信息安全基础练习题(看完包过)

信息安全基础课程练习与参考解答

一、单项选择题

  1. 密码学的目的是( C )。
    A. 研究数据加密 B. 研究数据解密
    C. 研究数据保密 D. 研究漏洞扫描
  2. 数据机密性安全服务的基础是( D )。
    A. 数据完整性机制 B. 数字签名机制
    C. 访问控制机制 D. 加密机制
  3. 数字签名要预先使用单向Hash函数进行处理的原因是( C )。
    A. 多一道加密工序使密文更难破译
    B. 提高密文的计算速度
    C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度
    D. 保证密文能正确还原成明文
  4. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是( C )。
    A. 公钥认证 B. 零知识认证
    C. 共享密钥认证 D. 口令认证
  5. PKI管理对象不包括( A )。
    A. ID和口令 B. 证书
    C. 密钥 D. 证书撤消列表
  6. AH协议和ESP协议有( A )种工作模式。
    A. 二 B. 三 C. 四 D. 五
  7. ( B )属于应用层使用的安全协议。
    A. SSL B. SET
    C. IPSec D. TLS
  8. 包过滤型防火墙原理上是基于( C )进行分析的技术。
    A. 物理层 B. 数据链路层
    C. 网络层 D. 应用层
  9. 计算机病毒是计算机系统中一类隐藏在( C )上蓄意破坏的捣乱程序。
    A. 内存 B. 软盘 C. 存储介质 D. 云盘
  10. “公开密钥密码体制”的含义是( C )。
    A. 将所有密钥公开 B. 将私有密钥公开,公开密钥保密
    C. 将公开密钥公开,私有密钥保密 D. 两个密钥相同
  11. 攻击者截获并记录了从A到B的数据,于是从早些时候所截获的数据中提取出信息重新发往B称为( D )。
    A. 中间人攻击 B. 字典攻击
    C. 强力攻击 D. 重放攻击
  12. PKI的主要组成不包括(B)。
    A. 证书授权CA B. SSL
    C. 注册授权RA D. 证书存储库CR
  13. (A)协议必须提供认证服务。
    A. AH B. ESP C. GRE D. 以上皆是
  14. 下列选项中能够用在网络层的协议是( D )。
    A. SSL B. PGP C. PPTP D. IPSec
  15. (A)协议是一个用于提供IP数据报完整性、身份认证和可选的抗重播保护的机制,但不提供数据机密性保护。
    A. AH协议 B. ESP协议 C. IPSec协议 D. PPTP协议
  16. IPSec协议中负责对IP数据报加密的部分是(A)。
    A. 封装安全负载(ESP) B. 鉴别包头(AH)
    C. Internet密钥交换(IKE) D. 以上都不是
  17. 防火墙用于将Internet和内部网络隔离,( B )。
    A. 是防止Internet火灾的硬件设施
    B. 是网络安全和信息安全的软件和硬件设施
    C. 是保护线路不受破坏的软件和硬件设施
    D. 是起抗电磁干扰作用的硬件设施
  18. A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是(C)。
    A. KB公开(KA秘密(M’)) B. KA公开(KA公开(M’))
    C. KA公开(KB秘密(M’)) D. KB秘密(KA秘密(M’))
  19. 从安全属性对各种网络攻击进行分类,阻断攻击是针对(B)的攻击。
    A. 机密性 B. 可用性 C. 完整性 D. 真实性
  20. 攻击者用传输数据来冲击网络接口,使服务器过于繁忙以至于不能应答请求的攻击方式是(A)。
    A. 拒绝服务攻击 B. 地址欺骗攻击
    C. 会话劫持 D. 信号包探测程序攻击
  21. CA属于PKI安全体系结构中定义的(D)。
    A. 认证交换机制 B. 通信业务填充机制
    C. 路由控制机制 D. 公证机制
  22. 访问控制是指确定( A )以及实施访问权限的过程。
    A. 用户权限 B. 可给予哪些主体访问权利
    C. 可被用户访问的资源 D. 系统是否遭受入侵
  23. PKI支持的服务不包括(D)。
