1、信息安全技術(shù)考試題庫一、單項(xiàng)選擇題1、信息安全是信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)中的（C）受到保護(hù)，不因偶然或惡意的原因而受到破壞、更改或泄露。A.用戶B.管理制度C.數(shù)據(jù)D.設(shè)備2、為了預(yù)防計(jì)算機(jī)病毒，應(yīng)采取的正確措施是（B）oA,每天都對計(jì)算機(jī)硬盤和軟件進(jìn)行格式化B,不用盜版軟件和來歷不明的軟盤C.不同任何人交流D.不玩任何計(jì)算機(jī)游戲3、DDoS攻擊破壞了（A）。A,可用性B.保密性C.完整性D.真實(shí)性4、以下哪個(gè)不是數(shù)據(jù)恢復(fù)軟件（D）。A.FinalDataB.RecoverMyFilesC.EasyRecoveryD.OfficePasswordRemove5、Windowsserver20

2、03系統(tǒng)的安全日志如何設(shè)置（C）。A.事件查看器B.服務(wù)管理器C.本地安全策略D.網(wǎng)絡(luò)適配器里6、數(shù)據(jù)備份常用的方式主要有：完全備份、增量備份和（C）oA.邏輯備份B.按需備份C.差異備份D.物理備份7、數(shù)字簽名技術(shù)是公開密鑰算法的一個(gè)典型的應(yīng)用，在發(fā)送端，它是采用（B）對要發(fā)送的的信息進(jìn)行數(shù)字簽名。A.發(fā)送者的公鑰B.發(fā)送者的私鑰C.接收者的公鑰D.接收者的私鑰8、數(shù)字簽名技術(shù)，在接收端，采用（A）進(jìn)行簽名驗(yàn)證。A.發(fā)送者的公鑰B.發(fā)送者的私鑰C.接收者的公鑰D.接收者的私鑰9、（B）不是防火墻的功能。A.過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包B.保護(hù)存儲(chǔ)數(shù)據(jù)安全C.封堵某些禁止的訪問行為D.記錄通過防火墻的

3、信息內(nèi)容和活動(dòng)10、WindowsNT和Windows2003系統(tǒng)能設(shè)置為在幾次無效登錄后鎖定帳號，這可以防止：（B）。A.木馬B.暴力攻擊C.IP欺騙D.緩存溢出攻擊11、在以下認(rèn)證方式中，最常用的認(rèn)證方式是：（A）。A.基于賬戶名/口令認(rèn)證；B.基于摘要算法認(rèn)證；C.基于PKI認(rèn)證；D,基于數(shù)據(jù)庫認(rèn)證12、主要用于加密機(jī)制的協(xié)議是：（D）。A.HTTPB.FTPC.TELNETD.SSL（加密機(jī)制）13、當(dāng)用戶收到了一封可疑的電子郵件，要求用戶提供銀行賬戶及密碼，這是屬于何種攻擊手段？（B）A.緩存溢出攻擊B.釣魚攻擊；C.暗門攻擊D.DDOS攻擊14、保護(hù)數(shù)據(jù)庫，防止未經(jīng)授權(quán)的或不合法的

4、使用造成的數(shù)據(jù)泄露、更改破壞。”這是指數(shù)據(jù)的（A）A.安全性B.完整性C.并發(fā)控制D.恢復(fù)15、在數(shù)據(jù)庫的安全性控制中，為了保護(hù)用戶只能存取他有權(quán)存取的數(shù)據(jù)。在授權(quán)的定義中，數(shù)據(jù)對象的（A）,授權(quán)子系統(tǒng)就越靈活。A.范圍越小B,范圍越大C.約束越細(xì)致D.范圍越適中16、文件型病毒傳染的對象主要是（B）類文件。A.EXE和.WPSB.COM和.EXEC.WPSD.DBF17、入侵檢測的基本方法是：（D）。A,基于用戶行為概率統(tǒng)計(jì)模型的方法B.基于神經(jīng)網(wǎng)絡(luò)的方法C.基于專家系統(tǒng)的方法D.以上都正確18、在網(wǎng)絡(luò)攻擊的多種類型中，攻擊者竊取到系統(tǒng)的訪問權(quán)并盜用資源的攻擊形式屬于哪一種?A.拒絕服務(wù)B.

