四45五3六57十4十一34十二47没做
“信息安全理论与技术”习题及答案
教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社
第一章概述(习题一,p11)
1.信息安全的目标是什么?
答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用
完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。
可用性(Availability)是指保障信息资源随时可提供服务的特性。即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。
信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
3. 信息安全的理论、技术和应用是什么关系?如何体现?
答:信息安全理论为信息安全技术和应用提供理论依据。信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。信息安全应用是信息安全理论和技术的具体实践。它们之间的关系通过安全平台和安全管理来体现。安全理论的研究成果为建设安全平台提供理论依据。安全技术的研究成果直接为平台安全防护和检测提供技术依据。平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。这些管理措施作用于安全理论和技术的各个方面。
第二章密码学概论(习题二,p20)
杨越越
1.概念解释: 分组密码、流密码、对称密码、非对称密码
答:分组密码:对明文的加密有两种形式,其中一种是先对明文消息分组,再逐组加密,称之为分组密码.
流密码: 对明文的加密有两种形式,其中一种是
对明文按字符逐位加密,称之为流密.
对称密码:密码系统从原理上分为两大类,即单密钥系统和双密钥系统,单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥或者相同,或者实质上等同,即易于从一个密钥得出另一个.
非对称密码:双密钥系统又称为非对称密码系统或公开密码系统.双密钥系统有两个密钥,一个是公开的,用K1表示,谁都可以使用;另一个是私人密钥,用K2表示,只由采用此系统的人自己掌握.
2.设a~z的编号为1~26,空格为27,采用凯撒(Kaesar)密码算法为C=k1M+k2,取k1=3,k2=5,M=Peking University,计算密文C.
答:M=Peking University
C=ztketzentqtehekz(ovhuykomtiyerhuywcshoanrdh )
3.设a~z的编号为1~26,空格为27,采用Vigenere方案,密钥长度与消息相同,给出密文:
ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS
分别找出对应下列两组明文的密钥:
(a)MR MUSTARD WITH THE CANDLESTICK IN THE HALL
(b)MISS SCARLET WITH THE KNIFE IN THE LIBRARY
答:(a)owklulrxcnetxquyvbzsmkdamdbufctoigeyyklmxhg (b)oesfolfxctewfntdgjdhgruqioioxkopmersgjcxbt
4.构造一个用选择明文破译Hill算法的例子。
第三章对称密码体制(习题三,p49)
高会贤
1.证明DES解密过程是加密过程的逆过程。
证明:由于DES算法是在Feistel网络结构的输
IP 和初始逆置换
IP -1而构成的。因此要证DES
的解密过程是加密过程的逆过程,可以先证Feistel
网络结构中的解密过程是加密过程的逆过程。证明如下:加密过程是:将明文P 等
分成两半L 0和R
0,进行
L 轮迭代。按下列规则计算L i
R i ,1≤i
≤L, L i
=R i-1,Ri=L i-1 F(Ri-1,Ki)进行L 轮迭代运算后,将Ll 和Rl 再交换,输出密文分组。轮函数为F 。
解密过程与加密过程采用相同的算法。将密文分组C=RlLl 等分成两半记为L0¹和R0¹。按下述规则计算Li ¹Ri ¹,1≤i ≤l,Li ¹=Ri-1¹,Ri ¹=L i-1¹ F(Ri-1¹,Ki ¹),最后输出Rl ¹Ll ¹。这里Ki ¹=Kl-1,只用证明Rl ¹=L0和Ll ¹=R0即可。显然,L0¹=Rl 且R0¹=Li ,根据加、解密规则,有
L1¹=R0¹=Ll=Rl-1,Rl ¹¹,Kl ¹F(Ll,Kl-1)=Ll-1
L2¹=R1¹=Ll-1=Rl-2,R2¹¹,K2¹)= Rl-1 F(Ll-1,Kl-2)=Ll-2 递归,有
L ¹l-1=R ¹l-2=L2=R1,R ¹l-l=L ¹l-2,K ¹l-1)=R2 F(L2,K1)=L1
L1¹=R ¹l-1=Ll=R0,Rl ¹l-1 l-1,Kl)=Rl ¹ F(Ll,K0)=L0 这就验证了解密过程的正确性。
2.编制一个DES 算法,设密钥为SECURITY ,明文为NETWORK INFORMATION SECURITY ,计算密文,并列出每一轮的中间结果。
3.M ′是M 的逐位补,证明Y ′=DESK ′(X ′),即明文、密钥取补后加密结果等于原密文的补。
4.AES 算法采用什么结构?与DES 算法结构有何区别?
答:AES 算法采用SP 网络结构,轮变换是由三个不同的可逆一致变换组成,称之为层。不同层的选择建立在宽轨迹策略的应用基础上每层都有它自己的函数。这三层分别是线性混合层,非线性层和密钥加层。而DES 采用的是Feistel 网络结构,中间状态的部分比特不加改变简单转置到下一轮的其他位置。 5.如果在8比特的CFB 方式下密文字符的传输中发生1比特的差错,这个差错会传播多远?
答:出现的这1比特的差错会影响到以后各明文单元。因为在CFB 模式下,传输过程中的比特错误会被传播。
6.描述流密码的密钥生成过程。
a)p= 答:利用密钥K 生成一个密钥流
Z=Z 0Z 1…,密钥流生成器f 产生:Z=f (K ,σi ),这里的σi 是加密器中的记忆元件(存储器)在时刻i 的状态,f 是由密钥K 和σi 生成的函数,而σi (i>0)可能依赖于k, σ0,x 0,x 1, …,x i-1等参数。 第四章 公钥密码体制(习题四p60) 郭跃斌
1.应用RSA 算法对下列情况进行加/解密,并比较计算结果: 3,q=11,d=7;M=5;
n=pq=3*11=33, φ(n)=(p-1)(q-1)=2*10=20 由de=1mod φ(n),可得 7e=1mod20 ∵3*7=20+1
∴e=3
M e =53 =26mod33,得到密文C=26 d =267 =5mod33, 得到明文M=5 解:n=pq=5*11=55, φ(n)=(p-1)(q-1)=4*10=40 由de=1mod φ(n),可得 ∵3*27=4*20+1
∴d=27
M e =93 =14mod55,得到密文C=14 C d =1427 =9mod55, 得到明文M=9 c)p=7,q=11,e=17;M=8
解:n=pq=7*11=77, φ(n)=(p-1)(q-1)=6*10=60 由de=1mod φ(n),可得 17d=1mod60 ∵17*53=15*60+1
∴d=53
M e =817 =57mod77,得到密文C=57 C d =5753 =8mod77, 得到明文M=8 d)p=11,q=13,e=11;M=7 解
:
n=pq=11*13=143,
φ
(n)=(p-1)(q-1)=10*12=120 由de=1mod φ(n),可得 11d=1mod120 ∵11*11=120+1
∴d=11
M e =711 =106mod143,得到密文C=106 C d =10611 =7mod143, 得到明文M=7 e)p=17,q=31,e=7;M=2 解
:
n=pq=17*31=527,
φ
(n)=(p-1)(q-1)=16*30=480
由de=1modφ(n),可得
7d=1mod480
∵7*343=5*480+1
∴d=343
M e =27 =128mod527,得到密文C=128
C d =128343 =2mod527, 得到明文M=2
2.设截获e=5,n=35的用户密文C=10,请问M是多少?
解:由n=35,可知pq=5*7=35,即p=5,q=7
∴φ(n)=(p-1)(q-1)=4*6=24
由de=1modφ(n),可得
5d=1mod24
∵5*5=24+1
∴d=5
C d =105 =5mod35, 得到明文M=5
3.对于RSA算法,已知e=31,n=3599,求d。
解:由n=3599,可知pq=59*61=3599,即p=59,q=61 ∴φ(n)=(p-1)(q-1)=58*60=3480
由de=1modφ(n),可得
31d=1mod3480
∵31*3031=27*3480+1
∴d=3031
4.在RSA算法中,如果经过有限的几次重复编码之后又得到明文,那么,可能的原因是什么?
解:
5.对于椭圆曲线y=x3 +x+6,考虑点G=(2,7),计算2G到3G的各倍数值。
解:
6.对于椭圆曲线y=x3 +x+6,考虑点G=(2,7),已知秘密密钥n=7,计算
a)公开密钥P b ;
b)已知明文P m =(10,9),并选择随机数k=3,确定密文C m
解:a)P b =nG=7*(2,7)=(14,49)
b)C m=(kG, P m +kP b )=(3*(2,7),((10,9)+3*(14,49)))
=((6,21),(52,156))
第五章消息认证与数字签名(习题五,p75)
孙利涛
1.散列函数应该满足哪些性质?
答:(1)h能用于任何大小的数据分组,都能产生定长的输出
(2)对于任何给定的x, h(x)要相对容易计算
(3)对任何给定的散列码h,寻找x使得h(x)=h 在计算上不可行(单向性)
(4)对任何给定的分组x,寻找不等于x的y,使得h(x)=h(y)在计算上不可行(弱抗冲突).
(5)寻找任何的(x,y)使得h(x)=h(y)在计算上不可行(强冲突).
