網(wǎng)絡(luò)安全期末考試試題及答案

1、1. 分組密碼體制應(yīng)遵循什么原則，以 DES密碼體制為例詳細(xì)說明?；靵y原則和擴(kuò)散原則混亂原則：為了避免密碼分析者利用明文和密文之間的依賴關(guān)系進(jìn)行破譯，密碼的設(shè)計因該保證這種依賴關(guān)系足夠復(fù)雜。擴(kuò)散原則：為避免密碼分析者對密鑰逐段破譯， 密碼的設(shè)計因該保證密鑰的每位 數(shù)字能夠影響密文中的多位數(shù)字密鑰置換算法的構(gòu)造準(zhǔn)則設(shè)計目標(biāo)：子密鑰的統(tǒng)計獨(dú)立性和靈活性實(shí)現(xiàn)簡單速度不存在簡單關(guān)系：(給定兩個有某種關(guān)系的種子密鑰，能預(yù)測它們輪子密鑰之間的 關(guān)系)種子密鑰的所有比特對每個子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的沒有弱密鑰 分組長度足夠長，防止明文窮舉攻擊，例如DES，分

2、組塊大小為64比特，(2) 密鑰量足夠大，金額能消除弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對稱密碼體制 存在密鑰管理問題，密鑰也不能過大。(3) 密鑰變化夠復(fù)雜(4) 加密解密運(yùn)算簡單，易于軟硬件高速實(shí)現(xiàn)(5) 數(shù)據(jù)擴(kuò)展足夠小，一般無數(shù)據(jù)擴(kuò)展。差錯傳播盡可能小，加密或者解密某明文或密文分組出錯，對后續(xù)密文解密影響盡可能2. 利用公鑰密碼算法實(shí)現(xiàn)認(rèn)證時，一般是(1)C=EKRA(M)，發(fā)送方A用私 鑰加密后發(fā)送給B ；(2)M=DKUA (C):接收方B用A方的公鑰進(jìn)行解密。 請問，在這個過程中，能否保證消息的保密性？若不能， 請你給出解決方案。 答：不能，在這個過程中，采用的是單次加密，而且

3、接收方采用的是公鑰解密，公鑰是公開的，只要有人截獲了密文，他就可以據(jù)此很容易地破譯密文， 故不能保證消息的保密性。解決方案：可以采用兩次運(yùn)用公鑰密碼的方式， 即：(1)C=EKUA(EKRA(M) (2)M=DKUA(DKRA(C) 這樣，發(fā)送方A首先用其私鑰對消息進(jìn)行加密，得 到數(shù)字簽名，然后再用A方的公鑰加密，所得密文只有被擁有私鑰的接收方 解密，這樣就可以既保證提供認(rèn)證，又保證消息的保密性。3. Ipsec有兩種工作模式。請劃出數(shù)據(jù)包的封裝模式并加以說明，并指出各自的優(yōu)缺點(diǎn)。IPSec協(xié)議(包括AH和ESP既可用來保護(hù)一個完整的 IP載荷，亦可用來保護(hù)某個 IP載 荷的上層協(xié)議。這兩方面

4、的保護(hù)分別是由IPSec兩種不同的模式來提供的， 如圖所示。其中， 傳送模式用來保護(hù)上層協(xié)議；而通道模式用來保護(hù)整個IP數(shù)據(jù)報。在傳送模式中，IPSec先對上層協(xié)議進(jìn)行封裝，增加一 IPSec頭，對上層協(xié)議的數(shù)據(jù)進(jìn)行保護(hù)，然后才由IP協(xié)議對封裝的數(shù)據(jù)進(jìn)行處理，增加IP頭；而在通道模式中，IPSec對IP協(xié)議處理后的數(shù)據(jù)進(jìn)行封裝，增加一 IPSec頭，對IP數(shù)據(jù)報進(jìn)行保護(hù)，然后再由IP協(xié)議對封裝的數(shù)據(jù)進(jìn)行處理，增加新IP頭。IP頭IPSec頭TC頭數(shù)據(jù)新IP頭IPSec頭IP頭TC頭數(shù)據(jù)圖7-2 IPSec的傳送模式和通道模式傳送模式下，IPSec模塊運(yùn)行于通信的兩個端主機(jī)。有如下優(yōu)點(diǎn)：（1）即

