查閱技巧:.在考試系統上復制題干時,不要全文復制,避免查找時找不到。.標紅就是答案。信息安全技術第一章概述

第二章基礎技術ー、判斷題.加密技術和數字簽名技術是實現所有安全服務的重要基礎。（對）.對稱密碼體制的特征是:加密密鑰和解密密鑰完全相同,或者ー個密鑰很容易從另ー個密鑰中導出。（對）.對稱密鑰體制的對稱中心服務結構解決了體制中未知實體通信困難的問題。（錯）4,公鑰密碼體制算法用ー個密鑰進行加密,!而用另ー個不同但是有關的密鑰進行解密。（對）.公鑰密碼體制有兩種基本的模型:ー種是加密模型，另ー種是解密模型（錯）.Rabin體制是基于大整數因子分解問題的,是公鑰系統最具典型意義的方法。（錯）.對稱密碼體制較之于公鑰密碼體制具有密鑰分發役有安全信道的

限制,可實現數字簽名和認證的優點。（錯）.國密算法包括SM2,SM3和SM4.（對）.信息的防篡改、防刪除、防插入的特性稱為數據完整性保護。（對）.Hash函數的輸人可以是任意大小的消息,其輸出是ー個長度隨輸入變化的消息摘要。（錯）.數字簽名要求簽名只能由簽名者自己產生。（對）12、自主訪問控制（DAC）是基于對客體安全級別與主體安全級別的比較來進行訪問控制的。（錯）13.基于角色的訪問控制（RBAC）是基于主體在系統中承擔的角色進行訪問控制,而不是基于主體的身份。（對）二、多選題.公鑰密碼體制與以前方法的區別在于（）。A.基于數學函數而不是替代和置換B、基于替代和置換C.是非對稱的,有兩個不同密鑰D.是對稱的,使用ー個密鑰.公鑰密碼的優勢體現在（）方面。A.密鑰交換B.未知實體間通信C.保密服務D.認證服務.以下屬于非對稱算法的是（）。A.RSAB.DSAC.AESD.ECC

.密鑰生命周期過程包括()A.密鑰生成B.密鑰分發;C,密鑰存儲D.密鑰使用與更新汽’tE.密鑰銷毀.下列關于密碼模塊的描述正確的是()。A.是硬件、軟件、固件或其組合B.實現了經過驗證的安全功能C,包括密碼算法和密鑰生成等過程D,在一定的密碼系統邊界之外實現6.訪問控制的基本要素包括()。A.主體B,客體C.訪問權限D.認證證第三章物理與硬件安全ー、判斷題.信息網絡的物理安全要從環境安全和設備安全兩個角度來考慮。（對）.計算機場地可以選擇在公共區域人流量比較大的地方。（錯）.計算機場地可以選擇在化工廠生產車間附近。（錯）.計算機場地在正常情況下溫度保持在18-28攝氏度。（對）.機房供電線路和動カ、照明用電可以用同一線路。（錯）.只要手干凈就可以直接觸摸或者插拔電路組件,不必釆取進ー步的措施。（錯）.備用電路板或者元器件、圖紙文件必須存放在防靜電屏蔽袋內,使用時要遠離靜電敏感器件。（對）.屏蔽室是ー個導電的金屬材料制成的大型六面體,能夠抑制和阻擋電磁波在空氣中傳播。（對）.屏蔽室的拼接、焊接エ藝對電磁防護沒有影響。（錯）.由于傳輸的內容不同,電カ線可以與網絡線同槽鋪設。（錯）.接地線在穿越墻壁?樓板和地坪時應套鋼管或其他非金屬的保護套管,鋼管應與接地線做電氣連通。（對）.新添設備時應該先給設備或者部件做上明顯標記,最好是明顯的無法除去的標記,以防更換和方便查找贓物。（對）.TEMPEST技術,是指在設計和生產計算機設備時,就對可能產生電磁輻射的元器件、集成電路、連接線、顯示器等釆取防輻射措施,

從而達到減少計算機信息泄漏的最終目的。（對）.機房內的環境對粉塵含量沒有要求。（錯）.防電磁輻射的干擾技術,是指把干擾器發射出來的電磁波和計算機輻射出來的電磁波混合在ー起,以掩蓋原泄漏信息的內容和特征等,使竊密者即使截獲這一混合信號也無法提取其中的信息。（對）16.有很好使用價值或很高機密程度的重要數據應采用加密等方法進行保護。（對）.紙介質資料廢棄應用碎紙機粉碎或焚毀。（對）.側信道技術認為密碼算法的執行過程是不安全的。（對）.簡單能量分析是通過使用統計方法對能量消耗進行統計分析從而獲取密鑰值的。（錯）.電磁泄漏攻擊可以獲得敲擊鍵盤的信息、顯示屏上顯示的消息,，，以及其他形式的關（對）.學術界和工業界已經提出了能夠抵抗所有側信道攻擊方法的防御技術。（錯）.固件是ー種密碼模塊的可執行代碼,在執行期間能動態地寫或修改。（錯）.槽洞攻擊主要是針對硬件固件發起的。（錯）二、單選題1.以下不符合防靜電要求的是（）。A.穿合適的防靜電衣服和防靜電鞋

B.在機房內直接更衣梳理C.用表面光滑平整的辦公家具D.經常用濕拖布拖地2.對電磁兼容性(EMC)標準的描述正確的是()。A.同一個國家是恒定不變的B.不是強制的C.各個國家不相同D,以上均錯誤.物理安全的管理應做到()。A.所有相關人員都必須進行相應的培訓,明確個人工作職責B.制定嚴格的值班和考勤制度,安排人員定期檢查各種設備的運行情況C.在重要場所的進出口安裝監視器,并對進出情況進行錄像D,以上均正確.硬件安全技術，是指用硬件的手段保障計算機系統或網絡系統中的信息安全的各種技術。以下屬于硬件安全技術的有()。A.側信道技術B,硬件固件安全技術C.無線傳感器網絡安全技術

