第一套
一、 单选题
1) A【解析】信息技术的发展,大致分为电讯技术的发明、计算机技术的发展和互联网的使用三个阶段。故选择A选项。
2) A 【解析】P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应),在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。故选择A选项。
3) C【解析】对称加密系统通常非常快速,却易受攻击,因为用于加密的密钥必须与需要对消息进行解密的所有人一起共享,同一个密钥既用于加密也用于解密所涉及的文本,A、B正确;数字签名是非对称密钥加密技术与数字摘要技术的综合应用,在操作上会有一定的难度,故D正确。故选择C选项。
4) C【解析】哈希函数将输入资料输出成较短的固定长度的输出,这个过程是单向的,逆向操作难以完成,故A、B选项错误;MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值;SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit,故耗时要更长,故D选项错误。故选择C选项。
5) D【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等,但是发送方否认将无法保证。故选择D选项。 6)D【解析】主体是指提出访问资源具体请求,是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体,客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。因此,可以主体可以是另外一个客体。故选择D选项。 7)C【解析】BLP模型基于强制访问控制系统,以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证,类似于BLP保密模型,也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域,必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问,同时包括了强制访问控制和自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。故选择C选项。
8) B【解析】RADIUS运行在UDP协议上,并且没有定义重传机制,而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制,每个会话方可以动态调整自己的接收窗口,以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制,而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离,重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。故选择B选项。
9) D【解析】Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,故D选项说法错误,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。故选择D选项。
10) C【解析】进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。故选择C选项。
11) C【解析】在linux或者unix操作系统中在系统的引导的时候会开启很多服务,这些服务就叫做守护进
程。为了增加灵活性,root可以选择系统开启的模式,这些模式叫做运行级别,每一种运行级别以一定的方式配置系统。守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。守护进程常常在系统引导装入时启动,在系统关闭时终止。Linux系统有很多守护进程,大多数服务都是通过守护进程实现的,同时,守护进程还能完成许多系统任务,例如,作业规划进程crond、打印进程lqd等,故选择C选项。 12)C【解析】chmod:文件/目录权限设置命令;chown:改变文件的拥有者;chgrp:变更文件与目录的所属群组,设置方式采用群组名称或群组识别码皆可;who:显示系统登陆者。故选择C选项。
13) D【解析】Windows有3个环境子系统:Win32、POSIX和OS/2;POSIX子系统,可以在Windows下编译运行使用了POSIX库的程序,有了这个子系统,就可以向Windows移植一些重要的UNIX/Linux应用。OS/2子系统的意义跟POSIX子系统类似。Win32子系统比较特殊,如果没有它,整个Windows系统就不能运行,其他两个子系统只是在需要时才被启动,而Wind32子系统必须始终处于运行状态。故选择D选项。
14) B【解析】视图是原始数据库数据的一种变换,是查看表中数据的另外一种方式。可以将视图看成是一个移动的窗口,通过它可以看到感兴趣的数据。视图是从一个或多个实际表中获得的,这些表的数据存放在数据库中。那些用于产生视图的表叫做该视图的基表。一个视图也可以从另一个视图中产生。视图的定义存在数据库中,与此定义相关的数据并没有再存一份于数据库中,通过视图看到的数据存放在基表中,而不是存放在视图中,视图不存储数据,故B选项说法不正确。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上,但不能授权到数据库特定行和特定的列上。故选择B选项。 15) A【解析】视图为机密数据提供了安全保护。在设计用户应用系统时,可以为不同的用户定义不同的视图,使机密数据不出现在不应该看到的用户的视图上,这样视图就自动提供了对机密数据的安全保护措施。视图可以作为一种安全机制。通过视图用户只能查看和修改他们所能看到的数据。其它数据库或表既不可见也不可以访问。如果某一用户想要访问视图的结果集,必须授予其访问权限。视图所引用表的访问权限与视图权限的设置互不影响,但视图机制的安全保护功能太不精细,往往不能达到应用系统的要求,其主要功能在于提供了数据库的逻辑独立性。因此A选项是不正确的。故选择A选项。
