成为黑客的入门知识（成为黑客学习知识大全）

网络知识

IP：网络层协议；

TCP和UDP：传输层协议；

TCP和UDP使用IP协议从一个网络传送数据包到另一个网络。把IP想像成一种高速公路，它允许其它协议在上面行驶并找到到其它电脑的出口。TCP和UDP是高速公路上的“卡车”，它们携带的货物就是像HTTP，文件传输协议FTP这样的协议等。

TCP和UDP是FTP，HTTP和SMTP之类使用的传输层协议。虽然TCP和UDP都是用来传输其他协议的，它们却有一个显著的不同：TCP提供有保证的数据传输，而UDP不提供。这意味着TCP有一个特殊的机制来确保数据安全的不出错的从一个端点传到另一个端点，而UDP不提供任何这样的保证。

HTTP(超文本传输协议)是利用TCP在两台电脑(通常是Web服务器和客户端)之间传输信息的协议。客户端使用Web浏览器发起HTTP请求给Web服务器，Web服务器发送被请求的信息给客户端。

记住，需要IP协议来连接网络;TCP是一种允许我们安全传输数据的机制，，使用TCP协议来传输数据的HTTP是Web服务器和客户端使用的特殊协议。

Socket 接口是TCP/IP网络的API，Socket接口定义了许多函数或例程，用以开发TCP/IP网络上的应用程序。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 TLS安全传输层协议Transport Layer Security 用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。

MD5 Message Digest Algorithm （中文名为消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。该算法的文件号为RFC 1321（R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992）。

MAC（Media Access Control或者Medium Access Control）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC地址。因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。
PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI（ Public Key Infrastructure ）指的是公钥基础设施。 CA （ Certificate Authority ）指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。 CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“ PKI/CA ”。从总体构架来看， PKI/CA 主要由最终用户、认证中心和注册机构来组成。

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。蠕虫病毒一般是通过1434端口漏洞传播。

Bo冲击波蠕虫（Worm.Blaster或Lovesan，也有译为“疾风病毒”）是一种散播于Microsoft操作系统、Windows XP与Windows 2000的蠕虫病毒，爆发于2003年八月。

Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

IIS是Internet Information Services的缩写，意为互联网信息服务，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内置在Windows 2000、Windows XP Professional和Windows Server 2003一起发行，但在Windows XP Home版本上并没有IIS。IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

Codered.F是红色代码的最新变种病毒，主要是利用微软IIS远程缓存溢出漏洞获得系统权限。然后在这个感染的Web服务器上植入木马程序，给攻击者完全的访问权限，并严重威胁网络安全。
莫里斯蠕虫 利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。是通过互联网传播的第一种蠕虫病毒。它既是第一种蠕虫病毒，也是第一次得到主流媒体的强烈关注。

Finger 服务 显示有关运行 Finger 服务或 Daemon 的指定远程计算机（通常是运行 UNIX 的计算机）上用户的信息。该远程计算机指定显示用户信息的格式和输出。如果不使用参数，Finger 将显示帮助。

pseudo-flaw 伪缺陷
TCP握手协议：在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。 第一次握手：建立连接时，客户端发送SYN包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认； 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j 1），同时自己也发送一个SYN包（syn=k），即SYN ACK包，此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN ACK包，向服务器发送确认包ACK(ack=k 1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念： 未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。 backlog参数：表示未连接队列的最大容纳数目。 SYN-ACK 重传次数　服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。 半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j 1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。著名的迪克斯加算法(Dijkstra)被用来计算最短路径树。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。OSPFv2是由RFC 2328定义的，OSPFv3是由RFC 5340定义的。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。

Slammer（2003） 是一款DDOS恶意程序, 透过一种全新的传染途径, 采取分布式阻断服务攻击感染服务器, 它利用SQL Server 弱点采取阻断服务攻击1434端口并在内存中感染SQL Server, 通过被感染的SQL Server 再大量的散播阻断服务攻击与感染, 造成SQL Server 无法正常作业或宕机, 使内部网络拥塞。和Code Red 一样, 它只是驻留在被攻击服务器的内存中. 大约在世界范围内造成了五十万台服务器宕机。

DCOM （Microsoft Distributed Component Object Model）是Component Object Model（COM）的扩展，它支持不同的两台机器上的组件间的通信，而且不论它们是运行在局域网、广域网、还是Internet上。借助DCOM你的应用程序将能够任意进行空间分布。COM是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序，它们可以给应用程序，操作系统以及其他组件提供服务。开发自定义的COM组件就如同开发动态的，面向对象的API。多个COM对象可以连接起来形成应用程序或组件系统。并且组件可以在运行时刻，在不被重新链接或编译应用程序的情况下被卸下或替换掉。Microsoft的许多技术，如ActiveX, DirectX以及OLE等都是基于COM而建立起来的。并且Microsoft的开发人员也大量使用COM组件来定制他们的应用程序及操作系统。

ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼，其中主要的技术是组件对象模型（COM）。在有目录和其它支持的网络中，COM变成了分布式COM（DCOM）。在创建包括ActiveX程序时，主要的工作就是组件，一个可以自足的在ActiveX网络（网络主要包括Windows和Mac）中任意运行的程序。这个组件就是ActiveX控件。ActiveX是Microsoft为抗衡Sun Microsystems的JAVA技术而提出的，此控件的功能和java applet功能类似。

RPC（Remote Procedure Call Protocol）——远程过程调用协议，它是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在，如TCP或UDP，为通信程序之间携带信息数据。在OSI网络通信模型中，RPC跨越了传输层和应用层。RPC使得开发包括网络分布式多程序在内的应用程序更加容易。
Nimda蠕虫 该病毒会通过email传播，当用户邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒就已经不知不觉中执行了。在正常运行过程（加载，开端口，扫描弱口令，感染）中，病毒执行时会将自己复制到临时目录，再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件，同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold，使病毒在下次系统启动时仍然被激活。另外，在system目录下，病毒还会生成一个副本：riched20.dll。为了通过邮件将自己传播出去，病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。

冰河木马开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。 监听7626端口

VPN（Virtual Private Network）虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 连接协议PPTP、L2TP、IPSec

MPPE(Microsoft Point-to-Point Encryption-微软点对点加密术）协议是由Microsoft设计的，它规定了如何在数据链路层对通信机密性保护的机制。它通过对PPP链接中PPP分组的加密以及PPP封装处理，实现数据链路层的机密性保护。

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

公钥（Public Key）与私钥（Private Key）是通过一种算法得到的一个密钥对（即一个公钥和一个私钥），公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密，如果用私钥加密也必须用公钥解密，否则解密将不会成功。

RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。今天只有短的RSA钥匙才可能被强力方式解破。到2008年为止，世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长，用RSA加密的信息实际上是不能被解破的。但在分布式计算和量子计算机理论日趋成熟的今天，RSA加密安全性受到了挑战。RSA算法基于一个十分简单的数论事实：将两个大质数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

维吉尼亚密码从凯撒密码发展，防止频率分析破解，一直用到二战以前。例如： 未加密文字：THE BUTCHER THE BAKER AND THE CANDLESTICK MAKER。（屠夫、面包师和蜡烛匠）。 关键密钥：BIG BIGBIGB IGB IGBIG BIG BIG BIGBIGBIGBI GBIGB 加密文字：UPK CCZDPKS BNF JGLMX BVJ UPK DITETKTBODS SBSKS 如果知道“BIG”就是密钥，收件人就可以很容易地通过相应的位置改变字母位置，从而译出经过加密的文字。

IPSec（InternetProtocolSecurity）是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。(1)AH(AuthenticationHeader) 协议。它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。 (2)ESP(EncapsulatedSecurityPayload) 协议。它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。

EAP（Extensible Authentication Protocol）为可扩展身份验证协议，是一系列验证方式的集合，设计理念是满足任何链路层的身份验证需求，支持多种链路层认证方式。EAP协议是IEEE 802.1x认证机制的核心，它将实现细节交由附属的EAP Method协议完成，如何选取EAP method由认证系统特征决定。这样实现了EAP的扩展性及灵活性，如图所示，EAP可以提供不同的方法分别支持PPP，以太网、无线局域网的链路验证。

IPSec IKE：Internet 密钥交换协议

EPS（Evolved Packet System，演进的分组系统）是3GPP标准委员会在第4代移动通信中出现的概念。可以认为EPS=UE（User Equipment，用户设备） LTE（4G接入网部分） EPC（Evolved Packet Core，演进的分组核心网）。

PPTP（Point to Point Tunneling Protocol），即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。默认端口号：1723

