西南大學2018年[0836]《信息安全》期末考試題及答案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上西南大學 2018年 0836信息安全 參考答案西南大學 網(wǎng)絡與繼續(xù)教育學院 課程代碼： 0836 學年學季：20182單項選擇題1、下列哪些選項不能預防計算機犯罪（）.  經(jīng)常對機房以及計算機進行打掃、清潔  .  所有通過網(wǎng)絡傳送的信息應在計算機內(nèi)自動登記.  對于重要文件的輸入、輸出、更改等情況記錄到不可隨意更改的文件中.  按照時間、操作員、變動情況、動用的密碼等記錄到不可隨意更改的文件中2、以下哪一個選項不是網(wǎng)絡安全管理的原則（）.  多人負責制.  任期有限.  職責

2、分離.  最大權限  3、以下哪項是指有關管理、保護和發(fā)布敏感消息的法律、規(guī)定和實施細則。（  ）.  安全策略  .  安全模型.  安全框架.  安全原則4、組織對信息和信息處理設施的威脅、影響和薄弱點及其發(fā)生的可能性進行確認，這被稱為（）.  信息安全分析.  運行安全分析.  風險分析  .  安全管理分析5、計算機應急響應協(xié)調(diào)中心的英文縮寫是（）.  CERT  .  SANS.

3、60;ISSA.  OSCE6、操作系統(tǒng)是企業(yè)網(wǎng)絡管理平臺的基礎，其安全性是第一位的，作為一名合格的企業(yè)安全管理員，應了解以下操作系統(tǒng)所面臨的哪些安全威脅。（ ）.  操作系統(tǒng)軟件自身的漏洞  .  開放了所有的端口.  開放了全部的服務.  病毒7、下列選項中，不是認證技術所能提供的服務是 (   ).  驗證消息在傳送或存儲過程中是否被篡改.  驗證消息收發(fā)者是否持有正確的身份認證符.  驗證消息序號和操作時間是否正確.  驗證消息在傳輸過程

4、中是否被竊聽  8、系統(tǒng)通過驗證用戶身份，進而確定用戶的權限，這項服務是（）.  報文認證.  訪問控制  .  不可否定性.  數(shù)據(jù)完整性9、為了驗證帶數(shù)字簽名郵件的合法性，電子郵件應用程序會向 （）.  相應的數(shù)字證書授權機構索取該數(shù)字標識的有關信息  .  發(fā)件人索取該數(shù)字標識的有關信息.  發(fā)件人的上級主管部門索取該數(shù)字標識的有關信息.  發(fā)件人使用的ISP索取該數(shù)字標識的有關信息10、為了防止網(wǎng)絡傳輸中的數(shù)據(jù)被篡改，應采用（）.  數(shù)字

5、簽名技術.  消息認證技術  .  數(shù)據(jù)加密技術.  身份認證技術11、在電子商務中，為了防止交易一方對自己的網(wǎng)絡行為抵賴，應采用（）.  數(shù)字簽名技術  .  消息認證技術.  數(shù)據(jù)加密技術.  身份認證技術12、下面關于數(shù)字證書的描述中，錯誤的是 （）.  證書上列有證書授權中心的數(shù)字簽名.  證書上列有證書擁有者的基本信息.  證書上列有證書擁有者的公開密鑰.  證書上列有證書擁有者的秘密密鑰  13、CA的核心職責是（

6、）.  簽發(fā)和管理數(shù)字證書  .  驗證用戶的信息.  公布黑名單.  撤消用戶的證書14、SSL協(xié)議的主要功能是（）.  實現(xiàn)WEB服務器與瀏覽器間的安全通信  .  可以同時提供加密和認證兩種服務.  在分布式網(wǎng)絡中對用戶身份進行認證.  保證通過信用卡支付的安全電子交易15、下列選項中，不是VPN所能提供的服務是（）.  通過加密技術提供的保密性.  通過認證技術提供的真實性.  通過數(shù)字簽名提供的不可否認性  . &#

7、160;通過密鑰交換技術協(xié)商密鑰16、對于IDS入侵檢測系統(tǒng)來說，必須具有（ ）.  應對措施.  響應手段或措施  .  防范政策.  響應設備17、如果內(nèi)部網(wǎng)絡的地址網(wǎng)段為192.168.1.0/24 ，需要用到下列哪個功能，才能使用戶上網(wǎng)（）.  地址學習.  地址轉(zhuǎn)換  .  IP地址和MAC地址綁定功能.  URL過濾功能18、保證網(wǎng)絡安全是使網(wǎng)絡得到正常運行的保障，以下哪一個說法是錯誤的（）.  繞過防火墻，私自和外部網(wǎng)絡連接，可能造成系統(tǒng)安全漏洞. &

