《网络信息安全技术》复习提纲 - 图文

更新时间:2024-04-15 02:06:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

《网络信息安全技术》复习提纲

《网络信息安全技术》复习提纲

一、名词解释

密码体制 ECB/CBC/CFB/OFB 数字签名 HASH函数 MD5 SHA1 AES MAC码 安全域 安全策略 授权 鉴别认证 PKCS CC 对称密码 公钥密码 密钥管理 数字证书 CRL PKI PMI CPS CA/RA OCSP PKIX 交叉认证 时间戳 HTTPS IPSEC PGP 病毒 入侵检测 重放攻击 防火墙 ...

二、填空题

1. 目前,典型的网络结构通常是由一个主干网和若干段子网组成,主干网与子网之间通常选用 路由器 进行连接。

2. 以太网的介质访问控制方式是:_载波监听多路访问/冲突检测(CSMA/CD) ______。

3. 计算机网络安全受到的威胁主要有:__黑客的攻击_____、__计算机病毒_____和_拒绝服务访问攻击_____。

4. 设置信息包筛的最常用的位置是 路由器 ,信息包筛可以审查网络通信并决定是否允许该信息通过。

5. 选择性访问控制不同于强制性访问控制。强制性访问控制是从__ B1____级的安全级别开始出现。

6. 对一个用户的认证,其认证方式可分为三类:_用生物识别技术进行鉴鉴别_____。

7. 对数据库构成的威胁主要有: 篡改 、 损坏 和__窃取 。 8. 检测计算机病毒中,检测的原理主要是基于四种方法: 比较法 、 搜索法 、计算机病毒特征字的识别法和分析法。

9. 基于密钥的加密算法通常有两类,即 对称算法 和 公用密钥算法 。

10. 因特网的许多事故的起源是因为使用了薄弱的、静态的口令。因特网上的口令可以通过许多方法破译,其中最常用的两种方法是 把加密的口令解密 和 通过监视信道窃取口令 。

11. 存储子系统是网络系统中最易发生故障的部分,实现存储系统冗余的

第 1 页 共 32 页

别_____、_用所知道的事进行鉴别_______和_使用用户拥有的物品进行

《网络信息安全技术》复习提纲

最为流行的几种方法是 磁盘镜像 、 磁盘双联 和 RAID 。

12. 依靠伪装发动攻击的技术有两种,一种是 源地址伪装 ,另一种是 途中人的攻击 。

13. 证书有两种常用的方法:CA的分级系统和_信任网____。

14. 网络安全的特征应具有 保密性 、 完整性 、 可用性 和 可控性 四个方面的特征。

15. 网络信息安全模型中 政策、法律、法规 是安全的基石,它是建立安全管理的标准和方法。

16. 再生机制(或自我复制机制) 是判断是不是计算机病毒的最重要的依据。

17. 解决IP欺骗技术的最好方法是: 安装过滤路由器 。 18. 防火墙有 双重宿主主机 、 主机过滤 和 子网过滤 三种体系结构。

19. 在包过滤系统中,常用的方法有依据 地址 和 服务 进行过滤。

20. 黑客攻击的三个阶段是: 收集信息 、 探测系统安全弱点 和 网络攻击 。

21. 堡垒主机目前一般有三种类型:无路由双宿主主机, 牺牲主机 ,内部堡垒主机。

22. 包过滤系统不能识别 数据包中的用户信息 ,同样包过滤系统也不能识别 数据包中的文件信息 。

23. Unix和Windows NT操作系统能够达到 C2 安全级别。 24. 《中华人民共和国计算机信息安全保护条例》中定义的“编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”是指 计算机病毒 。

25. 从逻辑上讲,防火墙是分离器、_限制器_______和__分析器____。 26. 数据库系统对付故障有两种办法:一是尽可能提高系统的可靠性,另一种办法是在系统出故障后,_把数据库恢复至原来的状态__。

27. 网络监听 本来是为了管理网络,监视网络的状态和数据流动情况,但是由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法。

28. 若包过滤系统中没有任何一条规则与该包对应,那就将它拒绝,这就是 隐含默认“拒绝”原则 。

29. 和Windows NT基于对象的访问控制不同,Unix系统的资源访问控制是基于 文件 的。

30. 通常,简单的防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为 堡垒主机 。

31. 设计和建立堡垒主机的基本原则有两条:__最简化原则____和__预防第 2 页 共 32 页

《网络信息安全技术》复习提纲

原则____。

32. 恢复技术大致分为: 纯以备份为基础的恢复技术 ,__以备份和运行日志为基础的恢复技术_和 基于多备份的恢复技术 等三种。

33. 将一台具有两个以上网络接口的机器配置成在这两个接口间无路由的功能,需进行两个操作:__关闭所有可能使该机器成为路由器的程序___;__关闭IP向导__。

34. 身份认证是基于 加密 技术的,它的作用就是用来确定用户是否是真实的。

35. 代理服务 是运行在防火墙上的一些特定的应用程序或者服务程序。

36. 包过滤技术依据包的 目的地址 、 源地址 和 传送协议 ,允许或禁止包在网络上的传递。

37. 容错 是指当系统出现某些指定的硬件或软件错误时,系统仍能执行规定的一组程序,或者说程序不会因系统中的故障而中断或被修改,并且执行结果也不包含系统中故障所引起的差错。

38. 在包过滤系统中,最简单的方法是依据 地址 进行过滤。 39. 内部网需要防范的三种攻击有 间谍 、 盗窃 和 破坏系统 。 40. 制订包过滤规则时应注意的两个事项有:联机编辑过滤规则; 要用IP地址值,而不用主机名 。

41. NTFS 文件系统是一种安全的文件系统,因为它支持文件访问控制,人们可以设置文件和目录的访问权限,控制谁可以使用这个文件,以及如何使用这个文件。

42. 摘要算法 从给定的文本块中产生一个数字签名,数据签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容。

43. 除提供机密性外,密码学通常还有其他作用,如 鉴别、 完整性 、 抗抵赖。

三、单选题

1.目前,流行的局域网主要有三种,其中不包括:( D )。

A.以太网; B.令牌环网; C.FDDI(光纤分布式数据接口); D.ATM(异步传输模式)。

2.解决IP欺骗技术的最好方法是安装过滤路由器,在该路由器的过滤规则中,正确的是:( C )

A.允许包含内部网络地址的数据包通过该路由器进入;

B.允许包含外部网络地址的数据包通过该路由器发出;

C.在发出的数据包中,应该过滤掉源地址与内部网络地址不同的数据包;

第 3 页 共 32 页

《网络信息安全技术》复习提纲

D.在发出的数据包中,允许源地址与内部网络地址不同的数据包通过。 3.在以下网络互连设备中,( D ) 通常是由软件来实现的。

A、中继器

C、路由器 准和方法。

A.政策,法律,法规;

B.授权;

C.加密; D.审计与监控 5.下列口令维护措施中,不合理的是:( B )

A.第一次进入系统就修改系统指定的口令; B.怕把口令忘记,将其记录在本子上;

C.去掉guest(客人)帐号; D.限制登录次数。

6.病毒扫描软件由( C )组成

A.仅由病毒代码库;

