1、西南大学 网络与继续教育学院课程代码: 0836 学年学季:20192窗体顶端单项选择题1、以下哪一个选项不是网络安全管理的原则(). 多人负责制. 任期有限. 职责分离. 最大权限2、隔离是操作系统安全保障的措施之一。下列哪一项不属于安全隔离措施(). 物理隔离. 时间隔离. 分层隔离. 密码隔离3、安全员日常工作包括:(). 保障本单位KILL服务器的正常运行. 保障一机两用监控端的正常运行. 定时整理本单位IP地址,并将IP地址变更情况及时上报. 以上均是4、计算机应急响应协调中心的英文缩写是(). CERT. SANS. ISSA. OSCE5、一个用户通过验证登录后,系统需要确定该用
2、户可以做些什么,这项服务是(). 认证. 访问控制. 不可否定性. 数据完整性6、下列选项中,不是认证技术所能提供的服务是(). 验证消息在传送或存储过程中是否被篡改. 验证消息收发者是否持有正确的身份认证符. 验证消息序号和操作时间是否正确. 验证消息在传输过程中是否被窃听7、系统通过验证用户身份,进而确定用户的权限,这项服务是(). 报文认证. 访问控制. 不可否定性. 数据完整性8、数字签名通常使用以下哪种方式(). 公钥密码体系中的公开密钥与Hash结合. 密钥密码体系. 公钥密码体系中的私人密钥与Hash结合. 公钥密码体系中的私人密钥9、为了防止网络传输中的数据被篡改,应采用().
3、 数字签名技术. 消息认证技术. 数据加密技术. 身份认证技术10、在电子商务中,为了防止交易一方对自己的网络行为抵赖,应采用(). 数字签名技术. 消息认证技术. 数据加密技术. 身份认证技术11、下面关于数字证书的描述中,错误的是 (). 证书上列有证书授权中心的数字签名. 证书上列有证书拥有者的基本信息. 证书上列有证书拥有者的公开密钥. 证书上列有证书拥有者的秘密密钥12、下面关于数字证书的描述中,错误的是 (). 证书上具有证书授权中心的数字签名. 证书上列有证书拥有者的基本信息. 证书上列有证书拥有者的公开密钥. 证书上列有证书拥有者的秘密密钥13、PKI基于以下哪种方式保证网络通
4、讯安全(). 公开密钥加密算法. 对称加密算法. 加密设备. 其它14、以下有关PKI密钥更新的描述中,错误的是( ). 密钥使用次数越多越不安全,所以需要定期更新. 出于密码破解技术的提高,密钥不能无限期使用. 过期的密钥已无用,所以应及时进行销毁. 证书更新应自动完成,对用户透明15、Kerberos协议中应用的加密方式为(). 对称加密. 非对称加密. HASH加密. 单向加密16、下列选项中,不是VPN所能提供的服务是(). 通过加密技术提供的保密性. 通过认证技术提供的真实性. 通过数字签名提供的不可否认性. 通过密钥交换技术协商密钥17、以下对IDS的描述中,错误的是(). IDS
5、既可监控外部攻击,也可监控内部攻击. IDS要串联在网络上,会极大影响网络性能. IDS独立于监控对象,系统被攻破并不影响IDS. IDS检测到未授权活动后,可自动中断网络连接18、下列对入侵检测系统的描述中,正确的是(). 入侵检测工具只能监控单位内部网络,不能监控单位外部网络. 入侵检测工具可以实时地监控网络,发现已知和未知的攻击. 入侵检测工具独立于监控对象,攻击者即使成功穿透了系统,也不会破坏这些工具. 检测到未授权活动后,软件可以自主决定作何反应,采取相应措施19、对于IDS入侵检测系统来说,必须具有( ). 应对措施. 响应手段或措施. 防范政策. 响应设备20、为弥补防火墙不能检
6、测内部攻击的不足,通常在企业内部要布署(). IDS. Kerckhoffs. VPN. 杀毒软件21、如果内部网络的地址网段为192.168.1.0/24 ,需要用到下列哪个功能,才能使用户上网(). 地址学习. 地址转换. IP地址和MAC地址绑定功能. URL过滤功能22、保证网络安全是使网络得到正常运行的保障,以下哪一个说法是错误的(). 绕过防火墙,私自和外部网络连接,可能造成系统安全漏洞. 越权修改网络系统配置,可能造成网络工作不正常或故障. 有意或无意地泄露网络用户或网络管理员口令是危险的. 解决来自网络内部的不安全因素必须从技术方面入手23、以下有关包过滤技术的描述中,错误的是
7、( ). 允许内外网间IP包直接交互. 从网络层次看工作在网络层. 通常都是基于硬件实现的. 与代理服务相比速度要慢些24、以下有关代理服务技术的描述中,正确的是(). 允许内外网间IP包直接交互. 从网络层次看工作在网络层. 通常都是基于硬件实现的. 与包过滤相比速度要慢些25、以下有关防火墙的描述中,错误的是( ). 防火墙是一种主动的网络安全防御措施. 防火墙可有效防范外部攻击. 防火墙不能防止内部人员攻击. 防火墙拓扑结构会影响其防护效果26、以下指标中,可以作为衡量密码算法加密强度的是(). 计算机性能. 密钥个数. 算法保密性. 密钥长度27、下面哪一种算法属于对称加密算法().
