信息系统安全概论
信息安全概论期末测试题及答案
一、单选题1、PDRR模型中的D代表的含义是( )。
A.检测B.响应C.关系D.安全正确答案:A2、信息的可用性指()。
A.信息系统能够及时和正确地提供服务B.信息系统有电C.信息系统本身没有病毒D.信息系统可以对抗自然灾害正确答案:A3、信息系统的完整性指()。
A.信息没有被非法修改B.信息系统不缺少零件C.信息是机密的内容D.信息的生产者不能否认信息的生产正确答案:A4、下列关于DES算法描述错误的是()。
A. DES算法的密钥是64bitB.DES算法的密钥是56bitC.DES算法的加密的明文是64bitD.DES算法的生产的密文是64bit正确答案:A5、关于网络蠕虫,下列说法错误的是()。
A. 网络蠕虫可以感染任何设备B.网络蠕虫的传播通常需要依赖计算机漏洞C. 网络蠕虫可能堵塞网络D.网络蠕虫可以感染很多联网计算机,并能把它们作为新的感染源正确答案:A6、关于信息的机密性的描述,错误的是( )。
A.信息的机密性只能通过加密算法实现B. 信息的机密性可以通过使用加密算法实现C.信息的机密性可以通过访问控制实现D.信息的机密性可以通过信息隐藏实现正确答案:A7、PDRR模型中的P代表的含义是( )。
A.检测B.响应C.保护D.安全正确答案:C8、下列选项中,关于AES描述错误的是( )A.AES是加密算法B.AES主要用途是做数字签名C..AES的密钥长度通常是128bit,明文数据通常是128bitD.AES是美国政府的加密标准正确答案:B9、数字签名的描述,错误的是( )A.数字签名可以用作信息的非否认性保护B.数字签名中通常应用散列函数C.数字签名中通常需要非对称密码学D.数字签名主要用于信息保密正确答案:D10、互联网电子邮件服务提供者对用户的()没有保密的义务。
A.个人注册信息B.用户的电子邮件地址C.用户的来往电子邮件的内容D.用户通讯录中的联系人正确答案:B11、计算机病毒是一种破坏计算机功能或者毁坏计算机中所存储数据的()A.程序代码B.微生物病菌C.计算机专家D.黑客正确答案:A12、通常意义上的网络黑客是指通过互联网利用非正常手段A.上网的人B.入侵他人计算机系统的人C.在网络上行骗的人。
信息安全概论课后答案
四45五3六57十4十一34十二47没做“信息安全理论与技术"习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non—repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求.可用性(Availability)是指保障信息资源随时可提供服务的特性.即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识.除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学.信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等.3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践.它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据.安全技术的研究成果直接为平台安全防护和检测提供技术依据.平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
信息安全概论(PDF)
第三章公钥密码技术第三章 公钥密码技术11.公钥密码概述2.公钥密码学的理论基础3.公钥密码算法4.密钥交换5.公钥密码算法的应用公钥密码体制的发现是密码学发展史上的一次革命–替代和置换vs 单向陷门函数–单钥vs 双钥–保密通信vs 保密通信、密钥分配、数字签名和认证动机–密钥分配问题–数字签名问题起源-1976年,W. Diffie和M. E. Hellman发表论文“New Directions in Cryptography”非对称–公钥:公开–私钥:保密功能–保密通信、密钥分配、数字签名和认证公钥可以公开传播;运算速度较慢公钥密码体制的基本思想两个密钥中任何一个都可以用作加密,而另一个用作解密已知公钥计算私钥计算困难,已知私钥计算公钥相对容易 已知公钥和密文,私钥未知情况下计算明文困难公钥密码的一般过程 系统初始化阶段公钥密码的一般过程(Cont.) 保密通信阶段1.公钥密码概述2.公钥密码学的理论基础3.公钥密码算法4.密钥交换5.公钥密码算法的应用第三章 公钥密码技术2计算复杂度与公钥密码计算复杂度-时间复杂度-空间复杂度P问题和NP完全问题-P类问题:多项式时间可判定-NP类问题:非确定性程序在多项式时间内判定 密码与计算复杂度的关系-一些NP完全问题可作为密码设计的基础单向陷门函数一个单向陷门函数()f X 要满足下面的条件:它将一个定义域映射到一个值域,使得每一个函数值都有一个唯一的原象;同时,函数值计算很容易而逆计算是困难的,但是如果知道某个陷门t 后,逆计算是容易的。
