密碼編碼與網路安全第七版課後答案

『壹』 密碼編碼學與網路安全

對課程期末考試的個人復習總結

定義：把明文分組當作整體，產生一個等長的密文分組，並且可逆
設計思想：擴散（通過置換），混淆（通過代換）

定義：是一項增強密碼演算法或者使演算法適應具體應用的技術。（分組密碼是加密固定長度的分組，而工作模式提供了加密任意數量的明文的方法）

CTR優點：硬體軟體效率高（並行加密）；基本加密解密不依靠明文密文，因此可以進行預處理；加密數據塊的隨機訪問；灶升改安全；簡單

關於密鑰K的計算本質上和DH協議是一樣的（即C ₁ 本質上就是Y _B ），Elgamal只是補充了對明文M的加密解密（C ₂ =KM mod q；M=(C ₂ K ^-1 ) mod q）
這樣還可以讓K作為一次性密鑰，用於加密解密信息（比如將信息分組，然後每個分塊用唯一的K，這樣可以防止攻擊者利用信息的某一分塊計算出其他分塊 ，若M ₁ 已知，則很容易計算出M ₂ ）

將 任意長報文 （一般會被填充為固定長度分組的整數倍）映射成一個較短的 定長輸出報文 的函數 h = H(M)（相對易於計算），為文件、報文或其他的分組數據產生隱判 「數字指紋」 （Hash常被用於判斷數據是否被更改過，而 不是加密解密函數 ）

可以產生認證符的函數類型：Hash、消息加密、消息認證碼MAC
認證技術：報文認證：消息完整性；實體認證（用戶認證）：發送者非冒充
認證定義：笑改防止主動攻擊的重要技術

