信息安全技术试题答案(全) 下载本文

信息安全技术教程习题及答案

信息安全试题(1/共3)

一、 单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。

A. 保密性 B.完整性

C. 可用性、可控性、可靠性 D. A,B,C都是

2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。

A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术

3.密码学的目的是___。

A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全

4.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是___。 A. KB公开(KA秘密(M’)) B. KA公开(KA公开(M’)) C. KA公开(KB秘密(M’)) D. KB秘密(KA秘密(M’))

5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度

C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文

6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础

B. 身份鉴别一般不用提供双向的认证

C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制

7.防火墙用于将Internet和内部网络隔离___。

A. 是防止Internet火灾的硬件设施

B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施

8.PKI支持的服务不包括___。

A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务

9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。

A.2 B.2

32 256

C.2 D.2

1

12864

10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,

它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。

A.保密性 可用性 B.可用性 保密性 C.保密性 完整性 D.完整性 保密性

二、 填空题(每空1分,共20分)

1.ISO 7498-2确定了五大类安全服务,即鉴别、访问控制、数据保密性、数据完整性和不可否认。同时,ISO 7498-2也确定了八类安全机制,即加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换、业务填充机制、路由控制机制和公证机制。

2.古典密码包括 代替密码和置换密码两种,对称密码体制和非对称密码体制都属于现代密码体制。传统的密码系统主要存在两个缺点:一是 密钥管理与分配问题 ;二是 认证问题 。在实际应用中,对称密码算法与非对称密码算法总是结合起来的,对称密码算法用于加密,而非对称算法用于保护对称算法的密钥。

3.根据使用密码体制的不同可将数字签名分为 基于对称密码体制的数字签名 和 基于公钥密码体制的数字签名 ,根据其实现目的的不同,一般又可将其分为 直接数字签名 和 可仲裁数字签名 。 4. DES算法密钥是64位,其中密钥有效位是56位。RSA算法的安全是基于分解两个大素数的积的困难。

5.密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。密钥生成形式有两种:一种是由中心集中生成,另一种是由个人分散生成。

6.认证技术包括站点认证、报文认证和身份认证,而身份认证的方法主要有口令、磁卡和智能卡、生理特征识别、零知识证明。

7.NAT的实现方式有三种,分别是静态转换、动态转换、端口多路复用。

8.数字签名是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术。

三、 计算题(每小题8分,共24分)

012341.用置换矩阵Ek=〔〕对明文Now we are having a test加密,并给出其解密矩阵及求

14302出可能的解密矩阵总数。

解:设明文长度L=5,最后一段不足5则加字母x,经过置换后,得到的密文为 Wnewo haaer gvani

ttxse

其解密矩阵为

01234Dk=〔〕

30421 L=5时可能的解密矩阵总数为 5!= 120 2.DES的密码组件之一是S盒。根据S盒表计算S3(101101)的值,并说明S函数在DES算法中的作用。 解:令101101的第1位和最后1位表示的二进制数为i,则i=(11)2=(3)10 令101101的中间4位表示的二进制数为j,则j=(0110)2=(6)10 查S3盒的第3行第6列的交叉处即为8,从而输出为1000 S函数的作用是将6位的输入变为4位的输出

3.求963和657的最大公约数(963, 657),并表示成963,657的线性组合。

解:运用广义欧几里得除法,有 963=1*657+306

657=2*306+45 306=6*45+36

2

45=1*36+9 36=4*9+0

(根据给出的最后一个定理)则(963, 657)=9

从广义欧几里得除法逐次消去r(n-1),r(n-2), …,r(3),r(2),即 9=45-1*36

=45-(306-6*45) =7*45-306

=7*(657-2*306)-306 =7*657-3*306

=7*657-3*(963-657) =22*657-15*963 所以此线性组合为 9=22*657-15*963

四、 问答题(每小题7分,共21分)

1.S拥有所有用户的公开密钥,用户A使用协议

A → S:A || B || Ra

S → A: S || Ss(S || A || Ra || Kb) 其中Ss( )表示S利用私有密钥签名

向S申请B的公开密钥Kb。上述协议存在问题吗?若存在,请说明此问题;若不存在,请给出理由。 答:存在。

由于S没有把公钥和公钥持有人捆绑在一起,A就无法确定它所收到的公钥是不是B的,即B的公钥有可能被伪造。如果攻击者截获A发给S的信息,并将协议改成

A → S:A || C || Ra

S收到消息后,则又会按协议

S → A: S || Ss(S || A || Ra || Kc)

将Kc发送给A,A收到信息后会认为他收到的是Kb ,而实际上收到的是Kc ,但是A会把它当作Kb ,因为他无法确认。

2.请你利用认证技术设计两套系统,一套用于实现商品的真伪查询,另一套用于防止电脑彩票伪造问题。

答:(1)系统产生一随机数并存储此数,然后对其加密,再将密文贴在商品上。当客户购买到此件商品并拨打电话查询时,系统将客户输入的编码(即密文)解密,并将所得的明文与存储在系统中的明文比较,若匹配则提示客户商品是真货,并从系统中删了此明文;若不匹配则提示客户商品是假货。

(2)首先,系统给彩票编好码,习惯称之为条形码;然后,将条形码通过MD5运算,得到相应的

消息摘要;接着,对消息摘要进行加密,得到相应密文;最后,系统将条形码与密文绑定在一起并存储,若需要查询时只要查看条形码与密文是否相关联即可。这样,即可实现电脑彩票防伪,因为伪造者是无法伪造密文的。

3.防火墙的实现技术有哪两类?防火墙存在的局限性又有哪些?

