网络安全与防范技术复习题

《网络安全与防范技术》复习题一、填空题.当网络中的计算机通信双方的发送方给接收方发送信息时， 在传输的过程中可能会产生截获、篡改、抵赖、病毒危害和拒绝服务五种类型的攻击。.计算机网络数据安全要求保证数据的机密性、完整性、可用性和可控性。.主要的网络安全技术包括密码技术、网络安全协议、防火墙技术、入侵检测技术、网络病毒防护、PKI和虚拟专用网技术。.目前国际上使川的网络安全级别划分准则主要有 TCSEC、ITSEC和CC。.根据明文的划分与密钥的使用方法不同可将密码算法分为分组密码和序列密码。.一个密码系统通常由明文空间、密文空间、密钥空间、加密算法和解密算法五个部分组成。.CA的功能主要有证书的颁发、证书的更新、证书的查询、证书的作废和证书的归档。.PKI的基本纽成包括认证机关、数字证书库、密钥备份及恢复系统、证书作废系统和 应用接口。.电了邮件安全协议主要有PGP、S/MIME.MOSS、PEM等。.HTTP（超文本传输协议）是WWW浏览器和WWW服务器Z间的应用层通信协议，是用于分布式协作超文木信息系统的、通用的、面向对彖的协议，是 C/S结构的协议。.SSL（安全套接层协议）位于TCP和应用层之间，主要适用于点对点之间的信息传输，常用在C/S方式。.常用防火墙类型有包过滤型防火墙、代理服务型防火墙、电路级网关防火墙和规则检 测防火墙。.常用防火墙配置方案主要有双宿堡垒 ？主机防火墙、屏蔽主机防火墙和屏蔽子网防火墙。.计算机病毒的寄牛方式主要有替代法和链接法两种。.计算机病毒的状态有两种：静态和动态。.病毒按传染方式可划分为：引导型病毒、文件型病毒和混合型病毒。.病毒按入侵方式町划分为：外壳型病毒、操作系统型病毒、入侵型病毒和源码型病毒。.网络病毒的传播途径主要有电子邮件、BBS、WWW浏览、FTP文件下载和点对点服务。.入侵检测系统的四个2R件分别为事件收集器、事件分析器、事件数据库和响应单元。.访问控制的手段主要有用户识别代码、口令、登陆控制、资源授权、授权检查、日志和审计、防病毒软件、入侵检测系统等。二、单选题.使用RSA算法实现数字签名，签名人使用 A 对数据进行加密。A、签名人的RSA私钥B、签名人的RSA公钥6接收人的RSA似钥D、接收人的RSA公钥.使用RSA算法实现数字签名，接收入使用 B 对数据进行解密A、签名人的RSA私钥B、签名人的RSA公钥C、接收人的RSA似钥D、接收人的RSA公钥.对称密码算法的主要缺陷在于 DA、计算速度比较慢 B、密钥比较短C、加密解密使用相同密钥D、文寸称密码系统管理复杂.以下对计算机病毒描述不正确的是A

A、它是一种生物病毒CA、它是一种生物病毒C、它是一种计算机程序5.D、它具有寄生性下列对于散列函数描述不正确的是 AA输入长度固定 B、输出长度固定、给定输入有固定输出 D、不同输入不可对应同一散列值C下列都属、于计算机衍牛性、传染性、执行性潜6、病毒特征伏性、破坏性、寄主性传A的一组是染性、执行性、预见性潜B_寄生性、伏性、破坏性、传染性B隐蔽性、寄生性、执行性、7.对称加密算法町对数据进行变换以达到数据保护的口的。 FI前美国数据加密标准TOC\o"1-5"\h\zD 得到了广泛应用。它的算法是公开的，保密的只是 B oA.椭圆加密两数B.CRC C.RSA D.DES(2)A.数据 B.密钥C.密码 D.U令8.非对称加密算法可对数据进行变换以达到数据保护的IW的。 hl前美国数据加密标准C得到了广泛应用。它的算法是公开的，保密的只是 B 。A.椭圆加密除［数B.CRC C.RSA D.DESA擞据 B.密钥C.密码 D.口令.DES算法是一种分纽加密算法，明文分2R长度为CA16位B、32位C、64位 D、128位、 下面哪个不属于传统加密技术： B.单表替代密码技术 B、对称加密技术A恺撒密码 D、多表替代密码技术、C下列操作系统可达到C2安全级别的是 C oA.DOS和Windows98 B.Windows3.x和Windows98C.Windows2000AiUnix D.