求计算机网络安全教程 课后答案(石志国的)
第1章 一、选择题
1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术 是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题
1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。
2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。
4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题
1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全:
(1)物理安全 特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全 特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统 特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。
(4)联网安全 特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 第2章 一、选择题
1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。
2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用 UDP协议。 二、填空题
1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。
2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了
第1章 一、选择题
1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术 是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题
1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。
2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。
4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题
1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全:
(1)物理安全 特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全 特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统 特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。
(4)联网安全 特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 第2章 一、选择题
1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。
2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用 UDP协议。 二、填空题
1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。
2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了
2
相对于OSI参考模型中的7层。
3. 目前E-mail服务使用的两个主要协议是 简单邮件传输协议和邮局协议。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过程的次数一起显示出来。
5. 使用“net user”指令查看计算机上的用户列表 三、简答题
2. 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防御。 答:
第4章 一、选择题
1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
2. 对非连续端口进行的,并且源地址不一致、时间间隔长而没有规律的扫描,称之为慢速扫描。 二、填空题
1. 扫描方式可以分成两大类:慢速扫描和乱序扫描。
2. 被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。
3. 一次成功的攻击,可以归纳成基本的五个步骤,但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”,分别为:隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身 三、简答题与程序设计题
2. 黑客在进攻的过程中需要经过哪些步骤?目的是什么? 答:(1)隐藏IP:IP隐藏使网络攻击难以被侦破。(2)踩点扫描:踩点是通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。(3)获得系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其控制,达到自己攻击的目的。(4)种植后门:为了保持长期对胜利胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。(5)在网络中隐身:清除登陆日志及其他相关的日志,防止管理员发现。
5. 扫描分成哪两类?每类有什么特点?可以使用哪些工具进行扫描、各有什么特点? 答:(1)网络扫描一般分为两种策略:一种是主动式策略;另外一种是被动式策略。
(2)被动式策略 特点:基于主机之上的,对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查,被动式扫描不会对系统造成破坏。工具及特点:GetNTUser:系统用户扫描;PortScan:开放端口扫描;Shed:共享目录扫描。
(3)主动式策略 特点:基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏。工具及特点:X-Scan-v2.3 :对指定IP地址段(单机)进行安全漏洞检测。 6. 网络监听技术的原理是什么?
答:原理:在局域网中与其他计算机进行数据交换时,数据包发往所有连在一起的主机,也就是广播,在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目的地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包,不能监听不同网段的计算
网络效应试题及答案
一、单选题(每题1分,共30题)
1、互联网的(C)可以使高层知晓真实的民意。
A、即时性
B、大数据
C、匿名性
D、无限性
2、(A)时代,即传统企业的互联网化,主要以消费品企业电子商务、互联网化。
A、“互联网+企业”
B、“互联网+产业”时代
C、“互联网+智慧”时代
D、“互联网+金融”时代
3、在生产领域,互联网使小众商品的生产变得(D)。(本题分数:2 分)
A、复杂且昂贵
B、简便且昂贵
C、复杂且廉价
D、简便且廉价
4、平稳转型,提质增效升级,创新驱动发展取得重要成果是指“互联网+”行动计划的(A)目标。
A、转型与发展
B、连接
C、生态
D、民生
5、出现互联网以后,许多青少年出于各种各样的原因和目的在网上非法攻击别人的主机。他们往往被称作黑客。其中许多人越陷越深,走上了犯罪的道路。这说明(C)。
A、互联网上可以放任自流
B、互联网上没有道德可言
C、在互联网上也需要进行道德教育
D、互联网无法控制非法行动
6、传统的医疗机构由于互联网平台的接入,使得人们实现在线求医问药成为可能,属于“互联网”+ (C) 。
A、电子商务
B、人工智能
C、普惠金融
D、益民服务
7、互联网使一些国家的家庭文化更加美英化,使这些国家的孩子( C )。
A、越来越依赖于家庭供养
B、更加愿意从事与父母相同的职业
C、越来越爱争论
D、更加谦逊、恭顺、关注生活质量
8、互联网使一些国家的教育文化更加美英化,使这些国家的教师(A)。
A、不再为每堂课安排具体的教学目标
B、更加严格地控制教学时间
C、更加倾向于告诉学生独一无二的真理
D、不再向学生家长征求教学意见
9、受教育的(B)公平,即“上学好”,人人都有得到好的教育后产生好的效果的公平。
A、机会
B、质量
C、时间
D、效果
10、(A)摆在国家发展全局的核心位置。
A、科技创新
B、政治改革
C、经济改革
D、文化改革
11、互联网中的(B)可以使高层精准地掌握民意。
A、举报热线
B、大数据
C、网民评论
D、翻译软件
12、在(A)召开的十二届全国人大三次会议上,李总理在工作报告中首次提出“互联网+”行动计划。
A、2015年3月5日
B、2015年7月1日
C、2012年3月15日
D、2015年7月11日
13、 “互联网+”发展起来之后,网络在配置资源中将发挥(D)作用。
A、主导性
B、决定性
C、驱动
D、协同
14、2015年3月,在全国中华人民共和国全国人民代表大会和中国人民政治协商会议上,全国人大代表(B)提交了《关于以“互联网+”为驱动,推 进我国经济社会创新发展的建议》的议案,表达了对经济社会创新的建议和看法。
A、马云
B、马化腾
C、刘强东
D、王石
15、网络中的侵犯行为是指有意伤害别人且不为社会规范所允许的行为,以下网民的行为中属于侵犯行为的是(B)。
A、和别人亲密地打招呼
B、截取他人的电子邮件
C、帮助他人出点子
D、在他人允许的情况下,帮助其修改文章
16、脸谱与推x网站主要在( A)层面打开了文化潮流多样化的闸门。
A、社会交往
B、基础知识
C、音乐影视
D、文学艺术
17、传统企业互联网化大致经过四个阶段,其中(A)层面的互联网化,是指通过互联网工具实现品牌展示、产品宣传等功能。
A、传播
B、渠道
C、供应链
D、互联网思维
18、腾讯宣布与( A)政府合作打造“智慧城市”。
A、河南省、重庆市和上海市
B、河南省、重庆市和广州市
C、河北省、重庆市和上海市
D、河南省、天津市和上海市
19、(D)年3月,国美在自身平台的基础上完整收购了库巴网,并同时与当当网进行合作,实现线上线下的融合,开创了互联网时代中国传统零售业的崭新模式。
A、2001
B、2006
C、2010
D、2012
20、以“宁滥勿缺”的思维去利用(B)的大数据,才能挖掘出与众不同的利润“金矿”。
A、精确性高或非结构化
B、精确性低或非结构化
C、精确性高或结构化
D、精确性低或结构化
21、到(B)年,互联网与经济社会各领域的融合发展进一步深化,基于互联网的`新业态成为新的经济增长动力。
