【正文】 （D）新技術(shù)A 進(jìn)程注入 B注冊表隱藏 C漏洞掃描 D都是11，網(wǎng)絡(luò)蜜罐技術(shù)使用于（.迷惑入侵者，保護(hù)服務(wù)器誘捕網(wǎng)絡(luò)罪犯）12，利用三次握手攻擊的攻擊方式是（DOS\DDOS\DRDOS）13，溢出攻擊的核心是（A）A 修改堆棧記錄中進(jìn)程的返回地址 B利用Shellcode C 提升用戶進(jìn)程權(quán)限 D 捕捉程序漏洞14，在被屏蔽的主機(jī)體系中，堡壘主機(jī)位于（A）中，所有的外部連接都經(jīng)過濾路由器到它上面去。 數(shù)字證書：是指各實(shí)體（持卡人、個(gè)人、商戶、企業(yè)、網(wǎng)關(guān)、銀行等）在網(wǎng)上信息交流及交易活動中的身份證明。 VPN：一般是指建筑在因特網(wǎng)上能夠自我管理的專用網(wǎng)絡(luò)，是一條穿過混亂的公共網(wǎng)絡(luò)的安全穩(wěn)定的隧道。每個(gè)信任域或?qū)嶓w元素根據(jù)安全策略分別實(shí)現(xiàn)身份驗(yàn)證、訪問控制、安全通信、安全分析、安全恢復(fù)和響應(yīng)的機(jī)制選擇。在信任域內(nèi)的實(shí)體元素，存在兩種安全策略屬性，即信任域內(nèi)的實(shí)體元素所共同具有的有限安全策略屬性集合,實(shí)體自身具有的、不違反Sa的特殊安全策略屬性Spi 。大規(guī)模信息系統(tǒng)安全必須依賴統(tǒng)一的安全策略管理、動態(tài)維護(hù)和管理各類安全服務(wù)。通信交互時(shí)間集則包含了通信事件發(fā)生的時(shí)間區(qū)域集。網(wǎng)絡(luò)的信息交互的業(yè)務(wù)類型存在多樣性，根據(jù)數(shù)據(jù)服務(wù)類型、業(yè)務(wù)類型，可以劃分為數(shù)據(jù)信息、圖片業(yè)務(wù)、聲音業(yè)務(wù)；根據(jù)IP數(shù)據(jù)在安全網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)換服務(wù)，業(yè)務(wù)類型可以劃分為普通的分組；根據(jù)TCP/IP協(xié)議傳輸協(xié)議，業(yè)務(wù)類型可以劃分為 ICMP、TCP、UDP分組。實(shí)體集合可包括網(wǎng)絡(luò)通信實(shí)體集、通信業(yè)務(wù)類型集和通信交互時(shí)間集。模型認(rèn)可風(fēng)險(xiǎn)的存在，絕對安全與絕對可靠的網(wǎng)絡(luò)系統(tǒng)是不現(xiàn)實(shí)的，理想效果是期待網(wǎng)絡(luò)攻擊者穿越防御層的機(jī)會逐層遞減，穿越第5層的概率趨于零。在P2DR2動態(tài)安全模型中，采用的加密、訪問控制等安全技術(shù)都是靜態(tài)防御技術(shù)，這些技術(shù)本身也易受攻擊或存在問題。不僅于此，這樣的定義為解決安全問題給出了明確的提示：提高系統(tǒng)的防護(hù)時(shí)間Pt、降低檢測時(shí)間Dt和響應(yīng)時(shí)間Rt，是加強(qiáng)網(wǎng)絡(luò)安全的有效途徑。 公式（2）成立的前提是假設(shè)防護(hù)時(shí)間為0，這種假設(shè)對Web Server這樣的系統(tǒng)可以成立。 （2）Et=Dt+Rt （如果Pt=0） （1）由此針對于需要保護(hù)的安全目標(biāo)，如果滿足公式（1），即防護(hù)時(shí)間大于檢測時(shí)間加上響應(yīng)時(shí)間，也就是在入侵者危害安全目標(biāo)之前，這種入侵行為就能夠被檢測到并及時(shí)處理。作為一個(gè)防御保護(hù)體系，當(dāng)網(wǎng)絡(luò)遭遇入侵攻擊時(shí)，系統(tǒng)每一步的安全分析與舉措均需花費(fèi)時(shí)間。1． P2DR2模型的時(shí)間域分析通過區(qū)域網(wǎng)絡(luò)的路由及安全策略分析與制定，在網(wǎng)絡(luò)內(nèi)部及邊界建立實(shí)時(shí)檢測、監(jiān)測和審計(jì)機(jī)制，采取實(shí)時(shí)、快速動態(tài)響應(yīng)安全手段，應(yīng)用多樣性系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計(jì)等方法，構(gòu)造多層次、全方位和立體的區(qū)域網(wǎng)絡(luò)安全環(huán)境。