1、信息安全三级试题四一、 选择题1.计算机系统安全评估的第一个正式标准是( ) 。A) TCSEC B) COMPUSECC) CTCPEC D) CC:ISO 154082. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。下列选项中,不包含在该四个焦点域中的是() 。A) 本地计算环境 B) 资产 C) 域边界 D) 支撑性基础设施3.下列关于访问控制技术的说法中,错误的是( ) 。A) TACACS+使用传输控制协议( TCP) ,而RADIUS 使用用户数据报协议(UDP)B) RADIUS从用户角度结合了认证和授权,而 TACACS+分离了这两个操作C) TACACS使用
2、固定的密码进行认证,而TACACS+ 允许用户使用动态密码,这样可以提供更强大的保护D) RADIUS将加密客户端和服务器之间的所有数据,而 TACACS+仅需要加密传送的密码4.下列选项中,不能用于数字签名的算法是( ) 。A) RSA B) Diffie-Hellman C) ElGamal D) ECC5.如果密钥丢失或其它原因在密钥未过期之前,需要将它从正常运行使用的集合中除去,称为密钥的( ) 。A) 销毁 B) 撤销 C) 过期 D) 更新6.下列关于消息认证的说法中,错误的是( ) 。A) 对称密码既可提供保密性又可提供认证B) 公钥密码既可提供认证又可提供签名C) 消息认证码是
3、一种认证技术,它利用密钥来生成一个固定长度的数据块,并将该数据块附加在消息之后D) 消息认证码既可提供认证又可提供保密性7.防范计算机系统和资源被未授权访问,采取的第一道防线是( ) 。A) 访问控制 B) 授权 C) 审计 D) 加密8.下列关于强制访问控制的说法中,错误的是( ) 。A) Bell-LaPadula模型具有只允许向下读、向上写的特点,可以有效地防止机密信息向下级泄露B) Biba模型则具有不允许向下读、向上写的特点,可以有效地保护数据的完整性C) 强制访问控制通过分级的安全标签实现了信息的单向流通D) Biba模型作为BLP模型的补充而提出,利用 “不上读/不下写“的原则来
4、保证数据的完整性9.下列选项中,进行简单的用户名/密码认证,且用户只需要一个接受或拒绝即可进行访问(如在互联网服务提供商ISP 中)的是( ) 。A) RADIUS B) TACACS C) Diameter D) RBAC10.下列关于线程的说法中,正确的是( ) 。A) 线程是程序运行的一个实例,是运行着的程序B) 线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位C) 线程是用于组织资源的最小单位,线程将相关的资源组织在一起,这些资源包括:内存地址空间、程序、数据等D) 线程是在计算机上运行的一组指令及指令参数的集合,指令按照既定的逻辑控制计算机运行11.下列关于保护环的说法中
5、,错误的是( ) 。A) 3环中的主体不能直接访问1 环中的客体,1 环中的主体同样不能直接访问3 环中的客体B) 保护环对工作在环内的进程能够访问什么、能够执行什么命令提出了严格的界线和定义C) 保护环在主体和客体之间提供了一个中间层,当一个主体试图访问一个客体时,可以用它来进行访问控制D) 在内环中执行的进程往往处于内核模式,在外环中工作的进程则处于用户模式12.在Unix系统中,改变文件拥有权的命令是( ) 。A) chmod B) chown C) chgrp D) who13.在Unix系统中,查看最后一次登录文件的命令是( ) 。A) syslogd B) Lastcomm C)
6、last D) lastlog14.如果所有外键参考现有的主键,则说明一个数据库具有( ) 。A) 参照完整性 B) 语义完整性 C) 实体完整性 D) 关系完整性15.深入数据库之内,对数据库内部的安全相关对象进行完整的扫描和检测,即( ) 。A) 端口扫描 B) 渗透测试 C) 内部安全检测 D) 服务发现16.下列关于SQL注入的说法中,错误的是( ) 。A) 防火墙能对SQL注入漏洞进行有效防范B) SQL注入攻击利用的是SQL语法C) 未限制输入的字符数,未对输入数据做潜在指令的检查,都将增加SQL注入的风险D) SQL注入攻击主要是通过构建特殊的输入,这些输入往往是SQL语法中的一
