checkpoint防火墙技术

CheckPoint FireWall-1防火墙技术

2007-11-14 18:22:23

随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制

这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.

CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

另外，FireWall-1还可以提供基于时间为对象的安全策略定制方法。

FireWall-1开放系统具有良好的扩展性，可以方便的定制用户的服务，提供复杂的访问控制。

2．授权认证（Authentication）

由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证，FireWall-1能保证一个用户发起的通信连接在允许之前，就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法：

用户认证（Authentication）

用户认证（UA）是基于每个用户的访问权限的认证，与用户的IP地址无关，FireWall-1提供的认证服务器包括：FTP、TELNET、HTTP、RLOGIN。

UA对移动用户特别有意义，用户的认证是在防火墙系统的网关上实施的。

FireWall-1网关截取需要的认证请求，并把该连接转向相应的安全服务器。当用户经过认证后，安全服务器打开第二个连接，接入目的主机，其后续的数据包都需经过网关上的FireWall-1检查。

客户认证（Client Authentication）

客户认证（CA）是基于用户的客户端主机的IP地址的一种认证机制，允许系统管理员提供特定IP地址客户的授权用户定制访问权限的控制，同UA相比，CA与IP地址相关，对访问的协议不做直接的限制。同样，服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源、应用程序，何时允许用户访问，允许建立多少会话等等。

话路认证（Session Authentication）

话路认证（SA）是基于每个话路的，属透明认证。实现SA需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关，截获该话路连接，并确认是否有用户级的认证，如果有，则向话路认证代理（Session Agent）发起一个连接，由话路认证代理负责响应的认证，决定是否把该连接继续指向用户的请求服务器。

3．内容安全检测（Content Security）

内容安全检测把FireWall-1具有的数据监测功能扩展到高层服务协议，保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及含不需要内容的Web文件的入侵和骚扰，同时又能提供向Internet的较好访问。

FireWall-1中的内容安全是与FireWall-1其他特性完全集成在一起的，可以通过GUI集中管理。另外，CheckPoint的OPSEC框架提供集成第三方内容扫描程序的API接口，企业可以根据需要自由选择内容扫描程序，以取得最佳效果。

FireWall-1提供以下内容安全机制：（需第三方厂家软件支持）

计算机病毒扫描

病毒检查对企业的网络安全是至关重要的，同时对如何实施病毒检查策略也不容忽视，要取得理想的效果，应在访问网络的每一个点上实施病毒检查，而不应该交给每个用户自己去实施。

URL扫描（URL Screening）

URL扫描允许网络管理员设定对某些Web页面的访问权，从而有效的节省公司的网络带宽，增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。

URL扫描支持以下三种方式设定：统配符设定、按文件名设定、按第三方URL数据库设定。

Jave、ActiveX小应用程序的剥离

FireWall-1内容安全管理可以保护企业免遭Java、ActiveX的攻击。系统管理员可以按一定的条件，如URL、授权认证用户名等，控制进入的Java、ActiveX 代码。FireWall-1提供以下Java、ActiveX扫描能力：

--从HTML页中剥离Java小应用标识（Tags）

--剥离所有服务器到客户端的响应（Response）中的Java小应用程序，不管响应是否为压缩文件或文档文件

--阻止可疑回应的连接，防止Java的攻击

--从HTML页中剥离ActiveX标识

--从HTML页中剥离JavaScript标识

支持Mail(SMTP)

Mail是在企业通信中广泛使用的Internet工具。SMTP不仅支持E-mail，同时支持附贴的文件，为了防止来自利用Internet E-mail工具的攻击，FireWall-1对SMTP连接提供高粒度的控制：

--隐藏向外发送的FROM地址，用对外的一个通用IP地址代替，以达到隐藏内部网络结构和真实用户身份的目的

--重定向MAIL到给定的TO地址

--丢弃来自给定地址的邮件

--剥离邮件中给定类型的附贴文件

--从向外发送的邮件中剥离Received信息，以达到隐藏内部地址的目的

--丢弃大于给定大小的邮件

--防病毒扫描

HTTP过滤

URL资源可以提供定义方案（HTTP、FTP）、方法（GET、POST）、主机（如“*.com”），路径和查询。也可以通过文件指定要过滤的IP地址、服务器列表。

支持FTP

FireWall-1中的FTP安全服务器提供认证服务和基于FTP命令的内容安全服务。支持PUT、GET、文件名限制、防病毒检查。例如，一旦定义了对FTP“GET”命令制定防病毒检查功能，FireWall-1会自动截获FTP“GET”访问，把传送的文件转发给防病毒服务器，经过防病毒服务器检查后把结果传回给防火墙模块。这一切对用户来说都是透明的。

4．加密（FireWall-1的VPN技术）

企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点连接方式既缺乏灵活性，成本又高，无法大规模的使用。随着公共网络的发展，如Internet，作为一种灵活、价格低廉的网间互联工具，已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是个关键问题。

