信息安全概论期末必考题及答案

信息安全概论期末必考题及答案一、单项选择题（本大题共20小题，每小题2分，共40分。在每小题给出的四个选项中，只有一项是符合题目要求的）1.在信息安全的基本属性中，确保信息在存储或传输过程中保持不被非授权篡改的特性是（）。A.机密性B.完整性C.可用性D.不可否认性2.现代密码学中，分组密码算法DES（DataEncryptionStandard）的有效密钥长度和分组长度分别为（）。A.56位，64位B.64位，64位C.128位，128位D.112位，64位3.在公钥密码体制中，用于解密的是（）。A.发送方的公钥B.发送方的私钥C.接收方的公钥D.接收方的私钥4.下列关于Hash函数（散列函数）的描述中，错误的是（）。A.Hash函数可以将任意长度的输入映射为固定长度的输出B.Hash函数是单向函数，即从Hash值很难推导出原始消息C.MD5和SHA-1目前被认为是极其安全的，不存在碰撞风险D.Hash函数常用于数字签名和消息完整性校验5.防火墙是一种隔离控制技术，它工作在OSI模型的哪一层主要实现包过滤功能？（）A.物理层B.网络层C.传输层D.应用层6.计算机病毒和蠕虫的主要区别在于（）。A.病毒需要依附于宿主程序，而蠕虫可以独立传播B.蠕虫需要依附于宿主程序，而病毒可以独立传播C.病毒只能破坏文件，蠕虫只能窃取数据D.蠕虫是良性代码，病毒是恶性代码7.在PKI（公钥基础设施）系统中，负责发布和管理数字证书的权威机构是（）。A.RA（注册机构）B.CA（认证中心）C.KMC（密钥管理中心）D.LDAP目录服务器8.下列哪种攻击属于“中间人攻击”（Man-in-the-MiddleAttack）的典型手段？（）A.SQL注入B.ARP欺骗C.暴力破解D.拒绝服务9.访问控制模型中，BLP（Bell-LaPadula）模型主要用于解决（）。A.商业机密保护B.军事系统的机密性保护C.数据完整性保护D.网络可用性保护10.HTTPS协议通过在HTTP和TCP之间加入（）层来提供安全传输。A.SSL/TLSB.IPSecC.SSHD.VPN11.对称加密算法AES（AdvancedEncryptionStandard）支持的可变分组长度和密钥长度组合中，最常用的是（）。A.64位分组，128位密钥B.128位分组，128位密钥C.128位分组，256位密钥D.256位分组，512位密钥12.入侵检测系统（IDS）按照检测技术分类，不包括（）。A.异常检测B.误用检测C.协议检测D.特征检测13.某文件的权限设置为-rwxr-xr--，则该文件的拥有者对该文件的权限是（）。A.只读B.读写C.读写执行D.执行14.在网络安全风险评估中，计算风险值通常涉及的要素不包括（）。A.资产价值B.威胁频率C.脆弱性严重程度D.防火墙品牌15.Kerberos认证协议中，引入了票据的概念，其主要目的是为了在开放网络中实现（）。A.数据加密B.单点登录C.访问控制D.审计日志16.下列关于IPSec协议的描述，正确的是（）。A.IPSec工作在应用层B.IPSec只支持传输模式C.AH协议提供机密性和完整性保护D.ESP协议提供机密性、完整性以及抗重放保护17.缓冲区溢出攻击利用了程序中的什么缺陷？（）A.逻辑错误B.内存管理错误C.权限设置错误D.输入验证缺失18.在数据库安全中，为了防止未授权用户访问敏感数据，常采用（）技术。A.视图B.触发器C.存储过程D.游标19.下列哪项不属于社会工程学攻击的范畴？（）A.垃圾搜寻B.钓鱼邮件C.假冒技术支持D.缓冲区溢出20.我国《网络安全法》正式实施的时间是（）。A.2016年11月7日B.2017年6月1日C.2018年1月1日D.2019年12月1日二、多项选择题（本大题共10小题，每小题3分，共30分。在每小题给出的四个选项中，有两项或两项以上是符合题目要求的。多选、少选、错选均不得分）1.针对信息系统安全的攻击类型主要包括（）。A.被动攻击B.主动攻击C.物理攻击D.内部威胁2.下列哪些属于对称加密算法？（）A.DESB.RSAC.AESD.ECC3.一个有效的数字签名必须满足的条件包括（）。A.签名者不能否认自己的签名B.任何人都不能伪造签名C.接收方能够验证签名的真实性D.签名速度必须快于加密速度4.操作系统安全加固的主要措施包括（）。A.安装最新的安全补丁B.关闭不必要的服务和端口C.