信息安全技术与实践习题答案第3-4章

专业资料第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA 指的是什么 ?Confidenciality隐私性 , 也可称为机密性, 是指只有授权的用户才能获取信息 Integrity 完整性 , 是指信息在传输过程中 , 不被非法授权和破坏 , 保证数据的一致性Availability可用性 , 是指信息的可靠度4、简述 PPDR安全模型的构成要素及运作方式PPDR由安全策略 , 防护 , 检测和响应构成运作方式 :PPDR 模型在整体的安全策略的控制和指导下, 综合运用防护工具的同时, 利用检测工具了解和评估系统的安全状态 , 通过适当的安全响应将系统调整在一个相对安全的状态。

防护 , 检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下, 依据特定的安全策略 , 对信息及信息系统实施防护, 检测和恢复的科学7、信息安全系统中, 人、制度和技术之间的关系如何?在信息安全系统中, 人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力, 技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术, 还应该建立相应的制度以起到规范的作用。

只有三者的完美结合 , 才有安全的信息安全系统第二章密码技术一、选择题1．下列（ RSA算法）算法属于公开密钥算法。

2. 下列（天书密码）算法属于置换密码。

3.DES 加密过程中，需要进行（16 ）轮交换。

二、填空题1. 给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为01011111。

《信息安全原理与技术》（第3版）习题答案《信息安全》习题参考答案第1章1.1 主动攻击和被动攻击是区别是什么？答：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可⽤性和真实性。

1.2 列出⼀些主动攻击和被动攻击的例⼦。

答：常见的主动攻击：重放、拒绝服务、篡改、伪装等等。

常见的被动攻击：消息内容的泄漏、流量分析等等。

1.3 列出并简单定义安全机制的种类。

答：安全机制是阻⽌安全攻击及恢复系统的机制，常见的安全机制包括：加密机制：加密是提供数据保护最常⽤的⽅法，加密能够提供数据的保密性，并能对其他安全机制起作⽤或对它们进⾏补充。

数字签名机制：数字签名主要⽤来解决通信双⽅发⽣否认、伪造、篡改和冒充等问题。

访问控制机制：访问控制机制是按照事先制定的规则确定主体对客体的访问是否合法，防⽌未经授权的⽤户⾮法访问系统资源。

数据完整性机制：⽤于保证数据单元完整性的各种机制。

认证交换机制：以交换信息的⽅式来确认对⽅⾝份的机制。

流量填充机制：指在数据流中填充⼀些额外数据，⽤于防⽌流量分析的机制。

路由控制机制：发送信息者可以选择特殊安全的线路发送信息。

公证机制：在两个或多个实体间进⾏通信时，数据的完整性、来源、时间和⽬的地等内容都由公证机制来保证。

1.4 安全服务模型主要由⼏个部分组成，它们之间存在什么关系。

答：安全服务是加强数据处理系统和信息传输的安全性的⼀种服务，是指信息系统为其应⽤提供的某些功能或者辅助业务。

安全服务模型主要由三个部分组成：⽀撑服务，预防服务和恢复相关的服务。

⽀撑服务是其他服务的基础，预防服务能够阻⽌安全漏洞的发⽣，检测与恢复服务主要是关于安全漏洞的检测，以及采取⾏动恢复或者降低这些安全漏洞产⽣的影响。

1.5 说明安全⽬标、安全要求、安全服务以及安全机制之间的关系。

答：全部安全需求的实现才能达到安全⽬标，安全需求和安全服务是多对多的关系，不同的安全服务的联合能够实现不同的安全需求，⼀个安全服务可能是多个安全需求的组成要素。

1、消息认证是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改，即验证消息的发送者是真正的而非假冒的（数据起源认证）；同时验证信息在传送过程中未被篡改、重放或延迟等。

消息认证和信息保密是构成信息系统安全的两个方面，二者是两个不同属性上的问题：即消息认证不能自动提供保密性，保密性也不能自然提供消息认证功能。

2、消息鉴别码（Message Authentication Code ）MAC是用公开函数和密钥产生一个固定长度的值作为认证标识，并用该标识鉴别信息的完整性。

MAC是消息和密钥的函数，即MAC = C K（M），其中M是可变长的消息，C 是认证函数，K是收发双方共享的密钥，函数值C K（M）是定长的认证码。

认证码被附加到消息后以M‖MAC方式一并发送给接收方，接收方通过重新计算MAC以实现对M的认证。

3、数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。

接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，并与解密的摘要信息进行对比，若相同则说明收到的信息完整，在传输过程中未被修改；否则说明信息被修改。

