信息安全原理与应用复习题
第一章
1、安全的CIA指的是什么?
信息安全指机密性完整性和可用性不可否定性鉴别审计可靠性等。C代表机密性confidentiality即保证信息为授权者享用而不泄露给未经授权者。I代表完整性integrity包含数据完整性和系统完整性。A代表可用性availability即保证信息和信息系统随时为授权者提供服务而不是出现非授权者滥用却对授权者拒绝服务的情况。
2、通信系统的典型攻击形式有哪些?
总体可分为两类:被动攻击与主动攻击。
被动攻击,一般在信息系统的外部运行,对信息网络本身不造成破坏,系统仍可以正常运行,非常难以被检测到,但易于防范。如窃听或者偷窥、信息内容的泄露、流量分析等。
主动攻击,是非法入侵者对数据流的修改,直接进入信息系统内部,往往会影响系统的正常运行,可被检测到,但难以防范。如伪装、重放、消息篡改和拒绝服务。
3、ISO7498-2定义的五大类安全服务是什么?
数据机密性数据完整性不可否认性鉴别访问控制 1.数据机密性用加密机制实现的。分为连接保密无连接保密选择字段保密信息流机密性。2.数据完整性数据本身真实性的证明。两方面单个数据单元或字段的完整性、数据单元流或字段流的完整性。3.不可否认性一种防止源点或终点抵赖的鉴别技术。分为有数据原发证明的抗抵赖和有交付证明的抗抵赖。数字签名是实现抗抵赖服务的机制。4.鉴别是确认实体是它所声明。分为实体鉴别和数据原发鉴别。消息鉴别指的是一个证实收到的消息来自可信的源点且未被篡改的过程。
5.访问控制针对越权使用资源的防御措施。两种形式非法用户进入系统和合法用户对系统资源的非法使用。
4、简述现有的安全模型有哪些?
1.通信安全模型通信一方通过公开信道将消息传送给另一方要保护信息传输的机密性、真实性等特性的时候就涉及通信安全。
2.信息访问安全模型希望保护信息系统不受到有害的访问。有害访问有由黑客引起和来自恶意软件。
3.动态安全模型安全策略是模型的核心具体的实施过程中策略意味着网络安全要大道地目标。防护包括安全规章、安全配置和安全措施检测有异常检测和误用检测响应包括报告、记录、反应和恢复等措施。
第二章
1、解释古典密码分析的两个基本方法是什么?
穷举法和统计分析法。
2、解释实现古典密码的两个基本运算是什么?
代替和置换(换位)。
3、解释密码编码的Kerchoff原则是什么,为什么基于米要保密的算法更安全和实用?
Kerchoff原则:加密算法应建立在变换规则的公开不影响明文和密钥的安全的基础上。
理由如下:(1)攻击者总会设法找到算法;(2)更换密钥比更换密码算法更容易;(3)公开的算法更安全;(4)商业应用的需要。
4、密文为c,名为为m,26个字母编号为0~25,加密算法为c=7m+11(mod26),当明文为hello时,对
应的密文是什么?
hello对应的数字: 7,4,11,11,14
对应密文:inkkf
5、设π为集合{1,...,8}上的置换:
x 1 2 3 4 5 6 7 8
π(x)4 1 6 2 7 3 8 5
求出逆置换π-1
逆置换π-1为:
x 1 2 3 4 5 6 7 8
π-1(x) 2 4 6 1 8 3 5 7
第三章
1、DES算法中,s盒p盒的作用是什么?
S盒的作用是混淆(Confusion),主要增加明文和密文之间的复杂度(包括非线性度等)。
P盒的作用是扩散(Diffusion),目的是让明文和密钥的影响迅速扩散到整个密文中。即1位的明文或密钥的改变会影响到密文的多个比特,即雪崩效应。
2、对称分组密码的工作模式主要有哪几种,各有什么优缺点?
①电子密码本模式····EBC
每次加密均产生独立的密文分组,密文分组相互不影响。优点简单没有误差传递的问题,缺点不能隐藏明文的模式,官方容易被替换重排删除等操作。
②密文链接模式·····CBC
明文加密前需先与前面的密文进行异或运算(XOR)后再加密,因此只要选择不同的初始向量相同的明文加密后也能产生不同的密文,优点:密文上下文关联,官方内容如果被替换、重排、删除或网络错误都无法完成解密还原,缺点:不得于并行计算。
③密文反馈模式·····CFB
其需要初始化向量和密钥两个内容,首先先对密钥对初始向量进行加密,得到结果(分组加密后)与明文进行移位异或运算后得到密文,然后前一次的密文充当初始向量再对后续明文进行加密。优点:隐藏了明文的模式,缺点:不利于并行计算,存在误差传送。
④输出反馈模式·····OFB
需要初始化向量和密钥,首先运用密钥对初始化向量进行加密,其结果有两个作用:1、与明文块进行异或运算生产密文块。2、充当下个初始化向量,参与对下个明文块的加密。优点:隐藏了明文的模式。没有误差传送问题。缺点:不利于并行计算器对明文的主动攻击是可能的,安全性比CFB差.
⑤计数器模式······CTR
特点初始化向量有计数器生成。每次加密的初始化向量由计数器生成。优点:可并行计算;安全至少和CBC一样好;缺点:没有错误传播不晚确保数量完整性
3、三重DES采用EDE的模式有什么好处?
由于 DES 密钥只有 56bit,易于遭受穷举时攻击。作为一种替代加密方案,Tuchman 提出使用两个密钥的三重 DES 加密方法,并在 1985 年成为美国的一个商用加密标准。该方法使用两个密钥,执行三次 DES 算法,加密的过程是加密-解密-加密,解密的过程是解密-加密-解密。采用两个密钥进行三重加密的好处有:①两个密钥合起来有效密钥长度有 112bit,可以满足商业应用的需要,若采用总长为168bit 的三个密钥,会产生不必要的开销。②加密时采用加密-解密-加密,而不是加密-加密-加密的形式,这样有效的实现了与现有 DES 系统的向后兼容问题。因为当 K1=K2 时,三重 DES 的效果就和原来的 DES 一样,有助于逐渐推广三重 DES。③三重 DES 具有足够的安全性,目前还没有关于攻破三重 DES 的报道。
4、为什么流密码的密钥不能重复使用?
如果用流密码对两个明文加密中使用相同的密码,则密码分析就会相当容易。如果对两个密文流进行异或,
得出的结果就是两个原始明文的异或,如果明文仅仅是已知特征的字节流,则密码分析极易成功。
第四章
1、应用RSA算法对下列情况进行加解密
(a)p=3,q=11,e=7,M=15
(b)p=5,q=11,e=3,M=9
(c)p=7,q=11,e=17,M=8
2、设RSA算法的n=35,e=5,密文c=10,对应的明文M是什么?
