網(wǎng)絡(luò)安全期末考試試題及答案

1、精選文檔1. 分組密碼體制應(yīng)遵循什么原則，以DES密碼體制為例具體說明?；靵y原則和集中原則混亂原則：為了避開密碼分析者利用明文和密文之間的依靠關(guān)系進(jìn)行破譯，密碼的設(shè)計因該保證這種依靠關(guān)系足夠簡單。集中原則：為避開密碼分析者對密鑰逐段破譯，密碼的設(shè)計因該保證密鑰的每位數(shù)字能夠影響密文中的多位數(shù)字 密鑰置換算法的構(gòu)造準(zhǔn)則設(shè)計目標(biāo)：子密鑰的統(tǒng)計獨立性和機(jī)敏性實現(xiàn)簡潔速度不存在簡潔關(guān)系：( 給定兩個有某種關(guān)系的種子密鑰,能猜測它們輪子密鑰之間的關(guān)系)種子密鑰的全部比特對每個子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的沒有弱密鑰(1) 分組長度足夠長，防止明文窮舉攻擊，例如

2、DES，分組塊大小為64比特，(2) 密鑰量足夠大，金額能消退弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對稱密碼體制存在密鑰管理問題，密鑰也不能過大。(3) 密鑰變化夠簡單(4) 加密解密運(yùn)算簡潔，易于軟硬件高速實現(xiàn)(5) 數(shù)據(jù)擴(kuò)展足夠小，一般很多據(jù)擴(kuò)展。差錯傳播盡可能小，加密或者解密某明文或密文分組出錯，對后續(xù)密文解密影響盡可能2. 利用公鑰密碼算法實現(xiàn)認(rèn)證時，一般是（1）C=EKRA（M），發(fā)送方A用私鑰加密后發(fā)送給B；（2）M=DKUA （C）：接收方B用A方的公鑰進(jìn)行解密。請問，在這個過程中，能否保證消息的保密性？若不能，請你給出解決方案。答：不能，在這個過程中，接受的是單次加密，而且接

3、收方接受的是公鑰解密，公鑰是公開的，只要有人截獲了密文，他就可以據(jù)此很簡潔地破譯密文，故不能保證消息的保密性。 解決方案：可以接受兩次運(yùn)用公鑰密碼的方式，即：(1)C=EKUA(EKRA(M) (2)M=DKUA(DKRA(C) 這樣，發(fā)送方A首先用其私鑰對消息進(jìn)行加密，得到數(shù)字簽名，然后再用A方的公鑰加密，所得密文只有被擁有私鑰的接收方解密，這樣就可以既保證供應(yīng)認(rèn)證，又保證消息的保密性。3. Ipsec有兩種工作模式。請劃出數(shù)據(jù)包的封裝模式并加以說明，并指出各自的優(yōu)缺點。IPSec協(xié)議（包括 AH和ESP）既可用來愛護(hù)一個完整的IP載荷，亦可用來愛護(hù)某個IP載荷的上層協(xié)議。這兩方面的愛護(hù)分別

4、是由IPSec兩種不同的模式來供應(yīng)的，如圖所示。其中，傳送模式用來愛護(hù)上層協(xié)議；而通道模式用來愛護(hù)整個IP數(shù)據(jù)報。在傳送模式中，IPSec先對上層協(xié)議進(jìn)行封裝，增加一 IPSec頭，對上層協(xié)議的數(shù)據(jù)進(jìn)行愛護(hù)，然后才由IP協(xié)議對封裝的數(shù)據(jù)進(jìn)行處理，增加IP頭；而在通道模式中，IPSec對IP協(xié)議處理后的數(shù)據(jù)進(jìn)行封裝，增加一 IPSec頭，對IP數(shù)據(jù)報進(jìn)行愛護(hù)，然后再由IP協(xié)議對封裝的數(shù)據(jù)進(jìn)行處理，增加新IP頭。傳送模式下，IPSec模塊運(yùn)行于通信的兩個端主機(jī)。有如下優(yōu)點：（1）即使位于同一子網(wǎng)內(nèi)的其他用戶，也不能非法修改通信雙方的數(shù)據(jù)內(nèi)容。（2）分擔(dān)了平安網(wǎng)關(guān)的處理負(fù)荷。但同時也具有以下缺點：（

