信息安全原理与技术

《信息安全原理与技术》由会员分享，可在线阅读，更多相关《信息安全原理与技术（24页珍藏版）》请在装配图网上搜索。

1、第一章1, 什么是计算机/信息系统安全？计算机安全是指为信息处理系统建立和采取的技术的和管理的 安全保护措施，保护系统中硬件、软件及数据，不因偶然或恶意 的原因而遭受破坏、更改或泄漏2, 信息系统的安全目标是什么？安全目标(Security Goal)是指能够满足一个组织或者个人的所 有安全需求，通常包括保密性、完整性和可用性3, 信息系统所面临的主要威胁有哪些？(1) 信息通信过程中的威胁(2) 信息存储过程中的威胁(3) 信息加工处理中的威胁4, 主动攻击和被动攻击的区别是什么？ 被动攻击：非法的截获传输信道上的信息，破坏信息的保密性。 主动攻击：伪造或篡改传输信道上的信息，破坏信息的真实

2、性、 完整性和可用性。5, 信息系统常见的攻击有哪些？ 信息泄漏，流量分析，篡改，伪装，重放，拒绝服务，病毒6, 结合信息系统安全模型说明信息系统安全的内容是什么？7654321数据信息安全软件系统安全措施通信网络安全措施硬件系统安全措施物理实体安全环境管理细则、保护措施法律规范道德纪律: 安全技术、 安全管理 安全法规 丿信息系统安信息系统安全的内容是 安全技术，安全管理和安全法规7, 信息安全保密的研究内容是什么？1. 数据加解密算法2. 密码分析3. 密码管理 4. 计算机系统安 全（1）操作系统安全（2）数据库系统安全（3）网络安全（4） 病毒防治8, 在 OSI 安全体系结构中，定义

3、了哪 5 个标准安全服务和哪 8 个安全机制？ 标准安全服务：（1）认证服务（2）访问控制服务（3）数据保密 性服务（4）数据完整性服务（5）不可否认性服务 安全机制：加密，数字签名，访问控制，数据完整，认证交换， 流量填充，路由控制，公证仲裁9, 安全服务和安全机制的关系是怎样的？ 安全服务是加强数据处理系统和信息传输的安全性的一种服务。 安全机制是安全服务的基础，安全服务将利用一种或多种安全机 制阻止安全攻击，保证系统或者数据传输有足够的安全性。一种 安全服务可以通过某种单独的安全机制提供，也可以通过多种安 全机制联合提供。一种安全机制可用于提供一种或多种安全服 务。第二章1, 求出gcd

4、20785, 44350,并给出其线性组合的表示。 gcd20785， 4435044350=2*20785+2780 150=5825+525=5*5+5gcd20785, 44350=55=130-5*25800*44350-1707*20785gcd20785 ,44350=800*44350-1707*20785u=800 v=-17072, 试用中国剩余定理求解同余方程组：x 三1(mod2)x 三2(mod3)x 三3(mod5)x 三5(mod7)b1=1 b2=2 b3=3 b4=5m1=2 m2=3 m3=5 m4=7M= m1*m2*m3*m4=210M1=105，M2=7

5、0，M3=42，M4=30105M1三 1(mod2)- (1)70M2三 2(mod3)- (2)42M3三 3(mod5)- (3)30M4三 5(mod7)- (4)由(1)(2)得M1=1M2=142=8*5+25=2*2+11=5-2*2=5-2*( 42-8*5) =-2*42+17*51 -2*42( mod5)3*42 = 1 (mog5)得 M3=3同理得 M4=4x = (1*105*1+2*70*1+3*42*3+5*30*4)mod210= 1223mod210x = 173mod2101,简述 shannon 模型。在发送方，对明文空间M的每个明文，加密算法E在加密密

6、钥 K的控制下生成对应的密文C,经公开传输信道传送给接收方;在接收方，解密算法D在解密密钥K的控制下，将收到的密文 C变换成明文M。模型中加密密钥和解密密钥相同，发送方需 要通过安全通道，将密钥发送给接收方。对明文M用密钥K,使用加密算法E进行加密常常表示 为Ek(M),同样用密钥K使用解密算法D对密文C进行解密表 示为Dk(C),有：C=Ek(M)M = Dk(C)=Dk(Ek(M)由于Ek和Dk是依赖于密钥K的一对可逆的数学变换，因此M = M从而完成保密通信。2,什么是序列密码和分组密码？ 序列密码是逐个字符加密，线性移位寄存器而分组加密是按字符块加密。对固定长度的一组明文进行加密的 算

