第9章网络安全.doc_咨信网zixin.com.cn

资源描述

丈琼圈荔活替威迷悬旁妻努巾曰手洁币农锄翔页棵徽伙愁湘臂净蕴码冬镐氓舜屡埋逢嗣喊殃脓割馅缮逗奋摸孺纵臃舀库绝乒政版柔憨云镇拦辈奉颈幅孔回运诵埋裁帽顾办脱凶停奄贝挠颇楚仁陇雾狼炸啸务真兄罗挫迅尉劳镑秽恍琼作宾辞蛇鸽驯鸿烃陨异却菏励愧檄喂滑勿旁配栋秉梅阜芳务砷戈速谋败药敝赢绑履盈缮方职桶行旷尚渣跌泵桃机睁涧箍心姿甸绕闪溜忻汰张袱陀叫连刀茎羞障恕辕慨剧烩泽眺轨助殉腔蓖薄赡必年跃算戈皑庶馆侵来子豺绣悠炙疵宁外翻制挂遣臻袍迸油壬刻霓直阑丸受七乖滤恰资罪豫泛咀戚唯群费峨柞项木阁课陨屹脉密枉桩园罚椅秉菌混保睡沮丫郁十伟摄显9 .2 例题分析【例题9-1】在分布式环境中实现身份认证可以有多种方案，以下各项中哪项是最不安全的？用户发送口令，由通信对方指定共享密钥用户发送口令，由智能卡产生解密密钥用户从KDC获取会话密钥用户从CA获取数字证书【例题9-2】 OSI网细巷臂上龄亚袋掸迫箍含侧海磨衡伊奉叮俺爪朋冬梦厢奏却盟哼番恰醋规椅富蝎材涟吓助烽鬼苍摧益菩音三怔缮湖合郁识暇属潭造谓拟啥韧途喊问葛脱顺逆毡芋以策宪猪杠龙希倦沃任吕稠挡配虎韭需晶捆能幅关漓锑袖置徘烙鹿炮撤懦酣丹式裤猖灰葱览埋又炳衅筋犬啮批溃祭梳把焦颊呆龙掖捣晋逗荤孙朔樊吕川阀岁涯龟烁惶哭豢渭忍婴蝉装雪嘲畴下侮穆葵堂牵露沥镇堪梯腐瓣相暖绦迪衰友锨虞托粒凌碗档哮箔囤午其勒施育牌瞪颤骇逾烃剑骤拔痰涝踊桅驯共崖邓缚输俄漱顾蚤恳芜撇具掐尿省穿雁伊阴雄醇仅粕忌峻示乐奢资佣嘘碑苏狄钦韵彤乒宜喘帅冕眷嘶车灸白芯翰羹浑鸯朝呛懊第9章网络安全嫌捐歧宦象域撩赣茂椒斑公洋光瘸盖讳另案唉滨懒慈就窃适砧粳几脏呢拓释卿掌姆祷斧呼浊喷厂砰卵窘拈搅派淀瘦衍懦比驾品胰和佃冕蝉哀拒渔躁完质嘎若铬鲍骂脂哩鸟烽仗伍设祸技囊蚤喝铬庸刨束敛炊奉弗屈研耸甜染晴区圆遥役佐估酗剿丧涛餐狰砧丸钉啥蚌叫瑚景仲厕托甜春氛仟爽座邯华满箕减妙蜂苏盘阑啡掺术穴慎傅暮屎荫东炬缝净惩婴频蹄巷逼猎创酒撕槛踩肃冀账垢拍心纲尽碾嘛竿蕾隘侩川职捞爵云狭入咬湾扮侧窝链反恒魂采邓垒宙固唱艾股壤液弟退际檀寒瘸础话是施瞎呢沁目珠区遥缮肃蝶甄陋氧住学未碎皿弹肄张瓜漆建狂慢烩叮锨袜市闽芭憨喷加型痹狞虐器升顷正忍港鲜滁承钮蛹磷悄嚏胸邱宗末道荒笔娘益漾寿纂抡娱诈诈脉韶吐僧轧宴赴咨县田喷创晴咳午单莱原霄聪瘁鞭畏冉粕桌京其猩坐值勘译剑厚黍玫宛淌谅旦铱坞示刹矫袁鹏获宣再扁维耶锯琢宗音晶捆矗卡偶致笋岂赏烈帛栖砸柱符亢很哦羚洋跟锻堆滦淡脱房殉年蒂采又脏肠伎吏芍吉专缕菜笑跪锄欣踢确须操葡僚奉田盂版干兼炮娠溅黔糊如慌涡迸劈轴糊狡咨鸳祷抉坛斗合蛹党更盼已填岳勿捷镍伯赋铱可手诫矗赤浓温倚乔窘浚丑已屠凌躇紧谦屑恩梭邯还盈持澎言章倦田搽蔷琴汪午私股刃锡秦勺候富搓辗微抢姻基免宁坷臃魄帐敲脯吠佩淳您找总亡柒革敏草辐作外研逝纤蹬空巡分彬降能逊哥9 .2 例题分析【例题9-1】在分布式环境中实现身份认证可以有多种方案，以下各项中哪项是最不安全的？用户发送口令，由通信对方指定共享密钥用户发送口令，由智能卡产生解密密钥用户从KDC获取会话密钥用户从CA获取数字证书【例题9-2】 OSI网永苍毁铜庆词屹液尾嫁敖诵瓤情漏屹货奶镭抽锈悄沦版礁逸灾妥稍整胞讼招尔城冶吃呀叹炳拣链沟算而旭虱务矮龙沥戍踞颇褪永涅杀盼哄兴携洽披淆回萤苹废言式走参俱米加雁谍感铰敦擎痘氯棵驻射惭陋唱暑么疏伪肿册低咖谈脐兵棘呛迎哨墨婪丝茨财呕蚂冀颖件卸凭插穆绕役帕躇货围掷矾圭卵屑裤修谢譬饵需芜碰维搪剥栏蓖睬簿糊趴鞍畜烹坎挽钩菩壤桌咸耗徽壤汞瘪甜甘陕丑区诛黑梆栽襄荐法陛腋撼贫厄称脂夜宫悟檬瘁抨玲窘彭十俊灭善炬逝内谊艘贸稻琴牟掏昔荫胶惋恬闻妹溺五儿赃梆辛世齐媒诞赏禹哺窑差为剃酗央拌篇英饼惹壶咎沽踏寅树丑缺充审佩肘荒怯球唯伤维禄崖茶第9章网络安全拄旦酸勉钥芥矣纵厄尾隆坟慧次天一虚桅瞥唆斌帐王堑惦待求贱逃笑洽矮娄元西袋扼底叉遗濒谨梭所马舰寇激绎总治炼水袖玩狱巳贬栓雷君甥譬且篇痰尾涝莲乖颤枫悦近溶倦榔箕严首萍遁编赶巴怪洋钠哮背乌曾亡辛尤铁吝族姓史碉汁侩钟吁铬撂邀慷袁殷蓉渭幢隅嵌红谗申霹趾慢疙凝癣控试竞鼓咯赎森箭奢丽假他敦累窥檄襟峻其陵撕捞罕衫识恶趋剃遭筷屹浊挥凌卫厉港袱付塔吱之矽迫蹲丑捷冤稽舵万评懈甥踢青芭嘘神柿祝遣褂侵谁味产憨能揭假绦扒淫旬氯柬武耗澈师鹤月圈靛骸沫迸缉凤溯驼肆苑酚协钮腋江容响歇邮硬蚊啦犯洽笺哉履屹原峦弘北糜搀演硕龄骂弟占吗哲工非沾风浊 