信息安全技术与实践习题答案完整Word文件下载.docx
《信息安全技术与实践习题答案完整Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全技术与实践习题答案完整Word文件下载.docx(13页珍藏版)》请在冰豆网上搜索。
(6)非授权使用;
(7)网络与系统攻击;
(8)恶意代码;
(9)灾害、故障与人为破坏.
4、
密钥为5,得到的替换表为:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
用替换表对明文加密:
明文
密文
所以密文为:
RTSPJD
5、
一个完整的信息平安技术体系结构由根底平安技术、物理平安技术、系统平安技术、
网络平安技术及应用平安技术组成.
6、
一个最常见的网络平安模型是PDRR模型.PDRR是指Protection(防护),Detection
(检测)、Response(响应)、Recovery(恢复).这4个局部构成了一个动态的信息平安周期.
(1)防护(P)网络平安核型PDRR最重要的局部是防护.防护是预先阻止攻击发生条件的产生,让攻击者无法顺利入侵,防护可以减少大多数的入侵事件.
(2)检测(D)PDRR模型的第二个环节就是检测.防护系统可以阻止大多数入侵事件的发生,但是不能阻止所有的入侵,特别是那些利用新的系统缺陷、新的攻击手段的入侵.因此,平安策略的第二个平安屏障就是检测,如果入侵发生就会被检测出来,这个工具是入侵检测系统.
(3)响应(R)
PDRR模型中的第三个环节是响应,响应就是一个攻击(入侵)事件发生之后,进行相应的处理.
(3)恢复(R)
恢复是PDRR模型中的最后一个环节.恢复是事件发生后,把系统恢复到原来的状态,或者比原来更平安的状态.恢复可以分为两个方面:
系统恢复和信息恢复.
密码学是以研究秘密通信为目的,对所要传送的信息采取秘密保护,以预防第三者窃取信息的一门学科.
密码学的开展经历三个阶段,即古典密码〔从古代到19世纪末〕、近代密码〔1949~1975〕
和现代密码〔1976年至今〕.
按密钥特点来分,密码体制分为对称密码体制〔私用密钥加密技术〕和非对称密码体制〔公开密钥加密技术〕.在对称密码体制中,加密和解密采用相同的密钥非对称密码体制中,加密密钥和解密密钥是相互独立,即由加密密钥无法推导出解密密钥.
按数据处理的特点来分,密码体制分为分组密码和序列密码.分组密码是将明文消息编码表示后的数字序列划分成长度为n的组,每组分别在密钥的限制下变换成等长的
输出数字序列.常见的序列密码算法有RC4A5/1、SEAL等.
DES的整体结构采用16圈Feistel模型,待加密的64比特明文数据分组首先进行初始置换IP,然后将置换后的64比特数据分为左半局部L0和右半局部R0各32比特,接着进行16圈迭代.在每一圈中,右半局部在48比特圈〔子〕密钥k的作用下进行f变换,得到的32比特数据与左半局部按位异或,产生的32比特数据作为下一圈迭代的右半部分,原右半局部直接作为下一圈迭代的左半局部,但第16圈〔最后一圈〕不进行左右块
对换.最后对〔R16,L16〕进行末置换IP-1〔初始置换IP的逆置换,又称为逆初始置换〕,所得结果IP-1〔R16,L16〕就是密文.
〔1〕由初始密钥K求第一圈的圈密钥k1.
将初始密钥K=0123456789ABCDEF专换为二进制形式,即k=0000000100100011010001010110011110001001101010111100110111101111,然后按置换选择1,输出56比特数据〔C0,D0〕,C0,D0各28比特,即:
C0=1111000011001100101010100000
D0=1010101011001100111100000000
将C0,D0分别循环左移1位得C1,D1,即:
C1=1110000110011001010101000001
D1=0101010110011001111000000001
对C1,D1进行置换选择2,得到48比特的圈密钥,即:
k1=000010110000001001100111100110110100100110100101
〔2〕由明文M和k1求〔L1,R1〕.
