《网络安全》 ,周三教二303 8:00-11:40 ,liuyingzhuo
课程代号 270294301 / 考试号 01070071 / 12中大桥南路校区 317 / 7月6日上午 9:00-11:30
《电子商务安全与网上支付》 / 电子工业出版社
1.单选:20*1' = 20'
2.多选:10*1' = 10' 只选2项
3.填空:10*1' = 10'
4.名词:5 * 3' = 15'
5.简答:5 * 5' = 25'
6.综合:2*10' = 20'
http://dl.iteye.com/topics/download/3f60db16-2ceb-34d4-af87-d68668247554
练习一 / 填空:
31. 防火墙一般位于__________和外部网络之间。
32. 根据所使用的通信协议不同,端口扫描技术分为TCP端口扫描技术和__________端口扫描技术。
33. 加密主要是为了隐蔽信息的内容,而认证的三个主要目的是:消息完整性认证、__________、消息的序号和操作时间(时间性)认证。
34. 针对非授权侵犯采取的安全服务为__________。
35. DES技术属于__________加密技术。
36. 代理防火墙工作在__________层。
37. 对计算机网络安全构成威胁的因素可以概括为:偶发因素、自然因素和__________三个方面。
38. __________是提供数据保密的最常用的方法。
39. 木马的特点是具有__________、顽固性以及潜伏性。
40. IP数据包格式的字段选项 Internet Timestamp 的作用是__________。
内网,UDP,身份认证,访问控制,单钥,应用层,人为因素,加密,隐蔽性,计算从发送端到中间主机之间的延迟时间。
练习二 / 填空
31. 密码体制从原理上可分为两大类,即单钥密码体制和__________。
32. 在加密系统中,作为输入的原始信息称为明文,加密变换后的结果称为__________。
33. 防火墙的体系结构一般可分为:双重宿主主机体系机构,屏蔽主机体系结构和屏蔽__________。
34. 防抵赖技术的常用方法是__________。
35. 网络反病毒技术包括__________、检测病毒和消除病毒。
36. RSA密码体制属于__________加密体制。
37. 常见的网络数据加密方式有链路加密、节点加密和__________三种。
38. 木马的启动方式有捆绑方式和__________方式。
39. 代理服务器通过__________能够加快浏览速度。
40. __________接口是TCP/IP传输层的应用编程接口。
双钥密码体制,密文,子网体系结构,数字签名,预防病毒,非对称,端到端,非捆绑,缓存,Socket
练习三 / 填空
31. PKI 的核心部分是__________,它同时也是数字证书的签发机构。
32. 防火墙体系结构分为__________类。
33. ACL的中文含义为__________。
34. 代理服务器分为__________和电路层网关。
35. 国际数据加密算法IDEA的密钥长度__________bit。
36. 网络安全漏洞检测主要包括端口扫描、__________探测和完全漏洞探测。
37. 针对完整性破坏提供的安全服务是__________。
38. 木马的启动方式有捆绑方式和__________方式。
39. 代理服务器通过__________能够加快浏览速度。
40. __________是电子商务安全的基础。
CA,3,访问控制列表,应用层网关,128,操作系统,数据完整性服务,非捆绑,缓存,计算机网络安全
练习四 / 填空
31. 用某种方法伪装消息以隐蔽它的内容的过程称为__________。
32. __________是由CA签发的,持有者可以用它作为证明身份的电子护照。
33. 表示层规定在通信是所使用的数据格式,以及数据格式的转换和表示体系的共享,其协议主要有MIME、__________、XML。
34. 网络管理员采取的安全策略,最重要的是保证服务器的安全和__________。
35. Linux在文本文件__________中保存基本的用户数据库,系统在该文件中保存加密后的密码。
36. 先进的认证措施包括智能卡、认证令牌、__________和基于软件的工具等,一次性口令密码。
37. 网络信息未经授权不能改变的特征是网络安全的__________特征。
