系统安全(考试题)

一、填空1.信息安全是指秘密信息在产生、传输、使用和存储的过程中不被泄露或破坏。2.计算机安全的4个方面包括：保密性，完整性，可用性和不可否认性。3.计算机安全主要包括系统的系统安全和数据安全两个方面。4.可用性是指系统在规定条件下，完成规定功能的能力。5.一个完整的信息安全技术体系结构由物理安全技术、基础安全技术、系统安全技术、网络安全技术及应用安全技术组成。6.一个最常见的网络安全模型是PDRR模型。7.物理安全又称为实体和基础设施安全，是保护计算机设备、设施（网络及通信线路）免地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。8.物理安全技术主要是指对计算机及网络系统的环境、场地、设备、和通信线路等采取的安全技术措施。9.物理安全包括环境安全、设备安全、电源系统安全和通信线路安全。10.电源是所有电子设备正常工作的能量源泉，在计算机系统中占有重要地位。11.计算机的电子元器件、芯片都密封在机箱中，有的芯片工作时的把表面温度相当高，一般电子元器件工作的温度范围是0-45℃。12.放置计算机的房间内，湿度最好保持在40％-60％之间，湿度过高或过低对计算机的可靠性和安全性都有影响。13.机房“三度”要求是温度、湿度、和洁净度。14.计算机对电源有两个基本要求：电压要稳和供电不能间断。15.引起计算机机房火灾的原因一般有：电气原因、人为事故和外部火灾蔓延。16.密码理论与技术主要包括两部分：基于数学的密码理论与技术、非数学的密码理论与技术。17.密码学包括密码设计与密码分析两个方面。18.加密一般分为3类，是对称加密、非对称加密和单向散列函数。19.对称加密算法的安全性依赖于密钥的安全性。20．主要的非对称加密算法有RSA，DSA，DH，ECC等。21.证书是PKI的核心元素，CA是PKI的核心执行者。22.操作系统是一组面向机器和用户的程序，是用户程序和计算机硬件之间的接口，其目的是最大限度地、高效地、合理地使用计算机资源，同时对系统的所有资源（软件和硬件资源）进行管理。23.在计算机系统的各个层次上，硬件、操作系统、网络软件、数据库管理系统软件以及应用软件，各自在计算机安全中都肩负着重要的职责。24.操作系统的安全定义包括5大类，分别为：身份认证、访问控制、数据保密性、数据完整性以及不可否认性。25.最小特权指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。26.注册表是Windows的重要组成部分，它存放了Windows中的所用应用程序和系统配置信息。27.与Windows权限密切相关的3个概念是：安全标识符、访问控制列表和安全主体。28.NTFS权限的两大要素是：标准访问权限和特别访问权限。29.网络安全的目标主要是：系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。30.黑客常用的攻击手段有：密码破解、后门程序、注入、电子邮件攻击、拒绝服务等。31.黑客入侵的步骤一般可以分为3个阶段：确定目标与收集相关信息、获得对系统的访问权力、隐藏踪迹。32.一些常用的网络命令有：ping、ipcofing/ifcofig、arp、nbtstat、netstat、tracert/traceraute、net等。33.arp命令用于确定IP地址对应的物理地址。34.漏洞扫描是对计算机系统或其他网络设备进行与安全相关的检测，找出安全隐患和可被黑客利用的漏洞。35.端口就是一扇进入计算机系统的门。36.栈是一块保存数据的连续内存，一个名为栈指针的寄存器指向它的顶部，它的底部在一个固定的地址。37.Dos（DenialofService，拒绝服务）攻击是通过利用主机特定漏洞进行攻击，导致网络栈失败、系统崩溃、主机死机而无法提供正常的网络服务功能。38.DDos的攻击形式主要有：流量攻击和资源耗尽攻击。39.防火墙是控制从网络外部访问本网络的设备，通常位于内网与Internet的连接处，充当访问网络的唯一入口(出口)。40.Linux提供了一个非常优秀的防火墙工具net.filter/ip.tables,它免费、功能强大、可以对流入流出的信息进行灵活控制，并且可以在一台低配置的机器上和好的运行。41.根据原始数据的来源，IDS可以分为：基于主机的入侵检测和基于网络的入侵检测。42.计算机病毒是一组计算机指令或程序代码，能自我复制，通常嵌入在计算机程序中，能够破坏计算机功能或毁坏数据，影响计算机的使用。43.蠕虫是计算机病毒的一种，利用计算机网络和安全漏洞来复制自身的一段代码。44.特洛伊木马只是一个程序，它驻留在目标计算机中，随计算机启动而自动启动，并且在某一端进行监听，对接收到的数据进行识别，然后对目标计算机执行相应的操作。45.特洛伊木马包括两个部分：被控端和控制端。46.网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是一些脚本语言编写的恶意代码，利用浏览器漏洞来实现病毒的植入。47.网页挂马是指黑客自己建立带病毒的网站，或入侵大流量网站，然后在其网页中植入木马和病毒，当用户浏览这些网页时就会中毒。48.WSH是内嵌于Windows操作系统中的脚本语言工作环境。49.蜜罐是一种资源，它的价值是被攻击或攻陷。50.虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的通道。51.Httptunnel技术也称为隧道技术，是一种绕过防火墙端口屏蔽的通信方式。52.SQL注入攻击是指攻击者通过黑盒测试的方法检测目标网站的脚本是否存在过滤不严的问题，如果有，那么攻击者就可以利用某些特殊构造的SQL语句，通过在浏览器直接查询管理员的用户名和密码，或者利用数据库的一些特性进行权限提升。53.数据库系统分为数据库和数据库管理系统。54.只有调用数据库的动态页面才有可能存在注入漏洞，动态页面包括ASP、JSP、PHP等。（perl、CGI）55.从广义上讲，数据库系统的安全框架可以分为3个层次：网络系统层次、宿主操作系统层次和数据库管理系统层次。