设置强密码策略D.开启所有系统调试功能5.常见的VPN技术包括（）。A.IPSecVPNB.SSLVPNC.PPTPVPND.MPLSVPN6.恶意代码的传播途径包括（）。A.电子邮件附件B.恶意网页C.可移动存储介质（U盘）D.网络共享文件7.风险评估的主要阶段包括（）。A.资产识别B.威胁分析C.脆弱性识别D.风险计算8.下列关于TCP/IP协议栈安全性的描述，正确的有（）。A.TCP三次握手存在SYNFlood攻击风险B.IP协议本身不提供认证，存在IP欺骗风险C.DNS协议查询通常无加密，易被监听D.ICMP协议绝对安全，无法被利用9.信息安全管理体系（ISMS）基于PDCA模型，PDCA指的是（）。A.Plan（计划）B.Do（实施）C.Check（检查）D.Act（改进）10.数据库完整性约束包括（）。A.实体完整性B.参照完整性C.用户定义完整性D.传输完整性三、判断题（本大题共10小题，每小题1分，共10分。正确的打“√”，错误的打“×”）1.非对称加密算法的加密速度通常快于对称加密算法，因此常用于加密大量数据。（）2.防火墙可以彻底解决内部网络的安全问题，不需要配合其他安全设备。（）3.特洛伊木马是一种表面有用，实际上包含恶意代码的程序，它不具备自我复制能力。（）4.只要将文件设置为“只读”属性，就可以防止黑客对其进行修改。（）5.在强制访问控制（MAC）模型中，用户不能自行改变对象的安全级。（）6.Base64是一种加密算法，可以用于保护敏感数据的机密性。（）7.数字证书中包含了公钥、持有者信息以及CA的签名。（）8.端口扫描是一种被动攻击技术，攻击者不会留下痕迹。（）9.盐值在密码存储中用于增加彩虹表攻击的难度。（）10.所有的网络攻击行为都会导致目标系统数据的泄露或破坏。（）四、填空题（本大题共10小题，每小题2分，共20分）1.信息安全的基本要素（CIA三元组）是指机密性、完整性和______。2.在RSA算法中，若公钥为，则私钥d通常满足e×d≡3.防火墙的三种基本构建技术是包过滤技术、应用层代理技术和______技术。4.在X.509数字证书中，______字段用于指定证书签发者的唯一名称。5.常见的网络拒绝服务攻击中，利用大量TCP半连接耗尽服务器资源的攻击称为______攻击。6.访问控制决策通常基于主体、客体和______三个要素。7.ISO/IEC27000系列标准中，______是具体的信息安全管理体系实施规范。8.为了防止重放攻击，协议中通常包含______或时间戳。9.简单的单表替换密码容易被______分析破译。10.在身份认证中，基于“你知道什么”、“你拥有什么”和“你是什么”的认证方式，其中指纹属于“______”。五、简答题（本大题共6小题，每小题6分，共36分）1.请简述对称加密算法和非对称加密算法的主要区别及各自的优缺点。2.什么是SQL注入攻击？请列举两种防御SQL注入攻击的方法。3.简述数字签名的工作原理及其在网络通信中提供的安全服务。4.请解释什么是“拒绝服务攻击”和“分布式拒绝服务攻击”（DDoS），并说明它们的主要区别。5.简述访问控制中的DAC（自主访问控制）与MAC（强制访问控制）的区别。6.请说明TCP协议中的“三次握手”过程，并指出SYNFlood攻击是如何利用该过程漏洞的。六、综合应用题（本大题共4小题，共64分）1.（16分）RSA算法计算题。假设用户A选择了两个素数p=17，(1)计算模数n和欧拉函数ϕ((2)选择公钥指数e=7，请计算私钥指数(3)若用户B想向用户A发送明文消息M=5（假设M<(4)用户A收到密文C后，请利用私钥d解密，验证是否能恢复出明文M。2.（16分）Diffie-Hellman密钥交换计算题。假设Alice和Bob约定使用素数p=23和本原根(1)Alice选择私有密钥a=6，计算其公开密钥(2)Bob选择私有密钥b=15，计算其公开密钥(3)Alice收到Bob的公开密钥B后，计算共享密钥。(4)Bob收到Alice的公开密钥A后，计算共享密钥。(5)验证和是否相等。3.（16分）风险评估计算题。某公司的核心数据库服务器存储了高价值的客户信息。已知：该服务器资产价值为V=威胁源“黑客攻击”发生的频率（ARO，年发生率）估计为每年0.5次。若攻击成功，造成的损失程度（EF，暴露因子）为60%。(1)请计算该资产面临的单一损失期望（SLE）。