当前位置：文档库 › 信息安全作业整理

信息安全作业整理

1. 什么是信息？信息有哪些特性及安全属性。

答：信息是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。

信息的特性：普遍性和可识别性；储存性和可处理性；时效性和可共享性；增值性和可开发性；可控性和多效用性。

信息安全的属性主要包括保密性，完整性，可用性，可控性，可审查性。

2. 计算机系统的脆弱因素有哪些？为什么说计算机系统的脆弱性会导致整个社会的脆弱？

答：(1)计算机系统的脆弱因素包括：数据输入、编程、软件、数据库、操作系统、输出、通信、硬件、电磁辐射、辅助保障(水、电、空调等)。

(2)随着社会的发展，互联网在当今生活中的应用已经非常广泛，小到家庭，大到国家安全部门，以及社会服务机构，都是基于互联网(计算机系统)而运作的。由于计算机系统本身的不完善性，计算机系统的脆弱会直接影响到我们的生活，例如铁路系统崩溃，电话系统暂停，这样会直接影响到我们的生活，甚至国家的安全，因此，计算机系统的脆弱会导致整个社会的脆弱。

3. 一个密码体制的要素有哪些？

答：通常一个完整的密码体制包括如下五个要素:

1)M——可能明文的有限集，称为明文空间。

2)C——可能密文的有限集，称为密文空间。

3)K——一切可能密钥的有限集，称为密钥空间。

4)E——加密函数

5)D——解密函数

4. DES算法中S盒的作用是什么？DES加密与解密有何不同？

答：数据加密标准DES(Data Encryption Standard)算法是一个分组加密算法，也是一个对称算法，加密和解密使用同一个算法，利用传统的换位、异或、置换等加密方法。

(1)S盒的作用是获得高非线性度。

(2)加密过程和解密过程的不同：“方向和过程刚好相反”。即，“解密过程是加密过程的反过程”，DES算法解密过程是加密过程的“逆”运算。

5. 密码算法的分类有哪些？有何主要用途？

分类内容主要用途

保密的内容

受限制的(restricted)算法算法的保密性基于保持算法的秘密基于密钥(key-based)的算法算法的保密性基于对密钥的保密

按照密钥的特

点

对称密码算法

(symmetric cipher)

将明文和加密密钥一起经过特殊加密

算法处理后，使其变成复杂的加密密文非对称密钥算法

(asymmetric cipher)

用一个密钥进行加密,而用另一个进行解密

对明文的处理方式分组密码(block cipher)

将明文分成固定长度的组，用同一密钥和算法对每一

块加密，输出也是固定长度的密文

流密码(stream cipher) 序列密码每次加密一位或一字节的明文

6. 设计一个RSA，加密你的姓名全拼。设a=1,b=2,…z=26，不足添0，N>2626，双字母同时加密。如"zhang"，明文编码为2608,0114,0700。

答：设p=47, q=59, n=p*q=2773 φ(n)=(p-1)(q-1)=46×58=2668

取e=3 解方程e*d=1(mod 2668)得d=1779

现有明文：zhaoyuejiang(赵月江)

将明文分块：zh ao yu ej ia ng

数字化：2608 0115 2521 0510 0901 1407

加密得：0135 1271 2748 1772 1264 1336

7、说明RSA算法中密钥产生和加解密的过程。如何寻找大素数？

<1>、密钥的产生

（1）随机选择两个大素数（如100位十进制数）p和q，令n=p×q；

（2）计算欧拉函数（见定理2.1.1）

?(n)=n(1-1/p)( 1-1/q)=(p -1)(q -1) ；

（3）选择e使得1

（4）计算d

e?d≡1 mod ?(n)，且0≤d≤n

（5）公开公钥：PU={e, n}；

（6）保存私钥：PR={d, p, q}。

<2>、加密过程

（1）在公钥库中查得用户U的公钥：PU={e, n}；

（2）将明文分组m=m1m2…mr，使得0≤mi

（3）对明文分组mi 作加密变换：

ci=E(mi) ≡ mie mod n ， i=1，2，… ，r

（4）将密文c1 c2…cr 传送给用户U 。

<3>、解密过程

（1）先对每组密文做解密变换：

mi=D(ci) ≡cid mod n

（2）合并分组得到明文m=m1m2…mr 。

选取一个素数的过程如下：

随机选一个奇数n ；

随机选一个整数a

完成素性检测，如下面介绍的Miller-Rabin 算法；

如果n 没有通过检测，舍弃n 并转向步骤1，如果n 通过了足够多次的检验，就接受它为素数，否则转向步骤2.

8.认证与数字签名技术有哪些主要区别？

信息的可认证性是信息安全的一个重要方面。认证的目的有两个：一是验证信息的完整性，即验证信息在传送或存储过程中未被窜改、重放或延迟等。二是验证信息发送者是真的，而不是冒充的。认证是防止敌手对系统进行主动攻击(如伪造、窜改信息等)的一种重要技术。认证的实用技术主要有数字签名、身份识别技术和信息的完整性校验等技术。

数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

7. 作图说明基于公开密钥体制的保密数字签名过程。明文Hash 信息摘要Hash

数字签名

明文数字签名

用户A 的数字证书

即A 的公钥

加密密文

用户B 的数字证书加密数字信封用户B 的

公开密钥

密文数字信封数字信封

密文解密用户B 的私钥明文数字签名用户A 的数字证书

即A 的公钥

解密

用户A 的

私钥

摘要1摘要2

对比

1. 作图说明基于非对称加密体制的安全通信过程。

9.什么是PKI ？什么是X.509？

PKIX 工作组给的PKI 的定义为：“是一组建立在公开密钥算法基础上的硬件、软件、人员和应用程序的集合，它应具备产生、管理、存储、发展和废止证书的能力”。PKI 是一种遵循一定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理。

X.509 标准规定了证书可以包含什么信息，并说明了记录信息的方法(数据格式)，它还包括以下信息：

版本号序列号签名算法标示符签发人姓名有效期主体名主体公钥信息颁发者唯一标识

主

体

唯一

标

识

扩展签名信息明

文加密密

码算密文解密密码算

明文私钥

公钥

10. 说明Kerberos认证的主要流程及特点。

Kerberos认证的优点：

(1)较高的Performance

虽然我们一再地说Kerberos是一个涉及到3方的认证过程：Client、Server、KDC。但是一旦Client获得用过访问某个Server的Ticket，该Server就能根据这个Ticket实现对Client的验证，而无须KDC的再次参与。和传统的基于Windows NT 4.0的每个完全依赖Trusted Third Party的NTLM比较，具有较大的性能提升。

(2)实现了双向验证(Mutual Authentication)

传统的NTLM认证基于这样一个前提：Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。这显然有点理想主义，为此Kerberos弥补了这个不足：Client在访问Server的资源之前，可以要求对Server的身份执行认证。

(3)对Delegation的支持

Impersonation和Delegation是一个分布式环境中两个重要的功能。Impersonation允许Server在本地使用Logon 的Account执行某些操作，Delegation需用Server将logon的Account带入到另过一个Context执行相应的操作。NTLM仅对Impersonation提供支持，而Kerberos通过一种双向的、可传递的(Mutual 、Transitive)信任模式实现了对Delegation 的支持。

(4)互操作性(Interoperability)

Kerberos最初由MIT首创，现在已经成为一行被广泛接受的标准。所以对于不同的平台可以进行广泛的互操作。

Kerberos认证的缺点：

(1)Kerberos身份认证采用的是对称加密机制，加密和解密使用的是相同的密钥，交换密钥时的安全性比较难以保障。

(2)Kerberos服务器与用户共享的服务会话密钥是用户的口令字，服务器在响应时不需验证用户的真实性，而是直接假设只有合法用户拥有了该口令字。如果攻击者截获了响应消息，就很容易形成密码攻击。

Kerberos中的AS(身份认证服务)和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS 的性能和安全。在AS和TGS前应该有访问控制，以增强AS和TGS的安全。

(3)随用户数量增加，密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值，AS与TGS负责户间通信密钥的分配。假设有n个用户想同时通信，则需要维护n×(n-1)/2个密钥。