8、#160;越權修改網(wǎng)絡系統(tǒng)配置，可能造成網(wǎng)絡工作不正?；蚬收?  有意或無意地泄露網(wǎng)絡用戶或網(wǎng)絡管理員口令是危險的.  解決來自網(wǎng)絡內(nèi)部的不安全因素必須從技術方面入手  19、以下有關代理服務技術的描述中，正確的是 （  ）.  允許內(nèi)外網(wǎng)間IP包直接交互.  從網(wǎng)絡層次看工作在網(wǎng)絡層.  通常都是基于硬件實現(xiàn)的.  與包過濾相比速度要慢些  20、以下有關防火墻的描述中，錯誤的是（    ）.  防火墻是一種主動的網(wǎng)絡安全防

9、御措施  .  防火墻可有效防范外部攻擊.  防火墻不能防止內(nèi)部人員攻擊.  防火墻拓撲結構會影響其防護效果21、以下指標中，可以作為衡量密碼算法加密強度的是（）.  計算機性能.  密鑰個數(shù).  算法保密性.  密鑰長度  22、下面哪一種算法屬于非對稱加密算法（）.  ES.  Rijindael.  RSA  .  ES23、以下哪個選項是對稱密鑰密碼體制的特點（     ）. &

10、#160;加解密速度快  .  密鑰不需傳送.  密鑰管理容易.  能實現(xiàn)數(shù)字簽名24、一個好的密碼體制，其安全性應僅僅依賴于（  ）.  其應用領域.  加密方式的保密性.  算法細節(jié)保密性.  密鑰的保密性  25、下列選項中，不屬于HASH算法的是（）.  ECC  .  MD4.  MD5.  SHA26、抵御電子郵箱入侵措施中，不正確的是（）.  不用生日做密碼.  不要使用少于5位的密

11、碼.  不要使用純數(shù)字.  自己做服務器  27、密碼分析者不僅知道一些消息的密文，還知道個別密文塊對應的明文，試圖推導出加密密鑰或算法，這種攻擊被稱為（）.  惟密文攻擊.  已知明文攻擊.  選擇明文攻擊  .  選擇密文攻擊28、以下哪些做法可以增強用戶口令的安全性（  ）.  選擇由全英文字母組成的口令.  選擇由全數(shù)字組成的口令.  選擇與自己身份相關的口令，以免忘記  .  選擇無規(guī)律的口令29、下列措施中，哪項不

12、是減少病毒的傳染和造成的損失的好辦法。（）.  重要的文件要及時、定期備份，使備份能反映出系統(tǒng)的最新狀態(tài).  外來的文件要經(jīng)過病毒檢測才能使用，不要使用盜版軟件.  不與外界進行任何交流，所有軟件都自行開發(fā)  .  定期用抗病毒軟件對系統(tǒng)進行查毒、殺毒30、通過QQ發(fā)送“免費獲取Q幣”字樣的超鏈接，該鏈接實際指向的是一個木馬程序，這種攻擊屬于（）.  木馬.  社會工程學  .  電話系統(tǒng)漏洞.  拒絕服務31、下面選項中，不屬于DoS攻擊的是（）.  SYN湮沒.

13、  SMURF攻擊.  TEARDro.  緩沖區(qū)溢出  32、詐騙份子偽建了一個建設銀行的網(wǎng)站，用于騙取用戶的銀行帳號，這種攻擊屬于（）.  假冒攻擊.  網(wǎng)絡釣魚攻擊  .  后門攻擊.  惡意訪問攻擊33、以下行為中，屬于被動攻擊的是（ ）.  重放攻擊.  口令嗅探  .  拒絕服務.  物理破壞34、以下行為中，屬于主動攻擊的是（  ）.  網(wǎng)絡監(jiān)聽.  口令嗅探.  拒絕服務

14、  .  信息收集35、以下有關內(nèi)部人員攻擊的描述中，錯誤的是（）.  比外部攻擊更容易實施.  不一定都帶有惡意目的.  相比外部攻擊更不易檢測和防范.  可采取防火墻技術來避免  36、"進不來""拿不走""看不懂""改不了""走不脫"是網(wǎng)絡信息安全建設的目的。其中，"拿不走"是指下面那種安全服務（）.  數(shù)據(jù)加密.  身份認證.  數(shù)據(jù)完整性.

