【信息安全技术】期末复习考点汇总

叮嘟！这里是小啊呜的学习课程资料整理。好记性不如烂笔头，今天也是努力进步的一天。一起加油进阶吧！

一、选择&判断题 测试卷整理合集

截至2020/10/20               共计10份测试卷。

02密码与隐藏技术测试卷: 02密码与隐藏技术

03数字签名与认证测试卷: 03数字签名与认证

04身份与访问安全测试卷: 04身份与访问安全

05计算机病毒与黑客测试卷: 05计算机病毒与黑客

06网络攻击与防范测试卷: 06网络攻击与防范

07网络安全与编程测试卷: 07网络安全与编程

08之设备与环境安全测试卷: 08之设备与环境安全

09软件保护技术测试卷1: 09软件保护技术

10软件保护技术测试卷2: 10软件保护技术

11区块链基础测试卷: 11区块链基础

二、简答题

1.简单替换密码加解密

见习题。教材P57页习题4、5、6、7；

友情链接：信息安全实践一之密码与隐藏技术1

信息安全实践一之密码与隐藏技术1内容：【计算步骤】
实验1.1凯撒密码
实验1.2 仿射密码

2.DES算法的原理：

**P17-24**

（1）对输入的明文从左到右按顺序每64位分为一组，并按组进行加密或解密
（2）进行初始置换
（3）将置换后的明文分成左右两组，每组32位
（4）进行16轮相同的变换，包括密钥变换
（5）将变换后的左右两部分合并在一起
（6）逆初始变换，输出64位密文。

3.RSA算法的全过程：P40-41

（1）选择密钥

①选择两个不同的素数p,q
②计算公开模数r=p*q
③计算欧拉函数φ（r）=(p-1)*(q-1)
④选一个与φ（r）互质的量k，即保证gcd(φ（r）,k)=1时，选择K,可以令sp=k或pk=k
⑤根据sk*pk=- 1modφ(r)，已知 sk或pk，用乘逆算法求pk或sk

（2）加密

密文Ci=PipkMod r

（3）解密

明文Pi=Ci skMod r 明文P=P1p2…Pi…。

4.基于公开密钥的数字签名方案：公开密钥体制

**P61**

5.单项散列函数的特点：

**P62-63**

（1）hash函数能从任意长度的M中产生固定长度的散列值h
（2）已知M时，利用h(M)很容易计算出h
（3）已知M时，要想通过同一个h(M)计算处不同的h 是很困难的
（4）已知h时，要想从h(M)计算处不同的M 是很困难的
（5）已知M时，要找出另一信息M’，使h(M)=h(m’)是很困难的。

6.简述信息的完整性、可用性、保密性：

（1）完整性：保护计算机系统内软件和数据不被偶然或人为蓄意破坏、篡改、伪造等
（2）可用性：在用户授权的情况下，无论什么时候只要客户需要，信息必须是可用的和可访问的，信息系统不能拒绝服务
（3）保密性：信息必须按照拥有者的要求保持一定的秘密性。

7.简述数字水印的主要特征：

稳定性、水印容量、安全性、自恢复性、不可见性。

8.论述公开密钥算法的典型特点：

（1）在公开密钥算法中有一对密钥分别为公钥和私钥
（2）进行加密和解密时使用不同的加密密钥和解密密钥，且加密密钥和解密密钥不能户型推导出来或者很难
（3）公开密钥和私密密钥必须配对使用
（4）公开密钥算法的安全性是依赖于某个数学问题很难解决的基础上的。

9.论述对称加密体制：

（1）采用的解密算法就是加密算法的逆运算，或解密算法与加密算法完全相同
（2）加密密钥和解密密钥相同，或加密密钥能从解密密钥中推导出来。

10.论述公开密钥体制：

`非对称算法`    

11.简述什么是数字证书？X.509数字证书包含哪些内容；

数字证书是有权威机构CA发行的一种权威性的电子文档，是网络环境中的一种身份证，用于证明某一用户的身份及公开密钥的合法性；

包含版本号、序列号、签名算法标识符、认证机构、有效期、主体、主体公开密钥信息、CA的数字签名、可选项等。

12.论述网络攻击的一般步骤：

隐藏攻击源-信息收集-掌握系统控制权-实施攻击-安装后门-隐藏攻击痕迹。

13.论述计算机病毒程序的一般构成：

（1）安装模块：病毒程序必须通过自身实现自启动并安装到计算机系统中；
（2）传染模块：传染控制部分、传染判断部分、传染操作部分；
（3）破坏模块：激发控制、破坏操作。

14.论述杀毒软件的一般构成：

用户界面模块、
病毒数据库、
病毒扫描引擎（文件解析模块，病毒扫描模块，特征码加载模块）、
文件实时监控模块、
进程实时监控模块。

15.在软件系统中，要安全的保护用户的密码，应该采取哪些措施：

（1）用户：增大口令空间，选用无规则的口令，多个口令，用工具生成口令
（2）网站：登录时间限制，限制登录次数，尽量减少会话透露的信息，增加认证的信息量

16.设计软件保护的一般性建议：

软件发行前对可执行程序进行加壳；
自己写的程序中嵌入反跟踪代码；
增加对软件自身的完整性检查；
检测到软件破解企图时，不要立即给用户提示信息；
不过于依赖众所周知的函数来获取系统时间；
给软件保护加入一定随机性；
将注册码、安装时间记录到多个不同地方；
采用一机一码。

17.什么是区块链技术？它有哪些特点？

区块链：
是一种特殊的去中心化分布式数据库，集分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。

特点：去中心化交易，信息不可篡改，完全匿名

18.什么是社会工程学攻击？常见的攻击手段有哪些？

社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。

社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

常见攻击手段：

• 1．环境渗透

  对特定的环境进行渗透，是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料，比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等，通过这些收集信息来判断目标的网络构架或系统密码的大致内容，从而获取情报。

• 2．引诱

  网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页，诱惑用户进入该页面运行下载程序，或要求填写账户和口令以便“验证”身份，利用人们疏于防范的心理引诱用户，这通常是黑客早已设好的圈套。

• 3．伪装

  目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡，都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。

• 4．说服

  说服是对信息安全危害较大的一种社会工程学攻击方法，它要求目标内部人员与攻击者达成某种一致，为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段，特别地，当目标的利益与攻击者的利益没有冲突，甚至与攻击者的利益一致时，这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头，那么配和就很容易达成，他甚至会成为攻击者的助手，帮助攻击者获得意想不到的情报或数据。

• 5．恐吓

  社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，并声称如果不按照他们的要求去做，会造成非常严重的危害或损失。

• 6．恭维

  高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能，善于利用人类的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱，实施欺骗，控制他人意志为己服务。 他们通常十分友善，很讲究说话的艺术，知道如何借助机会均等去迎合人，投其所好，使多数人会友善地做出回应，乐意与他们继续合作。

• 7．反向社会工程学

  反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其公司员工深信，诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽，很难发现，危害特别大，不容易防范。

Ending！

更多课程知识学习记录随后再来吧！

就酱，嘎啦！

注：
1、人生在勤，不索何获。
2、常见社会工程学手段参见博文：
https://www.cnblogs.com/liang-chen/p/11802736.html