B.仅由利用代码库进行扫描的扫描程序; C.代码库和扫描程序

D.以上都不对

7.网络病毒是由因特网衍生出的新一代病毒,即Java及ActiveX病毒。由于( A ),因此不被人们察觉。 A.它不需要停留在硬盘中可以与传统病毒混杂在一起

B.它停留在硬盘中且可以与传统病毒混杂在一起

C.它不需要停留在硬盘中且不与传统病毒混杂在一起 D.它停留在硬盘中且不与传统病毒混杂在一起

8.用无病毒的DOS引导软盘启动计算机后,运行FDISK 用于( C )。 A.磁盘格式化

B.读取或重写软盘分区表 C.读取或重写硬盘分区表 D.仅是重写磁盘分区表 9.以下属于加密软件的是( C )

A.CA B.RSA C.PGP D.DES

10. 以下关于DES加密算法和IDEA加密算法的说法中错误的是:( D ) A. DES是一个分组加密算法,它以64位为分组对数据加密

B. IDEA是一种使用一个密钥对64位数据块进行加密的加密算法 C. DES和IDEA均为对称密钥加密算法

D. DES和IDEA均使用128位(16字节)密钥进行操作 11.以下关于公用/私有密钥加密技术的叙述中,正确的是:(C )

A.私有密钥加密的文件不能用公用密钥解密

第 4 页 共 32 页

B、网桥

D、网关

4.在网络信息安全模型中,( A )是安全的基石。它是建立安全管理的标

《网络信息安全技术》复习提纲

B.公用密钥加密的文件不能用私有密钥解密 C.公用密钥和私有密钥相互关联

D.公用密钥和私有密钥不相互关联 12.关于摘要函数,叙述不正确的是:( C )

A.输入任意大小的消息,输出是一个长度固定的摘要 B.输入消息中的任何变动都会对输出摘要产生影响 C.输入消息中的任何变动都不会对输出摘要产生影响

D.可以防止消息被改动

13.如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到( C )的信息流。

A.内部网络

C.这层网络(参数网络)

B.内部路由器 D.堡垒主机

14.下列不属于扫描工具的是:( D )

A.SATAN B.NSS

C.Strobe A.网关

D.NetSpy B.路由器

15.在网络上,为了监听效果最好,监听设备不应放在( C ) C.中继器 D.防火墙 16.在选购防火墙软件时,不应考虑的是:( B )

A. 一个好的防火墙应该是一个整体网络的保护者

B. 一个好的防火墙应该为使用者提供唯一的平台

C. 一个好的防火墙必须弥补其他操作系统的不足

D. 一个好的防火墙应能向使用者提供完善的售后服务 17.以下关于过滤路由器的叙述,错误的是:( D )

A. 过滤路由器比普通路由器承担更大的责任,是内部网络的保护系统

B. 如果过滤路由器的安全保护失败,内部网络将被暴露

C. 简单的过滤路由器不能修改任务

D. 过滤路由器不仅能容许或否认服务,而且也能够保护在一个服务之

内的单独操作 18.以下哪种特点是代理服务所具备的(A )

A. 代理服务允许用户“直接”访问因特网,对用户来讲是透明的

B. 代理服务能够弥补协议本身的缺陷 C. 所有服务都可以进行代理 D. 代理服务不适合于做日志

19.图一所示属于哪一种防火墙体系结构:( B )

A. 双重宿主主机体系结构

B. 主机过滤体系结构 C. 子网过滤体系结构

第 5 页 共 32 页

《网络信息安全技术》复习提纲

D. 使用双重宿主主机与子网过滤相结构的体系结构

20.关于堡垒主机的说法,错误的是:( B )

A.设计和构筑堡垒主机时应使堡垒主机尽可能简单

B.堡垒主机的速度应尽可能快

C.堡垒主机上应保留尽可能少的用户帐户,甚至禁用一切用户帐户 D.堡垒主机的操作系统可以选用UNIX系统

21.包过滤技术可以允许或不允许某些包在网络上传递,它过滤的判据不包括:( D )

A. 数据包的目的地址 B. 数据包的源地址

C. 数据包的传送协议

D. 数据包的具体内容

22.在堡垒主机上,我们需要关闭或保留一些服务,以下做法中哪个是错误的:( B )

A. 如果我们不需要该服务,则将它关闭

B. 如果我们不了解该服务的功能,可将其打开

C. 如果我们将该服务关闭后引起系统运行问题,则再将它打开 D. 应该保留一些让堡垒主机提供给内部网用户的服务,如:Telnet、FTP

服务 23.以下关于宏病毒的认识,哪个是错误的:(D )

A. 宏病毒是一种跨平台式的计算机病毒

B. “台湾1号”是一种宏病毒

C. 宏病毒是用Word Basic语言编写的

D. 在不同的Word版本格式中的宏病毒是互相兼容的,可以相互传播 24.包过滤系统不能够让我们进行以下哪种情况的操作:( C )

A. 不让任何用户从外部网用Telnet登录

B. 允许任何用户使用SMTP往内部网发电子邮件 C. 允许用户传送一些文件而不允许传送其他文件

第 6 页 共 32 页

图一

《网络信息安全技术》复习提纲

D. 只允许某台机器通过NNTP往内部网发新闻

25.宇宙飞船、卫星等控制系统一般采用容错系统中哪种类型:( B )

A.关键任务计算系统

C.高可用度系统

B.长寿命系统

D.高性能计算系统

26. 联网上网服务营业场所管理办法》规定的。

A.记录有关上网信息,记录备份保存60日; B.经营含有暴力内容的电脑游戏;

C.向未成年人开放的时间限于国家法定节假日每日8时至21时; D.有与营业规模相适应的专业技术人员和专业技术支持; 27. 在建立口令时最好要遵循的规则是 【D】 。

A.使用英文单词; B.选择容易记的口令; C.使用自己和家人的名字; D.尽量选择长的口令.

28. 病毒扫描软件由 【D】 组成

A.仅由病毒代码库; B.仅由利用代码库进行扫描的扫描程序;

C.仅由扫描程序 D.代码库和扫描程序 29. 在选购防火墙软件时,不应考虑的是: 【A】

E. 一个好的防火墙应该为使用者提供唯一的平台; F. 一个好的防火墙必须弥补其他操作系统的不足; G. 一个好的防火墙应该是一个整体网络的保护者;

H. 一个好的防火墙应能向使用者提供完善的售后服务。 30. 包过滤工作在OSI模型的 【C】

A. 应用层; B. 表示层; C. 网络层和传输层; D. 会话层

31. 如果路由器有支持内部网络子网的两个接口,很容易受到IP欺骗,从这个意义上讲,将Web服务器放在防火墙 【A】 有时更安全些。

A. 外面; B. 内部; C. 一样; D. 不一定 32.Windows NT网络安全子系统的安全策略环节由 【D】 构成。

A.身份识别系统

B.资源访问权限控制系统 C.安全审计系统

D.以上三个都是

33. 关于堡垒主机叙述正确的是 【D】 。

A.堡垒主机应放置在有机密信息流的网络上 B.堡垒主机应具有较高的运算速度

C.建立堡垒主机的基本原则是:复杂原则和预防原则 D.堡垒主机上禁止使用用户账户 34. 不属于操作系统脆弱性的是 【C】 。

A.体系结构 B.可以创建进程 C.文件传输服务 D.远程过程调用服务

第 7 页 共 32 页

《网络信息安全技术》复习提纲

35. 关于摘要函数,叙述不正确的是 【C】 。

A.输入任意大小的消息,输出是一个长度固定的摘要 B.输入消息中的任何变动都会对输出摘要产生影响 C.输入消息中的任何变动都不会对输出摘要产生影响 D.可以防止消息被改动

