当前位置：文档库 › 网络安全技术复习题

网络安全技术复习题

(郑州大学信息工程学院2012-11-20)

一.单项选择题

1.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的这是对（A ）。

A.可用性的攻击

B.保密性的攻击

C.完整性的攻击

D.真实性的攻击

2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型? A

A.拒绝服务

B.文件共享

C.BIND漏洞

D.远程过程调用

3.关于80年代Mirros 蠕虫危害的描述，哪句话是错误的? （B ）。

A.占用了大量的计算机处理器的时间，导致拒绝服务

B.窃取用户的机密信息，破坏计算机数据文件

C.该蠕虫利用Unix系统上的漏洞传播

D.大量的流量堵塞了网络，导致网络瘫痪

4.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么? B

A.安装防病毒软件

B.给系统安装最新的补丁

C.安装防火墙

D.安装入侵检测系统

5.为了防御网络监听，最常用的方法是：（B ）。

A.采用物理传输（非网络）

B.信息加密

C.无线网

D.使用专线传输

6.以下不属于防火墙作用的是（C ）。

A.过滤信息

B.管理进程

C.清除病毒

D.审计监测

7.防火墙可分为两种基本类型是（C ）。

A.分组过滤型和复合型

B.复合型和应用代理型

C.分组过滤型和应用代理型

D.以上都不对

8.以下不属分布式防火墙的产品的有（B ）。

A.网络防火墙

B.软件防火墙

C.主机防火墙

D. 中心防火墙

9.以下不属入侵检测中要收集的信息的是（ B）。

A.系统和网络日志文件

B.目录和文件的内容

C.程序执行中不期望的行为

D.物理形式的入侵信息

10.以下关于DOS攻击的描述，哪句话是正确的? （A ）。

A.导致目标系统无法处理正常用户的请求

B.不需要侵入受攻击的系统

C.以窃取目标系统上的机密信息为目的

D.如果目标系统没有漏洞，远程攻击就不可能成功

11.PKI的全称是（D ）。

A. Private Key Intrusion

B. Public Key Intrusion

C. Private Key Infrastructure

D. Public Key Infrastructure

12.下面哪个是为广域网（WWW）上计算机之间传送加密信息而设计的标准通信协议 A

A.SSL

B.HTTPS

C.HTTP

D.TSL

13.PPTP是建立在哪两种已经建立的通信协议基础上（B ）。

A.PPP&UDP

B.PPP&TCP/IP

C.LDAP&PPP

D.TCP/IP&UDP

14.对于保护文件系统的安全，下面哪项是不需要的（D ）。

A.建立必要的用户组

B.配置坊问控制

C.配置文件加密

D.避免驱动器分区

15.下面哪项不是数字证书中的内容. （ D）。

A.证书发布人的姓名

B.发行证书的实体

C.实体的公开密钥

D.上面所有的都是数字证书的组成部分

16.操作系统是企业网络管理平台的基础，其安全性是第一位的，所以作为一名合格的企业安全管理员，应该

了解操作系统所面临（）的安全威胁。（B ）。

A.操作系统软件自身的漏洞

B.开放了所有的端口

C.开放了全部的服务

D.病毒

17.计算机蠕虫是一种特殊的计算机病毒，它的危害比一般的计算机病毒要大许多。要想防范计算机蠕虫就需要区别开其与一般的计算机病毒，这些主要区别在于（ B）。

A.蠕虫不利用文件来寄生

B.蠕虫病毒的危害远远大于一般的计算机病毒

C.二者都是病毒，没有什么区别

D.计算机病毒的危害大于蠕虫病毒

二.多项选择题

1.计算机病毒是企业网络中要重点防范的一种安全威胁，所以网管需要了解常见的计算机病毒形式。下列在企业网络中需要防范的病毒对象有（ABC ）。（选择3 项）

A.计算机病毒

B.木马程序

C.蠕虫病毒

D.非法程序

2.路由器作为企业网络最外围的安全屏障，其安全性是不言而喻的，作为一名网管需要在路由器上采取（AB ）等安全管理措施才能保证路由器最基本的安全。（选择2项）

A.设置访问控制列表

B.升级IOS 进行安全补漏 .

C.加装硬件模块使之外部完全隔离

D.把路由器锁起来

3.交换机是企业局域网络正常运行的关键设备，作为一名网管需要采取（ AB）的安全管理措施才能保证企业网用户正常的网络通信。（选择2 项）

A.通过VLAN 把局域网分段管理 .

B.设置度较强高的管理口令 .

C.连接到路由器上

D.将多台交换机叠加起来使用

4.保证操作系统的安全是网管的第一要务，通过（ ABC）可以针对Windows 操作系统进行有效的安全加固，从而为其他应用构筑最基础的安全平台。（选择3 项）

A.使用强壮的密码，不使用诸如生日.电话号码等易被猜测的口令

B.定时安装系统补丁，及时修补操作系统的漏洞

C.只启必需的服务，关闭不必要的服务和端口

D.安装防火墙和入侵检测系统

5.保证操作系统的安全是网管的第一要务，通过（AD ）可以针对Linux 操作系统进行有效的安全加固，从而为其他应用构筑最基础的安全平台。（选择2 项）

A.使用GRUB 口令

B.打开密码的password 支持功能

C.删除除root 外的所有帐户

D.禁止随意通过su 命令将普通用户改变为root 用户

6.为了有效的对企业网络进行安全防护，在企业网络的最外围架筑防火墙是一种有效的方法。这主要是利用了防火墙的下列主要功能（ AD）。（选择2 项）

A.记录用户的上网活动

B.发现黑客攻击行为

C.主动追踪攻击者来源

D.隐藏网络内部细节

三. 判断题(正确画√、错误画Χ)

1.WIN2000系统给NTFS格式下的文件加密，当系统被删除，重新安装后，原加密的文件就不能打开了。（√）

2.禁止使用活动脚本可以防范IE执行本地任意程序。（Χ）

3.发现木马，首先要在计算机的后台关掉其程序的运行。（Χ）

4.按计算机病毒的传染方式来分类，可分为良性病毒和恶性病毒。（√）

5.非法访问一旦突破数据包过滤型防火墙，即可对主机上的漏洞进行攻击。（Χ）

6.最小特权.纵深防御是网络安全原则之一。（√）

7.开放性是UNIX系统的一大特点。（Χ）

8.密码保管不善属于操作失误的安全隐患。（Χ）

9.我们通常使用SMTP协议用来接收E-MAIL。（√）

10.使用最新版本的网页浏览器软件可以防御黑客攻击。（Χ）

四.填空题

1.入侵检测的一般步骤有信息收集和信息分析 and 实时记录、报警或有限度反击。

2.入侵检测中信息分析的三种技术手段是模式匹配，统计分析和完整性分析。

3.密码体制可分为对称密码体制和公钥密码体制两种类型

4.在公开密钥体制中每个用户保存着一对密钥是公开密钥和私人密钥

5.防火墙的实现方式有软件和硬件两种

6.VPN所使用的两种通信协议分别是 PPP 和 TCP/IP

7.WSUS所全称是Windows Server Update Services

8.按着备份的数据量可把备份分为全备份 , 和增量备份

9.信息安全需求的五大特性分别是保密性 , 完整性, 可用性，可控性，不可否认性 ,

10.常见的网络攻击手段分为 Dos 攻击, 扫描探测攻击, 畸形报文攻击攻击, 攻击, 漏洞攻击, 缓冲区溢出攻击攻击。

五. 综合简答题

1.简述：Ping，ipconfig，netstat，net，at 和Tracert指令的功能和用途。

Ping是DOS命令，一般用于检测网络通与不通.

Ipconfig可用于显示当前的TCP/IP配置的设置值。

Netstat它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

NET命令包含了管理网络环境、服务、用户、登陆等Windows 中大部分重要的管理功能。使用它可以轻松的

管理本地或者远程计算机的网络环境，以及各种服务程序的运行和配置。或者进行用户管理和登陆管理等；

At指令一般应用于终端设备与PC应用之间的连接与通信；AT指令是以AT作首，字符结束的字符串，A T指

令的响应数据包在中。每个指令执行成功与否都有相应的返回。

Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP 数据报访问目标所采取的路径。Tracert 命令用IP 生

存时间(TTL) 字段和ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

2.简述密码体制的概念及其图示。

密码体制也叫密码系统，是指能完整地解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不

可抵赖性等问题中的一个或几个的一个系统。对一个密码体制的正确描述，需要用数学方法清楚地描述其中的各种

对象、参数、解决问题所使用的算法等。

通常情况下，一个密码体制由以下五个部分组成：明文信息空间M；密文信息空间C；密钥空间K；

加密变换Ek : M→C，其中k?K;解密空间Dk→M,其中k?K。

3.简述IP欺骗攻击的步骤，并列举三种以上的防范措施。

首先，目标主机已经选一。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺

骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序

列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一

种简单的命令放置一个系统后门，以进行非授权操作。

防范措施：1.抛弃基于地址的信任策略2.进行包过滤3. 使用随机化的初始序列号

4.简述缓冲区溢出攻击的原理。

缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。

理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总

是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。*作系统所使用的缓冲区又被称为堆栈，在各个*作进程

之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。

5.简述DDoS攻击的概念。

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；

6.简述包过滤防火墙的基本特点及其工作原理。

包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

7.描述对单机计算机病毒的防范方法。

装杀毒软件，开启防火墙，定期杀毒，电脑重要文件备份。不要随便直接运行或直接打开电子函件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。

8.简述CIDF(公共入侵检测框架)模型的组成及结构。

事件产生器、事件分析器、事件数据库、事件响应器

分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能；；控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。

9.简述基于主机的扫描器和基于网络的扫描器的异同。

第一，基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供Windows 2000操作系统的密码，这种情况下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。另外，Unix系统中有些程序带有SetUID和SetGID功能，这种情况下，涉及到Unix系统文件的权限许可问题，也无法检测。

第二，基于网络的漏洞扫描器不能穿过防火墙。如图3所示，与端口扫描器相关的端口，防火墙没有开放，端口扫描终止。

第三，扫描服务器与目标主机之间通讯过程中的加密机制。从图3可以看出，控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话，攻击者就可以利用sniffer工具，来监听网络中的数据包，进而得到各目标注集中的漏洞信息。

六.网络攻击技术简答题

1.攻击一般有哪几个步骤?