5、使位于同一子網(wǎng)內(nèi)的其他用戶，也不能非法修改通信雙方的數(shù)據(jù)內(nèi)容。（2 ）分擔(dān)了安全網(wǎng)關(guān)的處理負(fù)荷。但同時也具有以下缺點(diǎn)：（1） 每個需要實(shí)現(xiàn)傳送模式的主機(jī)都必須安裝并實(shí)現(xiàn)IPSec模塊，因此端用戶無法得到透明的安全服務(wù)，并且端用戶為獲得AH服務(wù)必須付出內(nèi)存、處理時間等方面的代價。（2）不能使用私有的IP地址，必須使用公有地址資源。采用遂道模式，IPSec模塊運(yùn)行于安全網(wǎng)關(guān)或主機(jī)，IPSec具有以下優(yōu)點(diǎn)：1） 子網(wǎng)內(nèi)部的各主機(jī)憑借安全網(wǎng)關(guān)的IPSec處理透明地得到安全服務(wù)。2） 可以在子網(wǎng)內(nèi)部使用私有IP地址，無需占用公有地址資源。但同時也具有以下缺點(diǎn)：1）增加了安全網(wǎng)關(guān)的處理負(fù)載。2）無法控制來

6、自子網(wǎng)內(nèi)部的攻擊者。4. 在ssl協(xié)議中，會話是通過什么協(xié)議創(chuàng)建的？會話的創(chuàng)建實(shí)現(xiàn)了什么功能？SSL會話是客戶和服務(wù)器之間的一種關(guān)聯(lián)， 會話是通過握手協(xié)議來創(chuàng)建的，會話 定義了一個密碼學(xué)意義的安全參數(shù)集合，這些參數(shù)可以在多個連接中共享，從而 避免每建立一個連接都要進(jìn)行的代價昂貴的重復(fù)協(xié)商。5. vpn有哪些分類？各應(yīng)用于什么場合？ vpn有哪幾個實(shí)現(xiàn)層次？各層次的代 表協(xié)議和技術(shù)是什么？根據(jù)VPN所起的作用，可以將 VPN分為三類：VPDN、Intranet VPN和Extra net VPN。（1） VPDN（Virtual Private Dial Network ）在遠(yuǎn)程用戶或移動雇員和

7、公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN。實(shí)現(xiàn)過程如下：用戶撥號NSP （網(wǎng)絡(luò)服務(wù)提供商）的網(wǎng)絡(luò)訪問服務(wù)器NAS（ Network AccessServer），發(fā)出PPP連接請求，NAS收到呼叫后，在用戶和 NAS之間建立PPP 鏈路，然后，NAS對用戶進(jìn)行身份驗(yàn)證，確定是合法用戶，就啟動 VPDN功能， 與公司總部內(nèi)部連接，訪問其內(nèi)部資源。 Intranet VPN在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPN。通過In ternet這一公 共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的 LAN連到公司總部的LAN，以便公司內(nèi)部的資 源共享、文件傳遞等。（3） Extra net VPN在供應(yīng)商、商業(yè)合作

8、伙伴的 LAN和公司的LAN之間的VPN。按照用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù) 鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng)用層，可以將 VPN協(xié)議劃分成第二層隧 道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。第二層隧道協(xié)議：主要包括點(diǎn)到點(diǎn)隧道協(xié)議 (PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F)，第 二層隧道協(xié)議(L2TP)、多協(xié)議標(biāo)記交換(MPLS)等，主要應(yīng)用于構(gòu)建接入 VPN。 第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議 (GRE)和IPSec,它主要應(yīng)用于構(gòu) 建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。第四層隧道協(xié)議：如SSL VPN。1數(shù)據(jù)鏈路層，代表協(xié)議有 PPTP(或L2TP);2網(wǎng)絡(luò)

9、層，代表協(xié)議有IPSec (或GRE或IP overIP)；3)會話層(或傳輸層)，SSL(或SOCKS6. (1)防火墻能實(shí)現(xiàn)哪些安全任務(wù)？(1)集中化的安全管理，強(qiáng)化安全策略由于Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許認(rèn)可的”和符合規(guī)則的請求通過。(2)網(wǎng)絡(luò)日志及使用統(tǒng)計因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對網(wǎng)絡(luò)存取訪問進(jìn)行和統(tǒng)計(3)

10、 保護(hù)那些易受攻擊的服務(wù)防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng) 段的問題通過整個網(wǎng)絡(luò)傳播。(4) 增強(qiáng)的保密用來封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供給 Internet。(5) 實(shí)施安全策略防火墻是一個安全策略的檢查站，控制對特殊站點(diǎn)的訪問。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。(2)禾U用所給資源：外部路由器，內(nèi)部路由器，參數(shù)網(wǎng)絡(luò)，堡壘主機(jī)設(shè)計一 個防火墻并回答相關(guān)問題。 a要求：將各資源連接構(gòu)成防火墻。b:指出次防火墻屬于防火墻體系 結(jié)構(gòu)中哪一種。c：說明防火墻各結(jié)構(gòu)的主要作用

