【正文】 答：Access –list 101 permit tcp any eq ||80Access –list 101 permit tcp any eq ||80Access –list 101 permit tcp any eq smtp|25（1分）A。（4分） 包過(guò)濾防火墻的缺點(diǎn)：維護(hù)比較困難；只能阻止外部主機(jī)偽裝成內(nèi)部主機(jī)的IP欺騙；任何直接經(jīng)過(guò)路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)；普遍不支持有效的用戶(hù)認(rèn)證；安全日志有限；過(guò)濾規(guī)則增加導(dǎo)致設(shè)備性能下降；包過(guò)濾防火墻無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。（2分） 包過(guò)濾型防火墻的優(yōu)缺點(diǎn)： 包過(guò)濾防火墻的優(yōu)點(diǎn)：處理包的速度快；費(fèi)用低，標(biāo)準(zhǔn)的路由器均含有包過(guò)濾支持；包過(guò)濾防火墻對(duì)用戶(hù)和應(yīng)用講是透明的。包過(guò)濾型防火墻的概念： 包過(guò)濾防火墻用一臺(tái)過(guò)濾路由器來(lái)實(shí)現(xiàn)對(duì)所接受的每個(gè)數(shù)據(jù)包做允許、拒絕的決定。當(dāng)ARP緩存表被他人非法修改將導(dǎo)致發(fā)送給正確主機(jī)的數(shù)據(jù)包發(fā)送給另外一臺(tái)由攻擊者控制的主機(jī)，這就是所謂的“ARP欺騙”。（1分）ARP的工作過(guò)程： (1)主機(jī)A不知道主機(jī)B的MAC地址，以廣播方式發(fā)出一個(gè)含有主機(jī)B的IP地址的ARP請(qǐng)求；(2)網(wǎng)內(nèi)所有主機(jī)受到ARP請(qǐng)求后，將自己的IP地址與請(qǐng)求中的IP地址相比較，僅有B做出ARP響應(yīng)，其中含有自己的MAC地址；(3)主機(jī)A收到B的ARP響應(yīng)，將該條IPMAC映射記錄寫(xiě)入ARP緩存中，接著進(jìn)行通信。其安全通道是透明的，工作在傳輸層之上，應(yīng)用層之下，做到與應(yīng)用層協(xié)議無(wú)關(guān)，幾乎所有基于TCP的協(xié)議稍加改動(dòng)就可以在SSL上運(yùn)行（2分）。 SSL全稱(chēng)是：Secure Socket Layer (安全套接層) （1分）。（3分） 拒絕服務(wù)攻擊的基本原理是使被攻擊服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)超負(fù)荷，以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。 拒絕服務(wù)攻擊的概念：廣義上講，拒絕服務(wù)（DoS，Denial of service）攻擊是指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。TCP/IP的分層結(jié)構(gòu)以及它與OSI七層模型的對(duì)應(yīng)關(guān)系。（1分）（5）利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可以實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，從而限制問(wèn)題的擴(kuò)散。（1分）（3）防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警。明文: A m a n l i b e r a l i n h i s v i e w s 密鑰: S o m c u n s o m u c h s o m u c h s o m密文: s a m h n p t s d u n p f v u n x p w k e防火墻的功能：（1）防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中的安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行。