计算机四级《信息安全工程师》考点复习
计算机四级《信息安全工程师》考点复习
2017年计算机四级《信息安全工程师》考点复习
为了帮助各位考生有效地对计算机四级考试考点进行复习,下面店铺特意整理了2017计算机四级《信息安全工程师》考点复习,供大家参考学习!
【考点一】
一、什么是三层交换,和路由的区别在那里?
答案:
三层交换机和路由器都可工作在网络的第三层,根据ip地址进行数据包的转发(或交换),原理上没有太大的区别,这两个名词趋向于统一,我们可以认为三层交换机就是一个多端口的路由器。
但是传统的路由器有3个特点:基于CPU的单步时钟处理机制;能够处理复杂的路由算法和协议;主要用于广域网的低速数据链路在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。
对路由知识的掌握情况,对方提出了一个开放式的问题:简单说明一下你所了解的路由协议。
路由可分为静态&动态路由。静态路由由管理员手动维护;动态路由由路由协议自动维护。
路由选择算法的必要步骤:1、向其它路由器传递路由信息;2、接收其它路由器的路由信息;3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。
两种主要算法:距离向量法(Distance Vector Routing)和链路状态算法(Link-State Routing)。由此可分为距离矢量(如:RIP、IGRP、EIGRP)&链路状态路由协议(如:OSPF、IS-IS)。
路由协议是路由器之间实现路由信息共享的一种机制,它允许路由器之间相互交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时,它需要及时地将这一变化通知与之相连接的其他路由器,以保证数据的正确传递。路由协议不承担网络上终端用户之间的数据传输任务。
二、简单说下OSPF的操作过程。
答案:
①路由器发送HELLO报文;②建立邻接关系;③形成链路状态④SPF 算法算出最优路径⑤形成路由表
OSPF路由协议的基本工作原理,DR、BDR的选举过程,区域的作用及LSA的传输情况(注:对方对OSPF的相关知识提问较细,应着重掌握)。
特点:1、收敛速度快;2、支持无类别的路由表查询、VLSM和超网技术;3、支持等代价的多路负载均衡;4、路由更新传递效率高(区域、组播更新、DR/BDR);5、根据链路的带宽(cost)进行最优选路。
通过发关HELLO报文发现邻居建立邻接关系,通过泛洪LSA形成相同链路状态数据库,运用SPF算法生成路由表。
DR/BDR选举:1、DR/BDR存在->不选举;达到2-way状态Priority不为0->选举资格;3、先选BDR后DR;4、利用“优先级”“RouterID”进行判断。
1、通过划分区域可以减少路由器LSA DB,降低CPU、内存、与LSA泛洪带来的开销。
2、可以将TOP变化限定在单个区域,加快收敛。
LSA1、LSA2只在始发区域传输;LSA3、LSA4由ABR始发,在OSPF域内传输;LSA5由ASBR始发在OSPF的AS内传输;LSA7只在NSSA内传输。
三、OSPF有什么优点?为什么OSPF比RIP收敛快?
优点:
1、收敛速度快;
2、支持无类别的路由表查询、VLSM和超网技术;
3、支持等代价的多路负载均衡;
4、路由更新传递效率高(区域、组
播更新、DR/BDR);5、根据链路的带宽进行最优选路
采用了区域、组播更新、增量更新、30分钟重发LSA
四、RIP版本1跟版本2的区别?
答:①RIP-V1是有类路由协议,RIP-V2是无类路由协议②RIP-V1广播路由更新,RIP-V2组播路由更新③RIP-V2路由更新所携带的信息要比RIP-V1多
五、描述RIP和OSPF,它们的区别、特点。
RIP协议是一种传统的路由协议,适合比较小型的网络,但是当前Internet网络的迅速发展和急剧膨胀使RIP协议无法适应今天的网络。
OSPF协议则是在Internet网络急剧膨胀的时候制定出来的,它克服了RIP协议的许多缺陷。
RIP是距离矢量路由协议;OSPF是链路状态路由协议。
RIP&OSPF管理距离分别是:120和110
1.RIP协议一条路由有15跳(网关或路由器)的限制,如果一个RIP 网络路由跨越超过15跳(路由器),则它认为网络不可到达,而OSPF 对跨越路由器的个数没有限制。
2.OSPF协议支持可变长度子网掩码(VLSM),RIP则不支持,这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持。
3.RIP协议不是针对网络的.实际情况而是定期地广播路由表,这对网络的带宽资源是个极大的浪费,特别对大型的广域网。OSPF协议的路由广播更新只发生在路由状态变化的时候,采用IP多路广播来发送链路状态更新信息,这样对带宽是个节约。
4.RIP网络是一个平面网络,对网络没有分层。OSPF在网络中建立起层次概念,在自治域中可以划分网络域,使路由的广播限制在一定的范围内,避免链路中继资源的浪费。
5.OSPF在路由广播时采用了授权机制,保证了网络安全。
上述两者的差异显示了OSPF协议后来居上的特点,其先进性和复杂性使它适应了今天日趋庞大的Internet网,并成为主要的互联网路由协议。
【考点二】
一、什么是静态路由?什么是动态路由?各自的特点是什么?
