信息安全 简答

  • 格式:doc
  • 大小:77.50 KB
  • 文档页数:17

第一章 1.信息安全的目标。 最终目标:通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。其中, 可靠性:指信息系统能够在规定的条件与时间内完成规定功能的特性; 可控性:指信息系统对信息内容和传输具有控制能力的特性; 拒绝否认性:指通信双方不能抵赖或否认已完成的操作和承诺; 保密性:指信息系统防止信息非法泄露的特性,信息只限于授权用户使用; 完整性:指信息未经授权不能改变的特性; 有效性:指信息资源容许授权用户按需访问的特性 2.制定信息安全策略应遵守的基本原则。 均衡性原则:在安全需求、易用性、效能和安全成本之间保持相对平衡; 时效性原则:影响信息安全的因素随时间变化,信息安全问题具有显著的时效性; 最小化原则:系统提供的服务越多,安全漏洞和威胁也就越多;关闭安全策略中没有规定的网络服务;以最小限度原则配置满足安全策略定义的用户权限; 3.网络安全管理人员应重点掌握哪些网络安全技术。 网络安全管理策略、身份认证、访问控制、入侵检测、网络安全审计、网络安全应急响应和计算机病毒防治等技术。 4.简述保密性和完整性含义,分别使用什么手段保障。 保密性:指信息系统防止信息非法泄露的特性,信息只限于授权用户使用; 保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现; 保障保密性的技术:信息加密、身份认证、访问控制、安全通信协议等技术。信息加密是防止信息非法泄露的最基本手段。 完整性:指信息未经授权不能改变的特性;强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失;信息在存储和传输过程中必须保持原样;只有完整的信息才是可信任的信息。 保障完整性的技术:安全通信协议、密码校验和数字签名等。数据备份是防范数据完整性受到破坏时的最有效恢复手段。 5.网络安全评估人员应重点掌握哪些网络安全技术。 网络安全评价标准、安全等级划分、安全产品评测方法与工具、网络信息采集以及网络攻击等技术。 6.制定网络安全策略主要考虑哪些内容。 网络硬件、网络连接、操作系统、网络服务、数据、安全管理责任和网络用户。 7.PPDR网络安全模型的组成及各构件的作用。 安全策略:是PPDR模型的核心;是围绕安全目标、依据网络具体应用、针对网络安全等级在网络安全管理过程中必须遵守的原则。 安全保护:是网络安全的第一道防线,包括安全细则、安全配置和各种安全防御措施,能够阻止决大多数网络入侵和危害行为。 入侵检测:是网络安全的第二道防线,目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁网络安全的异常行为。 应急响应:能够在网络系统受到危害之前,采用用户定义或自动响应方式及时阻断进一步的破坏活动。最大程度地减小破坏造成的损失。

第二章 1.密码编码学和密码分析学的概念。 密码编码学:通过研究对信息的加密和解密变换,以保护信息在信道的传输过程中不被通信双方以外的第三者窃用;而收信端则可凭借与发信端事先约定的密钥轻易地对信息进行解密还原。 密码分析学:主要研究如何在不知密钥的前提下,通过唯密文分析来破译密码并获得信息。 2.信息量和熵的概念。 信息量是表示事物的可确定度、有序度、可辨度(清晰度)、结构化(组织化)程度、复杂度、特异性或发展变化程度的量。 熵是表示事物的不确定度、无序度、模糊度、混乱程序的量。 3.简述什么是问题。 问题是指一个要求给出解释的一般性提问,通常含有若干个未定参数或自由变量。 4.RSA算法的局限性。 有限的安全性、运算速度慢。 5.算法复杂性和问题复杂性的区别。 算法的复杂性是算法效率的度量,是评价算法优劣的重要依据。 问题的复杂性是指这个问题本身的复杂程度,是问题固有的性质。 6.密码系统必须具备的三个安全规则。 机密性:加密系统在信息的传送中提供一个或一系列密钥来把信息通过密码运算译成密文,使信息不会被非预期的人员所读取,只有发送者和接收者应该知晓此信息的内容。 完整性:数据在传送过程中不应被破坏,收到的信宿数据与信源数据是一致的。 认证性:加密系统应该提供数字签名技术来使接收信息用户验证是谁发送的信息,确定信息是否被第三者篡改。只要密钥还未泄露或与别人共享,发送者就不能否认他发送的数据。 非否定(包含在认证性中):加密系统除了应该验证是谁发送的信息外,还要进一步验证收到的信息是否来自可信的源端,实际上是通过必要的认证确认信息发送者是否可信。 7.非对称加密。 加密和解密使用不同密钥就称为非对称、公开密钥、双密钥加密体制;两个密钥必需配对使用,分别称为公钥和私钥,组合在一起称为密钥对;公钥可以对外公布,私钥只有持有人知道;优点是密钥管理和分发安全,支持信息加密与数字签名;缺点是加密速度慢,不适合对大量信息加密。 8.对称加密。 加密和解密使用同一密钥就称为对称式加密。加密和解密使用的密钥称为对称密钥或秘密密钥;优点是加密和解密速度快,可对大量信息加密;缺点是密钥管理和分发不安全,至少有两人持有密钥,所以任何一方都不能完全确定对方手中的密钥是否已经透露给第三者。 9.数字签名。 数字签名是对原信息附上加密信息的过程,是一种身份认证技术,支持加密系统认证性和非否定;签名者对发布的原信息的内容负责,不可否认。 10.链路加密的缺点。 在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。 每条链路都需要加密/解密设备和密钥,加密成本较高。 11.什么是算法?算法通过哪几个变量度量? 算法是指完成一个问题的求解过程所采用的方法和计算步骤。 时间复杂度和空间复杂度 12.信息加密的基本概念,信息加密系统的组成。 信息加密:通过使用一种编码(加密算法)而使某些可读的信息(明文)变为不可读的信息(密文)。 信息加密系统的组成:明文、密文、加密解密设备或算法和加密解密的密钥。 13.网络信息加密中常用的方式是什么?简述工作原理。 链路加密和端点加密。 链路加密:在采用链路加密的网络中,每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。 相邻结点之间具有相同的密钥,因而密钥管理易于实现。链路加密对用户来说是透明的,因为加密的功能是由通信子网提供的。 端到端加密:是在源结点和目的结点中对传送的 PDU 进行加密和解密,报文的安全性不会因中间结点的不可靠而受到影响。在端到端加密的情况下,PDU 的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密,否则中间结点就不能正确选择路由。 14.描述DES加密标准和算法。

