11年4天津信息安全试题总结Word文档下载推荐.docx
《11年4天津信息安全试题总结Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《11年4天津信息安全试题总结Word文档下载推荐.docx(13页珍藏版)》请在冰点文库上搜索。
主动防御技术和被动防御技术。
13.主动防御保护技术:
数据加密,身份鉴别,存取控制,权限设置和虚拟专用网技术。
14.被动防御保护技术:
防火墙技术(核心的控制思想是包过滤技术),入侵检测系统,安全扫描器(可自动检测远程或本地主机及网络系统的安全性漏洞点的专用功能程序),口令验证,审计跟踪,物理保护,安全管理。
15.密码技术是信息安全技术中的核心技术。
16.物理安全性:
在物理实体层次上对存储和传输的网络信息的安全保护。
17.网络安全性:
传输安全(信道传输安全,网内传输安全),网络边界安全(防火墙拨号接入安全,移动接入安全,远程数据提取安全,Internet信息交换安全,内外网信息服务安全)
18.数字签名的安全性必须具有可证实性,不可否认性,不可伪造性,不可重用性。
19.公证机制:
在于解决通信的矛盾双方因事故和信用危机导致责任问题的公证仲裁,公证机制要设立公证机构,它是各方都信任的实体。
专门提供第三方的证明手段,可用于对信息源发送时间,目的地和信息内容,身份依据等进行公证,提供基于可信第三方的不可抵赖服务。
20.秘密共享方案:
将一个密钥K分成N个共享密钥
,
,.。
。
,并秘密分配给N个对象保管。
若下列两个条件成立,已知任意S个
值易求出K;
已知任意S-1个或更多个
由于对象信息量少,而无法决定K。
则称该方法为(S,N)门限体制。
21.数字签名机制中的安全验证:
伪造,假冒,篡改,否认。
伪造---接收方伪造证件,谎称来自发送方。
假冒---冒充用户真实身份,接收原始信息,发送虚假消息。
篡改---接收者对收到的信息进行有意篡改
否认---发送者或接收者拒不承认操作过的事件或文件。
22.双重DES的密钥长度为56*2=112bit.
双重DES描述:
设
和
是两个长度为56位的密钥,若给定明文m,则密文为C=
(
(m)),给定密文C,则明文m=
(
(c))。
29.密码攻击的几种形式:
攻击强度由弱到强。
一个密码系统如果是安全的,至少必须经得起选择明文或密文的攻击。
HILL密码具有很好抗频率分析功能,比较容易攻破该密码的攻击形式为已知明文攻击。
1>
惟密文攻击,破译者只能通过截获密文来破解出明文,除此之外,没有其他任何信息可利用。
2>
已知明文攻击,破译者仅能依据截获的当前密钥下的一些明文---密文对关系,破解密钥及下一个密文。
3>
选择明文攻击,破译者可选择所获取的当前密钥下某些特定的明文,以及它所对应的密文进行攻击。
4>
选择密文攻击,破译者选择一些截获的密文并将其解密为明文(或许是无用信息)进行攻击。
5>
非技术手段攻击,也叫软磨硬泡攻击。
破译者采用威胁,勒索或非人道手段逼迫对手交出密钥或行贿对手,也称购买密钥攻击。
30.IDEA的密钥种子长度为128BIT,加密密钥总长度为6*16*8+4*16=832BIT.
