计算机三级信息安全试题三

一、选择题

1.《可信计算机评估准则》（TCSEC，也称为橘皮书）将计算机系统的安全划分为（ ）。

A)  三个等级五个级别                                

B)  三个等级六个级别

C)  四个等级六个级别                               

 D)  四个等级七个级别

2. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。下列选项中，不包含在其中的是（ ）。

A)  本地计算环境                                   B)  技术

C)  区域边界                                       D)  支撑性基础设施

3.下列关于分组密码工作模式的说法中，错误的是（ ）。

A)  ECB模式是分组密码的基本工作模式

B)  CBC模式的初始向量需要保密，它必须以密文形式与消息一起传送

C)  与ECB模式一样，CBC模式也要求数据的长度是密码分组长度的整数倍

D)  OFB模式将一个分组密码转换为一个序列密码，具有普通序列密码的优缺点

4.下列关于非对称密码的说法中，错误的是（ ）。

A)  基于难解问题设计密码是非对称密码设计的主要思想

B)  公开密钥密码易于实现数字签名

C)  公开密钥密码的优点在于从根本上克服了对称密码密钥分配上的困难

D)  公开密钥密码安全性高，与对称密码相比，更加适合于数据加密

5.下列关于MD5和SHA的说法中，错误的是（ ）。

A)  SHA所产生的摘要比MD5长32位                  B)  SHA比MD5更安全

C)  SHA算法要比MD5算法更快

D)  两种方法都很简单，在实现上不需要很复杂的程序或是大量的存储空间

6.下列方法中，不能用于身份认证的是（ ）。

A)  静态密码                        B)  动态口令

C)  USB KEY认证                     D)  AC证书

7.下列关于自主访问控制的说法中，错误的是（ ）。

A)  任何访问控制策略最终均可以被模型化为访问矩阵形式

B)  访问矩阵中的每列表示一个主体，每一行则表示一个受保护的客体

C)  系统中访问控制矩阵本身通常不被完整地存储起来，因为矩阵中的许多元素常常为空

D)  自主访问控制模型的实现机制就是通过访问控制矩阵实施，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作

