网络信息安全课后习题答案

1、信息安全根源： 网络协议的开放性，共享性和协议自身的缺陷性操作系 统和应用程序的复杂性程序设计带来的问题设备物理安全问题人员的 安全意识与技术问题相关的法律问题。网络信息系统的资源： 人：决策、使用、管理者应用：业务逻辑组件及 界面组件组成支撑：为开发应用组件而提供技术上支撑的资源。信息安全的任务： 网络安全的任务是保障各种网络资源的稳定、可靠的运行 和受控、合法的使用；信息安全的任务是保障信息在存储、传输、处理等过程 中的安全，具体有机密性、完整性、不可抵赖性、可用性。网络安全防范体系层次： 物理层、系统层、网络层、应用层、管理层安全常见的信息安全技术： 密码技术、 身份认证、 数字签名、

2、防火墙、 入侵检测、 漏洞扫描。简述对称加密和公钥加密的基本原理 ： 所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解 密，或虽不相同，但可由其中任意一个很容易推出另一个；公钥加密使用使用 一对唯一性密钥，一为公钥一为私钥，不能从加密密钥推出解密密钥。 常用的对称加密有： DES、IDEA、 RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有： RSA、Diffie-Hellman 密钥交换、 ElGamal凯撒密码 ：每一个明文字符都由其右第三个字符代替RSA：选两个大素数 pq计算 n=pq 和 (n)=(p-1)(q-1) 随机取加密密钥 e，使 e

3、和(n) 互素计算解密密钥 d，以满足 ed=1mod(n) 加密函数 E(x)=me mod n，解密函数 D(x)=c d mod n，m是明文， c 使密文 e，n 为公开密钥， d 为私人密钥， n 一般大于等于 1024 位。D-H密钥交换： A和 B定义大素数 p 及本源根 aA产生一个随机数 x，计 算 X=ax mod p，并发送给 BB产生 y，计算 Y=ay mod p，并发送给 AA计算 k=Yx mod pB 计算 k=Xy mod pk，k即为私密密钥PKI 是具普适性安全基础设施原因 (p21) ：普适性基础应用支撑商业驱 动。PKI 组件 (p24) ：认证机构、

4、证书库、证书撤消、密匙备份和恢复、自动密匙 更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。PKI 核心服务 (p26) ：认证：向一个实体确认另一个实体确实就是用户自己 完整性：向一个实体确保数据没有被有意或无意地修改机密性：向一个实 体确保除了接受者，无人能读懂数据的关键部分。PKI 的支撑服务 (p27) ：安全通信、安全时间戳、 公证、不可否认、特权管理。密匙和证书管理阶段 (p34) ： 初始化阶段：终端实体注册、密匙对产生、 证书创建和密匙 / 证书分发、证书分发、密匙备份颁发阶段：证书检索、证 书验证、密匙恢复、密匙更新取消阶段：证书过期、证书撤消、密匙历史、 密

5、匙档案。PKI 信任模型 (p41) ：严格层次结构、分布式信任结构、 WEB模型、以用户为中心的信任。证书撤销方法 (p38): 周期发布机制：证书撤销列表、完全 CRL在线证书 状态协议 (OCSP)。PKI 框架图：SSL/TSLIPSecS/MIME其他依赖于 PKI 的标准X.509,PKCS,PKIX定义 PKI 的标准四：1.IPSec 协议的隧道模式与传输模式有何区别？如何实现？ (p46) 它们所保护的内容不同，传输模式保护的只是 IP 的有效负载，而隧道模式保 护的是整个 IP 数据包。 AH和 ESP都支持这两种模式，存在四种形式。 AH传输 模式 AH隧道模式 ESP传

6、输模式 ESP隧道模式。简述 ESP和 AH在中 IPSec 的作用，它们能否同时使用？ (p45)AH为 IP 数据包提供 3 种服务，即无连接的数据完整性验证、数据源身份认证 和防重放攻击； ESP除了为 IP 数据包提供 AH已有 3 种服务外，有还提供数据 包加密、数据流加密；可以同时使用，不过 AH提供的验证服务要强于 ESP。 IPSec 安全体系：3.SSL 结构及相关协议的功能 (p48)SSL握手协议 SSL修改密码规格协议 SSL告警协议 HTTP LDAPSSL记录协议TCPUDPSSL握手协议 (p50) ：在实际的数据传输开始前，通信双方进行身份认证、协商 加密算法、

7、交换加密密钥等。SSL修改密码规格协议 (p50) ：唯一目的是未决状态被复制为当前状态， 从而改 变这个连接将要使用的密码规格。SSL告警协议 (p50) ：把有关警告传到各个实体。SSL记录协议 (p49) ：在客户及和服务器之间传输应用数据和 SSL控制数据。4.SSL 记录协议的过程 (p49) ：分段、压缩、计算 MAC码、加密、增加记录协议 头部。分段压缩计算 MAC加密增加记录 协议头部5.S-HTTP 相对于 HTTP的特性 (p53) ：是对 HTTP扩充安全特性、增加了报文的 安全性，它是基于 SSL技术的。该协议向 WWW的应用提供完整性、鉴别、不可 抵赖性及机密性等安全

