網(wǎng)絡安全期末考試試題及答案

1、1. 分組密碼體制應遵循什么原則，以 DES密碼體制為例詳細說明?；靵y原則和擴散原則混亂原則：為了避免密碼分析者利用明文和密文之間的依賴關系進行破譯，密碼的設計因該保證這種依賴關系足夠復雜。擴散原則：為避免密碼分析者對密鑰逐段破譯， 密碼的設計因該保證密鑰的每位 數(shù)字能夠影響密文中的多位數(shù)字密鑰置換算法的構造準則設計目標：子密鑰的統(tǒng)計獨立性和靈活性實現(xiàn)簡單速度不存在簡單關系：(給定兩個有某種關系的種子密鑰，能預測它們輪子密鑰之間的 關系)種子密鑰的所有比特對每個子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的沒有弱密鑰 分組長度足夠長，防止明文窮舉攻擊，例如DES，分

2、組塊大小為64比特，(2) 密鑰量足夠大，金額能消除弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對稱密碼體制 存在密鑰管理問題，密鑰也不能過大。(3) 密鑰變化夠復雜(4) 加密解密運算簡單，易于軟硬件高速實現(xiàn)(5) 數(shù)據(jù)擴展足夠小，一般無數(shù)據(jù)擴展。差錯傳播盡可能小，加密或者解密某明文或密文分組出錯，對后續(xù)密文解密影響盡可能2. 利用公鑰密碼算法實現(xiàn)認證時，一般是(1)C=EKRA(M)，發(fā)送方A用私 鑰加密后發(fā)送給B ；(2)M=DKUA (C):接收方B用A方的公鑰進行解密。 請問，在這個過程中，能否保證消息的保密性？若不能， 請你給出解決方案。 答：不能，在這個過程中，采用的是單次加密，而且

3、接收方采用的是公鑰解密，公鑰是公開的，只要有人截獲了密文，他就可以據(jù)此很容易地破譯密文， 故不能保證消息的保密性。解決方案：可以采用兩次運用公鑰密碼的方式， 即：(1)C=EKUA(EKRA(M) (2)M=DKUA(DKRA(C) 這樣，發(fā)送方A首先用其私鑰對消息進行加密，得 到數(shù)字簽名，然后再用A方的公鑰加密，所得密文只有被擁有私鑰的接收方 解密，這樣就可以既保證提供認證，又保證消息的保密性。3. Ipsec有兩種工作模式。請劃出數(shù)據(jù)包的封裝模式并加以說明，并指出各自的優(yōu)缺點。IPSec協(xié)議(包括AH和ESP既可用來保護一個完整的 IP載荷，亦可用來保護某個 IP載 荷的上層協(xié)議。這兩方面

4、的保護分別是由IPSec兩種不同的模式來提供的， 如圖所示。其中， 傳送模式用來保護上層協(xié)議；而通道模式用來保護整個IP數(shù)據(jù)報。在傳送模式中，IPSec先對上層協(xié)議進行封裝，增加一 IPSec頭，對上層協(xié)議的數(shù)據(jù)進行保護，然后才由IP協(xié)議對封裝的數(shù)據(jù)進行處理，增加IP頭；而在通道模式中，IPSec對IP協(xié)議處理后的數(shù)據(jù)進行封裝，增加一 IPSec頭，對IP數(shù)據(jù)報進行保護，然后再由IP協(xié)議對封裝的數(shù)據(jù)進行處理，增加新IP頭。IP頭IPSec頭TC頭數(shù)據(jù)新IP頭IPSec頭IP頭TC頭數(shù)據(jù)圖7-2 IPSec的傳送模式和通道模式傳送模式下，IPSec模塊運行于通信的兩個端主機。有如下優(yōu)點：（1）即