7、些组合17.下列数据包内容选项中,ESP协议在传输模式下不进行加密的是 ( ) 。A) 源IP和目标IP B) 源端口和目标端口 C) 应用层协议数据 D) ESP报尾18.IPSec协议属于( ) 。A) 第二层隧道协议 B) 介于二、三层之间的隧道协议C) 第三层隧道协议 D) 传输层的VPN协议19.证书的验证需要对证书的三个信息进行确认。下列选项不包括在其中的是( ) 。A) 验证有效性,即证书是否在证书的有效使用期之内B) 验证可用性,即证书是否已废除C) 验证真实性,即证书是否为可信任的CA认证中心签发D) 验证保密性,即证书是否由CA进行了数字签名20.下列关于防火墙的描述中,错
8、误的是( ) 。A) 不能防范内网之间的恶意攻击B) 不能防范针对面向连接协议的攻击C) 不能防范病毒和内部驱动的木马D) 不能防备针对防火墙开放端口的攻击21.主要在操作系统的内核层实现的木马隐藏技术是( ) 。A) 线程插入技术 B) DLL动态劫持技术 C) 端口反弹技术 D) Rootkit技术22.“震荡波“病毒进行扩散和传播所利用的漏洞是( ) 。A) 操作系统服务程序漏洞 B) 文件处理软件漏洞C) 浏览器软件漏洞 D) ActiveX控件漏洞23.下列技术中,不能有效防范网络嗅探的是( ) 。A) VPN B) SSL C) TELNET D) SSH24.下列选项中,不属于软
9、件安全开发技术的是( ) 。A) 安全设计 B) 安全发布 C) 安全测试 D) 建立安全威胁模型25.下列选项中,基于硬件介质的软件安全保护技术不包括( ) 。A) 专用接口卡 B) 加密狗 C) 数字证书 D) 加密光盘26.下列关于栈(stack)的描述中,正确的是( ) 。A) 栈是一个先进先出的数据结构,在内存中的增长方向是从低地址向高地址增长B) 栈是一个后进后出的数据结构,在内存中的增长方向是从高地址向低地址增长C) 栈是一个先进后出的数据结构,在内存中的增长方向是从低地址向高地址增长D) 栈是一个后进先出的数据结构,在内存中的增长方向是从高地址向低地址增长27.下列选项中,不属
10、于防火墙体系结构的是( ) 。A) 双重宿主主机体系结构 B) 屏蔽主机体系结构C) 屏蔽子网体系结构 D) 屏蔽中间网络体系结构28.下列功能中,综合漏洞扫描不包含的是( ) 。A) IP地址扫描 B) 网络端口扫描 C) 恶意程序扫描 D) 漏洞扫描29.整数溢出有三种原因。下列选项中,不属于整数溢出原因的是( ) 。A) 符号问题 B) 条件未判断 C) 运算溢出 D) 存储溢出30.攻击者利用栈溢出发起攻击时,向存在漏洞的软件程序输入的数据,一般不包括( ) 。A) 随机填充数据 B) NOP 填充字段 C) Heap D) 新的返回地址31.为了保证整个组织机构的信息系统安全,下列措
11、施中错误的是( ) 。A) 应当增加系统的输入输出操作、减少信息的共享B) 必须保证系统开发过程的安全C) 必须保证所开发系统的安全D) 应当确保安全开发人员的安全保密意识32.在制定一套好的安全管理策略时,制定者首先必须( ) 。A) 与技术员进行有效沟通 B) 与监管者进行有效沟通C) 与用户进行有效沟通 D) 与决策层进行有效沟通33.在风险管理中,应采取适当的步骤,以确保机构信息系统具备三个安全特性。下列选项不包括在其中的是( ) 。A) 机密性 B) 完整性 C) 有效性 D) 坚固性34.重要安全管理过程不包括( ) 。A) 系统获取、开发和维护 B) 信息安全事件管理与应急响应C
12、) 业务连续性管理与灾难恢复 D) 安全资质评审35.下列关于系统维护注意事项的描述中,错误的是( ) 。A) 在系统维护过程中,要注意对维护过程进行记录B) 维护人员接收到一个更改要求,必须纳入这个更改C) 保存所有源文件的最近版本是极其重要的,应建立备份和清理档案D) 一旦系统投入使用,维护人员就应及时修正收到的错误,并提供维护报告36.BS 7799是依据英国的工业、政府和商业共同需求而制定的一个标准,它分为两部分:第一部分为“信息安全管理事务准则“,第二部分为( ) 。A) 信息安全管理系统的规范 B) 信息安全管理系统的法律C) 信息安全管理系统的技术 D) 信息安全管理系统的设备3
