信息安全考試

第一章一簡答題信息安全的目標是什么？P1答：信息安全的目標是保護信息的機密性、完整性、抗否認性和可用性。機密性:保證信息不被非授權訪問，即使非授權用戶得到信息也無法知曉信息內容，因而不能使用。完整性:維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應發(fā)生人為或非人為的非授權篡改?？狗裾J性:能保障用戶無法在爭后否認曾經對信息進行的生成、簽發(fā)、接收等行為，是針對通信各方信息真實同一性的安全要求。町用性:保障信息資源隨時可提供服務的特性。即授權用戶根據(jù)需要可以隨時訪問所需信息。簡述信息安全的學科體系。解：信息安全是一門交叉學科，涉及多方面的理論和應用知識。除了數(shù)學、通信、計算機等自然科學外，還涉及法律、心理學等社會科學。信息安全研究人致可以分為基礎理論研究、應用技術研究、安全管理研究等。信息安全研究包括密碼研究、安全理論研究；應用技術研究包括安全實現(xiàn)技術、安全平臺技術研究：安全管理研究包扌舌安全標準、安全策略、安全測評等。3?信息安全的理論、技術和應用是什么關系？如何體現(xiàn)？答：信息安全理論為信息安全技術和應用提供理論依據(jù)。信息安全技術是信息安全理論的體現(xiàn)，并為信息安全應用提供技術依據(jù)。信息安全應用是信息安全理論和技術的具體實踐。它們之間的關系通過安全平臺和安全管理來體現(xiàn)。安全理論的研究成果為建設安全平臺提供理論依據(jù)。安全技術的研究成果直接為平臺安全防護和檢測提供技術依據(jù)。平臺安全不僅涉及物理安全、網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全和邊界安全，還包括用戶行為的安全，安全管理包括安全標準、安全策略、安全測評等。這些管理措施作用于安全理論和技術的各個方面。第三章一-論述題論述DES加密過程.P26圖3.5&圖3.6結合第四章一-計算題RSAp51應用RSA算法對卜列情況進行加/解密，并比較計算結果：a)p=3,q=ll,d=7;M=5;解:n=pq=3*ll=33,(p(n)=(p~l)(q~l)=2*10=20由de=lmod(p(n),可得7e=lmod20V3*7=20+1Ae=3Me=53=26mod33,得到密文C=26Cd=267=5mod33,得到明文M二5b)p=5,q=ll,e=3:M=9解:n=pq=5*ll=55,(p(n)=(p~l)(q~l)=4*10=40由de=lmod(p(n),可得3d=lmod4073*27=4*20+1Ad=27Me=93=14mod55,得到密文C二14Cd二1427二張。455,得到明文M=9設截獲e二5,n二35的用戶密文C二10,求明文M.解：由n二35,可知pq二5*7二35,即p二5,q=7?'?<p(n)=(p-l)(q-1)=4*6=24由de=lmod(p(n),可得5d二lmod24V5*5=24+1???d二5Cd=105=5mod35,得到明文M二5

3?對于RSA算法，已知己二31,n二3599,求do解：Fhn=3599,可知pq二59*61二3599,即p二59,q二61/?<p(n)=(p-l)(q-1)=58*60=3480由de=lmod(p(n)>可得31d=lmod3480731*3031=27*3480+1Ad=3031ECC-橢曲線密碼ECC-橢曲線密碼p59習題4.6習題4.6對于橢圓曲線y二揖+x+6,考慮點G=(2,7),S知秘密密鑰n=7,計算:公開密鑰Pb;已知明文Pm二(10,9),并選擇隨機數(shù)k二3,確定密文気解:a)Pb=nG=7*(2,7)=(14,49)b)Cm=(kG,Pm+kPb)=(3*(2,7),((10,9)+3*(14,49)))=((6,21),(52,156))第五章論述J第五章論述J1.SHA~安全散列算法P65-68圖5.3第六章一-簡答題PKI的信任模型 p94P94習題6.6說明CA層次模型中信任建立過程。