计算机三级信息安全技术 第一套(精编+解析)

第一套1.信息技术的产生与发展，大致经历的三个阶段是（）。A.电讯技术的发明、计算机技术的发展和互联网的使用B.电讯技术的发明、计算机技术的发展和云计算的使用C.电讯技术的发明、计算机技术的发展和个人计算机的使用D.电讯技术的发明、计算机技术的发展和半导体技术的使用【解析】信息技术的发展，大致分为电讯技术的发明（19世纪30年代开始）、计算机技术的发展（20世纪50年代开始）和互联网的使用（20世纪60年代开始）三个阶段。故选择A选项。2.同时具有强制访问控制和自主访问控制属性的访问控制模型是（）。A.BLP B.Biba C.Chinese Wall D.RBAC【解析】BLP模型基于强制访问控制系统，以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起，用户通过充当合适角色的成员而获得该角色的许可权。故选择C选项。3.信息安全的五个基本属性是（）。A.机密性、可用性、可控性、不可否认性和安全性B.机密性、可用性、可控性、不可否认性和完整性C.机密性、可用性、可控性、不可否认性和不可见性D.机密性、可用性、可控性、不可否认性和隐蔽性【解析】信息安全的五个基本属性为：可用性（availability）、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可否认性(non-repudiation)。而安全性，不可见性和隐蔽性不属于信息安全的五个基本属性。故选择B选项。4.下列关于信息安全的地位和作用的描述中，错误的是（）。A.信息安全是网络时代国家生存和民族振兴的根本保障B.信息安全是信息社会健康发展和信息革命成功的关键因素C.信息安全是网络时代人类生存和文明发展的基本条件D.信息安全无法影响人们的工作和生活【解析】信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露（比如商业科研项目数据，对手企业发展规划等）、防范青少年对不良信息的浏览（比如淫秽，色情，暴力等）、个人信息的泄露（比如银行卡号，身份证号等）等，因此D选项不正确。故选择D选项。5.下列关于哈希函数的说法中，正确的是（）。A.哈希函数是一种双向密码体制B.哈希函数将任意长度的输入经过变换后得到相同长度的输出C.MD5算法首先将任意长度的消息填充为512的倍数，然后进行处理D.SHA算法要比MD5算法更快【解析】哈希函数将输入资料输出成较短的固定长度的输出，这个过程是单向的，逆向操作难以完成，故A、B选项错误；MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值；SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit，故耗时要更长，故D选项错误。故选择C选项。6.下列关于对称密码的描述中，错误的是（）。A.加解密处理速度快B.加解密使用的密钥相同C.密钥管理和分发简单D.数字签名困难【解析】对称加密系统通常非常快速，却易受攻击，因为用于加密的密钥必须与需要对消息进行解密的所有人一起共享，同一个密钥既用于加密也用于解密所涉及的文本，A、B正确；数字签名是非对称密钥加密技术与数字摘要技术的综合应用，在操作上会有一定的难度，故D正确。对称加密最大的缺点在于其密钥管理困难。故选择C选项。7.下列攻击中，消息认证不能预防的是（）。A.伪装B.内容修改C.计时修改D.发送方否认【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无意的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证)、及消息的序号和操作时间认证等，但是发送方否认将无法保证。故选择D选项。8.下列关于Diameter和RADIUS区别的描述中，错误的是（）。A.RADIUS运行在UDP协议上，并且没有定义重传机制；而Diameter运行在可靠的传输协议TCP、SCTP之上B.RADIUS支持认证和授权分离，重授权可以随时根据需求进行；Diameter中认证与授权必须成对出现C.RADIUS固有的客户端/服务器模式限制了它的进一步发展；Diameter采用了端到端模式，任何一端都可以发送消息以发起审计等功能或中断连接D.RADIUS协议不支持失败恢复机制；而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误【解析】RADIUS运行在UDP协议上，并且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离，重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。故选择B选项。9.下列关于非集中式访问控制的说法中，错误的是（）。A.Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录B.Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证C.分布式的异构网络环境中，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程D.