第頁題庫一,選擇1.密碼學(xué)的目的是（C）。A.探討數(shù)據(jù)加密B.探討數(shù)據(jù)解密C.探討數(shù)據(jù)保密D.探討信息安全2.從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。被動攻擊難以（C），然而（C）這些攻擊是可行的；主動攻擊難以（C），然而（C）這些攻擊是可行的。A.阻擋,檢測,阻擋,檢測B.檢測,阻擋,檢測,阻擋C.檢測,阻擋,阻擋,檢測D.上面3項(xiàng)都不是3.數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D）。A.數(shù)據(jù)完整性機(jī)制B.數(shù)字簽名機(jī)制C.訪問限制機(jī)制D.加密機(jī)制4.數(shù)字簽名要預(yù)先運(yùn)用單向函數(shù)進(jìn)行處理的緣由是（C）。A.多一道加密工序使密文更難破譯B.提高密文的計算速度C.縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度D.保證密文能正確還原成明文5.基于通信雙方共同擁有的但是不為別人知道的隱私，利用計算機(jī)強(qiáng)大的計算實(shí)力，以該隱私作為加密和解密的密鑰的認(rèn)證是（C）。A.公鑰認(rèn)證B.零知識認(rèn)證C.共享密鑰認(rèn)證D.口令認(rèn)證6.為了簡化管理，通常對訪問者（A），以避開訪問限制表過于龐大。A.分類組織成組B.嚴(yán)格限制數(shù)量C.按訪問時間排序，刪除長期沒有訪問的用戶D.不作任何限制7.管理對象不包括（A）。A.和口令B.證書C.密鑰D.證書撤消8.下面不屬于組成部分的是（D）。A.證書主體B.運(yùn)用證書的應(yīng)用和系統(tǒng)C.證書權(quán)威機(jī)構(gòu)D.9.協(xié)商的第一階段可以采納（C）。A.主模式,快速模式B.快速模式,主動模式C.主模式,主動模式D.新組模式10．協(xié)議和協(xié)議有（A）種工作模式。A.二B.三C.四D.五11.（C）屬于中運(yùn)用的安全協(xié)議。A.,B.,C.,D.,12.包過濾型防火墻原理上是基于（C）進(jìn)行分析的技術(shù)。A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.應(yīng)用層13.的加密手段為（C）。A.具有加密功能的防火墻B.具有加密功能的路由器C.內(nèi)的各臺主機(jī)對各自的信息進(jìn)行相應(yīng)的加密D.單獨(dú)的加密設(shè)備14．（B）通過一個運(yùn)用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部,遠(yuǎn)程辦事處和分支機(jī)構(gòu)。A.B.C.D.15．（C）通過一個運(yùn)用專用連接的共享基礎(chǔ)設(shè)施，將客戶,供應(yīng)商,合作伙伴或感愛好的群體連接到企業(yè)內(nèi)部網(wǎng)。A.B.C.D.16.計算機(jī)病毒是計算機(jī)系統(tǒng)中一類隱藏在（C）上蓄意破壞的搗亂程序。A.內(nèi)存B.軟盤C.存儲介質(zhì)D.網(wǎng)絡(luò)17.“公開密鑰密碼體制”的含義是（C）。A.將全部密鑰公開B.將私有密鑰公開，公開密鑰保密C.將公開密鑰公開，私有密鑰保密D.兩個密鑰相同18.“會話偵聽和劫持技術(shù)”是屬于（B）的技術(shù)。A.密碼分析還原B.協(xié)議漏洞滲透C.應(yīng)用漏洞分析及滲透D.攻擊19．攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（D）。A.中間人攻擊B.口令揣測器和字典攻擊C.強(qiáng)力攻擊D.回放攻擊20.在定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（E）。A.對象認(rèn)證服務(wù)B.數(shù)據(jù)保密性安全服務(wù)C.訪問限制安全服務(wù)D.數(shù)據(jù)完整性安全服務(wù)E.數(shù)據(jù)可用性安全服務(wù)21.在懇求訪問應(yīng)用服務(wù)器之前，必需（A）。A.向服務(wù)器懇求應(yīng)用服務(wù)器B.向認(rèn)證服務(wù)器發(fā)送要求獲得“證書”的懇求C.懇求獲得會話密鑰D.直接及應(yīng)用服務(wù)器協(xié)商會話密鑰22.下列對訪問限制影響不大的是（D）。A.主體身份B.客體身份C.訪問類型D.主體及客體的類型23.的主要組成不包括（B）。A.證書授權(quán)B.C.注冊授權(quán)D.證書存儲庫24.（A）協(xié)議必需供應(yīng)驗(yàn)證服務(wù)。A.B.C.D.以上皆是25．下列選項(xiàng)中能夠用在網(wǎng)絡(luò)層的協(xié)議是（D）。A.B.C.D.26,（A）協(xié)議是一個用于供應(yīng)數(shù)據(jù)報完整性,身份認(rèn)證和可選的抗重播愛護(hù)的機(jī)制，但不供應(yīng)數(shù)據(jù)機(jī)密性愛護(hù)。A.協(xié)議B.協(xié)議C.協(xié)議D.協(xié)議27.協(xié)議中負(fù)責(zé)對數(shù)據(jù)報加密的部分是（A）。A.封裝安全負(fù)載（）B.鑒別包頭（）C.密鑰交換（）D.以上都不是28.產(chǎn)生會話密鑰的方式是（C）。A.從密鑰管理數(shù)據(jù)庫中懇求獲得B.每一臺客戶機(jī)安排一個密鑰的方式C.隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并安排給客戶機(jī)29.為了降低風(fēng)險，不建議運(yùn)用的服務(wù)是（D）。A.服務(wù)B.外部訪問內(nèi)部系統(tǒng)C.內(nèi)部訪問D.服務(wù)30.火墻用于將和內(nèi)部網(wǎng)絡(luò)隔離，（B）。A.是防止火災(zāi)的硬件設(shè)施B.是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施C.是愛護(hù)線路不受破壞的軟件和硬件設(shè)施D.是起抗電磁干擾作用的硬件設(shè)施31.屬于第二層的隧道協(xié)議有（B）。A.B.D.以上皆不是32．不屬于隧道協(xié)議的是（C）。A.B.L2C.D.33.和L2最適合于（D）。A.局域網(wǎng)B.企業(yè)內(nèi)部虛擬網(wǎng)C.企業(yè)擴(kuò)展虛擬網(wǎng)D.遠(yuǎn)程訪問虛擬專用網(wǎng)34．A方有一對密鑰（公開，隱私），B方有一對密鑰（公開，隱私），A方向B方發(fā)送數(shù)字簽名M，對信息M加密為：M’=公開（隱私（M））。B方收到密文的解密方案是（C）。A.公開（隱私（M’））B.公開（公開（M’））C.公開（隱私（M’））D.隱私（隱私（M’））35.從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對（B）的攻擊。A.機(jī)密性B.可用性C.完整性D.真實(shí)性11．攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答懇求的攻擊方式是（A）。A.