    A. 非对称密钥技术及证书管理 B. CRL列表服务
    C. 对称密钥的产生和分发 D. 访问控制服务
  24. 目前,VPN使用了(A)技术保证了通信的安全性。
    A. 隧道协议、身份认证和数据加密
    B. 身份认证、数据加密
    C. 隧道协议、身份认证
    D. 隧道协议、数据加密
  25. IPSec VPN不太适合用于(C)。
    A. 已知范围的IP地址的网络
    B. 固定范围的IP地址的网络
    C. 动态分配IP地址的网络
    D. TCP/IP协议的网络
  26. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(A)。
    A. 对称加密技术 B. 分组密码技术
    C. 公钥加密技术 D. 单向散列函数密码技术
  27. 用于实现身份鉴别的安全机制是(A)。
    A. 加密机制和数字签名机制
    B. 加密机制和访问控制机制
    C. 数字签名机制和路由控制机制
    D. 访问控制机制和路由控制机制
  28. 身份鉴别是安全服务中的重要一环,以下关于身份鉴别的叙述不正确的是(B)。
    A. 身份鉴别是授权控制的基础
    B. 身份鉴别一般不用提供双向的认证
    C. 目前一般采用基于对称密钥加密或公开密钥加密的方法
    D. 数字签名机制是实现身份鉴别的重要机制
  29. PKI能够执行的功能是( A )和( C )。
    A. 鉴别计算机消息的始发者 B. 确认计算机的物理位置
    C. 保守消息的机密 D. 确认用户具有的安全性特权
  30. 信息安全的基本属性是( D )。
    A. 机密性 B. 可用性
    C. 完整性 D. 上面3项都是
  31. ISO安全体系结构中的对象认证服务,使用( B )完成。
    A. 加密机制 B. 数字签名机制
    C. 访问控制机制 D. 数据完整性机制
  32. 机密性服务提供信息的保密,机密性服务包括(D)。
    A. 文件机密性 B. 信息传输机密性
    C. 通信流的机密性 D. 以上3项都是
  33. 关于DES算法,除了(C )以外,下列描述DES算法子密钥产生过程是正确的。
    A.首先将 DES 算法所接受的输入密钥 K(64 位),去除奇偶校验位,得到56位密钥(即经过PC-1置换,得到56位密钥)
    B.在计算第i轮迭代所需的子密钥时,首先进行循环左移,循环左移的位数取决于i的值,这些经过循环移位的值作为下一次循环左移的输入
    C.在计算第i轮迭代所需的子密钥时,首先进行循环左移,每轮循环左移的位数都相同,这些经过循环移位的值作为下一次循环左移的输入
    D.然后将每轮循环移位后的值经PC-2置换,所得到的置换结果即为第i轮所需的子密钥Ki
  34. 根据所依据的数学难题,除了( A )以外,公钥密码体制可以分为以下几类。
    A.模幂运算问题 B.大整数因子分解问题
    C.离散对数问题 D.椭圆曲线离散对数问题
  35. 完整的数字签名过程(包括从发送方发送消息到接收方安全的接收到消息)包括(C )和验证过程。
    A.加密 B.解密
    C.签名 D.保密传输
  36. 密码学在信息安全中的应用是多样的,以下( A)不属于密码学的具体应用。
    A. 生成各种网络协议 B. 消息认证,确保信息完整性
    C. 加密技术,保护传输信息 D. 进行身份认证
  37. 某公司的工作时间是上午 8 点半至 12 点,下午 1 点至 5 点半,每次系统备份需要一个半小时,下列适合作为系统数据备份的时间是(D)。
    A. 上午 8 点 B. 中午 12 点 C. 下午 3 点 D. 凌晨 1 点
  38. 容灾的目的和实质是( C )。
    A. 数据备份 B. 心理安慰
    C. 保持信息系统的业务持续性 D. 系统的有益补充
  39. 基于网络的入侵检测系统的信息源是( D )。
    A. 系统的审计日志 B. 事件分析器
    C. 应用程序的事务日志文件 D. 网络中的数据包
  40. 误用入侵检测技术的核心问题是( C )的建立以及后期的维护和更新。
    A. 异常模型 B. 规则集处理引擎
    C. 网络攻击特征库 D. 审计日志
  41. 使用漏洞库匹配的扫描方法,能发现( B )。
    A. 未知的漏洞 B. 已知的漏洞
    C. 自行设计的软件中的漏洞 D. 所有的漏洞
