练习15 信息安全管理.docx
- 文档编号:15451554
- 上传时间:2023-07-04
- 格式:DOCX
- 页数:15
- 大小:26.61KB
练习15 信息安全管理.docx
《练习15 信息安全管理.docx》由会员分享,可在线阅读,更多相关《练习15 信息安全管理.docx(15页珍藏版)》请在冰点文库上搜索。
练习15信息安全管理
信息安全管理练习题
●1、信息安全策略的设计与实施步骤是()。
A.定义活动目录角色、确定组策略管理安全性、身份验证、访问控制和管理委派
B.确定标准性、规范性、可控性、整体性、最小影响、保密性原则,确定公钥基本结构
C.确定安全需求、制订可实现的安全目标、制订安全规划、制订系统的日常维护计划
D.确定安全需求、确定安全需求的范围、制订安全规划、制订系统的日常维护计划
●2、信息安全管理体系是指()。
A.网络维护人员的组织体系 B.信息系统的安全设施体系
C.防火墙等设备、设施构建的安全体系 D.组织建立信息安全方针和目标并实现这些目标的体系
●3、下列选项中,()是最安全的信息系统。
A.ERP-CRM B.MRPII C.MIS-S D.S-MIS
●4、()指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
A.安全授权 B.安全管理 C.安全服务 D.安全审计
●5、安全管理是信息系统安全能动性的组成部分,它贯穿于信息系统规划、设计、运行和维护的各阶段。
安全管理中的介质安全属于()。
A.技术安全 B.管理安全 C.物理安全 D.环境安全
6、安全审计是保障计算机系统安全的重要手段之一,其作用不包括()。
A.检测对系统的入侵B.发现计算机的滥用情况
C.发现系统入侵行为和潜在的漏洞D.保证可信网络内部信息不外泄
7、网络安全包含了网络信息的可用性、保密性、完整性和真实性。
防范Dos攻击是提高
(1)的措施,数字签名是保证
(2)的措施。
(1)A.可用性B.保密性C.完整性D.真实性
(2)A.可用性B.保密性C.完整性D.真实性
8、防火墙把网络划分为几个不同的区域,一般把对外提供网络服务的设备(如WWW服务器、FTP服务器)放置于()区域。
A.信任网络B.非信任网络C.半信任网络D.DMZ(非军事化区)
●9、2005年12月,ISO正式发布了①作为IT服务管理的国际标准;2007年10月,ITU接纳②为3G标准;2005年10月,ISO正式发布了③作为信息安全管理的国际标准。
①、②和③分别是()。
A.①ISO27000②IEEE802.16③ISO20000 B.①ISO27000②ISO20000③IEEE802.16
C.①ISO20000②IEEE802.16③ISO27000 D.①IEEE802.16②ISO20000③ISO27000
●10、在信息安全保障系统的S-MIS体系架构中,“安全措施和安全防范设备”层不涉及()。
A.防黑客B.应用系统安全C.网闸D.漏洞扫描
●11、在《计算机信息安全保护等级划分准则》中,确定了5个安全保护等级,其中最高一级是()。
A.用户自主保护级 B.结构化保护级 C.访问验证保护级 D.系统审计保护级
●12、"需要时,授权实体可以访问和使用的特性"指的是信息安全的()。
A.保密性 B.完整性 C.可用性 D.可靠性
●13、()不是超安全的信息安全保障系统(S2-MIS)的特点或要求。
A.硬件和系统软件通用
B.PKI/CA安全保障系统必须带密码
C.业务应用系统在实施过程中有重大变化
D.主要的硬件和系统软件需要PKI/CA认证
●14、信息安全从社会层面来看,反映在()这三个方面。
A.网络空间的幂结构规律、自主参与规律和冲突规律
B.物理安全、数据安全和内容安全
C.网络空间中的舆论文化、社会行为和技术环境
D.机密性、完整性、可用性
15、数字签名是一种网络安全技术,利用这种技术,接收者可以确定发送者的身份是否真实,同时发送者不能
(1)发送的消息,接收者也不能
(2)接收的消息。
Kerberos是一种分布式环境下的(3)系统。
为了防止重放攻击(Replay),它使用了一次性的(4)和时间戳。
在公钥加密的情况下,用户必须警惕用于加密的公钥是否属于真正的接收者,为此必须使用数字证书;常用的数字证书格式有(5)证书和X.509证书。
(1)A.泄露 B.隐藏 C.篡改 D.否认
(2)A.泄露 B.否认 C.篡改 D.隐藏
