【计算机类职业资格】信息系统项目管理师-信息安全知识及答案解析.doc

1、信息系统项目管理师-信息安全知识及答案解析(总分：28.00，做题时间：90 分钟)某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet 访问公司的 FTP 服务器，如图18-1 所示。为了能够方便地实现这一目标，决定在客户机与 FTP 服务器之间采用 (1) 协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (2) 。( （分数：2.00）A.SSLB.IpsecC.PPTPD.TCPA.接通阶段B.密码交换阶段C.会谈密码阶段D.客户认证阶段1.3DES 在 DES 的基础上，使用两个 56 位的密钥 K1和

2、 K2，发送方用 K1加密，K 2解密，再用 K1加密。接受方用 K1解密，K 2加密，再用 K1解密，这相当于使用 (3) 倍于 DES 的密钥长度的加密效果。（分数：1.00）A.1B.2C.3D.62.如图 18-3 所示，某公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成，下面描述错误的是 (4) 。（分数：1.00）A.可以限制计算机 C 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 协议从 Internet 上下载数据D.计算机 A 能够与计算机 X

3、建立直接的 TCP 连接关于 Kerberos 和 PKI 两种认证协议的叙述中正确的是 (5) ，在使用 Kerberos 认证时，首先向密钥分发中心发送初始票据 (6) 来请求会话票据，以便获取服务器提供的服务。（分数：2.00）A.Kerberos 和 PKI 都是对称密钥B.Kerberos 和 PKI 都是非对称密钥C.Kerberos 是对称密钥，而 PKI 是非对称密钥D.Kerberos 是非对称密钥，而 PKI 是对称密钥A.RSAB.TGTC.DESD.LSA为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (7) ，所以特别适合对大量的数据进行加

4、密。国际数据加密算法 IDEA 的密钥长度是 (8) 位。（分数：2.00）A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高D.还能同时用于身份认证A.56B.64C.128D.2563.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet 上的机器随意访问公司局域网。虚拟专用网使用 (9) 协议可以解决这一需求。（分数：1.00）A.PPTPB.RC-5C.UDPD.Telnet4.根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防护

5、。下面的措施中，无助于提高同一局域网内安全性的措施是 (10) 。（分数：1.00）A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击5.在计算机信息安全保护等级划分准则中，确定了 5 个安全保护等级，其中最高一级是 (11) 。（分数：1.00）A.用户自主保护级B.结构化保护级C.访问验证保护级D.系统审计保护级6.如图 18-4 所示是发送者利用不对称加密算法向接收者传送消息的过程，图中 K1 是 (12) 。（分数：1.00）A.接收者的公钥B.接收者的私钥C.发送者的公钥D.发送者的私钥7.CA 安全认证中心可以 (13) 。（分数：1.00）A.用

6、于在电子商务交易中实现身份认证B.完成数据加密，保护内部关键信息C.支持在线销售和在线谈判，实现订单认证D.提供用户接入线路，保证线路的安全性8.RSA 是一种公开密钥算法，所谓公开密钥是指 (14) 。（分数：1.00）A.加密密钥是公开的B.解密密钥是公开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的9.若某计算机系统是由 1000 个元器件构成的串联系统，且每个元器件的失效率均为 10 -7/H，在不考虑其他因素对可靠性的影响时，该计算机系统的平均故障间隔时间为 (15) 小时。（分数：1.00）A.1104B.5104C.1105D.510510.在信息安全保障系统

7、的 S-MIS 体系架构中，“安全措施和安全防范设备”层不涉及 (16) 。（分数：1.00）A.防黑客B.应用系统安全C.网闸D.漏洞扫描11.要成功实施信息系统安全管理并进行维护，应首先对系统的 (17) 进行评估鉴定。（分数：1.00）A.风险B.资产C.威胁D.脆弱性公钥密码是 (18) 。常用的公钥加密算法有 (19) ，它可以实现加密和数字签名，它的一个比较知名的应用是 (20) ，这种应用的协商层用公钥方式进行身份认证，记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。（分数：3.00）A.对称密钥技术，有 1 个密钥B.不对称密钥技术，有 2 个密钥C.对称密钥技术