MAC可以保護信息交換雙方不受第三方攻擊，但不能處理通信雙方自身發生的攻擊

重點協議！！！

『貳』 求計算機網路安全教程 課後答案（石志國的）

第1章 一、選擇題
1. 狹義上說的信息安全，只是從自然科學的角度介紹信息安全的研究內容。
2. 信息安全從總體上可以分成5個層次，密碼技術 是信息安全中研究的關鍵點。 3. 信息安全的目標CIA指的是機密性，完整性，可用性。
4. 1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。 二、填空題
1. 信息保障的核心思想是對系統或者數據的4個方面的要求：保護（Protect），檢測（Detect），反應（React），恢復（Restore）。
2. TCG目的是在計算和通信系統中廣泛使用基於硬體安全模塊支持下的可信計算平台Trusted Computing Platform，以提高整體的安全性。
3. 從1998年到2006年，平均年增長幅度達50％左右，使這些安全事件的主要因素是系統和網路安全脆弱性（Vulnerability）層出不窮，這些安全威脅事件給Internet帶來巨大的經濟損失。
4. B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁碟、磁帶和終端）分配單個或者多個安全級別。 5. 從系統安全的角度可以把網路安全的研究內容分成兩大體系：攻擊和防禦。 三、簡答題
1. 網路攻擊和防禦分別包括哪些內容？ 答：①攻擊技術：網路掃描，網路監聽，網路入侵，網路後門，網路隱身 ②防禦技術：安全操作系統和操作系統的安全配置，加密技術，防火牆技術，入侵檢測，網路安全協議。
2. 從層次上，網路安全可以分成哪幾層？每層有什麼特點？ 答：從層次體繫上，可以將網路安全分為4個層次上的安全：
（1）物理安全 特點：防火，防盜，防靜電，防雷擊和防電磁泄露。
（2）邏輯安全 特點：計算機的邏輯安全需要用口令、文件許可等方法實現。
（3）操作系統 特點：操作系統是計算機中最基本、最重要的軟體。操作系統的安全是網路安全的基礎。
（4）聯網安全 特點：聯網的安全性通過訪問控制和通信安全兩方面的服務來保證。 第2章 一、選擇題
1. OSI參考模型是國際標准化組織制定的模型，把計算機與計算機之間的通信分成7個互相連接的協議層。
2. 表示層服務的一個典型例子是用一種一致選定的標准方法對數據進行編碼。。 3. 子網掩碼是用來判斷任意兩台計算機的IP地址是否屬於同一子網路的根據。。 4. 通過ICMP協議，主機和路由器可以報告錯誤並交換相關的狀態信息。 5. 常用的網路服務中，DNS使用 UDP協議。 二、填空題
1. 網路層的主要功能是完成網路中主機間的報文傳輸，在廣域網中，這包括產生從源端到目的端的路由。
2. TCP/IP協議族包括4個功能層：應用層、傳輸層、網路層和網路介面層。這4層概括了
第1章 一、選擇題
1. 狹義上說的信息安全，只是從自然科學的角度介紹信息安全的研究內容。
2. 信息安全從總體上可以分成5個層次，密碼技術 是信息安全中研究的關鍵點。 3. 信息安全的目標CIA指的是機密性，完整性，可用性。
4. 1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。 二、填空題
1. 信息保障的核心思想是對系統或者數據的4個方面的要求：保護（Protect），檢測（Detect），反應（React），恢復（Restore）。
2. TCG目的是在計算和通信系統中廣泛使用基於硬體安全模塊支持下的可信計算平台Trusted Computing Platform，以提高整體的安全性。
3. 從1998年到2006年，平均年增長幅度達50％左右，使這些安全事件的主要因素是系統和網路安全脆弱性（Vulnerability）層出不窮，這些安全威脅事件給Internet帶來巨大的經濟損失。
4. B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁碟、磁帶和終端）分配單個或者多個安全級別。 5. 從系統安全的角度可以把網路安全的研究內容分成兩大體系：攻擊和防禦。 三、簡答題
1. 網路攻擊和防禦分別包括哪些內容？ 答：①攻擊技術：網路掃描，網路監聽，網路入侵，網路後門，網路隱身 ②防禦技術：安全操作系統和操作系統的安全配置，加密技術，防火牆技術，入侵檢測，網路安全協議。
2. 從層次上，網路安全可以分成哪幾層？每層有什麼特點？ 答：從層次體繫上，可以將網路安全分為4個層次上的安全：
（1）物理安全 特點：防火，防盜，防靜電，防雷擊和防電磁泄露。
（2）邏輯安全 特點：計算機的邏輯安全需要用口令、文件許可等方法實現。
（3）操作系統 特點：操作系統是計算機中最基本、最重要的軟體。操作系統的安全是網路安全的基礎。
（4）聯網安全 特點：聯網的安全性通過訪問控制和通信安全兩方面的服務來保證。 第2章 一、選擇題
1. OSI參考模型是國際標准化組織制定的模型，把計算機與計算機之間的通信分成7個互相連接的協議層。
2. 表示層服務的一個典型例子是用一種一致選定的標准方法對數據進行編碼。。 3. 子網掩碼是用來判斷任意兩台計算機的IP地址是否屬於同一子網路的根據。。 4. 通過ICMP協議，主機和路由器可以報告錯誤並交換相關的狀態信息。 5. 常用的網路服務中，DNS使用 UDP協議。 二、填空題
1. 網路層的主要功能是完成網路中主機間的報文傳輸，在廣域網中，這包括產生從源端到目的端的路由。
2. TCP/IP協議族包括4個功能層：應用層、傳輸層、網路層和網路介面層。這4層概括了

