《西南大學2018年0836《信息安全》參考答案.docx》由會員分享，可在線閱讀，更多相關(guān)《西南大學2018年0836《信息安全》參考答案.docx（45頁珍藏版）》請在裝配圖網(wǎng)上搜索。

西南大學 2018年 [0836]《信息安全》 參考答案 西南大學 網(wǎng)絡(luò)與繼續(xù)教育學院 課程代碼： 0836 學年學季：20182 單項選擇題 1、下列哪些選項不能預防計算機犯罪（） . 經(jīng)常對機房以及計算機進行打掃、清潔 . 所有通過網(wǎng)絡(luò)傳送的信息應(yīng)在計算機內(nèi)自動登記 . 對于重要文件的輸入、輸出、更改等情況記錄到不可隨意更改的文件中 . 按照時間、操作員、變動情況、動用的密碼等記錄到不可隨意更改的文件中 2、以下哪一個選項不是網(wǎng)絡(luò)安全管理的原則（） . 多人負責制 . 任期有限 . 職責分離 . 最大權(quán)限 3、以下哪項是指有關(guān)管理、保護和發(fā)布敏感消息的法律、規(guī)定和實施細則。（ ） . 安全策略 . 安全模型 . 安全框架 . 安全原則 4、組織對信息和信息處理設(shè)施的威脅、影響和薄弱點及其發(fā)生的可能性進行確認，這被稱為（） . 信息安全分析 . 運行安全分析 . 風險分析 . 安全管理分析 5、計算機應(yīng)急響應(yīng)協(xié)調(diào)中心的英文縮寫是（） . CERT . SANS . ISSA . OSCE 6、操作系統(tǒng)是企業(yè)網(wǎng)絡(luò)管理平臺的基礎(chǔ)，其安全性是第一位的，作為一名合格的企業(yè)安全管理員，應(yīng)了解以下操作系統(tǒng)所面臨的哪些安全威脅。（ ） . 操作系統(tǒng)軟件自身的漏洞 . 開放了所有的端口 . 開放了全部的服務(wù) . 病毒 7、下列選項中，不是認證技術(shù)所能提供的服務(wù)是() . 驗證消息在傳送或存儲過程中是否被篡改 . 驗證消息收發(fā)者是否持有正確的身份認證符 . 驗證消息序號和操作時間是否正確 . 驗證消息在傳輸過程中是否被竊聽 8、系統(tǒng)通過驗證用戶身份，進而確定用戶的權(quán)限，這項服務(wù)是（） . 報文認證 . 訪問控制 . 不可否定性 . 數(shù)據(jù)完整性 9、為了驗證帶數(shù)字簽名郵件的合法性，電子郵件應(yīng)用程序會向 （） . 相應(yīng)的數(shù)字證書授權(quán)機構(gòu)索取該數(shù)字標識的有關(guān)信息 . 發(fā)件人索取該數(shù)字標識的有關(guān)信息 . 發(fā)件人的上級主管部門索取該數(shù)字標識的有關(guān)信息 . 發(fā)件人使用的ISP索取該數(shù)字標識的有關(guān)信息 10、為了防止網(wǎng)絡(luò)傳輸中的數(shù)據(jù)被篡改，應(yīng)采用（） . 數(shù)字簽名技術(shù) . 消息認證技術(shù) . 數(shù)據(jù)加密技術(shù) . 身份認證技術(shù) 11、在電子商務(wù)中，為了防止交易一方對自己的網(wǎng)絡(luò)行為抵賴，應(yīng)采用（） . 數(shù)字簽名技術(shù) . 消息認證技術(shù) . 數(shù)據(jù)加密技術(shù) . 身份認證技術(shù) 12、下面關(guān)于數(shù)字證書的描述中，錯誤的是 （） . 證書上列有證書授權(quán)中心的數(shù)字簽名 . 證書上列有證書擁有者的基本信息 . 證書上列有證書擁有者的公開密鑰 . 證書上列有證書擁有者的秘密密鑰 13、CA的核心職責是（） . 簽發(fā)和管理數(shù)字證書 . 驗證用戶的信息 . 公布黑名單 . 撤消用戶的證書 14、SSL協(xié)議的主要功能是（） . 實現(xiàn)WEB服務(wù)器與瀏覽器間的安全通信 . 可以同時提供加密和認證兩種服務(wù) . 在分布式網(wǎng)絡(luò)中對用戶身份進行認證 . 保證通過信用卡支付的安全電子交易 15、下列選項中，不是VPN所能提供的服務(wù)是（） . 通過加密技術(shù)提供的保密性 . 通過認證技術(shù)提供的真實性 . 通過數(shù)字簽名提供的不可否認性 . 通過密鑰交換技術(shù)協(xié)商密鑰 16、對于IDS入侵檢測系統(tǒng)來說，必須具有（ ） . 應(yīng)對措施 . 響應(yīng)手段或措施 . 防范政策 . 