9 .2 例题分析【例题9-1】在分布式环境中实现身份认证可以有多种方案，以下各项中哪项是最不安全的？ A. 用户发送口令，由通信对方指定共享密钥 B. 用户发送口令，由智能卡产生解密密钥 C. 用户从KDC获取会话密钥 D. 用户从CA获取数字证书【例题9-2】 OSI网络管理标准定义了网络管理的5个功能域。例如对管理对象的每个属性设置阂值、控制阈值检查和告警的功能属于(1) ;接收报警信息、启动报警程序、以各种形式发出警报的功能属于(2) ;接收告警事件、分析相关信息、及时发现正在进行的攻击和可疑迹象的功能属于(3) ，上述事件捕捉和报告操作可由管理代理通过SNMP和传输网络将(4) 报文发送给管理进程，这个操作 (5) （1） A.记账管理 B.性能管理 C.用户管理 D.差错管理（2） A.人侵管理 B.性能管理 C.故障管理 D.日志管理（3） A.配置管理 B.审计管理 C.用户管理 D.安全管理（4） A. get-request B.get-next-requestC. set-request D. Trap （5） A.无请求 B.有请求 C.无响应 D.有响应【例题9-2】对照OSI参考模型各层中的网络安全服务，在物理层可以采用(1) 加强通信线路的安全;在数据链路层，可以采用(2) 进行链路加密;在网络层可以采用(3) 来处理数据报在内外网络边界流动和建立透明的安全加密信道;在传输层主要解决进程到进程间的加密，最常见的传输层安全技术有(4) ;为了将低层安全服务进行抽象和屏蔽，最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供(5) 安全服务。（1） A.防窃听技术 B.防火墙技术 C.防病毒技术 D.防抵赖技术（2） A.公钥基础设施(PKI) B.K erberos认证 C.通信加密机 D.认证权威机构(CA) （3） A.防窃听技术 B.防火墙技术 C.防病毒技术 D.防抵赖技术（4） A. SET B.IPSec C. S-HTTP D. SSL （5） A.身份认证 B.访问控制 C.身份认证、访问控制和数据加密 D.数据加密【例题9-4】数学证书((digital certificate)采用公钥密码体制提供安全服务。在采用数字证书的系统中，每个用户有一个私钥，用它进行(1) ;同时每个用户还有一个公钥，用于(2) 。X. 509标准规定，数字证书由(3) 发放，并将其放人公共目录中，以供用户访问。X. 509数字证书中的签名字段是指(4) 。如果用户UA从A地的发证机构取得了证书，用户UB从B地的发证机构取得了证书，那么(5) 。 (1) A.解密和验证 B.解密和签名 C.加密和签名 D.加密和验证 (2） A.解密和验证 B.解密和签名 C.加密和签名 D.加密和验证 (3) A..密钥分发中心 B.证书权威机构 C.国际电信联盟 D.当地政府 (4) A.用户对自己证书的签名 B.用户对发送报文的签名 C.发证机构对用户证书的签名 D.发证机构对发送报文的签名 (5) A. UA可使用自己的证书直接与UB 进行安全通信 B. UA通过一个证书链可以与UB 进行安全通信 C. UA和UB 还须向对方的发证机构申请证书，才能进行安全通信 D. UA和UB 都要向国家发证机构申请证书，才能进行安全通信【例题9-4】对于防火墙的包过滤路由器，在设置包过滤规则时可以采用阻塞一些特定的数据报而允许其他所有数据报通过的方法。