09信息安全原理考题.doc

安全管理实践 列举信息系统安全的三原则，并简单描述。（15分） 答：信息系统安全的三原则包括保密性、完整性和可用性。保密性指对信息或资源的隐藏。保护信息的内容免遭有意或无意的、未授权的泄漏。应在信息存储、传输和使用时都发挥作用。完整性指数据或资源的可信度。保证未经授权，不能修改数据；已授权用户不得进行未授权修改；信息的内部和外部相一致。可用性指对信息或资源的期望使用能力。保证适当人员可靠地、及时地访问数据或计算资源。 名词解释：（每个3分） 例：标识：用户向系统声明自己身份的方法。认证：用户身份证据的测试和调整。！责任：确定系统中个人的行动和行为，以及识别具体个人的系统能力。！授权：授予个人（或过程）权利和许可，使之能够访问计算机。！隐私：系统提供给用户的保密性和隐私保护的级别。！脆弱性：安全措施的缺乏或弱点。！资产：一个机构必须保护的资源、工序、产品、计算基础设施等。！威胁：对机构造成不良影响的潜在事件。！风险：一个特定的威胁利用一个特定的脆弱性进行攻击的可能性。 列举针对风险的补救措施，并简要说明。（10分） 答：针对风险的补救措施包括风险降低、风险转移和风险接受。风险降低就是通过安装软件、改进方法或改善环境等手段防止风险的发生；风险转移就是通过保险等形式在发生威胁时降低损失；风险接受就是在威胁无法避免时接受损失。（自己写的，请老师予以指正。） 列举五种你知道的攻击形式，并指出针对的是信息系统的哪个性质进行的攻击。（10分） 答：保密性：网络监听、窥视、盗窃密码、社交工程；完整性：病毒、后门、破解；可用性：拒绝服务。 访问控制系统 列举五种生物识别特征方法。（5分） 答：指纹识别、视网膜扫描、虹膜扫描、面部扫描、手掌纹理扫描、手掌扫描、手型拓扑、声音识别、动态手写签字、动态键盘键入。 列举五种口令攻击方式，并谈谈你认为具有什么特点的口令才是安全口令。（10分） 答：口令攻击方式有：网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试、窥探、社交工程、垃圾搜索。安全口令的特点：位数较长，目前认为至少大于6位；大小写字幕混合；字母与数字混合；口令中包含字母、数字以外的符号。 电信和网络安全 简述SYN攻击的原理。（15分） 答：在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN-ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。SYN攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。服务器接收到连接请求（syn= j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。 加密技术 请给出使用非对称密钥密码技术在通信双方传送对称密钥，用对称密钥来对传输数据加密解密的模型，并简单说明此模型的优点（15分） 答：下面就是要求的模型。使用非对称密码技术使得数据通信使用的密码能更安全的传递，而且为了不降低通信效率，和对称密码技术相结合，避免了单独使用非对称密码的时间延迟大的缺点，保证了大量数据通信时的效率。 为什么会有数字签名？对数字签名的基本要求是什么？（10分） 答：鉴别文件或书信真伪的传统做法是亲笔签名或盖章。签名起到认证，核准，生效的作用。电子商务、政务要求对电子文档进行辨认和验证，因而产生了数字签名。数字签名必须保证以下3点：1 接受者能够核实发送者对报文的签名；2 发送者时候不能抵赖对报文的签名；3 接受者不能伪造对报文的签名。 安全体系结构和模型 简述体系结构保护机制中的环方式。（10分） 答：按系统程序和用户程序的重要性及对整个系统的正常运行的影响程度进行分层，没一层叫做一个环，列有环号。环号大小表示保护的级别，环号越大，等级越低。许多系统使用4个保护环：0环，操作系统内核；1环，操作系统的其余部分；2环，I/O驱动程序和工具；3环，应用和程序。 物理安全 11．某公司购进一台服务器，安置在一个房间中，在屋里安全方面应考虑哪些威胁，为什么，请至少写出五种。（10分） 答：应考虑以下威胁：1.温度：在不适宜的温度下，服务器容易出现故障；2.气体：有害气体可能对服务器产生不良影响；3.液体：液体可能导致服务器中电路短路；4.生物体：生物体接近服务器可能损坏服务器；5.射弹：飞行物可能由于碰撞等原因损坏服务器；6.运动：服务器在运动中容易产生损坏；7.能量异常：过大的电流会损坏服务器。