信息安全案例教程 技术与应用 第2版各讲练习题附答案Word文档格式.docx
《信息安全案例教程 技术与应用 第2版各讲练习题附答案Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全案例教程 技术与应用 第2版各讲练习题附答案Word文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
电影《速度与激情8》中黑客组织的远程攻击,控制僵尸车造成交通瘫痪,抢夺核发射装备。
电影《谍影重重5》中展现的令人咋舌的黑客技术。
电影《绝对控制》展现的黑客控制汽车,以及智能家居安全等问题。
电影《虎胆龙威4》为我们描绘了、股市瘫痪、安全机关混乱、民众恐慌,国家安全受到严重威胁。
电影《鹰眼》描绘了信息监控无处不在。
还有《我是谁:
没有绝对安全的系统》、《黑客军团》、《网络犯罪调查》、《骇客交锋》、《网络危机》、《夺命手机》等等许多。
请大家观看以上这些影片发表感想。
3.试再列举一些案例,谈谈对于本讲中提醒大家的3句忠告的认识:
(1)谨言慎行、遵纪守法
(2)敬畏技术、加强修养
(3)独立思考、不信谣不传谣
第3讲
选择题:
1.以下哪种看法是正确的:
()
A.如果我们经常为计算机中的操作系统和应用软件打补丁,就可以确保这台机器就是安全的。
B.如果我们的邮箱账户使用了强的口令(Password)就能确保邮箱的安全。
C.如果我们的计算机从互联网完全断开就可以确保计算机不会受到安全威胁。
D.如果我们对BYOD设备进行有效的管控将能减少组织内网面临的安全风险。
2.以下哪种做法是正确的:
A.打开不熟悉用户发来的电子邮件的附件。
B.连接不加密的无线网络。
C.到软件厂商的官网下载软件。
D.系统不用及时打补丁。
3.使用加密技术不仅可以保证信息的(),防止信息被非授权访问或泄露给未授权实体,而且可以保证信息的完整性,防止信息被篡改。
A.可用性B.保密性C.正确性D.真实性
4.中断威胁是指破坏信息系统的资源,使之变成无效的或无用的,这种威胁是针对信息系统的()。
A.可用性B.保密性C.完整性D.真实性
5.()是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不被偶然或蓄意地修改、伪造等破坏。
A.可用性B.保密性C.完整性D.真实性
6.下列哪一项不属于网络面临的安全问题。
A.病毒B.拒绝服务攻击C.非授权访问D.网络设备快速更新
7.下列哪一项不属于引发网络空间安全问题的原因。
A.大量商务、政务以及个人活动在网上开展
B.网络信息资源成为重要的战略资源
C.网络设备发展迅速
D.网络协议为便捷通信而设计
8.下列哪一项与信息系统的保密性无关。
A.拒绝服务攻击
B.病毒
C.加密和解密
D.终端接入控制
9.信息系统中的脆弱点普遍存在,下列哪些方面存在脆弱性。
A.操作系统B.应用软件C.人D.以上三项均是
10.以下哪句话是正确的。
A.信息安全是特定对象的安全,也是特定过程的安全。
B.信息安全研究的内容应当围绕构建信息安全体系结构的技术展开
C.从信息安全要保护的对象来看,包括信息基础设施、计算环境、边界和连接、信息内容以及信息的应用;
D.从过程来看,信息要保护的是信息生产、存储、传输、处理、使用直至销毁的全过程。
11.一个安全的信息系统具有的特点是()。
多选题
A.保持各种数据的机密
B.保持所有信息、数据及系统中各种程序的完整性和准确性
C.保证合法访问者的访问和接受正常的服务
D.保证网络在任何时刻都有很高的传输速度
E.保证各方面的工作符合法律、规则、许可证、合同等标准
12.任何信息安全系统中都存在脆弱点,它可以存在于()。
A.使用过程中B.网络中
C.管理过程中D.计算机操作系统中
13.破坏可用性,使得在用的信息系统毁坏或不能使用,这属于什么威胁?
