.PPTPD.IPSec(正确答案)15、（）协议是一个用于提供IP数据报完整性、身份认证和可选的抗重播保护的机制，但不提供数据机密性保护。A.AH协议(正确答案)B.ESP协议C.IPSec协议D.PPTP协议16.IPSec协议中负责对IP数据报加密的部分是（）。A.封装安全负载（ESP）(正确答案)B.鉴别包头（AH）C.Internet密钥交换（IKE）D.以上都不是17.防火墙用于将Internet和内部网络隔离，（）。A.是防止Internet火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施(正确答案)C.是保护线路不受破坏的软件和硬件设施D.是起抗电磁干扰作用的硬件设施18．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB公开，KB秘密），A方向B方发送数字签名，对信息M加密为：M’=KB公开（KA秘密（M））。B方收到密文的解密方案是（）。A.KB公开（KA秘密（M’））B.KA公开（KA公开（M’））C.KA公开（KB秘密（M’））(正确答案)D.KB秘密（KA秘密（M’））19.从安全属性对各种网络攻击进行分类，阻断攻击是针对（）的攻击。A.机密性B.可用性(正确答案)C.完整性D.真实性20．攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（）。A.拒绝服务攻击(正确答案)B.地址欺骗攻击C.会话劫持D.信号包探测程序攻击21.CA属于PKI安全体系结构中定义的（）。A.认证交换机制B.通信业务填充机制C.路由控制机制D.公证机制(正确答案)22.访问控制是指确定（）以及实施访问权限的过程。A.用户身份(正确答案)B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵23.PKI支持的服务不包括（）。A.非对称密钥技术及证书管理B.CRL列表服务C.对称密钥的产生和分发D.访问控制服务(正确答案)24．目前，VPN使用了（）技术保证了通信的安全性。A.隧道协议、身份认证和数据加密(正确答案)B.身份认证、数据加密C.隧道协议、身份认证D.隧道协议、数据加密25．IPSecVPN不太适合用于（）。A.已知范围的IP地址的网络B.固定范围的IP地址的网络C.动态分配IP地址的网络(正确答案)D.TCP/IP协议的网络26.假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（）。A.对称加密技术(正确答案)B.分组密码技术C.公钥加密技术D.单向散列函数密码技术27.用于实现身份鉴别的安全机制是（）。A.加密机制和数字签名机制(正确答案)B.加密机制和访问控制机制C.数字签名机制和路由控制机制D.访问控制机制和路由控制机制28.身份鉴别是安全服务中的重要一环，以下关于身份鉴别的叙述不正确的是（）。A.身份鉴别是授权控制的基础B.身份鉴别一般不用提供双向的认证(正确答案)C.目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制29.PKI能够执行的功能是（）和（）。A.鉴别计算机消息的始发者(正确答案)B.确认计算机的物理位置C.保守消息的机密(正确答案)D.确认用户具有的安全性特权30.信息安全的基本属性是（）。A.机密性B.可用性C.完整性D.上面3项都是(正确答案)31.ISO安全体系结构中的对象认证服务，使用（）完成。A.加密机制B.数字签名机制(正确答案)C.访问控制机制D.数据完整性机制32.机密性服务提供信息的保密，机密性服务包括（）。A.文件机密性B.信息传输机密性C.通信流的机密性D.以上3项都是(正确答案)33.关于DES算法，除了（）以外，下列描述DES算法子密钥产生过程是正确的。A.首先将DES算法所接受的输入密钥K（64位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥）B.在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次循环左移的输入C.在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循环左移的输入(正确答案)D.然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki34.根据所依据的数学难题，除了（）以外，公钥密码体制可以分为以下几类。A.模幂运算问题(正确答案)B.