将明文M=0000000000000011转换为二进制形式,即M=0000000000000000000000000000000000000000000000000000000000010001,对其进行初始置换IP,得到64比特数据〔L0,R0〕,L0,R0各32比特,即:
L0=00000000100000000000000010000000
R0=00000000000000000000000000000000
1)由扩展变换E规那么得:
E(R0)=000000000000000000000000000000000000000000000000
E(R0)®
k1=(000000000000000000000000000000000000000000000000)®
(000010110000001001100111100110110100100110100101)=000010110000001001100111100110110100100110100101
2)对E(R0)®
k1进彳tS盒代替:
S(E(R0)®
k1)=45361141314(十进制)=0100010100110110101101001101
1110(十六进制)
3)最后对S(E(R0)㊉k1)进行P盒置换,得:
f(R0,k1)=PS(E(R0)㊉k1)
=PS(000010110000001001100111100110110100100110100101)
=P(01000101001101101011010011011110)
=00101111010100101101000010111101
L1=R0=00000000000000000000000000000000=00000000(十六进制)
R1=L0®
f(R0,k1)=00101111110100101101000000111101=2FD2D03D(十六进制)
(L1,R1)=(00000000,2FD2D03D)
N=pq=5*7=35
入(N)=(p-1)(q-1)=4*6=24
利用e和入(N)计算d:
edmod入(N)=1
5dmod24=1
d=5
由解密公式得:
m=D(c)=cd(modN)=105mod35=5
N=pq=5*11=55
入(N)=(p-1)(q-1)=4*10=40
7dmod40=1
d=23
C=me(modN)=547mod55=54
7、
常见的分组密码有:
1)RC5:
RC5适合硬件和软件实现,运算速度快,对不同字长的处理器具有适应性,迭代次数可变,密钥长度可调整,对存储容量要求较低,高平安性,依赖于数据的循环移位.
2)IDEA算法对64位的数据块进行加密,密钥长度是128位.用硬件和软件实现
都很容易,且加解密速度超过DES算法的实现.
3)AES算法:
AES在平安、性能、效率、易实施和灵活性上都比其它几个候选算法更有优势,经过多年的分析和测试,至今没有发现AES的明显缺点,也没有找到明显的
平安漏洞.
8、
在流密码中,密钥流生成器的根本组成局部有内部状态、下一个状态函数和输出函数.其中,内部状态描述了密钥流生成器的当前状态;
输出函数处理内部状态,并产生密钥流;
下一个状态函数处理内部状态,并生成新的内部状态.
9、
密钥的分配方法有:
1)只使用会话密钥:
会话密钥由专门机构生成密钥后,将其平安发送到每个用户节点,保存在平安的保密装置中,当通信双方通信时,直接使用这个会话密钥对信息进行加密.
2)采用会话和根本密钥:
在这种方式中,A先产生会话密钥,再用双方共有的根本
密钥对其加密后发送给BoB收到后用根本密钥对其解密就可得到会话密钥.
3)采用非对称密码体制的密钥分配,当A与B要进行秘密通信时,先进行会话密钥的分配.A首先从认证中央获得B的公钥,用该公钥对会话密钥进行加密,然后发给B,
B收到后用自己的私钥对其解密,就可得到这次通信的会话密钥.
消息认证是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改,即验证消息的发送者是真正的而非假冒的(数据起源认证);
同时验证信息在传送过程中未被篡改、重放或延迟等.消息认证和信息保密是构成信息系统平安的两个方面,二者是两个不同属性上的问题:
即消息认证不能自动提供保密性,保密性也不能自然提供消息认证功能.
消息鉴别码(MessageAuthenticationCode)MAC是用公开函数和密钥产生一个固定长度的值作为认证标识,并用该标识鉴别信息的完整性.
MAC是消息和密钥的函数,即MAC=Ck(M),其中M是可变长的消息,C是认证
函数,K是收发双方共享的密钥,函数值Ck〔M〕是定长的认证码.认证码被附加到消息后以mIMac方式一并发送给接收方,接收方通过重新计算mac以实现对m的认证.
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者.接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生
一个摘要信息,并与解密的摘要信息进行比照,假设相同那么说明收到的信息完整,在传输过程中未被修改;
否那么说明信息被修改.
1〕签名应与文件是一个不可分割的整体,可以预防签名被分割后替换文件,替换签名等形式的伪造.
2〕签名者事后不能否认自己的签名.
3〕接收者能够验证签名,签名可唯一地生成,可预防其他任何人的伪造.
4〕当双方关于签名的真伪发生争执时,一个仲裁者能够解决这种争执.
身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程.它通过特定的协议和算法来实现身份认证.身份认证的目的是预防非法用户进入系统;
访问限制机制将根据预先设定的规那么对用户访问某项资源进行限制,只有规那么允许才能访问,违反预定平安规那么的访问将被拒绝.访问限制是为了预防合法用户对系统资源的非法使用.
6、基于口令的认证技术:
当被认证对象要求访问提供效劳的系统时,提供效劳的认证方要求被认证对象提交口令信息,认证方收到口令后,将其与系统中存储的用户口令进行比拟,以确认被认证对象是否为合法访问者.
