信息安全竞赛题库(带答案).pdf

1.OS1 安全框架是对 OS 安全体系结构的扩展。(对)2.OS 安全框架目标是解决开放系统”的安全服务。(对)3.OS1 安全框架中的安全审计框架目的在于测试系统控制是否充分(对4.S 安全框架中的安全审计框架描述了如何通过访问控制等方法来保护敏感数据,提出了机密性机制的分类方法,并阐述了与其他安全服务和机制的相互关系。(错)5.访问控制的一个作用是保护敏感信息不经过有风险的环境传送(对)6.数据机密性就是保护信息不被泄漏或者不暴露给那些未经授权的实体(对)7.数据机密性服务可分为两种:数据的机密性服务和业务流机密性服务。前者使得攻击者无法通过观察网络中的业务流获得有用的敏感信息后者使得攻击者无法从获得的数据中获知有用的敏感信息。(错)8.密码技术是信息安全的核心技术和支撑性基础技术,是保护信息安全的主要手段之一(对)9.密码技术是信息安全的核心技术和支撑性基础技术,是保护信息安全的唯一手段(错)10.在实践中,访问控制功能只能由某一特定模块完成(错)11.访问控制机制介于用户(或者用户的某个进程与系统资源(包括应用程序、操作系统、防火墙、路由器、文件以及数据库等)之间。(对)12.访问控制的作用只能防止部分实体以任何形式对任何资源进行非授权的访问(错)13.侧信道技术指利用密码设备在密码算法执行过程中产生的其他信息,如能量消耗变化、电磁辐射变化等非通信信道物理信息分析的硬件安全技术,主要分为能量分析、计时分析、错误注入和电磁泄漏等几大类攻击技术(对)14.物理与硬件安全是相对于物理破坏而言的(对)15.网络安全技术主要包括网络攻击技术和网络防御技术(对)16.网络安全技术只包括网络防御技术(错)17.网络安全技术为网络提供了安全,同时实现了对网络中操作的监管。(对)18.任何信息网络存在的目的都是为某些对象提供服务,我们常常把这些服务称为应用。(对)19.应用安全技术是指以保护特定应用为目的的安全技术(对)20.鉴别提供了关于某个实体(如人、机器、程序、进程等)身份的保证,为通信中的对等实体和数据来源提供证明(对)21.数据完整性,是指保证数据在传输过程中没有被修改、插入或者删除。数据完整性服务就是通过技术手段保证数据的完整性可验证、可发现。(对)22.数据完整性是指保证数据在传输过程中没有被修改、插入或者删除(对)23.安全服务必须依赖安全机制来实现,O 安全体系结构中提出的安全机制中,数字签名和非否认服务无关(错)24.OS 安全体系结构中提出的安全服务中,非否认服务的目的是在一定程度上杜绝通信各方之间存在相互欺骗行为,通过提供证据来防止这样的行为(对)25.OS 安全体系结构中提出的安全机制中,加密能够实现数据机密性服务,同时也能提供对业务流的保密,并且还能作为其他安全机制的补充。(对)26.OS 安全体系结构中提出的八大安全机制之一的认证交换没有利用密码技术(错)27.数据机密性就是保护信息不被泄漏或者不暴露给那些未经授权的实体。(对)28.OS 安全体系结构中提出的安全机制中,认证服务的核心不是密码技术(错)29.除了 OS 安全体系结构中提出的安全机制之外,还有五种普遍采用的安全机制,它们是可信功能模块(可信软硬件系统部件)、安全标记事件检测、安全审计跟踪以及安全恢复。(对)30.不可以使用数字签名机制来实现对等实体认证安全服务(错31.OS 安全体系结构的一个非常重要的贡献是实现了安全服务与网络层次之间的对应关系,传输层可提供认证、访问控制和部分数据机密性及完整性安全服务。(对)32.在各个网络层次中,应用层不可以提供安全服务(错)33.物理层之上能提供完整的业务流机密性安全服务(错)34.系统安全是对于各种软件系统而言的,一个只有硬件的计算机是不能直接使用的,它需要各种软件系统来支持。(对)35.信息网络还有一个共有的特性数据数据可以是信息处理的对象、信息处理的结果,也可以是信息处理产生的命令。(对36.系统安全技术是信息安全技术体系结构之一,系统安全技术就是数据库系统安全技术(错)37.密码体制是密码技术中最为核心的一个概念(对)38.密码体制被定义为两对数据变换(错)39.公钥密码体制有两种基本的模型:一种是加密模型;另一种是认证模型(对)40.现有的加密体制分成对称密码体制是和非对称密码体制(对)41.对称密码体制的特征是加密密钥和解密密钥完全相同(对)42.为了安全,对称密码体制完全依赖于以下事实:在信息传送之前,信息的发送者和授权接受者共享一些秘密信息(密钥)。(对)43.