信息安全原理new

《信息安全原理new》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

在Windows2000网络中有两种主要的帐号类型:　　域用户账号　　和　　本地用户账号　　。.E-mail系统主要由　　邮件分发代理　、邮件传输代理、邮件用户代理及　邮件工作站　　组成。.电子邮件安全技术主要包括　　身份证认证技术、　加密签名技术、　协议过滤技术、　防火墙技术和　　邮件病毒过滤技术　。.移位和置换是密码技术的基础，如果采用移位算法，遵循以下规则：1→G、2→I、3→K、4→M、5→O、6→Q；则235经过移位转换之后的密文是__IKQ_______。.Windows系统安全模型由登录流程、本地安全授权　、　安全账号管理器和　安全引用监视器　组合而成。.注册表是按照　　子树　、　项　、子项和　值　　组成的分层结构。实际上注册表只有两个子树:　HKEY_LOCAL_MACHINE　　和　HKEY_USERS　　，但为了便于检索，用注册表编辑器打开注册表时，展现为五个子树，这些子树的总体组成了Windows中所有的系统配置。..MD5算法生成的Hash值为_128位________位。分组密码的结构一般可以分为feistel网络结构和_ＳＰ网络结构___________两种。.一次一密机制主要有两种实现方式：采用请求/应答方式和___采用时钟同步机制_________________。.PKI的基础技术包括加密、_____数字签名_______、数据完整性机制、数字信封、双重数字签名等。.DES是分组长度为___56______比特的分组密码算法。.ECC算法属于____非对称_____体制加密算法。.密码体制从原理上可分为对称密码体制和___非对称密码体制或公开密钥密码体制_________体制两大类一、判断题一、判断题1.基于规则的方法就是在邮件标题和邮件内容中寻找特定的模式，其优点是规则可以共享，因此它的推广性很强。√2.反向查询方法可以让接收邮件的互联网服务商确认邮件发送者是否就是如其所言的真实地址。√3.SenderID可以判断出电子邮件的确切来源￠因此，可以降低垃圾邮件以及域名欺骗等行为发生的可能。√4.DKIM(DomainkeysIdentifiedMail)技术以和Domainkeys相同的方式用DNS发布的公开密钥验证签名，并且利用思科的标题签名技术确保一致J性。√5.运行防病毒软件可以帮助防止遭受网页仿冒欺诈。√6.由于网络钓鱼通常利用垃圾邮件进行传播，因此，各种反垃圾邮件的技术也都可以用来反网络钓鱼。√7.网络钓鱼的目标往往是细心选择的一些电子邮件地址。√8.如果采用正确的用户名和口令成功登录网站，则证明这个网站不是仿冒的。×9.在来自可信站点的电子邮件中输入个人或财务信息是安全的。×10.包含收件人个人信息的邮件是可信的。11.可以采用内容过滤技术来过滤垃圾邮件。√12.黑名单库的大小和过滤的有效性是内容过滤产品非常重要的指标。√13.随着应用环境的复杂化和传统安全技术的成熟，整合各种安全模块成为信息安全领域的一个发展趋势√14启发式技术通过查找通用的非法内容特征，来尝试检测新形式和已知形式的才肤内容。√15.白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。√16.实时黑名单是简单黑名单的进一步发展，可以从根本上解决垃圾邮件问题。×17.贝叶斯过滤技术具有自适应、自学习的能力，目前已经得到了广泛的应用。√ 18.对网页请求参数进行验证，可以防止SQL注入攻击。√1.防火墙是设置在内部网络与外部网络(如互联网)之间，实施访问控制策略的一个或一组系统√2.组成自适应代理网关防火墙的基本要素有两个:自适应代理服务器(AdaptiveProxysewer)与动态包过滤器(DynamicPacketFilter)。√3.软件防火墙就是指个人防火墙。×4.网络地址端口转换(NMT)把内部地址映射到外部网络的一个IE地址的不同端口上√5.防火墙提供的透明工作模式，是指防火墙工作在数据链路层，类似于一个网桥。因此，不需要用户对网络的拓扑做出任何调整就可以把防火墙接入网络。√6.防火墙安全策略一旦设定，就不能在再做任何改变。×7.对于防火墙的管理可直接通过Telmt进行。×8.防火墙规则集的内容决定了防火墙的真正功能。√9.防火墙必须要提供VPN、NAT等功能。×10.防火墙对用户只能通过用户名和口令进行认证。×11.即使在企业环境中，个人防火墙作为企业纵深防御的一部分也是十分必要的。√12.只要使用了防火墙，企业的网络安全就有了绝对的保障。×13.防火墙规则集应该尽可能的简单,-规则集越简单，错误配置的可能性就越小，系统就越安全。√14.iptables可配置具有状态包过滤机制的防火墙。√15.可以将外部可访问的服务器放置在内部保护网络中。×16.在一个有多个防火墙存在的环境中，每个连接两个防火墙的计算机或网络都是DMZ。√17.入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。√18.主动响应和被动响应是相互对立的，不能同时采用。×19.异常入侵检测的前提条件是入侵性活动集作为异常活动集的子集，而理想状况是异常活动集与入侵性活动集相等。√20.针对入侵者采取措施是主动响应中最好的响应措施。×21.在早期大多数的入侵检测系统中，入侵响应都属于被动响应。√22.性能"瓶颈"是当前入侵防御系统面临的一个挑战。√23.漏报率，是指系统把正常行为作为入侵攻击而进行报警的概率。×24.与入侵检测系统不同，入侵防御系统采用在线Online)方式运行。√25.蜜罐技术是一种被动响应措施。×26.企业应考虑综合使用基于网络的入侵检测系统和基于主机的入侵检测系统来保护企业网络。在进行分阶段部署时，首先部署基于网络的入侵检测系统，因为它通常最容易安装和维护，接下来部署基于主机的入侵检测系统来保护至关重要的服务器。√27.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。×28.使用误用检测技术的入侵检测系统很难检测到新的攻击行为和原有攻击行为的变种。√29.在早期用集线器(hub)作为连接设备的网络中使用的基于网络的入侵检测系统,在交换网络中不做任何改变，一样可以用来监昕整个子网。×30.可以通过技术手段，一次性弥补所有的安全漏洞。×31.漏洞只可能存在于操作系统中，数据库等其他软件系统不会存在漏洞。× 32.防火墙中不可能存在漏洞。×33.基于主机的漏洞扫描不需要有主机的管理员权限。×34.半连接扫描也需要完成TCP协议的三次握手过程。×35.使用漏洞库匹配的方法进行扫描，可以发现所有的漏洞。×36.所有的漏洞都是可以通过打补丁来弥补的。×37.通过网络扫描，可以判断目标主机的操作系统类型。√38.x-scan能够进行端口扫描。√39.隔离网闸采用的是物理隔离技术。√40."安全通道隔离"是一种逻辑隔离。×41.隔离网闸两端的网络之间不存在物理连接。√42.QQ是与朋友联机聊天的好工具，不必担心病毒。×43.在计算机上安装防病毒软件之后，就不必担心计算机受到病毒攻击。×44.计算机病毒可能在用户打开"txt"文件时被启动。√45.在安全模式下木马程序不能启动。×46.特征代码技术是检测已知计算机病毒的最简单、代价最小的技术。√47.家里的计算机没有联网，所以不会感染病毒。×48.计算机病毒的传播离不开人的参与，遵循一定的准则就可以避免感染病毒。×49.校验和技术只能检测已知的计算机病毒。×50.采用Rootkit技术的病毒可以运行在内核模式中。√51.企业内部只需在网关和各服务器上安装防病毒软件，客户端不需要安装×52.大部分恶意网站所携带的病毒就是脚本病毒。√53.利用互联网传播已经成为了计算机病毒传播的一个发展趋势√1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2.计算机场地可以选择在公共区域人流量比较大的地方。×3.计算机场地可以选择在化工厂生产车间附近。×4.计算机场地在正常情况下温度保持在18~28摄氏度。√5.机房供电线路和动力、照明用电可以用同一线路。×6.