D,以上均屬于.以下屬于錯誤注入分析的是()。A.監視密碼模塊能量消耗的變化以發現指令的能量消耗模式B.密碼模塊的執行時間與密碼算法的特殊數學操作之間的關系C.對微波、電壓等的控制引發密碼模塊內部運行錯誤,進而進行錯誤、模式分析D.對正在運行的密碼模塊和輔助設備發出的電磁信號進行遠程或外部探測和接收三、多選題1.場地安全要考慮的因素有()。A.場地選址B.場地防火C.場地防水、防潮D.場地溫度控制E.場地電源供應2.火災自動報警、自動滅火系統部署應注意()。A,避開可能招致電磁干擾的區域或設備B.具有不間斷的專用消防電源

C,留備用電源D.具有自動和手動兩種觸發裝置.為了減小雷電損失,可以采取的措施有（）。A.機房內應設等電位連接網絡B.部署UPSC.設置安全防護地與屏蔽地D.根據雷擊在不同區域的電磁脈沖強度劃分,不同的區域界面進行等電位連接E.信號處理電路.會導致電磁泄漏的有（）。A.顯示器B.開關電路及接地系統C.計算機系統的電源線D,機房內的電話線E.信號處理電路.磁介質的報廢處理,應采用（）.A.直接丟棄B,砸碎丟棄C.反復多次擦寫

D.專用強磁工具清除.靜電的危害有().A.導致磁盤讀寫錯誤,損壞磁頭,引起計算機誤動作.造成電路擊穿或者毀壞C.電擊,影響工作人員身心健康D,吸附灰塵.防止設備電磁輻射可以采用的措施有()。A.屏蔽.濾波C.盡量采用低輻射材料和設備D.內置電磁輻射干擾器8.分析密碼模塊兩處/多處能量消耗的變化,使用統計方法對能量消耗進行分析,從而獲取密鑰值的能量分析方法是()。A.簡單能量分析B.差分能量分析C,ー階DPAD,二階/高階DPA9.當前無線傳感器網絡主要面臨以下()攻擊技術。

A.路由欺騙攻擊B.預置后門C.槽洞攻擊D,蟲洞攻擊第四章網絡安全ー、判斷題.網絡攻擊基本可抽象劃分為信息泄漏攻擊、完整性破壞攻擊、拒絕服務攻擊和非法吏用攻擊四大類型。對.網絡攻擊實施過程中涉及的主要元素有攻擊者、安全漏洞、攻擊エ具、攻擊訪問、攻擊效果和攻擊意圖。對.組成自適應代理網關防火墻的基本要素有兩個,即自適應代理服務器(AdaptiveProxyServer)與動態包過濾器(DynamicPacketFiIter).對.軟件防火墻就是個人防火墻。錯.防火墻提供的透明工作模式,是指防火墻工作在數據鏈路層,類似于ー個網橋。因此,不需要用戶對網絡的拓撲作出任何調整就可以把防火墻接人網絡。對.對于防火墻的管理可直接通過Telnet進行。錯.防火墻規則集的內容決定了防火墻的真正功能。對

.防火墻必須要提供VPN、NAT等功能。錯.防火墻對用戶只能通過用戶名和口令進行認證。錯.即使在企業環境中,個人防火墻作為企業縱深防御的一部分也是十分必要的。對.只要使用了防火墻,企業的網絡安全就有了絕對的保障。錯.防火墻規則集應該盡可能簡單,規則集越簡單,錯誤配置的可能性就越小,系統就越安全。對.可以將外部網絡可訪問的服務器放置在內部保護網絡中。錯.在一個有多個防火墻存在的環境中,每個連接兩個防火墻的計算機或網絡都是DMZ.對.人侵檢測技術是用于檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的ー種網絡安全技術。對.主動響應和被動響應是相互對立的,不能同時采用。錯.異常入侵檢測的前提條件是人侵性活動集作為異常活動集的子集,而理想狀況是異常活動集與入侵性活動集相等。對.針對入侵者采取措施是主動響應中最好的響應措施。錯.在早期的人侵檢測系統中,大多數人侵響應都屬于被動響應。錯.性能“瓶頸”是當前人侵防御系統面臨的ー個挑戰。對.漏報率,是指系統把正常行為作為入侵攻擊而進行報警的概率。錯.與人侵檢測系統不同，人侵防御系統采用在線（inline）方式運行。對.蜜罐技術是ー種被動響應措施。錯

.企業應考慮綜合使用基于網絡的人侵檢測系統和基于主機的人侵檢測系統來保護企業網絡。在進行分階段部署時,首先部署基于網絡的入侵檢測系統,因為它通常最容易安裝和維護,接下來部署基于主機的人侵檢測系統來保護至關重要的服務器。對.人侵檢測系統可以彌補企業安全防御系統中的安全缺陷和漏洞。錯.使用誤用檢測技術的人侵檢測系統很難檢測到新的攻擊行為和原有攻擊行為的變種.對.在早期使用集線器(Hub)作為連接設備的網絡中使用的基于網絡的入侵檢測系統,在交換網絡中不做任何改變,ー樣可以用來監聽整個子網。錯.可以通過技術手段,一次性彌補所有的安全漏洞。錯.漏洞只可能存在于操作系統中，數據庫等其他軟件系統不會存在漏洞。錯.防火墻中不可能存在漏洞。錯.基于主機的漏洞掃描不需要有主機的管理員權限。錯.半連接掃描也需要完成TCP的三次握手過程。錯.使用漏洞庫匹配的方法進行掃描,可以發現所有的漏洞。錯.所有的漏洞都是可以通過打補丁來彌補的。錯.通過網絡掃描,可以判斷目標主機的操作系統類型。對.隔離網閘采用的是物理隔離技術。對.“安全通道隔離”是ー種邏輯隔離。錯

