信息安全技术参考资料重庆大学网络教育.docx

《信息安全技术参考资料重庆大学网络教育.docx》由会员分享，可在线阅读，更多相关《信息安全技术参考资料重庆大学网络教育.docx（20页珍藏版）》请在装配图网上搜索。

1、信息安全技术参考资料一、填空题（本大题共0分，共40小题，每小题0分）1. 如果加密密钥和解密密钥相同，这种密码体制称为1. 参考答案：对称密码体制2. 身份认证方式：主要有和两种。2. 参考答案：通行字方式，持证方式3. DES算法密钥是64位，其中密钥有效位是位。3. 参考答案：564. _指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。4. 参考答案：访问控制5. 蠕虫是通过进行传播的。5. 参考答案：网络6. 解密算法是的逆运算。6. 参考答案：加密算法7. 当攻击者掌握一些主机的IP地址后，下一步就是要找出目标网段的或者子网掩码。7. 参考答案：地址范围8.

2、漏洞是指由于字符串处理函数（gets, strcpy等）没有对数组的越界加以监视限制，结果覆盖了老的堆栈数据，从而产生异常错误的漏洞。8. 参考答案：缓冲区溢出9. 是主体对客体的操作行为集和约束条件集，简记为KSo9. 参考答案：控制策略10. 密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。密钥生成形式有两种：一种是由生成，另一种是由生成。10. 参考答案：中心集中，个人分散11. 一个公钥信息隐藏系统的安全性完全取决于所选用的的安全性。11. 参考答案：公钥密码体制12. 根据使用密码体制的不同可将数字签名分为基于对称密码体制的数字签名和基于公钥密码体制的数字签名，

3、根据其实现目的的不同，一般又可将其分为和。12. 参考答案：直接数字签名可仲裁数字签名13. RBAC中的基本元素包括：用户、和权限。13. 参考答案：角色14. 是PKI的核心，是信任基础，它管理公钥的整个生命周期，其作用包括发放证书，规定证书的有效期和通过发布证书作废列表（CRL）确保必要时可以作废证书。14. 参考答案：CA15. 就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称一一用 户标识符。15. 参考答案：标识16. 是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进 行的攻击。16. 参考答案：网络攻击17. 是AES加密算法的逆变换。1

4、7. 参考答案：AES解密算法18. 古典密码包括代替密码和置换密码两种，对称密码体制和非对称密码体制都属于现代密码体制。传统的密码系统主要存在两个缺点：一是 ;二是 o在实际C. 事件数据库D. 响应单元ABCDE5.安全评估过程中，经常采用的评估方法包括（）。A. 调查问卷B. 人员访谈C. 工具检测D. 手工审核E. 渗透性测试BCD6.下面是事务的特性的是（）。A. 完整性B. 原子性C. 一致性D. 隔离性ABC7. Windows系统中的审计日志包括（）。A. 系统日志（Systemlog）B. 安全Fl志（Securitylog）C. 应用程序日志（Applicationslog

5、）D. 活动日志E. 仿真日志BC8.根据采用的技术，入侵检测系统有以下分类（）。A. 正常检测B. 异常检测C. 特征检测D. 固定检测E. 重点检测ABCD9,下面关于防火墙的维护和策略制定说法正确的是（）。A. 所有防火墙管理功能应该发生在使用了强认证和加密的安全链路上B. Web界面可以通过SSL加密用户和密码。非Web的图形界面如果既没有内部加密，也 没有SSL,可以使用隧道解决方案，如SSHC. 对防火墙策略进行验证的最简单的方法是，获得防火墙配置的拷贝，然后把这些拷贝和 根据己定义的策略产生的期望配置进行比较D. 对防火墙策略进行验证的另一种方式通过使用软件对防火墙配置进行实际测

6、试E. 防火墙可以防止一切入侵情况的发生。ABCD10.为了正确获得口令并对其进行妥善保护，应认真考虑的原则和方法有（）。A. 口令/帐号加密B. 定期更换口令C. 限制对口令文件的访问D. 设置复杂的、具有一定位数的口令BCD11. UNIX/Linux系统中的Apcache服务器的主要安全缺陷表现在攻击者可以（）A. 获取字符串的长度B. 利用HTTP协议进行的拒绝服务攻击C. 发动缓冲区溢出攻击D. 获得root权限ADE12.互联网信息服务管理办法规定，互联网信息服务提供者不得制作、复制、发布、 传播的信息内容有（）。A. 损害国家荣誉和利益的信息B. 个人通信地址C. 个人文学作品D

7、. 散布淫秽、色情信息E. 侮辱或者诽谤他人，侵害他人合法权益的信息ABD13.计算机信息系统安全的三个相辅相成、互补互通的有机组成部分是（）。A. 安全策略B. 安全法规C. 安全技木D. 安全管理ABCDE14.基于角色对用户组进行访问控制的方式有以下作用（）。A. 使用户分类化B. 用户的可管理性得到加强C. 简化了权限管理，避免直接在用户和数据之间进行授权和取消D. 有利于合理划分职责E. 防止权力滥用ABCDE15.数据库故障可能有（）。A. 磁盘故障B. 事务内部的故障C. 系统故障D. 介质故障E. 计算机病毒或恶意攻击ABCD16.信息系统常见的危险有（）。A. 软硬件设计故障

