計算機安全名詞解釋

1.計算機信息系統(computerinformationsystem):

由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳

輸、檢索等處理的人機系統。

2.可信計算基(TrustedComputingBase?TCB):

計算機系統內保護裝置的總體?包括硬件、固件、軟件和負責執行安全策略的組合體。它建立了一個基本的保護環境并提供一

個可信計算系統所要求的附加用戶服務。

3.隱蔽信道(CovertChannel):

非公開的但讓進程有可能以危害系統安全策略的方式傳輸信息的通信信道。

4.訪問控制(AccessControl■AC):

限制已授權的用戶、程序、進程或計算機網絡中其他系統訪問本系統資源的過程。口令認證不能取代訪問控制。

5.自主訪問控制(discretionaryaccesscontrol?DAC):

用來決定一個用戶是否有權限訪問此客體的一種訪問約束機制?該客體的所有者可以按照自己的意愿指定系統中的其他用戶對

此客體的訪問權。

6.強制訪問控制(mandatoryaccesscontrol?MAC):

用于將系統中的信息分密級和類進行管理，以保證每個用戶只能夠訪問那些被標明可以由他訪問的信息的一種訪問約束機制。

7.訪問控制列表(AccessControlList-ACL)：

與系統中客體相父聯的,用來指定系統中哪些用戶和組可以以何種模式訪問該客體的控制列表。

8.角色(role):

系統中一類訪問權限的集合。

9.客體(object):

系統中被動的主體行為承擔者。對一個客體的訪問隱含著對其所含信息的訪問。客體的實體類型有記錄、程序塊、頁面、段'

文件、目呈、目錄樹和程序,還有位'字節'字'字段、必理器、視頻顯示器'鍵盤'時鐘、打印機和網絡節點等。

10.客體重用(objectreuse):

對曾經包含一個或幾個客體的存儲介質(如頁框、盤扇面、磁帶)重新分配和重用。為了安全地進行重分配、重用,要求介質不

得包含重分配前的殘留數據。

11.主體(subject):

主體(subject)是這樣的一種實體?它引起信息在客體之間的流動-通常,這些實體是指人、進程或設備等,一般是代表用戶

執行操作的進程。如編輯一個文件時?編瑁進程是存取文件的主體,而文件是客體。

12.標識與鑒別(identification&authentication■l&A):

用于保證只有合法用戶才能進入系統?進而訪問系統中的資源。

13.基于角色的訪問控制(Role-BasedAccessControl?RBAC):

兼有基于身份和基于規則的策略特征?可看作基于組的策略的變形?一個角色對應一個組?例：銀行業務系統中用戶多種角色

14.周邊網絡:

周邊網絡是一個防護層,在其上可放置一些信息服務器?它們是犧牲主機,可能會受到攻擊,因此又被稱為非軍事區

(DMZ)-周邊網絡的作用：即使堡壘主機被入侵者控制?它仍可消除對內部網的偵聽-

15.安全周界(securityperimeter):

用半徑來表示的空間。該空間包圍著用于處理敏感信息的設備?并在有效的物理和技術

控制之下?防止未授權的進入或敏感信息的泄露。

16.安全策略(securitypolicy):

對TCB中的資源進行管理、保護和分配的一組規則。簡單地說就是用戶對安全要求的描述。一個TCB中可以有一個或多個安全

策略。

是指一個特定的環境里(安全區域),為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。(P16)

17.安全模型(securitymodel):

用形式化的方法來描述如何實現系統的機密性、完整性和可用性等安全要求?

18.包過濾(PacketFilter):

包過濾?是防火墻的一類。包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層?他根據數據包源頭地址、目的地址'

端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地?其余的數據包則被數據從

數據流中丟棄。19.NAT(NetworkAddressTranslation):

中文意思是“網絡地址轉換”?它是一個IETF標準?允許一個整體機構以一個公月IP地址出現在Internet上。傾名思義,它是一種把

內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。就是將一個IP地址用另一個IP地址代替。就是將一個IP地址用另

一個IP地址代替。

20.封裝安全載荷(ESPEncapsulatingSecurityPayload):

ESP屬于一種協議,提供了機密性、數據起源認證'無連接的完整性'抗重播服務和有限業務流機密性?

21.驗證頭(AuthenticationHeader):

認證頭(AH)協議用于為IP數據包提供數據完整性、數據包源地址認證和一些有限的抗重播服務■AH不提供對通信數據的加

密服務?與ESP協議相比，AH不提供對避信數據的加密服務,但能比ESP提供更加廣的數據認證服務。

22.分布式拒絕服務攻擊(DistributedDenialofService-DDos):

是對拒絕服務攻擊的發展。攻擊者控制大量的攻擊源?然后同時向攻擊目標發起的一種拒絕服務攻擊。海量的信息會使得攻擊

目標帶寬迅速消失殆盡?