2
相對於OSI參考模型中的7層。
3. 目前E-mail服務使用的兩個主要協議是 簡單郵件傳輸協議和郵局協議。 4. ping指令通過發送ICMP包來驗證與另一台TCP/IP計算機的IP級連接，應答消息的接收情況將和往返過程的次數一起顯示出來。
5. 使用「net user」指令查看計算機上的用戶列表 三、簡答題
2. 簡述TCP/IP協議族的基本結構，並分析每層可能受到的威脅及如何防禦。 答：
第4章 一、選擇題
1. 踩點就是通過各種途徑對所要攻擊的目標進行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的准確），確定攻擊的時間和地點。
2. 對非連續埠進行的，並且源地址不一致、時間間隔長而沒有規律的掃描，稱之為慢速掃描。 二、填空題
1. 掃描方式可以分成兩大類：慢速掃描和亂序掃描。
2. 被動式策略是基於主機之上，對系統中不合適的設置、脆弱的口令及其他同安全規則抵觸的對象進行檢查。
3. 一次成功的攻擊，可以歸納成基本的五個步驟，但是根據實際情況可以隨時調整。歸納起來就是「黑客攻擊五部曲」，分別為：隱藏IP、踩點掃描、獲得系統或管理員許可權、種植後門和在網路中隱身 三、簡答題與程序設計題
2. 黑客在進攻的過程中需要經過哪些步驟？目的是什麼？ 答：（1）隱藏IP：IP隱藏使網路攻擊難以被偵破。（2）踩點掃描：踩點是通過各種途徑對所要攻擊的目標進行多方面的了解，確定攻擊的時間和地點。掃描的目的是利用各種工具在攻擊目標的IP地址或地址段上的主機上尋找漏洞。（3）獲得系統或管理員許可權：得到管理員許可權的目的是連接到遠程計算機，對其控制，達到自己攻擊的目的。（4）種植後門：為了保持長期對勝利勝利果實的訪問權，在已經攻破的計算機上種植一些供自己訪問的後門。（5）在網路中隱身：清除登陸日誌及其他相關的日誌，防止管理員發現。
5. 掃描分成哪兩類？每類有什麼特點？可以使用哪些工具進行掃描、各有什麼特點？ 答：（1）網路掃描一般分為兩種策略：一種是主動式策略；另外一種是被動式策略。
（2）被動式策略 特點：基於主機之上的，對系統中不合適的設置、脆弱的口令及其他同安全規則相抵觸的對象進行檢查，被動式掃描不會對系統造成破壞。工具及特點：GetNTUser：系統用戶掃描；PortScan：開放埠掃描；Shed：共享目錄掃描。
（3）主動式策略 特點：基於網路的，它通過執行一些腳本文件模擬對系統進行攻擊的行為並記錄系統的反應，從而發現其中的漏洞。主動式掃描對系統進行模擬攻擊可能會對系統造成破壞。工具及特點：X-Scan-v2.3 ：對指定IP地址段（單機）進行安全漏洞檢測。 6. 網路監聽技術的原理是什麼？
答：原理：在區域網中與其他計算機進行數據交換時，數據包發往所有連在一起的主機，也就是廣播，在報頭中包含目的機正確地址。因此只有與數據包中目的地址一致的那台主機才會接受數據包，其他的機器都會將包丟棄。但是，當主機工作在監聽模式下時，無論接收到的數據包中目的地址是什麼，主機都將其接收下來。然後對數據包進行分析，就得到了區域網中通信的數據。一台計算機可以監聽同一網段內所有的數據包，不能監聽不同網段的計算

『叄』 網路安全試題及答案

第一章 網路安全概述
【單選題】
1.計算機網路的安全是指（ ）
A、網路中設備設置環境的安全
B、網路使用者的安全
C、網路中信息的安全
D、網路的財產安全
正確答案： C 我的答案：C
2.黑客搭線竊聽屬於（ ）風險。
A、信息存儲安全信息
B、信息傳輸安全
C、信息訪問安全
D、以上都不正確
正確答案： B 我的答案：B
3.為了保證計算機信息安全，通常使用（ ），以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案： A 我的答案：C
4.對企業網路最大的威脅是（）。
A、黑客攻擊
B、外國政府
C、競爭對手
D、內部員工的惡意攻擊
正確答案： D 我的答案：D
5.信息不泄露給非授權的用戶、實體或過程，指的是信息（ ）特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案： A 我的答案：A
6.信息安全就是要防止非法攻擊和病毒的傳播，保障電子信息的有效性，從具體意義上理解，需要保證以下（ ）。
Ⅰ.保密性 Ⅱ.完整性 Ⅲ.可用性 Ⅳ.可控性 Ⅴ.不可否認性
A、Ⅰ、Ⅱ和Ⅳ B
B、Ⅱ和Ⅲ C
C、Ⅱ、Ⅲ和Ⅳ D
D、都是
正確答案： D 我的答案：D
7.信息風險主要指（ ）
A、信息存儲安全
B、信息傳輸安全
C、信息訪問安全
D、以上都正確
正確答案： D 我的答案：D
8.（ ）不是信息失真的原因
A、信源提供的信息不完全、不準確
B、信息在編碼、解碼和傳遞過程中受到干擾
C、信宿（信箱）接受信息出現偏差
D、信箱在理解上的偏差
正確答案： D 我的答案：A
9.以下（ ）不是保證網路安全的要素
A、信息的保密性
B、發送信息的不可否認性
C、數據交換的完整性
D、數據存儲的唯一性
正確答案： D 我的答案：B

