【计算机类职业资格】系统分析师-安全性知识1及答案解析.doc

1、系统分析师-安全性知识 1 及答案解析(总分：28.00，做题时间：90 分钟)一、单项选择题(总题数：24，分数：28.00)为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (17) ，所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA 的密钥长度是 (18) 位。（分数：2.00）A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高D.还能同时用于身份认证A.56B.64C.128D.2561.在使用 Kerberos 进行密钥管理的环境中，有 N 个人，为确保在任意两个人之间进行秘密对话，系统所需的最少会话密钥数为

2、(7) 个。（分数：1.00）A.N1B.NC.N+1D.N(N-1)/22.如图 8-3 所示，某公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成，下面描述错误的是 (13) 。（分数：1.00）A.可以限制计算机 C 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 从 Internet 上下载数据D.计算机 A 能够与计算机 X 建立直接的 TCP 连接3.关于网络安全，以下说法中正确的是 (25) 。（分数：1.00）A.使用无线传输可以防御网络监听B.木马是

3、一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播4.许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是 (26) 。（分数：1.00）A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁D.安装防病毒软件5.正确地描述了 RADIUS 协议的是 (24) 。（分数：1.00）A.如果需要对用户的访问请求进行提问(Challenge)，则网络访问服务器(NAS)对用户密码进行加密，并发送给 RADIUS 认证服务器B.网络访问服务器(NAS)与 RADIUS 认证服务器之间通过 UDP 数据报交换请求/响应信息C.在这

4、种 C/S 协议中，服务器端是网络访问服务器(NAS)，客户端是 RADIUS 认证服务器D.通过 RADIUS 协议可以识别非法的用户，并记录闯入者的日期和时间6.下列关于 PGP(Pretty Good Privacy)的说法中不正确的是 (2) 。（分数：1.00）A.PGP 可用于电子邮件，也可用于文件存储B.PGP 可选用 MD5 和 SHA 两种算法C.PGP 采用了 ZIP 数据压缩算法D.PGP 不可使用 IDEA 加密算法7.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是 (23) 。（分数：1.00）A.网络安

5、全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构D.网络安全系统应该以不影响系统正常运行为前提8.在密码学中，单向 Hash 函数具有 (5) 所描述的特性。（分数：1.00）A.对输入的长度不固定的字符串，返回一串不同长度的字符串B.不仅可以用于产生信息摘要，还可以用于加密短信息C.在某一特定时间内，无法查找经 Hash 操作后生成特定：Hash 值的原报文D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题关于 Kerberos 和 PKI 两种认证协议的叙述中正确的是 (14) ，在使用

6、 Kerberos 认证时，首先向密钥分发中心发送初始票据 (15) 来请求会话票据，以便获取服务器提供的服务。（分数：2.00）A.Kerberos 和 PKI 都是对称密钥B.Kerberos 和 PKI 都是非对称密钥C.Kerberos 是对称密钥，而 PKI 是非对称密钥D.Kerberos 是非对称密钥，而 PKI 是对称密钥A.RSAB.TGTC.DESD.LSA9.SSL 协议 (6) 。（分数：1.00）A.工作于 TCP/IP 协议栈的网络层B.不能够提供身份认证功能C.仅能够实现加解密功能D.可以被用于实现安全电子邮件10.某业务员需要在出差期间能够访问公司局域网中的数据

7、，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet 上的机器随意访问公司局域网。虚拟专用网使用 (19) 协议可以解决这一需求。（分数：1.00）A.PPTPB.RC-5C.UDPD.Telnet11. (27) 无法有效防御 DDoS 攻击。（分数：1.00）A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认证C.安装防病毒软件D.使用工具软件检测不正常的高流量ISO 7498-2 标准涉及的 5 种安全服务是 (8) 。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为 4 大类 7 个等级，其中的 C2 级是指

8、(9) 。（分数：2.00）A.身份认证，访问控制，数据加密，数据完整，安全审计B.身份认证，访问控制，数据加密，数据完整，防止否认C.身份认证，安全管理，数据加密，数据完整，防止否认D.身份认证，访问控制，数据加密，安全标记，防止否认A.安全标记保护B.自主式安全保护C.结构化安全策略模型D.受控的访问保护12.IP 安全性(IP Security，IPSec)提供了在局域网、广域网和互联网中安全通信的能力。关于 IP 安全性下列说法不正确的是 (1) 。（分数：1.00）A.IPSec 可提供同一公司各分支机构通过的安全连接B.IPSec 可提供对 Internet 的远程安全访问C.IP

