201805信息安全上午真题
第 1 题
2016年11月7日,十二届全国人大常委会第二十四次会议以154票赞成、1票弃权,表决通过了《中华人民共和国网络安全法》。该法律由全国人民代表大会常务委员会于2016年11月7日发布,自( )起施行。
- (A) 2017年1月1日
- (B) 2017年6月1日
- (C) 2017年7月1日
- (D) 2017年10月1日
答案与解析
- 试题难度:一般
- 知识点:网络信息安全概述>网络信息安全法律与政策文件
- 试题答案:[['B']]
- 试题解析:
本题考查《中华人民共和国网络安全法》相关知识。
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日发布,自2017年6月1日起实施。故本题选B。
第 2 题
近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应用也得到了快速发展,我国国密标准中的标识密码算法是( )。
- (A) SM2
- (B) SM3
- (C) SM4
- (D) SM9
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['D']]
- 试题解析:
本题考查我国商用密码相关知识。
SM9标识密码算法是一种基于双线性对的标识密码算法,它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等;SM9密码算法的密钥长度为256位,SM9密码算法的应用与管理不需要数字证书、证书库或密钥库,该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)。故本题选D。
希赛点播:
</p>
|
算法名称 |
算法特性描述 |
备注 |
|
SM1 |
对称加密分组长度和密钥长度都为128比特 |
|
|
SM2 |
非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法 |
国家标准推荐使用素数域256位椭圆曲线 |
|
SM3 |
杂凑算法,杂凑值长度为256比特 |
|
|
SM4 |
对称加密,分组长度和密钥长度都为128比特 |
|
|
SM9 |
标识密码算法 |
第 3 题
《计算机信息系统安全保护等级划分准则》(GB17859-1999)中规定了计算机系统安全保护能力的五个等级,其中要求对所有主体和客体进行自主和强制访问控制的是( )。
- (A) 用户自主保护级
- (B) 系统审计保护级
- (C) 安全标记保护级
- (D) 结构化保护级
答案与解析
- 试题难度:一般
- 知识点:网络安全审计技术原理与应用>网络安全审计概述
- 试题答案:[['D']]
- 试题解析:
本题考查《计算机信息系统安全保护等级划分准则》相关知识。
信息安全保护等级分为:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。其中结构化保护级要求对所有主体和客体进行自主和强制访问控制。
故本题选D。
第 4 题
密码分析者针对加解密算法的数学基础和某些密码学特性,根据数学方法破译密码的攻击方式称为( )。
- (A) 数学分析攻击
- (B) 差分分析攻击
- (C) 基于物理的攻击
- (D) 穷举攻击
答案与解析
- 试题难度:容易
- 知识点:密码学基本理论>密码学概况
- 试题答案:[['A']]
- 试题解析:本题考查数学分析攻击相关知识。
数学分析攻击:指密码分析者针对加解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。
差分分析攻击:是通过比较分析有特定区别的明文在通过加密后的变化传播情况来攻击密码算法的。差分攻击是针对对称分组加密算法提出的攻击方法,看起来是最有效的攻击DES的方法 。
基于物理的攻击:侧信道密码分析利用密码系统实现时泄露的额外信息,推导密码系统中的秘密参数。主要方法包括功耗攻击、电磁场攻击和时间点攻击等。有效性远高于基于数学进行密码分析的方法,因此给密码设备带来了严重威胁。
穷举攻击:所谓穷举攻击是指,密码分析者采用依次试遍所有可能的密钥对所获得的密文进行解密,直到得到正确的明文;或者用一个确定的密钥对所有可能的明文进行加密,直至得到所获得的密文。理论上,对于任何实用密码只要有足够的资源,都可以用穷举攻击将其攻破。故本题选A。
第 5 题
《中华人民共和国网络安全法》明确了国家落实网络安全工作的职能部门和职责,其中明确规定由( )负责统筹协调网络安全工作和相关监督管理工作。
- (A) 中央网络安全与信息化小组
- (B) 国务院
- (C) 国家网信部门
- (D) 国家公安部门
答案与解析
- 试题难度:一般
- 知识点:网络信息安全概述>网络信息安全法律与政策文件
- 试题答案:[['C']]
- 试题解析:本题考查《中华人民共和国网络安全法》相关知识。
《中华人民共和国网络安全法》第八条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。故本题选C。
第 6 题
一个密码系统如果用E表示加密运算,D表示解密运算,M表示明文,C表示密文,则下面描述必然成立的是( )。
- (A) E(E(M))=C
- (B) D(E(M))=M
- (C) D(E(M))=C
- (D) D(D(M))=M
答案与解析
- 试题难度:容易
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:本题考查加密解密逻辑关系。
先对M进行E加密变换为密文,再进行D解密将密文还原为明文M。故本题选B。
希赛点播:本题注意运算步骤为括号内先运算,再进行括号外的运算。
第 7 题
S/key口令是一种一次性口令生成方案,它可以对抗( )。
- (A) 恶意代码攻击
- (B) 暴力分析攻击
- (C) 重放攻击
- (D) 协议分析攻击
答案与解析
- 试题难度:容易
- 知识点:认证技术原理与应用>认证技术方法
- 试题答案:[['C']]
- 试题解析:本题考查重放攻击相关知识。
一次一密指在流密码当中使用与消息长度等长的随机密钥,密钥本身只使用一次。
暴力分析攻击:基于密码加密的暴力破解法。试验所有可能的口令组合来破解口令。即通过穷举的方法来破解,将口令进行逐个推算或辅以字典来缩小口令范围,直到找出真正的口令的一种口令分析方法。
协议分析攻击:协议分析器通过捕获网络上的数据包来获取网络上的有关信息,以监视网络的运行,从而发现网络中出现的问题。
恶意代码攻击:恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。
重放攻击:又称重播攻击或回放攻击,是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的。一次一密这样的密钥形式可以对抗重放攻击。故本题选C。
第 8 题
面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题,致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护,从数据挖掘的角度,不属于隐私保护技术的是( )。
- (A) 基于数据分析的隐私保护技术
- (B) 基于数据失真的隐私保护技术
- (C) 基于数据匿名化的隐私保护技术
- (D) 基于数据加密的隐私保护技术
答案与解析
- 试题难度:一般
- 知识点:网络安全主动防御技术与应用>隐私保护技术与应用
- 试题答案:[['A']]
- 试题解析:本题考查隐私保护技术相关知识。
从数据挖掘的角度,目前的隐私保护技术主要可以分为三类:
基于数据失真的隐私保护技术:它是使敏感数据失真但同时保持某些关键数据或者属性不变的隐私保护技术。
基于数据加密的隐私保护技术:它是采用各种加密技术在分布式环境下隐藏敏感数据的方法。
基于数据匿名化的隐私保护技术:它是根据具体情况有条件地发布数据。
故本题选A。
第 9 题
从网络安全的角度看,以下原则中不属于网络安全防护体系在设计和实现时需要遵循的基本原则的是( )。
- (A) 最小权限原则
- (B) 纵深防御原则
- (C) 安全性与代价平衡原则
- (D) Kerckhoffs原则
答案与解析
- 试题难度:一般
- 知识点:网络安全体系与网络安全模型>网络安全体系建设原则与安全策略
- 试题答案:[['D']]
- 试题解析:本题考查网络安全防护体系相关知识。
从网络安全角度看,网络安全防护系统的设计与实现应按照以下原则:最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则。
Kerckhoffs准则认为,一个安全保护系统的安全性不是建立在它的算法对于对手来说是保密的,而是应该建立在它所选择的密钥对于对手来说是保密的。这显然不是网络安全在防护设计时所包含的内容。
故本题选D。希赛点播:
最小权限原则:任何对象应该只有具有该对象需要完成其指定任务的权限,限定权限使用的范围、控件、时间等,减少资源的攻击面,从而减少因侵袭所造成的损失。
纵深防御原则:要求网络安全防护系统是一个多层安全系统,避免成为网络中的“单失效点”,要部署有多重的,防御系统,这样就可以在其中的一个系统被攻破之后后续还有其他的防御系统来保障系统的安全。
安全性评价与平衡原则:对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。