密码学新方向一文中首次提出了非对称密码体制的假想(对)44.RSA 系统是当前最著名、应用最广泛的公钥系统大多数使用公钥密码进行加密和数字签名的产品及标准使用的都是RSA 算法(对)45.公钥密码体制算法用一个密钥进行加密,而用另一个不同但是有关的密钥进行解密(对)46.加密模型中,通过一个包含各通信方的公钥的公开目录,任何一方都可以使用这些密钥向另一方发送机密信息(对)47.对称密码的优势包括未知实体间通信容易和保密服务较强。(错)48.公钥密码体制的密钥管理方便,密钥分发没有安全信道的限制,可以实现数字签名和认证(对)49.密码算法是用于加密和解密的数学函数,是密码协议安全的基础(对)50.主流的对称密码算法主要有DES(Data Encryption Standard算法,3des(Triple DES算法和 AES(Advanced Encryption Standard)算法(对)51.非对称密码算法有 RSA 算法,DSA 算法和 ECC 算法(对)52.密钥封装(Key Wrap)是一种密钥存储技术(错)53.1975 年发布的 Diffie-Hellman-密钥交换协议,可以在不安全的通信信道中进行密钥交换(对)54.如果密钥进行了更新,旧的密钥可以保留(错)55.实现数据完整性必须满足两个要求:一是数据完整性应该能被消息的接收者所验证;二是数据完整性应该与消息相关,即消息不同,所产生的附件数据也应该不同。(对)56.基于 Hash 函数的 HMAC 方法可以用于数据完整性校验(对)57.利用带密钥的 Hash 函数实现数据完整性保护的方法称为MD5 算法(错)58.基于 Hash 的数字签名方法是目前常用的数字签名方法(对)59.对称密码体制和公钥密码体制都可以用来实现数字签名(对)60.密码模块是硬件、软件、固件或其组合,它们实现了经过验证的安全功能,包括密码算法和密钥生成等过程,并且在一定的密码系统边界之内实现。(对)61.我国密码行业标准 GM/T0028-2014 标准规定了三个要求递增的安全等级(错)62.我国密码行业标准 GM/T0028-201 标准规定的安全要求涵盖了有关密码模块的安全设计、实现、运行与废弃的安全元素(域)。(对)63.密码模块包括密码算法和密钥生成等过程(对)64.量子密码学使用量子力学属性来执行加密任务。(对)65.国内提出的被动式监控方法,是对信源安全性方面的研究(信源安全性属于量子密钥分配安全性),采用真随机数技术和信源监控技术,已经使用初步原理实验进行了实现。(对)66.量子密码学将数据编码到量子的状态中,复制数据编码的量子态和读取数据的编码将会改变量子的状态,使得通信双方可以发现数据被窃听(对)67.量子密钥分配使得通信双方生成一个其他方不可获取的共享随机密钥,该密钥可用于双方通信加密。(对)68.访问控制是计算机安全的核心元素。(对)69.访问控制机制介于用户(或者用户的某个进程与系统资源(包括应用程序、操作系统、防火墙、路由器、文件以及数据库等)之间。(对)70.访问控制实现了一个安全策略,该策略规定某个实例如一个用户或者一个进程可以访问哪些特定的系统资源,以及每个实例的权限类型。(对)71.所有操作系统都应至少有一个基本的访问控制组件(对)72.访问控制的基本要素包括主体、客体和控制策略(错)73.访问控制策略一般分为自主访问控制和强制访问控制(对)74.在访问控制的基本要素中,主体是指能够访问对象的实体。(对)75.在访问控制的基本要素中,主体是指被访问的资源(错)76.在访问控制的基本要素中,客体是一类实体,即被访问的资源。(对77.在访问控制的基本要素中,客体是指能够访问对象的实体(错)78.访问控制策略决定在哪些情况下、由什么主体发起、什么类型的访问是被允许的,一般可以用一个授权数据库来实现。(对)79.访问控制策略一般无法用一个授权数据库来实现。(错)80.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的(对)81.强制访问控制是基于对客体安全级别(该级别标明客体的敏感度和关键性与主体安全级别(该级别标明主体有资格访问哪些客体)的比较来进行访问控制的。(对)82.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的。自主访问控制的安全性相对较低(对)83.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的自主访问控制的安全性相对较高(错)84.