8、措施。6.SET 在电子商务流程中安全保密功能的实现 (p56) ：7.PGP 加密和认证过程 (p58) ：五：黑客常用的入侵方法 (p61) ：口令入侵、特洛伊木马术、监听法、 E-mail 技 术、利用系统漏洞。黑客入侵的一般步骤 (p62) ：攻击的准备阶段：确定攻击的目的、信息收 集攻击的实施阶段：获得权限、权限的扩大攻击的善后工作：隐藏踪迹、 后门常用的扫描技术 (p66) ：端口扫描技术。漏洞扫描技术拒绝服务攻击技术原理 (p68) ：根本目的是使受害主机或网络无法及时处理 ( 或回应 ) 外界请求。制造高流量无用数据，造成网络拥塞，使受害主机无法 正常和外界通信利用受害主机提供

9、的服务或传输协议上的缺陷，反复高速地 发出特定的服务请求，使受害主机无法及时处理所有正常请求利用受害主机 所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误，这样 可以大量占用系统资源，使主机处于假死状态或者死机。缓冲溢出的原理 （p69） ：通过往程序的缓冲区写超出其长度的内容，造成缓 冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的 目的。根本原因在于编程语言对缓冲区缺乏严格的边界检查。缓冲溢出的关键技术 （p71） 进程的内存组织形式堆栈区域 Shell Code常用的后门技术防范 （p73） 评估 MD5基准线入侵检测从 CD-ROM启动 8.Sniff

10、er 技术 ：Sniffer 是利用计算机的网络接口截获目的地来为其他计算 机的数据报文传送的一种工具 , 所关心的内容可分为：口令、偷窥机密或敏感 的信息数据、窥探低级的协议信息。六：计算机病毒：一种定义是通过磁盘、 磁带和网络等作为媒介传播扩散， 能“传 染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具 有潜伏性、传染性和破坏性的程序。还有一种定义是一种人为制造的程序，它 通过不同的途径潜伏或寄生在存储媒体 （如磁盘、内存 ）或程序里，当某种条件 或时机成熟时， 它会自身复制并传播， 使计算机资源受到不同程序的破坏等等。计算机病毒的主要特征 ：传染性、隐蔽性、潜伏性、破

11、坏性、非授权可执行 性。简述计算机病毒的工作原理 ： 引导型病毒：病毒把自己存放在引导区，当做正常的引导程序，而将真正的引 导程序搬到其他位置，当计算机启动时，就会把病毒程序当作正常的引导程序 来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活， 可以随时进行感染和破坏活动。 典型代表：大麻病毒 （“石头”病毒、“新西兰” 病毒） ，工作原理：加载、感染、破坏。文件型病毒：主要攻击 COM、EXE、SYS、DLL 等可执行文件，病毒对计算机的 源文件进行修改， 使其成为新的带毒文件， 一旦计算机运行该文件就会被感染， 从而达到传播的目的。典型代表： CIH，首例直接攻击和破坏计

12、算机硬件系统 的病毒，破坏方式：攻击 BIOS、覆盖硬盘。简述计算机病毒传染的一般过程 ：在系统运行时 , 病毒通过病毒载体即系统 的外存储器进入系统的内存储器 , 常驻内存。该病毒在系统内存中监视系统的 运行, 当它发现有攻击的目标存在并满足条件时 ,便从内存中将自身存入被攻 击的目标 ,从而将病毒进行传播。而病毒利用系统 INT 13H 读写磁盘的中断又 将其写入系统的外存储器软盘或硬盘中 , 再感染其他系统。简述计算机病毒的防治方法 ： 用户角度：计算机病毒的预防：树立牢固的计算机病毒的预防思想；堵塞计 算机病毒的传染途径；计算机病毒的检测和消除：人工方法（ 借助调试程序及工具软件等进行

13、手工检测和消除处理，操作复杂易出错，要求操作者对系统 十分熟悉 ） ；自动方法 （针对某种或多种病毒使用专门的反病毒软件自动对病毒 进行检测和消除处理，操作简单速度快，不会破坏系统数据 ）技术角度：病毒预防技术：包括对已知病毒的特征判定技术或静态判定技术 和对未知病毒的动态判定技术病毒检测技术：包括根据计算机病毒程序中的 关键字、特征程序段、病毒特征及传染方式、文件长度的变化，在特征分类的 基础上建立的病毒检测技术和不针对具体病毒程序的自身检测技术病毒消 除技术：病毒传染程序的逆过程，是病毒检测的延伸病毒免疫技术：没有很 大发展。七：防火墙的基本功能 ：对内部网络进行划分，实现对重点网段的隔离