響應(yīng)設(shè)備 17、如果內(nèi)部網(wǎng)絡(luò)的地址網(wǎng)段為192.168.1.0/24 ，需要用到下列哪個功能，才能使用戶上網(wǎng)（） . 地址學習 . 地址轉(zhuǎn)換 . IP地址和MAC地址綁定功能 . URL過濾功能 18、保證網(wǎng)絡(luò)安全是使網(wǎng)絡(luò)得到正常運行的保障，以下哪一個說法是錯誤的（） . 繞過防火墻，私自和外部網(wǎng)絡(luò)連接，可能造成系統(tǒng)安全漏洞 . 越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，可能造成網(wǎng)絡(luò)工作不正?；蚬收? . 有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令是危險的 . 解決來自網(wǎng)絡(luò)內(nèi)部的不安全因素必須從技術(shù)方面入手 19、以下有關(guān)代理服務(wù)技術(shù)的描述中，正確的是（） . 允許內(nèi)外網(wǎng)間IP包直接交互 . 從網(wǎng)絡(luò)層次看工作在網(wǎng)絡(luò)層 . 通常都是基于硬件實現(xiàn)的 . 與包過濾相比速度要慢些 20、以下有關(guān)防火墻的描述中，錯誤的是（ ） . 防火墻是一種主動的網(wǎng)絡(luò)安全防御措施 . 防火墻可有效防范外部攻擊 . 防火墻不能防止內(nèi)部人員攻擊 . 防火墻拓撲結(jié)構(gòu)會影響其防護效果 21、以下指標中，可以作為衡量密碼算法加密強度的是（） . 計算機性能 . 密鑰個數(shù) . 算法保密性 . 密鑰長度 22、下面哪一種算法屬于非對稱加密算法（） . ES . Rijindael . RSA . ES 23、以下哪個選項是對稱密鑰密碼體制的特點（ ） . 加解密速度快 . 密鑰不需傳送 . 密鑰管理容易 . 能實現(xiàn)數(shù)字簽名 24、一個好的密碼體制，其安全性應(yīng)僅僅依賴于（ ） . 其應(yīng)用領(lǐng)域 . 加密方式的保密性 . 算法細節(jié)保密性 . 密鑰的保密性 25、下列選項中，不屬于HASH算法的是（） . ECC . MD4 . MD5 . SHA 26、抵御電子郵箱入侵措施中，不正確的是（） . 不用生日做密碼 . 不要使用少于5位的密碼 . 不要使用純數(shù)字 . 自己做服務(wù)器 27、密碼分析者不僅知道一些消息的密文，還知道個別密文塊對應(yīng)的明文，試圖推導出加密密鑰或算法，這種攻擊被稱為（） . 惟密文攻擊 . 已知明文攻擊 . 選擇明文攻擊 . 選擇密文攻擊 28、以下哪些做法可以增強用戶口令的安全性（ ） . 選擇由全英文字母組成的口令 . 選擇由全數(shù)字組成的口令 . 選擇與自己身份相關(guān)的口令，以免忘記 . 選擇無規(guī)律的口令 29、下列措施中，哪項不是減少病毒的傳染和造成的損失的好辦法。（） . 重要的文件要及時、定期備份，使備份能反映出系統(tǒng)的最新狀態(tài) . 外來的文件要經(jīng)過病毒檢測才能使用，不要使用盜版軟件 . 不與外界進行任何交流，所有軟件都自行開發(fā) . 定期用抗病毒軟件對系統(tǒng)進行查毒、殺毒 30、通過QQ發(fā)送“免費獲取Q幣”字樣的超鏈接，該鏈接實際指向的是一個木馬程序，這種攻擊屬于（） . 木馬 . 社會工程學 . 電話系統(tǒng)漏洞 . 拒絕服務(wù) 31、下面選項中，不屬于DoS攻擊的是（） . SYN湮沒 . SMURF攻擊 . TEARDro . 緩沖區(qū)溢出 32、詐騙份子偽建了一個建設(shè)銀行的網(wǎng)站，用于騙取用戶的銀行帳號，這種攻擊屬于（） . 假冒攻擊 . 網(wǎng)絡(luò)釣魚攻擊 . 后門攻擊 . 惡意訪問攻擊 33、以下行為中，屬于被動攻擊的是（ ） . 重放攻擊 . 口令嗅探 . 拒絕服務(wù) . 物理破壞 34、以下行為中，屬于主動攻擊的是（ ） . 網(wǎng)絡(luò)監(jiān)聽 . 口令嗅探 . 拒絕服務(wù) . 信息收集 35、以下有關(guān)內(nèi)部人員攻擊的描述中，錯誤的是（） . 比外部攻擊更容易實施 . 不一定都帶有惡意目的 . 相比外部攻擊更不易檢測和防范 . 可采取防火墻技術(shù)來避免 36、"進不來""拿不走""看不懂""改不了""走不脫"是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中，"拿不走"是指下面那種安全服務(wù)（） . 