数字内容安全原理与应用复习资料

网络安全习题二一、判断题（本大题共20道小题，每小题1分，共20分。

描述正确请填写“T”，错误请填写“F”）1、访问控制是网络防范和保护的主要策略。

（）2、用户名或用户帐号是所有计算机系统中最基本的安全形式。

（）3、在公钥密码中，收信方和发信方使用的密钥是相同的。

（）4、用直接侦听、截获信息、合法窃取、破译分析、从遗弃的媒体分析获取信息等手段窃取信息属于主动攻击。

（）5、防火墙具有基于源地址基础上的区分或拒绝某些访问的能力。

（）6、使用SSL安全机制可以确保数据传输的安全性，不会影响系统的性能。

（）7、公开密钥密码体制比对称密钥密码体制更为安全。

( )8、我的公钥证书是不能在网络上公开的，否则其他人可能假冒我的身份或伪造我的数字签名。

( )9、由于S/MIME用于非实时的通信环境，无法实时的协商会话密钥，因此对信息的加密只能使用公开密钥加密算法。

( )10、IPSec体系中，AH只能实现地址源发认证和数据完整性服务，ESP只能实现信息保密性数据加密服务。

( )11、PGP协议缺省的压缩算法是ZIP，压缩后的数据由于冗余信息很少，更容易抵御密码分析类型的攻击。

（）12、误用检测虽然比异常检测的准确率高，但是不能检测未知的攻击类型。

（）13、可以在局域网的网关处安装一个病毒防火墙，从而解决整个局域网的防病毒问题。

（）14、DES是一种block（块）密文的加密算法，是把数据加密成64bit的块。

（）15、3DES是一种加强了的DES加密算法，它的密钥长度和DES相比是其的3倍。

（）16、防火墙可以检查进出内部网的通信量。

（）17、防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能。

（）18、安装入侵检测工具既可以监控单位内部网络环境，也可以监控单位外部网络。

（）19、防火墙可以使用过滤技术在网络层对数据包进行选择。

（）20、防火墙可以阻止来自内部的威胁和攻击。

（）-二、单项选择题（本大题共20道小题，每小题1分，共20分。

信息安全试题（1/共3）一、单项选择题1．信息安全的基本属性是A.保密性B.完整性C. 可用性、可控性、可靠性。

2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。

这种算法的密钥就是5，那么它属于A. 对称加密技术。

3．密码学的目的是C. 研究数据保密。

4．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB公开，KB秘密），A方向B方发送数字签名M，对信息M加密为：M’= KB公开（KA秘密（M））。

B方收到密文的解密方案是C. KA公开（KB秘密（M’））。

5．数字签名要预先使用单向Hash函数进行处理的原因是 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是B. 身份鉴别一般不用提供双向的认证7．防火墙用于将Internet和内部网络隔离B. 是网络安全和信息安全的软件和硬件设施8．PKI支持的服务不包括D. 访问控制服务9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于B．26410.、加密算法分为（对称密码体制和非对称密码体制）11、口令破解的最好方法是B组合破解12、杂凑码最好的攻击方式是D生日攻击13、可以被数据完整性机制防止的攻击方式是D数据中途篡改14、会话侦听与劫持技术属于B协议漏洞渗透技术15、PKI的主要组成不包括（B SSL）16恶意代码是（指没有作用却会带来危险的代码A 病毒*** B 广告*** C间谍** 17，社会工程学常被黑客用于（踩点阶段信息收集A 口令获取18，windows中强制终止进程的命令是C Taskkil19，现代病毒木马融合了A 进程注入B注册表隐藏C漏洞扫描新技术20，网络蜜罐技术使用于（.迷惑入侵者，保护服务器诱捕网络罪犯 ）21，利用三次握手攻击的攻击方式是（DOS\DDOS\DRDOS）22，溢出攻击的核心是A 修改堆栈记录中进程的返回地址23，在被屏蔽的主机体系中，堡垒主机位于A 内部网络中，所有的外部连接都经过滤路由器到它上面去。

信息安全复习资料1、网络安全的五种属性，并解释其含义网络信息系统的机密性、完整性、可用性、可控性、不可抵赖性。

机密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。

完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。

可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。

可控性是对信息及信息系统实施安全监控管理。

不可抵赖性也称为不可否认性，是在信息交互的过程中，参与者各方都不能否认已完成的操作，可采用数字签名技术。

2、网络安全服务有哪些？(1)鉴别：1）对等实体鉴别2）数据源鉴别;(2)访问控制；（3）数据保密性：1）连接保密性2）无连接保密性3）选择字段保密性4）业务流保密性；（4）数据完整性：1）带恢复的连接完整性2）不带恢复的连接完整性3）选择字段连接完整性4）无连接完整性5）选择字段无连接完整性（5）不可否认：1）带数据源证明的不可否认2）带递交证明的不可否认3、分组密码和流密码的区别是什么？流密码是将明文消息按字符逐位加密；分组密码是将明文消息先进行分组，再逐组加密。

