信息系统安全资料.docx

第一章1. Shannon对信息的定义是什么？我国信息论专家钟义信对信息的定义是什么？Shannon：将信息量定义为负熵，随机不确定性程度的减少，信息是“用来减少不确定性的东西”。钟义信：信息是事物的运动状态和状态变化的方式。2. 信息与信号、数据、情报、知识的不同之处分别在那里(1) 信号是信息的载体，信息是信号承载的内容。(2) 数据时记录信息的一种形式，也可用文字、图像等来记载。(3) 情报通常指秘密的、专门的、新颖的一类信息，所有情报都是信息。(4) 知识是信息抽象出来的产物，是一种具有普遍和概括性的信息，是信息的一个特殊子集。知识就是信息，反之则不成立。3. Shannon对信息的定义中信息是未知的，所以信息系统中的数字信息应该是未知的（ ）信息系统是由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。这里的信息不实完全的信息论意义上的信息，信息论中一定是未知的，但在信息系统中的数字化信息不一定是未知的。4. 信息的5个安全属性是什么？(1) 机密性：信息不泄露给未授权的访问者、实体和进程，或者被其利用。(2) 完整性：信息不能被破坏（删除、修改、伪造、乱序、重放、插入）和丢失（包含了认证性即通信及数据真实性）。(3) 可用性：保障授权实体按需使用。(4) 可控性：对信息的传播及内容具有控制能力。(5) 可确认性（不可抵赖性）：传统社会的不可否认需求的信息社会的延伸。5. 安全事件定义。破坏信息（信息系统）或违反安全政策的行为。6. 只要采用足够安全的防护措施，安全事件的影响是可以完全避免的（ ）判断对错安全事件的影响不可避免，具有持续性。7. 可信计算机系统评测准则TCSEC针对的是信息安全的哪个安全属性？将安全分为哪几个等级针对机密性。TCSEC橘皮书，美国国防部制定。将安全分为7级：D，C1，C2，B1，B2，B3，A。8. 信息安全标准包括哪几类_ABC_A. 互操作 B. 技术与工程标准 C. 网络与系统安全管理标准 D. 密码算法标准互操作：安全产品间互操作性的需要。技术与工程标准：对安全等级认定的需要。网络与系统的安全管理标准：对服务商能力衡量的需要。9. 可用于对信息系统安全进行测评的标准有哪些_AB_A. TCSEC B. CC C. DES D. IPSec10.著名的信息安全的三原则CIA是指哪三个属性？机密性Confidentiality，完整性Integrity，可用性Availability。11.在通信安全时代除了考虑信息的机密性，还考虑了信息系统的安全防护问题（ ）通信安全时代，关注的是信息的机密性，也涉及到信道对的可用性和信息的完整性保护，但缺乏明确的认识。在信息安全时代，安全技术提升为对信息系统的保护。12.试解释什么是“网络钓鱼” 攻击者利用欺骗性电子邮件和伪造的web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人材料，比如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信品牌，骗取用户的私人信息。（以假乱真，视觉陷阱；身份伪装，基于邮件和网页欺骗，社会工程的应用；DNS劫持+网页伪造+DoS攻击。）13. IEEE P1363是关于哪方面的标准_Standard Specification For Public-Key Cryptography_公钥密码标准第二章复习题1. 信息系统安全威胁的分类，安全威胁的来源有哪些，主动攻击和被动攻击分别包括哪几类？信息系统安全威胁的分类：自然威胁和人为威胁。安全威胁来源：黑客（又称为入侵者）和恶意代码的非法入侵；在网络信息系统中，来自于系统内部的安全威胁最大。主动攻击：对数据流进行篡改或产生假的数据流，或使系统失效。分为：(1) 中断（阻止）；对系统的可用性进行攻击。破坏计算机硬件、网络或文件管理系统，如DoS、病毒等。(2) 篡改；对完整性进行攻击，修改文件中的数据（数据修改后存储），替换某一程序使其执行不同功能，修改网络中传送消息的内容等，比如中间节点对转发的图像进行了压缩。(3) 伪造：对真实性进行攻击，在网络中插入伪造的消息冒充消息发送者，在文件中插入伪造记录等，包括重放、假冒、诽谤。被动攻击：对信息的保密性进行攻击，不影响正常的网络通信和系统运行，不对消息做更改，以获取信息为目的。分为：获取消息的内容；业务流分析（流量分析）。2. 导致信息系统安全问题的外因是_安全威胁（也称为攻击）_内因是_安全漏洞_3. 黑客攻击工程分为哪几个阶段？什么是网络嗅探？Nessus和Nmap分别是什么工具？寻找目标，收集目标信息；目标系统弱点挖掘；实施网络攻击；清除攻击痕迹。网络嗅探：一种网络窃听技术，窃听计算机在网络上所产生的众多不属于自己的信息。Nessus：漏洞扫描；Nmap：端口扫描。4. 什么是拒绝服务攻击和分布式拒绝服务攻击？拒绝服务攻击：攻击者想办法让目标停止服务，是黑客常用的攻击手段之一。