L2F（Level 2 Forwarding protocol）即第二层转发协议，用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。 L2TP协议是结合了PPTP和L2F二者协议的特性创建的。

TACACS（终端访问控制器访问控制系统）对于Unix网络来说是一个比较老的认证协议，它允许远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统。TACACS是一个加密协议，因此它的安全性不及之后的TACACS 和远程身份验证拨入用户服务协议。TACACS之后推出的版本是XTACACS。这两个协议均在RFC（请求注解）(是一系列以编号排定的文件。文件收集了有关互联网相关信息，以及UNIX和互联网社区的软件文件。可以理解是一个标准化的文档。)中进行了说明。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即 SLIP。除了 IP 以外 PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（IPX）。

S/MIME 多用途网际邮件扩充协议 (Secure Multipurpose Internet Mail Extensions. RFC 2311)Internet电子邮件由一个邮件头部和一个可选的邮件主体组成，其中邮件头部含有邮件的发送方和接收方的有关信息。对于邮件主体来说，特别重要的是，IETF在RFC 2045～RFC 2049中定义的MIME规定，邮件主体除了ASCII字符类型之外，还可以包含各种数据类型。用户可以使用MIME增加非文本对象，比如把图像、音频、格式化的文本或微软的Word文件加到邮件主体中去。MIME中的数据类型一般是复合型的，也称为复合数据。由于允许复合数据，用户可以把不同类型的数据嵌入到同一个邮件主体中。在包含复合数据的邮件主体中，设有边界标志，它标明每种类型数据的开始和结束。
PGP(Pretty Good Privacy)，是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。
DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

IPS（Intrusion Prevention System , 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。IDS,（Intrusion Detection System）,全称是入侵检测系统，
IPS, (Intrusion Prevention System)，全称为入侵防御系统；

应用入侵防护系统（Application Intrusion Prevention System,AIPS)是由基于主机的入侵防护系统发展而来，一般部署在应用服务器前端，从而将基于的入侵防护系统(Host-based Intrusion Prevention System,HIPS)功能延伸到服务器之前的高性能网络设备上，进而保证了应用服务器的安全性。应用入侵防护系统能够防止诸多入侵，其中包括Cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配以及其他已知漏洞等。 CIDF Common Intrusion Detection Framework；通用入侵检测框架。以使入侵检测的研究项目之间能够共享信息和资源，并且入侵检测组件也能够在其它系统中再利用。CIDF的工作集中体现在四个方面：IDS的体系结构，通信机制，描述语言和应用程序接口API。

PDRR 最常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery，既防护、检测、响应、恢复)模型，可以描述网络安全的整个环节。安全生命周期模型P：Protect（防护）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。D：Detect（检测）；R：React（反应）；R：Restore（恢复）。

ACPI 表示高级配置和电源管理接口（Advanced Configuration and Power Management Interface）。对于Windows2000，ACPI定义了Windows 2000、BIOS和系统硬件之间的新型工作接口。这些新接口包括允许Windows 2000控制电源管理和设备配置的机制。

AMD 美国AMD半导体公司专门为计算机、通信和消费电子行业设计和制造各种创新的微处理器（CPU、GPU、APU、主板芯片组、电视卡芯片等)，以及提供闪存和低功率处理器解决方案，公司成立于1969年。AMD致力为技术用户——从企业、政府机构到个人消费者——提供基于标准的、以客户为中心的解决方案。 DMI是一种类似于SNMP的管理策略。

简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，Internet Engineering Task Force）定义的internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。

CMOS（Complementary Metal Oxide Semiconductor），互补金属氧化物半导体，电压控制的一种放大器件，是组成CMOS数字集成电路的基本单元。
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中，一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。

Teardrop攻击是一种拒绝服务攻击。是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

UDP 是User Datagram Protocol的简称， 中文名是用户数据报协议，是OSI（Open System Interconnection，开放式系统互联） 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务，IETF RFC 768是UDP的正式规范。UDP在IP报文的协议号是17。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

CGI是Common Gateway Interface（公用网关接口）的简称，并不特指一种语言。Web服务器的安全问题主要包括：1）Web服务器软件编制中的BUG；2）服务器配置的错误。可能导致CGI源代码泄漏，物理路径信息泄漏，系统敏感信息泄漏或远程执行任意命令。CGI语言漏洞分为以下几类：配置错误、边界条件错误、访问验证错误、来源验证错误、输入验证错误、策略错误、使用错误等等。CGI漏洞大多分为一下几种类型：暴露不该暴露的信息、执行不该执行的命令、溢出。

PDR模型是由美国国际互联网安全系统公司（ISS）提出，它是最早体现主动防御思想的一种网络安全模型。PDR模型包括protection(保护)、detection(检测)、response(响应)3个部分。

SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

BIND最早起源于美国DARPA资助研究的一个伯克利大学研究生课题。目前它由因特网软件联合会(Internet Software Consortium)负责进行维护和开发。它属于免费软件，能够运行在当前大多数系统平台之上。人们可以在网络上自由下载其源代码，进行安装、运行或研究。解决办法:建议执行一个数据包过滤器和防火墙，仔细检查BIND软件;确保非特权用户在chroot()环境下运行;禁止对外的分区传送;查看分区映射情况，确认对此做了补丁，建立了日志;对BIND进行修改，使得它不会对不可信任主机提供分区传送。

椭圆加密算法（ECC）是一种公钥加密体制，最初由Koblitz和Miller两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。椭圆曲线密码体制来源于对椭圆曲线的研究，所谓椭圆曲线指的是由韦尔斯特拉斯（Weierstrass）方程。
SYN Flood是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了，整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转发出的电子邮件。

C/S 应用程序是一种典型的两层架构，其全称是Client/Server，即客户端服务器端架构，其客户端包含一个或多个在用户的电脑上运行的程序，而服务器端有两种，一种是数据库服务器端，客户端通过数据库连接访问服务器端的数据；另一种是Socket服务器端，服务器端的程序通过Socket与客户端的程序通信。C/S应用程序也可以看做是胖客户端架构。因为客户端需要实现绝大多数的业务逻辑和界面展示。这种架构中，作为客户端的部分需要承受很大的压力，因为显示逻辑和事务处理都包含在其中，通过与数据库的交互（通常是SQL或存储过程的实现）来达到持久化数据，以此满足实际项目的需要。

B/S应用程序的全称为Browser/Server，即浏览器/服务器结构。Browser指的是Web浏览器，极少数事务逻辑在前端实现，但主要事务逻辑在服务器端实现，Browser客户端，WebApp服务器端和DB端构成所谓的三层架构。B/S应用程序的系统无须特别安装，只有Web浏览器即可。B/S应用程序中，显示逻辑交给了Web浏览器，事务处理逻辑在放在了WebApp上，这样就避免了庞大的胖客户端，减少了客户端的压力。因为客户端包含的逻辑很少，因此也被称为瘦客户端。

令牌网指的是包含控制信息的帧。令牌过程允许网络设备向网络传输数据。令牌网使用一种标记数据作为令牌，它始终在环上传输，当无帧发送时，令牌为空闲状态，所有的站点都可以俘获令牌，只有当站点获得空闲令牌后，才将令牌设置成忙状态，并发送数据。数据随令牌至目的站点后，目的站点将数据复制，令牌继续环行返回到发送站点，这时发送站点才将俘获的令牌释放，令牌重新成为空闲状态。
BOOTP（Bootstrap Protocol，引导程序协议）是一种引导协议，基于IP/UDP协议，也称自举协议，是DHCP协议的前身。BOOTP用于无盘工作站的局域网中，可以让无盘工作站从一个中心服务器上获得IP地址。通过BOOTP协议可以为局域网中的无盘工作站分配动态IP地址，这样就不需要管理员去为每个用户去设置静态IP地址。
子网掩码 是IP 参照物.分网段用的!
比如 192.168.0.1 和192.168.0.2
1.子网掩码为 255.255.255.0, 那么192.168.0.X 在同一个网段,能互相访问.
2.希望掩码为 255.255.0.0, 那么 192.168.X.X在同一个网段,能互相访问.

