1、系统分析师-网络安全与信息化安全及答案解析(总分:38.00,做题时间:90 分钟)某公司为便于员工在家里访问公司的一些数据,允许员工通过 Internet 访问公司的 FTP 服务器,如图 2-2 所示。为了能够方便地实现这一目标,决定在客户机与 FTP 服务器之间采用 (1) 协议,在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议,客户机与服务器之间协商相互认可的密码发生在 (2) 。 *(分数:2.00)A.SSLB.IPSecC.PPTPD.TCPA.接通阶段B.密码交换阶段C.会谈密码阶段D.客户认证阶段1.某业务员需要在出差期间能够访问公司局域网中的数据,与局域网中的其
2、他机器进行通信,并且保障通信的机密性。但是为了安全,公司禁止 Internet 上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。(分数:1.00)A.PPTPB.RC-5C.UDPD.Telnet2.用于在网络应用层和传输层之间提供加密方案的协议是_。(分数:1.00)A.PGPB.SSLC.IPSecD.DES3.IPSec VPN 安全技术没有用到_。(分数:1.00)A.隧道技术B.加密技术C.入侵检测技术D.身份认证技术4.IPSec 提供了在局域网、广域网和互联网中安全通信的能力。以下关于 IPSec 说法错误的是_。(分数:1.00)A.IPSec 协议在发起者和
3、应答者之间可定义预先共享密钥、数字签名、公共密钥 PKE 等相互认证方式B.IPSec 可以手工静态配置 SA,也可利用 Internet 密钥交换(IKE)动态建立 SAC.IPSec 能在 IPv4 环境下工作,但不适应 IPv6 环境D.IPSec 可提供同一公司各分支机构通过 Intenet 的安全连接5.L2TP 协议是一种二层 VPN 隧道协议,它结合了 Cisco 的 L2F 和 Microsoft PPTP 的优点。该协议报文封装在_协议之上。(分数:1.00)A.PPPB.IPC.TCPD.UDP6.由 L2TPv2 构建的 VPN 网络中,主要由 LAC 和 LNS 两种网
4、络设备构成。以下说法错误的是_。(分数:1.00)A.L2TP 是一种主动式隧道协议,它可从客户端或访问服务器端发起 VPN 连接B.LAC 支持客户端的 L2TP,用于发起呼叫、接收呼叫和建立隧道C.LNS 是 PPP 端系统上用于处理 L2TP 服务器端部分的软件,是所有隧道的终点D.LAC 是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能力的设备7.SSL-VPN 可利用 Web 浏览器标准配置的 SSL 加密功能来保证数据通信的安全性。以下关于 SSL-VPN 说法中,错误的是_。(分数:1.00)A.客户机与 Web 服务器的 TCP 443 端口建立一条 SSL
5、 连接,用于传递 SSL 处理后的数据B.SSL 协议通过数字证书同时对客户端和服务器端进行认证C.通过 SSL 握手协议创建一个 SSL 会话,并借助 SSL 记录协议层的链路协商加密密钥D.当 Web 服务器处理完服务请求向客户返回响应信息时,SSL-VPN 设备将对 Web 服务器传来的响应信息进行加密8.3DES 在 DES 的基础上,使用两个 56 位的密钥 K1 和 K2,发送方用 K1 加密,K2 解密,再用 K1 加密。接受方用 K1 解密,K2 加密,再用 K1 解密,这相当于使用_倍于 DES 的密钥长度的加密效果。(分数:1.00)A.1B.2C.3D.6为了保障数据的存
6、储和传输安全,需要对一些重要数据进行加密。由于对称密码算法 (11) ,所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA 的密钥长度是 (12) 位。(分数:2.00)A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高D.还能同时用于身份认证A.56B.64C.128D.2569.采用 DES 数据加密标准进行数据加密时,加密算法中的基本运算中不包括_。(分数:1.00)A.模加运算B.模乘运算C.移位运算D.置换运算10.以下关于 RSA 加密算法的说法中,错误的是_。(分数:1.00)A.RSA 算法是一种非对称加密算法B.RSA 算法可用于
