软件评测师——信息安全知识

一.保密性和完整性

1.私钥和公钥加密标准

  加密是指对数据进行编码变换，由明文变为密文。
（1）私钥加密算法
    DES算法：由56位密钥对64位数据块进行加密，进行16轮编码，每轮编码使用不同的子密钥，长度为48位。
    三重DES：用两个密钥对明文进行三次加密。
    IDEA算法：长度为128位，采用软件实现和 采用硬件实现同样快速。
（2）公钥加密算法
    RSA算法：密钥管理中心生成一对（私钥，公钥），其中私钥由用户保存，公钥可对外公开。
    Elgamal算法：可用于数据加密，数据签名。
    数字签名算法：
    椭圆曲线算法：密钥更小。

2.认证

 （1）数字签名
      hash签名，DSS签名，RSA签名。
 （2）身份认证
      硬件身份认证：ATM机
      软件身份认证：口令

3.完整性

 （1）文件完整性
 （2）信息传输完整性
 （3）hash算法
     采用一条长度可变的消息作为自己的输入，对其进行压缩，再产生一个长度固定的摘要。
     主要有MDS算法和SHA算法。

4.访问控制

 （1）存取权限
      用户可分为特殊用户，一般用户，审计用户。
      用户对网络资源的访问权限可以用一个访问控制表来描述。
 （2）口令
     对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。提高口令安全性的方法主要有：口令生成器，限制登录尝试次数。

二.非法入侵和病毒的防护

1.防火墙

  防火墙是指建立在内外网络边界上的过滤封锁机制。一般由过滤路由器和代理服务器组成。
（1）防火墙的类型
    a）IP过滤技术
    b）线路过滤技术
      又称为电路级网关，工作在会话层，在两个主机首次建立TCP连接时创立一个电路屏障。
    c）应用层代理
       工作在应用层，最安全。
（2）防火墙建立规则

2.入侵检测

入侵检测是从计算机网络或计算机系统中的关键点搜集信息并对其进行分析，从中发现网络或系统中是否存在违反安全策略的行为和遭到袭击的迹象的一种机制。独立于防火墙 工作。
入侵检测系统可分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。

3.安全协议

 （1）IPSec协议
     实际上是一个协议包，主要包括：
     访问控制，无连接的完整性，数据源身份验证，防御包重发攻击，保密，有限的业务流保密性。
     IPSec通信过程大致如下:
     IPSec过程启动
     IKE阶段1
     IKE阶段2
     数据传送
     IPSec隧道终止
 （2）SSL协议
     主要为了提高应用程序之间数据的安全级数。主要提高三方面的服务：      
     用户和服务器的合法性认证
     加密数据以隐藏被传送的数据
     保护数据的完整性
 （3）ETS
     为电子商务提供了一个可信的，开放的，基于策略的环境。
 （4）PGP
     基于RSA公钥加密体系的邮件加密软件。
 （5）S-HTTP
     安全超文本传输协议是在应用层运行的HTTP安全性扩展。
 （6）TLS
     传输层安全性协议，主要目标是在正在通信的应用程序之间提供保密性和数据完整性。

