信息安全考试题库(附答案)

信息安全考试题库(附答案)要素。身份信息认证系统主要由以下要素构成：身份识别、身份验证、身份授权和身份管理。身份识别是指确定用户的身份信息，如用户名、密码等；身份验证是指通过验证用户提供的身份信息来确认用户身份的真实性；身份授权是指授予用户访问特定资源的权限；身份管理是指管理用户的身份信息和权限，包括添加、修改和删除用户信息等操作。这些要素共同构成了一个完整的身份信息认证系统。Q7:密钥类型有哪些？密钥可以分为数据加密密钥和密钥加密密钥。而密钥加密密钥则分为主密钥、初级密钥和二级密钥。Q8:密钥保护的基本原则是什么？密钥保护的基本原则有两个。首先，密钥永远不可以以明文的形式出现在密码装置之外。其次，密码装置是一种保密工具，可以是硬件或软件。Q9:什么是访问控制？它包括哪几个要素？访问控制是指基于身份认证，根据身份对资源访问请求进行控制的一种防御措施。它可以限制对关键资源的访问，防止非法用户或合法用户的不慎操作所造成的破坏。访问控制包括三个要素：主体、客体和访问策略。Q10:自主访问控制和强制访问控制有什么区别？自主访问控制是基于用户身份和授权进行访问控制的一种方式。每个用户对资源的访问请求都要经过授权检验，只有授权允许用户以这种方式访问资源，访问才会被允许。而强制访问控制则是通过敏感标签来确定用户对特定信息的访问权限。用户的敏感标签指定了该用户的敏感等级或信任等级，而文件的敏感标签则说明了访问该文件的用户必须具备的信任等级。自主访问控制较为灵活，但存在安全隐患，而强制访问控制则提高了安全性但牺牲了灵活性。其他知识点：1、信息的定义信息是指认识主体所感受的或所表达的事物的运动状态和变化方式。信息是普遍存在的，与物质和能量有关，人类认识事物、改变事物必须依赖于信息。2、信息的性质信息具有普遍性、无限性、相对性、转换性、变换性、有序性、动态性、转化性、共享性和可量度性等性质。3、信息技术信息技术的产生源于人们对世界认识和改造的需要。它是一种以计算机技术为核心的技术体系，包括计算机硬件、软件、通信技术和信息处理技术等。信息技术是指能够延长或扩展人的信息能力的手段和方法。信息安全是设计日常生活的各个方面所必需的。消息层（完整性、保密性、不可否认性）和网络层（可用性、可控性）是信息安全研究设计的领域。信息安全的要素包括完整性、保密性、不可否认性、可用性和可控性。安全的定义是远离危险的状态或特征。信息安全关注信息本身的安全，保护信息财产不受损失。常见的安全威胁包括信息破坏、破坏信息完整性、拒绝服务、非法使用（非授权访问）、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理入侵、窃取和业务欺骗。信息系统的威胁可以从物理安全角度、通信链路角度、网络安全角度、操作系统角度、应用系统角度和管理系统角度来考虑。应对措施包括安全机制和技术、管理和政策法律措施。网络攻击手段的产生原因包括网络本身的开放性和共享性、系统客观存在的安全漏洞和网络协议的设计缺陷。网络攻击工具包括安全扫描工具、监听工具和口令破译工具。信息安全的实现需要采取安全机制和技术、管理和政策法律措施。信息安全的技术措施包括信息加密、数字签名、数据完整性保护、身份鉴别、访问控制、数据备份和灾难恢复、网络控制技术、反病毒技术、安全审计、路由控制技术和其他（业务填充、公证机制等）。信息安全管理的目标是保障信息资源安全。首先，选择两个大素数p和q，计算n=pq，欧拉函数值为φ(n)=(p-1)(q-1)，然后随机选择整数e，满足gcd(e,φ(n))=1，并计算整数d，使得ed≡1modφ(n)，公钥为{e,n}，私钥为{d,n}。p和q是秘密参数，需要保密，如果不需要保存，可以销毁。加密过程：设接收方的公钥为e，明文m满足0≤m<n（否则需要进行分组），计算密文c=mmodn。解密过程：使用私钥d，计算明文m=c^dmodn。信息摘要函数（哈希函数）将任意长度的消息序列映射为较短的、固定长度的一个值的函数。哈希函数的安全条件和常见攻击类型见习题。数字签名应该具有可信、无法被伪造、无法重复使用、文件被签名以后是无法被篡改的、签名具有不可否认性等特征。