计算机三级信息安全技术 第一套正式版.docx

1、计算机三级信息安全技术 第一套正式版第一套1.信息技术的产生与发展，大致经历的三个阶段是（）。A.电讯技术的发明、计算机技术的发展和互联网的使用B.电讯技术的发明、计算机技术的发展和云计算的使用C.电讯技术的发明、计算机技术的发展和个人计算机的使用D.电讯技术的发明、计算机技术的发展和半导体技术的使用【解析】信息技术的发展，大致分为电讯技术的发明（19世纪30年代开始）、计算机技术的发展（20世纪50年代开始）和互联网的使用（20世纪60年代开始）三个阶段。故选择A选项。2.同时具有强制访问控制和自主访问控制属性的访问控制模型是（）。A.BLPB.BibaC.Chinese WallD.RBA

2、C【解析】BLP模型基于强制访问控制系统，以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起，用户通过充当合适角色的成员而获得该角色的许可权。故选择C选项。3.信息安全的五个基本属性是（）。A.机密性、

3、可用性、可控性、不可否认性和安全性B.机密性、可用性、可控性、不可否认性和完整性C.机密性、可用性、可控性、不可否认性和不可见性D.机密性、可用性、可控性、不可否认性和隐蔽性【解析】信息安全的五个基本属性为：可用性（availability）、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可否认性(non-repudiation)。而安全性，不可见性和隐蔽性不属于信息安全的五个基本属性。故选择B选项。4.下列关于信息安全的地位和作用的描述中，错误的是（）。A.信息安全是网络时代国家生存和民族振兴的根本保障B.信息安全是信息社

4、会健康发展和信息革命成功的关键因素C.信息安全是网络时代人类生存和文明发展的基本条件D.信息安全无法影响人们的工作和生活【解析】信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露（比如商业科研项目数据，对手企业发展规划等）、防范青少年对不良信息的浏览（比如淫秽，色情，暴力等）、个人信息的泄露（比如银行卡号，身份证号等）等，因此D选项不正确。故选择D选项。5.下列关于哈希函数的说法中，正确的是（）。A.哈希函数是一种双向密码体制B.哈希函数将任意长度的输入经过变换后得到相同长度的输出C.MD5算法首先将任意长度的消息填充为512的倍数，然后进行处理D.SHA算法要比MD5算法更快【解析

5、】哈希函数将输入资料输出成较短的固定长度的输出，这个过程是单向的，逆向操作难以完成，故A、B选项错误；MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值；SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit，故耗时要更长，故D选项错误。故选择C选项。6.下列关于对称密码的描述中，错误的是（）。A.加解密处理速度快B.加解密使用的密钥相同C.密钥管理和分发简单D.数字签名困难【解析】对称加密系统通常非常快速，却易受攻击，因为用于加密的密钥必须与需要对消息进行解

6、密的所有人一起共享，同一个密钥既用于加密也用于解密所涉及的文本，A、B正确；数字签名是非对称密钥加密技术与数字摘要技术的综合应用，在操作上会有一定的难度，故D正确。对称加密最大的缺点在于其密钥管理困难。故选择C选项。7.下列攻击中，消息认证不能预防的是（）。A.伪装B.内容修改C.计时修改D.发送方否认【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无意的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证)、及消息的序号和操作时间认证等，但是发送方否认将无法保证。故选择D选项。8.下列关于Diameter和

7、RADIUS区别的描述中，错误的是（）。A.RADIUS运行在UDP协议上，并且没有定义重传机制；而Diameter运行在可靠的传输协议TCP、SCTP之上B.RADIUS支持认证和授权分离，重授权可以随时根据需求进行；Diameter中认证与授权必须成对出现C.RADIUS固有的客户端/服务器模式限制了它的进一步发展；Diameter采用了端到端模式，任何一端都可以发送消息以发起审计等功能或中断连接D.RADIUS协议不支持失败恢复机制；而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误【解析】RADIUS运行在UDP协议上，并且没有定义重传机制，

8、而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离，重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。故选择B选项。9.下列关于非集中式

9、访问控制的说法中，错误的是（）。A.Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录B.Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证C.分布式的异构网络环境中，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程D.在许多应用中，Kerberos协议需要结合额外的单点登录技术以减少用户在不同服务器中的认证过程【解析】Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序