23.堡壘主機：

堡壘主機是一種被強化的可以防御進攻的計算機,被暴露于外部網之中,作為進入內部網絡的檢查點?以達副把整個網絡的安

全問題集中在某個主機上解決的目的。

24.PKI:

PKI就是利用公開密鑰理論和技術建立的提供安全服務的基礎設施。

25.敏感標記(sensitivitylabel)：

用以表示客體安全級別并描述客體數據敏感性的一組信息,在可信計算基中把敏感標記作為強制訪問控制決策的依據。

26.最小特權原理(LeastPrivilegeprinciple):

系統中每一個主體只能擁有與其操作相符的必需的最小特權集-

27.VPN(VirtualPrivateNetwork):

是一種常用于連接中、大型企業或團體與團體間的私人網絡的通訊方法。虛擬私人網絡的消息透過公用的網絡架構(例如：互

聯網)來傳送內部網的網絡消息。它利用已加密的通道協議(TunnelingProtocol)來達到保密、傳送端認證、消息準確性等

私人消息安全效果。這種技術可以用不安全的網路(例如：網際網路)來傳送可靠、安全的消息。

28.可信通路(trustedpath):

終端人員能借以直接同可信計算基通信的一種機制。該機制只能由有關終端操作人員或

可信計算基啟動?并且不能被不可信軟件模仿。

29.多級安全(multilevelsecure-MLS):

一類包含不同等級敏域信息的系統?它既可供具有不同安全許可的用戶同時進行合法訪問?又能阻止用戶去訪問其未被授權的

30.鑒另I」(authentication):

驗證用戶、設備和其他實體的身份；驗證數據的完整性。

31.授權(authorization):

授予用戶、程序或進程的訪問權。

32.保密性(confidentiality):

為秘密數據提供保護方法及保護等級的一種特性。

33.數據完整性(dataintegrity):

信息系統中的數據與原始數據沒有發牛春化?未遭受偶然或惡意的修改或破壞時所具有的性后。

34.漏洞(loophole):

由軟硬件的設計疏忽或失誤導致的能避開系統安全措施的一類錯誤。

35.可信計算機系統(trustedcomputersystem):

一個使用了足夠的硬件和軟件完整性機制,能夠用來同時處理大量敏感或分類信息的系統。

36.操作系統安全(operatingsystemsecurity):

操作系統無錯誤配置、無漏洞、無后門、無特洛伊木馬等?能防止非法用戶對計算機資源的非法存取,一般用來表達對操作系

統的安全需求。

37.安全操作系統(secureoperatingsystem):

能對所管理的數據與資源提供適當的保護級、有效地控制硬件與軟件功能的操作系統。

38.多級安全操作系統(multilevelsecureoperatingsystem):

實現了多級安全策略的安全操作系統,比如符合美國橘皮書(TCSEC)B1級以上的安全操作系統?

39.混淆(confusion):

使密文與明文的統計獨立性關系復雜化。使得輸出是輸入的非線性函數；用于掩蓋明文和密文間的關系。通過代替法實現,如

S含?

40.散布(diffusion):

使每位明文盡可能影響多位密文。擴展輸出對輸入的相關性,盡量使密文的每一位受明文中多位影響。通過置換法實現,如P

盒。單獨用一種方法,容易被攻破。流密碼只依賴于混淆；分組密碼兩者都用。

1.安全的五個要素？

可用性、可靠性、完整性、機密性(保密性)、不可抵賴性

2.簡述檢測計算機病毒的常用方法。(P187)

1)直接檢測方法

2)特征代碼法

3)校驗和法

4)行為檢測法

5)軟件模擬法

3.可靠度、可維護度、可用度的含義？(P34)

可靠性：在一定的條件下,在指定的時期內系統無故障地執行指令人物的可能性?

可靠度：在時刻系統正常的條件下?在給定的時間間隔內?系統仍然能正確執行其功能的概率稱為可靠度。

可維護性：指系統發生故障時容易進行修復?以及平時易于維護的程度。

可維護度：指計算機的維修效率，通常用平均修復時間(MTRF)來表示,。MTRF是指從故障發生到系統恢復平均所需的時

間。

可用性：指計算機的各種功能滿足需要要求的程度?也就是計算機系統在執行任務的任何時刻能正常工作的概率。

可用度：系統在t時刻處于正常狀態的概率稱為可用度。

4.什么是故障屏蔽技術(FaultMaskingTechnology)?

故障屏蔽技術是防止系統中的故障在該系統的信息結構中產生差錯的各種措施的總稱?其實質是在故障效應達到模塊輸出以

前,利用冗余資源將故障影響掩蓋起來?達到容錯的目的。

5.什么是P2DR安全模型,PDRR安全模型？(P8)

P2DR是一種可適應網絡安全模型。主要包括簫略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)四

部分。

PDRR是美國國防部提出的“信息安全保障體系”中的安全模型?其概括了網絡安全的整個環節,包括保護(Protection)、檢測

(Detection)、響應(Reaction)、恢復(Restore)四部分°

6.TCSEC安全級別？

可信計算機系統評價準則(TrustedComputerSystemEvaluationCriteriaTCSEC)。該標準將計算機系統的安全劃分為4個等

級、7個級別?