8、导致网络瘫痪B. 黑客入侵C. 敏感信息泄露D. 信息删除E. 电子邮件发送AC17.经典密码学主要包括两个既对立又统一的分支，即（）。A. 密码编码学B. 密钥密码学C. 密码分析学D. 序列密码E. 古典密码ADE18.在局域网中计算机病毒的防范策略有（）。A. 仅保护工作站B. 保护通信系统C. 保护打印机D. 仅保护服务器E. 完全保护工作站和服务器ABD19.典型的数据备份策略包括（）。A. 完全备份B. 增量备份C. 选择性备份D. 差异备份E. 手工备份ABD20.在网络中身份认证时可以采用的鉴别方法有（）oA. 采用用户本身特征进行鉴别B. 采用用户所知道的事进行鉴别C. 采用

9、第三方介绍方法进行鉴别D. 使用用户拥有的物品进行鉴别E. 使用第三方拥有的物品进行鉴别BCDE21.根据BS 7799的规定，信息安全管理体系ISMS的建立和维护，也要按照PDCA 的管理模型周期性进行，主要包含（）环节。A. 策略 PolicyB. 建立PlanC. 实施DoD. 检查 CheckE. 维护改进ActABCDE22. PKI提供的核心服务包括（）。A. 认证B. 完整性C. 密钥管理D. 简单机密性E. 非否认ABD23.身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述正确的是（）。A. 身份鉴别是授权控制的基础B. 目前一般采用基于对称密钥加密或公开密钥加密的方法C.

10、 身份鉴别一般不用提供双向的认证D. 数字签名机制是实现身份鉴别的重要机制ABCDE24. PKI系统的基本组件包括（）。A. 终端实体B. 认证机构C. 注册机构D. 证书撤销列表发布者E. 证书资料库ABCDE25. SQL Server中的预定义服务器角色有（）。A. sysadminB. serveradminC. setupadminD. securityadminE. processadminABC26.下面是SQLServer支持的身份认证方式的是（）。A. Windows NT集成认l正B. SQL Server 认证C. SQL Server混合认证D. 生物认证E. 数据库

11、认证ABD27.蜜罐技木的主要优点有（）oA. 收集数据的真实性，蜜罐不提供任何实际的业务服务，所以搜集到的信息很大可能性都 是由于黑客攻击造成的，漏报率和误报率比较低B. 可以收集新的攻击工具和攻击方法，不像目前的大部分防火墙和入侵检测系统只能根据 特征匹配方法来检测已知的攻击C. 可以检查进出的数据包，通过自身复制传递数据，防止在受信主机与非受信主机间直接 建立联系。D. 不需要强大的资金投入，可以用一些低成本的设备E. 需要强大的资金投入，各类设备精准。ACD28. Windows系统登录流程中使用的系统安全模块有（）。A. 安全帐号管理（Security Account Manager

12、,简称LSA）模块B. 输入输出模块C. Windows系统的注册（Winlogon）模块D. 本地安全认证（Local Security Authority,简称LSA）模块CD29.通常为了保证信息处理对象的认证性采用的手段是（）。A. 信息加密B. 信息隐匿C. 数字签名D. 身份认证技术E. 数字水印ACD30.下面是Oracle数据库支持的备份形式的是（）。A. 冷备份B. 温备份C. 热备份D. 逻辑备份五、问答题（本大题共。分，共20小题，每小题0分）1. 古典密码体制中代换密码有哪几种，各有什么特点？1. 参考答案：在古典密码学中，有四种类型的代替密码： 简单代替密码（或单表代

13、替密码），它将明文字母表中的每个字母用密文字母表中的相应 字母来代替，明密文表字母存在惟一的一一对应关系，然后通过明密文对照表来进行加解密, 容易受到频率统计分析攻击，例如：恺撒密码、仿射密码等。 多名码代替密码，将明文中的每个字母按一定规律映射到一系列密文字母，这一系列密文 字母称为同音字母，它的密文的相关分布会接近于平的，能够较好挫败频率分析，较简单代 替密码难破译。 多字母代替密码，通过一次加密一组字母来使密码分析更加困难，例如Playfair密码。 多表代替密码，使用从明文字母到密文字母的多个映射，每个映射像简单代替密码中的 一对应，比简单代替密码更安全一些，例如，维吉尼亚密码等。2.

14、 访问控制表ACL有什么优缺点？2. 参考答案：ACL的优点：表述直观、易于理解，比较容易查出对某一特定资源拥有访问 权限的所有用户，有效地实施授权管理。ACL应用到规模大的企业内部网时，有问题：（1）网络资源很多，ACL需要设定大量的表项，而且修改起来比较困难，实现整个组织 范围内一致的控制政策也比较困难。（2）单纯使用ACL,不易实现最小权限原则及复杂的安全政策。3. 简述公钥密码体制的基本思想以及其相对于传统密码体制的优势。3. 参考答案：公钥密码体制的基本思想是把密钥分成两个部分：公开密钥和私有密钥（简 称公钥和私钥），公钥可以向外公布，私钥则是保密的：密钥中的任何一个可以用来加密,

15、另一个可以用来解密；公钥和私钥必须配对使用，否则不能打开加密文件；己知密码算法和 密钥中的一个，求解另一个在计算上是不可行的。相对于传统密码体制来说，公钥密码体 制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放，而私有密钥由持有 者妥善地秘密保存。这样，任何人都可以通过某种公开的途径获得一个用户的公开密要，然 后进行保密通信，而解密者只能是知道私钥的密钥持有者，该体制简化了密钥的分配与分发; 同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性，使得 公钥密码体制不仅能像传统密码体制那样用于消息加密，实现秘密通信，还可以广泛应用于 数字签名、认证等领域。4.