第二章 黑客常用系統攻擊方法1
【單選題】
1.網路攻擊的發展趨勢是（ ）
A、黑客攻擊與網路病毒日益融合
B、攻擊工具日益先進
C、病毒攻擊
D、黑客攻擊
正確答案： A 我的答案：A
2.拒絕服務攻擊（ ）
A、A.用超過被攻擊目標處理能力的海量數據包消耗可用系統、帶寬資源等方法的攻擊
B、全程是Distributed Denial Of Service
C、拒絕來自一個伺服器所發送回應請求的指令
D、入侵控制一個伺服器後遠程關機
正確答案： A 我的答案：A
3.區域網中如果某台計算機受到了ARP欺騙，那麼它發出去的數據包中，（ ）地址是錯誤的
A、源IP地址
B、目標IP地址
C、源MAC地址
D、目標MAC地址
正確答案： D 我的答案：A
4.在網路攻擊活動中，Tribal Flood Netw（TFN）是（ ）類的攻擊程序
A、拒絕服務
B、字典攻擊
C、網路監聽
D、病毒程序
正確答案： A 我的答案：A
5.HTTP默認埠號為（ ）
A、21
B、80
C、8080
D、23
正確答案： B 我的答案：B
6.DDOS攻擊破壞了（ ）
A、可用性
B、保密性
C、完整性
D、真實性
正確答案： A 我的答案：A
7.漏洞評估產品在選擇時應注意（ ）
A、是否具有針對網路、主機和資料庫漏洞的檢測功能
B、產品的掃描能力
C、產品的評估能力
D、產品的漏洞修復能力
E、以上都不正確
正確答案： E 我的答案：A

第二章 黑客常用系統攻擊方法2
【單選題】
1.關於「攻擊工具日益先進，攻擊者需要的技能日趨下降」的觀點不正確的是（ ）
A、網路受到的攻擊的可能性越來越大
B、.網路受到的攻擊的可能性將越來越小
C、網路攻擊無處不在
D、網路風險日益嚴重
正確答案： B
2.在程序編寫上防範緩沖區溢出攻擊的方法有（ ）
Ⅰ.編寫正確、安全的代碼 Ⅱ.程序指針完整性檢測
Ⅲ.數組邊界檢查 Ⅳ.使用應用程序保護軟體
A、 Ⅰ、Ⅱ和Ⅳ
B、 Ⅰ、Ⅱ和Ⅲ
C、 Ⅱ和Ⅲ
D、都是
正確答案： B
3.HTTP默認埠號為（ ）
A、21
B、80
C、8080
D、23
正確答案： B
4.信息不泄露給非授權的用戶、實體或過程，指的是信息（ ）特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案： A
5.為了避免冒名發送數據或發送後不承認的情況出現，可以採取的辦法是（ ）
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案： B
6.在建立網站的目錄結構時，最好的做法是( )。
A、將所有文件最好都放在根目錄下
B、目錄層次選在3到5層
C、按欄目內容建立子目錄
D、最好使用中文目錄
正確答案： C
【判斷題】
7.冒充信件回復、冒名Yahoo發信、下載電子賀卡同意書，使用的是叫做「字典攻擊」的方法
正確答案：×
8當伺服器遭受到DoS攻擊的時候，只需要重新啟動系統就可以阻止攻擊。
正確答案：×
9.一般情況下，採用Port scan可以比較快速地了解某台主機上提供了哪些網路服務。
正確答案：×
10.Dos攻擊不但能使目標主機停止服務，還能入侵系統，打開後門，得到想要的資料。
正確答案：×
11.社會工程攻擊目前不容忽視，面對社會工程攻擊，最好的方法使對員工進行全面的教育。
正確答案：√

第三章 計算機病毒1
【單選題】
1.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描，如果發現特徵位元組串，就表明發現了該特徵串所代表的病毒，這種病毒而檢測方法叫做（ ）。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案： B 我的答案：E
2.（ ）病毒式定期發作的，可以設置Flash ROM 寫狀態來避免病毒破壞ROM。
A、Melissa
B、CIH
C、I love you
D、蠕蟲
正確答案： B 我的答案：D
3.以下（ ）不是殺毒軟體
A、瑞星
B、Word
C、Norton AntiVirus
D、金山毒霸
正確答案： B 我的答案：B
4.效率最高、最保險的殺毒方式（ ）。
A、手動殺毒
B、自動殺毒
C、殺毒軟體
D、磁碟格式化
正確答案： D 我的答案：D
【多選題】
5.計算機病毒的傳播方式有（ ）。
A、通過共享資源傳播
B、通過網頁惡意腳本傳播
C、通過網路文件傳輸傳播
D、通過電子郵件傳播
正確答案： ABCD 我的答案：ABCD
6.計算機病毒按其表現性質可分為（ ）
A、良性的
B、惡性的
C、隨機的
D、定時的
正確答案： AB 我的答案：ABCD
【判斷題】
7.木馬與傳統病毒不同的是：木馬不自我復制。（ ）