只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。×7.备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。√8.屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。√9.屏蔽室的拼接、焊接工艺对电磁防护没有影响。×10.由于传输的内容不同，电力线可以与网络线同槽铺设。×11.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12.新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。√13.TEMPEST技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14.机房内的环境对粉尘含量没有要求。×15.防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。√16.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√17.纸介质资料废弃应用碎纸机粉碎或焚毁。√第三章容灾与数据备份一、判断题1.灾难恢复和容灾具有不同的含义。×2.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√3.对目前大量的数据备份来说，磁带是应用得最泞的介质。√4.增量备份是备份从上J知韭行完全备份后更拔的全部数据文件。×5.容灾等级通用的国际标准SHARE78将容灾分成了六级。×6.容灾就是数据备份。×7.数据越重要，容灾等级越高。√8.容灾项目的实施过程是周而复始的。√9.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。×10.SAN针对海量、面向数据块的数据传输，而NAS则提供文件级的数据访问功能。√11.廉价磁盘冗余阵列(RAID),基本思想就是将多只容量较小的、相对廉价的硬盘进行有机组合，使其性能超过一只昂贵的大硬盘。√基础安全技术一、判断题1.对称密码体制的特征是:加密密钥末日解密密钥完全相同，或者一个密钥很容易从另一个密钥中导出√2.公钥密码体制算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。√3.公钥密码体制有两种基本的模型:一种是加密模型，另一种是认证模型。√4.对信息的这种防篡改、防删除、防插入的特性称为数据完整性'保护。√5.P阻是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设施。√系统安全一、判断题1.常见的操作系统包括DOS、OS/2、τUNIX、XENIX、LinukWindows、Netware、Oracle等。×2.操作系统在概念上一般分为两部分:内核(Kernel)以及壳(SheIl),有些操作系统的内核与壳完全分开(如MicrosoftWindows、UNIX、Linux等);另一些的内核与壳关系紧密(如UNIX、Linux等λ内核及壳只是操作层次上不同而已。×3.Windows系统中，系统中的用户帐号可以由任意系统用户建立。用户帐号中包含着用户的名称与密码、用户所属的组、用户的权利和用户的权限等相关数据。×4.Windows系统的用户帐号有两种基本类型:全局帐号(GlobalAccounts)和本地帐号(healAccounts)√5.本地用户组中的Users(用户)组成员可以创建用户帐号和本地组，也可以运行应用程序， 但是不能安装应用程序，也可以关闭和锁定操作系统。×6.本地用户组中的Guests-(来宾用户)组成员可以登录和运行应用程序，也可以关闭操作系统，但是其功能比Users有更多的限制。√7.域帐号的名称在域中必须是唯一的，而且也不能和本地帐号名称相同，否则会引起混乱。×8.全局组是由本域的域用户组成的，不能包含任何组，也不能包含其他域的用户，全局组能在域中任何一台机器上创建。×9.在默认情况下，内置DomainAdmins全局组是域的Administrators本地组的一个成员,也是域中每台机器Administrator本地组的成员o√10.WindowsXP帐号使用密码对访问者进行身份验证，密码是区分大小写的字符串，最多可包含16个字符。密码的有效字符是字母、数字、中文和符号。×11.如果向某个组分配了权限，则作为该组成员的用户也具有这一权阪OA例如，如果BackupOperators组有此权限，而his又是该组成员，则his也有此权限。√12.Windows文件系统中，只有Administrator组和SewerOperation组可以设置和去除共享目录，并且可以设置共享目录的访问权限。×13.远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文件目录自身的权限设置。用户对共享所获得的最终访问权限将取决于共享的权限设置和目录的本地权限设置中宽松一些的条件。×14.对于注册表的访问许可是将访问权限赋予计算机系统的用户组，如Administrator、Users、Creator/Owner组等。√15.系统日志提供了一个颜色符号来表示问题的严重程疫，其中一个中间有字母"!"的黄色圆圈(或三角形)表示信息性问题，一个中间有字母"i"的蓝色圆圈表示一次警告，而中间有"stop"字样(或符号叉)的红色八角形表示严重问题。×16.光盘作为数据备份的媒介优势在于价格便宜、速度快、容量大。×17.Windows防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，但该防火墙不能检测或清除已经感染计算机的病毒和蠕虫√18.Web站点访问者实际登录的是该Web服务器的安全系统,"匿名"Web访问者都是以IUSR帐号身份登录的。√19.UNIX的开发工作是自由、独立的，完全开放源、码，由很多个人和组织协同开发的。UNIX只定义了个操作系统内核。所有的UNIX发行版本共享相同的内核源，但是，和内核一起的辅助材料则随版本不同有很大不同。×20.每个UNIX/Linux系统中都只有一个特权用户，就是root帐号。×21.与Windows系统不一样的是UNIXAAinux操作系统中不存在预置帐号。×22.UNIX/IAinux系统中一个用户可以同时属于多个用户组。√23.标准的UNIX/Limk系统以属主(Omer)、属组(Group)、其他人(World)三个粒度进行控制。特权用户不受这种访问控制的限制。√24.UNIX/Linux系统中，设置文件许可位以使得文件的所有者比其他用户拥有更少的权限是不可能的。×25.UNIX/Linux系统和Windows系统类似，每一个系统用户都有一个主目录。√26.UNIX/Linux系统加载文件系统的命令是mount,所有用户都能使用这条命令。×27.UNIXAm1x系统中查看进程信息的who命令用于显示登录到系统的用户情况，与w命令不同的是,who命令功能更加强大,who命令是w命令的一个增强版。×28.Httpd.conf是Web服务器的主配置文件，由管理员进行配置,Sm.cod是Web服务器的资源配置文件,Access-cod 是设置访问权限文件。√29.一个设置了粘住位的目录中的文件只有在用户拥有目录的写许可，并且用户是文件和目录的所有者的情况下才能被删除。×30.UNIX/ImIX系统中的/etdshadow文件含有全部系统需要知道的关于每个用户的信息(加密后的密码也可能存于/etdpasswd文件中)。×31.数据库系统是一种封闭的系统，其中的数据无法由多个用户共享。×32.数据库安全只依靠技术即可保障。×33.通过采用各种技术和管理手段，可以获得绝对安全的数据库系统。×34.数据库的强身份认证与强制访问控制是同一概念。×35.用户对他自己拥有的数据，不需要有指定的授权动作就拥有全权管理和操作的权限。√36.数据库视图可以通过INSERT或UPDATE语句生成。×37.数据库加密适宜采用公开密钥密码系统。√38.数据库加密的时候，可以将关系运算的比较字段加密。×39.数据库管理员拥有数据库的一切权限。√40.