等保考试问答题汇集大全要点.docx

《等保考试问答题汇集大全要点.docx》由会员分享，可在线阅读，更多相关《等保考试问答题汇集大全要点.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一章 概述1.信息平安的目标是什么？答：信息平安的目标是保护信息的机密性、完整性、抗否认性和可用性。机密性是指保证信息不被非授权访问；即使非授权用户得到信息也无法知晓信息内容，因而不能使用。完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。抗否认性是指能保障用户无法在事后否认曾经对信息进展的生成、签发、接收等行为，是针对通信各方信息真实同一性的平安要求。可用性是指保障信息资源随时可提供效劳的特性。即授权用户根据需要可以随时访问所需信息。2.简述信息平安的学科体系。答：信息平安是一门穿插学科，涉及多方面的理论和应用知识。除了数学、通信、计算机等自

2、然科学外，还涉及法律、心理学等社会科学。信息平安研究大致可以分为根底理论研究、应用技术研究、平安管理研究等。信息平安研究包括密码研究、平安理论研究；应用技术研究包括平安实现技术、平安平台技术研究；平安管理研究包括平安标准、平安策略、平安测评等。3. 信息平安的理论、技术和应用是什么关系如何表达？答：信息平安理论为信息平安技术和应用提供理论依据。信息平安技术是信息平安理论的表达，并为信息平安应用提供技术依据。信息平安应用是信息平安理论和技术的具体实践。它们之间的关系通过平安平台和平安管理来表达。平安理论的研究成果为建立平安平台提供理论依据。平安技术的研究成果直接为平台平安防护和检测提供技术依据。

3、平台平安不仅涉及物理平安、网络平安、系统平安、数据平安和边界平安，还包括用户行为的平安，平安管理包括平安标准、平安策略、平安测评等。这些管理措施作用于平安理论和技术的各个方面。第二章 密码学概论1.概念解释: 分组密码、流密码、对称密码、非对称密码答：分组密码:对明文的加密有两种形式,其中一种是先对明文消息分组,再逐组加密,称之为分组密码.流密码: 对明文的加密有两种形式,其中一种是对明文按字符逐位加密,称之为流密.对称密码:密码系统从原理上分为两大类,即单密钥系统和双密钥系统,单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥或者一样,或者实质上等同,即易于从一个

4、密钥得出另一个.2.对分组密码的常见攻击有哪些？答：唯密文攻击，明文攻击，选择明文攻击，选择密文攻击。3.你认为比有哪些优点？答：1的密钥长度可以根据需要而增加，而是不变的；( 2)加解密算法中，每轮常数的不同消除了密钥的对称性，密钥扩展的非线性消除了一样密钥的可能性；加解密使用不同的变换，消除了在里出现的弱密钥和半弱密钥存在的可能性；总之，在的加解密算法中，对密钥的选择没有任何限制。 (3)依靠有限域/有限环的有关性质给加密解密提供了良好的理论根底，使算法设计者可以既高强度地隐藏信息，又同时保证了算法可逆，又因为算法在一些关键常数例如：在的选择上非常巧妙，使得该算法可以在整数指令和逻辑指令的

5、支持下高速完成加解密。4平安性比要明显高。4. 信息隐藏和数据加密的主要区别是什么？答：区别：目标不同：加密仅仅隐藏了信息的内容； 信息隐藏既隐藏了信息内容，还掩盖了信息的存在。实现方式不同：加密依靠数学运算；而信息隐藏充分运用载体的冗余空间。应用场合不同：加密只关注加密内容的平安，而信息隐藏还关注载体及隐藏信息的关系。联系：理论上相互借用，应用上互补。信息先加密，再隐藏。5.信息隐藏的方法主要有哪些？答：空间域算法及变换域算法。第三章 对称密码体制1算法采用什么构造？及算法构造有何区别？答：算法采用网络构造，轮变换是由三个不同的可逆一致变换组成，称之为层。不同层的选择建立在宽轨迹策略的应用根