答案:
静态路由是由管理员在路由器中手动配置的固定路由,路由明确地指定了包到达目的地必须经过的路径,除非网络管理员干预,否则静态路由不会发生变化。静态路由不能对网络的改变作出反应,所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。
静态路由特点:
1、它允许对路由的行为进行精确的控制;
2、减少了网络流量;
3、是单向的;
4、配置简单。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离向量路由协议(如RIP)和链路状态路由协议(如OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤:
1、向其它路由器传递路由信息;
2、接收其它路由器的路由信息;
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;
4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。
动态路由适用于网络规模大、拓扑复杂的网络。
动态路由特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
二、VLAN和VPN有什么区别?分别实现在OSI的第几层?
VPN是一种三层封装加密技术,VLAN则是一种第二层的标志技术(尽管ISL采用封装),尽管用户视图有些相象,但他们不应该是同一层次概念。
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN在交换机上的实现方法,可以大致划分为2大类:基基于端口划分的静态VLAN;2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的实现。
跨交换机VLAN通讯通过在TRUNK链路上采用Dot1Q或ISL封装(标识)技术。
VPN(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
VPN使用三个方面的技术保证了通信的安全性:隧道协议、数据加密和身份验证。
VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在MS-CHAP、MS-CHAP v2 或EAP/TLS 身份验证被协商之后,数据才由MPPE 进行加密,MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。
对于L2TP服务器,将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用L2TP 协议的VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP 连接建立之前,IPSec 在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位
密钥的三倍 DES (3DES)。
VPN的身份验证方法:
前面已经提到VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向MD5 散列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。
MS-CHAP 同CHAP相似,微软开发MS-CHAP 是为了对远程Windows 工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2 作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP,可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说,使用EAP可以防止暴力或词典攻击及密码猜测,提供比其他身份验证方法(例如 CHAP)更高的安全性。
在Windows系统中,对于采用智能卡进行身份验证,将采用EAP 验证方法;对于通过密码进行身份验证,将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。
计算机四级《信息安全工程师》考点复习
计算机四级《信息安全工程师》考点复习 2017年计算机四级《信息安全工程师》考点复习 为了帮助各位考生有效地对计算机四级考试考点进行复习,下面店铺特意整理了2017计算机四级《信息安全工程师》考点复习,供大家参考学习! 【考点一】 一、什么是三层交换,和路由的区别在那里? 答案: 三层交换机和路由器都可工作在网络的第三层,根据ip地址进行数据包的转发(或交换),原理上没有太大的区别,这两个名词趋向于统一,我们可以认为三层交换机就是一个多端口的路由器。 但是传统的路由器有3个特点:基于CPU的单步时钟处理机制;能够处理复杂的路由算法和协议;主要用于广域网的低速数据链路在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。 对路由知识的掌握情况,对方提出了一个开放式的问题:简单说明一下你所了解的路由协议。 路由可分为静态&动态路由。静态路由由管理员手动维护;动态路由由路由协议自动维护。 路由选择算法的必要步骤:1、向其它路由器传递路由信息;2、接收其它路由器的路由信息;3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。 两种主要算法:距离向量法(Distance Vector Routing)和链路状态算法(Link-State Routing)。由此可分为距离矢量(如:RIP、IGRP、EIGRP)&链路状态路由协议(如:OSPF、IS-IS)。
