網(wǎng)絡(luò)安全期末復(fù)習(xí)題

1、網(wǎng)絡(luò)安全期末復(fù)習(xí)題第1章 網(wǎng)絡(luò)安全概論1. 選擇題 (1) 計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用計(jì)算機(jī)網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的 、完整性、網(wǎng)絡(luò)服務(wù)可用性和可審查性受到保護(hù)。A機(jī)密性 B抗攻擊性C網(wǎng)絡(luò)服務(wù)管理性 D控制安全性 (2) 網(wǎng)絡(luò)安全的實(shí)質(zhì)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的 安全。A系統(tǒng) B軟件C信息 D網(wǎng)站 (3) 下面不屬于TCSEC標(biāo)準(zhǔn)定義的系統(tǒng)安全等級的4個(gè)方面是。A安全政策 B可說明性C安全保障 D安全特征 (4) 在短時(shí)間內(nèi)向網(wǎng)絡(luò)中的某臺(tái)服務(wù)器發(fā)送大量無效連接請求，導(dǎo)致合法用戶暫時(shí)無法訪問服務(wù)器的攻擊行為是破壞了 。A機(jī)密性 B完整性 C可用性 D可控性(5)如果訪問者有意避開系統(tǒng)的

2、訪問控制機(jī)制，則該訪問者對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用屬于 。A破環(huán)數(shù)據(jù)完整性 B非授權(quán)訪問 C信息泄漏 D拒絕服務(wù)攻擊答案: (1) A (2) C (3) D (4) C (5) B 2. 填空題(1) 計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及 、 、 、通信技術(shù)、應(yīng)用數(shù)學(xué)、密碼技術(shù)、信息論等多學(xué)科的綜合性學(xué)科。答案: 計(jì)算機(jī)科學(xué) 、網(wǎng)絡(luò)技術(shù) 、信息安全技術(shù) (2) 網(wǎng)絡(luò)安全的5 大要素和技術(shù)特征，分別是 _、_、_、_、_。答案: 機(jī)密性、完整性、可用性、可控性、不可否認(rèn)性 (3) 計(jì)算機(jī)網(wǎng)絡(luò)安全所涉及的內(nèi)容包括是 、 、 、 、 等五個(gè)方面。答案: 實(shí)體安全、運(yùn)行安全 、系統(tǒng)安全、應(yīng)用安全、 管理安全

3、 (4) 網(wǎng)絡(luò)信息安全保障包括 、 、 和 四個(gè)方面。 (5) 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)分為 、 、 、 、 、 、 和 八大類。 (6) 網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有 、 、 、 的特點(diǎn)。 (7) TCSEC是可信計(jì)算系統(tǒng)評價(jià)準(zhǔn)則的縮寫，又稱網(wǎng)絡(luò)安全橙皮書，將安全分為 、 、 和文檔四個(gè)方面。(8)通過對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面、充分、有效的安全評測，能夠快速查出 、 、 。答案: (4) 信息安全策略、信息安全管理、信息安全運(yùn)作和信息安全技術(shù)(5) 身份認(rèn)證、訪問管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復(fù)(6) 多維主動(dòng)、綜合性、智能化、全方位防御(7) 安全政策、可說明性、安全保障(8) 網(wǎng)

4、絡(luò)安全隱患、安全漏洞、網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力3. 簡答題(1) 簡述網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的內(nèi)容？ 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)主要包括： (1) 身份認(rèn)證（Identity and Authentication Management） (2) 訪問管理（Access Management） (3) 加密（Cryptograghy） (4) 防惡意代碼（Anti-Malicode） (5) 加固（Hardening） (6) 監(jiān)控（Monitoring） (7) 審核跟蹤（Audit Trail）(8) 備份恢復(fù)（Backup and Recovery）(3) 網(wǎng)絡(luò)安全框架由哪幾部分組成？ (1)信息安全戰(zhàn)略 (

5、2)信息安全政策和標(biāo)準(zhǔn) (3)信息安全管理 (4)信息安全運(yùn)作 (5)信息安全技術(shù)(6) 網(wǎng)絡(luò)安全設(shè)計(jì)的原則有哪些？ 在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下7項(xiàng)基本原則： (1) 綜合性、整體性原則 (2) 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 (3)一致性原則 (4)易操作性原則 (5) 分步實(shí)施原則 (6) 多重保護(hù)原則 (7) 可評價(jià)性原則(7) 網(wǎng)絡(luò)安全的設(shè)計(jì)步驟是什么？ 根據(jù)信息安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全設(shè)計(jì)的原則,可以確定網(wǎng)絡(luò)安全設(shè)計(jì)的5個(gè)步驟: (1) 明確安全需求，進(jìn)行風(fēng)險(xiǎn)分析 (2) 選擇并確定網(wǎng)絡(luò)安全措施 (3) 方案實(shí)施 (4) 網(wǎng)絡(luò)試驗(yàn)及運(yùn)行 (5) 優(yōu)化及改進(jìn)第2章 網(wǎng)絡(luò)安全技

