网络信息安全课后习题答案

2. 网络信息系统的资源：①人：决策、使用、管理者②应用：业务逻辑组件及 界面组件组成③支撑：为开发应用组件而提供技术上支撑的资源。

3. 信息安全的任务： 网络安全的任务是保障各种网络资源的稳定、可靠的运行 和受控、合法的使用；信息安全的任务是保障信息在存储、传输、处理等过程 中的安全，具体有机密性、完整性、不可抵赖性、可用性。

4. 网络安全防范体系层次： 物理层、系统层、网络层、应用层、管理层安全 5. 常见的信息安全技术： 密码技术、 身份认证、 数字签名、 防火墙、 入侵检测、 漏洞扫描。 -- .

1. 简述对称加密和公钥加密的基本原理 ： 所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解 密，或虽不相同，但可由其中任意一个很容易推出另一个；公钥加密使用使用 一对唯一性密钥，一为公钥一为私钥，不能从加密密钥推出解密密钥。 常用的对称加密有： DES、 IDEA、 RC2、 RC4、

SKIPJACK、 RC5、 AES 常用的公钥加密有： RSA、 Diffie-Hellman 密钥交换、 ElGamal

2. 凯撒密码 ：每一个明文字符都由其右第三个字符代替

RSA①选两个大素数pq②计算n=pq和® (n)=(p-1)(q-1) ③随机取加密密钥 e,使e和® (n)互素④计算解密密钥d,以满足ed=1moc^ (n)⑤加密函数E(x)=me mod n,解密函数D(x)=cc mod n, m是明文，c使密文⑥｛e , n｝为公开密钥，d 为私人密钥, n 一般大于等于 1024 位。

D-H密钥交换：①A和B定义大素数p及本源根a②A产生一个随机数x，计 算X=ci mod p,并发送给B③B产生y,计算Y二a mod p,并发送给A④A计算 k=Yx mod p⑤B计算k'二乂 mod p⑥k, k'即为私密密钥

1. PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱 动。 2. PKI组件(p24):认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙 更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。

3. PKI核心服务(p26):①认证：向一个实体确认另一个实体确实就是用户自己 ②完整性：向一个实体确保数据没有被有意或无意地修改③机密性：向一个实 体确保除了接受者,无人能读懂数据的关键部分。

4. PKI 的支撑服务 (p27) ：安全通信、 安全时间戳、 公证、不可否认、 特权管理。

5. 密匙和证书管理阶段(p34):①初始化阶段：终端实体注册、密匙对产生、 证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段：证书检索、证 书验证、密匙恢复、密匙更新③取消阶段：证书过期、证书撤消、密匙历史、 密匙档案。 6. PKI信任模型(p41):严格层次结构、分布式信任结构、 WE模型、以用户为 中心的信任。

7. 证书撤销方法（p38）:①周期发布机制：证书撤销列表、完全 CR②在线证书 状态协议（OCSP。 8. PKI框架图：

SSL/TSL IPSec S/MIME 其他 依赖于PKI的标准 X.509,PKCS,PKIX 定义PKI的标准 四：

I.IPSec协议的隧道模式与传输模式有何区别？如何实现？ （p46）

它们所保护的内容不同，传输模式保护的只是 IP的有效负载，而隧道模式保 护的是整个IP数据包。AH和ESP都支持这两种模式，存在四种形式。AH传输 模式AH隧道模式ESP传输模式ESP隧道模式。

2. 简述ESP和AH在中IPSec的作用，它们能否同时使用？ （p45）

AH为IP数据包提供3种服务，即无连接的数据完整性验证、数据源身份认证 和防重放攻击；ESP除了为IP数据包提供AH已有3种服务外，有还提供数据 包加密、数据流加密；可以同时使用，不过 AH提供的验证服务要强于ESR IPSec安全体系：

3.SSL _______________________________

SSL握手协议| SSL修改密码规格协议| SSL告警协议| HTTP LDAP' SSL记录协议 TCP __________________________ UDP _________________________