10、提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，故D选项说法错误，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。故选择D选项。10.IKE协议属于混合型协议，由三个协议组成。下列协议中，不属于IKE协议的是（）。A.OakleyB.KerberosC.SKEMED.ISAKMP【解析】IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议，B选项错误。故选择B选项。11.下列组件中，典型的PKI系统不包括

11、（）。A.CAB.RAC.CDSD.LDAP【解析】一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书；RA可作为CA的一部分，也可以独立，其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等；PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。故选择C选项。12.下列协议中，状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是（）。A.TCPB.UDPC.ICMPD.FTP【解析】状态检测防火墙在处理无连接状态的UDP、ICMP等协议时，无法提供动态的链接

12、状态检查，而且当处理FTP存在建立两个TCP连接的协议时，针对FTP协议的被动模式，要在连接状态表中允许相关联的两个连接。而在FTP的标准模式下，FTP客户端在内网，服务器端在外网，由于FTP的数据连接是从外网服务器到内网客户端的一个变化的端口，因此状态防火墙需要打开整个端口范围才能允许第二个连接通过，在连接量非常大的网络，这样会造成网络的迟滞现象。状态防火墙可以通过检查TCP的标识位获得断开连接的信息，从而动态的将改连接从状态表中删除。故选择A选项。13.下列选项中，不属于分组密码工作模式的是（）。A.ECBB.CCBC.CFBD.OFB【解析】CCB（密码块链接），每个平文块先与前一个密文

13、块进行异或后，再进行加密，没有分组工作模式。ECB（电码本）模式是分组密码的一种最基本的工作模式。在该模式下，待处理信息被分为大小合适的分组，然后分别对每一分组独立进行加密或解密处理。CFB（密文反馈），其需要初始化向量和密钥两个内容，首先先对密钥对初始向量进行加密，得到结果(分组加密后)与明文进行移位异或运算后得到密文，然后前一次的密文充当初始向量再对后续明文进行加密。OFB（输出反馈），需要初始化向量和密钥，首先运用密钥对初始化向量进行加密，对下个明文块的加密。故选择B选项。14.下列关于访问控制主体和客体的说法中，错误的是（）。A.主体是一个主动的实体，它提供对客体中的对象或数据的访问要

14、求B.主体可以是能够访问信息的用户、程序和进程C.客体是含有被访问信息的被动实体D.一个对象或数据如果是主体，则其不可能是客体【解析】主体是指提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体，客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。因此，可以主体可以是另外一个客体。故选择D选项。15.下列关于进程管理的说法中，错误的是（）。A.用于进程管理的定时器产生中断，则系统暂停当前代码执行，进入进

15、程管理程序B.操作系统负责建立新进程，为其分配资源，同步其通信并确保安全C.进程与CPU的通信是通过系统调用来完成的D.操作系统维护一个进程表，表中每一项代表一个进程【解析】进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。而不是通过系统调用来完成的。故选择C选项。16.下列关于守护进程的说法中，错误的是（）。A.Unix/Linux系统大多数服务都是通过守护进程实现的B.守护进程常常在系统引导装入时启动，在系统关闭时终止C.守护进程不能完成系统任务D.如果想让某个进程不因为用户或终端或其它变化而受到影响，就必须把这个进程变成一个守护进程【解析】在linux或者unix操

16、作系统中在系统的引导的时候会开启很多服务，这些服务就叫做守护进程。为了增加灵活性，root可以选择系统开启的模式，这些模式叫做运行级别，每一种运行级别以一定的方式配置系统。守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。守护进程常常在系统引导装入时启动，在系统关闭时终止。Linux系统有很多守护进程，大多数服务都是通过守护进程实现的，同时，守护进程还能完成许多系统任务，例如，作业规划进程crond、打印进程lqd等，故选择C选项。17.在Unix系统中，改变文件分组的命令是（）。A.ch

17、modB.chownC.chgrpD.who【解析】chmod：文件/目录权限设置命令；chown：改变文件的拥有者；chgrp：变更文件与目录的所属群组，设置方式采用群组名称或群组识别码皆可；who：显示系统登陆者。故选择C选项。下列选项中，不属于Windows环境子系统的是（）。A.POSIXB.OS/2C.Win32D.Win8【解析】Windows有3个环境子系统：Win32、POSIX和OS/2；POSIX子系统，可以在Windows下编译运行使用了POSIX库的程序，有了这个子系统，就可以向Windows移植一些重要的UNIX/Linux应用。OS/2子系统的意义跟POSIX子系统