我们把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网（VPN）。VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势，Vpn 技术的引入，使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术，每个专用网只需接入本地的Internet供应商即可。如果要想增加新的连接即简单又价格低廉。但是。接入公共网络又使企业面临安全方面的新问题，要防止未授权的Internet访问、保证信息不被窃取和篡改等。FireWall-1提供160多种预定义协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现其所有商业和接入需求。FireWall-1提供多种加密方案、密钥管理和内部权威密钥认证机构（Certificate Authority）。

安全的VPNs

安装了防火墙的网关对基于Internet的网网之间信息传输进行加密，提供安全的VPN技术。VPN中的专用网之间的加密由FireWall-1实施，无需在每一台主机上都安装加密软件。由网关代替受其保护的LAN和一组LAN间的信息加密。在网关后的信息是不加密的。

可选的加密

FireWall-1允许对同一工作站和网络间按协议选择加密或明文传送方式。对主机来说，无需对所有的通讯进行加密，提高了网络的效率。

FireWall-1支持以下三种加密方案：

FWZ---该方案为FireWall-1内置的专利加密和密钥管理方案，主要采用FWZ1和DES加密算法，普通PC端每秒可以处理10M数据流，加密后的数据包长度不变，该方法对IP包头不加密。

Manual Ipsec---为固定密钥加密和认证算法，密钥需通过其它途径手工交换，交换后的IP包长度增大，同时对IP包的头进行了加密。

SKIP---为Simple Key for Internet Protocol的缩写。SKIP是一种新型的密钥管理协议，可在网络上自动地实现加密和论证密钥的分配。

其中Manual Ipsec、SKIP是IETF工程组下IP安全协议工作组（Ipsec）对Internet网络制定的安全标准的一种实现。Ipsec主要提供IP层加密和认证的一种总体框架，采用的加密算法主要有DES、TripleDES、SHA-1等。

5．SecuRemote模块

FireWall-1 SecuRemote使Win95和WinNT的移动用户和远程用户得以访问他们的企业网络，可以直接或通过ISP连接到企业的服务器，同时保证企业敏感数据的安全传送。

该模块把VPN技术扩展到了远程用户。SecuRemote是一种称为客户端加密的技术。因为SecuRemote在数据离开客户端平台之前就已对数据进行了加密，故能为远程用户到防火墙系统间的通信连接提供完全的安全解决方案。FireWall-1 SecuRemote可以透明地加密任何TCP/IP通信，没有必要对现有用户使用的网络应用程序作任何修改。FireWall-1 SecuRemote支持任何现有的网络适配卡和TCP/IP栈。运行SecuRemote的PC机可以连接到VPN中的多个不同地点。

SecuRemote支持以下特点：

--支持动态IP地址

--提供DH、RSA算法的用户认证

--支持FWZ、DES加密算法

6．路由器安全管理（需另购置的模块）

FireWall-1对路由器安全管理提供一个较好的解决方案。系统管理员可以通过GUI生成路由过滤和配置。目前，支持的路由器有COM、CISCO、BAY。利用FireWall-1的面向对象的定义网络对象方法，可以把路由器定义为防火墙安全策略中的一个网络对象，经过定义的路由器对象可以作为普通网络对象在GUI 的安全策略中方便的使用。利用GUI中支持的点击式操作，无需了解路由器具体命令，就可以对路由器实现安全策略加载。同时，配置变化相当的直观。如果基本安全策略配置影响到多个网络对象，系统会自动改变所有相关的路由器。一旦网络对象改变，只需单击“LoadPolicy”按钮，ACL就被自动更新。

FireWall-1支持路由器的集中管理。通过一个集中的管理主控，可以配置和管理多个路由器上的访问控制列表。如果需要改变配置，只需在中央主控中改变一次，系统可自动生成访问控制列表，并自动地把ACL分布到整个企业范围内的相关路由器中。

7.地址翻译（NAT）

FireWall-1提供IP地址翻译的能力。IP翻译可以满足以下两种需求：

--隐藏企业内部IP地址和网络结构

--把内部的非法IP地址翻译成合法的IP地址

Internet技术是基于IP协议的，为了通过IP协议进行通信，每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络

上是较容易做到的。但是，一旦企业要接入Internet，则IP地址必须是全球唯一的，同时由于IP地址空间有限，现在要申请整段的IP地址已很困难，为了有效地利用有限的IP地址，IANA为Internet预留了三段地址空间，允许企业内部使用。总之，企业接入Internet后在IP地址方面会遇到需要对原非法的地址合法化和隐藏内部地址两个问题。

FireWall-1 NAT支持动态和静态地址翻译：

动态模式（Dynamic Mode/Hide Mode）

把所有要通过防火墙系统连接的内部主机IP地址全部映射到同一个合法的IP地址，对内部含非法地址的不同主机间采用动态分配的端口号进行区别。

因为IP地址是按动态的方式使用的，故这种方式只用于由内部主机发起的向外部的连接。

静态模式（Static Mode）

该方式分为静态源模式与静态目的模式。

静态源模式把非法的IP地址翻译成合法的IP地址，在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法IP地址，常同静态目的模式一起使用。