(1)C请求票据许可票据

用户得到票据许可票据的工作在登录工作站时进行。登录时用户被要求输入用户名，输入后系统会向认证服务器AS以明文方式发送一条包含用户和TGS服务两者名字的请求。

(2)AS发放票据许可票据和会话密钥

认证服务器检查用户是否有效，如果有效，则随机产生一个用户用来和TGS通信的会话密钥Kc，tgs，然后创建一个票据许可票据Tickettgs，票据许可票据中包含有用户名，TGS服务名，用户地址，当前时间，有效时间，还有刚才创建的会话密钥。票据许可票据使用Ktgs加密。认证服务器向用户发送票据许可票据和会话密钥Kc，tgs，发送的消息用只有用户和认证服务器知道的Kc来加密，Kc的值基于用户的密码。

(3)C请求服务器票据

用户工作站收到认证服务器回应后，就会要求用户输入密码，将密码转化为DES密钥Kc，然后将认证服务器发回的信息解开，将票据和会话密钥保存用于以后的通信，为了安全性用户密码和密钥Kc则被删掉。

当用户的登录时间超过了票据的有效时间时，用户的请求就会失败，这时系统会要求用户重新申请票据Tickettgs。用户可以查看自己所拥有的令牌的当前状态。

一个票据只能申请一个特定的服务，所以用户必须为每一个服务s申请新的票据，用户可以从TGS处得到票据Tickets。

用户首先向TGS发出申请服务器票据的请求。请求信息中包含s的名字，上一步中得到的请求TGS服务的加密票据Tickettgs，还有用会话密钥加密过的Authenticator信息。

(4)TGS发放服务器票据和会话密钥

TGS得到请求后，用私有密钥Ktgs和会话密钥Kc，tgs解开请求得到Tickettgs和Authenticatorc的内容，根据两者的信息鉴定用户身份是否有效。如果有效，TGS生成用于c和s之间通信的会话密钥Kc，s，并生成用于c申请得到s服务的票据Tickets，其中包含c和s的名字，c的网络地址，当前时间，有效时间和刚才产生的会话密钥。票据Tickets 的有效时间是票据Tickettgs剩余的有效时间和所申请的服务缺省有效时间中最短的时间。

Tgs最后将加密后的票据Tickets和会话密钥Kc，s用用户和TGS之间的会话密钥Kc，tgs加密后发送给用户。用户c得到回答后，用Kc,tgs解密，得到所请求的票据和会话密钥。

5)C请求服务

用户申请服务s的工作与(3)相似，只不过申请的服务由TGS变为s。

用户首先向s发送包含票据Tickets和Authenticatorc的请求，s收到请求后将其分别解密，比较得到的用户名，网络地址，时间等信息，判断请求是否有效。用户和服务程序之间的时钟必须同步在几分钟的时间段内，当请求的时间

与系统当前时间相差太远时，认为请求是无效的，用来防止重放攻击。为了防止重放攻击，s通常保存一份最近收到的有效请求的列表，当收到一份请求与已经收到的某份请求的票据和时间完全相同时，认为此请求无效。

(6)S提供服务器认证信息

当C也想验证S的身份时，S将收到的时间戳加1，并用会话密钥Kc，s加密后发送给用户，用户收到回答后，用会话密钥解密来确定S的身份。

2. 说明对称加密、非对称加密和消息摘要算法的特点和用途。

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担，密钥管理困难，使用成本较高。可以用于当网站需要向Cookies里面写重要的数据的时候可以使用对称加密算法，需要用到Cookie中的数据的时侯再解密密文，得到说要用的数据。

非对称密钥体制中，它使用不同的加密密钥和解密密钥，且加密密钥是向公众公开的，而解密密钥是需要保密的，发送方拥有加密或者解密密钥，而接收方拥有另一个密钥。两个密钥之一也是保密的，无解密密钥，解密不可行，知道算法和其中一个密钥以及若干密文不能确定另一个密钥。缺点也很突出：非对称加密算法复杂，导致加解密速度慢，故只适合小量数据的场合。而对称加密加解密效率高，系统开销小，适合进行大数据量的加解密。可用于网站安全登录,用户身份验证等。

消息摘要算法的主要特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。主要应用在“数字签名”领域，作为明文摘要算法。

3. Shannon提出的密码系统设计基本原则是什么？在Feistel密码结构中如何体现？

基本原则是模糊原则和扩散原则，模糊性意味着加密法应隐藏所有局部模式，也就是说，语言的任何识别字符都应变模糊。加密法应将可能导致破解密钥的提示性语言特征进行隐藏。扩散性要求加密法将密文的不同部分进行混合，使任何字符都不在其原来的位置。很多混沌系统与密码学中常用的feistel网络结构是非常相似的。

4. DES算法中S盒的作用是什么？若S2的输入为101011，其输出是什么？

s盒是DES算法的核心，它是算法中唯一的非线性部分，是算法安全的关键；有8个s盒，每个s盒输入6位，输出四位，即输入48位，输出32位；输入的6位中的第一位和第六位表示行数，中间四位表示列数，找到s盒中对应的数值。

输入101011.其中第一位和最后一位11表示行，即第“4”行，而列是由0101确定，即第6列。查s2盒的第4行和第6列的交叉处为6，即输出为“0110”

12. 简述B-LP安全模型的基本原则。

答：Bell-Lapadula安全模型所制定的原则是不上读/不下写，从而保证数据的保密性。不上读表示不允许低信任级别的用户读高敏感度的信息，不下写则表示不允许高信任级别的用户将高敏感度的信息写入低敏感度区域，从而禁止信息从高级别流向低级别，如下图所示。

Top Secret

Secret Unclassified

Top Secret

Secret

Unclassified 禁止读

允许读

主体客体

Top Secret

Secret Unclassified

Top Secret

Secret

Unclassified 允许写

允许写

禁止读

主体客体

1、密钥管理系统设计到密钥管理的哪些方面？

有密钥生成、密钥分发、验证密钥、更新密钥、密钥存储、备份密钥、密钥有效期、销毁密钥。

2、什么是访问控制？访问控制包括有哪些要素？

访问控制是指主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

包括三个要素：

1）主体：提出请求或要求的实体，是动作的发起者。某个用户，进程，服务和设备等。

2）客体：接受其他实体访问的被动实体，例如信息，资源和对象都可以被认为是客体。

3）控制策略：主体对客体的访问规则集。简单地说就是客体对主体的权限允许。

访问控制的目的：控制主体对客体资源的访问权限。

访问控制的任务：识别和确认访问系统的用户，决定该用户可以对某一系统资源进行何种类型的访问。

3、一个MAC系统中，已知文档D的访问级别为{secret；polit，scien}，用户U的访问级别为{top secret；polit，econo}。请问，用户U能否访问文档D？为什么？

答：不能访问，在MAC系统中，保证信息安全的基本策略是主体具有的访问许可级别要大于最低等于客体的密级。本题中文档D的权利级别为“secret”，用户U的级别为“top secret”，用户的权利级别大于文档，但文档的类别“polit，scien”，而用户为“polit，econo”，用户的类别级别不能支配文档的类别级别。所以文档不受用户的支配。所以用户不能访问文档。

13. 简述RBAC的基本思想。

答：RBAC，即基于角色的访问控制(Role-Based Access Control)，不同于传统的访问控制，其基本思想是：将访问权限分配给角色，通过赋予用户不同的角色，授予用户角色所拥有的访问权限。

14. 什么是可信计算机评价准则？它将计算机系统安全等级划分为哪几级？各级有何特点？

答：(1)可信计算机系统评价准则，即TCSEC(Trusted Computer System Evaluation Criteria)，是国际计算机安全中心(National Computer Security Center)于1983年提出的关于安全计算机的基本准则。

(2)TCSEC 的安全准则将计算机系统的安全分为四大类，从低级到高级依次为D 、C 、B 和A 四类。A 是最高的一类，每一类都代表一个保护敏感信息的评判准则，并且一类比一类严格。

(3)各级特点：

D 类：D 类是最小的保护类。这是安全级别最低的一类，不再分级，这类是那些通过评测但达不到较高级别安全要求的系统。

C 类：C 类是无条件的保护类，分为C1和C2两个子类。C1是无条件的安全保护类。这是C 类中安全级别较低的一个子类，提供的安全策略是无条件的访问控制，具有识别与授权的责任。早期的UNIX 系统属于这一类。C2是有控制的存取保护类。这是C 类中安全级别较高的一个子类，除了提供C1中的策略与责任外，还有访问保护和审计跟踪功能。

