A卷解答

大学 ****-**** 学年 第1学期

***学院**专业**年级《信息安全》课程期末试卷（A ）

参考解答

二、名词术语解释，解释该英文缩写涉及的基本概念。（每题5分，共20分） 1．MAC 和DAC 答案要点：

1）MAC 是指强制访问控制。 2）DAC 是指自主访问控制。

2．NAS 和SAN 答案要点：

NAS 是一种专业的网络文件存储及文件备份设备，或被称为网络直联存储设备、网络磁盘阵列。

SAN 是一种通过光纤集线器、光纤路由器、光纤交换机等连接设备，将诸如大型磁盘阵列或备份磁带库等存储设备与相关服务器连接的，实现高速、可靠访问的专用网络。

3．DoS 和DDoS 答案要点：

1）DoS ：拒绝服务攻击；DDoS ：分布式拒绝服务攻击 2）该类攻击的方法

4．IDS 和IPS 答案要点：

1）IDS 是入侵检测系统。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否

------------------------------------------装----------------------订------------------------线------------------------ ---------------------------------------------------------------- ---------------

有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统。

2）IPS是入侵防御系统。

三、简答题（每题6分，共30分）

1．计算机系统的安全需求主要有哪些？请简要解释。

答案要点：

保密性、完整性、可用性、不可抵赖性等。

保密性表示对信息资源开放范围的控制，不让不应涉密的人涉及秘密信息。

完整性是指保证计算机系统中的信息处于“保持完整或一种未受损的状态”。任何对系统信息应有特性或状态的中断、窃取、篡改、或伪造都是破坏系统信息完整性的行为。

可用性是指合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。

不可否认性是指信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。

2．右图是手机上设置VPN的界面，请解释什么是VPN？手机上为什么会提供VPN功能？

答案要点：

VPN提供一种在现有网络或点对点连接上建立一至多条安全数据信道的机制。它只分配给受限的用户组独占使用，并能在需要时动态地建立和撤销。

IPSec定义了一种标准、健壮的以及包容广泛的机制，可用它为IP及其上层协议(如TCP和UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。

3．黑客攻击的一般步骤包括哪些？各个步骤的主要工作是什么？

答案要点：

1）隐藏攻击源；踩点扫描；掌握系统控制权；实施攻击；隐藏攻击痕迹；安装后门

2）以上各步骤的主要工作和目的

4．试解释恶意代码的概念，简述如何防范恶意代码。

答案要点：

恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。

恶意代码包括计算机病毒、蠕虫、特洛伊木马、后门、内核套件、间谍软件、恶意广告、流氓软件、逻辑炸弹、僵尸网络、网络钓鱼、恶意脚本、垃圾信息等恶意的或令人讨厌的软件及代码片段。

恶意代码的技术防范本质上是软件的可信验证问题，涉及软件特征可信、身份可信、能力可信、运行环境可信。

5．简述一个完备的容灾备份系统的组成。

答案要点：

1）一个完整的容灾备份系统通常主要由数据备份系统、备份数据处理系统、备份通信网络系统和完善的灾难恢复计划所组成。

2）介绍各部分的主要功能。

四、材料分析和综合论述题（每题10分，共30分）

1．如右图所示，百度链接从已经改成了https://，请解释其中涉及的安全原理。

答案要点：

本题考查SSL安全套接字层协议。

SSL技术在这里的主要用途有两个：确保网站服务器和用户浏览器之间的通讯不被窃听；确保网站所宣称的身份真实可靠。

2．题目略。请回答：

（1）下图给出了一个基于口令的用户身份认证基本过程。请分析该认证过程中各个环节存在的安全问题及相应的解决对策。

（2）应当如何看待网站的漏洞问题，对于不断被曝光的漏洞应当如何处理？答案要点：

图所示的认证机制的优点是简单易用，在安全性要求不高的情况下易于实现。但是该机制存在着严重的安全问题，主要包括：

用户信息安全意识不高，口令质量不高。例如采用一些有意义的字母、数字来作为密码，攻击者可以利用掌握的一些信息运用密码字典生成工具，生成密码字典然后逐一尝试破解。

攻击者运用社会工程学，冒充合法用户骗取口令。目前这种“网络钓鱼”现象层出不穷。

在输入密码时被键盘记录器等盗号程序所记录。

口令在传输过程中被攻击者嗅探到。一些信息系统对传输的口令没有加密，攻击者可以轻易得到口令的明文。但是即使口令经过加密也是难于抵抗重放攻击，因为攻击者可以直接使用这些加密信息向认证服务器发送认证请求，而这些加密信息是合法有效的。

数据库存放明文口令，如果攻击者成功访问数据库，则可以得到整个用户名和口令表。即使数据库中的口令进行了加密，仍面临破解等威胁。

3．题目略

请回答：

（1）隐私的概念。

（2）隐私泄露的途径通常有哪些？

（3）请以你常用的一种社交网络工具为例谈谈你是如何保护自己的隐私的。答案要点：

1）“隐私”在字典中的解释是“不愿告人的或不愿公开的个人的事”，这个字面上的解释给出了隐私的保密性以及个人相关这两个基本属性。

2）通过微信等社交网络平台；通过手机应用软件；连接山寨WiFi、开启蓝牙、GPS等；旧手机信息泄露；黑客入侵，以及大数据挖掘、个性化信息服务、搜索引擎等技术。

3）略。

4．本学期你阅读了哪些有关安全的书籍或论文？请列举。

本学期你完成了哪些安全实验？请介绍。

结合学习的信息安全的相关理论和技术，谈谈你的实验收获或想法。（10分）

答案略