文档库 最新最全的文档下载
当前位置:文档库 › 计算机网络安全课后答案

计算机网络安全课后答案

计算机网络安全课后答案
计算机网络安全课后答案

计算机网络安全课后答案

第1章

一、填空题

1.从广义上说,凡是涉及到网络上信息的机密性、完整性、可用性、真实性、抗否认性和可控性的相关技术和理论都是网络安全所要研究的领域。

2.网络安全包括物理安全、运行安全和数据安全三个层次。

3.常用的保密技术包括防帧收、防辐射、信息加密。

4.保障网络信息完整性的主要方法有协议、纠错编码方法、密码校验和方法、数字签名、公证。

5.网络信息系统的安全缺陷通常包括搭线、串音、网络的规模。

6.网络安全的研究领域,一般大致分为社会经济领域、技术领域、电子商务领域。

二、问答题

1.简述网络安全的含义。

答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。

2.网络安全的目标有哪些?

答:机密性、完整性、可用性、真实性、抗否认性和可控性。

3.简述网络安全的研究内容有哪些?

答:网络安全技术研究大致可以分为基础技术研究、防御技术研究、攻击技术研究、安全控制技术和安全体系研究。

4.常见网络存在的安全威胁有哪些?请简要回答。

答:常见的有计算机病毒,拒绝服务攻击,内部、外部泄密,蠕虫,逻辑炸弹,信息丢失、篡改、销毁,特洛伊木马,黑客攻击,后门、隐蔽通道等。

5.简述网络安全威胁存在的原因。

答:1.网络建设之初忽略了安全问题。

2.协议和软件设计本身的缺陷。

3.操作系统本身及其配置的安全性。

4.没有集中的管理机构和同意的政策。

5.应用服务的访问控制、安全设计存在漏洞。

6.安全产品配置的安全性。

7.来自内部网用户的安全威胁。

8.网络病毒和电子邮件病毒。

第2章

一、填空题

1.基于密钥的算法通常有对称算法和非对称加密算法两类

2.密码体制从原理上可分为单钥密码体制和双钥密码体制两大类

3.在计算机网络系统中,数据加密方式有链路加密、节点加密、端到端加密等三种

4.DES算法是作为第一个公开了加密原理的算法

5.密钥管理的种类包括初始密钥、会话密钥、密钥加密密钥、主密钥

6.密钥的管理需要借助于加密、认证、签字、协议、公证等技术

7.PGP是一个基于RSA公钥加密体系的邮件加密软件

8.PGP内核使用PKZIP算法来压缩加密钱的明文

二、简答题

1.常用的密码分析攻击类型有哪些?

唯密文攻击、已知明文攻击、选择明文攻击、自适应选择明文攻击、选择密文攻击、选择密钥攻击、软磨硬泡攻击。

2.简述端到端加密与节点链路加密相加其所不具有的优点。

1)成本低

2)端到端加密比链路加密更安全

3)端到端可以由用户提供,因此对用户来说这种加密方式比较灵活。

3.单钥密码体系的缺陷有哪些?

1)密钥管理麻烦

2)不能提供法律证据

3)缺乏自动检测保密密钥泄露的能力

4.RSA公钥密码体制的优点有哪些?

1)数学表达式简单,在公钥管理密码体系中是最容易理解和实现的一个。

2)RSA的安全性基于大数分解的困难性。

3)RSA公钥管理体制具有一些传统密码体制不能实现的一些功能,如认证、数字签名、鉴别等,特别适合于现代密码通讯。

第3章

一、填空题

1.数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。

2.数字签名的目的是为了保证信息的完整性和真实性。

3.CA体系由审核授权部门和证书操作部门构成。

4.电子证书是进行安全通信的必备工具,它保证信息传输的保密性、数据完整性、不可抵赖性、交易者身份的确定性。

5.X .509数字证书包括单向鉴别、双向鉴别、三向鉴别三个可选的鉴别过程。

二、问答题

1.简述数字签名技术的基本原理。

答:数字签名技术在原理上,首先用报文分解函数,把要签署的文件内容提炼为一个很长的数字,称为报文分解函数值。签字人用公开密钥和解密系统中的私有密钥加密这个报文,分解函数值,生成所谓的“数字签名”。

2.什么是认证中心?电子商务的交易过程中为什么必须设定CA?

答:CA机构,又称为证书授权中心,作为电子商务交易中受信任和具有权威的第三方,承担公钥体系中心公钥的合法性检验的责任。

为了保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行检验,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。

3.简述CA的结构层次关系。

答:CA体系具有一定的层次结构,它由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次结构,上一级CA负责下一级CA数字证书的申请。签发及管理工作。

4.简述CA在密码管理方面的作用有那些?

答:(1)自身密钥的产生、存储、备份/恢复、归档和销毁。

(2)提供密钥生成和分发服务。

(3)确定客户密钥生存周期,实施密钥吊销和更新管理。

(4)为安全加密通信提供更安全密钥管理服务。

(5)提供密钥托管和密钥恢复服务。

(6)其他密钥生成和管理,密码运算功能。

5.标准X .509数字证书包含那些内容?

答:(1)证书的版本信息。

(2)证书的序列号,每个证书都有一个唯一的证书序列号。

(3)证书使用的签名算法。

(4)证书的发行机构名称。

(5)证书的有效期。

(6)证书所有人的名称。

(7)证书所有人的公开密钥。

(8)证书发行者对证书的签名。

6.电子商务认证中心的安全结构包括那些内容?

答:认证中心的安全结构包括物理与环境安全、网络安全、应用业务系统与数据安全、人员安全与日常操作管理、系统连续性管理这几大环节。

第4章

一、填空题

1.防火墙体系结构可以分为屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。

2.屏蔽主机型防火墙主要由提供安全保护的堡垒主机和屏蔽路由器组成。

3.内部路由器位于内部网和DMZ之间,用于保护内部网不受DMZ和internet的侵害。

4构筑堡垒主机的基本原则有最简化原则和预防原则。

5.堡垒主机的种类有无路由双宿主主机、牺牲主机、内部堡垒主机三种类型。

6.代理技术一般有应用级网关技术、电路级网关技术两种。

7.防火墙一般使用用户身份、客户身份、基于会话的身份三种验证方式。

8.地址翻译主要有静态翻译、动态翻译、端口转换三种模式。

9.VPN的安全协议有SOCKS v5协议、IPSec协议、PPTP/L2PT协议三种。

二、问答题

1.防火墙的基本功能有哪些?

答:

1)能强化安全策略

2)能对网络进行监控

3)可以通过网络地址转换功能方便地部署内部网络的IP地址

4)集中安全性。

5)隔离不同网络,防止内部信息的外泄。

2.简述防火墙的不足之处。

答:

1)不能防备全部网络安全问题。

2)不能防范已感染了病毒的文件和软件在网络上进行传送。

3)防火墙的存在,限制了一些有用的网络服务。

4)防火墙无法防范通过防火墙以外的其他途径的攻击。

5)可靠性和可用性。

3.什么是DMZ?简述DMZ的作用。

答:

DMZ最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。进一步被指为不信任系统提供服务的鼓励网络段。

他是一个孤立的网络,通常把不信任的系统放在那里,DMZ中的系统与其他网络分开。在一般的情况下,DMZ配置成使用internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行传输是严格禁止的。

4.防火墙的主要技术有哪几种?

