2022年信息安全試題答案題庫概要

1、題庫一、選擇1. 密碼學(xué)目是（C）。 A. 研究數(shù)據(jù)加密 B. 研究數(shù)據(jù)解密 C. 研究數(shù)據(jù)保密 D. 研究信息安全2. 從襲擊方式辨別襲擊類型，可分為被動(dòng)襲擊和積極襲擊。被動(dòng)襲擊難以（C），然而（C）這些襲擊是可行；積極襲擊難以（C），然而（C）這些襲擊是可行。 A. 制止,檢測(cè),制止,檢測(cè) B. 檢測(cè),制止,檢測(cè),制止 C. 檢測(cè),制止,制止,檢測(cè) D. 上面3項(xiàng)都不是3. 數(shù)據(jù)保密性安全服務(wù)基礎(chǔ)是（D）。 A. 數(shù)據(jù)完整性機(jī)制 B. 數(shù)字簽名機(jī)制 C. 訪問控制機(jī)制 D. 加密機(jī)制4. 數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理原因是（C）。 A. 多一道加密工序使密文更難破譯 B. 提

2、高密文計(jì)算速度 C. 縮小簽名密文長度，加緊數(shù)字簽名和驗(yàn) 證簽名運(yùn)算速度 D. 保證密文能對(duì)還原成明文5. 基于通信雙方共同擁有不過不為他人懂得秘密，運(yùn)用計(jì)算機(jī)強(qiáng)大計(jì)算能力，以該秘密作為加密和解密密鑰認(rèn)證是（C）。 A. 公鑰認(rèn)證 B. 零知識(shí)認(rèn)證 C. 共享密鑰認(rèn)證 D. 口令認(rèn)證6. 為了簡化管理，一般對(duì)訪問者（A），以防止訪問控制表過于龐大。 A. 分類組織成組 B. 嚴(yán)格限制數(shù)量 C. 按訪問時(shí)間排序，刪除長期沒有訪問顧客 D. 不作任何限制7. PKI管理對(duì)象不包括（A）。 A. ID和口令 B. 證書 C. 密鑰 D. 證書撤銷8. 下面不屬于PKI構(gòu)成部分是（D）。 A. 證書主

3、體 B. 使用證書應(yīng)用和系統(tǒng) C. 證書權(quán)威機(jī)構(gòu) D. AS9. IKE協(xié)商第一階段可以采用（C）。 A. 主模式、迅速模式 B. 迅速模式、積極模式 C. 主模式、積極模式 D. 新組模式10AH協(xié)議和ESP協(xié)議有（A）種工作模式。 A. 二 B. 三 C. 四 D. 五11. （C）屬于Web中使用安全協(xié)議。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL12. 包過濾型防火墻原理上是基于（C）進(jìn)行分析技術(shù)。 A. 物理層 B. 數(shù)據(jù)鏈路層 C. 網(wǎng)絡(luò)層 D. 應(yīng)用層13. VPN加密手段為（C）。 A. 具有加密功能防火墻

4、B. 具有加密功能路由器 C. VPN內(nèi)各臺(tái)主機(jī)對(duì)各自信息進(jìn)行對(duì)應(yīng)加密 D. 單獨(dú)加密設(shè)備14（B）通過一種使用專用連接共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN15（C）通過一種使用專用連接共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或感愛好群體連接到企業(yè)內(nèi)部網(wǎng)。A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN16. 計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中一類隱藏在（C）上蓄意破壞搗亂程序。 A. 內(nèi)存 B.

5、軟盤 C. 存儲(chǔ)介質(zhì) D. 網(wǎng)絡(luò)17. “公開密鑰密碼體制”含義是（C）。 A. 將所有密鑰公開 B. 將私有密鑰公開，公開密鑰保密 C. 將公開密鑰公開，私有密鑰保密 D. 兩個(gè)密鑰相似18. “會(huì)話偵聽和劫持技術(shù)”是屬于（B）技術(shù)。 A. 密碼分析還原 B. 協(xié)議漏洞滲透 C. 應(yīng)用漏洞分析與滲透 D. DOS襲擊19襲擊者截獲并記錄了從A到B數(shù)據(jù)，然后又從早些時(shí)候所截獲數(shù)據(jù)中提取出信息重新發(fā)往B稱為（D）。A. 中間人襲擊 B. 口令猜測(cè)器和字典襲擊C. 強(qiáng)力襲擊 D. 回放襲擊20. 在ISO/OSI定義安全體系構(gòu)造中，沒有規(guī)定（E）。 A. 對(duì)象認(rèn)證服務(wù) B.數(shù)據(jù)保密性安全服務(wù) C.

6、 訪問控制安全服務(wù) D. 數(shù)據(jù)完整性安全服務(wù) E. 數(shù)據(jù)可用性安全服務(wù)21. Kerberos在祈求訪問應(yīng)用服務(wù)器之前，必須（A）。 A. 向Ticket Granting服務(wù)器祈求應(yīng)用服務(wù)器ticket B. 向認(rèn)證服務(wù)器發(fā)送規(guī)定獲得“證書”祈求 C. 祈求獲得會(huì)話密鑰 D. 直接與應(yīng)用服務(wù)器協(xié)商會(huì)話密鑰22. 下列對(duì)訪問控制影響不大是（D）。 A. 主體身份 B. 客體身份 C. 訪問類型 D. 主體與客體類型23. PKI重要構(gòu)成不包括（B）。 A. 證書授權(quán)CA B. SSL C. 注冊(cè)授權(quán)RA D. 證書存儲(chǔ)庫CR24. （A）協(xié)議必須提供驗(yàn)證服務(wù)。 A. AH B. ESP C.

7、GRE D. 以上皆是25下列選項(xiàng)中可以用在網(wǎng)絡(luò)層協(xié)議是（D）。A. SSL B. PGP C. PPTP D. IPSec26、（A）協(xié)議是一種用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選抗重播保護(hù)機(jī)制，但不提供數(shù)據(jù)機(jī)密性保護(hù)。A. AH協(xié)議 B. ESP協(xié)議 C. IPSec協(xié)議 D. PPTP協(xié)議27. IPSec協(xié)議中負(fù)責(zé)對(duì)IP數(shù)據(jù)報(bào)加密部分是（A）。 A. 封裝安全負(fù)載（ESP） B. 鑒別包頭（AH） C. Internet密鑰互換（IKE） D. 以上都不是28. SSL產(chǎn)生會(huì)話密鑰方式是（C）。 A. 從密鑰管理數(shù)據(jù)庫中祈求獲得 B. 每一臺(tái)客戶機(jī)分派一種密鑰方式 C. 隨機(jī)由客戶

8、機(jī)產(chǎn)生并加密后告知服務(wù)器 D. 由服務(wù)器產(chǎn)生并分派給客戶機(jī)29. 為了減少風(fēng)險(xiǎn)，不提議使用Internet服務(wù)是（D）。 A. Web服務(wù) B. 外部訪問內(nèi)部系統(tǒng) C. 內(nèi)部訪問Internet D. FTP服務(wù)30. 火墻用于將Internet和內(nèi)部網(wǎng)絡(luò)隔離，（B）。A. 是防止Internet火災(zāi)硬件設(shè)施B. 是網(wǎng)絡(luò)安全和信息安全軟件和硬件設(shè)施C. 是保護(hù)線路不受破壞軟件和硬件設(shè)施D. 是起抗電磁干擾作用硬件設(shè)施31. 屬于第二層VPN隧道協(xié)議有（B）。 A. IPSec B. PPTP C.GRE D. 以上皆不是32不屬于隧道協(xié)議是（C）。 A. PPTP B. L2TP C. TCP

