第4章_信息安全

信息安全技术基础课后答案第四章一、选择题1.当前普遍使用的WEB服务器和浏览器的主要协议是：A. HTTPB. HTTPSC. SMTPD. TCP正确答案：A. HTTP2.对于非对称加密算法，以下描述正确的是：A. 加密和解密密钥相同B. 加密和解密密钥不同C. 加密过程只有一个密钥D. 加密过程不存在密钥正确答案：B. 加密和解密密钥不同3.在信息安全领域，安全漏洞是指：A. 不存在的威胁B. 信息系统中存在的弱点或缺陷C. 无法被攻击的系统D. 信息安全技术的核心正确答案：B. 信息系统中存在的弱点或缺陷4.在网站安全漏洞中，SQL注入是指：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作B. 利用用户密码泄露漏洞进行拦截C. 对网站进行DDoS攻击D. 从网站服务器系统入手，获取管理员权限进行攻击正确答案：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作5.加密算法中，对称加密算法和非对称加密算法的区别在于：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥B. 对称加密算法比非对称加密算法更安全C. 对称加密算法速度更快D. 非对称加密算法只能用于数字签名正确答案：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥二、判断题1.信息安全的三要素是机密性、完整性和可用性。

正确答案：正确2.信息安全管理体系（ISMS）是指一套包含组织、人员、技术等维度的信息安全管理制度。

正确答案：正确3.单向散列函数是一种不可逆的加密算法。

正确答案：正确4.公钥加密算法是一种非对称加密算法。

正确答案：正确5.SQL注入漏洞主要是通过合理构造恶意SQL查询语句实现的。

正确答案：正确三、简答题1.请简述对称加密算法和非对称加密算法的原理和应用场景。

对称加密算法使用相同的密钥进行加密和解密。

加密和解密的速度较快，但密钥的传递和管理比较困难。

信息安全法律法规信息安全法律法规第一章总则第一条：为了保障信息安全，维护国家安全和社会稳定，促进信息技术的健康发展，制定本法。

第二条：本法所称信息安全，是指防止非法获取、非法使用、非法存储、非法传输、非法销售和非法泄露信息的安全状态。

第三条：国家加强对信息基础设施的保护，依法打击非法侵入、非法控制信息系统以及非法使用信息人员的活动。

第四条：国家鼓励和支持技术手段的研发和应用，提高信息系统的安全性和可信度，维护信息安全。

第二章信息安全基本要求第五条：保护信息系统的安全性和可用性，确保信息资源的保密性，完整性和可靠性。

第六条：制定和实施信息安全管理制度，规定信息安全管理的目标、原则、措施和职责。

第七条：建立健全信息安全保护措施，在信息系统设计、开发、使用、维护和处置的全过程中保障信息安全。

第八条：加强信息系统的安全监测，及时发现、防范和处置信息安全事件和威胁。

第九条：促进信息安全技术的发展和应用，提高信息技术专业人员的素质和能力。

第十条：鼓励企事业单位开展信息安全培训，提高员工对信息安全的认识和保护能力。

第三章信息基础设施保护第十一条：国家建立和完善信息基础设施保护体系，对涉及国家安全、社会公共利益、重大公共服务和关键信息基础设施的信息系统，实行统一的保护管理。

第十二条：国家加强对信息基础设施的安全审查和核准制度，对涉及国家安全的信息系统，必须进行安全审查和核准。

第十三条：国家推动关键信息基础设施的保护工作，促进国家级关键信息基础设施的安全综合防护能力达到国际先进水平。

第四章信息安全责任第十四条：企事业单位应当将信息安全纳入组织的整体规划和战略，建立健全信息安全管理机构和制度。

第十五条：企事业单位应当加强信息基础设施的安全保护，采取必要的技术措施和管理措施，防止信息泄露、毁损和篡改。

第十六条：网络运营者应当采取合理的技术和管理措施，防止非法获取、使用、存储和传输用户个人信息。

第十七条：网络服务提供者应当遵守法律法规，保障用户信息的安全和隐私。

1、计算机系统的安全性包括狭义安全和广义安全两个方面。

狭义安全主要是对外部攻击的防范，广义安全则是保障计算机系统中数据保密性、数据完整性和系统可用性。

2、（1）硬件安全1）存储保护2）运行保护3）I/O 保护（2）身份认证（3）访问控制1）自主访问控制2）强制访问控制（4）最小特权管理（5）可信通道（6）安全审计机制3、数据库系统(Database System，简称DBS)是采用了数据库技术的计算机系统，通常由数据库、硬件、软件、用户四部分组成。