1）签名应与文件是一个不可分割的整体，可以防止签名被分割后替换文件，替换签名等形式的伪造。

2）签名者事后不能否认自己的签名。

3）接收者能够验证签名，签名可唯一地生成，可防止其他任何人的伪造。

4）当双方关于签名的真伪发生争执时，一个仲裁者能够解决这种争执。

4、身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。

它通过特定的协议和算法来实现身份认证。

身份认证的目的是防止非法用户进入系统；访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许才能访问，违反预定安全规则的访问将被拒绝。

访问控制是为了防止合法用户对系统资源的非法使用。

5、1）基于口令的认证技术：当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。

信息安全技术基础课后答案第四章一、选择题1.当前普遍使用的WEB服务器和浏览器的主要协议是：A. HTTPB. HTTPSC. SMTPD. TCP正确答案：A. HTTP2.对于非对称加密算法，以下描述正确的是：A. 加密和解密密钥相同B. 加密和解密密钥不同C. 加密过程只有一个密钥D. 加密过程不存在密钥正确答案：B. 加密和解密密钥不同3.在信息安全领域，安全漏洞是指：A. 不存在的威胁B. 信息系统中存在的弱点或缺陷C. 无法被攻击的系统D. 信息安全技术的核心正确答案：B. 信息系统中存在的弱点或缺陷4.在网站安全漏洞中，SQL注入是指：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作B. 利用用户密码泄露漏洞进行拦截C. 对网站进行DDoS攻击D. 从网站服务器系统入手，获取管理员权限进行攻击正确答案：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作5.加密算法中，对称加密算法和非对称加密算法的区别在于：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥B. 对称加密算法比非对称加密算法更安全C. 对称加密算法速度更快D. 非对称加密算法只能用于数字签名正确答案：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥二、判断题1.信息安全的三要素是机密性、完整性和可用性。

正确答案：正确2.信息安全管理体系（ISMS）是指一套包含组织、人员、技术等维度的信息安全管理制度。

正确答案：正确3.单向散列函数是一种不可逆的加密算法。

正确答案：正确4.公钥加密算法是一种非对称加密算法。

正确答案：正确5.SQL注入漏洞主要是通过合理构造恶意SQL查询语句实现的。

正确答案：正确三、简答题1.请简述对称加密算法和非对称加密算法的原理和应用场景。

对称加密算法使用相同的密钥进行加密和解密。

加密和解密的速度较快，但密钥的传递和管理比较困难。

1、计算机系统的安全性包括狭义安全和广义安全两个方面。

狭义安全主要是对外部攻击的防范，广义安全则是保障计算机系统中数据保密性、数据完整性和系统可用性。

2、（1）硬件安全1）存储保护2）运行保护3）I/O 保护（2）身份认证（3）访问控制1）自主访问控制2）强制访问控制（4）最小特权管理（5）可信通道（6）安全审计机制3、数据库系统(Database System，简称DBS)是采用了数据库技术的计算机系统，通常由数据库、硬件、软件、用户四部分组成。

4、最小特权策略。

最小特权策略是指用户被分配最小的权限。

最大共享策略。

最大共享策略是在保密的前提下，实现最大程度的信息共享。

粒度适当策略。

数据库系统中不同的项被分成不同的颗粒，颗粒随小，安全级别越高，但管理也越复杂。

开放系统和封闭系统策略。

按内容访问控制策略。

按类型访问控制策略。

按上下文访向控制策略。

根据历史的访问控制策略。

5、常用的数据库备份方法有：冷备份、热备份和逻辑备份。

1）冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份，有称为“脱机备份”。

2）热备份是指当数据库正在运行时进行的备份，又称为“联机备份”。

3）逻辑备份逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件，该文件的格式一般与原数据库的文件格式不同，而是原数据库中数据内容的的一个映像。

因此逻辑备份文件只能用来对数据库进行逻辑恢复（即数据导入），而不能按数据库原来的存储特征进行物理恢复。

信息安全技术基础课后答案第一章：信息安全概论1. 信息安全的定义是什么？信息安全是指在计算机系统中，保护信息不受未经授权访问、使用、披露、干扰、破坏、修改、伪造等威胁的一系列措施的总称。