8、，有 2 个密钥D.不对称密钥技术，有 1 个密钥A.DESB.IDEAC.三元 DESD.RSAA.SSLB.Sock5C.安全 RPCD.MD512.电子商务交易必须具备抗抵赖性，目的在于防止 (21) 。（分数：1.00）A.一个实体假装成另一个实体B.参与交易的一方否认曾经发生过此次交易C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去13.在分布式环境中实现身份认证可以有多种方案，以下选项中最不安全的身份认证方案是 (22) 。（分数：1.00）A.用户发送口令，由通信对方指定共享密钥B.用户发送口令，由智能卡产生解密密钥C.用户从 KDC 获取会话密钥D.用户

9、从 CA 获取数字证书防火墙是隔离内部网和外部网的一类安全系统。通常防火墙中使用的技术有过滤，和代理两种。路由器可以根据 (23) 进行过滤，以阻挡某些非法访问。(24) 是一种代理协议，使用该协议的代理服务器是一种 (25) 网关。另外一种代理服务器使用 (26) 技术，它可以把内部网络中的某些私有 IP 地址隐藏起来。所谓的可信任系统(Trusted System)是美国国防部定义的安全操作系统标准，常用的操作系统 UNIX 和Windows NT 等可以达到该标准的 (27) 级。（分数：5.00）A.网卡地址B.IP 地址C.用户标识D.加密方法A.SSLB.STYC.SOCKSD.C

10、PAPA.链路层B.网络层C.传输层D.应用层A.NATB.CIDRC.BGPD.OSPFA.DB.C1C.C2D.B214.IP 安全性(IP Security，IPSec)提供了在局域网、广域网和因特网中安全通信能力。关于 IP 安全性下列说法不正确的是 (28) 。（分数：1.00）A.IPSec 可提供同一公司各分支机构通过的安全连接B.IPSec 可提供对的远程安全访问C.IPSec 可提高电子商务的安全性D.IPSec 能在 IP 的新版本 IPv6 下工作，但不适应 IP 目前的版本 IPv4信息系统项目管理师-信息安全知识答案解析(总分：28.00，做题时间：90 分钟)某公司

11、为便于员工在家里访问公司的一些数据，允许员工通过 Internet 访问公司的 FTP 服务器，如图18-1 所示。为了能够方便地实现这一目标，决定在客户机与 FTP 服务器之间采用 (1) 协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (2) 。( （分数：2.00）A.SSL B.IpsecC.PPTPD.TCP解析：A.接通阶段B.密码交换阶段 C.会谈密码阶段D.客户认证阶段解析：分析 这里指明了“在传输层对数据进行加密”，因此，应该选择 SSL 协议。SSL(Security Socket Layer)协议是 Nets

12、cape Communication 开发的传输层安全协议，用于在 Internet上传送机密文件。SSL 协议由 SSL 记录协议、SSL 握手协议和 SSL 警报协议组成。SSL 握手协议被用来在客户机与服务器真正传输应用层数据之前建立安全机制，当客户机与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和 Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户机和服务器各自根据该秘密信息产生数据加密算法和 Hash 算法参数。SSL 记录协议根据 SSL 握手协议协商的参数，对应用层送来的数据进行加密、压缩、

13、计算消息鉴别码，然后经网络传输层发送给对方。SSL 警报协议用来在客户机和服务器之间传递 SSL 出错信息。SSL 协议主要提供三方面的服务。(1)用户和服务器的合法性认证。认证用户和服务器的合法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号；为了验证用户是否合法，SSL 协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性。(2)加密数据以隐藏被传送的数据。SSL 协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换 SSL 初始握手信息，在 SSL 握手信息中采用了各种

14、加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。(3)保护数据的完整性。SSL 协议采用 Hash 函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过 SSL 协议处理的业务在传输过程中能全部完整准确无误地到达目的地。SSL 协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。(1)接通阶段：客户机通过网络向服务器打招呼，服务器回应；(2)密码交换阶段；客户机与服务器之间交换双方认可的密码，一般选用 RSA 密码算法，也有的选用Diffie-Hellma

15、nf 和 Fortezza-KEA 密码算法；(3)会谈密码阶段：客户机与服务器间产生彼此交谈的会谈密码；(4)检验阶段：客户机检验服务器取得的密码；(5)客户认证阶段：服务器验证客户机的可信度；(6)结束阶段：客户机与服务器之间相互交换结束的信息。当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此，SSL 协议也可用于