在自主访问控制中,主体有权对自身创建的客体文件、数据表等访问对象)进行访问并可将对这些客体的访问权限授予其他用户,还可收回授予其他用户的访问权限。(对)85.在自主访问控制中,每个主体对自己拥有的对客体的访问权限可以使用一维矩阵或者权限列表来表示。(对)86.使用一维矩阵表示访问控制时,会产生比较大的空间浪费(对)87.在自主访问控制中,使用权限列表表示访问控制时,会产生比较大的空间浪费因此一维矩阵成为访问控制的另一种表示方式(错)88.基于角色的访问控制是基于主体在系统中承担的角色进行的访问控制(对)89.基于角色的访问控制从控制主体的角度出发根据管理中相对稳定的职权和责任划分来分配不同的角色(对)90.在基于角色的访问控制中,大多数情况下一个系统里的角色集合是相对静态的(对)91. TCSEC 中类 D 中的级别 D1 是最高安全级别,类 A 中的级别 A1 是最低安全级别(错)92. TCSEC 定义了七个等级(D1、C1、C2、B1、B2、B3、A1)(对)93. TCSEC 主要针对的是分时多用户操作系统(对)94. TCSEC 定义的七个等级(D1、C1、C2、B1B2、B3、A1)可分为四个类别(对)95.物理与硬件安全是运行于物理设备之上的系统安全的基础,分为环境安全和设备安全。前者强调构成系统本身的各种部件,后者强调一个系统所处的外界环境(错)96.信息网络的物理安全要从环境安全和设备安全两个角度来考虑(对)97.保障物理运行环境中设备的安全称为信息网络安全的最后一道防线(错)98.物理安全,是指在物理介质层次上对存储和传输的网络信息的安全保护,也就是保护计算机网络设备、设施、其他媒体免遭地震、水灾、火灾等事故以及人为导致的破坏的过程(对)99.计算机场地可以选择在公共区域人流量比较大的地方(错)100.计算机场地可以选择在化工厂生产车间附近。(错)101.计算机机房供电线路和动力、照明用电可以用同一线路(错)102.备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件(对)103 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。(对)104.计算机场地在正常情况下温度保持在1828 摄氏度。(对)105.信息网络所使用的电子设备,往往对水、潮气比较敏感,当湿度超过一定标准后,可能会造成电子设备生锈短路而无法使用,合适状态是将场地湿度控制在40%65%(对)106.信息系统场地应该保持比较稳定的适合电子设备运行的温度,温度过高有可能引起局部短路或者燃烧,所以应有相对的温度控制系统最好是完备的中央空调系统(对)107.由于传输的内容不同,电力线可以与网络线同槽铺设。(错)108.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通(对)109 静电对电子设备的危害是不容忽视的,大量的静电积聚可能会导致磁盘读写错误,磁头损坏,计算机误操作等现象。(对)110.现代的整个电子通信都是建立在电磁信号的基础上,而电磁场的开放性决定了对电磁信号进行检测和防护的必要。否则,攻击者有可能通过电磁信号截获、分析来进行破坏和取得机密信息。(对)111.辐射泄漏以电磁波的形式由空中辐射出去,由计算机内部的各种传输线、信号处理电路、时钟电路、显示器、开关电路及接地系统、印刷电路板线路等产生(对)112.传导泄漏以电磁波的形式由空中辐射出去由计算机内部的各种传输线、信号处理电路、时钟电路、显示器、开关电路及接地系统、印刷电路板线路等产生(错)113.传导泄漏通过各种线路传导出去,可以通过计算机系统的电源线,机房内的电话线、地线等都可以作为媒介。(对)114.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。(对)115.在信息网络中设备本身的价值比较高,有些不法分子可能会为了经济利益而对设备进行偷盗、毁坏。机房外部的网络设备,应采取加固防护等措施,必要时安排专人看管,以防止盗窃和破坏。(对)116.为了信息网络的运行,设备本身需要具有一定的防潮能力,一些电子设备在出厂前就由厂家进行了专门的防潮处理,能够在较高的湿度环境下工作。(对)117.设备防静电主要是从环境上进行防护,操作人员也要有防静电意识,按照规范操作。在设备上尽量采用防静电材料。(对)118.为了信息网络运行的设备安全,新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。