信息安全员培训资料

第一章 信息安全技术概述 VVE6F854 一、判断题 1.只有深入理解计算机技术的专业黑客才能够发动网络攻击。1.错错 2.系统漏洞被发现后，不一定同时存在利用此漏洞的攻击。2.对对 3.网络安全考虑的是来自外部的威胁，而非内部的。3.错错 4.网络攻击只针对计算机，而非针对手机或 PDA。4.错错 5.通过聘请专家来设计网络安全防护方案，可以彻底避免任何网络攻击。5.错错 6.信息安全是纯粹的技术问题。6.错错 7.信息安全是动态概念，需要根据安全形式不断更新防护措施。7.对对 8.对数据进行数字签名，可以确保数据的机密性。 8.错错 9.访问控制的目的是防止非授权的用户获得敏感资源。9.对对 10.深入开展信息网络安全人员的培训工作，是确保信息安全的重要措施之一。10.对对 二、单选题 1.下面哪种不属于信息安全技术的范畴？ 1.D A.密码学 B.数字签名技术 C.访问控制技术 D.分布式计算技术 2.下面哪种安全产品的使用是目前最为普及的？2.A A.防病毒软件 B.入侵检测系统 C.文件加密产品 D.指纹识别产品 3.使用数字签名技术，无法保护信息安全的哪种特性？3.B A.完整性 B.机密性 C.抗抵赖 D.数据起源鉴别 4.下列关于信息安全的说法，哪种是正确的？4.A A.信息安全是技术人员的工作，与管理无关 B.信息安全一般只关注机密性 C.信息安全关注的是适度风险下的安全，而非绝对安全 D.信息安全管理只涉及规章制度的确定，而不涉及技术设备的操作规程。 5.下面哪个不是信息安全工程的过程之一？ 5.B A.发掘信息保护需要 B.维护信息安全设备 C.设计系统安全 D.工程质量保证 三、多选题 1.下列关于当前网络攻击的说法，哪些是正确的？1.ABC A.攻击工具易于从网络下载 B.网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力 C.新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊 D.网络攻击多由敌对的政府势力发起 2.下列哪些属于信息安全关注的范畴？2.ABCD A.网络上传输的机密信息被窃听者窃取 B.网络上传输的机密信息被攻击者篡改 C.冒用他人身份登录服务器 D.垃圾邮件 3.下列对信息安全的认识哪些是不对的？3.BC A.建设信息安全保障体系，需要采用系统工程的方法全面考虑和实施 B.信息安全是绝对安全，一经实施可以彻底解决所有安全问题 C.信息安全就是产品堆砌 D.管理也是信息安全中的重要考虑因素 4.下列哪些是 ISO7498-2 中提到的安全机制？4.ABCD A.路由控制 B.公正 C.数据完整性 D.数字签名 5.下列哪些是目前存在的访问控制模型？5.ABD A.自主访问控制 B.强制访问控制 C.基于指纹识别的访问控制 D.基于角色的访问控制 6.IATF 将信息系统的信息保障技术层面分为哪几个部分？ 6.ABCD A.本地计算环境 B.区域边界 C.网络与基础设施 D.支持性基础设施 7.下列哪些是物理安全技术？7.BC A.数字签名 B.不间断电源保障 C.电磁屏蔽 D.入侵检测 8.数据机密性包括那几个方面？ 8.ABCD A.有连接机密性 B.无连接机密性 C.选择字段机密性 D.业务流机密性 9.在应用层上能提供哪些安全服务？9.ABCD A.鉴别 B.访问控制 C.数据机密性 D.非否认（抗抵赖） 10.关于 IPv6 与 IPv4 的对比，哪些说法正确？ 10.AB A.地址空间扩大了 B.协议安全性增强 C.网络带宽增大 D.能够传输的数据不同 四、问答题 1.OSI 安全体系结构认为一个安全的信息系统结构应该包括哪些内容？ 答：OSI 安全体系结构认为一个安全的信息系统结构应该包括： （1）五种安全服务； （2）八类安全技术和支持上述的安全服务的普遍安全技术； （3）三种安全管理方法。 2.OSI 安全体系结构和框架标准作为“标准的标准”有两个实际用途，分别是什么？ 答：OSI 安全体现结构和框架标准作为“标准的标准”有两个实际用途，分别是： （1）指导可实现的安全标准的设计； （2）提供一个通用的术语平台。 3.美国信息保障技术框架（Information Assurance Technical Framework，简称 IATF）给出了一个 保护信息系统的通用框架，将信息系统的信息保障技术分成了哪四个层面？ 答：美国信息保障技术框架（Information Assurance Technical Framework，简称 IATF）给出了一 个保护信息系统的通用框架，将信息系统的信息保障技术分成了四个层面： （1）本地计算机环境； （2）区域边界（本地计算机区域的外缘） ； （3）网络与基础设施； （4）支持性基础设施。 4.一个完整的信息安全技术体系结构应该包括哪些层面的安全技术？ 答：一个完整的信息安全技术体系结构应该包括五个层面的安全技术：物理安全技术、基础安全 技术、系统安全技术、网络安全技术和应用安全技术。 