11、A :防火墻的設(shè)計思想就是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個具有安全控 制機(jī)制的安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，來 實(shí)現(xiàn)對內(nèi)部網(wǎng)服務(wù)和訪問的安全審計和控制。需要指出的是，防火墻雖然可 以在一定程度上保護(hù)內(nèi)部網(wǎng)的安全，但內(nèi)部網(wǎng)還應(yīng)有其他的安全保護(hù)措施， 這是防火墻所不能代替的。B：屬于防火墻體系結(jié)構(gòu)中的屏蔽子網(wǎng)防火墻。C:兩個分組過濾路由器，一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個位于 周邊網(wǎng)與外部網(wǎng)絡(luò)之間。通過屏蔽子網(wǎng)防火墻訪問內(nèi)部網(wǎng)絡(luò)要受到路由器過濾規(guī)則的保護(hù)。堡壘 主機(jī)、信息服務(wù)器、調(diào)制解調(diào)器組以及其他公用服務(wù)器放在子網(wǎng)中。屏蔽子 網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和Internet都

12、能訪問唯一系統(tǒng)，他支持網(wǎng)絡(luò)層和應(yīng)用層 安全功能。4.利用所階倚源：攻卜部路點(diǎn)黠內(nèi)部閱由器，荃數(shù)糾貉堡建主機(jī)設(shè)計-個防火< 10 > 說明：浮蟹源不允許合并耍求；缶將齊資源述接構(gòu)成防火堆h 一捋川址防火殆屬十防犬墻體為姑構(gòu)中嚨-軸G悅明防火墻魯設(shè)備的主要作用答必將齊倚涯連接購成防火單的結(jié)構(gòu)如卜用不：b此防火暗図汁r網(wǎng)過龍佈盡儒構(gòu)“的防火墻”c. r網(wǎng)過澹休熹結(jié)御的腎箱單的闿式為曲卜過濾怡由器毎個勰連接創(chuàng)拿敵卿絡(luò)，、個 位F聲數(shù)則貉與內(nèi)韶啊絡(luò)之間，另 牛位十參數(shù)轉(zhuǎn)絡(luò)勾外都網(wǎng)聲之間鋼R網(wǎng)貉是在內(nèi)外需網(wǎng)之間另加的層覺全保護(hù)幗絡(luò)層-如果入粉成功地購過外層謀護(hù)網(wǎng) 到達(dá)防火墻，塞數(shù)網(wǎng)絡(luò)醴能在入慨

13、右與內(nèi)部剛之間再提供層探護(hù)堡全主機(jī)，為內(nèi)部服務(wù)請求進(jìn)行代理內(nèi)詐器由器的主夏功能是恨護(hù)內(nèi)祁網(wǎng)免世來H外笳僭與蟄數(shù)網(wǎng)糾腳愷擾.它處成防火瞻為大 鬲盤過釘作.fJL二心;g!f J外as路曲主賽是對參教網(wǎng)絡(luò)卜的主機(jī)提供傑護(hù)，幷阻斷來自外蔚網(wǎng)上怙造內(nèi)胡網(wǎng)源菇扯 進(jìn)來的任訶蠶拯包。 防火墻的設(shè)計者和管理人員要致力于保護(hù)堡壘主機(jī)的安全，請說明在 設(shè)計堡壘主機(jī)通常應(yīng)遵循怎樣的原則。 最簡化原則堡壘主機(jī)越簡單，堡壘主機(jī)本身的安全越有保證。因?yàn)楸?壘主機(jī)提供的任何服務(wù)都可能出現(xiàn)軟件缺陷或配置錯誤，而且缺陷或錯誤都 可能導(dǎo)致安全問題。因此，堡壘主機(jī)盡可能少些服務(wù)，它應(yīng)當(dāng)在完成其作用 的前提下，提供它能提供的最小特