8、DES. RSA. ECC. SA28、下面哪一种算法属于非对称加密算法(). ES. Rijindael. RSA. ES29、以下哪个选项是对称密钥密码体制的特点( ). 加解密速度快. 密钥不需传送. 密钥管理容易. 能实现数字签名30、以下协议中,哪种协议利用了握手机制来协商加密方式(). 安全 RPC. SOCK5. SSL. MD531、下列关于密码学作用的描述中,错误的是( ). 加密信息,使非授权用户无法知道消息的内容. 消息接收者能通过加解密来确认消息的来源. 消息接收者能通过密码技术来确认消息在传输中是否被改变. 通过密码学可提供完全的安全保障32、下面选项中,使用了公钥密
9、码体制的是(). SSL. SOCK5. Kerberos. MD533、下列选项中,不属于HASH算法的是(). ECC. MD4. MD5. SHA34、密码分析者不仅知道一些消息的密文,还知道个别密文块对应的明文,试图推导出加密密钥或算法,这种攻击被称为(). 惟密文攻击. 已知明文攻击. 选择明文攻击. 选择密文攻击35、以下哪些做法可以增强用户口令的安全性( ). 选择由全英文字母组成的口令. 选择由全数字组成的口令. 选择与自己身份相关的口令,以免忘记. 选择无规律的口令36、关于屏蔽子网防火墙,下列说法错误的是 (). 屏蔽子网防火墙是几种防火墙类型中最安全的. 屏蔽子网防火墙既
10、支持应用级网关也支持电路级网关. 内部网对于Internet来说是不可见的. 内部用户可以不通过DMZ直接访问Internet37、以下加密方式中能同时提供保密性和鉴别性的有( ). 用自己私钥加密报文传给B. A用自己公钥加密报文传给B. A用B的公钥加密报文传给B. A用自己私钥加密报文. 再用B的公钥加密报文传给B38、下列现象中,哪一个不可能是计算机病毒活动的结果(). 磁盘上出现大量磁盘碎片. 可用内存空间减少,使原来可运行的程序不能运行. 计算机运行速度明显减慢,系统死机现象增多. 在屏幕上出现莫名其妙的提示信息,发出不正常的声音39、目前在各种恶意程序中,危害最大的是 (). 恶
11、作剧程序. 细菌程序. 宏病毒. 木马与蠕虫40、一次字典攻击能否成功,很大因素上决定于( ). 字典文件. 计算机速度. 网络速度. 黑客学历41、下面选项中,不属于DoS攻击的是(). SYN湮没. SMURF攻击. TEARDro. 缓冲区溢出42、诈骗份子伪建了一个建设银行的网站,用于骗取用户的银行帐号,这种攻击属于(). 假冒攻击. 网络钓鱼攻击. 后门攻击. 恶意访问攻击43、以下行为中,属于被动攻击的是( ). 重放攻击. 口令嗅探. 拒绝服务. 物理破坏44、以下行为中,属于主动攻击的是( ). 网络监听. 口令嗅探. 拒绝服务. 信息收集45、以下有关内部人员攻击的描述中,错
12、误的是(). 比外部攻击更容易实施. 不一定都带有恶意目的. 相比外部攻击更不易检测和防范. 可采取防火墙技术来避免46、以下关于数据保密性的论述中,正确的是(). 保证发送接收数据的一致性. 确定信息传送用户身份真实性. 保证数据内容不被未授权人得知. 控制网络用户的访问类型47、进不来拿不走看不懂改不了走不脱是网络信息安全建设的目的。其中,拿不走是指下面那种安全服务(). 数据加密. 身份认证. 数据完整性. 访问控制48、计算机系统的实体安全是指保证(). A. 安装的操作系统安全. B. 操作人员安全. C. 计算机系统硬件安全. D. 计算机硬盘内的数据安全判断题49、访问控制是网络
13、防范和保护的主要策略。. A. B.50、最小特权、纵深防御是网络安全原则之一。. A. B.51、发现木马,首先要在计算机的后台关掉其程序的运行。. A. B.52、CA机构能够提供证书签发、证书注销、证书更新和信息加密功能. A. B.53、我的公钥证书是不能在网络上公开的,否则其他人可能假冒我的身份或伪造我的数字签名。. A. B.54、使用最新版本的网页浏览器软件可以防御黑客攻击。. A. B.55、电脑上安装越多套防毒软件,系统越安全. A. B.56、用户名或用户帐号是所有计算机系统中最基本的安全形式。. A. B.57、我们通常使用SMTP协议用来接收E-MAIL。. A. B.