2.给出一种利用des构造散列函数的算法
答:(1)将m分成固定长度为64比特的分组,分组个数为L个,记为:Y0,Y1,Y2….
YL-1
(2) 初始化v1=cv0
(3)for(I=1;I cvi=f(cvi-1,Yi-1) (4)h=H(m)=cvL 3.编制一个程序,用sha-1计算自选文件的散列值 解: 4.比较nd5与sha-1 5.比较dsa和rsa算法 答:(1)用dsa实现数字签名的方法中,将要签名的消息作为一个散列函数的输入,产生一个定长的安全散列码。使用签名者的私有密钥对这个散列码进行加密就形成签名,签名附在消息后;而在rsa算法中,签名方先选择全局共钥和用户私钥共钥,然后利用随机数k,对消息m计算两个分量:r,s.生成签名。 (2)对于dsa,验证者根据消息产生一个散列码,同时使用签名者的公开密钥对签名进行解密。如果计 算得出的散列码和解密后的签名匹配,那么签名就是有效的。而在rsa算法中,接收方先根据收到的消息签名,公钥等值进行计算,然后进行比较,若相等则接受签名。 6.在dsa中,如果计算结果s=0,则必须重新选k,重新计算,为什么? 答:r与s是生成签名是产生的两个分量,相应r’与s’是计算签名验证时候需要输入的两个分量,如果s=0,那么s’也为0,这样在进行验证的时候就失效了.所以,必须重新选择k,使得s计算结果不为0. 第六章密码应用与密钥管理(习题六,p97) 王开雷 1.试述并图示采用RSA、DES及SHA-1算法保护信息的机密性、完整性和抗否认性的原理。 答:RSA加密算法使用了两个非常大的素数来产生公钥和私钥。即使从一个公钥中通过因数分解可以得到私钥,但这个运算所包含的计算量是非常巨大的,以至于在现实上是不可行的。加密算法本身也是很慢的,这使得使用RSA算法加密大量的数据变的有些不可行。这就使得一些现实中加密算法都基于RSA 加密算法。 最著名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)是由IBM公司在70年代发展起来的,并经过政府的加密标准筛选后,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(American National Standard Institute, ANSI) 承认。 DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码。与每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来。DES用软件进行解码需要用很长时间,而用硬件解码速度非常快,但幸运的是当时大多数黑客并没有足够的设备制造出这种硬件设备。在1977年,人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密,而且需要12个小时的破解才能得到结果。所以,当时DES被认为是一种十分强壮的加密方法。 但是,当今的计算机速度越来越快了,制造一台这样特殊的机器的花费已经降到了十万美元左右,所以用它来保护十亿美元的银行间线缆时,就会仔细考虑了。另一个方面,如果只用它来保护一台服务器,那么DES确实是一种好的办法,因为黑客绝不会仅仅为入侵一个服务器而花那么多的钱破解DES密文。由于现在已经能用二十万美圆制造一台破译DES的特殊的计算机,所以现在再对要求“强壮”加密的场合已经不再适用了。 三重DES 因为确定一种新的加密法是否真的安全是极为困难的,而且DES的唯一密码学缺点,就是密钥长度相对比较短,所以人们并没有放弃使用DES,而是想出了一个解决其长度问题的方法,即采用三重DES。这种方法用两个密钥对明文进行三次加密,假设两个密钥是K1和K2,其算法的步骤如图5.9所示: 1)用密钥K1进行DEA加密。 2)用K2对步骤1的结果进行DES解密。 3)用步骤2的结果使用密钥K1进行DES加密。这种方法的缺点,是要花费原来三倍时间,从另一方面来看,三重DES的112位密钥长度是很“强壮”的加密方式了。 图示: 2.说明密钥的分类和作用 答:从网络应用来看,密钥一般分为以下几类:基本密钥,会话密钥,密钥加密密钥和主机密钥等。 (1)基本密钥:基本密钥又称初始密钥,是由用户选定或由系统分配,可在较长时间内由一对用户专门使用的秘密密钥,也称为用户密钥.基本密钥既安全,又便于更换.基本密钥与会话密钥一起用于启动和控制密钥生成器,从而生成用于加密数据的密钥流. (2)会话密钥:会话密钥即两个通信终端用户在一次通话或交换数据时所用的密钥。当用于对传输的数据进行保护时称为数据加密密钥,而用于保护文件时称为文件密钥,会话密钥的作用是使人们不必太频繁地更换基本密钥,有利于密钥的安全和管理。这类密钥可由双方预先约定,也可由系统通过密钥建立协议动态地生成并赋予通信双方,它为通信双方专用,故又称为专用密钥。 (3)密钥加密密钥:用于对传送的会话或文件密钥进行加密时采用的密钥,也称为次主密钥、辅助密钥或密钥传送密钥。每个节点都分配有一个这类密钥。为了安全,各节点的密钥加密密钥应该互不相同。每个节点都须存储有关到其他各节点和本节点范围内各终端所用的密钥加密密钥,而各终端只需要一个与其节点交换会话密钥时所需要的密钥加密密钥,称为终端主密钥。 (4)主机主密钥:是对密钥加密密钥进行加密的密钥,存在主机处理器中。 3.设进行一次解密的时间是1微妙,计算用穷举法破译64比特、128比特和256比特长度的密码分别 需要多少年。 答:进行解密的时间是1微妙,也就是1秒内能破译100万个密钥,64比特的密钥有2的64次方个穷举对象,一年有365*24*60*60=31536000秒,所以破译64比特密钥长度的密码需要584942年,同理,破译128比特密钥长度的密码需要1169885年,破译256钥长度的密码需要2339770年。 4.为什么常用对称算法加密数据,而用非对称算法分配密钥? 答:加密技术通常分为两大类:“对称式”和“非对称式”。 对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。 非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。 5.授权监听是如何实现的? 答: 6.说明CA层次模型中信任建立过程。 答:在这个层次模型中,根CA将它的权利授予给多个子CA,这些子CA再将它们的权利授给它们的子CA,这个过程直至某个CA实际颁发了某一证书。一个终端实体A可以如下检验另一个终端实体B的证书。假设B的证书由子CA3(公钥K3)签发,子CA3的证书由子CA2(公钥K2)签发,子CA2的证书由子CA!(公钥为K1)签发,子CA1的证书由根CA(公钥为K)签发,拥有K的终端实体A可以利用K来验证子CA1 的公钥K1,然后利用K1来验证子CA2 的公钥K2,再利用K2来验证子CA3的公钥K3,最终利用K3来验证B的证书。 7.试述一次完整的数字证书的颁发和使用过程。 解: 第七章身份认证(习题七,p113) 孟范静 1.试述零知识证明的原理 答:P是示证者,V表示验证者,P试图向V证明自己知道某信息。则使用某种有效的数学方法,使得V相信P掌握这一信息,却不泄漏任何有用的信息,这种方法被称为零知识证明问题。 零知识证明可以分为两大类:最小泄漏证明和零知识证明 最小泄漏证明需要满足: 1)P几乎不可能欺骗V:如果P知道证明,他可以使V以极大的概率相信他知道证明;如果P不知道证明,则他使得V相信他知道证明的概率几乎为零。 2)V几乎不可能不知道证明的知识,特别是他不可能向别人重复证明的过程 零知识证明除了要满足以上两个条件之外,还要满足第三个条件: 3)V无法从P那里得到任何有关证明的知识。 2.在身份认证中如何对抗重放攻击?在基于时间戳的认证中,当时钟不同步时,如何实现身份欺骗? 答:防止重放攻击的常用方式有时间戳方式和提问/应答方式两种。 时间戳方式的基本思想是:A接受一个新消息当且仅当该消息包括一个时间戳,并且该时间戳在A看来是足够接近A所知道的当前时间。 提问/应答方式的基本思想是:A期望从B获得一个新消息,首先发给B一个临时值,并要求后续从B 收到的消息中包括这个临时值或是由这个临时值进行某种事先约定的计算后的正确结果。 时间戳方式要求时钟同步,如果发送者得时钟比接收者的时肿块,攻击者就可以从发送者处窃听消息,并等待时间戳对接受者来说成为当前时刻时重放给接收者,这种重放将会得到意想不到的后果。这类攻击称为抑制重放攻击。 3.安全的口令应该满足哪些原则? 答:长度最少在8位以上,且必须同时包含字母、数字、特殊字符,口令必须定期更改,且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个口令被连续尝试,则必须立刻更改此口令 4.试述采用challenge/response与一次性口令的区别 答:一次性口令的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相 同,以提高登录过程安全性。例如:登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性;而提问/应答方式的基本思想是:A期望从B获得一个新消息,首先发给B 一个临时值,并要求后续从B收到的消息中包括这个临时值或是由这个临时值进行某种事先约定的计算后的正确结果。 5.描述采用CHAP和RADIUS进行拨号接入的完整的身份认证流程 答:CHAP的具体的认证过程是: 1)链路建立完成后,认证者发给被认证者一个challenge,这个challenge具有唯一的标识符。 2)被认证这一challenge作为一个单向Hash函数的输入,计算出response,发回给认证者,消息中还包括challenge的标识符。因为有可能认证这收不到response,所以response是可以重发的,同时为了说明这个response是哪个challenge的应答,其中要包含challenge的标识符。 