.隔離網閘兩端的網絡之間不存在物理連接。對.拒絕服務攻擊的目的是利用各種攻擊技術使服務器或者主機等拒絕為合法用戶提供服務。對.來自網絡的拒絕服務攻擊主要為停止服務,停止是目前最流行的拒絕服務攻擊方式.錯.SYN洪泛攻擊試圖通過向服務器發送大量的數據包來破壞這種機制。對.分布式反射拒絕服務攻擊向目標發送虛假的應用協議數據,如HTTP請求、帶有簽名數據的XML消息等,從而消耗目標應用的計算資源,進而阻止它們處理合法用戶的請求。錯.Botnet的顯著特征是大量主機在用戶不知情的情況下,被植入了控制程序,并且有一個地位特殊的主機或者服務器能夠通過信道來控制其他的主機，這些被控制的主機就像僵尸一樣聽從主控者的命令。對.除了被用于組織DDoS攻擊,Botnet還可以被用來傳播垃圾郵件、竊取用戶數據、監聽網絡和擴散惡意病毒等。對.拒絕服務攻擊根本就沒有建立起TCP連接,數據包中也沒有任何有用的內容。錯.TCPSYNCookie.TCP狀態檢測等方法已完全解決拒絕服務攻擊。錯.靜態過濾和動態過濾是防御拒絕服務攻擊最直接的方式。對

二、單選題.以下不屬于網絡攻擊工具的是()。A.使用網絡命令B,利用腳本或程序C.好奇D.利用電磁信號.包過濾防火墻工作在OSI網絡參考模型的().A.物理層B.數據鏈路層C.網絡層D.應用層3.防火墻提供的接入模式不包括()。A.網關模式B.透明模式C.混合模式D,旁路接人模式.關于包過濾防火墻說法錯誤的是()。A.包過濾防火墻通常根據數據包源地址、目的地址、端口號和協議類型等標志設置訪問控制列表實施對數據包的過濾

B,包過濾防火墻不檢查OSI網絡參考模型中網絡層以上的數據,因此,可以很快地執行C.包過濾防火墻可以有效防止利用應用程序漏洞進行的攻擊D,由于要求邏輯的一致性、封堵端口的有效性和規則集的正確性,給過濾規則的制定和配置帶來了復雜性,一般操作人員難以勝任管理,容易出現錯誤.關于應用代理網關防火墻說法正確的是()。A,基于軟件的應用代理網關工作在OSI網絡參考模型的網絡層上，它采用應用協議代理服務的工作方式實施安全策略B,ー種服務需要一種代理模塊,擴展服務較難C.和包過濾防火墻相比，應用代理網關防火墻的處理速度更快D,不支持對用戶身份進行高級認證機制。一般只能依據包頭信息,因此,很容易受到“地址欺騙型”攻擊.下面關于防火墻安全策略說法正確的是()。A.在創建防火墻安全策略以前，不需要對企業那些必不可少的應用軟件執行風險分析B.防火墻安全策略一旦設定,就不能再作任何改變C.防火墻處理入站通信的缺省策略應該是阻止所有的數據包和連接，除了被指出的允許通過的通信類型和連接D.防火墻規則集與防火墻平臺體系結構無關

.下面關于DMZ區的說法錯誤的是()。A.通常DMZ包含允許來自互聯網的通信可進入的設備,如Web服務器、FTP服務器SMTP服務器和DNS服務器等.內部網絡可以無限制地訪問外部網絡以及DMZC.DMZ可以訪問內部網絡D.有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作,而內部防火墻采用透明模式工作以減少內部網絡結構的復雜程度.在PDRR模型中,()是靜態防護轉化為動態的關鍵,是動態響應的依據。A,防護B.檢測C.響應D.恢復.從系統結構上來看，人侵檢測系統可以不包括()。A.信息源B,分析引擎C.審計D.響應

.通用人侵檢測框架(CIDF)模型中,()的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。A.事件產生器B.事件分析器C.事件數據庫D.響應單元11.基于網絡的人侵檢測系統的信息源是()。A,系統的審計日志B.系統的行為數據C.應用程序的事務日志文件D,網絡中的數據包12.誤用人侵檢測技術的核心問題是()的建立以及后期的維護和更新。A.異常模型B.規則集處理引擎C.網絡攻擊特征庫D.審計日志.()是在蜜罐技術上逐步發展起來的ー個新的概念,在其中可以部署ー個或者多個蜜罐來構成一個黑客誘捕網絡體系架構。

A.蜜網B.鳥餌C.鳥巢D,玻璃魚缸.下面關于響應的說法正確的是()。A.主動響應和被動響應是相互對立的,不能同時采用B,被動響應是入侵檢測系統中的唯一響應方式C.人侵檢測系統提供的警報方式只能是顯示在屏幕上的警告信息或窗口D.主動響應的方式可以是自動發送郵件給入侵發起方的系統管理員請求協助以識別問題和處理問題.下面說法錯誤的是()。A,基于主機的入侵檢測系統可以監視ー個主機上發生的全部事件,因此,能夠檢測基于網絡的入侵檢測系統不能檢測的攻擊B,基于主機的入侵檢測系統可以運行在交換網絡中C.基于主機的入侵檢測系統可以檢測針對網絡中所有主機的網絡掃描D.基于應用的入侵檢測系統比起基于主機的入侵檢測系統更容易受到攻擊,因為應用程序日志并不像操作系統審計追蹤日志那樣能夠被很好地保護

