北邮《网络与信息安全》期末复习题(含答案).doc

《网络与信息安全》综合练习题 一．选择题 1． 以下对网络安全管理的描述中，正确的是（D）。 D） 安全管理的目标是保证重要的信息不被未授权的用户访问。 2． 以下有关网络管理功能的描述中，错误的是（D）。 D） 安全管理是使网络性能维持在较好水平。 3． 有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（A）。A） D1 4．Windows NT操作系统能够达到的最高安全级别是（B）。B）C2 5．下面操作系统能够达到C2安全级别的是（D）。D）Ⅲ和Ⅳ Ⅲ.Windows NT Ⅳ.NetWare3.x 6．计算机系统处理敏感信息需要的最低安全级别是（C）。C）C2 7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（D）。D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（C）。C）C2 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。 10．网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。 11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。这种安全威胁属于（B）。B）破坏数据完整性 12．以下方法不能用于计算机病毒检测的是（B）。B）加密可执行程序 13．若每次打开Word程序编辑文当时，计算机都会把文档传送到另一FTP服务器，那么可以怀疑Word程序被黑客植入（B）。B）特洛伊木马 14．网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。 15．当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源，这是对网络__可用_性的攻击。 16．有一类攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。 17．下面攻击方法属于被动攻击的是（C）。C）通信量分析攻击 18．下面攻击属于非服务攻击的是（C）。C）Ⅱ和Ⅲ Ⅱ.源路由攻击 Ⅲ.地址欺骗攻击 19．下面（）攻击属于服务攻击。D）Ⅰ和Ⅳ Ⅰ.邮件炸弹攻击 Ⅳ.DOS攻击 20．通信量分析攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类安全攻击属于_被动性_攻击。 21．从信源向信宿流动过程中，信息被插入一些欺骗性的消息，这类攻击属于（B）。B）截取攻击 22．网络安全攻击方法可以分为服务攻击与_非服务_攻击。 23．关于RC5加密算法的描述中，正确的是（D）。D）分组和密钥长度都可变 24．下面不属于对称加密的是（D）。D）RSA 25．DES是一种常用的对称加密算法，其一般的分组长度为（C）。C）64位 26．关于RC5加密技术的描述中，正确的是（C）。C）它的密钥长度可变 27．对称加密机制的安全性取决于_密钥_的保密性。 28．以下关于公钥密码体制的描述中，错误的是（C）。C）一定比常规加密更安全 29．以下关于公钥分发的描述中，错误的是（D）。D）公钥的分发比较简单 30．张三从CA得到了李四的数字证书，张三可以从该数字证书中得到李四的（D）。 D）公钥 31．在认证过程中，如果明文由A发送到B，那么对明文进行签名的密钥为（B）。 B）A的私钥 32．为了确定信息在网络传输过程中是否被他人篡改，一般采用的技术是（C）。 C）消息认证技术 33．MD5是一种常用的摘要算法，它产生的消息摘要长度是（C）。C）128位 34．用户张三给文件服务器发命令，要求将文件“张三.doc”删除。文件服务器上的认证机制需要确定的主要问题是（C）。C）该命令是否是张三发出的 35．防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。 36．以下关于数字签名的描述中，错误的事（B）。B）数字签名可以保证消息内容的机密性 37．数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。 38．关于数字签名的描述中，错误的是（C）。C）可以保证消息内容的机密性 39．Kerberos是一种网络认证协议，它采用的加密算法是（C）。C）DES 40．IPSec不能提供（D）服务。D）文件加密 41．下面关于IPSec的说法错误的是（D）。D）它只能在IPv4环境下使用 42．以下关于防火墙技术的描述，错误的是（C）。C）防火墙可以阻止内部人员对外部攻击 43．关于防火墙技术的描述中，正确的是（B）。B）防火墙可以布置在企业内部网和Internet之间 44．以下关于防火墙技术的描述，错误的是（C）。C）防火墙可以对网络攻击进行反向追踪 45．以下关于防火墙技术的描述中，错误的是（C）。C）可以查、杀各种病毒 47．安全威胁可分为（A）。A）故意威胁和偶然威胁 48．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意地添加或修改。这种安全威胁属于（B）。B）破坏数据完整性 49．对网络的威胁包括（D）。D）①②③④⑤ ①假冒 ②特洛伊木马 ③旁路控制 ④陷门 ⑤授权侵犯 50．著名的特洛伊木马的威胁类型属于（B）。B）植入威胁 51．