信息安全概论习题答案.doc

信息平安概论习题参考答案 第1章 概论 1． 什么是信息技术? 答：笼统地说，信息技术是能够延长或扩展人的信息能力的手段与方法。 本书中，信息技术是指在计算机与通信技术支持下，用以获取、加工、存储、变换、显示与传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备与信息效劳两大方面的方法及设备的总称。 也有人认为信息技术简单地说就是3C：Computer＋Communication＋Control。 2． 信息平安的根本属性主要表现在哪几个方面? 答：〔1〕完整性〔Integrity〕 〔2〕保密性〔Confidentiality〕 〔3〕可用性〔Availability〕 〔4〕不可否认性〔Non-repudiation〕 〔5〕可控性〔Controllability〕 3． 信息平安的威胁主要有哪些? 答： 第 11 页 〔1〕信息泄露 〔2〕破坏信息的完整性 〔3〕拒绝效劳 〔4〕非法使用〔非授权访问〕 〔5〕窃听 〔6〕业务流分析 〔7〕假冒 〔8〕旁路控制 〔9〕授权侵犯 〔10〕特洛伊木马 〔11〕陷阱门 〔12〕抵赖 〔13〕重放 〔14〕计算机病毒 〔15〕人员不慎 〔16〕媒体废弃 〔17〕物理侵入 〔18〕窃取 〔19〕业务欺骗等 第2章 信息保密技术 1． 密码学开展分为哪几个阶段？各自的特点是什么？ 答：第一个阶段:从几千年前到1949年。 古典加密 计算机技术出现之前 密码学作为一种技艺而不是一门科学 第二个阶段：从1949年到1975年。 标志：Shannon发表“Communication Theory of Secrecy System〞 密码学进入了科学的轨道 主要技术：单密钥的对称密钥加密算法 第三个阶段：1976年以后 标志：Diffie，Hellman发表了“New Directions of Cryptography〞 开创了公钥密码学的新纪元。 2． 设计分组密码的主要指导原那么是什么？实现的手段主要是什么？ 答：a.为了保证密码的平安性，Shannon提出的混乱原那么与扩散原那么。 b. 针对实现的设计原那么,分组密码可以用软件与硬件来实现。基于软件与硬件的不同性质，分组密码的设计原那么可根据预定的实现方法来考虑。 软件实现的设计原那么：使用子块与简单的运算。密码运算在子块上进展，要求子块的长度能自然地适应软件编程，比方8、16、32比特等。在软件实现中，按比特置换是难于实现的，因此我们应尽量防止使用它。子块上所进展的一些密码运算应该是一些易于软件实现的运算，最好是用一些标准处理器所具有的一些根本指令，比方加法、乘法与移位等。 硬件实现的设计原那么：加密与解密可用同样的器件来实现。尽量使用规那么构造，因为密码应有一个标准的组件构造以便其能适应于用超大规模集成电路实现。 另外，简单性原那么，必要条件，可扩展性也是要考虑的。 c.多数分组密码算法的思想采用了Feistel密码构造，用代替与置换的手段实现混淆与扩散的功能。 3． 公钥密码体制出现有何重要意义？它及对称密码体制的异同有哪些？ 答： 公钥密码体制是密码学研究的一个具有里程碑意思的重要事件。公钥密码系统在消息的传输过程中采用彼此不同的加密密钥及解密密钥，并且在考虑时间因素的情况下，由加密密钥推导出及之相对应的解密密钥不具有可实现性。至此，密码体制解脱了必须对密钥进展平安传输的束缚，使密码学的应用前景豁然开朗。 及对称密码相比， 一样点： 都能用于数据加密； 都能通过硬件实现； 不同点： 对称密码体制加密密钥与解密密钥是一样的，而公钥密码体制使用不同的加密密钥与解密密钥； 公钥密码体制基于数学难题，而对称密码体制不是； 公钥密码体制密钥分发简单。加密密钥可以做成密钥本公开，解密密钥由各用户自行掌握，而对称密码体制不可以； 公钥体制的加密速度比拟慢，而对称密码体制速度较快； 公钥体制适应于网络的开展，能够满足不相识的用户之间进展保密通信的要求； 公钥体制中每个用户秘密保存的密钥量减少。