9、Sec 可提高电子商务的安全性D.IPSec 能在 IP 的新版本：IPv6 下工作，但不适应 IP 目前的版本 IPv413.用于在网络应用层和传输层之间提供加密方案的协议是 (21) 。（分数：1.00）A.PGPB.SSLC.IPSecD.DES14.IPSec VPN 安全技术没有用到 (28) 。（分数：1.00）A.隧道技术B.加密技术C.入侵检测技术D.身份认证技术15.X.509 数字证书格式中包含的元素有证书版本、证书序列号、签名算法标识、证书有效期、证书发行商名字、证书主体名、主体公钥信息和 (3) 。（分数：1.00）A.主体的解密密钥B.报文摘要C.密钥交换协议D.数字

10、签名16.3DES 在 DES 的基础上，使用两个 56 位的密钥 K1 和 K2，发送方用 K1 加密，K2 解密，再用 K1 加密。接收方用 K1 解密，K2 加密，再用 K1 解密，这相当于使用 (12) 倍于 DES 的密钥长度的加密效果。（分数：1.00）A.1B.2C.3D.617.数字信封 (4) 。（分数：1.00）A.使用非对称密钥密码算法加密邮件正文B.使用 RSA 算法对邮件正文生成摘要C.使用收件人的公钥加密会话密钥D.使用发件人的私钥加密会话密钥某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet 访问公司的 FTP 服务器，如图 8-2 所示。为

11、了能够方便地实现这一目标，决定在客户机与 FTP 服务器之间采用 (10) 协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (11) 。（分数：2.00）A.SSLB.IPSecC.PPTPD.TCPA.接通阶段B.密码交换阶段C.会谈密码阶段D.客户认证阶段18. (22) 不属于 PKI CA 认证中心的功能。（分数：1.00）A.接收并验证最终用户数字证书的申请B.向申请者颁发或拒绝颁发数字证书C.产生和发布证书废止列表(CRL)，验证证书状态D.业务受理点 LRA 的全面管理19.操作员甲和乙录入数据错误概率均为 1/10

12、00。为了录入一批重要数据，通常采取甲、乙两人分别独立地录入这批数据，然后由程序对录入数据逐个进行比较，对不一致处再与原数据比较后进行修改，这种录入数据的方式，其错误率估计为 (16) 。（分数：1.00）A.B.C.D.20.根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高同一局域网内安全性的措施是 (20) 。（分数：1.00）A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击系统分析师-安全性知识 1 答案解析(总分：28.00，做题时间：90 分钟)一、单项选择题(总题数：24，分数：28.

13、00)为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (17) ，所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA 的密钥长度是 (18) 位。（分数：2.00）A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高 D.还能同时用于身份认证解析：A.56B.64C.128 D.256解析：分析 对称与非对称密码算法都可以用于加密，但是由于对称密码算法加解密效率比非对称算法高很多，因此常用于对大量数据的加密。IDEA 算法是在 DES 的基础上发展出来的，类似于 3DES。发展 IDEA 的原因是因为 DES 算法密钥太短

14、。IDEA的密钥长度为 128 位。1.在使用 Kerberos 进行密钥管理的环境中，有 N 个人，为确保在任意两个人之间进行秘密对话，系统所需的最少会话密钥数为 (7) 个。（分数：1.00）A.N1B.NC.N+1D.N(N-1)/2 解析：分析 Kerberos 是由 MIT 发明的为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。它采用可信任的第三方密钥分配中心(KDC)保存与所有密钥持有

15、者通信的保密密钥，其认证过程颇为复杂，下面简单叙述之。首先客户(C)向 KDC 发送初始票据 TGT，申请访问服务器(S)的许可证。KDC 确认客户合法后，临时生成一个 C 与 S 通信时用的保密密钥 Kcs，并用 C 的密钥 Kc 加密 Kcs 后传给 C，并附上用 S 的密钥。Ks 加密的“访问 S 的许可证 TS，内含 Kcs”。C 收到上述两信件后，用他的 Kc 解密获得 Kcs，而把 TS 原封不动地传给 S，并附上用 Kcs 加密的客户身份和时间。S 收到这两封信件后，先用他的 Ks 解密 Ts 获得其中的Kcs，然后用：Kcs 解密获得客户身份和时间，告之客户成功。之后 C 和