按安全程度低?＞高排序D、C1、C2、B1、B2、B3、A1。

C:酌情B:強制A:核實保護。D類：最低保護。無賬廣；任意訪問文件。

C1類：目決的安全保護。系統能夠把用戶和數據隔開,用戶以根據需要采用系統提供

的訪問控制措施來保護自己的數據,系統中必有一個防止破壞的區域,其中包含安全功能。

C2類：訪問級別控制。控制粒度更細?使得允許或拒絕任何用戶訪問單個文件成為可能?系統必須對所有的注冊'文件的打

開、建立和刪除進行記錄。審計跟蹤必須追蹤到每個用戶對每個目標的訪問。

B1類：有標簽的安全保護。系統中的每個對象都有一個敏感性標簽而每個用戶都有一個許可級別?許可級別定義了用戶可處理

的敏感性標簽?系統中的每個文件都按內容分類并標有敏感性標簽,任何對用戶許可級別和成員分類的更改都受到嚴格控制?

即使文件所有者也不能隨意改變文件許可權限。

B2類：結構化保護。系統的設計和實現要經過徹底的測試和審置。系統應結構化為明確而獨立的模塊■建循最小特權原則。必

須對所有目標和實體實施訪問控制。政策?要有專職人員負責實施?要進行隱蔽信道分析。系統必須維護一個保護域,保護系統

的完整性?防止外部干擾。

B3類：交全域。系統的安全功能足夠小，以利廣泛測試。必須滿足參考監視器需求以傳遞所有的主體到客體的訪問。要有安全

管理員,安全硬件裝置,審計機制擴展到用信號通知安全相關事件,還要有恢復規程?系統高度抗侵擾。

A1類：核實保護。最初設計系統就充分考慮安全性?有“正式安全策略模型”其中包括由公理組成的形式化證明。系統的頂級技

術規格必須與模型相對應,系統還包括分發控制和隱蔽信道分析。

7.什么是數字簽名？數字簽名與信息加密的區別？

數字簽名：通過一個單向函數對要傳送的強文進行處理得到的用以認證報文來源并核實報文是否發生變化的一個字母數字串。

數字簽名與信息加密的區別：

數字簽名的加密/解密過程和信息(報文)的加密/解密過程雖然都可使用公開密鑰算法,但實現過程正好相反,使用的密鑰對

也不同。數字簽名使用的是發送方的密鑰對,發送方用自己的私有密鑰進行加密（簽名）,接收方用發送方的公開密鑰進行解

密（驗證）。這是一個一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性。

而信息（報文）的加密/解翅則使用的是接收方的密鑰對,這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加

密信息?只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中,通常一個用戶擁有兩個密鑰對,一個密鑰對用來

對數字簽名進行加密/解密,一個密鑰對用來對信息（報文）進行加密/解密。這種方式提供了更高的安全性。

數字簽名大多采用非對稱密鑰加密算法,士能保證發送信息的完整性、身份的真實性和不可否認性,而數字加密采用了對稱密

鑰加密算法和非對稱密鑰加密算法相結合的方法,它能保證發送信息的保密性。

數字簽名和信息加密過程的區別比較明顯（如下圖所示）。

數字簽名

」I使用發送者的私鑰

加密解密

數據加密數據解密

使用接收者的公鑰使用接收者的私鑰

1字簽名與數據加密的區別

8.基于主機的掃描和基于網絡的掃描有什么不同?（P174）

基于網絡的掃描主要掃描設定網絡內的服務器、路由器、網橋'交換機、訪問服務器、防火墻等設備的安全漏洞。

基于主機的漏洞掃描通常在目標系統上安裝一個代理或者服務?以便能夠訪問所有的文件和進程?這也使得基于漏洞的掃描能

夠掃描更多的漏洞。

基于網絡的掃描：

優勢：獨立于操作系統?監測實時性強

跳點：需要傳回大量的網絡包?無法分析加密數據?存在攻擊特征被拆分的情況。

基于網絡的掃描：

優勢：能很好的處理加密數據包■可以綜合多個數據源進行分析?高速網絡情況下不存在數據表丟失。

缺點：降低系統性能配置和維護困難?逃避檢測存在數據欺騙的問題?實時性較差

9.什么是防火墻？防火墻的功能有哪些？

防火墻是位于兩個信任程度不同的網絡之間（如企業內部網絡和Internet之間）的軟件或硬件設備的組合?它對兩個網絡之間的

通信進行控制,通過強制實施統一的安全策略?防止對重要信息資源的非法存取和訪問以達到保護系統安全的目的。

功能：阻止和允許

“阻止”就是阻止某種類型的通信量通過防火墻?

“允許”就是允許某種類型的通信量通過防火墻?

