浙江大学远程教育《信息系统安全》第一次作业答案-文档格式.doc
《浙江大学远程教育《信息系统安全》第一次作业答案-文档格式.doc》由会员分享,可在线阅读,更多相关《浙江大学远程教育《信息系统安全》第一次作业答案-文档格式.doc(6页珍藏版)》请在冰点文库上搜索。
A、数据完整性 B、可用性 C、可靠性 D、机密性
3、上课时,老师带U盘其中存储了上课用PPT,同时把该PPT放在互联网电子邮件系统的网络存储中,这种安全技术保证了数据的(B)
A、完整性 B、可用性 C、访问权限 D、机密性
4、教师提交学生成绩纸质版给教学管理部门的同时,还将数据输入在教学管理网站,这是为了保证数据的(A)
5、某数据中心制定规定,每月将数据备份到另外一幢楼的存储中,这是为了数据的(C)
A、完整性 B、可用性 C、可靠性 D、机密性
6、某旅客张三在乘火车时睡着了,其隔壁的旅客用张三的手机,给张三通讯录中所有联系人发短信“我在出差中钱包被盗,手机马上欠费停机,李四是我朋友,请帮助汇款200元,到工商银行卡号xxxxxx,谢谢”,这在信息安全领域,属于威胁类别为(B)
A、泄密 B、欺骗 C、中断 D、篡夺
7、某旅客张三在乘火车时睡着了,其隔壁的旅客李四使用张三的手机,给张三通讯录中所有联系人发短信“我在出差中钱包被盗,手机马上欠费停机,李四是我朋友,请帮助汇款200元,到工商银行卡号xxxxxx,谢谢”,这在信息安全领域,属于威胁类别为(B)
8、某银行用户张三在ATM机取款后,忘记取走信用卡,其后的用户李四用张三遗忘在ATM机中的信用卡,取款20000元。
这在信息安全领域,属于威胁类别为(D)
9、张三有一机密文件,使用winrar加锁压缩。
李四猜测张三的密码,发现密码是张三的生日,看到了机密文件内容。
这在信息安全领域,属于威胁类别为(A)
10、大户股民张三在网吧上网炒股,打算下一个大单,猛力打压某个股票。
李四与张三在同一网吧,发现张三的意图后,不断发出网络中的广播包,导致该网吧内网络风暴,张三所下的大单在股市开市期间,未能送达股票交易所,造成巨大损失。
这在信息安全领域,属于威胁类别为(C)
11、某网游程序员,在某个特定的网游场景中,设置了一个软件功能,当以fat带头的玩家ID,在该场景连续点击某个石头10次,则该玩家ID获得额外银子1000两。
该安全风险被称为(B)
A、挂马 B、后门 C、逻辑炸弹 D、电磁泄漏
12、某软件公司的程序员张三,负责一个软件的核心模块开发。
张三开发完成软件后,向其部门经理要求加薪升职,被拒,张三离开该软件公司。
该软件运行到年底时忽然崩溃,且存储的数据均变成乱码。
公司求助于张三,张三要了一大笔钱后,修复了整个系统。
此后,公司仔细检查,发现是张三在软件中设置了一个功能,年份变化时,如果没有一个特殊操作,原存储在数据库中的数据被加密,之后软件崩溃。
该安全风险被称为(C)
A、挂马 B、后门 C、逻辑炸弹 D、黑客
13、某公司网站,希望了解上该网站的网民信息,因此在网站主页中加了一个小模块,收集浏览该网站的计算机信息。
该安全风险被称为(A)
14、某网民浏览某网站时发现一个小工具,下载时提示有风险,但是该网民无视风险下载并运行。
此后该网民在上金融网站进行网上理财时,发现有个不明进程把银行用户、密码信息泄露到不明去向。
15、某网民在上网时,发现网络流量忽然增大,仔细查看发现有不明来源的网络连接,正在通过网络向外传输自己电脑中的数据。
该安全风险被称为(D)
16、以下关于人肉搜索说法错误的是(D)
A、人肉搜索就是利用现代信息科技,变传统的网络信息搜索为人找人,人问人,人碰人,人挤人、人挨人的关系型网络社区活动