计算机四级考试网络工程师考点:网络安全与信息安全
计算机四级考试网络工程师考点:网络安全与信息安全 计算机四级考试网络工程师考点:网络安全与信息安全 网络安全与信息安全是现代互联网关注的重点。你知道网络安全与信息安全包括哪些内容吗?下面是店铺为大家带来的网络安全与信息安全的知识,欢迎阅读。 一、密码学 1、密码学是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。 2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。常见的算法有:DES、IDEA 3、加密模式分类: (1)序列密码:通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流逐位加密得到密文。 (2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。 4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。 实现的过程:每个通信双方有两个密钥,K和K',在进行保密通信时通常将加密密钥K公开(称为公钥),而保留解密密钥K'(称为私钥),常见的算法有:RSA 二、鉴别 鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。 1、口令技术 身份认证标记:PIN保护记忆卡和挑战响应卡 分类:共享密钥认证、公钥认证和零知识认证 (1)共享密钥认证的思想是从通过口令认证用户发展来了。 (2)公开密钥算法的出现为 2、会话密钥:是指在一次会话过程中使用的密钥,一般都是由机
器随机生成的,会话密钥在实际使用时往往是在一定时间内都有效,并不真正限制在一次会话过程中。 签名:利用私钥对明文信息进行的变换称为签名 封装:利用公钥对明文信息进行的变换称为封装 3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥,还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。 4、数字签名: 加密过程为C=EB(DA(m)) 用户A先用自己的保密算法(解密算法DA)对数据进行加密DA(m),再用B的公开算法(加密算法EB)进行一次加密EB(DA(m))。 解密的过程为m= EA (DB (C)) 用户B先用自己的保密算法(解密算DB)对密文C进行解密DB (C),再用A的公开算法(加密算法EA)进行一次解密EA (DB (C))。只有A才能产生密文C,B是无法依靠或修改的,所以A是不得抵赖的DA(m)被称为签名。 三、访问控制 访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。 1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。 2、访问控制表(ACL)每个访问者存储有访问权力表,该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。 3、粗粒度访问控制:能够控制到主机对象的访问控制 细粒度访问控制:能够控制到文件甚至记录的访问控制 4、防火墙作用:防止不希望、未经授权的'通信进出被保护的内部
计算机等级考试四级信息安全工程师17套
17套信息安全工程师 操作系统原理-单选题 1.操作系统是一个可以从多视角考察的软件系统。下列关于操作系统的叙述中,哪—项是错误的( ) 。 A、从应用角度看,操作系统是一个工具软件 B、从软件设计和开发的角度看,操作系统是一个基础软件和工具软件 C、从网络攻击者角度看,操作系统是首先要突破的防线 D、从扩展角度看,操作系统为用户提供了一台虚拟机 A【解析】操作系统是计算机系统中的一个系统软件,它是这样—些程序模块的几个—他们能有效地组织和管理计算机系统中的硬件和软件资源,合理地的组织计算的工作流程,控制程序的执行,并像用户提供各种服务功能,使用户能够灵活、方便、有效地使用计算机,并使整个计算机系统能高效地运行。所以从应用角度看,操作系统是一个系统软件,故选择A选项。 2并发性是操作系统的特征之一。下列描述的四种现象中,哪—种具有“并发性”( ) 。 A、单CPU系统交替运行积分计算和磁盘读写的进程 B、双CPU系统分别运行微分计算和打印输出进程 C、单CPU系统运行除法进程,同时网卡收发数据包 D、双CPU系统分别运行同一进程的多个不同线程 A【解析】“并发性”是指计算机系统中同时存在若干个运行着的程序,也就是说指两个或者多个事件在同—时间的间隔内发生。A选项中在单处理机情况下,计算进程与磁盘读写进程微观上占用CPU交替执行,但宏观上计算进程与读写进程是在同—时间间隔内都活动着的,故选择A选项。 