单选题

1. 系统需要更新是因为操作系统存在着漏洞

2. 信息安全需求包括保密性、完整性、可用性、可控性、 不可否认性，不包括 语义正确性。

3. 下面属于被动攻击的手段是（ 窃听）

4. 我国信息系统安全等级保护共分为几级（五级）

5. 为了避免第三方偷看WWW浏览器与服务器交互的敏感信息，通常需要（采用SSL技术）

6. 关于安全套结层协议的描述中，

A. 可保护传输层的安全

B. 可提供数据加密服务

C. 可提供消息完整性服务

7. 关于RSA密码体制特点的描述中,

A. 基于大整数因子分解的问题

C. 是一种公钥密码体制

D. 常用于数字签名和认证

8. 对称加密技术的安全性取决于 密钥的保密性

9. 信息安全风险主要有哪些

A. 信息存储风险

B. 信息传输风险

C. 信息访问风险

10.TELNET协议主要用于加密机制。中 Telnet是进行远程登录标准协议

11.为了防御网络监听，最常用的方法是信息加密。

12.有关PKI技术的说法，哪些是确切的？又称公开密钥加密技术，收信方和发信方使用不同的密钥

13.向有限的空间输入超长的字符串是（缓冲区溢出）攻击手段。

14.以下关于DOS攻击的描述，哪句话是正确的？ 导致目标系统无法处理正常用户的请求

15.以下关于垃圾邮件泛滥原因的描述中，

A. 早期的SMTP协议没有发件人认证的功能

B. 网络上存在大量开放式的邮件中转服务器，导致垃圾邮件的来源难于追查

D. Internet分布式管理的性质，导致很难控制和管理

16.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么？（给系统安装最新的补丁）

17.下面哪一个情景属于身份验证（Authentication）过程 . 用户依照系统提示输入用户名和口令

18.下面哪一个情景属于审计（Audit）某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中

19.下面哪一个情景属于授权（Authorization）B。用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改

20.邮件炸弹攻击主要是 。 填满被攻击者邮箱

21.DOS攻击的Synflood攻击是利用（通讯握手过程问题）进行攻击。

22.从统计的资料看，内部攻击是网络攻击的（最主要攻击）。

23.信息的加密保存、加密传输主要是为了 （防止篡改、防止窃取、防止假冒）。

24.加密算法分为 （对称加密与非对称加密）。

25.常见的对称加密算法有 （DES、3DES、RC2、RC4）。

26.常见的摘要加密算法有（ MD5、SHA）。

27.我国对加密算法的主管部门是（国家密码管理委员会）。

28.涉及国家秘密的计算机信息系统，必须（ 实行物理隔离）。

29.我国的计算机信息系统实行什么保护制度？(等级保护制度)。

30.在ISO17799中，对信息安全的“保密性”的描述是。 确保只有被授权的人才可以访问信息

31.在ISO17799中，对信息安全的“可用性”的描述是。 确保在需要时，被授权的用户可以访问信息和相关的资产

32.在ISO17799中，对信息安全的“完整性”的描述是。确保信息和信息处理方法的准确性和完整性

33.信息系统安全等级被定为一级的信息系统，其监管要求是。 自主保护

34.信息系统安全等级被定为三级的信息系统，其监管要求是。 监督检查

35.信息系统安全等级保护中，被定为(二级以上)的信息系统影响当地公安机关备案。

36.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于拒绝服务攻击。

37.下列说法都正确：

A. 信息系统安全工作永远是风险、性能、成本之间的折衷

B. 网络安全防御系统是个动态的系统，攻防技术都在不断发展，安全防范系统也必须同时发展与更新

C. 系统的安全防护人员必须密切跟踪最新出现的不安全因素和最新的防护技术，以便对现有的防护体系及时提出改进意见

D. 安全防范工作是一个循序渐进、不断完善的过程

38.计算机病毒防护策略的是：

A. 确认您手头常备一张真正“干净”的引导盘

B. 及时、可靠升级反病毒软件

C. 新购置的计算机软件也要进行病毒检测

39.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（代理服务型）防火墙的特点。

40.为了提高用户管理和身份验证的安全性：

A. 应使用8位以上，具有复杂度要求并定期更改的密码策略

B. 可以使用数字证书、令牌等多因素身份认证机制

D. 应妥善保管密码，不要将密码写到纸上

41.当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。 拒绝服务

42.你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？ tracert

43.SSL安全套接字协议所使用的端口是： 443

44.以下不属于win2000中的ipsec过滤行为的是： 证书

45.下列Unix没有提供的安全机制是：文件加密

46.风险评估的三个要素 ：资产、威胁和脆弱性

47.信息系统安全风险评估的方法 。定性评估与定量评估相结合

48.世界上最早的应急响应组是什么？CERT/CC

49.为了有效的对企业网络进行安全防护，在企业网络的最外围部署防火墙是一种有效方法。这主要是利用防火墙的下列主要功能。隐藏网络内部细节

50.关于信息系统安全审计：

A. 安全审计是对信息系统所有操作、活动的记录和检查

C. 安全审计的目的是辅助识别和分析未经授权的动作或攻击

D. 安全审计的存在可对某些潜在的侵犯安全的攻击者起到威慑作用

51.针对Telnet、Ftp的安全隐患，一般采用（SSH）来增强。

52.下列不属于PDR安全模型的是。 策略（Policy）

53.下述攻击手段中不属于DOS攻击的是。 CGI溢出攻击

54.多层建筑中，最适合做数据中心的位置是。二层或三层

55. 拒绝服务攻击损害了信息系统的哪一项性能（ 可用性）。

56.如果一条链路发生故障，与该链路相关的服务、应用等都将受到影响，为了避免或降低此类风险，应采用以下哪类技术。冗余备份

57.Windows系统中可以查看开放端口情况的命令是（netstat）。

58.企业经常修正其生产过程和业务流程，从而造成对信息系统可能会伴随一些改动。下列哪些功能可以确保这些改动的影响处理过程，保证它们对系统的影响风险最小？ 变更管理

59.在PKI/CA体系中，下列关于RA的功能说法正确的是提供目录服务，可以查询用户证书的相关信息

60.下面对跟踪审计功能的描述哪项是正确的，审计是记录用户使用计算机网络系统进行的所有活动过程，是提高安全的重要手段

61.企业应该把信息系统安全看作，业务促进因素

62.通常使用（ 签名）可以实现抗抵赖。

63.下面哪一项不是一个公钥密码基础设施（PKI）的正常部件？ 对称加密密钥

64.职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在某一个人手中。职责分类的目的是确保没有单独的人员（单独进行操作）可以对应用系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分类”原则的违背? 系统程序员

65.当备份一个应用系统的数据时，以下哪一项是首先应该考虑的关键问题？需要备份哪些数据？

67.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为（绝密、机密、秘密）。

68.以下哪种风险被定义为合理的风险？ 可接收风险

69.在业务连续性计划中，RTO指的是（业务恢复时间目标）。

70.中国石化股份有限公司基于（ COSO）提出的内控框架建设内控制度体系。

72.中国石化股份有限公司内控管理流程中涉及到IT相关的流程总数是（ 5）

73.在中石化颁布2010版内控流程【信息系统管理业务流程】中，和会计报表认定相关的控制点有( B3)。

74.请选择萨班斯(Sarbanes-Oxley)法规对数据存储的年限要求( 5年)。

75.应用系统IT一般性控制内控流程要求安全管理员对直接访问数据库的操作日志至少（ 1月）进行一次审核，发现异常情况，及时上报信息管理部门/相关部门负责人，同时查明原因，提出处理意见，记录处理情况。

76.应用系统IT一般性控制内控流程要求安全管理员对至少（每月 ）对系统管理员、数据库管理员、应用管理员的操作日志或记录进行检查，提出审核意见，并报相关部门负责人。

77.IT内控流程中，和信息分级内容相关的业务流程是( 信息资源管理业务流程 )

78.防火墙是( 访问控制技术 ) 在网络环境中的应用。

79.关于防火墙技术，以下描述正确的是。防火墙可以布置在企业内网和因特网之间

80.防火墙提供的接入模式

A. 网关模式

B. 透明模式

C. 混合模式

81.包过滤防火墙工作在OSI网络参考模型的 网络层

82.关于包过滤防火墙的说法：

A. 包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实施对数据包的过滤。

B. 包过滤防火墙不检查OSI参考模型中网络层以上的数据，因此可以很快地执行。

C. 由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性，给过滤规则的制定和配置带来了复杂性，一般操作人员难以胜任管理，容易出现错误。

83.代理服务作为防火墙技术主要在OSI的哪一层实现 （ 应用层 ）。

84.关于应用代理网关防火墙的说法，正确的是 （ 一种服务需要一种代理模块，扩展服务较难 ）。

85.下面关于防火墙策略的说法，正确的是 （防火墙处理入站通讯的缺省策略应该是阻止所有的包和连接，除了被指出的允许通过的通讯类型和连接。 ）.

