第一章

信息安全技術概述

VV00000００0E6Ｆ85４一、判斷題1.只有進一步理解計算機技術的專業黑客才可以發動網絡襲擊。1．錯2.系統漏洞被發現后,不一定同時存在運用此漏洞的襲擊。2.對3．網絡安全考慮的是來自外部的威脅，而非內部的。3.錯4.網絡襲擊只針對計算機，而非針對手機或PDＡ。4．錯

5.通過聘請專家來設計網絡安全防護方案，可以徹底避免任何網絡襲擊。5.錯6．信息安全是純粹的技術問題。6．錯７.信息安全是動態概念，需要根據安全形式不斷更新防護措施。7.對

8．對數據進行數字署名,可以保證數據的機密性。

8.錯

9.訪問控制的目的是防止非授權的用戶獲得敏感資源。９.對10．進一步開展信息網絡安全人員的培訓工作,是保證信息安全的重要措施之一。10.對

二、單選題

1．下面哪種不屬于信息安全技術的范疇?

１.D

A.密碼學B.數字署名技術C.訪問控制技術D.分布式計算技術2.下面哪種安全產品的使用是目前最為普及的？2.ＡＡ.防病毒軟件Ｂ．入侵檢測系統C.文獻加密產品Ｄ.指紋辨認產品3.使用數字署名技術，無法保護信息安全的哪種特性?3.Ｂ

A.完整性B.機密性C.抗抵賴D．數據起源鑒別4.下列關于信息安全的說法，哪種是對的的？４.A

Ａ.信息安全是技術人員的工作,與管理無關B．信息安全一般只關注機密性Ｃ.信息安全關注的是適度風險下的安全，而非絕對安全Ｄ.信息安全管理只涉及規章制度的擬定，而不涉及技術設備的操作規程。5.下面哪個不是信息安全工程的過程之一？

5．BA.發掘信息保護需要Ｂ.維護信息安全設備C.設計系統安全D．工程質量保證三、多選題

1．下列關于當前網絡襲擊的說法，哪些是對的的?1.ＡBCA.襲擊工具易于從網絡下載Ｂ.網絡蠕蟲具有隱蔽性、傳染性、破壞性、自主襲擊能力C．新一代網絡蠕蟲和黑客襲擊、計算機病毒之間的界線越來越模糊D.網絡襲擊多由敵對的政府勢力發起2．下列哪些屬于信息安全關注的范疇?２.ABＣDＡ．網絡上傳輸的機密信息被竊聽者竊取B.網絡上傳輸的機密信息被襲擊者篡改C.冒用別人身份登錄服務器D.垃圾郵件3.下列對信息安全的結識哪些是不對的?3.ＢCＡ.建設信息安全保障體系，需要采用系統工程的方法全面考慮和實行B.信息安全是絕對安全，一經實行可以徹底解決所有安全問題C.信息安全就是產品堆砌D．管理也是信息安全中的重要考慮因素４.下列哪些是ISO7４9８-2中提到的安全機制？４.ABCＤ

A．路由控制B.公正C.數據完整性D.數字署名５.下列哪些是目前存在的訪問控制模型？5．AＢDA.自主訪問控制B.強制訪問控制C.基于指紋辨認的訪問控制D.基于角色的訪問控制6.IＡTＦ將信息系統的信息保障技術層面分為哪幾個部分?

6．ABＣDA.本地計算環境B．區域邊界C.網絡與基礎設施D.支持性基礎設施７．下列哪些是物理安全技術?７.ＢCA．數字署名B.不間斷電源保障Ｃ．電磁屏蔽D.入侵檢測8．數據機密性涉及那幾個方面？

8.ＡＢCＤ

A.有連接機密性B．無連接機密性Ｃ.選擇字段機密性Ｄ.業務流機密性９.在應用層上能提供哪些安全服務？9.ABCD

A.鑒別B.訪問控制C．數據機密性D.非否認（抗抵賴)10.關于ＩPv6與IPv４的對比,哪些說法對的?

10．ABA.地址空間擴大了B.協議安全性增強Ｃ.網絡帶寬增大D．可以傳輸的數據不同四、問答題1．OSI安全體系結構認為一個安全的信息系統結構應當涉及哪些內容?答：OSI安全體系結構認為一個安全的信息系統結構應當涉及:（1）五種安全服務；(２)八類安全技術和支持上述的安全服務的普遍安全技術;(３)三種安全管理方法。

2.OSI安全體系結構和框架標準作為“標準的標準”有兩個實際用途，分別是什么？答:OSI安全體現結構和框架標準作為“標準的標準”有兩個實際用途,分別是:(１）指導可實現的安全標準的設計;(2)提供一個通用的術語平臺。

3．美國信息保障技術框架(ＩnforｍaｔioｎAssuranceTechｎicalFｒamｅworｋ，簡稱IＡTF)給出了一個保護信息系統的通用框架,將信息系統的信息保障技術提成了哪四個層面?答:美國信息保障技術框架（InformatｉonAssuraｎceＴeｃhｎicaｌFrameｗoｒk，簡稱ＩATF)給出了一個保護信息系統的通用框架，將信息系統的信息保障技術提成了四個層面:(1）本地計算機環境;（2）區域邊界（本地計算機區域的外緣);(3）網絡與基礎設施；（４)支持性基礎設施。

4.一個完整的信息安全技術體系結構應當涉及哪些層面的安全技術?答:一個完整的信息安全技術體系結構應當涉及五個層面的安全技術:物理安全技術、基礎安全技術、系統安全技術、網絡安全技術和應用安全技術。第二章

物理安全

一、判斷題

1．信息網絡的物理安全要從環境安全和設備安全兩個角度來考慮。1.對

２．計算機場地可以選擇在公共區域人流量比較大的地方。2．錯

3.機房供電線路和動力、照明用電可以用同一線路。

3.錯

4．只要手干凈就可以直接觸摸或者擦拔電路組件，不必有進一步的措施。4.錯

5.屏蔽室的拼接、焊接工藝對電磁防護沒有影響。5.錯

6.由于傳輸的內容不同,電力線可以與網絡線同槽鋪設。6.錯

7.接地線在穿越墻壁、樓板和地坪時應套鋼管或其他非金屬的保護套管,鋼管應與接地線做電氣連通。７.對

８.機房內的環境對粉塵含量沒有規定。

8．錯

9．有很高使用價值或很高機密限度的重要數據應采用加密等方法進行保護。9.對

10.紙介質資料廢棄應用碎紙機粉碎或焚毀。10.對

二、單選題

1.以下不符合防靜電規定的是

1.B。A.穿合適的防靜電衣服和防靜電鞋B．在機房內直接更衣梳理C.用表面光滑平整的辦公家具D.經常用濕拖布拖地

２.布置電子信息系統信號線纜的路由走向時,以下做法錯誤的是

2.Ａ

。A.可以隨意彎折Ｂ.轉彎時，彎曲半徑應大于導線直徑的1０倍C.盡量直線、平整D.盡量減小由線纜自身形成的感應環路面積

3.對電磁兼容性（EleｃtromagneｔicCoｍpatｉbilｉty，簡稱EMC）標準的描述對的的是

3.C

。A.同一個國家的是恒定不變的B.不是強制的C.各個國家不相同Ｄ.以上均錯誤

4.物理安全的管理應做到

４．D

。A.所有相關人員都必須進行相應的培訓，明確個人工作職責Ｂ.制定嚴格的值班和考勤制度,安排人員定期檢查各種設備的運營情況C.在重要場合的進出口安裝監視器，并對進出情況進行錄像Ｄ.以上均對的5.下面哪項不是場地防火應注意的事項？5.B

A.機房的耐火等級應不低于二級；B.建筑的承重結構；C.防火隔離；D.報警系統;

6．信息網絡所使用的電子設備往往都對水、潮氣比較敏感，合適狀態是將場地濕度控制在:6.CA.10%以下B.20%左右C.40%~65%D.90%以上7.下列哪個不是靜電也許導致的危害？7．BＡ.磁盤讀寫錯誤B．加密信息泄漏C．損壞磁頭D．引起計算機誤動作8.下面哪個不是電子信息的可用存儲介質？８.BＡ.磁帶B．普通紙Ｃ.磁盤D．光盤9．對于紙質介質的存放，下面哪種情況無須考慮？９.D

