【正文】 序和數(shù)據(jù)完整性檢測技術；病毒特征碼檢測技術；啟發(fā)式規(guī)則病毒檢測技術；基于操作系統(tǒng)的監(jiān)視和檢測技術，實時的網(wǎng)絡流量檢測；異常流量檢測；蜜罐系統(tǒng)等。（5分）DMZ網(wǎng)絡訪問控制策略有哪些？規(guī)劃一個擁有DMZ的網(wǎng)絡時，可以遵循以下訪問控制策略：內(nèi)網(wǎng)可以訪問外網(wǎng)；內(nèi)網(wǎng)可以訪問DMZ；外網(wǎng)不能訪問內(nèi)網(wǎng)；DMZ不能訪問內(nèi)網(wǎng)；外網(wǎng)可以訪問DMZ；DMZ不能訪問外網(wǎng)。（5企業(yè)在網(wǎng)絡安全方面一般會提出哪幾方面的要求？一般企業(yè)在設計一個系統(tǒng)的網(wǎng)絡安全是一般會提以下要求：安全性（系統(tǒng)安全，硬件軟件數(shù)據(jù)安全等）；可控性和可管理性；系統(tǒng)的可用性；可持續(xù)發(fā)展；合法性等。（5分）校園VPN技術要求包括哪些方面？校園VPN的主要技術要求：身份驗證；加密保護；方便安全的管理；DHCP支持；多種用戶環(huán)境支持；VPN星狀互聯(lián)；本地網(wǎng)和VPN網(wǎng)絡智能判斷；連通性要求；應用范圍廣；符合國家的法律法規(guī)安全要求；系統(tǒng)可以升級等。（答對一個知識點1分）簡要的說明網(wǎng)絡安全模型中的PDRR模型。答：網(wǎng)絡安全的整個環(huán)節(jié)也可以用另一個安全模型——PDRR模型來描述。如圖所示。PDRR就是防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）4個英文單詞的頭一個字符。（4分）簡述黑客入侵的基本步驟。答：一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實際情況可以隨時調(diào)整。歸納起來就是“黑客攻擊五部曲” 隱藏IP（1分）踩點掃描（1分）獲得系統(tǒng)或管理員權限（1分）種植后門（1分）在網(wǎng)絡中隱身簡述計算機病毒的特征。、不可預見性用維吉尼亞算法加密下列文字：COMPUTER,密鑰為：KEYWORD。答：設密鑰K= k1 k2 … kd，明文與密文字母表中均包含了n個字母。又設明文m= m1m2…，密文為c= c1c2…，則ci=mi+ki（mod n），其中t為正整數(shù)。 當密鑰的長度比明文短時，密鑰可以周期性地重復使用，直至完成明文中的每個字母的加密。（1分）C1=(C+K)mod 26=N。C2=(O+E)mod 26=I。C3=(M+Y)mod 26=L。C4=(P+W)mod 26=L。C5=(U+O)mod 26=I。C6=(T+R)mod 26=K。C7=(E+D)mod 26=H。C8=(R+K)mod 26=BC=NILLIKHB（2分）什么是計算機病毒及傳播途徑？答：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。1）通過不可移動的設備進行傳播2）通過移動存儲設備進行傳播3）通過網(wǎng)絡進行傳播4）通過點對點通訊系統(tǒng)和無線通道傳播（1分）NMC（網(wǎng)絡管理站）的功能有哪些？MIB（或消息信息庫）作用：MIB負責存儲設備信息，是SNMP分布式數(shù)據(jù)庫的分支數(shù)據(jù)庫。PKI由哪幾部分組成？答：PKI由 認證機構(gòu)（CA）（1分），數(shù)字證書庫（1分），密鑰備份及恢復系統(tǒng)（1分），證書作廢處理系統(tǒng)（1分），PKI應用接口（1分）組成。什么是單向陷門函數(shù)？它在密碼學中有什么意義？不嚴格地說，一個單向函數(shù)是一個函數(shù)，由x計算函數(shù)值y是容易的，但由y計算函數(shù)的逆是困難的（在某種平均意義下），“容易”和“困難”的確切含意由 計算復雜性理論定義。存在δ，已知δ 時,對給定的任何y，若相應的x存在，則計算x使y=f(x)是容易的。