5、侵入攻擊C.信息盜竊D.信息篡改19、下面哪個(gè)不是執(zhí)行備份操作的用戶（D）。A.Administrators組的成員B.BackupOperators組的成員C.ServerOperators的成員D.PowerUsers組的成員20、下面哪個(gè)不是系統(tǒng)還原的方法（D）。A.安全模式B.故障恢復(fù)控制臺(tái)C.自動(dòng)系統(tǒng)恢復(fù)D.普通模式21、數(shù)據(jù)庫管理系統(tǒng)通常提供授權(quán)功能來控制不同用戶訪問數(shù)據(jù)的權(quán)限，這主要是為了實(shí)現(xiàn)數(shù)據(jù)庫的（D）。A.可靠性B.一致性C.完整性D.安全性22、SQLServer2005提供了4層安全防線，其中“SQLServe通過登錄賬號設(shè)置來創(chuàng)建附加安全層。用戶只有登錄成功，才能與S

6、QLServer建立一次連接。”屬于（B）。A.操作系統(tǒng)的安全防線B.SQLServer的運(yùn)行安全防線C.SQLServer數(shù)據(jù)庫的安全防線D.SQLServer數(shù)據(jù)庫對象的安全防線23、電子郵件的發(fā)件利用某些特殊的電子郵件軟件在短時(shí)間內(nèi)不斷重復(fù)地將電子郵件寄給同一個(gè)收件人，這種破壞方式叫做（B）。A.郵件病毒B.郵件炸彈C.特洛伊木馬D.邏輯炸彈24、網(wǎng)絡(luò)攻擊的有效載體是什么？（C）A.黑客B.網(wǎng)絡(luò)C.病毒D.蠕蟲25、針對操作系統(tǒng)的漏洞作更深入的掃描，是（B）型的漏洞評估產(chǎn)品。A.數(shù)據(jù)庫B.主機(jī)型C.網(wǎng)絡(luò)型D.以上都不正確26、有關(guān)數(shù)字簽名的作用，哪一點(diǎn)不正確。（A.唯一地確定簽名人的身份

7、B.對簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證C.發(fā)信人無法對信件的內(nèi)容進(jìn)行抵賴D.權(quán)威性27、備份在（B）功能菜單下。A.管理工具B.附件C.系統(tǒng)工具D.輔助工具28、收藏夾的目錄名稱為（A）。A.FavoritesB.tempC.WindowsD.MyDocuments29、（A）分析法實(shí)際上是一個(gè)模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動(dòng)作，一方是已知攻擊的簽名數(shù)據(jù)庫。A.簽名分析法B.統(tǒng)計(jì)分析法C.數(shù)據(jù)完整性分析法D,以上都正確30、若系統(tǒng)在運(yùn)行過程中，由于某種硬件故障，使存儲(chǔ)在外存上的數(shù)據(jù)部分損失或全部損失，這種情況稱為（C）。A.事務(wù)故障B.系統(tǒng)故障C.介質(zhì)故障D.人為錯(cuò)誤3

8、1、為了防御網(wǎng)絡(luò)監(jiān)聽，最常用的方法是：（B）oA.采用物理傳輸（非網(wǎng)絡(luò)）B.信息加密C.無線網(wǎng)D,使用專線傳輸32、以下關(guān)于CA認(rèn)證中心說法正確的是：（C）。A. CA認(rèn)證是使用對稱密鑰機(jī)制的認(rèn)證方法B. CA認(rèn)證中心只負(fù)責(zé)簽名，不負(fù)責(zé)證書的產(chǎn)生C. CA認(rèn)證中心負(fù)責(zé)證書的頒發(fā)和管理、并依靠證書證明一個(gè)用戶的身份D. CA認(rèn)證中心不用保持中立，可以隨便找一個(gè)用戶來做為CA認(rèn)證中心33、以下關(guān)于對稱密鑰加密說法正確的是：（C）。A.加密方和解密方可以使用不同的算法B.加密密鑰和解密密鑰可以是不同的C.加密密鑰和解密密鑰必須是相同的D.密鑰的管理非常簡單34、Web從Web服務(wù)器方面和瀏覽器方面受