6、底上每层都有它自己的函数。这三层分别是线性混合层，非线性层和密钥加层。而采用的是网络构造，中间状态的局部比特不加改变简单转置到下一轮的其他位置。2.如果在8比特的方式下密文字符的传输中发生1比特的过失，这个过失会传播多远？答：出现的这1比特的过失会影响到以后各明文单元。因为在模式下，传输过程中的比特错误会被传播。第五章 消息认证及数字签名1.散列函数应该满足哪些性质？答：1h能用于任何大小的数据分组，都能产生定长的输出2对于任何给定的x, h(x)要相对容易计算3对任何给定的散列码h,寻找x使得h(x)在计算上不可行单向性4对任何给定的分组x，寻找不等于x的y，使得h(x)(y)在计算上不可行

7、弱抗冲突.5寻找任何的使得h(x)(y)在计算上不可行强冲突.2.简述什么是数字签名。答：数字签名就是通过一个单向函数对要传送的报文进展处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串,该字母数字串被成为该消息的消息鉴别码或消息摘要，这就是通过单向哈希函数实现的数字签名；在公钥体制签名的时候用户用自己的私钥对原始数据的哈希摘要进展加密所得的数据，然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进展解密后获得哈希摘要，并通过及用自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。这是公钥签名技术。3.如果有多于两个人同时

8、对数字摘要进展签名，就称为双签名。在平安电子交易协议中就使用到了这种签名。想一想，这有什么意义？答： 在协议中采用了双签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。意义在于：由于在交易中持卡人发往银行的支付指令是通过商家转发的，为了防止在交易的过程中商家窃取持卡人的信用卡信息，以及防止银行跟踪持卡人的行为，侵犯消费者隐私，但同时又不能影响商家和银行对持卡人所发信息的合理的验证，只有当商家同意持卡人的购置请求后，才会让银行给商家负费，协议采用双重签名来解决这一问题。4.比拟 5及1 51消息摘要长度128比特160比特分组长度512比特512比特步骤

9、数644个16步的循环804个20步的循环消息最大长度无穷2的64方减1根本逻辑函数个数44加法常数个数644数据存储方式低位字节优先高位字节优先 答：1用实现数字签名的方法中，将要签名的消息作为一个散列函数的输入，产生一个定长的平安散列码。使用签名者的私有密钥对这个散列码进展加密就形成签名，签名附在消息后；而在算法中，签名方先选择全局共钥和用户私钥共钥，然后利用随机数k,对消息m计算两个分量：.生成签名。2对于，验证者根据消息产生一个散列码，同时使用签名者的公开密钥对签名进展解密。如果计算得出的散列码和解密后的签名匹配，那么签名就是有效的。而在算法中，接收方先根据收到的消息签名，公钥等值进展

10、计算，然后进展比拟，假设相等那么承受签名。6.设想一下，如果你为学院设计了一个网站，出于平安及使用的角度，能使用本章中哪些平安原理。答：1用数字签名解决否认、伪造、篡改及冒充等问题。2利用基于密码技术的电子身份识别技术：使用通行字的方式和持证的方式。3在平安性要求较高的系统中，有口令或持证已经不能提供平安的保障了，可利用个人的生理特征来实现。这种身份识别技术主要有：手写签名识别技术、指纹识别技术、语音识别技术、视网膜图样识别技术、虹膜图样识别技术和脸型识别。第六章 密码应用及密钥管理1 为什么要引进密钥管理技术？答：1理论因素：通信双方在进展通信时，必须要解决两个问题： a. 必须经常更新或改

11、变密钥； b. 如何能平安地更新或是改变密钥。2人为因素：破解好的密文非常的困难，困难到即便是专业的密码分析员有时候也束手无策，但由于人员不慎可能造成密钥泄露、丧失等，人为的情况往往比加密系统的设计者所能够想象的还要复杂的多，所以需要有一个专门的机构和系统防止上述情形的发生。3技术因素a. 用户产生的密钥有可能是脆弱的； b. 密钥是平安的，但是密钥保护有可能是失败的。答:从网络应用来看,密钥一般分为以下几类:根本密钥,会话密钥,密钥加密密钥和主机密钥等。 (1)根本密钥:根本密钥又称初始密钥,是由用户选定或由系统分配,可在较长时间内由一对用户专门使用的秘密密钥,也称为用户密钥.根本密钥既平安