86.关于iptables， iptables可配置具有状态包过滤机制的防火墙。

87.通过添加规则，允许通往192.168.0.2的SSH连接通过防火墙的iptables的指令是 （ iptables –A FORWARD –d 192.168.0.2 –p tcp –-dport 22 –j ACCEPT ）。

88.iptables中默认的表名是 （ Filter ）。

89.防火墙的安全性角度考虑，最好的防火墙结构类型是（屏蔽子网结构 ）。

90.防火墙策略中对DMZ区域中的某个应用服务器做了严格的访问控制，只允许外部网络的某些地址访问。最近有用户抱怨说这个服务器无法访问了，但是其他用户都能正常使用，那么最有可能出现了以下那种情况 （ 该用户的IP地址发生变化了）。

91.现在需要调试防火墙策略以定位外部网络到DMZ区域的SSH服务(默认端口)无法使用的问题，下面描述最正确的是 （ 在防火墙策略集的最前面，添加策略外部网络到DMZ 端口为22的全通策略 ）。

92.有人向你请教什么是防火墙升级包，你该如何言简意赅地将防火墙升级包的用途解释给他听呢？ （ 防火墙升级包是控制型软件或BIOS型升级包，安装后可改善所涉及设备的功能或延长其使用寿命。 ）(请选择最佳答案)。

93.利用WMI（Windows管理规范），可以访问、配置、管理和监视几乎所有的Windows资源，下面（ cimwin32.dll ）托管程序提供关于计算机、磁盘、外围设备、文件、文件夹、文件系统、网络组件、操作系统、打印机、进程、安全性、服务、共享、SAM 用户及组等信息。

94.关于微软操作系统的补丁安装：

B. MS08-067表示2008第67个HotFixes.

C. Hotfix是微软针对某一个具体的系统漏洞或安全问题而发布的专门解决程序

D. 当多个修复程序要求修改同一个dll文件时，可自动利用Microsoft QChain功能确保系统启动后只应用最新版本的文件

95.系统安全漏洞是指可以用来对系统安全造成危害，SANS会定期更新发布 Windows 和 Unix 系统前20大漏洞列表，桌面安全管理员可以SANS推荐的修正方法进行漏洞修补，编号分类Z01 是（ Zero Day攻击和预防策略 ）方面的漏洞。

96.下面( Ad-Aware ) 属于反间谍软件。

97.微软远程桌面（RDP：Windows Remote Desktop Connection）默认使用端口（3389 ）。

98.关于外设管理的描述

B. 外设管理包括客户端计算机的并口设备；

C. 外设管理包括打印机；。

D. 外设管理包括对外来人员的便携笔记本；

99.微软的网络准入控制技术标准简称是 Network Access Protection (NAP)。

100. Windows操作系统使用（　 ACPI　）来实现电源管理，控制电脑的电源消耗。

101. 入侵检测可以利用的信息包括 ：

A. 系统和网络日志文件

B. 目录和文件中的不期望的改变和程序执行中的不期望的行为

C. 物理形式的入侵信息

102. 在PDRR模型中， ( 检测 ) 是静态防护转化为动态的关键，是动态响应的依据。

103. 用于事后分析的入侵检测方法是 ( 统计分析 )。

104. 通用入侵检测框架(CIDF)模型中，( 事件数据库 ) 的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

105. 从系统结构上看，入侵检测系统可以不包括 (审计 ) 。

106. 应用入侵防护系统（AIPS）一般部署在 ( 受保护的应用服务器前端 )。

107. 有一种IDS系统，它只能运行在网络中的一台计算机上，这是( 主机 ) 型的IDS系统。

108. 下列关于入侵检测系统探测器获取网络流量的方法：

A. 利用交换设备的镜像功能

B. 在网络链路中串接一台分路器

C. 在网络链路中串接一台集线器

109. 关于响应， 主动响应方式可以是自动发生邮件给入侵发起方的系统管理员请求协助以识别问题和处理问题。

110. 你检测到一次针对你的网络的攻击，你的服务器日志显示了攻击的源IP地址，但是你需要确定这个地址来自哪个域，你应该 进行反向DNS查找

111. 使用IDS/IPS系统的一个核心问题是( 网络攻击特征库 ) 的建立以及后期的维护更新。

112. 下列关于蜜罐， 可以安放在网络上的一个假系统，用以吸引攻击者，使其不去攻击你的真正的服务器

113. 以下关于网络入侵检测系统的组成结构的讨论中：

A. 网络入侵检测系统一般由控制台和探测器组成

C. 探测器的基本功能是捕获网络数据报，并对数据报进行进一步分析和判断，当发现 可疑事件的时候会发出警报

D. 一个控制台可以管理多个探测器

114. 将入侵检测系统部署在DMZ中的优点的是：

A. 可以查看受保护区域主机被攻击的状态

B. 可以检测防火墙系统的策略配置是否合理

C. 可以检测DMZ被黑客攻击的重点

115. 在对疑似攻击行为分析后，你错误地确定发生了攻击，而事实上并不存在任何攻击，这种现象叫做。 误报

116. IPSec VPN 和SSL VPN分别工作在OSI参考模型___和____。 网络层 应用层

117. VPN和（RAS）的使用可以使用户远程办公。

118. 下面哪个协议在创建VPN网络中不是经常使用的（　L2F　）

119. 哪个组件不是VPN网络必须配置的：

A. VPN Server

C. 认证

D. 加密

120. IPSec技术中，站点对站点结构，采用的通讯模式是（ 隧道模式和传输模式都可以使用 ）。

121. VPN技术用下面哪个词汇描述最贴切。隧道

122. 在（　传输模式　）中实现的IPSEC规定数据仅在传输过程中加密。

123. （ L2TP ） 协议是结合了PPTP和L2F二者协议的特性创建的。

124. IPSec有两个基本的数据封装安全协议构成：AH协议和（　ESP　）协议。

125. SSL协议VPN在密钥协商阶段中，客户端需要从服务器端发放的证书中获得的用于数据加密的（　公钥　）。易

126. 为了允许员工远程访问公司网络，公司实施了一项VPN方案。为什么这称得上是一种安全的远程方案?　（　因为VPN通过加密保护数据　）。

127. 以下哪种协议可以用来确保VPN连接的安全?　（　MPPE　）。

128. 关于SSL下列哪种说法

B. SSL 是 Secure Socket Layer 的简称

C. SSL 起源于 Netscape 公司

D. 设计SSL是为了利用TCP 提供可靠的端对端的安全传输

129. 你试图通过VPN访问内网，也正确配置了VPN的客户端和服务器端。但是发现还是无法从家里链接到服务器。假设服务器和客户端的设置都没有问题，那么最有可能阻止你访问VPN服务器的原因是什么？　 你必须打开防火墙中的正确端口

130. 下面哪个端口是冰河木马的常用监听端口 7626

131. Nimda蠕虫病毒是源于1988年（ Morris ）蠕虫的派生品种。

132. 冲击波网络蠕虫是利用（ 微软操作系统DCOM RPC缓冲区溢出漏洞 ）侵入系统。

133. 2003年1月，（ Slammer ）蠕虫利用微软SQL漏洞产生缓冲区溢出对全球互联网产生冲击。

134. 下面（ 管理模块 ）模块不属于网络蠕虫主体功能模块。

135. 国家计算机网络应急技术的官方网站（ www.cert.org.cn ）。

136. CNCERT/CC是（国家互联网应急中心 ）的简称。

139. SYN攻击属于DOS攻击的一种，它利用（ TCP ）协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

141. 为对付入侵者在操作系统中故意设置的明显漏洞，这是pseudo-flaw（伪缺陷）

144. 关于80年代Morris蠕虫危害的描述：

A）该蠕虫利用Unix系统上的漏洞传播

C）占用了大量的计算机处理器的时间，导致拒绝服务

D）大量的流量堵塞了网络，导致网络瘫痪

145. CodeRed爆发于2001年7月，利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞，微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染CodeRed，那么属于哪个阶段的问题?（系统管理员维护阶段的失误）