9、/IP D. IPSec33. PPTP和L2TP最適合于（D）。 A. 局域網(wǎng) B. 企業(yè)內(nèi)部虛擬網(wǎng) C. 企業(yè)擴(kuò)展虛擬網(wǎng) D. 遠(yuǎn)程訪問虛擬專用網(wǎng)34A方有一對(duì)密鑰（KA公開，KA秘密），B方有一對(duì)密鑰（KB公開，KB秘密），A方向B方發(fā)送數(shù)字簽名M，對(duì)信息M加密為：M= KB公開（KA秘密（M）。B方收到密文解密方案是（C）。A. KB公開（KA秘密（M） B. KA公開（KA公開（M）C. KA公開（KB秘密（M） D. KB秘密（KA秘密（M）35. 從安全屬性對(duì)多種網(wǎng)絡(luò)襲擊進(jìn)行分類，阻斷襲擊是針對(duì)（B）襲擊。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 真實(shí)性11襲擊者用傳播數(shù)

10、據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答祈求襲擊方式是（A）。A. 拒絕服務(wù)襲擊 B. 地址欺騙襲擊C. 會(huì)話劫持 D. 信號(hào)包探測(cè)程序襲擊36. （D）不屬于ISO/OSI安全體系構(gòu)造安全機(jī)制。 A. 通信業(yè)務(wù)填充機(jī)制 B. 訪問控制機(jī)制 C. 數(shù)字簽名機(jī)制 D. 審計(jì)機(jī)制 E. 公證機(jī)制37. CA屬于ISO安全體系構(gòu)造中定義（D）。 A. 認(rèn)證互換機(jī)制 B. 通信業(yè)務(wù)填充機(jī)制 C. 路由控制機(jī)制 D. 公證機(jī)制38. 訪問控制是指確定（A）以及實(shí)行訪問權(quán)限過程。 A. 顧客權(quán)限 B. 可予以哪些主體訪問權(quán)利 C. 可被顧客訪問資源 D. 系統(tǒng)與否遭受入侵39. PKI支持服務(wù)不包

11、括（D）。 A. 非對(duì)稱密鑰技術(shù)及證書管理 B. 目錄服務(wù) C. 對(duì)稱密鑰產(chǎn)生和分發(fā) D. 訪問控制服務(wù)40. AH協(xié)議中必須實(shí)現(xiàn)驗(yàn)證算法是（A）。 A. HMAC-MD5和HMAC-SHA1 B. NULL C. HMAC-RIPEMD-160 D. 以上皆是41. 對(duì)動(dòng)態(tài)網(wǎng)絡(luò)地址互換（NAT），不對(duì)說法是（B）。 A. 將諸多內(nèi)部地址映射到單個(gè)真實(shí)地址 B. 外部網(wǎng)絡(luò)地址和內(nèi)部地址一對(duì)一映射 C. 最多可有64000個(gè)同步動(dòng)態(tài)NAT連接 D. 每個(gè)連接使用一種端口42. GRE協(xié)議乘客協(xié)議是（D）。 A. IP B. IPX C. AppleTalk D. 上述皆可43目前，VPN使用了（

12、A）技術(shù)保證了通信安全性。隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密身份認(rèn)證、數(shù)據(jù)加密隧道協(xié)議、身份認(rèn)證隧道協(xié)議、數(shù)據(jù)加密44IPSec VPN不太合用于（C）。已知范圍IP地址網(wǎng)絡(luò)固定范圍IP地址網(wǎng)絡(luò)動(dòng)態(tài)分派IP地址網(wǎng)絡(luò)TCP/IP協(xié)議網(wǎng)絡(luò)45. 假設(shè)使用一種加密算法，它加密措施很簡樸：將每一種字母加5，即a加密成f。這種算法密鑰就是5，那么它屬于（A）。 A. 對(duì)稱加密技術(shù) B. 分組密碼技術(shù) C. 公鑰加密技術(shù) D. 單向函數(shù)密碼技術(shù)46. 從安全屬性對(duì)多種網(wǎng)絡(luò)襲擊進(jìn)行分類，截獲襲擊是針對(duì)（A）襲擊。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 真實(shí)性47最新研究和登記表明，安全襲擊重要來自（B）

13、。A. 接入網(wǎng) B. 企業(yè)內(nèi)部網(wǎng) C. 公用IP網(wǎng) D. 個(gè)人網(wǎng)48. 用于實(shí)現(xiàn)身份鑒別安全機(jī)制是（A）。 A. 加密機(jī)制和數(shù)字簽名機(jī)制 B. 加密機(jī)制和訪問控制機(jī)制 C. 數(shù)字簽名機(jī)制和路由控制機(jī)制 D. 訪問控制機(jī)制和路由控制機(jī)制49. 身份鑒別是安全服務(wù)中重要一環(huán)，如下有關(guān)身份鑒別論述不對(duì)是（B）。 A. 身份鑒別是授權(quán)控制基礎(chǔ) B. 身份鑒別一般不用提供雙向認(rèn)證 C. 目前一般采用基于對(duì)稱密鑰加密或公開密鑰加密措施 D. 數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別重要機(jī)制50.PKI可以執(zhí)行功能是（A）和（C）。A. 鑒別計(jì)算機(jī)消息始發(fā)者 B. 確認(rèn)計(jì)算機(jī)物理位置C. 保守消息機(jī)密 D. 確認(rèn)顧客具有

14、安全性特權(quán)51. IKE協(xié)議由（A）協(xié)議混合而成。 A. ISAKMP、Oakley、SKEME B. AH、ESP C. L2TP、GRE D. 以上皆不是52. 一般而言，Internet防火墻建立在一種網(wǎng)絡(luò)（C）。 A. 內(nèi)部子網(wǎng)之間傳送信息中樞 B. 每個(gè)子網(wǎng)內(nèi)部 C. 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)交叉點(diǎn) D. 部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)結(jié)合處53. VPN英文全稱是（B）。 A. Visual Protocol Network B. Virtual Private Network C. Virtual Protocol Network D. Visual Private Network54L2TP

15、隧道在兩端VPN服務(wù)器之間采用（A）來驗(yàn)證對(duì)方身份。A. 口令握手協(xié)議CHAP B. SSLC. Kerberos D. 數(shù)字證書55. 信息安全基本屬性是（D）。 A. 機(jī)密性 B. 可用性 C. 完整性 D. 上面3項(xiàng)都是56. ISO安全體系構(gòu)造中對(duì)象認(rèn)證服務(wù)，使用（B）完畢。 A. 加密機(jī)制 B. 數(shù)字簽名機(jī)制 C. 訪問控制機(jī)制 D. 數(shù)據(jù)完整性機(jī)制57. Kerberos設(shè)計(jì)目不包括（B）。 A. 認(rèn)證 B.授權(quán) C.記賬 D.審計(jì)58. IPSec協(xié)議和（C）VPN隧道協(xié)議處在同一層。 A. PPTP B. L2TP C. GRE D. 以上皆是59. 傳播層保護(hù)網(wǎng)絡(luò)采用重要技術(shù)