3、尽可能全面地给出对称密码算法和非对称密码算法特点的异同分析。
在对称密钥体制中,它的加密密钥与解密密钥的密码体制是相同的,且收发双方必须共享密钥,对称密码的密钥是保密的,没有密钥,解密就不可行,知道算法和若干密文不足以确定密钥。公钥密码体制中,它使用不同的加密密钥和解密密钥,且加密密钥是向公众公开的,而解密密钥是需要保密的,发送方拥有加密或者解密密钥,而接收方拥有另一个密钥。两个密钥之一也是保密的,无解密密钥,解密不可行,知道算法和其中一个密钥以及若干密文不能确定另一个密钥。
这两种密码算法的不同之处主要有如下几个方面:
1、加解密时采用的密钥的差异:从上述对对称密钥算法和非对称密钥算法的描述中可看出,对称密钥加解密使用的同一个密钥,或者能从加密密钥很容易推出解密密钥;而非对称密钥算法加解密使用的不同密钥,其中一个很难推出另一个密钥。
2、算法上区别:①对称密钥算法采用的分组加密技术,即将待处理的明文按照固定长度分组,并对分组利用密钥进行数次的迭代编码,最终得到密文。解密的处理同样,在固定长度密钥控制下,以一个分组为单位进行数次迭代解码,得到明文。而非对称密钥算法采用一种特殊的数学函数,单向陷门函数(one way trapdoor function),即从一个方向求值是容易的,而其逆向计算却很困难,或者说是计算不可行的。加密时对明文利用公钥进行加密变换,得到密文。解密时对密文利用私钥进行解密变换,得到明文。②对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短等特点。
3、密钥管理安全性的区别:对称密钥算法由于其算法是公开的,其保密性取决于对密钥的保密。由于加解密双方采用的密钥是相同的,因此密钥的分发、更换困难。而非对称密钥算法由于密钥已事先分配,无需在通信过程中传输密钥,安全性大大提高,也解决了密钥管理问题。
4、安全性:对称密钥算法由于其算法是公开的,其安全性依赖于分组的长度和密钥的长度,常的攻击方法包括:穷举密钥搜索法,字典攻击、查表攻击,差分密码分析,线性密码分析,其中最有效的当属差分密码分析,它通过分析明文对密文对的差值的影响来恢复某些密钥比特。非对称密钥算法安全性建立在所采用单向函数的难解性上,如椭圆曲线密码算法,许多密码专家认为它是指数级的难度,从已知求解算法看,160bit的椭圆曲线密码算法安全性相当于1024bit RSA算法。
第五章
1、安全散列函数应该满足哪些性质?
答:(1)h能用于任何大小的数据分组,都能产生定长的输出;(2)对于任何给定的x, h(x)要相对容易计算;(3)对任何给定的散列码h,寻找x使得h(x)=h在计算上不可行(单向性);(4)对任何给定的分组x,寻找不等于x的y,使得h(x)=h(y)在计算上不可行(弱抗冲突);(5)寻找任何的(x,y)使得h(x)=h(y)在计算上不可行(强冲突)
2、数字签名应该满足那些要求?
数字签名其实是伴随着数字化编码的消息一起发送并与发送的信息有一定逻辑关联的数据项,借助数字签名可以确定消息的发送方,同时还可以确定消息自发出后未被修改过。类似于手书签名,数字签名也应满足以下要求:收方能够确认或证实发方的签名,但不能伪造; 发方发出签名的消息送收方后,就不能再否认他所签发的消息:收方对己收到的签名消息不能否认,即有收到认证;第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
3、数字签名具有哪些性质?
数字签名是一种包括防止源点或终点否认的认证技术。它必须具有如下的性质:
(1)必须能证实作者签名和签名的日期及时间。
(2)在签名时必须能对内容进行认证。
(3)签名必须能被第三方证实以便解决争端。
第六章
1、请说明Diffie-Hellman密钥交换协议的步骤,它会受到什么攻击,如何改进?
双方选择素数p以及p的一个原根a,然后按照如下步骤:
(1)用户U随机选择X u ? Z p ,计算a Xu mod p 并发给V;
(2)用户V随机选择X v ? Z p ,计算a Xv mod p 并发给U;
(3)U计算(a Xv mod p)Xu mod p = a XuXv mod p;
(4)V计算(a Xu mod p)Xv mod p = a XuXv mod p;
最后,双方获得共享密钥(a XuXv mod p)。
会受到中间人攻击。
改进协议是:端--端(STS )协议 和 MTI 协议
2、纠错码、压缩和加密如果要共同用于通信系统,合适的顺序是什么?为什么?
3、 4、
5、如何进行彻底的文件删除?
大多数计算机删除文件时,只是删除文件的索引,此外,虚拟存储器意味着计算机可以在任何时候往硬盘上读、写数据。要想彻底删除数据只有使用多次物理写入的办法。NIST 对电子隧道显微镜的研究表明即使多次重写也是不够的,对存储介质进行物理损毁才是最安全的办法。
第七章
1、什么是PKI ,一个典型的PKI 包含哪些组件?
PKI ,(Public Key Infrastructure )公开密钥基础设施,所谓PKI 就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。
PKI 提供的主要安全服务有:实体鉴别、完整性、机密性和抗抵赖。PKI 是一种标准的密钥管理平台,他通过第三方的可信任机构——认证中心,生成用户的公钥证书,把用户的公钥和用户的其他标识信息(如电子信箱、手机号码等)绑定在一起,从而能够为所有采用加密和数据签名等密码服务的网络应用提供所必须的密钥和证书管理。
一个典型、完整、有效的PKI 包括:认证机构(CA ,也称认证中心)、证书注册机构(RA ,也称注册中心)、密钥和证书管理系统、PKI 应用接口系统、PKI 策略和信任模型。
2、数字证书中存放了哪些信息?有什么作用?
(1) 证书版本号:说明证书的版本号
(2) 证书序列号:由证书签发者分配给证书的唯一数字标识符。
(3) 签名算法标识和参数:签名算法标识用来指定由CA 签发证书时所使用的数字签名算法,包含公开密钥算法和散列算法,由对象标识符加上相关参数组成。
(4) 签发机构名:符合X.500标准的签发该证书的CA 实体的名称。
(5) 有效期:是CA 授权维持证书状态的时间间隔,由证书开始生效的日期和时间和失效的日期和时间这两个日期表示。
(6) 证书主体名:证书持有者的X.500唯一名字。
(7) 主体公钥信息:此域包含两个重要信息:证书持有者的公开密钥的值;公开密钥使用的算法标识符,此标识符包含公开密钥算法和参数。
(8) 签发者唯一标识:签发者唯一标识在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时,用1比特字符串来唯一标识签发者的X.500名字,是隐含且可选的,实际中此项用的较少。
(9) 主体唯一标识符:此域用在当同一个X.500名字用于多个证书持有者时,用1比特字符串来唯一标识签发者的X.500名字,是隐含且可选的,实际中此项用的较少。
(10) 签名:证书签发机构对证书上述内容的签名值。
(11) 扩展域:为证书提供了携带附加信息和证书管理的能力。
3、PKI 的信任模式主要有哪几种?各有什么特点?