防火墻可以實行強制的網絡安全策略,E.g.:禁止不安全的協議NFS?禁止finger。對網絡存取和訪問進行監控審計。E.g.：網

絡使用和濫用的記錄統計。使用內部防火墻可以防止一個網段的問題傳播到另一個網段。

防火墻的優點：

1.防止易受攻擊的服務

2.控制訪問網點系統

3.集中安全性

4.增強的保密、強化私有權

防火墻的存在形式：軟件、硬件。

根據防范方式和側重點的不同可分為三類：包過濾、代理服務器、狀態監機器。

數據包過濾是一個網絡安全保護機制，它用來控制流出和流入網絡的數據。

描述：對數據包實施有選擇的通過（源地址'目標地址、端口號等）。

過濾系統是一臺路由器或是一臺主機,其中用于過濾數據包的路由器稱為屏蔽路由器。數據包過濾一般用屏蔽路由器實現。屏

蔽路由器與一般路由器的區別：除了決定是否有到達目的地址的路徑?還要決定是否“應該”發送數據包。大多數數據包過濾系

統在數據本身上不做任何事,即它們不做基于內容的決定-

包過濾防火墻優缺點

應手層應用層優點：

表示層表示層速度快.性能高

對應用程序透明

領層會話層（無帳號口令等）

傳輸層—fi輸層一缺點：

網絡直一｛^aTS「網絡層安全性低（IP欺騙等）

不能根據狀態信息進行控制

數據鏈路層數據st路層整喝睡層不能處理網絡層以上的信息

物理更1物理層|，誓伸縮性差

維護不直雙hilljlie

亙連的物理介質

10.身份鑒別的作用是什么?有哪些身份鑒別機制?

身份鑒別是用于確定所聲明的身份的有效性。有生物特征識別、零知識身份鑒別。11.堡壘主機的構建原則是什么？

堡壘主機是一種被強化的可以防御進攻的計算機,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個

主機上解決,從而省時省力,不用考慮其它主機的安全的目的。堡壘主機是網絡中最容易受到侵害的主機■所以堡壘主機也必

須是自身保護最完善的主機。一個堡壘主機使用兩塊網卡?每個網卡連接不同的網絡。一塊網卡連接你公司的內部網絡用來管

理、控制和保護,而另一塊連接另一個網絡?通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來

提供對從公網到私有網絡的特殊協議路由,反之亦然。

用一臺裝有兩塊網卡的計算機作為堡壘主機（Bastionhost）?兩塊網卡分別與內部網和外部網（或屏蔽路由器）相連?每塊

網卡有各自的IP地址。堡壘主機上運行防火墻軟件——代理服務（應用層網關）。在建立雙宿主機時?應關力操作系統的路由

功能（尸轉發）?否則兩塊網卡間的通信會繞過代理服務器軟件。優點：與屏蔽路由器相比?提供日志以備檢查。缺點：雙宿

主機兔受攻擊。

堡壘主機是一種被強化的可以防御進攻的計算機?被暴露于因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡

的安全問題集中在某個主機上解決?從而省時省力-不用考慮其他主機的安全的目的。堡壘主機是網絡中最容易受到侵害的主

機,所以堡壘主機也必須是自身保護最完善的主機。建立堡壘主機的一般原則有兩條：最簡化原則和預防原則。

12.物理安全主要包括哪幾個方面？

環境安全、設備安全'介質安全。（P26?

13.TEMPEST技術的主要目的是什么?計算機中的TEMPEST技術主要采用哪些技術措施？

主要目的是減少計算機中外泄的信息?抑制信息泄露的技術包括：電子屏祇技術和物理抑制技術（P30）?

14.防火墻的體系結構有哪幾種？

1.屏蔽路由結構

2.雙重宿主主機體系結構

3.屏蔽主機體系結構

4.屏蔽子網體系結構（P144）

15.什么是容錯？容錯技術主要包括哪些？

容錯是用冗余的資源使計算機具有容忍故障的能力,即在產生故障的情況下?仍有能力繼續完成指定的算法。（P35）

16.為什么要進行數據備份？什么是完全備份'差異備份'增量備份？（P37）

完全備份：對包括系統應用程序和數據庫等在內的一個備份周期內的數據進行完全備份。

差異備份：只備份自上次完全備份以后有變化的數據。

增量備份：只備份自上次備份以后有變化的數據。

按需備份：根據臨時需要有選擇地迸行數據備份?

17.RAID技術分為哪些等級？（P41）

（廉價冗余磁盤陣歹4RedundantArrayofInexpensiveDisk）

（獨立冗余磁盤陣列RedundantArrayofIndependentDisk）

RAIDO無冗余無校驗的側盤陣列。

RAID1鏡像磁盤陣列

RAID2糾錯海明碼磁盤陣列

RAID3&RAID4:奇校驗或偶校驗的磁盤陣列

RAID5無獨立校驗盤的奇偶校驗磁盤陣列

RAID6帶有兩種分布存儲的奇偶校驗碼的獨立磁盤結構

RAID7優化的高速數據傳送磁盤結構

RAID10:高可靠性與高效磁盤結構

RAID53:高效數據傳送磁盤結構

18.安全的Hash函數一般滿足哪些要求？：P83）

1）輸入x可以為任意長度,輸出數據串長度固定?

2）單向性?正向計算容易?即給定任意x?容易計算出H（x）;反向計算困難?即給定

一個Hash值h?很難找出一個特定輸入x?使得h=H（x）。

3）抗沖突性（抗碰撞性）,包括兩個含義：一是給出一條信息x，找出一條消息y使H

（x）=H（y）是計算上不可行的（弱抗沖突）；二是找出任意兩條消息x?y,使得

H（x）=H（y）也是計算上不可行的（強抗沖突）。

19.Bell-Lapadula安全模型?Biba安全模型?P（130）

20.拒絕服務攻擊的主要目的是什么?

