网络安全复习题.docx
《网络安全复习题.docx》由会员分享,可在线阅读,更多相关《网络安全复习题.docx(13页珍藏版)》请在冰豆网上搜索。
网络安全复习题
选择(考20题)
1.下面不属于木马特征的是(D)
A.自动更换文件名,难于被发现
B.程序执行时不占太多系统资源
C.不需要服务端用户的允许就能获得系统的使用权
D.造成缓冲区的溢出,破坏程序的堆栈
2.负责产生、分配并管理PKI结构下所有用户的证书的机构是(D)
A.LDAP目录服务器B.业务受理点C.注册机构RAD.认证中心CA
3.基于SET协议的电子商务系统中对商家和持卡人进行认证的是(B)
A.收单银行B.支付网关C.认证中心D.发卡银行
4.下列(B)加密技术在加解密数据时采用的是双钥。
A.对称密钥加密B.公开密钥加密C.Hash加密D.文本加密
5.防火墙是常用的一种网络安全装置,下列关于它的用途的说法(B)是对的。
A.防止内部攻击
B.防止外部攻击
C.防止内部对外部的非法访问
D.既防外部攻击,又防内部对外部非法访问
6.计算机病毒从本质上说是(B)。
A.蛋白质B.程序代码C.应用程序D.硬件
7.下列不属于IDS功能的是(D)。
A.分析系统活动B.识别已知攻击C.OS日志管理D.代理
8.密码学的目的是(C)。
A.研究数据加密B.研究数据解密C.研究数据保密D.研究信息安全
9.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。
A.用户的方便性B.管理的复杂性
C.对现有系统的影响及对不同平台的支持D.上面3项都是
10.A方有一对密钥KA(公开)和keyA(秘密),B方有一对密钥KB(公开)和keyB(秘密),现A要向B发送一条消息M,并对消息进行签名和加密,则以下方案正确的是(C)。
A.E(E(M,KA),keyB)B.E(E(M,keyA),keyB)
C.E(E(M,keyA),KB)D.E(E(M,KA),KB)
11.“公开密钥密码体制”的含义是(C)。
A.将所有密钥公开B.将私有密钥公开,公开密钥保密
C.将公开密钥公开,私有密钥保密D.两个密钥相同
12.信息安全的基本属性是(D)。
A.机密性B.可用性C.完整性D.上面3项都是
13.对攻击可能性的分析在很大程度上带有(B)。
A.客观性B.主观性C.盲目性D.上面3项都不是
14.从安全属性对各种网络攻击进行分类,截获攻击是针对(A)的攻击。
A.机密性B.可用性C.完整性D.真实性
15.从攻击方式区分攻击类型,可分为被动攻击和主动攻击。
被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。
A.阻止,检测,阻止,检测B.检测,阻止,检测,阻止
C.检测,阻止,阻止,检测D.上面3项都不是
16.窃听是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接收站之间。
截获是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接受站之间。
A.被动,无须,主动,必须B.主动,必须,被动,无须
C.主动,无须,被动,必须D.被动,必须,主动,无须
17.拒绝服务攻击的后果是(D)。
A.信息不可用B.应用程序不可用C.系统宕机D.无法向正常用户提供服务
18.机密性服务提供信息的保密,机密性服务包括(D)。
A.文件机密性B.信息传输机密性C.通信流的机密性D.以上3项都是
19.攻击者用传输数据来冲击网络接口,使服务器过于繁忙以至于不能应答请求的攻击方式是(A)。
A.拒绝服务攻击B.地址欺骗攻击C.会话劫持D.信号包探测程序攻击
20.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(D)。
A.中间人攻击B.口令猜测器和字典攻击C.强力攻击D.重放攻击
21.网络安全是在分布网络环境中对(D)提供安全保护。
A.信息载体B.信息的处理、传输C.信息的存储、访问D.上面3项都是
22.ISO安全体系结构中的对象认证服务,使用(B)完成。
A.加密机制B.数字签名机制C.访问控制机制D.数据完整性机制
23.数据保密性安全服务的基础是(D)。
A.数据完整性机制B.数字签名机制C.访问控制机制D.加密机制
24.可以被数据完整性机制防止的攻击方式是(D)。
