自考信息安全概论习题及答案_资格考试-自考.pdf
《自考信息安全概论习题及答案_资格考试-自考.pdf》由会员分享,可在线阅读,更多相关《自考信息安全概论习题及答案_资格考试-自考.pdf(29页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 -.-zj资料-信息安全概论习题及答案 第 1 章 概论 1 谈谈你对信息的理解.答:信息是事物运动的状态和状态变化的方式。2 什么是信息技术?答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。也有人认为信息技术简单地说就是 3C:Computer CommunicationControl。3 信息安全的基本属性主要表现在哪几个方面?答:(1)完整性(Integrity)(2)性(Confidenti
2、ality)(3)可用性(Availability)(4)不可否认性(Non-repudiation)(5)可控性(Controllability)4 信息安全的威胁主要有哪些?答:(1)信息泄露 (2)破坏信息的完整性(3)拒绝服务 (4)非法使用(非授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制 (9)授权侵犯 -.-zj资料-(10)特洛伊木马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)人员不慎(16)媒体废弃(17)物理侵入 (18)窃取(19)业务欺骗等 5怎样实现信息安全?答:信息安全主要通过以下三个方面:A 信息安全技术:信息加密、数字签名、数据
3、完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是行为,自觉遵守法律而不进行活动。法律在保护信息安全中具有重要作用对于发生的行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。同时,通过法律的威慑力,还可以使攻击者产生
4、畏惧心理,达到惩一警百、遏制犯罪的效果。第 2 章 信息技术 1 为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同?术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制
5、公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-答:古典密码体制中,数据的基于加密算法的。现代密码体制中,数据的安全基于密钥而不是算法的。2 密码学发展分为哪几个阶段?各自的特点是什么?答:第一个阶段:从几千年前到 1949 年。古典加密 计算机技术出现之前 密码学作为一种技艺而不是一门科学 第二个阶段:从 1949 年到 1975 年。标志:Shannon发表“Communication Theory of Secrecy System”密码学进入了科学的轨道 主要技术:单密钥的对称
6、密钥加密算法 第三个阶段:1976 年以后 标 志:Diffie,Hellman发 表 了“New Directions of Cryptography”开创了公钥密码学的新纪元。3 按使用密钥数量,可将密码体制分为几类?若按照对明文信息的加密方式呢?答:对称密码体制(单钥密码体制)和非对称密码体制(公钥密码体制)。流密码和分组密码。4 设计分组密码的主要指导原则是什么?实现的手段主要是什么?答:a.为了保证密码的安全性,Shannon 提出的混乱原则和扩散原则。术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输
7、文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-b.针对实现的设计原则,分组密码可以用软件和硬件来实现。基于软件和硬件的不同性质,分组密码的设计原则可根据预
8、定的实现方法来考虑。软件实现的设计原则:使用子块和简单的运算。密码运算在子块上进行,要求子块的长度能自然地适应软件编程,比如 8、16、32 比特等。在软件实现中,按比特置换是难于实现的,因此我们应尽量避免使用它。子块上所进行的一些密码运算应该是一些易于软件实现的运算,最好是用一些标准处理器所具有的一些基本指令,比如加法、乘法和移位等。硬件实现的设计原则:加密和解密可用同样的器件来实现。尽量使用规则结构,因为密码应有一个标准的组件结构以便其能适应于用超大规模集成电路实现。另外,简单性原则,必要条件,可扩展性也是要考虑的。c.多数分组密码算法的思想采用了 Feistel 密码结构,用代替和置换的