3下列哪一个标志位或状态码不包含在程序状态字(PsW)中( )。 A、修改位(M) B、CPU工作状态码(S) C、条件码(℃) D、中断屏蔽码(IF) A【解析】程序状态字(Psw)通常包括以下状态代码: (1)CPU的工作状态码—指明管态还是自态,用来说明当前在CPU上执行的是操作系统还是—般用户,从而决定其是否可以使用特权指令或拥有其它的特殊权力 (2)条件码—反映指令执行后的结果特征3中断屏蔽码——指出是否允许中断故选择A选项。 4中断和异常都是将正常执行的程序打断,完成相应处理后再恢复该程序的执行,但是二者是有区别的。下列各种事件中,哪—项属于异常()。 A、运行过程中执行了除零操作 B、定时器计时结束 C、用户敲击键盘 D、存储器校验出错 A【解析】中断和异常的主要区分是发生原因和处理方式的差别;中断是由外部事件引发的,也就是在执行—条指令后发生;而异常则是曲正在执行的指令引发的,产生的原因首先是程序的错误产生,比如除数为零;其次是内核必须处理的异常条件产生,比如缺页。故选择A选
计算机四级信息安全工程师复习考点
计算机四级信息安全工程师复习考点 2017计算机四级信息安全工程师复习考点大全 一、网络信息安全概述 1.1网络安全与现状问题 1.1.1网络安全现状 1.1.2典型网络安全问题 1.2网络安全与目标功能 1.2.1网络安全目标 1.2.2网络安全基本功能 1.3网络安全技术需求 1.3.1网络物理安全 1.3.2网络认证 1.3.3网络访问控制 1.4网络安全管理内涵 1.4.1网络安全管理定义 1.5网络安全管理方法与流程 二、网络攻击原理与常用方法 2.1网络攻击概述 2.1.1网络攻击概述 2.1.2网络攻击技术的发展演变 2.2网络攻击的一般过程
2.2.1隐藏攻击源 2.2.2收集攻击目标信息 2.2.3挖掘漏洞信息 三、网络安全体系 3.1网络安全体系概述 3.2网络安全体系的原则与内容 四、网络安全密码学基本理论 4.1密码学概况 4.2密码体制分类 4.3常见密码算法 4.4杂凑函数 4.5数字签名 4.6安全协议 4.7密码理论的网络安全应用举例 五、物理与环境安全技术 5.1物理安全概述 5.2物理安全常见方法 5.3网络机房安全 5.4网络通信安全 5.5存储介质安全 六、认证技术的原理与应用 6.1认证相关概念
6.2认证信息类型 6.3认证的作用和意义 6.4认证方法分类 6.5认证实现技术 6.6认证技术应用案例 七、访问控制技术的原理与应用 7.1访问控制目标 7.2访问控制系统模型 7.3访问授权和模型 7.4访问控类型 7.5访问控制策略的设计与组成7.6访问控制管理过程和内容 7.7访问控制案例分析 八、防火墙技术的原理与应用 8.1防火墙概述 8.2防火墙技术与类型 8.3防火墙主要技术参数 8.4防火墙防御体系结构类型8.5防火墙部署与应用类型 8.6本章小结 九、VPN技术的原理与应用 9.1VPN概况
信息安全工程师练习题库及答案
信息安全工程师练习题库及答案在信息时代的今天,信息安全越来越受到重视。作为信息安全领域的专业人士,信息安全工程师起着至关重要的作用。为了帮助信息安全工程师更好地备战实战,本文将提供一份练习题库及答案,供信息安全工程师进行练习和复习。 一、网络安全 网络安全是信息安全的重要组成部分,它关注着网络系统和网络传输过程中的安全问题。下面是一些网络安全方面的练习题及答案。 1. 什么是DDoS攻击?请描述攻击原理并提出相应的防御措施。 答:DDoS攻击是指分布式拒绝服务攻击,攻击者通过控制多个机器,同时向目标服务器发送大量的请求,以消耗服务器资源,从而使目标服务器无法正常对外提供服务。防御措施包括流量清洗、入侵防御系统的部署等。 2. SSL/TLS协议是用来解决什么问题的?请简要介绍该协议的工作原理。 答:SSL/TLS协议用于解决网络通信过程中的数据传输安全问题。该协议通过建立安全连接、身份认证和数据加密等机制,确保通信双方的数据传输过程不被窃取或篡改。其工作原理主要包括握手协议、密钥交换、数据加密和身份认证等步骤。 二、系统安全
系统安全是指保护计算机系统免受恶意攻击和非法访问的一系列措施和技术。下面是一些系统安全方面的练习题及答案。 1. 什么是恶意软件?请列举几种常见的恶意软件类型,并提出相应的防御方法。 答:恶意软件是指被恶意开发者制作出来,用于攻击计算机系统或窃取用户信息的软件。常见的恶意软件类型包括病毒、木马、蠕虫、间谍软件等。防御方法包括定期更新杀毒软件、不随便下载不明来源的软件等。 2. 什么是弱口令?请简要介绍一些设计强密码的方法。 答:弱口令是指易于猜测或容易破解的密码。为设计强密码,可以采用以下方法: - 长度要足够长,建议使用至少8位字符; - 使用包括大写字母、小写字母、数字和特殊字符的组合; - 避免使用与个人信息相关的词语或常见的字符串; - 定期更换密码,避免重复使用密码。 三、安全管理与应急响应 安全管理与应急响应是信息安全工程师必备的能力之一,它涉及到安全策略制定、风险评估、安全培训等方面。下面是一些安全管理与应急响应方面的练习题及答案。 1. 请简要介绍信息安全风险评估的过程和方法。
信息安全工程师综合知识大纲考点:网络信息安全法律与政策文件