  42. 防火墙提供的接入模式不包括( D )
    A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式
  43. PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P,D,R代表分别代表( A )。
    A. 保护 检测 响应 B. 策略 检测 响应
    C. 策略 检测 恢复 D. 保护 检测 恢复
  44. 信息安全管理领域权威的标准是( B )。
    A. ISO15408 B. ISO17799/ISO27001
    C. ISO9001 D. ISO14001
  45. 根据风险管理的看法,资产( )价值,( )脆弱性,被安全威胁所( ),( )风险。(B)
    A. 存在 利用 导致 具有 B. 具有 存在 利用 导致
    C. 导致 存在 具有 利用 D. 利用 导致 存在 具有
  46. 社会工程学常被黑客用于(A)
    A. 口令获取 B. ARP C. TCP D. DDOS
  47. 一个完整的密码体制,不包括以下( C )要素。
    A. 明文空间 B. 密文空间
    C. 数字签名 D. 密钥空间
  48. 完整的数字签名过程(包括从发送方发送消息到接收方安全接收到消息)包括(C )和验证过程。
    A. 加密 B. 解密
    C. 签名 D. 保密传输
  49. 自然灾害引起的安全问题,称为( A ) 。
    A. 物理安全 B. 法律安全 C. 人事安全 D. 技术安全
  50. 采用具有一定安全性质的硬件或软件,保护信息系统的安全,属于 ( D ) 。
    A. 物理安全 B. 人事安全 C. 法律安全 D. 技术安全
  51. 在自主访问控制中,客体拥有者具有全部的控制权,称为( A )。
    A. 集中型管理模式 B. 分散型管理模式
    C. 受限的分散型管理模式 D. 受限的集中型管理模式
  52. 主体所能访问的客体的表,称为( A )。
    A. 授权表 B. 能力表 C. 稀疏矩阵 D. 访问控制矩阵
  53. 未经许可,但成功获得了对系统某项资源的访问权,并更改该项资源,称为( B )。
    A. 窃取 B. 篡改 C. 伪造 D. 拒绝服务
  54. 未经许可,在系统中产生虚假数据,称为( C )。
    A. 窃取 B. 篡改 C. 伪造 D. 拒绝服务
  55. 未经许可直接或间接获得了对系统资源的访问权,从中窃取有用数据,称为( A )。
    A. 窃取 B. 篡改 C. 伪造 D. 拒绝服务
  56. 防止信息非授权的泄露,称为( A )。
    A. 机密性 B. 完整性 C. 可用性 D. 可控性
  57. 保持信息不被篡改的特性,称为( B )。
    A. 机密性 B. 完整性 C. 可用性 D. 可控性
  58. 授权用户能正常使用资源的性质称为( C )。
    A. 保密性 B. 完整性 C. 可用性 D. 可控性
  59. 在授权范围内控制信息的流向称为( D )。
    A. 保密性 B. 完整性 C. 可用性 D. 可控性
  60. 不能否认自己的行为,称为( A )。
    A. 抗抵赖性 B. 完整性 C. 可用性 D. 可控性
  61. 数据信号的抗干扰能力称为( B )。
    A. 机密性 B. 可靠性 C. 可用性 D. 可控性
  62. 防止非法用户进入系统的技术称为( A )。
    A. 身份鉴别 B. 权限管理 C. 信息流控制 D. 数据加密
  63. 保证所有的访问都是经过授权的,称为( B )。
    A. 数字签名 B. 访问控制 C. 信息流控制 D. 数据加密
  64. 阻止传输过程中,数据被窃取的最好方法是( D )。
    A. 身份鉴别 B. 访问控制 C. 信息流控制 D. 数据加密
  65. 监视、记录、控制用户活动的机制称为( B )。
    A. 身份鉴别 B. 审计 C. 管理 D. 加密
  66. 下列选项中( B )是信息安全五个基本属性之一。
    A.可信性性 B.可用性 C.可审计性 D.可靠性
  67. 2017年6月1日起我国第一部基础性信息安全法律( A )正式施行。
    A. 网络安全法 B. 安全基础保护法
    C. 计算机病毒防治管理办法 D. 个人信息保护法
  68. 可信计算用于解决( D )。
    A. 设备安全 B. 数据安全
