网络安全技术及应用实践教程 复习测试题及答案：1-16

1、练习分析及答案网络平安技术及应用实践教程复习与练习一（附答案）一、填空 TOC o 1-5 h z TCP/IP协议模型中，物理层定义物理接口的机械、电气等特性，（）层将待传输的比特流划分成帧，（）层完成IP数据包的路由选择。在网络中，物理层传输的数据单位称为比特，数据链路层传输的数据单位通常 称为（），网络层传输的数据单位通常称为（）。用于测试到目标主机的网络是否通畅最常用的命令是（）。一个TCP连接的建立，需要由（）次“握手”来完成。构成TCP连接的一对套接字，由夏和（）组成。MAC地址是分层网络模型中（）层的地址，MAC地址通常又称为（）地址或硬件地址。二、选择 TOC o 1-5 h

2、z 当前主要使用的TCP/IP协议中，其IP （v4）协议子网掩码的长度为（）A. 4 bits B. 16 bits C. 32 bits D. 128 bits子网掩码中，1和0分别代表IP地址中对应位为（）A.子网号子网号B.子网号主机号C.主机号子网号D.主机号主机号在IP地址的分类中，哪一类IP地址可容纳的主机数量最多？（）A. A 类B.B 类C. C 类D. D 类DoS攻击中的DoS的缩写来自于（）A. Disk Operation System B. Do it of SelfC. DOS SystemD. Denial of ServiceTCP协议提供的服务，是属于什么类

3、型的服务？（）A.无连接 B.分段C.面向连接 D.以上都是三、简答Windows NT/2000/7系统的缺陷漏洞有哪些？UNIX系统有哪些平安漏洞？用什么方法来防范?Linux系统为何会成为当前主流的网络操作系统？复习与练习四答案一、填空Windows登录、Microsoft网络用户登录和Microsoft友好登录；2TB 4GB 32GB；NTLM Kerberos；/etc/passwd /etc/shadow ；ABC A二、选择A；B C；D；ABCD；ABCD；三、简答Windows的注册表，是一个庞大的数据库，其中存储了应用程序和计算机系统 的全部配置信息，是Windows系统

4、的核心内容之一。它存在Windows目录下的 System.dat文件里，这是一个只读、隐藏的文件，每次系统启动时候都要访问它，根据 它内部的设置信息来加载各种服务和应用程序。所以，不管在任何时候，使用任何工具, 在对注册表进行修改操作之前，有必要对注册表进行备份，以便在操作系统受到意外损 坏以后可以方便恢复到修改前的状态。由此可见，它对整个Windows系统的平安运行 起到十分重要的作用。通过修改注册表信息来提高Windows的平安性，可以有以下几种方法：禁止非法 用户登录；隐藏和禁止访问“控制面板”；禁用“注册表编辑器”编辑注册表等，详见 书；在Windows 7中用户可以在活动目录用户和

5、计算机管理工具中实现建立用户账 号、计算机账号、组、平安策略等项。它可以用于建立或编辑网络中的用户、计算机、 组、组织单位、域、域控制器以及发布网络共享资源等。活动目录用户和计算机管理器, 是安装在域控制器上的目录管理工具，用户可以在Windows 7 Professional中安装它的管 理工具，以便利用客户机对活动目录进行远程管理。Windows 7提供公钥和私钥加密，在私钥加密中，加密和解密的密钥是相同的。 Kerberos不需要用户（一个平安实体）用一个特别的加密密钥，而只使用一个一般的密 码。在Windows7中，密码不会直接用来加密用户和服务器之间传送的数据。事实上， 那些基于密码

6、的密钥仅在登录时候有效，其他用来加密在网络上传送数据的密钥，都是 动态产生的。因此，准确的解释是，用户用来登录的密钥是用户密码的散列值。由于散 列算法是单向的，因此，给定一个密钥的散列值是无法获得密码的。在Windows7中， 每个用户都拥有密码，而访问服务器都会要求认证用户的密码。Windows NT系统上的重大平安漏洞，主要集中表达在两个方面：NT服务器和工作 站的平安漏洞；关于浏览器和NT系统的严重平安漏洞。详见书。/etc/passwd中包含有用户的登录名，经过加密的口令，用户名，用户组名，用户注 释，用户主目录和所有用户的shell程序。使用同一个口令在不同的机器中登录，特别 是在不

7、同平安级别的计算机上使用同一个口令，很容易整体的系统受到威胁。用户 的.profile文件能被系统的任何用户修改；在一个用户不能控制的目录中运行编辑程序， 可以运行其他人的.exrc文件；Unix系统的临时目录有可能会被其他用户破坏；模拟的 crypt程序和login程序等可以被特洛伊木马之类的程序利用进行某种非法的访问操作， 甚至破坏平安性；计算机病毒感染的程序被root运行，会大面积感染其他程序和文件。Linux具有与UNIX高度兼容、稳定性和可靠性高、源代码开放和价格低廉、平安 等特点。正是由于Linux的源程序代码是开放式的，从而学习者可以阅读到操作系统的 核心代码。Linux可以在个