即 ()Y f X = 容易1()X f Y −= 困难知道陷门t 后,1()t X f Y −= 容易单向陷门函数的数学问题 分解整数问题-大整数的素分解问题:RSA离散对数问题-有限域上的离散对数问题:ElGamal-椭圆曲线上的离散对数问题:ECC 背包问题1.公钥密码概述2.公钥密码学的理论基础3.公钥密码算法4.密钥交换5.公钥密码算法的应用第三章 公钥密码技术3公开密钥算法公钥算法的种类很多,具有代表性的三种密码:基于离散对数难题(DLP)的算法体制,例如Diffie-Hellman 密钥交换算法;基于整数分解难题(IFP)的算法体制,例如RSA算法;基于椭圆曲线离散对数难题(ECDLP)的算法体制;RSA算法MIT的Ron Rivest, Adi Shamir和Len Adleman于1977年研制,并于1978年首次发表分组密码理论基础:Euler定理安全性基于分解大整数的困难性应用最广泛的公钥密码算法基本的数论知识基本的数论知识(Cont.)定理3.5:若n>=1,gcd(x,n)=1,则存在c使得。
信息安全概论复习资料
1、信息安全的概念,信息安全理念的三个阶段(信息保护-5特性,信息保障-PDRR,综合应用-PDRR+管理)概念:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
三个阶段:(1)信息保护阶段:信息安全的基本目标应该是保护信息的性、完整性、可用性、可控性和不可抵赖性。
(2)信息综合保障阶段--PDRR模型保护(Protect)、检测(Detect)、响应(React)、恢复(Restore)(3)信息安全整体解决方案:在PDRR技术保障模型的前提下,综合信息安全管理措施,实施立体化的信息安全防护。
即整体解决方案=PDRR模型+ 安全管理。
2、ISC2的五重保护体系,信息安全体系-三个方面,信息安全技术体系国际信息系统安全认证组织(International Information Systems Security Certification Consortium,简称ISC2)将信息安全划分为5重屏障共10大领域。
(1).物理屏障层(2).技术屏障层(3).管理屏障层(4).法律屏障层(5).心理屏障层信息安全体系-三个方面:信息安全技术体系、信息安全组织机构体系、信息安全管理体系信息安全技术体系:划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。
1)物理安全技术(物理层安全)。
该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。
2)系统安全技术(操作系统的安全性)。
该层次的安全问题来自网络使用的操作系统的安全,主要表现在三个方面:一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
3)网络安全技术(网络层安全)。
主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
信息安全概论信息安全简介
目录
Contents Page
1. 信息安全地发展历史 2. 信息安全地概念与目地 3. 安全威胁与技术防护知识体系 4. 信息安全中地非技术因素
第一章 信息安全
简介
本章主要内容
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
第一章
信息安全
简介
1.3.3 数据地安全威胁 数据是网络信息系统地核心。计算机系统及其网
络如果离开了数据, 就像失去了灵魂地躯壳, 是没有价 值地。
无论是上面提到地敌手对计算机系统地攻击还是 对网络系统地攻击, 其目地无非是针对上面承载地信 息而来地。
这些攻击对数据而言, 实际上有三个目地: 截获秘 密数据, 伪造数据或在上述攻击不能奏效地情况下, 破 坏数据地可用性。
第一章 信息安全
简介
1. 信息安全地发展历史
1.
通信保密科学地诞生
文献记载地最早有实用价值地通信保密技术是大 约公元前1世纪古罗马帝国时期地Caesar密码。
1568年L . B a t t i s t a 发 明 了 多 表代 替 密码 , 并在美国 南北战争期间由联军使用,Vigenere密码与Beaufort密 码就是多表代替密码地典型例子。
安全目地通常被描述为"允许谁用何种方式使用 系统中地哪种资源""不允许谁用何种方式使用系统中 地哪种资源"或事务实现中"各参与者地行为规则是什 么"等。
第一章
信息安全
简介
安全目地可以分成数据安全,事务安全,系统安全(包括网络 系统与计算机系统安全)三类。数据安全主要涉及数据地机密性 与完整性;事务安全主要涉及身份识别,抗抵赖等多方计算安全;系 统安全主要涉及身份识别,访问控制及可用性。
南开24年秋季《信息安全概论》作业参考三
24秋学期《信息安全概论》作业参考
1.PKI系统的核心是什么?
选项A:CA服务器
选项B:RA服务器
选项C:安全服务器
选项D:数据库服务器
参考答案:A
2.AES算法正式公布于哪一年
选项A:1982
选项B:1992
选项C:2002
选项D:2012
参考答案:B
3.在计算机系统中可以用做口令的字符有多少个?
选项A:75
选项B:85
选项C:95
选项D:105
参考答案:C
4.以下哪项是公开密钥密码算法?
选项A:DES
选项B:AES
选项C:RC5
选项D:RSA
参考答案:D
5.《计算机信息系统安全保护等级划分准则》将信息系统划分为几个等级?
选项A:1
选项B:3
选项C:5
选项D:7
参考答案:C
6.Windows系统的SAM数据库保存什么信息?
