《信息安全技术综合习题3.doc》由会员分享,可在线阅读,更多相关《信息安全技术综合习题3.doc(8页珍藏版)》请在金锄头文库上搜索。
1、电子邮件的安全一、问答题1. 电子邮件存在哪些安全性问题?1)垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。垃圾邮件会增加网络负荷,影响网络传输速度,占用邮件服务器的空间。2)诈骗邮件通常指那些带有恶意的欺诈性邮件。利用电子邮件的快速、便宜,发信人能迅速让大量受害者上当。3)邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为,信箱不能承受时就会崩溃。4)通过电子邮件传播的病毒通常用VBScript编写,且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后,病毒会查询他的通讯簿,给其上所有或部分人发信,并将自身放入附件中,以此方式继续传播扩散。端到端的安全电子邮件技术,能够保证邮
2、件从发出到接收的整个过程中的哪三种安全性?端到端的安全电子邮件技术,保证邮件从被发出到被接收的整个过程中,内容保密、无法修改、并且不可否认。目前的Internet上,有两套成型的端到端安全电子邮件标准:PGP和S/MIME。它一般只对信体进行加密和签名, 而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。为什么PGP在加密明文之前先压缩它?PGP内核使用Pkzip算法来压缩加密前的明文。一方面对电子邮件而言,压缩后加密再经过7位编码密文有可能比明文更短,这就节省了网络传输的时间。另一方面,经过压缩的明文,实际上相当于多经过了一次变换,信息更加杂乱无章,能更强地抵御攻击。在服务器端和用户
3、端各有哪些方式防范垃圾邮件?在服务器端,应该设置发信人身份认证,以防止自己的邮件服务器被选做垃圾邮件的传递者。现在包括不少国内知名电子邮件提供者在内的诸多邮件服务器被国外的拒绝垃圾邮件组织列为垃圾邮件来源。结果是:所有来自该服务器的邮件全部被拒收! 在用户端,防范垃圾邮件有如下方式:1)不随便公开自己的电子邮件地址,防止其被收入垃圾邮件的发送地址列表。因为有很多软件可以自动收集这些新闻组文章或者论坛中出现过的电子邮件地址。一旦被收入这些垃圾邮件的地址列表中,一些不怀好意的收集者将出售这些电子邮件地址牟利,然后,很不幸地,这个地址将可能源源不断地收到各种垃圾邮件。2)尽量采用转发的方式收信,避免
4、直接使用ISP提供的信箱。申请一个转发信箱地址,结合垃圾邮件过滤,然后再转发到自己的真实信箱。实践证明,这的确是一个非常有效的方法。只有结合使用地址过滤和字符串特征过滤才能取得最好的过滤效果。不要回复垃圾邮件,这是一个诱人进一步上当的花招。Web与电子商务的安全一、选择题1. SSL产生会话密钥的方式是(C)。 A. 从密钥管理数据库中请求获得 B. 每一台客户机分配一个密钥的方式 C. 随机由客户机产生并加密后通知服务器 D. 由服务器产生并分配给客户机2. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MI
5、ME、SSL3. 传输层保护的网络采用的主要技术是建立在(A)基础上的(A)。 A. 可靠的传输服务,安全套接字层SSL协议 B. 不可靠的传输服务,S-HTTP协议 C. 可靠的传输服务, S-HTTP协议 D. 不可靠的传输服务,安全套接字层SSL协议二、问答题9、什么是SET电子钱包?SET交易发生的先决条件是,每个持卡人(客户)必须拥有一个惟一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET电子钱包。10、简述一个成功的SET交易的标准流程。(1) 客户在网上商店选中商品并决定使用电子钱
6、包付款,商家服务器上的POS软件发报文给客户的浏览器要求电子钱包付款。(2) 电子钱包提示客户输入口令后与商家服务器交换“握手”消息,确认客户、商家均为合法,初始化支付请求和支付响应。(3) 客户的电子钱包形成一个包含购买订单、支付命令(内含加密了的客户信用卡号码)的报文发送给商家。(4) 商家POS软件生成授权请求报文(内含客户的支付命令),发给收单银行的支付网关。(5) 支付网关在确认客户信用卡没有超过透支额度的情况下,向商家发送一个授权响应报文。(6) 商家向客户的电子钱包发送一个购买响应报文,交易结束,客户等待商家送货上防火墙技术一、选择题1. 一般而言,Internet防火墙建立在一
7、个网络的(C)。 A. 内部子网之间传送信息的中枢 B. 每个子网的内部 C. 内部网络与外部网络的交叉点 D. 部分内部网络与外部网络的结合处2. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层3. 为了降低风险,不建议使用的Internet服务是(D)。 A. Web服务 B. 外部访问内部系统 C. 内部访问Internet D. FTP服务4. 对非军事DMZ而言,正确的解释是(D)。 A. DMZ是一个真正可信的网络部分 B. DMZ网络访问控制策略决定允许或禁止进入DMZ通信 C. 允许外部用户访问DMZ系统上合适的服务