（3單向函數(shù)是現(xiàn)代密碼學的一個基本工具，大部分安全的密碼系統(tǒng)（包括協(xié)議）的構(gòu)造依賴于“單向函數(shù)存在”這一假設，所以十分重要。（2分）對稱密碼的工作模式主要有那些？ 答：對稱密碼的工作模式主要有： 電子密碼本模ECB（1分）密碼分組鏈模式CBC（1分）密碼反饋模式CFB（1分）輸出反饋模式OFB（1分）計數(shù)模式CTR什么是防火墻及防火墻的體系結(jié)構(gòu)有哪幾種？答：防火墻（Firewall）是位于兩個或多個網(wǎng)絡間實施網(wǎng)絡間訪問控制的一組組件的集合（1分）防火墻的體系結(jié)構(gòu)主要有：（1分）（1分）（1分）（1分）請寫出ISO（國際標準化組織）定義的五個網(wǎng)絡管理的功能？ 故障管理－發(fā)現(xiàn)、孤立、糾正網(wǎng)絡故障，恢復網(wǎng)絡功能；（1分） 配置管理－從網(wǎng)絡中獲取信息，根據(jù)該信息設置設備；（1分） 計費管理－測量網(wǎng)絡資源的利用率，檢查配額，決定投資；（1分） 性能管理－分析并控制網(wǎng)絡數(shù)據(jù)流，給用戶提供連續(xù)可靠的服務；（1分） 安全管理－嚴格控制對網(wǎng)絡資源和敏感信息的訪問。（1分）簡要的說明網(wǎng)絡安全模型中的PPDR模型。美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的PPDR安全模型是指：策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）。PPDR安全模型可以描述為：（4計算機病毒的發(fā)展趨勢？計算機病毒的發(fā)展從簡單到復雜，從充滿錯誤的程序到使用高級語言含有加密算法的隱藏程序。如今已經(jīng)呈現(xiàn)網(wǎng)絡化（1分）、人性化（1分）、隱藏化（1分）、多樣化（1分）和平民化（1分）的發(fā)展趨勢。簡要的說明設置安全口令的一般原則。永遠不要將口令寫下來，不要為了下次進入系統(tǒng)方便而將口令學入系統(tǒng)緩沖區(qū)，不要使用弱口令，不要把自己的口令告訴任何人，不要輪流使用兩個口令，不要在網(wǎng)絡中不同的系統(tǒng)上使用同一個口令，永遠不要別人看到自己在輸入口令。（每個要點1分）密碼分析主要有哪些方式？各有何特點？密碼分析（或稱攻擊）可分為下列四類：1唯密文分析（攻擊），密碼分析者取得一個或多個用同一密鑰加密的密文；已知明文分析（攻擊），除要破譯的密文外，密碼分析者還取得一些用同一密鑰加密的明密文對；（1分）3） 選擇明文分析（攻擊），密碼分析者可取得他所選擇的任何明文所對應的密文（當然不包括他要恢復的明文），這些明密文對和要破譯的密文是用同一密鑰加密的；（1分）4） 選擇密文分析（攻擊），密碼分析者可取得他所選擇的任何密文所對應的明文（要破譯的密文除外），這些密文和明文和要破譯的密文是用同一解密密鑰解密的，它主要應用于公鑰密碼體制。（2分）？與其他同類系統(tǒng)相比，它的特點是什么。（2分）它的作用是：權威機構(gòu)對證書持有者的公鑰進行認證，對持卡人的身份進行認證。它的使用不需要實時上網(wǎng)驗證，可以脫離網(wǎng)絡使用。畫出內(nèi)部網(wǎng)絡與Internet的連接之間的邊界防火墻的部署圖，并說明各部件的答：：（略）（2分）“子網(wǎng)過濾體系結(jié)構(gòu)”的防火墻。（1分），每一個都連接到參數(shù)網(wǎng)絡，一個位于參數(shù)網(wǎng)絡與內(nèi)部網(wǎng)絡之間，另一個位于參數(shù)網(wǎng)絡與外部網(wǎng)絡之間參數(shù)網(wǎng)絡是在內(nèi)外部網(wǎng)之間另加的一層安全保護網(wǎng)絡層。如果入侵者成功地闖過外層保護網(wǎng)到達防火墻，參數(shù)網(wǎng)絡就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護堡壘主機：為內(nèi)部服務請求進行代理內(nèi)部路由器的主要功能是保護內(nèi)部網(wǎng)免受來自外部網(wǎng)與參數(shù)網(wǎng)絡的侵擾。它完成防火墻的大部分包過濾工作。