A.中断威胁B.截获威胁C.篡改威胁D.伪造威胁
14.在WiFi环境中窃取用户的浏览或传输的信息,这属于什么威胁?
A.中断威胁B.截获威胁C.篡改威胁D.伪造威胁
15.以非法手段窃得对数据库的管理权,通过创建、修改、删除等操作破坏数据的完整性,这属于什么威胁?
16.假冒管理员身份向用户发送假消息,这属于什么威胁?
17.以下哪一项不属于网络空间安全威胁?
A.网络监控B.控制根域名服务器C.掌握IP地址分配权D.IP地址耗尽
简答题:
1.试举例解释信息安全概念中涉及的“威胁”、“脆弱点”及“风险”这几个术语。
2.信息系统的安全需求有哪些?
在网络环境下有哪些特殊的安全需求?
3.中文所说的安全在英文中有Safety和Security两种解释。
本书中的“安全”对应的是“Security”,试辨析这两个英文词语的区别。
4.什么是系统可存活性?
第4讲
1.20世纪40年代~70年代,这一阶段面临的安全威胁主要是搭线窃听和密码学分析,因而这一阶段的防护工作主要是:
A.传输过程中的数据保护。
B.数据处理和存储时的数据保护。
C.过预防、检测,减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
D.确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。
2.信息安全经历了三个发展阶段,以下()不属于这三个发展阶段。
A.通信保密阶段
B.加密机阶段
C.信息安全阶段
D.安全保障阶段
3.网络空间信息安全防护的对象包括:
A.数据B.基础设施C.信息内容D.以上三项
4.在信息安全防护技术的发展过程中,网络信息安全阶段的标志性工作包括(多选题):
A.防火墙B.公钥密码技术C.防病毒技术C.漏洞扫描技术
5.“纵深防护战略(Defense-in-Depth)的核心思想包括(多选题):
A.采用层次化的、多样性的安全措施来保障用户信息及信息系统的安全。
B.确保信息和信息系统的保密性。
C.防护应当包括主机、网络、系统边界和支撑性基础设施等多个网络环节。
D.实现保护、检测、反应和恢复(PDRR)这4个主要安全内容
6.我们研究网络空间的信息安全,这里网络空间通常包括(多选题):
A.传统互联网所依托的各类电子设备
B.重要的基础设施
C.各类应用和数据信息
D.人
1.信息安全防护有3个主要发展阶段,试从保护对象、保护内容以及保护方法等方面分析各个阶段的代表性工作,并总结信息安全防护发展的思路。
阅读思考题:
1.查阅资料,进一步了解PDR、P2DR、PDR2、P2DR2以及WPDRRC各模型中每个部分的含义。
这些模型的发展说明了什么?
完成一篇读书报告。
2.阅读J.H.Saltzer和M.D.Schroeder于1975年发表的论文“TheProtectionofInformationinComputerSystem”,该文以保护机制的体系结构为中心,探讨了计算机系统的信息保护问题,提出了设计和实现信息系统保护机制的8条基本原则。
请参考该文,进一步查阅相关文献,撰写一篇有关计算机系统安全保护基本原则的读书报告。
第5讲
1.对于计算机系统,由环境因素所产生的安全隐患包括()。
A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等
B.强电、磁场等
C.雷电
D.人为的破坏
2.当你准备登录电脑系统时,有人在旁边,你将如何:
()多选题
A.不理会对方,相信对方是友善和正直的
B.友好的提示对方避让一下,不要看您的机密,如果不行,就用身体或其它物体进行遮挡
C.凶狠地示意对方走开,并报告安全中心这人可疑。
D.在键盘上故意假输入一些字符,以防止被偷看
3.以下哪些是电脑键盘面临的安全威胁?