16、是建立在（A）基礎(chǔ)上（A）。 A. 可靠傳播服務(wù)，安全套接字層SSL協(xié)議 B. 不可靠傳播服務(wù)，S-HTTP協(xié)議 C. 可靠傳播服務(wù)， S-HTTP協(xié)議 D. 不可靠傳播服務(wù)，安全套接字層SSL協(xié)議60.如下（D）不是包過濾防火墻重要過濾信息？A. 源IP地址 B. 目IP地址 C. TCP源端口和目端口 D. 時(shí)間61. 將企業(yè)與外部供應(yīng)商、客戶及其他利益有關(guān)群體相連接是（B）。 A. 內(nèi)聯(lián)網(wǎng)VPN B. 外聯(lián)網(wǎng)VPN C. 遠(yuǎn)程接入VPN D. 無線VPN62. 竊聽是一種（A）襲擊，襲擊者（A）將自己系統(tǒng)插入到發(fā)送站和接受站之間。截獲是一種（A）襲擊，襲擊者（A）將自己系統(tǒng)插入到發(fā)送站和

17、接受站之間。 A. 被動(dòng),不必,積極,必須 B. 積極,必須,被動(dòng),不必 C. 積極,不必,被動(dòng),必須 D. 被動(dòng),必須,積極,不必63（C）是一種對(duì)稱DES加密系統(tǒng)，它使用一種集中式專鑰密碼功能，系統(tǒng)關(guān)鍵是KDC。A. TACACS B. RADIUS C. Kerberos D. PKI64. 下列協(xié)議中，（A）協(xié)議數(shù)據(jù)可以受到IPSec保護(hù)。 A. TCP、UDP、IP B. ARP C. RARP D. 以上皆可以65、（D）協(xié)議重要由AH、ESP和IKE協(xié)議構(gòu)成。A. PPTP B. L2TP C. L2F D. IPSec66. PPTP、L2TP和L2F隧道協(xié)議屬于（B）協(xié)議。

18、A. 第一層隧道 B. 第二層隧道 C. 第三層隧道 D. 第四層隧道67. 機(jī)密性服務(wù)提供信息保密，機(jī)密性服務(wù)包括（D）。 A. 文獻(xiàn)機(jī)密性 B. 信息傳播機(jī)密性 C. 通信流機(jī)密性 D. 以上3項(xiàng)都是68.不屬于VPN關(guān)鍵技術(shù)是（C）。 A. 隧道技術(shù) B. 身份認(rèn)證 C. 日志記錄 D. 訪問控制69.（A）通過一種擁有與專用網(wǎng)絡(luò)相似方略共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)遠(yuǎn)程訪問。A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN70. 拒絕服務(wù)襲擊后果是（E）。 A. 信息不可用 B. 應(yīng)用程序不可用 C. 系

19、統(tǒng)宕機(jī) D. 制止通信 E. 上面幾項(xiàng)都是71. 一般所說移動(dòng)VPN是指（A）。 A. Access VPN B. Intranet VPN C. Extranet VPN D. 以上皆不是二、填空密碼系統(tǒng)包括如下4個(gè)方面：明文空間、密文空間、密鑰空間和密碼算法。解密算法D是加密算法E （逆運(yùn)算） 。假如加密密鑰和解密密鑰（ 相似） ，這種密碼體制稱為對(duì)稱密碼體制。DES算法密鑰是 （64 ）位，其中密鑰有效位是 （56 ）位。RSA算法安全是基于 分解兩個(gè)大素?cái)?shù)積 困難。公開密鑰加密算法用途重要包括兩個(gè)方面：密鑰分派、數(shù)字簽名。消息認(rèn)證是 驗(yàn)證信息完整性 ，即驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過程中與否被

20、篡改、重放或延遲等。Hash函數(shù)是可接受 變長 數(shù)據(jù)輸入，并生成 定長 數(shù)據(jù)輸出函數(shù)。密鑰管理重要內(nèi)容包括密鑰 生成、分派、使用、存儲(chǔ)、備份、恢復(fù)和銷毀。密鑰生成形式有兩種：一種是由 中心集中 生成，另一種是由 個(gè)人分散 生成。密鑰分派是指產(chǎn)生并使使用者獲得 密鑰 過程。密鑰分派中心英文縮寫是 KDC 。數(shù)字簽名 是字跡簽名模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)認(rèn)證技術(shù)。身份認(rèn)證是 驗(yàn)證信息發(fā)送者是真 ，而不是冒充，包括信源、信宿等認(rèn)證和識(shí)別。訪問控制 目是為了限制訪問主體對(duì)訪問客體訪問權(quán)限。防火墻是位于兩個(gè) 網(wǎng)絡(luò)之間 ，一端是 內(nèi)部網(wǎng)絡(luò) ，另一端是 外部網(wǎng)絡(luò) 。防火墻系統(tǒng)體系構(gòu)造分為 雙宿主機(jī)體

21、系構(gòu)造 、屏蔽主機(jī)體系構(gòu)造 、屏蔽子網(wǎng)體系構(gòu)造。IDS物理實(shí)現(xiàn)不一樣，按檢測(cè)監(jiān)控位置劃分，入侵檢測(cè)系統(tǒng)可分為基于 主機(jī)入侵檢測(cè)系統(tǒng)、基于 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 和 分布式入侵檢測(cè)系統(tǒng)。計(jì)算機(jī)病毒5個(gè)特性是：積極傳染性、破壞性、寄生性（隱蔽性）、潛伏性、多態(tài)性。惡意代碼基本形式尚有 后門、邏輯炸彈、特洛伊木馬、蠕蟲、細(xì)菌。蠕蟲是通過 網(wǎng)絡(luò) 進(jìn)行傳播。計(jì)算機(jī)病毒工作機(jī)制有潛伏機(jī)制、傳染機(jī)制、體現(xiàn)機(jī)制。三、問答題1簡述積極襲擊與被動(dòng)襲擊特點(diǎn)，并列舉積極襲擊與被動(dòng)襲擊現(xiàn)象。積極襲擊是襲擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息真實(shí)性、完整性及系統(tǒng)服務(wù)可用性，即通過中斷、偽造、篡改和重

22、排信息內(nèi)容導(dǎo)致信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)襲擊是襲擊者非常截獲、竊取通信線路中信息，使信息保密性遭到破壞，信息泄露而無法察覺，給顧客帶來巨大損失。2簡述對(duì)稱密鑰密碼體制原理和特點(diǎn)。對(duì)稱密鑰密碼體制，對(duì)于大多數(shù)算法，解密算法是加密算法逆運(yùn)算，加密密鑰和解密密鑰相似，同屬一類加密體制。它保密強(qiáng)度高但開放性差，規(guī)定發(fā)送者和接受者在安全通信之前，需要有可靠密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。什么是序列密碼和分組密碼？序列密碼是一種對(duì)明文中單個(gè)位（有時(shí)對(duì)字節(jié)）運(yùn)算算法。分組密碼是把明文信息分割成塊構(gòu)造，逐塊予以加密和解密。塊長度由算法設(shè)計(jì)者預(yù)先確定。簡述公開密鑰密碼機(jī)制原理和特點(diǎn)？公開密鑰密

23、碼體制是使用品有兩個(gè)密鑰編碼解碼算法，加密和解密能力是分開；這兩個(gè)密鑰一種保密，另一種公開。根據(jù)應(yīng)用需要，發(fā)送方可以使用接受方公開密鑰加密消息，或使用發(fā)送方私有密鑰簽名消息，或兩個(gè)都使用，以完畢某種類型密碼編碼解碼功能。什么是MD5？MD消息摘要算法是由Rivest提出，是目前最為普遍Hash算法，MD5是第5個(gè)版本，該算法以一種任意長度消息作為輸入，生成128位消息摘要作為輸出，輸入消息是按512位分組處理。 安全問題概述一、選擇題二、問答題請(qǐng)解釋5種“竊取機(jī)密襲擊”方式含義。1）網(wǎng)絡(luò)踩點(diǎn)（Footprinting） 襲擊者事先匯集目信息，一般采用Whois、Finger、Nslookup、