预攻击攻击后攻击

2.举例说明如何利用缓冲区溢出实现攻击。

NetMeeting缓冲区溢出：攻击者的代码可以在客户端执行，恶意的网页作者连接到NetMeeting的SpeedDial入口，导致NeetMeeting停止响应或者挂起，停止响应后，攻击者的代码将在受害者的计算机中执行；

如Remote root exploit，通过网络，无需认证即可获得远程主机的root权限。

非技术手段：从目标机构的网站获取；；新闻报道，出版物；新闻组或论坛；假冒他人，获取第三方的信任

；搜索引擎

技术手段：Ping；Tracert / Traceroute；Rusers / Finger；Host / nslookup

这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息

4.常用的扫描技术有哪几种?

端口扫描技术

TCP Connect() 扫描TCP SYN扫描

漏洞扫描技术

CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描

5.为什么远程计算机的操作系统可以被识别?

利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型

当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证

6.简述网络嗅探的原理。

网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段。

7.简述DDoS攻击的原理，举出两种不同的攻击方式。

分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。TCP混乱数据包攻击，用UDP协议的攻击，WEB Server多连接攻击

8.结合身边的网络环境或现实的攻击实例，了解攻击者使用的网络攻击方法。

社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击

利用缓冲区溢出漏洞进行攻击等技术。

七. 计算机病毒及恶意代码简答题

1.传统病毒和木马.蠕虫各有哪些特点和区别？

病毒：有传染性、隐蔽性、潜伏性、破坏性

木马：它是具有欺骗性的文件，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点

蠕虫：通过网络协议漏洞进行网络传播，不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合

2.脚本病毒的原理是什么，如何进行防御？

利用脚本来进行破坏的病毒，其特征为本身是一个ASCII码或加密的ASCII码文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统命令造成危害。

禁用文件系统对象FileSystemObject，卸载Windows Scripting Host，删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。

3.蠕虫的工作机制是什么，如何在网络上大规模传输？

是指利用网络缺陷进行繁殖的病毒程序，其原始特征之一是通过网络协议漏洞进行网络传播。

蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。

4.木马技术有哪些植入方法？木马是如何实现加载和隐藏的？

方法：利用启动入口植入：方法二——系统路径遍历优先级欺骗：方法三——文件并联型木马：方法四——替换系

统文件：网页植入、程序下载、人工植入

1、集成到程序中

2、隐藏在配置文件中

3、潜伏在Win.ini中

4、伪装在普通文件中

5、内置到注册表中

5.什么是网络钓鱼？主要有哪些方法？

网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。

网络钓鱼的主要手法：这个病毒是发送电子邮件，虚假信息引诱用户中圈套等方式，假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃，还有的利用虚假的电子商务进行欺骗。

6.僵尸程序和木马技术有哪些异同点？

僵尸网络:僵尸网络Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

木马技术：木马是一类恶意程序。木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，不一定要控制。

7.通过哪些方法可以检测到木马?

检测网络连接，禁用不明服务，轻松检查账户对比系统服务项杀毒软件

1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项）。

2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项（如Local Page），如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码（如“万花谷”）就经常修改这几项。

3、检查HKEY_CLASSES_ROOT\inifile \shell\open\command和HKEY_CLASSES_ROOT \txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件（包括.jpg、.rar、.mp3等）的默认打开程序。

8.什么是浏览器劫持？

浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。

9.什么是流氓软件，流氓软件具有哪些特征？

流氓软件，也叫“恶意软件”，是对网络上散播的带有不良目的软件的一种称呼。也指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。

流氓软件通常具有以下特征：

?采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；?强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；?强行弹出广告，或者其他干扰用户占用系统资源行为；?有侵害用户信息和财产安全的潜在因素或者隐患；?与病毒联合侵入用户电脑;?停用防毒软件或其他电脑管理程式来做进一步的破坏;

?未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

八. 操作系统安全简答题

1.操作系统的访问控制方法有哪些？

自主访问控制（Discretionary Access Control，DAC）

强制访问控制（Mandatory Access Control，MAC）两种形式

2.以Windows XP/2000/2003为例，分析该操作系统具有哪些访问控制功能？

注册表安全策略、组策略、文件和文件夹加密及其访问控制。

3.Windows系统的安全机制都有哪些？

硬件安全机制操作系统的安全标识与鉴别

访问控制、最小特权管理可信通路和安全审计

4. 以你本人所使用的操作系统为例，你目前已采取了哪些安全措施？分析还存在哪些安全隐患，考虑下一步该采取哪些安全措施来增强系统的安全性。

我使用了金山毒霸杀毒软件，停止了Guest帐号，设置了名为“Administrator”的陷阱账号，设置了复杂的开机密码，关闭了不必要的服务，关闭了不必要的端口、开启了审核策略，及时更新补丁。

安全级别还不够高，还可以关闭DirectDraw、关闭默认共享；禁用Dump File、加密Temp文件夹、锁住注册表、关机时清除文件；禁止判断主机类型、抵抗DDOS。

5.在学习生活中你和你的同事.同学遇到过QQ帐号.网络游戏帐号或者网上交易帐号被盗的情况吗？分析原因并思考以后该采取哪些措施进行有效防范？

被网络钓鱼骗了，中了木马，在网吧被浏览器几下密码。没有安全意识，

关闭不必要的服务，关闭不必要的端口，经常更新系统补丁，浏览器禁用cookie，关闭默认共享

6.以你本人所使用的操作系统为例，检测该系统存在哪些安全漏洞？平时你是如何来修复操作系统漏洞和应用软件漏洞的？

UPnP存在缓冲区溢出漏洞，自注销”漏洞，远程桌面漏洞。

下载安装响应补丁，离开时锁定计算机，停止远程桌面使用。

九. 防火墙及其应用简答题

1.什么是防火墙？解释防火墙的基本功能及其局限性。

指隔离在本地网络与外界网络之间的一道防御系统。一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，他是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户；防止入侵者接近网络防御设施；

限制内部用户访问特殊站点。

不能防范网络内部的攻击；不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限；不能防止传送己感染病毒的软件或文件；

2 .简述防火墙技术发展的未来趋势。

(1)实用专门的芯片负责访问控制功能、设计新的防火墙的技术构架。

(2)数据加密技术的实用，使合法访问更安全。

(3)混合实用包过滤技术、代理服务技术和其它一些新技术。

(4)目前，人们正在设计新的IP协议和IPV6。IP协议的变化将对防火墙的建立与运行产生深刻的影响。

(5)分布式防火墙。(6)对数据包的全方位的检查。

3.阐述包过滤防火墙.电路级网关和应用级网关防火墙的工作原理。

数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。

电路级网关提供一个重要的安全功能代理服务器，对数据包起转发的作用。

应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，

4.说明屏蔽子网防火墙体系架构的特点，并比较它与双宿主主机.屏蔽主机体系结构的优劣。

屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”网络后，它支持网络层和应用层安全功能。

双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。

屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。

5.了解你身边的网络（如实验室网络、校园网）采用何种防火墙体系结构，并以图例阐述它的工作方式。

校园网防火墙一般是屏蔽子网体系结构，他是在屏蔽主机体系结构基础上,添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。这样做是因为堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。

6.构建防火墙体系的基本步骤有哪些？并说明每一步骤中应当注意的地方。

(1) 选择一台具有路由能力的PC； (2) 加上两块网卡，例如以太网或串行卡等；

(3) 禁止IP转发；(4) 打开一个网卡通向Internet； (5) 打开另一个网卡通向内部网。

十. 网络隔离技术简答题

1.简述路由器的概念及其工作原理。

路由器（Router）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是用于连接两个或者多个网络的网络互连设备。

路由器工作于OSI七层协议中的第三层，其主要任务是接收来自一个网络接口的数据包，根据其中所含的目的地址，决定转发到下一个目的地址。因此，路由器首先得在转发路由表中查找它的目的地址，若找到了目的地址，就在数据包的帧格前添加下一个MAC地址，同时IP数据包头的TTL（Time To Live）域也开始减数，并重新计算校验和。当数据包被送到输出端口时，它需要按顺序等待，以便被传送到输出链路上。

