计算机安全课后题

计算机安全原理与实践课后习题答案

第一章概述Overview Pe6-Pc4

●P1.1-Pe36-Pc24①Consider an automate tell machine (ATM) in which users provide a

personal identification number (PIN) and a card for account access. Give examples of confidentiality, integrity, and availability requirements associated with the system and, in each case, indicate the degree if importance if the requirement.

思考在自动柜员机（ATM）上，用户提供银行卡和个人标识码（PIN）用于账户访问。

给出与系统相关的机密性、完整性和可用性要求的例子，并说明每种情况下的要求的重要性等级。

答：The system must keep personal identification numbers confidential, both in the host system and during transmission for a transaction. It must protect the integrity of account records and of individual transactions. Availability of the host system is important to the economic well being of the bank, but not to its fiduciary responsibility. The availability of individual teller machines is of less concern.

●P1.5-P37-Pc25 Use a matrix format to show the relationship between X.800 security

services and security correspond to services. Each cell in the matrix should be checked, or not, to indicate whether the corresponding mechanism is used in providing the corresponding service.

使用矩阵形式来说明X.800安全服务和安全机制间的关系。矩阵的列对用安全机制，行对应安全服务。矩阵中的每一个单元用来表示是否有相应的机制提供对用的服务。

①R：思考题；P：习题；Pe：英文书页码；Pc：中文书页码。

●P1.6-P37-Pc25 Draw a matrix similar to that for the preceding problem that shows the

relationship between X.800 security services and network security attacks.

画一个类似于上述问题的矩阵，给出X.800安全服务与网络安全攻击的关系。

●P1.7-P37-Pc25 Draw a matrix similar to that for the preceding problem that shows the

relationship between X.800 security mechanisms and network security attacks.

画一个类似于上述问题的矩阵，给出X.800安全机制与网络安全攻击的关系。

●R6.10-Pe209-Pc138 What is the difference between a distributed host-based IDS and a

NIDS?

基于主机的分布式IDS和NIDS之间的区别是什么？

答：A NIDS examines packet traffic directed toward potentially vulnerable computersystems on a network. A host-based system examines user and software activityon a host. A distributed IDS is a collection of host-based IDSs that cooperate, butthe focus remains on host activity rather than network activity.

监测网络上流向潜在的易受攻击的计算机系统的数据包流量，而基于主机的IDS系统检测的是主机上的用户和软件活动

●R6.11-Pe209-Pc138 Describe the types of sensors that can be used in a NIDS.

描述可被用于NIDS的传感器类型。

答：An inline sensor is inserted into a network segment so that the traffic that it ismonitoring must pass through the sensor. A passive sensor monitors a copy ofnetwork traffic; the actual traffic does not pass through the device.

内嵌传感器将被插入到网络段，以使正在监控的流量必须通过传感器。另一种是被动传感器，监控网络流量的备份，实际的流量并没有通过这个设备。

●R6.12-Pe209-Pc138 What are possible locations for NIDS sensors?

NIDS传感器可能的位置是什么？

答：1. just inside the external firewall;

2. between the external firewall and theInternet or WAN;

3. at the entrance to major backbone networks; to supportworkstation LANs.

1.在外部防火墙之中

2.在外部防火墙和以太网/网络之间

3.在主要支柱网络的入口处，用来维护局域网。

●R6.13-Pe209-Pc138 What is a honeypot?

蜜罐的含义是什么？

答：Honeypots are decoy systems that are designed to lure a potential attacker awayfrom critical systems.

蜜罐是为了引诱潜在的攻击者原理关键系统而设计的障人耳目的系统。

第七章恶意软件Malicious Software Pe215-Pc142

●P7.1-Pe246-Pc163 What is the role if compression in the operation if a virus?

病毒执行过程中压缩的作用是什么？

答：A virus may use compression so that the infected program is exactly the samelength as an uninfected version.

病毒执行过程中加密的作用是什么？

答：A portion of the virus, generally called a mutation engine, creates a randomencryption key to encrypt the remainder of the virus. The key is stored with thevirus, and the mutation engine itself is altered. When an infected program isinvoked, the virus uses the stored random key to decrypt the virus. When thevirus replicates, a different random key is selected.

先通过部分病毒代码生成一个随机的密钥，然后用密钥加密其余部分。密钥保存在病毒代码中。当被感染的程序执行时，先要使用这个随即密钥解密被加密的部分。再感染过程中，病毒会重新生成随即密钥。因为对每一个病毒实例都使用不同的密钥进行加密，所以在病毒代码很难找到用于模式匹配的固定字节。

●P7.3-Pe246-Pc163 What are typical phases of operation of a virus or worm?

病毒或蠕虫执行过程中的典型阶段是什么？

答：A dormant phase, a propagation phase, a triggering phase, and an execution phase

●P7.6-Pe246-Pc163 In general terms, how does a worm propagate?

在一般情况下，蠕虫是如何传播的？

答：1. Search for other systems to infect by examining host tables or similarrepositories of remote system addresses.

2. Establish a connection with a remotesystem.

3. Copy itself to the remote system and cause the copy to be run.

1 通过检查主机列表或者相似的远程系统地址库，来寻找要感染的系统。

2 与远程主机建立连接。

3 将自己复制到远程主机上，并使该拷贝运行。

●P7.8-Pe246-Pc163 What is the difference between a bot and a rootkit?

bot和rootkit有什么不同？

答：A bot (robot), also known as a zombie or drone, is a program that secretly takesover another Internet-attached computer and then uses that computer to launchattacks that are difficult to trace to the bot's creator. A rootkit is a set of programsinstalled on a system to maintain administrator (or root) access to that system.Root access provides access to all the functions and services of the operatingsystem. The rootkit alters the host's standard functionality in a

●R8.1-Pe271-Pc180 Define a denial-of-service (DoS) attack.

试述拒绝服务（DoS）攻击的定义。

答：A denial of service (DoS) attack is an action that prevents or impairs theauthorized use of networks, systems, or applications by exhausting resources suchas central processing units (CPU), memory, bandwidth, and disk space.

DoS是一种通过耗尽CPU、内存、快带以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为。

●R8.2-Pe271-Pc180 What types of resources are targeted by such attacks?

那些类型的资源被DoS攻击作为攻击目标？

答：Resources that could be attacked include any limited resources such as: networkbandwidth, system resources, or application resources.

网络带宽，系统资源，应用资源

●R8.3-Pe271-Pc180 What is the goal of a flooding attack?

洪泛攻击的目标是什么？

答：The goal of a flooding attack is generally to overload the network capacity on somelink to a server, or alternatively to overload the server’s ability to handle andrespond to this traffic.

洪泛攻击的目的大都是使到服务器的链路超负荷，也可以是使服务器处理和响应网络流量的能力超负荷。

●R8.4-Pe271-Pc180 What types of packets are commonly used for flooding attacks?

在通常的洪泛攻击当中，一般会使用什么样的数据包？

答：Virtually any type of network packet can be used in a flooding attack, thoughcommon flooding attacks use ICMP, UDP or TCP SYN packet types.

几乎任何类型的网络数据包都可以进行洪泛攻击，通常使用的有：ICMP, UDP or TCP SYN。

●R8.5-Pe271-Pc180 Why do many DoS attacks use packets with spoofed source addresses?

为什么很多的DoS攻击使用带有虚假源地址的数据包？

答：Many DoS attacks use packets with spoofed source addresses so any responsespackets that result are no longer be reflected back to the original source system,but rather are scattered across the Internet to all the various forged sourceaddresses. Some of these addresses might correspond to real systems, others maynot be used, or not reachable. Any response packets returned as a result only addto the flood of traffic directed at the target system.

●R8.6-Pe271-Pc180 Define a distributed denial-of-service (DDoS) attack.

给出分布式拒绝服务（DDoS）攻击的定义。

答：A distributed denial of service (DDoS) attack uses multiple attacking systems,often using compromised user workstations or PC’s. Large collections of suchsystems und er the control of one attacker can be created, collectively forming a“botnet”. By using multiple systems, the attacker can significantly scale up thevolume of traffic that can be generated. Also by directing the attack throughintermediaries, the attacker is further distanced from the target, and significantlyharder to locate and identify.

●R8.7-Pe271-Pc181 What architecture does a distributed denial of service (DDoS) attack

typically use?

DDoS攻击通常所使用的体系结构是什么样的？

答：Distributed denial of service (DDoS) attack botnets typically use a controlhierarchy, where a small number of systems act as handlers controlling a muchlarger number of agent systems, as shown in Figure 8.4. These have are a numberof advantages, as the attacker can send a single command to a handler, which thenautomatically forwards it to all the agents under its control. Automated infectiontools can also be used to scan for and compromise suitable zombie systems.

●R8.8-Pe271-Pc181 Define a reflection attack.

