浙江大学远程教育信息系统安全第三次作业答案.doc

《信息系统安全》第三次作业 一、判断题 1、 唯密文攻击是指密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文，分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。（X） 2、 序列加密非常容易被破解。（对） 3、 DES加密是分组加密算法的一种。（对） 4、 CA证书永久有效。（X） 5、 一次性密码的密钥，随着周期重复，可能会重复出现。（X） 6、 VPN是一条穿过混乱的公用网络的安全、稳定的隧道，通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个永久的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。（X） 7、 邮件加密能防止邮件病毒。（X） 8、 防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护外部网络。（X） 9、 防火墙可以设置成为只允许电子邮件通过，因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。（对） 10、 内部网络和外部网络之间的所有网络数据流都必须经过防火墙，只有符合安全策略的数据流才能通过防火墙。（对） 11、 CA中心发放的SSL证书，其作用是通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。（X） 二、 选择题 1、加/解密密钥是相同的，这种加密方法是（C）。 A、公开密钥算法 B、非对称算法 C、对称算法 D、动态加密 2、分析者不仅可得到一些消息的密文和相应的明文，而且他们也可选择被加密的明文，这种密码分析攻击属于（A）类。 A、 选择明文攻击 B、已知明文攻击 C、唯密文攻击 D、选择密文攻击 3、公钥密码有别于传统密码的特点是（B）。 A、密码长度更长 B、加密密钥不同于解秘密钥 C、分组的每个组数据长度更长 D、公钥与私钥均可公开 4、RSA公钥密码的安全性依赖于（D）。 A、分组加密 B、多表加密 C、基于椭圆曲线的单项限门函数 D、大数的因数分解的困难性 5、加密密钥的分发，其过程就是对密钥本身进行管理、生成、保持和撤回这种密钥，称之为（A）。 A、密钥保管 B、密钥管理 C、密钥加密 D、密钥存储 6、张三向李四提出通信请求，一开始张三向李四发出呼叫，使用的密钥为（D）。 A、公钥 B、私钥 C、会话密钥 D、交换密钥 7、李四向王五发出通讯请求，并与王五建立了加密通讯。张三窃取了李四与王五之间的密钥A。张三向王五发出通讯请求，并与王五建立了加密通讯，原密钥为B，张三使用密钥A伪装陈李四，向王五发出消息。王五却无法有效解密消息，是因为王五与李四建立的加密通讯使用的密钥A，不同于王五与李四建立的加密通讯使用的密钥B，两个密钥都属于（C），当会话结束时，就被丢弃。 A、公钥 B、私钥 C、会话密钥 D、交换密钥 8、张三给李四使用对称密钥加密方法，发送一段消息。同时张三通过安全通道向李四发出密钥，可是李四不小心将密钥泄漏给了王五，王五就能（A）。 A、使用窃听的密钥，对消息进行正确解密 B、使用窃听的密钥，不能对消息进行正确解密 C、使用张三的公钥，加上窃听的密钥，能对消息进行正确解密 D、使用李四的公钥，加上窃听的密钥，能对消息进行正确解密 9、张三给李四使用公钥加密方法，发送一段消息，则李四可以用公开的密钥，再加上（A）对消息有效解密。 A、李四的私钥 B、张三的私钥 C、张三的公钥 D、李四的公钥， 10、张三与李四需要进行通信。张三与李四向外通讯线路，被王五截获。张三李四在不知情的情况下通过王五，进行二者之间的通信，却不知王五在将通信内容发送到预期接收人之前监控和读取通信内容，王五这种行为被称作（B）。 A、搭线监听 B、中间人攻击 C、泛洪攻击 D、DDoS 11、中间人攻击除了可以信息窃取以外，还能进行（D）。 A、身份认证 B、加密隧道 C、数据加密 D、信息篡改 12、ARP欺骗，又称ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。这种方法属于（C）的一种。 A、网站钓鱼 B、病毒 C、中间人攻击 D、DDoS 13、一种攻击方法，将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。这种方法称作（C）。 A、多级DNS B、DNS溢出 C、DNS欺骗 D、DNS信息泄露 14、黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。