网络信息安全课后习题答案.doc

网络信息安全课后习题答案.doc

《网络信息安全课后习题答案.doc》由会员分享，可在线阅读，更多相关《网络信息安全课后习题答案.doc（7页珍藏版）》请在冰点文库上搜索。

一：

1.信息安全根源：

①网络协议的开放性，共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。

2.网络信息系统的资源：

①人：

决策、使用、管理者②应用：

业务逻辑组件及界面组件组成③支撑：

为开发应用组件而提供技术上支撑的资源。

3.信息安全的任务：

网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用；信息安全的任务是保障信息在存储、传输、处理等过程中的安全，具体有机密性、完整性、不可抵赖性、可用性。

4.网络安全防范体系层次：

物理层、系统层、网络层、应用层、管理层安全

5.常见的信息安全技术：

密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。

二：

1.简述对称加密和公钥加密的基本原理：

所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密，或虽不相同，但可由其中任意一个很容易推出另一个；公钥加密使用使用一对唯一性密钥，一为公钥一为私钥，不能从加密密钥推出解密密钥。

常用的对称加密有：

DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES

常用的公钥加密有：

RSA、Diffie-Hellman密钥交换、ElGamal

2.凯撒密码：

每一个明文字符都由其右第三个字符代替

RSA：

①选两个大素数pq②计算n=pq和ψ（n）=（p-1）（q-1）③随机取加密密钥e，使e和ψ（n）互素④计算解密密钥d，以满足ed=1modψ（n）⑤加密函数E（x）=memodn，解密函数D（x）=cdmodn，m是明文，c使密文⑥{e，n}为公开密钥，d为私人密钥，n一般大于等于1024位。

D-H密钥交换：

①A和B定义大素数p及本源根a②A产生一个随机数x，计算X=axmodp，并发送给B③B产生y，计算Y=aymodp，并发送给A④A计算k=Yxmodp⑤B计算k’=Xymodp⑥k，k’即为私密密钥

三：

1.PKI是具普适性安全基础设施原因（p21）：

①普适性基础②应用支撑③商业驱动。

2.PKI组件（p24）：

认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。

3.PKI核心服务（p26）：

①认证：

向一个实体确认另一个实体确实就是用户自己②完整性：

向一个实体确保数据没有被有意或无意地修改③机密性：

向一个实体确保除了接受者，无人能读懂数据的关键部分。

4.PKI的支撑服务（p27）：

安全通信、安全时间戳、公证、不可否认、特权管理。

5.密匙和证书管理阶段（p34）：

①初始化阶段：

终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段：

证书检索、证书验证、密匙恢复、密匙更新③取消阶段：

证书过期、证书撤消、密匙历史、密匙档案。

6.PKI信任模型（p41）：

严格层次结构、分布式信任结构、WEB模型、以用户为中心的信任。

7.证书撤销方法（p38）:

①周期发布机制：

证书撤销列表、完全CRL②在线证书状态协议（OCSP）。

8.PKI框架图：

SSL/TSL

IPSec

S/MIME

其他

依赖于PKI的标准

X.509,PKCS,PKIX

定义PKI的标准

四：

1.IPSec协议的隧道模式与传输模式有何区别？

如何实现？

（p46）

它们所保护的内容不同，传输模式保护的只是IP的有效负载，而隧道模式保护的是整个IP数据包。

AH和ESP都支持这两种模式，存在四种形式。

AH传输模式AH隧道模式ESP传输模式ESP隧道模式。

2.简述ESP和AH在中IPSec的作用，它们能否同时使用？

（p45）

AH为IP数据包提供3种服务，即无连接的数据完整性验证、数据源身份认证和防重放攻击；ESP除了为IP数据包提供AH已有3种服务外，有还提供数据包加密、数据流加密；可以同时使用，不过AH提供的验证服务要强于ESP。

IPSec安全体系：

IPSec安全体系

ESP协议

AH协议

加密算法

验证算法

DOI

IKE协议

3.SSL结构及相关协议的功能（p48）

SSL握手协议

SSL修改密码规格协议

SSL告警协议

HTTP

LDAP

SSL记录协议

TCP

UDP

SSL握手协议（p50）：

在实际的数据传输开始前，通信双方进行身份认证、协商加密算法、交换加密密钥等。

SSL修改密码规格协议（p50）：

唯一目的是未决状态被复制为当前状态，从而改变这个连接将要使用的密码规格。

SSL告警协议（p50）：

把有关警告传到各个实体。

SSL记录协议（p49）：

在客户及和服务器之间传输应用数据和SSL控制数据。

应用层数据

分片1

分片2

分片n

分片1’

分片1’

分片1’

分片1’