(1)严格层次结构模型;(2)网状信任模型;(3)混合信任模型;(4)桥CA 信任模型;(5)Web 模型;(6)以用户为中心的信任模型
特点:
错误控制 加密 压缩 解压缩 解密 错误控制 信源 信宿 重复请求
(1)严格层次模型的
优点:
a、其结构与许多组织或单位的结构相似,容易规划;
b、增加新的认证域容易,该信任域可以直接加到根CA的下面,也可以加到某个子CA下,这
两种情况都很方便,容易实现;
c、证书路径唯一,容易构建,路径长度相对较短;
d、多有的人只要知道根CA的证书,就可以验证其他用户的公钥,证书策略简单;
e、信任建立在一个严格的层次机制之上,建立的信任关系可信度高。
缺点:
a、风险集中,根CA私钥的泄露或者跟CA系统的故障将导致整个体系和破坏;
b、所有机构共享一个根CA是不现实的,许多应用领域并不需要如此严谨的构架。
(2)网状信任模型:
优点:
a、网状模型适用于通信机构间对等关系的情况下;
b、具有更好的灵活性,因为存在多个信任锚,单个CA安全性的削弱不会影响到整个PKI;
c、增加新的认证域更为容易,只需新的根CA在网中至少向一个CA发放过证书,用户不需要
改变信任锚;
d、由于信任关系可以传递,从而减少颁发证书的个数,使证书管理更加简单容易,能够很好地
用到企业之间。
缺点:
信任路径构建复杂,因为存在多种选择,使得路径发现比较困难,甚至出现死循环。证书路径
较长,信任的传递引起信任的衰减,信任关系处理复杂度增加。
(3)混合信任模型:
特点:结合了严格层次模型和网状模型的优点,每个用户都把各自信任域的根CA作为信任锚,同一信任域内的认证优点完全与严格层次模型相同,不同信任域间的用户相互认证时,只需将另一信任域的根CA证书作为信任锚即可。
(4)桥CA信任模型:
优点:桥CA的设计被用来克服严格层次模型和网状模型的缺点和连接不同的PKI体系。这种配置对于n个根CA来说,完全连接时仅需要n个交叉认证。
(5)Web模型:
优点:方便简单,操作性强,对终端用户的要求较低,用户只需要简单地信任嵌入的各个根CA。
缺点:
a、安全性较差,如果这些跟CA中有一个是坏的,即使其他根CA任然完好,安全性也将被破
坏。目前没有实用的机制来撤销嵌入到浏览器中的根密钥,用户也很难查出到底哪一个根CA是
坏的。
b、根CA与终端用户信任关系模糊,终端用户与嵌入的根CA间交互十分困难。
c、扩展性差,根CA预先安装,难于扩展。
第八章
1、实现身份鉴别的途径有哪三种?
所知:只有该用户唯一知道的一些知识,如密码、口令;
所有:只有该用户唯一拥有的一些物品,如身份证、护照;
个人特征:人体自身的独特特征(生物特征)以及个人动作方面的一些特征,如指纹、声纹、笔迹等。2、消息鉴别额身份鉴别的区别和联系是什么?
身份鉴别一般都是实时的,消息鉴别一般不是。身份鉴别只证实实体的身份,消息鉴别除了鉴别消息的
真实性和消息的完整性外,还需要知道消息的含义(解密)。
时间上:
实体鉴别一般都是实时的,在实体鉴别中,身份由参与某次通信连接或会话的参与者提交。这种服务在连接建立或在数据传送阶段的某些时刻提供,使用这种服务可以去确信,仅仅在使用时间内,一个实体此时没有试图冒充别的实体,或没有试图将先前的连接做非授权重演。
消息鉴别一般不提供实践性,验证者可以在任何时间对消息的完整性和来源进行验证。
通信上:
实体鉴别用以一个特定的通信过程,即在此过程中需要提交实体的身份,它只是简单地鉴别实体本身的身份,不会和实体想要进行任何中活动相联系。
消息鉴别除了鉴定某个指定的数据是否源于某个特定的实体,还要对数据单元的完整性提供保护,它不是孤立的鉴别一个实体,也不是为了允许实体执行下一步的操作而鉴别其身份,而是为了确定被鉴别的实体与一些特定的数据项有着静态的不可分割的联系。
数字签名主要用于验证消息的真实来源,但数字签名服务中也包含对消息内容的保证。
在身份鉴别中,消息的语义是基本固定的,但一把不是“终身”的,比如用于身份验证的口令字会定期更改,签字却是长期有效的。
3、如何对抗口令的泄漏和猜测攻击?
对付口令外部泄露的措施:
a、对用户或者系统管理者进行教育、培训,增强他们的安全意识;
b、建立严格的组织管理办法和执行手续;
c、确保口令定期改变;
d、保证每个口令只与一个人有关;
e、确保输入的口令不显示在终端上;
f、使用易记的口令,不要写在纸上。
对付口令猜测的措施:
a、对用户或者系统管理者进行教育、培训,增强他们的安全意识;
b、严格限制非法登陆的次数;
c、口令验证中插入实时延迟;
d、限制口令的最小长度,至少6~8个字符以上,这可以增大强力攻击的测试数量;
e、防止使用与用户特征相关的口令,因为攻击者很容易想到从用户相关的一些信息来猜测,如生日;
f、确保口令定期更改;
g、及时更改预设口令;
h、使用随机数发生器的口令比使用用户自己选择的口令更难猜测,但会有记忆的问题。
4、在鉴别和交换协议中如何对抗重放攻击?
因为涉嫌防止消息重放攻击,针对不同验证者的重放,可以在发送消息的同时发送验证者的标识符。针对同一验证者的重放对策是使用非重复值,非重复值有以下几类:(1)序列号:对付重放攻击的一种方法是在鉴别交换协议中使用一个序数给每一个消息报文编号,仅当收到的消息序数顺序合法时才接受;(2)用户A接受一个新消息仅当该消息包含一个时间戳,该时间戳在A看来,足够接近A所知道的当前时间,这种方法要求不同参与者之间的实践中需要同步;(3)随机值:该随机值不可预测,不重复。
5、零知识证明的原理是什么?
零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或者任何第三方证明它拥有该信息。即当示证者P掌握某些秘密信息,P想方设法让验证者V相信他确实掌握那些信息,但又不想让V也知道那些信息。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。
第九章
1、什么是访问控制,访问控制包含那几个要素?
访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)访问控制由最基本的三要素组成:主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、I/O设备等。客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管道等。控制策略(Control Strategy):主体对客体的操作行为集和约束条件集,如访问矩阵、访问控制表等。
2、什么是自主访问控制?什么是强制访问控制?各有什么优缺点?
自主访问控制可基于访问控制矩阵来实现。访问控制矩阵的每一行对应一个主体,每一列对应一个客体,矩阵的每个元素值则表示了对应主体对相应客体的访问权限。显然,将整个访问控制矩阵都保存下来是不现实的。进一步说,即便保存不是问题,查询、决策及维护过程也会相当低效。因此,当前操作系统中的自主访问控制实际都是基于访问控制矩阵的行列简化结果,即基于访问权限表或访问控制表等来实现的。区别:二者在进行策略实施时需要鉴别的实体不同,前者针对客体,而后者针对主体。其次,它们保存的位置不同,访问权限表保存在系统的最高层,即用户和文件相联系的位置;而访问控制表一般依附于文件系统。另外,访问权限表多用于分布式系统中,访问控制表则多用于集中式系统中;对于访问权限的浏览和回收,访问控制表较访问权限表容易实现;但对于访问权限的传递,访问权限表则要相对容易实现。
3、基于角色的访问控制的基本安全原则有哪些?