4、最小特权策略。

最小特权策略是指用户被分配最小的权限。

最大共享策略。

最大共享策略是在保密的前提下，实现最大程度的信息共享。

粒度适当策略。

数据库系统中不同的项被分成不同的颗粒，颗粒随小，安全级别越高，但管理也越复杂。

开放系统和封闭系统策略。

按内容访问控制策略。

按类型访问控制策略。

按上下文访向控制策略。

根据历史的访问控制策略。

5、常用的数据库备份方法有：冷备份、热备份和逻辑备份。

1）冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份，有称为“脱机备份”。

2）热备份是指当数据库正在运行时进行的备份，又称为“联机备份”。

3）逻辑备份逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件，该文件的格式一般与原数据库的文件格式不同，而是原数据库中数据内容的的一个映像。

因此逻辑备份文件只能用来对数据库进行逻辑恢复（即数据导入），而不能按数据库原来的存储特征进行物理恢复。

2. 假设Bob 收到了Alice 的数字证书,其发送方声称自己就是Alice 。

请思考下面问题。

a. 在Bob 验证该证书上的签名之前，他对于该证书发送方的身份能够知道多少呢？ 答：不知道发送方身份的任何信息。

b. Bob 如何验证该证书上的签名呢？通过验证签名，Bob 能够获得什么有用的信息呢？ 答：通过运用发送方的公钥进行解密来验证。

Bob 能知道该证书是由谁发送过来的。

c. 在Bob 验证了该证书上的签名之后，他对于该证书发送方的身份又能够知道些什么呢？答：Bob 不能确定真正的发送方。

6. 假设Alice 的RSA 公钥是（N ，e ）=（33，3），她对应的私钥是d=7。

请考虑下面的问题。

a. 如果Bob 使用Alice 的公钥加密消息M=19，那么请计算对应的密文C 是什么？并请证明Alice 能够解密密文C ，得到明文M 。

解：加密过程：33mod 28685919mod M 3====N C e解密过程：33mod 1919334088766212134929285128mod 7=+⨯====N C M db. 假设S 表示Alice 对消息M=25实施数字签名计算的结果，那么S 的值是什么？如果Bob 收到了消息M 和相应的签名S ，请说明Bob 验证该数字签名的过程，并请证明在这个特定的案例中，数字签名的验证能够成功通过。

答：签名过程是Alice 使用自己的私钥进行加密：33mod 31610351562525mod M 7====N S dBob 用Alice 的公钥对S 进行解密，得出的消息与M 一致，就证明数字签名的验证通过。