2.如何合理的选择路由器功能？

根据网络地址转换包过滤状态包过滤访问控制选择

3.路由器的加固方法有哪些？

加固操作系统；锁住管理点；禁止不必要的服务：如NTP，finger等

阻断因特网控制消息协议（ICMP）禁止源路由路由器日志查看

4.为什么要进行资源隔离？资源隔离包括哪些内容？

资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域，资源隔离有助于更好的实施安全策略

资源隔离有助于实施管理。

子网隔离服务隔离用户隔离数据隔离

5.试述资源隔离的主要依据。

资源敏感度资源受到损害的可能性易管理性设计者自己的分类标准

6.资源隔离的基本方法有哪些？

同一子网内的资源隔离：不同服务用不同的用户身份进行管理；使用特定的工具进行安全区域的划分；不同服务尽可能运行在不同的服务器上。

不同子网的资源隔离。

7.详细叙述资源隔离的四种技术。

路由器防火墙交换机VLAN

是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术

十一. 网络安全技术简答题

1.试述网络安全的的特性。

保密性; 完整性; 可用性; 可控性; 可审查性

2、什么是包过滤防火墙？简述它的工作原理。

包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。

数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的。

3.调查一款防火墙产品，通过实际应用理解其安全策略。

联想smart系列企业级防火墙。

4.简述入侵检测系统的工作原理。

入侵检测系统通常由入侵检测的软件与硬件组合，是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

5.入侵检测监测系统实施的具体检测方法有哪些？

1）监视、分析用户及系统活动。2）系统构造和弱点的审计。3）识别反映已知进攻的活动模式并向相关人士报警。4）异常行为模式的统计分析。5）评估重要系统和数据文件的完整性。6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

6.简述入侵检测目前面临的挑战。

层出不穷的入侵手段越来越多的信息采用加密的方法传输不断增大的网络流量

缺乏标准误报率过高

7.什么是VPN？如何对VPN进行分类？

虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

VPN的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。包括按VPN的应用方式分类、按VPN的应用平台分类、按VPN的协议分类、按VPN的服务类型分类、按VPN的部署模式分类。可分为专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商

十二、计算机系统安全简单题

1.计算机物理安全有哪些内容？应该如何保障？

物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等事故以及人为行为导致的破坏的过程。物理安全可以分成两大类：环境安全和设备安全。其中，环境安全包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等；设备安全包括设备的防盗、防电磁泄露、防电磁干扰、存储介质管理等。物理安全也必须配合一定的安全管理措施，如严格人员的管理、采用相应的监视设备等。

2.试述容错系统的工作方式。

静态冗余。常用的有：三模冗余TMR（TripleModulerRedundancy）和多模冗余。

动态冗余。动态冗余的主要方式是多重模块待机储备，当系统检测到某工作模块出现错误时，就用一个备用的模块来顶替它并重新运行。

混合冗余。它兼有静态冗余和动态冗余的长处。

3.什么是磁盘阵列？简要阐述RAID系统阵列的优点。

用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安全性。

可以让很多磁盘驱动器同时传输数据；；有较为完备的相互校验/恢复的措施；提高了RAID系统的容错度，提高了系统的稳定冗余性。

4.试述OS的安全机制和安全策略。

硬件安全机制操作系统的安全标识与鉴别访问控制、最小特权管理可信通路和安全审计

及时打补丁，关闭无用服务，增强用户认证增强访问控制。

5.什么是可信计算机？

可信计算、可信用计算（TrustedComputing，TC）是一项由可信计算组织（TrustedComputing Group，前称为TCPA）推动和开发的技术。这个术语来源于可信系统（Trusted systems），并且有其特定含义。从技术角度来讲，“可信的”（Trusted）未必意味着对用户而言是“值得信赖的”（Trustworthy）。确切而言，它意味着可以充分相信其行为会更全面地遵循设计，而执行设计者和软件编写者所禁止的行为的概率很低。为保证较大系统的安全，而必须被信任的系统，是构成安全计算机信息系统的所有安全保护装置的组合体，以防止不可信主体的干扰和篡改。

6.UNIX操作系统的文件权限如何设置？

1 检查系统核心

2 挂载分区

3 设置ACL权限

Unix操作系统提供了两种方式，分别为相对模式与绝对模式。相对模式是在原有的权限基础上进行修改，chmod权限修改命令只修改命令行中指定的权限，而其他权限将保持不变。而绝对模式则是直接设置文件的最终权限。在绝对模式中，分别利用三个八进制数字表示三个权限。如4表示读权限、2表示写权限、1表示执行权限。如果系统工程师需要为文件设置不同的权限，只需要进行简单的加减计算即可。

7.解释安全标识、系统访问令牌、安全描述符、访问控制列表和访问控制项的概念。

安全标识符

一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的SID。Windows中的内部进程将引用帐户的 SID 而不是帐户的用户名或组名。

访问令牌

Windows操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。当用用户权利指派户登陆时，系统创建一个访问令牌，然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。有两种令牌：主令牌和模拟的令牌。主令牌是与进程相关的；模拟的令牌是与模拟令牌的线程相关的。

安全描述符

包含和被保护对象相关联的安全信息的数据结构。安全描述符包括谁拥有对象，以何种方式访问以及何种审查访问类型等信息。

访问控制列表

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

访问控制项

授予用户或组权限的对象自由访问控制列表(DACL)中的一个项目。ACE 也是对象的系统访问控制列表 (SACL) 中的项目，该列表指定用户或组要审核的安全事件。访问控制项也被称为 ACE。

8.详细叙述WindowsNT的安全模型。

BLP机密性安全模型、Biba模型和Clark-Wilson完整性模型、信息流模型、基于角色的访问控制模型、DTE安全模型和无干扰安全模型等

9.WindowsNT操作系统的访问控制机制包括哪些内容？

利用存放对等实体访问权的方法控制信息库利用鉴别信息（如口令、证书等）利用授权利用安全标签利用试图访问的时间、路由或持续时间

10.试述计算机病毒的发展阶段。

第一代病毒的产生年限可以认为在1986-1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽和滋生时期。第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989-1991年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。

第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒，是最近几年来出现的新型的计算机病毒。第四代病毒，90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。

11.计算机病毒有哪些主要特点？

传染性隐蔽性潜伏性破坏性非授权可执行性

12.计算机病毒的主要传播途径有哪些？

第一种途径：通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。

第二种途径：通过移动存储设备来传播这些设备包括软盘、磁带等。

第三种途径：通过计算机网络进行传播。

第四种途径：通过点对点通信系统和无线通道传播。

13.目前预防病毒工具中采用的技术主要有哪些？

磁盘引导去保护读写控制技术文件监控技术

1.将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒，如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是：对变种或未知病毒无效；系统开销大，常驻内存，每次扫描都要花费一定时间，已知病毒越多，扫描时间越长。

2.检测一些病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在病毒行为。

3.监测写盘操作，对引导区BR或主引导区MBR的写操作报警。

4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证。

5.智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与病毒程序行为，是否误报警取决于知识库选取的合理性。

6.智能监察型：设计病毒特征库（静态），病毒行为知识库（动态），受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机。通过调整推理机，能够对付新类型病毒，误报和漏报较少。这是未来预防病毒技术发展的方向。

14.目前广泛使用的计算机病毒检测技术有哪些？

1 计算机病毒入侵检测技术.计算机病毒检测技术作为计算机病毒检测的方法技术之一，它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术.它以探测与控制为技术本质，起着主动防御的作用，是计算机网络安全中较重要的内容.

2 智能引擎技术.智能引擎技术发展了特征代码扫描法的优点，同时也对其弊端进行了改进，对病毒的变形变种有着非常准确的智能识别功能，而且病毒扫描速度并不会随着病毒库的增大而减慢.

3 嵌入式杀毒技术.嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术，它利用操作系统或者应用程序提供的内部接口来实现.它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护.

4 未知病毒查杀技术.未知病毒查杀技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀.

15.如果你是某企业网络管理员，请你为某企业网络信息系统设计一个防毒方案。

1，部署域管理，这个部门全部给与最低用户权限，反正平时就是打打WORDEXCEL还有开一下公司OA网页、163邮局2，部署某个比较适用于集中管理的杀毒软件，要其他适合企业使用的，方便集中管理的杀毒软件

3，全部装个360安全卫士，禁用自动播放，所有U盘打上免疫补丁。

4，部署一台硬件病毒防火墙(没部署过这东西，具体可以怎么搞？是否弄台服务器装套软件?)