正確答案：√ 我的答案：√
8.在OUTLOOKEXPRESS 中僅預覽郵件的內容而不打開郵件的附件不會中毒的。（ ）
正確答案：× 我的答案：×
9.文本文件不會感染宏病毒。（ ）
正確答案：× 我的答案：√
10.按照計算機病毒的傳播媒介來分類，可分為單機病毒和網路病毒。（ ）
正確答案：√ 我的答案：√
11.世界上第一個攻擊硬體的病毒是CIH.( )
正確答案：√ 我的答案：√

第三章 計算機病毒2
【單選題】
1.計算機病毒的特徵（ ）。
A、隱蔽性
B、潛伏性、傳染性
C、破壞性
D、可觸發性
E、以上都正確
正確答案： E 我的答案：E
2.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描，如果發現特徵位元組串，就表明發現了該特徵串所代表的病毒，這種病毒而檢測方法叫做（ ）。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案： B 我的答案：B
3.下列敘述中正確的是（ ）。
A、計算機病毒只感染可執行文件
B、計算機病毒只感染文本文件
C、計算機病毒只能通過軟體復制的方式進行傳播
D、計算機病毒可以通過讀寫磁碟或網路等方式進行傳播
正確答案： D 我的答案：D
4.計算機病毒的破壞方式包括（ ）。
A、刪除修改文件類
B、搶占系統資源類
C、非法訪問系統進程類
D、破壞操作系統類
正確答案： ABCD 我的答案：ABCD
【判斷題】
5.只是從被感染磁碟上復制文件到硬碟上並不運行其中的可執行文件不會是系統感染病毒。（ ）
正確答案：× 我的答案：×
6.將文件的屬性設為只讀不可以保護其不被病毒感染.( )
正確答案：× 我的答案：×
7.重新格式化硬碟可以清楚所有病毒。（ ）
正確答案：× 我的答案：√
8. GIF和JPG格式的文件不會感染病毒。（ ）
正確答案：× 我的答案：×
9.蠕蟲病毒是指一個程序（或一組程序），會自我復制、傳播到其他計算機系統中去（ ）。
正確答案：√ 我的答案：√

第四章 數據加密技術1
【單選題】
1.可以認為數據的加密和解密是對數據進行的某種交換,加密和解密的過程都是在( )的控制下進行的
A、名文
B、密文
C、信息
D、密鑰
正確答案： D 我的答案：D
2.為了避免冒名發送數據或發送後不承認的情況出現，可以採取的辦法是（ ）
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案： B 我的答案：B
3.以下關於加密說法正確的是（ ）
A、加密包括對稱加密和非對稱加密兩種
B、信息隱蔽式加密的一種方法
C、如果沒有信息加密的密鑰，只要知道加密程序的細節就可以對信息進行解密
D、密鑰的位數越多，信息的安全性越高
正確答案： D 我的答案：A
4.（ ）是網路通信中標志通信各方身份信息的一系列數據，提供一種在INTERNER上驗證身份的方式。
A、數字認證
B、數字證書
C、電子認證
D、電子證書
正確答案： B 我的答案：B
5.數字證書採用公鑰體制時，每個用戶設定一把公鑰，由本人公開，用其進行（ ）
A、加密和驗證簽名
B、解密和簽名
C、加密
D、解密
正確答案： A 我的答案：A

第四章 數據加密技術2
【單選題】
1.在公開密鑰體制中，加密密鑰即（ ）
A、解密密鑰
B、私密密鑰
C、公開密鑰
D、私有密鑰
正確答案： C 我的答案：C
2.Set協議又稱為（ ）
A、安全套協議層協議
B、安全電子交易協議
C、信息傳輸安全協議
D、網上購物協議
正確答案： B 我的答案：B
3.數字簽名為保證其不可更改性，雙方約定使用（ ）
A、Hash演算法
B、RSA演算法
C、CAP演算法
D、ACR演算法
正確答案： B 我的答案：A
4.安全套接層協議時（ ）。
A、SET
B、S-HTTP
C、HTTP
D、SSL
正確答案： D 我的答案：D