3)认证者比较收到的response和自己的计算结果是否相同,然后发送一个成功或者失败的消息给被认证者。被认证者发送response之后如果一定时间以后仍旧收不到成功或者失败的结果,就会重发response。 RADIUS的流程如下: 1)RADIUS客户机向RADIUS服务器发送Access-Request包,内容包括用户名,加密口令,客户机的地址和端口号,以及用户想要启动的会话类型; 2)RADIUS服务器收到Access-Request包后,在数据库中查询是否由此用户名的记录。如果没有,则加再一个默认的配置文件,或者返回一个Access-Reject消息,内容为拒绝访问的原因。如果数据库有此用户名并且口令正确,服务器返回一个Access-Request消息,内容包括用于该次会话的参数属性。 6.Kerberos认证协议实现身份认证的什么特点?如何实现有多个TGS组成的分布式认证? 答:(1)安全:网络窃听者不能获得必要信息以假冒其他用户。 (2)可靠:使用分布式服务器体系结构,能使一个系统备份零一个系统 (3)透明:除了输入口令以外用户感觉不到认证的发生 (4)可伸缩:系统能支持大数量的客户机和服务器 多个TGS组成的分布式认证过程 1)票据许可票据的获取 客户给服务器发送一个消息,鉴别服务器在数据库中查找客户的信息,如果客户在数据库中,鉴别服务器就为客户和生成一个会话密钥,并用客户的秘密密钥加密。另外,鉴别服务器为客户产生一个票据许可票据,并用TGS的秘密密钥加密,用来让客户向TGS 证明自己的身份。鉴别服务器器将这两部分一起发送给用户。客户收到后,解密第一部分,获得与TGS的会话密钥。 2)请求许可票据的获取 客户必须为他使用的每一项服务申请请求许可票据,TGS就负责给每一个服务器分配票据。客户需要使用一个自己没有票据的新服务时,就TGT将和一个用会话密钥加密的鉴别码发送给TGS。TGS收到消息后,解密得到鉴别码,然后比较鉴别码和票据礼的信息,客户的网络地址等是否一致,如果一致,就允许处理该请求。TGS为客户和服务器生成一个会话密钥,并用自己和客户的绘画密钥加密,然后生成一个针对该服务的请求许可票据,并用服务器的秘密密要加密,将这两部分一起发送给客户。 3)服务请求 7.如何用X.509证书实现基于challenge/response的双向认证 答:实现双向认证的过程如下: 用户A向用户B发送消息,证明自己的身份 1)AB:A{t(A),B,sgnData,E(kub)[K(ab)] } 2)BA:A{t(B),r(B),A,r(A),sgnData,E(kub)[K(ab)] } 其中,时间戳t(A)包括起始时间和终止时间,r(A)是一个现时,sgnData是签名数据 第八章访问控制(习题八,p126) 裴庆裕 1.访问控制机制有哪几类?有何区别? 答:访问控制机制有三种分别为:自主访问控制、强制访问控制以及基于角色的访问控制。自主访问控制是一种常用的访问控制也是三个中控制比较宽松的一个。它基于对主体或主题所属的主体组的识别来限制对客体的访问,这种控制是自主的。自主是指主体能够自主地将访问权或访问权的某个子集授予其它主体。在这种访问控制中,一个主题的访问权限具有传递性。强制访问控制具有更加强硬的控制手段, 它为所用的主体和客体制定安全级别,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在基于角色的访问控制中,用户不是自始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户。 2.访问控制表和访问能力表有何区别? 答:访问控制表是基于访问控制矩阵中列的自主访问控制,它在一个客体上附加一个主体明晰表,来表示各个主体对这个客体的访问权限。而访问控制表是基于行的自主访问控制。访问能力表不能实现完备的自主访问控制,而访问控制表是可以实现的。 3.安全标记有什么作用?如何实现? 答:安全级别由敏感标记来表示。敏感标记简称标记,是表示实体安全级别的一组信息,在安全机制中把敏感标记作为强制访问控制决策的依据。当输入未加安全级别的数据时,系统应该享受全用户要求这些数据的安全级别,并对收到的安全级别进行审计。 4.Bell-LaPadula模型能否同时保证机密性和完整性?为什么? 答:Bell-LaPadula模型不能同时保证机密性和完整性。因为在该模型中信息的完整性和保密性是分别考虑的,对读、写的方向进行了反向的规定。在保证信息完整性策略中实行上读/下写策略,既属于某一个安全级别的主体可以读本级和本级以上的客体,可以写本级和本级以下的客体。而在保证信息机密性策略中,采用下读/上写策略,即属于某一个安全级别的主体可以写本级和本级以上的客体,可以读本级和本级以下的客体。 5.基于角色的访问控制是如何实现的?有什么优点? 答:基于角色的访问控制是通过定义角色的权限,为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色,该角色被分配了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。其特点为:①提供了三种授权管理的控制途径:a)改变客体的访问权限;b)改变角色的访问权限;c)改变主体所担任的角色。②系统中所有角色的关系结构可以是层次化的,便于管理。③具有较好的提供最小权利的能力,从而提高了安全性。④具有责任分离的能力。 6.Windows NT采用什么访问控制模型?如何体现? 答:Windows NT采用自主访问控制模型。体现在当用户登录时,本地安全授权机构为用户创建一个访问令牌,以后用户的所有程序都将拥有访问令牌的拷贝,作为该进程的访问令牌。这就相当于用户将权限传递给了这些进程。此外,在为共享资源创建的安全描述符中包括一个对该共享资源的自主访问控制表,当用户或者用户生成的进程要访问某个对象时,安全引用监视器将用户/进程的访问令牌中的安全标识与对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权访问对象。这些都可以说明Windows NT采用的是自主访问控制模型。 第九章安全审计(习题九,p139) 刘耀增 1.审计系统的目标是什么?如何实现? 答:1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击。 2)应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系统资源收集信息。 3)应能够对一个给定的资源(其他用户页被视为资源)进行审计分析,粪便看似正常的活动,以发现内部计算机系统的不正当使用; 4)设计审计机制时,应将系统攻击者的策略也考虑在内。 审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括审计发生器、日志记录器、日志分析器、和报告机制几部分。审计发生器的作用是在信息系统中各事件发生时将这些事件的关键要素进行抽去并形成可记录的素材。日志记录器将审计发生器抽去的事件素材记录到指定的位置上,从而形成日志文件。日志分析器根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。 2.审计的主要内容包括那些? 答:包括安全审计记录,安全审计分析,审计事件查阅,审计事件存储。 3.Windows的审计系统是如何实现的?采用什么策略? 答:通过审计日志实现的.日志文件主要上是系统日志,安全日志,和应用日志. 采用的策略:审计策略可以通过配置审计策略对话框中的选项来建立.审计策略规定日志的时间类型并可以根据动作,用户和目标进一步具体化.审计规则如下: 1) 登陆及注销:登陆及注销或连接到网络. 2) 用户及组管理:创建,更改或删除拥护帐号或组,重命名,禁止或启用用户号.设置和更改密码. 3) 文件及对象访问. 4) 安全性规则更改:对用户权利,审计或委托关系的更改. 5) 重新启动,关机及系统级事件. 6) 进程追踪:这些事件提供了关于事件的详细跟踪信息. 7)文件和目录审计:允许跟踪目录和文件的用法. 4.Unix 的日志分哪几类?有和作用? 答:Unix日志文件可以大致分为三个日志子系统:连接时间日志,进程统计日志,错误日志. 1)连接时间日志由多个程序执行,把记录写入到/var/log/wtmp和 /var/run/utmp中并通过login等程序更新wtmp和utmp文件.使系统管理员能够跟踪谁在何时登陆到系统. 2)进程统计日志由系统内核执行.当一个进程终止时,系统往进程统计文件中写一个记录.进程统计的目的是为系统中的基本服务提供命令使用统计. 3)错误日志由syslog执行,各种系统守护进程,用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件.另外,有许多程序也会创建日志. 第十章安全脆弱性分析(习题十,p156) 李刚 1.入侵行为的目的主要是哪些? 答:入侵者的目的各不相同,分为善意的和恶意的。大体来说入侵者在入侵一个系统者时会想达到以下一种或者几种目的:执行进程,获取文件和数据,获取超级用户权限,进行非授权操作,使系统拒绝服务,篡改信息,批露信息。 2.常见的攻击有哪几类?采用什么原理? 答:根据入侵者使用的手段和方式,攻击可以分为5类 1)口令攻击 口令用来鉴别一个注册系统的个人ID,在实际系统中,入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统。 2)拒绝服务攻击 拒绝服务站DOS使得目标系统无法提供正常的服务,从而可能给目标系统带来重大的损失。 3)利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式:特洛伊木马和缓冲区溢出攻击。 4)信息收集型攻击 信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的入侵提供必须的信息。 