計(jì)費(fèi)管理：對(duì)使用的被管理對(duì)象進(jìn)行識(shí)別和使用計(jì)費(fèi)。（1分）性能管理：對(duì)被管理對(duì)象的行為和通信活動(dòng)的效率進(jìn)行評(píng)價(jià)。（1分）網(wǎng)絡(luò)管理功能分類(lèi)為配置管理：是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)關(guān)鍵設(shè)備的過(guò)程。簡(jiǎn)述網(wǎng)絡(luò)管理軟件分類(lèi)和管理系統(tǒng)的通用功能。弗朗西絲注意到n2＝n1。那么，瑪麗亞是否應(yīng)該考慮改變她的公開(kāi)密鑰和私有密鑰呢?答：瑪麗亞應(yīng)該考慮改變她的密鑰。（1分）一般將防火墻體系結(jié)構(gòu)區(qū)分四種。（3單向函數(shù)是現(xiàn)代密碼學(xué)的一個(gè)基本工具，大部分安全的密碼系統(tǒng)（包括協(xié)議）的構(gòu)造依賴(lài)于“單向函數(shù)存在”這一假設(shè)，所以十分重要。信息系統(tǒng)安全體系屬于典型的防御體系，在構(gòu)建防御體系過(guò)程中應(yīng)堅(jiān)持下列原則 什么是單向陷門(mén)函數(shù)？它在密碼學(xué)中有什么意義？不嚴(yán)格地說(shuō)，一個(gè)單向函數(shù)是一個(gè)函數(shù)，由x計(jì)算函數(shù)值y是容易的，但由y計(jì)算函數(shù)的逆是困難的（在某種平均意義下），“容易”和“困難”的確切含意由 計(jì)算復(fù)雜性理論定義。外部路由器：主要是對(duì)參數(shù)網(wǎng)絡(luò)上的主機(jī)提供保護(hù)，并阻斷來(lái)自外部網(wǎng)上偽造內(nèi)部網(wǎng)源地址進(jìn)來(lái)的任何數(shù)據(jù)包。如果入侵者成功地闖過(guò)外層保護(hù)網(wǎng)到達(dá)防火墻，參數(shù)網(wǎng)絡(luò)就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護(hù)堡壘主機(jī)：為內(nèi)部服務(wù)請(qǐng)求進(jìn)行代理內(nèi)部路由器的主要功能是保護(hù)內(nèi)部網(wǎng)免受來(lái)自外部網(wǎng)與參數(shù)網(wǎng)絡(luò)的侵?jǐn)_。畫(huà)出內(nèi)部網(wǎng)絡(luò)與Internet的連接之間的邊界防火墻的部署圖，并說(shuō)明各部件的答：：（略）（2分）“子網(wǎng)過(guò)濾體系結(jié)構(gòu)”的防火墻。（2分）它的作用是：權(quán)威機(jī)構(gòu)對(duì)證書(shū)持有者的公鑰進(jìn)行認(rèn)證，對(duì)持卡人的身份進(jìn)行認(rèn)證。（2分）？與其他同類(lèi)系統(tǒng)相比，它的特點(diǎn)是什么。永遠(yuǎn)不要將口令寫(xiě)下來(lái)，不要為了下次進(jìn)入系統(tǒng)方便而將口令學(xué)入系統(tǒng)緩沖區(qū)，不要使用弱口令，不要把自己的口令告訴任何人，不要輪流使用兩個(gè)口令，不要在網(wǎng)絡(luò)中不同的系統(tǒng)上使用同一個(gè)口令，永遠(yuǎn)不要?jiǎng)e人看到自己在輸入口令。如今已經(jīng)呈現(xiàn)網(wǎng)絡(luò)化（1分）、人性化（1分）、隱藏化（1分）、多樣化（1分）和平民化（1分）的發(fā)展趨勢(shì)。美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的PPDR安全模型是指：策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）和響應(yīng)（Response）。（2分）對(duì)稱(chēng)密碼的工作模式主要有那些？ 答：對(duì)稱(chēng)密碼的工作模式主要有： 電子密碼本模ECB（1分）密碼分組鏈模式CBC（1分）密碼反饋模式CFB（1分）輸出反饋模式OFB（1分）計(jì)數(shù)模式CTR什么是防火墻及防火墻的體系結(jié)構(gòu)有哪幾種？