《网络安全》复习资料

一、单项选择题

1. DES是使用最广泛的对称密码，它的密钥长度为位。

A. 64

B. 56

C. 128

D. 1024

2.数字签名是一种认证技术，它保证消息的来源与。

A. 保密性

B. 完整性

C. 可用性

D. 不可重放

3.分组密码有5种工作模式，适合传输DES密钥。

A．ECB B． CBC C． CFB D．OFB

4.关于双钥密码体制的正确描述是。

A．双钥密码体制中加解密密钥不相同，从一个很难计算出另一个

B．双钥密码体制中加密密钥与解密密钥相同，或是实质上等同

C．双钥密码体制中加解密密钥虽不相同，但是可以从一个推导出另一个

D．双钥密码体制中加解密密钥是否相同可以根据用户要求决定

5.下列关于网络防火墙说法错误

．．的是。

A．网络防火墙不能解决来自内部网络的攻击和安全问题

B．网络防火墙能防止受病毒感染的文件的传输

C．网络防火墙不能防止策略配置不当或错误配置引起的安全威胁

D．网络防火墙不能防止本身安全漏洞的威胁

6．数字签名是附加于消息之后的一种数据，它是对消息的密码变换，保证了和完整性。

A．保密性B．消息的来源 C．可用性 D．不可否认性7．关于RSA，以下说法不正确的是。

A．收发双方使用不同的密钥 B．非对称密码

C．流密码 D．分组密码

8．作为网络层安全协议，IPSEC有三个协议组成。

A． AH、ESP、IKE B． AH、ESP、PGP

C． AH、TLS、IKE D． AH、SSL、IKE

9．DES是使用最广泛的对称密码，它的分组长度为位。

A．64 B．56 C．128 D．1024

10．包过滤防火墙工作在层。

A．链路层 B．网络层 C．传输层 D．应用层

11．下面各种加密算法中属于双钥制加密算法的是。

A．RSA B．LUC C．DES D．DSA

12．对网络中两个相邻节点之间传输的数据进行加密保护的是。

A．节点加密B．链路加密 C．端到端加密D．DES加密

13．一般而言，Internet防火墙建立在一个网络的。

A．内部网络与外部网络的交叉点 B．每个子网的内部

C．部分内部网络与外部网络的结合处 D．内部子网之间传送信息的中枢

14.将获得的信息再次发送以产生非授权效果的攻击为。

A．伪装 B．消息修改C．重放 D．拒绝服务

15.以下各种加密算法属于双钥制加密算法的是。

A．DES B．Ceasar C．Vigenere D．RSA

16.信息的接收者应该能够确认消息的来源，入侵者不可能伪装成他人，称为。

A．加密B．认证 C．抗抵赖 D．完整性

17.计算机网络安全的目标不包括。

A.保密性

B.不可否认性

C.免疫性

D.完整性

18.最适合建立远程访问VPN的安全协议是。

A．SOCKSv5 B．IPSec C．PPTP/L2PT D．SSL

19.公钥证书提供了一种系统的，可扩展的，统一的。

A．公钥分配方法 B．私钥分配方法 C．对称密钥分配方法 D．数据完整性方法

20.下面属于网络防火墙功能的是。

A.过滤进、出网络的数据

B.保护内部和外部网络

C.保护操作系统

D.阻止来自于内部网络的各种危害

21.对网络中两个相邻节点之间传输的数据进行加密保护的是。

A.节点加密

B.链路加密

C.端到端加密

D.DES加密

22.当明文改变时，相应的散列值。

A. 不会改变

B. 一定改变

C. 在绝大多数情况下会改变

D. 在绝大多数情况下不会改变

23.在主动攻击中，阻止或禁止对通信设施的正常使用或管理属于攻击。

A．重放 B．伪装C．拒绝服务 D．消息内容泄漏

24.下列不属于数据传输安全技术的是。

A.防抵赖技术

B.数据传输加密技术

C.数据完整性技术

D.旁路控制

25.以下不属于对称式加密算法的是。

A.DES

B.RSA

C.CAST

D.IDEA

26.关于消息认证（如MAC等），下列说法中错误

．．的是。

A.消息认证有助于验证发送者的身份

B.消息认证有助于验证消息是否被篡改

C.当收发者之间存在利害冲突时，采用消息认证技术可以解决纠纷

D.当收发者之间存在利害冲突时，单纯采用消息认证技术无法彻底解决纠纷

27.针对窃听攻击采取的安全服务是。

A.鉴别服务

B.数据机密性服务

C.数据完整性服务

D.抗抵赖服务

28.假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于。

A.对称加密技术

B.分组密码技术

C.公钥加密技术

D.单向函数密码技术

29.关于双钥密码体制，下列说法中错误的是。

A．双钥密码体制中加解密密钥不相同，从一个很难计算出另一个

B．利用双钥密码体制实现数据保密时，用接收方的公钥加密数据

C．双钥密码体制中加解密密钥虽不相同，但是可以从一个推导出另一个

D．利用双钥密码体制可以实现数字签名

30.电子商务交易必须具备抗抵赖性，目的在于防止。

A.一个实体假装成另一个实体

B.参与此交易的一方否认曾经发生过此次交易

C.他人对数据进行非授权的修改、破坏

D.信息从被监视的通信过程中泄漏出去

31.HTTPS是一种安全的HTTP协议，它使用来保证信息安全。

A.IPSec

B.SSL

C.SET

D.SSH

32.Kerberos认证协议时，首先向密钥分发中心发送初始票据，请求一个会话票据，以便获取服务器

提供的服务

A.RSA

B.TGT

C.DES

D.LSA

33.驻留在多个网络设备上的程序在短时间内同时产生大量的请求信息冲击某个Web服务器，导致该服务器不堪

重负，无法正常响应其它合法用户的请求，这属于。

A.网上冲浪

B.中间人攻击

C.DDoS

D.MAC攻击

34.包过滤防火墙通过来确定数据包是否能通过。

A.路由表

B.ARP表

C.NAT表

D.过滤规则

35.某we b网站向CA申请了数字证书，用户登录该网站时，通过验证，可确认该数字证书的有效性。

A.CA签名

B.网站的签名

C.会话密钥

D.DES密码

36. RSA密码体制是一种。

A．对称流密码 B．非对称分组密码C．非对称流密码 D．对称分组密码

37.以下各种算法中属于单钥制算法的是。

A.RSA

B.Caesar

C.DSS

D.Diffie-Hellman

38.非对称密码体制使用不同的密钥：一个公钥，一个私钥，使用公钥进行。

A.解密和验证

B.解密和签名

C.加密和签名

D.加密和验证

39.下面关于数字签名的说法错误的是。

A.能够保证信息传输过程中的保密性

B.能够对发送者的身份进行认证

C.如果接收者对报文进行了篡改，会被发现

D.可以处理通信双方自身发生的攻击

40.数字证书采用公钥体制进行加密和解密，每个用户有一个私钥，用它进行。

A.解密和验证

B.解密和签名

C.加密和签名

D.加密和验证

41.某web网站向CA申请了数字证书，用户登录该网站时，通过验证CA签名，可确认该数字证书的有效性，从

而。

A.向网站确认自己的身份

B.获取访问网站的权限

C.和网站进行双向认证

D.验证该网站的真伪

42.常用对称加密算法不包括。

A.DES

B.AES

C.RC4

D.RSA

43.以下用于在网路应用层和传输层之间提供加密方案的协议是。

A.PGP

B.IPSec

C.SSL

D.DES

44.关于PGP，叙述不正确的是。

A.PGP是保障电子邮件安全的开源软件包

