搜索
第1页共3页上海交通大学网络教育学院试题纸课程名称:网络与信息安全届别专业:试卷类型:(开卷)教学站(点):学号:姓名:注意:1.请把所有答案及必要的解题过程全部写在答题纸上,否则无效!2.考试结束后,请将试题纸与答题纸分开一起上交给监考人员!1、单项选择题(每小题2分,共22分)1、IDS中的“主动武器”是(D)。A.事件产生器B.事件分析器C.事件数据库D.响应单元2、AH协议不能提供的服务是(C)。A.完整性保护B.抗重放攻击C.机密性D.B和CAH协议是用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造数据包的协议。考虑到计算效率,AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。当需要身份验证而不需要机密性的时候,使用AH协议是最好的选择。重放攻击(ReplayAttacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。3、被动攻击主要是监视公共媒体传输的信息,下列属于典型被动攻击的是(A)A、解密通信数据B、会话拦截C、系统干涉D、修改数据常见的被动攻击手段:口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击4、以下属于对称加密算法的是(A)A、DESB、MD5C、HASHD、RSA5、网络入侵检测系统的局限性是(B)。A.只检测它直接连接网段的通信,不能检测在不通网段的数据包。B.依赖于主机固有的日志与监视能力。C.IDS的运行或多或少影响主机的性能。D.只能对主机的特定用户、应用程序执行动作和日志进行检测,能检测到的攻击类型受到限制。入侵检测系统只能对主机或网络行为进行安全审计,在应用人侵检测系统的时候还存在以下一些问题,包括对用户知识要求较高,配置、操作和管理使用较为复杂;网络发展迅速,网络传输速率增加很快,对入侵检测系统的处理性能要求越来越高,现有技术发展水平难以满足实际处理速度需要;高虚警率,入侵系统会产生大量的警告信息和可疑的入侵行为记录,这些警告信息和记录增加很快,用户处理的负担很重;在许多情况下,由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,或分析得到有用的结果;入侵检测系统的自身安全防护问题也始终是一个较大的问题,该系统在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响。6、恢复时间最短、操作最方便的备份方式是(A)。A.完全备份B.增量备份C.差异备份D.按需备份7、病毒的基本特征是(B)。A.寄生性B.传染性C.潜伏性D.破坏性8、以下有关PKI中证书的描述正确的是(D)。A.利用证书可以向系统中其他实体证明自己的身份。B.证书可用于公钥的分发。C.证书的权威性取决于证书颁发机构的权威性。D.以上全是9、公钥基础设施(PKI)的核心组成部分是(A)A、认证机构CAB、X.509标准C、密钥备份和恢复D、PKI应用接口系统认证中心CA作为PKI的核心部分,CA实现了PKI中一些很重要的功能,概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。第2页共3页10、以下关于VPN的说法中的哪一项是正确的?(C)A、VPN是虚拟专用网的简称,它只能对ISP实施维护B、VPN是只能在第二层数据链路层上实现加密C、IPSEC也是VPN的一种D、VPN使用通道技术加密,但没有身份验证功能11、IP地址被封装在哪一层的头标里?(A)A.网络层B.传输层C.应用层D.数据链路层IP协议是网络层协议。MAC地址在数据链路层。TCP/UDP协议是传输层协议。2、判断题(每小题2分,共16分)1、信息安全的概念与技术是随着计算机、通信与网络等信息技术的发展而不断发展的,依次经历了单机系统的信息保密阶段、信息保障阶段和网络信息安全阶段。(X)依次经历了单机系统的信息保密阶段、网络信息安全阶段和信息保障阶段;2、被动攻击主要是监视公共媒体传输的信息,解密通信数据属于典型被动攻击。