8.下列选项中，不属于强制访问控制模型的是（ ）。

A)  BLP                                    B)  Biba

C)  Chinese Wall                            D)  RBAC

9.下列关于非集中式访问控制的说法中，错误的是（ ）。

A)  Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录

B)  Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证

C)  分布式的异构网络环境中，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程

D)  在许多应用中，Kerberos协议需要结合单点登录技术以减少用户在不同服务器中的认证过程

10.下列关于进程管理的说法中，错误的是（ ）。

A)  进程是程序运行的一个实例，是运行着的程序

B)  线程是为了节省资源而可以在同一个进程享资源的一个执行单位

C)  线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间、程序、数据等

D)  程序是在计算机上运行的一组指令及指令参数的集合，指令按照既定的逻辑控制计算机运行

11.Unix系统最重要的网络服务进程是（ ）。

A)  inetd                       B)  inet

C)  netd                        D)  sysnet

12.下列选项中，不属于Windows系统进程管理工具的是（ ）。

A)  任务管理器                        B)  本地安全策略

C)  Msinfo32                          D)  DOS命令行

13.下列关于GRANT语句的说法中，错误的是（ ）。

A)  发出该GRANT语句的只能是DBA或者数据库对象创建者，不能是其它任何用户

B)  接受权限的用户可以是一个或多个具体用户，也可以是PUBLIC，即全体用户

C)  如果指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其它的用户

D)  如果没有指定WITH GRANT OPTION子句，则获得某种权限的用户只能使用该权限，不能传播该权限

14.下列选项中，不属于数据库软件执行的完整性服务的是（ ）。

A)  语义完整性                              B)  参照完整性

C)  实体完整性                               D)  关系完整性

15.模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱环节的技术是（ ）。

A)  端口扫描                                 B)  渗透测试

C)  SQL注入                                  D)  服务发现

16.下列选项中，不属于分布式访问控制方法的是（ ）。

A)  SSO                                    B)  Kerberos

C)  SESAME                                 D)  RADIUS

17.下列关于IPSec的描述中，正确的是（ ）。

A)  IPSec支持IPv4和IPv6协议

B)  IPSec支持IPv4协议，不支持IPv6协议

C)  IPSec不支持IPv4协议，支持IPv6协议

D)  IPSec不支持IPv4和IPv6协议

18.下列关于SSL协议的描述中，正确的是（ ）。

A)  为链路层提供了加密、身份认证和完整性验证的保护

B)  为网络层提供了加密、身份认证和完整性验证的保护

C)  为传输层提供了加密、身份认证和完整性验证的保护

D)  为应用层提供了加密、身份认证和完整性验证的保护

19.下列选项中，不属于PKI信任模型的是（ ）。

A)  网状信任模型                       B)  链状信任模型

C)  层次信任模型                       D)  桥证书认证机构信任模型

20.下列选项中，误用检测技术不包括的是（ ）。

A)  状态转换分析                       B)  模型推理

C)  统计分析                           D)  专家系统

21.下列选项中，不属于木马自身属性特点的是（ ）。

A)  伪装性                             B)  隐藏性

C)  窃密性                             D)  感染性

22.攻击者向目标主机发起ACK-Flood时，目标主机收到攻击数据包后回应的是（ ）。

A)  SYN和ACK标志位设为1的数据包

B)  ACK标志位设为1的数据包

C)  ACK和RST标志位设为1的数据包

D)  RST标志位设为1的数据包

23.下列选项中，不属于网站挂马的主要技术手段是（ ）。

A)  框架挂马                           B)  下载挂马

C)  js脚本挂马                          D)  body挂马

24.下列选项中，不属于软件安全保护技术的是（ ）。

A)  注册信息验证技术                     B)  软件逆向分析技术

C)  代码混淆技术                          D)  软件水印技术

25.下列选项中，不能有效检测采用加壳技术的恶意程序的是（ ）。

A)  主动防御技术                         B)  特征码查杀技术

C)  虚拟机查杀技术                       D)  启发式查杀技术

26.下列漏洞库中，由国内机构维护的漏洞库是（ ）。

A)  CVE                                  B)  NVD

C)  EBD                                   D)  CNNVD

27.下列关于堆（heap）的描述中，正确的是（ ）。

A)  堆是一个先进先出的数据结构，在内存中的增长方向是从低地址向高地址增长

B)  堆是一个后进后出的数据结构，在内存中的增长方向是从高地址向低地址增长

C)  堆是一个先进后出的数据结构，在内存中的增长方向是从低地址向高地址增长

D)  堆是一个后进先出的数据结构，在内存中的增长方向是从高地址向低地址增长

28.当用户双击自己Web邮箱中邮件的主题时，触发了邮件正文页面中的XSS漏洞，这种XSS漏洞属于（ ）。

A)  反射型XSS                                     B)  存储型XSS

C)  CSRF-based XSS                                  D)  DOM-based XSS

29.下列选项中，不属于恶意程序传播方法的是（ ）。