38. IP欺骗中,黑客采用__________攻击使被信任主机丧失工作能力。
39. 木马被删除并在电脑重新启动以后,,又能自动安装上,这体现木马的__________特征。
40. 一组(对象、权限)对,每个(对象、权限)对指定了一个对象以及能够在这个对象上执行的操作子集被称为__________。
加密,公钥证书或数字证书,HTML,分配好各类用户的权限,/etc/password,生物统计学,完整性,TCP/SYN(拒绝服务),潜伏性,保护域
名词解释
协议
隐蔽通道
SSL 协议
跳跃(I Stand-hopping)
后门
异常检测
堡垒主机
Set 协议
代理服务器
攻击签名(Attack Signature)
已知明文攻击
公钥证书
SET 协议
分组密码
认证中心
最小授权原则
字节流
网络监听
端口号
扫描器
主密钥
握手
扫描器
防火墙
代理服务器
扩散
鉴别函数
流式套接口
一次一密乱码本
木马
41. 协议:
所谓协议是指对网络中设备以何种方式交换信息的一系列规定的组合,它对信息交换的速率、传输代码、代码结构、传输控制步骤以及出错控制等许多参数作出定义。
42. 隐蔽通道:
一种操作系统进程间通信(IPC)的通道。
43. SSL协议:
是由Netscape公司开发的,在Internet基础上提供一种保证私密性的安全协议。
它建立在可靠的传输层协议之上,使客户服务器应用之间的通信不被攻击窃*听,并且始终对服务器进行认证。
44. 跳跃(I stand-hopping):
攻击者以取得操作系统特权的主机为据点访问其余主机。
45. 后门:
是一个程序模块中秘密的未记入文档的入口,一般是在程序开发时插入的一小段程序,而在程序开发后期没有将他们去掉。
41. 异常检测:
根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出来检测,所以也被称异常检测(Anomaly Detection)
42. 堡垒主机
任何对网络安全至关重要的防火墙主机。堡垒主机是一个组织机构网络安全的的中心主机。
堡垒主机是与外部不可信赖网络的接口点,它们常常容易受到攻击。
堡垒主机使用应用层功能来确定允许或拒绝来自或发向外部网络的请求。
43. SET 协议:
是由Mastercard 和Visa 等主流厂商设计发布的应用层协议。
它是一个基于可信的第三方的中心的方案,用于保证在公共网络上进行银行卡支付的交易的安全性,能够有效地防止电子商务中的各种诈*骗。
44. 代理服务器:
接受或解释客户端连接并发起到服务器新连接的网络节点,它是客户端和服务器关系的中间人。
45. 攻击签名(Attack Signature):
是一种特定的方式是来表示已知的攻击方式。
41. 已知明文攻击:
密码分析者得到一些消息的密文和相应的明文后,用加密信息推出用来加密的密钥或导出一个算法,此算法可以对同一密钥加密的任何新的消息进行解密。
42. 公钥证书:
公钥证书是一个值得信赖的证书管理机构(CA)签发,用户想CA 申请时必须通过安全鉴别。
当一个证书由CA 进行数字签署之后,持有者可以使用它作为证明自己身份的电子护照。
43. SET 协议:(略)
44. 分组密码:
将明文进行分组,每个分组被当作一个整体来产生等长的密文分组。
45. 认证中心:
是一个可信的第三方实体,它具有权威性,主要职责是保证电子商务交易双方身份的真实性。
41. 最小授权原则:
指的是网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。
42. 字节流
字节流方式指的是仅把传输中的报文看作是一个字节序列,不提供数据流的任何边界。
43. 网络监听:
也叫嗅探,当成功地登录进网络上的一台主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或夺取网络中其他主机的控制权所采用的方法。
监听效果最好的地方:网关、路由器、防火墙一类设备处。
44. 端口号:
被操作系统内核用来标识不同的网络进程,也是严格区分传输层入口的标志。
服务器程序一般被绑定到标准的端口号上,rlogin daemon被绑定到在TCP 513的端口。
45. 扫描器:
是一种自动检测远程或本地主机安全性弱点的程序,通过扫描器,用户可以不留痕迹地发现远程服务器的各个端口的分配及提供的服务和它们的软件版本。
41. 主密钥:
是加密其他需要分发密钥的主钥。主密钥的损害会使用它加密的数据密钥加密码的所有信息受到损害,必须对它进行安全的存储。