5)假消息攻击 攻击者用配置不正确的消息来欺骗目标系统,以达到攻击的目的被称为假消息攻击。 3.如何预防DDOS攻击? 答:预防DDoS攻击的十项安全策略 1)消除FUD心态 FUD的意思是Fear(恐惧)、Uncerntainty(猜测)和Doubt(怀疑)。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数,而且多数是一些著名站点,如搜索引擎、门户站点、大型电子商务和证券公司、IRC服务器和新闻杂志等。如果不属于这类站点,大可不必过于担心成为拒绝服务攻击的直接目标。 2)要求与ISP协助和合作 获得你的主要互联网服务供应商(ISP)的协助和合作是非常重要的。分布式拒绝服务(DDoS)攻击主要是耗用带宽,单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商,确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的ISP愿意监视或允许你访问他们的路由器。 3)优化路由和网络结构 如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击,应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的UDP和ICMP包通过,尤其是不应该允许出站ICMP“不可到达”消息。 4)优化对外开放访问的主机 对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多IP主机也会增加攻击者的难度。建议在多台主机中使用多IP地址技术,而这些主机的首页只会自动转向真正的web服务器。 5)正在受到攻击时,必须立刻应用对应策略。 尽可能迅速地阻止攻击数据包是非常重要的,同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址,因为它们在DoS攻击中往往都是随机选择的。是否能迅速准 确地确定伪造来源将取决于你的响应动作是否迅速,因为路由器中的记录可能会在攻击中止后很快就被 清除。 对于已被或可能被入侵和安装DDoS代理端程序的主机,应该采取的重要措施: 6)消除FUN心态 作为可能被入侵的对象,没必要太过紧张,只需尽快采取合理和有效的措施即可。现在的拒绝服务攻击服务器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系统中,但只要这些系统足够安全,系统被入侵的可能性不大。 7)确保主机不被入侵和是安全的 现在互联网上有许多旧的和新的漏洞攻击程序。以确保你的服务器版本不受这些漏洞影响。记住,入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查服务器配置和安全问题,运行最新升级的软件版本,最重要的一点就是只运行必要的服务。如果能够完全按照以上思路,系统就可以被认为是足够安全,而且不会被入侵控制。 8)周期性审核系统 必须意识到你要对自己管理的系统负责。应该充分了解系统和服务器软件是如何工作的,经常检查系统配置和安全策略。另外还要时刻留意安全站点公布的与自发管理的操作系统及软件有关的最新安全漏 洞和问题。 9)检查文件完整性 当确定系统未曾被入侵时,应该尽快这所有二进制程序和其它重要的系统文件产生文件签名,并且周期性地与这些文件比较以确保不被非法修改。另外,强烈推荐将文件检验和保存到另一台主机或可移动 介质中。这类文件/目录完整性检查的免费工具(如tripwire等)可以在许多FTP站点上下载。当然也可以选择购买商业软件包。 10)发现正在实施攻击时,必须立刻关闭系统并进行调查 如果监测到(或被通知)网络或主机正实施攻击,应该立刻关闭系统,或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了 该主机,所以应该进行研究分析和重新安装系统。建议联系安全组织。。必须记往,将攻击者遗留在入侵主机中的所有程序和数据完整地提供给安全组织或 专家是非常重要,因为这能帮助追踪攻击的来源。 4. 解: 5.安全扫描的目标是什么?如何分类? 答:安全扫描技术指手工地或者使用特定的软件工具——安全扫描器,对系统脆弱点进行评估,寻找可能对系统造成危害的安全漏洞。扫描主要分为系统扫描和网络扫描两方面。系统扫描侧重主机系统的平台安全性以及基于此平台的应用系统的安全,而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,已利用己方及时修补或发动对敌方系统的攻击。 6.半开扫描是怎么实现的? 答:半开的意思是指client端在TCP3次握手尚未完成就单方面终止了连接过程,由于完整的连接还没有建立起来,这种扫描方法常常可以不会被server 方记录下来,同时也可以避开基于连接的IDS系统。同时,半开扫描还可以提供相当可靠的端口是否打开的信息。 7.简述系统类型检测的原理和步骤。 答:由于许多安全漏洞是同操作系统紧密相关的,因此,检测系统类型对于攻击者具有很重要的作用。攻击者可以先扫描一段网络地址空间,搜集主机类型以及这些主机打开/关闭的端口信息,然后先暂时把这些数据放在一边。当某一系统的新漏洞被发现后,攻击者就可以在已经搜集到的情报中寻找相匹配的系统,从而实施攻击。 检测系统类型主要有三种手段:即利用系统旗标,利用DNS信息,利用TCP/IP堆栈指纹。 第十一章入侵检测(习题十一,p180) 赵建云 1.简述入侵检测的目标和分类 答:入侵检测是对入侵行为的发觉.它从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为河北攻击的对象.经入侵检测发现入侵行为后,可以采取相应的安全措施,如报警、记录、切断拦截等,从而提高网络系统的安全应变能力。 根据入侵检测系统所检测对象的区别可分为基于主机的入侵检测系统和基于网络的入侵检测系统。 2.异常检测和误用检测有何区别? 答:进行异常检测的前提是认为入侵是异常活动的子集,而进行误用检测的前提是所有的入侵行为都有可被检测的特征。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为, 通过将当前主体的活动情况和用户相比较当用户活动与正常行为 有重大偏离时即被认为是入侵;误用检测系统提供攻击的特征库,当监控的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 3.标准差模型如何实现?举例说明。 答:平均值和标准差模型根据已观测到随机变量x的样值X i(I=1,2,…,n)以及计算出这些样值的平均值mean和标准差stddev,若新的取样值X n+1不在可置信区间[mean-d*stddev, m+d*stddev]内时,则出现异常,其中d是标准偏移均值mean的参数。 举例: 4. 答: 5.如何通过协议分析实现入侵检测? 答:协议分析表明入侵检测系统的探头能真正理解各层协议是如何工作的,而且能分析协议的通信情况来寻找可疑或异常的行为。对于每个协议,分析不仅仅是建立在协议标准的基础上,而且建立在实际的实现上,因为许多协议事实上的实现与标准并不相同,所以特征应能反映现实状况。协议分析技术观察包括某协议的所有通信并对其进行验证,对不符合与其规则时进行报警。 6.如何逃避缓冲区溢出检测? 答:一些NIDS检测远程缓冲溢出的主要方式是通过监测数据载荷里是否包含“/bin/sh”或是否含有大量的NOP。针对这种识别方法,某些溢出程序的NOP考虑用“eb02”代替。另外,目前出现了一种多形态代码技术,使攻击者能潜在的改变代码结构来欺骗许多NIDS,但它不会破坏最初的攻击程序。经过伪装的溢出程序,每次攻击所采用的shellcode都不相同,这样降低了被检测的可能。有些NIDS能依据长度、可打印字符判断这种入侵,但会造成大量的错报。 第十二章防火墙(习题十二,p196) 毛玉明 1.简述防火墙的功能和分类。 答:功能: 1)对内部网实现了集中的安全管理。 2)能防止非授权用户进入内部网络。 3)可以方便监视网络的安全并及时报警。 4)可以实现NAT 5)可以实现重点网段的分离。 6)所有访问都经过防火墙,因此它是审计和记录网络的访问和使用的理想位置。 分类: 分为过滤型防火墙(静态包过滤防火墙、状态监测防火墙)、代理型防火墙(应用级网关防火墙、电路级网关防火墙) 2.静态包过滤防火墙和状态检测防火墙有何区别?如何实现状态检测? 答:状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。对用户来说,状态检测不但能提高网络的性能,还能增强网络的安全性。 3.状态检测防火墙的优点是什么?为什么? 答:状态检测防火墙的优点是减少了端口的开放时间,提供了对几乎所有服务的支持。因为采用状态检测技术的防火墙在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。 4.如何实现M-N地址转换? 答: 5.应用网关防火墙是如何实现的?与包过滤防火墙比较有什么优缺点? 答:应用级网关型防火墙:应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。 6.双宿连接和屏蔽子网连接各有何优缺点? 答:双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供 服务等。 堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。 部署屏蔽子网防火墙系统有如下几个特别的好处: 入侵者必须突破3个不同的设备(夫法探测)才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。 由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DNS信息交换)。 