信息安全工程師考前強化模擬試題(下)

1、信息安全工程師考前強化模擬試題軟考全稱全國計算機技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試，這門新開的信息安全工 程師分屬該考試“信息系統(tǒng)”專業(yè)，位處中級資格。是信息產(chǎn)業(yè)部和人事部在最新的“國人 廳發(fā)2007139 號1 ”文件中新增的專業(yè)。信息安全專業(yè)的畢業(yè)生，主要在計算機軟硬件、 網(wǎng)絡(luò)、 應(yīng)用相關(guān)領(lǐng)域從事安全系統(tǒng)設(shè)計、 安全產(chǎn)品開發(fā)、 產(chǎn)品集成、信息系統(tǒng)安全檢測與審 計等方面工作， 服務(wù)單位可以是國家機關(guān)、 企事業(yè)單位及科研教學(xué)單位等。 希賽軟考學(xué)院為 大家整理了一些考前強化模擬試題，供大家參考，希望能有所幫助。（一）一、填空題1 、Internet 的安全是指互聯(lián)網(wǎng)絡(luò)的安全，它主要包括網(wǎng)上的（數(shù)

2、據(jù)信息安全）和網(wǎng)絡(luò) 設(shè)備服務(wù)的運行安全。2 、網(wǎng)絡(luò)面臨的安全威脅可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅；二是對（網(wǎng)絡(luò)設(shè)備）的威脅。3 、 Web 服務(wù)的安全威脅分為四類：完整性、保密性、（拒絕服務(wù)）和認證鑒別。4 、目前互聯(lián)網(wǎng)的攻擊分為主動攻擊和（被動攻擊） 兩大類。5 、SSL 協(xié)議的目標是提供兩個應(yīng)用間通信的 （保密性和可靠性 ）。6 、 （ 域名系統(tǒng) ）是將域名和 IP 地址相互映射的一個分布式數(shù)據(jù)庫，提供主機名字和 IP 地址之間的轉(zhuǎn)換信息。7 、IPv6 解決了 IP 地址 （數(shù)量短缺 ）的問題8 、局域網(wǎng)內(nèi)的 DNS 欺騙是基于 （ARP） 欺騙之上的網(wǎng)絡(luò)攻擊。9 、 AH 可以增加 I

3、P 數(shù)據(jù)報的 （安全性 ）。10 、AH 協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和（防重放 ）保護服務(wù)。二、簡答題1 網(wǎng)絡(luò)面臨的安全威脅主要有哪些方面？ 網(wǎng)絡(luò)面臨的安全威脅可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅；二是對網(wǎng)絡(luò)設(shè)備的威脅。概括起來主要威脅包括以下幾個方面： 1 ）由自然力造成的非人為的數(shù)據(jù)丟失、設(shè)備失效、 線路阻斷。 2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失。3 ）來自外部和內(nèi)部人員的惡意攻擊和入侵。2 【答案不確定】請結(jié)合自己的認識，簡述一下 Internet 面臨的安全威脅。 網(wǎng)絡(luò)面臨的安全威脅可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅；二是對網(wǎng)絡(luò)設(shè)備的威脅。 概括起來主要威脅包括以下幾個方

4、面。1 ）由自然力造成的非人為的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷。2 ）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失。3 ）來自外部和內(nèi)部人員的惡意攻擊和入侵。3 Web 服務(wù)有哪些方面的安全隱患？可用的預(yù)防策略都是哪些？（1）主動攻擊：主動攻擊是指攻擊者通過有選擇的修改破壞數(shù)據(jù)流以達到其非法目的， 可以歸納為中斷、篡改和偽造。（ 2）被動攻擊：被動攻擊主要是指攻擊者監(jiān)聽網(wǎng)絡(luò)上的信 息流，從而獲取信息的內(nèi)容。防患策略： （ 1）網(wǎng)絡(luò)層： IPSec 可提供端到端的安全機制，可對數(shù)據(jù)包進行安全處理， 支持數(shù)據(jù)加密可確保資料的完整性。 （2）傳輸層： 實現(xiàn)數(shù)據(jù)的安全傳輸可采用 SSL和 TLS， 傳輸層