(对)119.在现代社会,信息往往具有很高的价值,一些恶意竞争者可能会对存储信息的设备进行恶意的偷盗或者毁坏。对于一些重要设备可以考虑使用一些加锁或者特制的机箱,进一步加强防盗保护。(对)120. TEMPEST 技术(Transient Electro Magnetic Pulse Emanation Standard,瞬态电磁辐射标准),是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄漏的最终目的。(对)121.防电磁泄漏的另一项技术是干扰技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄漏的最终目的。(错)122 计算机电磁辐射干扰器大致可以分为两种:白噪声干扰器和相关干扰器(对)123.防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄漏信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。(对)124 防止电子设备产生传导干扰和辐射干扰最好的方法是采用金属机壳对电磁场进行屏蔽以及对电源输入电路用变压器进行隔离,并且对变压器也进行静电感应和磁感应屏蔽(对)125.传导干扰,主要是电子设备产生的干扰信号通过导电介质或公共电源线互相产生干扰。(对)126.辐射干扰,是指电子设备产生的干扰信号通过空间把干扰信号传给另一个电子网络或电子设备。(对)127 为了避免造成信息泄漏,纸介质资料废弃应用碎纸机粉碎或焚毁(对)128.保存重要数据和关键数据的各类介质在废弃后要进行正确处理,比如纸介质用碎纸机粉碎或焚毁,删除磁介质上的数据。(错)129.在安全性要求比较高的地方,要安装各种监视设备。在重要场所的进出口安装监视器,并对进出情况进行录像,对录像资料妥善存储保管以备事后追查取证(对)130.为了分析密码模块能量消耗的变化,二阶/高阶 DPADifferential Power Analysis,差分能量分析)使用了统计方法(如均值差、相关系数对能量消耗进行统计分析,从而获取密钥值。(错)131.能量分析攻击可以分为两大类,即简单能量分析(Simple Power Analysis,简称 s 和差分能量分析(Differential Power Analysis,简称 DPA)。(对)132.计时分析攻击依赖于密码模块执行时间的精确测量与密码算法或过程有关的特殊数学操作之间的关系。(对)133.计时分析攻击不依赖于密码模块执行时间的精确测量,但依赖于密码算法或过程有关的特殊数学操作之间的关系。(错)134.计时分析攻击假定攻击者具有有关密码模块的设计知识。(对)135.错误注入攻击使用外部力量,如对微波、极端温度和电压的控制,引发密码模块内部运行错误。(对)136.错误注入攻击使用内部力量,如对微波、极端温度和电压的控制,引发密码模块内部运行错误。(错)137.电磁泄漏攻击,是指对正在运行的密码模块和辅助设备发出的电磁信号进行远程或外部探测和接收。(对)138.针对侧信道攻击(利用非通信信道物理信息如能量消耗变化、电磁辐射变化进行分析攻击),尽管学术界和工业界提出了很多防御技术,但是目前尚无能够抵抗所有攻击方法的防御技术。(对)139.电磁泄漏攻击可以获得敲击键盘的信息、显示屏上显示的消息,以及其他形式的关键安全信息。(对)140.固件是一种密码模块的可执行代码,它存储于硬件并在密码边界内在执行期间能动态地写或修改。(错)141.在电子系统和计算机系统中,固件一般指持久化的内存、代码和数据的结合体(对)142.存储固件的硬件可以包括但不限于PROM EEPROM、 FLASH、固态存储器、硬盘驱动等。(对)143.固件的数据和代码一般是在密码产品出厂之前就写入硬件中的而当写入固件的代码中存在恶意代码时,硬件固件攻击也将发生。(对)144 无线传感器网络是由大量静止或移动的传感器节点以自组织和单跳的方式组成的一种监测网络(错)145.经过近几年学术界对无线传感器网络的深入研究当前无线传感器网络面临多种攻击技术,其中路由攻击是指攻击节点依照路由算法伪造或重放一个路由声明声称攻击节点和基站之间有高质量的单跳路由,然后阻止或篡改被攻击区域中任一节点发出的数据包。(错)146.当前无线传感器网络仍然面临面临着多种攻击技术。其中选择性数据转发攻击,是指攻击者截取并控制某个节点后,为了避免被发现该节点已被攻破故仅丢弃应转发报文中的一部分。(对)147.