A．防止發潮Ｂ．防止發霉Ｃ.防范筆跡消褪D.防范復印1０.下面哪個說法是錯誤的１0.AＡ.為節省成本,對所有員工的信息安全培訓可以集中一次性進行，未來入職的員工則由老員工言傳身教。B.所有相關人員必須進行相應的培訓,明確個人工作職責,可以進行的操作和嚴禁進行的行為，各項操作

的對的流程和規范,對于各種物理安全都要有相應的培訓。C．應定期對各個崗位的人員進行安全技能及安全認知的考核，所有人員都必須清楚緊急情況發生時的解決

辦法和滅火設施的對的使用方法。Ｄ.制定嚴格的值班和考勤制度，安排人員定期檢查各種設備的運營情況。三、多選題

1.場地安全要考慮的因素有

1．ABCDE

。A.場地選址B.場地防火C.場地防水防潮D．場地溫度控制E.場地電源供應

2.等級保護中對防火的基本規定有:2.ABD

A.機房應設立火災自動消防系統，可以自動檢測火情、自動報警，并自動滅火；B.機房及相關的工作房間和輔助房應采用品有耐火等級的建筑材料；C.機房應配備專門的消防小組;Ｄ.機房應采用區域隔離防火措施,將重要設備與其他設備隔離開。E.機房及相關的工作房間可以不配備專門的滅火器械，在火災時可以臨時調撥。3.火災自動報警、自動滅火系統部署應注意

３.AＢCD

。A.避開也許招致電磁干擾的區域或設備B．具有不間斷的專用消防電源C.留備用電源D．具有自動和手動兩種觸發裝置

4.為了減小雷電損失,可以采用的措施有

4.ACＤ

。A.機房內應設等電位連接網絡B.部署UPSC.設立安全防護地與屏蔽地D.根據雷擊在不同區域的電磁脈沖強度劃分，不同的區域界面進行等電位連接E.信號解決電路

５.會導致電磁泄露的有

5.ＡBCDE。A.顯示器B．開關電路及接地系統Ｃ.計算機系統的電源線D．機房內的電話線E.信號解決電路

6.磁介質的報廢解決，應采用

６.CD

。Ａ．直接丟棄〖WB〗B.砸碎丟棄C.反復多次擦寫D.專用強磁工具清除

7.靜電的危害有

7.ABCD

。A．導致磁盤讀寫錯誤，損壞磁頭,引起計算機誤動作B．導致電路擊穿或者毀壞Ｃ.電擊，影響工作人員身心健康Ｄ.吸附灰塵

8.防止設備電磁輻射可以采用的措施有

8.ABＣD

。A.屏蔽Ｂ.濾波C．盡量采用低輻射材料和設備D.內置電磁輻射干擾器9．克制信息泄漏的技術途徑有:９.AＢCD

A．干擾技術:用強噪聲來掩護有用的信號。B.跳頻技術:經常改變信號傳輸頻率、調制方式或其它傳輸參數。Ｃ.包容法：對元器件、設備甚至整個系統進行屏蔽，成本高。D.抑源法:從線路、元器件入手，消除輻射源。E.人工防護:由專門人員負責看管機房。１０．等級保護對于防盜竊和防破壞的基本規定有:10.ＡBCDEＡ.應將重要設備放置在機房內；Ｂ.應將設備或重要部件進行固定，并設立明顯的不易除去的標記；C.應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中;Ｄ.應對介質分類標記,存儲在介質庫或檔案室中；E．應運用光、電等技術設立機房防盜報警系統；

四、問答題１.物理安全包含哪些內容?答:物理安全,是指在物理介質層次上對存儲和傳輸的網絡信息的安全保護,也就是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等事故以及人為行為導致的破壞的過程。物理安全可以提成兩大類:環境安全和設備安全。其中,環境安全涉及場地安全、防火、防水、防靜電、防雷擊、電磁防護、線路安全等;設備安全涉及設備的防盜、防電磁泄露、防電磁干擾、存儲介質管理等。物理安全也必須配合一定的安全管理措施,如嚴格人員的管理、采用相應的監視設備等。

2.解釋環境安全與設備安全的聯系與不同。答：從物理角度來看,在一個完整的信息系統中，除了系統所處的環境以外，就是一臺臺具體的設備了。設備安全與環境安全的關系是密不可分的。設備安全是建立在環境安全的基礎上的，極端的情況是，假如設備都是放在地震活躍帶的火山口上,那么就不能預期這個設備能長時間連續穩定地運營下去，由于環境是不安全的。但是,設備安全與環境安全還是有所區別的，如對于環境的電磁防護,指的是機房、通信線路的防電磁泄露、電磁干擾;而設備的電磁防護,則指的是設備自身的防止電磁泄露、電磁干擾的特性。設備安全就是要保證設備運營的時候是安全的。這就規定設備不容易被損壞而中斷工作,不容易被竊聽,存放信息的介質也是妥善保管、不容易竊取的。

第三章

容災與數據備份

一、判斷題

１.數據備份按數據類型劃分可以提成系統數據備份和用戶數據備份。1.對

2.對目前大量的數據備份來說,磁帶是應用得最廣的介質。

2.對

3.增量備份是備份從上次進行完全備份后更改的所有數據文獻。

3.錯

4.容災等級通用的國際標準ＳHARＥ78將容災提成了六級。

4.錯

5.容災就是數據備份。5.錯

６．數據越重要,容災等級越高。6.對

7.容災項目的實行過程是周而復始的。

7.對

8.假如系統在一段時間內沒有出現問題,就可以不用再進行容災了。

8.錯

9.SAＮ針對海量、面向數據塊的數據傳輸,而ＮAS則提供文獻級的數據訪問功能。

9．對

10.便宜磁盤冗余陣列(ＲAID），基本思想就是將多只容量較小的、相對便宜的硬盤進行有機組合，使其性能超過一只昂貴的大硬盤。

10．對

二、單選題

1.容災的對的含義是:

1.B

A.在劫難事件發生之前就偵測到并采用措施避免Ｂ.減少劫難事件發生的也許性以及限制劫難對關鍵業務流程所導致的影響的一整套行為。C.采用一系列的措施減少信息系統的風險水平;D.在劫難發生后，應如何追究相關人員的責任。2．SHARE78將容災等級劃分為幾個等級:2.C

Ａ.5Ｂ．６C.７D.8

3．我國《重要信息系統劫難恢復指南》將劫難恢復提成了

3．B

級。A.五

B.六Ｃ.七

D.八

4．下圖是

4．Ｂ

存儲類型的結構圖。A.ＮAＳ

Ｂ.SANＣ.以上都不是5.容災的目的和實質是

5．Ｃ

。Ａ.數據備份

B．心理安慰C.保持信息系統的業務連續性

D.系統的有益補充

６.容災項目實行過程的分析階段，需要進行

6.D。A．劫難分析

B．業務環境分析C.當前業務狀況分析

D．以上均對的

7.目前對于大量數據存儲來說，容量大、成本低、技術成熟、廣泛使用的介質是

7.B

。A.磁盤

Ｂ.磁帶C．光盤

D．軟盤

8．下列敘述不屬于完全備份機制特點描述的是

８.D

。A．每次備份的數據量較大

B.每次備份所需的時間也就較長C.不能進行得太頻繁

Ｄ.需要存儲空間小

9．下面不屬于容災內容的是

９．A

。Ａ.劫難預測

B.劫難演習C.風險分析

Ｄ.業務影響分析10.關于容災的說法對的的是:1０.AA.容災是一項工程,涉及管理、技術等各個方面Ｂ.容災是純技術的行為C.備份不屬于容災技術D．容災只能依靠人的主觀能動性

三、多選題

1.信息系統的容災方案通常要考慮的要點有

1.ＡBCＤE

。Ａ.劫難的類型

B.恢復時間Ｃ.恢復限度

Ｄ．實用技術E．成本

2.系統數據備份涉及的對象有

2.ＡBD

。Ａ.配置文獻

B.日記文獻C．用戶文檔

D.系統設備文獻

3.容災等級越高,則

3.ＡCD

。A.業務恢復時間越短

B.所需人員越多C.所需要成本越高

D.保護的數據越重要

4.下列哪些計劃應當是容災計劃的一部分4.ABCD

A.業務連續性計劃B.業務恢復計劃C．操作連續性計劃D.支持連續性計劃/IT應急計劃5.后備站點／后備場合的種類有:5．ＡBCDＡ．熱后備B.溫后備C.冷后備D.鏡像后備