第 10 题
恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全威胁类型。数据显示,目前安卓平台恶意软件主要有( )四种类型。
- (A) 远程控制木马、话费吸取类、隐私窃取类和系统破坏类
- (B) 远程控制木马、话费吸取类、系统破坏类和硬件资源消耗类
- (C) 远程控制木马、话费吸取类、隐私窃取类和恶意推广
- (D) 远程控制木马、话费吸取类、系统破坏类和恶意推广
答案与解析
- 试题难度:一般
- 知识点:移动应用安全需求分析与安全保护工程>移动应用安全威胁与需求分析
- 试题答案:[['A']]
- 试题解析:本题考查恶意软件相关知识。
恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全威胁类型。智能终端操作系统的多任务特性,为恶意软件在后台运行提供了条件,而用户对恶意软件的运行毫不知情。数据显示目前Android 平台恶意软件主要有四种类型:远程控制木马、话费吸取类、隐私窃取类和系统破坏类。故本题选A。
第 11 题
以下关于认证技术的描述中,错误的是( )。
- (A) 身份认证是用来对信息系统中实体的合法性进行验证的方法
- (B) 消息认证能够验证消息的完整性
- (C) 数字签名是十六进制的字符串
- (D) 指纹识别技术包括验证和识别两个部分
答案与解析
- 试题难度:容易
- 知识点:认证技术原理与应用>认证技术方法
- 试题答案:[['C']]
- 试题解析:本题考查认证技术相关知识。
数字签名的目的是通过网络信息安全技术手段实现传统的纸面签字或者盖章的功能,以确认交易当事人的真实身份,保证交易的安全性、真实性和不可抵赖性。数字签名与手写签名类似,只不过手写签名是模拟的,因人而异。数字签名是0和1的数字串,十六进制只是其中的一种表示形式因消息而异而已。故本题选C。
第 12 题
对信息进行均衡、全面的防护,提高整个系统“安全最低点”的全性能,这种安全原则被称为( )。
- (A) 最小特权原则
- (B) 木桶原则
- (C) 等级化原则
- (D) 最小泄露原则
答案与解析
- 试题难度:容易
- 知识点:网络安全体系与网络安全模型>网络安全体系建设原则与安全策略
- 试题答案:[['B']]
- 试题解析:本题考查网络安全系统设计原则相关知识。
最小特权原则:指将用户对信息的访问权限进行有效约束,使得该用户仅被允许访问他应该访问的信息范围内,只让访问用户得到相当有限的权利。这些权利恰好能保证该用户完成自己的工作,多余的权利则不分配。这是一种相当普遍的策略,对于数据库主体尤为重要,因为对用户的权利进行必要的限制,可以把信息泄露的可能性降低到最小范围内。
木桶原则:即对信息均衡、全面地进行保护。 “木桶的最大容积取决于最短的一块木板”,攻击者必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段;根本目标是提高整个系统的“安全最低点”的安全性能。
等级化原则:即,安全层次和安全级别。良好的信息安全系统必然是分为不同级别的,包括:对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
最小泄露原则:指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权利。
故本题选B。
第 13 题
网络安全技术可以分为主动防御技术和被动防御技术两大类,以下属于主动防御技术的是( )。
- (A) 蜜罐技术
- (B) 入侵检测技术
- (C) 防火墙技术
- (D) 恶意代码扫描技术
答案与解析
- 试题难度:一般
- 知识点:恶意代码防范技术原理>僵尸网络分析与防护
- 试题答案:[['A']]
- 试题解析:本题考查蜜罐技术相关知识。
蜜罐 (Honeypot)技术:是一种主动防御技术,是入侵检测技术的一个重要发展方向。 蜜罐是一种在互联网上运行的计算机系统,是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。
入侵检测技术:入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。
防火墙技术:防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。
恶意代码扫描技术:恶意代码与其扫描技术是一个猫捉老鼠的游戏,单从检测的角度来说,反恶意代码的脚步总是落后于恶意代码的发展,是被动的。
故本题选A。
第 14 题
如果未经授权的实体得到了数据的访问权,这属于破坏了信息的( )。
- (A) 可用性
- (B) 完整性
- (C) 机密性
- (D) 可控性
答案与解析
- 试题难度:容易
- 知识点:网络信息安全概述>网络信息安全基本属性
- 试题答案:[['C']]
- 试题解析:本题考查网络信息安全的基本属性。
可用性:指合法许可的用户能够及时获取网络信息或服务的特征。
完整性:指网络信息或系统未经授权不能进行更改的特性。
机密性:指网络信息不被泄露给非授权的用户、实体或过程,即信息只为授权用户使用。
可控性:指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌控和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
故本题选C
第 15 题
按照密码系统对明文的处理方法,密码系统可以分为( )。
- (A) 对称密码系统和公钥密码系统
- (B) 对称密码系统和非对称密码系统
- (C) 数据加密系统和数字签名系统
- (D) 分组密码系统和序列密码系统
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码体制分类
- 试题答案:[['D']]
- 试题解析:本题考查密码系统相关知识。
密码系统一般从以下三个方面进行分类:
一是按照密码系统对明文的处理方法分为分组密码和序列密码;
二是按将明文转化为密文的操作类型分为替换密码和位移密码;
三是按密钥的使用个数分为对称密码体制和非对称密码体制。
故本题选D。
第 16 题
数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程,实现数字签名最常见的方法是( )。
- (A) 数字证书和PKI系统相结合
- (B) 对称密码体制和MD5算法相结合
- (C) 公钥密码体制和单向安全Hash函数算法相结合
- (D) 公钥密码体制和对称密码体制相结合
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>Hash函数与数字签名
- 试题答案:[['C']]
- 试题解析:本题考查数字签名基本过程。
以下为数字签名工作的基本流程:
假设Alice需要签名发送一份电子合同文件给Bob。Alice的签名步骤如下:
第一步,Alice使用Hash函数将电子合同文件生成一个消息摘要;
第二步,Alice使用自己的私钥,把消息摘要加密处理,形成一个数字签名;
第三步,Alice把电子文件合同和数字签名一同发送给Bob。Bob收到Alice发送的电子合同文件及数字签名后,为确信电子合同文件是Alice所认可的,验证步骤如下:
第一步,Bob使用与Alice相同的Hash算法,计算所收到的电子合同文件的消息摘要;
第二步,Bob使用Alice的公钥,解密来自Alice 的加密消息摘要,恢复Alice原来的消息摘要;
第三步,Bob比较自己产生的消息摘要和恢复出来的消息摘要之间的异同。若两个消息摘要相同,则表明电子合同文件来自Alice。如果两个消息摘要的比较结果不一致, 则表明电子合同文件已被篡改。数字签名可以利用公钥密码体制、对称密码体制或者公证系统来实现。最常见的实现方法是建立在公钥密码体制和单向安全散列函数算法的组合基础之上。故本题选C。
第 17 题
以下选项中,不属于生物识别方法的是( )。
- (A) 掌纹识别
- (B) 个人标记号识别
- (C) 人脸识别
- (D) 指纹识别
答案与解析
- 试题难度:容易
- 知识点:认证技术原理与应用>认证类型与认证过程
- 试题答案:[['B']]
- 试题解析:本题考查身份认证技术与生物识别技术。
生物识别技术是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特征,(如指纹、脸、虹膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的鉴定。故本题选B。
第 18 题
计算机取证是将计算机调查和分析技术应用于对潜在的,有法律效力的证据的确定与提取。以下关于计算机取证的描述中,错误的是( )。
- (A) 计算机取证包括保护目标计算机系统、确定收集和保存电子证据,必须在开机的状态下进行
- (B) 计算机取证围绕电子证据进行,电子证据具有高科技性、无形性和易破坏性等特点
- (C) 计算机取证包括对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档
- (D) 计算机取证是一门在犯罪进行过程中或之后收集证据的技术
答案与解析
- 试题难度:容易
- 知识点:物理与环境安全技术>物理安全概念与要求
- 试题答案:[['A']]
- 试题解析:本题考查计算机取证相关知识。