静态目的模式把合法地址翻译成非法地址，用于由外部客户端发起的连接。因内部网络中的服务器采用非法的IP地址，为了保证从外部进入内部网络的数据包能正确地到达目的地，在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。

另外，在实现地址翻译时，需要重新配置网关中的路由表，以确保数据包能到达防火墙网关及网关能正确地把包传送给内部主机。

IANA建议

因为IP地址空间的限制，IANA为私用网络保留了以下三块地址空间，这些地址永远不会在Internet合法地址中出现，允许企业自由采用(参见下表)。

Class from IP address to IP address

A 10.0.0.0 10.255.255.255

B 172.16.0.0 172.31.255.255

C 192.168.0.0 192.168.255.255

企业在建设Intranet时应采用IANA为私用网预留的IP地址空间，如果内部网络的非法IP地址与外部主机的IP地址相同，则在这两台主机间就无法进行通讯，因为地址翻译是在网关的外部接口中进行的，故发送主机本身会直接把数据包返回给源主机，数据包根本到达不了防火墙网关。

8．负载均衡（Load Balance）

FireWall-1负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的HTTP服务器都可以为HTTP客户机提供相同的服务，另外不要求所有的服务器都在防火墙之后。同样，其中的FTP服务器也可以对所有的FTP客户机提供相同的服务。

FireWall-1提供以下负载均衡算法：

--ServerLoad

该方法由服务器提供负载均衡算法。需要在服务器端安装负载测量引擎

--RoundTrip

FireWall-1利用PING命令测定防火墙到各个服务器之间的循回时间，选用循回时间最小者响应用户请求

--RoundRobin

FireWall-1根据其记录表中的情况，简单的制定下一个服务器作为响应--Random

FireWall-1随机选取防火墙响应

--Domain

FireWall-1按照域名最近的原则，指定最近的服务器响应

9.日志、报警、记帐能力

FireWall-1可以对用户在网络中的活动情况进行记录，如对用户入退网时间、传送的字节数、传送的包数量等进行记录。同时FireWall-1提供实时的报警功能，报警方式可以是通知系统管理员、发送E-mail，发送SNMP报警，如接寻呼机等。

FireWall-1允许记帐处理。一旦定义了记帐功能后，FireWall-1在通常的记录字段信息外，还记录用户连接的持续时间，传送的字节数、包数量，系统管理员可以用命令生成记帐报表，也可以通过FireWall-1的另外模块实现其数据库式的全网络内部的用户管理。

信息安全期末考试题库与答案

题库 一、选择 1. 密码学的目的是（C）。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（C），然而（C）这些攻击是可行的；主动攻击难以（C），然而（C）这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是（D）。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是（C）。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（C）。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理，通常对访问者（A），以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序，删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括（A）。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是（D）。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用（C）。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10．AH协议和ESP协议有（A）种工作模式。 A. 二 B. 三 C. 四 D. 五 11. （C）属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于（C）进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 13. VPN的加密手段为（C）。 A. 具有加密功能的防火墙 B. 具有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备 14．（B）通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。 A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 15．（C）通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或感兴趣的

信息安全概论-防火墙技术

信息安全概论 -防火墙技术 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。 这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。 防火墙是一种装置，它是由软件或硬件设备组合成，通常处于企业的内部网与internet之间，限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。 从实现山看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由器服务器上，控制经过它的网络应用服务与数据。 防火墙 防止易受攻击的服务 控制访问网点系统 集中安全性 增强保密，强化私有权 有利于对网络使用、滥用的纪录统计 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 实施防火墙的基本方针 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 实施防火墙的基本方针 只允许访问特定的服务

只拒绝访问特定的服务 防火墙的必要性 随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。 网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 网络有攻击就需要有防御，防火墙是很主要的网络防御手段。 防火墙特征 网络通信必须通过防火墙 合法数据可以通过防火墙 防火墙本身不受攻击的影响 使用最新安全技术 人机界面良好，易于配置管理 防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 另外对于未知的威胁，防火墙很难防护。 防火墙体系结构 双宿主主机防火墙 被屏蔽主机防火墙 被屏蔽子网防火墙 其它形式防火墙 防火墙体系中的堡垒主机 双宿主主机防火墙 双宿主主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内

信息安全技术题库及答案(全)