B.PGP使用数字签名提供认证

C.PGP使用对称分组加密提供保密性

D.PGP使用Diffie-Hellman或RSA中接收者的私钥加密会话密钥传输

45.采用Kerberos系统进行认证时，可以在报文中加入来防止重放攻击。

A.会话密钥

B.时间戳

C.用户ID

D.私有密钥

46.X.509数字证书中的签名字段是指。

A.用户对自己证书的签名

B.用户对发送报文的签名

C.发证机构对用户证书的签名

D.发证机构对发送报文的签名

47. 被动攻击试图了解或利用系统的信息但不影响系统资源，流量分析与就是两种被动攻击方法。

A．重放 B．伪装 C．消息修改D．消息内容泄漏

48.SSL/TLS使用提供保密性，使用提供消息的完整性。

A.对称密码，安全散列函数

B.对称密码，消息认证码

C.非对称密码，安全散列函数

D.非对称密码，消息认证码

49关于网络安全，以下说法正确的是。

A.使用无线传输可以防御网络监听

B.木马是一种蠕虫病毒

C.使用防火墙可以有效地防御病毒

D.红色代码病毒利用Windows IIS系统的服务器安全漏洞进行传播

50.“TCP SYN Flooding”建立大量处于半连接状态的TCP连接，其攻击目标是网络的。

A.保密性

B.完整性

C.真实性

D.可用性

12.公钥分配方法包括公开发布、公开可访问目录、公钥授权与。

A.Diffie-Hellman

B.公钥证书

C.RSA

D.DSS

51．X.509标准是一个广为接受的方案，用来规范的格式。

A．认证服务 B．私钥 C．公钥证书 D．公钥

52.下面的说法是不正确的。

A.Hash函数能用于入侵检测和病毒检测

B.消息认证码是用来验证消息完整性的一种机制

C.报文摘要适合数字签名但不适合数据加密

D.从给定的数字签名伪造消息在计算上是不可行的，但从给定的消息伪造数字签名在计算上是可行的

A.26

B.23

C.16

D.24

54.若 Bob 给 Alice 发送一封邮件,并想让 Alice 确信邮件是由 Bob 发出的,则 Bob 应该选用对邮件

加密。

A.Alice 的公钥

B.Alice 的私钥

C.Bob 的公钥

D.Bob 的私钥

55.在 RSA 算法中,取 p=3,q=11,e=3,则 d 等于。

A.33

B.20

C.14

D.7

56.数字证书是用来解决。

A.公钥分发问题

B.私钥分发问题

C.对称密钥分发问题

D.数据完整性问题

57.以下各种算法中属于双钥制算法的是。

A.DES

B.Caesar

C.Vigenere

D.Diffie-Hellman

58.SSL为TCP提供可靠的端到端安全服务，SSL体系包括。

A.SSL握手协议，SSL警报协议，SSL修改密码规范协议与SSL记录协议

B.SSL握手协议，SSL警报协议，SSL修改密码规范协议与SSL协议

C.TCP，SSL握手协议，SSL警报协议，SSL记录协议

C.SSL握手协议，SSL警报协议，SSL记录协议与SSL密钥管理协议

59.Kerberos 是 80 年代中期,麻省理工学院为 Athena 项目开发的一个认证服务系统,其目标是把 ,

记账和审记的功能扩展到网络环境。

A.访问控制

B.认证

C.授权

D.监控

60.关于摘要函数,叙述不正确的是。

A.输入任意大小的消息,输出是一个长度固定的摘要

B.输入消息中的任何变动都会对输出摘要产生影响

C.输入消息中的任何变动都不会对输出摘要产生影响

D.可以防止消息被篡改

61.下面关于数字签名的说法错误的是。

A.能够保证信息传输过程中的保密性

B.能够对发送者的身份进行认证

C.如果接收者对报文进行了篡改，会被发现

D.网络中的某一用户不能冒充另一用户作为发送者或接收者

62.常用对称加密算法不包括。

A.DES

B. AES

C. RC-5

D. RSA

63. 是保证电子邮件安全的免费开放安全协议。

A．S/MIME B． SSL C． IPSEC D． PGP

64.下列行为不属于网络攻击的是。

A.连续不停ping某台主机

B.发送带病毒和木马的电子邮件

C.向多个邮箱群发一封电子邮件

D.暴力破解服务器密码

65.目前网络上流行的“熊猫烧香”属于类型的病毒。

A.目录

B. 引导区

C. 蠕虫

D. DOS

66.多形病毒指的是的计算机病毒。

A.可在反病毒检测时隐藏自己

B. 每次感染都会改变自己

A.Hash函数能用于入侵检测和病毒检测

B.消息认证码是用来验证消息完整性的一种机制

C.报文摘要适合数字签名但不适合数据加密

D.数字签名系统一定具有数据加密功能

A.电码本

B.密文反馈

C.输出反馈

D.计数器

二、填空题

1.RFC 2828把安全服务定义为由系统提供的对系统资源进行特殊保护的处理或通信服务，其中保证收到的数据的

确是授权实体所发出的数据（既没有修改、插入、删除）的安全服务是数据完整性。

2.在DES加密算法中，64位的明文首先经过初始转换，然后进行16轮相同函数的作用，每轮作用都有___代换___和____置换___操作。

3.防抵赖技术的常用方法是__数字签名___ __。

4.认证符是一个用来认证消息的值，用来产生认证符的函数可分为如下三类：消息加密、

_____消息认证码__和____散列函数____。

5.认证头（AH）安全协议有两种工作模式，分别为_______传输模式____和____遂道模式_____。

6.安全服务包括认证、数据机密性、数据完整性访问控制、不可否认性。

7.主动攻击包括对数据流进行修改或伪造数据流，它可分为四类：重放、伪装、消息修改和拒绝

服务。

8.传统密码技术中，常用的两种基本变换技术分别是___代换___和____置换___，DES的轮结构中包含这两种技

术的应用。

9.组成IPSec的三大协议是____AH_________________、______ESP_________________和IKE。

10.公钥密码系统中常用的算法有RSA、Diffie-Hellman、DSA等，从应用角度可将公钥密码系统分为三类，分别

是_____加密/解密_______________、____数字签名______________和密钥交换。

11.SSL为TCP提供一种可靠的端对端安全服务，其两层协议主要由___SSL握手协议____________、___SSL记

录协议___________、SSL密码变更规格协议和SSL报警协议组成。

12.防火墙按其体系结构分为__包过滤防火墙_______、___双宿主机防火墙___、___屏蔽主机型防火墙和屏蔽子

网型防火墙。

13.DES技术属于__对称分组___________加密技术。

14.某加密体制是计算上安全的需满足以下条件：破译密码的代价超过密文信息的价值、

破译密码的时间超过密文信息的有效生命期。

15.公钥密码学是为解决传统密码中最困难的两个问题而提出的，第一个问题是密钥管理，第

二个问题是数字签名。

16. IPSec安全协议主要有两种工作模式，分别为_______传输模式____和____遂道模式_____。

17.目前，较为常用的散列算法有SHA 、MD5 等。

18. SSL为TCP提供一种可靠的端对端安全服务，其两层协议中的握手协议允许客户端和服务器端相互认证，

协商加密和MAC算法、保护数据使用的___密钥_____。

