《信息安全概论》课后习题及答案.docx

1、信息安全概论课后习题及答案信息安全概论课后习题及答案第一章：1、请说出平时在使用计算机的时候遇到的各种安全问题， 以及当时的解决方案。 答：略。2、什么是信息安全?答：信息安全是指信息网络的硬件、 软件及其系统中的数据受到保护， 不受偶然的或者恶意的原因而遭到破坏、 更改、 泄露， 系统连续可靠正常地运行， 信息服务不中断。信息安全是一门涉及计算机科学、 网络技术、 通信技术、 密码技术、 信息安全技术、 应用数学、 数论、 信息论等多门学科的综合性学科。3、什么是P2DR2动态安全模型?答：P2DR2动态安全模型研究的是基于企业网对象、 依时间及策略特征的 (Policy， Protecti

2、on， Detection， Response， Restore) 动态安全模型结构， 由策略、 防护、 检测、 响应和恢复等要素构成， 是一种基于闭环控制、 主动防御的动态安全模型， 通过区域网络的路由及安全策略分析与制定， 在网络内部及边界建立实时检测、 监测和审计机制， 采取实时、 快速动态响应安全手段， 应用多样性系统灾难备份恢复、 关键系统冗余设计等方法， 构造多层次、 全方位和立体的区域网络安全环境。4、信息系统的安全威胁有哪些?答：信息系统的安全威胁有物理层安全威胁，网络层安全威胁，操作系统层安全威胁，应用层安全威胁，管理层安全威胁等。5、信息安全实现需要什么样的策略?答：信息安

3、全的实现需要有一定的信息安全策略， 它是指为保证提供一定级别的安全保护所必须遵守的规则。 实现信息安全， 不但靠先进的技术， 也得靠严格的安全管理、 法律约束和安全教育。6、信息安全的发展可以分为哪几个阶段?答：信息安全在其发展过程中经历了三个阶段：第一阶段: 早在 20 世纪初期， 通信技术还不发达， 面对电话、 电报、 传真等信息交换过程中存在的安全问题；第二阶段: 20 世纪 60 年代后， 半导体和集成电路技术的飞速发展推动了计算机软硬件的发展， 计算机和网络技术的应用进入了实用化和规模化阶段；第三阶段: 20 世纪 80 年代开始， 由于互联网技术的飞速发展， 信息无论是对内还是对外

4、都得到极大开放， 由此产生的信息安全问题跨越了时间和空间。第二章：1、什么是计算机网络的 OSI 参考模型? 它的主要内容是什么?答：国际标准化组织 (ISO) 在 1979 年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构 (Open Systems Interconnection， OSI)。 “开放” 这个词表示只要遵循 OSI 标准， 一个系统可以和位于世界上任何地方的、 也遵循 OSI 标准的其他任何系统进行连接。 这个分委员会提出了开放系统互联， 即 OSI 参考模型， 它定义了连接异种计算机的标准框架。OSI 参考模型分为七层， 分别是物理层、 数据链路层、 网络层、

5、 传输层、 会话层、 表示层和应用层。2、什么是计算机网络的 TCP / IP 参考模型? 它的主要内容是什么?答：TCP/IP 协议栈是美国国防部高级研究计划局计算机网 (Advanced Research Projects Agency Network， ARPANET) 和其后继-因特网使用的参考模型。 ARPANET 是由美国国防部赞助的研究网络。TCP/IP参考模型分为四个层次: 应用层、 传输层、 网络互连层和主机到网络层。 3、什么是Web服务? 答：Web 服务也称为 WWW (World Wide Web) 服务， 主要功能是提供网上信息浏览服务。 WWW也可以简称为Web，