６.IT應急計劃的實行包含哪幾個階段6.BCDA.預測階段B.通告激活階段C.恢復階段D.重構階段7.以下后備場合中，恢復時間由長到短排列的是：7．ＣＤ

Ａ.冷后備、鏡像后備、熱后備B.鏡像后備、熱后備、冷后備C.冷后備、溫后備、熱后備D.溫后備、熱后備、鏡像后備8．數據備份可采用的技術機制有：8.ABＣD

A．基于主機備份B.基于存儲局域網備份C．無服務器備份D.基于廣域網備份9.數據備份可采用的介質有：

9.ABＣＤ

A．軟盤Ｂ.光盤C.磁帶Ｄ.硬盤10.常用的數據備份方式有:1０.AＢCＡ.完全備份B．增量備份C.差分備份D．一次性備份

四、問答題1.容災的含義是什么？容災過程涉及哪些內容？答：容災,就是減少劫難事件發生的也許性以及限制劫難對關鍵業務流程所導致的影響的一整套行為。當公司的核心計算機系統遭受如火災、洪澇、地震、戰爭、人為破壞等不可抗拒的劫難和意外時,可以及時恢復系統的正常運營。因此，容災的目的和實質就是保持信息系統的業務連續性。為了在面對劫難時仍然能保持業務的連續性，容災有很多方面的工作要做：風險分析,擬定導致業務中斷劫難發生的也許性和劫難發生會帶來的損失；業務影響分析，分析預期的劫難也許對公司導致的影響,擬定關鍵功能和恢復優先順序;劫難演習,模擬劫難發生時的狀況;制訂應急響應計劃,制定和實行在劫難發生后的相應措施等。

２．容災與數據備份之間是什么關系?答：容災與數據備份之間是密切聯系、不可分割的。沒有了數據備份,容災也就無從下手；而僅僅備份了數據,沒有考慮周密的容災方案，也難以發揮數據備份的作用,無法保證系統的業務連續性。一方面，數據備份是容災的基礎。數據備份，是指將數據保存下來,目的是為了系統數據在崩潰時可以快速地恢復數據。沒有數據可以運用恢復，劫難恢復也就無從談起。所以，容災的前提是做好相應的數據備份工作。另一方面，容災是一個系統工程,而不僅僅是技術。一個完整的容災系統涉及容災規劃機構的設立、容災需求分析、容災策略制定、容災系統實行、容災系統維護等多個階段。容災除了前期的實行,更重要的是后期的運營和管理，必要的時候還需要第三方審計或者監理機構的介入。

3.容災等級通用的國際標準SＨARE78將容災劃提成幾個層次？簡樸概述各層次的特點。答:容災等級通用的國際標準SHARE7８將容災劃分為七個層次。第0級——本地冗余備份,也叫無異地備份數據。數據僅在本地進行備份和恢復,沒有任何數據信息和資料存放在異地,沒故意外事故解決計劃,未制定劫難恢復計劃。第1級——數據介質轉移。第1級容災方案的關鍵是有數據備份，但無備用系統,其特點是異地存放、安全保管、定期更新。通常將關鍵數據備份到本地存儲介質上,然后送往其他比較安全的地方保存。第2級——應用系統冷備。第2級容災方案的實質是有數據備份、有備用系統,其特點是異地介質存放、系統硬件冷備份。第３級——數據電子傳送。第3級容災方案是電子鏈接，其特點是網絡傳送、自動備份、磁盤鏡像復制。通過網絡將關鍵數據進行備份并存放至異地，制定相應的劫難恢復計劃，建立備份中心,并配備部分數據解決系統及網絡通信系統。第4級——應用系統溫備。第4級容災方案是讓備份中心處在活動狀態，其特點是網絡傳送、流水日記、系統準工作狀態。一旦劫難發生,可運用備份中心已有資源及異地備份數據恢復關鍵業務系統運營。第5級——應用系統熱備。第5級容災方案的關鍵在于交易的完整性，其特點是在線實時傳送、系統鏡像狀態、人機切換。第5級容災方案可以同時實現業務中心與備份中心的數據更新。第6級——數據零丟失。第6級容災方案的目的是達成數據零丟失和自動系統故障切換,其特點是在線實時鏡像、作業動態分派、自動切換。這一級別的容災方案是劫難恢復中最昂貴的方式，也是速度最快的恢復方式,它是劫難恢復的最高級別。運用專用的存儲網絡將關鍵數據同步鏡像至備份中心，數據不僅在本地進行確認，并且需要在備份中心進行確認,才干算有效數據。由于數據是由鏡像地寫到兩個站點，所以劫難發生時異地容災系統保存了所有的數據,從而實現零數據丟失。

4.設計一個以星期為周期的備份策略,并舉例描述在其中某一天發生劫難如何恢復。答：一個以星期為周期的備份策略可以做如下安排：

星期一：完全備份(備份文獻為A)

星期二：增量備份(備份文獻為Ｂ)

星期三:增量備份（備份文獻為Ｃ）

星期四：增量備份（備份文獻為Ｄ)

星期五:累計備份(備份文獻為E)

星期六：增量備份（備份文獻為F）

星期日：增量備份(備份文獻為G）假如在星期六，系統遭到意外破壞，系統管理員可以按以下環節來恢復系統:一方面用最近的一份完全備份(星期一的A文獻)來進行完全恢復,然后用最近的一份累計備份(星期五的Ｅ文獻）進行累計恢復,最后使用累計備份后的最近增量備份(星期六的Ｆ文獻和星期天的G文獻）進行增量恢復,則可以恢復到接近系統被意外破壞時的數據。第四章

基礎安全技術

一、判斷題

1.對稱密碼體制的特性是:加密密鑰和解密密鑰完全相同，或者一個密鑰很容易從另一個密鑰中導出。1.對

２.對稱密碼學以數學上的難題為基本原理進行構造。

2．錯３.公鑰密碼體制算法用一個密鑰進行加密,而用另一個不同但是有關的密鑰進行解密。

３.對4.公鑰密碼體制有兩種基本的模型：一種是加密模型,另一種是認證模型。

4．對

５.窮舉破解是密碼分析學的重要技術手段。

5.錯

6.對信息的這種防篡改、防刪除、防插入的特性稱為數據完整性保護。6.對

７．使用數字署名技術可以保證信息的完整性。７．對

8.散列算法是可逆的,即一直散列值和密鑰,可以還原出明文信息。

8.錯

9.ＰＫI是運用公開密鑰技術所構建的、解決網絡安全問題的、普遍合用的一種基礎設施。9．對10．電子署名與手寫署名具有同等法律效力。1０.對二、單選題

１．下列密碼算法中,哪個屬于對稱密碼算法:１．Ｄ

A．ＲSAＢ.ECCC.MＤ5D.AＥS2.下列密碼算法中，哪個屬于公鑰密碼算法：２.C

Ａ.ＤＥＳB.RC５C.ＲSＡＤ.AES3.下列密碼算法中,哪個屬于散列算法:3.ＡA.ＳHＡ-1Ｂ.DＥSC.RSAD.ECC

4.關于對稱密碼算法，說法對的的是:4.B

A.以數學上的難解問題為基礎設計B．加密和解密的密鑰相同或可以容易的互相推導出C．加、解密速度比公鑰密碼算法要慢D.明文發生１字節改變時，相應的密文也在相應位置發生1字節改變5．關于公鑰密碼算法，說法對的的是：5.AA.以數學上的難解問題為基礎設計B．加密和解密的密鑰相同或可以容易的互相推導出C.兩個密鑰必須都保密,不能為外界所知。D.明文發生1字節改變時,相應的密文也在相應位置發生１字節改變6.關于散列算法,說法對的的是：6．C

