信息安全概论试题

1.简述信息安全技术体系。

答:核心基础安全技术(包括密码技术、信息隐藏技术),安全基础设施技术(包括标识与认证技术、授权与访问控制技术等),基础设施安全技术(包括主机系统安全技术、网络系统安全技术等),应用安全技术(包括网络与系统攻击技术、网络与系统安全防护与应急响应技术、安全审计与责任认定技术、恶意代码检测与防范技术、内容安全技术等),支援安全技术(包括信息安全技术框架、信息安全测评与管理技术)。

2.简述深度防御策略的三要素及建议采用的信息保障原则。

答:深度防御策略的三要素:人员、技术与操作。

五个保障原则如下:在多个位置进行保护、进行多层防御、明确安全健壮性要求、部署密钥管理基础设施或公钥基础设施、部署入侵检测系统。

3.简述信息保障的4个框架域与信息安全工程(ISSE)的5个阶段。

答:信息保障的四个框架域:保护网络与基础设施、保护区域边界与外部连接、保护计算机环境与支持性基础设施

信息安全工程(ISSE)的5个阶段:发掘信息保护需求、定义信息保护系统、设计信息保护系统、实施信息保护系统、评估信息保护的有效性。

4.简述并分析X、509三向认证协议。

答:通信双方A与B通过离线服务器或直接交换认证等方式,得到彼此的公钥证书。具体认证过程如下:

(1)发送方A向接受方B发送{ID

A , S

A

(t

AB

, n

AB

, ID

B

,[E

B

(K

AB

)])},即发送A与B的

身份,A对发送消息的签名{ID

A , S

A

(t

AB

, n

AB

, ID

B

,[E

B

(K

AB

)])},并用B的公钥对

会话秘钥{ID

A , S

A

(t

AB

, n

AB

, ID

B

,[E

B

(K

AB

)])}加密。B收到后,验证A的签名,检

查时间戳,得到应答所需的n

AB

。

(2)B向A发送S

BA (t

BA

, n

BA

, ID

A

, n

AB

,[E

A

(K

BA

)])。A收到后,验证B的签名,检查时

间戳。

(3)A向B发送S

A (ID

B

, n

BA

)。

5.简述PKI的组成及提供的安全服务。

答:PKI的组成:认证与注册机构、证书管理、密钥管理、非否认服务、系统间的认证、客户端软件。

安全服务:身份认证、数字签名、数据加密、建立安全信道等。

6.分析不同类型的访问控制策略与特点。

答:主要包括自主访问控制策略、强制访问控制策略、基于角色的访问控制策略与基于属性的访问控制策略。

自主访问控制策略允许信息的所有者按照自己的意愿指定可以访问该信道课客体的主体及访问方式,但不适合一些高安全要求的环境。强制访问控制策略对授权进行了更集中的管理,根据分配给主体与客体的安全属性统一进行授权管理。在基于角色的访问控制策略下,用户对客体的访问授权决策取决于用户在组织中的角色,拥有相应角色的用户自动获得相关的权限。

7.简述PMI技术。

答:PMI就是一个由属性证书、属性权威机构、属性证书库等部件组成的综合系统,用来实现权限与证书的产生、管理、存储、分发与撤销等功能。PMI使用属性证书表示与容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属于证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用与验证的过程。

8.简述网络攻击的一般过程与缓冲区的三个步骤。

答:网络攻击一般分为四个阶段:网络与系统调查阶段、渗透于破坏阶段、控制与维持阶段、退出与清理阶段。

缓冲区攻击的三个步骤:放入预先安排的代码、发现并利用缓冲区溢出、执行预先安排的代码。

9.分析四类拒绝服务攻击技术。

答:拒绝服务攻击就是指攻击者通过发送大量的服务或操作请求,致使服务程序出现难以正常运行的情况。

(1)利用系统漏洞的拒绝服务攻击利用在设计、实现或配置上的漏洞,攻击者发

送特点的网络包使服务停止或进入不正常状态。

(2)利用网络协议的拒绝服务攻击发送大量网络连接请求或虚假的广播询问包,

引起网络通信的拥塞。

(3)利用大量合理的服务请求攻击系统,包括网页下载,服务登录、文件上传等,

占用被攻击方的带宽与计算能力。

(4)分布式拒绝服务攻击使用多台计算机对统一目标实施前述的各种拒绝服务

攻击,使攻击在资源上占据了巨大的优势。

10.简述防火墙的目的与分类。

答:防火墙就是一个网络安全设备或多个硬件设备与相应软件组成的系统,位于不可信的外部网络与被保护的内部网路之间,目的就是保护内部网络不遭受来自外部网络的攻击与执行规定的访问控制策略。

分为四类:包过滤防火墙、代理网关、包检查性防火墙与混合型防火墙。11.分析入侵检测系统(IDS)的三类分析检测方法。

答:分析检测方法就是指根据已有的知识判断网络与系统就是否遭受攻击及遭受何种攻击的方法。

(1)误用检测

它基于以下事实:程序或用户的攻击行为存在特点的模式。首先建立各类入侵的行为模式,对她们进行标识或编码,建立模式库:在运行中,误用检测方法对来自数据源的数据进行分析检测,检查就是否存在已知的误用模式。误用模式的缺陷就是只能检测已知的攻击。

(2)异常检测

它基于以下事实:无论就是程序还就是系统用户的行为,各自在表现上均存在一些特性。通过对系统异常行为的检测发现攻击的存在,甚至识别相应的攻击。关键在于建立NUP及利用NUP对当前系统或用户行为进行比较,判断出与正常模式的偏离程度。它的优点就是检测未知的攻击,缺点就是需要不断调整与更新NUP(正常使用描述),并考略检测构造的可扩展性与方便性。

(3)其她检测

如生物免疫IDS,一个特定程序的系统调用序列就是比较稳定的,使用这一序列识别自身或外来的操作能够获得抵御入侵检测能力。

12.简述蜜罐技术。

答:蜜罐技术就是指一类对攻击、攻击者信息的收集技术,而蜜罐就是完成这类收集的设备或系统,它通过诱使攻击者入侵蜜罐系统搜集、分析相关的信息。蜜罐技术就是网络陷阱与诱捕技术的代表。