信息系统安全

信息系统安全

一，填空题1.答：访问控制的三要素是：主体，客体，操作。

2.保密性，理论安全性

3.对通讯数据的认证

4.现代手段

5.1）穷举攻击（解决方法:增大密钥量）

（2）统计分析攻击（解决方法：使明文的统计特性与密文的统计特性不一样）6.认证工具EID

二，选择题

1-5ABBCD 6-10CDDCB

三，把缩写与对应翻译连线

RSA一种信息摘要算法DES数据加密标准RTO恢复时间标准MAC强制访问控制MD5一种公钥加密体质

四，简答题

2.访问控制的基本要求有哪些?

访问控制是指对合法用户文件和数据操作权限的限制,这些权限主要包括对信息资源读、写、执行等操作。涉密系统访问控制的基本要求是:

(1)应制定符合实际需要的明确的访问控制策略。

(2)处理秘密级、机密级信息的涉密系统,应按照用户类别、信息类别进行访问控制。

(3)处理绝密级信息的涉密系统,访问控制必须控制到单个用户、单个文件。

(4)涉密系统应当采用强制访问控制。

(5)应根据信息密级和重要性划分系统安全域。同一安全域可根据信息密级和重要性再进一步划分。不同安全域需要互连互通时,应当采用安全保密设备进行边界防护。

(6)应当保证访问控制规则设置的安全。只有安全保密管理员有关设置或修改规则,对访问控制规则的每一次操作都应有审计记录,访问控制规则应当有备份。

3.被动攻击:攻击者只是观察和分析观察和分析某个协议数据单元,试图窃听或监听数据流,而不篡改信息资源。

4.1、提高系统的高可用性和灾难可恢复性，在数据库系统崩溃的时候，没有数据库备份就没法找到数据。2、使用数据库备份还原数据库是数据库系统崩溃时提供数据恢复最小代价的最优方案，如果让客户重新填报数据，代价那就太大了。3、没有数据就没有一切，数据库备份就是一种防范灾难于未然的强力手段，没有了数据，应用再花哨也是镜中花水中月。

数据库定时备份计划

1、每天的某个固定的时刻(如夜晚01:00:00，时间可自主设定)对数据库进行一次“完全备份”。

2、每天的某个时段（如0:00:00至23:59:59内）对数据库的事务日志进行“差异备份”。

3、每天保留最近两天的数据库和事务日志的备份(即:前一天的和前两天的)，删除久于两天前的所有数据库和事务日志的备份。

5.蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于

DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。

五，应用题

1.（1）取两个随机大素数p和q（保密）。

（2）计算公开的模数r=pq(公开)。

（3）计算秘密的欧拉函数=（p-1）(q-1)（保密），丢弃两个素数p和q。

（4）随机选取整数e，满足gcd(e，)=1(公开e，加密密钥)。

（5）计算d，满足de≡1(mod)(保密d，解密密钥，陷门信息)

（6）将明文x（其值的范围在0到r-1之间）按模为r自乘e次幂以完成加密操作，从而产生密文y（其值也在0到r-1范围内）

y=xe (mod r)

（7）将密文y按模为r自乘d次幂，完成解密操作

x=yd (mod r)

下面用一个简单的例子来说明RSA公开密钥密码算法的工作原理。