信息安全概論-張雪鋒-習題答案

信息安全概論--課后習題參考答案主編：張雪鋒出版社：人民郵電出版社第一章1、結合實際談談你對“信息安全是一項系統工程”的理解。答：該題為論述題，需要結合實際的信息系統，根據其采取的安全策略和防護措施展開論述。2、當前信息系統面臨的主要安全威脅有哪些？答：對于信息系統來說，安全威脅可以是針對物理環(huán)境、通信鏈路、網絡系統、操作系統、應用系統以及管理系統等方面。通過對已有的信息安全事件進行研究和分析，當前信息系統面臨的主要安全威脅包括：信息泄露、破壞信息的完整性、非授權訪問（非法使用）、竊聽、業(yè)務流分析、假冒、網絡釣魚、社會工程攻擊、旁路控制、特洛伊木馬、抵賴、重放、計算機病毒、人員不慎、媒體廢棄、物理侵入、竊取、業(yè)務欺騙等。3、如何認識信息安全“三分靠技術，七分靠管理”？答：該題為論述題，可以從人事管理、設備管理、場地管理、存儲媒介管理、軟件管理、網絡管理、密碼和密鑰管理等方面展開論述。第二章1、古典密碼技術對現代密碼體制的設計有哪些借鑒？答：一種好的加密法應具有混淆性和擴散性?；煜砸馕吨用芊☉[藏所有的局部模式，將可能導致破解密鑰的提示性信息特征進行隱藏；擴散性要求加密法將密文的不同部分進行混合，使得任何字符都不在原來的位置。古典密碼中包含有實現混淆性和擴散性的基本操作：替換和置亂，這些基本操作的實現方式對現代密碼體制的設計具有很好的借鑒作用。2、衡量密碼體制安全性的基本準則有哪些？答：衡量密碼體制安全性的基本準則有以下幾種：計算安全的：如果破譯加密算法所需要的計算能力和計算時間是現實條件所不具備的，那么就認為相應的密碼體制是滿足計算安全性的。這意味著強力破解證明是安全的?？勺C明安全的：如果對一個密碼體制的破譯依賴于對某一個經過深入研究的數學難題的解決，就認為相應的密碼體制是滿足可證明安全性的。這意味著理論保證是安全的。無條件安全的：如果假設攻擊者在用于無限計算能力和計算時間的前提下，也無法破譯加密算法，就認為相應的密碼體制是無條件安全性的。這意味著在極限狀態(tài)上是安全的。3、談談公鑰密碼在實現保密通信中的作用。答：基于對稱密碼體制的加密系統進行保密通信時，通信雙方必須擁有一個共享的秘密密鑰來實現對消息的加密和解密，而密鑰具有的機密性使得通信雙方如何獲得一個共同的密鑰變得非常困難。而公鑰密碼體制中的公開密鑰可被記錄在一個公共數據庫里或者以某種可信的方式公開發(fā)放，而私有密鑰必須由持有者妥善地秘密保存。這樣，任何人都可以通過某種公開的途徑獲得一個用戶的公開密鑰，然后與其進行保密通信，而解密者只能是知道相應私鑰的密鑰持有者。用戶公鑰的這種公開性使得公鑰體制的密鑰分配變得非常簡單，目前常用公鑰證書的形式發(fā)放和傳遞用戶公鑰，而私鑰的保密專用性決定了它不存在分配的問題，有效解決了保密通信中的密鑰管理問題。公約密碼體制不僅能夠在實現消息加解密基本功能的同時簡化了密鑰分配任務，而且對密鑰協商與密鑰管理、數字簽名與身份認證等密碼學問題產生了深刻的影響。4、驗證RSA算法中解密過程的有效性。證明：數論中的歐拉定理指出，如果兩個整數a和b互素，那么。在RSA算法中，明文必與兩個素數和中至少一個互素。不然的話，若與和都不互素，那么既是的倍數也是的倍數，于是也是的倍數，這與矛盾。由可知存在整數k使得。下面分兩種情形來討論：情形一：僅與、二者之一互素，不妨假設與互素且與不互素，那么存在整數使得，由歐拉定理可知于是存在一個整數使得。給兩邊同乘以得到由此得。情形二：如果與和都互素，那么也和互素，我們有。第三章1、評價Hash函數安全性的原則是什么？答：對于Hash函數的安全要求，通常采用原像問題、第二原像問題、碰撞問題這三個問題來進行判斷。如果一個Hash函數對這三個問題都是難解的，則認為該Hash函數是安全的。2、公鑰認證的一般過程是怎樣的？答：發(fā)信方Alice用自己的私有密鑰加密消息，任何人都可以輕易獲得Alice的公開秘密，然后解開密文，由于用私鑰產生的密文只能由對應的公鑰來解密，根據公私鑰一一對應的性質，別人不可能知道Alice的私鑰，如果收信方Bob能夠用Alice的公鑰正確地還原明文，表明這個密文一定是Alice用自己的私鑰生成的，因此Bob可以確信收到的消息確實來自Alice，同時Alice也不能否認這個消息是自己發(fā)送的；另一方面，在不知道發(fā)信者私鑰的情況下不可能篡改消息的內容，因此收信者還可以確信收到的消息在傳輸過程中沒有被篡改，是完整的。3、數字簽名標準DSS中Hash函數有哪些作用？答：通過對消息進行Hash計算，可以將任意長度的消息壓縮成固定長度的消息摘要，從而提高簽名算法的效率，也可以實現對消息完整性的鑒別。4、以電子商務交易平臺為例，談談PKI在其中的作用。