由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。 包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。 内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。 由于DMZ网络是一个与内部网络不同的网络,NAT (网络地址变换)可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。 7. 解: 第十三章网络安全协议(习题十三,p213) 桂克锋 1.简述不同网络协议层常用的安全协议。 答:安全协议本质上是关于某种应用的一系列规定,在OSI不同的协议层上有不同协议。表现在:(1)应用层安全协议:①安全Shell(SHH),它通常替代TELNET协议、RSH协议来使用。②SET,即安全电子交易是电子商务中用于安全支付最典型的代表协议。 ③S-HTTP,是一个非常完整的实现,但由于缺乏厂商支持,该协议现在已经几乎不在使用。④PGP,主要用于安全邮件,其一大特点是源代码免费使用、完全公开。⑤S/MIME,是在MIME规范中加入了获得安全性的一种方法,提供了用户和论证方的形式化定义,支持邮件的签名和加密。(2)传输层安全协议:①SSL,它工作在传输层,独立于上层应用,为应用提供一个安全的点-点通信隧道。②PCT,与SSL有很多相似之处,现在已经同SSL合并为TLS,只是习惯上仍然把TLS称为SSL协议。(3)网络层安全协议:包括IP验证头(AH)协议、IP封装安全载荷协议(ESP)和Internet密钥管理协议(IKMP)。 2.IPSec协议的隧道模式和传输模式有何区别?如何实现? 答:传输模式用来保护上层协;而隧道模式用来保护整修IP数据报。在传输模式中,IP头与上层协议头之间需插入一个特殊的IPSec头;而在隧道模式中,要保护的整个IP包都需封装到另一个IP数据报里,同是在外部与内部IP头之间插入一个IPSec头。两种IPSec协议(AH和ESP)均能以传输模式或隧道模式工作。对传输模式所保护的数据包而言,其通信终点必须是一个加密的终点,这是同构建方法决定的。有时可用隧道模式来取代传输模式,并由安全网关使用,来保护与其他联网实体(比如一个虚拟专用网络)有关的安全服务。在后一种情况下,通信终点是由受保护的内部IP头指定的地点,而加密终点则是那些由外部IP头指定的地点。在IPSec处理结束后,安全网关会剥离出内部IP包,再将该包转发到它最终的目的地。 3.IPSec中ESP和AH分别有什么作用?能否同时使用? 答:(1)ESP作为基于IPSec的一种协议,可用于确保IP数据包的机密性、完整性以及对数据源的身份验证,也要负责抵抗重播攻击。AH也提供了数据完整性、数据源验证及抗重播攻击的能力,但不能以此保证数据的机密性,它只有一个头,而非头、尾皆有,AH内的所有字段都是一目了然的。(2) IPSec中ESP 和AH不能同时使用。 4.简述IPSec的密钥交换原理。 答:Internet密钥交换(IKE)的用途就是在IPSec 通信双方之间建立起共享安全参数及验证过的密钥,实际上是一种常规用途的安全交换协议。构建好IKE 的SA后,便可用IKE SA在通信双方之间提供任何数量的IPSec SA。由IKE建立的IPSec SA有时也会为密钥带来“完美向前保密(PFS)”特性,而且如果愿意,也可使通信对方的身份具有同样的特性。通过一次IKE密钥交换,可创建多对IPSec SA。IKE 协议由打算执行IPSec的每一方执行;IKE通信的另 一方也是IPSec通信的另一方。协议本身具有“请求响应”特性,要求同时存在一个“发起者”和一个“响应者”。其中,发起者要从IPSec那里接收指令,以便建立一些SA,这是某个外出的数据包同一个SPD条目相符所产生的结果,它负责为响应者对协议进行初始化。IPSec的SPD会向IKE指出要建立的是什么,但不会指示IKE怎样做。只有当通信双方决定了一个特定的策略套件后,它们以后的通信才能根据它进行,因此两个IKE通信实体第一步所需要做的就是某种形式的协商。双方需要建立一个共享的秘密,这一点尽管有多种方式可以做到,但IKE实际上只用一个Diffie-Hellman交换,这是不可协商改变的。Diffie-Hellman交换以及共享秘密的建立是IKE协议的第二步,该交换完成后,通信双方已建立了一个共享的秘密,只是尚未验证通过。它们可利用该秘密来保护双方的通信。但在这种情况下,却不能保证远程通信方事实上的确是自己所信任的。因此,IKE交换的下一步便是对Diffie-Hellman共享秘密进行验证,同时还要对IKE SA本身进行验证。为正确实施IKE,需遵守三份文件(文档):基于ISAKMP规范、IPSec解释域和IKE规范。 5.SSL协议的目标是什么? 答:SSL是由Netscape公司开发的一套Internet 数据安全协议,目前已广泛适用于Web浏览器与服务器之间的身份认证和加密数据传输,它位于TCP/IP 协议与各种应用层协议之间,为数据通信提供安全支持。 6.简述SSL协议建立安全连接的过程。 答:分四个阶段:一,建立安全能力,包括协议版本、会话ID、密文族、压缩方法和初始随机数。这个阶段将开始逻辑连接并且建立和这个连接相关联的安全能力;二,服务器鉴别和密钥交换;三,客户鉴别和密钥交换;四,结束,这个阶段完成安全连接的建立。 第十四章安全评估标准(习题十四,p237-238) 曹茂诚 1.简述国际安全评估标准的发展过程。 答:安全评估标准最早起源于美国,美国国防部建立计算机安全中心,开始进行有关计算机安全评估标准的研究,1984年公布了可信计算机系统评估标准。加拿大1988年开始制定“加拿大可信计算机产品评估准则”。1993年美国对 .TCSEC作了补充和修改,制定了’组合的联邦标准。1993.6 CTCPEC,FC.TCSEC,ITSEC的发起者联合起来,将各自独立的标准组合成一个单一的,能被广泛使用的it 安全准则,这一行动成为cc项目。 2.TCSEC如何划分等级? 答:TCSEC采用等级评估的方法进行等级划分。 3.C级安全和B级安全的主要区别是什么? 答:C等为自主保护级,B等为强制保护级,这一级比C级的安全功能有大幅提高。 https://www.doczj.com/doc/8a19155630.html,的评估思想是什么? 答:CC作为国际标准,对信息系统的安全功能,安全保障给出了分类描述,并综合考虑信 息系统的资产价值。威胁等因素后,对被评估对象提出了安全需求及安全实现等方面的评估。 https://www.doczj.com/doc/8a19155630.html,如何描述安全功能和安全保障? 答:这一部分为用户和开发者提供了一系列安全功能组件,作为表述评估对象功能要求的标准方法,在保护轮廓和安全目标中使用功能组件进行描述。安全保障这一部分为开发者提供了一系列的安全保证组件,作为表述描述对象保证要求的标准方法,同时还提出了七个评估保证级别。 6.PP和ST的作用是什么?区别? 答:PP是消费者表达自己需求的描述方式,针对的是一类TOEs,而ST是开发者表达自己 方案的描述方式,针对具体的TOE,因此,PP与安全功能的实现无关,他回答的问题是’我们在安全方案中需要什么’,是目标的说明;ST依赖于现实,回答的问题是“我们在解决方案中提供了什么”是建造的说明。 https://www.doczj.com/doc/8a19155630.html,为什么只对安全保障进行分级,,没有对安全功能分级? 答:划分等级的思想是,始终围绕着信息系统在主客体间访问过程中安全机制提供的不同安全功能和保障来进行。 8.简述GB17859的主要思想。 答:建立了安全等级保护制度,实施安全等级管理的重要基础性标准,将计算机信息系统划分为五个等级,通过规范的,科学的,公证的评定和监督管理,为计算机信息系统安全等级保护管理法规的制定提供了研制技术支持,同时为安全系统的建设和管理提供技术指导。 第十五章应用安全(习题十五,p255) 刘丽娟 1.Web安全的目标是什么?如何实现? 答:1)服务器安全 保护服务器不被非授权者访问,不被篡改或阻 塞; 保护服务软件不访问系统文件,从而避免引起系统混乱。 只允许授权用户访问Web发布的消息。 确保用户上载的数据安全可靠。 2)传输安全 确保重要的Web服务信息在传输中不被窃听和篡改。 3)客户机安全 确保浏览器不被恶意代码侵袭,尤其是不受到病毒和木马的侵袭。 实现方法: 1)定期扫描加固 定期扫描服务器漏洞,发现漏洞就打上补丁程序加固。 2)安装Web服务器保护系统 这些软件通过控制Web服务器的I/O操作或定时检查主页的完整性来防止Web页面被篡改。 3)采用完善的认证和加密措施 对于重要的业务系统,必须对每一位访问者进行足够强度的身份认证,并对传输信息进行加密。 4)设立代理服务器 在真正的Web服务器前设立代理服务器,对Web 请求进行分析,只有合理安全的请求才转发到真正的服务器,保护了真实服务器。 5)谨慎设置浏览器安全选项 正确设置浏览器自身的安全选项也有利于提高安全性。 2.PGP协议是如何保护Email的安全? 答:PGP协议的主要功能是对邮件进行加密,签名和认证。 1)签名和认证:确保发送方身份及传输过程中不被修改。 过程:(1)发送方生成报文M; (2)使用SHA-1生成M的一个160位的散列码H; (3)使用发送者的私钥,采用RSA算法对H加密,并与M连接; (4)接受方使用发送者的公钥,采用RSA算法解密,并恢复散列码H; (5)接受方对报文M生成一个新的散列码与H比较,如果一致,则报文M通过认证。 2)加密 过程:(1)发送方生成报文M并为该报文生成一个随机数作为会话密钥; (2)采用CAST-128算法,用会话密钥加密M; (3)采用RSA算法,用接受者的公钥加密会话密钥,并与消息M结合; (4)接受方采用RSA算法,用自己的私钥解密恢复会话密钥; (5)接受方采用会话密钥解密恢复消息M。 