8、 D. 以上3项都是5. 对动态网络地址交换(NAT),不正确的说法是(B)。 A. 将很多内部地址映射到单个真实地址 B. 外部网络地址和内部地址一对一的映射 C. 最多可有64000个同时的动态NAT连接 D. 每个连接使用一个端口以下(D)不是包过滤防火墙主要过滤的信息?A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间防火墙用于将Internet和内部网络隔离,(B)。A. 是防止Internet火灾的硬件设施B. 是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施二、填空题防火墙是位于两个 网络之
9、间 ,一端是 内部网络 ,另一端是 外部网络 。防火墙系统的体系结构分为 双宿主机体系结构 、屏蔽主机体系结构 、屏蔽子网体系结构。三、问答题1. 什么是防火墙,为什么需要有防火墙?防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全
10、水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。 防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。2. 防火墙应满足的基本条件是什么?作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合安全策略的数据流才能通过防火墙。(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它
11、本身是不可被侵入的。3. 列举防火墙的几个基本功能?(1) 隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。(2) 防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。(3) 防火墙可以作为部署NAT的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。(4) 防火墙是审计和记录Internet使用费用的一个最佳地点。(5) 防火墙也可以作为IPSec的平台。(6) 内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问
12、外部服务的图片信息。只有代理服务器和先进的过滤才能实现。防火墙有哪些局限性?(1) 网络上有些攻击可以绕过防火墙(如拨号)。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成攻击(附件)。包过滤防火墙的过滤原理是什么?包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因
13、为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。 这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。在制定数据包过滤规则时,一定要注意数据包是双向的。状态检测防火墙的原理是什么,相对包过滤防火墙有什么优点?状态检测又称动态包过滤,所以状态检测防火墙又
14、称动态防火墙,最早由CheckPoint提出。状态检测是一种相当于4、5层的过滤技术,既提供了比包过滤防火墙更高的安全性和更灵活的处理,也避免了应用层网关的速度降低问题。要实现状态检测防火墙,最重要的是实现连接的跟踪功能,并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”,以决定是否让来自Internet的包通过或丢弃。应用层网关的工作过程是什么?它有什么优缺点?主要工作在应用层,又称为应用层防火墙。它检查进出的数据包,通过自身复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议,能够做复杂的访问控制,并做精细的
15、注册和审核。 基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。 常用的应用层网关已有相应的代理服务软件,如HTTP、SMTP、FTP、Telnet等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络层防火墙和一般的代理服务。 应用层网关有较好的访问控制能力,是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦,有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络层防火墙。代理服务器有什么优缺点?代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实施更细粒度的访问控制;较强的数据流监控和报告功能。(主机认证和用户认证)缺点是对每一类应用都需要一个专门的代理,灵活性不够;
