18春西南大学课程名称【编号】：信息安全【0836】机考答案

1、- 1 -西南大学网络与继续教育学院课程考试试题卷西南大学网络与继续教育学院课程考试试题卷类别： 网教 专业：计算机应用技术,计算机教育 2018 年 6 月课程名称【编号】： 信息安全 【0836】 A 卷大作业 满分：100 分一、大作业题目一、大作业题目 1. 现代安全防范技术层出不穷，但网络安全问题却愈发严峻，请全面分析造成网络现代安全防范技术层出不穷，但网络安全问题却愈发严峻，请全面分析造成网络 安全威胁的根本原因。安全威胁的根本原因。答：（1）黑客的恶意攻击“黑客” （Hack）对于大家来说可能并不陌生，他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户，由于黑客技术逐渐被越来越多的人掌握和发展，目前世界上约有 20 多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而任何网络系统、站点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客们善于隐蔽，攻击“杀伤力”强，这是网络安全的主要威胁1。而就目前网络技术的发展趋势来看，黑客攻击的方式也越来越多的采用了病毒进行破坏，它们采用的攻击和破坏

2、方式多种多样，对没有网络安全防护设备（防火墙）的网站和系统（或防护级别较低）进行攻击和破坏，这给网络的安全防护带来了严峻的挑战。（2）网络自身和管理存在欠缺 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的 TCP/IP协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全防范、服务质量、带宽和方便性等方面存在滞后及不适应性。网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理，没有制定严格的管理制度。据 IT 界企业团体 ITAA 的调查显示，美国 90的 IT 企业对黑客攻击准备不足。目前美国 7585的网站都抵挡不住黑客的攻击，约有 75的企业网上信息失窃。（3）软件设计的漏洞或“后门”而产生的问题 随着软件系统规模的不断增大，新的软件产品开发出来，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是 Windows 还是 UNIX 几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等

3、等都被发现过存在安全隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，不可能完美无缺。这也是网络安全的主要威胁之一。例如大名鼎鼎的“熊猫烧香”病毒，就是我国一名黑客针对微软 Windows 操作系统安全漏洞设计的计算机病毒，依靠互联网迅速蔓延开来，数以万计的计算机不幸先后“中招” ，并且它已产生众多变种，还没有人准确统计出此次病毒在国内殃及的计算机的数量，它对社会造成的各种损失更是难以估计。目前透露的保守数据已表明， “熊猫烧香”是最近一段时间以来少有的、传播速度较快、危害性较强的一种病毒，其主要破坏特征有：导致安装有WindowsXP、Windows2000、WindowsServer2003 等操作系统的受感染计算机的.exe 文件全部无法正常打开、系统运行速度减慢、常用办公软件的部分功能失效等。此外，感染了此病毒的计算机，又会通过互联网自动扫描，寻找其他感染目标，最终在这名黑客提供病毒源码的情况下，才终止了此种病毒的继续传播。（4）恶意网站设置的陷阱 互联网世界的各类网站，有些网

4、站恶意编制一些盗取他人信息的软件，并且可能隐藏在下载的信息中，只要登录或者下载网络的信息就会被其控制和感染病毒，计算机中的所有信息都会被自动盗走，该软件会长期存在你的计算机中，操作者并不知情，如现在非常流行的“木马”病毒。因此，上互联网应格外注意，不良网站和不安全网站万不可登录，否则后果不堪设想（5）用户网络内部工作人员的不良行为引起的安全问题 网络内部用户的误操作，资源滥用和恶意行为也有可能对网络的安全造成巨大的威胁。由于各行业，各单位现在都在建局域网，计算机使用频繁，但是由于单位管理制度不严，不能严格遵守行业内部关于信息安全的相关规定，都容易引起一系列安全问题。4.防火墙是目前几乎所有企业都会采用的一种防范技术，请全面分析防火墙的技术种防火墙是目前几乎所有企业都会采用的一种防范技术，请全面分析防火墙的技术种 类、优势与不足。类、优势与不足。答：技术种类：包过滤防火墙、应用代理防火墙、状态检测防火墙。- 2 -优势：防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控 审计。防止内部信息的外泄。部署 NAT 向客户发布信息 支持 VPN不足：防火墙不是解决所有

