信息系统安全知识点总结

细节内容请参照LowBee

信息系统安全

客观题-选择 安全管理评估工具通常不包括（D）

A 问卷调查????B 检查列表

C 访谈提纲????D 漏洞扫描风险评估的三个要素是（D）

A 政策、结构和技术????B 组织、技术和信息

C 硬件、软件和人????D 资产、威胁和脆弱性信息系统安全风险评估的方法（A）

A 定性评估和定量评估相结合????B 定性评估

C 定量评估????D 定点评估以下那组全部都是多边安全模型（C）

A BLP和BIBA????B BIBA和C-W

C BN和BMA????D C-W和BN信息安全需求不包括（D）

A 保密性、完整性????B 可用性、可控性

C 不可否认性????D 语义正确性下面术语被动攻击手段的是（C）

A 假冒????B 修改信息

C 窃听????D 拒绝服务我国信息系统安全等级保护共分为几级（D）

A 二级????B 三级

C 四级????D 五级为了避免第三方偷看web浏览器与服务器交互的敏感信息，通常需要（A）

A 采用SSL技术????B 在浏览器中加在数字签名

C 采用数字签名技术????D 将服务器放入可信站点区关于安全套接层协议的描述中，错误的是（D）

A 可保护传输层的安全????B 可提供数据加密服务

C 可提供消息完整性服务????D 可提供数据源认证服务为了防御网络监听，最常用的方法是（A）

A 信息加密????B 采用物理传输（非网络）

C 无线网传输????D 使用专线传输有关PKI技术的说法，那些是确切的（B）

A 又称秘密密钥加密技术，收信和发信访使用不同的密钥

B 又称公开密钥加密技术，收信和发信访使用不同的密钥

C 又称公开密钥加密技术，收信和发信访使用相同同的密钥

D 又称秘密密钥加密技术，收信和发信访使用相同的密钥下面哪一个情景属于身份验证（Authentication）过程（A）

A 用户依照系统提示输入用户名和口令

B 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改

C 用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容

D 某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登陆过程记录在系统日志中加密算法分为（B）

A 对称加密与数字签名????B 对称加密与非对称加密

C 非对称加密与摘要????D 数字签名与摘要我国的计算机信息系统实行什么保护制度（B）

A 谁主管谁保护????B 等级保护制度

C 认证认可制度????D 全面防制度一下不属于Win2000中的ipsec过滤行为的是（D）

A 允许????B 阻塞

C 协商????D 证书以下关于蜜罐说法正确的是（A）

A 可以用来保护和保存口令的一个网络仓库

B 可以用来保存备份媒体的安全地点

C 可以安放在网络上的一个假系统，用以吸引攻击者

D 一种特殊的防火墙关于信息系统安全审计，下列说法不正确的是（B）

A 安全审计是对信息系统所有操作、活动的记录和检查

B 安全审计不属于信息系统安全管理的范畴

C 安全审计的目的是辅助识别和分析未经授权的动作和攻击

D 安全审计的存在可对某些潜在的侵犯安全的攻击者起到威慑作用NMAP是（B）

A 网络协议????B 扫描工具

C 安全防护工具????D 病毒身份认证需要解决的关键问题和主要作用是（B）

A 身份的确认、应用的限制

B 身份的确认、权限的控制

C 应用的限制、权限的控制

D 应用的限制、用户的管理加密、认证实施中首要解决的问题是（C）

A 信息的包装与用户授权

B 信息的分布与用户的分级

C 信息的分级与用户的分类

D 信息的存储与用户的管理 客观题-填空 服务作用

AS(Authentication Service)

根据AD中存储的账户信息对用户进行身份认证，如果成功则颁发给用户TGT（Ticket Granting Ticket认购权证）

TGS(Ticket GrantingService)

根据TGT确定为合法用户，并颁发票据凭证

AD(Account Database)

辅助AS对用户进行身份认证，存储账户名和密码并维护黑白名单

模型模型特征

BLP

保密性、军事安全、中央集权信息系统、较低的执行开销

Biba

完整性、强制访问控制、难于应用，中央集权信息系统

C-W

完整性、商业安全、能应用面向对象系统、能作为与应用无关的策略

BN

保密性、金融制度、可能有副作用、安全管理的开销较大

BLP模型基于两种规则来保障数据的机密性：

下读规则：主体不能读安全级别高于它的数据

上写规则：主体不可写安全级别低于它的数据

BIBA模型基于两种规则来保障数据的完整性的保密性：

上读规则，主体不能读取安全级别低于它的数据

下写规则：主体不能写入安全级别高于它的数据

BIBA模型并没有用来设计安全操作系统信息系统安全，但大多数完整性保障机制都基于Biba模型的两个基本属性构建

主观题 演讲内容

答：话题：零知识证明应用之区块链效率提升

Rollup方法：Rollup是由于主链的负荷过大，于是可以在主链之外多开启若干小型服务器，用于接收交易以及交易的认证，然后再批量性的把一段时间内累积的交易全部更新到主链上去。但这种方式只适用于小批量交易更新，如果这个更新过程仍然需要向主链发送大批量的交易信息，则Rollup的意义就不复存在，因为它并不会减少任何主链的负荷。在这个更新的过程中需要使用SNARK：通过SNARK，Rollup服务器可以把非常简短的证明提交给主链，证明一大批的交易都没有问题，主链只需要根据最后的结果增加或减少一些UTXO就可完成交易信息更新。通过Rollup，我们可以大大的减少主链的负荷，把更多的验证外包出去。

名词解释 零知识证明 DSA

HMQV

前提：Alice（A）已有私钥a，并且公开自己的公钥PKA=ga，类似的Bob（B）已有私钥b，并且公开自己的公钥PKB=gb,且已经进行完毕身份认证，并双方均获得对方的身份信息：idA，idB

PKI：公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能；CA证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

RC4（来自Rivest Cipher 4的缩写）是一种流加密算法，密钥长度可变。它加解密使用相同的密钥，因此也属于对称加密算法。

1989年Brewer和Nash提出的兼顾保密性和完整性的安全模型，又称BN模型。主要用来解决商业中的利益冲突问题，目标是防止利益冲突的发生。中医墙模型对数据的访问控制是根据主体已经具有的访问权力来确定是否可以访问当前数据。

BMA模型以英国医学协会（BMA，British Medical Association）提出的攻击模型、安全策略以及结构为基础，后因其通用性而被国际安全领域定义为一种经典的多边安全模型。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!