網(wǎng)絡(luò)安全期末考試試題及答案

1、1. 分組密碼體制應(yīng)遵循什么原則，以DES密碼體制為例詳細(xì)說(shuō)明。混亂原則和擴(kuò)散原則混亂原則：為了避免密碼分析者利用明文和密文之間的依賴(lài)關(guān)系進(jìn)行破譯，密碼的 設(shè)計(jì)因該保證這種依賴(lài)關(guān)系足夠復(fù)雜。擴(kuò)散原則：為避免密碼分析者對(duì)密鑰逐段破譯，密碼的設(shè)計(jì)因該保證密鑰的每位 數(shù)字能夠影響密文中的多位數(shù)字密鑰置換算法的構(gòu)造準(zhǔn)則設(shè)計(jì)目標(biāo)：子密鑰的統(tǒng)計(jì)獨(dú)立性和靈活性實(shí)現(xiàn)簡(jiǎn)單速度不存在簡(jiǎn)單關(guān)系：(給定兩個(gè)有某種關(guān)系的種子密鑰，能預(yù)測(cè)它們輪子密鑰之間的關(guān) 系)種子密鑰的所有比特對(duì)每個(gè)子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計(jì)算上是難的沒(méi)有弱密鑰(1) 分組長(zhǎng)度足夠長(zhǎng)，防止明文窮舉攻擊，例如 DE

2、S ,分組塊大小為64比特，(2) 密鑰量足夠大，金額能消除弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對(duì)稱(chēng)密碼體制 存在密鑰管理問(wèn)題，密鑰也不能過(guò)大。(3) 密鑰變化夠復(fù)雜(4) 加密解密運(yùn)算簡(jiǎn)單，易于軟硬件高速實(shí)現(xiàn)(5) 數(shù)據(jù)擴(kuò)展足夠小，一般無(wú)數(shù)據(jù)擴(kuò)展。差錯(cuò)傳播盡可能小，加密或者解密某明文或密文分組出錯(cuò)，對(duì)后續(xù)密文解密影響盡可能2. 利用公鑰密碼算法實(shí)現(xiàn)認(rèn)證時(shí)，一般是(1) C=EKRA (M ),發(fā)送方A用私 鑰加密后發(fā)送給B； (2) M=DKUA (C):接收方B用A方的公鑰進(jìn)行解密。 請(qǐng)問(wèn)，在這個(gè)過(guò)程中，能否保證消息的保密性？若不能，請(qǐng)你給出解決方案。 答：不能，在這個(gè)過(guò)程中，采用的是

3、單次加密，而且接收方采用的是公鑰解密，公鑰是公開(kāi)的，只要有人截獲了密文，他就可以據(jù)此很容易地破譯密文， 故不能保證消息的保密性。解決方案：可以采用兩次運(yùn)用公鑰密碼的方式，即：(1)C=EKUA(EKRA(M)M=DKUA(DKRA(C)這樣，發(fā)送方A首先用其私鑰對(duì)消息進(jìn)行加密，得到 數(shù)字簽名，然后再用A方的公鑰加密，所得密文只有被擁有私鑰的接收方解密， 這樣就可以既保證提供認(rèn)證，又保證消息的保密性。3. Ipsec有兩種工作模式。請(qǐng)劃出數(shù)據(jù)包的封裝模式并加以說(shuō)明，并指出各自的 優(yōu)缺點(diǎn)。EPSec協(xié)議(包括AH和ESP)既可用來(lái)保護(hù)一個(gè)完整的IP載荷，亦可用來(lái)保護(hù)某個(gè)IP載荷的上層 協(xié)議。這兩方

