《信息系统安全》第三次作业复习资料与分析

《信息系统安全》第三次答案一、判断题唯密文攻击是指密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文，分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。（错误，这是已知明文攻击。）序列加密非常容易被破解。（正确，分组加密很难，公钥加密很难）DES加密是分组加密算法的一种。（正确）CA证书永久有效。（错误，有有效期的，有过期时间）一次性密码的密钥，随着周期重复，可能会重复出现。（错误，无周期，不重复）VPN是一条穿过混乱的公用网络的安全、稳定的隧道，通过对网络数据的封包与加密传输，在一个公用网络（通常是因特网）建立一个永久的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。（错误，不是永久的，是临时的）邮件加密能防止邮件病毒。（错误，加密只是把数据加密，不能判断其中是否有毒）防火墙是一类防范措施的总称，它使得内部网络及Internet之间或者及其他外部网络互相隔离、限制网络互访用来保护外部网络。（错误，用来保护内部网络）防火墙可以设置成为只允许电子邮件通过，因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。（正确）内部网络与外部网络之间的所有网络数据流都必须经过防火墙，只有符合安全策略的数据流才能通过防火墙。（正确）CA中心发放的SSL证书，其作用是通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。（错误，应该是SET证书）选择题1、加/解密密钥是相同的，这种加密方法是（）。A、公开密钥算法 B、非对称算法 C、对称算法 D、动态加密是C。A及B是一样的，动态加密指每次密码不一样，不关心加密密码及解密密码是否一样。2、分析者不仅可得到一些消息的密文与相应的明文，而且他们也可选择被加密的明文，这种密码分析攻击属于（）类。选择明文攻击 B、已知明文攻击 C、唯密文攻击 D、选择密文攻击是A3、公钥密码有别于传统密码的特点是（）。A、密码长度更长 B、加密密钥不同于解秘密钥C、分组的每个组数据长度更长 D、公钥及私钥均可公开是B4、RSA公钥密码的安全性依赖于（）。A、分组加密 B、多表加密C、基于椭圆曲线的单项限门函数 D、大数的因数分解的困难性是D5、加密密钥的分发，其过程就是对密钥本身进行管理、生成、保持与撤回这种密钥，称之为（）。A、密钥保管 B、密钥管理 C、密钥加密 D、密钥存储是A6、张三向李四提出通信请求，一开始张三向李四发出呼叫，使用的密钥为（）。A、公钥 B、私钥 C、会话密钥 D、交换密钥是D。A及B是公钥加密的两个密钥，及通讯会话无关。会话密钥是保持通讯过程中的加密。D是及通信过程本身相关的加密密钥7、李四向王五发出通讯请求，并及王五建立了加密通讯。张三窃取了李四及王五之间的密钥A。张三向王五发出通讯请求，并及王五建立了加密通讯，原密钥为B，张三使用密钥A伪装陈李四，向王五发出消息。王五却无法有效解密消息，是因为王五及李四建立的加密通讯使用的密钥A，不同于王五及李四建立的加密通讯使用的密钥B，两个密钥都属于（），当会话结束时，就被丢弃。A、公钥 B、私钥 C、会话密钥 D、交换密钥是C。王五针对张三的会话，生成了会话密钥A；王五针对李四的会话，生成了会话密钥B；减少了窃听者破解密码的可能性。它同时也降低了重复攻击的有效性。8、张三给李四使用对称密钥加密方法，发送一段消息。同时张三通过安全通道向李四发出密钥，可是李四不小心将密钥泄漏给了王五，王五就能（）。A、使用窃听的密钥，对消息进行正确解密 B、使用窃听的密钥，不能对消息进行正确解密C、使用张三的公钥，加上窃听的密钥，能对消息进行正确解密D、使用李四的公钥，加上窃听的密钥，能对消息进行正确解密是A，对称加密一旦密码泄漏，即泄密了。9、张三给李四使用公钥加密方法，发送一段消息，则李四可以用公开的密钥，再加上（）对消息有效解密。A、李四的私钥 B、张三的私钥 C、张三的公钥 D、李四的公钥，是A。10、张三及李四需要进行通信。张三及李四向外通讯线路，被王五截获。张三李四在不知情的情况下通过王五，进行二者之间的通信，却不知王五在将通信内容发送到预期接收人之前监控与读取通信内容，王五这种行为被称作（）。A、搭线监听 B、中间人攻击 C、泛洪攻击 D、DDoS是B，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。