7、法先将明文分成固定长度的比特块，然后分别对每个比特块加密产生相应的密文块。解密时，对密文块进行解密得到相应的明文比 特块，将所有明文比特块合并起来即得到明文。3, 分组密码DES由哪几部分组成？DES 结构包括四部分：（1）对64位明文进行初始置换 IP；（2）对IP的结果进行16轮乘积变换；（3）对16轮乘积变换的结果进行逆初始置换IP-1，得到64位密文；（ 4） DES 子密钥的产生。4, DES中f函数是如何计算的？首先将32比特的Ri-1按照表扩展为48位然后与48位子密钥Ki进行异或运算，得到一个48位的比特串。再将该48比特分成8组,每组6比特，分别输入到8个Si盒（即S1、S2

8、、S3、S4、S5、S6、S7、S8）。每个 Si 盒是一个 4 行（0、1、 2、 3） 16列（0、 1、 2、 、 15）的表，表中的每一项都是4 比特的数，每个Si盒的输入为6位：b1b2b3b4b5b6 其中b1b6确定Si表的行，b2b3b4b5确定Si表的列，行列交叉处的十进制数转换为4 位二进制数，即为 Si 盒的 4位输出于是 8 个 Si 盒共输出 32位，再经过表的置换 P 后，形成函数f(Ri-1, Ki)的32比特输出5,DES 中的子密钥 K1-K16 是如何产生的？DES是用56位密钥加密64位明文，输出64位密文的算法。密 钥长度为 64 位，其中第 8、16、

9、24、32、40、48、56、64 位共8 位是奇偶校验位，在算法中不起作用，有效密钥长度为56位。56 位密钥经过置换选择 1，循环左移、置换选择 2等变换，产生16 个 48位的子密钥，分别用于 16轮乘积变换56 位密钥经过表 3-6 的置换后，生成 C0(28 位，前 4 行)和D0(28 位，后 4行)，将CO (28位)和D0(28位)各循环左移1位，得到C1和D1。 然后将 C1 和 D1 合并为 56 位，经过表的置换，生成 48 位的子 密钥K1。每轮Ci-1和Di-1按照表循环左移1位或者2位，Ci-1 和Di-1循环左移后变为Ci和Di，将Ci和Di合在一起的56位, 经

10、过置换选择2,从中选出48位作为这一轮的子密钥Ki,如图3-15 所示。如此继续，产生所有 16个子密钥第四章1,计算RSA的公钥和私钥：选择素数p=101和q=113,选取e=3533N=p*q=1O1*113=11413(N)=(p-1)(q-1)=1OO*112=112OOe=3533de 三 1mod112003533d 三 1mod1120011200=3*3533+6013533=5*601+528601=1*528+73528=7*73+1773=4*17+517=3*5+25=2*2+11=5-2*2=5-2*(17-3*5)=7*5-2*17=7*(73-4*17)-2*17

11、=7*73-30*17=7*73-30*(528-7*73)=217*73-30*528=217*(601-528)-30*528=217*601-247*528=217*601-247*(3533-5*601)=1452*601-247*3533=1452*(11200-3*3533)-247*3533=1452*11200-4603*3533两边同时对模 11200进行求余运算得:-4603*3533三 1 mod 1120011200*3533-4603*3533三 1mod11200d=6597公开公钥 3533,11413，保存私钥 6597，101,113 2,分别说明RSA体制、

12、背包体制和ELGamal体制的安全依据是 什么？RSA体制的安全依据:求两个大素数的乘积是容易的，但分解两 个大素数的乘积，求出其素因子则是困难的背包体制的安全依据：由于C=为mT(e)是个普通背包问题，ii由公开信息c和T(ei)求出 明文是难解问题，所以破译是困难的。而解密时，是按超递增序 列(el, e2,，en)从c中还原mi,即由私钥ei和c求解超递增背包问题c三 为m e (mod N)，这是个易解问题，因此解密容ii易进行的。ELGamal体制的安全依据:离散对数问题：设x, r, n是整数。已知x, r和n,可以很容 易求出y,使得y = x r (mod n)反之，如果已知y