答:

包过滤技术、代理技术、电路级网关、状态包检查技术。

5.简述包过滤型防火墙的优缺点。

答:

优点:⑴处理包的速度比代理服务器快。

⑵实现包过滤几乎不需要费用。

⑶包过滤路由器对用户和应用来讲是透明的。

缺点:

1)防火墙维护比较困难,定义数据包过滤器比较复杂。

2)只能阻止一种类型的IP欺骗。

3)任何直接经过路由器的数据包都有被用作数据驱动攻击的潜在危险。

4)一些包过滤网关不支持有效的用户认证。

5)不可能提供有用的日志或根本不提供。

6)随着过滤器数目的增加,路由器的吞吐量会下降。

7)IP包过滤无法对网络上流动的信息提供全面的控制。

8)允许外部网络直接连接到内部网络的主机上,易造成敏感数据的泄漏。

6.简述状态检查防火墙的工作原理及特点。

答:

他对每个通过防火墙的数据包都要进行检查,看这些数据包是否属于一个已经通过防火墙并且正在进行连接的会话,或者基于一组与包过滤规则相似的规则集对数据包进行处理。

特点:

1)连接表的使用大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。

2)他能够对特定类型的数据进行检查。

第5章

一、填空题

1.入侵者可以分为外部入侵者和内部入侵者。

2.入侵检测系统包含事件产生器、事件分析器、响应单元、事件数据库四个组件。

3.根据入侵检测系统的检测对象和工作方式的不同,入侵检测系统分为基于主机的

入侵检测系统和基于网络的入侵检测系统两大类。

4.主机文件检测的检测对象主要包括系统日志、文件系统、进程记录。

5.入侵检测系统的检测分析技术主要分为异常检测和误用检测两大类。

6.目前,异常检测技术主要分为统计分析异常检测、贝叶斯推理异常检测、神经网

络异常检测、模式预测异常检测、数据采掘异常检测、机器学习异常检测几种类型。

7.误用检测技术主要分为专家系统误用检测、特征分析误用检测、模型推理误用检

测、条件概率误用检测、键盘监控误用检测几种类型。

二、问答题

1. 什么叫入侵检测系统?入侵检测系统的主要功能有哪些?

答:定义:入侵检测系统是一种能够通过分析系统安全数据来检测入侵活动的系统。

功能:1)监测并分析用户和系统的活动

2)检查系统配置和漏洞

3)评估关系关键资源和数据文件的完整性

4)识别已知的攻击行为

5)统计分析异常行为

6)对操作系统进行日志管理,并识别违反安全策略的用户活动

2. 基于主机的入侵检测系统和基于网络的入侵检测系统各有哪些优势和不足?

答:基于主机的入侵检测系统:

优点:1)检测准确度较高

2)可以检测到没有明显行为特征的入侵

3)能够对不同的操作系统进行有针对性的检测

4)成本较低

5)不会因网络流量影响性能

6)适于加密和交换环境

缺点:1)实时性较差

2)无法检测数据包的全部

3)检测效果取决于日志系统

4)占用主机资源

5)隐蔽性较差

6)如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的

作用

基于网络入侵检测系统:

优点:1)可以提供实时的网络检测

2)可以同时保护多台网络主机

3)具有良好的隐蔽性

4)有效保护入侵证据

5)不影响被保护主机的性能

缺点:1)防入侵欺骗的能力通常较差

2)在交换式网络中难以配置

3)检测性能受硬件条件限制

4)不能处理加密后的数据

3.简述异常检测技术的基本原理。

答:异常检测技术也称为基于行为的检测技术,是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。

异常检测技术首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比对,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。

4. 试比较异常检测技术和误用检测技术各有哪些优势和不足。

答:异常检测技术:优点:1)能够检测出新的网络入侵方法的攻击

2)较少依赖于特定的主机操作系统

3)对于内部合法用户的越违法行为的检测能力较强

缺点:1)误报率高

2)行为模型建立困难

3)难以对入侵行为进行分类和命名

误用检测技术:优点:1)检测准确度高

2)技术相对成熟

3)便于进行系统防护

缺点:1)不能检测出新的入侵行为

2)完全依赖于入侵特征的有效性

3)维护特征库的工作量巨大

4)难以检测来自用户内部的攻击

5. 简述入侵检测系统的优缺点。

答:优点:1)可以检测和分析系统事件以及用户的行为

2)可以检测系统设置的安全状态

3)以系统的安全状态为基础,跟踪任何对系统安全的修改操作

4)通过模式识别等技术从通信行为中检测出已知的攻击行为

5)可以对网络通信行为进行统计,并进行检测分析

6)管理操作系统认证和日志机制并对产生的数据进行分析处理

7)在检测到攻击时,通过适当的方式进行适当的报警处理

8)通过分析引擎的配置对网络的安全进行评估和监督

9)允许非安全领域的管理人员对重要的安全事件进行有效地处理缺点:1)入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞

2)对于高负载的网络或主机,很难实现对网络入侵的实时检测

3)基于知识的入侵检测系统很难检测到未知的攻击行为

4)入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响

5)入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为地进行处理

6)网络入侵检测系统在纯交换环境下无法正常工作,只有对交换环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数

据进行分析处理

7)入侵检测系统主要是对网络行为进行分析检测,不能解决信息资源中存在的安全问题

6. 简述入侵检测系统的配置过程。

答:1)确定入侵检测的需求

2)设计入侵检测系统在网络中的拓扑位置

3)配置入侵检测系统

4)入侵检测系统磨合

5)入侵检测系统的使用及自调节

第6章

一、填空题

1.DOS病毒的绝大部分是感染DOS可执行文件,如:.EXE 、.COM 、.BA T等文件。

2.CIH病毒是第一个直接攻击和破坏硬件的计算机病毒。

3.从近两年的发展趋势看,病毒的威胁将变得更为复杂,病毒的发展呈现出网络化、隐蔽化、多样化、破坏性更强和简单化等特点。

4.计算机病毒程序一般由感染模块、触发模块、破坏模块和主控模块组成。

5.计算机病毒的防治主要从预防、检测和清除三个方面来进行。

6.计算机病毒的检测方式有特征代码法、校验和法、行为检测法、软件模拟法、启发式扫描技术几种。

二、问答题

1.什么是计算机病毒?计算机病毒的发展过程有哪些阶段?

答:计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

1.早期病毒的产生

2.DOS病毒阶段

3.Windows平台阶段

4.网络病毒阶段

5.病毒发展的未来趋势

(1)网络化(2)隐蔽化(3)多样化(4)破坏性强(5)简单化

2.计算机病毒的特征与种类

答:特征:(1)可执行性。(2)传染性。(3)潜伏性。(4)隐蔽性。(5)破坏性。(6)不可预见性。(7)夺取系统控制权

种类:

1.按病毒的传染方式

1)引导型病毒2)文件型病毒3)复合型病毒

2.按病毒的破坏程度

1)良性病毒2)恶性病毒

3.按病毒的算法分类

1)伴随性病毒2)蠕虫型病毒3)寄生型病毒4)变型病毒

4.按病毒的链接方式

1)源码型病毒2)入侵型病毒3)操作系统型病毒4)外壳型病毒

3.简述引导型病毒的工作方式

4.简述宏病毒的工作方式与预防方法

答:宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。

预防措施:1)用最新版的反病毒清除宏病毒。

2)用写字板或word 6.0文档作为清除宏病毒的桥梁。

5.简述蠕虫病毒的工作方式

6.脚本病毒工作方式与预防办法

答:脚本病毒是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等)。有些脚本语言,例如VBScript(Visual Basic Script)以及JavaScript病毒,必须通过Microsoft的Windows Scripting Host(WSH)才能够激活执行以及感染其他文件。

预防方法:1)在IE设置中将Activex插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。

2)及时升级系统和打补丁。

7.简述计算机病毒防护策略的发展趋势

传统的防毒策略:

1)基于点的保护策略

2)被动式保护战略

新防护策略:

1)多层次保护策略

2)集中式管理策略

3)病毒爆发预防策略

第7章

一、填空题

1.常见的口令破解方法有直接猜解简单口令、字典攻击、强力破解、组合攻击、Web欺骗方法。

2.网络监听的防范措施有从逻辑或物理上对网络分段、以交换式集线器代替共享式集线器、使用加密技术、划分VLAN。

3.一般的木马程序都利用TCP/IP协议,采用C/S结构。

4.特洛伊木马主要的隐藏方法有在任务栏里隐藏、在任务管理器里隐藏、改变端口、隐藏通信。

5.在Windows平台下,很多木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括win.ini、system.ini和注册表等。

6.DoS攻击的模式主要有利用软件实现的缺陷、利用协议的漏洞、资源消耗三种。

7.SYN Flood这种DoS攻击的防范措施主要有缩短SYN Timeout时间、设置SYN Cookie、负反馈策略、退让策略。

8.DDoS的攻击过程主要分为收集主机信息、占领傀儡机、实际攻击三个步骤。

9.检测DDoS攻击的主要方法有根据异常情况分析、使用DDoS检测工具。

二、问答题

1.黑客攻击的阶段有哪些?