选项A:账号和口令
选项B:时间
选项C:日期
选项D:应用程序
参考答案:A
7.在CC标准中,要求按照严格的商业化开发惯例,应用专业级安全工程技术及
思想,提供高等级的独立安全保证的安全可信度级别为
选项A:EAL1
选项B:EAL3
选项C:EAL5
选项D:EAL7
参考答案:C
8.在面向变换域的数字水印算法中,DCT算法是一种
选项A:离散傅里叶变换算法
选项B:离散余弦变换算法
选项C:离散小波变换算法
选项D:最低有效位变换算法
参考答案:B
9.CIH病毒是一种
选项A:传统病毒
选项B:蠕虫病毒
选项C:木马
选项D:网络钓鱼软件。
信息安全概论复习资料
1、信息安全的概念,信息安全理念的三个阶段(信息保护 -5 特性,信息保障-PDRR ,综合应用 -PDRR+ 管理)概念:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
三个阶段:(1)信息保护阶段:信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性。
(2)信息综合保障阶段 --PDRR 模型保护(Protect )、检测( Detect )、响应(React )、恢复(Restore )(3)信息安全整体解决方案:在PDRR 技术保障模型的前提下,综合信息安全管理措施,实施立体化的信息安全防护。
即整体解决方案=PDRR 模型+ 安全管理。
2、ISC2 的五重保护体系,信息安全体系-三个方面,信息安全技术体系国际信息系统安全认证组织( International Information Systems Security Certification Consortium,简称 ISC2)将信息安全划分为 5 重屏障共 10 大领域。
(1).物理屏障层(2).技术屏障层(3).管理屏障层(4).法律屏障层(5).心理屏障层信息安全体系 -三个方面:信息安全技术体系、信息安全组织机构体系、信息安全管理体系信息安全技术体系:划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。
1)物理安全技术(物理层安全)。
该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。
2)系统安全技术(操作系统的安全性)。
该层次的安全问题来自网络内使用的操作系统的安全,主要表现在三个方面:一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
3)网络安全技术(网络层安全)。
主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
信息系统安全概论
信息系统安全概论第⼀章定义1.2由⼀套应⽤软件及⽀撑其运⾏的所有硬件和软件构成的整体称为⼀个信息系统。
定义1.3如果信息系统A的某些功能需要由主机系统H实施,则称信息系统A 依赖主机系统H,或称主机系统H承载信息系统A。
引理1.1承载任何⼀个信息系统所需要的主机系统数量是有限的。
定义1.4如果信息系统A的某些功能需要由⽹络设施D实施,则称信息系统A 依赖⽹络设施D,或称⽹络设施D承载信息系统A。
定理1.1任何⼀个信息系统都只需要由有限数量的主机系统和有限数量的⽹络设施承载。
信息安全经典要素CIA:※机密性是指防⽌私密的或机密的信息泄露给⾮授权的实体的属性。
完整性分为数据完整性和系统完整性,数据完整性指确保数据(包括软件代码)只能按照授权的指定⽅式进⾏修改的属性,系统完整性指系统没有受到未经授权的操控进⽽完好⽆损的执⾏预定功能的属性。
可⽤性是指确保系统及时⼯作并向授权⽤户提供所需服务的属性。
信息系统基本概念:安全策略是指规定⼀个组织为达到安全⽬标如何管理、保护和发布信息资源的法律、规章和条例的集合。
安全策略是指为达到⼀组安全⽬标⽽设计的规则的集合。
安全策略是指关于允许什么和禁⽌什么的规定。
安全模型是指拟由系统实施的安全策略的形式化表⽰。
安全模型是指⽤更加形式化的或数学化的术语对安全策略的重新表述。
安全机制是指实现安全功能的逻辑或算法。
安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。
安全机制是指实施安全策略的⽅法、⼯具或规程。
安全机制设计⼋⼤原则①经济性原则②默认拒绝原则③完全仲裁原则④开放设计原则⑤特权分离原则⑥最⼩特权原则⑦最少公共机制原则⑧⼼理可接受原则第⼆章※※※贝- 拉模型的构成贝- 拉模型的核⼼内容由简单安全特性(ss- 特性)、星号安全特性(*-特性)、⾃主安全特性(ds-特性)和⼀个基本安全定理构成。
(基本安全定理)如果系统状态的每⼀次变化都满⾜ss- 特性、*- 特性和ds- 特性的要求,那么,在系统的整个状态变化过程中,系统的安全性⼀定不会被破坏。
信息安全概论试题及答案(2024年继续教育)
信息安全概论一、单选题1.在以下人为的恶意攻击行为中,属于主动攻击的是(A)。
A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问2.数据完整性指的是(C)。
A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.提供连接实体身份的鉴别C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致D.确保数据数据是由合法实体发出的3.以下算法中属于非对称算法的是(B)。
A.DESB.RSA算法C.IDEAD.三重DES4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(B)。