16、S 用 Kcs 加密通信信息。Kerberos 系统在分布式计算环境中得到了广泛的应用是因为它具有以下的特点。(1)安全性高。Kerberos 系统对用户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显式传输，使得窃听者难以在网络上取得相应的口令信息。(2)透明性高。用户在使用过程中，仅在登录时要求输入口令，与平常的操作完全一样，Kerberos 的存在对于合法用户来说是透明的。(3)可扩展性好。Kerberos 为每一个服务提供认证，确保应用的安全。Kerberos 系统和看电影的过程有些相似，不同的是只有事先在 Kerberos 系统中登录的客户才可以申请服务，并且 Kerb

17、eros 要求申请到入场券的客户就是到 TGS(入场券分配服务器)去要求得到最终服务的客户。Kerberos 有其优点，同时也有其缺点，主要是：(1)Kerberos 服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，而假设只有合法用户拥有口令字。如攻击者记录申请回答报文，就易形成代码本攻击。(2)AS 和 TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全。在 AS 和 TGS 前应该有访问控制，以增强 AS 和 TGS 的安全。(3)随用户数增加，密钥管理较复杂。Kerberos 拥有每个用户的口令字的散列值，AS 与 T

18、GS 负责用户问通信密钥的分配。当 N 个用户想同时通信时，需要 N(N-1)/2 个密钥。2.如图 8-3 所示，某公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成，下面描述错误的是 (13) 。（分数：1.00）A.可以限制计算机 C 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 从 Internet 上下载数据D.计算机 A 能够与计算机 X 建立直接的 TCP 连接 解析：分析 应用网关型防火墙是通过代理技术参与到一个 TCP 连接的全过程。从内部发出的数

19、据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为最安全的防火墙。它的核心技术就是代理服务器技术。显然，拥有了应用网关 F 后，计算机 A 不能够与计算机 x 建立直接的 TCP 连接，而必须通过应用网关 F。3.关于网络安全，以下说法中正确的是 (25) 。（分数：1.00）A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播 解析：分析 冲击波病毒是一种蠕虫病毒，病毒运行时会不停地利用 IP 扫描技术寻找网络上系

20、统为Windows 2000 或 Windows XP 的计算机，找到后就利用 RPC 缓冲区漏洞攻击该系统。一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常，不停重启，甚至导致系统崩溃。木马是一种基于远程控制的黑客工具，分为控制端和服务端(被控制端)，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样，服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标、键盘等，而这些权力并不是服务端赋予的，

21、而是通过木马程序窃取的。使用无线传输，如果要防御网络监听，需要使用专业设备。使用防火墙可以有效地防御网络攻击，但不能有效地防御病毒。4.许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是 (26) 。（分数：1.00）A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁 D.安装防病毒软件解析：分析 许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是及时安装相关的系统补丁，“堵住”漏洞。5.正确地描述了 RADIUS 协议的是 (24) 。（分数：1.00）A.如果需要对用户的访问请求进行提问(Challenge)，则网络访问服务器(NAS)对用户密码进

22、行加密，并发送给 RADIUS 认证服务器B.网络访问服务器(NAS)与 RADIUS 认证服务器之间通过 UDP 数据报交换请求/响应信息 C.在这种 C/S 协议中，服务器端是网络访问服务器(NAS)，客户端是 RADIUS 认证服务器D.通过 RADIUS 协议可以识别非法的用户，并记录闯入者的日期和时间解析：分析 RADIUS 针对远程用户的协议，采用分布式的客户机/服务器结构完成密码的集中管理和其他身份认证功能。网络用户通过 NAS 访问网络，NAS 同时作为 RADIUS 结构的客户端，AAA 功能通过 NAS 和安全服务器或 RADIUS 服务器之间的 RADIUS 协议过程完成

23、，而用户的控制功能在 NAS 实现。这种结构具有开放、可伸缩性强等优点，很适合与其他第三方产品协同工作。一个基本的 RADIUS 服务器的实施主要与两个配置文件相关，分别是客户机配置文件和用户文件。客户机配置文件包含客户机的地址和用于认证事务的共享密钥，用户文件包含用户的识别和认证信息，以及连接和授权参数。客户机和服务器之间传递的各种参数利用一个简单的具有 5 个字段的格式封装在一个 UDP 包中。RADIUS 有 8 种标准的事务类型，分别是访问请求、访问接受、访问拒绝、记账请求、记账响应、访问询问、状态服务器和状态客户机。RADIUS 认证的过程为：服务器将 NAS 访问请求包解密，然后认