攻击者进行拒绝服务攻击，实际上是让服务器实现两种效果：一是破事服务器的缓冲区满，不接受新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。分布式拒绝服务攻击DDoS：借助客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的能力，通常攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将大量代理程序通讯。代理程序已被安装在Internet上的许多计算机上，代理程序收到指令就发送攻击，利用客户服务器技术，主控程序能在几秒钟内激活成百上千代理程序运行。5. 在蠕虫、限门、木马和病毒这四类恶意代码中，哪些不需要宿主程序？ 蠕虫6. 病毒在结构上由哪三个模块构成？(1) 潜伏模块，功能包括初始化、隐藏和捕捉。随着感染的宿主程序的执行进入内存，首先初始化运行环境，是病毒相对独立于宿主程序，做好传染准备。然后隐藏起来，最后不停地捕捉感染目标交给传染机制，捕捉触发条件交给表现机制。(2) 传染模块，包括判断和感染。先判断候选感染目标是否已被感染，通过感染标记判断。感染标记是一些数字或字符串，不一定都有。(3) 表现模块，包括判断和表现。首先对触发条件进行判断，根据条件决定如何表现。7. 在反病毒技术中，采用虚拟机技术比只采用启发式反病毒好在什么地方启发式技术：基于特征值扫描技术上的升级，根据特征值、经验和提取的模式等分析指令出现的顺序或组合情况来判断是否染毒，可能出现误报。虚拟机杀毒技术：在电脑中创建一个虚拟CPU环境，将病毒在虚拟环境中激活运行，观察病毒的执行过程，从而判断是否病毒。14. 虚拟机杀毒的好处是_(1) 虚拟机可以使虚拟系统和真实系统完全隔离开，使用虚拟系统上网可以避免在遭受网络攻击时导致真实系统崩溃，瘫痪的也只是虚拟系统。只要用快照还原再造一个就行了。(2) 查杀病毒合二为一，驻留内存的形式有效防止病毒入侵。第二章8. 在防病毒技术中，瑞星的“云安全”和趋势的“云安全”的区别是什么瑞星的“云安全”：通过网状的大量客户端对网络中软件行为的异常监测，截获互联网中的木马、恶意程序的最新消息，然后推送到服务器端进行自动分析和处理，然后把解决方案发到每一个客户端。趋势的“云安全”：可以概括为基于互联网数据库的轻客户端程序，构架一个庞大的黑白名单服务器群，用户客户端的查询，趋势的服务器组成一个大“云”。两个讲述的并不是同一个概念：趋势“云安全”中的“云”是趋势的服务器群，而瑞星的“云”则是大量用户。在瑞星的云安全当中，瑞星的服务器反而成了一个Client端。9. 在木马病毒中，客户端由谁控制，服务端由谁运行？客户端由黑客控制，控制被感染的机器运行服务端。10.国际标准组织的漏洞发布机制是什么标准？CVE，Common Vulnerabilities and Exposure，通用漏洞列表11.主机漏洞扫描和网络漏洞扫描的异同之处？主机漏洞扫描：从管理员的角度，检查文件系统的权限设置、系统文件配置等安全内容，发掘主机系统的漏洞。网络漏洞扫描：采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，目标可以是工作站、服务器、交换机、数据库应用等，提供扫描结果分析报告。12. 下列哪些不是病毒特征 可用性传染性、隐蔽性、多态性、潜伏性、可用性13. 蠕虫属于下列那种病毒工作方式 网络病毒引导型、文件型、脚本病毒、网络病毒15. 试解释什么是缓冲区溢出漏洞？有什么危害？用户输入字符串没有经过适当检查，计算机向缓冲区填充数据位数超过了缓冲区本身的容量，溢出的数据覆盖在合法数据之上，攻击者可由此通过特殊的输入串造成程序运行错误，运行非法操作。危害：这样攻击者可以利用堆栈溢出，在函数返回时可以改变其跳转地址，从而使程序崩溃，系统死机，导致拒绝服务攻击，同时，还可以利用该漏洞执行非授权质量，甚至可以得到系统特权，进而进行各种非法操作。第四章1.信息系统实现安全的基本方法是控制，那么对存储在信息容器中的静态信息采用什么保护方法？对信道中的信息采用什么保护方法？对信息内容的保护采用什么控制方法？(1) 信道容器中静态信息：访问控制。(2) 信道中信息：信息流控制。(3) 信息内容：推理控制。2. 在系统中运行的进程是主体还是客体？请说明理由，最初的主体和最终的客体分别是？系统中进程（包括用户进程和系统进程）有双重身份，既是用户的客体，又是访问对象的主体。最初的主题是人类用户，最终的客体是记录在介质上的信息（数据）。12 下列安全控制中哪些是访问控制处理的_ACD_A 控制进程P，使其对文件F只能具有读的权限B 控制某秘密数据使其只能向其高密级数据传输 【信息流控制】C 根据上下文控制进程P对进程P2的调用D 控制文件F的读取权限变更第四章3.访问控制的三要素是什么？试说明访问控制的一般模型，ACM和ACL？访问控制的粒度和容度是指什么？面向过程的访问控制的核心思想是什么？