网络中每个用户只需要秘密保存自己的解密密钥，及其他用户通信所使用的加密密钥可以由密钥本得到； 4． 在DES算法中，S-盒的作用是什么？ 答：每个S-盒将6位输入变成4位的输出。它是非线性的，决定了DES算法的平安性。 5． 你认为AES比DES有哪些优点？ 答：〔1〕AES的密钥长度可以根据需要而增加，而DES是不变的； (2)Rijndael加解密算法中，每轮常数的不同消除了密钥的对称性，密钥扩展的非线性消除了一样密钥的可能性；加解密使用不同的变换，消除了在DES里出现的弱密钥与半弱密钥存在的可能性；总之，在Rijndael的加解密算法中，对密钥的选择没有任何限制。 (3)依靠有限域/有限环的有关性质给加密解密提供了良好的理论根底，使算法设计者可以既高强度地隐藏信息，又同时保证了算法可逆，又因为Rijndael算法在一些关键常数〔例如：在〕的选择上非常巧妙，使得该算法可以在整数指令与逻辑指令的支持下高速完成加解密。 〔4〕AES平安性比DES要明显高。 10. 现实中存在绝对平安的密码体制吗？ 答：否。 11. 信息隐藏与数据加密的主要区别是什么？ 答：区别： 目标不同：加密仅仅隐藏了信息的内容； 信息隐藏既隐藏了信息内容，还掩盖了信息的存在。 实现方式不同：加密依靠数学运算；而信息隐藏充分运用载体的冗余空间。 应用场合不同：加密只关注加密内容的平安，而信息隐藏还关注载体及隐藏信息的关系。 联系： 理论上相互借用，应用上互补。信息先加密，再隐藏 12. 信息隐藏的方法主要有哪些？ 答：空间域算法及变换域算法。 第三章 信息认证技术 1． 简述什么是数字签名。 答：数字签名就是通过一个单向函数对要传送的报文进展处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串,该字母数字串被成为该消息的消息鉴别码或消息摘要，这就是通过单向哈希函数实现的数字签名；在公钥体制签名的时候用户用自己的私钥对原始数据的哈希摘要进展加密所得的数据，然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进展解密后获得哈希摘要，并通过及用自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。这是公钥签名技术。 2． 杂凑函数可能受到哪几种攻击？你认为其中最为重要的是哪一种？ 答：穷举攻击、生日攻击与中途相遇攻击。 第四章 密钥管理技术 1． 什么是密钥托管？ 答：密钥托管是指用户在向CA申请数据加密证书之前，必须把自己的密钥分成t份交给可信赖的t个托管人。任何一位托管人都无法通过自己存储的局部用户密钥恢复完整的用户密码。只有这t个人存储的密钥合在一起才能得到用户的完整密钥。 第5章 访问控制技术 1. 什么是访问控制？访问控制包括哪几个要素？ 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进展的不同授权访问。 访问控制包括三个要素，即：主体、客体与控制策略。 主体：是可以对其它实体施加动作的主动实体，简记为S。 客体：是承受其他实体访问的被动实体, 简记为O。 控制策略：是主体对客体的操作行为集与约束条件集, 简记为KS。 2. 什么是自主访问控制？什么是强制访问控制？这两种访问控制有什么区别？说说看，你会在什么情况下选择强制访问控制。 自主访问控制模型是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。 强制访问控制模型是一种多级访问控制策略，它的主要特点是系统对访问主体与受控对象实行强制访问控制，系统事先给访问主体与受控对象分配不同的平安级别属性，在实施访问控制时，系统先对访问主体与受控对象的平安级别属性进展比拟，再决定访问主体能否访问该受控对象。 区别：自主访问控制模型中，用户与客体资源都被赋予一定的平安级别，用户不能改变自身与客体的平安级别，只有管理员才能够确定用户与组的访问权限；强制访问控制模型中系统事先给访问主体与受控对象分配不同的平安级别属性，通过分级的平安标签实现了信息的单向流通。 