1、1. 分組密碼體制應遵循什么原則，以DES密碼體制為例詳細說明。混亂原則和擴散原則混亂原則：為了避免密碼分析者利用明文和密文之間的依賴關系進行破譯，密碼的設計因該保證這種依賴關系足夠復雜。擴散原則：為避免密碼分析者對密鑰逐段破譯，密碼的設計因該保證密鑰的每位數字能夠影響密文中的多位數字 密鑰置換算法的構造準則設計目標：子密鑰的統計獨立性和靈活性實現簡單速度不存在簡單關系：( 給定兩個有某種關系的種子密鑰,能預測它們輪子密鑰之間的關系)種子密鑰的所有比特對每個子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的沒有弱密鑰(1) 分組長度足夠長，防止明文窮舉攻擊，例如DES，

2、分組塊大小為64比特，(2) 密鑰量足夠大，金額能消除弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對稱密碼體制存在密鑰管理問題，密鑰也不能過大。(3) 密鑰變化夠復雜(4) 加密解密運算簡單，易于軟硬件高速實現(5) 數據擴展足夠小，一般無數據擴展。差錯傳播盡可能小，加密或者解密某明文或密文分組出錯，對后續密文解密影響盡可能2. 利用公鑰密碼算法實現認證時，一般是（1）C=EKRA（M），發送方A用私鑰加密后發送給B；（2）M=DKUA （C）：接收方B用A方的公鑰進行解密。請問，在這個過程中，能否保證消息的保密性？若不能，請你給出解決方案。答：不能，在這個過程中，采用的是單次加密，而且接收方采用

3、的是公鑰解密，公鑰是公開的，只要有人截獲了密文，他就可以據此很容易地破譯密文，故不能保證消息的保密性。 解決方案：可以采用兩次運用公鑰密碼的方式，即：(1)C=EKUA(EKRA(M) (2)M=DKUA(DKRA(C) 這樣，發送方A首先用其私鑰對消息進行加密，得到數字簽名，然后再用A方的公鑰加密，所得密文只有被擁有私鑰的接收方解密，這樣就可以既保證提供認證，又保證消息的保密性。3. Ipsec有兩種工作模式。請劃出數據包的封裝模式并加以說明，并指出各自的優缺點。IPSec協議（包括 AH和ESP）既可用來保護一個完整的IP載荷，亦可用來保護某個IP載荷的上層協議。這兩方面的保護分別是由IP

4、Sec兩種不同的模式來提供的，如圖所示。其中，傳送模式用來保護上層協議；而通道模式用來保護整個IP數據報。在傳送模式中，IPSec先對上層協議進行封裝，增加一 IPSec頭，對上層協議的數據進行保護，然后才由IP協議對封裝的數據進行處理，增加IP頭；而在通道模式中，IPSec對IP協議處理后的數據進行封裝，增加一 IPSec頭，對IP數據報進行保護，然后再由IP協議對封裝的數據進行處理，增加新IP頭。傳送模式下，IPSec模塊運行于通信的兩個端主機。有如下優點：（1）即使位于同一子網內的其他用戶，也不能非法修改通信雙方的數據內容。（2）分擔了安全網關的處理負荷。但同時也具有以下缺點：（1）每個

5、需要實現傳送模式的主機都必須安裝并實現IPSec模塊，因此端用戶無法得到透明的安全服務，并且端用戶為獲得AH服務必須付出內存、處理時間等方面的代價。（2）不能使用私有的IP地址，必須使用公有地址資源。采用遂道模式，IPSec模塊運行于安全網關或主機，IPSec具有以下優點：1）子網內部的各主機憑借安全網關的IPSec處理透明地得到安全服務。2）可以在子網內部使用私有IP地址，無需占用公有地址資源。但同時也具有以下缺點：1）增加了安全網關的處理負載。2）無法控制來自子網內部的攻擊者。4. 在ssl協議中，會話是通過什么協議創建的？會話的創建實現了什么功能？SSL會話是客戶和服務器之間的一種關聯，

6、會話是通過握手協議來創建的，會話定義了一個密碼學意義的安全參數集合，這些參數可以在多個連接中共享，從而避免每建立一個連接都要進行的代價昂貴的重復協商。5. vpn有哪些分類？各應用于什么場合？vpn有哪幾個實現層次？各層次的代表協議和技術是什么？根據VPN所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN。 (1) VPDN(Virtual Private Dial Network） 在遠程用戶或移動雇員和公司內部網之間的VPN，稱為VPDN。實現過程如下：用戶撥號NSP（網絡服務提供商）的網絡訪問服務器NAS（Network Access Serv

