軟考資訊安全工程師選擇題筆記

1、無線區域網路産品須使用的系列密碼算法：

1）對稱密碼算法：SMS4

2）簽名算法：ECDSA，須采用制定的橢圓曲線和參數

3）密鑰協商算法：ECDH，須采用制定的橢圓曲線和參數

4）雜湊算法：SHA-256

5）随機數生成算法：自行選擇

2、資訊安全原則：最小化原則，分權制衡原則，安全隔離原則。

3、網管體系應包含協定、表示、安全、對象四個方面。

4、《風險評估報告》是風險分析階段的輸出文檔。

5、風險評估的過程包括風險評估準備、風險因素識别、風險程度分析和風險等級評價。

風險評估通過對資産、脆弱性、控制措施和威脅四個風險要素的識别與評估，進而擷取被評估系統的風險值或風險級别。

6、《中華人民共和國刑法》和《全國人大常委會關于維護網際網路安全的決定》屬于規範和懲罰資訊網絡犯罪的法律。

7、2017年6月1日，《中華人民共和國網絡安全法》開始施行。

國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。

因維護國家安全和社會公共秩序，處置重大突發社會安全事件的需要，經國務院決定或者準許，可以在特定區域對網絡通信采取限制等臨時措施。

8、計算機驗證的特點：

1）驗證是在犯罪進行中或之後，開始收集證據

2）驗證需要重構犯罪行為

3）為訴訟提供證據

4）網絡驗證困難，且完全依靠所保護資訊的品質

為了保證調查工具的完整性，需要對所有工具進行MD5等校驗處理。

9、資訊安全等級保護标準：

1）第一級為自主保護級，适用于一般的資訊系統，其受到破壞後，會對公民、法人和其他組織的合法權益産生損害，但不損害國家安全、社會秩序和公共利益

2）第二級為指導保護級，适用于一般的資訊系統，其受到破壞後，會對社會秩序和公共利益造成輕微損害，但不損害國家安全

3）第三級為監督保護級，适用于涉及國家安全、社會秩序和公共利益的重要資訊系統，其受到破壞後，會對國家安全、社會秩序和公共利益造成損害

4）第四級為強制保護級，适用于涉及國家安全、社會秩序和公共利益的重要資訊系統，其受到破壞後，會對國家安全、社會秩序和公共利益造成嚴重損害

5）第五級為專控保護級，适用于涉及國家安全、社會秩序和公共利益的重要資訊系統的核心子系統，其受到破壞後，會對國家安全、社會秩序和公共利益造成特别嚴重損害

10、《計算機資訊系統安全保護等級劃分标準》中規定的計算機系統安全保護能力的五個等級：

1）使用者自主保護級，隔離使用者和資料，對使用者實施通路控制

2）系統審計保護級，實施粒度更細的自主通路控制，通過登入規程、審計安全性相關事件和隔離資源，使使用者對自己的行為負責

3）安全标記保護級，提供安全政策模型、資料标記以及主體對客體強制通路控制的非形式化描述，準确标記輸出資訊的能力，對所有主體及其所控制的客體實施強制通路控制

4）結構化保護級，要求将第三級系統中的自主和強制通路控制擴充到所有的主體和客體，還要考慮隐蔽通道

5）通路驗證保護級，滿足監控器需求。

11、專利法基本原則，對于同一個發明隻能授予一個專利權。誰先申請誰擁有，同時申請則協商。

12、著作權保護期為作者終身及死後50年。

13、我國國家标準代号：強制性标準代号為GB、推薦性标準代号為GB/T、指導性标準代号為GB/Z、實物标準代号為GSB

行業标準代号：由漢語拼音大寫字母組成

地方标準代号：由DB加上省級行政區劃代碼的前兩位

企業标準代号：由Q加上企業代号組成

14、評估密碼系統安全性的三種方法：

1）計算安全，強力破&解證明是安全的，破譯所需時間和資源是現實不具備的

2）可證明安全，理論保證是安全的，破譯依賴數學難題的解決

3）無條件安全，極限狀态是安全的，任何條件都無法破譯

15、對稱密碼體制中加密算法和解密算法是公開的。

16、kerckhoffs原則認為，一個安全保護系統的安全性不是建立在它的算法對于對手來說是保密的，而是建立在它所選擇的密鑰對于對手來說是保密的。kerckhoffs原則屬于密碼理論原則。

