计算机三级信息安全技术第六套.doc

下列关于密码技术的描述中，错误的是（ ）。A) 传统密钥系统的加密密钥和解密密钥相同B) 公开密钥系统的加密密钥和解密密钥不同C) 消息摘要适合数字签名但不适合数据加密D) 数字签名系统一定具有数据加密功能数字签名是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化。它类似于手写签名或印章，也可以说它就是电子印章。我们对一些重要的文件进行签名，以确定它的有效性。数字签名的目的就是要保证文件的真实性，防止签名者抵赖。对文件进行了签名说明签名者认可了这份文件。所以数字签名系统不一定具有数据加密功能，故D选项错误。用于验证消息完整性的是（ ）。A) 消息摘要B) 数字签名C) 身份认证D) 以上都不是消息摘要（Message Digest）又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值，它由一个单向Hash加密函数对消息进行作用而产生。如果消息在途中改变了，则接收者通过对收到消息的新产生的摘要与原摘要比较，就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。 故选择A选项。下列选项中，属于单密钥密码算法的是（ ）。A) DES算法B) RSA算法C) ElGamal算法D) Diffie-Hellman算法DES算法为密码体制中的对称密码体制，又被称为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组，密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。单秘钥加密算法是指加密密钥能从解密密钥中推算出来，故选择A选项。USB Key身份认证采用软硬件相结合、一次一密的强双因子认证模式。它是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证，有两种应答模式：基于挑战/应答的认证模式和基于PKI体系的认证模式。下列选项中，不属于分布式访问控制方法的是（ ）。A) 单点登录B) 基于PKI体系的认证模式C) SESAMED) Kerberos协议PKI(Public Key Infrastructure) 即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。分布式访问控制是指户要对特定的资源进行访问控制，基于PKI体系的认证模式明显属于集中式访问控制，故选择B选项。下列关于数字签名的描述中，正确的是（ ）。A) 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B) 数字签名能够解决数据的加密传输C) 数字签名一般采用对称加密机制D) 数字签名能够解决篡改、伪造等安全性问题数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。所以数字签名能够解决篡改、伪造等安全性问题。故选择D选项。下列不属于引导程序的是（ ）。A) GrubB) MS-DOSC) LiloD) Spfdisk微软磁盘操作系统，美国微软公司提供的磁盘操作系统。在Windows 95以前，磁盘操作系统是IBM PC及兼容机中的最基本配备，而MS-DOS则是个人电脑中最普遍使用的磁盘操作系统之一。故选择B选项。下列关于守护进程的描述中，正确的是（ ）。A) 守护进程是由终端启动的长期运行的进程B) 守护进程通常周期性地执行某种任务或等待处理某些发生的事件C) 当控制终端被关闭时，包括守护进程在内的进程都会自动关闭D) Unix/Linux系统有很多守护进程，但是只有少数服务是通过守护进程实现的守护进程，也就是通常说的Daemon进程，是Linux中的后台服务进程。它是一个生存期较长的进程，通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程常常在系统引导装入时启动，在系统关闭时终止。故B选项正确。在Windows操作系统启动过程中，初始化工作后，从硬盘上读取boot.ini文件并进行系统选择的程序是（ ）。A) NtldrB) NC) Ntoskrnl.exeD) Smss.exeNTLDR全称是NT Loader，是系统加载程序，是一个隐藏的、只读的系统文件，位置在系统盘的根目录，用来装载操作系统。