A)  通过局域网传播

B)  修改浏览器配置

C)  通过电子邮件和即时通信软件传播

D)  诱骗下载

30.下列选项中，综合漏洞扫描不包含的功能是（ ）。

A)  弱口令扫描                        B)  SQL注入扫描

C)  病毒扫描                          D)  漏洞扫描

31.下列选项中，应急计划过程开发的第一阶段是（ ）。

A)  业务单元报告                      B)  业务总结分析

C)  业务影响分析                       D)  业务影响总结

32.下列选项中，不属于访问控制实现方法的是（ ）。

A)  行政性访问控制                      B)  虚拟性访问控制

C)  逻辑/技术性访问控制                   D)  物理性访问控制

33.信息安全的目标是（ ）。

A)  通过权威安全机构的评测

B)  无明显风险存在

C)  将残留风险保护在机构可以随时控制的范围内

D)  将残留风险降低为0

34.下列选项中，信息安全管理体系（ISMS）体现的思想是（ ）。

A)  预防控制为主                          B)  预防为主

C)  控制为主                              D)  治理为主

35.下列关于信息安全管理的描述中，错误的是（ ）。

A)  零风险是信息安全管理工作的目标

B)  风险评估是信息安全管理工作的基础

C)  风险处置是信息安全管理工作的核心

D)  安全管理控制措施是风险管理的具体手段

36.电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后（ ）。

A)  二年   B)  三年    C)  四年      D)  五年

37.国家秘密的保密期限不能确定时，应当根据事项的性质和特点，确定下列选项中的（ ）。

A)  解密对象                          B)  最长保密期限

C)  解密条件                          D)  限定保密领域

38.电子认证服务提供者拟暂停或者终止电子认证服务时，应当提前就业务承接及其他相关事项通知有关各方，该时间应提前（ ）。

A)  30日    B)  60日     C)  90日       D)  120日

39.被称为"中国首部真正意义上的信息化法律"的是（ ）。

A)  电子签名法

B)  保守国家秘密法

C)  全国常委会关于维护互联网安全的决定

D)  全国人民代表大会常务委员会关于加强网络信息保护的决定

40.违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处以（ ）。

A)  2年以下有期徒刑或者拘役

B)  3年以下有期徒刑或者拘役

C)  5年以下有期徒刑或者拘役

D)  10年以下有期徒刑或者拘役

二、填空题

1.信息安全的五个属性是机密性、完整性、 ____________、可控性、不可否认性。

2. 上世纪90年代中期，六国七方（加拿大、法国、德国、荷兰、英国、美国国家标准与技术研究院（NIST）及美国（NSA））提出的信息技术安全性评估通用准则，英文简写为 ____________，是评估信息技术产品和系统安全性的基础准则。

3. 密码设计应遵循一个公开设计的原则，即密钥的安全应依赖于对   ____________的保密，而不应依赖于对算法的保密。

4.AES的分组长度固定为 ____________位，密钥长度则可以是128、192或256位。

5.基于USB Key的身份认证系统主要有两种认证模式：挑战/应答模式和基于   ____________体系的认证模式。

6.任何访问控制策略最终可以被模型化为 ____________形式，行对应于用户，列对应于目标，矩阵中每一元素表示相应的用户对目标的访问许可。

7.根据具体需求和资源，可以将网络信息内容审计系统分为 ____________模型和分段模型两种过程模型。

8.当用户代码需要请求操作系统提供的服务时，通常采用 ____________的方法来完成这一过程。

9.当操作系统为0环和1环执行指令时，它在管理员模式或 ____________模式下运行。

10.在Unix\\Linux中, 主要的审计工具是 ____________守护进程。

11.为不同的数据库用户定义不同的 ____________，可以各个用户的访问范围。

12.对于数据库的安全防护分为三个阶段：事前检查、事中监控和事后 ____________。

13.IPSec协议框架中包括两种网络安全协议，其中支持加密功能的安全协议是 ____________协议。

14.证书链的起始端被称为 ____________。

15.根据数据采集方式的不同，IDS可以分为NIDS和 ____________。

16.IDS的异常检测技术主要通过 ____________方法和神经网络方法实现。

17.为了捕获网络接口收到的所有数据帧，网络嗅探工具会将网络接口设置为 ____________模式。

18.可以通过网络等途径，自动将自身的全部或部分代码复制传播给网络中其它计算机的完全可运行程序是 ____________。

19.在不实际执行程序的前提下，将程序的输入表示成符号，根据程序的执行流程和输入参数的赋值变化，把程序的输出表示成包含这些符号的逻辑或算术表达式，这种技术被称为 ____________技术。

20.被调用的子函数下一步写入数据的长度，大于栈帧的基址到 ____________之间预留的保存局部变量的空间时，就会发生栈的溢出。

21.漏洞利用的核心，是利用程序漏洞去执行 ____________以便劫持进程的控制权。

22.软件安全检测技术中，定理证明属于软件 ____________安全检测技术。

23.信息安全风险管理主要包括风险的 ____________、风险的评估和风险控制策略。

24.技术层面和  ____________层面的良好配合，是组织机构实现网络与信息安全系统的有效途径。

25.信息安全 ____________体系是一个系统化、程序化和文件化的体系，属于风险管理的范畴，体系的建立基于系统、全面和科学的安全风险评估。

26.风险分析主要分为定量风险分析和 ____________风险分析。

27.电子签名认证 ____________应当载明下列内容：电子认证服务者名称、证书持有人名称、证书序列号和证书有效期。

28.ISO ____________标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性六个方面含义。

29.《计算机信息系统安全保护等级划分准则》将信息系统安全分为 ____________保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个等级。

30.国家秘密的保密期限，除另有规定外，机密级不超过 ____________年。

三、综合题

1.在一个基于公钥密码机制的安全应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请回答下述问题：（每空1分，共10分）