31.RSA体制安全性分析,RSA的安全性依赖于因子分解的困难性。
RSA密码体制中,对于公钥(e,N)中N值的选择,要求有:
P,q,必须选择强素数,2>
P,q之差必须很大,3>
p,q选择应足够大。
e不可以太小5>
p-1,q-1的最大公约数应尽量小
6>
e应选择使模的阶最大。
32.密码协议与通信协议的主要区别在于前者使用了密码技术,在进行密码协议设计时,必须解决好两个问题,一是密码算法,二是密码交换协议。
密码协议的目标是为了实现信息的加密传输和存储,更重要的是为了解决通信网的安全问题。
33.安全协议:
是指基于一个好的通信协议,不仅具有知晓性,有效性,公平性和完整性,还应具有足够高的安全性,通常把具有安全功能的协议称为安全协议,安全协议的设计必须采用密码技术,故有时称安全协议为安全密码协议。
34.认证建立协议主要包含数据源认证,消息认证和实体认证(身份识别)
35.一个不可否认的数字签名方案由三个部分组成:
数字签名算法,验证协议,不可否认协议。
36.证明个人身份的三种途径:
个人拥有的所知,个人拥有的所有,个人拥有的特征。
37.身份证明可分为两大类:
身份证实,只对个人身份进行肯定或否定判断,作法是输入个人信息,经公式或算法运算所得结果与原存储信息进行比较,最后判断是非。
身份识别,主要用来差别身份标识的真伪。
作法同样是输入信息,经处理提取模板信息,与原存储的模板想匹配,来判别真伪程度。
38.密钥种类:
工作密钥,会话密钥,密钥加密密钥,主机主密钥。
39.工作密钥:
也叫基本密钥或初始密钥,可由用户选定或系统分配给用户,大多参与密码算法的运算。
工作密钥的使用期限一般较长。
40.会话密钥:
两个通信终端用户或交换数据时使用的密钥称为会话密钥。
会话密钥视使用对象不同而不同,如用来传输数据保护称为数据加密密钥,用作保护文件称为文件密钥,供通信双方专用的密钥称为专用密钥。
它大多是临时的,动态的。
41.密钥加密密钥主要用于对传送的会话或文件密钥进行加密时采用的密钥,也称为二级密钥,有次主密钥或辅助密钥之称。
42.密钥托管加密体制主要由三部分组成:
用户安全分量,密钥托管分理和数据恢复分量。
43.在密钥托管技术标准EES中,采用单钥分级密码,字长64BIT,密钥80BIT,32轮置乱。
36.44.KERCHKOFF假设:
指一个密码系统的最终安全性不是对系统或硬件本身的保护,也不是对某一加密算法的保护,而是对密钥的安全保护,即密码学中常用的一个原则:
在最坏的情况下要保证秘密全部存在于密钥之中。
37.网络通信的最基本要求主要包括:
通信的保密性,实时性,可用性,可控性。
38.通信的保密性:
就是防止信息泄露或非授权的访问,具体来说,保密性就是实施通信的隐蔽性和抗破译能力。
39.通信的隐蔽性:
指通信方通过伪装或变换信息,以及通过安全信道进行通信传输的一种掩护信息的技术措施,使攻击方无法辨认通信双方是否在进行,以及无法窃取通信中信息的存在性。
40.通信抗破译能力:
指通信保密的信息隐蔽内容具有不可攻破能力。
即使窃密者知道通信信息的存在,或截获有关信息内容,但始终无法知道通信信息内容的真实性。
通常,抗破译强度按信息本身的价值可分为两种类型:
一是可破译且能恢复出原始信息,二是无论花多少时间,多少资源或技术手段也不可破译。
41.保密通信的实时性:
主要反映通信信息响应的跟随能力。
由于保密通信客观上存在响应时间差,直接影响通信的实时性,因此应尽量减少这种影响的程度,使其能达到实用的需求。
42.保密通信的可用性:
指通信保密后,应使用户在权限范围内能方便灵活地正常操作使用。
43.保密通信的可控性:
指授权机构允许对某些保密通信进行监测,监听其通信内容,查访安全漏洞的一种技术措施。
44.通信保密技术可分三类:
