下载文档原格式
1、请说明信息安全的三个经典要素。
机密性、完整性、可用性机密性是指对信息或资源的隐藏;完整性是指数据或资源的可信度;可用性是指对信息或资源的期望使用能力。
什么是访问控制矩阵?访问控制矩阵是对访问控制行为的一种抽象表示, 矩阵中的行与系统中的实体相对应, 列与与系统中的客体相对应, 处于行与列的交叉点上的矩阵元素描述主体对客体的访问权限。
口令撒盐是什么意思?给口令撒盐能提高破解口令的难度,撒盐就是给口令掺入随机数,掺入的随机数称为盐值。
在数据库的安全访问控制中, 什么是否定授权?什么是授权冲突?设A为任意的授权, 用NOA来标记与A授权相关的另一个授权, 它的含义是禁止A授权, 即给主体S对客体O上的一个NOA授权的含义是禁止主体S对客体O进行需要A授权才能进行的访问。
NOA称为相对于授权A的一个否定式授权。
授权冲突:同时支持肯定式授权和否定式授权的系统中。
如果主体S既获得了客体O上的肯定式A授权, 也获得了在客体O上的否定式NOA授权, 冲突就发生了。
2、解释虚拟专用数据库运行机制。
虚拟专用数据库运行机制: 动态地、透明地给数据库访问语句附加上合适的谓词, 以便根据实际的安全需求限定用户所能访问到的数据记录, 从而达到为特定的安全需求提供特定的数据库数据记录集的结果。
什么是自主访问控制?什么是强制访问控制?如果作为客体的拥有者的用户个体可以设置访问控制属性来许可或拒绝对客体的访问, 那么这样的访问控制称为自主访问控制。
例子:每位同学可以决定是否允许其他同学借阅自己的参考书。
如果只有系统才能控制对客体的访问, 而用户个体不能改变这种控制, 那么这样的访问控制称为强制访问控制。
例子:考试时, 任何同学都无权决定把自己的试卷借给其他同学看。
3、简要说明数据库系统中基于角色的访问控制模型的基本思想。
RBAC模型的基本思想是将访问许可权分配给一定的角色, 用户通过饰演不同的角色获得角色所拥有的访问许可权。
信息安全基础考试(答案见尾页)一、选择题1. 信息安全的基本概念是什么?A. 信息安全是为了防止未经授权的访问、使用、披露、破坏、修改、检查或破坏信息的行为而采取的一系列措施。
B. 信息安全主要包括网络和基础设施的安全、应用的安全、数据的安全和管理的安全。
C. 信息安全的核心是保护信息和信息系统免受未经授权的访问和破坏。
D. 信息安全是一个不断发展的领域,需要持续关注和改进。
2. 在信息安全中,以下哪个因素通常不是导致安全事件的原因?A. 操作系统的漏洞B. 黑客的攻击C. 错误的配置D. 不安全的输入验证3. 以下哪种加密方法提供了最强的数据保护?A. 对称加密B. 非对称加密C. 对称加密与公钥加密的组合D. 哈希函数4. 在信息安全管理体系中,以下哪个标准是专门用于信息安全管理体系的?A. ISO 27001B. ISO 9001C. COBITD. ITIL5. 以下哪种安全策略是用来防止未经授权的访问和数据泄露?A. 访问控制策略B. 数据备份和恢复策略C. 加密策略D. 安全审计策略6. 在信息安全中,以下哪个术语通常指的是对信息的保护和管理?A. 安全管理B. 信息安全C. 网络安全D. 数据安全7. 以下哪种安全工具通常用于检测和预防网络攻击?A. 防火墙B. 入侵检测系统(IDS)C. 终端安全软件D. 安全信息和事件管理(SIEM)8. 在信息安全中,以下哪个概念涉及到对信息的保护和管理?A. 风险管理B. 事件响应计划C. 密码学D. 安全策略9. 以下哪种加密算法通常用于对称加密?A. RSAB. DESC. IDEAD. SHA-110. 信息安全的基本目标是什么?A. 保护信息不被非法访问B. 维护信息的机密性C. 保证信息的完整性D. 保障信息的可用性11. 在信息安全中,什么是“访问控制”?A. 防止未经授权的用户访问系统B. 防止未经授权的数据访问C. 防止未经授权的网络访问D. 防止未经授权的应用访问12. 以下哪个选项是信息安全管理的核心策略?A. 风险管理B. 事件响应C. 安全审计D. 物理安全13. 信息安全中,密码学的主要目的是什么?A. 保证信息的机密性B. 保证信息的完整性C. 防止数据被篡改D. 防止未经授权的访问14. 访问控制列表(ACL)在信息安全中的作用是什么?A. 控制对资源的访问权限B. 提供身份验证机制C. 保护网络免受攻击D. 保证数据的传输安全15. 什么是防火墙?它在信息安全中的作用是什么?A. 一个安全系统,用于监控和控制进出网络的流量B. 