第二章 物理安全 一、判断题 1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。1.对 2.计算机场地可以选择在公共区域人流量比较大的地方。2.错 3.机房供电线路和动力、照明用电可以用同一线路。 3.错 4.只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。4.错 5.屏蔽室的拼接、焊接工艺对电磁防护没有影响。5.错 6.由于传输的内容不同，电力线可以与网络线同槽铺设。6.错 7.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气 连通。7.对 8.机房内的环境对粉尘含量没有要求。 8.错 9.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。9.对 10.纸介质资料废弃应用碎纸机粉碎或焚毁。10.对 二、单选题 1.以下不符合防静电要求的是 1.B 。 A.穿合适的防静电衣服和防静电鞋 B.在机房内直接更衣梳理 C.用表面光滑平整的办公家具 D.经常用湿拖布拖地 2.布置电子信息系统信号线缆的路由走向时，以下做法错误的是 2.A 。 A.可以随意弯折 B.转弯时，弯曲半径应大于导线直径的 10 倍 C.尽量直线、平整 D.尽量减小由线缆自身形成的感应环路面积 3.对电磁兼容性（ElectromagneticCompatibility，简称 EMC）标准的描述正确的是 3.C 。 A.同一个国家的是恒定不变的 B.不是强制的 C.各个国家不相同 D.以上均错误 4.物理安全的管理应做到 4.D 。 A.所有相关人员都必须进行相应的培训，明确个人工作职责 B.制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C.在重要场所的进出口安装监视器，并对进出情况进行录像 D.以上均正确 5.下面哪项不是场地防火应注意的事项？5.B A.机房的耐火等级应不低于二级； B.建筑的承重结构； C.防火隔离； D.报警系统； 6.信息网络所使用的电子设备往往都对水、潮气比较敏感，合适状态是将场地湿度控制在：6.C A.10%以下 B.20%左右 C.40%65% D.90%以上 7.下列哪个不是静电可能导致的危害？7.B A.磁盘读写错误 B.加密信息泄漏 C.损坏磁头 D.引起计算机误动作 8.下面哪个不是电子信息的可用存储介质？8.B A.磁带 B.普通纸 C.磁盘 D.光盘 9.对于纸质介质的存放，下面哪种情况无须考虑？9.D A.防止发潮 B.防止发霉 C.防范字迹消褪 D.防范复印 10.下面哪个说法是错误的 10.A A.为节省成本，对所有员工的信息安全培训可以集中一次性进行，未来入职的员工则由老员工言 传身教。 B.所有相关人员必须进行相应的培训，明确个人工作职责，可以进行的操作和禁止进行的行为， 各项操作 的正确流程和规范，对于各种物理安全都要有相应的培训。 C.应定期对各个岗位的人员进行安全技能及安全认知的考核，所有人员都必须清楚紧急情况发生 时的处理 办法和灭火设施的正确使用方法。 D.制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况。 三、多选题 1.场地安全要考虑的因素有 1.ABCDE 。 A.场地选址 B.场地防火 C.场地防水防潮 D.场地温度控制 E.场地电源供应 2.等级保护中对防火的基本要求有：2.ABD A.机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； B.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； C.机房应配备专门的消防小组； D.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 E.机房及相关的工作房间可以不配备专门的灭火器械，在火灾时可以临时调拨。 3.火灾自动报警、自动灭火系统部署应注意 3.ABCD 。 A.避开可能招致电磁干扰的区域或设备 B.具有不间断的专用消防电源 C.留备用电源 D.具有自动和手动两种触发装置 4.为了减小雷电损失，可以采取的措施有 4.ACD 。 A.机房内应设等电位连接网络 B.部署 UPS C.设置安全防护地与屏蔽地 D.根据雷击在不同区域的电磁脉冲强度划分，不同的区域界面进行等电位连接 E.信号处理电路 5.会导致电磁泄露的有 5.ABCDE 。 A.显示器 B.开关电路及接地系统 C.计算机系统的电源线 D.机房内的电话线 E.信号处理电路 6.磁介质的报废处理，应采用 6.CD 。 A.直接丢弃WB B.砸碎丢弃 C.反复多次擦写 D.专用强磁工具清除 7.静电的危害有 7.ABCD 。 A.导致磁盘读写错误，损坏磁头，引起计算机误动作 B.造成电路击穿或者毁坏 C.电击，影响工作人员身心健康 D.吸附灰尘 8.防止设备电磁辐射可以采用的措施有 8. ABCD 。 A.屏蔽 B.滤波 C.尽量采用低辐射材料和设备 D.