这种方法称作（A）。 A、ARP欺骗 B、ARP广播 C、ARP监听 D、ARP动态更新 15、以下不属于中间人攻击的黑客方法是（D）。 A、会话劫持 B、ARP欺骗 C、DNS欺骗 D、DDoS 16、（C）是一种权威性的电子文档，提供了一种在Internet上验证身份的方式。 A、数字签名 B、数字信封 C、数字证书 D、代理证书 17、数字证书的发放机构为（A）。 A、CA中心 B、银行 C、信用卡中心 D、人事部 18、证书签名链依赖于（D）协议。 A、TCP B、IP C、IPSEC D、X509 19、张三从某CA处获得证书，李四从另外一个CA处获得证书，且两个CA相互已经为对方发行证书，则张三与李四能进行（A）。 A、交叉认证 B、签名 C、密钥交换 D、密钥分发 20、张三向李四发消息，对消息做摘要并用公钥系统进行加密，加密后的摘要称之为（B）。 A、CA证书 B、签名 C、数字信封 D、数字密钥 21、张三向李四发消息，并发送数字签名。李四收到消息与签名后，对签名进行验证，发现与消息内容不能匹配，则可能是（C）。 A、张三电脑有毒 B、张三证书过期了 C、传输过程被篡改 D、李四电脑有毒 22、一个密钥系统，任一明文的密钥都是由公钥唯一确定的，则该系统称之为（A） A、确定型密钥 B、概率型密钥 C、密钥契约 D、密钥管理 23、数据库中监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，属于数据库（D）。 A、接口系统 B、存储系统 C、用户权限管理系统 D、安全审计系统 24、Oracle有多达20个以上的缺省用户，Sybase也有超过10个的缺省用户，为了保证数据库安全，需要（D）。 A、给缺省用户设置DBA权限 B、给缺省用户设置为用户权限 C、将缺省用户名称改成DBA D、更改这些缺省用户密码 25、入侵者将未经授权的数据库语句插入到有漏洞的SQL数据信道中，称之为（） A、SQL注入攻击 B、数据库加密 C、数据库审计 D、SQL命令加密 26、网络窃听是一种在网络上截取传输流的一种非常有效的办法，可以窃听到邮箱帐号和密码，还有那些使用（A）传输的协议帐号。 A、密文 B、明文 C、签名 D、数字信封 27、电影《窃听风云》里警方通过信号拦截系统，对手机机主进行窃听，这属于（A） A、信道侦听 B、流量分析 C、电缆保护 D、无线屏蔽 28、数字信封加密技术（D） A、结合了对称加密算法和非对称加密算法的优点 B、利用了对称加密算法的速度快，适合大数据量的优点，未使用非对称加密算法 C、利用了公钥加密的数据只有对应的私钥解开，适合向确定的对象发送小批量数据的优点，未使用对称加密算法 D、未使用对称加密算法和非对称加密算法，使用了概率加密方法 29、一般的数据加密可以在通信的三个层次来实现，为（C）。 A、线路加密、节点加密和端到端加密 B、电缆加密、节点加密和端到端加密 C、链路加密、节点加密和端到端加密 D、会话加密、节点加密和端到端加密 30、安全套接层（Secure Sockets Layer，SSL）及传输层安全（Transport Layer Security，TLS），都是在（B）对网络连接进行加密。 A、物理层 B、传输层 C、会话层 D、应用层 31、在浏览器的网址栏输入开头为“https:”的网址时，就表示目前是透过（A）连线。 A、SSL B、IPSec C、VPN D、加密网关 32、高层的应用协议如HTTP、FTP、Telnet等能透明地建立于SSL协议之上，是因为SSL协议是（A）。 A、应用层协议无关的 B、建立在应用层上的 C、建立在链路层上的 B、建立在传输层上的 33、WEB客户机通过连接到一个支持SSL的服务器，启动一次SSL会话。支持SSL的典型WEB服务器在一个与标准HTTP请求（默认为端口80）不同的端口（默认为443）上接受SSL连接请求。当客户机连接到这个端口上时，它将启动一次建立SSL会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，直到SSL会话过期。SSL创建一个会话，在此期间，握手必须（A）。 A、只发生过一次 B、只发生过两次 C、一次都不发生 D、可以发生过三次以上 34、（C）能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 A、SSL B、IPSec C、PKI D、S-HTTP 35、IPsec以（A）为单位对信息进行加密的方式。 