SSL握手协议（p50）:在实际的数据传输开始前，通信双方进行身份认证、协商 加

密算法、交换加密密钥等。

SSL修改密码规格协议（p50）:唯一目的是未决状态被复制为当前状态， 从而改 变这个连接将要使用的密码规格。

SSL告警协议（p50）:把有关警告传到各个实体。

SSL记录协议（p49）:在客户及和服务器之间传输应用数据和 SSL控制数据。

4.SSL记录协议的过程（p49）:分段、压缩、计算MAC码、加密、增加记录协议 头部。

分段

压缩

计算MAC

加密

增加记录 协议头部

5.S-HTTP相对于HTTP勺特性（p53）:是对HTTP扩充安全特性、增加了报文的 安全性，它是基于SSL技术的。该协议向 WW的应用提供完整性、鉴别、不可 抵赖性及机密性等安全措施。

6.SET在电子商务流程中安全保密功能的实现（p56）: 7.PGP加密和认证过程（p58）:

五：

1. 黑客常用的入侵方法（p61） : 口令入侵、特洛伊木马术、监听法、 E-mail技 术、利用系统漏洞。

2. 黑客入侵的一般步骤（p62）:①攻击的准备阶段：确定攻击的目的、信息收 集②攻击的实施阶段：获得权限、权限的扩大③攻击的善后工作：隐藏踪迹、 后门 3. 常用的扫描技术（p66）:端口扫描技术。漏洞扫描技术

4. 拒绝服务攻击技术原理（p68）:根本目的是使受害主机或网络无法及时处理 （或回应）外界请求。①制造高流量无用数据，造成网络拥塞，使受害主机无法 正常和外界通信②利用受害主机提供的服务或传输协议上的缺陷，反复高速地 发出特定的

服务请求，使受害主机无法及时处理所有正常请求③利用受害主机 所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误，这样 可以大量占用系统资源，使主机处于假死状态或者死机。

5. 缓冲溢出的原理 （p69） ：通过往程序的缓冲区写超出其长度的内容，造成缓 冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的 目的。根本原因在于编程语言对缓冲区缺乏严格的边界检查。

6. 缓冲溢出的关键技术 （p71） ①进程的内存组织形式②堆栈区域③ Shell Code 7. 常用的后门技术防范（p73）①评估②MD5基准线③入侵检测④从 CD-ROM!动 8.Sniffer 技术：Sniffer是利用计算机的网络接口截获目的地来为其他计算 机的数据报文传送的一种工具 ,所关心的内容可分为：口令、偷窥机密或敏感 的信息数据、窥探低级的协议信息。 六：

1. 计算机病毒： 一种定义是通过磁盘、 磁带和网络等作为媒介传播扩散， 能“传 染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具 有潜伏性、传染性和破坏性的程序。还有一种定义是一种人为制造的程序，它 通过不同的途径潜伏或寄生在存储媒体 （如磁盘、内存 ）或程序里，当某种条件 或时机成熟时， 它会自身复制并传播， 使计算机资源受到不同程序的破坏等等。

2. 计算机病毒的主要特征 ：传染性、隐蔽性、潜伏性、破坏性、非授权可执行 性。

3. 简述计算机病毒的工作原理 ： 引导型病毒：病毒把自己存放在引导区，当做正常的引导程序，而将真正的引 导程序搬到其他位置，当计算机启动时，就会把病毒程序当作正常的引导程序 来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活， 可以随时进行感染和破坏活动。 典型代表：大麻病毒 （“石头”病毒、“新西兰” 病毒） ，工作原理：加载、感染、破坏。

文件型病毒：主要攻击 COM、EXE、SYS、DLL 等可执行文件，病毒对计算机的 源文件进行修改， 使其成为新的带毒文件， 一旦计算机运行该文件就会被感染， 从而达到传播的目的。典型代表： CIH,首例直接攻击和破坏计算机硬件系统 的病毒，破坏方式：攻击 BIOS覆盖硬盘。