5、1）每個需要實現(xiàn)傳送模式的主機(jī)都必需安裝并實現(xiàn)IPSec模塊，因此端用戶無法得到透亮的平安服務(wù)，并且端用戶為獲得AH服務(wù)必需付出內(nèi)存、處理時間等方面的代價。（2）不能使用私有的IP地址，必需使用公有地址資源。接受遂道模式，IPSec模塊運(yùn)行于平安網(wǎng)關(guān)或主機(jī)，IPSec具有以下優(yōu)點：1）子網(wǎng)內(nèi)部的各主機(jī)憑借平安網(wǎng)關(guān)的IPSec處理透亮地得到平安服務(wù)。2）可以在子網(wǎng)內(nèi)部使用私有IP地址，無需占用公有地址資源。但同時也具有以下缺點：1）增加了平安網(wǎng)關(guān)的處理負(fù)載。2）無法把握來自子網(wǎng)內(nèi)部的攻擊者。4. 在ssl協(xié)議中，會話是通過什么協(xié)議創(chuàng)建的？會話的創(chuàng)建實現(xiàn)了什么功能？SSL會話是客戶和服務(wù)器之間的一

6、種關(guān)聯(lián)，會話是通過握手協(xié)議來創(chuàng)建的，會話定義了一個密碼學(xué)意義的平安參數(shù)集合，這些參數(shù)可以在多個連接中共享，從而避開每建立一個連接都要進(jìn)行的代價昂貴的重復(fù)協(xié)商。5. vpn有哪些分類？各應(yīng)用于什么場合？vpn有哪幾個實現(xiàn)層次？各層次的代表協(xié)議和技術(shù)是什么？依據(jù)VPN所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN。 (1) VPDN(Virtual Private Dial Network） 在遠(yuǎn)程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN。實現(xiàn)過程如下：用戶撥號NSP（網(wǎng)絡(luò)服務(wù)供應(yīng)商）的網(wǎng)絡(luò)訪問服務(wù)器NAS（Network Access

7、Server），發(fā)出PPP連接懇求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對用戶進(jìn)行身份驗證，確定是合法用戶，就啟動VPDN功能，與公司總部內(nèi)部連接，訪問其內(nèi)部資源。 (2) Intranet VPN 在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPN。通過Internet這一公共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的LAN連到公司總部的LAN，以便公司內(nèi)部的資源共享、文件傳遞等。(3) Extranet VPN 在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN。依據(jù)用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在其次層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng)用

8、層，可以將VPN協(xié)議劃分成其次層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。其次層隧道協(xié)議：主要包括點到點隧道協(xié)議(PPTP)、其次層轉(zhuǎn)發(fā)協(xié)議(L2F)，其次層隧道協(xié)議(L2TP)、多協(xié)議標(biāo)記交換(MPLS)等，主要應(yīng)用于構(gòu)建接入VPN。第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GRE)和IPSec，它主要應(yīng)用于構(gòu)建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。第四層隧道協(xié)議：如SSL VPN。1數(shù)據(jù)鏈路層，代表協(xié)議有PPTP（或L2TP）；2網(wǎng)絡(luò)層，代表協(xié)議有IPSec（或GRE或IP overIP）；3）會話層（或傳輸層），SSL（或SOCKS） 6. （1）防火墻能實現(xiàn)哪些平安任務(wù)？l （1）集中化的平安管

9、理，強(qiáng)化平安策略 由于Internet上每天都有上百萬人在 那里收集信息、交換信息，不行避開地會消滅個別品德不良的人，或違反規(guī)章的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的平安策略，僅僅容許“認(rèn)可的”和符合規(guī)章的懇求通過。 l （2）網(wǎng)絡(luò)日志及使用統(tǒng)計 由于防火墻是全部進(jìn)出信息必需通路，所以防火墻格外適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被愛護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對網(wǎng)絡(luò)存取訪問進(jìn)行和統(tǒng)計l （3）愛護(hù)那些易受攻擊的服務(wù) 防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。l （4）增加的保密