14、58、发送方使用AH协议处理数据包,需要对整个IP的数据包计算MAC,包括IP头的所有字段和数据。. A. B.59、在SSL握手协议的过程中,Server-Hello消息必须包含服务器的公钥证书。. A. B.60、非法访问一旦突破数据包过滤型防火墙,即可对主机上的漏洞进行攻击。. A. B.61、误用检测虽然比异常检测的准确率高,但是不能检测未知的攻击类型。. A. B.62、一个好的加密算法安全性依赖于密钥安全性. A. B.主观题63、数字信封参考答案:非对称体制密钥传送方便,但加解密速度较慢,对称体制加解密速度快,但密钥传送困难,为解决这一问题,通常将两者结合起来使用(2分)。即用对
15、称加密体制(如DES)加密数据,而用收方非对称体制(如RSA)中的公开钥加密DES密钥,再一起发送给接收者,接收者用自己的私钥解密DES密钥,再用DES密钥解密数据。这种技术被称为数字信封。 64、什么是数字签名?其基本要求是什么?有哪些基本的数字签名方法?参考答案:数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文,作为相应明文的签名,使明文信息的接收者能够验证信息确实来自合法用户,以及确认信息发送者身份。对数字签名的基本要求有:(1)签名接收者能容易地验证签字者对消息所做的数字签名;(2)任何人,包括签名接收者,都不能伪造签名者的签字;(3)发生争议时,可由第三方解决争议。数字签
16、名基本分类:(1)直接数字签名:仅涉及通信方(信源、信宿),假定信宿知道信源的公开密钥,数字签名通过信源对整个报文用私有密钥加密,或对报文的摘要加密来实现。弱点在于方案的有效性依赖于信源私有密钥的安全性。(2)需仲裁的数字签名:直接数字签名的问题可以通过仲裁解决,签名方的签名报文首先送给仲裁者,仲裁者对报文和签名进行测试以检验出处和内容,然后注上日期和仲裁说明后发给接收方。 65、试述你是如何理解信息安全领域“三分技术,七分管理”这名话的。参考答案:虽然目前有众多的安全产品,但没有任何一种能提供全方位的解决方案。1)防病毒软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行的恶意破坏,
17、也不能保护机构免受另一类合法用户的破坏。2)访问控制:不会阻止人们利用系统脆弱点以管理员身份获得对系统的访问并查看系统文件3)防火墙:不会阻止攻击者使用一个允许的连接进行攻击。也不能防止内部攻击。4)入侵检测:不能检测出合法用户对信息的非正常访问。支持自动保护功能的入侵检测系统还可以带来附加的安全问题。如系统配置为阻止某个攻击地址的访问,之后会发现某用户的通信被错误识别为攻击通信,则其再无法与你通信了。5)策略管理:可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能导致侵入。计算机上的策略管理也不能保证用户不写下他们的密码或将密码提供给未经授权的人。6)薄弱点扫描:本身并不会保护计算机系
18、统,需在找出薄弱点后采取安全措施。该方法也不会发现合法用户进行的不正当访问,也不能发现已经进入系统、查找配置文件或补丁程序的弱点的入侵者。7)加密:加密系统并不能分辨提交了同样加密算法密钥的用户是合法还是非法用户。加密本身不能提供安全保障,还必须对加密密钥和系统有一个整体控制。8)物理安全机制:不能保护系统不受到合法访问进行的攻击或通过网络实施的攻击。所以安全技术和产品只是安全实践活动的一部分,是实现安全需求的手段,还应包括:制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,按照既定安全策略和流程规范来实施、维护和审查安全措施。信息安全并不是技术过程,而是管理过程。 66
19、、个网络管理假如你是一员,请假定网络场景,说明你会采取哪些措施来构建网络安全体系,这些措施各有什么作用。参考答案:将重要设备放入专门房间,保持良好环境,有专入制度,保证物理安全;l在网关出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高可以使用硬件防火墙。l在防火墙后面使用IDS,与防火墙配合使用,以加强内网安全。l将所有服务器放置在专门的DMZ区域。l对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。l做好操作系统、数据库系统、应用软件升级维护,做好数据备份,保障数据安全;l购买正版杀毒软件并及时升级;l对外通信采用IPSec或SSL等VPN加密技术,保障通信安全;l为系统设置安全口令,做好访问控制,保障系统使用安全;l建立完善的安全管理制度、审计制度、建立应急响应机构和机制;l做好内部安全监管、安全培训等。67、试全面论述防火墙技术的优势与不足。参考答案:优势:1)所有网络信息流都经过防火墙;2)通过安全策略和计划允许或禁止信息流的通过;3)防止入侵者接近其他网络设施;4)防火墙理论上是不能穿透的。不足:1)不能防范不通过网络的信息泄露,如内部攻击;2)不能防范不通过防火墙的连接;3)不能防范病毒;4)无法防范由于设置错误而出现的信息泄露;窗体底端