12、,又便于更换.根本密钥及会话密钥一起用于启动和控制密钥生成器,从而生成用于加密数据的密钥流. (2)会话密钥:会话密钥即两个通信终端用户在一次通话或交换数据时所用的密钥。当用于对传输的数据进展保护时称为数据加密密钥，而用于保护文件时称为文件密钥，会话密钥的作用是使人们不必太频繁地更换根本密钥，有利于密钥的平安和管理。这类密钥可由双方预先约定，也可由系统通过密钥建立协议动态地生成并赋予通信双方，它为通信双方专用，故又称为专用密钥。3密钥加密密钥：用于对传送的会话或文件密钥进展加密时采用的密钥，也称为次主密钥、辅助密钥或密钥传送密钥。每个节点都分配有一个这类密钥。为了平安，各节点的密钥加密密钥应该

13、互不一样。每个节点都须存储有关到其他各节点和本节点范围内各终端所用的密钥加密密钥，而各终端只需要一个及其节点交换会话密钥时所需要的密钥加密密钥，称为终端主密钥。4主机主密钥：是对密钥加密密钥进展加密的密钥，存在主机处理器中。3.设进展一次解密的时间是1微妙，计算用穷举法破译64比特、128比特和256比特长度的密码分别需要多少年。答：进展解密的时间是1微妙，也就是1秒内能破译100万个密钥，64比特的密钥有2的64次方个穷举对象，一年有365*24*60*60=31536000秒，所以破译64比特密钥长度的密码需要584942年，同理，破译128比特密钥长度的密码需要1169885年，破译25

14、6钥长度的密码需要2339770年。4.为什么常用对称算法加密数据、用非对称算法分配密钥？答：加密技术通常分为两大类：“对称式和“非对称式。对称式加密就是加密和解密使用同一个密钥，通常称之为“这种加密技术目前被广泛采用，如美国政府所采用的加密标准就是一种典型的“对称式加密法，它的长度为56。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥和“私钥，它们两个必需配对使用，否那么不能翻开加密文件。这里的“公钥是指可以对外公布的，“私钥那么不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都

15、有可能被别窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地防止了密钥的传输平安性问题。6.说明层次模型中信任建立过程。答：在这个层次模型中，根将它的权利授予给多个子，这些子再将它们的权利授给它们的子，这个过程直至某个实际颁发了某一证书。一个终端实体A可以如下检验另一个终端实体B的证书。假设B的证书由子3公钥K3签发，子3的证书由子2(公钥K2)签发，子2的证书由子！公钥为K1签发，子1的证书由根公钥为K签发,拥有K的终端实体A可以利用K来验证子1 的公钥K1,然后利用K1来验证子2 的公钥K2,再利用K2来验

16、证子3的公钥K3,最终利用K3来验证B的证书。第七章 身份验证答：P是示证者，V表示验证者，P试图向V证明自己知道某信息。那么使用某种有效的数学方法，使得V相信P掌握这一信息，却不泄漏任何有用的信息，这种方法被称为零知识证明问题。零知识证明可以分为两大类：最小泄漏证明和零知识证明。最小泄漏证明需要满足：1)P几乎不可能欺骗V：如果P知道证明，他可以使V以极大的概率相信他知道证明；如果P不知道证明，那么他使得V相信他知道证明的概率几乎为零。2)V几乎不可能不知道证明的知识，特别是他不可能向别人重复证明的过程。零知识证明除了要满足以上两个条件之外，还要满足第三个条件： 3)V无法从P那里得到任何有

17、关证明的知识。2.在身份认证中如何对抗重放攻击？在基于时间戳的认证中，当时钟不同步时如何实现身份欺骗？答：防止重放攻击的常用方式有时间戳方式和提问/应答方式两种。时间戳方式的根本思想是：A承受一个新消息当且仅当该消息包括一个时间戳，并且该时间戳在A看来是足够接近A所知道的当前时间。提问/应答方式的根本思想是：A期望从B获得一个新消息，首先发给B一个临时值，并要求后续从B收到的消息中包括这个临时值或是由这个临时值进展某种事先约定的计算后的正确结果。时间戳方式要求时钟同步，如果发送者得时钟比接收者的时钟快，攻击者就可以从发送者处窃听消息，并等待时间戳对承受者来说成为当前时刻时重放给接收者，这种重放