17、密碼攻&擊的目的是發現密鑰或者密文對應的明文，密碼攻&擊類型：

1）僅知密文攻&擊，密碼分析者僅能通過截獲的密文破&解密碼，這種方式對攻&擊者最為不利

2）已知明文攻&擊，密碼分析者已知明文-密文對，來破&解密碼

3）選擇明文攻&擊，密碼分析者不僅可以得到一些“明文-密文對”，還可以選擇被加密的明文并獲得相應的密文。差分分析屬于選擇明文攻&擊，通過比較分析有特定差別的明文在通過加密後的變化情況來攻&擊密碼算法

4）選擇密文攻&擊，密碼分析者可以選擇一些密文，并得到相應的明文。這種方式對攻&擊者最有利。主要攻&擊公開密鑰密碼體制，特别是攻&擊數字簽名

18、凱撒密碼，就是把明文字母表循環右移3位後得到的字母表

19、Vernam密碼奠定了序列密碼的基礎，在明文與密鑰按位異或後，得到密文。

20、實用的量子算法有shor算法和grover算法。

21、分組密碼每次加密一個明文塊，密文僅與加密算法和密鑰有關。

序列密碼每次加密一位或一個字元，密文除了與加密算法和密鑰有關外，還與被加密明文部分在整個明文中的位置有關。

22、DES

DES屬于對稱加密算法。

S盒變換是一種壓縮替換，通過S盒将48位輸入變為32位輸出。共有8個S盒，并行作用。每個S盒有6個輸入，4個輸出，是非線性壓縮變換。一六得行号，中間四位得列号。

DES分組長度為64比特，使用56比特密鑰對64位比特明文串進行16輪加密，得到64比特密文串。64位密鑰經過置換選擇1、循環左移、置換選擇2，産生16個長48位的子密鑰。

3DES的兩種加密方式：

①第一、三次加密使用同一密鑰，這種方式密鑰長度128位（112位有效）

②三次加密使用不同密鑰，這種方式密鑰長度192位（168位有效）

23、AES

AES結構由四個不同子產品組成，其中位元組代換是非線性子產品。位元組代換是按位元組進行代替變換，也稱為S盒變換。它是作用在狀态中每個位元組上的一種非線性位元組變換。

AES采納的算法是Rijndael，該算法安全、性能好、效率高。它是一個資料塊長度和密鑰長度都可變的分組加密算法，其資料塊長度和密鑰長度都可獨立地標明為大于128位且小于256位的32位的任意倍數。而美國頒布AES時規定資料塊的長度為128位、密鑰長度可分别選擇為128位、192位或256位。

24、SM4是一種分組密碼算法，其分組長度和密鑰長度分别為128位和128位。

25、ECB、CBC、OFB、CFB、CTR

26、RC4算法是一種加密算法，相關算法軟體出口，美國限制密鑰長度不能超過40位。

27、SM3密碼雜湊算法的消息分組長度為512比特，雜湊值長度32位元組。

28、消息認證碼MAC是消息内容和密鑰的公開函數，輸出固定長度的短資料塊。

29、常見的對稱加密算法有DES、3DES、RC5、IDEA。

非對稱加密算法（公鑰密碼加密算法），私鑰用于解密和簽名，公鑰用于加密和認證。典型的公鑰密碼體制有RSA、DSA、ECC。

30、設在RSA的公鑰密碼體制中，公鑰為（e,n）=（13，35），則私鑰為？

選出兩個大質數p和q，使得p不等于q

計算p*q=n

計算e使得1<e<(p-1)(q-1)

公鑰=e，n

私鑰=d，n

公開n參數，n又稱為模

消除原始質數p和q

由（e，n）=（13，35）可以得知n=p*q=35，因為p和q為素數，是以p、q為5和7.