15、60;訪問控制  37、從具體的意義上來理解，信息安全需要保證哪幾個方面的內(nèi)容？ （）I.保密性（Confidentiality） II.完整性(Integrity)III.可用性(Availability)       IV.可控性(Controllability).  E. I、II和IV.  F. I、II和III.  II、III和IV.  都是  38、計算機系統(tǒng)的實體安全是指保證().  A. 安裝的操作系統(tǒng)安全.  B. 操作人員安

16、全.  C. 計算機系統(tǒng)硬件安全  .  D. 計算機硬盤內(nèi)的數(shù)據(jù)安全主觀題39、數(shù)字信封參考答案：非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結合起來使用（2分）。即用對稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術被稱為數(shù)字信封。  40、數(shù)據(jù)完整性參考答案：數(shù)據(jù)未經(jīng)授權不能進行改變，即信息在存儲或傳輸過程中保持不被修改，不被破壞和丟失的特性。 

17、; 41、公鑰證書參考答案：這是一種公鑰分配的方法，用戶通過公鑰證書交換公鑰而不須和公鑰管理機構聯(lián)系，其中一種做法是證書管理機構用自己的私鑰對用戶的公鑰及用戶的身份及時間戳進行加密，即形成了用戶的公鑰證書。  42、網(wǎng)絡地址轉(zhuǎn)換參考答案：即NAT技術，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡IP地址的技術。即在內(nèi)網(wǎng)中使用內(nèi)部IP，而當內(nèi)部節(jié)點要與外網(wǎng)進行通信時，就在網(wǎng)關處將內(nèi)部地址轉(zhuǎn)換為公用地址，從而在公網(wǎng)上正常使用。從技術上分為靜態(tài)NAT、動態(tài)地址NAT和網(wǎng)絡地址端口轉(zhuǎn)換NAT  43、訪問控制參考答案：訪問控制是維護計算機網(wǎng)絡系統(tǒng)安全、保護計算機資源的重要手段，是保證網(wǎng)

18、絡安全最重要的核心策略之一。是給用戶和用戶組賦予一定權限，控制其對目錄和子目錄、文件和其他資源的訪問，以及指定用戶對這些文件、目錄和設備能執(zhí)行的操作。  44、異常入侵檢測參考答案：異常檢測基于一個假定：用戶行為是可預測的、遵循一致性模式的、且隨著用戶事件增加，異常檢測會適應用戶行為的變化。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強健的保護機制，但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。  45、IDS入侵監(jiān)測參考答案：是一類在網(wǎng)絡攻防對抗環(huán)境中實現(xiàn)網(wǎng)絡入侵檢測、預警、評估與響應的指揮控制系統(tǒng)，IDS 從網(wǎng)絡或主機獲取信息，然后依據(jù)現(xiàn)有知識對獲取信

19、息進行檢測、識別、評估并依據(jù)檢測結果做出相應告警與響應。從技術上分為異常檢測和誤用檢測。  46、虛擬私人網(wǎng)參考答案：是在Internet上接續(xù)了具有加密功能的路由和防火墻，把網(wǎng)絡上的數(shù)據(jù)進行加密再傳送，達到在不安全的公共網(wǎng)絡中安全地傳送數(shù)據(jù)的目的。特點是：通信數(shù)據(jù)是經(jīng)過加密的，遠程站點是經(jīng)過認證的，可以使用多種協(xié)議，連接是點對點的。  47、緩存溢出參考答案：為了攻擊系統(tǒng)而占滿計算機系統(tǒng)空間，或者允許黑客具有對系統(tǒng)的提升權限的過程，就是試圖在計算機內(nèi)存空間中緩存過多的信息。原因是由于應用程序中存在漏洞，而在將用戶數(shù)據(jù)復制到另一個變量中時沒有檢查數(shù)據(jù)的復制量，可以通過檢查程