.使用漏洞庫匹配的掃描方法,()能發現。A,未知的漏洞B,已知的漏洞C,自行設計的軟件中的漏洞D,所有漏洞.下面不可能存在于基于網絡的漏洞掃描器中的是()。A.漏洞數據庫模塊B.掃描引擎模塊C.當前活動的掃描知識庫模塊D.阻斷規則設置模塊18.網絡隔離技術,根據公認的說法,迄今已經發展了()個階段。A.六B.五C,四D.三.下面關于隔離網閘的說法正確的是()。A.能夠發現已知的數據庫漏洞B.可以通過協議代理的方法,穿透網閘的安全控制

c.任何時刻,網閘兩端的網絡之間不存在物理連接D,在OSI模型的二層以上發揮作用.關于網閘的工作原理,下面說法錯誤的是0.A.切斷網絡之間的通用協議連接B.將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等C,網閘工作在OSI模型的二層以上D.任何時刻，網閘兩端的網絡之間不存在物理連接.關于拒絕服務攻擊中的資源消耗描述錯誤的是()。A.占用目標主機的資源,特別是通信鏈路的帶寬B.利用了TCP的特點C.拒絕服務攻擊中的90%是SYN洪泛攻擊D,數據包洪泛攻擊是ー種常見的拒絕服務攻擊方式22.關于Botnet描述正確的是().A.Botnet常常被認為是ー種后門工具或者蠕蟲B.拒絕服務攻擊與Botnet網絡結合后，具有很強的攻擊能力C.Botnet泛濫的ー個直接結果就是它可以被用來發起超大規模的DDoS攻擊D.以上都對

23.不屬于拒絕服務攻擊的防御策略的是()。A.TCPSYNCookieB,目標隱藏和保護C.網絡防御D,過濾三、多選題.按照網絡攻擊方法可將網絡攻擊分為()。A,竊取攻擊B,操作攻擊C,欺騙攻擊D,重定向攻擊.防火墻通常阻止的數據包包括()。A.來自未授權的源地址且目的地址為防火墻地址的所有人站數據包(除Email傳遞等特殊用處的端口外)B.源地址是內部網絡地址的所有人站數據包C.所有ICMP類型的人入站數據包D.來自未授權的源地址,包含SNMP的所有人站數據包E,包含源路由的所有人站和出站數據包

.目前市場上主流防火墻提供的功能包括()。A.數據包狀態檢測過濾B.應用代理NATVPNE.日志分析和流量統計分析4.防火墻的局限性包括()。A,不能防御繞過了它的攻擊B.不能消除來自內部的威脅C.不能對用戶進行強身份鑒別D,不能阻止病毒感染過的程序和文件進出網絡.防火墻的性能的評價方面包括()。A.并發會話連接數B.吞吐量C,延遲D.平均無故障時間.下面關于防火墻的維護和策略制定說法正確的是()。A.所有防火墻管理功能應該發生在使用了強認證和加密的安全鏈路

B.Web的圖形界面可以通過SSL加密用戶名和密碼。非Web的圖形界面如果既沒有內部加密,也沒有SSL,可以使用隧道解決方案,如SSHC.對防火墻策略進行驗證的最簡單的方法,是獲得防火墻配置的拷貝,然后把這些拷貝和根據已定義的策略產生的期望配置進行比較D.對防火墻策略進行驗證的另ー種方式是通過使用軟件對防火墻配置進行實際測試E.滲透分析可以取代傳統的審計程序.蜜罐技術的主要優點有()。A.屬于被動響應,使用者沒有成為刑事訴訟或民事訴訟對象的危險B,由于收集數據的真實性和蜜罐不提供任何實際的業務服務,所以收集到的信息很大可能性都是由于黑客攻擊造成的,漏報率和誤報率都比較低C.可以收集新的攻擊工具和攻擊方法，不像目前大部分防火墻和人侵檢測系統只能根據特征匹配方法來檢測已知的攻擊D.不需要強大的資金投入,可以用ー些低成本的設備E.可以及時地阻斷網絡人侵行為.通用入侵檢測框架(CIDF)模型的組件包括()。A.事件產生器.活動輪廓C,事件分析器D.事件數據庫

E.響應單元.主動響應,是指基于ー個檢測到的入侵所采取的措施。對于主動響應來說,其選擇的措施可以歸人的類別有（）。A.針對入侵者采取措施B.修正系統C.收集更詳細的信息D.人侵追蹤10.隨著交換機的大量使用,基于網絡的人侵檢測系統面臨著無法接收數據的問題。由于交換機不支持共享媒質的模式,傳統的采用ー個嗅探器（sniffer）來監聽整個子網的辦法不再可行。可選擇解決的辦法有（）。A.不需要修改，交換網絡和以前共享媒質模式的網絡沒有任何區別B.使用交換機的核心芯片上的ー個調試的端口C,把入侵檢測系統放在交換機內部或防火墻等數據流的關鍵人口、出口處D.采用分接器（tap）E.使用以透明網橋模式接人的人侵檢測系統1L人侵防御技術面臨的挑戰主要包括（）。A,不能對人侵活動和攻擊性網絡通信進行攔截

B.單點故障C.性能“瓶頸”D.誤報和漏報.網絡安全掃描能夠()。A.發現目標主機或網絡B,判斷操作系統類型C.確認開放的端口D.識別網絡的拓撲結構E.測試系統是否存在安全漏洞.基于主機的漏洞掃描器可能具備的功能有()。A.重要資料鎖定:利用安全的校驗和機制來監控重要的主機資料或程序的完整性B.弱ロ令檢查:采用結合系統信息,字典和詞匯組合等的規則來檢查弱口令C,系統日志和文本文件分析:針對系統日志檔案,如UNIX的syslogs及NT的事件日志(EventLog),以及其他文本文件的內容做分析D.動態告警:當遇到違反掃描策略或發現已知安全漏洞時,提供及時的告警。告警可以采取多種方式,可以是聲音、彈出窗ロ、電子郵件甚至手機短信等E.分析報告:產生分析報告,并告訴管理員如何彌補漏洞