11、中间人攻击除了可以信息窃取以外，还能进行（）。A、身份认证 B、加密隧道 C、数据加密 D、信息篡改是D12、ARP欺骗，又称ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。这种方法属于（）的一种。A、网站钓鱼 B、病毒 C、中间人攻击 D、DDoS是C。13、一种攻击方法，将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。这种方法称作（）。A、多级DNS B、DNS溢出 C、DNS欺骗 D、DNS信息泄露是C。14、黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。这种方法称作（）。A、ARP欺骗 B、ARP广播 C、ARP监听 D、ARP动态更新是A15、以下不属于中间人攻击的黑客方法是（）。A、会话劫持 B、ARP欺骗 C、DNS欺骗 D、DDoS是D。中间人攻击是指攻击者在两个通信用户不知情的情况下通过其计算机重新路由二者之间的通信的行为。会话劫持（Sessionhijacking），是一种网络攻击手段，黑客可以通过破坏已创建的数据流而实现劫持，属于中间人。ARP欺骗劫持了ARP数据包，伪装IP地址，属于中间人。DNS欺骗劫持了DNS，伪装域名，属于中间人。16、（）是一种权威性的电子文档，提供了一种在Internet上验证身份的方式。A、数字签名 B、数字信封 C、数字证书 D、代理证书是C17、数字证书的发放机构为（）。A、CA中心 B、银行 C、信用卡中心 D、人事部是A18、证书签名链依赖于（）协议。A、TCP B、IP C、IPSEC D、X509是D19、张三从某CA处获得证书，李四从另外一个CA处获得证书，且两个CA相互已经为对方发行证书，则张三及李四能进行（）。A、交叉认证 B、签名 C、密钥交换 D、密钥分发是A20、张三向李四发消息，对消息做摘要并用公钥系统进行加密，加密后的摘要称之为（）。A、CA证书 B、签名 C、数字信封 D、数字密钥是B21、张三向李四发消息，并发送数字签名。李四收到消息及签名后，对签名进行验证，发现及消息内容不能匹配，则可能是（）。A、张三电脑有毒 B、张三证书过期了 C、传输过程被篡改 D、李四电脑有毒是C。有病毒不会影响签名算法。证书过期不能签名。22、一个密钥系统，任一明文的密钥都是由公钥唯一确定的，则该系统称之为（）A、确定型密钥 B、概率型密钥 C、密钥契约 D、密钥管理是A23、数据库中监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，属于数据库（）。A、接口系统 B、存储系统 C、用户权限管理系统 D、安全审计系统是D24、Oracle有多达20个以上的缺省用户，Sybase也有超过10个的缺省用户，为了保证数据库安全，需要（）。A、给缺省用户设置DBA权限 B、给缺省用户设置为用户权限C、将缺省用户名称改成DBA D、更改这些缺省用户密码是D。给权限有风险，也不能改名，应该是设置密码。25、入侵者将未经授权的数据库语句插入到有漏洞的SQL数据信道中，称之为（）A、SQL注入攻击 B、数据库加密 C、数据库审计 D、SQL命令加密是A26、网络窃听是一种在网络上截取传输流的一种非常有效的办法，可以窃听到邮箱帐号与密码，还有那些使用（）传输的协议帐号。A、密文 B、明文 C、签名 D、数字信封是B。明文可以监听到。27、电影《窃听风云》里警方通过信号拦截系统，对手机机主进行窃听，这属于（）A、信道侦听 B、流量分析 C、电缆保护 D、无线屏蔽是A28、数字信封加密技术（）A、结合了对称加密算法与非对称加密算法的优点B、利用了对称加密算法的速度快，适合大数据量的优点，未使用非对称加密算法C、利用了公钥加密的数据只有对应的私钥解开，适合向确定的对象发送小批量数据的优点，未使用对称加密算法D、未使用对称加密算法与非对称加密算法，使用了概率加密方法是A。对称加密算法的速度快，适合大数据量，但接收方同发送方的密钥协商困难；非对称加密算法运算量大，运算速度慢，不适合大量数据的加密，但公钥加密的数据只有对应的私钥解开，适合向确定的对象发送小批量数据29、一般的数据加密可以在通信的三个层次来实现，为（）。A、线路加密、节点加密与端到端加密 B、电缆加密、节点加密与端到端加密C、链路加密、节点加密与端到端加密 D、会话加密、节点加密与端到端加密是C30、安全套接层（SecureSocketsLayer，SSL）及传输层安全（TransportLayerSecurity，TLS），都是在（）对网络连接进行加密。