外部路由器：主要是對參數(shù)網(wǎng)絡上的主機提供保護，并阻斷來自外部網(wǎng)上偽造內(nèi)部網(wǎng)源地址進來的任何數(shù)據(jù)包。（2分）信息系統(tǒng)防御策略的基本原則。信息系統(tǒng)安全體系屬于典型的防御體系，在構(gòu)建防御體系過程中應堅持下列原則 什么是單向陷門函數(shù)？它在密碼學中有什么意義？不嚴格地說，一個單向函數(shù)是一個函數(shù)，由x計算函數(shù)值y是容易的，但由y計算函數(shù)的逆是困難的（在某種平均意義下），“容易”和“困難”的確切含意由 計算復雜性理論定義。存在δ，已知δ 時,對給定的任何y，若相應的x存在，則計算x使y=f(x)是容易的。（3單向函數(shù)是現(xiàn)代密碼學的一個基本工具，大部分安全的密碼系統(tǒng)（包括協(xié)議）的構(gòu)造依賴于“單向函數(shù)存在”這一假設，所以十分重要。（2分）防火墻的體系結(jié)構(gòu)有哪幾種？防火墻系統(tǒng)的體系結(jié)構(gòu)可以說成為構(gòu)成防火墻系統(tǒng)的拓撲結(jié)構(gòu)。（1分）一般將防火墻體系結(jié)構(gòu)區(qū)分四種。（1分）雙宿主機體系結(jié)構(gòu)（1分）（1分）假設一個用戶瑪麗亞發(fā)現(xiàn)了她的私有rsa密鑰(d1,n1)與另一個用戶弗朗西絲的公開rsa密鑰(e2,n2)相同或者說，d1=e2而n1=n2。那么，瑪麗亞是否應該考慮改變她的公開密鑰和私有密鑰呢?答：瑪麗亞應該考慮改變她的密鑰。這是因為對弗朗西絲來說，可相對地容易推測瑪麗亞的私有密鑰如下：弗朗西絲知道瑪麗亞的公開密鑰是(e1,n1) 。弗朗西絲注意到n2＝n1。（2分）這樣弗朗西絲就能由簡單地列舉等式d1e1=1modn1?的不同的解答來猜測瑪麗亞的私有密鑰(d1, n1) （4分）。簡述網(wǎng)絡管理軟件分類和管理系統(tǒng)的通用功能。網(wǎng)絡管理軟件主要分三類：專用網(wǎng)絡管理軟件（1分）通用網(wǎng)絡管理軟件（1分）網(wǎng)絡應用管理軟件。（1分）網(wǎng)絡管理功能分類為配置管理：是發(fā)現(xiàn)和設置網(wǎng)絡關鍵設備的過程。（1分）故障管理：探測、隔離和糾正不正常操作。（1分）性能管理：對被管理對象的行為和通信活動的效率進行評價。（1分）安全管理：正確操作網(wǎng)絡管理和保護管理對象。計費管理：對使用的被管理對象進行識別和使用計費。（1分）密鑰為so much，使用Vigenere（維吉尼亞）密碼技術對明文 in his views加密。明文: A m a n l i b e r a l i n h i s v i e w s 密鑰: S o m c u n s o m u c h s o m u c h s o m密文: s a m h n p t s d u n p f v u n x p w k e防火墻的功能：（1）防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡安全策略，比分散的主機管理更經(jīng)濟易行。（1分）（2）防火墻能防止非授權用戶進入內(nèi)部網(wǎng)絡。（1分）（3）防火墻可以方便地監(jiān)視網(wǎng)絡的安全性并報警。（1分）（4）可以作為部署網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation ）的地點，利用NAT 技術，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。（1分）（5）利用防火墻對內(nèi)部網(wǎng)絡的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制問題的擴散。（6）由于所有的訪問都經(jīng)過防火墻，防火墻是審計和記錄網(wǎng)絡的訪問和使用的最佳地方。TCP/IP的分層結(jié)構(gòu)以及它與OSI七層模型的對應關系。TCP/IP層次劃分 OSI層次劃分應用層 應用層表示層（1分）傳輸層 會話層傳輸層（1分）網(wǎng)絡層 網(wǎng)絡層（1分）數(shù)據(jù)鏈路層 鏈路層物理層（2分）簡述拒絕服務攻擊的概念和原理。 