大整数因子分解问题C.离散对数问题D.椭圆曲线离散对数问题35.完整的数字签名过程（包括从发送方发送消息到接收方安全的接收到消息）包括（）和验证过程。A.加密B.解密C.签名(正确答案)D.保密传输36.密码学在信息安全中的应用是多样的，以下（）不属于密码学的具体应用。A.生成各种网络协议(正确答案)B.消息认证，确保信息完整性C.加密技术，保护传输信息D.进行身份认证37.某公司的工作时间是上午8点半至12点，下午1点至5点半，每次系统备份需要一个半小时，下列适合作为系统数据备份的时间是（）。A.上午8点B.中午12点C.下午3点D.凌晨1点(正确答案)38.容灾的目的和实质是（）。A.数据备份B.心理安慰C.保持信息系统的业务持续性(正确答案)D.系统的有益补充39.基于网络的入侵检测系统的信息源是（）。A.系统的审计日志B.事件分析器C.应用程序的事务日志文件D.网络中的数据包(正确答案)40.误用入侵检测技术的核心问题是（）的建立以及后期的维护和更新。A.异常模型B.规则集处理引擎C.网络攻击特征库(正确答案)D.审计日志41.使用漏洞库匹配的扫描方法，能发现（）。A.未知的漏洞B.已知的漏洞(正确答案)C.自行设计的软件中的漏洞D.所有的漏洞42.防火墙提供的接入模式不包括（）A.网关模式B.透明模式C.混合模式D.旁路接入模式(正确答案)43.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P，D，R分别代表（）。A.保护检测响应(正确答案)B.策略检测响应C.策略检测恢复D.保护检测恢复44.信息安全管理领域的权威标准是（）。A.ISO15408B.ISO17799/ISO27001(正确答案)C.ISO9001D.ISO1400145.根据风险管理的看法，资产()价值，()脆弱性，被安全威胁所()，()风险。（）A.存在利用导致具有B.具有存在利用导致(正确答案)C.导致存在具有利用D.利用导致存在具有46.社会工程学常被黑客用于（）A.口令获取(正确答案)B.ARP攻击C.重放攻击D.DDOS47.一个完整的密码体制，不包括以下（）要素。A.明文空间B.密文空间C.数字签名(正确答案)D.密钥空间48.对称加密算法不包括（）。A.3-DESB.IDEAC.RSA(正确答案)D.AES49.自然灾害引起的安全问题，称为（）。A.物理安全(正确答案)B.法律安全C.人事安全D.技术安全50.采用具有一定安全性质的硬件或软件，保护信息系统的安全，属于（）。A.物理安全B.人事安全C.法律安全D.技术安全(正确答案)51.在自主访问控制中，客体拥有者具有全部的控制权，称为（）。A.集中型管理模式(正确答案)B.分散型管理模式C.受限的分散型管理模式D.受限的集中型管理模式52.主体所能访问的客体列表，称为（）。A.授权表(正确答案)B.能力表C.稀疏矩阵D.访问控制矩阵53.未经许可，但成功获得了对系统某项资源的访问权，并更改该项资源，称为（）。A.窃取B.篡改(正确答案)C.伪造D.拒绝服务54.未经许可，在系统中产生虚假数据，称为（）。A.窃取B.篡改C.伪造(正确答案)D.拒绝服务55.未经许可直接或间接获得了对系统资源的访问权，从中获得有用数据，称为（）。A.窃取(正确答案)B.篡改C.伪造D.拒绝服务56.防止信息非授权的泄露，称为（）。A.机密性(正确答案)B.完整性C.可用性D.可控性57.保持信息不被篡改的特性，称为（）。A.机密性B.完整性(正确答案)C.可用性D.可控性58.授权用户能正常使用资源的性质称为（）。A.保密性B.完整性C.可用性(正确答案)D.可控性59.在授权范围内控制信息的流向称为（）。A.保密性B.完整性C.可用性D.可控性(正确答案)60.不能否认自己的行为，称为（）。A.抗抵赖性(正确答案)B.完整性C.可用性D.可控性61.数据信号的抗干扰能力称为（）。A.机密性B.可靠性(正确答案)C.可用性D.可控性62.防止非法用户进入系统的技术称为（）。A.身份鉴别(正确答案)B.权限管理C.信息流控制D.数据加密63.保证所有的访问都是经过授权的，称为（）。A.数字签名B.访问控制(正确答案)C.信息流控制D.数据加密64.阻止传输过程中数据被窃取的最好方法是（）。A.身份鉴别B.访问控制C.信息流控制D.数据加密(正确答案)65.监视、记录、控制用户活动的机制称为（）。A.身份鉴别B.审计(正确答案)C.管理D.加密66.下列选项中（）是信息安全五个基本属性之一。A.可信性B.可用性(正确答案)C.可审计性D.可靠性67.2017年6月1日起我国第一部基础性信息安全法律（）正式施行。