给出反射攻击的定义。

答：In a reflection attack, the attacker sends a network packet with a spoofed sourceaddress to a service running on some network server, that responds to the spoofedsource address that belongs to the actual attack target. If the attacker sends anumber of such spoofed requests to a number of servers, the resulting flood ofresponses can overwhelm the target’s network link. The fact that normal serversystems are being used as intermediaries, and that their handling of the packets is entirely conventional, means these attacks can be easier to deploy, and harder totrace back to the actual attacker.

攻击者将想攻击的目标系统地址作为数据包的源地址，并将这些数据包发送给中间媒介上的一直网络服务。当中间媒介响应时，大量的响应数据包会被发送给源地址所指向的目标系统。他能有效地使攻击从中间媒介反射出去。

●R8.9-Pe271-Pc181 Define an amplification attack.

给出放大攻击的定义。

答：An amplification attack also involves sending packets to intermediaries with aspoofed source address for the target system. They differ in generating multipleresponse packets for each original packet sent, typically by directing the originalrequest to the broadcast address for some network. Alternatively they use aservice, often DNS, which can generate a much larger response packet than theoriginal request.

放大攻击是反射攻击的一个变种，同样是发送带有虚假源地址的数据包给中间媒介。不同的是中间媒介对每个来自攻击者的初始数据包会产生对各响应数据包。攻击者可以发送初始请求数据包到某些网络的广播地址，那么整个网络上的所有主机都可能会对数据包中源地址所指向的主机进行响应，即这些主机会形成一个响应数据包洪泛流。

●R8.10-Pe271-Pc181 What is the primary defense against many DoS attacks. And where is it

implemented?

防范DoS攻击的基本措施是什么？在哪里实施？

答：The primary defense against many DoS attacks is to prevent source addressspoofing. This

must be implemented close to the source of any packet, when thereal address (or at least network) is known. Typically this is the ISP providing thenetwork connection for an organization or home user. It knows which addressesare allocated to all its customers, and hence is best placed to ensure that validsource addresses are used in all packets from its customers.

●R8.11-Pe271-Pc181 What is the primary defense against nonspoofed flooding attacks? Can

such attacks be entirely prevented?

哪些防范措施可能抵御非欺骗的洪泛攻击？能否彻底预防这种攻击？

答：Excess network bandwidth and replicated distributed servers,particularly when the overload is anticipated. This does have a significantimplementation cost though. Rate limits of various types on traffic can also beimposed. However such attacks cannot be entirely prevented,

a nd may occur“accidentally” as a result of very high legitimate traffic loads.

●R8.12-Pe271-Pc181 What defenses are possible against TCP SYN spoofing attacks?

什么措施可以防范TCP SYN欺骗攻击？

答：It is possible to specifically defend against the SYN spoofing attack by using amodified version of the TCP connection handling code, which instead of savingthe connection details on the server, encodes critical information in a “cookie” sentas the server’s initial sequence number.

When a legitimate client responds with anACK packet, the server is able to reconstruct this information. Typically thistechnique is only used when the table overflows, as it does take computationresources on the server, and also blocks the use of certain TCP extensions.

1 可以使用改进版本的TCP链接处理程序来专门抵御SYN欺骗攻击。

2 当TCP连接

表溢出时，我们可以通过修改系统的TCP/IP网络处理程序来选择性的丢弃一个TCP 连接表中不完全连接的表项，从而允许新的连接请求。3 修改TCP/IP网络处理程序中所使用的参数。

●R8.13-Pe271-Pc181 What do the terms slashdotted and flash crowd refer to? What is the

relation between these instances of legitimate network overload and the consequences of

a DoS attack?

Slshdotted和flash crowd分别表示什么？正常的网络超负荷与DoS攻击所造成的服务器拒绝服务之间的关系是什么？

答：The terms slashdotted or flash crowd refer to very large volumes of legitimate traffic,as result of high publicity about a specific site, often as a result of a posting to thewell-known Slashdot or other similar news aggregation site. There is very littlethat can be done to prevent this type of either accidental or deliberate overload,without also compromising network performance. The provision of significantexcess network bandwidth and replicated distributed servers is the usual responseas noted in question 8.11.

●R8.14-Pe271-Pc181 What defenses are possible to prevent an organization’s systems being

used as intermediaries in an amplification attack?

什么措施可以防止某机构的主机系统呗用作放大攻击的中间媒介？

答：To prevent an organization’s systems being used as intermediaries in a broadcastamplification attack, the best defense is to block the use of IP directed broadcasts.This can be done either by the ISP, or by any organization whose systems couldpotentially be used as an intermediary.

●R8.15-Pe271-Pc181 What steps should be taken when a DoS attack is detected?

当检测到DoS攻击时，我们应该采取什么措施？

答：In order to successfully respond to a denial of service attack, a good incidentresponse plan is needed to provide guidance. When a denial of service attack isdetected, the first step is to identify the type of attack and hence the best approachto defend against it. From this analysis the type of attack is identified, and suitablefilters designed to block the flow of attack packets. These have to be installed bythe ISP on their routers. If the attack targets a bug on a system or application,rather than high traffic volumes, then this must be identified, and steps taken tocorrect it to prevent future attacks. In the case of an extended, concerted, floodingattack from a large number of distributed or reflected systems, it may not bepossible to successfully filter enough of the attack packets to restore networkconnectivity.

In such cases the organization needs a contingency strategy to switchto alternate backup servers, or to rapidly commission new servers at a new sitewith new addresses, in order to restore service.

●R8.16-Pe271-Pc181 What measures are needed to trace the source of various types of

packets used in a DoS attack? Are some types of packets easier to trace back to their source than others?

有什么方法可以被用雷追踪Dos攻击所使用数据包的源头？室友有一些数据包与其他数据包相比更容易被追踪？

答：The organization may also wish to trace the source of various types of packetsused in a DoS attack. If non-spoofed addresses are used, this is easy. However ifspoofed sources addresses are used, this can be difficult and time-consuming, astheir ISP will need to trace the flow of packets back in an attempt to identify theirsource. This is generally neither easy nor automated, and requires cooperationfrom the network providers these packets traverse.

●P8.1-Pe271-Pc181 In order to implement the classic DoS flood attack, the attacker must

generate a sufficiently large volume of packets to exceed the capacity if the link to the target organization. Consider an attack using ICMP echo request (ping) packets that are 500 bytes in size (ignoring framing overhead). How many of these packets per second must the attacker send to flood a target organization using a 0.5-Mbps link? How many per second if the attacker uses a 2-Mbps link? Or a 10-Mbps link?

为了进行经典的DoS洪泛攻击，攻击者必须能够植草出足够大量的数据包来战局目标体统的链路容量。假设现在有一个利用ICMP回送请求（ping）数据包的DoS攻击，数据包的大小为500字节（忽略成帧开销）。对于一个使用0.5Mbps带宽链路的目标组织来说，攻击者每秒钟至少要发送多少个数据包才能进行有效的攻击？在链路的带宽为2Mbps和10Mbps的情况下呢？

答：In a DoS attack using ICMP Echo Request (ping) packets 500 bytes in size, to flooda target organization using a 0.5 Megabit per second (Mbps) link the attackerneeds 500000 / (500 ×

8) = 125 packets per second. On a 2Mbps link it’s 2000000 /(500 * 8) = 500 packets per

second. On a 10 Mbps link it’s 10000000 / (500 * 8) = 2500packets per second.

●P8.2-Pe271-Pc181 Using a TCP SYN spoofing attack, the attacker aims to flood the table of

TCP connection requests on a system so that it is unable to respond to legitimate connection requests. Consider a server system with a table for 256 connection requests.

This system will retry sending the SYN-ACK packet five times when it fails to receive a table. Assume that no additional countermeasures are used against this attack and that

the attacker has filled this table with an initial flood of connection requests. At what rate must the attacker continue to send TCP connection requests to this system in order to ensure that the table remains full? Assuming that the TCP SYN packet is 40 bytes in size (ignoring framing overhead), how much bandwidth does the attacker consume to continue this attack?

在TCP SYN欺骗攻击中，攻击者目的是使用目标系统上的TCP连接请求表溢出，从而使系统对合法连接请求不能进行相应。假设目标系统上的TCP连接请求表表项为256项，目标系统的每次超时时间为30秒，允许超时次数为5次。如果一个连接请求超时未有应答，而且超时次数大于5，那么这个请求将会从TCP连接请求表中清除。在没有相关的应对措施和攻击者已经占满了目标系统的TCP连接请求表的情况下，为了能够持续占满目标系统的TCP连接请求表，攻击者应该以什么样的速率发送TCP连接请求？

如果TCP SYN 数据包的大小为40字节（忽略成帧开销），那么攻击者所发送的请求数据包将消耗掉目标系统的多少带宽？

答：For a TCP SYN spoofing attack, on a system with a table for 256 connectionrequests, that will retry 5 times at 30 second intervals, before purging the requestfrom its table, each connection request occupies a table entry for 6 × 30secs (initial+ 5 repeats) = 3min. In order to ensure that the table remains full, the attacker mustcontinue to send 256/ 3 or about 86 TCP connection requests per minute?Assuming the TCP SYN packet is 40 bytes in size, this consumes about 86 × 40 × 8/ 60, which is about 459 bits per second, a negligible amount.

