银符考试题库-在线练习-数据库系统工程师分类模拟题安全性知识

数据库系统工程师分类模拟题安全性知识

1. 属于第三层VPN协议。

A.TCP
B.IPsec
C.PPOE
D.SSL

A B C D

[解析]
所谓第三层VPN，就是在网络参考模型的第三层，即网络层，利用一些特殊的技术例如隧道技术、标记交换协议MPLS或虚拟路由器等，来实现企业用户各个节点之间的互联。其中，采用隧道技术的方式目前以IP隧道为主，即在两个节点之间利用隧道协议封装重新定义数据包的路由地址，使得具有保留p地址的数据包可以在公共数据网上进行路由，利用这种方式可以很好地解决p地址的问题。同时，利用某些隧道协议的加密功能，例如IPsec，还可以充分地保障数据传输的安全性。
选项中的PPPOE是在以太网络中转播PPP帧信息的技术。通常PPP是用来通过电话线路及ISDN拨号接驳到ISP时使用。该协议具有用户认证及通知IP地址的功能。

2. 图10-1所示的防火墙结构属于。

A.简单的双宿主主机结构
B.单DMZ防火墙结构
C.带有屏蔽路由器的单网段防火墙结构
D.双DMZ防火墙结构

A B C D

[解析]
DMZ是英文demilitarized zone的缩写，中文名称为隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。
在图10-1的防火墙方案中，包括两个防火墙，屏蔽路由器抵挡外部非法网络的攻击，并管理所有内部网络对DMZ的访问。堡垒主机管理DMZ对于内部网络的访问。显然图10-1中只有一个DMZ，为单DMZ防火墙结构。

3. 电子商务交易必须具备抗抵赖性，目的在于防止。

A.一个实体假装成另一个实体
B.参与交易的一方否认曾经发生过此次交易
C.他人对数据进行非授权的修改、破坏
D.信息从被监视的通信过程中泄露出去

A B C D

[解析]
在网络应用中，抗抵赖性是指如何保证系统中的用户签发后又不承认自己曾认可的内容，其目的在于防止参与交易的一方否认曾经发生过此次交易。抗抵赖性包括源抗抵赖性和接收抗抵赖性。
(1)源抗抵赖性：保护接收方免于发送方否认已发送的业务数据。
(2)接收抗抵赖性：保护发送方免于接收方否认已接收到业务数据。

4. 某公司使用包过滤防火墙控制进出公司局域网的数据，在不考虑使用代理服务器的情况下，下面描述错误的是“该防火墙能够 ”。

A.使公司员工只能访问Internet上与其有业务联系的公司的IP地址
B.仅允许HTTP协议通过
C.使员工不能直接访问FTP服务端口号为21的FTP服务
D.仅允许公司中具有某些特定"地址的计算机可以访问外部网络

A B C D

[解析]
防火墙是一种运行专门的计算机安全软件(称为防火墙软件)的计算机系统，即通过软件与硬件相结合，能在企业内部网络与外部网络之间的交界外构造起一个“保护层”，所有的企业内部网络与外部网络之间的通信都必须经过此保护层进行检查与连接，只有授权允许的通信才能通过保护层。换句话说，防火墙相当于一个安全网关，能在一定意义下阻断或隔离企业内部网络与外部网络，防止非法的入侵行为或破坏行为。用防火墙可以阻止外界对内部网资源的非法访问，也可以防止内部对外部的不安全访问。
防火墙产品主要两大类：一类是网络级防火墙，另一类是应用级防火墙。目前一种趋势是把这两种技术结合起来。
(1)网络级防火墙：也称包过滤防火墙。事实上是一种具有特殊功能的路由器，采用报文动态过滤技术，能够动态地检查流过的TCP/IP报文或分组头，根据企业所定义的规则，决定禁止某些报文通过或者允许某些报文通过，允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
(2)应用级防火墙：也称为应用网关型防火墙，目前已大多采用代理服务机制，即采用一个网关来管理应用服务，在其上安装对应于每种服务的特殊代码(代理服务程序)，在此网关上控制与监督各类应用层服务的网络连接。比如对外部用户(或内部用户)的FTP，TELNET，SMTP等服务请求，检查用户的真实身份、请求合法性和源与目的地IP地址等，从而由网关决定接受或拒绝该服务请求，对于可接受的服务请求由代理服务机制连接内部网与外部网。
如果考生了解上面所说明的防火墙知识，解题就很容易了。题目中所说的包过滤防火墙是我们介绍的第一类防火墙，此类防火墙是工作在传输层和网络层的，但是备选答案B所说的HTTP协议属于应用层协议，所以包过滤防火墙无法对其进行限制，所以答案应选B。

