信息安全技術(shù)基礎(chǔ)期末考點(diǎn)總結(jié)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上4信息安全就是只遭受病毒攻擊，這種說法正確嗎？不正確，信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全本身包括的范圍很大，病毒攻擊只是威脅信息安全的一部分原因，即使沒有病毒攻擊，信息還存在偶然泄露等潛在威脅，所以上述說法不正確。5.網(wǎng)絡(luò)安全問題主要是由黑客攻擊造成的，這種說法正確嗎？不正確。談到信息安全或者是網(wǎng)絡(luò)安全，

2、很多人自然而然地聯(lián)想到黑客，實(shí)際上，黑客只是實(shí)施網(wǎng)絡(luò)攻擊或?qū)е滦畔踩录囊活愔黧w，很多信息安全事件并非由黑客（包括內(nèi)部人員或還稱不上黑客的人）所為，同時(shí)也包括自然環(huán)境等因素帶來的安全事件。補(bǔ)充：信息安全事件分類有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件設(shè)備設(shè)施故障、災(zāi)害性事件、其它事件3.信息系統(tǒng)的可靠性和可用性是一個(gè)概念嗎？它們有什么區(qū)別？不是。信息安全的可靠性：保證信息系統(tǒng)為合法用戶提供穩(wěn)定、正確的信息服務(wù)。信息安全的可用性：保證信息與信息系統(tǒng)可被授權(quán)者在需要的時(shí)候能夠訪問和使用。區(qū)別：可靠性強(qiáng)調(diào)提供服務(wù)的正確、穩(wěn)定，可用性強(qiáng)調(diào)提供服務(wù)訪問權(quán)、使用權(quán)。5.一個(gè)信息系統(tǒng)的

3、可靠性可以從哪些方面度量？可以從抗毀性、生存性和有效性三個(gè)方面度量,提供的服務(wù)是否穩(wěn)定以及穩(wěn)定的程度，提供的服務(wù)是否正確。7.為什么說信息安全防御應(yīng)該是動態(tài)和可適應(yīng)的？信息安全防御包括（1）對系統(tǒng)風(fēng)險(xiǎn)進(jìn)行人工和自動分析，給出全面細(xì)致的風(fēng)險(xiǎn)評估。（2）通過制訂、評估、執(zhí)行等步驟建立安全策略體系（3）在系統(tǒng)實(shí)施保護(hù)之后根據(jù)安全策略對信息系統(tǒng)實(shí)施監(jiān)控和檢測（4）對已知一個(gè)攻擊（入侵）事件發(fā)生之后進(jìn)行響應(yīng)等操作保障信息安全必須能夠適應(yīng)安全需求、安全威脅以及安全環(huán)境的變化，沒有一種技術(shù)可以完全消除信息系統(tǒng)及網(wǎng)絡(luò)的安全隱患，系統(tǒng)的安全實(shí)際上是理想中的安全策略和實(shí)際執(zhí)行之間的一個(gè)平衡。實(shí)現(xiàn)有效的信息安全保障

4、，應(yīng)該構(gòu)建動態(tài)適應(yīng)的、合理可行的主動防御，而且投資和技術(shù)上是可行的，而不應(yīng)該是出現(xiàn)了問題再處理的被動應(yīng)對。4.什么是PKI？“PKI是一個(gè)軟件系統(tǒng)”這種說法是否正確？PKI是指使用公鑰密碼技術(shù)實(shí)施和提供安全服務(wù)的、具有普適性的安全基礎(chǔ)設(shè)施，是信息安全領(lǐng)域核心技術(shù)之一。PKI通過權(quán)威第三方機(jī)構(gòu)授權(quán)中心CA(Certification Authority)以簽發(fā)數(shù)字證書的形式發(fā)布有效實(shí)體的公鑰。正確。PKI是一個(gè)系統(tǒng)，包括技術(shù)、軟硬件、人、政策法律、服務(wù)的邏輯組件，從實(shí)現(xiàn)和應(yīng)用上看，PKI是支持基于數(shù)字證書應(yīng)用的各個(gè)子系統(tǒng)的集合。5.為什么PKI可以有效解決公鑰密碼的技術(shù)應(yīng)用？PKI具有可信任的認(rèn)

