六套计算机三级信息安全模拟题

第四套

1) 计算机系统安全评估的第一个正式标准是 A)TCSEC

B)COMPUSEC C)CTCPEC

D) CC：ISO 15408 答案：A

2) IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。下列选项中，不包含在该四个焦点域中的是 A) 本地计算环境 B) 资产 C) 域边界

D) 支撑性基础设施 答案：B

3 ) 下列关于访问控制技术的说法中，错误的是 A) TACACS+使用传输控制协议（TCP），而RADIUS使用用户数据报协议（UDP） B) RADIUS从用户角度结合了认证和授权，而 TACACS+分离了这两个操作

C) TACACS使用固定的密码进行认证，而TACACS+允许用户使用动态密码，这样可以提供更强大的保护

D) RADIUS将加密客户端和服务器之间的所有数据，而TACACS+仅需要加密传送的密码 答案：D

4) 下列选项中，不能用于数字签名的算法是 A)RSA

B)Diffie-Hellman C)ElGamal D)ECC 答案：B

5) 如果密钥丢失或其它原因在密钥未过期之前，需要将它从正常运行使用的集合中除去，称为密钥的 A) 销毁 B) 撤销 C) 过期 D) 更新 答案：B

6) 下列关于消息认证的说法中，错误的是 A) 对称密码既可提供保密性又可提供认证 B) 公钥密码既可提供认证又可提供签名

C) 消息认证码是一种认证技术，它利用密钥来生成一个固定长度的数据块，并将该数据块附加在消息之后

D) 消息认证码既可提供认证又可提供保密性

答案：D 7)

防范计算机系统和资源被未授权访问，采取的第一道防线是 A) 访问控制 B) 授权 C) 审计 D) 加密 答案：A

8) 下列关于强制访问控制的说法中，错误的是

A) Bell-LaPadula模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露

B) Biba模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性 C) 强制访问控制通过分级的安全标签实现了信息的单向流通

D) Biba模型作为BLP模型的补充而提出，利用“不上读/不下写”的原则来保证数据的完整性 答案：D

9) 下列选项中，进行简单的用户名/密码认证，且用户只需要一个接受或拒绝即可进行访问（如在互联网服务提供商ISP中）的是 A)RADIUS B)TACACS C)Diameter D)RBAC

答案：A

10) 下列关于线程的说法中，正确的是

A) 线程是程序运行的一个实例，是运行着的程序

B) 线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位

C) 线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间、程序、数据等

D) 线程是在计算机上运行的一组指令及指令参数的集合，指令按照既定的逻辑控制计算机运行 答案：B

11) 下列关于保护环的说法中，错误的是 A) 3环中的主体不能直接访问1环中的客体，1环中的主体同样不能直接访问3环中的客体 B) 保护环对工作在环内的进程能够访问什么、能够执行什么命令提出了严格的界线和定义 C) 保护环在主体和客体之间提供了一个中间层，当一个主体试图访问一个客体时，可以用它来进行访问控制

D) 在内环中执行的进程往往处于内核模式，在外环中工作的进程则处于用户模式 答案：A

12) 在Unix系统中，改变文件拥有权的命令是

A)chmod B)chown C)chgrp D)who

答案：B

13) 在Unix系统中，查看最后一次登录文件的命令是 A)syslogd B)Lastcomm C)last D)lastlog 答案：D

14) 如果所有外键参考现有的主键，则说明一个数据库具有

A) 参照完整性 B) 语义完整性 C) 实体完整性 D) 关系完整性 答案：A

15) 深入数据库之内，对数据库内部的安全相关对象进行完整的扫描和检测，即

A) 端口扫描 B) 渗透测试 C) 内部安全检测 D) 服务发现 答案：C

16) 下列关于SQL注入的说法中，错误的是

A) 防火墙能对SQL注入漏洞进行有效防范 B) SQL注入攻击利用的是SQL语法

C) 未限制输入的字符数，未对输入数据做潜在指令的检查，都将增加SQL注入的风险 D) SQL注入攻击主要是通过构建特殊的输入，这些输入往往是SQL语法中的一些组合 答案：A

17) 下列数据包内容选项中，ESP协议在传输模式下不进行加密的是 A)源IP和目标IP B)源端口和目标端口 C)应用层协议数据 D)ESP报尾 答案：A

18) IPSec协议属于

A)第二层隧道协议

B)介于二、三层之间的隧道协议 C)第三层隧道协议 D)传输层的VPN协议 答案：C

19) 证书的验证需要对证书的三个信息进行确认。下列选项不包括在其中的是 A)验证有效性，即证书是否在证书的有效使用期之内 B)验证可用性，即证书是否已废除

C)验证真实性，即证书是否为可信任的CA认证中心签发 D)验证保密性，即证书是否由CA进行了数字签名 答案：D

20) 下列关于防火墙的描述中，错误的是 A)不能防范内网之间的恶意攻击 B)不能防范针对面向连接协议的攻击 C)不能防范病毒和内部驱动的木马

D)不能防备针对防火墙开放端口的攻击 答案：B

21) 主要在操作系统的内核层实现的木马隐藏技术是 A)线程插入技术 B)DLL动态劫持技术 C)端口反弹技术 D)Rootkit技术 答案：D

22) “震荡波”病毒进行扩散和传播所利用的漏洞是 A)操作系统服务程序漏洞 B)文件处理软件漏洞 C)浏览器软件漏洞 D)ActiveX控件漏洞 答案：A

23) 下列技术中，不能有效防范网络嗅探的是 A)VPN B)SSL C)TELNET D)SSH 答案：C 24)