148. 以下关于Smurf攻击的描述

A）它是一种拒绝服务形式的攻击

B）它依靠大量有安全漏洞的网络作为放大器

C）它使用ICMP的包进行攻击

149. 造成操作系统安全漏洞的原因？

A）不安全的编程语言

B）不安全的编程习惯

C）考虑不周的架构设计

150. 下面哪个功能属于操作系统中的安全功能？保护系统程序和作业，禁止不合要求的对程序和数据的访问

151. 下面哪个功能属于操作系统中的日志记录功能？对计算机用户访问系统和资源的情况进行记录

152. 下面哪种编程语言因为灵活和功能强大曾经被广泛使用，但因其本身对安全问题考虑不周，而造成了现在很多软件的安全漏洞？C/C

153. 可能给系统造成影响或者破坏的人包括。所有网络与信息系统使用者

154. 黑客的主要攻击手段包括。社会工程攻击、蛮力攻击和技术攻击

155. 从统计的情况看，造成危害最大的黑客攻击是。病毒攻击

156. 口令攻击的主要目的是。获取口令进入系统

157. BO是蠕虫

158. 红色代码是蠕虫病毒

159. 3389端口开放所引起的不安全因素可能是输入法漏洞

161. 逻辑炸弹通常是通过。指定条件或外来触发启动执行，实施破坏

162. 扫描工具既可作为攻击工具也可以作为防范工具

163. 缓冲区溢出既是系统层漏洞也是应用层漏洞

164. DDOS攻击是利用（中间代理）进行攻击。

165. 黑客造成的主要安全隐患包括，破坏系统、窃取信息及伪造信息

166. 计算机病毒是，计算机程序

167. 引导型病毒可以通过哪些途径传染，软盘

168. 硬盘分区表丢失后，造成系统不能启动，应采取哪些挽救措施。重新构造分区表

169. 加密技术的三个重要方法是，封装、变换、验证

170. PKI体系所遵循的国际标准是，ISO X.509

171. 目前身份认证采用的主要标示为：CA证书、用户名/密码、指纹、虹膜、设备特征

172. 目前身份认证的主要认证方法为比较法和有效性检验法

173. 身份的确认存在的主要问题是，孤立性与可靠性

175. 数字签名的主要采取关键技术是：摘要、摘要的对比

176. 身份认证需要解决的关键问题和主要作用是：身份的确认、权限的控制

177. 下面哪个安全评估机构为我国自己的计算机安全评估机构？ITSEC

178. 典型的邮件加密过程一是发送方和接收方交换：双方公钥

179. SSL是（应用）层加密协议。

180. 计算机病毒防治产品根据（计算机病毒防治产品评级准测）标准进行检验。

181. 权限控制的粒度通常可以分为网络、设备、系统和功能、数据表、记录、字段和具体数值

182. 加密、认证实施中首要解决的问题是：信息的分级与用户的分类

183. 网页病毒主要通过以下途径传播网络浏览

1. 计算机信息系统安全保护的目标是保护计算机信息系统的（ABCD）。

A. 实体安全

B. 运行安全

C. 信息安全

D. 人员安全

2. 计算机信息系统安全管理包括（ACD）。

A. 组织建设

B. 事前检查

C. 制度建设

D. 人员意识

3. 信息系统安全事件防范包括以下几个方面（ABCD）。

A. 重要安全技术的采用

B. 安全标准的贯彻

C. 安全制度措施的建设与实施

D. 重大安全隐患、违法违规的发现，事故的发生

4. 路由器作为企业网络最外围的安全屏障，其安全性是不言而喻的，作为一名网管需要在路由器上采取（AB）等安全管理措施才能保证路由器基本的安全。难

A. 设置访问控制列表

B. 升级IOS 进行安全补漏

5. 交换机是企业局域网正常运行的关键设备，作为一名网管需要采取（ AB）的安全管理措施才能保证企业网用户正常的网络通信。中

A. 通过VLAN 把局域网分段管理

B. 设置度较强高的管理口令

6. 信息系统安全等级保护工作分为以下哪几个阶段（ABCD ）。

A. 定级

B. 信息系统安全建设与整改

C. 等级测评

D. 监督与检查

7. 信息系统安全保护等级的定级要素有哪些（BC）。

B. 等级保护对象受到破坏时所侵害的客体

C. 等级保护对象受到破坏时对客体造成侵害的程度

8. 根据国家信息系统安全等级保护的有关规定，下列说法正确的是（ABCD）。

A. 信息系统安全包括业务信息安全和系统服务安全

B. 被定为二级以上（含二级）的信息系统应向当地公安机关备案

C. 等级保护基本要求中从管理和技术两个方面分别对各等级的保护措施提出了具体要求

D. 被定为三级以上（含三级）的信息系统应报总部信息系统管理部审批后备案

9. 下列属于黑客被动攻击的是（ABC）。

A. 运行恶意软件

B. 浏览恶意代码网页

C. 打开病毒附件

10.企业邮件系统安全措施应考虑以下哪几个方面（ABC）。

A. 一定强度的身份验证和访问控制机制

B. 防范垃圾邮件

C. 邮件防病毒

11.严格的口令策略应当包含哪些要素 （ABC）。

A. 满足一定的长度，比如8位以上

B. 同时包含数字，字母和特殊字符

C. 系统强制要求定期更改口令

12.以下哪些措施可以有效提高病毒防治能力(ABCD) 。

A. 提高安全防范意识

B. 升级系统、打补丁

C. 安装、升级杀毒软件

D. 不要轻易打开来历不明的邮件

13.计算机病毒的主要传播途径有(ABCD) 。

A. 存储介质

B. 文件交换

C. 网络

D. 电子邮件

14.网络系统安全配置的原则包括哪些（AB）。

A. 最小权限

B. 纵深防御

15.PKI技术可以提供哪些功能（ABCD）。

A. 身份认证

B. 信息的保密性

C. 信息的完整性

D. 信息的不可否认性

16.下列属于PKI/CA应用的是（ABD）。

A. 数字签名

B. 安全邮件S/MIME

D. 数字信封

17.在公钥密码体系中， CA必须具备的功能有哪些（ABCDE） 。

A. 签发数字证书

B. CA密钥的管理

C. 接受证书申请，审核申请者身份

D. 证书管理

E. 提供证书和证书状态的查询

18.以下关于TCP和UDP协议的说法错误的是（ACD）。

A. 没有区别，两者都是在网络上传输数据

C. UDP是一个局域网协议，不能用于Interner传输，TCP则相反

D. TCP协议占用带宽较UDP协议多

19.以下关于对称加密的说法正确的是？ （ACD）

A. 在对称加密中，只有一个密钥用来加密和解密信息

C. 对称加密是一个简单的过程，双方都必需完全相信对方，并持有这个密钥的备份

D. 对称加密的速度非常快，允许你加密大量的信息而只需要几秒钟

20.以下不属于对称加密算法的是？ （CD）

C. HASH

D. RSA

21.在保证密码安全中，我们应采取正确的措施有？ （ABC）

A. 不用生日做密码

B. 不要使用少于5位的密码

C. 不要使用纯数字

22.以下关于如何防范针对邮件的攻击，说法正确的是（ABC）

A. 拒绝垃圾邮件

B. 拒绝巨型邮件

C. 不轻易打开来历不明的邮件

23.下列措施中能增强DNS安全的是？ （ABD）

A. 将DNS区域数据存储在活动目录中

B. 双反向查找

D. 不要让HINFO记录被外界看到

24.DNS服务在解析一个DNS请求时，默认使用（B）协议（C）端口。

B. UDP

C. 53

25.在黑客入侵的探测阶段，他们会使用下面哪些方面方法来尝试入侵？BCE

B. 确定系统默认的配置

C. 寻找泄露的信息

E. 确定资源的位置

26.CA一般分为企业级CA和独立的CA，以下关于这两种CA的说法正确的是( BC)

B. 企业级的CA一般用于内部证书服务，如文件加密

C. 独立级的CA一般用于Internet服务，如web加密

27.下列关于PKI相关的技术标准，说法正确的是（ABC）

A. 国际电信联盟ITU X.509协议是PKI技术体系中应用最广泛、最为基础的一个国际标准

B. S/MIME是一个用于发送安全报文的IETF标准

C. SSL/TLS是因特网中访问Web服务器重要的安全协议之一，利用PKI的数字证书来认证客户和服务器的身份

28.以下关于VPN协议PPTP与L2TP的说法正确的是（AD）

A. PPTP必须是基于IP的网络

D. PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。

29.你是公司的系统管理员，网络中只有一个单独的AD域。所有的DC都是Windows2003Server，所有的客户机都是Windows XP。一个名叫Tom的用户报告说，他不能从他的计算机登录到域。Tom收到如下登录信息：“你的帐号已被禁用，请联系你的系统管理员”,你需要使Tom能够登录，你可以如何处理？（CD）