B 类：B 类是属强制保护类，要求系统在其生成的数据结构中带有标记，并要求提供对数据流的监视,分为B1、B2和B3三个子类。B1是标记安全保护类，是B 类中的安全级别最低的子类，除满足

C 类要求外，要求提供数据标记。B2是结构安全保护类，是B 类中的安全级别居中的子类，除满足B1要求外，要实行强制性的控制。B3是安全域保护类，是B 类中的安全级别最高的子类，提供可信设备的管理和恢复，即使计算机崩溃，也不会泄露系统信息。

A 类：A 类是经过认证的保护类，是安全系统安全级别最高的类，这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。

15. TCP/IP 协议的主要安全缺陷有哪些？

答：TCP/IP 协议数据的传输基于TCP/IP 协议的四层结构：应用层、传输层、网络层、接口层。

物理层：主要威胁有打线窃听与Sniffer ；

网络层：主要威胁有IP 地址欺骗、劫持攻击；

传输层：主要有TCP 和UDP 协议，TCP 的安全问题有会话管理的支持较少、复杂的协议相对缺少内在的验证机制、TCP 采用简单确认机制有可能被冒用。

16. 什么是防火墙？试设计一个含DMZ 的防火墙结构。

答：(1) 防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

(2) 屏蔽子网包含两个屏蔽路由器和一个堡垒主机，堡垒主机放在一个子网内，两个包过滤路由器放在这一子网的两端，使这一子网与Internet 及内部网络分离。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”或“非军事化区”(DMZ ，即DeMilitarized Zone)，堡垒主机放置在“停火区”内。如下图所示： Internet 内部网

包过滤

路由器DMZ

堡垒主机

包过滤

路由器

17. 什么是VPN ？有哪几种主要类型？

答：(1) VPN ，即虚拟专用网络(Virtual Private Network)，是通过Internet 或公共网络建立专用的网络连接，扩展了专用网络的范围。

(2) 根据不同需要，可以构造不同类型的VPN 。

① 内部网VPN

内部网VPN 是通过公共网络将一个组织的各分支机构的LAN 连接而成的网络。它使企业网络的扩展，一个数据传输通道的两个端点被认为是可信的，大量的数据经常需要通过VPN 在局域网之间传递。

② 远程访问VPN

远程访问VPN 是通过本地的信息服务提供商(ISP)登录到Internet 上，和企业内部网之间建立一条加密信道。 ③ 外部网VPN

外部网VPN 为企业合作伙伴、顾客、供应商和在远地的工作人员提供安全性。

18. 什么是IDS ？HIDS 和NIDS 各有何特点？

答：(1) IDS ，即入侵检测系统(Intrusion Detection System)，是进行入侵检测的软件与硬件的组合。

(2) HIDS ，即基于主机的入侵检测系统特点：

① 易于用户自定义 ② 视野集中 ③ 保护更加周密 ④ 对网络流量不敏感

(3) NIDS ，即基于网络的入侵检测系统特点：

①侦测速度快 ②隐蔽性好 ③视野更宽 ④较少的监测器 ⑤占资源少

19. Web 安全问题有哪些？常用的Web 安全技术是什么？

答：(1)常见的Web 安全问题有：

① 跨站脚本攻击(CSS or XSS ，Cross Site Scripting) ② SQL 注入攻击(SQL injection)

③ 远程命令执行(Code execution ，个人觉得译成代码执行并不确切) ④ 目录遍历(Directory traversal) ⑤ 文件包含(File inclusion) ⑥ 脚本代码暴露(Script source code disclosure)

⑦ Http 请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)

⑧ 跨帧脚本攻击(Cross Frame Scripting) ⑨ PHP 代码注入(PHP code injection) ⑩ XPath injection

(2) 常用的Web 安全技术有：① SQL Injection 防范② 安全漏洞的防范

20. Email 有哪些安全威胁？如何防范？

答：(1) 电子邮件面临的威胁：① 病毒、蠕虫、特洛伊木马；② 网络钓鱼；③ 垃圾邮件

(2) 防范措施：

① 在工具上，使用一个安全的邮件客户端；② 在形式上，使用纯文本；

③ 在机制上，使用多层防御，包括客户端的安全设置、防火墙、加密、合理利用反病毒工具、垃圾邮件过滤器等。

22.什么是对称密钥体制？什么是非对称密钥体制？它们各自的优缺点有哪些？

答：①对称密钥体制：收信方和发信方使用相同的密钥，需要保密的是密钥。通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，从而实现数据的机密性和完整性。

优点：计算开销小，算法简单，加密速度快

缺点：进行安全通信前需要以安全方式进行密钥交换；规模复杂

②非对称密钥体制：收信方和发信方使用的密钥互不相同，加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，而且几乎不可能从加密密钥推导出解密密钥。

优点：在多人之间进行保密信息传输所需的密钥组和数量很小；第二，密钥的发布不成问题；第三，公开密钥系统可实现数字签名。

缺点：在加密/解密时的速度慢，密钥尺寸大。

23.在一个RSA 系统的通信中，截获了发给一个公开密钥为(e=7，n=33)的用户密文C=26，试破解其明文。

答：n=33=3×11，所以p=3，q=11，(n)=(p-1)(q-1)=20?

e=7，选d=3 (因为=1mod (n)ed ?)

所以，明文3

=mod =26mod33=20d M C n

24.什么是DMZ ？某公司欲构造含有DMZ 的网络，将web 服务器放

在DMZ 中，将Email 服务器放在内网。

答：防火墙在一个被认为是安全和可信的内部网络和一个被认为

是不那么安全和可信的外部网络(通常是指Internet)之间提供一个安全

屏障。一般被安装在受保护的内部网络上，并接入Internet 。它是加强

内部网网络安全防御的一个或一组系统，是网络安全策略的有机组成

部分，它由一组硬件设备(包括路由器、服务器)及相应软件构成。

25. TCP/IP 协议的缺陷、ICMP 的缺陷、端口结构的缺陷、不安全的

服务？

答：若攻击者假冒信任主机向目标主机发出TCP 连接，并预测到目标主机的TCP 序列号，攻击者就能伪造有害数据包，使之被目标主机接受。

IP 路由IP 包时，对IP 头中提供的源地址不作任何检查，并且认为IP 头中的源地址即为发送该包的机器的IP 地址。其中最重要的就是利用IP 欺骗引起的各种攻击，因为IP 包中的源地址可以伪造；IP 包中的“生成时间”可以伪造；认证不可靠。

ICMP 中的Redirect 消息可以用来欺骗主机和路由器，使它们使用假路径。

数据传输时，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。

26.防火墙（作用、功能、策略、类型、配置和局限性）

答：防火墙是加强内部网网络安全防御的一个或一组系统，是网络安全策略的有机组成部分，它由一组硬件设备(包括路由器、服务器)及相应软件构成。

(1)作用：其主要作用是在网络入口点检查网络通信，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信。

(2)功能：① 保护脆弱的服务；②控制对系统的访问；③集中的安全管理；④增强的保密性；⑤记录和统计网络利用数据以及非法使用数据；⑥策略执行。

(3)策略：一切未被允许的就是禁止的和一切未被禁止的就是允许的两种策略。

(4)类型：①包过滤型防火墙②应用级防火墙③复合型防火墙

(5)防火墙的配置主要有三种方式：双宿主机(Dual homed host)方式；屏蔽主机(Screened host)方式；屏蔽子网(Screened subnet)方式

(6)局限性：停止所有外部入侵；完全不能阻止内部袭击；基本不能防病毒；终止有经验的黑客；提供完全的网络安全性

27. VPN 技术（隧道技术、VPN 的类型和安全协议）

答：虚拟专用网络(Virtual Private Network ，简称VPN)是通过Internet 或公共网络建立专用的网络连接，扩展了专用网络的范围。可以通过Internet 或公共网络模拟点对点专用连接，在计算机之间收发数据。

网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。VPN 的隧道协议主要有三种，PPTP ，L2TP 和IPSec ，其中PPTP 和L2TP 协议称为二层隧道协议；IPSec 是第三层隧道协议。 VPN 的类型：内部网VPN 、远程访问VPN 、外部网VPN