下列选项中，不属于软件安全开发技术的是 A)

安全设计 B)

安全发布 C)

安全测试 D)

建立安全威胁模型 答案：B 25)

下列选项中，基于硬件介质的软件安全保护技术不包括 A)

专用接口卡 B)

加密狗 C)

数字证书 D)

加密光盘 答案：C

26) 下列关于栈（stack）的描述中，正确的是

A)栈是一个先进先出的数据结构，在内存中的增长方向是从低地址向高地址增长 B)栈是一个后进后出的数据结构，在内存中的增长方向是从高地址向低地址增长 C)栈是一个先进后出的数据结构，在内存中的增长方向是从低地址向高地址增长 D)栈是一个后进先出的数据结构，在内存中的增长方向是从高地址向低地址增长 答案：D

27) 下列选项中，不属于防火墙体系结构的是 A)双重宿主主机体系结构 B)屏蔽主机体系结构 C)屏蔽子网体系结构

D)屏蔽中间网络体系结构 答案：D

28) 下列功能中，综合漏洞扫描不包含的是 A)IP地址扫描 B)网络端口扫描 C)恶意程序扫描 D)漏洞扫描 答案：C

29) 整数溢出有三种原因。下列选项中，不属于整数溢出原因的是 A)符号问题 B)条件未判断 C)运算溢出 D)存储溢出 答案：B

30) 攻击者利用栈溢出发起攻击时，向存在漏洞的软件程序输入的数据，一般不包括 A)随机填充数据 B)NOP 填充字段 C)Heap

D)新的返回地址 答案：C

31) 为了保证整个组织机构的信息系统安全，下列措施中错误的是

A)应当增加系统的输入输出操作、减少信息的共享 B)必须保证系统开发过程的安全 C)必须保证所开发系统的安全

D)应当确保安全开发人员的安全保密意识 答案：A

32) 在制定一套好的安全管理策略时，制定者首先必须 A)与技术员进行有效沟通 B)与监管者进行有效沟通 C)与用户进行有效沟通 D)与决策层进行有效沟通 答案：D 33)

在风险管理中，应采取适当的步骤，以确保机构信息系统具备三个安全特性。下列选项不包括在其中的是 A)机密性 B)完整性 C)有效性 D)坚固性 答案：D

34) 重要安全管理过程不包括 A)系统获取、开发和维护

B)信息安全事件管理与应急响应 C)业务连续性管理与灾难恢复 D)安全资质评审 答案：D 35)

下列关于系统维护注意事项的描述中，错误的是 A)在系统维护过程中，要注意对维护过程进行记录 B)

维护人员接收到一个更改要求，必须纳入这个更改

C)保存所有源文件的最近版本是极其重要的，应建立备份和清理档案

D)一旦系统投入使用，维护人员就应及时修正收到的错误，并提供维护报告 答案：B

36) BS 7799是依据英国的工业、政府和商业共同需求而制定的一个标准，它分为两部分：第一部分为“信息安全管理事务准则”，第二部分为 A)信息安全管理系统的规范 B)信息安全管理系统的法律 C)信息安全管理系统的技术 D)信息安全管理系统的设备 答案：A 37) 《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级。下列选项中，不包括的是

A)访问验证保护级 B)系统审计保护级

C)安全标记保护级 D)协议保护级 答案：D

38) 《刑法》中有关信息安全犯罪的规定包括 A)1条 B)2条 C)3条 D)5条 答案：C

39) 《计算机信息系统安全保护等级划分准则》的安全考核对象，不包含 A)身份认证

B)数据信道传输速率 C)数据完整性 D)审计 答案：B

40) 电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照下列哪个机构的规定执行

A)国务院信息产业主管部门 B)公安部信息安全部门 C)国家安全局

D)所在辖区最高行政机关 答案：A

二、填空题

1)信息技术可能带来的一些负面影响包括 ___________、信息污染和信息犯罪。 第1空答案：信息泛滥

2)IATF提出了三个主要核心要素：人员、___________ 和操作。 第1空答案：技术

3)RSA密码建立在大整数因式分解的困难性之上，而ElGamal密码建立在离散 ___________的困难性之上。 第1空答案：对数 4)对称密钥体制，根据对明文的加密方式的不同而分为两类：分组密码和___________密码。 第1空答案：序列

5)产生认证码的函数类型，通常有三类：消息加密、消息认证码和___________ 函数。 第1空答案：哈希

6)基于矩阵的列的访问控制信息表示的是访问___________表，即每个客体附加一个它可以访问的主体的明细表。 第1空答案：控制

7)一个审计系统通常由三部分组成：日志记录器、 ___________ 、通告器，分别用于收集数据、分析数据及通报结果。 第1空答案：分析器

8)用户接口是为方便用户使用计算机资源所建立的用户和计算机之间的联系，主要有两类接口： ___________接口和程序级接口。

第1空答案：作业级

9)TCG可信计算系统结构可划分为三个层次，分别为可信平台模块、___________和可信平台应用软件。

第1空答案：可信软件栈

10)数据库软件执行三种类型的完整性服务：___________完整性、参照完整性和实体完整性。 第1空答案：语义

11)数据库都是通过开放一定的___________，来完成与客户端的通信和数据传输。 第1空答案：端口

12)模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节的技术是___________ 。 第1空答案：渗透测试

13)SSL协议中，客户端通过对服务器端发来的___________进行验证，以完成对服务器端的身份认证。

第1空答案：证书

14)两台配置了IPSec协议的Windows计算机进行IPSec初始连接时，通过Wireshark嗅探的前面10个数据包是___________ 协议的数据包。 第1空答案：ISAKMP

