信息安全答案

1、信息安全技术与应用第一章信息安全概述3、简述保密性、完整性和有效性的含义，分别使用什么技术手段能够保障网络信息的保密性、完整性、有效性？答： 保密性(Confidentiality)是指信息系统防止信息非法泄露的特性，信息只限于授权用户使用。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现。 完整性(Integrity)是指信息未经授权不能改变的特性，完整性与保密性强调的侧重点不同。保障信息完整性的技术主要有安全通信协议、密码校验和数字签名等。实际上，数据备份是防范信息完整性受到破坏的最有效恢复手段。 有效性(Availability)是指信息资源容许授权用户按需访问的特性(

2、信息系统面向用户服务的安全特性)。有效性在强调面向用户服务的同时，还必须进行身份认证与访问控制，只有合法用户才能访问限定权限的信息资源。10、说明信息安全威胁的类别以及各自破坏的目标答：第二章密码技术基础10、运用RSA算法对以下数据进行加密/解密操作：p=7,q=11,e=13,m=7答：首先,求出p与q的乘积n=11*7=77第二步，计算n的欧拉函数为6X10=60第三步，求解密密钥d=37这样得到公钥PU=e,n=13,77私钥=d,n=37,77加密：计算密文c为m的e次方modn,得到c=35解密：计算明文m为c的d次方modn,得到m=7第三章身份认证与访问控制3、什么是动态口令认

3、证？试描述其优点和缺点。答：动态口令的认证也称为一次性口令认证，是一种按时间和使用次数来设置口令，每个口令只使用一次，口令不断变化的认证方法。动态口令认证的优点：无须定期修改口令，方便管理；一次一口令，有效防止黑客一次性口令窃取就获得永久访问权；由于口令使用后即被废弃，可以有效防止身份认证中的重放攻击。动态口令认证的缺点：客户端和服务器的时间或次数若不能保持良好同步，可能发生合法用户无法登录；口令是一长串较长的数字组合，一旦输错就得重新操作。10、试述PKI基本组成和作用。答：PKI主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/CRL发布系统和应用接口系统五部分组成。 密钥管理中心

4、（KMC）:密钥管理中心向CA服务提供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。 CA认证机构：CA认证机构是PKI公钥基础设施的核心，它主要完成生成/签发证书、生成/签发证书撤销列表（CRL）、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。 RA注册审核机构：RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证功能。 发布系统：发布系统主要提供LDAP服务、OCSP服务和注册服务。注册服务为用户提供在线注册的功能；LDAP提供证书和CRL的目录浏览服务；OCSP提供

5、证书状态在线查询服务。 应用接口系统：应用接口系统为外界提供使用PKI安全服务的入口。17、什么是基于角色的访问控制？试举例说明。答：在一个组织机构里系统为不同的工作岗位创造对应的角色，对每一个角色分配不同的操作权限根据用户在组织机构中的职责或任务为其指派相应的角色用户通过所分配的角色获得相应的权限，实现对信息资源的访问.举例说明略第四章防火墙工作原理及应用5、何为自适应代理防火墙？防火墙的高级功能有些什么？答：自适应代理防火墙是结合了代理服务器防火墙的安全性和分组过滤防火墙的高速优点的防火墙。防火墙有IP地址转换、双重DNS、虚拟企业网络、扫毒功能、特殊控制需求等高级功能9、路由器和防火墙有

6、什么区别?答:路由器与防火墙产生的根源不同。路由器的产生是基于对网络数据包路产生的，而防火墙是产生人们对于安全性的要求。 根本目的不同。路由器的根本目的是保持网络和数据的“通”。防火墙的根本目的是保证任何非允许的数据包不通。 路由器的核心ACL是基于简单的包过滤。防火墙是基于状态包过滤的应用级信息流过滤。15、CheckPointFireWall-1可以提供什么基本模块？它成功的部分原因是什么？答：CheckPointFireWall-1可以提供状态检测模块、防火墙模块、管理模块。它成功的部分原因是推出并持有专利的状态监测技术，状态监测可提供准确而高效的业务量监测，并可对应用的消息进行检查，从