13、, x和n,求r,这就是离散对数问题，属NP完全类问题，是难解的 3,数字签名需要满足哪些条件？(1) 任何人不能伪造签名人的签名；(2) 任何人都可以证实签名人对信息的签名；(3) 签名人不能否认自己的签名。当通信双方为此发生争执时， 可由第三方仲裁解决。4, 利用公钥密码体制进行数字签名的过程是怎样的？设 sender 向 receiver 发送消息 message，(1) sender 计算：c=D(message)对 message 签名。D 是解密变 换，所使用密钥为sender私有，任何其他人都不知道sender的 私钥，因此不能伪造sender的签名；(2) receiver通过

14、检查E(c)是否恢复可为message来验证sender 的签名。E是加密变换，是D的逆变换，使用的是sender的公 钥，因此任何人都可以证实sender对message的签名。( 3)如果 sender 和 receiver 之间发生争执，仲裁者可以使用( 2) 的方法鉴定sender的签名。Sender无法抵赖否认自己的签名。第五章1 简述安全操作系统设计的基本原则。(1) 最小特权，每个用户和程序使用尽可能少的特权，以使有 意或无意的攻击所造成的损失达到最低程度；（2）经济性，设计的操作系统应尽可能地小和简单，以便于验 证和正确执行。目前操作系统不能保证安全的主要原因是它的规 模太大，

15、以至于超出了理解的范围，并且使操作系统永远存在尚 未纠正的错误的原因。（3）开放设计，保护机制应当是公开的，经受住广泛的公开审 查。（4）完备的存取控制机制，对每个存取访问，系统都必须进行 检查控制。（5）基于“允许”，标示的资源应该是“允许存取”的，而未标示 的资源是“不允许存取”的。缺省条件是“不允许存取”的。（6）权限分离。理想情况下，对实体的存取应该依赖多个条件， 如用户身份鉴别加上密钥。（7）避免信息流的潜在通道，可共享实体提供了信息流的潜在 通道。系统设计时应采取物理或逻辑分离的方法，防止这种潜在 通道。（8）方便使用，存取控制机制方便使用。如不影响遵守规则的 用户；便于用户授权存

16、取；便于用户约束存取 。2在操作系统的安全服务中，简述访问控制的实现方法和访问控 制策略。访问控制常用的实现方法主要有（1）访问控制表：一个对象有一个表，用来指出主体对对象的访问权限。还可以将有相同权限的用户分组，并授予组的访问权。（2）访问控制矩阵：用一个矩阵的形式表示访问控制，行表示 主体，列表示客体，行列交叉点表示某个主体对某个客体的访问 权限。（3）授权关系表：用每一行（或称为一个元组）表示主体和客 体的一个权限关系，授权关系表可以实现最小化权限原则及复杂 的安全策略。计算机系统常采用以下两种策略（1）自主访问控制：允许某个主体显式地指定其它主体对该 主体所拥有的信息资源是否可以访问以

17、及可执行的访 问类型。（2）强制访问控制：用户或用户的程序不能加以修改。如果 系统认为某用户不适合访问某个文件，那么任何人（包 括文件所有者）都无法使该用户具有访问该文件的权 利。3Windows NT/2000的安全模型由哪几部分组成？Windows NT/2000的安全模型主要由登录过程、本地安全认证、安全账号管理器和安全参考监督器构成4简述NTFS文件系统的安全性。对文件和目录进行加密。 对文件和目录的权限设置 文件内容的加密5 数据库系统的基本安全性要求主要有哪些 ?数据库系统的基本安全性要求主要是访问控制（保密性）、完整 性、用户认证和可用性6数据库的数据保护主要包括哪些内容？1）、

18、数据库的安全性（1）用户标识和鉴定（2）存取控制（3）数据库加密2）、数据库中数据的完整性1）数据类型与值域的约束（字符型、整型、实型 ）；2）关键字约束（主关键字、外关键字）；3）数据联系的约束（静态约束与动态约束，如年龄更新旧值不能大于新值）。3）、数据库并发控制4）、数据库的恢复（1）单纯以备份为基础的恢复技术2）以备份和日志为基础的恢复技术。7SQL Server的安全管理主要包括哪些内容？安全管理是数据库管理系统必须提供的功能，其中包含两个层 次：SQL Server 的安全管理主要包括以下四个方面：数据库登录管理数据库用户管理数据库角色管理数据库权限管理第六章1 网络通信中的一般加

