一、选择题 1、关于访问控制服务的描述中，正确的是（ A ） A、可控制用户访问网络资源 B、可识别发送方的真实身份 C、不限制用户使用网络服务 D、可约束接收方的抵赖行为 2、关于信息安全问题的描述中，不正确的是（ A ） A、仅依赖技术手段就可以解决 B、需要政府制定政策加以引导 C、需要通过立法约束网络行为 D、需要对网络用户进行安全教育 3、第三方假冒发送方的身份向接收方发送信息称为（ D ） A、窃取信息 B、重放信息 C、篡改信息 D、伪造信息 4、在以下几个国际组织中，制定X.805安全标准的是（ B ） A、ISO B、ITU C、IRTF D、NIST

5、在信息安全的基本要素中，防止非授权用户获取网络信息的是（ C ） A、可用性 B、可靠性 C、保密性 D、完整性 二、填空题 1、OSI安全体系结构中，五大类安全服务是指鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖服务。 2、在我国信息安全等级保护标准中，满足访问验证保护功能的等级是第五级：访问验证保护级。 3、在PPDR模型中，通常由安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Response)四个主要部分组成。 4、在TCSEC的安全等级中，C2级的安全要求比B3级更低。 5、国际标准化组织的英文缩写是ISO。 三、简答题 1、计算机系统安全的威胁因素主要有哪些？ (1) 人为无意失误 (2) 人为恶意攻击 (3) 计算机软件的漏洞和后门 2、信息安全的CIA指的是什么? C：Confidentiality 隐私性，也称机密性，是指只有授权的用户才能获取信息 I：Integrity 完整性，是指信息在传输过程中不被非法授权和破坏，保证数据的一致性 A：Availability 可用性，是指信息的可靠度

3、简述PPDR安全模型的构成要素及运作方式。 PPDR安全模型的构成要素：安全策略，防护，检测，响应。 运作方式：PPDR模型在整体的安全策略的控制和指导下，综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的安全响应将系统调整在一个相对安全的状态。再加上防护，检测和响应构成一个完整的、动态的安全循环。 4、计算机安全系统中，人、制度和技术之间的关系是怎样的，请简要描述。 在计算机安全系统中，人是核心。所有的安全系统的核心都是人。 技术是计算机安全系统发展的动力，技术的发展推动计算机安全系统的不断完善。 计算机安全系统不仅依靠人和技术，还需要构建相应的制度来起到规范的作用。 只有人、制度、技术三者的完美结合，才能有安全的计算机安全系统。

一、选择题 1、下列（ C ）算法属于公开密钥算法。 A、AES B、DES C、RSA D、天书密码 2、下列（ B ）算法属于置换密码。 A、移位密码 B、天书密码 C、Vigenere密码 D、仿射密码 3、DES加密过程中，需要进行（ B ）轮变换。 A、8 B、16 C、24 D、31 4、关于ECC的描述中，正确的是（ C ） A、它是一种典型的基于流的对称密码算法 B、它的安全基础是大素数的因子分解非常困难 C、在安全性相当时，其密钥长度小于RSA算法 D、在密钥长度相当时，其安全性低于RSA 5、在以下几种分组密码操作中，最简单的操作模式是（ A ） A、ECB模式 B、CBC模式 C、OFB模式 D、CFB模式

