南信 网络安全参考答案
一、单项选择题
1~10  A B B D D    B A D D A
11~20  A C A B C    C B A C D
21~30  A A B D D    B B B C B
二、填空题 
1序列密码  分组密码
2 公开密钥体制  加密机制
3 交互式  非交互式
4 UDP 53  TCP 53
5 计算机内存  网络带宽
6 重放  服务拒绝(或拒绝服务)
7 IP地址  目的IP地址
8 局域网  Internet
9 透明模式  路由模式
10 用户身份认证  信息认证
三、判断题
01-10  × √ √ × √      × ×
四、名词解释 
1蜜罐。是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的陷阱系统(2分)。设置蜜罐的目的主要是用于被侦听、被攻击,从而研究网络安全的相关技术和方法。(2
2PKIPKI(公钥基础设施)是利用密码学中的公钥概念和加密技术为网上通信提供的
符合标准的一整套安全基础平台。PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书,这些安全服务主要包括身份识别与鉴别(认证)、数据保密性、数据完整性、不可否认性及时间戳服务等,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的(2分)。PKI的技术基础之一是公开密钥体制(1分);PKI的技术基础之二是加密机制(1分)。
3DNSSECDNSSEC(域名系统安全扩展)是在原有的域名系统(DNS)上通过公钥技术,对DNS中的信息进行数字签名,从而提供DNS的安全认证和信息完整性检验(2分)。发送方首先使用Hash函数对要发送的DNS信息进行计算,得到固定长度的“信息摘要”,然后对“信息摘要”用私钥进行加密,此过程实现了对“信息摘要”的数字签名;最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名,一起发送出来(1分)。接收方首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密,得到解密后的“信息摘要”;接着用与发送方相同的Hash函数对接收到的DNS信息进行运算,得到运算后的“信息摘要”;最后,对解密后的 “信息摘要”和运算后的“信息摘要”进行比较,如果两者的值相同,就可以确认接收到的DNS信息是完整的,即是由正确的DNS服务器得到的响应(1分)。
4DoS攻击。DoS(拒绝服务)攻击是一种实现简单但又很有效的攻击方式。DoS攻击的目的就是让被攻击主机拒绝用户的正常服务访问,破坏系统的正常运行,最终使用户的部分Internet连接和网络系统失效(2分)。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。(2分)
5VPNVPN(虚拟专用网)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接(2分)。从VPN的定义来看,其中“虚拟”是指用户不需要建立自己专用的物理线路,而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能;“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的,而是只有经过授权的用户才可以使用。同时,该通道内传输的数据经过了加密和认证,从而保证了传输内容的完整性和机密性。(2分)
五、简答题(每小题10分,共20分)
1由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的AR
P请求报文或响应报文,报文中的源IP地址和源MAC地址均可以进行伪造(2分)。在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,ARP即可以针对主机,也可以针对交换机等网络设备(2分),等等。
目前,绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表,使得网络中的合法主机无法正常通信或通信不正常,如表示为计算机无法上网或上网时断时续等。(2分)
针对主机的ARP欺骗的解决方法:主机中静态ARP缓存表中的记录是永久性的,用户可以使用TCP/IP工具来创建和修改,如Windows操作系统自带的ARP工具,利用“arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态(static)。(2分)
针对交换机的墙布十大名牌排名榜ARP欺骗的解决方法:在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同,还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。(2分)
2防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。(2分)
个人防火墙是一套安装在个人计算机上的软件系统,它能够监视计算机的通信状况,一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接,以此实现对个人计算机上重要数据的安全保护。(2分)
