《信息安全习题 附答案解析》.pdf

WORD 资料整理 完美格式可编辑 安全体系结构与模型一、选择题1. 网络安全是在分布网络环境中对（ D）提供安全保护 A. 信息载体 B. 信息的处理、传输 C. 信息的存储、访问 D. 上面 3 项都是2. ISO 7498-2 从体系结构观点描述了 5 种安全服务，以下不属于这 5 种安全服务的是（B ） A. 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性3. ISO 7498-2 描述了 8 种特定的安全机制，以下不属于这 8 种安全机制的是（A ） A. 安全标记机制 B. 加密机制 C. 数字签名机制 D. 访问控制机制4. 用于实现身份鉴别的安全机制是（A ） A. 加密机制和数字签名机制 B. 加密机制和访问控制机制 C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制5. 在 ISO/OSI 定义的安全体系结构中，没有规定（E ） A. 对象认证服务 B.数据保密性安全服务 C. 访问控制安全服务 D. 数据完整性安全服务 E. 数据可用性安全服务6. ISO 定义的安全体系结构中包含（ B）种安全服务 A. 4 B. 5 C. 6 D. 77. （ D ）不属于 ISO/OSI 安全体系结构的安全机制。

A. 通信业务填充机制 B. 访问控制机制 C. 数字签名机制 D. 审计机制 E. 公证机制8. ISO 安全体系结构中的对象认证服务，使用（ B）完成 A. 加密机制 B. 数字签名机制 C. 访问控制机制 D. 数据完整性机制9. CA 属于 ISO 安全体系结构中定义的（D ） A. 认证交换机制 B. 通信业务填充机制 C. 路由控制机制 D. 公证机制10. 数据保密性安全服务的基础是（D ） A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制11. 可以被数据完整性机制防止的攻击方式是（D ） A. 假冒源地址或用户的地址欺骗攻击 B. 抵赖做过信息的递交行为 C. 数据中途被攻击者窃听获取 D. 数据在途中被攻击者篡改或破坏二、填空题GB/T 9387.2-1995 定义了 5 大类 安全服务 ，提供这些服务的 8 种 安全机制 以及相应的开放系统互连的安全管理，并可根据具体系统适当地配置于 OSI 模型的七层协议中三、问答题列举并解释 ISO/OSI 中定义的 5 种标准的安全服务1）鉴别 用于鉴别实体的身份和对身份的证实，包括对等实体鉴别和数据原发鉴别两种。

2）访问控制 提供对越权使用资源的防御措施3）数据机密性 针对信息泄露而采取的防御措施分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种4）数据完整性防止非法篡改信息，如修改、复制、插入和删除等分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种 WORD 资料整理 完美格式可编辑 （5）抗否认是针对对方否认的防范措施， 用来证实发生过的操作 包括有数据原发证明的抗否认和有交付证明的抗否认两种密钥分配与管理一、填空题1密钥管理的主要内容包括密钥的 生成、分配、使用、存储、备份、恢复和销毁2. 密钥生成形式有两种：一种是由 中心集中 生成，另一种是由 个人分散 生成密钥的分配是指产生并使使用者获得 密钥 的过程密钥分配中心的英文缩写是 KDC 数字签名与鉴别协议一、选择题1. 数字签名要预先使用单向 Hash 函数进行处理的原因是（C ） A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文二、问答题1. 数字签名有什么作用？当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端： 否认，发送方不承认自己发送过某一报文。

伪造，接收方自己伪造一份报文，并声称它来自发送方 冒充，网络上的某个用户冒充另一个用户接收或发送报文 篡改，接收方对收到的信息进行篡改2. 请说明数字签名的主要流程数字签名通过如下的流程进行：(1) 采用散列算法对原始报文进行运算， 得到一个固定长度的数字串， 称为报文摘要(Message Digest)，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名3) 这个数字签名将作为报文的附件和报文一起发送给接收方4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改3. 数字证书的原理是什么？数字证书采用公开密钥体制（例如 RSA） 每个用户设定一仅为本人所知的私有密钥，用它进行解密和签名；同时设定一公开密钥，为一组用户所共享，用于加密和验证签名。

采用数字证书，能够确认以下两点：(1) 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认2) 保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息身份认证一、选择题 WORD 资料整理 完美格式可编辑 1. 身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是（ B ） A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制2. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（ C ） A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证二、填空题身份认证是验证 信息发送者是真的 ，而不是冒充的，包括信源、信宿等的认证和识别三、问答题解释身份认证的基本概念身份认证是指用户必须提供他是谁的证明， 这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。