信息安全工程师综合知识大纲考点:网络信息安全法律 与政策文件 【考点重要程度】:了解、熟悉。主要是对网络信息安全基本法律、网络安全等级保护、网络产品和服务审查这3个知识点重点了解下。 【考点内容】: 网络信息安全法律与政策主要有:国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。 网络信息安全基本法律与国家战略:主要有《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》等。 网络信息安全基本法律: 《中华人民共和国网络安全法》由中华人民共和国第十二届全国人名代表大会常务委员会第二十四次会议于2016年11月7日通过,于2017年6月1日起施行; 《中华人民共和国密码法》于2020年1月1日起施行; 《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》于2021年9月1日实施; 《中华人民共和国个人信息保护法》于2021年11月1日起施行; 《网络安全审查办法》于2022年2月15日起施行。 网络安全等级保护: 等级保护义务: (1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (2)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施; (3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于六个月; (4)采取数据分类、重要数据备份和加密等措施;
(5)法律、行政法规规定的其它义务。 网络安全等级保护的主要工作可以概括为:定级、备案、建设整改、等级测评、运营维护。 (1)定级:确认定级对象、确定合适级别,通过专家评审和主管部门审核; (2)备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核; (3)建设整改:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系。 (4)等级测评:等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书 (5)运营维护:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。 国家密码管理制度:根据密码法,国家密码管理部门负责管理全国密码工作,县级以上地方各级密码管理部门负责管理本行政区域的密码工作。 网络产品和服务审查:依据《中华人民共和国国家安全法》和《中华人民共和国网络安全法》等法律法规,有关部门制订了《网络产品和服务安全审查办法》。中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。 审查重点评估采购网络产品和服务可能带来的国家安全风险,这些风险主要包括: (1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; (2)产品和服务供应中断对关键信息基础设施业务连续性的危害; (3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为 (4)政治、外交、贸易等因素导致供应中断的风险; (5)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (6)其他可能危害关键信息基础设施安全和国家安全的因素。
信息安全工程师考试要点
信息安全工程师考试要点 为了应对日益复杂的信息安全环境,信息安全工程师的角色变得越来越重要。信息安全工程师需要具备一系列技能和知识,才能有效地保护组织的信息资产和网络系统。本文将介绍信息安全工程师考试的要点,帮助考生在备考过程中聚焦关键内容。 一、信息安全基础知识 1. 信息安全概念与原理 信息安全的基本概念、原则和目标,如保密性、完整性和可用性,以及相关的风险和威胁等内容。 2. 密码学基础 对称密钥加密和公钥加密的原理与区别,数字签名和数字证书的概念和作用,以及常见的加密算法、哈希算法等。 3. 计算机网络安全 网络协议的安全性,如IPSec、SSL/TLS等,网络攻击与防御,例如DoS/DDoS攻击、入侵检测系统等。 4. 操作系统安全 操作系统的安全功能与机制,如访问控制、文件权限管理、安全策略等,以及操作系统常见的漏洞与加固措施。 5. 数据库安全
数据库的安全管理,包括访问控制、数据备份与恢复、审计与监控等,以及数据库常见的攻击手段与防护方法。 6. 应用系统安全 常见应用系统的安全设计与开发,包括Web应用、移动应用等,以及安全编程、漏洞挖掘与修复等。 二、信息安全技术与工具 1. 防火墙与入侵检测系统 防火墙的功能、分类与配置,入侵检测系统的原理与使用,以及防火墙与入侵检测系统的协同防御。 2. 安全访问控制 常见的访问控制技术,如基于角色的访问控制(RBAC)、多因素认证等,以及访问控制的实施与管理。 3. 安全漏洞评估与渗透测试 常见的漏洞评估方法与工具,如漏洞扫描、渗透测试等,以及漏洞评估与渗透测试的步骤和注意事项。 4. 网络流量分析与取证 网络流量分析的原理与方法,取证工具的使用,以及网络流量分析与取证在安全事件响应中的应用。 5. 安全日志管理与安全运维
信息安全工程师考点
