系统架构设计师系统安全性与保密性设计

[模拟] 系统架构设计师系统安全性与保密性设计

单项选择题

第1题：

常用对称加密算法不包括______。

A.DES

B.RC-5

C.IDEA

D.RSA

参考答案：D

常见的对称加密算法包括：DES、3DES、RC-5、IDEA。常见的非对称加密算法包括：RSA、ECC。关于对称加密算法与非对称加密算法的详细情况请参看“5.1.2安全基础技术”。

第2题：

数字签名的功能不包括______。

A.防止发送方和接收方的抵赖行为

B.发送方身份确认

C.接收方身份确认

D.保证数据的完整性

参考答案：C

数字签名技术是将摘要信息用发送者的私钥加密与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用Hash函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

第3题：

采用Kexberos系统进行认证时，可以在报文中加入______来防止重放攻击。

A.会话密钥

B.时间戳

C.用户ID

D.私有密钥

参考答案：B

Kerberos认证是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥，还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。

第4题：

包过滤型防火墙通过______来确定数据包是否能通过。

A.路由表

B.ARP表

C.NAT表

D.过滤规则

参考答案：D

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。①第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP目标端口、ICMP消息类型等。②第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(StatefulInspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

ISO7498-2标准涉及的5种安全服务是(5) 。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为4大类7个等级，其中的C2级是指(6) 。

第5题：

A.身份认证，访问控制，数据加密，数据完整，安全审计

B.身份认证，访问控制，数据加密，数据完整，防止否认

C.身份认证，安全管理，数据加密，数据完整，防止否认

D.身份认证，访问控制，数据加密，安全标记，防止否认

参考答案：B

第6题：

A.安全标记保护

B.自主式安全保护

C.结构化安全策略模型

D.受控的访问保护

参考答案：D

第7题：

网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外，在保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。下列隔离方式中，安全性最好的是______。

A.多重安全网关

B.防火墙

C.VLAN隔离

D.人工方式

参考答案：D

无论采用什么形式的网络隔离，其实质都是数据或信息的隔离。网络隔离的重点是物理隔离。人工方式隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP的数据连接。

第8题：

安全审计系统是保障计算机系统安全的重要手段之一，其作用不包括______。

A.检测对系统的入侵

B.发现计算机的滥用情况

C.提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞

D.保证可信网络内部信息不外泄