第五章 防火牆技術1
【單選題】
1.為確保企業管理區域網的信息安全，防止來自Internet的黑客入侵，採用（ ）可以實現一定的防範作用。
A、網路管理軟體
B、郵件列表
C、防火牆
D、防病毒軟體
正確答案： C
2.防火牆採用的最簡單的技術是（ ）。
A、安裝保護卡
B、隔離
C、包過濾
D、設置進入密碼
正確答案： C
3.下列關於防火牆的說法正確的是（ ）。
A、防火牆的安全性能是根據系統安全的要求而設置的
B、防火牆的安全性能是一致的，一般沒有級別之分
C、防火牆不能把內部網路隔離為可信任網路
D、一個防火牆只能用來對兩個網路之間的互相訪問實行強制性管理的安全系統
正確答案： A
4.（ ）不是防火牆的功能。
A、過濾進出網路的數據包
B、保護存儲數據安全
C、封堵某些禁止的訪問行為
D、記錄通過防火牆的信息內容和活動
正確答案： B
5.（ ）不是專門的防火牆產品。
A、ISA server 2004
B、Cisco router
C、Topsec 網路衛士
D、check point防火牆
正確答案： B
6.有一個主機專門被用做內部網路和外部網路的分界線。該主機里插有兩塊網卡，分別連接到兩個網路。防火牆裡面的系統可以與這台主機進行通信，防火牆外面的系統（Internet上的系統）也可以與這台主機進行通信，但防火牆兩邊的系統之間不能直接進行通信，這是（ ）的防火牆。
A、屏蔽主機式體系結構
B、篩選路由式體系結構
C、雙網主機式體系結構
D、屏蔽子網式體系結構
正確答案： A
7.對新建的應用連接，狀態檢測檢查預先設置的安全規則，允許符合規則的連接通過，並在內存中記錄下該連接的相關信息，生成狀態表。對該連接的後續數據包，只要符合狀態表，就可以通過。這種防火牆技術稱為（ ）。
A、包過濾技術
B、狀態檢測技術
C、代理服務技術
D、以上都不正確
正確答案： B
8.防火牆的作用包括（ ）。（多選題）
A、提高計算機系統總體的安全性
B、提高網路速度
C、控制對網點系統的訪問
D、數據加密
正確答案： AC

第五章 防火牆技術2
【單選題】
1.防火牆技術可以分為（ ）等三大類。
A、包過濾、入侵檢測和數據加密
B、包過濾、入侵檢測和應用代理
C、包過濾、應用代理和入侵檢測
D、包過濾、狀態檢測和應用代理
正確答案： D
2.防火牆系統通常由（ ）組成。
A、殺病毒卡和殺毒軟體
B、代理伺服器和入侵檢測系統
C、過濾路由器和入侵檢測系統
D、過濾路由器和代理伺服器
正確答案： D
3.防火牆防止不希望的、未經授權的通信進出被保護的內部網路，是一種（ ）網路安全措施。
A、被動的
B、主動的
C、能夠防止內部犯罪的
D、能夠解決所有問題的
正確答案： A
4.防火牆是建立在內外網路邊界上的一類安全保護機制，其安全架構基於（ ）。
A、流量控制技術
B、加密技術
C、信息流填充技術
D、訪問控制技術
正確答案： D
5.一般作為代理伺服器的堡壘主機上裝有（ ）。
A、一塊網卡且有一個IP地址
B、兩個網卡且有兩個不同的IP地址
C、兩個網卡且有相同的IP地址
D、多個網卡且動態獲得IP地址
正確答案： A
6.代理伺服器上運行的是（ ）
A、代理伺服器軟體
B、網路操作系統
C、資料庫管理系統
D、應用軟體
正確答案： A
7.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析，要求每個協議層都能提供網路安全服務。其中，用戶身份認證在（ ）進行。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案： D
8.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析，要求每個協議層都能提供網路安全服務。其中，IP過濾型防火牆在（ ）通過控制網路邊界的信息流動來強化內部網路的安全性。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案： A

第六章 Windows Server的安全1
【單選題】
1.WindowServer2003系統的安全日誌通過（ ）設置。
A、事件查看器
B、伺服器管理器
C、本地安全策略
D、網路適配器
正確答案： C
2. 用戶匿名登錄主機時，用戶名為（ ）。
A、guest
B、OK
C、Admin
D、Anonymous
正確答案： D
3.為了保證計算機信息安全，通常使用（ ），以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案： C
【多選題】
4.（ ）是Windows Server2003伺服器系統自帶的遠程管理系統。（多選題）