拒絕服務(wù)攻擊B.地址欺瞞攻擊C.會話劫持D.信號包探測程序攻擊36.（D）不屬于安全體系結(jié)構(gòu)的安全機(jī)制。A.通信業(yè)務(wù)填充機(jī)制B.訪問限制機(jī)制C.數(shù)字簽名機(jī)制D.審計機(jī)制E.公證機(jī)制37.屬于安全體系結(jié)構(gòu)中定義的（D）。A.認(rèn)證交換機(jī)制B.通信業(yè)務(wù)填充機(jī)制C.路由限制機(jī)制D.公證機(jī)制38.訪問限制是指確定（A）以及實(shí)施訪問權(quán)限的過程。A.用戶權(quán)限B.可賜予哪些主體訪問權(quán)利C.可被用戶訪問的資源D.系統(tǒng)是否遭遇入侵39.支持的服務(wù)不包括（D）。A.非對稱密鑰技術(shù)及證書管理B.目錄服務(wù)C.對稱密鑰的產(chǎn)生和分發(fā)D.訪問限制服務(wù)40.協(xié)議中必需實(shí)現(xiàn)的驗(yàn)證算法是（A）。A.5和1B.C.160D.以上皆是41.對動態(tài)網(wǎng)絡(luò)地址交換（），不正確的說法是（B）。A.將很多內(nèi)部地址映射到單個真實(shí)地址B.外部網(wǎng)絡(luò)地址和內(nèi)部地址一對一的映射C.最多可有64000個同時的動態(tài)連接D.每個連接運(yùn)用一個端口42.協(xié)議的乘客協(xié)議是（D）。A.B.C.D.上述皆可43．目前，運(yùn)用了（A）技術(shù)保證了通信的安全性。隧道協(xié)議,身份認(rèn)證和數(shù)據(jù)加密身份認(rèn)證,數(shù)據(jù)加密隧道協(xié)議,身份認(rèn)證隧道協(xié)議,數(shù)據(jù)加密44．不太適合用于（C）。已知范圍的地址的網(wǎng)絡(luò)固定范圍的地址的網(wǎng)絡(luò)動態(tài)安排地址的網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)45.假設(shè)運(yùn)用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（A）。A.對稱加密技術(shù)B.分組密碼技術(shù)C.公鑰加密技術(shù)D.單向函數(shù)密碼技術(shù)46.從安全屬性對各種網(wǎng)絡(luò)攻擊進(jìn)行分類，截獲攻擊是針對（A）的攻擊。A.機(jī)密性B.可用性C.完整性D.真實(shí)性47．最新的探討和統(tǒng)計表明，安全攻擊主要來自（B）。A.接入網(wǎng)B.企業(yè)內(nèi)部網(wǎng)C.公用網(wǎng)D.個人網(wǎng)48.用于實(shí)現(xiàn)身份鑒別的安全機(jī)制是（A）。A.加密機(jī)制和數(shù)字簽名機(jī)制B.加密機(jī)制和訪問限制機(jī)制C.數(shù)字簽名機(jī)制和路由限制機(jī)制D.訪問限制機(jī)制和路由限制機(jī)制49.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（B）。A.身份鑒別是授權(quán)限制的基礎(chǔ)B.身份鑒別一般不用供應(yīng)雙向的認(rèn)證C.目前一般采納基于對稱密鑰加密或公開密鑰加密的方法D.數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制50能夠執(zhí)行的功能是（A）和（C）。A.鑒別計算機(jī)消息的始發(fā)者B.確認(rèn)計算機(jī)的物理位置C.保守消息的機(jī)密D.確認(rèn)用戶具有的安全性特權(quán)51.協(xié)議由（A）協(xié)議混合而成。A.,,B.,C.L2,D.以上皆不是52.一般而言，防火墻建立在一個網(wǎng)絡(luò)的（C）。A.內(nèi)部子網(wǎng)之間傳送信息的中樞B.每個子網(wǎng)的內(nèi)部C.內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的交叉點(diǎn)D.部分內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的結(jié)合處53.的英文全稱是（B）。A.B.C.D.54．L2隧道在兩端的服務(wù)器之間采納（A）來驗(yàn)證對方的身份。A.口令握手協(xié)議B.C.D.數(shù)字證書55.信息安全的基本屬性是（D）。A.機(jī)密性B.可用性C.完整性D.上面3項(xiàng)都是56.安全體系結(jié)構(gòu)中的對象認(rèn)證服務(wù)，運(yùn)用（B）完成。A.加密機(jī)制B.數(shù)字簽名機(jī)制C.訪問限制機(jī)制D.數(shù)據(jù)完整性機(jī)制57.的設(shè)計目標(biāo)不包括（B）。A.認(rèn)證B.授權(quán)C.記賬D.審計58.協(xié)議和（C）隧道協(xié)議處于同一層。A.B.L2C.D.以上皆是59.傳輸層愛護(hù)的網(wǎng)絡(luò)采納的主要技術(shù)是建立在（A）基礎(chǔ)上的（A）。A.牢靠的傳輸服務(wù)，安全套接字層協(xié)議B.不牢靠的傳輸服務(wù)，協(xié)議C.牢靠的傳輸服務(wù)，協(xié)議D.不牢靠的傳輸服務(wù)，安全套接字層協(xié)議60.以下（D）不是包過濾防火墻主要過濾的信息？A.源地址B.目的地址C.源端口和目的端口D.時間61.將公司及外部供應(yīng)商,客戶及其他利益相關(guān)群體相連接的是（B）。A.內(nèi)聯(lián)網(wǎng)B.外聯(lián)網(wǎng)C.遠(yuǎn)程接入D.無線62.竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。A.被動,無須,主動,必需B.主動,必需,被動,無須C.主動,無須,被動,必需D.被動,必需,主動,無須63．（C）是一個對稱加密系統(tǒng)，它運(yùn)用一個集中式的專鑰密碼功能，系統(tǒng)的核心是A.B.C.D.64.下列協(xié)議中，（A）協(xié)議的數(shù)據(jù)可以受到的愛護(hù)。A.,,B.C.D.以上皆可以65,（D）協(xié)議主要由,和協(xié)議組成。A.B.L2C.L2FD.66.,L2和L2F隧道協(xié)議屬于（B）協(xié)議。A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道67.機(jī)密性服務(wù)供應(yīng)信息的保密，機(jī)密性服務(wù)包括（D）。A.文件機(jī)密性B.信息傳輸機(jī)密性C.通信流的機(jī)密性D.以上3項(xiàng)都是68.不屬于的核心技術(shù)是（C）。A.隧道技術(shù)B.身份認(rèn)證C.日志記錄D.訪問限制69.（A）通過一個擁有及專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，供應(yīng)對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。A.B.C.D.70.拒絕服務(wù)攻擊的后果是（E）。A.信息不可用B.應(yīng)用程序不可用C.系統(tǒng)宕機(jī)D.阻擋通信E.上面幾項(xiàng)都是71.