全国计算机三级信息安全技术部分试题.docx

1、全国计算机三级信息安全技术部分试题全国计算机三级信息安全技术部分试题计算机系统安全评估的第一个正式标准是COMPUSEC CC:ISO 15408 CTCPEC TCSECLATE将信息系统的信息保障技术层面划分成四个技术框焦点域。下列选项中，不包含在该四个焦点域中的是本地计算环境 支撑性基础设施 区域边界 技术下列关于对称密码的描述中，错误的是数字签名困难 密钥管理和分发简单加解密使用的密钥相同 加解密处理速度快下列关于哈希函数的说法中，正确的是MD5算法首先将任意长度的消息填充为512的倍数，然后进行处理哈希函数将任意长度的输入经过变换后得到相同长度的输出哈希函数式一种双向密码体制 SHA

2、算法要比MD5算法更快下列攻击中，消息认证不能预防的是发送方否认 内容修改 伪装 计时修改下列关于访问控制主体和客观的说法中，错误的是客观是含有被访问信息的被动实体主体是一个主体的实体，它提供对客体中的对象或数据的访问要求主体可以是能够访问信息的用户、程序、进程一个对象或数据如果是主体，则其不可能是客体同时具有强制访问控制和自主访问控制属性的模型是Biba RBAC Chinese Wail BLP下列关于diameter和RADIUS区别的描述中，错误的是RADIUS固有的客户端/服务端模式限制了它的进一步进展；diameter采用了端到端模式，任何一端都可以发送消息以发起审计等功能或中断连

3、接RADIUS运行在UDP协议上，并且没有定义重传机制；而diameter运行在可靠地传输协议TCP、SCTP之上RADIUS协议不支持失败恢复；而diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即监测出传输错误RADIUS支持认证和授权分离，重授权可以随时根据需求进行；diameter中认证与授权必须成对出现下列关于非集中式访问控制的说法中，错误的是在许多应用中，Kerberos协议需要结合额外的单点登陆技术以减少用户在不同服务端中的认证过程Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即kerberos验证服务端，它通常也称为密钥分发

4、服务器，负责执行用户和服务的安全验证分发式的异构网络环境中，用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程Hotmail、yahoo、163等知名网站上使用的通行证技术应用了单点登录下列关于进程管理的说法中，错误的是线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位程序是在计算机上运行的一组指令参数的集合，指令按照既定的逻辑控制计算机运行线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间，程序，数据等进程是程序运行的一个实例，是运行着的程序Unix系统最重要的网络服务进程是Netd inet

5、inetd sysnet下列选项中，不属于windows系统进程管理的方法是DOS命令行 Msinfo32 任务管理器 服务下列关于GRANT语句的说法，错误的是发出该FRANT语句的只能是DBA或者数据库对象创建者，不能是其他用户如果指定了WITE GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其他的用户如果没有指定WITE GRANT OPTION子句，则获得某种权限的用户只能使用该权限，不能传播该权限接受权限的用户可以是一个或多个具体用户，也可以是PAUBLIC，即全体用户下列选项中，不属于数据库软件执行的完整性服务的是实体完整性 语义完整性 参照完整性 关系完

6、整性模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱的环节的技术是服务发现 SQL注入 端口扫描 渗透测试下列选项中，不属于分发式访问控制方法的是SESAME Kerberos SSO RADIUS下列关于IPSec的描述中，正确的是IPSec支持IPv4，不支持IPv6协议IPSec不支持IPv4和IPv6协议IPSec不支持IPv4，支持IPv6协议IPSec支持IPv4和IPv6协议下列关于SSL协议的描述中，正确的是为传输层提供了加密、身份认证和完整性验证的保护为链路层提供了加密、身份认证和完整性验证的保护为网络层提供了加密、身份认证和完整性验证的

7、保护为应用层提供了加密、身份认证和完整性验证的保护下列选项中，不属于PKI信任模型的是链状信任模型 网状信任模型 层次信任模型 桥证书认证机构信任模型下列选项中，误用监测技术不包括的是状态转换分析 模型推理 统计分析 专家系统下列选项中，不属于木马自身属性特点的是隐藏性 窃密性 伪装性 感染性攻击者向目标主机发起ACK-Flood时，目标主机收到攻击数据包后回应的是RST标志位设为1的数据包ACK和RST标志位设为1的数据包ACK标志位设为1的数据包SYN和ACK标志位设为1的数据包下列选项中，不属于网站挂马的主要技术手段是框架挂马 Body挂马 下载挂马 Js脚本挂马下列选项中，不属于实现和

8、实施注入攻击所具备的的关键条件是用户能够自主编写输入的数据掌握被注入的后台数据库系统的组织结构特性用户浏览页面中被插入的恶意脚本，无需提交即可自动加载并执行Web程序原有执行代码，被拼接了用户输入的数据后符合Web程序规范下列选项中，不能有效监测采用加壳技术的恶意程序的是主动防御技术 启发式查杀技术 虚拟机查杀技术 特征码查杀技术下列漏洞库中，由国内机构维护的漏洞库是CVE NVD EBD CNNVD下列关于堆（heap）的描述中，正确的是堆是一个后进先出的数据结构，在内存中的增长方向是从高地址向低地址增长堆是一个后进后出的数据结构，在内存中的增长方向是从高地址向低地址增长堆是一个先进后出的数

