最新《信息系统安全》第三次作业答案与分析.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date信息系统安全第三次作业答案与分析信息安全管理第三次答案信息系统安全第三次答案一、判断题1、 唯密文攻击是指密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文，分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。（错误，这是已知明文攻击。）2、 序列加密非常容易被破解。（正确，分组加密很难，公钥加密很难）3、 DES加密是分组加密算法的一种。（正确）4、 CA证书永久有效。（错误，有有效期的，有过期时间）5、 一次性密码的密钥，随着周期重复，可能会重复出现。（错误，无周期，不重复）6、 VPN是一条穿过混乱的公用网络的安全、稳定的隧道，通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个永久的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。（错误，不是永久的，是临时的）7、 邮件加密能防止邮件病毒。（错误，加密只是把数据加密，不能判断其中是否有毒）8、 防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护外部网络。（错误，用来保护内部网络）9、 防火墙可以设置成为只允许电子邮件通过，因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。（正确）10、 内部网络和外部网络之间的所有网络数据流都必须经过防火墙，只有符合安全策略的数据流才能通过防火墙。（正确）11、 CA中心发放的SSL证书，其作用是通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。（错误，应该是SET证书）二、 选择题1、加/解密密钥是相同的，这种加密方法是（）。A、公开密钥算法B、非对称算法C、对称算法D、动态加密是C。A与B是一样的，动态加密指每次密码不一样，不关心加密密码与解密密码是否一样。2、分析者不仅可得到一些消息的密文和相应的明文，而且他们也可选择被加密的明文，这种密码分析攻击属于（）类。A、 选择明文攻击B、已知明文攻击C、唯密文攻击D、选择密文攻击是A3、公钥密码有别于传统密码的特点是（）。A、密码长度更长B、加密密钥不同于解秘密钥C、分组的每个组数据长度更长D、公钥与私钥均可公开是B4、RSA公钥密码的安全性依赖于（）。A、分组加密B、多表加密C、基于椭圆曲线的单项限门函数D、大数的因数分解的困难性是D5、加密密钥的分发，其过程就是对密钥本身进行管理、生成、保持和撤回这种密钥，称之为（）。A、密钥保管B、密钥管理C、密钥加密D、密钥存储是A6、张三向李四提出通信请求，一开始张三向李四发出呼叫，使用的密钥为（）。A、公钥B、私钥C、会话密钥D、交换密钥是D。A与B是公钥加密的两个密钥，与通讯会话无关。会话密钥是保持通讯过程中的加密。D是与通信过程本身相关的加密密钥7、李四向王五发出通讯请求，并与王五建立了加密通讯。张三窃取了李四与王五之间的密钥A。张三向王五发出通讯请求，并与王五建立了加密通讯，原密钥为B，张三使用密钥A伪装陈李四，向王五发出消息。王五却无法有效解密消息，是因为王五与李四建立的加密通讯使用的密钥A，不同于王五与李四建立的加密通讯使用的密钥B，两个密钥都属于（），当会话结束时，就被丢弃。A、公钥B、私钥C、会话密钥D、交换密钥是C。王五针对张三的会话，生成了会话密钥A；王五针对李四的会话，生成了会话密钥B；减少了窃听者破解密码的可能性。它同时也降低了重复攻击的有效性。8、张三给李四使用对称密钥加密方法，发送一段消息。同时张三通过安全通道向李四发出密钥，可是李四不小心将密钥泄漏给了王五，王五就能（）。A、使用窃听的密钥，对消息进行正确解密B、使用窃听的密钥，不能对消息进行正确解密C、使用张三的公钥，加上窃听的密钥，能对消息进行正确解密D、使用李四的公钥，加上窃听的密钥，能对消息进行正确解密是A，对称加密一旦密码泄漏，即泄密了。9、张三给李四使用公钥加密方法，发送一段消息，则李四可以用公开的密钥，再加上（）对消息有效解密。A、李四的私钥B、张三的私钥C、张三的公钥D、李四的公钥，是A。10、张三与李四需要进行通信。张三与李四向外通讯线路，被王五截获。张三李四在不知情的情况下通过王五，进行二者之间的通信，却不知王五在将通信内容发送到预期接收人之前监控和读取通信内容，王五这种行为被称作（）。A、搭线监听B、中间人攻击C、泛洪攻击D、DDoS是B，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。11、中间人攻击除了可以信息窃取以外，还能进行（）。A、身份认证B、加密隧道C、数据加密D、信息篡改是D12、ARP欺骗，又称ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。这种方法属于（）的一种。