网络安全技术习题.docx
《网络安全技术习题.docx》由会员分享,可在线阅读,更多相关《网络安全技术习题.docx(14页珍藏版)》请在冰豆网上搜索。
网络安全技术习题
第11章习题及参考答案
一、选择题
1、防火墙是隔离内部和外部网的一类安全系统。
通常防火墙中使用的技术有过滤和代理两种。
路由器可以根据
(1)进行过滤,以阻挡某些非法访问。
(2)是一种代理协议,使用该协议的代理服务器是一种(3)网关。
另外一种代理服务器使用(4)技术,它可以把内部网络中的某些私有IP地址隐藏起来。
安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而一种安全服务也可采用多种安全机制。
加密机制不能提供的安全服务是(5)。
(1)A、网卡地址 B、IP地址 C、用户标识 D、加密方法
(2)A、SSL B、STT C、SOCKS D、CHAP
(3)A、链路层 B、网络层 C、传输层 D、应用层
(4)A、NAT B、CIDR C、BGP D、OSPF
(5)A、数据保密性 B、访问控制 C、数字签名 D、认证
答案:
(1)B
(2)C (3)D (4)A (5)B
2、在企业内部网与外部网之间,用来检查网络请求分组是否合法,保护网络资源不被非法使用的技术是(B)。
A、防病毒技术 B、防火墙技术 C、差错控制技术 D、流量控制技术
3、防火墙是指(B)。
A、防止一切用户进入的硬件 B、阻止侵权进入和离开主机的通信硬件或软件
C、记录所有访问信息的服务器 D、处理出入主机的邮件的服务器
4、保证网络安全的最主要因素是(C)。
A、拥有最新的防毒防黑软件。
B、使用高档机器。
C、使用者的计算机安全素养。
D、安装多层防火墙。
5、1988年是Internet安全体系的重要转折,人们开始对网络安全异常重视,是因为(A)。
A、蠕虫病毒 B、核打击 C、主干网停电 D、计算机损坏
6、计算机中的信息只能由授权访问权限的用户读取,这是网络安全的(A)。
A、保密性 B、数据完整性 C、可利用性 D、可靠性
7、验证消息完整性的方法是(D)。
A、大嘴青蛙认证协议 B、数字签名 C、基于公钥的认证 D、消息摘要
8、计算机系统中的信息资源只能被授予权限的用户修改,这是网络安全的(B)。
A、保密性 B、数据完整性 C、可利用性 D、可靠性
9、加密密钥和解密密钥相同的密码系统为(C)
A、非对称密钥体制 B、公钥体制 C、单钥体制 D、双钥体制
10、特洛伊木马是指一种计算机程序,它驻留在目标计算机中。
当目标计算机启动时,这个程序会(C)。
A、不启动 B、远程控制启动 C、自动启动 D、本地手工启动
11、如果一个服务器正在受到网络攻击,第一件应该做的事情是(A)
A、断开网络 B、杀毒
C、检查重要数据是否被破坏 D、设置陷井,抓住网络攻击者
12、防火墙的基本构件包过滤路由器工作在OSI的哪一层(C)
A、物理层 B、传输层 C、网络层 D、应用层
13、身份认证的方法有(ABCD)
A、用户认证 B、实物认证 C、密码认证 D、生物特征认证
14、下列哪些是对非对称加密正确的描述(BCD)
A、用于加密和解密的密钥是相同的。
B、密钥中的一个用于加密,另一个用于解密
C、密钥管理相对比较简单 D、非对称密钥加密速度较慢
15、下列选项中哪些是可信计算机系统评价准则及等级(AC)
A、D B、D1 C、C2 D、C3
16、常见的防火墙体系结构有(ABCD)
A、屏蔽路由器 B、双穴主机网关 C、屏蔽子网 D、屏蔽主机网关
17、网络中威胁的具体表现形式有(ABCD)
A、截获 B、中断 C、篡改 D、伪造
18、计算机网络安全的研究内容有(ABCD)
A、实体硬件安全 B、数据信息安全 C、病毒防治技术 D、软件系统安全
19、可信计算机系统评价准则及等级中的安全级别有(ABD)
A、C1 B、A1 C、A2 D、B3
20、密码技术是信息安全技术的核心,组成它的两大分支为(AB)
A、密码编码技术 B、密码分析技术 C、单钥密码体制 D、双钥密码体制
21、常见的两种非对称密码算法为(AD)
A、RSA B、DES C、IDEA D、Diffie-Hellman
22、计算机病毒的主要特征包括(ABD)
A、潜伏性 B、传染性 C、自动消失 D、破坏性
23、支撑IPSec体系结构的两大协议为(AC)
A、ESP B、TCP C、AH D、UDP
24、常见的防火墙体系结构有(ABCD)
A、屏蔽路由器 B、双穴主机网关 C、屏蔽子网 D、屏蔽主机网关
25、VPN系统组织中的安全传输平面(STP)由(AD)两大部分组成。
A、安全隧道代理 B、安全隧道终端 C、用户认证功能 D、VPN管理中心
26、SSL数据单元形成过程的前三个步骤为(ACD)
A、分段 B、加密 C、压缩 D、附加MAC
27、下列行为不属于攻击的是(D)