A.假冒源地址或用户的地址欺骗攻击B.抵赖做过信息的递交行为
C.数据中途被攻击者窃听获取D.数据在途中被攻击者篡改或破坏
25.数字签名要预先使用单向Hash函数进行处理的原因是(C)。
A.多一道加密工序使密文更难破译
B.提高密文的计算速度
C.缩小签名密文的长度,加快数字签名和验证签名的运算速度
D.保证密文能正确还原成明文
26.身份认证是安全服务中的重要一环,以下关于身份认证叙述不正确的是(B)。
A.身份认证是授权控制的基础
B.身份认证一般不用提供双向的认证
C.目前一般采用基于对称密钥加密或公开密钥加密的方法
D.数字签名机制是实现身份认证的重要机制
27.基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。
A.公钥认证B.零知识认证C.共享密钥认证D.口令认证
28.(C)是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是KDC。
A.TACACSB.RADIUSC.KerberosD.PKI
29.访问控制是指确定(A)以及实施访问权限的过程。
A.用户权限B.可给予哪些主体访问权利
C.可被用户访问的资源D.系统是否遭受入侵
30.一般而言,Internet防火墙建立在一个网络的(C)。
A.内部子网之间传送信息的中枢B.每个子网的内部
C.内部网络与外部网络的交叉点D.部分内部网络与外部网络的结合处
31.包过滤型防火墙原理上是基于(C)进行分析的技术。
A.物理层B.数据链路层C.网络层D.应用层
32.对动态网络地址交换(NAT),不正确的说法是(B)。
A.将很多内部地址映射到单个真实地址
B.外部网络地址和内部地址一对一的映射
C.最多可有64000个同时的动态NAT连接
D.每个连接使用一个端口
33.以下(D)不是包过滤防火墙主要过滤的信息?
A.源IP地址B.目的IP地址C.TCP源端口和目的端口D.时间
34.防火墙用于将Internet和内部网络隔离(B)。
A.是防止Internet火灾的硬件设施
B.是网络安全和信息安全的软件和硬件设施
C.是保护线路不受破坏的软件和硬件设施
D.是起抗电磁干扰作用的硬件设施
35.身份认证的含义是(C)。
A:
注册一个用户B:
标识一个用户C:
验证一个用户D:
授权一个用户
36.下列四项中不属于计算机病毒特征的是(C)。
A:
潜伏性B:
传染性C:
免疫性D:
破坏性
37.灾难恢复计划或者业务连续性计划关注的是信息资产的(A)属性。
A:
可用性B:
真实性C:
完整性D:
保密性
38.(A)是最常用的公钥密码算法。
A:
RSAB:
DSAC:
椭圆曲线D:
量子密码
39.PKI所管理的基本元素是(C)。
A:
密钥B:
用户身份C:
数字证书D:
数字签名
40.关于信息安全,下列说法中正确的是(C)。
A:
信息安全等同于网络安全B:
信息安全由技术措施实现
C:
信息安全应当技术与管理并重D:
管理措施在信息安全中不重要
41.在PPDRR安全模型中,(B)是属于安全事件发生后的补救措施。
A:
保护B:
恢复C:
响应D:
检测
42.下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。
A:
杀毒软件B:
数字证书认证C:
防火墙D:
数据库加密
43.计算机病毒的实时监控属于(B)类的技术措施。
A:
保护B:
检测C:
响应D:
恢复
44.下列关于信息安全策略维护的说法,(B)是错误的。
A:
安全策略的维护应当由专门的部门完成
B:
安全策略制定完成并发布之后,不需要再对其进行修改
C:
应当定期对安全策略进行审查和修订
D:
维护工作应当周期性进行
45.防火墙最主要被部署在(A)位置。
A:
网络边界B:
骨干线路C:
重要服务器D:
桌面终端
46.根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行(B)。
A:
逻辑隔离B:
物理隔离C:
安装防火墙D:
VLAN划分
47.对日志数据进行审计检查,属于(B)类控制措施。
A:
预防B:
检测C:
威慑D:
修正
48系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速(A)。
A:
恢复整个系统B:
恢复所有数据C:
恢复全部程序D:
恢复网络设置
49.关于数字签名,下面哪种说法是错误的?