内置电磁辐射干扰器 9.抑制信息泄漏的技术途径有：9.ABCD A.干扰技术：用强噪声来掩护有用的信号。 B.跳频技术：经常改变信号传输频率、调制方式或其它传输参数。 C.包容法：对元器件、设备甚至整个系统进行屏蔽，成本高。 D.抑源法：从线路、元器件入手，消除辐射源。 E.人工防护：由专门人员负责看管机房。 10.等级保护对于防盗窃和防破坏的基本要求有：10.ABCDE A.应将主要设备放置在机房内； B.应将设备或主要部件进行固定，并设置明显的不易除去的标记； C.应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； D.应对介质分类标识，存储在介质库或档案室中； E.应利用光、电等技术设置机房防盗报警系统； 四、问 答 题 1.物理安全包含哪些内容？ 答：物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就是保护计算机 网络设备、设施以及其他媒体免遭地震、水灾、火灾等事故以及人为行为导致的破坏的过程。物 理安全可以分成两大类：环境安全和设备安全。其中，环境安全包括场地安全、防火、防水、防 静电、防雷击、电磁防护、线路安全等；设备安全包括设备的防盗、防电磁泄露、防电磁干扰、 存储介质管理等。物理安全也必须配合一定的安全管理措施，如严格人员的管理、采用相应的监 视设备等。 2.解释环境安全与设备安全的联系与不同。 答：从物理角度来看，在一个完整的信息系统中，除了系统所处的环境以外，就是一台台具体的 设备了。设备安全与环境安全的关系是密不可分的。设备安全是建立在环境安全的基础上的，极 端的情况是，如果设备都是放在地震活跃带的火山口上，那么就不能预期这个设备能长时间持续 稳定地运行下去，因为环境是不安全的。但是，设备安全与环境安全还是有所区别的，如对于环 境的电磁防护，指的是机房、通信线路的防电磁泄露、电磁干扰；而设备的电磁防护，则指的是 设备本身的防止电磁泄露、电磁干扰的特性。设备安全就是要确保设备运行的时候是安全的。这 就要求设备不容易被损坏而中断工作，不容易被窃听，存放信息的介质也是妥善保管、不容易窃 取的。 第三章 容灾与数据备份 一、判断题 1.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。1.对 2.对目前大量的数据备份来说，磁带是应用得最广的介质。 2.对 3.增量备份是备份从上次进行完全备份后更改的全部数据文件。 3.错 4.容灾等级通用的国际标准 SHARE78 将容灾分成了六级。 4.错 5.容灾就是数据备份。5.错 6.数据越重要，容灾等级越高。6.对 7.容灾项目的实施过程是周而复始的。 7.对 8.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。 8.错 9.SAN 针对海量、面向数据块的数据传输，而 NAS 则提供文件级的数据访问功能。 9.对 10.廉价磁盘冗余阵列（RAID） ，基本思想就是将多只容量较小的、相对廉价的硬盘进行有机组 合，使其性能超过一只昂贵的大硬盘。 10.对 二、单选题 1.容灾的正确含义是： 1.B A.在灾难事件发生之前就侦测到并采取措施避免 B.减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。 C.采取一系列的措施降低信息系统的风险水平； D.在灾难发生后，应如何追究相关人员的责任。 2.SHARE78 将容灾等级划分为几个等级：2.C A.5 B.6 C.7 D.8 3.我国重要信息系统灾难恢复指南将灾难恢复分成了 3.B 级。 A.五 B.六 C.七 D.八 4.下图是 4.B 存储类型的结构图。 A.NAS B.SAN C.以上都不是 5.容灾的目的和实质是 5.C 。 A.数据备份 B.心理安慰 C.保持信息系统的业务持续性 D.系统的有益补充 6.容灾项目实施过程的分析阶段，需要进行 6.D 。 A.灾难分析 B.业务环境分析 C.当前业务状况分析 D.以上均正确 7.目前对于大量数据存储来说，容量大、成本低、技术成熟、广泛使用的介质是 7.B 。 A.磁盘 B.磁带 C.光盘 D.软盘 8.下列叙述不属于完全备份机制特点描述的是 8.D 。 A.每次备份的数据量较大 B.每次备份所需的时间也就较长 C.不能进行得太频繁 D.需要存储空间小 9.下面不属于容灾内容的是 9.A 。 A.灾难预测 B.灾难演习 C.风险分析 D.业务影响分析 10.关于容灾的说法正确的是：10.A A.容灾是一项工程，涉及管理、技术等各个方面 B.容灾是纯技术的行为 C.备份不属于容灾技术 D.容灾只能依靠人的主观能动性 三、多选题 1.信息系统的容灾方案通常要考虑的要点有 1.ABCDE 。 A.灾难的类型 B.恢复时间 C.恢复程度 D.实用技术 E.成本 2.系统数据备份包括的对象有 2.ABD 。 A.配置文件 B.日志文件 C.用户文档 D.系统设备文件 3.容灾等级越高，则 3.ACD 。 A.业务恢复时间越短 B.