通常所說的移動是指（A）。A.B.C.D.以上皆不是二,填空密碼系統(tǒng)包括以下4個方面：明文空間,密文空間,密鑰空間和密碼算法。解密算法D是加密算法E的（逆運(yùn)算）。假如加密密鑰和解密密鑰（相同），這種密碼體制稱為對稱密碼體制。算法密鑰是（64）位，其中密鑰有效位是（56）位。算法的安全是基于分解兩個大素數(shù)的積的困難。公開密鑰加密算法的用途主要包括兩個方面：密鑰安排,數(shù)字簽名。消息認(rèn)證是驗(yàn)證信息的完整性，即驗(yàn)證數(shù)據(jù)在傳送和存儲過程中是否被篡改,重放或延遲等。函數(shù)是可接受變長數(shù)據(jù)輸入，并生成定長數(shù)據(jù)輸出的函數(shù)。密鑰管理的主要內(nèi)容包括密鑰的生成,安排,運(yùn)用,存儲,備份,復(fù)原和銷毀。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個人分散生成。密鑰的安排是指產(chǎn)生并使運(yùn)用者獲得密鑰的過程。密鑰安排中心的英文縮寫是。數(shù)字簽名是筆跡簽名的模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。身份認(rèn)證是驗(yàn)證信息發(fā)送者是真的，而不是冒充的，包括信源,信宿等的認(rèn)證和識別。訪問限制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限。防火墻是位于兩個網(wǎng)絡(luò)之間，一端是內(nèi)部網(wǎng)絡(luò)，另一端是外部網(wǎng)絡(luò)。防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機(jī)體系結(jié)構(gòu),屏蔽主機(jī)體系結(jié)構(gòu),屏蔽子網(wǎng)體系結(jié)構(gòu)。的物理實(shí)現(xiàn)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)可分為基于主機(jī)的入侵檢測系統(tǒng),基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。計算機(jī)病毒的5個特征是：主動傳染性,破壞性,寄生性（隱藏性）,潛藏性,多態(tài)性。惡意代碼的基本形式還有后門,邏輯炸彈,特洛伊木馬,蠕蟲,細(xì)菌。蠕蟲是通過網(wǎng)絡(luò)進(jìn)行傳播的。計算機(jī)病毒的工作機(jī)制有潛藏機(jī)制,傳染機(jī)制,表現(xiàn)機(jī)制。三,問答題1．簡述主動攻擊及被動攻擊的特點(diǎn)，并列舉主動攻擊及被動攻擊現(xiàn)象。主動攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性,完整性及系統(tǒng)服務(wù)的可用性，即通過中斷,偽造,篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動攻擊是攻擊者特別截獲,竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。2．簡述對稱密鑰密碼體制的原理和特點(diǎn)。對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法的逆運(yùn)算，加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強(qiáng)度高但開放性差，要求發(fā)送者和接收者在安全通信之前，須要有牢靠的密鑰信道傳遞密鑰，而此密鑰也必需妥當(dāng)保管。什么是序列密碼和分組密碼？序列密碼是一種對明文中的單個位（有時對字節(jié)）運(yùn)算的算法。分組密碼是把明文信息分割成塊結(jié)構(gòu)，逐塊予以加密和解密。塊的長度由算法設(shè)計者預(yù)先確定。簡述公開密鑰密碼機(jī)制的原理和特點(diǎn)？公開密鑰密碼體制是運(yùn)用具有兩個密鑰的編碼解碼算法，加密和解密的實(shí)力是分開的；這兩個密鑰一個保密，另一個公開。依據(jù)應(yīng)用的須要，發(fā)送方可以運(yùn)用接收方的公開密鑰加密消息，或運(yùn)用發(fā)送方的私有密鑰簽名消息，或兩個都運(yùn)用，以完成某種類型的密碼編碼解碼功能。什么是5？消息摘要算法是由提出，是當(dāng)前最為普遍的算法，5是第5個版本，該算法以一個隨意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。安全問題概述一,選擇題二,問答題請說明5種“竊取機(jī)密攻擊”方式的含義。1）網(wǎng)絡(luò)踩點(diǎn)（）攻擊者事先匯合目標(biāo)的信息，通常采納,,,等工具獲得目標(biāo)的一些信息，如域名,地址,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),相關(guān)的用戶信息等，這往往是黑客入侵所做的第一步工作。2）掃描攻擊（）這里的掃描主要指端口掃描，通常采納等各種端口掃描工具，可以獲得目標(biāo)計算機(jī)的一些有用信息，比如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些網(wǎng)絡(luò)服務(wù)。黑客就可以利用這些服務(wù)的漏洞，進(jìn)行進(jìn)一步的入侵。這往往是黑客入侵所做的第二步工作。3）協(xié)議棧指紋（）鑒別（也稱操作系統(tǒng)探測）黑客對目標(biāo)主機(jī)發(fā)出探測包，由于不同廠商的協(xié)議棧實(shí)現(xiàn)之間存在很多微小差別，因此每種都有其獨(dú)特的響應(yīng)方法，黑客常常能夠確定目標(biāo)主機(jī)所運(yùn)行的。這往往也可以看作是掃描階段的一部分工作。4）信息流嗅探（）通過在共享局域網(wǎng)中將某主機(jī)網(wǎng)卡設(shè)置成混雜（）模式，或在各種局域網(wǎng)中某主機(jī)運(yùn)用欺瞞，該主機(jī)就會接收全部經(jīng)過的數(shù)據(jù)包。基于這樣的原理，黑客可以運(yùn)用一個嗅探器（軟件或硬件）對網(wǎng)絡(luò)信息流進(jìn)行監(jiān)視，從而收集到帳號和口令等信息。這是黑客入侵的第三步工作。5）會話劫持（）所謂會話劫持，就是在一次正常的通信過程中，黑客作為第三方參及到其中，或者是在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。這種攻擊方式可認(rèn)為是黑客入侵的第四步工作——真正的攻擊中的一種。請說明5種“非法訪問”攻擊方式的含義。1）口令破解攻擊者可以通過獲得口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可通過揣測或竊聽等方式獲得口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令特別重要。這也是黑客入侵中真正攻擊方式的一種。2)欺瞞攻擊者可通過偽裝成被信任源地址等方式來騙取目標(biāo)主機(jī)的信任，這主要針對下建立起地址信任關(guān)系的主機(jī)實(shí)施欺瞞。這也是黑客入侵中真正攻擊方式的一種。