网络安全期末考试试题及答案
托尔斯泰的故事-初一500字作文
1. 分组密码体制应遵循什么原则,以DES密码体制为例详细说明。
混乱原则和扩散原则
混乱原则:为了避免密码分析者利用明文和密文之间的依赖关系进行破译
,密码
的设计因该保证这种依赖关系足够复杂。
扩散原则:为避免密码分析者对密钥逐段破译
,密码的设计因该保证密钥的每位
数字能够影响密文中的多位数字
密钥置换算法的构造准则
设计目标:子密钥的统计独立性和灵活性
实现简单
速度
不存在简单关系:(
给定两个有某种关系的种子密钥,能预测它们轮子密钥之间的
关系)
种子密钥的所有比特对每个子密钥比特的影响大致相同
从一些子密钥比特获得其他的子密钥比特在计算上是难的
没有弱密钥
(1) 分组长度足够长,防止明文穷举攻击,例如DES,分组块大小为64比特,
(2)
密钥量足够大,金额能消除弱密钥的使用,防止密钥穷举攻击,但是由于对称密码体制
存在密钥管理问题
,密钥也不能过大。
(3) 密钥变化够复杂
(4)
加密解密运算简单,易于软硬件高速实现
(5) 数据扩展足够小,一般无数据扩展。
差错传播尽可能小,加密或者解密某明文或密文分组出错,对后续密文解密影响尽可能
2. 利用公钥密码算法实现认证时,一般是(1)C=EKRA(M),发送方A用私钥加密后发送给B;(2)M=DKUA (C):接收方B用A方的公钥进行解密。
请问,在这个
过程中,能否保证消息的保密性?若不能,请你给出解决方案。
答:不能,在这个过程中,采用的是单
次加密,而且接收方采用的是公钥解
密,公钥是公开的,只要有人截获了密文,他就可以据此很容易地破
译密文,
故不能保证消息的保密性。
解决方案:可以采用两次运用公钥密码的方式,即:(1)C=EKUA(EKRA(M))
(2)M=DKUA(DKRA(C)) 这样,发送方A首先用其私钥对消息进行加密,得
到
数字签名,然后再用A方的公钥加密,所得密文只有被拥有私钥的接收方
解密,这样就可以既保证提供认
证,又保证消息的保密性。
3.
Ipsec有两种工作模式。请划出数据包的封装模式并加以说明,并指出各自的
优缺点。
IPSec协议(包括 AH和ESP)既可用来保护一个完整的IP载荷,亦可用来保护某个IP载<
br>荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的,如图所示。其中,
传送模式用来保护上层协议;而通道模式用来保护整个IP数据报。
在传送模式中,IPSec先对上层协议进行封装,增加一
IPSec头,对上层协议的数据进行保
护,然后才由IP协议对封装的数据进行处理,增加IP头;
而在通道模式中,IPSec对IP协议处理后的数据进行封装,增加一
IPSec头,对IP数据报
进行保护,然后再由IP协议对封装的数据进行处理,增加新IP头。
传送模式
隧道模式
IP头
新IP头
IPSec头
IPSec头
TCP头
IP头
数据
TCP头数据
图 7-2
IPSec的传送模式和通道模式
传送模式下,IPSec模块运行于通信的两个端主机。有如下优点:
(1)即使位于同一子网内的其他用户,也不能非法修改通信双方的数据内容。
(2)分担了安全网关的处理负荷。
但同时也具有以下缺点:
(1)每个需要实现
传送模式的主机都必须安装并实现IPSec模块,因此端用户无法得到透
明的安全服务,并且端用户为
获得AH服务必须付出内存、处理时间等方面的代价。
(2)不能使用私有的IP地址,必须使用公有地址资源。
采用遂道模式,IPSec模块运行于安全网关或主机,IPSec具有以下优点:
1)子网内部的各主机凭借安全网关的IPSec处理透明地得到安全服务。
2)可以在子网内部使用私有IP地址,无需占用公有地址资源。
但同时也具有以下缺点:
1)增加了安全网关的处理负载。
2)无法控制来自子网内部的攻击者。
4. 在ssl协议中,会话是通过什么协议创建的?会话的创建实现了什么功能?