9、手段实现混淆和扩散的功能。5 对分组密码的常见攻击有哪些?答:唯密文攻击,已知明文攻击,选择明文攻击,选择密文攻击。6 公钥密码体制出现有何重要意义?它与对称密码体制的异同有哪些?答:公钥密码体制是密码学研究的一个具有里程碑意思的重要事件。公钥密码系统在消息的传输过程中采用彼此不同的加密密钥与解密密钥,并且在考虑时间因素的情况下,由加密密钥推导出与之相对应的解密密钥不具有可实现性。至此,密码体制解脱了必须对密钥进行安全传输的束缚,使密码学的应用前景豁然开朗。与对称密码相比,术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换
10、显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-相同点:都能用于数据加密;都能通过硬件实现;不同点:对称密码体制加密密钥和解密密钥是相同的,而公钥
11、密码体制使用不同的加密密钥和解密密钥;公钥密码体制基于数学难题,而对称密码体制不是;公钥密码体制密钥分发简单。加密密钥可以做成密钥本公开,解密密钥由各用户自行掌握,而对称密码体制不可以;公钥体制的加密速度比较慢,而对称密码体制速度较快;公钥体制适应于网络的发展,能够满足不相识的用户之间进行通信的要求;公钥体制中每个用户秘密保存的密钥量减少。网络中每个用户只需要秘密保存自己的解密密钥,与其他用户通信所使用的加密密钥可以由密钥本得到;7 从计算安全的角度考虑,构建公钥密码体制的数学难题常见的有哪些?答:大整数分解问题 离散对数问题 椭圆曲线上离散对数问题 线性编码的解码问题 构造非线性弱可逆有限自
12、动机的弱逆问题 8 在 DES算法中,S-盒的作用是什么?术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件
13、和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-答:每个 S-盒将 6 位输入变成 4 位的输出。它是非线性的,决定了 DES算法的安全性。9 你认为 AES比 DES有哪些优点?答:(1)AES的密钥长度可以根据需要而增加,而 DES是不变的;(2)Rijndael加解密算法中,每轮常数的不同消除了密钥的对称性,密钥扩展的非线性消除了相同密钥的可能性;加解密使用不同的变换,消除了在 DES里出现的弱密钥和半弱密钥存在的可能性;总之,在 Rijndael 的加解密算法中,对密钥的选择没有任何限制。(3)依靠有限域/有限环的有关性质给加密解密提供了良好的理论基础
14、,使算法设计者可以既高强度地隐藏信息,又同时保证了算法可逆,又因为 Rijndael算法在一些关键常数(例如:在)(xm)的选择上非常巧妙,使得该算法可以在整数指令和逻辑指令的支持下高速完成加解密。(4)AES安全性比 DES要明显高。10.现实中存在绝对安全的密码体制吗?答:否。11.信息隐藏和数据加密的主要区别是什么?答:区别:目标不同:加密仅仅隐藏了信息的容;信息隐藏既隐藏了信息容,还掩盖了信息的存在。实现方式不同:加密依靠数学运算;而信息隐藏充分运用载体的冗余空间。应用场合不同:加密只关注加密容的安全,而信息隐藏还关注载体与隐藏信息的关系。术答笼统地说信息技术是能够延长或扩展人的信息能
15、力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-联系:理论上相互借用,
16、应用上互补。信息先加密,再隐藏 12.信息隐藏的方法主要有哪些?答:空间域算法与变换域算法。第三章 信息认证技术 1 简述什么是数字签名。答:数字签名就是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串,该字母数字串被成为该消息的消息鉴别码或消息摘要,这就是通过单向哈希函数实现的数字签名;在公钥体制签名的时候用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据,然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与用自己收到的原始数据产生的哈希摘要对照,便可确信原始信息是否被篡改,这样就保证了数据传输的不
17、可否认性。这是公钥签名技术。2 如果有多于两个人同时对数字摘要进行签名,就称为双签名。在安全电子交易协议(SET)中就使用到了这种签名。想一想,这有什么意义,对于我们的实际生活能有什么作用?答:在 SET协议中采用了双签名技术,支付信息和订单信息是分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。意义在于:由于在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免在交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和