20、序的源代碼來發(fā)現(xiàn)。  48、數(shù)字簽名參考答案：是一種用于對報文進行鑒別的機制，能證實信息M確是由發(fā)送方發(fā)出；任何人都不能偽造發(fā)方對M的簽名；接收方能證明收到的報文沒有被篡改過；假設發(fā)送方否認對信息M的簽名，可以通過第三方（如法院）仲裁解決雙方間的爭議。  49、防火墻參考答案：一種網(wǎng)絡的訪問控制設備（可以是硬件，也可以是軟件），用于適當?shù)耐ㄐ磐ㄟ^，從而保護機構的網(wǎng)絡或者計算機系統(tǒng)。類型：應用層防火墻和數(shù)據(jù)包過濾防火墻。  50、.拒絕服務（DOS ）參考答案：凡是造成目標計算機拒絕提供服務的攻擊都稱為 DoS 攻擊，其目的是使目標計算

21、機或網(wǎng)絡無法提供正常的服務。最常見的 DoS 攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡，使網(wǎng)絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。  51、CA認證參考答案：在公鑰加密體制的密鑰管理方法中，一個主要問題即是對公開鑰的假冒、偽造和篡改，為解決這一問題，通信雙方可將自己的公鑰提交給可信的第三方進行驗證，并出具對應的證書，從而防止它人對公鑰進行偽造和篡改，這一機制被稱為CA認證。  52、消息認證參考答案：消息認證指通過對消息或消

22、息相關信息進行加密或簽名變換進行的認證，目的包括消息內(nèi)容認證（消息完整性認證）、消息的源和宿認證（身份認證）以及消息的序號和操作時間認證等。  53、簡述為什么會提出數(shù)字信封技術。參考答案：非對稱體制密鑰傳送方便，但加解密速度較慢，對稱體制加解密速度快，但密鑰傳送困難，為解決這一問題，通常將兩者結合起來使用。即用對稱加密體制（如DES）加密數(shù)據(jù)，而用收方非對稱體制（如RSA）中的公開鑰加密DES密鑰，再一起發(fā)送給接收者，接收者用自己的私鑰解密DES密鑰，再用DES密鑰解密數(shù)據(jù)。這種技術被稱為數(shù)字信封。  54、Kerberos用來解決什么問題？參考答案： Kerb

23、eros協(xié)議主要用于計算機網(wǎng)絡的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-granting ticket)訪問多個服務，即SSO(Single Sign On)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩浴?5、比較傳統(tǒng)密碼體制和公開密碼體制的差異。參考答案：1)傳統(tǒng)密碼體制中密鑰不能公開，且k1=k2，而公鑰體制中k1<>k2，且k1可以公開，而從k1無法得到有關k2的任何信息。(2)秘鑰的傳送上，傳統(tǒng)密鑰必須要傳送，而公開鑰不需要；(3)從數(shù)字簽名角度，對稱鑰

24、困難，而公開鑰很容易；(4)加密速度上，對稱鑰快，而公開鑰慢；(5)用途上，對稱鑰主要是數(shù)據(jù)加密，公開鑰主要是數(shù)字簽名、密鑰分配加密。  56、什么是數(shù)字簽名？其基本要求是什么？有哪些基本的數(shù)字簽名方法？參考答案：數(shù)字簽名是使以數(shù)字形式存儲的明文信息經(jīng)過特定密碼變換生成密文，作為相應明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。對數(shù)字簽名的基本要求有：(1)簽名接收者能容易地驗證簽字者對消息所做的數(shù)字簽名；(2)任何人，包括簽名接收者，都不能偽造簽名者的簽字；(3)發(fā)生爭議時，可由第三方解決爭議。數(shù)字簽名基本分類：(1)直接數(shù)字簽名：僅涉及通信方

25、(信源、信宿)，假定信宿知道信源的公開密鑰，數(shù)字簽名通過信源對整個報文用私有密鑰加密，或?qū)笪牡恼用軄韺崿F(xiàn)。弱點在于方案的有效性依賴于信源私有密鑰的安全性。(2)需仲裁的數(shù)字簽名：直接數(shù)字簽名的問題可以通過仲裁解決，簽名方的簽名報文首先送給仲裁者，仲裁者對報文和簽名進行測試以檢驗出處和內(nèi)容，然后注上日期和仲裁說明后發(fā)給接收方。  57、試述你是如何理解信息安全領域“三分技術，七分管理”這名話的。參考答案：雖然目前有眾多的安全產(chǎn)品，但沒有任何一種能提供全方位的解決方案。1)防病毒軟件:不能保護機構免受使用合法程序?qū)ο到y(tǒng)進行訪問的入侵者進行的惡意破壞，也不能保護機構免受另一類合法用戶

