學(xué)年第學(xué)期《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》期末考試試卷（B）第4頁(yè)共4頁(yè)（時(shí)間：90分鐘）班級(jí)學(xué)號(hào)姓名單選題多選題簡(jiǎn)答題計(jì)算題總分分值一、單選題12345678910總分ADCBBCADDC二、多選題12345678910總分ABCDABCDCDABCBDCDABCDBCABCAB一、單選題（20分，每題2分）（1）網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是什么，請(qǐng)選擇最佳答案(??)。??A.黑客技術(shù)與網(wǎng)絡(luò)病毒日益融合? B.攻擊工具日益先進(jìn)??C.病毒攻擊 D.黑客攻擊?（2）（??)策略是防止非法訪問(wèn)的第一道防線。A.網(wǎng)絡(luò)權(quán)限控制????B.屬性安全控制????C.目錄級(jí)安全控制???D.入網(wǎng)訪問(wèn)控制（3）當(dāng)用戶通過(guò)域名訪問(wèn)某一合法網(wǎng)站時(shí)，打開(kāi)的卻是一個(gè)不健康的網(wǎng)站，發(fā)生該現(xiàn)象的原因可能是（）。A.DHCP欺騙 B.ARP欺騙 C.DNS緩存中毒 D.SYNFlood攻擊（4）向有限的空間輸入超長(zhǎng)的字符串是（）攻擊手段。A.網(wǎng)絡(luò)監(jiān)聽(tīng) B.緩沖區(qū)溢出 C.拒絕服務(wù) D.IP欺騙（5）死亡之ping屬于（）攻擊手段。A.冒充攻擊B.拒絕服務(wù)攻擊C.重放攻擊 D.篡改攻擊（6）下列哪個(gè)不是計(jì)算機(jī)病毒的特征（）。A.隱蔽性 B.感染性 C.自發(fā)性D.破壞性（7）從病毒中截取一小段獨(dú)一無(wú)二而且足以表示這種病毒的二進(jìn)制代碼，來(lái)當(dāng)作掃描此病毒的依據(jù)，這種病毒的檢測(cè)方法是（）。A.特征代碼法 B.檢驗(yàn)和法C.行為監(jiān)測(cè)法D.虛擬機(jī)法（8）在通信過(guò)程中，只采用數(shù)字簽名不可以解決（）問(wèn)題。A.數(shù)據(jù)完整性 B.數(shù)據(jù)的抗抵賴性C.數(shù)據(jù)的篡改 D.數(shù)據(jù)的保密性（9）目前廣泛使用的數(shù)據(jù)存儲(chǔ)技術(shù)（）。A.DAS技術(shù) B.NAS技術(shù) C.FCSAN技術(shù) D.IPSAN（10）防火墻中地址翻譯的主要作用是（）。A．提供代理服務(wù) B．進(jìn)行入侵檢測(cè)C．隱藏內(nèi)部網(wǎng)絡(luò)地址 D．防止病毒入侵二、多選題(40分，每題4分)（1）【多選】針對(duì)終端用戶的Web瀏覽器安全威脅，該類威脅主要包括（）。A.網(wǎng)頁(yè)掛馬 B.網(wǎng)站釣魚(yú) C.瀏覽器劫持 D.Cookie欺騙（2）【多選】網(wǎng)絡(luò)安全的發(fā)展階段包括（）。A.通信安全階段 B.計(jì)算機(jī)安全階段 C.信息技術(shù)安全階段D.信息保障階段（3）【多選】入侵檢測(cè)方法按照所用技術(shù)可分為（）。A.一般檢測(cè) B.特殊檢測(cè)C.異常檢測(cè) D.誤用檢測(cè)?（4）【多選】信息安全的基本要素中，通過(guò)（）保障信息的完整性。A.數(shù)據(jù)加密 B.數(shù)字簽名 C.單向散列函數(shù) D.時(shí)間戳（5）【多選】信息安全的基本要素中，通過(guò)（）保障信息的抗抵賴性。A.數(shù)據(jù)加密 B.數(shù)字簽名 C.單向散列函數(shù) D.時(shí)間戳（6）【多選】下列VPN隧道三層協(xié)議（）。A.PPTP B.L2TP C.IPSecD.GRE（7）【多選】VPN使用的主要技術(shù)（）A.