计算机取证包括保护目标计算机系统、确定电子证据、收集电子证据和保存电子证据。对现场计算机的部分通用处理原则有:已经开机的计算机不要关机,关机的计算机不要开机。故本题选A。
第 19 题
在缺省安装数据库管理系统MySQL后,root用户拥有所有权限且是空口令,为了安全起见,必须为root用户设置口令,以下口令设置方法中,不正确的是( )。
- (A) 使用MySQL自带的命令mysqladmin设置root口令
- (B) 使用setpassword设置口令
- (C) 登录数据库,修改数据库mysql下user表的字段内容设置口令
- (D) 登录数据库,修改数据库mysql下的访问控制列表内容设置口令
答案与解析
- 试题难度:一般
- 知识点:数据库系统安全>MySQL数据库安全分析与防护
- 试题答案:[['D']]
- 试题解析:本题考查MySQL相关知识。
有3种方式为root账户指定密码:
①使用SET PASSWORD语句;
②使用mysqladmin命令行客户端程序;
③使用UPDATE语句,使用UPDATE直接修改user表。
修改数据库MySQL下的访问控制列表是无法完成口令设置的,故本题选D。
第 20 题
数字水印技术通过在多媒体数据中嵌入隐蔽的水印标记,可以有效实现对数字多媒体数据的版权保护等功能。以下不属于数字水印在数字版权保护中必须满足的基本应用需求的是( )。
- (A) 保密性
- (B) 隐蔽性
- (C) 可见性
- (D) 完整性
答案与解析
- 试题难度:一般
- 知识点:网络安全主动防御技术与应用>数字水印技术与应用
- 试题答案:[['C']]
- 试题解析:本题考查数字水印相关知识。
数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。数字水印常见的应用场景主要有版权保护、信息隐藏、信息溯源、访问控制等。则数字水印技术在数字版权保护中必须满足的基本应用需求是保密性、隐蔽性、完整性。故本题选C。
第 21 题
( )是一种通过不断对网络服务系统进行干扰,影响其正常的作业流程,使系统响应减慢甚至瘫痪的攻击方式。
- (A) 暴力攻击
- (B) 拒绝服务攻击
- (C) 重放攻击
- (D) 欺骗攻击
答案与解析
- 试题难度:容易
- 知识点:网络攻击原理与常用方法>网络攻击常见技术方法
- 试题答案:[['B']]
- 试题解析:本题考查拒绝服务攻击相关知识。
暴力攻击:即穷举攻击,亦称“暴力破解”。对密码进行逐个推算,直到找出真正的密码为止的一种攻击方式。理论上可破解任何一种密码,问题在于如何缩短破解时间。
拒绝服务攻击:拒绝服务攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。
重放攻击:也被叫做是重播攻击、回放攻击或者是新鲜性攻击,具体是指攻击者发送一个目的主机已经接收过的包来达到欺骗系统的目的。重放攻击主要是在身份认证的过程时使用,它可以把认证的正确性破坏掉。
欺骗攻击:欺骗攻击就是利用假冒、伪装后的身份与其他主机进行合法的通信或者发送假的报文,使受攻击的主机出现错误,或者是伪造一系列假的网络地址和网络空间顶替真正的网络主机为用户提供网络服务,以此方法获得访问用户的合法信息后加以利用,转而攻击主机的网络欺诈行为。常见的网络欺骗攻击主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Weh欺骗、电子邮件欺骗、源路由欺骗等。
故本题选B。
第 22 题
在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,可以采取的防范措施是( )。
- (A) 将要访问的Web站点按其可信度分配到浏览器的不同安全区域
- (B) 利用SSL访问Web站点
- (C) 在浏览器中安装数字证书
- (D) 利用IP安全协议访问Web站点
答案与解析
- 试题难度:容易
- 知识点:恶意代码防范技术原理>恶意代码防护技术应用
- 试题答案:[['A']]
- 试题解析:本题考查互联网安全相关知识。
为了防止Web页面中恶意代码对自己计算机的损害,必须限制页面中恶意代码的权限或者禁止其执行,可以将要访问的Web站点按其可信度分配到浏览器的不同安全区域。划分不同安全区域是浏览器为保护用户计算机免受恶意代码的危害而采取的一种技术。通常浏览器将Web站点按其可信度分配到不同的区域,针对不同的区域指定不同的文件下载方式。
故本题选A。
第 23 题
下列说法中,错误的是( )。
- (A) 数据被非授权地增删、修改或破坏都属于破坏数据的完整性
- (B) 抵赖是一种来自黑客的攻击
- (C) 非授权访问是指某一资源被某个非授权的人,或以非授权的方式使用
- (D) 重放攻击是指出于非法目的,将所截获的某次合法的通信数据进行拷贝而重新发送
答案与解析
- 试题难度:容易
- 知识点:网络信息安全概述>网络信息安全基本属性
- 试题答案:[['B']]
- 试题解析:本题考查网络安全相关知识。
信息抵赖是发送者对其发送信息进行否认,否认或抵赖曾经完成的操作和承诺。常见的网络信息安全基本属性有:机密性、完整性、可用性、抗抵赖性和可控性等。其中抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。故本题选B。
第 24 题
Linux系统的运行日志存储的目录是( )。
- (A) /var/log
- (B) /usr/log
- (C) /etc/log
- (D) /tmp/log
答案与解析
- 试题难度:一般
- 知识点:操作系统安全保护>UNIX/Linux操作系统安全分析与防护
- 试题答案:[['A']]
- 试题解析:本题考查日志安全。
Linux日志存储在/var/log目录中。这里包括几个由系统维护的日志文件,其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root才可以读,通过需要修改文件的访问权限也可以让其他人可读。故本题选A。
第 25 题
电子邮件已经成为传播恶意代码的重要途径之一,为了有效防止电子邮件中的恶意代码,应该用( )的方式阅读电子邮件。
- (A) 应用软件
- (B) 纯文本
- (C) 网页
- (D) 在线
答案与解析
- 试题难度:容易
- 知识点:恶意代码防范技术原理>恶意代码防护技术应用
- 试题答案:[['B']]
- 试题解析:本题考查电子邮件传播恶意代码的载体。
根据恶意代码的形式和执行方法,通过纯文本方式打开电子邮件可以有效防止恶意代码被执行,从而避免中毒。故本题选B。
第 26 题
已知DES算法S盒如下:
- (A) 0110
- (B) 1001
- (C) 0100
- (D) 0101
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['A']]
- 试题解析:已知S盒的输入为100010,取其输入第一位和第六位数字为S盒的行10,即第2行,中间四位为S盒的列0001,即第1列,在S盒中查到第2行和第1列交叉的数字为6,其二进制输出为0110。故本题选A。
第 27 题
以下关于TCP协议的描述,错误的是( )。
- (A) TCP是Internet传输层的协议,可以为应用层的不同协议提供服务
- (B) TCP是面向连接的协议,提供可靠、全双工的、面向字节流的端到端的服务
- (C) TCP使用二次握手来建立连接,具有很好的可靠性
- (D) TCP每发送一个报文段,就对这个报文段设置一次计时器
答案与解析
- 试题难度:容易
- 知识点:计算机网络基础>TCP/IP协议簇
- 试题答案:[['C']]
- 试题解析:本题考查TCP协议相关知识。
TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议,使用三次握手协议建立连接,而非二次握手。
故本题选C。
第 28 题
Kerberos是一种常用的身份认证协议,它采用的加密算法是( )。
- (A) Elgamal
- (B) DES
- (C) MD5
- (D) RSA
答案与解析
- 试题难度:一般
- 知识点:认证技术原理与应用>认证技术方法
- 试题答案:[['B']]
- 试题解析:本题考查身份认证协议相关知识。
Kerberos是一种常用的身份认证协议, 其目标是使用密钥加密为客户端/服务端应用程序提供强身份认证。其技术原理是利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。它采用DES加密算法。
Elgamal、RSA都是一种典型的非对称加密算法;MD5是信息摘要算法。
故本题选B。
第 29 题
人为的安全威胁包括主动攻击和被动攻击,以下属于被动攻击的是( )。
- (A) 流量分析
- (B) 后门
- (C) 拒绝服务攻击
- (D) 特洛伊木马
答案与解析
- 试题难度:容易
- 知识点:网络攻击原理与常用方法>网络攻击一般过程
- 试题答案:[['A']]
- 试题解析:本题考查主动攻击和被动攻击相关知识。
流量分析:指通过一定的技术手段,实时监测用户网络七层结构中各层的流量分布,进行协议、流量的综合分析,从而有效的发现、预防网络流量和应用上的瓶颈,为网络性能的优化提供依据,属于被动攻击。
后门:该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
拒绝服务攻击:指攻击者利用系统的缺陷,执行一些恶意的操作。使得合法的系统用户不能及时得到应得的服务或系统资源。如CPU处理时间、存储器、网络带宽等。拒绝服务攻击最本质的特征是延长服务等待时间。