7、某种数字签名方案C.RSA 算法的运算速度比 DES 算法快D.RSA 算法主要基于素因子难于分解11.在电子商务应用中,为了防止用户否认他们曾经通过计算机发送过的文件,较简便的方法是_。(分数:1.00)A.利用对称密钥方法进行文件加密B.利用公开密钥方法进行数字签名C.利用消息摘要方法进行文件复制D.利用日志审计方法进行文件存档12.图 2-6 示意了发送者利用非对称加密算法向接收者传送消息的过程,图中 a 和 b 处分别是_。 *(分数:1.00)A.接收者的公钥,接收者的私钥B.发送者的公钥,接收者的私钥C.发送者的私钥,接收者的公钥D.接收者的私钥,接收者的公钥13.根据统计显示,8
8、0%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高同一局域网内安全性的措施是_。(分数:1.00)A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击14.网络安全设计是保证网络安全运行的基础,网络安全设计有其基本的设计原则,以下关于网络安全设计原则的描述,错误的是_。(分数:1.00)A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分,是实现网络安全的保障C.网络安全系统设计应独立进行,不需要考虑网络结构D.网络安全系统应该以不影响系统正常运行为前提15.关于网络安全,以下说法中正确的是_。(
9、分数:1.00)A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播16.许多黑客利用缓冲区溢出漏洞进行攻击,对于这一威胁,最可靠的解决方案是_。(分数:1.00)A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁软件D.安装防病毒软件17.无法有效防御 DDoS 攻击。(分数:1.00)A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认证C.安装防病毒软件D.使用工具软件检测不正常的高流量18.在密码学中,单向 Hash 函数具有_所描述的特性。(分数:1.00)A.对输入
10、的长度不固定的字符串,返回一串不同长度的字符串B.不仅可以用于产生信息摘要,还可以用于加密短信息C.在某一特定时间内,无法查找经 Hash 操作后生成特定 Hash 值的原报文D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题19.在使用 Kerberos 进行密钥管理的环境中,有 N 个人,为确保在任意两个人之间进行秘密对话,系统所需的最少会话密钥数为_个。 *(分数:1.00)A.B.C.D.20.不属于 PKI CA 认证中心的功能。(分数:1.00)A.接收并验证最终用户数字证书的申请B.向申请者颁发或拒绝颁发数字证书C.产生和发布证书废止列表(CRE),验证证书状态D
11、.业务受理点 LRA 的全面管理21.采用 Kerberos 系统进行认证时,可以在报文中加入_来防止重放攻击。(分数:1.00)A.会话密钥B.时问戳C.用户 IDD.私有密钥22.某公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成,如图 2-8 所示。下面描述错误的是_。 *(分数:1.00)A.可以限制计算机 c 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 协议从 Internet 上下载数据D.计算机 A 能够与膝上型计算机建立直接的 TCP 连接23.
12、_不属于将入侵检测系统部署在 DMZ 中的优点。(分数:1.00)A.可以查看受保护区域主机被攻击的状态B.可以检测防火墙系统的策略配置是否合理C.可以检测 DMZ 被黑客攻击的重点D.可以审计来自 Internet 上对受保护网络的攻击类型24.包过滤防火墙通过_来确定数据包是否能通过。(分数:1.00)A.路由表B.ARP 表C.NAT 表D.过滤规则25.数字信封_。(分数:1.00)A.使用非对称密钥体制密码算法加密邮件正文B.使用 RSA 算法对邮件正文生成摘要C.使用收件人的公钥加密会话密钥D.使用发件人的私钥加密会话密钥26.SSL(TLS)协议_。(分数:1.00)A.工作于