18、将会得到意想不到的后果。这类攻击称为抑制重放攻击。3.平安的口令应该满足哪些原那么？答：长度最少在8位以上，且必须同时包含字母、数字、特殊字符，口令必须定期更改，且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个口令被连续尝试，那么必须立刻更改此口令。第八章 访问控制1.访问控制机制有哪几类？有何区别？答：访问控制机制有三种分别为：自主访问控制、强制访问控制以及基于角色的访问控制。自主访问控制是一种常用的访问控制也是三个中控制比拟宽松的一个。它基于对主体或主题所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主地将访问权或访问权的某个子集授予其

19、它主体。在这种访问控制中，一个主题的访问权限具有传递性。强制访问控制具有更加强硬的控制手段，它为所用的主体和客体制定平安级别，不同级别的主体对不同级别的客体的访问是在强制的平安策略下实现的。在基于角色的访问控制中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。2.访问控制表和访问能力表有何区别？答：访问控制表是基于访问控制矩阵中列的自主访问控制，它在一个客体上附加一个主体明晰表，来表示各个主体对这个客体的访问权限。而访问控制表是基于行的自主访问控制。访问能力表不能实现完备的自主访问控制，而访问控

20、制表是可以实现的。3.平安标记有什么作用？如何实现？答：平安级别由敏感标记来表示。敏感标记简称标记，是表示实体平安级别的一组信息，在平安机制中把敏感标记作为强制访问控制决策的依据。当输入未加平安级别的数据时，系统应该享受全用户要求这些数据的平安级别，并对收到的平安级别进展审计。4.基于角色的访问控制是如何实现的？优点？答：基于角色的访问控制是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分配了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。其特点为：提供了三种授权管理的控制途径：a)改变客体的访问权限)改

21、变角色的访问权限)改变主体所担任的角色。系统中所有角色的关系构造可以是层次化的，便于管理。具有较好的提供最小权利的能力，从而提高了平安性。具有责任别离的能力。6 采用什么访问控制模型如何表达？答： 采用自主访问控制模型。表达在当用户登录时，本地平安授权机构为用户创立一个访问令牌，以后用户的所有程序都将拥有访问令牌的拷贝，作为该进程的访问令牌。这就相当于用户将权限传递给了这些进程。此外，在为共享资源创立的平安描述符中包括一个对该共享资源的自主访问控制表，当用户或者用户生成的进程要访问某个对象时，平安引用监视器将用户/进程的访问令牌中的平安标识及对象平安描述符中的自主访问控制表进展比拟，从而决定用

22、户是否有权访问对象。这些都可以说明 采用的是自主访问控制模型。第九章 平安审计1.审计系统的目标是什么？如何实现？答：1)应为平安人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应缺乏以使他们自己也能够进展攻击。2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集信息。3)应能够对一个给定的资源其他用户页被视为资源进展审计分析，粪便看似正常的活动，以发现内部计算机系统的不正当使用； 4)设计审计机制时，应将系统攻击者的策略也考虑在内。审计是通过对所关心的事件进展记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器、和报告机制几局部。审

23、计发生器的作用是在信息系统中各事件发生时将这些事件的关键要素进展抽去并形成可记录的素材。日志记录器将审计发生器抽去的事件素材记录到指定的位置上，从而形成日志文件。日志分析器根据审计谋略和规那么对已形成的日志文件进展分析，得出某种事件发生的事实和规律，并形成日志审计分析报告。2.审计的主要内容包括那些？答：包括平安审计记录，平安审计分析，审计事件查阅，审计事件存储。3的审计系统是如何实现的采用什么策略 答：通过审计日志实现的.日志文件主要上是系统日志,平安日志,和应用日志.采用的策略:审计谋略可以通过配置审计谋略对话框中的选项来建立.审计谋略规定日志的时间类型并可以根据动作,用户和目标进一步具体

24、化.审计规那么如下: 1) 登陆及注销:登陆及注销或连接到网络. 2) 用户及组管理:创立,更改或删除拥护帐号或组,重命名,制止或启用用户号.设置和更改密码. 3) 文件及对象访问. 4) 平安性规那么更改:对用户权利,审计或委托关系的更改. 5) 重新启动,关机及系统级事件. 6) 进程追踪:这些事件提供了关于事件的详细跟踪信息. 7)文件和目录审计:允许跟踪目录和文件的用法.4 的日志分哪几类有和作用答：日志文件可以大致分为三个日志子系统：连接时间日志,进程统计日志,错误日志. 1连接时间日志由多个程序执行,把记录写入到和 中并通过等程序更新和文件.使系统管理员能够跟踪谁在何时登陆到系统.