A、2025
B、2018
C、2020
D、2019
22、2015年12月16日,第(B)届世界互联网大会在浙江乌镇开幕。
A、一
B、二
C、三
D、四
23、互联网商业化始于(A)年。
A、1995
B、1996
C、1999
D、2000
24、维基百科网站主要在(B)层面构筑了文化大厦多样化的地基。(本题分数:2 分)存疑
A、 社会交往
B、基础知识
C、音乐影视
D、文学艺术
25、“互联网+”的本质是传统产业的(B)。
A、信息化
B、在线化
C、现代化
D、工业化
26、(A)在2014年度国家科学技术奖励大会上发言时强调:“要营造鼓励探索、宽容失败和尊重个性、尊重创造的环境,使创新成为一种价值导向、一种生活方式、一种时代气息,形成浓郁的创新文化氛围。”
A、李总理
B、主席
C、王XX
D、刘延东
27、(A)认为,互联网企业从事金融业务的行为称为互联网金融,而传统金融机构利用互联网开展的业务称为金融互联网。
A、马云
B、马化腾
C、刘强东
D、谢平
28、截至2016年12月,我国网民人数约为(C)。
A、3000万
B、2亿
C、7.31亿
D、10亿
29、互联网的(A)可以使高层知晓个性化的民意。
A、无限性
B、即时性
C、匿名性
D、便利性
30、 1997年之前是(A)。
A、信息时代
B、纯互联网时代
C、传统企业互联网时代
D、互联网+时代
二、多选题(每题2分,共20题)
31、学者们把教育公平分为三个层次,这三个层次是(ABC)。
A、受教育的机会公平
B、受教育的质量公平
C、受教育的效果公平
D、受教育的时间公平
32、互联网形成了独有的网络伦理文化特征,具有(ABCD)等特点。
A、虚拟性
B、匿名性
C、快捷性
D、开放性
33、下列属于捐赠式众筹的特点的是(ACD)
A、投资者没有回报,或者获得纪念
B、投资者没有回报,或者获得纪念
C、一般对投资者有一定门槛要求
D、投资者没有回报,或者获得纪念
34、下列关于社会化思维,说法正确的是(ABCD)
A、社会化思维即是利用社会化媒体,口碑营销
B、利用社会化网络,众包协作
C、众包是以“蜂群思维”和层级架构为核心的互联网协作模式,意味着群体创造,不同于外包、威客,更强调协作
D、小米手机的产品研发,让用户深度参与,实际上也是一种众包模式
35、网络中的美英文化浪潮给世界文化带来了哪些改变(ABCD)。
A、从威权主义走向“平等独立”
B、从集体主义走向个人主义
C、从女性气质走向男子气概
D、从回避不确定性走向容忍不确定性
36、下列选项中,属于新型农产品流通模式的作用与意义的有(ABD)
A、提高流通效率,节约社会成本
B、改变农民弱势地位,提高农民收入
C、提升农产品质量
D、提高农业生产市场化程度,促进现代化农业服务体系的发展
37、“互联网+”行动计划战略目标包括(ABCD)
A、平稳转型,提质增效升级,创新驱动发展取得重
B、大力推动移动互联网、云计算、大数据、物联网建设,整体连接指数大幅提高
C、让移动互联网、云计算、大数据、物联网等成为生态的基础,让连接更通畅
D、以人为本,创新发现与放大人的价值;通过互联网融入生活,提供更加优质、高效的公共服务。
38、当前中国教育面临的主要问题有(ABC)
A、教育不公
B、创新不足、脱离现实
C、难以达到终身教育
D、义务教育仍然未普及
39、“互联网+”将从以下(ABC)方面,产生结构转型的效应。
A、经济结构优化
B、业态结构优化
C、市场结构优化
D、政治结构
40、21世纪以来兴起的网络技术新应用与20世纪90年代的网站有何不同之处(AC )。
A、前者提供上传平台,后者提供信息内容
B、前者提供信息内容,后者提供上传平台
C、前者有助于文化多样化,后者有助于文化美英化
D、前者有助于文化美英化,后者有助于文化多样化
41、互联网+”行动计划应该坚持的原则有(ABC)
A、开放引领
B、跨界融合
C、服务创新
D、听从党的领导
42、大数据时代的思维观念有(BCD)。
A、要从相关关系走向因果关系
B、要从宁缺毋滥走向“宁滥毋缺”
C、要从因果关系走向相关关系
D、要从一数一用走向一数多用
43、下列说法正确的是(BCD)
A、消费互联网激发了用户的各项消费需求,在消费经济从短缺步入过剩时代
B、在过剩或过度消费时代,将步入生产标准化产品的时代
C、互联网逐渐向尊重人性的方向发展,实现人性的回归
D、人类的需求将逐渐向个性化方向发展,而定制化则是个性化的实现手段
44、下列属于“鼓励学校探索网络化教育新模式”的是(ABCD)
A、面向各级各类教育教学需求,建设特色鲜明、内容丰富的优质数字化教育资源
B、加强校际交流合作,建设优质数字化教育资源和成果共享平台,实现区域内优质教育资源开放共享
C、发展现代远程教育和网络教育
D、推动数字化教育教学,鼓励和支持有条件的中小学校依托互联网教育平台开展翻转课堂等新型教育方式
45、下列关于“互联网+”带来的新业态,说法正确的是(ABC)
A、实质要求在信息生产力基础上转变产业发展方式
B、把生产力引入生产方式的转变中,为发展方式、增长方式转变提供口号之外的实实在在的基础
C、互联网+”要产生实效,需要通过创新,降低多样性成本以支持提价竞争
D、转变发展方式、增长方式,只需转变生产关系即可
46、下列关于农业产业化和服务化的说法,正确的是(BCD)
A、农业产业化的本质是“工业化+农业”
B、以服务化带动产业化,以产业化促进服务化,实现融合发展
C、中国“互联网+农业”之路,应是工业化与信息化两次现代化的统一
D、服务化要比产业化效率更高,比产业化马力更强