2. 信息安全的目标是什么？信息安全的主要目标包括保密性、完整性和可用性。

保密性指保护信息不被未经授权的个人或实体所访问；完整性指保证信息不被非法篡改；可用性指确保信息资源能够及时可靠地得到使用。

3. 信息安全的基本要素有哪些？信息安全的基本要素包括：机密性、完整性、可用性、不可抵赖性、可控制性和身份认证。

4. 请列举常见的信息安全攻击类型。

常见的信息安全攻击包括：密码攻击、网络攻击（如拒绝服务攻击、入侵攻击）、恶意软件（如病毒、蠕虫、木马）、社会工程学攻击（如钓鱼、假冒身份）和数据泄露等。

5. 请说明防火墙的作用。

防火墙是一种位于计算机网络与外部网络之间的安全设备，它可以通过控制数据包的进出来保护内部网络的安全。

防火墙可以实施访问控制、数据包过滤、网络地址转换等功能，提高网络的安全性。

第二章：密码学基础1. 什么是对称密码学？请举例说明。

对称密码学是一种使用相同密钥进行加密和解密的密码学方法。

例如，DES （Data Encryption Standard）就是一种对称密码算法，在加密和解密过程中使用相同的密钥。

2. 什么是公钥密码学？请举例说明。

公钥密码学是一种使用公钥和私钥进行加密和解密的密码学方法。

例如，RSA （Rivest, Shamir, Adleman）算法就是一种公钥密码算法，发送方使用接收方的公钥进行加密，接收方使用自己的私钥进行解密。

3. 对称密码学和公钥密码学有什么区别？对称密码学使用相同的密钥进行加密和解密，安全性依赖于密钥的保密性；而公钥密码学使用不同的密钥进行加密和解密，安全性依赖于数学难题的求解。

4. 什么是哈希函数？请举例说明。

哈希函数是一种将任意长度数据（输入）转换为固定长度（输出）的函数。

信息安全技术教程习题及答案第一章概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2. 计算机场地可以选择在公共区域人流量比较大的地方。

×3. 计算机场地可以选择在化工厂生产车间附近。

×4. 计算机场地在正常情况下温度保持在18~28 摄氏度。

√5. 机房供电线路和动力、照明用电可以用同一线路。

×6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。

×10. 由于传输的内容不同，电力线可以与网络线同槽铺设。

×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。

√13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。

√14. 机房内的环境对粉尘含量没有要求。

×15. 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。

√16. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√17. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1. 以下不符合防静电要求的是A. 穿合适的防静电衣服和防静电鞋B. 在机房内直接更衣梳理C. 用表面光滑平整的办公家具D. 经常用湿拖布拖地2. 布置电子信息系统信号线缆的路由走向时，以下做法错误的是A. 可以随意弯折B. 转弯时，弯曲半径应大于导线直径的10 倍C. 尽量直线、平整D. 尽量减小由线缆自身形成的感应环路面积3. 对电磁兼容性(Electromagnetic Compatibility, 简称EMC) 标准的描述正确的是A. 同一个国家的是恒定不变的B. 不是强制的C. 各个国家不相同D. 以上均错误4. 物理安全的管理应做到A. 所有相关人员都必须进行相应的培训，明确个人工作职责B. 制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况C. 在重要场所的迸出口安装监视器，并对进出情况进行录像D. 以上均正确三、多选题1. 场地安全要考虑的因素有A. 场地选址B. 场地防火C. 场地防水防潮D. 场地温度控制E. 场地电源供应2. 火灾自动报警、自动灭火系统部署应注意A. 避开可能招致电磁干扰的区域或设备B. 具有不间断的专用消防电源C. 留备用电源D. 具有自动和子动两种触发装置3. 为了减小雷电损失，可以采取的措施有A. 机房内应设等电位连接网络B. 部署UPSC. 设置安全防护地与屏蔽地D. 根据雷击在不同区域的电磁脉冲强度划分，不同的区域界面进行等电位连接E. 信号处理电路4. 会导致电磁泄露的有A. 显示器B. 开关电路及接地系统C. 计算机系统的电源线D. 机房内的电话线E. 信号处理电路5. 磁介质的报废处理，应采用A. 直接丢弃B.砸碎丢弃C. 反复多次擦写D.内置电磁辐射干扰器6. 静电的危害有A. 导致磁盘读写错误，损坏磁头，引起计算机误动作B. 造成电路击穿或者毁坏C. 电击，影响工作人员身心健康D. 吸附灰尘7. 防止设备电磁辐射可以采用的措施有A. 屏蔽机B. 滤波C. 尽量采用低辐射材料和设备、D.内置电磁辐射干扰器四、问答题1. 物理安全包含哪些内容?2. 解释环境安全与设备安全的联系与不同。

