WORD9/9安全體系結(jié)構(gòu)與模型一、選擇題1.網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對(duì)（D）提供安全保護(hù)。A.信息載體B.信息的處理、傳輸C.信息的存儲(chǔ)、訪問(wèn)D.上面3項(xiàng)都是2.ISO7498-2從體系結(jié)構(gòu)觀點(diǎn)描述了5種安全服務(wù)，以下不屬于這5種安全服務(wù)的是（B）。A.身份鑒別B.數(shù)據(jù)報(bào)過(guò)濾C.授權(quán)控制D.數(shù)據(jù)完整性3.ISO7498-2描述了8種特定的安全機(jī)制，以下不屬于這8種安全機(jī)制的是（A）。A.安全標(biāo)記機(jī)制B.加密機(jī)制C.數(shù)字簽名機(jī)制D.訪問(wèn)控制機(jī)制4.用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（A）。A.加密機(jī)制和數(shù)字簽名機(jī)制B.加密機(jī)制和訪問(wèn)控制機(jī)制C.數(shù)字簽名機(jī)制和路由控制機(jī)制D.訪問(wèn)控制機(jī)制和路由控制機(jī)制5.在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒(méi)有規(guī)定（E）。A.對(duì)象認(rèn)證服務(wù)B.數(shù)據(jù)性安全服務(wù)C.訪問(wèn)控制安全服務(wù)D.數(shù)據(jù)完整性安全服務(wù)E.數(shù)據(jù)可用性安全服務(wù)6.ISO定義的安全體系結(jié)構(gòu)中包含（B）種安全服務(wù)。A.4B.5C.6D.77.（D）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機(jī)制。A.通信業(yè)務(wù)填充機(jī)制B.訪問(wèn)控制機(jī)制C.數(shù)字簽名機(jī)制D.審計(jì)機(jī)制E.公證機(jī)制8.ISO安全體系結(jié)構(gòu)中的對(duì)象認(rèn)證服務(wù)，使用（B）完成。A.加密機(jī)制B.數(shù)字簽名機(jī)制C.訪問(wèn)控制機(jī)制D.數(shù)據(jù)完整性機(jī)制9.CA屬于ISO安全體系結(jié)構(gòu)中定義的（D）。A.認(rèn)證交換機(jī)制B.通信業(yè)務(wù)填充機(jī)制C.路由控制機(jī)制D.公證機(jī)制10.數(shù)據(jù)性安全服務(wù)的基礎(chǔ)是（D）。A.數(shù)據(jù)完整性機(jī)制B.數(shù)字簽名機(jī)制C.訪問(wèn)控制機(jī)制D.加密機(jī)制11.可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是（D）。A.假冒源地址或用戶的地址欺騙攻擊B.抵賴做過(guò)信息的遞交行為C.數(shù)據(jù)中途被攻擊者竊聽(tīng)獲取D.數(shù)據(jù)在途中被攻擊者篡改或破壞二、填空題GB/T9387.2-1995定義了5大類安全服務(wù)，提供這些服務(wù)的8種安全機(jī)制以與相應(yīng)的開(kāi)放系統(tǒng)互連的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中。三、問(wèn)答題列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。（1）鑒別用于鑒別實(shí)體的身份和對(duì)身份的證實(shí)，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問(wèn)控制提供對(duì)越權(quán)使用資源的防御措施。（3）數(shù)據(jù)性針對(duì)信息泄露而采取的防御措施。分為連接性、無(wú)連接性、選擇字段性、通信業(yè)務(wù)流性四種。（4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等。分為帶恢復(fù)的連接完整性、無(wú)恢復(fù)的連接完整性、選擇字段的連接完整性、無(wú)連接完整性、選擇字段無(wú)連接完整性五種。（5）抗否認(rèn)是針對(duì)對(duì)方否認(rèn)的防措施，用來(lái)證實(shí)發(fā)生過(guò)的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。密鑰分配與管理一、填空題1．密鑰管理的主要容包括密鑰的生成、分配、使用、存儲(chǔ)、備份、恢復(fù)和銷毀。2.密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分散生成。密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過(guò)程。密鑰分配中心的英文縮寫(xiě)是KDC。數(shù)字簽名與鑒別協(xié)議一、選擇題1.數(shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是（C）。A.多一道加密工序使密文更難破譯B.提高密文的計(jì)算速度C.縮小簽名密文的長(zhǎng)度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度D.保證密文能正確還原成明文二、問(wèn)答題1.數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭(zhēng)端：否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過(guò)某一報(bào)文。偽造，接收方自己偽造一份報(bào)文，并聲稱它來(lái)自發(fā)送方。冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文。篡改，接收方對(duì)收到的信息進(jìn)行篡改。2.請(qǐng)說(shuō)明數(shù)字簽名的主要流程。數(shù)字簽名通過(guò)如下的流程進(jìn)行：(1)采用散列算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度的數(shù)字串，稱為報(bào)文摘要(MessageDigest)，不同的報(bào)文所得到的報(bào)文摘要各異，但對(duì)一樣的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。