6、 中文名字为 “万维网”， 它起源于1989年3月， 是由欧洲量子物理实验室 (CERN) 所开发出来的主从结构分布式超媒体系统。 通过万维网， 人们只要通过简单的方法， 就可以很迅速方便地取得丰富的信息资料。4、什么是电子邮件服务?答：电子邮件是 Internet 应用最广的服务。 通过网络的电子邮件系统， 可以用非常低廉的价格 (不管发送到哪里， 都只需负担电话费和网费)， 以非常快速的方式 (几秒钟之内可以发送到世界上任何指定的目的地)， 与世界上任何一个角落的网络用户联系， 这些电子邮件可以是文字、 图像、 声音等各种方式。 同时， 您可以得到大量免费的新闻、 专题邮件， 并实现轻松的

7、信息搜索。 这是任何传统的方式无法相比的。5、说明 ping 命令的作用是什么， 常用的使用方法有哪些。答：ping 是 DOS 命令， 一般用于检测网络是否通畅以及网络连接速度， 其结果值越大， 说明速度越慢。 ping 发送一个 ICMP 回声请求消息给目的地， 并报告是否收到所希望的 ICMP 回声应答， 它使用网络层的 ICMP 协议。常用的使用方法有：ping IP，ping URL， ping IP-t，ping IPl 3000，ping IPn count等。6、说明 tracert 命令的作用是什么， 常用的使用方法有哪些。答：tracert 命令显示用于将数据包从计算机传递

8、到目标位置的一组 IP 路由器， 以及每个跃点所需的时间。 如果数据包不能传递到目标， tracert 命令将显示成功转发数据包的最后一个路由器。 当数据包从计算机经过多个网关传送到目的地时， tracert 命令可以用来跟踪数据包使用的路由 (路径)。常用的使用方法有：tracert IP 或 tracert URL，tracert IPd 或 tracert URLd。第三章：1、什么是黑客?答：黑客是一个中文词语， 源自英文 hacker。 它泛指擅长 IT 技术的人群、 计算机科学家， 大部分的媒体习惯将 “黑客” 指作计算机入侵者。 在信息安全领域黑客指的是研究智取计算机安全系统的人

9、员。 利用公共网路， 如互联网、 电话网络系统等， 在XX许可的情况下， 进入对方系统被称为黑帽黑客 (英文: black hat， 另称 cracker); 研究和分析计算机安全系统的称为白帽黑客 (英语: white hat)。2、黑客为什么要进行扫描? 答：黑客扫描是为了对主机进行攻击， 或是为了发现漏洞以进行网络安全评估。3、IP 扫描的原理是什么?答：IP扫描的主要工作原理是通过向目标机器发送数据包， 然后根据目标机器的响应情况获得想要的信息。4、网络监听的原理是什么?答：网络的监听的原理是将要发送的数据包发往连接在一起工作的所有主机， 其中包含着应该接收数据包主机的正确地址， 只有

10、与数据包中目标地址一致的那台主机才能接收。第四章：1、黑客攻击的一般过程是什么?答：黑客攻击一般有六个步骤， 即踩点、扫描、入侵、获取权限、提升权限、清除日志信息。2、破解别人的密码有几种方式? 答：密码破解中常见的技术有字典攻击、混合攻击、暴力攻击、专业工具等。3、什么是DDoS攻击?答：分布式拒绝服务 (Distributed Denial of Service， DDoS) 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。如果说计算机与网络的处理能力加大了 10 倍， 用一台攻击机来攻击不再起作用的话， 攻击者就使用 10 台、 100 台或 1000 台攻击机同时攻击目标。

11、 DDoS 就是利用更多的傀儡机来发起进攻， 以比从前 DoS 更大的规模来进攻受害者。4、什么是SQL注入攻击?答：用户可以提交一段数据库查询代码， 根据程序返回的结果， 获得某些他想得知的数据， 这就是所谓的 SQL Injection， 即 SQL 注入。 SQL 注入是从正常的 WWW 端口访问， 而且表面看起来跟一般的 Web 页面访问没有什么区别， 所以目前市面上的防火墙都不会对 SQL 注入发出警报， 如果管理员没有查看 IIS 日志的习惯， 可能被入侵很长时间都不会发觉。5、什么是社会工程学攻击?答：社会工程学陷阱就是通常以交谈、 欺骗、 假冒或口语等方式， 从合法用户中套取用