8、人计算机上就可以进行。此外，Linux有诸如gcc编译器等众 多的免费资源可以利用，极大地降低了开发本钱也是它得以广为流传的一个主要原因。Linux和Windows NT比起来技术上存在很多优势，最主要表达在三个方面：Linux 更加平安；Linux更加稳定；Linux的硬件资源占用比Windows NT少很多。在平安问题 上，首先是针对Linux的病毒非常少。经常用户会碰到这样的现象，就是运行Windows NT的服务器时，每个星期都会由于故障而重新启动一次机器，而运行Linux的机器很 少发生这样的故障。对此，解释的原因可以认为是Linux在稳定性上确实比Windows 胜出一筹。在资源占

9、用率方面，Linux和Windows Nt的差距超出人们的想象。一台运行 Windows NT的服务器可以支持50个用户登录使用，而同一台PC服务器如果换成了 Linux,那么可以支持1000名用户使用。由此算来，使用Windows NT和使用Linux的成 本差异，有20倍之大，实在令人吃惊。详见书相关内容。练习与复习五一、填空在加密系统中，要加密的信息是（），经过变换加密后，成为 TOC o 1-5 h z （）,这个变换的过程就称为（），通常由（）来实现。在大多数的（）算法中，加密和解密密钥是相同的，这些算法也叫做（）。与传统密码体制相对应的是（），即公开密钥密码体制。加密密钥不同于解密

10、密钥，加密密钥公之于众，而解密密钥只有解密人自己知道， 这两个密钥分别称为（）和（）。公开密钥加密系统的一个优点是不仅可以用于信息的保密通讯，而且可以用来（）和（）。为了保证RSA密钥算法密码系统的平安性，最简明有效的做法就是不断 增加（）的位数。二、选择DES算法将输入的明文分为（）位的数据分组，使用（）位的密钥进行变换。A. 24B.48C. 64D. 128以下密码算法，属于非对称性加密算法的是（）。A.凯撒密码B. Vigenere密码C.Playfair 密码D. RSA 算法以下密码算法，可以用于数字签名的的是（）。A.DES/DSAB. Vigenere 密码C.Playfair

11、 密码D. RSA 算法PGP采用了（）和传统加密的综合算法，用于数字签名的（）算法、加密前压缩等。A. AESB. DESC. RSAD.邮件文摘分组密码算法通常由（）和（）两局部组成。A.文件压缩算法B.密钥扩展算法C.加密/解密算法D. AES算法三、简答.简要描述什么是“加密”，什么是“解密”。.简要描述一下什么是对称密码算法，什么是非对称密码算法。.相比拟之下，AES算法比DES,有什么优点？.简要描述一下RSA算法的特点，平安性及其隐患。.简述PGP的工作原理及优点。练习与复习五答案一、填空明文密文加密加密算法对称密码算法传统密码算法非对称密码体制公钥私钥身份验证 数字签名模 n二

12、、选择 TOC o 1-5 h z CCDDCDB C三、简答.网络平安的目的根据需要的不同，有不同的需求，主要表达在网络物理平安需要, 网络系统平安需要，网络应用平安需求，网络数据平安的需求，以及网络平安管理 方面的需要。.对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反 之亦然。在大多数对称算法中，加密、解密密钥是相同的。这些算法也叫秘密密钥算法 或者单密密钥算法，它要求发送者和接收者在平安通信之前，协商确定一个密钥。与“传统密码体制”相对应的“非对称密钥密码体制”，即“公开密钥密码体制”。其中 加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用；而解密密钥只有解密

13、人自 己知道。这两个密钥分别称为“公开密钥（Public Key）,和“秘密密钥（Private Key）。.总体来说，AES作为新一代的数据加密标准汇聚了强平安性、高性能、高效率、 易用和灵活等优点。AES设计有三个密钥长度：128, 192, 256位。相对而言，AES的 128密钥比DES的56密钥强1021倍。AES算法主要包括三个方面：轮变化、圈数和密 钥扩展。. RSA公开密码算法的平安性取决于从公开密钥（n, e）计算出秘密密钥（n, d） 的困难程度，而后者那么等同于从n找出它的两个质因数p和q。因此，寻求有效的因数 分解的算法就是寻求一把锐利的“矛”，来击穿RSA公开密钥密码

14、系统这个“盾”。数学家 和密码学家一直在努力寻求更锐利的“矛”和更坚固的“盾”，这不仅仅局限于RSA 一种算 法，对于其他算法也是如此。最简单的考虑就是加厚“盾”的厚度，即取更大的n值。RSA实验室认为，512比特 的n已经不够平安，他们建议个人应用需要768比特的n,公司和企业应用需要1024 比特的n,其他极其重要的场合应该用到2048比特或者更大的no计算机硬件的迅速开展势头是不可阻挡的，这一因素对于RSA算法的平安性应该 是有利的。因为硬件的开展给“盾”带来的好处要大于“矛”。硬件计算能力的增强使我们 可以给n加大几十个比特，但是不至于放慢加密解密的计算。同时，同样档次的硬件计 算能力

15、的提高，给因数分解计算的帮助却不大。总之，随着硬件资源的迅速开展和因数分解算法的不断改进，为了保证RSA密钥 算法密码系统的平安性，最简明有效的做法就是不断增加模n的位数。详见552节。.PGP的出现与应用很好地解决了电子邮件的平安传输问题。将传统的对称性加密 与公开密钥方法结合起来，兼备了两者的优点。PGP提供了一种机密性和鉴别的服务， 支持1024位的公开密钥与128位的传统加密算法，可以用于军事目的，完全能够满足 电子邮件对于平安性能的要求。PGP的实际操作由五种服务组成：鉴别、机密性、电子邮件的兼容性、压缩、分段 和重装。工作原理详见571节内容。总之，PGP采用了 RSA和传统加密的

