1、第11章 习题及参考答案一、选择题1、防火墙是隔离内部和外部网的一类安全系统。通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(1)进行过滤,以阻挡某些非法访问。(2)是一种代理协议,使用该协议的代理服务器是一种(3)网关。另外一种代理服务器使用(4)技术,它可以把内部网络中的某些私有IP地址隐藏起来。安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是(5)。(1)A、网卡地址B、IP地址C、用户标识D、加密方法(2)A、SSLB、STTC、SOCKSD、CHAP(3)A、链路层B、网络层C、传输层D、应用
2、层(4)A、NATB、CIDRC、BGPD、OSPF(5)A、数据保密性B、访问控制C、数字签名D、认证答案:(1)B(2)C(3)D(4)A(5)B2、在企业内部网与外部网之间,用来检查网络请求分组是否合法,保护网络资源不被非法使用的技术是( B )。A、 防病毒技术 B、 防火墙技术 C、 差错控制技术 D、 流量控制技术3、防火墙是指( B )。A、防止一切用户进入的硬件 B、阻止侵权进入和离开主机的通信硬件或软件C、记录所有访问信息的服务器 D、处理出入主机的邮件的服务器4、保证网络安全的最主要因素是( C )。A、拥有最新的防毒防黑软件。B、使用高档机器。C、使用者的计算机安全素养。
3、D、安装多层防火墙。5、1988年是Internet安全体系的重要转折,人们开始对网络安全异常重视,是因为( A )。A、蠕虫病毒 B、核打击 C、主干网停电 D、计算机损坏6、计算机中的信息只能由授权访问权限的用户读取,这是网络安全的( A )。A、保密性 B、数据完整性 C、可利用性 D、可靠性7、验证消息完整性的方法是( D )。A、大嘴青蛙认证协议 B、数字签名 C、基于公钥的认证 D、消息摘要8、计算机系统中的信息资源只能被授予权限的用户修改,这是网络安全的( B )。A、保密性 B、数据完整性 C、可利用性 D、可靠性9、加密密钥和解密密钥相同的密码系统为( C )A、非对称密钥体
4、制B、公钥体制C、单钥体制D、双钥体制10、特洛伊木马是指一种计算机程序,它驻留在目标计算机中。当目标计算机启动时,这个程序会( C )。A、不启动B、远程控制启动C、自动启动D、本地手工启动11、如果一个服务器正在受到网络攻击,第一件应该做的事情是( A )A、断开网络B、杀毒C、检查重要数据是否被破坏D、设置陷井,抓住网络攻击者12、防火墙的基本构件包过滤路由器工作在OSI的哪一层( C )A、物理层 B、传输层 C、网络层 D、应用层13、身份认证的方法有( ABCD )A、用户认证B、实物认证C、密码认证D、生物特征认证14、下列哪些是对非对称加密正确的描述( BCD )A、用于加密和
5、解密的密钥是相同的。B、密钥中的一个用于加密,另一个用于解密C、密钥管理相对比较简单D、非对称密钥加密速度较慢15、 下列选项中哪些是 可信计算机系统评价准则及等级( AC )A、DB、D1C、C2D、C316、常见的防火墙体系结构有( ABCD )A、屏蔽路由器 B、双穴主机网关C、屏蔽子网 D、屏蔽主机网关17、网络中威胁的具体表现形式有( ABCD )A、截获 B、中断 C、篡改 D、伪造18、计算机网络安全的研究内容有( ABCD )A、实体硬件安全B、数据信息安全C、病毒防治技术D、软件系统安全19、可信计算机系统评价准则及等级中的安全级别有( ABD )A、C1B、A1C、A2D、
6、B320、密码技术是信息安全技术的核心,组成它的两大分支为( AB )A、密码编码技术 B、密码分析技术C、单钥密码体制 D、双钥密码体制21、常见的两种非对称密码算法为( AD )A、RSA B、DES C、IDEA D、Diffie-Hellman22、计算机病毒的主要特征包括( ABD )A、潜伏性B、传染性C、自动消失D、破坏性23、支撑 IPSec 体系结构的两大协议为( AC )A、ESP B、TCP C、AH D、UDP24、常见的防火墙体系结构有( ABCD )A、屏蔽路由器 B、双穴主机网关C、屏蔽子网 D、屏蔽主机网关25、VPN 系统组织中的安全传输平面(STP)由( A
7、D )两大部分组成。A、安全隧道代理 B、安全隧道终端C、用户认证功能 D、VPN 管理中心26、SSL 数据单元形成过程的前三个步骤为( ACD )A、分段 B、加密 C、压缩 D、附加MAC27、下列行为不属于攻击的是( D )A、对一段互联网 IP 进行扫描 B、发送带病毒和木马的电子邮件C、用字典猜解服务器密码 D、从 FTP 服务器下载一个10GB的文件28、入侵检测系统一般不能检测出哪些内容( A )A、网络线路物理中断 B、远程访问服务器 C、拒绝服务攻击 D、扫描攻击29、入侵检测的内容主要包括( ABD )。A、独占资源、恶意使用 B、试图闯入或成功闯入、冒充其他用户C、安全