16、 列举隐写术的经典手法（至少5个例子）。4. 参考答案：1、使用不可见墨水给报纸上的某些字母作上标记来向间谍发送消息。2、在一个录音带的某些位置上加一些不易察觉的回声3、将消息写在木板上，然后用石灰水把它刷白。4、将信函隐藏在信使的鞋底里或妇女的耳饰中。5、由信鸽携带便条传送消息。6、通过改变字母笔画的高度或在掩蔽文体的字母上面或下面挖出非常小的小孔（或用无形 的墨水印制作非常小的斑点）来隐藏正文。7、在纸上打印各种小像素点组成的块来对诸如口期、打印机进行标识，将用户标识符等信 息进行编码8、将秘密消息隐藏在大小不超过一个句号或小墨水点的空间里。9、将消息隐藏在微缩胶片中。10、把在显微镜下可

17、见的图像隐藏在耳朵、鼻孔以及手指甲里；或者先将间谍之间要传送的 消息经过若干照相缩影步骤后缩小到微粒状，然后粘在无关紧要的杂志等文字材料中的句号 或逗号上。11、在印刷旅行支票时使用特殊紫外线荧光墨水。12、制作特殊的雕塑或绘画作品，使得从不同角度看会显示出不同的印像。13、利用掩蔽材料的预定位置上的某些误差和风格特性来隐藏消息。比如，利用字的标准体 和斜体来进行编码，从而实现信息隐藏；将版权信息和序列号隐藏在行间距和文档的其他格 式特性之中；通过对文档的各行提升或降低三百分之一英寸来表示。或1等。5. 谈谈你对数据库安全的理解。5. 参考答案：数据库安全是指采取各种安全措施对数据库及其相关文

18、件和数据进行保护。 数据库系统的重要指标之一是确保系统安全，以各种防范措施防止非授权使用数据库，主要 通过DBMS实现的。数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存 储等技术进行安全控制。数据库安全的核心和关键是其数据安全。数据安全是指以保护措施确保数据的完整性、保密 性、可用性、可控性和可审查性。由于数据库存储着大量的重要信息和机密数据，而且在数 据库系统中大量数据集中存放，供多用户共享，因此，必须加强对数据库访问的控制和数据 安全防护。6. 简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象。6. 参考答案：主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信

19、息系统内部, 破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容 造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息， 使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。7. 利用智能卡进行的双因素的认证方式的原理是什么？7. 参考答案：智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智 能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用 户输入PIN(个人身份识别码)，智能卡认证PIN,成功后，即可读出智能卡中的秘密信息， 进而利用该秘密信息与主机之间进行认证。双因素的认证

20、方式(PIN+智能卡)，即使PIN或智能卡被窃取，用户仍不会被冒充。智能 卡提供硬件保护措施和加密算法，可以利用这些功能加强安全性能。8. 应用层网关的工作过程是什么？它有什么优缺点？8. 参考答案：主要工作在应用层，又称为应用层防火墙。它检查进出的数据包，通过自身 复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层 上的协议，能够做复杂的访问控制，并做精细的注册和审核。基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器, 代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。 常用的应用层网关己有相应的代理服

21、务软件，如HTTP、SMTP、FTP、Telnet等，但是对于 新开发的应用，尚没有相应的代理服务，它们将通过网络层防火墙和一般的代理服务。应用层网关有较好的访问控制能力，是目前最安全的防火墙技术。能够提供内容过滤、用户 认证、页面缓存和NAT等功能。但实现麻烦，有的应用层网关缺乏“透明度”。应用层网 关每一种协议需要相应的代理软件，使用时工作量大，效率明显不如网络层防火墙。9. 防火墙有哪些体系结构？检测计算机病毒的方法主要有哪些？9. 参考答案：防火墙的体系结构有屏蔽路由器(Screening Router)和屏蔽主机(Screening Host),双宿主网关(Dual Homed Ga

22、teway),堡垒主机(Bastion Host),屏蔽子网(Screened Subnet)防火墙检测计算机病毒的方法主要有外观检测，特征代码法，系统数据对比法，实 时监控法，软件模拟法，检测常规内存数。10. 什么是MD5?10. 参考答案：MD消息摘要算法是由Rivest提出，是当前最为普遍的Hash算法，MD5是 第5个版本，该算法以一个任意长度的消息作为输入，生成128位的消息摘要作为输出， 输入消息是按512位的分组处理的。11. 描述说明DES算法的加解密过程(也可以画图说明)。11. 参考答案：DES算法是一个分组加密算法，它以64位分组对数据进行加密，其初始密 钥也是64位，

23、它的加密过程可以描述如下：64位密钥经子密钥产生算法产生出16个 子密钥：KI, K2, ,K16,分别供第一次，第二次，,，第十六次加密迭代使用。64位明 文经初始置换IP，将数据打乱重排并分成左右两半。左边为L0,右边为RO： X=L0R0=IP(x)o 16轮)轮变换，每轮(第i轮)操作如下：在轮子密钥Ki的控制下，由轮函数f对当 前轮输入数据的右半部分Ri-1进行加密：第一步，将Ri-1经过E盒置换扩展成48位， 第二步，将Ri-1与48位的轮子密钥Ki逐比特异或，第三步，对Ri-1进行S盒压缩代 换，将其压缩为32位)，第四步，对Ri-1进行P盒置换。然后，将Ri-1与当前轮输入 的