5、安全问题的万能药方，它只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击 防火墙不能防范来自内部人员恶意攻击。防火墙不能防止病 毒感染的程序或文件的传递。防火墙不能防止数据驱动式攻击，如特洛伊木马。5.随着安全威胁的不断出现，相应的安全技术也层出不穷，请总结：1）目前有哪些 主要的、被广泛使用的安全技术（不少于 5 种，不包括防火墙） ；2）这些技术都是针对 哪些安全问题而提出或解决什么问题的；3）其原理是什么？答：(1)入侵检测 (2) PKI3 (3) VPN (4)病毒查杀 ( 5)认证签名技术( (一）入侵检测技术一）入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：(1) 入侵者可寻找防火墙背后可能敞开的后门。(2) 入侵者可能就在防火墙内。(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付

6、来自内部网络的攻击，其次它能够缩短 hacker 入侵的时间。( (二）二）PKIPKIPKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表 CRL（X.509 V2） ；CA 操作协议；CA 管理协议；CA 政策制定。通常,使用的加密算法比较简便高效，密钥简短，破译极其困难，由于系统的保密性主要取决于密钥的安全性，所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。正是由于对称密码学中双方都使用相同的密钥，因此无法实现数据签名和不可否认性等功能。而与此不同的非对称密码学，具有两个密钥，一个是公钥一个是私钥，它们具有这种性质：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。公钥顾名思义是公开的，所有的人都可以得到它；私钥也顾名思义是私有的，不应被其他人得到，具有唯一性。这样就可以满足电子商务中需要的一些安全要求。比如说要

7、证明某个文件是特定人的，该人就可以用他的私钥对文件加密，别人如果能用他的公钥解密此文件，说明此文件就是这个人的，这就可以说是一种认证的实现。还有如果只想让某个人看到一个文件，就可以用此人的公钥加密文件然后传给他，这时只有他自己可以用私钥解密，这可以说是保密性的实现。基于这种原理还可以实现完整性。这就是 PKI 所依赖的核心思想，这部分对于深刻把握 PKI 是很重要的，而恰恰这部分是最有意思的。( (三）三）VPN虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 有多种分类方式，主要是按协议进行分类。VPN 可通过服务器、硬件、软件等多种方式实现。 通常情况下，VPN 网关采取双网卡结构，外网卡使用公网 IP 接入 Internet。 网络一(假定为公网 internet)的终端 A 访问网络二(假定为公司内网)的终端 B，其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。 网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查，如果目标地址属于

8、网络二的地址，则将该数据包进行封装，封装的方式根据所采用的 VPN 技术不同而不同，同时VPN 网关会构造一个新 VPN 数据包，并将封装后的原数据包作为 VPN 数据包的负载，VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。 网络一的 VPN 网关将 VPN 数据包发送到 Internet，由于 VPN 数据包的目标地址是网络二的VPN 网关的外部地址，所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。 网络二的 VPN 网关对接收到的数据包进行检查，如果发现该数据包是从网络一的 VPN 网关发出的，即可判定该数据包为 VPN 数据包，并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离，再将数据包反向处理还原成原始的数据包。 网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B，由于原始数据包的目标地址是终端 B 的 IP，所以该数据包能够被正确地发送到终端 B。在终端 B 看来，它收到的数据包就和从终端A 直接发过来的一样。 从终端 B 返回终端 A 的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相

9、互- 3 -通讯了。( (四）四）认证签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面：(1) 路由器认证，路由器和交换机之间的认证。(2) 操作系统认证。操作系统对用户的认证。(3) 网管系统对网管设备之间的认证。(4) VPN 网关设备之间的认证。(5) 拨号访问服务器与客户间的认证。(6) 应用服务器(如 Web Server)与客户的认证。(7) 电子邮件通讯双方的认证。( (五）五）安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于 Hacker 在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如 password 文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

《18春西南大学课程名称【编号】：信息安全【0836】机考答案》由会员阿****5分享，可在线阅读，更多相关《18春西南大学课程名称【编号】：信息安全【0836】机考答案》请在金锄头文库上搜索。