强制访问控制一般在访问主体与受控客体有明显的等级划分时候采用。 3. 审计的重要意义在于什么？你通过什么方式来到达审计的目的？除了我们书上讲的内容外，你还能想到其他的审计方式吗？ 审计是访问控制的重要内容及补充，审计可以对用户使用何种信息资源、使用的时间以及如何使用进展记录及监控。审计的意义在于客体对其自身平安的监控，便于查漏补缺，追踪异常事件，从而到达威慑与追踪不法使用者的目的。 审计的方式： 基于规那么库的方法：将的攻击行为进展特征提取，把这些特征用脚本语言等方法进展描述后放入规那么库中，当进展平安审计时，将收集到的网络数据及这些规那么进展某种比拟与匹配操作〔关键字、正那么表达式、模糊近似度〕，从而发现可能的网络攻击行为。 基于统计的方法：首先给对象创立一个统计量的描述，比方网络流量的平均值、方差等，同根底正常情况下的这些特征量的数值，然后对实际的网络数据情况进展比照，当发现远离正常值的情况，那么可以判断攻击的存在 此外，人工智能、神经网络、数据挖掘等最新相关领域的知识也可不同程度的引入到平安审计中来，为平安审计技术带来新的活力。 第7章 网络平安技术 1. 什么是防火墙，它应具有什么根本功能？ 因特网防火墙是这样的〔一组〕系统，它能增强机构内部网络的平安性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。 防火墙的根本功能是对网络通信进展筛选屏蔽以防未经授权的访问进出计算机网络。 2. 防火墙有哪几种体系构造，他们的优缺点是什么，如何合理地选择防火墙体系构造？ 〔1〕双宿主主机防火墙 双宿主主机通过用户直接登录到双宿主主机上来提供效劳，从而需要在双宿主主机上开许多帐号，这是很危险的： 〔a〕用户帐号的存在会给入侵者提供相对容易的入侵通道，每一个帐号通常有一个可重复使用口令〔即通常用的口令，与一次性口令相对〕，这样很容易被入侵者破解。破解密码可用的方法很多，有字典破解、强行搜索或通过网络窃听来获得。 〔b〕如果双宿主主机上有很多帐号，管理员维护起来是很费力的。 〔c〕支持用户帐号会降低机器本身的稳定性与可靠性。 〔d〕因为用户的行为是不可预知的，如双宿主主机上有很多用户帐户，这会给入侵检测带来很大的麻烦。 〔2〕被屏蔽主机防火墙 一般说来，路由器只提供非常有限的效劳，所以保卫路由器比保卫主机更容易实现，从这一点可以看出，被屏蔽主机构造能提供比双宿主主机更好的平安性与可用性。 但是，如果侵袭者设法侵入堡垒主机，那么在堡垒主机与其余内部主机之间没有任何保护网络平安的东西。路由器同样会出现这样的问题，如果路由器被损害，整个网络对侵袭者是开放的。因此，被屏蔽子网体系构造变得日益普及。 〔3〕被屏蔽子网防火墙 采用了屏蔽子网体系构造的堡垒主机不易被入侵者控制，万一堡垒主机被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护。 〔4〕其他形式的防火墙体系构造：将被屏蔽子网构造中的内部路由器与外部路由器合并；屏蔽子网构造中堡垒主机及外部路由器合并；使用多台堡垒主机；使用多台外部路由器；使用多个周边网络。 实际中选择防火墙时，需要平衡平安结实性与设备条件的限制，以求用最简单的设备实现相对高的平安。 11. 什么是网络的物理隔离？ 所谓物理隔离，是指内部网络及外部网络在物理上没有相互连接的通道，两个系统在物理上完全独立。要实现外部网及内部网络物理隔离的目的，必须保证做到以下几点： 〔1〕在物理传导上使内外网络隔断。 〔2〕在物理辐射上隔断内部网及外部网。 〔3〕在物理存储上隔断两个网络环境。 4. 威胁信息系统平安的来源有哪几类？ 对信息系统平安构成威胁的原因是多方面的，概括地讲,威胁信息网络平安因素的来源有两种途径： 〔1〕 网络内部因素 主要是指网络内部管理制度不健全或制度执行不力，造成管理混乱，缺乏有效的监测机制，给非授权者以可乘之机进展非法攻击。还包括网络管理人员进展网络管理或网络配置时操作不当。 〔2〕 网络外部因素 主要有三类群体从外部对信息网络进展威胁与攻击：黑客、信息间谍、计算机罪犯。