SSL会
话是客户和服务器之间的一种关联,会话是通过握手协议来创建的,会话
定义了一个密码学意义的安全参
数集合,这些参数可以在多个连接中共享,从而
避免每建立一个连接都要进行的代价昂贵的重复协商。
5.
vpn有哪些分类?各应用于什么场合?vpn有哪几个实现层次?各层次的代
表协议和技术是什么?
根据VPN所起的作用,可以将VPN分为三类:VPDN、Intranet
VPN和Extranet
VPN。
(1) VPDN(Virtual
Private Dial Network)
在远程用户或移动雇员和公司内部网之间的VPN,
称为VPDN。实现过程如下:
用户拨号NSP(网络服务提供商)的网络访问服务器NAS(Netw
ork Access
Server),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之
间建立PPP
链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,
与公司总部内部连接,访问其内部资源。
(2) Intranet VPN
在公司
远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公
共网络将公司在各
地分支机构的LAN连到公司总部的LAN,以便公司内部的资
源共享、文件传递等。
(3)
Extranet VPN
在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。
按照用户数据是在网络协议栈的第几层被封装,即隧道协议是工作在第二层数
据
链路层、第三层网络层,还是第四层应用层,可以将VPN协议划分成第二层隧
道协议、第三
层隧道协议和第四层隧道协议。
第二层隧道协议:主要包括点到点隧道协议(PPTP)、第二层转发
协议(L2F),第
二层隧道协议(L2TP)、多协议标记交换(MPLS)等,主要应用于构建接入
VPN。
第三层隧道协议:主要包括通用路由封装协议(GRE)和IPSec,它主要应用于构建内联网VPN和外联网VPN。
第四层隧道协议:如SSL VPN。
1数据链路层,代表协议有PPTP(或L2TP);
2网络层,代表协议有IPSec(或GRE或IP overIP);
3)会话层(或传输层),SSL(或SOCKS)
6.
(1)防火墙能实现哪些安全任务?
(1)集中化的安全管理,强化安全策略
由于Internet上每天都有上百万人在 那里收集信息、交换信息,不可避免地会出
现个别品德不
良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,
它执行站点的安全策略,仅
仅容许“认可的”和符合规则的请求通过。
(2)网络日志及使用统计
因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络
使用和误用的信息。作为
访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记
录,对网络存取访问进行和统计
(3)保护那些易受攻击的服务
防火墙能够用来隔开网络中一个网段与
另一个网段。这样,能够防止影响一个网
段的问题通过整个网络传播。
(4)增强的保密
用来封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不要提供
给Internet。
(5)实施安全策略
防火墙是一个安全策略的检查站,控制对特殊站点的
访问。所有进出的信息都必须
通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外
。
(2)利用所给资源:外部路由器,内部路由器,参数网络,堡垒主机设计一
个防火墙并回答相关问题。
①a.要求:将各资源连接构成防火墙。b:指出次防火墙
属于防火墙体系
结构中哪一种。c:说明防火墙各结构的主要作用
A:防火墙的设计思想就是
在内部、外部两个网络之间建立一个具有安全控
制机制的安全控制点,通过允许、拒绝或重新定向经过防
火墙的数据流,来
实现对内部网服务和访问的安全审计和控制。需要指出的是,防火墙虽然可
以
在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,
这是防火墙所不能代替的。
B:
属于防火墙体系结构中的屏蔽子网防火墙。
C:两个分
组过滤路由器,一个位于周边网与内部的网络之间,另一个位于
周边网与外部网络之间。
通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒
主机、信息服务器、调制解调器组
以及其他公用服务器放在子网中。屏蔽子
网中的主机是内部网和Internet都能访问唯一系统,他
支持网络层和应用层
安全功能。
② 防火墙的设计者和管理人员要致力于保
护堡垒主机的安全,请说明在
设计堡垒主机通常应遵循怎样的原则。
①最简化原则
堡垒主机越简单,堡垒主机本身的安全越有保证。因为堡
垒主机提供的任何服务都可能出现软件缺陷或配
置错误,而且缺陷或错误都
可能导致安全问题。因此,堡垒主机尽可能少些服务,它应当在完成其作用<
br>的前提下,提供它能提供的最小特权的最少的服务。
②预防原则
尽
管用户尽了最大努力确保堡垒主机的安全,侵入仍可能发生。但
只有预先考虑最坏的情况,并提出对策,
才能可能避免它。万一堡垒主机受
到侵袭,用户又不愿看到侵袭导致整个防火墙受到损害,可以通过不再
让内
部的机器信任堡垒主机来防止侵袭蔓延。
③ 在设计和建造防火墙时,通常采取多种变化
和组合,如果要在防火墙配置中
使用多堡垒主机,是否可行?为什么?