不需要对数据库应用程序的开发者制定安全策略。×41.使用登录ID登录SQLSewer后，即获得了访问数据库的权限。×42.MSSQLSewer与SybaseSQLSemr的身份认证机制基本相同。√43.SQLSewer不提供字段粒度的访问控制。×44.MySQL不提供字段粒度的访问控制。√45.SQLSewer中，权限可以直接授予用户ID√46.SQL注入攻击不会威胁到操作系统的安全。×47.事务具有原子性，其中包括的诸多操作要么全做，要么全不做。√48.完全备份就是对全部数据库数据进行备份。√二、单选题.数据加密文标准是指A.DES.消息认证码是(D)D.MAC.数字签名标准是指（A）A．DSSB.RSAC.ECC.美国国防部发布的可信计算机系统评估标准〈TCSEC)定义了个等级。CA.五B.六龟C.七D.八Windows系统的用户帐号有两种基本类型，分别是全局帐号和AA.本地帐号B.域帐号C.来宾帐号D.局部帐号Windows系统安装完后，默认情况下系统将产生两个帐号，分别是管理员帐号和二一。CA.本地帐号B.域帐号C.来宾帐号D.局部帐号.计算机网络组织结构中有两种基本结构，分别是域和A.用户组B.工作组C.本地组D.全局组一般常见的WIMNs操作系统与Iinux系统的管理员密码最大长度分别为一一一和一一D一。A.128B.1410、C.1210D.148 .符合复杂性要求的WihdowsXP帐号密码的最短长度为一B一一。A.4B.6C.8D.10.设置了强制密码历史后，某用户设置密码kedawu失败，该用户可能的原密码是一C一一。A.kedaB.kedaliuC.kedawujD.dawu.某公司的工作时间是上午8点半至12点，下午1点至5点半，每次系统备份需要一个半小时，下列适合作为系统数据备份的时间是一一D一。A.上午8点B.中午12点C.下午3点D.凌晨1点.Window系统中对所有事件进行审核是不现实的，下面不建议审核的事件是一C一一。A.用户登录及注销B.用户及用户组管理C.用户打开关闭应用程序D.系统重新启动和关机.在正常情况下,Windows2000中建议关闭的服务是一A一一。A.TCP/IPNetBIOSHelperServiceB.LogicalDiskManagerC.RemoteProcedureCallD.SecurityAccountsManager.FTP(文件传输协议,FileTransferProtocol,简称HP)服务、SMTP(简单邮件传输协议,SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协议,HyperTextTransportProtocol,简称HTTP)、HTIPS(加密并通过安全端口传输的另一种HTIm服务分别对应的端口是BA.252180554B.212580443C.2111080554D.2125443554.下面不是UNIX/L垃111x操作系统的密码设置原则的是A.密码最好是英文字母、数字、标点符号、控制字符等的结合DB.不要使用英文单词，容易遭到字典攻击C.不要使用自己、家人、宠物的名字D.一定要选择字符长度为8的字符串作为密码.UNIX/Linux操作系统的文件系统是结构。BA.星型B.树型C.网状D.环型.下面说法正确的是AA.UNIX系统中有两种NFS服务器，分别是基于内核的NFSDaemon和用户空间Daemon,其中安全性能较强的是基于内核的NFSDaemon下面不是UNIX/Linux系统中用来进行文件系统备份和恢复的命令是CA.tarB.cpioC.umaskD.backup.Backup命令的功能是用于完成UNIX/Linux文件的备份，下面说法不正确的是DA.BackupE-C命令用于进行完整备份B.Backup-p命令用于进行增量备份C.Backup-f命令备份由file指定的文件D.Backup-d命令当备份设备为磁带时使用此选项.UNIX工具(实用程序,utilities)在新建文件的时候，通常使用可位，而在新建程序的时候，通常使用作为缺省许可位。BA.555666B.666777C.777888D.888999.保障UNIX/Linux系统帐号安全最为关键的措施是AA.文件/etc/passwd和/etc/group必须有写保护B.删除〈etc/passwd、/etc/gmp C.设置足够强度的帐号密码D.使用shadow密码.UNIX/Linux系统中，下列命令可以将普通帐号变为mot帐号的是DA.chmod命令B./bin/passwd命令C.chgrp命令D./bin/su命令.有编辑/etdpasswd文件能力的攻击者可以通过把UID变为一B一一就可以成为特权用户。A.-1B.OC.1D.2下面不是保护数据库安全涉及到的任务是CA.确保数据不能被未经过授权的用户执行存取操作B.防止未经过授权的人员删除和修改数据C.向数据库系统开发商索要源代码，做代码级检查D.监视对数据的访问和更改等使用情况.下面不是数据库的基本安全机制的是DA.用户认证B.用户授权C.审计功能D.电磁屏蔽.关于用户角色，下面说法正确的是BA.SQLSewer中，数据访问权限只能赋予角色，而不能直接赋予用户B.角色与身份认证无关C.角色与访问控制无关D.角色与用户之间是一对一的映射关系下面原则是DBMS对于用户的访问存取控制的基本原则的是AA.隔离原则B.多层控制原则C.唯一性原则JD.自主原则.下面对于数据库视图的描述正确的是BB.可通过视图访问的数据不作为独特的对象存储，数据库内实际存储的是SELECT语句.有关数据库加密，下面说法不正确的是一一C一C.字符串字段不能加密.下面不是Oracle数据库提供的审计形式的是AA.备份审计B.语句审计C.特权审计D.模式对象设计.下面不是SQLSewer支持的身份认证方式的是一D一。A.WindowsNT集成认证B.SQLSewer认证C.SQLSewer混合认证D.生物认证.下面一一一不包含在MySQL数据库系统中。BA.数据库管理系统，即DBMSB.密钥管理系统C.关系型数据库管理系统，即RDBMSD.开放源码数据库.下面不是事务的特性的是AA.完整性B.原子性C.一致性D.隔离性.下面不是Oracle数据库支持的备份形式的是B A.冷备份B.温备份C.热备份D.逻辑备份二、单选题.下列叙述不属于完全备份机制特点描述的是一D一D.需要存储空间小.下面不属于容灾内容的是A灾难预测用于存储已签发的数字证书及公钥的是D.数字证书库Kerbeors采用(B)加密。B.对称一个基于网络的IDS应用程序利用D.信息包嗅探器.代表了当灾难发生后，数据的恢复程度的指标是A.RPO.代表了当灾难发生后，数据的恢复时间的指标是B.RTO.我国《重要信息系统灾难恢复指南》将灾难恢复分成了级B.下图是一一一存储类型的结构图。B.SANA.数据备份B.心理安慰C.保持信息系统的业务持续性D.系统的有益补充.容灾项目实施过程的分析阶段，需要进行D.以上均正确.目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是一一一。B.磁带二、单选题1.以下不符合防静电要求的是B在机房内直接更衣梳理2.布置电子信息系统信号线缆的路由走向时，以下做法错误的是A可以随意弯折3.对电磁兼容性(ElectromagneticCompatibility,简称EMC)标准的描述正确的是C.各个国家不相同4.物理安全的管理应做到D以上均正确第六章网络安全53.利用互联网传播已经成为了计算机病毒传播的一个发展趋势。1.防火墙是在网络环境中的应用。BA.字符串匹配B.访问控制技术C.入侵检测技术D.防病毒技术2.iptables中默认的表名是一A一一。A.filterB.firewallC.natD.mangle3.包过滤防火墙工作在OSI网络参考模型的CA.物理层B.数据链路层C.网络层D.应用层4.通过添加规则，允许通往192.168.0.2的SSH连接通过防火墙的iptables指令是一C一。A.iptables-FINPUTE–d192.168.0.2-ptcp--dport22-jACCEPTB.iptables-AINPUT-d192.168.0.2-ptcp–dport23-jACCEPTC.iptables-AFORWARD–d192.168.0.2-ptcp—dport22-jACCEPTD.iptables-AFORWARD–d192.168.0.2-ptcp—dport23-jACCEPT5.