7、er），發出PPP連接請求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對用戶進行身份驗證，確定是合法用戶，就啟動VPDN功能，與公司總部內部連接，訪問其內部資源。 (2) Intranet VPN 在公司遠程分支機構的LAN和公司總部LAN之間的VPN。通過Internet這一公共網絡將公司在各地分支機構的LAN連到公司總部的LAN，以便公司內部的資源共享、文件傳遞等。(3) Extranet VPN 在供應商、商業合作伙伴的LAN和公司的LAN之間的VPN。按照用戶數據是在網絡協議棧的第幾層被封裝，即隧道協議是工作在第二層數據鏈路層、第三層網絡層，還是第四層應用層，可以

8、將VPN協議劃分成第二層隧道協議、第三層隧道協議和第四層隧道協議。第二層隧道協議：主要包括點到點隧道協議(PPTP)、第二層轉發協議(L2F)，第二層隧道協議(L2TP)、多協議標記交換(MPLS)等，主要應用于構建接入VPN。第三層隧道協議：主要包括通用路由封裝協議(GRE)和IPSec，它主要應用于構建內聯網VPN和外聯網VPN。第四層隧道協議：如SSL VPN。1數據鏈路層，代表協議有PPTP（或L2TP）；2網絡層，代表協議有IPSec（或GRE或IP overIP）；3）會話層（或傳輸層），SSL（或SOCKS） 6. （1）防火墻能實現哪些安全任務？l （1）集中化的安全管理，強化

9、安全策略 由于Internet上每天都有上百萬人在 那里收集信息、交換信息，不可避免地會出現個別品德不良的人，或違反規則的人，防火墻是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅容許“認可的”和符合規則的請求通過。 l （2）網絡日志及使用統計 因為防火墻是所有進出信息必須通路，所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄，對網絡存取訪問進行和統計l （3）保護那些易受攻擊的服務 防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。l （4）增強的保密 用來封鎖

10、有關網點系統的DNS信息。因此，網點系統名字和IP地址都不要提供給Internet。l （5）實施安全策略 防火墻是一個安全策略的檢查站，控制對特殊站點的訪問。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。（2）利用所給資源：外部路由器，內部路由器，參數網絡，堡壘主機設計一個防火墻并回答相關問題。 a要求：將各資源連接構成防火墻。b：指出次防火墻屬于防火墻體系結構中哪一種。c：說明防火墻各結構的主要作用A：防火墻的設計思想就是在內部、外部兩個網絡之間建立一個具有安全控制機制的安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，來實現對內部網服務和訪

11、問的安全審計和控制。需要指出的是，防火墻雖然可以在一定程度上保護內部網的安全，但內部網還應有其他的安全保護措施，這是防火墻所不能代替的。B：屬于防火墻體系結構中的屏蔽子網防火墻。C：兩個分組過濾路由器，一個位于周邊網與內部的網絡之間，另一個位于周邊網與外部網絡之間。 通過屏蔽子網防火墻訪問內部網絡要受到路由器過濾規則的保護。堡壘主機、信息服務器、調制解調器組以及其他公用服務器放在子網中。屏蔽子網中的主機是內部網和Internet都能訪問唯一系統，他支持網絡層和應用層安全功能。 防火墻的設計者和管理人員要致力于保護堡壘主機的安全，請說明在設計堡壘主機通常應遵循怎樣的原則。最簡化原則 堡壘主機越簡

12、單，堡壘主機本身的安全越有保證。因為堡壘主機提供的任何服務都可能出現軟件缺陷或配置錯誤，而且缺陷或錯誤都可能導致安全問題。因此，堡壘主機盡可能少些服務，它應當在完成其作用的前提下，提供它能提供的最小特權的最少的服務。預防原則 盡管用戶盡了最大努力確保堡壘主機的安全，侵入仍可能發生。但只有預先考慮最壞的情況，并提出對策，才能可能避免它。萬一堡壘主機受到侵襲，用戶又不愿看到侵襲導致整個防火墻受到損害，可以通過不再讓內部的機器信任堡壘主機來防止侵襲蔓延。 在設計和建造防火墻時，通常采取多種變化和組合，如果要在防火墻配置中使用多堡壘主機，是否可行？為什么？可行的，這樣的做的理由是：如果一臺堡壘主機失敗了，服務可由另一臺提供。 如果將堡壘主機與內部路由器合并，將會出現怎樣的結果？將堡壘主機與內部路由器合并將損害網絡的安全性。將這二者合并，其實已經從根本上改變了防火墻的結構。7. 某市擬建立一個電子政務網絡，需要連接本市各級政府機關（市、區、縣等）及企事業單位，提供數據、語音、視頻傳輸和交換的統一的網絡平臺，納入電子政務平臺的各單位既有橫向（是本級政府的組成部門）的數據交互，又有縱向的行業部門的信息交互。從安全角度考慮，你認為該網絡的設計應注意哪些問題？你的解決方案？1、物理安全2、網絡平臺 3、系統的安全4、應用的安全