.下面軟件產品中,()是漏洞掃描器。X-ScanNmapC.InternetScannerNortonAntiVirusSnort15,隔離網閘的三個組成部分是().A.漏洞掃描單元B.入侵檢測單元C.內網處理單元D.外網處理單元E.專用隔離硬件交換單元.網閘可能應用在()。A.涉密網與非涉密網之間B,辦公網與業務網之間C.電子政務的內網與專網之間D.業務網與互聯網之間E.局域網與互聯網之間

.下面不是網絡端口掃描技術的是()。A,全連接掃描B,半連接掃描C,插件掃描D.特征匹配掃描E.源碼掃描.以下關于拒絕服務攻擊描述正確的是()。A.短時間內造成被攻擊主機或網絡的擁塞B.使合法用戶的正常請求無法到達服務網絡中的關鍵服務器C.網絡服務器缺乏有效防御措施來抵制攻擊D.服務器受到攻擊后,只能切斷網絡連接重新啟動,等待攻擊結束.拒絕服務攻擊的目的是利用各種攻擊技術使服務器或者主機等拒絕為合法用戶提供服務。來自網絡的拒絕服務攻擊可以分為().A.停止服務B.關閉網絡C.消耗資源D.開放端口.停止服務最普遍的方法是發送惡意的數據包。攻擊者建立數據包的方法包括()。

A.使用ー些異常的或非法的數據包碎片B.發送ー些大容量的數據包C.用無法預料的端口號發送假數據包D,向主機的開放端口發送ー些垃圾數據.拒絕服務攻擊的特點有()。A.多源性、特征多變性B,攻擊目標與攻擊手段多樣性C.隱蔽性D,持久性.常用的拒絕服務攻擊檢測方法有().TCP狀態檢測HTTP重定向C,目標隱藏和保護D.靜態過濾第五章數據安全ー、判斷題

.保密性,是指保證敏感的或機密的信息不被非法或非授權竊取,或者竊取后不能正確理解信息的真實含義。對.完整性,是指數據依然能夠被合法的用戶或實體訪問。錯.數據安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證數據安全性。對.電子認證與身份鑒別的關鍵是身份真實性和數據完整性。對.基于用戶所知道的身份鑒別手段，包括口令方式、多因素身份鑒別、智能卡等。錯.暴力破解,是指通過使用日常生活中常用的、經常出現的字符組合進行猜測、匹配計算。錯.釣魚攻擊是源于用戶的安全防范意識差，提高用戶的安全防范意識是關鍵。對.OpenlD框架的核心是OpenlD身份鑒別協議,協議的參與方包括三個實體:依賴方、終端用戶，OpenlD提供方。對.RADIUS服務器支持PPP的PAP和CHAP認證,UNIX登錄,Keberos等認證機制。錯.FIDO是ー種依賴于口令來執行身份鑒別的協議規范。錯.數字證書是由第三方機構ーCA證書授權中心發行的。對.聯合身份認證是將身份認證委托給外部身份提供者來完成認證的機制,是ー種集中式認證方株式.錯.SAML使得身份鑒別機制、授權機制通過使用統ー接口實現跨信任域的互操作，便于分布式應用系統的信任和授權的統一管理。對

.SAML是一項新技術,目的是允許不同安全域產生的信息進行交換。錯.PKI是利用公開密鑰技術所構建的、解決網絡安全問題的、普遍適用的一種基礎設施。對.CA是PKI系統安全的核心,RA是證書和證書撤銷列表的簽發者。錯.部署自身需要的PKI系統時只需考慮安全應用方面的問題。錯.DRM,是指對數字知識產權的控制和管理,主要的目的就是保護數字版權不受侵害,防止非法復制和篡改。對.DRM的內容進行加密通常使用對稱加密技術和非對稱加密技術。對.即時通信是安全的,不會造成隱私泄漏。錯.災難恢復和容災具有不同的含義。錯.數據備份按數據類型劃分可以分成系統數據備份和用戶數據備份。對.增量備份是備份從上次進行完全備份后更改的全部數據文件。錯.容災等級通用的國際標準SHARE78將容災分成了六級。錯.容災就是數據備份。錯.數據越重要，容災等級越高。對.容災項目的實施過程是周而復始的。對.如果系統在一段時間內沒有出現問題,就可以不用再進行容災了。

二、單選題1.以下不屬于采用密碼技術對數據本身進行保護的是()。A.防火墻技術B.使用現代加密算法對數據進行加密以獲得機密性C,采用數字簽名算法確保數據源的可靠性D,采用雜湊算法和公鑰算法保護數據完整性.以下關于認證說法正確的是().，A.認證提供了關于某個實體(如人、機器、程序、進程等)身份的保證,為通信中的對等實體和數據來源提供證明B,當某個實體聲稱具有一個特定的身份時,認證服務提供某種方法來證明這一聲明是正確的c.認證是最重要的安全服務,其他安全服務在某種程度上需要依賴于它D,以上均正確.智能卡,USBKey等屬于().A.基于用戶所知道的身份鑒別手段B,基于用戶所擁有的身份鑒別手段C,基于生物特征的身份鑒別手段D,以上均不屬于

.肩窺攻擊,是指通過窺看用戶的鍵盤輸入,鼠標移動等方式來獲取用戶ロ令。因此,防范肩窺攻擊的方法是()。A.設置防窺看障礙B.切斷被窺看的途徑C.設置復雜口令D,定期修改密碼.SAML應用的實現的三個組成部分不包括()。A.主體B.服務提供者C.身份提供者D.身份認證方.使用Kerberos認證協議時客戶端使用()解密得到共享密鑰kl0A.用戶私鑰skiTGS的私鑰sk2C.共享的會話密鑰k2D.B和C.以下關于FIDO描述錯誤的是()。A.FIDO協議使用標準的公鑰密碼技術提供強認證