9、到的威脅主要來自（D）A.瀏覽器和Web服務(wù)器的通信方面存在漏洞B.Web服務(wù)器的安全漏洞C.服務(wù)器端腳本的安全漏洞D.以上全是35、審計(jì)管理指：（C）。A.保證數(shù)據(jù)接收方收到的信息與發(fā)送方發(fā)送的信息完全一致B.防止因數(shù)據(jù)被截獲而造成的泄密C,對用戶和程序使用資源的情況進(jìn)行記錄和審查D.保證信息使用者都可有得到相應(yīng)授權(quán)的全部服務(wù)36、當(dāng)數(shù)據(jù)庫損壞時(shí)，數(shù)據(jù)庫管理員可通過何種方式恢復(fù)數(shù)據(jù)庫（A）。A.事務(wù)日志文件B.主數(shù)據(jù)文件C.DELETE語句D.聯(lián)機(jī)幫助文件37、下面哪一個(gè)不是常見的備份類型（D）。A.完全備份B.增量備份C.差分備份D.每周備份38、注冊表數(shù)據(jù)導(dǎo)出后的擴(kuò)展名為（A）oA.re

10、gB.datC.exeD.bat39、信息風(fēng)險(xiǎn)主要指那些？（D）A.信息存儲(chǔ)安全B.信息傳輸安全C.信息訪問安全D,以上都正確40、對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表，對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種防火墻技術(shù)稱為（B）。A.包過濾技術(shù)B.狀態(tài)檢測技術(shù)C.代理服務(wù)技術(shù)D.以上都不正確1 .Kerberos的設(shè)計(jì)目標(biāo)不包括（B）。A.認(rèn)證B.授權(quán)C.記賬D.審計(jì)2 .身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（B）oA.身份鑒別是授權(quán)控制的基礎(chǔ)B.身份鑒別一般不用提供雙向

11、的認(rèn)證C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制3.基于通信雙方共同擁有的但是不為別人知道的秘密，利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力，以該秘密作為加密和解密的密鑰的認(rèn)證是（C）。A.公鑰認(rèn)證B.零知識認(rèn)證C.共享密鑰認(rèn)證D.口令認(rèn)證5. （C）是一個(gè)對稱DES加密系統(tǒng)，它使用一個(gè)集中式的專鑰密碼功能，系統(tǒng)的核心是KDC。A.TACACSB.RADIUSC.KerberosD.PKI3.為了簡化管理，通常對訪問者（A）,以避免訪問控制表過于龐大。A.分類組織成組B.嚴(yán)格限制數(shù)量C.按訪問時(shí)間排序，刪除長期沒有訪問的用戶D.不作任何限制二、填空題1、信息安全

12、是指秘密信息在產(chǎn)生、傳輸、使用和存儲(chǔ)的過程中不被泄露或破壞。數(shù)字簽名是筆跡簽名的模擬、是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。DES算法密鑰是64位，其中密鑰有效位是56位。RSA算法的安全是基于分解兩個(gè)大素?cái)?shù)的積的困難。2、一個(gè)完整的信息安全技術(shù)系統(tǒng)結(jié)構(gòu)由物理安全技術(shù)、基礎(chǔ)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)以及應(yīng)用安全技術(shù)組成。（物理、基礎(chǔ)、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用）3、對稱加密算法又稱傳統(tǒng)密碼算法，或單密鑰算法，具采用了對稱密碼編碼技術(shù)，具特點(diǎn)文件加密和文件解密都使用相同的密鑰。4、證書是PKI的核心元素，CA是PKI的核心執(zhí)行者。防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽

13、子網(wǎng)體系結(jié)構(gòu)。5、數(shù)字簽名是實(shí)現(xiàn)交易安全的核心技術(shù)之一、它的實(shí)現(xiàn)基礎(chǔ)就是加密技術(shù)，能夠?qū)崿F(xiàn)電子文檔的辨認(rèn)和驗(yàn)證。6、NTFS權(quán)限的兩大要素是：標(biāo)準(zhǔn)訪問權(quán)限和特別訪問權(quán)限。7、漏洞掃描是對計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測、找出安全隱患和可被黑客利用的漏洞8、DDos的攻擊形式主要有：流量攻擊和資源耗盡攻擊。9、計(jì)算機(jī)病毒是一組計(jì)算機(jī)指令或者程序代碼、能自我復(fù)制，通常嵌入在計(jì)算機(jī)程序中，能夠破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)的使用。10、數(shù)據(jù)庫系統(tǒng)分為數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)。11、端口就是一扇講入計(jì)算機(jī)系統(tǒng)的門。6.漏洞掃描是對計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測,找出安全