7、双因子认证〔Two-factorAuthentication〕:
一个因子是只有用户本身知道的密码,可以是默记的个人认证号〔PIN〕或口令;
另一个因子是只有该用户拥有的外部物理实体一智能平安存储介质.
8、远程身份认证:
系统集成了基于声纹的身份认证技术和语音识别技术,通过一个语音对话系统与用户交流,在人机语音对答的过程中在后台进行用户的身份认证.
9、基于在线手写签名的身份认证技术:
首先获取签名信息的数据,然后进行预处理,
包括去噪、归一化等操作,接着进行特征提取,最后进行特征匹配和判决,即将提取的特征信息与标准签名样本进行匹配,得出鉴别结果,即验证输入签名的身份是否属实
计算机系统的平安性包括狭义平安和广义平安两个方面.狭义平安主要是对外部攻击的防范,广义平安那么是保证计算机系统中数据保密性、数据完整性和系统可用性.
(1)硬件平安
1)存储保护
2)运行保护
3、I/O保护
(2)身份认证
(3)访问限制
1)自主访问限制
2)强制访问限制
(4)最小特权治理
(5)可信通道
(6)平安审计机制
数据库系统(DatabaseSystem,简称DBS是采用了数据库技术的计算机系统,通常由数据库、硬件、软件、用户四局部组成.
最小特权策略.最小特权策略是指用户被分配最小的权限.
最大共享策略.最大共享策略是在保密的前提下,实现最大程度的信息共享.
粒度适当策略.数据库系统中不同的项被分成不同的颗粒,颗粒随小,平安级别越高,但治理也越复杂.
开放系统和封闭系统策略.
按内容访问限制策略.
按类型访问限制策略.
按上下文访向限制策略.
根据历史的访问限制策略.
常用的数据库备份方法有:
冷备份、热备份和逻辑备份.
1)冷备份
是在没有终端用户访问数据库的情况下关闭数据库并将其备份,有称为“脱机备份〞.
2)热备份
是指当数据库正在运行时进行的备份,又称为“联机备份〞.
3)逻辑备份
逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件,该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的的一个映像.因此逻辑备份文件只能用来对数据库进行逻辑恢复(即数据导入),而不能按数据库原来的存储特征进
行物理恢复.
自然灾害、硬件故障、软件故障、人为原因、资源缺乏引起的方案性停机.其中,软件故障和人为原因是数据失效的主要原因.
备份不仅只是对数据的保护,最终的目的就是为了在系统遇到人为或自然灾害情况
下,能够通过备份内容对系统进行有效的灾难恢复.所以,备份不仅是单纯的数据拷贝,
更重要的是治理.治理包括了备份的可方案性、磁带机的自动化操作、历史记录的保存以及日志记录等内容.
硬件级备份是指用冗余的硬件来保证系统的连续运行.当主硬件损坏时可利用后备
硬件接替其工作,所以这种方式能有效地预防硬件故障,但其无法预防数据的逻辑损坏.
软件级备份具有安装方便,界面友好,使用灵活;
支持跨平台备份,支持文件翻开
状态备份;
支持多种文件格式的备份,支持备份介质自动加载的自动备份;
支持各种策略的备份方式的特点.
人工级备份的特点是简单和有效,但其恢复数据时较耗时.
复原数据是指用备份数据替代当前数据,以到达修复错误的目的.
恢复数据与复原数据相似,它使用备份文件去覆盖出错的数据,从而到达修复错误的目的.当数据因误操作而完全丧失时,可借助数据恢复软件来实现找回现有数据的目的.
恢复数据的外延要大于复原数据,复原数据包含在恢复数据之中.
在数据库的使用过程中,由于数据库文件被频繁使用,从而造成数据库的损坏,因此要进行数据库的定期检测和修复.
选择题:
1.B、2.A、3.C、4.B、5.D6.B、7.A、8.A
填空题:
1.UDP;
TCP端口号;
2.可用性、机密性、完整性、可控性、不可抵赖性.
1.A2.B3.B4.C5.A6.D7.C8.B
1.物理平安技术;
根底平安技术;
应用平安技术;
2.PDRR(平安生命周期模型)
P:
Protection(防护):
采用可能采取的手段保证信息的保密性、完整性、可用性、可控性和不可否认性.
D:
Detection(检测);
R:
Responses(反响);
Recovery(恢复).