B.在使用網絡服務之前的注冊階段,用戶的客戶端設備需要創建一個新的公私密鑰對,客戶端設備保留私鑰并在網絡服務中注冊公鑰C.執行身份鑒別時,用戶的客戶端設備通過使用私鑰簽名挑戰消息的方式,向網絡服務證明其擁有私鑰,從而證明了客戶端的身份D,客戶端的私鑰在本地或遠程解鎖后才能使用.以下關于單點登錄說法錯誤的是()。A.單點登錄是ー種身份認證機制B.單點登錄使得在訪問多個相互關聯但又獨立的軟件系統或應用程序時,授權的用戶僅需執行ー次認證流程便可訪問所有系統或應用程序C.單點登錄能夠減少管理員集中管理用戶的風險,并能通過允許移動性從而增加用戶量D.單點登錄系統將所有服務中的用戶信息進行了聯合.以下描述符合基于客戶端一服務器的數字版權管理系統的是()。A,通過DRM服務器給予的版權內容登記服務，任何人都可以成為數字內容的提供者B.服務器需要驗證的客戶和上傳的解密密鑰數量不隨使用人數的增多而改變C.可以集中管理內容的提供源,并且便于管理“賬單/名次表”來研究用戶狀況

D.不需要依靠服務器分發內容,每個用戶都可以自行進行內容發布.以下屬于非隱藏水印的特點的是()。A,非透明性B,具有反盜版功能C,具有指紋識別功能D.用戶不知道數據中是否嵌入了水印.隱私泄漏包括().A.身份泄漏B.連接泄漏C.內容泄漏D.以上均是.代表了當災難發生后,數據的恢復程度的指標是()。RPORTONROSD0.代表了當災難發生后，數據的恢復時間的指標是()。A.RP0

RTONROSDO14.我國《重要信息系統災難恢復指南》將災難恢復分成了()級。A.五B.六C,七D.A15.容災的目的和實質是()。A.數據備份B.心理安慰C.保持信息系統的業務持續性D,系統的有益補充16.容災項目實施過程的分析階段,需要進行().A.災難分析B.業務風險分析C.當前業務環境分析D.以上均正確

.下列不屬于完全備份機制特點描述的是()。A,每次備份的數據量較大B,每次備份所需的時間較長C.不能進行得太頻繁D,需要存儲空間小.下面不屬于容災工作的內容的是。.A.災難預測B.災難演習C.風險分析D.業務影響分析19.某公司的工作時間是上午8點半至12點,下午1點至5點半,每次系統備份需要一個半小時,下列適合作為系統數據備份的時間的是〇〇.A.上午8點B.中午12點C.下午3點D.凌晨1點三、多選題.數據安全的含義主要指信息的().

A.機密性B.完整性C.可用性D.真實性.屬于數據防護技術的是()。A,人侵檢測B.漏洞掃描C.身份鑒別D.訪問控制.電子認證與身份鑒別,是指采用電子技術檢驗用戶身份的合法性的操作,即用戶通過向信息系統提供電子形式的身份信息來建立信任的過程。在該過程中,需要注意的問題是()。A.保證提供身份信息的人與身份信息所“綁定”的人是同一個人B.保證提供的認證信息在發送過程中不被改變，與發送者所提供的信息保持一致性c.保證提供的認證信息在接收后不被改變,與發送者所提供的信息保持一致性D.保證所發送來的認證信息包含被認證者的數字簽名，以確保被認證者無法否認該信息是其發送的

.以下關于基于用戶知識的身份鑒別技術說法正確的是()。A.用戶的賬戶名/口令安全是基于口令的身份鑒別機制的核心,口令信息的生成、傳輸、存儲等過程的安全對于整個系統或應用程序安全至關重要B.ロ令具有易于創建、方便使用和撤銷的特性C,ロ令泄漏可由不同類型的攻擊途徑導致,包括惡意軟件入侵、鍵盤記錄器記錄ロ令輸人、隱藏的攝像頭窺探口令,以及用戶交互時的時間分析方法等D.針對口令的攻擊方法可分為暴力破解、字典攻擊、肩窺攻擊、重放攻擊、釣魚攻擊、鍵盤記錄器攻擊、視頻拍攝記錄攻擊5.以下屬于智能卡的是()。USBKeyB.公交卡C.銀行卡D.動態口令卡6.主流的身份鑒別技術有().A.KerberosRADIUSOpenlDD.SAML

E.FIDOSAML的基本部分包括協議、綁定、配置、元數據和認證上下文。下列說法正確的是()。Protocol是交互消息的格式Bingding是指協議所采用的傳輸方式Profile是系統角色間交互消息的各種場景Metadata是各個參與方所提供的服務的描述信息AuthenticationContext是SAML中定義的認證擴展點FIDO提供的認證方式包括()。A.聯合認證.通用授權框架C.通用第二因素認證D.雙因素認證.網上支付的多因素身份鑒別技術主要有()。A.靜態ロ令+動態口令牌B,靜態ロ令+動態口令卡C.靜態ロ令+數字證書認證D.靜態ロ令+手機驗證碼認證

.關于SAML提供的幾種不同類型的安全斷言描述正確的是()。A.認證斷言用來聲稱消息發布者已經認證特定的主體B,屬性斷言聲稱特定主體具有特定的屬性C.ー個決定斷言報告了一個具體授權請求的結果D.授權斷言聲稱一個主體被給予訪問ー個或多個資源的特別許可.PK!系統的基本組件包括()。A.終端實體B.認證機構C.注冊機構D.證書撤銷列表發布者E.證書資料庫F,密鑰管理中心12.數字證書可以存儲的信息包括().A.IP地址B.身份證號碼、社會保險號、駕駛證號碼C.組織工商注冊號、組織機構代碼,組織稅號D.Email地址13.PK!提供的核心服務包括()〇A.認證

