单选题 某Web网站向CA申请了数字证书。用户登录该网站时,通过验证______,来确认该数字证书的有效性,从而______。
单选题
  • A.CA的签名
  • B.网站的签名
  • C.会话密钥
  • D.DES密码
【正确答案】 A
【答案解析】[解析] 数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。每个用户将设定两个私钥(仅为本人所知的专用密钥,用来解密和签名)和公钥(由本人公开,用于加密和验证签名)两个密钥,用以实现: ①发送机密文件:发送方使用接收方的公钥进行加密,接收方使用自己的私钥解密。 ②接收方能够通过数字证书来确认发送方的身份,发送方无法抵赖。 ③信息自数字签名后可以保证信息无法更改。 Web网站向CA申请数字证书。用户登录该网站时,通过验证CA的签名,来确认该数字证书的有效性,从而验证该网站的真伪。
单选题
  • A.向网站确认自己的身份
  • B.获取访问网站的权限
  • C.和网站进行双向认证
  • D.验证该网站的真伪
【正确答案】 D
【答案解析】
单选题 某企业开发应用程序,要求调用传输层的安全协议保障应用通信的安全,下面可选的传输层安全协议是______。
  • A.IPSec
  • B.L2TP
  • C.TLS
  • D.PPTP
【正确答案】 C
【答案解析】[解析] 本题考查安全协议的工作层次。 IPSec工作于网络层,L2TP与PPTP工作于数据链路层,TLS工作于传输层,所以本题选C。
单选题 下列安全协议中,______能保证交易双方无法抵赖。
  • A.SET
  • B.SHTTP
  • C.PGP
  • D.MOSS
【正确答案】 A
【答案解析】[解析] 本题考查网络安全协议的功能,SET协议具备抗抵赖功能。
单选题 下列技术中,不是传输层安全技术的是______。
  • A.SSL
  • B.SOCKS
  • C.IPSec
  • D.安全RPC
【正确答案】 C
【答案解析】[解析] IPSec是虚拟专用网(VPN)的一个安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信,而不属于传输层安全技术。
单选题 防火墙把网络划分为几个不同的区域,一般把对外提供网络服务的设备(如WWW服务器、FTP服务器)放置于______区域。
  • A.信任网络
  • B.非信任网络
  • C.半信任网络
  • D.DMZ(非军事化区)
【正确答案】 D
【答案解析】[解析] DMZ(DeMilitarized Zone,隔离区)也称为非军事化区,它是为了解决安装防火墙后,外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,例如,企业的Web服务器、FTP服务器和论坛等。另一方面,通过DMZ区域,更加有效地保护了内部网络,因为这种网络部署与一般的防火墙方案相比,对攻击者来说又多了一道关卡。
单选题 信息安全策略应该全面地保护信息系统整体的安全,网络安全体系设计是网络逻辑设计工作的重要内容之一,可从物理线路安全、网络安全、系统安全、应用安全等方面来进行安全体系的设计与规划。其中,数据库的容灾属于______的内容。
  • A.物理线路安全与网络安全
  • B.网络安全与系统安全
  • C.物理线路安全与系统安全
  • D.系统安全与应用安全
【正确答案】 D
【答案解析】[解析] 网络安全体系设计是逻辑设计工作的重要内容之一,数据库容灾属于系统安全和应用安全考虑范畴。
单选题 公司总部与分部之间需要传输大量数据,在保障数据安全的同时又要兼顾密钥算法效率,最合适的加密算法是______。
  • A.RC-5
  • B.RSA
  • C.ECC
  • D.MD5
【正确答案】 A
【答案解析】[解析] 公司总部与分部之间通过Internet传输数据,需要采用加密方式保障数据安全。加密算法中,对称加密比非对称加密效率要高。RSA和ECC属于非对称加密算法,MD5为摘要算法,故选择RC-5。
单选题 常用对称加密算法不包括______。
  • A.DES
  • B.RC-5
  • C.IDEA
  • D.RSA
【正确答案】 D
【答案解析】[解析] 常见的对称加密算法包括:DES、3DES、RC-5、IDEA。 常见的非对称加密算法包括:RSA、ECC。
单选题 采用Kerberos系统进行认证时,可以在报文中加入______来防止重放攻击。
  • A.会话密钥
  • B.时间戳
  • C.用户ID
  • D.私有密钥
【正确答案】 B
【答案解析】[解析] Kerberos认证是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥,还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。
单选题 数字签名的功能不包括______。
  • A.防止发送方和接收方的抵赖行为
  • B.发送方身份确认
  • C.接收方身份确认
  • D.保证数据的完整性
【正确答案】 C
【答案解析】[解析] 数字签名技术是将摘要信息用发送者的私钥加密与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用Hash函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。数字签名是个加密的过程,数字签名验证是个解密的过程。 数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
单选题 包过滤型防火墙通过______来确定数据包是否能通过。
  • A.路由表
  • B.ARP表
  • C.NAT表
  • D.过滤规则
【正确答案】 D
【答案解析】[解析] 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。 ①第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP目标端口、ICMP消息类型等。 ②第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。