8、审计 D、违反安全策略、合法用户的泄漏30、未经授权的入侵者访问了信息资源,这是( B )A、中断B、窃取C、篡改D、假冒31、甲通过计算机网络给乙发消息,说其同意签定合同。随后甲反悔,不承认发过该条消息。为了防止这种情况发生,应在计算机网络中采用( D )A、消息认证技术B、数据加密技术C、防火墙技术D、数字签名技术32、我们说公钥加密比常规加密更先进,这是因为( A )A、公钥是建立在数学函数基础上的,而不是建立在位方式的操作上的B、公钥加密比常规加密更具有安全性C、公钥加密是一种通用机制,常规加密已经过时了D、公钥加密算法的额外开销少33、下列选项中是网络管理协议的是( C )A、DES
9、B、UNIXC、SNMPD、RSA34、在公钥加密体制中,公开的是( A )。A、加密密钥B、解密密钥C、明文D、加密密钥和解密密钥35、信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。A、通信保密阶段B、加密机阶段C、信息安全阶段D、安全保障阶段36、信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。A、保密性B、完整性C、不可否认性D、可用性37、下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。A、杀毒软件B、数字证书认证C、防火墙D、数据库加密38、信息安全国家学说是( C )的信息安全基本纲领性文件。A、法国B、美国C、俄
10、罗斯D、英国注:美国在2003年公布了确保网络空间安全的国家战略。39、信息安全领域内最关键和最薄弱的环节是( D )。A、技术B、策略C、管理制度D、人40、信息安全管理领域权威的标准是( B )。A、ISO 15408B、ISO 17799/ISO 27001(英)C、ISO 9001D、ISO 1400141、计算机信息系统安全保护条例是由中华人民共和国( A )第147号发布的。A、国务院令B、全国人民代表大会令C、公安部令D、国家安全部令42、在PDR安全模型中最核心的组件是(A)。A、策略B、保护措施C、检测措施D、响应措施43、在完成了大部分策略的编制工作后,需要对其进行总结和提
11、炼,产生的结果文档被称为( A )。A、可接受使用策略AUPB、安全方针C、适用性声明D、操作规范44、互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存( C )天记录备份的功能。A、10B、30C、60D、9045、下列不属于防火墙核心技术的是( D )A、(静态/动态)包过滤技术B、NAT技术C、应用代理技术D、日志审计46、应用代理防火墙的主要优点是( B )A、加密强度更高B、安全控制更细化、更灵活C、安全服务的透明性更好D、服务对象更广泛47、对于远程访问型VPN来说,( A )产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。A、IPSec V
12、PNB、SSL VPNC、MPLS VPND、L2TP VPN注:IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。48、1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为( D )个等级,并提出每个级别的安全功能要求。A、7B、8C、6D、5注:该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监督保护级、强制保护级、
13、专控保护级。49、公钥密码基础设施PKI解决了信息系统中的( A )问题。A、 身份信任 B、权限管理 C、安全审计 D、 加密注:PKI(Public Key Infrastructure,公钥密码基础设施),所管理的基本元素是数字证书。50、最终提交给普通终端用户,并且要求其签署和遵守的安全策略是( C )。A、口令策略B、保密协议C、可接受使用策略AUPD、责任追究制度51、下面哪些操作系统能够达到 C2 安全级别?( D )、Windows 3x、Apple System 7.x、Windows NT、NetWare 3.xA、和B、和C、和D、和52、下面哪种攻击方法属于被动攻击?(