5、安全） 來提供安全服務(wù)。 （3 ）應(yīng)用層： 實現(xiàn)通信安全的標準有 SET、S/MIME 、PGP， 可以在相應(yīng)的應(yīng)用中提供機密性、完整性和不可抵賴性等安全服務(wù)?？稍诜?wù)器和客戶端同時實4 SSL 的目標是什么，可提供的基本安全服務(wù)？SSL 協(xié)議的目標是提供兩個應(yīng)用間通信的保密性和可靠性，現(xiàn)支持?？商峁┑幕景踩?wù)有：信息保密、信息完整性、相互認證。5 SSL 握手協(xié)議的四個階段各完成什么工作？SSL 握手協(xié)議包含以下四個階段。1 ）發(fā)起階段客戶端發(fā)送一個 Client-Hello 消息并等待，服務(wù)器發(fā)送一個 Server-Hello 消息。2 ）服務(wù)器認證和密鑰交換階段服務(wù)器發(fā)送自己的證書，

6、然后發(fā)送可選的 Server-Key-Exchange 消息，接著發(fā)送 Certificate-Request 消息，向客戶端請求一個證書，最后服務(wù)器發(fā)送 Server-Hello-Done 消息，并等待客戶端應(yīng)答。3 ）客戶端認證和密鑰交換階段客戶端收到 Server-Hello-Done 消息后，驗證服務(wù)器提供的證書，發(fā)送客戶端證書， 然后根據(jù)密鑰交換的類型發(fā)送 Client-Key-Exchange 消息，最后發(fā)送一個包含對前面所有 消息簽名的 Certificate-Verify 消息。4 ）結(jié)束階段客戶端發(fā)送 Change-Cipher-Spec 消息，告知協(xié)商得到的密碼算法列表，然

7、后用新的 算法和密鑰參數(shù)發(fā)送一個 Finished 消息，以檢驗密鑰交換和認證過程是否已經(jīng)成功。服務(wù) 器同樣發(fā)送 Change-Cipher-Spec 和 Finished 消息。（二）一、填空題1 、在通用入侵檢測模型中，（行為特征）表是整個檢測系統(tǒng)的核心，它包含了用于計 算用戶行為特征的所有變量。2 、根據(jù)入侵檢測模型， 入侵檢測系統(tǒng)的原理可分為異常檢測原理和 （誤用檢測） 原理。3 、第一代入侵檢測技術(shù)采用（主機日志分析）、（模式匹配）的方法；4 、一個入侵檢測系統(tǒng)至少包含（事件提取）、入侵分析、入侵響應(yīng)和遠程管理四部分 功能。5 、第三代入侵檢測技術(shù)引入了協(xié)議分析、（行為異常）分析等方

8、法。6 、在通用入侵檢測模型中，（事件產(chǎn)生器）可根據(jù)具體應(yīng)用環(huán)境而有所不同，一般來 自審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為，這些事件構(gòu)成了入侵檢測的基礎(chǔ)。7 、在通用入侵檢測模型中，（規(guī)則模塊）可以由系統(tǒng)安全策略、入侵模式等組成，8 、在通用入侵檢測模型中，（規(guī)則模塊）可以為判斷是否入侵提供參考機制。9 、根據(jù)入侵檢測模型，入侵檢測系統(tǒng)的原理分為異常檢測原理和（誤用檢測原理）。10 、（異常）檢測原理根據(jù)假設(shè)攻擊與正常的（合法的）活動有很大的差異來識別攻 擊。二、簡答題1 、什么是網(wǎng)絡(luò)入侵檢測？ 網(wǎng)絡(luò)入侵檢測是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分 析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中