A.键盘上输入的信息被身后的人偷窥
B.键盘上输入的信息被安装在主机USB接口上的设备截获
C.键盘上输入的信息被主机中运行的木马程序截获
D.键盘被水泼溅造成损坏
4.计算机系统的脆弱性表现为易受()。
多选题
A.温度的影响B.静电的影响C.灰尘的影响D.环境的影响
5.为了安全携带笔记本电脑,避免冲击、跌落等情况对笔记本电脑造成损坏,选购笔记本电脑包时应当考虑()。
A.是否有独立的放置笔记本电脑夹层
B.是否防潮
C.保护层海绵的厚实程度
D.肩带的牢实程度
判断题:
1.进入部门内部打扫卫生的清洁工文化水平不高,所以他们把我们废弃的纸面文件拿走也看不懂,不会影响我们的安全。
错
1.什么是旁路攻击?
试列举一些。
2.QQ登录界面中,单击密码输入栏右边的小键盘图标会弹出一个虚拟键盘,如图所示,请解释这个虚拟键盘的功能。
1.观看《碟中谍4》影片,除了窗户这个脆弱点外,思考哈利法塔的数据中心机房在环境和设备安全方面存在的问题。
提示:
环境方面,单单就机房设置在130层来看,似乎就有些问题——我们一般都知道企业机房会放置在一层或者地下一层,因为地板的单位面积承重有限,有的水冷型机柜空着也有两吨的重量。
另一方面,高层建筑往往都注重自身的重心问题,在那么高的地方,放着几十个机柜,从供电、散热、承重、搬运等角度来看都不合适。
另一方面,当阿汤哥进入机房之后,居然没有触动任何警报。
根据机房建设规范,机房应当安装监控摄像头,内部还应有温度和湿度探头,甚至进出都要安检。
设备方面,机房服务器没有禁用外来USB设备,阿汤哥U盘一插就轻松输入了病毒,接管了权限。
第6讲
1.以下哪些是U盘等存储设备面临的安全威胁?
A.丢失或被窃造成信息泄露
B.质量差造成无法使用
C.容量大,可以拷贝大文件
D.到处随意拷贝文件
2.对U盘等存储设备的安全我们可以采取哪些措施?
A.使用加密软件加密存储文件
B.购买品牌正品有质量保障的U盘等设备
C.经常格式化
D.尽量少地到处随意拷贝文件,并对其进行病毒查杀
3.下列哪一项不是U盘等移动存储工具面临的威胁。
A.丢失造成数据泄露
B.损坏造成数据不可用
C.摆渡数据
D.感染和传播病毒
4.下列哪一项不属于针对移动存储设备的安全防护。
A.加密盘中内容B.查看剩余容量
C.读写访问控制D.经常用杀毒软件检测
1.小张担心电脑故障,把公司业务敏感数据备份到了自己的U盘上,U盘也经常借给熟人使用。
这样的行为很正常。
错
1.下载USBDumper及其源码,类似的一个工具是:
FlashDiskThief。
试使用这类软件并分析USBDumper的源码了解其工作原理,并思考如何对其加以改造用于益处。
第7讲
1.为了数据在存储、传输时不发生数据截获和信息泄密,采取了加密机制。
这种做法体现了信息安全的()属性。
A.保密性B.完整性C.可靠性D.可用性
2.把明文变成密文的过程叫作()。
A.加密
B.密文
C.解密
D.加密算法
3.假设使用一种加密算法,它的加密方法很简单:
将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么这种加密算法属于()。
A.对称加密算法B.分组密码算法
C.公钥加密算法(非对称加密)D.单向函数密码算法
4.下列关于密码学的讨论中,观点()是不正确的。
A.密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗抵赖等的综合技术。
B.密码学的两大分支是密码编码学和密码分析学。
C.密码并不是提供安全的单一的手段,而是一组技术。
D.密码学中存在一次一密的密码体制,它是绝对安全的。
5.一个完整的密码体制,不包括以下()要素。
A.明文空间B.密文空间
C.数字签名D.密钥空间
6.密码学在信息安全中的应用是多样的,以下()不属于密码学的具体应用。
A.生成多种网络协议B.消息认证,确保信息完整性
C.加密,保护传输信息D.身份认证
7.公开密钥密码体制的含义是()。
A.将所有密钥公开B.将私有密钥公开,公开密钥保密
C.将公开密钥公开,私有密钥保密D.两个密钥相同
8.关于密钥的安全保护下列说法不正确的是()。
A.私钥送给需要加密消息的一方
B.公钥送给需要加密消息的一方
C.妥善保存密钥
D.定期更换密钥
1.对称密码体制的特征是:
加密密钥和解密密钥完全相同,或者一个密钥很容易从另一个密钥中导出。
√
2.公钥密码体制算法用一个密钥进行加密,而用另一个不同但是有关的密钥进行解密。
1.什么是密码学?
