计算机安全知识点doc.docx
《计算机安全知识点doc.docx》由会员分享,可在线阅读,更多相关《计算机安全知识点doc.docx(9页珍藏版)》请在冰豆网上搜索。
计算机安全知识点doc
1.什么是“安全”?
什么是“计算机系统安全”?
“安全”是指将服务与资源的脆弱性降到最低限度。
“计算机安全”定义:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”——静态信息保护。
另一种定义:
“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。
”——动态意义描述
2.计算机系统安全涉哪些主要内容?
计算机系统安全涉及的主要内容包括物理安全、运行安全和信息安全3个方面:
物理安全包括环境安全、设备安全和媒体安全。
运行安全包括:
风险分析、审计跟踪、备份与恢复、应急等。
信息安全包括:
操作系统安全、数据库安全、网络安全、病毒防护、加密、鉴别、访问控制。
计算机系统安全还涉及信息内容安全和信息对抗。
3.在美国国家信息基础设施(NII)文献中,给出了哪几种安全属性?
可靠性可用性保密性完整性不可抵赖性
(1)可靠性:
是指系统在规定的条件下和规定的时间内,完成规定功能的概率。
(2)可用性:
是指得到授权的实体在需要时可以得到所需要的资源和服务。
(3)保密性:
确保信息不暴露给未授权的实体或进程,即信息的内容不会被未授权的第三方所知。
(4)完整性:
信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失。
即只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。
(5)不可抵赖性:
是指在信息交互过程中,确信参与者的真实同一性,既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
4.什么是P2DR安全模型和PDRR安全模型?
P2DR安全模型包括:
策略、防护、检测和响应。
P2DR:
没有一种技术可完全消除网络中的安全漏洞,必须在整体安全策略的控制、指导下,在综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的反馈将系统调整到相对最安全和风险最低的状态。
PDRR模型是美国国防部提出的“信息安全保护体系”中的重要内容,它概括了网络安全的整个环节,即防护、检测、响应、恢复,构成了一个动态的信息安全周期。
PDRR前三个环节与P2DR中后三个环节基本相同。
“恢复”,是指在系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。
一是对入侵所造成的影响进行评估和系统的重建;二是采取恰当的技术措施进行系统恢复。
6.计算机系统面临的安全威胁主要有哪几类?
(1)从威胁的来源看可分为内部威胁和外部威胁。
(2)从攻击者的行为上看可以分成主动威胁和被动威胁。
(3)从威胁的动机上看分为偶发性威胁与故意性威胁。
7.《可信计算机系统评估标准》TCSEC将计算机系统的可信程度,即安全等级划分为哪几类哪几级?
按安全程度高->低排序:
D、C1、C2、B1、B2、B3、A1
AA1可验证的安全设计
BB3安全域机制B2结构化安全保护B1标号安全保
CC2访问控制保护C1选择的安全保护
DD最小保护
8.提高计算机可靠性的方法一般有哪些措施?
提高计算机的可靠性一般采取两项措施:
避错、容错.
避错:
提高软硬件的质量,抵御故障的发生。
容错:
在故障发生时,系统仍能继续运行,提供服务与资源。
9.什么风险管理?
它包括哪些内容?
风险管理:
识别风险、评估风险,以及采取步骤降低风险到可接受范围内的过程。
也就是,如何在一个肯定有风险的环境里把风险减至最低的管理过程。
风险管理包括风险识别、风险分析、风险评估和风险控制等内容。
10.什么是容错?
容错是用冗余的资源使计算机具有容忍故障的能力,即在产生故障的情况下,仍有能力将指定的算法继续完成。
11.什么是平均无故障时间(MTBF)?
MTBF:
指两次故障之间能正常工作的平均时间。
12.容错技术包括哪些内容?
容错主要依靠冗余设计来实现,以增加资源换取可靠性。
由于资源的不同,冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。
13.一个安全的密码体制应当具有哪些性质?