一种技术,用于防止未经授权的访问C. 一种安全措施,用于保护网络免受外部威胁D. 一种技术,用于加密和解密数据16. 在信息安全中,什么是“恶意软件”?A. 一种病毒,可以自我复制并传播B. 一种有害的软件,可以破坏系统或数据C. 一种程序,可以未经授权地访问系统D. 一种工具,用于测试系统的安全性17. 什么是加密?在信息安全中为什么加密很重要?A. 加密是一种加密技术,用于保护数据不被未授权访问B. 加密是一种数学过程,用于将明文转换为密文C. 加密很重要,因为它可以防止未经授权的访问和数据泄露D. 加密是一种安全措施,用于保护数据的机密性和完整性18. 什么是数字签名?它在信息安全中的作用是什么?A. 一种验证方法,用于证明消息的来源和完整性B. 一种加密技术,用于保护数据不被未授权访问C. 一种认证机制,用于确保通信双方的身份D. 一种安全措施,用于保护数据的机密性和完整性19. 什么是入侵检测系统(IDS)?它在信息安全中的作用是什么?A. 一种安全系统,用于监控和分析网络流量,以检测潜在的入侵行为B. 一种技术,用于防止未经授权的访问C. 一种安全措施,用于保护网络免受外部威胁D. 一种工具,用于测试系统的安全性20. 在信息安全中,以下哪个因素不是威胁?A. 黑客攻击B. 自然灾害C. 操作系统漏洞D. 错误的配置21. 信息安全的目标通常包括哪些方面?A. 保护信息不被非法访问B. 维护信息的机密性C. 保障信息的完整性D. 提高用户的信息安全意识22. 在五因素模型中,与信息安全相关的是哪三个因素?A. 技术、管理、人员B. 人员、技术、过程C. 物理、网络、数据D. 策略、组织、技术23. 以下哪个选项是信息安全管理的核心目标?A. 防止未经授权的访问B. 保护信息的机密性C. 维护信息的完整性D. 减少安全风险24. 在信息安全中,以下哪个术语指的是对信息的保护,以防止未经授权的访问和使用?A. 防火墙B. 身份认证C. 加密D. 访问控制25. 以下哪个选项是信息安全管理体系(ISMS)的基础?A. ISO 27001B. COBITC. ITILD. CMMI26. 在信息安全中,以下哪个因素可能导致数据泄露?A. 操作系统的漏洞B. 不安全的软件C. 低水平的员工培训D. 弱密码策略27. 以下哪个选项是信息安全风险评估的一部分?A. 识别潜在的威胁和漏洞B. 分析可能的风险和影响C. 制定安全控制措施D. 监控和审计28. 在信息安全中,以下哪个选项是防止未经授权的访问和控制访问的措施?A. 实施访问控制列表(ACLs)B. 使用强密码策略C. 进行安全审计D. 定期更新软件和操作系统29. 信息安全的基础是什么?A. 加密技术B. 访问控制C. 防火墙D. 数据备份30. 信息安全中的“三分技术,七分管理”是强调什么方面的重要性?A. 技术的重要性B. 管理的重要性C. 技术和管理同样重要31. 以下哪个安全策略不是用来保护信息的?A. 数据加密B. 定期更新软件C. 防火墙策略D. 开放网络访问32. 在信息安全领域,以下哪个标准代表了密码设备的国际标准?A. ISO 9001B. ISO 27001C. IEEE 802.1XD. ISO 1540833. 以下哪个操作系统的安全性相对较高?A. Windows XPB. LinuxC. Windows 7D. macOS34. 在信息安全中,以下哪个术语指的是对信息系统的非相关人员接近资产或接近重要的记录,从而保护信息的安全?A. 安全审计B. 入侵检测C. 数据隔离D. 权限管理35. 以下哪个措施可以防止未经授权的用户访问数据库?A. 使用强密码B. 及时更新密码C. 实施访问控制D. 对用户进行安全培训36. 信息安全中的“木马”是指一种?A. 计算机病毒B. 计算机蠕虫C. 特洛伊木马D. 计算机昆虫37. 在信息安全中,以下哪个选项是“防篡改”的反义词?A. 数据加密B. 数据备份C. 数据完整性检查D. 数据不可否认性38. 信息安全的目标是什么?A. 保护信息不被未经授权的访问、使用、修改、泄露、破坏、中断、修改或破坏B. 硬件、软件和数据的保护C. 防止未经授权的访问、使用、修改、泄露、破坏、中断、修改或破坏D. 保护信息和信息系统免受未经授权的访问、使用、修改、泄露、破坏、中断、修改或破坏39. 以下哪个因素可能导致信息安全问题?A. 计算机病毒B. 不安全的密码策略C. 不正确的系统配置D. 以上所有因素40. 信息安全中的“三个同步”是指什么?A. 同步规划、同步实施、同步发展B. 