以上都不是RSA算法的保密性建立在多个理论问题上，不包括下面哪一个： DA、人整数判索问题 B、费尔马小订立的欧拉推广问题C、人整数分解问题D、离散对数问题TLGamal算法的保密性建立在下面哪一个理论问题上的： DA、大整数判素问题 B、费尔马小订立的欧拉推广问题C、大整数分解问题D、离散对数问题下面哪个不属于安全漏洞的类型 DA.允许拒绝服务的漏洞B.允许有限权限的木地用户未经授权提高其权限的漏洞C.允许外来团体未经授权访问网络的漏洞D.允许为了进行非授权访问而在程序中故意设置的万能访问口令IP安全协议属于网络协议哪一层的安全协议？ CA,应用层B.传输层C.网络层D.链路层TCP安全属于网络协议哪一层的安全协议?A.应用层B.传输层C.网络层D.链路层TOC\o"1-5"\h\z安全套接层协议SSL属于哪一层安全协议？ BA,应用层B.传输层C.网络层D.链路层S-HTTP属于哪一层安全协议？ AA.应用层 B.传输层C.网络层 D.链路层下列文寸包过滤型防火墙特点描述不正确的是 BA.包过滤实现费用较低 B、定义包过滤规则比较简单C、肓接经过路由器的数据包有被用做数据驱动式的潜在危险 D、透明性好双宿堡垒主机防火墙最主要的弱点是 DA.CA.入侵检测技术是防火墙技术的拓展B.入侵检测技术是防火墙技术的基础C.入侵检测技术是防火墙技术的补充D.入侵检测技术是防火墙技术的组成部分TOC\o"1-5"\h\z22.系统攻击的三个阶段中不包括 DA. 收集信息 B.探测安全弱点C.实施攻击D.恢复系统功能23?基于主机的入侵检测系统的优点是 CA. 可移植性好B.占用系统资源少C.可精确判断入侵事件D.支持跨平台支持A.账号的识别打验证B.账号的建立与使用C.A.账号的识别打验证B.账号的建立与使用C.账号的识别与验证D.账号的建立与使用25.账号的默认限制检查账号的默认限制检查账号的默认入网检查账号的默认入网检杏下列对网络权限控制描述止确的是CA.用户在口录一级指定的权限对所有文件和子 F1录有效。B.服务器操作用八必须携带证实身份的验证器。C.审计用户的访问权限与一般用户的访问权限不同。D.用户名和口令验证有效之示，需进一步对用户帐号的默认限制检杏.在以下人为的恶意攻击行为中，属于主动攻击的是（C）A、身份假冒B、数据窃听C、数据流分析D、非法访问.数据保密性指的是（A）A、保护网络中各系统Z间交换的数据，防止因数据被截获而造成泄密B、提供连接实体身份的鉴别防止非法实体对川户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完 全•致D、确保数据数据是由合法实体发出的.以下算法中属于非对称算法的是（B）AAHash算法BRSA算法C、IDEAD、三重DES.在混合加密方式卜？，真正用来加解密通信过程中所传输数据（明文）的密钥是（D）A、非对称算法的公钥B、对称算法的密钥C、非对称算法的私钥CA中心的公钥30.以卜-不属于代理服务技术优点的是（B）A、可以实现身份认证B、A）A、包过滤技术安全性较弱、但会对网络性能产生明显影响B、包过滤技术对应用和用户是绝对透明的C、代理服务技术安全性较高、但不会对网络性能产生明显影响D、代理服务技术安全性高，对应用和用户透明度也很高32.在建立堡垒主机时（B）A、在堡垒主机上应设置尽可能少的网络服务B、在堡垒主机上应设置尽可能多的网络服务C、对必须设if的服务给与尽町能高的权限D、不论发生任何入侵情况，B）A、先入者被后入者挤出网络而不能使用B、双方都会得到警告，但先入者继续工作，而后入者不能C、双方可以同时正常工作，进行数据的传输D、双主都不能工作，都得到网址冲突的警告34.Unix和WindowsNT、操作系统是符合那个级别的安全标准：A级B级C级D级35?黑客利用IP地址进行攻击的方法有：（A）A.IP欺骗B.解密C.窃取口令D.发送病毒.防止用户被冒名所欺骗的方法是：（A）A.对信息源发方进行身份验证B.进行数据加密C.对访问网络的流量进行过滤和保护D.采用防火墙.屏蔽路由器型防火墙采用的技术是基于：（D）A.数据包过滤技术（C）B.应川网关技术C.代理服务技术D.