47、下列选项中,属于“互联网+”助力农产品质量安全保障行动的有(CD)
A、加强新型职业农民培育教育培训体系建设
B、积极推动智慧农民云平台建设
C、推进农产品质量安全管控全程信息化,提高农产品监管水平
D、积极推动农产品风险评估预警,加强农产品质量安全应急处理能力建设
48、产业互联网时代里的三大变革包括(BCD)
A、“互联网+”时代下的生产制造变革
B、“互联网+”时代下的消费方式变革
C、“互联网+”时代下的物流体系变革
D、“互联网+”时代下的融资体系变革
49、在举行“互联网+”的论坛上,中国互联网发展基金会联合(ABC)共同发起倡议,成立“中国互联网+联盟”。
A、百度
B、阿里巴巴
C、腾讯
D、360
50、下列选项,正确的是(ABCD)
A、2012年11月于杨在易观第五届移动互联网博览会上首先提出了“互联网+”概念
B、2013年阿里巴巴投资多个行业,收购多个领域相关公司,意在逐渐形成自己全球化的生态商圈,形成产业互联网化
C、2014年10月,首届“世界互联网大会”在浙江乌镇举办。
D、2014年10月,首届“世界互联网大会”在浙江乌镇举办。
三、判断题(每题1分,共30题)
51、随着互联网中的专业知识存量越来越多,人们要成为某一专业的人才变得越来越难。错误
52、互联网教育下学习者会以固定的需要学习的知识为核心进行深入思考挖掘和反复练习。错误
53、2011年中东北非地区出现大规模动乱,网络技术新应用起到了推波助澜的作用。正确
54、互联网给其他产业带来冲击是必然的,但是是可逆的。错误
55、互联网提高了大数据收集、汇总与分析的成本。错误
56、 消费互联网造成的消费过剩时代即将终结,取而代之的是满足消费者个性化需求与 参与感的时代。正确
57、在生产领域,电脑和互联网使小众商品的生产变得既复杂又昂贵。错误
58、2010年,微软公司指出了未来技术领域最热门3个专业,它们都是以统计学为基础的。正确
59、主席在2014年《工作报告》中首次提出“互联网金融”的概念。正确
60、互联网打破了固有的边界,减弱了信息不对称性。信息的民主化、参与的民主化、 创造的民主化盛行,个性化、x丝精神、x丝思维越来越流行。正确
61、如果别人抢在前面采用了免费策略,那么就只能仿效或者是通过高品质来压倒价格差异。正确
62、与不使用数据进行决策的公司相比,依赖数据进行决策的公司的生产率要更低一些。正确
63、尽量不要成为行业内第一家采取免费策略的企业。错误
64、在使用老数据做决策时,需要考虑折旧率的问题。正确
65、产业互联网与传统企业融合中的最大特点是,将原有以企业为导向的规模型设计转 向以用户为导向的个性化设计。正确
66、在网络时代,所有小众商品一旦集合起来,就可以创造一个可观的大市场。正确
67、在维基百科的崛起中,基恩发现业余“编辑”的涌现提高了科普文化产品的整体品质。正确
68、生产商真正免费提供数字产品的必要条件是数字产品的生产与销售成本几乎降到零点 正确
69、互联网的无限性将使高层认识到个性化民意与公益力量的海量存在。正确
70、只有大企业才能承担得起大数据分析的成本,而个人根本无法实现大数据掘金。错误
71、 老师之间的差异导致的教学质量上的差别是造成受教育质量的不公平的最根本原 因。错误
72、在博客的世界中,基恩发现业余“记者”的涌现提升了新闻文化产品的整体品质。错误
73、互联网思维中最重要的就是大数据思维。错误
74、农业产业化的本质是“信息化+农业”,“互联网+农业”的本质是“工业化+农业”。正确
75、打击盗版的最佳方式是免费赠送正版产品,同时出售衍生产品。正确
76、在众筹网站上,成功的前期筹资也相当于成功的广告宣传。正确
77、作为一个信息交互平台,互联网逐渐形成了自身的文化属性。正确
78、实体产品生产商应借助免费赠送核心产品来吸引消费者购买其他产品。正确
79、在消费互联网时代,互联网深入产品的生产环节、研发环节,改造的是整个产业链条。错误
80、企业要放松对廉价资源的管理,使更多的创意能够付诸实施,从而更多地开发出相对匮乏的商品。正确
拓展阅读:专业技术人员网络效应测试题
一.判断
企业在着手通过网络游戏外包工作前,还需对这一外包策略进行风险、成本与收益分析。( )
正确
传统的远程外包主体多是个人,而未来的远程外包主体将多为大企业。( ) 错误
在互联网普及之前,个体要将发明推向市场是非常容易的。( )
错误
网络远程外包只能应用于服务业,无法应用于传统制造业。( )
错误
在众筹网站上,成功的前期筹资也相当于成功的广告宣传。( )
正确
在网络时代,所有小众商品一旦集合起来,就可以创造一个可观的大市场。( ) 正确
“长尾现象”起源于19世纪末的邮购分类目录、仓储式超市、800免费电话等供应链管理创新。( )
错误
在生产领域,电脑和互联网使小众商品的生产变得既复杂又昂贵。( )
错误
只有在大批量生产时,3D打印成本才可能低于模具生产成本。( )
错误
电脑智能技术已经使大规模生产小众商品成为了可能。( )
正确
在网络时代,企业在专注小众商品市场的同时,还应兼顾大众商品市场。( ) 正确
免费商业模式是互联网时代的产物。( )
错误
生产商真正免费提供数字产品的必要条件是数字产品的生产与销售成本几乎降到零点 )
正确
在“免费加收费模式”中,免费用户的比例必须要高于付费用户的比例。( ) 错误
在“直接交叉补贴”中,免费产品的数量必须要少于付费产品的数量。( )
错误
“免费加收费模式”的免费产品是数字产品,只有固定成本,没有变动成本。( ) 正确
“直接交叉补贴”的免费产品属于实体产品,它们既有固定成本,也有变动成本。( )正确