14、隱患和可被黑客利用的漏洞。12、根據(jù)原始數(shù)據(jù)的來源IDS可以分為：基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測。13、網(wǎng)頁病毒是指黑客自己建立帶病春的網(wǎng)站,或者入侵大流量網(wǎng)站，然后在其網(wǎng)頁中植入木馬和病毒，當(dāng)用戶瀏覽到這些網(wǎng)頁時(shí)就會(huì)中毒。14、VPN（虛擬專用網(wǎng)）被定義為通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的通道。15、SQLServer2005提供了4種備份數(shù)據(jù)庫的方式：完整備份、差異備份、文件組備份、和事務(wù)日志備份。16、網(wǎng)上銀行借助于互聯(lián)網(wǎng)數(shù)字通信技術(shù)向客戶提供金融信息發(fā)布和金融交易服務(wù)、是傳統(tǒng)銀行業(yè)務(wù)在互聯(lián)網(wǎng)上的延伸，是一種虛擬銀行。1.防火墻系統(tǒng)的體系

15、結(jié)構(gòu)分為：包過濾防護(hù)墻、應(yīng)用級網(wǎng)關(guān)防火墻、_代理服務(wù)器防火墻三種。三、判斷題1、網(wǎng)絡(luò)交易的信息風(fēng)險(xiǎn)主要來自冒名偷竊、篡改數(shù)據(jù)、信息丟失等方面的風(fēng)險(xiǎn)。（V）2、基于公開密鑰體制（PKI）的數(shù)字證書是電子商務(wù)安全體系的核心。（，）3、入侵檢測的信息分析方法中模式匹配法的優(yōu)點(diǎn)是能檢測到從未出現(xiàn)過的黑客攻擊手段。（X）4、TCPFIN屬于典型的端口掃描類型。（V）5、復(fù)合型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，同時(shí)也常結(jié)合過濾器的功能。（V）6、漏洞只可能存在于操作系統(tǒng)中，數(shù)據(jù)庫等其他軟件系統(tǒng)不會(huì)存在漏洞。（X）7、x-scan能夠進(jìn)行端口掃描。（V）8、網(wǎng)絡(luò)釣魚的目標(biāo)往往

16、是細(xì)心選擇的一些電子郵件地址。（V）9、防火墻規(guī)則集的內(nèi)容決定了防火墻的真正功能。（V）10、Windows系統(tǒng)中，系統(tǒng)中的用戶帳號可以由任意系統(tǒng)用戶建立。用戶帳號中包含著用戶的名稱與密碼、用戶所屬的組、用戶的權(quán)利和用戶的權(quán)限等相關(guān)數(shù)據(jù)。（X）1 .信息網(wǎng)絡(luò)的物理安全要從環(huán)境安全和設(shè)備安全兩個(gè)角度來考慮。（）2 .有很高使用價(jià)值或很高機(jī)密程度的重要數(shù)據(jù)應(yīng)采用加密等方法進(jìn)行保護(hù)。（）3 .常見的操作系統(tǒng)包括DOS、UNIX、Linux、Windows、Netware、Oracle等。（）4 .TCPFIN屬于典型的端口掃描類型。（）5 .復(fù)合型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層

17、通信流的作用，同時(shí)也常結(jié)合過濾器的功能。（）6 .漏洞只可能存在于操作系統(tǒng)中，數(shù)據(jù)庫等其他軟件系統(tǒng)不會(huì)存在漏洞。（）7 .如果采用正確的用戶名和口令成功登錄網(wǎng)站，則證明這個(gè)網(wǎng)站不是仿冒的。（）8 .網(wǎng)絡(luò)釣魚的目標(biāo)往往是細(xì)心選擇的一些電子郵件地址。（）9 .防火墻規(guī)則集的內(nèi)容決定了防火墻的真正功能。（）10 .由于網(wǎng)絡(luò)釣魚通常利用垃圾郵件進(jìn)行傳播，因此，各種反垃圾郵件的技術(shù)也都可以用來反網(wǎng)絡(luò)釣魚。（X）四.問答題使用口令進(jìn)行身份認(rèn)證的優(yōu)缺點(diǎn)？優(yōu)點(diǎn)：在于黑客即使得到r口令文件，通過做列孰想要計(jì)算出原始口令在計(jì)算上也是不可能的，這就相對增加r安仝性，獻(xiàn)點(diǎn)*嚴(yán)重的安仝問題，安全性僅依賴于口令，而且用戶