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊（附件）。(6) 防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點(diǎn)失效等問題。(4) 防火墻不能防范全新的網(wǎng)絡(luò)威脅。(2) 防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。3．防火墻的實(shí)現(xiàn)技術(shù)有哪兩類？防火墻存在的局限性又有哪些？答：防火墻的實(shí)現(xiàn)從層次上可以分為兩類：數(shù)據(jù)包過濾和應(yīng)用層網(wǎng)關(guān)，前者工作在網(wǎng)絡(luò)層，而后者工作在應(yīng)用層。 (2)首先，系統(tǒng)給彩票編好碼，習(xí)慣稱之為條形碼；然后，將條形碼通過MD5運(yùn)算，得到相應(yīng)的消息摘要；接著，對消息摘要進(jìn)行加密，得到相應(yīng)密文；最后，系統(tǒng)將條形碼與密文綁定在一起并存儲，若需要查詢時(shí)只要查看條形碼與密文是否相關(guān)聯(lián)即可。答：(1)系統(tǒng)產(chǎn)生一隨機(jī)數(shù)并存儲此數(shù)，然后對其加密，再將密文貼在商品上。如果攻擊者截獲A發(fā)給S的信息，并將協(xié)議改成A → S：A || C || RaS收到消息后，則又會按協(xié)議S → A: S || Ss(S || A || Ra || Kc)將Kc發(fā)送給A，A收到信息后會認(rèn)為他收到的是Kb ，而實(shí)際上收到的是Kc ，但是A會把它當(dāng)作Kb ，因?yàn)樗麩o法確認(rèn)。答：存在。解：運(yùn)用廣義歐幾里得除法，有 963=1*657+306657=2*306+45306=6*45+3645=1*36+936=4*9+0 （根據(jù)給出的最后一個(gè)定理）則(963, 657)=9 從廣義歐幾里得除法逐次消去r(n1),r(n2), …,r(3),r(2)，即 9=451*36 =45（3066*45） =7*45306 =7*（6572*306）306 =7*6573*306 =7*6573*（963657） =22*65715*963 所以此線性組合為 9=22*65715*963四、 問答題（每小題7分，共21分）1．S擁有所有用戶的公開密鑰,用戶A使用協(xié)議A → S：A || B || RaS → A: S || Ss(S || A || Ra || Kb)其中Ss( )表示S利用私有密鑰簽名向S申請B的公開密鑰Kb。根據(jù)S盒表計(jì)算S3(101101)的值,并說明S函數(shù)在DES算法中的作用。三、 計(jì)算題（每小題8分，共24分）1． 用置換矩陣Ek=〔〕對明文Now we are having a test加密，并給出其解密矩陣及求出可能的解密矩陣總數(shù)。7．NAT的實(shí)現(xiàn)方式有三種，分別是靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換、端口多路復(fù)用。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個(gè)人分散生成。RSA算法的安全是基于分解兩個(gè)大素?cái)?shù)的積的困難。3．根據(jù)使用密碼體制的不同可將數(shù)字簽名分為 基于對稱密碼體制的數(shù)字簽名 和 基于公鑰密碼體制的數(shù)字簽名 ，根據(jù)其實(shí)現(xiàn)目的的不同，一般又可將其分為 直接數(shù)字簽名 和 可仲裁數(shù)字簽名 。傳統(tǒng)的密碼系統(tǒng)主要存在兩個(gè)缺點(diǎn)：一是 密鑰管理與分配問題 ；二是 認(rèn)證問題 。同時(shí)，ISO 74982也確定了八類安全機(jī)制，即加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換、業(yè)務(wù)填充機(jī)制、路由控制機(jī)制和公證機(jī)制。它們存在共同的缺點(diǎn)：直接綁定主體與客體，授權(quán)工作困難。 A. 非對稱密鑰技術(shù)及證書管理 B. 目錄服務(wù) C. 