在许多应用中，Kerberos协议需要结合额外的单点登录技术以减少用户在不同服务器中的认证过程【解析】Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，故D选项说法错误，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。故选择D选项。10.IKE协议属于混合型协议，由三个协议组成。下列协议中，不属于IKE协议的是（）。A.OakleyB.KerberosC.SKEMED.ISAKMP【解析】IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议，B选项错误。故选择B选项。11.下列组件中，典型的PKI系统不包括（）。A.CAB.RAC.CDSD.LDAP【解析】一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书；RA可作为CA的一部分，也可以独立，其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等；PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。故选择C选项。12.下列协议中，状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是（）。A.TCPB.UDPC.ICMPD.FTP【解析】状态检测防火墙在处理无连接状态的UDP、ICMP等协议时，无法提供动态的链接状态检查，而且当处理FTP存在建立两个TCP连接的协议时，针对FTP协议的被动模式，要在连接状态表中允许相关联的两个连接。而在FTP的标准模式下，FTP客户端在内网，服务器端在外网，由于FTP的数据连接是从外网服务器到内网客户端的一个变化的端口，因此状态防火墙需要打开整个端口范围才能允许第二个连接通过，在连接量非常大的网络，这样会造成网络的迟滞现象。状态防火墙可以通过检查TCP的标识位获得断开连接的信息，从而动态的将改连接从状态表中删除。故选择A选项。13.下列选项中，不属于分组密码工作模式的是（）。A.ECBB.CCBC.CFBD.OFB【解析】CCB（密码块链接），每个平文块先与前一个密文块进行异或后，再进行加密，没有分组工作模式。ECB（电码本）模式是分组密码的一种最基本的工作模式。在该模式下，待处理信息被分为大小合适的分组，然后分别对每一分组独立进行加密或解密处理。CFB（密文反馈），其需要初始化向量和密钥两个内容，首先先对密钥对初始向量进行加密，得到结果(分组加密后)与明文进行移位异或运算后得到密文，然后前一次的密文充当初始向量再对后续明文进行加密。OFB（输出反馈），需要初始化向量和密钥，首先运用密钥对初始化向量进行加密，对下个明文块的加密。故选择B选项。14.下列关于访问控制主体和客体的说法中，错误的是（）。A.主体是一个主动的实体，它提供对客体中的对象或数据的访问要求B.主体可以是能够访问信息的用户、程序和进程C.客体是含有被访问信息的被动实体D.一个对象或数据如果是主体，则其不可能是客体【解析】主体是指提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。客体是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体，客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。因此，可以主体可以是另外一个客体。故选择D选项。15.下列关于进程管理的说法中，错误的是（）。A.用于进程管理的定时器产生中断，则系统暂停当前代码执行，进入进程管理程序B.操作系统负责建立新进程，为其分配资源，同步其通信并确保安全C.进程与CPU的通信是通过系统调用来完成的D.操作系统维护一个进程表，表中每一项代表一个进程【解析】进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。而不是通过系统调用来完成的。故选择C选项。16.下列关于守护进程的说法中，错误的是（）。A.Unix/Linux系统大多数服务都是通过守护进程实现的B.守护进程常常在系统引导装入时启动，在系统关闭时终止C.守护进程不能完成系统任务D.如果想让某个进程不因为用户或终端或其它变化而受到影响，就必须把这个进程变成一个守护进程【解析】在linux或者unix操作系统中在系统的引导的时候会开启很多服务，这些服务就叫做守护进程。为了增加灵活性，root可以选择系统开启的模式，这些模式叫做运行级别，每一种运行级别以一定的方式配置系统。守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。守护进程常常在系统引导装入时启动，在系统关闭时终止。Linux系统有很多守护进程，大多数服务都是通过守护进程实现的，同时，守护进程还能完成许多系统任务，例如，作业规划进程crond、打印进程lqd等，故选择C选项。17.在Unix系统中，改变文件分组的命令是（）。A.chmodB.chownC.chgrpD.who【解析】chmod：文件/目录权限设置命令；chown：改变文件的拥有者；chgrp：变更文件与目录的所属群组，设置方式采用群组名称或群组识别码皆可；who：显示系统登陆者。故选择C选项。下列选项中，不属于Windows环境子系统的是（）。A.POSIXB.OS/2C.Win32D.Win8【解析】Windows有3个环境子系统：Win32、POSIX和OS/2；POSIX子系统，可以在Windows下编译运行使用了POSIX库的程序，有了这个子系统，就可以向Windows移植一些重要的UNIX/Linux应用。