16、安全电子邮件。在电子商务交易过程中，由于有银行参与，按照 SSL 协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。1.3DES 在 DES 的基础上，使用两个 56 位的密钥 K1和 K2，发送方用 K1加密，K 2解密，再用 K1加密。接受方用 K1解密，K 2加密，再用 K1解密，这相当于使用 (3) 倍于 DES 的密钥长度的加密效果。（分数：1.00）A.1B.2 C.3D.6解析：分析 3DES(Triple DES)是 DES 向 AES 过渡的加密算法(1999 年 NIST 将 3D

17、ES 指定为过渡的加密标准)，是 DES 的一个更安全的变形。它以 DES 为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设 Ek()和 Dk()代表 DES 算法的加密和解密过程，K 代表 DES 算法使用的密钥，P 代表明文，C 代表密表，这样，3DES 加密过程为：*3DES 解密过程为：*具体的加/解密过程如图 18-2 所示。K 1、K 2、K 3决定了算法的安全性，若三个密钥互不相同，本质上就相当于用一个长为 168 位的密钥进行加密，是 DES 密钥长度的 3 倍。多年来，它在对付强力攻击时是比较安全的。若数据对安全性要求不那么高，K 1可以等于 K3。在这种情

18、况下，密钥的有效长度为 112 位，即相当于 DES 密钥长度加密效果的 2 倍。*2.如图 18-3 所示，某公司局域网防火墙由包过滤路由器 R 和应用网关 F 组成，下面描述错误的是 (4) 。（分数：1.00）A.可以限制计算机 C 只能访问 Internet 上在 TCP 端口 80 上开放的服务B.可以限制计算机 A 仅能访问以“202”为前缀的 IP 地址C.可以使计算机 B 无法使用 FTP 协议从 Internet 上下载数据D.计算机 A 能够与计算机 X 建立直接的 TCP 连接 解析：分析 应用网关型防火墙是通过代理技术参与到一个 TCP 连接的全过程。从内部发出的数据包

19、经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。显然，拥有了应用网关 F 后，计算机 A 不能够与计算机 X 建立直接的 TCP 连接，而是必须通过应用网关F。关于 Kerberos 和 PKI 两种认证协议的叙述中正确的是 (5) ，在使用 Kerberos 认证时，首先向密钥分发中心发送初始票据 (6) 来请求会话票据，以便获取服务器提供的服务。（分数：2.00）A.Kerberos 和 PKI 都是对称密钥B.Kerberos 和 PKI 都是非对称密钥C

20、.Kerberos 是对称密钥，而 PKI 是非对称密钥 D.Kerberos 是非对称密钥，而 PKI 是对称密钥解析：A.RSAB.TGT C.DESD.LSA解析：分析 Kerberos 是由 MIT 发明的，为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户：如果是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。它采用可信任的第三方，密钥分配中心(KDC)保存与所有密钥持有者通信的保密密钥，其认证过程颇为复杂，下面简化叙述之。首先客户(C)向

21、KDC 发送初始票据 TGT，申请访问服务器(S)的许可证。KDC 确认合法客户后，临时生成一个 C 与 S 通信时用的保密密钥 Kcs，并用 C 的密钥 Kc 加密 Kcs 后传给 C，并附上用 S 的密钥 Ks 加密的“访问 S 的许可证 Ts，内含 Kcs”。当 C 收到上述两信件后，用他的 Kc 解密获得 Kcs，而把 Ts 原封不动地传给 S，并附上用 Kcs 加密的客户身份和时间；当 S 收到这两信件后，先用他的 Ks 解密 Ts 获得其中的 Kcs，然后用这 Kcs 解密获得客户身份和时间，告之客户成功。之后 C 和 S 用 Ksc 加密 通信信息。Kerberos 系统在分布式

22、计算环境中得到了广泛的应用是因为它具有以下的特点。(1)安全性高：Kerberos 系统对用户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显示传输，使得窃听者难以在网络上取得相应的口令信息；(2)透明性高：用户在使用过程中，仅在登录时要求输入口令，与平常的操作完全一样，Kerberos 的存在对于合法用户来说是透明的；(3)可扩展性好：Kerberos 为每一个服务提供认证，确保应用的安全。Kerberos 系统和看电影的过程有些相似，不同的是只有事先在 Kerberos 系统中登录的客户才可以申请服务，并且 Kerberos 要求申请到入场券的客户就是到 TGS(入场券分配服

