阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B:A
2.B –> A:{B,Nb}pk(A)
3.A –> B:b(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。
【问题1】(5分)
认证和加密有哪些区别?
【问题2】(6分)
(1)包含在消息2中的“Nb”起什么作用?
(2)“Nb”的选择应满足什么条件?
【问题3】(3分)
为什么消息3中的Nb要计算哈希值?
【问题4】(4分)
上述协议存在什么安全缺陷?请给出相应的解决思路。
查看答案
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
网络容灾备份系统是指在相隔较远的异地,建立两套或多套功能相同的 IT 系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。网络容灾技术是系统的高可用性技术的一个组成部分,网络容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个 IT 节点的影响,提供节点级别的系统恢复功能。
从根本上说,灾难恢复计划应当包括 个重要部分:数据保护、灾难防备和事后恢复。数据系统的安全体系主要有数据备份系统、高可用系统两个方面,备份系统提供应用系统的数据后援,确保在任意情况下(包括人工操作失误)数据具有完整的恢复能力,高可用性系统提供故障检测和故障切换功能,确保系统在规定时间内恢复服务能力。
一个完善的网络容灾备份应包括硬件级物理容错和软件级数据备份,并且能够自动地跨越整个系统网络平台,其主要包括构造双机容错系统、各类数据库的备份、网络故障和灾难恢复、备份任务管理等。答案解析与讨论:https://www.ruantiku.com/shiti/280665836.html
4.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
在Internet 技术飞速演变、电子商务蓬勃发展的今天,开发的银多应用程序都是 Web应用程序,随着微信、微博、网上银行等一系列的新型的 Web 应用程序的诞生, Web应用越来越广泛。然而 Web 应用程序及 Web 站点往往很容易遭受各种各样的入侵, Web数据在网络传输过程中也银容易被窃取或盗用。如何能够使 Web 及数据传输更加安全,就显得尤为重要。
如今, Web 业务平台己经在电子商务、企业信息化中得到广泛应用,很多企业部将应用架设在 Web 平台上, Web 业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
国际权威机构 Forrester 的统计数据表明, 67% 的攻击是通过应用层的攻答案解析与讨论:https://www.ruantiku.com/shiti/3822121186.html
3.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
随着信息化技术的不断发展,网络带宽速度的不断提高,移动互联网的不断普及,以及电子商务模式的不断升级,网络购物己经成为人们日常生活中必不可少的一部分。淘宝网、京东网、当当网、携程、12306、去哪儿网等一大批综合类及领域类电子商务网站蓬勃发展,线上线下互动频繁,对传统商业模式带来比较大的冲击,改变人们自常的生产与生活方式。随着电子商务的不断发展,对电子商务系统安全性、可靠性的要求不断提高,电子商务安全已经成为国家信息化基础设施安全不可或缺的一部分。
电子商务系统是支撑企业商务活动的技术平台,这一平台与传统的管理信息系统、决策支持系统等信息系统既有联系又有所不同,电子商务系统具有自身的特点:1、电子商务系统是支撑企业自身运营的基础平台;2、电子商务系统是优化企业业务流程、降低经营成本的重要手段;3、电子商务系统对实时性、安全性与可靠性要求较高;4、电子商务系统大多是依托企业既有信息资源运行的系统;
电子商务系统往往具有各个时代信息系统的典型特征,通常是对内通过企业信息总线、答案解析与讨论:https://www.ruantiku.com/shiti/3821027714.html
阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。
【说明】
在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。
心跳包类型占1个字节,主要是请求和响应两种类型;
心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。
https://www.ruantiku.com/shiti/389985212.html
阅读下列说明,回答问题 1 至问题 3,将解答写在答题纸的对 应栏内。
【说明】
安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信 息类型的安全分类有以下表达形式:
{ (机密性,影响等级), (完整性,影响等级), (可用性,影 响等级) }
在上述表达式中,"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不 适用 (NA)。
【问题 1】。 (6 分)
请简要说明机密性、完整性和可用性的含义。
【问题 2】(2 分)
对于影响等级"不适用"通常只针对哪个安全要素?
【问题 3 】(3 分)
如果一个普通人在它的个人 Web 服务器上管理其公开信息。请 问这种公开信息的安全分类是什么?
答案解析与讨论:https://www.ruantiku.com/shiti/327583719.html
1.阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
认证又称鉴别或确认,它是证实某事是否名副其实或是否有效的一个过程。认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性,来达到验证称谓者是否名副其实的目的。这样,就要求验证的参数和被认证的对象之间存在严格的对应关系,理想情况下这种对应关系应是唯一的。其基本原理如下图所示。