A、对一段互联网IP进行扫描 B、发送带病毒和木马的电子邮件
C、用字典猜解服务器密码 D、从FTP服务器下载一个10GB的文件
28、入侵检测系统一般不能检测出哪些内容(A)
A、网络线路物理中断 B、远程访问服务器 C、拒绝服务攻击 D、扫描攻击
29、入侵检测的内容主要包括(ABD)。
A、独占资源、恶意使用 B、试图闯入或成功闯入、冒充其他用户
C、安全审计 D、违反安全策略、合法用户的泄漏
30、XX的入侵者访问了信息资源,这是(B)
A、中断 B、窃取 C、篡改 D、假冒
31、甲通过计算机网络给乙发消息,说其同意签定合同。
随后甲反悔,不承认发过该条消息。
为了防止这种情况发生,应在计算机网络中采用(D)
A、消息认证技术 B、数据加密技术 C、防火墙技术 D、数字签名技术
32、我们说公钥加密比常规加密更先进,这是因为(A)
A、公钥是建立在数学函数基础上的,而不是建立在位方式的操作上的
B、公钥加密比常规加密更具有安全性
C、公钥加密是一种通用机制,常规加密已经过时了
D、公钥加密算法的额外开销少
33、下列选项中是网络管理协议的是(C)
A、DES B、UNIX C、SNMP D、RSA
34、在公钥加密体制中,公开的是(A)。
A、加密密钥 B、解密密钥 C、明文 D、加密密钥和解密密钥
35、信息安全经历了三个发展阶段,以下(B)不属于这三个发展阶段。
A、通信保密阶段 B、加密机阶段 C、信息安全阶段 D、安全保障阶段
36、信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。
A、保密性 B、完整性 C、不可否认性 D、可用性
37、下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。
A、杀毒软件 B、数字证书认证 C、防火墙 D、数据库加密
38、《信息安全国家学说》是(C)的信息安全基本纲领性文件。
A、法国 B、美国 C、俄罗斯 D、英国
注:
美国在2003年公布了《确保网络空间安全的国家战略》。
39、信息安全领域内最关键和最薄弱的环节是(D)。
A、技术 B、策略 C、管理制度 D、人
40、信息安全管理领域权威的标准是(B)。
A、ISO15408 B、ISO17799/ISO27001(英) C、ISO9001 D、ISO14001
41、《计算机信息系统安全保护条例》是由中华人民共和国(A)第147号发布的。
A、国务院令 B、全国人民代表大会令 C、公安部令 D、国家安全部令
42、在PDR安全模型中最核心的组件是( A )。
A、策略 B、保护措施 C、检测措施 D、响应措施
43、在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为(A)。
A、可接受使用策略AUP B、安全方针 C、适用性声明 D、操作规范
44、互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存(C)天记录备份的功能。
A、10 B、30 C、60 D、90
45、下列不属于防火墙核心技术的是(D)
A、(静态/动态)包过滤技术 B、NAT技术 C、应用代理技术 D、日志审计
46、应用代理防火墙的主要优点是(B)
A、加密强度更高 B、安全控制更细化、更灵活
C、安全服务的透明性更好 D、服务对象更广泛
47、对于远程访问型VPN来说,(A)产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A、IPSecVPN B、SSLVPN C、MPLSVPN D、L2TPVPN
注:
IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。
在IPSec框架当中还有一个必不可少的要素:
Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
48、1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系统的安全等级划分为(D)个等级,并提出每个级别的安全功能要求。
A、7 B、8 C、6 D、5
注:
该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。
49、公钥密码基础设施PKI解决了信息系统中的(A)问题。
A、身份信任 B、 权限管理 C、 安全审计 D、加密
注:
PKI(PublicKeyInfrastructure,公钥密码基础设施),所管理的基本元素是数字证书。
50、最终提交给普通终端用户,并且要求其签署和遵守的安全策略是(C)。
A、口令策略 B、保密协议 C、可接受使用策略AUP D、责任追究制度
51、下面哪些操作系统能够达到C2安全级别?