42. 握手:
是支付系统用来确认身份和交换会话密钥的过程。
43. 扫描器:
是一种自动检测远程或本地主机安全弱点的程序,通过使用扫描器,用户可以不留痕迹的发现远程服务器的各个端口的分配以及提供的服务和他们的软件版本。
44. 防火墙:
是设置在用户网络和外界之间的的一道屏障,防止不可预料的、潜在的破坏侵入用户网络,用户加强网络间的访问控制,防止外部用户非法使用内部网络的资源。
45. 代理服务器:(略)
41. 扩散:
通过让明文中的每个字去影响许多个密文字,也使每个密文字受多个明文字的影响。
这样,明文的统计结构在密文中就被扩散了。这中密码设计方法称为扩散。
42. 鉴别函数:
用于产生可以鉴别一个报文的值的鉴别符的函数,用来保证报文的完整性。
43. 流式套接口
又称流式套接字,提供了一个面向连接、可靠的数据传输服务,数据无差错、无重复的发送,且按发送顺序接受。内设流量控制,避免数据流超限:数据被看成字节流,无长度限制。
44. 一次一密乱码本:
一个大的不重复的真随机密钥字母集,这个密钥字母集被写在几张纸上,并一起粘成一个乱码本,它最初用与电传打字机。
45. 木马:
是一个程序,它驻留在目标计算机里,在计算机启动时运行,从而实现对主机的攻击,它具有隐蔽性、顽固性和潜伏性等特征。
习题一
简答
46.验证主体身份的三种方法是什么?
一是只有该主体了解到秘密,如口令、密钥
二是主体携带的物品,如智能卡和令牌卡
三是只有该主体具有独一无二的特征或能力,如指纹、声音、视网膜或签字等
47.简述半连接端口扫描的原理和工作进程。
半连接端口扫描不建立完整的TCP连接,而是只发送一个SYN数据包,一个SYN|ACK的响应包表示目的端口是监听(开放)的,
而一个RST的响应包表示目的端口未被监听(关闭),若收到SYN|ACK的响应包,系统随即发送一个RST包来中断连接。
48.简述ip作用。
将来自传输层的数据封装为ip的数据包,送往作为目的地的接收端。
1)利用IP地址定位位置信息;2)利用IP数据包进行无连接的数据传输;3)路径控制
49.在密码学中,明文,密文,密钥,加密算法,解密算法成为五元组。试说明这个五个基本概念。
明文(Plaintext):作为加密输入的原始信息,即消息的原始形式,通常用m或p表示
密文(Cliphertext):是明文经过加密变换后的结果,即消息被加密处理后的形式,通常用c表示
密钥(key):是参与密码变换后的参数,通常用K表示
加密算法:是将明文变为密文的加密函数,相应的变换过程称为加密,即编码的过程,通常用E表示,即c=Ek(p)
解密算法:是将密文变为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用D表示,即p=Dk(c)
明文——原始信息
密文——加密后的信息
密钥——加密解密时使用的参数
加密算法——将明文转化为密文的算法
解密算法——加密算法的逆
50.防火强的五大基本功能是什么?
1)过滤数据
2)管理访问行为
3)封堵某些禁止的业务
4)日志功能
5)对网络攻击的检测和告警
综合
51.某投资人士用Modem拨号上网,通过金融机构的网上银行系统,进行证券、基金和理财产品的网上交易,
并需要用电子邮件与朋友交流投资策略。该用户面临的安全威胁主要有:
1)计算机硬件设备的安全
2)计算机病毒
3)网络蠕虫
4)恶意攻击
5)木马程序
6)网站恶意代码
7)操作系统和应用软件漏洞
8)电子邮件安全
试据此给出该用户的网络安全解决方案
在网关位置配置多接口防火墙,将整个网络划分为外部网络、内部网络、DMZ区等多个安全域。
如web服务器、应用服务器、数据库服务器、办公区利用防火墙进行网段隔离
在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量。
在DMZ内部区的数据库等重要服务器上安装基于主机的入侵检测系统,对所有上述服务器的访问进行监控,并对相应的操作进行记录和审计
将电子商务网站和企业普通web发布的服务器进行独立的配置,对电子商务网站的访问将需要身份认证和加密传输,保证电子商务的安全性
在dmz区的电子商务网站配置基于主机的入侵检测系统那个;防止来自internet对http服务的攻击行为
在企业总部安装统一身份认证服务器,对所有需要的认证进行统一管理,并根据客户的安全级别设置所需要的认证方式
如:静态口令、动态口令、数字证书等
52.如何关闭不必要的服务和禁止端口来防止黑客侵入?