特洛伊木马:是恶意代码的一种类型,具有伪装能力、隐蔽执行非法功能的恶意程序。简单来说就是伪装成有用的软件,诱骗用户下载执行。
故本题选A。希赛点播:人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。被动攻击不会导致系统信息的篡改,系统操作与状态不会改变。
第 30 题
移动用户有些属性信息需要受到保护,这些信息一旦泄露,会对公众用户的生命财产安全造成威胁。以下各项中,不需要被保护的属性是( )。
- (A) 终端设备信息
- (B) 用户通话信息
- (C) 用户位置信息
- (D) 公众运营商信息
答案与解析
- 试题难度:容易
- 知识点:移动应用安全需求分析与安全保护工程>移动应用安全综合应用案例分析
- 试题答案:[['D']]
- 试题解析:本题考查隐私保护相关知识。
泄露终端信息,就可能泄露用户的位置信息;泄露用户通话信息,就可能导致用户的私人账户、位置等隐私信息被泄露,造成不可估量的损失。公众运营商是公开信息,比如移动公司,不需要被保护。故本题选D。
第 31 题
以下关于数字证书的叙述中,错误的是( )。
- (A) 证书通常携带CA的公开密钥
- (B) 证书携带持有者的签名算法标识
- (C) 证书的有效性可以通过验证持有者的签名验证
- (D) 证书通常由CA安全认证中心发放
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码管理与数字证书
- 试题答案:[['A']]
- 试题解析:本题考查数字证书相关知识。
数字证书的格式普遍采用的是X.509V3国际标准,一个标准的X.509数字证书包含以下一些内容:
●证书的版本信息;
●证书的序列号,每个证书都有一个唯一的证书序列号;
●证书所使用的签名算法;
●证书的发行机构名称,命名规则一般采用X.500格式;
●证书的有效期,通用的证书一般采用UTC时间格式,它的计时范围为1950- 2049;
●证书所有人的名称,命名规则一般采用X.500格式;
●证书所有人的公开密钥(注意不是CA的公开密钥);
●证书发行者对证书的签名。
故本题选A。
第 32 题
2017年11月,在德国柏林召开的第55次ISO/IEC信息安全分技术委员会(SC27)会议上,我国专家组提出的( )算法一致通过成为国际标准。
- (A) SM2与SM3
- (B) SM3与SM4
- (C) SM4与SM9
- (D) SM9与SM2
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['D']]
- 试题解析:本题考查我国密码算法相关知识。
2017年10月30日至11月3日,第55次ISO/IEC信息安全分技术委员会(SC27)会议在德国柏林召开。我国SM2与SM9数字签名算法一致通过为国际标准,正式进入标准发布阶段,这也是本次SC27会议上密码与安全机制工作组通过的唯一进入发布阶段的标准项目。SM2椭圆曲线数字签名算法和SM9标识数字签名算法是我国国家密码管理局发布的数字签名标准。数字签名,又称电子签名,用于保证身份的真实性、数据的完整性和行为的不可否认性等,是世界各国保障网络空间安全、构建可信可控信息技术体系的密码重器。故本题选D。
第 33 题
典型的水印攻击方式包括:鲁棒性攻击、表达攻击、解释攻击和法律攻击。其中鲁棒性攻击是指在不损害图像使用价值的前提下减弱、移去或破坏水印的一类攻击方式。以下不属于鲁棒性攻击的是( )。
- (A) 像素值失真攻击
- (B) 敏感性分析攻击
- (C) 置乱攻击
- (D) 梯度下降攻击
答案与解析
- 试题难度:一般
- 知识点:网络安全主动防御技术与应用>数字水印技术与应用
- 试题答案:[['C']]
- 试题解析:本题考查鲁棒性攻击相关知识。
鲁棒性是指加入图像中的水印必须能够承受施加于图像的变换操作(如:加入噪声、 滤波、有损压缩、重采样、 D/A 或 AID 转换等),不会因变换处理而丢失,水印信息经检验提取后应清晰可辨。
水印攻击方法可以分为4类:健壮性攻击、表达攻击、解释攻击和合法攻击,其中前三类可归类为技术攻击。
健壮性攻击以减少或消除数字水印的存在为目的,包括像素值失真攻击、敏感性分析攻击和梯度下降攻击等。这些方法并不能将水印完全除去,但可能充分损坏水印信息,属于鲁棒性攻击方式。
置乱攻击是指在将水印图像提交水印检测器之前,先对图像的像素值进行置乱,通过水印检测器之后再进行逆置乱,这种方式可以将置乱的图像作为秘密信息再进行隐藏,可以很大限度的提高隐蔽载体的鲁棒性。
故本题选C。
第 34 题
数字信封技术能够( )。
- (A) 隐藏发送者的真实身份
- (B) 保证数据在传输过程中的安全性
- (C) 对发送者和接收者的身份进行认证
- (D) 防止交易中的抵赖发生
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码体制分类
- 试题答案:[['B']]
- 试题解析:本题考查数字信封相关知识。
数字信封技术是利用接收人的公钥对用来加密明文的对称密钥进行加密,以保证数据信息在传输过程中的安全性。故本题选B。
第 35 题
在DES加密算法中,子密钥的长度和加密分组的长度分别是( )。
- (A) 56位和64位
- (B) 48位和64位
- (C) 48位和56位
- (D) 64位和64位
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:本题考查DES算法相关知识。
DES算法的密钥分组长度为64位,经过置换选择1、循环左移、置换选择2等变换,产生16个48bit的子密钥,被加密的分组长度为64位。故本题选B。
第 36 题
甲不但怀疑乙发给他的信遭人篡改,而且怀疑乙的公钥也是被人冒充的。为了消除甲的疑虑,甲和乙需要找一个双方都信任的第三方来签发数字证书,这个第三方是( )。
- (A) 注册中心RA
- (B) 国家信息安全测评认证中心
- (C) 认证中心CA
- (D) 国际电信联盟ITU
答案与解析
- 试题难度:容易
- 知识点:密码学基本理论>Hash函数与数字签名
- 试题答案:[['C']]
- 试题解析:本题考查数字证书相关知识。
国家信息安全测评认证中心:依据国家信息安全管理的法律法规、《认证认可条例》及实施规则,在指定的业务范围内,对信息安全产品实施认证,并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。
国际电信联盟ITU:国际电联是主管信息通信技术事务的联合国机构,负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信标准,向发展中国家提供电信援助,促进全球电信发展。
注册中心RA:数字证书注册中心,又叫RA(Registration Authority ),是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。
认证中心CA:CA中心又称CA机构,即证书授权中心(Certificate Authority),或称证书授权机构。作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
故本题选C。
第 37 题
WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密的认证方式不包括( )。
- (A) WPA和WPA2
- (B) WEP
- (C) WPA-PSK
- (D) WPA2-PSK
答案与解析
- 试题难度:容易
- 知识点:移动应用安全需求分析与安全保护工程>移动应用安全威胁与需求分析
- 试题答案:[['B']]
- 试题解析:本题考查无线安全的加密算法相关知识。
WPA有WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统,有四种认证方式:WPA、WPA-PSK、WPA2和WPA2-PSK。
WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。WEP加密算法存在严重安全漏洞,在WPA加密的认证方式中已经废弃。故本题选B。
第 38 题
特洛伊木马攻击的威胁类型属于( )。
- (A) 旁路控制威胁
- (B) 网络欺骗
- (C) 植入威胁
- (D) 授权侵犯威胁
答案与解析
- 试题难度:容易
- 知识点:恶意代码防范技术原理>特洛伊木马分析与防护
- 试题答案:[['C']]
- 试题解析:本题考查特洛伊木马相关知识。
欺骗攻击:欺骗攻击就是利用假冒、伪装后的身份与其他主机进行合法的通信或者发送假的报文,使受攻击的主机出现错误,或者是伪造一系列假的网络地址和网络空间顶替真正的网络主机为用户提供网络服务,以此方法获得访问用户的合法信息后加以利用,转而攻击主机的网络欺诈行为。常见的网络欺骗攻击主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Weh欺骗、电子邮件欺骗、源路由欺骗等。
安全威胁中主要的可实现的威胁分为两类:渗入威胁和植入威胁。主要的渗入威胁有:假冒、旁路控制、授权侵犯。主要的植入威胁有:特洛伊木马、陷门。
故本题选C。
第 39 题
信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全隐患通常采用的安全防护技术是( )。
- (A) 信息隐藏技术