拒絕服務攻擊的目的是使計算機或者網絡無法提供正常的服務。是黑客常用的攻擊手段之一。攻擊者進行拒絕服務攻擊,實際

上讓服務器實現兩種效果：一是迫使服務器的緩沖

區滿?不接收新的請求；_是使用IP欺騙?迫使服芳器把官法用戶的

連接復位?影響合法用戶的連接。

21.簡述網絡安全掃描的內容（P178）

一次完整的網絡安全掃描分為三個階段：

1）第一階段：發現目標主機或網絡。

2）第二階段：發現目標后進一步搜集目標信息?包括操作系統類型'運行的服務以及服

務軟件的版本等。如果目標是一個網絡,還可以進一步發現該網絡的拓撲結構、路由設備以及各主機的信息。

3）第三階段：根據搜集到的信息判斷或者進一步測試系統是否存在安全漏洞。

22.端口掃描的目的是什么？

當確定7目標中機可達后,就可以通過端口掃描技術?發現目標主機的開放端口?包括網絡協議和各種應用依聽的端口。

23.DES算法的脆弱性?（P57）

24.什么是數字證書？

數字證書就是互聯網通信中標志通信各方身份信息的一系列數據?提供了一種在Internet上驗證您身份的方式?其作用類似于司

機的駕駛執照或日常生活中的身份證。

它是由一個權威機構一CA機構?又稱為證書授權（CertificateAuthority）中心發行的,CA是負責簽發證書、認證證書、管

理已頒發證書的機關。它要制定政策和具洋步驟來驗證、識別用戶身份?并對用戶證書進行簽名,以確保證書持有者的身份和

公鑰的擁有權。

25.冗余技術的分類?（P35）

根據資源的不同?可以將冗余技術分為硬件冗余、軟件冗余、信息冗余'和時間冗余。

26.包過流防火墻的優缺點？

包過派防火墻優缺點

應用層應用層優點：

速度快.性能高

表示層表示層

對應用程序透明

會話層會話層（無帳號口令等）

傳輸層傳輸層缺點：

安全性低（IP欺騙等）

不能根據狀態信息迸行控制

數據鏈路層數據鏈路層故嚼鬻層不能處理網絡層以上的信息

物理丁物理層伸縮性差

互連的物理介質維護不直觀

27.包過法路由器的優缺點（P150）?

選擇題

1.網絡安全是在分布網絡環境中對（D）提供安全保護。

A.信息載體

B.信息的處理、傳輸

C.信息的存儲、訪問

D.上面3項都是

2.網絡安全的基本屬性是（D）。

A.機密性

B.可用性

C.完整性

D.上面3項都是

3.密碼學的目的是（C）。

A.研究數據加密

B.研究數據解密

C.研究數據保密

D.研究信息安全

4.假設使用一種加密算法,它的加密方法很簡單：將每一個字母加5■即a加密成f.b加密成9。這種算法的密鑰就星5?那么它

屬于（A）。

A.對稱密碼技術

B.分組密碼技術

C.公鑰密碼技術

D.單向函數密碼技術

5.訪問控制是指確定（B）以及實施訪問權限的過程。

A.用戶權限

B.可給予那些主體訪問權利

C,可被月戶訪問的資源

D.系統是否遭受入侵

6.一般而言?Internet防火墻建立在一個網絡的（C）。

A.內部子網之間傳送信息的中樞

B.每個子網的內部

C.內部網絡與外部網絡的交叉點

D.部分內部網絡與外部網絡的接合處

7.可信計算機系統評估準則（TrustedComputerSystemEvaluationCriteria,TCSEC）共分為（）大類（）級。（A）

A.47

B.37

C.45

D.46

8.桔皮書定義了4個安全層次,從D層（最低保護層）到A層（驗證性保護層）,其中D級的安全保護是最低的?屬于D級的系

統是不安全的,以下操作系統中屬于D級安全的是（A）?

A.運行非UNIX的Macintosh機

B.運彳亍Linux的PC機

C.UNIX系統

D.XENIX

9.計算機病毒是計算機系統中一類隱藏在（C）上蓄意破壞的搗亂程序?

A.內存

B.軟盤

C.存儲介質

D.網絡

10.對攻壬可能性的分析在很大程度上帶有（B）。

A.客觀性

B.主觀性

C.盲目性

D.卜面3項都不是

11.網絡安全最終是一個折衷的方案?即安全強度和安全操作代價的折衷,除增加安全設施投資外?還應考慮（D）。

A.用戶的方便性

B.管理的復雜性

C,對現有系統的影響及對不同平臺的支持

D.上面3項都是

12.從安全屬性對各種網絡攻擊進行分類,阻斷攻擊是針對（B）的攻擊。

A.機密性

B.可用性

C.完整性

D.真實性

13.從安全屬性對各種網絡攻擊進行分類?截獲攻擊是針對（A）的攻擊。

A.機密性

B,可用性

C.完整性

D.真實性

14.從攻擊方式區分攻擊類型,可分為被罰攻擊和主動攻擊,被動攻擊難以（）,然而（）這些攻擊是可行的；主動攻擊難以

（）,然而（）這些攻擊是可行的。（C）

A.阻止,檢測,阻止?檢測

B.檢測?阻止,檢測,阻止

C.檢測,阻止?阻止?檢測

D.上面3項都不是

15.竊聽是一種（）攻擊,攻擊者（）將自己的系統插入到發送站和接收站之間?截獲是一種（）攻擊,攻擊者（）將自己的

系統插入到發送站和接收站之間。（A）

A.被動,無須?主動?必須

B.主動?必須,被動?無須

C.主動?無須?被動?必須

D.被動必須，主動?無須

16.威脅是一個可能破壞信息系統環境安全的動作或事件,威脅包括（D）?