安全协议：Socks v5协议、IPSec(IP 安全协议)、PPTP/L2TP 协议

28. 入侵检测系统（IDS ）：特性、基本结构、模型、类型、入侵响应

(1)特性：①实时性要求；②可扩展性要求；③适应性要求；④安全性与可用性要求；⑤有效性要求

(2) 基本结构：包括三个功能部件——①信息收集；②信息分析；③结果处理

(3)模型（按检测方法）：异常检测模型；误用检测模型；特征检测模型

(4)类型：HIDS（主机IDS）和NIDS（网络IDS）

(5)入侵响应：当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。响应策略包括：弹出窗口报警；E-mail 通知；切断TCP连接；执行自定义程序；与其他安全产品交互。

29. Web安全（Web欺骗方法、Web安全协议、Web服务器的安全性）

答：Web欺骗方法：攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真，它拥有相同的网页和链接。然而，攻击者控制着错误的Web站点，这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获。

Web安全协议：加密套接字协议层（SSL）、安全超文本传输协议（S-HTTP）

Web服务器的安全性：①Web安全服务器主要存在的漏洞包括：物理路径泄露；CGI源代码泄露；目录遍历；执行任意命令；缓冲区溢出；拒绝服务；跨站乳酸执行。②安全措施：打补丁；只开放Web服务端口；利用防火墙保护Web服务器。

30. Email 安全（Email的安全问题和安全措施、PGP）

答：安全威胁：利用电子邮件作为传播手段的威胁，如通过邮件传输恶意代码(病毒、木马程序等)，发送垃圾邮件(网络钓鱼邮件等)等；针对电子邮件安全性的威胁，如窃取电子邮件密码、截取发送邮件内容、邮件发送接收可以伪装等。对于这些安全威胁的防范，首先应该自己主动防范恶意代码和垃圾邮件的威胁，同时通过现有的安全电子邮件解决方案，如端到端的安全电子邮件方案和传输层安全方案，来进行防范。

PGP(Pretty Good Privacy)：是一个基于RSA公匙加密体系的邮件加密软件，用它可以对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。

31. 电子商务安全（SET协议）

答：SET协议（Secure Electronic Transaction），被称之为安全电子交易协议。采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。

它能保证电子交易的机密性，数据完整性，交易行为的不可否认性和身份的合法性。设计的证书中包括：银行证书及发卡机构证书、支付网关证书和商家证书。采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名其理论基础就是不可否认机制，采用的核心技术包括X.509电子证书标准，数字签名，报文摘要，双重签名等技术。使用数字证书对交易各方的合法性进行验证。

32.网络攻击与防范（可能为分析题）

答：网络安全威胁的必然性、复杂性和迫切性，网络安全应当从整体的、动态的、立体的角度进行全面的考虑和防范。

物理措施防护：例如，保护网络关键设备，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。

访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。数据加密防护：加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。

网络隔离防护：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网扎实现的。（防火墙，入侵检测系统）

其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。

33. 什么是信息技术?

答：笼统地说，信息技术是能够延长或扩展人的信息能力的手段和方法。信息技术是指在计算机和通信技术支持下，用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。也有人认为信息技术简单地说就是3C：Computer＋Communication＋Control。34．怎样实现信息安全?

答：信息安全主要通过以下三个方面：

A 信息安全技术：信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等；

B 信息安全管理：安全管理是信息安全中具有能动性的组成部分。大多数安全事件和安全隐患的发生，并非完全是技术上的原因，而往往是由于管理不善而造成的。安全管理包括：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。

C 信息安全相关的法律。法律可以使人们了解在信息安全的管理和应用中什么是违法行为，自觉遵守法律而不进行违法活动。法律在保护信息安全中具有重要作用对于发生的违法行为，只能依靠法律进行惩处，法律是保护信息安全的最终手段。同时，通过法律的威慑力，还可以使攻击者产生畏惧心理，达到惩一警百、遏制犯罪的效果。

35.为了实现信息的安全，古典密码体制和现代密码体制所依赖的要素有何不同？

答：古典密码体制中：数据的保密基于加密算法的保密。现代密码体制中：数据的安全基于密钥而不是算法的保密。

37. 密码学发展分为哪几个阶段？各自的特点是什么？

答：第一个阶段:从几千年前到1949年。古典加密计算机技术出现之前密码学作为一种技艺而不是一门科学第二个阶段：从1949年到1975年。标志：Shannon发表“Communication Theory of Secrecy System”

密码学进入了科学的轨道主要技术：单密钥的对称密钥加密算法

第三个阶段：1976年以后标志：Diffie，Hellman发表了“New Directions of Cryptography”

开创了公钥密码学的新纪元。

39. 设计分组密码的主要指导原则是什么？实现的手段主要是什么？

答：a.为了保证密码的安全性，Shannon提出的混乱原则和扩散原则。

b. 针对实现的设计原则,分组密码可以用软件和硬件来实现。基于软件和硬件的不同性质，分组密码的设计原则可根据预定的实现方法来考虑。

软件实现的设计原则：使用子块和简单的运算。密码运算在子块上进行，要求子块的长度能自然地适应软件编程，比如8、16、32比特等。在软件实现中，按比特置换是难于实现的，因此我们应尽量避免使用它。子块上所进行的一些密码运算应该是一些易于软件实现的运算，最好是用一些标准处理器所具有的一些基本指令，比如加法、乘法和移位等。

硬件实现的设计原则：加密和解密可用同样的器件来实现。尽量使用规则结构，因为密码应有一个标准的组件结构以便其能适应于用超大规模集成电路实现。

另外，简单性原则，必要条件，可扩展性也是要考虑的。

c.多数分组密码算法的思想采用了Feistel 密码结构，用代替和置换的手段实现混淆和扩散的功能。

40.对分组密码的常见攻击有哪些？答：唯密文攻击，已知明文攻击，选择明文攻击，选择密文攻击。

41. 从计算安全的角度考虑，构建公钥密码体制的数学难题常见的有哪些？

答：大整数分解问题离散对数问题椭圆曲线上离散对数问题

线性编码的解码问题构造非线性弱可逆有限自动机的弱逆问题

42.你认为AES 比DES 有哪些优点？

答：(1)AES 的密钥长度可以根据需要而增加，而DES 是不变的；

(2)Rijndael 加解密算法中，每轮常数的不同消除了密钥的对称性，密钥扩展的非线性消除了相同密钥的可能性；加解密使用不同的变换，消除了在DES 里出现的弱密钥和半弱密钥存在的可能性；总之，在Rijndael 的加解密算法中，对密钥的选择没有任何限制。

(3)依靠有限域/有限环的有关性质给加密解密提供了良好的理论基础，使算法设计者可以既高强度地隐藏信息，又同时保证了算法可逆，又因为Rijndael 算法在一些关键常数(例如：在)(x m )的选择上非常巧妙，使得该算法可以在整数指令和逻辑指令的支持下高速完成加解密。(4)AES 安全性比DES 要明显高。

43. 信息隐藏和数据加密的主要区别是什么？

答：区别：(1)目标不同：加密仅仅隐藏了信息的内容；信息隐藏既隐藏了信息内容，还掩盖了信息的存在。

(2)实现方式不同：加密依靠数学运算；而信息隐藏充分运用载体的冗余空间。

(3)应用场合不同：加密只关注加密内容的安全，而信息隐藏还关注载体与隐藏信息的关系。

联系：理论上相互借用，应用上互补。信息先加密，再隐藏

44. 信息隐藏的方法主要有哪些？答：空间域算法与变换域算法。

45. 简述什么是数字签名。

答：数字签名就是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串,该字母数字串被成为该消息的消息鉴别码或消息摘要，这就是通过单向哈希函数实现的数字签名；在公钥体制签名的时候用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据，然后信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与用自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。这是公钥签名技术。

46.为什么要引进密钥管理技术？

答：(1)理论因素：通信双方在进行通信时，必须要解决两个问题：

a. 必须经常更新或改变密钥；

b. 如何能安全地更新或是改变密钥。

(2)人为因素：破解好的密文非常的困难，困难到即便是专业的密码分析员有时候也束手无策，但由于人员不慎可能造成密钥泄露、丢失等，人为的情况往往比加密系统的设计者所能够想象的还要复杂的多，所以需要有一个专门的机构和系统防止上述情形的发生。

