信息安全技术与实践习题答案第3-4章

专业资料第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA 指的是什么 ?Confidenciality隐私性 , 也可称为机密性, 是指只有授权的用户才能获取信息 Integrity 完整性 , 是指信息在传输过程中 , 不被非法授权和破坏 , 保证数据的一致性Availability可用性 , 是指信息的可靠度4、简述 PPDR安全模型的构成要素及运作方式PPDR由安全策略 , 防护 , 检测和响应构成运作方式 :PPDR 模型在整体的安全策略的控制和指导下, 综合运用防护工具的同时, 利用检测工具了解和评估系统的安全状态 , 通过适当的安全响应将系统调整在一个相对安全的状态。

防护 , 检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下, 依据特定的安全策略 , 对信息及信息系统实施防护, 检测和恢复的科学7、信息安全系统中, 人、制度和技术之间的关系如何?在信息安全系统中, 人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力, 技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术, 还应该建立相应的制度以起到规范的作用。

只有三者的完美结合 , 才有安全的信息安全系统第二章密码技术一、选择题1．下列（ RSA算法）算法属于公开密钥算法。

2. 下列（天书密码）算法属于置换密码。

3.DES 加密过程中，需要进行（16 ）轮交换。

二、填空题1. 给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为01011111。

《信息安全原理与技术》（第3版）习题答案《信息安全》习题参考答案第1章1.1 主动攻击和被动攻击是区别是什么？答：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可⽤性和真实性。

1.2 列出⼀些主动攻击和被动攻击的例⼦。

答：常见的主动攻击：重放、拒绝服务、篡改、伪装等等。

常见的被动攻击：消息内容的泄漏、流量分析等等。

1.3 列出并简单定义安全机制的种类。

答：安全机制是阻⽌安全攻击及恢复系统的机制，常见的安全机制包括：加密机制：加密是提供数据保护最常⽤的⽅法，加密能够提供数据的保密性，并能对其他安全机制起作⽤或对它们进⾏补充。

数字签名机制：数字签名主要⽤来解决通信双⽅发⽣否认、伪造、篡改和冒充等问题。

访问控制机制：访问控制机制是按照事先制定的规则确定主体对客体的访问是否合法，防⽌未经授权的⽤户⾮法访问系统资源。

数据完整性机制：⽤于保证数据单元完整性的各种机制。

认证交换机制：以交换信息的⽅式来确认对⽅⾝份的机制。

流量填充机制：指在数据流中填充⼀些额外数据，⽤于防⽌流量分析的机制。

路由控制机制：发送信息者可以选择特殊安全的线路发送信息。

公证机制：在两个或多个实体间进⾏通信时，数据的完整性、来源、时间和⽬的地等内容都由公证机制来保证。

1.4 安全服务模型主要由⼏个部分组成，它们之间存在什么关系。

答：安全服务是加强数据处理系统和信息传输的安全性的⼀种服务，是指信息系统为其应⽤提供的某些功能或者辅助业务。

安全服务模型主要由三个部分组成：⽀撑服务，预防服务和恢复相关的服务。

⽀撑服务是其他服务的基础，预防服务能够阻⽌安全漏洞的发⽣，检测与恢复服务主要是关于安全漏洞的检测，以及采取⾏动恢复或者降低这些安全漏洞产⽣的影响。

1.5 说明安全⽬标、安全要求、安全服务以及安全机制之间的关系。

答：全部安全需求的实现才能达到安全⽬标，安全需求和安全服务是多对多的关系，不同的安全服务的联合能够实现不同的安全需求，⼀个安全服务可能是多个安全需求的组成要素。

1、消息认证是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改，即验证消息的发送者是真正的而非假冒的（数据起源认证）；同时验证信息在传送过程中未被篡改、重放或延迟等。

消息认证和信息保密是构成信息系统安全的两个方面，二者是两个不同属性上的问题：即消息认证不能自动提供保密性，保密性也不能自然提供消息认证功能。

2、消息鉴别码（Message Authentication Code ）MAC是用公开函数和密钥产生一个固定长度的值作为认证标识，并用该标识鉴别信息的完整性。

MAC是消息和密钥的函数，即MAC = C K（M），其中M是可变长的消息，C 是认证函数，K是收发双方共享的密钥，函数值C K（M）是定长的认证码。

认证码被附加到消息后以M‖MAC方式一并发送给接收方，接收方通过重新计算MAC以实现对M的认证。

3、数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。

接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，并与解密的摘要信息进行对比，若相同则说明收到的信息完整，在传输过程中未被修改；否则说明信息被修改。

1）签名应与文件是一个不可分割的整体，可以防止签名被分割后替换文件，替换签名等形式的伪造。

2）签名者事后不能否认自己的签名。

3）接收者能够验证签名，签名可唯一地生成，可防止其他任何人的伪造。

4）当双方关于签名的真伪发生争执时，一个仲裁者能够解决这种争执。

4、身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。

它通过特定的协议和算法来实现身份认证。

身份认证的目的是防止非法用户进入系统；访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许才能访问，违反预定安全规则的访问将被拒绝。