5、證機(jī)構(gòu)（授權(quán)中心），在公鑰密碼技術(shù)的基礎(chǔ)上實(shí)現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放、撤銷等功能，并包括實(shí)現(xiàn)這些功能的硬件、軟件、人力資源、相關(guān)政策和操作規(guī)范，以及為PKI體系中的各個(gè)成員提供全部的安全服務(wù)。簡單地說，PKI是通過權(quán)威機(jī)構(gòu)簽發(fā)數(shù)字證書、管理數(shù)字證書，通信實(shí)體使用數(shù)字證書的方法、過程和系統(tǒng)。實(shí)現(xiàn)了PKI基礎(chǔ)服務(wù)實(shí)現(xiàn)與應(yīng)用分離，有效解決公鑰使用者獲得所需的有效的、正確的公鑰問題。1什么是安全協(xié)議？安全協(xié)議與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議有何關(guān)系與區(qū)別？答：安全協(xié)議是為了實(shí)現(xiàn)特定的安全目標(biāo)，以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。網(wǎng)絡(luò)協(xié)議為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)

6、或約定的集合，它是面向計(jì)算機(jī)網(wǎng)絡(luò)的，是計(jì)算機(jī)通信時(shí)采用的語言。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。常見的協(xié)議有：TCP/IP協(xié)議等。網(wǎng)絡(luò)協(xié)議是由三個(gè)要素組成：語義、語法、時(shí)序。人們形象地把這三個(gè)要素描述為：語義表示要做什么，語法表示要怎么做，時(shí)序表示做的順序。區(qū)別與聯(lián)系：兩者都是針對協(xié)議實(shí)體之間通信問題的協(xié)議，網(wǎng)絡(luò)協(xié)議是使具備通信功能，安全協(xié)議旨在通信的同時(shí)，強(qiáng)調(diào)安全通信。1.為什么說WLAN比有線網(wǎng)絡(luò)更容易遭受網(wǎng)絡(luò)攻擊？（1）有線網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全威脅在WLAN中都存在。（2）WLAN固有的特點(diǎn)-開放的無線通信鏈路，使得網(wǎng)絡(luò)安全問題更為突出，從而WLAN面臨更多的安全隱患。例如：在兩

7、個(gè)無線設(shè)備間傳輸未加密的敏感數(shù)據(jù)，容易被截獲并導(dǎo)致泄密。惡意實(shí)體更容易干擾合法用戶的通信，更容易直接針對無線連接或設(shè)備實(shí)施拒絕服務(wù)攻擊DoS，并坑你跟蹤他們的行為。11如果讓你來設(shè)計(jì)WLAN安全機(jī)制，請論述你將考慮的方面以及設(shè)計(jì)思路。WLAN需要解決的問題（138）：01. 訪問控制。只有合法的實(shí)體才能夠訪問WLAN及其相關(guān)資源。02. 鏈路保密通信。無線鏈路通信應(yīng)該確保數(shù)據(jù)的保密性、完整性及數(shù)據(jù)源的可認(rèn)證性?；谏鲜鲂枨螅琖LAN安全機(jī)制應(yīng)該包括實(shí)體認(rèn)證、鏈路加密和完整性保護(hù)、數(shù)據(jù)源認(rèn)證等，此外應(yīng)該考慮防止或降低無線設(shè)備遭受DoS攻擊。大致設(shè)計(jì)思路：采用基于密碼技術(shù)的安全機(jī)制，借鑒全新的WL

8、AN安全基礎(chǔ)架構(gòu)健壯安全網(wǎng)絡(luò)關(guān)聯(lián)RSNA設(shè)計(jì)建立過程：（1）基于IEEE 802.1X或預(yù)共享密鑰PSK實(shí)現(xiàn)認(rèn)證與密鑰管理，建立RSNA。（2）在RSNA建立過程中，使用協(xié)議棧中一些相關(guān)標(biāo)準(zhǔn)協(xié)議，確保協(xié)議的安全性。（3）密鑰管理協(xié)議部分：采用4次握手密鑰協(xié)商協(xié)議用于在STA與AP之間協(xié)商產(chǎn)生和更新共享臨時(shí)密鑰，以及密鑰使用方法。（4）STA與AP之間相互認(rèn)證之后，使用數(shù)據(jù)保密協(xié)議保護(hù)802.11數(shù)據(jù)幀。6.若一個(gè)單位部署防火墻時(shí)，需要對外提供Web和E-mail服務(wù)，如何部署相關(guān)服務(wù)器？答：部署過程如下圖：部署：在內(nèi)部網(wǎng)與Internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)和屏蔽子網(wǎng)

