网络安全基础教程课后答案1

第一章

1．分析计算机及网络系统中各自存在的主要安全威胁和隐患。

答：计算机目前所面临的安全威胁，主要涉及以下几个方面:（1）计算机病毒；

（2）木马；（3）恶意软件。 网络所面临的主要安全威胁 ：（1）系统漏洞威胁；（2）人为因素的威胁， ① 人为失误；② 恶意攻击。 这些安全隐患主要表现为：（1）由于黑客攻击所带来的机密信息泄露或网络服务器瘫痪。 （2）由于病毒、木马或恶意软件所带来的文件损坏或丢失，甚至计算机系统破坏。 （3）重要邮件或文件的非法访问、窃取或截获与操作等。 （4）关键部门未经授权的非法访问和敏感信息的泄露等。 （5）备份数据和存储媒介的损坏和丢失等。 2．什么叫网络安全？网络安全的有哪些主要特征？

答：也就是信息系统的安全。网络安全包括系统运行的安全、系统信息的安全保护、系统信息传播后的安全和系统信息内容的安全四个方面内容。网络安全既要保证网络系统物理硬件与设施的安全，又要保证软件系统与数据信息存储、传输和处理等全部过程的安全， 还要保证网络服务不中断。特征：(1).保密性(2).完整性(3).可用性(4).可靠性 3．WPDRRC模型的主要内容是什么？与P2DR和PDRR相比有和优缺点？

答：WPDRRC信息安全模型适合中国国情的信息系统安全保障体系建设模型，它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节。6个环节包括预警、保护、检测、响应、恢复和反击，它们具有较强的时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。 优缺点：比后两者多了预警和反击使6个环节具有较强的时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。缺点：运用的技术体系庞大，难于操作。 6．什么是网络边界？网络边界的作用是什么？

答：网络边界是指在单一的安全策略下通过网络链接起来的计算机及其网络设备的集合 作用：是防止外来攻击，也可以用来对付某些恶意的内部攻击 第二章

6．试写出DES的加密过程。

答：将64位明文经初始换后,在密钥的参与下进行了16轮次非线性迭代变换再进行和初始换位相逆的位置变换,便得出密文DES:第一阶段微初始置ZP 第二阶段微计算16次迭代变换第三阶段微逆置换。公式：Li=Ri-1 Ri=Li-1○f（Ri-1，ki）字母右面的都为标号，圆内加“+”。 8.请阐述对称密码技术和非对称密码技术的基本原理。 答：对称密码技术的加密和解密的双方拥有相同的密钥，采用的解密算法是加密算法的逆运算。非对称加密和解密的双方拥有不同的密钥，使用的是数学函数，采用公开密钥密码的思想。

9．请编程实现RSA算法，并举一例进行验证。

答：① 选两个保密的大素数p和q；② 计算n=p*q，φ（n）=（p-1）（q-1），其中φ（n）是n的欧拉函数值；③ 选一整数e，满足1

（2）加密：加密时首先将明文m比特串分组，使得每个分组对应的十进制数小于n，即分组的长度小于log2n。然后对每组明文分组，作加密运算：C=m的e次方mod n。 （3）解密：对密文分组的解密运算为： m=c的d次方 mod n。

第三章

1.信息隐藏技术与密码技术有何异同点？

答：两个技术都是为了保障信息的使用和信息传输的安全，但二者在保护中存在明显区别。(1).加密技术通过密钥孔子和信息的使用权。而信息隐藏则不同，他作为信息加密的补充方法，主要目的是确保宿主信息中隐藏的秘密信息不被改变或者删除，从而在必要时提供有效的证明信息。(2).加密技术是试图隐藏信息内容，但微隐藏其存在。与之不同的是信息隐藏技术更进一步主要靠伪装掩盖信息的存在。 2.简述基于替换的LSB信息隐藏技术？

答：将信息嵌入到文件的过程：(1).将待隐藏信息转换成二进制数据流(2).将文件图像数据部分的每个字节的奇偶性与上述二进制数据流进行比较。(3).通过调整字节最低位的0或1来改变字节的奇偶性，使之与上述二进制数据流的奇偶性一致。

隐藏信息提取的过程：(1).判断每个字节的奇偶性，若字节中1的个数为偶数，则输出0，若字节中1的个数为奇数，则输出1; (2).每判断8个字节，便将数吃的8位数组成一个二进制数。(3).经过上述处理，你得到一系列8位二进制数便是隐藏信息的代码，将代码转换成文本，图像，声音。 第四章