24、左半部分Li-1进行逐比特异或，将该运算结果作为当前轮(第i轮)右半部份的输出 Ri=Li-l&f(Ri-l,Ki)；将本轮输入的右半部分数据作为本轮输出的左半部分数据：Li=Ri。16 轮变换结束后，交换输出数据的左右两部分:X=R16L16o经过逆初始变换IP-1输出密文。 对于DES算法来说，其解密过程与加密过程是同一过程，只不过使用子密钥的顺序相反。12. DBMS在使用复制技术时须做到哪些？12. 参考答案：1、数据库复制必须对用户透明2、主数据库和各个从复制数据库在任何时候 都必须保持事务的完整性3、对于对异步的可在任何地方更新的复制方式，当两个应用在两 个场地同时更新同-个记录，

25、个场地的更新事务尚未复制到另个场地时，第二个场地已 开始更新，这时可能引起冲突。DBMS必须提供控制冲突的方法，包括各种形式的自动解决 方法和人工干预方法。13. 简述常见的黑客攻击过程。13. 参考答案：1目标探测和信息攫取先确定攻击目标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各 系统的安全性强弱确定最后的目标。1) 踩点(Footprinting)黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于 目标系统的注册信息,DNS查询(用Windows/UNIX 1：提供的nslookup命令客户端)也可令 黑客获得关于目标系统域名、IP地

26、址、DNS务器、邮件服务器等有用信息。此外还可以用 trace route工具获得一些网络拓扑和路由信息。2) 扫描(Scanning)在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确 定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步 地获知它们运行的是什么操作系统。3) 查点(Enumeration)从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。 比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共 享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不

27、多都是特定于操作系统 的，因此要求使用前面步骤汇集的信息。2 获得访问权(Gaining Access)通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统 的访问权限。3 特权提升(Escalating Privilege)在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以 采用密码破解(如用LOphtcrack破解NT的SAM文件)、利用己知的漏洞或脆弱点等技术。4 窃取(Stealing)对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文 件等)。5 掩盖踪迹(CoveringTracks)

28、此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。6创建后门(Creating Bookdoor)在系统的不同部分布置陷阱和后门，以便入侵者在以后 仍能从容获得特权访问。14. 对称密码算法存在哪些问题？14. 参考答案：适用于封闭系统，其中的用户是彼此相关并相互信任的，所要防范的是系统 外攻击。随着开放网络环境的安全问题日益突出，而传统的对称密码遇到很多困难：密钥使 用一段时间后需要更换，而密钥传送需要可靠的通道；在通信网络中，若所有用户使用相同 密钥，则失去保密意义；若使用不同密钥N个人之间就需要N(N-l)/2个密钥，密钥管理 困难。无法满足不相识

29、的人之间私人谈话的保密性要求。对称密钥至少是两人共享，不带有 个人的特征，因此不能进行数字签名。15. 什么是序列密码和分组密码？15. 参考答案：序列密码是一种对明文中的单个位(有时对字节)运算的算法。分组密码是 把明文信息分割成块结构，逐块予以加密和解密。块的长度由算法设计者预先确定。16, 包过滤防火墙的过滤原理是什么？16. 参考答案：包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网 络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查 单个包的地址、协议、端LI等信息来决定是否允许此数据包通过，有静态和动态两种过滤方 式。这种防火墙可以提

30、供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的 信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过 滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防 火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，定要注意数据包是双向 的。17. KDC在密钥分配过程中充当何种角色？17. 参考答案：KDC在密钥分配过程中充当可信任的第三方。KDC保存有每个用户和KDC 之间共享的唯一密钥，以便进行分配。在密钥分配过程中，KDC按照需要生成各对端用户 之间的会话密钥，并由用户和KDC共享的密钥进行加密，通过安全协议将会话密钥

31、安全地 传送给需要进行通信的双方。18. 使用口令进行身份认证的优缺点？18. 参考答案：优点在于黑客即使得到了口令文件，通过散列值想要计算出原始口令在计算 上也是不可能的，这就相对增加了安全性。严重的安全问题（单因素的认证），安全性仅依 赖于口令，而且用户往往选择容易记忆。容易被猜测的口令（安全系统最薄弱的突破口），口令文件也可被进行离线的字典式攻击。19. 状态检测防火墙的原理是什么，相对包过滤防火墙有什么优点？19. 参考答案：状态检测又称动态包过滤，所以状态检测防火墙又称动态防火墙，最早由 Checkpoint提出。状态检测是一种相当于4、5层的过滤技术，既提供了比包过滤防火墙更 高的

32、安全性和更灵活的处理，也避免了应用层网关的速度降低问题。要实现状态检测防火墙, 最重要的是实现连接的跟踪功能，并且根据需要可动态地在过滤规则中增加或更新条目。防 火墙应当包含关于包最近己经通过它的“状态信息”，以决定是否让来自Internet的包通 过或丢弃。20. 访问控制有几种常用的实现方法？它们各有什么特点？20. 参考答案：1访问控制矩阵行表示客体（各种资源），列表示主体（通常为用户），行和列的交叉点表示某个主体对某 个客体的访问权限。通常一个文件的Own权限表示可以授予（Authorize）或撤消（Revoke） 其他用户对该文件的访问控制权限。2访问能力表实际的系统中虽然可能有很多