(3)技术因素： a. 用户产生的密钥有可能是脆弱的；b. 密钥是安全的，但是密钥保护有可能是失败的。

47.密钥管理系统涉及到密钥管理的哪些方面？答：密钥分配，密钥注入，密钥存储，密钥更换和密钥吊销。

48.什么是密钥托管？答：密钥托管是指用户在向CA 申请数据加密证书之前，必须把自己的密钥分成t 份交给可信赖的t 个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这t 个人存储的密钥合在一起才能得到用户的完整密钥。

49. 什么是自主访问控制？什么是强制访问控制？这两种访问控制有什么区别？说说看，你会在什么情况下选择强制访问控制。

自主访问控制模型是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。

强制访问控制模型是一种多级访问控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。

区别：自主访问控制模型中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限；强制访问控制模型中系统事先给访问主体和受控对象分配不同的安全级别属性，通过分级的安全标签实现了信息的单向流通。

强制访问控制一般在访问主体和受控客体有明显的等级划分时候采用。

50. 一个好的防火墙应该具备那些特征？

一个好的防火墙系统应具有以下五方面的特性：

（1）所有在内部网络和外部网络之间传输的数据都必须能够通过防火墙；

（2）只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；

（3）防火墙本身不受各种攻击的影响；

（4）使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡；

（5）人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet 的访问

者、被访问者。访问协议以及访问方式进行控制。

52. VPN 技术的隧道协议有哪几种，他们各有什么特点？

隧道协议有点到点隧道协议(PPTP —Point to Point Tunneling Protocol) 、第二层隧道协议(L2TP —Layer 2 Tunneling Protocol) 以及IPsec (Secure IP) 标准。

PPTP/ L2TP 的特点是: ①封装的PPP数据包中包含用户信息；

②支持隧道交换, 隧道交换可以根据用户权限, 开启并分配新的隧道, 将PPP 数据包在网络中传输；

③便于企业在防火墙和内部服务器上实施访问控制。

L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding) 协议的优点, 并且支持多路隧道。

IPsec是一个广泛的、安全的VPN 协议, IPsec包含了用户身份认证、查验和数据完整性内容。该协议规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP 级协议。IPsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。

53. 什么是入侵检测，它是否可以作为一种安全策略单独使用？

入侵检测是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统则是是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。

入侵监测系统一般处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作，一般不作为一种安全策略单独使用。

54. 试描述如何使入侵检测系统和防火墙协调工作。

首先安装防火墙，并制定相应的安全策略加以实施，从而完成对网络的第一层保护。入侵检测系统处于防火墙之后对网络活动进行实时检测。入侵检测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则过滤从主机网卡到网线上的流量，提供实时报警。网络管理员分析入侵检测系统留下的记录，更新入侵检测系统和防火墙的安全策略，以提高系统的安全性。

55. 什么是网络的物理隔离？答：所谓物理隔离，是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全独立。要实现外部网与内部网络物理隔离的目的，必须保证做到以下几点：

(1)在物理传导上使内外网络隔断。(2)在物理辐射上隔断内部网与外部网。(3)在物理存储上隔断两个网络环境。

56. 内外网隔离技术主要分为哪几类？

用户级物理隔离：(1)双机物理隔离系统；(2)双硬盘物理隔离系统；(3)单硬盘物理隔离系统。

网络级物理隔离：(1)隔离集线器；(2)因特网信息转播服务器；(3)隔离服务器。

57．从文件类型上看，计算机病毒可以分为哪几类？

文件型病毒通常分为源码型病毒、入侵型病毒和外壳型病毒，以文件外壳型病毒最为流行。文件型病毒按其驻留内存方式的不同可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。58．检测计算机病毒的方法主要有哪些？

(1)特征代码法 (2)校验和法(3)行为检测法(4)软件模拟法(5)VICE先知扫描法

59. 简述信息安全标准制定的必要性。

(1) 安全产品间互操作性的需要。加密与解密，签名与认证，网络之间安全的互相连接，都需要来自不同厂商的产品能够顺利地进行互操作，统一起来实现一个完整的安全功能。这就导致了一些以“算法”，“协议”形式出现的安全标准。

(2)对安全等级认定的需要近年来对于安全水平的评价受到了很大的重视，产品的安全性能到底怎么样，网络的安全处于什么样的状态，这些都需要一个统一的评估准则，对安全产品的安全功能和性能进行认定，形成一些“安全等级”，每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段。

(3)对服务商能力衡量的需要。网络的普及，使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业，比如金融，证券，保险和各种电子商务企业纷纷重视安全问题。因此，针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。

60. 列举TCP/IP各层都提供了哪些安全协议。答：链路层的安全协议有PPTP，L2F等；网络层有IPSec；传输层有SSL/TLS/SOCK5；应用层有SET，S-HTTP，S/MIME，PGP等。

61. 制定信息系统的安全策略通常采用哪些原则？

(1) 选择先进的网络安全技术 (2) 进行严格的安全管理 (3) 遵循完整一致性 (4) 坚持动态性

(5) 实行最小化授权 (6) 实施全面防御(7) 建立控制点 (8) 监测薄弱环节 (9) 失效保护

62. 对信息系统进行安全审计的步骤有哪些？依据的原理是什么？

步骤：(1)收集审计事件，产生审计记录；(2)根据记录进行安全时间的分析；(3)采取处理措施。

原理：采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施，对历史数据进行分析、处理和追踪。

63. 信息安全基础设施由哪几部分构成？

建立网络监控中心、安全产品评测中心、计算机病毒防治中心、关键网络系统灾难恢复中心、网络安全应急响应中心、电子交易安全证书授权中心、密钥监管中心、在国家执法部门建立高技术刑事侦察队伍，提高对高技术犯罪的预防和侦破能力、要加快信息安全立法，建立信息安全法制体系等。

64. 威胁信息系统安全的来源有哪几类？

对信息系统安全构成威胁的原因是多方面的，概括地讲,威胁信息网络安全因素的来源有两种途径：(1) 网络内部因素主要是指网络内部管理制度不健全或制度执行不力，造成管理混乱，缺乏有效的监测机制，给非授权者以可乘之机进行非法攻击。还包括网络管理人员进行网络管理或网络配置时操作不当。

(2) 网络外部因素：主要有三类群体从外部对信息网络进行威胁和攻击：黑客、信息间谍、计算机罪犯。

65. 你认为对信息安全进行立法有何作用？

(1)有利于提高人们的安全意识；(2)可以促进信息安全内容的标准化；(3)对信息安全提供足够的法律保障。66. 没有绝对安全的信息系统，为了保证信息系统的安全风险最小，我们应该怎样去做？

从信息安全的角度来看，任何信息系统都是具有安全隐患的，都有各自的系统脆弱性和漏洞，因此在实用中，网络信息系统成功的标志是风险的最小化和可控性，并不是零风险。为了保证信息系统的安全风险最小，我们应该选择先进的网络安全技术，健全网络管理制度，进行严格的安全管理，提高网络管理人员的素质和一般人员的安全意识，实行最小化授权，坚持动态性，定期检查系统存在的安全漏洞和系统安全体系的安全缺陷，及时弥补。