    C. 内容安全 D. 行为安全
  69. ( A ),中央网络安全和信息化领导小组成立。
    A. 2014年2月 B. 2020年3月
    C. 2008年7月 D. 2000年1月
  70. 下面不属于PMI属性证书组成部分的是( D )。
    A. 发布者的唯一标识符 B. 签名算法标识符
    C. 发布者的数字签名 D. 证书持有者的名称
  71. 0Day漏洞是指( C )。
    A. 只在当天存在. 第二天就失效的漏洞
    B. 已被公开且发布了补丁的漏洞
    C. 补丁发布前已被掌握或公开的漏洞
    D. 生命周期为一天的漏洞
  72. 用户身份鉴别是通过( A )完成的。
    A. 口令验证 B. 审计策略
    C. 存取控制 D. 查询功能

二、多项选择题

  1. 系统数据备份包括对象有( ABD )。
    A. 配置文件 B. 日志文件 C. 用户文档 D. 系统设备文件
  2. 防火墙的局限性包括( ABD )。
    A. 防火墙不能防御绕过了它的攻击
    B. 防火墙不能消除来自内部的威胁
    C. 防火墙不能防御来自外部的攻击
    D. 防火墙不能阻止病毒感染过的程序和文件进出网络
  3. 病毒传播的途径有( ABCD )。
    A. 移动硬盘 B. 网络浏览 C. 电子邮件 D. 聊天程序
  4. 计算机病毒具有以下特点( ABCD )。
    A. 传染性 B. 隐蔽性 C. 潜伏性 D. 破坏性
  5. 任何人不得在电子公告服务系统中发布含有下列内容之一的信息: ( ABCD )
    A. 反对宪法所确定的基本原则的. 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的
    B. 损害国家荣誉和利益的;煽动民族仇恨. 民族歧视,破坏民族团结的
    C. 破坏国家宗教政策,宣扬邪教和封建迷信的
    D. 散布谣言. 淫秽. 色情. 赌博. 暴力. 凶杀. 恐怖或者教唆犯罪的
  6. 为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:(ABCD )
    A. 侵入国家事务. 国防建设. 尖端科学技术领域的计算机信息系统
    B. 故意制作. 传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害
    C. 违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行
    D. 非法截获. 篡改. 删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密
  7. 信息的安全属性包括( ABCD )。
    A. 机密性 B. 完整性 C. 可用性 D. 真实性
  8. DES属于( A )。
    A. 对称密码体制 B. 凯撒密码体制
    C. 非对称密码体制 D. 公钥密码体制
  9. RSA属于( AB )。
    A. 非对称密码体制 B. 公钥密码体制
    C. 对称密码体制 D. 古典密码体制
  10. 包过滤路由器的优点包括( ABC )。
    A. 保护整个网络,减少暴露的风险 B. 对用户透明,不需要过多设置
    C. 可以作为数据包过滤 D. 仅仅保护重点网络
  11. 防火墙的作用包括(ABCD)。
    A. 防止易受攻击的服务 B. 站点访问控制
    C. 集中安全性 D. 增强保密,强化私有权
  12. PKI的保密性服务机制包括 (ABC)
    A. 生成一个对称密钥 B. 用对称密钥加密数据
    C. 将加密后的数据发送给对方 D. 生成一组非对称密钥
  13. 数字签名用于避免(ABCD)。
    A. 否认 B. 伪造 C. 冒充 D. 篡改
  14. PKI的要件包括 ( ABD )
    A. CA
    B. 证书库
    C. 密钥备份及恢复系统
    D. 证书作废处理系统
  15. 一下算法中,对称加密算法包括(ABCD)。
    A. DES B. AES C. IDEA D. RSA
  16. AES的密钥长度可以为(BCD)比特。
    A. 64 B. 128 C. 192 D. 256
  17. (ABC)属于密钥交换和管理协议。
    A. Diffie-Hellman密钥交换协议 B. 安全联盟密钥管理协议ISAKMP