6、術(shù)基礎(chǔ)1. 選擇題（1）SSL協(xié)議是（ ）之間實(shí)現(xiàn)加密傳輸?shù)膮f(xié)議。A.物理層和網(wǎng)絡(luò)層 B.網(wǎng)絡(luò)層和系統(tǒng)層C.傳輸層和應(yīng)用層 D.物理層和數(shù)據(jù)層（2）加密安全機(jī)制提供了數(shù)據(jù)的（ ）。A.可靠性和安全性 B.保密性和可控性C.完整性和安全性 D.保密性和完整性（3）抗抵賴性服務(wù)對證明信息的管理與具體服務(wù)項(xiàng)目和公證機(jī)制密切相關(guān)，通常都建立在（ ）層之上。A.物理層 B.網(wǎng)絡(luò)層C.傳輸層 D.應(yīng)用層（4）能在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層提供的網(wǎng)絡(luò)安全服務(wù)的是（ ）。A.認(rèn)證服務(wù) B.數(shù)據(jù)保密性服務(wù)C.數(shù)據(jù)完整性服務(wù) D.訪問控制服務(wù)（5）傳輸層由于可以提供真正的端到端的連接，最適宜提供（ ）

7、安全服務(wù)。A.數(shù)據(jù)保密性 B.數(shù)據(jù)完整性 C.訪問控制服務(wù) D.認(rèn)證服務(wù)解答:（1）C （2）D （3）D （4）B （5）B2. 填空題（1）應(yīng)用層安全分解成 、 、 的安全，利用 各種協(xié)議運(yùn)行和管理。解答: （1）網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫、TCP/IP（2）安全套層SSL協(xié)議是在網(wǎng)絡(luò)傳輸過程中，提供通信雙方網(wǎng)絡(luò)信息的 性 和 性，由 和 兩層組成。解答:（2）保密性、可靠性、SSL 記錄協(xié)議、SSL握手協(xié)議（3）OSI/RM開放式系統(tǒng)互連參考模型七層協(xié)議是 、 、 、 、 、 、 。解答:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層（4）ISO對OSI規(guī)定了 、 、 、 、

8、五種級別的安全服務(wù)。解答: 對象認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、防抵賴（5）一個(gè)VPN連接由 、 和 三部分組成。一個(gè)高效、成功的VPN具有 、 、 、 四個(gè)特點(diǎn)。解答: 客戶機(jī)、隧道、服務(wù)器、安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充和靈活性、可管理性3.簡答題（2）簡述IPV6協(xié)議的基本特征及與IPV4的IP報(bào)頭格式的區(qū)別？TCP/IP的所有協(xié)議的數(shù)據(jù)都以IP數(shù)據(jù)報(bào)的形式傳輸，TCP/IP協(xié)議簇有兩種IP版本： IPv4和IPv6。IPv4的IP地址是TCP/IP網(wǎng)絡(luò)中唯一指定主機(jī)的32位地址,一個(gè)IP包頭占20字節(jié)包括IP版本號、長度、服務(wù)類型和其他配置信息及控制字段。IPv4在設(shè)計(jì)之初沒有

9、考慮安全性，IP包本身并不具有任何安全特性。IPv6簡化了IP頭，其數(shù)據(jù)報(bào)更加靈活，同時(shí)IPv6還增加了對安全性的設(shè)計(jì)。IPv6協(xié)議相對于IPv4協(xié)議有許多重要的改進(jìn)，具有以下基本特征： (1)擴(kuò)展地址空間：IPv6將IPv4的IP地址從32位擴(kuò)充到128位，這使得網(wǎng)絡(luò)的規(guī)?？梢缘玫匠浞?jǐn)U展，連接所有可能的裝置和設(shè)備，并使用唯一的全局網(wǎng)絡(luò)地址。 (2)簡化報(bào)頭：IPv4有許多域和選項(xiàng)，由于報(bào)頭長度不固定，不利于高效地處理，也不便于擴(kuò)展。I P v6針對這種實(shí)際情況，對報(bào)頭進(jìn)行了重新設(shè)計(jì)，由一個(gè)簡化的長度固定的基本報(bào)頭和多個(gè)可選的擴(kuò)展報(bào)頭組成。這樣既加快了路由速度，又能靈活地支持多種應(yīng)用，還便于

10、以后擴(kuò)展新的應(yīng)用。IPv4及 IPV6基本報(bào)頭如圖2-8和圖2-9所示。 圖2-8 IPV4的IP報(bào)頭 圖2-9 IPV6基本報(bào)頭(3)更好支持服務(wù)質(zhì)量QoS (Quality of Service):為上層特殊應(yīng)用的傳送信息流可以用流標(biāo)簽來識別，便于專門的處理。 (4)改善路由性能：層次化的地址分配便于實(shí)現(xiàn)路由聚合，進(jìn)而減少路由表的表項(xiàng)，而簡化的IP分組頭部也減少了路由器的處理負(fù)載。 (5)內(nèi)嵌的安全機(jī)制：要求強(qiáng)制實(shí)現(xiàn)IPSec，提供了支持?jǐn)?shù)據(jù)源發(fā)認(rèn)證、完整性和保密性的能力，同時(shí)可以抗重放攻擊。IPv6內(nèi)嵌的安全機(jī)制主要由以下兩個(gè)擴(kuò)展報(bào)頭來實(shí)現(xiàn)：認(rèn)證頭AH(Authentication He

11、ader)和封裝安全載荷ESP(Encapsulation Security Payload)。u 其中認(rèn)證頭AH可以實(shí)現(xiàn)以下三個(gè)功能：保護(hù)數(shù)據(jù)完整性(即不被非法篡改)；數(shù)據(jù)源發(fā)認(rèn)證(即防止源地址假冒)和抗重放(Replay)攻擊。 u 封裝安全載荷ESP則在AH所實(shí)現(xiàn)的安全功能基礎(chǔ)上，還增加了對數(shù)據(jù)保密性的支持。 u AH和ESP都有兩種使用方式：傳輸模式和隧道模式。傳輸模式只應(yīng)用于主機(jī)實(shí)現(xiàn)，并只提供對上層協(xié)議的保護(hù)，而不保護(hù)IP報(bào)頭。隧道模式（一種以隱含形式把數(shù)據(jù)包封裝到隧道協(xié)議中傳輸數(shù)據(jù)的方法，將在2.4.2介紹）可用于主機(jī)或安全網(wǎng)關(guān)。在隧道模式中，內(nèi)部的IP報(bào)頭帶有最終的源和目的地址，