4、面的保護(hù)分別是由IPSec兩種不同的模式來(lái)提供的，如圖所示。其中，傳送模式用來(lái) 保護(hù)上層協(xié)議；而通道模式用來(lái)保護(hù)整個(gè)IP數(shù)據(jù)報(bào)。在傳送模式中，IPSec先對(duì)上層協(xié)議進(jìn)行封裝，增加一 IPSec頭，對(duì)上層協(xié)議的數(shù)據(jù)進(jìn)行保護(hù)，然后才由IP協(xié)議對(duì)封裝的數(shù)據(jù)進(jìn)行處理，增加IP頭；而在通道模式屮，IPSec對(duì)ip協(xié)議處理后的數(shù)據(jù)進(jìn)行封裝，增加一 IPSec頭，對(duì)IP數(shù)據(jù)報(bào)進(jìn)行保護(hù)，然后再由IP協(xié)議對(duì)封裝的數(shù)據(jù)進(jìn)行處理，增加新IP頭。IP頭IPSec 頭TCP頭數(shù)據(jù)傳送模式新IP頭IPSec 頭IP頭TCP頭數(shù)據(jù)隧道模式圖7-2 IPSec的傳送模式和通道模式傳送模式下，IPSec模塊運(yùn)行于通信的兩個(gè)端主

5、機(jī)。有如下優(yōu)點(diǎn)：(1) 即使位于同一子網(wǎng)內(nèi)的其他用戶(hù)，也不能非法修改通信雙方的數(shù)據(jù)內(nèi)容。(2) 分擔(dān)了安全網(wǎng)關(guān)的處理負(fù)荷。但同時(shí)也具有以下缺點(diǎn)：(1) 每個(gè)需要實(shí)現(xiàn)傳送模式的主機(jī)都必須安裝并實(shí)現(xiàn)IPSec模塊，因此端用戶(hù)無(wú)法得到透明的安全服務(wù)，并且端用戶(hù)為獲得AH服務(wù)必須付出內(nèi)存、處理時(shí)間等方面的代價(jià)。(2) 不能使用私有的IP地址，必須使用公有地址資源。采用遂道模式，IPSec模塊運(yùn)行于安全網(wǎng)關(guān)或主機(jī)，IPSec具有以下優(yōu)點(diǎn)：1) 子網(wǎng)內(nèi)部的各主機(jī)憑借安全網(wǎng)關(guān)的IPSec處理透明地得到安全服務(wù)。2) 可以在子網(wǎng)內(nèi)部使用私有IP地址，無(wú)需占用公有地址資源。但同時(shí)也具有以下缺點(diǎn)：1) 增加了安全

6、網(wǎng)關(guān)的處理負(fù)載。2) 無(wú)法控制來(lái)自子網(wǎng)內(nèi)部的攻擊者。4. 在ssl協(xié)議中，會(huì)話(huà)是通過(guò)什么協(xié)議創(chuàng)建的？會(huì)話(huà)的創(chuàng)建實(shí)現(xiàn)了什么功能？SSL會(huì)話(huà)是客戶(hù)和服務(wù)器之間的一種關(guān)聯(lián)，會(huì)話(huà)是通過(guò)握手協(xié)議來(lái)創(chuàng)建的，會(huì)話(huà) 定義了一個(gè)密碼學(xué)意義的安全參數(shù)集合，這些參數(shù)可以在多個(gè)連接中共享，從而避 免每建立一個(gè)連接都要進(jìn)行的代價(jià)昂貴的重復(fù)協(xié)商。5. vpn有哪些分類(lèi)？各應(yīng)用于什么場(chǎng)合？ vpn有哪幾個(gè)實(shí)現(xiàn)層次？各層次的代表 協(xié)議和技術(shù)是什么？根據(jù)VPN所起的作用，可以將VPN分為三類(lèi)：VPDN > Intranet VPN和Extranet VPN o(1) VPDN(Virtual Private Dial N

7、etwork )在遠(yuǎn)程用戶(hù)或移動(dòng)雇員和公司內(nèi)部網(wǎng)之間的 VPN,稱(chēng)為VPDNo實(shí)現(xiàn)過(guò)程如下： 用戶(hù)撥號(hào)NSP (網(wǎng)絡(luò)服務(wù)提供商)的網(wǎng)絡(luò)訪問(wèn)服務(wù)器NAS ( Network AccessServer),發(fā)出PPP連接請(qǐng)求，NAS收到呼叫后，在用戶(hù)和NAS之間建立PPP 鏈路，然后，NAS對(duì)用戶(hù)進(jìn)行身份驗(yàn)證，確定是合法用戶(hù)，就啟動(dòng) VPDN功能， 與公司總部?jī)?nèi)部連接，訪問(wèn)其內(nèi)部資源。(2) Intranet VPN在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPN。通過(guò)Internet這一公共 網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的LAN連到公司總部的LAN ,以便公司內(nèi)部的資源共 享、文件傳遞等。(3)