6、在以下几种密钥长度中，不符合AES规范的是（ B ） A、128 B、168 C、192 D、256 二、填空题 1、给定密钥K=10010011，若明文为P=11001100，则采用异或运算加密的方法得到的密文是01011111。 2、在数据加密标准DES中，需要进行16轮相同的变换才能够得到64位密文输出。 3、RSA算法的安全性完全取决于p、q的保密性及大数分解的难度。 4、Diffie-Hellman算法的最主要应用领域是密钥交换。 5、DES算法中，每次加密的明文分组大小为64位。 三、简答题 1、已知仿射密码的加密函数可以表示为：f(a)=(aK1+K0) mod 26，明文字母e、h对应的密文字母是f、w，请计算密钥K1和K0来破译此密码。 e、h对应的数字是4和7,f、w对应的数字是5和22, 于是可得两个方程： 4K1+K0=5 mod 26 7K1+K0=22 mod 26 两式子相减得 3K1=17 mod 26 采用试的办法看K1应该取几(K1必须为正整数), 从1开始试,发现试到23时上式成立 所以K1=23,把 K1=23带入其中一个式子得 423+K0=5 mod 26 92+K0=5 mod 26 87+K0=0 mod 26 这个时候先计算87mod 26=9,则得9+K0=0 mod 26,得 K0=17. 2、在一个使用RSA的公开密钥系统中，如果攻击者截获公开密钥pk=5，公开模数n=35，对密文c=10，解出其明文。 n=pq=35 分解为p=5，q=7, Φ(n)=(p-1)(q-1)=24 解密密钥d：{d,n}={d,35} pkd=1 mod 24 d=19 明文m=c^d(mod n)=10 3、什么是对称密码和非对称密码（公钥密码）？两者有何区别和联系？ 对称密码体制是从传统的简单换位、代替密码发展而来的。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。 非对称密码体制又称为公钥密码体制，其主要特征是加密密钥可以公开，但不会影响到解密密钥的机密性。这种密码体制不同于传统的对称密钥密码体制，它要求使用两个不同的密钥：一个公共密钥和一个专用密钥。用户首先要保障专用密钥的安全，公共密钥则可以公开发布信息。因公共密钥与专用密钥是紧密联系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。除加密功能外，公钥系统还可以提供数字签名。公共密钥加密算法主要有：RSA算法、椭圆曲线算法、Diffie-Hellman密钥交换算法等。 对称密码体制和非对称密码体制两者的区别和联系如下： 对称密码体制和非对称密码体制是密码体制的两种不同的分类。 对称密码体制是应用较早的密码体制，技术成熟。在对称密码体制中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称密码体制的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是交易双方都使用同样密钥，安全性得不到保证。密钥管理成为了用户的负担。对称密码体制在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。 非对称密码体制使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用非对称密码体制加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。由于非对称密码体制拥有两个密钥，特别适用于分布式系统中的数据加密。