答：防火墻（Firewall）是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間實(shí)施網(wǎng)絡(luò)間訪問(wèn)控制的一組組件的集合（1分）防火墻的體系結(jié)構(gòu)主要有：（1分）（1分）（1分）（1分）請(qǐng)寫(xiě)出ISO（國(guó)際標(biāo)準(zhǔn)化組織）定義的五個(gè)網(wǎng)絡(luò)管理的功能？ 故障管理－發(fā)現(xiàn)、孤立、糾正網(wǎng)絡(luò)故障，恢復(fù)網(wǎng)絡(luò)功能；（1分） 配置管理－從網(wǎng)絡(luò)中獲取信息，根據(jù)該信息設(shè)置設(shè)備；（1分） 計(jì)費(fèi)管理－測(cè)量網(wǎng)絡(luò)資源的利用率，檢查配額，決定投資；（1分） 性能管理－分析并控制網(wǎng)絡(luò)數(shù)據(jù)流，給用戶(hù)提供連續(xù)可靠的服務(wù)；（1分） 安全管理－嚴(yán)格控制對(duì)網(wǎng)絡(luò)資源和敏感信息的訪問(wèn)。存在δ，已知δ 時(shí),對(duì)給定的任何y，若相應(yīng)的x存在，則計(jì)算x使y=f(x)是容易的。PKI由哪幾部分組成？答：PKI由 認(rèn)證機(jī)構(gòu)（CA）（1分），數(shù)字證書(shū)庫(kù)（1分），密鑰備份及恢復(fù)系統(tǒng)（1分），證書(shū)作廢處理系統(tǒng)（1分），PKI應(yīng)用接口（1分）組成。C8=(R+K)mod 26=BC=NILLIKHB（2分）什么是計(jì)算機(jī)病毒及傳播途徑？答：計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。C6=(T+R)mod 26=K。C4=(P+W)mod 26=L。C2=(O+E)mod 26=I。 當(dāng)密鑰的長(zhǎng)度比明文短時(shí)，密鑰可以周期性地重復(fù)使用，直至完成明文中的每個(gè)字母的加密。答：設(shè)密鑰K= k1 k2 … kd，明文與密文字母表中均包含了n個(gè)字母。歸納起來(lái)就是“黑客攻擊五部曲” 隱藏IP（1分）踩點(diǎn)掃描（1分）獲得系統(tǒng)或管理員權(quán)限（1分）種植后門(mén)（1分）在網(wǎng)絡(luò)中隱身簡(jiǎn)述計(jì)算機(jī)病毒的特征。（4分）簡(jiǎn)述黑客入侵的基本步驟。如圖所示。（答對(duì)一個(gè)知識(shí)點(diǎn)1分）簡(jiǎn)要的說(shuō)明網(wǎng)絡(luò)安全模型中的PDRR模型。（5企業(yè)在網(wǎng)絡(luò)安全方面一般會(huì)提出哪幾方面的要求？一般企業(yè)在設(shè)計(jì)一個(gè)系統(tǒng)的網(wǎng)絡(luò)安全是一般會(huì)提以下要求：安全性（系統(tǒng)安全，硬件軟件數(shù)據(jù)安全等）；可控性和可管理性；系統(tǒng)的可用性；可持續(xù)發(fā)展；合法性等。主要有：程序和數(shù)據(jù)完整性檢測(cè)技術(shù)；病毒特征碼檢測(cè)技術(shù)；啟發(fā)式規(guī)則病毒檢測(cè)技術(shù)；基于操作系統(tǒng)的監(jiān)視和檢測(cè)技術(shù)，實(shí)時(shí)的網(wǎng)絡(luò)流量檢測(cè)；異常流量檢測(cè)；蜜罐系統(tǒng)等。（4分）簡(jiǎn)述CA系統(tǒng)的組成？一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器（1分）、注冊(cè)機(jī)構(gòu)RA（1分）、CA服務(wù)器（1分）、LDAP目錄服務(wù)器（1分）和數(shù)據(jù)庫(kù)服務(wù)器（1分）等。簡(jiǎn)述公鑰密碼技術(shù)及它提供的功能？公鑰密碼技術(shù)也叫非對(duì)稱(chēng)密碼技術(shù)，加密和解密是相對(duì)獨(dú)立的，使用不同的密鑰，加密密鑰可以公開(kāi)，解密密鑰保密，從公鑰推出私鑰是不可能的，所以被稱(chēng)為公鑰密碼體制（1分）。