24、证 NAS 源，将用户文件中的访问请求参数变为有效，最后服务器将返回 3 种认证响应中的一种(访问接受、访问拒绝或访问询问)。其中，访问询问是一种对附加认证信息的要求。在 RADIUS 协议中，授权不是一个独立的功能，而是认证响应的一部分。若 RADIUS 服务器批准了访问请求，则将用户文件中所有具体的连接属性返回给 NAS 客户机。此过程通常包括数据连接和网络的规范，还包括特定的授权参数信息。在 RADIUS 中，记账是一个独立的功能，并不是所有的客户机都能够执行此功能。如果 NAS 客户机配置成具有记账功能，则在用户得到认证后，它将产生一个记账开始的包，而在用户断开连接时产生一个记账结束的

25、包。记账开始包描述了 NAS 所传送服务的类型、使用的端口和所服务的用户，记账结束包复制了开始包的信息并添加了会话信息，例如，使用的时间、输入/输出字节数和断开连接的原因等。RADIUS 是为远程访问认证所设计，而不适合于主机及应用系统的认证。RADIUS 只提供了基本的记账功能和监视系统事件的功能。RADIUS 的连接参数是基于用户的，而不是基于设备的，这也是 RADIUS 的另一个主要局限性。当一个 RADIUS 服务器管理多种类型的 NAS 设备时，用户的管理复杂度大大增加。对于检查用户是否是组成员、通过日期和时间来限制访问，以及在指定的日期终止用户的账户等功能，标准的RADIUS 认证

26、并不具备。为了提供这些功能，RADIUS 服务器必须同其他的认证服务相结合。6.下列关于 PGP(Pretty Good Privacy)的说法中不正确的是 (2) 。（分数：1.00）A.PGP 可用于电子邮件，也可用于文件存储B.PGP 可选用 MD5 和 SHA 两种算法C.PGP 采用了 ZIP 数据压缩算法D.PGP 不可使用 IDEA 加密算法 解析：分析 PGP 是一个基于 RSA 公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确信邮件发送者。PGP 采用了审慎的密钥管理，一种RSA 和传统加密的杂合算法：一个对称加密算

27、法(IDEA)、一个非对称加密算法(RSA)、一个单向散列算法(MD5)及一个随机数产生器(从用户击键频率产生伪随机数序列的种子)，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度，而且其源代码是免费的。PGP 还可用于文件存储的加密。PGP 承认两种不同的证书格式：PGP 证书和 X.509 证书。一份 PGP 证书包括(但不仅限于)以下信息：(1)PGP 版本号。指出创建与证书相关联的密钥使用了哪个 PGP 版本。(2)证书持有者的公钥。这是密钥对的公开部分，并且还有密钥的算法。(3)证书持有者的信息。包括用户的身份信息，如姓名、用户 ID、

28、照片等。(4)证书拥有者的数字签名。也称为白签名，这是用与证书中的公钥相关的私钥生成的签名。(5)证书的有效期。证书的起始日期/时间和终止日期/时间，指明证书何时失效。(6)密钥首选的对称加密算法。指明证书拥有者首选的信息加密算法。7.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是 (23) 。（分数：1.00）A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构 D.网络安全系统应该以不影响系统正常运行为前提解析：分析 根据防范安全攻击

29、的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照 SSE-CMM(系统安全工程能力成熟模型)和 ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下 9 项原则。(1)网络信息安全的木桶原则。网络信息安全的木桶原则是指对信息均衡、全面地进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最

30、易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能。(2)网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对

31、系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理，并尽量及时地恢复信息，减少攻击的破坏程度。(3)安全性评价与平衡原则。对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能取决于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围、系统的性质和信息的重要程度。(4)标准化与一致性原则。网络信息系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系

32、统的一致性，使整个系统安全地互联互通，信息共享。(5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。(6)统筹规划，分步实施原则。由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本、必需的安全性。今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根

33、本的安全需求。(7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。(8)动态发展原则。要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。(9)易操作性原则。首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。8.在密码学中，

34、单向 Hash 函数具有 (5) 所描述的特性。（分数：1.00）A.对输入的长度不固定的字符串，返回一串不同长度的字符串B.不仅可以用于产生信息摘要，还可以用于加密短信息C.在某一特定时间内，无法查找经 Hash 操作后生成特定：Hash 值的原报文 D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题解析：分析 单向：Hash 函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长的字符串(128 位)，又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题：在某一特定的时间内，无法查找经 Hash 操作后生成特定 Ha