3)欺瞞當(dāng)服務(wù)器向另一個服務(wù)器發(fā)送某個解析懇求（由域名解析出地址）時，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被懇求方，向懇求方返回一個被篡改了的應(yīng)答（地址），將用戶引向黑客設(shè)定的主機(jī)。這也是黑客入侵中真正攻擊方式的一種。4)重放（）攻擊在消息沒有時間戳的狀況下，攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來，過一段時間后再發(fā)送出去。5)特洛伊木馬（）把一個能幫忙黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽某個不常用端口，假冒登錄界面獲得帳號和口令等）。4.了解下列各種攻擊方式：,,電子郵件炸彈,緩沖區(qū)溢出攻擊,社交工程1）有些系統(tǒng)在安裝后，沒有對缺省配置進(jìn)行必要的修改，使得一些簡單遭遇攻擊的服務(wù)端口對外放開著。服務(wù)（7和7）對接收到的每個字符進(jìn)行回送；（19和19）對每個接收到的數(shù)據(jù)包都返回一些隨機(jī)生成的字符（假如是及服務(wù)在19端口建立了連接，它會不斷返回亂字符直到連接中斷）。黑客一般會選擇兩個遠(yuǎn)程目標(biāo)，生成偽造的數(shù)據(jù)包，目的地是一臺主機(jī)的服務(wù)端口，來源地假冒為另一臺主機(jī)的服務(wù)端口。這樣，第一臺主機(jī)上的服務(wù)返回的隨機(jī)字符就發(fā)送給第二臺主機(jī)的服務(wù)了，第二臺主機(jī)再回送收到的字符，如此反復(fù)，最終導(dǎo)致這兩臺主機(jī)應(yīng)接不暇而拒絕服務(wù)，同時造成網(wǎng)絡(luò)帶寬的損耗。2）它對做了簡單的修改，運(yùn)用的是應(yīng)答消息而非。3）電子郵件炸彈黑客利用某個“無辜”的郵件服務(wù)器，持續(xù)不斷地向攻擊目標(biāo)（郵件地址）發(fā)送垃圾郵件，很可能“撐破”用戶的信箱，導(dǎo)致正常郵件的丟失。4）緩沖區(qū)溢出攻擊十多年來應(yīng)用特別廣泛的一種攻擊手段，近年來，很多聞名的安全漏洞都及緩沖區(qū)溢出有關(guān)。所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導(dǎo)致程序原有流程的改變，黑客借此細(xì)心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲得系統(tǒng)的限制權(quán)。5）社交工程（）一種低技術(shù)含量破壞網(wǎng)絡(luò)安全的有效方法，但它其實(shí)是高級黑客技術(shù)的一種，往往使得處在看似嚴(yán)密防護(hù)下的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)致命的突破口。這種技術(shù)是利用勸服或欺瞞的方式，讓網(wǎng)絡(luò)內(nèi)部的人（安全意識薄弱的職員）來供應(yīng)必要的信息，從而獲得對信息系統(tǒng)的訪問。6.請說明下列網(wǎng)絡(luò)信息安全的要素：保密性,完整性,可用性,可存活性安全體系結(jié)構(gòu)及模型一,選擇題三,問答題列舉并說明中定義的5種標(biāo)準(zhǔn)的安全服務(wù)。（1）鑒別用于鑒別實(shí)體的身份和對身份的證明，包括對等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問限制供應(yīng)對越權(quán)運(yùn)用資源的防衛(wèi)措施。（3）數(shù)據(jù)機(jī)密性針對信息泄露而實(shí)行的防衛(wèi)措施。分為連接機(jī)密性,無連接機(jī)密性,選擇字段機(jī)密性,通信業(yè)務(wù)流機(jī)密性四種。（4）數(shù)據(jù)完整性防止非法篡改信息，如修改,復(fù)制,插入和刪除等。分為帶復(fù)原的連接完整性,無復(fù)原的連接完整性,選擇字段的連接完整性,無連接完整性,選擇字段無連接完整性五種。（5）抗否認(rèn)是針對對方否認(rèn)的防范措施，用來證明發(fā)生過的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的抗否認(rèn)兩種。說明六層網(wǎng)絡(luò)安全體系中各層安全性的含義。1.物理安全防止物理通路的損壞,竊聽和攻擊（干擾等），保證物理安全是整個網(wǎng)絡(luò)安全的前提，包括環(huán)境安全,設(shè)備安全和媒體安全三個方面。2.鏈路安全保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽，主要針對公用信道的傳輸安全。在公共鏈路上采納肯定的安全手段可以保證信息傳輸?shù)陌踩?，對抗通信鏈路上的竊聽,篡改,重放,流量分析等攻擊。3.網(wǎng)絡(luò)級安全須要從網(wǎng)絡(luò)架構(gòu)（路由正確）,網(wǎng)絡(luò)訪問限制（防火墻,安全網(wǎng)關(guān),）,漏洞掃描,網(wǎng)絡(luò)監(jiān)控及入侵檢測等多方面加以保證，形成主動性的網(wǎng)絡(luò)防衛(wèi)體系。4.信息安全包括信息傳輸安全（完整性,機(jī)密性,不可抵賴和可用性等）,信息存儲安全（數(shù)據(jù)備份和復(fù)原,數(shù)據(jù)訪問限制措施,防病毒）和信息（內(nèi)容）審計。5.應(yīng)用安全包括應(yīng)用平臺（,數(shù)據(jù)庫服務(wù)器,服務(wù)器）的安全,應(yīng)用程序的安全。6.用戶安全用戶合法性，即用戶的身份認(rèn)證和訪問限制。9．2000屬于哪個安全級別，為什么？2000屬于C2級。因?yàn)樗性L問限制,權(quán)限限制，可以避開非授權(quán)訪問，并通過注冊供應(yīng)對用戶事務(wù)的跟蹤和審計。密鑰安排及管理一,填空題二,問答題5．在密鑰安排過程中充當(dāng)何種角色？在密鑰安排過程中充當(dāng)可信任的第三方。保存有每個用戶和之間共享的唯一密鑰，以便進(jìn)行安排。在密鑰安排過程中，依據(jù)須要生成各對端用戶之間的會話密鑰，并由用戶和共享的密鑰進(jìn)行加密，通過安全協(xié)議將會話密鑰安全地傳送給須要進(jìn)行通信的雙方。第十章數(shù)字簽名及鑒別協(xié)議三,問答題1.數(shù)字簽名有什么作用？當(dāng)通信雙方發(fā)生了下列狀況時，數(shù)字簽名技術(shù)必需能夠解決引發(fā)的爭端：?否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報文。?偽造，接收方自己偽造一份報文，并聲稱它來自發(fā)送方。?冒充，網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送報文。?篡改，接收方對收到的信息進(jìn)行篡改。2.請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進(jìn)行：(1)采納散列算法對原始報文進(jìn)行運(yùn)算，得到一個固定長度的數(shù)字串，稱為報文摘要()，不同的報文所得到的報文摘要各異，但對相同的報文它的報文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會及原先的值不相符，這樣就保證了報文的不可更改性。