答：該題為論述題，可以從證書管理、證書應用、安全性等方面展開論述。5、在PKI中，CA和RA的功能各是什么？答：CA指認證中心，在PKI體系中，認證中心CA是整個PKI體系中各方都承認的一個值得信賴的、公正的第三方機構。CA負責產生、分配并管理PKI結構下的所有用戶的數字證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，同時CA還負責證書廢止列表CRL的登記和發(fā)布。RA指注冊中心，注冊中心RA是CA的證書發(fā)放、管理的延伸。RA負責證書申請者的信息錄入、審核以及證書的發(fā)放等任務，同時，對發(fā)放的證書完成相應的管理功能。RA應的對象并不局限于可疑的攻擊者。3、VPN的工作原理是什么？答：VPN的基本原理是：在公共通信網上為需要進行保密通信的通信雙方建立虛擬的專用通信通道，并且所有傳輸數據均經過加密后再在網絡中進行傳輸，這樣做可以有效保證機密數據傳輸的安全性。在虛擬專用網中，任意兩個節(jié)點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，虛擬的專用網絡通過某種公共網絡資源動態(tài)組成。4、病毒有哪些基本特征？答：所謂計算機病毒是指一種能夠通過自身復制傳染，起破壞作用的計算機程序。它可以隱藏在看起來無害的程序中，也可以生成自身的拷貝并插入到其他程序中。計算機病毒程序是一種特殊程序，這類程序的主要特征包括：、非授權可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現性或破壞性、可觸發(fā)性等。第八章1、風險評估的基本過程是什么？答：信息安全風險評估是依照科學的風險管理程序和方法，充分的對組成系統的各部分所面臨的危險因素進行分析評價，針對系統存在的安全問題，根據系統對其自身的安需求，提出有效的安全措施，達到最大限度減少風險、降低危害和確保系統安全運行的目的。風險評估的過程包括風險評估準備、風險因素識別、風險程度分析和風險等級評價四個階段。2、信息安全管理的指導原則有哪些？答：信息安全管理的基本原則包括：（1）以安全保發(fā)展，在發(fā)展中求安全（2）受保護資源的價值與保護成本平衡（3）明確國家、企業(yè)和個人對信息安全的職責和可確認性（4）信息安全需要積極防御和綜合防范（5）定期評估信息系統的殘留風險（6）綜合考慮社會因素對信息安全的制約（7）信息安全管理體現以人為本3、身份管理模型中，IdP的作用是什么？答：IdP指身份提供方，在身份管理模型中，用戶的身份信息是由IdP統一管理和認證，各個SP的身份服務器負責轉發(fā)實體的身份標識信息并從IdP接收確認信息和臨時管理用戶相關的身份信息。IdP與各個SP的身份服務器共同組成了一個信任域（COT：CircleofTrust），身份信息在該信任域內能自由互通。4、簡要說明等級保護的重要性。答：要實現對信息和信息系統的有效防護，最有效和科學的方法是在維護安全、健康、有序的網絡運行環(huán)境的同時，以分級分類的方式確保信息和信息系統安全既符合政策規(guī)范，又滿足實際需求。對信息和信息系統進行分級保護是體現統籌規(guī)劃、積極防范、重點突出的信息安全保護原則的重大措施。第九章1、CC由哪幾部分構成？答：信息技術安全性評估通用準則（CC：CommonCriteria），通常簡稱通用準則，CC由一系列截然不同但又相互關聯的部分組成，定義了一套能滿足各種需求的IT安全準則，整個標準分為三部分：第1部分—簡介和一般模型，正文介紹了CC中的有關術語、基本概念和一般模型以及與評估有關的一些框架，附錄部分主要介紹保護輪廓（PP）和安全目標（ST）的基本內容。第2部分—安全功能要求，按“類-子類-組件”的方式提出安全功能要求，每一個類除正文外，還有對應的提示性附錄做進一步解釋。第3部分—安全保證要求，定義了評估保證級別，建立了一系列安全保證組件作為表示TOE保證要求的準則方法。第3部分列出了一系列保證組件、族和類。第3部分也定義了PP和ST的評估準則，并提出了評估保證級別。2、SSE-CMM的模型結構是什么？答：SSE-CMM的結構被設計以用于確認一個安全工程組織中某安全工程各領域過程的成熟度，這種結構的目標就是將安全工程的基礎特性與管理制度特性區(qū)分清楚。為確保這種區(qū)分，模型中建立了兩個維度——“域維”和“能力維”，“域維”包含所有集中定義安全過程的實施，這些實施被稱作“基礎實施”?！澳芰S”代表反映過程管理與制度能力的實施。這些實施被稱作“一般實施”，這是由于它們被應用于廣泛的領域。“一般實施”應該作為執(zhí)行“基礎實施”的一種補充。3、我國計算機信息系統安全保護等級劃分的