信息安全测试题答案

简答题1，信息及信息系统的安全属性可以分解为具体哪些，简单说明其含义1、物理安全：是指对网络与信息系统的物理装备的保护。2、运行安全：是指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等；所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等；主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。3、数据安全：是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等；所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等；主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。4、内容安全：是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。在此，被阻断的对象可以是通过内容可以判断出来的可对系统造成威胁的脚本病毒；因无限制扩散而导致消耗用户资源的垃圾类邮件；导致社会不稳定的有害信息，等等。主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等；所面对的难题包括信息不可识别（因加密）、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等；主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制等。5、信息对抗：是指在信息的利用过程中，对信息熵的真实性的隐藏与保护，或者攻击与分析。主要涉及信息熵的机密性、完整性、特殊性等；所面对的主要问题包括多角度综合分析、攻击或压制信息的传递、用无用信息来干扰信息熵的本质；主要的处置手段是消隐重要的局部信息、加大信息获取能力、消除信息的不确定性等2，举例说明凯撒密码和Vigenere密码，比较其抗密码分析攻击的能力凯撒密码原理：明文：ABCDEFGHILKLMNOPQRSTUVWXYZ密文：defghijklmnopqrstuvwxyzabc如果这份指令被敌方截获，也将不会泄密，因为字面上看不出任何意义。这种加密方法还可以依据移位的不同产生新的变化，如将每个字母左19位，就产生这样一个明密对照表：明文:abcdefghijklmnopqrstuvwxyz密文:TUVWXYZABCDEFGHIJKLMNOPQRS在这个加密表下，明文与密文的对照关系就变成：明文：baidu密文：UTBWNVigenere密码原理：比如明文为JACKOZOO,秘匙为LOVE,则我们的密文是这样得到的:J对应的密文我们查秘匙为L,则在第L行中,找到与第一行中的J对应的字母为U.A对应的密文我们查秘匙为O,则在第O行中,找到与第一行中的A对应的字母为O.C对应的密文我们查秘匙为V,则在第V行中,找到与第一行中的C对应的字母为X.K对应的密文我们查秘匙为E,则在第E行中,找到与第一行中的K对应的字母为O.O对应的密文我们查秘匙为L,则在第L行中,找到与第一行中的O对应的字母为Z.(如果秘匙不够了,我们就循环使用秘匙,LOVELOVELO...)Z对应的密文我们查秘匙为O,则在第O行中,找到与第一行中的Z对应的字母为N.O对应的密文我们查秘匙为V,则在第V行中,找到与第一行中的O对应的字母为J.O对应的密文我们查秘匙为E,则在第E行中,找到与第一行中的O对应的字母为S.由此得到JACKOZOO在以LOVE作为秘匙的情况下,其密文为:UOXOZNJS.比较：维吉尼亚密码（类似于今天我们所说的置换密码）引入了“密钥”的概念，即根据密钥来决定用哪一行的密表来进行替换，以此来对抗字频统计。恺撒系统的密码是自己选的一个单词。凯撒密码的密度是很低的，只需简单地统计字频就可以破译。这种方法比简单移位系统安全，可以在你的日记中使用。但是，如果加密的文字有（大约）400字符以上，那么攻击者手工花费1天时间即可破解，因为英文和其它语言中每个字母都有一定的使用频率，破解者根据这些频率就可以破译3，简要说明公钥密码体制的思想，其相对于对称密码体制的优点是什么？公开密钥密码体制是现代密码学的最重要的发明和进展。一般理解密码学(Cryptography)就是保护信息传递的机密性。开密钥密码体制对这两方面的问题都给出了出色的解答，并正在继续产生许多新的思想和方案。在公钥体制中，加密密钥不同于解密密钥。人们将加密密钥公之于众，谁都可以使用；而解密密钥只有解密人自己知道。迄今为止的所有公钥密码体系中，RSA系统是最著名、使用最广泛的一种。相对于对称密码体制的优点：(1)发送者用加密密钥PK对明文X加密后，在接收者用解密密钥SK解密，即可恢复出明文(2)加密密钥是公开的，但不能用它来解密(3)在计算机上可容易地产生成对的PK和SK。(4)从已知的PK实际上不可能推导出SK，即从PK到SK是“计算上不可能的”。