9、與Internet之間各設(shè)置一個(gè)屏蔽路由器（防火墻）。這種防火墻部署也稱為DMZ部署方式：提供至少3個(gè)網(wǎng)絡(luò)接口：一個(gè)用于連接外部網(wǎng)絡(luò)通常是Internet，一個(gè)用于連接內(nèi)部網(wǎng)絡(luò)，一個(gè)用于連接提供對外服務(wù)的屏蔽子網(wǎng)。DMZ是一個(gè)安全系統(tǒng)與非安全系統(tǒng)之間的一個(gè)緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。9.什么是入侵檢測系統(tǒng)？如何分類？答：入侵檢測系統(tǒng)：通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。分類：主機(jī)型IDS、網(wǎng)絡(luò)型IDS主機(jī)型IDS:安裝在服務(wù)

10、器或PC機(jī)上的軟件，監(jiān)測到達(dá)主機(jī)的網(wǎng)絡(luò)信息流網(wǎng)絡(luò)型IDS:一般配置在網(wǎng)絡(luò)入口處或網(wǎng)絡(luò)核心交換處，通過旁路技術(shù)監(jiān)測網(wǎng)絡(luò)上的信息流。10.網(wǎng)絡(luò)入侵檢測系統(tǒng)是如何工作的？1）截獲本地主機(jī)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)，查找出針對本地系統(tǒng)的非法行為。2）掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對文件進(jìn)行保護(hù)、恢復(fù)等。3）通過輪詢等方式監(jiān)聽系統(tǒng)的進(jìn)程及其參數(shù)，檢查出非法進(jìn)程。4）查詢系統(tǒng)各種日志文件，報(bào)告非法的入侵者。15.入侵檢測技術(shù)和蜜罐技術(shù)都是用于檢測網(wǎng)絡(luò)入侵行為的，它們有什么不同？入侵檢測系統(tǒng)是根據(jù)人定義的規(guī)則、模式阻止非授權(quán)訪問或入侵網(wǎng)絡(luò)資源的行為。其收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)

11、的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，其前提即已知非法訪問規(guī)則和入侵方式，否則容易產(chǎn)生誤判。蜜罐(Honeypot)技術(shù)則是可以在不確定攻擊者手段和方法前提下發(fā)現(xiàn)攻擊。發(fā)現(xiàn)自身系統(tǒng)已知或未知的漏洞和弱點(diǎn)。它可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。蜜罐技術(shù)可以運(yùn)行任何的操作系統(tǒng)和任意數(shù)量的服務(wù)，蜜罐上配置的服務(wù)決定了攻擊者可用的損害和探測系統(tǒng)的媒介。16.如果你是一個(gè)單位的網(wǎng)絡(luò)安全管理員，如何規(guī)劃部署網(wǎng)絡(luò)安全產(chǎn)品？答：安裝安全的無線路由器（防火墻）、選擇安全的路由器名字、定制密碼、隱藏路由器名字、限制網(wǎng)絡(luò)訪問、選擇一種安全的加密模式、考慮使用入侵檢測系統(tǒng)或蜜

12、罐等高級技術(shù)。2.信息隱藏與傳統(tǒng)數(shù)據(jù)加密有什么區(qū)別？信息隱藏過程中加入加密算法的優(yōu)點(diǎn)是什么？信息隱藏就是利用特定載體中具有隨機(jī)特性的冗余部分，將有特別意義的或重要的信息嵌入其中掩飾其存在，嵌入的秘密信息稱為隱藏信息，現(xiàn)代信息隱藏通常要把傳輸?shù)拿孛苄畔懙綌?shù)字媒介中，如圖像、聲音、視頻信號等，其目的在于將信息隱藏的足夠好，以使非法用戶在截獲到媒介物時(shí)不會懷疑媒介中含有隱藏信息。傳統(tǒng)數(shù)據(jù)加密指通過和加密將明文轉(zhuǎn)變?yōu)槊芪?，其目的是使明文信息不可見，它的核心是密碼學(xué)。優(yōu)點(diǎn)：由于隱藏算法必須能夠承受一定程度的人為攻擊，保證隱藏信息不會破壞，所以信息隱藏中使用加密算法，增強(qiáng)了隱藏信息的抗攻擊能力，更加有利