当前无线传感器网络仍然面临面临着多种攻击技术其中槽洞攻击是指向无线传感器网络中通过发送大量错误路由报文的方式,非法拦截篡改路由信息,使得各个节点接收到大量的错误路由信息,从而降低整个网络的有效传输速度。(错)148.当前无线传感器网络仍然面临面临着多种攻击技术其中虫洞攻击,是指两个或多个攻击节点进行的一种合谋攻击,通过压缩攻击节点间的路由,使得彼此成为邻居节点,从而将不同分区的节点距离拉近,破坏整个网络的正常分区。(对)149.当前无线传感器网络仍然面临面临着多种攻击技术。其中女巫攻击,是指攻击节点伪装成具有多个身份标识的节点,当通过该节点的一条路由遭到破坏时,网络会选择另一条路由,但由于其具有多重身份标识,实际上还是通过了该攻击节点(对)150 当前无线传感器网络仍然面临面临着多种攻击技术。其中ello 洪泛攻击,是指攻击节点向全网广播 Hello 报文,网络中的节点收到 Helo 报文之后,使得每一个节点误以为攻击节点是自己的邻居节点。(对)151.网络攻击类型多种多样,且出现频繁、规模较大,如何有效阻止网络攻击,保护网络安全,成为网络安全技术的研究内容。网络安全技术是解决如何有效进行介入控制、如何保证数据传输的安全性等安全问题(对)152.随着计算机技术的不断革新,网络攻击手段持续翻新,网络攻击备受攻击者青睐。因此网络安全成为个人用户、企事业单位乃至国家机关都非常重视的安全领域。网络安全技术,是指由网络管理者采用的安全规则和策略,用以防止和监控非授权的访问、误用、窃听、篡改计算机网络和对可访问资源的拒绝服务等行为(对)153.网络攻击方式多种多样,从单一方式向多方位、多手段、多方法结合化发展。网络攻击根据攻击效果的不同可以分为四大类型。中常见的拒绝服务攻击是对网络系统可用性的破坏(对)154 通常,网络安全与网络攻击是紧密联系在一起的,网络攻击是网络安全研究中的重要内容,在进行网络安全研究的同时,也需要对网络攻击有所了解。常见的网络攻击多是攻击者利用网络通信协议(如 TCPIP、HTTP 等)自身存在或因配置不当而产生的漏洞而发生的(对)155.网络攻击方式多种多样,从单一方式向多方位多手段、多方法结合化发展网络攻击根据攻击效果的不同,基本可抽象划分为信息泄漏攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击四大类型(对)156.网络攻击根据攻击效果的不同可以分为四大类型其中拒绝服务攻击是指攻击者在非授权的情况下,使用计算机或网络系统服务,从而使得网络系统提供错误的服务。(错)157.网络攻击根据攻击效果的不同可以分为四大类型。其中非法使用攻击,是指攻击者通过强制占用有限的资源,如信道/带宽、存储空间等资源,使得服务器崩溃或资源耗尽而无法对外继续提供服务。(错)158.网络攻击根据攻击效果的不同可以分为四大类型。其中完整性破坏攻击,是指攻击者在非授权的情况下,对用户的信息进行修改,如修改电子交易的金额(对)159.网络攻击根据攻击效果的不同可以分为四大类型。其中信息泄漏攻击,是指攻击者在非授权的情况下,非法获取用户的敏感信息(对)160.网络攻击实施过程中涉及了多种元素。其中安全漏洞一般是程序漏洞,不可能是设计缺陷(错)161.网络攻击实施过程中涉及了多种元素。其中攻击访问,是指攻击者对目标网络和系统进行合法、非法的访问,以达到针对目标网络和系统的非法访问与使用(对)162.网络攻击实施过程中涉及了多种元素。其中攻击效果包括对网络系统和信息的机密性、完整性、可用性、可靠性和不可否认性的破坏(对)163.网络攻击实施过程中涉及了多种元素。其中攻击意图包括挑战、获取情报、发动恐怖事件、好奇、获取经济利益、报复等。(对)164.网络防御技术,是指为了确保网络系统的抗攻击能力,保证信息的机密性、完整性、可用性、可靠性和不可否认性而采取的一系列的安全技术(对)165.防火墙是网络防御技术中一个重要组成部分。它是一个只由计算机软件组成的系统,部署于网络边界,是内部网络和外部网络之前的连接桥梁(错)166.加密技术是网络防御技术中一个重要组成部分,它通过对数据进行某种变换,任意用户都能完成数据的反变换,恢复数据的明文形式,证数据在传输、共享、存储过程中的安全(错)167.网络攻击的方法、手段层出不穷,技术不断发展,难度也越来越大,网络防御也面临同样的问题,需要不断更新,才能更好地保障网络系统与信息的安全其中备份容错技术通过将关键数据备份(本地备份、异地备份),能够在系统瘫痪、数据错误、发生灾难后,及时按预定数据恢复系统程序和数据,尽量减少损失。