防火墙提供的接入模式不包括一D一。 A.网关模式B.透明模式C.混合模式D.旁路接入模式三重DES和双密钥加密的方法,其用两个56位的密钥K1、K2，发送方用_____加密、___解密，再使用___加密.(D)A.K1,K2,K2B.K2,K1,K1C.K2,K2,K1D.K1,K2,K1.下列哪个是非对称加密算法.(C)A.IDEAB.MD5C.Diffie-HellmanD.CRC.数字证书的申请及签发机关是(A)A.CAB.PKIC.KGCD.Kerberos.关于包过滤防火墙说法错误的是CA.包过滤防火墙通常根据数据包源地址、访问控制列表实施对数据包的过滤B.包过滤防火墙不检查OSI网络参考模型中网络层以上的数据，因此可以很快地执行C.包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击D.由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性，给过滤规则的制定和配置带来了复杂性，一般操作人员难以胜任管理，容易出现错误7.关于应用代理网关防火墙说法正确的是BA.基于软件的应用代理网关工作在θSI网络参考模型的网络层上，它采用应用协议代理服务的工作方式实施安全策略B.一种服务需要一种代理模块，扩展服务较难C.和包过滤防火墙相比，应用代理网关防火墙的处理速度更快D.不支持对用户身份进行高级认证机制O一般只能依据包头信息，因此很容易受到"地址欺骗型"攻击8.关于NAT说法错误的是DA.NAT允许一个机构专用Intramt中的主机透明地连接到公共域中的主机，元需内部主机拥有注册的(已经越来越缺乏的)全局互联网地址B.静态NAT是设置起来最简单和最容易实现的一种地址转换方式，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址C.动态NKT主要应用于拨号和频繁的远程连接、当远程用户连接上之后，动态NAT就会分配给用户一个IP地址，当用户断开时，这个IP地址就会被释放而留待以后使用D.动态NAT又叫做网络地址端口转换NAPT9.下面关于防火墙策略说法正确的是CA.在创建防火墙策略以前，不需要对企业那些必不可少的应用软件执行风险分析B.防火墙安全策略一旦设定，就不能在再作任何改变C.防火墙处理入站通信的缺省策略应该是阻止所有的包和连接，除了被指出的允许通过的通信类型和连接D.防火墙规则集与防火墙平台体系结构无关10.下面关于DMZ区的说法错误的是CA.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等B.内部网络可以无限制地访问外部网络以及DMZC.DMZ可以访问内部网络D.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作，而内部防火墙采用透明模式工作以减少内部网络结构的复杂程度 11.在PDRR模型中，一B一是静态防护转化为动态的关键，是动态响应的依据。A.防护B.检测C.响应D.恢复12.从系统结构上来看，入侵检测系统可以不包括CA.数据源B.分析引擎C.审计D.响应13.通用入侵检测框架(CIDF)模型中，一一一的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。AA.事件产生器B.事件分析器C.事件数据库D.响应单元14.基于网络的入侵检测系统的信息源是DA.系统的审计日志B.系统的行为数据C.应用程序的事务日志文件D.网络中的数据包15.误用入侵检测技术的核心问题是一C一的建立以及后期的维护和更新。A.异常模型B.规则集处理引擎去C.网络攻击特征库D.审计日志16.一一一是在蜜罐技术上逐步发展起来的一个新的概念，在其中可以部署一个或者多个蜜罐，来构成一个黑客诱捕网络体系架构。AA.蜜网B.鸟饵C.鸟巢D.玻璃鱼缸17.下面关于响应的说法正确的是DA.主动响应和被动响应是相互对立的，不能同时采用B.被动响应是入侵检测系统中的唯一响应方式C.入侵检测系统提供的警报方式只能是显示在屏幕上的警告信息或窗口D.主动响应的方式可以是自动发送邮件给入侵发起方的系统管理员请求协助以识别问题和处理问题18.下面说法错误的是CA.由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件，它们能够检测基于网络的入侵检测系统不能检测的攻击B.基于主机的入侵检测可以运行在交换网络中C.基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描D.基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击，因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护19.使用漏洞库匹配的扫描方法，能发现BA.未知的漏洞B.已知的漏洞C.自行设计的软件中的漏洞D.所有漏洞20.下面不可能存在于基于网络的漏洞扫描器中。DA.漏洞数据库模块B.扫描引擎模块C.当前活功的扫描知识库模块D.阻断规则设置模块21.网络隔离技术，根据公认的说法，迄今已经发展了个阶段。BA.六B.五C.四D.三22.下面关于隔离网闸的说法，正确的是CA.能够发现已知的数据库漏洞B.可以通过协议代理的方法，穿透网闸的安全控制 C.任何时刻，网闸两端的网络之间不存在物理连接D.在OSI的二层以上发挥作用23.关于网闸的工作原理，下面说法错误的是CA.切断网络之间的通用协议连接B.将数据包进行分解或重组为静态数据;对静态数据进行安全审查，包括网络协议检查和代码扫描等C.网闸工作在OSI模型的二层以上D.任何时刻，网闸两端的网络之间不存在物理连接品24.当您收到您认识的人发来的电子邮件并发现其中有意外附件，您应该CA.打开附件，然后将它保存到硬盘B.打开附件，但是如果它有病毒，立即关闭它C.用防病毒软件扫描以后再打开附件D.直接删除该邮件25.下面病毒出现的时间最晚的类型是BA.携带特洛伊术马的病毒B.以网络钓鱼为目的的病毒C.通过网络传播的蠕虫病毒D.OEice文档携带的宏病毒26.某病毒利用RPCDCOM缓冲区溢出漏洞选行传播，病毒运行后，在%System%文件夹下生成自身的拷贝nvcl呻牛.exe,添加注册表项，使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为CA.文件型病毒B.宏病毒C.网络蠕虫病毒D.特洛伊木马病毒27.采用"进程注入";可以CA.隐藏进程B.隐藏网络端口C.以其他程序的名义连接网络D.以上都正确28.下列关于启发式病毒扫描技术的描述中错误的是CA.启发式病毒扫描技术是基于人工智能领域的启发式搜索技术B.启发式病毒扫描技术不依赖于特征代码来识别计算机病毒C.启发式病毒扫描技术不会产生误报，但可能会产生漏报D.启发式病毒扫描技术能够发现一些应用了已有机制或行为方式的病毒29.不能防止计算飞机感染病毒的措施是AA.定时备份重要文件B.经常更新操作系统C.除非确切知道附件内容，否则不要打开电子邮件附件D.重要部门的计算机尽量专机专用与外界隔绝30.企业在选择防病毒产品时不应该考虑的指标为DA.产品能够从一个中央位置进行远程安装、升级'B.产品的误报、漏报率较低C.产品提供详细的病毒活动记录D.产品能够防止企业机密信息通过邮件被传出二、单选题.以下不会帮助减少收到的垃圾邮件数量的是一C一一。 A.使用垃圾邮件筛选器帮助阻止垃圾邮件.B.共享电子邮件地址或即时消息地址时应小心谨慎C.安装入侵检测软件D.收到垃圾邮件后向有关部门举报.下列不属于垃圾邮件过滤技术的是AA.软件模拟技术B.贝叶斯过滤技术C.关键字过滤技术D.黑名单技术.下列技术不支持密码验证的是DA.S/MIMEB.PGPC.AMTPD.SMTP.下列行为允许的有DA.未经授权利用他人的计算机系统发送互联网电子邮件B.将采用在线自动收集、字母或者数字任意组合等手段获得的他人的互联网电子邮件地址用于出售、共享、交换或者向通过上述方式获得的电子邮件地址发送互联网电子邮件C.