信息安全概论大作业-密钥管理技术

密钥管理技术一、摘要密钥管理是处理密钥自产生到最终销毁的整个过程的的所有问题，包括系统的初始化，密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。其中分配和存储是最大的难题。密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性。当然密钥管理也涉及到物理上、人事上、规程上和制度上的一些问题。密钥管理包括： 1、产生与所要求安全级别相称的合适密钥； 2、根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝； 3、用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户； 4、某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。二、正文（一）密钥种类 1、在一个密码系统中，按照加密的内容不同，密钥可以分为一般数据加密密钥(会话密钥)和密钥加密密钥。密钥加密密钥还可分为次主密钥和主密钥。（1）、会话密钥, 两个通信终端用户在一次会话或交换数据时所用的密钥。一般由系统通过密钥交换协议动态产生。它使用的时间很短，从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。丢失时对系统保密性影响不大。（2）、密钥加密密钥（Key Encrypting Key，KEK）, 用于传送会话密钥时采用的密钥。（3）、主密钥（Mater Key）主密钥是对密钥加密密钥进行加密的密钥，存于主机的处理器中。 2、密钥种类区别（1）、会话密钥会话密钥(Session Key)，指两个通信终端用户一次通话或交换数据时使用的密钥。它位于密码系统中整个密钥层次的最低层，仅对临时的通话或交换数据使用。会话密钥若用来对传输的数据进行保护则称为数据加密密钥，若用作保护文件则称为文件密钥，若供通信双方专用就称为专用密钥。会话密钥大多是临时的、动态的，只有在需要时才通过协议取得，用完后就丢掉了，从而可降低密钥的分配存储量。基于运算速度的考虑，会话密钥普遍是用对称密码算法来进行的（2）、密钥加密密钥密钥加密密钥(Key Encryption Key)用于对会话密钥或下层密钥进行保护，也称次主密钥(Submaster Key)、二级密钥(Secondary Key)。在通信网络中，每一个节点都分配有一个这类密钥，每个节点到其他各节点的密钥加密密钥是不同的。但是，任两个节点间的密钥加密密钥却是相同的，共享的，这是整个系统预先分配和内置的。在这种系统中，密钥加密密钥就是系统预先给任两个节点间设置的共享密钥，该应用建立在对称密码体制的基础之上。在建有公钥密码体制的系统中，所有用户都拥有公、私钥对。如果用户间要进行数据传输，协商一个会话密钥是必要的，会话密钥的传递可以用接收方的公钥加密来进行，接收方用自己的私钥解密，从而安全获得会话密钥，再利用它进行数据加密并发送给接收方。在这种系统中，密钥加密密钥就是建有公钥密码基础的用户的公钥。

网络信息安全基础知识培训

网络信息安全基础知识培训主要内容网络信息安全知识包括哪些内容培养良好的上网习惯如何防范电脑病毒如何安装杀毒软件如何防范邮件病毒如何防止QQ密码被盗如何清除浏览器中的不明网址各单位二级站点的安全管理如何提高操作系统的安全性基本网络故障排查网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析培养良好的上网习惯１、安装杀毒软件２、要对安装的杀毒软件进行定期的升级和查杀３、及时安装系统补丁４、最好下网并关机５、尽量少使用BT下载，同时下载项目不要太多６、不要频繁下载安装免费的新软件７、玩游戏时，不要使用外挂

８、不要使用黑客软件９、一旦出现了网络故障，首先从自身查起，扫描本机如何防范电脑病毒（一）杜绝传染渠道病毒的传染主要的两种方式：一是网络，二是软盘与光盘建议： 1、不使用盗版或来历不明的软件，建议不要使用盗版的杀毒软件 2、写保护所有系统盘，绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件，并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令 9、在使用聊天工具（如QQ、MSN）时，对于一些来历不明的连接不要随意点击；来历不明的文件不要轻易接收（二）平时的积极预防，定期的查毒，杀毒（三）发现病毒之后的解决办法 1、在解毒之前，要先备份重要的数据文件 2、启动反病毒软件，并对整个硬盘进行扫描 3、发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除，此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除备注：可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现，反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说，我们在对抗病毒时需要的是一种安全策略和一个完善的反病

信息安全大作业

第一章一、选择题 1. 计算机网络安全是指（）。 A. 网络中设备设置环境的安全 B. 网络使用者的安全 C. 网络中信息的安全 D. 网络中财产的安全 2. 数据未经授权不能进行的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，是指网络安全特性中的（）。 A. 保密性 B. 完整性 C. 可用性 D. 不可否认性 3. 信息不泄露给非授权用户、实体或过程，或供其利用的特性，是指网络安全特征中的（）。 A. 保密性 B. 完整性 C. 可用性 D. 不可否认性 4. 信息安全的3个最基本原则是保密性、（）和可用性，即C.I.A三元组。 A. 保密性 B. 完整性 C. 可用性 D. 不可否认性二、简答题简述信息安全在其发展过程中经历的三阶段。答：1.通信安全阶段；2.信息安全阶段；3.信息保障阶段。第二章一、选择题 1.网络监听是指（）。 A. 远程观察一个用户的电脑 B. 监视网络的状态、传输的数据流 C. 监视PC系统运行情况 D. 监视一个网站的发展方向。 2. 拒绝服务（DOS）攻击（）。 A. 用超出被攻击目标处理能力的海量数据包来消耗可用系统、带宽资源等方法的攻击 B. 全称是Distributed Denial of Service C. 拒绝来自一个服务器所发送回应（echo）请求的指令 D. 入侵控制一个服务器后远程关机 3. 通过非直接技术进行攻击称为（）攻击方法。 A. 会话劫持 B. 社会工程学 C. 特权提升 D. 应用层攻击 4. Sniffer Pro 是一种（）软件。 A. 木马 B. 扫描 C. 监听 D. 杀毒 5. X-Scan 是一种（）软件。 A. 木马 B. 扫描 C. 监听 D. 杀毒二、简答题列举5个著名黑客。答：Richard Stallman, Ken Thompson，John Draper, Kevin Mitnick, 李俊，林正隆，袁仁广等。三、论述题论述木马系统的组成。答：一个完整的木马系统由硬件部分，软件部分和具体链接部分组成。硬件部分是建立木马连接所必需的硬件实体，其中，控制端是对服务器端进行远程控制的一方；服务端是被控制端远程控制的一方；而Internet 是控制端对服务端进行远程控制，数据传输的网络载体。软件部分实现远程控制所必需的软件程序。控制端程序是指控制端用以远程控制服务端的程

信息安全体系

一．浅谈信息安全五性的理解所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。二．WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型，它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击，它们具有较强的时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，落实在WPDRRC 6个环节的各个方面，将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。

网络与信息安全管理措施

网络与信息安全管理措施网络与信息安全不仅关系到学校的开展，还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，对有毒有害的信息进行过滤、确保网络与信息安全。一、网站安全保障措施 1、主控室设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施，防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址，对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。 5、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。 6、学校机房按照机房标准建设，内有必备的防静电地板、，定期进行电力、防火、防潮、检查。二、信息安全保密管理制度 1、信息监控制度：（1）、网络信息必须标明来源;(即有关转载信息都必须

标明转载的地址) （2）、相关责任人定期或不定期检查网络系统安全，实施有效监控，做好安全监督工作；（3）、不得利用国际互联网制作、复制、查阅和传播一系列以下信息，如有违反规定有关部门将按规定对其进行处理； A、反对宪法所确定的基本原则的； B、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； C、损害国家荣誉和利益的； D、煽动民族仇恨、民族歧视、破坏民族团结的； E、破坏国家宗教政策，宣扬邪教和封建迷信的； F、散布谣言，扰乱社会秩序，破坏社会稳定的； G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； H、侮辱或者诽谤他人，侵害他人合法权益的；含有法律、行政法规禁止的其他内容的。 2、组织结构：设置专门的网络安全管理员，并由其上级进行监督、对学校网络系统管理实行责任制，对网络系统的管理人员，以及领导明确各级人员的责任，管理网络系统的正常运行，严格抓管理工作，实行谁管理谁负责。

网络安全知识竞赛题库(100道)

一、单选题 1.（容易）2014年2月27日，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调，_______和_____是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。 A．信息安全、信息化 B．网络安全、信息化 C．网络安全、信息安全 D．安全、发展答案：B 2.（容易）2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出，网络空间的竞争，归根结底是____竞争。 A．人才 B．技术 C．资金投入 D．安全制度答案：A 3.（容易）2014年2月，我国成立了（），习近平总书记担任领导小组组长。 A．中央网络技术和信息化领导小组 B．中央网络安全和信息化领导小组 C．中央网络安全和信息技术领导小组 D．中央网络信息和安全领导小组答案：B 4.（容易）首届世界互联网大会的主题是______。 A．互相共赢 B．共筑安全互相共赢 C．互联互通，共享共治 D．共同构建和平、安全、开放、合作的网络空间

答案：C 5.（容易）2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出，“互联网核心技术是我们最大的‘命门’，______是我们最大的隐患”。 A．核心技术受制于人 B．核心技术没有完全掌握 C．网络安全技术受制于人 D．网络安全技术没有完全掌握答案：A 6.（中等）2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出：“互联网主要是年轻人的事业，要不拘一格降人才。要解放思想，慧眼识才，爱才惜才。培养网信人才，要下大功夫、下大本钱，请优秀的老师，编优秀的教材，招优秀的学生，建一流的____。” A．网络空间安全学院 B．信息安全学院 C．电子信息工程学院 D．网络安全学院答案：A 7.（容易）2016年04月19日，习近平总书记在网络安全和信息化工作座谈会上的讲话强调，要建立______网络安全信息共享机制，把企业掌握的大量网络安全信息用起来，龙头企业要带头参加这个机制。 A．政府和企业 B．企业和企业 C．企业和院校 D．公安和企业答案：A 8.（容易）2016年04月19日，习近平总书记在网络安全和信息化工作座谈会上的讲话强调，要加快网络立法进程，完善依法监管措施，化解网络风险。前段时间发生的e租宝、中晋系案件，打着（）旗号非法集资，给有关群众带来严

