信息安全管理试题4-6讲.docVIP

第3章 系统与网络安全 选择题 1.下列关于TCP 的特点说法正确的是：（） TCP提供一种可靠的字符流服务。 TCP服务通过三次握手实现。 由于TCP是一种可靠的服务，所以理想的网络连接应该都是基于TCP协议。 TCP提供面向连接的服务。 2.下列关于IP层安全机制说法正确的是：（ ） A.不提供数据完整性保护 B.不提供抗抵赖服务 C.不保证可用性— 服务质量（QoS） D.可以提供基于IP地址的认证，和访问控制 3.下列关于有害程序的危害说法正确的是：（ ） A.篡改地址栏文字 B.格式化硬盘 C.默认主页修改 D.IE窗口定时弹出 4.下列有害程序的传播与感染方式说法正确的是：（ ） A.通过文件共享传播 B.通过系统漏洞传播 C.利用电子邮件传播 D.在内存中传播 5.下列关于基于网络的入侵检测系统说法不正确的是：（ ） A.可以提供实时的网络监测行为 B.可以处理加密后的数据 C.可以同时保护多台网络主机 D.影响被保护主机的性能 6.下列关于防火墙的主要功能包括：（ ） A.访问控制 B.内容控制 C.数据加密 D.查杀病毒 判断题 1.采取防火墙的过滤措施能防止IP源路由欺骗。 （ ） 2.DNS对于自己无法解析的域名将会直接拒绝服务。 （ ） 3.有害程序可以利用系统漏洞进行传播。 （ ） 4.灰鸽子程序可以通过系统漏洞自动进行传播。 （ ） 5.IPSec协议的AH头和ESP头可以单独或组合使用。 （ ） 6.基于主机的入侵检测系统不能检测到没有明显行为特征的入侵。 （ ） 简答题 1.简述TCP三次握手的过程及可能遭受的攻击 2.简述ARP欺骗的防范方法 3.简述CIH病毒特征 4.简述防火墙的局限性 思考题 1.试述有害程序防范技术 2.试述DNS欺骗过程及局限性  第3章 系统与网络安全-参考答案 选择题 D A,B,C A,B,C,D A,B,C,D B,D A,B 判断题 Y N Y N Y N 简答题 1. 答： 三步握手的过程： ? 第一步：发起方发送一个消息，其SYN位被设置； ? 第二步：响应方收到消息后，发回一个消息，SYN和ACK位均被设置，表示可以继续； ? 第三步：确认响应，ACK位被设置，表示双方均同意连接，连接建立。 可能遭受的攻击： LAND攻击 TCP会话劫持 SYN Flood攻击 2. 答： 认证：确保线路上已授权的机器使用自身的MAC地址，现在很多交换机可以配置MAC地址和端口的映射 检测：检测此类攻击的工具，例如ARPWatch，监视局域网内所有MAC地址和IP地址的映射对，一旦有改变将产生告警或日志 3. 答： 属文件型病毒 使用面向Windows的VxD技术编制 主要感染Windows 95/98下的可执行文件 在DOS、Windows3.X及Windows NT中无效 其实时性和隐蔽性都特别强 4. 答： 防火墙不能防范不经防火墙的攻击 防火墙不能防止感染了病毒的软件传播 防火墙不能防范内部攻击 端到端加密可以绕开防火墙 防火墙不能提供细粒度的访问控制 思考题 1. 答： a)恶意代码特征扫描 通过对已知恶意代码特征的精确定义，使用“签名字符串”在系统中搜索已知的恶意代码。恶意代码特征扫描器的运行必须依靠大量的已知恶意代码代码的特征库。 b)完整性检验 通过检测程序或者其他可执行文件是否被更改来判断这些程序是否被感染。 （1）系统数据对比 硬盘主引导扇区、软盘的引导扇区、DOS分区引导扇区 FAT表、中断向量表、设备驱动程序头（主要是块设备驱动程序头 （2）文件完整性校验 c)启发式扫描 手动分析病毒方法的延伸：通过识别可疑的程序指令实现病毒特性的检测，比如： 格式化磁盘类操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作和发现非常的 未公开的系统功能调用的操作 d)行为阻断 全方位的行为监控：通过所有可能的异常行为（文件读写、文件读写、注册读写、进程访问、网络访问等）进行病毒判断，适合于Windows等系统。 2. 答： （1）入侵者先向B（DNS服务器）提交查询的IP地址的请求 （2）B向外递交查询请求 （3）入侵者立即伪造一个应答包，告诉的IP地址是4（往往是入侵者的IP地址） （4）查询应答被B（DNS服务器）记录到缓存中 （5）当A向B提交查询的IP地址请求时，B将4告诉A DNS欺骗的局限性： （1）入侵者不能替换DNS缓存中已经存在的记录。 （2）缓存中的记录具有一定的生存期，过期就会被刷新。 知识点索引 TCPIP原理 TCPIP安全威胁 DDoS攻击 计算机病毒 计算机木马 蠕虫 恶意脚本 系统漏洞 有害程序防范