13、7.计算机信息系统安全保护等级划分准则将信息系统安全分为五个等级。下列选项中,不包括的是( ) 。A) 访问验证保护级 B) 系统审计保护级C) 安全标记保护级 D) 协议保护级38.刑法中有关信息安全犯罪的规定包括( ) 。A) 1条 B) 2 条 C) 3 条 D) 5 条39.计算机信息系统安全保护等级划分准则的安全考核对象,不包含( ) 。A) 身份认证 B) 数据信道传输速率 C) 数据完整性 D) 审计40.电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照下列哪个机构的规定执行( ) 。A) 国务院信息产业主管部门 B) 公安部信息安全部门C) 国家安全局
14、D) 所在辖区最高行政机关二、填空题1.信息技术可能带来的一些负面影响包括 _、信息污染和信息犯罪。2.IATF提出了三个主要核心要素:人员、_ 和操作。3.RSA密码建立在大整数因式分解的困难性之上,而ElGamal密码建立在离散 _的困难性之上。4.对称密钥体制,根据对明文的加密方式的不同而分为两类:分组密码和_密码。5.产生认证码的函数类型,通常有三类:消息加密、消息认证码和_ 函数。6.基于矩阵的列的访问控制信息表示的是访问_表,即每个客体附加一个它可以访问的主体的明细表。7.一个审计系统通常由三部分组成:日志记录器、 _ 、通告器,分别用于收集数据、分析数据及通报结果。8.用户接口是
15、为方便用户使用计算机资源所建立的用户和计算机之间的联系,主要有两类接口: _接口和程序级接口。9.TCG可信计算系统结构可划分为三个层次,分别为可信平台模块、_和可信平台应用软件。10.数据库软件执行三种类型的完整性服务:_完整性、参照完整性和实体完整性。11.数据库都是通过开放一定的_,来完成与客户端的通信和数据传输。12.模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节的技术是_ 。13.SSL协议中,客户端通过对服务器端发来的_进行验证,以完成对服务器端的身份认证。14.两台配置了IPSec协议的Windows计算机进行IPSec初始连接时,通
16、过Wireshark嗅探的前面10 个数据包是_ 协议的数据包。15.支持多种不同类型的CA系统相互传递信任关系的是_信任模型。16.根据IDS检测入侵行为的方式和原理的不同,可以分为基于误用检测的IDS和基于_检测的IDS 。17.Webshell与被控制的服务器通过_ 端口传递交互的数据。18.隶属于中国信息安全测评中心的中国国家信息安全漏洞库,其英文缩写为_。19.由大量NOP空指令0x90填充组成的指令序列是_ 指令。20.软件安全开发技术,主要包括建立_模型、安全设计、安全编码和安全测试等几个方面。21.微软SDL模型的中文全称为软件_模型。22.通过分析软件代码中变量的取值变化和语
17、句的执行情况,来分析数据处理逻辑和程序的控制流关系,从而分析软件代码的潜在安全缺陷的技术是_分析技术。23.风险分析主要分为_风险分析和定性风险分析。24.信息安全技术通过采用包括建设安全的_系统和安全的网络系统,并配备适当的安全产品的方法来实现。25.信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立基于系统、全面和科学的安全_。26.为了管理的需要,一本方针手册还是必要的。手册一般包括如下内容: 信息安全_的阐述;控制目标与控制方式描述;程序或其引用。27.计算机信息系统安全保护等级划分准则主要的安全考核指标有身份认证、自主访问控制、数据_性