隧道技術(shù) B.加解密技術(shù) C.密鑰管理技術(shù) D.身份認(rèn)證技術(shù)（8）【多選】對(duì)于防火墻的設(shè)計(jì)準(zhǔn)則，業(yè)界有一個(gè)非常著名的標(biāo)準(zhǔn)，即兩個(gè)基本的策略（）A.允許從內(nèi)部站點(diǎn)訪問(wèn)Internet而不允許從Internet訪問(wèn)內(nèi)部站點(diǎn)B.沒(méi)有明確允許的就是禁止的C.沒(méi)有明確禁止的就是允許的D.只允許從Internet訪問(wèn)特定的系統(tǒng)（9）【多選】防火墻的工作模式（）A.路由工作模式 B.透明工作模式 C.NAT工作模式 D.以上都不是（10）【多選】按備份時(shí)系統(tǒng)的工作狀態(tài)分類，可分為（）。A.冷備份 B.熱備份 C.硬件備份 D.軟件備份三、簡(jiǎn)答題（24分，每題6分）1、簡(jiǎn)述網(wǎng)絡(luò)安全的基本要素。由于網(wǎng)絡(luò)安全受到威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性，在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的安全時(shí)，應(yīng)該努力達(dá)到安全目標(biāo)。一個(gè)安全的網(wǎng)絡(luò)具有下面五個(gè)特征：保密性、完整性、可靠性、可用性和不可抵賴性。1．保密性保密性指防止信息額泄漏給非授權(quán)個(gè)人或?qū)嶓w。信息只為授權(quán)用戶使用，保密性是對(duì)信息的安全要求。它是在可靠性和可用性的基礎(chǔ)上，保障網(wǎng)絡(luò)中信息安全的重要手段。對(duì)于敏感用戶信息的保密，是人們研究最多的領(lǐng)域。由于網(wǎng)絡(luò)信息會(huì)成為黑客、計(jì)算機(jī)犯罪、病毒、甚至信息戰(zhàn)的攻擊目標(biāo)，已受到了人們?cè)絹?lái)越多的關(guān)注。2．完整性完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等操作破壞的特性。它與保密性不同，保密性是防止信息泄漏給非授權(quán)的人，而完整性則要求信息的內(nèi)容順序都不受破壞和修改。用戶信息和網(wǎng)絡(luò)信息都要求完整性，例如涉及金融的用戶信息，如果用戶賬目被修改、偽造或刪除，將帶來(lái)巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)中的網(wǎng)絡(luò)信息一旦受到破壞，嚴(yán)重的還會(huì)造成通信網(wǎng)絡(luò)的癱瘓。3．可靠性可靠性是網(wǎng)絡(luò)安全最基本的要求之一，是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功能的概率。如果網(wǎng)絡(luò)不可靠，經(jīng)常出問(wèn)題，這個(gè)網(wǎng)絡(luò)就是不安全的。目前，對(duì)于網(wǎng)絡(luò)可靠性的研究主要偏重于硬件可靠性方面。研制高可靠性硬件設(shè)備，采取合理的冗余備份措施是最基本的可靠性對(duì)策。但實(shí)際上有許多故障和事故，與軟件可靠性、人員可靠性和環(huán)境可靠性有關(guān)。如人員可靠性在通信網(wǎng)絡(luò)可靠性中起著重要作用。有關(guān)資料表明，系統(tǒng)失效中很大一部分是由人為因素造成的。4．可用性可用性是網(wǎng)絡(luò)面向用戶的基本安全要求。網(wǎng)絡(luò)最基本的功能是向用戶提供所需的信息和通信服務(wù)，而用戶的通信要求是隨機(jī)的，多方面的，有時(shí)還要求時(shí)效性。網(wǎng)絡(luò)必須隨時(shí)滿足用戶通信的要求。