北邮《网络与信息安全》期末复习题(含答案)

《网络与信息安全》综合练习题一．选择题1．以下对网络安全管理的描述中，正确的是（D）。D）安全管理的目标是保证重要的信息不被未授权的用户访问。2．以下有关网络管理功能的描述中，错误的是（D）。D）安全管理是使网络性能维持在较好水平。3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（A）。A）D14．WindowsNT操作系统能够达到的最高安全级别是（B）。B）C25．下面操作系统能够达到C2安全级别的是（D）。D）Ⅲ和ⅣⅢ.WindowsNTⅣ.NetWare3.x6．计算机系统处理敏感信息需要的最低安全级别是（C）。C）C27．计算机系统具有不同的安全级别，其中Windows98的安全等级是（D）。D）D18.计算机系统具有不同的安全等级，其中WindowsNT的安全等级是（C）。C）C29.网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。10．网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。这种安全威胁属于（B）。B）破坏数据完整性12．以下方法不能用于计算机病毒检测的是（B）。B）加密可执行程序13．若每次打开Word程序编辑文当时，计算机都会把文档传送到另一FTP服务器，那么可以怀疑Word程序被黑客植入（B）。B）特洛伊木马14．网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。15．当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源，这是对网络__可用_性的攻击。16．有一类攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。17．下面攻击方法属于被动攻击的是（C）。C）通信量分析攻击18．下面攻击属于非服务攻击的是（C）。C）Ⅱ和ⅢⅡ.源路由攻击Ⅲ.地址欺骗攻击19．下面（）攻击属于服务攻击。D）Ⅰ和ⅣⅠ.邮件炸弹攻击Ⅳ.DOS攻击20．通信量分析攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类安全攻击属于_被动性_攻击。21．从信源向信宿流动过程中，信息被插入一些欺骗性的消息，这类攻击属于（B）。B）截取攻击22．网络安全攻击方法可以分为服务攻击与_非服务_攻击。23．关于RC5加密算法的描述中，正确的是（D）。D）分组和密钥长度都可变24．下面不属于对称加密的是（D）。D）RSA25．DES是一种常用的对称加密算法，其一般的分组长度为（C）。C）64位26．关于RC5加密技术的描述中，正确的是（C）。C）它的密钥长度可变27．对称加密机制的安全性取决于_密钥_的保密性。28．以下关于公钥密码体制的描述中，错误的是（C）。C）一定比常规加密更安全29．以下关于公钥分发的描述中，错误的是（D）。D）公钥的分发比较简单30．张三从CA得到了李四的数字证书，张三可以从该数字证书中得到李四的（D）。D）公钥31．在认证过程中，如果明文由A发送到B，那么对明文进行签名的密钥为（B）。B）A的私钥32．为了确定信息在网络传输过程中是否被他人篡改，一般采用的技术是（C）。C）消息认证技术33．MD5是一种常用的摘要算法，它产生的消息摘要长度是（C）。C）128位34．用户张三给文件服务器发命令，要求将文件“张三.doc”删除。文件服务器上的认证机制需要确定的主要问题是（C）。C）该命令是否是张三发出的35．防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。36．以下关于数字签名的描述中，错误的事（B）。B）数字签名可以保证消息内容的机密性37．数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。38．关于数字签名的描述中，错误的是（C）。C）可以保证消息内容的机密性39．Kerberos是一种网络认证协议，它采用的加密算法是（C）。C）DES40．IPSec不能提供（D）服务。D）文件加密41．下面关于IPSec的说法错误的是（D）。D）它只能在IPv4环境下使用42．以下关于防火墙技术的描述，错误的是（C）。C）防火墙可以阻止内部人员对外部攻击43．关于防火墙技术的描述中，正确的是（B）。B）防火墙可以布置在企业内部网和Internet之间44．以下关于防火墙技术的描述，错误的是（C）。C）防火墙可以对网络攻击进行反向追踪45．以下关于防火墙技术的描述中，错误的是（C）。C）可以查、杀各种病毒47．安全威胁可分为（A）。A）故意威胁和偶然威胁48．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意地添加或修改。这种安全威胁属于（B）。B）破坏数据完整性49．对网络的威胁包括（D）。D）①②③④⑤①假冒②特洛伊木马③旁路控制④陷门⑤授权侵犯50．著名的特洛伊木马的威胁类型属于（B）。B）植入威胁51．DES加密算法采用的密钥长度是（B）。B）56位52．下面加密算法不属于对称加密的是（C）。C）RSA53.我们领取汇款时需要加盖取款人的盖章，在身份认证中，图章属于（D）。D）个人持证54．在以下认证方式中，最常用的认证方式是（A）。A）账户名/口令认证55．以下方法不属于个人特征认证的是（A）。A）PIN码56．数字签名技术中，发送方使用自己的（A）对信息摘要进行加密。A）私钥57．基于MD5的一次性口令生成算法是（B）。B）S/Key口令协议58．为了保障网络安全，防止外部网对内部网的侵犯，多在内部网络与外部网络之间设置（C）。C）防火墙59．以下选项中，防火墙无法带来好处的是（C）。C）代替安全策略60．特洛伊木马是指软件中含有一小段察觉不出的程序段，当软件运行时会损害用户的安全。61．