两个公司希望通过Internet进行安全通信，保证从信息源到目的地之间的数据传输以密文形式出现，而且公司不希望由于在中间节点使用特殊的安全单元增加开支，最合适的加密方式是 5 ，使用的会话密钥算法应该是 6 。

A.链路加密
B.节点加密
C.端一端加密
D.混合加密

A B C D

A.RSA
B.RC-5
C.MD5
D.ECC

A B C D

[解析]
数据传输加密技术目的是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密(位于OSI网络层以下的加密)，节点加密，端到端加密(传输前对文件加密，位于OSI网络层以上的加密)。
一般常用的是链路加密和端到端加密这两种方式。链路加密侧重于在通信链路上而不考虑信源和信宿，对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息(地址、检错、帧头帧尾)都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，一旦这些信息到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。故第(10)空选择C。
Rivest-Shamir-Adleman(RSA)加密算法是目前应用最广泛的公钥加密算法，适用于数字签名和密钥交换，特别适用于通过Internet传送的数据。RSA算法的安全性基于分解大数字时的困难(就计算机处理能力和处理时间而言)。在常用的公钥算法中，RSA与众不同，它能够进行数字签名和密钥交换运算。
MD5是由Ron Rivest设计的可产生一个128位的散列值的散列算法。MD5设计经过优化以用于Intel处理器。这种算法的基本原理已经泄露。

7. 多形病毒指的是的计算机病毒。

A.可在反病毒检测时隐藏自己
B.每次感染都会改变自己
C.可以通过不同的渠道进行传播
D.可以根据不同环境造成不同破坏

A B C D

[解析]
多形病毒是这样的病毒：它产生了与它自身不同的，但是操作可用的拷贝，目的是希望病毒扫描程序不能检测到所有的病毒的情况。它是一种较为高级的病毒，在每次感染后会改变自己。

8. 感染“熊猫烧香”病毒后的计算机不会出现的情况。

A.执行文件图标变成熊猫烧香
B.用户信息被泄漏
C.系统运行变慢
D.破坏计算机主板

A B C D

[解析]
熊猫烧香是一种感染型的蠕虫病毒，它能感染系统中exe、com、pif、src、html和 asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是系统备份工具GHOST的备份文件，使用户的系统备份丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

数据加密是一种保证数据安全的方法，数据解密则是逆变换，即 9 。密码体制可分为 10 和 11 两大类。例如常用的DES属于 10 ，而RSA则属于 11 。 DES的密钥长度为 14 位。
破密者面临多种不同的问题，其从易到难排列依次为 15 。

A.由加密密钥求出解密密钥
B.由密文求出明文
C.由明文求出密文
D.由解密密钥求出加密密钥

A B C D

10.

A.公开密钥
B.替代密码
C.换位密码
D.对称密钥

A B C D

11.

A.公开密钥
B.替代密码
C.换位密码
D.对称密钥

A B C D

12.

A.32
B.48
C.64
D.128

A B C D

13.