33、的主体与客体，但两者之间的权限关系可能并不多。为了减轻 系统的开销与浪费，我们可以从主体（行）出发，表达矩阵某一行的信息，这就是访问能力 表（Capabilities）。只有当个主体对某个客体拥有访I可的能力时，它才能访问这个客体。但是要从访问能力表 获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中，正是客体本身 需要得到可靠的保护，访问控制服务也应该能够控制可访问某一客体的主体集合，于是出现 了以客体为出发点的实现方式一一ACLo3访问控制表也可以从客体（列）出发，表达矩阵某一列的信息，这就是访问控制表（Access Control List）。 它可以对某一特定资源指定任

34、意一个用户的访问权限，还可以将有相同权限的用户分组，并 授予组的访问权。4授权关系表授权关系表（Authorization Relations）的每行表示了主体和客体的-个授权关系。对表按 客体进行排序，可以得到访问控制表的优势；对表按主体进行排序，可以得到访问能力表的 优势。适合采用关系数据库来实现。说明公钥加密的优点和缺点？公钥加密的优点：大型网络中每个用户需要的密钥数量少；对管理公钥的可信第三方的信任程度要求不高而且是离线的；只有私钥是保密的，而公钥只要保证它的真实性；公钥加密的缺点多数公钥加密比对称密钥加密的速度要慢几个数最级；公钥加密方案的密钥长度比对称加密的密钥要长；公钥加密方案没

35、有被证明是安全的。解释身份认证的基本概念。身份认证是指用户必须提供他是谁的证明，这种证实客户的真实身份与其所声称的身份是否 相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础。身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数 据库决定是否能够访问某个资源。一旦身份认证系统被攻破，系统的所有安全措施将形同虚 设，黑客攻击的目标往往就是身份认证系统。信息安全的基本属性有哪些？事实性;识别性;等级性;可压缩性;扩散性;传输性;共享性;替代性;存储性。基于列的访问控制机制的两种实现形式包括和是指攻击者通过各种途径对所要攻击的目标进行的多方面的调查和了解，包

36、括与被攻 击目标有关的任何可得到的信息，从中规约出目标对象的网段、域名以及IP地址等相关信 息的特定手段和方法。是指攻击者通过各种途径对所要攻击的目标进行的多方面的调查和了解，包括与被攻 击目标有关的任何可得到的信息，从中规约出目标对象的网段、域名以及IP地址等相关信 息的特定手段和方法。踩点密钥信息交换方式包括、和。人工密钥分发、基于中心的密钥分法、基于认证的密钥分发以下选项哪个可以不是身份认证的基本模型的组成（）。（）是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏 性等。D、蠕虫病毒消息认证能够检验消息（）性，即验证消息在传送或存储过程中未被篡改、删除或插入等。

37、 B、完整（）是以脚本程序语言（如VBScript、JavaScript、PHP）编写而成的病毒。B、脚本病毒在占典密码中，代替指将（）位用某种变换关系变换成新的位。A、明文下面所列的（）安全机制属于信息安全保障体系中的事先保护环节。Q A、数字证书认证S B、防火墙Q C、数据库加度O D、杀毒软件英国国家标准BS 7799,经国际标准化组织采纳为国家标准（）。 A、ISO 24088 Bx ISO 13335 C、ISO 15408S Dx ISO 27001S E、ISO 17799应用中，对称密码算法与非对称密码算法总是结合起来的，对称密码算法用于加密，而非对 称算法用于保护对称算法的

38、密钥。18. 参考答案：密钥管理与分配问题 认证问题19. 公开密钥加密算法的用途主要包括两个方面和。19. 参考答案：密钥分配、数字签名20. 是PKI系统安全的核心。20. 参考答案：CA21. 信息化社会发展三要素是物质、能源和。21. 参考答案：信息22. 指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。22. 参考答案：机密性23, 网络反病毒技术包括预防病毒、检测病毒和。23. 参考答案：杀毒24. 信息安全的基本目标应该是保护信息的机密性、可用性、可控性和不可抵赖性。24. 参考答案：完整性25. 信息的表现为维系社会的生存、促进人类文明的进步

39、和自身的发展。25. 参考答案：社会功能26. 的显著优点是更容易提供对客体的多重访问权限。26. 参考答案：能力机制27. 是系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问。27. 参考答案：强制访问控制28. 密码系统包括以下4个方面、=28. 参考答案：明文空间、密文空间、密钥空间、密码算法29. 信息的在于维持和强化世界的有序性动态性。29. 参考答案：基本功能30. 是客体的所有者按照自己的安全策略授予系统中的其他用户对客体的访问权。30. 参考答案：自主访问控制31. 哈希函数是密码体制，从一个明文到密文的不可逆的映射，只有只有加密过程,没有解密过程。31. 参考答