B.完整性C.密鑰管理D.簡單機密性E,非否認14.下列可能是Web交易帶來的安全問題的是()。A.截取并提取敏感信息B.替換姓名、卡號或金額C.拷貝界面D.DDoS攻擊.數字水印技術,是指將某些有用的永久性信息嵌入到多媒體文件內容中的技術。以下屬于數字水印技術的特征的是()。A.需要帶外傳輸B.透明性C.魯棒性D.安全性.數字水印的應用有().A.版權保護B.增加持久性C?拷貝追蹤

D.增加易讀性17.對于信息系統的容災方案,通常要考慮的要點有().A.災難的類型B.恢復時間C.恢復程度D.實用技術E.成本18.系統數據備份包括的對象有()。A,配置文件B.日志文件C.用戶文檔D.系統設備文件19.容災等級越高,則〇.A.業務恢復時間越短B.所需人員越多C.所需要成本越高D.保護的數據越重要

第六章應用安全ー、判斷題.客戶端安全,是指在Web應用中客戶端的安全,攻擊者可以利用Web客戶端的漏洞非法獲取用戶的隱私數據,威脅用戶數據安全乃至造成更嚴重的危害。對.Cookie由網絡的用戶代理產生，并發送給服務器。錯.跨站腳本攻擊的防御手段主要為輸人檢查和輸出檢查。對.為不同用戶分配賬號以及關閉Web服務器軟件的功能模塊即可實現服務器的安全配置。對.通常可利用操作系統漏洞,數據庫漏洞、Web服務器漏洞以及Web應用程序漏洞來進行木馬植人。對.內容過濾，主要是指過濾互聯網請求從而阻止用戶瀏覽不適當的內容或站點。錯.可以采用內容過濾技術來過濾垃圾郵件。對.隨著應用環境的復雜化和傳統安全技術的成熟,整合各種安全模塊成為信息安全領域的ー個發展趨勢。對.在來自可信站點的電子郵件中輸入個人或財務信息是安全的。錯.包含收件人個人信息的郵件是可信的。錯.黑名單庫的大小和過濾的有效性是內容過濾產品非常重要的指標。對

.啟發式內容過濾技術通過查找通用的非法內容特征,來嘗試檢測新形式和已知形式的非法內容。對.白名單方案規定郵件接收者只接收自己所信賴的郵件發送者所發送過來的郵件。對.實時黑名單是簡單黑名單的進ー步發展,可以從根本上解決垃圾郵件問題。錯.貝葉斯過濾技術具有自適應、自學習的能力,目前已經得到了廣泛的應用。對.基于規則的過濾技術就是在郵件標題和郵件內容中尋找特定的模式,其優點是規則可以共享,因此它的推廣性很強。對.反向查詢方法可以讓接收郵件的互聯網服務商確認郵件發送者的地址是否就是如其所言的真實地址。對.SenderlD可以判斷出電子郵件的確切來源，因此，可以降低垃圾郵件以及域名欺騙等行為發生的可能性。對二、單選題1.Cookie的信息是加密的,內容主要為（）加密信息。XSSHASHMD5D.RSA

.利用系統默認的公共用戶名、密碼進行網站攻擊、獲取權限、篡改網站,屬于()的網頁篡改技術。A.木馬植入,然后利用木馬程序進行文件篡改B,利用竊聽或者暴力破解的方法獲取網站合法管理員的用戶名,口令C.利用病毒進行攻擊D,網站管理員沒有對網站進行有效的管理和配置.對網頁請求參數進行驗證，防止非法參數傳人、防止SQL注人攻擊等屬于()的網頁防篡改技術。A.操作系統級阻止黑客人侵B.HTTP請求級阻止黑客侵人C.核心內嵌技術阻止黑客侵入后篡改D.輪詢檢測阻止黑客侵入后篡改4.不屬于基于內容的過濾技術的是()。A.關鍵字過濾技術B.URL過濾C.機器學習技術D.啟發式內容過濾技術5.下列基于內容的過濾技術中在我國沒有得到廣泛應用的是()。A.內容分級審查

B.關鍵字過濾技術C.啟發式內容過濾技術D.機器學習技術6.下列不屬于垃圾郵件過濾技術的是()。A.軟件模擬技術B.貝葉斯過濾技術C.關鍵字過濾技術D.黑名單技術.下列技術不支持密碼驗證的是()。S/MIMEPGPAMTPSMTP.會讓ー個用戶的“刪除”操作去警告其他許多用戶的垃圾郵件過濾技術是()。A,黑名單B,白名單C.實時黑名單D,分布式適應性黑名單

.不需要經常維護的垃圾郵件過濾技術是()。A.指紋識別技術B.簡單DNS測試C.黑名單技術D.關鍵字過濾三、多選題1.同源,是指所訪問的。相同。A.域名B.協議C.端口D.目標2.跨站請求偽造攻擊的主要危害就是可以讓攻擊者繞過Web上的權限控制,通過間接的方式執行越權操作。跨站請求偽造攻擊的防御方法包括()。A.驗證碼B.請求檢査C.傳輸檢査D.反CSRF令牌

.服務器安全主要從()方面考慮。A.服務器的物理安全B.系統及軟件安全C.服務器安全配置D.通用網關界面安全.防御SQL注入的基本方式有().A.使用預編譯語句B.使用存儲過程C.檢查數據類型D.使用安全編碼函數5.網頁防篡改技術主要分為阻止黑客人侵和阻止黑客人侵后篡改。以下屬于阻止黑客人侵后篡改的是()。A.安裝病毒防火墻、保持操作系統最新B.輪詢檢測C.限制管理員的權限D.核心內嵌技術E.事件觸發技術6.以下屬于基于源的過濾技術的是()。A.關鍵字過濾技術