19.为了存储、组织密钥，PGP为每个节点提供一对数据结构，即____公钥环_____和___私钥环，这也是保证PGP有效工作的关键文件。

20.对称加密方案有5个基本成分，分别为明文，___加密算法______________，_____密钥_____________，密

文与_____解密算法____________。

21.数字签名是附加于数据单元之后的一种数据，通过数字签名可使接收方证明消息的来源是真实的

和消息的完整性，并防止伪造。

22.常见的网络数据加密方式有____对称加密_____________和____非对称加密_____________两种。

23.分组密码有5种工作模式，CBC模式适合加密长度大于64位的消息，加密密钥时应该使用 ECB

工作模式。

24.PGP是保障电子邮件安全的免费开源软件包，它提供了__消息签名____、__消息加密__ _、压缩、电子邮件兼

容性与分段5种服务。

25.隧道模式ESP的加密范围为__整个报文____。

26.IPSec是IETE以RFC形式公布的一组安全协议集，它包括 AH 与 ESP 两个安全协

32.在其生命周期中，病毒一般会经历4个阶段：潜伏阶段，传染阶段，触发阶段与发作阶段。

33.由于状态监测型防火墙需要记录通信对端的连接状态，所以它至少需要在TCP/IP协议栈的__传输_____层

实现。

34.攻击传统的密码体制有两种通用的方法：__密码分析学__ __、___穷举攻击_____。

35.消息修改指修改合法消息的一部分或延迟消息的传输或改变消息的顺序

以获得非授权的效果。

36.Feistel结构由许多相同的轮函数组成。每一轮中，对输入数据的一半进行___代换_____，接着用一个__置换

__来交换数据的两个等分部分

37.密码学Hash函数要求如下两种情况在计算上不可行：对预先指定的Hash值找到对应的数据

与找到两个不同的数据块对应相同的Hash值。

38.消息认证确保收到的数据确实和发送时的一样，且发送方声称的身份是真实有效的。

39.密码编码学处理明文的方法有两种，分别为分组密码与流密码。

40.ESP支持传输模式与隧道模式，传输模式适合于保护主机之间连接，隧道模式适用于

防火墙或其他安全网关，保护内部网络，隔离外部网络。

41. ____数字签名___________可以处理通信双方自身发生的攻击。

42.为了减少加密时间，PGP使用传统和公钥加密组合提供保密服务。使用一次性对称密钥加密数据，使用

公钥算法加密会话密钥。

43.分组密码的工作模式包括电码本、__密文分组链接___、密文反馈、输出反馈和计数器，

一个加密密钥的安全传输使用ECB 工作模式。

46.RFC 2828把安全攻击分为主动攻击与被动攻击，信息内容泄露与流量分析就是两种被动攻

击。

47.用于消息认证最常见的密码技术是___消息认证码_____与安全散列函数。

48. X.509定义了数字证书的格式，这种格式被广泛使用于各种应用中。

49.SSL记录协议的操作过程包括分段、压缩、加上MAC 、加密、加上SSL记录头。

三、名词解释

1.流密码：一种对称加密算法，其中输出的密文由输入的明文逐位或逐字节地加密产生。

2.计算上安全：破译密码的代价超过密文信息的价值、破译密码的时间超过密文信息的有效生命期

3.主密钥：密钥分配中心与通信双方为加密传输会话密钥而使用的一种长寿命密钥

4.数字签名：一种认证机制，通过计算消息的散列值并用产生者的私钥加密散列值来生成签名，从而保证了消息

的来源与完整性。

5.不可否认性：防止发送方和接收方否认传输或接收过某条消息的行为。

6.会话密钥：会话双方使用的临时加密密钥

7.公钥证书：公钥证书由如下构成：公钥和公钥所有者的标识符，以及由可信第三方对整个数据块的签名。一般这个可信的第三方是认证中心，所有用户都信任CA。

8.消息认证码：它是消息和密钥的函数，它产生定长的值，以该值作为认证符。

9.数据完整性：保证收到的数据的确是授权实体所发出的数据（即没有修改、插入、删除或重放）。

10.分组密码：一种加密算法，其每次处理输入的一组元素，相应地输出一组元素。

11.消息摘要：又称散列值，它是由变长输入消息的函数输出的固定大小的值，并不使用密钥。

12.重放：将获得的信息再次发送以产生非授权的效果

13.防火墙：设置在不同网络或网络安全域之间的，对网络流量或访问行为实施访问控制的安全组件或一系列组件的集合。

14.认证符：为使接收者能验证所接收到的消息的真实性而附加在消息后面的额外信息。

15.Diffie-Hellman密钥交换

16.传输模式：为上层协议提供保护，同时增加了IP包载荷的保护，传输模式用于在两台主机进行的端到端通信中。

17.拒绝服务:阻止或禁止对通信设施的正常使用或管理

18网络安全：网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断

19公开密钥基础设施（PKI）：用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施

三、判断题

( × )1.一种加密方案是安全的,当且仅当破译密码的时间超出密文信息的有效生命期。

( )2.现代密码体制的特点是：数据的安全基于密钥而不是算法的保密。

( )3.常见的公钥密码算法有 RSA 算法,Diffie-Hellman算法和DSS算法。

( )4.在SSL协议中，客户端的认证总是由服务器发起的。

( × )5.公钥密码是一种通用的方法，所以传统密码已经过时。

( )6.Diffie-Hellman密钥交换协议是安全的，仅当通信双方的真实性能够得到保证。

( )7.MAC以可变长度的消息和秘密钥作为输入，产生一个认证码进行消息认证。

( × )8.公钥基础设施（PKI）是建立在对称加密算法之上的，用于创建、管理、存储、分发和撤销数字证书的一整套体系。

( )9.PGP可以在电子邮件和文件存储应用中提供保密和认证服务。

( × )10.IPSec的隧道模式所存在的一个缺陷是可以根据传输的数据包进行通信量分析。

( )11.在端到端加密中，主机可对整个包加密（包含信息头）。

( )12.除了一次一密之外，所有的加密算法都不是无条件安全的。

( × )13.从抗密码分析的角度看，传统密码优于公钥密码。

( × )14.当明文发生变化时，相应的摘要值不一定发生变化。

( × )15.公钥密码方案是安全的，仅当公钥的真实性能够得到保证。

( )16.Kerberos利用一个可信的第三方认证服务来完成客户端与服务器的认证。

( × )17.网络安全应具有以下四个方面的特征:保密性,完整性,可用性,可查性。

( )18.现代密码体制把算法和密钥分开,只需要保证密钥的保密性就行了,算法是可以公开的。

( × )19.拒绝服务攻击属于被动攻击的一种。

( × )20.DES 算法中对明文的处理过程分 3 个阶段: 首先是一个初始置换 IP, 用于重排明文分组的 64 比特数据. 然后是具有相同功能的 64 轮变换,每轮中都有置换和代换运算.最后是一个逆初始置换从而产生

64 比特的密文。

( × )21.公开密钥密码体制比对称密钥密码体制更为安全。

( )22.Diffie-Hellman 算法的安全性在于离散对数计算的困难性,可以实现密钥交换。

( )23.PGP中允话用户拥有多个公钥／私钥对。

( × )24.端到端的加密设备可以把数据包中的网络地址信息一起加密, 从而抵御了流量分析类型的攻击。( )25.SSL使用对称加密提供保密性，使用消息认证码提供消息完整性。