56.常用的数据库备份方法有：冷备份、热备份、逻辑备份。57.数据库系统的安全需求有：完整性、保密性和可用性。58.数据库安全管理原则有：管理细分和委派原则、最小权限原则、账号安全原则、有效的审计原则。59.SQLServer2005提供了4种备份数据库的方式：完整备份、差异备份、事务日志备份和文件和文件组备份。60.Web是环球信息网的简称，即万维网。Web服务是指采用B/S架构，通过HTTP协议提供服务的统称，这种结构也成为Web架构。61.HTML是一种用来标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。62.JavaScript是一种面向对象的描述语言，可以用来开发Internet客户端的应用程序。63.网页防篡改系统实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护Web站点的数据安全。64．WebShell是可以管理Web，修改主页内容等的权限，如果要修改别人的主页，一般都需要这个权限，上传漏洞要得到的也是这个权限。65.网上银行借助于互联网数字通信技术向客户提供金融信息发布和金融交易服务，是传统银行业务在互联网上的延伸，是一种虚拟银行。66.开展网上银行有两大保障：技术保障和法律与规范。二、名词解释1、黑客：指那些尽力挖掘计算机程序功能最大潜力的计算机用户，依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善。2、骇客：指通过各黑客技术对目标系统进行攻击、入侵或做其他一些有害于目标系统或网络的事情。3、明文：能够被人们直接阅读的、需要被隐蔽的文字。4、密文：不能够被人们直接阅读的文字。5、加密：用某种方法将文字转换成不能直接阅读的形式的过程。6、解密：把密文转变为明文的过程。7、秘钥：用来对数据进行编码和解码的一串字符。8、加密算法：在加密密钥的控制下对信息进行加密的一组数学变换。9、解密算法：在解密密钥的控制下对密文进行解密的一组数学变换。10、操作系统：是一组面向机器和用户的程序，是用户和计算机硬件之间的接口，其目的是最大限度地、高效地、合理地使用计算机资源，同时对系统的所有资源（如软件和硬件资源）进行管理。11、恶意共享软件：指采用不正当的捆绑或不透明的方式强制安装在用户计算机上，并且利用一些病毒常用的手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。三、简答1、电缆加压技术用一种简单的高技术加压电缆，可以获得通信线路上的物理安全，通信电缆密封在塑料套管中，并在线缆的两端充气加压。线上连接了带有报警器的监视器，用来测量压力。如果压力下降，则意味电缆可能被破坏了，技术人员还可以进一步检测出破坏点的位置，以便及时回复。电缆加压技术提供了安全的通信线路。2、辐射抑制技术可分为包容法和抑源法两类。包容法主要采用屏蔽技术屏蔽线路单元、整个设备，甚至整个系统以防止电磁波向外辐射。抑源法试图从线路和元器件入手，消除计算机和外围设备内部产生较强的电磁波的根源。3、RSA算法它是一个基于数论的非对称密码体制，是一种分组密码体制。RSA算法是第一个既能用于数据加密也能用于数字签名的算法，因此它为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对RSA密钥，一个是私有密钥，由用户保存；另一个是公开密钥，可对外公开，用对方的公钥加密文件后发送给对方，对方就可以用私钥解密。4、简述数字签名的过程数字签名技术是实现交易安全的核心技术之一，它的实现基础就是加密技术。数字签名能够实现电子文档的辨认和验证。数字签名是传统文件手写签名的模拟，能够实现用户对电子形式存放的消息的认证。基本原理是使用一对不可互相推导的密匙，一个用于签名（加密），一个用于验证（解密），签名者用加密密匙（保密）签名（加密）文件，验证者用（公开的）解密密匙解密文件，确定文件的真伪。数字签名与加、解密过程相反。散列函数是数字签名的一个重要辅助工具。5、访问控制列表:它是权限的核心技术，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是Windows对资源进行保护时所使用的标准。在访问控制列表中，每一个用户或用户组都对应一组访问控制项，在【组或用户名称】列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整。6、简述TCSEC是计算机系统安全评估的第一个正是标准，它将计算机系统的安全划分为4个等级、7个级别。其中安全级别如下表：级别系统的安全可信性D最低安全C1自主存取控制C2较完善的自主存取控制（DAC）B1强制存取控制（MAC）B2良好的结构化设计、形式安全模型B3全面的访问控制、可信恢复A形式化认证（最高安全）7、阐述arp欺骗原理ARP协议不管是否发送了ARP请求，都会根据收到的任何ARP应答数据包对本地的ARP高速缓存进行更新，将应答数据包中的IP地址和MAC地址存储在ARP缓存中。这正是ARP欺骗的关键，可以通过编程的方式构建ARP应答数据包，然后发送给被欺骗者，用假的IP地址和MAC地址的映射来更新被欺骗者的ARP高速缓存，实现对被欺骗者的ARP欺骗。8、VPN的定义虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的通道。在VPN中，任意两个结点之间的连接并没有传统专用网络所需的端到端的物理链路，而是利用某种公用网络的资源动态组成的。虚拟是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。专用网络是指用户可以为自己制定一个最符合自己需求的网络。VPN不是真的专用网络，但却能够实现专用网络的功能。9、阐述自己对蜜罐技术的理解蜜罐是一种资源，它的价值是被攻击或攻陷，这就意味着蜜罐是用来被探测被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息