15)支持多种不同类型的CA系统相互传递信任关系的是___________信任模型。 第1空答案：桥CA

16)根据IDS检测入侵行为的方式和原理的不同，可以分为基于误用检测的IDS和基于___________检测的IDS 。 第1空答案：异常

17)Webshell与被控制的服务器通过___________端口传递交互的数据。 第1空答案：80 18)

隶属于中国信息安全测评中心的中国国家信息安全漏洞库，其英文缩写为___________。 第1空答案：CNNVD

19)由大量NOP空指令0x90填充组成的指令序列是___________指令。 第1空答案：滑板 20)

软件安全开发技术，主要包括建立___________模型、安全设计、安全编码和安全测试等几个方面。

第1空答案：安全威胁

21)微软SDL模型的中文全称为软件___________模型。 第1空答案：安全开发生命周期

22)通过分析软件代码中变量的取值变化和语句的执行情况，来分析数据处理逻辑和程序的控制流关系，从而分析软件代码的潜在安全缺陷的技术是___________分析技术。 第1空答案：数据流

23)风险分析主要分为___________风险分析和定性风险分析。 第1空答案：定量

24)信息安全技术通过采用包括建设安全的___________系统和安全的网络系统，并配备适当的安全产品的方法来实现。 第1空答案：主机

25)信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理

的范畴，体系的建立基于系统、全面和科学的安全___________。 第1空答案：风险评估

26)为了管理的需要，一本方针手册还是必要的。手册一般包括如下内容： ①信息安全________的阐述；②控制目标与控制方式描述；③程序或其引用。 第1空答案：方针

27)《计算机信息系统安全保护等级划分准则》主要的安全考核指标有身份认证、自主访问控制、数据___________性、审计。 第1空答案：完整

28)CC将评估过程划分为功能和___________两部分。 第1空答案：保证

29)ISO 13335标准首次给出了关于IT安全的保密性、___________、可用性、审计性、认证性、可靠性六个方面含义。 第1空答案：完整性

30)《信息系统安全保护等级划分准则》中提出了定级的四个要素：信息系统所属类型、业务数据类型、信息系统 ___________范围和业务自动化处理程度。 第1空答案：服务

三、综合应用题 1)

在一个基于公钥密码机制的安全应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请回答下述问题。（共10分）

（1）在产生Alice和Bob的密钥时，如果采用RSA算法，选取的模数n至少要有____【1】______位，如果采用椭圆曲线密码，选取的参数p的规模应大于_____【2】______位。（每空1分）

（2）基于公钥证书的密钥分发方法是目前广泛流行的密钥分发机制，用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的_____【3】______对证书加以验证。（1分）

（3）为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名。Alice将使用自己的_____【4】______对消息签名；如果要求对消息保密传输，Alice将使用Bob的____【5】_______对消息加密。（每空1分）

（4）实际应用中为了缩短签名的长度、提高签名的速度，而且为了更安全，常对信息的_____【6】______进行签名。（1分）

（5）实际应用中，通常需要进行身份认证。基于口令的认证协议非常简单，但是很不安全，两种改进的口令验证机制是：利用_____【7】______加密口令和一次性口令。（1分）

（6）基于公钥密码也可以实现身份认证，假定Alice和Bob已经知道对方的公钥，Alice为了认证Bob的身份：

首先，Alice发送给Bob一个随机数a，即 Alice → Bob：a；

然后，Bob产生一个随机数b，并将b及通过其私钥所产生的签名信息发送给Alice, 假设用SignB表示用Bob的私钥产生数字签名的算法，即 Bob → Alice ：b || SignB( a||b )； 最后，为了认证Bob的身份，Alice得到随机数b和签名信息之后，只需要使用Bob的_____【8】______对签名信息进行解密，验证解密的结果是否等于____【9】______即可。 （空 1分，空 2分） 第1空答案：1024 第2空答案：160

第3空答案：公钥 公开密钥 公共密钥 公有密钥 第4空答案：私钥 私有密钥 私人密钥

第5空答案：公钥 公开密钥 公共密钥 公有密钥 第6空答案：摘要

第7空答案：单向函数

第8空答案：公钥 公开密钥 公共密钥 公有密钥 第9空答案：a||b

2)请补全下列有关Windows的安全实践： （每空1分，共5分）

（1）Winlogon调用____【1】_______DLL，并监视安全认证序列，所调用的DLL将提供一个交互式的界面为用户登陆提供认证请求。

（2）为了防止网络黑客在网络上猜出用户的密码，可以在连续多次无效登录之后对用户账号实行___【2】___策略。

（3）在Windows系统中，任何涉及安全对象的活动都应该受到审核，审核报告将被写入安全日志中，可以使用“ ____【3】_______查看器”来查看。

（4）为了增强对日志的保护，可以编辑注册表来改变日志的存储目录。点击“开始”→“运行”，在对话框中输入命令“ ____【4】_______”，回车后将弹出注册表编辑器。

（5）通过修改日志文件的访问权限，可以防止日志文件被清空，前提是Windows系统要采用 ____【5】_______文件系统格式。 第1空答案：GINA

第2空答案：锁定 locked 第3空答案：事件 第4空答案：Regedit 第5空答案：NTFS

3)下图为一个单位的网络拓扑图。根据防火墙不同网络接口连接的网络区域，将防火墙控制的区域分为内网、外网和DMZ三个网络区域。为了实现不同区域间计算机的安全访问，根据此单位的访问需求和防火墙的默认安全策略，为防火墙配置了下面三条访问控制规则。请根据访问控制规则表的要求，填写防火墙的访问控制规则（表1）。其中，“访问控制”中Y代表允许访问，N代表禁止访问。（每空1分，共10分）