可行的,这样的做的理由是:如果一台堡垒主机失败了,服务可由另一台提供。
④ 如果将堡垒主机与内部路由器合并,将会出现怎样的结果?
将堡垒主机与内部路由器合并将损害网
络的安全性。将这二者合并,其实已经从根本上
改变了防火墙的结构。
7. 某市拟
建立一个电子政务网络,需要连接本市各级政府机关(市、区、县等)
及企事业单位,提供数据、语音、
视频传输和交换的统一的网络平台,纳入
电子政务平台的各单位既有横向(是本级政府的组成部门)的数
据交互,又
有纵向的行业部门的信息交互。从安全角度考虑,你认为该网络的设计应注<
br>意哪些问题?你的解决方案?
1、物理安全
2、网络平台
3、系统的安全
4、应用的安全
5、管理的安全
6、黑客的攻击
7、不满的内部人员
8、病毒的攻击
这几点是都是多年来网络安全专家所总结的。
最常见的网络安全问题还是处于网络内部并且是内部底层。
内网底层的安全常常被忽略,这就
是现在的企业为什么花了钱买了安全设备但是
内网的卡、慢、掉线依然存在的原因。
最后一句话,想要内网安全,从内网底层做起!
建立完整的信息安全保障体系。该
体系应包括:物理安全、网络安全、系统安全、应用安全、
数据安全、灾难备份和恢复等
1. 分组密码体制应遵循什么原则,以DES密码体制为例详细说明。
混乱原则和扩散原则
混乱原则:为了避免密码分析者利用明文和密文之间的依赖关系进行破译
,密码
的设计因该保证这种依赖关系足够复杂。
扩散原则:为避免密码分析者对密钥逐段破译
,密码的设计因该保证密钥的每位
数字能够影响密文中的多位数字
密钥置换算法的构造准则
设计目标:子密钥的统计独立性和灵活性
实现简单
速度
不存在简单关系:(
给定两个有某种关系的种子密钥,能预测它们轮子密钥之间的
关系)
种子密钥的所有比特对每个子密钥比特的影响大致相同
从一些子密钥比特获得其他的子密钥比特在计算上是难的
没有弱密钥
(1) 分组长度足够长,防止明文穷举攻击,例如DES,分组块大小为64比特,
(2)
密钥量足够大,金额能消除弱密钥的使用,防止密钥穷举攻击,但是由于对称密码体制
存在密钥管理问题
,密钥也不能过大。
(3) 密钥变化够复杂
(4)
加密解密运算简单,易于软硬件高速实现
(5) 数据扩展足够小,一般无数据扩展。
差错传播尽可能小,加密或者解密某明文或密文分组出错,对后续密文解密影响尽可能
2. 利用公钥密码算法实现认证时,一般是(1)C=EKRA(M),发送方A用私钥加密后发送给B;(2)M=DKUA (C):接收方B用A方的公钥进行解密。
请问,在这个
过程中,能否保证消息的保密性?若不能,请你给出解决方案。
答:不能,在这个过程中,采用的是单
次加密,而且接收方采用的是公钥解
密,公钥是公开的,只要有人截获了密文,他就可以据此很容易地破
译密文,
故不能保证消息的保密性。
解决方案:可以采用两次运用公钥密码的方式,即:(1)C=EKUA(EKRA(M))
(2)M=DKUA(DKRA(C)) 这样,发送方A首先用其私钥对消息进行加密,得
到
数字签名,然后再用A方的公钥加密,所得密文只有被拥有私钥的接收方
解密,这样就可以既保证提供认
证,又保证消息的保密性。
3.