H

4.SSL记录协议的过程（p49）：

分段、压缩、计算MAC码、加密、增加记录协议头部。

分段…

…

压缩

计算MAC

加密

增加记录

协议头部

5.S-HTTP相对于HTTP的特性（p53）：

是对HTTP扩充安全特性、增加了报文的安全性，它是基于SSL技术的。

该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

6.SET在电子商务流程中安全保密功能的实现（p56）：

7.PGP加密和认证过程（p58）：

五：

1.黑客常用的入侵方法（p61）：

口令入侵、特洛伊木马术、监听法、E-mail技术、利用系统漏洞。

2.黑客入侵的一般步骤（p62）：

①攻击的准备阶段：

确定攻击的目的、信息收集②攻击的实施阶段：

获得权限、权限的扩大③攻击的善后工作：

隐藏踪迹、后门

3.常用的扫描技术（p66）：

端口扫描技术。

漏洞扫描技术

4.拒绝服务攻击技术原理（p68）：

根本目的是使受害主机或网络无法及时处理（或回应）外界请求。

①制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信②利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求③利用受害主机所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误，这样可以大量占用系统资源，使主机处于假死状态或者死机。

5.缓冲溢出的原理（p69）：

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

根本原因在于编程语言对缓冲区缺乏严格的边界检查。

6.缓冲溢出的关键技术（p71）①进程的内存组织形式②堆栈区域③ShellCode

7.常用的后门技术防范（p73）①评估②MD5基准线③入侵检测④从CD-ROM启动

8.Sniffer技术：

Sniffer是利用计算机的网络接口截获目的地来为其他计算机的数据报文传送的一种工具,所关心的内容可分为：

口令、偷窥机密或敏感的信息数据、窥探低级的协议信息。

六：

1.计算机病毒：

一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。

另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。

还有一种定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里，当某种条件或时机成熟时，它会自身复制并传播，使计算机资源受到不同程序的破坏等等。

2.计算机病毒的主要特征：

传染性、隐蔽性、潜伏性、破坏性、非授权可执行性。

3.简述计算机病毒的工作原理：

引导型病毒：

病毒把自己存放在引导区，当做正常的引导程序，而将真正的引导程序搬到其他位置，当计算机启动时，就会把病毒程序当作正常的引导程序来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活，可以随时进行感染和破坏活动。

典型代表：

大麻病毒（“石头”病毒、“新西兰”病毒），工作原理：

加载、感染、破坏。

文件型病毒：

主要攻击COM、EXE、SYS、DLL等可执行文件，病毒对计算机的源文件进行修改，使其成为新的带毒文件，一旦计算机运行该文件就会被感染，从而达到传播的目的。

典型代表：

CIH，首例直接攻击和破坏计算机硬件系统的病毒，破坏方式：

攻击BIOS、覆盖硬盘。

4.简述计算机病毒传染的一般过程：

在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。

该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。

而病毒利用系统INT13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。

5.简述计算机病毒的防治方法：

用户角度：

①计算机病毒的预防：

树立牢固的计算机病毒的预防思想；堵塞计算机病毒的传染途径；②计算机病毒的检测和消除：

人工方法（借助调试程序及工具软件等进行手工检测和消除处理，操作复杂易出错，要求操作者对系统十分熟悉）；自动方法（针对某种或多种病毒使用专门的反病毒软件自动对病毒进行检测和消除处理，操作简单速度快，不会破坏系统数据）

技术角度：

①病毒预防技术：

包括对已知病毒的特征判定技术或静态判定技术和对未知病毒的动态判定技术②病毒检测技术：

包括根据计算机病毒程序中的关键字、特征程序段、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术和不针对具体病毒程序的自身检测技术③病毒消除技术：

病毒传染程序的逆过程，是病毒检测的延伸④病毒免疫技术：

没有很大发展。

七：

1.防火墙的基本功能：

对内部网络进行划分，实现对重点网段的隔离；实现对内部网络的集中管理，强化网络安全策略；是审计和记录Internet使用费用的一个最佳地点；可防止非法用户进入内部网络，防止内部信息的外泄；可利用NAT技术将有限的IP地址动态或静态地与内部IP地址对应起来，以缓解地址空间短缺的问题。

