腾讯云网站建设教学视频,乐高编程培训,佛山网站建设推广,怎么给自己做个网站北京信息科技大学 2018 ~2019 学年第 2 学期 《信息安全》课程期末考试试卷 B 课程所在学院:计算机学院 适用专业班级:计科 1601-06#xff0c;重修 考试形式:(闭卷)
一. 选择题(本题满分 10 分#xff0c;共含 10 道小题#xff0c;每小题 1 分) 网络中存在的安全漏洞主… 北京信息科技大学 2018 ~2019 学年第 2 学期 《信息安全》课程期末考试试卷 B 课程所在学院:计算机学院 适用专业班级:计科 1601-06重修 考试形式:(闭卷)
一. 选择题(本题满分 10 分共含 10 道小题每小题 1 分) 网络中存在的安全漏洞主要有( D ) 。 1弱口令 2访问控制策略不恰当 3用户权限未分类管理 4未建立合理的安全风险管理机制 A.1 B. 1 2 C. 1 2 3 D. 1 2 3 4 不能够防御信息被非法访问的技术有( D ) 。 A.密码学技术 B.入侵检测技术 C.访问控制技术 D.远程访问技术 基于主机的入侵检测系统的主要利用( A )作为数据源。 A.审计记录 B.日志记录 C.网络数据包 D.加密数据 Denning 提出的模型是一个基于主机的入侵检测模型该模型使用审计记录作为数据源详情参见PPT第六讲35页 以下不属于网络可用性目标的是( D ) 。 A. 合法用户能够以约定的性能访问网络应用 B. 非授权用户无法访问所防护的网络应用 C. 能够及时发现影响网络服务质量的攻击 D. 非授权用户不能解密网络应用的加密数据 网络的可用性目标主要是确保网络服务能够持续正常地为授权用户提供服务包括在面临各种可能的干扰和攻击时仍能维持运行。选项D 不属于网络可用性目标这个选项更多地涉及到网络的保密性目标即防止未经授权的访问、监听数据等。 未被检测到的重放网络数据破坏了网络安全的( D ) 。 A.可用性 B.保密性 C.完整性 D.不可伪造性 为保证信息处理对象的机密性通常采用的手段是( A ) 。 A. 信息加密和解密 B. 访问控制列表 C. 数字签名和身份认证技术 D. 数字水印 下列对包过滤型防火墙特点描述不正确的是( C ) 。 A. 数据包的过滤规则难以准确定义 B. 随着过滤规则的增加路由器的吞吐率会下降 C. 处理包的速度比代理服务器慢 D. 不能防范大多数类型的 IP 地址欺骗 选项C的说法是不正确的。包过滤型防火墙的工作方式是通过检查传输中的每个数据包的头部信息例如源IP地址、目标IP地址、端口号等然后根据预定义的规则集来决定是否允许数据包通过。由于包过滤型防火墙仅在网络层进行处理并没有进行更深入的包内容分析和处理因此处理速度通常比代理服务器快。 以下不能用于数据加密的算法是( D ) 。 A. DES B. AES C. RSA D. SHA-1 SHA-1 是一种哈希算法不是数据加密算法 下列攻击中能够获取未授权信息的是( C ) 。 A.SYN 攻击 B.重放攻击 C.缓冲区溢出攻击 D.Ping of Death 攻击 缓冲区溢出攻击发生在当程序试图向一个已经满了的缓冲区写入数据时这个额外的信息可以溢出到邻近的内存区域覆盖并改变该区域的内容。通过这种方式攻击者可以执行任意命令包括获取未授权信息等。 下列攻击中属于被动攻击的是( C ) 。 A.中断 B.篡改 C.伪造 D.窃听
二.判断题(本题满分 10 分共含 10 道小题每小题 1 分)