（1）在选择公钥密码RSA、ECC和ElGamal时，为了在相同安全性的基础上采用较短的密钥，应该选择其中的 ______【1】______，且应确保选取的参数规模大于 _____【2】_______位。

（2）为了获得两方安全通信时所需的密钥，应用系统采用了基于中心的密钥分发，利用可信第三方KDC来实施。图1所示的密钥分发模型是 _____【3】_______模型，图2所示的密钥分发模型是 _____【4】_______模型。在客户端与服务器进行安全通信时，在Kerberos实现认证管理的本地网络环境中，把获得密钥的任务交给大量的客户端，可以减轻服务器的负担，即采用 _____【5】_______模型；而在使用X9.17设计的广域网环境中，采用由服务器去获得密钥的方案会好一些，因为服务器一般和KDC放在一起，即采用 _____【6】_______模型。

（3）为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名。Alice将使用自己的 ___【7】_____对消息签名；而Bob可以使用Alice的 ____【8】________对签名进行验证。

（4）实际应用中为了缩短签名的长度、提高签名的速度，而且为了更安全，常对信息的 ____【9】____进行签名。

（5）实际应用中，通常需要进行身份认证。基于 ____【10】________的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术，它可以存储用户的密钥或数字证书，利用内置的密码算法实现对用户身份的认证。

2、以root用户身份登录进入Linux系统后，请补全如下操作所需的命令：（每空1分，共5分） 

 （1）查看当前文件夹下的文件权限。

     命令： $____【11】________  

（2）给foo文件的分组以读权限。   

     命令： $_____【12】_______ g+r foo

（3）查看当前登录到系统中的用户。

     命令： $_____【13】_______

（4）查看用户wang的近期活动。   

     命令： $_____【14】_______

（5）用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。

     命令： $_____【15】_______

3、请完成下列有关SSL协议连接过程的题目。（每空1分，共10分）

    SSL协议在连接过程中使用数字证书进行身份认证，SSL服务器在进行SSL连接之前，需要事先向CA申请数字证书，再进行SSL服务器和客户端之间的连接。

    SSL协议的连接过程，即建立SSL服务器和客户端之间安全通信的过程，共分六个阶段，具体连接过程如下。

（1）SSL客户端发送ClientHello请求，将它所支持的加密算法列表和一个用作产生密钥的随机数发送给服务器。

（2）SSL服务器发送ServerHello消息，从算法列表中选择一种加密算法，将它发给客户端，同时发送Certificate消息，将SSL服务器的_____【16】_______发送给SSL客户端；SSL服务器同时还提供了一个用作产生密钥的随机数。

（3）服务器可请求客户端提供证书。这个步骤是可选择的。

 （4）SSL客户端首先对SSL服务器的数字证书进行验证。数字证书的验证包括对下列三部分信息进行确认：

∙    验证 ____【17】________性，通过比较当前时间与数字证书截止时间来实现；

∙    验证 ____【18】_____性，查看数字证书是否已废除，即查看数字证书是否已经在 ___【19】___中发布来判断是否已经废除；

∙    验证 ____【20】____性，即数字证书是否被篡改，SSL客户端需要下载 _____【21】_____的数字证书，利用其数字证书中的 ____【22】________验证SSL服务器数字证书中CA的 _____【23】____。

    接着，客户端再产生一个pre_master_secret随机密码串，并使用SSL服务器数字证书中的___【24】____ 对其进行加密，并将加密后的信息发送给SSL服务器。

 （5）SSL服务器利用自己的______【25】______解密pre_master_secret随机密码串，然后SSL客户端与SSL服务器端根据pre_master_secret以及客户端与服务器的随机数值，各自计算出会话密钥和MAC密钥。

（6）最后客户端和服务器彼此之间交换各自的握手完成信息。

4、根据提示，补全下列有关Windows操作系统中软件漏洞利用的防范技术。（每空1分，共5分） 

（1） ____【26】________技术是一项缓冲区溢出的检测防护技术，它的原理是在函数被调用时，在缓冲区和函数返回地址增加一个随机数，在函数返回时，检查此随机数的值是否有变化。

（2） _____【27】______技术是一项设置内存堆栈区的代码为不可执行的状态，从而防范溢出后代码执行的技术。

（3） _____【28】_______技术是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确地址的技术。

（4） _____【29】_______技术和 ____【30】________技术是微软公司保护SEH函数不被非法利用，防范针对SEH攻击的两种技术。