P8.3-Pe272-Pc181 Consider a distributed variant of the attack we explore in Problem 8.1.

Assume the attacker has compromised a number of broadband connected residential PCs to use as zombie systems. Also assume each such system has an average uplink capacity of 128 kbps. What is the maximum number of 500-byte ICMP echo request (ping) packets a single zombie PC can send per second? How many such zombie systems would the attacker need to flood a target organization using a 0.5-Mbps link? A 2-Mbps link? Or a 10-Mbps link? Given reports of botnets composed of many thousands of zombie systems, what can you conclude about ability to launch DDoS attacks on multiple such organizations simultaneously? Or on a major organization with multiple, much larger network links than we have considered in these problems?

在分布式的洪泛攻击（如习题8.1所述）中，假设攻击者已经控制了一定数量的高宽带僵尸机，而且每个僵尸机有着同样的网络上传带宽128kbps。那么对于每个大小为500字节的ICMP回送请求数据包来说，单一的僵尸机每秒钟可以发送多少个？攻击者至少需要多少个这样的僵尸机才能有效洪泛网络带宽分别为0.5Mbps、2Mbps和10Mbps 的目标系统？如果一直一个拥有数千个僵尸机的僵尸网络的性能数据信息，那么当这个将是网络同时发起攻击时你可以想象到什么？或者想象一下，一个大规模的组织具有多条大容量的连接，上述情况又如何？

答：In the distributed variant of the attack from Problem 8.1, a single zombie PC cansend 128000 / (500 × 8) = 32 packets per second. About 4 such zombie systems areneeded to flood a target organization using a 0.5 Megabit per second (Mbps) link,looking either at 500kbps / 128 kbps, or 125 / 32 packets per sec. For a 2Mbps linkabout 16 are needed (500/32 pps), for a 10 Mbps link about 79 are needed (2500/32pps). Given reports of botnets composed of many thousands of zombie systems,clearly multiple such simultaneously DDoS attacks are possible. As is an attack ona major organization with multiple, much larger network links (e.g.

1000 zombieswith 128kbps links can flood 128Mbps of network link capacity).

●P8.4-Pe272-Pc181 In order to implement a DNS amplification attack, the attacker must

trigger the creation of a sufficiently large volume of DNS response packets from the intermediary to exceed the capacity of the link to the target organization. Consider an attack where the DNS response packets are 500 bytes in size (ignoring framing overhead).

How many of these packets per second must the attacker trigger to flood a target organization using a 0.5-Mbps link? A 2-Mbps link? Or a 10-Mbpslink? If the DNS request packet to the intermediary is 60bytes in size, how much bandwidth does the attacker consume to send the necessary rate of DNS request packets for each if these three cases?

为了进行DNS放大攻击，攻击者必须制造出总量的数据包，来出发中间媒介产生大量的DNS应答数据包给目标系统，并耗尽目标系统的网络带宽。假设DNS应答数据包的大小为500字节（忽略成帧开销），攻击者每秒钟至少要使中间媒介产生多少个DNS 应答数据包才能有效地攻击网络带宽分别为0.5Mbps、2Mbps和10Mbps的目标系统？

如果DMS情书数据包的大小为60字节，那么对于上述三种带宽的攻击，攻击者要分别小号多少的本地带宽？

答：The answers for the DNS amplification attack are the same as in Problem 8.1. On a0.5 Mbps link, 125 packets, each of 500 bytes, are needed per second. 500pps areneeded to flood a 2Mbps link, and 2500 pps to flood a 10 Mbps link. Assuming a 60byte DNS request packet then 125 × 60 × 8 = 60kbps is needed to trigger the floodon a 0.5Mbps link, 240kbps to flood the 2Mbps link, and 1.2Mbps to flood the10Mbps link. In all cases the amplification is 500 /

60 = 8.3 times.

●R9.1-Pe299-Pc201 List three design goals for a firewall.

列出防火墙设计的三个目标。

答：1. All traffic from inside to outside, and vice versa, must pass through the firewall.This is achieved by physically blocking all access to the local network except viathe firewall. Various configurations are possible, as explained later in this section.

2. Only authorized traffic, as defined by the local security policy, will be allowed topass.

Various types of firewalls are used, which implement various types ofsecurity policies, as explained later in this section.

3. The firewall itself is immuneto penetration. This implies that use of a trusted system with

a secure operatingsystem.

1 所有入站和出站的网络流量都必须通过防火墙。可以通过物理阻断所有避开防火墙

访问内部网络的企图来实现。

2 只有经过授权的网络流量，例如符合本地安全策略定义的流量，防火墙才允许通过。

可以使用不同类型的防火墙实现不同的安全策略。

3 防火墙本身不能被渗透，防火墙应该运行在有安全操作系统的可信系统上。

●R9.3-Pe299-Pc201 What information is used by a typical packet filtering firewall?

典型的包过滤防火墙使用了什么信息？

答：Source IP address: The IP address of the system that originated the IP packet.Destination IP address: The IP address of the system the IP packet is trying toreach. Source and destination transport-level address: The transport level (e.g.,TCP or UDP) port number, which defines applications such as SNMP or TELNET.IP protocol field: Defines the transport protocol.

Interface: For a router with threeor more ports, which interface of the router the packet came from or whichinterface of the router the packet is destined for.

源IP地址：发送IP包的系统的IP地址；目的IP地址：包要到达的系统的IP地址；

源和目的段传输层地址：只传输层（如TCP，UDP）端口号，不同的端口号定义了不同的应用程序，如SNMP和TELNET；IP协议域：用于定义传输协议；接口：对于有三个或更多接口的防火墙来说，定义哪个接口用于包的出站，哪个接口用于包的入站。

●R9.5-Pe299-Pc201 What is the difference between a packet filtering firewall and a stateful

inspection firewall?

包过滤防火墙和状态检测防火墙的区别是什么？

答：A traditional packet filter makes filtering decisions on an individual packet basisand does not take into consideration any higher layer context. A statefulinspection packet filter tightens up the rules for TCP traffic by creating a directoryof outbound TCP connections, as shown in Table 9.2. There is an entry for eachcurrently established connection. The packet filter will now allow incoming trafficto high-numbered ports only for those packets that fit the profile of one of theentries in this directory.

简单的包过滤防火墙允许所有高编号端口上基于TCP的入站网络流量。状态监测防火墙通过建立一个出站TCP连接目录来强制执行TCP流量的规则。当每个已建立的连接都有一项与之对应。这样，只有当数据包符合这过目录中的某项时，包过滤器才允许那些到达高编号端口的入站流量通过。

●R9.6-Pe299-Pc201 What is an application-level gateway?

什么是应用级网关？

答：An application-level gateway, also called a proxy server, acts as a relay ofapplication-level traffic.

什么是电路级网关？

答：A circuit-level gateway does not permit an end-to-end TCP connection; rather, thegateway sets up two TCP connections, one between itself and a TCP user on aninner host and one between itself and a TCP user on an outside host. Once the twoconnections are established, the gateway typically relays TCP segments from oneconnection to the other without examining the contents. The security functionconsists of determining which connections will be allowed.

电路级网关不允许端到端TCP链接，一条在自身和内部主机TCP用户之间，另一条在自身和外部之间TCP用户之间。一旦建立了两条链接，网关就可以在这两天里链接之间传递TCP段，不检查其内容。安全功能包括判断哪些链接是允许的。

●R9.9-Pe299-Pc201 What are the common characteristics of a bastion host?

堡垒主机共有的特征是什么？

答：1. The bastion host hardware platform executes a secure version of its operatingsystem, making it a hardened system.

2. Only the services that the network administrator considers essential are installedon the

bastion host. These could include proxy applications for DNS, FTP, HTTP,and SMTP.

3. The bastion host may require additional authentication before a user is allowedaccess to

the proxy services. In addition, each proxy service may require its ownauthentication before granting user access.

4. Each proxy is configured to support only a subset of the standard application’scommand

set.

5. Each proxy is configured to allow access only to specific host systems. Thismeans that the

limited command/feature set may be applied only to a subset ofsystems on the protected network.

6. Each proxy maintains detailed audit information by logging all traffic, eachconnection, and

the duration of each connection. The audit log is an essential toolfor discovering and terminating intruder attacks.