5，封网，只允许访问163邮局等几个网站

6，换成安全性高一些的操作系统

16.简述蠕虫的功能结构。

1、传播模块：负责蠕虫的传播。

2、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

3、目的功能模块：实现对计算机的控制、监视或破坏等功能。

传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。

17.如何防范网络病毒？

安装杀毒软件；关闭一些常用的木马病毒端口；详细设置防火墙

及时安装补丁；接受防毒知识。

十三. 系统与网络攻防技术简答题

1.什么是黑客？简要叙述黑客的攻击步骤。

指那些精于某方面技术的人。对于计算机而言，黑客就是精通网络、系统、外设以及软硬件技术的人。

1、隐藏IP

2、踩点扫描

3、获得系统或管理员权限

4、种植后门

5、在网络中隐身

2.扫描的原理是什么？防范的措施有哪些？

端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP 数据包来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点，而不会提供进入一个系统的详细步骤。

防范措施：1.安装防火墙，禁止访问不该访问的服务端口2.安装入侵检测系统，检测病毒蠕虫的攻击。

3.安装防病毒软件，阻挡病毒蠕虫的侵袭。

4.提高安全意识，经常给操作系统和应用软件打补丁。

3.IP欺骗的原理是什么？如何防范？

在网络中，计算机之间的交互是以在认证和信任关系为基础之上进行的认证是网络中各计算机相互之间识别的过程，经过相互认证，两台建立连接的计算机之间就会建立信任关系当两台计算机之间形成了信任关系，

第三台计算机就能冒充建立了信任关系的两台计算机中的之一对另一台进行欺骗。

防范：1.禁止建立基于地址的信任关系，不采用使用源地计算机安全技术址认证的服务系统，而采用基于密码的认证机制欺骗之所以能实现因为目标机有信任的主机可供攻击者冒充，因此，只要主机没有信任对象，就可彻底杜绝欺骗

2.在路由器上进行过滤处理但是，这种过滤措施只能减少欺骗发生的可能性，并不能从根本上杜绝其发生

可以在路由器上通过对数据包的监控来检测欺骗，如果发现数据包的源和目的地址都是本地域的地址，就可以肯定有人试图要攻击系统因为同一个域中的通信是不需要经过路由器的

3.数据加密也是阻止欺骗的一个有效方法，即在通信时要求加密传输和验证

4.采用安全协议也是目前防范欺骗的主要方法之一。

4.举例说明缓冲区溢出的原理并给出防范措施。

原理：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

防范：1、关闭端口或服务。管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行

2、安装软件厂商的补丁,漏洞一公布，大的厂商就会及时提供补丁

3、在防火墙上过滤特殊的流量,无法阻止内部人员的溢出攻击

4、自己检查关键的服务程序，看看是否有可怕的漏洞

5、以所需要的最小权限运行软件

5.常见的DoS有哪些？如何防范？

种类：( 1) 利用协议中的漏洞一些传输协议在其制定过程中可能存在着一些漏洞。攻击者可以利用这些漏洞进行攻击致使接受数据端的系统当机、挂起或崩溃。

( 2) 利用软件实现的缺陷软件实现的缺陷是软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。

(3) 发送大量无用突发数据攻击耗尽资源这种攻击方式凭借手中丰富的资源,发送大量的垃圾数据侵占完资源, 导致DoS。

(4) 欺骗型攻击这类攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的。

防范：

( 1) 时刻关注安全信息,实时关注所有安全问题的发展。

( 2) 优化对外开放访问的主机,及时更新系统补丁,对主机进行正确设置。如关闭不必要的服务等。

( 3) 安装防火墙对出入数据包过滤, 对防火墙进行正确设置,启用防火墙的防DoS/DDoS属性。

( 4) 优化路由和网络结构并对路由器进行正确设置。如为防止SYNFlood攻击设置TCP侦听功能等。

(5)与ISP合作协助:确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。

( 6)系统管理员应经常检查漏洞数据库以确保服务器版本不受影响。

6.黑客掩盖踪迹和隐藏的手段有哪些？

1.编辑系统日志

许多攻击者会在本地系统日志中留下痕迹。例如某个对OpenSSH实施蛮力口令攻击的用户会产生日志记录。Syslog记录通常含有攻击者的身份或位置的信息。在入侵之后,攻击者很可能会抹掉记录其踪迹的日志。Syslog文件一般保存在root::root所属的/var/log/目录下。其文件许可通常为644,即所有人均可读,但是只有root可写。

已经攻破root的攻击者能够抹掉与其相关的日志信息。

2.抹去日志记录文件，大部分登录软件都会在名为/var/log/utmp或/var/log/wtmp的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/log/utmp或/var/log/wtmp文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。

7.试述木马程序工作的原理及防范措施

原理：一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

防范：木马查杀（查杀软件很多，有些病毒软件都能杀木马）防火墙（分硬件和软件）家里面的就用软件好了，如果是公司或其他地方就硬件和软件一起用。基本能防御大部分木马，但是现在的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马，病毒。就不容易进入你的电脑了。

8.网络攻击技术和防御技术分别包括哪些内容？

网络攻击技术：口令攻击缓冲区溢出攻击恶意代码攻击Web应用程序攻击拒绝服务攻击

防御技术：防火墙入侵检测网络访问控制机制蜜罐技术内网安全管理

十四. 入侵检测系统简答题

1.入侵检测系统是由哪些部分组成？各自的作用是什么？

组成：入侵检测系统分为四个组件：事件产生器（Event generators）；事件分析器（Event analyzers）；响应单元（Response units ）；事件数据库（Event databases ）。

事件产生器：负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。

事件分析器：接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断结果变为警告信息。

事件数据库：存放各种中间和最终入侵信息的地方，并从事件产生器和事件分析器接收需要保存的事件，一般会将数据长时间保存。

事件响应器：是根据入侵检测的结果，对入侵的行为作出适当的反映，可选的响应措施包括主动响应和被动响应。

2、根据数据的来源不同，入侵检测系统可以分为哪些种类，各有什么优缺点？

入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。

网络ids的优点：(1) 实时分析网络数据，检测网络系统的非法行为；(2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。

网络ids的缺点：(1) 交换环境和高速环境需附加条件(2) 不能处理加密数据(3) 资源及处理能力局限(4) 系统相关的脆弱性

主机ids优势：(1) 精确地判断攻击行为是否成功。(2) 监控主机上特定用户活动、系统运行情况(3) HIDS 能够检测到NIDS无法检测的攻击(4) HIDS适用加密的和交换的环境。(5) 不需要额外的硬件设备。

主机ids缺点：(1) HIDS对被保护主机的影响。(2) HIDS的安全性受到宿主操作系统的限制。(3) HIDS的数据源受到审计系统限制。(4) 被木马化的系统内核能够骗过HIDS。(5) 维护/升级不方便。

3、根据分析方法的不同，入侵检测系统可以分为哪些种类，各有什么优缺点？

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

4、简述CIDF(公共入侵检测框架)模型的组成及结构。

组成：事件发生期（E-box）事件分析器（A-box）事件数据库（D-box）反应单元（R-box）

结构：无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于

引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能

控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。

5.简述入侵检测IPS与IDS的区别，在网络安全综合方案中各发挥什么样的作用？

IPS：实时发现、阻断攻击、防止未知攻击以及防御主动性；准确率高。

IDS作用：监控网络和系统；发现入侵企图或异常现象；实时报警；主动响应；审计跟踪

IPS与IDS都基于检测技术，最初人们认为IPS将代替IDS，但是多年的发展后并没有代替IDS，而是而这共存发展，各有优势。这主要是因为，二者存在着不同作用1、使用方式不同2、设计思路不同3、发展目标不同.因此，防护与监控本是安全建设中相辅相成的两个方面，只有IDS并不能很好地实时防御入侵，但只有IPS就不能全面地了解入侵防御改善的状况。

十五.网络安全新技术及应用简答题

1.什么是可信计算？简述可信计算的基本属性。

可信计算（Trusted Computing）是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。

属性：保护能力（Protected Capabilities）证明（Attestation）完整性的度量存储和报告（Integrity

Measurement, Storage and Reporting）。

2.什么是可信网络连接？简述其主要功能。

TNC是对可信平台应用的扩展，也是可信计算机制与网络接入控制机制的结合．它是指在终端接入网络之前，

对用户的身份进行认证．如果认证通过，对终端平台的身份进行认证，如果认证通过，对终端的平台可信状态进行度量，如果度量结果满足网络接入的安全策略，则允许终端接入网络，否则将终端连接到指定的隔离区域，对其进行安全性修补和升级．

功能：TNC旨在将终端的可信状态延续到网络中，使信任链从终端扩展到网络．TNC是网络接入控制的一种实现方式，是一种主动性的防御方法，能够将大部分的潜在攻击在发生之前进行抑制TNC是从技术层面上将可信计算机制延伸到网络的一种尝试．

3.简述蜜网的概念及其特点。

蜜网是在蜜罐技术上逐渐发展起来的一个新的概念，又可成为诱捕网络。蜜罐技术实质上还是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。

4.简述蜜网的核心机制。

蜜网有着三大核心需求：即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。

十六、网络安全方案设计

1.设计网络安全方案需要注意哪些地方？

最重要知道网络目前面临的最大的风险是什么？

一般可以借助第三方评测公司得出自己公司网络的风险。

得出风险之后提出整改建议，通过项目实施来解决风险。

如：评估发现，网络结构不合理，生产与办公没有隔离。相应决绝方案：如：防火墙还是网闸来解决。

最后要注意一点技术只是信息安全一小部分，最重要是注重信息安全管理。

2.如何评价一份网络安全的质量？

一份网络安全方案需要从以下8个方面来把握。

1、体现唯一性，由于安全的复杂性和特殊性，唯一性是评估安全方案最重要的一个标准。实际中，每一个特定网络都是唯一的，需要根据实际情况来处理。

2、对安全技术和安全风险有一个综合把握和理解，包括现在和将来可能出现的所有情况。

3、对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全风险，要有一个合适、中肯的评估，不能夸大，也不能缩小。

