1、无线局域网产品须使用的系列密码算法:
1)对称密码算法:SMS4
2)签名算法:ECDSA,须采用制定的椭圆曲线和参数
3)密钥协商算法:ECDH,须采用制定的椭圆曲线和参数
4)杂凑算法:SHA-256
5)随机数生成算法:自行选择
2、信息安全原则:最小化原则,分权制衡原则,安全隔离原则。
3、网管体系应包含协议、表示、安全、对象四个方面。
4、《风险评估报告》是风险分析阶段的输出文档。
5、风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价。
风险评估通过对资产、脆弱性、控制措施和威胁四个风险要素的识别与评估,从而获取被评估系统的风险值或风险级别。
6、《中华人民共和国刑法》和《全国人大常委会关于维护互联网安全的决定》属于规范和惩罚信息网络犯罪的法律。
7、2017年6月1日,《中华人民共和国网络安全法》开始施行。
国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
8、计算机取证的特点:
1)取证是在犯罪进行中或之后,开始收集证据
2)取证需要重构犯罪行为
3)为诉讼提供证据
4)网络取证困难,且完全依靠所保护信息的质量
为了保证调查工具的完整性,需要对所有工具进行MD5等校验处理。
9、信息安全等级保护标准:
1)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益
2)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全
3)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害
4)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害
5)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害
10、《计算机信息系统安全保护等级划分标准》中规定的计算机系统安全保护能力的五个等级:
1)用户自主保护级,隔离用户和数据,对用户实施访问控制
2)系统审计保护级,实施粒度更细的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责
3)安全标记保护级,提供安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,准确标记输出信息的能力,对所有主体及其所控制的客体实施强制访问控制
4)结构化保护级,要求将第三级系统中的自主和强制访问控制扩展到所有的主体和客体,还要考虑隐蔽通道
5)访问验证保护级,满足监控器需求。
11、专利法基本原则,对于同一个发明只能授予一个专利权。谁先申请谁拥有,同时申请则协商。
12、著作权保护期为作者终身及死后50年。
13、我国国家标准代号:强制性标准代号为GB、推荐性标准代号为GB/T、指导性标准代号为GB/Z、实物标准代号为GSB
行业标准代号:由汉语拼音大写字母组成
地方标准代号:由DB加上省级行政区划代码的前两位
企业标准代号:由Q加上企业代号组成
14、评估密码系统安全性的三种方法:
1)计算安全,强力破&解证明是安全的,破译所需时间和资源是现实不具备的
2)可证明安全,理论保证是安全的,破译依赖数学难题的解决
3)无条件安全,极限状态是安全的,任何条件都无法破译
15、对称密码体制中加密算法和解密算法是公开的。
16、kerckhoffs原则认为,一个安全保护系统的安全性不是建立在它的算法对于对手来说是保密的,而是建立在它所选择的密钥对于对手来说是保密的。kerckhoffs原则属于密码理论原则。
17、密码攻&击的目的是发现密钥或者密文对应的明文,密码攻&击类型:
1)仅知密文攻&击,密码分析者仅能通过截获的密文破&解密码,这种方式对攻&击者最为不利
2)已知明文攻&击,密码分析者已知明文-密文对,来破&解密码
3)选择明文攻&击,密码分析者不仅可以得到一些“明文-密文对”,还可以选择被加密的明文并获得相应的密文。差分分析属于选择明文攻&击,通过比较分析有特定区别的明文在通过加密后的变化情况来攻&击密码算法
4)选择密文攻&击,密码分析者可以选择一些密文,并得到相应的明文。这种方式对攻&击者最有利。主要攻&击公开密钥密码体制,特别是攻&击数字签名
18、凯撒密码,就是把明文字母表循环右移3位后得到的字母表
19、Vernam密码奠定了序列密码的基础,在明文与密钥按位异或后,得到密文。
20、实用的量子算法有shor算法和grover算法。
21、分组密码每次加密一个明文块,密文仅与加密算法和密钥有关。
序列密码每次加密一位或一个字符,密文除了与加密算法和密钥有关外,还与被加密明文部分在整个明文中的位置有关。
22、DES
