《網(wǎng)絡(luò)安全》模擬試題二

《網(wǎng)絡(luò)安全》模擬試題二一、名詞解釋（每題4分） 1．端口掃描 2．VPN 3．?dāng)?shù)字簽名 4．NAT 5．SSL 6．IDS 7．PKI 8．DOS 9．對(duì)稱密碼算法與非對(duì)稱密碼算法二、簡(jiǎn)答題（每題5分） 1．簡(jiǎn)述網(wǎng)絡(luò)病毒的特征及其主要傳播方式。 2．簡(jiǎn)述包過(guò)濾型防火墻的工作原理。 3．圖示并解釋IPSEC安全協(xié)議框架。 4．通過(guò)圖例說(shuō)明基于RSA公鑰密碼算法的數(shù)字簽名與驗(yàn)簽過(guò)程。 5．簡(jiǎn)述網(wǎng)絡(luò)安全的四大安全需求。三、綜述應(yīng)用題 1．簡(jiǎn)述數(shù)字證書(shū)在證書(shū)認(rèn)證體制中的作用。X.509證書(shū)格式中主要包含那些信息？描述驗(yàn)證X.509證書(shū)的過(guò)程。(10分) 2．以ESP協(xié)議為例，說(shuō)明傳輸模式和隧道模式的工作原理。(10分) 3．綜述入侵檢測(cè)系統(tǒng)的組成與功能。(10分) 4．給出SSL協(xié)議層次結(jié)構(gòu)，并簡(jiǎn)述相應(yīng)功能？(9分)參考答案一、名詞解釋（每題4分） 1．端口掃描攻擊者試圖和目標(biāo)主機(jī)的一系列端口（一般是保留端口或常用端口）建立連接或請(qǐng)求通訊。 2．VPN虛擬專用網(wǎng)(Virtualprivatenetwork)是指利用公共網(wǎng)絡(luò)來(lái)發(fā)送專用信息，形成邏輯上的專用網(wǎng)絡(luò)。 3．?dāng)?shù)字簽名數(shù)字簽名是筆記簽名的數(shù)字化，簽名者不能否認(rèn)自己的簽名，簽名不能被偽造，且容易被驗(yàn)證。 4．NAT網(wǎng)絡(luò)地址翻譯(NetworkAddressTranslation)，是用于將一個(gè)地址域（如專用Intranet）映射到另一個(gè)地址域（如Internet）的標(biāo)準(zhǔn)方法。 5．SSL安全套接層(securesocketlayer)，SSL用來(lái)在可靠的傳輸層之上提供端到端的安全服務(wù)，為通訊實(shí)體提供機(jī)密性、完整性和身份驗(yàn)證。 6．IDS入侵檢測(cè)系統(tǒng)(IntrusionDetection)是指對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，保證資源機(jī)密性、完整性、可用性的系統(tǒng)。 7．PKI公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)，是指用非對(duì)稱密碼算法原理和技術(shù)來(lái)實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。 8．DOS拒絕服務(wù)（DenialofService）指任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。 9．對(duì)稱密碼算法與非對(duì)稱密碼算法對(duì)稱密碼算法又稱傳統(tǒng)密碼算法，加密密鑰和解密密鑰相同或?qū)嵸|(zhì)上等同。非對(duì)稱密碼算法又稱公開(kāi)密鑰算法，加密密鑰和解密密鑰不同，從一個(gè)很難推出另一個(gè)。二、簡(jiǎn)答題（每題5分） 1．簡(jiǎn)述網(wǎng)絡(luò)病毒的特征及其主要傳播方式。答：網(wǎng)絡(luò)病毒特點(diǎn)：主要通過(guò)網(wǎng)絡(luò)進(jìn)行傳播；寄生宿主廣泛，可寄生在多種文件中；一般利用Internet的開(kāi)放性，操作系統(tǒng)和各種應(yīng)用程序漏洞來(lái)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊主要傳播方式：電子郵件、網(wǎng)頁(yè)、文件傳輸。 2．簡(jiǎn)述包過(guò)濾型防火墻的工作原理。答：包過(guò)濾防火墻的基本思想是對(duì)所接收的每個(gè)數(shù)據(jù)包進(jìn)行檢查，根據(jù)過(guò)濾規(guī)則，決定轉(zhuǎn)發(fā)或者丟棄該包。過(guò)濾規(guī)則基于IP包頭信息：IP源地址、目的地址、TCP/UDP端口、ICMP類型等。過(guò)濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來(lái)決定，如果沒(méi)有匹配，則按缺省策略。 3．圖示并解釋IPSEC安全協(xié)議框架。答：IPSec結(jié)構(gòu)的第一個(gè)主要部分是安全結(jié)構(gòu)，ESP提供加密服務(wù)，AH提供數(shù)據(jù)認(rèn)證服務(wù)，ESP和AH都有一個(gè)特定的算法和可選功能的支持集合。因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP支持IPSec的密鑰管理需求。 4．通過(guò)圖例說(shuō)明基于RSA公鑰密碼算法的數(shù)字簽名與驗(yàn)簽過(guò)程。在消息發(fā)送方，先將消息M進(jìn)行Hash運(yùn)算得到摘要，然后用RSA私鑰對(duì)摘要進(jìn)行簽名，將簽名附加在原始消息之后進(jìn)行發(fā)送。