(2)请计算该资产的年损失期望（ALE）。(3)公司计划部署一套入侵检测系统，该系统成本为50,000元，预计可以将威胁发生率降低到0.1次/年。请计算部署系统后的新ALE。(4)从成本效益角度分析，是否应该部署该系统？（需给出计算过程支持你的结论）。4.（16分）网络安全架构设计分析题。某企业计划构建一个安全的内部办公网络，网络拓扑结构如下：外部网络（Internet）<--->边界防火墙<--->DMZ区<--->内部防火墙<--->内部办公网DMZ区部署了Web服务器和邮件服务器。内部办公网部署了财务数据库服务器和员工PC。(1)请简述在边界防火墙上，应该如何配置规则来保护内部网络？（请从入站和出站方向简述）。(2)如果攻击者攻陷了DMZ区的Web服务器，为了防止其进一步横向移动到内部办公网的财务数据库，内部防火墙应该配置什么样的策略？(3)为了保证员工远程访问内部办公网的安全性，通常会采用什么技术？请简述该技术的工作原理。(4)针对DMZ区的Web服务器，除了防火墙保护外，请列举至少两项主机层面的安全加固措施。参考答案与解析一、单项选择题1.B解析：完整性是指信息在未经授权的情况下不能被篡改，保持数据的一致性。2.A解析：DES算法密钥有效长度为56位（64位中含8位校验位），分组长度为64位。3.D解析：公钥体制中，公钥加密，私钥解密；或者私钥签名，公钥验证。解密需用接收方的私钥。4.C解析：MD5和SHA-1已被证明存在碰撞漏洞，不再推荐用于高安全性场景。5.B解析：包过滤防火墙主要工作在网络层（IP层）和传输层（TCP/UDP端口）。6.A解析：病毒需要宿主文件，蠕虫是独立程序，利用网络自我复制。7.B解析：CA（CertificateAuthority）是证书的签发和管理机构。8.B解析：ARP欺骗通过伪造MAC地址实现中间人拦截流量。9.B解析：BLP模型基于安全级和范畴，重点解决机密性问题（“不上读，不下写”）。10.A解析：HTTPS=HTTP+SSL/TLS。11.B解析：AES标准分组长度128位，密钥长度可选128/192/256位，128位最常用。12.C解析：IDS主要分为基于特征（误用）和基于异常两类。协议检测属于实现细节而非主要分类。13.C解析：权限位前三位rwx对应拥有者，即读、写、执行权限。14.D解析：风险涉及资产、威胁、脆弱性，防火墙品牌是具体产品，非风险要素。15.B解析：Kerberos通过票据颁发实现跨域单点登录。16.D解析：ESP（EncapsulatingSecurityPayload）提供加密、认证和抗重放；AH只提供认证，不加密。17.B解析：缓冲区溢出是向固定长度缓冲区写入超长数据，覆盖相邻内存空间。18.A解析：视图可以限制用户对底层表某些行或列的访问。19.D解析：缓冲区溢出是技术攻击，社会工程学利用人的心理弱点。20.B解析：《中华人民共和国网络安全法》于2017年6月1日正式实施。二、多项选择题1.AB解析：攻击按性质分为被动（窃听、分析）和主动（篡改、伪造、破坏）。2.AC解析：DES和AES是对称算法；RSA和ECC是非对称算法。3.ABC解析：数字签名需满足不可伪造性、不可抵赖性、可验证性。速度不是必须条件。4.ABC解析：加固包括补丁、最小化服务、强密码。开启调试功能会泄露信息，降低安全性。5.ABCD解析：均为常见的VPN实现技术。6.ABCD解析：均为恶意代码常见的传播载体。7.ABCD解析：风险评估标准流程包含资产、威胁、脆弱性识别及风险计算。8.ABC解析：TCPSYNFlood、IPSpoofing、DNS嗅听都是已知风险。ICMP可用于PingofDeath攻击。9.ABCD解析：PDCA循环是管理体系运行的基础模型。10.ABC解析：数据库完整性主要包括实体、参照和用户定义完整性。三、判断题1.×解析：非对称加密计算复杂，速度远慢于对称加密，通常用于加密小数据（如密钥）。2.×解析：防火墙无法防止内部攻击和病毒传播，且不能替代IDS/IPS等。3.√解析：木马伪装成合法软件，诱导用户运行，不具备自我复制能力（不同于病毒）。4.×解析：操作系统权限控制下，Root/Admin用户可忽略只读属性；且攻击者可能夺取系统权限。5.√解析：MAC由系统管理员强制设定安全级，用户无权更改。6.×解析：Base64是编码方式，非加密，可逆且无密钥，无保护机密性作用。7.√解析：证书核心内容包括公钥、主体信息和CA的数字签名。