數(shù)據(jù)加密 . 身份認證 . 數(shù)據(jù)完整性 . 訪問控制 37、 從具體的意義上來理解，信息安全需要保證哪幾個方面的內(nèi)容？ （） I.保密性（Confidentiality） II.完整性(Integrity) III.可用性(Availability) IV.可控性(Controllability) . E. I、II和IV . F. I、II和III . II、III和IV . 都是 38、計算機系統(tǒng)的實體安全是指保證() . A. 安裝的操作系統(tǒng)安全 . B. 操作人員安全 . C. 計算機系統(tǒng)硬件安全 . D. 計算機硬盤內(nèi)的數(shù)據(jù)安全 主觀題 39、 數(shù)字信封 參考答案： 非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結(jié)合起來使用（2分）。即用對稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術(shù)被稱為數(shù)字信封。 40、 數(shù)據(jù)完整性 參考答案： 數(shù)據(jù)未經(jīng)授權(quán)不能進行改變，即信息在存儲或傳輸過程中保持不被修改，不被破壞和丟失的特性。 41、 公鑰證書 參考答案： ：這是一種公鑰分配的方法，用戶通過公鑰證書交換公鑰而不須和公鑰管理機構(gòu)聯(lián)系，其中一種做法是證書管理機構(gòu)用自己的私鑰對用戶的公鑰及用戶的身份及時間戳進行加密，即形成了用戶的公鑰證書。 42、 網(wǎng)絡(luò)地址轉(zhuǎn)換 參考答案： 即NAT技術(shù)，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。即在內(nèi)網(wǎng)中使用內(nèi)部IP，而當內(nèi)部節(jié)點要與外網(wǎng)進行通信時，就在網(wǎng)關(guān)處將內(nèi)部地址轉(zhuǎn)換為公用地址，從而在公網(wǎng)上正常使用。從技術(shù)上分為靜態(tài)NAT、動態(tài)地址NAT和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAT 43、 訪問控制 參考答案： 訪問控制是維護計算機網(wǎng)絡(luò)系統(tǒng)安全、保護計算機資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。是給用戶和用戶組賦予一定權(quán)限，控制其對目錄和子目錄、文件和其他資源的訪問，以及指定用戶對這些文件、目錄和設(shè)備能執(zhí)行的操作。 44、 異常入侵檢測 參考答案： 異常檢測基于一個假定：用戶行為是可預測的、遵循一致性模式的、且隨著用戶事件增加，異常檢測會適應(yīng)用戶行為的變化。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強健的保護機制，但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。 45、 IDS入侵監(jiān)測 參考答案： 是一類在網(wǎng)絡(luò)攻防對抗環(huán)境中實現(xiàn)網(wǎng)絡(luò)入侵檢測、預警、評估與響應(yīng)的指揮控制系統(tǒng)，IDS從網(wǎng)絡(luò)或主機獲取信息，然后依據(jù)現(xiàn)有知識對獲取信息進行檢測、識別、評估并依據(jù)檢測結(jié)果做出相應(yīng)告警與響應(yīng)。從技術(shù)上分為異常檢測和誤用檢測。 46、 虛擬私人網(wǎng) 參考答案： 是在Internet上接續(xù)了具有加密功能的路由和防火墻，把網(wǎng)絡(luò)上的數(shù)據(jù)進行加密再傳送，達到在不安全的公共網(wǎng)絡(luò)中安全地傳送數(shù)據(jù)的目的。特點是：通信數(shù)據(jù)是經(jīng)過加密的，遠程站點是經(jīng)過認證的，可以使用多種協(xié)議，連接是點對點的。 47、 緩存溢出 參考答案： 為了攻擊系統(tǒng)而占滿計算機系統(tǒng)空間，或者允許黑客具有對系統(tǒng)的提升權(quán)限的過程，就是試圖在計算機內(nèi)存空間中緩存過多的信息。