可通过IP通道构建VPN。

2.静态包过滤型、状态检测型和代理服务型防火墙的优缺点：

种类

优点

缺点

静态包过滤型

实现逻辑比较简单，对网络性能影响较小，有较强的透明性，与应用层无关，是最快的防火墙

需对IP/TCP等各种协议比较了解；易被地址欺骗；应用层控制很弱；允许外部拥护直接与内部主机相连；不检查数据区；不建立连接状态表。

状态检测型

既提供了静态包过滤防火墙的处理速度和灵活性，又兼具应用层网关理解应用程序状态的能力与安全性，是目前最流行的

只检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等；应用层控制很弱；不检查数据区；

代理服务器型

实施较强的数据流监控、过滤、记录和报告等，具有极高的安全性和效率，可以支持多种网络协议和应用，且可以方便地扩展实现对各种非标准服务的支持。

可伸缩性差；不适合用来控制内部人员访问外界的网络；不能很好地支持新应用；不支持大规模的并发连接；不检查IP、TCP报头，网络层保护较弱；

3.比较Linux下的IPTables与WindowsXP自带的防火墙各自的优缺点：

IPTables：

允许建立状态防火墙，就是在内存中保存穿过防火墙的每条连接；能够过滤TCP标志任意组合报文，还能够过滤MAC地址；系统日志比IPChains更容易配置，扩展性也更好；对于NAT和透明代理的支持，Netfilter更为强大和易于使用；能够阻止某些（例如SYS攻击）Dos攻击。

ICF：

互联网连接防火墙，系统内建，占用资源少且不花额外的钱去购买，鉴于ICF工作原理，ICF不能很好地应用在服务器上，也不能完全取代现有的个人防火墙产品，无法提供基于应用程序的保护，也无法建立基于IP包的包审核策略。

八：

1.入侵检测系统有哪些功能：

通过检测和记录网络中的安全违规行为，追踪网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报。

报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

2.基于网络的和基于主机的IDS各有什么优缺点：

基于网络（使用原始的网络分组数据包作为进行攻击分析的数据源）：

低成本；攻击者转移入侵证据很困难；实时检测和应答，一旦发生攻击可以随时发现，能够更快地做出反应从而将入侵活动对系统的破坏降到最低；能够检测未成功的或试探性的攻击企图；与操作系统独立，不依赖于主机的操作系统类型，而基于主机的系统需要特定的操作系统才能发挥作用。

基于主机（监视操作系统安全日志以及关键应用的日志文件）：

非常适用于加密和交换网络环境；接近实时的检测和应答；不需要额外的硬件；能实现应用级的入侵检测

3.IDS常用的检测引擎技术有：

统计方法；专家系统；神经网络；状态转移分析；Petri网；计算机免疫；Agent技术；遗传算法；数据挖掘；粗糙集理论。

4.IDS的局限性：

存在过多的报警信息，即使在没有恶意攻击时，入侵检测系统也会发出大量报警；入侵检测系统自身的攻击能力差；缺乏检测高水平攻击者的有效手段。

5.蜜罐系统：

是诱捕攻击者的一个陷阱，是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。

由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐的尝试都被视为可疑的。

另一个作用是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

6.构造一个蜜罐系统需要的主要技术有：

网络欺骗、端口重定向、报警、数据控制和数据捕获等。

九：

1.隐写技术：

也称信息隐藏，是通过正常载体来传递秘密信息，以达到隐匿的目的，从而使它在传递过程中不会被感知。

2.隐写分析技术：

是对表面正常的图像、音频、视频等媒体信号（尤其是通过互联网进行传输的信号）进行检测，判断其中是否嵌有秘密信息（这些秘密信息是通过一定的隐写算法嵌入的），甚至只是指出媒体中存在秘密信息的可能性，这样就可以找到敌对隐蔽通信的信源，从而阻断隐蔽通信的信道。

3.隐写技术的类型：

非纯载体分析、知道纯载体分析、知道隐信息分析、选择隐写分析、选择信息分析、知道隐写分析。

4.LSB算法：

将秘密信息嵌入到载体图像像素值的最低有效位，也称最不显著位，改变这一位置对载体图像的品质影响最小。

5.常用的隐写分析技术：

隐写特征分析、感觉系统分析、统计分析

十：

1.计算机取证技术：

应用计算机调查和分析技术，使用软件和工具，以对存在于计算机和相关外设中的以磁介质编码信息方式存储的潜在的、有法律效率的计算机犯罪证据加以保护、确认、提取和归档的技术。

2.数字证据的概念及特点：

狭义上是在计算机和网络系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物；广义上是以数字形式存储或传输的信息或资料。

易变性、易损毁性、易篡改性、不可见性、依赖性

3.计算机取证的一般步骤：

保护现场和现场勘查；获取证据；鉴定证据；分析证据；进行追踪；提交结果

4.常用的计算机取证工具以及它们各自的主要功能：

文件浏览器：

数据文件的阅读工具，只用于查看无编辑恢复功能，体积小并防止证据的破坏。

图片检查工具：

图片检查反删除。

CD-ROM工具：

看到一般情况下看不到的数据。

文本搜索拷贝工具：

文本搜索。

磁盘擦除工具：

取证分析前，清除硬盘数据。

取证程序：

收集及分析数据。

5.当前计算机取证技术的发展趋势：

取证的领域扩大与取证工具专业化和自动化；融合其他理论和技术；取证工具和过程标准化。