16、杂合算法，用于数字签名的邮件文摘算法、 加密前压缩等，可以用来加密文件，还可以代替Uuencode生成RADIX 64格式（就是 MIME的BASE 64格式）的编码文件。PGP创造性地把RSA公钥体系的方便和传统加 密体系的高速度结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计。这是 目前最难破译的密码体系之一。用户通过PGP的软件加密程序，可以在不平安的通信链路上创立平安的消息和通 信。PGP协议已经成为公钥加密技术和全球范围内消息平安性的事实标准。因为所有人 都能看到它的源代码，从而查找出故障和平安性漏局。练习与复习六一、填空）、（）、 TOC o 1-5 h z 常用身份认证技

17、术，主要有（人（）、（）ORADIUS是一种（）结构的协议，它的客户端最初是（）,认证机制灵活，可以采用PAP, CHAP或（）等多种方式。DCE/Kerberos是一种被证明为非常平安的（）认证技术。访问控制的主要目标包括：机密性要求、（）、（）、（）O目前的主流访问控制技术有：（）、（）、（）o二、选择）是坏口令：区分以下的口令：（）好口令，（A. MaryB.ga2work C. cat&dog以下认证技术，属于身份认证范畴的是（A. IC卡认证B.生物特征认证C.USB KEY认证D.动态口令/动态密码 TOC o 1-5 h z 目前的主流访问控制技术有（）：A.基于角色的访问控制B

18、.强制访问控制C.自主访问控制D. Kerberos验证一个人身份的手段，大体可以分为三种，包括：（）。A. what you knowB. what you haveC. what is your nameD. who are you现实生活中我们遇到的短信密码确认方式，属于（）A.动态口令牌B.电子签名C.静态密码D.动态密码三、简答简单列举现实生活中运用到IC卡认证技术的场合，说明此种方式的优点和不 足。简单描述基于公钥密码的认证体制的主要原理。访问控制主要包括哪几个要素？它们之间的关系是怎样的？自主访问控制可以分成哪两类？该机制存在的问题是什么？浅谈生物特征认证技术的优缺点。练习与复习

19、六答案一、填空用户名/密码方式IC卡认证 生物特征认证USB KEY认证 动态口令/动态密码数字签名CLIENT/SERVER NAS UNIX 登录认证用户认证完整性要求可审计性可用性DAC MAC RBAC二、选择D AAB CDABCABDD三、简答.略。.基于公共密钥的平安策略进行身份认证，具体而言，使用符合X.509的身份证明。 使用这种方法必须有一个第三方的证明授权（CA）中心为客户签发身份证明。客户和 服务器各自从CA获取证明，并且信任该证明授权中心。在会话和通讯时首先交换身份 证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、 交换通讯的加密密钥等。

20、在确定是否接受对方的身份证明时、还需检查有关服务器，以 确认该证明是否有效。与“传统密码体制相对应的“非对称密钥密码体制”，即“公开密钥密码体制”。其中 加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用；而解密密钥只有解密人自 己知道。这两个密钥分别称为“公开密钥（Public Key）,和“秘密密钥（Private Key）。.访问控制的主要目标，访问控制的基本要素，访问控制的实现，详见622。.自主访问控制可以分为以下两类。（1）基于个人的策略：根据哪些用户可对一个目标实施哪一种行为的列表来表示, 等于用一个目标的访问矩阵的列来描述。（2）基于组的策略：一组用户对于一个目标具有同样的访

21、问许可，是基于身份策 略的另一种情形，相当于把访问矩阵中的多个行压缩为一个列。实际使用时，应先定义 组的成员，对用户组授权，同一个组可以被重复使用，可以改变组的成员。自主访问控制存在的问题是配置的粒度小，配置的工作量大，效率上有一些低。.生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见 的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因 为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的 可能性可以忽略不计，因此几乎不可能被仿冒。生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影 响，采用生物特征认证

22、还具有较大的局限性。首先，生物特征识别的准确性和稳定性还 有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成 合法用户无法登录的情况。其次，由于研发投入较大和产量较小的原因，生物特征认证 系统的本钱非常高，目前只适合于一些平安性要求非常高的场合如银行、部队等使用， 还无法做到大面积推广。.网络体系结构包含哪三个方面的内容？.在发送过程中，数据在各层协议间关系如何？.为何传统以太网的数据帧最大长度为1518字节？. FTP协议中的两个连接分别是什么？ FTP文件传输的两种模式分别是什么？.网络设备中，何谓二层设备？复习与练习一答案一、填空.物理 网络.帧IP数据包. p

23、ing. 3端口.数据链路层 物理二、选择CBADC三、简答.网络协议如何分层、网络协议的各层内容、各层网络协议间的层间接口定义。.在数据发送方，数据由高层流向低层，直至物理层；在数据接受方，数据从物 理层流向高层，直至应用层。.传统以太网的帧头长度为：6字节目的MAC地址、6字节源MAC地址、2字 节协议类型，共14字节，帧尾由4字节校验数据构成，数据区最大长度为1500 字节，因而总长度最大为：14+1500+4=1518字节。. FTP协议中的两个连接为：控制连接、数据连接；FTP的两种传输模式为：主 动模式、被动模式。.能处理网络协议中，数据链路层协议的的设备，称为二层设备。练习与复习