所需人员越多 C.所需要成本越高 D.保护的数据越重要 4.下列哪些计划应该是容灾计划的一部分 4.ABCD A.业务连续性计划 B.业务恢复计划 C.操作连续性计划 D.支持连续性计划/IT 应急计划 5.后备站点/后备场所的种类有：5.ABCD A.热后备 B.温后备 C.冷后备 D.镜像后备 6.IT 应急计划的实施包含哪几个阶段 6.BCD A.预测阶段 B.通告激活阶段 C.恢复阶段 D.重构阶段 7.以下后备场所中，恢复时间由长到短排列的是：7.CD A.冷后备、镜像后备、热后备 B.镜像后备、热后备、冷后备 C.冷后备、温后备、热后备 D.温后备、热后备、镜像后备 8.数据备份可采用的技术机制有：8.ABCD A.基于主机备份 B.基于存储局域网备份 C.无服务器备份 D.基于广域网备份 9.数据备份可采用的介质有： 9.ABCD A.软盘 B.光盘 C.磁带 D.硬盘 10.常用的数据备份方式有：10.ABC A.完全备份 B.增量备份 C.差分备份 D.一次性备份 四、问 答 题 1.容灾的含义是什么？容灾过程包括哪些内容？ 答：容灾，就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套 行为。当企业的核心计算机系统遭受如火灾、洪涝、地震、战争、人为破坏等不可抗拒的灾难和 意外时，能够及时恢复系统的正常运行。因此，容灾的目的和实质就是保持信息系统的业务持续 性。为了在面对灾难时仍然能保持业务的持续性，容灾有很多方面的工作要做：风险分析，确定 造成业务中断灾难发生的可能性和灾难发生会带来的损失；业务影响分析，分析预期的灾难可能 对企业造成的影响，确定关键功能和恢复优先顺序；灾难演习，模拟灾难发生时的状况；制订应 急响应计划，制定和实施在灾难发生后的对应措施等。 2.容灾与数据备份之间是什么关系? 答：容灾与数据备份之间是密切联系、不可分割的。没有了数据备份，容灾也就无从下手；而仅 仅备份了数据，没有考虑周密的容灾方案，也难以发挥数据备份的作用，无法保证系统的业务持 续性。首先，数据备份是容灾的基础。数据备份，是指将数据保存下来，目的是为了系统数据在 崩溃时能够快速地恢复数据。没有数据可以利用恢复，灾难恢复也就无从谈起。所以，容灾的前 提是做好相应的数据备份工作。其次，容灾是一个系统工程，而不仅仅是技术。一个完整的容灾 系统包括容灾规划机构的设立、容灾需求分析、容灾策略制定、容灾系统实施、容灾系统维护等 多个阶段。容灾除了前期的实施，更重要的是后期的运营和管理，必要的时候还需要第三方审计 或者监理机构的介入。 3.容灾等级通用的国际标准 SHARE 78 将容灾划分成几个层次？简单概述各层次的特点。 答：容灾等级通用的国际标准 SHARE 78 将容灾划分为七个层次。 第 0 级本地冗余备份，也叫无异地备份数据。数据仅在本地进行备份和恢复，没有任何 数据信息和资料存放在异地，没有意外事故处理计划，未制定灾难恢复计划。 第 1 级数据介质转移。第 1 级容灾方案的关键是有数据备份，但无备用系统，其特点是异地 存放、安全保管、定期更新。通常将关键数据备份到本地存储介质上，然后送往其他比较安全的 地方保存。 第 2 级应用系统冷备。第 2 级容灾方案的实质是有数据备份、有备用系统，其特点是异地介 质存放、系统硬件冷备份。 第 3 级数据电子传送。第 3 级容灾方案是电子链接，其特点是网络传送、自动备份、磁盘镜 像复制。通过网络将关键数据进行备份并存放至异地，制定相应的灾难恢复计划，建立备份中心， 并配备部分数据处理系统及网络通信系统。 第 4 级应用系统温备。第 4 级容灾方案是让备份中心处于活动状态，其特点是网络传送、流 水日志、系统准工作状态。一旦灾难发生，可利用备份中心已有资源及异地备份数据恢复关键业 务系统运行。 第 5 级应用系统热备。第 5 级容灾方案的关键在于交易的完整性，其特点是在线实时传送、 系统镜像状态、人机切换。第 5 级容灾方案可以同时实现业务中心与备份中心的数据更新。 第 6 级数据零丢失。第 6 级容灾方案的目标是达到数据零丢失和自动系统故障切换，其特点 是在线实时镜像、作业动态分配、自动切换。这一级别的容灾方案是灾难恢复中最昂贵的方式， 也是速度最快的恢复方式，它是灾难恢复的最高级别。利用专用的存储网络将关键数据同步镜像 至备份中心，数据不仅在本地进行确认，而且需要在备份中心进行确认，才能算有效数据。因为 数据是由镜像地写到两个站点，所以灾难发生时异地容灾系统保留了全部的数据，从而实现零数 据丢失。 4.设计一个以星期为周期的备份策略，并举例描述在其中某一天发生灾难如何恢复。 答：一个以星期为周期的备份策略可以做如下安排： 星期一：完全备份（备份文件为 A） 星期二：增量备份（备份文件为 B） 星期三：增量备份（备份文件为 C） 星期四：增量备份（备份文件为 D） 星期五：累计备份（备份文件为 E） 星期六：增量备份（备份文件为 F） 星期日：增量备份（备份文件为 G） 如果在星期六，系统遭到意外破坏，系统管理员可以按以下步骤来恢复系统：首先用最近的 一份完全备份（星期一的 A 文件）来进行完全恢复，然后用最近的一份累计备份（星期五的 E 文件）进行累计恢复，最后使用累计备份后的最近增量备份（星期六的 F 文件和星期天的 G 文 件）进行增量恢复，则可以恢复到接近系统被意外破坏时的数据。 