14、；实现对 内部网络的集中管理 ，强化网络安全策略；是审计和记录 Internet 使用费用 的一个最佳地点；可防止非法用户进入内部网络，防止内部信息的外泄；可利 用 NAT技术将有限的 IP 地址动态或静态地与内部 IP 地址对应起来，以缓解地 址空间短缺的问题。可通过 IP 通道构建 VPN。静态包过滤型、状态检测型和代理服务型防火墙的优缺点 ：种类优点缺点静态 包过 滤型实现逻辑比较简单， 对网络性能 影响较小， 有较强的透明性， 与 应用层无关 ，是最快的防火墙需对 IP/TCP 等各种协议比较了解； 易 被地址欺骗；应用层控制很弱；允许 外部拥护直接与内部主机相连；不检 查数据区；不建

15、立连接状态表。状态 检测 型既提供了静态包过滤防火墙的 处理速度和灵活性， 又兼具应用层网关理解应用程序状态的能力与安全性，是目前最流行的只检测数据包的第三层信息，无法彻 底的识别数据包中大量的垃圾邮件、 广告以及木马程序等；应用层控制很 弱；不检查数据区；代理 服务 器型实施较强的数据流监控、过滤、 记录和报告等， 具有极高的安全 性和效率，可以支持多种网络协 议和应用，且可以方便地扩展实 现对各种非标准服务的支持。可伸缩性差；不适合用来控制内部人 员访问外界的网络；不能很好地支持 新应用；不支持大规模的并发连接； 不检查 IP 、 TCP报头，网络层保护较 弱；比较 Linux 下的 IP

16、Tables 与 Windows XP自带的防火墙各自的优缺点 ： IPTables ：允许建立状态防火墙，就是在内存中保存穿过防火墙的每条连接； 能够过滤 TCP标志任意组合报文， 还能够过滤 MAC地址；系统日志比 IPChains 更容易配置，扩展性也更好；对于 NAT和透明代理的支持， Netfilter 更为强 大和易于使用；能够阻止某些 （例如 SYS攻击）Dos 攻击。 ICF：互联网连接防火墙，系统内建，占用资源少且不花额外的钱去购买，鉴 于 ICF 工作原理， ICF 不能很好地应用在服务器上，也不能完全取代现有的个 人防火墙产品，无法提供基于应用程序的保护，也无法建立基于

17、IP 包的包审 核策略。八：1. 入侵检测系统有哪些功能 ：通过检测和记录网络中的安全违规行为，追踪网 络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全 违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报。报告计算 机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络 中存在的安全弱点，利于进行修补；在大型、复杂的计算机网络中布置入侵检 测系统，可以显著提高网络安全管理的质量。2. 基于网络的和基于主机的 IDS 各有什么优缺点 ：基于网络 （使用原始的网络分组数据包作为进行攻击分析的数据源 ） ：低成本； 攻击者转移入侵证据很困难；实时检测和应答，

18、一旦发生攻击可以随时发现， 能够更快地做出反应从而将入侵活动对系统的破坏降到最低；能够检测未成功 的或试探性的攻击企图；与操作系统独立，不依赖于主机的操作系统类型，而 基于主机的系统需要特定的操作系统才能发挥作用。基于主机 （ 监视操作系统安全日志以及关键应用的日志文件 ） ：非常适用于加密 和交换网络环境；接近实时的检测和应答；不需要额外的硬件；能实现应用级 的入侵检测3.IDS 常用的检测引擎技术有 ：统计方法；专家系统；神经网络；状态转移分 析； Petri 网；计算机免疫； Agent 技术；遗传算法；数据挖掘；粗糙集理论。4.IDS 的局限性 ：存在过多的报警信息，即使在没有恶意攻击

19、时，入侵检测系 统也会发出大量报警；入侵检测系统自身的攻击能力差；缺乏检测高水平攻击 者的有效手段。5. 蜜罐系统 ：是诱捕攻击者的一个陷阱，是一个包含漏洞的诱骗系统，它通过 模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。由于蜜罐并 没有向外界提供真正有价值的服务，因此所有对蜜罐的尝试都被视为可疑的。 另一个作用是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。构造一个蜜罐系统需要的主要技术有 ：网络欺骗、端口重定向、报警、数据 控制和数据捕获等。九：1. 隐写技术 ：也称信息隐藏，是通过正常载体来传递秘密信息，以达到隐匿的 目的，从而使它在传递过程中不会被感知。2. 隐写分析技术 ：是对表面正常的图像、音频、视频等媒体信号（尤其是通过 互联网进行传输的信号）进行检测，判断其中是否嵌有秘密信息（这些秘密信 息是通过一定的隐写算法嵌入的） ，甚至只是指出媒体