18) IKE协议属于混合型协议，由三个协议组成。下列协议中，不属于IKE协议的是

A)Oakley B)Kerberos C)SKEME D)ISAKMP 答案：B

19) Kerberos协议是分布式网络环境的一种

A) 认证协议 B) 加密协议

C) 完整性检验协议 D) 访问控制协议 答案：A 20)

下列组件中，典型的PKI系统不包括 A)CA B)RA C)CDS D)LDAP

答案：C 21)

下列协议中，状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是 A)TCP B)UDP C)ICMP D)FTP 答案：A

22) 下列协议中，不能被攻击者用来进行DoS攻击的是

A)TCP B)ICMP C)UDP D)IPSec 答案：D

23) 下列选项中，软件漏洞网络攻击框架性工具是

A)BitBlaze B)Nessus C)Metasploit D)Nmap 答案：C 24)

OWASP的十大安全威胁排名中，位列第一的是 A)

遭破坏的认证和会话管理 B) 跨站脚本 C) 注入攻击 D)

伪造跨站请求 答案：C 25)

下列选项中，用户认证的请求通过加密信道进行传输的是 A)

POST B)

HTTP C) GET D) HTTPS

答案：D 26)

提出软件安全开发生命周期SDL模型的公司是 A)

微软 B)

惠普 C) IBM D) 思科 答案：A

27)

下列选项中，不属于代码混淆技术的是 A)语法转换 B)控制流转换 C)数据转换 D)词法转换 答案：A

28) 下列选项中，不属于漏洞定义三要素的是

A)漏洞是计算机系统本身存在的缺陷 B)漏洞的存在和利用都有一定的环境要求 C)漏洞在计算机系统中不可避免

D)漏洞的存在本身是没有危害的，只有被攻击者恶意利用，才能带来威胁和损失 答案：C

29) 下列关于堆（heap）和栈（stack）在内存中增长方向的描述中，正确的是

A)堆由低地址向高地址增长，栈由低地址向高地址增长 B)堆由低地址向高地址增长，栈由高地址向低地址增长 C)堆由高地址向低地址增长，栈由高地址向低地址增长 D)堆由高地址向低地址增长，栈由低地址向高地址增长 答案：B

30) 下列选项中，不属于缓冲区溢出的是

A)栈溢出 B)整数溢出 C)堆溢出

D)单字节溢出 答案：B 31)

在信息安全事故响应中，必须采取的措施中不包括 A)建立清晰的优先次序 B)清晰地指派工作和责任 C)保护物理资产 D)对灾难进行归档 答案：C 32)

下列关于系统整个开发过程的描述中，错误的是

A)系统开发分为五个阶段，即规划、分析、设计、实现和运行 B)系统开发每个阶段都会有相应的期限 C)系统的生命周期是无限长的 D)

系统开发过程的每一个阶段都是一个循环过程 答案：C

33) 在信息安全管理中的控制策略实现后，接下来要采取的措施不包括

A)确定安全控制的有效性 B)估计残留风险的准确性 C)对控制效果进行监控和衡量 D)逐步消减安全控制方面的开支 答案：D 34)

下列关于信息安全管理体系认证的描述中，错误的是 A)

信息安全管理体系第三方认证，为组织机构的信息安全体系提供客观评价 B)每个组织都必须进行认证

C)认证可以树立组织机构的信息安全形象 D)满足某些行业开展服务的法律要求 答案：B 35)

下列选项中，不属于审核准备工作内容的是 A)编制审核计划 B)加强安全意识教育 C)收集并审核有关文件

D)准备审核工作文件——编写检查表 答案：B

36) 依据涉密信息系统分级保护管理规范和技术标准，涉密信息系统建设使用单位将保密级别分为三级。下列分级正确的是

A)秘密、机密和要密 B)机密、要密和绝密 C)秘密、机密和绝密 D)秘密、要密和绝密 答案：C

37) 下列关于可靠电子签名的描述中，正确的是

A)作为电子签名的加密密钥不可以更换

B)签署时电子签名制作数据可由交易双方控制

C)电子签名制作数据用于电子签名时，属于电子签名人专有 D)签署后对电子签名的任何改动不能够被发现 答案：C

38) 企业销售商用密码产品时，应向国家密码管理机构申请，其必需具备的条件是

A)要求注册资金超过100万 B)有上市的资格

C)有基础的销售服务制度 D)有独立的法人资格 答案：D

39) 基本安全要求中基本技术要求从五个方面提出。下列选项中，不包含在这五个方面的是

A)物理安全 B)路由安全 C)数据安全 D)网络安全 答案：B

40) 电子认证服务提供者由于违法行为被吊销电子认证许可证书后，其直接负责的主管人员和其他直接责任人员多长时间内不得从事电子认证服务

A) 7年 B) 10年 C) 17年 D) 20年 答案：B

二、填空题

1)计算机系统安全评估的第一个正式标准是 _________，它具有划时代的意义，为计算机安全评估奠定了基础。

第1空答案：可信计算机评估标准

2)信息安全的发展大致经历了三个主要阶段： _________阶段、计算机安全阶段和信息安全保障阶段。

第1空答案：通信保密

3)由于网络信息量十分巨大，仅依靠人工的方法难以应对网络海量信息的收集和处理，需要加强相关信息技术的研究，即网络____________技术。 第1空答案：舆情分析