14、 C )A、拒绝服务攻击B、重放攻击C、通信量分析攻击D、假冒攻击53、下面哪个(些)攻击属于非服务攻击?( C )、邮件炸弹攻击、源路由攻击、地址欺骗攻击A、仅B、和C、和D、和54、端到端加密方式是网络中进行数据加密的一种重要方式,其加密、解密在何处进行?( D )A、源结点、中间结点B、中间结点、目的结点C、中间结点、中间结点D、源结点、目的结点55、DES 是一种常用的对称加密算法,其一般的分组长度为( C )A、32 位B、56 位C、64 位D、128 位56、下面哪个不是 RSA 密码体制的特点?( C )A、它的安全性基于大整数因子分解问题B、它是一种公钥密码体制C、它的加密速
15、度比 DES 快D、它常用于数字签名、认证57、以下哪个方法不能用于计算机病毒检测?( B )A、自身校验B、加密可执行程序C、关键字检测D、判断文件的长度58、以下关于防火墙技术的描述,哪个是错误的?( C )A、防火墙分为数据包过滤和应用网关两类B、防火墙可以控制外部用户对内部系统的访问C、防火墙可以阻止内部人员对外部的攻击D、防火墙可以分析和统管网络使用情况59、下面关于 IPSec 的说法哪个是错误的?( D )A、它是一套用于网络层安全的协议B、它可以提供数据源认证服务C、它可以提供流量保密服务D、它只能在 Ipv4 环境下使用60、关于SSL和SET协议,以下哪种说法是正确的?(
16、A )A、SSL 和 SET 都能隔离订单信息和个人账户信息 B、SSL 和 SET 都不能隔离订单信息和个人账户信息 C、SSL 能隔离订单信息和个人账户信息,SET 不能 D、SET 能隔离订单信息和个人账户信息,SSL 不能 61、EDI 用户通常采用哪种平台完成数据交换?( A )A、专用的EDI交换平台B、通用的电子邮件交换平台C、专用的虚拟局域网交换平台D、通用的电话交换平台62、关于电子商务系统结构中安全基础层的描述,以下哪种说法是错误的?( A )A、安全基础层位于电子商务系统结构的最底层B、安全基础层用于保证数据传输的安全性C、安全基础层可以实现交易各方的身份认证D、安全基础
17、层用于防止交易中抵赖的发生63、网络安全的物理安全主要包括以下(ABC)方面。A、环境安全 B、设备安全 C、媒体安全 D、信息安全64、加密可在通信的3个不同层次进行,按实现加密的通信层次来分,加密可分为(ACD)。A、链路加密 B、路由加密 C、结点加密 D、端到端加密65、以下(ABD)可以用于保证信息传输安全。A、数据传输加密技术 B、数据完整性鉴别技术C、内容审计技术D、抗否认技术66、防火墙技术根据防范的方式和侧重点的不同可分为(BCD)A、嵌入式防火墙 B、包过滤型防火墙 C、应用层网关 D、代理服务型防火墙67、防火墙的经典体系结构主要有(ABD)形式。A、被屏蔽子网体系结构B
18、、被屏蔽主机体系结构C、单宿主主机体系结构D、双重宿主主机体系结构68、Windows 2000/2003 Server中预先确定了(ABC)用户账户。A、Domain Administrator B、Guest C、Administrator D、Users二、判断题1、信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。()注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而
19、非核心。2、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。()注释:应在24小时内报案3、我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。()注释:共3种计算机犯罪,但只有2种新的犯罪类型。4、计算机的逻辑安全需要用口令字、文件许可、查帐等方法来实现。()5、代码炸弹不会像病毒那样四处传播。()6、数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证。()7、计算机网络通信安全即数据在网络中的传输过程的安全,是指如何保证信息在网络传输过程中不被泄露与不被攻击的安全。()8、通信数据加密与文件加密是同一个概念。()
20、9、微软的浏览器 IE6.0 已经避免了所有的可能的漏洞,所以最安全,应用最多。()10、DES 密码体制中加密和解密用的是相同的算法,加密和解密时所采用的密钥也是相同的。()11、RSA 密码体制只能用于数据加密和解密,不能用于数字签名。()12、只要公钥的长度选取为大于129 位,那么RSA加密就绝对安全。()13、病毒的传染性也称为自我复制和可传播性,这是计算机病毒的本质特征。()14、宏病毒只有 Word 宏病毒。()15、电子邮件病毒不具有自我复制和传播的特性。()16、网络监听不会影响进行监听的机器的响应速度。()17、扫描器是自动检测远程或本地主机安全性漏洞的程序包。()18、由