在阻止非授权访问的访问控制类型中过滤和分离的区别？访问控制三要素：主体、客体、访问规则。访问控制一般模型：该模型表示主体试图访问一些客体。在访问控制机制中，通常由发起者提出访问目标的请求，系统根据决策规则由实施功能对访问请求进行分析、处理，在授权的范围内，允许发起者对目标进行有限的访问。访问请求是指读、写、执行、控制等操作请求。模型中包含一个实施功能模块和决策功能模块。实施功能模块执行访问控制机制；决策功能模块表示一组访问控制规则和策略：决策功能控制着主体的访问许可；限制其在何种条件下，为了什么目的，可以访问哪些客体；这些决策以某一访问控制策略的形式反映出来。访问控制矩阵（access control matrix，ACM）模型的基本思想是将所有的访问控制信息存储在一个矩阵中集中管理，当前的访问控制模型一般都是在它的基础上建立起来的。访问控制矩阵中，行代表主体，列代表客体，每个矩阵元素说明每个用户的访问权限。ACL表保护机制实际上是按矩阵的列实施对系统中客体的访问控制的。每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。访问控制的粒度：访问控制策略可在不同级别上定义客体。每个粒度级别可有它自己的逻辑分离策略，还可以对不同访问控制实施功能和访问决策功能组件的使用进行细化。容度是用来控制对客体组的访问，它通过制定一个只有当其允许对一个包含客体的客体组进行访问时，才允许对客体组内的这些客体进行访问的策略实现。面向过程的访问控制的核心思想：是指在主体访问客体的过程中对主体的访问操作进行监视与限制。建立一个对客体访问进行控制的过程，该过程能够自己进行用户认证，以此加强操作系统的基本认证能力。该访问控制过程实际上是为被保护的客体建立一个保护层，它对外提供一个可信赖的接口，所有对客体的访问都必须通过这个接口才能完成。从组织内非授权用户访问客体的角度分类，访问控制可以分为过滤和分离两种类型。访问请求过滤是当一个主体试图访问一个客体时，需要检查主体是否被准予请求的方式访问客体，相当于对访问请求信息进行过滤。访问请求过滤包含访问控制机制，与访问控制的主体有关，并且由访问控制策略来驱动。分离是防止此授权用户有机会去访问敏感的客体。它可能涉及各种各样对策中的任何一种，包括物理安全、个人安全、硬件安全和操作系统安全。4. 在DAC中访问许可权和访问操作权的区别是什么？什么是属主型的访问许可权？访问许可权：表示可以改变访问权限的能力或把这种能力传授给其他主体的能力。访问操作权：表示有权对客体进行一些具体操作，如读、写、执行等。许可权是主体对客体（也可以是另一个主体）的一种控制能力，操作权则是指对客体的操作。属主型的访问许可权：为每一个客体设置拥有者，拥有者是唯一可以修改自己客体的ACL表的主体，也可以对其他主体授予或撤销自己客体的访问操作权。5. MAC中对客体访问权的修改和对该访问权的控制权的转授由谁来控制？系统权利最高和最受信任的安全管理员。6. 由客体的访问者自主决定该客体相应的访问权限转授给其它主体的访问控制策略是自主式访问控制策略( 错 ) 【客体的访问者客体的属主】第四章7. DAC和MAC哪一个能抵御木马攻击，为什么？DAC（Discretionary）无法抵御木马攻击，用户可以任意运行程序来修改自己文件的访问控制信息，系统无法区分修改来自用户还是木马；无法防止木马利用共享客体或隐藏信道把信息从一个进程传送给另一个进程。DAC不适合高安全性系统。而MAC（Mandatory）可以有效解决以上问题，MAC中访问控制策略符合MAC的原则，系统中每一个主体和客体都要根据总体安全策略和需要分配一个特殊的安全属性，反映主体和客体的敏感等级和访问权限，并把它以标记的形式和主体或客体紧密相连，严格杜绝程序自改自己客体的访问控制信息，同时再设置一些不可逾越和不可更改的访问权限，就能够有效地防范恶意程序的攻击。8.在访问目录机制中如果共享客体太多会使目录表太长，影响访问时间( )9. 用户进程是固定为某一用户服务的，其权限应与_A_相同A 所代表的用户 B 进程所操作的数据 C进程访问的实体 D 运行用户进程的系统10 系统进程的权限是随着服务对象的变换而变化的 ( )11 信息流控制的三要素_主体_、_信息_和_引起受控信息流入、流出策略覆盖的受控主体的操作_13 在阻止非授权访问类的访问控制技术中，防止授权用户有机会去访问敏感的客体的方法属于_分离_访问控制类型14 已知在DAC访问控制中，某一客体的访问控制表如下，那么如下用户的访问权限分别是_RE_、_NULL_、_R_ 1）zhang liang.math 2）liu ying. History 3) zhangliang. history15 按ACM矩阵的列实施访问控制的模型是_B_A 访问目录表 B ACL C 能力机制 D面向过程的访问控制16. 访问目录表和访问控制表分别将访问控制设施设置在用户端和客体端 访问目录表和访问控制表分别将访问控制设施设置在用户端和客体端。