7. Each proxy module is a very small software package specifically designed fornetwork

security. Because of its relative simplicity, it is easier to check suchmodules for security flaws.

For example, a typical UNIX mail application maycontain over 20,000 lines of code, while a mail proxy may contain fewer than 1000.

8. Each proxy is independent of other proxies on the bastion host. If there is aproblem with

the operation of any proxy, or if a future vulnerability is discovered,it can be uninstalled without affecting the operation of the other proxyapplications. Also, if the user population requires support for a new service, thenetwork administrator can easily install the required proxy on the bastion host.

9. A proxy generally performs no disk access other than to read its initialconfiguration file.

Hence, the portions of the file system containing executablecode can be made read only.

This makes it difficult for an intruder to install Trojanhorse sniffers or other dangerous files on the bastion host.

10. Each proxy runs as a nonprivileged user in a private and secured directory onthe bastion

host.

●R9.10-Pe299-Pc201 Why is it useful to have host-based firewalls?

为什么部署基于主机的防火墙很有用？

答：1. Filtering rules can be tailored to the host environment. Specific corporatesecurity policies for servers can be implemented, with different filters for serversused for different application.

2. Protection is provided independent of topology. Thus both internal and externalattacks

must pass through the firewall.

3. Used in conjunction with stand-alone firewalls, the host-based firewall providesan

additional layer of protection. A new type of server can be added to thenetwork, with its own firewall, without the necessity of altering the networkfirewall configuration.

1 过滤规则可以根据主机环境定制。既能够执行服务器共有的俄安全策略，也能针对

不同的应用实验不同的过滤规则。

2保护功能独立于网络的拓扑结构。因此，不管是内部的攻击还是外部的攻击都必须通过防火墙。

3 应用于单机防火墙之间的联合处，基于主机的防火墙提供了一个额外的保护层。挡

在网络中添加新服务器时，只需配置服务器自带的防火墙，而不需要修改整个网络的防火墙设置。

●R9.11-Pe299-Pc201 What is a DMZ network and what types of systems would you expect

to find on such networks?

什么是DMZ网络？在这样的网络中你希望发现怎样的系统？

答：Between internal and external firewalls are one or more networked devices in aregion referred to as a DMZ (demilitarized zone) network. Systems that areexternally accessible but need some protections are usually located on DMZnetworks. Typically, the systems in the

DMZ require or foster externalconnectivity, such as a corporate Web site, an e-mail server, or a DNS (domainname system) server.

●P9.11-Pe302-Pc203

●R10.2-Pe346-Pc230 What are the three rules specified by the BLP model?

BLP模型规定的三个规则是什么？

答：no read up: A subject can only read an object of less or equal security level. This isreferred to in the literature as the simple security property (ss-property).no write down: A subject can only write into an object of greater or equal securitylevel. This is referred to in the literature as the *-property.ds-property: An individual (or role) may grant to another individual (or role)access to a document based on the owner's discretion, constrained by the MACrules.

Thus, a subject can exercise only accesses for which it has the necessaryauthorization and which satisfy the MAC rules.

1 不上读：主体只能读取相同或者更低安全级别的个体。称为简单安全性。

2 不下写：主体只能写入相同或者更高安全级别的客体，称为*-特性。

3 ds-特性：一个个体（或角色）可以基于文档属主的判断在MAC规则的约束下授予

另一个个体（或角色）对一个文档的访问权。因为，还组团只能执行她具有必须的授权且满足MAC规则的访问。

P10.1-Pe346-Pc231 The necessity of the “no read up” rule for a multilevel secure system is fairly obvious. What is the importance of the “no write down” rule?

对于多级安全系统来说，“不上读”的必要性是显而易见的。“不下写”规则有什么重要性？

答：The purpose of the "no write down" rule, or *-property is to address the problem ofTrojan horse software. With the *-property, information cannot be compromisedthrough the use of

a Trojan horse. Under this property, a program operating onbehalf of one user cannot be

used to pass information to any user having a loweror disjoint access class.

计算机信息安全技术作业习题

计算机信息安全技术作业习题 习题1 1．对计算机信息系统安全构成威胁的主要因素有哪些？ 2．从技术角度分析引起计算机信息系统安全问题的根本原因是什么？ 3．计算机信息安全研究的主要内容有哪些？ 4．什么是TEMPEST技术？ 5．什么是信息的完整性、可用性、保密性？ 6．安全体系结构ISO7498-2标准包括哪些内容？ 7．计算机系统的安全策略内容有哪些？ 8．在计算机安全系统中人、制度和技术的关系如何？ 9．什么是计算机系统的可靠性？计算机可靠性包含哪些内容？ 10．提高计算机系统的可靠性可以采取哪两项措施？ 11．容错系统工作过程包括哪些部分？每个部分是如何工作的？ 12．容错设计技术有哪些？ 13．故障恢复策略有哪两种？ 14．什么是恢复块方法、N-版本程序设计和防卫式程序设计？ 习题 2 1．请说明研究密码学的意义以及密码学研究的内容。 2．古典代替密码体制和换位密码体制有什么特点？ 3. 请比较代替密码中移位密码、单表替代密码和多表替代密码哪种方法安全 性好，为什么？ 4．凯撒密码是一种单表代替密码，它的加密方法就是把明文中所有字母都用 它右面的第k个字母代替，并认为z后面又是a。加密函数可以表示为： f （ a ） = （ a + k ） Mod n 其中f（ a ）表示密文字母在字母表中的位置，a表示明文字母在字母表中 的位置，k是密钥，n为字母表中的字符个数。 设有明文security，密钥k=3，密钥字母表如表所示，其中字母表示明文或 密文字符集，数字表示字母在密钥字母表中的位置。 z 2

（2）请写出该凯撒密码的解密函数。 （3）请用高级语言编写通用凯撒密码的加密/解密程序。 5．已知仿射密码的加密函数可以表示为： f（a） = （ aK1+ K0） mod 26 并知道明文字母e、h对应密文字母是f，w，请计算密钥K1和K0来破译此密码（答案K1=23，K0=17，还有其它解）。 6．设英文字母a，b，c，…，分别编号为0，1，2，…，25，仿射密码加密变换为 c = （3m + 5） mo d 26 其中m表示明文编号，c表示密文编号。 （1）试对明文security进行加密。 （2）写出该仿射密码的解密函数。 （3）试对密文进行解密。 7．Vigenere密码是法国密码学家Blaise de Vigenere发明的。设密钥 K=k 1k 2 k 3 …k n ，明文P=p 1 p 2 p 3 …p m ，当密钥长度n比明文长度m短时，密钥可以周期 性地重复使用。那么加密函数可以表示为： f （p i ） = （ p i + k i ） mod n 其中f （p i ）表示密文字母在字母表中的位置，p i 表示明文字母在字母表中 的位置，k i 表示密钥字母在字母表中的位置， i = 1，2，…，n。 设有明文P=security，密钥K=dog。 （1）请写出加密后的密文。 （2）请写出该Vigenere密码的解密函数。 （3）请用高级语言编写通用Vigenere密码的加密/解密程序。 8．写出DES算法步骤。 9．在DES算法中，S 2盒的输入为101101，求S 2 盒的输出。 10．仔细观察DES的初始置换表，找出规律，并用数学表达式表示。 11．设有初始密钥的十六进制形式为：de 2c 3e 54 a0 9b 02，请写出经过DES的密钥置换后的密钥。 12．DES加密过程与解密过程有什么区别？ 13．AES与DES相比较有哪些特点？ 14．计算：（1）0111 0011⊕1010 1011 （2）0111 0011·1010 1011 15．已知： a（x） = {03}x3+{01}x2+{01}x+{02} b（x） = {0b}x3+{0d}x2+{09}x+{0e}， 计算：d（x） = a（x） b（x） 16．解释AES算法中的数据块长Nb、密钥长Nk、变换轮数Nr、状态state、圈密钥和扩展密钥的含义。 17．分别画出AES加密和解密过程的流程图。

计算机网络安全试卷(答案).