4、保证密码系统安全就是保证密码算法的安全性，这种说法是否正确？为什么？错误。

系统的保密性不依赖于密码体制或算法的保密，而仅依赖于密钥的安全性，当今加密解密算法是公开的。

5、什么是PKI？PKI有哪些部分组成？各部分的作用是什么？PKI又称公钥基础设施，是一个人以数字证书和公钥技术为基础，提供网络安全所需要的真实性、保密性、完整性和不可否认性等基础服务的平台。

组成部分：PKI策略、软硬件系统、认证中心、注册机构、证书签发系统和PKI应用。

PKI策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

软硬件系统是PKI系统运行所需硬件和软件的集合。

认证中心是PKI的信任基础，它负责管理密钥和数字证书的整个生命周期。

1.网络安全的威胁主要来源于以下几个方面：人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄露或丢失、破坏数据完整性。

2.人为攻击具有下述特性：智能性、严重性、隐蔽性、多样性。

3.计算机安全应当包括以下几项主要内容：物理安全、逻辑安全、操作系统安全、联网安全。

4.计算机安全的物理安全包括三方面：环境安全、设备安全、媒体安全。

5.计算机网络安全的特性有：保密性、完整性、可用性、实用性、真实性、占有性。

6.危害网络安全的三种人是：故意破坏者、不遵守规则者、刺探秘密者。

7.常见的主动防御技术有：数据加密、身份验证、存取控制、权限设置、虚拟局域网。

8.常见的被动防御技术有：防火墙技术、入侵检测系统、安全扫描器、密码验证、审计跟踪、物理保护及安全管理。

9.内部安全危害分为三大类，分别是操作失误、存心捣乱及用户无知。

10.TCP/IP是一组协议，它包括上百种功能的协议，如远程登录、文件传输和电子邮件等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。

11.网卡的四种接收方式：广播方式、组播方式、直接方式、混杂方式。

12.为使个人用户和企业用户对上网和网上交易有更大的安全感，主要采用以下措施来保证：加密技术、数字签名和认证技术、VPN技术。

13.密码体制从原理上分为三大类：对称密码体制、非对称密码体制、混合密码体制。

14. PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/CRL发布系统和应用接口系统五部分组成。

15.认证中心主要由以下三部分组成：注册服务器、证书申请受理和审核机构、认证中心服务器。

16.电子邮件可能遇到的安全风险有：E-mail的漏洞、匿名转发邮件、垃圾电子邮件。

17.网络防火墙的任务是：执行安全策略、创建一个阻塞点、记录网络活动、限制网络暴露。

18.防火墙技术的分类：包过滤防火墙技术、IP级包过滤型防火墙、代理防火墙技术、其他类型的防火墙。

安全服务：加强数据处理系统和信息传输的安全性的一种服务。

其目的在于利用一种或多种安全机制阻止安全攻击安全机制：用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。

安全攻击：任何危及系统信息安全的活动。

威胁：侵犯安全的可能性，在破坏安全或引起危害的环境，可能性行为或时间的情况下，会出现这种威胁。

也就是说，威胁是利用脆弱性潜在危险。

攻击：对系统安全的攻击，它来源于一种具有智能的威胁。

也就是说，有意违反安全服务和侵犯系统安全策略的（特别是在方法或技巧的）智能行为。

认证：保证通信的实体是它所声称的实体。

存取控制：阻止对资源的非授权使用。

数据保密性：保护数据免于非授权泄露。

连接保密性：保护一次连接中所有的用户数据无连接保密性：保护单个数据块里的所有用户数据选择域保密性：对一次连接或单个数据块里选定的数据部分提供保密性流量保密性：保护那些可以通过观察流量而获得的信息数据完整性：保证收到的数据确实是授权实体所发出的数据具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，且试图恢复之。

无恢复的连接性完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，但不尝试恢复。

选择域连接完整性：提供一次连接中传输的单个数据块用户数据中选定部分的数据完整性，并判断选定域是否被修改不可否认性：防止整个或部分通信过程中，任一通信实体进行否认的行为源不可否认：证明消息是有特定方发出的宿不可否认性：证明消息被特定方收到加密：运用数学算法将数据转换成不可知的形式。