OS/2子系统的意义跟POSIX子系统类似。Win32子系统比较特殊，如果没有它，整个Windows系统就不能运行，其他两个子系统只是在需要时才被启动，而Wind32子系统必须始终处于运行状态。故选择D选项。19.下列有关视图的说法中，错误的是（）。A.视图是从一个或几个基本表或几个视图导出来的表B.视图和表都是关系，都存储数据C.视图和表都是关系，使用SQL访问它们的方式一样D.视图机制与授权机制结合起来，可以增加数据的保密性【解析】视图是原始数据库数据的一种变换，是查看表中数据的另外一种方式。可以将视图看成是一个移动的窗口，通过它可以看到感兴趣的数据。视图是从一个或多个实际表中获得的，这些表的数据存放在数据库中。那些用于产生视图的表叫做该视图的基表。一个视图也可以从另一个视图中产生。视图的定义存在数据库中，与此定义相关的数据并没有再存一份于数据库中，通过视图看到的数据存放在基表中，而不是存放在视图中，视图不存储数据，故B选项说法不正确。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上，但不能授权到数据库特定行和特定的列上。故选择B选项。20.下列关于事务处理的说法中，错误的是（）。A.事务处理是一种机制，用来管理必须成批执行的SQL操作，以保证数据库不包含不完整的操作结果B.利用事务处理，可以保证一组操作不会中途停止，它们或者作为整体执行或者完全不执行C.不能回退SELECT语句，因此事务处理中不能使用该语句D.在发出COMMIT或ROLLBACK语句之前，该事务将一直保持有效【解析】由于事务是由几个任务组成的，因此如果一个事务作为一个整体是成功的，则事务中的每个任务都必须成功。如果事务中有一部分失败，则整个事务失败。一个事务的任何更新要在系统上完全完成，如果由于某种原因出错，事务不能完成它的全部任务，系统将返回到事务开始前的状态。COMMIT语句用于告诉DBMS，事务处理中的语句被成功执行完成了。被成功执行完成后，数据库内容将是完整的。而ROLLBACK语句则是用于告诉DBMS，事务处理中的语句不能被成功执行。不能回退SELECT语句，因此该语句在事务中必然成功执行。故选择C选项。21.P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型。在该模型的四个组成部分中，核心是（）。A.策略B.防护C.检测D.响应【解析】P2DR模型包括四个主要部分：Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)，在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。故选择A选项。22.下列选项中，ESP协议不能对其进行封装的是（）。A.应用层协议B.传输层协议C.网络层协议D.链路层协议【解析】ESP协议主要设计在IPv4和IPv6中提供安全服务的混合应用。IESP通过加密需要保护的数据以及在ESP的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法，能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性，但是，ESP协议无法封装链路层协议。故选择D选项。23.Kerberos协议是分布式网络环境的一种（）。A.认证协议B.加密协议C.完整性检验协议D.访问控制协议【解析】Kerberos是一种网络认证协议，而不是加密协议或完整性检验协议。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。故选择A选项。24.下列选项中，用户认证的请求通过加密信道进行传输的是（）。A.POSTB.HTTPC.GETD.HTTPS【解析】HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URIscheme，句法类同http体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，因此用户认证的请求通过加密信道进行传输，现在它被广泛用于万维网上安全敏感的通讯。故选择D选项。25.AH协议具有的功能是（）。A.加密B.数字签名C.数据完整性鉴别D.协商相关安全参数【解析】AH协议用以保证数据包的完整性和真实性，防止黑客阶段数据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。故选择C选项。26.下列选项中，不属于IPv4中TCP/IP协议栈安全缺陷的是（）。A.没有为通信双方提供良好的数据源认证机制B.没有为数据提供较强的完整性保护机制C.没有提供复杂网络环境下的端到端可靠传输机制D.没有提供对传输数据的加密保护机制此题我不会,点击加入错题库错题反馈答案解析参考答案:C您的答案:图文解析：【解析】IPv4中TCP/IP协议栈，没有口令保护,远程用户的登录传送的帐号和密码都是明文,这是Telnet致命的弱点;认证过程简单,只是验证连接者的帐户和密码;传送的数据没有加密等。IPv4中TCP/IP协议栈提供了端到端可靠传输机制。故选择C选项。27.下列协议中，可为电子邮件提供数字签名和数据加密功能的是（）。