黑客的主要行為有以下幾種：學(xué)習(xí)技術(shù)；偽裝自己；發(fā)現(xiàn)漏洞；利用漏洞（4分）。d≡1 (mod(n)) 得出3d≡1mod 40,知d=27. （2分）加密： C1= Me (mod n)=(08)3 (mod 55)=17 C2 =Me (mod n) =(09)3(mod 55)=14 Q=17，N=14 所以，HI的密文為QN。網(wǎng)絡(luò)管理的功能有哪些方面？OSI定義的網(wǎng)絡(luò)管理的功能分別為：配置管理（1分）、性能管理（1分）、故障管理（1分）、計(jì)費(fèi)管理（1分）、安全管理（1分）設(shè)明文編碼為：空格=00，A=01，B=02,…,Z=26。（答對(duì)1點(diǎn)及1分）什么是入侵檢測(cè)系統(tǒng)？入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有那些？IDS是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)絡(luò)安全的目標(biāo)包括哪幾個(gè)方面？可用性 （硬件加固和訪問(wèn)控制）（1分）、機(jī)密性 （電磁屏蔽干擾等、加密路由控制等）（1分）、完整性 （數(shù)字摘要等）（1分）、可靠性 （硬件冗余）（1分）、不可抵賴(lài)性 （數(shù)字簽名）（1分）第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)是什么？它分為哪幾類(lèi)并且由低到高分別是哪幾個(gè)級(jí)別？第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)是《可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)》（TCSEC）（1分），它分為4類(lèi)七級(jí)，（2分）從低到高分別是D C1 C2 B1 B2 B3 A（2分）簡(jiǎn)述一個(gè)典型的PKI應(yīng)用系統(tǒng)包括哪幾個(gè)部分？完整的PKI系統(tǒng)必須包括認(rèn)證機(jī)構(gòu)（CA）（1分）、數(shù)字證書(shū)庫(kù)（1分）、密鑰備份及恢復(fù)系統(tǒng)（1分）、證書(shū)作廢系統(tǒng)（1分）、應(yīng)用接口（API）（1分）等基本構(gòu)成部分。電子商務(wù)技術(shù)體系結(jié)構(gòu)的三個(gè)層次是網(wǎng)絡(luò)平臺(tái) 安全基礎(chǔ)結(jié)構(gòu) 電子商務(wù)業(yè)務(wù)，一個(gè)支柱是公共基礎(chǔ)部分。根據(jù)檢測(cè)原理，入侵檢測(cè)系統(tǒng)分為異常入侵檢測(cè) 誤用入侵檢測(cè)。VPN的兩種實(shí)現(xiàn)形式：ClientLAN LANLAN 。證書(shū)的作用是：用來(lái)向系統(tǒng)中其他實(shí)體證明自己的身份 分發(fā)公鑰。TCP/IP鏈路層安全威脅有：以太網(wǎng)共享信道的偵聽(tīng) MAC地址的修改 ARP欺騙。數(shù)據(jù)庫(kù)安全面臨的威脅（纂改、損壞、竊?。７阑饓Π垂ぷ鞣绞街饕譃椋ò^(guò)濾防火墻和應(yīng)用代理放防火墻）兩種。蠕蟲(chóng)是通過(guò)（網(wǎng)絡(luò)）進(jìn)行傳播的。（）是證書(shū)的簽發(fā)機(jī)構(gòu)，是PKI的核心。公鑰密碼技術(shù)里用到的三大數(shù)學(xué)難題是（大整數(shù)分解問(wèn)題（簡(jiǎn)稱(chēng)IFP）；離散對(duì)數(shù)問(wèn)題（簡(jiǎn)稱(chēng)DLP）；橢圓曲線離散對(duì)數(shù)問(wèn)題（簡(jiǎn)稱(chēng)ECDLP））。UNIX和Windows NT操作系統(tǒng)能夠達(dá)到（C2）安全標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全的特征是(保密性、完整性、可用性、可控性)。8檢測(cè)計(jì)算機(jī)病毒中，檢測(cè)的原理主要是基于4種方法：搜索法、（分析法）、病毒特征的識(shí)別法和（效驗(yàn)和法）。