当同时需要加密和认证两种服务时,发送者先用自己的私钥签名,然后用会话密钥加密消息,再用接受者的公钥加密会话密钥。 3.PGP的密钥如何管理? 答:1)私有密钥的保存 (1)用户选择一个口令短语用于加密私钥。 (2)当系统用RSA生成一个新的公钥/私钥对时,要求用户输入口令,使用SHA-1对该口令生成一个160位的散列码,然后销毁口令。 (3)系统用散列码中,128位作为密码用CAST-128加密私钥,然后销毁这个散列码,并将加密后的私钥存储到私钥环中。 (4)当用户要访问私钥环中的私钥时,必须提供口令。PGP将取出加密后的私钥,生成散列码,解密私钥。 2)公钥密钥管理 (1)直接获取公钥,如通过软盘拷贝。 (2)通过电话验证公钥的合法性。 (3)从双方都信任的第三方获取公钥。 (4)从一个信任的CA中心得到公钥。 4.简述电子商务的实现和流程。 答:1)卡用户向商家发送订购和支付信息,其中支付信息被加密,商家无从得知; 2)家将支付信息发送到收单银行,收单银行解密信用卡号,并通过认证验证签名; 3)单银行向发卡银行查问,确认用户信用卡是否属实; 4)发卡银行认可并签名该笔交易; 5)收单银行认可商家并签证此交易; 6)商家向用户传送货物和收据; 7)交易成功后,商家向收单银行请求支付; 8)收单银行按合同将货款划给商家 9)发卡银行定期向用户寄去信用卡消费帐单。 5.在SET协议的支付流程中如何体现对电子商务的安全保护? 答:支付处理主要涉及购买请求,支付授权和支付兑现3个阶段 1)购买请求 第一步,卡用户向商家发送请求报文,请求商家和收单银行证书。 第二步,商家生成响应报文,包括商家的签名证书和收单银行的密钥交换证书,并用私钥加密。 第三步,卡用户验证有关证书,创建OI和PI,生成一次性对称加密密钥Ks,并且生成购买请求报文。 第四步,商家验证卡用户证书以及双签名,然后处理订购信息并将支付信息转送收单银行,最后向卡用户发送购买响应。 2)支付授权 第一步,商家向收单银行发送认可请求报文。 第二步,收单银行先验证所有证书,接着解密并验证认可数据块以及支付数据块的双签名,然后向发卡银行请求和接受一个认可,最后向商家发送认可响应报文。 3)支付兑现 首先,商家发送兑现请求报文给收单银行。 收单银行受到兑现请求报文后,解密并验证兑现请求数据块以及兑现权标,验证兑现请求和兑现权标是否一致,接着通过专用网络向发卡银行发送清算请求,应求发卡银行将资金划入商家帐号,然后发送兑现响 应报文给商家,通知有关支付情况。 信息安全概论-张雪锋-习题答案 信息安全概论--课后习题参考答案 主编:张雪锋 出版社:人民邮电出版社 第一章 1、结合实际谈谈你对“信息安全是一项系统工程”的理解。 答:该题为论述题,需要结合实际的信息系统,根据其采取的安全策略和防护措施展开论述。 2、当前信息系统面临的主要安全威胁有哪些, 答:对于信息系统来说,安全威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。通过对已有的信息安全事件进行研究和分析,当前信息系统面临的主要安全威胁包括:信息泄露、破坏信息的完整性、非授权访问(非法使用)、窃听、业务流分析、假冒、网络钓鱼、社会工程攻击、旁路控制、特洛伊木马、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理侵入、窃取、业务欺骗等。 3、如何认识信息安全“三分靠技术,七分靠管理”, 答:该题为论述题,可以从人事管理、设备管理、场地管理、存储媒介管理、软件管理、网络管理、密码和密钥管理等方面展开论述。 第二章 1、古典密码技术对现代密码体制的设计有哪些借鉴, 答:一种好的加密法应具有混淆性和扩散性。混淆性意味着加密法应隐藏所有的局部模式,将可能导致破解密钥的提示性信息特征进行隐藏;扩散性要求加密法将密文的不同部分进行混合,使得任何字符都不在原来的位置。古典密码中包含有 实现混淆性和扩散性的基本操作:替换和置乱,这些基本操作的实现方式对现代密码体制的设计具有很好的借鉴作用。 2、衡量密码体制安全性的基本准则有哪些, 答:衡量密码体制安全性的基本准则有以下几种: (1) 计算安全的:如果破译加密算法所需要的计算能力和计算时间是现实条件 所不具备的,那么就认为相应的密码体制是满足计算安全性的。这意味着强力破解证明是安全的。 (2) 可证明安全的:如果对一个密码体制的破译依赖于对某一个经过深入研究 的数学难题的解决,就认为相应的密码体制是满足可证明安全性的。这意味着理论保证是安全的。 (3) 无条件安全的:如果假设攻击者在用于无限计算能力和计算时间的前提 下,也无法破译加密算法,就认为相应的密码体制是无条件安全性的。这意味着在极限状态上是安全的。 3、谈谈公钥密码在实现保密通信中的作用。 答:基于对称密码体制的加密系统进行保密通信时,通信双方必须拥有一个共 享的秘密密钥来实现对消息的加密和解密,而密钥具有的机密性使得通信双方如何获得一个共同的密钥变得非常困难。而公钥密码体制中的公开密钥可被记录在一个公共数据库里或者以某种可信的方式公开发放,而私有密钥必须由持有者妥善地秘密保存。这样,任何人都可以通过某种公开的途径获得一个用户的公开密钥,然后与其进行保密通信,而解密者只能是知道相应私钥的密钥持有者。用户公钥的这种公开性使得公钥体制的密钥分配变得非常简单,目前常用公钥证书的形式发放和传递用户公钥,而私钥的保密专用性决定了它不存在分配的问题,有效解决了保密通信中的密钥管理问题。公约密码体制不仅能够在实现消息加解密基本功能的同时简化了密钥分配任务,而且对密钥协商与密钥管理、数字签名与身份认证等密码学问题产生了深刻的影响。 一、单选题 1、PDRR模型中的D代表的含义是( )。 A.检测 B.响应 C.关系 D.安全 正确答案:A 2、信息的可用性指()。 A.信息系统能够及时和正确地提供服务 B.信息系统有电 C.信息系统本身没有病毒 D.信息系统可以对抗自然灾害 正确答案:A 3、信息系统的完整性指()。 A.信息没有被非法修改 B.信息系统不缺少零件 C.信息是机密的内容 D.信息的生产者不能否认信息的生产 正确答案:A 4、下列关于DES算法描述错误的是()。 A. DES算法的密钥是64bit B.DES算法的密钥是56bit C.DES算法的加密的明文是64bit D.DES算法的生产的密文是64bit 正确答案:A 5、关于网络蠕虫,下列说法错误的是()。 A. 网络蠕虫可以感染任何设备 B.网络蠕虫的传播通常需要依赖计算机漏洞 C. 网络蠕虫可能堵塞网络 D.网络蠕虫可以感染很多联网计算机,并能把它们作为新的感染源正确答案:A 6、关于信息的机密性的描述,错误的是( )。 A.信息的机密性只能通过加密算法实现 B. 信息的机密性可以通过使用加密算法实现 C.信息的机密性可以通过访问控制实现 D.信息的机密性可以通过信息隐藏实现 正确答案:A 7、PDRR模型中的P代表的含义是( )。 A.检测 B.响应 C.保护 D.安全 正确答案:C 8、下列选项中,关于AES描述错误的是( ) A.AES是加密算法 B.AES主要用途是做数字签名 C..AES的密钥长度通常是128bit,明文数据通常是128bit D.AES是美国政府的加密标准 正确答案:B 9、数字签名的描述,错误的是( ) A.数字签名可以用作信息的非否认性保护 B.数字签名中通常应用散列函数 C.数字签名中通常需要非对称密码学 D.数字签名主要用于信息保密 正确答案:D 10、互联网电子邮件服务提供者对用户的()没有保密的义务。 A.个人注册信息 B.用户的电子邮件地址 C.用户的来往电子邮件的内容 D.用户通讯录中的联系人 正确答案:B 11、计算机病毒是一种破坏计算机功能或者毁坏计算机中所存储数据的() A.程序代码 B.微生物病菌 C.计算机专家 D.黑客 正确答案:A 12、通常意义上的网络黑客是指通过互联网利用非正常手段 A.上网的人 B.入侵他人计算机系统的人 C.在网络上行骗的人。 D.会编程的高手 正确答案:B 13、木马程序一般是指潜藏在用户电脑中带有恶意性质的(),利用它可以在用户不知情的情况下窃取用户联网电脑上的重要数据信息。 A.远程控制软件 B.计算机操作系统 C.木头做的马 D.正常应用软件 正确答案:A 14、下面哪项是风险评估过程中的预防性控制措施?() A.强制访问控制 B.告警 C.审核活动 D.入侵监测方法 正确答案:B 15、TCP/IP协议是一种开放的协议标准,下列哪个不是它的特点?() 信息安全概论知到章节测试答案智慧树2023年最新上海电力大学 第一章测试 1.下面那个()发表的论文《保密系统的信息理论》使得密码成为一门科学。 参考答案: Shannon 2.信息安全涵盖的两个层次,是()层次和网络层次。 参考答案: 信息 3.PDRR模型中,D是指() 参考答案: 检测 4.以下不属于信息安全目标的是() 参考答案: 响应和恢复 5.信息安全技术体系包括:物理安全、系统安全、()和应用安全。 参考答案: 网络安全 第二章测试 1.对称密码的五个基本要素是___、___、___、___和___。 参考答案: null 2.凯撒密码的密文是“PHHW PH DIWHU FODVV”,密钥是3,那明文是___。 参考答案: null 3.私钥密码又叫___或___。 参考答案: null 4.数据加密标准DES的明文长度是___,密钥长度是___,子密钥长度是___,密 文长度是___,加密轮数是___。 参考答案: null 5.公钥密码又称为___或___。 参考答案: null 6.数字签名的五大功能包括:___、___、___、___和___。 参考答案: null 第三章测试 1.鉴别的主要目的包括 ___和___ 参考答案: null 2.数字签名机制是建立在 ___密码体制之上的,其具有 ___ 、 ___ 等优点。 参考答案: null 3.常用的身份识别技术可以分为两大类:一类是 ___的身份识别技术,根据采 用密码技术的特点又可以分为 ___ 、 ___ 、 ___ 三种不同的身份识别技术;另一类是 ___ 的身份识别技术。 