25、 2进程统计日志由系统内核执行.当一个进程终止时,系统往进程统计文件中写一个记录.进程统计的目的是为系统中的根本效劳提供命令使用统计. 3错误日志由执行,各种系统守护进程,用户程序和内核通过向文件报告值得注意的事件.另外,有许多程序也会创立日志.第十章 平安脆弱性分析1.入侵行为的目的主要是哪些？答：入侵者的目的各不一样，分为善意的和恶意的。大体来说入侵者在入侵一个系统者时会想到达以下一种或者几种目的：执行进程，获取文件和数据，获取超级用户权限，进展非授权操作，使系统拒绝效劳，篡改信息，批露信息。2.常见的攻击有哪几类？采用什么原理？答：根据入侵者使用的手段和方式，攻击可以分为5类1口令攻击：

26、口令用来鉴别一个注册系统的个人，在实际系统中，入侵者总是试图通过猜想或获取口令文件等方式来获得系统认证的口令，从而进入系统。2拒绝效劳攻击拒绝效劳站使得目标系统无法提供正常的效劳，从而可能给目标系统带来重大的损失。3利用型攻击利用型攻击是一种试图直接对主机进展控制的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出攻击。4信息收集型攻击信息收集型攻击并不直接对目标系统本身造成危害，它是为进一步的入侵提供必须的信息。5假消息攻击攻击者用配置不正确的消息来欺骗目标系统，以到达攻击的目的被称为假消息攻击。3.如何预防攻击？答：预防攻击的十项平安策略1消除心态2要求及协助和合作3优化路由和网络构造4

27、优化对外开放访问的主机5正在受到攻击时，必须立刻应用对应策略。6消除心态7确保主机不被入侵和是平安的8周期性审核系统9检查文件完整性10发现正在实施攻击时，必须立刻关闭系统并进展调查4.平安扫描的目标是什么？如何分类？答：平安扫描技术指手工地或者使用特定的软件工具平安扫描器，对系统脆弱点进展评估，寻找可能对系统造成危害的平安漏洞。扫描主要分为系统扫描和网络扫描两方面。系统扫描侧重主机系统的平台平安性以及基于此平台的应用系统的平安，而网络扫描那么侧重于系统提供的网络应用和效劳以及相关的协议分析。扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患，已利用己方及时修补或发动对敌方系统的攻击

28、。6.半开扫描是怎么实现的？答：半开的意思是指端在3次握手尚未完成就单方面终止了连接过程，由于完整的连接还没有建立起来，这种扫描方法常常可以不会被 方记录下来，同时也可以避开基于连接的系统。同时，半开扫描还可以提供相当可靠的端口是否翻开的信息。7.简述系统类型检测的原理和步骤。答：由于许多平安漏洞是同操作系统严密相关的，因此，检测系统类型对于攻击者具有很重要的作用。攻击者可以先扫描一段网络地址空间，搜集主机类型以及这些主机翻开/关闭的端口信息，然后先暂时把这些数据放在一边。当某一系统的新漏洞被发现后，攻击者就可以在已经搜集到的情报中寻找相匹配的系统，从而实施攻击。检测系统类型主要有三种手段：即

29、利用系统旗标，利用信息，利用堆栈指纹。第十一章 入侵检测答：入侵检测是对入侵行为的觉察.它从计算机网络或计算机系统的关键点收集信息并进展分析,从中发现网络或系统中是否有违反平安策略的行为河北攻击的对象.经入侵检测发现入侵行为后,可以采取相应的平安措施,如报警、记录、切断拦截等,从而提高网络系统的平安应变能力。根据入侵检测系统所检测对象的区别可分为基于主机的入侵检测系统和基于网络的入侵检测系统。2.异常检测和误用检测有何区别？答：进展异常检测的前提是认为入侵是异常活动的子集,而进展误用检测的前提是所有的入侵行为都有可被检测的特征。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为, 通过