12、而外面的IP報(bào)頭可能包含性質(zhì)不同的IP地址，如安全網(wǎng)關(guān)地址。 （6）簡述無線網(wǎng)絡(luò)的安全問題及保證安全的基本技術(shù)？1. 無線網(wǎng)絡(luò)的安全問題 無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用微波進(jìn)行輻射傳播，因此，只要在Access Point (AP)覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號，AP無法將無線信號定向到一個(gè)特定的接收設(shè)備，因此，無線的安全保密問題就顯得尤為突出。 2. 無線安全基本技術(shù)(1) 訪問控制-利用ESSID、MAC限制，可以防止非法無線設(shè)備入侵(2) 數(shù)據(jù)加密-基于WEP的安全解決方案(3) 新一代無線安全技術(shù)IEEE802.11i(4) TKIP-新一代的加密技術(shù)TKIP與WEP一樣基

13、于RC4加密算法(5) AES- 是一種對稱的塊加密技術(shù)，提供比WEP/TKIP中RC4算法更高的加密性能(6) 端口訪問控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）(7) WPA（WiFi Protected Access）規(guī)范- WPA是一種可替代 WEP的無線安全技術(shù)第3章 網(wǎng)絡(luò)安全管理技術(shù)1. 選擇題（1）計(jì)算機(jī)網(wǎng)絡(luò)安全管理主要功能不包括（ ）。A.性能和配置管理功能 B.安全和計(jì)費(fèi)管理功能C.故障管理功能 D.網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)管理者的管理功能（2）網(wǎng)絡(luò)安全管理技術(shù)涉及網(wǎng)絡(luò)安全技術(shù)和管理的很多方面，從廣義的范圍來看（ ）是安全網(wǎng)絡(luò)管理的一種手段。A.掃描和評估 B. 防火墻

14、和入侵檢測系統(tǒng)安全設(shè)備 C.監(jiān)控和審計(jì) D. 防火墻及殺毒軟件（3）名字服務(wù)、事務(wù)服務(wù)、時(shí)間服務(wù)和安全性服務(wù)是（ ）提供的服務(wù)。A. 遠(yuǎn)程IT管理的整合式應(yīng)用管理技術(shù) B. APM網(wǎng)絡(luò)安全管理技術(shù)C. CORBA網(wǎng)絡(luò)安全管理技術(shù) D. 基于WeB的網(wǎng)絡(luò)管理模式（4）與安全有關(guān)的事件，如企業(yè)猜測密碼、使用未經(jīng)授權(quán)的權(quán)限訪問、修改應(yīng)用軟件以及系統(tǒng)軟件等屬于安全實(shí)施的（ ）。A.信息和軟件的安全存儲(chǔ) B.安裝入侵檢測系統(tǒng)并監(jiān)視 C.對網(wǎng)絡(luò)系統(tǒng)及時(shí)安裝最新補(bǔ)丁軟件 D.啟動(dòng)系統(tǒng)事件日志（5）（ ）功能是使用戶能夠能過輪詢、設(shè)置關(guān)鍵字和監(jiān)視網(wǎng)絡(luò)事件來達(dá)到網(wǎng)絡(luò)管理目的，并且已經(jīng)發(fā)展成為各種網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的

15、網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)。A. TCP/IP協(xié)議 B.公共管理信息協(xié)議CMIS/CMIP C.簡單網(wǎng)絡(luò)管理協(xié)議SNMP D.用戶數(shù)據(jù)報(bào)文協(xié)議UDP解答: （1）D （2）B （3）C （4）D （5）C 2. 填空題（1）OSI/RM安全管理包括 、 和 ，其處理的管理信息存儲(chǔ)在 或 中。解答: （1）系統(tǒng)安全管理、安全服務(wù)管理、安全機(jī)制管理、數(shù)據(jù)表、文件（2）網(wǎng)絡(luò)安全管理功能包括計(jì)算機(jī)網(wǎng)絡(luò)的 、 、 、 等所需要的各種活動(dòng)。ISO定義的開放系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)管理的功能包括 、 、 、 、 。（2）運(yùn)行、處理、維護(hù)、服務(wù)提供、故障管理功能、配置管理功能、性能管理功能、安全管理功能、計(jì)費(fèi)管理功能（3） 是

16、信息安全保障體系的一個(gè)重要組成部分，按照 的思想，為實(shí)現(xiàn)信息安全戰(zhàn)略而搭建。一般來說防護(hù)體系包括 、 和 三層防護(hù)結(jié)構(gòu)。（3）信息安全管理體系、多層防護(hù)、認(rèn)知宣傳教育、組織管理控制、審計(jì)監(jiān)督（4）網(wǎng)絡(luò)管理是通過 來實(shí)現(xiàn)的，基本模型由 、 和 三部分構(gòu)成。（4）構(gòu)建網(wǎng)絡(luò)管理系統(tǒng)NMS、網(wǎng)絡(luò)管理工作站、代理、管理數(shù)據(jù)庫（5）在網(wǎng)絡(luò)管理系統(tǒng)的組成部分中， 最重要，最有影響的是 和 代表了兩大網(wǎng)絡(luò)管理解決方案。（5）網(wǎng)絡(luò)管理協(xié)議、SNMP、CMIS/CMIP3.簡答題（3）網(wǎng)絡(luò)安全管理的技術(shù)有哪些？1. 網(wǎng)絡(luò)安全管理技術(shù)概念 網(wǎng)絡(luò)安全管理技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和維護(hù)的技術(shù)，需要利用多種網(wǎng)絡(luò)安全技術(shù)和設(shè)