9、是否有違反安全策略的行為和遭到襲擊的跡象的一種機制2 、入侵檢測技術(shù)至今已經(jīng)歷三代： 第一代技術(shù)采用主機日志分析、模式匹配的方法；第二代技術(shù)出現(xiàn)在 20 世紀 90 年代 中期， 主要包括網(wǎng)絡(luò)數(shù)據(jù)包截獲、 主機網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)分析、 基于網(wǎng)絡(luò)的入侵檢測和基 于主機的入侵檢測等方法；第三代技術(shù)出現(xiàn)在 2000 年前后，引入了協(xié)議分析、行為異常分 析等方法。3 、基于異常檢測原理的入侵檢測方法和技術(shù)有如下幾種方法。1 ）統(tǒng)計異常檢測方法。2 ）特征選擇異常檢測方法。3 ）基于貝葉斯推理的異常檢測方法。4 ）基于貝葉斯網(wǎng)絡(luò)的異常檢測方法。5 ）基于模式預(yù)測的異常檢測方法。4 、基于誤用檢測原理的入

10、侵檢測方法和技術(shù)主要有如下幾種。1 ）基于條件的概率誤用檢測方法。2 ）基于專家系統(tǒng)的誤用檢測方法。3 ）基于狀態(tài)遷移分析的誤用檢測方法。4 ）基于鍵盤監(jiān)控的誤用檢測方法。5 ）基于模型的誤用檢測方法。5 、目前，先進的入侵檢測系統(tǒng)的實現(xiàn)方法有哪些？ 基于概率統(tǒng)計模型的檢測、基于神經(jīng)網(wǎng)絡(luò)的檢測、基于專家系統(tǒng)的檢測、基于模型推 理的檢測和基于免疫的檢測等技術(shù)。（三）一、填空題1 、（誤用）檢測原理是指根據(jù)已經(jīng)知道的入侵方式來檢測入侵。2 、當實際使用檢測系統(tǒng)時， 首先面臨的問題就是決定應(yīng)該在系統(tǒng)的什么位置安裝檢測 和分析入侵行為用的（感應(yīng)器 Sensor 或檢測引擎 Engine ）。3 、基于

11、概率統(tǒng)計的檢測技術(shù)優(yōu)越性在于它應(yīng)用了成熟的（概率統(tǒng)計理論）。4 、在入侵檢測系統(tǒng)中，（數(shù)據(jù)分析）是入侵檢測的核心。5 、數(shù)據(jù)分析有模式匹配、統(tǒng)計分析和完整性分析三種手段，其中（完整性分析）則用 于事后分析。6 、入侵檢測系統(tǒng)中（事件提?。┕δ茇撠?zé)提取與被保護系統(tǒng)相關(guān)的運行數(shù)據(jù)或記錄， 并負責(zé)對數(shù)據(jù)進行簡單的過濾。7 、入侵檢測系統(tǒng)中（入侵分析）的任務(wù)就是在提取到的運行數(shù)據(jù)中找出入侵的痕跡， 將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開， 分析出入侵行為并對入侵者進行 定位。8 、入侵檢測系統(tǒng)中入侵響應(yīng)功能在（分析出入侵行為）后被觸發(fā)。9 、從數(shù)據(jù)來源角度分類，入侵檢測系統(tǒng)有三種基本結(jié)構(gòu)：

12、基于網(wǎng)絡(luò)、基于主機和（分 布式）入侵檢測系統(tǒng)。10 、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)數(shù)據(jù)來源于（網(wǎng)絡(luò)上）的數(shù)據(jù)流。二、簡答題1 、什么是基于概率統(tǒng)計的檢測技術(shù)，有什么優(yōu)缺點？是對用戶歷史行為建立模型。根據(jù)該模型，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時保持跟蹤， 并監(jiān)視和記錄該用戶的行為。 這種方法的優(yōu)越性在于它應(yīng)用了成熟的概率統(tǒng)計理論； 缺點是 由于用戶的行為非常復(fù)雜， 因而要想準確地匹配一個用戶的歷史行為非常困難， 易造成系統(tǒng) 誤報、錯報和漏報；定義入侵閾值比較困難，閾值高則誤檢率增高，閾值低則漏檢率增高。2 、入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)有哪些？包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點；識別、反映已