(√)3、模数运算的指数是一个已知的单向函数。(√)4、数据备份就是文件复制。(X)5、与消息认证相比,身份认证一般没有实时性的要求。(X)6、计算机病毒的隐蔽性表现为存在的隐蔽性与传染的隐蔽性。(√)7、计算机病毒程序的3个功能模块中,传染模块是病毒的核心部分。(X)破坏表现模块是病毒的核心部分。8、硬盘存储更适合容量小而且备份数据需要实时读取的系统。(√)3、名词解释/简答题(每小题8分,共32分)1、什么是PKI?PKI的基本组件有哪些?答:公钥基础设施(PublicKeyInfrastructure)是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。是一种遵循标准的利用公钥加密技术为电子商务的开展提供安全基础平台的技术和规范。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。PKI的基本组件有:认证中心(CertificateAuthority,CA)、注册机构(RegistrationAuthority,RA)、证书库(CertificationLibrary)、密钥备份及恢复系统(KeyEscrow)。2、分组密码和流密码的区别是什么?答:流密码是一次加密数据流里的一个位或是字节;分组密码是将一小段明文视为一体,然后产生长度相同的密文区块,每个区块的大小通常是64或128位;密码分析方面:流密码中比特流的很多统计特性影响到算法的安全性。密码实现方面:流密码通常是在特定硬件设备上实现;分组密码既可以在硬件实现,也方便在计算机上软件实现。3、公钥加密和密钥加密有什么区别。答:公钥加密和秘钥加密在加密和解密过程、加密解密速度、传输的安全性上都有所不同:1.加密和解密过程不同。秘钥加密过程和解密过程使用的同一个密钥。但公钥加密采用了两个密钥,一般使用公钥进行加密,使用私钥进行解密。2.加密解密速度不同。秘钥加密解密的速度比较快,适合数据比较长时的使用。公钥加密和解密花费的时间长、速度相对较慢,只适合对少量数据的使用。3.传输的安全性不同。秘钥加密的过程中无法确保密钥被安全传递,密文和密码在传递过程中有可能都被第三方截获,安全性相对较低。公钥加密算法中私钥是基于不同的算法生成不同的随机数,私钥通过一定的加密算法推导出公钥,但私钥到公钥的推导过程是单向的,也就是说公钥无法反推导出私钥。所以安全性较高。4、如何理解VPN的“虚拟”与“专用”?答:所谓虚拟,是指用户不再需要拥有实际的专用线路,而是使用Internet公共线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。4、应用题(共30分)1、你能否描述的密码块链接(CBC)模式加密解密的运作呢?答:1.CBC模式每一个要加密的明文区块在输入到加密算法之前,要先与前一个密文区块做XOR运算,而每个区块都使用相同的密钥;2.依照各明文区块的处理顺序,将之前产生的区块与目前区块进行XOR的动作,称为串接;3.每个明文区块来说,输入给加密函数的数据就不再与原来的明文区块有固定关系;4.解密时,每个密文区块都会送往解密算法,解密的结果再与前一个密文区块做XOR运算,最后才会产生明文区块;第3页共3页5.要产生第一个密文区块,需要初始向量:Ci=DESK1(PiXORCi-1)C-1=IV2、什么是单向陷门函数?请解释如何使用它来执行公共密钥加密和解密答:单向陷门函数是有一个陷门的一类特殊单向函数。单向陷门函数包含两个明显特征:一是单向性,二是存在陷门。以RSA算法为例解释使用单向陷门函数执行公共秘钥的加密和解密主要分以下步骤:1.任取两个大素数p和q,计算n=p*q;2.选取公钥e,使(𝑛,𝑒)满足e是相对于φ(n)=(p-1)*(q-1)的质数;3.计算私钥d,使(n,d)满足𝑑=𝑒^(-1)𝑚𝑜𝑑φ(𝑛)是e的乘法反转运算;4.加密:𝑐=𝑚^𝑒mod𝑛,在这里m是明文c是密文;5.解密:𝑚=𝑐^𝑑mod𝑛。3、一般来说,把一段详细的评述文字加密成一段加密文字,需要多少位DES密码?答:DSE一般采用56位长度的Key,所以总共有256种可能,这个数字大约是7.2X1016。