17、備，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全、合理、有效和高效的管理和維護(hù)。 網(wǎng)絡(luò)安全管理技術(shù)一般需要實(shí)施一個(gè)基于多層次安全防護(hù)的策略和管理協(xié)議，將網(wǎng)絡(luò)訪問控制、入侵檢測、病毒檢測和網(wǎng)絡(luò)流量管理等安全技術(shù)應(yīng)用于內(nèi)網(wǎng)，進(jìn)行統(tǒng)一的管理和控制，各種安全技術(shù)彼此補(bǔ)充、相互配合，對網(wǎng)絡(luò)行為進(jìn)行檢測和控制，形成一個(gè)安全策略集中管理、安全檢查機(jī)制分散布置的分布式安全防護(hù)體系結(jié)構(gòu)，實(shí)現(xiàn)對內(nèi)網(wǎng)進(jìn)行安全保護(hù)和管理。 監(jiān)控和審計(jì)是與網(wǎng)絡(luò)管理密切相關(guān)的技術(shù)。監(jiān)控和審計(jì)是通過對網(wǎng)絡(luò)通信過程中可疑、有害信息或行為進(jìn)行記錄為事后處理提供依據(jù)，從而對黑客形成一個(gè)強(qiáng)有力的威懾和最終達(dá)到提高網(wǎng)絡(luò)整體安全性的目的。 （4）網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型的構(gòu)成及

18、各組成部分的內(nèi)容是什么？現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)（Network Management System, 簡稱NMS）主要由如下部分組成：l 多個(gè)被管代理（Managed Agents）及被管理對象（Managed Object）l 用于執(zhí)行具體管理工作的網(wǎng)絡(luò)管理器（Network Management）l 公共網(wǎng)絡(luò)管理協(xié)議（Network Manager Protocol，簡NMP）l 系統(tǒng)管理應(yīng)用進(jìn)程(System Management Application Programme，簡稱管理進(jìn)程SMAP)l 管理信息庫（Management Information Base，簡稱MIB）。第4

19、章 黑客攻防與入侵檢測1. 選擇題（1）在黑客攻擊技術(shù)中，（ ）黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑。A.網(wǎng)絡(luò)監(jiān)聽 B.緩沖區(qū)溢出 C.端口掃描 D.口令破解（2）一般情況下，大多數(shù)監(jiān)聽工具不能夠分析的協(xié)議是（ ）。A. 標(biāo)準(zhǔn)以太網(wǎng) B. TCP/IP C. SNMP和CMIS D. IPX和DECNet（3）改變路由信息、修改WinDows NT注冊表等行為屬于拒絕服務(wù)攻擊的（ ）方式。A.資源消耗型 B.配置修改型 C.服務(wù)利用型 D. 物理破壞型（4）（ ）是建立完善的訪問控制策略，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)遭受攻擊情況并加以追蹤和防范，避免對網(wǎng)絡(luò)造成更大損失。A. 動(dòng)態(tài)站點(diǎn)監(jiān)控 B.實(shí)施存取控制 C.

20、 安全管理檢測 D.完善服務(wù)器系統(tǒng)安全性能（5）（ ）是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，可以遠(yuǎn)程上傳、修改注冊表等，集聚危險(xiǎn)性還在于，在服務(wù)端被執(zhí)行后，如果發(fā)現(xiàn)防火墻就會(huì)終止該進(jìn)程，使安裝的防火墻完全失去控制。A.冰河 B.網(wǎng)絡(luò)公牛C.網(wǎng)絡(luò)神偷 D.廣外女生解答：（1）C （2）C （3）B （4）A （5）D2. 填空題（1）黑客的“攻擊五部曲”是 、 、 、 、 。解答：隱藏IP、 踩點(diǎn)掃描、獲得特權(quán)、種植后門、隱身退出（2）端口掃描的防范也稱為 ，主要有 和 兩種方法。解答：系統(tǒng)加固、關(guān)閉閑置及危險(xiǎn)端口、屏蔽出現(xiàn)掃描癥狀的端口（3）密碼攻擊一般有 、 和 三種方法。其中 有蠻力攻擊和字典攻擊兩

21、種方式。解答：網(wǎng)絡(luò)監(jiān)聽非法得到用戶密碼、密碼破解、放置特洛伊木馬程序、密碼破解（4）網(wǎng)絡(luò)安全防范技術(shù)也稱為 ，主要包括訪問控制、 、 、 、補(bǔ)丁安全、 、數(shù)據(jù)安全等。解答：加固技術(shù)、安全漏洞掃描、入侵檢測、攻擊滲透性測試、關(guān)閉不必要的端口與服務(wù)等（5）入侵檢測系統(tǒng)模型由 、 、 、 以及 五個(gè)主要部分組成。解答：信息收集器、分析器、響應(yīng)、數(shù)據(jù)庫、目錄服務(wù)器3.簡答題（1）常用的黑客攻擊技術(shù)有哪些？對每一種攻擊技術(shù)的防范對策是什么？1) 端口掃描攻防1) 端口掃描作用網(wǎng)絡(luò)端口為一組16位號碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號端口、FTP端口