未经互联网电子邮件接收者明确同意，向其发送包含商业广告内容的互联网电子邮件D.发送包含商业广告内容的互联网电子邮件时，在互联网电子邮件标题信息前部注明"广告"或者"AD"字样.下列技术不能使网页被篡改后能够自动恢复的是AA.限制管理员的权限B.轮询检测C.事件触发技术D.核心内嵌技术.以下不可以表示电子邮件可能是欺骗性的是CA.它要求您点击电子邮件中的链接并输入您的帐户信息B.传达出一种紧迫感C.通过姓氏和名字称呼您D.它要求您验证某些个人信息.如果您认为您已经落入网络钓鱼的圈套，则应采取措施。DA.向电子邮件地址或网站被伪造的公司报告该情形B.更改帐户的密码C.立即检查财务报表D.以上全部都是内容过滤技术的含义不包括DA.过滤互联网请求从而阻止用户浏览不适当的内容或站点B.过滤流入的内容从而阻止潜在的攻击进入用户的网络系统C.过滤流出的内容从而阻止敏感数据的泄漏D.过滤用户的输入从而阻止用户传播非法内容下列内容过滤技术中在我国没有得到广泛应用的是AA.内容分级审查B.关键字过滤技术C.启发式内容过滤技术D.机器学习技术.会让一个用户的"删除"操作去警告其他许多用户的垃圾邮件过滤技术是一D一。A.黑名单B.白名单 C.实时黑名单D.分布式适应性黑名单.不需要经常维护的垃圾邮件过滤技术是一B一。A.指纹识别技术B.简单DNS测试C.黑名单技术D.关键字过滤.下列关于网络钓鱼的描述不正确的是一B一。A.网络钓鱼(Phishing)一词，是"Fishing"和"Phone"的综合体B.网络钓鱼都是通过欺骗性的电子邮件来进行诈骗活动C.为了消除越来越多的以网络钓鱼和电子邮件欺骗的形式进行的身份盗窃和欺诈行为，相关行业成立了一个协会一一反网络钓鱼工作小组D.网络钓鱼在很多方面和一般垃圾邮件有所不同，理解这些不同点对设计反网络钓鱼技术至关重要.下面技术中不能防止网络钓鱼攻击的是一CA.在主页的底部设有一个明显链接，以提醒用户注意有关电子邮件诈骗的问题B.利用数字证书(如USBKEY)进行登录C.根据互联网内容分级联盟(ICRA)提供的内容分级标准对网站内容进行分级D.安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识RSA属于下列什么问题。（D）A.椭圆曲线上的离散对数问题B.背包问题C.有限域的乘法群上的离散对数问题D.大整数分解问题确定用户身份称(C)A.密码分析B.加密C.认证D.数字签名防火墙是指（B）A．防止一切用户进入的硬件。B．阻止侵犯进入和离开主机的通信硬件或软件C．记录所有访问信息的服务器D．处理出入主机的邮件的服务器第七章应用安全四、问答题1.什么是垃圾邮件？答：垃圾邮件主要指的是具有下列属性的电子邮件：（1）收件人无法拒收的电子邮件；（2）收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等具有宣传性质的电子邮件；（3）含有病毒、色情、反动等不良或有害信息的电子邮件；（4）隐藏发件人身份、地址、标题等信息的电子邮件；（5）含有虚假的信息源、发件人、路由等信息的电子邮件。2.简述网络钓鱼攻击和一般垃圾邮件之间的区别。答：网络钓鱼攻击和一般垃圾邮件的区别有以下几点：（1）网络钓鱼攻击所用的消息和技术具有更大的迷惑性；（2）网络钓鱼攻击所用的消息有更明确的目标； （3）网络钓鱼攻击比较短暂；（4）网络钓鱼攻击和它所使用的站点都是动态的，会很快地改变服务器。3.什么是内容过滤技术？答：内容过滤，是指在互联网络的不同地点部署访问控制策略，根据对内容合法性的判断来禁止或者允许用户访问的技术。内容过滤具体包含以下三方面的含义：（1）过滤互联网请求，从而阻止用户浏览不适当的内容或站点；（2）过滤流入的内容，从而阻止潜在的攻击进入用户的网络系统；（3）过滤流出的内容，从而阻止敏感数据的泄漏。1防火墙的主要功能答：a.实现集中安全管理。b.防止非受权用户进入内网c.监视网络安全并报警d.实现网络地址转换e/实现重点网段的分离f.审计和记录网络访问及使用2对称密钥和非对称密钥加密算法对比答。对称加密速度比非对称加密快，对称加密密钥不能公开而非对称的私钥必须保密公钥可以公开，关于管理和发布对称加密比较复杂，关于算法对称加密通常用DES,AES,IDEA.非对称性用RSA3.静态包过滤防火墙的优缺点解答：答包过滤防火墙的优点是：逻辑简单，对网络性能影响小，有较强的透明性。此外，它的工作和应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。弱点是：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入了解，否则容易出现因配置不当带来的问题；过滤依据只有网络层和传输层的有限信息，各种安全要求不能得到充分满足；数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接联系；不提供用户的鉴别机制4.散列函数应该满足哪些性质？解答：散列函数的目的是为了文件、消息或其他的分组数据产生“指纹”。用于消息认证的散列函数H必须满足如下性质：（1）H能用于任何大小的数据分组，都能产生定长的输出。（2）对于任何给定的x，H(x)要相对易于计算。（3）对任何给定的散列码h，寻找x使得H(x)=h在计算上不可行（单向性）。（4）对任何给顶的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上不可行（弱抗冲突）。（5）寻找任何的（x，y），使得H(x)=H(y)在计算上不可行（强行冲突）。5.解释信息安全要素的保密，完整，可用，不可否认性？答：可用性（Availability）：得到授权的实体在需要时可访问资源和服务。可用性是指无论何时，只要用户需要，信息系统必须是可用的，也就是说信息系统不能拒绝服务。网络最基本的功能是向用户提供所需的信息和通信服务，而用户的通信要求是随机的，多方面的（话音、数据、文字和图像等），有时还要求时效性。网络必须随时满足用户通信的要求。攻击者通常采用占用资源的手段阻碍授权者的工作。可以使用访问控制机制，阻止非授权用户进入网络，从而保证网络系统的可用性。增强可用性还包括如何有效地避免因各种灾害（战争、地震等）造成的系统失效。可靠性（Reliability）：可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。可靠性是网络安全最基本的要求之一，网络不可靠，事故不断，也就谈不上网络的安全。目前，对于网络可靠性的研究基本上偏重于硬件可靠性方面。研制高可靠性元器件设备，采取合理的冗余备份措施仍是最基本的可靠性对策，然而，有许多故障和事故，则与软件可靠性、人员可靠性和环境可靠性有关。完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被篡改。即信息的内容不能为未授权的第三方修改。信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等。保密性（Confidentiality）：保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。这里所指的信息不但包括国家秘密，而且包括各种社会团体、企业组织的工作秘密及商业秘密，个人的秘密和个人私密（如浏览习惯、购物习惯）。防止信息失窃和泄露的保障技术称为保密技术。 不可抵赖性（Non-Repudiation）：也称作不可否认性。不可抵赖性是面向通信双方（人、实体或进程）信息真实同一的安全要求，它包括收、发双方均不可抵赖。一是源发证明，它提供给信息接收者以证据，这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞；二是交付证明，它提供给信息发送者以证明这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。6．简述在安全审计分析中，日志分析的主要内容？(8分)解答：日志分析就是在日志中寻找模式，主要内容如下：（1）潜在侵害分析：日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。