个人防火墙是在企业防火墙的基础上发展起来,个人防火墙采用的技术也与企业防火墙基本相同,但在规则的设置、防火墙的管理等方面进行了简化,使非专业的普通用户能够容易地安装和使用。(2分)
为了防止安全威胁对个人计算机产生的破坏,个人防火墙产品应提供以下的主要功能。防止Internet上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与其他安全产品进行集成。(4关于汉字的历史资料分)
一、单项选择题
1~10    A A A B B    D D D B B
11~20  B D A C B    A A C D C
江风吹巧剪霞绡二、填空题 
1机密性、完整性、可用性
2鉴别、访问控制、数据完整、
3.访问控制策略、信息加密策略、网络安全管理策略
4古典密码、现代密码
5、真实性、完整性
6、签名算法、验证算法
7、保密性、消息完整性
8、认证、压缩、兼容性
三、名词解释 
1网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,(1分)不因偶然的或者恶意的原因而遭到破坏、更改、泄露,(1分)网络系统连续可靠正常地运行,(1分)网络服务不中断。(1分)
2对称加密与非对称解密。在一个加密系统中,加密和解密使用同一个密钥,这种加密方式称为对称加密,也称为单密钥加密(2分)。如果系统采用的是双密钥体系,存在两个相互关联的密码,其中一个用于加密,另一个用于解密,这种加密方法称为非对称加密,也称为公钥加密。(2分)
3数字证书所谓证书就是一种经过签名的消息,用来确定某个名字和某个公钥的绑定关系。2分)这些用户证书由一些可信的认证中心(CA)创建并被CA或用户放入目录服务器中。2分)
4安全关联(SA)。SA是IPSec的基础,是出现在IPSec中认证和保密机制的关键概念。一个安全关联是发送方和接收方之间的受到密码技术保护的单向关系,1分)该关联对所携
带的通信流量提供安全服务1分):要么对通信实体收到的IP数据包进行“进入”保护,要么对实体外发的数据包进行“流出”保护。1分)如果需要双向安全交换,则需要建立两个安全关联,一个用于发送数据,一个用于接收数据。1分)
5入侵检测是指在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,2分)从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。它是对入侵行为的发觉。2分)
四、简答题
1、根据鉴别符的生成方式,鉴别函数可以分为如下三类:
·基于消息加密:以整个消息的密文作为鉴别符。
·基于消息鉴别码(MAC)利用公开函数+密钥产生一个固定长度的值作为鉴别符,并与消息一同发送给接收方,实现对消息的验证。
·基于散列函数:利用公开函数将任意长的消息映射为定长的散列值,并以该散列值作为鉴别符。
2
密钥生成
首先必须生成一个公钥和对应的私钥。选择两个大素数p和q(一般约为256比特),p和q必须保密。计算这两个素数的乘积,并根据欧拉函数计算小于n且与n互素的正整数的数目:
随机选择与互素的数e,则得到公钥<e,n>。计算e mod的乘法逆d,即d满足:
岳云鹏爆粗口让赵英俊回来全球化妆品排行榜
则得到了私钥<d, n>。
加密运算
RSA算法中,明文以分组为单位进行加密。将明文消息M按照n比特长度分组,依次对每个分组做一次加密,所有分组的密文构成的序列即是原始消息的密文C。加密算法如下:
其中收发双方均已知n,发送方已知e,只有接收方已知d。
羊杂碎的做法3、入侵检测的典型过程是:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应。信息收集是指从网络或系统的关键点得到原始数据,这里的数据包括原始的网络数据包、系统的审计日志、应用程序日志等原始信息; 数据预处理是指对收集到的数据进行预处理,将其转化为检测器所需要的格式,也包括对冗余信息的去除即数据简约; 数据的检测分析是指利用各种算法建立检测器模型,并对输入的数据进行分析以判断入侵行为的发生与否。 入侵检测的效果如何将直接取决于检测算法的好坏。这里所说的响应是指产生检测报告,通知管理员,断开网络连接,或更改防火墙的配置等积极的防御措施。
五、问答题   
1、Kerberos基本流程:
在用户A登录工作站的时候,工作站向AS申请会话密钥。AS生成一个会话密钥SA并用A的主密钥加密发送给A的工作站。此外,AS还发送一个门票授权门票(Ticket-Granting Ticke
t,TGT),TGT包含用KDC主密钥加密的会话密钥SA、A的ID以及密钥过期时间等信息。
A的工作站用A的主密钥解密,然后工作站就可以忘记A的用户名和口令,而只需要记住SA和TGT。每当用户申请一项新的服务,客户端则用TGT证明自己的身份,向TGS发出申请。
当用户A告诉TGS需要和B通信,TGS为双方生成一个会话密钥KAB,并用密钥SA加密KAB发送给A;TGS还发送给A一个访问B的服务授权门票,门票的内容是使用B的主密钥加密的会话密钥KAB和A的ID。
A无法读取门票中的信息,因为门票用B的主密钥加密。为了获得B上的资源使用授权,A将门票发送给B,B可以解密该门票,获得会话密钥KAB和A的ID。基于KAB,A和B实现了双向的身份认证。同时,KAB还用于后续通信的加密和鉴别。KAB和访问B的问票称为访问B的证书。 

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。