A.非对称算法的公钥B.对称算法的密钥C.非对称算法的私钥D.CA中心的公钥5.以下不属于代理服务技术优点的是(D)。
A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据泄密6.包过滤技术与代理服务技术相比较(B)。
A.包过滤技术安全性较弱、但会对网络性能产生明显影响B.包过滤技术对应用和用户是绝对透明的C.代理服务技术安全性较高、但不会对网络性能产生明显影响D.代理服务技术安全性高,对应用和用户透明度也很高7."DES是一种数据分组的加密算法,DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?”(B)。
A.56位B.64位C.112位D.128位8.黑客利用IP地址进行攻击的方法有:(A)。
A.IP欺骗B.解密C.窃取口令D.发送病毒9.防止用户被冒名所欺骗的方法是:(A)。
A.对信息源发方进行身份验证B.进行数据加密C.对访问网络的流量进行过滤和保护D.采用防火墙10.屏蔽路由器型防火墙采用的技术是基于:(B)。
A.数据包过滤技术B.应用网关技术C.代理服务技术D.三种技术的结合11.SSL指的是:(B)。
A.加密认证协议B.安全套接层协议C.授权认证协议D.安全通道协议12.CA指的是:(A)Certificate AuthorityA.证书授权B.加密认证C.虚拟专用网D.安全套接层13.以下关于计算机病毒的特征说法正确的是:(C)。
信息系统安全概论第二版pdf
信息系统安全概论第二版pdf中国信息系统安全概论第二版(ISSM)是中国著名的信息系统安全学习参考书。
它涵盖了信息系统安全的基础理论,安全原则和技术设计,以及有关的安全实施、评估与运维等内容,是面向信息系统安全理论学习者和实践者的经典著作。
一、信息系统安全概述1、信息系统安全的定义及涵义:信息系统安全是在衡量和评估各种信息系统风险后,采取技术手段和管理措施,保障信息和系统安全,避免或者降低信息风险及关联影响的一种安全保障活动。
2、信息系统安全的常见方向:信息系统安全可以用多种方式实施,包括安全策略与管理规范的制定与实施,加密及访问控制技术的应用,安全认证与审计技术的应用,灾难恢复和安全审核的执行,攻击发现及防御技术的实施,以及综合安全建设的推进。
二、信息系统安全的管理体系1、确定安全策略:信息系统安全的管理应遵循预防、发现和修复的原则,建立有序的信息系统安全规划、实施和改进,构建完整有效的安全策略体系。
2、实施安全控制:采用适当的技术手段,实现安全的综合管控,如访问控制、身份认证、加密技术、安全审计等,以及制定适当的策略,实现安全的控制目标。
3、推行安全评估:定期对信息系统和相关安全控制进行评估,确定安全运行状态,了解安全风险,根据需要及时采取有效措施,保障信息系统安全。
三、信息系统安全实施1、安全技术部署:实施安全技术,建立安全控制环境,完善安全应用,撰写和更新安全方案,并实施安全的实践管理。
2、安全控制部署:实施安全策略和控制,制定角色授权和访问控制策略,构建访问控制系统,实施用户认证和访问控制,对网络设备进行安全调整等。
3、安全维护和管理:定期监控安全系统,持续进行安全漏洞评估,更新安全策略,提出加强安全管理措施,建立灾难应急机制,把握安全风险状况,进行安全维护和管理。
四、信息系统安全审计1、安全审计原则:采用有效的信息系统审计,落实安全控制标准,并就实施状况进行评估,确保信息系统安全具有有效性和准确性。
《信息安全概论》课后习题及答案
信息安全概论课后习题及答案第一章:1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。
答:略。
2、什么是信息安全?答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。
3、什么是P2DR2动态安全模型?答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。
4、信息系统的安全威胁有哪些?答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。
5、信息安全实现需要什么样的策略?答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。
实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。
6、信息安全的发展可以分为哪几个阶段?答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。
《信息安全概论》课后习题及答案
信息安全概论课后习题及答案第一章:1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。
答:略。
2、什么是信息安全?答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。
3、什么是P2DR2动态安全模型?答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。
4、信息系统的安全威胁有哪些?答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。
5、信息安全实现需要什么样的策略?答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。
实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。
6、信息安全的发展可以分为哪几个阶段?答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。