基于角色的访问控制RBAC模型在给用户分配角色和角色分配权限时,遵循三条公认的安全原则:最小权限,责任分离(Separation of duties)和数据抽象原则。
第十一章
1、简述IPsec的传输模式和隧道模式。
a、传输模式
传输模式主要为上层协议提供保护。也就是说,传输模式增强了对IP包上层负载的保护。如对TCP段、UDP段和ICMP包的保护(这些均直接运行在IP网络层之上)。一般地,传输模式用于在两个主机(如客户端和服务器、两个工作站)之间进行端对端的通信。当主机在IPv4上运行AH或ESP时,其上层负载通常是接在IP报头后面的数据。传输模式下的ESP加密和认证(认证可选)IP载荷,则不包括IP 报头。
b、隧道模式
隧道模式对整个IP包提供保护。为了达到这个目的,在把AH或者ESP域添加到IP包中后,整个包加上安全域被作为带有新外部IP报头的新“外部”IP包的载荷。整个原始的或者说是内部的包在“隧道”上从IP网络中的一个节点传输到另一个节点,沿途的路由器不能检查内部的IP报头。因为原始的包被封装,新的更大的包有完全不同的源地址和目的地址,因此增加了安全性。隧道模式被使用在当SA的一端或者两端为安全网关时,比如使用IPSec的防火墙和路由器。
2、IPsec提供了哪些服务?
IPsec的实际目标是为IPv4和IPv6提供可互操作的、基于密码的高质量的安全,IPsec提供的安全服务有:访问控制、无连接的完整性、数据源鉴别、重放的检测和拒绝、机密性(通过加密)、有线通信流的机密性。
第十二章
1、简述防火墙的作用和局限性。
防火墙的作用:防火墙是网络安全的屏障,防火墙可以强化网络安全策略,对网络存取合访问进行监控审计,防止内部信息外泄。
防火墙的局限性:防火墙不能防范内部人员的攻击,防火墙不能防范绕过它的连接,防火墙不能防御全部威胁,防火墙难于管理和配置容易造成安全漏洞,防火墙不能防御恶意程序和病毒
2、防火墙的基本体系结构有哪几种?各有什么优缺点?
在防火墙与网络的配置上,有以下四种典型结构:(1)包过滤型防火墙;(2)双宿/多宿主机模式;(3)屏
蔽主机模式;(4)屏蔽子网模式
(1)包过滤型防火墙:
优点:实现简单,效率高,费用低,并对用户透明
缺点:维护困难,要求管理员熟悉每一种协议,因为其过滤是在网络层进行的,不支持用户鉴别(2)双宿/多宿主机模式;
优点:有两个网络接口,支持内部网外部网的接口
缺点:主机的路由功能是被禁止的,两个网络层之间的通信是通过应用层代理服务器完成的,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙变得无用。
(3)屏蔽主机模式;
优点:使堡垒主机成为从外部网络唯一可以直接打到的主机,确保了内部网络不受未被授权外部用户的攻击,实现了网络层和应用层的安全
缺点:过滤路由器是否配置正确成为防火墙的安全的关键,如果路由表遭到破坏,堡垒主机就可能被越过,内部网完全暴露
(4)屏蔽子网模式
优点:采用了屏蔽子网体系结构的堡垒主机不易被入侵者控制,万一堡垒主机被控制,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部过滤路由器的保护
第十三章
1、基于攻击技术可以把攻击分为哪些类型?
信息探测攻击、信息窃听攻击、信息欺骗攻击、信息利用攻击、拒绝服务攻击、数据驱动攻击、信息隐藏攻击
2、端口扫描的类型有哪些?
(1)开放扫描:TCP Connect扫描和TCP反向探测扫描
(2)半开扫描:TCP SYN扫描和IP ID头扫描
(3)秘密扫描:TCP SYNIACK扫描、TCP FIN扫描、TCP ACK扫描、TCP NULL(空)扫描、TCP XMAS Tree扫描、UDP扫描
第十四章
1、计算机病毒有哪些特征?
(1)寄生性(依附性);(2)传染性;(3)隐蔽性;(4)潜伏性;(5)可触发性;(6)破坏性;(7)产生的必然性;(8)非授权性
第十五章
1、什么是入侵检测?它和基于加密和访问控制的安全技术有什么不同?
信息系统只有两种状态:正常状态和异常状态,对应的安全工作也只有两个结果:出事和不出事,信息系统经过建设和启动进入正常运转状态,检测及质地信息系统进行监测,当发现状态异常时,对系统及时进行调整,使整个系统恢复正常状态,检测是静态防护转化为动态防护的关键,是动态响应的依据,是落实和增强执行安全策略的有力工具。
入侵是对信息系统的非授权访问及未经许可在信息系统中进行操作。入侵检测是对网络系统的运行状态进行监视,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为,同时也指内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
而基于加密和访问控制的安全技术是从传统意义上出于防御的角度构造的安全系统,基于加密的安全技术,是通过数据加密技术,在一定程度上提高数据传输的安全性,保证传输数据的完整性。控制方式是一种针对越权使用资源的防御措施,防止任何资源进行未授权的访问。
湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释(15分,每个3分) 信息隐藏:也称数据隐藏,信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的载体中,然后会通过公开载体的信息传输来传递机密信息。 宏病毒:使用宏语言编写的一种脚本病毒程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库和演示文档等数据文件中,利用宏语言的功能将自己复制并繁殖到其他数据文档里。 入侵检测:通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。 花指令:是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞,在不影响程序正确性的前提下,添加的一些干扰反汇编和设置陷阱的代码指令,对程序代码做变形处理。缓冲区溢出攻击:指程序运行过程中放入缓冲区的数据过多时,会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞,可以获得对远程计算机的控制,以本地系统权限执行任意危害性指令。 二、判断题(对的打√,错的打×,每题1分,共10分) 1. 基于账户名/口令认证是最常用的最常用的认证方式(√) 2. 当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这属于钓鱼攻击(√) 3. RSA算法的安全性归结于离散对数问题(×) 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础(√) 5. 访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则(√) 6. 反弹连接是木马规避防火墙的技术,适合动态IP入侵(×) 7. 驱动程序只能在核心态下运行(×) 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征(×) 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权(√) 10. 冲击波蠕虫病毒采用UPX压缩技术,利用RPC漏洞进行快速传播(√) 三、选择题(30分,每题2分) (1) 按照密钥类型,加密算法可以分为(D )。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2) 以下关于CA认证中心说法正确的是(C )。 A. CA认证是使用对称密钥机制的认证方法 B. CA认证中心只负责签名,不负责证书的产生 C. CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D. CA认证中心不用保持中立,可以随便找一个用户来做为CA认证中心 (3) Web从Web服务器方面和浏览器方面受到的威胁主要来自( D )。 A. 浏览器和Web服务器的通信方面存在漏洞 B. Web服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是
信息安全技术试题及答案 信息安全网络基础: 一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 9. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 12. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 容灾与数据备份 一、判断题 2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 3. 对目前大量的数据备份来说,磁带是应用得最广的介质。√ 7. 数据越重要,容灾等级越高。√ 8. 容灾项目的实施过程是周而复始的。√ 二、单选题 1. 代表了当灾难发生后,数据的恢复程度的指标是 2. 代表了当灾难发生后,数据的恢复时间的指标是 3. 容灾的目的和实质是 A. 数据备份 B.心理安慰 C. 保持信息系统的业务持续性 D.系统的有益补充 4. 容灾项目实施过程的分析阶段,需要进行 A. 灾难分析 B. 业务环境分析 C. 当前业务状况分析 D. 以上均正确 5. 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是一一一。 A.磁盘 B. 磁带 c. 光盘 D. 自软盘 6. 下列叙述不属于完全备份机制特点描述的是一一一。 A. 每次备份的数据量较大 B. 每次备份所需的时间也就校长 C. 不能进行得太频繁 D. 需要存储空间小