DES加密算法采用的密钥长度是（B）。B）56位 52．下面加密算法不属于对称加密的是（C）。C）RSA 53.我们领取汇款时需要加盖取款人的盖章，在身份认证中，图章属于（D）。 D）个人持证 54．在以下认证方式中，最常用的认证方式是（A）。A）账户名/口令认证 55．以下方法不属于个人特征认证的是（A）。A）PIN码 56．数字签名技术中，发送方使用自己的（A）对信息摘要进行加密。A）私钥 57．基于MD5的一次性口令生成算法是（B）。B）S/Key口令协议 58．为了保障网络安全，防止外部网对内部网的侵犯，多在内部网络与外部网络之间设置（C）。C）防火墙 59．以下选项中，防火墙无法带来好处的是（C）。C）代替安全策略 60．特洛伊木马是指软件中含有一小段察觉不出的程序段，当软件运行时会损害用户的安全。 61．常见的摘要算法有消息摘要4算法MD4、消息摘要5算法MD5和安全散列算法SHA。 62．加强Web通信安全的方案有：SSL（安全套接层）和_IPsec_。 二．问答题 1. 安全体系结构中定义的安全服务有那几点？ （1）．答：一个安全的计算机网络应当能够提供以下的安全服务： 1． 认证 认证就是识别和证实，即识别一个实体的身份和证实该实体身份的真实性。 2． 访问控制 访问控制是确定不同用户对信息资源的访问权限。 3． 数据保密性 数据保密性的安全服务是使系统只对授权的用户提供信息，对于未被授权的使用者，这些信息是不可获得或不可理解的。 4． 数据完整性 数据完整性的服务是针对被非法篡改的信息、文件和业务流设置的防范措施，以保证资源的可获得性。 5． 不可否认性 不可否认性的安全服务是针对对方进行抵赖的防范措施，可用于证实发生过的操作。 2. ISO7498-2建议的安全机制有那几种？ （2）答：ISO7498-2建议的安全机制： 1．加密机制:加密机制用于加密数据或流通中的信息，其可以单独使用。 2．数字签名机制:数字签名机制是由对信息进行签字和对已签字的信息进行证实这样两个过程组成。 3．访问控制机制:访问控制机制是根据实体的身份及其有关信息来决定该实体的访问权限。 4．数据完整性机制 5．认证机制 6．通信业务填充机制 7．路由控制机制 8．公证机制:公证机制是由第三方参与的签名机制。 3. 从体系上看，Internet网络安全问题可分为那几个层次？ （3）答：从体系上看，Internet网络安全问题可分为以下五个层次，即用户层、应用层、操作系统层、数据链路层和网络层。 4. 简述单钥体制和双钥体制的主要区别？ （4）答：单钥体制的加密密钥和解密密钥相同，也称为对称密钥密码系统。采用双钥体制的每个用户都有一对选定的密码，其中一个公开，另一个保密。因此又称为公钥体制或公开密钥密码系统。 5. 基于TCP/IP协议的应用层服务主要有几种？ （5）答：主要有：简单邮件传输协议（SMTP）、文件传输协议（FTP）、超文本传输协议（HTTP）、远程登录协议（Telnet）、简单网络管理协议（SNMP）、域名系统（DNS）。 6. 认证的方法有那几种？(.用户或系统通过哪几种方法证明其身份？) （6）答：用户或系统能够通过四种方法来证明其身份，即实物认证、密码认证、生物特征认证和位置认证。 1）.实物认证:实物认证是采用基于所拥有的某些东西作为认证的方法。 2）.密码认证:在计算机网络系统中密码认证通常是用口令。 3）.生物特征认证:该方法可以使用指纹、声音、图像以及签名等方式进行认证。 4）.位置认证:该认证的策略是根据用户的位置来决定其身份。 7. 数字签名的功能和作用是什么？ （7）答：信息鉴别的方法可以使信息接收者确定信息发送者的身份以及信息在传送过程中是否被改动过。为解决这一问题，就必须利用数字签名技术。签名必须达到如下效果：在信息通信的过程中，接收方能够对公正的第三方证明其收到的报文内容是真的，而且确实是由那个发送方发送过来的；签名还必须保证发送方事后不能根据自己的利益否认它所发送过的报文，而收方也不能根据自己的利益来伪造报文或签名。 8. 简述对称加密和非对称加密的主要区别？ （8）答：在对称加密算法中，用于加密和解密的密钥是相同的，接收者和发送者使用相同的密钥双方必须小心翼翼地保护密钥。非对称密钥加密在加密过程中使用相互关联的一对密钥，一个归发送者，一个归接收者。密钥对中的一个必须保持秘密状态，称为私钥；另一个则被广泛发布，称为公钥。 9. 网络防病毒工具的防御能力应体现在哪些方面？ （9）答：网络防病毒工具的防御能力应体现在： 1．病毒查杀能力 2．对新病毒的反应能力 3．病毒实时监测能力 4．快速、方便的升级 5．智能包装、远程识别 6．管理方便，易于操作 7．对现有资源的占用情况 8．系统兼容性 10. 什么是PKI？它由哪几部分组成？ （10）答：PKI就是用公钥技术实施和提供安全服务的安全基础设施。 PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。 11. 认证中心有什么功能？由哪几部分组成？ （11）答：概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。 认证中心CA为了实现其功能，主要由以下三部分组成： 注册服务器：通过Web Server建立的站点，可为客户提供24×7不间断的服务。 证书申请受理和审核机构：负责证书的申请和审核。 认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。 12. 基于PKI的电子商务交易系统实现过程有哪几步？ （12）答：假设在交易之前，企业客户已经申请获得了电子商务站点所颁发的客户消费证书。 1．客户浏览电子商务站点，初始化请求，客户端认证 2．验证客户身份，确定客户购买权限，返回应答请求，用户进入购买状态 3．完成购物，发送订单 4．服务器收到订单，请求获取安全时间戳，记录交易信息 5．向商家发送订单通知，确认交易成功信息 13. 什么是数据包过滤技术？ （13）答：数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤的逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许数据包通过。 14. 什么是状态检测技术？ （14）答：状态检测是对包过滤功能的扩展。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。 15. 防火墙体系结构通常分为哪几类？ （15）答：防火墙体系结构通常分为四类： 1．屏蔽路由器 2．屏蔽主机网关 3．双宿主机网关 4．屏蔽子网 16. 什么是虚拟专用网技术VPN？ （16）答：虚拟专用网VPN是企业内部网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。 17. 简述分布式防火墙的基本原理。 （17）答：分布式防火墙工作原理是：首先由制定防火墙接入控制策略的中心，通过编译器将策略语言的描述转换成内部格式，以形成策略文件；然后中心采用系统管理工具把策略文件发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包。这一方面是根据IPSec协议，另一方面是根据策略文件。 18. Windows2000的安全子系统由哪几部分组成？ （18）答：Windows2000的安全子系统由本地安全策略、安全账号管理器、安全证明监视器三部分组成。 19. 什么是Linux？ （19）答：Linux是一套免费使用和自由传播的类UNIX操作系统，它主要用于基于Intel x86系列CPU的计算机上。这个系统是由世界各地成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约能自由使用的UNIX兼容产品。 20．什么是文件系统？其安装命令有哪些？ （20）答：这是磁盘上有特定格式的一片区域，操作系统通过文件系统可以方便地查询和访问其中所包含的磁盘块。安装命令（略）。 21．什么是配置文件？它有什么作用？ （21）答：每个物理硬件设备可以创建多个逻辑网络设备。逻辑网络设备与设备别名不同。和同一物理设备相关联的逻辑网络设备必须存在于不同的配置文件中，并且不能被同时激活。 配置文件可以被用来为不同的网络创建多个配置集合。配置集合中除了主机和DNS设置外还可以包含逻辑设备。配置文件之后，可以用网络管理工具进行切换使用。 22．什么是设备别名？ （22）答：设备别名是和同一物理硬件相关联的虚拟设备，但是它们可以同时被激活，并拥有不同的IP地址。它们通常使用设备名、冒号和数字来代表。设备别名可以用于当只有一个网卡时又要给系统多个IP地址。 23．操作系统的安全机制有哪些？ （23）答：操作系统的安全机制由本地安全策略、安全账号管理器、安全证明监视器等。 24．哪个文件系统在Windows2000中支持本地安全措施？ （24）答：NTFS文件系统。 25．防火墙的任务是什么？ （25）答：防火墙应能够确保满足以下四大功能： 1．实现安全策略 2．创建检查点 3．记录Internet活动 4．保护内部网络 26．防火墙从实现方式上有几种？ （26）答：大多数防火墙实际使用中实现方式可以分为以下四种类型: 1.嵌入式防火墙 2．软件防火墙 3．硬件防火墙 4．应用程序防火墙 27. 目前有几种加密方法？ 答：目前有三种加密的方法： （1）对称加密：使用同样的密钥进行加密和解密。 （2）非对称加密：也称公钥加密。使用一对密钥来加密数据。一个用于加密，一个用于解密。 （3）单向加密：也称HASH加密。其使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂，使得它不可能恢复原状。 28. 单钥加密体制中，用户A和B获得共享密钥的方法有几种？ 答：用户A和B获得共享密钥的方法基本上有以下几种： （1） 密钥由A选取并通过物理手段发送给B （2） 密钥由第三方选取并通过物理手段发送给A和B （3） 如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方。 （4） 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。 三.画图说明题 1.请画图说明具有保密性和认证性的密钥分配并说明建立会话密钥的步骤。 答：图如下所示： 若用户A和B双方已完成公钥交换，可按以下步骤建立会话密钥。 1）A用B的公开钥加密A的身份IDA和一个一次性随机数N1后发给B，其中N1用于唯一地标识此次业务。 2）B用A的公开钥PKA加密A的一次性随机数N1和B新产生的一次性随机数N2后发给A。因为只有B能解读A发给B的消息，而B所发的消息中N1的存在可使A相信对方的确是B。 3）A用B的公钥PKB对N2加密后返回给B，以使B相信对方的确是A。 4）A选一会话密钥KS，然后将其M=EpkB[EskA[KS]]发给B，其中用B的公开钥加密是为了保证只有B能解读加密结果，用A的秘密钥加密是保证该加密结果只有A能发送。 5）B以DskA[DskB[M]]恢复会话密钥。