(对)168.防火墙按照概念划分,可分为四大类。其中包过滤防火墙支持对用户身份进行高级认证机制(错)169.基于软件的应用代理网关防火墙工作在应用层(对)170.应用代理网关防火墙具有审计跟踪和报警功能(对)171.状态检测防火墙通过建立动态TCP 连接状态表对每次会话连接进行验证来实现网络访问控制功能(对)172.防火墙按应用部署位置划分,可以分为边界防火墙、个人防火墙和分布式防火墙三大类。边界防火墙是传统的位于内部网络和外部网络边界的防火墙作用是对内部网络和外部网络进行隔离,实施访问控制策略,从而保护内部网络。(对)173.防火墙按照软硬件结构划分,可以分为软件防火墙、硬件防火墙和芯片级防火墙三大类。芯片级防火墙通过专门设计的ASC 芯片逻辑进行软件加速处理。(错)174.网络处理器(Network Processor,简称 P 是专门为处理网络数据包而设计的可编程处理器,其特点是内含多个数据处理引擎。基于网络处理器架构的防火墙上运行的操作系统通常是实时操作系统。(对)175.防火墙的目的是在内部网络和外部网络连接之间建立一个安全控制点,允许、拒绝或重新定向经过防火墙的数据流,实现对进出内部网络的网络通信的审计和控制防火墙的通信带宽越宽,性能越低。(错)176.防火墙除了提供传统的访问控制功能外,或多或少地实现了一些增值功能,网络地址转换便是其中之一。网络地址转换是用于将多个地址域映射到另一个地址域的标准方法(错)177 防火墙除了提供传统的访问控制功能外,或多或少地实现了一些增值功能,虚拟局域网便是其中之一。虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术(对)178.防火墙除了提供传统的访问控制功能外,或多或少地实现了一些增值功能,双机热备便是其中之一。双机热备是在同一个网络节点使用两台配置相同的防火墙一台作为主防火墙,处于正常工作状态,另一台作为备份机。(对)179 防火墙除了提供传统的访问控制功能外,或多或少地实现了一些增值功能,譬如防火墙能消除来自内部的威胁。(错)180.防火墙策略不但指出防火墙处理诸如Web Email 或 Telnet 等应用程序通信的方式,还描述了防火墙的管理和更新方式。防火墙处理入站通信的缺省策略应该是阻止所有的数据包和连接(对)181.大多数防火墙平台都使用规则集作为它们执行安全控制的机制规则集的内容决定了防火墙的真正功能。防火墙规则集随着时间的增加会变得越来越简单(错)182.防火墙是设置在内部网络与外部网络(如互联网之间,实施访问控制策略的一个或一组系统,是访问控制机制在网络安全环境中的应用。火墙应该阻止包含源路由的所有入站和出站数据包。(对)183.防火墙是设置在内部网络与外部网络(如互联网之间,实施访问控制策略的一个或一组系统,是访问控制机制在网络安全环境中的应用。防火墙应该阻止包含直接广播地址的所有入站和出站数据包。(对)184 部署防火墙环境时,绝不可将外部网络可访问的服务器放置在内部保护网络中(对)185.部署防火墙环境时,内部网络可以无限制地访问外部网络以及DMZ(对)186.部署防火墙环境时,DM 可以访问内部网络(错)187.部署防火墙环境时,内部 DM 作为内外网络之间的一个联系点,必须位于两个防火墙之间(对)188.入侵检测(Intrusion Detection)技术是用于检测任何损害或企图损害系统的机密性、 完整性或可用性等行为的一种网络安全技术(对)189.入侵检测系统(DS)由硬件和软件组成,用来检测系统或网络,以发现可能的入侵或攻击的系统。(对)190.入侵检测(Intrusion Detection)技术是用于检测任何损害或企图损害系统的机密性、 完整性或可用性等行为的一种网络安全技术。入侵检测系统不能使系统对入侵事件和过程作出实时响应。(错)191.入侵防御系统(DS)提供一种被动的、实时的防护(错)192.入侵检测是系统动态安全的核心技术之一入侵检测系统能够单独防止攻击行为的渗透(错)193.基于网络的入侵检测系统一般通过在网络的数据链路层上进行监听来获得信息企业部署基于网络的入侵检测系统时,必须确定入侵检测传感器的部署位置(对194 入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络通信中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的数据包进行自动拦截,使它们无法造成损失,而不是简单地在检测到网络入侵的同时或之后进行报警入侵检测系统的准确性主要包括三个指标,即检测率、误报(False Positive)率和漏报(False Negative 率(对)195.