22、21、Telnet端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過端口進(jìn)行的，同時(shí)也為黑客提供了一個(gè)隱蔽的入侵通道。對目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描能得到許多有用的信息。通過端口掃描，可以得到許多需要的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞防患于未然。端口掃描往往成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑。2)端口掃描的防范對策 端口掃描的防范也稱為系統(tǒng)“加固”，主要有兩種方法。 (1) 關(guān)閉閑置及危險(xiǎn)端口 (2) 屏蔽出現(xiàn)掃描癥狀的端口2 )網(wǎng)絡(luò)監(jiān)聽攻防網(wǎng)絡(luò)嗅探就是使網(wǎng)絡(luò)接口接收不屬于本主機(jī)的數(shù)據(jù)。通常賬戶和密碼等信息都以明文的形式在以太網(wǎng)上傳輸，一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上嗅探到，用戶就可能會(huì)遭到損害。對于網(wǎng)絡(luò)嗅探攻擊，可以

23、采取以下一些措施進(jìn)行防范。(1) 網(wǎng)絡(luò)分段(2) 加密(3) 一次性密碼技術(shù)5) 緩沖區(qū)溢出攻防(1) 編寫正確的代碼(2) 非執(zhí)行的緩沖區(qū) (3) 數(shù)組邊界檢查(4) 程序指針完整性檢查6) 拒絕服務(wù)攻防到目前為止，進(jìn)行DDoS 攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞。檢測DDoS攻擊的主要方法有以下幾種： (1)根據(jù)異常情況分析 (2)使用DDoS檢測工具 對DDoS攻擊的主要防范策略包括： (1)盡早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。 (2)在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。 (3)利用網(wǎng)絡(luò)安全設(shè)備如防

24、火墻等來加固網(wǎng)絡(luò)的安全性。 (4)比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制。 (5)當(dāng)發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)應(yīng)付策略，盡快追蹤攻擊包，并及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量。 (6)對于潛在的DDoS攻擊，應(yīng)當(dāng)及時(shí)清除，以免留下后患。 （2）闡明特洛伊木馬攻擊的步驟及原理？ 1） 使用木馬工具進(jìn)行網(wǎng)絡(luò)入侵，基本過程可以分為6個(gè)步驟。 (1) 配置木馬 (2) 傳播木馬 (3) 運(yùn)行木馬 (4) 泄露信息。收集一些服務(wù)端的軟硬件信息，并通過E-mail或ICQ 等

25、告知控制端用戶。 (5) 建立連接。服務(wù)端安裝木馬程序，且控制端及服務(wù)端都要在線?？刂贫丝梢酝ㄟ^木馬端口與服務(wù)端建立連接。 (6) 遠(yuǎn)程控制。通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 控制端口可以享有的控制權(quán)限： 竊取密碼、文件操作、修改注冊表和系統(tǒng)操作。2)特洛伊木馬攻擊原理特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。 （6）入侵檢測系統(tǒng)的主要功能有哪些？其特點(diǎn)是什么？入侵檢測系統(tǒng)主要功能包括6個(gè)方面：(1) 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；(2) 系統(tǒng)構(gòu)

26、造和弱點(diǎn)的審計(jì)；(3) 識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人員報(bào)警；(4) 異常行為模式的統(tǒng)計(jì)分析；(5) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6) 操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。 入侵檢測系統(tǒng)的特點(diǎn)： 入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)，是對防火墻技術(shù)的合理補(bǔ)充。IDS幫助系統(tǒng)防范網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理功能，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測和安全防護(hù)有根本性的區(qū)別：安全防護(hù)

27、和黑客的關(guān)系是“防護(hù)在明，黑客在暗”，入侵檢測和黑客的關(guān)系則是“黑客在明，檢測在暗”。安全防護(hù)主要修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件；入侵檢測并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征一般與系統(tǒng)缺陷有邏輯關(guān)系，對入侵事件的特征進(jìn)行檢測，所以入侵檢測系統(tǒng)是黑客的克星。（7）簡述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？1. 提高防范意識2. 設(shè)置安全口令3. 實(shí)施存取控制4. 加密及認(rèn)證5. 定期分析系統(tǒng)日志6. 完善服務(wù)器系統(tǒng)安全性能7. 進(jìn)行動(dòng)態(tài)站點(diǎn)監(jiān)控8. 安全管理檢測9. 做好數(shù)據(jù)備份10. 使用防火墻和防毒軟件（8）簡述端口掃描的原理。最簡單的端口掃描程

28、序僅僅是檢查目標(biāo)主機(jī)在哪些端口可以建立TCP 連接，如果可以建立連接，則說明主機(jī)在那個(gè)端口被監(jiān)聽。 對于非法入侵者而言，要想知道端口上具體提供的服務(wù)，必須用相應(yīng)的協(xié)議來驗(yàn)證才能確定，因?yàn)橐粋€(gè)服務(wù)進(jìn)程總是為了完成某種具體的工作而設(shè)計(jì)的。 （9）從網(wǎng)絡(luò)安全角度分析為什么在實(shí)際應(yīng)用中要開放盡量少的端口？網(wǎng)絡(luò)端口為一組16位號碼，其范圍為065535，服務(wù)器在預(yù)設(shè)得端口等待客戶端的連接。如WWW服務(wù)使用TCP的80號端口、FTP端口21、Telnet端口23。一般各種網(wǎng)絡(luò)服務(wù)和管理都是通過端口進(jìn)行的，同時(shí)也為黑客提供了一個(gè)隱蔽的入侵通道。對目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描能得到許多有用的信息。通過端口掃描，可以

