东 北 大 学 继 续 教 育 学 院
      网络安全技术    试 卷(作业考核 线下)  B  (共  6  页)         
总分
题号
得分
一、选择填空(每空1分,共20分)
( D)1、完整性服务提供信息的                 
A、不可抵赖性      B、机密性    C、正确性        D、可信性
( A)2、下列                协议是有连接。
A、TCP      B、ICMP    C、DNS  D、UDP
( B)3、下列加密算法中                  是对称加密算法 。
A、RSA      B、3DES    C、Rabin     D、椭圆曲线
(B )4、防火墙是建立在内外网络边界上的                  。
A、路由设备      B、过滤设备    C、寻址设备    D、扩展设备
( C)5、在网络通信中,纠检错功能是由OSI参考模型的                实现的。
A、传输层          B、网络层      C、数据链路层    D、会话层
( D)6、网络安全是在分布网络环境中对          提供安全保护。
        A、信息载体    B、信息的处理和传输  C、信息的存储和访问  D、以上皆是
(C )7、当进行文本文件传输时,可能需要进行数据压缩,在OSI模型中,规定完成这一工作的是         
        A、应用层          B、会话层      C、表示层      D、传输层
( B)8、数字签名要预先使用单向Hash函数进行处理的原因是               
A、多一道加密工序使得密文更难破译
B、缩小签名密文的长度,加快数字签名和验证签名的运算速度
C、提高密文的计算速度
D、保证密文能正确地还原成明文
( A)9、IP v4地址是        位的。
        A、32          B、48            C、64          D、128tcp ip协议包含那几层?
( D)10、包过滤技术是防火墙在        层中根据数据包头中包头信息有选择地实施允许通过或阻断。
A、物理层      B、数据链路层    C、传输层    D、网络层
(A )11、下列加密算法可以没有密钥的是                 
A、不可逆加密      B、可逆加密  C、对称加密  D、非对称加密
(D )12、威胁是一个可能破坏信息系统环境安全的动作或事件,威胁包括()。
A、目标        B、 代理        C、 事件            D、上面3项都是
( C)13、对非军事区DMZ而言,正确的解释是               
A、DMZ是一个非真正可信的网络部分
B、DMZ网络访问控制策略决定允许或禁止进入DMZ通信
C、允许外部用户访问DMZ系统上合适的服务
D、以上3项都是
( A)14、防火墙一般被安置在被保护网络的                 
A、边界      B、外部    C、内部    D、以上皆可
( B)15、数字签名要预先使用单向Hash函数进行处理的原因是               
A、多一道加密工序使得密文更难破译
B、缩小签名密文的长度,加快数字签名和验证签名的运算速度
C、提高密文的计算速度
D、保证密文能正确地还原成明文
( D)16、          是可以在DMZ中放置的系统。
A、邮件系统      B、Web服务器  C、控制系统  D、以上皆可
(D )17、下列扫描                  属于端口扫描。
A、TCP SYN扫描    B、TCP ACK扫描    C、TCP FIN扫描    D、以上皆是
( D)18、包过滤技术是防火墙在        层中根据数据包头中包头信息有选择地实施允许通过或阻断。
A、物理层      B、数据链路层    C、传输层      D、网络层
( C)19、访问控制是指确定                  以及实施访问权限的过程。
A、用户权限            B、可被用户访问的资源
C、可给予那些主体访问权利    D、系统是否遭受攻击
( B)20、SSL产生会话密钥的方式是                 
A. 从密钥管理数据库中请求获得   B. 随机由客户机产生并加密后通知服务器
C. 由服务器产生并分配给客户机   D. 每一台客户机分配一个密钥的方式
、简答题(每题6分,共30分)
1、为使防火墙起到安全防护的作用,必要的保证措施是什么?
答:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。
防火墙必要的功能开启是必不可免的,在使用一些软件是可能要关闭防火墙的一些功能,不要急着关闭,先确认软件有没有病毒之类的,先用杀毒软件扫描一下,再确认是否使用。当然定时的安全扫描,病毒查杀是少不了的,系统垃圾也要及时处理,不要上一些不良网站,下载不良软件,那些大多数都挂有木马。
2、简述IPSec的功能。
答:IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec 协议组包含Authentication Header(AH)协议、Encapsulating Security Payload(ESP)协议和Internet Key Exchange(IKE)协议。其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。IKE用于密钥交换。
3、简述VPN的功能以及类型。
答:VPN网关是实现局域网(LAN)到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能:VPN和网关。广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
它应集成包过滤防火墙和应用代理防火墙的功能。VPN应有一个开放的架构。有完善的认证管理。VPN应提供第三方产品的接口。VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。
VPN(Virtual Private Net,虚拟专用网)可以实现不同网络的组件和资源之间的互连。VPN并非单一产品技术,其技术非常复杂,它涉及到网络技术,通信技术,密码技术和认证技术,是一项交叉科学课题。VPN的发展大体经过了四代,即第一代以链路加密为主的VPN,第二代以PPTP/L2TP为主的VPN,第三代以IPSEC/MPLS为主的VPN和第四代即新一代以SSL技术为主的VPN。
4、从安全属性看,有哪几种攻击的类型?