從某種意義上講，可用性是可靠性的更高要求，特別是在重要場(chǎng)合下，特殊用戶的可用性顯得十分重要。為此，網(wǎng)絡(luò)需要采用科學(xué)合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，必要的冗余、容錯(cuò)和備份措施以及網(wǎng)絡(luò)自愈技術(shù)、分配配置和負(fù)擔(dān)分擔(dān)、各種完善的物理安全和應(yīng)急措施等，從滿足用戶需求出發(fā)，保證通信網(wǎng)絡(luò)的安全。5．不可抵賴性不可抵賴性也稱作不可否認(rèn)性，是面向通信雙方（人、實(shí)體或進(jìn)程）信息真實(shí)的安全要求。它包括收發(fā)雙方均不可抵賴。隨著通信業(yè)務(wù)的不斷擴(kuò)大，電子貿(mào)易、電子金融、電子商務(wù)和辦公自動(dòng)化等許多信息處理過(guò)程都需要通信雙方對(duì)信息內(nèi)容的真實(shí)性進(jìn)行認(rèn)同，為此，應(yīng)采用數(shù)字簽名、認(rèn)證、數(shù)據(jù)完備、鑒別等有效措施，以實(shí)現(xiàn)信息的不可抵賴性。網(wǎng)絡(luò)的安全不僅僅是防范竊密活動(dòng)，其可靠性、可用性、完整性和不可抵賴性應(yīng)作為與保密性同等重要的安全目標(biāo)加以實(shí)現(xiàn)。我們應(yīng)從觀念上，政策上做出必要的調(diào)整，全面規(guī)劃和實(shí)施網(wǎng)絡(luò)信息的安全。2、簡(jiǎn)述緩沖區(qū)溢出的防范措施。緩沖區(qū)溢出是代碼中固有的漏洞，除了在開(kāi)發(fā)階段要注意編寫正確的代碼之外，對(duì)于用戶而言，一般的防范措施如下。（1）關(guān)閉端口或服務(wù)，管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運(yùn)行。（2）安裝軟件廠商的補(bǔ)丁,漏洞一公布，大的廠商就會(huì)及時(shí)提供補(bǔ)丁。（3）在防火墻上過(guò)濾特殊的流量,無(wú)法阻止內(nèi)部人員的溢出攻擊。（4）自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞。（5）以所需要的最小權(quán)限運(yùn)行軟件。緩沖區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)。如果能有效地消除緩沖區(qū)溢出的漏洞，則很大一部分的安全威脅可以得到緩解，從軟件的角度來(lái)看，目前有四種基本的方法保護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響。（1）在程序指針失效前進(jìn)行完整性檢查。雖然這種方法不能使得所有的緩沖區(qū)溢出失效，但它能阻止絕大多數(shù)的緩沖區(qū)溢出攻擊。（2）利用編譯器的邊界檢查來(lái)實(shí)現(xiàn)緩沖區(qū)的保護(hù)。這個(gè)方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對(duì)而言代價(jià)比較大。（3）強(qiáng)制程序呈編寫正確、安全的代碼。（4）通過(guò)操作系統(tǒng)使緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼?？傊?，要想有效地預(yù)由于防緩沖區(qū)溢出的漏洞產(chǎn)生的攻擊，對(duì)于程序開(kāi)發(fā)人員來(lái)說(shuō)，需要提高安全編程意識(shí)，在應(yīng)用程序這個(gè)環(huán)節(jié)減少緩沖區(qū)溢出的漏洞；對(duì)于系統(tǒng)管理員來(lái)說(shuō)，需要經(jīng)常與系統(tǒng)供應(yīng)商聯(lián)系，經(jīng)常瀏覽系統(tǒng)供應(yīng)商的網(wǎng)站，及時(shí)發(fā)現(xiàn)漏洞，對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行及時(shí)升級(jí)、安裝漏洞補(bǔ)丁。