(p-1)(q-1)=24

已知e=13，是以滿足13d=1 mod 24等式的是13

31、67 mod 119的逆元是？

1）對餘數進行輾轉相除

119=67*1+52

67=52*1+15

52=15*3+7

15=7*2+1

7=1*7+0

2）對商數逆向排列（不含餘數為0的商數）

1+2*3=7

2+7*1=9

7+9*1=16

32、橢圓曲線秘鑰比RSA短。一般認為160位長的橢圓曲線密碼相當于1024位RSA密碼的安全性。我國第二代居民身份證使用的是256位的橢圓曲線密碼。

SM2算法是國家密碼管理局釋出的橢圓曲線公鑰密碼算法，用于在我國商用密碼體系中替換RSA算法。

SM9：辨別密碼算法

SM3：密碼雜湊算法

SM2：橢圓曲線公鑰密碼算法，用來替換RSA算法

SM2和SM9數字簽名算法為國際标準

33、a=17，b=2，則滿足a與b取模同餘的是？

整數a、b關于模n是同餘的充分必要條件是n整除b-a，記為n|b-a。

b-a=17-2=15，n是能整除15的值。選項中隻有5。

34、數字簽名最常見的實作方法是建立在公鑰密碼體制和單向安全散列函數算法的組合基礎之上。

公鑰密碼體制用于确認身份，單向安全散列函數算法用于保證消息完整性。

一個數字簽名體制通常包括施加簽名和驗證簽名兩個部分。

數字簽名不可改變。

DSA簽名算法中雜湊函數采用的是SHA-1。

實作數字簽名最常見的方法是公鑰密碼體制和單向安全HASH函數算法相結合。

數字簽名隻能保證消息不被僞造、無篡改、無洩密。但不能保證傳輸的消息的正确性。

35、一次性密碼能對抗重放攻&擊。

36、kerberos是一種常用的身份認證協定，進行密鑰配置設定時使用AES、DES等對稱密鑰加密，采用一次性密鑰和時間戳來防止重放攻&擊。在kerberos認證系統中。使用者首先向認證伺服器AS申請初始票據，然後從票據授予伺服器TGS獲得會話密鑰。