24、七一、填空26.数据库系统的平安机制主要有：（宓26.数据库系统的平安机制主要有：（宓）、平安管理，和数据库加存取控制模型有自主存取控制（DAC）,其缩写来自于英文 （）、强制存取控制（MAC）,其缩写来自于英文（）,和基于角色的访问控制（RBAC）,其缩写来自于英文（）。数据完整性约束分为以下几类：域完整性、（）、（）、用户定义完整性。SQL Server的三种身份认证模式，即 Windows身份认证模式、 （）身份认证模式、（）模式。Oracle采用基于角色的访问控制方法，内置了三种标准角色： （）,RESOURCE, DBAo二、选择1.目前市场占有率最高的数据库模型是：（）A.层次模型

25、 B.关系模型 C.网状模型A.层次模型 B.关系模型 C.网状模型D.以上都不是Oracle数据库系统采用的访问控制方式为：（A. DACB. MACC. RBACOracle数据库系统采用的访问控制方式为：（A. DACB. MACC. RBAC）D.以上都不是某 SQL 语句“CREATE TABLE SCORE 其作用是：（）A.创立数据库 B.创立表 C.添加表记录D.创立表字段数据库不完全恢复操作，需要的是哪种日志？（）A.系统日志 B.事件日志A.系统日志 B.事件日志C.操作日志D. Redo日志5.每次转储全部的数据，称为（）A.海量转储B.增量转储A.海量转储B.增量转储C

26、.同步转储D.异步转储三、简答.简述“关系数据库系统”中的“关系”的含义。.数据库系统的平安机制主要有哪三种？简述其基本概念。.数据库自主访问控制、强制访问控制和基于角色的访问控制各自特征是什么？.数据完整性约束分为哪几个类型？. SQL Server的三种身份认证模式分别适用场合是？练习与复习七答案一、填空存取管理Discretionary Access Control Mandatory Access ControlRole-Based Access Control实体完整性参照完整性SQL Server混合CONNECT二、选择BCBDA三、简答.关系数据库系统中，各数据表之间通过相关字

27、段建立起关系，故称之为关系数 据库。.数据库系统的平安机制主要有：存取管理、平安管理，和数据库加密。存取管 理主要用户防止非授权访问；平安管理指数据库操作权限管理的机制；数据库 加密主要用于对数据库内的数据进行加密处理，防止信息泄漏。.自主访问控制允许使用者在没有系统管理员参与的情况下对他们所控制的对 象进行权限修改；强制访问控制基于被访问对象的信任度进行权限控制，不同 的信任度对应不同的访问权限；基于角色的访问控制根据用户在组织内所处的 角色进行访问授权与控制。.数据完整性约束分域完整性、实体完整性、参照完整性、用户定义完整性。. Windows身份验证适用与与活动目录集成的场合；SQL S

28、erver身份验证适用于 使用独立SQL Server数据库帐号的场合；混合模式下两种身份验证并存使用， 提供灵活丰富的身份验证手段。练习与复习八一、填空Worm （蠕虫）、Virus （）是两类早期出现的恶意软件形式。根据恶意软件在入侵过程中所处不同阶段，恶意软件通常可分为获取远程控制权类、（）类、完成特定业务逻辑类三种类型。33.查看当前主机网络连接状态的命令是（格式化硬盘并非一定能将恶意软件从硬盘内清除干净，主要是因为恶意软件可用从硬盘的（）获得执行权限。防范恶意软件通过Office文档进行传播的主要手段是，为Office系统 TOC o 1-5 h z （）O二、选择恶意软件中，Tro

29、jan Horse是指（）A.病毒B.蠕虫C.特洛伊木马 D.漏洞利用程序）C.特洛伊木马）C.特洛伊木马D.漏洞利用程序恶意软件中，Exploit是指（A.病毒B.蠕虫维持远程控制权类恶意软件的主要目的是（）A.保护其它恶意软件B.完成特定业务逻辑C.尽力传播恶意软件D.扫描附近其它主机漏洞netstat命令所带参数“o”的作用是，列出（）A.相关网络操作进程的输出C.相关网络操作进程的线程输出SQL Injection 是指？（A. SQL查询 B. SQL漏洞三、简答B.相关网络操作进程的进程IDD.相关网络操作进程的线程数量）C.SQL注入 D.以上都不是获取目标系统远程控制权类恶意软

30、件的主要入侵手段有哪些？第一类恶意软件中，非主动方式感染目标系统的是哪一种？其感染原理是？只观看从网络上的电影绝不会被恶意软件入侵，这个观点是否正确？原因是？简述操作系统补丁、应用软件补丁及时更新的重要性？简述充分运用最小权限原那么，能有效降低恶意软件造成的危害的原理。练习与复习八答案一、填空. 病毒.维持远程控制权. netstat. MBR (Main Boot Record,主引导扇区).防范恶意软件通过Office文档进行传播的主要手段是，为O笛ce系统 ()O二、选择CDABC三、简答.获取目标系统远程控制权类恶意软件的主要入侵手段有：漏洞利用程序、特洛 伊木马、蠕虫、病毒、僵尸程序