26、的破壞。2)訪問控制:不會阻止人們利用系統(tǒng)脆弱點以管理員身份獲得對系統(tǒng)的訪問并查看系統(tǒng)文件3)防火墻:不會阻止攻擊者使用一個允許的連接進行攻擊。也不能防止內(nèi)部攻擊。4)入侵檢測:不能檢測出合法用戶對信息的非正常訪問。支持自動保護功能的入侵檢測系統(tǒng)還可以帶來附加的安全問題。如系統(tǒng)配置為阻止某個攻擊地址的訪問，之后會發(fā)現(xiàn)某用戶的通信被錯誤識別為攻擊通信，則其再無法與你通信了。5)策略管理:可能沒有考慮系統(tǒng)的薄弱點或應用軟件中的錯誤配置。這有可能導致侵入。計算機上的策略管理也不能保證用戶不寫下他們的密碼或?qū)⒚艽a提供給未經(jīng)授權的人。6)薄弱點掃描:本身并不會保護計算機系統(tǒng)，需在找出薄弱點后采取安全措施

27、。該方法也不會發(fā)現(xiàn)合法用戶進行的不正當訪問，也不能發(fā)現(xiàn)已經(jīng)進入系統(tǒng)、查找配置文件或補丁程序的弱點的入侵者。7)加密:加密系統(tǒng)并不能分辨提交了同樣加密算法密鑰的用戶是合法還是非法用戶。加密本身不能提供安全保障，還必須對加密密鑰和系統(tǒng)有一個整體控制。8)物理安全機制:不能保護系統(tǒng)不受到合法訪問進行的攻擊或通過網(wǎng)絡實施的攻擊。所以安全技術和產(chǎn)品只是安全實踐活動的一部分，是實現(xiàn)安全需求的手段，還應包括：Ø 制定完備的安全策略，Ø 通過風險評估來確定需求，Ø 根據(jù)需求選擇安全技術和產(chǎn)品，Ø 按照既定安全策略和流程規(guī)范來實施、

28、維護和審查安全措施。信息安全并不是技術過程，而是管理過程。  58、網(wǎng)絡安全的含義及特征是什么?參考答案：網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件,軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全的特征(1)保密性:信息不泄露給非授權的用戶,實體或過程,或供其利用的特性.(2)完整性:數(shù)據(jù)未經(jīng)授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性.(3)可用性:可被授權實體訪問并按需求使用的特性,即當需要時應能存取所需的信息.網(wǎng)絡環(huán)境下拒絕服務,破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻

29、擊.(4)可控性:對信息的傳播及內(nèi)容具有控制能力.(5)不可否認性：保證信息行為人不能否認其信息行為。59、包過濾是如何工作的參考答案：包過濾技術可以允許或不允許某些包在網(wǎng)絡上傳遞,它依據(jù)以下的判據(jù):(1)將包的目的地址作為判據(jù);(2)將包的源地址作為判據(jù);(3)將包的傳送協(xié)議作為判據(jù).包過濾系統(tǒng)只能讓我們進行類似以下情況的操作:(1)不讓任何用戶從外部網(wǎng)用Telnet登錄;(2)允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件;(3)只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞.包過濾技術可以允許或不允許某些包在網(wǎng)絡上傳遞,它依據(jù)以下的判據(jù):(1)將包的目的地址作為判據(jù);(2)將包的源地址作為判據(jù);(

30、3)將包的傳送協(xié)議作為判據(jù).包過濾系統(tǒng)只能讓我們進行類似以下情況的操作:(1)不讓任何用戶從外部網(wǎng)用Telnet登錄;(2)允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件;(3)只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞.60、假如你是單位WEB服務器管理員，試述你會采取哪些主要措施來保障WEB服務器安全。參考答案： 訪問控制（IP地址限制、Windows帳戶、請求資源的Web權限、資源的NTFS權限）Ø 用虛擬目錄隱藏真實的網(wǎng)站結構；Ø 設置基于SSL的加密和證書服務，以保證傳輸安全；Ø 完善定期審核機制；Ø 