信息安全概论习题答案
信息安全概论习题参考答案第1章概论1.什么是信息技术?答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。
本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。
也有人认为信息技术简单地说就是3C:Computer+Communication+Control。
2.信息安全的基本属性主要表现在哪几个方面?答:(1)完整性(Integrity)(2)保密性(Confidentiality)(3)可用性(Availability)(4)不可否认性(Non-repudiation)(5)可控性(Controllability)3.信息安全的威胁主要有哪些?答:(1)信息泄露(2)破坏信息的完整性(3)拒绝服务(4)非法使用(非授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制(9)授权侵犯(10)特洛伊木马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)人员不慎(16)媒体废弃(17)物理侵入(18)窃取(19)业务欺骗等第2章信息保密技术1.密码学发展分为哪几个阶段?各自的特点是什么?答:第一个阶段:从几千年前到1949年。
古典加密计算机技术出现之前密码学作为一种技艺而不是一门科学第二个阶段:从1949年到1975年。
标志:Shannon发表“CommunicationTheoryofSecrecy System”密码学进入了科学的轨道主要技术:单密钥的对称密钥加密算法第三个阶段:1976年以后标志:Diffie,Hellman发表了“New Directions of Crypto graphy”开创了公钥密码学的新纪元。
2.设计分组密码的主要指导原则是什么?实现的手段主要是什么?答:a.为了保证密码的安全性,Shannon提出的混乱原则和扩散原则。
信息安全概论复习资料
缺少图,大家可在文档留白处补全。
祝大家取得好成绩第一章概述1.信息:钟义信在《信息科学原理》总定义为:事物运动的状态和状态变化的方式。
2.和信息相关的概念:信息不同于消息,消息是信息的外壳,信息则是消息的内核。
也可以说:消息是信息的笼统概念,信息则是消息的精确概念。
信息不同于数据,数据是记录信息的一种形式,同样的信息也可以用文字或图像来表述。
信息不同于情报,情报通常是指秘密的、专门的、新颖的一种一类信息,可以说所有的情报都是信息,但不能说所有的信息都是情报。
信息不同于知识,知识是由信息抽象出来的产物,是一种具有普遍和概括性的信息,是信息的一个特殊的子集。
3.信息的性质:普遍性(客观性)、无限性、相对性、传递性、变换性、有序性、动态性、时效性、转化性、共享性、层次性、相对性、可伪性4.从信息的性质出发可将信息分为:语法信息、语义信息、语用信息。
5.信息技术最主要的技术特征3C:computer(计算机)、communication(通信)、control(控制)6.信息安全的基本属性:完整性、保密性、可用性、不可否认性、可控性7.一个完整的信息安全系统至少包含3类措施:技术方面的安全措施,管理方面的安全措施、相应的政策法律。
第二章信息保密技术1.替代:又称代换,明文中的每个元素被映射为另一个元素。
置换:明文中的元素被重新排列,不丢失信息。
2.单表代换密码的著名移位密码:凯撒密码(*P24例题)3.对称密码体制:如果一个加密系统的加密密钥和解密密钥相同,或虽然不同,但是由其中的任意一个可以很容易的推导出另一个,即密钥是双方共享的,则该系统所采用的就是对称密码体制。
公钥密码体制:即非对称密码体制,一个加密系统的加密密钥和解密密钥是不一样的,或者说不能由一个推导出另一个。
其中一个称为公钥用于加密,是公开的,另一个称为私钥用于解密,是保密的。
4.RSA公钥密码算法(1)公钥(2)私钥(3)加密交换(4)解密交换5.电子信封技术对称密码:加、解密速度快,但密钥分发比较困难非对称密码:加、解密速度快,但密钥分发问题易于解决第三章1.认证的目的:验证信息的发送者是合法的,而不是冒充的,即实体认证,包括信源、信宿的认证和识别;验证消息的完整性,验证数据在传输和存储过程中是否被篡改、重放或延迟等。
《信息安全概论》
第1讲 信息安全概论
整理ppt16
物理威胁
1、偷窃
网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。
2、废物搜寻 从废弃的打印材料或的软盘中搜寻所需要的信息。
3、间谍行为
省钱或获取有价值的机密、采用不道德的手段获取信息。
主动攻击: 修改数据流或创建一些虚假数据流。常采用数据加 密技术和适当的身份鉴别技术。
第1讲 信息安全概论
整理ppt13
网络安全攻击
❖截获 • 以保密性作为攻击目标,表现为非授权用户通过 某种手段获得对系统资源的访问,如搭线窃听、 非法拷贝等。
❖中断 • 以可用性作为攻击目标,表现为毁坏系统资源, 切断通信线路等。
“安全是相对的,不安全才是绝对的”
第1讲 信息安全概论
整理ppt23
信源、信宿、信息之间的关系
H.否认信息
C.非法认证
G.非法信息
1.产生
信源
2.互相信任 3.传递信息
信宿
D.窃听信息
E.修改信息
信息
B.破坏信源
F.窃听传递情况
A.非法访问
第1讲 信息安全概论
整理ppt24
§1.6 信息安全的目标
网络安全物理基础 操作系统:Unix/Linux/Windows 网络协议:TCP/IP/UDP/SMTP/POP/FTP/HTTP
第1讲 信息安全概论
整理ppt31
攻击技术
1、网络监听:自己不主动去攻击别人,在计算机上设置 一个程序去监听目标计算机与其他计算机通信的数据。