(5)加密和解密算法都是公开的4，举例说明RSA算法，根据其密码生成和加解密计算过程，说明RSA算法抗密码分析的原理。RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。RSA的算法涉及三个参数，n、e1、e2。其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1)*(q-1)互质；再选择e2，要求(e2*e1)mod((p-1)*(q-1))=1。(n及e1),(n及e2)就是密钥对。RSA加解密的算法完全相同,设A为明文，B为密文，则：A=B^e1modn；B=A^e2modn；e1和e2可以互换使用，即：A=B^e2modn；B=A^e1modn;RSA的选择密文攻击:RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装(Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构：(XM)^d=X^d*M^dmodnRSA的公共模数攻击。若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互质，那末该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥为e1和e2，公共模数是n，则：C1=P^e1modnC2=P^e2modn密码分析者知道n、e1、e2、C1和C2，就能得到P。因为e1和e2互质，故用Euclidean算法能找到r和s，满足：r*e1+s*e2=1假设r为负数，需再用Euclidean算法计算C1^(-1)，则(C1^(-1))^(-r)*C2^s=Pmodn5，说明设计散列函数（Hash）的目标要求及其应用。散列函数的选择有两条标准：简单和均匀。简单指散列函数的计算简单快速；均匀指对于关键字集合中的任一关键字，散列函数能以等概率将其映射到表空间的任何一个位置上。也就是说，散列函数能将子集K随机均匀地分布在表的地址集{0，1，…，m-1}上，以使冲突最小化。Hash算法在信息安全方面的应用主要体现在以下的3个方面：1，文件校验：2，数字签名3，鉴权协议6，图示说明数字签名的方法，并分析其有效性。Hash算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢，所以在数字签名协议中，单向散列函数扮演了一个重要的角色。在这种签名协议中，双方必须事先协商好双方都支持的Hash函数和签名算法。签名方先对该数据文件进行计算其散列值，然后再对很短的散列值结果--如Md5是16个字节，SHA1是20字节，用非对称算法进行数字签名操作。对方在验证签名时，也是先对该数据文件进行计算其散列值，然后再用非对称算法验证数字签名。对Hash值，又称数字摘要进行数字签名，在统计上可以认为与对文件本身进行数字签名是等效的。而且这样的协议还有其他的优点：首先，数据文件本身可以同它的散列值分开保存，签名验证也可以脱离数据文件本身的存在而进行。再者，有些情况下签名密钥可能与解密密钥是同一个，也就是说，如果对一个数据文件签名，与对其进行非对称的解密操作是相同的操作，这是相当危险的，恶意的破坏者可能将一个试图骗你将其解密的文件，充当一个要求你签名的文件发送给你。因此，在对任何数据文件进行数字签名时，只有对其Hash值进行签名才是安全的。7，说明数字证书的结构和PKI的基本构成数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(CertificateAuthority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书的结构：1.Certificate(证书)：(1).CommonName(证书所有人姓名，简称CN，其实就是证书的名字，如第一幅图看到的：ABA.ECOMRoot....)(2).Version(版本，现在一般是V3了)(3).Issuer(发证机关)(4).Validity(有效日期)(5).Subject(证书信息，你会发现它和Issuer里面的内容是一样的)(6).Subject'sPublicKeyInfo(证书所有人公钥，刚才所说的公钥就是这个!)(7).Extension(扩展信息)(8).CertificateSignatureAlgorithm(公钥加密算法)、以上这几项就是上面所说的证书内容(F)。2.CertificateSignatureAlgorithm:这是描述证书的加密算法，就是上所说的加密算法(A)，看它的FireldValue，一般会写：PKCS#1SHA-1WithRSAEncryption3.CertificateSignatureValue:PKI的基本构成：完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。8，比较说明自主访问控制、强制访问控制、基于角色访问控制策略的差别和