1 连云港专业技术继续教育—网络信息安全总题库及答案 1282 信息网络的物理安全要从环境安全和设备安全两个角度来考虑. A 正确 B 错误 1283 计算机场地可以选择在公共区域人流量比较大的地方。 A 正确 B 错误 1284 计算机场地可以选择在化工厂生产车间附近。 A 正确 B 错误 1285 计算机场地在正常情况下温度保持在18～28摄氏度。 A 正确 B 错误 1286 机房供电线路和动力、照明用电可以用同一线路。 A 正确 B 错误 1287 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。 A 正确 B 错误 1288 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。 A 正确 B 错误 1289 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。 A 正确 B 错误 1290 屏蔽室的拼接、焊接工艺对电磁防护没有影响。 A 正确 B 错误 1291 由于传输的内容不同，电力线可以与网络线同槽铺设。 A 正确 B 错误 1292 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通。地线做电气连通。 A 正确 B 错误 1293 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记，以防更换和方便查找赃物。 A 正确 B 错误

2 1294 TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施，从而达到减少计算机信息泄露的最终目的。 A 正确 B 错误 1295 机房内的环境对粉尘含量没有要求。 A 正确 B 错误 1296 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。 A 正确 B 错误 1297 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 A 正确 B 错误 1298 纸介质资料废弃应用碎纸机粉碎或焚毁。 A 正确 B 错误 1299 以下不符合防静电要求的是____。 A 穿合适的防静电衣服和防静电鞋 B 在机房内直接更衣梳理 C 用表面光滑平整的办公家具 D 经常用湿拖布拖地 1300 布置电子信息系统信号线缆的路由走向时，以下做法错误的是____。 A 可以随意弯折 B 转弯时，弯曲半径应大于导线直径的10倍 C 尽量直线、平整 D 尽量减小由线缆自身形成的感应环路面积 1301 对电磁兼容性(Electromagnetic Compatibility ，简称EMC)标准的描述正确的是____。 A 同一个国家的是恒定不变的 B 不是强制的 C 各个国家不相同 D 以上均错误 1302 物理安全的管理应做到____。 A 所有相关人员都必须进行相应的培训，明确个人工作职责 B 制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C 在重要场所的进出口安装监视器，并对进出情况进行录像 D 以上均 正确 1303 场地安全要考虑的因素有____。 A 场地选址 B 场地防火 C 场地防水防潮 D 场地温度控制 E 场地电源供应 1304 火灾自动报警、自动灭火系统部署应注意____。 A 避开可能招致电磁干扰的区域或设备 B 具有不间断的专用消防电源 C 留备用电源 D 具有自动

防火墙的设计与实现。。。

课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号 2

姓名王能 指导教师刘铁武韩宁 2011年3 月6 日

湖南工程学院 课程设计任务书 一．设计内容： 问题1：基于的认证系统 建立为了便于集中认证和管理接入用户，采用AAA（Authentication、Authorization 和Accounting）安全体系。通过某种一致的办法来配置网络服务，控制用户通过网络接入服务器的访问园区网络，设计内容如下： 1．掌握和RADIUS等协议的工作原理，了解EAP协议 2．掌握HP5308/HP2626交换机的配置、调试方法 3．掌握WindowsIAS的配置方法和PAP，CHAP等用户验证方法 4．建立一个基于三层交换机的模拟园区网络，用户通过AAA方式接入园区网络 问题2：动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网，对RIP和OSPF协议的工作原理进行研究，设计内容如下： 1．掌握RIP和OSPF路由协议的工作原理 2．掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3．掌握RIP和OSPF协议的报文格式，路由更新的过程 4．建立基于RIP和OSPF协议的模拟园区网络 5．设计实施与测试方案 问题3：防火墙技术与实现 建立一个园区网络应用防火墙的需求，对具体实施尽心设计并实施，设计内容如下：1．掌握防火墙使用的主要技术：数据包过滤，应用网关和代理服务 2．掌握HP7000路由器的配置、调试方法 3．掌握访问控制列表ACL，网络地址转换NAT和端口映射等技术 4．建立一个基于HP7000路由器的模拟园区网络出口 5．设计实施与测试方案 问题4：生成树协议的研究与实现 建立基于STP协议的局域网，对STP协议的工作原理进行研究，设计内容如下： 1．掌握生成树协议的工作原理

信息安全技术试题答案全面

信息安全技术试题及答案 信息安全网络基础： 一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 9. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 12. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 容灾与数据备份 一、判断题 2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 3. 对目前大量的数据备份来说，磁带是应用得最广的介质。√ 7. 数据越重要，容灾等级越高。√ 8. 容灾项目的实施过程是周而复始的。√ 二、单选题 1. 代表了当灾难发生后，数据的恢复程度的指标是 2. 代表了当灾难发生后，数据的恢复时间的指标是 3. 容灾的目的和实质是 A. 数据备份 B.心理安慰 C. 保持信息系统的业务持续性 D.系统的有益补充 4. 容灾项目实施过程的分析阶段，需要进行 A. 灾难分析 B. 业务环境分析 C. 当前业务状况分析 D. 以上均正确 5. 目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是一一一。 A.磁盘 B. 磁带 c. 光盘 D. 自软盘 6. 下列叙述不属于完全备份机制特点描述的是一一一。 A. 每次备份的数据量较大 B. 每次备份所需的时间也就校长 C. 不能进行得太频繁 D. 需要存储空间小