29、得到許多需要的信息，往往成為黑客發(fā)現(xiàn)獲得主機(jī)信息的一種最佳途徑, 所以從網(wǎng)絡(luò)安全角度在實(shí)際應(yīng)用中要開放盡量少的端口。（10）在實(shí)際應(yīng)用中應(yīng)怎樣防范口令破譯？ 通常保持密碼安全的要點(diǎn)： (1) 要將密碼寫下來，以免遺失； (2) 不要將密碼保存在電腦文件中； (3) 不要選取顯而易見的信息做密碼； (4) 不要讓他人知道； (5) 不要在不同系統(tǒng)中使用同一密碼； (6) 在輸入密碼時(shí)應(yīng)確認(rèn)身邊無人或其他人在1米線外看不到輸入密碼的地方； (7) 定期改變密碼，至少25 個(gè)月改變一次。（11）簡述出現(xiàn)DDoS 時(shí)可能發(fā)生的現(xiàn)象。被攻擊主機(jī)上出現(xiàn)大量等待的TCP 連接，網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，

30、源地址為假的，制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊，利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時(shí)處理所有正常請求，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。（12）簡述電子郵件炸彈的原理及防范技術(shù)。原理：是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)，甚至癱瘓。防范技術(shù)：其防范方法與防范其他密碼破解、拒收垃圾郵件和防范病毒方法類似。第5章 身份認(rèn)證與訪問控制1. 選擇題（1）在常用的身份認(rèn)證方式中，（ ）是采用軟硬件相結(jié)合、一次

31、一密的強(qiáng)雙因子認(rèn)證模式，具有安全性、移動(dòng)性和使用的方便性。A. 智能卡認(rèn)證 B. 動(dòng)態(tài)令牌認(rèn)證 C. USB Key D. 用戶名及密碼方式認(rèn)證（2）以下（ ）屬于生物識別中的次級生物識別技術(shù)。A. 網(wǎng)膜識別 B. DNA C. 語音識別 D. 指紋識別（3）數(shù)據(jù)簽名的（ ）功能是指簽名可以證明是簽字者而不是其他人在文件上簽字。A. 簽名不可偽造 B. 簽名不可變更C. 簽名不可抵賴 D. 簽名是可信的（4）在綜合訪問控制策略中，系統(tǒng)管理員權(quán)限、讀/寫權(quán)限、修改權(quán)限屬于（ ）。A. 網(wǎng)絡(luò)的權(quán)限控制 B. 屬性安全控制C. 網(wǎng)絡(luò)服務(wù)安全控制 D. 目錄級安全控制（5）以下（ ）不屬于AAA系統(tǒng)提

32、供的服務(wù)類型。A. 認(rèn)證 B. 鑒權(quán)C. 訪問 D. 審計(jì)解答：（1）B （2）C （3）A （4）D （5）C2. 填空題（1）身份認(rèn)證是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同 的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否 、 和 的過程。解答：保護(hù)級別、真實(shí)、合法、唯一（2）數(shù)字簽名是指用戶用自己的 對原始數(shù)據(jù)進(jìn)行 所得到 ，專門用于保證信息來源的 、數(shù)據(jù)傳輸?shù)?和 。解答：私鑰 加密、特殊數(shù)字串、真實(shí)性、完整性、防抵賴性（3）訪問控制包括三個(gè)要素，即 、 和 。訪問控制的主要內(nèi)容包括 、 和 三個(gè)方面。解答：主體 客體、控制策略、認(rèn)證、控制策略實(shí)現(xiàn)、審計(jì)（4）訪問控制模式有三種模式，即 、

33、和 。解答：自主訪問控制DAC、強(qiáng)制訪問控制MAC、基本角色的訪問控制RBAC（5）計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)是通過一定的 ，利用 系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序 、 和 每個(gè)事件的環(huán)境及活動(dòng)，是對和的要補(bǔ)充和完善。解答：安全策略、記錄及分析、檢查、審查、檢驗(yàn)、防火墻技術(shù)、入侵檢測技術(shù)3. 簡答題（1）簡述數(shù)字簽名技術(shù)的實(shí)現(xiàn)過程？對一個(gè)電子文件進(jìn)行數(shù)字簽名并在網(wǎng)上傳輸，通常需要的技術(shù)實(shí)現(xiàn)過程包括：網(wǎng)上身份認(rèn)證、進(jìn)行簽名和對簽名的驗(yàn)證。1. 身份認(rèn)證的實(shí)現(xiàn)過程PKI 提供的服務(wù)首先是認(rèn)證，即身份識別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體。認(rèn)證的前提是甲、乙雙方都具有第三方CA 所簽發(fā)的證書

34、。認(rèn)證分單向認(rèn)證和雙向認(rèn)證。 1) 單向認(rèn)證 ，單向認(rèn)證是甲、乙雙方在網(wǎng)上通信時(shí)，甲只需要認(rèn)證乙的身份。這時(shí)甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時(shí)乙直接將證書傳送給甲，另一種是甲向CA 的目錄服務(wù)器查詢索取。甲獲得乙的證書后，首先用CA 的根證書公鑰驗(yàn)證該證書的簽名，驗(yàn)證通過說明該證書是第三方CA 簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢(LRC 檢查)而進(jìn)入黑名單。2)雙向認(rèn)證。甲乙雙方在網(wǎng)上查詢對方證書的有效性及黑名單時(shí)，采用LDAP協(xié)議(Light Directory Access Protocol)，它是一種輕型目錄訪問協(xié)議，過程如圖所示。 網(wǎng)上通信的