数据的变换和复原依赖于算法和零个或多个加密密钥数字签名：附加于数据元之后的数据，是对数据元的密码变换，以使得可证明数据源和完整性，并防止伪造认证交换：通过信息交换来保证实体身份的各种机制流量填充：在数据流空隙中插入若干位以阻止流量分析路由控制：能够为某些数据选择特殊的物理上安全的路线并允许路由变化。

1.2 我国网络安全现状网上信息可信度差，垃圾电子邮件，安全，病毒:计算机病毒，攻击:黑客攻击，白领犯罪，成巨大商业损失，数字化能力的差距造成世界上不平等竞争，信息战阴影威胁数字化和平CNCERT，全称是国家计算机网络应急技术处理协调中心。

木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

一，重要联网信息系统安全（1）政府网站安全防护薄弱。

（2）金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标。

“网络钓鱼是通过构造与某一目标网站高度相似的页面（俗称钓鱼网站），并通常以垃圾邮件、即时聊天”（3）工业控制系统安全面临严峻挑战。

三、公共网络环境安全（1）木马和僵尸网络依然对网络安全构成直接威胁。

（2）手机恶意代码日益泛滥引起社会关注。

（Symbian平台是手机恶意程序感染的重点对象）（3）软件漏洞是信息系统安全的重大隐患。

（4）DDoS攻击危害网络安全。

（DDoS）攻击呈现转嫁攻击3和大流量攻击的特点。

（5）我国垃圾邮件治理成效显著。

（6）互联网应用层服务的市场监管和用户隐私保护工作亟待加强。

1.2 信息安全：通俗定义：是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露。

学术定义：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换、和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

第一章信息安全概述1，信息安全信息安全是指防止信息资源被故意的或偶然的非授权泄露、更改和破坏，或者信息被非法系统辨认、控制和否认。

即确保信息发完整性、秘密性、可用性和不可否认性。

信息安全就是指实体安全、运行安全、数据安全和管理安全四个方面。

2.信息系统安全四个层面：设备安全、设备稳定性、可靠性、可用性数据安全、防止数据免受未授权的泄露去、纂改和毁坏内容安全、信息内容符合法律、政治、道德等层面的要求行为安全、行为的秘密性、行为的完整性和行为的可控性3.信息安全主要目标，相互关系①机密性：通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。

②完整性：一般通过访问控制来阻止纂改行为，同时通过消息摘要算法来检验信息是否被纂改。

③抗否认性：一般通过数字签名来提供抗否认服务。

④可用性：可用性是信息资源服务功能和性能可靠性的度量。

4.安全威胁1）中断、窃听、纂改、伪造、病毒、木马等2）被动攻击①获取消息的内容；②进行业务流分析主动攻击①假冒②重放③消息的纂改④业务拒绝3）安全业务保密业务、认证业务、完整性业务、不可否认业务、访问控制5.信息安全研究基础理论研究、密码研究，密码应用研究应用技术研究、安全实现研究，安全平台技术研究安全管理研究、安全标准、安全策略、安全测评等6.信息安全模型PD2R保护（Protect）采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。

检测（Detect）利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。

反应（React）对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。

恢复（Restore）一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

第二章密码学基础第一节密码学概述保密学：密码学+密码分析学（唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击）加密（Encryption）：对明文进行编码生成密文的过程，加密的规则称为加密算法。

1、信息安全的概念，信息安全理念的三个阶段（信息保护 -5 特性，信息保障-PDRR ，综合应用 -PDRR+ 管理）概念：信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

三个阶段：（1）信息保护阶段：信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性。

（2）信息综合保障阶段 --PDRR 模型保护（Protect ）、检测（ Detect ）、响应（React ）、恢复（Restore ）（3）信息安全整体解决方案：在PDRR 技术保障模型的前提下，综合信息安全管理措施，实施立体化的信息安全防护。

即整体解决方案＝PDRR 模型+ 安全管理。

2、ISC2 的五重保护体系，信息安全体系-三个方面，信息安全技术体系国际信息系统安全认证组织（ International Information Systems Security Certification Consortium，简称 ISC2）将信息安全划分为 5 重屏障共 10 大领域。

（1）．物理屏障层（2）．技术屏障层（3）．管理屏障层（4）．法律屏障层（5）．心理屏障层信息安全体系 -三个方面：信息安全技术体系、信息安全组织机构体系、信息安全管理体系信息安全技术体系：划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

1）物理安全技术（物理层安全）。

该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。

2）系统安全技术（操作系统的安全性）。

该层次的安全问题来自网络内使用的操作系统的安全，主要表现在三个方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

3）网络安全技术（网络层安全）。

主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。