A. 灾难预测 B.灾难演习 C. 风险分析 D.业务影响分析 8、IBM TSM Fastback 是一款什么软件（） A、防病毒产品； B、入侵防护产品； C、上网行为管理产品； D、数据存储备份产品 9、IBM TSM Fastback产品使用的什么技术（ ) A、磁盘快照； B、文件拷贝； C、ISCSI技术； D、磁盘共享 12、IBM TSM Fastback产品DR（远程容灾）功能备份的是什么（） A、应用系统； B、本地备份的数据； C、文件系统； D、数据库 三、多选题 1. 信息系统的容灾方案通常要考虑的要点有一一。 A. 灾难的类型 B. 恢复时间 C. 恢复程度 D. 实用技术 E 成本 2. 系统数据备份包括的对象有一一一。 A. 配置文件 B.日志文件 C. 用户文档 D.系统设备文件 3. 容灾等级越高，则一一一。 A. 业务恢复时间越短 C. 所需要成本越高 B. 所需人员越多 D. 保护的数据越重 要 4、数据安全备份有几种策略（） A、全备份； B、增量备份； C、差异备份； D、手工备份 5、建立Disaster Recovery（容灾系统）的前提是什么（）多选 A、自然灾害（地震、火灾，水灾...)； B、人为灾害（错误操作、黑客攻击、病毒发作...) C、技术风险（设备失效、软件错误、电力失效...） 6、IBM TSM Fastback 可以支持数据库系统包括（）多选 A、M S SQL； B、Oracle； C、DB2； D、MY SQL 7、IBM TSM Fastback 可以支持的存储介质包括（） A、磁带介质； B、磁盘介质； C、磁带库； D、磁盘柜 基础安全技术 系统安全 一、判断题 防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，但该防火墙不能检测或清除已经感染计算机的病毒和蠕虫√ 8. 数据库管理员拥有数据库的一切权限。√ 9. 完全备份就是对全部数据库数据进行备份。√ 二、单选题 系统的用户帐号有两种基本类型，分别是全局帐号和

信息安全技术各章节期末试题

信息安全技术各章节期末复习试题 1 信息安全概述 1.1单选题 1.网络安全的特征包含保密性，完整性，（D ）四个方面。第9章 A可用性和可靠性 B 可用性和合法性C可用性和有效性D可用性和可控性 3.可以被数据完整性机制防止的攻击方式是（B） A 假冒B抵赖C数据中途窃取D数据中途篡改 4.网络安全是在分布网络环境中对（D ）提供安全保护。第9章 A.信息载体 B.信息的处理.传输 C.信息的存储.访问 D.上面3项都是 5.ISO 7498-2从体系结构观点描述了5种安全服务，以下不属于这5种安全服务的是（B ）。 A.身份鉴别 B.数据报过滤 C.授权控制 D.数据完整性 6.ISO 7498-2描述了8种特定的安全机制，以下不属于这8种安全机制的是（A ）。 A.安全标记机制 B.加密机制 C.数字签名机制 D.访问控制机制 7.用于实现身份鉴别的安全机制是（A）。第10章 A.加密机制和数字签名机制 B.加密机制和访问控制机制 C.数字签名机制和路由控制机制 D.访问控制机制和路由控制机制 8.在ISO/OSI定义的安全体系结构中，没有规定（D ）。 A.数据保密性安全服务 B.访问控制安全服务 C.数据完整性安全服务 D.数据可用性安全服务 9.ISO定义的安全体系结构中包含（B ）种安全服务。 A.4 B.5 C.6 D.7 10.（D）不属于ISO/OSI安全体系结构的安全机制。 A.通信业务填充机制 B.访问控制机制 C.数字签名机制 D.审计机制 11.ISO安全体系结构中的对象认证服务，使用（B ）完成。 A.加密机制 B.数字签名机制 C.访问控制机制 D.数据完整性机制 12.CA属于ISO安全体系结构中定义的（D）。第10章 A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制 13.数据保密性安全服务的基础是（D ）。第2章 A.数据完整性机制 B.数字签名机制 C.访问控制机制 D.加密机制 14.可以被数据完整性机制防止的攻击方式是（D ）。 A.假冒源地址或用户的地址欺骗攻击 B.抵赖做过信息的递交行为 C.数据中途被攻击者窃听获取 D.数据在途中被攻击者篡改或破坏

信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿） 编制说明 1 工作简况 1.1任务来源 2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。 国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。 1.2协作单位

在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。 1.3编制的背景 目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。 随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。同时，随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件，病毒、木马等威胁正在向工控系统扩散，工控系统信息安全问题日益突出，因此如何将工控系统与管理系统进行安全防护已经破在眉捷，必须尽快建立安全标准以满足国家信息安全的战略需要。 1.4编制的目的 在标准制定过程中，坚持以国内外产品发展的动向为研究基础，对工控隔离产品的安全技术要求提出规范化的要求，并结合工业控制

