1、计算机网络(计算机网络的安全)模拟试卷 1 及答案与解析一、单项选择题1 常用的公开密钥(非对称密钥)加密算法有( ) 。(A)DES(B) SED(C) RSA(D)RAS2 设计方案中的安全性原则是指( )。(A)保证设备的正常、安全使用(B)保证系统不被外人破坏(C)保证系统的可靠性(D)保证系统内部的数据、数据访问和传输信息是安全的3 从网络安全的角度看,当你收到陌生电子邮件时,处理其中附件的正确态度应该是( )。(A)暂时先保存它,日后打开(B)立即打开运行(C)删除它(D)先用反病毒软件进行检测再作决定二、填空题4 网络安全的威胁可以分为两大类,即( )和( ) 。5 ( )攻击是
2、指攻击者对某个连接中通过的 PDU 进行各种处理。6 主动攻击又可进一步划分为( )、( ) 和( )三种。7 通常有两种不同的加密策略,即( )加密与( ) 加密。8 黑客对信息流的干预方式可以分为( )、( ) 、( )和( )。三、简答题9 计算机网络安全主要包括哪几个方面的问题?10 简述公开密钥算法的特点。11 网络安全面临的威胁主要有哪些。12 作为系统安全策略,分析防火墙与入侵检测技术区别与联系?13 试解释以下名词:(1)重放攻击;(2) 拒绝服务;(3)访问控制;(4) 流量分析;(5)恶意程序。14 密码编码学、密码分析学和密码学都有哪些区别?15 破译下面的密文诗。加密采
3、用替代密码。这种密码是把 26 个字母(az) 中的每一个用其他某个字母替代(注意,不是按序替代)。密文中无标点符号。空格未加密。Kfd ktbd fzm eubd kfd pzyiom mztx ku kzyg ur bzha kfthcm ur mfudm zhxMftnm zhx mdzythc pzq ur ezsszcdm zhx gthcm zhx pfa kfd mdz tm sutythcFuk zhx pfdkfdi ntcm fzld pthcm sok pz16 为什么密钥分配是一个非常重要但又十分复杂的问题?试举出一种密钥分配的方法。17 试述数字签名的原理18 报文的
4、保密性与完整性有何区别?什么是 MD5?19 什么是“中间人攻击 ”?怎样防止这种攻击?20 因特网的网络层安全协议族 IPSec 都包含哪些主要协议?21 电子邮件的安全协议 PGP 主要包含哪些措施?计算机网络(计算机网络的安全)模拟试卷 1 答案与解析一、单项选择题1 【正确答案】 C【试题解析】 常用的公开密钥(非对称密钥)加密有主要算法 RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。使用最广泛的是 RsA 算法,Elgamal 是另一种常用的非对称加密算法。【知识模块】 计算机网络的安全2 【正确答案】 D【知识模块】 计算机网络的安全3 【正确答
5、案】 D【知识模块】 计算机网络的安全二、填空题4 【正确答案】 主动攻击,被动攻击【知识模块】 计算机网络的安全5 【正确答案】 主动【知识模块】 计算机网络的安全6 【正确答案】 更改报文流,拒绝报文服务,伪造连接初始化【知识模块】 计算机网络的安全7 【正确答案】 链路,端到端【知识模块】 计算机网络的安全8 【正确答案】 中断,截取,修改,假冒【知识模块】 计算机网络的安全三、简答题9 【正确答案】 计算机网络安全主要包括以下一些内容:(1)保密性为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。网络的保密性机制除为用户提供保密通信以外,也是许多其他安全机制的基础。如存取控制
6、中登录口令的设计、数字签名的设计等。(2)全协议的设计目前在安全协议的设计方面,主要是针对具体的攻击设计安全的通信协议。协议安全性的保证通常有两种方法:一种是用形式化方法来证明;另一种是用经验来分析协议的安全性。(3)存取控制必须对接入网络的权限加以控制,并规定每个用户的接入权限。由于网络是一个非常复杂的系统,其存取控制机制比操作系统的存取控制机制更复杂。【知识模块】 计算机网络的安全10 【正确答案】 公开密钥算法如下:(1)发送者用加密密钥 PK 对明文 X 加密后,接收者用解密密钥 SK 解密,即可恢复出明文,或写为 DSK(EPK(X)=X 解密密钥是接收者专用的秘密密钥,对其他人保密
7、。此外,加密和解密的运算可以对调,即 EPK(DSK(X)=X。(2)加密密钥是公开的,但不能用它来解密。(3)在计算机上可以容易地产生成对的 PK 和 SK。(4)从已知的 PK 实际上小可能推导出 SK,即从 PK 到 SK 是“ 计算上不可能的”。(5)加密和解密算法都是公开的。【知识模块】 计算机网络的安全11 【正确答案】 系统漏洞 黑客攻击病毒入侵网络配置管理不当。【知识模块】 计算机网络的安全12 【正确答案】 区别:防火墙是设置在被保护网络(本地网络) 和外部网络(主要是 Internet)之间的一道防御系统,以防止发生不可预测的、潜在的、破坏性的侵入。它可以通过检测、限制、更