1、可用性、机密性、完整性、非否认性、真实性和可控性。

这6个属性是信息安全的基本属性，其具体含义如下（1）可用性（Availability）。

即使在突发事件下，依然能够保障数据和服务的正常使用，如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。

（2）机密性（Confidentiality）。

能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

（3）完整性（Integrity）。

能够保障被传输、接收或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

（4）非否认性（non-repudiation）。

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

（5）真实性（Authenticity）。

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。

（6）可控性（Controllability）。

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、信息安全是一个古老而又年轻的科学技术领域。

纵观它的发展，可以划分为以下四个阶段：（1）通信安全发展时期：从古代至20世纪60年代中期，人们更关心信息在传输中的机密性。

（2）计算机安全发展时期：计算机安全发展时期跨越20世纪60年代中期至80年代中期。

（3）信息安全发展时期：随着信息技术应用越来越广泛和网络的普及，20世纪80年代中期至90年代中期，学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视，人们所关注的问题扩大到前面提到的信息安全的6个基本属性。

在这一时期，密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展，尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用，因此，这个时期也可以称为网络安全发展时期。

第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么?Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。

防护,检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何?在信息安全系统中,人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1．下列（RSA算法）算法属于公开密钥算法。

2.下列（天书密码）算法属于置换密码。

3.DES加密过程中，需要进行（16）轮交换。

二、填空题1.给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为01011111 。

2. 假设Bob 收到了Alice 的数字证书,其发送方声称自己就是Alice 。

请思考下面问题。

a. 在Bob 验证该证书上的签名之前，他对于该证书发送方的身份能够知道多少呢？ 答：不知道发送方身份的任何信息。

b. Bob 如何验证该证书上的签名呢？通过验证签名，Bob 能够获得什么有用的信息呢？ 答：通过运用发送方的公钥进行解密来验证。

Bob 能知道该证书是由谁发送过来的。

c. 在Bob 验证了该证书上的签名之后，他对于该证书发送方的身份又能够知道些什么呢？答：Bob 不能确定真正的发送方。

6. 假设Alice 的RSA 公钥是（N ，e ）=（33，3），她对应的私钥是d=7。

请考虑下面的问题。

a. 如果Bob 使用Alice 的公钥加密消息M=19，那么请计算对应的密文C 是什么？并请证明Alice 能够解密密文C ，得到明文M 。

解：加密过程：33mod 28685919mod M 3====N C e解密过程：33mod 1919334088766212134929285128mod 7=+⨯====N C M db. 假设S 表示Alice 对消息M=25实施数字签名计算的结果，那么S 的值是什么？如果Bob 收到了消息M 和相应的签名S ，请说明Bob 验证该数字签名的过程，并请证明在这个特定的案例中，数字签名的验证能够成功通过。

答：签名过程是Alice 使用自己的私钥进行加密：33mod 31610351562525mod M 7====N S dBob 用Alice 的公钥对S 进行解密，得出的消息与M 一致，就证明数字签名的验证通过。

20. 假设Bob 的背包加密方案的私钥包括（3，5，10，23）。

另外，相对应的乘数m -1=6，模数n=47。

a. 如果给定密文C=20，那么请找出相对应的明文。

请以二进制形式表示。

答：1001b. 如果给定密文C=29，那么请找出相对应的明文。

网络安全——技术与实践（第二版）参考答案第一篇网络安全基础 (1)第一章引言 (1)第二章低层协议的安全性 (4)第三章高层协议的安全性 (4)第一篇密码学基础 (4)第四章单（私）钥密码体制 (4)第五章双（公）钥密码体制 (4)第六章消息认证与杂凑函数 (4)第七章数字签名 (4)第八章密码协议 (4)第二篇网络安全技术与运用 (4)第九章数字证书与公钥基础设施 (4)第十章网络加密与密钥管理 (4)第十一章无线网络安全 (4)第十二章防火墙技术 (4)第十三章入侵坚持技术 (4)第十四章VPN技术 (4)第十五章身份认证技术 (5)第一篇网络安全基础第一章引言一、填空题1.信息安全的3个基本目标是：保密性、完整性和可用性。