第四章第四章 基础安全技术基础安全技术 一、判断题一、判断题 1.对称密码体制的特征是：加密密钥和解密密钥完全相同，或者一个密钥很容易 从另一个密钥中导出。 1.1.对对 2.对称密码学以数学上的难题为基本原理进行构造。 2.2.错错 3.公钥密码体制算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行 解密。 3.3.对对 4.公钥密码体制有两种基本的模型：一种是加密模型，另一种是认证模型。 4.4.对对 5.穷举破解是密码分析学的重要技术手段。 5.5.错错 6.对信息的这种防篡改、防删除、防插入的特性称为数据完整性保护。 6.6.对对 7.使用数字签名技术可以保证信息的完整性。 7.7.对对 8.散列算法是可逆的，即一直散列值和密钥，可以还原出明文信息。 8.8.错错 9.PKI 是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基 础设施。 9.9.对对 10.电子签名与手写签名具有同等法律效力。 10.10.对对 二、单选题二、单选题 1.下列密码算法中，哪个属于对称密码算法：1.D1.D A.RSA B.ECC C.MD5 D.AES 2.下列密码算法中，哪个属于公钥密码算法：2.C2.C A.DES B.RC5 C.RSA D.AES 3.下列密码算法中，哪个属于散列算法：3.A3.A A.SHA-1 B.DES C.RSA D.ECC 4.关于对称密码算法，说法正确的是：4.B4.B A.以数学上的难解问题为基础设计 B.加密和解密的密钥相同或可以容易的互相推导出 C.加、解密速度比公钥密码算法要慢 D.明文发生 1 字节改变时，对应的密文也在相应位置发生 1 字节改变 5关于公钥密码算法，说法正确的是：5.A5.A A.以数学上的难解问题为基础设计 B.加密和解密的密钥相同或可以容易的互相推导出 C.两个密钥必须都保密，不能为外界所知。 D.明文发生 1 字节改变时，对应的密文也在相应位置发生 1 字节改变 6.关于散列算法，说法正确的是：6.C6.C A.可用于对信息加密传输。 B.由散列值可以还原明文。 C.可用于提供完整性服务 D.可用于提供访问控制服务 7.数字签名不能为信息提供哪种安全服务？7.D7.D A.完整性 B.数据起源鉴别 C.抗抵赖 D.机密性 8.以下哪个不是目前信息系统中常用的身份鉴别技术：8.A8.A A.基于身份证的身份鉴别 B.基于口令的身份鉴别 C.基于生物特征的身份鉴别 D.基于公钥密码技术的身份鉴别 9.下列哪个不是 PKI 系统的组件之一 9.B9.B A.依赖方 B.CA 管理员 C.注册机构（RA） D.认证机构（CA） 10.关于 PKI 技术，说法错误的是：10.C10.C A.可提供身份鉴别服务 B.RA 负责接受用户的证书申请，并核对用户身份的真实性 C.CRL 发布者负责对依赖方提供查询信息，包括查询某实体证书，获得该证书有 效状态等信息 D.CA 负责签发证书 三、多选题三、多选题 5.ABCE 6.BD 7.ABCDE 8.ABCE 9ABCDE 10.ABCD 1.基础安全技术包括： 1.ABCDE A.密码技术 B.身份鉴别技术 C.数字签名技术 D.完整性技术 E.PKI 技术 2.PKI 系统的基本组件包括 2.ABCDE 。 A.认证机构 B.注册机构 C.证书撤销列表发布者 D.证书资料库 E.密钥管理中心 3.数字证书可以存储的信息包括 3.ABCDE 。 A.身份证号码、社会保险号、驾驶证号码 B.组织工商注册号、组织组织机构代码、组织税号 C.IP 地址 D.Email 地址 E.邮政地址 4.PKI 提供的核心服务包括 4.ABCDE 。 A.认证 B.完整性 C.密钥管理 D.简单机密性 E.非否认 5.对于对称密码算法，以下说法正确的是：5.ABCE A.加密、解密密钥相同或可以互相推出 B.算法公开，密码体制的安全强度仅在于密钥强度 C.明文改变 1 个位，密文会彻底发生变化 D.可以不使用密钥就能完成加密解密过程 E.包含分组密码和序列密码两个大类 6.对称密码算法有哪些不足：6.BD A.计算过于复杂 B.密钥需要通信双方知道，但在公开的计算机网络上，安全地传送和存储密钥成 为一个难点； C.计算速度过慢，消耗资源大 D.群体通信需要使用的密钥太多，导致管理困难，密钥泄密可能性大大增加 E.密钥长度太短 7.对于公钥密码算法，说法正确的是：7.ABCDE A.仅知道公钥，无法推导出私钥（计算上不可行） B.私钥由用户个人妥善保存，公钥则公开让公众知道。 C.用户 A 使用用户 B 的公钥进行加密，只有用户 B 使用自己的私钥才能解密，从 而达到保密通信目的。 D.1976 年，Diffie 及 Hellman 发表其论文“密码学新方向”，是公钥密码技术 诞生的标志。 