8、 Extranet VPN在供應(yīng)商、商業(yè)合作伙伴的 LAN和公司的LAN之間的VPN。按照用戶(hù)數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù) 鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng)用層，可以將VPN協(xié)議劃分成第二層隧道 協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。第二層隧道協(xié)議：主要包括點(diǎn)到點(diǎn)隧道協(xié)議 （PPTP）、第二層轉(zhuǎn)發(fā)協(xié)議（L2F）,第 二層隧道協(xié)議（L2TP）、多協(xié)議標(biāo)記交換（MPLS）等，主要應(yīng)用于構(gòu)建接入 VPNo 第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議 （GRE）和IPSec,它主要應(yīng)用于構(gòu) 建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN o第四層隧道協(xié)議：如SSLVPNo1數(shù)據(jù)鏈路層，

9、代表協(xié)議有PPTP （或L2TP）；2網(wǎng)絡(luò)層，代表協(xié)議有IPSec （或GRE或IP overIP ）；3）會(huì)話(huà)層（或傳輸層），SSL （或SOCKS）6. （ 1）防火墻能實(shí)現(xiàn)哪些安全任務(wù)？（1）集中化的安全管理，強(qiáng)化安全策略由于Internet ±每天都有上百萬(wàn)人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品徳不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。（2）網(wǎng)絡(luò)日志及使用統(tǒng)計(jì)因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò) 使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能

10、在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記 錄，對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行和統(tǒng)計(jì)（3）保護(hù)那些易受攻擊的服務(wù)防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。（4）增強(qiáng)的保密用來(lái)封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的 DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供給 Internet。（5）實(shí)施安全策略防火墻是一個(gè)安全策略的檢查站，控制對(duì)特殊站點(diǎn)的訪問(wèn)。所有進(jìn)出的信息都必須 通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。（2）利用所給資源：外部路由器，內(nèi)部路由器，參數(shù)網(wǎng)絡(luò)，堡壘主機(jī)設(shè)計(jì) 一個(gè)防火墻并回答相關(guān)問(wèn)題。 a要求：將各資源連接構(gòu)成防火墻。b：指出次防

11、火墻屬于防火墻體系 結(jié)構(gòu)中哪一種。c：說(shuō)明防火墻各結(jié)構(gòu)的主要作用A：防火墻的設(shè)計(jì)思想就是在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)具有安全控 制機(jī)制的安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，來(lái) 實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)服務(wù)和訪問(wèn)的安全審計(jì)和控制。需要指出的是，防火墻雖然可 以在一定程度上保護(hù)內(nèi)部網(wǎng)的安全，但內(nèi)部網(wǎng)還應(yīng)有其他的安全保護(hù)措施， 這是防火墻所不能代替的。B：屬于防火墻體系結(jié)構(gòu)屮的屏蔽子網(wǎng)防火墻。C：兩個(gè)分組過(guò)濾路由器，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于 周邊網(wǎng)與外部網(wǎng)絡(luò)之間。通過(guò)屏蔽子網(wǎng)防火墻訪問(wèn)內(nèi)部網(wǎng)絡(luò)要受到路由器過(guò)濾規(guī)則的保護(hù)。堡壘 主機(jī)、信息服務(wù)器、調(diào)制解調(diào)器組以及其他公用服