30、将当前主体的活动情况和用户相比拟当用户活动及正常行为有重大偏离时即被认为是入侵;误用检测系统提供攻击的特征库,当监控的用户或系统行为及库中的记录相匹配时,系统就认为这种行为是入侵。3.如何通过协议分析实现入侵检测？答：协议分析说明入侵检测系统的探头能真正理解各层协议是如何工作的，而且能分析协议的通信情况来寻找可疑或异常的行为。对于每个协议，分析不仅仅是建立在协议标准的根底上，而且建立在实际的实现上，因为许多协议事实上的实现及标准并不一样，所以特征应能反映现实状况。协议分析技术观察包括某协议的所有通信并对其进展验证，对不符合及其规那么时进展报警。6.如何逃避缓冲区溢出检测？答：一些检测远程缓冲溢

31、出的主要方式是通过监测数据载荷里是否包含“或是否含有大量的。针对这种识别方法，某些溢出程序的考虑用“02代替。另外，目前出现了一种多形态代码技术，使攻击者能潜在的改变代码构造来欺骗许多，但它不会破坏最初的攻击程序。经过伪装的溢出程序，每次攻击所采用的都不一样，这样降低了被检测的可能。有些能依据长度、可打印字符判断这种入侵，但会造成大量的错报。第十二章 防火墙1.简述防火墙的功能和分类。答：功能： 1对内部网实现了集中的平安管理。2能防止非授权用户进入内部网络。3可以方便监视网络的平安并及时报警。4可以实现 5可以实现重点网段的别离。6所有访问都经过防火墙，因此它是审计和记录网络的访问和使用的理

32、想位置。分类：分为过滤型防火墙静态包过滤防火墙、状态监测防火墙、代理型防火墙应用级网关防火墙、电路级网关防火墙2.静态包过滤防火墙和状态检测防火墙有何区别？如何实现状态检测？答：状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普通的包过滤有着更好的网络性能和平安性。普通包过滤防火墙使用的过滤规那么集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进展分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络

33、的平安性。3.状态检测防火墙的优点是什么？为什么？答：状态检测防火墙的优点是减少了端口的开放时间，提供了对几乎所有效劳的支持。因为采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进展分析判断，这样，只有响应受保护网络请求的数据包才被放行。4.应用网关防火墙是如何实现的？及包过滤防火墙比拟有什么优缺点？答：应用级网关型防火墙：应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用效劳协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进展必要的分析、登记和统计，形成报告。实际中

34、的应用网关通常安装在专用工作站系统上。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最平安的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度。 5.双宿连接和屏蔽子网连接各有何优缺点？答：双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自及受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供效劳等。堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日

35、志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，那么任何网上用户均可以随便访问内网。部署屏蔽子网防火墙系统有如下几个特别的好处：入侵者必须突破3个不同的设备夫法探测才能侵袭内部网络：外部路由器，堡垒主机，还有内部路由器。包过滤路由器直接将数据引向网络上所指定的系统，消除了堡垒主机双宿的必要。 第十三章 网络平安协议1.简述不同网络协议层常用的平安协议。答：平安协议本质上是关于某种应用的一系列规定，在不同的协议层上有不同协议。表现在：(1)应用层平安协议：平安()，它通常替代协议、协议

36、来使用。，即平安电子交易是电子商务中用于平安支付最典型的代表协议。，是一个非常完整的实现，但由于缺乏厂商支持，该协议现在已经几乎不在使用。,主要用于平安邮件，其一大特点是源代码免费使用、完全公开。,是在标准中参加了获得平安性的一种方法，提供了用户和论证方的形式化定义，支持邮件的签名和加密。(2)传输层平安协议：，它工作在传输层，独立于上层应用，为应用提供一个平安的点点通信隧道。，及有很多相似之处，现在已经同合并为，只是习惯上仍然把称为协议。(3)网络层平安协议：包括验证头()协议、封装平安载荷协议()和密钥管理协议()。2中和分别有什作用能否同时使用？答：(1)作为基于的一种协议，可用于确保数