答:(1)信息收集;

(2)系统安全弱点的探测;

(3)网络攻击。

2.安全口令的设置原则有哪些?

答:(1)设置的口令尽可能复杂,口令至少包含字母、数字和标点符号、一些其他的字符组合;

(2)口令的长度至少8位,不要将口令写下来;

(3)不要将口令存于终端功能键或调制解调器的字符串存储器中;

(4)不要选取显而易见的信息作口令;

(5)不要让人知道,不要让人看见自己在输入口令;

(6)不要交替使用两个口令;

(7)不要在不同系统上使用同一口令;

(8)定期更改口令。

3.端口扫描的原理是什么?其扫描分为哪几类?

答:1)端口扫描的原理

端口扫描程序通常是检查目标主机在哪些端口可以建立TCP连接,如果可以建立连接,则说明该主机在那个端口监听。例如是否能用匿名登录FTP站点,是否有可写的FTP目录,是否能用Telnet登录等。

为了避免被很容易地探测到应用的服务端口,很多管理员将站点的标准服务端口换成其他不容易猜出的端口。例如,有的HTTP服务将80端口换成8080。对于这种情况,入侵者扫描到端口后会用相应的协议进行验证,确定对应的服务类型,以便可以根据不同服务的弱点和漏洞进行攻击。因为不同的协议都有一定的验证命令序列。通过正常的命令序列,就可以完成对应协议提供的服务。

2)端口扫描分为以下几类:

(1)TCP connect()扫描

(2)TCP SYN扫描

(3)TCP FIN扫描

(4)IP段扫描

(5)TCP反向ident扫描

(6)FTP返回攻击

(7)UDP ICMP端口不能到达扫描

(8)UDP recvfrom()和write()扫描

(9)ICMP echo扫描

4.简述网络监听的原理及解决方法。

答:1)网络监听的原理:

一般情况下,要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,一般只有与数据包中目标地址一致的那台主机才能接收。

然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。

2)网络监听的解决方法:

(1)网络监听的检测

<1>在Unix OS下,可以用ps-aun 或ps-augx查看系统所有进程的清单,通过清单可以看

到每个进程占用的CPU时间与内存等。在Windows 2000平台下,除了可以通过“任务管理器”查看进程信息外,可以在命令行模式下用Netstat -a查看当前系统的哪些TCP 端口正在使用或被监听。

<2>可以用正确的IP地址和错误的物理地址去ping被怀疑的主机,运行监听程序的机器会

有响应。

<3>在被监听的计算机上向网上发大量不存在的物理地址的包,由于监听程序要分析和处

理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。

<4>许多网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时,可以在DNS

系统上观测有没有明显增多的解析请求。

<5>使用反监听工具(如antisniffer)等进行检测。

(2)对网络监听的防范措施

<1>从逻辑或物理上对网络分段。

<2>以交换式集线器代替共享式集线器。

<3>使用加密技术。

<4>划分VLAN。

5.特洛伊木马的种类有哪些?

答:(1)破坏型

(2)密码发送型

(3)远程访问型

(4)键盘记录木马

(5)DoS攻击木马

(6)代理木马

(7)FTP木马

(8)程序杀手木马

(9)反弹端口型木马

6.如何检测特洛伊木马?

答:一般系统如果被种入了特洛伊木马,系统一般会有一些异常情况。例如机器突然间变的很慢,鼠标不听使唤,上网速度突然变慢,无故自动关机,自动重启之类的现象。这时用户需要检测是否种入了木马。检测有以下几种常用的方法。

(1)系统命令检测

(2)文件属性检测

(3)系统配置文件检测

(4)检测工具检测

7.简述IP欺骗的原理及防范措施。

答:1)IP欺骗的原理

所谓IP电子欺骗,就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任IP欺骗通常都要用编写的程序实现。IP欺骗者通过使用RA W Socket编程,发送带有假冒的源IP地址的IP数据包,来达到自己的目的。另外,在现在的网上,也有大量的可以发送伪造的IP地址的工具可用。使用它可以任意指定源IP地址,以免留下自己的痕迹。2)IP欺骗的防范措施

(1)抛弃基于地址的信任策略;

(2)进行包过滤;

(3)使用加密方法;

(4)使用随机化的初始序列号。

第8章

一、填空题

1.使用TCP/IP协议的网络所提供的http、ftp、e-mail、rpc和Nfs都包含许多不安全的因素,存在许多漏洞。

2.Web面临的威胁包括客户端与服务器之间信息传输的安全、服务器端的安全问题、客户端安全问题。

3.在windows2000下,针对目前比较流行的asp木马,可以通过设置FileSystemObject 组件、设置Wscript.Shell组件、使用Shell.Appliction组件三种技术来进行对服务器的相关安全操作。

4.一个邮件系统的传输包括用户代理、传输道理及接受代理三大部分。

5.域名系统是一种用于tcp/ip应用程序的分布式数据库,它提供主机名字和地址之间的转换信息。

二、问答题

1.网络站点的脆弱有那些?

答:1.认证环节的薄弱性

2.系统易被监视性

3.易被欺骗性

4.有缺陷的局域网服务

5.复杂的设备和控制

6.主机的安全性无法估计

2.简述Web站点的攻击手段及防范措施?

答:攻击手段

1.DoS攻击(拒绝服务攻击)

2.SQL注入

3.Cookie欺骗

4.木马程序

5.CGI程序的安全性

6.Web欺骗

7.Java与JavaScript攻击

8.ActiveX的安全性

防范措施

1.正确配置服务器操作系统

2.合理配置Web服务器访问限制

3.谨慎组织Web服务器的内容

4.Web服务器设备和相关软件的安全考虑

5.安全管理Web服务器

6.安全设置客户端

3.用实例说明针对一个Access数据库的攻击过程?

答:1.寻找注入点。

2.找到注入页面后,就可以进行注入分析

3.接着分析表中的用户名和口令

4.通过Web后台管理端上传一个木马

5.通过上传的木马程序进行破坏

4.如何增强Web站点的安全性?主要从几个方面出发?

答:1.客户端软件的安全

2.Web服务器的安全

3.客户端的局域网

4.Internet

5.服务器端所处的局域网

6.服务器上的Web服务程序软件

5.E-mail的主要攻击手段有那些?如何设置E-mail站点的安全

答:攻击方式:

1.垃圾E-mail

2.E-mail炸弹

3.E-mail欺骗

4.匿名转发

安全设置:

1.加密签名

2.垃圾邮件过滤

3.病毒扫描

4.防火墙的设置

6.DNS站点收到的安全威胁主要有那些

答:(1)跟踪内部网络拓扑信息。

(2)拒绝服务攻击。

(3)DNS欺骗。

(4)重定向。

7.如何设置安全的DNS站点

答:1.保证DNS部署的安全

2.保护DNS服务器服务

3.保护DNS区域

4.DNS区域数据恢复

5.保护DNS资源记录

6.保证DNS客户端的安全

第9章

一、填空题

1.当前,对操作系统安全构成威胁的问题主要有计算机病毒、特洛伊木马、隐蔽通道、

系统漏洞、系统后门。

2.访问控制系统一般包括主体、容体、安全访问策略三个实体。

3.访问控制常用的实现方法主要有访问控制矩阵、访问能力表、访问控制表、授权关系表。

4.在访问控制策略方面,计算机系统常采用自主访问控制和强制访问控制两种策略。

5.Windows NT/2000安全模型主要由登陆过程、本地安全认证、安全账号管理、安全参考

....