12、務(wù)器放在子網(wǎng)中。屏蔽子網(wǎng) 中的主機(jī)是內(nèi)部網(wǎng)和Internet都能訪問(wèn)唯一系統(tǒng)，他支持網(wǎng)絡(luò)層和應(yīng)用層安 全功能。4.利用所給資斷 外閩略由器，內(nèi)部略由器，費(fèi)數(shù)網(wǎng)絡(luò)，堡壘主機(jī)設(shè)計(jì)個(gè)防火分 說(shuō)臥各謹(jǐn)源用允許合并耍求：氐將各瓷源連接構(gòu)成防火黑b.指川此防火培屈于防火墻體誤結(jié)構(gòu)中卿種e說(shuō)明防火臍各設(shè)備的主要作用a.將齊謹(jǐn)源連接構(gòu)成防火靖的結(jié)構(gòu)如卜所水：b. 此齡火墻屬曠子網(wǎng)過(guò)濾體系結(jié)厲T的防火墻.c. 河過(guò)濾體系結(jié)構(gòu)的最筒單的形式為芮個(gè)過(guò)濾路由器每個(gè)衆(zhòng)連接到參數(shù)網(wǎng)絡(luò)，個(gè) 位F參數(shù)刑絡(luò)與內(nèi)那網(wǎng)絡(luò)之缽 另 個(gè)位十移數(shù)網(wǎng)絡(luò)與外沸財(cái)絡(luò)之闔.融數(shù)網(wǎng)絡(luò)是崔內(nèi)外部網(wǎng)之岡另加的層安全侏護(hù)網(wǎng)塔層。如果入侵*成功地闖過(guò)外層

13、保護(hù)網(wǎng) 到達(dá)防火墻參數(shù)網(wǎng)絡(luò)就能奮入侵專(zhuān)與內(nèi)部網(wǎng)之間再提供層保護(hù).堡呈主機(jī)：為內(nèi)邯眼舒請(qǐng)求進(jìn)行代理：內(nèi)邵冊(cè)由曙的主耍功礎(chǔ)是風(fēng)護(hù)內(nèi)浙網(wǎng)免受米自外部網(wǎng)與矣數(shù)網(wǎng)絡(luò)的樓擾它完成防吠墻的大 部分包過(guò)謔丁偉卑外耶略由豁 生耍是對(duì)矣數(shù)網(wǎng)終I：的主機(jī)顯供保護(hù)，井飢斷來(lái)自外 mivi造內(nèi)那網(wǎng)源地址 進(jìn)米的任何數(shù)據(jù)&!/ 防火墻的設(shè)計(jì)者和管理人員要致力于保護(hù)堡壘主機(jī)的安全，請(qǐng)說(shuō)明在 設(shè)計(jì)堡壘主機(jī)通常應(yīng)遵循怎樣的原則。 最簡(jiǎn)化原則堡壘主機(jī)越簡(jiǎn)單，堡壘主機(jī)本身的安全越有保證。因?yàn)楸?壘主機(jī)提供的任何服務(wù)都可能出現(xiàn)軟件缺陷或配置錯(cuò)誤，而且缺陷或錯(cuò)誤都 可能導(dǎo)致安全問(wèn)題。因此，堡壘主機(jī)盡可能少些服務(wù)，它應(yīng)當(dāng)在完成其

14、作用 的前提下，提供它能提供的最小特權(quán)的最少的服務(wù)。 預(yù)防原則盡管用戶(hù)盡了最大努力確保堡壘主機(jī)的安全，侵入仍可能發(fā)生。但 只有預(yù)先考慮最壞的情況，并提出對(duì)策，才能可能避免它。萬(wàn)一堡壘主機(jī)受 到侵襲，用戶(hù)又不愿看到侵襲導(dǎo)致整個(gè)防火墻受到損害，可以通過(guò)不再讓內(nèi) 部的機(jī)器信任堡壘主機(jī)來(lái)防止侵襲蔓延。 在設(shè)計(jì)和建造防火墻時(shí)，通常采取多種變化和組合，如果要在防火墻配置中 使用多堡壘主機(jī)，是否可行？為什么？可行的，這樣的做的理由是：如果一臺(tái)堡壘主機(jī)失敗了，服務(wù)可由另一臺(tái)提供。 如果將堡壘主機(jī)與內(nèi)部路由器合并，將會(huì)出現(xiàn)怎樣的結(jié)果？ 將堡壘主機(jī)與內(nèi)部路由器合并將損害網(wǎng)絡(luò)的安全性。將這二者合并，其實(shí)已經(jīng)從根本上