第三章 1.生物特征作为身份认证因素应满足的条件。 身份认证可利用的生物特征需要满足:普遍性、唯一性、可测量性和稳定性,当然,在应用过程中,还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。 2.访问控制的三个要素。 访问控制包括3个要素: ① 主体(subject):发出访问指令、存取要求的主动方,通常可以是用户或用户的某个进程等。 ② 客体(object):被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源。 ③ 访问控制策略(Attribution):一套规则,用以确定一个主体是否对客体拥有访问权力或控制关系的描述。 3.身份认证的目的。 确认用户身份(通过某种形式来判明和确认对方或双方的真实身份,确认身份后要根据身份设置对系统资源的访问权限,以实现不同身份用户合法访问信息资源。) 4.访问控制的目的。 访问控制通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证信息资源受控地、合法地使用。 5.动态口令的优缺点。 动态口令认证的优点: ① 无须定期修改口令,方便管理; ② 一次一口令,有效防止黑客一次性口令窃取就获得永久访问权; ③ 由于口令使用后即被废弃,可以有效防止身份认证中的重放攻击。 动态口令认证的缺点: ① 客户端和服务器的时间或次数若不能保持良好同步,可能发生合法用户无法登录; ② 口令是一长串较长的数字组合,一旦输错就得重新操作。 6.基于生物特征的身份认证的优点。 相比其他认证方法有下列优点: ① 非易失:生物特征基本不存在丢失、遗忘或被盗的问题。 ② 难伪造:用于身份认证的生物特征很难被伪造。 ③ 方便性:生物特征随身“携带”,随时随地可用。 7.身份认证面临的安全威胁。 欺骗标识 、篡改数据、拒绝承认、信息泄露、重放攻击 8.Kerberos的优点。 1.减少了服务器对身份信息管理和存储的开销和黑客入侵后的安全风险 2.支持双向认证,实现服务器对用户的身份认证,同样也可以实现用户方对服务器身份的反响的认证。 3.认证过程整个过程可以说是一个典型的挑战/响应方式,还应用了数字时间戳和临时的会话密钥Session Key(每次会话更新一次密钥),这些技术在防止重放攻击方面起到有效的作用。 4.如果Kerberos系统中只要求使用对称加密方式,二没有对具体算法和标准作限定,这种灵活性便于Kerberos协议的推广和应用。 9.自主访问控制(DAC)的基本思想。 基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。 10.基于角色的访问控制(RBAC)的基本思想。 基本思想是:与DAC和MAC思路不同, DAC和MAC访问控制直接将访问主体和客体相联系,而RBAC在中间加入了角色。授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。通过角色沟通主体与客体,真正决定访问权限的是用户对应的角色。

第四章 1.防火墙的作用,应将防火墙放在什么位置? 是网络安全的第一道防线,将涉及不同的信任级别(例如内部网、Internet或者网络划分)的两个网络通信时执行访问控制策略。它实际上是一种隔离技术,起到内部网与Internet之间的一道防御屏障。 防火墙放置在网络的边界。