A.网络安全法(正确答案)B.安全基础保护法C.计算机病毒防治管理办法D.个人信息保护法68.可信计算用于解决（）。A.设备安全B.数据安全C.内容安全D.行为安全(正确答案)69.（），中央网络安全和信息化领导小组成立。A.2014年2月(正确答案)B.2020年3月C.2008年7月D.2000年1月70.下面不属于PMI属性证书组成部分的是（）。A.发布者的唯一标识符B.签名算法标识符C.发布者的数字签名D.证书持有者的公钥(正确答案)71.0Day漏洞是指（）。A.只在当天存在.第二天就失效的漏洞B.已被公开且发布了补丁的漏洞C.补丁发布前已被掌握或公开的漏洞(正确答案)D.生命周期为一天的漏洞72.用户身份鉴别是通过（）完成的。A.口令验证(正确答案)B.审计策略C.存取控制D.查询功能二、多项选择题1.系统数据备份包括对象有（）。A.配置文件(正确答案)B.日志文件(正确答案)C.用户文档D.系统设备文件(正确答案)2.防火墙的局限性包括（）。A.防火墙不能防御绕过了它的攻击(正确答案)B.防火墙不能消除来自内部的威胁(正确答案)C.防火墙不能防御来自外部的攻击D.防火墙不能阻止病毒感染过的程序和文件进出网络(正确答案)3.病毒传播的途径有（）。A.移动硬盘(正确答案)B.网络浏览(正确答案)C.电子邮件(正确答案)D.程序文件(正确答案)4.计算机病毒具有以下特点（）。A.传染性(正确答案)B.可激发性(正确答案)C.潜伏性(正确答案)D.破坏性(正确答案)5.任何人不得在电子公告服务系统中发布含有下列内容之一的信息：（）A.反对宪法所确定的基本原则的.危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的(正确答案)B.损害国家荣誉和利益的；煽动民族仇恨.民族歧视，破坏民族团结的(正确答案)C.破坏国家宗教政策，宣扬邪教和封建迷信的(正确答案)D.散布谣言.淫秽.色情.赌博.暴力.凶杀.恐怖或者教唆犯罪的(正确答案)6.为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：（）A.侵入国家事务.国防建设.尖端科学技术领域的计算机信息系统(正确答案)B.故意制作.传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害(正确答案)C.违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行(正确答案)D.非法截获.篡改.删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密(正确答案)7.信息的安全属性包括（）。A.机密性(正确答案)B.完整性(正确答案)C.可用性(正确答案)D.真实性(正确答案)8.DES属于（）。A.对称密码体制(正确答案)B.凯撒密码体制C.非对称密码体制D.公钥密码体制9.RSA属于（）。A.非对称密码体制(正确答案)B.公钥密码体制(正确答案)C.对称密码体制D.古典密码体制10.包过滤路由器的优点包括（）。A.保护整个网络，减少暴露的风险(正确答案)B.对用户透明，不需要过多设置(正确答案)C.可以进行数据包过滤(正确答案)D.仅仅保护重点网络11.防火墙的作用包括（）。A.防止易受攻击的服务(正确答案)B.站点访问控制(正确答案)C.集中安全性(正确答案)D.增强保密，强化私有权(正确答案)12.PKI体系下的保密性服务机制包括（）A.生成一个对称密钥(正确答案)B.用对称密钥加密数据(正确答案)C.将加密后的数据发送给对方(正确答案)D.另外生成一组非对称密钥13.数字签名用于避免（）。A.否认(正确答案)B.伪造(正确答案)C.冒充(正确答案)D.篡改(正确答案)15.PKI的要件包括（）A.CA(正确答案)B.证书库(正确答案)C.密钥备份及恢复系统D.证书作废处理系统(正确答案)16.以下算法中，对称加密算法包括（）。A.DES(正确答案)B.AES(正确答案)C.IDEA(正确答案)D.3-DES(正确答案)17.AES的密钥长度可以为（）比特。A.64B.128(正确答案)C.192(正确答案)D.256(正确答案)18.（）属于密钥交换和管理协议。A.Diffie-Hellman密钥交换协议(正确答案)B.安全联盟密钥管理协议ISAKMP(正确答案)C.Internet密钥交换协议IKE(正确答案)D.RSA密钥管理协议19.（）属于安全管理的内容。A．安全风险(正确答案)B.安全需求(正确答案)C.安全策略(正确答案)D.安全评估(正确答案)20.