4、对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险和威胁的能力，增强系统本身的免疫力。

5、方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术，都将会体现在服务中，服务来保证质量、服务来提高质量。

6、在设计方案的时候，要明白网络系统安全是一个动态的、整体的、专业的工程，不能一步到位解决用户所有的问题。

7、方案出来后，要不断的和用户进行沟通，能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。

8、方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据，也要有实际基础。

3.网络安全方案框架包含哪些内容？编写的时候需要注意什么？

一份安全解决方案的框架涉及6大方面，可以根据用户的实际需求取舍其中的某些方面。

1、概要安全风险分析

2、实际安全风险分析

3、网络系统的安全原则

4、安全产品

5、风险评估

6、安全服务

对于一名从事网络安全的人来说，网络必须有一个整体、动态的安全概念。总的来说，就是要在整个项目中，有一种总体把握的能力，不能只关注自己熟悉的某一领域，而对其他领域毫不关心，甚至不理解，这样写不出一份好的安全方案。因为写出来的方案，就是要针对用户所遇到的问题，运用产品和技术解决问题。设计人员只有对安全技术了解的很深，对产品线了解的很深，写出来的方案才能接近用户的要求。

网络安全技术第1章网络安全概述习题及答案

第1章网络安全概述练习题 1.选择题（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。 A．机密性B．完整性 C．可用性D．可控性（2）Alice向Bob发送数字签名的消息M，则不正确的说法是( A ) 。 A．Alice可以保证Bob收到消息M B．Alice不能否认发送消息M C．Bob不能编造或改变消息M D．Bob可以验证消息M确实来源于Alice （3）入侵检测系统(IDS，Intrusion Detection System)是对( D )的合理补充，帮助系统对付网络攻击。 A．交换机B．路由器C．服务器D．防火墙（4）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高局域网内安全性的措施是( D )。 A．使用防病毒软件B．使用日志审计系统 C．使用入侵检测系统D．使用防火墙防止内部攻击 2. 填空题（1）网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。（2）网络安全是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。（3）网络钓鱼是近年来兴起的另一种新型网络攻击手段，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户访问。（4）防火墙是网络的第一道防线，它是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的入侵，（5）入侵检测是网络的第二道防线，入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

网络安全技术期末试卷B

网络安全技术期末试卷 B 集团标准化小组：[VVOPPT-JOPP28-JPPTL98-LOPPNN]

泉州师院2017——2018学年度第一学期应用科技学院 16级计算机科学技术专业《网络安全技术》期末试卷B 一、简答题（每小题7分，共70分） 1、什么是传统加密，什么是公钥加密，并分别说出各两种典型的加密算法？ 2、什么是泛洪攻击，如何防范泛洪攻击？ 3、画出利用公钥加密方法进行数据加密的完整流程图。 4、数字签名有何作用，如何实现数字签名？ 5、画图说明PGP如何同时实现对数据的保密与认证？ 6、什么是防火墙，其主要功能有哪些？ 7、使用IPSec的优点是什么？ 8、蠕虫用什么手段访问远程系统从而得以传播自己？ 9、什么是云计算，有哪三种云服务模型？ 10、什么是DDOS攻击？二、计算题（15分）请进行RSA算法的加密和解密。要求如下：（1）选取两个素数分别为p=7，q=11，e=13。（2）先计算求出公开密钥和秘密密钥（3）对明文P＝55进行加密，计算密文C,要求书写加密的过程及其步骤。（4）对密文C=10进行解密，计算明文P,要求书写解密的过程及其步骤。三、某投资人士用Modem拨号上网，通过金融机构的网上银行系统，进行证券、基金和理财产品的网上交易，并需要用电子邮件与朋友交流投资策略。该用户面临的安全威胁主要有： (1)计算机硬件设备的安全； (2)计算机病毒； (3)网络蠕虫； (4)恶意攻击； (5)木马程序； (6)网站恶意代码； (7)操作系统和应用软件漏洞； (8)电子邮件安全。试据此给出该用户的网络安全解决方案来防范上述安全威胁。（15分）

浙江省信息网络安全技术人员继续教育考试试卷第2期

浙江省信息网络安全技术人员继续教育考试试卷农行班第2期计20分） 1．计算机场地可以选择在化工厂生产车间附近。（） 2. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。（） 3. 每个UNIX/Linux系统中都只有一个特权用户，就是root帐号。（） 4. 数据库系统是一种封闭的系统，其中的数据无法由多个用户共享。（） 5. 容灾项目的实施过程是周而复始的。（） 6. 软件防火墙就是指个人防火墙。（） 7. 由于传输的内容不同，电力线可以与网络线同槽铺设。（） 8. 公钥密码体制有两种基本的模型：一种是加密模型，另一种是认证模型。（） 9. 一个设置了粘住位的目录中的文件只有在用户拥有目录的写许可，并且用户是文件和目录的所有者的情况下才能被删除。（） 10. 蜜罐技术是一种被动响应措施。（） 11.增量备份是备份从上次进行完全备份后更改的全部数据文件（） 12. PKI是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设施。（） 13. 事务具有原子性，其中包括的诸多操作要么全做，要么全不做。（） 14. 入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。（） 15. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记，以防更换和方便查找赃物。（） 16. 对网页请求参数进行验证，可以防止SQL注入攻击。（） 17. 基于主机的漏洞扫描不需要有主机的管理员权限。（） 18. 由于网络钓鱼通常利用垃圾邮件进行传播，因此，各种反垃圾邮件的技术也都可以用来反网络钓鱼。（） 19. IATF中的区域边界，是指在同一物理区域，通过局域网互连，采用单一安全策略的本地计算设备的集合。（） 20. 灾难恢复和容灾具有不同的含义（）二、单选题（选出正确的一个答案，共40题，每题1分，计40分） 1．下列技术不能使网页被篡改后能够自动恢复的是（） A 限制管理员的权限 B 轮询检测 C 事件触发技术 D 核心内嵌技术

网络安全技术测试题

网络安全测试题 1．网络安全的含义及特征是什么？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。 2．如何理解协议安全的脆弱性？当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。众所周知的是Robert Morries在V AX机上用C编写的一个GUESS软件，它根据对用户名的搜索猜测机器密码口令的程序自在1988年11月开始在网络上传播以后，几乎每年都给Internet造成上亿美元的损失。黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。 3．计算机系统安全技术标准有哪些？计算机系统安全技术标准: ●加密机制（enciphrement mechanisms） ●数字签名机制（digital signature mechanisms） ●访问控制机制（access control mechanisms） ●数据完整性机制（data integrity mechanisms） ●鉴别交换机制（authentication mechanisms） ●通信业务填充机制（traffic padding mechanisms） ●路由控制机制（routing control mechanisms） ●公证机制（notarization mechanisms） 4．在网络上使用选择性访问控制应考虑哪几点? （1）某人可以访问什么程序和服务？（2）某人可以访问什么文件？（3）谁可以创建、读或删除某个特定的文件？（4）谁是管理员或“超级用户”？（5）谁可以创建、删除和管理用户？（6）某人属于什么组，以及相关的权利是什么？（7）当使用某个文件或目录时，用户有哪些权利？ 5．引导型病毒的处理与引导型病毒有关的扇区大概有下面三个部分。（1）硬盘的物理第一扇区，即0柱面、0磁头、1扇区是开机之后存放的数据和程序是被最先访问和执行的。这个扇区成为“硬盘主引导扇区”。在该扇区的前半部分，称为“主引导记录”（Master Boot Record），简称MBR。

网络课网络安全技术期末复习题

网络安全技术复习题

第一部分、判断题 1.“流氓软件”通俗的讲是指那些在人们使用电脑上网时，产生不受人控制，不断跳出的与用户打开的网页不相干的奇怪画面，或者是做各种广告的软件。（√） 2.蠕虫是一种能传播和拷贝其自身或某部分到其他计算机系统中，且能保住其原有功能，不需要宿主的病毒程序。（√） 3.特洛伊木马的明显特征是隐蔽性与非授权性。（√） 4.因某个事件的发生而诱使病毒实施感染或进行攻击的特性称为可触发性。（√） 5.一般认为蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一切共性，如传播性、隐蔽性、破坏性等。（√） 6.单机病毒防御是传统防御模式，是在不同的操作系统上（UNIX/Linux、Windows/ 2000/ 2003/ 2007）安装和配置相适应的操作系统安全防范软件。（√） 7.网络病毒防护当然可以采用网络版防病毒软件。如瑞星杀毒软件网络版，可实现主机的远程控制与管理，全网查杀病毒，防毒策略的定制与分发，网络和系统的漏洞检测与补丁分发，灵活的客户端管理机制，全面的日志查询与统计功能等。（√）