40、案：单向32. 是美国国家标准局公布的第一个数据加密标准。32. 参考答案：DES33. 计算机病毒的工作机制有、。33. 参考答案：潜伏机制、传染机制、表现机制34. 古典密码学体制对现代密码学的研究和学习具有1分重要的意义，实现古典密码体制的两种基本方法和仍是构造现代对称分组密码的核心方式。34. 参考答案：代换，置换35. 访问控制对机密性、起直接的作用。35. 参考答案：完整性36. Hash函数是可接受数据输入，并生成数据输出的函数。36. 参考答案：变长，定长37. 可以有效地解决DAC机制中可能存在的不安全问题，尤其是像特洛伊木马攻击这 类问题。37. 参考答案：强制访问控制机制

41、38. 信息隐藏可以分为三类:、和338. 参考答案：无密钥的信息隐藏、私钥信息隐藏、公钥信息隐藏。39. 在各种访问控制技术中，方式是实现DAC策略的最好方法。39. 参考答案：ACL40. 是第一个既能用于数据加密，也能通用数字签名的公开密钥密码算法。40. 参考答案：RSA算法二、判断题(本大题共0分，共30小题，每小题0分)V 1.保密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。V 2.利用社会工程学进行攻击有时候常常是最有效的攻击方式之一。V3.古典密码中最基本的变换是代替和移位，其目的是产生尽可能混乱的密文。X4,将秘密消息隐藏在大小不超过一个句号或小墨水点的空

42、间里属于技术性的隐写术。J5.身份鉴别过程主要是识别用户的真实身份。V 6.公钥基础设施PKI (Public Key Infrastructure)是解决信任和加密问题的基本解决方案。 J7.特征值扫描技术源于模式识别。V8. Windows XP中应用了沙箱技术。J9.信息隐藏同加密方式的不同点在于，信息隐藏额的目的是保证数据不能被未授权的第 三方知道。V10,虽然防火墙可以阻止风险区域的破坏，但是入侵检测进一步扩展了系统的安全能力， 提高了信息安全基础结构的完整性。V11,信息安全需求，是指计算机网络给我们提供信息查询、网络服务时，保证服务对象的 信息不受监听、窃取和篡改等威胁，以满足人

43、们最基本的安全需要的特性。V12.黑客跟骇客的区别是：黑客搞建设，骇客搞破坏。J13.网络安全运行、数据安全传递，不仅靠人们的良好愿望和自觉意识，还需要必要的法 律建设，以法制来保证信息安全。X14.许多DBMS提供数据库数据的纠错功能，主要方法是采用校验的办法。J15.信息收集时所用的网络监听器可以是软件，也可以是硬件。V16,信息隐藏中所需隐藏的信息是不想让除接受者外的人知道的。V17.访问控制是针对越权使用资源的防御措施。V18,文件型病毒是当文件被执行时，将会调用病毒的代码。V19.在古典密码中，恺撒密码就是移位密码的一种。V 20. RSA签名方案中，任何人都可以用公钥进行验证。X

44、21.计算机病毒不需要触发条件即可生效。V 22. JavaScript代码可能形成脚本攻击。J23.访问控制列表按照数据包的特点，规定了一些规则。这些规则描述了具有一定特点的 数据包，并且规定它们是被“允许”的还是“禁止”的。V24.信息系统的各种功能都是为了保证最终实现最佳的输出功能。X 25. 50 年代以来 NIST (National Institute of Standards and Technology)提出了基于角色的访 问控制RBAC(Role-Based Access Control)模型，这一访问控制模型已被广为接受。J26.网络及信息具有价值，难免会受到各种意外的或者

45、蓄意的未授权的使用和破坏，必须 授权才可以访问。X27.宏病毒也会感染EXE和COM文件。J28.定期查看口志以检查是否有可疑的登录事件也是一种SQLServer的安全策略。X29. Windows是根据每个账户的名称来区分账户的。V30. Hash函数输出的比特越长，抗碰撞的安全强度越大。三、简答题(本大题共0分，共20小题，每小题0分)1. 什么是封锁？1. 参考答案：封锁就是事务T在对某个数据对象(例如表、记录等)操作之前，先向系统 发出请求，对其加锁。加锁后事务T就对该数据对象有了一定的控制，在事务T释放它的 锁之前，其它的事务不能更新此数据对象。2. 请简述几种常见的访问控制策略？2

46、. 参考答案：三种不同的访问控制策略：自主访问控制(DAC)、强制访问控制(MAC)和 基于角色的访问控制(RBAC)。3. 简述信息安全的主要特性。3. 参考答案：保密性，完整性，可用性，可控性，不可否认性。4. 列举数据库安全性控制的常用方法。4. 参考答案：用户标识和鉴定存取控制视图审计密码存储5. 数据库系统的故障有哪些类型？5. 参考答案：事务内部的故障(2) 系统故障(3) 介质故障(4) 计算机病毒故障(5) 计算机病毒或恶意攻击6. 请说明数字签名的主要流程。6. 参考答案：数字签名通过如下的流程进行：(1) 采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘

47、要(Message Digest),不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的。在 数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符, 这样就保证了报文的不可更改性。(2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3) 这个数字签名将作为报文的附件和报文一起发送给接收方。(4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开 密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该 数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。7. 请简述根据不确定因于

48、产生一次性口令的几种常见模式？7. 参考答案：口令序列、时间同步、事件同步、质询/响应(Challenge/Response)方案等。8. 请简述网络攻击的一般步骤。8. 参考答案：(1) 入侵前的准备(2) 入侵系统，取的控制权(3) 窃取资料等非法活动(4) 扩大攻击范围9. 列举防火墙的几个基本功能？9. 参考答案：(1)隔离不同的网络，限制安全问题的扩散，对安全集中管理，简化了安全管 理的复杂程度。(2) 防火墙可以方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。(3) 防火墙可以作为部署NAT的地点，利用NAT技术，将有限的IP地址动态或静态地与 内部的IP地址对