一旦身份认证系统被攻破， 系统的所有安全措施将形同虚设，黑客攻击的目标往往就是身份认证系统PKI 技术一、选择题1. PKI 支持的服务不包括（D ） A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务2. PKI 的主要组成不包括（ B） A. 证书授权 CA B. SSL C. 注册授权 RA D. 证书存储库 CR3. PKI 管理对象不包括（A ） A. ID 和口令 B. 证书 C. 密钥 D. 证书撤消4. 下面不属于 PKI 组成部分的是（ D） A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS5. PKI 能够执行的功能是（A ）和（C ） A. 鉴别计算机消息的始发者 B. 确认计算机的物理位置C. 保守消息的机密 D. 确认用户具有的安全性特权二、问答题1. 什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件认证中心(CA)作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。

认证中心颁发的数字证书均遵循 X.509 V3 标准X.509 标准在编排公共密钥密码格式方面已被广为接受 X.509 证书已应用于许多网络安全， 其中包括 IPSec(IP安全)、SSL、SET、S/MIME2. 简述认证机构的严格层次结构模型的性质？层次结构中的所有实体都信任惟一的根 CA 在认证机构的严格层次结构中， 每个实体(包括中介 CA 和终端实体)都必须拥有根 CA 的公钥，该公钥的安装是在这个模型中为随后进行的所有通信进行证书处理的基础，因此，它必须通过一种安全（带外）的方式来完成 值得注意的是，在一个多层的严格层次结构中终端实体直接被其上层的 CA 认证(也 WORD 资料整理 完美格式可编辑 就是颁发证书)，但是它们的信任锚是另一个不同的 CA (根 CA)Web 与电子商务的安全一、选择题1. SSL 产生会话密钥的方式是（C ） A. 从密钥管理数据库中请求获得 B. 每一台客户机分配一个密钥的方式 C. 随机由客户机产生并加密后通知服务器 D. 由服务器产生并分配给客户机2. （ C）属于 Web 中使用的安全协议 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL3. 传输层保护的网络采用的主要技术是建立在（ A）基础上的（ A） 。

A. 可靠的传输服务，安全套接字层 SSL 协议 B. 不可靠的传输服务，S-HTTP 协议 C. 可靠的传输服务， S-HTTP 协议 D. 不可靠的传输服务，安全套接字层 SSL 协议二、问答题简述一个成功的 SET 交易的标准流程1) 客户在网上商店选中商品并决定使用电子钱包付款， 商家服务器上的 POS 软件发报文给客户的浏览器要求电子钱包付款2) 电子钱包提示客户输入口令后与商家服务器交换“握手”消息，确认客户、商家均为合法，初始化支付请求和支付响应3) 客户的电子钱包形成一个包含购买订单、支付命令(内含加密了的客户信用卡号码)的报文发送给商家4) 商家 POS 软件生成授权请求报文(内含客户的支付命令)，发给收单银行的支付网关5) 支付网关在确认客户信用卡没有超过透支额度的情况下， 向商家发送一个授权响应报文6) 商家向客户的电子钱包发送一个购买响应报文，交易结束，客户等待商家送货上防火墙技术VPN 技术一、选择题1不属于隧道协议的是（ C ） A. PPTP B. L2TP C. TCP/IP D. IPSec2.不属于 VPN 的核心技术是（ C ） A. 隧道技术 B. 身份认证 C. 日志记录 D. 访问控制3目前，VPN 使用了（ ）技术保证了通信的安全性。

A 隧道协议、身份认证和数据加密 B 身份认证、数据加密C 隧道协议、身份认证 D 隧道协议、数据加密二、问答题1. 解释 VPN 的基本概念VPN 是 Virtual Private Network 的缩写，是将物理分布在不同地点的网络通过公用骨干网，尤其是 Internet 连接而成的逻辑上的虚拟子网 Virtual 是针对传统的企业“专用网络”而言的VPN 则是利用公共网络资源和设备建立一个逻辑上的专用通道， 尽管没有自己的专用线路， 但它却可以提供和专用网络同样的功能 Private 表示 VPN 是被特定企业或用户私有的，公共网络上只有经过授权的用户才可以使用在该通道内传输的数据经过了加密和认证，保证了传输内容的完整性和机密性 安全扫描技术 WORD 资料整理 完美格式可编辑 一、问答题1. 简述常见的黑客攻击过程1 目标探测和信息攫取 先确定攻击日标并收集目标系统的相关信息 一般先大量收集网上主机的信息， 然后根据各系统的安全性强弱确定最后的目标1) 踩点（Footprinting） 黑客必须尽可能收集目标系统安全状况的各种信息 Whois 数据库查询可以获得很多关于目标系统的注册信息，DNS 查询(用 Windows/UNIX 上提供的 nslookup 命令客户端)也可令黑客获得关于目标系统域名、IP 地址、DNS 务器、邮件服务器等有用信息。

此外还可以用 traceroute 工具获得一些网络拓扑和路由信息2) 扫描（Scanning）在扫描阶段， 我们将。