信息安全技术试题答案A

信息安全技术教程习题及答案 第一章概述 一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同，电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信 息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility，简称 EMC）标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训，明确个人工作职责 B。制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器，并对进出情况进行录像

2016.12《移动互联网时代的信息安全与防护》期末考试答案

?《移动互联网时代的信息安全和防护》期末测试（20） 题量： 100 满分：100.0 截止日期：2016-12-11 23:59 一、单选题 1 衡量容灾备份的技术指标不包括（）。 ?A、 恢复点目标 ?B、 恢复时间目标 ?C、 安全防护目标 ?D、 降级运行目标 我的答案：C 2 《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是（）。?A、 穷举攻击 ?B、 统计分析 ?C、 数学分析攻击 ?D、

社会工程学攻击 我的答案：B 3 一张快递单上不是隐私信息的是（）。 ?A、 快递公司名称 ?B、 收件人姓名、地址 ?C、 收件人电话 ?D、 快递货品内容 我的答案：A 4 关于U盘安全防护的说法，不正确的是（）。?A、 U盘之家工具包集成了多款U盘的测试 ?B、 鲁大师可以对硬件的配置进行查询 ?C、 ChipGenius是USB主机的测试工具 ?D、 ChipGenius软件不需要安装 我的答案：C

5 把明文信息变换成不能破解或很难破解的密文技术称为（）。?A、 密码学 ?B、 现代密码学 ?C、 密码编码学 ?D、 密码分析学 我的答案：C 6 特殊数字签名算法不包括（）。 ?A、 盲签名算法 ?B、 代理签名算法 ?C、 RSA算法 ?D、 群签名算法 我的答案：C 7

伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击？（）?A、 埃博拉病毒 ?B、 熊猫烧香 ?C、 震网病毒 ?D、 僵尸病毒 我的答案：C 8 日常所讲的用户密码，严格地讲应该被称为（）。?A、 用户信息 ?B、 用户口令 ?C、 用户密令 ?D、 用户设定 我的答案：B 9 第一次出现“Hacker”这一单词是在（）。 ?A、

信息安全技术试题答案E.docx

信息安全技术试题答案E 信息安全试题（1/共3） 一、单项选择题（每小题2分，共20分） 1._________________________ 信息安全的基木属性是o A.保密性 B.完整性 C.可用性、可控性、可靠性 D. A, B, C都是 2?假设使用一种加密算法，它的加密方法很简单：将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于 ________ o A.对称加密技术 B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 3.密码学的目的是 ____ o A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 4.A方有—?对密钥（KA公开，KA秘密），B方有-?对密钥（KB公开，KB秘密），A方向B方发送数字签名M,对信息M加密为：W = KB公开（KA秘密（M））。B方收到密文的解密方案是_______ o A. KB公开（KA秘密（M' ）） B. KA公开（KA公开（M'）） C. KA公开（KB秘密（M‘ ）） D. KB秘密（KA秘密（M'）） 5.数字签名要预先使用单向Hash函数进行处理的原因是______ o A.多一道加密工序使密文更难破译 B.提高密文的计算速度 C.缩小签名密文的长度，加快数字签名和验证签名的运算速度 D.保证密文能正确还原成明文 6.身份鉴别是安全服务小的重要一环，以下关于身份鉴别叙述不正确的是—o

A.身份鉴别是授权控制的基础 B.身份鉴别一般不用提供双向的认证 C.目前-?般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离______ 。 A.是防止Internet火灾的硬件设施 B.是网络安全和信息安全的软件和駛件设施 C.是保护线路不受破坏的软件和硬件设施 D.是起抗电磁干扰作川的硬件设施 8.PKI支持的服务不包括_____ 。 A.非对称密钥技术及证书管理 B.日录服务 C.对称密钥的产生和分发 D.访问控制服务9.设哈希函数H 128个可能的输出（即输出长度为128位）,如果II的k个随机输入屮至少有两个产生相同输岀的概率人于0. 5, 则k约等于—。 A. 2128 B. 264 C. 2 D. 2 10. Bell-LaPadula模型的出发点是维护系统的______ ,而Bibd模型与 Bell-LaPadula模型完全对立，它修正了Bell-LaPadula模型所忽略的信息的_______ 问题。它们存在共同的缺点：直接绑定主体与客体，授权工作困难。 A.保密性可用性 B.可用性保密性 C.保密性完整性 D.完整性保密性 二、填空题（每空1分，共20分） 1.ISO 7498-2确定了五大类安全服务，即鉴别、访问控制、数据保密性、数据完整性和不可否认。同吋，ISO 7498-2也确定了八类安全机制，即加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换、业务填充机制、路由控制机制和公证机制。

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及解答

信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。（对） 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。（对） 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。（错） 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。（对） 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型（错） 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。（错） 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。（错） 8.国密算法包括SM2,SM3和SM4. （对）