此外，还有一个不可忽视的目标是：合法使用。

2.网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和非法使用。

3.访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略。

4.安全性攻击可以划分为：被动攻击和主动攻击。

5.X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性和不可否认性。

6.X.800定义的8种特定的安全机制是：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。

7.X.800定义的5种普遍的安全机制是：可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。

二、思考题1.请简述通信安全、计算机安全和网络安全之间的联系和区别。

答：通信安全是对通信过程中所传输的信息施加保护；计算机安全则是对计算机系统中的信息施加保护，包括操作系统安全和数据库安全两个子类；网络安全就是对网络系统中的信息施加保护。

在信息的传输和交换时，需要对通信信道上传输的机密数据进行加密；在数据存储和共享时，需要对数据库进行安全的访问控制和对访问者授权；在进行多方计算时，需要保证各方机密信息不被泄漏。

这些均属于网络安全的范畴，它还包括网络边界安全、Web安全及电子邮件安全等内容。

第2章习题及答案1.设a-z 的编码为1-26，空格编码为27,采用密码算法12C k M k =+，取123,5k k ==,设明文为“cryptography is an applied science ”，计算相应的密文。

解：明文： cryptography is an applied science35C M =+加密： c:335(mod 28)14⨯+= 对应得到字母n; r:1835(mod 28)3⨯+= 对应得到字母c; y:2535(mod 28)24⨯+=对应得到字母x; 其余字母的解密运算类似，略.通过计算相应的密文为：ncxyivzchyaxbdfbhsbhyymdtqbfndtsnt2.用Vigenere 算法加密明文“The meeting will be held at afternoon ”,设密钥为：hello 。

解：起始密钥串是：hello ，根据编码规则25,,1,0===Z B A ，密钥串的数字表为（7,4,11,11,14），明文串The meeting will be held at afternoon 进行维吉尼亚加密和解密运算。

加密运算如下表：3.利用穷举搜索法编写程序破译如下利用移位密码加密的密文：BEEAKFYDJXUQYHYJQRYHTYJIQFBQDUYJIIKFUHCQD解：根据移位密码的特点，密钥k的取值有26种可能，即就是1，2…26, 当k=1时，将输入的密文所对应的码向前移一位，即就是各位所对应的码减去1，然后输出消息，…当k=25时，各位所对应的码减去25，然后输出消息,当k=26时，不变，输出的文明和密文相同。

程序如下：#include <stdio.h>void main(){int i,k,t;char j,temp[26],m[41];char c[41]={'B','E','E','E','A','K','F','Y','D','J','X','U','Q','Y','H','Y','J','Q','R','Y','H' , 'T','Y','J','I','Q','F','B','Q','D','U', 'Y','J','I','I','K','F','U','H','C','Q', 'D'};for(i=1,j='A';i<=26,j<='Z';i++,j++){temp[i]=j;}for(k=1;k<=26;k++){printf("the %dth result is: ",k);for(i=0;i<41;i++){for(t=1;t<=26;t++){if(c[i]==temp[t]){if(t-k>0)t=(t-k)%26;else if(t-k<0)t=(t-k+26)%26;elset=26;m[i]=temp[t];break;}}printf("%c",m[i]); }printf("\n");}}4.什么是单向陷门函数？单向陷门函数有什么特点？单向陷门函数如何应用于非对称密码体制？答：单向陷门函数是满足下列条件的函数:D V f → 1) 对于任意给定的D x ∈，计算()y f x =是容易的；2) 对于几乎所有任意给定V y ∈, 计算D x ∈使得()y f x =，在计算上是困难的，即，计算1()x f y -=是困难的。

四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材：《信息安全概论》段云所，魏仕民，唐礼勇，陈钟，高等教育出版社第一章概述（习题一，p11）1.信息安全的目标是什么？答：信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性；也有观点认为是机密性、完整性和可用性，即CIA(Confidentiality,Integrity,Availability)。

机密性（Confidentiality）是指保证信息不被非授权访问；即使非授权用户得到信息也无法知晓信息内容，因而不能使用完整性（Integrity）是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性（Non-repudiation）是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为，是针对通信各方信息真实同一性的安全要求。

可用性（Availability）是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解：信息安全是一门交叉学科，涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究；应用技术研究包括安全实现技术、安全平台技术研究；安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系？如何体现？答：信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现，并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全，还包括用户行为的安全，安全管理包括安全标准、安全策略、安全测评等。