19、密方式是什么？各有什么特点？1）链路加密 ：（1）链路加密对用户是透明的，即加密/解密 操作由网络自动进行，用户无需干预（。2）每条链路上加 密独立，使用不同的加密密钥。因此一条链路出现问题不 会波及其它链路上的信息安全（。3）所有链路上的消息均 以密文形式出现，攻击者无法获取消息的结构、消息的源 点与终点等信息，防止对通信业务进行分析，此即信号流 安全机制。（4）在网络节点中，消息以明文形式存在，因 此对各节点的安全性要求较高。2）端到端加密 ：（1）数据在发送端进行加密，在到达接收端 时进行解密，数据在中间结点和线路上为密文形式，整个 传输过程中均受到保护；（2）端到端加密方式只加密数据信

20、息本身，不加密路径控制信息，容易泄露通信双方的身 份；（3）密钥管理机制较复杂。2 简述 DH 密钥管理方法。选择大素数q和1a vq,且a是0、1、2、q-1中与q互 素的数，将q和a公开。通信双方为A和B, DH方法的思想如 下：（1）A和B分别选择任意的数Xa和Xb作为各自的秘密信 息,然后计算各自的公开信息。A 计算 Ya：Ya三 a Xa （mod q）B 计算 Yb： Yb=a Xb （mod q）（2） A和B相互向对方发送自己的公开信息Yi、Yb,以便计 算共有密钥。A 计算 Kab：Kab= YbXa （mod q）三 a XaXb（mod q）B 计算 Kba：Kba 三

21、YaXb （mod q）三 a XaXb（mod q）采用DH密钥管理方法，A （或B）根据各自的秘密信息Xa （或 Xb）,计算自己的公开信息Ya （或Yb）。之后把自己的公开信 息Ya （或Yb）传送给对方，再计算共有密钥Kab （或Kba） 这一过程需要在密文数据传输之前进行。3 简述基于公开密钥加密体制的密钥管理方法。基于公钥加密体制的密钥管理方法需要的密钥为两个，受信者B 的私钥和公钥分别为Kh、Kq,其中私钥Kh只有受信者拥有， 公钥Kq是公开的明文4简述基于KPS方式的密钥管理方法。1、基本原理给出系统参加者的公开认证子ID，由系统中心准备随机构成秘 密数据 G。计算通信双方A、

22、B的秘密算法把发送方的认证子定义为IDa，计算Xa=G IDa，Xa称为A的秘密算法；把接收方的认证子定义为IDb,计算Xb=GIDb, Xb称为B的 秘密算法。A、B双方通信时，获得对方的认证子，并用对方的认证子及 自己的秘密算法计算共有密钥。A 计算共有密钥 Kab：Kab=Xa*IDb=(GIDa) IDb =IDa G IDbB 计算共有密钥 Kba：Kba=XbIDa=(GIDb) IDa =IDa G IDb其中Kab= Kba，A和B具有共同的共有密钥。2、线性模式(1)在KPS管理中心选用单向函数h，将用户的文字信息变成n比特的数据。对应单 向函数h定义单向函数g将比特数据变成

23、文字信息。定义密 钥长度为 k 比特。 准备随机的k个nXn行列式 A和B进行加密通信 计算A和B的秘密算法 分别将抗干扰模型发给A和B( 2) A 和 B 通信双方计算共有密钥 把B的认证子输入给单向函数h,得IDb=h(B)=0 0 1 1； 将IDb和A的秘密算法做乘积运算，加法运算使用异或原理共有密钥 Kab借助于单向函数g将比特信息Kab变换成文字信息（3）A 和 B 通信双方，分别利用 Kab 和 Kba 对会话钥进行加 密和解密。5简述防火墙技术的分类。防火墙技术一般分为包过滤（Packet Filter）技术和代理服务（Proxy Service）技术6 有哪几种防火墙体系结构

