信息安全工程师考前强化模拟试题(下)

1、信息安全工程师考前强化模拟试题软考全称全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工 程师分属该考试“信息系统”专业，位处中级资格。是信息产业部和人事部在最新的“国人 厅发2007139 号1 ”文件中新增的专业。信息安全专业的毕业生，主要在计算机软硬件、 网络、 应用相关领域从事安全系统设计、 安全产品开发、 产品集成、信息系统安全检测与审 计等方面工作， 服务单位可以是国家机关、 企事业单位及科研教学单位等。 希赛软考学院为 大家整理了一些考前强化模拟试题，供大家参考，希望能有所帮助。（一）一、填空题1 、Internet 的安全是指互联网络的安全，它主要包括网上的（数

2、据信息安全）和网络 设备服务的运行安全。2 、网络面临的安全威胁可分为两种：一是对网络数据的威胁；二是对（网络设备）的威胁。3 、 Web 服务的安全威胁分为四类：完整性、保密性、（拒绝服务）和认证鉴别。4 、目前互联网的攻击分为主动攻击和（被动攻击） 两大类。5 、SSL 协议的目标是提供两个应用间通信的 （保密性和可靠性 ）。6 、 （ 域名系统 ）是将域名和 IP 地址相互映射的一个分布式数据库，提供主机名字和 IP 地址之间的转换信息。7 、IPv6 解决了 IP 地址 （数量短缺 ）的问题8 、局域网内的 DNS 欺骗是基于 （ARP） 欺骗之上的网络攻击。9 、 AH 可以增加 I

3、P 数据报的 （安全性 ）。10 、AH 协议提供无连接的完整性、数据源认证和（防重放 ）保护服务。二、简答题1 网络面临的安全威胁主要有哪些方面？ 网络面临的安全威胁可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。概括起来主要威胁包括以下几个方面： 1 ）由自然力造成的非人为的数据丢失、设备失效、 线路阻断。 2）人为但属于操作人员无意的失误造成的数据丢失。3 ）来自外部和内部人员的恶意攻击和入侵。2 【答案不确定】请结合自己的认识，简述一下 Internet 面临的安全威胁。 网络面临的安全威胁可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。 概括起来主要威胁包括以下几个方

4、面。1 ）由自然力造成的非人为的数据丢失、设备失效、线路阻断。2 ）人为但属于操作人员无意的失误造成的数据丢失。3 ）来自外部和内部人员的恶意攻击和入侵。3 Web 服务有哪些方面的安全隐患？可用的预防策略都是哪些？（1）主动攻击：主动攻击是指攻击者通过有选择的修改破坏数据流以达到其非法目的， 可以归纳为中断、篡改和伪造。（ 2）被动攻击：被动攻击主要是指攻击者监听网络上的信 息流，从而获取信息的内容。防患策略： （ 1）网络层： IPSec 可提供端到端的安全机制，可对数据包进行安全处理， 支持数据加密可确保资料的完整性。 （2）传输层： 实现数据的安全传输可采用 SSL和 TLS， 传输层

5、安全） 来提供安全服务。 （3 ）应用层： 实现通信安全的标准有 SET、S/MIME 、PGP， 可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。可在服务器和客户端同时实4 SSL 的目标是什么，可提供的基本安全服务？SSL 协议的目标是提供两个应用间通信的保密性和可靠性，现支持。可提供的基本安全服务有：信息保密、信息完整性、相互认证。5 SSL 握手协议的四个阶段各完成什么工作？SSL 握手协议包含以下四个阶段。1 ）发起阶段客户端发送一个 Client-Hello 消息并等待，服务器发送一个 Server-Hello 消息。2 ）服务器认证和密钥交换阶段服务器发送自己的证书，