( )26.包过滤防火墙不检查上层数据，因此，对于那些利用特定应用漏洞的攻击，防火墙无法防范。

( )27.安全是相对的,永远没有一劳永逸的安全防护措施。

( × )28.为了保证安全性,密码算法应该进行保密。

( × )29.一种加密方案是安全的,当且仅当解密信息的代价大于被加密信息本身的价值。

( )30.身份认证要求对数据和信息的来源进行验证,以确保发信人的身份。

( × )31.IPSec中，AH提供保密服务与认证服务。

( × )32.我的公钥证书是不能在网络上公开的,否则其他人可能假冒我的身份或伪造我的数字签名。

( × )33.SSL为IP提供可靠的安全服务。

( )34.防火墙可以被设计成IP级的包过滤器，也可以被应用在更高级别的协议层。

四、简答题

1.简要说明Diffie-Hellman密钥交换过程。

2.消息认证或数字签名有哪两层功能？各为了对付哪些类型的攻击？

（1）保证了消息的来源和完整性。

（2）消息认证用来保护信息交换双方不受第三方的攻击，数字签名是为了防止通信双方自身发生的攻击。

3.在PGP安全协议中，用户私钥并不直接存储在私钥环中，而是加密后存储，简述私钥的处理过程。

4.IPSEC提供了在LAN、WAN和互联网中安全通信的能力，它提供了哪些服务？

访问控制，无连接完整性，数据源认证，拒绝重放包，保密性，限制流量保密性

5.分组密码与流密码的区别是什么？DES是什么密码？

分组密码每次处理输入的一组元素，相应地输出一组元素

流密码则是连续地处理输入元素，每次输出一个元素

DES是分组密码

6.简要说明PGP提供的5种主要服务是什么？

（1）数字签名（2）消息加密（3）数据压缩（4）电子邮件兼容性（5）邮件的分段

7.对称密码要求消息交换双方共享密钥，请给出可用的密钥分配方法。

密钥分配：将密钥发放给希望交换数据的双方而不让知道

密钥分配的方法：

（1）密钥由A选择，并亲自交给B。

（2）第三方选择密钥后亲自交给A和B。

（3）如果A和B以前或最近使用过某密钥，其中一方可以用它加密一个新密钥后再发送给另一方。

（4）A和B与第三方C均有秘密渠道，则C可以将密钥分别秘密发送给A和B

8．简述安全服务与安全机制。

安全服务是指计算机网络提供的安全防护措施，ISO定义5种基本的安全服务：认证、访问控制、数据机密性、数据完整性与不可否认性

安全机制是用来实施安全服务的机制，ISO定义了8类安全机制：加密机制、数字签名机制、数据完整性机制、鉴别交换机制、流量填充机制、路由控制机制与公证机制

安全机制是安全服务的核心和关键，一种安全服务可要求一种或多种安全机制支持，一种安全机制也可以应用于多种安全服务。

9.IPSec有传输模式与隧道模式两种工作模式，请指出他们的区别。

传输模式

隧道模式

10.SSL记录协议提供有哪些服务，并指出SSL记录协议传输的步骤。

（1）应用数据分段（2）每个分段压缩（3）对压缩过的数据计算其MAC值并附加过压缩数据的后面（4）对附加有MAC值的压缩数据加密（5）对加密过的数据加上SSL记录头构成一个完事的记录

11.简述被动攻击与主动攻击的区别，并列出被动攻击与主动攻击的种类

主动攻击试图改变系统资源或影响系统运作；被动攻击试图了解或利用系统的信息但不影响系统资源。

被动攻击的特征是对传输进行窃听或监测，包括信息内容的泄漏和流量分析两类

主动攻击包括对数据流进行修改或伪造数据流，包括伪装，重播，消息修改和拒绝服务四类

12.单向散列函数具有哪些特性？

（1）对任何大小的数据都可用作输入

（2）对任何给定的数据，计算消息摘要是很容易的，

（3）任何一个给定的消息摘要算法，给定消息摘要，推出输入数据在计算机上是不可行的。

（4）给定消息摘要，找出能够产生同样的消息摘要的两个不同的输入数据在计算机上是不可行的。

（5）输入数据的任何改动都会导致不同的消息摘要

（6）消息摘要算法是公开的，它的安全能力来自于产生单向散列函数的能力。

14. 你认为防火墙的功能范围是什么？哪些问题不是安装防火墙就能解决的？

防火墙的功能范围：

（1）防火墙设立了单一阻塞点，它使得未授权的用户无法进入网络，禁止了潜在的易受攻击的服务进入或是离开网络，同时防止了种种形式的IP欺骗和路由攻击

（2）防火墙提供了一个监控安全事件的地点

（3）防火墙还是一种便利的平台，这个平台提供了一些与网络安全无关的功能

（4）防火墙可作为IPSec的平台

防火墙的局限性：

（1）防火墙不能防御绕过了它的攻击

（2）防火墙不能消除来自内部的威胁

（3）防火墙不能防止病毒感染过的程序和文件进出网络

15.什么是会话密钥与主密钥？两者的区别是什么？

会话密钥：末端系统之间通信使用的一个临时密钥

主密钥：密钥分配中心与通信双方为加密传输会话密钥而使用的一种长寿命密钥。一般地，主密钥的分配不是用密钥学的方法来进行的。主密钥也称为密钥加密密钥。

区别：会话密钥是临时的，主密钥是长寿命密钥，会话密钥需要使用主密钥加密后方能传送

16.简要说明用来产生消息认证符的函数类型。

（1）消息加密：整个消息的密文作为认证符。

（2）消息认证码：它是消息和密钥的函数，它产生定义的值，以该值作为认证符。

（3）散列函数：它将任意长的消息映射为定义的散列值，以该散列值作为认证符。

17.消息认证码和散列函数之间的区别是什么？

消息认证码：它是消息和密钥的函数，它产生定长的值，以该值作为认证符。

散列函数：将不同长度的数据块或消息变换成定长的散列码的函数。该函数被设计用来在数据保护中提供对数据或消息的认证。

不同：消息认证码使用密钥，散列函数仅是输入消息的函数。

网络安全协议课程设计-IPsec隧道协议的安全分析与改进

《网络安全协议》 课程设计 题目IPsec隧道协议的安全分析与改进班级 学号 姓名 指导老师 2015年 7 月 4 日

目录 一、概述 (2) 1.1课程设计的目的 (2) 1.2课程设计的内容 (2) 1.3课程设计的要求 (3) 二、问题分析 (3) 2.1系统需求 (3) 2.2 GRE协议分析 (3) 2.3 IPsec协议分析 (4) 三、协议漏洞 (5) 3.1协议漏洞解决措施 (5) 3.2协议漏洞解决详解 (5) 四、协议完善具体实现 (6) 4.1实现分析 (6) 4.2 GRE实现流程分析 (8) 4.3简单设备设置 (10) 五、案安全性分析 (11) 六、程设计心得、总结 (11) 七、参考文献 (12)

一、概述 网络如若想实现交流传输，必须以网络协议为载体进行。而网络协议（Network Protcol）是控制计算机在网络介质上进行信息交换的规则和约定。网络协议通常会被按OSI参考模型的层次进行划分。OSI参考模型是国际标准化组织制定的网络体系结构参考模型，提供各种网络互联的标准，共分七层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，会话层、表示层和应用层往往被合并称为高层。当前的计算机网络的体系结构是以TCP/IP协议为主的Internet结构。伴随着网络的诞生近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。网络安全的实现首先需要网络协议的安全，但是网络协议都是人为写的，存在先天的不足与缺陷，以至于只能慢慢实践发现并给与补充。这里先谈一下VPN中的GRE协议。GRE（Generic Routing Encapsulation，通用路由封装）协议是由Cisco和Net-smiths等公司于1994年提交给IETF（Internet Engineering Task Force，网络工程工作小组）的，标号为RFC1701和RFC1702。GRE协议规定了如何用一种网络协议去封装另一种网络协议的方法，是一种最简单的隧道封装技术，它提供了将一种协议的报文在另一种协议组成的网络中传输的能力。GRE协议就是一种应用非常广泛的第三层VPN隧道协议。GRE隧道使用GRE协议封装原始数据报文，基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址。本文从GRE协议的工作原理入手，从安全性角度出发，详细分析了GRE隧道协议的不足与缺陷，最后提出了相关的安全防护方案。 1.1课程设计的目的 详细分析IPsec隧道协议不支持对多播和广播的加密的不足，并针对其漏洞设计实施完善可行的策略。 1.2课程设计的内容 将GRE与IPsec结合使用，弥补IPsec不能保护组播数据的缺陷。因为GRE可以封装组播数据并在GRE隧道中传输，所以对于诸如路由协议、语音、视频等组播