答:防火墙的实现从层次上可以分为两类:数据包过滤和应用层网关,前者工作在网络层,而后者工作在应用层。

防火墙存在的局限性主要有以下七个方面

(1) 网络上有些攻击可以绕过防火墙(如拨号)。 (2) 防火墙不能防范来自内部网络的攻击。

(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。 (4) 防火墙不能防范全新的网络威胁。

(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。

(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。

3

(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机

上,一旦被执行就形成攻击(附件)。

五、 分析题(15分)

1.下图表示的是P2DR2动态安全模型,请从信息安全安全角度分析此模型?

答:(主要理解一下黑体字部分,然后按照这个思路自由发挥)

P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy, Protection, Detection,Response,Restore)动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型。通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。

一个良好的网络安全模型应在充分了解网络系统安全需求的基础上,通过安全模型表达安全体系架构,通常具备以下性质:精确、无歧义;简单和抽象;具有一般性;充分体现安全策略。 1.P2DR2模型的时间域分析

P2DR2模型可通过数学模型,作进一步理论分析。作为一个防御保护体系,当网络遭遇入侵攻击时,系统每一步的安全分析与举措均需花费时间。设Pt为设置各种保护后的防护时间,Dt为从入侵开始到系统能够检测到入侵所花费的时间,Rt为发现入侵后将系统调整到正常状态的响应时间,则可得到如下安全要求:

Pt >( Dt + Rt) (1) 由此针对于需要保护的安全目标,如果满足公式(1),即防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前,这种入侵行为就能够被检测到并及时处理。同样,我们假设Et为系统暴露给入侵者的时间,则有

Et=Dt+Rt (如果Pt=0) (2)

公式(2)成立的前提是假设防护时间为0,这种假设对Web Server这样的系统可以成立。

通过上面两个公式的分析,实际上给出了一个全新的安全定义:及时的检测和响应就是安全,及时的检测和恢复就是安全。不仅于此,这样的定义为解决安全问题给出了明确的提示:提高系统的防护时间Pt、降低检测时间Dt和响应时间Rt,是加强网络安全的有效途径。

4

图1为P2DR2 安全模型的体系结构。在P2DR2动态安全模型中,采用的加密、访问控制等安全技术都是静态防御技术,这些技术本身也易受攻击或存在问题。那么攻击者可能绕过了静态安全防御技术,进入系统,实施攻击。模型认可风险的存在,绝对安全与绝对可靠的网络系统是不现实的,理想效果是期待网络攻击者穿越防御层的机会逐层递减,穿越第5层的概率趋于零。

图2 PDR安全模型体系结构

2.P2DR2模型的策略域分析

网络系统是由参与信息交互的各类实体元素构成,可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。

通信实体集的内涵表示发起网络通信的主体,如:进程、任务文件等资源;对于网络系统,表示各类通信设备、服务器以及参与通信的用户。网络的信息交互的业务类型存在多样性,根据数据服务类型、业务类型,可以划分为数据信息、图片业务、声音业务;根据IP数据在安全网关的数据转换服务,业务类型可以划分为普通的分组;根据TCP/IP协议传输协议,业务类型可以划分为 ICMP、TCP、UDP分组。信息安全系统根据不同安全服务需求,使用不同分类法则。通信交互时间集则包含了通信事件发生的时间区域集。

安全策略是信息安全系统的核心。大规模信息系统安全必须依赖统一的安全策略管理、动态维护和管理各类安全服务。安全策略根据各类实体的安全需求,划分信任域,制定各类安全服务的策略。

在信任域内的实体元素,存在两种安全策略属性,即信任域内的实体元素所共同具有的有限安全策略属性集合,实体自身具有的、不违反Sa的特殊安全策略属性Spi 。由此我们不难看出,S=Sa+ΣSpi.

安全策略不仅制定了实体元素的安全等级,而且规定了各类安全服务互动的机制。每个信任域或实体元素根据安全策略分别实现身份验证、访问控制、安全通信、安全分析、安全恢复和响应的机制选择。

22

信息安全试题(2/共3)

一.名词解释

信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。

VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。 数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。 选择题

1.、加密算法分为(对称密码体制和非对称密码体制) 2。、口令破解的最好方法是(B)

A暴力破解 B组合破解 C字典攻击 D生日攻击 3、杂凑码最好的攻击方式是(D)

A 穷举攻击 B中途相遇 C字典攻击 D生日攻击 4、可以被数据完整性机制防止的攻击方式是(D)

A假冒*** B抵赖**** C数据中途窃取 D数据中途篡改 5、会话侦听与劫持技术属于(B)技术

A密码分析还原 B协议漏洞渗透 C应用漏洞分析与渗透 D DOS攻击 6、PKI的主要组成不包括(B)

A CA B SSL C RA D CR

5