希赛网软考频道小编为大家整理了信息安全工程师考点—信息安全管理基础2,希望对在备考信息安全工程师的考生有所帮助。 考点 3 、信息安全管理基础 【考法分析】 本考点主要是对信息安全管理相关内容的考查。 【要点分析】 17.《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级: 第一级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损 害国家安全,社会秩序和公共利益。 第二级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或 者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全 造成损害。 第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家 安全造成严重损害。 第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。 《信息安全等级保护管理办法》明确规定,在信息系统建设过程中,运营,使用单位应当 按照《计算机信息系统安全保护等级划分准则》。 18 . GB17859-1999标准规定了计算机系统安全保护能力的五个等级: 第一级:用户自主保护级,通过隔离用户与数据,使用户具备自主安全保护的能力。
第二级:系统审计保护级,通过登录规程,审计安全性相关事件和隔离资源,使用户对自己的行为负责。 第三级:安全标记保护级,具有系统审计保护级所有功能,还提供有关安全策略模型,数据标记以及祖逖对客体强制性访问控制的非形式化描述,具有准确地标记输出信息的能力,消除通过测试发现的任何错误。 第四级:结构化保护级,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。 第五级:访问验证保护级,满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。 19.涉密信息系统安全分级保护可以划分为秘密级,机密级和机密级(增强),绝密级三个等级: ① 秘密级:不低于国家信息安全等级保护三级的要求 ② 机密级:不低于国家信息安全等级保护四级的要求 属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:副省级以上的党政首脑机关,以及国防,外交,国家安全,军工等要害部门;机密级信息含量较高或数量较多;使用单位对信息系统的依赖程度较高。 ③ 绝密级:信息系统中包含有最高为绝密级的国家秘密,不低于国家信息安安等级保护五级的要求。 20.涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段,安全规划方案设计阶段,安全工程实施阶段,信息系统测评阶段,系统审批阶段,安全运行及维护阶段,定期
计算机四级信息安全工程师考试练习题
计算机四级信息平安工程师考试练习题 计算机四级信息平安工程师考试练习题 一、选择题 1.信息平安最关心的三个属性是什么? A. Confidentiality B. Integrity C. Authentication D. Authorization E. Availability 2.用哪些技术措施可以有效地防御通过伪造保存IP地址而施行的攻击 A.边界路由器上设置ACLs B.入侵检测系统 C.防火墙策略设置 D.数据加密 3.以下哪些设备应放置在DMZ区 A.认证效劳器 B.邮件效劳器 C.数据库效劳器
D. Web效劳器 4.以下哪几项关于平安审计和平安的描绘是正确的 A.对入侵和攻击行为只能起到威慑作用 B.平安审计不能有助于进步系统的抗抵赖性 C.平安审计是对系统记录和活动的独立审查和检验 D.平安审计系统可提供侦破辅助和取证功能 5.下面哪一个情景属于身份验证(Authentication)过程? A.用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改 B.用户按照系统提示输入用户名和口令 C.某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程纪录在系统日志中 D.用户使用加密软件对自己编写的Office文档进展加密,以阻止其别人得到这份拷贝后看到文档中的内容 6.以下那些属于系统的物理故障 A.软件故障 B.计算机病毒 C.人为的失误 D.网络故障和设备环境故障
7.数据在存储或传输时不被修改、破坏,或数据包的丧失、乱序等指的是 A.数据完好性 B.数据一致性 C.数据同步性 D.数据发性 8.数字签名是用于保障 A.机密性 B.完好性 C.认证性 D.不可否认性 9.网络攻击者在局域网内进展嗅探,利用的是网卡的特性是 A.播送方式 B.组播方式 C.直接方式 D.混杂形式 10.下面哪个参数可以删除一个用户并同时删除用户的主目录? A. rmuser -r B. deluser -r
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析AB卷(带答案)试题号:94