對稱密鑰的產(chǎn)生和分發(fā) D. 訪問控制服務(wù)9．設(shè)哈希函數(shù)H有128個(gè)可能的輸出(即輸出長度為128位)，則k約等于＿＿。 A. 身份鑒別是授權(quán)控制的基礎(chǔ) B. 身份鑒別一般不用提供雙向的認(rèn)證 C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法 D. 數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制7．防火墻用于將Internet和內(nèi)部網(wǎng)絡(luò)隔離＿＿＿。A. KB公開（KA秘密（M’）） B. KA公開（KA公開（M’））C. KA公開（KB秘密（M’）） D. KB秘密（KA秘密（M’））5．?dāng)?shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是＿＿＿。 A. 研究數(shù)據(jù)加密 B. 研究數(shù)據(jù)解密 C. 研究數(shù)據(jù)保密 D. 研究信息安全4．A方有一對密鑰（KA公開，KA秘密），B方有一對密鑰（KB公開，KB秘密），A方向B方發(fā)送數(shù)字簽名M，對信息M加密為：M’= KB公開（KA秘密（M））。這種算法的密鑰就是5，那么它屬于＿＿＿。信息安全試題（1/共3）一、 單項(xiàng)選擇題（每小題2分，共20分）1．信息安全的基本屬性是＿＿＿。 A. 保密性 C. 可用性、可控性、可靠性 D. A，B，C都是2．假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個(gè)字母加5，即a加密成f。 A. 對稱加密技術(shù) B. 分組密碼技術(shù) C. 公鑰加密技術(shù) D. 單向函數(shù)密碼技術(shù)3．密碼學(xué)的目的是＿＿＿。B方收到密文的解密方案是＿＿＿。 A. 多一道加密工序使密文更難破譯 B. 提高密文的計(jì)算速度 C. 縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度 D. 保證密文能正確還原成明文6．身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是＿＿。A. 是防止Internet火災(zāi)的硬件設(shè)施B. 是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施C. 是保護(hù)線路不受破壞的軟件和硬件設(shè)施D. 是起抗電磁干擾作用的硬件設(shè)施8．PKI支持的服務(wù)不包括＿＿＿。A．2128 B．264C．232 D．225610．BellLaPadula模型的出發(fā)點(diǎn)是維護(hù)系統(tǒng)的＿＿＿，而Biba模型與BellLaPadula模型完全對立，它修正了BellLaPadula模型所忽略的信息的＿＿＿問題。 A．保密性 可用性 B．可用性 保密性 C．保密性 完整性 D．完整性 保密性二、 填空題（每空1分，共20分）1．ISO 74982確定了五大類安全服務(wù)，即鑒別、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)。2．古典密碼包括 代替密碼和置換密碼兩種，對稱密碼體制和非對稱密碼體制都屬于現(xiàn)代密碼體制。在實(shí)際應(yīng)用中，對稱密碼算法與非對稱密碼算法總是結(jié)合起來的，對稱密碼算法用于加密，而非對稱算法用于保護(hù)對稱算法的密鑰。4. DES算法密鑰是64位，其中密鑰有效位是56位。5．密鑰管理的主要內(nèi)容包括密鑰的生成、分配、使用、存儲、備份、恢復(fù)和銷毀。6．認(rèn)證技術(shù)包括站點(diǎn)認(rèn)證、報(bào)文認(rèn)證和身份認(rèn)證，而身份認(rèn)證的方法主要有口令、磁卡和智能卡、生理特征識別、零知識證明。8．?dāng)?shù)字簽名是筆跡簽名的模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。 解：設(shè)明文長度L=5，最后一段不足5則加字母x，經(jīng)過置換后，得到的密文為 Wnewo haaer gvani ttxse 其解密矩陣為Dk=〔〕 L=5時(shí)可能的解密矩陣總數(shù)為 5！