信息安全習(xí)題 附答案

1、安全體系結(jié)構(gòu)與模型一、選擇題1. 網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對（ D）提供安全保護(hù)。 A. 信息載體 B. 信息的處理、傳輸 C. 信息的存儲(chǔ)、訪問 D. 上面3項(xiàng)都是2. ISO 7498-2從體系結(jié)構(gòu)觀點(diǎn)描述了5種安全服務(wù)，以下不屬于這5種安全服務(wù)的是（B ）。 A. 身份鑒別 B. 數(shù)據(jù)報(bào)過濾 C. 授權(quán)控制 D. 數(shù)據(jù)完整性3. ISO 7498-2描述了8種特定的安全機(jī)制，以下不屬于這8種安全機(jī)制的是（A ）。 A. 安全標(biāo)記機(jī)制 B. 加密機(jī)制 C. 數(shù)字簽名機(jī)制 D. 訪問控制機(jī)制4. 用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（A ）。 A. 加密機(jī)制和數(shù)字簽名機(jī)制 B. 加密機(jī)制和訪問控制

2、機(jī)制 C. 數(shù)字簽名機(jī)制和路由控制機(jī)制 D. 訪問控制機(jī)制和路由控制機(jī)制5. 在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（E ）。A. 對象認(rèn)證服務(wù) B.數(shù)據(jù)保密性安全服務(wù) C. 訪問控制安全服務(wù) D. 數(shù)據(jù)完整性安全服務(wù) E. 數(shù)據(jù)可用性安全服務(wù)6. ISO定義的安全體系結(jié)構(gòu)中包含（ B）種安全服務(wù)。 A. 4 B. 5 C. 6 D. 77. （ D ）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機(jī)制。 A. 通信業(yè)務(wù)填充機(jī)制 B. 訪問控制機(jī)制 C. 數(shù)字簽名機(jī)制 D. 審計(jì)機(jī)制 E. 公證機(jī)制8. ISO安全體系結(jié)構(gòu)中的對象認(rèn)證服務(wù)，使用（ B）完成。 A. 加密機(jī)制 B. 數(shù)字簽名機(jī)制

3、 C. 訪問控制機(jī)制 D. 數(shù)據(jù)完整性機(jī)制9. CA屬于ISO安全體系結(jié)構(gòu)中定義的（D ）。 A. 認(rèn)證交換機(jī)制 B. 通信業(yè)務(wù)填充機(jī)制 C. 路由控制機(jī)制 D. 公證機(jī)制10. 數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D ）。 A. 數(shù)據(jù)完整性機(jī)制 B. 數(shù)字簽名機(jī)制 C. 訪問控制機(jī)制 D. 加密機(jī)制11. 可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（D ）。 A. 假冒源地址或用戶的地址欺騙攻擊 B. 抵賴做過信息的遞交行為 C. 數(shù)據(jù)中途被攻擊者竊聽獲取 D. 數(shù)據(jù)在途中被攻擊者篡改或破壞二、填空題GB/T 9387.2-1995定義了5大類 安全服務(wù) ，提供這些服務(wù)的8種 安全機(jī)制 以及相應(yīng)的開放系統(tǒng)

4、互連的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中。三、問答題列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。（1）鑒別 用于鑒別實(shí)體的身份和對身份的證實(shí)，包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問控制 提供對越權(quán)使用資源的防御措施。（3）數(shù)據(jù)機(jī)密性 針對信息泄露而采取的防御措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種。（4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等。分為帶恢復(fù)的連接完整性、無恢復(fù)的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。（5）抗否認(rèn)是針對對方否認(rèn)的防范措施，用來證實(shí)發(fā)生過的操作

5、。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。密鑰分配與管理一、填空題1密鑰管理的主要內(nèi)容包括密鑰的 生成、分配、使用、存儲(chǔ)、備份、恢復(fù)和銷毀。2. 密鑰生成形式有兩種：一種是由 中心集中 生成，另一種是由 個(gè)人分散 生成。密鑰的分配是指產(chǎn)生并使使用者獲得 密鑰 的過程。密鑰分配中心的英文縮寫是 KDC 。數(shù)字簽名與鑒別協(xié)議一、選擇題1. 數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是（C ）。 A. 多一道加密工序使密文更難破譯 B. 提高密文的計(jì)算速度 C. 縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度 D. 保證密文能正確還原成明文二、問答題1. 數(shù)字簽名有什么作用？