A、网站钓鱼B、病毒C、中间人攻击D、DDoS是C。13、一种攻击方法，将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。这种方法称作（）。A、多级DNSB、DNS溢出C、DNS欺骗D、DNS信息泄露是C。14、黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。这种方法称作（）。A、ARP欺骗B、ARP广播C、ARP监听D、ARP动态更新是A15、以下不属于中间人攻击的黑客方法是（）。A、会话劫持B、ARP欺骗C、DNS欺骗D、DDoS是D。中间人攻击是指攻击者在两个通信用户不知情的情况下通过其计算机重新路由二者之间的通信的行为。会话劫持（Session hijacking），是一种网络攻击手段，黑客可以通过破坏已创建的数据流而实现劫持，属于中间人。ARP欺骗劫持了ARP数据包，伪装IP地址，属于中间人。DNS欺骗劫持了DNS，伪装域名，属于中间人。16、（）是一种权威性的电子文档，提供了一种在Internet上验证身份的方式。A、数字签名B、数字信封C、数字证书D、代理证书是C17、数字证书的发放机构为（）。A、CA中心B、银行C、信用卡中心D、人事部是A18、证书签名链依赖于（）协议。A、TCPB、IPC、IPSECD、X509是D19、张三从某CA处获得证书，李四从另外一个CA处获得证书，且两个CA相互已经为对方发行证书，则张三与李四能进行（）。A、交叉认证B、签名C、密钥交换D、密钥分发是A20、张三向李四发消息，对消息做摘要并用公钥系统进行加密，加密后的摘要称之为（）。A、CA证书B、签名C、数字信封D、数字密钥是B21、张三向李四发消息，并发送数字签名。李四收到消息与签名后，对签名进行验证，发现与消息内容不能匹配，则可能是（）。A、张三电脑有毒B、张三证书过期了C、传输过程被篡改D、李四电脑有毒是C。有病毒不会影响签名算法。证书过期不能签名。22、一个密钥系统，任一明文的密钥都是由公钥唯一确定的，则该系统称之为（）A、确定型密钥B、概率型密钥C、密钥契约D、密钥管理是A23、数据库中监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，属于数据库（）。A、接口系统B、存储系统C、用户权限管理系统D、安全审计系统是D24、Oracle有多达20个以上的缺省用户，Sybase也有超过10个的缺省用户，为了保证数据库安全，需要（）。A、给缺省用户设置DBA权限B、给缺省用户设置为用户权限C、将缺省用户名称改成DBAD、更改这些缺省用户密码是D。给权限有风险，也不能改名，应该是设置密码。25、入侵者将未经授权的数据库语句插入到有漏洞的SQL数据信道中，称之为（）A、SQL注入攻击B、数据库加密C、数据库审计D、SQL命令加密是A26、网络窃听是一种在网络上截取传输流的一种非常有效的办法，可以窃听到邮箱帐号和密码，还有那些使用（）传输的协议帐号。A、密文B、明文C、签名D、数字信封是B。明文可以监听到。27、电影窃听风云里警方通过信号拦截系统，对手机机主进行窃听，这属于（）A、信道侦听B、流量分析C、电缆保护D、无线屏蔽是A28、数字信封加密技术（）A、结合了对称加密算法和非对称加密算法的优点B、利用了对称加密算法的速度快，适合大数据量的优点，未使用非对称加密算法C、利用了公钥加密的数据只有对应的私钥解开，适合向确定的对象发送小批量数据的优点，未使用对称加密算法D、未使用对称加密算法和非对称加密算法，使用了概率加密方法是A。对称加密算法的速度快，适合大数据量，但接收方同发送方的密钥协商困难；非对称加密算法运算量大，运算速度慢，不适合大量数据的加密，但公钥加密的数据只有对应的私钥解开，适合向确定的对象发送小批量数据29、一般的数据加密可以在通信的三个层次来实现，为（）。A、线路加密、节点加密和端到端加密B、电缆加密、节点加密和端到端加密C、链路加密、节点加密和端到端加密D、会话加密、节点加密和端到端加密是C30、安全套接层（Secure Sockets Layer，SSL）及传输层安全（Transport Layer Security，TLS），都是在（）对网络连接进行加密。A、物理层B、传输层C、会话层D、应用层是B31、在浏览器的网址栏输入开头为“https:”的网址时，就表示目前是透过（）连线。A、SSLB、IPSecC、VPND、加密网关是A32、高层的应用协议如HTTP、FTP、Telnet等能透明地建立于SSL协议之上，是因为SSL协议是（）。A、应用层协议无关的B、建立在应用层上的C、建立在链路层上的B、建立在传输层上的是A。SSL是传输层的33、WEB客户机通过连接到一个支持SSL的服务器，启动一次SSL会话。支持SSL的典型WEB服务器在一个与标准HTTP请求（默认为端口80）不同的端口（默认为443）上接受SSL连接请求。当客户机连接到这个端口上时，它将启动一次建立SSL会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，直到SSL会话过期。SSL创建一个会话，在此期间，握手必须（）。