常见的摘要算法有消息摘要4算法MD4、消息摘要5算法MD5和安全散列算法SHA。62．加强Web通信安全的方案有：SSL（安全套接层）和_IPsec_。二．问答题1.安全体系结构中定义的安全服务有那几点？（1）．答：一个安全的计算机网络应当能够提供以下的安全服务：1．认证认证就是识别和证实，即识别一个实体的身份和证实该实体身份的真实性。2．访问控制访问控制是确定不同用户对信息资源的访问权限。3．数据保密性数据保密性的安全服务是使系统只对授权的用户提供信息，对于未被授权的使用者，这些信息是不可获得或不可理解的。4．数据完整性数据完整性的服务是针对被非法篡改的信息、文件和业务流设置的防范措施，以保证资源的可获得性。5．不可否认性不可否认性的安全服务是针对对方进行抵赖的防范措施，可用于证实发生过的操作。2.ISO7498-2建议的安全机制有那几种？（2）答：ISO7498-2建议的安全机制：1．加密机制:加密机制用于加密数据或流通中的信息，其可以单独使用。2．数字签名机制:数字签名机制是由对信息进行签字和对已签字的信息进行证实这样两个过程组成。3．访问控制机制:访问控制机制是根据实体的身份及其有关信息来决定该实体的访问权限。4．数据完整性机制5．认证机制6．通信业务填充机制7．路由控制机制8．公证机制:公证机制是由第三方参与的签名机制。3.从体系上看，Internet网络安全问题可分为那几个层次？（3）答：从体系上看，Internet网络安全问题可分为以下五个层次，即用户层、应用层、操作系统层、数据链路层和网络层。4.简述单钥体制和双钥体制的主要区别？（4）答：单钥体制的加密密钥和解密密钥相同，也称为对称密钥密码系统。采用双钥体制的每个用户都有一对选定的密码，其中一个公开，另一个保密。因此又称为公钥体制或公开密钥密码系统。5.基于TCP/IP协议的应用层服务主要有几种？（5）答：主要有：简单邮件传输协议（SMTP）、文件传输协议（FTP）、超文本传输协议（HTTP）、远程登录协议（Telnet）、简单网络管理协议（SNMP）、域名系统（DNS）。6.认证的方法有那几种？(.用户或系统通过哪几种方法证明其身份？)（6）答：用户或系统能够通过四种方法来证明其身份，即实物认证、密码认证、生物特征认证和位置认证。1）.实物认证:实物认证是采用基于所拥有的某些东西作为认证的方法。2）.密码认证:在计算机网络系统中密码认证通常是用口令。3）.生物特征认证:该方法可以使用指纹、声音、图像以及签名等方式进行认证。4）.位置认证:该认证的策略是根据用户的位置来决定其身份。7.数字签名的功能和作用是什么？（7）答：信息鉴别的方法可以使信息接收者确定信息发送者的身份以及信息在传送过程中是否被改动过。为解决这一问题，就必须利用数字签名技术。签名必须达到如下效果：在信息通信的过程中，接收方能够对公正的第三方证明其收到的报文内容是真的，而且确实是由那个发送方发送过来的；签名还必须保证发送方事后不能根据自己的利益否认它所发送过的报文，而收方也不能根据自己的利益来伪造报文或签名。8.简述对称加密和非对称加密的主要区别？（8）答：在对称加密算法中，用于加密和解密的密钥是相同的，接收者和发送者使用相同的密钥双方必须小心翼翼地保护密钥。非对称密钥加密在加密过程中使用相互关联的一对密钥，一个归发送者，一个归接收者。密钥对中的一个必须保持秘密状态，称为私钥；另一个则被广泛发布，称为公钥。9.网络防病毒工具的防御能力应体现在哪些方面？（9）答：网络防病毒工具的防御能力应体现在：1．病毒查杀能力2．对新病毒的反应能力3．病毒实时监测能力4．快速、方便的升级5．智能包装、远程识别6．管理方便，易于操作7．对现有资源的占用情况8．系统兼容性10.什么是PKI？它由哪几部分组成？（10）答：PKI就是用公钥技术实施和提供安全服务的安全基础设施。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。11.认证中心有什么功能？由哪几部分组成？（11）答：概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。认证中心CA为了实现其功能，主要由以下三部分组成：注册服务器：通过WebServer建立的站点，可为客户提供24×7不间断的服务。证书申请受理和审核机构：负责证书的申请和审核。认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。12.基于PKI的电子商务交易系统实现过程有哪几步？（12）答：假设在交易之前，企业客户已经申请获得了电子商务站点所颁发的客户消费证书。1．客户浏览电子商务站点，初始化请求，客户端认证2．验证客户身份，确定客户购买权限，返回应答请求，用户进入购买状态3．完成购物，发送订单4．服务器收到订单，请求获取安全时间戳，记录交易信息5．向商家发送订单通知，确认交易成功信息13.什么是数据包过滤技术？（13）答：数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤的逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许数据包通过。14.什么是状态检测技术？（14）答：状态检测是对包过滤功能的扩展。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。15.防火墙体系结构通常分为哪几类？（15）答：防火墙体系结构通常分为四类：1．屏蔽路由器2．屏蔽主机网关3．双宿主机网关4．屏蔽子网16.什么是虚拟专用网技术VPN？（16）答：虚拟专用网VPN是企业内部网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。17.简述分布式防火墙的基本原理。（17）答：分布式防火墙工作原理是：首先由制定防火墙接入控制策略的中心，通过编译器将策略语言的描述转换成内部格式，以形成策略文件；然后中心采用系统管理工具把策略