DES属于对称加密算法。
S盒变换是一种压缩替换,通过S盒将48位输入变为32位输出。共有8个S盒,并行作用。每个S盒有6个输入,4个输出,是非线性压缩变换。一六得行号,中间四位得列号。
DES分组长度为64比特,使用56比特密钥对64位比特明文串进行16轮加密,得到64比特密文串。64位密钥经过置换选择1、循环左移、置换选择2,产生16个长48位的子密钥。
3DES的两种加密方式:
①第一、三次加密使用同一密钥,这种方式密钥长度128位(112位有效)
②三次加密使用不同密钥,这种方式密钥长度192位(168位有效)
23、AES
AES结构由四个不同模块组成,其中字节代换是非线性模块。字节代换是按字节进行代替变换,也称为S盒变换。它是作用在状态中每个字节上的一种非线性字节变换。
AES采纳的算法是Rijndael,该算法安全、性能好、效率高。它是一个数据块长度和密钥长度都可变的分组加密算法,其数据块长度和密钥长度都可独立地选定为大于128位且小于256位的32位的任意倍数。而美国颁布AES时规定数据块的长度为128位、密钥长度可分别选择为128位、192位或256位。
24、SM4是一种分组密码算法,其分组长度和密钥长度分别为128位和128位。
25、ECB、CBC、OFB、CFB、CTR
26、RC4算法是一种加密算法,相关算法软件出口,美国限制密钥长度不能超过40位。
27、SM3密码杂凑算法的消息分组长度为512比特,杂凑值长度32字节。
28、消息认证码MAC是消息内容和密钥的公开函数,输出固定长度的短数据块。
29、常见的对称加密算法有DES、3DES、RC5、IDEA。
非对称加密算法(公钥密码加密算法),私钥用于解密和签名,公钥用于加密和认证。典型的公钥密码体制有RSA、DSA、ECC。
30、设在RSA的公钥密码体制中,公钥为(e,n)=(13,35),则私钥为?
选出两个大质数p和q,使得p不等于q
计算p*q=n
计算e使得1<e<(p-1)(q-1)
公钥=e,n
私钥=d,n
公开n参数,n又称为模
消除原始质数p和q
由(e,n)=(13,35)可以得知n=p*q=35,因为p和q为素数,因此p、q为5和7.
(p-1)(q-1)=24
已知e=13,所以满足13d=1 mod 24等式的是13
31、67 mod 119的逆元是?
1)对余数进行辗转相除
119=67*1+52
67=52*1+15
52=15*3+7
15=7*2+1
7=1*7+0
2)对商数逆向排列(不含余数为0的商数)
1+2*3=7
2+7*1=9
7+9*1=16
32、椭圆曲线秘钥比RSA短。一般认为160位长的椭圆曲线密码相当于1024位RSA密码的安全性。我国第二代居民身份证使用的是256位的椭圆曲线密码。
SM2算法是国家密码管理局发布的椭圆曲线公钥密码算法,用于在我国商用密码体系中替换RSA算法。
SM9:标识密码算法
SM3:密码杂凑算法
SM2:椭圆曲线公钥密码算法,用来替换RSA算法
SM2和SM9数字签名算法为国际标准
33、a=17,b=2,则满足a与b取模同余的是?
整数a、b关于模n是同余的充分必要条件是n整除b-a,记为n|b-a。
b-a=17-2=15,n是能整除15的值。选项中只有5。
34、数字签名最常见的实现方法是建立在公钥密码体制和单向安全散列函数算法的组合基础之上。
公钥密码体制用于确认身份,单向安全散列函数算法用于保证消息完整性。
一个数字签名体制通常包括施加签名和验证签名两个部分。
数字签名不可改变。
DSA签名算法中杂凑函数采用的是SHA-1。
实现数字签名最常见的方法是公钥密码体制和单向安全HASH函数算法相结合。
数字签名只能保证消息不被伪造、无篡改、无泄密。但不能保证传输的消息的正确性。
35、一次性口令能对抗重放攻&击。
36、kerberos是一种常用的身份认证协议,进行密钥分配时使用AES、DES等对称密钥加密,采用一次性密钥和时间戳来防止重放攻&击。在kerberos认证系统中。用户首先向认证服务器AS申请初始票据,然后从票据授予服务器TGS获得会话密钥。
37、PKI是一组规则、过程、人员、设施、软件和硬件的集合,可以用来进行公钥证书的发放、分发和管理。PKI用于解决公钥可信性问题。
CA负责电子证书的申请、签发、制作、废止、认证和管理。(负责产生、分配、管理用户数字证书,负责登记和发布证书废止列表CRL)
RA负责证书申请者的信息录入,审核以及证书的发放等任务,同时,对发放的证书完成相应的管理功能。
X.509数字证书不包括加密算法标识。
38、上读下写方式保证了数据的完整性;上写下读方式保证了信息的秘密性。
访问控制涉及三个基本概念,即主体、客体和授权访问。
39、BLP模型有两条基本规则:(下读上写)
1)简单安全特性规则。即主体只能向下读,不能向上读。
2)*特性规则。即主体只能向上写,不能向下写。
