18年12月考試網絡安全技術答案

1、東北大學繼續(xù)教育學院網絡安全技術試 卷(作業(yè)考核 線下) B 卷(共 6 頁)總分題號一二三四五六七八九十得分選擇填空(每空1分，共20分)(D) 1、完整性服務提供信息的 。A、不可抵賴性B、機密性C、正確性D、可信性(A) 2、下列 協(xié)議是有連接。A、TCP B、ICMPC、DNSD、UDP(B) 3、下列加密算法中 是對稱加密算法。A、RSAB、3DES C、Rabin D、橢圓曲線(B) 4、防火墻是建立在內外網絡邊界上的。A、路由設備 B、過濾設備C、尋址設備D、擴展設備(C) 5、在網絡通信中，糾檢錯功能是由 OSI參考模型的實現(xiàn)的。A、傳輸層B、網絡層 C、數(shù)據(jù)鏈路層D、會話層(

2、D) 6、網絡安全是在分布網絡環(huán)境中對 提供安全保護。A、信息載體B、信息的處理和傳輸C、信息的存儲和訪問 D、以上皆是(C )7、當進行文本文件傳輸時，可能需要進行數(shù)據(jù)壓縮，在OSI模型中，規(guī)定完成這一工作的是。A、應用層B、會話層 C、表小層D、傳輸層(B) 8、數(shù)字簽名要預先使用單向 Hash函數(shù)進行處理的原因是 。A、多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度C、提高密文的計算速度D、保證密文能正確地還原成明文(A) 9、IP v4地址是 位的。A、32B、48C、64D、128(D) 10、包過濾技術是防火墻在 層中根據(jù)數(shù)據(jù)包頭中包頭信息有

3、選擇地實施允許 通過或阻斷。A、物理層 B、數(shù)據(jù)鏈路層C、傳輸層D、網絡層(A) 11、下列加密算法可以沒有密鑰的是 。A、不可逆加密B、可逆加密C、對稱加密D、非對稱加密(D) 12、威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件，威脅包括()。A、目標 B、代理C、事件D、上面3項都是(C) 13、對非軍事區(qū)DMZ而言，正確的解釋是 。A、DMZ是一個非真正可信的網絡部分B、DMZ網絡訪問控制策略決定允許或禁止進入 DMZ通信C、允許外部用戶訪問DMZ系統(tǒng)上合適的服務D、以上3項都是(A) 14、防火墻一般被安置在被保護網絡的。A、邊界 B、外部 C、內部 D、以上皆可(B) 15、數(shù)字簽

4、名要預先使用單向 Hash函數(shù)進行處理的原因是 。A、多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度C、提高密文的計算速度D、保證密文能正確地還原成明文(D) 16、星可以在DMZ中放置的系統(tǒng)。A、郵件系統(tǒng) B、Web服務器C、控制系統(tǒng) D、以上皆可(D) 17、下列掃描 屬于端口掃描。A、TCP SYN掃描B、TCP ACK掃描 C、TCP FIN掃描 D、以上皆是(D) 18、包過濾技術是防火墻在 層中根據(jù)數(shù)據(jù)包頭中包頭信息有選擇地實施允許 通過或阻斷。A、物理層B、數(shù)據(jù)鏈路層C、傳輸層D、網絡層(C) 19、訪問控制是指確定 以及實施訪問權限的過程

5、。A、用戶權限B、可被用戶訪問的資源C、可給予那些主體訪問權利D、系統(tǒng)是否遭受攻擊(B) 20、SSL產生會話密鑰的方式是 。A.從密鑰管理數(shù)據(jù)庫中請求獲得B.隨機由客戶機產生并加密后通知服務器C.由服務器產生并分配給客戶機D.每一臺客戶機分配一個密鑰的方式二、簡答題(每題6分，共30分)1、為使防火墻起到安全防護的作用，必要的保證措施是什么？答：防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安 全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現(xiàn)網絡的安全保護。在邏輯上，防火墻是一個分離器