18、类似。Win32子系统比较特殊，如果没有它，整个Windows系统就不能运行，其他两个子系统只是在需要时才被启动，而Wind32子系统必须始终处于运行状态。故选择D选项。19.下列有关视图的说法中，错误的是（）。A.视图是从一个或几个基本表或几个视图导出来的表B.视图和表都是关系，都存储数据C.视图和表都是关系，使用SQL访问它们的方式一样D.视图机制与授权机制结合起来，可以增加数据的保密性【解析】视图是原始数据库数据的一种变换，是查看表中数据的另外一种方式。可以将视图看成是一个移动的窗口，通过它可以看到感兴趣的数据。视图是从一个或多个实际表中获得的，这些表的数据存放在数据库中。那些用于产生视

19、图的表叫做该视图的基表。一个视图也可以从另一个视图中产生。视图的定义存在数据库中，与此定义相关的数据并没有再存一份于数据库中，通过视图看到的数据存放在基表中，而不是存放在视图中，视图不存储数据，故B选项说法不正确。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上，但不能授权到数据库特定行和特定的列上。故选择B选项。20.下列关于事务处理的说法中，错误的是（）。A.事务处理是一种机制，用来管理必须成批执行的SQL操作，以保证数据库不包含不完整的操作结果B.利用事务处理，可以保证一组操作不会中途停止，它们或者作为整体执行或者完全不执行C.不能回退SELECT语句，因此事务处理中不

20、能使用该语句D.在发出COMMIT或ROLLBACK语句之前，该事务将一直保持有效【解析】由于事务是由几个任务组成的，因此如果一个事务作为一个整体是成功的，则事务中的每个任务都必须成功。如果事务中有一部分失败，则整个事务失败。一个事务的任何更新要在系统上完全完成，如果由于某种原因出错，事务不能完成它的全部任务，系统将返回到事务开始前的状态。COMMIT语句用于告诉DBMS，事务处理中的语句被成功执行完成了。被成功执行完成后，数据库内容将是完整的。而ROLLBACK语句则是用于告诉DBMS，事务处理中的语句不能被成功执行。不能回退SELECT语句，因此该语句在事务中必然成功执行。故选择C选项。2

21、1.P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型。在该模型的四个组成部分中，核心是（）。A.策略B.防护C.检测D.响应【解析】P2DR模型包括四个主要部分：Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)，在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。故选择A选项。

22、22.下列选项中，ESP协议不能对其进行封装的是（）。A.应用层协议B.传输层协议C.网络层协议D.链路层协议【解析】ESP协议主要设计在IPv4和IPv6中提供安全服务的混合应用。IESP通过加密需要保护的数据以及在ESP的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法，能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性，但是，ESP协议无法封装链路

23、层协议。故选择D选项。23.Kerberos协议是分布式网络环境的一种（）。A.认证协议B.加密协议C.完整性检验协议D.访问控制协议【解析】Kerberos是一种网络认证协议，而不是加密协议或完整性检验协议。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。故选择A选项。24.下列选项中，用户认证的请求通过加密信道进行传输的是（）。A.POSTB. C.GETD. S【解析】 S是以安全为目标的 通道，简单讲是 的安全版。即 下加入SSL层， S的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URIscheme，句法类同 体系。用于安全的 数据传输。 s:URL

24、表明它使用了 ，但 S存在不同于 的默认端口及一个加密/身份验证层（在 与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，因此用户认证的请求通过加密信道进行传输，现在它被广泛用于万维网上安全敏感的通讯。故选择D选项。25.AH协议具有的功能是（）。A.加密B.数字签名C.数据完整性鉴别D.协商相关安全参数【解析】AH协议用以保证数据包的完整性和真实性，防止黑客阶段数据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。故选择C选项。26.下列选项中，不属于IPv4中TCP/IP协议栈安全缺陷的是（）。A.没有

25、为通信双方提供良好的数据源认证机制B.没有为数据提供较强的完整性保护机制C.没有提供复杂网络环境下的端到端可靠传输机制D.没有提供对传输数据的加密保护机制此题我不会,点击加入错题库参考答案:C您的答案:图文解析：【解析】IPv4中TCP/IP协议栈，没有口令保护,远程用户的登录传送的帐号和密码都是明文,这是Telnet致命的弱点;认证过程简单,只是验证连接者的帐户和密码;传送的数据没有加密等。IPv4中TCP/IP协议栈提供了端到端可靠传输机制。故选择C选项。27.下列协议中，可为电子邮件提供数字签名和数据加密功能的是（）。A.SMTPB.S/MIMEC.SETD.POP3【解析】SMTP：简