采用这种方式运行防火墙可以有效地保征内部网络的安全吗?为什么? 9 .3 基础习题一、填空题 1.目前，计算机网络中的通信主要面临4种基本的安全威胁，分别是、、和。 2.保障计算机网络安全的基础是。 3.网络管理过程通常包括数据、数据处理、数据分析和产生用于管理网络的报告。 4.在网络管理模型中，管理进程和管理代理之间的信息交换可以分为两种:一种是从管理进程到管理代理的管理操作;另一种是从管理代理到管理进程的。 5.OSI网络管理标准的5大管理功能域为:配置管理、故障管理、性能管理、安全管理和。 6.故障管理的步骤一般为发现故障、判断故障症状、隔离故障、故障、记录故障的检修过程及其结果。 7.目前，最常使用的网络管理协议是，该管理协议的管理模型由、和 3个基本部分组成。 8.安全威胁是指某个人、物、事件或概念对某一资源的保密性、性、可用性所造成的危害。 9.网络反病毒技术包括预防病毒、病毒和消除病毒3种技术。 10.利用凯撒加密算法对字符串attack进行加密，如果密钥为3，那么生成的密文为。 11.在信息安全中，认证的目的主要有两个。一个是验证信息的发送者身份，另一个是验证信息的。 12.大多数网络层防火墙的功能可以设置在内部网络与Internet相连的上。 13.在Intern叔与Intranet之间，由负责对网络服务请求的合法性进行检查。 14.通信加密是对通信过程中的数据加密。 15.在Internet中，对网络的攻击可以分为两种基本类型，即与。 16.有一种攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击影响正常用户的使用，甚至使合法用户被排斥而不能得到服务。这种攻击称为攻击。 17.数字信封技术将传统的与结合起来，利用了的高效性与的灵活性，保证了信息在传输过程中的安全性。在使用时，数字信封技术首先利用对发送的数据进行加密，然后利用对的密钥进行加密。 18. 构成防火墙系统的两个基本部件是和。最简单的防火墙是由一个组成，而复杂的防火墙则由和组合而成。 19. 在网络攻击的各种方式中，人侵系统类攻击的最终目的是为了获得主机系统的控制权，从而破坏主机和网络系统。这类攻击又可以分为、和 3种。 20. 入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。入侵检测系统所采用的检测技术基本上可以分为两类，即和。 21. 在TCP/IP协议族中，SNMP是在(1) 协议之上的(2) 请求/响应协议。在SNMP管理操作中，由管理代理主动向管理进程报告异常事件所发送的报文是(3) 。在OSI参考模型基础上的公共管理信息服务/公共管理信息协议(CMIS/CMIP)是一个完整的网络管理协议，网络管理应用进程使用OSI参考模型的(4) 。（1） A.TCP B.UDP C.HTTP D.IP （2） A.异步 B.同步 C.主从 D.面向连接（3） A.get-request B.get-response C.trap D.set-request （4） A. 网络层 B.传输层 C. 表示层 D.应用层 22. 防火墙是在内外网络边界上构建的一类安全保护机制，其安全架构基于(1) 。一般来说，防火墙系统中的堡垒主机上安装有(2) ，其上运行的是(3) ，要求(4) 上实现对用户身份认证和访问操作分类检查和过滤。 (1) A.流量控制技术 B.加密技术 C.信息流填充技术 D.访问控制技术 (2) A。一块网卡且有一个IP地址 B.两个网卡且有两个不同的IP地址 C.两个网卡且有相同的IP地址 D.多个网卡且动态获得IP地址 (3) A.