秋西南大学网教0836《信息安全》.docx

1、秋西南大学网教0836信息安全1-5A D D B C 6-10C A D A A 11-15A C C B D 16-20A A C D A 21-25B B D D A 26-30B B B B D 31-34B B B B 35、 数字信封非对称体制密钥传送方便，但加解密速度较慢，对称体制加解密速度快，但密钥传送困难，为解决这一问题，通常将两者结合起来使用。即用对称加密体制（如DES）加密数据，而用收方非对称体制（如RSA）中的公开钥加密DES密钥，再一起发送给接收者，接收者用自己的私钥解密DES密钥，再用DES密钥解密数据。这种技术被称为数字信封。36、 数据完整性数据XX不能进行改变

2、，即信息在存储或传输过程中保持不被修改，不被破坏和丢失的特性。37、 公钥证书这是一种公钥分配的方法，用户通过公钥证书交换公钥而不须和公钥管理机构联系，其中一种做法是证书管理机构用自己的私钥对用户的公钥及用户的身份及时间戳进行加密，即形成了用户的公钥证书。38、 网络地址转换即NAT技术，它是一种把内部私有IP地址翻译成合法网络IP地址的技术。即在内网中使用内部IP，而当内部节点要与外网进行通信时，就在网关处将内部地址转换为公用地址，从而在公网上正常使用。从技术上分为静态NAT、动态地址NAT和网络地址端口转换NAT39、 访问控制访问控制是维护计算机网络系统安全、保护计算机资源的重要手段，是

3、保证网络安全最重要的核心策略之一。是给用户和用户组赋予一定权限，控制其对目录和子目录、文件和其他资源的访问，以及指定用户对这些文件、目录和设备能执行的操作。40、信息安全 为了防止对知识，事实，数据或功能XX而使用，误用，XX修改或拒绝使用而采取的措施。41、 异常入侵检测常检测基于一个假定：用户行为是可预测的、遵循一致性模式的、且随着用户事件增加，异常检测会适应用户行为的变化。异常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。42、 虚拟私人网是在Internet上接续了具有加密功能的路由和防火墙，把网络上的数据进行加密再传送，

4、达到在不安全的公共网络中安全地传送数据的目的。特点是：通信数据是经过加密的，远程站点是经过认证的，可以使用多种协议，连接是点对点的。 43、 缓存溢出为了攻击系统而占满计算机系统空间，或者允许黑客具有对系统的提升权限的过程，就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞，而在将用户数据复制到另一个变量中时没有检查数据的复制量，可以通过检查程序的源代码来发现。44、 数字签名是一种用于对报文进行鉴别的机制，能证实信息M确是由发送方发出；任何人都不能伪造发方对M的签名；接收方能证明收到的报文没有被篡改过；假设发送方否认对信息M的签名，可以通过第三方（如法院）仲裁解决双方间的

5、争议。 45、 防火墙 一种网络的访问控制设备（可以是硬件，也可以是软件），用于适当的通信通过，从而保护机构的网络或者计算机系统。类型：应用层防火墙和数据包过滤防火墙。46、 .拒绝服务（DOS ）凡是造成目标计算机拒绝提供服务的攻击都称为 DoS 攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。47、 CA认证在公钥加密体制的密钥管理方法中，一个主要问题即是

6、对公开钥的假冒、伪造和篡改，为解决这一问题，通信双方可将自己的公钥提交给可信的第三方进行验证，并出具对应的证书，从而防止它人对公钥进行伪造和篡改，这一机制被称为CA认证。 48、 宏病毒宏是软件设计者为了在使用软件工作时避免一些重复动作而设计的一种工具。宏病毒就是利用软件所支持的宏命令编写成具有复制、传染能力的宏。它是一种新形态的计算机病毒，也是跨平台病毒。49、 简述为什么会提出数字信封技术。 非对称体制密钥传送方便，但加解密速度较慢，对称体制加解密速度快，但密钥传送困难，为解决这一问题，通常将两者结合起来使用。即用对称加密体制（如DES）加密数据，而用收方非对称体制（如RSA）中的公开钥加

7、密DES密钥，再一起发送给接收者，接收者用自己的私钥解密DES密钥，再用DES密钥解密数据。这种技术被称为数字信封。 50、 Kerberos用来解决什么问题？Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。51、 比较传统密码体制和公开密码体制的差异。 1)传统密码体制中密钥不能公开，且k1=k2，而公钥体制中

8、k1k2，且k1可以公开，而从k1无法得到有关k2的任何信息。(2)秘钥的传送上，传统密钥必须要传送，而公开钥不需要；(3)从数字签名角度，对称钥困难，而公开钥很容易；(4)加密速度上，对称钥快，而公开钥慢；(5)用途上，对称钥主要是数据加密，公开钥主要是数字签名、密钥分配加密。52、 什么是数字签名？其基本要求是什么？有哪些基本的数字签名方法？数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。对数字签名的基本要求有：(1)签名接收者能容易地验证签字者对消息所做的数字签名；(2)任何人，包括