6、然后发送可选的 Server-Key-Exchange 消息，接着发送 Certificate-Request 消息，向客户端请求一个证书，最后服务器发送 Server-Hello-Done 消息，并等待客户端应答。3 ）客户端认证和密钥交换阶段客户端收到 Server-Hello-Done 消息后，验证服务器提供的证书，发送客户端证书， 然后根据密钥交换的类型发送 Client-Key-Exchange 消息，最后发送一个包含对前面所有 消息签名的 Certificate-Verify 消息。4 ）结束阶段客户端发送 Change-Cipher-Spec 消息，告知协商得到的密码算法列表，然

7、后用新的 算法和密钥参数发送一个 Finished 消息，以检验密钥交换和认证过程是否已经成功。服务 器同样发送 Change-Cipher-Spec 和 Finished 消息。（二）一、填空题1 、在通用入侵检测模型中，（行为特征）表是整个检测系统的核心，它包含了用于计 算用户行为特征的所有变量。2 、根据入侵检测模型， 入侵检测系统的原理可分为异常检测原理和 （误用检测） 原理。3 、第一代入侵检测技术采用（主机日志分析）、（模式匹配）的方法；4 、一个入侵检测系统至少包含（事件提取）、入侵分析、入侵响应和远程管理四部分 功能。5 、第三代入侵检测技术引入了协议分析、（行为异常）分析等方

8、法。6 、在通用入侵检测模型中，（事件产生器）可根据具体应用环境而有所不同，一般来 自审计记录、网络数据包以及其他可视行为，这些事件构成了入侵检测的基础。7 、在通用入侵检测模型中，（规则模块）可以由系统安全策略、入侵模式等组成，8 、在通用入侵检测模型中，（规则模块）可以为判断是否入侵提供参考机制。9 、根据入侵检测模型，入侵检测系统的原理分为异常检测原理和（误用检测原理）。10 、（异常）检测原理根据假设攻击与正常的（合法的）活动有很大的差异来识别攻 击。二、简答题1 、什么是网络入侵检测？ 网络入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分 析，从中发现网络或系统中

9、是否有违反安全策略的行为和遭到袭击的迹象的一种机制2 、入侵检测技术至今已经历三代： 第一代技术采用主机日志分析、模式匹配的方法；第二代技术出现在 20 世纪 90 年代 中期， 主要包括网络数据包截获、 主机网络数据和审计数据分析、 基于网络的入侵检测和基 于主机的入侵检测等方法；第三代技术出现在 2000 年前后，引入了协议分析、行为异常分 析等方法。3 、基于异常检测原理的入侵检测方法和技术有如下几种方法。1 ）统计异常检测方法。2 ）特征选择异常检测方法。3 ）基于贝叶斯推理的异常检测方法。4 ）基于贝叶斯网络的异常检测方法。5 ）基于模式预测的异常检测方法。4 、基于误用检测原理的入

10、侵检测方法和技术主要有如下几种。1 ）基于条件的概率误用检测方法。2 ）基于专家系统的误用检测方法。3 ）基于状态迁移分析的误用检测方法。4 ）基于键盘监控的误用检测方法。5 ）基于模型的误用检测方法。5 、目前，先进的入侵检测系统的实现方法有哪些？ 基于概率统计模型的检测、基于神经网络的检测、基于专家系统的检测、基于模型推 理的检测和基于免疫的检测等技术。（三）一、填空题1 、（误用）检测原理是指根据已经知道的入侵方式来检测入侵。2 、当实际使用检测系统时， 首先面临的问题就是决定应该在系统的什么位置安装检测 和分析入侵行为用的（感应器 Sensor 或检测引擎 Engine ）。3 、基于

11、概率统计的检测技术优越性在于它应用了成熟的（概率统计理论）。4 、在入侵检测系统中，（数据分析）是入侵检测的核心。5 、数据分析有模式匹配、统计分析和完整性分析三种手段，其中（完整性分析）则用 于事后分析。6 、入侵检测系统中（事件提取）功能负责提取与被保护系统相关的运行数据或记录， 并负责对数据进行简单的过滤。7 、入侵检测系统中（入侵分析）的任务就是在提取到的运行数据中找出入侵的痕迹， 将授权的正常访问行为和非授权的不正常访问行为区分开， 分析出入侵行为并对入侵者进行 定位。8 、入侵检测系统中入侵响应功能在（分析出入侵行为）后被触发。9 、从数据来源角度分类，入侵检测系统有三种基本结构：