一、选择题 1、身份认证是安全服务中的重要一环，以下关于身份认证的叙述不正确的是（ B ）。 A、身份认证是授权控制的基础 B、身份认证一般不提供双向的认证 C、目前一般采用基于对称密钥加密或公开密钥加密的方法 D、数字签名机制是实现身份认证的重要机制 2、数据完整性可以防止（ D ）。 A、假冒源地址或用户的地址欺骗攻击 B、抵赖做过信息的递交行为 C、数据中途被攻击者窃听获取 D、数据中途被攻击者篡改或者破坏 3、数字签名要预先使用单向hash函数进行处理的原因是（ C ）。 A、多一道机密工序是密文更难破译 B、提高密文的计算速度 C、缩小签名密文的长度，加快数字签名和验证签名的运算速度 D、保证密文能正确地还原成明文 4、下列（ A ）运算MD5没有使用到。 A、幂 B、逻辑与或非 C、异或 D、移位 5、关于安全散列算法的描述中，错误的是（ D ）。 A、它是一系列散列函数的统称 B、SHA-1生成的特征值长度是160位 C、生成的特征值通常称为摘要 D、SHA-512处理的分组长度为512位 二、填空题 1、MD5和SHA-1产生的散列值分别是128位和160位。 2、基于哈希链的口令认证.用户登陆后将口令表中的(ID,k-1,Hk-1(PW))替换为 (ID,k,Hk(PW))。 3、Denning-Sacco协议中使用时间戳T的目的是防止重放攻击对密钥安全性的威胁。 4、Woo-Lam协议中第（6）、（7）步使用的随机数N2的作用是使B确认A已获得正确的回话密钥。 5、消息认证技术中，MD算法可以用于为消息计算消息摘要。 三、简答题 1、弱抗碰撞性和强抗碰撞性有什么区别？ 弱抗碰撞性：给定消息M，要找到另一消息M’，满足H(M)=H(M’)，在计算上是不可行的，这条性质称为弱抗碰撞性。该性质是保证无法找到一个替代报文，否则就可能破坏使用哈希函数进行封装或签名的各种协议的安全性。哈希函数的重要之处就是赋予M唯一的“指纹”。 强抗碰撞性：对于任意两个不同的消息M≠M’，他们的散列值不可能相同，这条性质称为强抗碰撞性。强抗碰撞性对于消息的哈希函数安全性要求更高，这条性质保证了对生日攻击的防御能力。 碰撞性是指对两个不同的消息M和M’，如果他们的散列值相同，则发生了碰撞。从安全性的角度来看，哈希函数输出的位越长抗碰撞的安全强度越大。 2、什么是消息认证码？ 消息认证码（MAC）是指经过特定算法后产生的一小段信息，检查某段消息的完整性，以及作身份验证。它可以用来检查在消息传递过程中，其内容是否被更改过，不管更改的原因是来自意外或是蓄意攻击。同时可以作为消息来源的身份验证，确认消息的来源。即指使合法的接收方能够检验消息是否真实的过程。消息认证码是利用密钥对待认证消息产生的新数据块，并对该数据块加密得到的。它对待保护的信息来源是唯一的，因此可以有效的保证消息的完整性，以及实现发送消息方的不可抵赖和不能伪造性。 3、比较MD5和SHA-1的抗穷举攻击能力和运算速度。 MD5和SHA-1均由MD4发展而来。 MD5 SHA-1 分组长度 512比特 512比特 摘要长度 128比特 160比特 循环中的步骤 64 80 报文最大长度 无穷大 264-1 运行速度 快 慢