(2)發(fā)送方用目己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名。(3)這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。(4)接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數(shù)字簽名進(jìn)行解密，比較兩個報文摘要，假如值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報文是偽造的或者中途被篡改。3.數(shù)字證書的原理是什么？數(shù)字證書采納公開密鑰體制（例如）。每個用戶設(shè)定一僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時設(shè)定一公開密鑰，為一組用戶所共享，用于加密和驗(yàn)證簽名。采納數(shù)字證書，能夠確認(rèn)以下兩點(diǎn)：(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實(shí)信息。4.報文鑒別有什么作用，公開密鑰加密算法相對于常規(guī)加密算法有什么優(yōu)點(diǎn)？報文鑒別往往必需解決如下的問題：(1)報文是由確認(rèn)的發(fā)送方產(chǎn)生的。(2)報文的內(nèi)容是沒有被修改過的。(3)報文是按傳送時的相同順序收到的。(4)報文傳送給確定的對方。一種方法是發(fā)送方用自己的私鑰對報文簽名，簽名足以使任何人信任報文是可信的。另一種方法常規(guī)加密算法也供應(yīng)了鑒別。但有兩個問題，一是不簡單進(jìn)行常規(guī)密鑰的分發(fā)，二是接收方?jīng)]有方法使第三方信任該報文就是從發(fā)送方送來的，而不是接收方自己偽造的。因此，一個完善的鑒別協(xié)議往往考慮到了報文源,報文宿,報文內(nèi)容和報文時間性的鑒別。第十二章身份認(rèn)證三,問答題說明身份認(rèn)證的基本概念。身份認(rèn)證是指用戶必需供應(yīng)他是誰的證明，這種證明客戶的真實(shí)身份及其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機(jī)制的基礎(chǔ)。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡，識別身份后，由訪問監(jiān)視器依據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫確定是否能夠訪問某個資源。一旦身份認(rèn)證系統(tǒng)被攻破，系統(tǒng)的全部安全措施將形同虛設(shè)，黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。2.單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？（1）用戶所知道的東西：如口令,密碼。（2）用戶所擁有的東西：如智能卡,身份證。（3）用戶所具有的生物特征：如指紋,聲音,視網(wǎng)膜掃描,等。4.了解散列函數(shù)的基本性質(zhì)。散列函數(shù)H必需具有性質(zhì)：?H能用于任何長度的數(shù)據(jù)分組；?H產(chǎn)生定長的輸出；?對任何給定的x，H(x)要相對簡單計算；?對任何給定的碼h，找尋x使得H(x)在計算上是不可行的，稱為單向性；?對任何給定的分組x，找尋不等于x的y，使得H(y)(x)在計算上是不可行的，稱為弱抗沖突（）；?找尋對任何的()對，使得H(y)(x)在計算上是不可行的，稱為強(qiáng)抗沖突（）。12.了解系統(tǒng)的優(yōu)點(diǎn)。(1)安全：網(wǎng)絡(luò)竊聽者不能獲得必要信息以假冒其他用戶，應(yīng)足夠強(qiáng)壯以致于潛在的敵人無法找到它的弱點(diǎn)連接。(2)牢靠：應(yīng)高度牢靠并且應(yīng)借助于—個分布式服務(wù)器體系結(jié)構(gòu)，使得一個系統(tǒng)能夠備份另一個系統(tǒng)。(3)透亮：志向狀況下用戶除了要求輸入口令以外應(yīng)感覺不到認(rèn)證的發(fā)生。(4)可伸縮：系統(tǒng)應(yīng)能夠支持大數(shù)量的客戶和服務(wù)器，這意味著須要一個模塊化的分布式結(jié)構(gòu)。第十三章授權(quán)及訪問限制三,問答題說明訪問限制的基本概念。訪問限制是建立在身份認(rèn)證基礎(chǔ)上的，通過限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐?。訪問限制的目的：限制主體對訪問客體的訪問權(quán)限（安全訪問策略），從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)運(yùn)用。2.訪問限制有幾種常用的實(shí)現(xiàn)方法？它們各有什么特點(diǎn)？1訪問限制矩陣行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點(diǎn)表示某個主體對某個客體的訪問權(quán)限。通常一個文件的權(quán)限表示可以授予（）或撤消（）其他用戶對該文件的訪問限制權(quán)限。2訪問實(shí)力表實(shí)際的系統(tǒng)中雖然可能有很多的主體及客體，但兩者之間的權(quán)限關(guān)系可能并不多。為了減輕系統(tǒng)的開銷及奢侈，我們可以從主體（行）動身，表達(dá)矩陣某一行的信息，這就是訪問實(shí)力表（）。只有當(dāng)一個主體對某個客體擁有訪問的實(shí)力時，它才能訪問這個客體。但是要從訪問實(shí)力表獲得對某一特定客體有特定權(quán)限的全部主體就比較困難。在一個安全系統(tǒng)中，正是客體本身須要得到牢靠的愛護(hù)，訪問限制服務(wù)也應(yīng)當(dāng)能夠限制可訪問某一客體的主體集合，于是出現(xiàn)了以客體為動身點(diǎn)的實(shí)現(xiàn)方式——。3訪問限制表也可以從客體（列）動身，表達(dá)矩陣某一列的信息，這就是訪問限制表（）。它可以對某一特定資源指定隨意一個用戶的訪問權(quán)限，還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。4授權(quán)關(guān)系表授權(quán)關(guān)系表（）的每一行表示了主體和客體的一個授權(quán)關(guān)系。對表按客體進(jìn)行排序，可以得到訪問限制表的優(yōu)勢；對表按主體進(jìn)行排序，可以得到訪問實(shí)力表的優(yōu)勢。適合采納關(guān)系數(shù)據(jù)庫來實(shí)現(xiàn)。8.為什么能阻擋特洛伊木馬？能夠阻擋特洛伊木馬。一個特洛伊木馬是在一個執(zhí)行某些合法功能的程序中隱藏的代碼，它利用運(yùn)行此程序的主體的權(quán)限違反安全策略，通過偽裝成有用的程序在進(jìn)程中泄露信息。阻擋特洛伊木馬的策略是基于非循環(huán)信息流，由于策略是通過梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通，從而它可以很好地阻擋特洛伊木馬的泄密。