4)消息摘要算法MD5可以对任意长度的明文，产生 ____________位的消息摘要。 第1空答案：128

5)验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息 ____________。

29)《计算机信息系统安全保护等级划分准则》将信息系统安全分为 ____________保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个等级。 第1空答案：自主

30)国家秘密的保密期限，除另有规定外，机密级不超过 ____________年。 第1空答案：20

三、综合应用题 1)

在一个基于公钥密码机制的安全应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请回答下述问题：（每空1分，共10分）

（1）在选择公钥密码RSA、ECC和ElGamal时，为了在相同安全性的基础上采用较短的密钥，应该选择其中的 ______【1】______，且应确保选取的参数规模大于 _____【2】_______位。

（2）为了获得两方安全通信时所需的密钥，应用系统采用了基于中心的密钥分发，利用可信第三方KDC来实施。图1所示的密钥分发模型是 _____【3】_______模型，图2所示的密钥分发模型是 _____【4】_______模型。在客户端与服务器进行安全通信时，在Kerberos实现认证管理的本地网络环境中，把获得密钥的任务交给大量的客户端，可以减轻服务器的负担，即采用 _____【5】_______模型；而在使用X9.17设计的广域网环境中，采用由服务器去获得密钥的方案会好一些，因为服务器一般和KDC放在一起，即采用 _____【6】_______模型。

（3）为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名。Alice将使用自己的 ___【7】_____对消息签名；而Bob可以使用Alice的 ____【8】________对签名进行验证。

（4）实际应用中为了缩短签名的长度、提高签名的速度，而且为了更安全，常对信息的 ____【9】____进行签名。

（5）实际应用中，通常需要进行身份认证。基于 ____【10】________的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术，它可以存储用户的密钥或数字证书，利用内置的密码算法实现对用户身份的认证。 第1空答案：ECC 第2空答案：160 第3空答案：推 第4空答案：拉 第5空答案：拉 第6空答案：推

第7空答案：私钥 私有密钥 私人密钥

第8空答案：公钥 公共密钥 公有密钥 公开密钥 第9空答案：摘要 第10空答案：USB Key

2）以root用户身份登录进入Linux系统后，请补全如下操作所需的命令：（每空1分，共5分）

（1）查看当前文件夹下的文件权限。 命令： $____【1】________

（2）给foo文件的分组以读权限。 命令： $_____【2】_______ g+r foo

（3）查看当前登录到系统中的用户。 命令： $_____【3】_______

（4）查看用户wang的近期活动。 命令： $_____【4】_______

（5）用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 命令： $_____【5】_______ 第1空答案：ls -l 第2空答案：chmod 第3空答案：who

第4空答案：last wang 第5空答案：users 3)

请完成下列有关SSL协议连接过程的题目。（每空1分，共10分）

SSL协议在连接过程中使用数字证书进行身份认证，SSL服务器在进行SSL连接之前，需要事先向CA申请数字证书，再进行SSL服务器和客户端之间的连接。 SSL协议的连接过程，即建立SSL服务器和客户端之间安全通信的过程，共分六个阶段，具体连接过程如下。

（1）SSL客户端发送ClientHello请求，将它所支持的加密算法列表和一个用作产生密钥的随机数发送给服务器。

（2）SSL服务器发送ServerHello消息，从算法列表中选择一种加密算法，将它发给客户端，同时发送Certificate消息，将SSL服务器的_____【1】_______发送给SSL客户端；SSL服务器同时还提供了一个用作产生密钥的随机数。

（3）服务器可请求客户端提供证书。这个步骤是可选择的。

（4）SSL客户端首先对SSL服务器的数字证书进行验证。数字证书的验证包括对下列三部分信息进行确认：

? 验证 ____【2】________性，通过比较当前时间与数字证书截止时间来实现； ? 验证 ____【3】_____性，查看数字证书是否已废除，即查看数字证书是否已经在 ___

【4】___中发布来判断是否已经废除；

? 验证 ____【5】____性，即数字证书是否被篡改，SSL客户端需要下载 _____【6】

_____的数字证书，利用其数字证书中的 ____【7】________验证SSL服务器数字证书中CA的 _____【8】____。

接着，客户端再产生一个pre_master_secret随机密码串，并使用SSL服务器数字证书中的___【9】____ 对其进行加密，并将加密后的信息发送给SSL服务器。

（5）SSL服务器利用自己的______【10】______解密pre_master_secret随机密码串，然后SSL客户端与SSL服务器端根据pre_master_secret以及客户端与服务器的随机数值，各

自独立计算出会话密钥和MAC密钥。

（6）最后客户端和服务器彼此之间交换各自的握手完成信息。

第1空答案：数字证书 证书 第2空答案：有效 第3空答案：可用

第4空答案：证书黑名单 CRL 第5空答案：真实

第6空答案：CA 认证中心 CA认证中心

第7空答案：公钥 公开密钥 公有密钥 公共密钥 第8空答案：数字签名 签名

第9空答案：公钥 公开密钥 公有密钥 公共密钥 第10空答案：私钥 私有密钥 私人密钥 4)

根据提示，补全下列有关Windows操作系统中软件漏洞利用的防范技术。（每空1分，共5分）

（1） ____【1】________技术是一项缓冲区溢出的检测防护技术，它的原理是在函数被调用时，在缓冲区和函数返回地址增加一个随机数，在函数返回时，检查此随机数的值是否有变化。

（2） _____【2】______技术是一项设置内存堆栈区的代码为不可执行的状态，从而防范溢出后代码执行的技术。

（3） _____【3】_______技术是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确地址的技术。