21、明文变为密文的过程称为解密()19、对称密码算法 DES 的密钥长度为 56bits。()20、数据完整性不是安全机制的内容()21、防火墙的基本构件包过滤路由器工作在OSI的应用层()22、特洛伊木马是指一种计算机程序,它驻留在目标计算机中。当目标计算机启动时,这个程序会自动启动()23、计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用的一组计算机指令或者程序代码。()24、黑客是一个非法使用网络的用户。()25、以非法身份进入网络系统、破坏网络数据的完整性是黑客攻击网络的主要手段。()26、防火墙是一个运行专门软件的计算机系统。()27、目前病毒传播的主
22、要途径是网络。()28、网上的“黑客”是匿名上网的人。()29、利用现成的软件的后门,获取网络管理员的密码行为不属于黑客行为。()30、企业内联网一般采用 CGI 加密保护的方法防止企业内部人员的 “非法入侵”。()31、电子邮件的发件人利用某些特殊的电子邮件软件在短时间内不断重复地将电子邮件寄给同一个收件人,这种破坏方式叫做蠕虫。()32、预防“ 邮件炸弹 ”的侵袭,最好的办法是使用大容量的邮箱。()33、出于安全考虑,应该删除Everyone组。()34、数据完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。()35、通常采用单一的网络安
23、全技术和网络安全产品来解决网络与信息安全的全部问题。()36、网络的安全水平是由最低安全水平的主机决定的。()37、对付被动攻击的重点是检测,而对付主动攻击的重点是预防。()38、代理服务防火墙允许外部主机连接到内部安全网络。()39、病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域属于病毒的繁殖阶段。()40、黑客也可以使用网络监听工具来监听网络。()41、IDS可识别防火墙通常不能识别的攻击,如来自企业内部的攻击。()42、快照技术是一种应急处理技术。()43、网络监听、漏洞扫描和入侵检测也是黑客常用的技术。()44、网络威胁主要有主动攻击和被动攻击两大类。()45、宏病毒在
24、适当时机可感染系统的多种类型的文件。()46、病毒扫描程序由病毒代码库和对该代码进行扫描的程序两部分组成。()47、主机过滤结构的防火墙是由一个过滤路由器和一个内部网的堡垒主机组成的。()48、计算机病毒的可攻击对象有系统内存和CMOS。()三、填空题1、信息系统安全等级保护测评准则将测评分为安全控制测试和系统整体测试两个方面。2、安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。3、1994年2月18日国务院发布计算机信息系统安全保护条例。4、信息安全策略和制定和维护中,最重要是要保证其明确性和相对稳定性。5、许多与PKI相关的协议标准等都是在X.509基础上发展起来的。6、避免对系统非法
25、访问的主要方法是访问控制。7、RSA是最常用的公钥密码算法。8、在信息安全管理进行安全教育和培训,可以有效解决人员安全意识薄弱。9、我国正式公布电子签名法,数字签名机制用于实现抗否认。10、在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。11、病毒网关在内外网络边界处提供更加主动和积极的病毒保护。12、SSL主要提供三方面的服务,即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。13、信息安全策略必须具备确定性、全面性和有效性。14、网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端
26、口、内网和外网的边界。15、采用认证技术的主要目的是验证信息的发送者是真实的而不是冒充的和验证信息的完整性,保证信息在传送过程中未被篡改、重发或延迟等。16、为了网络系统的安全,一般应在Intranet和Internet之间部署防火墙。17、数字签名最常用的实现方法建立在公钥密码体制和安全单向散列函数基础之上。18、防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登录的次数。19、防火墙一般有双穴主机、主机过滤和子网过滤结构三种体系结构。20、网络病毒的检查方法有比较法、扫描法、搜索法和分析法。21、访问控制有自主访问控制和强制性两大类。22、网络系统的安全性可包括系统的可靠性、软件