NTLDR一般存放于C盘根目录下，它的主要职责是解析Boot.ini文件。故选择A选项。中国可信平台与TCG可信平台最根本的差异是（ ）。A) TCG可信平台主要面向PC平台，而中国可信平台也适合服务器和嵌入式移动运算平台B) 所使用的可信平台模块不同，TCG可信平台使用了TPM，而中国可信平台使用了可信密码模块TCMC) 中国可信平台在设计上充分考虑了TCG可信平台存在的不足，在芯片本身物理安全方面、密码配置方面等都有明显提升D) 中国可信平台对TNC进行了一些改进，形成了自己的可信网络连接架构中国可信平台与TCG可信平台的差异体现在它们使用了不同的可信平台模块，TCG可信平台使用了TPM，而中国可信平台使用了可信密码模块TCM。故答案选择B选项。下列操作中，不能在视图上完成的是（C ）。A) 更新视图B) 查询C) 在视图上定义新的表D) 在视图上定义新的视图端口扫描时，隐蔽性最高的扫描方法是（ ）。A) TCP全连接B) TCP SYN扫描C) TCP FIN扫描D) TCP半连接扫描在TCP报文结构中，FIN段负责表示发送端已经没有数据要传输了，希望释放连接，TCP FIN扫描的好处是完全不建立TCP连接，从而大大减少了被目标主机记录下来的可能性，隐蔽性较高，故选择C选项。利用ICMP协议进行扫描时，可以扫描的目标主机信息是（A ）。A) IP地址B) 操作系统版本C) 漏洞D) 弱口令ICMP协议是一种面向无连接的协议，用于传输出错报告控制信息。它是一个非常重要的协议，它对于网络安全具有极其重要的意义。它是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。故答案选择A选项。下列软件中，只能用于端口扫描的是（ ）。A) NessusB) MetasploitC) NmapD) X-ScanNmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统保安。故选择C下列拒绝服务攻击中，不通过传输层实施的是（ ）。A) Port Connection FloodB) Script FloodC) SYN-FloodD) ACK-FloodScript Flood攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。所以是不通过传输层实施，故选择B选项。PKI系统中，OCSP服务器的功能是（ ）。A) OCSP服务器为用户提供证书在线状态的查询B) OCSP服务器为用户提供证书的存储C) OCSP服务器为用户提供证书真实性的验证D) OCSP服务器为用户提供证书的下载OCSP(在线证书状态协议)是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个有效、过期或未知的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期，这样他们就可以在更新以前的一段时间内继续访问服务器。故A选项正确。下列漏洞中，描述为由于程序处理文件等实体时在时序和同步方面存在问题，存在一个机会窗口使攻击者能够实施外来的影响的是（ ）。A) 竞争条件漏洞B) 意外情况处置错误漏洞C) 访问验证错误漏洞D) 输入验证错误漏洞竞争状态是一种异常行为，是由对事件相对节奏的依赖关系的破坏而引发的。竞争条件属于time-of-check-time-of-use漏洞的一种。即：程序先检查对象的某个特征，然后的动作实在假设这些特征一直保持的情况下作出的，但这时该特征性可能不具备了。也可理解为由于程序处理文件等实体时在时序和同步方面存在问题，存在一个机会窗口使攻击者能够实施外来的影响，故选择A选项。exploit就是利用一切可以利用的工具、采用一切可以采用的方法、找到一切可以找到的漏洞，并且通过对漏洞资料的分析研究，从而达到获取网站用户资料文档、添加自定义用户、甚至侵入网站获得管理员权限控制整个网站的最终目的。所以exploit不属于漏洞利用数据项，选择D选项。ASLR（Address space layout randomization）是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的。故选择C选项。下列恶意程序传播手段中，利用网络服务程序的漏洞进行传播的是（ ）。A) 网站挂马B) 诱骗下载C) 局域网传播D) 电子邮件和即时通讯软件局域网是指内部的网络，一般指企业和家庭中的内部网络。