这两种控制方式需要管理的表项的总数量是相同的，它们的差别在于管理共享客体的方法上，访问控制表技术易于实现对这些共享客体的管理。17. 在RBAC中，用户、角色和权限之间的关系是什么，它与DAC的根本区别是什么？在RBAC中访问许可权即转授权可以由课题的属主决定( )RBAC基本元素包括用户、角色和权限，核心思想是将访问权限分配给角色，系统的用户担任一定的角色，与用户相比角色是相对稳定的。所谓角色是指一个或一群用户在组织内可执行的操作的集合，是主客体之间的桥梁。RBAC和DAC的根本区别是：RBAC用户不能自主的将访问权限授予别的用户，即没有转授权。RBAC与MAC的根本区别：MAC是基于多级安全需求的，而RBAC不是19. 在基于角色的访问控制中同一个用户的多个角色一定不能出现互斥的情况( )20. 试说明在授权策略当中的最小特权原则的含义和意义最小特权原则：系统安全中最基本的原则之一。指“在完成某种操作时赋予网络中每个主体（用户或进程）的必不可少的特权”。也可以限制拥有最高角色的主体按需运用，避免无意错误或入侵伪造。21. 信息流控制的三要素是什么？信息流在系统里可以沿着哪三种信道流动？主体，信息，引起受控信息流入、流出策略覆盖的受控主体的操作。三种信道流动：(1) 正规信道：指通过设计者制定的信息传输渠道在程序或进程间传送信息。(2) 存储信道：指由多个进程或程序共享的客体，如通过共享文件或程序中的全局变量传递信息。(3) 隐蔽信道：指不被设计者或用户所知道的泄露系统内部信息的信道，列入通过观察某个进程的操作规律，判断这个进程在干什么。第四章18. RBAC96四个子模型之间的关系， RNBAC中的静态职责分离和动态职责分离的涵义？试说明基于对象的访问控制OBAC的基本思想，并与RBAC比较？试设计一种结合RBAC和OBAC的访问控制方法，并说明使用的场景？RBAC0是基本模型，描述任何支持RBAC的系统的最小要求，包含四个基本要素：用户、角色、会话和访问权限。用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作。任何非显式授予的权限都是绝对禁止的。RBAC1是对RBAC0的扩充，增加了角色等级的概念。通过角色等级，上级角色继承下级角色的访问权限，再被授予自身特有的权限构成该角色的全部权限，方便权限管理。RBAC2也是对RBAC0的扩充，但与RBAC1不同，RBAC2加进了约束的概念。职责分离机制，如在一个组织中，会计和出纳不能由同一个人担当。约束规则主要有最小权限、互斥角色。RBAC3是RBAC1和RBAC2的结合，将角色等级和约束结合起来就产生了等级结构上的约束。静态职责分离(static separation of duties, SSD)：只有当一个角色与用户所属的其他角色彼此不互斥时，这个角色才能授权给该用户。用于解决角色系统中潜在的利益冲突，利益冲突源于用户被授予相互冲突的角色。发生互斥，角色只取其一。动态职责分离(dynamic separation of duties, DSD)：只有当一个角色与一个主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。限制可提供给用户的访问权限，实现机制不同，DSD在用户会话中对可激活的当前角色进行限制。用户可被授予多个角色，包括有冲突的角色，但它们不能在同一个会话中被激活。基于对象的访问控制OBAC基本思想：控制策略和控制规则是OBAC系统的核心所在。将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。这样可以对受控对象本身及受控对象的属性进行访问控制，派生对象可以继承父对象的访问控制设置，这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，减少由于信息资源的派生、演化和重组带来的分配、设定角色权限等的工作量。OBAC与RBAC中对于主体的聚类(抽象成角色)相似，相当于把客体分类(抽象出对象)，按C+中面向对象的思想进行管理，一个受控对象可代表一类相似的客体，授权时针对对象授权。RBAC要求安全管理员将庞大的信息资源访问权限赋予有限个角色，当用户数量多、处理信息数据量巨大时，用户权限的管理任务将十分繁重。从受控对象的角度出发，将访问主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制列表，使增，删，修改访问控制项易于操作；另一方面当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无需更新访问主体的权限，只需修改受控对象的相应访问控制项即可，从而减少了访问控制主体的权限管理，降低了授权数据管理的复杂性。OBAC与RBAC结合：如果信息系统中对于特定的一些系统用户数量多、变动频繁，在这部分系统中就引入RBAC，对于另一些信息数据量大、数据种类繁多、更新变化频繁的大型管理信息系统，引入OBAC。第三章复习题1. 