2、网络扫描:利用程序去扫描目标计算机开放的端口等, 目的是发现漏洞,为入侵该计算机做准备。
信息安全概论实验一(修改)
实验一网络信息检测实验(使用Sniffer工具嗅探)一、实验目的通过使用Sniffer Pro软件掌握sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP 等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。
并且,通过实验了解FTP、HTTP等协议明文传输的特性,以建立安全意识,防止FTP、HTTP等协议由于传输明文密码造成的泄密。
二、实验原理Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。
Sniffer主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。
通常每个网络接口都有一个互不相同的硬件地址(MAC),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。
一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,而丢弃不是发给自己的数据帧。
而通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。
在这种模式下,网络接口就处于一个对网络进行“监听”的状态,而它可以监听此网络中传输的所有数据帧,而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。
它将对遭遇的每一个数据帧产生硬件中断,交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。
当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。
所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧,就是说和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备。
因此,当Sniffer工作在由集线器(HUB)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。
信息安全系统概论-访问控制
信息安全概论-访问控制什么是访问控制Access Control主体(subject):访问的发起者发起者是试图访问某个目标的用户或者是用户行为的代理。
必须控制它对客体的访问。
主体通常为进程,程序或用户。
客体(Object):接收其他实体访问的被动实体。
可供访问的各种软硬件资源。
控制策略主体对客体的访问规则集,这个规则集直接定义了主体可以的作用行为和客体对主体的约束条件。
是主体对客体的操作行为集和约束条件集。
体现为一种授权行为。
记录谁可以访问谁。
访问控制策略任何访问控制策略最终可被模型化为访问矩阵形式。
每一行:用户每一列:目标矩阵元素:相应的用户对目标的访问许可。
访问控制关系图多级信息安全系统将敏感信息与通常资源分开隔离的系统。
通常存在两种有层次安全级别。
目标按敏感性划分为不同密级:绝密top secret、秘密secret、机密confidential、限制restricted、无密级unclassified。
无层次安全级别。
访问控制过程首先对合法用户进行验证。
(认证)然后对选用控制策略。
(控制策略的具体实现)最后对非法用户或越权操作进行审计。
(审计)认证包括主体对客体的识别认证与客体对主体的检验认证。
身份认证。
控制策略具体实现规则集设定方法。
允许授权用户、限制非法用户。
保护敏感信息。
禁止越权访问。
审计操作日志。
记录用户对系统的关键操作。
威慑。
访问控制在安全操作系统领域中,访问控制一般都涉及自主访问控制(Discretionary Access Control,DAC)强制访问控制(Mandatory Access Control,MAC)两种形式安全模型安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和它的实现机制之间的关联提供了一种框架。
安全模型描述了对某个安全策略需要用哪种机制来满足;而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特定安全策略所需的安全保护。
信息安全概论第2章 信息安全体系结构
操作系统安全是计算机系统安全的关键。操作系统通过为应用 程序提供执行环境,并为用户提供基本的系统服务,从而支撑用户 信息的存储、处理和通信。操作系统一般由系统内核和外壳组成, 内核实现操作系统最主要、基本的功能,而外壳主要为用户管理和 交互提供可视化的图形界面。操作系统的安全是通过身份识别、访 问控制、完整性控制与检查、病毒防护、安全审计等机制的综合使 用,为用户提供可信的软件计算环境。
信息隐藏则是把一则信息隐藏到看似与之无关的消息(如图像 文件)中,以便蒙蔽敌手,通常也要和密码技术结合才能保证不被 敌手发现。
通信量填充和信息隐藏是一组对偶的机制,前者发送有“形式” 无“内容”的消息,而后者发送有“内容”无“形式”的消息。
2.2.7 路由控制
路由控制是对信息的流经路径的选择,为一些重要信息指定路 径。这种路由可以是预先安排的或者作为恢复的一种方式而由端系 统动态指定。
2.1.4 应用平台安全体系
通过实现通用事务的安全协议组件,以及提供特殊事务安全所 需要的框架和安全运算支撑,从而推动在不同应用中采用同样的安 全技术。通过这种重用精选的、成熟的安全模块最终保证应用安全 系统的安全。