原因是由于應(yīng)用程序中存在漏洞，而在將用戶數(shù)據(jù)復制到另一個變量中時沒有檢查數(shù)據(jù)的復制量，可以通過檢查程序的源代碼來發(fā)現(xiàn)。 48、 數(shù)字簽名 參考答案： 是一種用于對報文進行鑒別的機制，能證實信息M確是由發(fā)送方發(fā)出；任何人都不能偽造發(fā)方對M的簽名；接收方能證明收到的報文沒有被篡改過；假設(shè)發(fā)送方否認對信息M的簽名，可以通過第三方（如法院）仲裁解決雙方間的爭議。 49、 防火墻 參考答案： 一種網(wǎng)絡(luò)的訪問控制設(shè)備（可以是硬件，也可以是軟件），用于適當?shù)耐ㄐ磐ㄟ^，從而保護機構(gòu)的網(wǎng)絡(luò)或者計算機系統(tǒng)。類型：應(yīng)用層防火墻和數(shù)據(jù)包過濾防火墻。 50、 .拒絕服務(wù)（DOS） 參考答案： 凡是造成目標計算機拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。 51、 CA認證 參考答案： 在公鑰加密體制的密鑰管理方法中，一個主要問題即是對公開鑰的假冒、偽造和篡改，為解決這一問題，通信雙方可將自己的公鑰提交給可信的第三方進行驗證，并出具對應(yīng)的證書，從而防止它人對公鑰進行偽造和篡改，這一機制被稱為CA認證。 52、 消息認證 參考答案： 消息認證指通過對消息或消息相關(guān)信息進行加密或簽名變換進行的認證，目的包括消息內(nèi)容認證（消息完整性認證）、消息的源和宿認證（身份認證）以及消息的序號和操作時間認證等。 53、 簡述為什么會提出數(shù)字信封技術(shù)。 參考答案： 非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結(jié)合起來使用。即用對稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術(shù)被稱為數(shù)字信封。 54、 Kerberos用來解決什么問題？ 參考答案： Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-granting ticket)訪問多個服務(wù)，即SSO(Single Sign On)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩浴? 55、 比較傳統(tǒng)密碼體制和公開密碼體制的差異。 參考答案： 1)傳統(tǒng)密碼體制中密鑰不能公開，且k1=k2，而公鑰體制中k1<>k2，且k1可以公開，而從k1無法得到有關(guān)k2的任何信息。 (2)秘鑰的傳送上，傳統(tǒng)密鑰必須要傳送，而公開鑰不需要； (3)從數(shù)字簽名角度，對稱鑰困難，而公開鑰很容易； (4)加密速度上，對稱鑰快，而公開鑰慢； (5)用途上，對稱鑰主要是數(shù)據(jù)加密，公開鑰主要是數(shù)字簽名、密鑰分配加密。 56、 什么是數(shù)字簽名？其基本要求是什么？有哪些基本的數(shù)字簽名方法？ 參考答案： 數(shù)字簽名是使以數(shù)字形式存儲的明文信息經(jīng)過特定密碼變換生成密文，作為相應(yīng)明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。對數(shù)字簽名的基本要求有： (1)簽名接收者能容易地驗證簽字者對消息所做的數(shù)字簽名； (2)任何人，包括簽名接收者，都不能偽造簽名者的簽字； (3)發(fā)生爭議時，可由第三方解決爭議。 數(shù)字簽名基本分類： (1)直接數(shù)字簽名：僅涉及通信方(信源、信宿)，假定信宿知道信源的公開密鑰，數(shù)字簽名通過信源對整個報文用私有密鑰加密，或?qū)笪牡恼用軄韺崿F(xiàn)。弱點在于方案的有效性依賴于信源私有密鑰的安全性。 (2)需仲裁的數(shù)字簽名：直接數(shù)字簽名的問題可以通過仲裁解決，簽名方的簽名報文首先送給仲裁者，仲裁者對報文和簽名進行測試以檢驗出處和內(nèi)容，然后注上日期和仲裁說明后發(fā)給接收方。 57、 試述你是如何理解信息安全領(lǐng)域“三分技術(shù)，七分管理”這名話的。 參考答案： 雖然目前有眾多的安全產(chǎn)品，但沒有任何一種能提供全方位的解決方案。 1)防病毒軟件:不能保護機構(gòu)免受使用合法程序?qū)ο到y(tǒng)進行訪問的入侵者進行的惡意破壞，也不能保護機構(gòu)免受另一類合法用戶的破壞。 