在局域网内的计算机可以在网内自由的进行数据的存储、交换和访问。而恶意程序(如木马)的在局域网的传播是利用网络服务程序的漏洞进行传播。故C选项正确。在访问控制管理时，由访问控制依赖的四个原则转换成的三个职责，不包含（ ）。A) 用户账户管理B) 操作跟踪C) 访问权利和许可权的管理D) 责任衡量访问控制管理是指按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制管理主要依赖：用户账户管理、操作跟踪、访问权利和许可权的管理，故选择D选项。风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理是社会组织或者个人用以降低风险的消极结果的决策过程，通过风险识别、风险估测、风险评价，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。故选择B选项。信息安全管理的任务是保证信息的使用安全，保证信息载体的运行安全，其目标是达到信息系统所需要的安全级别，将风险控制在可以接受的程度，信息安全的管理涉及五个层面，分别是：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。故选择A选项。为了清除系统运行中发生的故障和错误，软、硬件维护人员要对系统进行必要的修改与完善；为了使系统适应用户环境的变化，满足新提出的需要，也要对原系统做些局部的更新，这些工作称为系统维护。系统维护的任务是改正软件系统在使用过程中发现的隐含错误，扩充在使用过程中用户提出的新的功能及性能要求，其目的是维护软件系统的正常运作。系统安全维护的步骤为：报告错误、处理错误、处理错误报告。故选择D选项。恶意程序会修改被感染计算机的 _文件，利用虚假IP地址的映像劫持技术来屏蔽被感染计算机与安全站点之间的连接。(Hosts)识别和 _机构面临的风险的过程称为风险管理。（控制）在信息安全管理措施中，事故响应的四个阶段分别为计划、 _、反应、恢复。（检测）CC将评估过程划分为功能和 _两部分。（保证）体系审核是为获得 _证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查。（审核）涉及国家安全和利益的事项，泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的，应当确定为 _。（国家秘密）访问控制对于保护客体（其信息和数据）的机密性和 _是很有必要的。（完整）1、根据要求，完成下列题目。（共10分）（1）RSA算法基于数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，具体算法描述如下：随机选择两个大素数p和q，p和q都保密；计算n= _【1】_，将n公开； （1分） （要求：A和B的乘积表示为AB） 计算(n)= _【2】_，将(n)保密；（1分） 随机选取一个正整数e，1e(n)且e与(n)互素，将e公开； 这样，就确定了RSA密码的公开加密密钥Ke= （1分）根据ed1 mod (n)，计算出d，d保密； 这样，就确定了RSA密码的私有解密密钥Kd= 对消息M进行加密运算：C= _【4】_ mod n；（2分） （要求：A的B次方表示为AB）对密文C进行解密运算：M= _【5】_ mod n。（2分）（2）RSA算法既可用于加密，又可用于数字签名，已成为目前应用最广泛的公开密钥密码之一。在应用中，为了确保RSA密码的安全，必须认真选择RSA密码的参数：应当采用足够大的整数n，普遍认为，n至少应取 _【6】_位；（1分）为了使加密速度快，根据反复平方乘算法，e的二进制表示中应当含有尽量少的1，有学者建议取e= _【7】_，其二进制表示中只有两个1，它比3更安全，而且加密速度也很快；（1分） 与e的选择类似，为了使解密（数字签名）速度快，希望选用小的d，但是d太小也是不好的。当d小于n的 _【8】_时，已有求出d的攻击方法。（1分）2、今有两个关系模式：职工（职工号，姓名，年龄，职务，工资，部门号）；部门（部门号，名称，经理名，地址，电话）。请基于数据库的自主存取控制及视图机制，根据操作要求补全SQL语句。（每空1分，共5分）（1）将职工表的INSERT权限授予王平： _【9】_ ON TABLE 职工 TO 王平;（2）将职工表和部门表的所有权限授予王明，并授予其将权限授予其余用户的权力： _【10】_ ON TABLE 职工, 部门 TO 王明 _【11】_ ;（3）建立部门号为01的部门中年龄大于30的所有职工信息的视图VIEW_职工，以便为用户杨兰分配SELECT权限： _【12】_ VIEW_职工 AS SELECT X.