目前,通过国际标准化组织的努力,提出了若干体系结构方面 的标准。比较有影响的是国际标准化组织(ISO)的开放系统互连 (OSI)安全体系结构(ISO 7498-2)、高层安全模型(ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构IPSec和传输 层安全TLS等。
公钥密码也称为非对称密码,其特征是从加密密钥无法算出脱 密密钥,或者从脱密密钥无法算出加密密钥。因此,公开其中之一 不会影响到另一个的保密性。通常把公开的那个密钥称为“公开密 钥(或公钥)”,而把自己保存的密钥称为“私有密钥(或私 钥)”。这种密码体制不要求加密和脱密双方的相互信赖。目前用 得比较多的公钥加密算法有RSA(Rivest、Shamir、Adleman 1976 年提出)算法、ECC(椭圆曲线密码)算法等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章定义1.2由一套应用软件及支撑其运行的所有硬件和软件构成的整体称为一个信息系统。
定义1.3如果信息系统A的某些功能需要由主机系统H实施,则称信息系统A 依赖主机系统H,或称主机系统H承载信息系统A。
• 引理1.1承载任何一个信息系统所需要的主机系统数量是有限的。
定义1.4如果信息系统A的某些功能需要由网络设施D实施,则称信息系统A 依赖网络设施D,或称网络设施D承载信息系统A。
• 定理1.1任何一个信息系统都只需要由有限数量的主机系统和有限数量的网络设施承载。
信息安全经典要素CIA:※机密性是指防止私密的或机密的信息泄露给非授权的实体的属性。
完整性分为数据完整性和系统完整性,数据完整性指确保数据(包括软件代码)只能按照授权的指定方式进行修改的属性,系统完整性指系统没有受到未经授权的操控进而完好无损的执行预定功能的属性。
可用性是指确保系统及时工作并向授权用户提供所需服务的属性。
信息系统基本概念:安全策略是指规定一个组织为达到安全目标如何管理、保护和发布信息资源的法律、规章和条例的集合。
安全策略是指为达到一组安全目标而设计的规则的集合。
安全策略是指关于允许什么和禁止什么的规定。
安全模型是指拟由系统实施的安全策略的形式化表示。
安全模型是指用更加形式化的或数学化的术语对安全策略的重新表述。
安全机制是指实现安全功能的逻辑或算法。
安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。
安全机制是指实施安全策略的方法、工具或规程。
安全机制设计八大原则①经济性原则②默认拒绝原则③完全仲裁原则④开放设计原则⑤特权分离原则⑥最小特权原则⑦最少公共机制原则⑧心理可接受原则第二章※※※贝- 拉模型的构成贝- 拉模型的核心内容由简单安全特性(ss- 特性)、星号安全特性(*-特性)、自主安全特性(ds-特性)和一个基本安全定理构成。
(基本安全定理)如果系统状态的每一次变化都满足ss- 特性、*- 特性和ds- 特性的要求,那么,在系统的整个状态变化过程中,系统的安全性一定不会被破坏。
毕巴模型一个信息传递路径是一个客体序列O1, O 2, …, O n+1 和一个对应的主体序列S1, S 2, …, S n ,其中,对于所有的i(1≤i≤n3 ),有Si rO i 和S i wO i+1。
“ 写” 操作的实施由下面的规则①控制,“ 执行” 操作的实施由下面的规则②控制:①当且仅当i(O)≤i(S)时,主体S可以写客体O。
②当且仅当i(S 2 )≤i(S 1 )时,主体S 1可以执行主体S2。
!!!低水标模型读规则设S是任意主体,O是任意客体,imin =min(i(S),i(O)),那么,不管完整性级别如何,S都可以读O,但是,“ 读”操作实施后,主体S的完整性级别被调整为imin。
低水标模型的信息传递在毕巴低水标模型的控制下,如果系统中存在一个从客体O1 到客体O n+1的信息传递路径,那么,对于任意的n>1,必有i(O n+1 )≤i(O 1 )。
环模型读规则不管完整性级别如何,任何主体都可以读任何客体。
严格完整性读规则当且仅当i(S)≤i(O)时,主体S可以读客体O。
克拉克-威尔逊模型概念:事务、良构事务、CDI(约束数据项)、UDI(非约束数据项)、有效状态(所有的CDI都满足完整性策略要求)、IVP(完整性验证过程:验证系统是否处于有效状态的事务)、TP(转换过程:是系统从一个有效状态转换到另一个有效状态的事务)、E规则(实施规则:系统实施的规则)、C规则(证明规则:证明系统实施的规则的有效性的规则)四条E规则、5条C规则模型基本框架:规则C1、• 规则C2、• 规则E1TP可以操作所有的CDI:对职责分离原则的支持:规则E2、• 规则C3只有表中的用户才能执行相关的TP对相应的CDI进行操作,用户表示UserID,关系表格式如下:对身份认证的要求 E3 对审计的要求 C4对UDI的处理 C5 安全属性维护 E4类型实施模型TE(域-进程(主体)、类型-文件)-强制访问控制模型还存在一个域间作用表DIT(主体对主体的访问权限二维表)权限:发信号、创建进程、杀死进程TE模型的不足• 访问控制权限的配置比较复杂• 二维表结构无法反映系统的内在关系• 控制策略的定义需要从零开始域类实施模型DTEDTEL语言类型描述• 类型赋值• 域描述• 初始域设定访问权限• 域对类型:r、w、x(执行)、d(搜索)• 域对域(执行入口点程序的权限):exec、auto策略定义语言DTEL的域描述功能:定义DTE模型中的主体域、定义域的入口点、设定域对类型的访问权限、域对其它域的访问权限。
策略定义语言初始域设定语句功能:设定操作系统中第一个进程的工作域。
莫科尔树模型适用范围:设计一个算法,使得对于任意一个数据项Di(1≤i≤n ),该算法能够快速验证该数据项的完整性,并且,占用较少的内存空间。