5、使位于同一子網(wǎng)內的其他用戶，也不能非法修改通信雙方的數(shù)據(jù)內容。（2 ）分擔了安全網(wǎng)關的處理負荷。但同時也具有以下缺點：（1） 每個需要實現(xiàn)傳送模式的主機都必須安裝并實現(xiàn)IPSec模塊，因此端用戶無法得到透明的安全服務，并且端用戶為獲得AH服務必須付出內存、處理時間等方面的代價。（2）不能使用私有的IP地址，必須使用公有地址資源。采用遂道模式，IPSec模塊運行于安全網(wǎng)關或主機，IPSec具有以下優(yōu)點：1） 子網(wǎng)內部的各主機憑借安全網(wǎng)關的IPSec處理透明地得到安全服務。2） 可以在子網(wǎng)內部使用私有IP地址，無需占用公有地址資源。但同時也具有以下缺點：1）增加了安全網(wǎng)關的處理負載。2）無法控制來

6、自子網(wǎng)內部的攻擊者。4. 在ssl協(xié)議中，會話是通過什么協(xié)議創(chuàng)建的？會話的創(chuàng)建實現(xiàn)了什么功能？SSL會話是客戶和服務器之間的一種關聯(lián)， 會話是通過握手協(xié)議來創(chuàng)建的，會話 定義了一個密碼學意義的安全參數(shù)集合，這些參數(shù)可以在多個連接中共享，從而 避免每建立一個連接都要進行的代價昂貴的重復協(xié)商。5. vpn有哪些分類？各應用于什么場合？ vpn有哪幾個實現(xiàn)層次？各層次的代 表協(xié)議和技術是什么？根據(jù)VPN所起的作用，可以將 VPN分為三類：VPDN、Intranet VPN和Extra net VPN。（1） VPDN（Virtual Private Dial Network ）在遠程用戶或移動雇員和

7、公司內部網(wǎng)之間的VPN，稱為VPDN。實現(xiàn)過程如下：用戶撥號NSP （網(wǎng)絡服務提供商）的網(wǎng)絡訪問服務器NAS（ Network AccessServer），發(fā)出PPP連接請求，NAS收到呼叫后，在用戶和 NAS之間建立PPP 鏈路，然后，NAS對用戶進行身份驗證，確定是合法用戶，就啟動 VPDN功能， 與公司總部內部連接，訪問其內部資源。 Intranet VPN在公司遠程分支機構的LAN和公司總部LAN之間的VPN。通過In ternet這一公 共網(wǎng)絡將公司在各地分支機構的 LAN連到公司總部的LAN，以便公司內部的資 源共享、文件傳遞等。（3） Extra net VPN在供應商、商業(yè)合作

8、伙伴的 LAN和公司的LAN之間的VPN。按照用戶數(shù)據(jù)是在網(wǎng)絡協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù) 鏈路層、第三層網(wǎng)絡層，還是第四層應用層，可以將 VPN協(xié)議劃分成第二層隧 道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。第二層隧道協(xié)議：主要包括點到點隧道協(xié)議 (PPTP)、第二層轉發(fā)協(xié)議(L2F)，第 二層隧道協(xié)議(L2TP)、多協(xié)議標記交換(MPLS)等，主要應用于構建接入 VPN。 第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議 (GRE)和IPSec,它主要應用于構 建內聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。第四層隧道協(xié)議：如SSL VPN。1數(shù)據(jù)鏈路層，代表協(xié)議有 PPTP(或L2TP);2網(wǎng)絡

9、層，代表協(xié)議有IPSec (或GRE或IP overIP)；3)會話層(或傳輸層)，SSL(或SOCKS6. (1)防火墻能實現(xiàn)哪些安全任務？(1)集中化的安全管理，強化安全策略由于Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的交通警察”，它執(zhí)行站點的安全策略，僅僅容許認可的”和符合規(guī)則的請求通過。(2)網(wǎng)絡日志及使用統(tǒng)計因為防火墻是所有進出信息必須通路，所以防火墻非常適用收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄，對網(wǎng)絡存取訪問進行和統(tǒng)計(3)