A.SMTPB.S/MIMEC.SETD.POP3【解析】SMTP：简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SET：安全电子交易协议；POP3：邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。S/MIME为多用途网际邮件扩充协议，在安全方面的功能又进行了扩展，它可以把MIME实体(比如数字签名和加密信息等)封装成安全对象。故选择B选28.在计算机网络系统中，NIDS的探测器要连接的设备是（）。A.路由器B.防火墙C.网关设备D.交换机【解析】NIDS是NetworkIntrusionDetectionSystem的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS提供的功能主要有数据的收集，如数据包嗅探；事件的响应，如利用特征匹配或异常识别技术检测攻击，并产生响应；事件的分析，事件数据存储。所以其探测器要连接在交换机上。故选择D选项。29.下列网络地址中，不属于私有IP地址的是（）。A.B.C.D.【解析】私有IP地址范围：A:55即/8B:55即/12C:55即/16故选择B选项。30.下列选项中，软件漏洞网络攻击框架性工具是（）。A.BitBlazeB.NessusC.MetasploitD.Nmap【解析】BitBlaze平台由三个部分组成：Vine，静态分析组件，TEMU，动态分析组件，Rudder，结合动态和静态分析进行具体和符号化分析的组件。Nessus?是目前全世界最多人使用的系统漏洞扫描与分析软件。Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。NMap，也就是NetworkMapper，是Linux下的网络扫描和嗅探工具包。故选择C选项。31.OWASP的十大安全威胁排名中，位列第一的是（）。A.遭破坏的认证和会话管理B.跨站脚本C.注入攻击D.伪造跨站请求【解析】OWASP的十大安全威胁排名：第一位:注入式风险；第二位:跨站点脚本(简称XSS)；第三位:无效的认证及会话管理功能；第四位:对不安全对象的直接引用；第五位:伪造的跨站点请求(简称CSRF)；第六位:安全配置错误；第七位:加密存储方面的不安全因素；第八位:不限制访问者的URL；第九位:传输层面的保护力度不足；第十位:未经验证的重新指向及转发。故选择C选项。32.提出软件安全开发生命周期SDL模型的公司是（）。A.微软B.惠普C.IBMD.思科【解析】安全开发周期，即SecurityDevelopmentLifecycle(SDL)，是微软提出的从安全角度指导软件开发过程的管理模式。微软于2004年将SDL引入其内部软件开发流程中，目的是减少其软件中的漏洞的数量和降低其严重级别。故选择A选项。33.下列选项中，不属于代码混淆技术的是（）。A.语法转换B.控制流转换C.数据转换D.词法转换【解析】代码混淆技术在保持原有代码功能的基础上，通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可通过多种技术手段实现，包括词法转换、控制流转换、数据转换。故选择A选项。34.下列选项中，不属于漏洞定义三要素的是（）。A.漏洞是计算机系统本身存在的缺陷B.漏洞的存在和利用都有一定的环境要求C.漏洞在计算机系统中不可避免D.漏洞的存在本身是没有危害的，只有被攻击者恶意利用，才能带来威胁和损失【解析】漏洞的定义包含以下三个要素：首先，漏洞是计算机系统本身存在的缺陷；其次，漏洞的存在和利用都有一定的环境要求；最后，漏洞存在的本身是没有危害的，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失。故选择C选项。35.下列关于堆（heap）和栈（stack）在内存中增长方向的描述中，正确的是（）。A.堆由低地址向高地址增长，栈由低地址向高地址增长B.堆由低地址向高地址增长，栈由高地址向低地址增长C.堆由高地址向低地址增长，栈由高地址向低地址增长D.堆由高地址向低地址增长，栈由低地址向高地址增长【解析】堆生长方向是向上的，也就是向着内存增加的方向；栈相反。故选择B选项。36.下列选项中，不属于缓冲区溢出的是（）。A.栈溢出B.整数溢出C.堆溢出D.单字节溢出【解析】缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，使得溢出的数据覆盖在合法数据上，理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈。在各个操作进程之间，指令会被临时储存在堆栈当中，堆栈也会出现缓冲区溢出，单字节溢出是指程序中的缓冲区仅能溢出一个字节。故选择B选项。37.在信息安全事故响应中，必须采取的措施中不包括（）。A.建立清晰的优先次序B.清晰地指派工作和责任C.保护物理资产D.对灾难进行归档【解析】信息安全应急响应的核心是为了保障业务，在具体实施应急响应的过程中就需要通过不断的总结和回顾来完善应急响应管理体系。编写安全指南：针对可能发生的安全事件安全问题，对判断过程进行详细描述。同时，安全指南也是管理层支持组织IT的一个证明。明确职责规范：明确IT用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责，在发生安全事件时可以很快定位相应人员。信息披露：明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略：安全事件越重大，需要的授权也越大。