A. 灾难预测 B.灾难演习 C. 风险分析 D.业务影响分析 8、IBM TSM Fastback 是一款什么软件() A、防病毒产品; B、入侵防护产品; C、上网行为管理产品; D、数据存储备份产品 9、IBM TSM Fastback产品使用的什么技术( ) A、磁盘快照; B、文件拷贝; C、ISCSI技术; D、磁盘共享 12、IBM TSM Fastback产品DR(远程容灾)功能备份的是什么() A、应用系统; B、本地备份的数据; C、文件系统; D、数据库 三、多选题 1. 信息系统的容灾方案通常要考虑的要点有一一。 A. 灾难的类型 B. 恢复时间 C. 恢复程度 D. 实用技术 E 成本 2. 系统数据备份包括的对象有一一一。 A. 配置文件 B.日志文件 C. 用户文档 D.系统设备文件 3. 容灾等级越高,则一一一。 A. 业务恢复时间越短 C. 所需要成本越高 B. 所需人员越多 D. 保护的数据越重 要 4、数据安全备份有几种策略() A、全备份; B、增量备份; C、差异备份; D、手工备份 5、建立Disaster Recovery(容灾系统)的前提是什么()多选 A、自然灾害(地震、火灾,水灾...); B、人为灾害(错误操作、黑客攻击、病毒发作...) C、技术风险(设备失效、软件错误、电力失效...) 6、IBM TSM Fastback 可以支持数据库系统包括()多选 A、M S SQL; B、Oracle; C、DB2; D、MY SQL 7、IBM TSM Fastback 可以支持的存储介质包括() A、磁带介质; B、磁盘介质; C、磁带库; D、磁盘柜 基础安全技术 系统安全 一、判断题 防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机,但该防火墙不能检测或清除已经感染计算机的病毒和蠕虫√ 8. 数据库管理员拥有数据库的一切权限。√ 9. 完全备份就是对全部数据库数据进行备份。√ 二、单选题 系统的用户帐号有两种基本类型,分别是全局帐号和
题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 13. VPN的加密手段为(C)。 A. 具有加密功能的防火墙 B. 具有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备 14.(B)通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。 A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 15.(C)通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的
1.密码学的目的是 C 。【】 A.研究数据加密B.研究数据解密 C.研究数据保密D.研究信息安全 2.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除 增加安全设施投资外,还应考虑 D 。【】 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3破解双方通信获得明文是属于的技术。【 A 】 A. 密码分析还原 B. 协议漏洞渗透 C. 应用漏洞分析与渗透 D. DOS攻击 4窃听是一种攻击,攻击者将自己的系统插入到发送站和接收站之间。截获是一种攻击,攻击者将自己的系统插入到发送站和接受站之间。【 A 】 A. 被动,无须,主动,必须 B. 主动,必须,被动,无须 C. 主动,无须,被动,必须 D. 被动,必须,主动,无须 5以下不是包过滤防火墙主要过滤的信息?【D 】 A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 6 PKI是__ __。【 C 】 A.Private Key Infrastructure B.Public Key Institute C.Public Key Infrastructure D.Private Key Institute 7防火墙最主要被部署在___ _位置。【 C 】A.网络边界 B.骨干线路 C.重要服务器D.桌面终端 8下列__ __机制不属于应用层安全。【 C 】A.数字签名B.应用代理 C.主机入侵检测D.应用审计 9 __ _最好地描述了数字证书。【 A 】 A.等同于在网络上证明个人和公司身份的身份证B.浏览器的一标准特性,它使得黑客不能得知用户的身份 C.网站要求用户使用用户名和密码登陆的安全机制D.伴随在线交易证明购买的收据 10下列不属于防火墙核心技术的是____。【 D 】 A (静态/动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计
信息安全导论复习题 湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释 (15 分,每个 3 分 ) 信息隐藏:也称数据隐藏,信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的 载体中,然后会通过公开载体的信息传输来传递机密信息。 宏病毒:使用宏语言编写的一种脚本病毒程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库和演示文档等数据文件中,利用宏语言的功能将自己复制并繁 殖到其他数据文档里。 入侵检测:通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以 及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻 击的迹象。作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。 花指令:是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞,在不影响程序正确性的前提下,添加的一些干扰反汇编和设置陷阱的代码指令,对程序代码做变形处理。 缓冲区溢出攻击:指程序运行过程中放入缓冲区的数据过多时,会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞,可以获得对远程计算机的控制,以本地系统权限执行任意危害性指令。 二、判断题(对的打√,错的打×,每题 1 分,共 10 分) 1. 基于账户名/口令认证是最常用的最常用的认证方式(√) 2. 当用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码,这属于钓鱼攻击(√ ) 3. RSA算法的安全性归结于离散对数问题(× ) 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础(√ ) 5.访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则 (√) 6. 反弹连接是木马规避防火墙的技术,适合动态IP 入侵(×) 7. 驱动程序只能在核心态下运行(×) 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征(× ) 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权(√ ) 10.冲击波蠕虫病毒采用 UPX压缩技术,利用 RPC漏洞进行快速传播(√)三、选 择题( 30 分,每题 2 分) (1) 按照密钥类型,加密算法可以分为( D )。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2)以下关于 CA 认证中心说法正确的是(C )。 A.CA 认证是使用对称密钥机制的认证方法 B.CA认证中心只负责签名,不负责证书的产生 C.CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D.CA认证中心不用保持中立,可以随便找一个用户来做为CA 认证中心 (3) Web 从 Web 服务器方面和浏览器方面受到的威胁主要来自( D )。 A. 浏览器和Web 服务器的通信方面存在漏洞 B. Web 服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是
信息安全技术教程习题及答案 第一章概述 一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同,电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信 息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility,简称 EMC)标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训,明确个人工作职责 B。制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器,并对进出情况进行录像