36. 提高数据完整性的办法是 【D】 。

A.备份 B.镜像技术 C.分级存储管理

D.采用预防性技术和采取有效的恢复手段

37. 网络安全性策略应包括网络用户的安全责任、 【B】 、正确利用网络资源和检测到安全问题时的对策

A.技术方面的措施

B.系统管理员的安全责任 C.审计与管理措施

D.方便程度和服务效率

38. 数据库的故障是指从保护安全的角度出发,数据库系统中会发生的各种故障。这些故障主要包括:_【C】 、系统故障、介质故障和计算机病毒与黑客。 A. 丢失修改故障 B. 不能重复读故障 C. 事务内部的故障

D. 不正确数据读出故障

39. 网络病毒是由因特网衍生出的新一代病毒,即JAVA及ACTIVEX病毒。 【A】 ,不被人们察觉。

A. 它不需要停留在硬盘中可以与传统病毒混杂在一起 B. 它停留在硬盘中且可以与传统病毒混杂在一起

C. 它不需要停留在硬盘中且不与传统病毒混杂在一起

D. 它停留在硬盘中且不与传统病毒混杂在一起

40. 在通用的两类加密算法中,限制 使用的最大问题是加密速度,由于这个限制,该算法的加密技术,目前主要用于网络环境中的 加密。【B】

A. RSA,固定的信息

B. RSA,不长的信息 C. DES,不长的信息

D. IDEA,不长的信息

41.外部路由器真正有效的任务就是阻断来自 【A】 上伪造源地址进来的任何数据包。

A. 外部网 B. 内部网

C. 堡垒主机 D. 内部路由器

42. 以下各图中那一种是属于“主机过滤体系结构”的防火墙 【B】 。

第 8 页 共 32 页

《网络信息安全技术》复习提纲

A B

43. 如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到 【C】 的信息流。

A. 内部网络 B. 内部路由器 C. 参数网络

D. 堡垒主机

44. 在公钥密码系统中,发件人用收件人的 加密信息,收件人用自己的

解密,而且也只有收件人才能解密。【B】 A.公钥,公钥 B.公钥,私钥

C.私钥,私钥 D.私钥,公钥

45.在用户使用Telnet或FTP连接到远程主机上时,在因特网上传输的口令是没有加密的,那么入侵系统的一个方法就是通过监视携带用户名和口令的 【B】 获取用户信息。

A. TCP包 B. IP包 C. ICMP包 D. UDP包

46. 以下哪个是扫描工具 【D】 。

A. Xhost B. NNTP

C. UUCP D. Strobe

47.最有效的保护E-mail的方法是使用数字签名,常用的数字签名软件有 【C】 。

A. KDC B. OTP C. PGP D. IDEA

第 9 页 共 32 页

《网络信息安全技术》复习提纲

48. 在网络上,为了监听效果最好,监听设备不应放在 【D】 。

A.网关 B.路由器

C.防火墙 D.中继器

49.以下哪种特点是代理服务所具备的 【A】 。

A. 代理服务允许用户“直接”访问因特网,对用户来讲是透明的 B. 代理服务能够弥补协议本身的缺陷 C. 所有服务都可以进行代理

D. 代理服务不适合于做日志

50.包过滤技术可以允许或不允许某些包在网络上传递,它过滤的判据不包括: 【D】

A. 数据包的目的地址

B. 数据包的源地址 C. 数据包的传送协议 E. 数据包的具体内容

51.Windows NT网络安全子系统的安全策略环节由 D 构成。

A.身份识别系统 B.资源访问权限控制系统

C.安全审计系统 D.A、B、C

52.用无病毒的DOS引导软盘启动计算机后,运行FDISK 用于____C__________。

E. 磁盘格式化

F. 读取或重写软盘分区表 G. 读取或重写硬盘分区表 H. 仅是重写磁盘分区表

53. PGP是一个对电子邮件加密的软件。其中 D

A.用来完成数字签名的算法是RSA,加密信函内容的算法是非对称加密算法IDEA。

B.用来完成数字签名的算法是IDEA,加密信函内容的算法是对称加密算法MD5。

C.用来完成数字签名的算法是MD5,加密信函内容的算法是非对称加密算法IDEA。

D.用来完成身份验证技术的算法是RSA,加密信函内容的算法是对称加密算法IDEA。 54. 代理服务 B 。

A.需要特殊硬件,大多数服务需要专用软件 B.不需要特殊硬件,大多数服务需要专用软件

第 10 页 共 32 页

《网络信息安全技术》复习提纲

C.需要特殊硬件,大多数服务不需要专用软件 D.不需要特殊硬件,大多数服务不需要专用软件险

55.对于IP欺骗攻击,过滤路由器不能防范的是 C 。 A.伪装成内部主机的外部IP欺骗

B.外部主机的IP欺骗

C.伪装成外部可信任主机的IP欺骗 D.内部主机对外部网络的IP地址欺骗

56.FTP 服务器上的命令通道和数据通道分别使用 A 端口。

A.21号和20号 B.21号和大于1023号

C.大于1023号和20号 D.大于1023号和大于1023

57.屏蔽路由器数据包过滤 A 。

A.允许已经由数据包过滤的服务 B.不允许已经由数据包过滤的服务 C.允许来自内部主机的所有连接 D.不允许数据包从因特网向内部网移动

58.采用公用/私有密钥加密技术, C 。

A.私有密钥加密的文件不能用公用密钥解密 B.公用密钥加密的文件不能用私有密钥解密 C.公用密钥和私有密钥相互关联 D.公用密钥和私有密钥不相互关联

59.建立口令不正确的方法是 C 。

A.选择5个字符串长度的口令 B.选择7个字符串长度的口令

C.选择相同的口令访问不同的系统

D.选择不同的口令访问不同的系统

60.包过滤系统 B 。

A.既能识别数据包中的用户信息,也能识别数据包中的文件信息 B.既不能识别数据包中的用户信息,也不能识别数据包中的文件信

C.只能识别数据包中的用户信息,不能识别数据包中的文件信息

D.不能识别数据包中的用户信息,只能识别数据包中的文件信息

61.关于堡垒主机的配置,叙述正确的是 A 。

A.堡垒主机上禁止使用用户账户

B.堡垒主机上应设置丰富的服务软件 C.堡垒主机上不能运行代理 D.堡垒主机应具有较高的运算速度

62.有关电子邮件代理,描述不正确的是 C 。

第 11 页 共 32 页

《网络信息安全技术》复习提纲

A.SMTP是一种“存储转发”协议,适合于进行代理 B.SMTP代理可以运行在堡垒主机上

C.内部邮件服务器通过SMTP服务,可直接访问外部因特网邮件服务器,而不必经过堡垒主机

D.在堡垒主机上运行代理服务器时,将所有发往这个域的内部主机的邮件先引导到堡垒主机上

63.在通用的两类加密算法中,限制______________使用的最大问题是加密速度,由于这个限制,该算法的加密技术,目前主要用于网络环境中的______________加密。(B)

A. RSA,固定的信息

B. RSA,不长的信息 C. DES,不长的信息 D. IDEA,不长的信息

64.对于包过滤系统,描述不正确的是 。(B)

A.允许任何用户使用SMTP向内部网发送电子邮件 B.允许某个用户使用SMTP向内部网发送电子邮件

C.只允许某台机器通过NNTP往内部网发送新闻

D.不允许任何用户使用Telnet从外部网登录

65.对于数据完整性,描述正确的是 。(A)