访问控制是为了防止合法用户对系统资源的非法使用。

5、1）基于口令的认证技术：当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。

信息安全技术基础课后答案第四章一、选择题1.当前普遍使用的WEB服务器和浏览器的主要协议是：A. HTTPB. HTTPSC. SMTPD. TCP正确答案：A. HTTP2.对于非对称加密算法，以下描述正确的是：A. 加密和解密密钥相同B. 加密和解密密钥不同C. 加密过程只有一个密钥D. 加密过程不存在密钥正确答案：B. 加密和解密密钥不同3.在信息安全领域，安全漏洞是指：A. 不存在的威胁B. 信息系统中存在的弱点或缺陷C. 无法被攻击的系统D. 信息安全技术的核心正确答案：B. 信息系统中存在的弱点或缺陷4.在网站安全漏洞中，SQL注入是指：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作B. 利用用户密码泄露漏洞进行拦截C. 对网站进行DDoS攻击D. 从网站服务器系统入手，获取管理员权限进行攻击正确答案：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作5.加密算法中，对称加密算法和非对称加密算法的区别在于：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥B. 对称加密算法比非对称加密算法更安全C. 对称加密算法速度更快D. 非对称加密算法只能用于数字签名正确答案：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥二、判断题1.信息安全的三要素是机密性、完整性和可用性。

正确答案：正确2.信息安全管理体系（ISMS）是指一套包含组织、人员、技术等维度的信息安全管理制度。

正确答案：正确3.单向散列函数是一种不可逆的加密算法。

正确答案：正确4.公钥加密算法是一种非对称加密算法。

正确答案：正确5.SQL注入漏洞主要是通过合理构造恶意SQL查询语句实现的。

正确答案：正确三、简答题1.请简述对称加密算法和非对称加密算法的原理和应用场景。

对称加密算法使用相同的密钥进行加密和解密。

加密和解密的速度较快，但密钥的传递和管理比较困难。

1、计算机系统的安全性包括狭义安全和广义安全两个方面。

狭义安全主要是对外部攻击的防范，广义安全则是保障计算机系统中数据保密性、数据完整性和系统可用性。

2、（1）硬件安全1）存储保护2）运行保护3）I/O 保护（2）身份认证（3）访问控制1）自主访问控制2）强制访问控制（4）最小特权管理（5）可信通道（6）安全审计机制3、数据库系统(Database System，简称DBS)是采用了数据库技术的计算机系统，通常由数据库、硬件、软件、用户四部分组成。

4、最小特权策略。

最小特权策略是指用户被分配最小的权限。

最大共享策略。

最大共享策略是在保密的前提下，实现最大程度的信息共享。

粒度适当策略。

数据库系统中不同的项被分成不同的颗粒，颗粒随小，安全级别越高，但管理也越复杂。

开放系统和封闭系统策略。

按内容访问控制策略。

按类型访问控制策略。

按上下文访向控制策略。

根据历史的访问控制策略。

5、常用的数据库备份方法有：冷备份、热备份和逻辑备份。

1）冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份，有称为“脱机备份”。

2）热备份是指当数据库正在运行时进行的备份，又称为“联机备份”。

3）逻辑备份逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件，该文件的格式一般与原数据库的文件格式不同，而是原数据库中数据内容的的一个映像。

因此逻辑备份文件只能用来对数据库进行逻辑恢复（即数据导入），而不能按数据库原来的存储特征进行物理恢复。

信息安全技术基础课后答案第一章：信息安全概论1. 信息安全的定义是什么？信息安全是指在计算机系统中，保护信息不受未经授权访问、使用、披露、干扰、破坏、修改、伪造等威胁的一系列措施的总称。