4. 简述计算机病毒传染的一般过程 ：在系统运行时 , 病毒通过病毒载体即系统 的外存储器进入系统的内存储器 , 常驻内存。该病毒在系统内存中监视系统的 运行, 当它发现有攻击的目标存在并满足条件时 ,便从内存中将自身存入被攻 击的目标 ,从而将病毒进行传播。而病毒利用系统 INT 13H 读写磁盘的中断又 将其写入系统的外存储器软盘或硬盘中 , 再感染其他系统。 5. 简述计算机病毒的防治方法 ：

用户角度：①计算机病毒的预防：树立牢固的计算机病毒的预防思想；堵塞计 算机病毒的传染途径；②计算机病毒的检测和消除：人工方法 （借助调试程序 及工具软件等进行手工检测和消除处理，操作复杂易出错，要求操作者对系统 十分熟悉 ） ；自动方法 （ 针对某种或多种病毒使用专门的反病毒软件自动对病毒 进行检测和消除处理，操作简单速度快，不会破坏系统数据 ）

技术角度：①病毒预防技术：包括对已知病毒的特征判定技术或静态判定技术 和对未知病毒的动态判定技术②病毒检测技术：包括根据计算机病毒程序中的 关键字、

特征程序段、病毒特征及传染方式、文件长度的变化，在特征分类的 基础上建立的病毒检测技术和不针对具体病毒程序的自身检测技术③病毒消 除技术：病毒传染程序的逆过程，是病毒检测的延伸④病毒免疫技术：没有很 大发展。 七：

1. 防火墙的基本功能：对内部网络进行划分，实现对重点网段的隔离；实现对 内部网络的集中管理，强化网络安全策略；是审计和记录In ternet使用费用 的一个最佳地点；可防止非法用户进入内部网络，防止内部信息的外泄；可利

用NAT技术将有限的IP地址动态或静态地与内部IP地址对应起来，以缓解地 址空间短缺的问题。可通过IP通道构建VPN

2. 静态包过滤型、状态检测型和代理服务型防火墙的优缺点 ： 种类 优点 缺点 需对IP/TCP等各种协议比较了解；易 被地址欺骗；应用层控制很弱；允许 外部拥护直接与内部主机相连；不检 查数据区；不建立连接状态表。 状态 既提供了静态包过滤防火墙的 处只检测数据包的第三层信息，无法彻 底检测 理速度和灵活性，又兼具应用 的识别数据包中大量的垃圾邮件、 广告型 层网关理解应用程序状态的能 力以及木马程序等；应用层控制很 弱；不与安全性，是目前最流行的 检查数据区； 可伸缩性差；不适合用来控制内部人 员代理 实施较强的数据流监控、过滤、 服务 记录和报告等，具有极咼的安全 访问外界的网络；不能很好地支持 新应器型 性和效率，可以支持多种网络协 用；不支持大规模的并发连接； 不检查议和应用，且可以方便地扩展实 IP、TCP!头，网络层保护较 现对各种非标准服务的支持。 弱； 3. 比较Linux下的IPTables与 Windows XP自带的防火墙各自的优缺点：

IPTables :允许建立状态防火墙，就是在内存中保存穿过防火墙的每条连接； 能够过滤TCP标志任意组合报文，还能够过滤MACfe址；系统日志比IPChains 更容易配置，扩展性也更好；对于 NAT和透明代理的支持，Netfilter 更为强 大和易于使用；能够阻止某些（例如SYS攻击）Dos攻击。

ICF:互联网连接防火墙，系统内建，占用资源少且不花额外的钱去购买，鉴 于ICF工作原理，ICF不能很好地应用在服务器上，也不能完全取代现有的个 人防火墙产品，无法提供基于应用程序的保护，也无法建立基于 IP包的包审 核策略。 八：

1. 入侵检测系统有哪些功能：通过检测和记录网络中的安全违规行为，追踪网 络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全 违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报。报告计算 机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络 中存在的安全弱点，利于进行修补；在大型、复杂的计算机网络中布置入侵检 测系统，可以显著提高网络安全管理的质量。