（）属于被动攻击。A.截获B.窃取C.窃听(正确答案)D.流量分析(正确答案)三、填空题1.容灾就是减少灾难事件发生的可能性以及限制灾难对()所造成影响的一整套行为。_________________________________(答案：关键业务流程)2.数据备份的目的是为了在()崩溃时能够快速地恢复数据。_________________________________(答案：系统数据)3.()是PKI系统安全的核心。_________________________________(答案：CA)4.公钥密码体制有两种基本模型：一种是___模型；另一种是___模型。_________________________________(答案：加密认证)5.数字水印应具有3个基本特性：()、()和()。_________________________________(答案：隐蔽性鲁棒性安全性)6.如果加密密钥和解密密钥（），这种密码体制称为对称密码体制。_________________________________(答案：相同)7．DES算法密钥是()位，其中密钥有效位是（）位。_________________________________(答案：6456)8．Hash函数是可接受变长数据输入，并生成()数据输出的函数。_________________________________(答案：定长)9．()是笔迹签名的模拟，是一种包括防止源点或终点否认的认证技术。_________________________________(答案：数字签名)10.ISO17799/ISO27001最初是由()提出的安全管理标准。_________________________________(答案：英国)11.信息安全中所面临的威胁攻击是多种多样的，一般将这些攻击分为两大类（）和被动攻击。_________________________________(答案：主动攻击)12.密码技术的分类有很多种，根据加密和解密所使用的密钥是否相同，可以将加密算法分为：对称密码体制和（)。_________________________________(答案：非对称密码体制)13.密码分析是研究密码体制的破译问题，根据密码分析者所获得的数据资源，可以将密码分析分为：（）.已知明文分析.选择明文分析、选择密文分析和（）。_________________________________(答案：惟密文分析选择文本分析)14.一个完整的信息安全保障体系，应当包括（）.保护.检测.响应.恢复五个主要环节，这就是PPDRR模型的内容。_________________________________(答案：安全策略)15.网络信息安全主要包括信息交换安全和（）两类技术。_________________________________(答案：网络系统安全)16.（）是实现安全信息交换的基础。_________________________________(答案：密码学)17.DES的工作模式有加密和（）两种。_________________________________(答案：解密)18.DES使用了分组密码设计的两个基本原则：（）和扩散。_________________________________(答案：混淆)19.IDEA是作为迭代的分组密码实现的，使用（）位的密钥和8个循环。_________________________________(答案：128)20.（）是一种基于公钥技术实现的，提供数据机密性.完整性.身份认证和不可否认性等安全服务的，普适性和标准化安全平台。_________________________________(答案：公钥基础设施)21.（）是PKI的基本要素。_________________________________(答案：证书)22.（）是IPSec的基础,是通信双方建立的一种协定,决定了用来保护数据包的协议.转码方式.密钥以及密钥有效期等。_________________________________(答案：安全联盟)23.在IPsec体系中，用于实现身份和完整性验证的协议是（），用于实现数据加密的协议是（）。_________________________________(答案：AH,ESP)24.静态的网络检测技术是（），动态的网络检测技术是（）。_________________________________(答案：漏洞扫描,入侵检测)25.访问控制授权包括（）和()两种安全措施。