35、sh 值的原报文；也无法查找两个经 Hash操作后生成相同 Hash 值的不同报文。这样在数字签名中就可以解决签名验证和用户身份验证不可抵赖性的问题。关于 Kerberos 和 PKI 两种认证协议的叙述中正确的是 (14) ，在使用 Kerberos 认证时，首先向密钥分发中心发送初始票据 (15) 来请求会话票据，以便获取服务器提供的服务。（分数：2.00）A.Kerberos 和 PKI 都是对称密钥B.Kerberos 和 PKI 都是非对称密钥C.Kerberos 是对称密钥，而 PKI 是非对称密钥 D.Kerberos 是非对称密钥，而 PKI 是对称密钥解析：A.RSAB.TG

36、T C.DESD.LSA解析：分析 PKI(Public Key Infrastructure，公共密钥基础设施)是 CA 安全认证体系的基础，为安全认证体系进行密钥管理提供了一个平台，它是一种新的网络安全技术和安全规范。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI 由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。PKI 可以实现 CA 和证书的管理；密钥的备份与恢复；证书、密钥对的自动更换；交叉认证；加密密钥和签名密钥的分隔；支持对数字签名的不可抵赖性；密钥历史的管理等功能。PKI 技术的应用可以对认证、机

37、密性、完整性和抗抵赖性方面发挥重要的作用。(1)认证。是指对网络中信息传递的双方进行身份的确认。(2)机密性。是指保证信息不泄露给未经授权的用户或不供其利用。(3)完整性。是指防止信息被未经授权的人篡改，保证真实的信息从真实的信源无失真地传到真实的信宿。(4)抗抵赖性。是指保证信息行为人不能够否认自己的行为。而 PKI 技术实现以上这些方面的功能主要是借助“数字签名”技术，数字签名是维护网络信息安全的一种重要方法和手段，在身份认证、数据完整性、抗抵赖性方面都有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务、电子政务系统中有重要作用。它是通过密码技术对电子文档进行电子形式的签名

38、，是实现认证的重要工具。数字签名是只有信息发送方才能够进行的签名，是任何他人无法伪造的一段数字串，这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。签名是确认文件的一种手段，一般书面手工签名的作用有两个：一是因为自己的签名难以否认，从而确认文件已签署这一事实；二是因为签名不易仿冒，从而确认文件是真实的这一事实。采用数字签名也能够确认以下两点：一是信息是由签名者发送的；二是信息自签发到收到为止，没做任何修改。数字签名的特点是它代表了文件的特征。文件如果发生变化，数字签名的值也将发生变化，不同的文件将得到不同的数字签名。数字签名是通过 Hash 函数与公开密钥算法来实现的，其原理是：(1

39、)发送者首先将原文用 Hash 函数生成 128 位的数字摘要。(2)发送者用自己的私钥对摘要再加密，形成数字签名，把加密后的数字签名附加在要发送的原文后面。(3)发送者将原文和数字签名同时传给对方。(4)接收者对收到的信息用 Hash 函数生成新的摘要，同时用发送者的公开密钥对信息摘要解密。(5)将解密后的摘要与新摘要对比，如两者一致，则说明传送过程中信息没有被破坏或篡改。如果第三方冒充发送方发送了一个文件，因为接收方在对数字签名进行解密时使用的是发送方的公开密钥，只要第三方不知道发送方的私用密钥，解密出来的数字摘要与计算机计算出来的新摘要必然是不同的。这就提供了一个安全的确认发送方身份的方

40、法。数字签名有两种，一种是对整体信息的签名，它是指经过密码变换的被签名信息整体；另一种是对压缩信息的签名，它是附加在被签名信息之后或某一特定位置上的一段签名图样。若按照明、密文的对应关系划分，每一种又可以分为两个子类，一类是确定性数字签名，即明文与密文一一对应，它对一个特定信息的签名不变化，如 RSA 签名；另一类是随机化或概率化数字签名，它对同一信息的签名是随机变化的，取决于签名算法中的随机参数的取值。一个明文可能有多个合法数字签名。一个签名体制一般包含两个组成部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。验证算法是公开的，以便他人进行验证。信息签名和信息加密有所不同