A、物理层 B、传输层 C、会话层 D、应用层是B31、在浏览器的网址栏输入开头为“https:”的网址时，就表示目前是透过（）连线。A、SSL B、IPSec C、VPN D、加密网关是A32、高层的应用协议如HTTP、等能透明地建立于SSL协议之上，是因为SSL协议是（）。A、应用层协议无关的 B、建立在应用层上的C、建立在链路层上的 B、建立在传输层上的是A。SSL是传输层的33、WEB客户机通过连接到一个支持SSL的服务器，启动一次SSL会话。支持SSL的典型WEB服务器在一个及标准HTTP请求（默认为端口80）不同的端口（默认为443）上接受SSL连接请求。当客户机连接到这个端口上时，它将启动一次建立SSL会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，直到SSL会话过期。SSL创建一个会话，在此期间，握手必须（）。A、只发生过一次 B、只发生过两次 C、一次都不发生 D、可以发生过三次以上 是A34、（）能够为所有网络应用提供加密与数字签名等密码服务及所必需的密钥与证书管理体系。A、SSL B、IPSec C、PKI D、S-HTTP是C35、IPsec以（）为单位对信息进行加密的方式。A、IPPacket小包 B、链路帧 C、TCP包 D、流媒体是A36、IPsec在（）提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。A、物理层 B、链路层 C、IP层 D、TCP层是C37、有多台主机但只通过一个公有IP地址访问因特网的私有网络中，常用（）技术。A、SSL B、NAT C、PKI D、SET是B38、包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照（）过滤信息包。A、最小权利原则 B、白名单原则C、黑名单原则 D、预先设定的过滤原则是D。B、C只是其中的一种策略。39、（）是一种主动保护自己免受攻击的一种网络安全技术，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别与响应），提高了信息安全基础结构的完整性。A、防火墙 B、IDS C、NAT D、SSL是B，入侵检测系统三、简答题1、北京街头出现一种新型骗钱手段，让人防不胜防。不法者通过安装假的ATM机，套取持卡人的卡号与密码，进而复制银行卡窃取钱财。宣武区广安门外西街街边一烟酒店门口就出现了一台假ATM机。6月15日，市民马先生在此机上插卡查询，仅得到“无法提供服务”的提示，前天他则发现卡内5000元金额不翼而飞。请分析其中使用的计算机安全技术。参考答案：欺骗技术，或者是伪装技术，伪装成ATM机，获得卡号与密码信用卡复制技术2、张三收到李四发的消息及其数字签名，可是李四否认发送过该消息及签名，且李四声称私钥未失窃，如果认定？参考答案：让李四用其私钥对消息进行签名，获得签名A从张三处获得收到的前面B对比两个签名A及B如果一致，则消息是李四发的如果不一致，则消息是张三伪造的3、简述数字信封的实现步骤参考答案1、使用会话密钥加密明文；需要会话密钥，加密函数；2、从CA得到接收方的证书，并用证书的公钥对会话密钥加密；3、读取接收方证书的ID，把密文，加密的会话密钥，ID以一定的格式压缩打包发送；4、这个包就称为数字信封；5、数字信封拆解是使用私钥将加密过的数据解密的过程。4、一个典型、完整、有效的PKI应用系统包括哪些部分？参考答案完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。功能包括：公钥密码证书管理。黑名单的发布与管理。密钥的备份与恢复。自动更新密钥。自动管理历史密钥。支持交叉认证。5、防火墙技术与VPN技术有何不同参考答案防火墙建在你与Internet之间，用于保护你自己的电脑与网络不被外人侵入与破坏。VPN是在Internet上建立一个加密通道，用于保护你在网上进行通信时不会被其他人截取或者窃听。VPN需要通信双方的配合。6、防火墙能否防止病毒的攻击？给出理由。参考答案：防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构与病毒，因此不可能查找所有的病毒。防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。四、设计题1、请分析银行卡消费欺诈的案例，给出信息安全的解决方案。1）、欺诈者首先利