【正文】 鑒定簽名人的身份以及對一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。答：可信計(jì)算基是“計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境，并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)”。通常所指的可信計(jì)算基是構(gòu)成安全計(jì)算機(jī)信息系統(tǒng)的所有安全保護(hù)裝置的組合體(通常稱為安全子系統(tǒng))，以防止不可信主體的干擾和篡改。五、簡答題1．簡述ARP欺騙的實(shí)現(xiàn)原理及主要防范方法答：由于ARP協(xié)議在設(shè)計(jì)中存在的主動發(fā)送ARP報(bào)文的漏洞，使得主機(jī)可以發(fā)送虛假的ARP請求報(bào)文或響應(yīng)報(bào)文，報(bào)文中的源IP地址和源MAC地址均可以進(jìn)行偽造（2分）。在局域網(wǎng)中，即可以偽造成某一臺主機(jī)（如服務(wù)器）的IP地址和MAC地址的組合，也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合，ARP即可以針對主機(jī)，也可以針對交換機(jī)等網(wǎng)絡(luò)設(shè)備（2分），等等。目前，絕大部分ARP欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的ARP表，使得網(wǎng)絡(luò)中的合法主機(jī)無法正常通信或通信不正常，如表示為計(jì)算機(jī)無法上網(wǎng)或上網(wǎng)時(shí)斷時(shí)續(xù)等。（2分）針對主機(jī)的ARP欺騙的解決方法：主機(jī)中靜態(tài)ARP緩存表中的記錄是永久性的，用戶可以使用TCP/IP工具來創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP工具，利用“arp s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址”將本機(jī)中ARP緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static）。（2分）針對交換機(jī)的ARP欺騙的解決方法：在交換機(jī)上防范ARP欺騙的方法與在計(jì)算機(jī)上防范ARP欺騙的方法基本相同，還是使用將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行一一綁定的方法來實(shí)現(xiàn)。2． 如下圖所示，簡述包過濾防火墻的工作原理及應(yīng)用特點(diǎn)。答：包過濾（Packet Filter）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過防火墻（2分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過對進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會形成一個(gè)過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會將IP分組的頭部信息與過濾規(guī)則表進(jìn)行逐條比對，根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過。（2分）包過濾防火墻主要特點(diǎn)：過濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來定；防火墻在進(jìn)行檢查時(shí)，首先從過濾規(guī)則表中的第1個(gè)條目開始逐條進(jìn)行，所以過濾規(guī)則表中條目的先后順序非常重要；由于包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。但包過濾防火墻無法識別基于應(yīng)用層的惡意入侵。另外，包過濾防火墻不能識別IP地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過偽裝成為合法IP地址的使用者來訪問外部網(wǎng)絡(luò)，同樣外部被限制的主機(jī)也可以通過使用合法的IP地址來欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。（4分）3． 根據(jù)實(shí)際應(yīng)用，以個(gè)人防火墻為主，簡述防火墻的主要功能及應(yīng)用特點(diǎn)答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（2分）個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（2分）個(gè)人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來，個(gè)人防火墻采用的技術(shù)也與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、防火墻的管理等方面進(jìn)行了簡化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2分）為了防止安全威脅對個(gè)人計(jì)算機(jī)產(chǎn)生的破壞，個(gè)人防火墻產(chǎn)品應(yīng)提供以下的主要功能。防止Internet上用戶的攻擊、阻斷木馬及其他惡意軟件的攻擊、為移動計(jì)算機(jī)提供安全保護(hù)、與其他安全產(chǎn)品進(jìn)行集成。（4分）4． 如圖所示，描述DDoS攻擊的實(shí)現(xiàn)方法。答：DDoS攻擊是利用一批受控制的主機(jī)向一臺主機(jī)發(fā)起攻擊，其攻擊的強(qiáng)度和造成的威脅要比DoS攻擊嚴(yán)重得多，當(dāng)然其破壞性也要強(qiáng)得多。（2分）在整個(gè)DDoS攻擊過程中，共有四部分組成：攻擊者、主控端、代理服務(wù)器和被攻擊者，其中每一個(gè)組成在攻擊中扮演的角色不同。（1） 攻擊者。攻擊者是指在整個(gè)DDoS攻擊中的主控臺，它負(fù)責(zé)向主控端發(fā)送攻擊命令。與DoS攻擊略有不同，DDoS攻擊中的攻擊者對計(jì)算機(jī)的配置和網(wǎng)絡(luò)帶寬的要求并不高，只要能夠向主控端正常發(fā)送攻擊命令即可。（2分）（2） 主控端。主控端是攻擊者非法侵入并控制的一些主機(jī)，通過這些主機(jī)再分別控制大量的代理服務(wù)器。攻擊者首先需要入侵主控端，在獲得對主控端的寫入權(quán)限后，在主控端主機(jī)上安裝特定的程序，該程序能夠接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理服務(wù)器上。 （2分）（3） 代理服務(wù)器。代理服務(wù)器同樣也是攻擊者侵入并控制的一批主機(jī)，同時(shí)攻擊者也需要在入侵這些主機(jī)并獲得對這些主機(jī)的寫入權(quán)限后，在上面安裝并運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理服務(wù)器是攻擊的直接執(zhí)行者，真正向被攻擊主機(jī)發(fā)送攻擊。（2分）（4）被攻擊者。是DDoS攻擊的直接受害者，目前多為一些大型企業(yè)的網(wǎng)站或數(shù)據(jù)庫系統(tǒng)。（2分）5．簡述IPSec隧道處理流程。v 握手層：負(fù)責(zé)建立SSL連接v 記錄層：負(fù)責(zé)對報(bào)文進(jìn)行加解密v 答：分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。，利用RSA密鑰算法，對26個(gè)字母中的第12個(gè)字母（L）加密，請問公開密鑰與私有密鑰分別是什么？加密后的密文字母是什么？（要求有計(jì)算過程），就如何改進(jìn)可使該密鑰分配具有保密和認(rèn)證功能。① A向B發(fā)送自己產(chǎn)生的公鑰和A的身份；② B收到消息后，產(chǎn)生會話密鑰Ks，用公鑰加 密后傳送給A；③ A用私鑰解密后得到Ks