27、和数据的完整性、可用性和保密性等特征。23、安全扫描是对计算机系统或者其它网络设备进行相关的安全检测,以便发现安全隐患和可被黑客利用的漏洞。24、网络系统面临的威胁大致可分为无意威胁和故意威胁两大类。25、SSL协议主要用于加密机制。26、为了防御网络监听,最常用的方法是 信息加密 。27、当一个雇员离开公司,并且你希望阻止使用那个雇员的账户,但是仍然保留所有的权限和许可权,因此可以再次激活它,你应该 禁用 那个账户。28、使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于 拒绝服务 漏洞。四、术语解释1、远程攻击远程攻击是这样一种攻击,其攻击对象是攻击者还无
28、法控制的计算机 ;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一子网还是有千里之遥)。“远程计算机”此名词最确切的定义是 :“一台远程计算机是这样一台机器,它不是你正在其上工作的平台,而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。2、字典攻击一种强制力方法,指使用常用的术语或单词列表进行认证。例如,攻击者发现密码可能是使用传统字典加上名字列表,于是使用两个源对脆弱的密码进行攻击。3、拒绝服务攻击(DoS攻击)DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响
29、应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源变得非常渺小。 它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利
30、用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 4、黑客程序黑客程序是一种专门用于进行黑客攻击的应用程序,它们有的比较简单,有的功能较强。功能较强的黑客程序一般至少有服务器和客户机两部分。黑客程序的服务器部分实际上是一个间谍程序,黑客程序的客户机部分是黑客发动攻击的控制台。利用病毒原理以及发送电子邮件、提供免费软件等手段,将服务器悄悄安装到用户的计算机中。在实施黑客攻击时,有客户机与远程已安装好的服务器进行里应外合,达到攻击的目的。利用黑客程序进行黑客攻击,由于整个攻击过程已经程序化了,不需要高超的操作技巧,不需要高深的专业计算机软件知识,只需要一些最基本
31、的计算机知识便可实施,因此,其危害性非常大。较有名的黑客程序有 BO、YAI以及“拒绝服务”攻击工具等。5、COOKIE欺骗现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行 cookie欺骗可以有多种途径: 、跳过浏览器,直接对通讯数据改写; 、修改浏览器,让浏览器从本地可以读写任意域名cookie; 、使用签名脚本,让浏览器从本地可以读写任意域名co
32、okie;(有安全问题) 、欺骗浏览器,让浏览器获得假的域名。6、电子邮件炸弹英文是E-Mail Bomb,它是黑客常用的攻击手段。常见的情况是当某人或某公司的所做所为引起了某位黑客的不满时,这位黑客就会通过这种手段来发动进攻,以泄私愤。相对于其它的攻击手段来说,这种攻击方法可谓简单、见效快。邮件炸弹实质上就是发送地址不详,容量庞大,充满了乱码或骂人话的恶意邮件,也可称之为大容量的邮件垃圾。由于每个人的邮件信箱都 是有限的,当庞大的邮件垃圾到达信箱的时候,就会把信箱挤爆,把正常的邮件给冲掉。同时,由于它占用了大量的网络资源,常常导致网络塞车,使大量的用户不能正常地工作,所以说邮件炸弹的危害是相
33、当大的。7、计算机蠕虫计算机蠕虫是自包含的程序(或是一套程序),它能传播自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫不需要将其自身附着到宿主程序。有两种类型的蠕虫 :主机蠕虫与网络蠕虫。(1)主机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将其自身拷贝到其它的计算机中,主机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身。(因此在任意给定的时刻,只有一个蠕虫的拷贝运行。) 这种蠕虫有时也叫“野兔”。(2)网络蠕虫由许多部分组成,而且每一个部分运行在不同的机器上(可能进行不同的动作)并且使用网络来达到一些通信的目的。从一台机器上繁殖一部分到另一台机
34、器上仅是那些目的的一种。网络蠕虫有一主段,这个主段与其他段的工作相协调匹配,它有时被叫作“章鱼”。8、网络欺骗网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要) ,并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。网络欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法