(A)
A.数字签名技术能够保证信息传输过程中的安全性
B.数字签名技术能够保证信息传输过程中的完整性
C.数字签名技术能够对发送者的身份进行认证
D.数字签名技术能够防止交易中抵赖的发生
填空(考10题)
1.根据检测策略,攻击检测方法可分为(基于异常行为特征的攻击检测)和(基于正常行为特征的攻击检测)。
2.包过滤防火墙工作在OSI的(网络)层
3.数据XX不能进行更改的特性叫(完整性)。
4.把敏感数据转换为不能理解的乱码的过程称为(加密);将乱码还原为原文的过程称为(解密)。
5.使用DES对64比特的明文加密,生成(64)比特的密文。
6.攻击者对系统进行攻击,以便得到有针对性的信息,攻击主要分为主动攻击和(被动攻击)两种。
7.IPSec有(传输模式)和(隧道模式)两种工作模式。
8.计算机病毒检测分为(内存)检测和(硬盘)检测。
9.入侵检测系统根据目标系统的类型可以分为基于主机的入侵检测系统和基于(网络)的入侵检测系统。
10.密码系统包括以下4个方面:
明文空间、密文空间、密钥空间和密码算法。
解密算法D是加密算法E的(逆运算)。
11.如果加密密钥和解密密钥(相同),这种密码体制称为(对称密码体制)。
12.RSA算法的安全是基于(分解两个大素数的积)的困难。
13.消息认证是(验证信息的完整性),即验证数据在传送和存储过程中是否被篡改、重放或延迟等。
14.三种不同的访问控制策略:
自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)
判断(考10题)
1.按对明文的处理方式密码可以分为分组密码和单钥密码。
(×)
2.主动攻击和被动攻击的最大区别是是否改变信息的内容。
(√)
3.散列函数在进行鉴别时需要密钥。
(×)
4.数字签名和加密是完全相同的两个过程。
(×)
5.NAT技术难以解决目前IP地址资源紧张的问题。
(×)
6.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
(√)
7.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
(√)
8.包过滤防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。
(√)
9.防火墙属于网络安全的范畴,是网络安全保护中最基本的安全机制,只能在内部网络的边界处提供动态包过滤、应用安全代理等安全服务。
(×)
名词解释(考5题)
1.密码分析:
密码分析是指研究在不知道密钥的情况下恢复出明文或密钥,甚至二者兼得。
但是,密码分析通常不包括并非主要针对密码算法或协议的攻击。
2.理想的密码系统:
在没有密钥的情况下,想从密文恢复出明文是不可能的。
也就是说,即使攻击者完全了解系统使用的算法以及许多其他的相关信息,她也不能在没有密钥的情况下恢复出明文。
这是加密系统的目标,但现实中往往并非能够如愿以偿。
3.数字证书:
数字证书(或称为公钥证书,抑或简称为证书)包含了用户的名称以及伴随的相关用户的公钥,该证书由证书权威机构签名,证书权威机构也可简称为CA,通常,签发的数字证书都有一个有效期。
4.数字签名:
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
5.SYN-FLOOD攻击:
SYNFlood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
6.单点登录:
指的是让验证者Alice仅仅认证一次,然后无论她在Internet上再去往哪里,这个认证成功的结果都会一直“跟着”她。
也就是说,初始的认证过程需要Alice的参与,但是后续的认证将在各个场景的后台自动进行。
7.堆栈溢出攻击:
堆栈溢出特指一种颇具破坏性的攻击方式,这种攻击依赖于缓冲区溢出。
对于堆栈溢出攻击,入侵者的兴趣集中在处于函数调用过程中的堆栈。
8.零知识证明:
零知识证明也叫ZKP,指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。