C. 运行dsmod user命令，并使用适当的参数。

D. Tom的帐号被禁用，在“AD用户和计算机”找到Tom帐号/右键/启用帐户即可。

30.ISO/OSI参考模型中的传输层中最常见的几种攻击类型是？（BD）

B. SYN FLOOD

D. HIJACKING

31.Windows系统安全防护应考虑哪些方面（ABCD）

A. 帐号与口令的安全管理

B. 关闭不必要的网络服务和端口

C. 定期更新补丁

D. 安装防病毒等第三方防护软件

32.从系统整体看，安全"漏洞"包括哪些方面（ABCD）。

A. 技术因素

B. 人的因素

C. 规划策略

D. 执行过程

33.应对操作系统安全漏洞的基本方法是什么？ABC

A. 对默认安装进行必要的调整

B. 给所有用户设置严格的口令

C. 及时安装最新的安全补丁

34.造成操作系统安全漏洞的原因 ABC

A. 不安全的编程语言

B. 不安全的编程习惯

C. 考虑不周的架构设计

35.公司需要开放Web服务供Internet用户访问，为了实现安全的Web访问，你需要采取的安全措施有（ABC）

A. 更新Web服务器安全补丁

B. 把Web服务器放置在一个和内、外网相对独立的环境中并实现和内外网的通信

C. 设置WWW根目录严格的访问权限等安全配置

36.从系统结构来看，入侵检测系统可分为哪几类（ABC）。

A. 基于主机的入侵检测系统

B. 基于网络的入侵检测系统

C. 分布式入侵检测系统

37.下列属于控制网络安全风险的途径是（ABCD）。

A) 避免风险

B) 消除脆弱点

C) 转移风险

D) 风险检测

38.基于PKI技术提供的服务有（ABCD）。

A) 数字签名

B) 身份认证

C) 安全时间戳

D) 不可否认

39.为了保护DNS的区域传送（zone transfer），你应该配置防火墙以阻止（AD）。

A) TCP

D) 52端口

40.以下属于脆弱性范畴的是（ABC）。

A) 操作系统漏洞

B) 应用程序BUG

C) 人员的不良操作习惯

41.根据中石化内部控制检查评价与考核方法，下列哪些方面的缺陷会导致财务报告缺陷认定(ABCD)。中

A. 影响会计报表缺陷

B. 其他会计信息质量缺陷

C. IT控制缺陷

D. 内控重大事故事件缺陷四个部分。

42.中石化的内部控制由下面那些部门和人员负责实施( ABCD)。

A. 董事会

B. 监事会

C. 管理层

D. 全体员工

43.下面（ CD )选项符合中石化内控手册规定。

C. 当存在任何一个实质漏洞时，应当在内部控制检查评价报告中作出内部控制无效的结论。

D. 当存在任何一个或多个内部控制实质漏洞时，应当在内部控制检查评价报告中作出内部控制无效的结论。

44.下面哪些内容是中石化IT内控业务流程所涉及（ABCD ）。

A. 信息处理部门与使用部门权责的划分。

B. 系统开发及程序修改的控制。

C. 程序及资料的存取、数据处理的控制。

D. 在网站上进行公开信息披露活动的控制。

45.中国石化股份有限公司内控流程中涉及【基础设施IT一般性控制】的需关注的经营风险包括( ABCD)。

A. 网络控制管理不符合信息安全要求，导致内部网络被非授权访问和攻击。

B. 服务器管理不规范，导致系统运行不可靠、不稳定。

C. 备份介质管理不规范，导致备份介质损坏或系统及数据恢复困难。

D. 机房管理不符合规范和安全要求，导致机房设备及资源存在受损的风险。

46.系统、应用管理员岗位设置不合理、授权不规范，导致对系统的非法或非授权访问，请列出下列哪种情况不符合不相容岗位授权的原则（ ABCD ）。

A. 安全管理员和系统管理员由一人承担

B. 安全管理员和数据库管理员由一人承担

C. 安全管理员和应用管理员由一人承担

D. 安全管理员由专职或兼职的系统管理员、数据库管理员、应用管理员承担

47.为保障网络互联的安全，下面哪种说法符合IT内控的管理要求( B C )。

B. 安全管理员每月对安全设备的规则进行复核、确认、检查，填写安全设备配置检查记录表；

C. 安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。

48.以下描述，错误的是 （ ABCE ）。

A. 软件防火墙就是个人防火墙。

B. 防火墙必须提供NAT、VPN等功能。

C. 防火墙对于用户只能通用户名和口令进行认证。

E. 可以将外部可访问的服务器放在内部保护网络中。

49.关于防火墙策略的创建步骤，请选择合适的内容 （ ABCD ）。

A. 识别确实必要的网络应用程序；

B. 识别与应用程序相关的脆弱性；

C. 对应用程序的保护方式进行成本—效益分析；

D. 创建表示保护方式的应用程序通信矩阵，并在应用程序通信矩阵的基础上建立防火墙规则集。

50.任何安全设备和策略都有局限性，以下关于防火墙局限性的描述，正确的是 （AB ）。

A. 防火墙不能防御绕过了它的攻击。

B. 防火墙不能消除来自于内部的威胁。

51.防火墙通常阻止的数据包包括 （ ABDE ） 。

A. 来自未授权的源地址且目的地址为防火墙地址的所有入站数据包

B. 源地址是内部网络地址的所有入站数据包

D. 来自未授权的源地址，包含SNMP的所有入站数据包

E. 包含源路由的所有入站和出站数据包

52.目前市场上主流防火墙提供的功能包括 （ABCDE ） 。

A. 数据包状态检测过滤

B. 应用代理

C. NAT功能

D. VPN功能

E. 日志分析和流量统计分析

53.关于NAT的说法，错误的是（ ABC ） 。中

A. NAT允许一个机构专用Intranet中的主机透明地连接到公共域的主机，无需内部主机拥有注册全局互联网地址

B. 静态NAT是设置起来最简单和最容易实现的一种地址转换方式，内部网络中的每个主机都被永久映射成外部网络中的某个合法地址

C. 动态NAT主要应用于拨号和频繁的远程连接，当远程用户连接上之后，动态NAT就会分配一个IP地址给用户，当用户断开时这个IP地址会被释放而留待后用

54.关于NAT的方式，以下选项中正确的是 （ ABC ）。

A. M-1：多个内部网络地址到1个IP地址

B. 1-1：一个内部网络地址到一个IP地址

C. M-N：多个内部地址到多个IP地址(IP池)

55.防火墙的性能评价方面主要包括 （ ABCE ）。

A. 并发会话数

B. 吞吐量

C. 延时

E. 平均无故障时间

56.关于DMZ区域的说法，正确的是（ ABE ）。中

A. 通常DMZ包含允许来自互联网的通信可进入的设备，如Web server，FTP server，DNS Server等

B. 内部网络可以无限制地访问外部网络和DMZ

E. 有两个DMZ区域的防火墙环境的典型策略是主防火墙采用NAT方式工作，而内部防火墙采用透明模式工作以减少内部网络结构的复杂程度。

57.你的DMZ区域里有两台WEB服务器：WEB1和WEB2，同时提供HTTP服务，你还有两个公网IP地址：A和B，那么如何设置防火墙策略，是这两台服务器能同时对外提供服务 （ AC ）。难

A. 分别做地址转换 WEB1àA;WEB2àB,然后通知用户如何使用

C. 分别做端口映射 WEB1 port 80 à A port 801; WEB2 port 80 à A port 802，然后通知用户如何使用

58.桌面管理系统利用（ ABCD ）等方式收集软硬件信息，以达到进行资产管理的目的。

A. WMI

B. DMI

C. BIOS

D. Windows注册表

59.资产管理通常包括下列哪些方面（ ABCD ）

A. 硬件资产

B. 软件资产

C. 许可证资产

D. 未管理的资产

60.MBSA 是面向Windows NT 4、Windows 2000、WindowsXP 和 Windows Server 2003 系统的安全评估工具，可扫描操作系统、IIS、SQL 和桌面应用程序，以发现常见的配置错误，应用程序使用的扫描端口是（ AB ）中