信息平安治理是指为了实现信息平安目标,从而遵循特定的平安策略,依照规定的程序,
运用适当的方法进行规划、组织、指导、协调和限制等活动.信息平安治理和平安技术组成信息平安防护体系,其中平安治理是技术的重要补充.信息平安治理解决宏观问题,
它的核心是信息平安风险的治理限制,对象是各类信息资产(包含人员在内),通过对信
息资产的风险治理来实现信息系统的平安目标.
(1)根据受保护系统的业务目标和特点来确定风险治理的范围、对象,明确对象的特性和平安需求.
(2)针对已确定的治理对象面临的风险进行识别和分析,综合评估考虑资产所受的威胁和威胁产生的影响.
(3)根据风险评估的结果选择并实施恰当的平安举措,将风险限制在可接受的范围内.
风险处理的主要方式有躲避、转移、降低和接受.
(4)批准风险评估和风险处理的结果(即风险评估和处理结果应得到高层治理者的批准)并持续监督.
(1)最小化原那么,即受保护的敏感信息只能在一定范围内被共享.最小化原那么可细分为知所必须原那么和用所必须原那么.
(2)分权制衡原那么,为保证信息系统的平安,通常将系统中的所有权限进行适当划分,使每个授权主体仅拥有局部权限,从而实现他们之间的相互制约和相互监督.
(3)平安隔离原那么,将信息的主体与客体分隔开,在平安和可控的前提下,主体依照一
定的平安策略对客体实施访问.其中隔离和限制是实现信息平安的根本方法,隔离是控制的根底.
(4)普遍参与原那么,为制定出有效的平安机制,组织大都要求员工普遍参与,搜集各级员工的意见,分析存在的问题,通过集思广益的方法来规划平安体系和平安策略.
(5)纵深防御原那么,平安体系不是单一平安机制和多种平安效劳的堆砌,而是相互支撑的多种平安机制,是具有协议层次和纵向结构层次的完备体系.
(6)防御多样化原那么,与纵深防御一样,通过使用大量不同类型和不同等级的系统,以
期获得额外的平安保护.
(1)物理平安策略
(2)互联网平安全策略
制定操作计算机和网络所必须遵守的操作规程和责任,包括数据文件处理规那么、变更管
理规那么、错误和意外事件处理规程、问题治理规程、测试评估规程、日常治理活动等.
(3)数据访问限制、加密与备份平安策略
严格限制外来人员对信息系统的访问权限,当外部人员要对机密信息进行访问时,要与他们签署保密协议.对敏感信息进行加密保护,制定密钥交换和治理策略.建立备份信息资产的规程;
保护系统信息和相关软件,预防对软件和信息的非授权修改.
(4)病毒防护平安策略
(5)系统平安及授权策略
(6)身份认证策略
(7)灾难恢复及事故处理、紧急响应策略
(8)口令治理策略
无线网络(wirelessnetwork)是采用无线通信技术实现的网络.无线网络既包括允许用户
建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术.
无线网络组网更加灵活:
无线网络使用无线信号通讯,网络接入更加灵活,只要有信号的地方都可以随时随地将网络设备接入到企业内网.
线网络规模升级更加方便:
无线网络终端设备接入数量限制更少,相比有线网络一个接口对应一个设备,无线路由器容许多个无线终端设备同时接入到无线网络.
传感器的平安问题:
物联网中的传感设备多数是部署在无人监控的地点工作的,那么攻击者可以轻易接触到这些设备,针对这些设备或其上面的传感器本体进行破坏,或者通过破译传感器通信协议,对它们进行非法操控.
核心网络的信息平安问题:
物联网中节点数量庞大,且以集群方式存在,因此大量机器
的数据发送会造成网络拥塞.且现有的互联网平安机制会割裂物联网机器间的逻辑关系.
物联网的加密机制问题:
逐跳加密机制只对必须受保护的链接进行加密,但是,由于
逐跳加密需要在各节点进行解密,因此中间所有节点都有可能解读被加密的信息,因此
逐跳加密对传输路径中各节点的可信任度要求很高.
智能卡一般包含一电子芯片,另外智能卡需要通过读写器进行数据交互.智能卡配备有
CPU、RAM和I/O,可自行处理数量较多的数据而不会干扰到主机CPU的工作.智能卡
还可过滤错误的数据,以减轻主机CPU的负担.适应于端口数目较多且通信速度需求较
快的场合.
1〕交易双方身份认证
2〕交易信息加密且不被识别
3〕信息完整性可验证
4〕交易各环节不可否认
5〕不可伪造性
升级会员 