- (B) 数据加密技术
- (C) 消息认证技术
- (D) 数据备份技术
答案与解析
- 试题难度:一般
- 知识点:认证技术原理与应用>认证概述
- 试题答案:[['C']]
- 试题解析:本题考查身份认证相关知识。
信息隐藏:将敏感信息嵌入图像、声音等载体中,以期达到隐藏敏感信息的目的。
数据加密:采用各种加密技术隐藏敏感数据。
消息认证:消息认证就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。
数据备份:数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。
故本题选C。
第 40 题
SSL协议是对称密码技术和公钥密码技术相结合的协议,该协议不能提供的安全服务是( )。
- (A) 可用性
- (B) 完整性
- (C) 保密性
- (D) 可认证性
答案与解析
- 试题难度:一般
- 知识点:VPN技术原理与应用>VPN类型和实现技术
- 试题答案:[['A']]
- 试题解析:本题考查SSL协议相关知识。
SSL安全套接层是为网络通信提供安全及数据完整性的一种安全协议。是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。SSL协议提供三种安全通信服务:
1、点对点的身份认证。采用非对称式密码算法。
2、保密性通信。握手协议产生秘密密钥后才开始加、解密数据。数据的加、解密使用对称式密码算法。
3、信息传送时包含信息完整性检查,使用有密钥保护的消息认证码。
故本题选A。
第 41 题
计算机病毒是指一种能够通过自身复制传染,起破坏作用的计算机程序,目前使用的防杀病毒软件的主要作用是( )。
- (A) 检查计算机是否感染病毒,清除已感染的任何病毒
- (B) 杜绝病毒对计算机的侵害
- (C) 查出已感染的任何病毒,清除部分已感染病毒
- (D) 检查计算机是否感染病毒,清除部分已感染病毒
答案与解析
- 试题难度:容易
- 知识点:恶意代码防范技术原理>计算机病毒分析与防护
- 试题答案:[['D']]
- 试题解析:本题考查病毒防范相关知识。
防杀毒软件的作用是检查计算机是否感染已知病毒并清除它们,而对于那些未知的新型病毒或者是高等级的病毒无能为力。故本题选D。
希赛点播:类比生活中先有病毒,再由专业人员对病毒进行分析研究,一段时间后才会研制出疫苗。
第 42 题
IP地址分为全球地址和专用地址,以下属于专用地址的是( )。
- (A) 192.172.1.2
- (B) 10.1.2.3
- (C) 168.1.2.3
- (D) 172.168.1.2
答案与解析
- 试题难度:一般
- 知识点:计算机网络基础>IP地址与子网划分
- 试题答案:[['B']]
- 试题解析:本题考查IP地址分类相关知识。
专用地址范围:
A类:10.0.0.0-10.255.255.255;
B类:172.16.0.0-172.31.255.255;
C类:192.168.0.0-192.168.255.255。
故本题选B。希赛点播:公有IP地址分为:
A:0.0.0.1--9.255.255.255 & 11.0.0.0--126.255.255.255;
B:128.0.0.0--172.15.255.255 & 172.32.0.0--191.255.255.255;
C:192.0.0.0--192.167.255.255 & 192.169.0.0--223.169.255.255。
第 43 题
信息安全风险评估是依照科学的风险管理程序和方法,充分地对组成系统的各部分所面临的危险因素进行分析评价,针对系统存在的安全问题,根据系统对其自身的安全需求,提出有效的安全措施,达到最大限度减少风险,降低危害和确保系统安全运行的目的,风险评估的过程包括( )四个阶段。
- (A) 风险评估准备、漏洞检测、风险计算和风险等级评价
- (B) 资产识别、漏洞检测、风险计算和风险等级评价
- (C) 风险评估准备、风险因素识别、风险程度分析和风险等级评价
- (D) 资产识别、风险因素识别、风险程度分析和风险等级评价
答案与解析
- 试题难度:一般
- 知识点:网络安全风险评估技术原理与应用>网络安全风险评估过程
- 试题答案:[['C']]
- 试题解析:
本题考查风险评估相关知识。
风险评估是组织确定信息安全需求的过程,包括风险评估准备、风险因素识别、风险程度分析和风险等级评价。故本题选C。
第 44 题
深度流检测技术是一种主要通过判断网络流是否异常来进行安全防护的网络安全技术,深度流检测系统通常不包括( )。
- (A) 流特征提取单元
- (B) 流特征选择单元
- (C) 分类器
- (D) 响应单元
答案与解析
- 试题难度:一般
- 知识点:入侵检测技术原理与应用>入侵检测系统主要产品与技术指标
- 试题答案:[['D']]
- 试题解析:本题考查深度流检测技术相关知识。
流是一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议报文的集合。深度流检测(DPI)就是以流为基本研究对象,从庞大网络流数据中提取流的特征,如流大小、流速率等,从而判断一个流是否正常的技术。深度流检测技术主要分为三部分:流特征选择、流特征提取、分类器。故本题选D。
第 45 题
操作系统的安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程,为了完成审计功能,审计系统需要包括( )三大功能模块。
- (A) 审计数据挖掘,审计事件记录及查询、审计事件分析及响应报警
- (B) 审计事件特征提取、审计事件特征匹配、安全响应报警
- (C) 审计事件收集及过滤、审计事件记录及查询,审计事件分析及响应报警系统
- (D) 日志采集与挖掘、安全事件记录及查询、安全响应报警
答案与解析
- 试题难度:一般
- 知识点:操作系统安全保护>操作系统安全概述
- 试题答案:[['C']]
- 试题解析:本题考查操作系统安全审计功能。
操作系统安全审计就是操作系统对系统中有关安全的活动进行记录、检查及审核,其主要目的就是核实系统安全策略执行的合规性,以追踪违反安全策略的用户及活动主体,确认系统安全故障。现有的审计系统包括审计事件收集及过滤、审计事件记录及查询、审计事件分析及响应报警三大功能模块。故本题选C。
第 46 题
计算机犯罪是指利用信息科学技术且以计算机为犯罪对象的犯罪行为,与其他类型的犯罪相比,具有明显的特征,下列说法中错误的是( )。
- (A) 计算机犯罪有高智能性,罪犯可能掌握一些高科技手段
- (B) 计算机犯罪具有破坏性
- (C) 计算机犯罪没有犯罪现场
- (D) 计算机犯罪具有隐蔽性
答案与解析
- 试题难度:容易
- 知识点:网络信息安全概述>网络信息安全法律与政策文件
- 试题答案:[['C']]
- 试题解析:
本题考查计算机犯罪相关知识。
计算机犯罪现场是指计算机犯罪嫌疑人实施犯罪行为的地点和遗留有与计算机犯罪有关的痕迹、物品(包括电子数据、电子设备等)或其他物证的场所。 故本题选C。
第 47 题
攻击者通过对目标主机进行端口扫描可以直接获得( )。
- (A) 目标主机的操作系统信息
- (B) 目标主机开放端口服务信息
- (C) 目标主机的登录口令
- (D) 目标主机的硬件设备信息
答案与解析
- 试题难度:容易
- 知识点:网络攻击原理与常用方法>网络攻击常见技术方法
- 试题答案:[['B']]
- 试题解析:
本题考查端口扫描技术相关知识。
端口扫描,顾名思义,就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务,然后就可以通过所提供的这些服务的已知漏洞就可进行攻击。故本题选B。
第 48 题
WPKI(无线公开密钥体系)是基于无网络环境的一套遵循既定标准的密钥及证书管理平台,该平台采用的加密算法是( )。
- (A) SM4
- (B) 优化的RSA加密算法
- (C) SM9
- (D) 优化的椭圆曲线加密算法
答案与解析
- 试题难度:一般
- 知识点:认证技术原理与应用>认证技术方法
- 试题答案:[['D']]
- 试题解析:
本题考查无线网络安全相关知识。
WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。
第 49 题
文件型病毒不能感染的文件类型是( )。
- (A) SYS型
- (B) EXE类型
- (C) COM型
- (D) HTML型
答案与解析
- 试题难度:一般
- 知识点:恶意代码防范技术原理>计算机病毒分析与防护
- 试题答案:[['D']]
- 试题解析:
本题考查计算机病毒相关知识。
文件型病毒系计算机病毒的一种,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。可以感染所有标准的DOS可执行文件:包括批处理文件、DOS下的可加载驱动程序(.SYS)文件以及普通的COM/EXE可执行文件。当然还有感染所有视窗操作系统可执行文件的病毒,可感染文件的种类包括:视窗3.X版本,视窗9X版本,视窗NT和视窗2000版本下的可执行文件,后缀名是EXE、DLL或者VXD、SYS。由于html文件无法嵌入二进制执行代码,且是文本格式,不易隐藏代码,所以无法感染。故本题选D。
第 50 题
网络系统中针对海量数据的加密,通常不采用( )方式。
- (A) 会话加密
- (B) 公钥加密
- (C) 链路加密
- (D) 端对端加密