13、TCP/IP 协议栈的网络层B.不能够提供身份认证功能C.仅能够实现加解密功能D.可以被用于实现安全电子邮件27.某公司的业务员甲与客户乙通过 Internet 交换商业电子邮件。为保障邮件内容的安全,采用安全电子邮件技术对邮件内容进行加密和数字签名。在如图 2-9 所示的安全电子邮件技术的实现原理图中(1)(4)应分别填入_。 *(分数:1.00)A.乙的公钥、DES 算法、乙的公钥、乙的私钥B.会话密钥、MD5 算法、甲的私钥、甲的公钥C.甲的公钥、乙的公钥、甲的公钥、甲的私钥D.数字证书、甲的公钥、乙的私钥、乙的公钥28.某公司的业务员与客户通过 Internet 交换商业电子邮件(E-
14、mail)。为保障 E-mail 内容的安全,采用安全电子邮件技术对 E-mail 内容进行加密和数字签名。以下关于安全电子邮件实现技术说法中,正确的是_。(分数:1.00)A.不同输入邮件计算出的摘要长度相同B.仅根据摘要很容易还原出原邮件C.不同的邮件很可能生成相同的摘要D.由邮件计算出其摘要的时间比邮件的加密时间长29.某电子商务公司的业务员甲使用 Outlook Express 撰写发送给业务员乙的邮件,他应该使用_的数字证书来对邮件加密。(分数:1.00)A.CA 认证中心B.第三方C.甲D.乙30.某电子商务公司的业务员乙收到了地址为客户甲的含数字签名的邮件,他可以通过验证数字签名
15、来确认_。(分数:1.00)A.邮件中是否含有病毒B.邮件在传送过程中是否被篡改C.邮件在传送过程中是否被窃取D.邮件在传送过程中是否加密目前在网络上流行的“熊猫烧香”病毒属于 (35) 类型的病毒,感染该病毒后的计算机不会出现 (36) 的情况。(分数:2.00)A.目录B.引导区C.蠕虫D.DOSA.执行文件图标变成熊猫烧香B.用户信息被泄漏C.系统运行变慢D.破坏计算机主板风险分析和管理是软件开发的一项重要活动。在软件工程领域主要基于 (37) 以及必须抓住选择机会考虑风险。实践中存在许多种软件风险,如“潜在的设计、实现、维护等方面的问题”属于 (38) 风险。(分数:2.00)A.关心
16、未来、关心不变性B.关心当前、关心不变性C.关心当前、关心变化D.关心未来、关心变化A.技术B.过程C.项目D.商业系统分析师-网络安全与信息化安全答案解析(总分:38.00,做题时间:90 分钟)某公司为便于员工在家里访问公司的一些数据,允许员工通过 Internet 访问公司的 FTP 服务器,如图 2-2 所示。为了能够方便地实现这一目标,决定在客户机与 FTP 服务器之间采用 (1) 协议,在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议,客户机与服务器之间协商相互认可的密码发生在 (2) 。 *(分数:2.00)A.SSL B.IPSecC.PPTPD.TCP解析:A.接
17、通阶段B.密码交换阶段 C.会谈密码阶段D.客户认证阶段解析:解析 本题(1)空缺处所填内容的解题关健是,试题中给出的关健信息“在传输层对数据进行加密”。在 TCP/IP 协议簇中,利用 L2F、PPTP 以及 L2TP 协议在数据链路层实现 VPN 应用;在网络层利用 IPSec协议实现 VPN 应用;利用安全套接层(SSL)协议在传输层与应用层之间实现 VPN 应用。各 VPN 应用协议在TCP/IP 协议簇的位置关系图如图 2-3 所示。因此,选项 A 的“SSL”是(1)空缺处所填内容的正确答案。 而选项 B 的“IPSec”是 IP 安全性(IP Security)的缩写形式,它提供
18、最强密度的 168 位 3DES 加密算法以及逐包加密与验证功能(防止第三方攻击)。选项 C 的“PPTP”是一种基于 PPP 协议的二层隧道协议,其基于 Microsoft 桌面系统的客户机使用 MPPE(Microsoft 点对点加密方案,基于 RSA RC4 标准,支持 40 或128 位加密算法)。选项 D 的“TCP”是传输控制协议的英文缩写。 在图 2-2 网络拓扑结构图中,客户机与 FTP 服务器之间采用 SSL 协议,可在传输层对数据进行加密以保证数据通信的安全性。该客户机与 FTP 服务器在密码交换阶段协商相互认可的密码。 *1.某业务员需要在出差期间能够访问公司局域网中的数