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。（对） 10.Hash函数的输人可以是任意大小的消息，其输出是一个长度随输入变化的消息摘要。（错） 11.数字签名要求签名只能由签名者自己产生。（对） 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。（错） 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制，而不是基于主体的身份。（对） 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的，有两个不同密钥 D.是对称的，使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )

最新信息安全技术试题答案D

信息安全技术试题答 案D

综合习题 一、选择题 1. 计算机网络是地理上分散的多台（C）遵循约定的通信协议，通过软硬件互联的系统。 A. 计算机 B. 主从计算机 C. 自主计算机 D. 数字设备 2. 密码学的目的是（C）。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 3. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（A）。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 4. 网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增加安全设施投资外，还应考虑（D）。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 5．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB公开，KB 秘密），A方向B方发送 数字签名M，对信息M加密为：M’= KB公开（KA秘密（M））。B方收到密文的解密方案是 （C）。

A. KB公开（KA秘密（M’）） B. KA公开（KA公开（M’）） C. KA公开（KB秘密（M’）） D. KB秘密（KA秘密（M’）） 6. “公开密钥密码体制”的含义是（C）。 A. 将所有密钥公开 B. 将私有密钥公开，公开密钥保密 C. 将公开密钥公开，私有密钥保密 D. 两个密钥相同 二、填空题 密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。 解密算法D是加密算法E的逆运算。 常规密钥密码体制又称为对称密钥密码体制，是在公开密钥密码体制以前使用的密码体制。 如果加密密钥和解密密钥相同，这种密码体制称为对称密码体制。 DES算法密钥是 64 位，其中密钥有效位是 56 位。 RSA算法的安全是基于分解两个大素数的积的困难。 公开密钥加密算法的用途主要包括两个方面：密钥分配、数字签名。 消息认证是验证信息的完整性，即验证数据在传送和存储过程中是否被篡改、重放或延迟等。 MAC函数类似于加密，它于加密的区别是MAC函数不可逆。 10．Hash函数是可接受变长数据输入，并生成定长数据输出的函数。 三、问答题 1．简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象。 主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截

物联网信息安全期末考试重点

物联网信息安全期末考试重点 一、散的知识 1、物联网可划分成哪几个层次？ 感知层、传输层、处理层、应用层 2、物联网人与物、物与物之间通信方式？ 综合利用有线和无线两者通信 3、物联网核心基础设施是？ 网络，传感器，控制器，物理设备 4、移动通信中断代（1G、2G、3G、4G）指的是？ G指的是Generation，也就是“代”的意思，所以1G就是第一代移动通信系统的意思，2G、3G、4G就分别指第二、三、四代移动通信系统。 1G是模拟蜂窝移动通信； 2G是数字通信，以数字语音传输技术为核心； 3G是指支持高速数据传输的蜂窝移动通讯技术； 4G是第四代移动通信系统，也就是广带接入和分布网络技术。 5、公开密码体制WHO、WHEN提出？（33） Diffie和Hellman，1976年 6、安全协议哪些用于应用层？哪些用于传输层？ 传输层：IPSEC协议、TLS协议、VPN、安全套接字层协议（SSL）、安全外壳协议（SSH）； 应用层：Web安全协议、电子邮件安全协议、门户网站、安全电子交易（SET）。 7、机密性的服务包括哪些？ 文件机密性、信息传输机密性、通信流的机密性。 8、防火墙+VPN+入侵检测+访问控制？ VPN(Virtual Private NetWork，虚拟专用网络)是一种在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络。 VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一个网络上，可以安全且不受拘束地互相存取。 防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

防火墙的功能

防火墙的功能 防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

信息安全原理与应用期末期末考试题及答案

. 1.密码学的目的是 C 。【】 A．研究数据加密 B．研究数据解密 C．研究数据 D．研究信息安全 2.网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增 加安全设施投资外，还应考虑 D 。【】 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3破解双方通信获得明文是属于的技术。【 A 】 A. 密码分析还原 B. 协议漏洞渗透 C. 应用漏洞分析与渗透 D. DOS攻击 4窃听是一种攻击，攻击者将自己的系统插入到发送站和接收站 之间。截获是一种攻击，攻击者将自己的系统插入到 发送站和接受站之间。 【 A 】 A. 被动，无须，主动，必须 B. 主动，必须，被动，无须 C. 主动，无须，被动，必须 D. 被动，必须，主动，无须 5以下不是包过滤防火墙主要过滤的信息？【 D 】 A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 6 PKI是__ __。【 C 】 A．Private Key Infrastructure B．Public Key Institute