什么是信息系统的可信计算基TCB可信计算基Trust Computing Base：是指信息系统内保护装置的总体，包括相关的软件、硬件、固件及相关的管理等。（其中，固件是具有独立功能和作用的软硬件的集合体。）它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务。2. TCB由哪两部分组成？安全功能技术要求和安全保障技术要求。3. TSF的实现由哪两种方法TSF：TCB Security Policy，实现方法有：(1) 设置前端过滤器，如防火墙、登陆认证、防止非法进入系统；(2) 设置访问监督器，如安全审计系统，防止越权访问。二者实际上都采用规则匹配。4. TCB的安全域和控制范围TSC具有相同的含义( )TCB中所有TSF构成一个安全域，以防止不可信实体的干扰和篡改，这个安全域实际上是TCB操作及其所涉及的主体和客体，也被称为TSF的控制范围TSC。5.为正确实施TSP而必须依赖的信息系统的那些部分统称为信息系统安全功能TSF( )TSP：TCB安全功能策略。TSF：信息系统安全功能。 6. TSF数据分为_鉴别_数据与_保密_数据7.用于数据保护的安全功能策略SFP有哪三种_访问控制SFP_、_信息流SFP_和_推理控制策略_ 8. 下面哪些是信息系统中由资源产生的主动实体_ABC_A. UNIX进程 B. 可以轮流代表多个用户的专用进程 C. 可信进程 D. 接收信息的容器 9. 给出可信计算基的两个典型的评测标准：TCSEC和CC 10. CC标准中保护轮廓和安全目标有什么区别？保护轮廓Protection Profile：满足特定用户需求、与一类TOE实现无关的一组安全要求。是关于一系列满足一个安全目标集的TOE的、与实现无关的描述。主要用于表达一类产品或系统的用户需求。安全目标Security Target：是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的。作为制定的TOE评估基础的一组安全要求和规范，在PP的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。如常见的实用方案。11. CC中安全审计类属于安全功能要求还是安全保障要求？可信路径呢？安全功能是信息系统或IT产品应该实现的安全策略和安全机制。安全保证是通过一定的方法保证信息系统或IT产品的安全功能得到确实的要求。CC的11个安全功能类：（信息系统）安全审计类FAU；通信类FCO；密码支持类FCS；用户数据保护类FDP；标识与鉴别类FIA；安全管理类FMT，隐秘类FPR。（TSF自身安全）TSF保护类FPT；资源利用类FAU；TOE访问类FTA；可信路径/信道类FTP。【都属于安全功能要求】安全保障要求：用以衡量保证级别的评估保证级别（各种测试）；用以组成保证级别的每个保证组件；PP和ST的评估准则。12. 下面那些属于CC中的安全保证技术要求？ EA通信类、B密码支持类、C隐秘类、D可信路径、E脆弱性评定第五章1.试说明安全模型与安全策略和安全机制的关系？ 从安全模型的作用来看，BLP和Biba分别针对什么安全属性， BLP模型中基本安全定理是？安全策略是指一组有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全和实现机制之间的关联提供了一种框架（什么样的安全需求，应采用什么样机制）。安全策略模型：指的是如何用形式化或者非形式化的方法来描述安全策略。安全模型是为实现安全策略服务的，基于给定的安全策略模型对安全策略的具体描述就构成了安全模型。安全模型描述了对某个安全策略需要用哪种机制来满足；安全模型实现则描述了如何把特定的机制应用于系统中，从而实现某种特定的安全策略所需要的安全防护。BLP：机密性；Biba：完整性。BLP模型基本安全定理：BLP形式化的定义了系统、系统状态以及系统状态间的转换规则。形式化定义对系统状态和状态转换规则进行限制和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明系统是安全的。2. 下列哪些属于访问支持策略？ CDA. 机密性 B. 完整性 C. 可用性 D. 可追究性基于系统安全的定义和内涵可将系统的安全策略分为两大类：(1) 访问控制策略：反映系统的机密性和完整性要求，它确立相应的访问控制规则(2) 访问支持策略：反映系统的可追究性和可用性要求，它以支持访问控制策略的面貌出现。3. BLP模型中强制策略中最基本的两个规则是什么，是否能够阻止隐蔽信道的使用？(1) 简单安全特性规则。一个主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级，即主体的保密级不低于客体的保密级别，主体的范畴集包含了客体的全部范畴。即主体只能向下读，不能向上读(2) *特性规则。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴包含了主体的全部范畴。