什么是密码编码学和密码分析学?
2.什么是密钥?
在密码系统中密钥起什么作用?
3.密码分析主要有哪些形式?
各有何特点?
4.密码学中的柯克霍夫原则是什么?
5.对称密码体制和非对称密码体制各有何优缺点?
什么是混合密码系统?
为什么要用混合密码系统?
第8讲
选择题
1.把明文变成密文的过程,叫作()。
A.加密B.密文C.解密D.密钥
2.下列加密算法中属于对称密码体制的是()。
A.RSAB.椭圆曲线密码ECCC.RC4D.ElGamal
3.下列加密算法中属于非对称密码体制的是()。
A.DESB.AESC.IDEAD.RSA
4.数据完整性机制主要用于防止数据面临的哪种威胁()。
A.假冒B.抵赖C.数据中途窃取D.数据中途篡改
5.2000年10月2日,NIST正式宣布将()候选算法作为高级数据加密标准,该算法是由两位比利时密码学者提出的。
A.MARSB.Rijndael
C.TwofishD.Bluefish
判断题
1.使信息具有防篡改、防删除、防插入等特性称为数据的完整性保护。
√
2.公钥密码体制有两种基本的应用:
一用于信息加密,另一是用于实体认证。
3.密码学中存在一次一密的密码体制,它是绝对安全的。
×
4.“公开密钥密码体制”的含义是将所有密钥公开。
1.什么是哈希函数?
哈希函数有哪些应用?
2.什么是数字签名?
数字签名有哪些应用?
3.什么是消息认证?
消息认证与数字签名有什么区别?
4.什么是信息隐藏?
信息隐藏和加密的区别与联系是什么?
1.用密码学的相关知识解释火车票上的二维码是如何实现防伪的。
如图所示,火车票上右下角为二维码。
第9讲
1.根据信息安全的经典CIA模型,下列选项中()是信息安全三个基本属性之一。
A.真实性B.可用性C.可审计性D.可靠性
2.定期对系统和数据进行备份,在发生灾难时进行恢复。
该机制是为了满足信息安全的()属性。
A.真实性B.完整性C.不可否认性D.可用性
3.制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的()。
A.恢复预算是多少B.恢复时间是多长
C.恢复人员有几个D.恢复设备有多少
4.网络数据备份的实现主要需要考虑的问题不包括()。
A.架设高速局域网B.分析应用环境
C.选择备份硬件设备D.选择备份管理软件
5.关于灾难恢复计划错误的说法是()。
A.应考虑各种意外情况B.制定详细的应对处理办法
C.建立框架性指导原则,不必关注于细节D.正式发布前,要进行讨论和评审
6.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A.恢复整个系统B.恢复所有数据
C.恢复全部程序D.恢复网络设置
7.()手段,可以有效应对较大范围的安全事件的不良影响,保证关键服务和数据的可用性。
A.定期备份B.异地备份C.人工备份D.本地备份
8.()能够有效降低磁盘机械损坏给关键数据造成的损失。
A.热插拔B.SCSIC.RAIDD.FAST-ATA
9.()安全措施可以有效降低软硬件故障给网络和信息系统所造成的风险。
A.双机热备B.多机集群C.磁盘阵列
D.系统和数据备份E.安全审计
10.以下哪一种不属于主流的存储技术?
A.DASB.NASC.FTPD.SAN
1.灾难恢复和容灾具有不同的含义。
2.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。
3.容灾就是数据备份。
4.数据越重要,容灾等级越高。
5.容灾项目的实施过程是周而复始的。
6.如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。
1.谈谈灾难恢复在PDRR安全模型中的重要地位和作用。
2.谈谈一个完备的容灾备份系统的组成。
3.试解释容灾备份与恢复系统中涉及的技术术语:
RAID、DAS、NAS、SAN。
4.目前有哪些容灾备份技术?