入侵检测系统可以弥补安全防御系统中的安全漏洞和缺陷(错)196.入侵防御系统是一种智能化的网络安全产品,不但能检测入侵行为的发生,而且能通过一定的响应方式,实时中止入侵行为的发生和发展,实时保护信息系统不受实质性的攻击。入侵防御系统使得入侵检测系统和防火墙走向了统一。只有以在线模式运行的入侵防御系统才能够实现实时的安全防护(对)197.基于网络的入侵防御系统可以基于任意的硬件平台(错)198.基于主机的入侵防御系统通过在主机和服务器上安装软件程序,防止网络攻击入侵操作系统以及应用程序(对)199.入侵防御系统实现实时检查和阻止入侵的原理在于其拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,入侵防御系统会创建一个新的过滤器入侵防御系统可以用相同的过滤器针对不同的攻击行为(错)200.网络安全扫描不仅能够扫描并检测是否存在已知漏洞,还可以发现一些可疑情况和不当配置(对)201.网络漏洞的存在实际上就是潜在的安全威胁,一旦被利用就会带来相应的安全问题。攻击者常采用网络漏洞扫描技术来探测漏洞。一旦发现,便可利用其进行攻击。通常所说的网络漏洞扫描,实际上是对网络安全扫描技术的一个俗称。(对)202.基于网络的漏洞扫描器很容易穿过防火墙(错)203.基于网络的漏洞扫描器不能直接访问目标设备的文件系统,不能检测一些相关的漏洞。(对)204.基于主机的漏洞扫描器扫描目标设备漏洞的原理与基于网络的漏洞扫描器的原理不同但二者的体系结构相似。(错)205 主机安全扫描技术一般是在主机上本地进行的,大部分情况下需要有主机的管理员权限。基于主机的漏洞扫描器一般采用客户机/服务器架构。(对)206.基于网络的漏洞扫描器不包含网络映射功能(错)207.漏洞 Vulnerability),也叫脆弱点,是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统漏洞数据库包含了各种操作系统的漏洞信息以及如何检测漏洞的指令(对208.基于主机的漏洞扫描工具不需要在目标主机上安装一个代理或服务(错)209 现在流行的漏洞扫描工具,根据其使用场合一般分为两大类:基于网络的漏洞扫描器和基于主机的漏洞扫描器。基于主机的漏洞扫描器通常会配置一个集中服务器作为扫描服务器,所有扫描的指令均通过服务器进行控制。(对)210.网络安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。基于网络的漏洞扫描器能直接访问目标设备的文件系统(错)211.基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞基于网络的漏洞扫描器在操作过程中,不需要涉及目标设备的管理员(对)212.网闸,又称安全隔离与信息交换系统,是使用带有多种控制功能的固态开关读写介质连接两个独立网络的信息安全设备。网闸是一种采用硬件卡隔离方式的安全防护技术(错)213.网闸是一种采用物理隔离方式的安全防护技术网闸技术是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术(对)214.数据转播隔离利用转播系统分时复制文件的途径来实现隔离,即隔离设备首先与一端连通,将流入的数据复制并缓存,然后切断该端连通另一端,将数据发送出去。数据转播隔离不需要手工完成(错215.网闸,又称安全隔离与信息交换系统,是使用带有多种控制功能的固态开关读写介质连接两个独立网络的信息安全设备。网闸一般三部分构成即内网处理单元、外网处理单元和专用隔离硬件交换单元。(对)216.网闸,又称安全隔离与信息交换系统,是使用带有多种控制功能的固态开关读写介质,连接两个独立网络的信息安全设备。第二代网闸不需要通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果。(错)217.网闸从物理上隔离和阻断了具有潜在攻击可能的一切连接,使得黑客难以入侵、攻击和破坏,实现了高程度的安全。网闸一般由三部分构成即内网处理单元、外网处理单元和专用隔离硬件交换单元。(对)218.第一代网闸利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换,实现了在物理隔离情况下的数据交换。(对)219.