参考答案: null 4.在一个信息安全系统中, ___ 、 ___ 可以公开,只要___ 没有被泄露,保密信 息仍是安全的 参考答案: null 1.根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 试题编号:E04255 答案:正确 题型:判断题 [试题分类]:第七章恶意代码 2.在互联网上的计算机病毒呈现出的特点是____。 A.与因特网更加紧密地结合,利用一切可以利用的方式进行传播 B.所有的病毒都具有混合型特征,破坏性大大增强 C.因为其扩散极快,不再追求隐蔽性,而更加注重欺骗性 D.利用系统漏洞传播病毒 E.利用软件复制传播病毒 试题编号:002 答案:A|B|C|D 题型:多选题 [试题分类]:第十章防火墙与入侵检测 3.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 试题编号:002 答案:错误 题型:判断题 [试题分类]:试题分类/专业课程/网络安全/第一章网络安全概述与环境配置 4.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑_。 A.用户的方便性 B.管理的复杂性 C.对现有系统的影响及对不同平台的支持 D.上面3项都是 试题编号:005 答案:D 题型:单选题 5.信息安全的基本属性是_。 A.机密性 B.可用性 C.完整性 D.上面3项都是 试题编号:008 答案:D 题型:单选题 6.从安全属性对各种网络攻击进行分类,阻断攻击是针对_的攻击。 A.机密性 B.可用性 C.完整性 D.真实性 试题编号:011 答案:B 题型:单选题 7.从安全属性对各种网络攻击进行分类,截获攻击是针对_的攻击。 A.机密性 B.可用性 C.完整性 D.真实性 试题编号:012 答案:A 四45五3六57十4十一34十二47没做 “信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社 第一章概述(习题一,p11) 1.信息安全的目标是什么 答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Avai lability)。 机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用 完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。 抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。 可用性(Availability)是指保障信息资源随时可提供服务的特性。即授权用户根据需要可以随时访问所需信息。 2.简述信息安全的学科体系。 解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。 信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。信息安全研究包括密码研究、安全 理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。 3. 信息安全的理论、技术和应用是什么关系如何体现 答:信息安全理论为信息安全技术和应用提供理论依据。信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。信息安全应用是信息安全理论和技术的具体实践。它们之间的关系通过安全平台和安全管理来体现。安全理论的研究成果为建设安全平台提供理论依据。安全技术的研究成果直接为平台安全防护和检测提供技术依据。平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。这些管理措施作用于安全理论和技术的各个方面。 第二章密码学概论(习题二,p20) 杨越越 1.概念解释: 分组密码、流密码、对称密码、非对称密码 答:分组密码:对明文的加密有两种形式,其中一种是先对明文消息分组,再逐组加密,称之为分组密码. 流密码: 对明文的加密有两种形式,其中一种是对明文按字符逐位 加密,称之为流密. 对称密码:密码系统从原理上分为两大类,即单密钥系统和双密钥系统,单密钥系统又称为对称密码系统或秘密密钥密码系统,单密钥系统的加密密钥和解密密钥或者相同,或者实质上等同,即易于从一个密钥得出另一个. 非对称密码:双密钥系统又称为非对称密码系统或公开密码系统.双密钥 电子科技大学2023年9月《信息安全概论》作业考核试题及答案参考 1.在需要保护的信息资产中,( )是最重要的。 A.环境 B.硬件 C.数据 D.软件 参考答案:C 2.对称密码算法加密效率低、密钥相比照较长。( ) T.对 F.错 参考答案:F 3.网络攻击一般有三个阶段:( )。 A.猎取信息,广泛传播 B.获得初始的访问权,进而设法获得目标的特权 C.留下后门,攻击其他系统目标,甚至攻击整个网络 D.收集信息,查找目标 参考答案:BCD 4.防火墙是在网络环境中的( )应用。 A、字符串匹配 B、访问掌握技术 C、入侵检测技术 D、防病毒技术 参考答案:B 5.只要做好客户端的文件检查就可以避开文件上传漏洞。( ) A.正确 B.错误 参考答案:B 6.运输、携带、邮寄计算机信息媒体进出境的,应当照实向( )申报。 A.海关 B.工商 C.税务 D.边防 参考答案:A 7.下面算法中,不属于Hash 算法的是( )。 A、MD-4 算法 B、MD-5 算法 C、DSA 算法 D、 SHA 算法 参考答案:C 8.RARP 协议是一种将 MAC 地址转化成 IP 地址的一种协议。( ) T.对 F.错 参考答案:T 9.窗函数的外形和长度对语音信号分析无明显影响,常用Rectangle Window 以减小截断信号的功率泄漏。( ) A.正确 B.错误 参考答案:B 10.安装了合格防雷保安器的计算机信息系统,还必需在( )雷雨季节前对防雷保安器:保护接地装置进展一次年度检查,觉察不合格时,应准时修复或更换。 A.第三年 B.其次年 C.每年 D. 当年 信息安全概论课后习题及答案 第一章: 1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。 答:略。 2、什么是信息安全? 答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。 3、什么是P2DR2动态安全模型? 答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。 4、信息系统的安全威胁有哪些? 答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。 5、信息安全实现需要什么样的策略? 答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。 6、信息安全的发展可以分为哪几个阶段? 答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。 信息安全概论习题参考答案 第1章概论 1.什么是信息技术? 答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。 本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。 也有人认为信息技术简单地说就是3C:Computer+Communication+Control。2.信息安全的基本属性主要表现在哪几个方面? 答:(1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availability) (4)不可否认性(Non-repudiation) (5)可控性(Controllability) 3.信息安全的威胁主要有哪些? 答: (1)信息泄露 (2)破坏信息的完整性 (3)拒绝服务 (4)非法使用(非授权访问) (5)窃听 (6)业务流分析 (7)假冒 (8)旁路控制 (9)授权侵犯 (10)特洛伊木马 (11)陷阱门 (12)抵赖 (13)重放 (14)计算机病毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 (19)业务欺骗等第2章信息保密技术 1.密码学发展分为哪几个阶段?各自的特点是什么? 答:第一个阶段:从几千年前到1949年。 古典加密 计算机技术出现之前 密码学作为一种技艺而不是一门科学 第二个阶段:从1949年到1975年。 标志:Shannon发表“CommunicationTheoryofSecrecy System” 密码学进入了科学的轨道 主要技术:单密钥的对称密钥加密算法 第三个阶段:1976年以后 标志:Diffie,Hellman发表了“New Directions of Crypto graphy” 开创了公钥密码学的新纪元。 2.设计分组密码的主要指导原则是什么?实现的手段主要是什么? 答:a.为了保证密码的安全性,Shannon提出的混乱原则和扩散原则。 b.针对实现的设计原则,分组密码可以用软件和硬件来实现。基于软件和硬件的不同性 电子科技大学智慧树知到“电子信息工程”《信息安全概 论》网课测试题答案 (图片大小可自由调整) 第1卷 一.综合考核(共10题) 1.视频监控系统与()联动能够实现更为主动的安全防范措施,是一种防范能力较强的综合系统。 A.人脸识别 B.对讲系统 C.门禁系统 D.报警设备 2.IDEA算法的明文和密文分组都是()位算法。 A.32 B.16 C.48 D.64 3.防火墙是在网络环境中的()应用。 A.字符串匹配 B.访问控制技术 C.