8.在关键节点部署防病毒网关，避免内部信息被病毒、木马、间谍软件等泄露，避免内部的威胁扩散到外部网络，实现网络的双向安全防护。（√） 9.入侵检测是检测网络的安全漏洞、面临的安全威胁与安全隐患，并能实时分析和预警。（√） 10.简单的放置一个嗅探器并将其随便放置将不会起到什么作用。如果将嗅探器放置于被攻击机器、网关或网络附近，可以捕获到很多口令。（√） 11.防火墙应用层的访问控制功能是防火墙生产厂家的实力比拼点。（√） 12.入侵检测系统(IDS)是通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警，供网络管理者提供判断处理的依据的边界安全设备。（√） 13.IP欺骗的动机是隐藏自己的IP地址，防止被跟踪，以IP地址作为授权依据，穿越防火墙。（√） 14.系统的弱点会对系统的完整性、系统的可用性、系统的机密性、系统的可控性与系统的可靠性造成危害。（√） 15.直接利用ping工具发送超大的ping数据包，这种攻击称为Ping of Death。（√） 16.IP劫持不同于用网络侦听来窃取密码的被动攻击方式，而是一种主动攻击方式。（√）

网络安全技术模拟试题

网络安全技术模拟试题（二）一、选择填空（下列每题的选项中，有一项是最符合题意的，请将正确答案的字母填在括号中。每小题1分，共20分） 1. 网络安全的基本属性是（）。 A. 机密性 B. 可用性 C. 完整性 D. 上面3项都是 2. 网络安全最终是一个折中的方案，即安全强度和安全操作代价的折中，除增加安全设施投资外，还应考虑（）。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3. 伪造攻击是非授权者在系统中插入伪造的信息，这是一种针对（）的攻击。 A. 真实性 B. 完整性 C.可用性 D.可控性 4. 机密性服务提供信息的保密，机密性服务包括（）。 A. 文件机密性 B. 信息传输机密性 C. 通信流的机密性 D. 以上3项都是 5. 完整性服务提供信息的（）。 A. 机密性 B. 可用性 C.正确性 D. 可审性 6. Kerberos的设计目标不包括（）。 A. 认证 B. 授权 C. 记账 D. 加密 7. ISO 7498-2从体系结构的观点描述了5种可选的安全服务，以下不属于这5种安全服务的是( )。 A. 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性 8. ISO 7498-2描述了8种特定的安全机制，这8种特定的安全机制是为5类特定的安全服务设置的，以下不属于这8种安全机制的是( )。 A. 安全标记机制 B. 加密机制 C. 数字签名机制 D. 访问控制机制 9. 用于实现身份鉴别的安全机制是( )。 A. 加密机制和数字签名机制 B. 加密机制和访问控制机制 C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制 10. GRE协议（）。 A. 既封装，又加密 B. 只封装，不加密 C. 不封装，只加密 D. 不封装，不加密

计算机网络安全技术期末复习试题

计算机网络安全技术期末复习试题一、复习范围（一）单项选择题范围：教材每章的课后习题，另附件给出一些题（二）计算机安全应用题：见附件（三）简答题范围：平时作业附件：一、单项选择题 1、在以下人为的恶意攻击行为中，属于主动攻击的是（A ） A、数据篡改及破坏 B、数据窃听 C、数据流分析 D、非法访问 2、数据完整性指的是（C ） A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B、提供连接实体身份的鉴别 C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D、确保数据数据是由合法实体发出的 3、以下算法中属于非对称算法的是（B ） A、DESB RSA算法 C、IDEA D、三重DES 4、在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（B ） A、非对称算法的公钥 B、对称算法的密钥 C、非对称算法的私钥 D、CA中心的公钥 5、以下不属于代理服务技术优点的是（D ）

A、可以实现身份认证 B、内部地址的屏蔽和转换功能 C、可以实现访问控制 D、可以防范数据驱动侵袭 6、包过滤技术与代理服务技术相比较（B ） A、包过滤技术安全性较弱、但会对网络性能产生明显影响 B、包过滤技术对应用和用户是绝对透明的 C、代理服务技术安全性较高、但不会对网络性能产生明显影响 D、代理服务技术安全性高，对应用和用户透明度也很高 7、在建立堡垒主机时（A ） A、在堡垒主机上应设置尽可能少的网络服务 B、在堡垒主机上应设置尽可能多的网络服务 C、对必须设置的服务给与尽可能高的权限 D、不论发生任何入侵情况，内部网始终信任堡垒主机 8、 "DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？"（ B ）A56位B64位C112位D128位 9、 Kerberos协议是用来作为：（ C ） A、传送数据的方法 B、加密数据的方法 C、身份鉴别的方法 D、访问控制的方法 10、黑客利用IP地址进行攻击的方法有：（ A ） A、IP欺骗 B、解密 C、窃取口令 D、发送病毒1 1、防止用户被冒名所欺骗的方法是：（ A ）

网络安全技术复习题(2013.12)

《网络安全技术》第一部分、判断题 1.“流氓软件” 通俗的讲是指那些在人们使用电脑上网时，产生不受人控制，不断跳出的与用户打开的网页不相干的奇怪画面，或者是做各种广告的软件。（√） 2.蠕虫是一种能传播和拷贝其自身或某部分到其他计算机系统中，且能保住其原有功能，不需要宿主的病毒程序。（√） 3.特洛伊木马的明显特征是隐蔽性与非授权性。（√） 4.因某个事件的发生而诱使病毒实施感染或进行攻击的特性称为可触发性。（√） 5.一般认为蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一切共性，如传播性、隐蔽性、破坏性等。（√） 6.单机病毒防御是传统防御模式，是在不同的操作系统上（UNIX/Linux、 Windows/ 2000/ 2003/ 2007）安装和配置相适应的操作系统安全防范软件。（√） 7.网络病毒防护当然可以采用网络版防病毒软件。如瑞星杀毒软件网络版，可实现主机的远程控制与管理，全网查杀病毒，防毒策略的定制与分发，网络和系统的漏洞检测与补丁分发，灵活的客户端管理机制，全面的日志查询与统计功能等。（√） 8.在关键节点部署防病毒网关，避免内部信息被病毒、木马、间谍软件等泄露，避免内部的威胁扩散到外部网络，实现网络的双向安全防护。（√） 9.入侵检测是检测网络的安全漏洞、面临的安全威胁与安全隐患，并能实时分析和预警。（√） 10.简单的放置一个嗅探器并将其随便放置将不会起到什么作用。如果将嗅探器放置于被攻击机器、网关或网络附近，可以捕获到很多口令。（√） 11.防火墙应用层的访问控制功能是防火墙生产厂家的实力比拼点。（√） 12.入侵检测系统 (IDS)是通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警，供网络管理者提供判断处理的依据的边界安全设备。（√） 13.IP 欺骗的动机是隐藏自己的IP 地址，防止被跟踪，以IP 地址作为授权依据，穿越防火墙。（√） 14.系统的弱点会对系统的完整性、系统的可用性、系统的机密性、系统的可控性与系统的可靠性造成危害。（√） 15.直接利用 ping 工具发送超大的ping 数据包，这种攻击称为Ping of Death。（√） 16.IP 劫持不同于用网络侦听来窃取密码的被动攻击方式，而是一种主动攻击方式。（√） 17.“木马”是一种计算机病毒。（× ） 18.在完成主机存活性判断之后，就应该去判定主机开放信道的状态，端口就是在主机上面开放的信道。（√） 19.防火墙不能防止来自网络内部的攻击。（√） 20.由于防火墙性能上的限制，它通常不具备实时监控入侵的能力。（√） 21.IDS 具备实时监控入侵的能力。（√） 22.防火墙不能防止利用服务器系统和网络协议漏洞所进行的攻击。（√） 23.防火墙不能防止内部的泄密行为。（√）

计算机网络安全技术期末复习试题

计算机网络安全技术期末复习资料一、题型设计试卷计划由四种题型组成：单项选择题（分数：2*20，共40分）、填空题（分数1*10，共10分）、简答题（分数6*5，共30分）、综合应用题（2题，共20分）二、复习范围（一）单项选择题范围：教材每章的课后习题，另附件给出60题（二）填空题范围：教材每章后的课后习题（三）简答题范围：见附件给出题目（四）综合应用题：附件：单项选择题 1.在以下人为的恶意攻击行为中，属于主动攻击的是（ A ） 2.A、数据篡改及破坏 3.B、数据窃听 4.C、数据流分析 5.D、非法访问 6.数据完整性指的是（ C ） 7.A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密8.B、提供连接实体身份的鉴别 9.C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 10.D、确保数据数据是由合法实体发出的 11.以下算法中属于非对称算法的是（ B ） 12.A、DES 13.B RSA算法 14.C、IDEA 15.D、三重DES 16.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ） 17.A、非对称算法的公钥 18.B、对称算法的密钥 19.C、非对称算法的私钥 20.D、CA中心的公钥 21.以下不属于代理服务技术优点的是（ D ） 22.A、可以实现身份认证 23.B、内部地址的屏蔽和转换功能 24.C、可以实现访问控制