第十四章技術(shù)二,問答題2.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書是一個經(jīng)證書認(rèn)證中心()數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。認(rèn)證中心()作為權(quán)威的,可信任的,公正的第三方機(jī)構(gòu)，特地負(fù)責(zé)為各種認(rèn)證需求供應(yīng)數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應(yīng)用于很多網(wǎng)絡(luò)安全，其中包括(安全),,,。3.X.509規(guī)范中是如何定義實(shí)體A信任實(shí)體B的？在中信任又是什么詳細(xì)含義？X.509規(guī)范中給出了適用于我們目標(biāo)的定義：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望的那樣行動，則A信任B。在中，我們可以把這個定義詳細(xì)化為：假如一個用戶假定可以把任一公鑰綁定到某個實(shí)體上，則他信任該。4.有哪4種常見的信任模型？1.認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型認(rèn)證機(jī)構(gòu)()的嚴(yán)格層次結(jié)構(gòu)可以被描繪為一棵倒置的樹，根代表一個對整個系統(tǒng)的全部實(shí)體都有特殊意義的——通常叫做根()，它充當(dāng)信任的根或“信任錨()”——也就是認(rèn)證的起點(diǎn)或終點(diǎn)。2.分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個或多個上。也就是說，A把1作為他的信任錨，而B可以把2做為他的信任錨。因?yàn)檫@些都作為信任錨，因此相應(yīng)的必需是整個系統(tǒng)的一個子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根。3.模型模型依靠于流行的閱讀器，很多的公鑰被預(yù)裝在標(biāo)準(zhǔn)的閱讀器上。這些公鑰確定了一組，閱讀器用戶最初信任這些并將它們作為證書檢驗(yàn)的根。從根本上講，它更類似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型，這是一種有隱含根的嚴(yán)格層次結(jié)構(gòu)。4.以用戶為中心的信任模型每個用戶自己確定信任哪些證書。通常，用戶的最初信任對象包括用戶的朋友,家人或同事，但是否信任某證書則被很多因素所左右。9.有哪些詳細(xì)的職責(zé)？?驗(yàn)證并標(biāo)識證書申請者的身份。?確保用于簽名證書的非對稱密鑰的質(zhì)量。?確保整個簽證過程的安全性，確保簽名私鑰的安全性。?證書材料信息(包括公鑰證書序列號,標(biāo)識等)的管理。?確定并檢查證書的有效期限。?確保證書主體標(biāo)識的惟一性，防止重名。?發(fā)布并維護(hù)作廢證書表（）。?對整個證書簽發(fā)過程做日志記錄。?向申請人發(fā)通知。其中最為重要的是自己的一對密鑰的管理，它必需確保高度的機(jī)密性，防止他方偽造證書。第十五章的安全一,選擇題二,問答題1.和協(xié)議以及的關(guān)系是什么？是一種由設(shè)計的端到端的確保層通信安全的機(jī)制。不是一個單獨(dú)的協(xié)議，而是一組協(xié)議。是隨著6的制定而產(chǎn)生的，后來也增加了對4的支持。在前者中是必需支持的，在后者中是可選的。作為一個第三層隧道協(xié)議實(shí)現(xiàn)了通信，可以為網(wǎng)絡(luò)通信供應(yīng)透亮的安全服務(wù)，免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵擋網(wǎng)絡(luò)攻擊，同時保持易用性。包含了哪3個最重要的協(xié)議？簡述這3個協(xié)議的主要功能？眾多的通過關(guān)系圖組織在一起，它包含了三個最重要的協(xié)議：,,。（1）為數(shù)據(jù)包供應(yīng)如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗(yàn)證,數(shù)據(jù)源身份認(rèn)證和防重放攻擊。數(shù)據(jù)完整性驗(yàn)證通過哈希函數(shù)（如5）產(chǎn)生的校驗(yàn)來保證；數(shù)據(jù)源身份認(rèn)證通過在計算驗(yàn)證碼時加入一個共享密鑰來實(shí)現(xiàn)；報頭中的序列號可以防止重放攻擊。（2）除了為數(shù)據(jù)包供應(yīng)已有的3種服務(wù)外，還供應(yīng)數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對一個包進(jìn)行加密（整個包或其載荷部分），一般用于客戶端計算機(jī)；數(shù)據(jù)流加密一般用于支持的路由器，源端路由器并不關(guān)切包的內(nèi)容，對整個包進(jìn)行加密后傳輸，目的端路由器將該包解密后將原始數(shù)據(jù)包接著轉(zhuǎn)發(fā)。和可以單獨(dú)運(yùn)用，也可以嵌套運(yùn)用。可以在兩臺主機(jī),兩臺安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)及安全網(wǎng)關(guān)之間運(yùn)用。（3）負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證,協(xié)商加密算法以及生成共享的會話密鑰的方法。將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟()中，供和以后通信時運(yùn)用。說明域()為運(yùn)用進(jìn)行協(xié)商的協(xié)議統(tǒng)一安排標(biāo)識符。第十六章電子郵件的安全一,問答題1.電子郵件存在哪些安全性問題？1）垃圾郵件包括廣告郵件,騷擾郵件,連鎖郵件,反動郵件等。垃圾郵件會增加網(wǎng)絡(luò)負(fù)荷，影響網(wǎng)絡(luò)傳輸速度，占用郵件服務(wù)器的空間。2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速,便宜，發(fā)信人能快速讓大量受害者上當(dāng)。3）郵件炸彈指在短時間內(nèi)向同一信箱發(fā)送大量電子郵件的行為，信箱不能承受時就會崩潰。4）通過電子郵件傳播的病毒通常用編寫，且大多數(shù)采納附件的形式夾帶在電子郵件中。當(dāng)收信人打開附件后，病毒會查詢他的通訊簿，給其上全部或部分人發(fā)信，并將自身放入附件中，以此方式接著傳播擴(kuò)散。端到端的安全電子郵件技術(shù)，能夠保證郵件從發(fā)出到接收的整個過程中的哪三種安全性？端到端的安全電子郵件技術(shù)，保證郵件從被發(fā)出到被接收的整個過程中，內(nèi)容保密,無法修改,并且不可否認(rèn)。目前的上，有兩套成型的端到端安全電子郵件標(biāo)準(zhǔn)：和。它一般只對信體進(jìn)行加密和簽名，而信頭則由于郵件傳輸中尋址和路由的須要，必需保證原封不動。畫圖說明的工作原理。第十七章及電子商務(wù)的安全二,問答題1.