监督器

...

...构成。

6.UNIX是一种是用于多种硬件平台的多用户、多任务操作系统。

二、问答题

1.简述操作系统安全性的设计原则与一般结构。

答:设计基本原则

○1最小特权

○2机制系统的设计

○3开放系统设计

○4完备的存取控制机制

○5基于“允许”的设计原则

○6权限分离

○7避免信息流的潜在通道

○8方便使用

用户软件可信应用软件

安全核

硬件

安全操作系统的一般结构

2.操作系统的安全机制主要有哪些?

答:硬件安全机制

○1存储保护

○2运行保护

○3I/O保护

软件安全机制

○1用户管理的安全性

○2访问控制

○3可信通道

○4安全审计

○5最小特权管理

3.Windows的登录机制是什么?

答:Windows NT/2000要求在访问系统资源以前进行验证。

○1登录过程:(1)本地登录过程

(2)网络登录过程

○2安全标示符

○3访问令牌:(1)访问令牌保存全部安全信息

(2)每个进程均有一个与之相关联的访问令牌

4.简述NTFS对文件系统的安全保护措施。

答:NTFS主要采用两种措施对文件系统进行安全性保护

一是对文件和目录的权限设置

二是对文件和目录进行加密

5.简述Windous注册表的安全机制。

答:注册表是Windows的核心,在注册表中存储着系统的所有硬件和软件信息,通过它可以控制操作系统的行为。注册表对于Windows系统非常重要,所以需要将其进行备份,一旦发生了对注册表的攻击,那么可以用备份的注册表恢复。

6.如何构建UNIX/Linux口令安全?

答:○1选择长的口令

○2口令最好是英文字母和数字的组合

○3不要使用英语单词

○4用户若可以访问多个系统,则不要使用相同的口令

○5不要使用名字作为口令

○6别选择记不住的口令

○7使用UNIX安全程序

○8运用CrackLike原理构建安全的口令

7.简述UNIX/Linux安全管理策略。

答:1)系统管理员的安全管理

○1保持系统管理员个人的登录安全

○2保持整个系统的安全

○3保持口令安全

2)用户的安全管理

○1保证用户口令的安全

○2防止用户自己的文件和目录被非法授权读写

○3防止运行特洛伊木马

④用ctypt命令加密不愿让任何用户看到的文件

⑤在离开终端时,确保用ctrl+d或exit命令退出系统

第10章

一、填空题

1、数据库系统具有的特征有数据独立性,数据共享性,数据冗余度小,数据的保存和移植。

2、数据库保障主要包括事务内部故障,系统范围内的故障,介质故障,计算机病毒和黑客四种。

3、数据库的备份大致有冷备份,热备份和逻辑备份三种类型。

4、数据完整性包括数据的正确性,有效性和一致性。

5、数据转储通常又可分为静态转储和动态转储。

6、数据库系统采用的日志格式有以记录为单位的日志文件和以数据块为单位的日志文件两种。

二、问答题

1、数据库安全的重要性主要表现在哪些方面?其安全特性是什么?

答:数据库安全的重要性主要表现在数据库系统的特性,数据库安全系统特性,及数据库系统的安全性要求。

其安全特性是数据独立性,数据安全性,数据完整性,并发控制,故障恢复。

2、说明数据库安全所面临的威胁。简述数据库系统的安全性要求。

答:在实际的运用中,对数据库安全的威胁绝大部分来自系统运行安全。主要分为以下3种:数据篡改,数据损坏和数据窃取。

数据库系统安全性要求:

1.数据库的完整性

2.元素的完整性

4.访问控制

5.用户认证

6.高可用性

7.安全性与可靠性问题

8.多层数据库系统的安全

3、数据库的数据保护主要从哪些方面着手?

答:数据库保护主要是指数据库的安全性保护,数据的完整性保护,数据库并发控制保护和数据库镜像保护。

4、描述数据库如何进行并发控制。

答:并发控制有以下操作,丢失修改,不能重复读取,“脏”数据的读出,即不正确数据的读出。

并发控制的主要方法是封锁技术。当事务1修改数据时,将数据封锁,这样在事务1读取和修改数据时,其他事务就不能对数据进行读取和修改,直到事务1解除封锁。

5、数据库的加密有哪些要求?数据库加密对数据库原有功能有什么影响?

答:数据加密时,数值类型的数据只能在数值范围内加密,日期和字符类型的数据也只能在各自的类型范围内加密。密文长度不能超过字段限制的长度,否则数据库管理系统将无法接受这些加密过的数据。

数据库数据加密以后,数据库管理系统的一些功能将无法使用,主要是无法实现对数据制约因素的定义。Sybase数据库系统的规则定义了数据之间的制约因素。数据一旦加密,DBMS将无法实现这一功能,而且值域的定义也无法进行。

6、简述数据库的恢复技术。

答:恢复也称为重载或重入,是指当磁盘损坏或数据库崩溃时,通过转储或卸载的备份重新安装数据库的过程。其中数据库的恢复机制涉及两个关键的问题:第一,如何建立冗余数据;第二,如何利用冗余数据实施恢复。建立冗余数据最常用的技术是数据转储和登录日志文件。第11章

网络安全技术期末试卷B

网络安全技术期末试卷 B 集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]

泉州师院2017——2018学年度第一学期应用科技学院 16级计算机科学技术专业《网络安全技术》期末试卷B 一、简答题(每小题7分,共70分) 1、什么是传统加密,什么是公钥加密,并分别说出各两种典型的加密算 法? 2、什么是泛洪攻击,如何防范泛洪攻击? 3、画出利用公钥加密方法进行数据加密的完整流程图。 4、数字签名有何作用,如何实现数字签名? 5、画图说明PGP如何同时实现对数据的保密与认证? 6、什么是防火墙,其主要功能有哪些? 7、使用IPSec的优点是什么? 8、蠕虫用什么手段访问远程系统从而得以传播自己? 9、什么是云计算,有哪三种云服务模型? 10、什么是DDOS攻击? 二、计算题(15分) 请进行RSA算法的加密和解密。要求如下: (1)选取两个素数分别为p=7,q=11,e=13。 (2)先计算求出公开密钥和秘密密钥 (3)对明文P=55进行加密,计算密文C,要求书写加密的过程及其步骤。 (4)对密文C=10进行解密,计算明文P,要求书写解密的过程及其步骤。 三、某投资人士用Modem拨号上网,通过金融机构的网上银行系统,进行证 券、基金和理财产品的网上交易,并需要用电子邮件与朋友交流投资策略。该用户面临的安全威胁主要有: (1)计算机硬件设备的安全; (2)计算机病毒; (3)网络蠕虫; (4)恶意攻击; (5)木马程序; (6)网站恶意代码; (7)操作系统和应用软件漏洞; (8)电子邮件安全。 试据此给出该用户的网络安全解决方案来防范上述安全威胁。(15分)