入侵检测技术 D.防病毒技术 4.A自己的文件乘上随机因子后,再将文件交给B,下面不属于完全盲签名的特点的是()。 A.B对文件的签名是合法的 B.B对文件的签名是非法的 C.B能够保存它所签过名的所有文件 D.B不能将所签文件与实际文件联系起来 5.关于主机入侵检测技术说法正确的是()。 A.位于内外网络边界 B.针对主机信息进行检测 C.能防御针对内部网络的攻击 D.能对数据进行加密传递6.访问控制策略中,基于身份的安全策略包括()。 A、基于个人的策略、基于规则的策略 B、基于组的策略、基于规则的策略 C、基于组的策略 D、基于个人的策略、基于组的策略 7.某病毒利用RPCDCOM缓冲区溢出漏洞选行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvcl.exe,添加注册表项,使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为() A、文件型病毒 B、宏病毒 C、网络蠕虫病毒 D、特洛伊木马病毒 8.在建立堡垒主机时() A、在堡垒主机上应设置尽可能少的网络服务 B、在堡垒主机上应设置尽可能多的网络服务 C、对必须设置的服务给予尽可能高的权限 D、不论发生任何入侵情况,内部网始终信任堡垒主机 9.下面属于分组密码算法的是()算法。 A、ECC B、IDEA C、RC4 D、RSA 10.以下不属于物理边界控制技术的是() A、门禁系统 B、巡更系统 C、安全审计 D、红外防护系统 第1卷参考答案 一.综合考核 1.参考答案:D 2.参考答案:D 22春电子科技大学《信息安全概论》在线作业二满分答案 1. 只要做好客户端的文件检查就可以避免文件上传漏洞。( ) A.正确 B.错误 参考答案:B 2. 关于缓冲区溢出的原理不正确的是( )。 A.缓冲区溢出是由编程错误引起的 B.如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生 C.一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃 D.C语言具有检查边界的功能 参考答案:D 3. 动态污点分析的基本思想是在程序的执行过程中跟踪用户的输入数据在( )和( )之间的传播过程,然后监控被测试程序对输入数据使用的相关信息。 A.寄存器、内存单元 B.主存、辅存 C.CPU、缓存 D.Cache、CPU 参考答案:A 4. CPU本身只负责运算,不负责储存数据。数据一般都储存在内存之中,CPU要用的时候就去内存读写数据。( ) A.正确 B.错误 参考答案:A 5. 连网的计算机只要不主动访问网络就不会感染计算机病毒。( ) A.错误 B.正确 参考答案:A 6. 已知明文攻击指的是除要破译的密文外,密码分析者还取得一些用不同密钥加密的明密文对。( ) T.对 F.错 参考答案:F 7. 如果发现网络变得很慢,经过观察,发现网络冲突增加很多,以下哪些情况会引起此类故障( )。 A.电缆太长 B.有网卡工作不正常 C.网络流量增大 D.电缆断路 参考答案:ABC 8. SSL使用( )保证数据完整性。 A.对称加密 B.非对称加密 C.数字签名 D.消息认证码 参考答案:D 9. 防雷保安器分为:( )。 A.运行防雷保安器 B.通信接口防雷保安器 C.建筑防雷保安器 D.电源防雷保安器 参考答案:BD 10. DES是对称密钥算法,RSA是非对称密钥算法。( ) A.错误 B.正确 电子科技大学2021年9月《信息安全概论》作业考核试题及答案参考 1. MITRE是一个受美国资助的基于麻省理工学院科研机构形成的非赢利公司。( ) A.正确 B.错误 参考答案:A 2. 栈是向( )地址扩展的数据结构,是一块连续的内存区域; 堆是向( )地址扩 展的数据结构,是不连续的内存区域。 A.低、低 B.高、低 C.低、高 D.高、高 参考答案:C 3. PKI系统所有的安全操作都是通过数字证书来实现的。( ) T.对 F.错 参考答案:T 4. 以下哪项不属于防止口令猜测的措施( ) A.严格限定从一个给定的终端进行非法认证的次数 B.确保口令不在终端上再现 C.防止用户使用太短的口令 D.使用机器产生的口令 参考答案:B 5. 漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数 API的定位比较简单。( ) A.正确 B.错误 参考答案:B 6. ( )是一种将MAC地址转化成IP地址的一种协议。 A.ARP B.RARP C.TCP D.IP 参考答案:B 7. 已知明文攻击指的是除要破译的密文外,密码分析者还取得一些用不同密钥加密的明密文对。( ) T.对 F.错 参考答案:F 8. 状态检测防火墙通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则(连接记录)。( ) T.对 F.错 参考答案:T 9. 信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括( )。 A.物理层安全 B.网络层安全 C.系统层安全 D.应用层安全 参考答案:ABCD 10. DES是对称密钥算法,RSA是非对称密钥算法。( ) A.错误 B.正确 参考答案:B 电子科技大学2021年2月《信息安全概论》作业考核试题及答案(参考) 1. 计算机病毒扫描软件的组成是( ) A.仅有病毒特征代码库 B.仅有病毒扫描程序 C.病毒特征代码库和扫描程序 D.病毒扫描程序和杀毒程序 参考答案:C 2. 结构微调法是对文本的空间特征进行轻微调整来嵌入秘密信息的方法,一般采用的方法有( )。 A.行移位编码 B.字移位编码 C.特征编码 参考答案:ABC 3. 计算机信息系统的使用单位( )安全管理制度。 A.不一定都要建立 B.可以建立 C.应当建立 D.自愿建立 参考答案:C 4. 密码技术中,识别个人、网络上的机器或机构的技术称为( ) A.认证 B.数字签名 C.签名识别 D.解密 参考答案:B 5. 在Excel中,可以将一个工作簿中所有工作表都隐藏起来,需要显示时取消隐藏即可。( ) A.错误 B.正确 参考答案:A 6. 无线局域网由( )硬件组成。 A.无线网卡 B.AP C.无线网桥 D.计算机和有关设备 参考答案:ABCD 7. 网络安全的层次结构中的第二层包括( )。 A.物理层 B.数据链路层 C.网络层 D.应用层 参考答案:ACD 8. 根据安全属性对各种网络攻击进行分类,中断攻击是针对( )的攻击。 A.机密性 B.可用性 C.完整性 D.不可否认性 参考答案:A 9. 为正确获得口令并对其进行妥善保护,应认真考虑的原则和方法有( )。 A.口令/帐号加密 B.定期更换口令 C.限制对口令文件的拜访 D.设置复杂的、具有一定位数的口令 参考答案:ABCD 10. 隐写分析根据最终效果可分为:( ) A.特征分析 22春“信息安全”专业《信息安全概论》离线作业-满分答案 1. 公安部公共信息网络安全监察局负责计算机信息系统安全专用产品销售许可证的( )工作。 A.管理 B.审批、颁证 C.报批 D.制作 参考答案:B 2. 根据BS7799的规定,建立的信息安全治理体系ISMS的最重要特点是( )。 A.全面性 B.文档化 C.先进性 D.制度化 参考答案:B 3. 我的公钥证书不能在网络上公开,否则其他人可能假冒我的身份或伪造我的数字签名。( ) A.错误 B.正确 参考答案:A 4. 要防止计算机信息系统遭到雷害,不能指望( ),它不但不能保护计算机系统,反而增加 了计算机系统的雷害。 A.建在开阔区 B.避雷针 C.建筑物高度 D.降低计算机系统安装楼层 参考答案:B 5. 审计跟踪是预先估计评价威胁安全的因素和采取的预防措施的有效性,而风险分析是作为 一种事后追查的手段来保持系统的安全。( ) A.错误 B.正确 参考答案:A 6. 以下属于“可传染的独立性恶意代码”的是( ) A.传统病毒 B.蠕虫 C.特洛伊木马 D.逻辑炸弹 参考答案:B 7. 审计跟踪技术可以为信息系统的运行状况建立一个“工作日志”,如果启动了审计跟踪功能,这个工作日志可以改动。它由系统维护,由分权制衡的各级安全管理人员管理。( ) A.错误 B.正确 参考答案:A 8. 入侵检测技术起源于安全审计技术。( ) T.对 F.错 参考答案:T 9. 英国国家标准BS7799,经国际标准化组织采纳为国家标准( )。 A.ISO15408 B.ISO17799 C.ISO27001 D.ISO24088 参考答案:BC 10. cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力。( ) A.正确 B.错误 参考答案:A 11. 以下有关DEP说法错误的是( )。 A.Windows操作系统中,默认情况下将包含执行代码和DLL文件的txt段即代码段的内存区域设置为可执行代码的内存区域 B.Windows XP及其之前的操作系统,没有对内存区域的代码执行进行限制 C.启用DEP机制后,DEP机制将某些敏感区域设置不可执行的non-executable标志位 D.DEP只有软件DEP 参考答案:D信息安全概论-张雪锋-习题答案
信息安全概论期末测试题及答案
信息安全概论知到章节答案智慧树2023年上海电力大学
信息安全概论
信息安全概论课后答案
电子科技大学2023年9月《信息安全概论》作业考核试题及答案参考
《信息安全概论》课后习题及答案
信息安全概论习题答案
电子科技大学智慧树知到“电子信息工程”《信息安全概论》网课测试题答案卷5
22春电子科技大学《信息安全概论》在线作业二满分答案7
电子科技大学2021年9月《信息安全概论》作业考核试题及答案参考10
电子科技大学2021年2月《信息安全概论》作业考核试题4答案参考
22春“信息安全”专业《信息安全概论》离线作业-满分答案4
相关主题
文本预览