23、务器)去要求得到最终服务的客户。Kerberos 有其优点，同时也有其缺点，主要是：(1)Kerberos 服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，假设只有合法用户拥有口令字。如攻击者记录申请回答报文，就易形成代码本攻击。(2)AS 和 TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全。在 AS 和 TGS 前应该有访问控制，以增强 AS 和 TGS 的安全；(3)随用户数增加，密钥管理较复杂。Kerberos 拥有每个用户的口令字的散列值， AS 与 TGS 负责用户间通信密钥的分配。当 N 个用户想同时通信时，

24、仍需要 N(N-1)/2 个密钥。PKI(Public Key Infrastructure，公共密钥基础设施)是 CA 安全认证体系的基础，为安全认证体系进行密钥管理提供了一个平台，它是一种新的网络安全技术和安全规范。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI 包括认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。PKI 可以实现 CA 和证书的管理；密钥的备份与恢复；证书、密钥对的自动更换：交叉认证：加密密钥和签名密钥的分隔；支持对数字签名的不可抵赖性；密钥历史的管理等功能。PKI 技术的应用可以对认证、机

25、密性、完整性和抗抵赖性方面发挥出重要的作用。(1)认证；是指对网络中信息传递的双方进行身份的确认。(2)机密性：是指保证信息不泄露给未经授权的用户或不供其利用。(3)完整性：是指防止信息被未经授权的人篡改，保证真实的信息从真实的信源无失真地传到真实的信宿。(4)抗抵赖性：是指保证信息行为人不能够否认自己的行为。而 PKI 技术实现以上这些方面的功能主要是借助“数字签名”技术，数字签名是维护网络信息安全的一种重要方法和手段，在身份认证、数据完整性、抗抵赖性方面都有重要应用，特别是在大型网络安全通信中的密钥分配、认证，以及电子商务、电子政务系统中有重要作用。它是通过密码技术对电子文档进行电子形式的

26、签名，是实现认证的重要工具。数字签名是只有信息发送方才能够进行的签名，是任何他人无法伪造的一段数字串，这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。签名是确认文件的一种手段，一般书面手工签名的作用有两个：一是因为自己的签名难以否认，从而确认了文件已签署的这一事实；二是因为签名不易仿冒，从而确认了文件是真实的这一事实。采用数字签名也能够确认以下两点：一是信息是由签名者发送的；二是信息自签发到收为止，没做任何修改。数字签名的特点是它代表了文件的特征。文件如果发生变化，数字签名的值也将发生变化，不同的文件将得到不同的数字签名。数字签名是通过 Hash 函数与公开密钥算法来实现的，其原理

27、是： (1)发送者首先将原文用 Hash 函数生成 128 位的数字摘要；(2)发送者用自己的私钥对摘要再加密，形成数字签名，把加密后的数字签名附加在要发送的原文后面；(3)发送者将原文和数字签名同时传给对方；(4)接收者对收到的信息用 Hash 函数生成新的摘要，同时用发送者的公开密钥对信息摘要进行解密：(5)将解密后的摘要与新摘要对比，如两者一致，则说明传送过程中信息没有被破坏或篡改。如果第三方冒充发送方发送了一个文件，因为接收方在对数字签名进行解密时使用的是发送方的公开密钥，只要第三方不知道发送方的私用密钥，解密出来的数字摘要与计算机计算出来的新摘要必然是不同的。这就提供了一个安全的确认

28、发送方身份的方法。数字签名有两种，一种对整体信息的签名，它是指经过密码变换的被签名信息整体；另一种是对压缩信息的签名，它是附加在被签名信息之后或某一特定位置上的一段签名图样。若按照明、密文的对应关系划分，每一种又可以分为两个子类，一类是确定性数字签名，即明文与密文一一对应，它对一个特定信息的签名不变化，如 RSA 签名；另一类是随机化或概率化数字签名，它对同一信息的签名是随机变化的，取决于签名算法中的随机参数的取值。一个明文可能有多个合法数字签名。一个签名体制一般包含两个组成部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。验证算法是公开的，以便他人进行验证。信息签名和信息