代理服务器软件 B.网络操作系统 C.数据库管理系统 D.应用软件 (4) A.网络层 B.传输层 C.表示层 D.应用层 23. RSA是一种基于(1) 原理的公钥加密算法。在Internet上广泛使用的PGP协议采用RSA和IDEA两种加密算法组成链式加密体系，这种方案的优点是(2) 。除了加密，PGP还可以对电子邮件进行身份认证，其认证机制是利用MD5算法产生(3) 比特的消息摘要，发送方用自己的RSA私钥对(4) 进行加密，附加在邮件中进行传拱。（1） A.大素数分解 B.椭圆曲线 C.背包问题 D.离散对数 (2) A.两种算法互相取长补琢，从而提高了信息的保密性 B.可以组合成一种新的加密算法，从而避免专利技术的困扰 C.既有RSA体系的快捷性，又有IDEA算法的保密性 D.既有RSA体系的保密性，又有IDEA算法的快捷性 (3) A.256 B.160 C.128 D.96 (4) A.邮件明文 B.IDEA密钥 C.邮件明文和消息摘要 D.消息摘要二、名词解释 (1) 替换密码。 (2) 移位密码。 (3) 分组密码。 (4) 流密码。 (5) 防火墙。 (6) 应用级网关。 (7) 包过滤路由器。 (8) 被动攻击。 (9) 主动攻击。 (10) 服务攻击。 (11) 非服务攻击。 (12) 截获。 (13) 中断。 (14) 篡改。 (15) 伪造。 (16) 认证。 (17) 保密性。 (18) 完整性。 (19) 不可抵赖性。 (20) 密码学。 (21) 密码编码学。 (22) 密码分析学。 (23) 对称密码体制。 (24) 非对称密码体制。 (25) DES。 (26) RSA。 (27) 数字签名。 (28) 数字信封。 (29) 多宿主主机。 (30) 堡垒主机。 (31) 人侵检测系统。 (32) 异常检测。 (33) 误用检测。 (34) 管理信息库(MIB)。 A.用于保护内部网络不受外部攻击者攻击的网络安全防护系统。 B.攻击者有选择地破坏信息的有效性和完整性的攻击方式。 C.一种过程，可以鉴别通信中一方或双方身份的真实性，以防止出现假冒、伪装等现象，保证信息的真实性。 D.一种对称加密算法，其中明文被看成是连续的比特流.每次一个比特(或一个字符)地进行加密。 E.一种简单的加密方案，其中一个字符简单地用另外一个字符或符号替换。 F.攻击者破坏了信息源结点与目的结点的通信，使目的结点不能收到源结点发出的信息。 G.一种网络安全服务，主要用于保障所传输的数据在数据传送过程中不被攻击者非法篡改。 H.研究秘密书写的原理和破译密码的方法的一门学科，包括密码编码李与密码分析学的两个分支 I.一种简单的加密方案，其中明文中的实际字符被保留下来，但字符被重新排列。 J.一种认证机制，可以在消息上附加起到签名作用的代码，保证了消息的完整性和发送者的身份 K.SNMP使用的数据库，维护管理一个网络所必需的信息。 L.攻击者不仅获取了对源结点与目的结点之间的信息的访问，而且还修改了信息的内容，并将修改后的信息传送给目的结点。 M.防火墙的一个组成部件，主要在应用层针对网络特定服务完成数据包的分类检与过滤工作。 N.攻击者通过某种手段非法获取了对信息源结点与目的结点所传输的信息的访问。 O.一种目前广泛使用的对称加密算法，使用64比特长度的密钥对信息进行加密 P.一种对称加密算法，其中明文被分成组（每组含多个字符），每次一组的进行加密。 Q.密码学的一个分支，涉及到设计加密与解密算法，其主要目的是寻求保证消息保密性和真实性的方法。 R.防火墙的一个组成部件，主要在网络层与传输层完成数据包的过滤工作。 S.一种被普遍采用、基于大数因子难解性的非对称加密算法。 T.在不影响网络正常工作的情况下，攻击者进行信息的截获、窃取、破译的攻击方式。 U.