2)訪問控制:不會阻止人們利用系統(tǒng)脆弱點以管理員身份獲得對系統(tǒng)的訪問并查看系統(tǒng)文件 3)防火墻:不會阻止攻擊者使用一個允許的連接進行攻擊。也不能防止內(nèi)部攻擊。 4)入侵檢測:不能檢測出合法用戶對信息的非正常訪問。支持自動保護功能的入侵檢測系統(tǒng)還可以帶來附加的安全問題。如系統(tǒng)配置為阻止某個攻擊地址的訪問，之后會發(fā)現(xiàn)某用戶的通信被錯誤識別為攻擊通信，則其再無法與你通信了。 5)策略管理:可能沒有考慮系統(tǒng)的薄弱點或應(yīng)用軟件中的錯誤配置。這有可能導致侵入。計算機上的策略管理也不能保證用戶不寫下他們的密碼或?qū)⒚艽a提供給未經(jīng)授權(quán)的人。 6)薄弱點掃描:本身并不會保護計算機系統(tǒng)，需在找出薄弱點后采取安全措施。該方法也不會發(fā)現(xiàn)合法用戶進行的不正當訪問，也不能發(fā)現(xiàn)已經(jīng)進入系統(tǒng)、查找配置文件或補丁程序的弱點的入侵者。 7)加密:加密系統(tǒng)并不能分辨提交了同樣加密算法密鑰的用戶是合法還是非法用戶。加密本身不能提供安全保障，還必須對加密密鑰和系統(tǒng)有一個整體控制。 8)物理安全機制:不能保護系統(tǒng)不受到合法訪問進行的攻擊或通過網(wǎng)絡(luò)實施的攻擊。 所以安全技術(shù)和產(chǎn)品只是安全實踐活動的一部分，是實現(xiàn)安全需求的手段，還應(yīng)包括： 制定完備的安全策略， 通過風險評估來確定需求， 根據(jù)需求選擇安全技術(shù)和產(chǎn)品， 按照既定安全策略和流程規(guī)范來實施、維護和審查安全措施。 信息安全并不是技術(shù)過程，而是管理過程。 58、 網(wǎng)絡(luò)安全的含義及特征是什么? 參考答案： 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件,軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全的特征 (1)保密性:信息不泄露給非授權(quán)的用戶,實體或過程,或供其利用的特性. (2)完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性. (3)可用性:可被授權(quán)實體訪問并按需求使用的特性,即當需要時應(yīng)能存取所需的信息.網(wǎng)絡(luò)環(huán)境下拒絕服務(wù),破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊. (4)可控性:對信息的傳播及內(nèi)容具有控制能力. (5)不可否認性：保證信息行為人不能否認其信息行為。 59、 包過濾是如何工作的 參考答案： 包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的判據(jù):(1)將包的目的地址作為判據(jù);(2)將包的源地址作為判據(jù);(3)將包的傳送協(xié)議作為判據(jù). 包過濾系統(tǒng)只能讓我們進行類似以下情況的操作:(1)不讓任何用戶從外部網(wǎng)用Telnet登錄;(2)允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件;(3)只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞. 包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的判據(jù):(1)將包的目的地址作為判據(jù);(2)將包的源地址作為判據(jù);(3)將包的傳送協(xié)議作為判據(jù). 包過濾系統(tǒng)只能讓我們進行類似以下情況的操作:(1)不讓任何用戶從外部網(wǎng)用Telnet登錄;(2)允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件;(3)只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞. 60、 假如你是單位WEB服務(wù)器管理員，試述你會采取哪些主要措施來保障WEB服務(wù)器安全。 