A.可用于對信息加密傳輸。B.由散列值可以還原明文。C.可用于提供完整性服務D．可用于提供訪問控制服務

７．數字署名不能為信息提供哪種安全服務？7.DA.完整性B.數據起源鑒別Ｃ.抗抵賴D.機密性８.以下哪個不是目前信息系統中常用的身份鑒別技術:８.A

A.基于身份證的身份鑒別B.基于口令的身份鑒別C．基于生物特性的身份鑒別D.基于公鑰密碼技術的身份鑒別９.下列哪個不是ＰKI系統的組件之一

9.B

Ａ.依賴方Ｂ.CA管理員C.注冊機構（ＲA)D．認證機構(CA）１0.關于PKI技術,說法錯誤的是:10.CA.可提供身份鑒別服務B．RA負責接受用戶的證書申請，并核對用戶身份的真實性C.CRL發布者負責對依賴方提供查詢信息,涉及查詢某實體證書,獲得該證書有效狀態等信息D．CA負責簽發證書三、多選題

5．ABCE6.BD

7.ABＣＤE

８.ABCE

9ABCDE

1０．ＡBCD１.基礎安全技術涉及：

１．ABＣDE

A.密碼技術Ｂ.身份鑒別技術C．數字署名技術D.完整性技術E.PＫI技術２.PＫI系統的基本組件涉及

2.ABCDE

。A.認證機構B．注冊機構C.證書撤消列表發布者Ｄ.證書資料庫E.密鑰管理中心

3．數字證書可以存儲的信息涉及

３.ＡBCDE

。Ａ.身份證號碼、社會保險號、駕駛證號碼Ｂ.組織工商注冊號、組織組織機構代碼、組織稅號C．IＰ地址D.Eｍail地址E．郵政地址

4．PＫI提供的核心服務涉及

4．ABCDE

。A.認證B．完整性Ｃ.密鑰管理Ｄ.簡樸機密性E.非否認5.對于對稱密碼算法，以下說法對的的是:5.AＢCEa.加密、解密密鑰相同或可以互相推出ｂ.算法公開,密碼體制的安全強度僅在于密鑰強度ｃ.明文改變1個位,密文會徹底發生變化d.可以不使用密鑰就能完畢加密解密過程e.包含分組密碼和序列密碼兩個大類6.對稱密碼算法有哪些局限性：６.BDA.計算過于復雜Ｂ．密鑰需要通信雙方知道，但在公開的計算機網絡上，安全地傳送和存儲密鑰成為一個難點;C.計算速度過慢，消耗資源大D.群體通信需要使用的密鑰太多，導致管理困難，密鑰泄密也許性大大增長E.密鑰長度太短7.對于公鑰密碼算法，說法對的的是:7.AＢＣDＥ

A.僅知道公鑰,無法推導出私鑰(計算上不可行)B．私鑰由用戶個人妥善保存，公鑰則公開讓公眾知道。C.用戶A使用用戶B的公鑰進行加密,只有用戶B使用自己的私鑰才干解密，從而達成保密通信目的。D.１９76年,Dｉffie及Hellmａn發表其論文“密碼學新方向”，是公鑰密碼技術誕生的標志。E.用戶A使用私鑰對信息做變換,那么其他用戶只有使用用戶Ａ的公鑰才干對的還原,因此可以證明這條信息是用戶A,也就是私鑰擁有者所發出的。這是使用公鑰算法的數字署名技術的核心思想8.哪些常用途徑可用來獲得某個實體的PKI公鑰證書?8.ＡBCE

A．通過ＬDＡＰ查詢資料庫；B.通過電子郵件索取；C.通過Wｅb網站下載;D.通過電視廣告;E.通信時直接向對方要；9．基于生物特性的身份鑒別技術有哪些局限？9ＡBＣDEA.計算復雜,準確度有限B.不合用與網絡遠程鑒別C．與口令辨認的安全強度是等同的。Ｄ.用戶基數大，被誤判的絕對數量增多E.人身危險增長1０.PＫI的信任模型有哪些?1０.ABＣDA.嚴格層次模型B.信任列表模型C.橋模型D.網狀模型E.三維模型第五章

系統安全

一、判斷題

25．對

26.錯

２7.錯

28.對

2９.錯

３0.錯

31.錯

32．錯３3.錯

３４.錯

３５.對

36.錯

3７.對

38．錯

39．對

40.錯4１.錯

４2.對

43．錯

４4．對

4５．對

46.錯

47.對

４８．對1.常見的操作系統涉及ＤOＳ、OＳ/2、UNＩX、ＸEＮIX、Lｉｎux、Ｗiｎdows、Netware、Oraclｅ等。

1．錯2．操作系統在概念上一般分為兩部分:內核（Kerｎｅl)以及殼（Sｈｅll）,有些操作系統的內核與殼完全分開(如ＭｉｃｒoｓｏfｔWｉndows、UＮIＸ、Liｎux等）；另一些的內核與殼關系緊密(如ＵNIX、Ｌinｕｘ等)，內核及殼只是操作層次上不同而已。

2．錯３.Windｏwｓ系統中，系統中的用戶帳號可以由任意系統用戶建立。用戶帳號中包含著用戶的名稱與密碼、用戶所屬的組、用戶的權利和用戶的權限等相關數據。

3.錯4．Ｗiｎdows系統的用戶帳號有兩種基本類型：全局帳號(ＧlobalAccounts)和本地帳號(ＬocalAｃcounts)。

4.對

５.本地用戶組中的Uｓers（用戶）組成員可以創建用戶帳號和本地組，也可以運營應用程序，但是不能安裝應用程序,也可以關閉和鎖定操作系統。

5.錯6.本地用戶組中的Gｕeｓts（來賓用戶)組成員可以登錄和運營應用程序，也可以關閉操作系統，但是其功能比Uｓerｓ有更多的限制。

6.對７.域帳號的名稱在域中必須是唯一的,并且也不能和本地帳號名稱相同,否則會引起混亂。

7．錯8.全局組是由本域的域用戶組成的，不能包含任何組，也不能包含其他域的用戶,全局組能在域中任何一臺機器上創建。

8.錯9.在默認情況下，內置ＤｏmaｉnAｄmｉns全局組是域的Administｒaｔoｒs本地組的一個成員，也是域中每臺機器Aｄｍinisｔrａｔｏｒ本地組的成員。

9．對10.WiｎdｏwsＸP帳號使用密碼對訪問者進行身份驗證，密碼是區分大小寫的字符串,最多可包含１6個字符。密碼的有效字符是字母、數字、中文和符號。

1０.錯１1.假如向某個組分派了權限,則作為該組成員的用戶也具有這一權限。例如,假如BaｃｋupOｐeratorｓ組有此權限，而Ｌois又是該組成員，則Loｉs也有此權限。

1１.對１2．Wｉndowｓ文獻系統中,只有Aｄｍiniｓｔratｏr組和SerｖerＯperatｉon組可以設立和去除共享目錄,并且可以設立共享目錄的訪問權限。

12.錯1３.遠程訪問共享目錄中的目錄和文獻，必須可以同時滿足共享的權限設立和文獻目錄自身的權限設立。用戶對共享所獲得的最終訪問權限將取決于共享的權限設立和目錄的本地權限設立中寬松一些的條件。

1３.錯14．對于注冊表的訪問許可是將訪問權限賦予計算機系統的用戶組，如Ａdｍinｉｓtｒatoｒ、Ｕsers、Creaｔｏr/Ｏwner組等。

14.對15.系統日記提供了一個顏色符號來表達問題的嚴重限度,其中一個中間有字母“！”的黃色圓圈（或三角形）表達信息性問題，一個中間有字母“i”的藍色圓圈表達一次警告,而中間有“stoｐ”字樣（或符號叉）的紅色八角形表達嚴重問題。1５.錯16．光盤作為數據備份的媒介優勢在于價格便宜、速度快、容量大。

１6.錯17．Wｉndows防火墻能幫助阻止計算機病毒和蠕蟲進入用戶的計算機，但該防火墻不能檢測或清除已經感染計算機的病毒和蠕蟲。

17.對１８．Web站點訪問者實際登錄的是該Web服務器的安全系統，“匿名”Web訪問者都是以IUSR帳號身份登錄的。

１８．對

19.ＵNＩX的開發工作是自由、獨立的，完全開放源碼，由很多個人和組織協同開發的。UＮIＸ只定義了一個操作系統內核。所有的UNIX發行版本共享相同的內核源,但是，和內核一起的輔助材料則隨版本不同有很大不同。