37、据包的机密性、完整性以及对数据源的身份验证，也要负责抵抗重播攻击。也提供了数据完整性、数据源验证及抗重播攻击的能力，但不能以此保证数据的机密性，它只有一个头，而非头、尾皆有，内的所有字段都是一目了然的。(2) 中和不能同时使用。3协议的目标是什么？答：是由公司开发的一套数据平安协议，目前已广泛适用于浏览器及效劳器之间的身份认证和加密数据传输，它位于协议及各种应用层协议之间，为数据通信提供平安支持。答：分四个阶段：一，建立平安能力，包括协议版本、会话、密文族、压缩方法和初始随机数。这个阶段将开场逻辑连接并且建立和这个连接相关联的平安能力；二，效劳器鉴别和密钥交换；三，客户鉴别和密钥交换；四，完毕

38、，这个阶段完成平安连接的建立。第十四章 平安评估标准1如何划分等级？答：采用等级评估的方法进展等级划分。2级平安和B级平安的主要区别是什么？答：C等为自主保护级，B等为强制保护级，这一级比C级的平安功能有大幅提高。3的评估思想是什么？答：作为国际标准，对信息系统的平安功能，平安保障给出了分类描述，并综合考虑信息系统的资产价值。威胁等因素后，对被评估对象提出了平安需求及平安实现等方面的评估。4如何描述平安功能和平安保障答：这一局部为用户和开发者提供了一系列平安功能组件，作为表述评估对象功能要求的 标准方法，在保护轮廓和平安目标中使用功能组件进展描述。平安保障这一局部为开发者提供了一系列的平安保证

39、组件，作为表述描述对象保证要求的标准方法，同时还提出了七个评估保证级别。5和的作用是什么？区别答：是消费者表达自己需求的描述方式，针对的是一类，而是开发者表达自己方案的描述方式，针对具体的，因此，及平安功能的实现无关，他答复的问题是我们在平安方案中需要什么,是目标的说明；依赖于现实，答复的问题是“我们在解决方案中提供了什么是建造的说明。 6为什么只对平安保障进展分级，没有对平安功能分级？答：划分等级的思想是，始终围绕着信息系统在主客体间访问过程中平安机制提供的不同平安功能和保障来进展。7.简述17859的主要思想。答：建立了平安等级保护制度，实施平安等级管理的重要根底性标准，将计算机信息系统划

40、分为五个等级，通过标准的，科学的，公证的评定和监视管理，为计算机信息系统平安等级保护管理法规的制定提供了研制技术支持，同时为平安系统的建立和管理提供技术指导。第十五章 应用平安1平安的目标是什么？如何实现？答：1效劳器平安：保护效劳器不被非授权者访问，不被篡改或阻塞；保护效劳软件不访问系统文件，从而防止引起系统混乱；只允许授权用户访问发布的消息；确保用户上载的数据平安可靠。2传输平安：确保重要的效劳信息在传输中不被窃听和篡改。3客户机平安：确保浏览器不被恶意代码侵袭，尤其是不受到病毒和木马的侵袭。实现方法： 1定期扫描加固2安装效劳器保护系统3采用完善的认证和加密措施4设立代理效劳器5慎重设置

41、浏览器平安选项2的密钥如何管理？答：1私有密钥的保存1用户选择一个口令短语用于加密私钥。2当系统用生成一个新的公钥/私钥对时，要求用户输入口令，使用1对该口令生成一个160位的散列码，然后销毁口令。 3系统用散列码中，128位作为密码用128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中。4当用户要访问私钥环中的私钥时，必须提供口令。将取出加密后的私钥，生成散列码，解密私钥。2公钥密钥管理1直接获取公钥，如通过软盘拷贝。2通过 验证公钥的合法性。3从双方都信任的第三方获取公钥。4从一个信任的中心得到公钥。4.简述电子商务的实现和流程。答：1卡用户向商家发送订购和支付信息，其中支付信息被加密，商家无从得知；2家将支付信息发送到收单银行，收单银行解密信用卡号，并通过认证验证签名；3单银行向发卡银行查问，确认用户信用卡是否属实； 4发卡银行认可并签名该笔交易； 5收单银行认可商家并签证此交易； 6商家向用户传送货物和收据； 7交易成功后，商家向收单银行请求支付； 8收单银行按合同将货款划给商家9发卡银行定期向用户寄去信用卡消费帐单。