24、Ping等工具獲得目某些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)錁?gòu)造、有關(guān)顧客信息等，這往往是黑客入侵所做第一步工作。2）掃描襲擊（Scanning） 這里掃描重要指端口掃描，一般采用Nmap等多種端口掃描工具，可以獲得目計(jì)算機(jī)某些有用信息，例如機(jī)器上打開了哪些端口，這樣就懂得開設(shè)了哪些網(wǎng)絡(luò)服務(wù)。黑客就可以運(yùn)用這些服務(wù)漏洞，進(jìn)行深入入侵。這往往是黑客入侵所做第二步工作。3）協(xié)議棧指紋（Stack Fingerprinting）鑒別（也稱操作系統(tǒng)探測(cè)） 黑客對(duì)目主機(jī)發(fā)出探測(cè)包，由于不一樣OS廠商IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微差異，因此每種OS均有其獨(dú)特響應(yīng)措施，黑客常?？梢源_定目主機(jī)所運(yùn)行OS。這往往也

25、可以看作是掃描階段一部分工作。4）信息流嗅探（Sniffering） 通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜（Promiscuous）模式，或在多種局域網(wǎng)中某主機(jī)使用ARP欺騙，該主機(jī)就會(huì)接受所有通過數(shù)據(jù)包?；谶@樣原理，黑客可以使用一種嗅探器（軟件或硬件）對(duì)網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視，從而搜集到帳號(hào)和口令等信息。這是黑客入侵第三步工作。5）會(huì)話劫持（Session Hijacking） 所謂會(huì)話劫持，就是在一次正常通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外信息，或者是將雙方通信模式暗中變化，即從直接聯(lián)絡(luò)變成交由黑客中轉(zhuǎn)。這種襲擊方式可認(rèn)為是黑客入侵第四步工作真正襲擊中一種。請(qǐng)解

26、釋5種“非法訪問”襲擊方式含義。1）口令破解 襲擊者可以通過獲取口令文獻(xiàn)然后運(yùn)用口令破解工具進(jìn)行字典襲擊或暴力襲擊來獲得口令，也可通過猜測(cè)或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全口令非常重要。這也是黑客入侵中真正襲擊方式一種。2) IP欺騙 襲擊者可通過偽裝成被信任源IP地址等方式來騙取目主機(jī)信任，這重要針對(duì)Linux UNIX下建立起IP地址信任關(guān)系主機(jī)實(shí)行欺騙。這也是黑客入侵中真正襲擊方式一種。3) DNS欺騙 當(dāng)DNS服務(wù)器向另一種DNS服務(wù)器發(fā)送某個(gè)解析祈求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被祈求方，向祈求方返回一種被篡改了應(yīng)答（IP地址

27、），將顧客引向黑客設(shè)定主機(jī)。這也是黑客入侵中真正襲擊方式一種。4) 重放（Replay）襲擊 在消息沒有時(shí)間戳狀況下，襲擊者運(yùn)用身份認(rèn)證機(jī)制中漏洞先把他人有用消息記錄下來，過一段時(shí)間后再發(fā)送出去。5) 特洛伊木馬（Trojan Horse） 把一種能協(xié)助黑客完畢某一特定動(dòng)作程序依附在某一合法顧客正常程序中，而一旦顧客觸發(fā)正常程序，黑客代碼同步被激活，這些代碼往往能完畢黑客早已指定任務(wù)（如監(jiān)聽某個(gè)不常用端口，假冒登錄界面獲取帳號(hào)和口令等）。 4. 理解下列多種襲擊方式： UDP Flood、 Fraggle Attack、電子郵件炸彈、緩沖區(qū)溢出襲擊、社交工程1）UDP Flood 有些系統(tǒng)在安

28、裝后，沒有對(duì)缺省配置進(jìn)行必要修改，使得某些輕易遭受襲擊服務(wù)端口對(duì)外敞開著。Echo服務(wù)（TCP7和UDP7）對(duì)接受到每個(gè)字符進(jìn)行回送；Chargen （TCP19和UDP19）對(duì)每個(gè)接受到數(shù)據(jù)包都返回某些隨機(jī)生成字符（假如是與Chargen服務(wù)在TCP19端口建立了連接，它會(huì)不停返回亂字符直到連接中斷）。 黑客一般會(huì)選擇兩個(gè)遠(yuǎn)程目，生成偽造UDP數(shù)據(jù)包，目地是一臺(tái)主機(jī)Chargen服務(wù)端口，來源地假冒為另一臺(tái)主機(jī)Echo服務(wù)端口。這樣，第一臺(tái)主機(jī)上Chargen服務(wù)返回隨機(jī)字符就發(fā)送給第二臺(tái)主機(jī)Echo服務(wù)了，第二臺(tái)主機(jī)再回送收到字符，如此反復(fù)，最終導(dǎo)致這兩臺(tái)主機(jī)應(yīng)接不暇而拒絕服務(wù)，同步導(dǎo)致網(wǎng)

29、絡(luò)帶寬損耗。2）Fraggle Attack它對(duì)Smurf Attack做了簡樸修改，使用是UDP應(yīng)答消息而非ICMP。3）電子郵件炸彈 黑客運(yùn)用某個(gè)“無辜”郵件服務(wù)器，持續(xù)不停地向襲擊目（郵件地址）發(fā)送垃圾郵件，很也許“撐破”顧客信箱，導(dǎo)致正常郵件丟失。4）緩沖區(qū)溢出襲擊十?dāng)?shù)年來應(yīng)用非常廣泛一種襲擊手段，近年來，許多著名安全漏洞都與緩沖區(qū)溢出有關(guān)。所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導(dǎo)致程序原有流程變化，黑客借此精心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊代碼，最終獲得系統(tǒng)控制權(quán)。5）社交工程（Social Engineering） 一種低技術(shù)含量破壞網(wǎng)絡(luò)安全有效措施，但它其實(shí)是高級(jí)黑客技術(shù)一種，

30、往往使得處在看似嚴(yán)密防護(hù)下網(wǎng)絡(luò)系統(tǒng)出現(xiàn)致命突破口。這種技術(shù)是運(yùn)用說服或欺騙方式，讓網(wǎng)絡(luò)內(nèi)部人（安全意識(shí)微弱職工）來提供必要信息，從而獲得對(duì)信息系統(tǒng)訪問。6. 請(qǐng)解釋下列網(wǎng)絡(luò)信息安全要素： 保密性、完整性、可用性、可存活性 安全體系構(gòu)造與模型一、選擇題三、問答題列舉并解釋ISO/OSI中定義5種原則安全服務(wù)。（1）鑒別 用于鑒別實(shí)體身份和對(duì)身份證明，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問控制 提供對(duì)越權(quán)使用資源防御措施。（3）數(shù)據(jù)機(jī)密性 針對(duì)信息泄露而采用防御措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種。（4）數(shù)據(jù)完整性 防止非法篡改信息，如修改、復(fù)制、插入和