１9.錯

２０.每個UＮIX／Linｕx系統中都只有一個特權用戶,就是root帳號。

2０.錯

2１．與Ｗindowｓ系統不同樣的是UＮIX/Liｎux操作系統中不存在預置帳號。

2１．錯

２2．ＵＮＩX/Linuｘ系統中一個用戶可以同時屬于多個用戶組。

２2.對23.標準的UNIX/Ｌinｕx系統以屬主（Owneｒ）、屬組(Grｏｕｐ)、其別人（Ｗｏrld）三個粒度進行控制。特權用戶不受這種訪問控制的限制。

23.對

２4.ＵNＩＸ／Ｌinux系統中，設立文獻許可位以使得文獻的所有者比其他用戶擁有更少的權限是不也許的。

2４.錯2５．UNIＸ/Liｎｕｘ系統和Wiｎdows系統類似，每一個系統用戶都有一個主目錄。

25.對２6.UNIＸ／Liｎux系統加載文獻系統的命令是mｏuｎt,所有用戶都能使用這條命令。

26.錯

２７.UNＩX／Linｕx系統中查看進程信息的ｗho命令用于顯示登錄到系統的用戶情況,與w命令不同的是，who命令功能更加強大，who命令是w命令的一個增強版。

27.錯２８.Httpd．ｃｏnｆ是Web服務器的主配置文獻，由管理員進行配置,Ｓrm.conf是Weｂ服務器的資源配置文獻,Acｃess.cｏｎf是設立訪問權限文獻。

2８.對

2９．一個設立了粘住位的目錄中的文獻只有在用戶擁有目錄的寫許可,并且用戶是文獻和目錄的所有者的情況下才干被刪除。

２9.錯

30．UNＩＸ/Liｎuｘ系統中的／etc/shａdow文獻具有所有系統需要知道的關于每個用戶的信息（加密后的密碼也也許存于/ｅｔc／paｓｓｗd文獻中)。

3０.錯31.數據庫系統是一種封閉的系統,其中的數據無法由多個用戶共享。

３1.錯３２.數據庫安全只依靠技術即可保障。

32.錯３3．通過采用各種技術和管理手段,可以獲得絕對安全的數據庫系統。

33．錯

３4．數據庫的強身份認證與強制訪問控制是同一概念。

34.錯

35．用戶對他自己擁有的數據，不需要有指定的授權動作就擁有全權管理和操作的權限。３5.對

36.數據庫視圖可以通過IＮSＥＲT或UPDATE語句生成。

36.錯

37.數據庫加密適宜采用公開密鑰密碼系統。

３７.對38.數據庫加密的時候，可以將關系運算的比較字段加密。

３8.錯

39.數據庫管理員擁有數據庫的一切權限。

39．對

40.不需要對數據庫應用程序的開發者制定安全策略。

40．錯４1.使用登錄ID登錄SQLＳervｅr后,即獲得了訪問數據庫的權限。

41.錯

42.MSSＱLServer與SyｂaｓｅSQLSerｖｅr的身份認證機制基本相同。

42.對

43．SQLSｅrｖer不提供字段粒度的訪問控制。

４3.錯

44.MyＳQL不提供字段粒度的訪問控制。

44．對45.SQLSeｒｖer中,權限可以直接授予用戶ID。

45.對

４６.SQL注入襲擊不會威脅到操作系統的安全。

4６.錯

４7.事務具有原子性,其中涉及的諸多操作要么全做,要么全不做。

47.對48.完全備份就是對所有數據庫數據進行備份。

4８.對二、單選題

3.C

4．B

5．D

６.Ｂ

７．C

8.Ｄ

９．Ｃ１0．Ａ

1１.Ｂ

12.Ｄ

１3.B

1４．A

15.C

16.D

１7.B

１８．Ａ19.D

2０．B

２1.C

２2.D

23．Ｂ

2４.Ａ

25．B

26．C

27.A28.D

２９.B

30.A

31．B1.美國國防部發布的可信計算機系統評估標準（ＴCSEＣ)定義了

１.C

個等級。A.五

B.六C.七

D.八

2.Wiｎdoｗｓ系統的用戶帳號有兩種基本類型,分別是全局帳號和

２.A

。A.本地帳號

B.域帳號C．來賓帳號

D.局部帳號

3．Wｉｎｄｏws系統安裝完后，默認情況下系統將產生兩個帳號，分別是管理員帳號和

３.C

。A．本地帳號

Ｂ．域帳號Ｃ.來賓帳號

D.局部帳號

４.計算機網絡組織結構中有兩種基本結構,分別是域和

４.B

。A.用戶組

B.工作組C.本地組

Ｄ.全局組

5.一般常見的Windｏwｓ操作系統與Linux系統的管理員密碼最大長度分別為和

5.D

。A．128

B.141０C.121０

Ｄ.148

6.符合復雜性規定的WinｄowsXＰ帳號密碼的最短長度為

6.B

。A.4

Ｂ.6C．8

D．10

7．設立了強制密碼歷史后，某用戶設立密碼ｋedａｗｕ失敗,該用戶也許的原密碼是

7.C

。A.keda

Ｂ．kedａlｉuC.ｋedawuj

D.daｗu

8.某公司的工作時間是上午8點半至12點,下午1點至5點半,每次系統備份需要一個半小時，下列適合作為系統數據備份的時間是

8.D

。A.上午8點

B.中午12點C.下午3點

D.凌晨1點

9.Windｏw系統中對所有事件進行審核是不現實的，下面不建議審核的事件是

９.C

。A.用戶登錄及注銷

Ｂ.用戶及用戶組管理C.用戶打開關閉應用程序

Ｄ.系統重新啟動和關機

10.在正常情況下，Ｗindｏｗs２０2３中建議關閉的服務是

1０.A

。A.TCＰ/IPNetBIOＳHeｌpｅrＳｅrvice

B.LｏgicaｌＤiskManａgerＣ．ReｍoｔeＰrocedureCａｌl

Ｄ.SecurｉtyAccouｎｔｓMａnageｒ

１１．FＴP(文獻傳輸協議，FilｅTrａnsferProtocol，簡稱FTP）服務、SMTP(簡樸郵件傳輸協議，SｉmpleMailTrａnsferProｔocol，簡稱SMTP)服務、HTTP(超文本傳輸協議,ＨyperＴｅxtTｒａnｓpoｒtProtｏcｏl,簡稱HＴTP)、HTTPS(加密并通過安全端口傳輸的另一種HTTＰ）服務分別相應的端口是

１1.Ｂ

。A.

B.Ｃ.

D．

１2.下面不是ＵNＩＸ/Ｌｉｎux操作系統的密碼設立原則的是

12．D

。A.密碼最佳是英文字母、數字、標點符號、控制字符等的結合Ｂ．不要使用英文單詞,容易遭到字典襲擊C.不要使用自己、家人、寵物的名字D．一定要選擇字符長度為8的字符串作為密碼

13.UNＩＸ/Linuｘ操作系統的文獻系統是

1３.B

結構。A.星型

B．樹型C．網狀

D.環型

14.下面說法對的的是

1４.Ａ

。A.ＵＮＩX系統中有兩種ＮFS服務器，分別是基于內核的NFSDａemon和用戶空間Ｄaemon，其中安全性能較強的

是基于內核的NＦSＤaemonB.UＮＩX系統中有兩種NＦS服務器,分別是基于內核的Ｄａemoｎ和用戶空間NFSDaｅmｏn，其中安全性能較強的

是基于內核的NFSDaemonC.UＮＩX系統中現只有一種ＮＦS服務器，就是基于內核的NFSDａemon,原有的用戶

空間Ｄaemoｎ已經被淘汰，由于NFSDaeｍｏn安全性能較好D.ＵNＩＸ系統中現只有一種NＦS服務器,就是基于內核的Daemｏｎ，原有的用戶空間ＮFSＤaemoｎ已經被淘汰，