3、簡(jiǎn)述計(jì)算機(jī)病毒診斷方法。自20世紀(jì)80年代出現(xiàn)具有危害性的計(jì)算機(jī)病毒以來(lái)，計(jì)算機(jī)專家們就開(kāi)始研究防病毒技術(shù)，防病毒技術(shù)隨著病毒技術(shù)的發(fā)展而發(fā)展。常用的計(jì)算機(jī)病毒診斷方法有如下幾種，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需的開(kāi)銷不同，檢測(cè)范圍也不同，各有所長(zhǎng)。（1）特征代碼法。特征代碼法是現(xiàn)在大多數(shù)防病毒軟件的靜態(tài)掃描所采用的方法，是檢測(cè)已知病毒最簡(jiǎn)單、開(kāi)銷最小的方法，當(dāng)防病毒軟件公司收集到一種新的病毒時(shí)，就會(huì)從這個(gè)病毒中截取一小段獨(dú)一無(wú)二而且足以表示這種病毒的二進(jìn)制代碼，來(lái)當(dāng)作掃描此病毒的依據(jù)，而這段獨(dú)一無(wú)二的代碼就是所謂的病毒特征代碼。分析出病毒的特征代碼后，將其集中存放于病毒代碼庫(kù)文件中，在掃描的時(shí)候?qū)呙鑼?duì)象與特征代碼庫(kù)進(jìn)行比較，如果吻合，則判斷為感染了病毒。特征代碼法實(shí)現(xiàn)簡(jiǎn)單，對(duì)于查殺已知的文件型病毒特別有效，由于已知特征代碼，清除病毒十分安全和徹底。特征代碼法優(yōu)點(diǎn)：檢測(cè)準(zhǔn)確，可識(shí)別病毒的名稱，誤報(bào)率低，依據(jù)檢測(cè)結(jié)果可做殺毒處理。特征代碼法缺點(diǎn)：速度慢，不能檢查多態(tài)型病毒，不能檢查隱蔽型病毒，不能檢查未知病毒。（2）檢驗(yàn)和法。病毒在感染程序時(shí)，大多會(huì)使被感染的程序大小增加或者日期改變，校驗(yàn)和法就是根據(jù)病毒的這種行為來(lái)進(jìn)行判斷的。其把硬盤中的某些文件的資料匯總并記錄下來(lái)，在以后的檢測(cè)過(guò)程中重復(fù)此項(xiàng)動(dòng)作，并與前次記錄進(jìn)行比較，借此來(lái)判斷這些文件是否被病毒感染了。檢驗(yàn)和法優(yōu)點(diǎn)：方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，被查文件的細(xì)微變化也能被發(fā)現(xiàn)。檢驗(yàn)和法缺點(diǎn)：由于病毒感染并非文件改變的唯一原因，文件的改變常常是正常程序引起的，如常見(jiàn)的正常操作，所以校驗(yàn)和法誤報(bào)率較高；效率低，不能識(shí)別病毒名稱，不能檢查隱蔽型病毒。（3）行為監(jiān)測(cè)法。病毒感染文件時(shí)，常常有一些不同于正常程序的行為。利用病毒的特有行為和特性監(jiān)測(cè)病毒的方法稱為行為監(jiān)測(cè)法。通過(guò)對(duì)病毒多年的觀察、研究，研究者們發(fā)現(xiàn)有一些行為是病毒的共同行為，而且這些行為比較特殊，在正常程序中是比較罕見(jiàn)的行為，行為監(jiān)測(cè)法會(huì)在程序運(yùn)行時(shí)監(jiān)測(cè)其行為，如果發(fā)現(xiàn)了病毒行為，則立即報(bào)警。（4）虛擬機(jī)法。虛擬機(jī)法即在計(jì)算機(jī)中創(chuàng)造一個(gè)虛擬系統(tǒng)，將病毒在虛擬環(huán)境中激活，從而觀察病毒的執(zhí)行過(guò)程，根據(jù)其行為特征，判斷是否為病毒，這種方法對(duì)加殼和加密的病毒非常有效，因?yàn)檫@兩類病毒在執(zhí)行進(jìn)最終是要自身脫殼和解密的，這樣殺毒軟件就可以在其“現(xiàn)出原形”之后通過(guò)特征代碼法對(duì)其進(jìn)行查殺。