31、;安裝防火墻及殺毒軟件；Ø 及時安裝操作系統(tǒng)補丁，減少操作系統(tǒng)漏洞等等。61、.簡述什么是雙重簽名以及其基本工作原理。參考答案：這是數(shù)字簽名的新應用。首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新摘要，然后用簽發(fā)者的私鑰加密。任何一個消息接收者都可以驗證消息的真實性。驗證方法：給接收者發(fā)送信息時，同時發(fā)送另一條消息的摘要，接收者對消息生成摘要，將它和另一個摘要連接起來生成新摘要，如果它與解密后的雙重簽名相等，則可確定消息的真實性。這是數(shù)字簽名的新應用。首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新摘要，然后用簽發(fā)者的私鑰加密。任何一個消息接收者都可以驗證消息

32、的真實性。驗證方法：給接收者發(fā)送信息時，同時發(fā)送另一條消息的摘要，接收者對消息生成摘要，將它和另一個摘要連接起來生成新摘要，如果它與解密后的雙重簽名相等，則可確定消息的真實性。62、簡述Windows操作系統(tǒng)安全基本配置方法都有哪些參考答案：(1)操作系統(tǒng)的物理安全(2)保護Guest帳戶(3)限制用戶數(shù)量(4)多個管理員賬號(5)管理員賬號改名(6)陷阱賬號(7)設置安全密碼(8)屏幕保護密碼(9)NTFS分區(qū)(10)安裝防毒軟件(11)關閉不必要的服務(12)關閉不必要的端口(13)開啟審核策略(14)開啟密碼策略(15)開啟賬戶策略(16)備份敏感文件(17)關閉默認共享(18)禁止TT

33、L判斷主機類型  63、計算機系統(tǒng)安全技術標準有哪些？參考答案：(1)加密機制(enciphrement mechanisms)(2)數(shù)字簽名機制(digital signature mechanisms)(3)訪問控制機制(access control mechanisms)(4)數(shù)據(jù)完整性機制(data integrity mechanisms)(5)鑒別交換機制(authentication mechanisms)(6)通信業(yè)務填充機制(traffic padding mechanisms)(7)路由控制機制(routing control mechanisms)(8)公證機制

34、(notarization mechanisms)  64、簡述構造一個理想的Hash函數(shù)應符合哪些基本要求。參考答案： (1)對任意長度的明文m，產(chǎn)生固定長度的哈希值h(m)；(2)對任意的明文m，哈希函數(shù)值h(m)可由硬件或軟件容易得到；(3)對任意哈希函數(shù)值x，要找到一個明文m與之對應，即xh(m)，在計算上不可行；(4)對一個明文m1，要找到另一個不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行；(5)要找到任意一對不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在計算上不可行。65、試論述目前造成計算機網(wǎng)絡不安全

35、的原因是什么?可采取哪些相應的安全措施？參考答案：不安全原因1.網(wǎng)絡自身的特性2.網(wǎng)絡技術的開放3網(wǎng)絡協(xié)議的漏洞4. 通信系統(tǒng)和信息系統(tǒng)的自身缺陷5.系統(tǒng)“后門”6.黑客及病毒等惡意程序的攻擊。措施:制定安全策略：如采用什么樣的安全保障體系、確定網(wǎng)絡資源職責劃分、制定使用規(guī)則、制定日常維護規(guī)程、確定在遇到安全問題時采取的措施；采取加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別、業(yè)務填充、路由控制、公證仲裁等機制。具體技術措施如：1）設置IP限制，屏蔽有威脅的IP地址2）設置身份驗證，確保只有合法用戶才能訪問授權范圍內(nèi)的資源3）設置資源的WEB權限4）設置文件或目錄的NTFS權限5）用虛擬

36、目錄隱藏真實的網(wǎng)站結構6）設置基于SSL的加密和證書服務，保證傳輸安全7）完善定期審核機制8）安裝防火墻軟件9）安裝殺毒軟件10）及時安裝操作系統(tǒng)補丁，減少操作系統(tǒng)漏洞   66、簡述入侵檢測的基本原理。參考答案：(1)入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡安全技術。(2)它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，用采誤用檢測或異常檢測方式，發(fā)現(xiàn)非授權或惡意的系統(tǒng)及網(wǎng)絡行為，為防范入侵行為提供有效手段。(3)其應用前提是：入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為模式特征來判斷該行為的性質(zhì)。(4)入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分可靠地提取描述行為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。  67、試全面論述防火墻技術的優(yōu)勢與不足。參考答案：優(yōu)勢：1）所有網(wǎng)絡信息流都經(jīng)過防火墻；2）通過安全策略和計劃允許或禁止信息流的通過；3）防止入侵者接近其他網(wǎng)絡設施