A.正确性、有效性、一致性

B.正确性、容错性、一致性 C.正确性、有效性、容错性 D.容错性、有效性、一致性

66.按照密钥类型,加密算法可以分为 。(D)

A.. 序列算法和分组算法

B.序列算法和公用密钥算法 C.公用密钥算法和分组算法

D.公用密钥算法和对称密钥算法

67.不属于代理服务缺点的是 。(B)

A.每个代理服务要求不同的服务器

B.一般无法提供日志

C.提供新服务时,不能立刻提供可靠的代理服务

D.对于某些系统协议中的不安全操作,代理不能判断

68.在Windows NT中,当系统管理员创建了一个新的用户帐户后,不可以 。(B)

A.对用户访问时间作出规定 B.对用户访问因特网的次数作出规定

第 12 页 共 32 页

《网络信息安全技术》复习提纲

C.对用户口令作出必要的规定 D.对普通用户口令作出强制性规定

69.关于摘要函数,叙述不正确的是 。(C)

A.输入任意大小的消息,输出是一个长度固定的摘要

B.输入消息中的任何变动都会对输出摘要产生影响 C.输入消息中的任何变动都不会对输出摘要产生影响 D.可以防止消息被改动

70.对于回路级代理描述不正确的是 。(D)

A.在客户端与服务器之间建立连接回路

B.回路级代理服务器也是公共代理服务器 C.为源地址和目的地址提供连接 D.不为源地址和目的地址提供连接

71.提高数据完整性的办法是 。(D)

A.备份 B.镜像技术 C.分级存储管理

D.采用预防性技术和采取有效的恢复手段

72.关于加密密钥算法,描述不正确的是 。(A)

A. 通常是不公开的,只有少数几种加密算法 B. 通常是公开的,只有少数几种加密算法 C. DES是公开的加密算法 D. IDEA是公开的加密算法

73.在子网过滤体系结构的防火墙中,外部路由器真正有效的任务就是阻断来自______________上伪造源地址进来的任何数据包。(A)

A. 外部网 B. 内部网 C. 堡垒主机

D. 内部路由器

74.如果路由器有支持内部网络子网的两个接口,很容易受到IP欺骗,从

这个意义上讲,将Web服务器放在防火墙____有时更安全些。(A) B. 外面; B.内;C.一样; D.不一定 75.防火墙采用的最简单的技术是:(C)

A.安装维护卡; B.隔离; C.包过滤; D.设置进入密码

四、简答题

1. 信息安全的定义是什么?简述信息安全的需求背景,举出信息安全的几个例子。

答:信息安全的定义:“客观上不存在威胁,主观上不存在恐惧” ,不受外来的威胁和侵害。

第 13 页 共 32 页

《网络信息安全技术》复习提纲

信息安全的需求背景是:计算机的广泛应用,计算机网络的迅速发展,特别是因特网的广泛应用。信息安全的例子有:

1. 国家信息体系(银行、军事指挥系统) 2. 国家信息技术安全 3. 电子商务的应用等等。

2. 简述密码学与信息安全的关系。

【答】现在网络上应用的保护信息安全的技术如数据加密技术、数字签名技术、消息认证与身份识别技术、防火墙技术以及反病毒技术等都是以密码学为基础的。电子商务中应用各种支付系统如智能卡也是基于密码学来设计的,可以说密码学是信息安全技术的基础。由此可见现代密码学的应用非常广泛。现在任何企业、单位和个人都可以应用密码学来保护自己的信息安全。

3. 分组密码与流密码的区别是什么?

【答】分组密码与流密码的不同之处在于输出的每一位数字不是只与相应时刻输

入的明文数字有关,而是与一组长为m的明文数字有关。

4. 什么是变换?

【答】 在信息理论中,把“运动状态和方式”映射为信号的过程称为变换。

5. 安全机制是什么?主要的安全机制有哪些?

【答】根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。

ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管你可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时你需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括:

· 信任的功能性:指任何加强现有机制的执行过程。例如,当你升级你的TCP/IP堆栈或运行一些软件来加强你的Novell,NT,UNIX系统认证功能时,你使用的就是普遍的机制。

· 事件检测:检查和报告本地或远程发生的事件

· 审计跟踪:任何机制都允许你监视和记录你网络上的活动

· 安全恢复:对一些事件作出反应,包括对于已知漏洞创建短期和长期的解决方案,还包括对受危害系统的修复。

第 14 页 共 32 页

《网络信息安全技术》复习提纲

6. 密码学的五元组是什么?它们分别有什么含义? 【答】密码体系是一个五元组(P,C,K,E,D)满足条件:

(1)P是可能明文的有限集;(明文空间) (2)C是可能密文的有限集;(密文空间)

(3)K是一切可能密钥构成的有限集;(密钥空间)

(4)任意k∈ K,有一个加密算法ek∈E和相应的解密算法dk∈D ,使得ek : P→C 和dk : C→P 分别为加密解密函数, 满足dk(ek(x))=x ,这里x ∈P。

7. 密码分析主要有哪些方式?各有何特点?

【答】密码分析(或称攻击)可分为下列四类:

1) 唯密文分析(攻击),密码分析者取得一个或多个用同一密钥加密的

密文;

2) 已知明文分析(攻击),除要破译的密文外,密码分析者还取得一些

用同一密钥加密的明密文对;

3) 选择明文分析(攻击),密码分析者可取得他所选择的任何明文所对

应的密文(当然不包括他要恢复的明文),这些明密文对和要破译的密文是用同一密钥加密的; 4) 选择密文分析(攻击),密码分析者可取得他所选择的任何密文所对

应的明文(要破译的密文除外),这些密文和明文和要破译的密文是

用同一解密密钥解密的,它主要应用于公钥密码体制。

8. 什么是单向函数?它在密码学中有什么意义?

【答】不严格地说,一个单向函数是一个函数y?f(x),由x计算函数值y是容易的,但由y计算函数的逆x?f?1,(y)是困难的(在某种平均意义下)

“容易”和“困难”的确切含意由计算复杂性理论定义。单向函数是现代密

码学的一个基本工具,大部分安全的密码系统(包括协议)的构造依赖于“单向函数存在”这一假设,所以十分重要。

9. 简述三种数据加密方式?四种传统加密方法?

答:三种数据加密方式:

①链路加密方式。把网络上传输的数据报文的每一位进行加密。目前一般网络通信安全主要采取这种方法。

②节点对节点加密方式。为了解决在节点中的数据是明文的缺点,在中间节点里装有用于加、解密的保护装置即由这个装置来完成一个密钥向另一个密

第 15 页 共 32 页

《网络信息安全技术》复习提纲

钥的变换。

③端对端加密方式。为了解决链路加密方式和节点对节点加密方式的不足,提出了端对端加密方式,也称为面向协议的加密方式。加密、解密只是在源节点和目的节点进行,是对整个网络系统采用保护措施。端对端加密方式是将来的发展的趋势。 四种传统加密方法:

①代码加密。通信双方预先设定的一组代码,代码可以是日常词汇、专用名词或特定用语,但都有一个预先指定的确切的含义。

②替换加密。如:明文为student,若密钥为3时,密文可为vwxghqw。 ③变位加密。其中又分为:变位加密、列变位加密、矩阵变位加密。 ④一次性密码簿加密。

10. 试用形式化描述公钥密码体制。

【答】一个公钥密码体制是这样的一个5元组{M,C,K,EK,DK},且满足如下的条件:

1.M是可能消息的集合;

2.C是可能的密文的集合;

3. 密钥空间K是一个可能密钥的有限集; 4.对每一个?={?1,?2}?K,都对应一个加密算法EK?E, EK:M?C

11和解密算法DK?D,DK:C?M,满足对于任意的m?M,都有c= EK(m),m=

221DK2(c)=DK2(EK(m))=m;

15.对于所有的??K,在已知EK的情况下推出DK是计算上不可能的;

11. 试说明识别和身份验证之间的区别。

【答】识别(identification)和身份验证(authentication)是不同的。当说到身份验证时,通常存在一些承载信息的消息在通信双发之间交换,其通信的一方或双方需要被验证。识别(有时称为实体验证)是对一个用户身份的实时验证,它不需要交换承载信息的消息。

12. 怎样的识别协议才是安全的?