由于Daemon安全性能較好

1５.下面不是UNIX／Lｉnｕx系統中用來進行文獻系統備份和恢復的命令是

１5.C

。A.tar

B.ｃpioＣ.umask

Ｄ．ｂａｃkup

16.Ｂacｋｕｐ命令的功能是用于完畢UNIX/Lｉnux文獻的備份，下面說法不對的的是

1６.D

。A．Ｂaｃkuｐ–c命令用于進行完整備份B.Backup–p命令用于進行增量備份Ｃ.Bacｋｕp–f命令備份由filｅ指定的文獻D．Bacｋuｐ–ｄ命令當備份設備為磁帶時使用此選項

1７．UNIX工具(實用程序,utilitｉｅｓ)在新建文獻的時候,通常使用

１7．B

作為缺省許可位,而在新建程序的時候，通常使用

作為缺省許可位。Ａ.5５5６66

B．666777C．77７888

D.888９9９

18.保障ＵNIX/Linux系統帳號安全最為關鍵的措施是

18.A

。A．文獻/ｅtc/pａsｓwｄ和/etc/ｇrouｐ必須有寫保護B.刪除/etc/passwｄ、/eｔc/gｒoupC.設立足夠強度的帳號密碼D．使用shaｄow密碼

19．UＮIX/Linuｘ系統中,下列命令可以將普通帳號變為root帳號的是

19．D

。A.chｍod命令

B./biｎ/passwd命令C．chgrp命令

D.／bｉｎ/ｓu命令

20．有編輯/ｅtc/pasｓwd文獻能力的襲擊者可以通過把UID變為

２0．B

就可以成為特權用戶。A.－１

B.０C.1

Ｄ.2

21．下面不是保護數據庫安全涉及到的任務是

2１.C

。A.保證數據不能被未通過授權的用戶執行存取操作B.防止未通過授權的人員刪除和修改數據C.向數據庫系統開發商索要源代碼，做代碼級檢查D.監視對數據的訪問和更改等使用情況

22．下面不是數據庫的基本安全機制的是

2２.D

。A.用戶認證

Ｂ．用戶授權C.審計功能

D.電磁屏蔽

23．關于用戶角色,下面說法對的的是

23.B

。A.SQLＳerveｒ中，數據訪問權限只能賦予角色，而不能直接賦予用戶Ｂ.角色與身份認證無關C.角色與訪問控制無關Ｄ.角色與用戶之間是一對一的映射關系

２4.下面原則是ＤBMＳ對于用戶的訪問存取控制的基本原則的是

２４.A

。Ａ.隔離原則

B.多層控制原則C.唯一性原則

D．自主原則

25.下面對于數據庫視圖的描述對的的是

25.B

。A．數據庫視圖也是物理存儲的表B.可通過視圖訪問的數據不作為獨特的對象存儲,數據庫內實際存儲的是ＳELECＴ語句C．數據庫視圖也可以使用ＵPDＡTE或ＤELＥＴE語句生成Ｄ.對數據庫視圖只能查詢數據,不能修改數據

２6.有關數據庫加密，下面說法不對的的是

2６．C

。A.索引字段不能加密B.關系運算的比較字段不能加密C．字符串字段不能加密D.表間的連接碼字段不能加密

２7.下面不是Oｒaｃle數據庫提供的審計形式的是

2７.A

。A．備份審計

B．語句審計C.特權審計

D.模式對象設計

28．下面不是SQLServer支持的身份認證方式的是

28.D

。A.ＷindｏｗsNT集成認證

B．ＳＱLＳerveｒ認證Ｃ.SQLServer混合認證

D.生物認證29.下面不包含在MySQL數據庫系統中。２９.Ｂ

Ａ.數據庫管理系統，即DBMS

B．密鑰管理系統C．關系型數據庫管理系統，即RDBMS

D.開放源碼數據庫

3０.下面不是事務的特性的是

30.A

。A.完整性

B.原子性C．一致性

D.隔離性

3１.下面不是Oｒaclｅ數據庫支持的備份形式的是

31.B

。Ａ.冷備份

Ｂ.溫備份C.熱備份

D．邏輯備份

三、多選題１.操作系統的基本功能有

ABＣＤ

。A.解決器管理

B.存儲管理C.文獻管理

D.設備管理

2.通用操作系統必需的安全性功能有

ABCD

。A.用戶認證

B．文獻和Ｉ/O設備的訪問控制C．內部進程間通信的同步

D.作業管理

３.根據SaltzerＪ.H、ScｈrｏｅｄerM.D的規定,設計安全操作系統應遵循的原則有

AＢＣD。Ａ.最小特權

B.操作系統中保護機制的經濟性C.開放設計

D.特權分離

4．Windows系統中的用戶組涉及

AＢC

。A．全局組

B.本地組C.特殊組

Ｄ.標準組

5．Wｉｎdows系統登錄流程中使用的系統安全模塊有

AＢC

。A.安全帳號管理（ＳecurｉtyAccoｕntMaｎager，簡稱SＡM）模塊B.Wｉｎｄｏwｓ系統的注冊(WinLogｏn）模塊Ｃ．本地安全認證(LｏcaｌSeｃｕritｙAuｔhority，簡稱LＳＡ)模塊D.安全引用監控器模塊

6.域內置全局組安全控制非常重要，這些組只出現在域控制器中，涉及

AＢD

。A.DomａｉｎAdmｉns組

B.DomainUserｓ組C.DｏmainＲepliｃatｏｒs組

Ｄ.DoｍaiｎGｕests組

７．Windowｓ系統中的審計日記涉及

ＡＢC

。A．系統日記(SｙstｅmLｏｇ）

Ｂ.安全日記(SecｕｒityLｏg)Ｃ.應用程序日記（ＡpplｉcatiｏnsLog）

D.用戶日記（UｓerＬog)

8．組成UＮIX系統結構的層次有

８.ＡCD

。A．用戶層

B.驅動層C.硬件層

Ｄ.內核層

９.ＵNＩX/Lｉｎｕx系統中的密碼控制信息保存在/etｃ/passwd或/eｃt/shadｏw文獻中，信息包含的內容有

9．BＣD

。A.最近使用過的密碼Ｂ.用戶可以再次改變其密碼必須通過的最小周期C.密碼最近的改變時間D.密碼有效的最大天數

1０.UNIX/Linuｘ系統中的Ａpcachｅ服務器的重要安全缺陷表現在襲擊者可以

１０.ＡBC

。A.運用HTＴＰ協議進行的拒絕服務襲擊B.發動緩沖區溢出襲擊C.獲得rooｔ權限D.運用MDAC組件存在一個漏洞，可以導致襲擊者遠程執行目的系統的命令

11.數據庫訪問控制的粒度也許有

11.ABＣD

。Ａ.數據庫級B.表級C.記錄級(行級)Ｄ．屬性級（字段級)Ｅ.字符級

1２.下面標準可用于評估數據庫的安全級別的有

12．ＡBCＤE

。A.TCＳECB.IＴＳECＣ．ＣCDBMＳ.PＰＤ．GB1７859—１9９９E.TDI

13.Oracｌe數據庫的審計類型有

13.ACD

。A.語句審計B.系統進程審計C.特權審計D.模式對象設計E.外部對象審計

１4．SＱLServer中的預定義服務器角色有

14.ABＣDE

。Ａ.sysadｍiｎB.serveradmiｎＣ.setupａdminD.securiｔyaｄmiｎE.processadmin

15．可以有效限制SQL注入襲擊的措施有

15．BCDE

。A．限制DBMS中ｓｙｓaｄmin用戶的數量B.在Wｅｂ應用程序中，不以管理員帳號連接數據庫C.去掉數據庫不需要的函數、存儲過程Ｄ．對于輸入的字符串型參數,使用轉義E．將數據庫服務器與互聯網物理隔斷

16.事務的特性有

16．ABＣE

。Ａ．原子性(Atｏmicity)B.一致性（Cｏnsisｔencｙ）C．隔離性（Isolatｉon)D.可生存性(Sｕｒvivａbｉliｔy)E.連續性(Dｕｒabiliｔy）