19、据,与局域网中的其他机器进行通信,并且保障通信的机密性。但是为了安全,公司禁止 Internet 上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。(分数:1.00)A.PPTP B.RC-5C.UDPD.Telnet解析:解析 虚拟专用网可以利用公共网络(例如 Internet 网)通过使用相应的安全协议以低廉的成本,方便地将处于不同地理位置的网络互联,以构建成虚拟的(逻辑上)“专用”网络。 本试题 4 个选项中,选项 A 的“PPTP”是一种基于 PPP 协议的二层 VPN 隧道协议;选项 B 的“RC-5”是一种基于 RSA 算法开发的对称加密算法;选项 C 的“UDP”
20、是用户数据报协议的英文缩写;选项 D 的“Telnet”是一种基于客户机朋艮务器模式的远程登录协议,它将用户计算机与远程主机连接起来,并将本地的输入送给远程计算机,在远程计算机上运行相应程序,然后将相应的屏幕显示传送到本地机器,它可以用于 Inteinet 信息服务器远程管理。 由以上分析可知,4 个选项中只有选项 A 的“PPTP”与试题讨论的主题“虚拟专用网”相关。因此,选项A 的“PPTP”是该空缺处所填内容的正确答案。2.用于在网络应用层和传输层之间提供加密方案的协议是_。(分数:1.00)A.PGPB.SSL C.IPSecD.DES解析:解析 本试题 4 个选项中,选项 A 的“P
21、GP”是一个基于:RSA 公钥加密体系、混合加密的应用层软件,可以用它保护文件、电子邮件、磁盘空间等;选项 B 的“SSL”是一种用于在应用层和传输层之间提供加密方案的协议;选项 C 的“IPSec”是一种应用于网络互联层的 VPN 安全协议;选项 D 的“DES”是一种国际标准化组织(ISO)核准的数据加密标准,它用 56 位密钥加密 64 位明文,用于产生 64 位密文。 由试题中关健信息“在网络应用层和传输层之间”可知,只有选项 B 的“SSL”符合题意的要求。3.IPSec VPN 安全技术没有用到_。(分数:1.00)A.隧道技术B.加密技术C.入侵检测技术 D.身份认证技术解析:解
22、析 虚拟专用网(VPN)主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术来保证内部数据通过 Internet 的安全传输。 而选项 C 的“入侵检测技术”能够实时应对来自内网己知的攻击,但它对未知的攻击检测能力较弱,且存在误报率高的缺点。如果能将入侵检测系统和防火墙等其他安全系统进行联动,就能够更加有效地防止网络攻击。4.IPSec 提供了在局域网、广域网和互联网中安全通信的能力。以下关于 IPSec 说法错误的是_。(分数:1.00)A.IPSec 协议在发起者和应答者之间可定义预先共享密钥、数字签名、公共密钥 PKE 等相互认证方式B.IPSec 可以手工静态配置 SA
23、,也可利用 Internet 密钥交换(IKE)动态建立 SAC.IPSec 能在 IPv4 环境下工作,但不适应 IPv6 环境 D.IPSec 可提供同一公司各分支机构通过 Intenet 的安全连接解析:解析 IP 安全性(IP Security,IPSec)提供了在局域网、广域网和互联网中安全通信的能力。它可提供同一公司各分支机构通过 Intenet 的安全连接,即可提供对 Intenet 的远程安全访问。例如,可将IPSec 协议应用于电子商务以提高它的安全性。IPSec 协议同时支持 IPv4/IPv6 两种应用环境。5.L2TP 协议是一种二层 VPN 隧道协议,它结合了 Cis
24、co 的 L2F 和 Microsoft PPTP 的优点。该协议报文封装在_协议之上。(分数:1.00)A.PPPB.IPC.TCPD.UDP 解析:解析 L2TP 协议是一种基于 PPP 协议的二层隧道协议,其报文封装在 UDP 协议之上,使用UDP1701 端口。6.由 L2TPv2 构建的 VPN 网络中,主要由 LAC 和 LNS 两种网络设备构成。以下说法错误的是_。(分数:1.00)A.L2TP 是一种主动式隧道协议,它可从客户端或访问服务器端发起 VPN 连接 B.LAC 支持客户端的 L2TP,用于发起呼叫、接收呼叫和建立隧道C.LNS 是 PPP 端系统上用于处理 L2TP