这种规则可以是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。（2）基于异常检测的轮廓：日志分析应该确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。（3）简单攻击探测：日志分析应对重大轮廓事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。（4）复杂攻击探测：要求高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生的步骤。7试述数字签名基本原理，并图示说名数字签名的一般过程？解答:简单地说，数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码交换。这种数据或交换允许数据单元的接受者用以确认数据单元的来源或数据单元的完整性并保护数据，防止被人进行伪造。它是对电子形式的消息进行签名的一种方法.一般数字签名的过程为：始发者向接受者用明文发送消息m，为了让接受者确信m是始发者发送的，且没有被篡改过，始发者可在消息m的后面附上固定长度（比如60bit或128bit）的数码。接受者收到后，通过一系列的验证，对消息m进行确认或拒绝8、TCP/IP协议在安全性方面不够完善，请列举在TCP/IP协议各个层次可采取的安全措施，并加以简要说明。答案要点：网络层——IP安全性(IPSec)传输层——SSL/TLS应用层——S/MIME，PGP，PEM，SET，Kerberos，SHTTP，SSH四、问答题1.物理安全包含哪些内容？答：物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等事故以及人为行为导致的破坏的过程。物理安全可以分成两大类：环境安全和设备安全。其中，环境安全包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等；设备安全包括设备的防盗、防电磁泄露、防电磁干扰、存储介质管理等。物理安全也必须配合一定的安全管理措施，如严格人员的管理、采用相应的监视设备等。 2.解释环境安全与设备安全的联系与不同。答：从物理角度来看，在一个完整的信息系统中，除了系统所处的环境以外，就是一台台具体的设备了。设备安全与环境安全的关系是密不可分的。设备安全是建立在环境安全的基础上的，极端的情况是，如果设备都是放在地震活跃带的火山口上，那么就不能预期这个设备能长时间持续稳定地运行下去，因为环境是不安全的。但是，设备安全与环境安全还是有所区别的，如对于环境的电磁防护，指的是机房、通信线路的防电磁泄露、电磁干扰；而设备的电磁防护，则指的是设备本身的防止电磁泄露、电磁干扰的特性。设备安全就是要确保设备运行的时候是安全的。这就要求设备不容易被损坏而中断工作，不容易被窃听，存放信息的介质也是妥善保管、不容易窃取的。四、问答题1.简述防火墙策略的创建步骤。答：创建一个防火墙策略的步骤如下：（1）识别确实必要的网络应用程序；（2）识别与应用程序相关的脆弱性；（3）对应用程序的保护方式进行成本—效益分析； （4）创建表示保护方式的应用程序通信矩阵，并在应用程序通信矩阵的基础上建立防火墙规则集。2.简述内部网络、外部网络和DMZ之间的关系。答：内部网络、外部网络和DMZ的关系如下：（1）内部网络可以无限制地访问外部网络以及DMZ；（2）外部网络可以访问DMZ的服务器的公开端口，如Web服务器的80端口；（3）外部网络不能访问内部网络以及防火墙；（4）DMZ不可以访问内部网络，因为如果违背此策略，那么当入侵者攻陷DMZ时，就可以进一步攻陷内部网络的重要设备。3.简述防火墙环境构建准则。答：防火墙环境构建准则为：（1）保持简单。KISS（KeepItSimpleandStupid）原则是防火墙环境设计者首先意识到的基本原则。从本质上来说，越简单的防火墙解决方案越安全，越容易管理。设计和功能上的复杂往往导致配置上的错误。（2）设备专用。不要把不是用来当做防火墙使用的设备当做防火墙使用。例如，路由器是被用来路由的，它的包过滤功能不是它的主要目的。在设计防火墙时，这些区别不应该被忽视。只依靠路由器去提供防火墙功能是危险的，它们很容易被错误配置。与此类似的，也不应该把交换机当做防火墙来使用。（3）深度防御。深度防御是指创建多层安全，而不是一层安全。声名狼藉的马其诺防线是一个不应该在防火墙环境中犯的错误，即不要把所有的保护集中放置在一个防火墙上。应在尽可能多的环境下安装防火墙设备或开启防火墙功能，在防火墙设备能被使用的地方使用防火墙设备，在路由器能被配置提供访问控制和包过滤的情况下配置路由器的访问控制和包过滤功能。假如一个服务器的操作系统能提供防火墙功能，那么就使用它。（4）注意内部威胁。4.入侵检测技术可分为哪两类?各自的优缺点分别是什么?答：入侵检测技术可分为异常入侵检测技术和误用入侵检测技术两类。异常入侵检测技术（AnomalyDetection），也称为基于行为的入侵检测技术，是指根据用户的行为和系统资源的使用状况来检测是否存在网络入侵。异常入侵检测的主要前提条件是入侵性活动作为异常活动的子集，而理想状况是异常活动集与入侵性活动集相等。在这种情况下，若能检验所有的异常活动，就能检验所有的入侵性活动。异常入侵检测技术的核心问题是异常模型的建立。　　异常入侵检测技术的优点是：（1）能够检测出使用新的网络入侵方法的攻击；（2）较少依赖于特定的主机操作系统。　　异常入侵检测技术的缺点是：（1）误报率高；（2）行为模型建立困难；（3）难以对入侵行为进行分类和命名。　　误用入侵检测技术（MisuseDetection），也称为基于特征（Signature）的入侵检测技术，根据已知的网络攻击方法或系统安全缺陷方面的知识，建立特征数据库，然后在收集到的网络活动中进行特征匹配来检测是否存在网络入侵。误用入侵检测技术的主要前提条件是假设所有的网络攻击行为和方法都具有一定的模式或特征。误用入侵检测技术的核心问题是网络攻击特征库的建立以及后期的维护和更新。　　误用入侵检测技术的优点是：（1）检测准确度高；（2）技术相对成熟；（3）便于进行系统防护。　　误用入侵检测技术的缺点是：（1）不能检测出新的网络入侵方法的攻击；（2）完全依赖于入侵特征的有效性；（3）维护特征库的工作量巨大。5.基于网络的入侵检测系统在网络中的部署位置有哪些?各自的优点是什么?答：基于网络的入侵检测系统在网络中的部署位置有以下几种：（1）位于外部防火墙后面的DMZ区。　　DMZ区的部署点在DMZ区的入口上，这是入侵检测系统最常见的部署位置。入侵检测系统部署在这个位置可以检测到所有针对企业向外提供服务的服务器进行的攻击行为。对企业来说，防止对外服务的服务器受到攻击是最为重要的。由于DMZ区中的各个服务器提供的服务有限，所以针对这些对外提供的服务进行入侵检测，可以使入侵检测系统发挥最大的优势，对进出的网络数据进行分析。由于DMZ区中的服务器是外网可见的，因此，在这里的入侵检测也是最为必要的。　　在该部署点进行入侵检测有以下优点：a.检测来自外部的攻击，这些攻击已经渗入过企业的第一层防御体系；b.可以容易地检测网络防火墙的性能并找到防火墙配置策略中的问题； c.DMZ区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备；d.即使进入的攻击行为不可识别，入侵检测系统经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息。（2）位于外部防火墙的外部。　　外网入口部署点位于防火墙之前，入侵检测系统在这个部署点可以检测所有进出防火墙外网口的数据。在这个位置上，入侵检测器可以检测到所有来自外部网络的可能的攻击行为并进行记录，这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的网络通信行为。　　由于该部署点在防火墙之前，因此，入侵检测系统将处理所有的进出数据。这种方式虽然对整体入侵行为记录有帮助，但由于入侵检测系统本身性能上的局限，在该点部署入侵检测系统目前的效果并不理想。