E.用户 A 使用私钥对信息做变换，那么其他用户只有使用用户 A 的公钥才能正确 还原，因此可以证明这条信息是用户 A，也就是私钥拥有者所发出的。这是使用 公钥算法的数字签名技术的核心思想 8.哪些常用途径可用来获得某个实体的 PKI 公钥证书？8.ABCE A.通过 LDAP 查询资料库； B.通过电子邮件索取； C.通过 Web 网站下载； D.通过电视广告； E.通信时直接向对方要； 9.基于生物特征的身份鉴别技术有哪些局限？9ABCDE A.计算复杂，准确度有限 B.不适用与网络远程鉴别 C.与口令识别的安全强度是等同的。 D.用户基数大，被误判的绝对数量增多 E.人身危险增加 10.PKI 的信任模型有哪些？10.ABCD A.严格层次模型 B.信任列表模型 C.桥模型 D.网状模型 E.三维模型 第五章第五章 系统安全系统安全 一、判断题一、判断题 25.对 26.错 27.错 28.对 29.错 30.错 31.错 32.错 33.错 34.错 35.对 36.错 37.对 38.错 39.对 40.错 41.错 42.对 43.错 44.对 45.对 46.错 47.对 48.对 1.常见的操作系统包括 DOS、OS/2、UNIX、XENIX、Linux、Windows、Netware、Oracle 等。 1.错 2.操作系统在概念上一般分为两部分：内核（Kernel）以及壳（Shell），有些 操作系统的内核与壳完全分开（如 MicrosoftWindows、UNIX、Linux 等）；另一 些的内核与壳关系紧密（如 UNIX、Linux 等），内核及壳只是操作层次上不同而 已。 2.错 3.Windows 系统中，系统中的用户帐号可以由任意系统用户建立。用户帐号中包 含着用户的名称与密码、用户所属的组、用户的权利和用户的权限等相关数据。 3.错 4.Windows 系统的用户帐号有两种基本类型：全局帐号（GlobalAccounts）和本 地帐号（LocalAccounts）。 4.对 5.本地用户组中的 Users（用户）组成员可以创建用户帐号和本地组，也可以运 行应用程序，但是不能安装应用程序，也可以关闭和锁定操作系统。 5.错 6.本地用户组中的 Guests（来宾用户）组成员可以登录和运行应用程序，也可以 关闭操作系统，但是其功能比 Users 有更多的限制。 6.对 7.域帐号的名称在域中必须是唯一的，而且也不能和本地帐号名称相同，否则会 引起混乱。 7.错 8.全局组是由本域的域用户组成的，不能包含任何组，也不能包含其他域的用户， 全局组能在域中任何一台机器上创建。 8.错 9.在默认情况下，内置 DomainAdmins 全局组是域的 Administrators 本地组的一 个成员，也是域中每台机器 Administrator 本地组的成员。 9.对 10.WindowsXP 帐号使用密码对访问者进行身份验证，密码是区分大小写的字符串， 最多可包含 16 个字符。密码的有效字符是字母、数字、中文和符号。 10.错 11.如果向某个组分配了权限，则作为该组成员的用户也具有这一权限。例如， 如果 BackupOperators 组有此权限，而 Lois 又是该组成员，则 Lois 也有此权限。 11.对 12.Windows 文件系统中，只有 Administrator 组和 ServerOperation 组可以设置 和去除共享目录，并且可以设置共享目录的访问权限。 12.错 13.远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文 件目录自身的权限设置。用户对共享所获得的最终访问权限将取决于共享的权限 设置和目录的本地权限设置中宽松一些的条件。 13.错 14.对于注册表的访问许可是将访问权限赋予计算机系统的用户组，如 Administrator、Users、Creator/Owner 组等。 14.对 15.系统日志提供了一个颜色符号来表示问题的严重程度，其中一个中间有字母 “！”的黄色圆圈（或三角形）表示信息性问题，一个中间有字母“i”的蓝色 圆圈表示一次警告，而中间有“stop”字样（或符号叉）的红色八角形表示严重 问题。 15.错 16.光盘作为数据备份的媒介优势在于价格便宜、速度快、容量大。 16.错 17.Windows 防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，但该防火墙 不能检测或清除已经感染计算机的病毒和蠕虫。 17.对 18.Web 站点访问者实际登录的是该 Web 服务器的安全系统，“匿名”Web 访问者 都是以 IUSR 帐号身份登录的。 18.对 19.UNIX 的开发工作是自由、独立的，完全开放源码，由很多个人和组织协同开 发的。UNIX 只定义了一个操作系统内核。所有的 UNIX 发行版本共享相同的内核 源，但是，和内核一起的辅助材料则随版本不同有很大不同。 19.错 20.每个 UNIX/Linux 系统中都只有一个特权用户，就是 root 帐号。 