10、用來封鎖有關(guān)網(wǎng)點系統(tǒng)的DNS信息。因此，網(wǎng)點系統(tǒng)名字和IP地址都不要供應(yīng)應(yīng)Internet。l （5）實施平安策略 防火墻是一個平安策略的檢查站，把握對特殊站點的訪問。全部進(jìn)出的信息都必需通過防火墻，防火墻便成為平安問題的檢查點，使可疑的訪問被拒絕于門外。（2）利用所給資源：外部路由器，內(nèi)部路由器，參數(shù)網(wǎng)絡(luò)，堡壘主機(jī)設(shè)計一個防火墻并回答相關(guān)問題。 a要求：將各資源連接構(gòu)成防火墻。b：指出次防火墻屬于防火墻體系結(jié)構(gòu)中哪一種。c：說明防火墻各結(jié)構(gòu)的主要作用A：防火墻的設(shè)計思想就是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個具有平安把握機(jī)制的平安把握點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，來實現(xiàn)對內(nèi)部網(wǎng)

11、服務(wù)和訪問的平安審計和把握。需要指出的是，防火墻雖然可以在肯定程度上愛護(hù)內(nèi)部網(wǎng)的平安，但內(nèi)部網(wǎng)還應(yīng)有其他的平安愛護(hù)措施，這是防火墻所不能代替的。B：屬于防火墻體系結(jié)構(gòu)中的屏蔽子網(wǎng)防火墻。C：兩個分組過濾路由器，一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。 通過屏蔽子網(wǎng)防火墻訪問內(nèi)部網(wǎng)絡(luò)要受到路由器過濾規(guī)章的愛護(hù)。堡壘主機(jī)、信息服務(wù)器、調(diào)制解調(diào)器組以及其他公用服務(wù)器放在子網(wǎng)中。屏蔽子網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和Internet都能訪問唯一系統(tǒng)，他支持網(wǎng)絡(luò)層和應(yīng)用層平安功能。 防火墻的設(shè)計者和管理人員要致力于愛護(hù)堡壘主機(jī)的平安，請說明在設(shè)計堡壘主機(jī)通常應(yīng)遵循怎樣的原則。最簡化原則 堡壘

12、主機(jī)越簡潔，堡壘主機(jī)本身的平安越有保證。由于堡壘主機(jī)供應(yīng)的任何服務(wù)都可能消滅軟件缺陷或配置錯誤，而且缺陷或錯誤都可能導(dǎo)致平安問題。因此，堡壘主機(jī)盡可能少些服務(wù)，它應(yīng)當(dāng)在完成其作用的前提下，供應(yīng)它能供應(yīng)的最小特權(quán)的最少的服務(wù)。預(yù)防原則 盡管用戶盡了最大努力確保堡壘主機(jī)的平安，侵入仍可能發(fā)生。但只有預(yù)先考慮最壞的狀況，并提出對策，才能可能避開它。萬一堡壘主機(jī)受到侵襲，用戶又不愿看到侵襲導(dǎo)致整個防火墻受到損害，可以通過不再讓內(nèi)部的機(jī)器信任堡壘主機(jī)來防止侵襲集中。 在設(shè)計和建筑防火墻時，通常實行多種變化和組合，假如要在防火墻配置中使用多堡壘主機(jī)，是否可行？為什么？可行的，這樣的做的理由是：假如一臺堡壘主機(jī)失敗了，服務(wù)可由另一臺供應(yīng)。 假如將堡壘主機(jī)與內(nèi)部路由器合并，將會消滅怎樣的結(jié)果？將堡壘主機(jī)與內(nèi)部路由器合并將損害網(wǎng)絡(luò)的平安性。將這二者合并，其實已經(jīng)從根本上轉(zhuǎn)變了防火墻的結(jié)構(gòu)。7. 某市擬建立一個電子政務(wù)網(wǎng)絡(luò)，需要連接本市各級政府機(jī)關(guān)（市、區(qū)、縣等）及企事業(yè)單位，供應(yīng)數(shù)據(jù)、語音、視頻傳輸和交換的統(tǒng)一的網(wǎng)絡(luò)平臺，納入電子政務(wù)平臺的各單位既有橫向（是本級政府的組成部門）的數(shù)據(jù)交互，又有縱向的行業(yè)部門的信息交互。從平安角度考慮，你認(rèn)為該網(wǎng)絡(luò)的設(shè)計應(yīng)留意哪些問題？你的解決方案？1、物理平安2、網(wǎng)絡(luò)平臺 3、系統(tǒng)的平安4、應(yīng)用的平安5