设置优先级：制定优先级表，根据安全事件导致的后果顺序采用相应的应急措施。判断采用调查和评估安全事件的方法：通过判断潜在和持续的损失程度、原因等采用不同的方法。通知受影响各方：对所有受影响的组织内部各部门和外部机构都进行通报，并建立沟通渠道。安全事件的评估：对安全事件做评估，包括损失、响应时间、提交策略的有效性、调查的有效性等，并对评估结果进行归档。故选择C选项。38.下列关于系统整个开发过程的描述中，错误的是（）。A.系统开发分为五个阶段，即规划、分析、设计、实现和运行B.系统开发每个阶段都会有相应的期限C.系统的生命周期是无限长的D.系统开发过程的每一个阶段都是一个循环过程【解析】系统开发分为五个阶段，即规划、分析、设计、实现和运行。故A正确。系统开发每个阶段都会有相应的期限。故B正确。系统生命周期就是系统从产生构思到不再使用的整个生命历程。任何系统都会经历一个发生、发展和消亡的过程。而不是系统的生命周期是无限长的。故选择C选项。39.在信息安全管理中的控制策略实现后，接下来要采取的措施不包括（）。A.确定安全控制的有效性B.估计残留风险的准确性C.对控制效果进行监控和衡量D.逐步消减安全控制方面的开支【解析】一旦实现了控制策略，就应该对控制效果进行监控和衡量，从而来确定安全控制的有效性，并估计残留风险的准确性。整个安全控制是一个循环过程，不会终止，只要机构继续运转，这个过程就会继续，并不是说这方面的预算就可以减少。故选择D选项。40.下列关于信息安全管理体系认证的描述中，错误的是（）。A.信息安全管理体系第三方认证，为组织机构的信息安全体系提供客观评价B.每个组织都必须进行认证C.认证可以树立组织机构的信息安全形象D.满足某些行业开展服务的法律要求【解析】引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。通过进行信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，但不是所以的组织都必须进行认证，故B选项说法错误。通过认证能保证和证明组织所有的部门对信息安全的承诺。获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。故选择B选项。41.依据涉密信息系统分级保护管理规范和技术标准，涉密信息系统建设使用单位将保密级别分为三级。下列分级正确的是（）。A.秘密、机密和要密B.机密、要密和绝密C.秘密、机密和绝密D.秘密、要密和绝密【解析】涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。故选择C选项。42.基本安全要求中基本技术要求从五个方面提出。下列选项中，不包含在这五个方面的是（）。A.物理安全B.路由安全C.数据安全D.网络安全【解析】基本安全要求中基本技术要求从五个方面提出：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复；路由安全不是基本安全要求中基本技术。故选择B选项。43.下列选项中，不属于应急计划三元素的是（）。A.基本风险评估B.事件响应C.灾难恢复D.业务持续性计划【解析】应急计划三元素是事件响应、灾难恢复、业务持续性计划。基本风险评估预防风险，而应急计划则是当风险发生时采取的措施。故选择A选项。44.下列选项中，不属于审核准备工作内容的是（）。A.编制审核计划B.加强安全意识教育C.收集并审核有关文件D.准备审核工作文件-编写检查表【解析】审核是指为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的独立的并形成文件的过程。加强安全教育与审核对象没有关系。故选择B选项。45.下列关于可靠电子签名的描述中，正确的是（）。A.作为电子签名的加密密钥不可以更换B.签署时电子签名制作数据可由交易双方控制C.电子签名制作数据用于电子签名时，属于电子签名人专有D.签署后对电子签名的任何改动不能够被发现【解析】电子签名法规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。根据电子签名法的规定，同时符合下列四个条件的电子签名视为可靠的电子签名：（1）电子签名制作数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制作数据仅由电子签名人控制；（3）签署后对电子签名的任何改动能够被发现；（4）签署后对数据电文内容和形式的任何改动能够被发现。故选择C选项。46.企业销售商用密码产品时，应向国家密码管理机构申请，其必需具备的条件是（）。A.要求注册资金超过100万B.有上市的资格C.有基础的销售服务制度D.有独立的法人资格【解析】根据商用密码产品销售管理规定，申请商用密码产品销售许可证的单位应当具备下列条件：（1）有独立的法人资格；（2）有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障；（3）有完善的销售服务和安全保密管理制度；（4）法律、行政法规规定的其它条件。故选择D选项。47.电子认证服务提供者由于违法行为被吊销电子认证许可证书后，其直接负责的主管人员和其他直接责任人员多长时间内不得从事电子认证服务（）。A.7年B.10年C.17年D.20年【解析】中华人民共和国电子签名法第三十一条电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。故选择B选项。48.下列选项中，没必要进行电子签名的文件是（）。