*, Y.名称FROM 职工 X, 部门Y WHERE _【13】_ AND Y.部门号=01 AND X.部门号=Y.部门号3、如图1所示，A计算机和B计算机之间部署了防火墙进行NAT地址翻译，A计算机的IP地址为0，防火墙的IP地址为0，B计算机的IP地址为0。对于A计算机访问B计算机的网络请求，防火墙进行NAT地址翻译，请根据NAT地址翻译的原理，将图1中（1）、（2）、（3）、（4）四个数据包的源IP、源端口、目标IP、目标端口信息填入NAT地址翻译表中的相应位置。（每空1分，共10分） 表 NAT地址翻译表数据包序号源IP源端口目标IP目标端口（1）0202508080（2）03680_【14】_【15】_（3）_【16】_【17】_【18】_【19】_（4）_【20】_【21】_【22】_【23】_4、Web应用系统安全涉及到安全防护技术和安全检测技术，请完成下列题目。（每空1分，共5分） （1）根据Web安全防护的不同区域划分Web的安全防护技术，可分为如下三种： _【24】_端安全防护，指浏览器的安全防护； _【25】_安全防护，指保护明文数据在网络中传输的安全； _【26】_端安全防护，指对Web应用程序的各种安全威胁的防护。 （2）针对Web的应用程序进行安全检测时，根据是否有源代码，可分为如下两种安全检测技术： _【27】_检测技术，没有Web系统源代码的安全检测技术； _【28】_检测技术，针对Web系统源代码的安全检测技术。.【解题思路】本题主要考查RSA算法，第一部分主要涉及RSA原理、加密过程和解密过程。第二部分主要考查RSA密码的参数。【解析】RSA算法中产生公钥和私钥过程描述如下：随意选择两个大的质数p和q，p不等于q，计算N=pq；根据欧拉函数，求得r = (p-1)(q-1)；选择一个小于 r 的整数 e，求得 e 关于模 r 的模反元素，命名为d；将 p 和 q 的记录销毁。(N,e)是公钥，(N,d)是私钥。因此【1】【2】【3】处应填入：pq、(p-1)(q-1)、p, q, e, (n)。对消息M进行加密运算，密文C= Me mod n；因此【4】处填写Me。对密文C进行解密运算，明文M= Cd mod n；因此【5】处填写Cd。【解析】RSA是一种分组密码，其明文和密文均是0至某n-1之间的整数，通常n的大小为1024位二进制数或309位十进制数。因此【6】处应填入：1024。当e=65537时，其二进制表示中只有两个1，它比3更安全，而且加密速度也很快。因此【7】处应填入：65537。当d小于n的1/4，已有求出d的攻击方法。因此【8】处应填入：1/4。2、【解题思路】本题给出了两个关系模式，要求补充相关的SQL语句来实现相关的操作，主要考查了学生对SQL的一些基本语句的了解，例如授权语句、创建视图语句等。【解析】SQL语言用GRANT语句向用户授予操作权限，GRANT语句的一般形式为：GRANT To WITH GRANT OPTION；将对指定操作对象的指定操作权限授予指定的用户。因此【1】处因填入GRANT INSERT。【解析】SQL语句中授予用户权限的语句是GRANT语句，根据GRANT语句的一般格式：GRANT To WITH GRANT OPTION，我们不难看出，【2】处因填入GRANT ALL PRIVILEGES，即授予用户所有权限，【3】处因填入WITH GRANT OPTION。【解析】SQL中创建视图的命令为CREATE VIEW。因此【4】处因填入CREATE VIEW。由于题中要求是年龄大于30的所有职工，故【5】处因填入X.年龄30。3、【解题思路】NAT是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。当A计算机访问B计算机时，数据包的源地址和端口是自己的地址和端口，分别为0、2025；目的地址和端口为0、8080。当经过防火墙时，源IP地址和端口就会变为防火墙的IP地址和端口，分别为0、3680；而目的IP地址和端口不变。因此【1】【2】处应填入：0、8080。当B计算机访问A计算机时，源地址和端口为B计算机的地址和端口，分别为0、8080，目的地址为防火墙的地址和端口，分别为0、3680。当经过防火墙时，地址需要转化，源地址和端口变成防火