20. 假设Bob 的背包加密方案的私钥包括（3，5，10，23）。

另外，相对应的乘数m -1=6，模数n=47。

a. 如果给定密文C=20，那么请找出相对应的明文。

请以二进制形式表示。

答：1001b. 如果给定密文C=29，那么请找出相对应的明文。

华为信息安全入职培训教材第一章：信息安全概述信息安全是指保护信息系统的机密性、完整性和可用性，以及防止未经授权的访问、使用、披露、破坏、修改和干扰信息的能力。

作为一名员工，我们需要了解信息安全意识的重要性，并遵守相关政策和规定。

第二章：华为信息安全政策华为致力于保护客户和公司的信息安全。

我们制定了一系列信息安全政策来规范员工的行为，其中包括但不限于：保护客户隐私政策、数据备份政策、网络安全政策等。

作为一名员工，我们需要严格遵守这些政策，确保信息安全。

第三章：常见的信息安全威胁1. 电子邮件欺诈：包括钓鱼邮件、垃圾邮件等。

我们需要警惕这些威胁，并不轻易点击可疑的链接或下载附件。

2. 病毒和恶意软件：我们需要安装杀毒软件，并定期更新病毒库，以防止恶意软件感染我们的计算机系统。

3. 社交工程攻击：攻击者可能通过社交媒体等途径获取我们的个人信息，从而实施诈骗活动。

我们需要保护好自己的个人信息，切勿轻易泄漏给陌生人。

4. 数据泄露：我们需要妥善处理和存储客户和公司的敏感数据，避免数据泄露给第三方。

5. 网络攻击：包括拒绝服务攻击、网络钓鱼等。

我们需要保护公司的网络资产，同时也要注意个人安全，避免遭受网络攻击。

第四章：保护信息安全的工具和技术1. 密码安全：我们需要使用强密码，并定期更换，避免使用相同的密码或将密码泄露给他人。

2. 多因素身份验证：使用多因素身份验证可以增加账户的安全性，建议启用该功能。

3. 加密技术：加密可以保护信息在传输和存储过程中的安全性，我们需要了解和正确使用加密技术。

4. 防火墙和网络安全设备：我们需要根据公司的要求安装和配置防火墙和其他网络安全设备，来保护网络资产的安全。

第五章：应急响应和事件处理1. 安全事件的分类和级别：我们需要了解安全事件的分类和级别，及时对不同级别的事件做出相应的响应。

2. 事件处理流程：在发生安全事件时，我们需要按照公司规定的事件处理流程进行处理，并及时上报相关人员。

信息安全管理体系培训教材第一章信息安全管理体系概述信息安全管理体系是指根据国家相关法律法规、标准和规范，以及组织内部的需求，建立和实施信息安全管理体系，以保护组织的信息资产和信息系统免受安全威胁的侵害。

本章将介绍信息安全管理体系的基本概念、原则和关键要素。

1.1 信息安全管理体系的定义信息安全管理体系是指通过明确的政策和目标，以及相应的组织结构、职责、流程、程序和资源，建立和实施信息安全管理的框架。

1.2 信息安全管理体系的原则信息安全管理体系的建立和运行应遵循以下原则：1) 领导承诺原则：组织领导对信息安全管理的重要性进行明确承诺，并提供必要的资源和支持。

2) 风险管理原则：通过风险评估和风险处理，识别和控制信息安全风险。

3) 策略和目标导向原则：制定和执行信息安全策略和目标，以满足组织的安全需求。

4) 持续改进原则：通过监测、测量和评估，不断改进信息安全管理体系的有效性。

5) 法律合规原则：遵守适用的法律法规和合同要求，保护信息资产的合法性和合规性。

1.3 信息安全管理体系的关键要素信息安全管理体系的关键要素包括：1) 政策和目标：明确组织对信息安全的政策要求和目标。

2) 组织结构和职责：明确信息安全管理的组织结构和职责分工。

3) 风险评估和处理：通过风险评估和处理，识别和控制信息安全风险。

4) 资源管理：合理配置和管理信息安全相关的资源。

5) 安全培训和意识：开展信息安全培训和宣传，提高组织成员的安全意识。

6) 安全控制措施：建立和执行相应的安全控制措施，以保护信息资产和信息系统的安全。

7) 监测和改进：建立监测和测量机制，不断改进信息安全管理体系的有效性。

第二章信息安全管理体系要求和实施步骤本章将介绍信息安全管理体系要求和实施步骤，帮助组织了解如何根据相关标准和规范，构建和应用信息安全管理体系。

2.1 信息安全管理体系要求信息安全管理体系的建立和实施应符合相关的国家和行业标准和规范，如ISO/IEC 27001和《信息安全技术网络安全等级保护管理办法》等。

信息安全习题答案2-4章第2章习题及答案1.设a-z 的编码为1-26，空格编码为27,采⽤密码算法12C k M k =+，取123,5k k ==,设明⽂为“cryptography is an applied science ”，计算相应的密⽂。