12、户系统的秘密， 如用户名单、 用户密码及网络结构。 只要有一个人抗拒不了本身的好奇心看了邮件， 病毒就可以大行肆虐。 MYDOOM 与 Bagle 都是利用社会工程学陷阱得逞的病毒。 从社会工程学慢慢发展出一些以其为首要核心技术的攻击手法， 如网络钓鱼攻击、 密码心理学， 以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法。6、举例说明自己以前遇到过的可能遭受到攻击时计算机的情况。答：略。第五章：1、什么是木马? 如何防范木马攻击?答：特洛伊木马简称木马， 英文叫作 “Trojan house”， 其名称取自希腊神话的特洛伊木马记。木马是一种基于远程控制的黑客工具， 具有隐蔽性

13、和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现， 会采用多种手段隐藏木马， 这样服务器端即使发现感染了木马， 由于不能确定其具体位置， 往往只能望“马” 兴叹。 所谓非授权性是指一旦客户端与服务器端连接后， 客户端将享有服务器端的大部分操作权限， 包括修改文件、 修改注册表、 控制鼠标、 键盘等， 这些权力并不是服务器端赋予的， 而是通过木马程序窃取的。防治木马的危害， 应该采取以下措施: 1) 安装杀毒软件和个人防火墙， 并及时升级。 2) 把个人防火墙设置好安全等级， 防止未知程序向外传送数据。 3) 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 4) 如果使用

14、 IE 浏览器， 应该安装卡卡安全助手、 360 安全卫士等， 防止恶意网站在自己的计算 机上安装不明软件和浏览器插件， 以免被木马趁机侵入。 5) 很多老式的木马端口都是固定的， 这给判断是否感染了木马带来了方便， 只要查一下特定的端口就知道感染了什么木马。2、什么是后门? 后门与木马的异同点在哪里?答：后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 在软件的开发阶段， 程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。 但是， 如果这些 后门被其他人知道， 或是在发布软件之前没有删除后门程序， 那么它就存在安全隐患， 容易被黑客当成漏洞进行攻击。 传统意义上的后

15、门程序往往只是能够让黑客获得一个 SHELL， 通过这个 SHELL 进而进行一些远程控制操作。后门程序跟通常所说的 “木马” 有联系也有区别。 联系在于， 都是隐藏在用户系统中向外发送信息， 而且本身具有一定权限， 以便远程计算机对本机的控制; 区别在于， 木马是一个非常完整的工具集合， 而后门则体积较小且功能都很单一， 所以木马提供的功能远远超过后门程序。3、Windows 操作系统都有哪些日志文件， 放在哪里?答：Windows 操作系统主要有三种日志文件，这三种日志文件的存放位置分别如下: 1) 安全日志文件默认位置:%systemroot% system32 config SecEv

16、ent. EVT。 2) 系统日志文件默认位置:%systemroot% system32 config SysEvent. EVT。 3) 应用程序日志文件:%systemroot% system32 config AppEvent. EVT。第六章：1、什么是计算机病毒， 它是怎么产生的? 答：计算机病毒， 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用， 并能自我复制的一组计算机指令或者程序代码。究其产生的原因有：开个玩笑， 一个恶作剧；产生于个别人的报复心理；用于版权保护；用于特殊目的。2、计算机病毒的特征有哪些?答：计算机病毒的特征有哪些传染性、隐蔽性、

17、潜伏性、破坏性。3、如何清除U盘里的autorun.inf病毒? 答：对于 autorun. inf 病毒的解决方案如下: 1) 如果发现 U 盘有 autorun. inf， 且不是自己创建生成的， 请删除它， 并且尽快查毒。 2) 如果有类似回收站、 瑞星文件等文件， 通过对比硬盘上的回收站名称、 正版的瑞星名称， 确认该内容不是自己创建生成的， 可直接删除。 3) 一般建议插入 U 盘时， 不要双击 U 盘。 另外有一个更好的技巧: 插入 U 盘前， 按住 Shift 键， 然后插入 U 盘， 建议按键的时间长一点。 插入后， 用右键单击 U 盘， 选择 “资源管理器” 来打开U盘。4、