答：在這個層次模型中，根CA將它的權利授予給多個子CA,這些子CA再將它們的權利授給它們的子CA,這個過程直至某個CA實際頒發(fā)了某一證書。一個終端實體A可以如下檢驗另一個終端實體B的證書。假設B的證書由子CA3（公鑰K3）簽發(fā)，子CA3的證書由子CA2（公鑰K2）簽發(fā)，子CA2的證書由子CA1（公鑰為K1）簽發(fā)，子CA1的證書由根CA（公鑰為K）簽發(fā)，擁冇K的終端實體A可以利用K來驗證子CA1的公鑰K1,然后利用K1來驗證子CA2的公鑰K2,再利用K2來驗證子CA3的公鑰K3,最終利用K3來驗證B的證書。第七章——簡答題試述零知識證明的原理P99答：P是示證者，V表示驗證者，P試圖向V證明自己知道某信息。則使用某種有效的數(shù)學方法，使得V相信P掌握這一信息，卻不泄漏任何有用的信息，這種方法被稱為零知識證明問題。零知識證明可以分為兩人類：最小泄漏證明和零知識證明最小泄漏證明需要滿足：P幾乎不可能欺騙V：如果P知道證明，他可以使V以極人的概率相信他知道證明；如果P不知道證明，則他使得V相信他知道證明的概率幾乎為零。V幾乎不可能不知道證明的知識，特別是他不町能向別人重復證明的過程零知識證明除了要滿足以上兩個條件之外，還要滿足第三個條件：V無法從P那里得到任何有關證明的知識。在身份認證中如何對抗重放攻擊？在基于時間戳的認證中，當時鐘不同步時，如何實現(xiàn)身份欺騙？P100答：防止重放攻擊的常用方式有時間戳方式和提問/應答方式兩種。時間戳方式的基本思想是：A接受一個新消息當且僅當該消息包括一個時間戳，并且該時間戳在A看來是足夠接近A所知道的當前時間。提I'可/應答方式的基本思想是：A期望從B獲得一個新消息，首先發(fā)給B—個臨時值，并要求后續(xù)從B收到的消息中包扌舌這個臨時值或是由這個臨時值進行某種事先約定的計算后的正確結果。時間戳方式要求時鐘同步，如呆發(fā)送者得時鐘比接收者的時腫塊，攻擊者就叫?以從發(fā)送者處竊聽消息,并等待時間戳對接受者來說成為當前時刻時重放給接收者，這種重放將會得到意想不到的后果。這類攻擊稱為抑制重放攻擊。安全的口令應該滿足哪些原則？答：長度最少在8位以上，且必須同時包含字母、數(shù)字、特殊字符，II令必須定期更改，且最好記在心里,除此以外不要在任何地方做記錄；另外，如杲在口志審核中發(fā)現(xiàn)某個II令被連續(xù)嘗試，則必須立刻更改此II令。5.描述采用CHAP和RADIUS進行撥號接入的完整的身份認證流程CHAP的具體的認證過程是： P106鏈路建立完成后，認證者發(fā)給被認證者一個challenge,這個challenge具有唯一的標識符。被認證這一challenge作為一個單向Hash函數(shù)的輸入，計算出response,發(fā)回給認證者，消息中還包扌舌challenge的標識符。因為有可能認證這收不到response,所以response是町以重發(fā)的，同時為了說明這個response是哪個challenge的應答，其中要包含challenge的標識符。3）認證者比較收到的response和自己的計算結果是否相同，然后發(fā)送一個成功或者失敗的消息給被認證者。被認證者發(fā)送response之后如果一定時間以后仍舊收不到成功或者失敗的結呆，就會重發(fā)responseaRADIUS的流程如下：piosDRADIUS客戶機向RADIUS服務器發(fā)送Access-Request包，內容包括用戶名，加密II令，客戶機的地址和端II號，以及用戶想要啟動的會話類型；2）RADIUS服務器收到Access-Request包后，在數(shù)據(jù)庫中查詢是否由此用戶名的記錄。如果沒有，則加再一個默認的配置文件，或者返回一個Access-Reject消息，內容為拒絕訪問的原因。如呆數(shù)據(jù)庫有此用戶名并且II令正確，服務器返回一個Access-Request消息，內容包括用于該次會話的參數(shù)屬性。6.Kerberos認證協(xié)議實現(xiàn)身份認證的什么特點？如何實現(xiàn)有多個TGS組成的分布式認證？ P109答：特點（1）安全：網(wǎng)絡竊聽者不能獲得必要信息以假冒其他用戶。（2） 可靠：使用分布式服務器體系結構，能使一個系統(tǒng)備份另一個系統(tǒng)。（3） 透明：除了輸入II令以外用戶感覺不到認證的發(fā)生。（4） 可伸縮：系統(tǒng)能支持大數(shù)量的客戶機和服務器。多個TGS組成的分布式認證過程1） 票據(jù)許町票據(jù)的獲取P1102） 請求許町票據(jù)的獲取Pill3） 服務請求P112第八章簡答丿第八章簡答丿訪問控制機制有哪幾類？有何區(qū)別？答：訪問控制機制有三種分別為：自主訪問控制、強制訪問控制以及基于角色的訪問控制。自主訪問控制是一種常用的訪問控制也是三個中控制比較寬松的一個。它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主是指主體能夠自主地將訪問權或訪問權的某個子集授予其它主體。在這種訪問控制中，一個主體的訪問權限具有傳遞性。P115強制訪問控制具有更加強硬的控制手段，它為所用的主體和客體制定安全級別，不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。P118在基于角色的訪問控制中，用戶不是自始至終以同樣的注冊身份和權限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。 P120訪問控制表和訪問能力表有何區(qū)別？P116-117答：訪問控制表是基于訪問控制矩陣中列的自主訪問控制，它在一個客體上附加一個主體明晰表，來表示各個主體對這個客體的訪問權限。訪問能力表是基于行的自主訪問控制。訪問能力表不能實現(xiàn)完備的自主訪問控制，而訪問控制表是可以實現(xiàn)的。安全標記有什么作用？如何實現(xiàn)？答：安全級別由敏感標記來表示。敏感標記簡稱標記，是表示實體安全級別的一組信息，在安全機制中把敏感標記作為強制訪問控制決策的依據(jù)。當輸入未加安全級別的數(shù)據(jù)時，系統(tǒng)應該享受全用戶要求這些數(shù)據(jù)的安全級別，并對收到的安全級別進行審計?；诮巧脑L問控制是如何實現(xiàn)的？有什么優(yōu)點？ P121'答：實現(xiàn)：基于角色的訪問控制是通過定義角色的權限，為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制的。用戶先經認證后獲得一定角色，該角色被分配了一定的權限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機制檢查角色的權限，并決定是否允許訪問。優(yōu)點：①提供了三種授權管理的控制途徑：a） 改變客體的訪問權限；b） 改變角色的訪問權限；c） 改變主體所擔任的角色。系統(tǒng)中所有角色的關系結構町以是層次化的，便于管理。具有較好的提供最小權利的能力，從而提高了安全性。具有貴任分離的能力。第十章一-編程題P145voidsub(char*strl{charbuf[16];strc"(buf,str);//將str中的256個A覆蓋到buf(長度為16)屮，會溢出return;voidmain()***********voidmain()***********注釋不要抄，是方便你們理解白勺**********************charlarge_str「256];inti;for(i=0;i<255;i++)large_str[i]='A';//數(shù)組最終有256個Asub(large_str);//數(shù)組^large_str本身是一個指針地址1異常檢測，誤用檢測，特征檢測P1592.異常檢測和誤用檢測自何區(qū)別？答:進行異常檢測的前提是認為入位是界常活動的子集,I仃進行誤用檢測的前提是所有的入侵行為都有可被檢測的特征。異常檢測系統(tǒng)通過運行在系統(tǒng)或應用層的監(jiān)控程■序監(jiān)控用戶的行為，迪過將當前主休的活動情況和用戶相比較當用戶活動與正常行為有重大偏離時即被認為是入侵：誤用檢測系統(tǒng)提供攻擊的特征賦當監(jiān)控的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入佞。