8.×解析：端口扫描通过发送探测包，属于主动攻击，会被日志记录。9.√解析：盐值增加随机性，使得相同密码生成不同Hash，防御彩虹表。10.×解析：如DoS攻击旨在破坏服务可用性，不直接导致数据泄露。四、填空题1.可用性2.(3.状态检测4.Issuer(签发者)5.SYNFlood6.访问控制策略7.ISO/IEC270018.随机数9.频率10.你是什么五、简答题1.答：区别：对称加密：加密和解密使用同一个密钥。非对称加密：加密和解密使用不同密钥（公钥和私钥），公钥公开，私钥保密。对称加密优缺点：优点：算法速度快，适合处理大量数据。缺点：密钥分发和管理困难，缺乏不可抵赖性。非对称加密优缺点：优点：密钥管理简单（只需保护私钥），支持数字签名和密钥交换。缺点：算法计算复杂，速度慢，通常用于小数据加密。2.答：定义：SQL注入是指攻击者通过在Web表单输入或页面请求的查询字符串中插入恶意的SQL命令，欺骗后端数据库服务器执行非授权的SQL命令，从而窃取数据、破坏数据或绕过访问控制。防御方法：1.使用预编译语句：这是最有效的防御方法，将数据与代码分离。2.输入验证：对用户输入进行严格的类型、长度、格式检查。3.最小权限原则：限制数据库连接账号的权限，禁止使用dbo或sa权限。4.使用ORM框架：利用对象关系映射工具自动处理SQL拼接。3.答：工作原理：1.发送方使用哈希函数对原始消息生成摘要。2.发送方使用自己的私钥对摘要进行加密，生成数字签名。3.发送方将原始消息和数字签名一起发送给接收方。4.接收方使用发送方的公钥解密数字签名，恢复出摘要A。5.接收方对收到的原始消息使用相同的哈希函数计算摘要B。6.比较摘要A和摘要B，若一致，则验证通过。提供的安全服务：数据完整性：验证消息是否被篡改。身份认证：验证发送者的身份（因为只有发送方有私钥）。不可抵赖性：发送方无法否认发送过该消息。4.答：DoS（拒绝服务攻击）：攻击者从单一源点向目标发起攻击，旨在耗尽目标资源（CPU、内存、带宽），使服务瘫痪。DDoS（分布式拒绝服务攻击）：攻击者控制大量僵尸网络（傀儡机），从多个分散的源点同时向目标发起攻击。区别：攻击源数量：DoS通常是一对一；DDoS是多对一。防御难度：DoS较容易通过追踪和过滤源IP防御；DDoS流量巨大且来源广泛，难以区分正常流量和攻击流量，防御极其困难。5.答：DAC（自主访问控制）：资源拥有者有权决定谁可以访问该资源以及访问权限（读、写、执行）。灵活性高，但安全性较低，容易受到特洛伊木马攻击，权限控制粒度通常是用户或组。MAC（强制访问控制）：由系统管理员或安全策略强制决定访问权限，用户无法自行改变。基于安全级（如绝密、机密、公开）和范畴，强制执行“不上读、不下写”规则。安全性高，常用于军事或高敏感系统，但灵活性差。6.答：三次握手过程：1.客户端发送SYN包（seq=x）给服务器，进入SYN_SENT状态。2.服务器收到SYN包，回复SYN+ACK包（ack=x+1,seq=y），进入SYN_RCVD状态。3.客户端收到SYN+ACK包，回复ACK包（ack=y+1），进入ESTABLISHED状态。SYNFlood攻击原理：攻击者伪造大量不存在的IP地址，向服务器发送大量SYN请求包。服务器回复SYN+ACK包，并等待客户端的ACK确认（此时连接处于半连接状态，占用Backlog队列）。由于源IP是伪造的，服务器永远收不到ACK，导致大量半连接积压，耗尽资源，无法处理正常用户的连接请求。六、综合应用题1.解：(1)计算模数n和欧拉函数ϕ(nϕ(2)计算私钥指数d。已知e=7，求d使得利用扩展欧几里得算法：1607反向代换：111即23×所以，私钥d=(3)计算密文C。C===80001878000所以，密文C=(4)解密验证。M计算过程较繁琐，利用中国剩余定理或直接计算验证：146M模17：−41≡模11：−41≡设M=17取k=0，则验证成功，恢复明文为5。2.解：(1)Alice计算公开密钥A。A==所以，A=(2)Bob计算公开密钥B。B===12518所以，B=(3)Alice计算共享密钥。=19(4096234096所以，=2(4)Bob计算共享密钥。=====−320320−所以，=2(5)=2，=3.解：(1)计算单一损失期望（SLE）。S(2)计算年损失期望（ALE）。A(3)计算部署系统后的新ALE。新的年发