“非货币市场”产生于数字经济时代。( )
错误
四种免费商业模式的分类方法并不完美,有时也存在特例和交叉的情况。( ) 正确
坚持以“免费加收费模式”为主打的企业无法抵御住经济危机的冲击。( )
错误 ( )
打击盗版的最佳方式是免费赠送正版产品,同时出售衍生产品。( )
正确
实体产品生产商应借助免费赠送核心产品来吸引消费者购买其他产品。( )
正确
尽量不要成为行业内第一家采取免费策略的企业。( )
错误
如果别人抢在前面采用了免费策略,那么就只能仿效或者是通过高品质来压倒价格差异。( )
正确
企业要放松对廉价资源的管理,使更多的创意能够付诸实施,从而更多地开发出相对匮乏的商品。( )
正确
互联网提高了大数据收集、汇总与分析的成本。( )
错误
只有大企业才能承担得起大数据分析的成本,而个人根本无法实现大数据掘金。( ) 错误
找不到因果关系的相关关系无法带来收益。( )
错误
在试错代价很高的领域,应该谨慎对待新发现的相关关系,不能在因果关系尚不明确的情况下,轻率地将相关关系应用于实践。( )
正确
在使用老数据做决策时,需要考虑折旧率的问题。( )
正确
21世纪以来兴起的维基百科、脸谱、推特、微博、微信等网络技术新应用使得以往美英文化独大的网络空间开始变得更加多样化。( )
正确
如果说推特是一个防御型的文化保护工具,那么脸谱则更像是一个外扩型的文化传播工具。( )
错误
在维基百科的崛起中,基恩发现业余“编辑”的涌现提高了科普文化产品的整体品质。( )
错误
在博客的世界中,基恩发现业余“记者”的涌现提升了新闻文化产品的整体品质。( ) 错误
在播客的喧嚣中,基恩发现播主们所上传的影音视频提高了影音文化产品的整体品质。( )
错误
随着互联网中的专业知识存量越来越多,人们要成为某一专业的人才变得越来越难。( ) 错误
由于具有数学天赋的人才在全球范围内是非常有限的,所以说数学人才几乎不会受到网络远程外包的冲击。( )
正确
与不使用数据进行决策的公司相比,依赖数据进行决策的公司的生产率要更低一些。( ) 错误
深夜造访打一网络安全术语
黑客。
黑客原是指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但后来,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或者恶作剧的家伙。
预防黑客入侵的方法有企业防范措施和个人防范措施。
1、企业防范措施:(1)用高科技方法。常用的方法有两种,一是公开密钥密码与数字签名相结合,另一种是采用防火墙技术;(2)将电子邮件资料和网址划分等级;(3)注意对对操作系统的参数进行设置,因为参数设为默认值往往会成为黑客入侵的突破口。
2、个人防范措施:(1)时常要注意帐户和密码是否安全;(2)发现问题后要及时更改密码,并要经常更换;(3)对匿名邮件要采用在信箱上安装过滤器,滤去它。
题目: 威胁网络安全的因素主要有__、__和__。
1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和"后门":网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的"后门"都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦"后门"洞开,其造成的后果将不堪设想。
求答案!!急急急!什么是黑客?黑客攻击一般采用的过程是什么?试论述如何预防和保护免受黑客的攻击与破坏
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。美国大片《黑(骇)客帝国》的热映,使得黑客文化得到了广泛的传播,也许很多人会觉得黑客一词是用来形容那些专门利用电脑搞破坏或恶作剧的家伙,而对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。不管是叫黑客还是骇客,他们根本的区别是:黑客们建设、维护,而骇客们入侵、破坏。
目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。
网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备,从而确保网络运行的安全和可靠。
一、黑客攻击网络的一般过程
1、信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:
(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。
(2)SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后,黑客们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式如下:
(1)自编程序 对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么黒客就可以自己编写一段程序进入到该系统进行破坏。
(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。
二、协议欺骗攻击及其防范措施
1、源IP地址欺骗攻击
许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。
假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。