计算机网络安全第二版课后答案

计算机网络安全第二版课后答案

计算机网络安全第二版课后答案 【篇一:计算机网络安全教程第 2版__亲自整理最全课 后 答案】 txt> 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研 究内容。 2. 信息安全从总体上可以分成 5个层次,密码技术是信息安全中研 究的关键点。 3. 信息安全的目标cia 指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息 系统安全保护等级划分准则》将计算机安全保护划分为以下 5个级别 二、填空题 1. 信息保障的核心思想是对系统或者数据的 4个方面的要求:保护 (protect ),检测(detect ),反应(react ),恢复(restore ) 2. t cg 目的是在计算和通信系统中广泛使用基于硬件安全模块支持 下的可信计算平台 trusted computi ng platform 性。 3. 从1998年到2006年,平均年增长幅度达 全事件的主要因素是系统和网络安全脆弱性( 穷,这些安全威胁事件给in ternet 带来巨大的经济损失。 4. b 2级,又叫结构保护(structured protection )级别,它要求计 算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终 端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻 击和防,以提高整体的安全 50 %左右,使这些安 vul nerability )层

御。 三、简答题 1.网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2.从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3 )操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 网络安全协议基础 一、选择题 1.o si参考模型是国际标准化组织制定的模型,把计算机与计算机之 间的通信分成7个互相连接的协议层。 2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据 进行编码。

网络安全课后答案

1.列出物理网风险的4种类型。 答:窃听;回答(重放);插入;拒绝服务(DoS)。 2.什么是身份鉴别栈? 答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。 3.列出对有线物理网攻击的5种类型。 答:连接破坏;干扰;侦察;插入攻击;回答。 4.有哪几种动态LAN链接的身份鉴别方法? 答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。 5.列出无线网的各种风险。 答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。 6.WEP是一种高强度安全方法吗?为什么? 答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。 7.什么是数据链路的随意模式? 答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。 8.列出各种缓解数据层风险的方法。 答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。 9.试述CHAP的功能、特点和局限性。 答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。 CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。 10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损? 答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。 ARP受损影响:资源攻击、DoS攻击和MitM攻击。 缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。 11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果? 答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。 路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。 12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击? 答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。 13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果? 答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。 14.网络层提供哪些QoS功能?QoS攻击有哪些? 答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。 QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。 15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性? 答:窃听、伪装以及插入攻击。 缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。 局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。 网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。 体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。 安全过滤:这种方法是在模糊安全的水平。 防火墙和过滤出口:它并不能阻止来自源点伪装的网络。 16.什么是IP的安全风险? 答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。 17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么? 答:优缺点: 禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能; 非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机; NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机; 反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射; IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组; 出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击; IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案; IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。 IPSec和IPv6的异同: 从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。 从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。

计算机网络安全考试试题及答案

计算机[网络安全考]试试题及答案一、单项选择题(每小题 1 分,共 30 分) 1. 非法接收者在截获密文后试图从中分析出明文的过程称为(A A. 破译 B. 解密 C. 加密 D. 攻击 ) 2. 以下有关软件加密和硬件加密的比较,不正确的是(B B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3. 下面有关 3DES 的数学描述,正确的是(B A. C=E(E(E(P, K), K), K) C. C=E(D(E(P, K), K), K) 4. PKI 无法实现(D A. 身份认证 5. CA 的主要功能为(D A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书 6. 数字证书不包含( B A. 颁发机构的名称 C. 证书的有效期 A. 身份认证的重要性和迫切性 C. 网络应用中存在不严肃性 A. 用户名+密码A. 社会工程学 B. 卡+密钥 B. 搭线窃听 ) B. 让其他计算机知道自己的存在 D. 扰乱网络的正常运行 ) B. TCP 面向流的工作机制 D. TCP 连接终止时的 FIN 报文 ) C. 地址绑定技术 ) D. 报文摘要技术 ) B. 证书持有者的私有密钥信息 D. CA 签发证书时所使用的签名算法 ) B. 网络上所有的活动都是不可见的 D. 计算机网络是一个虚拟的世界 ) D. 卡+指纹 ) C. 用户名+密码+验证码 C. 窥探 D. 垃圾搜索 ) C. 数据的机密性 D. 权限分配 ) B. 数据的完整性 ) B. C=E(D(E(P, K), K), K) D. C=D(E(D(P, K), K), K) ) A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序 7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明(A 8. 以下认证方式中,最为安全的是( D 9. 将通过在别人丢弃的废旧硬盘、U 盘等介质中获取他人有用信息的行为称为(D 10. ARP 欺骗的实质是(A A. 提供虚拟的 MAC 与 IP 地址的组合 C. 窃取用户在网络中传输的数据 11. TCP SYN 泛洪攻击的原理是利用了(A A. TCP 三次握手过程 C. TCP 数据传输中的窗口技术 12. DNSSEC 中并未采用( C A. 数字签名技术A. 格式化硬盘 B. 公钥加密技术 13. 当计算机上发现病毒时,最彻底的清除方法为(A B. 用防病毒软件清除病毒

网络课网络安全技术期末复习题

【网络课】网络安全技术期末复习题 一、选择题 第一章 (B) 1.由于来自于系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项? A. 黑客攻击 B. 社会工程学攻击 C. 操作系统攻击 D. 恶意代码攻击 (A) 2. 在信息安全性中,用于提供追溯服务信息或服务源头的是哪一项? A. 不可否认性 B. 认证性 C. 可用性 D. 完整性 第二章 (A) 1. 密码技术的哪一个目标不能被对称密码技术实现? A. 完整性 B. 保密性 C. 不可否认性 D. 认证性 (C)2. A想要使用非对称密码系统向B发送秘密消息。A应该使用哪个密钥来加密消息? A. A的公钥 B. A的私钥 C. B的公钥 D. B的私钥 (A) 3. DES的有效密钥长度是多少? A. 56比特 B. 112比特 C. 128比特 D. 168比特 (C) 4. 下面哪种情况最适合使用非对称密码系统? A. 公司电子邮件系统 B. 点到点的VPN系统 C. 证书认证机构 D. Web站点认证 (D) 5. 下面哪个哈希函数最适合8位处理器? A. SHA-256 B. SHA-512 C. MD4 D. MD2 (C) 6. Grace想要使用数字签名技术向Joe发送一则消息,为了获得数字签名,她应该对哪种信息进行签名? A. 明文消息 B. 密文消息 C. 明文消息摘要 D. 密文消息摘要 (C)7. Joe收由Grace签了名的信息,请问Joe该使用哪个密钥来验证签名? A. Joe的公钥 B. Joe的私钥 C. Grace的公钥 D. Grace的私钥 第三章 (C) 1. 下面哪项不属于口令认证? A. 可重用口令认证 B. 一次性口令认证 C. 安全套接层认证 D. 挑战应答口令认证 (C)2. 公钥认证不包括下列哪一项? A. SSL认证 B. Kerberos认证 C. 安全RPC认证 D. MD5认证 第四章 (C) 1. 在TCP/IP协议安全中,下列哪一项属于应用层安全? A. VPNs B. PPP C. Kerberos D. SSL (C) 2. IPSec中有三个主要的协议用来对传输中的系统提供安全服务,不包括下列哪一项?