15、 改變了防火墻的結(jié)構(gòu)。7. 某市擬建立一個(gè)電子政務(wù)網(wǎng)絡(luò)，需要連接本市各級(jí)政府機(jī)關(guān)（市、區(qū)、縣等） 及企事業(yè)單位，提供數(shù)據(jù)、語(yǔ)音、視頻傳輸和交換的統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，納入電 子政務(wù)平臺(tái)的各單位既有橫向（是本級(jí)政府的組成部門(mén)）的數(shù)據(jù)交互，又有縱向的行業(yè)部門(mén)的信息交互。從安全角度考慮，你認(rèn)為該網(wǎng)絡(luò)的設(shè)計(jì)應(yīng)注 意哪些問(wèn)題？你的解決方案？1、物理安全2、網(wǎng)絡(luò)平臺(tái)3、系統(tǒng)的安全4、應(yīng)用的安全5、管理的安全6、黑客的攻擊7、不滿(mǎn)的內(nèi)部人員8、病毒的攻擊這幾點(diǎn)是都是多年來(lái)網(wǎng)絡(luò)安全專(zhuān)家所總結(jié)的。最常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題還是處于網(wǎng)絡(luò)內(nèi)部并且是內(nèi)部底層。內(nèi)網(wǎng)底層的安全常常被忽略，這就是現(xiàn)在的企業(yè)為什么花了錢(qián)買(mǎi)了安全設(shè)備但是

16、 內(nèi)網(wǎng)的卡、慢、掉線依然存在的原因。最后一句話(huà)，想要內(nèi)網(wǎng)安全，從內(nèi)網(wǎng)底層做起!建立完整的信息安全保障體系。該體系應(yīng)包括：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、 數(shù)據(jù)安全、災(zāi)難備份和恢復(fù)等?.茶m擬逐立個(gè)屯r1政務(wù)洌絡(luò)，暫要辻接本幣備級(jí)政時(shí)機(jī)尺（iii區(qū)、縣孚）及企爭(zhēng)亞 單位.提供盈據(jù)、語(yǔ)音、視頻件輸和空換的魏的網(wǎng)絡(luò)平臺(tái).納入電了政餌平臺(tái)的各單位既 釘橫向（是木級(jí)及府的組成海門(mén)）的數(shù)狐交互，乂仃縱向的釘業(yè)部門(mén)的信息處互，從安全角度考臥 你認(rèn)為該軸絡(luò)的設(shè)計(jì)應(yīng)注意期些問(wèn)題？你的解決方案？谷*電了政務(wù)的鴻絡(luò)結(jié)構(gòu) 般采用“三網(wǎng)架構(gòu)H即政府委.辦、咼的辦公網(wǎng)內(nèi)網(wǎng)人支將委辦局時(shí)濟(jì)門(mén)協(xié)詢(xún)辦公的屯政務(wù)專(zhuān)阿和與企爭(zhēng)業(yè)單位、公眾通過(guò)互聯(lián)網(wǎng)接入的外網(wǎng)乜另外 裂規(guī)明的是*政府的涉密機(jī)要網(wǎng)是個(gè)特殊的專(zhuān)用網(wǎng)爼匚忖EE電子政毎網(wǎng)絡(luò)的范躊。很據(jù)仃天丈件対屯了政務(wù)網(wǎng)絡(luò)安全的區(qū)木要求是：程立完整的佶息安全果障體系.逐庫(kù)系飩包抓 物理安全、則絡(luò)安全' 系統(tǒng)安全應(yīng)用安全.數(shù)據(jù)安全和災(zāi)辭錚份與恢夏寒 網(wǎng)絡(luò)安全保障體系應(yīng)硼:a）辦公內(nèi)網(wǎng)與外網(wǎng)之閭實(shí)規(guī)物理隔離.即用物魁隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)外剛數(shù)規(guī)的銖渡和交換.加障內(nèi)網(wǎng)安全I(xiàn)瀛b）辦公內(nèi)樹(shù)與屯敷務(wù)專(zhuān)網(wǎng)之間實(shí)現(xiàn)邏輯詢(xún)離"即賦置具仃VPN功能的防火殊 實(shí)現(xiàn)安全 代理"信息包過(guò)濾、內(nèi)外地址綁定希 防止非找權(quán)用戶(hù)鏡過(guò)電政務(wù)專(zhuān)鞫券法訪問(wèn)辦公內(nèi)弘c）在