答:(1)阻断攻击  阻断攻击使系统的资产被破坏,无法提供用户使用,这是一种针对可用性攻击。
(2)截取攻击  截取攻击可使非授权者得到资产的访问,这是一种针对机密性的攻击。
(3)篡改攻击  篡改攻击是非授权者不仅访问资产,而且能修改信息,这是一种针对完整性的攻击。
(4)伪造攻击  伪造攻击是非授权者在系统里插入伪造的信息,这是一种针对真实性的攻击。
5、简述SYN泛洪原理。
答:SYN洪泛攻击原理:  在TCP协议中被称为三次握手(Three-way Handshake)的连接过程中,如果一个用户向服务器发送了SYN报文,服务器又发出 SYN+ACK 应答报文后未收到客户端的 ACK 报文的,这种情况下服务器端会再次发送SYN+ACK给客户端,并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYN Timeout,一般来说这个时间是分
钟的数量级。  SYN flood 所做的就是利用了这个SYN Timeout时间和TCP/IP协议族中的另一个漏洞:报文传输过程中对报文的源 IP 地址完全信任。SYN flood 通过发送大量的伪造 TCP 链接报文而造成大量的 TCP 半连接,服务器端将为了维护这样一个庞大的半连接列表而消耗非常多的资源。这样服务器端将忙于处理攻击者伪造的TCP连接请求而无法处理正常连接请求,甚至会导致堆栈的溢出崩溃。  造成SYN洪泛攻击最主要的原因是TCP/IP协议的脆弱性。TCP/IP是一个开放的协议平台,它将越来越多的网络连接在一起,它基于的对象是可信用户,所以缺少一些必要的安全机制,带来很大的安全威胁。例如常见的IP欺骗、TCP连接的建立、ICMP数据包的发送都存在巨大的安全隐患,给SYN洪泛攻击带来可乘之机。
三、论述题(共50分)
1、分析入侵检测系统的优点和局限。(10分)
答:Gartner一直不看好入侵检测系统(IDS),在多份报告中对IDS提出非议。在一份题为“入侵检测将死,入侵防御万岁”的报告中,Gartner指出入侵防御要替代入侵检测;而在另一份题为“2003年:信息安全的炒作周期”的报告中,Gartner称入侵检测系统是一次市场失败。受Gartner报告的影响,IDS倍受攻击,IDS果真如Garnter所说的那样毫无价值吗?
  也有人认为,Gartner的分析是建立种种误解之上的,其原因在于不懂得IDS擅长干什么以及谁应当使用IDS。Gartner分析师将IDS与防火墙归为一类产品。其实,情况并不是这样。对于网管员来说,IDS就像是一台协议分析器,一种观察网络、了解网络状况的工具。将IDS与防火墙混为一谈,或者将IDS与入侵预防系统(IPS)混为一谈,就像是把交换机与协议分析器归为一类同样不合适。
  IPS厂商开辟市场所做的种种努力,进一步加深了人们对IDS的误解,让期待解决安全问题而购买IDS的网管员感到失望,因为IDS完成不了入侵保护任务。
  与其谈IDS不能干什么,倒不如谈谈IDS能干些什么。在设计原理上,IDS是一种检测攻击、违反策略行为和错误配置的传感器。正如一位老资格的IDS研究员Gary Golomb指出的那样,IDS用于检查和平衡企业网络的安全状态。部署IDS只有一个目的,就是监视网络上所发生的一切,查看是否有人进出网络。有一件事情让多数用户倍感意外:尽管安装了各种防御技术(如防火墙、防病毒产品和VPN),攻击者和病毒仍然能够利用网络设计中的漏洞、应用漏洞以及配置错误的设备,闯进用户网络。
 
  一些厂商在推销IDS时说,IDS不仅能检测入侵事件,而且还能检测违反策略的事件,如过短的口令、FTP传送的文件以及两个不应当通信的系统之间传送的数据流,这有点言过其实。IDS最适合的工作是部署在安全分析员可以管理它的环境中,分析“谁进入了系统”这样的问题。IDS厂商希望每个用户都能了解IDS,这是一种不切实际的期望。网络IDS就像是一种高级协议分析器,尽管大中型用户都需要它,但并不意味着每个人都必须学会使用它。在降低IDS的误报率和提高产品易用性方面,IDS厂商正在做着各种努力。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。