6、，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和 Internet之間的任何活動，保證了內部網絡的安全。防火墻必要的保證措施有所有進出被保護網絡的通信必須經過防火墻所有通過防火墻的通信必須經過安全策略的過濾或者防火墻的授權防火墻本身是不可被侵入的2、簡述IPSec的功能。答：IPSec功能有：作為一個隧道協(xié)議實現(xiàn)了 VPN通信。IPSec協(xié)議作為第三層隧道協(xié)議 可以在IP層創(chuàng)建一個安全的隧道，是兩個異地的私有網絡連接起來或使用公網上的計算機可 以遠程訪問企業(yè)的私有網絡。保證數(shù)據(jù)來源的可靠性保證數(shù)據(jù)的完整性保證數(shù)據(jù)的機 密性。3、簡述VPN的功能以及類型。答：VPN是將物理分布在不同地點的網絡

7、通過公網骨干網，尤其是Internet連接而成的邏輯上的虛擬子網，為了保證信息的安全， VPN技術采用了鑒別、訪問控制、保密性、完整性等措施以防止信息被泄漏、篡改 課程名稱：網絡安全技術2和復制。VPN類型有三種：分別是 Access VPN （遠程訪問 VPN）、Intranet VPN（企業(yè)內部 VPN）以及Extranet VPN（企業(yè)擴展VPN）4、從安全屬性看，有哪幾種攻擊的類型？答：（1）阻斷攻擊阻斷攻擊使系統(tǒng)的資產被破壞，無法提供用戶使用，這是一種針對可用性攻擊。（2）截取攻擊 截取攻擊可使非授權者得到資產的訪問，這是一種針對機密性的攻擊。（3）篡改攻擊 篡改攻擊是非授權者不僅訪

8、問資產，而且能修改信息，這是一種針對完整性 的攻擊。（4）偽造攻擊偽造攻擊是非授權者在系統(tǒng)里插入偽造的信息，這是一種針對真實性的攻擊。5、簡述SYN泛洪原理。答：SYN洪泛攻擊原理：在TCP協(xié)議中被稱為三次握手（Three-way Handshake的連接過程 中，如果一個用戶向服務器發(fā)送了 SYN報文，服務器又發(fā)出 SYN+ACK應答報文后未收到 客戶端的ACK報文的，這種情況下服務器端會再次發(fā)送 SYN+ACK給客戶端，并等待一段 時間后丟棄這個未完成的連接，這段時間的長度稱為SYN Timeout, 一般來說這個時間是分鐘的數(shù)量級。 SYN flood所做的就是利用了這個 SYN Tim

9、eout時間和TCP/IP協(xié)議族中的另 一個漏洞：報文傳輸過程中對報文的源IP地址完全信任。SYN flood通過發(fā)送大量的偽造TCP鏈接報文而造成大量的 TCP半連接，服務器端將為了維護這樣一個龐大的半連接列表 而消耗非常多的資源。這樣服務器端將忙于處理攻擊者偽造的 TCP連接請求而無法處理正常 連接請求，甚至會導致堆棧的溢出崩潰。造成 SYN洪泛攻擊最主要的原因是TCP/IP協(xié)議的脆 弱性。TCP/IP是一個開放的協(xié)議平臺，它將越來越多的網絡連接在一起，它基于的對象是可 信用戶群，所以缺少一些必要的安全機制，帶來很大的安全威脅。例如常見的IP欺騙、TCP連接的建立、ICMP數(shù)據(jù)包的發(fā)送都存

10、在巨大的安全隱患，給 SYN洪泛攻擊帶來可乘之機。三、論述題（共50分）1、分析入侵檢測系統(tǒng)的優(yōu)點和局限。（10分） 答：一、入侵檢測系統(tǒng)的優(yōu)點有：可以檢測和分析系統(tǒng)事件以及用戶的行為。可以測試系統(tǒng)設置的安全狀態(tài)。以系統(tǒng)的安全狀態(tài)為基礎，跟蹤任何對系統(tǒng)安全的修改操作。通過模式識別等技術從通信行為中檢測出已知的攻擊行為?？梢詫W絡通信行為進行統(tǒng)計，并進行檢測分析。管理操作系統(tǒng)認證和日志機制并對產生的數(shù)據(jù)進行分析處理。在檢測到攻擊的時候，通過適當?shù)姆绞竭M行適當?shù)膱缶幚?。通過分析引擎的配置對網絡的安全進行評估和監(jiān)督。允許非安全領域的管理人員對重要的安全事件進行有效的處理。二、入侵檢測系統(tǒng)的局限有：