17.數據庫故障也許有

1７.ABCDＥ

。A.磁盤故障B.事務內部的故障C．系統故障D.介質故障Ｅ.計算機病毒或惡意襲擊

四、問答題1.簡要敘述Wｉｎdｏws系統的用戶登錄流程。答：Windows系統的用戶登錄流程就是由若干安全功能子模塊默契配合的過程。登錄開始時，Windows系統的注冊(ｗｉnｌｏgｏn)模塊產生winｌoｇoｎ進程，顯示安全性交互對話框，規定用戶輸入用戶名、密碼、服務器／域名。假如用戶信息有效，系統便開始確認用戶身份。Windows系統將用戶信息通過安全系統傳輸到SAM，并對用戶身份進行確認。安全帳號管理器把用戶的登錄信息與服務器里的安全帳號管理數據庫進行比較，假如兩者匹配,服務器將告知工作站允許用戶進行訪問。winlogｏn進程將調用Wｉn３2子系統,Wｉn32子系統為用戶產生一個新的進程。緊接著，ＬＳA開始構建訪問令牌(AccｅssＴokｅns），與用戶進行的所有操作相連,用戶進行的操作與訪問令牌一起構成一個主體。當用戶規定訪問一個對象時,主體的訪問令牌的內容將與對象的存取控制列表通過一個有效性訪問程序進行比較,這個程序將決定接受或拒絕用戶的訪問規定。

2.什么是本地用戶組?什么是域用戶組？它們之間是什么關系?答：簡樸地說，本地用戶組是具有相同權限的本地用戶帳號的集合，域用戶組是具有相同權限的域用戶帳號的集合,它們都是Wｉndｏws系統中用戶組概念的具體延伸，但它們之間沒有交叉關系。Ｗｉndoｗｓ系統的用戶組分為全局組、本地組和特殊組。其中除去本地組中的一部分被認為是本地用戶組外，其他重要是在域環境下使用的,都是域用戶組。〖ＬM〗〖ＫG2〗

3.保障ＩＩS安全的重要方式有哪幾種?分別簡要說明。答:保障ＩIS安全的重要方式有以下幾種：（1）運用NTＦS與IIS相結合的權限管理方式限制“匿名”Web訪問者的權限。由于IIＳ與Wiｎdｏws系統完全集成在一起，因此,可以運用ＮTＦS文獻系統取得權限管理，同時，IIS自身尚有一類組權限，可以與NTFS權限協同工作。(2)禁用所有不必要的服務（Weｂ開放服務以外)，并關閉相應端口。針對ＩIS的安全特性，只需要根據所需要開放的Ｗeb服務，開放一定數目的端口，關閉不必要的服務。(3）保護Ｗeb站點主目錄wwｗroot。在默認設立下，IＩS將其wwwｒoot目錄放在操作系統目錄下的\Inetpｕｂ目錄中。假如Ｗeb站點不在Ineｔpub中,一些簡樸的病毒軟件也許無法發現。因此,移動文檔目錄的根目錄可以提供少量的保護。（4）刪除IIＳ安裝中的額外目錄。IIS自帶了一系列示例文獻和額外目錄，很多是有用的，但也帶來了安全漏洞。例如,打開控制面板—添加／刪除程序—“Wｉndows組件”—Ｉntｅrnet信息服務（ＩIS)—具體信息，其中的FrｏntPage２0２３服務器擴展，假如不使用基于FｒoｎｔPaｇe的Wｅb開放,建議刪除此擴展。此外可以刪除的ＩIS文獻尚有:IIＳ管理單元中名為Ｐrｉｎtｅｒｓ和IＩSＳaｍple的文獻夾。假如不需要連接數據庫連接器,還可以刪除MSADC文獻夾。假如用戶不需要提供Web服務，建議干脆刪除涉及ＩＩＳ的服務（如IIS，ＩnterneｔInforｍａtioｎServｉce等)。

４.Linｕｘ系統的安全性與Windｏws系統的安全性相比較是否有優勢?假如有，為什么會有這種優勢？答:一般認為，Lｉnux系統與Ｗｉnｄｏws系統相比,安全面具有優勢，導致這種優勢的重要因素有以下幾個方面：（1)Linux的開源軟件開發方式更容易暴露錯誤,這是Wiｎｄowｓ不具有的優勢。(2）Wiｎdows的許多應用程序依靠遠程程序調用，而Linux則限制使用遠程程序調用。(3)某些第三方Wiｎdows應用軟件中經常需要管理員的權限才干對的運營軟件。因此,這些軟件發起的病毒襲擊的破壞性極大。而Linuｘ應用軟件通常都要遵守這個安全規定，因此,很少被襲擊者運用。(4)Winｄoｗs具有易學易用性,同時需要兼容不安全的老版本的軟件。這些對于系統安全也是一個不利的因素,這個缺陷是Linux所沒有的。

5.一般UNIＸ/Lｉnux系統的密碼文獻存放在/ｅtｃ/ｐasswd文獻中，文獻中的條目格式為uｓeｒnamｅ:ｅncrypｔedpasｓｗorｄ：userID：ｇｒoupID:IDstｒiｎｇ:hｏmedirｅctoｒy:loginshell，其中各字段分別代表了什么含義？答：字段usｅrnaｍe指的是用戶名；字段enｃrypｔedpassｗord指的是加密后的密碼；字段userIＤ（UID）指的是用戶的ＩD;字段ｇｒoupID（ＧID）指的是組的IＤ;字段ＩDsｔriｎg指的是用戶的全名;最后兩個字段指的是用戶的主目錄和成功登錄后可用的Shｅｌl。

6.Linｕx系統提供了哪些查看進程信息的系統調用？分別簡樸說明它們命令的功能。答：Lｉnuｘ系統提供了whｏ、ｗ、ps和tｏp等查看進程信息的系統調用，結合使用這些系統調用，用戶可以清楚地了解進程的運營狀態以及存活情況，從而采用相應的措施來保證Linux系統的安全。下面逐個說明以上幾種命令的功能:（1）who命令:該命令重要用于查看當前在線上的用戶情況,系統管理員可以使用whｏ命令監視每個登錄的用戶此時此刻的所作所為。(2）w命令：該命令也用于顯示登錄到系統的用戶情況，但是與who命令不同的是，w命令功能更加強大，它不僅可以顯示有誰登錄到系統,還可以顯示出這些用戶當前正在進行的工作，w命令是whｏ命令的一個增強版。(3)ｐs命令：該命令是最基本的同時也是非常強大的進程查看命令，運用它可以擬定有哪些進程正在運營及運營的狀態、進程是否結束、進程有沒有僵死、哪些進程占用了過多的資源等。(4）tｏp命令:ｔop命令和pｓ命令的基本作用是相同的,即顯示系統當前的進程及其狀態。

7．試解釋ＳQＬ注入襲擊的原理,以及對數據庫也許產生的不利影響。答:SＱL注入襲擊的原理是從客戶端提交特殊的代碼,Ｗeb應用程序假如沒做嚴格檢查就將其形成SQL命令發送給數據庫,從數據庫的返回信息中，襲擊者可以獲得程序及服務器的信息,從而進一步獲得其他資料。SＱL注入襲擊可以獲取Web應用程序和數據庫系統的信息，還可以通過SQL注入襲擊竊取敏感數據、篡改數據、破壞數據,甚至以數據庫系統為橋梁進一步入侵服務器操作系統,從而帶來更為巨大的破壞。

8．對比Oｒacle數據庫和MSSQＬＳｅｒver數據庫的身份認證機制的異同。答：Ｏracle的身份認證有兩種方式:外部身份認證和ＤBMS認證。外部身份認證指的是使用OracleDＢMS以外的系統對用戶身份予以認證，OracleDBＭS信任這種認證的結果。這里的外部系統通常指的是操作系統。這種認證方式的好處在于：無需輸入帳號、口令，從而避免了口令信息因傳輸、存儲不妥而引發泄露。ＤBＭS認證則是傳統的帳號、口令方式的認證。ＯraｃleDＢMS在系統表空間中保存已有用戶的帳號、口令等信息，并以此為依據認證用戶的身份。ＳQLServer的身份認證機制與Oｒａcle有顯著區別。它引入了“登錄ＩD”的概念，將登錄身份和具體的用戶身份剝離開來,從而使從登錄到訪問數據，要通過兩次身份認證。第一次身份認證是在登錄時，在DBMＳ身份認證模式下，訪問者必須提供一個有效的登錄ＩD和口令才干繼續向前；第二次身份認證是當訪問者通過上述驗證后，登錄ＩD必須與目的數據庫里的某個用戶ID相聯系，才可以相應地擁有對數據庫的操作權限。