一、选择题 1. 信息安全的基本属性是(机密性、可用性、完整性)。 2. 对攻击可能性的分析在很大程度上带有(主观性)。 3. 从安全属性对各种网络攻击进行分类,阻断攻击是针对(可用性)的攻击。 4. 从安全属性对各种网络攻击进行分类,截获攻击是针对(机密性)的攻击。 5. 拒绝服务攻击的后果是(D)。 A. 信息不可用 B. 应用程序不可用 C. 阻止通信 D. 上面几项都是 6. 机密性服务提供信息的保密,机密性服务包括(D)。 A. 文件机密性 B. 信息传输机密性 C. 通信流的机密性 D. 以上3项都是7.最新的研究和统计表明,安全攻击主要来自(企业内部网)。 8.攻击者用传输数据来冲击网络接口,使服务器过于繁忙以至于不能应答请求的攻击方式是(拒绝服务攻击)。 9. 密码学的目的是(研究数据保密)。 10. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(对称加密技术)。 11. “公开密钥密码体制”的含义是(将公开密钥公开,私有密钥保密)。 12. 用于实现身份鉴别的安全机制是(加密机制和数字签名机制)。 13. 数据保密性安全服务的基础是(加密机制)。 14. 可以被数据完整性机制防止的攻击方式是(数据在途中被攻击者篡改或破坏)。 15. 数字签名要预先使用单向Hash函数进行处理的原因是(缩小签名密文的长度,加快数字签名和验证签名的运算速度)。 16. 身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是(身份鉴别一般不用提供双向的认证 17. PKI支持的服务不包括(访问控制服务)。 18. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 19. 一般而言,Internet防火墙建立在一个网络的(内部网络与外部网络的交叉点)。 20. 包过滤型防火墙原理上是基于(网络层)进行分析的技术。 21. “周边网络”是指:(介于内网与外网之间的保护网络)。 22. 防火墙用于将Internet和内部网络隔离,(是网络安全和信息安全的软件和硬件设施 23. 计算机病毒是计算机系统中一类隐藏在(存储介质)上蓄意破坏的捣乱程序。 24. 信息安全经历了三个发展阶段,以下____不属于这三个发展阶段。(D) A 通信保密阶段 B 加密机阶段 C 信息安全阶段 D 安全保障阶段 25. 信息安全阶段将研究领域扩展到三个基本属性,下列____不属于这三个基本属性。(C) A 保密性 B 完整性 C 不可否认性 D 可用性 26. 安全保障阶段中将信息安全体系归结为四个主要环节,下列____是正确的。(保护、检测、响应、恢复 27. 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。(杀毒软件) 28. 为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的____属性。(保密性) 29. 定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的____属性。(可用性) 30. 数据在存储过程中发生了非法访问行为,这破坏了信息安全的____属性。(保密性)
. 1.密码学的目的是 C 。【】 A.研究数据加密 B.研究数据解密 C.研究数据 D.研究信息安全 2.网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增 加安全设施投资外,还应考虑 D 。【】 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3破解双方通信获得明文是属于的技术。【 A 】 A. 密码分析还原 B. 协议漏洞渗透 C. 应用漏洞分析与渗透 D. DOS攻击 4窃听是一种攻击,攻击者将自己的系统插入到发送站和接收站 之间。截获是一种攻击,攻击者将自己的系统插入到 发送站和接受站之间。 【 A 】 A. 被动,无须,主动,必须 B. 主动,必须,被动,无须 C. 主动,无须,被动,必须 D. 被动,必须,主动,无须 5以下不是包过滤防火墙主要过滤的信息?【 D 】 A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 6 PKI是__ __。【 C 】 A.Private Key Infrastructure B.Public Key Institute
C.Public Key Infrastructure D.Private Key Institute 7防火墙最主要被部署在___ _位置。【 C 】 . . A.网络边界 B.骨干线路 C.重要服务器 D.桌面终端 8下列__ __机制不属于应用层安全。【 C 】 A.数字签名 B.应用代理 C.主机入侵检测 D.应用审计 9 __ _最好地描述了数字证书。【 A 】 A.等同于在网络上证明个人和公司身份的 B.浏览器的一标准特性,它使 得黑客不能得知用户的身份 C.要求用户使用用户名和密码登陆的安全机制 D.伴随在线交易证明购买的 收据 10下列不属于防火墙核心技术的是____。【 D 】 A (静态/动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计 11信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。【 B 】 A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级 12公钥密码基础设施PKI解决了信息系统中的____问题。【】 A 身份信任 B 权限管理
三、名词解释题: 1、数字证书? 答: 数字证书是一种权威性的电子文文件,由权威公正的第三方机构,即CA中心签发的证书。它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。 2、防火墙?P181 答: 防火墙是置于两个网络之间的一组构件或一个系统,具有以下属性: (1)防火墙是不同网络或网络安全域之间信息流通过的唯一出入口,所有双向数据流必须经过它; (2)只有被授权的合法数据,即防火墙系统中安全策略允许的资料,才可以通过; (3)该系统应具有很高的抗攻击能力,自身能不受各种攻击的影响。 3、数字签名技术? 答: 4、入侵检测?P157 答: 入侵检测(Intrusion Detection)是对入侵行为的发觉。它从计算机网络或或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 5、分组密码?P22 答: 分组密码是将明文消息编码后表示的数字(简称明文数字)序列x0,x1,x2,…,划分成长度为n的组x=(x0,x1,x2,…xn-1)(可看成长度为n的向量),每组分别在密钥k=(k0,k1,k2,…kn-1),其加密函数是E:Vn×K→Vn,Vn是n维向量空间,K为密钥空间。 6、序列密码 答: 序列密码也称为流密码(Stream Cipher),它是对称密码算法的一种。流密码对明文加解密时不进行分组,而是按位进行加解密。流密码的基本思想是利用密钥k产生一个密钥流:z=z0z1…,并使用如下规则加密明文串x=x0x1x2…,y=y0y1y2…=ez0(x0)ez1(x1)ez2(x2)…。密钥流由密钥流发生器f产生:zi=f(k,σi),这里的σi是加密器中的存储元件(内存)在时刻i的状态,f是由密钥k和σi产生的函数。 7、DES?P26 答: DES,Data Encryption Standard,数据加密标准,是分组长度为64比特的分组密码算法,密钥长度也是64比特,其中每8比特有一位奇偶校验位,因此有效密钥长度是56比特。DES算法是公开的,其安全性依赖于密钥的保密程度。DES加密算法为:将64比特明文数据用初始置换IP置换,得到一个乱序的64比特明文分组,然后分成左右等长的32比特,分别记为L0和R0;进行16轮完全类似的迭代运算后,将所得左右长度相等的两半L16和R16交换得到64比特数据R16L16,最后再用初始逆置换IP-1进行置换,产生密文数据组。 8、AES?P36 答: AES,Advanced Encryption Standard,高级加密标准,是一个迭代分组密码,其分组长度和密钥长度都可以改变。分组长度和密钥长度可以独立的设定为128比特、192比特或者256比特。AES加密算法框图如下:
信息安全技术试题答案E 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1._________________________ 信息安全的基木属性是o A.保密性 B.完整性 C.可用性、可控性、可靠性 D. A, B, C都是 2?假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于 ________ o A.对称加密技术 B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 3.密码学的目的是 ____ o A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 4.A方有—?对密钥(KA公开,KA秘密),B方有-?对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:W = KB公开(KA秘密(M))。B方收到密文的解密方案是_______ o A. KB公开(KA秘密(M' )) B. KA公开(KA公开(M')) C. KA公开(KB秘密(M‘ )) D. KB秘密(KA秘密(M')) 5.数字签名要预先使用单向Hash函数进行处理的原因是______ o A.多一道加密工序使密文更难破译 B.提高密文的计算速度 C.缩小签名密文的长度,加快数字签名和验证签名的运算速度 D.保证密文能正确还原成明文 6.身份鉴别是安全服务小的重要一环,以下关于身份鉴别叙述不正确的是—o
