计算机信息安全技术练习题

1.信息安全的CIA指的是社么？

Confidenciality 隐私性也可称为机密性，指只有授权用户可以获取信息；

Integrity 完整性，指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性；

Availability可用性，指信息的可靠度。

2.简述PPDR安全模型的构成要素及运作方式。

由安全策略、防护、检测、响应构成。PPDR模型在整体的安全策略的控制和指导下，综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的安全响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。

3.简述DES算法中S-盒的特点。S-盒是DES算法的核心，其功能是把6bit数据变为4bit数据

4.简述AES和DES的相同之处具有良好的非线性,AES的非线性运算是字节代换对应于DES中唯一非线性运算S-盒。

5.关于散列值的弱碰撞性和强碰撞性有什么区别？

给定的消息M，要找到另一消息M＇,满足H（M）=H（M＇），在计算上是不可行的，这条性质称为弱抗碰撞性。该性质是保证无法找到一个替代报文，否则就可能破坏使用哈希函数进行封装或者签名的各种协议的安全性。哈希函数的重要之处就是赋予M唯一的“指纹”。对于任意两个不同的消息M≠M，它们的散列值不可能相同，这条性质被称为强抗碰撞性。强抗碰撞性对于消息的哈希函数安全性要求更高，这条性质保证了对生日攻击的防御能力

6.什么是消息认证码？

是指使合法的接收方能够检验消息是否真实的过程。消息认证实际上是对消息产生的一个指纹信息——MAC（消息认证），消息认证码是利用密钥对待认证消息产生的新数据块，并对该数据块加密得到的。它对待保护的信息来说是唯一的，因此可以有效地保证消息的完整性，以及实现发送消息方的不可抵赖和不能伪造型。

7.比较MD5和SHA-1的抗穷举攻击能力和运算速度。

由于MD5与SHA-1均是从MD4 发展而来，它们的结构和强度等特性有很多相似之处，表（1）是对MD5与SHA-1的结构比较。SHA-1与MD5的最大区别在于其摘要比MD5摘要长32 比特。对于强行攻击，产生任何一个报文使之摘要等于给定报文摘要的难度：MD5是2128 数量级的操作，SHA-1是2160 数量级的操作。产生具有相同摘要的两个报文的难度：MD5是264 是数量级的操作，SHA-1是280 数量级的操作。因而,SHA-1对强行攻击的强度更大。但由于SHA-1的循环步骤比MD5多（80:64）且要处理的缓存大（160 比特:128 比特），SHA-1的运行速度比MD5慢。

8.列出MD5和SHA-1的基本逻辑函数。

MD5基本逻辑函数：F(X,Y,Z)=(Z∧Y)∨((乛X)∧Z)

G(X,Y,Z)=(X∧Z)∨(Y∧(乛Z))

H(X,Y,Z)=X⊙Y⊙Z

G(X,Y,Z)=Y⊙(∨(X∧(乛Z))

SHA-1基本逻辑函数：

f（X,Y,Z）

9.Woo-Lam协议一共7步，可以简化为以下五步：

S1：A->B

S2：B->KDC

S3：KDC->B

S4：B->A

S5：A->B

请给出每步中传输的信息。

10.如何有效防止端口扫描？关闭闲置和有潜在危险的端口、利用网络防火墙软件。

11.网络监听主要原理是什么？

将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收12.举例说明缓冲区溢出攻击的原理。

。例如下面程序：void function(char *str) { char buffer[16]; strcpy(buffer,str); } 上面的strcpy（）将直接把str中的内容copy到

buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。存在像strcpy

strcat（）、sprintf（）、vsprintf（）、gets（）、scanf（）等。

般只会出现分段错误（Segmentation fault）

行一个用户shell，再通过shell执行其它命令。如果该程序属于root且有suid

从而得到被攻击主机的控制权。

13.目标探测的方法有哪些？

目标探测是通过自动或人工查询的方法获得与目标网络相关的物理和逻辑参数.方法:确定目标范围;分析目标网络路由

14.如何有效防范DDoS攻击？

及早发现系统存在的漏洞，提高网络系统的安全性；

经常检查系统的物理环境，禁止不必要的网络服务；

充分利用防火墙等网络安全设备，加固网络的安全性，配置好它们的安全规则，过滤掉所有可能伪造的数据包。

15.？简述包过滤型防火墙的工作机制和包过滤类型

包过滤型防火墙的工作在OSI网络参考模型的网络层和传输层。原理在于根据数据包头源地址。目标地址、端口号、和协议类型确定是否允许通过，只要满足过滤条件的数据包才被转发到响应的目的地，其余的数据包则被从数据流丢弃。第一代静态包过滤型防火墙以及第二代动态包过滤型防火墙。

简述代理防火墙的工作原理及特点。

代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

特点：具有较强的安全性

16.屏蔽子网的防火墙系统是如何实现的？

17.状态检测防火墙的技术特点是什么？

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高

18.什么是入侵检测系统？

是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

19.简述基于主机入侵检测系统的工作原理。

基于主机的IDS的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器工作站或用户机器上运行、监听操作系统或系统事件级别的可以活动，