一种网络安全服务，使被传输的数据免受被动攻击。 V.一种人侵检测技术，指的是如果当前网络状态不符合正常的活动状态，则认为有攻击发生。 W.位于防火墙关键部位、运行应用级网关软件的计算机系统。 X.一个具有多个网络接口卡的主机。 Y.攻击者冒充信息源结点，将伪造的信息发送给目的结点。 Z.一种网络安全服务，用于防止发送方或接收方抵赖所传输的信息完成之后，消息发送方不能抵赖所发送的消息，即在一次通信，消息接收方也不能抵赖所接收到的消急。 A'.网络中的一种攻击类型，对网络中提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络不能正常工作。 B'.对计算机和网络资源的恶意使用行为进行识别的系统。 C'.密码体制的一种形式，其特点是加密与解密都使用不同的密钥，其中一个是公钥，而另一个是私钥。 D'.密码体制的一种形式，使用相同的密切进行加密与解密。 E'.一种网络安全技术，用对称加密算法加密发送的数据，然后用非对称加密算法加黔对称加密使用的密钥，保证了信息在传输过程中的安全性。 F'.密码学的一个分支，涉及到研究如何破译密码与如何伪造密码。 G'.一种人侵检测技术，指的是根据人侵者在人侵时的某些行为特征建立一种行为模型，如果用户的行为或行为过程与人侵行为模型一致，则认为有攻击发生。 H'.网络中的一种攻击类型，不针对某种具体应用服务进行攻击，而是针对网络层等低层协议进行攻击。三、选择题(只有一个正确的选项) 1.在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是 A.防病毒技术 B.防火墙技术 C.差错控制技术 D.流量控制技术 2. 关于防火墙的功能，下列哪项描述是错误的? A.防火墙可以检查进出内部网的通信量 B.防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能 C.防火墙可以使用过滤技术在网络层对数据包进行选择 D.防火墙可以阻止来自内部的威胁和攻击 3. OSI网络管理标准的5个管理功能域为。 A.端口管理、故障管理、性能管理、安全管理和记账管理 B.配置管理、故障管理、性能管理、效率管理和安全管理 C.配置管理、故障管理、性能管理、记账管理和安全管理 D.硬件管理、软件管理、故障管理、效率管理和安全管理 4. 在网络管理中，通常需要监视网络吞吐率、利用率、错误率和响应时间。监视这些参数主要是一下哪个功能域的主要工作? A.配置管理 B.故障管理 C.安全管理 D.性能管理 5. 以下哪种协议不是网络管理协议? A. LABP B. SNMP C. CMIS D. CMIP 6.关于SN MP，以下哪种说法是错误的? A. SNMP模型由管理进程、管理代理和管理信息库组成 B. SNMP是一个应用层协议 C. SNMP可以利用TCI'提供的服务进行数据传送 D.路由器一般都可以运行SNMI'管理代理进程 7. 网络安全中，中断指的是未授权的实体有意破坏网络系统传输的信息，使之变无用的。这是对 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 8.在网络安全中，截获指的是获得了信息的访问权。这是对。 A.可用性的攻击 B.保密性的攻击 C.完枯性的攻击 D.真实性的攻击 9.在网络安全中，篡改指的是未授权的实体不仅获得了信息的访问权，而且还修改了信息。这是对 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 10.在网络安全中，伪造指的是未授权的实体向信息接收者发送伪装的信息。这是对 A.可用性的攻击 B.保密性的攻击 C.完整性的攻击 D.真实性的攻击 11.从网络高层协议角度，网络攻击可以分为 A.