(3)A.数字签名B.身份认证C.数字证书D.公钥加密
(4)A.KeyB.CertsC.MACD.Ticket
(5)A.PGPB.SSLC.SHTTPD.SOCKS
解析:
(3)(4)Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
认证过程具体如下:
客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后AS的响应包含这些用客户端密钥加密的证书。
证书的构成为:
1)服务器“ticket”;2)一个临时加密密钥(又称为会话密钥“sessionkey”)。
客户机将ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。
会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
(5)证书提供了一个在公钥和拥有相应私钥的实体之间建立关系的机制。
目前最常用的证书格式通过ITU-TX.509版本3(X.509v3)国际标准定义。
RFC2459是X.509v3的一个配置文件,进一步阐明了X.509v3中定义的字段。
Windows2000PKI采用X.509v3标准。
Windows证书是按照RFC2459中的说明编程的,但仍然叫做X.509v3证书。
ITU-TX.509并非证书的唯一格式。
例如,PrettyGoodPrivacy(PGP)安全电子邮件依赖PGP所独有的一种证书。
16、就目前计算设备的计算能力而言,数据加密标准DES不能抵抗对密钥的穷举搜索攻击,其原因是()。
A.DES的算法是公开的 B.DES的密钥较短
C.DES除了其中S盒是非线性变换外,其余变换均为线性变换
D.DES的算法简单
●17、为了保证网络的安全,常常使用防火墙技术。
防火墙是()。
A.为控制网络访问而配置的硬件设备
B.为防止病毒攻击而编制的软件
C.指建立在内外网络边界上的过滤封锁机制
D.为了避免发生火灾专门为网络机房建造的隔离墙
18、OSI(OpenSystemInterconnection)安全体系方案X.800将安全性攻击分为两类,即被动攻击和主动攻击。
主动攻击包括篡改数据流或伪造数据流,这种攻击试图改变系统资源或影响系统运行。
下列攻击方式中不属于主动攻击的为()。
A.伪装 B.消息泄漏 C.重放 D.拒绝服务
解析:
主动攻击包含对数据流的某些修改,或者生成一个假的数据流。
它可分为四类:
伪装:
伪装是一个实体假装成另外一个实体。
伪装攻击往往连同另一类主动攻击一起进行。
假如,身份鉴别的序列被捕获,并在有效地身份鉴别发生时做出回答,有可能使具有很少特权的实体得到额外的特权,这样不具有这些特权的人获得了这些特权。
回答(重放):
回答攻击包含数据单元的被动捕获,随之再重传这些数据,从而产生一个非授权的效果。
修改报文:
修改报文攻击意味着合法报文的某些部分已被修改,或者报文的延迟和重新排序,从而产生非授权的效果。
拒绝服务:
拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。
这种攻击可能针对专门的目标(如安全审计服务),抑制所有报文直接送到目的站;也可能破坏整个网络,使网络不可用或网络超负荷,从而降低网络性能。
所以,本题答案是:
B。
●19、安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而一种安全服务也可采用多种安全机制。
加密机制不能提供的安全服务是()。
A.数据保密性 B.访问控制 C.数字签名 D.认证
●20、某公司使用包过滤防火墙控制进出公司局域网的数据,在不考虑使用代理服务器的情况下,下面描述错误的是“该防火墙能够()”。
A.使公司员工只能访问Internet上与其有业务联系的公司的IP地址
B.仅允许HTTP协议通过
C.使员工不能直接访问FTP服务端口号为21的FTP服务
D.仅允许公司中具有某些特定IP地址的计算机可以访问外部网络
解析:
包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。
包过滤根据数据包的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
HTTP是应用层,不是包过滤防火墙控制的。
所以,参考答案是B。