A、只发生过一次B、只发生过两次C、一次都不发生D、可以发生过三次以上是A34、（）能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。A、SSLB、IPSecC、PKID、S-HTTP是C35、IPsec以（）为单位对信息进行加密的方式。A、IP Packet小包B、链路帧C、TCP包D、流媒体是A36、IPsec在（）提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。A、物理层B、链路层C、IP层D、TCP层是C37、有多台主机但只通过一个公有IP地址访问因特网的私有网络中，常用（）技术。A、SSLB、NATC、PKID、SET是B38、包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照（）过滤信息包。A、最小权利原则B、白名单原则C、黑名单原则D、预先设定的过滤原则是D。B、C只是其中的一种策略。39、（）是一种主动保护自己免受攻击的一种网络安全技术，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。A、防火墙B、IDSC、NATD、SSL是B，入侵检测系统三、简答题1、北京街头出现一种新型骗钱手段，让人防不胜防。不法者通过安装假的ATM机，套取持卡人的卡号和密码，进而复制银行卡窃取钱财。宣武区广安门外西街街边一烟酒店门口就出现了一台假ATM机。6月15日，市民马先生在此机上插卡查询，仅得到“无法提供服务”的提示，前天他则发现卡内5000元金额不翼而飞。请分析其中使用的计算机安全技术。参考答案：1） 欺骗技术，或者是伪装技术，伪装成ATM机，获得卡号和密码2） 信用卡复制技术2、张三收到李四发的消息及其数字签名，可是李四否认发送过该消息与签名，且李四声称私钥未失窃，如果认定？参考答案：1） 让李四用其私钥对消息进行签名，获得签名A2） 从张三处获得收到的前面B3） 对比两个签名A与Ba) 如果一致，则消息是李四发的b) 如果不一致，则消息是张三伪造的3、简述数字信封的实现步骤参考答案1、使用会话密钥加密明文；需要会话密钥，加密函数；2、从CA得到接收方的证书，并用证书的公钥对会话密钥加密；3、读取接收方证书的ID，把密文，加密的会话密钥，ID以一定的格式压缩打包发送；4、这个包就称为数字信封；5、数字信封拆解是使用私钥将加密过的数据解密的过程。4、一个典型、完整、有效的PKI应用系统包括哪些部分？参考答案完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。功能包括：1） 公钥密码证书管理。 2） 黑名单的发布和管理。 3） 密钥的备份和恢复。 4） 自动更新密钥。 5） 自动管理历史密钥。 6） 支持交叉认证。5、防火墙技术和VPN技术有何不同参考答案防火墙建在你和Internet之间，用于保护你自己的电脑和网络不被外人侵入和破坏。 VPN是在Internet上建立一个加密通道，用于保护你在网上进行通信时不会被其他人截取或者窃听。VPN需要通信双方的配合。6、防火墙能否防止病毒的攻击？给出理由。参考答案：防火墙不能有效地防范像病毒这类东西的入侵。1） 在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。2） 防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。四、设计题1、请分析银行卡消费欺诈的案例，给出信息安全的解决方案。 1）、 欺诈者首先利用手机向事主发送短信，称其信用卡在某商场消费××元，同时告诉事主这笔钱会在月底从银行卡中扣除，并向事主提供银行客服电话。 2）、事主看到短信后会拨打所留电话询问。对方称自己是银行的工作人员，告知事主银行卡正在某商场消费。当事主否认时，该人会让事主马上到公安机关报案，立即将卡冻结，并留下报警电话。 3）、事主接通所留下的“报警”电话后，对方自称是某公安分局或金融犯罪调查科的“警察”，在接受事主报案的同时，告诉事主为减少损失，要立即将卡里所有的钱转出，并向事主提供银联卡部客服电话，让事主再次和所谓的银行联系。 4）、事主与所谓的“银行银联卡中心”联系时，对方以向事主提供“保险公司全额担保”为名，消除事主担心与顾虑，让事主利用银行ATM机将银行卡账户的钱全部转移到指定账户上。事主按照对方的要求在柜员机上输入银行卡密码，将钱全部转到对方账户上。问题1：分析欺诈原因问题2：给出预防措施参考答案要点：a) 不轻信他人b) 不要贪小便宜，踏实做人c) 永远记住所有移动运营商和银行的官方电话（比如10086，95588），而不是短信或其他人提供的电话。d) 要求对方认证2、网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。请写出如何防止网络钓鱼的措施。参考答案要点(1)不要轻信天上掉馅饼(2)用好杀毒软件的反钓鱼功能(3)把常用网站放入收藏夹(4)不要打开陌生人给出的链接(5)切勿泄露身份资料(6)防火墙(7)最好禁止浏览器运行JavaScript和ActiveX代码(8)安装SSL证书 -