49、应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。(4) 防火墙是审计和记录Internet使用费用的一个最佳地点。(5) 防火墙也可以作为IPSec的平台。(6) 内容控制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件, 可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。10. 防火墙应满足的基本条件是什么？10. 参考答案：作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件 如下：(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合安全策略的数据流才能通过防火墙。防火墙自身具有高可靠性，应对渗透

50、(Penetration)免疫，即它本身是不可被侵入的。11. 请简述网络安全体系结构中的五大类安全服务。11. 参考答案：五大类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、 数据完整性服务和抗否认性服务。12, 软件漏洞包括哪些？12. 参考答案：操作系统服务程序漏洞，文件处理软件漏洞，浏览器软件漏洞，其他软件漏 洞13. 数据库安全特性检查的方法包括哪些？13. 参考答案：端口扫描(服务发现)：对数据库开放端口进行扫描；渗透测试：黑盒式的 安全监测，攻击性测试，对象是数据库的身份验证系统和服务监听系统，监听器安全特性分 析、用户名和密码渗透、漏洞分析；内部安全监测：安全员数

51、据、内部审计、安全配置检查、 漏洞检测、版本补丁检测14, 数字签名有什么作用？14. 参考答案：当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端：否 认，发送方不承认自己发送过某一报文。伪造，接收方自己伪造一份报文，并声称它来自发 送方。冒充，网络上的某个用户冒充另一个用户接收或发送报文。篡改，接收方对收到的信 息进行篡改。15. 简述木马的特点。15. 参考答案：具有远程控制、信息偷取、隐藏传输功能的恶意程序；通过诱骗的方式安装； 一般没有病毒的的感染功能；特点：伪装性，隐藏性，窃密性，破坏性；16. 代理服务器有什么优缺点？16. 参考答案：代理服务技术的优点是：隐蔽内部网

52、络拓扑信息；网关理解应用协议，可以 实施更细粒度的访问控制；较强的数据流监控和报告功能。(主机认证和用户认证)缺点是 对每一类应用都需要一个专门的代理，灵活性不够；每一种网络应用服务的安全问题各不相 同，分析困难，因此实现困难。速度慢。17. 密钥的产生需要注意哪些问题？17. 参考答案：算法的安全性依赖于密钥，如果用一个弱的密钥产生方法，那么整个系统都 将是弱的。DES有56位的密钥，正常情况下任何一个56位的数据串都能成为密钥，所 以共有256种可能的密钥。在某些实现中，仅允许用ASCII码的密钥，并强制每一字节的 最高位为零。有的实现甚至将大写字母转换成小写字母。这些密钥产生程序都使得D

53、ES的 攻击难度比正常情况下低几千倍。因此，对于任何一种加密方法，其密钥产生方法都不容忽 视。大部分密钥生成算法采用随机过程或者伪随机过程来生成密钥。随机过程一般采用一个 随机数发生器，它的输出是一个不确定的值。伪随机过程一般采用噪声源技术，通过噪声源 的功能产生二进制的随机序列或与之对应的随机数。18. 简述-次性口令的基本原理。18. 参考答案：在登录过程中加入不确定因子，使每次用户在登录时输入的口令都不相同。 认证系统得到口令后通过相应的算法验证用户的身份。19. 简述对称密钥密码体制的原理和特点。19. 参考答案：对称密钥密码体制，对于大多数算法，解密算法是加密算法的逆运算，加密 密钥

54、和解密密钥相同，同属一类的加密体制。它保密强度高但开放性差，要求发送者和接收 者在安全通信之前，需要有可靠的密钥信道传递密钥，而此密钥也必须妥善保管。20. 解释访问控制的基本概念。20. 参考答案：访问控制是建立在身份认证基础上的，通过限制对关键资源的访问，防止非 法用户的侵入或因为合法用户的不慎操作而造成的破坏。访问控制的目的：限制主体对访问 客体的访问权限（安全访问策略），从而使计算机系统在合法范围内使用。四、单项选择题（本大题共0分，共60小题，每小题0分）D1.威胁和攻击的主要来源包括（）。D.以上所有B2.哪个说法是对的？（）B. RSA的安全性依赖于著名的大整数因子分解的困难性问

55、题A3.访问矩阵中，可以使用三元组（S, O, P）来表示，其中S表示。A. 主体D4.下列哪项不是脚本语言（）。D.CD5,以下哪个关于访问许可权和访问操作权的说法是错的？（）D.访问操作表示有权对客体进行的一些具体操作，如读、写、执行等，和访问许可权所表达 的意思一样D6.广义的信息安全是指网络系统的、及其系统中的受到保护。D.硬件，软件，信息A7.（）是操作系统中的共享资源，被用户程序与系统程序所共享，在多道环境下更是被 多个进程所共享。A, 内存A8. ACL的保存位置是（）。A. 客体C9.在SHA算法中，对于给定的消息，首先将消息填充为（）的整数倍。C. 512D10.（）是指系统