10、 保護那些易受攻擊的服務防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng) 段的問題通過整個網(wǎng)絡傳播。(4) 增強的保密用來封鎖有關網(wǎng)點系統(tǒng)的DNS信息。因此，網(wǎng)點系統(tǒng)名字和IP地址都不要提供給 Internet。(5) 實施安全策略防火墻是一個安全策略的檢查站，控制對特殊站點的訪問。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。(2)禾U用所給資源：外部路由器，內部路由器，參數(shù)網(wǎng)絡，堡壘主機設計一 個防火墻并回答相關問題。 a要求：將各資源連接構成防火墻。b:指出次防火墻屬于防火墻體系 結構中哪一種。c：說明防火墻各結構的主要作用

11、A :防火墻的設計思想就是在內部、外部兩個網(wǎng)絡之間建立一個具有安全控 制機制的安全控制點，通過允許、拒絕或重新定向經過防火墻的數(shù)據(jù)流，來 實現(xiàn)對內部網(wǎng)服務和訪問的安全審計和控制。需要指出的是，防火墻雖然可 以在一定程度上保護內部網(wǎng)的安全，但內部網(wǎng)還應有其他的安全保護措施， 這是防火墻所不能代替的。B：屬于防火墻體系結構中的屏蔽子網(wǎng)防火墻。C:兩個分組過濾路由器，一個位于周邊網(wǎng)與內部的網(wǎng)絡之間，另一個位于 周邊網(wǎng)與外部網(wǎng)絡之間。通過屏蔽子網(wǎng)防火墻訪問內部網(wǎng)絡要受到路由器過濾規(guī)則的保護。堡壘 主機、信息服務器、調制解調器組以及其他公用服務器放在子網(wǎng)中。屏蔽子 網(wǎng)中的主機是內部網(wǎng)和Internet都

12、能訪問唯一系統(tǒng)，他支持網(wǎng)絡層和應用層 安全功能。4.利用所階倚源：攻卜部路點黠內部閱由器，荃數(shù)糾貉堡建主機設計-個防火< 10 > 說明：浮蟹源不允許合并耍求；缶將齊資源述接構成防火堆h 一捋川址防火殆屬十防犬墻體為姑構中嚨-軸G悅明防火墻魯設備的主要作用答必將齊倚涯連接購成防火單的結構如卜用不：b此防火暗図汁r網(wǎng)過龍佈盡儒構“的防火墻”c. r網(wǎng)過澹休熹結御的腎箱單的闿式為曲卜過濾怡由器毎個勰連接創(chuàng)拿敵卿絡，、個 位F聲數(shù)則貉與內韶啊絡之間，另 牛位十參數(shù)轉絡勾外都網(wǎng)聲之間鋼R網(wǎng)貉是在內外需網(wǎng)之間另加的層覺全保護幗絡層-如果入粉成功地購過外層謀護網(wǎng) 到達防火墻，塞數(shù)網(wǎng)絡醴能在入慨

13、右與內部剛之間再提供層探護堡全主機，為內部服務請求進行代理內詐器由器的主夏功能是恨護內祁網(wǎng)免世來H外笳僭與蟄數(shù)網(wǎng)糾腳愷擾.它處成防火瞻為大 鬲盤過釘作.fJL二心;g!f J外as路曲主賽是對參教網(wǎng)絡卜的主機提供傑護，幷阻斷來自外蔚網(wǎng)上怙造內胡網(wǎng)源菇扯 進來的任訶蠶拯包。 防火墻的設計者和管理人員要致力于保護堡壘主機的安全，請說明在 設計堡壘主機通常應遵循怎樣的原則。 最簡化原則堡壘主機越簡單，堡壘主機本身的安全越有保證。因為堡 壘主機提供的任何服務都可能出現(xiàn)軟件缺陷或配置錯誤，而且缺陷或錯誤都 可能導致安全問題。因此，堡壘主機盡可能少些服務，它應當在完成其作用 的前提下，提供它能提供的最小特