25.D、可以防范数据驱动侵袭 26.包过滤技术与代理服务技术相比较（ B ） 27.A、包过滤技术安全性较弱、但会对网络性能产生明显影响 28.B、包过滤技术对应用和用户是绝对透明的 29.C、代理服务技术安全性较高、但不会对网络性能产生明显影响 30.D、代理服务技术安全性高，对应用和用户透明度也很高 31.在建立堡垒主机时（ A ） 32.A、在堡垒主机上应设置尽可能少的网络服务 33.B、在堡垒主机上应设置尽可能多的网络服务 34.C、对必须设置的服务给与尽可能高的权限 35.D、不论发生任何入侵情况，内部网始终信任堡垒主机 36."DES是一种数据分组的加密算法, DES 它将数据分成长度为多少位的数据块, 其中一部分用作奇偶校验,剩余部分作为密码的长度" （ B ） A 56位 B 64位 C 112位 D 128位 9．Kerberos协议是用来作为：（ C ） A. 传送数据的方法 B. 加密数据的方法 C.身份鉴别的方法 D.访问控制的方法 10．黑客利用IP地址进行攻击的方法有：（ A ） A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 11．防止用户被冒名所欺骗的方法是：（ A ） A. 对信息源发方进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 12．屏蔽路由器型防火墙采用的技术

网络安全技术测试题

网络安全技术测试题学号______________ 姓名____________ 联系方式___________________ 1.什么是网络安全？其特征有哪些？(10’)网络安全简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要，包括信息和物理设备（例如计算机本身）。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。当涉及到公司安全的时候什么是适宜的，在公司与公司之间是不同的，但是任何一个具有网络的公司都必需具有一个解决适宜性、从属性和物理安全问题的安全政策。网络安全应具有以下四个方面的特征：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。 2. TCP协议存在哪些典型的安全漏洞？如何应对这些漏洞？(10’)造成操作系统漏洞的一个重要原因，就是协议本身的缺陷给系统带来的攻击点。网络协议是计算机之间为了互联共同遵守的规则。目前的互联网络所采用的主流协议TCP/IP，由于在其设计初期人们过分强调其开发性和便利性，没有仔细考虑其安全性，因此很多的网络协议都存在严重的安全漏洞，给Internet留下了许多安全隐患。另外，有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。本文就TCP/IP协议自身所存在的安全问题和协议守护进程进行了详细讨论，指出针对这些安全隐患的攻击。 TCP协议的安全问题 TCP使用三次握手机制来建立一条连接，握手的第一个报文为SYN包；第二个报文为SYN/ACK 包，表明它应答第一个SYN包同时继续握手的过程；第三个报文仅仅是一个应答，表示为ACK包。若A放为连接方，B为响应方，其间可能的威胁有： 1. 攻击者监听B方发出的SYN/ACK报文。 2. 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。 3. B方响应新连接，并发送连接响应报文SYN/ACK。

网络安全试卷及答案

一、选择题（38分，每小题2分） 1.以下关于对称加密的说法不正确的是（） A、在对称加密中，只有一个密钥用来加密和解密信息 B、在对称加密中，用到了二个密钥来加密和解密信息，分别是公共密钥和私用密钥 C、对称加密是一个简单的过程，双方都必需完全相信对方，并持有这个密钥的备份 D、对称加密的速度非常快，允许你加密大量的信息而只需要几秒钟 2.被动攻击主要是监视公共媒体传输的信息，下列属于典型被动攻击的是( ) A、解密通信数据 B、会话拦截 C、系统干涉 D、修改数据 3.针对窃听攻击采取的安全服务是( ) A.鉴别服务 B.数据机密性服务 C.数据完整性服务 D.抗抵赖服务 4.以下属于对称加密算法的是 A、DES B、MD5 C、HASH D、RSA 5.在保证密码安全中，我们应采取的措施中不正确的是 A、不用生日做密码 B、不要使用少于8位的密码 C、密码不能以任何明文形式存在任何电子介质中 D、用户可以不断地尝试密码输入，直到正确为止 6.当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。 A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 7.入侵检测的目的是( ) A、实现内外网隔离与访问控制 B、提供实时的检测及采取相应的防护手段，阻止黑客的入侵 C、记录用户使用计算机网络系统进行所有活动的过程 D、预防、检测和消除病毒 8.网络的可用性是指（）。 A．网络通信能力的大小B．用户用于网络维修的时间 C．网络的可靠性D．用户可利用网络时间的百分比 9.在MAC层采用了（）协议。 A、CSMA/CD B、CSMA/CA C、DQDB D、令牌传递 10.小李在使用Nmap对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么 A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器

计算机网络安全技术试题全(附答案解析)

计算机科学与技术专业《计算机网络安全》试卷一、单项选择题（每小题 1分，共30 分）在下列每小题的四个备选答案中选出一个正确的答案，并将其字母标号填入题干的括号内。 1. 非法接收者在截获密文后试图从中分析出明文的过程称为（ A ） A. 破译 B. 解密 C. 加密 D. 攻击 2. 以下有关软件加密和硬件加密的比较，不正确的是（ B ） A. 硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3. 下面有关3DES的数学描述，正确的是（ B ） A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1) 4. PKI无法实现（ D ） A. 身份认证 B. 数据的完整性 C. 数据的机密性 D. 权限分配 5. CA的主要功能为（ D ） A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书 6. 数字证书不包含（ B ） A. 颁发机构的名称 B. 证书持有者的私有密钥信息 C. 证书的有效期 D. CA签发证书时所使用的签名算法 7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明（ A ） A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界 8. 以下认证方式中，最为安全的是（ D ） A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹 9. 将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为（ D ） A. 社会工程学 B. 搭线窃听 C. 窥探 D. 垃圾搜索 10. ARP欺骗的实质是（ A ） A. 提供虚拟的MAC与IP地址的组合 B. 让其他计算机知道自己的存在 C. 窃取用户在网络中传输的数据 D. 扰乱网络的正常运行 11. TCP SYN泛洪攻击的原理是利用了（ A ） A. TCP三次握手过程 B. TCP面向流的工作机制 C. TCP数据传输中的窗口技术 D. TCP连接终止时的FIN报文 12. DNSSEC中并未采用（C ）

(精选)网络安全期末考试试题及答案

1.分组密码体制应遵循什么原则，以DES密码体制为例详细说明。混乱原则和扩散原则混乱原则：为了避免密码分析者利用明文和密文之间的依赖关系进行破译，密码的设计因该保证这种依赖关系足够复杂。扩散原则：为避免密码分析者对密钥逐段破译，密码的设计因该保证密钥的每位数字能够影响密文中的多位数字密钥置换算法的构造准则设计目标：子密钥的统计独立性和灵活性实现简单速度不存在简单关系：( 给定两个有某种关系的种子密钥,能预测它们轮子密钥之间的关系) 种子密钥的所有比特对每个子密钥比特的影响大致相同从一些子密钥比特获得其他的子密钥比特在计算上是难的没有弱密钥 (1)分组长度足够长，防止明文穷举攻击，例如DES，分组块大小为64比特， (2)密钥量足够大，金额能消除弱密钥的使用，防止密钥穷举攻击，但是由于对称密码体制存在密钥管理问题，密钥也不能过大。 (3)密钥变化够复杂 (4)加密解密运算简单，易于软硬件高速实现 (5)数据扩展足够小，一般无数据扩展。差错传播尽可能小，加密或者解密某明文或密文分组出错，对后续密文解密影响尽可能 2.利用公钥密码算法实现认证时，一般是（1）C=EKRA（M），发送方A用私钥加密后发送给B；（2）M=DKUA （C）：接收方B用A方的公钥进行解密。请问，在这个过程中，能否保证消息的保密性？若不能，请你给出解决方案。答：不能，在这个过程中，采用的是单次加密，而且接收方采用的是公钥解密，公钥是公开的，只要有人截获了密文，他就可以据此很容易地破译密文，故不能保证消息的保密性。解决方案：可以采用两次运用公钥密码的方式，即：(1)C=EKUA(EKRA(M)) (2)M=DKUA(DKRA(C)) 这样，发送方A首先用其私钥对消息进行加密，得到数字签名，然后再用A方的公钥加密，所得密文只有被拥有私钥的接收方解密，这样就可以既保证提供认证，又保证消息的保密性。 3.Ipsec有两种工作模式。请划出数据包的封装模式并加以说明，并指出各自的优缺点。 IPSec协议（包括 AH和ESP）既可用来保护一个完整的IP载荷，亦可用来保护某个IP载荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的，如图所示。其中，传送模式用来保护上层协议；而通道模式用来保护整个IP数据报。在传送模式中，IPSec先对上层协议进行封装，增加一 IPSec头，对上层协议的数据进行保护，然后才由IP协议对封装的数据进行处理，增加IP头；

(完整word版)计算机网络安全技术期末复习试题

计算机信息安全期末复习资料、复习范围一）单项选择题范围：教材每章的课后习题，另附件给出一些题二）计算机安全应用题：见附件三）简答题范围：平时作业附件：一、单项选择题 1. 在以下人为的恶意攻击行为中，属于主动攻击的是（A ） A、数据篡改及破坏 B数据窃听 C数据流分析 D非法访问 2. 数据完整性指的是（C ） A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B提供连接实体身份的鉴别 C防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D确保数据数据是由合法实体发出的 3. 以下算法中属于非对称算法的是（B ） A、D ES B RSA算法 C、IDEA D三重DES 4. 在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ） A、非对称算法的公钥 B对称算法的密钥 C非对称算法的私钥 D CA中心的公钥 5. 以下不属于代理服务技术优点的是（D ） A、可以实现身份认证 B内部地址的屏蔽和转换功能 C可以实现访问控制 D可以防范数据驱动侵袭 6. 包过滤技术与代理服务技术相比较（B ） A、包过滤技术安全性较弱、但会对网络性能产生明显影响 B包过滤技术对应用和用户是绝对透明的