A.选择明文、已知明文、仅知密文
B.已知明文、仅知密文、选择明文
C.已知明文、选择明文、仅知密文
D.仅知密文、已知明文、选择明文

A B C D

[解析]
数据加密是计算机中最重要的技术措施之一。数据加密即对明文(未经加密的数据)按照某种的加密算法(数据的变换算法)进行处理，而形成难以理解的密文(经加密后的数据)。即使是密文被截获，截获方也无法或难以解码，从而防止泄露信息。
数据加密和数据解密是一对可逆的过程，数据加密是用加密算法E和加密密钥K1将明文P变换成密文C，表示为：C=E_K1(P)
数据解密是数据加密的逆过程，用解密算法D和解密密钥K2，将密文C转换在明文P，表示为：P=D_K2(C)
按照加密密钥K1和解密密钥K2的异同，有两种密钥体制。
(1)秘密密钥加密体制(K1=K2)：加密和解密采用相同的密钥，因而又称为对称密码体制。因为其加密速度快，通常用来加密大批量的数据。典型的方法有日本NTT公司的快速数据加密标准(FEAL)、瑞士的国际数据加密算法(IDEA)和美国的数据加密标准(DES)。
DES(数据加密标准)是国际标准化组织(ISO)核准的一种加密算法，自1976年公布以来得到广泛的应用，但近年来对它的安全性提出了疑问。1986年美国政府宣布不再支持DES作为美国家数据加密标准，但同时又不准公布用来代替DES的加密算法。
一般DES。算法的密钥长度为56位，为了加速DES算法和RSA算法的执行过程，可以用硬件电路来实现加密和解密。针对DES密钥短的问题，科学家又研制了80位的密钥，以及在DES的基础上采用三重DES和双密钥加密的方法。即用两个56位的密钥K1、K2，发送方用K1加密，K2解密，再使用K1加密。接收方则使用K1解密， K2加密，再使用K1解密，其效果相当于将密钥长度加倍。
(2)公开密钥加密体制(K1≠K2)：又称非对称密码体制，其加密和解密使用不同的密钥；其中一个密钥是公开的，另一个密钥保密的。典型的公开密钥是保密的。由于加密度较慢，所在往往用在少量数据的通信中。典型的公开密钥加密方法有RSA和NTT的ESIGN。
RSA算法的密钥长度为512位。RSA算法的保密性取决于数学上将一个大数分解为两个素数的问题的难度，根据已有的数学方法，其计算量极大，破解很难。但是加密/解密时要进行大指数模运算，因此加密/解密速度很慢，影响推广使用。
国际数据加密算法(IDEA)在1990年正式公布。这种算法是在DES算法的基础上发展起来的，类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点， IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。
解密的主要问题是如何求得密钥。解密者仅知一些消息的密文，试图恢复其明文，或推算出用来加密的密钥以便解密其他密文，这相当困难。
已知明文是指解密者不仅可得到一些消息的密文，而且也知道对应的明文，由此推算出用来加密的密钥或导出算法，从而解密其他密文，这比仅知密文要容易些。
选择明文是指解密者不仅可得到一些消息的密文和相应的明文，而且也可选择被加密的明文，这比已知明文更有效，因为解密者能选择特定的明文块去加密，所选块可能产生更多关于密钥的信息，从而更有效地推出用来加密的密钥或导出算法。

常规的数据加密标准DES采用 14 位有效密钥对 15 位的数据块进行加密。

14.

A.56
B.64
C.112
D.128

A B C D

15.

A.32
B.64
C.128
D.256

A B C D

[解析]
一般DES算法的密钥长度为56位，DES算法的入口参数有三个：Key，Data，Mode。其中Key为8个字节共64位，是DES算法的工作密钥：Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有加密或解密两种。
DES算法是这样工作的：如Mode为加密，则用Key去给数据Data进行加密，生成Data的密码形式(64位)作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式(64位)，作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网络(如电话网)中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据(如PIN，MAC等)在公共通信网中传输的安全性和可靠性。通过定期在通信网络的源端和目的端同时改用新的Key，可以进一步提高数据的保密性。

数字签名是一种网络安全技术，利用这种技术，接收者可以确定发送者的身份是否真实，同时发送者不能 16 发送的消息，接收者也不能 17 接收的消息。Kerberos是一种分布式环境下的 18 系统。为了防止重放(replay)攻击，它使用了一次性的 19 和时间戳。在公钥加密的情况下，用户必须警惕用于加密的公钥是否属于真正的接收者，为此必须使用数字证书；常用的数字证书格式有 20 证书和X.509证书。

16.

A.泄露
B.隐藏
C.篡改
D.否认

A B C D

17.

A.泄露
B.否认
C.篡改
D.隐藏

A B C D

18.

A.数字签名
B.身份认证
C.数字证书
D.公钥加密

A B C D

19.

A.Key
B.Certs
C.MAC
D.Ticket

A B C D

20.

A.PGP
B.SSL
C.SHTTP
D.SOCKS

A B C D

[解析]
数字签名用来保证信息传输过程中信息的完整，提供信息发送者的身份认证和不可抵赖性，该技术利用公开密钥算法对于电子信息进行数学变换，通过这一过程，数字签名存在于文档之中，不能被复制。该技术在具体工作时，首先发送方对信息施以数学变换，所得的变换信息与原信息唯一对应：在接收方进行逆变换，就能够得到原始信息。只要数学变换方法优良，变换后的信息在传输中就具有更强的安全性，很难被破译、篡改。这一过程称为加密，对应的反变换过程称为解密。
数字签名的算法很多，应用最为广泛的三种是：Hash签名、DSS签名、RSA签名。这三种算法可单独使用，也可综合在一起使用。
Kerberos是一种秘密密钥网络认证协议，由麻省理工学院(MIT)开发，它使用“数据加密标准”(DES)加密算法来进行加密和认证。Kerberos设计的目的是解决在分布网络环境下，用户访问网络资源时的安全问题。Kerberos的安全不依赖于用户登录的主机或者应用服务器，而是依赖于几个认证服务器。
Kerberos协议中有三个通信参与方，需要验证身份的通信双方和一个双方都信任的第三方KDC。将发起认证服务的一方称为客户方，客户方需要访问的对象称为服务器方。在Kerberos中客户方是通过向服务器方递交自己的“凭据”(ticket)来证明自己的身份的，该凭据是由KDC专门为客户方和服务器方在某一阶段内通信而生成的。
常用的数字证书格式有PGP证书和X.509证书。

21. OSI(Open System Interconnection)安全体系方案X.800将安全性攻击分为两类，即被动攻击和主动攻击。主动攻击包括篡改数据流或伪造数据流，这种攻击试图改变系统资源或影响系统运行。下列攻击方式中不属于主动攻击的为。

A.伪装
B.消息泄露
C.重放
D.拒绝服务

A B C D

[解析]
被动攻击是对信息的保密性进行攻击，即通过窃听网络上传输的信息并加以分析从而获得有价值的情报，但它并不修改信息的内容。它的目标是获得正在传送的信息，其特点是偷听或监视信息的传递。被动攻击只对信息进行监听，不对其进行修改。被动攻击包括信息内容泄露和业务流分析两大类，具体有：
(1)窃听。信息在通信过程中因被监视窃听而泄露。
(2)电磁/射频截获。信息从电子或机电设备所发出的无线电磁波中被提取出来。
(3)业务流分析。通过观察通信业务流模式，使非授权实体(人或系统)获得信息等。
主动攻击是攻击信息来源的真实性、信息传输的完整性和系统服务的可用性，有意对信息进行修改、插入和删除。主要包括：
(1)截获/修改。某一通信数据在传输过程中被改变、插入和替代。
(2)重放。把所截获的某次合法通信数据拷贝，出于非法目的重新发送。
(3)伪装。某个实体假装成另一个实体，并获取该实体的权限。
(4)非法使用。某一资源被某个非授权实体或以某一非授权方式使用。
(5)服务拒绝。攻击者通过对系统进行非法和根本无法成功的访问尝试而产生过量的负荷，使合法用户的访问被无条件地阻止。
(6)特洛伊木马。含有一个觉察不出或无害程序段的软件，当它被运行时，能损害系统的安全。
(7)陷门。在某个系统或其部件中设置“机关”，使在提供特定的输入数据时发生违反安全策略的操作等。

22. 安全机制是实现安全服务的技术手段，一种安全机制可以提供多种安全服务，而一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是。

A.数据保密性
B.访问控制
C.数字签名
D.认证

A B C D

[解析]
在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术实现的，同一安全机制有时也可以用于实现不同的安全服务。
安全服务主要有：
(1)认证，包括实体认证与数据源认证；
(2)数据保密性，包括连接机密性、无连接机密性、选择域机密性与业务流机密性；
(3)数据完整性，包括有恢复连接完整性、无恢复连接完整性、选择域连接完整性、五连接完整性与选择域无连接完整性：
(4)抗抵赖性，包括有源端证据的抗抵赖性与有交付证据的抗抵赖性；
(5)访问控制。
安全机制主要有：
(1)加密机制，存在加密机制意味着存在密钥管理机制；
(2)数字签名机制；
(3)访问控制机制：
(4)数据完整性机制：
(5)认证机制；
(6)通信业务填充机制；
(7)路由控制机制；
(8)公证机制。
因为访问控制虽是安全服务范畴，但不需要用到加密，所以，正确的答案为B。

23. 消息摘要算法是一种常用的函数。MD5算法以一个任意长数据运动块作为输入，其输出为一个比特的消息摘要。

A.128
B.160
C.256
D.512

A B C D

[解析]
消息摘要算法实际上就是一个单向散列函数。数据块经过单向散列函数得到一个固定长度的散列值，攻击者不可能通过散列值而编造数据块，使得编造的数据块的散列值和原数据块的散列值相同。数据块的签名就是先计算数据块的散列值，然后使用私钥加密数据块的散列值得到数据签名。签名的验证就是计算数据块的散列值，然后使用公钥解密数据签名得到另一个散列值，比较两个散列值就可以判断数据块在签名后有没有被改动。
常用的消息摘要算法有MD5，SHA等，市场上广泛使用的MD5，SHA算法的散列值分别为128和160位，由于SHA通常采用的密钥长度较长，因此安全性高于MD5。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

深色：已答题浅色：未答题