_________________________________(答案：用户身份验证,用户权限控制)26.可信计算平台TCP是将（）作为完整性测量的信任根，TMP作为完整性报告的信任根。_________________________________(答案：BIOS)27.数字水印主要有（）和()。_________________________________(答案：鲁棒性水印,脆弱性水印)28.从检测原理上看，入侵检测包括异常检测和（）两种实现技术。_________________________________(答案：误用检测)29.信息安全具有四个侧面：设备安全.数据安全.内容安全与行为安全。（）用于解决行为安全。_________________________________(答案：可信计算)30.（）是一种既能验证身份权限信息，又能隐藏具体身份的技术，是实现网络服务中隐私保护的主要技术手段。_________________________________(答案：匿名认证)四、简答题1．简述可信计算的关键技术。签注密钥、安全输入输出、存储器屏蔽、密封储存、远程认证。(正确答案)2．简述对密码系统的攻击方法。惟密文攻击、已知明文攻击、选择明文攻击、选择密文攻击和选择文本攻击。(正确答案)3．简述计算机病毒的特征。传播-感染性、隐蔽-潜伏性、可激发性、破坏性(正确答案)4．从实现技术，防火墙有哪些类型。包过滤防火墙、应用网关防火墙、代理服务防火墙、状态检测防火墙。(正确答案)5.简述对称密钥密码体制的原理和特点。对称密钥密码体制，对于大多数算法，解密算法是加密算法的逆运算，加密密钥和解密密钥相同，对称密钥体制保密强度高、运算速度较快但开放性差，要求发送者和接收者在安全通信之前，需要有可靠的密钥信道传递密钥，而且密钥也必须妥善保管。(正确答案)6.简述公开密钥密码机制的原理和特点？公开密钥密码体制是使用具有两个密钥的加密解密算法，加密和解密的能力是分开的；这两个密钥一个保密，另一个公开。根据应用的需要，发送方可以使用接收方的公开密钥加密消息，或使用发送方的私有密钥签名消息，或两个都使用，以完成某种类型的密码编码解码功能。(正确答案)7、简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象。主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造和篡改信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者通过窃听、流量分析非法获取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来损失。(正确答案)8.简述入侵检测系统IDS所采取的两种主要方法。(1)误用检测：通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。具体地说，根据静态的、预先定好的签名集合来过滤网络中的数据流(主要是IP层)，一旦发现数据包特征与某个签名相匹配，则认为是一次入侵。(正确答案)(2)异常检测：指根据使用者的行为或资源使用状况来判断是否入侵，而不以来具体行为是否出想来检测，所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测系统的异常行为。首先定义检测假设，任何对系统的入侵和误操作都会导致系统异常，这样对入侵的检测就可以归结到对系统异常的检测。(正确答案)9.简述漏洞扫描技术的原理。安全漏洞扫描技术是一种静态的网络检测技术，用于对一个网络系统进行安全检查，寻找和发现可能被攻击者利用来攻击网络的安全漏洞。一旦发现安全漏洞，应及时采取措施加以阻塞，如：更新系统版本、安装补丁程序、调整安全配置、增加安全设施等。(正确答案)安全漏洞扫描软件是实现漏洞扫描的主要工具，它采用非破坏性方法来测试一个网络系统是否存在安全漏洞。安全漏洞扫描软件需要维护一个安全漏洞扫描方法库，该方法库不仅提供各种已知安全漏洞的测试方法，而且能将最新发现的安全漏洞及其测试方法添加进来。(正确答案)10.简述包过滤防火墙的原理包过滤防火墙动态检查流过数据包的报头，根据预先设置的一套规则，允许或禁止数据包的通过，允许通过的数据包被送往目的地，禁止通过的数据包则被丢弃。对于每一个数据包，包过滤器从第一条规则开始顺序检查，直到找到适合该包的一条规则或用完所有规则，因而规则表中各规则的设置顺序非常重要，它直接影响数据包的传输效率。(正确答案)五、综合应用题1.假如你是单位WEB服务器管理员，试述你会采取哪些主要措施来保障WEB服务器安全。