8、改跨越防火墙的数据流,尽可能的对外部屏蔽内部的信息、结构和运行状态,以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。防火墙的主要功能有过滤不安全的服务和非法用户:所有进出内部网络的信息都是必须通过防火墙,防火墙成为一个检查点,禁止未授权的用户访问受保护的网络。控制对特殊站点的访问:防火墙可以允许受保护网络中的一部分主机被外部网访问,而另一部分则被保护起来。作为网络安全的集中监视点:防火墙可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。入侵检测系统:IDS 是对入侵行为的发觉,通过从计算机网络或计算机的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略
9、的行为和被攻击的迹象。入侵检测系统的主要任务:监视、分析用户及系统活动、对异常行为模式进行统计分析,发行入侵行为规律、检查系统配置的正确性:和安全漏洞,并提示管理员修补漏洞、能够实时对检测到的入侵行为进行响应、评估系统关键资源和数据文件的完整性、操作系统的审计跟踪管理,并识别用户违反安全策略的行为。联系:IDS 是继防火墙之后的又一道防线,防火墙是防御,IDS 是主动检测,两者相结合有力地保证了内部系统的安全。IDS 实时检测可以及时发现一些防火墙没有发现的入侵行为发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。【知识模块】 计算机网络的安全13 【正确答案】
10、 (1)重放攻击:重放攻击(Replay Attack)就是攻击者发送一个目的主机已接收过的包。来达到欺骗系统的目的,主要用于身份认证过程。(2)拒绝服务 EbS(Denial of Service):指攻击者向因特网上的服务器不停地发送大量分组,使因特网或服务器无法提供正常服务。(3)访问控制(Access Control):也叫做存取控制或接入控制。必须对接入网络的权限加以控制,并规定每个用户的接入权限。(4)流量分析:通过观察 PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究 PDU 的长度和传输的频度,以便了解所交换数据的某种性质。这种被动攻击义称为流量分析(Tra
11、ffic Analysis)。(5)恶意程序:恶意程序(Rogtle Program) 通常是指带有攻击意图所编写的一段程序。【知识模块】 计算机网络的安全14 【正确答案】 密码学(Cryptology)包含密码编码学(Cryptography)与密码分析学(Cryptanalyties)两部分内容。密码编码学是密码体制的设计学,是研究对数据进行变换的原理、手段和方法的技术和科学,而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术,是为了取得秘密的信息。而对密码系统及其流动的数据进行分析,是对密码原理、手段和方法进行分析、攻击的技术和科学。【知识模块】 计算机网络的安全15 【正
12、确答案】 单字母表是:明文:a b c d e fg h I J k l m密文:z s e x d r c f t g y b明文:n o p q r s t u v w x y z密文:h u n I m k o l p k a根据该单字母表,可得到下列与本题中给的密文对应的明文:the time has come the walrus said to talk of many thingsof shoes amd ships and sealing wax of cabbages and kingsand why the sea is boiling hot and whether pi
13、gs have wingsbut wait a bit the oysters cried before we have our chatfor some of us are out of breath and all of us are fatno hurry said the carpenter they thanked him much for that。【知识模块】 计算机网络的安全16 【正确答案】 密钥必须通过最安全的通路进行分配。可以使用非常可靠的信使携带密钥分配给互相通信的各用户,由于用户越来越多且网络流量越来越大,密钥更换过于频繁,派信使的方法已不再适用。举例:公钥的分配,首