2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析 AB卷(带答案) 一.综合题(共15题) 1. 单选题 PKI是一种标准的公钥密码的密钥管理平台,数字证书是PKI的基本组成部分。在PKI中,X.509数字证书的内容不包括()。 问题1选项 A.加密算法标识 B.签名算法标识 C.版本号 D.主体的公开密钥信息 【答案】A 【解析】本题考查PKI方面的基础知识。 X.509数字证书内容包括:版本号、序列号、签名算法标识、发行者名称、有效期、主体名称、主体公钥信息、发行者唯一标识符、主体唯一识别符、扩充域、CA的签名等,不包括加密算法标识。 2. 案例题 阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。 【问题1】(4分) Linux系统将用户名和口令分别保存在哪些文件中?【问题2】(7分) Linux系统的用户名文件通常包含如下形式的内容: root:x:0:0:root:root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin hujw:x:500:500:hujianwei:/home/hujw:/bin/bash 文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为7个字段,请问第1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义? 【问题3】(4分) Linux系统中用户名文件和口令字文件的默认访问权限分别是什么? 【答案】【问题1】 用户名是存放在/etc/passwd文件中,口令是以加密的形式存放在/etc/shadow文件中。 【问题2】用户名:口令: 用户标识号:组标识号:注释性描述:主目录:登录Shell。 第一个冒号的第二列代表口令;第二个冒号的第三列代表用户标识号。 root用户id为0;bin用户id为1到99;hujw用户id为500。【解析】【问题1】 在Linux系统中,系统用户名是存放在/etc/passwd文件中,口令是以加密的形式存放在/etc/shadow文件中。 【问题2】 在Linux系统中,系统用户名是存放在/etc/passwd文件中,口令是以加密的形式存放在/etc/shadow文件中。 /etc/passwd文件介绍: 一般/etc/passwd中一行记录对应着一个用户,每行记录又被冒号(:)分隔为7个字段,其格式和具体含义如下: 用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell 用户名(login_name):是代表用户账号的字符串。通常长度不超过8个字符,并且由大小写字母和/或数字组成。登录名中不能有冒号(:),因为冒号在这里是分隔符。为了兼容起见,登录名中最好不要包含点字符(.),并且不使用连字符(-)和加号(+)打头。 口令(passwd):一些系统中,存放着加密后的用户口令字。虽然这个字段存放的只是用户口令的加密串,不是明文,但是由于/etc/passwd文件对所有用户都可读,所以这仍是一个安全隐患。因此,现在许多Linux 系统(如SVR4)都使用了shadow技术,把真正的加密后的用户口令字存放到/etc/shadow文件中,而在/etc/passwd文件的口令字段中只存放一个特殊的字符,例如“x”或者“*”。 用户标识号(UID):是一个整数,系统内部用它来标识用户。一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的,系统内部将把它们视为同一个用户,但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。取值范围是0-65535。0是超级用户root的标识号,1-99由系统保留,作为管理账号,普通用户的标识号从100开始。在Linux系统中,这个界限是500。
2023年信息安全工程师考试复习练习题及答案
信息安全工程师考试复习练习题及答案(一) 信息安全工程师考试复习练习题及答案(一) 篇一 选择题 1.()是防止发送方在发送数据后又否认自己行为,接受方接到数据后又否认自己接受到数据。 A.数据保密服务 B.数据完整性服务 C.数据源点服务 D.严禁否认服务 答案:D 2.鉴别互换机制是以()旳方式来确认实体身份旳机制。 A.互换信息 B.口令 C.密码技术 D.实体特性 答案:A 3.数据源点鉴别服务是开发系统互连第N层向()层提供旳服务 A.N+1 B.N-1 C.N+2 D.N-2 答案:B 4.从技术上说,网络轻易受到袭击旳原因重要是由于网络软件
不完善和()自身存在安全漏洞导致旳。 A.人为破坏B.硬件设备 C.操作系统D.网络协议 答案:D 5.对等实体鉴别服务是数据传播阶段对()合法性进行判断。 A.对方实体B.对本系统顾客 C.系统之间D.发送实体 答案:A 6.在无信息传播时,发送伪随机序列信号,使非法监听者无法懂得哪些是有用信息,哪些是无用信息。() A.公证机制B.鉴别互换机制 C.业务流量填充机制D.路由控制机制 答案:C 7.在系统之间互换数据时,防止数据被截获。() A.数据源点服务B.数据完整性服务 C.数据保密服务D.严禁否认服务 答案:C 8.以互换信息旳方式来确认对方身份旳机制。()