41、，信息加密和解密可能是一次性的，它要求在解密之前是安全的。而一条签名的信息可能作为一个法律上的文件，如合同，很可能在对信息签署多年之后才验证其签名，且可能需要多次验证此签名。因此，签名的安全性和防伪造的要求更高些，并且要求证实速度比签名速度还要快些，特别是联机在线实时验证。随着计算机网络的发展，过去依赖于手书签名的各种业务都可用电子数字签名代替，它是实现电子政务、电子商务、电子出版等系统安全的重要保证。另外，基于 PKI 如果要实现数据的保密性，可以再将“原文+数字签名”所构成的信息包用对方的公钥进行加密，这样就可以保证对方只有使用自己的私钥才能够解密，从而达到保密性要求。9.SSL 协议 (

42、6) 。（分数：1.00）A.工作于 TCP/IP 协议栈的网络层B.不能够提供身份认证功能C.仅能够实现加解密功能D.可以被用于实现安全电子邮件 解析：分析 SSL(Security Socket Laver)协议是 Netscape Communication 开发的安全协议，在网络信息包的应用层和传输层之间提供安全的通道，用于在 Internet 上传送机密文件。SSL 协议由 SSL 记录协议、SSL 握手协议和 SSL 警报协议组成。SSL 握手协议被用来在客户机与服务器真正传输应用层数据之前建立安全机制，当客户机与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密

43、算法和 Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户机和服务器各自根据该秘密信息产生数据加密算法和 Hash 算法参数。SSL 记录协议根据 SSL 握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码，然后经网络传输层发送给对方。SSL 警报协议用来在客户机和服务器之间传递 SSL 出错信息。SSL 协议主要提供三方面的服务。(1)用户和服务器的合法性认证。认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号。为了验证用户

44、是否合法，SSL 协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性。(2)加密数据以隐藏被传送的数据。SSL 协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换 SSL 初始握手信息，在 SSL 握手信息中采用各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，防止非法用户进行破译。(3)保护数据的完整性。SSL 协议采用 Hash 函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过 SSL 协议处理的业务在传输过程中能全部完整准确无误地到达目的地。SSL 协议是一个保证计算机

45、通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。(1)接通阶段。客户机通过网络向服务器打招呼，服务器回应。(2)密码交换阶段。客户机与服务器之间交换双方认可的密码，一般选用 RSA 密码算法，也有的选用Diffie-Hellman 和 Fortezza-KEA 密码算法。(3)会谈密码阶段。客户机与服务器问产生彼此交谈的会谈密码。(4)检验阶段。客户机检验服务器取得的密码。(5)客户认证阶段。服务器验证客户机的可信度。(6)结束阶段。客户机与服务器之间相互交换结束的信息。当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在

46、网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此，SSL 协议也可用于安全电子邮件。在电子商务交易过程中，由于有银行参与，按照 SSL 协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送给客户。10.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 I

47、nternet 上的机器随意访问公司局域网。虚拟专用网使用 (19) 协议可以解决这一需求。（分数：1.00）A.PPTP B.RC-5C.UDPD.Telnet解析：分析 虚拟专用网可以利用公网，通过使用相应的协议，以低廉的成本方便地构建虚拟的专用网络。有很多协议都可以用于构建虚拟专用网，如 PPTP、IPSec 等。在本题给出的选项中，RC-5 是一种对称加密算法，UDP 是一种传输层的协议，Telnet 是一种远程登录协议，它们都不能用于构建虚拟专用网。11. (27) 无法有效防御 DDoS 攻击。（分数：1.00）A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认

48、证C.安装防病毒软件 D.使用工具软件检测不正常的高流量解析：分析 分布式拒绝服务攻击(Distributed Denial of Service，DDoS)手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。分布式拒绝服务攻击指借助于客户/服务器技术，将多台计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力。高速广泛连接的网络给大家带来了方便，也为 DDoS 攻击创造了极为有利的条件。对于此类隐蔽性极好的 DDoS 攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。(1)及早发现系统

49、存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息(如系统配置信息)建立和完善备份机制。对一些特权账号(如管理员账号)的密码设置要谨慎。通过这样一系列的举措，可以把攻击者的可乘之机降低到最小。(2)在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。(3)利用网络安全设备(如防火墙)来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。(4)与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。(5)当用户发现自己正在遭受 DDoS 攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP 和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。(6)如果用户是潜在的 DDoS 攻击受害者，并且发现自己的计算机被攻击者用做主控端和代理端，不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，对用户的系统是一个很大的威胁。所以，用户只要发现系统中存在 DDoS 攻击的工具软件，就要及时把它清除，以免留下后患。ISO 7498-2 标准涉及的 5 种安全服务是 (8)