31、刪除等。分為帶恢復(fù)連接完整性、無恢復(fù)連接完整性、選擇字段連接完整性、無連接完整性、選擇字段無連接完整性五種。（5）抗否認(rèn)是針對(duì)對(duì)方否認(rèn)防備措施，用來證明發(fā)生過操作。包括有數(shù)據(jù)原發(fā)證明抗否認(rèn)和有交付證明抗否認(rèn)兩種。解釋六層網(wǎng)絡(luò)安全體系中各層安全性含義。1. 物理安全 防止物理通路損壞、竊聽和襲擊（干擾等），保證物理安全是整個(gè)網(wǎng)絡(luò)安全前提，包括環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面。2. 鏈路安全 保證通過網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)不被竊聽，重要針對(duì)公用信道傳播安全。在公共鏈路上采用一定安全手段可以保證信息傳播安全，對(duì)抗通信鏈路上竊聽、篡改、重放、流量分析等襲擊。3. 網(wǎng)絡(luò)級(jí)安全 需要從網(wǎng)絡(luò)架構(gòu)（路由對(duì)）、網(wǎng)

32、絡(luò)訪問控制（防火墻、安全網(wǎng)關(guān)、VPN）、漏洞掃描、網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)等多方面加以保證，形成積極性網(wǎng)絡(luò)防御體系。4. 信息安全 包括信息傳播安全（完整性、機(jī)密性、不可抵賴和可用性等）、信息存儲(chǔ)安全（數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)訪問控制措施、防病毒）和信息（內(nèi)容）審計(jì)。5. 應(yīng)用安全 包括應(yīng)用平臺(tái)（OS、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器）安全、應(yīng)用程序安全。6. 顧客安全 顧客合法性，即顧客身份認(rèn)證和訪問控制。9Windows Server屬于哪個(gè)安全級(jí)別，為何？ Windows Server屬于C2級(jí)。由于它有訪問控制、權(quán)限控制，可以防止非授權(quán)訪問，并通過注冊(cè)提供對(duì)顧客事件跟蹤和審計(jì)。 密鑰分派與管理一、填空

33、題二、問答題5KDC在密鑰分派過程中充當(dāng)何種角色？KDC在密鑰分派過程中充當(dāng)可信任第三方。KDC保留有每個(gè)顧客和KDC之間共享唯一密鑰，以便進(jìn)行分派。在密鑰分派過程中，KDC按照需要生成各對(duì)端顧客之間會(huì)話密鑰，并由顧客和KDC共享密鑰進(jìn)行加密，通過安全協(xié)議將會(huì)話密鑰安全地傳送給需要進(jìn)行通信雙方。 第十章 數(shù)字簽名與鑒別協(xié)議三、問答題1. 數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列狀況時(shí)，數(shù)字簽名技術(shù)必須可以處理引起爭(zhēng)端： 否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文。 偽造，接受方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方。 冒充，網(wǎng)絡(luò)上某個(gè)顧客冒充另一種顧客接受或發(fā)送報(bào)文。 篡改，接受方對(duì)收到信息進(jìn)行篡改。

34、2. 請(qǐng)闡明數(shù)字簽名重要流程。數(shù)字簽名通過如下流程進(jìn)行：(1) 采用散列算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一種固定長度數(shù)字串，稱為報(bào)文摘要(Message Digest)，不一樣報(bào)文所得到報(bào)文摘要各異，但對(duì)相似報(bào)文它報(bào)文摘要卻是惟一。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出報(bào)文摘要值就會(huì)與原先值不相符，這樣就保證了報(bào)文不可更改性。(2) 發(fā)送方用目己私有密鑰對(duì)摘要進(jìn)行加密來形成數(shù)字簽名。(3) 這個(gè)數(shù)字簽名將作為報(bào)文附件和報(bào)文一起發(fā)送給接受方。(4) 接受方首先對(duì)接受到原始報(bào)文用同樣算法計(jì)算出新報(bào)文摘要，再用發(fā)送方公開密鑰對(duì)報(bào)文附件數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，假如值相似，接受方就能確

35、認(rèn)該數(shù)字簽名是發(fā)送方，否則就認(rèn)為收到報(bào)文是偽造或者中途被篡改。3. 數(shù)字證書原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。每個(gè)顧客設(shè)定一僅為本人所知私有密鑰，用它進(jìn)行解密和簽名；同步設(shè)定一公開密鑰，為一組顧客所共享，用于加密和驗(yàn)證簽名。 采用數(shù)字證書，可以確認(rèn)如下兩點(diǎn)：(1) 保證信息是由簽名者自己簽名發(fā)送，簽名者不能否認(rèn)或難以否認(rèn)。(2) 保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)信息是真實(shí)信息。4. 報(bào)文鑒別有什么作用，公開密鑰加密算法相對(duì)于常規(guī)加密算法有什么長處？報(bào)文鑒別往往必須處理如下問題：(1) 報(bào)文是由確認(rèn)發(fā)送方產(chǎn)生。(2) 報(bào)文內(nèi)容是沒有被修改正。(3) 報(bào)文是按傳送

36、時(shí)相似次序收到。(4) 報(bào)文傳送給確定對(duì)方。一種措施是發(fā)送方用自己私鑰對(duì)報(bào)文簽名，簽名足以使任何人相信報(bào)文是可信。另一種措施常規(guī)加密算法也提供了鑒別。但有兩個(gè)問題，一是不輕易進(jìn)行常規(guī)密鑰分發(fā)，二是接受方?jīng)]有措施使第三方相信該報(bào)文就是從發(fā)送方送來，而不是接受方自己偽造。 因此，一種完善鑒別協(xié)議往往考慮到了報(bào)文源、報(bào)文宿、報(bào)文內(nèi)容和報(bào)文時(shí)間性鑒別。第十二章 身份認(rèn)證三、問答題解釋身份認(rèn)證基本概念。身份認(rèn)證是指顧客必須提供他是誰證明，這種證明客戶真實(shí)身份與其所聲稱身份與否相符過程是為了限制非法顧客訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制基礎(chǔ)。 身份認(rèn)證是安全系統(tǒng)中第一道關(guān)卡，識(shí)別身份后，由訪問監(jiān)視器根據(jù)顧客身

37、份和授權(quán)數(shù)據(jù)庫決定與否可以訪問某個(gè)資源。一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)所有安全措施將形同虛設(shè)，黑客襲擊目往往就是身份認(rèn)證系統(tǒng)。2. 單機(jī)狀態(tài)下驗(yàn)證顧客身份三種原因是什么？（1）顧客所懂得東西：如口令、密碼。（2）顧客所擁有東西：如智能卡、身份證。（3）顧客所具有生物特性：如指紋、聲音、視網(wǎng)膜掃描、DNA等。4. 理解散列函數(shù)基本性質(zhì)。散列函數(shù)H必須具有性質(zhì)： H能用于任何長度數(shù)據(jù)分組； H產(chǎn)生定長輸出； 對(duì)任何給定x，H(x)要相對(duì)輕易計(jì)算； 對(duì)任何給定碼h，尋找x使得H(x)=h在計(jì)算上 是不可行，稱為單向性； 對(duì)任何給定分組x，尋找不等于xy，使得H(y)=H(x)在計(jì)算上是不可行，稱為弱抗

38、沖突（Weak Collision Resistance）； 尋找對(duì)任何(x,y)對(duì)，使得H(y)=H(x)在計(jì)算上是不可行，稱為強(qiáng)抗沖突（Strong Collision Resistance）。12. 理解Kerberos系統(tǒng)長處。(1) 安全：網(wǎng)絡(luò)竊聽者不能獲得必要信息以假冒其他顧客，Kerberos應(yīng)足夠強(qiáng)健以致于潛在敵人無法找到它弱點(diǎn)連接。(2) 可靠：Kerberos應(yīng)高度可靠并且應(yīng)借助于個(gè)分布式服務(wù)器體系構(gòu)造，使得一種系統(tǒng)能夠備份另一種系統(tǒng)。(3) 透明：理想狀況下顧客除了規(guī)定輸入口令以外應(yīng)感覺不到認(rèn)證發(fā)生。(4) 可伸縮：系統(tǒng)應(yīng)可以支持大數(shù)量客戶和服務(wù)器，這意味著需要一種模塊化