25、 服务器端部分的软件,是所有隧道的终点D.LAC 是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能力的设备解析:解析 L2TP 是一种基于 PPF,(点对点协议)的二层隧道协议,是典型的被动式隧道协议(非主动式),它可从客户端或访问服务器端发起 VPN 连接。由 L2TPv2 构建的 VPN 网络中,主要由 L2TP 访问集中器(LAC)和L2TP 网络服务器(LNS)两种类型的网络设备构成。其中,LAC 支持客户端的 L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能力的设备。LNS 是 PPP 端系统上用于处
26、理 L2TP 服务器端部分的软件,是所有隧道的终点,LNS 终止所有的 PPP 流。在传统的 PPP 连接中,用户拨号连接的终点是 LAC,L2TP 使得 PPP 协议的终点延伸到 LNS。7.SSL-VPN 可利用 Web 浏览器标准配置的 SSL 加密功能来保证数据通信的安全性。以下关于 SSL-VPN 说法中,错误的是_。(分数:1.00)A.客户机与 Web 服务器的 TCP 443 端口建立一条 SSL 连接,用于传递 SSL 处理后的数据B.SSL 协议通过数字证书同时对客户端和服务器端进行认证 C.通过 SSL 握手协议创建一个 SSL 会话,并借助 SSL 记录协议层的链路协商
27、加密密钥D.当 Web 服务器处理完服务请求向客户返回响应信息时,SSL-VPN 设备将对 Web 服务器传来的响应信息进行加密解析:解析 对于选项 A,客户机的 TCP 层与 Web 服务器的 TCP 443 端口建立一条 SSL 连接,用于传递SSL 处理后的数据。此时这条 SSL 连接与一个对应的 SSL 会话是点对点的关系。 对于选项 B,由于 SSL 协议必须支持服务器端的认证,可通过客户端对服务器端的数字证书认证来完成此功能,而对客户端的认证是作为一个可选项,因此选项 B 的说法不完全正确。 对于选项 C,可通过 SSL 握手协议创建一个 SSL 会话,并借助 SSL 记录协议层的
28、链路协商加密密钥,并用此密钥来加密 HTTP 请求。SSL 记录协议为 SSL 连接提供保密性和报文完整性两种安全服务。 对于选项 D,通常将 SSL-VPN 设备设置在 Internet 和内部 LAN 的边界 DMZ 上。当使用具有 SSL 功能的浏览器访问公司内部 Web 服务器时,客户端 Web 浏览器的 SSL 协议会对这一请求分组进行加密,加密后 IP分组将通过各地路由器转发到目标 SSL-VPN 设备上。SSL-VPN 设备先对接收的 IP 分组进行解密,然后作为客户的代理向公司内部的 Web 服务器递交服务请求。当Web 服务器处理完服务请求向客户返回响应信息时,SSL-VPN
29、 设备将对 Web 服务器传来的响应信息进行加密,加密后响应分组将通过各地路由器转发到客户端上。客户端 Web 浏览器的 SSL 协议将对这一响应分组进行解密,然后将解密后响应信息递交给应用层进行相应处理。8.3DES 在 DES 的基础上,使用两个 56 位的密钥 K1 和 K2,发送方用 K1 加密,K2 解密,再用 K1 加密。接受方用 K1 解密,K2 加密,再用 K1 解密,这相当于使用_倍于 DES 的密钥长度的加密效果。(分数:1.00)A.1B.2 C.3D.6解析:解析 DES 是一种国际标准化组织(ISO)核准的数据加密标准,其算法基础是替代和置换的混合形式。它用 56 位
30、密钥加密 64 位明文,用于产生 64 位密文。3DES 在 DES 的基础上通过组合分组方法设计相应的加密算法。假设 P 代表明文,C 代表密文,E K()代表 DES 算法的加密过程,D K()代表 DES 算法的解密过程,则根据本试题中的相关描述,该 3DES 的加密过程为:*;3DES 的解密过程为:*。 由于在发送方的两次加密过程均使用密钥 K1,在接受方的两次解密过程也均使用密钥 K1,因此这种3DES(也称为 Triple DES)密钥的有效长度为 562=112 位,其加密效果相当于 DES 的 56 位密钥长度的加密效果的 2 倍。为了保障数据的存储和传输安全,需要对一些重要