31、。.第一类恶意软件中，非主动方式感染目标系统的是特洛伊木马。其感染原理在 于，用户进行某些操作，才会导致恶意软件传播，假设用户无任何操作，那么不会 传播。.只观看从网络上的电影绝不会被恶意软件入侵，这个观点是错误的。因为漏洞 利用程序、蠕虫等恶意软件，可利用用户计算机的漏洞通过网络传播。而且某 些电影视频文件格式可包含脚本程序，通过脚本程序可传播恶意软件。.假设操作系统补丁、应用软件补丁不能及时更新，那么很容易使得恶意软件通过系 统、应用的漏洞传播。.应用最小权限原那么，当恶意软件侵入用户计算机后，只能对系统进行有限度的 破坏，从而能有效降低恶意软件造成的危害。练习与复习九一、填空IPSec,

32、 NLSP, SwIPe,它们的共同点是都采用了（）技术。IPSec使用两个不同的协议（）、（）来确保通信的认证、（）性和（）性。IKE Protocol使用（）的端口（）进行通信。Kerberos协议主要用于计算机网络的（），在（）和（）之间建立共享密钥，使得该协议具有很高的平安性。TLS与SET的一个区别，表达在TLS是面向（）的，而SET允许各方之间的报文交换不是实时的。二、选择IPSec提供的服务都基于（）层,所以可以供高层协议使用，例如：（）A. TCP B. IP C. UDP D. ICMP TOC o 1-5 h z IPSec的AH协议提供以下的服务（）。A.加密B.无连接的

33、完整性验证C.数据源认证D.选择性抗重播IPSec的ESP协议提供以下的服务（）。A.加密B.无连接的完整性验证C.数据源认证D.选择性抗重播TLS协议由两层协议组成：（）和（）。A.记录协议B.TCPC.UDPD.握手协议以下的功能，属于Kerberos实现的是（）A. Session key平安发布B.平安传递TicketC.穿透防火墙D.不可抵赖性三、简答什么是IP封装技术？列举几种IPSec的实现方式，介绍其特点。简述IKE Protocol的工作原理。.简单描述Kerberos的特点与缺乏。. SET与TLS协议有什么区别？练习与复习九答案一、填空IP封装AH ESP完整机密UDP

34、500身份认证Client Service连接二、选择B ACD TOC o 1-5 h z BCDAADAB三、简答IP封装技术。其本质是，纯文本的包被加密，封装在外层的IP包头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被 拆开，报文被解密，然后送到接收报文的地点。在主机上或路由器、防火墙(创立平安网关)的连接处，IPSec可以有几 种实现方式。详见节。“因特网密钥交换协议”解决了平安通信设备中的大多数突出问题：确认双方并交换双称密钥。它创立“SA”并装入“SA数据库”中。“因特网密钥交换协议” 经常需要一个用户空间守护进程并且不在操作系统核心中执行。“

35、因特网密钥 交换协议”使用UDP的500端口来进行通信。“因特网密钥交换协议”功能分两 个阶段。第一个阶段建立一个“因特网SA密钥管理SA,9 (ISAKMPSA： Internet Security Association Key Management Security Association )。 第二阶段，“因特 网SA密钥管理SA”用来商讨并配置IPSec的“SA” (SA)。Kerberos的特点和缺乏：由于kerberos协议的消息无法穿透防火墙，因此限制了该协议往往应用于一个 组织内部，这一点使得其的应用范围受到一定局限性，不同于下面我们将要介绍的PKI。另外，由于没有使用非对称

36、密钥自然也就无法具有抗否认性，这也限制了它的 应用。不过，有失必有得，相对而言它比X.509 PKI的身份鉴别方式实施起来 要简单多了。是用实施复杂程度降低换取性能上的缺失，还是用复杂的实施方 式获取更高的平安性，是留待用户自行决定的一个问题。SET与TLS同样提供了电子平安交易的机制，但是运行方式有所差异。SET是一个多方的报文协议，它定义了银行、商店和消费者之间必需遵守的报 文规范；TLS只是简单地在交易双方之间建立了平安连接；TLS是面向连接的；而SET允许各方之间的报文交换不是实时的；SET报文能够在银行内部网或者其他网络上传输；而TLS之上的交付系统只能 与WEB浏览器捆绑在一起工作

37、；SET的平安需求较高，因此所有参与SET交易的成员(消费者、商店、支付网 关等)都必须先申请数字证书来识别身份，并且整个交易过程都受到严密的保护；而在 TLS中只有商店端的服务器需要认证，客户端认证是可选的，同时交易过程中的平安范 围只限于消费者到商店的信息交换；SET交易，除了申请数字证书之外，还必须安装符合SET规范的电子钱包软件; 而TLS交易不需要；(6)由于SET的本钱较高，并且引入中国的时间较短，目前是以TLS的普及率较高, 大约有7-8成，但是网上交易的平安性需求不断提高，可以预料SET将会成为日后市场 的主流。练习与复习十一、填空从密钥密码体制的分类来看，PKI属于（）体制。

38、数字证书是网络上的（），它的技术涉及三方面机构，分别是 TOC o 1-5 h z （）、（）、（）OJDK1.4以上版本提供了对数字证书的应用程序接口类，主要有：（）、（）、（）O本章介绍了几种常见的信任模式，分别是：（）、（）、（）O本章介绍的几种标准中，（）是实际上所有PKI实现的基础。二、选择以下特性中，属于PKI的特性的是（）。A,易于使用B.可以预测C.透明性D.不可抵赖性PKI基础设施提供的平安服务，包括下面的（）。A.平安登录B.可以预测C.透明性D.不可抵赖性下述选项中，（）是PKI事实上的行业标准。A. X.509 B. PKCSD. LDAP下述的特点中，属于LDAP具备