●21、两个公司希望通过Internet进行安全通信,保证从信息源到目的地之间的数据传输以密文形式出现,而且公司不希望由于在中间节点使用特殊的安全单元增加开支,最合适的加密方式是
(1),使用的会话密钥算法应该是
(2)。
(1)A.链路加密 B.节点加密 C.端—端加密 D.混合加密
(2)A.RSA B.RC-5 C.MD5 D.ECC
●22、某公司服务器上存储了大量的数据,员工使用服务器前首先必须登录。
为了保证安全,使用认证技术
(1)。
为保证传输效率,使用
(2)加密算法对传输的数据进行加密。
(1)A.对登录系统的用户身份进行认可 B.保护数据在传输中的机密性
C.保证数据在传输中不被非法修改 D.防止登录信息被泄漏出去
(2)A.RSA B.ECC C.MD4 D.3DES
●23、()不能保障公司内部网络边界的安全
A.在公司网络与Internet或外界其它接口处设置防火墙
B.公司以外网络上用户要访问公司网时,使用认证授权系统
C.禁止公司员工使用公司外部的电子邮件服务器
D.禁止公司内部网络的用户私自设置拨号上网
●24、防火墙是一种常用的网络安全装置,它可以_1_。
有多种实现防火墙的技术,如包过滤、代理服务器、双穴主机和屏蔽子网网关等。
相对来说_2_功能较弱但实现也较简单。
因特网的电子邮件、文件传输和Web访问中分别采用了_3_、_4_和_5_等协议。
1.A防止内部人员的攻击B防止外部人员的攻击
C防止内部人员对外部的非法访问D既防止外部人员的攻击,又防止内部人员对外部的非法访问
2.A包过滤B代理服务器C双穴主机D屏蔽子网网关
3A.PPPB.SMTPC.FTPD.WAP
4A.PPPB.SMTPC.FTPD.WAP
5A.HTTPB.RTCPC.SNMPD.IMCP
●25、公开密钥方法的主要优点之一是_1_。
RSA算法的基础是_2_。
当N个用户采用公开密钥方法保密通讯时,系统中一共有_3_个密钥,每个用户要小心保管好_4_个密钥,为了防止不老实用户否认他们曾经通过计算机发送过的文件,较简便的方法是利用公开密钥方法完成_5_。
1.A.所有密钥公开B.加密解密计算方便C.便于密钥的传送D.易于用硬件实现
2. A.素因子分解B.替代和置换的混合C.求高阶矩阵特征值D.K-L变换
3. A.NB.2NC.N(N_1)/2D.N*N
4.A.0B.1C.N-1D.N
5. A.文件加密B.文件复制C.数字签名D.文件存档
●26、采用美国数据加密标准DES进行数据加密时,加密算法中的基本运算不包括__()__。
A.置换运算B.模加运算C.模乘运算D.移位运算
●27、1997年美国NIST发起征集高级加密标准AES(AdvancedEncryptionStandrad)算法的活动,目的是为了确定一个安全性能更好的分组密码算法来取代DES。
最终选作高级加密标准AES的算法为()。
A.国际数据加密算法IDEA B.椭圆曲线密码ECC
C.RSA算法 D.Rijndael数据加密算法
●28、下列选项中不属于网络安全基本技术的是()。
A.数据压缩技术 B.DES技术
C.基于硬件的包过滤技术 D.防止攻击者假冒合法用户获取访问权限的相关规定
●29、IP安全性(IP Security,IPSec)提供了在局域网、广域网和互联网中安全通信能力。
关于IP安全性下列说法不正确的是()。
A.IPSec可提供同一公司各分支机构通过的安全连接
B.IPSec可提供对的远程安全访问
C.IPSec可提高电子商务的安全性
D.IPSec能在IP的新版本IPv6下工作,但不适应IP目前的版本Ipv4
解析:
IPSec通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。
IPSec提供既可用于IPv4也可用于IPv6的安全性机制,它是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。
IPSec为跨越LAN/WAN,Internet的通信提供安全性。
(1)分支办公机构通过Internet互联(SecureVPN);
(2)通过Internet的远程访问;
(3)与合作伙伴建立Extranet与Intranet的互联;
(4)增强电子商务安全性。
IP安全性协议是针对IPv4和IPv6的,IPSec的主要特征是可以支持IP级所有流量的加密和认证,增强所有分布式应用的安全性。