16) C【解析】由于事务是由几个任务组成的,因此如果一个事务作为一个整体是成功的,则事务中的每个任务都必须成功。如果事务中有一部分失败,则整个事务失败。一个事务的任何更新要在系统上完全完成,如果由于某种原因出错,事务不能完成它的全部任务,系统将返回到事务开始前的状态。COMMIT语句用于告诉DBMS,事务处理中的语句被成功执行完成了。被成功执行完成后,数据库内容将是完整的。而ROLLBACK语句则是用于告诉DBMS,事务处理中的语句不能被成功执行。不能回退SELECT语句,因此该语句在事务中必然成功执行。故选择C选项。
17) D【解析】ESP协议主要设计在 IPv4 和 IPv6 中提供安全服务的混合应用。IESP 通过加密需要保护的数据以及在 ESP 的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法,能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性,但是,ESP协议无法封装链路层协议。故选择D选项。
18) B【解析】IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议,B选项错误。故选择B选项。
19)A【解析】Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。故选择A选项。
20) C【解析】一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。故选择C选项。
21) A【解析】状态检测防火墙在处理无连接状态的UDP、ICMP等协议时,无法提供动态的链接状态检查,而且当处理FTP存在建立两个TCP连接的协议时,针对FTP协议的被动模式,要在连接状态表中允许相关联的两个连接。而在FTP的标准模式下,FTP客户端在内网,服务器端在外网,由于FTP的数据连接是从外网服务器到内网客户端的一个变化的端口,因此状态防火墙需要打开整个端口范围才能允许第二个连接通过,在连接量非常大的网络,这样会造成网络的迟滞现象。状态防火墙可以通过检查TCP的标识位获得断开连接的信息,从而动态的将改连接从状态表中删除。故选择A选项。
22) D【解析】DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。ICMP在Internet上用于错误处理和传递控制信息。\就是故意产生畸形的测试Ping包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方宕机。UDPflood攻击:如今在Internet上UDP(用户数据包协议)的应用比较广泛,很多提供WWW和Mail等服务设备通常是使用Unix的服务器,它们默认打开一些被黑客恶意利用的UDP服务。所以,TCP、ICMP和UDP均会被DoS攻击,IPSec无法被DoS攻击。故选择D选项。
23) C【解析】BitBlaze平台由三个部分组成:Vine,静态分析组件,TEMU,动态分析组件,Rudder,结合动态和静态分析进行具体和符号化分析的组件。Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工具包。故选择C选项。
24) C【解析】OWASP的十大安全威胁排名:第一位: 注入式风险;第二位: 跨站点脚本 (简称XSS);第三位: 无效的认证及会话管理功能;第四位: 对不安全对象的直接引用;第五位: 伪造的跨站点请求(简称CSRF);第六位: 安全配置错误;第七位: 加密存储方面的不安全因素;第八位: 不限制访问者的URL;第九位: 传输层面的保护力度不足;第十位: 未经验证的重新指向及转发。故选择C选项。
25)D【解析】HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme,句法类同http体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,因此用户认证的请求通过加密信道进行传输,现在它被广泛用于万维网上安全敏感的通讯。故选择D选项。
26) A【解析】安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。微软于2004年将SDL引入其内部软件开发流程中,目的是减少其软件中的漏洞的数量和降低其严重级别。故选择A选项。
27) A【解析】代码混淆技术在保持原有代码功能的基础上,通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可通过多种技术手段实现,包括词法转换、控制流转换、数据转换。故选择A选项。
28) C【解析】漏洞的定义包含以下三个要素:首先,漏洞是计算机系统本身存在的缺陷;其
次,漏洞的存在和利用都有一定的环境要求;最后,漏洞存在的本身是没有危害的,只有被攻击者恶意利用,才能给计算机系统带来威胁和损失。故选择C选项。
29) B【解析】堆生长方向是向上的,也就是向着内存增加的方向;栈相反。故选择B选项。
30) B【解析】缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,使得溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为\堆栈\。在各个操作进程之间,指令会被临时储存在\堆栈\当中,\堆栈\也会出现缓冲区溢出,单字节溢出是指程序中的缓冲区仅能溢出一个字节。故选择B选项。 31) C
【解析】信息安全应急响应的核心是为了保障业务,在具体实施应急响应的过程中就需要通过不断的总结和回顾来完善应急响应管理体系。编写安全指南:针对可能发生的安全事件安全问题,对判断过程进行详细描述。同时,安全指南也是管理层支持组织IT的一个证明。明确职责规范:明确IT用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责,在发生安全事件时可以很快定位相应人员。信息披露:明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略:安全
事件越重大,需要的授权也越大。设置优先级:制定优先级表,根据安全事件导致的后果顺序采用相