(1)从密文恢复明文应该是困难的,即使分析者知道明文空间。
(2)从密文计算出明文部分信息应该是困难的。
(3)从密文探测出简单却有用的事实应该是困难的。
14.什么是“密码体制的无条件安全性、计算安全性、可证明安全性”?
(1)无条件安全性。
如密码分析者具有无限的计算能力,密码体制也不能被攻破,那么该密码体制就是无条件安全的。
(2)计算安全性。
即密码分析者为了破译密码,穷尽其时间、存储资源仍不可得,或破译所耗资材已超出因破译而获得的获益。
(3)可证明安全性。
即将密码体制的安全性归结为数学难题。
15.密码学研究内容包括哪些重要方面?
密码分析学研究的对象是什么?
现代密码学包括密码编码学和密码分析学,还包括安全管理、安全协议设计、散列函数等内容
密码分析是研究在不知道密钥的情况下如何恢复明文的科学。
16.一个密码系统(体制)包括哪些内容?
所有可能的明文、密文、密钥、加密算法和解密算法。
17.DES算法加密的基本过程是什么?
输入64比特明文数据→初始置换IP→在密钥控制下16轮迭代→交换左右32比特→初始逆置换IP-1→输出64比特密文数据。
18.什么是单向函数?
什么是单向陷门函数?
1.单向函数即满足下列条件的函数f:
(1)给定x,计算y=f(x)是容易的;
⑵给定y,由x=f-1(Y)计算出x在计算上是不可行的。
2.单向陷门函数
满足单向函数条件,但是若存在z,在已知z的情况下,对给定的任意y,由x=f-1(Y)计算x又变得容易。
此函数即为单向陷门函数。
19.在DES算法中,S2盒的输入为101101,求S2盒的输出?
输出为0100。
20.为了抵抗攻击者对密码的统计分析攻击,Shannon提出了设计密码系统应当采取哪两个基本方法?
设计密码系统的两个基本方法:
扩散与混乱
扩散是指将明文的统计特性散布到密文中去。
实现方式是使得明文中的每一位影响密文中的多位值,即密文中的每一位受明文中的多位影响;将密钥的每位数字尽可能扩散到更多的密文数字中去,以防止对密钥进行逐段破译。
混乱的目的就是使密文和密钥之间的统计关系变得尽可能复杂。
使用复杂的非线性代换算法可以得到预期的混淆效果。
21.DES加/解密过程有什么不同?
DES加密与解密过程使用相同的算法,并且使用相同的加密密钥和解密密钥,二者的区别是:
(1)DES加密时是从L0、R0到L15、R15进行变换的,而解密时的变换过程是从L15、R15到L0、R0。
(2)加密时各轮的加密密钥为k0k1?
k15,而解密时各轮的加密密钥为k15k14?
k0。
(3)加密时密钥循环左移,而解密时密钥循环右移。
22.什么是“弱密钥与半弱密钥”
弱密钥:
它的独特数学特性能够很容易被破坏的密码密钥EK?
EK=I
半弱密钥:
EK1=EK2
23.Diffie-Hellman密钥交换协议是如何实现密钥交换的?
它容易受到何种攻击?
该协议允许在不安全的介质上通过通信双方交换信息,可以安全地传输秘密密钥,并提出了公钥密码体制的概念。
由于没有认证功能,容易受到中间人的攻击。
24.什么是数字证书?
数字证书是一个经认证中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。
25.在分组密码运行模式中,ECB(电码本)、CBC(密码分组链接)模式的基本原理是什么?
ECB电码本模式是最简单的运行模式,它一次对一个64比特的明文分组进行加密,而且每次加密的密钥都相同。
CBC密码分组链接模式,它克服了ECB(电码本)模式的不足,它每次加密使用同一个密钥,但是加密算法的输入是当前明文分组和前一次密文分组的异或。
即Ci=Ek[Ci-1⊕Pi](初始向量为IV)。
26.什么是“消息认证(鉴别)”?