56、根据主体和客体的安全属性，以强制的方式控制主体对客体的访问。D. 强制访问控制Cll. Word宏病毒在发作时，下列情况不会出现（）C.远程服务中断C12.（）是一种在BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境 是BIOS中断服务程序。C.引导型病毒C13.置换密码是把（）中各字符的位置次序重新排列来得到密文的一种密码体制。C. 明文D14.以下哪项是一次性口令的常见模式（）oD. 全部都是C15.计算机网络的互通互连是基于（）。C. 公开的通信协议B16.下面哪个说法是对的？（）B, 密钥的使用寿命是有周期的D17.以下哪项不是身份认证基木模型的组成（）。D. 攻击者D1

57、8.分组密码中常用的移位操作是指让明文中的每一位直接或间接影响（）中的许多位， 即将每一比特明文的影响尽可能迅速地作用到较多的输出密文位中去，以便达到隐蔽明文的 统计特性。D.密文D19.计算机病毒最基本的特征是（）。D.传染性D20.（）是在其他文件中插入自身指令，将自身代码通过编码、加密或使用其他技术附 在文件中，当文件被执行时，将会调用病毒的代码。D.文件型病毒B21.不属于信息隐藏必要过程的是（）。B. 隐藏密钥D22.访问控制通常用于系统管理员控制用户对资源的访问，改资源不包括以下哪个选项D.书本D23.（）技术是解决不可否认性的重要手段之一。D.数字签名D24. RBAC中的基本元

58、素不包括（）。D.主体D25.多个用户同时操作同数据库中的数据会可能会引起如下哪个问题（）。A. 破坏数据B. 丢失修改C. 读脏数据D. 以上所有B26.柯克霍夫（Kerckhoffs）原则指出密码系统的安全性取决于（）,而不是密码算法。B. 密钥D27.在可信计算中，以下哪项不能威胁输入输出的安全（）。D.全部都能A28.最常用的认证方式是（）。A. 口令认证D29.生物识别技术的优点有哪些（）。A. 不容易被遗忘或丢失B. 不容易被伪造或被盗C. 可以随时携带，随时使用D. 以上所有C30.信息安全的任务是（）。C. 确保信息功能的正确实现C31.身份认证的作用（）。C. 对抗假冒攻击，

59、确保身份，明确责任B32.（）是指客体的所有者按照自己的安全策略授予系统中的其他用户对客体的访问权。B. 自主访问控制D33.以下哪种形式不是信息的基本形态？（）D. 计算机B34,以下哪项不是安全威胁的表现形式？（）B. 解密C35.以下哪种不是隔离控制的方法（）oC. 控制隔离D36.以下不属于口令攻击的是（）。D. Unicode漏洞攻击B37,将用户标识符与用户联系的过程称为（），鉴别过程主要用以识别用户的真实身份。B. 鉴别D38.密码分析学研究如何对（）进行破译。D, 密文B39.以下对沙箱技术的描述，不合理的一项是（）。B. 会修改注册表和系统核心数据C40.以下哪项不是分段技术

60、的优点（）。C. 没有碎片B41,以下不属于生理特征的是（）。B. 笔迹A42.下面哪一个属于信息安全五要素（A. 保密性D43.下列不属于数字水印的要求的是（D. 很高的容量A44.古典密码很难抵抗（）。A.穷举搜索攻击()oC45.虚拟机技术主要处理哪种类型病毒C. 文件型病毒，和.过程中的安全性问题。D46 .信息安全则主要涉及信息在,D. 传输，存储，处理A47.（）是指被认证方在没有泄露自己身份信息的前提下，能够以电子的方式来证明自 己的身份。A.身份认证D48.（）是专门负责数据库管理和维护的计算机软件系统。D. DBMSA49.公钥密码系统的主要目的是（）。A.提供保密性D50.

61、在可信计算中，TPM特有的一个功能是（）。D.密封签名B51.首先提出自我复制的计算机程序的构想的是（）。B. 冯诺依曼D52.消息认证的含义是（）oA. 检验消息的来源是真实的B. 检验消息是完整的D.A 和 BD53.以下哪个说法是对的（）。D.信息安全的任务就是确保信息功能的正确实现。D54.水印的载体可以是哪些（）。A. 图像B. 视频C. 音频D. 以上所有A55.古典密码的加密方法一般是采用文字（）。A.置换A56.以及是引起网络安全问题至关重要的因素。A. 黑客攻击与计算机犯罪，信息安全管理缺失B57.以下哪一个说法是对的？（）B. 用其私有密钥加密消息，用其公开密钥正确解密，就

62、可肯定该消息是某人签名的D58.下面哪项可以作为计算机取证的证据（）。D,以上所有D59.防火墙的主要功能不包括（）oD.防范网络上的所有网络流B60.对整个网络实施破坏，以达到降低性能和阻止终端服务的攻击属于 （）。B.拒绝服务六、多项选择题（本大题共0分，共30小题，每小题0分）ABCDE1.网络蠕虫病毒越来越多地借助网络作为传播途径，包括（）。A. 互联网浏览B. 文件下载C. 电子邮件D. 实时聊天工具E. 局域网文件共享ABCD2,操作系统的基本功能有（）oA. 处理器管理B. 存储管理C. 内部进程间通信的同步D. 作业管理ABC3.组成UNIX系统结构的层次有（）。A. 用户层B. 硬件层C. 内核层D. 网络层ABCD4.通用入侵