2.请简述描述数字签名的基本原理、过程及特性。

答:原理：完整的数字签名过程（包括从发送方发送信息到接收方安全接收到信息）包括签名和签别两个过程。

特征（1）签名与信息（或文件）应是一个不可分割的整体（2）对已知的数字签名构造一个新的信息（或文件）或对已知的信息（或文件）构造一个假冒的数字签名在计算上都是不可行的，以防止签名的伪造；（3）数字签名应该具有时间特征（4）对于所签发的信息（或文件），签名应能精确、唯一地生成，同时还能公开、精确、有效地验（比如可由第三方进行验证），以防止收发双方的抵赖；5）数字签名能够验证信息（或文件）的真实性和完整性；（6）签名的产生、识别和验证应较为容易。 过程：（1）使用单向散列算法对原始信息进行计算，得到一个固定长度的信息摘要实际上是一个固定长度的字符串。（2）发送方用自己的私钥加密生成的信息摘要，生成发送方的数字签名；（3）发送方把这个数字签名作为要发送信息的附件和明文信息一同用接收方的公钥进行加密，将加密后的密文一同发送给接收方；（4）接收方首先把接收到的密文用自己的私钥解密，得到明文信息和数字签名，再用发送方的公钥对数字签名进行解密，随后使用相同的单向散列函数来计算解密得到的明文信息，得到信息摘要。如果计算出来的信息摘要和发送方发送给他的信息摘要（通过解密数字签名得到的）是相同的，接收方就能确认数字签名确实是发送方的，否则就认为收到的信息是伪造的或中途被篡改的。 3.请阐述具有保密通信的数字签名的过程。 答：（1）使用单向散列算法对原始信息进行计算，得到一个固定长度的信息摘要实际上是一个固定长度的字符串。（2）发送方用自己的私钥加密生成的信息摘要，生成发送方的数字签名；（3）发送方把这个数字签名作为要发送信息的附件和明文信息一同用接收方的公钥进行加密，将加密后的密文一同发送给接收方；（4）接收方首先把接收到的密文用自己的私钥解密，得到明文信息和数字签名，再用发送方的公钥对数字签名进行解密，随后使用相同的单向散列函数来计算解密得到的明文信息，得到信息摘要。 6.请简述不可否认签名方案的基本原理及过程。（可以通过画图帮忙描述）

答：原理：不可否认签名就借用了法律的原理来实现这一目标，不是去证明B事实，而是去证明A事实。如果从A角度来分析问题，存在如下情况：（1）如果A拒绝合作，则认为B提供的是事实；（2）如果A用虚假方法验证，算法可以实现A行为，也判定B提供的是事

实；（3）如果B提供的借条是伪造的，则A也可以发现并证明，从而否认B提供的借条。过程不可否认签名主要由3部分组成：签名算法、验证算法和不可否认算法。 第五章

10．什么是基于MAC的消息认证技术？有哪些认证方法？请具体说明认证原理及过程。 答：消息认证码是一种实现消息认证的方法。MAC是消息M和钥K的一函数MAC=Ck(M)产生的。其中，M是变长的消息；K是仅有收发方共享的密钥；Ck(M)是定长的认证码。假定A是发送方，B是接收方，他们共享密钥K。当A要向B发送信息，确信已知消息正确时，计算MAC，然后将MAC附加到消息的后面发送给B；B使用同样的密钥K，对收到的M执行相同的计算并得到MAC；如果接收到的MAC和B计算出来的MAC相等，那么可以确信如下情况：（1）B确信消息未被更改过。（2）B确信消息来自发送者。（3）如果消息包括一个序列号（如用于HDLC、X.25和TCP），那么接收者确信该序列号的正确性。 认证方法：基于DES的消息认证码，消息认证码方案

11．什么是Hash函数的消息认证技术？有哪些认证方法？请具体说明认证原理及过程。 答：Hash函数是可接受变长的数据输入，并生成定长的数据输出的数据函数。Hash函数也称为单项散列函数，Hash值又被称为输入数据的数字指纹。

（1）.使用对称密码技术对附加Hash值得消息进行加密（2）.使用对称密码技术仅对Hash值进行加密（3）.使用公钥密码技术和发送方的私钥仅对Hash值进行加密（4）.同时提供保密性和数字签名（5）.通信各方共享一个公共的私密值S的Hash值（6）.通过对包含消息和Hash值的整体进行加密就能对方法(5)增加保密功能。 12．一个安全、可靠的身份认证系统应满足哪些要求？

答：(1).不具可传递性(2).攻击者伪装示证者成功的概率要小到可以忽略的程度。(3).验证者的正确识别合法示证者的概率极大化。(4).计算有效性。(5).通信有效性。(6).秘密参数能安全存储。(7).交互识别。(8).第三方的可信赖性。(9).提供可证明安全性 18．什么是数字证书？请具体说明数字证书的组成及原理。 答：由权威公正的认证中心发放并经认证中心签名的，含有公钥拥有者以及公钥相关信息的一种电子文件，可以用来证明数字证书特有的身份。组成;证书所有者的信息，证书所有者的公钥，证书颁发机构的签名、证书的有效时间和其他信息等。

原理：采用公钥密码技术，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的的私钥，用它进行解密和签名；同时拥有一把公钥，并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误的到达目的地，即使被第三方截获，由于没有相应的私钥，也无法进行解密。 第六章