IPSec在IP层提供安全服务,使得系统可以选择所需要的安全协议,确定该服务所用的算法,并提供安全服务所需的任何加密密钥。
所以本题的参考答案:
D
●30、数字信封()。
A.使用非对称密钥密码算法加密邮件正文 B.使用RSA算法对邮件正文生成摘要
C.使用收件人的公钥加密会话密钥 D.使用发件人的私钥加密会话密钥
●31、在密码学中,单向Hash函数具有()所描述的特性。
A.对输入的长度不固定的字符串,返回一串不同长度的字符串
B.不仅可以用于产生信息摘要,还可以用于加密短信息
C.在某一特定时间内,无法查找经Hash操作后生成特定Hash值的原报文
D.不能运用Hash解决验证签名、用户身份认证和不可抵赖性问题
●32、关于kerberos和PKI俩种认证协议的叙述中正确的是
(1),在使用kerberos认证时,首先向密钥分发中心发送初始票据
(2)来请求会话票据,以便获取服务器提供的服务。
(1)A.kerberos和PKI都是对称密钥 B.kerberos和PKI都是非对称密钥
C.kerberos是对称密钥,而PKI是非对称密钥 D.kerberos是非对称密钥,而PKI是对称密钥
(2)A.RSA B.TGT C.DES D.LSA
●33、根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防。
下面的措施中,无助于提高同意局域网内安全性的措施是()。
A.使用防病毒软件 B.使用日志审计系统
C.使用入侵检测系统 D.使用防火墙防止内部攻击
解析:
高项教材P202,防火墙是架设在内外部网之间的,可以防止外部攻击,但对于内部攻击无能为力。
●34、()不属于PKI/CA认证中心的功能
A.接收并验证最终用户数字证书的申请
B.向申请者颁发或拒绝颁发数字证书
C.产生和发布证书废止列表(CRL),验证证书状态
D.业务受理点LRA的全面管理
●35、网络安全设计是保证网络安全运行的基础,网络安全设计有其基本的设计原则,以下关于网络安全设计原则的描述,错误的是()。
A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护
B.良好的等级划分,是实现网络安全的保障
C.网络安全系统设计应独立进行,不需要考虑网络结构
D.网络安全系统应该以不影响系统正常运行为前提
●36、关于网络安全,以下说法中正确的是()。
A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒
C.使用防火墙可以有效地防御病毒D.冲击波病毒利用Windows的RPC漏洞进行传播
●37、许多黑客利用缓冲区溢出漏洞进行攻击,对于这一威胁,最可靠的解决方案是()。
A.安装防火墙B.安装用户认证系统
C.安装相关的系统补丁D.安装防病毒软件
解析:
在众多网络安全漏洞中,缓冲区溢出是最常见的一种。
这种攻击可以使一个匿名的Internet用户有机会活的一台主机的全部或部门控制权,从而对企业网络安全构成严重威胁。
缓冲区溢出的机理是,程序向一个一定空间的缓冲区中复制了超过其长度的字符串,而程序自身却没有对其进行有效地合法性检验,从而导致程序运行失败、停机甚至系统重新启动。
缓冲区溢出的缺陷就变成了黑客进行系统攻击的手段,黑客有意识地往程序的缓冲区写入超过其长度的内容,破坏程序使用的堆栈,让程序转移至预先设计好的其他可执行指令,从而达到攻击目的。
对于问题的解决方案有2种:
事前预防、事后修复。
本题目所述问题也可以通过事前预防解决,即在软件开发时就消灭安全隐患,4个选项中这一点,那只有采用事后修复的方法了,也就是安装补丁软件,修补软件中的这一漏洞。
●38、()无法有效防御DDos攻击
A.根据IP地址对数据包进行过滤B.为系统访问提供更高级别的身份认证
C.分安装防病毒软件D.使用工具软件检测不正常的高流量
●39、IPSecVPN安全技术没有用到()。
A.隧道技术B.加密技术C.入侵检测技术D.身份证认证技术
●40、关于网络安全服务的叙述中,()是错误的。
A.应提供访问控制服务以防止用户否认已接收的信息
B.应提供认证服务以保证用户身份的真实性
C.应提供数据完整性服务以防止信息在传输过程中被删除
D.应提供保密性服务以防止传输的数据被截获或篡改
解析:
一个功能完备的网络系统应提供以下安全功能:
1保密性:
保密性服务的目标是防止传输的数据被截获与篡改,所以答案D是正确的。