C．Public Key Infrastructure D．Private Key Institute 7防火墙最主要被部署在___ _位置。【 C 】 . . A．网络边界 B．骨干线路 C．重要服务器 D．桌面终端 8下列__ __机制不属于应用层安全。【 C 】 A．数字签名 B．应用代理 C．主机入侵检测 D．应用审计 9 __ _最好地描述了数字证书。【 A 】 A．等同于在网络上证明个人和公司身份的 B．浏览器的一标准特性，它使 得黑客不能得知用户的身份 C．要求用户使用用户名和密码登陆的安全机制 D．伴随在线交易证明购买的 收据 10下列不属于防火墙核心技术的是____。【 D 】 A (静态／动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计 11信息安全等级保护的5个级别中，____是最高级别，属于关系到国计民生的最关键信息系统的保护。【 B 】 A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级 12公钥密码基础设施PKI解决了信息系统中的____问题。【】 A 身份信任 B 权限管理

信息安全技术试题答案C

信息安全技术试题答案C 1、通常为保证信息处理对象的认证性采用的手段是___C_______ A、信息加密和解密 B、信息隐匿 C、数字签名和身份认证技术 D、数字水印 2、关于Diffie-Hellman算法描述正确的是____B______ A、它是一个安全的接入控制协议 B、它是一个安全的密钥分配协议 C、中间人看不到任何交换的信息 D、它是由第三方来保证安全的 3、以下哪一项不在证书数据的组成中? _____D_____ A、版本信息 B、有效使用期限 C、签名算法 D、版权信息 4、关于双联签名描述正确的是____D______ A、一个用户对同一消息做两次签名 B、两个用户分别对同一消息签名 C、对两个有联系的消息分别签名 D、对两个有联系的消息同时签名 5、Kerberos中最重要的问题是它严重依赖于____C______ A、服务器 B、口令 C、时钟 D、密钥 6、网络安全的最后一道防线是____A______ A、数据加密 B、访问控制

C、接入控制 D、身份识别 7、关于加密桥技术实现的描述正确的是____A______ A、与密码设备无关，与密码算法无关 B、与密码设备有关，与密码算法无关 C、与密码设备无关，与密码算法有关 D、与密码设备有关，与密码算法有关 8、身份认证中的证书由____A______ A、政府机构发行 B、银行发行 C、企业团体或行业协会发行 D、认证授权机构发行 9、称为访问控制保护级别的是____C______ A、C1 B、B1 C、C2 D、B2 10、DES的解密和加密使用相同的算法，只是将什么的使用次序反过来? ____C______ A、密码 B、密文 C、子密钥 D、密钥 11、PKI的性能中，信息通信安全通信的关键是_____C_____ A、透明性 B、易用性 C、互操作性 D、跨平台性

信息安全技术基础期末考点总结

4．信息安全就是只遭受病毒攻击，这种说法正确吗？ 不正确，信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。 信息安全本身包括的范围很大，病毒攻击只是威胁信息安全的一部分原因，即使没有病毒攻击，信息还存在偶然泄露等潜在威胁，所以上述说法不正确。 5.网络安全问题主要是由黑客攻击造成的，这种说法正确吗？ 不正确。谈到信息安全或者是网络安全，很多人自然而然地联想到黑客，实际上，黑客只是实施网络攻击或导致信息安全事件的一类主体，很多信息安全事件并非由黑客（包括内部人员或还称不上黑客的人）所为，同时也包括自然环境等因素带来的安全事件。 补充：信息安全事件分类 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件 3.信息系统的可靠性和可用性是一个概念吗？它们有什么区别？ 不是。 信息安全的可靠性：保证信息系统为合法用户提供稳定、正确的信息服务。 信息安全的可用性：保证信息与信息系统可被授权者在需要的时候能够访问和使用。 区别：可靠性强调提供服务的正确、稳定，可用性强调提供服务访问权、使用权。 5.一个信息系统的可靠性可以从哪些方面度量？ 可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度，提供的服务是否正确。 7.为什么说信息安全防御应该是动态和可适应的？ 信息安全防御包括（1）对系统风险进行人工和自动分析，给出全面细致的风险评估。（2）通过制订、评估、执行等步骤建立安全策略体系（3）在系统实施保护之后根据安全策略对信息系统实施监控和检测（4）对已知一个攻击（入侵）事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化，没有一种技术可以完全消除信息系统及网络的安全隐患，系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障，应该构建动态适应的、合理可行的主动防御，而且投资和技术上是可行的，而不应该是出现了问题再处理的被动应对。 4.什么是PKI？“PKI是一个软件系统”这种说法是否正确？ PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施，是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。 正确。PKI是一个系统，包括技术、软硬件、人、政策法律、服务的逻辑组件，从实现和应用上看，PKI是支持基于数字证书应用的各个子系统的集合。 5.为什么PKI可以有效解决公钥密码的技术应用？ PKI具有可信任的认证机构（授权中心），在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能，并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范，以及为PKI体系中的各个成员提供全部的安全服务。简单地说，PKI是通过权威机构签发数字证书、管理数字证书，通信实体使用数字证书的方法、过程和系统。 实现了PKI基础服务实现与应用分离，有效解决公钥使用者获得所需的有效的、正确的公钥问题。