20.错 21.与 Windows 系统不一样的是 UNIX/Linux 操作系统中不存在预置帐号。 21.错 22.UNIX/Linux 系统中一个用户可以同时属于多个用户组。 22.对 23.标准的 UNIX/Linux 系统以属主（Owner）、属组（Group）、其他人 （World）三个粒度进行控制。特权用户不受这种访问控制的限制。 23.对 24.UNIX/Linux 系统中，设置文件许可位以使得文件的所有者比其他用户拥有更 少的权限是不可能的。 24.错 25.UNIX/Linux 系统和 Windows 系统类似，每一个系统用户都有一个主目录。 25.对 26.UNIX/Linux 系统加载文件系统的命令是 mount，所有用户都能使用这条命令。 26.错 27.UNIX/Linux 系统中查看进程信息的 who 命令用于显示登录到系统的用户情况， 与 w 命令不同的是，who 命令功能更加强大，who 命令是 w 命令的一个增强版。 27.错 28.Httpd.conf 是 Web 服务器的主配置文件，由管理员进行配置，Srm.conf 是 Web 服务器的资源配置文件，Access.conf 是设置访问权限文件。 28.对 29.一个设置了粘住位的目录中的文件只有在用户拥有目录的写许可，并且用户 是文件和目录的所有者的情况下才能被删除。 29.错 30.UNIX/Linux 系统中的/etc/shadow 文件含有全部系统需要知道的关于每个用 户的信息（加密后的密码也可能存于/etc/passwd 文件中）。 30.错 31.数据库系统是一种封闭的系统，其中的数据无法由多个用户共享。 31.错 32.数据库安全只依靠技术即可保障。 32.错 33.通过采用各种技术和管理手段，可以获得绝对安全的数据库系统。 33.错 34.数据库的强身份认证与强制访问控制是同一概念。 34.错 35.用户对他自己拥有的数据，不需要有指定的授权动作就拥有全权管理和操作 的权限。 35.对 36.数据库视图可以通过 INSERT 或 UPDATE 语句生成。 36.错 37.数据库加密适宜采用公开密钥密码系统。 37.对 38.数据库加密的时候，可以将关系运算的比较字段加密。 38.错 39.数据库管理员拥有数据库的一切权限。 39.对 40.不需要对数据库应用程序的开发者制定安全策略。 40.错 41.使用登录 ID 登录 SQLServer 后，即获得了访问数据库的权限。 41.错 42.MSSQLServer 与 SybaseSQLServer 的身份认证机制基本相同。 42.对 43.SQLServer 不提供字段粒度的访问控制。 43.错 44.MySQL 不提供字段粒度的访问控制。 44.对 45.SQLServer 中，权限可以直接授予用户 ID。 45.对 46.SQL 注入攻击不会威胁到操作系统的安全。 46.错 47.事务具有原子性，其中包括的诸多操作要么全做，要么全不做。 47.对 48.完全备份就是对全部数据库数据进行备份。 48.对 二、单选题二、单选题 3.C 4.B 5.D 6.B 7.C 8.D 9.C 10.A 11.B 12.D 13.B 14.A 15.C 16.D 17.B 18.A 19.D 20.B 21.C 22.D 23.B 24.A 25.B 26.C 27.A 28.D 29.B 30.A 31.B 1.美国国防部发布的可信计算机系统评估标准（TCSEC）定义了 1.C 个 等级。 A.五 B.六 C.七 D.八 2.Windows 系统的用户帐号有两种基本类型，分别是全局帐号和 2.A 。 A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 3.Windows 系统安装完后，默认情况下系统将产生两个帐号，分别是管理员帐号 和 3.C 。 A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 4.计算机网络组织结构中有两种基本结构，分别是域和 4.B 。 A.用户组 B.工作组 C.本地组 D.全局组 5.一般常见的 Windows 操作系统与 Linux 系统的管理员密码最大长度分别为和 5.D 。 A.128 B.1410 C.1210 D.148 6.符合复杂性要求的 WindowsXP 帐号密码的最短长度为 6.B 。 A.4 B.6 C.8 D.10 7.设置了强制密码历史后，某用户设置密码 kedawu 失败，该用户可能的原密码 是 7.C 。 A.keda B.kedaliu C.kedawuj D.dawu 8.某公司的工作时间是上午 8 点半至 12 点，下午 1 点至 5 点半，每次系统备份 需要一个半小时，下列适合作为系统数据备份的时间是 8.D 。 A.上午 8 点 B.中午 12 点 C.下午 3 点 D.凌晨 1 点 9.Window 系统中对所有事件进行审核是不现实的，下面不建议审核的事件是 9.C 。 A.用户登录及注销 B.用户及用户组管理 C.用户打开关闭应用程序 D.