9、据结构，在内存中的增长方向是从低地址向高地址增长堆是一个先进先出的数据结构，在内存中的增长方向是从低地址向高地址增长41.信息安全的五个属性是机密性，完整性，41_可用性 _,可控性，不可否认性42.上世纪90年代中期，六国七方（加拿大，法国，德国，荷兰，英国，美国国家标准与技术研究院（NTST）及美国国家安全局（NSA）提出的信息技术安全性估计通用准则，英文简写为-CC基础准则）。43.传统对称密码加密时使用的两个技巧是：代换和置换44.当用户身份给确认合法后，赋予该用户进行文件和数据等操作权限的过程称为授权70 信息系统安全保护等级划分准则中提出了定级的四个要素：信息系统所属类型，业务数据

10、类型，信息系统 服务 范围和业务自动化处理程度。ISO 13335标准首次给出了关于IT安全的保密性，完整性 69 ，可用性，审计性，认证性。可靠性六个方面含义。68 CC将评估过程划分为功能和 规范 两部分67 信息系统安全保护等级划分准则主要的安全考核指标有身份认证，自主访问控制，数据 完整 性，审计 。66 给了管理的需要，一本方针手册还是必要的。手册一般包括如下内容： （1）信息安全 方针 的阐述；（2）控制目标与控制方式描述：（3）程序或其引用65信息安全管理体系（ISMS）是一个系统化，程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统，全面和科学的安全 风险评估 6

11、5 。64信息安全技术通过采用包括建设安全的 主机 64 系统和安全的网络系统，并配备适当的安全产品的方法来实现。63 风险分析主要分为 定量63 风险分析和定向风险分析。62.通过分析软件代码中变量的取值变化的语句的执行情况，来分析数据处理逻辑和程序的控制流关系，从而分析软件代码的替在安全缺陷的技术是 shellcode代码 62 分析技术。微软SDL模型的中文称为软件 安全开发生命周期SDL61 模型。60 软件的安全开发技术主要包括建立 安全威胁60 模型，安全设计，安全编码和安全测试等几个方面。在一个基于公钥密码机制的安全应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。

12、请回答下述问题：在产生Alice和Bob的密钥时，如果采用RSA的算法，选取的模数N至少要有1024位，如果采用椭圆曲线密码，选取的参数P的规模应大于160基于公钥证书的密钥分发方法是目前广泛流行的密钥分发机制，用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机制的公钥对证书加以验证为了预防Alice抵赖，Bob要求Alice对其发送的信息进行签名。Alice将使用自己的私钥对信息签名；如果要求对信息保密传输，Alice将使用Bob的公钥对消息加密实际应用中为了缩短签名长度，提高签名的速度，而且为了更安全，常对信息的76进行签名实际应用中，通常需要进行身份证。基于口令的认证协议非常简

13、单，但是很不安全，两种改进的口令验证机制是：利用单向函数加密口令和一次口令。基于公钥密码也可以实现身份认证，假定Alice和Bob已经知道对方的公钥，Alice为了认证Bob的身份首先，Alice发送给Bob一个随机数a，即：AliceBob:a然后，Bob产生一个随机数b，并将b及通过其私钥所产生的签名信息发给Alice，假设用SignB表示用Bob的私钥产生数字签名的算法，即：Bob_-Alice:b|SiagnB(a|b);最后，为了认证Bob的身份，Alice的随机数b和签名信息之后，只需要使用Bob的 公钥 对签名信息进行解密，认证解密的结果是否等于79请回答有关数据库自主存取控制的

14、有关问题：（1）自主存取控制可以定义各个用户对不同数据对象的存取权限，向用户授予权限的SQL的语句是 GRANT，如果指定了WITE GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其它的用户；向用户收回授予权限的SQL语句是 VEVOKE （2）对数据库模式的授权则由DBA在创建用户时实现，如果在CREATE USER命令中没有指定创建新的用户的权限，默认该用户拥有CONNECT 权限。（3）可以为一组具有相同权限的用户创建一个角色，用其来管理数据库权限可以简化授权的过程。有些软件的漏洞存在于动态连接库中，这些动态连接库的内存中的栈帧地址是动态变化的，因为进行漏洞利用

15、的shellcode地址也是动态变化的。下图是与jmp esp 指令做为跳板，针对动态变化shellcode地址的漏洞栈帧的变化情况。303 溢出前 溢出后0请补全图中的相应内容1Shellcode2返回地址3NOP4esp5jmp esp在下图中，内网有二台计算机A和B，通过交换机连接网关设备最后连人互联网，其中计算机A的IP地址为192.168.1.10，MAC的地址为；计算机的地址为192.168.1.20，MAC地址为MACB；网关设备其中，计算机B感了ARP病毒，此ARP病毒向其它内网计算机发起伪装网关ARP欺骗攻击，它发送的ARP欺骗数据包中，IP地址为192.168.1.20，MAC地址为 MACB为了防止ARP欺骗，需要在内网计算机和网关设备上进行IP地址与MAC地址的双向静态绑定。首先，在内网的计算机A设置防止防止伪装网关欺骗的攻击的静态绑定Arp -d /清空ARP的缓存表Arp -s 192.168.1.10 MACA /将IP地址与MAC地址静态绑定然后，在网关设备中对计算机A设置IP地址与MAC地址的绑定Arp -d /清空ARP缓存表Arp -s 192.168.1.20 MACB/ 将IP地址与MAC地址静态绑定