同时，对于进行网络地址转换的内部网络来说，入侵检测系统不能定位攻击的源或目的地址，系统管理员在处理攻击行为上存在一定的难度。　　在该部署点进行入侵检测有以下优点：a.可以对针对目标网络的攻击进行计数，并记录最为原始的攻击数据包；b.可以记录针对目标网络的攻击类型。（3）位于内部网络主干上。内网主干部署点是最常用的部署位置，在这里入侵检测系统主要检测内部网络流出和经过防火墙过滤后流入内部网络的通信。在这个位置，入侵检测系统可以检测所有通过防火墙进入的攻击以及内部网络向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理。　　由于防火墙的过滤作用，防火墙已经根据规则要求抛弃了大量的非法数据包。这样就降低了通过入侵检测系统的数据流量，使得入侵检测系统能够更有效地工作。当然，由于入侵检测系统在防火墙的内部，防火墙已经根据规则要求阻断了部分攻击，所以入侵检测系统并不能记录下所有可能的入侵行为。在该部署点进行入侵检测有以下优点：a.检测大量的网络通信提高了检测攻击的识别能力；b.检测内网可信用户的越权行为；c.实现对内部网络信息的检测。（4）位于关键子网上。　　在内部网络中，总有一些子网因为存在关键性数据和服务，需要更严格的管理，如资产管理子网、财务子网、员工档案子网等，这些子网是整个网络系统中的关键子网。　　通过对这些子网进行安全检测，可以检测到来自内部以及外部的所有不正常的网络行为，这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入，造成关键数据泄漏或丢失。由于关键子网位于内部网络的内部，因此，流量相对要小一些，可以保证入侵检测系统的有效检测。在该部署点进行入侵检测有以下优点：a.集中资源用于检测针对关键系统和资源的来自企业内外部网络的攻击；b.将有限的资源进行有效部署，获取最高的使用价值。6.简述IDS和IPS的关系。答：IDS和IPS的关系如下：（1）IPS是IDS的发展方向之一；（2）IPS和IDS在逐渐走向融合，UTM就是一个很好的例子。UTM是未来网络安全产品的发展方向，它集成了具有主动响应功能的入侵检测系统和防火墙。7.简述基于网络的漏洞扫描器原理。答：基于网络的漏洞扫描器，就是通过网络来扫描远程计算机中的漏洞。一般来说，可以将基于网络的漏洞扫描工具看做为一种漏洞信息收集工具，它根据漏洞的不同特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。基于网络的漏洞扫描器包含网络映射（NetworkMapping）和端口扫描功能，一般由以下几个部分组成：（1）漏洞数据库模块；（2）用户配置控制台模块；（3）扫描引擎模块；（4）当前活动的扫描知识库模块；（5）结果存储器和报告生成工具。〖LM〗〖KG2〗8.简述基于网络的漏洞扫描器的不足之处。8.简述基于网络的漏洞扫描器的不足之处。答：基于网络的漏洞扫描器的不足之处有：（1）基于网络的漏洞扫描器不能直接访问目标设备的文件系统，不能检测相关的一些漏洞；（2）基于网络的漏洞扫描器不易穿过防火墙。只要防火墙不开放相关端口，扫描就不能进行。9.简述网络隔离技术原理。答：网络隔离，主要是指把两个或两个以上的网络通过物理设备隔离开来，使得在任何时刻、任何两个网络之间都不会存在物理连接。网络隔离的关键在于系统对通信数据的控制，即通过隔离设备在网络之间不存在物理连接的前提下，完成网间的数据交换。由于物理连接不存在，所以双方的数据交换不是直接的，而是要通过第三方“转交”。10.计算机病毒有哪些特征?答：计算机病毒的特征有：非法性、传染性、潜伏性、隐蔽性、破坏性、可触发性。 11.简述文件型病毒和网络蠕虫病毒的区别。答：文件型病毒和网络蠕虫病毒的区别如下：（1）文件型病毒需要通过受感染的宿主文件进行传播，而网络蠕虫病毒不使用宿主文件即可在系统之间进行自我复制；（2）文件型病毒的传染能力主要是针对计算机内的文件系统而言，而网络蠕虫病毒的传染目标是互联网内的所有计算机；（3）网络蠕虫病毒比文件型病毒传播速度更快、更具破坏性，它可以在很短的时间内蔓延整个网络，造成网络瘫痪。12.请比较计算机病毒扫描技术中的特征代码技术和校验和技术。答：特征代码技术的工作原理是：通过检查文件中是否含有病毒特征码数据库中的病毒特征代码来检测病毒。校验和技术的工作原理是：计算正常文件内容的校验和，并将其写入特定文件中保存。定期或者每次使用之前检查文件内容的校验和与原来保存的校验和是否一致，从而可以发现文件是否已经感染计算机病毒。特征代码技术能够发现已知病毒，并且能够判断是何种病毒；校验和技术既可发现已知病毒又可发现未知病毒，但是它不能判断到底是何种病毒。四、问答题1.简要叙述Windows系统的用户登录流程。答：Windows系统的用户登录流程就是由若干安全功能子模块默契配合的过程。登录开始时，Windows系统的注册（winlogon）模块产生winlogon进程，显示安全性交互对话框，要求用户输入用户名、密码、服务器/域名。如果用户信息有效，系统便开始确认用户身份。Windows系统将用户信息通过安全系统传输到SAM，并对用户身份进行确认。安全帐号管理器把用户的登录信息与服务器里的安全帐号管理数据库进行比较，如果两者匹配，服务器将通知工作站允许用户进行访问。winlogon进程将调用Win32子系统，Win32子系统为用户产生一个新的进程。紧接着，LSA开始构建访问令牌（AccessTokens），与用户进行的所有操作相连，用户进行的操作与访问令牌一起构成一个主体。当用户要求访问一个对象时，主体的访问令牌的内容将与对象的存取控制列表通过一个有效性访问程序进行比较，这个程序将决定接受或拒绝用户的访问要求。2.什么是本地用户组？什么是域用户组？它们之间是什么关系？答：简单地说，本地用户组是具有相同权限的本地用户帐号的集合，域用户组是具有相同权限的域用户帐号的集合，它们都是Windows系统中用户组概念的具体延伸，但它们之间没有交叉关系。Windows系统的用户组分为全局组、本地组和特殊组。其中除去本地组中的一部分被认为是本地用户组外，其他主要是在域环境下使用的，都是域用户组。〖LM〗〖KG2〗3.保障IIS安全的主要方式有哪几种？分别简要说明。答：保障IIS安全的主要方式有以下几种：（1）利用NTFS与IIS相结合的权限管理方式限制“匿名”Web访问者的权限。　　由于IIS与Windows系统完全集成在一起，因此，可以利用NTFS文件系统取得权限管理，同时，IIS本身还有一类组权限，可以与NTFS权限协同工作。（2）禁用所有不必要的服务（Web开放服务以外），并关闭相应端口。　　针对IIS的安全特性，只需要根据所需要开放的Web服务，开放一定数目的端口，关闭不必要的服务。（3）保护Web站点主目录wwwroot。　　在默认设置下，IIS将其wwwroot目录放在操作系统目录下的＼Inetpub目录中。如果Web站点不在Inetpub中，一些简单的病毒软件可能无法发现。因此，移动文档目录的根目录能够提供少量的保护。（4）删除IIS安装中的额外目录。　IIS自带了一系列示例文件和额外目录，很多是有用的，但也带来了安全漏洞。例如，打开控制面板—添加/删除程序—“Windows组件”—Internet信息服务（IIS） —详细信息，其中的FrontPage2000服务器扩展，如果不使用基于FrontPage的Web开放，建议删除此扩展。另外可以删除的IIS文件还有：IIS管理单元中名为Printers和IISSample的文件夹。假如不需要连接数据库连接器，还可以删除MSADC文件夹。　　如果用户不需要提供Web服务，建议干脆删除涉及IIS的服务（如IIS，InternetInformationService等）。4.Linux系统的安全性与Windows系统的安全性相比较是否有优势？如果有，为什么会有这种优势？答：一般认为，Linux系统与Windows系统相比，安全方面具有优势，造成这种优势的主要原因有以下几个方面：（1）Linux的开源软件开发方式更容易暴露错误，这是Windows不具备的优势。（2）Windows的许多应用程序依靠远程程序调用，而Linux则限制使用远程程序调用。（3）某些第三方Windows应用软件中经常需要管理员的权限才能正确运行软件。因此，这些软件发起的病毒攻击的破坏性极大。