31、数据进行加密。由于对称密码算法 (11) ,所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA 的密钥长度是 (12) 位。(分数:2.00)A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高 D.还能同时用于身份认证解析:A.56B.64C.128 D.256解析:解析 对称密码算法和非对称密码算法均可用于数据加密。但由于非对称密码算法有一个公开的密钥,而对称密码算法的密钥都是保密的。相对而言,对称密码算法的加解密过程比非对称密码算法简单,即其加解密效率比非对称密码算法高,因此在安全级别许可的条件,采用对称密码算法对大量的数据进行加密。 国际数据
32、加密算法 IDEA 是在 DES 算法的基础上发展的,类似于 3DES 算法,但其密钥长度为 128bit。9.采用 DES 数据加密标准进行数据加密时,加密算法中的基本运算中不包括_。(分数:1.00)A.模加运算B.模乘运算 C.移位运算D.置换运算解析:解析 DES 是一种国际标准化组织(ISO)核准的数据加密标准,它用 56 位密钥加密 64 位明文,用于产生 64 位密文。其算法基础是替代和置换的混合形式,并由两者交替多次反复使用来实现。它每次加密对一个长度为 64 位的分组进行。它要求保密通信的双方必须有一个特定的密钥,当有 Jv 个人之间互相进行保密通信时,总共需要*个密钥。 选
33、项 A 的“模加运算”主要用于密文的输出过程;选项 C 的“移位运算”主要用于子密钥的生成过程;选项 D 的“置换运算”是指 DES 加密算法中 16 轮迭代乘积变换运算。10.以下关于 RSA 加密算法的说法中,错误的是_。(分数:1.00)A.RSA 算法是一种非对称加密算法B.RSA 算法可用于某种数字签名方案C.RSA 算法的运算速度比 DES 算法快 D.RSA 算法主要基于素因子难于分解解析:解析 RSA 加密算法是一种非对称加密算法,其算法主要基于素因子难于分解。其密钥长度为512bit,加解密过程中要进行大指数模运算,因此它的加解密速度比 DES 算法慢。 数字签名用于保证消息
34、的发送方和接收方的真实性,其应用较为广泛的 3 种签名算法是 Hash 签名、DSS签名、RSA 签名。11.在电子商务应用中,为了防止用户否认他们曾经通过计算机发送过的文件,较简便的方法是_。(分数:1.00)A.利用对称密钥方法进行文件加密B.利用公开密钥方法进行数字签名 C.利用消息摘要方法进行文件复制D.利用日志审计方法进行文件存档解析:解析 公开密钥方法的主要优点之一是便于密钥的传送。当 N 个用户采用公开密钥方法保密通信时,系统中一共有 2N 个密钥,每个用户要小心保管好 1 个密钥(私钥)。在电子商务应用中,为了防止不老实用户否认他们曾经通过计算机发送过的文件,较简便的方法是利用
35、公开密钥方法进行数字签名。12.图 2-6 示意了发送者利用非对称加密算法向接收者传送消息的过程,图中 a 和 b 处分别是_。 *(分数:1.00)A.接收者的公钥,接收者的私钥 B.发送者的公钥,接收者的私钥C.发送者的私钥,接收者的公钥D.接收者的私钥,接收者的公钥解析:解析 公钥加密系统中,发送者使用从安全证书中心(CA)获取的接收者的公钥对所传送的消息进行加密,接收者使用其本身的私钥对该密文进行解密。从而实现所发送的消息只提供给指定接收者阅读的功能。 在公钥加密系统中,如果要实现所发送的消息供公众阅读,则需发送者使用自身的私钥对所传送的消息进行加密,接收者从 CA 中心获取的发送者的
36、公钥对密文进行解密。 本试题 4 个选项未出现“发送者的私钥,发送者的公钥”,因此只有选项 A 是正确答案。13.根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高同一局域网内安全性的措施是_。(分数:1.00)A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击 解析:解析 本题解答过程中需特别注意到试题中“同一局域网内”这一关健信息。在局域网(LAN)内部使用防病毒软件,可以能够检测、标识或清除服务器或客户机操作系统中的病毒程序;使用日志审计系统能够在事件发生时或事后发现安全问题,有助于追查责任,定