接收方收到消息后，將消息中的原始消息部分進(jìn)行Hash運(yùn)算取得摘要，再將消息中的摘要部分用發(fā)送方的公鑰解密，將解密結(jié)果與上一步獲得的摘要進(jìn)行比較，若相同則說(shuō)明信息是由真正的發(fā)送方發(fā)送，且沒(méi)有被篡改。 5．簡(jiǎn)述網(wǎng)絡(luò)安全的四大安全需求。答：保密性：使得只有授權(quán)的實(shí)體才可以看到消息的內(nèi)容完整性：確保消息未被篡改不可否認(rèn)性：防止實(shí)體先前進(jìn)行的操作或者訪問(wèn)進(jìn)行抵賴可用性：保證用戶在給定的時(shí)間內(nèi)可以正確的對(duì)信息或者服務(wù)進(jìn)行訪問(wèn)三、綜述應(yīng)用題 1．簡(jiǎn)述數(shù)字證書(shū)在證書(shū)認(rèn)證體制中的作用。X.509證書(shū)格式中主要包含那些信息？描述驗(yàn)證X.509證書(shū)的過(guò)程。(10分)答：數(shù)字證書(shū)是持有者在網(wǎng)絡(luò)上證明自己身份的憑證。一方面證書(shū)可以用來(lái)向系統(tǒng)中的其它實(shí)體證明自己的身份；另一方面，由于每份證書(shū)都攜帶著證書(shū)持有者的公鑰，所以也起著分發(fā)密鑰的作用。X.509證書(shū)主要包括三部分：證書(shū)內(nèi)容、簽名算法和使用簽名算法對(duì)證書(shū)內(nèi)容所作的簽名。其中：版本號(hào)：目前定義了3個(gè)版本，V1,V2,V3。目前最為常用的是版本3。序列號(hào)：序列號(hào)是一個(gè)整數(shù)，和證書(shū)簽發(fā)CA的名稱一起唯一識(shí)別該證書(shū)。簽發(fā)算法標(biāo)識(shí)：證書(shū)中計(jì)算簽名時(shí)使用的算法，包括算法域以及該算法的可選參數(shù)。簽發(fā)者：簽發(fā)該證書(shū)的CA的名稱。有效期：該域包含兩個(gè)子域，分別為該證書(shū)開(kāi)始生效的時(shí)間和失效的時(shí)間。主體：證書(shū)持有者的名稱。主題公鑰：包括算法名稱、主要參數(shù)和公鑰。加密值：可能該域更應(yīng)當(dāng)被稱為“簽名”，這個(gè)域包含了以上所有域的數(shù)字簽名。擴(kuò)展（extension）：這些擴(kuò)展域只出現(xiàn)在X.509第三版中。證書(shū)驗(yàn)證過(guò)程有以下幾個(gè)步驟：用CA根證書(shū)驗(yàn)證客戶證書(shū)的簽名完整性；檢查客戶證書(shū)是否有效（當(dāng)前時(shí)間在證書(shū)有效期內(nèi)）；檢查客戶證書(shū)是否作廢（ocsp方式或黑名單方式）；驗(yàn)證證書(shū)用途；如果以上驗(yàn)證都通過(guò)，說(shuō)明是一個(gè)有效、可信的證書(shū)。 2．以ESP協(xié)議為例，說(shuō)明傳輸模式和隧道模式的工作原理。(10分)答：（1）傳輸模式在傳輸模式下，對(duì)原IP頭保持不變，僅對(duì)傳輸層的數(shù)據(jù)進(jìn)行加密封裝。只有在要求端到端的安全時(shí)才使用傳輸模式。（2）隧道模式在隧道模式下，對(duì)整個(gè)IP數(shù)據(jù)進(jìn)行加密、封裝，并附加一個(gè)新的IP頭。 3．綜述入侵檢測(cè)系統(tǒng)的組成與功能。(10分)答：入侵檢測(cè)系統(tǒng)的組成如上圖所示：（1）事件產(chǎn)生器事件產(chǎn)生器是入侵檢測(cè)系統(tǒng)中負(fù)責(zé)原始數(shù)據(jù)采集的部分，它對(duì)數(shù)據(jù)流、日志等進(jìn)行追蹤，然后將搜集的原始數(shù)據(jù)轉(zhuǎn)換為事件，并向系統(tǒng)的其它部分提供此事件。（2）事件分析器事件分析器接收事件信息，對(duì)它們進(jìn)行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷結(jié)果轉(zhuǎn)化為警告信息。（3）事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)信息的地方。它從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，將數(shù)據(jù)進(jìn)行較長(zhǎng)時(shí)間的保存。（4）響應(yīng)單元響應(yīng)單元根據(jù)警告信息做出反映，可以為切斷連接、改變文件屬性等強(qiáng)烈反映，也可以是簡(jiǎn)單的報(bào)警。它是入侵檢測(cè)系統(tǒng)中的主動(dòng)武器。 4．給出SSL協(xié)議層次結(jié)構(gòu)，并簡(jiǎn)述相應(yīng)功能？(9分)答：SSL協(xié)議分為兩層，低層是記錄協(xié)議,高層包括握手協(xié)議、警告協(xié)議、改變密碼規(guī)格協(xié)議和應(yīng)用數(shù)據(jù)協(xié)議。記錄協(xié)議是一個(gè)簡(jiǎn)單的封裝協(xié)議。記錄協(xié)議得到要發(fā)送的內(nèi)容之后，將數(shù)據(jù)分成易于處理的數(shù)據(jù)分片，進(jìn)行數(shù)據(jù)壓縮（可選），計(jì)算數(shù)據(jù)分組的密碼校驗(yàn)值MAC，加密數(shù)據(jù)，然后發(fā)送數(shù)據(jù)。握手協(xié)議負(fù)責(zé)建立當(dāng)前會(huì)話狀態(tài)的