信息安全技术教程习题及答案第一章概述一、判断题1。

信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2。

计算机场地可以选择在公共区域人流量比较大的地方.×3. 计算机场地可以选择在化工厂生产车间附近。

×4。

计算机场地在正常情况下温度保持在18～28 摄氏度。

√5。

机房供电线路和动力、照明用电可以用同一线路。

×6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8。

屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9。

屏蔽室的拼接、焊接工艺对电磁防护没有影响.×10。

由于传输的内容不同，电力线可以与网络线同槽铺设。

×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通。

√12. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记，以防更换和方便查找赃物。

√13。

TEMPEST 技术，是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的.√14. 机房内的环境对粉尘含量没有要求。

×15。

防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息.√16. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护.√17. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1。

以下不符合防静电要求的是A. 穿合适的防静电衣服和防静电鞋B。

在机房内直接更衣梳理 C. 用表面光滑平整的办公家具D。

经常用湿拖布拖地2. 布置电子信息系统信号线缆的路由走向时,以下做法错误的是A。

_四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材：《信息安全概论》段云所，魏仕民，唐礼勇，陈钟，高等教育出版社第一章概述（习题一，p11）1.信息安全的目标是什么？答：信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性；也有观点认为是机密性、完整性和可用性，即CIA(Confidentiality,Integrity,Availability)。

机密性（Confidentiality）是指保证信息不被非授权访问；即使非授权用户得到信息也无法知晓信息内容，因而不能使用完整性（Integrity）是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性（Non-repudiation）是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为，是针对通信各方信息真实同一性的安全要求。

可用性（Availability）是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解：信息安全是一门交叉学科，涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究；应用技术研究包括安全实现技术、安全平台技术研究；安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系？如何体现？答：信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现，并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全，还包括用户行为的安全，安全管理包括安全标准、安全策略、安全测评等。

《信息安全技术》习题及答案(最全)信息安全技术习题及答案(最全)一、选择题：1. 某公司采用的是对每位员工的工作进行访问权限管理的信息安全机制，下列说法正确的是：A. 访问权限是由员工自行设置和管理的B. 访问权限适用于所有员工不论其工作内容C. 访问权限由系统管理员根据员工工作需求而设置和管理D. 访问权限对所有员工都是相同的答案：C2. 下列哪个不属于信息安全的核心要素：A. 机密性B. 完整性C. 可用性D. 隐私性答案：D3. 在网络通信中，下列哪项不是保障数据机密性的措施：A. 加密B. 防火墙C. VPND. 数字签名答案：B4. 下列哪个不属于常见的网络攻击方式：A. 电子邮件欺骗B. SQL注入C. 伪造IP地址D. 数据加密答案：D5. 进行网络安全风险评估时，下列哪项内容不需要考虑：A. 网络系统安全配置B. 员工安全培训C. 网络设备供应商的信誉度D. 网络服务提供商的可靠性答案：C二、填空题：1. 按照信息安全等级保护要求，国家将信息系统分为___个等级。

答案：四2. 典型的网络攻击方式包括：___、___、___、___等。

答案：病毒攻击、DDoS攻击、钓鱼攻击、黑客入侵等。

3. 信息安全的目标包括：___、___、___、___。

答案：机密性、完整性、可用性、可追溯性。

4. 安全加固措施包括：___、___、___、___等。

答案：访问控制、身份认证、防火墙配置、数据加密等。

5. 网络安全体系结构包括：___、___、___三个层次。

答案：技术层、管理层、人员层。

三、问答题：1. 请简要介绍信息安全的基本概念。

答：信息安全是指保护信息系统中的信息不受未经授权的访问、使用、披露、修改、破坏等威胁的安全状态。

它包括保护信息的机密性、完整性、可用性和可追溯性等目标。

2. 请列举几种常见的网络攻击方式，并说明其特点。

答：常见的网络攻击方式包括病毒攻击、DDoS攻击、钓鱼攻击和黑客入侵等。

连云港专业技术继续教育—网络信息安全总题库及答案信息安全技术试题及答案信息安全网络基础：一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2. 计算机场地可以选择在公共区域人流量比较大的地方。

×3. 计算机场地可以选择在化工厂生产车间附近。

×4. 计算机场地在正常情况下温度保持在18~28 摄氏度。

√5. 机房供电线路和动力、照明用电可以用同一线路。

×6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7. 由于传输的内容不同，电力线可以与网络线同槽铺设。