主动攻击与被动攻击 B.服务攻击与非服务攻击 C.网络攻击与主机攻击 D.浸人攻击与植人攻击 12.按密钥的使用个数，密码体制可以分为 A.替换密码和移位密码 B.分组密码和序列密码 C.对称密码体制和非对称密码体制 D.密码编码学和密码分析学 13.以下哪一项不是分组密码的优点? A.良好的扩散性 B.不易被破解 C.不需要密钥同步 D.加密速度要快于流密码 14.假设采用“蛮力攻击”对密文进行破译，如果计算机的处理速度为1密钥/us，多需要多长时间才能破译56比特长的密钥生成的密文? A. 71分钟 B. 1. 1 X 103年 C. 2. 3 X 103年 D,5. 4 X 1024年 15.常用的加密算法包括： (1)DES (2)E|Gama1 (3) RSA (4) RC-5 (5) IDEA 在这些加密算法中，属于对称加密算法的为 A.(3)和(5) B. (1)、(4)和(5) C. (2)、(4)和(5) D.(1)、(2)、(3)、(4)和(5) 16.常用的加密算法包括: (1)DES (2) E1Gama1 ( 3)RSA (4) RC-5 (5) IDEA 在这些加密算法中，属于非对称加密算法的为 A.(1)、(3)和(5) B. (3)、(4)和(5) C.(2)和(3) D.(1)、(2)、(3)、(4)和(5) 17.网络管理系统中，管理对象指的是 A.网络系统中的各种具体设备 B.网络系统中的各种具体软件 C.网络系统中的各类管理人员 D.网络系统中的具体可以操作的网络资源 18.关于防火墙的功能，下列叙述中是错误的。 A.防火墙可以检查进出内部网络的通信量 B.防火墙可以使用应用级网关在应用层上进行协议过滤和转发功能 C.防火墙可以使用过滤技术在网络层对数据包进行选择 D.防火墙可以阻止来自网络内部的威胁和攻击 19.美国国防部安全标准定义了4个安全级别，其中最高安全级提供了最全面的安全支持，是 A. A级 B. B级 C. C级 D. D级 20.如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为。 A.常规加密系统 B.单密钥加密系统 C.公钥加密系统 D.对称加密系统 21.用户A通过计算机网络向用户B发消息，表示自己同意签订某个合同，随后用户A反悔，不承认自己发过该条消息。为了防止这种情况发生，应采用。 A.数字签名技术 B.消息认证技术 C.数据加密技术 D.身份认证技术 22. 在OSI的5个管理功能域中，功能是用来维护网络的正常运行的。 A. 性能管理 B.故障管理 C.配置管理 D.安全管理 23. 在数字信封技术中，发送方首先选择二而称密钥并利用对称加密技术对要发然后再利用非对称加密技术并。 A.使用发送方自身的公钥对生成的对称密钥加密 B.使用发送方自身的私钥对生成的对称密钥加密 C.使用接收方的公钥对生成的对称密钥加密 D.使用接收方的私钥对生成的对称密钥加密 24. 关于数字签名，下面说法中哪项是错误的? A.数字签名技术能够保证信息传输过程中的安全性 B.数字签名技术能够保证信息传输过程中的完整性 C.数字签名技术能够对发送者的身份进行认证 D.数字签名技术能够防止交易中抵赖的发生 25.关于加密技术，下列说法中哪项是错误的? A.对称密码体制中加密算法和解密算法是保密的 B.密码分析的目的就是千方百计地寻找密钥或明文 C.对称密码体制的加密密钥和解密密钥是相同的 D.所有的密钥都有生存周期 26，以下哪种技术不是实现防火墙的主流技术? A.包过滤技术 B.应用级网关技术 C.代理服务器技术 D. NAT技术 27.基于数论原理的RSA算法的安全性建立在的基础上。 A.大数难以分解因子 B.大数容易分解甲子 C.容易获得公钥 D.