18、什么是恶意软件?答：恶意软件俗称 “流氓软件”， 是指在未明确提示用户或未经用户许可的情况下， 在用户计算机或其他终端上安装运行， 侵害用户合法权益的软件， 但不包含我国法律法规规定的计算机病毒。5、恶意软件有哪些类型?答：根据恶意软件的表现， 可以分为以下 9 类：有广告软件、间谍软件、浏览器劫持、行为记录软件、恶意共享软件、搜索引擎劫持、自动拨号软件、网络钓鱼、ActiveX 控件等。第七章：1、机房的物理位置选择应该注意哪些条件? 答：机房应选择在具有防震、 防风和防雨等能力的建筑内; 机房的承重要求应满足设计要求; 机房场地应避免设在建筑物的高层或地下室， 以及用水设备的下层或隔壁;

19、机房场地应当避开强电场、 强磁场、 强震动源、 强噪声源、 重度环境污染， 易发生火灾、 水灾， 易遭受雷击的地区。2、简述门禁系统的作用。答：门禁系统的作用是鉴别和记录进入的人员身份并监控其活动。3、什么是物理隔离网闸?答：物理隔离网闸是指使用带有多种控制功能的固态开关来读写两个独立主机系统信息的安全设备。 由于物理隔离网闸所连接的两个独立主机系统之间， 不存在通信的物理连接、 逻辑连接、 信息传输命令、 信息传输协议， 不存在依据协议的信息包转发， 只有数据文件的无协议 “摆渡”， 且对固态存储介质只有“读” 和 “写” 两个命令， 所以， 物理隔离网闸从物理上隔离、 阻断了具有潜在攻击可

20、能的一切连接， 使黑客无法入侵、 无法攻击、 无法破坏， 实现了真正的安全。4、内网的安全应该注意什么?答：防止内网数据泄露。第八章：1、防火墙的主要作用是什么?答：防火墙是位于两个信任程度不同的网络之间 (如企业内部网络和 Internet 之间) 的软件或硬件设备的组合， 它对两个网络之间的通信进行控制， 通过强制实施统一的安全策略， 防止对重要信息资源的非法存取和访问， 以达到保护信息系统的目的。2、防火墙都有哪些技术实现?答：防火墙的可通过以下几种技术实现：包过滤防火墙、 应用代理防火墙、 状态检测包过滤防火墙、 包过滤与应用代理复合型防火墙、 核检测防火墙等。3、防火墙的部署种类都有

21、哪些?答：防火墙的部署种类有路由器类型的防火墙，双重宿主主机类型的防火墙，屏蔽主机体系结构的防火墙，屏蔽子网结构的防火墙等。4、屏蔽子网结构防火墙中的非军事区 DMZ 指的是什么?答：屏蔽子网结构防火墙中，周边网络是一个防护层， 在其上可放置一些信息服务器， 它们是牺牲主机， 可能会受到攻击， 因此又被称为非军事区 (DMZ: Demilitarized Zone)。 周边网络的作用是即使堡垒主机被入侵者控制， 它仍可消除对内部网的侦听。5、防火墙不能防范什么样的攻击?答：防火墙不能防范以下几种攻击：1) 防火墙不能防范绕过防火墙的攻击， 例如， 内部提供拨号服务可以绕过防火墙。 2) 防火墙

22、不能防范来自内部人员恶意的攻击。 3) 防火墙不能阻止被病毒感染的程序或文件的传递。 4) 防火墙不能防止数据驱动式攻击， 如特洛伊木马。6、防火墙都有哪些性能指标?答：防火墙的性能指标包括: 最大位转发率、 吞吐量、 延时、 丢包率、 最大并发连接数、 最大并发连接建立速率、 最大策略数、 平均无故障间隔时间、 支持的最大用户数等。 第九章：1、入侵检测系统的作用是什么?答：入侵检测系统 (Intrusion Detection System， IDS) 就是能够完成入侵检测功能的计算机软硬件系统。 它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否