Ipsec有两种工作模式。请划出数据包的封装模式并加以说明,并指出各自的
优缺点。
IPSec协议(包括 AH和ESP)既可用来保护一个完整的IP载荷,亦可用来保护某个IP载<
br>荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的,如图所示。其中,
传送模式用来保护上层协议;而通道模式用来保护整个IP数据报。
在传送模式中,IPSec先对上层协议进行封装,增加一
IPSec头,对上层协议的数据进行保
护,然后才由IP协议对封装的数据进行处理,增加IP头;
而在通道模式中,IPSec对IP协议处理后的数据进行封装,增加一
IPSec头,对IP数据报
进行保护,然后再由IP协议对封装的数据进行处理,增加新IP头。
传送模式
隧道模式
IP头
新IP头
IPSec头
IPSec头
TCP头
IP头
数据
TCP头数据
图 7-2
IPSec的传送模式和通道模式
传送模式下,IPSec模块运行于通信的两个端主机。有如下优点:
(1)即使位于同一子网内的其他用户,也不能非法修改通信双方的数据内容。
(2)分担了安全网关的处理负荷。
但同时也具有以下缺点:
(1)每个需要实现
传送模式的主机都必须安装并实现IPSec模块,因此端用户无法得到透
明的安全服务,并且端用户为
获得AH服务必须付出内存、处理时间等方面的代价。
(2)不能使用私有的IP地址,必须使用公有地址资源。
采用遂道模式,IPSec模块运行于安全网关或主机,IPSec具有以下优点:
1)子网内部的各主机凭借安全网关的IPSec处理透明地得到安全服务。
2)可以在子网内部使用私有IP地址,无需占用公有地址资源。
但同时也具有以下缺点:
1)增加了安全网关的处理负载。
2)无法控制来自子网内部的攻击者。
4. 在ssl协议中,会话是通过什么协议创建的?会话的创建实现了什么功能?
SSL会
话是客户和服务器之间的一种关联,会话是通过握手协议来创建的,会话
定义了一个密码学意义的安全参
数集合,这些参数可以在多个连接中共享,从而
避免每建立一个连接都要进行的代价昂贵的重复协商。
5.
vpn有哪些分类?各应用于什么场合?vpn有哪几个实现层次?各层次的代
表协议和技术是什么?
根据VPN所起的作用,可以将VPN分为三类:VPDN、Intranet
VPN和Extranet
VPN。
(1) VPDN(Virtual
Private Dial Network)
在远程用户或移动雇员和公司内部网之间的VPN,
称为VPDN。实现过程如下:
用户拨号NSP(网络服务提供商)的网络访问服务器NAS(Netw
ork Access
Server),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之
间建立PPP
链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,
与公司总部内部连接,访问其内部资源。
(2) Intranet VPN
在公司
远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公
共网络将公司在各
地分支机构的LAN连到公司总部的LAN,以便公司内部的资
源共享、文件传递等。
(3)
Extranet VPN
在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。
按照用户数据是在网络协议栈的第几层被封装,即隧道协议是工作在第二层数
据
链路层、第三层网络层,还是第四层应用层,可以将VPN协议划分成第二层隧
道协议、第三
层隧道协议和第四层隧道协议。
第二层隧道协议:主要包括点到点隧道协议(PPTP)、第二层转发
协议(L2F),第
二层隧道协议(L2TP)、多协议标记交换(MPLS)等,主要应用于构建接入
VPN。
第三层隧道协议:主要包括通用路由封装协议(GRE)和IPSec,它主要应用于构建内联网VPN和外联网VPN。
第四层隧道协议:如SSL VPN。
1数据链路层,代表协议有PPTP(或L2TP);
2网络层,代表协议有IPSec(或GRE或IP overIP);
3)会话层(或传输层),SSL(或SOCKS)
6.
(1)防火墙能实现哪些安全任务?