B、人肉搜索将枯燥乏味的查询过程为一人提问、八方回应,一石激起千层浪,一声呼唤惊醒万颗真心的人性化搜索体验
C、人肉搜索不仅可以在最短时间内揭露某某门背后的真相,为某三某七找到大众认可的道德定位,还可以在网络无法触及的地方,探寻并发现最美丽的丛林少女,最感人的高山牧民,最神秘的荒漠洞窟,最浪漫的终极邂逅
D、人肉搜索是刺青、美白、护肤、减肥等直接在人肉上施行行为类似的一种美容手段
17、维基解密(Wikileaks)是一个专为揭露政府、企业腐败行为而成立的网站。
“维基解密”称此举很可能会改善调查性报道的质量,减少政府腐败,重建企业伦理文化。
2010年7月25日,Wikileaks网站通过英国《卫报》、德国《明镜》和美国《纽约时报》公布了92000份美军有关阿富汗战争的军事机密文件。
这种行为有可能侵犯了(A)。
A、数据隐私权 B、电子通讯隐私权 C、财产安全 D、人身安全
18、张三除了拥有一台品牌笔记本电脑外,又去DIY了一台兼容机,然后用品牌笔记本自带的Win7光盘,安装了win7操作系统,并提供网站找到各种设备驱动。
他的行为已经违反了(A)。
A、刑法217条软件盗版 B、刑法285条非法侵入
C、刑法286条计算机破坏 D、刑法第287条规定的利用计算机实施的犯罪
19、张三除了拥有一台品牌笔记本电脑外,又去DIY了一台兼容机,然后用品牌笔记本自带的Win7光盘,安装了win7操作系统,并提供网站找到各种设备驱动。
20、张三笔记本电脑中有隐私照片,某日张三的笔记本摔在地上,显示屏开裂,因此张三拿去修理。
修理员拆卸下该笔记本并挂接在另外的电脑上作为第二个硬盘,启动计算机后发现无法进入该硬盘,需要用户认证,否则读出的数据为乱码。
这说明张三的数据得到了(A)。
A、可控访问保护 B、病毒防火墙保护 C、网络防火墙保护 D、形式安全验证
21、公司实施了指纹考勤机,张三为了破解让李四实现代打卡。
1)先用铅笔在白纸的一小块上反复涂抹,直至完全涂黑;
2)把手洗净擦干,用录过指纹的手指在纸上涂黑处来回涂抹10次;
3)取一小块宽胶带,在涂胶面用刚才涂黑的手指按一下,力度轻重适度,以指纹清晰为目的;
4)把刚才印上指纹的胶带贴在橡皮上,不能有气泡;
5)切割橡皮,以适应指纹考勤机窗口,注意保留指纹;
6)拿着这块指纹橡皮去指纹考勤机上测试,如不成功,则重复第3步。
这突破了OSI安全体系结构的(A)机制。
A、鉴别 B、访问控制 C、数据保密 D、数据完整
22、李四被张三约着一起去看电影,李四去电影院没有等到张三,质问张三,张三说没有约过李四。
这需要OSI安全体系结构的(D)机制。
A、访问控制 B、数据保密 C、数据完整 D、抗否认
23、张三更换了自己家门的门锁,并给了自己的父母一把钥匙,这属于(B)。
A、强制访问控制 B、自主访问控制 C、验证设计 D、最小保护
24、为了克服湿度给计算机设备带来的危害。
通常希望把计算机机房的湿度控制在(B)之间。
A、80%以上 B、45%~65% C、10%~25% D、10%以下
25、机房周围有电力系统施工,导致电压瞬变、瞬时停电、电压不足等风险,需要给计算机机房增加(B)。
A、干电池 B、UPS C、GPS D、应急照明灯
26、某服务器运行时会不正常,有机房管理员在计算机带负载运行时,用手指触摸处理器表面,以确定是否过热,开始由于带有静电导致处理器烧掉了。
这种做法错误在(D)。
A、应该计算机不带任务,测量处理器表面温度
B、应该计算机关机,测量处理器表面温度
C、应该用手掌触摸
D、应该带防静电手套