12、基于网络、基于主机和（分 布式）入侵检测系统。10 、基于网络的入侵检测系统数据来源于（网络上）的数据流。二、简答题1 、什么是基于概率统计的检测技术，有什么优缺点？是对用户历史行为建立模型。根据该模型，当发现有可疑的用户行为发生时保持跟踪， 并监视和记录该用户的行为。 这种方法的优越性在于它应用了成熟的概率统计理论； 缺点是 由于用户的行为非常复杂， 因而要想准确地匹配一个用户的历史行为非常困难， 易造成系统 误报、错报和漏报；定义入侵阈值比较困难，阈值高则误检率增高，阈值低则漏检率增高。2 、入侵检测系统执行的主要任务有哪些？包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已

13、知进攻的活 动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审 计、跟踪管理操作系统，识别用户违反安全策略的行为。3 、入侵检测中信息收集的内容都有哪些，这些信息的来源一般有哪些？包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统 日志、目录以及文件中的异常改变、 程序执行中的异常行为及物理形式的入侵信息四个方面。4 、在入侵检测系统中，数据分析是如何工作的，有哪些手段？ 它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然 后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、 统计分析和完

14、整性分析三种手段进行。5 、什么是基于网络的入侵检测系统，有什么优缺点？ 其优点是侦测速度快、隐蔽性好，不容易受到攻击、对主机资源消耗较少；缺点是有 些攻击是由服务器的键盘发出的，不经过网络，因而无法识别，误报率较高。（四）一、填空题1 、基于主机的入侵检测系统检测分析所需数据来源于主机系统，通常是 （ 系统日志和审计记录 ）。2 、从检测的策略角度分类， 入侵检测模型主要有三种：滥用检测、异常检测和（ 完整性分析 ）。3 、基于 （网络 ） 的 IDS 允许部署在一个或多个关键访问点来检查所有经过的网络通信， 因此并不需要在各种各样的主机上进行安装。4 、基于专家系统的攻击检测技术，即根据安

15、全专家对（ 可疑行为 ）的分析经验来形成一套推理规则， 然后在此基础上设计出相应的专家系统。 由此专家系统自动进行对所涉及的攻 击操作的分析工作。5 、 （ 基于免疫 ）的检测技术是运用自然免疫系统的某些特性到网络安全系统中，使整个系统具有适应性、自我调节性和可扩展性。6 、基于神经网络的检测技术的基本思想是用一系列信息单元训练神经单元，在给出一 定的输入后，就可能预测出 （输出 ）。7 、基于神经网络的检测技术是对 （ 基于概率统计 ）的检测技术的改进，主要克服了传统 的统计分析技术的一些问题。8 、基于概率统计的检测定义判断入侵的阈值太高则（误检率 ） 增高。9 、在具体实现过程中，专家系

16、统主要面临问题是全面性问题和（效率问题）。10 、相比基于网络、基于主机的入侵检测系统，（分布式）入侵检测系统能够同时分 析来自主机系统审计日志和网络数据流的入侵检测系统。二、简答题1 、什么是基于主机的入侵检测系统，有什么优缺点？ 优点是针对不同操作系统特点捕获应用层入侵，误报少；缺点是依赖于主机及其审计 子系统，实时性差。2 、什么是滥用检测方法，有什么优缺点？ 将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安 全策略的行为。该方法的优点是只需收集相关的数据集合，显著减少了系统负担，且技术已相当成熟。 该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法， 不能检测到从未出现 过的黑客攻击手段。测量属性的平均值将被用来与3 、什么是异常检测方法，有什么优缺点？ 首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述、统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 其优点是可检测到未