网络安全教育教案

《网络安全教育》教案 萍乡二中王文慧 【教学目标】 1、了解网络成瘾的特征和危害。 2、掌握网络成瘾的应对方法。 3、培养学生的判断能力、辨别能力以及防范能力。 4、帮助学生树立正确的人生观和价值观，鼓励学生追求科学、健康、充实的学习与生活。【教学重点】 1、了解网络成瘾的严重危害。 2、懂得安全、正确、合理的使用网络的必要性。 【教学难点】 1、了解网络成瘾的特征和危害，掌握应对网络成瘾的方法。 2、培养学生的判断能力、辨别能力以及防范能力。 【教学准备】 多媒体教学、课件、音乐。 【教学方法】 1、教法：实例分析法、引导探索法。 2、学法：合作学习法、探究学习法。 【教学课时】一课时 【教学过程】 环节一：创设情境、导入新课 1、先播放一首歌曲，引出什么是网络。 2、根据网络使用及成瘾的现状数据指出中学生使用互联网人数多、时间长，网络成瘾率高。 3、明确网络成瘾的定义。 设计意图：聆听歌曲，活跃气氛，激发学生学习的兴趣； 展示数据，引起学生对网络成瘾的关注。 环节二：案例解析、感知危害

1、分析5个贴近生活的案例： 案例（1）：南昌高三学生余斌，在紧张复习准备迎接高考的情况下，却每天背着书包去网吧“上学”，最终在玩网络游戏的时候因心里过度紧张、激动而猝死； 案例（2）：四川省什坊市唐亮是一各中学生，在当地是有名的网络游戏高手，在游戏中被对手杀死23次后，分不清虚拟世界和现实世界，最终在现实世界里将对手杀死； 案例（3）：19岁的王金沉溺于网络游戏不能自拔，为了要钱上网，不惜用铁锤砸死把他一手抚养成人的奶奶，并在奶奶没有了呼吸之后连衣服鞋子都没顾得上换就又去了网吧。杀害奶奶后不想到逃窜，却仍然若无其事继续流连网吧，王金对网络的沉迷让人匪夷所思。 案例（4）：龙海三名少年经常泡网吧，喜欢玩暴力游戏、看不健康内容的电影，在没钱上网的情况下，三人模仿电影里面的故事情节对司机实施抢劫。疯狂作案9起后，被捕入狱。 案例（5）：QQ是我们都用过的聊天工具，却没料到它也能引发一场血案。高中生李飞因为帮朋友挂QQ，不满对方发来了一些震动的窗口，带着讲义气的哥们和砍刀到对方的学校较量，最终双方在群殴中变得伤痕累累。 2、同学们看了以上案例后有什么感受呢分小组进行讨论，说说网络成瘾会带来哪些危害 学生讨论： 神经紊乱，导致死亡； 学习成绩下降 视力减弱 道德意识模糊 淡化虚拟与现实的差异，容易诱发犯罪。 教师归纳： 1、摧残身体，影响健康 2、心理受损，人格异化 3、滋生是非，扰乱治安 4、影响学业，贻误终生 5、安全隐患，危及生命 设计意图：通过案例分析、分组讨论让学生深刻体会网络成瘾带来的危害。使学生意识到千万不能跌入这个深渊，从而懂得安全、正确、合理使用网络的必要性。这环节突出了教学重点。 环节三：观察特征，对号入座 1、测试：生活中的你是否也对网络成瘾呢 以下有9条上网成瘾的表现，如果你有4条符合，就可以认定网络成瘾了。 （1）上网已占据你的身心；

网络安全基础知识试题及答案

网络安全基础知识试题及答案 网络安全基础知识试题及答案 1. 使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型（A） A 、拒绝服务 B 、文件共享 C 、BIND漏洞 D 、远程过程调用 2. 为了防御网络监听，最常用的方法是（B） A 、采用物理传输（非网络） B 、信息加密 C 、无线网 D 、使用专线传输 3. 向有限的空间输入超长的字符串是哪一种攻击手段？（A） A 、缓冲区溢出; B 、网络监听 C 、拒绝服务

D 、IP 欺骗 4. 主要用于加密机制的协议是（D） A 、HTTP B 、FTP C 、TELNET D 、SSL 5. 用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码, 这是属于何种攻击手段？(B) A 、缓存溢出攻击; B 、钓鱼攻击 C 、暗门攻击; D 、DDOS攻击 6. Windows NT 和Windows 2000 系统能设置为在几次无效登录后锁定帐号, 这可以防止(B) A 、木马; B 、暴力攻击; C 、IP 欺骗; D 、缓存溢出攻击 7. 在以下认证方式中，最常用的认证方式是：(A) A 基于账户名／口令认证 B 基于摘要算法认证;

C 基于PKI 认证; D 基于数据库认证 8. 以下哪项不属于防止口令猜测的措施？(B) A 、严格限定从一个给定的终端进行非法认证的次数; B 、确保口令不在终端上再现; C 、防止用户使用太短的口令; D 、使用机器产生的口令 9. 下列不属于系统安全的技术是（B） A 、防火墙 B 、加密狗 C 、认证 D 、防病毒 10. 抵御电子邮箱入侵措施中，不正确的是（ D ） A 、不用生日做密码 B 、不要使用少于 5 位的密码 C 、不要使用纯数字 D 、自己做服务器 11. 不属于常见的危险密码是（ D ） A 、跟用户名相同的密码 B 、使用生日作为密码 C 、只有 4 位数的密码 D 、10 位的综合型密码

网络安全课程设计报告书

网络安全课程设计 --------------------企业网络搭建 组长： 成员： 成员：

项目规划目录 1.企业网络现状及设计目标（需求分析） 1.1概述 1.2实际网络的特点及目前企业网络优缺点分析 1.3设计目标 2. 要解决的几个关键问题 2.1研究设计中要解决的问题 2.2针对现在网络中出现的网络安全问题，本课题所作的改善设计 3. 系统设计关键技术 3.1.目标具体实现中采用的关键技术及分析 3.2设计实现的策略和途径描述 3.3 设计模型及系统结构（新的拓扑图） 4. 系统实现技术 概述 4.1物理设备安全 4.2 VPN技术 4.3 访问控制列表与QOS技术 4.4服务器的安全

1.1概述 中国国内目前的企业需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。 然而，有网络的地方就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。 网络攻击在迅速地增多 网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。 考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外

中学生网络安全教育教案(真)