A. 138

B. 139

61.常见msi打包工具（ BC ）。

B. Advanced Installer

C. InstallShield

62.桌面防火墙管理主要内容包括（ ABCD ）。

A. 控制防火墙的运行状态

B. 桌面防火墙安装情况检测、部署以及升级

C. 编写并配置防火墙的安全规则和参数

D. 查看防火墙的日志

63.下面（ ABC ）属于非法外联行为，即内网客户端机器在内网与外网之间建立了一个直接的或间接的联系，破坏了物理隔离的秩序。

A. 内网客户端机器内外网线交叉错接。

B. 内网客户端机器使用拨号、无线网卡、双网卡等方式接入外网。

C. 笔记本电脑按入内部网络使用，但同时又接入外部网络使用。

64.准入控制是一种主动式网络安全管理技术，终端只有符合安全标准的状态才准许访问网络，终端安全状态包括（ ABCD ）等反映终端防御能力的状态信息。

A. 操作系统补丁

B. 第三方软件版本

C. 病毒库版本

D. 是否感染病毒

65.下面关于计算机远程唤醒功能描述错误的是（　AB　）。

A. 远端被唤醒计算机的网卡必须支持WAL，而用于唤醒其他计算机的网卡则不必支持WAL。

B. 当一台计算机中安装有多块网卡时，须将所有的网卡设置为可远程唤醒。

66.蜜罐技术的主要优点有 ( BCD )。

B. 收集数据的真实性，蜜罐不提供任何实际业务服务，所以收集到的信息很大可能是由于黑客攻击造成的，漏报和误报率较低。

C. 可以收集新的攻击工具和攻击方法，不详目前的大部分防火墙火和入侵检测系统只能根据特征匹配方法来检测已知的攻击。

D. 不需要强大的资金投入，可以用一些低成本的设备。

67.当你检测到一次针对你的网络的攻击，以下哪些步骤是你应该尽快采取的? ( AB )。中

A. 报警

B. 保存所有证据

68.主动响应，是指基于一个检测到的入侵所采取的措施。其选择的措施可以归入的类别有( ABC )。中

A. 针对入侵者采取措施

B. 修正系统

C. 入侵追踪

69.入侵防御技术面临的挑战主要包括( BCD )。

B. 单点故障风险

C. 误报和漏报

D. 性能瓶颈

70.下面的软件产品中，( ABCE )属于漏洞扫描器。

A. nmap

B. Internet Scanner

C. Norton AntiVirus

E. X-scan

71.IPS 常用的通讯分析技术包括: ( ACDE )。

A. RFC 兼容性

C. 流重组/模拟

D. 统计阀值分析

E. 特征识别

72.Snort是一个非常著名的开源入侵检测软件，主要有 ( ABC )这几个重要的子系统构成。

A. 数据包解码器

B. 检测引擎

C. 日志与报警子系统

73.Snort可以在以下的 ( ABC ) 方式下运行。

A. 嗅探器

B. 抓包器

C. 网络IDS

74.你在网络上安装了一个主动IPS系统，当一次攻击发生并被你的新IDS检测出来时，你预计这个IPS可能会做出哪些响应? ( BCD )。

B. 禁用一项或多项服务

C. 在经过一段预定时间后中断连接

D. 关闭一个或多个服务器

75.IPS通常的工作模式一般是 ( ABC )。

A. 旁路监控

B. 串联模拟

C. 串联防护

76.IPSec VPN 中的IKE协议的主要作用是　（　AB　）。

A. 安全关联的集中化管理，减少连接时间

B. 密钥的生成和管理

77.关于IPSEC与NAT的兼容性问题，以下描述中，正确的是　（　ABC　）。

A. 任何类型的NAT与任何模式的AH无法共同工作

B. 采用NAT穿越技术,NAT-T，可以解决部分NAT问题

C. PNAT与任何模式的ESP无法共同工作

78.VPN主流技术包括以下的　（　ABCE　）。

A. PPTP/L2TP

B. IPSec

C. SSL

E. MPLS

79.SSL协议为TCP/IP连接提供了　（　ABC　）的保证。

A. 数据加密

B. 服务器身份验证

C. 消息完整性验证

80.关于拒绝服务，下面哪种说法不正确（ ABC ）。

A. DoS的攻击策略侧重于利用“僵尸主机”造成网络阻塞或服务器资源耗尽而导致拒绝服务。

B. DDoS的攻击侧重利用主机特定漏洞攻击，导致主机死机而无法提供正常的网络服务功能。

C. DRDoS攻击原理是“分布式反射拒绝服务攻击”，实现原理和DdoS相同，只是造成危害比前者更大。

81.下面（ AB ）属于主动类型的黑客攻击行为。

A. 拒绝服务

B. 中间人

82.下面(ABCD )属于逻辑炸弹的常用触发方式。

A. 计数器触发

B. 时间触发

C. 文件触发

D. 特定用户触发

83.网络蠕虫扫描目标机器的方式主要有（ ABC )。

A. 随机扫描

B. 顺序扫描

C. 选择性扫描

84.一些恶意代码编写者经常利用 ROOTKIT技术来编写具有隐藏能力的特洛伊木马，下面（ ABC ）方法是管理员用来检测木马的方法。易

A. 基于已知rootkit的运行特征来判断

B. 基于执行路径分析进行检测；

C. 基于内核数据分析进行检测

93.木马程序常用的激活方式有（ABCD）。

A）修改注册表中的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值

B）修改Win.ini中的windows字段中有启动命令“load=”和“run=”

C）修改文件关联

D）修改System.ini中的启动项

96.网络操作系统应当提供哪些安全保障（ABCDE）。易

A）验证(Authentication)

B）授权(Authorization)

C）数据保密性(DataConfidentiality)

D）数据一致性(DataIntegrity)

E）数据的不可否认性(DataNonrepudiation)

论述题：

1. 什么是拒绝服务攻击？写出4种流行的拒绝服务攻击？中

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程、系统服务及网络带宽，从而阻止正常用户的访问。

SYN Flood、UDP洪水攻击、泪滴(teardrop)攻击、Ping洪流攻击、Land攻击、Smurf攻击等。

2. 简要说明ARP攻击的原理及现象。中

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象:

a) 不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

b) 计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

3. 计算机病毒的特征有哪些？常用的计算机防病毒策略有哪些？中

a) 隐蔽性

b) 传染性或复制性

c) 潜伏性

d) 破坏性

e) 针对性

常用的计算机防病毒策略有；

a) 部署全面的防病毒系统，包括防病毒网关、邮件防病毒、计算机防病毒系统等。

b) 启用实时监测保护

c) 定期全面扫描

d) 及时更新防病毒系统和病毒定义文件

等等。

4. 数据库安全典型安全隐患有哪些方面？如何解决？难

a) 数据库用户帐号和密码隐患

b) 数据库系统扩展存储过程隐患

c) 数据库系统软件和应用程序漏洞

d) 数据库系统权限分配隐患

e) 数据库系统用户安全意识薄弱

f) 数据库系统安全机制不够健全

g) 明文传递网络通信内容

选择安全机制较完善的数据库系统，并且采用强密码机制、禁用不用的存储过程、加强安全配置、定期更新补丁等安全措施。

5. 一个典型的PKI应包括哪些构建和功能？难

一个典型的PKI系统包括PKI策略、软硬件系统、证书颁发机构CA、注册机构RA、证书管理系统和PKI应用等。（最终实体、认证中心、注册中心、证书库）

PKI的功能有：注册、初始化、颁发证书、密钥生成、密钥恢复、密钥更新、证书吊销、交叉认证等。

6. PKI能够提供的服务有哪些？中

数字签名、身份认证、安全时间戳、不可否认服务等。

7. Windows系统安全增强的措施有哪些？中

1) 及时对安全漏洞更新补丁

2) 停止或卸载不必要的服务和软件

3) 升级或更换程序

4) 修改配置或权限

5) 去除特洛伊木马等恶意程序

6) 安装专用的安全工具软件，如杀毒软件、防火墙等。

8. 黑客进行网络攻击可归纳为若干个阶段，了解这些步骤，有利于知己知彼，更好地做好网络安全防范工作，以及在攻击的前期进行发现和预警，请说明一般有哪些阶段？难

1) 隐藏攻击源

2) 收集攻击目标信息

3) 挖掘漏洞信息

4) 获取目标访问权限

5) 隐藏攻击行为

6) 实施攻击

7) 开辟后门

8) 清除攻击痕迹

9. 国家信息系统安全等级保护制度中，对各等级的信息系统从技术和管理两个角度提出了明确的要求，请说明分别说明有哪些方面的要求？难

技术要求：物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复

管理要求：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行管理。

10.与对称加密相比，非对称加密的优点和缺点是什么? 中

优点：1) 在多人之间进行保密信息传输所需的密钥组合数量小；

　　 2) 密钥的发布不成问题；

　　 3) 公开密钥系统可实现数字签名。

缺点：加密/解密比读趁加密的速度慢。它们是互补的。可用公开密钥在互联网上传输私有密钥，实现更有效的安全网络传输。

11.Web网站面临的安全问题有哪些？中

可以归纳为三个方面：

1) Web服务器端：信息被窃取、篡改；获取Web主机的配置信息，为攻击者入侵系统提供帮助；发起DOS攻击，无法提供正常的服务；注入木马等程序，控制和利用主机等以及伪冒Web网站。