14、權(quán)的最少的服務(wù)。 預(yù)防原則盡管用戶盡了最大努力確保堡壘主機(jī)的安全，侵入仍可能發(fā)生。但 只有預(yù)先考慮最壞的情況，并提出對策，才能可能避免它。萬一堡壘主機(jī)受 到侵襲，用戶又不愿看到侵襲導(dǎo)致整個防火墻受到損害，可以通過不再讓內(nèi) 部的機(jī)器信任堡壘主機(jī)來防止侵襲蔓延。 在設(shè)計和建造防火墻時，通常采取多種變化和組合，如果要在防火墻配置中 使用多堡壘主機(jī)，是否可行？為什么？可行的，這樣的做的理由是：如果一臺堡壘主機(jī)失敗了，服務(wù)可由另一臺提供。 如果將堡壘主機(jī)與內(nèi)部路由器合并，將會出現(xiàn)怎樣的結(jié)果？ 將堡壘主機(jī)與內(nèi)部路由器合并將損害網(wǎng)絡(luò)的安全性。將這二者合并，其實(shí)已經(jīng)從根本上 改變了防火墻的結(jié)構(gòu)。7. 某市擬建

15、立一個電子政務(wù)網(wǎng)絡(luò)，需要連接本市各級政府機(jī)關(guān)（市、區(qū)、縣等 及企事業(yè)單位，提供數(shù)據(jù)、語音、視頻傳輸和交換的統(tǒng)一的網(wǎng)絡(luò)平臺，納入 電子政務(wù)平臺的各單位既有橫向（是本級政府的組成部門）的數(shù)據(jù)交互，又有縱向的行業(yè)部門的信息交互。從安全角度考慮，你認(rèn)為該網(wǎng)絡(luò)的設(shè)計應(yīng)注 意哪些問題？你的解決方案？1、物理安全2、網(wǎng)絡(luò)平臺3、系統(tǒng)的安全4、應(yīng)用的安全5、管理的安全6黑客的攻擊7、不滿的內(nèi)部人員8、病毒的攻擊這幾點(diǎn)是都是多年來網(wǎng)絡(luò)安全專家所總結(jié)的。最常見的網(wǎng)絡(luò)安全問題還是處于網(wǎng)絡(luò)內(nèi)部并且是內(nèi)部底層。內(nèi)網(wǎng)底層的安全常常被忽略，這就是現(xiàn)在的企業(yè)為什么花了錢買了安全設(shè)備但是 內(nèi)網(wǎng)的卡、慢、掉線依然存在的原因。最后

16、一句話，想要內(nèi)網(wǎng)安全，從內(nèi)網(wǎng)底層做起!建立完整的信息安全保障體系。該體系應(yīng)包括：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、 數(shù)據(jù)安全、災(zāi)難備份和恢復(fù)等7.果曲擬宦立 個電政務(wù)孫要辻接肚Iii各縊玫府機(jī)尺（Hf區(qū)、縣尋）及企爭業(yè) 單也，提供數(shù)抿、語音、視頻傳輸和交換的址的網(wǎng)絡(luò)平臺*輛入蚯了政務(wù)平臺的并單位眈 竹播向是木縊政府的蛆廣気門）的數(shù)第童互，“縱向的行刖那門的信息童互；從安仝莆 度罟慮.像認(rèn)為該網(wǎng)絡(luò)的設(shè)計應(yīng)注意哪些問題？你的解決方泰？駅屯產(chǎn)政務(wù)的網(wǎng)綿結(jié)構(gòu)般采用“三何集構(gòu)二即政府委、4 財?shù)霓k處網(wǎng)內(nèi)網(wǎng)人玄特 委辦崗哺淞門協(xié)詢辦'公前屯r政務(wù)專網(wǎng)和與企事.業(yè)單宓 公眾通過垃唳網(wǎng)接入的外皿 另外 爼說明的是政區(qū)的漫密機(jī)曼網(wǎng)是-平特殊的專用網(wǎng)絡(luò)卜它不在電了-政務(wù)網(wǎng)緒的范冊* 握據(jù)仃天文件對屯了政務(wù)曙絡(luò)安全的基本要求是*建立立整的情園安全保耳悴系.談悍網(wǎng) 赳括，樹理安全、網(wǎng)絡(luò)蚩全、泵址安全、應(yīng)用安壘、數(shù)網(wǎng)安全和災(zāi)難備笹與恢復(fù)尊. 網(wǎng)辯安全探障體素應(yīng)包托a）辦公內(nèi)幟與外網(wǎng)之間炊現(xiàn)物建隔離丁即用物理隔離網(wǎng)閘實(shí)規(guī)內(nèi)外網(wǎng)數(shù)據(jù)的黑渡和交換， 傑障內(nèi)啊安全*h）沖薊期期與屯政務(wù)專網(wǎng)之間歩現(xiàn)邏輯鈿馬"即配置具仃、'】嘰功能的防火樂?，F(xiàn)安全 代蟄信息包過熱內(nèi)外地址綁宦等.防止非技叔用戶繪過電政毎專旳雌訪問辦公內(nèi)帙c）在外網(wǎng)與互聯(lián)