探討一下為什么出現(xiàn)的漏洞對服務(wù)器的安全威脅最大？相比前面提到的問題，可能出現(xiàn)的漏洞很多，而被攻破后所能造成的威脅也很大。程序設(shè)計人員的一個簡單的錯誤或不規(guī)范的編程就可能為系統(tǒng)增加一個安全漏洞。一個有意放置的有惡意的程序能夠自由訪問系統(tǒng)資源，使系統(tǒng)失效,刪除文件或查看顧客的保密信息(包括用戶名和口令)。說明的概念和功能。安全套接層協(xié)議主要是運(yùn)用公開密鑰體制和X.509數(shù)字證書技術(shù)愛護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不能保證信息的不可抵賴性，主要適用于點(diǎn)對點(diǎn)之間的信息傳輸。它是公司提出的基于應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證,客戶認(rèn)證(可選),鏈路上的數(shù)據(jù)完整性和鏈路上的數(shù)據(jù)保密性。通過在閱讀器軟件和服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在中傳送的保密性。在協(xié)議族中，位于層之上,應(yīng)用層之下。這使它可以獨(dú)立于應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在之上。協(xié)議包括以下一些子協(xié)議；記錄協(xié)議,握手協(xié)議,更改密碼說明協(xié)議和警告協(xié)議。記錄協(xié)議建立在牢靠的傳輸協(xié)議(例如)上，用來封裝高層的協(xié)議。握手協(xié)議準(zhǔn)許服務(wù)器端及客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。什么是電子錢包？交易發(fā)生的先決條件是，每個持卡人(客戶)必需擁有一個惟一的電子(數(shù)字)證書，且由客戶確定口令，并用這個口令對數(shù)字證書,私鑰,信用卡號碼及其他信息進(jìn)行加密存儲，這些及符合協(xié)議的軟件一起組成了一個電子錢包。簡述的記錄協(xié)議和握手協(xié)議。記錄協(xié)議是建立在牢靠的傳輸協(xié)議（如）之上，為更高層供應(yīng)基本的安全服務(wù)，如供應(yīng)數(shù)據(jù)封裝,眼所,加密等基本功能的支持。記錄協(xié)議用來定義數(shù)據(jù)傳輸?shù)母袷?，它包括的記錄頭和記錄數(shù)據(jù)格式的規(guī)定。在協(xié)議中，全部的傳輸數(shù)據(jù)都被封裝在記錄中。握手協(xié)議負(fù)責(zé)建立當(dāng)前會話狀態(tài)的參數(shù)。雙方協(xié)商一個協(xié)議版本，選擇密碼算法，相互認(rèn)證（不是必需的），并且運(yùn)用公鑰加密技術(shù)通過一系列交換的消息在客戶端和服務(wù)器之間生成共享密鑰。第十八章防火墻技術(shù)三,問答題1.什么是防火墻，為什么須要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)及之間，限制用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問的權(quán)限。換言之，一個防火墻在一個被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是)之間供應(yīng)一個封鎖工具。假如沒有防火墻，則整個內(nèi)部網(wǎng)絡(luò)的安全性完全依靠于每個主機(jī)，因此，全部的主機(jī)都必需達(dá)到一樣的高度安全水平，這在實(shí)際操作時特別困難。而防火墻被設(shè)計為只運(yùn)行專用的訪問限制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為便利，易于限制，也會使內(nèi)部網(wǎng)絡(luò)更加安全。防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的狀況下，盡可能保證內(nèi)部網(wǎng)絡(luò)的安全。它是一種被動的技術(shù)，是一種靜態(tài)安全部件。2.防火墻應(yīng)滿意的基本條件是什么？作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問限制的一組組件的集合，防火墻應(yīng)滿意的基本條件如下：(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的全部數(shù)據(jù)流必需經(jīng)過防火墻。(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻。(3)防火墻自身具有高牢靠性，應(yīng)對滲透()免疫，即它本身是不可被侵入的。3.列舉防火墻的幾個基本功能？(1)隔離不同的網(wǎng)絡(luò)，限制安全問題的擴(kuò)散，對安全集中管理，簡化了安全管理的困難程度。(2)防火墻可以便利地記錄網(wǎng)絡(luò)上的各種非法活動，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急狀況報警。(3)防火墻可以作為部署的地點(diǎn)，利用技術(shù)，將有限的地址動態(tài)或靜態(tài)地及內(nèi)部的地址對應(yīng)起來，用來緩解地址空間短缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。(4)防火墻是審計和記錄運(yùn)用費(fèi)用的一個最佳地點(diǎn)。(5)防火墻也可以作為的平臺。(6)內(nèi)容限制功能。依據(jù)數(shù)據(jù)內(nèi)容進(jìn)行限制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息。只有代理服務(wù)器和先進(jìn)的過濾才能實(shí)現(xiàn)。第十九章技術(shù)二,問答題1.說明的基本概念。是的縮寫，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是連接而成的邏輯上的虛擬子網(wǎng)。是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以供應(yīng)和專用網(wǎng)絡(luò)同樣的功能。表示是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以運(yùn)用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。簡述運(yùn)用了哪些主要技術(shù)。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同用戶業(yè)務(wù)區(qū)分的基本方式。一個可抽象為一個沒有自環(huán)的連通圖，每個頂點(diǎn)代表一個端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開的設(shè)備端口），相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對應(yīng)端點(diǎn)的邏輯通道，即隧道。