解：明⽂： cryptography is an applied science35C M =+加密： c:335(mod 28)14?+= 对应得到字母n; r:1835(mod 28)3?+= 对应得到字母c; y:2535(mod28)24?+=对应得到字母x; 其余字母的解密运算类似，略.通过计算相应的密⽂为：ncxyivzchyaxbdfbhsbhyymdtqbfndtsnt2.⽤Vigenere 算法加密明⽂“The meeting will be held at afternoon ”,设密钥为：hello 。

解：起始密钥串是：hello ，根据编码规则25,,1,0===Z B A ，密钥串的数字表为（7,4,11,11,14），明⽂串The meeting will be held at afternoon 进⾏维吉尼亚加密和解密运算。

加密运算如下表：3.利⽤穷举搜索法编写程序破译如下利⽤移位密码加密的密⽂：BEEAKFYDJXUQYHYJQRYHTYJIQFBQDUYJIIKFUHCQD解：根据移位密码的特点，密钥k的取值有26种可能，即就是1，2…26, 当k=1时，将输⼊的密⽂所对应的码向前移⼀位，即就是各位所对应的码减去1，然后输出消息，…当k=25时，各位所对应的码减去25，然后输出消息,当k=26时，不变，输出的⽂明和密⽂相同。

程序如下：#includevoid main(){int i,k,t;char j,temp[26],m[41];char c[41]={'B','E','E','E','A','K','F','Y','D','J','X','U','Q','Y','H','Y','J','Q','R','Y','H' , 'T','Y','J','I','Q','F','B','Q','D','U', 'Y','J','I','I','K','F','U','H','C','Q', 'D'};for(i=1,j='A';i<=26,j<='Z';i++,j++){temp[i]=j;}for(k=1;k<=26;k++){printf("the %dth result is: ",k);for(i=0;i<41;i++){for(t=1;t<=26;t++){if(c[i]==temp[t]){if(t-k>0)t=(t-k)%26;else if(t-k<0)t=(t-k+26)%26;elset=26;m[i]=temp[t];break;}}printf("%c",m[i]); }printf("\n"); } }4.什么是单向陷门函数？单向陷门函数有什么特点？单向陷门函数如何应⽤于⾮对称密码体制？答：单向陷门函数是满⾜下列条件的函数:D V f → 1) 对于任意给定的D x ∈，计算()y f x =是容易的；2) 对于⼏乎所有任意给定V y ∈, 计算D x ∈使得()y f x =，在计算上是困难的，即，计算1()x f y -=是困难的。

第1章信息安全概述1、信息安全的发展阶段。

通信安全→ 信息安全→信息保障2、以下几个安全属性的含义：机密性、完整性、可用性、可控性、不可否认性保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

完整性：保证数据的一致性，防止数据被非法用户篡改。

可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

可控制性：对信息的传播及内容具有控制能力。

不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。

真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。

3、信息安全的三个最基本的目标。

答：信息安全包括了保密性、完整性和可用性三个基本属性：（1）保密性：确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。

（2）完整性：确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外一致性。

（3）可用性：确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝，允许其可能而且及时地访问信息及资源4、信息安全保障体系包含的内容。

信息安全保障体系包括四个部分内容，即PDRR。

a)保护（Protect）b)检测（Detect）c)反应（React）d)恢复（Restore）第2章密码学基础1、一个完整的密码体制包含的五个要素。

M——可能明文的有限集，成为明文空间C——可能密文的有限集，称为密文空间K——一切可能密钥的有限集，称为密钥空间E——加密函数D——解密函数2、移位密码具体算法是将字母表的字母右移k个位置，并对字母表长度作模运算加密函数：E k(m) = (m + k) mod q；解密函数：D k (c) = ( c – k ) mod q；此算法要会应用计算。

3、分组密码的工作原理。

加密：将明文分成若干固定长度的组，用同一密钥、算法逐组加密，输出等长密文分组。

解密：将密文分成等长的组，采用同一密钥和算法逐组解密，输出明文。