1)端口是计算机网络和外部网络相连的逻辑接口,也是计算机的第一道屏障,在配置系统协议时,不需要的协议统统删除。
对于服务器和主机来说,一般只需要安装TCP/IP协议就够了。
2)对于文件和打印共享服务的137、138、139和445端口,还可以采用以下方法来关闭
。。。
3)在不需要远程管理计算机时,要将有关远程网络登录的服务关掉。
方法如下:。。。
在进行Windows2000的设置时,我们只要记住一个原则,那就是:最小的权限+最少的服务=最大的安全
习题二 简答
46.端口扫描的基本原理是什么?端口扫描技术分成哪几类?
端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应,通过分析响应来判断端口是打开还是关闭等状态信息。
根据使用通信协议的不同,网络端口可以分为TCP端口和UDP端口两大类,因此端口扫描技术也可相应的分为TCP端口扫描技术和UDP扫描技术。
47.简述网络安全技术的发展趋势?
1)物理隔离2)逻辑隔离3)防御来自网络的攻击4)防御网络上的病毒5)身份认证
6)加密通信和虚拟专用网7)入侵检测和主动防卫8)网管、审计和取证
48.SSL用哪几种服务来让用户和服务器对它们传送的信息进行保护?
SSL用下面的3种服务来让用户和服务器对它们传送的信息进行保护:
1)用数字证书实现的服务器认证,防止冒名顶替者
2)加密传输信息,防止窃*听
3)端对端连接,保证数据信息完整性,防止数据的损坏
49.简述数字签名的本质
首先用用户的私钥对消息的正文加密,然后用接收者的公钥加密,这样只有接收者可以用他的私钥解密,然后用用户的公钥验证消息内容。
这样既保证了消息的私有性,又能证明消息的来源。
50.说明DES加密算法的执行过程。
1)初始置换ip:把一个明文以64比特为单位分组。对每个分组首先进行初始置换IP,即将明文分组打乱次序。
2)乘积变换:乘积变换是DES算法的核心。
将上一步得到的乱序的明文分组分成左右两组,分别用L0和R0表示。
迭代公式是{Li=Ri-1 Ri=Li-1@F(Ri-1Ki)这里i=1,2,3...16}.
3)选择扩展、选择压缩和置换运算。迭代结束后还要末置换运算,它是初始置换的逆IP-1.
综合
51. 给定明文"plaintext",采用向前移位算法,密钥为63152(每个数字表示其对应字母在英文字母表中向前移动的位数),密钥自动循环使用,请写出加密后的密文,并给出明文中每个字母的加密过程。
明文:plaintext
加密过程如下:
英文字母集顺序为:abcdefghijklmnopqrstuvwxyz
密钥为:63125
明文各字符的变换过程如下:(答对每个字符给1分)
p向前移6位得到j
l向前移3位得到i
a向前移1位得到z
i向前移5位得到d
n向前移2位得到l
密钥用完自动循环:
t向前移6位得到n
e向前移3位得到b
x向前移1位得到w
t向前移5位得到o
52.某局域网由一个防火墙、2个交换机、DMZ区的web和Email服务器,以及内网3台个人计算机组成。
请根据自己掌握的知识设计一个完整的网络结构图。
{{{}}}
|
路由器
|
防火墙——交换机—DMZ区—web服务器
| |
| |DMZ区
交换机 email服务器
|
个人计算机+个人计算机+个人计算机
习题三
简答
46.简述物理安全在计算机网络中的地位,并说明其包含的主要内容
物理安全是计算机网络安全的基础和前提。
主要包括机房环境安全、通信线路安全、设备安全和电源安全。
47.代理服务技术的工作原理是什么?代理防火墙有哪几种类型?