39、的特点有（）：A.层次结构B.分布式服务 C.跨平台 D.速度快X.500所包含的标准，包括以下的（）。A. X.501 B. X.511 C. X.509 D. X.525三、简答. PKI具有什么样的特性？.描述数字证书的生命周期经历哪几个阶段。.简单说明LDAP与X.500的区别。.简单复述PKCS的标准内容。.简单介绍一下X.500标准包含几个标准及其内容。练习与复习十答案一、填空非对称密码护照证书签发机构注册机构终端用户Key Store X509 Certificate X509CRL严格层次结构模型分布式信任结构模型WEB模型PKCS二、选择ABCACBABCDABCD三、简答P

40、KI的特性：基础设施的使用应该就像把电气设备的插头插到墙上的插座一样简单，它应该具有 以下几种特性：(1)易于使用、众所周知的熟悉的界面；(2)基础设施提供的服务可以预测并且有效；(3)应用设备无须了解基础设施的工作原理。从证书的注册开始，需要创立公/私密钥对，并且将它们关联到用于确认某个最终实 体身份的证书上。作为向CA注册和申请证书的过程的一局部，该密钥对连同其他一些 标识信息一起被提交给CA。CA在核实申请者提交的用于确定身份的信息之后，确认无 误，方可颁发证书。颁发的证书的生命期是有限的。如果到了截止日期，该证书就被认为过期无效，必 须重新颁发一个证书。在为某个特定的身份重新颁发证书的

41、过程中，证书的某些信息也 许会变动。密钥有一个平均的使用寿命，这个平均使用寿命的长短取决于密钥的长度， 在平安有效期内，证书和密钥都必须定期更新。在某些情况下，发布最终实体证书的CA可能需要报废该证书。在这种情况下，该 证书应该被撤销，而该CA需要公布这一撤销信息。在数字证书的生命周期内，证书管理器处理应用于证书的操作集合，在完成注册过 程之后，CA必须对证书负责。证书管理包括以下过程：注册证书更新证书撤销LDAP与X.500的区别与联系主要是：LDAP是基于X.500的一个X.500的访问机制；LDAP是X.500简化的目录访问方法和目录结构；LDAP通信是基于TCP/IP的，而X.500标

42、准中的DAP采用OSI协议技术栈支持;LDAP必须根据X.500来提供服务，但并不是在提供服务的过程中使用协议。详见节内容。5.详见1064节内容。练习与复习十一一、填空网络数据加密，通常分为链路加密、（）两种方式。防火墙的平安区域，通常分为外网、内网、DMZ区三个区域，其中，DMZ 区又称为（）区。按工作原理划分，防火墙可分为（）和应用代理防火墙两大类。入侵检测系统的两种经典模型是（）和CIDF。按照应用的方式划分，VPN有两种基本类型：拨号VPN与（）VPNo二、选择端到端加密方式中，数据离开发送端后被最终的接收端收到之前，处于（）状态A.加密B.明文C.加密或明文 D.不确定防火墙配置中

43、的ACL指的是：（）A. Access Content ListB. All Content ListC. Access Condition List D. Access Control List包过滤防火墙的主要过滤依据是：（）A. MAC地址、端口、协议类型B. IP地址、端口、协议类型C.域名、端口、协议类型D. IP地址、域名、协议类型根据对收集到的信息进行识别和分析原理的不同，可以将入侵检测分为：（ ）A.异常检测、普通检测B.滥用检测、普通检测C.异常检测、冲突检测D.异常检测、滥用检测根据服务类型VPN业务分为三种：（）VPN、Access VPN与Extranet VPNA.

44、Supernet B. Internet C. Intranet D. Subnet三、简答简述链路加密与端到端加密的主要特点。防火墙的主要功能局限性是什么？包过滤防火墙与应用代理防火墙的主要特点和应用场合是什么？按照入侵检测系统的检测对象划分，入侵检测系统分为哪几类？二层VPN和三层VPN的主要区别是？练习与复习十一答案一、填空.端到端.中立（或非军事.包过滤防火墙. IDES.专用二、选择ADBDC三、简答.链路加密对用户透明，能提供流量保密性，密钥管理简单，提供主机鉴别，加 密和解密都是在线进行的。端到端加密是指数据在发送端被加密后，通过网络 传输，到达接收端后才被解密。.防火墙的主要功

45、能局限性是：不经过防火墙的数据，防火墙无法检查、防护； 防火墙不能解决来自内部网络的攻击和平安问题；防火墙不能防止策略配置不 当或错误配置引起的平安威胁。.包过滤防火墙根据数据包头源地址、目的地址、端口号和协议类型等标志确定 是否允许数据包通过，只有满足过滤条件的数据包才被转发到相应的目的地。 应用代理防火墙的特点是完全“阻隔”了网络通信流，通过对每种应用服务编制 专门的代理程序，实现监视和控制应用层通信流的作用。.可分为基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测 系统。.二层VPN和三层VPN的本质区别在于，在隧道里传输的用户数据包是被封装在 哪一层的数据包中。练习与复习