7、而提供高水平的安全性。第五章攻击技术分析3、如何使用net命令将网络共享点HostADirB映射为本地影像驱动器k:?答：netusek:HostADirB6、请给出下列服务程序常用的端口号：ftphttptelnetfingersnmppop3echochargen答：ftphttptelnetfingersnmppop3echochargen端口号2180237916111071913、可能的配置漏洞有哪些？答：可能的配置漏洞有共享文件配置漏洞、服务器参数配置漏洞、默认配置漏洞、匿名FTP、wu-ftpd。第六章入侵检测系统7、为什么防火墙内部端口和非军事区入口一般应当部署网络传感器？答：

8、因为防火墙内部端口和非军事区入口是来自Internet攻击的唯一路径，在非军事区入口部署网络传感器，能够实时监测非军事区与Internet和内部网之间的所有网络流量。9、信息嫡、条件嫡、相对嫡和相对条件嫡分别用于度量数据集的什么规律？答： 信息嫡：审计数据集的信息嫡越小表明审计数据记录的类别就越小，入侵检测模型也就更容易对审计数据记录进行分类。 条件嫡：条件嫡恰好反映了数据集X对数据集丫的依赖程度。所以，通过计算审计数据集的条件嫡能够知道安全事件在时间序列上的依赖规律。 相对嫡：X和丫之间的相对嫡越小，两个数据集之间的相似就越高。相对条件：W：利用相对条件嫡度量事件序列数据集之间的相似性。第七

9、章计算机病毒防治4、当前病毒的主要传播途径有哪些?通过因特网传播，其包括电子邮件传播、浏览网页和下载软件传播、即时通讯软件传播、网络游戏传播等。局域网传播通过不可移动的计算机硬件设备传播通过移动存储设备传播无线设备传播14、防治病毒可采取哪些措施？答：建立良好的安全习惯关闭或删除系统中不需要的服务经常升级安全补丁使用复杂的密码迅速隔离受感染的计算机了解一些病毒知识最好安装专业的杀毒软件进行全面监控用户还应该安装个人防火墙软件进行防黑第八章安全通信协议1、IPSec的3个主要协议是什么？它们的作用各是什么？答：IP认证包头(IPauthenticationheader,AH),为IP包提供信息源

10、的验证和完整性保证。IP封装安全负载(IPencapsulatingsecuritypayload,ESP),提供加密保证。Internet密钥交换(Internetkeyexchange,IKE),提供双方交流时的共享安全信息。4、传输模式和隧道模式有什么不同？答：在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。在传输模式中，只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。9、简述SSL协议的组成，以及传输数据的步骤？答：SSL协议由两层组成，分别是握手协议层和记录协议层，

11、握手协议建立在记录协议之上，此外还有警告协议，更改密码说明协议和应用数据协议等对话协议和管理提供支持的子协议。传输数据的步骤：Step1:握手完成后，才可进行数据传输；Step2:SSL协议从高层SSL子协议收到数据并对其进行数据分段压缩、认证和加密第九章电子邮件系统安全6、什么是邮件炸弹？它有什么现象和危害？如何防范电子邮件炸弹？答：电子邮件炸弹指的是发件者以不名来历的电子邮件地址，不断重复将电子邮件寄于同一个收件人。危害：邮件炸弹可以大量消耗网络资源，常常导致网络塞车，使大量的用户不能正常地工作。另外，这些邮件炸弹所携带的大容量信息不断在网络上来回传输，很容易堵塞带宽并不富裕的传输信道，这

12、样会加重服务器的工作强度，减缓了处理其他用户的电子邮件的速度，从而导致了整个过程的延迟。防范措施：a、立即向ISP求援b、采用过滤功能c、使用转彳t功能d、谨慎使用自动回信功能e、另存邮件的方法f、用专用工具来对付9、简述邮件病毒的危害及防范。答：危害：对电子邮件服务本身形成威胁极大消耗网络资源传播行为更具攻击性 对网内用户的直接危害：产生的大量垃圾邮件阻塞信箱防范： 边界防护，入口把关 内网环境不留死角 实现动态数据过滤14、用过哪些电子邮件系统？你是如何防范邮件病毒？有什么认识？第十章无线网络安全3、WEP主要有哪些安全漏洞？答： WEP默认配置漏洞 WEP加密漏洞 WEP密钥管理漏洞服务设置标识漏洞4、为什么获得足够多的相同初始向量，就有可能从密文消息中破译出密钥？答：由于IEEE802.11没有明确规定初始向量的使用方法，许