80、當(dāng)SQL Server在Windows環(huán)境中運(yùn)行時(shí)，SQL Server 2000提供了兩種確認(rèn)用戶(hù)的認(rèn)證模式，分別為（Windows認(rèn)證模式、混合認(rèn)證模式）。7一個(gè)郵件系統(tǒng)主要由（用戶(hù)代理、郵件服務(wù)器、電子郵件協(xié)議）構(gòu)成。7防火墻把出站的數(shù)據(jù)包的源地址都改寫(xiě)成防火墻的IP地址的方式叫做（NAT）。7非對(duì)稱(chēng)密鑰密碼技術(shù)也稱(chēng)為雙鑰或公鑰密碼技術(shù)，研究的基本工具不再象對(duì)稱(chēng)密碼技術(shù)那樣是代換和置換，而是（數(shù)學(xué)函數(shù)）。7數(shù)字水印應(yīng)具有3個(gè)基本特性分別是（安全性、魯棒性、隱蔽性）。這種攻擊叫（DoS）70、數(shù)據(jù)備份的種類(lèi)大概有三種他們分別是（全備份 增量備份 差分備份）。6有一種攻擊不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓。6目前E－mail服務(wù)使用的兩個(gè)主要協(xié)議是（SMTP POP3）。6從目前對(duì)計(jì)算機(jī)信息安全的威脅方面看，計(jì)算機(jī)信息安全技術(shù)研究的內(nèi)容應(yīng)該包括（外部安全 內(nèi)部安全 網(wǎng)絡(luò)安全）等三個(gè)方面。6美國(guó)國(guó)防部開(kāi)發(fā)的《可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則》安全級(jí)分為（4）類(lèi)（7）級(jí)。6DES算法的密鑰的長(zhǎng)度為（64）bits。60、編程修改注冊(cè)表時(shí)注冊(cè)表的句柄可以通過(guò)調(diào)用（、RegOpenKeyEx()和RegCreateKeyEx()）函數(shù)得到。5ISO定義了網(wǎng)絡(luò)管理的關(guān)鍵功能分別是：安全管理 （配置管理，故障管理）、性能管理和計(jì)費(fèi)管理等五大功能。5令眾多網(wǎng)絡(luò)管理員頭疼不已的死亡之ping，利用的是(TCP/IP協(xié)議)協(xié)議的漏洞。5TCP端口為信息的傳送提供制定地址，端口號(hào)小于256的定義為常用端口。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月由美國(guó)國(guó)防部公布，將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。如果你有一定的條件，可以實(shí)現(xiàn)下面哪些欺騙：（ARP欺騙、IP路由欺騙）、硬件地址欺騙和DNS欺騙。50、移位和置換是密碼技術(shù)的基礎(chǔ)，如果采用移位算法，遵循以下規(guī)則：A→G、B→I、C→K、D→M、E→O、F→Q；則BED經(jīng)過(guò)移位轉(zhuǎn)換之后的密文是：（IOM）5Ipsec可以設(shè)置成在兩種模式下運(yùn)行：一種是（隧道）模式，一種是（傳輸）模式。4目前E－mail服務(wù)使用的兩個(gè)主要協(xié)議是（SMTP、pop3）。4（數(shù)字簽名）及驗(yàn)證是實(shí)現(xiàn)信息在公開(kāi)網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?，該方法過(guò)程實(shí)際上是通過(guò)（哈希函數(shù)）來(lái)實(shí)現(xiàn)的。4Windows系統(tǒng)上的重大安全漏洞，主要包括（Windows服務(wù)器）和（工作站）安全漏洞。4SNMP的管理模型包括4關(guān)鍵元素：管理工作站、管理代理、（網(wǎng)絡(luò)管理協(xié)議、管理信息庫(kù)）。數(shù)據(jù)備份的種類(lèi)大概有三種他們分別是全備份、（增量備份 、差分備份）。它影響正常用戶(hù)的使用，甚至使合法用戶(hù)被排斥而不能得到服務(wù)。3除了提供機(jī)密性外，密碼學(xué)還能提供三方面的功能：（鑒別、完整性、抗抵賴(lài)）。3木馬程序一般由兩部分組成: （服務(wù)