參考答案： 訪問控制（IP地址限制、Windows帳戶、請求資源的Web權(quán)限、資源的NTFS權(quán)限） 用虛擬目錄隱藏真實的網(wǎng)站結(jié)構(gòu)； 設(shè)置基于SSL的加密和證書服務(wù)，以保證傳輸安全； 完善定期審核機制； 安裝防火墻及殺毒軟件； 及時安裝操作系統(tǒng)補丁，減少操作系統(tǒng)漏洞等等。 61、 .簡述什么是雙重簽名以及其基本工作原理。 參考答案： 這是數(shù)字簽名的新應(yīng)用。首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新摘要，然后用簽發(fā)者的私鑰加密。任何一個消息接收者都可以驗證消息的真實性。 驗證方法：給接收者發(fā)送信息時，同時發(fā)送另一條消息的摘要，接收者對消息生成摘要，將它和另一個摘要連接起來生成新摘要，如果它與解密后的雙重簽名相等，則可確定消息的真實性。 這是數(shù)字簽名的新應(yīng)用。首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新摘要，然后用簽發(fā)者的私鑰加密。任何一個消息接收者都可以驗證消息的真實性。 驗證方法：給接收者發(fā)送信息時，同時發(fā)送另一條消息的摘要，接收者對消息生成摘要，將它和另一個摘要連接起來生成新摘要，如果它與解密后的雙重簽名相等，則可確定消息的真實性。 62、 簡述Windows操作系統(tǒng)安全基本配置方法都有哪些 參考答案： (1)操作系統(tǒng)的物理安全(2)保護Guest帳戶(3)限制用戶數(shù)量(4)多個管理員賬號(5)管理員賬號改名(6)陷阱賬號(7)設(shè)置安全密碼(8)屏幕保護密碼(9)NTFS分區(qū)(10)安裝防毒軟件(11)關(guān)閉不必要的服務(wù)(12)關(guān)閉不必要的端口(13)開啟審核策略(14)開啟密碼策略(15)開啟賬戶策略(16)備份敏感文件(17)關(guān)閉默認共享(18)禁止TTL判斷主機類型 63、 計算機系統(tǒng)安全技術(shù)標準有哪些？ 參考答案： (1)加密機制(enciphrement mechanisms) (2)數(shù)字簽名機制(digital signature mechanisms) (3)訪問控制機制(access control mechanisms) (4)數(shù)據(jù)完整性機制(data integrity mechanisms) (5)鑒別交換機制(authentication mechanisms) (6)通信業(yè)務(wù)填充機制(traffic padding mechanisms) (7)路由控制機制(routing control mechanisms) (8)公證機制(notarization mechanisms) 64、 簡述構(gòu)造一個理想的Hash函數(shù)應(yīng)符合哪些基本要求。 參考答案： (1)對任意長度的明文m，產(chǎn)生固定長度的哈希值h(m)； (2)對任意的明文m，哈希函數(shù)值h(m)可由硬件或軟件容易得到； (3)對任意哈希函數(shù)值x，要找到一個明文m與之對應(yīng)，即x＝h(m)，在計算上不可行； (4)對一個明文m1，要找到另一個不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行； (5)要找到任意一對不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行。 65、 試論述目前造成計算機網(wǎng)絡(luò)不安全的原因是什么?可采取哪些相應(yīng)的安全措施？ 參考答案： 不安全原因1.網(wǎng)絡(luò)自身的特性2.網(wǎng)絡(luò)技術(shù)的開放3．網(wǎng)絡(luò)協(xié)議的漏洞4.通信系統(tǒng)和信息系統(tǒng)的自身缺陷5.系統(tǒng)“后門”6.黑客及病毒等惡意程序的攻擊。 措施:制定安全策略：如采用什么樣的安全保障體系、確定網(wǎng)絡(luò)資源職責劃分、制定使用規(guī)則、制定日常維護規(guī)程、確定在遇到安全問題時采取的措施；采取加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別、業(yè)務(wù)填充、路由控制、公證仲裁等機制。