语音保密通信,数据保密通信,图像保密通信。
45.语音保密技术主要采用模拟置乱技术和数字加密技术。
46.数字加密技术:
语音数字加密技术是最常用的保密通信技术,具有较高的保密性,特点是把原始信号转换为数字信号,然后采用适当的数字加密方法以实现保密通信的目的。
47.网络通信加密的两种主要形式:
链路加密和端-端加密。
48.链路加密:
一种面向物理层的数据加密方式。
密码设备设计在两个节点的通信线路上,介于各自节点与相应的调制解调器之间,加密主要在1,2层进行,不同的链路采用不同的加密密钥,以免相互影响信息安全。
链路加密的主要原理:
数据信息加入物理层传输时,对所有的信息加密进行加密保护,信息进入计算机之前必须进行解密处理才能使用。
这意味着两个特点:
一是链路加密主要是在物理层进行,技术要求所有节点必须是物理安全的,二是每个通信节点的主机内部的数据信息仍是以明文的方式存放,明显存在安全隐患。
加密方法的优点:
可方便地采用硬件来实现,不依赖于机型和操作系统,具有调整,可靠,保密等特点。
缺点是中间节点不可暴露,维护节点的安全性代价高。
比如硬件开销,每个节点都要有加密器,运行维护,密钥处理等开支,投资较大。
49.端-端加密:
属高层加密方式,侧重在6,7层进行,加密过程是在两个端系统上完成的。
密码设备设计只在通信的两个商品位置设置,与链路加密有很大的差别,中间节点一律不设密码设备。
加密原理:
源端在发送源消息之前将消息加密成密文,并以密文消息的形式经通信网传送到目的端。
各端点采用相同的密码算法和密钥,对传递通路上的各个中间节点,其数据是保密的。
换句话说,加密方式不依赖于中间节点,中间节点没有义务对其他层的协议信息进行解密,只有收端用户正确解密才能恢复明文。
端-端加密优点:
用户可以随意选择加密算法,数据一直处于密文的保护之下,即使中间某条链路发生失误,也不至于影响数据安全。
加密方式的软硬件都能使用,因此具有使用灵活,安全性高等特点。
其缺点:
容易暴露收-发双方目标和针对用户的密钥量大。
50.计算机中的访问控制是合理保护信息资源的一种使用措施,是自动防范系统的非法访问,防止安全侵害,保证系统应用和数据的安全需求。
51.网络通信访问的最基本控制方式主要包括:
连接访问控制,网络数据访问控制,网络访问控制转发,自主访问控制,强制访问控制。
52.自主访问控制:
保护系统资源不被非法访问的一种有效手段,主要指主体可以自主地按自己的意愿系统的参数作适当修改,以决定哪些用户可以访问他们的资源,或可自主地将访问权或访问权的某个子集授予其他主体。
53.强制访问控制:
指主体和客体都设定一个固定的安全属性,由此决定某个主体是否可访问某客体,这里的安全属性是强制性的,可由安全管理员或操作系统根据限定的规则确定,主体身份不能更改。
54.接入控制功能:
阻止非法用户进入系统,允许合法用户进入系统,使合法用户按其权限进行各种活动
55.接入控制任务:
用户认证与识别,对认证用户进行授权。
56.接入控制策略:
最小权限策略根据主体访问功能所需权利给予最小化分配权力,最小泄漏策略根据主体执行过程所知信息最小化原则分配权力,多级安全策略根据主体和客体安全程度划分,进行权限和流向控制。
57.数字签名技术认证和口令认证方式的区别:
口令认证侧重在数据交换开始之前进行,一旦通过身份认证,双方即建立安全通道进行通信,后面不再进行验证。
数字签名认证强调在每次的请求和响应中进行,即接受信息一方先从接收到的信息中验证发信人的身份信息,待验证通过后才根据发来的信息进行相应的处理。
58.IP层是TPC/IP网络中通信子网的最高层,IP协议作为网络层的互联网协议,IP安全是INTERNET网络安全的核心。
59.IP层的安全主要包括三个方面的功能:
鉴别服务,机密性和密钥管理。