39、分布式結(jié)構(gòu)。第十三章 授權(quán)與訪問控制三、問答題解釋訪問控制基本概念。訪問控制是建立在身份認(rèn)證基礎(chǔ)上，通過限制對(duì)關(guān)鍵資源訪問，防止非法顧客侵入或由于合法顧客不慎操作而導(dǎo)致破壞。 訪問控制目：限制主體對(duì)訪問客體訪問權(quán)限（安全訪問方略），從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。2. 訪問控制有幾種常用實(shí)現(xiàn)措施？它們各有什么特點(diǎn)？1 訪問控制矩陣 行表達(dá)客體（多種資源），列表達(dá)主體（一般為顧客），行和列交叉點(diǎn)表達(dá)某個(gè)主體對(duì)某個(gè)客體訪問權(quán)限。一般一種文獻(xiàn)Own權(quán)限表達(dá)可以授予（Authorize）或撤銷（Revoke）其他顧客對(duì)該文獻(xiàn)訪問控制權(quán)限。2 訪問能力表 實(shí)際系統(tǒng)中雖然也許有諸多主體與客體，但兩者之間

40、權(quán)限關(guān)系也許并不多。為了減輕系統(tǒng)開銷與揮霍，我們可以從主體（行）出發(fā)，體現(xiàn)矩陣某一行信息，這就是訪問能力表（Capabilities）。 只有當(dāng)一種主體對(duì)某個(gè)客體擁有訪問能力時(shí)，它才能訪問這個(gè)客體。不過要從訪問能力表獲得對(duì)某一特定客體有特定權(quán)限所有主體就比較困難。在一種安全系統(tǒng)中，正是客體自身需要得到可靠保護(hù)，訪問控制服務(wù)也應(yīng)當(dāng)可以控制可訪問某一客體主體集合，于是出現(xiàn)了以客體為出發(fā)點(diǎn)實(shí)現(xiàn)方式ACL。3 訪問控制表 也可以從客體（列）出發(fā)，體現(xiàn)矩陣某一列信息，這就是訪問控制表（Access Control List）。它可以對(duì)某一特定資源指定任意一種顧客訪問權(quán)限，還可以將有相似權(quán)限顧客分組，并授

41、予組訪問權(quán)。4 授權(quán)關(guān)系表 授權(quán)關(guān)系表（Authorization Relations）每一行表達(dá)了主體和客體一種授權(quán)關(guān)系。對(duì)表按客體進(jìn)行排序，可以得到訪問控制表優(yōu)勢(shì)；對(duì)表按主體進(jìn)行排序，可以得到訪問能力表優(yōu)勢(shì)。適合采用關(guān)系數(shù)據(jù)庫來實(shí)現(xiàn)。8. 為何MAC能制止特洛伊木馬？MAC可以制止特洛伊木馬。一種特洛伊木馬是在一種執(zhí)行某些合法功能程序中隱藏代碼，它運(yùn)用運(yùn)行此程序主體權(quán)限違反安全方略，通過偽裝成有用程序在進(jìn)程中泄露信息。 制止特洛伊木馬方略是基于非循環(huán)信息流，由于MAC方略是通過梯度安全標(biāo)簽實(shí)現(xiàn)信息單向流通，從而它可以很好地制止特洛伊木馬泄密。第十四章 PKI技術(shù)二、問答題2. 什么是數(shù)字證

42、書？既有數(shù)字證書由誰頒發(fā)，遵照什么原則，有什么特點(diǎn)？數(shù)字證書是一種經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名包括公開密鑰擁有者信息以及公開密鑰文獻(xiàn)。認(rèn)證中心(CA)作為權(quán)威、可信賴、公正第三方機(jī)構(gòu)，專門負(fù)責(zé)為多種認(rèn)證需求提供數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)數(shù)字證書均遵照X.509 V3原則。X.509原則在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應(yīng)用于許多網(wǎng)絡(luò)安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。3. X.509規(guī)范中是怎樣定義實(shí)體A信任實(shí)體B？在PKI中信任又是什么詳細(xì)含義？X.509規(guī)范中給出了合用于我們目定義：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望那樣行動(dòng)，則A信任

43、B。在PKI中，我們可以把這個(gè)定義詳細(xì)化為：假如一種顧客假定CA可以把任一公鑰綁定到某個(gè)實(shí)體上，則他信任該CA。4. 有哪4種常見信任模型？1. 認(rèn)證機(jī)構(gòu)嚴(yán)格層次構(gòu)造模型 認(rèn)證機(jī)構(gòu)(CA)嚴(yán)格層次構(gòu)造可以被描繪為一棵倒置樹，根代表一種對(duì)整個(gè)PKI系統(tǒng)所有實(shí)體均有尤其意義CA一般叫做根CA (Root CA)，它充當(dāng)信任根或“信任錨(Trust Anchor)”也就是認(rèn)證起點(diǎn)或終點(diǎn)。2. 分布式信任構(gòu)造模型 分布式信任構(gòu)造把信任分散在兩個(gè)或多種CA上。也就是說，A把CA1作為他信任錨，而B可以把CA2做為他信任錨。由于這些CA都作為信任錨，因此對(duì)應(yīng)CA必須是整個(gè)PKI系統(tǒng)一種子集所構(gòu)成嚴(yán)格層次構(gòu)

44、造根CA。3. Web模型 Web模型依賴于流行瀏覽器，許多CA公鑰被預(yù)裝在原則瀏覽器上。這些公鑰確定了一組CA，瀏覽器顧客最初信任這些CA并將它們作為證書檢查根。從主線上講，它更類似于認(rèn)證機(jī)構(gòu)嚴(yán)格層次構(gòu)造模型，這是一種有隱含根嚴(yán)格層次構(gòu)造。4. 以顧客為中心信任模型 每個(gè)顧客自己決定信任哪些證書。一般，顧客最初信任對(duì)象包括顧客朋友、家人或同事，但與否信任某證書則被許多原因所左右。9. CA有哪些詳細(xì)職責(zé)？ 驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者身份。 保證CA用于簽名證書非對(duì)稱密鑰質(zhì)量。 保證整個(gè)簽證過程安全性，保證簽名私鑰安全性。 證書材料信息(包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等)管理。 確定并檢查證書有效期限

45、。 保證證書主體標(biāo)識(shí)惟一性，防止重名。 公布并維護(hù)作廢證書表（CRL）。 對(duì)整個(gè)證書簽發(fā)過程做日志記錄。 向申請(qǐng)人發(fā)告知。 其中最為重要是CA自己一對(duì)密鑰管理，它必須保證高度機(jī)密性，防止他方偽造證書。 第十五章 IP安全一、選擇題二、問答題1. IPSec和IP協(xié)議以及VPN關(guān)系是什么？IPSec是一種由IETF設(shè)計(jì)端到端確實(shí)保IP層通信安全機(jī)制。不是一種單獨(dú)協(xié)議，而是一組協(xié)議。IPSec是伴隨IPv6制定而產(chǎn)生，后來也增長了對(duì)IPv4支持。在前者中是必須支持，在后者中是可選。 IPSec作為一種第三層隧道協(xié)議實(shí)現(xiàn)了VPN通信，可認(rèn)為IP網(wǎng)絡(luò)通信提供透明安全服務(wù)，免遭竊聽和篡改，保證數(shù)據(jù)完整性