系统重新启动和关机 10.在正常情况下，Windows2000 中建议关闭的服务是 10.A 。 A.TCP/IPNetBIOSHelperService B.LogicalDiskManager C.RemoteProcedureCall D.SecurityAccountsManager 11.FTP（文件传输协议，FileTransferProtocol，简称 FTP）服务、SMTP（简单 邮件传输协议，SimpleMailTransferProtocol，简称 SMTP）服务、HTTP（超文本 传输协议，HyperTextTransportProtocol，简称 HTTP）、HTTPS（加密并通过安 全端口传输的另一种 HTTP）服务分别对应的端口是 11.B 。 A. B. C. D. 12.下面不是 UNIX/Linux 操作系统的密码设置原则的是 12.D 。 A.密码最好是英文字母、数字、标点符号、控制字符等的结合 B.不要使用英文单词，容易遭到字典攻击 C.不要使用自己、家人、宠物的名字 D.一定要选择字符长度为 8 的字符串作为密码 13.UNIX/Linux 操作系统的文件系统是 13.B 结构。 A.星型 B.树型 C.网状 D.环型 14.下面说法正确的是 14.A 。 A.UNIX 系统中有两种 NFS 服务器，分别是基于内核的 NFSDaemon 和用户空间 Daemon，其中安全性能较强的 是基于内核的 NFSDaemon B.UNIX 系统中有两种 NFS 服务器，分别是基于内核的 Daemon 和用户空间 NFSDaemon，其中安全性能较强的 是基于内核的 NFSDaemon C.UNIX 系统中现只有一种 NFS 服务器，就是基于内核的 NFSDaemon，原有的用户 空间 Daemon 已经被淘汰，因为 NFSDaemon 安全性能较好 D.UNIX 系统中现只有一种 NFS 服务器，就是基于内核的 Daemon，原有的用户空 间 NFSDaemon 已经被淘汰， 因为 Daemon 安全性能较好 15.下面不是 UNIX/Linux 系统中用来进行文件系统备份和恢复的命令是 15.C 。 A.tar B.cpio C.umask D.backup 16.Backup 命令的功能是用于完成 UNIX/Linux 文件的备份，下面说法不正确的是 16.D 。 A.Backupc 命令用于进行完整备份 B.Backupp 命令用于进行增量备份 C.Backupf 命令备份由 file 指定的文件 D.Backupd 命令当备份设备为磁带时使用此选项 17.UNIX 工具（实用程序，utilities）在新建文件的时候，通常使用 17.B 作为缺省许可位，而在新建程序的时候，通常使用 作为缺省许可 位。 A. B. C. D. 18.保障 UNIX/Linux 系统帐号安全最为关键的措施是 18.A 。 A.文件/etc/passwd 和/etc/group 必须有写保护 B.删除/etc/passwd、/etc/group C.设置足够强度的帐号密码 D.使用 shadow 密码 19.UNIX/Linux 系统中，下列命令可以将普通帐号变为 root 帐号的是 19.D 。 A.chmod 命令 B./bin/passwd 命令 C.chgrp 命令 D./bin/su 命令 20.有编辑/etc/passwd 文件能力的攻击者可以通过把 UID 变为 20.B 就可 以成为特权用户。 A.-1 B.0 C.1 D.2 21.下面不是保护数据库安全涉及到的任务是 21.C 。 A.确保数据不能被未经过授权的用户执行存取操作 B.防止未经过授权的人员删除和修改数据 C.向数据库系统开发商索要源代码，做代码级检查 D.监视对数据的访问和更改等使用情况 22.下面不是数据库的基本安全机制的是 22.D 。 A.用户认证 B.用户授权 C.审计功能 D.电磁屏蔽 23.关于用户角色，下面说法正确的是 23.B 。 A.SQLServer 中，数据访问权限只能赋予角色，而不能直接赋予用户 B.角色与身份认证无关 C.角色与访问控制无关 D.角色与用户之间是一对一的映射关系 24.下面原则是 DBMS 对于用户的访问存取控制的基本原则的是 24.A 。 A.隔离原则 B.多层控制原则 C.唯一性原则 D.自主原则 25.下面对于数据库视图的描述正确的是 25.B 。 A.数据库视图也是物理存储的表 B.可通过视图访问的数据不作为独特的对象存储，数据库内实际存储的是 SELECT 语句 C.数据库视图也可以使用 UPDATE 或 DELETE 语句生成 D.对数据库视图只能查询数据，不能修改数据 26.有关数据库加密，下面说法不正确的是 26.C 。 A.索引字段不能加密 B.关系运算的比较字段不能加密 C.字符串字段不能加密 D.表间的连接码字段不能加密 27.下面不是 Oracle 数据库提供的审计形式的是 27.A 。 A.备份审计 B.语句审计 C.特权审计 D.模式对象设计 28.下面不是 SQLServer 支持的身份认证方式的是 28.