27、机房应避开强振动源,原因是振动和冲击对计算机的设备的影响很大,其主要危害不包括(D)。
A、会引起紧固零件的松动
B、会导致元件及导线变形
C、如果接点接触不良,则焊接部分可能会脱焊
D、SSD硬盘的读写头划伤磁盘表面
28、笔记本锁的一般可以分为锁缆,锁(密码或钥匙),T型锁扣,钥匙(用于钥匙锁)这几个部分,通过和设备上的锁孔相锁定,实现对设备的(A)。
A、物理安全 B、数据安全 C、网络安全 D、机房环境安全
29、据一些资料介绍,即使磁盘已改写了12次,第一次写入的信息仍有可能复原出来。
这使涉密和重要磁介质的管理、废弃磁介质的处理,都成为很重要的问题。
国外甚至有这样的规定:
记录绝密信息资料的磁盘只准用一次,不用时就必须销毁,不准抹后重录。
这种现象称为(D)
A、电磁泄漏 B、电磁辐射 C、电磁污染 D、剩磁效应
30、硬盘锁的目的是防止硬盘(D)。
A、被盗窃 B、被格式化 C、被分区 D、被未经授权的访问
31、1985年,在法国召开的一次国际计算机安全会议上,年轻的荷兰人范•艾克当着各国代表的面,做了一个著名的范•艾克实验,公开了他窃取微机信息的技术。
他用价值仅几百美元的器件对普通电视机进行改造,然后安装在汽车里,这样就从楼下的街道上,接收到了放置在8层楼上的计算机电磁波的信息,并显示出计算机屏幕上显示的图像。
他的演示清楚地表明了电磁波辐射造成的严重泄密问题,引起世界对此问题的高度关注,这称之为(A)。
A、电磁泄漏 B、剩磁效应 C、电磁干扰 D、电磁屏蔽
32、随着移动通信的迅速发展,手机已经成为人们必不可少的通信工具,手机给人们带来方便、快捷的同时,它也有着很高的变频和射频辐射。
这种突变的辐射信号,轻者干扰周围的精密仪器设备的正常工作,如在医院,会影响到心脏起博器、心电图记录仪等一类精密的仪器,导致医生诊断失误。
重者会产生静电火花,引爆可燃气体,对加油站、加气站、化工仓库、炼油厂、危险物品存放场等区域的安全造成重大的威胁。
在指定的范围内形成表态屏蔽磁场(即移动电话无法接收到此信号),使移动电话在指定范围内无法打出和接入,也就无法形成突变的辐射信号,从而达到强制性禁用移动电话的目的,对以上场所的安全提供了极大的保障。
这种设备称之为(A)。
A、手机信号屏蔽器 B、无线电波检测设备
C、手机信号增强器 D、手机信号放大器
33、第二代居民身份证采用了(B)芯片信息存储技术。
A、接触式IC卡 B、非接触式IC卡 C、磁卡 D、USB接口卡
34、用穷举法来算密码,从键盘上的字母、数字、符号的各种组合,将密码进行逐个推算,直到找出真正的密码为止,这种破解方法称为(D)。
A、字典攻击 B、键盘攻击 C、网络黑客 D、暴力破解
35、以下(D)方法不属于生物特征鉴别方法。
A、掌纹 B、手指静脉 C、虹膜 D、血型
36、数据丢失的最大原因是(A)。
A、用户失误 B、磁盘故障 C、灾难 D、通讯故障
37、RAID(RedundantArrayofInexpensiveDisks),是指将多个磁盘连成一个阵列,然后以某种方式写磁盘,Raid6这种方式可以在(C)磁盘失效的情况下防止数据丢失。
A、一个且必须为一个 B、两个且必须为两个 C、两个或两个以下 D、三个或更多个
38、主机冗余方案中,(A)是必须的硬件。
A、双机之间的通讯连接设备 B、双机之间的共用UPS
C、双机之间的共用打印机 D、双机之间的共用网关
三、简答题
1、SIM卡是(SubscriberIdentityModel客户识别模块)的缩写,也称为智能卡、用户身份识别卡,GSM数字移动电话机必须装上此卡方能使用。