(1)集中化的安全管理,强化安全策略
由于Internet上每天都有上百万人在 那里收集信息、交换信息,不可避免地会出
现个别品德不
良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,
它执行站点的安全策略,仅
仅容许“认可的”和符合规则的请求通过。
(2)网络日志及使用统计
因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络
使用和误用的信息。作为
访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记
录,对网络存取访问进行和统计
(3)保护那些易受攻击的服务
防火墙能够用来隔开网络中一个网段与
另一个网段。这样,能够防止影响一个网
段的问题通过整个网络传播。
(4)增强的保密
用来封锁有关网点系统的DNS信息。因此,网点系统名字和IP地址都不要提供
给Internet。
(5)实施安全策略
防火墙是一个安全策略的检查站,控制对特殊站点的
访问。所有进出的信息都必须
通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外
。
(2)利用所给资源:外部路由器,内部路由器,参数网络,堡垒主机设计一
个防火墙并回答相关问题。
①a.要求:将各资源连接构成防火墙。b:指出次防火墙
属于防火墙体系
结构中哪一种。c:说明防火墙各结构的主要作用
A:防火墙的设计思想就是
在内部、外部两个网络之间建立一个具有安全控
制机制的安全控制点,通过允许、拒绝或重新定向经过防
火墙的数据流,来
实现对内部网服务和访问的安全审计和控制。需要指出的是,防火墙虽然可
以
在一定程度上保护内部网的安全,但内部网还应有其他的安全保护措施,
这是防火墙所不能代替的。
B:
属于防火墙体系结构中的屏蔽子网防火墙。
C:两个分
组过滤路由器,一个位于周边网与内部的网络之间,另一个位于
周边网与外部网络之间。
通过屏蔽子网防火墙访问内部网络要受到路由器过滤规则的保护。堡垒
主机、信息服务器、调制解调器组
以及其他公用服务器放在子网中。屏蔽子
网中的主机是内部网和Internet都能访问唯一系统,他
支持网络层和应用层
安全功能。
② 防火墙的设计者和管理人员要致力于保
护堡垒主机的安全,请说明在
设计堡垒主机通常应遵循怎样的原则。
①最简化原则
堡垒主机越简单,堡垒主机本身的安全越有保证。因为堡
垒主机提供的任何服务都可能出现软件缺陷或配
置错误,而且缺陷或错误都
可能导致安全问题。因此,堡垒主机尽可能少些服务,它应当在完成其作用<
br>的前提下,提供它能提供的最小特权的最少的服务。
②预防原则
尽
管用户尽了最大努力确保堡垒主机的安全,侵入仍可能发生。但
只有预先考虑最坏的情况,并提出对策,
才能可能避免它。万一堡垒主机受
到侵袭,用户又不愿看到侵袭导致整个防火墙受到损害,可以通过不再
让内
部的机器信任堡垒主机来防止侵袭蔓延。
③ 在设计和建造防火墙时,通常采取多种变化
和组合,如果要在防火墙配置中
使用多堡垒主机,是否可行?为什么?
可行的,这样的做的理由是:如果一台堡垒主机失败了,服务可由另一台提供。
④ 如果将堡垒主机与内部路由器合并,将会出现怎样的结果?
将堡垒主机与内部路由器合并将损害网
络的安全性。将这二者合并,其实已经从根本上
改变了防火墙的结构。
7. 某市拟
建立一个电子政务网络,需要连接本市各级政府机关(市、区、县等)
及企事业单位,提供数据、语音、
视频传输和交换的统一的网络平台,纳入
电子政务平台的各单位既有横向(是本级政府的组成部门)的数
据交互,又
有纵向的行业部门的信息交互。从安全角度考虑,你认为该网络的设计应注<
br>意哪些问题?你的解决方案?
1、物理安全
2、网络平台
3、系统的安全
4、应用的安全
5、管理的安全
6、黑客的攻击
7、不满的内部人员
8、病毒的攻击
这几点是都是多年来网络安全专家所总结的。
最常见的网络安全问题还是处于网络内部并且是内部底层。
内网底层的安全常常被忽略,这就
是现在的企业为什么花了钱买了安全设备但是
内网的卡、慢、掉线依然存在的原因。
最后一句话,想要内网安全,从内网底层做起!
建立完整的信息安全保障体系。该
体系应包括:物理安全、网络安全、系统安全、应用安全、
数据安全、灾难备份和恢复等