13、于對信息的安全性保護(hù)，5.什么是數(shù)字水??？數(shù)字水印技術(shù)與信息隱藏技術(shù)有什么聯(lián)系和區(qū)別？數(shù)字水印是指嵌入在數(shù)字產(chǎn)品中的、不可見、不易移除的數(shù)字信號，可以是圖像、符號、數(shù)字等一切可以作為標(biāo)識和標(biāo)記的信息，其目的是進(jìn)行版權(quán)保護(hù)、所有權(quán)證明、指紋（追蹤發(fā)布多份拷貝）和完整性保護(hù)等。聯(lián)系和區(qū)別：信息隱藏與數(shù)字水印都是采用信息嵌入的方法，可以理解為信息隱藏的概念更大，但通常講到的信息隱藏是隱秘和保護(hù)一些信息傳遞，而數(shù)字水印是提供版權(quán)證明和知識保護(hù)，二者目的不同。8.如何對數(shù)字水印進(jìn)行攻擊？從數(shù)字水印的2個(gè)主要性質(zhì)：魯棒性、不可見性入手?；诠魷y試評價(jià)，分析數(shù)字水印的魯棒性，結(jié)合使用峰值信噪比PSNR分析

14、數(shù)字水印不可見性，使用低通濾波、添加噪聲、去噪處理、量化、幾何變換(縮放、旋轉(zhuǎn)、平移、錯(cuò)切等)、一般圖像處理(灰度直方圖調(diào)整、對比度調(diào)整、平滑處理、銳化處理等)、剪切、JPEG壓縮、小波壓縮等方式綜合完成數(shù)字水印進(jìn)行攻擊。9.RSA及公鑰密碼體制的安全基礎(chǔ)：RSA密碼系統(tǒng)的安全性依賴兩個(gè)數(shù)學(xué)問題：大數(shù)分解問題、RSA問題。由于目前尚無有效的算法解決這兩個(gè)問題的假設(shè)，已知公鑰解密RSA密文是不容易的。10.保密通信系統(tǒng)模型圖11.簡述公鑰密碼體制在信息安全保護(hù)中的意義：公鑰加密系統(tǒng)中任何主體只擁有一對密鑰-私鑰和公鑰，公開其公鑰，任何其他人在需要的時(shí)候使用接收方的公鑰加密信息，接收方使用只有自己

15、知道的私鑰解密信息。這樣，在N個(gè)人通信系統(tǒng)中，只需要N個(gè)密鑰對即可，每個(gè)人一對。公鑰加密的特點(diǎn)是公鑰是公開的，這很好地解決了對稱密碼中密鑰分發(fā)與管理問題。12. AES由多輪操作組成，輪數(shù)由分組和密鑰長度決定。AES在4×n字節(jié)的數(shù)組上操作，稱為狀態(tài)，其中n是密鑰字節(jié)數(shù)除4。AES的數(shù)據(jù)結(jié)構(gòu)：以字節(jié)為單位的方陣描述：輸入分組in、中間數(shù)組State、輸出分組out、密鑰分組K。排列順序：方陣中從上到下，從左到右AES算法輪操作過程：輪變換包括以下子步驟：（1） 字節(jié)替換：執(zhí)行一個(gè)非線性替換操作，通過查表替換每個(gè)字節(jié)。（2） 行移位：狀態(tài)（矩陣）每一行以字節(jié)為單位循環(huán)移動若干個(gè)字節(jié)。（

16、3） 列混合：基于狀態(tài)列的混合操作。（4） 輪密鑰加：狀態(tài)的每一個(gè)字節(jié)混合輪密鑰。輪密鑰也是由蜜月調(diào)度算法產(chǎn)生。需要注意的是，最后一輪（第10輪）操作與上述輪操作略有不同，不包括列混合操作，即只包括字節(jié)替換、行移位和密鑰疊加操作。13.簡述PKI的功能：PKI功能包括數(shù)字證書管理和基于數(shù)字證書的服務(wù)。01. 數(shù)字證書是PKI應(yīng)用的核心，它是公鑰載體，是主題身份和公鑰綁定的憑證。因此，證書管理是PKI的核心工作，即CA負(fù)責(zé)完成證書的產(chǎn)生、發(fā)布、撤銷、更新以及密鑰管理工作，包括完成這些任務(wù)的策略、方法、手段、技術(shù)和過程。02. PKI服務(wù)：PKI的主要任務(wù)是確立證書持有者可信賴的數(shù)字身份，通過將這