A.身份鉴别是授权控制的基础 B.身份鉴别一般不用提供双向的认证 C.目前-?般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离______ 。 A.是防止Internet火灾的硬件设施 B.是网络安全和信息安全的软件和駛件设施 C.是保护线路不受破坏的软件和硬件设施 D.是起抗电磁干扰作川的硬件设施 8.PKI支持的服务不包括_____ 。 A.非对称密钥技术及证书管理 B.日录服务 C.对称密钥的产生和分发 D.访问控制服务9.设哈希函数H 128个可能的输出(即输出长度为128位),如果II的k个随机输入屮至少有两个产生相同输岀的概率人于0. 5, 则k约等于—。 A. 2128 B. 264 C. 2 D. 2 10. Bell-LaPadula模型的出发点是维护系统的______ ,而Bibd模型与 Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的_______ 问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。 A.保密性可用性 B.可用性保密性 C.保密性完整性 D.完整性保密性 二、填空题(每空1分,共20分) 1.ISO 7498-2确定了五大类安全服务,即鉴别、访问控制、数据保密性、数据完整性和不可否认。同吋,ISO 7498-2也确定了八类安全机制,即加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换、业务填充机制、路由控制机制和公证机制。
海南科技职业学院 2012届期末考试 《信息安全原理》试卷(A ) 考试方式:闭卷 考试时间:90分钟 卷 面总分:100分 题 号 一 二 三 四 五 六 总分 合分人 得 分 一、选择题(共20题,每空1分, 共20分) 1、( )不属于网络安全的5大特征要求。 A .可控 性 B.可操作性 C . 完 整 性 D.机密性 2.通过计算机及其网络或部件进行破坏,属于( )网络安全威胁类型。 A .资源耗尽 B.篡改 C .陷阱门 D.物理破坏 3、语音识别、指纹识别和身份卡识别属于()类网络信息安全机制。 A .公正机制 B.鉴别交换机机制 C .加密机制 D.访问控制机制 4、适用于企业业务处理和家庭使用浏览、收发、打印和共享文件等安全需求的无线网络安全技术是( )。 A .TKIP B.AES C .WPA D.IEEE 802.1X 5、用来衡量网络利用率,必须与性能管理相结合的网络安全管理功能是( )。 A .计费管理 B.配置管理 C .故障管理 D.安全管理 6、网络安全管理技术涉及网络安全技术和管理方面的 很多方面,出广义的范围来看,( )是安全管理的一 种手段。 A .扫描和评估 B.防火墙和入侵检 测系统安全设备 C .监控和审批 D.防火墙及杀毒软件 7、一般情况下,大多数监听工具不能够分析的协议是( ) A .标准以太网 B.TCP/IP C .SNMP 和C.MIS D.IPX 和DECNet 8、( )是建立完善访问控制策略,及时发现网络遭 受攻击情况并加以追踪和防范,避免对网络造成更大 损失。 A .动态站点监控 B.实施存取控制 C .安全管理检测 D.完善服务器系统 安全性能 9、各类银行推出的“电子证书存储器”是身份认证技 术的( )方法。 A .动态令牌认证 https://www.doczj.com/doc/ed17674969.html, B Key C .智能认证 D.CA 认证 10、在身份认证方式中,( )具有提供安全审计的依据和维护自身安全的功能。 A .动态令牌 B.智能卡认证 C .CA 认证 D.UBS Key 11、密码技术不仅可以保证信息的机密性,而且还可以保证信息的( )。 A .准确性和可靠性 B.完整性和准确性 C .完整性和可靠性 D.准确性和唯一性 12、数字水印需要达到隐藏性、( )和安全性3个基本特征。 A .透明性 B.确认性 C .控制性 D.强壮性 13、一个网络信息系统最重要的资源是()。 A .数据库 B.计算机硬件 C .网络设备 D 。数据库管理系 统 14、()—属于数据库系统数据按的内容。 A .物理安全控制 B.灾害、故障后的 系统恢复 C .审计跟踪 D 。电磁信息泄漏 防止 评卷人 得分
信息安全概论习题及答案 第1章概论 1.谈谈你对信息的理解. 答:信息是事物运动的状态和状态变化的方式。 2.什么是信息技术 答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。 本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。 也有人认为信息技术简单地说就是3C:Computer+Communication+Control。 3.信息安全的基本属性主要表现在哪几个方面 答:(1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availability) (4)不可否认性(Non-repudiation) (5)可控性(Controllability) 4.信息安全的威胁主要有哪些 答: (1)信息泄露 (2)破坏信息的完整性 (3)拒绝服务 (4)非法使用(非授权访问) (5)窃听 (6)业务流分析 (7)假冒 (8)旁路控制 (9)授权侵犯 (10)特洛伊木 马 (11)陷阱门 (12)抵赖 (13)重放 (14)计算机病 毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 (19)业务欺骗 等 5.怎样实现信息安全 答:信息安全主要通过以下三个方面:
A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等; B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。 第2章信息保密技术 1.为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同答:古典密码体制中,数据的保密基于加密算法的保密。 现代密码体制中,数据的安全基于密钥而不是算法的保密。 2.密码学发展分为哪几个阶段各自的特点是什么 答:第一个阶段:从几千年前到1949年。 古典加密 计算机技术出现之前 密码学作为一种技艺而不是一门科学 第二个阶段:从1949年到1975年。 标志:Shannon发表“Communication Theory of Secrecy System” 密码学进入了科学的轨道 主要技术:单密钥的对称密钥加密算法 第三个阶段:1976年以后 标志:Diffie,Hellman发表了“New Directions of Cryptography”
信息安全技术试题答 案D
综合习题 一、选择题 1. 计算机网络是地理上分散的多台(C)遵循约定的通信协议,通过软硬件互联的系统。 A. 计算机 B. 主从计算机 C. 自主计算机 D. 数字设备 2. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 3. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(A)。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 4. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 5.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB 秘密),A方向B方发送 数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是 (C)。
A. KB公开(KA秘密(M’)) B. KA公开(KA公开(M’)) C. KA公开(KB秘密(M’)) D. KB秘密(KA秘密(M’)) 6. “公开密钥密码体制”的含义是(C)。 A. 将所有密钥公开 B. 将私有密钥公开,公开密钥保密 C. 将公开密钥公开,私有密钥保密 D. 两个密钥相同 二、填空题 密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。 解密算法D是加密算法E的逆运算。 常规密钥密码体制又称为对称密钥密码体制,是在公开密钥密码体制以前使用的密码体制。 如果加密密钥和解密密钥相同,这种密码体制称为对称密码体制。 DES算法密钥是 64 位,其中密钥有效位是 56 位。 RSA算法的安全是基于分解两个大素数的积的困难。 公开密钥加密算法的用途主要包括两个方面:密钥分配、数字签名。 消息认证是验证信息的完整性,即验证数据在传送和存储过程中是否被篡改、重放或延迟等。 MAC函数类似于加密,它于加密的区别是MAC函数不可逆。 10.Hash函数是可接受变长数据输入,并生成定长数据输出的函数。 三、问答题 1.简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。 主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截