(D)
Ⅰ、Windows3x Ⅱ、AppleSystem7.x Ⅲ、WindowsNT Ⅳ、NetWare3.x
A、Ⅰ和Ⅲ B、Ⅱ和Ⅲ C、Ⅱ和Ⅳ D、Ⅲ和Ⅳ
52、下面哪种攻击方法属于被动攻击?
(C)
A、拒绝服务攻击 B、重放攻击 C、通信量分析攻击 D、假冒攻击
53、下面哪个(些)攻击属于非服务攻击?
(C)
Ⅰ、邮件炸弹攻击 Ⅱ、源路由攻击 Ⅲ、地址欺骗攻击
A、仅Ⅰ B、Ⅰ和Ⅱ C、Ⅱ和Ⅲ D、Ⅰ和Ⅲ
54、端到端加密方式是网络中进行数据加密的一种重要方式,其加密、解密在何处进行?
(D)
A、源结点、中间结点 B、中间结点、目的结点
C、中间结点、中间结点 D、源结点、目的结点
55、DES是一种常用的对称加密算法,其一般的分组长度为(C)
A、32位 B、56位 C、64位 D、128位
56、下面哪个不是RSA密码体制的特点?
(C)
A、它的安全性基于大整数因子分解问题 B、它是一种公钥密码体制
C、它的加密速度比DES快 D、它常用于数字签名、认证
57、以下哪个方法不能用于计算机病毒检测?
(B)
A、自身校验 B、加密可执行程序 C、关键字检测 D、判断文件的长度
58、以下关于防火墙技术的描述,哪个是错误的?
(C)
A、防火墙分为数据包过滤和应用网关两类
B、防火墙可以控制外部用户对内部系统的访问
C、防火墙可以阻止内部人员对外部的攻击
D、防火墙可以分析和统管网络使用情况
59、下面关于IPSec的说法哪个是错误的?
(D)
A、它是一套用于网络层安全的协议 B、它可以提供数据源认证服务
C、它可以提供流量保密服务 D、它只能在Ipv4环境下使用
60、关于SSL和SET协议,以下哪种说法是正确的?
(A)
A、SSL和SET都能隔离订单信息和个人账户信息
B、SSL和SET都不能隔离订单信息和个人账户信息
C、SSL能隔离订单信息和个人账户信息,SET不能
D、SET能隔离订单信息和个人账户信息,SSL不能
61、EDI用户通常采用哪种平台完成数据交换?
(A)
A、专用的EDI交换平台 B、通用的电子邮件交换平台
C、专用的虚拟局域网交换平台 D、通用的电话交换平台
62、关于电子商务系统结构中安全基础层的描述,以下哪种说法是错误的?