即主体只能向上写，不能向下写BLP模型并不能有效地控制隐蔽信道的产生，不能解决文件共享问题。4. 试述如何解决BLP模型中可信主体权限过大的问题设置可信主体，权限太大，不符合最小特权的原则，应对其操作权和应用范围进一步细化：(1) 将特权细分为一组细粒度的特权，分给系统中指定的用户。多个特权用户共同完成特权操作；(2) 采用门限机制，共享特权。5. Clark-Wilson模型是一种面向过程的访问控制模型( ) 判断对错6. 信息系统的安全策略模型主要有哪几类_状态机模型、访问控制模型、信息流模型_7. 下面哪个模型是针对业务流机密性的_C_A. CK模型 B. Biba模型 C.非干涉模型 D. 中国墙模型 E. BLP模型（信息流）(1) BLP模型：既是状态机模型，也是信息流模型，针对保密性；(2) Lattice模型：BLP模型的扩展，既是状态机模型，也是信息流模型，针对保密性；(3) Biba模型：状态机模型，针对完整性；(4) Clark-Wilson模型（简称CK模型）：状态机模型，针对完整性；(5) 非干涉模型：状态机模型，针对业务流的机密性；(6) Brewer和Nash模型：也称China Wall模型，访问控制模型，针对可用性。8. 如何理解安全策略在系统安全中的地位，或者说系统安全需求的了解程度对设计安全的系统的影响是什么所谓一个系统是安全的，就是指系统的实现达到了当初设计时所制定的安全策略。一般的，操作系统的安全需求主要包括机密性、完整性、可追究性(accountability)、可用性等，所以基于系统安全的定义和内涵可将系统的安全策略分为两大类：(1) 访问控制策略：反映系统的机密性和完整性要求，它确立相应的访问控制规则；(2) 访问支持策略：反映系统的可追究性和可用性要求，它以支持访问控制策略的面貌出现(如：一种安全机制正确执行的保障机制，如审计、防病毒等)。在系统安全的设计中，达不到预想的安全性通常有两个原因：(1) 系统的安全控制中有漏洞：通过与技术相关的软件工程手段来解决；(2) 与系统安全策略的定义和描述有关：通过定义精确的安全模型来解决。9. 在BLP模型中，如下用户和数据的安全级下，用户对Data1和Data2的读访问结果分别是_ A. 禁止 B. 允许 C. 受限制访问User是机密级用户，可访问信息类为C1，C2和C3要访问的数据Data1是秘密级数据，所属信息类为C4 B允许（下读）要访问的数据Data2绝密级数据，所属信息类为C2 A禁止（不上读）自主访问控制规则：所有用户均可访问C2，C3和C4类数据10. BLP模型中基本的强制安全策略规则是_AD_A. 无上读 B. 无下读 C. 无上写 D.无下写第六章（上）1. 在密码学中安全的网络通信必需考虑的4个要素是?(1) 加密、认证算法；(2) 用于算法的秘密信息：密钥、秘密参数等；(3) 秘密信息的分发与共享：存在安全通道（多数情况通过可信第三方来实现）；(4) 使用加密算法和秘密信息以获得安全服务所需要的协议：解决如何安全通信(加密和认知协议)2. 什么是计算安全，什么是基尔霍夫原则计算安全：破解密文的代价超过被加密信息的价值；破解密文所花的时间超过信息的的有用期。满足这两个准则的加密算法称为计算上安全的。基尔霍夫原则：Kerchhoff，系统的保密性不依赖于加密体制或算法的保密，仅依赖于密钥。3. 流密码和分组密码有什么区别？流密码：明文消息按字符或比特逐位加密。分组密码：将明文消息分组（含有多个字符），逐组进行加密。4. 两个密钥的3DES的加解密结构？5. 试述分组密码的CTR运行模式计数器首先被初始化为某一值，随着消息块的增加计数器的值加1。可并行加密，因为计数器模式各块儿可单独处理；可预处理，明文不参与密钥产生；吞吐量仅受可使用并行数量的限制；简单性，只要求实现加密算法；加密数据块的随机访问，要访问第n块，直接将计数器加n即可解密该块；可证明安全。6. 对消息M的基于hash的认证中，假设H为hash函数，K为认证密钥，那么提供完整性的认证方式是什么，同时提供完整性和保密性的认证方式是什么？完整性：M|Ek(H(M)，或者M|H(M|k)完整性和保密性：EkM|H(M)7. MAC能作为抗抵赖的认证算法吗，为什么？不能。抗抵赖攻击只能用公钥密码算法，而MAC是私钥密码算法，属于协商会话密钥，双方都知道密钥，都可以进行MAC，有可能会发生抵赖。8. PKI的作用是什么主要负责用户公钥的管理。包括：用户的注册、密钥装入、生成、分发、使用、备份、存档、更新、恢复、协商、撤销、销毁、维护、有效期。密钥控制；基于可信第三方的实现；其中分发可基于证书、身份、物理等手段9. 下面哪些模型用于安全协议分析 ABA. Dolev-Yao模型 B. CK模型 C. BLP模型 D. Biba模型第六章（下）1. 试述屏蔽子网型防火墙的结构，什么是DMZ区？什么是堡垒主机？屏蔽子网（Screened Subnet）防火墙：被保护网络和Internet之间设置一个独立的子网作为防火墙，就是子网过滤防火墙。