A、Telnet services
B、Terminalservices
C、PC anywhere
D、IPC
正確答案： ABD
5.1、 Windows Server2003伺服器採取的安全措施包括（ ）。（多選題）
A、使用NTFS格式的磁碟分區
B、及時對操作系統使用補丁程序堵塞安全漏洞
C、實行強有力的安全管理策略
D、藉助防火牆對伺服器提供保護
E、關閉不需要的伺服器組件
正確答案： ABCDE
第六章 Windows Server的安全2
【單選題】
1.（ ）不是Windows 的共享訪問許可權。
A、只讀
B、完全控制
C、更改
D、讀取及執行
正確答案： D
2.WindowsServer2003的注冊表根鍵（ ）是確定不同文件後綴的文件類型。
A、HKEY_CLASSES_ROOT
B、HKEY_USER
C、HKEY_LOCAL_MACHINE
D、HKEY_SYSTEM
正確答案： A
3.為了保證Windows Server2003伺服器不被攻擊者非法啟動，管理員應該採取（ ）措施.
A、備份注冊表
B、利用SYSKEY
C、使用加密設備
D、審計注冊表的用戶許可權
正確答案： B
【多選題】
4.（ ）可以啟動Windows Server2003的注冊編輯器。（多選題）
A、REGERDIT.EXE
B、DFVIEW.EXE
C、FDISK.EXE
D、REGISTRY.EXE
E、REGEDT32.EXE
正確答案： AE
5.有些病毒為了在計算機啟動的時候自動載入，可以更改注冊表，（）鍵值更改注冊表自帶載入項。（多選題）
A、HKLM\software\microsoft\windows\currentversion\run
B、HKLM\software\microsoft\windows\currentversion\runonce
C、HKLM\software\microsoft\windows\currentversion\runservices
D、HKLM\software\microsoft\windows\currentversion\runservicesonce
正確答案： ABCD
6.在保證密碼安全中，應該採取的正確措施有（ ）。（多選題）
A、不用生日密碼
B、不使用少於5位數的密碼
C、不用純數字
D、將密碼設的很復雜並在20位以上
正確答案： ABC

『肆』 第七章、網路安全

1）被動式攻擊

2）主動式攻擊
幾種常見的方式：
① 篡改：
攻擊者篡改網路上傳送的報文，比如，徹底中斷，偽造報文；

② 惡意程序：包含的種類有：

③ 拒絕服務（DoS，Denial of Service）
攻擊者向互聯網上的某個伺服器不停地發送大量分組，使該伺服器無法提供正常服務，甚至完全癱瘓。

④ 交換機攻擊
攻擊者向乙太網交換機發送大量偽造源 MAC地址的幀，交換機收到MAC地址後，進行學習並記錄，造成交換表很快被填滿，無法正常工作。

人們一直希望能夠設計出一種安全的計算機網路，但不幸的是，網路的安全性是不可判定的，只能針對具體的攻擊設計安全的通信協議。

計算機網路安全的四個目標
1）保密性：要求只有信息的 發送方 和 接收方 才能懂得所發送信息的內容，而信息的截獲者則看不懂所截獲的內容。以此，對付 被動攻擊 ；
2）端點鑒別：要求計算機網路必須能夠 鑒別 信息的 發送方 和 接收方 的真實身份。對付 主動攻擊 ；
3）信息的完整性：要求信息的內容沒有被人篡改過；
4）運行的安全性：要求計算機系統運行時的安全性。 訪問控制 是一種應對方法。對付 惡意程序 和 拒絕服務攻擊 。

發送者向接受者發送明文 P，通過加密演算法運算，得到密文 C。接收端通過解密演算法解密，得到明文P。

如果不論截取者獲得多少密文，但在密文中都沒有足夠的信息來唯一的確定出對應的明文，則這一密碼體制稱為 無條件安全的 ，或成為 理論上是不可破的 。

在無任何限制的條件下，目前幾乎所有的密碼體制均是可破的。

人們關心的是研製出 在計算機上（而不是理論上）是不可破的密碼體制 。如果一個密碼體制中的密碼，不能在一定時間內被可以使用的計算機資源破譯，那麼這一密碼體制稱為 在計算上是安全的 。

2）發展史

對稱密碼體制，也就是， 加密密鑰 與 解密密鑰 使用相同的密碼體制。
1）數據加密標准（DES）
屬於對稱密鑰密碼體制。1977年，由 IBM公司提出，被美國定位聯邦信息標准，ISO 曾將 DES 作為數據加密標准。