    C. Internet密钥交换协议IKE D. RSA密钥管理协议
  18. (ABCD)属于安全管理的内容。
    A.安全风险 B.安全需求 C.安全策略 D.安全评估
  19. (AB)属于被动攻击。
    A. 截获 B.窃取 C.窃听 D.流量分析

三、填空题

  1. 容灾就是减少灾难事件发生的可能性以及限制灾难对( 关键业务流程 )所造成的影响的一整套行为。
  2. 数据备份是目的是为了在( 系统数据 )崩溃时能够快速地恢复数据。
  3. ( CA )是PKI系统安全的核心。
  4. 公钥密码体制有两种基本模型:一种是加密模型;另一种是( 认证 )模型。
  5. 数字水印应具有3个基本特性:隐蔽性. ( 鲁棒性 )和安全性。
  6. 如果加密密钥和解密密钥( 相同) ,这种密码体制称为对称密码体制。
  7. DES算法密钥是( 64 )位,其中密钥有效位是 (56 )位。
  8. Hash函数是可接受变长数据输入,并生成( 定长 )数据输出的函数。
  9. ( 数字签名 )是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术。
  10. ISO 17799/ISO 27001最初是由( 英国 )提出的国家标准。
  11. 信息安全中所面临的威胁攻击是多种多样的,一般将这些攻击分为两大类(主动攻击)和被动攻击。
  12. 密码技术的分类有很多种,根据加密和解密所使用的密钥是否相同,可以将加密算法分为:对称密码体制和(非对称密码体制)。
  13. 密码分析是研究密码体制的破译问题,根据密码分析者所获得的数据资源,可以将密码分析分为:(惟密文分析). 已知明文分析. 选择明文分析、选择密文分析和选择文本分析。
  14. 一个完整的信息安全保障体系,应当包括(安全策略). 保护. 检测. 响应. 恢复五个主要环节,这就是PPDRR模型的内容。
  15. 网络信息安全主要包括信息交换安全和(网络系统安全)两类技术。
  16. (密码学)是实现安全信息交换的基础。
  17. DES的工作模式有加密和(解密)两种。
  18. DES使用了分组密码设计的两个基本原则:(混淆)和扩散。
  19. IDEA是作为迭代的分组密码实现的,使用(128)位的密钥和8个循环。
  20. (公钥基础设施)是一种基于公钥技术实现的,提供数据机密性. 完整性. 身份认证和不可否认性等安全服务的,普适性和标准化安全平台。
  21. (证书)是PKI的基本要素。
  22. (安全联盟)是IPSec的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议. 转码方式. 密钥以及密钥有效期等。
  23. 在IPsec体系中,用于实现身份和完整性验证的协议是( AH ),用于实现数据加密的协议是( ESP )。
  24. 静态的网络检测技术是( 漏洞扫描 ),动态的网络检测技术是入侵检测。
  25. 访问控制授权包括( 用户身份验证 )和用户权限控制两种安全措施。
  26. 可信计算平台TCP是将( BIOS )作为完整性测量的信任根,TMP作为完整性报告的信任根。
  27. 数字水印主要有( 鲁棒性水印 )和脆弱性水印。
  28. 从检测原理上看,入侵检测包括异常检测和( 误用检测 )两种实现技术。
  29. 信息安全具有四个侧面:设备安全. 数据安全. 内容安全与行为安全。(可信计算)用于解决行为安全。
  30. (匿名认证)是一种既能验证身份权限信息,又能隐藏具体身份的技术,是实现网络服务中隐私保护的主要技术手段。
    四、简答题
  31. 简述可信计算的关键技术。
    签注密钥、安全输入输出、存储器屏蔽、密封储存、远程认证。
  32. 简述对密码系统的攻击方法。
    惟密文攻击、已知明文攻击、选择明文攻击、选择密文攻击和选择文本攻击。
  33. 简述计算机病毒的特征。
    传播-感染性、隐蔽-潜伏性、可激发性、破坏性
  34. 从实现技术,防火墙有哪些类型。
    包过滤防火墙、应用网关防火墙、代理服务防火墙、状态检测防火墙。
  35. 简述对称密钥密码体制的原理和特点。
    对称密钥密码体制,对于大多数算法,解密算法是加密算法的逆运算,加密密钥和解密密钥相同,同属一类的加密体制。它保密强度高、运算速度较快但开放性差,要求发送者和接收者在安全通信之前,需要有可靠的密钥信道传递密钥,而此密钥也必须妥善保管。
  36. 简述公开密钥密码机制的原理和特点?