18、往往選擇容易記憶、容易被猜測的口令.口令文件也可被進(jìn)行離線的字典式攻擊.1 .信息安全有哪些常見的威脅？信息安全的實(shí)現(xiàn)有哪些主要技術(shù)措施？答：常見威脅有非授權(quán)訪問.信息泄露.破壞數(shù)據(jù)完整性，拒絕服務(wù)攻擊，惡意代碼。信息安全的實(shí)現(xiàn)可以通過物理安全技術(shù)，系統(tǒng)安全技術(shù)，網(wǎng)絡(luò)安全技術(shù)，應(yīng)用安全技術(shù)，數(shù)據(jù)加密技術(shù)，認(rèn)證授權(quán)技術(shù)，訪問控制技術(shù)，審計(jì)跟蹤技術(shù)，防病毒技術(shù)，災(zāi)難恢復(fù)和備份技術(shù)2 .防火墻的實(shí)現(xiàn)技術(shù)有哪兩類？防火墻存在的局限性又有哪些？答：防火墻的實(shí)現(xiàn)從層次上可以分為兩類：數(shù)據(jù)包過濾和應(yīng)用層網(wǎng)關(guān)，前者工作在網(wǎng)絡(luò)層，而后者工作在應(yīng)用層。防火墻存在的局限性主要有以下七個(gè)方面(1)網(wǎng)絡(luò)上有些攻擊可以繞

19、過防火墻(如撥號)。(2)防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。(3)防火墻不能對被病毒感染的程序和文件的傳輸提供保護(hù)。(4)防火墻不能防范全新的網(wǎng)絡(luò)威脅。(5)當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制。(6)防火墻對用戶不完全透明，可能帶來傳輸延遲.瓶頸以及單點(diǎn)失效等問題。(7)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊(附件)。3 .列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。(1)鑒別用于鑒別實(shí)體的身份和對身份的證實(shí)，包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。(2)訪問控制提供對越權(quán)使用資源的防御措施。(3)數(shù)據(jù)機(jī)密性

20、針對信息泄露而采取的防御措施。分為連接機(jī)密性.無連接機(jī)密性.選擇字段機(jī)密性.通信業(yè)務(wù)流機(jī)密性四種。(4)數(shù)據(jù)完整性防止非法篡改信息，如修改.復(fù)制.插入和刪除等。分為帶恢復(fù)的連接完整性.無恢復(fù)的連接完整性.選擇字段的連接完整性.無連接完整性.選擇字段無連接完整性五種。(5)抗否認(rèn)是針對對方否認(rèn)的防范措施，用來證實(shí)發(fā)生過的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。4 .數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端：否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文。偽造，接收方自己偽造一份報(bào)文，并聲稱它來自發(fā)送方。冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)

21、送報(bào)文。篡改，接收方對收到的信息進(jìn)行篡改。5 .有哪些生物特征可以作為身份認(rèn)證的依據(jù)，這種認(rèn)證的過程是怎樣的？以人體唯一的.可靠的.穩(wěn)定的生物特征(如指紋.虹膜.臉部.掌紋等)為依據(jù)，采用計(jì)算機(jī)強(qiáng)大的計(jì)算功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖象處理和模式識別。該技術(shù)具有很好的安全性.可靠性和有效性。所有的工作有4個(gè)步驟：抓圖.抽取特征.比較和匹配。生物捕捉系統(tǒng)捕捉到生物特征的樣品，唯一的特征將會(huì)被提取并且被轉(zhuǎn)化成數(shù)字符號，這些符號被存成那個(gè)人的特征摸板，人們同識別系統(tǒng)交互進(jìn)行身份認(rèn)證，以確定匹配或不匹配授權(quán)與訪問控制。1 .什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處