比较它们的优缺点。
1.访问国家密码管理局(国家商用密码管理办公室)网站,了解我国商用密码算法SM1(对称加密)、SM2(非对称加密)、SM3(哈希)及SM4(对称加密),以及商用密码管理规定及商用密码产品等信息。
第10讲
1.在网络环境中认证或鉴别网络活动(如访问、电子商务等)的参与者或服务器身份的技术是()。
A.接入控制B.身份认证
C.数字签名D.防火墙
2.用于实现身份认证的安全机制是()。
A.加密机制和数字签名机制
B.加密机制和访问控制机制
C.数字签名机制和路由控制机制
D.访问控制机制和路由控制机制
3.身份认证是安全服务中的重要一环,以下关于身份认证叙述不正确的是()。
A.身份认证是访问控制的基础
B.身份认证是单向的,不用双向认证
C.目前一般采用基于对称密钥加密或公开密钥加密的方法
D.数字签名机制是实现身份认证的重要机制
4.使用复杂度不高的口令容易产生弱口令的安全威胁,弱口令常被攻击者利用,被破解用户帐户。
下列哪一个口令的安全性较高()。
A.HelloB.ppnn13%dkstFeb.1st
C.27776394D.wangjing1977
5.根据通常的口令使用策略,口令应当()。
A.定期更换B.不定期更换C.不用更换D.使用好记忆的
6.对口令进行安全性管理和使用,最终是为了()。
A.口令不被攻击者非法获得B.防止攻击者非法获得访问和操作权限
C.保证用户帐户的安全性D.规范用户操作行为
7.关于口令认证机制,下列说法正确的是()。
A.实现代价最低,安全性最高B.实现代价最低,安全性最低
C.实现代价最高,安全性最高D.实现代价最高,安全性最低
8.口令机制通常用于()。
A.认证B.标识C.注册D.授权
9.为了正确获得口令并对其进行妥善保护,应认真考虑的原则和方法有()。
A.口令/帐号加密B.定期更换口令
C.限制对口令文件的访问D.设置复杂的、具有一定位数的口令
10.在网络身份认证时可以采用的鉴别方法有()。
多项选择题
A.采用用户自身的特征进行认证,如指纹、人脸、步态等生物特征或生物行为。
B.采用用户所知道的进行认证,如口令、密钥或记忆的某些动作等。
C.通过可信第三方,如CA,进行认证。
D.使用用户拥有的物品进行认证,如USBKey、智能卡等物理识别设备。
可以通过多个凭证(也有称多因子)来共同鉴别用户身份的真伪。
1.身份认证是指用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。
2.安全存储口令的方式主要有:
直接明文存储和Hash散列存储。
×
3.使用口令进行身份认证安全性仅依赖于口令,而且用户往往选择容易记忆、容易被猜测的口令(安全系统最薄弱的突破口),口令文件也可被进行离线的字典式攻击。
4.动态口令认证机制可以改善口令认证自身安全性不足的问题。
5.复杂口令安全性足够高,不需要定期修改。
1.谈谈身份认证与消息认证的区别与联系。
2.谈谈身份认证和访问控制的区别与联系。
3.一个基于口令的用户身份认证基本过程是怎样的?
了解目前频繁发生的用户口令泄露事件,并分析口令认证过程存在着哪些安全问题。
4.设置强口令的基本原则是什么?
有哪些途径来帮助我们检测口令的强度?
5.如图所示是一个常见的登录界面,进行用户身份的验证。
请回答:
(1)图中的“验证码”在身份验证中有何作用?
(2)请简述现今常采用的身份认证机制。
图常见的登录界面
6.一些手机APP,如浦发银行手机APP在用户输入口令时弹出的键盘是动态键盘,每次显示的键盘数字排序是随机的,如图所示,请问为什么要用动态键盘?
7.设置强口令的
升级会员 