18、传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-同时又不能影响商家和银行对持卡人所发信息的合理的验证,只有当商家同意持卡人的购买请求后,才会让银行给商家
19、负费,SET协议采用双重签名来解决这一问题。3 本章讲了几种身份识别技术,你能从实际生活中找到他们的具体实现的对照吗?能不能想到更新更好的例子。答案 略。4 杂凑函数可能受到哪几种攻击?你认为其中最为重要的是哪一种?答:穷举攻击、生日攻击和中途相遇攻击。5 你能设计一种结合多种身份认证方式的双要素认证吗?对于理论环节给出具体算法。答案略。6 结合本书最后的 Kerberos部分,请用 Linux 系统实现,并在同学间展开讨论,讨论这三种系统:Windows、Unix 和 Linux 间实现的具体区别。答案 略。7 设想一下,如果你为学院设计了一个,出于安全与使用的角度,能使用本章中哪些安全原理
20、。答:(1)用数字签名解决否认、伪造、篡改及冒充等问题,(2)利用基于密码技术的电子 ID身份识别技术:使用通行字的方式和持证的方式。(3)在安全性要求较高的系统中,有口令或持证已经不能提供安全的保障了,可利用个人的生理特征来实现。这种身份识别技术主要有:手写签名识别技术、指纹识别技术、语音识别技术、视网膜图样识别技术、虹膜图样识别技术和脸型识别。术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄
21、露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-第四章 密钥管理技术 1 为什么要引进密钥管理技术?答:(1)理论因素 通信双方在进行通信时,必须要解决两个问题:a.必须经常更新或改变密钥;b.如何能安全地更新或是改变密钥。(2)人为因素 破解好的密文非常的困难,困难到即便
22、是专业的密码分析员有时候也束手无策,但由于人员不慎可能造成密钥泄露、丢失等,人为的情况往往比加密系统的设计者所能够想象的还要复杂的多,所以需要有一个专门的机构和系统防止上述情形的发生。(3)技术因素 a.用户产生的密钥有可能是脆弱的;b.密钥是安全的,但是密钥保护有可能是失败的。2 密钥管理系统涉及到密钥管理的哪些方面?答:密钥分配,密钥注入,密钥存储,密钥更换和密钥吊销。3 什么是密钥托管?答:密钥托管是指用户在向 CA申请数据加密证书之前,必须把自己的密钥分成t 份交给可信赖的 t 个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这 t 个人存储的密钥合在一
23、起才能得到用户的完整密钥。第 5 章 访问控制技术 术答笼统地说信息技术是能够延长或扩展人的信息能力的手段和方法本书中信息技术是指在计算机和通信技术支持下用以获取加工存储变换显示和传输文字数值图像视频音频以及语音信息并且包括提供设备和信息服务两大方面的方不可否认性可控性信息安全的威胁主要有哪些答信息泄露非法使用析破坏信息非授权访问假冒的完整性窃听旁路控制拒绝服务业务流分授权侵犯资料特洛伊木计算机病窃取马毒业务欺骗陷阱门人员不慎等抵赖媒体废弃重放物理侵入制安全数据库网络控制技术反病毒技术安全审计业务填充路由控制机制公证机制等信息安全管理安全管理是信息安全中具有能动性的组成部分大多数安全事件和安全
24、隐患的发生并非完全是技术上的原因而往往是由于管理不善而造成 -.-zj资料-1.什么是访问控制?访问控制包括哪几个要素?访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即:主体、客体和控制策略。主体:是可以对其它实体施加动作的主动实体,简记为 S。客体:是接受其他实体访问的被动实体,简记为 O。控制策略:是主体对客体的操作行为集和约束条件集,简记为 KS。2.什么是自主访问控制?什么是强制访问控制?这两种访问控制有什么区别?说说看,你会在什么情况下选择强制访问控制。自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户
25、组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。强制访问控制模型是一种多级访问控制策略,它的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。区别:自主访问控制模型中,用户和客体资源都被赋予一定的安全级别,用户不能改变自身和客体的安全级别,只有管理员才能够确定用户和组的访问权限;强制访问控制模型中系统事先给访问主体和受控对象分配不同的安全级别属性,通过分级的安全标签实现了
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 自考 信息 安全 概论 习题 答案 资格考试
限制150内