三种技术的结合以F关于防火墙的设计原则说法正确的是：（A）保持设计的简单性不单单要提供防火墙的功能，还要尽量使用较大的组件保留尽可能多的服务和守护进程，从而能提供更多的网络服务一?套防火墙就可以保护全部的网络SSL指的是：（B）加密认证协议安全套接层协议授权认证协议安全通道协议CA指的是：（A）证书授权加密认证C.虚拟专用网D. 安全套接层A.侦杳阶段、A.侦杳阶段、B.渗透阶段、渗透阶段、控制阶段侦查阶段、控制阶段C.控制阶段、侦查阶段、渗透阶段D.侦查阶段、控制阶段、渗透阶段在安全审计的风险评估阶段，通常’是按什么顺序来进行的以下哪一项不属于入侵检测系统的功能：（D）监视网络上的通信数据流捕捉可疑的网络活动C.提供安全审计报告D. 过滤非法的数据包43? 入侵检测系统的第一步是：（B）信号分析信息收集数据包过滤数据包检查44. 以下哪一项不是入侵检测系统利用的信息：（C）A. 系统和网络口志文件B.目录和文件中的不期望的改变C.数据包头信息D.程序执行中的不期望行为以下哪一种不属于45?入侵检测系统在进行信号分析时，一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段：（D）A.模式匹配B.统计分析C.完整性分析D.密文分析46.以下哪一种方式是入侵检测系统所通帘采用的：（B）基于网络的入侵检测基于IP的入侵检测C.基于服务的入侵检测D.基于域名的入侵检测47.以下哪一项属于基于主机的入侵检测方式的优势：（D）监视整个网段的通信不要求在大量的主机上安装和管理软件C.适应交换和加密D.具有更好的实时性.以下关于计算机病毒的特征说法正确的是：（C）A.计算机病毒只具有破坏性，没有其他特征B.计算机病毒具有破坏性，不具有传染性C.破坏性和传染性是计算机病毒的两大主耍特征D.计算机病毒只K-有传染性，不具有破坏性.以下关于宏病毒说法正确的是：（B）A.宏病毒主要感染可执行文件B.宏病毒仅向办公自动化程序编制的文档进行传染宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区CIH病毒属于宏病毒50.以下哪一项不属于计算机病毒的防治策略：（D）防毒能力查毒能力C.解毒能力D.禁毒能力54.加密技术不能实现：（D）A.数据信息的完整性慕于密码技术的身份认证机密文件加密基于IP头信息的包过滤55.所谓加密是指将一个信息经过（A）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数、（C）还原成明文。加密钥匙、解密钥匙解密钥匙、解密钥匙加密钥匙、加密钥匙解密钥匙、加密钥匙.以下关于对称密钥加密说法正确的是：（B）A?加密方和解密方可以使用不同的算法B.加密密钥和解密密钥可以是不同的C.加密密钥和解密密钥必须是相同的D?密钥的管理非常简单.以下关于非对称密钥加密说法正确的是：（B）A.加密方和解密方使用的是不同的算法加密密钥和解密密钥是不同的C.加密密钥和解密密钥匙相同的D.加密密钥和解密密钥没有任何关系.以下关于混合加密方式说法正确的是：（D）A.采用公开密钥体制进行通信过程中的加解密处理B.采川公开密钥体制对对称密钥体制的密钥进行加密后的通信C.采用对称密钥体制对对称密钥体制的密钥进行加密示的通信D.采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密 处理速度快的双重优点.以下关于数字签名说法正确的是：（D）A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B.数字签名能够解决数据的加密传输，即安全传输问题C?数字签名一般采用对称加密机制D.数字签名能够解决篡改、伪造等安全性问题.以下关于CA认证中心说法正确的是：（B）A.CA认证是使用对称密钥机制的认证方法B?CA认证中心只负责签名，不负责证书的产生CA认证中心负责证廿的颁发和管理、并依靠证书证明一个用户的身份CA认证中心不用保持中立，可以随便找一个用户来做为 CA认证中心61.关于CA和数字证书的关系，以下说法不正确的是：（A）数字证书是保证双方之间的通讯安全的电子信任关系，他由CA签发数字证书一般依靠CA中心的对称密钥机制来实现C?