DNS過濾URL過濾IP包過濾.內容過濾技術的應用領域包括()。A.防病毒.網頁防篡改C,防火墻D.人侵檢測E.反垃圾郵件.下列郵件為垃圾郵件的有()。A,收件人無法拒收的電子郵件B,收件人事先預定的廣告、電子刊物等具有宣傳性質的電子郵件C.含有病毒、色情、反動等不良信息或有害信息的郵件D.隱藏發件人身份、地址、標題等信息的電子郵件E.含有虛假的信息源、發件人、路由等信息的電子郵件垃圾郵件帶來的危害有().A,占用很多互聯網資源浪費廣大用戶的時間和精力C.提高了某些公司做廣告的效益

D.成為病毒傳播的主要途徑E,迫使企業使用最新的操作系統10.電子支付,是指使用電子貨幣在互聯網上進行支付和結算。其主要參與方包括()。A.消費者B.商戶C.銀行或第三方擔保者D.網絡運營商11.最常見的電子支付安全協議有().SET協議SSL協議OpenlDSAML第七章系統安全ー判斷題.操作系統是計算機系統的基礎,它負責進行處理器管理、存儲管理、文件管理、設備管理和作業管理等。對

.操作系統在概念上一般分為兩部分:內核(Kernel)以及殼(Shell)〇有些操作系統的內核與殼完全分開,如MicrosoftWindows;另一些操作系統的內核與殼關系緊密,如UNIX,Linux等,內核及殼只是在操作層次上不同而已。錯.Windows系統中的用戶賬號可以由任意系統用戶建立。用戶賬號中包含著用戶的名稱與密碼、用戶所屬的組、用戶的權利和用戶的權限等相關數據。錯.Windows系統的用戶賬號有兩種基本類型:全局賬號(GlobalAccounts)和本地賬號(LocalAccounts),對.本地用戶組中的Users(用戶)可以創建用戶賬號和本地組,可以關閉和鎖定操作系統，還可以運行應用程序,但是不能安裝應用程序。錯.本地用戶組中的Guests(來賓用戶)可以登錄和運行應用程序,也可以關閉操作系統,但是其功能比Users有更多的限制。對.域賬號的名稱在域中必須是唯一的,而且也不能和本地賬號名稱相同,否則會引起混亂。錯.全局組是由本域的域用戶組成的,不能包含任何組,也不能包含其他域的用戶,能在域中任何一臺機器上創建。錯.在默認情況下，內置DomainAdmins全局組是域的Administrators本地組的一個成員,也是域中每臺機器Administrator本地組的成員。對.WindowsXP賬號使用密碼對訪問者進行身份驗證,密碼是區分大小寫的字符串,最多可包含16個字符。密碼的有效字符是字母、數字、

中文和符號。錯1L如果向某個組分配了權限,則作為該組成員的用戶也具有這ー權限。例如,如果BackupOperators組有此權限,而Lois又是該組成員,則しois也有此權限.對.Windows防火墻能幫助阻止計算機病毒和蠕蟲進入用戶的計算機,但不能檢測或禁用已經感染計算機的病毒和蠕蟲。對.Web站點訪問者實際登錄的是該Web服務器的安全系統，"匿名''Web訪問者都是以IUSR賬號身份登錄的。對.UNIX的開發工作是自由、獨立的,完全開放源碼,由很多個人和組織協同開發的。UNIX只定義丁ー個操作系統內核。所有的UNIX發行版本共享相同的內核源,但是,和內城一起的輔助材料則隨版本不同有很大不同。錯.每個UNIX/Linux系統中都只有一個特權用戶，就是Root賬號。錯.與Windows系統不ー樣的是UNIX/Linux操作系統中不存在預置賬號。錯.UNIX/Linux系統中一個用戶可以同時屬于多個用戶組。對.標準的UNIX/Linux系統以屬主（Owner）,屬組（Group）,其他人（World）三個粒度進行控制。特權用戶不受這種訪問控制的限制。對.UNIX/Linux系統中，設置文件許可位以使得文件的所有者比其他用戶擁有更少的權限是不可能的。錯.UNIX/Linux系統和Windows系統類似，每ー個系統用戶都有一個主目錄。對

.UNIX/Linux系統加載文件系統的命令是mount,所有用戶都能使用這條命令。錯.UNIX/Linux系統中查看進程信息的who命令用于顯示登錄到系統的用戶情況,與w命令不同的是,who命令功能更加強大,who命令是w命令的一個增強版。錯.ー個設置了粘住位的目錄中的文件只有在用戶擁有目錄的寫許可,并且用戶是文件和目錄的所有者的情況下才能被刪除。錯.UNIX/Linux系統中的/etc/shadow文件含有全部系統需要知道的關于每個用戶的信息(加密后的密碼也可能存于/etc/passwd文件中).錯.Android基于Linux內核,保留了用戶和組的概念,以及基于用戶和組的訪問控制機制。對.應用程序框架充當硬件和軟件棧之間的抽象層。錯.Android的權有(Permission)機制是實現在框架層的訪問控制機制,主要是控制Android應用程序訪問系統資源的行為。對.用戶自定義Permission,是指用戶可以在自己的組件中聲明權限，其他應用無需申請即可使用該組件。錯.數據庫系統是ー種封閉的系統，其中的數據無法由多個用戶共享。錯.數據庫安全只依靠技術即可保障。錯.通過采用各種技術和管理手段，可以獲得絕對安全的數據庫系統。

.數據庫的強身份鑒別與強制訪問控制是同一概念。錯.用戶對自己擁有的數據,不需要有指定的授權動作就擁有全權管理和操作的權限。對.數據庫視圖可以通過INSERT或UPDATE語句生成。錯.數據庫加密宜采用公開密鑰密碼系統。對.數據庫加密的時候,可以將關系運算的比較字段