計算機(jī)安全技術(shù)網(wǎng)上考查課作業(yè)題答案

1、計算機(jī)安全技術(shù)網(wǎng)上考查課作業(yè)題答案一、單項選擇題.數(shù)據(jù)完整性指的是（C ）A、保護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)，防止因數(shù)據(jù)被截獲 而造成泄密B、提供連接實體身份的鑒別C、防止非法實體對用戶的主動攻擊，保證數(shù)據(jù)接受方收到 的信息與發(fā)送方發(fā)送的信息完全一致D、確保數(shù)據(jù)數(shù)據(jù)是由合法實體發(fā)生的.在混合加密方式下，真正用來加解密通 信過程中所傳輸 數(shù)據(jù)（明文）的密鑰是（B ）A、非對稱算法的公鑰 B、對稱算法的密鑰C、非對稱算法的私鑰D、CA中心的公鑰.在建立堡壘主機(jī)時（ A ）A、在堡壘主機(jī)上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)B、在堡壘主機(jī)上應(yīng)設(shè)置盡可能多的網(wǎng)絡(luò)服務(wù)C、對必須設(shè)置的服務(wù)給與盡可能高的權(quán)限D(zhuǎn)、不論發(fā)

2、生任何入侵情況，內(nèi)部網(wǎng)始終信任堡壘主機(jī). Kerberos協(xié)議是用來作為:A.傳送數(shù)據(jù)的方法B,加密數(shù)據(jù)的方法C.身份鑒別的方法D.訪問控制的方法5.防止用戶被冒名所欺騙的方法是:A.對信息源發(fā)方進(jìn)行身份驗證B.進(jìn)行數(shù)據(jù)加密C.對訪問網(wǎng)絡(luò)的流量進(jìn)行過濾和保護(hù)D.采用防火6.SSL指的是：（B ）A.加密認(rèn)證協(xié)議B .安全套接層協(xié)議C.授權(quán)認(rèn)證協(xié)議 D .安全通道協(xié).以下哪一項不屬于入侵檢測系統(tǒng)的功能:A.監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流B .捕捉可疑的網(wǎng)絡(luò)活動C .提供安全審計報告D.過濾非法的數(shù)據(jù)包.以下哪一項屬于基于主機(jī)的入侵檢測方式的優(yōu)勢:A.監(jiān)視整個網(wǎng)段的通信B.不要求在大量的主機(jī)上安裝和管理軟

3、件C.適應(yīng)交換和加密D.具有更好的實時性.以下關(guān)于計算機(jī)病毒的特征說法正確的是：（ C ）A.計算機(jī)病毒只具有破壞性，沒有其他特征B.計算機(jī)病毒具有破壞性，不具有傳染性C.破壞性和傳染性是計算機(jī)病毒的兩大主要特征D.計算機(jī)病毒只具有傳染性，不具有破壞性.加密技術(shù)不能實現(xiàn)：（ D ）A.數(shù)據(jù)信息的完整性B .基于密碼技術(shù)的身份認(rèn)證C.機(jī)密文件加密D.基于IP頭信息的包過濾.以下關(guān)于對稱密鑰加密說法正確的是：（C ）算法 B.加密密鑰的 D.密鑰的管（D ）A.加密方和解密方可以使用不同的和解密密鑰可以是不同的C.加密密鑰和解密密鑰必須是相同理非常簡單.以下關(guān)于數(shù)字簽名說法正確的是:A.數(shù)字簽名是

4、在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān)系的數(shù)字信息B .數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題C.數(shù)字簽名一般采用對稱加密機(jī)制D.數(shù)字簽名能夠解決篡改、偽造等安全性問題.以下關(guān)于 VPN說法正確的是：（ B ）VPN指的是用戶自己租用線路，和 公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接VPN不能做到信息認(rèn)證和身份認(rèn)證D . VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能.為了簡化管理，訪問者通常被分類，設(shè)置訪問控制時可以按（ D ）進(jìn)行設(shè)定，避免訪問控制表過于龐大A.嚴(yán)格限制數(shù)量B.分類組織成組C.不作任何限制D.按訪問時間排序，并刪除

5、一些長期沒有訪問的用戶15.下列（ D）不屬于將入侵檢測系統(tǒng)部署在 DMZ中的優(yōu)點(diǎn)A.可以查到受保護(hù)區(qū)域主機(jī)被攻擊的狀態(tài)B.可以檢測防火墻系統(tǒng)的策略配置是否合理C.可以檢測DMZ被黑客攻擊的重點(diǎn)D.可以審計來自Internet上對受到保護(hù)網(wǎng)絡(luò)的攻擊類型16.下面不屬于 SYN FLOODING 攻擊的防范方法的是(A )A.縮短SYN Timeout (連接等待超時)時間 B.利用防 火墻技術(shù)C. TCP段加密D.根據(jù)源IP記錄SYN連接.過濾路由器可用于防止IP欺騙方式攻擊。該路由器的正確過濾規(guī)則是(D )A.允許源地址包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器進(jìn) 入B.允許源地址包含外部網(wǎng)絡(luò)地址