13、知進攻的活 動模式，向相關(guān)人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審 計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。3 、入侵檢測中信息收集的內(nèi)容都有哪些，這些信息的來源一般有哪些？包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng) 日志、目錄以及文件中的異常改變、 程序執(zhí)行中的異常行為及物理形式的入侵信息四個方面。4 、在入侵檢測系統(tǒng)中，數(shù)據(jù)分析是如何工作的，有哪些手段？ 它首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理，建立一個行為分析引擎或模型，然 后向模型中植入時間數(shù)據(jù)，在知識庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過模式匹配、 統(tǒng)計分析和完

14、整性分析三種手段進行。5 、什么是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，有什么優(yōu)缺點？ 其優(yōu)點是偵測速度快、隱蔽性好，不容易受到攻擊、對主機資源消耗較少；缺點是有 些攻擊是由服務(wù)器的鍵盤發(fā)出的，不經(jīng)過網(wǎng)絡(luò)，因而無法識別，誤報率較高。（四）一、填空題1 、基于主機的入侵檢測系統(tǒng)檢測分析所需數(shù)據(jù)來源于主機系統(tǒng)，通常是 （ 系統(tǒng)日志和審計記錄 ）。2 、從檢測的策略角度分類， 入侵檢測模型主要有三種：濫用檢測、異常檢測和（ 完整性分析 ）。3 、基于 （網(wǎng)絡(luò) ） 的 IDS 允許部署在一個或多個關(guān)鍵訪問點來檢查所有經(jīng)過的網(wǎng)絡(luò)通信， 因此并不需要在各種各樣的主機上進行安裝。4 、基于專家系統(tǒng)的攻擊檢測技術(shù)，即根據(jù)安

15、全專家對（ 可疑行為 ）的分析經(jīng)驗來形成一套推理規(guī)則， 然后在此基礎(chǔ)上設(shè)計出相應(yīng)的專家系統(tǒng)。 由此專家系統(tǒng)自動進行對所涉及的攻 擊操作的分析工作。5 、 （ 基于免疫 ）的檢測技術(shù)是運用自然免疫系統(tǒng)的某些特性到網(wǎng)絡(luò)安全系統(tǒng)中，使整個系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性和可擴展性。6 、基于神經(jīng)網(wǎng)絡(luò)的檢測技術(shù)的基本思想是用一系列信息單元訓(xùn)練神經(jīng)單元，在給出一 定的輸入后，就可能預(yù)測出 （輸出 ）。7 、基于神經(jīng)網(wǎng)絡(luò)的檢測技術(shù)是對 （ 基于概率統(tǒng)計 ）的檢測技術(shù)的改進，主要克服了傳統(tǒng) 的統(tǒng)計分析技術(shù)的一些問題。8 、基于概率統(tǒng)計的檢測定義判斷入侵的閾值太高則（誤檢率 ） 增高。9 、在具體實現(xiàn)過程中，專家系

16、統(tǒng)主要面臨問題是全面性問題和（效率問題）。10 、相比基于網(wǎng)絡(luò)、基于主機的入侵檢測系統(tǒng)，（分布式）入侵檢測系統(tǒng)能夠同時分 析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)。二、簡答題1 、什么是基于主機的入侵檢測系統(tǒng)，有什么優(yōu)缺點？ 優(yōu)點是針對不同操作系統(tǒng)特點捕獲應(yīng)用層入侵，誤報少；缺點是依賴于主機及其審計 子系統(tǒng)，實時性差。2 、什么是濫用檢測方法，有什么優(yōu)缺點？ 將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安 全策略的行為。該方法的優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少了系統(tǒng)負擔，且技術(shù)已相當成熟。 該方法存在的弱點是需要不斷地升級以對付不斷出現(xiàn)的黑客攻擊手法， 不能檢測到從未出現(xiàn) 過的黑客攻擊手段。測量屬性的平均值將被用來與3 、什么是異常檢測方法，有什么優(yōu)缺點？ 首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述、統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。 網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。 其優(yōu)點是可檢測到未