46、和機(jī)密性，有效抵御網(wǎng)絡(luò)襲擊，同步保持易用性。IPSec包括了哪3個(gè)最重要協(xié)議？簡述這3個(gè)協(xié)議重要功能？IPSec眾多RFC通過關(guān)系圖組織在一起，它包括了三個(gè)最重要協(xié)議：AH、ESP、IKE。（1）AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放襲擊。數(shù)據(jù)完整性驗(yàn)證通過哈希函數(shù)（如MD5）產(chǎn)生校驗(yàn)來保證；數(shù)據(jù)源身份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一種共享密鑰來實(shí)現(xiàn)；AH報(bào)頭中序列號(hào)可以防止重放襲擊。（2）ESP除了為IP數(shù)據(jù)包提供AH已經(jīng)有3種服務(wù)外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對(duì)一種IP包進(jìn)行加密（整個(gè)IP包或其載荷部分），一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加

47、密一般用于支持IPSec路由器，源端路由器并不關(guān)懷IP包內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳播，目端路由器將該包解密后將原始數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。 AH和ESP可以單獨(dú)使用，也可以嵌套使用?？梢栽趦膳_(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)與安全網(wǎng)關(guān)之間使用。（3）IKE負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享會(huì)話密鑰措施。IKE將密鑰協(xié)商成果保留在安全聯(lián)盟(SA)中，供AH和ESP后來通信時(shí)使用。解釋域(DOI)為使用IKE進(jìn)行協(xié)商SA協(xié)議統(tǒng)一分派標(biāo)識(shí)符。第十六章 電子郵件安全一、問答題1. 電子郵件存在哪些安全性問題？1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動(dòng)

48、郵件等。垃圾郵件會(huì)增長網(wǎng)絡(luò)負(fù)荷，影響網(wǎng)絡(luò)傳播速度，占用郵件服務(wù)器空間。2）詐騙郵件一般指那些帶有惡意欺詐性郵件。運(yùn)用電子郵件迅速、廉價(jià)，發(fā)信人能迅速讓大量受害者上當(dāng)。3）郵件炸彈指在短時(shí)間內(nèi)向同一信箱發(fā)送大量電子郵件行為，信箱不能承受時(shí)就會(huì)瓦解。4）通過電子郵件傳播病毒一般用VBScript編寫，且大多數(shù)采用附件形式夾帶在電子郵件中。當(dāng)收信人打開附件后，病毒會(huì)查詢他通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴(kuò)散。端到端安全電子郵件技術(shù)，可以保證郵件從發(fā)出到接受整個(gè)過程中哪三種安全性？端到端安全電子郵件技術(shù)，保證郵件從被發(fā)出到被接受整個(gè)過程中，內(nèi)容保密、無法修改、并且不

49、可否認(rèn)。目前Internet上，有兩套成型端到端安全電子郵件原則：PGP和S/MIME。它一般只對(duì)信體進(jìn)行加密和簽名， 而信頭則由于郵件傳播中尋址和路由需要，必須保證原封不動(dòng)。畫圖闡明PGP工作原理。第十七章 Web與電子商務(wù)安全二、問答題1. 討論一下為何CGI出現(xiàn)漏洞對(duì)Web服務(wù)器安全威脅最大？相比前面提到問題，CGI也許出現(xiàn)漏洞諸多，而被攻破后所能導(dǎo)致威脅也很大。程序設(shè)計(jì)人員一種簡樸錯(cuò)誤或不規(guī)范編程就也許為系統(tǒng)增長一種安全漏洞。一種故意放置有惡意CGI程序可以自由訪問系統(tǒng)資源，使系統(tǒng)失效、刪除文獻(xiàn)或查看顧客保密信息(包括顧客名和口令)。闡明SSL概念和功能。安全套接層協(xié)議SSL重要是使用

50、公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳播機(jī)密性和完整性，但它不能保證信息不可抵賴性，重要合用于點(diǎn)對(duì)點(diǎn)之間信息傳播。它是Netscape企業(yè)提出基于Web應(yīng)用安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)保密性。SSL通過在瀏覽器軟件和Web服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在Internet中傳送保密性。 在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。這使它可以獨(dú)立于應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在SSL之上。SSL協(xié)議包括如下某些子協(xié)議；SSL記錄協(xié)議、SSL握手協(xié)議、SSL更改密碼闡明協(xié)議和SSL警告協(xié)議。SSL記錄協(xié)議

51、建立在可靠傳播協(xié)議(例如TCP)上，用來封裝高層協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳播數(shù)據(jù)前，可以通過特定加密算法互相鑒別。什么是SET電子錢包？SET交易發(fā)生先決條件是，每個(gè)持卡人(客戶)必須擁有一種惟一電子(數(shù)字)證書，且由客戶確定口令，并用這個(gè)口令對(duì)數(shù)字證書、私鑰、信用卡號(hào)碼及其他信息進(jìn)行加密存儲(chǔ)，這些與符合SET協(xié)議軟件一起構(gòu)成了一種SET電子錢包。簡述SSL記錄協(xié)議和握手協(xié)議。SSL記錄協(xié)議是建立在可靠傳播協(xié)議（如TCP）之上，為更高層提供基本安全服務(wù)，如提供數(shù)據(jù)封裝、眼所、加密等基本功能支持。SSL記錄協(xié)議用來定義數(shù)據(jù)傳播格式，它包括記錄頭和記錄數(shù)據(jù)格式規(guī)定。在SSL協(xié)

52、議中，所有傳播數(shù)據(jù)都被封裝在記錄中。SSL握手協(xié)議負(fù)責(zé)建立目前會(huì)話狀態(tài)參數(shù)。雙方協(xié)商一種協(xié)議版本，選擇密碼算法，互相認(rèn)證（不是必須），并且使用公鑰加密技術(shù)通過一系列互換消息在客戶端和服務(wù)器之間生成共享密鑰。第十八章 防火墻技術(shù)三、問答題1. 什么是防火墻，為何需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，一般處在企業(yè)內(nèi)部局域網(wǎng)與Internet之間，限制Internet顧客對(duì)內(nèi)部網(wǎng)絡(luò)訪問以及管理內(nèi)部顧客訪問Internet權(quán)限。換言之，一種防火墻在一種被認(rèn)為是安全和可信內(nèi)部網(wǎng)絡(luò)和一種被認(rèn)為是不那么安全和可信外部網(wǎng)絡(luò)(一般是Internet)之間提供一種封鎖工具。假如沒有防火墻，

53、則整個(gè)內(nèi)部網(wǎng)絡(luò)安全性完全依賴于每個(gè)主機(jī)，因此，所有主機(jī)都必須到達(dá)一致高度安全水平，這在實(shí)際操作時(shí)非常困難。而防火墻被設(shè)計(jì)為只運(yùn)行專用訪問控制軟件設(shè)備，沒有其他服務(wù)，因此也就意味著相對(duì)少某些缺陷和安全漏洞，這就使得安全管理變得更為以便，易于控制，也會(huì)使內(nèi)部網(wǎng)絡(luò)愈加安全。 防火墻所遵照原則是在保證網(wǎng)絡(luò)暢通狀況下，盡量保證內(nèi)部網(wǎng)絡(luò)安全。它是一種被動(dòng)技術(shù)，是一種靜態(tài)安所有件。2. 防火墻應(yīng)滿足基本條件是什么？作為網(wǎng)絡(luò)間實(shí)行網(wǎng)間訪問控制一組組件集合，防火墻應(yīng)滿足基本條件如下：(1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間所有數(shù)據(jù)流必須通過防火墻。(2) 只有符合安全方略數(shù)據(jù)流才能通過防火墻。(3) 防火墻自身具有高可靠