37、PKI是一組規則、過程、人員、設施、軟體和硬體的集合，可以用來進行公鑰證書的發放、分發和管理。PKI用于解決公鑰可信性問題。

CA負責電子證書的申請、簽發、制作、廢止、認證和管理。（負責産生、配置設定、管理使用者數字證書，負責登記和釋出證書廢止清單CRL）

RA負責證書申請者的資訊錄入，稽核以及證書的發放等任務，同時，對發放的證書完成相應的管理功能。

X.509數字證書不包括加密算法辨別。

38、上讀下寫方式保證了資料的完整性；上寫下讀方式保證了資訊的秘密性。

通路控制涉及三個基本概念，即主體、客體和授權通路。

39、BLP模型有兩條基本規則：（下讀上寫）

1）簡單安全特性規則。即主體隻能向下讀，不能向上讀。

2）*特性規則。即主體隻能向上寫，不能向下寫。

40、多級安全模型中主體對客體的通路主要有4種方式：（主>客 下讀下寫，主<客 上讀上寫）

1）向下讀

2）向上讀

3）向下寫

4）向上寫

41、審計系統三大功能子產品：審計事件的收集及過濾、審計事件的記錄及查詢、審計事件分析及響應報警。

42、主要的滲入威脅有：

1）假冒：某個實體假裝成另一個不同的實體

2）旁路：通過各種手段發現一些系統安全缺陷，并利用這些安全缺陷繞過系統防線滲入到系統内部

3）授權侵犯：對某一資源有一定權限的實體，将此權限用于未被授權的目的。

主要的植入威脅有：病&毒、特洛伊木&馬、陷門、邏輯炸彈、間諜軟體。

43、消息認證就是驗證消息的完整性。驗證資訊的發送者是真正的而不是冒充的，驗證資訊在傳送過程中未被篡改、重放或延遲等。

44、主動攻&擊和被動攻&擊

1）主動攻&擊：涉及修改資料流或建立資料流，包括假冒、重放、修改消息與拒絕服務。

2）被動攻&擊：隻是窺探、竊取、分析重要資訊，但不影響網絡、伺服器正常工作。XSS攻&擊不修改任何資料，是被動攻&擊。

45、C1級：自主安全保護級（選擇性保護級），能夠實作對使用者和資料的分離，進行自主存取控制，資料保護以使用者組為機關。

46、S/Key一次性密碼系統是基于md4和md5的一次性密碼生成方案，協定的操作是cs模式。用于避免重放攻&擊。

47、防火牆主要由服務通路規則、驗證工具、包過濾和應用網關四個部分組成。

48、身份認證主要有密碼認證、生物特征識别兩種主要方式。指紋識别技術可以分為驗證、辨識兩種。

常見的身份認證協定有S/Key密碼協定、kerberos、X.509等。

49、網絡安全系統設計原則：木桶原則、整體性原則、實用性原則、動态化原則、等級性原則。

50、數字水印的安全需求為安全性、隐蔽性、魯棒性。

51、隻有ca的證書才攜帶ca的公開密鑰。

52、wep由于安全性差，不被wpa采納使用。

wep采用rc4算法，使用40位或64為密鑰。wep2是128為密鑰。

标準的64位标準流wep使用的密鑰和初始向量長度分别為40位和24位。

53、流量監控的基礎是協定分析，主要方法有端口識别、DPI（深度包檢測）、DFI（深度流檢測）。

54、一個全局的安全架構必須包含的安全結構因素是審計、完整性、身份認證、保密性、可用性。

55、差錯控制可以提高可靠性，但不屬于網絡安全控制技術。

56、計算機病&毒引導過程：

1、駐留記憶體

2、竊取系統控制權

3、恢複系統功能

57、SSL處于應用層和傳輸層之間，是一個兩層協定。它結合了對稱密碼技術和公開密碼技術，提供保密性、完整性、可認證性服務。

58、智能卡的内部核心COS一般由通信管理子產品、安全管理子產品、應用管理子產品和檔案管理子產品組成。

59、實體安全威脅主要是自然威脅、設施系統安全威脅和人為政治事件。

60、SET是應用層協定，是一種基于消息流的協定，采用現代密碼體制（公鑰、對稱密鑰和哈希），不是用驗證碼來實作身份确認。SET要實作的主要目标包括保障付款安全，确定應用的互通性和達到全球市場的可接受性。

SET支付系統主要由持卡人、商家、發夾行、收單行、支付網關、認證中心六個部分組成。

61、VPN技術：隧道技術、加解密技術、密鑰管理技術、使用者與裝置身份認證技術

二層VPN：pptp、l2tp

三層VPN：gre、ipsec

四層VPN：ssl vpn、tls vpn

Intranet VPN：用于内部網絡，常為使用者到使用者的VPN，使用傳輸模式。

Internet VPN：使用公網的VPN連接配接，遠端通路VPN。

Extranet VPN：一般是合作夥伴之間的VPN連接配接。

62、SHA1會産生一個160位的消息摘要。輸入的分組長度是512比特。

63、預防重放攻&擊的方法有時間戳、nonce、序号。

64、安全機制：加密、數字簽名、通路控制、資料完整性、鑒别交換、業務流填充、路由控制、公證

安全服務：鑒别服務、通路控制、資料完整性、資料保密性、不可抵賴性

65、對日志資料進行審計檢查，屬于檢測類控制措施。

66、自主通路控制模型：jones取予模型、HRU模型、動作-實體模型

強制通路控制模型：基于角色的存取控制模型、BLP模型、Clark-Wilson模型、BN模型

67、計算機病&毒的生命周期一般包括潛伏階段、傳播階段、觸發階段、發作階段四個階段。

68、代碼靜态分析的方法包括模式比對、定理證明、模型檢測等，不包括記憶體掃描。

69、DSS數字簽名标準的核心是數字簽名算法DSA，其簽名算法中雜湊函數采用的是SHA1.

69、從資料挖掘的角度，目前隐私保護技術主要分為三類：