第十二章簡答丿第十二章簡答丿靜包過濾防火墻，狀態(tài)檢測防火墻—J2.靜態(tài)包過濾防火墻和狀態(tài)檢測防火墻有何區(qū)別？如何實現(xiàn)狀態(tài)檢測？答；狀態(tài)檢測防火墻基于防火墻所維護的狀態(tài)表的內容轉發(fā)或拒絕數(shù)據(jù)包的傳送，比晉通的包過濾有著更好的網(wǎng)絡性能和安仝性。普迪包過濾防火墻便用的過濾規(guī)則集是前態(tài)的■而采用狀態(tài)檢測技術的防火墻在運行過程中一直維護著一脹狀態(tài)表，這張表記錄了從受保護網(wǎng)絡發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內容村返回受保護網(wǎng)絡的數(shù)據(jù)包進行分析判斷，這樣，只有響應受保護網(wǎng)絡請求的數(shù)摞包才彼對用戶來說，狀態(tài)檢測不但能提高網(wǎng)絡的性能，還能增強網(wǎng)絡的安仝性。狀態(tài)檢測防火端的優(yōu)點是什么？為什么？答；狀態(tài)檢測防火墻的優(yōu)點是減少了端口的開放時間，提供了村兒乎所有服務的支持°因為來用狀態(tài)檢測技術的防火墻在運行過程中一直維護著一張狀態(tài)表，這蚯表記錄了從受保護網(wǎng)絡發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內容對返回受保滬網(wǎng)絡的數(shù)據(jù)包進行分析判斷，這樣，只有響應受保護網(wǎng)絡請求的數(shù)據(jù)包才被放行.防火墻連接模式 P191雙宿連接和屛蔽子網(wǎng)連接各育何優(yōu)缺點？」答;雙宿主機網(wǎng)關是用一臺裝有陶塊網(wǎng)R的主機做防火墻。兩塊網(wǎng)R?各門與受保護網(wǎng)和外部網(wǎng)相連.主機上運行看防火墻軟件，可以轉發(fā)應用程序，提供服務等.軽上機的系統(tǒng)軟件可用于維護系統(tǒng)日志、碩件拷貝日志或遠程日志。這對于日后的檢査很有?用。但這不能幫助網(wǎng)絡管理龕確認內網(wǎng)中哪些主機可能已被黑客入侵c雙宿主機網(wǎng)關的一個致命弱點是；一H卩入便者侵入堡璧主機并便其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪甲內網(wǎng).部署屏蔽子網(wǎng)防火舞條統(tǒng)有如下兒個特別的好處：入侵者必須突破3個不同的設備1（夫法探測）才能氓襲內部網(wǎng)絡：外部略由器，堡壘主機，述旨內部路由器。包過謔路由黠直接將數(shù)據(jù)引向DMZ網(wǎng)絡上所指定的系統(tǒng)，消除了堡缸機雙宿的必要。第十三章-一簡答題1.IPSecESPp204AHp20-5[2.IPSec中ESP和All分別有什作用能否同時使用？'答，⑴ESP作為基于IPSec的一種協(xié)議，可用于確保IP數(shù)據(jù)包的機密性、完整性以及對數(shù)據(jù)源的身份驗證，也耍負責抵抗重播攻擊。AH也提供了數(shù)據(jù)完整性、數(shù)據(jù)源驗還及抗重播攻擊的能力，但不能以此保證數(shù)冊的機密性，它只有一個頭，咐非頭、尾旨有，AH內的所有字段都是一目了然的。⑵IPSec中ESP和Ail不能同時使用。2.SSLp2093.SSL協(xié)議的LI標是什么？答；SSL是由Netscape公司開發(fā)的一奩Internet數(shù)據(jù)安全協(xié)議，口前已廣泛適用于Web瀏覽黠與服務黠之間的身份認證和加密數(shù)據(jù)傳輸，它位于TCP/IP協(xié)議與昇種應用層協(xié)議之冋，為數(shù)據(jù)迪忙提供安全文持。簡述SSL協(xié)議建立安全連接的過程。答：分四個階段：一，建立安全能力，包括協(xié)議版木、會話I