2认证:
是用来确定网络中信息传送的源节点与目的节点用户的身份的真实性,防止出现假冒、伪装等问题,所以B正确。
3数据完整性:
是用来保证发送信息与接受数据的一致性,防止出现信息再传输过程中被插入、删除的问题,所以C正确。
4防抵赖:
是用来保证源节点与目的节点用户不能对已发送或已接收的信息予以否认,所以A错误。
5访问控制:
适用于控制与限定网络用户对主机、应用、数据与网络服务的访问类型。
需要特别指出的是,数据链路层所提供的可靠传输服务和本题目C选项中提到的数据完整性服务是2个层面的概念:
①网络的7层结构模型中,数据链路层的停止等待协议采用了有效的检错重传机制,对上面一层(即网络层)提供可靠传输的服务;②数据完整性服务是说,只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。
二者不具有可比性。
●41、CA安全认证中心可以()
A.用于在电子商务交易中实现身份认证 B.完成数据加密,保护内部关键信息
C.支持在线销售和在线谈判,实现订单认证 D.提供用户接入线路,保证线路的安全性
●42、RSA是一种公开密钥算法,所谓公开密钥是指()
A.加密密钥是公开的B.解密密钥是公开的
C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的
●43、关于kerberos和PKI两种认证协议的叙述中正确的是(),在使用kerberos认证时,首先向密钥分发中心发送初始票据()来请求会话票据,以便获取服务器提供的服务。
A.kerberos和PKI都是对称密钥B.kerberos和PKI都是非对称密钥
C.kerberos是对称密钥,而PKI是非对称密钥D.kerberos是非对称密钥,而PKI是对称密钥
●44、关于RSA算法的叙述不正确的是()。
A.RSA算法是一种对称加密算法 B.RSA算法的运算速度比DES慢
C.RSA算法可用于某种数字签名方案 D.RSA的安全性主要基于素因子分解的难度
●45、在()中,①用于防止信息抵赖;②用于防止信息被窃取;③用于防止信息被篡改;④用于防止信息被假冒。
A.①加密技术②数字签名③完整性技术④认证技术
B.①完整性技术②认证技术③加密技术④数字签名
C.①数字签名②完整性技术③认证技术④加密技术
D.①数字签名②加密技术③完整性技术④认证技术
●46、在进行金融业务系统的网络设计时,应该优先考虑()原则。
A.先进性B.开放性C.经济性D.高可用性
●47、以下关于入侵检测系统的描述中,说法错误的是()。
A.入侵检测系统能够对网络活动进行监视
B.入侵检测能简化管理员的工作,保证网络安全运行
C.入侵检测是一种主动保护网络免受攻击的安全技术
D.入侵检测是一种被动保护网络免受攻击的安全技术
解析:
入侵检测系统IDS是一种主动保护自己免受攻击的网络安全技术;能帮助系统对付网络攻击,扩展了系统管理员的安全管理能力;能够及时识别网络中发生的入侵行为并实时报警;监视计算机系统或网络中发生的事件,并进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。
IDS就是自动执行这种监视和分析过程的安全系统。
所以,参考答案是D。
●48、关于网络安全服务的叙述中,()是错误的。
A.应提供访问控制服务以防止用户否认已接收的信息
B.应提供认证服务以保证用户身份的真实性
C.应提供数据完整性服务以防止信息在传输过程中被删除
D.应提供保密性服务以防止传输的数据被截获或篡改
●49、电子商务交易必须具备抗抵赖性,目的在于防止()。
A.一个实体假装成另一个实体 B.参与交易的一方否认曾经发生过此次交易
C.他人对数据进行非授权的修改、破坏 D.信息从被监视的通信过程中泄漏出去
●50、防火墙是隔离内部网和外部网的—类安全系统。
通常防火墙中使用的技术有过滤和代理两种。
路由器可以根据
(1)进行过滤,以阻挡某些非法访问。
(2)是一种代理协议,使用该协议的代理服务器是一种(3)网关。
另外一种代理服务器使用(4)技术,它可以把内部网络中的某些私有的地址隐藏起来。
所谓的可信任系统(TrustedSystem)是美国国防部定义的安全操作系统标准,常用的操作系统UN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 练习15 信息安全管理 练习 15 信息 安全管理