A.目標

B.代理

C.事件

D.上面3項都是

17.對目標的攻擊威脅通常通過代理實現?而代理需要的特性包括（D）。

A.訪問目標的能力

B.對目標發出威脅的動機

C.有關目標的知識

D.上面3項都是

18.拒絕,報務攻擊的后果是（E）。

A.信息不可用

B.應用程序不可用

C.系統宕機

D.阻止通信

E.上面幾項都是

19.機密性服務提供信息的保密?機密性服務包括（D）?

A.文件機密性

B.信息傳輸機密性

C.通信流的機密性

D.以上3項都是

20.完整性服務提供信息的正確性。該服務必須和（C）服務配合工作?才能對抗篡改攻擊。

A.機密性

B.可用性

C.可審性

D.以上3項都是

21.數字簽名要預先使用單向Hash函數進行處理的原因是（C）。

A.多一道加密工序使密文更難破譯

B.提高空文的計算速度

C.縮小笠名密文的長度,加快數字簽名和驗證簽名的運算速度

D.保證者文能正確地還原成明文

22.Kerberos的設計目標不包括（B）。

A.認證

B.授權

C.記賬

D.加密

23.身份鑒別是安全服務中的重要一環，以下關于身份鑒別的敘述不正確的是（B）。

A.身份鑒別是授權控制的基礎

B.身份鑒別一般不用提供雙向的認證

C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法

D.數字簽名機制是實現身份鑒別的重要機制

24.基于通信雙方共同擁有的但是不為別人知道的秘密,利用計算機強大的計算能力,以該秘密作為加密和解密的密鑰的認證

是（C）。

A.公鑰認證

B.零知識認證

C.共享密鑰認證

D.口令認證

25.Kerberos在請求訪問應用服務器之前?必須（A）。

A.向TicketGranting服務器請求應用服務器ticket

B.向認證服務器發送要求獲得“證書”的請求

C.請求獲得會話密鑰

D.直接與應用服務器協商會話密鑰

26.下面不屬于PKI（公鑰基礎設施）的組成部分的是（D）。

A.證書主體

B.使用證書的應用和系統

C.證書權威機構

D.AS

27.下列對訪問控制影響不大的是（D）。

A.主體身份

B.客體身份

C.訪問類型

D.主體與客體的類型

28.為了笥化管理?通常對訪問者（A）,避免訪問控制表過于龐大。

A.分類組織成組

B.嚴格限制數量

C.按訪問時間排序?并刪除一些長期沒有訪問的用戶

D.不作任何限制

29.一個報文的端到端傳遞由OSI模型的（B）層負責處理。

A.網絡

B.傳輸

C.會話

D.表示

30.在開放系統互連環境中,兩個N層實體進行通信,它們可能用到的服務是（A）。

A.N?1層提供的服務

B.N層提供的服務

C.N+1層提供的服務

D.以上3項都不是

31.在某個網絡上的兩臺機器之間傳輸2小時的文件?而網絡每隔1小時崩潰一次?這時可以考慮在數據流中加入一個校驗點,

使得在網絡崩潰后,只是最后一個校驗點之后的數據進行重傳。在OSI模型中,這個校驗點最有可能是由（C）完成的。

A.應用層

B.表示層

C.會話層

D.傳輸層

32.當進行文本文件傳輸時,可能需要進行數據壓縮,在OSI模型中,規定完成這一工作的是（B）。

A.應用層

B.表示層

C.會話層

D.傳輸層

33.用于實現身份鑒別的安全機制是（A）。

A.加密機制和數字簽名機制

B.加密機制和訪問控制機制

C.數字簽名機制和路由控制機制

D.訪問控制機制和路由控制機制

34.在ISO/OSI定義的安全體系結構中,沒有規定（E）。

A.對象認證服務

B.訪問控制安全服務

C.數據保密性安全服務

D.數據完整性安全服務

E.數據可用性安全服務

35.身份鑒別是安全服務中的重要一環，以下關于身份鑒別的敘述不正確的是（B）?