在电子交易中，数字证书可以用于表明参与方的身份D.数字证P能以一种不能被假冒的方式证明证书持有人身份.以下关于VPN说法正确的是：（B）A.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路B?VPN指的是用户通过公用网络建立的临时的、安全的连接C?VPN不能做到信息认证和身份认证D.VPN只能提供身份认证、不能提供加密数据的功能.Ipsec不可以做到（D）认证完整性检杳C.加密D.签发证书64.包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择 的路由某些数据包。下而不能进行包过滤的设备是： DA.路由器B.一台独立的主机

C.交换机D.网桥65、计算机网络按威胁对彖大体可分为两种：一是对网络中信息的威胁；二是：DA.人为破坏B.对网络中设备的威胁C.病毒威胁D.对网络人员的威胁66、防火墙中地址翻译的主要作用是：BA.提供代理服务B.隐藏网络故障和设备环境故障69、对状态检查技术的优缺点描述有I吴的是：BA采用检测模块监测状态信息。B支持多种协议和应用。C不支持监测RPC和UDP的端口信息D配置复杂会降低网络的速度的安70、JOE是公司的一名业务代表，经常耍在外地访问公司的财务信息系统，他应该采川的安全、第价的通讯方式是:全、第价的通讯方式是:APPP连接到公司的RAS服务器上B远程访问VPNC电子邮件D与财务系统的服务器PPP连接。71、数据在存储或传输时不被修改、破坏，或数据包的丢火、乱序等指的是： AA数据完整性。B数据一致性C数据同步性D数据源发性72、可以通过哪种安全产品划分网络结构，管理和控制内部和外部通讯： AA防火墙BCA中心C加密机D方病毒产品73、IPScc协议是开放的VPN协议。对它的描述有误的是：DA适应于向IPv6迁移。B提供在网络层上的数据加密保护。C支持动态的IP地址分配。D不支持除TCP/IP外的其它协议。74八IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息：AA隧道模式B管道模式C传输模式D安全模式77、针对下列各种安全协议，最适合使用外部网 VPN上，用丁？在客户机到服务器的连接模式的是：AAlPsecBPPTPCSOCKSv5DL2TP79、目前在防火墙上捉供了儿种认证方法，其中防火墙设定可以访问内部网络资源的川 户访问权限是：CA客户认证B问话认证C用户认证D都不是80xFirewall-1是一种：DA方病毒产品B扫描产品C入侵检测产甜D防火墙产品DNoneofAbove.三、名词解释.网络安全：课本P1网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护 ，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续对靠止常的运行，网络服务不中断。.密码编码技术：课本P12密码编码技术的主要任务是寻求产生安全性高的有效密码算法，以满足对消息进行加密或 鉴别的要求。.密码分析技术：课本P12密码分析技术的主要任务是破译密码，事先窃取机密信息或进行信息篡改活动。.数字证书：课本P33数字证书就是网络通信中标懑通信各方身份信息的一系列数据，其作用类似现实生活中 的身份证。.防火墙：课本P56防火墙是一个或一名fl实施访问控制策略的系统，它在内部网络与外部网络之间形成一道安全保护屏障，能根据访问控制策略对出入网络的信息流进行安全控制。.计算机病毒：课本P68是指：“编制者在计算机程序中插入破坏计算机功能或是破坏数据，影响计算机使用并且 能够口我复制的一组计算机指令乎或程序代码二.入侵检测技术：课本P90入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术，它从计算机网络流系统 中的若干关键点收集信息，并分析这些信息，从而发现网络系统中是否有违反安全策略的行 为和被攻击的迹象，从而提供对内部攻击、外部攻击和谋操作的实时保护，作为防火墙的合 理补充,入侵检测技术扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别 和响应)，提高了信息安全恭础结构的完整性。