同步规划、同步建设、同步运行C. 同步规划、同步实施、同步维护D. 同步规划、同步建设、同步运行41. 以下哪个操作可能导致信息安全问题?A. 使用弱密码B. 未定期更新软件和操作系统C. 未经授权的数据访问D. 以上所有操作42. 信息安全中常用的加密技术有哪些?A. 对称加密B. 非对称加密C. 对称加密与公钥加密相结合D. 以上所有技术43. 什么是防火墙?A. 一种网络安全设备,用于监控和控制进出网络的流量B. 一种安全操作系统,用于保护内部网络C. 一种数据加密技术D. 以上都不是44. 什么是入侵检测系统(IDS)?A. 一种网络安全设备,用于监控和控制进出网络的流量B. 一种安全操作系统,用于保护内部网络C. 一种数据加密技术D. 以上都不是45. 什么是安全审计?A. 一种网络安全设备,用于监控和控制进出网络的流量B. 一种安全操作系统,用于保护内部网络C. 一种数据加密技术D. 一种对系统活动进行记录和分析的过程46. 信息安全中的“三不”原则是什么?A. 不泄露敏感信息B. 不允许未经授权的访问C. 不可否认的行为D. 以上所有原则二、问答题1. 什么是信息安全?请简要解释其重要性。
信息安全知识竞赛考试题库(强化练习)1、单选内容过滤技术的含义不包括()A、过滤互联网请求从而阻止用户浏览不适当的内容和站点B、过滤流入的内容从而阻止潜在的攻击进入用户的网络系统C、过滤流出的内(江南博哥)容从而阻止敏感数据的泄露D、过滤用户的输入从而阻止用户传播非法内容正确答案:D2、单选信息安全阶段将研究领域扩展到三个基本属性,下列()不属于这三个基本属性。
A、保密性B、完整性C、不可否认性D、可用性正确答案:C3、单选可以被数据完整性机制防止的攻击方式是()A、假冒* **B、抵赖****C、数据中途窃取D、数据中途篡改正确答案:D4、单选接到报告的中国人民银行各分行、营业管理部、省会(首府)城市中心支行,应当在事件发生()小时内报告人民银行总行计算机安全主管部门A.1小时B.6小时C.12小时D.24小时正确答案:D5、单选应独立运营管理灾难备份中心,且机房的可用性应至少达到99.9%,其所能提供的灾难恢复能力等级应达到()级以上(含()级)。
A.3B.4C.5D.6正确答案:C6、判断题公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作正确答案:对7、问答题X.500和LDAP有什么联系和区别?正确答案:LDAP协议基于X.500标准,但是比较简单,并且可以根据需要定制,LDAP支持TCP/IP。
在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息(电子邮件地址、邮件路由信息、人力资源数据、公用密钥、联系人列表)。
8、多选基于角色对用户组进行访问控制的方式有以下作用()。
A、使用户分类化B、用户的可管理性得到加强C、简化了权限管理,避免直接在用户和数据之间进行授权和取消D、有利于合理划分职责E、防止权力滥用正确答案:C, D, E9、单选相对于现有杀毒软件在终端系统中提供保护不同,()在内外边界处提供更加主动和积极的病毒保护。
A、防火墙B、病毒网关C、IPSD、IDS正确答案:B10、单选《计算机信息网络国际联网安全保护管理办法》规定,未建立安全保护管理制度的,采取安全技术保护措施,由公安机关(),给予(),还可();在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可()A、责令限期改正警告没收违法所得并处罚款B、通报批评警告没收违法所得并处罚款C、通报批评拘留没收违法所得并处罚款D、责令限期改正警告没收违法所得并处拘留正确答案:A11、单选统一资源定位符是()。
信息安全考试题库(附答案)要素。
身份信息认证系统主要由以下要素构成:身份识别、身份验证、身份授权和身份管理。
身份识别是指确定用户的身份信息,如用户名、密码等;身份验证是指通过验证用户提供的身份信息来确认用户身份的真实性;身份授权是指授予用户访问特定资源的权限;身份管理是指管理用户的身份信息和权限,包括添加、修改和删除用户信息等操作。
这些要素共同构成了一个完整的身份信息认证系统。
Q7:密钥类型有哪些?密钥可以分为数据加密密钥和密钥加密密钥。
而密钥加密密钥则分为主密钥、初级密钥和二级密钥。
Q8:密钥保护的基本原则是什么?密钥保护的基本原则有两个。
首先,密钥永远不可以以明文的形式出现在密码装置之外。