6、的數(shù)據(jù)包通過該路由器進(jìn) 入C.允許目的地址包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器 發(fā)生D.允許源地址和目的地址都包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通 過該路由器.可以被數(shù)據(jù)完整性機(jī)制防止的攻擊方式是( D )。A.假冒源地址或用戶的地址欺騙攻擊B.抵賴做過信息的遞交行為C.數(shù)據(jù)中途被攻擊者竊聽獲取D.數(shù)據(jù)在途中被攻擊者篡改或破壞.向有限存儲空間輸入超長字符串的攻擊手段是(A )。A.緩沖區(qū)溢生B.網(wǎng)絡(luò)監(jiān)聽C.端口掃描 D. IP欺騙.愷撒密碼的加密方法可以表示如下函數(shù)(B ),其中a是明文字母，n是字符集字母個數(shù)，k是密鑰。A. F(a)=(k+n) mod a B. F(a)=(a+k) mod n C

7、. F(a)=(a+n) mod k D. F(k)=n mod(k+a)二、填空題.按照分析方法(檢測方法)入侵檢測系統(tǒng)可分為(異常 檢測模型) 和(誤用檢測模型)。.在進(jìn)行協(xié)議分析與入侵檢測時，網(wǎng)卡的工作模式應(yīng)處于 (混雜模式)。.有一種攻擊不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常 的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種攻擊叫做(拒絕服務(wù)攻擊)。.如果目標(biāo)主機(jī)阻塞了ICMP回顯請求報文，我們可以通過類型為_ （初步判斷）和（使用其他類型）的 ICMP報文來 探測目標(biāo)主機(jī)是否存活。.網(wǎng)絡(luò)安全的威脅可以分為兩大類，其中一種是

8、通過截取 以前的合法記錄稍后重新加入一個連接，這叫做重放攻擊 （Replay Attack）。為防止這種攻擊，可以采用的辦法是（加入時 間戳）。. IPSec是IETF以RFC形式公布的一組安全協(xié)議集， 它包括AH與ESP兩個安全機(jī)制，其中（AH）不支持保密服 務(wù)。.計算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和（表現(xiàn)）機(jī)制 構(gòu)成。.通信量分析攻擊可以確定通信的位置和通信主機(jī)的身 份，還可以觀察交換信息的頻度和長度。這類安全攻擊屬于（被動）攻擊。三、簡答題（每題10分，共30分）：.什么是容錯？容錯技術(shù)主要包括哪些？答：容錯FT（Fault Tolerant）技術(shù)一般利用冗余硬件交叉檢 測操作結(jié)果。隨著

9、處理器速度的加快和價格的下跌而越來越多地轉(zhuǎn)移到軟件 中。未來容錯技術(shù)將完全在軟件環(huán)境下完成，那時它和高可用性技術(shù)之間的差別也 就隨之消失了。局域網(wǎng)的核心設(shè)備是服務(wù)器用戶不斷從文件服務(wù)器中大量存取數(shù)據(jù)，文件服務(wù)器集中管理系統(tǒng)共享資源。 但是如果文件服務(wù)器或文件服務(wù)器的硬盤由現(xiàn)故障，數(shù)據(jù)就會丟失，所以，我們在這里講解的容錯技術(shù)是針對服 務(wù)器、服務(wù)器硬盤和供電系統(tǒng)的。.安全的Hash函數(shù)一般滿足哪些要求？答：Hash, 一般翻譯做“散列，也有直接音譯為“哈希”的， 就是把任意長度的輸入（又叫做預(yù)映射，pre-image ）,通過散列算法，變換成固 定長度的輸由，該輸由就是散列值。這種轉(zhuǎn)換是一種壓縮映

10、射，也就是，散列值的空間通常遠(yuǎn)小于輸入的空間，不同的輸入可能會散列成相同的輸生，而不可能從散列值來唯一的確定輸入值。簡單的說就是一種將任意長度的消息壓縮到莫一 固定長度的消息摘要的函數(shù)。HASH主要用于信息安全領(lǐng)域中加密算法，他把一些不同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做HASH值.也可以說，hash 就是找到一種數(shù)據(jù)內(nèi)容和數(shù)據(jù)存放地址之間的映射關(guān)系了解了hash基本定義，就不能不提到一些著名的hash算法，MD5和SHA1可以說是目前應(yīng)用最廣泛 的Hash算法，而它們都是以MD4為基礎(chǔ)設(shè)計的。那么他們都是什么意思呢？這里 簡單說一下：1)MD4MD4(RFC1320) 是 MIT