54、性，應(yīng)對(duì)滲透(Penetration)免疫，即它自身是不可被侵入。3. 列舉防火墻幾種基本功能？(1) 隔離不一樣網(wǎng)絡(luò)，限制安全問題擴(kuò)散，對(duì)安全集中管理，簡化了安全管理復(fù)雜程度。(2) 防火墻可以以便地記錄網(wǎng)絡(luò)上多種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)安全性，碰到緊急狀況報(bào)警。(3) 防火墻可以作為布署NAT地點(diǎn)，運(yùn)用NAT技術(shù)，將有限IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部IP地址對(duì)應(yīng)起來，用來緩和地址空間短缺問題或者隱藏內(nèi)部網(wǎng)絡(luò)構(gòu)造。(4) 防火墻是審計(jì)和記錄Internet使用費(fèi)用一種最佳地點(diǎn)。(5) 防火墻也可以作為IPSec平臺(tái)。(6) 內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，例如防火墻可以從電子郵件中過濾掉垃圾郵件，

55、可以過濾掉內(nèi)部顧客訪問外部服務(wù)圖片信息。只有代理服務(wù)器和先進(jìn)過濾才能實(shí)現(xiàn)。第十九章 VPN技術(shù)二、問答題1. 解釋VPN基本概念。VPN是Virtual Private Network縮寫，是將物理分布在不一樣地點(diǎn)網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成邏輯上虛擬子網(wǎng)。 Virtual是針對(duì)老式企業(yè)“專用網(wǎng)絡(luò)”而言。VPN則是運(yùn)用公共網(wǎng)絡(luò)資源和設(shè)備建立一種邏輯上專用通道，盡管沒有自己專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣功能。 Private表達(dá)VPN是被特定企業(yè)或顧客私有，公共網(wǎng)絡(luò)上只有通過授權(quán)顧客才可以使用。在該通道內(nèi)傳播數(shù)據(jù)通過了加密和認(rèn)證，保證了傳播內(nèi)容完整性和機(jī)密性。簡述V

56、PN使用了哪些重要技術(shù)。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不一樣VPN顧客業(yè)務(wù)辨別基本方式。一種VPN可抽象為一種沒有自環(huán)連通圖，每個(gè)頂點(diǎn)代表一種VPN端點(diǎn)（顧客數(shù)據(jù)進(jìn)入或離開VPN設(shè)備端口），相鄰頂點(diǎn)之間邊表達(dá)連結(jié)這兩對(duì)應(yīng)端點(diǎn)邏輯通道，即隧道。 隧道以疊加在IP主干網(wǎng)上方式運(yùn)行。需安全傳播數(shù)據(jù)分組經(jīng)一定封裝處理，從信源一種VPN端點(diǎn)進(jìn)入VPN，經(jīng)有關(guān)隧道穿越VPN（物理上穿越不安全互聯(lián)網(wǎng)），抵達(dá)信宿另一種VPN端點(diǎn)，再通過對(duì)應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送途徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）2）當(dāng)顧客數(shù)據(jù)需要跨越多種運(yùn)行商網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)該顧客數(shù)據(jù)分組需要被解封裝和再次

57、封裝，也許會(huì)導(dǎo)致數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前重要密鑰互換和管理原則有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道VPN，在隧道建立之前需要確認(rèn)訪問者身份，與否可以建立規(guī)定隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)行資源訪問控制。這需要訪問者與設(shè)備身份認(rèn)證技術(shù)和訪問控制技術(shù)。VPN有哪三種類型？它們特點(diǎn)和應(yīng)用場(chǎng)所分別是什么？1. Access VPN（遠(yuǎn)程接入網(wǎng)） 即所謂移動(dòng)VPN，合用于企業(yè)內(nèi)部人員流動(dòng)頻繁和遠(yuǎn)程辦公狀況，出差員工或在家辦公員工運(yùn)用當(dāng)?shù)豂SP就可以和企業(yè)VPN網(wǎng)關(guān)建立私有隧道連接。 通過撥入當(dāng)?shù)豂SP進(jìn)入Internet

58、再連接企業(yè)VPN網(wǎng)關(guān)，在顧客和VPN網(wǎng)關(guān)之間建立一種安全“隧道”，通過該隧道安全地訪問遠(yuǎn)程內(nèi)部網(wǎng)（節(jié)省通信費(fèi)用，又保證了安全性）。 撥入方式包括撥號(hào)、ISDN、ADSL等，唯一規(guī)定就是可以使用合法IP地址訪問Internet。2. Intranet VPN（內(nèi)聯(lián)網(wǎng)） 假如要進(jìn)行企業(yè)內(nèi)部異地分支構(gòu)造互聯(lián)，可以使用Intranet VPN方式，即所謂網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN。在異地兩個(gè)網(wǎng)絡(luò)網(wǎng)關(guān)之間建立了一種加密VPN隧道，兩端內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信。3. Extranet VPN（外聯(lián)網(wǎng)） 假如一種企業(yè)但愿將客戶、供應(yīng)商、合作伙伴連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extranet VPN。其實(shí)

59、也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN，但它需要有不一樣協(xié)議和設(shè)備之間配合和不一樣安全配置。舉例闡明什么是乘客協(xié)議、封裝協(xié)議和傳播協(xié)議？（1）乘客協(xié)議：顧客真正要傳播（也即被封裝）數(shù)據(jù)，如IP、PPP、SLIP等。（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。（3）傳播協(xié)議：乘客協(xié)議被封裝后應(yīng)用傳播協(xié)議，例如UDP協(xié)議。8. 理解第三層隧道協(xié)議GRE。GRE是通用路由封裝協(xié)議，支持所有路由協(xié)議（如RIP2、OSPF等），用于在IP包中封裝任何協(xié)議數(shù)據(jù)包（IP、IPX、NetBEUI等）。在GRE中，乘客協(xié)議就是上面這些被封裝協(xié)議，封裝協(xié)議就是GRE，傳播協(xié)議就是IP。在GR

60、E處理中，諸多協(xié)議細(xì)微差異都被忽視，這使得GRE不限于某個(gè)特定“X over Y”應(yīng)用，而是一種通用封裝形式。 原始IP包IP地址一般是企業(yè)私有網(wǎng)絡(luò)規(guī)劃保留IP地址，而外層IP地址是企業(yè)網(wǎng)絡(luò)出口IP地址，因此，盡管私有網(wǎng)絡(luò)IP地址無法和外部網(wǎng)絡(luò)進(jìn)行對(duì)路由，但這個(gè)封裝之后IP包可以在Internet上路由最簡樸VPN技術(shù)。（NAT，非IP數(shù)據(jù)包能在IP互聯(lián)網(wǎng)上傳送） GRE VPN適合某些小型點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)互聯(lián)。第二十章 安全掃描技術(shù)一、問答題1. 簡述常見黑客襲擊過程。1 目探測(cè)和信息攫取 先確定襲擊日標(biāo)并搜集目系統(tǒng)有關(guān)信息。一般先大量搜集網(wǎng)上主機(jī)信息，然后根據(jù)各系統(tǒng)安全性強(qiáng)弱確定最終目。1) 踩