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码体制分类
- 试题答案:[['B']]
- 试题解析:
本题考查公钥体制相关知识。
公钥加密加密算法复杂且加解密效率低,需要较大的计算量,一般只适用于少量数据的加密。故本题选B。
第 51 题
对无线网络的攻击可以分为:对无线接口的攻击、对无线设备的攻击和对无线网络的攻击。以下属于对无线设备攻击的是( )。
- (A) 窃听
- (B) 重放
- (C) 克隆
- (D) 欺诈
答案与解析
- 试题难度:一般
- 知识点:网络攻击原理与常用方法>网络攻击常见技术方法
- 试题答案:[['C']]
- 试题解析:
本题考查无线网络安全相关知识。
网络窃听:是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。
重放攻击:也被叫做是重播攻击、回放攻击或者是新鲜性攻击,具体是指攻击者发送一个目的主机已经接收过的包来达到欺骗系统的目的。重放攻击主要是在身份认证的过程时使用,它可以把认证的正确性破坏掉。
克隆:克隆网络中的AP使得用户每天所连接的那个看似安全的无线AP,就是被克隆伪装的恶意AP。
欺骗攻击:欺骗攻击就是利用假冒、伪装后的身份与其他主机进行合法的通信或者发送假的报文,使受攻击的主机出现错误,或者是伪造一系列假的网络地址和网络空间顶替真正的网络主机为用户提供网络服务,以此方法获得访问用户的合法信息后加以利用,转而攻击主机的网络欺诈行为。常见的网络欺骗攻击主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Weh欺骗、电子邮件欺骗、源路由欺骗等。
故本题选C。希赛点播:无线网络由于自身特点,面临着比有线网络更多更严重的安全威胁,主要可划分为对无线接口的攻击、对无线设备的攻击以及对无线网络本身的攻击。根据攻击手段和目标,对无线接口的攻击可以分为物理攻击和密码学攻击,包括窃听、篡改、重放、干扰和欺诈等等。攻击无线网络是指针对网络 基础设施进行攻击,也包括内部人员破坏和泄密。针对无线设备的攻击包括克隆、盗窃等等。
第 52 题
无线局域网鉴别和保密体系WAPI是我国无线局域网安全强制性标准,以下关于WAPI的描述,正确的是( )。
- (A) WAPI从应用模式上分为单点式、分布式和集中式
- (B) WAPI与WIFI认证方式类似,均采用单向加密的认证技术
- (C) WAPI包括两部分:WAI和WPI,其中WAI采用对称密码算法实现加、解密操作
- (D) WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式
答案与解析
- 试题难度:一般
- 知识点:移动应用安全需求分析与安全保护工程>移动应用安全保护机制与技术方案
- 试题答案:[['D']]
- 试题解析:
本题考查WAPI相关知识。
WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
此外,WAPI 从应用模式上分为单点式和集中式两种,可以彻底扭转目前 WLAN 采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。与 WIFI的单向加密认证不同, WAPI 双向均认证,从而保证传输的安全性。
WAPI包括两部分 WAI和WPI。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密,其中 WAI 采用公开密钥密码体制,利用公钥证书来对 WLAN 系统中的 STA 和 AP进行认证 WPI 则采用对称密码算法实现对 MAC 层 MSDU 的加、解密操作。
WAPI 鉴别及密钥管理的方式有两种,即基于证书和基于预共享密钥 PSK。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。
故本题选D。
第 53 题
分组密码常用的工作模式包括:电码本模式(ECB模式)、密码反馈模式(CFB模式),密码分组链接模式(CBC模式),输出反馈模式(OFB模式)。下图描述的是( )模式(图中Pi表示明文分组,Ci表示密文分组)
- (A) ECB模式
- (B) CFB模式
- (C) CBC模式
- (D) OFB模式
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:
本题考查分组密码操作模式相关知识。
分组加密算法中,有ECB,CBC,CFB,OFB这几种算法模式。
ECB(电子密本方式)其实非常简单,就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文,最后一段不足8个字节,按照需求补足8个字节进行计算,之后按照顺序将计算所得的数据连在一起即可,各段数据之间互不影响。
CBC(密文分组链接方式)有点麻烦,它的实现机制使加密的各段数据之间有了联系。不容易主动攻击,安全性好于ECB。
CFB(密文反馈模式 )类似于CBC,可以将块密码变为自同步的流密码;工作过程亦非常相似,CFB的解密过程几乎就是颠倒的CBC的加密过程。
OFB(
输出反馈模式 )可以将块密码变成同步的流密码。它产生密钥流的块,然后将其与平文块进行异或,得到密文。与其他流密码一样,密文中一个位的翻转会使平文中同样位置的位也产生翻转。这种特性使得许多错误校正码,例如奇偶校验位,即使在加密前计算而在加密后进行校验也可以得出正确结果。(详见《信息安全工程师教程》第一版P108)</p>
故本题选B。
第 54 题
关于祖冲之算法的安全性分析不正确的是( )。
- (A) 祖冲之算法输出序列的随机性好,周期足够大
- (B) 祖冲之算法的输出具有良好的线性、混淆特性和扩散特性
- (C) 祖冲之算法可以抵抗已知的序列密码分析方法
- (D) 祖冲之算法可以抵抗弱密分析
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:
本题考查祖冲之密码相关知识。
祖冲之算法是我国学者自主设计的加密和完整性算法,是一种流密码。算法由三个基本部分组成,依次为比特重组、非线性函数F、线性反馈位移寄存器(LFSR)。
ZUC 算法在逻辑上采用三层结构设计,具有非常高的安全强度,能够抵抗目前常见的各种流密码攻击方法。ZUC算法本质上是一种非线性序列产生器。由此,在种子密钥的作用下,可以产生足够长的安全密钥序列。把与密钥序列明文数据模2相加,便完成了数据加密。同样,把密钥序列与密文数据模2相加,便完成了数据解密。故本题选B。
第 55 题
以下关于IPSec协议的叙述中,正确的是( )。
- (A) IPSec协议是IP协议安全问题的一种解决方案
- (B) IPSec协议不提供机密性保护机制
- (C) IPSec协议不提供认证功能
- (D) IPSec协议不提供完整性验证机制
答案与解析
- 试题难度:容易
- 知识点:VPN技术原理与应用>VPN类型和实现技术
- 试题答案:[['A']]
- 试题解析:
本题考查IPSec协议相关知识。
IPSec协议是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议网络上进行保密而安全的通讯,是解决IP协议安全问题的一种方案,它能提供完整性、保密性、反重播性、不可否认性、认证等功能。
IPSec工作组制定了IP安全系列规范:认证头(AH)、封装安全有效负荷(ESP)以及密钥交换协议。
IP AH是一种安全协议,又称为认证头协议。其目的是保证IP包的完整性和提供数据源认证,为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。
IP ESP也是一种安全协议,其用途在于保证IP包的保密性,而IP AH不能提供IP包的保密性服务。
故本题选A。
第 56 题
不属于物理安全威胁的是( )。
- (A) 电源故障
- (B) 物理攻击
- (C) 自然灾害
- (D) 字典攻击
答案与解析
- 试题难度:容易
- 知识点:物理与环境安全技术>物理安全概念与要求
- 试题答案:[['D']]
- 试题解析:
本题考查物理攻击相关知识。
物理安全是指在物理媒介层次上对存储和传输的信息加以保护,它是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。字典攻击属于网络服务的暴力破解,不属于物理安全威胁。故本题选D。
第 57 题
以下关于网络钓鱼的说法中,不正确的是( )。
- (A) 网络钓鱼属于社会工程攻击
- (B) 网络钓鱼与Web服务没有关系
- (C) 典型的网络钓鱼攻击是将被攻击者引诱到一个钓鱼网站
- (D) 网络钓鱼融合了伪装、欺骗等多种攻击方式
答案与解析
- 试题难度:容易
- 知识点:网络攻击原理与常用方法>网络攻击常见技术方法
- 试题答案:[['B']]
- 试题解析:
本题考查网络钓鱼相关知识。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、密码或信用卡详细信息等)的一种攻击方式,最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个过程不会让受害者警觉,它是“社会工程攻击”的一种形式。故本题选B。
第 58 题
Bell-LaPadual模型(简称BLP模型)是最早的一种安全模型,也是最著名的多级安全策略模型,BLP模型的简单安全特性是指( )。
- (A) 不可上读