14、權的最少的服務。 預防原則盡管用戶盡了最大努力確保堡壘主機的安全，侵入仍可能發(fā)生。但 只有預先考慮最壞的情況，并提出對策，才能可能避免它。萬一堡壘主機受 到侵襲，用戶又不愿看到侵襲導致整個防火墻受到損害，可以通過不再讓內 部的機器信任堡壘主機來防止侵襲蔓延。 在設計和建造防火墻時，通常采取多種變化和組合，如果要在防火墻配置中 使用多堡壘主機，是否可行？為什么？可行的，這樣的做的理由是：如果一臺堡壘主機失敗了，服務可由另一臺提供。 如果將堡壘主機與內部路由器合并，將會出現(xiàn)怎樣的結果？ 將堡壘主機與內部路由器合并將損害網(wǎng)絡的安全性。將這二者合并，其實已經從根本上 改變了防火墻的結構。7. 某市擬建

15、立一個電子政務網(wǎng)絡，需要連接本市各級政府機關（市、區(qū)、縣等 及企事業(yè)單位，提供數(shù)據(jù)、語音、視頻傳輸和交換的統(tǒng)一的網(wǎng)絡平臺，納入 電子政務平臺的各單位既有橫向（是本級政府的組成部門）的數(shù)據(jù)交互，又有縱向的行業(yè)部門的信息交互。從安全角度考慮，你認為該網(wǎng)絡的設計應注 意哪些問題？你的解決方案？1、物理安全2、網(wǎng)絡平臺3、系統(tǒng)的安全4、應用的安全5、管理的安全6黑客的攻擊7、不滿的內部人員8、病毒的攻擊這幾點是都是多年來網(wǎng)絡安全專家所總結的。最常見的網(wǎng)絡安全問題還是處于網(wǎng)絡內部并且是內部底層。內網(wǎng)底層的安全常常被忽略，這就是現(xiàn)在的企業(yè)為什么花了錢買了安全設備但是 內網(wǎng)的卡、慢、掉線依然存在的原因。最后

16、一句話，想要內網(wǎng)安全，從內網(wǎng)底層做起!建立完整的信息安全保障體系。該體系應包括：物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、 數(shù)據(jù)安全、災難備份和恢復等7.果曲擬宦立 個電政務孫要辻接肚Iii各縊玫府機尺（Hf區(qū)、縣尋）及企爭業(yè) 單也，提供數(shù)抿、語音、視頻傳輸和交換的址的網(wǎng)絡平臺*輛入蚯了政務平臺的并單位眈 竹播向是木縊政府的蛆廣気門）的數(shù)第童互，“縱向的行刖那門的信息童互；從安仝莆 度罟慮.像認為該網(wǎng)絡的設計應注意哪些問題？你的解決方泰？駅屯產政務的網(wǎng)綿結構般采用“三何集構二即政府委、4 財?shù)霓k處網(wǎng)內網(wǎng)人玄特 委辦崗哺淞門協(xié)詢辦'公前屯r政務專網(wǎng)和與企事.業(yè)單宓 公眾通過垃唳網(wǎng)接入的外皿 另外 爼說明的是政區(qū)的漫密機曼網(wǎng)是-平特殊的專用網(wǎng)絡卜它不在電了-政務網(wǎng)緒的范冊* 握據(jù)仃天文件對屯了政務曙絡安全的基本要求是*建立立整的情園安全保耳悴系.談悍網(wǎng) 赳括，樹理安全、網(wǎng)絡蚩全、泵址安全、應用安壘、數(shù)網(wǎng)安全和災難備笹與恢復尊. 網(wǎng)辯安全探障體素應包托a）辦公內幟與外網(wǎng)之間炊現(xiàn)物建隔離丁即用物理隔離網(wǎng)閘實規(guī)內外網(wǎng)數(shù)據(jù)的黑渡和交換， 傑障內啊安全*h）沖薊期期與屯政務專網(wǎng)之間歩現(xiàn)邏輯鈿馬"即配置具仃、'】嘰功能的防火樂?，F(xiàn)安全 代蟄信息包過熱內外地址綁宦等.防止非技叔用戶繪過電政毎專旳雌訪問辦公內帙c）在外網(wǎng)與互聯(lián)