22、于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限。換言之，一個(gè)防火墻在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間提供一個(gè)封鎖工具。如果沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個(gè)主機(jī)，因此，所有的主機(jī)都必須達(dá)到一致的高度安全水平，這在實(shí)際操作時(shí)非常困難。而防火墻被設(shè)計(jì)為只運(yùn)行專用的訪問控制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會(huì)使內(nèi)部網(wǎng)絡(luò)更加安全。防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情

23、況下，盡可能保證內(nèi)部網(wǎng)絡(luò)的安全。它是一種被動(dòng)的技術(shù)，是一種靜態(tài)安全部件。2 .請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進(jìn)行：(1)采用散列算法對原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字用,稱為報(bào)文摘要(MessageDigest),不同的報(bào)文所得到的報(bào)文摘要各異，但對相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。(2)發(fā)送方用目己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名。(3)這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。(4)接收方首先對接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘

24、要，再用發(fā)送方的公開密鑰對報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改。五、名詞解釋信息安全：建立在網(wǎng)絡(luò)基礎(chǔ)上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護(hù)信息系統(tǒng)的硬件軟件及其相關(guān)數(shù)據(jù)，使之不因偶然或是惡意侵犯而遭受破壞，更改及泄露，保證信息系統(tǒng)能夠連續(xù)正?？煽康倪\(yùn)行。VPN:一般是指建筑在因特網(wǎng)上能夠自我管理的專用網(wǎng)絡(luò)，是一條穿過混亂的公共網(wǎng)絡(luò)的安全穩(wěn)定的隧道。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的，安全的連接，從而實(shí)現(xiàn)早公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)達(dá)到私有網(wǎng)絡(luò)的級別。數(shù)字證書：是

25、指各實(shí)體(持卡人、個(gè)人、商戶、企業(yè)、網(wǎng)關(guān)、銀行等)在網(wǎng)上信息交流及交易活動(dòng)中的身份證明。Web信任模型有哪些安全隱患？Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多安全隱患。例如，因?yàn)闉g覽器的用戶自動(dòng)地信任預(yù)安裝的所有公鑰，所以即使這些根CA中有一個(gè)是“壞的”(例如，該CA從沒有認(rèn)真核實(shí)被認(rèn)證的實(shí)體)，安全性將被完全破壞。另外一個(gè)潛在的安全隱患是沒有實(shí)用的機(jī)制來撤消嵌入到瀏覽器中的根密鑰。如果發(fā)現(xiàn)一個(gè)根密鑰是“壞的”（就像前而所討論的那樣）或者與根的公鑰相應(yīng)的私鑰被泄密了，要使全世界數(shù)百萬個(gè)瀏覽器都自動(dòng)地廢止該密鑰的使用是不可能的。訪問控制表ACL有什么優(yōu)缺點(diǎn)？ACL的優(yōu)點(diǎn)：

26、表述直觀、易于理解，比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，有效地實(shí)施授權(quán)管理。ACL應(yīng)用到規(guī)模大的企業(yè)內(nèi)部網(wǎng)時(shí)，有問題：（1）網(wǎng)絡(luò)資源很多，ACL需要設(shè)定大量的表項(xiàng)，而且修改起來比較困難，實(shí)現(xiàn)整個(gè)組織范圍內(nèi)一致的控制政策也比較困難。（2）單純使用ACL,不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策。5.簡述認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型的性質(zhì)？層次結(jié)構(gòu)中的所有實(shí)體都信任惟一的根CA0在認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)中，每個(gè)實(shí)體（包括中介CA和終端實(shí)體）都必須擁有根CA的公鑰，該公鑰的安裝是在這個(gè)模型中為隨后進(jìn)行的所有通信進(jìn)行證書處理的基礎(chǔ)，因此，它必須通過一種安全（帶外）的方式來完成。值得注意的是，在

27、一個(gè)多層的嚴(yán)格層次結(jié)構(gòu)中.終端實(shí)體直接被其上層的CA認(rèn)證（也就是頒發(fā)證書）,但是它們的信任錨是另一個(gè)不同的CA（根CA）。數(shù)字證書的原理是什么？答：數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名1 .防火墻：它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護(hù)內(nèi)部網(wǎng)絡(luò)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是IETF為了解決IPv4協(xié)議定義的IP地