2. 基于网络的和基于主机的 IDS 各有什么优缺点 ： 静态 实现逻辑比较简单，对网络性能 包过 影响较小，有较强的透明性，与 滤型 应用层无关，是最快的防火墙 基于网络 （使用原始的网络分组数据包作为进行攻击分析的数据源 ） ：低成本； 攻击者转移入侵证据很困难；实时检测和应答，一旦发生攻击可以随时发现， 能够更快地做出反应从而将入侵活动对系统的破坏降到最低；能够检测未成功 的或试探性的攻击企图；与操作系立，不依赖于主机的操作系统类型，而 基于主机的系统需要特定的操作系统才能发挥作用。

基于主机 （ 监视操作系统安全日志以及关键应用的日志文件 ） ：非常适用于加密 和交换网络环境；接近实时的检测和应答；不需要额外的硬件；能实现应用级 的入侵检测

3.IDS 常用的检测引擎技术有 ：统计方法；专家系统；神经网络；状态转移分 析； Petri 网；计算机免疫； Agent 技术；遗传算法；数据挖掘；粗糙集理论。

4.IDS 的局限性 ：存在过多的报警信息，即使在没有恶意攻击时，入侵检测系 统也会发出大量报警；入侵检测系统自身的攻击能力差；缺乏检测高水平攻击 者的有效手段。

5. 蜜罐系统：是诱捕攻击者的一个陷阱，是一个包含漏洞的诱骗系统，它通过 模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。由于蜜罐并 没有向外界提供真正有价值的服务，因此所有对蜜罐的尝试都被视为可疑的。 另一个作用是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

6. 构造一个蜜罐系统需要的主要技术有 ：网络欺骗、端口重定向、报警、数据 控制和数据捕获等。 九：

1. 隐写技术 ：也称信息隐藏，是通过正常载体来传递秘密信息，以达到隐匿的 目的，从而使它在传递过程中不会被感知。

2. 隐写分析技术 ：是对表面正常的图像、音频、视频等媒体信号（尤其是通过 互联网进行传输的信号）进行检测，判断其中是否嵌有秘密信息（这些秘密信 息是通过一定的隐写算法嵌入的） ，甚至只是指出媒体中存在秘密信息的可能 性，这样就可以找到敌对隐蔽通信的信源，从而阻断隐蔽通信的信道。

3. 隐写技术的类型 ：非纯载体分析、知道纯载体分析、知道隐信息分析、选择 隐写分析、选择信息分析、知道隐写分析。

4. LSB 算法 ：将秘密信息嵌入到载体图像像素值的最低有效位，也称最不显著 位，改变这一位置对载体图像的品质影响最小。

5. 常用的隐写分析技术 ：隐写特征分析、感觉系统分析、统计分析

十：

1. 计算机取证技术 ：应用计算机调查和分析技术，使用软件和工具，以对存在 于计算机和相关外设中的以磁介质编码信息方式存储的潜在的、有法律效率的 计算机犯罪证据加以保护、确认、提取和归档的技术。

2. 数字证据的概念及特点 ：狭义上是在计算机和网络系统运行过程中产生的以 其记录的内容来证明案件事实的电磁记录物；广义上是以数字形式存储或传输 的信息或资料。易变性、易损毁性、易篡改性、不可见性、依赖性

3. 计算机取证的一般步骤 ：保护现场和现场勘查；获取证据；鉴定证据；分析 证据；进行追踪；提交结果

4. 常用的计算机取证工具以及它们各自的主要功能 ：文件浏览器：数据文件的 阅

读工具，只用于查看无编辑恢复功能，体积小并防止证据的破坏。图片检查 工具：图片检查反删除。CD-ROM具：看到一般情况下看不到的数据。文本搜 索拷贝工具：文本搜索。磁盘擦除工具：取证分析前，清除硬盘数据。取证程 序：收集及分析数据。

5. 当前计算机取证技术的发展趋势 ：取证的领域扩大与取证工具专业化和自动 化；融合其他理论和技术；取证工具和过程标准化。