访问控制（IP地址限制、Windows帐户、请求资源的Web权限、资源的NTFS权限）；(正确答案)用虚拟目录隐藏真实的网站结构；(正确答案)设置基于SSL的加密和证书服务，以保证传输安全；(正确答案)完善定期审核机制；(正确答案)安装防火墙及杀毒软件；(正确答案)及时安装操作系统补丁，减少操作系统漏洞等等。(正确答案)2.试编写一个简单的口令管理策略。（1）所有活动账号都必须有口令保护。(正确答案)（2）生成账号时，系统管理员应分配给合法用户一个唯一的口令，用户在第一次登录时应该更改口令。(正确答案)（3）口令必须至少要含有8个字符。(正确答案)（4）口令必须同时含有字母和非字母字符。(正确答案)（5）必须定期用监控工具检查口令的强度和长度是否合格。(正确答案)（6）口令不能和用户名或者登录名相同。(正确答案)（7）口令必须至少60天更改一次。(正确答案)3.假如你是一个网络管理员，请说明你会采取哪些措施来构建网络安全体系，这些措施各有什么作用。保证物理安全，将重要设备放入专门房间，保持良好环境，有专入制度。(正确答案)在网关出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙，如果对速度要求高可以使用硬件防火墙。(正确答案)在防火墙后面使用入侵检测系统IDS，与防火墙配合使用，以加强内网安全。(正确答案)做好操作系统、数据库系统、应用软件及时升级维护打补丁，消除漏洞；(正确答案)做好数据备份，保障数据安全；(正确答案)使用正版杀毒软件并及时升级；(正确答案)对外通信采用IPSec或SSL等安全协议和技术，保障通信安全；(正确答案)为系统和用户设置安全口令及权限，做好访问控制，保障系统使用安全；(正确答案)建立完善的安全管理制度、审计制度、建立应急响应机构和机制；(正确答案)做好内部安全监管、安全培训等。(正确答案)4.试论述目前造成计算机网络不安全的原因是什么?可采取哪些相应的安全措施？不安全原因:(正确答案)1.网络自身的特性(正确答案)2.网络技术的开放(正确答案)3．网络协议的漏洞(正确答案)4.通信系统和信息系统的自身缺陷(正确答案)5.系统"后门”(正确答案)6.黑客及病毒等恶意程序的攻击。(正确答案)措施:(正确答案)制定安全策略：如采用什么样的安全保障体系、确定网络资源职责划分、制定使用规则、制定日常维护规程、确定在遇到安全问题时采取的措施；采取加密、数字签名、访问控制、数据完整性、鉴别、业务填充、路由控制、可信第三方证书等机制。(正确答案)具体技术措施如：1）设置IP限制，屏蔽有威胁的IP地址2）设置身份验证，确保只有合法用户才能访问授权范围内的资源3）设置资源的WEB权限4）设置文件或目录的NTFS权限5）用虚拟目录隐藏真实的网站结构6）设置基于SSL的加密和证书服务，保证传输安全7）完善定期审核机制8）安装防火墙软件9）安装杀毒软件10）及时安装操作系统补丁，减少操作系统漏洞.(正确答案)5．分析讨论信息系统所面临的安全威胁（至少5种）。软硬件故障：由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。(正确答案)物理环境威胁：断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。(正确答案)无作为或操作失误：由于应该执行而没有执行相应的操作，或无意的执行了错误的操作，对系统造成影响。(正确答案)管理不到位：安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。(正确答案)恶意代码和病毒：具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。(正确答案)越权或滥用：通过采用一些，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。(正确答案)黑客攻击技术：利用黑客工具和技术，例如，侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。(正确答案)物理攻击：物理接触、物理破坏、盗窃(正确答案)6．请利用加密技术设计一套机制，用于实现商品的真伪查询。系统产生一随机数并存储此数，然后对其加密，再将密文贴在商品上。当客户购买到此件商品并拨打电话查询时，系统将客户输入的编码(即密文)解密，并将所得的明文与存储在系统中的明文比较，若匹配则提示客户商品是真货，并从系统中删了此明文；若不匹配则提示客户商品是假货。(正确答案)7.请利用认证技术设计一套机制，用于防止电脑彩票伪造问题。