然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法 在包发送到 网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。
(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2、源路由欺骗攻击
在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
· 对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
· 在路由器上关闭源路由。用命令no ip source-route。
三、拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
为了防止拒绝服务攻击,我们可以采取以下的预防措施:
(1) 建议在该网段的路由器上做些配置的调整,这些调整包括限制Syn半开数据包的流量和个数。
(2)要防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。
(3)建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
(4)对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面的限制,控制其在一定的范围内。
总之,要彻底杜绝拒绝服务攻击,最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。惟一可行的方法是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。
四、其他网络攻击行为的防范措施
协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法,但随着网络技术的飞速发展,攻击行为千变万化,新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。
1、针对网络嗅探的防范措施
网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,以太网就是这样一个共享信道的网络,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。
对于网络嗅探攻击,我们可以采取以下措施进行防范:
(1)网络分段 一个网络段包括一组共享低层设备和线路的机器,如交换机,动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。
(2)加密 一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。
(3)一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。
(4)禁用杂错节点 安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅探。
2、缓冲区溢出攻击及其防范措施
缓冲区溢出攻击是属于系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。当然,随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序具有root权限的话,攻击者就可以对系统进行任意操作了。
缓冲区溢出对网络系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:
(1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。
(2)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。
(3)数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作,通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法:Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。
未来的竞争是信息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防措施,只有这样才能尽最大可能保证网络的安全。
(4)利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描,寻找安全方面的漏洞。
3、建立模拟环境,进行模拟攻击
根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。
4、具体实施网络攻击
入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。
·关于黑客
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个瞬鸥傻娜恕?/P
他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
软件评测师写作专栏之安全测试的基础知识26
各位学员大家好,大家在学习软件测试基础知识时,安全测试已经成了必不可少的一部分。为了让大家快速掌握这方面的知识点,接下来就带领大家一起来学习一下!