    公开密钥密码体制是使用具有两个密钥的加密解密算法,加密和解密的能力是分开的;这两个密钥一个保密,另一个公开。根据应用的需要,发送方可以使用接收方的公开密钥加密消息,或使用发送方的私有密钥签名消息,或两个都使用,以完成某种类型的密码编码解码功能。
  37. 简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。
    主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造和篡改信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非法截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。
  38. 简述入侵检测系统IDS所采取的两种主要方法。
    (1)误用检测:通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。具体地说,根据静态的、预先定好的签名集合来过滤网络中的数据流(主要是IP层),一旦发现数据包特征与某个签名相匹配,则认为是一次入侵。
    (2)异常检测:指根据使用者的行为或资源使用状况来判断是否入侵,而不以来具体行为是否出想来检测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测系统的异常行为。首先定义检测假设,任何对系统的入侵和误操作都会导致系统异常,这样对入侵的检测就可以归结到对系统异常的检测。
  39. 简述漏洞扫描技术的原理。
    安全漏洞扫描技术是一种静态的网络检测技术,用于对一个网络系统进行安全检查,寻找和发现可能被攻击者利用来攻击网络的安全漏洞。一旦发现安全漏洞,应及时采取措施加以阻塞,如:更新系统版本、安装补丁程序、调整安全配置、增加安全设施等。
    安全漏洞扫描软件是实现漏洞扫描的主要工具,它采用非破坏性方法来测试一个网络系统是否存在安全漏洞。安全漏洞扫描软件需要维护一个安全漏洞扫描方法库,该方法库不仅提供各种已知安全漏洞的测试方法,而且能将最新发现的安全漏洞及其测试方法添加进来。
  40. 简述包过滤防火墙的原理
    包过滤防火墙动态检查流过数据包的报头,根据预先设置的一套规则,允许或禁止数据包的通过,允许通过的数据包被送往目的地,禁止通过的数据包则被丢弃。对于每一个数据包,包过滤器从第一条规则开始顺序检查,直到找到适合该包的一条规则或用完所有规则,因而规则表中各规则的设置顺序非常重要,它直接影响数据包的传输效率。

五、综合应用题

  1. 假如你是单位WEB服务器管理员,试述你会采取哪些主要措施来保障WEB服务器安全。
    (1) 访问控制(IP地址限制、Windows帐户、请求资源的Web权限、资源的NTFS权限);
    (2) 用虚拟目录隐藏真实的网站结构;
    (3) 设置基于SSL的加密和证书服务,以保证传输安全;
    (4) 完善定期审核机制;
    (5) 安装防火墙及杀毒软件;
    (6) 及时安装操作系统补丁,减少操作系统漏洞等等。
  2. 试编写一个简单的口令管理策略。
    (1)所有活动账号都必须有口令保护。
    (2)生成账号时,系统管理员应分配给合法用户一个唯一的口令,用户在第一次登录时应该更改口令。
    (3)口令必须至少要含有8个字符。
    (4)口令必须同时含有字母和非字母字符。
    (5)必须定期用监控工具检查口令的强度和长度是否合格。
    (6)口令不能和用户名或者登录名相同。
    (7)口令必须至少60天更改一次。
  3. 假如你是一个网络管理员,请说明你会采取哪些措施来构建网络安全体系,这些措施各有什么作用。
    (1) 保证物理安全,将重要设备放入专门房间,保持良好环境,有专入制度。
    (2) 在网关出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高可以使用硬件防火墙。
    (3) 在防火墙后面使用入侵检测系统IDS,与防火墙配合使用,以加强内网安全。
    (4) 做好操作系统、数据库系统、应用软件及时升级维护打补丁,消除漏洞;
    (5) 做好数据备份,保障数据安全;
    (6) 使用正版杀毒软件并及时升级;
    (7) 对外通信采用IPSec或SSL等安全协议和技术,保障通信安全;
    (8) 为系统和用户设置安全口令及权限,做好访问控制,保障系统使用安全;
    (9) 建立完善的安全管理制度、审计制度、建立应急响应机构和机制;
    (10) 做好内部安全监管、安全培训等。
  4. 试论述目前造成计算机网络不安全的原因是什么?可采取哪些相应的安全措施?