【答】一个安全的识别协议至少应该满足以下两个条件:

1) 证明者A能向验证者B证明他的确是A;

2) 在证明者A向验证者B证明他的身份后,验证者B没有获得任何有

第 16 页 共 32 页

《网络信息安全技术》复习提纲

用的信息,B不能模仿A向第三方证明他是A。

13. 试用形式化描述签名方案。

【答】一个签名方案是一个5元组(M,A, K,S,V),满足如下的条件: (1) M是一个可能消息的有限集; (2) A是一个可能签名的有限集;

(3) 密钥空间K是一个可能密钥的有限集;

(4) 对每一个?=(k1,k2)?K,都对应一个签名算法SigK?S和验证

2算法Ver

K1?V。每一个Sig

K2: M ?A和Ver

K1: M

?A?{TRUE ,FALSE}是一个对每一个消息x? M和每一个签名y?A

满足下列方程的函数:

?TRUE当y?SigK(x) Ver(x,y)=?

?FALSE当y?SigK(x)22对每一个??K,函数SigK和VerK都是为多项式时间可计算的函数。VerK211是一个公开函数,K1称作公钥;而SigK是一个秘密函数,K2称作私钥,

2由用户秘密地保存。

14. 如何将一个识别协议转化为一个签名方案?

【答】有一个标准的方法可将一个识别协议转化为一个签名方案。基本的观点是用一个公开的Hash函数来代替验证者B。

15. 说明交互式用户身份证明协议的性质。

【答】针对一般交互式用户身份证明协议,都必须满足以下三种性质。 (1) 完全性(Completeness):若用户与验证者双方都是诚实地执行协议,则有非常大的 概率(趋近于1),验证者将接受用户的身份。

(2) 健全性或合理性(Soundness):若用户根本不知道与用户名字相关的

密钥,且验证者是诚实的,则有非常大的概率,验证者将拒绝接受用户的身份。 (3) 隐藏性(Witness hiding):若用户是诚实的,则不论协议进行了多少

次以及不论任何人(包括验证者)都无法从协议中推出用户的密钥,

并且无法冒充用户的身份。

第 17 页 共 32 页

《网络信息安全技术》复习提纲

15. 试述数字签名和报文摘要的区别。

答:数字签名是对整个明文进行加密并产生签名信息,其功能包括鉴别和保密,由于加密很慢,所以速度及费用较高。

报文摘要并不是对明文进行加密,而是提供一种鉴别功能,辨别该明文发出人的真实身份。

16.假设在某机构中有100个人,如果他们任意两人之间可以进行秘密对话,如果使用保密密钥,则共需要4950个密钥,而且每个人应记住99个密钥,如果机构人数更多,则保密密钥的分发就产生了问题。目前,哪能种方案可以解决这个问题?请简述其原理。

答:Kerberos提供了一种解决这个问题的较好方案,它是由MIT发明的,使保密密钥的管理和分发变得十分容易。Kerberos建立了一个安全的、可信任的密钥分发中心(KDC),每个用户只要知道一个和KDC进行通信的密钥就可以了,而不需要知道成百上千个不同的密钥。

17. 网络系统备份的主要目的以及网络系统备份体系主要包括哪几方面? 答:网络备份系统的目的是:尽可能快地恢复计算机或者计算机网络系统所需要的数据和系统信息。

网络备份实际上不仅仅是指网络上各计算机的文件备份,它实际上包含了整个网络系统的一套备份体系,主要包括如下几个方面:

a. 文件备份和恢复; b. 数据库备份和恢复; c. 系统灾难恢复; d. 备份任务管理。

18. 简述防火墙的概念和功能。

答:(1)概念:防火墙是在被保护网络和因特网之间执行访问控制策略的一种或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。 (2)功能:

① 强化安全策略,

② 记录网上的活动情况,

③ 可以防止一个网段的问题向另一个网段传播, ④ 安全策略的检查站

19. 简述防火墙的功能及不足之处。 答:防火墙的基本功能: (1)防火墙能够强化安全策略

(2)防火墙能有效地记录因特网上的活动 (3)防火墙限制暴露用户点

第 18 页 共 32 页

《网络信息安全技术》复习提纲

(4)防火墙是一个安全策略的检查站

防火墙的不足之处:

(1)不能防范恶意的知情者

(2)防火墙不能防范不通过它的连接 (3)防火墙不能防备全部的威胁

20. 网上监听成了网上黑客使用的最多的方法,请简述检测黑客在网上监听的一些简单方法(至少两种)?

①方法一:对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听的机器会有响应。

②方法二:往网上发大量不存在的物理地址包,由于监听程序将处理这些包,将导致性能下降。通过比较前后该机器性能(icmp echo delay等方法)加以判断。

③方法三:一个看起来可行的检查监听程序的方法是搜索所有主机运行的进程。

④方法四:去搜索监听程序,入侵者可能使用的是一个免费软件。

21. 简述黑客入侵的过程。 答:过程如下所述:

a. 收集信息: 信息收集的目的是为了进入要攻击的目标网络的数据库.

黑客会利用公开的协议或者工具(如用RaceToute获取到达目标主机所要经过的网络数和路由器数),收集驻留在网络系统中的各个主机系统的相关信息。

b. 系统安全弱点的探测:在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或者安全弱点,黑客可能使用自编程序或者利用公开的工具(像因特网的电子安全扫描程序ISS等)方式自动扫描驻留在联网上的主机。

c. 网络攻击:黑客使用上述方法,收集或者探测到一些“有用”信息之后,就可能会对目标系统实施攻击,如果黑客在某台受损系统上获得了特许权,那么他就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,从而破坏整个系统的信息,造成不堪设想的后果

22. 增加代理服务到双重宿主主机,说明代理服务如何工作的? 答:代理服务有两个主要的部件:代理服务器和代理客户.代理服务器运行在双重宿主主机上.代理客户是正常客户程序的特殊版本(即Telnet或者FTP客户),用户与代理服务器交谈而不是面对远在因特网上的“真正的”服务器。代理服务器评价来自客户的请求,并且决定认可哪一个或否定哪一个。如果一个请求被认可,代理服务器代表客户接触真正的服务器,并且转发从代理客户

第 19 页 共 32 页

《网络信息安全技术》复习提纲

到真正的服务器的请求,并将服务器的响应传送回代理客户。

23.简述计算机病毒的工作方式和破坏作用。 答:(1)计算机病毒的工作方式:感染引导扇区病毒、文件型病毒、变异、

设置触发条件、破坏和高级功能(隐身和多态)病毒。

(2)计算机病毒的破坏作用:攻击系统数据区、文件、内存、CMOS;干扰系统运行;干扰键盘、喇叭、屏幕、打印机等设备;传播网络病毒。

24.过滤路由器与普通路由器的区别?

