西南大学信息安全2015年春作业答案(4)

13.简述防火墙应具有的基本功能。

14.简述有哪些常见的网络安全漏洞检测技术，各自目的是什么。

15.简述常用的安全协议有哪些，它们与TCP/IP协议的对应关系

1.参考答案：网络安全是指网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全的特征

(1)保密性:信息不泄露给非授权的用户,实体或过程,或供其利用的特性.

(2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性.

(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息.网络环境下拒绝服务,破坏网络和有关系统的正常运行等都属于对可用性的攻击. (4)可控性:对信息的传播及内容具有控制能力.

(5)不可否认性：保证信息行为人不能否认其信息行为。 2.参考答案：

(1)加密机制(enciphrement mechanisms) (2)数字签名机制(digital signature mechanisms) (3)访问控制机制(access control mechanisms) (4)数据完整性机制(data integrity mechanisms) (5)鉴别交换机制(authentication mechanisms) (6)通信业务填充机制(traffic padding mechanisms) (7)路由控制机制(routing control mechanisms) (8)公证机制(notarization mechanisms) 3.参考答案：

包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据据;(2)将包的源地址作为判据;(3)将包的传送协议作为判据. 包过滤系统只能让我们进行类似以下情况的操作

1)不让任何用户从外部网用Telnet登录;(2)允许任

1)将包的目的地址作为判

何用户使用SMTP往内部网发电子邮件;(3)只允许某台机器通过NNTP往内部网发新闻. 4.参考答案：

(1)传统密码体制中密钥不能公开，且k1=k2，而公钥体制中k1<>k2，且k1可以公开，而从k1无法得到有关k2的任何信息。

(2)秘钥的传送上，传统密钥必须要传送，而公开钥不需要； (3)从数字签名角度，对称钥困难，而公开钥很容易；

(4)加密速度上，对称钥快，而公开钥慢；

(5)用途上，对称钥主要是数据加密，公开钥主要是数字签名、密钥分配加密。 5.参考答案：

(1)对任意长度的明文m，产生固定长度的哈希值h(m)；

(2)对任意的明文m，哈希函数值h(m)可由硬件或软件容易得到；

(3)对任意哈希函数值x，要找到一个明文m与之对应，即x＝h(m)，在计算上不可行；

(4)对一个明文m1，要找到另一个不同的明文m2，使之具有相同的哈希值，即h(m1)=h(m2)，在计算上不可行；

(5)要找到任意一对不同的明文(m1,m2)，具有相同的哈希值，即h(m1)=h(m2)，在计算上不可行。 6.参考答案：

Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。 7.参考答案：

(1)入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。 (2)它通过监视受保护系统的状态和活动，用采误用检测或异常检测方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效手段。

(3)其应用前提是：入侵行为和合法行为是可区分的，也即可以通过提取行为模式特征来判断该行为的性质。

(4)入侵检测系统需要解决两个问题：一是如何充分可靠地提取描述行为特征的数据，二是如何根据特征数据，高效并准确地判定行为的性质。 8.参考答案：

非对称体制密钥传送方便，但加解密速度较慢，对称体制加解密速度快，但密钥传送困难，为解决这一问题，通常将两者结合起来使用。即用对称加密体制（如DES）加密数据，而用收方非对称体制（如RSA）中的公开钥加密DES密钥，再一起发送给接收者，接收者用自己的私钥解密DES密钥，再用DES密钥解密数据。这种技术被称为数字信封。 9.参考答案：

数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。对数字签名的基本要求有： (1)签名接收者能容易地验证签字者对消息所做的数字签名； (2)任何人，包括签名接收者，都不能伪造签名者的签字； (3)发生争议时，可由第三方解决争议。 数字签名基本分类：

(1)直接数字签名：仅涉及通信方(信源、信宿)，假定信宿知道信源的公开密钥，数字签名通过信源对整个报文用私有密钥加密，或对报文的摘要加密来实现。弱点在于方案的有效性依赖于信源私有密钥的安全性。