(A)
A、安全基础层位于电子商务系统结构的最底层
B、安全基础层用于保证数据传输的安全性
C、安全基础层可以实现交易各方的身份认证
D、安全基础层用于防止交易中抵赖的发生
63、网络安全的物理安全主要包括以下(ABC)方面。
A、环境安全B、设备安全C、媒体安全D、信息安全
64、加密可在通信的3个不同层次进行,按实现加密的通信层次来分,加密可分为(ACD)。
A、链路加密B、路由加密C、结点加密D、端到端加密
65、以下(ABD)可以用于保证信息传输安全。
A、数据传输加密技术B、数据完整性鉴别技术
C、内容审计技术 D、抗否认技术
66、防火墙技术根据防范的方式和侧重点的不同可分为(BCD)
A、嵌入式防火墙B、包过滤型防火墙C、应用层网关D、代理服务型防火墙
67、防火墙的经典体系结构主要有(ABD)形式。
A、被屏蔽子网体系结构 B、被屏蔽主机体系结构
C、单宿主主机体系结构 D、双重宿主主机体系结构
68、Windows2000/2003Server中预先确定了(ABC)用户账户。
A、DomainAdministratorB、GuestC、AdministratorD、Users
二、判断题
1、信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
(×)
注释:
在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。
2、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。
(×)
注释:
应在24小时内报案
3、我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。
(×)
注释:
共3种计算机犯罪,但只有2种新的犯罪类型。
4、计算机的逻辑安全需要用口令字、文件许可、查帐等方法来实现。
(√)
5、代码炸弹不会像病毒那样四处传播。
(√)
6、数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证。
(√)
7、计算机网络通信安全即数据在网络中的传输过程的安全,是指如何保证信息在网络传输过程中不被泄露与不被攻击的安全。
(√)
8、通信数据加密与文件加密是同一个概念。
(×)
9、微软的浏览器IE6.0已经避免了所有的可能的漏洞,所以最安全,应用最多。
(×)
10、DES密码体制中加密和解密用的是相同的算法,加密和解密时所采用的密钥也是相同的。
(√)
11、RSA密码体制只能用于数据加密和解密,不能用于数字签名。
(×)
12、只要公钥的长度选取为大于129位,那么RSA加密就绝对安全。
(×)
13、病毒的传染性也称为自我复制和可传播性,这是计算机病毒的本质特征。
(√)
14、宏病毒只有Word宏病毒。
(×)
15、电子邮件病毒不具有自我复制和传播的特性。
(×)
16、网络监听不会影响进行监听的机器的响应速度。
(×)
17、扫描器是自动检测远程或本地主机安全性漏洞的程序包。
(√)
18、由明文变为密文的过程称为解密(×)
19、对称密码算法DES的密钥长度为56bits。
(√)
20、数据完整性不是安全机制的内容(×)
21、防火墙的基本构件包过滤路由器工作在OSI的应用层(×)
22、特洛伊木马是指一种计算机程序,它驻留在目标计算机中。
当目标计算机启动时,这个程序会自动启动(√)
23、计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用的一组计算机指令或者程序代码。
(√)
24、黑客是一个非法使用网络的用户。
(×)
25、以非法身份进入网络系统、破坏网络数据的完整性是黑客攻击网络的主要手段。
(√)
26、防火墙是一个运行专门软件的计算机系统。
(√)
27、目前病毒传播的主要途径是网络。
(√)
28、网上的“黑客”是匿名上网的人。
(×)
29、利用现成的软件的后门,获取网络管理员的密码行为不属于黑客行为。
(×)
30、企业内联网一般采用CGI加密保护的方法防止企业内部人员的“非法入侵”。
(√)
31、电子邮件的发件人利用某些特殊的电子邮件软件在短时间内不断重复地将电子邮件寄给同一个收件人,这种破坏方式叫做蠕虫。
(×)
32、预防“邮件炸弹”的侵袭,最好的办法是使用大容量的邮箱。
(×)
33、出于安全考虑,应该删除Everyone组。
(×)
34、数据完整性是指数据XX不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
(√)
35、通常采用单一的网络安全技术和网络安全产品来解决网络与信息安全的全部问题。
(×)
36、网络的安全水平是由最低安全水平的主机决定的。
(√)
37、对付被动攻击的重点是检测,而对付主动攻击的重点是预防。
(×)
38、代理服务防火墙允许外部主机连接到内部安全网络。
(×)
39、病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域属于病毒的繁殖阶段。
(√)