答:普通路由器只是简单地查看每一个数据包的目标地址,并且选取数据包发往目标地址的最佳路径。 ①将数据包发往目标地址

②如不能发往目标地址,则返还数据包,并向源地址发送“不能到达目标地址”的消息

作为过滤路由器,它将更严格地检查数据包,除普通路由器的功能外,还决定数据包是否应该发送。“应该”或“不应该”由站点的安全策略决定,并由过滤路由器强制设置。

25.请解释虚拟企业网络(虚拟专用网络)概念?

答:VPN可以在防火墙与防火墙或移动的client间对所胡网络传输的内容加密,建立一个虚拟通道,让两者间在同一个网络上,可以安全且不受拘束地互相存取。

26.根据“可信任计算机标准评价准则”(安全标准“橙皮书”),计算机安全级别标准是如何定义的?并简单说明各安全级别是如何解释评估的? 答:计算机安全级别定义为7级。

D级,为不可信级。如DOS、Windows 98等;

C1级,为选择性安全保护级。描述了典型的用在Unix系统上的安全级别。对系统硬件有一定保护作用,用户拥有对文件和目录的访问权,但不能控制进入系统的用户的访问权限;

C2级,为访问控制级。如Unix、Windows NT等;

B1级,为标志安全保护级。系统安全措施由操作系统决定;

B2级,为结构保护级。系统中的所有对象有标签,对设备分配1个或多个安全级别;

B3级,安全域级。通过安装硬件来加强域的安全;

A级,为验证设计级。包括严格的设计、控制和验证过程。

27. 问题:分组密码与流密码的区别是什么?

第 20 页 共 32 页

《网络信息安全技术》复习提纲

答案:分组密码与流密码的不同之处在于输出的每一位数字不是只与相应时

刻输入的明文数字有关,而是与一组长为m的明文数字有关。

28. 问题:什么是变换?

答案: 在信息理论中,把“运动状态和方式”映射为信号的过程称为变换。

29. 请破解下面的单字母表密码,明文仅由字母组成,它是Lewis Carroll的诗中摘录下来的名句。

kfd ktbd fzm eubd kfd pzyiom mztx ku kzyg ur bzha kfthcm

ur mftnm zhx mfudm zhx mdzythc pzq ur ezsszcdm zhx gthcm zhx pfa kfd mdz tm sutythc fuk zhx pfdkfdi ntcm fzld pthcm sok pztk z stk kfd uamkdim eitdx sdruid pd fzld uoi efzk

rui mubd ur om zid uok ur sidzkf zhx zyy ur om zid rzk hu foiia mztx kfd ezindhkdi kfda kfzhgdx ftb boef rui kfzk

答:the time has come the walrus said to talk of many things of shoes and ships and sealing wax of cabbages and kings and why the sea is boiling hot and whether pigs have wings but wait a bit the oysters cried before we have our chat for some of us are out of breath and all of us are fat no hurry said the carpenter they thanked him much for that From Through the Looking Glass (Tweedledum and Tweedledee).

30. 破解下面的柱形转置密码。明文是从一本流行的计算机教材中摘录的。所以''computer'' 是一个可能的单词。明文全是由字母组成的(没有空格)。为了方便阅读,密文被分解为5个字符的块。

aauan cvlre rurnn dltme aeepb ytust iceat npmey iicgo gorch srsoc

nntii imiha oofpa gsivt tpsit lbolr otoex

答:明文是: a digital computer is a machine that can solve problems for people by carrying out instructions given to it. From Structured Computer Organization by A. S. Tanenbaum.

31. 从图8.4的密文中,找到一个能够产生文本''Donald Duck'' 的77位一次性密码。

第 21 页 共 32 页

《网络信息安全技术》复习提纲

Figure 8-4. The use of a one-time pad for encryption and the possibility of getting any possible plaintext from the ciphertext by the use of some other pad.

答:一次性密码是:

1011111 0000100 1110000 1011011 1001000 1100010 0001011 0010111 1001101 1110000 1101110

32.量子密码学要求有一个根据需要激发单个光子(携带1 位信息)。在本题中, 请计算在100-Gbps的光纤链路上,一位携带多少个光子。假设, 光子的长度与它的波长是相等的, 并在本题中,波长位1 微米。光纤中的光速是20 cm/nsec 。

答:以光速是2×108 meters/sec计算,在100 Gbps,传送一位需要10 --11 秒。在1 位时间内, 光的脉冲为2 毫米或2000 微米的长度。因为光子大约1 微米长, 脉冲长为2000 个光子。因而, 在100 Gbps每位平均约为一个光子。只有在200 Tbps 可达到每光子1 位。

33. 假设一个系统使用了量子密码学技术,如果Trudy 能够捕获并重新生成光子,那么,他将得到一些错误的位,从而导致在Bob的一次性密钥中也会出现错误。Bob的一次性密钥的错误将占多大的比例?

答:在一半情况中Trudy猜测将是对的。所有那些位将正确地再生。她猜测的另外一半是错误的,并将发送随机的位给Bob。因而, 她输入到的光纤的25% 的位是错误的。因而Bob的一次性密钥将是75% 正确和25% 错误。

34. 一条基本的密码学原则声明了所有的消息必须有冗余度。但是,我们也知道,消息种的冗余可以帮助一个入侵者来识别一个猜测的密码是否正确。请考虑两种冗余的形式:一种是明文的前n位包含一种已知的模式,第二种是消息的最后n位包含了该消息的散列值。从安全角度来看,这两种方式是等价的吗?请解释你的答案。

答:如果入侵者有无限的计算能力, 两种方式的结果会是相同。但因为入侵者并没有无限的计算能力,实际工作中,第二种方式会更好。它迫使入侵者进行计算,尝试各个密钥是否正确。如果该计算是昂贵的, 它将减慢入侵者的进攻。

第 22 页 共 32 页

《网络信息安全技术》复习提纲

35. In Fig. 8-6,,P-boxes 和 S-boxes交替出现。尽管从美学角度来看这种安排是非常令人愉快的。但是,比起“首先通过所有的P-boxes 然后再通过所有的S-boxes”这种形式,它会更加安全吗?

答:是的。一个连续的P 箱子序列可由一个单一的P 箱子替换。对S 箱子也是一样。

36. 假设DES的明文中只包含大写ASCII 字符,以及空格、逗号、冒号、回车符和换行符,请根据这样的知识来设计一种破解DES的方法。关于明文的奇偶校验位并不知道。

答:对各把可能的56 位密钥, 解码第一个密文块。如果得到的纯文本是合法的, 尝试下一块, 如此等等。如果纯文本是非法的, 尝试下一个密钥。

-12

37. 在正文中我们计算过,,假设一个处理器每10 秒能够分析一个密钥,那么,具有109个处理器的密码破译机需要1010 年才能解密AES 的128 位版本。但是, 当前的机器也许有1024 个处理器并且每1 毫秒可以分析一个密钥,因此我们需要在性能上提高1015 才能获得可破译AES 的机器。如果Moore 的定律(每18 个月计算能力加倍) 持续有效的话,需要多少年才能制造出这样的机器?