37、位故障,系统恢复;使用入侵检测系统能够实时应对来自内网己知的攻击,但它对未知的攻击检测能力较弱。而防火墙是建立在内外网边界上的过滤封锁机制,能够防止外网未经授权地访问内网,能够防止外网对内网的攻击,也能防止内网未经授权地访问外网。但是仅使用防火墙不能有效地防止内网的攻击。如果能将入侵检测系统和防火墙等其他安全系统进行联动,就能够更加有效地防止网络攻击。14.网络安全设计是保证网络安全运行的基础,网络安全设计有其基本的设计原则,以下关于网络安全设计原则的描述,错误的是_。(分数:1.00)A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分,是实现网络安全的保障C.网络安全
38、系统设计应独立进行,不需要考虑网络结构 D.网络安全系统应该以不影响系统正常运行为前提解析:解析 保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。通常,网络安全设计是需遵循木桶原则、整体性原则、等级性原则、安全性评价与平衡原则、标准化与一致性原则、统筹规划、分步实施等原则。 在进行网络安全系统设计时,要充分考虑现有的网络结构,保证不影响系统正常运行的前提下逐步完善网络的安全系统。15.关于网络安全,以下说法中正确的是_。(分数:1.00)A.使
39、用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播 解析:解析 无线传输的数字信号容易被设备监听。为了防御网络监听,最常用的方法是信息加密。 特洛伊木马(简称木马,Troian house)是一种通过网络入侵用户计算机系统的 C/S 软件,是基于远程控制的的黑客工具,具有隐蔽性和非授权性的特点。它与普通病毒是有区别的,严格意义上讲它不是一种病毒。蠕虫病毒(Worm)是一种利用网络进行复制和传播的计算机病毒,例如冲击波、震荡波、网络天空、熊猫烧香等病毒。它主要通过系统漏洞、聊天软件和电子邮件等途径进行传播。
40、防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁。 防火墙用于检测通过网络的数据包,只能对网络连接和数据包进行封堵,而病毒可以通过文件等诸多途径入侵用户的计算机,因此防火墙不能有效地防御病毒。 冲击波(Worm.Blaster)病毒是利用 Windows 操作系统的 RPC DCOM 漏洞进行快速传播,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、无法正常上网,甚至导致系统崩溃。该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。16.许多黑客利用缓冲区溢出漏洞进行攻击,对于这一威胁,最可靠的解决方案是_。
41、(分数:1.00)A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁软件 D.安装防病毒软件解析:解析 缓冲区溢出攻击是利用目标程序的缓冲区溢出漏洞,通过操作目标程序堆栈并暴力改写其返回地址,从而获得目标控制权。其原理是向一个有限空间的缓冲区中拷贝过长的字符串,从而导致这一过长的字符串覆盖了相临的存储单元而造成程序瘫痪、系统重启等现象;同时可让攻击者运行恶意代码、执行任意指令、获得超级权限等。 由于这种攻击方式所传输的数据分组并无异常特征,没有任何欺骗,以及可以用来实施缓冲区溢出攻击的字符串的多样化,无法与正常数据有效进行区分。因此防火墙对这种攻击方式无能为力。另外,因为这种攻击方式不是
42、一种窃密和欺骗的手段,而是从计算机系统的最底层发起攻击,所以在它的攻击下系统的身份验证和访问权限等安全策略形同虚设。这就要求系统管理员或普通用户及时为操作系统和应用程序更新补丁程序,并通过减少不必要的开放服务端口等措施来降低因缓冲区溢出而造成的攻击损失。17.无法有效防御 DDoS 攻击。(分数:1.00)A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认证C.安装防病毒软件 D.使用工具软件检测不正常的高流量解析:解析 分布式拒绝服务(DDoS,Distributed Denial of Service)是一种分布、协作的大规模攻击方式,其基本原理是利用合理的服务请求来占
43、用过多的服务资源,从而使合法用户无法得到服务的响应。 以下提供几种防御 DDoS 攻击的方法:及时更新操作系统补丁;尽量使用稳定版本的服务程序;限制特定 IP 地址段的数据访问,或根据 IP 地址对数据包进行 ACL 过滤;使用工具软件检测不正常的高流量;限制同时打开的 SYN 最大连接数,或在路由器上限制 SYN 数据包流量速率;缩短 SYN 连接的time out 时间;尽量关闭不必要的服务端口;启用防火墙的防 DDoS 的属性;启用 Cisco 路由器的CEF(Cisco Express Forwarding)服务;为系统访问提供更高级别的身份认证,从而封堵某些非法用户的攻击等。 由于