2）高級加密標准（AES）

1976年，由斯坦福大學提出，使用不同的 加密密鑰 和 解密密鑰 ；
1）公鑰密碼出現的原因
① 對稱密鑰密碼體制的密鑰分配問題；
② 對數字簽名的需求。

2）對稱密碼的挑戰
對稱密碼體制中，加密/解密的雙方使用的是 相同的密鑰 。
那麼，如何讓雙方安全的擁有相同的密鑰？
① 事先約定：給密鑰管理和更換帶來極大的不便；
② 信使傳送：不該用於高度自動化的大型計算機系統；
③ 高度安全的密鑰分配中心：網路成本增加；

3）三種公鑰
① RSA 體制：1978年正式發表，基於數論中的大數分解問題的體制；

4）差異：

公鑰加密演算法開銷較大，並不會取代傳統加密演算法。

5）密碼性質
任何加密演算法的安全性取決於密鑰的長度，以及攻破密文所需的計算量。

書信或文件是根據親筆簽名或印章來證明其真實性的。（偽造印章，要坐牢）

1）核實：接受者能夠核實發送者對報文的簽名，也就是，確定報文是否是發送者發送的；
2）無篡改：接受者確信所收到的數據和發送者發送的完全一樣，沒有被篡改過。稱為 報文的完整性 。
3）不可否認：發送這時候不能抵賴對報文的簽名，叫 不可否認 。

1）A用其私鑰對報文進行D運算，獲得密文；
2）接收方，通過A的公鑰解密，核實報文是否是A發送的。

1）核實保證：只有A有私鑰，加密有唯一性；
2）無篡改：篡改後，無A的私鑰，無法加密；
3）不可否認：其他人無A的私鑰；
疑問：是否利用產生一個A的公鑰可以解密的私鑰，就可以冒充A？

上述操作，對數據進行了簽名，但是，沒有對數據進行加密。所有，擁有公鑰的人都可以破解。

1）具有保密性的數字簽名：
① 發送方，利用A的私鑰對數據進行簽名；
② 發送方，利用B的公鑰對數據進行加密；
③ 接收方，利用B的私鑰對數據進行解密；
④接收方，利用A的公鑰對數據進行鑒權。

鑒別 是要驗證通信的雙方確實是自己所要通信的對象，而不是其他的冒充者。
並且，所傳送的報文是完整的、沒有被他人篡改過。

0）動機
① 數字簽名：就是一種**報文鑒別技術；
② 缺陷：對較長的報文進行數字簽名會給計算機增加非常大的負擔，因此這就需要進行較多的時間來進行計算；
③ 需求：一種相對簡單的方法對報文進行鑒別；
④ 解決辦法：密碼散列函數；

1）密碼散列函數
作用：保護明文的完整性；
① 散列函數 的特點：

② 密碼散列函數 的特點：

2）實用的密碼散列函數：MD5 和 SHA-1
① MD5

② SHA
美國技術標准協會 NIST 提出 SHA 散列演算法。

3）報文鑒別碼
① 散列函數的缺點：可能被其他人篡改，然後，計算相應的正確散列值；
② 報文鑒別碼：生成報文的散列後，對散列進行加密生成報文鑒別碼；

1）差別

2）鑒別方法
A向遠端的B發送帶有自己身份A和口令的報文，並使用雙方約定好的共享對稱密鑰進行加密；

3）存在的問題
可能攻擊者處於中間人，冒充A向B發送口令，並發送公鑰，最後，成功冒充A，獲取A的重要數據；

4）總結
重要問題：公鑰的分配，以及公鑰的真實性。

密碼演算法是公開的，網路安全完全基於密鑰，因此 密鑰管理 十分重要；包括：

1）挑戰
① 密鑰數量龐大：n個人相互通信，需要的密鑰數量 n(n-1)；
② 安全通信：如何讓通信雙方安全得到共享密鑰；

2）解決方案
密鑰分配中心：公共信任的機構，負責給需要秘密通信的用戶臨時分配一個會話密鑰（使用一次）；

3）處理過程
① 用戶 A 發送明文給蜜月分配中心 KDC，說明想和用戶 B通信。
② KDC 隨機產生 「一次一密」 的會話密鑰KAB，然後，用KA加密發送給A 密鑰KAB和票據。
③ B收到A轉來的票據，並根據自己的密鑰KB解密後，就知道A要和他通信，並知道會話密鑰KAB。

4）

這一系統現在已廣泛用於電子護照中，也就是下一代金融系統使用的加密系統。

移動通信帶來的廣泛應用，向網路提出了更高的要求。

量子計算機的到來將使得目前許多使用中的密碼技術無效，後兩字密碼學的研究方興未艾。