6、當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端： 否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文。 偽造，接收方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方。 冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文。 篡改，接收方對收到的信息進(jìn)行篡改。2. 請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進(jìn)行：(1) 采用散列算法對原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字串，稱為報(bào)文摘要(Message Digest)，不同的報(bào)文所得到的報(bào)文摘要各異，但對相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。

7、(2) 發(fā)送方用目己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名。(3) 這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。(4) 接收方首先對接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的公開密鑰對報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改。3. 數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。 采用數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：(1) 保證信息是由簽名者自己簽名

8、發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。(2) 保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信息。身份認(rèn)證一、選擇題1. 身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（ B ）。 A. 身份鑒別是授權(quán)控制的基礎(chǔ) B. 身份鑒別一般不用提供雙向的認(rèn)證 C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法 D. 數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制2. 基于通信雙方共同擁有的但是不為別人知道的秘密，利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力，以該秘密作為加密和解密的密鑰的認(rèn)證是（ C ）。 A. 公鑰認(rèn)證 B. 零知識認(rèn)證 C. 共享密鑰認(rèn)證 D. 口令認(rèn)證二、填空題身份認(rèn)證是驗(yàn)證 信

9、息發(fā)送者是真的 ，而不是冒充的，包括信源、信宿等的認(rèn)證和識別。三、問答題解釋身份認(rèn)證的基本概念。身份認(rèn)證是指用戶必須提供他是誰的證明，這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，識別身份后，由訪問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個(gè)資源。一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。PKI技術(shù)一、選擇題1. PKI支持的服務(wù)不包括（D ）。 A. 非對稱密鑰技術(shù)及證書管理 B. 目錄服務(wù) C. 對稱密鑰的產(chǎn)生和分發(fā) D. 訪問控制服務(wù)2.

10、 PKI的主要組成不包括（ B）。 A. 證書授權(quán)CA B. SSL C. 注冊授權(quán)RA D. 證書存儲(chǔ)庫CR3. PKI管理對象不包括（A ）。 A. ID和口令 B. 證書 C. 密鑰 D. 證書撤消4. 下面不屬于PKI組成部分的是（ D）。 A. 證書主體 B. 使用證書的應(yīng)用和系統(tǒng) C. 證書權(quán)威機(jī)構(gòu) D. AS5. PKI能夠執(zhí)行的功能是（A ）和（C ）。A. 鑒別計(jì)算機(jī)消息的始發(fā)者 B. 確認(rèn)計(jì)算機(jī)的物理位置C. 保守消息的機(jī)密 D. 確認(rèn)用戶具有的安全性特權(quán)二、問答題1. 什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)

11、字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。認(rèn)證中心(CA)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509 V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應(yīng)用于許多網(wǎng)絡(luò)安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。2. 簡述認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型的性質(zhì)？層次結(jié)構(gòu)中的所有實(shí)體都信任惟一的根CA。在認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)中，每個(gè)實(shí)體(包括中介CA和終端實(shí)體)都必須擁有根CA的公鑰，該公鑰的安裝是在這個(gè)模型中為隨后進(jìn)行的所有通信進(jìn)行證書處理的基礎(chǔ)，因此，它必須通過

12、一種安全（帶外）的方式來完成。 值得注意的是，在一個(gè)多層的嚴(yán)格層次結(jié)構(gòu)中終端實(shí)體直接被其上層的CA認(rèn)證(也就是頒發(fā)證書)，但是它們的信任錨是另一個(gè)不同的CA (根CA)。Web與電子商務(wù)的安全一、選擇題1. SSL產(chǎn)生會(huì)話密鑰的方式是（C ）。 A. 從密鑰管理數(shù)據(jù)庫中請求獲得 B. 每一臺(tái)客戶機(jī)分配一個(gè)密鑰的方式 C. 隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器 D. 由服務(wù)器產(chǎn)生并分配給客戶機(jī)2. （ C）屬于Web中使用的安全協(xié)議。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL3. 傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（ A）基