应的应急措施。判断采用调查和评估安全事件的方法:通过判断潜在和持续的损失程度、原因等采用不同的方法。通知受影响各方:对所有受影响的组织内部各部门和外部机构都进行通报,并建立沟通渠道。安全事件的评估:对安全事件做评估,包括损失、响应时间、提交策略的有效性、调查的有效性等,并对评估结果进行归档。故选择C选项。
32)C【解析】系统生命周期就是系统从产生构思到不再使用的整个生命历程。任何系统都会经历一个发生、发展和消亡的过程。故选择C选项。
33)D【解析】一旦实现了控制策略,就应该对控制效果进行监控和衡量,从而来确定安全控制的有效性,并估计残留风险的准确性。整个安全控制是一个循环过程,不会终止,只要机构继续运转,这个过程就会继续,并不是说这方面的预算就可以减少。故选择D选项。
34)B【解析】引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。通过进行信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,但不是所以的组织都必须进行认证,故B选项说法错误。通过认证能保证和证明组织所有的部门对信息安全的承诺。获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。故选择B选项。
35) B【解析】审核是指为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的独立的并形成文件的过程。加强安全教育与审核对象没有关系。故选择B选项。
36) C【解析】涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。故选择C选项。
37) C【解析】《电子签名法》规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。根据《电子签名法》的规定,同时符合下列四个条件的电子签名视为可靠的电子签名:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。故选择C选项。
38) D【解析】根据商用密码产品销售管理规定,申请《商用密码产品销售许可证》的单位应当具备下列条件:
(1)有独立的法人资格;
(2)有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障; (3)有完善的销售服务和安全保密管理制度; (4)法律、行政法规规定的其它条件。 故选择D选项。
39) B【解析】基本安全要求中基本技术要求从五个方面提出:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;故选择B选项。
40)B【解析】《中华人民共和国电子签名法 》第三十一条电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。故选择B选项。
二、填空题
1)【解析】TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。因此1)应该填入:可信计算机评估标准/TCSEC标准。
2)【解析】信息安全的发展大致经历了3个主要阶段:通信保密阶段、计算机安全阶段和信息安全保障阶段。通信保密阶段:当代信息安全学起源于20世纪40年代的通信保密;计算机安全阶段:20世纪60年代和70年代,计算机安全的概念开始逐步得到推行;信息安全保障阶段:20世纪90年代以后,开始倡导信息保障。因此2)应该填入:通信保密
3)【解析】对于网络舆情的特点,社会管理者应当了然于心。对现实中出现的各种网络舆论,社会管理者应能做出及时反馈,防微杜渐,防患于未然。因此,必须利用现代信息技术对网络舆情予以分析,从而进行控制和引导。由于网上的信息量十分巨大,仅依靠人工的方法难以应对网上海量信息的收集和处理,需要加强相关信息技术的研究,形成一套自动化的网络舆情分析系统,及时应对网络舆情,由被动防堵,化为主动梳理、引导。因此3)应该填入:舆情分析
4)【解析】MD5算法简要叙述:MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。因此4)应该填入:128
5)【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证0)、及消息的序号和操作时间认证等。因此5)应该填入:认证
6)【解析】访问控制矩阵:任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可。访问控制列表:这种方法对应于访问控制矩阵的列。访问能力表:这种方法对应于访问控制矩阵的行。每个主体都附加一个该主体可访问的客体的明细表。因此6)应该填入:能力
7)【解析】强制访问控制系统通过比较主体和客体的 安全标签来决定一个主体是否能够访问某个客体。强制访问控制是系统独立于用户行为强制执行访问控制,它也提供了客体在主体之间共享的控制,但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问,从而防止对信息的非法和越权访问,保证信息的保密性。因此7)应该填入:安全标签
8)【解析】操作系统通过一些基本元素,在硬件支持的基础上来达到目标。 用户模式和内核模式 现代CPU通常运行在两种模式下:
(1) 内核模式,也称为特权模式,在Intel x86系列中,称为核心层(Ring 0)。 (2) 用户模式,也称为非特权模式,或者用户层(Ring 3)。 如果CPU处于特权模式,那么硬件将允许执行一些仅在特权模式下许可的特殊指令和操作。一般看来,操作系统应当运行在特权模式下,或者称为内核模式下:其他应用应当运行在普通模式,或者用户模式下。然而,事实与此有所不同。 显然,要使特权模式所提供的保护真正有效,那么普通指令就不能自由修改CPU的模式。在标准的模型中,将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷,如
● 中断:一些外部硬件引发的,如I/O或者时钟
● 异常:如除数为零,访问非法的或者不属于该进程的内存
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说教育文库信息安全前3套答案解析在线全文阅读。
相关推荐: