信息安全概论期末复习

题型：
1.选择题（共40分，共20题，每题2分）
2.判断题（共10分，共10题，每题1分）
3.名词解析（共20分，共2题，每题10分）
4.简单题（共30分，共2题，每题15分）

重点:

1. 基于set协议的支付页面中支付信息和订单信息的处理流程？
   
   
   

2. 如何利用伪造的ARP响应报文进行主机欺骗？要求绘制出网络拓扑
   

3. 状态监测防火墙工作机制？
   1）对新建的应用连接，首先利用规则表进行数据包的过滤，此过程与包过滤防火墙基本相同。允许符合规则的连接通过，并在内存中记录 下该连接的相关信息，生成状态表。
   2）添加一个动态ACL条目到外部接口的进站方向，允许返回到内部网络的流量。
   3）对该连接的后续数据包，不再接受规则表的检查，只要符合状态表，就可以通过。如果信息不符合状态表，数据包就会被丢弃或连接被拒绝。
   

4. 区域策略防火墙工作机制？
   域是防火墙上引入的一个重要的逻辑概念，防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域。防火墙可以对一个区域到另一个区域的信息流进行安全过滤。
   

5. XSS攻击
   跨网站脚本（Cross-site scripting，通常简称为XSS、跨站脚本或跨站脚本攻击）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。 它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响，通常采用的的是JavaScript 脚本进行攻击。

6. 什么是CSRF攻击？CSRF攻击流程？
   跨站请求伪造（Cross-Site Request Forgery,通常缩写为CSRF或XSRF）是一种对网站的恶意利用，通过伪造客户端请求在用户会话保持下进行未经许可的GET或POST操作，从而达到恶意攻击的目的。
   

7. 什么是VPN？
   

8. 什么是数字签名？
   1）数字签名是采用电子文件进行签名的一种方法，作用类似写在纸上的普通的物理签名。
   2）采用非对称秘钥加密技术（主要利用私钥）与数字摘要技术（Hash函数可生成数字摘要）可以实现数字签名。
   3）数字签名可以理解为一份加密的电子文件。

9. 具有保密性和完整性校验的数字签名机制？
   

10. 双签名机制(保证商家看不到消费者的账号信息，银行看不到订购信息)
    
    问题：
    1）OI和PI能否合在一起生成消息摘要？
    解答：商家没有支付信息PI，支付网关没有订单信息OI，验证完整性时没商家和支付网关都不能计算得到OI+PI的消息摘要
    2）能否直接H(OI)+H(PI)采用客户端私钥进行加密
    解答：可以，但是不好验证完整性。