XX 中医药大学计算机科学与技术专业2006年级(本科) 《信息安全原理与应用》期末考查试卷 姓 名: 学 号: 班 级: 考试时间: 补(重)考:(是、否) ---------------------------------------- 说明:1、本试卷总计100分,全试卷共6页,完成答卷时间120分钟。 2、请将第一、二、三大题答在试卷上,第四、五大题答在答题纸上。 ---------------------------------------- 一、单项选择题(本大题共20题,每题2 分,共40分) 1、“信息安全”中的“信息”是指 A 、以电子形式存在的数据 B 、计算机网络 C 、信息本身、信息处理设施、信息处理过程和信息处理者 D 、软硬件平台 2、下列说法完整准确的是 A 、网络信息安全一般是指网络信息的XX 性、完整性、可用性、真实性、实用性、占有性几个主要方面。 B 、网络信息安全一般是指网络信息的安全贮存、安全传输、避免失窃几个主要方面。 C 、网络信息安全一般是指网络信息的通信安全、环境安全、物理安全和人事安全几个主要方面。 D 、网络信息安全一般是指网络信息的滥用、入侵、窃取、干扰、破坏几个主要方面。
3、网络所面临的安全威胁主要来自 A、物理安全威胁、操作系统安全威胁 B、网络协议的安全威胁、应用软件的安全威胁 C、木马和计算机病毒 D、用户使用的缺陷、恶意程序 4、注册表的主要功能是 A、用来管理应用程序和文件的关联 B、说明硬件设备 C、说明状态属性以及各种状态信息和数据等。 D、黑客经常通过注册表来修改系统的软硬件信息。 5、下面是关于双钥密码体制的正确描述 A、双钥密码体制其加解密密钥不相同,从一个很难得出另一个。采用双密钥体制的每个用户都有一对选定的密钥,一个是秘密的,一个则可以公开,并可以像一样注册公布。因此,双钥密码体制也被称为公钥体制。 B、双钥密码体制其加密密钥与解密密钥相同,或是实质上等同,从一把钥匙很容易推出另一个。 C、双钥密码体制其加解密密钥不相同,加密的密钥称为私钥,解密密钥称为公钥,两把钥匙可以交换,也可以相互导出。 D、双钥密码体制其加解密密钥可以根据用户要求而定,是否相同或不相同。以完成加密或解密。 6、下列说法完整正确的是 A、密码学与XX学是同一概念,指对各种媒体的加密,甚至对硬件实体和思路、思维等虚体的加密。 B、密码学与XX学主要是研究对实体的加密与解密。 C、XX学研究除文电、文档进行加密外,对多媒体信息加密,甚至对硬件实体和思路、思维等虚体的加密。密码学研究除XX外,还有认证、鉴别功能。 D、密码学与XX学早期主要是研究对实体的加密与解密,现在除加密外,还有认证、鉴别功能。 7、下面不属于身份认证方法的是
信息安全概论习题参考答案 第1章概论 1.谈谈你对信息的理解. 答:信息是事物运动的状态和状态变化的方式。 2.什么是信息技术? 答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。 本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。 也有人认为信息技术简单地说就是3C:Computer+Communication+Control。 3.信息安全的基本属性主要表现在哪几个方面? 答:(1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availability) (4)不可否认性(Non-repudiation) (5)可控性(Controllability) 4.信息安全的威胁主要有哪些? 答: (1)信息泄露 (2)破坏信息的完整性 (3)拒绝服务 (4)非法使用(非授权访问) (5)窃听(6)业务流分析 (7)假冒 (8)旁路控制 (9)授权侵犯 (10)特洛伊木马 (11)陷阱门 (12)抵赖 (13)重放 (14)计算机病毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 (19)业务欺骗等 5.怎样实现信息安全? 答:信息安全主要通过以下三个方面: A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等; B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。 第2章信息保密技术 1.为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同? 答:古典密码体制中,数据的保密基于加密算法的保密。 现代密码体制中,数据的安全基于密钥而不是算法的保密。 2.密码学发展分为哪几个阶段?各自的特点是什么?
《网络与信息安全》综合练习题 一.选择题 1.以下对网络安全管理的描述中,正确的是(D)。 D)安全管理的目标是保证重要的信息不被未授权的用户访问。 2.以下有关网络管理功能的描述中,错误的是(D)。 D)安全管理是使网络性能维持在较好水平。 3.有些计算机系统的安全性不高,不对用户进行验证,这类系统的安全级别是(A)。A)D1 4.Windows NT操作系统能够达到的最高安全级别是(B)。B)C2 5.下面操作系统能够达到C2安全级别的是(D)。D)Ⅲ和ⅣⅢ.Windows NT Ⅳ.NetWare3.x 6.计算机系统处理敏感信息需要的最低安全级别是(C)。C)C2 7.计算机系统具有不同的安全级别,其中Windows 98的安全等级是(D)。D)D1 8.计算机系统具有不同的安全等级,其中Windows NT的安全等级是(C)。C)C2 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。10.网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。11.某种网络安全威胁是通过非法手段取得对数据的使用权,并对数据进行恶意添加和修改。这种安全威胁属于(B)。B)破坏数据完整性 12.以下方法不能用于计算机病毒检测的是(B)。B)加密可执行程序 13.若每次打开Word程序编辑文当时,计算机都会把文档传送到另一FTP 服务器,那么可以怀疑Word程序被黑客植入(B)。B)特洛伊木马 14.网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。 15.当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源,这是对网络__可用_性的攻击。 16.有一类攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。 17.下面攻击方法属于被动攻击的是(C)。C)通信量分析攻击 18.下面攻击属于非服务攻击的是(C)。C)Ⅱ和ⅢⅡ.源路由攻击Ⅲ.地址欺骗攻击19.下面()攻击属于服务攻击。D)Ⅰ和ⅣⅠ.邮件炸弹攻击Ⅳ.DOS攻击 20.通信量分析攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度。这类安全攻击属于_被动性_攻击。 21.从信源向信宿流动过程中,信息被插入一些欺骗性的消息,这类攻击属于(B)。B)截取攻击 22.网络安全攻击方法可以分为服务攻击与_非服务_攻击。 23.关于RC5加密算法的描述中,正确的是(D)。D)分组和密钥长度都可变24.下面不属于对称加密的是(D)。D)RSA 25.DES是一种常用的对称加密算法,其一般的分组长度为(C)。C)64位26.关于RC5加密技术的描述中,正确的是(C)。C)它的密钥长度可变27.对称加密机制的安全性取决于_密钥_的保密性。 28.以下关于公钥密码体制的描述中,错误的是(C)。C)一定比常规加密更安全 29.以下关于公钥分发的描述中,错误的是(D)。D)公钥的分发比较简单30.张三从CA得到了李四的数字证书,张三可以从该数字证书中得到李四的(D)。D)公钥 31.在认证过程中,如果明文由A发送到B,那么对明文进行签名的密钥为(B)。B)A的私钥 32.为了确定信息在网络传输过程中是否被他人篡改,一般采用的技术是(C)。 C)消息认证技术 33.MD5是一种常用的摘要算法,它产生的消息摘要长度是(C)。C)128位34.用户张三给文件服务器发命令,要求将文件“张三.doc”删除。文件服务器上的认证机制需要确定的主要问题是(C)。C)该命令是否是张三发出的35.防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。 36.以下关于数字签名的描述中,错误的事(B)。B)数字签名可以保证消息内容的机密性 37.数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。 38.关于数字签名的描述中,错误的是(C)。C)可以保证消息内容的机密性39.Kerberos是一种网络认证协议,它采用的加密算法是(C)。C)DES 40.IPSec不能提供(D)服务。D)文件加密