A.公证机制B.鉴别互换机制 C.业务流量填充机制D.路由控制机制 答案:B 填空题 1.假如当明文字母集与密文字母集是一对一映射时,则密钥长度是(26X26=676)。 2.DES算法是对称或老式旳加密体制,算法旳最终一步是(逆初始置换IP-1)。 3.公开密钥体制中每个组员有一对密钥,它们是公开密钥和(私钥)。 4.替代密码体制加密时是用字母表中旳另一种字母(替代)明文中旳字母。 5.换位密码体制加密时是将变化明文中旳字母(次序),自身不变。 6.DES算法加密明文时,首先将明文64位提成左右两个部分,每部分为(32)位。 7.在密码学中明文是指可懂旳信息原文;密文是指明文经变换后成为(无法)识别旳信息。
信息安全工程师下午习题记忆点
试题一(共20分) 【说明】 密码编码学是研究把信息(明文)变换成没有密钥就不能解读或很难解读的密文的方法,密码分析学的任务是破译密码或伪造认证密码。 【问题1】(10分) 通常一个密码系统简称密码体制,请简述密码体制的构成。 密码体制由以下五个部分组成: (1)明文空间M:全体明文的集合。 (2)密文空间C:全体密文的集合。 (3)加密算法E:一组明文M到密文C的加密变换。 (4)解密算法D:一组密文C到明文M的加密变换。 (5)密钥空间K:包含加密密钥K e和解密密钥K d的全体密钥集合。 【问题2】(3分) 根据所基于的数学基础的不同,非对称密码体制通常分为(1)、(2)、(3)。 (1)基于因子分解。 (2)基于离散对数。 (3)基于椭圆曲线离散对数。 【问题3】(2分) 根据密文数据段是否与明文数据段在整个明文中的位置有关,可以将密码体制分为(4)体制和(5)体制。 (4)分组密码。 (5)序列密码。 【问题4】(5分) 在下图给出的加密过程中,m i(i=1,2,...,n)表示明文分组,c i(i=1,2,...,n)表示密文分组,K表示密钥,E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点? 该加密过程属于CBC的密文链接方式。 CBC的密文链接方式下:加密会引发错误传播无界,解密引发错误传播有界。CBC不利于并行计算。 拓展:密码分组链接模式(CBC)可以分为密文链接方式和明密文链接方式。 (1)CBC的密文链接方式。 密文链接方式中,输入是当前明文组与前一密文组的异或。CBC的密文链接方式下:加密会引发错误传播无界,解密引发错误传播有界,CBC不利于并行计算。 (2)CBC的明密文链接方式。
信息安全工程师考试习题及答案
考试必赢 2016年信息安全工程师考试习题复习 一、单项选择题 1.信息安全的基本属性是___。 A.保密性 B.完整性 C.可用性、可控性、可靠性 D.A,B,C都是 答案:D 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A.对称加密技术 B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 答案:A 3.密码学的目的是___。 A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 答案:C 4.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB 公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’=KB公开(K A秘密(M))。B方收到密文的解密方案是___。 A.KB公开(KA秘密(M’)) B.KA公开(KA公开(M’)) C.KA公开(KB秘密(M’)) D.KB秘密(KA秘密(M’)) 答案:C 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A.多一道加密工序使密文更难破译 B.提高密文的计算速度
C.缩小签名密文的长度,加快数字签名和验证签名的运算速度 D.保证密文能正确还原成明文 答案:C 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A.身份鉴别是授权控制的基础 B.身份鉴别一般不用提供双向的认证 C.目前一般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 答案:B 7.防火墙用于将Internet和内部网络隔离___。 A.是防止Internet火灾的硬件设施 B.是网络安全和信息安全的软件和硬件设施 C.是保护线路不受破坏的软件和硬件设施 D.是起抗电磁干扰作用的硬件设施 答案:B 8.PKI支持的服务不包括___。 A.非对称密钥技术及证书管理 B.目录服务 C.对称密钥的产生和分发 D.访问控制服务 答案:D 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128 B.264 C.232 D.2256 答案:B 10.Bell-LaPadula模型的出发点是维护系统的___,而Bib a模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。 A.保密性可用性B.可用性保密 性C.保密性完整性D.完整性保密性 答案:C 二、填空题 1.ISO7498-2确定了五大类安全服务,即鉴别、(访问控制)、数据保密性、数据完整性和不可否认。同时,ISO7498-2也确定了八类安全机制,