26、单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SET：安全电子交易协议；POP3：邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。S/MIME为多用途网际邮件扩充协议，在安全方面的功能又进行了扩展，它可以把MIME实体(比如数字签名和加密信息等)封装成安全对象。故选择B选28.在计算机网络系统中，NIDS的探测器要连接的设备是（）。A.路由器B.防火墙C.网关设备D.交换机【解析】NIDS是NetworkIntrusionDetectionSystem的缩写，即网络入侵检测系统，主要用于检测Hacker或Cra

27、cker通过网络进行的入侵行为。NIDS提供的功能主要有数据的收集，如数据包嗅探；事件的响应，如利用特征匹配或异常识别技术检测攻击，并产生响应；事件的分析，事件数据存储。所以其探测器要连接在交换机上。故选择D选项。29.下列网络地址中，不属于私有IP地址的是（）。【解析】私有IP地址范围：A:10.0.0.010.255.255.255即10.0.0.0/8B:172.16.0.0172.31.255.255即172.16.0.0/12C:192.168.0.0192.168.255.255即192.168.0.0/16故选择B选项。30.下列选项中，软件漏洞网络攻击框架性工具是（）。A.Bi

28、tBlazeB.NessusC.MetasploitD.Nmap【解析】BitBlaze平台由三个部分组成：Vine，静态分析组件，TEMU，动态分析组件，Rudder，结合动态和静态分析进行具体和符号化分析的组件。Nessus?是目前全世界最多人使用的系统漏洞扫描与分析软件。Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。NMap，也就是NetworkMapper，是Linux下的网络扫描和嗅探工具包。故选择C选项。31.OWASP的十大安全威胁排名中，位列第一的是（）。A.遭破坏的认证和会话管理B.跨站脚本C.注入攻击D.伪造跨站请求

29、【解析】OWASP的十大安全威胁排名：第一位:注入式风险；第二位:跨站点脚本(简称XSS)；第三位:无效的认证及会话管理功能；第四位:对不安全对象的直接引用；第五位:伪造的跨站点请求(简称CSRF)；第六位:安全配置错误；第七位:加密存储方面的不安全因素；第八位:不限制访问者的URL；第九位:传输层面的保护力度不足；第十位:未经验证的重新指向及转发。故选择C选项。32.提出软件安全开发生命周期SDL模型的公司是（）。A.微软B.惠普C.IBMD.思科【解析】安全开发周期，即SecurityDevelopmentLifecycle(SDL)，是微软提出的从安全角度指导软件开发过程的管理模式。微软

30、于2004年将SDL引入其内部软件开发流程中，目的是减少其软件中的漏洞的数量和降低其严重级别。故选择A选项。33.下列选项中，不属于代码混淆技术的是（）。A.语法转换B.控制流转换C.数据转换D.词法转换【解析】代码混淆技术在保持原有代码功能的基础上，通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可通过多种技术手段实现，包括词法转换、控制流转换、数据转换。故选择A选项。34.下列选项中，不属于漏洞定义三要素的是（）。A.漏洞是计算机系统本身存在的缺陷B.漏洞的存在和利用都有一定的环境要求C.漏洞在计算机系统中不可避免D.漏洞的存在本身是没有危害的，只有被攻

31、击者恶意利用，才能带来威胁和损失【解析】漏洞的定义包含以下三个要素：首先，漏洞是计算机系统本身存在的缺陷；其次，漏洞的存在和利用都有一定的环境要求；最后，漏洞存在的本身是没有危害的，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失。故选择C选项。35.下列关于堆（heap）和栈（stack）在内存中增长方向的描述中，正确的是（）。A.堆由低地址向高地址增长，栈由低地址向高地址增长B.堆由低地址向高地址增长，栈由高地址向低地址增长C.堆由高地址向低地址增长，栈由高地址向低地址增长D.堆由高地址向低地址增长，栈由低地址向高地址增长【解析】堆生长方向是向上的，也就是向着内存增加的方向；栈相反。故选择B选项。36.下列选项中，不属于缓冲区溢出的是（）。A.栈溢出B.整数溢出C.堆溢出D.单字节溢出【解析】缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，使得溢出的数据覆盖在合法数据上，理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分