13、礎(chǔ)上的（ A）。 A. 可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議 B. 不可靠的傳輸服務(wù)，S-HTTP協(xié)議 C. 可靠的傳輸服務(wù)， S-HTTP協(xié)議 D. 不可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議二、問答題簡述一個(gè)成功的SET交易的標(biāo)準(zhǔn)流程。(1) 客戶在網(wǎng)上商店選中商品并決定使用電子錢包付款，商家服務(wù)器上的POS軟件發(fā)報(bào)文給客戶的瀏覽器要求電子錢包付款。(2) 電子錢包提示客戶輸入口令后與商家服務(wù)器交換“握手”消息，確認(rèn)客戶、商家均為合法，初始化支付請求和支付響應(yīng)。(3) 客戶的電子錢包形成一個(gè)包含購買訂單、支付命令(內(nèi)含加密了的客戶信用卡號碼)的報(bào)文發(fā)送給商家。(4) 商家POS軟件生成授權(quán)

14、請求報(bào)文(內(nèi)含客戶的支付命令)，發(fā)給收單銀行的支付網(wǎng)關(guān)。(5) 支付網(wǎng)關(guān)在確認(rèn)客戶信用卡沒有超過透支額度的情況下，向商家發(fā)送一個(gè)授權(quán)響應(yīng)報(bào)文。(6) 商家向客戶的電子錢包發(fā)送一個(gè)購買響應(yīng)報(bào)文，交易結(jié)束，客戶等待商家送貨上防火墻技術(shù)VPN技術(shù)一、選擇題1不屬于隧道協(xié)議的是（ C ）。 A. PPTP B. L2TP C. TCP/IP D. IPSec2.不屬于VPN的核心技術(shù)是（ C ）。 A. 隧道技術(shù) B. 身份認(rèn)證 C. 日志記錄 D. 訪問控制3目前，VPN使用了（ ）技術(shù)保證了通信的安全性。A 隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密 B 身份認(rèn)證、數(shù)據(jù)加密C 隧道協(xié)議、身份認(rèn)證 D 隧道協(xié)議、

15、數(shù)據(jù)加密二、問答題1. 解釋VPN的基本概念。VPN是Virtual Private Network的縮寫，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。 Virtual是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。 Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。 安全掃描技術(shù)一、問答題1. 簡述常見的黑客攻擊過程。1 目標(biāo)探測

16、和信息攫取 先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。1) 踩點(diǎn)（Footprinting） 黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?) 掃描（Scanning）在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測等)確定哪些

17、系統(tǒng)存活著、它們在監(jiān)聽哪些端口(以此來判斷它們在提供哪些服務(wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3) 查點(diǎn)（Enumeration） 從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2 獲得訪問權(quán)（Gaining Access） 通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3 特權(quán)提升（Escalating

18、Privilege） 在獲得一般賬戶后，黑客經(jīng)常會(huì)試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通常可以采用密碼破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4 竊?。⊿tealing） 對敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制（如Windows系統(tǒng)的注冊表、UNIX的rhost文件等）。5 掩蓋蹤跡（Covering Tracks） 此時(shí)最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。6 創(chuàng)建后門（Creating Bookdoor） 在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。 入侵檢測與安全審計(jì)網(wǎng)絡(luò)病毒防范一、選擇題1. 計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（ C ）上蓄意破壞的搗亂程序。 A. 內(nèi)存 B. 軟盤 C. 存儲(chǔ)介質(zhì) D. 網(wǎng)絡(luò)二、填空題1計(jì)算機(jī)病毒的特征是：主動(dòng)傳染性、破壞性、寄生性（隱蔽性）、潛伏性、多態(tài)性 2惡意代碼的基本形式有 后門、邏輯炸彈、特洛伊木馬、蠕蟲、細(xì)菌 蠕蟲是通過 網(wǎng)絡(luò) 進(jìn)行傳播的。三、問答題1. 了解基本的計(jì)算機(jī)病毒防范措施?計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。 計(jì)算機(jī)