46、十二一、填空1971年，夏威夷大学研究员创造的第一个无线通信网络，被称为（）O当前主要有两种无线接入Internet的方式，即通过移动通信网络接入，和通过（）接入。GSM平安性表达在用户身份的保密性、认证和（）三个方面。Wi-Fi采用的是IEEE （）系列协议。Wi-Fi的加密方式主要有WEP、WPA两种，其中，（）的平安性比拟差，很容易被破解。二、选择 TOC o 1-5 h z 蓝牙属于以下那种类型的网络（）A.有线局域网 B.无线局域网 C.移动通信网D.以上都不是蓝牙采用的网络协议是：（）A. IEEE 802.3B. IEEE 802.11C. IEEE 802.15D. IEEE

47、802.16传输层平安机制SSL的缩写来自于：（）A. Safe Sockets LayerB. Safe Signal LayerC. Secure Sockets LayerD. Secure Signal LayerIEFT定义的传输层平安机制是：（）A.TCPB. UDPC. HTTPS D. TLS加强Wi-Fi平安性的措施之一是：（）A.隐藏SSIDB.显示SSIDC.不设置SSIDD,以上都不是三、简答与有线网络相比，无线网络的主要优势是什么？与有线网络相比，无线网络的主要缺乏是什么？Wi-Fi和蓝牙的各自优点、缺点，及适用场合是什么？为何采用WEP加密机制的Wi-Fi无线网络密

48、码很容易被破解？3G无线上网与Wi-Fi无线上网的各自优缺点是什么？练习与复习十二答案一、填空ALOHAnet无线局域网加密802.11WEP二、选择BCCDA三、简答接入方便信号质量、带宽难以保障，配置不当时平安性较差Wi-Fi带宽高、传输距离远，功耗大，适用于计算机等有源终端网络接入；蓝 牙带宽低、传输距离近、功耗小，适用于手机、PDA等小型无源终端网络接入。WEP协议中加密算法初始化向量位数太短，容易重复。密钥管理问题使其容易 产生冲突。3G无线上网基本能做到随时随地接入网络，但带宽低，资费高；Wi-Fi无线上 网只能在有热点的场所接入网络，但带宽高、资费低。练习与复习十三一、填空 TO

49、C o 1-5 h z 查询到目标IP地址所经过的各跳路由器的命令是（）。破解口令时，尝试所有可能字符组合的破解方式称为（）。传统以太网中，总线上的主机能收到所有其它主机间的通信数据，但通常只保存发给自己的数据。假设将网卡设置于（）模式，那么会保存收到的所有数据。开放扫描是指扫描过程会尝试建立一个完整的（）。利用信任关系实现的IP欺骗，主要存在于（）操作系统中。二、选择查询某域名的拥有者、联系方式等信息的命令是：（）A. NslookupB. WhoisC. ping 域名D. netstat查询某域名内包含的MX记录的命令是：（）A. NslookupB. WhoisC. ping 域名D.

50、 netstat利用网络数据嗅探，可用轻松获得网络中传输的（）口令A.所有B.电子邮件C.明文D.密文完成存活主机扫描，最简单的命令是：（）A. netstat B. whois C. Nslookup D. ping伪装成其它网站，使人上当受骗的攻击称为：（）A. IP欺骗攻击B.网络钓鱼攻击C.跨站脚本攻击D.拒绝服务攻击三、简答简述口令破解的几种方法及效果。网络数据嗅探的基本原理、主要危害是什么？如何有效防范主机扫描、端口扫描？防范网络钓鱼攻击的主要方法是什么？防范Web站点SQL注入，主要方式有那两种？练习与复习十三答案一、填空TraceRT暴力破解混杂TCP连接Unix二、选择BAC

51、DB三、简答.暴力破解，假设目标口令复杂那么效率很低；字典破解，有针对性的字典那么具有较 高的破解效率；掩码破解，需要配合社会工程学应用；网络嗅探破解只对明文 口令有效。.网络数据嗅探的基本原理是，通过直接捕获或利用ARP欺骗等手段间接捕获 流经计算机网络的数据。主要危害是，能获取其他用户计算机的网络通信数据。.主要手段是设置硬件或软件防火墙，阻止未授权用户连接。.普通用户防范网络钓鱼攻击的主要方法是，提高警惕，防止被钓鱼网站欺骗。.防范Web站点SQL注入，主要方式有：过滤SQL注入常用的字符，检查URL 长度是否可疑。练习与复习十四一、填空 TOC o 1-5 h z 通常说的磁盘阵列RA

52、ID,其缩写来自于（）。按备份策略划分，数据备份可分为完全备份、增量备份、（）。增量备份只备份相对与上一次备份操作以来（）的数据。DAS、NAS存储方式中，需要用到网络的是（）。基于光纤交换机的SAN存储，通常会综合运用（）冗余与（）冗余的方式。二、选择数据在传输过程中，被攻击者截获并读取内容，破坏的是数据的（）A.保密性B.完整性C,可用性D.不可抵赖性数据在传输过程中，被攻击者修改了局部内容，破坏的是数据的（）A.保密性B.完整性C.可用性D.不可抵赖性至少需要3块硬盘组RAID,且其中只有一块硬盘损坏时，不会造成数据丢 失的RAID方式是（）A. RAID 0 B. RAID 1 C.