其次,密码装置是一种保密工具,可以是硬件或软件。
Q9:什么是访问控制?它包括哪几个要素?访问控制是指基于身份认证,根据身份对资源访问请求进行控制的一种防御措施。
它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。
访问控制包括三个要素:主体、客体和访问策略。
Q10:自主访问控制和强制访问控制有什么区别?自主访问控制是基于用户身份和授权进行访问控制的一种方式。
每个用户对资源的访问请求都要经过授权检验,只有授权允许用户以这种方式访问资源,访问才会被允许。
而强制访问控制则是通过敏感标签来确定用户对特定信息的访问权限。
用户的敏感标签指定了该用户的敏感等级或信任等级,而文件的敏感标签则说明了访问该文件的用户必须具备的信任等级。
自主访问控制较为灵活,但存在安全隐患,而强制访问控制则提高了安全性但牺牲了灵活性。
其他知识点:1、信息的定义信息是指认识主体所感受的或所表达的事物的运动状态和变化方式。
信息是普遍存在的,与物质和能量有关,人类认识事物、改变事物必须依赖于信息。
2、信息的性质信息具有普遍性、无限性、相对性、转换性、变换性、有序性、动态性、转化性、共享性和可量度性等性质。
3、信息技术信息技术的产生源于人们对世界认识和改造的需要。
1.计算机病毒的类型:①系统病毒:感染特定类型的文件,破坏操作系统的完整性,破坏硬盘数据,破坏计算机硬件。
病毒前缀为:win32,PE,Win95等。
例如CIH病毒;②蠕虫病毒:利用操作系统漏洞进展感染和传播,产生大量垃圾流量,严重影响网络性能。
病毒前缀:Worm,例如冲击波病毒;③木马病毒、黑客病毒:实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据,木马病毒前缀:Trojan,黑客病毒前缀为Hack.④后门病毒:前缀:Backdoor,该类病毒的公有特性是通过网络传播,给系统开后门。
其他:脚本病毒、宏病毒、玩笑病毒等。
2.三分技术、七分管理。
引起信息平安问题的主要因素:技术因素网络系统本身存在平安脆弱性;管理因素组织部没有建立相应的信息平安管理制度;据有关局部统计,在所有的计算机平安事件中,约有52%是人为因素造成的,25%是火灾、水灾等自然灾害引起的,技术错误占10%,组织部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。
简单的说,属于管理方面的原因比重高达70%以上,故而说“三分技术、七分管理〞。
3.信息平安〔Information Security〕的特征:①性(confidentiality):保证信息只让合法用户访问;②完整性(integrity):保障信息与其处理方法的准确性、完全性;③可用性(usability):保证合法用户在需要时可以访问到信息与相关资产;④可控性、可靠性。
4.信息平安管理〔 Information Security Management〕:通过维护信息性、完整性和可用性,来管理和保护组织所有信息资产的一项体制,是信息平安治理的主要容和途径,信息平安治理为信息平安管理提供根底的制度支持。
其容为信息平安管理体系的建立、风险评估、平安规划、项目管理、物理平安管理、信息平安培训。
5.信息平安管理的根本原那么:①分权制衡原那么;②最小特权原那么;③选用成熟技术原那么;④普遍参与原那么;6.信息平安管理体系〔Information Security Management System, ISMS〕:是一个系统化、程序化和文件化的管理体系,属于风险管理的畴,体系的建立基于系统、全面、科学的平安风险评估,以保障组织的技术和商业,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。
信息安全复习资料1. 身份鉴别是安全服务中的重要一环,1. 身份鉴别是授权控制的基础2. 目前一般采用基于对称密钥加密或公开密钥加密的方法3. 数字签名机制是实现身份鉴别的重要机制2. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是共享密钥认证3. 访问控制是指确定用户权限以及实施访问权限的过程。
4.对访问控制影响不大的是主体与客体的类型。
5. 为了简化管理,通常对访问者分类组织成组,以避免访问控制表过于庞大。
6. 一般而言,Internet防火墙建立在一个网络的内部网络与外部网络的交叉点。