×8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√9. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。

√10. 机房内的环境对粉尘含量没有要求。

×11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√12. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√容灾与数据备份一、判断题1. 灾难恢复和容灾具有不同的含义。

×页脚内容2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。

√3. 对目前大量的数据备份来说，磁带是应用得最广的介质。

√4. 增量备份是备份从上次完全备份后更新的全部数据文件。

×5. 容灾等级通用的国际标准SHARE 78 将容灾分成了六级。

×6. 容灾就是数据备份。

×7. 数据越重要，容灾等级越高。

√8. 容灾项目的实施过程是周而复始的。

√9. 如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。

×二、单选题1. 代表了当灾难发生后，数据的恢复程度的指标是A.RPOB.RTOC.NROD.SDO2. 代表了当灾难发生后，数据的恢复时间的指标是A.RPOB.RTOC.NROD.SD03. 容灾的目的和实质是A. 数据备份B.心理安慰C. 保持信息系统的业务持续性D.系统的有益补充4. 容灾项目实施过程的分析阶段，需要进行A. 灾难分析B. 业务环境分析C. 当前业务状况分析D. 以上均正确5. 目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是一一一。

1、可用性、机密性、完整性、非否认性、真实性和可控性。

这6个属性是信息安全的基本属性，其具体含义如下（1）可用性（Availability）。

即使在突发事件下，依然能够保障数据和服务的正常使用，如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。

（2）机密性（Confidentiality）。

能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

（3）完整性（Integrity）。

能够保障被传输、接收或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

（4）非否认性（non-repudiation）。

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

（5）真实性（Authenticity）。

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。

（6）可控性（Controllability）。

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、信息安全是一个古老而又年轻的科学技术领域。

纵观它的发展，可以划分为以下四个阶段：（1）通信安全发展时期：从古代至20世纪60年代中期，人们更关心信息在传输中的机密性。

（2）计算机安全发展时期：计算机安全发展时期跨越20世纪60年代中期至80年代中期。

（3）信息安全发展时期：随着信息技术应用越来越广泛和网络的普及，20世纪80年代中期至90年代中期，学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视，人们所关注的问题扩大到前面提到的信息安全的6个基本属性。

在这一时期，密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展，尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用，因此，这个时期也可以称为网络安全发展时期。

1、自然灾害、硬件故障、软件故障、人为原因、资源不足引起的计划性停机。

其中，软件故障和人为原因是数据失效的主要原因。

2、备份不仅只是对数据的保护，最终的目的就是为了在系统遇到人为或自然灾害情况下，能够通过备份内容对系统进行有效的灾难恢复。

所以，备份不仅是单纯的数据拷贝，更重要的是管理。

管理包括了备份的可计划性、磁带机的自动化操作、历史记录的保存以及日志记录等内容。

3、硬件级备份是指用冗余的硬件来保证系统的连续运行。

当主硬件损坏时可利用后备硬件接替其工作，所以这种方式能有效地防止硬件故障，但其无法防止数据的逻辑损坏。

软件级备份具有安装方便，界面友好，使用灵活；支持跨平台备份，支持文件打开状态备份；支持多种文件格式的备份，支持备份介质自动加载的自动备份；支持各种策略的备份方式的特点。

人工级备份的特点是简单和有效，但其恢复数据时较耗时。

4、还原数据是指用备份数据替代当前数据，以达到修复错误的目的。

恢复数据与还原数据相似，它使用备份文件去覆盖出错的数据，从而达到修复错误的目的。

当数据因误操作而完全丢失时，可借助数据恢复软件来实现找回现有数据的目的。

恢复数据的外延要大于还原数据，还原数据包含在恢复数据之中。

5、在数据库的使用过程中，由于数据库文件被频繁使用，从而造成数据库的损坏，因此要进行数据库的定期检测和修复。

选择题：1.B、2.A、3.C、4.B、5.D6.B、7.A、8.A填空题：1.UDP；TCP；端口号；2.可用性、机密性、完整性、可控性、不可抵赖性。

选择题：1.A、2.B、3.B、4.C、5.A6.D、7.C、8.B填空题：1.物理安全技术；基础安全技术；应用安全技术；?2.PDRR（安全生命周期模型）P：Protection（防护）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。

D：Detection（检测）；R：Response（反应）；R：Recovery（恢复）。