40、黑客也可以使用网络监听工具来监听网络。
(√)
41、IDS可识别防火墙通常不能识别的攻击,如来自企业内部的攻击。
(√)
42、快照技术是一种应急处理技术。
(×)
43、网络监听、漏洞扫描和入侵检测也是黑客常用的技术。
(×)
44、网络威胁主要有主动攻击和被动攻击两大类。
(×)
45、宏病毒在适当时机可感染系统的多种类型的文件。
(×)
46、病毒扫描程序由病毒代码库和对该代码进行扫描的程序两部分组成。
(√)
47、主机过滤结构的防火墙是由一个过滤路由器和一个内部网的堡垒主机组成的。
(√)
48、计算机病毒的可攻击对象有系统内存和CMOS。
(√)
三、填空题
1、《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。
2、安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。
3、1994年2月18日国务院发布《计算机信息系统安全保护条例》。
4、信息安全策略和制定和维护中,最重要是要保证其明确性和相对稳定性。
5、许多与PKI相关的协议标准等都是在X.509基础上发展起来的。
6、避免对系统非法访问的主要方法是访问控制。
7、RSA是最常用的公钥密码算法。
8、在信息安全管理进行安全教育和培训,可以有效解决人员安全意识薄弱。
9、我国正式公布电子签名法,数字签名机制用于实现抗否认。
10、在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
11、病毒网关在内外网络边界处提供更加主动和积极的病毒保护。
12、SSL主要提供三方面的服务,即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。
13、信息安全策略必须具备确定性、全面性和有效性。
14、网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端口、内网和外网的边界。
15、采用认证技术的主要目的是验证信息的发送者是真实的而不是冒充的和验证信息的完整性,保证信息在传送过程中未被篡改、重发或延迟等。
16、为了网络系统的安全,一般应在Intranet和Internet之间部署防火墙。
17、数字签名最常用的实现方法建立在公钥密码体制和安全单向散列函数基础之上。
18、防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登录的次数。
19、防火墙一般有双穴主机、主机过滤和子网过滤结构三种体系结构。
20、网络病毒的检查方法有比较法、扫描法、搜索法和分析法。
21、访问控制有自主访问控制和强制性两大类。
22、网络系统的安全性可包括系统的可靠性、软件和数据的完整性、可用性和保密性等特征。
23、安全扫描是对计算机系统或者其它网络设备进行相关的安全检测,以便发现安全隐患和可被黑客利用的漏洞。
24、网络系统面临的威胁大致可分为无意威胁和故意威胁两大类。
25、SSL协议主要用于加密机制。
26、为了防御网络监听,最常用的方法是信息加密。
27、当一个雇员离开公司,并且你希望阻止使用那个雇员的账户,但是仍然保留所有的权限和许可权,因此可以再次激活它,你应该禁用那个账户。
28、使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于拒绝服务漏洞。
四、术语解释
1、远程攻击
远程攻击是这样一种攻击,其攻击对象是攻击者还无法控制的计算机;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一子网还是有千里之遥)。
“远程计算机”此名词最确切的定义是:
“一台远程计算机是这样一台机器,它不是你正在其上工作的平台,而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。
2、字典攻击
一种强制力方法,指使用常用的术语或单词列表进行认证。
例如,攻击者发现密码可能是使用传统字典加上名字列表,于是使用两个源对脆弱的密码进行攻击。
3、拒绝服务攻击(DoS攻击)
DoS的攻击方式有很多种。
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源变得非常渺小。
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
4、黑客程序
黑客程序是一种专门用于进行黑客攻击的应用程序,它们有的比较简单,有的功能较强。
功能较强的黑客程序一般至少有服务器和客户机两部分。
黑客程序的服务器部分实际上是一个间谍程序,黑客程序的客户机部分是黑客发动攻击的控制台。
利用病毒原理以及发送电子邮件、提供免费软件等手段,将服务器悄悄安装到用户的计算机中。
在实施黑客攻击时,有客户机与远程已安装好的服务器进行里应外合,达到攻击的目的。
利用黑客程序进行黑客攻击,由于整个攻击过程已经程序化了,不需要高超的操作技巧,不需要高深的专业计算机软件知识,只需要一些最基本的计算机知
升级会员 