A.身份鑒別是授權控制的基礎

B.身份鑒別一般不用提供雙向的認證

C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法

D.數字簽名機制是實現身份鑒別的重要機制

36.（D）不屬于ISO/OSI安全體系結構的安全機制。

A.通信業務填充機制

B.訪問控制機制

C.數字簽名機制

D.審計機制

E.公證機制

37.ISO定義的安全體系結構中包含（B）種安全服務。

A.4

B.5

C.6

D.7

38.IS。安全體系結構中的對象認證安全服多,使用（B）完成“

A.加密機制

B.數字簽名機制

C.訪問控制機制

D.數據完整性機制

39.CA屬于ISO安全體系結構中定義的（D）。

A.認證交換機制

B.通信業務填充機制

C.路由控制機制

D.公證機制

40.數據保密性安全服務的基礎是（D）。

A.數據完整性機制

B.數字簽名機制

C.訪問控制機制

D.加密機制

41.路由控制機制用以防范（B）。

A.路由器被攻擊者破壞

B.非法用戶利用欺騙性的路由協議?篡改路由信息、竊取敏感數據

C.在網符層進行分析,防止非法信息通過路由

D.以上3項都不是

42.數據完整性安全機制可與（C）使用相同的方法實現。

A.加密機制

B.公證機制

C.數字簽名機制

D.訪問控制機制

43.可以被數據完整性機制防止的攻擊方式是（D）?

A.假冒源地址或用戶的地址欺騙攻擊

B.抵賴做過信息的遞交行為

C.數據。途被攻擊者竊聽獲取

D.數據在途中被攻擊者篡改或破壞

44.VPN的加密手段為（C）。

A.具有加密功能的防火墻

B.帶有加密功能的路由器

C.VPN內的各臺主機對各自的信息進行相應的加密

D.單獨的加密設備

45.IPSec協議中自希對IP數據報加密的部分杲（A）?

A.封裝安全負載（ESP）

B.鑒別包頭（AH）

C.Internet密鑰交換（IKE）

D,以上都不是

46.分組過濾型防火墻原理上是基于（C）進行分析的技術。

物理層B.數據鞋路層C.網絡層D.應用層

47.SSL立生會話密鑰的方式是（C）。

A.從密鑰管理數據庫中請求獲得

B.每一臺客戶機分配一個密鑰的方式

C.隨機曰客戶機產生并加密后通知服務器

D.由服務器產生并分配給客戶機48.

（C）屬于Web中使用的安全協議。

A.PEM、SSL

B.S-HTTP、S/MIME

C.SSL'S-HTTP

D.S/MIME'SSL

49.為了降低風險?不建議使用的Internet服務是（D）。

A.Web服務

B.外部訪問內部系統

C.內部訪問Internet

D.FTP服務

50.為了提高可用性,采用多線接入多ISP的通信結構,采用這種方案需要解決問題是（D）。

A.需要ISP具有邊界網關協議BGP知識

B.連接物理路由的冗余

C.編址萬案

D.以上3項都是

51.對非軍事區DMZ而言?正確的解釋是［C）。

A.DMZ是一個非真正可信的網絡部分

B.DMZ網絡訪問控制策略決定允許或禁止進入DMZ通信

C.允許外部用戶訪問DMZ系統上合適的服務

D.以上3項都是

52.對動態網絡地址轉換（NAT）,不正確的說法是（B）。

A.將很多內部地址映射到單個真實地址

B.外部網絡地址和內部地址一對一的映射

C.最多可有64000個同時的動杰NATi車樓

D.每個連接使用一個端口

53.第二層保護的網絡一般可達到點對點間（D）。

A.較強的身份認證

B.保密性

C.連續的通道認證

D.以上3項都是

54.第三層保護的網絡與第二層保護的網絡相比在通信成本上占有一定優勢?它只需要（）進行保護。主要采用的技術是

（C）?

A.認證機制,防火墻

B.訪問控制機制,IPSec

C.訪問控制機制?防火墻和IPSec

D.認證機制,防火墻和IPSec

55.傳輸層保護的網絡采用的主要技術是建立在（A）基礎上的（）。

A.可靠的傳輸服務,安全套接字層SSL協議

B.不可靠的傳輸服務,S-HTTP協議

C.可靠的傳輸服務,S?HTTP協議

D.不可靠的傳輸服務?安全套接字層SSL協議

56.通常所說的移動VPN是指（A）。

A.AccessVPN

B.IntranetVPN

C.ExtranetVPN

D.以上皆不是

57.屬于第二層的VPN隧道協議有（B）。

A.IPSec

B.PPTP

C.GRE

D.以上皆不是

58.GRE協議（B）。

A.既封裝■又加密

B.只封裝■不加密

C.不封裝?只加密

D.不封裝-不加密

59.PPTP客戶端使用（A）建立連接。

TCP協議B.UDP協議

C.L2Tp協議

D.以卜皆不杲

60.GRE協議的乘客協議是（D）。

A.IP

B.IPX

C.AppleTalk

D.上述皆可

61.IPSec協議和（C）VPN隧道協議處于司一層。

A.PPTP

B.L2TP

C.GRE

D.以上皆是

62.AH協議中必須實現的驗證算法是（Aj。

A.HMAC-MD5和HMAC-SHA1

B.NULL

C.HMAC-RIPEMD-160

D.以上皆是

63.ESP協議中不是必須實現的驗證算法的是（D）?