具体配置方法：在过滤主机的配置上再加上一个路由器，形成具有外部路由过滤器、内部路由过滤器、应用网关等三道防线的过滤子网。任何跨越子网的直接访问都是被严格禁止的。DMZ区：Demilitarized Zone，非军事区，是一个位于可信的内部网络和不可信的外部网络之间的计算机或小的子网，在一个有多个防火墙存在的环境中，每两个防火墙的计算机或网络都是DMZ。可被内部和外部网络访问。包含允许来自互联网的通信可接入的设备，web服务器、ftp、smtp、dns等。堡垒主机：对外专门暴露在外部网络上的一台计算机，是被保护的内部网络在外网上的代表，作为进入内部网络的一个检查点（也称阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问）。对内与内部网络是隔离的。它不知道内部网络上的其它主机的任何系统细节。对堡垒主机的攻击不会殃及内部网络。堡垒主机是一个被强化的、被暴露在被保护网络外部的、可以预防进攻的计算机。处于DMZ区。2. 在屏蔽子网型防火墙中堡垒主机放在_C_位置，web服务器应放在_C_位置A. 外部网络 B. 内部网络 C. DMZ区 D. 防火墙中3. 外部网络可以经过DMZ区去访问内部网络( )4. 要能够检查通过防火墙的所有报文数据内容，阻断访问资源的用户与服务器直接联系，需要哪种类型的防火墙 AA.包过滤 B. 应用代理网关 C. 状态检测 D. 自适应代理网关 5. 试述CIDF通用入侵检测模型Common Intrusion Detection Framework，公共入侵检测框架。事件产生器：网络数据包、系统日志等需要分析的数据。时间分析器：即检测器，对事件进行分析，产生分析结果。响应单元：对分析结果做出反应，如切断连接、报警等。事件数据库：存放各种中间和最终数据。各个功能单元之间的数据交换采用的是CISL语言。6. 基于异常的IDS和基于误用的IDS有什么区别，基于主机的IDS其检测的数据源是什么，Snort是基于异常的还是基于误用的入侵检测技术异常检测技术：基于行为的检测技术，根据用户行为和系统资源使用情况来检测，建立用户和系统的正常行为模式，不符合正常模式的行为活动为入侵，能够检测出未知的入侵，漏报率低，误报率高，不易建模和实现。误用检测技术：基于特征的检测技术，建立起已知攻击的规则库，实时行为与规则匹配，检测准确率高，漏报率高，无法检测未知入侵，特征库维护工作量大。如Snort。HIDS的检测数据源：操作系统事件日志；应用程序日志（系统日志、关系数据库、Web服务器）。第六章（下）7. 对于操作系统日志的检测应使用哪一种IDS最为合适 BA. NIDS B. HIDS C. 基于应用的IDS D. DIDS8. IPS系统对攻击和安全问题具有如下哪些能力 ABA. 可视，检测 B. 可控、阻断 C. 可管 D.可信 IPS：Instruction Protection System，入侵防御系统。IMS：Instruction Management System，入侵管理系统。9. 你认为安全审计技术和入侵检测技术的最本质区别是什么？（答出一至两点即可）安全审计技术：仅仅是记录系统中与安全有关的操作记录日志。入侵检测技术：对系统中异常通信、漏洞、后门等安全问题的检测管理，也可以利用日志的记录进行分析。10. IDS和IPS在部署上的主要区别是什么？IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术。IPS相对于IDS进步在：IDS阻断功能基础上增加了防御功能，减轻检测系统压力；增加更多管理功能。在IDS监测功能上增加了主动响应的功能，一旦发现有攻击行为，立即响应；IPS以串联的方式取代IDS的并联方式接入网络中，通过直接嵌入到网络流量中提供主动防护，预先对入侵活动和攻击性网络流量进行拦截。11. IDS中误用检测的_C_A.漏报率低、误报率低 B.漏报率低、误报率高 C. 漏报率高、误报率低 D. 漏报率高、误报率高 12. 一个系统部署了屏蔽子网防火墙+DIDS，DMZ区部署的服务是WEB和MAIL,试画出部署结构并适当说明。采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。本次代理负责处理本地事件。中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。13. 安全审计的主要功能是“日志记录” （ ）第七章1. 什么是信息保障？它的三个重要标志是什么？信息保障：保护和防御信息及信息系统，确保其可用性、完整性、机密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应、提供对信息系统的恢复功能(Restore)。标志：主动防御、纵深防御、PDRR。2. 信息保障动态防护的PDRR模型是指什么？(1) Protect安全防护：阻止对网络的入侵和危害。