如沙箱即是一種虛擬系統(tǒng)，在沙箱內(nèi)運(yùn)行的程序會(huì)被完全隔離，任何操作都不對(duì)真實(shí)系統(tǒng)產(chǎn)生危害，就如同一面鏡子，病毒所影響的只是鏡子中的影子而已。（5）主動(dòng)防御法。特征代碼法查殺病毒已經(jīng)非常成熟可靠，但是它總是落后于病毒的傳播。隨著網(wǎng)絡(luò)安全防護(hù)的理念從獨(dú)立的防病毒、防火墻、IPS產(chǎn)品轉(zhuǎn)變到一體化防護(hù)，主動(dòng)防御法就出現(xiàn)了。主動(dòng)防御法是一種阻止惡意程序執(zhí)行的方法，可以在病毒發(fā)作時(shí)進(jìn)行主動(dòng)而有效的全面防范，從技術(shù)層面上有效應(yīng)對(duì)未知病毒的傳播。4、簡(jiǎn)述數(shù)字簽名的主要功能。網(wǎng)絡(luò)的安全主要是網(wǎng)絡(luò)信息安全，需要采取相應(yīng)的安全技術(shù)措施，提供適合的安全服務(wù)。數(shù)字簽名機(jī)制作為保障網(wǎng)絡(luò)信息安全的手段之一，可以解決偽造、抵賴、冒充和篡改問(wèn)題。數(shù)字簽名的目的之一就是在網(wǎng)絡(luò)環(huán)境中代替?zhèn)鹘y(tǒng)的手工簽字與印章，有著重要作用。（1）防冒充(偽造)。私有密鑰只有簽名者自己知道，所以其他人不可能構(gòu)造出正確的。（2）可鑒別身份。由于傳統(tǒng)的手工簽名一般是雙方直接見(jiàn)面的，身份自可一清二楚。在網(wǎng)絡(luò)環(huán)境中，接收方必須能夠鑒別發(fā)送方所宣稱的身份。（3）防篡改(防破壞信息的完整性)。對(duì)于傳統(tǒng)的手工簽字，假如要簽署一份200頁(yè)的合同，是僅僅在合同末尾簽名呢？還是對(duì)每一頁(yè)都簽名？如果僅在合同末尾簽名，對(duì)方會(huì)不會(huì)偷換其中的幾頁(yè)?而對(duì)于數(shù)字簽名，簽名與原有文件已經(jīng)形成了一個(gè)混合的整體數(shù)據(jù)，不可能被篡改，從而保證了數(shù)據(jù)的完整性。（4）防重放。如在日常生活中，A向B借了錢，同時(shí)寫了一張借條給B，當(dāng)A還錢的時(shí)候，肯定要向B索回他寫的借條撕毀，不然恐怕他會(huì)再次用借條要求A還錢。在數(shù)字簽名中，如果采用了對(duì)簽名報(bào)文添加流水號(hào)、時(shí)間戳等技術(shù)，可以防止重放攻擊。（5）防抵賴。如前所述，數(shù)字簽名可以鑒別身份，不可能冒充偽造，那么，只要保好簽名的報(bào)文，就好似保存好了手工簽署的合同文本，也就是保留了證據(jù)，簽名者就無(wú)法抵賴。那如果接收者確已收到對(duì)方的簽名報(bào)文，卻抵賴沒(méi)有收到呢?要預(yù)防接收者的抵賴。在數(shù)字簽名體制中，要求接收者返回一個(gè)自己的簽名表示收到的報(bào)文，給對(duì)方或者第三方或者引入第三方機(jī)制。如此操作，雙方均不可抵賴。（6）機(jī)密性(保密性)。有了機(jī)密性保證，截收攻擊也就失效了。手工簽字的文件(如同文本)是不具備保密性的，文件一旦丟失，其中的信息就極可能泄露。數(shù)字簽名可以加密要簽名的消息，當(dāng)然，如果簽名的報(bào)名不要求機(jī)密性，也可以不用加密。保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者用自己的公鑰解密被加密的摘要信息，然后用HASH函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要信息，與解密的摘要信息對(duì)比。如果相同，則說(shuō)明收到的信息是完整的，在傳輸過(guò)程中沒(méi)有被修改，否則說(shuō)