四、简答题24/3.用多表替代算法力口密下段文字：COMPUTERANDPASSWORDSYSTEM,密钥为：KEYWORD答：密文为MSKLIKHBELZDRVWAMNRTBCXC1?简述DES算法过程。课本P18-21a、64bit的明文经过初始置换IP进行比特重排，这一过程不使用密钥。b、16次与密钥相关的循环加密运算，这一过程即包括置换又包含替代。c、逆初始置换IPo.简述三重DES算法的加密解密过程。课本P22加密过程：加密一解密一加密解密过程：解密一加密一解密.简述散列函数运算过程。课本P3O?31散列函数就是把任意长度的信息输入后加以浓缩、转换，成为一长度比较用且固定的输出信息的运算。消息一散列函数T散列值.简述数字签名实现过程。课木P32-33假定Alice想要向Bob发送消息，尽管消息的机密性不重要，但她希望Bob能够确认消息的确是她发出的。这种情况下，Alice就是用自己的私钥来加密消息。如果Bob收到密文时，发现能够用Alice的公钥进行解密，这就证明消息-?定是Alice加密的，因为没有其他人知道Alice的私钥，因此，米有其他人能够创建出能够用Alice的公钥解密的密文来。因此，整个加密消息就是“数字签名二而实际上Alice很少对整个消息采用自己的私钥加密来做数字签名，而采用对消息的散列值加密的方式。.简述PGP协议实现邮件安全发送为接受的过程。课本P44-45假定通信双方为Alice和Bob,双方都各持有自己的私钥SKa、SKb,同时相互持有对方的公钥PKb,PKa发送：(1)发信方Alice对邮件明文m利用MD5报文摘要算法计算出固定长度的128bit信息摘要H,然后用H己的私钥SKa对信息摘要加密，这也就是数字签名的过程。将加密后的信息摘要与明文m连接成为ml,注意此时并没有对邮件明文m加密，只是对信息摘要加了密。ml经过了ZIP压缩后得到压缩文件ml.ZAlice用自己生成的蜜月Km对ml.Z采用IDEA加密运算，加密后的得到m2。同时使用Bob的RSA公钥PKb对Km加密，得到K'm。m2与k,m连接，再用base64编码，得到一个ASCII码文本。此时可发送到因特网上。接收：(1)首先进行base64解码。(2)然后用£|己的私钥SKb解出使用IDEA算法加密的对称密钥Km,再用Km解密密文m2得到ml.乙（3）解压还原出ml（4）Bob接着分开明文m和加了密的摘要数据，然后用Alice的公钥PKa解除摘要数据的加密，获得H。（5）Bob同时要对明文m进行MD5摘要算法运算，运算的结果和H进行比较，如果相同，则证明邮件报文在传送过程中未被篡改， 邮件确实是Alice发来的。这个过程也就是验证数字签名的过程。.比较三种基本类型防火墙的优缺点。课本P56-59一、包过滤型防火墙：优点：（1）利用路由器本身的包过滤功能，以访问控制列表方式实 现。（2）处理速度较快。（3）对安全要求低的网络采用路由器附带防火墙功能的方法，不盂要其他设备。（4）对用户来说是透明的，用户的应用层不受影响。缺点：（1）无法阻止“I的骗”⑵文寸路山器中过滤规则的设置和配置十分复杂，它涉及规则的逻辑一致性、作用端口 的有效性和规则集得正确性，一般的网络系统管理员难于胜任，加Z一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错课。 （3）实施的是静态的、周定的控制，不能跟踪TCP状态，如当它配置了仅允许从内到外的TCP访讪甘，一些以TCP应答包的形式从外部对内网进行的攻击仍可穿透防火墙。（5）不支持用户认证，只判断数据包来口哪台机器，不判断来自哪个用八。二、代理服务器型防火墙：优点：总得来说安全性较好。（1）代理服务器能够理解应用层上的协议，做一些复朵的访问控制，限制命令集并决定哪些内部主机可以被该服务访问，详细地记录了所有访问状态信息以及相应的安全审核，具有较强的访问控制能力