一、选择题 1、关于计算病毒，下列说法正确的是（ D ）。 A、计算机病毒不感染可执行文件和.com文件 B、计算机病毒不感染文本文件 C、计算机病毒只能以复制方式进行传播 D、计算机病毒可以通过读写磁盘和网络等方式传播 2、与文件型病毒对比，蠕虫病毒不具有的特征是（ A ）。 A、寄生性 B、传染性 C、隐蔽性 D、破坏性 3、关于木马的描述，正确的是（ C ）。 A、主要用于分发商业广告 B、主要通过自我复制来传播 C、可通过垃圾邮件来传播 D、通过不实现远程控制功能 4、关于特征代码检测技术的描述中，正确的是（ B ）。 A、根据恶意代码行为实现识别 B、检测已有恶意代码的准确率高 C、具有自我学习与自我完善的能力 D、有效识别未知恶意代码或变体 5、关于宏病毒的描述中，正确的是（ B ）。 A、引导区病毒的典型代表 B、脚本型病毒的典型代表 C、僵尸型病毒的典型代表 D、蠕虫型病毒的典型代表

二、填空题 1、与普通病毒不同，宏病毒不感染EXE文件和COM文件，也不需要通过引导区传播，它只感染文档文件。 2、计算机病毒一般由三个基本模块组成，即安装模块、传染模块和破坏模块。 3、如果某电子邮件厂中含有广告信息，并且是由发送方大批量的群发，则这封邮件称为垃圾邮件。 4、根据病毒的寄生方式分类，计算机病毒可以分为网络病毒、文件型病毒、引导型病毒和混合型病毒4种。 三、简答题 1、 简述计算机病毒的定义和基本特征。 定义：计算机病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。 基本特征：1)传染性：指病毒具有自身复制到其他程序中的特性。 2)破坏性：计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏。 3)隐蔽性：通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 4)寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 5)潜伏性：长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 2、简述计算机病毒的一般构成。 1)安装模块：病毒程序通过自身的程序实现自启动并安装到系统中，不同类型病毒程序用不同安装方法。 2)传染模块：①传染控制部分：病毒一般都有一个控制条件，一旦满足这个条件就开始感染； ②传染判断部分：每个病毒程序都有一个标记，在传染时将判断这个标记，如果磁盘或者文件已经被传染就不再传染，否则就要传染； ③传染操作部分：在满足传染条件时进行传染操作。 3)破坏模块：计算机病毒的最终目的是进行破坏，其破坏的基本手段就是删除文件或数据。破坏模块包括两部分：一是激发控制，二是破坏操作。 3、计算机病毒的制作技术有哪些？ 制作技术：1)采用自加密技术； 2)采用变形技术； 3)采用特殊的隐形技术； 4)对抗计算机病毒防范系统； 5)反跟踪技术。 4、目前使用的查杀病毒的技术有哪些？ 1)特征代码法：从病毒程序中抽取一段独一无二、足以代表该病毒特征的二进制程序代码，并将这段代码作为判断该病毒的依据； 2)校验和法：根据文件的内容，计算其校验和。检测时将文件校验和与保存的校验和做比较，若不同则判断为被感染病毒； 3)行为监测法：将病毒中比较特殊的共同行为归纳起来。当程序运行时监视其行为，发现类似病毒行为，立即报警； 4)软件模拟法：用程序代码虚拟一个CPU、各个寄存器、硬件端口也虚拟出来，调入被调的“样本”，通过内存和寄存器以及端口的变化来了解程序的执行情况。 5、什么是特洛伊木马？特洛伊木马一般由那几部分组成？ 特洛伊木马简称木马，是一种典型的黑客程序，它是一种基于远程控制的黑客工具。 通过木马，攻击者可以远程窃取用户计算机上的所有文件、查看系统消息、窃取用户口令、篡改文件和数据、接收执行非授权者的指令、删除文件甚至格式化硬盘。 特洛伊木马一般由服务器端程序和客户机程序两部分组成。

一、选择题 1、（ B ）是使计算机疲于响应这些经过伪装的不可达到客户的请求，从而使计算机不能响应正常客户请求等，达到切断正常连接的目的。 A、包攻击 B、拒绝服务攻击 C、缓冲区溢出攻击 D、口令攻击 2、（ C ）就是要确定你的IP地址是否可以到达，运行哪种操作系统，运行哪些服务器程序，是否有后门存在。 A、对各种软件漏洞的攻击 B、缓冲区溢出攻击 C、IP地址和端口扫描 D、服务型攻击 3、分布式拒绝服务攻击（DDoS）分为3层：（ C ）、主控端、代理端。三者在攻击中扮演者不同的角色。 A、其他 B、防火墙 C、攻击者 D、受害主机 4、有一种称为嗅探器（ D ）的软件，它是通过捕获网络上传送的数据包来收集敏感数据，这些数据可能是用户的账号和密码，或者一些机密数据等。 A、soffice B、Unicode C、W32Dasm D、Sniffer

5、攻击者在攻击之前的首要任务就是要明确攻击目标，这个过程通常称为（ B ）。 A、安全扫描 B、目标探测 C、网络监听 D、缓冲区溢出 6、从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和（ A ）本身存在安全缺陷造成的。 A、网络协议 B、硬件设备 C、操作系统 D、认为破坏 7、每当新的操作系统、服务器程序等软件发布后，黑客就会利用（ C ）寻找软件漏洞，从而达到导致计算机泄密、被非法使用，甚至崩溃等目的。 A、IP地址和端口扫描 B、口令攻击 C、各种软件漏洞攻击程序 D、服务型攻击 8、（ A ）攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务工具的威力。 A、分布式拒绝服务 B、拒绝服务 C、缓冲区溢出攻击 D、口令攻击 9、（ B ）是一种破坏网络服务的技术，其根本目的是使受害者主机或网络失去即是接受处理外界请求，或及时回应外界请求的能力。 A、包攻击 B、拒绝服务 C、缓冲区溢出攻击 D、口令攻击