C代理服务技术安全性较高、但不会对网络性能产生明显影响 D代理服务技术安全性高，对应用和用户透明度也很高 7. 在建立堡垒主机时（A ） A、在堡垒主机上应设置尽可能少的网络服务 B在堡垒主机上应设置尽可能多的网络服务 C对必须设置的服务给与尽可能高的权限 D不论发生任何入侵情况，内部网始终信任堡垒主机 8. "DES是一种数据分组的加密算法，DES它将数据分成长度为多少位的数据块分用作奇偶校验，剩余部分作为密码的长度？"（ B ） A56 位 B64 位 C112位 D128 位 9. Kerberos 协议是用来作为：（C ） A.传送数据的方法 B.加密数据的方法 C.身份鉴别的方法 D.访问控制的方法 10 . 黑客利用IP 地址进行攻击的方法有：（ A ） A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 11 . 防止用户被冒名所欺骗的方法是：（A） A.对信息源发方进行身份验证 B.进行数据加密 C.对访问网络的流量进行过滤和保护 D.采用防火墙 12 . 屏蔽路由器型防火墙采用的技术是基于： B ） A.数据包过滤技术 B.应用网关技术 C. 代理服务技术 D. 三种技术的结合 13 . 以下关于防火墙的设计原则说法正确的是：（ A ） A. 保持设计的简单性 B．不单单要提供防火墙的功能，还要尽量使用较大的组件C．保留尽可能多的服务和守护进程，从而能提供更多的网络服务D．一套防火墙就可以保护全部的网络 14. SSL指的是：（B ） A．加密认证协议 B. 安全套接层协议 C. 授权认证协议，其中一部

《计算机网络安全技术》试题

《计算机网络安全技术》期中考试试卷一、填空题（每空1分，共15分） 1、网络安全的结构层次包括：物理安全、和。 2、，是计算机网络面临的最大威胁。 3、网络安全需求分析的基本原则是：、依据标准、分层分析、结合实际。 4、信息网络安全风险分析要本着、多角度的原则。 5、UNIX 和Windows NT 操作系统能够达到安全级别。 6、一般情况下，机密性机构的可见性要比公益性机构的可见性（填高或低）。 7、从特征上看，网络安全包括、、可用性、可控性、可审查性等五个基本要素。 8、域名系统DNS 用于主机名与之间的解析。 9、操作系统的安全控制方法主要有隔离控制和。 10、在网络应用中一般采用硬件加密和两种加密形式。 11、是访问控制的重要内容，通过它鉴别合法用户和非法用户，从而有效地阻止非法用户访问系统。 12、通过硬件实现网络数据加密的方法有三种：链路加密、和端对端加密。 13、制定OSI/RM 的国际标准化组织是。二、选择题（每题1分，共25分）答题卡 1、在网络信息安全模型中，（）是安全的基石，它是建立安全管理的标准和方法。 A 、政策，法律，法规 B 、授权 C 、加密 D 、审计与监控 2、美国国防部在他们公布的可信计算机系统评价标准中，将计算机系统的安全级别分为4类7个安全级别，其中描述不正确的是（）。 A 、A 类的安全级别比B 类的高 B 、C1类的安全级别比C2类的高 C 、随着安全级别的提高，系统的可恢复性就越高 D 、随着安全级别的提高，系统的可信度就越高 3、按照可信计算机评估标准，安全等级满足C2级要求的操作系统是（）。 A 、DOS B 、Windows 98 C 、Windows NT D 、Apple 的Macintosh System 7.1 4、下列不属于流行局域网的是（）。 A 、以太网 B 、令牌环网 C 、FDDI D 、ATM 5、IP 地址的主要类型有5种，每类地址都是由（）组成。 A 、48位6字节 B 、48位8字节 C 、32位8字节 D 、32位4字节 6、DES 是对称密钥加密算法，（）是非对称密钥加密算法。 A 、RSA B 、IDEA C 、HASH D 、MD5 7、加密算法若按密钥的类型划分，可以分为（）。 A 、公开密钥加密算法和对称密钥加密算法 B 、公开密钥加密算法和分组密码算法 C 、序列密码和分组密码 D 、序列密码和公开密钥加密算法 ---------------------------密 ------------ 封 ------------ 线------------ 内 ------------不-------------得--------------答---------------题-------------------

【网络课】网络安全技术期末复习题

【网络课】网络安全技术期末复习题一、选择题第一章 (B) 1.由于来自于系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项？ A. 黑客攻击 B. 社会工程学攻击 C. 操作系统攻击 D. 恶意代码攻击（A） 2. 在信息安全性中，用于提供追溯服务信息或服务源头的是哪一项？ A. 不可否认性 B. 认证性 C. 可用性 D. 完整性第二章（A） 1. 密码技术的哪一个目标不能被对称密码技术实现？ A. 完整性 B. 保密性 C. 不可否认性 D. 认证性（C） 2. A想要使用非对称密码系统向B发送秘密消息。A应该使用哪个密钥来加密消息？ A. A的公钥 B. A的私钥 C. B的公钥 D. B的私钥（A） 3. DES的有效密钥长度是多少？ A. 56比特 B. 112比特 C. 128比特 D. 168比特（C） 4. 下面哪种情况最适合使用非对称密码系统？ A. 公司电子邮件系统 B. 点到点的VPN系统 C. 证书认证机构 D. Web站点认证（D） 5. 下面哪个哈希函数最适合8位处理器？ A. SHA-256 B. SHA-512 C. MD4 D. MD2 （C） 6. Grace想要使用数字签名技术向Joe发送一则消息，为了获得数字签名，她应该对哪种信息进行签名？ A. 明文消息 B. 密文消息 C. 明文消息摘要 D. 密文消息摘要（C） 7. Joe收由Grace签了名的信息，请问Joe该使用哪个密钥来验证签名？ A. Joe的公钥 B. Joe的私钥 C. Grace的公钥 D. Grace的私钥第三章（C） 1. 下面哪项不属于口令认证？ A. 可重用口令认证 B. 一次性口令认证 C. 安全套接层认证 D. 挑战应答口令认证（C） 2. 公钥认证不包括下列哪一项？ A. SSL认证 B. Kerberos认证 C. 安全RPC认证 D. MD5认证第四章（C） 1. 在TCP/IP协议安全中，下列哪一项属于应用层安全？ A. VPNs B. PPP C. Kerberos D. SSL （C） 2. IPSec中有三个主要的协议用来对传输中的系统提供安全服务，不包括下列哪一项？ A. SA B. AH C. CA D. ESP 第五章（C） 1. 以下哪一项不属于恶意代码？ A. 病毒 B. 特洛伊木马 C. 系统漏洞 D. 蠕虫（D） 2. 使授权用户泄露安全数据或允许非授权访问的攻击方式称作 A. 拒绝服务攻击 B. 中间人攻击 C. 社会工程学 D. 后门攻击第六章（B） 1. 以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击？ A. 欺骗攻击 B. 暴力攻击 C. 穷举攻击 D. 字典攻击（A） 2. 以下哪个模型通常用来模拟现实的实体以及实体之间状态的转移？ A.状态机模型 B. Bell-LaPadula模型 C. Clark-Wilson 模型 D. Noninterference 模型第七章（B） 1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击？ A. 欺骗攻击 B. 暴力攻击 C. 穷举攻击 D. 字典攻击（D） 2. 常见类型的防火墙拓扑结构以下哪一项？ A. 屏蔽主机防火墙 B. 屏蔽子网防火墙 C. 双重防火墙 D. 硬件防火墙第八章（B） 1. 对于一个入侵，下列最合适的描述是： A. 与安全事故类似 B. 各种试图超越权限设置的恶意使用 C. 任何侵犯或试图侵犯你的安全策略的行为 D. 任何使用或试图使用系统资源用于犯罪目的的行为（A） 2. 下列哪种安全策略可用于最小特权原则的理念： A. 白名单 B. 严格禁止 C. 宽松的控制 D. 黑名单 (A) 3. 如果一个IDS上报了一个异常行为，但该行为是正常的，那么IDS犯了什么错误 A. 误报 B. 漏报

网络安全技术复习题

网络安全技术第1章网络安全概述习题及答案

网络安全技术期末试卷B

浙江省信息网络安全技术人员继续教育考试试卷第2期

网络安全技术测试题

网络课网络安全技术期末复习题

网络安全技术复习题

网络安全技术模拟试题

计算机网络安全技术期末复习试题

网络安全技术复习题(2013.12)

计算机网络安全技术期末复习试题

网络安全技术测试题

最新网络安全期末试卷

网络安全试卷及答案

计算机网络安全技术试题全(附答案解析)

(精选)网络安全期末考试试题及答案

(完整word版)计算机网络安全技术期末复习试题

《计算机网络安全技术》试题

【网络课】网络安全技术期末复习题