北语 18秋《信息安全》作业1234

18秋《信息安全》作业_1 一、单选题( 每题4分, 共15道小题, 总分值60分) 1.下面不属于DoS攻击的是（）。 A. Smurf攻击 B. Ping of Deatch C. Land攻击 D. TFN攻击答案：D 联系“文档贡献者” 2.在设计网络安全方案中，系统是基础、（）是核心，管理是保证。 A. 人 B. 领导 C. 系统管理员 D. 安全策略答案：A 3.VPN的英文全称是（）。 A. Visual Protocol Network B. Virtual Private Network C. Virtual Protocol Network D. Visual Private Network 答案：B 4.网络攻击的有效载体是什么？（） A. 黑客 B. 网络 C. 病毒 D. 蠕虫答案：C 5.拒绝服务攻击的后果是（）。 A. 信息不可用 B. 应用程序不可用 C. 系统宕机 D. 上面几项都是答案：D 6.IPSec属于（）层上的安全机制。 A. 传输层 B. 应用层 C. 数据链路层 D. 网络层 7.操作系统中的每一个实体组件不可能是（）。

A. 主体 B. 客体 C. 既是主体又是客体 D. 既不是主体又不是客体 8.（）不属于ISO/OSI安全体系结构的安全机制。 A. 通信业务填充机制 B. 访问控制机制 C. 数字签名机制 D. 审计机制 9.PPTP和L2TP最适合于（）。 A. 局域网 B. 企业内部虚拟网 C. 企业扩展虚拟网 D. 远程访问虚拟专用网 10.信息安全的基本属性是（）。 A. 机密性 B. 可用性 C. 完整性 D. 上面3项都是 11.在main（）函数中定义两个参数argc和argv，其中argc存储的是（）。 A. 命令行参数的个数 B. 命令行程序的名称 C. 命令行各个参数的值 D. 命令行变量 12.访问控制是指确定（）以及实施访问权限的过程。 A. 用户权限 B. 可给予哪些主体访问权利 C. 可被用户访问的资源 D. 系统是否遭受入侵 13.SSL产生会话密钥的方式是（）。 A. 从密钥管理数据库中请求获得 B. 每一台客户机分配一个密钥的方式 C. 随机由客户机产生并加密后通知服务器 D. 由服务器产生并分配给客户机 14.数字签名要预先使用单向Hash函数进行处理的原因是（）。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度

电科大19年6月考试《信息安全概论》期末大作业答案

17年12月考试《信息安全概论》期末大作业-0001 试卷总分:100 得分:0 一、单选题(共49 道试题,共98 分) 1.信息具有的重要性质中，不包括（） A.普遍性； B.无限性； C.相对性； D.保密性正确答案:D 2.在建立堡垒主机时（） A.在堡垒主机上应设置尽可能少的网络服务 B.在堡垒主机上应设置尽可能多的网络服务 C.对必须设置的服务给予尽可能高的权限 D.不论发生任何入侵情况，内部网始终信任堡垒主机正确答案:A 3.摄像设备可分为网络数字摄像机和（），可用作前端视频图像信号的采集 A.家用摄像机 B.专业摄像机 C.高清摄像机 D.模拟摄像机正确答案:D 4.就信息安全来说，完整性是( ) A.保护组织的声誉 B.保护系统资源免遭意外损害 C.保护系统信息或过程免遭有意或意外的未经授权的修改 D.两个或多个信息系统的成功安全组合正确答案:C 5.消息认证码是与（）相关的单向Hash函数，也称为消息鉴别码或消息校验和。 A.加密； B.密钥； C.解密； D.以上都是正确答案:B 6.数字签名机制取决于两个过程＿＿＿。

A.加密过程和验证过程； B.Hash散列过程和签名过程； C.签名过程和验证过程； D.加密过程和Hash散列过程正确答案:C 7.下面算法中，不属于Hash算法的是( ) 。 A.MD-4算法； B.MD-5算法 C.DSA算法； D.SHA算法。正确答案:C 8.下面属于仿射密码的是（） A.ek(x) = x + k (mod 26)，dk(x) = y –k (mod 26) (x，y∈Z26)； B.∏= 0 1 2 3 4 ……23 24 25 0’1’2’3’4’……23’24’25’ C.P = C = Z26，且K = {（a，b）∈Z26XZ26|gcd(a，26)=1}，对k=(a，b) ∈K，定义e(x)=ax+b (mod 26)且dk(y) = a-1(y-b)(mod 26) D.对于a,b,……,z这26个字母组成的单词，不改变明文字符，但要通过重排而改变他们的位置，实现加密。正确答案:C 9.信息技术简单地说就是( ) A.计算机、通信和情报； B.通信、控制和情报； C.计算机、通信和控制； D.计算机、控制和管理。正确答案:C 10.微软的ProxyServer是使一台WINDOWS服务器成为代理服务器的软件。它的安装要求中不包括（） A.服务器一般要使用双网卡的主机 B.客户端需要配置代理服务器的地址和端口参数 C.当客户使用一个新网络客户端软件时，需要在代理服务器上为之单独配置提供服务 D.代理服务器的内网网卡IP和客户端使用保留IP地址正确答案:C 11.下面属于数字签名功能的是（）。 A.发送者事后不能否认发送的报文签名；

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目时间：2015年12月

信息化建设引言随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

网络信息安全基础知识培训

网络信息安全基础知识培训主要内容网络信息安全知识包括哪些内容培养良好的上网习惯如何防范电脑病毒如何安装杀毒软件如何防范邮件病毒如何防止QQ密码被盗如何清除浏览器中的不明网址各单位二级站点的安全管理如何提高操作系统的安全性基本网络故障排查网络信息安全知识包括哪些基本内容

(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析培养良好的上网习惯１、安装杀毒软件２、要对安装的杀毒软件进行定期的升级和查杀３、及时安装系统补丁

４、最好下网并关机５、尽量少使用BT下载，同时下载项目不要太多６、不要频繁下载安装免费的新软件７、玩游戏时，不要使用外挂８、不要使用黑客软件９、一旦出现了网络故障，首先从自身查起，扫描本机如何防范电脑病毒（一）杜绝传染渠道病毒的传染主要的两种方式：一是网络，二是软盘与光盘建议： 1、不使用盗版或来历不明的软件，建议不要使用盗版的杀毒软件 2、写保护所有系统盘，绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件，并经常进行升级

4、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令 9、在使用聊天工具（如QQ、MSN）时，对于一些来历不明的连接不要随意点击；来历不明的文件不要轻易接收（二）平时的积极预防，定期的查毒，杀毒（三）发现病毒之后的解决办法 1、在解毒之前，要先备份重要的数据文件