7. 包过滤型防火墙原理上是基于网络层进行分析的技术。
8. 为了降低风险,不建议使用的Internet服务是FTP服务。
9. 对动态网络地址交换(NAT)1. 将很多内部地址映射到单个真实地址2. 最多可有64000个同时的动态NA T连接3. 每个连接使用一个端口10. VPN的加密手段为VPN内的各台主机对各自的信息进行相应的加密11. 将公司与外部供应商、客户及其他利益相关群体相连接的是外联网VPN。
12. PPTP、L2TP和L2F隧道协议属于第二层隧道协议。
13.TCP/IP不属于隧道协议。
14. SSL产生会话密钥的方式是由服务器产生并分配给客户机15. SSL、S-HTTP属于Web中使用的安全协议。
16. 传输层保护的网络采用的主要技术是建立在可靠的传输服务,安全套接字层SSL协议基础上的。
17. 密码学的目的是研究数据保密。
18. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于对称加密技术。
19. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑1.用户的方便性2.管理的复杂性3.对现有系统的影响及对不同平台的支持20.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。
第二部分信息安全风险评估理论与方法2.1评估策略风险评估依据:(1)政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)。
(2)国际标准BS 7799-1《信息安全管理实施细则》;BS 7799-2《信息安全管理体系规范》;ISO/IEC TR 13335《信息技术安全管理指南》;SSE-CMM《系统安全工程能力成熟模型》。
(3)国家标准GB 17589-1999《计算机信息系统安全保护等级划分准则》;GB/T 18336:1-3:2001《信息技术性评估准则》;GB/Z《信息安全风险评估指南》(征求意见稿);GB/Z《信息安全风险管理指南》(征求意见稿)。
(4)行业通用标准CVE公共漏洞数据库;信息安全应急响应机构公布的漏洞;国家信息安全主管部门公布的漏洞。
(5)其他风险评估原则:(1)可控性原则人员可控性——所有参与信息安全评估的人员工具可控性——所使用的风险评估工具项目过程可控性——依据项目管理方法学(2)完整性原则严格按照委托单位评估要求和指定范围进行全面评估服务(3)最小影响原则力求将评估对信息系统正常运行的影响降低到最低限度(4)保密原则与评估对象签署保密协议和非侵害性协议2.2 评估实施流程1、风险评估的准备重要性:风险评估的准备是实施风险评估的前提,其准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。
只有有效地进行了信息安全风险评估准备,才能更好地开展信息安全风险评估。
准备活动包括:•确定风险评估的目标;•确定风险评估的范围;•组建评估管理团队和评估实施团队;•进行系统调研;•确定评估依据和方法;•获得支持。
(1)确定风险评估的目标通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求,来确定风险评估的目标。
《信息安全》期末复习资料1、信息系统资源包括:硬件软件数据通信设备与⽹络2、信息安全的三层含义:(1) 系统安全(实体安全),即系统运⾏的安全性。
(2) 信息的安全,即通过对⽤户权限的控制、数据加密等⼿段确保信息不被⾮授权者获取和篡改。
(3) 管理安全,即综合运⽤各种⼿段对系统运⾏的安全性和信息资源进⾏有效的管理。
3、信息安全的三⼤⽬标(CIA 三元组):机密性完整性可⽤性4、⽬前安全问题很多,但是对⽤户最⼤的安全威胁是:⿊客技术和病毒技术5、信息安全安全策略:物理安全策略,访问控制策略,防⽕墙控制,信息加密策略,⽹络安全管理策略6、OSI 安全体系结构包含内容:安全攻击,安全机制,安全服务,安全管理7、凯瑟密码思想:单表代替密码,把字母表中的每个字母⽤该字母后⾯的第三个字母进⾏替代8、⼀次⼀密(弗纳姆密码技术)的思想及优缺点:(1)思想:其加密⽅法是,将明⽂和密钥分别表⽰成⼆进制序列,再把它们按位进⾏模2加法。
(2)优点:如果密钥是随机选择的,除了长度之外,攻击者根据密⽂⽆法获得任何消息。
(3)缺点:密钥的长度必须与消息的长度相同,在密⽂被解密之前必须保证密钥被安全地传递给接收者。