（4） _____【4】_______技术和 ____【5】________技术是微软公司保护SEH函数不被非法利用，防范针对SEH攻击的两种技术。 第1空答案：GS

第2空答案：数据执行保护

第3空答案：地址空间分布随机化 第4空答案：SafeSEH

第5空答案：结构化异常处理覆盖保护

第五套

1) 信息安全属性中，含义是“保证数据的一致性，防止数据被非法用户篡改”的是

A)机密性 B)完整性 C)不可否认性 D)可用性

答案：B

2) 下列关于信息安全的地位和作用的阐述中，错误的是

A)信息安全是网络时代国家生存和民族振兴的根本保障 B)信息安全是信息社会健康发展和信息革命成功的关键因素 C)信息安全是网络时代人类生存和文明发展的基本条件 D)信息安全无法影响人们的工作和生活 答案：D

3) 下列关于密码技术的说法中，错误的是

A)密码学包括密码编码学和密码分析学两门学科

B)对称密钥密码体制也称为单密钥密码体制或传统密码体制，基本特征是发送方和接收方共享相同的密钥，即加密密钥与解密密钥相同

C)密码体制的安全既依赖于对密钥的保密，又依赖于对算法的保密 D)对称加密不易实现数字签名，限制了它的应用范围 答案：C

4 ) 两个不同的消息具有相同的消息摘要的现象，称为

A)攻击 B)碰撞 C)散列 D)都不是 答案：B

5) 除去奇偶校验位，DES算法密钥的有效位数是 A)64 B)128 C)56 D)168

答案：C

6) 下列关于身份认证的描述中，错误的是

A)身份认证协议分为单向认证协议和双向认证协议

B)基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密，大大提高了安全性

C)生物特征识别技术是目前身份认证技术中最常见、最安全的技术 D)静态密码机制是一种不安全的身份认证方式 答案：C

7) 下列关于消息认证的说法中，错误的是

C)解决方案 D)数据和信息 答案：C

34) 下列关于信息资产评估的描述中，错误的是

A)在对机构的每一项资产归类时，应提出一些问题，来确定用于信息资产评估或者影响评估的权重标准

B)当提出和回答每个问题时，应该准备一个工作表，记录答案，用于以后的分析 C)在开始清单处理过程之前，机构应确定一些评估信息资产价值的最佳标准 D)应该给每项资产分配相同权重 答案：D

35) 下列关于体系审核的描述中，错误的是

A)体系审核应对体系范围内所有安全领域进行全面系统地审核 B)应由与被审核对象无直接责任的人员来实施 C)组织机构要对审核过程本身进行安全控制 D)对不符合项的纠正措施无须跟踪审查 答案：D

36) 下列选项中，没必要进行电子签名的文件是 A)商品的电子LOGO信息文件 B)交易双方的转账信息文件

C)涉及停止供水、供热、供气、供电等公用事业服务的信息文件 D)下载数据的验证信息文件 答案：C

37) 下列关于可靠电子签名的描述中，正确的是 A)签署时电子签名制作数据仅由电子签名人控制 B)签署时电子签名制作数据可由交易双方控制 C)作为电子签名的加密密钥不可以更换

D)签署后对电子签名的任何改动不能够被发现 答案：A 38)

下列选项中，不应被列为国家秘密的是 A)国防建设和武装力量活动中的秘密事项 B)企业的商用信息

C)科学技术中的秘密事项

D)国民经济和社会发展中的秘密事项 答案：B

39) 信息系统的安全保护等级分为 A)三级 B)四级 C)五级 D)六级 答案：C

40) 机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定 A)保密期限和保密领域

B)保密单位和保密领域 C)保密单位和保密期限 D)保密期限和知悉范围 答案：D

二、 填空题

1) 1949年，____________发表的《保密系统的通信理论》，是现代通信安全的代表作，是

信息安全发展的重要里程碑。

第1空答案：香农

2) IATF提出的信息保障的核心思想是____________战略。

第1空答案：纵深防御

3) 传统对称密码加密时所使用的两个技巧是：代换和 ____________。 第1空答案：置换

4)当用户身份被确认合法后，赋予该用户进行文件和数据等操作权限的过程称为 ____________。 第1空答案：授权 5)

自主访问控制模型的实现机制是通过 ____________实施的，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作。 第1空答案：访问控制矩阵 6)

恶意行为审计与监控，主要监测网络中针对服务器的恶意行为，包括恶意的攻击行为和 ____________行为。 第1空答案：入侵

7)恶意行为的监测方式主要分为两类：主机监测和 ____________监测。 第1空答案：网络

8)控制其它程序运行，管理系统资源并为用户提供操作界面的系统软件的集合是 ____________。 第1空答案：操作系统

9)进程与CPU通信是通过 ____________信号来完成的。 第1空答案：中断

10)在Unix/Linux系统中，服务是通过 ____________进程或启动脚本来启动。 第1空答案：inetd

11)信任根和 ____________是可信计算平台的最主要的关键技术之一。 第1空答案：信任链

12)在CREATE TABLE语句中使用 ____________子句，是定义默认值首选的方法。 第1空答案：DEFAULT

13)SSL协议包括两层协议：记录协议和 ____________协议。 第1空答案：握手

14)CA通过发布 ____________，公开发布已经废除的证书。 第1空答案：证书黑名单

15)入侵检测系统可以实现事中防护，是指入侵攻击发生时，入侵检测系统可以通过与 ____________联动从而实现动态防护。

第1空答案：防火墙

16)不同于包过滤防火墙技术，代理服务器在 ____________层对数据进行基于安全规则的过滤。

第1空答案：应用

17)ARP协议的主要作用是完成IP地址到 ____________地址之间的转换。 第1空答案：MAC 18)