中学生网络安全教育教案 一、教学目的： 为了贯彻落实国家信息部，安全使用网络的倡议，继续进一步搞好我校的网络使用安全教育，减少因网络的使用而带来的负面影响，杜绝网络潜在危险。 二、教学重点： 1、加强网络使用安全知识的学习，加强自身使用网络的遵守意识。 2、组织安全教育活动，增强遵守网络使用安全的意识。 三、教学过程： 导入语：今天当我们步入网络社会，发现青年与网络之间存在众多的契合点，正是这些契合点使青年对互联网“一网情深”。青年在网络影响下千状百态虽然向社会展示了其众多绚丽之处，也令人倍感惊喜。但不少青年网民的失色表现却无论如何不能给社会增辉，不能让人高枕无忧。 内容一青少年用户使用互联网的特征 一、用户开始使用互联网的时间：约80％的用户从1999年或2000年开始使用互联网，网龄大都不长。具体分布如下：1997年以前占6．3％；1998年占14．0％；1999年占36．20％；2000年占43．50％。 二、上网地点：58．8％的青少年用户在家里上网，31．5％的用户在亲戚朋友家上网，在网吧、咖啡厅或电子游戏厅上网的占20．45％，在父母或他人办公室上网的占15．0％，在学校上网的占10．8％。 三、上网时间和对上网时间的满意度估计：青少年用户平均每周上网时间212分钟左右，如果平均到每日，约30分钟左右。37．0％的用户认为自己上网时间“正好”，认为“比较多还能满足”的用户占12．0％，认为“太多了”的仅为0．7％。31．7％的用户认为“比较少”，18．5％的青少年用户认为“太少了”。也就是说，50％的青少年用户对上网时间并不满足。 四、互联网功能的使用：玩游戏占62％；使用聊天室占54．5％；收发电子邮件占48．6％；下载储存网页占39．7％；使用搜索引擎占25．0％；订阅新闻占21，9％；网络电话占14．7％；网上寻呼占14．3％；制作和更新个人网页占12．6％；上传文件占9．4％；公告板(BBS)占9．2％；代理服务器占2．3％。 五、用户和非用户对互联网的需求；用户选择“获得更多的新闻”为最重要的需求的比例最高，其均值为3.81(满分为5分，以下同)。以下依次是：“满足个人爱好”为3．74；“提高课程的学习效率”为3．71；“课外学习和研究有兴趣的问题”为3．67；“结交新朋友”为3．65。最不重要的需求是“享受成年人的自由”，均值为2．8l。 内容二网络的影响 一网络的正面影响 1、网络有助于创新青少年思想教育的手段和方法。利用网络进行德育教育工作，教育者可以以网友的身份和青少年在网上“毫无顾忌”地进行真实心态的平等交流，这对于德育工作者摸清、摸准青少年的思想并开展正面引导和全方位沟通提供了新的快捷的方法。此外，由于网络信息的传播具有实时性和交互性的特点，青少年可以同时和多个教育者或教育信息保持快速互动，从而提高思想互动的频

《网络安全基础》试题三

网络安全试卷A 一、选择题(20题，每题2分，共40分) 1、信息风险主要指那些？（D） A、信息存储安全 B、信息传输安全 C、信息访问安全 D、以上都正确 2、一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于（A ）基本原则。 A、最小特权 B、阻塞点 C、失效保护状态 D、防御多样化 3、不属于安全策略所涉及的方面是（D ）。 A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略 4、不属于常见把入侵主机的信息发送给攻击者的方法是（D ） A、E-MAIL B、UDP C、ICMP D、连接入侵主机 5、WINDOWS主机推荐使用（A ）格式 A、NTFS B、FAT32 C、FAT D、LINUX 6、在每天下午5点使用计算机结束时断开终端的连接属于（A ） A、外部终端的物理安全 B、通信线的物理安全 C、窃听数据 D、网络地址欺骗 7、下列说法不正确的是（D ） A、安防工作永远是风险、性能、成本之间的折衷。 B、网络安全防御系统是个动态的系统，攻防技术都在不断发展。安防系统必须同时发展与更新。 C、系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念，以便对现有的安防系统及时提出改进意见 D、建立100%安全的网络 E、安防工作是循序渐进、不断完善的过程 8、不属于WEB服务器的安全措施的是（D ） A、保证注册帐户的时效性 B、删除死帐户 C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码 9、DNS客户机不包括所需程序的是（D ） A、将一个主机名翻译成IP地址 B、将IP地址翻译成主机名 C、获得有关主机其他的一公布信息 D、接收邮件 10、有关对称密钥加密技术的说法，哪个是确切的？（C ） A、又称秘密密钥加密技术，收信方和发信方使用不同的密钥 B、又称公开密钥加密，收信方和发信方使用的密钥互不相同

网络安全设计

网络安全设计 班级：________________________ 姓名：________________________ 指导老师：__________________________ 完成日期：________________

目录 项目背景 (3) 设计目的 (4) 安全风险分析 (4) 网络安全技术方案 (6) 部署防火墙 (7) 部署入侵检测系统 (11) 部署网闸 (13) VPN (15) 计算机系统安全 (16) 心得体会与反思 (19)

项目背景 1、设计背景 X 研究所是我国重要的军工研究所，拥有强大的军事装备研发实力，在研发过程中充分应用信息技术，显著提高了研发工作的效率。该所除总部建设了覆盖全所的计算机网络外，北京办事处也建有计算机网络以处理日常事务。总部和北京办事处间通过Internet 连接。少量员工到外地出差时也可能需要通过Internet 访问研究所内部网络。总部包括一室、二室、计算机中心等许多业务和职能部门。 研究所网络的拓扑结构如下图： 在研究所内网中，运行着为全所提供服务的数据库服务器、电子邮件服务器、Web服务器等。 2、安全需求 （1）防止来自Internet 的攻击和内部网络间的攻击； （2）实现Internet 上通信的保密和完整性，并实现方便的地址管理； （3）数据库服务器存储了研究所的所有数据需要特殊保护； （4）主机操作系统主要是Linux 和Windows，要采取相应的安全措施； （6）解决移动办公条件下文件安全问题。

设计目的 网络安全课程设计是信息安全专业重要的实践性教学环节，目的是使学生通过综合应用各种安全技术和产品来解决实际网络安全问题，以深入理解和掌握课堂教学内容，培养解决实际问题的能力。 安全风险分析 该所的办公主要有三类，即在公司总部办公、在北京办事处办公以及出差员 工在外的移动办公。公司总部、北京办事处以及出差员工间需要通过网络通信来 进行数据传输。公司总部设置有web服务器、email 服务器和数据库服务器，这些服务器存储着公司的大量机密信息跟关键数据，它们的安全性决定了公司的是否能安全正常的运营。影响公司系统安全的攻击主要分为两种，即内部攻击和外部攻击。对该公司的网络拓扑结构及公司提供的各种服务来进行分析，可以看出该公司的网络系统存在以下风险： 内部攻击 即来自内部人员的攻击，公司内部人员无意或者有意的操作引起的对网络系 统的攻击，通常有数据窃取、越权访问等。 外部攻击 外部攻击方式多种多样且攻击方式层出不穷，有ip 欺诈、口令破解、非法 访问、垃圾邮件轰炸、ddos 攻击、数据窃取、网络监听、病毒、木马、蠕虫等 攻击方式。这些攻击方式将对系统的安全性、可靠性、可用性、机密性、完整性产生巨大的威胁。 通过对该公司的网络拓扑结构的分析出的该公司存在的来自内部或外部的 安全风险，结合各种安全技术的原理特点和具体安全产品功能，对其归类总结出该公司的系统安全类别如下： 1. 网络安全：通过入侵检测、防火墙、vpn、网闸等，保证网络通信的安全。 2. 系统安全：通过各种技术保证操作系统级的安全。 3. 系统应用的安全：通过各种技术保证数据库、电子邮件、web 等服务的 安全。

网络安全课设Kerberos实验报告

附件《网络安全课程设计》实验报告格式 2012-2013学年第2学期 《网络安全课程设计》实验报告3 实验名称：实验18 安全协议之Kerberos协议 完成时间： 2014-6-4（练习三） 姓名：石心刚学号：110342124 姓名：何伊林学号：110342106 姓名：白冠军学号：110342101 姓名：尹新来学号：110342136 姓名：饶明艺学号：110342122 指导教师：崔鸿班级：110342A