自考计算机网络安全课后习题答案

计算机网络安全(自学考试4751)课后答案 1.计算机网络面临的典型威胁 窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。 2.计算机网络的脆弱性 互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。 3.计算机网络安全目标 性、完整性、可用性、不可否认性、可控性 4.计算机网络安全层次 物理安全、逻辑安全、操作系统安全、联网安全 5.PPDR包括Policy、Protection Detection Response四个部分。防护、检测和响应组成了一个完整的、动态的安全循环。在整个安全策略的控制和指导下,综合运用防护工具和检测工具掌握系统的安全状态,然后通过适当的响应将网络系统调整到最安全或风险最低的状态,构成一个动态的安全防体系。 6.网络安全技术包括 物理安全措施、数据传输安全技术、外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术 7.网络安全管理的主要容:网络安全管理的法律法规、计算

机网络安全评价标准。 8.网络安全技术的发展趋势:物理隔离、逻辑隔离、防御来自网络的攻击、防御来自网络的病毒、身份认证、加密通信和VPN、入侵检测和主动防御、网管审计和取证。 9.物理安全包括机房环境安全、通信线路安全、设备安全、电源安全 10.机房安全要求:场地选择、防火、部装修、供配电、空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、防电磁泄露。 11.保障通信线路安全的技术措施:屏蔽电缆、高技术加压电缆、警报系统、局域PBX。 12.防止电磁辐射措施:屏蔽、滤波、隔离、接地 13.信息存储安全管理:四防垂直放置、严格管理硬盘数据、介质管理落实到人、介质备份分别放置、打印介质视同管理、超期数据清除、废弃介质销毁、长期数据转存。 14.密码学三个阶段:古代、古典、近代 15.密钥:参与密码变换的参数 16.加密算法:将明文变换为密文的变换函数 17.明文是作为加密输入的原始信息、密文是明文经加密变换后的结果 18.加密体制:单钥密码体制、双钥密码体制 19.认证技术可解决消息完整性、身份认证、消息序号及

计算机网络安全试题及答案.

浙江省2009年4月高等教育自学考试 计算机网络安全试题 课程代码:04751 一、单项选择题(本大题共20小题,每小题2分,共40分 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.下面不是计算机网络面临的主要威胁的是( B A.恶意程序威胁 B.计算机软件面临威胁 C.计算机网络实体面临威胁 D.计算机网络系统面临威胁 2.密码学的目的是( D A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 3.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于( D A.对称加密技术

B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 4.根据美国联邦调查局的评估,80%的攻击和入侵来自( B 04751#计算机网络安全试题第1 页共6 页 A.接入网 B.企业内部网 C.公用IP网 D.个人网 5.下面________不是机房安全等级划分标准。( A A.D类 B.C类 C.B类 D.A类 6.下面有关机房安全要求的说法正确的是( D A.电梯和楼梯不能直接进入机房 B.机房进出口应设置应急电话 C.照明应达到规定范围 D.以上说法都正确

7.关于机房供电的要求和方式,说法不正确的是( A A.电源应统一管理技术 B.电源过载保护技术和防雷击计算机 C.电源和设备的有效接地技术 D.不同用途的电源分离技术 8.下面属于单钥密码体制算法的是(C A.RSA B.LUC C.DES D.DSA 9.对网络中两个相邻节点之间传输的数据进行加密保护的是( A A.节点加密 B.链路加密 C.端到端加密 D.DES加密 04751#计算机网络安全试题第2 页共6 页 10.一般而言,Internet防火墙建立在一个网络的( A A.内部网络与外部网络的交叉点 B.每个子网的内部

计算机网络安全技术期末复习试题

计算机网络安全技术期末复习试题 一、复习范围 (一)单项选择题范围:教材每章的课后习题,另附件给出一些题 (二)计算机安全应用题:见附件 (三)简答题范围:平时作业附件: 一、单项选择题 1、在以下人为的恶意攻击行为中,属于主动攻击的是(A ) A、数据篡改及破坏 B、数据窃听 C、数据流分析 D、非法访问 2、数据完整性指的是(C ) A、保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B、提供连接实体身份的鉴别 C、防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D、确保数据数据是由合法实体发出的 3、以下算法中属于非对称算法的是(B ) A、DESB RSA算法 C、IDEA D、三重DES 4、在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(B ) A、非对称算法的公钥 B、对称算法的密钥 C、非对称算法的私钥 D、CA中心的公钥 5、以下不属于代理服务技术优点的是(D )

A、可以实现身份认证 B、内部地址的屏蔽和转换功能 C、可以实现访问控制 D、可以防范数据驱动侵袭 6、包过滤技术与代理服务技术相比较(B ) A、包过滤技术安全性较弱、但会对网络性能产生明显影响 B、包过滤技术对应用和用户是绝对透明的 C、代理服务技术安全性较高、但不会对网络性能产生明显影响 D、代理服务技术安全性高,对应用和用户透明度也很高 7、在建立堡垒主机时(A ) A、在堡垒主机上应设置尽可能少的网络服务 B、在堡垒主机上应设置尽可能多的网络服务 C、对必须设置的服务给与尽可能高的权限 D、不论发生任何入侵情况,内部网始终信任堡垒主机 8、 "DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?"( B )A56位B64位C112位D128位 9、 Kerberos协议是用来作为:( C ) A、传送数据的方法 B、加密数据的方法 C、身份鉴别的方法 D、访问控制的方法 10、黑客利用IP地址进行攻击的方法有:( A ) A、IP欺骗 B、解密 C、窃取口令 D、发送病毒1 1、防止用户被冒名所欺骗的方法是: ( A )

网络安全课后简答题部分参考答案

第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容? 答:攻击技术主要包括以下几个方面。 (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 (3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。 (4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。 (5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。 防御技术主要包括以下几个方面。 (1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。 (2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。 (3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。 (4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。 (5)网络安全协议:保证传输的数据不被截获和监听。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。 物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。 逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。 第2章网络安全协议基础 1. 简述OSI参考模型的结构 答: OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模

计算机网络安全试卷(答案)

一、填空题。(每空1分,共15分) 1、保证计算机网络的安全,就是要保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性。 2、信息安全的大致内容包括三部分:物理安全、网络安全和操作系统安全。 3、网络攻击的步骤是:隐藏IP、信息收集、控制或破坏目标系统、种植后门和在网络中隐身。 4、防火墙一般部署在内部网络和外部网络之间。 5、入侵检测系统一般由数据收集器、检测器、知识库和控制器构成。 二、单项选择题。(每题2分,共30分) 1、网络攻击的发展趋势是(B)。 A、黑客技术与网络病毒日益融合 B、攻击工具日益先进 C、病毒攻击 D、黑客攻击 2、拒绝服务攻击(A)。 A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击 B、全称是Distributed Denial Of Service C、拒绝来自一个服务器所发送回应请求的指令 D、入侵控制一个服务器后远程关机 3、HTTP默认端口号为(B)。 A、21 B、80 C、8080 D、23 4、网络监听是(B)。 A、远程观察一个用户的计算机 B、监视网络的状态、传输的数据流 C、监视PC系统的运行情况 D、监视一个网站的发展方向 5、下面不是采用对称加密算法的是(D)。 A、DES B、AES C、IDEA D、RSA 6、在公开密钥体制中,加密密钥即(D)。 A、解密密钥 B、私密密钥 C、私有密钥 D、公开密钥 7、DES算法的入口参数有3个:Key、Data和Mode。其中Key的实际长度为(D)位,是DES算法的工作密钥。 A、64 B、7 C、8 D、56 8、计算机网络的安全是指(B)。 A、网络中设备设置环境的安全 B、网络中信息的安全 C、网络中使用者的安全 D、网络中财产的安全 9、打电话请求密码属于(B)攻击方式。