二、填空题 1、分布式拒绝服务攻击的英文缩写是DDoS。 2、窃听与分析网络中传输数据包的程序通常称为嗅探器。Sniffer 3、拒绝服务是一种既简单又有效的攻击方式，通过某些手段使得目标系统或网络不能提供正常的服务。 4、ARP欺骗攻击是针对ARP的一种攻击技术，可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问网络。 5、SQL注入漏洞攻击是一种比较常见、危害严重的网络攻击，它主要针对Web服务器端的特定数据库系统。 三、简答题 1、什么是目标探测？目标探测的方法有哪些？ 目标探测是通过自动或人工查询的方法获得与目标网络相关的物理和逻辑参数。 方法：确定目标范围，分析目标网络路由。 2、如何有效防止端口扫描？ 关闭闲置和有潜在危险的端口、利用网络防火墙软件。 3、网络监听主要原理是什么？ 以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有主机，只有与数据包中目的地址一致的那台主机才能接收到信息包。当主机工作在监听模式下时，无论数据包中的目标地址是什么，主机都将接收。 4、如何检测网络监听？如何防范网络监听？ 对可能存在的网络监听的检测 ①对于怀疑运行监听程序的计算机，用正确的IP地址和错误的物理地址Ping，运行监听程序的计算机都会有响应。这是因为正常的计算机不接收错误的物理地址，处理监听状态的计算机能接收，但如果对方的Ipstack不再次反向检查的话，就会响应。 ②向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该计算机性能加以判断，这种方法难度比较大。 ③使用反监听工具如Antisniffer等进行检测。 对网络监听的防范措施 ① 从逻辑或物理上对网络分段 ② 以交换式集线器代替共享式集线器 ③ 使用加密技术 ④ 划分VLAN 5、什么是拒绝服务（DOS）攻击？什么是分布式拒绝服务（DDOS）攻击？ DOS攻击是一种既简单又有效的攻击方式，他是针对系统的可用性发起的攻击，通过堵塞网络、占用系统资源等方法，拒绝用户的服务访问，破坏系统的正常运行。 DDOS不仅仅是一台机器，而是多台机器合作，同时向一个目标发起攻击。 6、如何有效防范DDoS攻击？ ①及早发现系统存在的攻击漏洞，及时安装系统补丁程序。 ②要经常检查系统的物理环境，禁止那些不必要的网络服务。 ③充分利用防火墙等网络安全设备，配置好它们的安全规则，过滤掉所有可能伪造的数据包。 7、什么是欺骗攻击？简述欺骗攻击的原理。 欺骗攻击是利用TCP/IP协议等本身的漏洞而进行的攻击行为。  欺骗攻击实质上就是一种冒充他人身份通过计算机认证骗取计算机信任的攻击方式。攻击者对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终窃取信息或展开进一步的攻击。