4.硬件安全性

 （1）机房的地理环境选择
 （2）机房的物理环境选择：温度，湿度，洁净度
 （3）电气环境：不间断电源UPS
 （4）防火防盗措施：气体灭火器

5.计算机病毒防护

  病毒程序可以分解为以下三个部分：
  复制部分，隐蔽部分，破坏部分。
 （1）病毒预防技术
 （2）病毒免疫技术
 （3）病毒检测技术
 （4）病毒消除技术

三.安全保护

1.个人信息控制

 （1）利用操作系统和应用软件的漏洞
 （2）网络系统设置
 （3）程序的安全性
 （4）拦截数据包
 （5）假冒正常的商业网站
 （6）用户自身用户

2.匿名

3.不可跟踪性

  跟踪用户的基本方法有以下几种：
 （1）追踪用户的IP
 （2）利用cookie
 （3）利用active和java等代码 

四.例题分析

例题1
公钥密码是 （1） 。常用的公钥加密算法有（2），它可以实现加密和数字签名，它的一个比较知名的应用是（3），这种应用的协商层用公钥方式进行身份认证，记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。
（1）A．对称密钥技术，有1个密钥 B．不对称密钥技术，有2个密钥
C．对称密钥技术，有2个密钥 D．不对称密钥技术，有1个密钥
（2）A．DES B．IDES C．三元 DES D．RSA
（3）A．SSL B．SOCK5 C．安全 RPC D．MD5
参考答案：B,D,A
例题2
对照 ISO/OSI 参考模型各个层中的网络安全服务，在物理层可以采用 （4） 加强通信线路的安全；在数据链路层，可以采用 （5） 进行链路加密；在网络层可以采用 （6） 来处理信息在内外网络边界流动和建立透明的安全加密信道；在传输层主要解决进程到进程间的加密，最常见的传输层安全技术有 （7） ；为了将低层安全服务进行抽象和屏蔽，最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供 （8） 安全服务。
（4）A．防窃听技术 B．防火墙技术 C．防病毒技术 D．防拒认技术
（5）A．公钥基础设施 B．Kerberos鉴别 C．通信保密机 D．CA 认证中心
（6）A．防窃听技术 B．防火墙技术 C．防病毒技术 D．防拒认技术
（7）A．SET B．IPsec C．S-HTTP D．SSL
（8）A．身份认证 B．访问控制 C．身份认证、访问控制和数据加密 D．数据加密
参考答案：物理层-防窃听技术
数据链路层-通信保密机
网络层-防火墙技术
传输层-SSL
应用层-身份认证，访问控制，数据加密
例题3
A向B发送消息P，并使用公钥体制进行数字签名。设E表示公钥，D表示私钥，则B要保留的证据是 （9） 。基于数论原理的RSA算法的安全性建立在 （10） 的基础上。Kerberos是MIT为校园网设计的身份认证系统，该系统利用智能卡产生 （11） 密钥，可以防止窃听者捕获认证信息。为了防止会话劫持，Kerberos提供了 （12） 机制，另外报文中还加入了 （13） ，用于防止重发攻击（replay attack）。
（9）A．EA（P） B．EB（P） C．DA（P） D．DB（P）
（10）A．大数难以分解因子 B．大数容易分解因子
C．容易获得公钥 D．私钥容易保密
（11）A．私有 B．加密 C．一次性 D．会话
（12）A．连续加密 B．报文认证 C．数字签名 D．密钥分发
（13）A．伪随机数 B．时间标记 C．私有密钥 D．数字签名
参考答案：C,A,C,A,B
例题4
防火墙技术可以分为 （14） 等3大类型，防火墙系统通常由 （15） 组成，防止不希望的、未经授权的通信进出被保护的内部网络，它 （16） 内部网络的安全措施，也 （17） 进入防火墙的数据带来的安全问题。它是一种 （18） 网络安全措施。
（14）A．包过滤、入侵检测和数据加密 B．包过滤、入侵检测和应用代理
C．IP过滤、线路过滤和入侵检测 D．IP过滤、线路过滤和应用代理
（15）A．杀病毒卡和杀毒软件 B．代理服务器和入侵检测系统
C．过滤路由器和入侵检测系统 D．过滤路由器和代理服务器
（16）A．可以替代 B．不能替代 C．是一种 D．是外部和
（17）A．物理隔离 B．能够区分 C．不能解决 D．可以解决
（18）A．被动的 B．主动的 C．能够防止内部犯罪的 D．能够解决所有问题的
参考答案：D,D,B,C,A
例题5
RSA是一种基于 （19） 原理的公钥加密算法。网络上广泛使用的PGP协议采用RSA和IDEA两种加密算法组成链式加密体系，这种方案的优点是 （20） 。PGP还可以对电子邮件进行认证，认证机制是用MD5算法产生 （21） 位的报文摘要，发送方用自己的RSA私钥对 （22） 进行加密，附加在邮件中进行传送。如果发送方要向一个陌生人发送保密信息，又没有对方的公钥，那么他可以 （23） 。
（19）A．大素数分解 B．椭圆曲线 C．背包问题 D．离散对数
（20）A．两种算法互相取长补短，从而提高了信息的保密性
B．可以组合成一种新的加密算法，从而避免专利技术的困扰
C．既有RSA体系的快捷性，又有IDEA算法的保密性
D．既有RSA体系的保密性，又有IDEA算法的快捷性
（21）A．256 B．160 C．128 D．96
（22）A．邮件明文 B．IDEA密钥
C．邮件明文和报文摘要 D．报文摘要
（23）A．向对方打电话索取公钥 B．从权威认证机构获取对方的公钥
C．制造一个公钥发给对方 D．向对方发一个明文索取公钥
参考答案：A,D,C,C,B
例题6
OSI（Open System Interconnection）安全体系方案X.800将安全性攻击分为两类，即被动攻击和主动攻击。主动攻击包括篡改数据流或伪造数据流，这种攻击试图改变系统资源或影响系统运行。下列攻击方式中不属于主动攻击的是
（24） 。
（24）A. 伪装　 B. 消息泄漏　C. 重放　D. 拒绝服务
参考答案：B
例题7
安全机制是实现安全服务的技术手段，一种安全机制可以提供多种安全服务，而一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是 （25） 。
（25）A. 数据保密性　　B. 访问控制　 C. 数字签名　D. 认证
参考答案：C
例题8
消息摘要算法是一种常用的函数。MD5算法以一个任意长数据运动块作为输入，其输出为一个 （26） 比特的消息摘要。
（26）A. 128　　B. 160　C. 256　D. 512
参考答案：A
例题9
甲通过计算机网络给乙发消息，表示甲已同意与乙签订合同，不久后甲不承认发过该消息。为了防止这种情况的出现，应该在计算机网络中采取（27）技术。
就目前计算设备的计算能力而言，数据加密标准DES不能抵抗对密钥的穷举搜索攻击，其原因是（28） 。
为了保证网络的安全，常常使用防火墙技术。防火墙是（29）。
（27）A. 数据压缩 B. 数据加密 C. 数据备份 D. 数字签名
（28）A. DES的算法是公开的 B. DES的密钥较短
C. DES除了其中S盒是非线性变换外，其余变换均为线性变换
D. DES的算法简单
（29）A. 为控制网络访问而配置的硬件设备 B. 为防止病毒攻击而编制的软件
C. 指建立在内外网络边界上的过滤封锁机制
D. 为了避免发生火灾专门为网络机房建造的隔离墙
参考答案：D,B,C
例题10
常规的数据加密标准DES采用 （30） 。位有效密钥对（31）位的数据块进行加密。
（30）A. 56 B. 64 C. 112 D. 128
（31）A. 32 B. 64 C. 128 D. 256
参考答案：A.B