11、無法彌補安全防御系統(tǒng)中的安全缺陷和漏洞。對于高負載的網絡或主機很難實現(xiàn)對網絡入侵的實時檢測，報警和迅速的進行攻擊響應?；谥R的入侵檢測系統(tǒng)很難檢測到未知的攻擊行為。主動防御功能和聯(lián)動防御功能會對網絡的行為產生影響，同樣也會成為攻擊的目標，實現(xiàn)以入侵檢測系統(tǒng)過敏自主防御為基礎的攻擊。無法單獨防止攻擊行為的滲透，只能調整相關網絡設備參數(shù)或人為進行處理。在純交換環(huán)境下無法正常工作，只有對交換環(huán)境進行一定的處理，利用鏡像等技術，網 絡入侵檢測系統(tǒng)才能進行對鏡像的數(shù)據(jù)進行分析處理。主要是對網絡行為進行分析檢測，不能修正信息資源中存在的安全問題。2、VPN第二層協(xié)議中的PPTP和L2TP有那些不同？ （

12、 10分）答：VPN第二層協(xié)議中的 PPTP和L2TP都使用了 PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù) 在互聯(lián)網絡上的傳輸，主要存在以下不同：PPTP要求互聯(lián)網絡為IP網絡，L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連 接，L2TP可以在IP （使用UDP）、幀中繼永久虛擬電路（PVCs）、X.25虛擬電路（VCs）或 ATM VCs網絡上使用。PPTP只能在兩端點間建立單一隧道，L2TP支持在兩端點間使用多隧道。使用 L2TP用 戶可以針對不同的服務質量創(chuàng)建不同的隧道。L2TP可以提供包頭壓縮，當壓縮包頭時，系統(tǒng)開銷占用4個字節(jié)，而PPP協(xié)議下要占用6個字節(jié)。L2TP可以提供

13、隧道驗證，而PPTP則不支持隧道驗證，但是L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，而不需要在第二層協(xié)議上驗證隧道3、論述網絡中常見的攻擊技術以及針對這些攻擊的解決方案。（15分）答：1、服務拒絕攻擊解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機制。2、協(xié)議漏洞滲透，主要有會話監(jiān)聽與劫持、地址欺騙。解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機制。3、密碼分析還原，主要有密碼還原和密碼猜測解決方案：采用強度高的加密算法，是密碼強度足夠強。4、應用漏洞分析與滲透，主要包括服務流程漏洞和邊界條件漏洞。解決方案：解釋下載程序的最新補丁，在程序開發(fā)設計時采用安全的開發(fā)和實際方法。5、社會工程學，主要有物理分析和心理分析。解決方案：進行必要的信息安全教育和培訓。6、病毒或后門攻擊解決方案：病毒防火墻和殺毒軟件。4、論述如何進行病毒防治的部署。（15分）答：有效的病毒防治部署是采用基于網絡的多層次的病毒防御體系。該體系在整個網絡 系統(tǒng)的各組成環(huán)節(jié)處，包括客戶端、服務器、Internet網關和防火墻設置防線形成多道防線， 即使病毒突破了一道防線，還有第二、三道防線攔截，因此，能夠有效的遏制病毒在網絡上 的擴散。1、客戶端防線客戶端主要指用戶桌面系統(tǒng)和工作站，它們是主要的病毒感染源，有必要在客戶端實施面向桌面系統(tǒng)和工作站的病毒防治措施，增強客戶端系統(tǒng)的抗病毒能力。2、