根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程，是 ____________。

第1空答案：漏洞利用 exploit

19)攻击者窃取Web用户SessionID后，使用该SessionID登录进入Web目标账户的攻击方法，被称为 ____________。 第1空答案：会话劫持

20)通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，这种技术被称为 ____________分析技术。 第1空答案：污点传播

21)栈指针寄存器esp始终存放 ____________指针。 第1空答案：栈顶

22)攻击者通过精心构造超出数组范围的索引值，就能够对任意内存地址进行读写操作，这种漏洞被称为 ____________漏洞。 第1空答案：数组越界 23)

信息安全管理体系的主要内容，包括信息安全管理 ____________及其实施、信息安全管理体系审核与评审和信息安全管理体系的认证。 第1空答案：框架

24)信息安全工作人员在上岗前、在岗期间和离职时都要严格按照人员安全控制 ____________执行安全措施。 第1空答案：策略

25)信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于 ____________的范畴，体系的建立基于系统、全面和科学的安全风险评估。 第1空答案：风险管理 26)

信息安全风险评估的复杂程度，取决于受保护的资产对安全的敏感程度和所面临风险的 ____________程度。 第1空答案：复杂

27)CC评估等级每一级均需评估七个功能类，分别是配置管理、分发和操作、 ____________、指导文献、生命期的技术支持、测试和脆弱性评估。 第1空答案：开发过程

28)中国信息安全测评中心的英文简称是 ____________。 第1空答案：CNITSEC

29)《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级、系统审计保护级、 ____________保护级、结构化保护级和访问验证保护级五个等级。 第1空答案：安全标记 30)

关于国家秘密，机关、单位应当根据工作需要，确定具体的 ____________、解密时间，或者解密条件。

第1空答案：保密期限 三、

综合应用题

1)为了构建一个简单、安全的“客户机/服务器”模式的应用系统，要求：①能安全存储用户的口令（无须解密），且对网络传输中的口令进行保护；②使用第三方权威证书管理机构CA来对每个用户的公钥进行分配。（共10分）

假设要构建的应用系统只允许使用MD5、AES、RSA算法。请回答下述问题：

（1）为了安全存储用户的口令，服务器需要将每个用户的口令采用 _____【1】_______算法运算后存储。为了能通过用户名和口令实现身份认证，用户将采用相同的算法对口令运算后发送给服务器。（1分）

（2）SHA算法的消息摘要长度为 _____【2】_______位。（1分）

（3）用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的 _____【3】_______对证书加以验证。（2分）

（4）要实现消息认证，产生认证码的函数类型有三类：消息加密、消息认证码和 ______【4】______。（1分）

（5）为了确保RSA密码的安全，必须认真选择公钥参数(n,e)：模数n至少 _____【5】_______位；为了使加密速度快，根据“反复平方乘”算法，e的二进制表示中应当含有尽量少的 _____【6】_______。（每空1分）

（6）假设Alice的RSA公钥为(n=15,e=3)。Bob发送消息m=3给Alice，则Bob对消息加密后得到的密文是 ______【7】______。已知素数p=3，q=5，则Alice的私钥d= _____【8】_______。（第1空1分，第2空2分） 第1空答案：MD5 第2空答案：160

第3空答案：公钥 Public key 公开密钥 公有密钥 公共密钥 第4空答案：哈希函数 哈希 第5空答案：1024

第6空答案：1 第7空答案：12 第8空答案：3 2)

请回答有关数据库自主存取控制的有关问题。（每空1分，共5分）

（1）自主存取控制可以定义各个用户对不同数据对象的存取权限，向用户授予权限的SQL命令是___【1】_______，如果指定了 _____【2】_______子句，则获得某种权限的用户还可以把这种权限再授予其它的用户；向用户收回所授予权限的SQL命令是 _____【3】_______。

（2）对数据库模式的授权则由DBA在创建用户时实现，如果在CREATE USER命令中没有指定创建的新用户的权限，默认该用户拥有 _____【4】_______权限。

（3）可以为一组具有相同权限的用户创建一个 ____【5】________，用其来管理数据库权限可以简化授权的过程。 第1空答案：GRANT

第2空答案：WITH GRANT OPTION 第3空答案：REVOKE 第4空答案：CONNECT 第5空答案：角色 3)

在下图中，内网有两台计算机A和B，通过交换机连接到网关设备最后连入互联网，其中计算机A的IP地址为192.168.1.10，MAC地址为MACA；计算机B的IP地址为192.168.1.20，MAC地址为MACB；网关设备的IP地址为59.60.1.1，MAC地址为MACG。（每空1分，共10分）

图 网络拓扑图

其中，计算机B感染了ARP病毒，此ARP病毒向其它内网计算机发起伪装网关ARP欺骗攻击，它发送的ARP欺骗数据包中，IP地址为 _____【1】_______，MAC地址为 _____【2】_______。

为了防止ARP欺骗，需要在内网计算机和网关设备上进行IP地址与MAC地址的双向静态绑定。

首先，在内网中的计算机A设置防止伪装网关欺骗攻击的静态绑定：

arp _____【3】_______//清空ARP缓存表

arp _____【4】_______ _____【5】_______ ______【6】______//将IP地址与MAC地址静态绑定

然后，在网关设备中对计算机A设置IP地址与MAC地址的绑定：

arp ______【7】______//清空ARP缓存表

arp ______【8】______ ______【9】______ _____【10】_______//将IP地址与MAC地址静态绑定

第1空答案：59.60.1.1 第2空答案：MACB 第3空答案：-d 第4空答案：-s

第5空答案：59.60.1.1 第6空答案：MACG 第7空答案：-d 第8空答案：-s

第9空答案：192.168.1.10 第10空答案：MACA 4)