拒絕服務攻擊的概念：廣義上講，拒絕服務（DoS，Denial of service）攻擊是指導致服務器不能正常提供服務的攻擊。確切講，DoS攻擊是指故意攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡無法提供正常的服務，使目標系統(tǒng)停止響應，甚至崩潰。（3分） 拒絕服務攻擊的基本原理是使被攻擊服務器充斥大量要求回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)超負荷，以至于癱瘓而停止提供正常的網(wǎng)絡服務。簡述SSL安全協(xié)議的概念及功能。 SSL全稱是：Secure Socket Layer (安全套接層) （1分）。在客戶和服務器兩實體之間建立了一個安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，SSL提供保密性，服務器認證和可選的客戶端認證（2分）。其安全通道是透明的，工作在傳輸層之上，應用層之下，做到與應用層協(xié)議無關，幾乎所有基于TCP的協(xié)議稍加改動就可以在SSL上運行（2分）。 (1)所有在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻；（1分）(2)只有被授權的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；（1分）(3)防火墻本身不受各種攻擊的影響；（1分）(4)使用目前新的信息安全技術，如一次口令技術、智能卡等（1分）；(5)人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對發(fā)防火墻進行設置，對互連網(wǎng)的訪問者、被訪問者、訪問協(xié)議及訪問權限進行限制。（1分）ARP的工作過程： (1)主機A不知道主機B的MAC地址，以廣播方式發(fā)出一個含有主機B的IP地址的ARP請求；(2)網(wǎng)內(nèi)所有主機受到ARP請求后，將自己的IP地址與請求中的IP地址相比較，僅有B做出ARP響應，其中含有自己的MAC地址；(3)主機A收到B的ARP響應，將該條IPMAC映射記錄寫入ARP緩存中，接著進行通信。ARP欺騙：ARP協(xié)議用于IP地址到MAC地址的轉(zhuǎn)換，此映射關系存儲在ARP緩存表中。當ARP緩存表被他人非法修改將導致發(fā)送給正確主機的數(shù)據(jù)包發(fā)送給另外一臺由攻擊者控制的主機，這就是所謂的“ARP欺騙”。 （4分）簡述包過濾型防火墻的概念、優(yōu)缺點和應用場合。包過濾型防火墻的概念： 包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。（2分） 包過濾型防火墻的優(yōu)缺點： 包過濾防火墻的優(yōu)點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包過濾防火墻對用戶和應用講是透明的。無需對用戶進行培訓，也不必在每臺主機上安裝特定的軟件。（4分） 包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內(nèi)部主機的IP欺騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動式攻擊的潛在危險；普遍不支持有效的用戶認證；安全日志有限；過濾規(guī)則增加導致設備性能下降；包過濾防火墻無法對網(wǎng)絡上流動的信息提供全面的控制。（4分）在如圖所示的網(wǎng)絡中，要求允許網(wǎng)段3的所有機器能登錄Internet，但只能瀏覽WWW；～、SMTP和FTP服務，其余主機不能被Internet訪問，試進行訪問控制配置。答：Access –list 101 permit tcp any eq ||80Access –list 101 permit tcp any eq ||80Access –list 101 permit tcp any eq smtp|25（1分）