    不安全原因1.网络自身的特性2.网络技术的开放3.网络协议的漏洞4. 通信系统和信息系统的自身缺陷5.系统"后门”6.黑客及病毒等恶意程序的攻击。
    措施:制定安全策略:如采用什么样的安全保障体系、确定网络资源职责划分、制定使用规则、制定日常维护规程、确定在遇到安全问题时采取的措施;采取加密、数字签名、访问控制、数据完整性、鉴别、业务填充、路由控制、可信第三方证书等机制。具体技术措施如:1)设置IP限制,屏蔽有威胁的IP地址2)设置身份验证,确保只有合法用户才能访问授权范围内的资源3)设置资源的WEB权限4)设置文件或目录的NTFS权限5)用虚拟目录隐藏真实的网站结构6)设置基于SSL的加密和证书服务,保证传输安全7)完善定期审核机制8)安装防火墙软件9)安装杀毒软件10)及时安装操作系统补丁,减少操作系统漏洞.
    5. 分析讨论信息系统所面临的安全威胁(至少5种)。
    (1) 软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
    (2) 物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
    (3) 无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。
    (4) 管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
    (5) 恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。
    (6) 越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
    (7) 黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
    (8) 物理攻击:物理接触、物理破坏、盗窃
    6.请利用加密技术设计一套机制,用于实现商品的真伪查询。
    系统产生一随机数并存储此数,然后对其加密,再将密文贴在商品上。当客户购买到此件商品并拨打电话查询时,系统将客户输入的编码(即密文)解密,并将所得的明文与存储在系统中的明文比较,若匹配则提示客户商品是真货,并从系统中删了此明文;若不匹配则提示客户商品是假货。
  5. 请利用认证技术设计一套机制,用于防止电脑彩票伪造问题。
    首先,系统给彩票编好码,习惯称之为条形码;然后,将条形码通过Hash运算,得到相应的消息摘要;接着,对消息摘要进行加密,得到相应密文;最后,系统将条形码与密文绑定在一起并存储,若需要查询时只要查看条形码与密文是否相关联即可。这样,即可实现电脑彩票防伪,因为伪造者是无法伪造密文的。
  6. 请说明数字签名的主要流程。
    (1) 采用Hash算法对原始报文进行运算,得到一个固定长度的消息摘要(Message Digest),消息摘要具有单向性、散列性和无碰撞性。
    (2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。
    (3) 这个数字签名将作为报文的附件和报文一起发送给接收方。
    (4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改。
  7. 用户A需要通过计算机网络安全地将一份的机密文件传送给用户B,B希望A今后对该份机密文件无法抵赖,请问如何实现。
    答:假定通信双方分别为Alice和Bob,(1)双方选用一个公开密钥密码系统;(2)双方把自己的公开密钥通过PKI证书传送给对方;(3)加密方Alice将用自己的私钥加密文件,再用Bob的公钥加密文件,然后发送给Bob;(4)解密方Bob收到后用自己的私钥解密,再用Alice的公钥解密,就可以得到原机密文件。
    10、简述公钥密码体制的基本思想。
    答:①公钥密码体制的基本思想是把密钥分成两个部分:公开密钥和私有密钥(简称公钥和私钥),公钥可以向外公布,私钥则是保密的;密钥中的任何一个可以用来加密,另一个可以用来解密;公钥和私钥必须配对使用,否则不能打开加密文件;已知密码算法和密钥中的一个,求解另一个在计算上是不可行的。②相对于传统密码体制来说,公钥密码体制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放,而私有密钥由持有者妥善地秘密保存。这样,任何人都可以通过某种公开的途径获得一个用户的公开密要,然后进行保密通信,而解密者只能是知道私钥的密钥持有者,该体制简化了密钥的分配与分发;同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性,使得公钥密码体制不仅能像传统密码体制那样用于消息加密,实现秘密通信,还可以广泛应用于数字签名、认证等领域。
    11、高级持续性威胁APT攻击案例分析:
    ①对谷歌等公司的激光攻击事件。
    ②对伊朗核设施的攻击事件。
    ③对韩国农协银行的攻击事件。
    参考:
    常见的黑客攻击过程。
    1 目标探测和信息攫取
    先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。
    1. 踩点(Footprinting)
      黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。
    2. 扫描(Scanning)
      在扫描阶段,将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。
    3. 查点(Enumeration)
      从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。
      2 获得访问权(Gaining Access)
      通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。
      3 特权提升(Escalating Privilege)
      在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。
      4 窃取(Stealing)
      对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。
      5 掩盖踪迹(Covering Tracks)
      此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。
      6 创建后门(Creating Bookdoor)
      在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。

你可能感兴趣的:(信息安全,网络)