实验目的 1.了解身份认证的原理及其重要意义 2.学习Kerberos身份认证全过程 3.学会在Linux下配置Kerberos身份认证系统 系统环境 Linux 网络环境 交换网络结构 实验工具 krb5 v1.6.2 实验步骤 本练习主机A～F为一组。实验角色说明如下： 首先使用“快照X”恢复Linux系统环境。 一．配置主KDC 在此过程中，将使用以下配置参数： 领域名称= https://www.wendangku.net/doc/4a15448896.html,LAB DNS 域名= https://www.wendangku.net/doc/4a15448896.html,lab 主KDC = https://www.wendangku.net/doc/4a15448896.html,lab admin 主体= admin/admin admin主体密码：admin 数据库管理密码：jlcss （1）首先为主KDC改名，编辑/etc/sysconfig/network文件，把HOSTNAME改为kdc1，保存后重启系统。 （2）配置/etc/resolv.conf文件使本机找到DNS服务器，修改内容如下。 其中domain后面用来标识DNS域名，nameserver后面则用来标识DNS服务器的IP地址。在本实验中我们就以“应用服务器”作为DNS服务器，它的全限制域名是https://www.wendangku.net/doc/4a15448896.html,lab，IP可以根据实验情况进行调整。 （3）主KDC配置时钟同步服务ntpd。Kerberos服务对于时间同步的要求是很高的，

网络安全复习试题

1 计算机与网络安全基础考试题 关于80年代Mirros 蠕虫危害的描述，哪句话是错误的? 占用了大量的计算机处理器的时间，导致拒绝服务 窃取用户的信息，破坏计算机数据文件 该蠕虫利用Unix 系统上的漏洞传播 大量的流量堵塞了网络，导致网络瘫痪 b telnet 协议在网络上明文传输用户的口令，这属于哪个阶段的安全问题? 管理员维护阶段 软件的实现阶段 用户的使用阶段 协议的设计阶段 d 许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么? 安装防病毒软件 给系统安装最新的补丁 安装防火墙 安装入侵检测系统 b

亚太地区的IP地址分配是由哪个组织负责的APNIC ARIN APRICOT APCERT a 以下关于DOS攻击的描述，哪句话是正确的? 导致目标系统无法处理正常用户的请求 不需要侵入受攻击的系统 以窃取目标系统上的信息为目的 如果目标系统没有漏洞，远程攻击就不可能成功 a 以下关于Smurf 攻击的描述，那句话是错误的 攻击者最终的目标是在目标计算机上获得一个 它使用ICMP 的包进行攻击 它依靠大量有安全漏洞的网络作为放大器 它是一种拒绝服务形式的攻击 a 在以下人为的恶意攻击行为中，属于主动攻击的是身份假冒 数据窃听 数据流分析 非法访问

a TCP、IP、ICMP协议的协议号分别是（） 0，1，6 6，1，0 6，0，1 1，0，6 c 以下不属于代理服务技术优点的是 可以实现身份认证 部地址的屏蔽和转换功能 可以实现访问控制 可以防数据驱动侵袭 d 以下关于计算机病毒的特征说确的是 计算机病毒只具有破坏性，没有其他特征 计算机病毒具有破坏性，不具有传染性 破坏性和传染性是计算机病毒的两大主要特征 计算机病毒只具有传染性，不具有破坏性 c 以下关于宏病毒说确的是 宏病毒主要感染可执行文件 宏病毒仅向办公自动化程序编制的文档进行传染 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区

网络安全设计方案.doc

目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来

2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即， 可用性：授权实体有权访问数据 机密性：信息不暴露给未授权实体或进程 完整性：保证数据不被未授权修改 可控性：控制授权范围内的信息流向及操作方式 可审查性：对出现的安全问题提供依据与手段 访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。 数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面：（1）内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。 （2）搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。 （3）假冒 这种威胁既可能来自企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 （4）完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/

网络与信息安全技术课程设计指导

潍坊科技学院 网络安全技术及应用课程设计指导书 2018年10月9日

一．课程设计目的 本实践环节是网络安全类专业重要的必修实践课程，主要要求学生掌握网络安全相关的原理和技术以及在网络安全实践中的应用。本课程设计的目的如下。 1）培养学生掌握文献检索、资料查询及运用现代网络技术获取网络安全相关知识和网络的基本方法； 2）使学生在真正理解和掌握网络安全的相关理论知识基础上，动手编写安全程序，通过系统和网络的安全性设计，加密算法、计算机病毒、恶意 代码的分析与设计等实践锻炼，解决一些实际网络安全应用问题，同时 了解本专业的前沿发展现状和趋势； 3）使学生具备设计和实施网络安全相关实验的能力以及相应的程序设计能力，具备对实验结果进行分析，进而进行安全设计、分析、配置和管理 的能力。 二．课程设计题目 （一）定题部分 任选下列一个项目进行，查阅相关文献、了解相关的系统，要求完成系统需求规约文档、系统分析模型文档、系统设计模型文档、系统测试设计文档、系统编码和测试报告。 以下题目任选，但是要达到工作量和代码量的要求，如果不能达到，可以融合几部分的内容。一些功能如果有其他的方法实现，也可以不按照指导书的要求。此外，还可以对常用的安全软件的功能延伸和改进。自由选题不能设计一些不良程序，比如游戏类，不过可以设计监控，限制玩游戏的程序。 1、局域网网络侦听和数据包截取工具 文档要求 系统分析，包括问题的描述、需求确定、系统要完成的主要功能、解决的实际问题等 系统设计，包括系统的逻辑模型、模块划分、处理过程等 系统实现，按照系统设计的结构分模块实现，要求给出程序的功能说明 程序实现要求

计算机网络安全基础试题及复习资料

计算机网络安全基础试题及答案 2008年01月09日 22:03 第一章: 1,信息安全定义:为了防止对知识,事实,数据或功能未经授权而使用,误用,未经授权修改或拒绝使用而采取的措施。 第二章 1,攻击的类型:访问攻击(信息保密性攻击,修改攻击(信息完整性攻击,拒绝访问攻击,否认攻击。 2,访问攻击类型:监听,窃听,截听。 3,修改攻击类型:更改攻击,插入攻击,删除攻击。 4,什么是warchalking?:warchalking是指在办公楼外面的道路旁边画的粉笔标记。这些标记用来标识附近有哪些无线网络可以使用,便于个人更容易接入这些网络。 第三章 1,黑客动机:挑战,贪婪,恶意。 2,黑客技术的类型:开放共享,糟糕的密码,编程中的漏洞,社会工程,缓存溢出,拒绝服务。 3,缓存溢出:为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程序的源代码来发现。

4.Ip哄骗:攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后,黑客可以使用假的源ip地址向目标发送tcp syn数据包。目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。 5.特洛伊木马:是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为攻击者收集识别信息和密码信息的恶意代码。 6.病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件,被称为宏病毒。 7.蠕虫病毒:无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目标系统并自行扩散,进而对网络上的其他系统实施攻击。 8,黑客必须完成以下两种工作才能监听交换网络:让交换机发送通信给交换网络,或者让交换机发送通信给所有端口。 9.通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器。 第四章 攻击 机密性 完整性 可用性 责任性 访问

企业网络安全综合优秀设计

企业网络安全综合设计方案 1 企业网络分析此处请根据用户实际情况做简要分析 2 网络威胁、风险分析 针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面： 2.1内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。 2.2 搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如等网络协议分析工具，在网络安全的薄弱处进入，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。 2.3 假冒 这种威胁既可能来自企业网内部用户，也可能来自内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 2.4 完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。 2.5 其它网络的攻击 企业网络系统是接入到上的，这样就有可能会遭到上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或