⽽且⼀次⼀密的密钥只能使⽤⼀次!9、序列密码的思想及⼀次⼀密的区别:(1)思想:将明⽂信息m 看成是连续的⽐特流(或字符流)m1m2…,在发送端⽤密钥序列发⽣器产⽣的密钥序列(通过种⼦密钥K 产⽣)k1k2…,对明⽂中的mi 进⾏加密 Ek(m)= (m1) (m2) (2)区别:序列密码的密钥是由密钥发⽣器产⽣的10、DES 算法:(1) DES 算法的基本构成:DES 是16轮的Feistel 结构密码DES 的分组长度是64位DES 使⽤56位密码DES 每轮使⽤48位⼦密钥,每个密钥由56位密钥的⼦集构成DES 算法的特点如下所述:(1) 分组加密算法。
(2) 对称算法。
加密和解密⽤同⼀密钥。
(3) 有效密钥长度为56位。
1.密码学中的几个术语的基本概念:明文、密文、密钥、加密算法、解密算法、密码体制等。
2.防火墙其本质是什么技术。
3.几种常见病毒的出现时间。
4.AES、DES的前身。
5.数字证书的组成。
6.数字签名要预先使用Hash函数进行处理的原因。
7.常见的对称密码、非对称密码、置换密码、替换密码有哪些。
8.Internet上很多软件的签名认证都来自哪家公司签发的。
9.Kerberos协议最重要的问题或缺点。
10.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于11.公钥密码体制的定义、特征,可根据哪些数学难题进行分类,分几类。
12.计算机病毒的定义、特征等基本概念。
13.对ICMP数据包过滤的依据。
14.DES算法子密钥产生过程。
15.完整的数字签名过程包括哪些步骤。
16.密码学的两个分支。
17.消息鉴别的分类。
18.分组密码实现混淆和扩散的常用手段。
19.密码分析攻击根据所掌握的信息可以分为哪几种。
20.一次一密的安全性取决于什么。
21.DES、AES算法的密钥长度、明文长度。
22.RSA算法的安全性基于什么。
23.密码体制的安全性取决于什么。
24.PKI的定义、组成、服务、管理对象。
25.OTP在实际使用中的难点。
26.消息认证码MAC的概念、别称、过程、特点、作用、优缺点等。
27.什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点?28.MD5。
29.身份认证。
30.防火墙应满足的基本条件是什么?所处位置、实现技术。
31.古典密码体制中替换密码有哪几种,各有什么特点?32.RSA的两种用法是什么?RSA为什么能实现数字签名?33.包过滤防火墙工作在OSI网络参考模型的哪一层。
34.信息安全的基本属性有哪些。
35.D-H算法概念、特点及主要步骤36.Kerberos的设计目标37.根据依据的对象不同,密码算法可如何进行分类,分为几类。
苏大——信息安全考试复习-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN名词解释和简答5.计算机系统的可靠性系统可靠性(冗余、容错、专用);定义:在特定时间内和特定条件下系统正常工作的相应程度;提高计算机系统可靠性主要有两种方法:避错和容错。
所谓避错就是采取各种可能的技术措施避免计算机在使用过程中发生错误;所谓容错就是在系统运行过程中允许某些环节发生某些错误,但是计算机给出的最终结果中不包括由于上述环节中发生的错误所造成影响完美性与避错技术:完美性追求一种避错技术,即避免出错。
要求组成系统的各个部件、器件具有高可靠性不允许出错,或者出错率降至最低。
盒作为DES算法的核心,若S1盒输入为101011,请查表计算其输出,给出主要步骤S盒置换:S盒置换是非线性的,48位输入数据根据S盒置换表置换成为32位输出数据。
直接置换:S盒置换后的32位输出数据根据直接置换表进行直接置换。
修改的DES算法,它的S盒代替的输入为64位,而不是48位,这样可以在32位计算机上很好的执行。
S64个元素由0开始编号。
使用SBox[x][y]代表第x个S盒的第y的元素。
例如,SBox[1][0]=0x,代表第1个S盒的第0个元素,SBox[7][9]= 0x,代表第7个S盒的第9个元素。
S盒代替具体流程如下:(1)输入分成两部分,每部分32位,分别记为S0和S1。
(2)将32位S0的第25至30位写入变量S01;将32位S0的第17至22位写入变量S02;将32位S0的第9至14位写入变量S03;将32位S0的第1至6位写入变量S04。