目前,国产的网闸产品可以满足可信网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等功能,同时已在电子政务中得到应用在电子政务系统建设中要求在政府内网与外网之间用物理隔离,在政府内网与专网之间用逻辑隔离(错)220.拒绝服务攻击对于网络服务的可用性造成了致命性打击,它通常可以在短时间内造成被攻击主机或者网络的拥塞,使合法用户的正常服务请求无法到达服务网络中的关键服务器。智能的拒绝服务攻击工具可以实现多对一或者多对多的攻击方式(对)221.拒绝服务攻击目前主要有五种攻击模式,其中分布式反射拒绝服务(Distributed Reflection Denial of Service,简称 DRDo 攻击的原理是利用了 TCP 协议(错)222.拒绝服务攻击的原理很简单,即充分利用合理的 TCP 来完成攻击的目的,目前,主要有五种攻击模式。分布式拒绝服务(DDoS)攻击是洪泛式拒绝服务攻击中一种更具威胁性的演化版本,它利用互联网集中式连接的特点(错)223 拒绝服务攻击的目的是利用各种攻击技术使服务器或者主机等拒绝为合法用户提供服务。(对)224. Botnet 网络在国内大都被翻译为 “僵尸网络 Botnet 泛滥的一个直接结果就是它可以被用来发起超大规模的 DDoS 攻击,而且 Botnet 已经在网上被公开销售或者租用(对)225. Botnet 网络在国内大都被翻译为“僵尸网络。除了被用于组织DDos 攻击, Botnet 还可以被用来传播垃圾邮件、窃取用户数据、监听网络和扩散恶意病毒等。(对)226. Botnet 网络在国内大都被翻译为 “僵尸网络 Botnet 的显著特征是大量主机在用户不知情的情况下,被植入了控制程序,并且有一个地位特殊的主机或者服务能够通过信道来控制其他的主机,这些被控制的主机就像僵尸一样听从主控者的命令(对)227.拒绝服务攻击与 Botnet 网络结合后攻击能力大大削弱(错)228.流量控制是在网络流量达到一定阀值时,按照一定的算法丢弃所有报文(错)229.目前,很多产品都声称可以检测和抵御拒绝服务攻击,这些方法虽然不能完全解决拒绝服务攻击问题,但是可以在某种程度上检测或者减轻攻击的危害,最大限度地保证在攻击发生时,还能够为部分用户提供服务。 Blackholing 技术实际上就是在攻击发生时将所有发往攻击目标的数据包抛弃(对)230.目前,很多产品都声称可以检测和抵御拒绝服务攻击,这些方法虽然不能完全解决拒绝服务攻击问题,但是可以在某种程度上检测或者减轻攻击的危害,最大限度地保证在攻击发生时,还能够为部分用户提供服务。 Random Drop 技术抛弃所有发往攻击目标的数据包(错)231.流量控制是在网络流量达到一定值时,按照一定的算法丢弃部分报文(对)232.认证是最重要的安全服务,其他安全服务在某种程度上需要依赖于它(对)233.保护数据安全的技术主要可分为两大类:一是采用密码技术对数据本身进行保护,如使用现代加密算法对数据进行加密以获得机密性,采用数字签名算法确保数据源的可靠性,采用杂凑算法和公钥算法保护数据完整性等;二是数据防护技术,通过在信息系统中应用相应的安全技术来保护数据本身免受破坏,(对)234. RADIUS 是利文斯顿事业(Livingston Enterprises)公司开发的一种网络协议该协议为网络服务用户提供集中式的AAA(认证、授权、账户管理ps 和企业普遍采用 RADIUS 进行网络接入管理。它是主流身份鉴别协议(对)235.安全性断言标记语言(Security Assertion Markup Language.简称 saml 是一个基于 xm的标准,用于在不同的安全域(security domain 之间交换认证和授权数据。它是主流身份鉴别协议(对)236.FDO 是一种不依赖于口令来执行身份鉴别的协议规范。其协议针对不同的用户实例和应用场景,提供了两类不同的认证方式即通用授权框架(Universal Authentication Framework,简称 UAF)和通用第二因素认证(Universal Second Factor,简称 U2)它是主流身份鉴别协议(对)237. Kerberos 是 MT 研发的一种计算机网络认证协议,依赖于可信的第三方来生成票据以实现安全的认证。该协议面向客户端/服务器模型,能够在非安全的网络环境中提供双向认证(对)238. Kerberos 是 MT 研发的一种计算机网络认证协议,依赖于第三方来生成票据以实现安全的认证。目前, Windo