35、雙方，在互相認(rèn)證身份之后，即可發(fā)送簽名的數(shù)據(jù)電文。3.原文保密的數(shù)據(jù)簽名的實(shí)現(xiàn)方法上述數(shù)字簽名中定義的對原文做數(shù)字摘要及簽名并傳輸原文，實(shí)際上在很多場合傳輸?shù)脑囊蟊Ｃ?，不許別人接觸。要求對原文進(jìn)行加密的數(shù)字簽名方法的實(shí)現(xiàn)涉及到“數(shù)字信封”的問題，這個(gè)處理過程稍微復(fù)雜一些，但數(shù)字簽名的基本原理仍是相同的，其簽名過程如圖5-8 所示。圖5-8 原文加密的數(shù)字簽名實(shí)現(xiàn)方法這是一個(gè)典型的“數(shù)字信封”處理過程。其基本原理是將原文用對稱密鑰加密傳輸，而將對稱密鑰用收方公鑰加密發(fā)送給對方。如同將對稱密鑰放在同一個(gè)數(shù)字信封，收方收到數(shù)字信封，用自己的私鑰解密信封，取出對稱密鑰解密得原文。原文加密的數(shù)字簽名

36、的過程：(1) 發(fā)方A 將原文信息進(jìn)行哈希(Hash)運(yùn)算，得到一哈希值，即數(shù)字摘要MD。(2) 發(fā)方A 用自己的私鑰PVA，采用非對稱RSA 算法對數(shù)字摘要MD 進(jìn)行加密，即得數(shù)字簽名DS。(3) 發(fā)方A 用對稱算法DES 的對稱密鑰SK 對原文信息、數(shù)字簽名DS 及發(fā)方A 證書的公鑰PBA 采用對稱算法加密，得加密信息E。(4) 發(fā)方用收方B 的公鑰PBB，采用RSA 算法對對稱密鑰SK 加密，形成數(shù)字信封DE，就好像將對稱密鑰SK 裝到了一個(gè)用收方公鑰加密的信封里。(5) 發(fā)方A 將加密信息E 和數(shù)字信封DE 一起發(fā)送給收方B。(6) 收方B 接收到數(shù)字信封DE 后，首先用自己的私鑰PV

37、B 解密數(shù)字信封，取出對稱密鑰SK。(7) 收方B 用對稱密鑰SK 通過DES 算法解密加密信息E，還原出原文信息、數(shù)字簽名DS 及發(fā)方A 證書的公鑰PBA。(8) 收方B 驗(yàn)證數(shù)字簽名，先用發(fā)方A 的公鑰解密數(shù)字簽名得數(shù)字摘要MD。(9) 收方B 同時(shí)將原文信息用同樣的哈希運(yùn)算，求得一個(gè)新的數(shù)字摘要MD。(10)將兩個(gè)數(shù)字摘要MD 和MD進(jìn)行比較，驗(yàn)證原文是否被修改，如果二者相等，說明數(shù)據(jù)沒有被篡改，是保密傳輸?shù)?，簽名是真?shí)的，否則拒絕該簽名。這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，其他沒經(jīng)認(rèn)證和授權(quán)的人看不見或讀不懂原數(shù)據(jù)，起到了在數(shù)字簽名傳輸中對敏感數(shù)據(jù)的保密作用。以上就是現(xiàn)行電

38、子簽名中普遍被使用而又具有可操作性的、安全的、數(shù)字簽名的技術(shù)實(shí)現(xiàn)原理和全部過程。（3）簡述安全審計(jì)的目的和類型？目的和意義在于： (1) 對潛在的攻擊者起到重大震懾和警告的作用； (2) 測試系統(tǒng)的控制是否恰當(dāng)，以便于進(jìn)行調(diào)整，保證與既定安全策略和操作能夠協(xié)調(diào)一致。(3) 對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，作出損害評估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)；(4) 對系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評價(jià)和反饋，便于修訂決策和部署。(5) 為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。安全審計(jì)有三種類型： (1) 系統(tǒng)級審計(jì) (2) 應(yīng)用級審計(jì) (

39、3) 用戶級審計(jì) 2Windows NT的訪問控制過程 （1）創(chuàng)建賬號。當(dāng)一個(gè)賬號被創(chuàng)建時(shí)，Windows NT系統(tǒng)為它分配一個(gè)安全標(biāo)識（SID）。安全標(biāo)識和賬號惟一對應(yīng)，在賬號創(chuàng)建時(shí)創(chuàng)建，賬號刪除時(shí)刪除，而且永不再用。安全標(biāo)識與對應(yīng)的用戶和組的賬號信息一起存儲(chǔ)在SAM數(shù)據(jù)庫里。 （2）登錄過程（LP）控制。每次用戶登錄時(shí)，用戶應(yīng)輸入用戶名、口令和用戶希望登錄的服務(wù)器/域等信息，登錄主機(jī)把這些信息傳送給系統(tǒng)的安全賬號管理器，安全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給客戶機(jī)或工作站允許訪問的信息，記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息，并返回用戶的安全

40、標(biāo)識和用戶所在組的安全標(biāo)識。工作站為用戶生成一個(gè)進(jìn)程。 （3）創(chuàng)建訪問令牌。當(dāng)用戶登錄成功后，本地安全授權(quán)機(jī)構(gòu)（LSA）為用戶創(chuàng)建一個(gè)訪問令牌，包括用戶名、所在組、安全標(biāo)識等信息。以后用戶每新建一個(gè)進(jìn)程，都將訪問并復(fù)制令牌作為該進(jìn)程的訪問令牌。 （4）訪問對象控制。當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個(gè)對象時(shí)，安全引用監(jiān)視器（SRM）將用戶/進(jìn)程的訪問令牌中的安全標(biāo)識（SID）與對象安全描述符（是NT為共享資源創(chuàng)建的一組安全屬性，包括所有者安全標(biāo)識、組安全標(biāo)識、自主訪問控制表、系統(tǒng)訪問控制表和訪問控制項(xiàng)）中的自主訪問控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問該對象。在這個(gè)過程中應(yīng)該注意：安全標(biāo)識（S