一、选择题 1、关于防火墙，以下（ D ）说法是错误的。 A、防火墙能隐蔽内部IP地址 B、防火墙能控制进出内网的信息流向和信息包 C、防火墙能提供VPN功能 D、防火墙能阻止来自内部的威胁 2、防火墙是确保网络安全的重要之一,如下各项中可以由防火墙解决的一项网络安全问题是（ A ) A、从外部网伪装为内部网 B、从内部网发起的攻击 C、向内部网用户发送病毒携带文件 D、内部网上某台计算机的病毒问题 3、包过滤防火墙工作在OSI的（ C ）。 A、物理层 B、传输层 C、网络层和传输层 D、应用层 4、防火墙对数据包进行状态检测时，不进行检测过滤的是（ D ）。 A、源地址和目的地址 B、源端口和目的端口 C、IP协议号 D、数据包中的内容 5、关于防火墙的描述，正确的是（ A ）。 A、常用的访问控制设备之一 B、仅在网络层实现访问控制 C、只能通过硬件设备来实现 D、通过机密来实现控制访问 6、关于网络地址转换的描述中，错误的是（ C ）。 A、最初用于缓解IP地址短缺 B、分为静态NAT和动态NAT C、防火墙的最基本实现方式 D、可隐蔽内部网络中的主机 二、填空题 1、常见防火墙按采用的技术分类主要有静态包过滤防火墙、动态包过滤防火墙和应用代理型防火墙。 2、双宿主主机是防火墙体系的基本形态。 3、应用层网关型防火墙的核心技术是代理服务器技术。 4、在NAT设备中，如果IP分组需要进入内部网络，其中的目的地址将从全局地址转换为内部地址。 5、在代理型防火墙技术的发展过程中，经历了两个不同版本：第一代应用层网关代理型防火墙和自适应代理防火墙。 三、简答题 1、 分析防火墙的局限性。 一、入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门； 二、防火墙不能阻止来自网络内部的攻击； 三、通常它不具备实时监控入侵的能力； 四、防火墙不能防御所有新的威胁。 五、防火墙通常工作在网络层，仅以防火墙则无法检测和防御最新的拒绝服务攻击（DoS）及蠕虫病毒的攻击。 2、简述包过滤型防火墙的工作机制和包过滤类型。 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层；原理根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 类型：第一代静态包过滤类型防火墙：根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。 第二代动态包过滤型防火墙：采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。 2、 简述代理防火墙的工作原理及特点。 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 特点：具有较强的安全性。 4、状态检测防火墙的技术特点是什么？ ①高安全性。状态检测防火墙工作在数据链路层和网络层之间，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙就能确保截取和检查所有通过网络的所有原始数据包。 ②高效性。状态检测防火墙工作在协议栈较低层，通过防火墙的数据包都在低层处理，不需要协议栈上层处理任何数据包，这样就减少了高层协议的开销，使执行效率提高了很多。 ③可伸缩性和易扩展性。状态检测防火墙不像代理防火墙那样，每个应用对应一个服务程序，这样所能提供的服务是有限的。状态检测防火墙不区分具体的应用，只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包。当有一个新的应用时，它能动态产生新规则，而不用另写代码。 ④应用范围广。状态检测防火墙不仅支持基于TCP的应用还支持无连接的应用，如RPC和UDP的应用。对无连接协议，包过滤防火墙和应用代理防火墙要么不支持，要么开放一个大范围的UDP端口，这样就会暴露内部网，降低安全性。

一、选择题 1、下列（ D ）功能是入侵检测实现的。 A. 过滤非法地址 B. 流量统计 C. 屏蔽网络内部主机 D. 检测和监视已成功的安全突破 2、有一种攻击是不断对网络服务系统进行干预，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种工具叫做（ C ）。 A. 重放攻击 B. 反射攻击 C. 拒绝服务攻击 D. 服务攻击 3、入侵检测系统的第一步是（ B ）。 A. 信号分析 B. 信息收集 C. 数据包过滤 D. 数据包检查 4、以下（ D ）不属于入侵检测系统的功能。 A. 监视网络上的通信数据流 B. 捕获可疑的网络活动 C. 提供安全审计报告 D. 过滤非法的数据包 5、基于网络的IDS中，检测数据通常来源于（ B ）。 A. 操作系统日志 B. 网络监听数据 C. 系统调用信息 D. 安全审计数据 二、填空题 1、根据信息的来源将入侵检测系统分为基于主机的IDS，基于网络的IDS和分布式的IDS。 2、由被入侵的众多主机构成，可被攻击者远程控制的逻辑网络称为僵尸网络。 3、入侵检测技术根据检测方法可分为基于异常的入侵检测和基于误用的入侵检测两大类。 4、入侵防护系统根据部署方式可以分为三类：网络型入侵防护系统、主机型入侵防护系统、和应用型入侵防护系统。 三、简答题 1、 什么是入侵检测系统？请简述入侵检测的工作原理。 入侵检测系统（baiintrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全设备。IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。 入侵检测的工作原理主要包含4个方面： 数据收集：收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等； 数据处理：由于之前收集到的数据过于庞大和繁杂，需要对其进行相应的处理（去除冗余、噪声，并且进行数据标准化及格式化处理）； 数据分析：采用统计、智能算法能方法分析数据是否正常，显示是否存在入侵；行为 响应处理：当发现入侵行为时，采取预案措施进行防护（如切断网络，记录日志）、并保留入侵证据以作他日调查所用，同时向管理员报警。 2、简述基于主机入侵检测系统的工作原理。 基于主机的IDS的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器工作站或用户机器上运行、监听操作系统或系统事件级别的可以活动，此系统需要定义清楚哪些不是合法的活动，然后把这种安全策略转换或入侵检测规则。 3、简述基于网络入侵检测系统的工作原理。 基于网络的IDS一般安装在需要保护的网段中，利用网络侦听技术实时监视网段中传输的各种数据包，对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。 4、简要说明入侵检测系统和入侵防护系统的差别。 入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