工作原理是:当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序
来处理连接请求,将处理后的传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,
将答复交给发出请求的最终客户。
它分为应用层网关和电路层网关。
48.SSL用哪几种服务来让用户和服务器对他们传送的信息进行保护?
1)数字证书实现的服务器认证,防止冒名顶替者
2)加密传输信息,防止窃*听
3)端对端连接保证数据信息完整性,防止数据的损坏
49.简述电子商务的安全要素.
在电子商务安全体系结构中,电子商务的安全要素包括有效性、机密性、完整性和不可否认性。
有效性指的是保证贸易数据在某个时刻、某个执行点是有效的
机密性指的是电子商务活动中,必须保证信息存取的和信息在传输过程中的秘密性
完整性指的是信息一致完好。
不可否认性指的是确保交易双方的身份,防止交易抵赖。
50.试简述拒绝服务式攻击的防范措施。
优化路由及网络机构,例如在路由器上设定TCP侦听功能,过滤不需要的UDP和ICMP包信息。
优化对外提供服务的主机。
当发现攻击时,追踪攻击包。
经常下载系统软件补丁。
审核系统规则。
综合
51.RSA加密算法的理论基础是什么?试说明用户A和用户B如何用RSA算法交换私密数据m。
RSA算法的安全性建立在数论中"大数分解和素数检测"的理论基础上。
假定用户A欲送m给用户B,则RSA算法的加、解密的过程如下:
1)首先用户B产生两个大素数p和q(q、q是保密的)。
2)B计算n=pq和φ(n)=(p-1)(q-1) (φ(n)是保密的)
3)B选择一个随机数e(0<e<φ(n)),使得(e,φ(n))=1,即e和◎互素。
4)B通过计算得出d,使得de=1 modφ(n) (即在于n互素的数中选取与φ(n)互素的数,可以通过Eucliden算法得出。d是B自留且保密的,用户解密密钥)。
5)B将n及e作为公钥公开
6)用户A通过公开渠道查到n和e。
7)对m施行加密交换,即Eb(m)=m mod n =c。
8)用户B收到密文C后,施行解密变换。
52.凯撒(caesar)密码是一种基于字符替换的对称式加密方法,它是通过26个英文字母循环移位和替换来进行编码的。设待加密的消息为“UNIVERSITY”,密钥k为5,试给出加密后的密文。
答:密文为ZSNAJWXNYD
习题四 简答
46.分布式密钥管理有什么优缺点?
有些情况下,可能有某些用户不相信CA,因而不可能进行集中密钥管理。
分布式密钥管理,通过“介绍人”解决了这个问题。介绍人是系统中对他们朋友的公钥签名的其他用户。
这种方法的好好处是不需要人人都得相信CA。缺点是当A接收到B的密钥时,并不能保证认识介绍人中的某一个,而不能保证其相信密钥的合法性。
47.非对称密码与对称密码如何比较?
非对称密码与对称密码是不同的两种东西,解决不同的问题,它们有各自的特长和缺点,不能简单地进行比较。
对称密码算法适合加密数据,它速度极快并且对选择密文攻击不敏感。
非对称密码算法可以适应网络的开放性要求,密钥管理问题较为简单,尤其可方便的实现数字签名和验证。
48.TCP协议的作用是什么?
用户提供可靠的虚拟网络连接,连接是在发送和连接的节点端口号之间实施的。
TCP协议负责将信息切割成一块块资料包,在远端主机重新按顺序组合起资料包,并且负责重送遗失的资料包。
49.试比较包过滤型防火墙和代理防火墙的优缺点?
