2016信息系统安全离线作业_精品.pdf

浙江大学远程教育学院 《信息系统安全》课程作业 姓名： 学 号： 年级： 学习中心： ————————————————————————————— 第一次作业 三、简答题 1、SIM 卡是 （Subscriber Identity Model 客户识别模块）的缩写，也称为智能卡、用户身份 识别卡, GSM 数字移动电话机必须装上此卡方能使用。一般SIM 卡的IC 芯片中，有8kB 的存储容量，可供储存以下信息: (1) 100 组电话号码及其对应的姓名文字。(2) 15 组短信 息(Short Message)。(3) 5 组以上最近拨出的号码。(4) 4 位SIM 卡密码(PIN)。SIM 卡有两 个PIN 码:PIN1 码和PIN2 码。通常讲的PIN 码就是指PIN1 码，它用来保护SIM 卡的安全， 加密SIM 卡中的数据，是属于SIM 卡的密码。PIN2 码跟网络的计费（如储值卡的扣费等） 和SIM 卡内部资料的修改有关。某间谍被国家安全部门抓获，将手机SIM 卡咬碎成几个 部分。国家安全部门将SIM 卡的各部分数据恢复整合，获得部分联系人信息。问国家安 全部门需要进行哪些流程。 （视频教学内容第13、14 章） 答：1）SIM 被咬碎成几个部分，首先需要把每个部分存储的IC 芯片中的数据读出； 2）根据咬碎几个部分的几何位置，恢复原SIM 卡中8KB 数据； 3）恢复的8KB 数据是加密过的数据，属于密文； 4）需要破解PIN1 码，PIN 码只有4 位，可以穷举从0000 到9999； 5）用PIN1 码解密获得电话号码、短信、最近拨出的号码； 6）容易出错地方：a)PIN2 可以不解密。根据题意，PIN2 与计费有关和SIM 卡内部资料的修 改，不用来加密数据。 2、银行卡复制器是一种金融入侵工具，安装在银行的柜员机的磁卡入口处，只要卡插入后 账户资料就被磁卡采集器读取，同时需要偷看用户的密码。然后可以将窃取到的信息写 入空白磁卡。之后在提款机上利用假卡与密码，将账户内存款全数提走。问如何防范。 （视频教学内容第13、14 章） 答：1)防止信用卡信息被盗用，需要防止磁卡刷卡处增加安装设备； 2）输入密码时加遮挡，以免后面的其他人员查看，或被对面街道的高清摄像机拍摄； 3）还可以将信用卡从磁卡改成IC 卡。 3、张三的网游被黑，其道具被盗走，张三向网管投诉。网管调查发现，张三的账户密码为 123456。该密码属于世界上最常见密码之一，包括：123456、12345、123456789、Password、 iloveyou、princess、rockyou、1234567abc123。密码强度指一个密码被非 认证的用户或计算机破译的难度。 密码强度通常用 “弱”或 “强”来形容。高强度的 密码应该是：包括大小写字母、数字和符号，且长度不宜过短，最好不少于10 位；不 包含生日、手机号码等易被猜出的信息。请问在该事件中，能吸取哪些教训。 （教材第 3、4 章） 答：1)低强度的密码，容易被字典攻击； 2)张三应该设置一个高强度的密码，同时网游应该检测用户的密码强度是否够强； 3)张三应该定期修改密码，同时网游应该提醒用户定期修改。 四、设计题 1、阅读以下材料： （教材第3 章） 网络数据流窃听(Sniffer) 由于认证信息要通过网络传递，并且很多认证系统的口令是未 经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提 取出用户名和口令。 认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输， 如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。 一次性口令 （OTP：One Time Password）的密码体制，在登录过程中加入不确定因素， 使每次登录过程中传送的信息都不相同，以提高登录过程安全性。 这些不确定因子选择方式可以是：挑战/回答(CRYPTOCard)： 用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密 口令和随机数混合起来发送给