例题:以下不属于安全测试方法的是()
A、安全功能验证
B、安全漏洞扫描
C、大数据量测试
D、数据侦听
【昊洋详解】: 安全测试方法包括安全功能验证、安全漏洞扫描、模拟攻击实验和数据侦听。具体内容如下所示:
1 )、安全功能验证: 对软件需求中确定的有关安全模块的功能进行测试验证。例如权限管理模块,数据机密模块,传输加密模块,数据备份和恢复等模块一般都会有对应安全功能设置。安全功能验证的方法和一般程序测试类似,主要有以下三种:黑盒测试、白盒测试和灰盒测试。
2 )、安全漏洞扫描: 用漏洞扫描软件对信息系统和应用软件有针对性地对有关漏洞进行扫描,然后发现漏洞后做好有效防范后补救措施,也可以采取保护措施防止非法者利用已知漏洞进行攻击。常见的漏洞有:
拒绝服务(Dos)漏洞: 故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。
本地用户扩权漏洞: 本地普通级别用户利用程序漏洞非法拥有其他用户甚至超级用户的权限,从而使得系统遭到破坏。
远程用户扩权漏洞: 远程普通用户利用系统服务中的漏洞,未经授权就进入了系统访问,从而进行不可预知的破坏行为。
3 )、模拟攻击实验: 将自己假装成类似于黑客的非法入侵的攻击者,利用目前存在的系统漏洞和常用的攻击手段,对提交评测的系统进行开发环境或试用环境里的攻击,以发现安全问题。主要四种攻击技术为:
服务拒绝(Dos)型攻击: 企图通过使服务器崩溃的方式来阻止其提供服务,主要手段包括:死亡之ping,泪滴,UDP洪水,SYN洪水,Land攻击,Smurf攻击,Fraggle攻击,电子邮件炸弹和畸形消息攻击等。
漏洞木马型攻击: 主要是由于系统使用者粗心大意或者已知系统漏洞但未及时打补丁,又或者不小心安放了木马等原因导致的非法入侵行为,主要包括:口令猜测,特洛伊木马和缓冲区溢出3种方式;
信息收集类技术: 本身不会对目标服务器造成危害,收集大量有关系统的信息,为非法者非法入侵提供了便利,主要使用的技术有:扫描技术、体系结构刺探和利用信息服务3种。
伪装欺骗型攻击: 用于攻击目标配置不正确的消息,主要包括DNS高速缓存污染,伪造电子邮件,ARP欺骗和IP欺骗四种方式。
4 )、数据侦听: 也称为“网络监听”,用于获取在网络上传输的信息,但这些信息不是发给自己的。网络侦听技术可以有效地管理网络,针对网络问题和检查网络的安全威胁。如果侦听技术工具被非法用户利用,也可能成为入侵者的入侵手段。
本题中的C选项大数据量测试是一种负载压力测试方法,不属于安全测试的范畴,故该题目的正确答案为C。
巩固练习题
(1)以下不属于安全防护策略的是( )
A、入侵检测
B、隔离防护
C、安全测试
D、漏洞扫描
(2)安全日志是软件产品的一种被动防范措施,是系统重要的安全功能,因此安全日志测试是软件系统安全性测试的重要内容,下列不属于安全日志测试基本测试内容的是()
A、对安全日志的完整性进行测试,测试安全日志中是否记录包括用户登录名称、时间、地址、数据操作行为以及退出时间等全部内容
B、对安全日志的正确性进行测试,测试安全日志中记录的用户登录、数据操作等日志信息是否正确
C、对日志信息的保密性进行测试:测试安全日志中的日志信息是否加密存储,加密强度是否充分
D、对于大型应用软件系统:测试系统是否提供安全日志的统计分析能力
(3)用户口令测试应考虑的测试点包括( )。
①口令时效 ②口令长度③口令复杂度 ④口令锁定
A、①③④
B、②③④
C、①②③
D、①②③④
练习题参考答案
(1)解析: 本题考查信息安全和安全测试的基础知识。
信息安全防护策略 包括入侵检测、隔离防护、安全日志和漏洞扫描四种。具体内容如下所示:
1 )、入侵检测: 是一种主动的网格防护措施,从系统内部或各种网络资源中主动采取信息,从中分析可能的网络入侵或攻击,通常IDS还应对入侵行为做出紧急响应。
2 )、隔离防护: 是将系统中的安全部分和非安全部分进行隔离的措施,主要技术手段有防火墙和隔离网闸等,其中防火墙主要用于内网和外网的逻辑隔离;而隔离网闸主要用于实现内网和外网的物理隔离。
3 )、安全日志: 用于记录非法用户的登录名称、操作时间等内容信息。以便发现问题并提出解决措施。安全日志仅记录相关信息,不对非法行为做出主动反应,属于被动防护策略。
4 )、漏洞扫描: 对软件系统及网络系统进行与安全相关的检测,找出安全隐患和可能被黑客利用的漏洞。
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,不属于安全防护策略的范畴。故该题目的正确答案为C。
(2)解析: 本题考查安全测试中安全日志测试的基础知识。
安全日志 用于记录非法用户的登录名称、操作时间等内容信息。以便发现问题并提出解决措施。安全日志仅记录相关信息,不对非法行为做出主动反应,属于被动防护策略。
系统安全日志在每次开关机、运行程序、系统报错时,这些信息都会被记录下来,保存在日志文件中。但是日志本身是不需要加密存储的,故该题目的正确答案为C。
(3)解析: 本题考查安全测试中用户口令测试的基础知识。
web系统容易受到攻击,一般会对用户名/口令(密码)机制进行认证。对口令认证机制测试应包含的基本测试点如下所示:
1)、对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
2)、对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。因此本题①②③④都属于用户口令安全保护相关的内容。
故该题目的正确答案为:D。
写于2020年10月19日
0条大神的评论