11、的 RonaldL.Rivest 在 1990 年設(shè)計的，MD是MessageDigest的縮寫。它適用在32位字長的處理器上用 高速軟件實現(xiàn)-它是基于32位操作數(shù)的位操作來實現(xiàn)的。2)MD5MD5(RFC1321) 是Rivest于1991年對MD4的改進(jìn)版本。它對輸入仍以512位分組，其輸由是 4個32位字的級聯(lián)，與MD4相同。MD5比MD4來得復(fù)雜，并且速度較之要慢一 點(diǎn)，但更安全，在抗分析和抗差分方面表現(xiàn)更好 3)SHA1及其他SHA1是由 NISTNSA 設(shè)計為同 DSA 一起使用的，它對長度小于 264的輸入，產(chǎn)生長度為 160bit的散列 值，因此抗窮舉(brute-force)

12、性更好。SHA-1設(shè)計時基于和MD4相同原理，并且模仿了該算法.堡壘主機(jī)的構(gòu)建原則是什么？答：堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點(diǎn)，以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在莫個主機(jī)上解決，從而省時省力，不用考慮其它主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。一個堡壘主機(jī)使用兩塊網(wǎng)卡，每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。 一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來管理、控制和保護(hù)，而另一塊連接另一個網(wǎng)絡(luò)，通常是公網(wǎng)也就是 Internet。堡 壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個進(jìn)程來提供對從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。四

13、、計算題（共10分）.創(chuàng)建關(guān)鍵詞為“telegram ”白4Playfair加密法，并用它來加 密以下文字：next time, jay, try something different.首先生成加密矩陣。1、T E L G R2、A M B C D3、F H I K N4、O P Q S U5、V W X Y Z2.將明文兩兩分組1、NE XT TI ME IA YT RY SO ME TH IN GD IF FE RE NT3.加密，結(jié)果如下1、HR VL LF HM FB VG GZ UP HM EF KF RC KH HT TLFR五、論述題（共10分）1. Windows操作系統(tǒng)的安

14、全配置方案？答：一、物理安全服務(wù)器應(yīng)當(dāng)放置在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器應(yīng)當(dāng)保留1 5天以內(nèi)的錄像記錄。另外，機(jī)箱、鍵盤、抽屜等要上鎖，以保證 旁人即使在無人值守時也無法使用此計算機(jī)，鑰匙要放在安全的地方。二、停止 Guest帳號在計算機(jī)管理中將 Guest帳號停止掉，任何時候不 允許Guest帳號登錄系統(tǒng)。為了保險起見，最好給 Guest帳號加上一個復(fù)雜的密 碼，并且修改 Guest帳號屬性，設(shè)置拒絕遠(yuǎn)程訪問。三、限制用戶數(shù)量去掉所有的測試帳戶、共享帳號和普通部門帳號，等等。用戶組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的帳號，刪除已經(jīng)不適用的帳號。很多帳號不利于管理員管理，而黑客在帳號多

15、的系統(tǒng)中可利用的帳號也就更多，所以合理規(guī)劃系統(tǒng)中的帳號分配。四、多個管理員帳號管理員不應(yīng)該經(jīng)常使用管理者帳號登錄系統(tǒng)，這樣有可能被一些能夠察看Winlogon進(jìn)程中密碼的軟件所窺探到，應(yīng)該為自己建立普通帳號來進(jìn)行日常工作。同時，為了防止管理員帳號一旦被入侵者得到，管理員擁有備份的管理員帳號還可以有機(jī)會得到系統(tǒng)管理員權(quán)限，不過因此也帶來了多個帳號的潛在安全問題。 五、管理員帳號改名在 Windows 2000 系統(tǒng)中管理員 Administrator帳號是不 能被停用的，這意味著攻擊者可以一再嘗試猜測此帳戶的密碼。把管理員帳戶改名 可以有效防止這一點(diǎn)。不要將名稱改為類似 Admin之類，而是盡量

16、將其偽裝為 普通用戶。六、陷阱帳號和第五點(diǎn)類似、在更改了管理員的名稱后，可以建立一個Administrator 的普通用戶，將其權(quán)限設(shè)置為最低，并且加上一個10位以上的復(fù)雜密碼，借此花費(fèi)入侵者的大量時間，并且發(fā)現(xiàn)其入侵企圖。七、更改文件共享的默認(rèn)權(quán)限將共享文件的權(quán)限從 Everyon更改為授權(quán)用戶Everyone意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶都能夠訪問這些共享文件。八、安全密碼安全密碼的定義是：安全期內(nèi)無法破解由來的密碼就是安全密碼，也就是說，就算獲取到了密碼文檔，必須花費(fèi)42天或者更長的時間才能破解由來（Windows安全策略默認(rèn)42天更改一次密碼，如果設(shè)置了的話）。九、屏幕保護(hù)/屏幕鎖定密碼防止內(nèi)部人員破壞服務(wù)器的一道屏障。在管