2. 信息安全的目标是什么？信息安全的主要目标包括保密性、完整性和可用性。

保密性指保护信息不被未经授权的个人或实体所访问；完整性指保证信息不被非法篡改；可用性指确保信息资源能够及时可靠地得到使用。

3. 信息安全的基本要素有哪些？信息安全的基本要素包括：机密性、完整性、可用性、不可抵赖性、可控制性和身份认证。

4. 请列举常见的信息安全攻击类型。

常见的信息安全攻击包括：密码攻击、网络攻击（如拒绝服务攻击、入侵攻击）、恶意软件（如病毒、蠕虫、木马）、社会工程学攻击（如钓鱼、假冒身份）和数据泄露等。

5. 请说明防火墙的作用。

防火墙是一种位于计算机网络与外部网络之间的安全设备，它可以通过控制数据包的进出来保护内部网络的安全。

防火墙可以实施访问控制、数据包过滤、网络地址转换等功能，提高网络的安全性。

第二章：密码学基础1. 什么是对称密码学？请举例说明。

对称密码学是一种使用相同密钥进行加密和解密的密码学方法。

例如，DES （Data Encryption Standard）就是一种对称密码算法，在加密和解密过程中使用相同的密钥。

2. 什么是公钥密码学？请举例说明。

公钥密码学是一种使用公钥和私钥进行加密和解密的密码学方法。

例如，RSA （Rivest, Shamir, Adleman）算法就是一种公钥密码算法，发送方使用接收方的公钥进行加密，接收方使用自己的私钥进行解密。

3. 对称密码学和公钥密码学有什么区别？对称密码学使用相同的密钥进行加密和解密，安全性依赖于密钥的保密性；而公钥密码学使用不同的密钥进行加密和解密，安全性依赖于数学难题的求解。

4. 什么是哈希函数？请举例说明。

哈希函数是一种将任意长度数据（输入）转换为固定长度（输出）的函数。

信息安全技术教程习题及答案第一章概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2. 计算机场地可以选择在公共区域人流量比较大的地方。

×3. 计算机场地可以选择在化工厂生产车间附近。

×4. 计算机场地在正常情况下温度保持在18~28 摄氏度。

√5. 机房供电线路和动力、照明用电可以用同一线路。

×6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。

×10. 由于传输的内容不同，电力线可以与网络线同槽铺设。

×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。

√13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。

√14. 机房内的环境对粉尘含量没有要求。

×15. 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。

√16. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√17. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1. 以下不符合防静电要求的是A. 穿合适的防静电衣服和防静电鞋B. 在机房内直接更衣梳理C. 用表面光滑平整的办公家具D. 经常用湿拖布拖地2. 布置电子信息系统信号线缆的路由走向时，以下做法错误的是A. 可以随意弯折B. 转弯时，弯曲半径应大于导线直径的10 倍C. 尽量直线、平整D. 尽量减小由线缆自身形成的感应环路面积3. 对电磁兼容性(Electromagnetic Compatibility, 简称EMC) 标准的描述正确的是A. 同一个国家的是恒定不变的B. 不是强制的C. 各个国家不相同D. 以上均错误4. 物理安全的管理应做到A. 所有相关人员都必须进行相应的培训，明确个人工作职责B. 制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况C. 在重要场所的迸出口安装监视器，并对进出情况进行录像D. 以上均正确三、多选题1. 场地安全要考虑的因素有A. 场地选址B. 场地防火C. 场地防水防潮D. 场地温度控制E. 场地电源供应2. 火灾自动报警、自动灭火系统部署应注意A. 避开可能招致电磁干扰的区域或设备B. 具有不间断的专用消防电源C. 留备用电源D. 具有自动和子动两种触发装置3. 为了减小雷电损失，可以采取的措施有A. 机房内应设等电位连接网络B. 部署UPSC. 设置安全防护地与屏蔽地D. 根据雷击在不同区域的电磁脉冲强度划分，不同的区域界面进行等电位连接E. 信号处理电路4. 会导致电磁泄露的有A. 显示器B. 开关电路及接地系统C. 计算机系统的电源线D. 机房内的电话线E. 信号处理电路5. 磁介质的报废处理，应采用A. 直接丢弃B.砸碎丢弃C. 反复多次擦写D.内置电磁辐射干扰器6. 静电的危害有A. 导致磁盘读写错误，损坏磁头，引起计算机误动作B. 造成电路击穿或者毁坏C. 电击，影响工作人员身心健康D. 吸附灰尘7. 防止设备电磁辐射可以采用的措施有A. 屏蔽机B. 滤波C. 尽量采用低辐射材料和设备、D.内置电磁辐射干扰器四、问答题1. 物理安全包含哪些内容?2. 解释环境安全与设备安全的联系与不同。

1、可用性、机密性、完整性、非否认性、真实性和可控性。

这6个属性是信息安全的基本属性，其具体含义如下（1）可用性（Availability）。

即使在突发事件下，依然能够保障数据和服务的正常使用，如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。

（2）机密性（Confidentiality）。

能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

（3）完整性（Integrity）。

能够保障被传输、接收或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

（4）非否认性（non-repudiation）。

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

（5）真实性（Authenticity）。

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。

（6）可控性（Controllability）。

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、信息安全是一个古老而又年轻的科学技术领域。

纵观它的发展，可以划分为以下四个阶段：（1）通信安全发展时期：从古代至20世纪60年代中期，人们更关心信息在传输中的机密性。

（2）计算机安全发展时期：计算机安全发展时期跨越20世纪60年代中期至80年代中期。

（3）信息安全发展时期：随着信息技术应用越来越广泛和网络的普及，20世纪80年代中期至90年代中期，学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视，人们所关注的问题扩大到前面提到的信息安全的6个基本属性。

在这一时期，密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展，尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用，因此，这个时期也可以称为网络安全发展时期。