具體技術(shù)措施如：1）設(shè)置IP限制，屏蔽有威脅的IP地址2）設(shè)置身份驗證，確保只有合法用戶才能訪問授權(quán)范圍內(nèi)的資源3）設(shè)置資源的WEB權(quán)限4）設(shè)置文件或目錄的NTFS權(quán)限5）用虛擬目錄隱藏真實的網(wǎng)站結(jié)構(gòu)6）設(shè)置基于SSL的加密和證書服務(wù)，保證傳輸安全7）完善定期審核機制8）安裝防火墻軟件9）安裝殺毒軟件10）及時安裝操作系統(tǒng)補丁，減少操作系統(tǒng)漏洞 66、 簡述入侵檢測的基本原理。 參考答案： (1)入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。 (2)它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，用采誤用檢測或異常檢測方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效手段。 (3)其應(yīng)用前提是：入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為模式特征來判斷該行為的性質(zhì)。 (4)入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分可靠地提取描述行為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。 67、試全面論述防火墻技術(shù)的優(yōu)勢與不足。 參考答案： 優(yōu)勢： 1）所有網(wǎng)絡(luò)信息流都經(jīng)過防火墻； 2）通過安全策略和計劃允許或禁止信息流的通過； 3）防止入侵者接近其他網(wǎng)絡(luò)設(shè)施； 4）防火墻理論上是不能穿透的。 不足： 1）不能防范不通過網(wǎng)絡(luò)的信息泄露，如內(nèi)部攻擊； 2）不能防范不通過防火墻的連接； 3）不能防范病毒； 4）無法防范由于設(shè)置錯誤而出現(xiàn)的信息泄露； 68、簡述WEB站點面臨的主要安全威脅。 參考答案： 1)安全信息被破譯：WEB服務(wù)器的安全信息如口令、密鑰等被破譯，導致攻擊者進入WEB服務(wù)器； 2)非法訪問：未授權(quán)者非法訪問了WEB上的文件； 3)交易信息被截獲：當用戶向服務(wù)器傳輸交易信息時被截獲； 4)軟件漏洞被攻擊者利用：系統(tǒng)中的軟件錯誤被攻擊者利用，使系統(tǒng)被破壞和損壞，甚至引起系統(tǒng)崩潰； 5)用CGI腳本編寫的程序或其他涉及遠程用戶從瀏覽器中輸入表格并進行像檢索之類在主機直接操作命令時，給WEB主機系統(tǒng)造成危險。 69、簡述在口令設(shè)置與口令維護中應(yīng)注意的基本原則。 參考答案： 1）口令設(shè)置： 口令字符數(shù)不少于8個； 不包含字典里有的單詞； 包含多種類型的字符； 不使用生日、名字縮寫、電話號碼、身份證號等特殊字符串； 多個系統(tǒng)不要使用同一口令； 使用一次性口令； 不使用用戶名等顯而易見的信息作口令。 2）口令維護： 不要將口令記錄在紙上或計算機上； 不要長期使用一個口令或在不同系統(tǒng)上使用同一個口令； 防止在輸入口令時發(fā)生泄露； 驗證口令的復雜性。 70、簡述防范惡意軟件的具體措施。 參考答案： 1）加強系統(tǒng)安全設(shè)置： 及時更新系統(tǒng)補丁 嚴格賬號管理 關(guān)閉不必要的服務(wù)和端口。 2）養(yǎng)成良好的電腦使用習慣： 不要隨意打開不明網(wǎng)站，盡量訪問熟悉的站點 盡量到知名下載網(wǎng)站下載軟件 安裝軟件時要看清楚才點擊 禁用或限制使用Java程序及ActiveX控件。 71、簡述在病毒防范中可采取哪些具體措施。 參考答案： 1）留心其他形式文檔的使用，如.rtf、.pdf 2）注意郵件中附件的擴展名 3）不要輕易運行外來的程序 4）不要盲目轉(zhuǎn)發(fā)信件 5）堵住系統(tǒng)漏洞 6）禁止Windows Scripting Host 7）注意共享權(quán)限 8）從正規(guī)網(wǎng)站下載軟件 9）設(shè)置自動病毒檢查 10）做好重要數(shù)據(jù)和程序的備份 11）安裝虛擬還原軟件 12）使用最新殺毒軟件 13）安裝防病毒硬件 72、簡述計算機病毒的危害有哪些。 參考答案： （1）直接破壞計算機數(shù)據(jù)信息 （2）占用磁盤空間和對信息的破壞 （3）搶占系統(tǒng)資源 （4）影響計算機運行速度 （5）計算機病毒錯誤與不可預見的危害 （6）計算機病毒的兼容性對系統(tǒng)運行的影響 （7）給用戶造成嚴重的心理壓力