= 1202． DES的密碼組件之一是S盒。 解：令101101的第1位和最后1位表示的二進(jìn)制數(shù)為i，則i=(11)2=(3)10 令101101的中間4位表示的二進(jìn)制數(shù)為j，則j=(0110)2=(6)10 查S3盒的第3行第6列的交叉處即為8，從而輸出為1000 S函數(shù)的作用是將6位的輸入變?yōu)?位的輸出3．求963和657的最大公約數(shù)(963, 657)，并表示成963，657的線性組合。上述協(xié)議存在問題嗎？若存在，請說明此問題；若不存在，請給出理由。由于S沒有把公鑰和公鑰持有人捆綁在一起，A就無法確定它所收到的公鑰是不是B的，即B的公鑰有可能被偽造。2． 請你利用認(rèn)證技術(shù)設(shè)計(jì)兩套系統(tǒng)，一套用于實(shí)現(xiàn)商品的真?zhèn)尾樵儯硪惶子糜诜乐闺娔X彩票偽造問題。當(dāng)客戶購買到此件商品并撥打電話查詢時(shí)，系統(tǒng)將客戶輸入的編碼(即密文)解密，并將所得的明文與存儲在系統(tǒng)中的明文比較，若匹配則提示客戶商品是真貨，并從系統(tǒng)中刪了此明文；若不匹配則提示客戶商品是假貨。這樣，即可實(shí)現(xiàn)電腦彩票防偽，因?yàn)閭卧煺呤菬o法偽造密文的。 防火墻存在的局限性主要有以下七個(gè)方面(1) 網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號）。(3) 防火墻不能對被病毒感染的程序和文件的傳輸提供保護(hù)。(5) 當(dāng)使用端到端的加密時(shí)，防火墻的作用會受到很大的限制。(7) 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。五、 分析題（15分）1．下圖表示的是P2DR2動態(tài)安全模型，請從信息安全安全角度分析此模型？答：(主要理解一下黑體字部分，然后按照這個(gè)思路自由發(fā)揮)P2DR2動態(tài)安全模型研究的是基于企業(yè)網(wǎng)對象、依時(shí)間及策略特征的（Policy， Protection， Detection，Response，Restore）動態(tài)安全模型結(jié)構(gòu)，由策略、防護(hù)、檢測、響應(yīng)和恢復(fù)等要素構(gòu)成，是一種基于閉環(huán)控制、主動防御的動態(tài)安全模型。一個(gè)良好的網(wǎng)絡(luò)安全模型應(yīng)在充分了解網(wǎng)絡(luò)系統(tǒng)安全需求的基礎(chǔ)上，通過安全模型表達(dá)安全體系架構(gòu)，通常具備以下性質(zhì)：精確、無歧義；簡單和抽象；具有一般性；充分體現(xiàn)安全策略。 P2DR2模型可通過數(shù)學(xué)模型，作進(jìn)一步理論分析。設(shè)Pt為設(shè)置各種保護(hù)后的防護(hù)時(shí)間，Dt為從入侵開始到系統(tǒng)能夠檢測到入侵所花費(fèi)的時(shí)間，Rt為發(fā)現(xiàn)入侵后將系統(tǒng)調(diào)整到正常狀態(tài)的響應(yīng)時(shí)間，則可得到如下安全要求： Pt ( Dt + Rt)同樣，我們假設(shè)Et為系統(tǒng)暴露給入侵者的時(shí)間，則有通過上面兩個(gè)公式的分析，實(shí)際上給出了一個(gè)全新的安全定義：及時(shí)的檢測和響應(yīng)就是安全，及時(shí)的檢測和恢復(fù)就是安全。圖1為P2DR2 安全模型的體系結(jié)構(gòu)。那么攻擊者可能繞過了靜態(tài)安全防御技術(shù)，進(jìn)入系統(tǒng)，實(shí)施攻擊。圖2 P2DR2 安全模型體系結(jié)構(gòu)2． P2DR2模型的策略域分析網(wǎng)絡(luò)系統(tǒng)是由參與信息交互的各類實(shí)體元素構(gòu)成，可以是獨(dú)立計(jì)算機(jī)、局域網(wǎng)絡(luò)或大規(guī)模分布式網(wǎng)絡(luò)系統(tǒng)。通信實(shí)體集的內(nèi)涵表示發(fā)起網(wǎng)絡(luò)通信的主體，如：進(jìn)程、任務(wù)文件等資源；對于網(wǎng)絡(luò)系統(tǒng)，表示各類通信設(shè)備、服務(wù)器以及參與通信的用戶。信息安全系統(tǒng)根據(jù)不同安全服務(wù)需求，使用不同分類法則。安全策略是信息安全系