第四章重要的身份认证技术:• 基于口令的身份认证(口令猜测攻击--字典攻击)• 质询- 响应式身份认证(随机消息—计算—返回结果)• 基于生物特征的身份认证• 基于位置的身份认证身份标识与认证单个用户:用户名-内部身份标识(整数值-操作系统生成的)用户组:组名-组标识号UNIX系统用/etc/passwd表示账户信息数据库※※※口令处理方法:口令信息管理:口令字段中保存口令的明文(直接明文)、对口令加密,保存口令的密文(直接密文)、用算法对口令进行运算,在口令字段中保存运算结果口令信息与账户信息的分离:口令信息数据库文件/etc/shadow/网络环境下的身份认证:把用户身份认证信息组织起来,集中放到服务器上,借助服务器实现身份认证信息的共享,解决用户在网络中不同主机上的身份认证问题。
网络身份认证方法的三步:身份认证信息管理:统一的身份认证框架:PAM实现服务程序与认证机制的分离,通过一个插拔式的接口,让服务器程序和认证机制分别插到接口的两端,从而实现两者的随意组合。
PAM认证系统的构成:PAM应用编程接口(API)、PAM模块(动态装载共享库)、PAM配置文件PAM模块(动态装载共享库)提供以下服务功能支持(4种):–身份认证(auth)–账户管理(account)–口令管理(password)–会话管理(session)命令控制标记:•Requisite:模块执行失败时报告失败并结束认证。
• Required:模块执行失败时报告失败但继续认证。
• Sufficient:模块执行成功时报告成功并结束认证。
• Optional:模块的执行不影响报告结果和认证过程第五章基于权限位的访问控制机制:简单访问控制权限模式描述• f(文件, 用户)权限–用户:可以是一个用户,也可以是一类用户。
–权限:读+写+执行。
• 权限←位串←字符串←数字–位串:长度为3的二进制位。
–字符串:长度为3。
–数字:1个八进制数。
对用户划分三类:属主、属组、其余类。
用户域:分别在用户划分后加上域。
基本访问控制权限模式描述• f(文件, 用户群)权限体–用户群:属主用户+属组用户+其余用户。
–权限体:属主权限+属组权限+其余权限。
–权限:读+写+执行。
• 权限体←新位串←新字符串←新数字–新位串:长度为9位的二进制位。
–新字符串:长度为9个字符。
–新数字:3个八进制数。
–例:111101001 ---- rwxr-x--x ---- 751!!!!基本访问控制判定算法任务:判断用户U可否对文件F执行a 操作(a 是r、w 或x 之一)?设:F的属主和属组分别为Uo 和G o。
1.当U等于Uo 时,如果F的左3权限位串中与a 对应的位为1,则允许U对F 执行a 操作,否则,不允许U对F执行a 操作,判定结束。
2.当Go 是U的属组时,如果F的中3权限位串中与a 对应的位为1,则允许U 对F执行a 操作,否则,不允许U对F进行a 操作,判定结束。
3.如果F的右3权限位串中与a 对应的位为1,则允许U对F执行a 操作,否则,不允许U对F进行!!!进程在系统中代表用户在工作,用户对系统的操作是由进程代实施的。
进程到文件用户域的映射• 已知:f(文件, 用户群)权限体• 亦即:f(文件, 用户域)权限• 设想:g (进程)用户域• 应有:f(文件, g (进程))权限• 所以:–只要把进程映射到文件对应的用户域中,就可以根据用户域对文件的访问权限,确定进程对文件的访问权限!!!!方案5.7—判定进程的访问权问题:进程P是否拥有对文件F的访问权限y?假设:给进程P分配用户标识和组标识Iup 和I gp,文件F的属主、属组和权限位串分别为Iuf、I gf 和S1 S 2 S 3。
1. 当Iup 等于I uf 时,检查S 1 中是否有y 权限,有则允许访问,否则,不允许访问,结束判定;2. 当Igp 等于I gf 时,检查S 2 中是否有y 权限,有则允许访问,否则,不允许访问,结束判定;3. 检查S3 中是否有y 权限,有则允许访问,否则,不允许访问。
进程的用户属性• 用户属性:用户标识(UID)+组标识(GID)• 真实用户:进程为谁工作?• 有效用户:进程拥有的权限与谁相同?• 真实用户属性:RUID+RGID• 有效用户属性:EUID+EGID• 访问判定时,进程到用户域的映射:–g (进程)->EUID+EGID进程映像!!!!!!!方案5.10—确定进程的用户属性• 用户U启动进程P时:–进程P的RUID和EUID←用户U的ID–进程P的RGID和EGID←用户U的属组ID• 进程P变身且映像文件F允许时:–进程P的EUID←文件F的属主ID(1)–进程P的EGID←文件F的属组ID(2)–(1)的条件:文件F有SETUID标记–(2)的条件:文件F有SETGID标记!!!!!!!文件的SETUID/SETGID标记的表示• 位串表示法:–ut gt s t r o w o x o r g w g x g r a w a x a–ut =1<—>SETUID;gt =1<—>SETGID• 字符串表示法:–Ro W o X o R g W g X g R a W a X a–ut =1<—>X o = “ s” ;gt =1<—>X g = “ s”• 例子:–100101001001r-s--x--x–010*********r-x--s—x基于ACL访问控制机制:(用户粒度细化)基于特权分离的访问控制机制特权集的定义• 有效的特权集E:–访问判定的依据• 许可的特权集P:–允许分配给进程的特权集合• 可继承的特权集I:–可被新进程继承的特权集合进程特权集属性的确定• 系统第一个进程:–由操作系统在初始化时设定• 新生子进程:–与父进程相同• 更新程序映像后的进程:–结合程序映像文件确定审计:系统运行足迹的分析。