包过滤型防火墙
优点:价格较低,不需要额外的硬件,性能开销小,处理速度快;
缺点:允许数据包直接通过,容易造成数据驱动式攻击的潜在危险,不能理解特定服务的上下文环境,定义复杂,容易出现配置不当带来问题。
代理防火墙
优点:内置代理程序,理解全部相关服务命令,对进出数据包可以进行安全化处理,它不允许数据包直接通过防火墙,可以避免数据驱动式攻击。
缺点:速度慢,不适用于高速网络。
50.简述连接通过的"三次握手"过程。
连接通过“三次握手”过程:
1)SYN=1 和 ACK=0 打开连接封包;
2)SYN=1 和 ACK=1 打开连接通告;
3)SYN=0 和 ACK=1 数据封包或ACK封包
综合
51.如果你的单位要让你管理公司的网络,请根据你所掌握的网络安全基础知识描述你的工作计划。
制定切实可行的工作计划书,可以从以下三个方面陈述。
1)网络安全策略的制定
2)网络安全服务计划
3)网络安全管理问题
52.如何进行拒绝服务攻击的防范?
拒绝服务防范:
1)对默认的安装系统强化以防止SYN-Flood攻击。
2)在系统内核中的ICMP数据报的流量进行限度允许,以防止ICMP炸*弹攻击。
3)假装防火墙系统
4)仔细调整服务器的各项参数
(1)强化服务器的负载能力
(2)察看路由器记录和系统记录以及站点目前状态来检测
(3)让防火墙对某些特殊类型的IP数据包进行过滤,这些特殊的IP是不能在Internet上出现的(无法路由);
来自127.0.0.0/8,10.0.0.0/8,172.16.0.0,192.168.0.0/16四个网段的数据包防火墙应该完全拒绝。
(4)在防火墙设置记录来检测ICMP包炸*弹攻击,在服务器端决绝所有的ICMP包,在该网段路由器对ICMP包进行带宽限制。
习题五 简答
46.公钥证书如何保证公钥的真实性和系统效率?
公钥证书是由一个值得信赖的证书管理机构CA签发,用户向CA申请时必须通过安全鉴别。当一个证书由CA进行数字签署之后,持有者可以使用它作为证明自己身份的电子护照。
当一用户的身份被CA确认后,CA就用自己的私钥来保护这一数据。CA提供给用户的证书中包括用户标识、用户公钥和时间戳,并用CA的私钥加密。
此时,用户就可以将证书传给他人,接受者可以用CA的公钥解密来验证证书确实来自CA,证书的内容说明证书拥有者的名字和公钥,时间戳验证书的实效性。这样就保证了证书的真实性。
由于每个用户要得到他所希望联系的其他用户的公钥不必通过CA,因此CA不会成为瓶颈,对系统效率影响较小。
47.SET从哪几个方面确保电子商务信息的安全性和可靠性?
1)采用先进的公开密钥算法来保证传输信息的机密性,以避免其他任何无关方的窥探,SET通过双重签名的方法将信用卡信息直接从客户通过商家发送商家的开户行,而不允许商家访问客户的帐号信息;
2)发送到报文加密后,将为之产生一个唯一的报文摘要值,保证信息的完整性;
3)使用数字证书确定交易涉及的各方的身份,为在线交易提供一个完整的可信赖的环境;
4)数字证书的发布过程也包含了商家和客户在交易中存在的信息,客户不能否认发过一个商品的订单,商家也不能否认收到过这个订单。
48.简述认证中心的功能?