44、DDoS 是“利用合理的服务请求”,因此在系统中安装防病毒软件对这种攻击方式无防御能力。18.在密码学中,单向 Hash 函数具有_所描述的特性。(分数:1.00)A.对输入的长度不固定的字符串,返回一串不同长度的字符串B.不仅可以用于产生信息摘要,还可以用于加密短信息C.在某一特定时间内,无法查找经 Hash 操作后生成特定 Hash 值的原报文 D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题解析:解析 一个好的摘要函数具有如下特点:根据输入报文获取其输出摘要的时间非常短;根据输出数据无法还原出输入数据;不同长度的输入报文计算出的摘要长度相同。 同以上摘要函数特点可知,选
45、项 C 的描述是正确的。而选项 A 的描述是错误的,对选项 A 的正确描述应该是“对输入的长度不固定的字符串,返回一串相同长度的字符串”。 通常摘要函数可用于数字签名、用户身份认证和防抵赖等场合,而不用于加密消息。19.在使用 Kerberos 进行密钥管理的环境中,有 N 个人,为确保在任意两个人之间进行秘密对话,系统所需的最少会话密钥数为_个。 *(分数:1.00)A.B. C.D.解析:解析 Kerbetos 协议可用于防止窃听、防止重放攻击、保护数据完整性等场合,它是一种应用对称密钥体制进行密钥管理的系统。当有 N 个人使用该系统时,为确保在任意两个人之间进行秘密对话,系统中至少保存有
46、它与每个人的共享密钥,即所需的最少会话密钥数为 N 个。20.不属于 PKI CA 认证中心的功能。(分数:1.00)A.接收并验证最终用户数字证书的申请B.向申请者颁发或拒绝颁发数字证书C.产生和发布证书废止列表(CRE),验证证书状态D.业务受理点 LRA 的全面管理 解析:解析 PKI CA 认证中心的主要功能是发放和管理数字证书,其中包括接收并验证终端用户数字证书的申请、向申请者颁发或拒绝颁发数字证书,产生和发布证书废止列表(CRE)以及验证证书状态。 通常 CA 认证中心采用“统一建设,分级管理”的原则分为多层结构,即建立统一的注册中心(RA)系统。各地市以及各行业可以根据具体情况申
47、请设置不同层次的下级 RA 中心或本地注册中心(LRA)。RA 系统负责用户证书审核,并为 LRA 系统在各分支机构的分布建设提供策略支撑。终端用户可通过 LRA 业务受理点完成证书业务的办理。21.采用 Kerberos 系统进行认证时,可以在报文中加入_来防止重放攻击。(分数:1.00)A.会话密钥B.时问戳 C.用户 IDD.私有密钥解析:解析 基于 Kerberos 协议的身份认证系统利用智能卡产生一次性密钥,可以防止窃听者捕获认证信息;为了防止会话劫持,该系统提供了连续加密机制。另外,报文中还加入了时间戳,用于防止重发攻击(Replay attack)。22.某公司局域网防火墙由包过
48、滤路由器 R 和应用网关 F 组成,如图 2-8 所示。下面描述错误的是_。 *(分数:1.00)A.可以限制计算机 c 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 协议从 Internet 上下载数据D.计算机 A 能够与膝上型计算机建立直接的 TCP 连接 解析:解析 该公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成,计算机 C 必须通过应用网关 F才能与膝上型计算机建立 TCP 连接。 通过在包过滤路由器上设置访问控制规则(ACL),可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址;对计算机 B 仅开放 TCP 80 端口,使它只能访问 Internet 的 Web 服务;禁止计算机 B 的 TCP 20/21 端口,限制它使用 FTP 协议从 Internet 上下载数据。23._不属于将入侵检测系统部署在 DMZ 中的优点。(分数:1.00)A.可以查看受保护区域主机被攻击的状态B.可以检测防火墙系统的策略配置是否合理C.可以检测 DMZ 被黑客攻击的重点D.可以审计