消息认证函数一般分为哪几类?
消息认证也称为消息鉴别,是认证消息的完整性。
即证实收到的消息来自可信的源点且未被篡改。
认证函数一般分为3类:
(1)消息加密:
用整个消息的密文作为对消息的认证码。
(2)消息认证码(MAC):
是消息和密钥的公共函数,产生一个定长值作为认证码。
(3)散列函数:
一个将任意长度的消息映射为一个固定长度的哈希(Hash)值的公共函数,以Hash值作为对消息的认证码。
27.说明利用消息鉴别码MAC进行消息认证的过程。
设M为可变长的消息,K为收发双方共享的密钥,则M的MAC由函数C生成,即:
MAC=Ck(M)
其中Ck(M)是定长的。
发送者每次将MAC附加到消息中。
接收者通过重新计算MAC来对消息进行鉴别。
如果收到的MAC与计算得出的MAC相同,则接收者可以认为:
1)消息未被更改过;
2)消息来自其他共享密钥的发送者。
28.如果发送方发送了“消息”及其“散列值”,请问接收方椐此可以进行消息认证吗?
为什么?
可以。
通过散列值可以确定消息的来源和是否被修改,即可认证消息。
29.为什么需要“数字签名”?
如何进行数字签名?
如何验证数字签名?
消息鉴别能够用于保护通信双方免受第三方攻击,但是无法防止通信双方的相互攻击。
因此,除了消息鉴别还需要引入其他机制来防止通信双方的抵赖行为,最常见的解决方案就是数字签名。
数字签名:
以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。
30.Diffie-Hellman算法最常见的用途是什么?
密钥分配。
31.什么是PKI?
其主要目的是什么?
PKI系统包括哪些主要内容?
PKI:
是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分配和撤消等功能。
PKI的目的:
通过自动管理密钥和证书,从技术上解决网上身份认证、信息的保密性、不可否认性、完整性等安全问题,为用户建立一个安全的网络环境。
PKI包括:
认证中心注册机构证书库档案库PKI用户
32.什么是安全策略?
安全策略是一种声明,它将系统的状态分成两个集合:
已授权的,即安全的状态集合;未授权的,即不安全的状态集合。
任何访问控制策略最终均可被模型化为访问矩阵形式。
33.整个Kerberos(网络认可协议)系统由哪几部分组成?
整个系统将由四部分组成:
AS、TGS、Client、Server
34.当加密密钥对被更新时,旧的解密密钥是需要保存,还是需要销毁?
当签名密钥被更新时,旧的签名密钥是需要保存,还是需要销毁?
都要销毁。
35.身份认证的物理基础可以分为哪几种?
(1)用户所知道的:
是最常用的密码和口令;
(2)用户拥有的:
有身份证、护照、密钥盘等;
(3)用户的特征:
用户的生物特征,如指纹、红膜、DNA、声纹,还包括用户的下意识行为,比如签名。
36.什么是“零知识证明”?
并举例说明。
零知识证明:
证明者P拥有某些知识,P在不将该知识的内容泄露给验证者V的前提下,向V证明自己拥有该知识。
零知识证明最通俗的例子是下中的山洞问题。
山洞里C、D两点之间有一扇上锁的门,P知道打开门的咒语,按照下面的协议P就可以向V证明他知道咒语但是不需要告诉V咒语的内容:
(1)V站在A点;
(2)P进入山洞,走到C点或D点;
(3)当P消失后,V进入到B点;
(4)V指定P从左边或者右边出来;
(5)P按照要求出洞
(6)P和V重复①-⑤步骤n次。
如果P知道咒语,他一定可以按照V的要求正确的走出山洞n次。
如果P不知道咒语并想使V相信他知道咒语,就必须每次都事先猜对V会要求
升级会员 