网络安全课程设计报告

中原工学院计算机学院《网络安全程序》课程设计报告 题目：基于des加密的聊天程序 班级：网络124班

目录 第1章绪论____________________________________________________ 3 1.1 des加密背景______________________________________________ 3 1.2 聊天程序设计背景 _________________________________________ 4第2章加密原理________________________________________________ 5 2.1 des简介__________________________________________________ 5 2.2 des加密原理______________________________________________ 5 2.3 des加密过程______________________________________________ 7第3章聊天程序设计____________________________________________ 8 3.1 TCP/IP协议_______________________________________________ 8 3.2 客户机/服务器模式 ________________________________________ 8 3.3 Socket ___________________________________________________ 9第4章系统设计_______________________________________________ 11 4.1 开发语言及环境 __________________________________________ 11 4.2 需求分析 ________________________________________________ 11 4.2.1 功能需求分析__________________________________________ 11 4.2.2 数据需求分析__________________________________________ 11 4.2.3 性能需求分析__________________________________________ 12 4.2.4 运行需求分析__________________________________________ 12 4.3 程序流程图 ______________________________________________ 13 4.4 模块设计 ________________________________________________ 14 4.4.1 服务器________________________________________________ 14 4.4.2 客户端________________________________________________ 15 第5章程序测试_______________________________________________ 17 5.1 运行结果________________________________________________ 17 第6章总结___________________________________________________ 21参考文献______________________________________________________ 21

网络安全教案

网络安全 第一节提高网络自护意识和能力 教学目标： 1、使学生端正对电脑网络的态度，增强网络自护的意识。 2、使学生了解“网虫”，避开“网害”的侵扰。 3.了解网络自护的具体措施，提高学生网络自护的能力。 教学内容： 1、端正对电脑网络的态度。 2、了解“网虫”的特点。 3、网络自护的具体措施。 教学过程： （一）端正电脑网络的态度。 给出事例： 在我国某城市，两名初二的学生用家长给的零花钱，在网吧里连续上网8天8夜，当焦急万分的老师和家长在网吧找到他俩时，这两个学生已经头脑麻木得不知东南西北，面容憔悴，身体虚弱不堪。家长无奈地把他俩送进了医院。 学生讨论交流：这两名学生的做法对不对？为什么？ 师总结：我们不要成为网络的奴隶，而要成为网络的主人。面对阳光，舒展身躯，拥抱现实，融入到绚丽多彩的现实生活和大自然中去吧！ （二）了解“网虫”特点，避开“网害”侵扰。

给出小"网虫"的特点： ①上网时间失控，总觉得时间短不满足。 ②每天最大的愿望就是上网，想的、聊的主要内容也是网上的事。 ③在网上全神贯注，到网下迷迷糊糊，学习成绩明显下降。 ④有点时间就想上网，饭可以不吃，觉可以不睡，网不能不上。 ⑤对家长和同学、朋友隐瞒上网的内容。 ⑥与家长、同学的交流越来越少，与网友的交流越来越多。 ⑦泡网吧的主要目的是网上聊天、玩网络游戏，有人甚至是为了浏览不良信息。 ⑧为了上网甘冒风险，撒谎、偷窃、逃学、离家出走。 提出问题： 对照这些进行比较，看看你是不是个小网虫？如果你有这种情况，应该怎么办？ 学生交流。 （三）网络自护的具体措施。 提出问题：上网时，你是怎么保护自己的信息的？ 学生交流。 师总结并补充： 给出网络自护的具体措施： (1)安装个人"防火墙"，以防止个人信息被人窃取。比如安装" 诺顿网络安全特警2001"，利用诺顿隐私控制特性，你可以选择哪些信息需要保密，就不会因不慎而把这些信息发到不安全的网站。这个软件还可以防止网站服务器在你察觉不到

网络安全技术课程设计报告

信息工程系 课程设计报告书 2015-2016学年第2学期 系部：信息工程系 专业：计算机网络专业 班级：14计算机网络1班 课程名称：网络安全技术 姓名学号： 起迄日期: 6月10日-6月24日 课程设计地点:实验楼C211 指导教师:庄晓华 下达任务书日期: 2015 年06月16日

一、内容要求 独立设计一个小型网络的安全方案，采用的安全技术可以包括以下几种：加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。其中必须用Packet Tracer实现的功能为防火墙技术的配置与管理或网络安全隔离。 二、评分标准 （一）网络安全方案评分标准（40分） 网络安全方案及测试报告（40分） 1、网络安全方案2000字（30分） 1）相关概念定义准确。（10分） 2）安全方案叙述完整清晰。（10分） 3）设计合理，符合实际应用需求。（10分） 2、测试报告（10分） 确定测试结果是否符合设计要求，完成测试总结报告。 （二）网络设备系统配置评分标准（60 分） 1、系统设计（10分） 1、在Packet Tracer中实现，要求：网络设备选型合理，（5分） 2、网络设备连接，要求：正确使用连接介质（5分）。 2、网络设备配置（40分） 1、PC机、服务器配置，要求：能作必要TCP/IP属性设置（10分） 2、网络设备接口配置，要求：正确配置端口，实现网络连通。（10分） 3、网络安全配置，要求：实现设定的网络安全防护（20分） 3、安全防护测试（10分） 使用正确测试方法，步骤完整.(10分) 三、设计要求： 1、所有PC机的默认网关地址中第四个数为学生学号，如“a.b.c.学号” （注意：PC机的地址不能与此默认网关地址冲突）。 2、所有网络设备、PC机的名称以学生姓名开头，如“azgSW1”。 四、设计成果形式及要求： 1、提交网络安全方案（.doc文档），文件命名格式：学号姓名.doc, 如01安志国.doc。 2、提交Packet Tracer文档（.pkt文档），文件命名格式：学号姓名.pkt, 如01安志国.pkt。

网络安全基础练习题教学文案

2012级计算机网络专业《网络安全基础》试题 一、单选題（每题1分） 1、下列加密协议属于非对称加密的是（ A ） A RSA B DES C 3DES D AES 2 、3DES加密协议密钥是（）位（ A ） A 128 B 56 C 64 D 1024 3、下列不是身份认证的是（ C ） A 访问控制 B 智能卡 C 数学证书 D口令 4、下面有关SSL的描述，不正确的是（ D ） A. 目前大部分Web浏览器都内置了SSL协议 B. SSL协议分为SSL握手协议和SSL记录协议两部分 C. SSL协议中的数据压缩功能是可选的 D. TLS在功能和结构上与SSL完全相同 5、计算机病毒的危害性表现在（ B ） A. 能造成计算机部分配置永久性失效 B. 影响程序的执行或破坏用户数据与程序 C. 不影响计算机的运行速度 D. 不影响计算机的运算结果 6、下面有关计算机病毒的说法，描述正确的是（ C ） A. 计算机病毒是一个MIS程序 B. 计算机病毒是对人体有害的传染性疾病 C. 计算机病毒是一个能够通过自身传染，起破坏作用的计算机程序 D. 计算机病毒是一段程序，只会影响计算机系统，但不会影响计算机网络 7、计算机病毒具有（ A ） A. 传播性、潜伏性、破坏性 B. 传播性、破坏性、易读性 C. 潜伏性、破坏性、易读性 D. 传播性、潜伏性、安全性 8、目前使用的防杀病毒软件的作用是（ B ） A. 检查计算机是否感染病毒，并消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 检查计算机是否感染病毒，并清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒 9、非法接收者在截获密文后试图从中分析出明文的过程称为（ B ） A. 破译 B. 解密 C. 加密 D. 攻击 10、以下有关软件加密和硬件加密的比较不正确的是（ B ） A. 硬件加密对用户是透明的而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 11、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明 D A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界 12、以下认证方式中最为安全的是 C A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹 13、当计算机上发现病毒时最彻底的清除方法为 A

XX企业信息安全综合解决方案设计

要求有具体的问题，比如，信息系统安全（硬件，场地，软件，病毒，木马，），网络安全（网络入侵，服务器/客户端的连通性，vpn的安全问题），人员安全（身份识别，分权访 问，人员管理），电子商务安全（密钥，PKI），或者其它！ 【为保护隐私，公司原名用XX代替。 内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】 XX企业信息安全综合解决方案设计 一．引言 随着全球信息化及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业越来越多，并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题，这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢？ 二．XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