主要功能:
接受用户证书申请进行证书受理,
证书发放的审核,证书发放的操作,
记录作废证书并对证书进行管理
49.简述网络安全特征中完整性的含义。
完整性是指网络未经授权不能进行改变的特征,
即网络信息在存储或传输过程中保持不被偶然或蓄意的添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性,是一种面向信息的安全性。
它要求信息保持信息的原样,即信息的正确生成,正确存储,正确传输。
50.简述主机A使用ARP协议查找主机B的物理地址的过程(假定主机A的ARP高速缓存中没有主机B的IP地址)
ARP进程在本局域网上广播发送一个ARP请求分组,目的地址为主机B的IP地址,
本局域网上所有主机运行ARP进程都接收到此ARP请求分组,
主机B在ARP请求分组中发现自己的ip地址,就向主机发送一个ARP响应分组,并写入自己的物理地址,
不是主机B的其他主机发现ARP请求分组中不是自己的ip地址就将该分组丢弃,
主机A收到主机B的ARP响应分组后,就在其ARP高速缓存中写入主机B的ip地址到物理地址映射。
综合
51.给定素数p=3,q=11,用RSA算法生成一对密钥。
1)计算密钥的模n和欧拉函数φ(n)的值。
n=p×q=33 φ(n)=(p-1)*(q-1)=20
2)若选公钥e=3,计算私钥d的值
3d=mod(p-1)*(q-1)=1 d=7
3)计算对于数据m=5进行加密的结果,即计算密文c的值
c=M的e次方 mod n=5的3次方 mod33=26
52.请绘出屏蔽子网防火墙构造示意图,指出DMZ区域,并就该示意图简要阐述为什么这种防火墙是最安全的防火墙系统。如图其中虚线内为屏蔽子网
堡垒主机
| |
| | | |
内部网络 |路由器 路由器| 外部网络Internet
| DMZ |
有屏蔽子网防火墙构造示意图可以看出,该系统由内外路由器和堡垒主机组成,内部路由器隔离内部网络和Internet,
使内部网络信息必须通过堡垒主机才能访问Internet,同样,
Internet必须通过外部路由器访问堡垒主机,而经过严格规则过滤才能访问内部网络,即使黑客攻破了堡垒主机,仍然无法获取内部网络的信息。
因而这种防火墙比包过滤防火墙和双宿网关防火墙的安全性都要高。
习题六 简答
46.什么是自同步流密码,它有什么特点?
自同步流密码指密钥流与已经产生的一定数量的密文有关。
由于这种方式要求密文反馈,所以具有抵抗密文搜索攻击和认证功能的特点,但其分析较为复杂。
自同步密码的缺点是错误扩散,传输中每一个密文被篡改,解密密钥流发生器就有n位密钥流不能正确生成,因此1比特密文错误就会导致n比特响应的明文错误。
47.使用Playfair密码加密session的密文是什么?
P LAYF
I/J RBCD
E GHKM
N OQST
U VWXZ
答:NKXYNCQO
48.试比较网络安全特征中保密性和完整性的异同。
保密性是指网络信息不被泄露给非授权的用户、实体或过程;
完整性是指网络信息未经授权不能进行改变的特性。
保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。
它们都是网络安全的特征,相关技术保证信息的不被截取、篡改和伪造等
49.简述身份认证常用的实现方法
身份认证方法很多,例如ID号、数字证书、指纹图像、DNA以及手写签名的图像等,
ID号适用安全强度不太高的系统,而数字证书适用安全性要求比较高的系统
50.如何发现和删除木马?
1.注册表启动的木马
1)发现木马 记下端口号,内存中的运行进程,终止某个程序运行,看是否端口还是开放。
2)删除步骤 备份需要被删除的文件和注册表,终止程序在内存中的运行,在注册表中查询包含文件的键值,然后删除
2.捆绑式木马 安装杀毒软件
综合
51.ip欺骗是什么是实现,过程原理怎么样?
攻击的过程实现。
ip欺骗建立的基础,攻击过程最难得部分。
52.路由器是一种常用的网络互联产品,如果某个单位购买一台路由器,但是该单位没有专业维护人员,于
是厂家就通过路由器内部端口进行远程登录保护,请讨论这种行为的安全性?并分析优缺点。
在网络运行远程登录命令对路由器进行维护,由于要跨越一些网络命令,而TCP/IP对所有传输的信息又不进行加密,
所以,网络黑客只要在所攻击的目标主机的ip包所经过的一条路由上运行Sniffer程序,就可以截取目标口令,所以远程登录将给黑客提供便利的入侵机会。
另外,远程登录由厂家对路由器维护,这无疑将单位的信息暴露给厂家,可能给单位带来不必要的损失。
这种通过远程登录维护给用户带来方便,不需要专门的技术维护人员,节约了人力物力,但是存在上述的安全问题。
20120706_第6套
end