23、有违反安全策略的行为和被攻击的迹象。2、什么是入侵检测技术?答：入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。3、什么是异常入侵检测系统?答：异常入侵检测系统是将系统正常行为的信息作为标准， 将监控中的活动与正常行为相比较。 在异常入侵检测系统中， 假设所有与正常行为不同的行为都被视为异常， 而一次异常视为一次入侵。 可以人为地建立系统正常的所有行为事件， 那么理论上可以把与正常事件不同的所有行为视为可疑事件。 事件中的异常阈值与它的值的选择是预测是否为入侵行为的关键。4、什么是误

24、用入侵检测系统?答：误用入侵检测系统是收集非正常操作的行为， 建立相关的攻击特征库， 依据所有入侵行为都能够用一种特征来表示， 那么所有已知的入侵方法都可以用模式匹配的方法发现。5、入侵检测系统的工作流程是什么?答：通用的入侵检测系统的工作流程主要分为以下四步：信息收集、信息分析、信息存储、攻击响应等。6、简述入侵检测系统的未来发展趋势。答：入侵检测技术的主要发展方向如下: 1) 分布式入侵检测。 2) 应用层入侵检测。 3) 智能入侵检测。 4) 与网络安全技术相结合。 5) 其他相关技术等。第十章：1、什么是虚拟专用网 VPN?答：虚拟专用网 VPN (Virtual Private Ne

25、twork) 通常是通过一个公用的网络 (如 Internet) 建立一个临时的、 安全的、 模拟的点对点连接。 这是一条穿越公用网络的安全信息隧道， 信息可以通过这条隧道在公用网络中安全传输。2、企业为什么要引入 VPN?答：企业员工在外出差或在家里需要连接公司服务器; 或者有第三方需要接入公司服务器 (如电子商务); 或者企业数据需要进行异地灾备; 还有的企业分支机构需要连接总公司等。3、VPN的主要优点有哪些?答：VPN的优点有使用 VPN 可降低成本、传输数据安全可靠、连接方便灵活、完全控制等。4、根据网络类型的差异， VPN 可以分为哪些类?答：根据网络类型的差异将 VPN 分为两种

26、类型: Client-LAN 和 LAN-LAN 类型。第十一章：1、如何保护系统账户安全?答：保护系统账户安全需要保护guest账户、限制用户数量、管理员账户改名、剪陷阱账户等。2、如何保证操作系统密码安全?答：设定复杂的密码， 还要注意经常更换密码。3、如何删除操作系统中多余的共享?答：以卸载 “文件和打印机共享” 为例。 方法是右击 “网上邻居” 选择 “属性”， 在弹出的 “网络和拨号连接” 窗口中右击 “本地连接” 选择 “属性”， 从 “此连接使用下列项目” 中选中 “Microsoft网络的文件和打印机共享” 后， 单击下面的 “卸载”， 再单击 “确定”。4、如何在操作系统中封

27、掉一些不用的端口?答：从操作系统 TCP / IP 里进行限制端口数。5、如果安装一个安全的操作系统?答：安装一个安全的操作系统可以采用以下几步: 1) 拔掉网线。 2) 安装操作系统。 3) 安装软件防火墙， 如 Norton 防火墙、 天网防火墙、 瑞星防火墙等。 4) 安装防病毒软件， 如 Norton、 瑞星、 江民、 金山等。 5) 安装防恶意软件的软件， 如 360 安全卫士、 瑞星卡卡、 超级兔子等。 6) 给操作系统进行安全设置， 如添加审核策略、 密码策略、 对账户进行管理等。 7) 插上网线， 给操作系统打补丁。 可以采用 360 安全卫士等软件来打补丁。 8) 更新防火墙