一、填空题。(每空1分,共15分 1、保证计算机网络的安全,就是要保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性。 2、信息安全的大致内容包括三部分:物理安全、网络安全和操作系统安全。 3、网络攻击的步骤是:隐藏IP、信息收集、控制或破坏目标系统、种植后门和在网络中隐身。 4、防火墙一般部署在内部网络和外部网络之间。 5、入侵检测系统一般由数据收集器、检测器、知识库和控制器构成。 二、单项选择题。(每题2分,共30分 1、网络攻击的发展趋势是(B。 A、黑客技术与网络病毒日益融合 B、攻击工具日益先进 C、病毒攻击 D、黑客攻击 2、拒绝服务攻击(A。 A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击 B、全称是Distributed Denial Of Service C、拒绝来自一个服务器所发送回应请求的指令 D、入侵控制一个服务器后远程关机

3、HTTP默认端口号为(B。 A、21 B、80 C、8080 D、23 4、网络监听是(B。 A、远程观察一个用户的计算机 B、监视网络的状态、传输的数据流 C、监视PC系统的运行情况 D、监视一个网站的发展方向 5、下面不是采用对称加密算法的是(D。 A、DES B、AES C、IDEA D、RSA 6、在公开密钥体制中,加密密钥即(D。 A、解密密钥 B、私密密钥 C、私有密钥

D、公开密钥 7、DES算法的入口参数有3个:Key、Data和Mode。其中Key的实际长度为(D位,是DES算法的工作密钥。 A、64 B、7 C、8 D、56 8、计算机网络的安全是指(B。 A、网络中设备设置环境的安全 B、网络中信息的安全 C、网络中使用者的安全 D、网络中财产的安全 9、打电话请求密码属于(B攻击方式。 A、木马 B、社会工程学 C、电话系统漏洞 D、拒绝服务 10、安全套接层协议是(B。 A、SET

计算机安全的基本知识和概念

计算机安全的基本知识与概念 一、计算机安全的概念与属性 点击折叠 1计算机安全的概念 对于计算机安全,国际标准化委员会给出的解释就是:为数据处理系统所建立与采取的技术以及管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露。我国公安部计算机管理监察司的定义就是:计算机安全就是指计算机资产安全,即计算机信息系统资源与信息资源不受自然与人为有害因素的威胁与危害。 2计算机安全所涵盖的内容从技术上讲,计算机安全主要包括以下几个方面。 (1)实体安全 实体安全又称物理安全,主要指主机、计算机网络的硬件设备、各种通信线路与信息存储设备等物理介质的安全。 (2)系统安全 系统安全就是指主机操作系统本身的安全,如系统中用户账号与口令设置、文件与目录存取权限设置、系统安全管理设置、服务程序使用管理以及计算机安全运行等保障安全的措施。 (3)信息安全 这里的信息安全仅指经由计算机存储、处理、传送的信息,而不就是广义上泛指的所有信息。实体安全与系统安全的最终目的就是实现信息安全。所以,从狭义上讲,计算机安全的本质就就是信息安全。信息安全要保障信息不会被非法阅读、修改与泄露。它主要包括软件安全与数据安全。 3计算机安全的属性 计算机安全通常包含如下属性:可用性、可靠性、完整性、保密性、不可抵赖性、可控性与可审查性等。可用性:就是指得到授权的实体在需要时能访问资源与得到服务。

4第四阶段,以下一代互联网络为中心的新一代网络 可靠性:就是指系统在规定条件下与规定时间内完成规定的功能。 完整性:就是指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏。 保密性:就是指确保信息不暴露给未经授权的实体。 不可抵赖性:就是指通信双方对其收、发过的信息均不可抵赖,也称不可否认性。 可控性:对信息的传播及内容具有控制能力。 可审性:就是指系统内所发生的与安全有关的操作均有说明性记录可查。 上述属性也就是信息安全应具备的属性。 二、影响计算机安全的主要因素与安全标准 点击折叠 1影响计算机安全的主要因素 影响计算机安全的因素很多,它既包含人为的恶意攻击,也包含天灾人祸与用户偶发性的操作失误。概括起来主要有: (1)影响实体安全的因素:电磁干扰、盗用、偷窃、硬件故障、超负荷、火灾、灰尘、静电、强磁场、自然灾害以及某些恶性病毒等。 (2)影响系统安全的因素:操作系统存在的漏洞;用户的误操作或设置不当;网络的通信协议存在的漏洞;作为承担处理数据的数据库管理系统本身安全级别不高等原因。 (3)对信息安全的威胁有两种:信息泄漏与信息破坏。信息泄漏指由于偶然或人为因素将一些重要信息被未授权人所获,造成泄密。信息泄露既可发生在信息传输的过程中,也可在信息存储过程中发生。信息破坏则可能由于偶然事故或人为因素故意破坏信息的正确性、完整性与可用性。具体地,可归结为:输入的数据被篡改;输出设备由于电磁辐射的破译造成信息泄露或被窃取;系统软件与处理数据的软件被病毒修改;系统对数据处理的控制功能还不完善;病毒与黑客攻击等。 2计算机安全等级标准 TCSEC(可信计算机安全评价标准)系统评价准则就是美国国防部于1985年发布的计算机系统安全评估的第一个正式标准,现有的其她标准,大多参照该标准来制定。TCSEC标准根据对

计算机网络安全试卷(答案)

一、填空题。（每空1分，共15分） 1、保证计算机网络的安全，就是要保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性。 2、信息安全的大致内容包括三部分：物理安全、网络安全和操作系统安全。 3、网络攻击的步骤是：隐藏IP、信息收集、控制或破坏目标系统、种植后门和在网络中隐身。 4、防火墙一般部署在内部网络和外部网络之间。 5、入侵检测系统一般由数据收集器、检测器、知识库和控制器构成。 二、单项选择题。（每题2分，共30分） 1、网络攻击的发展趋势是（B）。 A、黑客技术与网络病毒日益融合 B、攻击工具日益先进 C、病毒攻击 D、黑客攻击 2、拒绝服务攻击（A）。 A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击 B、全称是Distributed Denial Of Service C、拒绝来自一个服务器所发送回应请求的指令 D、入侵控制一个服务器后远程关机 3、HTTP默认端口号为（B）。 A、21 B、80 C、8080 D、23 4、网络监听是（B）。 A、远程观察一个用户的计算机 B、监视网络的状态、传输的数据流 C、监视PC系统的运行情况 D、监视一个网站的发展方向 5、下面不是采用对称加密算法的是（D）。 A、DES B、AES C、IDEA D、RSA 6、在公开密钥体制中，加密密钥即（D）。 A、解密密钥 B、私密密钥 C、私有密钥 D、公开密钥 7、DES算法的入口参数有3个：Key、Data和Mode。其中Key的实际长度为（D）位，是DES算法的工作密钥。 A、64 B、7 C、8 D、56 8、计算机网络的安全是指（B）。 A、网络中设备设置环境的安全 B、网络中信息的安全 C、网络中使用者的安全 D、网络中财产的安全 9、打电话请求密码属于（B）攻击方式。

计算机操作系统安全实训心得总结

计算机操作系统安全实 训心得总结 文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

本次实训，是对我能力的进一步锻炼，也是一种考验。从中获得的诸多收获，也是很可贵的，是非常有意义的。在实训中我学到了许多新的知识。是一个让我把书本上的理论知识运用于实践中的好机会，原来，学的时候感叹学的内容太难懂，现在想来，有些其实并不难，关键在于理解。在这次实训中还锻炼了我其他方面的能力，提高了我的综合素质。 网络真的很强大，用在学习上将是一个非常高效的助手。几乎所有的资料都能够在网上找到。敢于攻坚，越是难的问题，越是要有挑战的心理。这样就能够达到废寝忘食的境界。当然这也是不提倡熬夜的，毕竟有了精力才能够打持久战。但是做课设一定要有状态，能够在吃饭，睡觉，上厕所都想着要解决的问题，这样你不成功都难。最好在做课设的过程中能够有记录的习惯，这样在写实验报告时能够比较完整的回忆起中间遇到的各种问题。当时遇到我以前从未遇到的问题，让我都不知道从何下手。在经过大量的资料查阅之后，我对这个错误有了一定的了解，并且能够用相应的办法来解决。 这次的实训给了自己好大的提升，无论是学习中、还是同学的交流中。每一次的交流和谈话都会使我对某个问题有一个新的认识。始终把学习作为获得新知、掌握方法、提高能力、解决问题的一条重要途径和方法，切实做到用理论武装头脑、指导实践、推动工作。思想上积极进取，积极的把自己现有的知识用于社会实践中，在实践中也才能检验知识的有用性。所以在这次的实习工作中给我最大的感触就是我们在学校学到了很多的理论知识，但很少用于社会实践中，这样理论和实践就大