×系统的防护措施越多该系统就越安全。√网络安全威胁主要来自恶意用户、使用人员不当操作、自然灾害等方面。×可以使用数字签名技术保障信息的机密性。×对数据使用密钥 k 进行加密必须使用 k 才能实现数据解密。√在网络安全技术中防火墙是一种访问控制手段。×密码分析是指找到与给定密文对应的明文。√漏洞扫描工具能够用于网络攻击。√可以使用 RSA 加密算法的私钥对数据进行数字签名。× 出于网络安全目的等级高的用户应具有较低等级用户的所有权限。√入侵检测系统需要采集访问数据流量并进行比对分析。 解释 在某些情况下过多的防护措施可能会导致系统复杂性增加从而引入更多的安全漏洞。 数字签名技术主要用来保证信息的完整性和非否认性而非机密性。信息的机密性通常通过加密来保证。 对于非对称加密例如RSA加密和解密使用的是一对密钥它们是不同的。 在实际的系统安全设计中更高级别的主体并不一定会拥有所有更低级别主体的权限。有时候即使是级别较高的主体也可能无法访问某些特定的资源或执行特定的操作这是因为这些资源或操作可能只对特定的主体开放 三、简答题 (5 分)简要说明描述密码系统的 5 元组任选一种规则说明密码系统的分类。 密码系统通常用一个五元组M C K E D来表示其中 M为Message、C为CipherK为KeyE为EncryptionD为Decryption M明文空间包括所有可能的明文。C密文空间包括所有可能的密文。K密钥空间包括所有可能的密钥。E加密算法的集合每个密钥k ∈ K都对应一个加密算法Ek ∈ E使得EkM → C。D解密算法的集合每个密钥k ∈ K都对应一个解密算法Dk ∈ D使得DkC → M。 我们可以根据密钥的使用方式将密码系统分为两类 对称密码系统在对称密码系统中加密和解密使用的是同一个密钥。非对称密码系统在非对称密码系统中加密和解密分别使用不同的密钥。 对于任意 Hash 算法是否一定存在具有相同 Hash 值的两个信息说明理想的 Hash 算法应满足的特性。 答对于任意的Hash算法理论上总是存在具有相同Hash值的两个不同的输入信息这种现象被称为“Hash冲突”。理想的 Hash 算法应满足的特性为 高效性对于任何给定的输入计算其Hash值应该相对快速和简单。雪崩性改变给定数值的任何一个比特H(M) 都会产生巨大的变化。抗预测性对于给定的输入和Hash值预测其他输入的Hash值应该非常困难。强碰撞性找到两个不同的输入它们具有相同的Hash值应该非常困难。弱碰撞性给定一个输入和它的Hash值找到另一个具有相同Hash值的输入应该非常困难。 PPT第三讲10页 简述防火墙部署模式并说明它们各自有什么特点 答防火墙可以根据其部署位置和方式分为几种不同的类型下面是一些常见的模式 边界防火墙这是最常见的防火墙部署模式一般部署在企业网络和互联网之间的边界上也就是所谓的网络边缘。内部防火墙内部防火墙通常用于保护网络的特定区域比如内部的一个敏感部门或者一些特殊的网络资源它可以防止内部威胁比如内部恶意用户和限制网络的横向流动。主机防火墙主机防火墙是安装在单个主机上的防火墙可以过滤和控制进出该主机的网络流量。虚拟防火墙虚拟防火墙是一种在虚拟环境中部署的防火墙可以保护虚拟网络和虚拟机它提供和传统防火墙类似的功能但是可以更好地适应虚拟化和云计算环境。 PPT第六讲69页 IPsec 是一种常见 VPN 技术采用加密技术实现在公共网络中建立专用的数据通信通道请以 IPsec 为例说明加密通信的实现步骤。 答IPsec 主要用于 VPN它可以在不安全的网络上创建一个安全的通道实现步骤为 建立安全关联SASA是用于定义通信双方如何使用IPsec进行加密和认证通信的参数集合。一个SA会包含如何加密数据、如何验证数据完整性、如何管理密钥等信息。密钥交换IPsec 使用 Internet Key Exchange (IKE) 协议进行密钥交换。IKE 协议可以安全地在不安全的网络上交换密钥并且可以定期更换密钥以提高安全性。数据加密一旦建立了 SA 和密钥IPsec 就开始加密数据。数据发送加密后的数据包可以通过不安全的网络发送到目标地址。