2.入侵者采用的攻击手段有哪些？

答：(1).冒充(2).篡改(3).重放(4).拒绝服务(5).陷阱门(6).外部攻击(7).内部攻击(8).特洛伊木马 4防止入侵和攻击的主要技术有哪些？

答：(1).访问控制技术(2).防火墙技术(3).入侵检测技术(4).安全审计技术(5).安全扫描技术(6)安全管理技术。

7.什么是拒绝服务攻击（DoS）？请具体说明其攻击原理。

答：服务拒绝攻击是通过占用大量的资源，最终使计算机或网络无法提供正常的服务，是目前最常见的一种攻击类型。 攻击原理：利用各种手段不断向目标主机发送虚假请求或垃圾信息等，是目标主机一直处于忙于应付或一直处于等待回应的状态而无法为其他主机提供服务。 第七章

1.什么是计算机病毒？一个企业网如何构建防病毒体系？ 答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用病能自我复制的一组计算机指令或者程序代码。

(1). 构建控管中心集中管理架构 (2). 构建全方位、多层次的防毒体系 (3). 构建高效的网关防毒子系统(4). 构建高效的网络层防毒子系统(5). 构建覆盖病毒发作生命周期的控制体系(6). 病毒防护能力(7). 系统服务

2.什么是防火墙？简述防火墙的作用、特性和优缺点。

答：防火墙是指一种将内部网和公众网分开的方法，他实际上是一种隔离技术，是在两个网络通信时执行的一种访问控制手段。

作用：(1).隔离不同网络，防止内部信息泄漏(2).创建一个检查点(3).审计和记忆内外部网络上的的活动(4).强化安全策略

特性：(1).位置特性：对一个网络来说，所有通过内部和外部的网络信息都要经过防火墙(2).工作原理特性：通过一些安全策略来保证只有经过授权方信息流量才能通过防火墙(3).防火墙本身必须建立在安全操作系统的基础上。 优点：（1）防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行。（2）防火墙能防止非授权用户进入内部网络。（3）防火墙可以方便地监视网络的安全性并报警。（4）防火墙可以作为部署网络地址转换的地点。利用NET技术，可以缓解地址空间的短缺，隐藏内部网的结构。（5）利用防火墙对内部网络的划分，可以实现重点网段的分离。从而限制问题的扩散。（6）由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。 缺点：（1）限制有用的网络服务（2）无法防护内部网络用户的攻击。（3）防火墙无法防范绕过它的连接。（4)防火墙不能防范病毒。（5）防火墙无法防范数据驱动型的攻击。（6）防火墙不能防范未知的网络安全问题。 3.防火墙的体系结构是怎么的？ 答：（1）.屏蔽体系结构（2）.双宿主机体系结构（3）.屏蔽主机体系结构（4）.屏蔽网络体系结构

7.异常检测和误用检测有何不同？各自有何缺点？

答：①异常检测模型：这种模型的特点是首先总结正常操作应该具有的特征，建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阈值与特征的选择是异常发现技术的关键。异常检测技术的局限在于并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。 ②误用检测模型：误用检测又称特征检测，这种模型的特点是收集非正常操作也就是入侵行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。特征检测的优点是误报少、准确，局限是它只能发现已知的攻击，对未知的攻击无能为力。 第八章

3.在网络信息系统中，判别数据安全的基本准则是什么？请具体说明。

答：从保密性，完整性，可用性和不可否认性等四个方面进行判断。保密性是指非法主题不能对客体进行访问。完整性是指针对合法主体，客体保证其数据的完整性，有效性和一致性。可用性是指针对合法主体，客体是可用的，而非法主体是不能客体的。不可否认性，是指主体不能否认对客体的各种操作行为。 第十二章

2.网络互连的实现方法有哪些？ 答：（1）物理层间的互连：基于中继器和集线器的互联。

（2）链路层间的互连：基于网桥和交换机的互联。 （3）网络层间的互连：基于路由的互联。 （4）应用层间的互连：基于网关的互连。 3论述：

作为一个网络管理员如何考虑网络安全这方面的问题。/从哪些方面考虑这些安全。

答：网络系统的运作是靠管理人员来具体实施的，管理人员既是网络系统的安全主体，也是网络系统安全管理的对象。

作为一个网络管理员要保证整个计算机网络系统的硬件、软件及其系统中的数据，不受偶然的或者恶意的破坏、更改、泄露，包括系统运行的安全、系统信息的安全保护、系统信息传播后的安全和系统信息内容的安全四个方面内容。既要保证网络系统物理硬件与设施的安全，又要保证软件系统与数据信息存储、传输和处理等全部过程的安全，即通常所说的保证网络系统运行的可靠性、信息的保密性、完整性和可用性等，还要保证网络服务不中断。

网络管理员可以在管理计算机上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器等进行综合管理，同时利用安全分析软件从不同的角度对所有的设备、服务器、工作站进行安全扫描，分析安全漏洞、并采取相应的措施。安全管理包括：（1）监视网络危险情况，对危险进行隔离，并把危险控制在最小范围内；（2）身份认证、权限设置与管理、对资源存取权限的管理、对资源或用户动态的或静态的审计；（3）对违规事件自动生成报警或生成事件消息；口令管理，对无权操作人员进行控制、密钥管理。