(3)将32位S1的第25至30位写入变量S11;将32位S1的第17至22位写入变量S12;将32位S1的第9至14位写入变量S13;将32位S1的第1至6位写入变量S14。
(4)查找置换表,将SBox[0][S01]、SBox[1][S11]、SBox[2][S02]、SBox[3][S12]、SBox[4][S03]、SBox[5][S13]、SBox[6][S04]、SBox[7][S14]进行或运算,得到的结果即为S盒的输出结果。
例如,64位输入为0x743DED2D02D3B264,那么S盒代替的过程如下:(1)64位输入分为两部分,S0 = 0x743DED2D,S1 = 0x02D3B264。
(2)S01 = 0x34 = 52(10) S02 = 0x3D = 61(10)S03 = 0x2D = 45(10) S04 = 0x2D = 45(10)(3)S11 = 0x02 = 2(10) S12 = 0x13 = 19(10)S13 = 0x32 = 50(10) S14 = 0x24 = 36(10)(4)SBox[0][52] = 0x01000004 SBox[1][ 2 ] = 0x00008000SBox[2][61] = 0x00000008 SBox[3][19] = 0x00802001SBox[4][45] = 0x00000100 SBox[5][50] = 0x00000000SBox[6][45] = 0x00000802 SBox[7][36] = 0x00000040将以上数据进行或操作(类似于全加起来),得到结果0x0180A94F就是S盒的输出。
计算和问答1.RSA算法的完整过程:公钥生成算法:(1)选择两个素数,p和q;(2)计算n = p×q和z = (p-1)×(q-1);(3)随机选择一个与z互质的数e;(gcd(e,z)=1)(互质:若干整数的最大公因数是: 7,10,13;96,5)(4)用辗转相除法找出一个d,使得e×d = 1 (mod z)。
(即求x*z+1=e*d,整数x要使得d为整数,且x要是所有符合条件中最小的一个)公开密钥是由(e,n)构成,保密密钥由(d,n)构成。
Eg:p=7,q=17N=p*q=7*17=119,z=(p-1)×(q-1)=(7-1)*(17-1)=96e=5 公钥P=5e*d=1(mod z)=1(mod 96)->d=77 私钥S=77Eg: p = 3,q = 11,得到n = 33,z =(p-1)×(q-1)=2×10=20。
由于7和20互质,故设d = 7。
对于所选的d = 7,解方程7×e = 1 (mod 20),可以得到e=3加密算法:实体B的操作如下:(1)得到实体A的真实公钥(n,e);(2)把消息表示成整数m,0<m≤n-1;(3)使用平方-乘积算法,计算C = E k(m)= m×e (mod n);(4)将密文C发送给实体A。
解密算法:实体A接收到密文C,使用自己的私钥d计算m = D k(C) = C×d (mod n),m∈Zn。
带入实例中:实例:明文m=19加密:密文C=M e mod 119=66 解密:明文M=C d mod 119=192.异常检测模型和误用检测模型的区别异常检测(Anomaly Detection )i首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵ii.前提:入侵是异常活动的子集iii.用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围iv.过程:v.指标:漏报率低,误报率高vi.特点:i.异常检测系统的效率取决于用户轮廓的完备性和监控的频率ii.因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵iii.系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源3.看图判断防火墙的连接模式,并分析这种连接模式及其优缺点1、双宿主机网关(Dual Homed Gateway)?用一台装有两个网络适配器的双宿主机做防火墙。
双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。
堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。