因为数据包已经被加密所以即使数据包被拦截攻击者也无法读取或修改数据。数据解密接收者收到数据包后使用相同的 SA 和密钥进行解密和验证。如果数据包通过了验证那么接收者就可以读取原始的数据。 PPT第六讲128页 请简述 BIBA 访问控制模型。 答Biba模型主要的作用是保障资源完整性特征为“不上写、不下读”能有效防止信息的非授权修改。Biba模型定义了两个基本规则 不可下读一个主体不能读取完整性等级较低的信息防止完整性较低的信息污染完整性较高的主体。不可上写一个主体不能写入到完整性等级较高的对象防止主体将可能有问题的数据写入到需要保持高完整性的对象中。 Biba模型确保了数据完整性使得不可信的、低完整性的信息不能污染或破坏高完整性的信息。这种模型在需要保证信息没有被篡改、不包含错误或恶意代码的环境中非常有用例如在银行、医疗、军事等领域。(PPT第五讲31页)
四. 综合题 10 分Alice 和 Bob 之间采用 RSA 公钥体制进行保密通信其中Alice 的私钥 eA 13选择的大素数 pA7、qA11Bob 的私钥 eB 5选择的大素数 pB5、qB13。 1分别计算 Alice 和Bob 的公钥说明应该向对方公开的信息。 2若 Alice 需要向 Bob 发送的消息 m10计算对应的密文和 Bob 的解密过程。 答1PPT第三讲35页 Alice: 因为 nA pA * qA 7 * 11 77φ( nA) (pA-1) * (qA-1) 6 * 10 60根据条件Alice的私钥 eA13所以有 13 * kA ≡ 1 (mod 60)解得公钥 kA 37所以Alice的公钥是(77 37)。 Bob: 因为 nB B * qB 5 * 13 65φ( nB) (pB-1) * (qB-1) 4 * 12 48根据条件Bob的私钥 eB5那么根据公钥和私钥的关系5 * kB ≡ 1 (mod 48)解得公钥 kB 29所以Bob的公钥是(65 29)。 2Alice 需要向 Bob 发送的消息所以 Alice 应该使用 Bob 的公钥对消息进行加密以保证通信的保密性加密过程为c mkB mod nB 1029 mod 65 30Bob使用自己的私钥进行解密解密过程为m ceB mod 65 305 mod 65 10。 10 分在 Diffie-Hellman 方法中公共素数 q 13本原根 α 2 1如果用户 A 选择的秘密数 XA 5则 A 向 B 发送的的公钥 YA为多少? 2如果用户 A 收到用户 B 的公钥 YB 3则共享密钥 K 为多少 3使用此方法进行密钥协商是否存在漏洞并分析说明。 答PPT第二讲103页 1 A 向 B 发送的的公钥 YA为YA a ^ XA mod q 25 mod 13 6 2共享密钥K YB ^ XA mod q 35 mod 13 9 3存在漏洞主要的安全问题包括 中间人攻击如果一个攻击者能够控制A和B之间的通信通道那么他就能够拦截并替换A和B发送的公钥使得A和B实际上是与攻击者共享密钥而不是彼此共享密钥。对数问题DH算法的安全性基于离散对数问题的困难性。但是如果攻击者拥有足够的计算资源他可能能够通过计算离散对数来找出A或B的秘密数从而破解共享密钥。 10 分看图回答问题。 1说出一种使用上述结构设计的加密算法。 2上述加密算法中每次被加密的分组长度和密钥长度分别是多少 3对于一个大小为 1.2K 比特的文件请设计一种使用上述加密算法的加密方案并说明文件明文与密文的对应关系。 答 1DES对称加密算法【PPT第二讲60页】 264位64位有效长度56位【PPT第二讲57页】 3如果我们使用DES算法来加密一个大小为1.2K比特的文件我们可以遵循以下步骤【PPT第二讲64页】 首先因为DES算法每次加密的分组长度是64位所以我们需要将1.2K比特的文件分为多个64位的分组。