（加密、访问控制、认证、）(2) Detect安全监测：即时发现入侵和破坏。（审计、IDS、扫描）(3) React实时响应：当攻击发生时维持系统不被打垮。（IPS、应急响应、网络可生存性）(4) Restore恢复：使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。3. 针对深度防御策略可将信息系统划分为哪五个层次？物理层安全、系统层、网络层、管理层、应用层。各个层面综合防护可达到深度防御之目的。五个层次的递次关系为：首先是物理安全，保障基本设施层面的安全；然后在物理设备上运行的操作系统要安全可信；进一步保障系统内部和系统之间的网络传输的安全；在上述构建的基础信息网络环境下构建的应用的安全；最后要保障管理方面的安全。4. 组织内部的安全问题的解决应建立什么体系？APPDRR的含义是什么，其所构建的四道防线包括哪些？不同的组织具有个性化特点，一套安全解决方案不适合所有的组织。组织内部的安全问题非常重要，整体解决组织(单位)内部安全问题需要综合设计。解决安全问题不仅仅是安全防护技术工具的堆砌问题，应根据具体组织的资产、威胁和脆弱性提取恰当的安全需求。组织内部的安全问题，应该从信息安全保障体系思想解决。典型的PDRR/APDRR。APPRR：一个全网动态安全模型。信息系统安全=风险分析+制定策略+系统防护+实时监测+实时响应+灾难恢复。以上六个方面组成一个闭环结构。APPDRR模型通过对网络风险进行分析、量化，建立安全模型，提供整体安全解决方案。四道防线为PDRR，具体见上。6.考虑信息系统生命周期的三维信息安全保障体系模型包括哪三维？系统维：六层，物理层、网络层、系统层、数据库层、应用层、用户层。措施维：包括安全技术保障、安全管理保障和安全工程保障。三个保障体系是有机的整体。过程维：是与时间有关的过程，既反应了信息系统的生命周期，也反应了在这个周期中的工程过程。第七章5. 在基于生命周期的过程方法中PDCA是指什么？20-80原则是什么？(1) PDCA：Plan-Do-Check-Action。策划、实施、检查、改进。(2) 20-80原则：用20%的资源解决80%的问题。7. 为什么要对信息系统实施等级保护，试列举国外有关等级保护的标准？信息系统等级保护的基本原理是：依据信息系统的使命、目标和重要程度，将信息系统划分为不同的安全等级，并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。等级性原则是指安全层次和安全级别。针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次和各种实际需求。根据等级保护的思想，确定信息及信息系统的安全基线，按此基线要求进行保护，对残余风险进行控制即可。等级保护的优点：从评估者的角度 可以对已有的体系进行定级；从设计者的角度 可以根据等级标准按照安全需求合理的利用资源达到安全目的。协调发展、资源整合、优化安全资源配置、确保重点建设、费效合理、责权分明。实现20-80原则，依照等级标准实施保护。国外： TCSEC四类7个等级。ITSEC功能性等级F1-10，保护性等级E0-6。CC：EAL1-7。(1) 1983年美国国防部DoD出台了可信计算机系统评测标准（TCSEC俗称橘皮书）；(2) ITSEC于1990年推出第一版草稿，并最终于1995年由欧盟会议批准；(3) 20世纪90年代中期，美国与欧洲的荷兰、法国、德国、英国、北美的建安大共同制定了通用安全评价准则（CC）。国内：GB17859-1999。公安部提出计算机信息系统安全等级的划分标准。将信息系统按照安全保护能力划分为五个等级：C1，用户自主保护级；C2，系统审计保护级；B1，安全标记保护级；B2，结构化保护级；A，访问验证保护级。8. 在信息安全属性中，人们经常提到的CIA是指哪三个属性？机密性、完整性、可用性。9. ITSEC的等级划分相比于TCSEC增强了哪方面的要求ITSEC不单针对了保密性，同时也把完整性和可用性作为评估的标准之一，相比于TCSEC增加了完整性和可用性的要求。10. 信息系统安全的基本原则中，木桶原理是指什么？木桶原理：最大容积取决于最短的一块木板。信息系统安全中的木桶原理指对信息进行均衡、全面的保护。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的安全最低点的安全性能。11. 安全的信息系统就是没有风险的系统 ( ) 零风险是不存在的第九章1. 试述操作系统可信计算基的核心机制“参照监视器”的模型，它和安全内核之间有什么关系 参照监视器是构成操作系统可信计算基的核心。它是一种抽象的概念，一种验证机制，是访问控制的基础。访问控制数据库存储着访问控制规则，依据操作系统的访问控制策略制定，是访问控制策略的具体体现。参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按照策略要求存入审计系统中。参照监视器和安全内核基本等同，安