(2)需仲裁的数字签名：直接数字签名的问题可以通过仲裁解决，签名方的签名报文首先送给仲裁者，仲裁者对报文和签名进行测试以检验出处和内容，然后注上日期和仲裁说明后发给接收方。 10.参考答案：

这是数字签名的新应用。首先生成两条消息的摘要，将两个摘要连接起来，生成一个新摘要，然后用签发者的私钥加密。任何一个消息接收者都可以验证消息的真实性。

验证方法：给接收者发送信息时，同时发送另一条消息的摘要，接收者对消息生成摘要，将它和另一个摘要连接起来生成新摘要，如果它与解密后的双重签名相等，则可确定消息的真实性。 11.参考答案：

(1)操作系统的物理安全(2)保护Guest帐户(3)**用户数量(4)多个管理员账号(5)管理员账号改名(6)陷阱账号(7)设置安全密码(8)屏幕保护密码(9)NTFS分区(10)安装防毒软件(11)关闭不必要的服务(12)关闭不必要的端口(13)开启审核策略(14)开启密码策略(15)开启账户策略(16)备份敏感文件(17)关闭默认共享(18)禁止TTL判断主机类型 12.参考答案：

(1)ping指令，通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，用于检测网络的连接性和可到达性。

(2)ipconfig指令，显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。

(3)netstat指令，显示活动的连接、计算机禁用词语的端口、以太网统计信息、IP路由表、IPv4统计信息（IP、ICMP、TCP和UDP协议）。

(4)net指令，功能非常的强大，net指令在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。

(5)Tracert（跟踪路由）指令，是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。 (6)AT命令，安排在特定日期和时间运行命令和程序。要使用AT命令，计划服务必须已在运行中。 13.参考答案：

（1）过滤进、出网络的数据：根据事先定义好的策略允许或禁止数据通信。

（2）管理进、出网络的访问行为：通过将动态的、应用层的过滤能力和认证相结合，实现WWW、FTP、HTTP和Telnet等广泛的服务支持。

（3）封堵某些禁止的业务：利用防火墙对不安全服务进行了封堵。 （4）记录通过防火墙的信息内容和活动：提供审计功能。 （5）对网络攻击检测和告警。 14.参考答案：

（1）端口扫描：掌握系统**了哪些端口、提供了哪些网络服务。

（2）操作系统探测：操作系统漏洞总是与操作系统类型和版本相联系，因此通过探测操作系统类型信息，从而知道有何种漏洞。

（3）安全漏洞探测：发现系统中可能存在的安全漏洞。

15.参考答案：

应用层：S/MIMEPGPSET 会话层：SSL/TLS KERBEROS 网络层：IPSEC

第六次作业：

1、假如你是单位WEB服务器管理员，试述你会采取哪些主要措施来保障WEB服务器安全。

2、试述你是如何理解信息安全领域\三分技术，七分管理”这名话的。

3、假如你是一个网络管理员，请假定网络场景，说明你会采取哪些措施来构建网络安全体系，这些措施各有什么作用。

4、试论述目前造成计算机网络不安全的原因是什么?可采取哪些相应的安全措施？ ?

1、 访问控制（IP地址**、Windows帐户、请求资源的Web权限、资源的NTFS权限）

用虚拟目录隐藏真实的网站结构；

设置基于SSL的加密和证书服务，以保证传输安全； 完善定期审核机制； 安装防火墙及杀毒软件；

及时安装操作系统补丁，减少操作系统漏洞等等。

2、虽然目前有众多的安全产品，但没有任何一种能提供全方位的解决方案。

1)防病毒软件:不能保护机构免受使用合法程序对系统进行访问的入侵者进行的恶意破坏，也不能保护机构免受另一类合法用户的破坏。

2)访问控制:不会阻止人们利用系统脆弱点以管理员身份获得对系统的访问并查看系统文件 3)防火墙:不会阻止攻击者使用一个允许的连接进行攻击。也不能防止内部攻击。

4)入侵检测:不能检测出合法用户对信息的非正常访问。支持自动保护功能的入侵检测系统还可以带来附加的安全问题。如系统配置为阻止某个攻击地址的访问，之后会发现某用户的通信被错误识别为攻击通信，则其再无法与你通信了。