计算机安全技术试题C

计算机安全技术试卷（3） （课程代码：，专业：计算机科学与技术。本试题适用于函授） 一、选择题（20分，每题1分） 1．（）允许不同机器上的用户之间建立会话关系。它提供的服务之一是管理对话控制。 A．数据链路层 B. 应用层 C. 会话层 D. 表示层 2．（）指令通过发送ICMP包来验证与别一台TCP/IP计算机的IP级连接 A．ping B. ipconfig C. net D. netstat 3．一次字典攻击能否成功，很大因素上决定于（）。 A．字典文件 B. 计算机速度 C. 网络速度 D. 黑客学历 4．（）是一种可以驻留在对方服务器系统中的一种程序。 A．后门 B. 跳板 C. 终端服务 D. 木马 5．登录系统以后，使用（）可以得到管理员密码 A．GetAdmin.exe B. FindPass C. X_Scan D. GetNTUse 6．（）就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。 A. 扫描 B. 入侵 C. 踩点 D. 监听 7．字典攻击是最常见的一种（）攻击。 A. 物理攻击 B. 暴力攻击 C. 缓冲区溢出攻击 D. 拒绝服务攻击8．GetNTUse是一种（）工具。 A. 被动式策略扫描 B. 主动式策略扫描 C. 踩点 D. 监听 9．下列不属于拒绝服务攻击的是（）。 A. Smurf攻击 B. Ping of Death C. Land攻击 D. TFN攻击 10．下列文件中不可能感染文件型病毒的是（）。 A. A.EXE B. https://www.360docs.net/doc/b65164875.html, C. C.OVL D. D.DOC 11．在计算机病毒的结构中，（）是病毒间差异最大的部分。 A. 引导部分 B. 传染部分 C. 表现部分 D. 触发部分 12．“美丽杀手”是一种典型的（）病毒。 A. 宏病毒 B. 文件病毒 C. QQ病毒 D. 系统病毒 13．关于传统的加密方法，下列说法正确的是（） A．变位密码是用一组密文字母代替明文字母 B．变位密码中保持了明文的符号顺序 C．替换密码是用一组密文字母代替明文字母 D．替换密码需要对明文字母重新排序 14．IDEA密码系统的分组中明文和密文的长度均为（） A．64bit B. 128bit C. 256bit D. 512bit 15．Windows 98的安全级别是（）。 A．D级 B. C1级 C. C2级 D. B1级16．Linux是一种（）的操作系统。 A．单用户单任务 B. 单用户多任务 C. 多用户单任务 D. 多用户多任务 17．（）是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策 略实现的关联提供了一种框架。 A．安全实现 B. 安全模型 C. 安全框架 D. 安全原则 18．纵观防火墙的发展，可将其分成4个阶段，其中第二代防火墙是指（） A．包过滤防火墙 B. 代理防火墙 C. 状态监控防火墙 D. 全方位安全技术集成系统19．PGP是一种操作简单，使用方便，基于（）加密算法的邮件加密软件。 A．DES B. IDEA C. RSA D. 一次性加密 20．计算机病毒的检测方法中，（）可以识别病毒的名称。 A．特征代码法 B. 校验和法 C. 行为监测法 D. 奇偶校验法 二、填空题（20分，每空1分） 1．已知一台计算机的IP地址为172.18.25.110，子网掩码为255.255.224.0，该计算机所属的网络地址为（）。 2．一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来来就是“黑客攻击五部典”，分别为：（）、（）、（）、（）和在网络中隐身。 3．后门的好坏取决于（）。 4．本质上，木马和后门都是提供网络后门的功能，但是（）的功能稍微强大一些，一般还有远程控制的功能，（）功能比较单一。 5．木马程序一般由两个部分组成：（）和（）。 6．在计算机病毒所具有的众多特征中，（）、（）、（）和破坏性是它的四大基本特征。 7．目前，计算机病毒的寄生对象主要有两种（）和（）。 8．已知明文为sorry，密钥为7，若利用循环移位密码算法进行加密，所得密文为（） 9．包过滤防火墙作用在（）层和（）层，代理防火墙作用在（）层 10．（）通过使用对象和用户凭据的访问控制提供了对用户账户和组信息的保护存储。 三、判断题（10分，每题1分） 1．计算机病毒的触发机制越宽松越好。（） 2．寄生在可执行文件中的病毒的寄生方式一般为替代法。（） 3．一台计算机可以监听同一网段所有的数据包，但不能监听不同网段的计算机传输的信息。（）4．在IPV4的C类地址中，使用了24位表示主机地址，8位表示网络地址。（） 5．公开密钥加密算法对数据加密时，使用私有密钥进行加密，公开密钥进行解密。（）6．GetNTUser是一种主动式策略扫描工具，使用它可以破解用户的密码。（） 7．防火墙就是所有保护计算机网络中敏感数据不被窃听和篡改的硬件的组合。（） 8．计算机病毒的检测方法中，特征代码法检测速度快，可识别病毒的名称，但不能检测未知病毒。（）9．Windows 98提供的Microdoft友好登录可以对每一个登录计算机的用户进行身份验证，避免非法用户的登录。（） 10．保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。（） 四、简答题（30分，每题6分）

计算机网络安全

Submission date: Dec / 11th / 2011 Member’s information Surname(Print)Initials: ID numbers Member1……………………… Member2……………………… DECLARATIO N I/we hereby certify that this assignment is entirely my own work, except where I/we have acknowledged all material and sources used in the preparation of this assignment. I/We certify that I/we have done all typing/keystrokes. I/We also certify that the material contained in this assignment has not previously been submitted for assessment in any formal course of study, and that I/we have not copied in part or whole, or otherwise plagiarised the work of other students and/or persons. Name & Signature1: ____________________________________ Date: ___/_____/_____ Name & Signature2: ______________________________________Date: ___/_____/_____

计算机网络安全考试试题及答案

计算机[网络安全考]试试题及答案一、单项选择题（每小题 1 分，共 30 分） 1. 非法接收者在截获密文后试图从中分析出明文的过程称为（A A. 破译 B. 解密 C. 加密 D. 攻击 ） 2. 以下有关软件加密和硬件加密的比较，不正确的是（B B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3. 下面有关 3DES 的数学描述，正确的是（B A. C=E(E(E(P, K), K), K) C. C=E(D(E(P, K), K), K) 4. PKI 无法实现（D A. 身份认证 5. CA 的主要功能为（D A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书 6. 数字证书不包含（ B A. 颁发机构的名称 C. 证书的有效期 A. 身份认证的重要性和迫切性 C. 网络应用中存在不严肃性 A. 用户名+密码A. 社会工程学 B. 卡+密钥 B. 搭线窃听 ） B. 让其他计算机知道自己的存在 D. 扰乱网络的正常运行 ） B. TCP 面向流的工作机制 D. TCP 连接终止时的 FIN 报文 ） C. 地址绑定技术 ） D. 报文摘要技术 ） B. 证书持有者的私有密钥信息 D. CA 签发证书时所使用的签名算法 ） B. 网络上所有的活动都是不可见的 D. 计算机网络是一个虚拟的世界 ） D. 卡+指纹 ） C. 用户名+密码+验证码 C. 窥探 D. 垃圾搜索 ） C. 数据的机密性 D. 权限分配 ） B. 数据的完整性 ） B. C=E(D(E(P, K), K), K) D. C=D(E(D(P, K), K), K) ） A. 硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序 7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明（A 8. 以下认证方式中，最为安全的是（ D 9. 将通过在别人丢弃的废旧硬盘、U 盘等介质中获取他人有用信息的行为称为（D 10. ARP 欺骗的实质是（A A. 提供虚拟的 MAC 与 IP 地址的组合 C. 窃取用户在网络中传输的数据 11. TCP SYN 泛洪攻击的原理是利用了（A A. TCP 三次握手过程 C. TCP 数据传输中的窗口技术 12. DNSSEC 中并未采用（ C A. 数字签名技术A. 格式化硬盘 B. 公钥加密技术 13. 当计算机上发现病毒时，最彻底的清除方法为（A B. 用防病毒软件清除病毒

计算机安全试题试题.doc

计算机安全单选题 1、下面不属于以密码技术为基础实现的技术是______。 A：防火墙技术 B：数字签名技术 C：身份认证技术 D：秘密分存技术 答案：A 2、关于盗版软件，下列说法正确的是______。 A：对于盗版软件，只要只使用，不做商业盈利，其使用并不违法B：拷贝、使用网上的应用软件都是违法的 C：对防病毒软件，可以使用盗版软件 D：不管何种情况，使用盗版软件都不合法 答案：D 3、关于防火墙的说法，下列正确的是______。 A：防火墙从本质上讲使用的是一种过滤技术 B：防火墙对大多数病毒有预防的能力 C：防火墙是为防止计算机过热起火 D：防火墙可以阻断攻击，也能消灭攻击源 答案：A 4、计算机安全属性中的保密性是指_______。 A：用户的身份要保密 B：用户使用信息的时间要保密 C：用户使用IP地址要保密 D：确保信息不暴露给未经授权的实体 答案：D 5、下面无法预防计算机病毒的做法是______。 A：给计算机安装360安全卫士软件 B：经常升级防病毒软件 C：给计算机加上口令 D：不要轻易打开陌生人的邮件 答案：C 6、下面，不能有效预防计算机病毒的做法是______。 A：定期做"系统还原" B：定期用防病毒软件杀毒 C：定期升级防病毒软件 D：定期备份重要数据 答案：A 7、下面最可能是病毒引起的现象是______。 A：计算机运行的速度明显减慢 B：电源打开后指示灯不亮 C：鼠标使用随好随坏 D：计算机电源无法打开 答案：A 8、下面最可能是病毒引起的现象是______。 A：U盘无法正常打开