41、ID）對應(yīng)賬號的整個(gè)有效期，而訪問令牌只對應(yīng)某一次賬號登錄。第6章 密碼與加密技術(shù)1.選擇題（1）（ ）密碼體制，不但具有保密功能，并且具有鑒別的功能。 A. 對稱 B. 私鑰 C. 非對稱 D. 混合加密體制（2）網(wǎng)絡(luò)加密方式的（ ）是把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文的每一位進(jìn)行加密，而且把路由信息、校驗(yàn)和等控制信息全部加密。A. 鏈路加密 B. 節(jié)點(diǎn)對節(jié)點(diǎn)加密C. 端對端加密 D.混合加密（3）愷撒密碼是（ ）方法，被稱為循環(huán)移位密碼，優(yōu)點(diǎn)是密鑰簡單易記，缺點(diǎn)是安全性較差。A.代碼加密 B.替換加密C.變位加密 D.一次性加密（4）在加密服務(wù)中，（ ）是用于保障數(shù)據(jù)的真實(shí)性和完整性的，目前主要有兩種

42、生成MA.C.的方式。A. 加密和解密 B. 數(shù)字簽名 C. 密鑰安置 D.消息認(rèn)證碼（5）根據(jù)信息隱藏的技術(shù)要求和目的，下列（ ）不屬于數(shù)字水印需要達(dá)到的基本特征。A. 隱藏性 B. 安全性 C. 完整性 D. 強(qiáng)壯性解答：（1）C （2）A （3）B （4）D （5）C2.填空題（1）在加密系統(tǒng)中，原有的信息稱為 ，由 變?yōu)?的過程稱為加密，由 還原成 的過程稱為解密。 解答：明文、明文、密文、密文、明文（2） 是保護(hù)大型傳輸網(wǎng)絡(luò)系統(tǒng)上各種信息的惟一實(shí)現(xiàn)手段，是保障信息安全的 。解答：密碼技術(shù)、核心技術(shù)（3）對稱密碼體制加密解密使用 的密鑰；非對稱密碼體制的加密解密使用 的密鑰，而且加密密

43、鑰和解密密鑰要求 互相推算。解答：相同、不相同、無法（4）數(shù)據(jù)加密標(biāo)準(zhǔn)DES是 加密技術(shù)，專為 編碼數(shù)據(jù)設(shè)計(jì)的，典型的按 方式工作的 密碼算法。解答：代碼加密、替換加密、變位加密、一次性加密（5）常用的加密方法有 、 、 、 四種。解答：對稱、二進(jìn)制、分組、單鑰3.簡答題（3）簡述密碼的破譯方法和防止密碼被破譯的措施？密碼破譯方法1密鑰的窮盡搜索 破譯密文最簡單的方法，就是嘗試所有可能的密鑰組合。如果破譯者有識別正確解密結(jié)果的能力，雖然大多數(shù)的密鑰組合破解嘗試都可能失敗，但最終有可能被破譯者得到密鑰和原文，這個(gè)過程稱為密鑰的窮盡搜索。密鑰的窮盡搜索，一般可用簡單的工具軟件或機(jī)械裝置，如同組合密

44、碼攻擊一樣，搜索效率很低，甚至達(dá)到的程度很小。如果加密系統(tǒng)密鑰生成的概率分布不均勻，比如有些密鑰組合根本不會(huì)出現(xiàn)，而另一些組合則經(jīng)常出現(xiàn)，那么密鑰的有效長度則減小了很多。破譯者利用這種規(guī)律就可能大大加快搜索的速度。另外，利用多臺(tái)或更先進(jìn)的計(jì)算機(jī)進(jìn)行分布式搜索，其威脅也是很大的。2密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。 (1) 已知明文的破譯方法：密碼分析員可以通過一段明文和密文的對應(yīng)關(guān)系，經(jīng)過分析發(fā)現(xiàn)加密的密鑰。所以，過時(shí)或常用加密的明文、密文和密鑰，仍然具有被利用的危險(xiǎn)性。(2) 選定明文的破譯方法：密碼分析員可以設(shè)法讓對手加密一段選定的明文，并獲得加

45、密后的結(jié)果，經(jīng)過分析也可以確定加密的密鑰。（4）如何進(jìn)行簡單的變位加密？已知明文是“來賓已出現(xiàn)住在人民路”， 密鑰是：4168257390，則加密后，密文是什么？簡單的變位加密：首先選擇一個(gè)用數(shù)字表示的密鑰，寫成一行，然后把明文逐行寫在數(shù)字下。按密鑰中數(shù)字指示的順序，逐列將原文抄寫下來，即為加密后的密文 。密鑰： 4 1 6 8 2 5 7 3 9 0明文：來 賓 已 出 現(xiàn) 住 在 人 民 路 0 1 2 3 4 5 6 7 8 9密文：路 賓 現(xiàn) 人 來 住 已 在 出 民(5)已知明文是“One World One Dream”，用5列變位加密后，密文是什么？O n e W or l d O ne D r e am 則密文是：OremnlDedrWOeona（6）已知明文是“One World One Dream”，按行排在矩陣中，置換f=，用矩陣變位加密方法后