5)策略管理:可能没有考虑系统的薄弱点或应用软件中的错误配置。这有可能导致侵入。计算机上的策略管理也不能保证用户不写下他们的密码或将密码提供给未经授权的人。

6)薄弱点扫描:本身并不会保护计算机系统，需在找出薄弱点后采取安全措施。该方法也不会发现合法用户进行的不正当访问，也不能发现已经进入系统、查找配置文件或补丁程序的弱点的入侵者。

7)加密:加密系统并不能分辨提交了同样加密算法密钥的用户是合法还是非法用户。加密本身不能提供安全保障，还必须对加密密钥和系统有一个整体控制。

8)物理安全机制:不能保护系统不受到合法访问进行的攻击或通过网络实施的攻击。 所以安全技术和产品只是安全实践活动的一部分，是实现安全需求的手段，还应包括： 制定完备的安全策略， 通过风险评估来确定需求， 根据需求选择安全技术和产品，

按照既定安全策略和流程规范来实施、维护和审查安全措施。 信息安全并不是技术过程，而是管理过程。

3、将重要设备放入专门房间，保持良好环境，有专入制度，保证物理安全；

在网关出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙，如果对速度要求高可以使用硬件防火墙。

在防火墙后面使用IDS，与防火墙配合使用，以加强内网安全。 将所有**放置在专门的DMZ区域。

对于内网安全，可以使用域环境，由DC统一管理帐号和密码，针对不同的用户和组设置不同的权限。

做好操作系统、数据库系统、应用软件升级维护，做好数据备份，保障数据安全； 购买正版杀毒软件并及时升级；

对外通信采用IPSec或SSL等VPN加密技术，保障通信安全； 为系统设置安全口令，做好访问控制，保障系统使用安全； 建立完善的安全管理制度、审计制度、建立应急响应机构和机制； 做好内部安全监管、安全培训等。

4、不安全原因1.网络自身的特性2.网络技术的**3．网络协议的漏洞4. 通信系统和信息系统的自身缺陷5.系统\后门”6.**及病毒等恶意程序的攻击。

措施:制定安全策略：如采用什么样的安全保障体系、确定网络资源职责划分、制定使用规则、制定日常维护规程、确定在遇到安全问题时采取的措施；采取加密、数字签名、访问控制、数据完整性、鉴别、业务填充、路由控制、公证仲裁等机制。具体技术措施如：1）设置IP**，屏蔽有威胁的IP地址2）设置身份验证，确保只有合法用户才能访问授权范围内的资源3）设置资源的WEB权限4）设置文件或目录的NTFS权限5）用虚拟目录隐藏真实的网站结构6）设置基于SSL的加密和证书服务，保证传输安全7）完善定期审核机制8）安装防火墙软件9）安装杀毒软件10）及时安装操作系统补丁，减少操作系统漏洞

第七次作业：

1.试述目前有哪些常用的网络安全管理技术 2.试全面论述防火墙技术的优势与不足。

3.假设A通过网络向B发送一份机密文件，试分析在这个过程中可能遇到的各种安全威胁，并论述应采取何种相应措施进行防范。

4.试述保障信息系统安全应考虑的主要问题。

1.试述目前有哪些常用的网络安全管理技术 答：

（1）物理安全技术：环境安全、设备安全、媒体安全。 （2）系统安全技术：操作系统及数据库系统的安全性。

（3）网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估。 （4）应用安全技术：E-mail安全、Web访问安全、内容过滤、应用系统安全。 （5）数据加密技术：硬件和软件加密，实现身体认证和数据信息的CIA特性。 （6）认证授权技术：口令认证、SSO认证、证书认证等。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库西南大学信息安全2015年春作业答案(4)在线全文阅读。