28、、 防病毒、 防恶意软件， 包括病毒库、 恶意软件库等。 9) 安装数据恢复软件如 Easyrecovery。 10) 安装其他操作系统的应用软件。6、如何一次性给一台新的计算机安装所有漏洞补丁?答：建议读者使用 360 安全卫士。 这个软件不但能查杀恶意软件和木马， 还可以帮助用户对操作系统打补丁。第十二章：1、在 UNIX 系统中， 什么是 SUID， 什么是 SGID?答：UNIX 中的 SUID (Set User ID) / SGID (Set Group ID) 设置了用户 ID 和分组 ID 属性， 允许用户以特殊权限来运行程序， 这种程序执行时具有宿主的权限。 当用户执行一个

29、SUID 文件时， 用户 ID 在程序运行过程中被置为文件拥有者的用户 ID。 如果文件属于 root， 那用户就成为超级用户。 同样， 当一个用户执行 SGID 文件时， 用户的组被置为文件的组。2、在 UNIX 系统中， 如何禁止一个服务?答：通过启动脚本来启动的服务可以通过改变脚本名称的方式禁用。第十三章：1、密码学的发展可以分为哪几个阶段?答：密码学的发展划分为三个阶段：第一阶段-古代到1949年，第二阶段-1949年到1975年，第3阶段-1976年至今。2、密码学可以分为哪几类， 各有什么特点?答：根据密钥的特点将密码体制分为对称密码体制 (Symmetric Cryptosyst

30、em) 和非对称密码体制 (Asymmetric Cryptosystem) 两种。在对称密码体制中， 加密密钥和解密密钥是一样的或者彼此之间是容易相互确定的。 在私钥密码体制中， 按加密方式又将私钥密码体制分为流密码 (Stream Cipher) 和分组密码 (Block Cipher) 两种。 在流密码中将明文消息按字符逐位地进行加密。 在分组密码中将明文消息分组 (每组含有多个字符)， 逐组地进行加密。 在公钥密码体制中， 加密密钥和解密密钥不同， 从一个难于推出另一个， 可将加密能力和解密能力分开。3、古典密码学包括哪些内容? 它们的特点是什么? 答：最为人们所熟悉的古典加密方法，

31、莫过于隐写术。 它通常将秘密消息隐藏于其他消息中， 使真正的秘密通过一份无伤大雅的消息发送出去。 隐写术分为两种: 语言隐写术和技术隐写术。 技术方面的隐写比较容易想象: 比如不可见的墨水， 洋葱法和牛奶法也被证明是普遍且有效的方法 (只要在背面加热或紫外线照射即可复现)。 语言隐写术与密码编码学关系比较密切， 它主要提供两种类型的方法: 符号码和公开代码。4、对称加密算法的特点是什么?答：对称密码学所采用的算法也称为对称密钥算法。 所谓的对称密钥算法就是用加密数据使用的密钥可以计算出用于解密数据的密钥， 反之亦然。 绝大多数的对称加密算法的加密密钥和解密密钥都是相同的。5、简述DES加密算法

32、的加密过程。答：加密过程为：1) 64位密钥经子密钥产生算法产生出16个子密钥，供16轮加密迭代使用。 2) 64位明文经过初始置换IP，将数据打乱重新排列并分成左右两半。 3) 由加密函数f实现子密钥K1对R0的加密，结果为32位的数据组f（R0，K1），f(R0,K1)再与L0模2相加，又得到一个32位的数据组L0模2f（R，K1），以L0模2f（R，K1）作为第二次加密迭代的R1，以R0作为第二次加密迭代的L1。 4) 第二次至第十六次加密迭代，分别使用使用子密钥K2-K16进行，过程与第一次加密迭代相同。 5) 第十六次加密迭代结束后，产生一个64位的数据组，以其左边32位作为R16，右边32位作为L16，两者合并，再经过逆初始置换IP，将数据重新排列，得到64位密文。6、非对称加密算法的特点是什么?