答:等式2n = 1015 年告诉我们n, 需要加倍的期间。解方程,我们得到n = 15 log210 或n = 50 个加倍的期间, 即是75 年。

企图建造这样的机器没有什么用处,75年之后,Moore定律并不能继续。

38. AES 支持 256位的密钥。AES-256有多少个密钥?看一看你是否可以在物理、化学或者天文学中找到相同规模的数据。你可以使用Internet 来帮助查找大的数值。根据你的调查研究,请给出一个结论。

答:我们需要解决的等式是2=10 。 采取常用对数, 我们得到n=256 log2, 如此n=77 。 因而密钥的数量是1077。 星的数量在我们的星系是大约1012 ,并且星系的数量是大约108, 那么在宇宙中有大约1020 个星。 太阳是一个典型的星, 质量是2×10 克。 太阳主要由氢制成并且在1 克氢中原子

第 23 页 共 32 页

33

256

n

《网络信息安全技术》复习提纲

的数量大约是6×10 。这样,在太阳中原子的数量大约是1.2×10 。 因为在宇宙中有大约1020 个星,所以原子的数量在在宇宙所有星中大约是1077。 因而, 256 位AES 密钥的数量与在整体宇宙中的原子数量是相等的 (忽略神秘的物质) 。 结论是:由强力破解AES-256不可能很快发生。

39. 假设一条消息已经使用DES和密码块链接模式进行了加密。块 Ci 中的一位密文在传输过程中被偶然地从0变成了1 ,请问结果将有多少明文被弄乱?

答: DES 把位相当均匀地混合, 因此一个在块Ci的一位错误将完全地把块Pi 弄乱。另外,在块Pi+1将会有一位错 。但是, 所有随后纯文本块将是正确的。一个一位错误因而只影响二个明文块。

40. 现在再来考虑密码块链接模式。这次不再是一个0 位被转换为了1位,而是一个额外的一个0位被插入到块Ci 后的密文流中,同样地,请问结果将有多少明文被弄乱?

答:不幸地, 现在每个纯文本块开始在Pi 1将是错误的, 因为所有输入到XOR 箱子将是错误的。因而,比某个位被倒置的情况来说,一个结构上的错误更为严重。

41. 请从传输一个大文件所需的加密操作次数的角度,来比较一下密码块链接模式与密码反馈模式,哪一个效率更高?高多少?

答: 密码块链接模式每次密码编码输出8个字节。密码反馈模式的每次密码编码输出1 个字节。因而, 密码块链接模式的效率是密码反馈模式的八倍 (即, 以同样的时间内可加密多八倍的明文) 。

42. 在公开密钥密码体制中,设a=01,b=02,c=03,……,z=26。利用RSA算法作下列运算:

(1)如果p=7,q=11,是列出可选用的5个d值; (2)如果p=13,q=31,d=7,试求e值;

(3)已知p=5,q=11,d=27,试求e值。并对明文abcdefghijk加密。 答:(1)z=(p-1)×(q-1)=60,则与z互质的d可以是7,11,13,17,19

(2)因为z=(p-1)×(q-1)=360,又d与z互质,且e满足e×d=1(mod z),即7e=1(mod 360),所以e=463。 (3)因为z=(p-1)×(q-1)=40,又d与z互质,且e满足e×d=1(mod z),即27e=1(mod 40),所以e=3。而n= p×q=55。我们使用函数C=P3 mod 55。对于P = 1 到10, C相应地等于 = 1, 8, 27, 9, 15, 51, 13, 17, 14,和 10。

第 24 页 共 32 页

2357

《网络信息安全技术》复习提纲

所以最后的密文是1827915511317141011。

43. 假设一个用户玛丽亚发现了她的私有RSA密钥(d1, n1)与另一个用户弗朗西丝的公开RSA密钥 (e 2, n 2) 相同。或者说,d1 = e2 而 n1 = n2。那么,玛丽亚是否应该考虑改变她的公开密钥和私有密钥呢? 请解释你的答案。

答:答:玛丽亚应该考虑改变她的密钥。这是因为对弗朗西丝来说,可相对地容易推测玛丽亚的私有密钥如下:弗朗西丝知道玛丽亚的公开密钥是(e1, n1 ) 。弗朗西丝注意到n2=n1 。这样弗朗西丝就能由简单地列举等式d1×e1= 1 modn 1 的不同的解答来猜测玛丽亚的私有密钥(d1, n1)。

44. 请考虑如图8-15中所示的计数器模式的用法。但是IV = 0。一般来说,这里使用0是否会危及到该密钥的安全性?

Figure 8-15. Encryption using counter mode.

答:不。安全根据的是一种强的隐藏算法并且长的密钥。The IV密钥的不是真正基础。密钥的安全与此无关。

45. 如果您所在的是C类网络202.202.202.0,在内部被保护网络与外部不信任网络之间设置了过滤路由器,以下的表格中列出了服务方向往外的某种服务的包过滤规则,请简述各条规则的含义。

规则 A B C 方向 外 内 双向 源地址 目标地址 任意 202.202.202.0 协议 TCP TCP 任意 源端口 >1023 23 任意 目标端口 23 >1023 任意 ACK位 0或1 1 0或1 操作 允许 允许 拒绝 202.202.202.0 任意 任意 任意 答:规则A允许Telnet数据包外出到远程服务器;规则B允许相应返回的数据包,但要核对相应的ACK位和端口号,这样就可以防止入侵者通过B规则来攻击;规则C则是个默认的规则,如若数据包不符合A或B,则被拒绝。

第 25 页 共 32 页

《网络信息安全技术》复习提纲

46. 如何防止同网段内盗用IP地址?并请说明原因。

答:防止盗用IP可以绑定IP和物理地址。这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际间寻址使用的。因此在网段的路由器上有IP和物理的动态对应表。这是由ARP协议来生成并维护的。配置路由器时,可以指定静态的ARP表,这样,路由器会根据静态ARP表检查数据,如果不能对应,则不进行处理。所以通过设置路由器上的静态ARP表,可以防止在本网段盗用IP。

47. 试描述RSA公钥算法的基本思想.并知道如何运算加密/解密.

48. 试描述ELGAMAL公钥算法加密和签名的基本思想.

五、应用设计及综合分析题

1、某网站计划将服务器A、B、C备份到一台外接的设备上。请画出备份系统的示意图,并标明此备份系统的基本部件的名称。(10分) 答:下图即为网络备份系统示意图。

2.分析黑客入侵的过程,并以你所学的知识来叙述对付黑客入侵的方式与方法。(10分) 答:(1)黑客入侵的过程

a.收集信息:信息收集的目的是为了进入要攻击的目标网络的数据库.黑客

会利用公开的协议或者工具(如用RaceToute获取到达目标主机所要经过的网络数和路由器数),收集驻留在网络系统中的各个主机系统的相关信息。

b.系统安全弱点的探测:在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或者安全弱点,黑客可能使用自编程序或者利用公开的工具(像因特网的电子安全扫描程序ISS等)方式自动扫描驻留在联网上的主机。

c.网络攻击:黑客使用上述方法,收集或者探测到一些“有用”信息之后,

第 26 页 共 32 页

《网络信息安全技术》复习提纲

就可能会对目标系统实施攻击,如果黑客在某台受损系统上获得了特许权,那么他就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,从而破坏整个系统的信息,造成不堪设想的后果。 (2)对付黑客入侵的方法

a.