(2)發(fā)送方用目己的私有密鑰對(duì)摘要進(jìn)行加密來(lái)形成數(shù)字簽名。(3)這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方。(4)接收方首先對(duì)接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的公開(kāi)密鑰對(duì)報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值一樣，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改。3.數(shù)字證書(shū)的原理是什么？數(shù)字證書(shū)采用公開(kāi)密鑰體制（例如RSA）。每個(gè)用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一公開(kāi)密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。采用數(shù)字證書(shū)，能夠確認(rèn)以下兩點(diǎn)：(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。(2)保證信息自簽發(fā)后到收到為止未曾做過(guò)任何修改，簽發(fā)的信息是真實(shí)信息。身份認(rèn)證一、選擇題1.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（B）。A.身份鑒別是授權(quán)控制的基礎(chǔ)B.身份鑒別一般不用提供雙向的認(rèn)證C.目前一般采用基于對(duì)稱密鑰加密或公開(kāi)密鑰加密的方法D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制2.基于通信雙方共同擁有的但是不為別人知道的秘密，利用計(jì)算機(jī)強(qiáng)大的計(jì)算能力，以該秘密作為加密和解密的密鑰的認(rèn)證是（C）。A.公鑰認(rèn)證B.零知識(shí)認(rèn)證C.共享密鑰認(rèn)證D.口令認(rèn)證二、填空題身份認(rèn)證是驗(yàn)證信息發(fā)送者是真的，而不是冒充的，包括信源、信宿等的認(rèn)證和識(shí)別。三、問(wèn)答題解釋身份認(rèn)證的基本概念。身份認(rèn)證是指用戶必須提供他是誰(shuí)的證明，這種證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過(guò)程是為了限制非法用戶訪問(wèn)網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，識(shí)別身份后，由訪問(wèn)監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫(kù)決定是否能夠訪問(wèn)某個(gè)資源。一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。PKI技術(shù)一、選擇題1.PKI支持的服務(wù)不包括（D）。A.非對(duì)稱密鑰技術(shù)與證書(shū)管理B.目錄服務(wù)C.對(duì)稱密鑰的產(chǎn)生和分發(fā)D.訪問(wèn)控制服務(wù)2.PKI的主要組成不包括（B）。A.證書(shū)授權(quán)CAB.SSLC.注冊(cè)授權(quán)RAD.證書(shū)存儲(chǔ)庫(kù)CR3.PKI管理對(duì)象不包括（A）。A.ID和口令B.證書(shū)C.密鑰D.證書(shū)撤消4.下面不屬于PKI組成部分的是（D）。A.證書(shū)主體B.使用證書(shū)的應(yīng)用和系統(tǒng)C.證書(shū)權(quán)威機(jī)構(gòu)D.AS5.PKI能夠執(zhí)行的功能是（A）和（C）。A.鑒別計(jì)算機(jī)消息的始發(fā)者B.確認(rèn)計(jì)算機(jī)的物理位置C.保守消息的D.確認(rèn)用戶具有的安全性特權(quán)二、問(wèn)答題1.什么是數(shù)字證書(shū)？現(xiàn)有的數(shù)字證書(shū)由誰(shuí)頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心(CA)數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以與公開(kāi)密鑰的文件。認(rèn)證中心(CA)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門(mén)負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書(shū)服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書(shū)均遵循X.509V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受。X.509證書(shū)已應(yīng)用于許多網(wǎng)絡(luò)安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。2.簡(jiǎn)述認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型的性質(zhì)？層次結(jié)構(gòu)中的所有實(shí)體都信任惟一的根CA。在認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)中，每個(gè)實(shí)體(包括中介CA和終端實(shí)體)都必須擁有根CA的公鑰，該公鑰的安裝是在這個(gè)模型中為隨后進(jìn)行的所有通信進(jìn)行證書(shū)處理的基礎(chǔ)，因此，它必須通過(guò)一種安全（帶外）的方式來(lái)完成。值得注意的是，在一個(gè)多層的嚴(yán)格層次結(jié)構(gòu)中．終端實(shí)體直接被其上層的CA認(rèn)證(也就是頒發(fā)證書(shū))，但是它們的信任錨是另一個(gè)不同的CA(根CA)。Web與電子商務(wù)的安全一、選擇題1.SSL產(chǎn)生會(huì)話密鑰的方式是（C）。A.從密鑰管理數(shù)據(jù)庫(kù)中請(qǐng)求獲得B.每一臺(tái)客戶機(jī)分配一個(gè)密鑰的方式C.隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并分配給客戶機(jī)2.（C）屬于Web中使用的安全協(xié)議。A.PEM、SSLB.S-、S/MIMEC.SSL、S-D.S/MIME、SSL3.傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（A）基礎(chǔ)上的（A）。A.可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議B.不可靠的傳輸服務(wù)，S-協(xié)議C.可靠的傳輸服務(wù)，S-協(xié)議D.不可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議二、問(wèn)答題簡(jiǎn)述一個(gè)成功的SET交易的標(biāo)準(zhǔn)流程。(1)客戶在網(wǎng)上商店選中商品并決定使用電子錢(qián)包付款，商家服務(wù)器上的POS軟件發(fā)報(bào)文給客戶的瀏覽器要求電子錢(qián)包付款。(2)電子錢(qián)包提示客戶輸入口令后與商家服務(wù)器交換“握手”消息，確認(rèn)客戶、商家均為合法，初始化支付請(qǐng)求和支付響應(yīng)。(3)客戶的電子錢(qián)包形成一個(gè)包含購(gòu)買訂單、支付命令(含加密了的客戶信用卡)的報(bào)文發(fā)送給商家。(4)商家POS軟件生成授權(quán)請(qǐng)求報(bào)文(含客戶的支付命令)，發(fā)給收單銀行的支付網(wǎng)關(guān)。(5)支付網(wǎng)關(guān)在確認(rèn)客戶信用卡沒(méi)有超過(guò)透支額度的情況下，向商家發(fā)送一個(gè)授權(quán)響應(yīng)報(bào)文。(6)商家向客戶的電子錢(qián)包發(fā)送一個(gè)購(gòu)買響應(yīng)報(bào)文，交易結(jié)束，客戶等待商家送貨上防火墻技術(shù)VPN技術(shù)一、選擇題1．不屬于隧道協(xié)議的是（C）。A.PPTPB.L2TPC.TCP/IPD.IPSec2.不屬于VPN的核心技術(shù)是（C）。A.隧道技術(shù)B.身份認(rèn)證C.日志記錄D.訪問(wèn)控制3．目前，VPN使用了（）技術(shù)保證了通信的安全性。A隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密B身份認(rèn)證、數(shù)據(jù)加密C隧道協(xié)議、身份認(rèn)證D隧道協(xié)議、數(shù)據(jù)加密二、問(wèn)答題1.解釋VPN的基本概念。VPN是VirtualPrivateNetwork的縮寫(xiě)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。Virtual是針對(duì)傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道，盡管沒(méi)有自己的專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過(guò)授權(quán)的用戶才可以使用。在該通道傳輸?shù)臄?shù)據(jù)經(jīng)過(guò)了加密和認(rèn)證，保證了傳輸容的完整性和性。安全掃描技術(shù)一、問(wèn)答題1.簡(jiǎn)述常見(jiàn)的黑客攻擊過(guò)程。1目標(biāo)探測(cè)和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。1)踩點(diǎn)（Footprinting）黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫(kù)查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊(cè)信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?)掃描（Scanning）在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以與操作系統(tǒng)檢測(cè)等)確定哪些系統(tǒng)存活著、它們?cè)诒O(jiān)聽(tīng)哪些端口(以此來(lái)判斷它們?cè)谔峁┠男┓?wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3)查點(diǎn)（Enumeration）從系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的過(guò)程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說(shuō)，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對(duì)應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問(wèn)題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2獲得訪問(wèn)權(quán)（GainingAccess）通過(guò)密碼竊聽(tīng)、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來(lái)獲得系統(tǒng)的訪問(wèn)權(quán)限。3特權(quán)提升（EscalatingPrivilege）在獲得一般賬戶后，黑客經(jīng)常會(huì)試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4竊?。⊿tealing）對(duì)敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除與復(fù)制（如Windows系統(tǒng)的注冊(cè)表、UNIX的rhost文件等）。5掩蓋蹤跡（CoveringTracks）此時(shí)最重要就隱藏自己蹤跡，以防被管理員發(fā)覺(jué)，比如清除日志記錄、使用rootkits等工具。6創(chuàng)建后門(mén)（CreatingBookdoor）在系統(tǒng)的不同部分布置陷阱和后門(mén)，以便入侵者在以后仍能從容獲得特權(quán)訪問(wèn)。入侵檢測(cè)與安全審計(jì)網(wǎng)絡(luò)病毒防一、選擇題1.計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)中