- (B) 不可上写
- (C) 不可下读
- (D) 不可下写
答案与解析
- 试题难度:一般
- 知识点:网络安全体系与网络安全模型>网络安全体系相关安全模型
- 试题答案:[['A']]
- 试题解析:
本题考查BLP模型相关知识。
Bell-LaPadula 模型(简称 BLP 模型)是 D.Elliott Bell 和 Leonard J.LaPadula 于 1973 年提出的对应于军事类型安全密级分类的计算机操作系统模型。BLP 模型是最早的一种计算机多级安全模型,也是受到公认最著名的状态机模型。
BLP保密模型基于两种规则来保障数据的保密性与敏感度:
①简单安全特性:不可上读(主体不可读安全级别高于它的数据)。
②*特性:不可下写(主体不可写安全级别低于它的数据)。
故本题选A。
第 59 题
安全电子交易协议SET是由VISA和Mastercard两大信用卡组织联合开发的电子商务安全协议,以下关于SET的叙述中,正确的是( )。
- (A) SET通过向电子商务各参与方发放验证码来确认各方的身份,保证网上支付的安全性
- (B) SET不需要可信第三方认证中心的参与
- (C) SET要实现的主要目标包括保障付款安全、确定应用的互通性和达到全球市场的可接受性
- (D) SET协议主要使用的技术包括:流密码、公钥密码和数字签名等
答案与解析
- 试题难度:一般
- 知识点:网站安全需求分析与安全保护工程>网站安全保护机制与技术方案
- 试题答案:[['C']]
- 试题解析:
本题考查SET协议相关知识。
SET协议是应用层的协议,是一种基于消息流的协议,一个基于可信的第三方认证中心的方案。B错误。SET改变了支付系统中各个参与者之间交互的方式,电子支付始于持卡人。通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等,保证了在因特网上使用信用卡进行在线购物的安全。在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的账号信息。A、D错误。
故本题选C。
第 60 题
在PKI中,关于RA的功能,描述正确的是( )。
- (A) RA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构
- (B) RA负责产生,分配并管理PKI结构下的所有用户的数字证书,把用户的公钥和用户的其他信息绑在一起,在网上验证用户的身份
- (C) RA负责证书废止列表CRL的登记和发布
- (D) RA负责证书申请者的信息录入,审核以及证书的发放等任务,同时,对发放的证书完成相应的管理功能
答案与解析
- 试题难度:一般
- 知识点:认证技术原理与应用>认证技术方法
- 试题答案:[['D']]
- 试题解析:
本题考查CA机构相关知识。
CA(Certification Authority)是一个可信赖的第三方认证机构,也是证书授权机构。主要负责证书的颁发、废止和更新。证书中含有实体名、公钥以及实体的其他身份信息。
RA(Registration Authority),数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作(安全审计)。同时,对发放的证书完成相应的管理功能(安全管理)。
故本题选D。
第 61 题
以下关于VPN的叙述中,正确的是( )。
- (A) VPN通过加密数据保证通过公网传输的信息即使被他人截获也不会泄露
- (B) VPN指用户自己租用线路,和公共网络物理上完全隔离的、安全的线路
- (C) VPN不能同时实现对消息的认证和对身份的认证
- (D) VPN通过身份认证实现安全目标,不具备数据加密功能
答案与解析
- 试题难度:一般
- 知识点:VPN技术原理与应用>VPN概述
- 试题答案:[['A']]
- 试题解析:
本题考查VPN相关知识。
VPN:即虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个临时的、安全的私有连接。可以有效降低在公共网络上传输数据的风险,即使信息被截获也不会泄密。能为用户提供加密、认证等安全服务。
用户不需要自己租用线路;VPN可以同时实现对消息和对身份的认证;VPN具备数据加密功能。
故本题选A。
第 62 题
对于定义在GF(p)上的椭圆曲线,取素数P=11,椭圆曲线y2 =x3+x+6mod11,则以下是椭圆曲线11平方剩余的是( )。
- (A) x=1
- (B) x=3
- (C) x=6
- (D) x=9
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:
本题考查椭圆曲线密码。
首先应了解平方剩余;假设p是素数,a是整数。 如果存在一个整数y使得y²≡a(mod p) (即y²-a可以被p整除), 那么就称a在p的剩余类中是平方剩余的。
根据这个定义,将选项值进行代入运算可知,当x=3,y²≡36(mod 11),此时y的值可为5或6;其余选项都是不满足平方剩余条件的。故本题选B。
第 63 题
当防火墙在网络层实现信息过滤与控制时,主要针对TCP/IP协议中的数据包头制定规则匹配条件并实施过滤,该规则的匹配条件不包括( )。
- (A) IP源地址
- (B) 源端口
- (C) IP目的地址
- (D) 协议
答案与解析
- 试题难度:一般
- 知识点:防火墙技术原理与应用>防火墙概述
- 试题答案:[['B']]
- 试题解析:
本题考查防火墙相关知识。
当防火墙在网络层实现信息过滤与控制时,主要是针对 TCP/IP 协议中的IP数据包头部制定规则的匹配条件并实施过滤,其规则的匹配条件包括以下内容: IP 源地址,IP 数据包的发送主机地址; IP 目的地址,IP 数据包的接收主机地址;协议,IP 数据包中封装的协议类型,包括 TCP、UDP 或 ICMP包等。
故本题选B。
第 64 题
以下关于网络流量监控的叙述中,不正确的是( )。
- (A) 网络流量监控分析的基础是协议行为解析技术
- (B) 数据采集探针是专门用于获取网络链路流量数据的硬件设备
- (C) 流量监控能够有效实现对敏感数据的过滤
- (D) 流量监测中所监测的流量通常采集自主机节点、服务器、路由器接口、链路和路径等
答案与解析
- 试题难度:一般
- 知识点:网络安全审计技术原理与应用>网络安全审计概述
- 试题答案:[['C']]
- 试题解析:
本题考查网络流量监控相关知识。
流量监控指的是对数据流进行的监控。流量监控的内容:流量大小;吞吐量;带宽情况;时间计数;延迟情况;流量故障。不能过滤敏感数据。故本题选C。
第 65 题
设在RSA的公钥密码体制中,公钥为(e,n)=(7,55),则私钥d=( )。
- (A) 11
- (B) 15
- (C) 17
- (D) 23
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['D']]
- 试题解析:
本题考查RSA密码算法相关知识。
已知n=55,则可推断ρ(n)=(5-1)*(11-1)=40,则d*e≡1 mod 40,算出d=23。故本题选D。
第 66 题
下列关于公钥密码体制说法不正确的是( )。
- (A) 在一个公钥密码体制中,一般存在公钥和私钥两个密钥
- (B) 公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的
- (C) 公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的
- (D) 公钥密码体制中的私钥可以用来进行数字签名
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码体制分类
- 试题答案:[['B']]
- 试题解析:
本题考查公钥密码体制相关知识
公钥密码体制中,一般存在公钥和私钥两种密钥;
公钥密码体制中仅根据密码算法和加密密钥去确定解密密钥在计算上是不可行的,因为计算量过于庞大;
公钥密码体制中的公钥可以以明文方式发送;
公钥密码体制中的私钥可以用来进行数字签名。故本题选B。
第 67 题
SM3密码杂凑算法的消息分组长度为( )比特。
- (A) 64
- (B) 128
- (C) 512
- (D) 1024
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['C']]
- 试题解析:本题考查SM3算法相关知识。
SM3算法是国家密码管理局于 2010年的安全密码杂凑算法。其基本迭代结构采用 了增强型的 Merk1e-Damgård 结构,压缩函数包含消息扩展和压缩主函数两个部分,压缩主函数采用了非对称 Feistel 结构。其消息分组长度为512位,摘要长度为256位。
希赛点播:
</p>
|
算法名称 |
算法特性描述 |
备注 |
|
SM1 |
对称加密分组长度和密钥长度都为128比特 |
|
|
SM2 |
非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法 |
国家标准推荐使用素数域256位椭圆曲线 |
|
SM3 |
杂凑算法,杂凑值长度为256比特 |
|
|
SM4 |
对称加密,分组长度和密钥长度都为128比特 |
|
|
SM9 |
标识密码算法 |
第 68 题
如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的,那么就认为相应的密码体制是( )。