B：电源打开后指示灯不亮 C：鼠标使用随好随坏 D：邮电乱码 答案：A 9、杀毒完后，应及时给系统打上补丁，是因为______。 A：有些病毒就是针对系统的漏洞设计的，及时打上补丁，可使系统不再受到这种病毒的攻击 B：否则系统会崩溃 C：如果现在不打补丁，以后再无法再打补丁 D：不打补丁，病毒等于未杀掉 答案：A 10、下面，关于计算机安全属性说法不正确的是______。 A：计算机的安全属性包括：保密性、完整性、不可抵赖性、可靠性 B：计算机的安全属性包括：保密性、完整性、不可抵赖性、可用性 C：计算机的安全属性包括：可靠性、完整性、保密性、完全性 D：计算机的安全属性包括：保密性、完整性、可用性、可靠性 答案：C 11、认证技术不包括_______。 A：消息认证 B：身份认证 C：IP认证 D：数字签名 答案：C 12、消息认证的内容不包括_______。 A：证实消息发送者和接收者的真实性 B：消息内容是否曾受到偶然或有意的篡改 C：消息语义的正确性 D：消息的序号和时间 答案：C 13、目前在企业内部网与外部网之间，检查网络传送的数据是否会对网络安全构成威胁的主要设备是______。A：路由器 B：防火墙 C：交换机 D：网关 答案：B 14、以下四项中，______不属于网络信息安全的防范措施。 A：身份验证 B：查看访问者的身份证 C：设置访问权限 D：安装防火墙 答案：B 15、保护计算机网络免受外部的攻击所采用的常用技术称为______。 A：网络的容错技术 B：网络的防火墙技术 C：病毒的防治技术 D：网络信息加密技术 答案：B 16、关于计算机中使用的软件，叙述错误的是________。

兰大18秋《计算机安全技术作业_C(满分)

------------------------------------------------------------------------------------------------------------------------------ 单选题 目前主流网管系统的标准扩展包括___。 A: 网络设备、物理设备管理 B: 网络设备、应用管理 C: 物理设备、应用管理 单选题 我国关于计算机安全等级划分的国家标准是___。 A: GB2887-2000 B: GB17859-1999 C: TCSEC D: ITSEC E: ISO7498-1989 单选题 确保信息不暴露给未经授权的实体的属性指的是___。 A: 保密性 B: 完整性 C: 可用性 D: 可靠性 单选题 计算机信息系统的基本组成是：计算机实体、信息和___ A: A．网络 B: B．媒体 C: C．人 D: D．密文 单选题 与计算机系统安全实质的安全立法、安全管理和安全技术三个层次相对应的安全策略的职能分别是___ A: 限制、监视、保障 B: 监视、限制、保障 C: 监视、保障、限制 D: 限制、保障、监视 单选题 下列算法属于非对称加密算法的是___。 A: DES B: IDEA C: RSA D: MD5 单选题 IDEA加密算法的密钥长度是___位，能够抵抗差分密码分析和相关密钥密码分析的攻击。A: 32 B: 64 C: 128 D: 256

------------------------------------------------------------------------------------------------------------------------------ 单选题 以下对互联网阶段的病毒描述不正确的是___。 A: 多采用Java编写 B: 需要宿主程序 C: 能够跨平台运行 D: 借助网络传播 单选题 安全的含义___ A: A、security(安全) B: B、security(安全)和safety(可靠) C: C、safety(可靠) D: D、risk(风险) 单选题 身份按工作分类通常以___划分。 A: 分组或对象 B: 分组或角色 C: 对象或角色 单选题 以下不属于水印攻击方法的是___。 A: A、IBM攻击 B: B、跳跃攻击 C: C、鲁棒性攻击 D: D、同步攻击 单选题 黑客造成的主要安全隐患包括___。 A: 破坏系统、窃取信息及伪造信息 B: 攻击系统、获取信息及假冒信息 C: 进入系统、损毁信息及谣传信息 单选题 确保信息不暴露给未授权的实体的属性指的是___。 A: 保密性 B: 完整性 C: 可用性 D: 可靠性 单选题 目前用户局域网内部区域划分通常通过___实现。 A: 物理隔离 B: Vlan 划分 C: 防火墙防范 单选题 下面情景属于审计（Audit）过程描述的是___。 A: 用户依照系统提示输入用户名和口令 B: 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户

计算机网络安全期末考试试题A

一选择题（本大题共10小题，每小题2分，共20分）1、数据容错是用来解决信息【】 A 可靠性 B 可用性 C 可控性 D 保密性 2、防止信息非法读取的特性是【】 A 保密性 B 完整性 C 有效性 D 可控性 3、下列加密协议属于非对称加密的是【】 A RSA B DES C 3DES D AES 4 、3DES加密协议密钥是（）位【】 A 128 B 56 C 64 D 1024 5、下面哪条指令具有显示网络状态功能【】 A NETSTAT B PING C TRACERT D NET 6、下列不是身份认证的是【】 A 访问控制 B 智能卡 C 数学证书 D口令 7、PPDR安全模型不包括【】 A 策略 B 身份认证 C 保护 D 检测 E 响应 8、端口80提供的服务是【】 A DNS B WWW C FTP D BBS 9、安全扫描器是用来扫描系统【】 A 数据 B 漏洞 C 入侵 D使用 10、NAT技术的主要作用是【】 A 网络地址转换 B 加密 C 代理 D 重定向

答案 一:选择题 AAAAA ABBBA 二名词解释 1通过捕获数据包来发现入侵的行为 2 加密与解密的密码相同 3通过消耗目标系统资源使目标系统不能正常服务 4 分时连接内外网来实现安全数据传输的技术 5 未经对方许可,邮件内容与接收没有任何关系的邮件. 三简答题（共20分） 1长度娱乐城开户定期换口令不要用易猜的字符串 2安全拓扑结构加密 3权限认证过滤 4备份容错 四论述题 1 内网易接近,内网易了解结构 2制度\法律 五设计题 1服务器:漏洞访问控制客户机: 漏洞 2 加密访问控制防恶意软件防火墙 一名词解释（本大题共5小题，每小题4分，共20分） 1、入侵检测 通过捕获数据包来发现入侵的行为

计算机安全知识范文

计算机安全知识范文 随着互联网的不断发展和延伸，病毒、网络攻击、网络诈骗、个 人信息泄露等计算机安全问题日益突出。 ___在此了计算机，希望 大家在阅读过程中有所收获! 1、计算机使用过程中面临的安全隐患 使用易于猜中的密码; 对敏感文件不加密(聊天文件、邮箱、网银等); 对定制缺乏防护功能; 对社交网站利用不当泄露个人信息。 2、使用计算机时的安全防范 安装FW和防病毒软件，并经常升级，及时更新木马库，给OS和 其他软件打补丁; 对计算机系统的各个账号要设置口令，及时删除或禁用过期账号;

不要打开来历不明的网页、邮箱链接或附件，不要执行从网上下载后未经杀毒处理的软件，不要打开 ___等即时聊天工具上受到的不明文件等; 打开任何移动存储器前用杀毒软件进行检查; 定期备份，以便遭到病毒严重破坏后能迅速恢复。 3、防范U盘、移动硬盘泄密的方法 及时查杀木马与病毒; 从正规商家购买可移动存储介质; 定期备份并加密重要数据; 将U盘、移动硬盘接入计算机前，先进行病毒扫描。 4、网页浏览器配置安全 设备统一、可信的浏览器初始页面;

定期浏览器中本地缓存、记录以及临时文件内容; 利用病毒防护软件对所有下载资料及时进行恶意代码扫描。 5、计算机中毒的症状 经常; 文件打不开; 经常或硬盘空间不够; 出现大量来历不明的文件; 数据丢失; 系统运行速度慢; OS自动执行操作。 不要打开来历不明的网页、链接或附件

互联网上充斥着各种网站、病毒、木马程序。不明来历的网页、电子邮件链接、附件中很可能隐藏着大量的病毒、木马。一旦打开，这些病毒、木马会自动进入计算机并隐藏在计算机中，会造成文件丢失损坏甚至导致系统瘫痪。 1.一个好，两个妙 无论是菜鸟还是飞鸟，杀毒软件和网络都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的(都不算贵)，也可以在网上下载的共享杀毒软件(网上有不少哦)，但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机“铁桶”般的保护。 2.下载文件仔细查 网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻

计算机网络安全试题附答案

计算机网络安全试题及答案 一、单项选择题 1、当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。 B A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 2、RC4是由RIVEST在1987年开发的，是一种流式的密文，就是实时的把信息加密成一个整体，它在美国一般密钥长度是128位，因为受到美国出口法的限制，向外出口时限制到多少位 C A、64位 B、56位 C、40位 D、32位 3、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段 B A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 4、小李在使用super scan对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么 B A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器 5、你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令 C A、ping B、nslookup C、tracert D、ipconfig 6、以下关于VPN的说法中的哪一项是正确的 C A、VPN是虚拟专用网的简称，它只能只好ISP维护和实施 B、VPN是只能在第二层数据链路层上实现加密 C、IPSEC是也是VPN的一种 D、VPN使用通道技术加密，但没有身份验证功能 7、下列哪项不属于window2000的安全组件 D A、访问控制 B、强制登陆 C、审计 D、自动安全更新 8、以下哪个不是属于window2000的漏洞 D A、unicode B、IIS hacker C、输入法漏洞 D、单用户登陆 9、你是一企业网络管理员，你使用的防火墙在UNIX下的IPTABLES，你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器，你应该怎么设置防火墙规则 B A、iptables—A input—p tcp—s —source—port 23—j DENY B、iptables—A input—p tcp—s —destination—port 23—j DENY C、iptables—A input—p tcp—d —source—port 23—j DENY D、iptables—A input—p tcp—d —destination—port 23—j DENY 10、你的window2000开启了远程登陆telnet，但你发现你的window98和unix计算机没有办法远程登陆，只有win200 0的系统才能远程登陆，你应该怎么办 D

计算机安全作业

随着计算机技术的发展及信息系统的日益成熟, 计算机的应用也越来越广泛。计算机的应用已经渗透到了各行各业, 从最初的军事、到制造工业、档案管理, 现在已经进入现代办公管理和家庭。因此计算机的安全就变得尤为重要。 1 计算机安全的重要性 计算机安全主要包括数据完整性和数据安全。数据完整性是指“一种未受损的状态”和“保持完整或未被分割的品质或状态”。数据安全是指“保证外界无法访问数据”。计算机安全的主要目标是保护计算机资源以免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。计算机安全对一个企业极其重要, 数据的丢失或损坏可能对企业造成严重的损害甚至摧毁一个企业。如果一个系统的数据完整性受到破坏, 进行系统恢复的耗费和生产效率的损失都是十分重大的。 2 对计算机造成安全威胁的主要因素 2. 1 物理威胁 物理安全是指不要让别人拿到你的东西, 最常见的物理威胁有以下几个方面: 偷窃、废物搜寻、间谋行为、身份识别错误。 2. 2 线缆连接 计算机网络的使用对数据造成了新的安全威胁。最常见的问题包括: 窃听、拨号进入、冒名顶替。 2. 3 身份鉴别 身份鉴别是指计算机决定你是否有权在服务器上要求或提供某些服务的过程。常见的身份鉴别安全威胁有; 口令圈套、口令破解、算法考虑不周、编辑口令。 2. 4 编程 主要是指病毒。 2. 5 系统漏洞 系统漏洞也被称为陷井。陷井通常是由操作系统开发者有意设置的, 这样他们就能在用户失去了对系统的所有访问权时仍能进入系统。综上所述的几种造成计算机安全威胁的因素中都与口令有关, 可见口令的设置和保密极其重要。 3 保证计算机安全的策略和解决方案

计算机网络安全试题

计算机网络安全试题 一、单项选择题（本大题共20小题，每小题2分，共40分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.下面不是计算机网络面临的主要威胁的是（ B ） A.恶意程序威胁 B.计算机软件面临威胁 C.计算机网络实体面临威胁 D.计算机网络系统面临威胁 2.密码学的目的是（ D ） A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 3.假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（ D ） A.对称加密技术 B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 4.根据美国联邦调查局的评估，80%的攻击和入侵来自（ B ） A.接入网 B.企业内部网 C.公用IP网 D.个人网 1

5.下面________不是机房安全等级划分标准。（ A ） A.D类 B.C类 C.B类 D.A类 6.下面有关机房安全要求的说法正确的是（ D ） A.电梯和楼梯不能直接进入机房 B.机房进出口应设置应急电话 C.照明应达到规定范围 D.以上说法都正确 7.关于机房供电的要求和方式，说法不正确的是（ A ） A.电源应统一管理技术 B.电源过载保护技术和防雷击计算机 C.电源和设备的有效接地技术 D.不同用途的电源分离技术 8.下面属于单钥密码体制算法的是（C ） A.RSA B.LUC C.DES D.DSA 9.对网络中两个相邻节点之间传输的数据进行加密保护的是（ A ） A.节点加密 B.链路加密 C.端到端加密 D.DES加密 10.一般而言，Internet防火墙建立在一个网络的（ A ） A.内部网络与外部网络的交叉点 B.每个子网的内部 2

《计算机与网络安全》作业参考答案

《计算机与网络安全》作业参考答案 六、简答题 1．简述计算机安全分层防护体系及其作用。 1.法律、管理、伦理道德教育，对人的有效约束是安全的第一策略， 2.物理防护，针对计算机硬件上的弱点进行防护，防止人为的或自然的因素造成计算机系统的损坏的丢失， 3.访问控制，防止未授权的用户非法使用系统资源， 4.加密技术，不仅能够保护信息不泄露，而且具有信息认证的功能， 5.防毒技术，防止计算机病毒破坏软件、数据和硬件（BIOS）。 2．简述RSA加密算法。 1.取两个相近的随机大素数p和q(保密) 2.计算公开的模数r=pq(公开)，?(r) =(p-1)(q-1)(保密)， 3.随机选取整数e，满足gcd(e, ?(r))=1(公开e，加密密钥) 4.计算满足de≡1(mod ?(r)) 的d，(保密d，解密密钥，陷门信息) 5.将明文信息分成字符块x(其值的范围在0到r-1之间)进行加密， y=x e(mod r)，解密操作是x=y d(mod r)=x ed mod r=x 3．什么是Socks？ 1.Socks是一个互连网上广泛使用的代理服务软件包，也是一个建立代理服务的工具组，它还可提供网关功 能 2.Socks与代理服务器的主要不同处在于：代理服务器在客户访问互连网服务时，不必修改客户软件，而只 是要求置换；而Socks则要求修改客户软件，但不要求置换用户进程， 3.Socks可以将标准的TCP客户程序转换成同一程序的代理服务 4．简述公开密钥算法的特点。 答:公开密钥算法如下： 1)发送者用加密密钥PK对明文X加密后，在接收者用解密密钥SK解密，即可恢复出明文，或写为: DSK(EPK(X))=X，解密密钥是接收者专用的秘密密钥，对其他人保密。此外，加密和解密的运算可以对调，即EPK (DSK(X))=X。 2)加密密钥是公开的，但不能用它来解密。 3)在计算机上可以容易地产生成对的PK和SK。 4)从已知的PK实际上不可能推导出SK，即从PK到SK是“计算上不可能的”。 5)加密和解密算法都是公开的。公开密钥密码体制如下图所示:

《计算机网络安全》试题.

网络安全复习题一 一、单选题 1．各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的（A ）。 A. 数据链路层 B. 网络层 C. 传输层 D. 应用层 2. 下面不属于木马特征的是（ D ）。 A. 自动更换文件名，难于被发现 B. 程序执行时不占太多系统资源 C. 不需要服务端用户的允许就能获得系统的使用权 D. 造成缓冲区的溢出，破坏程序的堆栈 3. 下面不属于端口扫描技术的是（D ）。 A. TCP connect()扫描 B. TCP FIN扫描 C. IP包分段扫描 D. Land扫描 4. 负责产生、分配并管理PKI结构下所有用户的证书的机构是（ D ）。 A. LDAP目录服务器 B. 业务受理点 C. 注册机构RA D. 认证中心CA 5．防火墙按自身的体系结构分为（B ）。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6．下面关于代理技术的叙述正确的是（ D ）。 A．能提供部分与传输有关的状态 B．能完全提供与应用相关的状态和部分传输方面的信息 C．能处理和管理信息 D．ABC都正确 7．下面关于ESP传输模式的叙述不正确的是（ A ）。 A．并没有暴露子网内部拓扑 B．主机到主机安全 C．IPSEC的处理负荷被主机分担 D．两端的主机需使用公网IP 8.下面关于网络入侵检测的叙述不正确的是（ C ）。 A．占用资源少 B．攻击者不易转移证据 C．容易处理加密的会话过程 D．检测速度快 9.基于SET 协议的电子商务系统中对商家和持卡人进行认证的是（ B ）。 A．收单银行 B．支付网关 C．认证中心 D．发卡银行 10. 下面关于病毒的叙述正确的是（ D ）。