一般SIM卡的IC芯片中,有8kB的存储容量,可供储存以下信息:
(1)100组电话号码及其对应的姓名文字。
(2)15组短信息(ShortMessage)。
(3)5组以上最近拨出的号码。
(4)4位SIM卡密码(PIN)。
SIM卡有两个PIN码:
PIN1码和PIN2码。
通常讲的PIN码就是指PIN1码,它用来保护SIM卡的安全,加密SIM卡中的数据,是属于SIM卡的密码。
PIN2码跟网络的计费(如储值卡的扣费等)和SIM卡内部资料的修改有关。
某间谍被国家安全部门抓获,将手机SIM卡咬碎成几个部分。
国家安全部门将SIM卡的各部分数据恢复整合,获得部分联系人信息。
问国家安全部门需要进行哪些流程。
答:
SIM被咬碎成几个部分,首先需要把每个部分存储的IC芯片中的数据读出
根据咬碎几个部分的几何位置,恢复原SIM卡中8KB数据
恢复的8KB数据是加密过的数据,属于密文
需要破解PIN1码,PIN码只有4位,可以穷举从0000到9999。
用PIN1码解密获得电话号码、短信、最近拨出的号码。
2、银行卡复制器是一种金融入侵工具,安装在银行的柜员机的磁卡入口处,只要卡插入后账户资料就被磁卡采集器读取,同时需要偷看用户的密码。
然后可以将窃取到的信息写入空白磁卡。
之后在提款机上利用假卡与密码,将账户内存款全数提走。
问如何防范。
防止信用卡信息被盗用,需要防止磁卡刷卡处增加安装设备
输入密码时加遮挡,以免后面的其他人员查看,或被对面街道的高清摄像机拍摄
还可以将信用卡从磁卡改成IC卡
张三的网游被黑,其道具被盗走,张三向网管投诉。
网管调查发现,张三的账户密码为123456。
该密码属于世界上最常见密码之一,包括:
123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。
密码强度指一个密码被非认证的用户或计算机破译的难度。
密码强度通常用“弱”或“强”来形容。
高强度的密码应该是:
包括大小写字母、数字和符号,且长度不宜过短,最好不少于10位;
不包含生日、手机号码等易被猜出的信息。
请问在该事件中,能吸取哪些教训。
3、张三的网游被黑,其道具被盗走,张三向网管投诉。
低强度的密码,容易被字典共计
张三应该设置一个高强度的密码,同时网游应该检测用户的密码强度是否够强
张三应该定期修改密码,同时网游应该提醒用户定期修改
四、设计题
1、阅读以下材料:
网络数据流窃听(Sniffer)由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。
认证信息截取/重放(Record/Replay)有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。
一次性口令(OTP:
OneTimePassword)的密码体制,在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。
这些不确定因子选择方式可以是:
挑战/回答(CRYPTOCard):
用户要求登录时,系统产生一个随机数发送给用户。
用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。
问题:
已知需要设计一个网上登录界面,依据上述资料,需要防止窃听攻击、重放攻击,已知每个用户有一个手机且不会丢失,请设计一个安全的登录方法。
登录界面包括:
用户名,密码
密码输入验证是正确用户,如果不是,退出
计算机系统将动态生成的密码,通过短信发给用户
用户使用接收的短信中的密码登录。
如果输入错误,则密码失效,需要重复第二步。