- (A) 实际安全
- (B) 可证明安全
- (C) 无条件安全
- (D) 绝对安全
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码学概况
- 试题答案:[['A']]
- 试题解析:本题考查密码安全相关知识。
衡量密码体制安全性的基本准则有以下几种:
(1)计算安全的:如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的,那么就认为相应的密码体制是满足计算安全性的。这意味着强力破解证明是安全的,即实际安全。
(2)可证明安全的:如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决,就认为相应的密码体制是满足可证明安全性的。这意味着理论保证是安全的。
(3)无条件安全的:如果假设攻击者在用于无限计算能力和计算时间的前提下,也无法破译加密算法,就认为相应的密码体制是无条件安全性的。这意味着在极限状态上是安全的。
故本题选A。希赛点播:密码体制是完成加密和解密的算法。通常,数据的加密和解密过程是通过密码体制、密钥来控制的。密码体制必须易于使用,特别是应当可以在微型计算机使用。密码体制的安全性依赖于密钥的安全性,现代密码学不追求加密算法的保密性,而是追求加密算法的完备。世界上不存在绝对安全的密码。
第 69 题
a=17,b=2,则满足a与b取模同余的是( )。
- (A) 4
- (B) 5
- (C) 6
- (D) 7
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>常见密码算法
- 试题答案:[['B']]
- 试题解析:
本题考查数学基础相关知识。
两个整数a、b,若它们除以整数m所得的余数相等,则称a与b对于模m同余或a同余于b模m,记作 a≡b (mod m),即求解17≡2(mod m),m=5。故本题选B。
第 70 题
利用公开密钥算法进行数据加密时,采用的方式是( )。
- (A) 发送方用公开密钥加密,接收方用公开密钥解密
- (B) 发送方用私有密钥加密,接收方用私有密钥解密
- (C) 发送方用公开密钥加密,接收方用私有密钥解密
- (D) 发送方用私有密钥加密,接收方用公开密钥解密
答案与解析
- 试题难度:一般
- 知识点:密码学基本理论>密码体制分类
- 试题答案:[['C']]
- 试题解析:
本题考查公钥密码体制相关知识。
公钥密码体制又称为非对称密码体制,其基本原理是在加密和解密过程中使用不同的密钥处理方式,其中加密密钥可以公开,而只需要把解密密钥安全存放即可。在进行加解密时,发送方用对方的公钥加密,接收方用自己的私钥解密。故本题选C。
第 71 题
The transfer of the social constructs of identity and trust into digital and computational concepts helps in designing and implementing large scale online markets and communities,and also plays an important role in the converging mobile and Internet environments . Identity management (denoted Idm hereafter ) is about recognizing and verifying the correctness of identitied in online environment .Trust management becomes a component of ( ) whenever different parties rely on each other for identity provision and authentication . IdM and Trust management therefore depend on each other in complex ways because the correctness of the identity itself must be trusted for the quality and reliability of the corresponding entity to be trusted.IdM is also an essential concept when defining authorisation policies in personalised services.
Establishing trust always has a cost , so that having complex trust requirement typically leads to high overhead in establishing the required trust . To reduce costs there will be incentives for stakeholders to “cut corners”regarding trust requirements ,which could lead to inadequate security . The challenge is to design IdM systems with relatively simple trust requirements.Cryptographic mechanisms are often a core component of IdM solutions,for example,for entity and data authentication.With cryptography,it is often possible to propagate trust from where it initially exists to where it is needed .The establishment of initial( )usually takes place in the physical world,and the subsequent propagation of trust happens online,often in an automated manner.
- (A) with
- (B) on
- (C) of
- (D) for
- (A) entity
- (B) person
- (C) component
- (D) thing
- (A) No longer
- (B) never
- (C) always
- (D) often
- (A) SP
- (B) IdM
- (C) Internet
- (D) entity
- (A) trust
- (B) cost
- (C) IdM
- (D) solution
答案与解析
- 试题难度:一般
- 知识点:网络信息安全概述>信息安全专业英语
- 试题答案:[['D'],['C'],['A'],['B'],['A']]
- 试题解析:
本题考查专业英语相关知识。
信任通常被解释为是对我们赖以生存的实体的可靠性、诚实性和安全性的一种主观信念。在在线环境中,我们依赖于各种各样的东西,从计算机硬件、软件和数据到人员和组织。安全解决方案总是根据特定的策略假定某些实体的功能。信任就是做出这种假设,因此,受信任的实体与根据策略假定起作用的实体是相同的。这样做的结果,就是系统的受信任组件必须正确工作,以保持该系统的安全性,这意味着当受信任组件发生故障时,依赖它的系统和应用程序将不再被视为安全的。该原则的一个经常被引用的表述是:“可信系统或组件是可以破坏您的安全策略的系统或组件”(当可信系统失败时会发生这种情况)。这同样适用于受信任方,如服务提供商(简称SP)。也就是说,为了确保预期的安全性和服务质量,它必须按照商定或假定的政策进行操作。从该分析中得出的一个矛盾结论是,当增加服务基础设施所依赖的受信任组件和参与方的数量时,安全保证可能会减少。这是因为由许多受信任组件组成的基础结构的安全性通常遵循最弱链接的原则,也就是说,在许多情况下,整体安全性只能与所有受信任组件中最不可靠或最不安全的部分一样强。 我们不能避免使用可信的安全组件,但越少越好。在设计身份管理架构时,这一点很重要,也就是说,在身份管理模型中,受信任方越少,所能实现的安全性就越强。
将身份和信任的社会结构转化为数字和计算概念有助于设计和实施大规模在线市场和社区,并在融合移动和互联网环境中发挥重要作用。身份管理(以下简称IDM)是关于识别和验证在线环境中身份的正确性。当不同的当事方在身份提供和认证方面相互依赖时,信任管理就成为IDM的一个组成部分。因此,IDM和信任管理以复杂的方式相互依赖,因为要信任相应实体的质量和可靠性,必须信任标识本身的正确性。在定义个性化服务中的授权策略时,IDM 也是一个基本概念。建立信任总是有成本的,因此拥有复杂的信任需求通常会导致建立所需信任的高开销。为了降低成本,将鼓励利益相关者在信任要求方面“抄近路”,这可能导致安全性不足。挑战在于设计具有相对简单信任要求的IDM系统。加密机制通常是IDM解决方案的核心组件,例如,用于实体和数据身份验证。使用密码学,通常可以将信任从最初存在的地方传播到需要信任的地方。初始信任的建立通常发生在物理世界中,随后的信任传播通常以自动化的方式在线进行。