9、签名接收者，都不能伪造签名者的签字；(3)发生争议时，可由第三方解决争议。数字签名基本分类：(1)直接数字签名：仅涉及通信方(信源、信宿)，假定信宿知道信源的公开密钥，数字签名通过信源对整个报文用私有密钥加密，或对报文的摘要加密来实现。弱点在于方案的有效性依赖于信源私有密钥的安全性。(2)需仲裁的数字签名：直接数字签名的问题可以通过仲裁解决，签名方的签名报文首先送给仲裁者，仲裁者对报文和签名进行测试以检验出处和内容，然后注上日期和仲裁说明后发给接收方。53、 试述你是如何理解信息安全领域“三分技术，七分管理”这名话的。 虽然目前有众多的安全产品，但没有任何一种能提供全方位的解决方案。1)防病毒

10、软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行的恶意破坏，也不能保护机构免受另一类合法用户的破坏。2)访问控制:不会阻止人们利用系统脆弱点以管理员身份获得对系统的访问并查看系统文件3)防火墙:不会阻止攻击者使用一个允许的连接进行攻击。也不能防止内部攻击。4)入侵检测:不能检测出合法用户对信息的非正常访问。支持自动保护功能的入侵检测系统还可以带来附加的安全问题。如系统配置为阻止某个攻击地址的访问，之后会发现某用户的通信被错误识别为攻击通信，则其再无法与你通信了。5)策略管理:可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能导致侵入。计算机上的策略管理也不能保证用户不写下他们

11、的密码或将密码提供给XX的人。6)薄弱点扫描:本身并不会保护计算机系统，需在找出薄弱点后采取安全措施。该方法也不会发现合法用户进行的不正当访问，也不能发现已经进入系统、查找配置文件或补丁程序的弱点的入侵者。7)加密:加密系统并不能分辨提交了同样加密算法密钥的用户是合法还是非法用户。加密本身不能提供安全保障，还必须对加密密钥和系统有一个整体控制。8)物理安全机制:不能保护系统不受到合法访问进行的攻击或通过网络实施的攻击。所以安全技术和产品只是安全实践活动的一部分，是实现安全需求的手段，还应包括：制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，按照既定安全策略和流程规范来实

12、施、维护和审查安全措施。信息安全并不是技术过程，而是管理过程。54、 网络安全的含义及特征是什么? 网络安全是指网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的特征(1)保密性:信息不泄露给非授权的用户,实体或过程,或供其利用的特性.(2)完整性:数据XX不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性.(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息.网络环境下拒绝服务,破坏网络和有关系统的正常运行等都属于对可用性的攻击.(4)可控性:对

13、信息的传播及内容具有控制能力.(5)不可否认性：保证信息行为人不能否认其信息行为。55、 包过滤是如何工作的包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的目的地址作为判据;(2)将包的源地址作为判据;(3)将包的传送协议作为判据.包过滤系统只能让我们进行类似以下情况的操作:(1)不让任何用户从外部网用Telnet登录;(2)允许任何用户使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新闻.包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的目的地址作为判据;(2)将包的源地址作为判据;(3)将包的传送协议作为判据.

14、包过滤系统只能让我们进行类似以下情况的操作:(1)不让任何用户从外部网用Telnet登录;(2)允许任何用户使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新闻.56、 假如你是单位WEB服务器管理员，试述你会采取哪些主要措施来保障WEB服务器安全。 访问控制（IP地址限制、Windows帐户、请求资源的Web权限、资源的NTFS权限）用虚拟目录隐藏真实的网站结构；设置基于SSL的加密和证书服务，以保证传输安全；完善定期审核机制；安装防火墙及杀毒软件；及时安装操作系统补丁，减少操作系统漏洞等等。57、 .简述什么是双重签名以及其基本工作原理。这是数字签名的新应用。首先

15、生成两条消息的摘要，将两个摘要连接起来，生成一个新摘要，然后用签发者的私钥加密。任何一个消息接收者都可以验证消息的真实性。验证方法：给接收者发送信息时，同时发送另一条消息的摘要，接收者对消息生成摘要，将它和另一个摘要连接起来生成新摘要，如果它与解密后的双重签名相等，则可确定消息的真实性。这是数字签名的新应用。首先生成两条消息的摘要，将两个摘要连接起来，生成一个新摘要，然后用签发者的私钥加密。任何一个消息接收者都可以验证消息的真实性。验证方法：给接收者发送信息时，同时发送另一条消息的摘要，接收者对消息生成摘要，将它和另一个摘要连接起来生成新摘要，如果它与解密后的双重签名相等，则可确定消息的真实性。58、 个网络管理假如你是一员，请假定网络场景，说明你会采取哪些措施来构建网络安全体系，这些措施各有什么作用。将重要设备放入专门房间，保持良好环境，有专入制度，保证物理安全；l在网关出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙，如果对速度要求高可以使用硬件防火墙。 l在防火墙后面使用IDS，与防火墙配合使用，以加强内网安全。 l将所有服务器放置在专门的DMZ区域。l对于内网安全，可以使用域环境，由DC