24、？各有什么特点？包过滤防火墙，又称网络级防火墙，它采用包过滤技术，由包过 滤路由器构成。过滤路由器在符合 TCP/IP 协议的前提下，对数 据包的包头进行审查，依据所制定的过滤规则，予以或不予以通 过。这是一种较低档的防火墙，它无法识别相同 IP 地址的不同 用户，安全性较低。双穴主机防火墙采用代理服务技术，使用双宿主主机（又称双穴 主机网关）取代路由器执行安全控制功能，即用双宿主主机作为 防火墙。双宿主主机防火墙的最大特点是，两个网络之间的通信 需要通过应用层代理服务来完成，而不能直接通信。因此这种结 构的防火墙安全性较好，但防火墙本身（双宿主主机）的安全性 至关重要。屏蔽主机防火墙采用包过

25、滤技术和代理服务技术，它由包 过滤路由器和应用网关构成，所有的外部主机只与一个堡垒主机 相连接，而不与内部主机直接相连。屏蔽主机防火墙易于实现， 也最为安全。但如果攻击者设法登录到堡垒主机，则整个内部网 络都将面临巨大威胁。屏蔽子网防火墙使用了两个包过滤路由器和一个堡垒主机进行 安全控制，被保护的内部网置于内部包过滤路由器内侧，堡垒主 机和信息服务器置于内部和外部两个包过滤路由器之间。屏蔽子 网防火墙系统配置复杂，但提供了最高级别的网络安全保护。7 简述包过滤防火墙的工作原理。 包过滤防火墙，又称网络级防火墙，它采用包过滤技术，由包过 滤路由器构成，如图6-6所示。过滤路由器在符合TCP/IP

26、协议 的前提下，对数据包的包头进行审查，依据所制定的过滤规则， 予以或不予以通过。8 简述屏蔽主机防火墙的工作原理。 屏蔽主机防火墙采用包过滤技术和代理服务技术，它由包过滤路 由器和应用网关构成，所有的外部主机只与一个堡垒主机相连 接，而不与内部主机直接相连。由于应用网关在物理上，表现为 一个桥头堡主机，又称为堡垒主机。所有进出的数据都要经过包过滤路由器和堡垒主机，实现了网络层和应用层的安全。屏蔽主 机防火墙易于实现，也最为安全。第七章1，什么是计算机病毒？计算机病毒的主要特征有哪些？计算机病毒是指编制或者在计算机程序中插入的破坏计算机功 能或者毁坏数据，影响计算机使用，并且能够自我复制的一组

27、计 算机指令或者程序代码。特征：（1）程序性（2）传染性（3）隐蔽性 （4）潜伏性（5） 激活性（6）破坏性2，简述计算机病毒的结构。计算机病毒的结构：（1）引导模块（2）传染模块（3）破坏模块3，简述计算机病毒的运行流程。J计算机病毒寄生于宿主14引加载计算机宿主导；1%1借宿主的运行进入系统亠1J1寻找传染对象传N*染:111埠进行传染14，硬盘的启动过程是怎样的？分哪几个阶段？硬盘启动DOS的过程大致分三个阶段：（1）开机加电，由硬件重设CPU的各寄存器，并从F000： 0000 处开始执行BIOS程序。（F000段是BIOS （基本输入瀚出系统） 部分，是出厂时由厂家固化在ROM中的一

28、组小程序，这些程序 以中断号来调用），进行各项BIOS的初始化和检测工作。之后 由BIOS得中断INT 13H,从硬盘读入第0磁道0磁头1扇区的 主引导区内容到0000： 7C00H的内存中，随后转入第二阶段；（2）程序指针转向0000： 7C00H，执行从硬盘读入的主引导程 序。这段程序执行后，从硬盘的 1磁道 0磁头 1 扇区中将硬盘 DOS分区的引导程序读入到0000： 7C00H的内存中，随后转入 第三阶段；（3）程序指针转向0000： 7C00H，执行从硬盘读入的DOS分 区引导程序，连续加载IO.SYS和MSDOSSYS两个系统文件， 并启动COMMAND程序，完成DOS系统的加载。 5，主引导型病毒在哪个阶段被加载？在哪个阶段获得系统控制 权？ 主引导区病毒第一阶段被载入，并在第二阶段获得系统控制权。6， BOOT 病毒在哪个阶段被加载？在哪个阶段获得系统控制 权？引导区病毒在第二阶段被载入，并于第三阶段获得系统控制权。7，大麻病毒的加载过程是怎样的？病毒将自身重新定位，并驻留内存和修改中断向量病毒将自身重新定位，并驻留内存和修改中断向量