零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。
9.会话密钥:
会话密钥是保证用户跟其它计算机或者两台计算机之间安全通信会话而随机产生的加密和解密密钥。
会话密钥有时称对称密钥,因为同一密钥用于加密和解密。
简答题(考4题)
1.Diffie-Hellman密钥交换算法原理:
设定p为素数,并假定g是生成器,即对于任何的x∈{1,2,...,p-1},都存在指数n,使得x=gnmodp。
素数p和生成器g是公开的。
对于实际的密钥交换过程,Alice随机地选择秘密的指数a,Bob随机地选择秘密的指数b。
Alice计算gamodp,并将结果发送给Bob,而Bob计算gbmodp,也将结果发送给Alice。
Alice执行如下计算:
(gb)amodp=gabmodp
Bob执行如下计算:
(ga)bmodp=gabmodp
最后,gabmodp就是共享的秘密,其典型的用途是作为对称密钥。
2.访问控制身份认证-方法与授权-原则二者联系:
身份-认证:
基于“你知道”的认证方法——口令的认证。
基于“你是谁”的认证方式——生物特征技术。
基于“你具有什么”的认证方法——双因素认证方式。
授权-原则:
最小权限原则
最小泄露原则
多级安全策略
联系:
3.安全模型中机密性模型Bell-Lapadula模型与完整性模型Biba模型:
Bell-Lapadula模型:
用于保证信息的机密性,蕴含了高水印原则。
无上读,无下写简单安全条件:
主体S能够对客体O执行读操作,当且仅当L(O)≤L(S)。
星特性:
主体S能够对客体O执行写操作,当且仅当L(S)≤L(O)。
Biba模型:
用于保证信息的完整性,蕴含了低水印原则。
无上写,无下读写访问规则:
主体S能够对客体O执行写操作,当且仅当I(O)≤I(S)。
Biba模型:
主体S能够对客体O执行读操作,当且仅当I(S)≤I(O)。
4.入侵检测方法特点:
关于入侵检测,有两种不同的方法:
基于特征的IDS:
主要是基于明确的已知特征或者模式来检测攻击。
优势:
1.能够发出比较明确具体的报警,因为这些特征都是与一些特定模式的攻击相匹配。
2.简单、高效以及优秀的检测已知攻击的能力。
劣势:
1.只能检测出已知类型的攻击。
即便是已知攻击的轻微变体也可能会被基于特征的入侵检测系统错过。
2.特征的数量可能会非常多从而带来性能的下降。
3.描述特征文件必须足够新。
基于异常的IDS:
主要是先尝试给出系统正常行为的一个基线定义,当系统行为与这个基线偏差过大时,由IDS提供相应的报警。
优势:
有可能检测出之前不知道的攻击。
劣势:
异常行为引发的报警可能提供不了任何对系统管理员有用的具体信息。
5.Ipsec两种工作方式运输方式、隧道方式(数据封装方式,使用场合)
运输方式:
1.在AH、ESP处理前后原始IP数据包头保持不变;
2.设计目标是用于“主机到主机”的通信。
隧道方式:
1.在AH、ESP处理之后整个原始的IP包都被封装在一个新的IP数据包当中;
2.设计目标是用于保护防火墙到防火墙之间的通信。
6.数字签名:
1.发送方A向接收方B发送消息M.
2.发送方A用目己的私有密钥SKA对消息M进行加密来形成数字签名。
3.这个数字签名将作为消息的附件和消息M一起发送给接收方。
4.接收方首先对接收到的原始消息用同样的算法计算出新的消息M’,再用发送方的公开密钥PKA对消息附件的数字签名进行解密,比较两个消息,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的消息是伪造的或者中途被篡改。
7.数字证书:
A的证书就包括如下内容:
M=(“A”,A的公钥)和S=[M]CA。
为了验证这个证书,B将执行计算{S}CA,并要检验该结果是否与M相匹配。
发送:
1.由权威机构CA对A的证书签名,证书中包含有与A的私钥相对应的公钥及A的身份等信息。
2.所有的数据项经CA用自己的私钥签名后就形成证书。
验证:
1.用权威机构CA的公钥对签名S进行解密。
2.得到证书内容M,判断M=M’。
3.验证通过后,B可以证书中的公钥与A通信。