鉴别服务确保安全报文分组传送的发送方(由IP头中源信息确定)是源发送方,同时还要确保这种分组报文在传送过程中不遭受未授权的修改。
机密性服务通过通信节点为消息提供加密保护,防止第三方的搭线等方式窃听。
密钥管理服务保证IP在连接的网络环境下实现密钥信息的安全交换。
60.IPSEC:
指IETF(INTERNET工程任务组)以RFC形式公布的一组IP协议集,属IP级的安全保护协议标准,目的是把安全机制引入安全IP协议,安全服务通过使用现代密码学方法支持机密性和认证服务来实现。
61.IPSEC主要有两大部分组成:
IPSEC安全协议(AH/ESP)和密钥管理协议(IKE)。
IPSEC安全结构包括四个基本部分:
安全协议AH和ESP,安全关联SA,密钥交换,认证和加密算法。
62.IP安全体系中,与SA相关的两个数据库是安全策略数据库SPD,安全关联数据库SAD。
62.隧道:
就是把数据包封装在另一个数据包里面,使整个源数据包变成新数据包的有效内容部分,并在整个报文前添加新的IP头。
63.网络安全攻击中最为严重的攻击是IP欺骗攻击。
64.AH功能:
IP设置鉴别首部AH是为了IP数据项提供强认证的一种安全机制,可为IP数据项提供无连接完整性,数据源认证和抗重放攻击,三项功能分别是:
通过消息认证友产生的检验值来保证数据完整性,通过被认证数据包中的共享秘密或密钥来保护数据源认证,通过在AH中使用一个序列号来实现抗重放攻击。
65.ESP功能:
因为认证只校验消息包的来源和完整性,缺乏内容机密性保护,ESP的作用就是引入机密性服务,它将保护对象加密后再封装到IP包中,加强IP数据项的机密性,同时ESP也能提供鉴别服务,但与AH相比,ESP只鉴别报文头部之后的信息,比AH鉴别的范围窄些。
66.安全套接层SSL:
是NETSCAPE公司于1994年来率先采用的网络安全协议,它是在传输通信协议TCP/IP上实现的一种安全协议,属于传输对应的安全会话层控制方式,以TCP用为传输协议,可为数据的传送和接收提供可靠性保证,它工作在SOCKET层上,相对独立于高层牟应用,可为更高层的协议如HTTP,TELNET,FTP等提供安全服务。
67.SSL协议由两层组成:
低层是SSL记录协议(定义了数据传送的格式),上层协议:
SSL握手协议(建立安全连接的过程),SSL修改密文协议,SSL告警协议。
68.PPDR-A模型的五要素:
代表policy(策略),protection(防御),detection(监测),response(反应),antagonism(对抗)。
安全策略是指网络系统安全性的规范定义。
内容包括:
网络系统架构定义,网络信息安全的保密性和完整性的定义,网络安全功能和信息安全服务定义,网络系统可靠性定义等。
安全监测是对网络系统安全保护对象和具体保护措施。
安全反应是对安全监测事件的反馈处理。
安全防御是体现保护网络系统安全的防御性措施。
安全对抗是指网络系统具备的本体抗击侵扰和外延反攻击的功能。
69.网络系统安全机制包括三个方面内容:
安全防御机制,主要有访问控制,加密控制,审计服务,系统可靠机制等。
安全监测机制,安全扫描,入侵探测,安全审计机制等。
安全反应机制,主要有安全报警,安全恢复,安全补丁,安全对抗机制等。
70.系统安全设计通常包括安全系统服务定义,安全系统结构设计,安全系统机制设计,系统功能组件逻辑设计,系统设计目标验证等。
71.拓扑结构:
总线型结构(优点拓扑结构简单易于扩充,弱点可靠性差),星形结构(有点心结点,缺点:
中心结点的故障可能直接造成整个网络瘫痪),环形结构(最脆弱的一种拓扑结构)
72.网络系统软件安全涉及的内容:
软件系统的源代码安全:
它提供网络系统使用的各种软件。
软件本身的安全保密:
它对所提供和使用的软件要保证它的完整性。
通信保密的软件实现功能:
数据的安全保密主要是靠软件功能实现。
系统管理的安全保密:
系统管理指的就是软件管理。
73.新的WINDOWSNT使用目录服务存储账户信息。
74.UNIX的安全体系结构基本描述为五个层次:
策略层:
主要负责安全策略的需求分析,安全机制的确定以及安全措施的计划与落实。
用户层:
既包含使用网络设备的人员,也包含UNIX多用户环境下的服务支持的应用进程等。
主机层:
一般指计算机网络互联设备。
包过滤层:
对应OSI中的网络层,通过用户层的进程和包过滤规则操作对IP包进行过滤判别,并决定取舍。
连接层,对应OSI中的链路层和物理层,负责网络物理设备和加密设备的正确连接等。
对于网络信息的保密性和完整性等要求,必须通过加密措施来实现,而UNIX的安全体系结构主要是通过具体的安全特性和具体安全技术来实现。
75.UNIX系统的服务安全特性
操作的可靠性
个人身份标识与认证。
自主访问控制
网络文件系统
审计。
76.数据库面临的主要威胁是篡改,损坏和窃取。
77.数据库物理备份:
通常是指利用复制技术构成数据库的文件而不论其逻辑内容如何,这种备份也称文件系统备份。
常见的文件系统备份有冷备份和热备份两种形式。
78.VPN:
指基于公共通信基础设施上构建的虚拟专用或私有网络,可以被理解为一种公共网络中隔离出来的安全网络。
79.VPN安全隔离方案:
为了解决内外网络的安全问题,目前常规的做法就是实施物理隔离方案,也就是说最少应做到网络设备,如路由器,交换机,网线,主机等在物理形态上的分离,而VPN隔离不同于物理隔离,它是一种逻辑隔离,但又与传统意义上的逻辑隔离不同,它是利用加密技术,鉴别技术,VPN技术实现的隔离,物理隔离强调的是设备的分离,VPN隔离追求的是数据的分离或不可读。
80.SSL可提供三种基本的安全服务:
信息保密,信息完整性,相互认证。
81.RSA密钥生成算法:
选取两个大素数p和q。
计算n=pq,
=(p-1)(q-1)
任选正整数e(1<
e<
),使得gcd(e,
)=1,e为公钥
计算d,满足de=1(mod
),d为秘密密钥。
加密算法:
C=E(m)=
modn
解密算法:
M=D(c)=
82.防黑客攻击几种防御技术:
安全性设计保护、先进的认证技术、扫描检测审计技术。
83.所谓防火墙,通常是指在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全防备。
84.防火墙属于一种被动的安全防御工具。
85.防火墙的主要功能:
1)防火墙提供安全边界控制的基本屏障。
2)防火墙体现网络安全策略的具体实施。
3)防火墙强化安全认证和监控审计。
4)防火墙能阻止内部信息泄漏。
86.防火墙的类型:
网络级的包过滤防火墙和应用级的代理防火墙。
87.基于网络级的包过滤防火墙主要有两类:
一是静态包过滤防火墙,二是动态包过滤防火墙。
它们也分别称为第一代与第二代包过滤防火墙模型。
88.动态包过滤防火墙:
其控制原理为:
采用动态设置包过滤规则,即包状态监测技术,对通过其建立每一个连接都进行跟踪,并根据需要可动态地在过滤规则中增加或更新检测内容。
其模型如下:
89.堡垒主机主要有三种类型:
无路由双宿主主机、牺牲主机和内部堡垒主机。
90.病毒检测方法:
比较法(一种简单方便的直接检测方法),搜索法(对计算机病毒的字符特征进行对象扫描检测一的种方法),辨别法(只需从病毒体内抽取若干关键的特征字),分析法(反病毒技术不可缺少的重要环节)。
91.数字信封:
也叫电子信封,在SET中,发送方使用随机产生的对称密钥来加密数据,对原谅HASH处理,再用自身的私钥加密得到签名,然后,将些对称密钥用接收者的加密保护,这种报文称为消息的数字信封。