信息安全概论试题[骄阳教学]

1、1. 简述信息安全技术体系。答：核心基础安全技术（包括密码技术、信息隐藏技术），安全基础设施技术（包括标识与认证技术、授权与访问控制技术等），基础设施安全技术（包括主机系统安全技术、网络系统安全技术等），应用安全技术（包括网络与系统攻击技术、网络与系统安全防护与应急响应技术、安全审计与责任认定技术、恶意代码检测与防范技术、内容安全技术等），支援安全技术（包括信息安全技术框架、信息安全测评与管理技术）。2. 简述深度防御策略的三要素及建议采用的信息保障原则。答：深度防御策略的三要素：人员、技术和操作。五个保障原则如下：在多个位置进行保护、进行多层防御、明确安全健壮性要求、部署密钥管理基础设施或公

2、钥基础设施、部署入侵检测系统。3. 简述信息保障的4个框架域和信息安全工程（ISSE）的5个阶段。答：信息保障的四个框架域：保护网络与基础设施、保护区域边界和外部连接、保护计算机环境和支持性基础设施信息安全工程（ISSE）的5个阶段：发掘信息保护需求、定义信息保护系统、设计信息保护系统、实施信息保护系统、评估信息保护的有效性。4. 简述并分析X.509三向认证协议。答：通信双方A和B通过离线服务器或直接交换认证等方式，得到彼此的公钥证书。具体认证过程如下：(1) 发送方A向接受方B发送IDA, SA(tAB, nAB, IDB,EB(KAB)，即发送A和B的身份，A对发送消息的签名IDA, S

3、A(tAB, nAB, IDB,EB(KAB)，并用B的公钥对会话秘钥IDA, SA(tAB, nAB, IDB,EB(KAB)加密。B收到后，验证A的签名，检查时间戳，得到应答所需的nAB。(2) B向A发送SBA(tBA, nBA, IDA, nAB,EA(KBA)。A收到后，验证B的签名，检查时间戳。(3) A向B发送SA(IDB, nBA)。5. 简述PKI的组成及提供的安全服务。答：PKI的组成：认证和注册机构、证书管理、密钥管理、非否认服务、系统间的认证、客户端软件。安全服务：身份认证、数字签名、数据加密、建立安全信道等。6. 分析不同类型的访问控制策略与特点。答：主要包括自主访问

4、控制策略、强制访问控制策略、基于角色的访问控制策略和基于属性的访问控制策略。自主访问控制策略允许信息的所有者按照自己的意愿指定可以访问该信道课客体的主体及访问方式，但不适合一些高安全要求的环境。强制访问控制策略对授权进行了更集中的管理，根据分配给主体和客体的安全属性统一进行授权管理。在基于角色的访问控制策略下，用户对客体的访问授权决策取决于用户在组织中的角色，拥有相应角色的用户自动获得相关的权限。7. 简述PMI技术。答：PMI是一个由属性证书、属性权威机构、属性证书库等部件组成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息，通过管理证

5、书的生命周期实现对权限生命周期的管理。属于证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。8. 简述网络攻击的一般过程和缓冲区的三个步骤。答：网络攻击一般分为四个阶段：网络与系统调查阶段、渗透于破坏阶段、控制与维持阶段、退出与清理阶段。缓冲区攻击的三个步骤：放入预先安排的代码、发现并利用缓冲区溢出、执行预先安排的代码。9. 分析四类拒绝服务攻击技术。答：拒绝服务攻击是指攻击者通过发送大量的服务或操作请求，致使服务程序出现难以正常运行的情况。(1) 利用系统漏洞的拒绝服务攻击利用在设计、实现或配置上的漏洞，攻击者发送特点的网络包使服务停止或进入不正常状态。(2)

6、利用网络协议的拒绝服务攻击发送大量网络连接请求或虚假的广播询问包，引起网络通信的拥塞。(3) 利用大量合理的服务请求攻击系统，包括网页下载，服务登录、文件上传等，占用被攻击方的带宽和计算能力。(4) 分布式拒绝服务攻击使用多台计算机对统一目标实施前述的各种拒绝服务攻击，使攻击在资源上占据了巨大的优势。10. 简述防火墙的目的和分类。答：防火墙是一个网络安全设备或多个硬件设备和相应软件组成的系统，位于不可信的外部网络和被保护的内部网路之间，目的是保护内部网络不遭受来自外部网络的攻击和执行规定的访问控制策略。分为四类：包过滤防火墙、代理网关、包检查性防火墙和混合型防火墙。11. 分析入侵检测系统（

7、IDS）的三类分析检测方法。答：分析检测方法是指根据已有的知识判断网络和系统是否遭受攻击及遭受何种攻击的方法。(1) 误用检测它基于以下事实：程序或用户的攻击行为存在特点的模式。首先建立各类入侵的行为模式，对他们进行标识或编码，建立模式库：在运行中，误用检测方法对来自数据源的数据进行分析检测，检查是否存在已知的误用模式。误用模式的缺陷是只能检测已知的攻击。(2) 异常检测它基于以下事实：无论是程序还是系统用户的行为，各自在表现上均存在一些特性。通过对系统异常行为的检测发现攻击的存在，甚至识别相应的攻击。关键在于建立NUP及利用NUP对当前系统或用户行为进行比较，判断出与正常模式的偏离程度。它的

8、优点是检测未知的攻击，缺点是需要不断调整和更新NUP（正常使用描述），并考略检测构造的可扩展性和方便性。(3) 其他检测如生物免疫IDS，一个特定程序的系统调用序列是比较稳定的，使用这一序列识别自身或外来的操作能够获得抵御入侵检测能力。12. 简述蜜罐技术。答：蜜罐技术是指一类对攻击、攻击者信息的收集技术，而蜜罐是完成这类收集的设备或系统，它通过诱使攻击者入侵蜜罐系统搜集、分析相关的信息。蜜罐技术是网络陷阱与诱捕技术的代表。13. 简述数字取证。答：利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网路中，他们就是电子证据，将这些电子信息作为法律证据进行采集就是数

9、字取证（也称电子取证）。14. 分析单向认证的TLS握手协议。答：(1)客户端向服务器端发送请求连接信息，包括客户端推荐的密码算法标识、参数与一个在密钥协商中协议需要的一个随机数；(2)服务器以3条消息响应：发送服务器端通信消息，包括向客户端发送的一个随机数；然后发送认证消息，包括服务器的公钥证书；再发送服务器响应消息，表示响应完毕。(3)客户端收到响应后，验证服务器的公钥证书通过后，向服务器发送3条消息完成握手过程，密钥交换信息包括用服务器公钥加密的一个密钥，用于建立加密数据连接；加密算法信息包括客户端已经按照商定的算法更改了加密策略，以后发送的数据都用商定的算法、参数和密钥加密；握手完成信息表示完成握手过程。(4)服务器也向客户端发送加密算法信息和握手完成信息。15. 简述恶意代码机理。答：恶意代码的生命周期主要包括编程代码、传播、感染、触发、运行等环节。恶意代码机理是指恶意代码传播、感染和触发的机制。传播机制是指恶意代码散步和侵入受害系统的方法，包括恶意代码的自我复制和传播情况，也包括恶意代码被复制和被传播的情况等。感染机制是指恶意代码依附于宿主或隐藏于系统中的方法，实施他