A、IP Packet小包 B、链路帧 C、TCP包 D、流媒体 36、IPsec在（C）提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。 A、物理层 B、链路层 C、IP层 D、TCP层 37、有多台主机但只通过一个公有IP地址访问因特网的私有网络中，常用（B）技术。 A、SSL B、NAT C、PKI D、SET 38、包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照（D）过滤信息包。 A、最小权利原则 B、白名单原则 C、黑名单原则 D、预先设定的过滤原则 39、（B）是一种主动保护自己免受攻击的一种网络安全技术，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 A、防火墙 B、IDS C、NAT D、SSL 三、简答题 1、北京街头出现一种新型骗钱手段，让人防不胜防。不法者通过安装假的ATM机，套取持卡人的卡号和密码，进而复制银行卡窃取钱财。宣武区广安门外西街街边一烟酒店门口就出现了一台假ATM机。6月15日，市民马先生在此机上插卡查询，仅得到“无法提供服务”的提示，前天他则发现卡内5000元金额不翼而飞。请分析其中使用的计算机安全技术。 答: 欺骗技术，或者是伪装技术，伪装成ATM机，获得卡号和密码 信用卡复制技术 2、张三收到李四发的消息及其数字签名，可是李四否认发送过该消息与签名，且李四声称私钥未失窃，如果认定？ 答: 让李四用其私钥对消息进行签名，获得签名A 从张三处获得收到的前面B 对比两个签名A与B 如果一致，则消息是李四发的 如果不一致，则消息是张三伪造的 3、简述数字信封的实现步骤 答: 1、使用会话密钥加密明文；需要会话密钥，加密函数； 2、从CA得到接收方的证书，并用证书的公钥对会话密钥加密； 3、读取接收方证书的ID，把密文，加密的会话密钥，ID以一定的格式压缩打包发送； 4、这个包就称为数字信封； 5、数字信封拆解是使用私钥将加密过的数据解密的过程。 4、一个典型、完整、有效的PKI应用系统包括哪些部分？ 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。功能包括： 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。 5、防火墙技术和VPN技术有何不同 防火墙建在你和Internet之间，用于保护你自己的电脑和网络不被外人侵入和破坏。 VPN是在Internet上建立一个加密通道，用于保护你在网上进行通信时不会被其他人截取或者窃听。VPN需要通信双方的配合。 6、防火墙能否防止病毒的攻击？给出理由。 防火墙不能有效地防范像病毒这类东西的入侵。 在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。 防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。 四、设计题 1、请分析银行卡消费欺诈的案例，给出信息安全的解决方案。 1）、 欺诈者首先利用手机向事主发送短信，称其信用卡在某商场消费××元，同时告诉事主这笔钱会在月底从银行卡中扣除，并向事主提供银行客服电话。 2）、事主看到短信后会拨打所留电话询问。对方称自己是银行的工作人员，告知事主银行卡正在某商场消费。当事主否认时，该人会让事主马上到公安机关报案，立即将卡冻结，并留下报警电话。 3）、事主接通所留下的“报警”电话后，对方自称是某公安分局或金融犯罪调查科的“警察”，在接受事主报案的同时，告诉事主为减少损失，要立即将卡里所有的钱转出，并向事主提供银联卡部客服电话，让事主再次和所谓的银行联系。 4）、事主与所谓的“银行银联卡中心”联系时，对方以向事主提供“保险公司全额担保”为名，消除事主担心与顾虑，让事主利用银行ATM机将银行卡账户的钱全部转移到指定账户上。事主按照对方的要求在柜员机上输入银行卡密码，将钱全部转到对方账户上。 问题1：分析欺诈原因 问题2：给出预防措施 答 要点： 不轻信他人 不要贪小便宜，踏实做人 永远记住所有移动运营商和银行的官方电话（比如10086，95588），而不是短信或其他人 2、网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。请写出如何防止网络钓鱼的措施。 答 要点 (1)不要轻信天上掉馅饼 (2)用好杀毒软件的反钓鱼功能 (3)把常用网站放入收藏夹 (4)不要打开陌生人给出的链接 (5)切勿泄露身份资料 (6)防火墙 (7)最好禁止浏览器运行JavaScript和ActiveX代码 (8)安装SSL证书