29、加密有所不同，信息加密和解密可能是一次性的，它要求在解密之前是安全的。而一条签名的信息可能作为一个法律上的文件，如合同，很可能在对信息签署多年之后才验证其签名，且可能需要多次验证此签名。因此，签名的安全性和防伪造的要求更高些，并且要求证实速度比签名速度还要快些，特别是联机在线实时验证。随着计算机网络的发展，过去依赖于手书签名的各种业务都可用电子数字签名代替，它是实现电子政务、电子商务、电子出版等系统安全的重要保证。另外，基于 PKI 如果要实现数据的保密性，可以在将“原文+数字签名”所构成的信息包用对方的公钥进行加密，这样就可以保证对方只能够使用自己的私钥才能够解密，从而达到保密性要求。为了保

30、障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (7) ，所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA 的密钥长度是 (8) 位。（分数：2.00）A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高 D.还能同时用于身份认证解析：A.56B.64C.128 D.256解析：分析 数据加密即是对明文(未经加密的数据)按照某种加密算法(数据的变换算法)进行处理，而形成难以理解的密文(经加密后的数据)。即使是密文被截获，截获方也无法或难以解码，从而防止泄露信息。数据加密和数据解密是一对可逆的过程，数据加密是用加密算法 E 和加

31、密密钥 K1 将明文 P 变换成密文C，表示为：C=E K1(P)。数据解密是数据加密的逆过程，用解密算法 D 和解密密钥 K2，将密文 C 转换成明文 P，表示为：P=D k2(C)。按照加密密钥 K1 和解密密钥 K2 的异同，有两种密钥体制。(1)秘密密钥加密体制(K1=k1)：加密和解密采用相同的密钥，因而又称为对称密码体制。因为其加密速度快，通常用来加密大批量的数据。典型的方法有日本 NTT 公司的快速数据加密标准(FEAL)、瑞士的国际数据加密算法(IDEA)和美国的数据加密标准(DES)。DES(数据加密标准)是国际标准化组织(ISO)核准的一种加密算法，自 1976 年公布以来

32、得到广泛的应用，但近年来对它的安全性提出了疑问，1986 年美国政府宣布不再支持 DES 作为美国国家数据加密标准，但同时又不准公布用来代替 DES 的加密算法。一般 DES 算法的密钥长度为 56 位。为了加速 DES 算法和 RSA 算法的执行过程，可以用硬件电路来实现加密和解密。针对 DES 密钥短的问题，科学家又研制了 80 位的密钥，以及在 DES 的基础上采用三重 DES 和双密钥加密的方法。即用两个 56 位的密钥 K1、K2，发送方用 K1 加密，K2 解密，再使用 K1 加密。接收方则使用 K1 解密， K2 加密，再使用 K1 解密，其效果相当于将密钥长度加倍。(2)公开密

33、钥加密体制(K1k2)：又称非对称密码体制，其加密和解密使用不同的密钥：其中一个密钥是公开的，另一个密钥是保密的。典型的公开密钥是保密的。发送者利用不对称加密算法向接收者传送信息时，发送者要用接收者的公钥加密，接收者收到信息后，用自己的私钥解密读出信息。由于加密速度较慢，所在往往用在少量数据的通信中。典型的公开密钥加密方法有 RSA、ECC 等。RSA 算法的密钥长度为 512 位。RSA 算法的保密性取决于数学上将一个大数分解为两个素数的问题的难度，根据已有的数学方法，其计算量极大，破解很难。但是加密/解密时要进行大指数模运算，因此加密/解密速度很慢，影响推广使用。ECC(Elliptic

34、Curve Cryptography，椭圆曲线密码)也是非对称密码，加解密使用不同的密钥(公钥和私钥)，它们对计算资源的消耗较大，适合于加密非常少量的数据，例如，加密会话密钥。它是被美国国家安全局选为保护机密的美国政府资讯的下一代安全标准。这种密码体制的诱人之处在于安全性相当的前提下，可使用较短的密钥。而且它是建立在一个不同于大整数分解及素域乘法群而广泛为人们所接受的离散对数问题的数学难题之上。同时，椭圆曲线资源丰富，同一个有限域上存在着大量不同的椭圆曲线，这为安全性增加了额外的保证，也为软、硬件实现带来方便。国际数据加密算法(IDEA)在 1990，年正式公布。这种算法是在 DES 算法的基