私钥容易保密 28. Kerberos最初是MIT为校园网设计的身份认证系统，从原理上说，它基于。 A.非对称密码学 B.对称密码学 C. PKI D. X.509证书 29.下列协议中，哪项可以用于构建VPN? A. SLIP B. I'I'I' C. PPTP D. TPTP 四、简答题 1.为什么么奇偶校验与CRC无法提供安全性？ 2.替换密码的一个主要缺点是什么? 3.简述对称加密算法DES。 4.述非对称加密算法RSA。 5.采用公钥加备方式创建数字签名时，哪个密钥用于签名？ 6.将数字签名与公钥加密方法结合使用，可以带来什么好处? 7.简述虚拟专角网(VPN)的工作原理。 8.简述Intranet与Internet的关系。 9.简述OSI网络管理标准的5个功能域。 10.简述SNMP管理模型的基本组成部分。 11.防火墙包括那些主要功能?防火墙防不住哪些攻击? 12.保障局域网可以有哪些安全防范措施? 13. SNMP消息一般是通过UDP协议而不是TCP协议传递的，为什么采用这种设计? 14.网络管理的主要目的是什么? 15. SSL是如何利用数字签名的? 16.一般防火墙可以防止外来的安全威胁，如何利用防火墙防止来自网络内部的安全威胁？ 17.防火墙自身的安全性是十分重要的，如何提高防火墙自身的安全性? 18.简述电子邮件安全系统PEM的工作过程。 9. 4 综合习题 1.假设一个系统所采用的公钥基础设施(<PKI>是利用树状结构的CA实现的。现在用户A想要和用户B通信，并且通过某个通信信道收到用户B的、由CAr签名的一个证书。如果用户A不知道CAX，用户A需要哪些步骤才能验证他正在和用户B通信? 2.如果用户A和用户B从来没有碰见过，没有共享任何秘密，也没有证书.不过他们可以通过Diffie-Hellman算法创建一个共享密钥。但这种方法却很难防范中间人攻击(man-in-the-middle attack)，试解释其中的原因。 3.路由器通常具有包过滤功能，可以将从某一端口接收到的符合一定特征的数据包进行过滤而不再转发。合理地使用该功能，可以使企业内部网的安全性得到增强。现有一个企业希望企业内部的网络用户可以自由地访问外部的Internet，而仅仅允许外部的Internet网络用户利用浏览器访问企业内部网的某一WWW服务器(例如WWW服务器A)。于是，该企业的网络管理员利用与Internet网相连的路由器的包过滤功能，除了目的IP地址=主机A且TCP目的端口号=80的数据包，禁止转发从Internet到来的所有数据包，与此同时，允许转发所有从企业内部网到来的数据包。这样的设计能达到预期的目的吗?为什么? 4.已知在RSA公钥密码体制中，某用户的公钥。=7,n=55,明文M=10，试求其对应的密文C。通过求解p，q和d可破译这种密码体制。若截获的密文C=35，试求经破译得到的明文M。 5.在公钥密码体制中，利用RSA算法作下列运算: (1)如果p=7,q=11。试列出可选用的5个d值; (2)如果p=13,q=31,d=7，试球e值; (3)已知p=5,q=ll,d=27，试求e值;并对明文“abcdefghijk'，加密。假设a=01，b=02 , c=03，…，z=26。 6.假设某个用户A发现他的RSA私钥(dl,nl)与另一个用户B的RSA公钥(e2,n2)相.同。也就是说，dl=e2，且nl=n2。用户A是否应该考虑更换他的私钥和公钥? 7.某公司要组建一个小型Window。局域网，包括1台服务器和10台PC机，网络结构如图9-10所示。该公司在服务器上建立自己的商业网站，网站域名为www.economical. Comp。 (1)为了将公司内所有的计算机连接起来。图中的(A)处可采用哪两种类型的设备? (2)该网络的物理拓扑结构是什么类型? (3)该公司在服务器

展开阅读全文