首先，系统给彩票编好码，习惯称之为条形码；然后，将条形码通过Hash运算，得到相应的消息摘要；接着，对消息摘要进行加密，得到相应密文；最后，系统将条形码与密文绑定在一起并存储，若需要查询时只要查看条形码与密文是否相关联即可。这样，即可实现电脑彩票防伪，因为伪造者是无法伪造密文的。(正确答案)8.请说明数字签名的主要流程。(1)采用Hash算法对原始报文进行运算，得到一个固定长度的消息摘要(MessageDigest)，消息摘要具有单向性、散列性和无碰撞性。(正确答案)(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。(正确答案)(3)这个数字签名将作为报文的附件和报文一起发送给接收方。(正确答案)(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。(正确答案)9.用户A需要通过计算机网络安全地将一份机密文件传送给用户B，B希望A今后对该份机密文件无法抵赖，请问如何实现。答：假定通信双方分别为Alice和Bob(正确答案)（1）双方选用一个公开密钥密码系统；(正确答案)（2）双方把自己的公开密钥通过PKI证书传送给对方；(正确答案)（3）加密方Alice将用自己的私钥加密文件，再用Bob的公钥加密文件，然后发送给Bob；(正确答案)（4）解密方Bob收到后用自己的私钥解密，再用Alice的公钥解密，就可以得到原机密文件。(正确答案)10、简述公钥密码体制的基本思想。答：①公钥密码体制的基本思想是把密钥分成两个部分：公开密钥和私有密钥（简称公钥和私钥），公钥可以向外公布，私钥则是保密的；密钥中的任何一个可以用来加密，另一个可以用来解密；公钥和私钥必须配对使用，否则不能打开加密文件；已知密码算法和密钥中的一个，求解另一个在计算上是不可行的。(正确答案)②相对于传统密码体制来说，公钥密码体制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放，而私有密钥由持有者妥善地秘密保存。这样，任何人都可以通过某种公开的途径获得一个用户的公开密要，然后进行保密通信，而解密者只能是知道私钥的密钥持有者，该体制简化了密钥的分配与分发；同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性，使得公钥密码体制不仅能像传统密码体制那样用于消息加密，实现秘密通信，还可以广泛应用于数字签名、认证等领域。(正确答案)11、PKI体系下A与B之间如何实现具有机密性、完整性、真实性、不可否认性的安全通信？参考：基本安全机制：交换、验证证书，共享对称密钥，发送方对消息加密，对消息摘要签名，接收方解密、解签名、验证。(正确答案)12、高级持续性威胁APT攻击案例分析：①对谷歌等公司的极光攻击事件。(正确答案)②对伊朗核设施的震网攻击事件。(正确答案)③对韩国农协银行的攻击事件。(正确答案)参考：常见的黑客攻击过程。1目标探测和信息攫取先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。1)踩点（Footprinting）~~>黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。(正确答案)2)扫描（Scanning）~~>在扫描阶段，将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。(正确答案)3)查点（Enumeration）~~>从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。(正确答案)2获得访问权（GainingAccess）通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。(正确答案)3特权提升（EscalatingPrivilege）在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。(正确答案)4窃取（Stealing）对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。(正确答案)5掩盖踪迹（CoveringTracks）此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。(正确答案)6创建后门（CreatingBookdoor）在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。(正确答案)',)