1.2K比特等于1200比特所以我们可以将文件分为18个64位分组最后一组只有48位。接下来我们可以使用DES算法和一个56位的密钥来加密每个分组。在这个过程中每个分组会被替换为一个同样长度的密文分组。最后我们可以将所有的密文分组连接起来形成一个1.2K比特的密文文件。 10 分请描述下图通信过程中所使用的加密/解密和认证步骤并分析说明实现了哪些安全目标(机密性/完整性/可用性/不可否认性) 答步骤如下 1首先消息发送方将消息M应用特定的消息认证码算法即使用密钥 K1 对消息 M 进行处理生成 MAC(K1 M) 2然后消息发送方将 MAC(K1 M) 与原消息M进行打包使用对称密钥K2进行加密发送给消息接收方。 3消息接收方收到消息后先对消息使用对称密钥K2进行解密得到 M 与 C(K1 M)C(K1 M)对应消息发送方中 MAC(K1 M) 。 4消息接收方将消息 M 使用密钥 K1 进行处理将得到的结果与 C(K1 M) 进行对比如果相同则说明消息的确是由消息发送方发送的并且没有被篡改反之则说明存在风险。 该通信过程同时实现了机密性/完整性/可用性/不可否认性的安全目标分析如下 1机密性整个通信过程中由于所有的消息都是用对称密钥 K (2) 进行加密后再发送所以只有知道这个对称密钥的接收方才能解密并获取原始消息从而保证了消息的机密性。 2完整性 接收方在接收到消息后会使用同样的消息认证码算法和密钥 K (1) 对原始消息进行处理并将处理的结果与接收到的 MAC(K (1) M) 进行对比从而实现了消息的完整性检查。 3可用性只要发送方和接收方都知道正确的对称密钥和消息认证码算法就可以随时进行安全的通信保证了系统的可用性。 4不可否认性 由于消息的 MAC 是由发送方使用密钥 K (1) 和原始消息计算得出的只有知道对称密钥的发送方才能生成正确的 MAC。所以接收方可以通过检查 MAC 来证明消息确实是由特定的发送方发送的发送方不能否认已发送过这个消息从而实现了消息的不可否认性。 12 分假设你是一名校园网的安全管理人员要向广大师生宣传安全上网技巧 1请以个人经验向师生列举你所了解的网络安全保障手段设备并说明它们能应对何种网络安全攻击; 2请从个人信息保护和防止入侵个人计算机系统角度给出可行的建议 至少列举 2 个; 3若为保障一个涉密系统的机密性请按照分级管理的方法设计一种可行的访问控制权限管理模型。 答1网络安全设备及其能应对的安全攻击 防火墙防火墙能够拦截不安全的网络连接请求防止未经授权的访问与端口扫描、拒绝服务攻击等行为。安全网关利用诸如VPN等技术对网络通信提供加密和安全机制防止中间人攻击与网络窃听等。反病毒软件防止恶意软件对计算机的攻击清除已经感染的电脑病毒。入侵检测/防御系统检测网络中的异常行为或可疑活动并对检测到的攻击进行阻断从而防止攻击的发生如漏洞利用、恶意软件传播等。 2在个人信息保护和防止入侵个人计算机系统方面我有以下建议 使用强密码。强密码通常包括大写字母数字和特殊字符的组合长度至少为8个字符。不在不安全的网络环境中访问敏感信息如不在公共Wi-Fi网络中进行在线购物等操作。 3对于保障涉密系统的机密性我建议使用一种基于角色的访问控制模型。在这种模型中我们可以根据用户的职责分配相应的角色每个角色有一定的权限如 系统管理员具有最高级别的访问权限包括管理用户账户、设置安全策略等。二级管理员能够管理和操作敏感数据但不能更改系统设置或安全策略。普通用户只能访问和操作自己需要的数据不能访问和操作其他用户的数据。 每个用户只能访问其角色允许的资源和操作。新的用户可以根据其职责分配相应的角色不需要为每个用户单独设置权限这种模型可以有效地实现分级管理同时也简化了权限管理的工作。