发现黑客:如果黑客破坏了站点的安全性,则应追踪他们。可以用一些工具帮助发现黑客。另外一种方法是对可疑行为进行快速检查,检查访问及错误登录文件,检查系统命令。最后,查看那些屡次失败的访问口令或访问受口令保护的部分的企图。 b. 应急操作:(1)估计形势(2)切断连接(3)分析问题(4)采取行动

c. 抓住入侵者:尽管抓住黑客需要等待机会,但遵循如下原则会大有帮助。(1)注意经常定期检查登录文件;(2)注意不寻常的主机连接及连接次数通知用户,将使消除入侵变得更为容易;(3)注意那些原不经常使用却突然变得活跃的帐户。应该禁止或干脆删去这些不用的帐户;(4)预计黑客经常光顾的时间,并在此时段里运行程序记录所有的过程及网络联接。

3. 什么是IP电子欺骗?如何防备来自网络外部和内部的IP欺骗攻击?

答:IP电子欺骗,就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。被伪造的主机往往具有某各特权或者被另外的主机所信任。IP欺骗通常都要用编写的程序来实现。 对于来自网络外部的欺骗来说,阻止这种攻击的方法是很简单的,在局部网络的对外路由器上加一个限制条件,只要在路由器里面设置不允许声称来自于内部网络的外来包通过就行了。但是,如果你的网络存在外部的可信任主机,那么,路由器就无法防止别人冒充这些主机而进行的IP欺骗。

当实施欺骗的主机在同一网络内时,攻击往往容易得手,并且不容易防范。

检测和保护站点免受IP欺骗的最好办法就是安装一个过滤路由器,来限制对外部接口的访问,禁止带有内部网资源地址的包通过。当然也禁止带有不同内部资源地址的内部包通过路由器到别的网上去,这样就防止了内部的用户对别的站点进行IP欺骗。

4. 利用所给资源:外部路由器,内部路由器,参数网络,堡垒主机设计一个防火墙(10分)

说明:各资源不允许合并

要求:a.将各资源连接构成防火墙

b.指出此防火墙属于防火墙体系结构中哪一种 c.说明防火墙各设备的主要作用

第 27 页 共 32 页

《网络信息安全技术》复习提纲

答:a. 将各资源连接构成防火墙的结构如下所示:

b. 此防火墙属于“子网过滤体系结构”的防火墙。

c. 子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络,一个位于参数网络与内部网络之间,另一个位于参数网络与外部网络之间。

参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙,参数网络就能在入侵者与内部网之间再提供一层保护。

堡垒主机:为内部服务请求进行代理

内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。它完成防火墙的大部分包过滤工作。

外部路由器:主要是对参数网络上的主机提供保护,并阻断来自外部网上伪造内部网源地址进来的任何数据包。

5. 网络信息安全系统并非局限于通信保密、局限于信息加密功能要求等技术问题,它是涉及到方方面面的一项极其复杂的系统工程。请用网络信息安全模型图来说明各项措施的具体内容及作用。(10分) 答:下图为网络信息安全模型。

(a)首先,政策、法律、法规是安全的基石,它是建立安全管理的标准和方法。

(b)第二部分为技术方面的措施。其中包括增强的用户认证,它是安全系统中属于技术措施的首道防线。用户认证的目的是提供访问控制。授权主要是为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。加密是信息安全应用中最早使用的行之有效的手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改和窃取等。

(c)在网络信息模型的顶部是审计与监控,这是系统安全的最后一道防线,它

第 28 页 共 32 页

《网络信息安全技术》复习提纲

包括数据的备份。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。

网络信息安全模型中的几个部分是相辅相成的,缺一不可,其中底层是上层保障的基础。

6、请分析并回答下列有关防火墙的问题。

(a)防火墙的设计者和管理人员要致力于保护堡垒主机的安全,请说明在设计堡垒主机通常应遵循怎样的原则?

(b)在设计和建造防火墙时,通常采取多种变化和组合,如果要在防火墙配置中使用多堡垒主机,是否可行?为什么?

(c)如果将堡垒主机与内部路由器合并,将会出现怎样的结果?

答:

(a)在设计堡垒订同时通常有这样的两条原则:(1)使它尽量简单(最简化原则)。堡垒主机越简单,堡垒主机本身的安全越有保证。因为堡垒主机提供的任何服务都可能出现软件缺陷或配置错误,而且缺陷或错误都可能导致安全问题。因此,堡垒主机尽可能少些服务,它应当在完成其作用的前提下,提供它能提供的最小特权的最少的服务。(2)做好堡垒主机将被侵袭的准备(预防原则)。尽管用户尽了最大努力确保堡垒主机的安全,侵入仍可能发生。但只有预先考虑最坏的情况,并提出对策,才能可能避免它。万一堡垒主机受到侵袭,用户又不愿看到侵袭导致整个防火墙受到损害,可以通过不再让内部的机器信任堡垒主机来防止侵袭蔓延。

(b)在防火墙配置中使用多堡垒主机是可行的,这样做的理由是:如果一台堡垒主机失败了,服务可由另一台提供。

(c)将堡垒主机与内部路由器合并将损害网络的安全性将这二者合并,其实已从根本上改变了防火墙的结构。合并的堡垒主机与内部路由器,只有一个屏蔽主机,如果堡垒主机被击破,那在内部网与堡垒主机之间就再也没有对内部网的保护机制了。

第 29 页 共 32 页

《网络信息安全技术》复习提纲

7. 调研

(1) 当前国际、国内信息安全的发展现状,研究热点以及发展趋势、应用前景。

(2) 国际著名的安全产品(厂商)、主要功能?国内有哪些安全产品?哪些有名的研究机构、厂商?

8.设计一个局域网的安全性能测试方案,包括网关、WEB/MAIL服务器的安全。

9. 合肥市拟建立一个电子政务网络,需要连接本市各级政府机关(市、区、县等)及企事业单位,提供数据、语音、视频传输和交换的统一的网络平台。纳入电子政务平台的各单位既有横向(是本级政府的组成部门)的数据交互,又有纵向的行业部门的信息交互。从安全角度考虑,你认为该网络的设计应注意哪些问题?你的解决方案? 答:

电子政务的网络结构一般采用“三网架构”,即政府委、办、局的办公网(内网)、支持委办局跨部门协调办公的电子政务专网和与企事业单位、公众通过互联网接入的外网。有些委办局的电子政务系统还与政府的涉密机要网相关联。但是,涉密机要网是一个特殊的专用网络,它不在电子政务网络的范畴。根据有关文件,电子政务信息系统对信息安全的基本要求是:建立完整的信息安全保障体系。该体系应包括:物理安全、网络安全、系统安全、应用安全、数据安全和灾难备份与恢复等。

网络安全保障系统应包括:

a) 内网与外网之间实现物理隔离。即用物理隔离网闸实现内外网数据的摆渡和交换,保障内网安全。

b) 内网与专网之间实现逻辑隔离。即配置具有VPN功能的防火墙,实现安全代理、信息包过滤、内外地址绑定等,防止非授权用户经过专网非法访问内网。

c) 在外网与互联网的边界处设置防火墙实现逻辑隔离。

d) 在外网的入口处配置网络入侵检测设备,实时检测网络的安全运行状态,即时发现网络“黑客”入侵行为。

e) 设置抗拒绝服务网关,保障网络在DOS/DDOS攻击之下能安全运行。 f) 对规模较大的内网,采用虚拟局部网络(VLAN),保障内网中敏感业务和数据安全。

g) 在网络层采用IPSec技术或在传输子层采用SSL技术构建VPN网络,实现信息传输的保密性、完整性和不可否认性。

h) 设置网络安全漏洞扫描和安全性能评估设备,定期的对全网进行安全漏洞扫描和性能评估。

第 30 页 共 32 页

本文来源:https://www.bwwdw.com/article/a0qp.html

Top