18、、审计。28.CC将评估过程划分为功能和_两部分。29.ISO 13335标准首次给出了关于IT安全的保密性、_、可用性、审计性、认证性、可靠性六个方面含义。30.信息系统安全保护等级划分准则中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统 _范围和业务自动化处理程度。三、综合题1.在一个基于公钥密码机制的安全应用系统中,假设用户Alice和1、在一个基于公钥密码机制的安全应用系统中,假设用户Alice和Bob 分别拥有自己的公钥和私钥。请回答下述问题。 (共10分)(1)在产生Alice和Bob的密钥时,如果采用RSA算法,选取的模数 n至少要有_【1】_位,如果采用椭圆曲线
19、密码,选取的参数p 的规模应大于_【2】_位。 (每空1分)(2)基于公钥证书的密钥分发方法是目前广泛流行的密钥分发机制,用户可将自己的公钥通过证书发给另一用户,接收方可用证书管理机构的_【3】_对证书加以验证。 (1分)(3)为了预防Alice抵赖,Bob要求Alice对其发送的消息进行签名。Alice将使用自己的_【4】_对消息签名;如果要求对消息保密传输,Alice将使用Bob 的_【5】_ 对消息加密。 (每空1分)(4)实际应用中为了缩短签名的长度、提高签名的速度,而且为了更安全,常对信息的_【6】_进行签名。 (1 分)(5)实际应用中,通常需要进行身份认证。基于口令的认证协议非常
20、简单,但是很不安全,两种改进的口令验证机制是:利用_【7】_加密口令和一次性口令。 (1分)(6)基于公钥密码也可以实现身份认证,假定Alice 和Bob已经知道对方的公钥, Alice为了认证Bob的身份:首先,Alice发送给Bob一个随机数 a,即 Alice Bob:a;然后,Bob产生一个随机数b,并将b及通过其私钥所产生的签名信息发送给Alice, 假设用SignB表示用Bob的私钥产生数字签名的算法,即 Bob Alice :b | SignB( a|b );最后,为了认证 Bob的身份,Alice得到随机数b和签名信息之后,只需要使用 Bob的_【8】_对签名信息进行解密,验证
21、解密的结果是否等于_【9 】_ 即可。(空 1分,空 2分)2、请补全下列有关Windows的安全实践: (每空1分,共5分)(1)Winlogon 调用 _【10】_DLL,并监视安全认证序列,所调用的DLL将提供一个交互式的界面为用户登陆提供认证请求。(2)为了防止网络黑客在网络上猜出用户的密码,可以在连续多次无效登录之后对用户账号实行_【 11】_策略。(3)在Windows系统中,任何涉及安全对象的活动都应该受到审核,审核报告将被写入安全日志中,可以使用“ _【12】_查看器“来查看。(4)为了增强对日志的保护,可以编辑注册表来改变日志的存储目录。点击“开始“ 运行“,在对话框中输入命
22、令“ _【13】_“,回车后将弹出注册表编辑器。(5)通过修改日志文件的访问权限,可以防止日志文件被清空,前提是Windows 系统要采用 _【14】_文件系统格式。3、下图为一个单位的网络拓扑图。根据防火墙不同网络接口连接的网络区域,将防火墙控制的区域分为内网、外网和DMZ三个网络区域。为了实现不同区域间计算机的安全访问,根据此单位的访问需求和防火墙的默认安全策略,为防火墙配置了下面三条访问控制规则。请根据访问控制规则表的要求,填写防火墙的访问控制规则(表1) 。其中,“访问控制“中Y代表允许访问,N代表禁止访问。 (每空1分,共10分) 表1 防火墙访问控制规则表访问规则 源区域 目的区域
23、 目的IP 协议名称 访问控制内网可访问Web 服务器 _【15】_ _【16 】 _ _【17 】 _ _【 18】_ Y外网可访问Mail服务器 _【19 】 _ _【 20】_ _【21 】 _ _【 22】_或 _【 23】_Y任意地址访问任意地址 任意 任意 任意 任意 _【 24】_ 4、 根据要求,请完成下列题目。 (每空1分,共5 分)(1)根据软件漏洞在破坏性、危害性和严重性方面造成的潜在威胁程度,以及漏洞被利用的可能性,可对各种软件漏洞进行分级,所分为的四个危险等级是:第一级: _【25】_ ;第二级: _【26】_ ;第三级: _【27】_ ;第四级: _【28】_ 。(2)为了对软件漏洞进行统一的命名和管理,多个机构和国家建立了漏洞数据库。其中,极少的漏洞库提供了检测、测试漏洞的样本验证代码。我们往往用漏洞样本验证代码的英文缩写 _【29】_ 来称呼漏洞样本验证代码。
