黄淮学院计算机科学系2009 —2010学年度第二学期 期末考试《网络安全》A卷 注意事项:本试卷适用2007级计算机科学技术专业本科、2009级计算机科学与技术专升本学生使用 题号 一 二 三 四 总分 核分人 得分 得分 评卷人 一、填空题(每空1分,共20分) 计算机系统的安全目标包括安全性、可用性、 完整性 、 保密性 和所有权。 根据攻击行为的发起方式,网络攻击可以分为 主动攻击 和被动攻击,其中被动攻击常表现为 拦截 ,而主动攻击表现为中断、 篡改、 伪造 三类。 根据加密密钥和解密密钥是否相同,密码体制可以分为: 对称密钥体制 和 非对称密钥体制 。 数字水印的基本特性包括可证明性、 不可感知性 、 鲁棒性 。 基本鉴别技术包括 单向鉴别 、 双向 、群鉴别等技术。 RBAC模型的基本成分是 用户 、权限和 角色 。 入侵检测过程分为3个基本步骤:信息收集、__数据分析_____和__结果处理_ ____。 根据数据来源的不同,IDS可以分为两类: NIDS 和HIDS。 __DDos_____攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器,然后在这些服务器上安装攻击进程,集数十台、数百台甚至上千台机器的力量对单一攻击目标实施攻击。 防火墙有三种部署方式: 路由器过滤方式防火墙 方式防火墙、主机过滤方式防火墙 方式防火墙、DMZ方法。 根据攻击行为的发起方式,网络攻击可以分为 主动攻击 和被动攻击,其中被动攻击常表现为 拦截 ,而主动攻击表现为中断、 篡改 、 伪造 三类。 加密的基本方法分为: 变位 、 替换 。 密钥管理的基本内容包括密钥的生成、 验证 、 传递 、密钥的保存、密钥的使用、备份和销毁。 PGP加密系统不仅可以对邮件进行加密,还可以对 文件 、 硬盘 等进行加密。 RBAC模型的基本成分是 用户 、权限和 角色 。 在入侵检测系统(IDS)的使用中存在下列四种情况,它们分别属于什么行为。①网络行为正常,系统没有检测到入侵: 正常行为 ;②网络行为正常,系统检测到入侵: 误报 ;③网络行为异常,系统没有检测入侵: 漏报 ;④网络行为异常,系统检测到入侵: 正常 。 _防火墙____是一种网络安全保障技术,它用于增强内部网络安全性,决定外界的哪些用户可以访问内部的哪些服务,以及哪些外部站点可以被内部人员访问。 SYN flooding 攻击即是利用___TCP____协议的设计弱点。 得分 评卷人 二、选择题(每题1分,共20分) (注意:请将该题答案写在后面的答题栏里,否则不计分) 计算机网络的安全是指___C___ A、网络中设备设置环境的安全 B、网络中使用者的安全 C、网络中信息的安全 D、网络中财产的安全 以下___D____不是保证网络安全的要素。 A、信息的保密性 B、发送消息的不可否认性 C、数据交换的完整性 D、数据存储的唯一性 以下关于加密说法正确的是___A____。 A、加密包括对称加密和非对称加密两种 B、信息隐藏是加密的一种方法 C、如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行加密 D、密钥的位数越多,信息的安全性就越高 可以认为数据的加密和解密是对数据进行的某种变换,加密和解密的过程都是在__D_____的控制 下进行的。 A、明文 B、密文 C、信息 D、密钥 在公开密钥体制中,加密密钥即__C_____。 A、解密密钥 B、私密密钥 C、公开密钥 D、私有密钥 DES算法的入口参数有3个:Key、Data和Mode。其中Key的实际长度为__B_____位,是DES 算法的工作密钥。 A、64 B、56 C、8 D、7 RSA算法是一种基于_C______的公开密钥体系。 A、素数不能分解 B、大数没有质因数的假设 C、大数不可能质因数分解的假设 D、公钥可以公开的假设 PGP加密技术是一个基于___A____体系的邮件加密软件。 A、RSA公钥加密 B、DES对称密钥 C、MD5数字签名 D、MD5加密 下面___B____属于对称加密算法。 A、数字签名 B、序列算法 C、RSA算法 D、数字水印 数字签名技术是公开密钥算法的一个典型应用,在发送端,采用__B_____对要发送的信息进行数字签名。 A、发送者的公钥 B、发送者的私钥 C、接收者的公钥 D、接收者的私钥 打电话请求密码属于___B ___攻击方式。 A、木马 B、社会工程学 C、电话系统漏洞 D、拒绝服务 一次字典攻击能否成功,很大因素取决于___A____。 A、字典文件 B、计算机速度 C、网络速度 D、黑客学历 __C_____是最常用的一类访问控制机制,用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 A、强制访问控制 B、访问控制列表 C、自主访问控制 D、访问控制矩阵 SYN风暴属于___A____攻击。 A、拒绝服务攻击 B、缓冲区溢出攻击 C、操作系统漏洞攻击 D、社会工程学攻击 下面不属于DoS攻击的是__D_____。 A、Smurf攻击 B、Ping of death C、Land攻击 D、TFN攻击 DDoS攻击破坏了___A____。 A、可用性 B、保密性 C、完整性 D、真实性 为了避免冒名发送数据或发送后不承认的情况出现,可以采用的办法是_B______。 A、数字水印 B、数字签名 C、访问控制 D、发电子邮件确认 DoS攻击___A____。 A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击 B、全称是Distributed of service C、拒绝来自一个服务器所发送回应请求的指令 D、入侵控制一个服务器远程关机 下列叙述正确的是__D_____。 A、计算机病毒只感染文本文件 B、计算机病毒值感染可执行文件 C、计算机病毒只能通过软件复制的方式进行传播 D、计算机病毒可以通过读写磁盘或网络等方式进行传播 为确保企业局域网的信息安全,防止来自Internet的黑客入侵,采用__C_____可以实现一定的防范作用。 A、网络管理软件 B、邮件列表 C、防火墙 D、防病毒软件 得分 评卷人 三、名词解释题(每题5分,共20分) 信息摘录: 对数据完整性保护的最基本思路是在综合相关因素的基础上为每个需要保护的信息M生成一个唯一的附加信息,称为信息摘录(Message Digests) 泛洪攻击: 该攻击利用TCP协议的缺陷,通常一次TCP连接的建立包括3次握手:客户端发送SYN包给服务器;服务器分配一定的资源并返回SYN/ACK包,并等待连接建立的最后的ACK包;最后客户端发送ACK报文。攻击的过程就是攻击者疯狂地发送SYN报文,而不返回ACK报文,当服务器未收到客户端的确认包是,规范标准规定必须重发SYN/ACK请求包,一直到超时才将此条目从未连接列中删除。泛洪攻击耗费CPU和内存资源,最后导致系统资源占用过多,没有能力响应其它操作,或者不能响应正常的网络请求。 报文鉴别: 报文鉴别是指在两个通信者之间建立通信联系后,每个通信者对收到的信息进行验证,以保证所收到信息的真实性的过程。这种验证过程必须确定:①报文是由确认的发送方产生的;②报文内容没有被修改过;③报文是按与发送时的相同顺序收到的 零知识证明: 示证者在证明自己身份时不泄露任何信息,验证者得不到示证者的任何私有信息,但又能有效证明对方身份的一种方法。是一种对传统口令传递的一种有效改进,该方法的基本形式是验证者提出问题,由证明者回答问题。 得分 评卷人 四、综合分析题(每题10分,共40分) 试用数学符号描述加密系统,并说明各符号之间的关系。 加密系统的数学符号描述是:S={P,C,K,E,D}。其中Dk=Ek-1,Ek=Dk-1,C= Ek(P),P=Dk(C)= Dk(Ek(P))。 解释KDC的工作原理,并分析其局限性。 每个用户只需保管与KDC之间使用的密钥加密密钥,而KDC为每个用户保管一个互不相同的密钥加密密钥,当两个用户需通信时,需向KDC申请一个会话密钥,然后用这两个用户的密钥加密密钥分别加密后送给这两个用户。 局限性:通信量大,要求KDC有良好的信誉。 甲和乙均为互联网用户,他们各自可以独立地使用各种数据加密方法,但彼此之间没有可靠的密钥分配和传输渠道。现用户甲要通过互联网向用户乙发送一条需要保密的信息,但信道是不安全的,问他们是否仍然可以而使用数据加密方法。如果可以,应使用哪种方法,具体怎么做? 综合发挥两种加密算法的优点,既利用了对称加密算法速度快的优点,又利用了公钥加密算法的安全性高的特性。 自主访问控制和强制访问控制的区别是什么?基于角色的访问控制和前两者相比有何优点? 自主访问控制中用户可以随意地将自己拥有的访问控制权限赋给其他用户,之后还可以将所赋权限撤销,这使得管理员难以确定哪些用户对哪些资源有访问权限,不利于统一的全局访问控制。而强制访问控制规定每个主体都有其既定的安全属性,每个客体也都有其安全属性,主体对客体是否能够执行特定的操作,取决于两者安全属性之间的关系,主体不能将自己拥有的访问权限授予给其它主体。RBAC方法以角色作为访问控制的主体,授权给用户的访问权限通常有用户在一个组织中担当的角色确定。传统的访问控制是将主体和受控客体直接相联系,而RBAC在主体和客体之间加入了角色,通过角色沟通主体和客体,这样分层的优点是当主体发生变化时,只需修改主体与角色之间的关联,而不必修改角色与客体的关联。