数字签名可以解决否认、伪造、篡改及冒充等问题。数字签名的实现可以使用对称加密算法或非对称加密算法。非对称加密算法可以使用公钥签名技术，利用单向函数对报文变换，得到数字签名。加密强度高，可以进行第三方认证。数字签名标准（DSS）包括盲签名和群签名两种特殊签名方式。身份认证技术的目的是对通信中一方的身份进行标识和验证。身份认证的方法包括验证用户所拥有的可被识别的特征，例如口令、密钥、智能卡和令牌卡、指纹、声音、视网膜等。身份认证系统由被验证身份者、验证者、攻击者和可信任的机构作为仲裁或调解机构组成。常见身份认证技术包括基于口令的认证技术、双因子身份认证技术、生物特征认证技术和给予零知识证明的识别技术。其中口令技术是目前常用的身份认证技术，但存在口令泄露的问题，泄露途径包括登录时被他人窥视、攻击者从计算机中存放口令的文件中读取、口令被在线攻击猜测出和被离线攻击搜索到。口令攻击是指攻击者通过不断尝试不同的口令来获取系统的访问权限。常见的口令攻击种类包括网络数据流窃听、认证消息截取／重放、字典攻击、穷举尝试、窥探、社交工程和垃圾搜索等。数字证书是一种用于验证身份的数字凭证，可以用于身份认证和数据加密等方面。智能卡是一种集成了处理器和存储器的安全设备，常用于进行身份认证和加密通信等操作。智能卡的功能包括询问／应答、时间同步和事件同步等。主体特征认证是一种无法被仿冒的身份认证方法，但是由于成本较高且不稳定，目前尚未得到广泛应用。使用密码学方法的身份认证协议比传统的口令认证更加安全。身份认证协议由两个通信方和可能的第三方组成，其中一个通信方向另一方或第三方发出认证请求，对方按照协议规定作出响应，当协议执行完毕时双方应该确信对方的身份。根据使用的加密方法，身份认证协议可以分为基于对称密钥和基于公钥加密的两种。密钥管理是处理密钥自产生到销毁的整个过程中的所有问题，包括系统初始化、密钥的产生、存储、备份／装入、分配、保护、更新、控制、丢失、吊销和销毁等。密钥管理需要借助加密、认证、签字、协议和公证等技术来实现。密钥管理的因素包括理论因素、人为因素和技术因素。对称密钥的管理包括加密密钥的管理和加密密钥交换协议等。完整的密钥管理系统应该包括密钥管理、密钥分配、计算机网络密钥分配方法、密钥注入、密钥存储、密钥更换和密钥吊销等方面。主要的密钥包括初始密钥、会话密钥、密钥加密密钥和主密钥等。密钥分配需要解决密钥的自动分配和密钥量的减少两个问题。根据密钥信息的交换方式，密钥分配可以分为人工密钥分发、基于中心的密钥分发和基于认证的密钥分发三种。自主访问控制模型是一种基于主体和客体之间的关系来进行访问控制的模型。该模型中，主体拥有自主权来控制对客体的访问权限。远程控制是指通过网络远程控制另一台计算机的行为。攻击者可以利用远程控制软件，如黑客常用的“后门”程序，来获取受害者计算机的控制权，从而进行各种恶意行为，如窃取敏感信息、破坏系统等。拒绝服务攻击是指攻击者通过向目标服务器发送大量无效请求，使其无法正常响应合法请求，从而使目标系统无法提供正常的服务。这种攻击方式可以导致系统瘫痪，影响用户体验和业务运营。口令猜测攻击是指攻击者通过尝试各种可能的用户名和密码组合，来猜测受害者的登录口令，从而获取系统的访问权限。这种攻击方式常用于攻击弱口令或未加密的系统，对系统安全造成威胁。计算机病毒是指一种能够在计算机系统中自我繁殖的恶意程序。计算机病毒具有以下特性：首先，计算机病毒具有传染性，一旦进入计算机就会寻找其他符合条件的程序或存储介质，以实现自我繁殖。其次，计算机病毒具有隐蔽性，通常会附在正常程序中或磁盘较隐蔽的地方，以避免用户发现。第三，计算机病毒具有潜伏性，可以长期隐藏在系统中，只有在特定条件下才会发作，从而对系统和文件进行传染。其次，计算机病毒具有破坏性，一旦侵入系统，就会对系统及应用程序产生不同程度的影响，轻则降低计算机的工作效率，重则导致系统崩溃。此外，计算机病毒还具有针对性，通常针对某种或几种计算机和特定的操作系统，以及衍生性，可以被修改成不同的变种。最后，计算机病毒具有寄生性，需要寄生在其他程序或文件中才能进行传染。了解这些特性可以帮助我们更好地理解计算机病毒的工作原理和防范方法。一般的计算机病毒程序都会