而Linux应用软件通常都要遵守这个安全要求，因此，很少被攻击者利用。（4）Windows具有易学易用性，同时需要兼容不安全的老版本的软件。这些对于系统安全也是一个不利的因素，这个缺点是Linux所没有的。5.一般UNIX/Linux系统的密码文件存放在/etc/passwd文件中，文件中的条目格式为username:encryptedpassword:userID:groupID:IDstring:homedirectory:loginshell，其中各字段分别代表了什么含义？答：字段username指的是用户名；字段encryptedpassword指的是加密后的密码；字段userID（UID）指的是用户的ID；字段groupID（GID）指的是组的ID；字段IDstring指的是用户的全名；最后两个字段指的是用户的主目录和成功登录后可用的Shell。6.Linux系统提供了哪些查看进程信息的系统调用？分别简单说明它们命令的功能。　　答：Linux系统提供了who、w、ps和top等查看进程信息的系统调用，结合使用这些系统调用，用户可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施来确保Linux系统的安全。下面逐一说明以上几种命令的功能：（1）who命令：该命令主要用于查看当前在线上的用户情况，系统管理员可以使用who命令监视每个登录的用户此时此刻的所作所为。（2）w命令：该命令也用于显示登录到系统的用户情况，但是与who命令不同的是，w命令功能更加强大，它不但可以显示有谁登录到系统，还可以显示出这些用户当前正在进行的工作，w命令是who命令的一个增强版。（3）ps命令：该命令是最基本的同时也是非常强大的进程查看命令，利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。（4）top命令：top命令和ps命令的基本作用是相同的，即显示系统当前的进程及其状态。7.试解释SQL注入攻击的原理，以及对数据库可能产生的不利影响。答：SQL注入攻击的原理是从客户端提交特殊的代码，Web应用程序如果没做严格检查就将其形成SQL命令发送给数据库，从数据库的返回信息中，攻击者可以获得程序及服务器的信息，从而进一步获得其他资料。 SQL注入攻击可以获取Web应用程序和数据库系统的信息，还可以通过SQL注入攻击窃取敏感数据、篡改数据、破坏数据，甚至以数据库系统为桥梁进一步入侵服务器操作系统，从而带来更为巨大的破坏。8.对比Oracle数据库和MSSQLServer数据库的身份认证机制的异同。答：Oracle的身份认证有两种方式：外部身份认证和DBMS认证。外部身份认证指的是使用OracleDBMS以外的系统对用户身份予以认证，OracleDBMS信任这种认证的结果。这里的外部系统通常指的是操作系统。这种认证方式的好处在于：无需输入帐号、口令，从而避免了口令信息因传输、存储不当而引发泄露。DBMS认证则是传统的帐号、口令方式的认证。OracleDBMS在系统表空间中保存已有用户的帐号、口令等信息，并以此为依据认证用户的身份。SQLServer的身份认证机制与Oracle有显著区别。它引入了“登录ID”的概念，将登录身份和具体的用户身份剥离开来，从而使从登录到访问数据，要经过两次身份认证。第一次身份认证是在登录时，在DBMS身份认证模式下，访问者必须提供一个有效的登录ID和口令才能继续向前；第二次身份认证是当访问者通过上述验证后，登录ID必须与目标数据库里的某个用户ID相联系，才可以相应地拥有对数据库的操作权限。9.试解释数据库恢复的两种实现技术，并分别说明它们的用途。答：恢复机制涉及两个关键问题：如何建立冗余数据和如何利用这些冗余数据实施数据库恢复。建立冗余数据最常用的技术有两种：第一种是数据备份，即将数据库中的各种数据备份到其他物理或逻辑设备上，当发生故障时，将备份的数据恢复到数据库中；第二种是日志文件，即记录事务对数据库的更新操作。四、问答题1.容灾的含义是什么？容灾过程包括哪些内容？答：容灾，就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。当企业的核心计算机系统遭受如火灾、洪涝、地震、战争、人为破坏等不可抗拒的灾难和意外时，能够及时恢复系统的正常运行。因此，容灾的目的和实质就是保持信息系统的业务持续性。为了在面对灾难时仍然能保持业务的持续性，容灾有很多方面的工作要做：风险分析，确定造成业务中断灾难发生的可能性和灾难发生会带来的损失；业务影响分析，分析预期的灾难可能对企业造成的影响，确定关键功能和恢复优先顺序；灾难演习，模拟灾难发生时的状况；制订应急响应计划，制定和实施在灾难发生后的对应措施等。 2.容灾与数据备份之间是什么关系?答：容灾与数据备份之间是密切联系、不可分割的。没有了数据备份，容灾也就无从下手；而仅仅备份了数据，没有考虑周密的容灾方案，也难以发挥数据备份的作用，无法保证系统的业务持续性。首先，数据备份是容灾的基础。数据备份，是指将数据保存下来，目的是为了系统数据在崩溃时能够快速地恢复数据。没有数据可以利用恢复，灾难恢复也就无从谈起。所以，容灾的前提是做好相应的数据备份工作。其次，容灾是一个系统工程，而不仅仅是技术。一个完整的容灾系统包括容灾规划机构的设立、容灾需求分析、容灾策略制定、容灾系统实施、容灾系统维护等多个阶段。容灾除了前期的实施，更重要的是后期的运营和管理，必要的时候还需要第三方审计或者监理机构的介入。 3.容灾等级通用的国际标准SHARE78将容灾划分成几个层次？简单概述各层次的特点。答：容灾等级通用的国际标准SHARE78将容灾划分为七个层次。　　第0级——本地冗余备份，也叫无异地备份数据。数据仅在本地进行备份和恢复，没有任何数据信息和资料存放在异地，没有意外事故处理计划，未制定灾难恢复计划。第1级——数据介质转移。第1级容灾方案的关键是有数据备份，但无备用系统，其特点是异地存放、安全保管、定期更新。通常将关键数据备份到本地存储介质上，然后送往其他比较安全的地方保存。第2级——应用系统冷备。第2级容灾方案的实质是有数据备份、有备用系统，其特点是异地介质存放、系统硬件冷备份。第3级——数据电子传送。第3级容灾方案是电子链接，其特点是网络传送、自动备份、磁盘镜像复制。通过网络将关键数据进行备份并存放至异地，制定相应的灾难恢复计划，建立备份中心，并配备部分数据处理系统及网络通信系统。第4级——应用系统温备。第4 级容灾方案是让备份中心处于活动状态，其特点是网络传送、流水日志、系统准工作状态。一旦灾难发生，可利用备份中心已有资源及异地备份数据恢复关键业务系统运行。第5级——应用系统热备。第5级容灾方案的关键在于交易的完整性，其特点是在线实时传送、系统镜像状态、人机切换。第5级容灾方案可以同时实现业务中心与备份中心的数据更新。第6级——数据零丢失。第6级容灾方案的目标是达到数据零丢失和自动系统故障切换，其特点是在线实时镜像、作业动态分配、自动切换。这一级别的容灾方案是灾难恢复中最昂贵的方式，也是速度最快的恢复方式，它是灾难恢复的最高级别。利用专用的存储网络将关键数据同步镜像至备份中心，数据不仅在本地进行确认，而且需要在备份中心进行确认，才能算有效数据。因为数据是由镜像地写到两个站点，所以灾难发生时异地容灾系统保留了全部的数据，从而实现零数据丢失。 4.设计一个以星期为周期的备份策略，并举例描述在其中某一天发生灾难如何恢复。答：一个以星期为周期的备份策略可以做如下安排：         星期一：完全备份（备份文件为A）         星期二：增量备份（备份文件为B）         星期三：增量备份（备份文件为C）         星期四：增量备份（备份文件为D）         星期五：累计备份（备份文件为E）         星期六：增量备份（备份文件为F）         星期日：增量备份（备份文件为G）如果在星期六，系统遭到意外破坏，系统管理员可以按以下步骤来恢复系统：首先用最近的一份完全备份（星期一的A文件）来进行完全恢复，然后用最近的一份累计备份（星期五的E文件）进行累计恢复，最后使用累计备份后的最近增量备份（星期六的F文件和星期天的G文件）进行增量恢复，则可以恢复到接近系统被意外破坏时的数据。