17、些身份與密碼機(jī)制相結(jié)合，提供認(rèn)證、授權(quán)或數(shù)字簽名等服務(wù)。當(dāng)完善實(shí)施后，能夠?yàn)槊舾型ㄐ藕徒灰滋峁┮惶仔畔踩Ｕ?，包括保密性、完整性、認(rèn)證性和不可否認(rèn)性等基本安全服務(wù)。03. 交叉認(rèn)證。為了在PKI間建立信任關(guān)系，引入了“交叉認(rèn)證”的概念，實(shí)現(xiàn)一個(gè)PKI域內(nèi)用戶可以驗(yàn)證另一個(gè)PKI域內(nèi)的用戶證書。14信息安全威脅主要來自人為攻擊，其大致可分為 主動攻擊 和 被動攻擊 兩大類型。15.現(xiàn)代密碼系統(tǒng)按其原理可分為兩大類： 對稱加密系統(tǒng) 和 非對稱加密 系統(tǒng)。16安全的定義只有相對的安全，沒有絕對的安全。安全的意義在于保護(hù)信息安全所需的代價(jià)與信息本身價(jià)值的對比，因此信息安全保護(hù)是一種效能的折衷。可將信

18、息系統(tǒng)的安全性定義為以下三種：01. 理論安全性：即使具有無限計(jì)算資源，也無法破譯。02. 可證明安全性：從理論上可以證明破譯一個(gè)密碼系統(tǒng)的代價(jià)/困難性不低于求解某個(gè)已知的數(shù)學(xué)難題。03. 計(jì)算安全性：使用已知的最好算法和利用現(xiàn)有的最大的計(jì)算資源仍然不可能在合理的時(shí)間完成破譯一個(gè)密碼系統(tǒng)。3種又可區(qū)分為理論安全性和實(shí)際安全性兩個(gè)層次，其中實(shí)際安全性又包括兩個(gè)層次：可證明安全性 和 計(jì)算安全性。16.1如何攻擊密碼系統(tǒng)？惟密文攻擊：破譯者已知的東西只有兩樣：加密算法、待破譯的密文。已知明文攻擊：破譯者已知的東西包括加密算法和經(jīng)密鑰加密形成的一個(gè)或多個(gè)明-密文對，即知道一定數(shù)量的密文和對應(yīng)的明文。

19、選擇明文攻擊：破譯者除了知道加密算法外，他還可以選定明文消息，并可以知道該明文對應(yīng)的加密密文。選擇密文攻擊：破譯者除了知道加密算法外，還包括他自己選定的密文和對應(yīng)的、已解密的明文，即知道選擇的密文和對應(yīng)的明文。選擇文本攻擊：是選擇明文攻擊與選擇密文攻擊的結(jié)合。破譯者已知的東西包括：加密算法、破譯者選擇的明文消息和它對應(yīng)的密文，以及破譯者選擇的猜測性密文和它對應(yīng)的解密明文。17消息認(rèn)證（如何主體的身份或消息的真實(shí)性？）被認(rèn)證的主體包括兩類：01. 消息的發(fā)送實(shí)體，人或設(shè)備（實(shí)現(xiàn)技術(shù)，例如：數(shù)字簽名）02. 對消息自身的認(rèn)證，順序性、時(shí)間性、完整性（時(shí)間戳服務(wù)、消息標(biāo)識等方法）由中國制定的無線網(wǎng)絡(luò)

20、安全國際標(biāo)準(zhǔn)是GB 15629.11；公鑰基礎(chǔ)設(shè)施PKI通過 控制中心CA 以簽發(fā) 數(shù)字證書 的形式發(fā)布有效的實(shí)體公鑰。18.網(wǎng)路安全協(xié)議：18.1數(shù)字簽名工作過程： 19.密碼體制分類（根據(jù)密鑰情況分類）對稱密鑰密碼體制：加密與解密使用相同密鑰(單鑰)優(yōu)點(diǎn)（為什么使用對稱密碼加密消息呢？）：加解密速度快、效率高、加密算法簡單、易于實(shí)現(xiàn)，計(jì)算開銷小。缺點(diǎn)：密鑰分發(fā)困難，即在通信雙方共享的密鑰一般需要帶外傳遞，總之，通信雙方最初的共享密鑰必須通過安全的方式傳遞交換。對稱加密密鑰使用 接受者 公鑰，數(shù)字簽名使用 發(fā)送者 的私鑰。公鑰密碼體制：加密與解密使用不同密鑰(雙鑰) 公、私鑰成對出現(xiàn)，公鑰加密、私鑰解密。20. 對稱密碼體制分類分組密碼先將明文劃分成若干等長的塊分組（如64b），然后再分別對每個(gè)分組進(jìn)行加密，得到等長的密文分組；解密過程也類似。有些密碼體制解密算法與加密算法完全一樣，如DES。序列密碼是把明文以位或字節(jié)為單位進(jìn)行加