2) 浏览器客户端：动态执行程序破坏浏览器、危害用户系统、窃取用户帐户等个人信息。

3) 服务器与客户端之间传输信息的被截获或被监听。

12.简述中国石化股份有限公司内控管理流程中涉及到IT相关的流程。 中

1) 信息系统管理业务流程

2) 信息资源管理业务流程

3) ERP系统IT一般性控制流程

4) 应用系统IT一般性控制流程

5) 基础设施IT一般性控制流程

13.简述IT内控对终端用户接入管理要求和检查方法。中

1) 用户终端接入网络需填写申请表，申请表内容应包含终端接入安全责任条款。

2) 建立用户登录网络认证机制，避免对中国石化内部网络未经授权的访问。

3) 根据人事部门提供的人员离职交接表，信息管理部门应及时注销该用户的网络接入服务。

4) 远程接入网络申请人依据《网络管理办法》相关要求，填写远程接入服务申请表和远程用户接入服务安全承诺书，由所在部门负责人确认，信息管理部门（责任处（科）室）负责人审批并备案。

5) 依据《网络管理办法》相关要求，网络管理员负责部署防病毒系统并及时进行版本和病毒特征库的升级；安全管理员每周对防病毒系统日志进行分析审计。

14.入侵检测技术的分类？各自的优缺点分别是什么？难

根据目标系统的类型分类

基于主机的IDS（Host-Based IDS）

基于网络的IDS（Network-Based IDS）

根据模块的部署方式

集中式IDS

分布式IDS

Host-BASED IDS优点

性能价格比高

细腻性，审计内容全面

视野集中

适用于加密及交换环境

Host-BASED IDS缺点

额外产生的安全问题

HIDS依赖性强

如果主机数目多，代价过大

不能监控网络上的情况

Net-BASED IDS优点

检测范围广

无需改变主机配置和性能

独立性和操作系统无关性

安装方便

Net-BASED IDS缺点

不能检测不同网段的网络包

很难检测复杂的需要大量计算的攻击

协同工作能力弱

难以处理加密的会话

15.入侵检测系统性能评价标准？难

准确性（Accuracy）

正确检测出系统入侵活动的能力

处理性能（Performance）

处理系统审计数据的速度能力

完备性（Completeness）

能够检测出所有攻击行为的能力

容错性（Fault Tolerance）

能够抵御对系统自身攻击的能力

及时性（Timeless）

尽快分析数据并把分析结果上报的能力

16.IPS 技术需要面对很多挑战，请列举。难

一是单点故障。设计要求IPS必须以嵌入模式工作在网络中，而这就可能造成瓶颈问题或单点故障。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。

二是性能瓶颈。即使 IPS 设备不出现故障，它仍然是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率，IPS必须与数千兆或者更大容量的网络流量保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备无法支持这种响应速度。

三是误报和漏报。

一旦生成了警报，最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善，那么“误报”就有了可乘之机，导致合法流量也有可能被意外拦截。对于实时在线的IPS来说，一旦拦截了“攻击性”数据包，就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知，这个客户整个会话就会被关闭，而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的IPS拦截。

17.通用入侵检测框架（CIDF）主要包括几个方面的内容。难

Architecture：提出IDS的通用体系结构，说明IDS各组件间通信的环境。

Communication：说明IDS各种不同组件间如何进行通信。主要描述各组件间如何安全地建立连接以及安全通信。

Language：提出公共入侵规范语言Common Intrusion Specification Language（CISL），IDS各组件间通过CISL来进行入侵和警告等信息的通信。

API：允许IDS各组件的重用，在CISL的表示说明中隐含了API。

18.简述防火墙环境的构建准则。中

a、KISS(Keep It Simpleand Stupid)原则，保持简单是防火墙环境设计者首先意识到的基本原则。从本质上讲，越简单的防火墙解决方案越安全，越容易管理。设计和功能上的复杂性往往导致配置上的错误。

b、设备专用。不要把不是用来当做防火墙使用的设备当做防火墙使用。例如，路由器是被用来做路由的，它的包过滤功能不是他的主要目的，只依靠路由器去提供防火墙功能是危险的。

c、深度防御。是指创建多层安全，而不是一层安全。应在尽可能多的环境中安装防火墙设备或开启防火墙功能，在防火墙设备能被使用的地方使用防火墙设备。假如一个服务器的操作系统能提供防火墙功能，那就就启用它。

d、注意内部威胁。

19.简述内部网络、外部网络和DMZ之间的关系。中

关系如下：

a、内部网络可以无限制地访问外部网络及DMZ；

b、外部网络可以访问DMZ的服务器的公开端口，如MAIL服务器的25、110端口；WEB服务器的80端口等；

c、外部网络不能访问内部网络及防火墙；

d、DMZ不可以访问内部网络，因为如果违背此策略，那么当入侵者攻陷DMZ时，就可以进一步攻陷内部网络的重要设备。

20.简述部署防火墙的优点。中

a、防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。

b、防火墙能防止非授权用户进入内部网络。

c、防火墙可以方便地监视网络的安全性并报警。

d、可以作为部署网络地址转换（Network AddressTranslation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。

e、利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。

由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方

21.简述中石化桌面管理的安全策略要求。中

中国石化要求，对于企业计算机须有一个完备的安全策略。包括：所有终端计算机须安装有防病毒软件；所有终端计算机须安装中石化规定的桌面管理软件；防病毒软件服务处于启用状态，且病毒库版本离当前评估时间不超过7天；终端计算机不能运行有BT、电驴等消耗带宽的软件；终端注册表中不应含有非法键值，如“大智慧”炒股软件等非法键值；所有终端须已安装有最新的所有微软严重补丁。

22.请至少列举六个桌面安全管理的需要覆盖的功能需求点：中

资产管理，补丁管理，软件分发，安全配置管理，桌面防火墙管理，桌面防病毒管理，桌面防间谍软件管理，远程控制，外设和数据防泄露管理，外联管理，网络准入控制管理，电源管理，报表管理。

23.简述桌面安全管理系统电源管理具体内容。中

查看计算机节电设置的详细分类信息，包括休眠，待机，硬盘和显示器关闭设置；以及能够查看电量消耗汇总摘要：晚上多少台计算机关机，多少台计算机在周末仍旧开机，计算机开机天数等。实现有效的电源管理，如关闭或重启大批量计算机；调整所有计算机的节电设置以优化用电等，可以为企业节省成本开支

24.简述常规远程控制软件和木马软件的相同点和不同点。中

a) 常规远程控制软件和木马都是用一个客户端通过网络来控制服务端，控制端可以是WEB，也可以是手机，或者电脑，可以说控制端植入哪里，哪里就可以成为客户端，服务端也同样如此；

b) 常规远程控制软件和木马都可以进行远程资源管理，比如文件上传下载修改；

c) 常规远程控制软件和木马都可以进行远程屏幕监控，键盘记录，进程和窗口查看。

常规远程控制软件和木马区别：

a) 木马有破坏性：比如DDOS攻击、下载者功能、格式化硬盘、肉鸡和代理功能；

b) 木马有隐蔽性：木马最显著的特征就是隐蔽性，也就是服务端是隐藏的，并不在被控者桌面显示，不被被控者察觉，这样一来无疑增加了木马的危害性，也为木马窃取密码提供了方便之门。

25.简述SSL协议VPN握手及数据传输的过程。难

a) 客户端：hello消息，发起握手

b) 服务器端：回应握手，确定算法

c) 服务器端：服务器发放自己的证书，证明身份

d) 客户端：客户端从证书中获得公钥

e) 客户端：客户端产生新消息，并用公钥加密后发送

f) 服务器端：服务器用私钥解密后获得明文消息

g) 至此，会话密钥协商成功，双方进行安全通信。

26.列举SSL协议VPN的优势。中

1) 使用标准浏览器的SSL模块，无需专用客户端软件；

2) 应用数据均通过SSL协议传输；

3) 可以结合PKI/CA的身份认证机制；

4) 全面支持B/S应用；

5) 通过动态下载插件支持C/S应用；

6) 接入不受限制；

7) 细粒度的访问控制；

8) 应用交互能力；

9) 低廉的TCO(Total Cost of Ownership,总拥有成本）

,