35、础上发展起来的，类似于三重 DES。发展 IDEA 也是因为感到 DES 具有密钥太短等缺点， IDEA 的密钥为 128 位，这么长的密钥在今后若干年内应该是安全的。1993 年 4 月 16 日，美国政府推出了 clipper 密码芯片，该芯片采用美国国家安全局设计的 Skipjack 加密算法。采用 Clipper 的加密体制能为信息传输提供高等级的安全和保密，该体制是以防篡改硬件器件(Clipper 芯片)和密钥 Escrow(第三方托管)系统为基础的。1994 年 2 月 14 日，美国政府宣布了 Escrow 加密标准，其加密算法使用 Skopjack。该算法采用 80 位密钥和合

36、法强制访问字段(Law Enforcement Access Field, LEAF)，以便在防篡改芯片和硬件上实现。由于使用了 80 位的密钥，Skipjack 算法具有较高的强度。3.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet 上的机器随意访问公司局域网。虚拟专用网使用 (9) 协议可以解决这一需求。（分数：1.00）A.PPTP B.RC-5C.UDPD.Telnet解析：分析 虚拟专用网(Virtual Private Network, VPN)是在公共 Internet 之上为政府、企

37、业构筑安全可靠、方便快捷的私有网络，并可节省资金。VPN 技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性，同时会加快网络的建设步伐，使得政府、企业不仅仅只是建设内部局域网，而且能够很快地把各分支机构的局域网连起来，从而真正发挥整个网络的作用。VPN 具体实现是采用隧道技术，将内部网的数据封装在隧道中，通过 Internet 进行传输。因此，VPN 技术的复杂性首先建立在隧道协议复杂性的基础之上。现有的隧道协议中最为典型的有GRE，IPSec，L2TP，PPTP，L2F 等。其中，GILE，IPSec 属于第三层隧道协议，L2TP，PP

38、TP，L2F 属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的 p 数据包是被封装在何种数据包中在隧道中传输的。在众多 VPN 相关协议中，最引人注目的是 L2TP 与 IPSEC。其中 IPSEC 已完成了标准化的工作。VPN 系统使分布在不同地方的专用网络，在不可信任的公共网络上安全地进行通信。它采用复杂的算法来加密传输信息，使得敏感的数据不会被窃取。VPN 网络的特性使一些专用的私有网络的建设者可以完全不依赖 ISP 而通过公网来实现 VPN。正是因为VPN 技术根据需要为特定安全需求的用户提供保障，所以 VPN 技术应该有相当广阔的前景。读者对试题中的 UDP 和 Tel

39、net 应该都比较熟悉，下面我们简单介绍一下 RC-5 和 PPTP。RC-5 是一种对称密码算法，使用可变参数的分组迭代密码体制，其中可变的参数为分组长(为 2 倍字长 w位)，密钥长(按字节数计 b)和迭代轮数 r(以 RC-5-w/r/b)。它面向字结构，便于软件和硬件的快速实现，适用于不同字长的微处理器。通过字长、密钥长和迭代轮数三个参数的配合，可以在安全性和速度上进行灵活的折中选择。RC-5 加密效率高，适合于加密大量的数据。RC-5 由 R. Rivest 设计，是 RSA 实验室的一个产品。RC-5 还引入了一种新的密码基本变换数据相依旋转(Data-Dependent Rota

40、tions)方法，即一个中间的字是另一个中间的低位所决定的循环移位结果，以提高密码强度，这也是 RC-5 的新颖之处。PPTP 是由多家公司专门为支持 VPN 而开发的一种技术。PPTP 是一种通过现有的 TCP/IP 连接(称为隧道)来传送网络数据包的方法。VPN 要求客户端和服务器之间存在有效的互连网连接。一般服务器需要与互连网建立永久性连接，而客户端则通过 ISP 连接互连网，并且通过拨号网(Dial-Up Networking, DUN)入口与 PPTP 服务器建立服从 PPTP 协议的连接。这种连接需要访问身份证明(如用户名，口令和域名等)和遵从的验证协议。RRAS 为在服务器之间建