计算机网络安全技术期末复习试题

计算机网络安全技术期末复习资料 一、题型设计 试卷计划由四种题型组成:单项选择题(分数:2*20,共40分)、填空题(分数1*10,共10分)、简答题(分数6*5,共30分)、综合应用题(2题,共20分) 二、复习范围 (一)单项选择题范围:教材每章的课后习题,另附件给出60题 (二)填空题范围:教材每章后的课后习题(三)简答题范围:见附件给出题目 (四)综合应用题: 附件: 单项选择题 1.在以下人为的恶意攻击行为中,属于主 动攻击的是( A ) 2.A、数据篡改及破坏 3.B、数据窃听 4.C、数据流分析 5.D、非法访问 6.数据完整性指的是( C ) 7.A、保护网络中各系统之间交换的数据, 防止因数据被截获而造成泄密8.B、提供连接实体身份的鉴别 9.C、防止非法实体对用户的主动攻击, 保证数据接受方收到的信息与发送方 发送的信息完全一致 10.D、确保数据数据是由合法实体发出的 11.以下算法中属于非对称算法的是 ( B ) 12.A、DES 13.B RSA算法 14.C、IDEA 15.D、三重DES 16.在混合加密方式下,真正用来加解密通 信过程中所传输数据(明文)的密钥是 ( B ) 17.A、非对称算法的公钥 18.B、对称算法的密钥 19.C、非对称算法的私钥 20.D、CA中心的公钥 21.以下不属于代理服务技术优点的是 ( D ) 22.A、可以实现身份认证 23.B、内部地址的屏蔽和转换功能 24.C、可以实现访问控制

25.D、可以防范数据驱动侵袭 26.包过滤技术与代理服务技术相比较 ( B ) 27.A、包过滤技术安全性较弱、但会对网 络性能产生明显影响 28.B、包过滤技术对应用和用户是绝对透 明的 29.C、代理服务技术安全性较高、但不会 对网络性能产生明显影响 30.D、代理服务技术安全性高,对应用和 用户透明度也很高 31.在建立堡垒主机时( A ) 32.A、在堡垒主机上应设置尽可能少的网 络服务 33.B、在堡垒主机上应设置尽可能多的网 络服务 34.C、对必须设置的服务给与尽可能高的 权限 35.D、不论发生任何入侵情况,内部网始 终信任堡垒主机 36."DES是一种数据分组的加密算法, DES 它将数据分成长度为多少位的数据块, 其中一部分用作奇偶校验,剩余部分作 为密码的长度" ( B ) A 56位 B 64位 C 112位 D 128位 9.Kerberos协议是用来作为:( C ) A. 传送数据的方法 B. 加密数据的方法 C.身份鉴别的方法 D.访问控制的方法 10.黑客利用IP地址进行攻击的方法有:( A ) A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 11.防止用户被冒名所欺骗的方法是:( A ) A. 对信息源发方进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 12.屏蔽路由器型防火墙采用的技术

计算机网络安全试题附答案

计算机网络安全试题及答案 一、单项选择题 1、当你感觉到你的Win2000运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有可能认为你受到了哪一种攻击。 B A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 2、RC4是由RIVEST在1987年开发的,是一种流式的密文,就是实时的把信息加密成一个整体,它在美国一般密钥长度是128位,因为受到美国出口法的限制,向外出口时限制到多少位 C A、64位 B、56位 C、40位 D、32位 3、假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段 B A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 4、小李在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端口,此主机最有可能是什么 B A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器 5、你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令 C A、ping B、nslookup C、tracert D、ipconfig 6、以下关于VPN的说法中的哪一项是正确的 C A、VPN是虚拟专用网的简称,它只能只好ISP维护和实施 B、VPN是只能在第二层数据链路层上实现加密 C、IPSEC是也是VPN的一种 D、VPN使用通道技术加密,但没有身份验证功能 7、下列哪项不属于window2000的安全组件 D A、访问控制 B、强制登陆 C、审计 D、自动安全更新 8、以下哪个不是属于window2000的漏洞 D A、unicode B、IIS hacker C、输入法漏洞 D、单用户登陆 9、你是一企业网络管理员,你使用的防火墙在UNIX下的IPTABLES,你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器,你应该怎么设置防火墙规则 B A、iptables—A input—p tcp—s —source—port 23—j DENY B、iptables—A input—p tcp—s —destination—port 23—j DENY C、iptables—A input—p tcp—d —source—port 23—j DENY D、iptables—A input—p tcp—d —destination—port 23—j DENY 10、你的window2000开启了远程登陆telnet,但你发现你的window98和unix计算机没有办法远程登陆,只有win200 0的系统才能远程登陆,你应该怎么办 D

最新网络安全期末试卷

《网络安全》期末试卷 姓名班级 考试时间:60分钟总分:100分 一、填空题(2’*30=60) 1、从内容上看,网络安全包括网络实体安全、软件安全、数据安全和安全管理四个方面。 4、网络安全防范的5个层次为网络、操作系统、用户、 应用程序和数据。 7、美国国防部制定的可信任计算系统评估标准TCSEC(the trusted computing system evaluation criteria)中定义的系统安全中的5个要素是安全策略、可审计机制、可操作性、生命期保证和建立并维护系统安全的相关文件。 10、黑客攻击的步骤是踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹和拒绝服务攻击。 二、选择题(2’*5=10’) 1、下面不属于木马特征的是( B )。 A. 自动更换文件名,难于被发现 B. 程序执行时不占太多系统资源 C. 不需要服务端用户的允许就能获得系统的使用权 D. 造成缓冲区的溢出,破坏程序的堆栈 2、下面不属于端口扫描技术的是( D )。 A. TCP connect()扫描 B. TCP FIN扫描 C. IP包分段扫描 D. Land扫描 3、下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 4、下面不属于按网络覆盖范围的大小将计算机网络分类的是( C )。 A. 互联网 B. 广域网 C. 通信子网 D. 局域网 5、下面不属于木马伪装手段的是( A )。

A. 自我复制 B. 隐蔽运行 C. 捆绑文件 D. 修改图标 三、判断题(2’*5=10’) 1、缓冲区溢出并不是一种针对网络的攻击方法。(√) 2、DDoS攻击破坏性大,难以防范,也难以查找攻击源,被认为是当前最有效的攻击手法。(√) 3、扫描器可以直接攻击网络漏洞。(ⅹ) 4、病毒传染主要指病毒从一台主机蔓延到另一台主机。(ⅹ) 5、DDoS攻击是与DoS无关的另一种拒绝服务攻击方法。(ⅹ) 四、简述题(10’*2=20’) 1、简述拒绝服务攻击的概念和原理。 拒绝服务攻击的概念:广义上讲,拒绝服务(DoS,Denil of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。 拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。

最新网络信息安全课后习题答案

一: 1.信息安全根源:①网络协议的开放性,共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。 2.网络信息系统的资源:①人:决策、使用、管理者②应用:业务逻辑组件及界面组件组成③支撑:为开发应用组件而提供技术上支撑的资源。 3.信息安全的任务:网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用;信息安全的任务是保障信息在存储、传输、处理等过程中的安全,具体有机密性、完整性、不可抵赖性、可用性。 4.网络安全防范体系层次:物理层、系统层、网络层、应用层、管理层安全 5.常见的信息安全技术:密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。 二: 1.简述对称加密和公钥加密的基本原理: 所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密,或虽不相同,但可由其中任意一个很容易推出另一个;公钥加密使用使用一对唯一性密钥,一为公钥一为私钥,不能从加密密钥推出解密密钥。 常用的对称加密有:DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有:RSA、Diffie-Hellman密钥交换、ElGamal 2.凯撒密码:每一个明文字符都由其右第三个字符代替 RSA:①选两个大素数pq②计算n=pq和ψ(n)=(p-1)(q-1)③随机取加密密钥e,使e和ψ(n)互素④计算解密密钥d,以满足ed=1modψ(n)⑤加密函数E(x)=m e mod n,解密函数D(x)=c d mod n,m是明文,c使密文⑥{e,n}为公开密钥,d 为私人密钥,n一般大于等于1024位。 D-H密钥交换:①A和B定义大素数p及本源根a②A产生一个随机数x,计算X=a x mod p,并发送给B③B产生y,计算Y=a y mod p,并发送给A④A计算k=Y x mod p⑤B计算k’=X y mod p⑥k,k’即为私密密钥 三: 1.PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱动。 2.PKI组件(p24):认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。 3.PKI核心服务(p26):①认证:向一个实体确认另一个实体确实就是用户自己 ②完整性:向一个实体确保数据没有被有意或无意地修改③机密性:向一个实体确保除了接受者,无人能读懂数据的关键部分。 4.PKI的支撑服务(p27):安全通信、安全时间戳、公证、不可否认、特权管理。 5.密匙和证书管理阶段(p34):①初始化阶段:终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段:证书检索、证书验证、密匙恢复、密匙更新③取消阶段:证书过期、证书撤消、密匙历史、密匙档案。