优点:成本低缺点:一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络,整个网络也就暴露了(如图1)。
2、屏蔽主机网关(Screened Host Gateway)?优点:易于实现,安全性好,应用广泛缺点:只要有一个失败,整个网络就暴露了它又分为单宿堡垒主机和双宿堡垒主机两种类型。
单宿堡垒主机:一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。
堡垒主机只有一个网卡,与内部网络连接(如图2)。
通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。
而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
?误用检测(Misuse Detection)i.收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵ii.前提:所有入侵行为都有可被检测的特征iii.攻击特征库:对入侵的特征、环境、次序和入侵事件的相互关系iv.过程:监控?特征提取?匹配?判定v.指标:漏报率高,误报率低vi.特点:i.采用特征匹配,降低误报率,但漏报率增加ii.攻击特征的细微变化会使得误用检测失效目前研究工作比较多,并且已经进入实用:建立起已有攻击的模式特征库:难点在于如何做到动态更新,自适应双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3)。
双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
?3、屏蔽子网(Screened Subnet)?这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。
两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图4),两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet 和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。
优点:安全性好,有很强的抗攻击能力,只有当两个安全单元被破坏后,网络才被暴露。
缺点:需要的设备多,成本昂贵。
4.仿射替换密码算法完整的计算过程将移位和乘数替换相结合加密算法C=?Ek(m)=(k1m+k2) mod?n解密算法M=?Dk(c)=k1(c-?k2) mod?n密钥k=(k1, k2)仿射密码具有可逆性的条件是gcd(k,?n)=1。
当k1=1时,仿射密码变为加法密码,当k2=0时,仿射密码变为乘法密码。
仿射密码中的密钥空间的大小为nφ(n),当n为26字母,φ(n)=12,因此仿射密码的密钥空间为12×26 = 312。
仿射密码举例设密钥K= (7, 3), 用仿射密码加密明文hot。
三个字母对应的数值是7、14和19。
分别加密如下:(7×7 + 3) mod 26 = 52 mod 26 =0(7×14 + 3) mod 26 = 101 mod 26 =23(7×19 + 3) mod 26 =136 mod 26 =6三个密文数值为0、23和6,对应的密文是AXG。
5.防火墙的主要功能(1)防止非授权用户进入内部网络(2)控制对特殊站点的访问,可允许受保护网络的一部分主机被外部网络访问,而另一部分主机则不能被访问(3)由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方对企业内部网实现集中式安全管理,强化网络安全策略,比分散的主机管理更经济易行监视网络的安全性并报警可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构通过对内部网络的划分,实现重点网段的分离,从而限制安全问题的扩散6.数字签名与手写签名的异同点相同点•签名者不能否认自己的签名•签名不能被伪造,且接收者能够验证签名•签名真伪有争议时,能够得到仲裁不同•签名:传统签名与被签文件在物理上不可分;数字签名则不是,需要与被签文件进行“绑定”•验证:传统签名通过与真实签名对比进行验证;数字签名用验证算法•传统签名的复制品与原件不同;数字签名及其复制品是一样的7.看图分析Wireshark捕获的某个数据包的十六进制数据,其中数据链路层报头和网络层报头均为标准长度,不带任何可选字段。