53、RAID 5 D. RAID 10存储技术中所说的DAS,其缩写来自于（）A. Disk Access SystemB. Disk Access StorageC. Direct Attached System D. Direct Attached StorageSymantec Ghost可以备份独立的（）A.分区、磁盘B.分区、文件C.磁盘、文件D.分区、磁盘、文件三、简答数据保密性与数据完整性的主要区别是什么？保护数据完整性的主要手段是什么？FC-SAN与IP-SAN的主要优点、缺点是什么？同步数据复制与异步数据复制的各自特点是什么？Symantec Ghost主要适用于哪些应用场合的数

54、据备份？练习与复习十四答案一、填空. Redundant Array of Independent Disks,独立磁盘冗余阵列.差分备份.新增或改变. NAS.链路冗余设备冗余二、选择ABCDA三、简答.数据保密性的目的的防止信息被破解或获取，数据完整性的目的是防止信息被 修改。.保护数据完整性的主要手段是：哈希值计算、数字签名跟踪和文件修改跟踪。. FC-SAN本钱高、性能高、稳定性高；IP-SAN本钱低、性能相对较低。.同步数据复制方式中，复制数据在任何时间和任何结点均保持一致。异步数据 复制方式只要求在某个时间段内能将数据全部复制到异地即可，不会明显影响 应用系统的性能。. Syman

55、tec Ghost主要适用于独立分区、独立磁盘数据的备份。练习与复习十五一、填空 TOC o 1-5 h z 评估的分类可以分成三种，它们是（）、（）、（）O风险评估的主要任务有：（）、（）、（）、（）、（）O两种被后续的平安标准广泛参考吸收其优点的标准，是：（）、（）O在TCSEC中，Windows 2013被划分在（）平安级别中，Unix属于、（）平安级别，Windows 95的平安级别属于（）级。在TCSEC标准中，平安级别由高到低分别是（）、（）、）、（）、（）、（）、（八）O二、选择68. TCSEC (Trusted Computer System Evaluation Crite

56、ria),俗称()。A.蓝皮书 B.橘皮书 C.黄皮书 D.红宝书69.69.TCSEC标准将计算机系统的平安划分为（）个类别，（个级别。A.4B.5C.6D. 8下述选项中，（标准。A. FCB. CC下述平安标准中，（A. FCB. CC）是综合了 TCSEC和ITSEC的优点而制定的平安C. CTCPECD. IPSec）是目前的国际通用平安标准。C. ITSEC D. TCSEC72.以下的操作系统，属于TCSEC的C类平安级别的有（）A. Windows 95 B. Unix C. Windows NTD.Apple Sys 7.x三、简答.平安进行评估的意义是什么？你认为评估的困难

57、是什么？.简述一下评估的步骤和考虑因素.评估可以分为哪几类？简要描述一下各类评估的特点。复习与练习二一、填空.网络平安开展过程经历了三个阶段，它们是（）、（）O.网络平安的要素，包括（）、（）、（）、（）、（）O.本文介绍了两种常见的网络平安模型，是：（）、（. PDRR平安模型中的P、D、R、R分别代表（）、（）、（）O)、)、)O)、10. 在TCSEC标准中，平安级别由高到低分别是（ ）、（ ）、（ ）、（）、（）、（）、）、二、选择13. TCSECCTrusted Computer System Eva I uat i on Cr iter ia),俗称(A.蓝皮书 B,橘皮书 C,

58、黄皮书 D,红宝书)o14. TCSEC标准将计算机系统的平安划分为（）个类别，（个级别。A. 4B.C. 6D. 8下述选项中，（标准。A. FCB. CC）是综合了 TCSEC和ITSEC的优点而制定的平安C. CTCPECD. IPSec下述平安标准中，（A. FCB. CC下述平安标准中，（A. FCB. CC）是目前的国际通用平安标准。C. ITSECD. TCSEC17.以下的要素，属于网络平安的范畴的有（）A.完整性 B,可移植性A.完整性 B,可移植性C.可靠性D.不可抵赖性三、简答.网络平安的目标，主要表达在哪几个方面？.简单描述PDRR平安模型的主要内容。.简单描述PPDR

59、平安模型的主要内容。.简单描述TCSEC平安标准的主要内容。简单描述TCSEC, ITSEC, CTCPEC, FC, CC平安标准之间的相互关系。.简单描述TCSEC平安标准的主要内容。.简单描述中国信息系统平安标准的主要内容。练习与复习十五答案一、填空.风险评估途径包括基线评估、详细评估和组合评估.识别组织面临的各种风险评估风险概率和可能带来的负面影响确定组织承 受风险的能力确定风险消减和控制的优先等级.可信计算机系统评估准那么TCSEC和信息技术平安评估标准ITSEC. C2C1 D1.超 Al Al B3 B2 Bl C2 Cl D1二、选择BA DBBB C三、简答.信息平安风险评估

60、是信息平安保障体系建立过程中的重要的评价方法和决策机 制。没有准确及时的风险评估，将使得各个机构无法对其信息平安的状况做出准确的判 断。因为任何信息系统都会有平安风险，信息平安建设的宗旨之一，就是在综合考虑成 本与效益的前提下，通过平安措施来控制风险，使剩余风险降低到可接受的范围内。风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用 而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息平安需求 的一个重要途径，属于组织信息平安管理体系筹划的过程。评估是一个收集平安保障证据的过程，也是针对功能性和保障性准那么的分析过程。 听过评估，可以得到可信度的某种度量，