隧道以疊加在主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)肯定的封裝處理，從信源的一個端點(diǎn)進(jìn)入，經(jīng)相關(guān)隧道穿越（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個端點(diǎn)，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)須要跨越多個運(yùn)營商的網(wǎng)絡(luò)時，在連接兩個獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組須要被解封裝和再次封裝，可能會造成數(shù)據(jù)泄露，這就須要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有和（安全聯(lián)盟和密鑰管理協(xié)議）。3）對于支持遠(yuǎn)程接入或動態(tài)建立隧道的，在隧道建立之前須要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需依據(jù)訪問者身份實(shí)施資源訪問限制。這須要訪問者及設(shè)備的身份認(rèn)證技術(shù)和訪問限制技術(shù)。有哪三種類型？它們的特點(diǎn)和應(yīng)用場合分別是什么？1.（遠(yuǎn)程接入網(wǎng)）即所謂移動，適用于企業(yè)內(nèi)部人員流淌頻繁和遠(yuǎn)程辦公的狀況，出差員工或在家辦公的員工利用當(dāng)?shù)鼐涂梢院推髽I(yè)的網(wǎng)關(guān)建立私有的隧道連接。通過撥入當(dāng)?shù)氐倪M(jìn)入再連接企業(yè)的網(wǎng)關(guān)，在用戶和網(wǎng)關(guān)之間建立一個安全的“隧道”，通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng)（節(jié)約通信費(fèi)用，又保證了安全性）。撥入方式包括撥號,,等，唯一的要求就是能夠運(yùn)用合法地址訪問。2.（內(nèi)聯(lián)網(wǎng)）假如要進(jìn)行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián)，可以運(yùn)用的方式，即所謂的網(wǎng)關(guān)對網(wǎng)關(guān)。在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該隧道安全地進(jìn)行通信。3.（外聯(lián)網(wǎng)）假如一個企業(yè)盼望將客戶,供應(yīng)商,合作伙伴連接到企業(yè)內(nèi)部網(wǎng)，可以運(yùn)用。其實(shí)也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的，但它須要有不同協(xié)議和設(shè)備之間的協(xié)作和不同的安全配置。舉例說明什么是乘客協(xié)議,封裝協(xié)議和傳輸協(xié)議？（1）乘客協(xié)議：用戶真剛要傳輸（也即被封裝）的數(shù)據(jù)，如,,等。（2）封裝協(xié)議：用于建立,保持和拆卸隧道，如L2F,,L2,。（3）傳輸協(xié)議：乘客協(xié)議被封裝后應(yīng)用傳輸協(xié)議，例如協(xié)議。8.了解第三層隧道協(xié)議——。是通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如2,等），用于在包中封裝任何協(xié)議的數(shù)據(jù)包（,,等）。在中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是，傳輸協(xié)議就是。在的處理中，很多協(xié)議的微小差別都被忽視，這使得不限于某個特定的“XY”的應(yīng)用，而是一種通用的封裝形式。原始包的地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留地址，而外層的地址是企業(yè)網(wǎng)絡(luò)出口的地址，因此，盡管私有網(wǎng)絡(luò)的地址無法和外部網(wǎng)絡(luò)進(jìn)行正確的路由，但這個封裝之后的包可以在上路由——最簡單的技術(shù)。（，非數(shù)據(jù)包能在互聯(lián)網(wǎng)上傳送）適合一些小型點(diǎn)對點(diǎn)的網(wǎng)絡(luò)互聯(lián)。第二十章安全掃描技術(shù)一,問答題1.簡述常見的黑客攻擊過程。1目標(biāo)探測和信息攫取先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后依據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最終的目標(biāo)。1)踩點(diǎn)（）黑客必需盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊信息，查詢(用上供應(yīng)的命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名,地址,務(wù)器,郵件服務(wù)器等有用信息。此外還可以用工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?)掃描（）在掃描階段，我們將運(yùn)用各種工具和技巧(如掃射,端口掃描以及操作系統(tǒng)檢測等)確定哪些系統(tǒng)存活著,它們在監(jiān)聽哪些端口(以此來推斷它們在供應(yīng)哪些服務(wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3)查點(diǎn)（）從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說，一旦查點(diǎn)查出一個有效用戶名或共享資源，攻擊者猜出對應(yīng)的密碼或利用及資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個時間問題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求運(yùn)用前面步驟匯合的信息。2獲得訪問權(quán)（）通過密碼竊聽,共享文件的野蠻攻擊,攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3特權(quán)提升（）在獲得一般賬戶后，黑客常常會試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆杉{密碼破解(如用L0破解的文件),利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4竊?。ǎγ舾袛?shù)據(jù)進(jìn)行篡改,添加,刪除及復(fù)制（如系統(tǒng)的注冊表,的文件等）。5掩蓋蹤跡（）此時最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄,運(yùn)用等工具。6創(chuàng)建后門（）在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)