41、立基于 PPTP 的连接及永久性连接提供了可能。只有当 PPTP 服务器验证客户身份之后，服务器和客户端的连接才算建立起来了。 PPTP 会话的作用就如同服务器和客户端之间的一条隧道，网络数据包由一端流向另一边。数据包在起点处(服务器或客户端)被加密为密文，在隧道内传送，在终点将数据解密还原。因为网络通信是在隧道内进行，所以数据对外而言是不可见的。隧道中的加密形式更增加了通信的安全级别。一旦建立了 VPN 连接，远程的用户可以浏览公司局域网 LAN，连接共享资源，收发电子邮件，就像本地用户一样。4.根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防护。下面的措施

42、中，无助于提高同一局域网内安全性的措施是 (10) 。（分数：1.00）A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击 解析：分析 病毒是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒的一个复制，并且可以在特定的条件下进行破坏行为。因此在其整个生命周期中包括潜伏、繁殖(也就是复制、感染阶段)、触发、执行四个阶段。对于病毒的防护而言，最彻底的是不允许其进入系统，但这是很困难的，因此大多数情况下，采用的是“检测一标识一清除”的策略来应对。使用防病毒软件可以防止病毒程序在内部网络的复制和破坏，保障网络和计算机的安全。日志文件是包含

43、关于系统消息的文件，这些消息通常来自于操作系统内核、运行的服务，以及在系统上运行的应用程序。它包括系统日志、安全日志、应用日志等不同类别。现在不管是 Windows 还是 UNIX(包括Linux)都提供了较完善的日志系统。而日志审计系统则是通过一些特定的、预先定义的规则来发现日志中潜在的问题，它可以用来事后亡羊补牢，也可以用来对网络安全攻击进行取证。显然这是一种被动式、事后的防护或事中跟踪的手段，很难在事前发挥作用。入侵检测是指监视或者在可能的情况下，阻止入侵者试图控制自己的系统或者网络资源的那种努力。它是用于检测任何损害或企业损害系统的机密性、完整性或可用性行为的一种网络安全技术。它通过监

44、视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的，而外部网络(通常是 Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效的进行控制。5.在计算机信息安全保护等级划分准则中，确定了 5 个安全保护等级，其中最高一级是 (11) 。（分数：1.00）A.用户自主保护级B.结构化

45、保护级C.访问验证保护级 D.系统审计保护级解析：分析 中华人民共和国国家标准计算机信息系统安全保护等级划分准则中规定了计算机系统安全保护能力的五个等级。第一级：用户自主保护级。本级的计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级适用于普通内联网用户。第二级：系统审计保护级。与用户自主保护级相比，本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。第二级适用

46、于通过内联网或国际网进行商务活动，需要保密的非重要单位。第三级：安全标记保护级。本级的计算机信息系统可信计算机具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记，以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错课。第三级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。第四级：结构化保护级。本级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信

47、息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。第五级：访问验证保护级。本级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，而且必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可

48、信计算机在其构造时，排除了那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。有关计算机信息系统安全保护等级划分准则的详细信息，请读者阅读希赛网软考学院(http:/)法律法规栏目。6.如图 18-4 所示是发送者利用不对称加密算法向接收者传送消息的过程，图中 K1 是 (12) 。（分数：1.00）A.接收者的公钥 B.接收者的私钥C.发送者的公钥D.发送者的私钥解析：分

49、析 请参考(7)、(8)题的分析。7.CA 安全认证中心可以 (13) 。（分数：1.00）A.用于在电子商务交易中实现身份认证 B.完成数据加密，保护内部关键信息C.支持在线销售和在线谈判，实现订单认证D.提供用户接入线路，保证线路的安全性解析：分析 CA 是一个受信任的机构，为了当前和以后的事务处理，CA 给个人、计算机设备和组织机构颁发证书，以证实其身份，并为其使用证书的一切行为提供信誉的担保。而 CA 本身并不涉及商务数据加密、订单认证过程以及线路安全。8.RSA 是一种公开密钥算法，所谓公开密钥是指 (14) 。（分数：1.00）A.加密密钥是公开的 B.解密密钥是公开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的解析：分析 RSA 算法是非对称密钥算法，非对称密钥算法中公钥是公开的，任何人都可以使用，而私钥是绝对不能公开的。发送方用公钥加密的信息，接收方可以使用私钥来解密。9.若某计算机系统是由 1000 个元器件构成的串联系统，且每个元器件的失效率均为 10 -7/H，在不考虑其他因素对可靠性的影响时，该计算机系统的平均故障间隔时间为 (15) 小时。（分数：1.00）A.1104 B.5104C.1105D