9．試解釋數據庫恢復的兩種實現技術,并分別說明它們的用途。答:恢復機制涉及兩個關鍵問題：如何建立冗余數據和如何運用這些冗余數據實行數據庫恢復。建立冗余數據最常用的技術有兩種：第一種是數據備份，即將數據庫中的各種數據備份到其他物理或邏輯設備上,當發生故障時,將備份的數據恢復到數據庫中;第二種是日記文獻，即記錄事務對數據庫的更新操作。第六章

網絡安全

一、判斷題１.防火墻是設立在內部網絡與外部網絡（如互聯網)之間，實行訪問控制策略的一個或一組系統。(對)

2.組成自適應代理網關防火墻的基本要素有兩個:自適應代理服務器（AdapｔiveＰroｘｙServer)與動態包過濾器(DynａmｉcPａｃｋetＦiltｅr）。對

３.軟件防火墻就是指個人防火墻。錯

4.網絡地址端口轉換（NAPＴ)把內部地址映射到外部網絡的一個IP地址的不同端口上。對

5.防火墻提供的透明工作模式,是指防火墻工作在數據鏈路層,類似于一個網橋。因此，不需要用戶對網絡的拓撲做出任何調整就可以把防火墻接入網絡。對

６．防火墻安全策略一旦設定,就不能在再做任何改變。錯

７.對于防火墻的管理可直接通過Teｌｎet進行。錯

8．防火墻規則集的內容決定了防火墻的真正功能。對

９.防火墻必須要提供VPN、NＡT等功能。錯

1０.防火墻對用戶只能通過用戶名和口令進行認證。錯

11．即使在公司環境中，個人防火墻作為公司縱深防御的一部分也是十分必要的。對

1２.只要使用了防火墻，公司的網絡安全就有了絕對的保障。錯

13.防火墻規則集應當盡也許的簡樸，規則集越簡樸,錯誤配置的也許性就越小,系統就越安全。對

14.iｐtables可配置具有狀態包過濾機制的防火墻。對

1５.可以將外部可訪問的服務器放置在內部保護網絡中。錯

１６.在一個有多個防火墻存在的環境中，每個連接兩個防火墻的計算機或網絡都是DMZ。對

1７．入侵檢測技術是用于檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的一種網絡安全技術。對

18.積極響應和被動響應是互相對立的,不能同時采用。錯

19.異常入侵檢測的前提條件是入侵性活動集作為異常活動集的子集,而抱負狀況是異常活動集與入侵性活動集相等。對

2０．針對入侵者采用措施是積極響應中最佳的響應措施。錯

21．Ｓnorｔ是遵循ＧNU通用公共許可證GPL的基于網絡的入侵檢測系統。對22.在初期大多數的入侵檢測系統中，入侵響應都屬于被動響應。對

２3.性能“瓶頸”是當前入侵防御系統面臨的一個挑戰。對

24.漏報率，是指系統把正常行為作為入侵襲擊而進行報警的概率。錯

25.與入侵檢測系統不同，入侵防御系統采用在線(inline）方式運營。對

２6．蜜罐技術是一種被動響應措施。錯

2７.公司應考慮綜合使用基于網絡的入侵檢測系統和基于主機的入侵檢測系統來保護公司網絡。在進行分階段部署時,一方面部署基于網絡的入侵檢測系統,由于它通常最容易安裝和維護,接下來部署基于主機的入侵檢測系統來保護至關重要的服務器。對

２8.入侵檢測系統可以填補公司安全防御系統中的安全缺陷和漏洞。錯

29.使用誤用檢測技術的入侵檢測系統很難檢測到新的襲擊行為和原有襲擊行為的變種。對

30.在初期用集線器（ｈub)作為連接設備的網絡中使用的基于網絡的入侵檢測系統,在互換網絡中不做任何改變,同樣可以用來監聽整個子網。錯

31.可以通過技術手段,一次性填補所有的安全漏洞。錯

３2．漏洞只也許存在于操作系統中,數據庫等其他軟件系統不會存在漏洞。錯

33.防火墻中不也許存在漏洞。錯

3４.基于主機的漏洞掃描不需要有主機的管理員權限。錯

３５.半連接掃描也需要完畢TCP協議的三次握手過程。錯

36.使用漏洞庫匹配的方法進行掃描，可以發現所有的漏洞。錯

３7.所有的漏洞都是可以通過打補丁來填補的。錯

38.通過網絡掃描,可以判斷目的主機的操作系統類型。對

３9．x-scan可以進行端口掃描。對

4０.隔離網閘采用的是物理隔離技術。對

41.“安全通道隔離”是一種邏輯隔離。錯

４2．隔離網閘兩端的網絡之間不存在物理連接。對

43.QQ是與朋友聯機聊天的好工具,不必緊張病毒。錯

４4.在計算機上安裝防病毒軟件之后,就不必緊張計算機受到病毒襲擊。錯

45.計算機病毒也許在用戶打開“ｔxｔ”文獻時被啟動。對

４6.在安全模式下木馬程序不能啟動。錯

47．特性代碼技術是檢測已知計算機病毒的最簡樸、代價最小的技術。對

48.家里的計算機沒有聯網,所以不會感染病毒。錯

49.計算機病毒的傳播離不開人的參與,遵循一定的準則就可以避免感染病毒。錯

50.校驗和技術只能檢測已知的計算機病毒。錯

51.采用Roｏtkｉt技術的病毒可以運營在內核模式中。對

52.公司內部只需在網關和各服務器上安裝防病毒軟件,客戶端不需要安裝。錯

53.大部分惡意網站所攜帶的病毒就是腳本病毒。對

５４.運用互聯網傳播已經成為了計算機病毒傳播的一個發展趨勢。對

二、單選題

1.防火墻是

1．Ｂ

在網絡環境中的應用。Ａ.字符串匹配

Ｂ.訪問控制技術C.入侵檢測技術

D.防病毒技術

２.iptａｂｌes中默認的表名是

2.A

。A.fiｌter

B.fｉrewallC.ｎaｔ

D.mａｎgle

3.包過濾防火墻工作在ＯSI網絡參考模型的

3.C

。A.物理層

B．數據鏈路層C．網絡層

Ｄ．應用層

4.通過添加規則，允許通往１92．1６8.0．2的SＳＨ連接通過防火墻的iptablｅs指令是

4．Ｃ

。Ａ.ipｔabｌes-FIＮＰUT-d１９2.１68.０.２-ptｃp--dpoｒｔ２２-jAＣCＥPTB.iptableｓ-AINPＵT-d192.1６8.0．2－pｔcｐ－-dpｏｒt2３-jAＣCＥPTC．iptaｂlｅs-AFORWARD-d１92.1６8.0.2－ptcp--dport22-jACCEPTD.iptａbles－AFOＲWARD-d１92.１6８．0.２－ptcp--ｄｐort2３-jＡCCEPＴ

5．防火墻提供的接入模式不涉及

5.D

。A．網關模式

Ｂ．透明模式Ｃ.混合模式

D．旁路接入模式

6.關于包過濾防火墻說法錯誤的是

6.C

。A.包過濾防火墻通常根據數據包源地址、目的地址、端標語和協議類型等標志設立訪問控制列表實行對數

據包的過濾Ｂ.包過濾防火墻不檢查OSI網絡參考模型中網絡層以上的數據，因此可以不久地執行C．包過濾防火墻可以有效防止運用應用程序漏洞進行的襲擊Ｄ.由于規定邏輯的一致性、封堵端口的有效性和規則集的對的性,給過濾規則的制定和配置帶來了復雜

性,一般操作人員難以勝任管理，容易出現錯誤

7．關于應用代理網關防火墻說法對的的是

7.B

。A.基于軟件的應用代理網關工作在OSI網絡參考模型的網絡層上，它采用應用協議代理服務的工作方式實

施安全策略B.一種服務需要一種代理模塊,擴展服務較難C．和包過濾防火墻相比,應用代理網關防火墻的解決速度更快Ｄ.不支持對用戶身份進行高級認證機制。一般只能依據包頭信息，因