密码编码学与网络安全_课后习题答案(全)

密码编码学与网络安全(全) 1.1 什么是OSI安全体系结构? OSI安全体系结构是一个架构,它为规定安全的要求和表征满足那些要求的途径提供了系统的方式。该文件定义了安全攻击、安全机理和安全服务,以及这些范畴之间的关系。 1.2 被动安全威胁和主动安全威胁之间的差别是什么? 被动威胁必须与窃听、或监控、传输发生关系。 电子邮件、文件的传送以及用户/服务器的交流都是可进行监控的传输的例子。主动攻击包括对被传输的数据加以修改,以及试图获得对计算机系统未经授权的访问。 1.4验证:保证通信实体之一,它声称是。 访问控制:防止未经授权使用的资源(即,谁可以拥有对资源的访问,访问在什么条件下可能发生,那些被允许访问的资源做这个服务控制)。 数据保密:保护数据免受未经授权的披露。 数据完整性:保证接收到的数据是完全作为经授权的实体(即包含任何修改,插入,删除或重播)发送。 不可否认性:提供保护反对否认曾参加全部或部分通信通信中所涉及的实体之一。 可用性服务:系统属性或访问和经授权的系统实体的需求,可用的系统资源,根据系统(即系统是可用的,如果它提供服务,根据系统设计,只要用户要求的性能指标它们)。 第二章 1.什么是对称密码的本质成分?明文、加密算法、密钥、密文、解密算法。4.分组密码和流密码的区别是什么? 流密码是加密的数字数据流的一个位或一次一个字节。块密码是明文块被视为一个整体,用来产生一个相同长度的密文块...... 分组密码每次处理输入的一组分组,相应的输出一组元素。流密码则是连续地处理输入元素,每次输出一个元素。 6.列出并简要定义基于攻击者所知道信息的密码分析攻击类型。 惟密文攻击:只知道要解密的密文。这种攻击一般是试遍所有可能的密钥的穷举攻击,如果密钥空间非常大,这种方法就不太实际。因此攻击者必须依赖于对密文本身的分析,这一般要运用各种统计方法。 已知明文攻击:分析者可能得到一个或多个明文消息,以及它们的密文。有了这些信息,分析者能够在已知明文加密方式的基础上推导出某些关键词。 选择明文攻击:如果分析者有办法选择明文加密,那么他将特意选去那些最有可能恢复出密钥的数据。 第三章思考题 3.2分组密码和溜密码的差别是什么? 流密码是加密的数字数据流的一个位或一次一个字节。 块密码是明文块被视为一个整体,用来产生一个相同长度的密文块。3.5混淆和扩散的差别是什么? 明文的统计结构中的扩散,成密文的远射统计消退。这是通过有每个明文

计算机网络安全考试试卷

计算机网络安全试卷A 一、选择题(每题2分,共20分) 1、TELNET协议主要应用于哪一层( A ) A、应用层 B、传输层 C、Internet层 D、网络层 2、一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于( A )基本原则。 A、最小特权 B、阻塞点 C、失效保护状态 D、防御多样化 3、不属于安全策略所涉及的方面是( D )。 A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略 4、WINDOWS主机推荐使用( A )格式 A、NTFS B、FAT32 C、FAT D、LINUX 5、在攻击远程漏洞时,困难在于( D ): A、发现ESP B、计算偏移量 C、确定成功 D、上述所有 6、在X86攻击中哪个十六进制值通常用作NOP( B )? A、0x41 B、0x90 C、0x11 D、0x00 7、( D )协议主要用于加密机制 A、HTTP B、FTP C、TELNET D、SSL 8、不属于WEB服务器的安全措施的是( B ) A、保证注册帐户的时效性 B、删除死帐户 C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码 9、DNS客户机不包括所需程序的是( D ) A、将一个主机名翻译成IP地址 B、将IP地址翻译成主机名 C、获得有关主机其他的一公布信息 D、接收邮件 11、为了防御网络监听,最常用的方法是( B ) A、采用物理传输(非网络) B、信息加密 C、无线网 D、使用专线传输 13、向有限的空间输入超长的字符串是( A )攻击手段。 A、缓冲区溢出 B、网络监听 C、端口扫描 D、IP欺骗 14、使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于( A )漏洞 A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 15、不属于黑客被动攻击的是( A ) A、缓冲区溢出 B、运行恶意软件 C、浏览恶意代码网页 D、打开病毒附件 16、不属于计算机病毒防治的策略的是( D ) A、确认您手头常备一张真正“干净”的引导盘 B、及时、可靠升级反病毒产品 C、新购置的计算机软件也要进行病毒检测 D、整理磁盘 17、针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是( D )防火

(精选)网络安全期末考试试题及答案

1.分组密码体制应遵循什么原则,以DES密码体制为例详细说明。 混乱原则和扩散原则 混乱原则:为了避免密码分析者利用明文和密文之间的依赖关系进行破译,密码的设计因该保证这种依赖关系足够复杂。 扩散原则:为避免密码分析者对密钥逐段破译,密码的设计因该保证密钥的每位数字能够影响密文中的多位数字 密钥置换算法的构造准则 设计目标:子密钥的统计独立性和灵活性 实现简单 速度 不存在简单关系:( 给定两个有某种关系的种子密钥,能预测它们轮子密钥之间的关系) 种子密钥的所有比特对每个子密钥比特的影响大致相同 从一些子密钥比特获得其他的子密钥比特在计算上是难的 没有弱密钥 (1)分组长度足够长,防止明文穷举攻击,例如DES,分组块大小为64比特, (2)密钥量足够大,金额能消除弱密钥的使用,防止密钥穷举攻击,但是由于对称密码体制 存在密钥管理问题,密钥也不能过大。 (3)密钥变化够复杂 (4)加密解密运算简单,易于软硬件高速实现 (5)数据扩展足够小,一般无数据扩展。 差错传播尽可能小,加密或者解密某明文或密文分组出错,对后续密文解密影响尽可能 2.利用公钥密码算法实现认证时,一般是(1)C=EKRA(M),发送方A用私钥加 密后发送给B;(2)M=DKUA (C):接收方B用A方的公钥进行解密。请问,在这个过程中,能否保证消息的保密性?若不能,请你给出解决方案。 答:不能,在这个过程中,采用的是单次加密,而且接收方采用的是公钥解密,公钥是公开的,只要有人截获了密文,他就可以据此很容易地破译密文,故不能保证消息的保密性。 解决方案:可以采用两次运用公钥密码的方式,即:(1)C=EKUA(EKRA(M)) (2)M=DKUA(DKRA(C)) 这样,发送方A首先用其私钥对消息进行加密,得到数 字签名,然后再用A方的公钥加密,所得密文只有被拥有私钥的接收方解密,这样就可以既保证提供认证,又保证消息的保密性。 3.Ipsec有两种工作模式。请划出数据包的封装模式并加以说明,并指出各自 的优缺点。 IPSec协议(包括 AH和ESP)既可用来保护一个完整的IP载荷,亦可用来保护某个IP载荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的,如图所示。其中,传送模式用来保护上层协议;而通道模式用来保护整个IP数据报。 在传送模式中,IPSec先对上层协议进行封装,增加一 IPSec头,对上层协议的数据进行保护,然后才由IP协议对封装的数据进行处理,增加IP头;

相关文档
相关文档 最新文档