35、,最早采用的网络欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方,以诱使入侵者上当。9、公钥基础设施(PKI,Public Key Infrastructure)公钥基础设施(PKI)系统以公钥加密理念为基础,为用户对数据进行加密和有效地交换密钥时提供了公钥的标准和管理方式。PKI架构由因特网标准小组和美国国家标准机构(NIST)共同制定。在诸如因特网之类非安全的公共网络中,PKI通过使用从可信任权威机构获得的公钥和私钥加密密钥对可支持用户对数据和资金进行安全和专用传输。10、网络防火墙(Network Firewall)网络防
36、火墙(Network Firewall)是一个基于网络的防火墙设备,其从未被授权的访问中保护一个计算机网络。网络防火墙可能是硬件设备,软件程序或两者的结合。通常,一个网络防火墙保护一个内部计算机网络不受外界的恶意访问;然而,网络防火墙可能也被设定来限制内部用户到外部的访问。可能最常用形式的网络防火墙是一个代理服务器。代理服务器作为内部网和因特网计算机之间的一个媒介,通过接收和选择性地在这个网络边界的数据分组。网络防火墙可能也通过对外部因特网隐藏LAN地址来提供额外的安全功能。在代理服务器防火墙环境中,来自多种客户机的网络请求在外界看起来好像所有都是来自相同的代理服务器地址一样。11、数据加密算
37、法(DEA,Data Encryption Algorithm)数据加密算法(DEA)是被定义作为美国政府数据加密标准的一部分的对称块密码。DEA使用一个64位的密钥,其中的56位是独立选择的,8位是校验位,和映射一个64位块到另一个64位块。12、数据加密标准(DES)数据加密标准(DES)是美国的一项很长的加密标准,使用了ANSI利用标准进行规定的对称密钥加密法,ANSI于1981年制定了ANSI X.3.92. DES对此种加密方法进行了规定:需要使用56位的密钥和密码块方式,即将文本按64位大小分成若干份,然后对它们进行加密。在这种算法中可以使用的密钥数为7.21015。同其它私钥加密
38、法一样,使用这种加密方法的发送者和接收者都必须知道并能够使用这种私钥。13、公钥加密算法(RSA,Rivest-Shamir-Adleman)RSA 公钥加密算法是由Ron Rivest,Adi Shamir和Leonard Adleman于1977年发明的一种运算法则,它是一个网络加密和提供认证的系统。RSA加密算法是目前应用最广泛的公钥加密算法,特别适用于通过Internet 传送的数据。目前已被Microsoft和Netscape网络浏览器及其它的许多产品所应用。五、问答题1、网络安全的基本体系包含哪几个部分?答:网络安全的基本体系由物理安全、信息安全和安全管理三部分组成。2、代理服务型
39、防火墙和包过滤型防火墙的主要缺点各是什么?答:代理服务型防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理服务型防火墙就会成为内外部网络之间的瓶颈。包过滤型防火墙的主要缺点是:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大影响;由于缺少上下文关联信息,因此不能有效地过滤如UDP、RPC一类的协议;另外大多数过滤器中缺少审计和报警机制,它只能依据报头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。3、请简要说明被动攻击和主动攻击。答:被动攻击
40、:攻击者通过监视所有信息流以获得某些秘密。这种攻击可以是基于网络或基于系统的。被动攻击是最难被检测到的,故对付这种攻击的重点是预防,主要手段如数据加密等。主动攻击:攻击者试图突破网络的安全防线。这种攻击涉及到修改数据流或创建错误流,主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这种攻击无法预防,但却易于检测,故对付的重点是检测,主要手段如防火墙、入侵检测技术等。4、目前的网络基本安全技术有哪些?答:目前的网路基本安全措施有数据加密、数字签名、身份认证、防火墙和入侵检测等。5、什么是入侵检测?它的基本用途是什么?答:入侵检测是指监视或者在可能的情况下,阻止入侵或者试图控制自己的系统或者网络资源的那种努力。入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。6、数字签名的可靠性一般原则有哪些?答:(1)签字是可以被确认的;(2)签字是无法被伪造的;(3)签字是无法重复使用的;(4)文件被签字以后是无法被篡改的;(5)签字具有无可否认性。10
浙ICP备2021020529号-1 | 浙B2-20240490 