交大网络与信息安全主观题作业

1 根据以下的要求去设计一个简单的网络架构安全系统, 这个系统是为了管理和保护员工在跨国公司间的通讯。你的系统必须要满足以下安全策略(security policies): 只有授权的员工才可以访问总公司的安全服务器。只有使用特定Foreign Hosts 的客户才可以和在总公司和分公司的员工通讯。若客户在总公司和分公司间是藉由Global Internet 通讯的话,必须要保护此通讯避免被外界窃听。员工在使用Mobile Hosts 与总公司和分公司通讯之前必须要先被认证。请指出你的安全系统所提供的安全服务,请说明部属这些服务的位置。(50 分) 提示:假设在总公司和分公司间的员工都是值得信赖的。另外,假设总公司和分公司间的通讯都是容易被窃听和窜改的。答: 我的安全系统提供以下服务： 1. 机密服务 a) 在总公司和分公司的网络上部署"非联机取向的数据机密服务", 以保证总公司和分公司发出的信息都是加密信息。 b) 在Mobile Hosts 上部署"非联机取向的数据机密服务",以保证员工在使用Mobile Hosts 与总公司和分公司通讯的消息是加密消息 c) 在总公司和分公司的网络上部署"数据传输流的机密服务" ,以保证别人无法通过观察流量以获得信息。 2. 完整性服务 a) 在总公司的安全服务器、总公司和分公司员工的电脑、Foreign Hosts、Mobile Hosts 上部署"消息完整性服务" ,保证总公司和分公司藉由 Global Internet 通讯、使用Foreign Hosts 的客户与总公司和分公司的员工通讯、员工使用Mobile Hosts 与总公司或分公司通讯都不会被窜改 3. 认证服务 a) 在总公司的安全服务器上部署"资料来源认证服务" ,保证只有授权的员工才能访问总公司的安全服务器 b) 在总公司和分公司的员工计算机、Foreign Hosts 上部署"资料来源认证服务" ,确保只有使用特定Foreign Hosts 的客户才可以和在总公司和分公司的员工通讯 c) 在总公司和分公司的员工计算机、员工的Mobile Hosts 上部署"资料来源认证服务" ,确保员工在使用Mobile Hosts 与总公司和分公司通讯之前必须要先被认证 4. 访问控制 a) 在总公司的安全服务器上部署"访问控制服务" ,保证只有授权的员工才能访问总公司的安全服务器 5. 不可否认性 a) 在总公司和分公司的员工计算机、Foreign Hosts 上部署"不可否认性服务" ,确保客户与员工之间的通讯真实有效 6. 审核 a) 在总公司的安全服务器上部署"审核服务" ,确保可以分析安全服务器是否受到入侵。 7. Availability

网络与信息安全--题目整理3

一、信息、信息安全、Syber 1、信息（1）定义：指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。（2）信息的特点： a:消息x发生的概率P(x)越大，信息量越小；反之，发生的概率越小，信息量就越大。可见，信息量（我们用I来表示）和消息发生的概率是相反的关系。 b:当概率为1时，百分百发生的事，地球人都知道，所以信息量为0。 c:当一个消息是由多个独立的小消息组成时，那么这个消息所含信息量应等于各小消息所含信息量的和。 2、信息安全：保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。(5个基本属性见P1) (1)为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。最小化原则。受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。分权制衡原则。在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。安全隔离原则。隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 3、CyberSpace(网络空间，赛博空间) （1）赛博空间是指以计算机技术、现代通讯网络技术，甚至还包括虚拟现实技术等信息技术的综合运用为基础，以知识和信息为内容的新型空间，这是人类用知识创造的人工世界，一种用于知识交流的虚拟空间。网络空间需要计算机基础设施和通信线路来实现。换句话说，它是在计算机上运行的。然而计算机内所包含什么样的信息才是其真正的意义所在，并且以此作为网络空间价值的衡量标准。信息具有如下重要特点：一是信息以电子形式存在；二是计算机能对这些信息进行处理（如存储、搜索、索引、加工等）。（2）赛博空间对人类知识传播的影响：知识的传播由口述、书面、广播、电视变为赛博媒体，即网络化、虚拟化的媒体，构成了赛博空间中知识传播和交流的基本工具。（3）网络电磁空间作为人类开辟的第五维空间，其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。（4）站长就是网站的管理员，有着运营整个网站的权限与技术能力。站长眼中的网络空间其实就是虚拟主机。虚拟主机是使用特殊的软硬件技术，把一台真实的物理电脑主机分割成多个的逻辑存储单元，每个单元都没有物理实体，但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作，具有单独的域名、IP地址(或共享的IP地址)以及完整的Internet

网络与信息安全管理规定

网络与信息安全管理规定集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）

网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的：（一）未经允许进入计算机信息网络或者使用计算机信息网络资源；（二）未经允许对计算机信息网络功能进行删除、修改或者增加；（三）未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；（四）故意制作、传播计算机病毒等破坏性程序的；（五）从事其他危害计算机信息网络安全的活动。做好记录并立即向当地报告。 5. 在信息发布的审核过程中，如发现有以下行为的：（一）煽动抗拒、破坏宪法和法律、行政法规实施（二）煽动颠覆，推翻（三）煽动分裂国家、破坏国家统一（四）煽动民族仇恨、民族歧视、破坏民族团结（五）捏造或者歪曲事实、散布谣言，扰乱社会秩序（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪（七）公然侮辱他人或者捏造事实诽谤他人（八）损害国家机关信誉（九）其他违反宪法和法律、行政法规将一律不予以发布，并保留有关原始记录，在二十四小时内向当地报告。

信息安全作业

Online Bank Security While the internet offers enormous advantages and opportunities, it also presents various security risks. With this in mind, banks take extensive steps to protect the information transmitted and processed when banking online. This includes, for example, ensuring that confidential data sent over the internet cannot be accessed or modified by unauthorised third parties. But the banks normally have no influence over the systems used by their customers. The choice is entirely up to them. Moreover, the system selected - a PC connected to the internet, for example - will usually be used for a number of other applications as well. The systems used by online banking customers are therefore exposed to risks beyond the banks' control. For this reason, the banks cannot assume liability for them. Typical dangers faced when using the internet are third parties accessing, deleting or tampering with data while it is being transmitted or obtaining information under false pretences. This may be achieved with the help of viruses and worms: programmes that self-replicate or are sent over the internet by e-mail and can damage your PC; Trojans: programmes that, unbeknown to the user, compromise computer security by intercepting passwords, for example; phishing: using a false name, website or address for fraudulent purposes; pharming: redirecting users to a fraudulent server; rootkits: malicious software giving unauthorised administrator-level access without the real administrator noticing; they share certain features with trojans; hacking: unauthorised access to a PC via the internet. The banks have a number of measures in place that offer effective protection against attacks when information is sent over the internet or processed by the bank's server. What can customers do? To ensure that the banks' security measures cannot be undermined by manipulation, it is essential that customers, too, take steps to protect the system they

信息安全配置基线(整理)

Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。帐户锁定：应删除或锁定过期帐户、无用帐户。用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。帐户权限最小化：应根据实际需要为各个帐户分配最小权限。默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。口令最长使用期限：应设置口令的最长使用期限小于90天。口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。口令锁定策略：应配置当用户连续认证失败次数为 5次，锁定该帐户30分钟。 2.2. 服务及授权安全服务开启最小化：应关闭不必要的服务。 SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。系统时间同步：应确保系统时间与NTP服务器同步。 DNS服务指向：应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全系统版本：应确保操作系统版本更新至最新。补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计日志审核策略设置：应合理配置系统日志审核策略。日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。日志存储路径：应更改日志默认存放路径。日志定期备份：应定期对系统日志进行备份。 2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。 2.7. 关闭自动播放功能：应关闭 Windows 自动播放功能。 2.8. 共享文件夹删除本地默认共享：应关闭 Windows本地默认共享。共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全禁止远程访问注册表：应禁止远程访问注册表路径和子路径。登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。限制匿名登录：应禁用匿名访问命名管道和共享。

网络数据和信息安全管理规范

X X X X有限公司 WHB-08 网络数据和信息安全管理规范版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。术语本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。重大计算机信息安全事件，是指公司对外网站（电子公告板等）上出现有害信息；有害信息通过Email及其他途径大面积传播或已造成较大社会影响；计算机病毒的蔓延；重要文件、数据、资料被删除、篡改、窃取；由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断；系统被入侵；页面被非法替换或者修改；主机房及设备被人为破坏；重要计算机设备被盗窃等事件。组织架构及职责分工公司设立计算机信息及网络安全领导小组，作为公司计算机信息安全工作的领导机构，统一归口负责外部部门（政府和其他部门）有关计算机信息安全工作和特定事件的处理。

信息安全作业整理

信息安全概论大作业-密钥管理技术

最新信息安全体系整理

网络信息安全基础知识培训

信息安全大作业

信息安全体系

网络与信息安全管理措施

网络安全知识竞赛题库(100道)

北语 18秋《信息安全》 作业1234

电科大19年6月考试《信息安全概论》期末大作业答案

信息安全管理体系建设

网络信息安全基础知识培训

交大网络与信息安全主观题作业

网络与信息安全--题目整理3

网络与信息安全管理规定

信息安全作业

信息安全配置基线(整理)

网络数据和信息安全管理规范

北语 18秋《信息安全》作业1234