有些软件的漏洞存在于动态链接库中，这些动态链接库在内存中的栈帧地址是动态变化的，因而进行漏洞利用的Shellcode地址也是动态变化的。下图是以jmp esp指令做为跳板，针对动态变化Shellcode地址的漏洞利用技术原理图，左右两部分表明了缓冲区溢出前后内存中栈帧的变化情况。（每空1分，共5分）

图 漏洞利用技术原理图

请补全图中右半部分的相应内容，并填入下面【1】-【5】中。 【1】: ____________ 【2】: ____________ 【3】: ____________ 【4】: ____________ 【5】: ____________ 第1空答案：shellcode 第2空答案：返回地址 第3空答案：NOP 第4空答案：Esp 第5空答案：jmp esp

第三套

1) 《可信计算机评估准则》（TCSEC，也称为橘皮书）将计算机系统的安全划分为

A)三个等级五个级别 B)三个等级六个级别 C)四个等级六个级别 D)四个等级七个级别 答案：D

2) IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。下列选项中，不包含在其中的是

A)本地计算环境 B)技术 C)区域边界

D)支撑性基础设施 答案：B

3) 下列关于分组密码工作模式的说法中，错误的是

A)ECB模式是分组密码的基本工作模式

B)CBC模式的初始向量需要保密，它必须以密文形式与消息一起传送

C)与ECB模式一样，CBC模式也要求数据的长度是密码分组长度的整数倍

D)OFB模式将一个分组密码转换为一个序列密码，具有普通序列密码的优缺点 答案：B

4) 下列关于非对称密码的说法中，错误的是

A)基于难解问题设计密码是非对称密码设计的主要思想

B)公开密钥密码易于实现数字签名

C)公开密钥密码的优点在于从根本上克服了对称密码密钥分配上的困难 D)公开密钥密码安全性高，与对称密码相比，更加适合于数据加密 答案：D

5) 下列关于MD5和SHA的说法中，错误的是

A)SHA所产生的摘要比MD5长32位 B)SHA比MD5更安全

C)SHA算法要比MD5算法更快

D)两种方法都很简单，在实现上不需要很复杂的程序或是大量的存储空间 答案：C

6) 下列方法中，不能用于身份认证的是

A)静态密码 B)动态口令 C)USB KEY认证 D)AC证书 答案：D 7)

下列关于自主访问控制的说法中，错误的是

A)任何访问控制策略最终均可以被模型化为访问矩阵形式

B)访问矩阵中的每列表示一个主体，每一行则表示一个受保护的客体

C)系统中访问控制矩阵本身通常不被完整地存储起来，因为矩阵中的许多元素常常为空 D)

自主访问控制模型的实现机制就是通过访问控制矩阵实施，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作 答案：B

8) 下列选项中，不属于强制访问控制模型的是

A)BLP B)Biba

C)Chinese Wall D)RBAC 答案：D 9)

下列关于非集中式访问控制的说法中，错误的是 A)

Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录

B)Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证 C)

分布式的异构网络环境中，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程 D)在许多应用中，Kerberos协议需要结合单点登录技术以减少用户在不同服务器中的认证过程

答案：D

10) 下列关于进程管理的说法中，错误的是

A)进程是程序运行的一个实例，是运行着的程序

B)线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位

C)线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间、程序、数据等

D)程序是在计算机上运行的一组指令及指令参数的集合，指令按照既定的逻辑控制计算机运行 答案：C

11) Unix系统最重要的网络服务进程是

A)inetd B)inet C)netd D)sysnet

答案：A 12)

下列选项中，不属于Windows系统进程管理工具的是 A)任务管理器 B)

本地安全策略 C)Msinfo32 D)DOS命令行 答案：B

13) 下列关于GRANT语句的说法中，错误的是

A)发出该GRANT语句的只能是DBA或者数据库对象创建者，不能是其它任何用户 B)接受权限的用户可以是一个或多个具体用户，也可以是PUBLIC，即全体用户

C)如果指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其它的用户

D)如果没有指定WITH GRANT OPTION子句，则获得某种权限的用户只能使用该权限，不能

传播该权限 答案：A

14) 下列选项中，不属于数据库软件执行的完整性服务的是

A)语义完整性 B)参照完整性 C)实体完整性 D)关系完整性 答案：D 15)

模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱环节的技术是 A)端口扫描 B)渗透测试 C)SQL注入 D)服务发现 答案：B

16) 下列选项中，不属于分布式访问控制方法的是

A)SSO

B)Kerberos C)SESAME D)RADIUS

答案：D

17) 下列关于IPSec的描述中，正确的是 A)IPSec支持IPv4和IPv6协议

B)IPSec支持IPv4协议，不支持IPv6协议 C)IPSec不支持IPv4协议，支持IPv6协议 D)IPSec不支持IPv4和IPv6协议 答案：A

18) 下列关于SSL协议的描述中，正确的是

A)为链路层提供了加密、身份认证和完整性验证的保护 B)为网络层提供了加密、身份认证和完整性验证的保护 C)为传输层提供了加密、身份认证和完整性验证的保护 D)为应用层提供了加密、身份认证和完整性验证的保护 答案：D

19 下列选项中，不属于PKI信任模型的是 A)网状信任模型 B)链状信任模型 C)层次信任模型

本文来源：https://www.bwwdw.com/article/zocf.html