一、选择题 1、常用的数据备份方式包括完全备份、增量备份、差分备份。这三种方式在数据恢复速度方面由快到慢的顺序是（ C ）。 A. 完全备份、增量备份、差分备份 B. 完全备份、差分备份、增量备份 C. 增量备份、差分备份、完全备份 D. 差分备份、增量备份、完全备份 2、（ C ）使用多台服务器组成服务器集合，可以提供相当高性能的不停机服务。在这个结构中，每台服务器分担着一部分计算任务，由于集合了多台服务器的性能，整体的计算实力被增加了。 A. 双机容错 B. 系统备份 C. 集群技术 D. 克隆技术 3、磁带备份是当前一种常用的备份介质。在下述磁带轮换策略中，（ C ）不是常用的磁带轮换策略。 A. 三带轮换策略 B. 六带轮换策略 C. 九带轮换策略 D. 祖-父-子轮换策略 4、下述的软件中，（ C ）不是数据备份与恢复软件。 A. EasyRecovery B. File Genie C. OfficePasswordRemover D. Second Copy

5、下列关于数据库备份，错误的是（ C ）。 A. 数据库备份介质一定要具有统一通用性 B. 制定完整的备份和恢复计划 C. 用人工操作进行简单的数据备份来代替专业备份工具的完整解决方案 D. 平时备份的时候一定要做好异地备份 二、填空题 1、热备份是计算机容错技术的一个概念，是实现计算机系统高可用性的主要方式，避免因单点故障（如磁盘损伤）导致整个计算机系统无法运行，从而实现计算机系统的高可用性。最典型的实现方式是双机备份。 2、目前最常见的网络数据备份系统按其架构不同可以分为四种：基于网络附加存储结构、基于局域网（LAN-Based）结构、基于SAN机构的LAN-Free和Server-Free机构。 3、数据恢复是数据备份的逆过程，就是利用保存的备份数据还原出原始数据的过程。 4、第一次对数据库进行的备份一定是完全备份。 5、硬盘的分区类型有主分区、扩展分区，在扩展分区基础上，可以建立逻辑分区。 三、简答题 1、 什么是数据备份？数据备份的主要目的是什么？ 数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。 主要目的：1、在数据遭到意外事件破坏时，通过数据恢复还原数据。做好数据备份时防止数据丢失，防止系统遭受破坏最有效、最简单的手段； 2、数据备份是历史数据存档的最佳方式。数据备份为用户进行历史数据查询、统计和分析，以及重要信息归档保存提供了可能。

2、什么是系统数据备份？ 系统数据备份主要是针对计算机系统中的操作系统、设备驱动程序、系统应用软件及常用软件工具等的备份。 3、硬盘数据恢复的基本原理是什么？ 硬盘数据恢复的原理主要是将删除的数据进行重新的组合，让它从之前“为空”状态转变为“显示”的状态。 硬盘在保存文件时，一般会按照“簇”的形式将数据进行保存，至于保存的文件默认会记录在文件分配表中。而硬盘删除文件时，系统也不会把它所存储的文件全部清空，而是将之前在各个分配表中的“簇”标记为空显示。文件分配表里面还有哪个“簇”没有使用，后期所存储的数据也就会存入该簇中。所以在数据重新写入之前，这些删除的文件依然会存在之前所在的“簇”中，直到新数据的写入，覆盖原有数据。