閱讀下列說明，回答問題1至問題3,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

訪問控制是保障信息系統(tǒng)安全的主要策略之一，其主要任務(wù)是保證系統(tǒng)資源不被非法使用和非常規(guī)訪問。訪問控制規(guī)定了主體對(duì)客體訪向的限制，并在身份認(rèn)證的碁礎(chǔ)上，對(duì)用戶提出的資源訪問請(qǐng)求加以控制。當(dāng)前,主要的訪問控制模型包括：自主訪問控制（DAC）模型和強(qiáng)制訪問控制(MAC)模型。

【問題1】(6分)

針對(duì)信息系統(tǒng)的訪問控制包含哪三個(gè)基本要素？

【問題2】(4分)

BLP模型是一種強(qiáng)制訪問控制模型，請(qǐng)問：

（1）BLP模型保證了信息的機(jī)密性還是完整性？

（2）BLP模型采用的訪問控制策略是上讀下寫還是下讀上寫？

【問題3】(4分)

Linux系統(tǒng)中可以通過Is?命令查看文件的權(quán)限，例如：文件net.txt的權(quán)限屬性如下所示：

-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt

請(qǐng)問：

（1）文件net.txt屬于系統(tǒng)的哪個(gè)用戶？

（2）文件net.txt權(quán)限的數(shù)字表示是什么？

閱讀下列說明和表，回答問題1至問題3,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用。密碼學(xué)中，根據(jù)加密和解密過程所采用密鑰的特點(diǎn)可以將密碼算法分為兩類：對(duì)稱密碼算法和非對(duì)稱密碼算法。此外，密碼技術(shù)還用于信息鑒別、數(shù)據(jù)完整性檢驗(yàn)、數(shù)字簽名等。

【問題1】(6分)

信息安全的基本目標(biāo)包括真實(shí)性、保密性、完整性、不可否認(rèn)性、可控性、可用性、可審查性等。密碼學(xué)的三大安全目標(biāo)C.I.A分別表示什么？

【問題2】(5分)

仿射密碼是一種典型的對(duì)稱密碼算法。仿射密碼體制的定義如下：

(1)整數(shù)11在Z₂₆中的乘法逆元是多少?

(2)假設(shè)明文消息為“SEC”，相應(yīng)的密文消息是什么?

【問題3】(2分)

根據(jù)表2.1的對(duì)應(yīng)關(guān)系,仿射密碼中,如果已知明文“E”對(duì)應(yīng)密文“C",明文“T”對(duì)應(yīng)密文“F”,則相應(yīng)的key=(k₁,k₂)等于多少？

閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

假設(shè)用戶A和用戶B為了互相驗(yàn)證對(duì)方的身份，設(shè)計(jì)了如下通信協(xié)議：

1.A→B:R_A

【問題1】（2分）

身份認(rèn)證可以通過用戶知道什么、用戶擁有什么和用戶的生理特征等方法來驗(yàn)證。請(qǐng)問上述通信協(xié)議是采用哪種方法實(shí)現(xiàn)的？

【問題2】（2分）

根據(jù)身份的互相驗(yàn)證需求，補(bǔ)充協(xié)議第3步的空白內(nèi)容。

【問題3】（2分）

通常哈希函數(shù) f 需要滿足下列性質(zhì)：單向性、抗弱碰撞性、抗強(qiáng)碰撞性。如果某哈希函數(shù) f 具備：找到任何滿足f（x）=f（y）的偶對(duì)（x，y）在計(jì)算上是不可行的，請(qǐng)說明其滿足哪條性質(zhì)。

【問題4】（2分）

上述協(xié)議不能防止重放攻擊，以下哪種改進(jìn)方式能使其防止重放攻擊？

（1）在發(fā)送消息加上時(shí)間參量。

（2）在發(fā)送消息加上隨機(jī)數(shù)。

【問題5】（4分）

如果將哈希函數(shù)替換成對(duì)稱加密函數(shù)，是否可以提高該協(xié)議的安全性？為什么？

閱讀下列說明和圖，回答問題1至問題4,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

信息系統(tǒng)安全開發(fā)生命周期（Security Development Life Cycle（SDLC））是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的管理模式，它將安全納入信息系統(tǒng)開發(fā)生命周期的所有階段，各階段的安全措施與步驟如下圖5.1所示。

【問題1】（4分）

在培訓(xùn)階段，需要對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，要求員工向弱口令說不！針對(duì)弱口令最有效的攻擊方式是什么？以下口令中，密碼強(qiáng)度最高的是（  ）。

A. security2019

B. 2019Security

C. Security@2019

D. Security2019

【問題2】（6分）

在大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)正被動(dòng)地被企業(yè)搜集并利用。在需求分析階段，需要考慮采用隱私保護(hù)技術(shù)防止隱私泄露。從數(shù)據(jù)挖掘的角度，隱私保護(hù)技術(shù)主要有：基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)、基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)、基于數(shù)據(jù)匿名隱私保護(hù)技術(shù)。

請(qǐng)問以下隱私保護(hù)技術(shù)分別屬于上述三種隱私保護(hù)技術(shù)的哪一種?

（1）隨機(jī)化過程修改敏感數(shù)據(jù)

（2）基于泛化的隱私保護(hù)技術(shù)

（3）安全多方計(jì)算隱私保護(hù)技術(shù)

【問題3】（4分）

有下述口令驗(yàn)證代碼：

請(qǐng)問調(diào)用verify_password函數(shù)的參數(shù)滿足什么條件，就可以在不知道真實(shí)口令的情況下繞過口令驗(yàn)證功能？

【問題4】（3分）

SDLC安全開發(fā)模型的實(shí)現(xiàn)階段給出了 3種可以采取的安全措施，請(qǐng)結(jié)合問題3的代碼舉例說明？