40、多级安全模型中主体对客体的访问主要有4种方式:(主>客 下读下写,主<客 上读上写)
1)向下读
2)向上读
3)向下写
4)向上写
41、审计系统三大功能模块:审计事件的收集及过滤、审计事件的记录及查询、审计事件分析及响应报警。
42、主要的渗入威胁有:
1)假冒:某个实体假装成另一个不同的实体
2)旁路:通过各种手段发现一些系统安全缺陷,并利用这些安全缺陷绕过系统防线渗入到系统内部
3)授权侵犯:对某一资源有一定权限的实体,将此权限用于未被授权的目的。
主要的植入威胁有:病&毒、特洛伊木&马、陷门、逻辑炸弹、间谍软件。
43、消息认证就是验证消息的完整性。验证信息的发送者是真正的而不是冒充的,验证信息在传送过程中未被篡改、重放或延迟等。
44、主动攻&击和被动攻&击
1)主动攻&击:涉及修改数据流或创建数据流,包括假冒、重放、修改消息与拒绝服务。
2)被动攻&击:只是窥探、窃取、分析重要信息,但不影响网络、服务器正常工作。XSS攻&击不修改任何数据,是被动攻&击。
45、C1级:自主安全保护级(选择性保护级),能够实现对用户和数据的分离,进行自主存取控制,数据保护以用户组为单位。
46、S/Key一次性口令系统是基于md4和md5的一次性口令生成方案,协议的操作是cs模式。用于避免重放攻&击。
47、防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。
48、身份认证主要有口令认证、生物特征识别两种主要方式。指纹识别技术可以分为验证、辨识两种。
常见的身份认证协议有S/Key口令协议、kerberos、X.509等。
49、网络安全系统设计原则:木桶原则、整体性原则、实用性原则、动态化原则、等级性原则。
50、数字水印的安全需求为安全性、隐蔽性、鲁棒性。
51、只有ca的证书才携带ca的公开密钥。
52、wep由于安全性差,不被wpa采纳使用。
wep采用rc4算法,使用40位或64为密钥。wep2是128为密钥。
标准的64位标准流wep使用的密钥和初始向量长度分别为40位和24位。
53、流量监控的基础是协议分析,主要方法有端口识别、DPI(深度包检测)、DFI(深度流检测)。
54、一个全局的安全框架必须包含的安全结构因素是审计、完整性、身份认证、保密性、可用性。
55、差错控制可以提高可靠性,但不属于网络安全控制技术。
56、计算机病&毒引导过程:
1、驻留内存
2、窃取系统控制权
3、恢复系统功能
57、SSL处于应用层和传输层之间,是一个两层协议。它结合了对称密码技术和公开密码技术,提供保密性、完整性、可认证性服务。
58、智能卡的内部核心COS一般由通信管理模块、安全管理模块、应用管理模块和文件管理模块组成。
59、物理安全威胁主要是自然威胁、设施系统安全威胁和人为政治事件。
60、SET是应用层协议,是一种基于消息流的协议,采用现代密码体制(公钥、对称密钥和哈希),不是用验证码来实现身份确认。SET要实现的主要目标包括保障付款安全,确定应用的互通性和达到全球市场的可接受性。
SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心六个部分组成。
61、VPN技术:隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术
二层VPN:pptp、l2tp
三层VPN:gre、ipsec
四层VPN:ssl vpn、tls vpn
Intranet VPN:用于内部网络,常为用户到用户的VPN,使用传输模式。
Internet VPN:使用公网的VPN连接,远程访问VPN。
Extranet VPN:一般是合作伙伴之间的VPN连接。
62、SHA1会产生一个160位的消息摘要。输入的分组长度是512比特。
63、预防重放攻&击的方法有时间戳、nonce、序号。
64、安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证
安全服务:鉴别服务、访问控制、数据完整性、数据保密性、不可抵赖性
65、对日志数据进行审计检查,属于检测类控制措施。
66、自主访问控制模型:jones取予模型、HRU模型、动作-实体模型
强制访问控制模型:基于角色的存取控制模型、BLP模型、Clark-Wilson模型、BN模型
67、计算机病&毒的生命周期一般包括潜伏阶段、传播阶段、触发阶段、发作阶段四个阶段。
68、代码静态分析的方法包括模式匹配、定理证明、模型检测等,不包括内存扫描。
69、DSS数字签名标准的核心是数字签名算法DSA,其签名算法中杂凑函数采用的是SHA1.
69、从数据挖掘的角度,目前隐私保护技术主要分为三类:
1)基于数据失真的隐私保护技术
2)基于数据加密的隐私保护技术
3)基于数据匿名化的隐私保护技术