A.HMAC-MD5

B.HMAC-SHA1

C.NULL

D.HMAC-RIPEMD-160

64.ESP協議中必須實現的加密算法是（C）。

A.僅DES-CBC

B.僅NULL

C.DESCBC和NULL

D.3DES-CBC

65.（A）協議必須提供驗證服務。

A.AH

B.ESP

C.GRE

D.以上皆是

66.下列協議中,（A）協議的數據可以受到IPSec的保護。

A.TCPUDP'IP

B.ARP

C.RARP

D.以上皆可以

67.“會話偵聽與劫持技術”是屬于（B）的技術。

A.密碼分析還原

B.協議漏洞滲透

C.應用漏洞分析與滲透

D.DoS攻擊

68.計算機病毒主要由（潛伏）機制、（傳染）機制和（表現）機制構成。

69.計算機病毒按連接方式分為（B）'（入侵型病毒）、（F）和（I）?按破壞性質分為（A）和（C）?按感染方式分為

（E）、（G）和（H）。

A.良性病毒

B.源碼型病毒

C.惡性病毒

D.嵌入型病毒

E.引導型病毒

F.外殼型病毒

G.文件型病毒H.混合型病毒I.操作系統型病毒

70.病毒防治技術分為“防”和“治”兩部分。“防”毒技術包括（預防）技術和（免疫）技術；“治”毒技術包括（檢測）技術和（消

除）技術?

71.計算機病毒特征判定技術有（比較）法'（掃描）法'（校驗）法和（分析）法。

72.基于網絡的多層次的病毒防御體系中設置的多道防線包括（客戶端）防殘、（服務器）防線、（Internet網關）防線和（防

火墻）防線。

73.病毒防治軟件的類型分為（病毒掃描）型'（完整性檢查）型和（行為封鎖）型。

74.網絡應用安全平臺WebST是（B）的實現。

A.CA

B.AAs

C.應用

75.安全或脅可分為外部安全威脅與內部安全威脅兩類。由威脅引起的損失可分為直接損失與間接損失兩類。根據美國CSI/FBI

的統計費料,大部分嚴重的經濟損失來自（）安全威脅,而（B）又占總損失的大部分。

A.外部,間接

B.內部?間接

C.內部-亙接

D.外部■直接

76.安全模型的核心組成是（C）和（）。

A.風險評估,安全策略

B.信息分類處理，安全需求

C.風險評估,信息分類處理

D.上面3項都不是

77.技術安全需求集中在對（D）的抨制卜?而技術安全拌制的豐要目標是保護組織信息咨產的（）。

A.計算機系統、完整性

B.網絡系統、可用性

C,應用程序、機密性

D.上面3項都是

78.計算機系統的鑒別包括（D）。

A.用戶標識認證

B.傳輸原發點的鑒別

C.內容答別及特征檢測

D.以上3項都是

79.安全基礎設施的主要組成是（D）。

A.網絡和平臺

B.平臺和物理設施

C.物理設施和處理過程

D.上面3項都是

80.安全基礎設施設計的基本目標是保護（B）。

A.企業的網絡

B.企業的資產

C.企業的平臺

D.企業的知識財產。

81.安全基礎設施設計指南應包括（D）。

A.保證企業安全策略和過程和當前經營業務目標一致

B.開發一個計算機事故響應組CIRT

C.設計基礎設施安全服務

D.以上3項都是

82.支撐性基礎設施是能提供安全服務的一套相互關聯的活動與基礎設施,最重要的支撐性基礎設施是（C）。

A.KMI/PKI

B.PKI以及檢測與響應

C.KMI/PKI以及檢測與響應

D.以上3項都不是

83.KMI/PKI支持的服務不包括（C）。

A.非對稱密鑰技術及證書管理

B.對稱密鑰的產生和分發

C.訪問控制服務

D.目錄服務

84.PKI的牛要組成不包括（B）。

A.證書授權CA

B.SSL

C.注冊授權RA

D.證書存儲庫CR

85.PKI管理對象不包括（A）。

A.ID和口令

B.證書

C.密鑰

D.證書撤銷列表

86.下列基礎設施目錄服務的特性（C）是不正確的。

A.優化的數據恢復

B.定義的名字空間

C.高度的集中性

D.提供對多種應用的訪問

87.信息系統安全工程ISSE是由美國國家安全局發布的《信息保障技術框架（IATF）》3.0版本中提出的設計和實施信息系統

（A）。

A.安全工程方法

B.安全工程框架

C.安全工程體系結構

D.安全工程標準1.

如何組織一個安全的計算機系統？

所謂計算機安全就是：為數據處理系統和采取的技術的和管理的安全保護?保護計算機硬件、軟件、數據不因偶然的或惡意的

原因而遭到破壞'更改'顯露。可以看出主要從三個方面進行保護,即硬佇安全,軟件安全和數據安全?計算機安全中最重要

的是存儲數據的安全,其面臨的主要威脅包括：計算機病毒'非法訪問等。

對于計算機硬件來講?空氣濕度、靜電、電磁場、電壓穩定性等都會產生不同程度的影響。我們需要是我們的電腦工作在適宜

而又安全的環境中。此外?我們能還可以通采噪聲干擾源和電磁屏蔽技術防