14、先建立一个值得信赖的机构(认证中心 CA),将公钥与其对应的实体进行绑定,每个实体都有 CA 发来的证 15,里面有公钥及其拥有者的标识信息,此证书被 CA 进行了数字签名,任何用户都可从可信的地方获得 CA 的公钥,此公钥可用来验证某个公钥是否为某个实体所拥有。【知识模块】 计算机网络的安全17 【正确答案】 数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:被发送文件用 SHA 编码加密产生 128bit 的数字摘要。然后发送方用自己的私用密钏对摘要再加密,这就形成了数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密,同时对收到的文件用 SHA 编码加密产生又
15、一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过,否则不然。【知识模块】 计算机网络的安全18 【正确答案】 (1)报文的保密性和完整性是完全不同的概念。保密性的特点是:即使加密后的报文被攻击者截获了,攻击者也无法了解报文的内容。完整性的特点是:接收者接收到报文后,知道报文没有被篡改或伪造。(2)MD5 是 RFC 1321 提出的报文摘要算法,目前已获得了广泛的应用。它可以对任意长的报文进行运算,然后得出 128bit 的 MD 报文摘要代码。算法的大致过程如下:先将任意长的报文按模 264 计算其余数(64bit) ,
16、追加在报文的后面。这就是说,最后得出的 MD5 代码已包含了报文长度的信息。在报文和余数之间填充 1512bit,使得填充后的总长度是 512 的整数倍。填充比特的首位是 1,后面都是 0。将追加和填充的报文分割为一个个 512bit 的数据块512bit 的报文数据分成 4个 128bit 的数据依次送到不同的散列函数进行 4 轮计算。每一轮又都按 32bit 的小数据块进行复杂的运算。一直到最后计算出 MD5 报文摘要代码。这样得出的 MD5 代码中的每一个比特,都与原来的报:艾中的每一个比特有关。【知识模块】 计算机网络的安全19 【正确答案】 (1)中间人攻击(Man-In-The-M
17、iddle Attack,MITM 攻击)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人” 。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人” 能够与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到今天还具有极大的扩展空间。(2)要防范 MITM 攻击,可以将一些机密信息进行加密后再传输,这样即使被“ 中间人”截取也难以破解,另外,有
18、一些认证方式可以检测到 MITM 攻击。比如设备或IP 异常检测:如果用户以前从未使用某个设备或 IP 访问系统,则系统会采取措施。还有设备或 IP 频率检测:如果单一的设备或 IP 同时访问大量的用户账号,系统也会采取措施。更有效防范 MITM 攻击的方法是进行带外认证。【知识模块】 计算机网络的安全20 【正确答案】 在 IPSec 中最主要的两部分是:鉴别首部 AH 和封装安全有效载荷 ESP。AH 将每个数据报中的数据和一个变化的数字签名结合起来,共同验证发送方身份,使得通信一方能够确认发送数据的另一方的身份,并能够确认数据在传输过程中没有被篡改,防止受到第三方的攻击。它提供源站鉴别和
19、数据完整性,但不提供数据加密。ESP 提供了一种对 IP 负载进行加密的机制,对数据报中的数据另外进行加密,因此它不仪提供源站鉴别、数据完整性,也提供保密性。IPSec:是 IETF(Internet Engineering Task Force,Internet 工程任务组)的 IPSec 小组建立的一套安全协作的密钥管理方案,目的是尽量使下层的安全与上层的应用程序及用户独立,使应用程序和用户不必了解底层什么样的安全技术和手段,就能保证数据传输的可靠性及安全性。IPSec 是集多种安全技术于一体的安全体系结构,是一组 IP 安全协议集。IPSec 定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。【知识模块】 计算机网络的安全21 【正确答案】 PGP 是一种长期得到广泛使用和安全邮件标准。PGP 是 RSA 和传统加密的杂合算法,因为 RSA 算法计算量大,在速度上不适合加密大量数据,所以 PGP 实际上并不使用 RSA 来加密内容本身,而是采用 IDEA 的传统加密算法。PGP 用一个随机生成密钥及 IDEA 算法对明文加密,然后再用 RSA 算法对该密钥加密。收信人同样是用 RSA 解密出这个随机密钥,再用 IDEA 解密邮件明文。【知识模块】 计算机网络的安全