A.商品的电子LOGO信息文件B.交易双方的转账信息文件C.涉及停止供水、供热、供气、供电等公用事业服务的信息文件D.下载数据的验证信息文件【解析】电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据，是一种电子代码，利用它，收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。公用事业服务信息文件无需进行验证，故选择C选项。49.下列关于可靠电子签名的描述中，正确的是（）。A.签署时电子签名制作数据仅由电子签名人控制B.签署时电子签名制作数据可由交易双方控制C.作为电子签名的加密密钥不可以更换D.签署后对电子签名的任何改动不能够被发现【解析】可靠电子签名可以满足电子缔约身份认定、信息保密、内容完整和行为不可抵赖的要求，并具备便捷、低廉、快速、有效的事后取证优势。可靠电子签名与手写签名或者盖章具有同等的法律效力，是网上交易成功的保证。故签名制作数据只能由电子签名人控制，不可抵赖。故选择A选项。50.下列选项中，不应被列为国家秘密的是（）。A.国防建设和武装力量活动中的秘密事项B.企业的商用信息C.科学技术中的秘密事项D.国民经济和社会发展中的秘密事项【解析】国家秘密是指关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知情的事项，如：国防建设和武装力量活动中的秘密事项、科学技术中的秘密事项、国民经济和社会发展中的秘密事项。企业的商用信息不应被列为国家秘密。故选择B选项。二、填空题1. -计算机系统安全评估的第一个 正式标准是 _，它具有划时代的意义，为计算机安全评估奠定了基础。【解析】TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。因此应该填入：可信计算机评估标准/TCSEC标准。2. 信息安全的发展大致经历了三个主要阶段： _阶段、计算机安全阶段和信息安全保障阶段。【解析】信息安全的发展大致经历了3个主要阶段：通信保密阶段、计算机安全阶段和信息安全保障阶段。通信保密阶段：当代信息安全学起源于20世纪40年代的通信保密；计算机安全阶段：20世纪60年代和70年代，计算机安全的概念开始逐步得到推行；信息安全保障阶段：20世纪90年代以后，开始倡导信息保障。因此应该填入：通信保密3. 由于网络信息量十分巨大，仅依靠人工的方法难以应对网络海量信息的收集和处理，需要加强相关信息技术的研究，即网络 _ 技术。对于网络舆情的特点，社会管理者应当了然于心。对现实中出现的各种网络舆论，社会管理者应能做出及时反馈，防微杜渐，防患于未然。因此，必须利用现代信息技术对网络舆情予以分析，从而进行控制和引导。由于网上的信息量十分巨大，仅依靠人工的方法难以应对网上海量信息的收集和处理，需要加强相关信息技术的研究，形成一套自动化的网络舆情分析系统，及时应对网络舆情，由被动防堵，化为主动梳理、引导。因此应该填入：舆情分析4. 消息摘要算法MD5可以对任意长度的明文，产生 _位的消息摘要。【解析】MD5算法简要叙述：MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。因此应该填入：1285. 验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息 _。【解析】消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无意的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证0)、及消息的序号和操作时间认证等。因此应该填入：认证6. 基于矩阵的行的访问控制信息表示的是访问 _表，即每个主体都附加一个该主体可访问的客体的明细表。【解析】访问控制矩阵：任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可。访问控制列表：这种方法对应于访问控制矩阵的列。访问能力表：这种方法对应于访问控制矩阵的行。每个主体都附加一个该主体可访问的客体的明细表。因此应该填入：能力7. 强制访问控制系统通过比较主体和客体的 _来决定一个主体是否能够访问某个客体。【解析】强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体。强制访问控制是系统独立于用户行为强制执行访问控制，它也提供了客体在主体之间共享的控制，但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问，从而防止对信息的非法和越权访问，保证信息的保密性。因此应该填入：安全标签8. 在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件 _，如中断、异常等。【解析】操作系统通过一些基本元素，在硬件支持的基础上来达到目标。用户模式和内核模式现代CPU通常运行在两种模式下：(1)内核模式，也称为特权模式，在Intelx86系列中，称为核心层(Ring0)。(2)用户模式，也称为非特权模式，或者用户层(Ring3)。如果CPU处于特权模式，那么硬件将允许执行一些仅在特权模式下许可的特殊指令和操作。一般看来，操作系统应当运行在特权模式下，或者称为内核模式下：其他应用应当运行在普通模式，或者用户模式下。然而，事实与此有所不同。显然，要使特权模式所提供的保护真正有效，那么普通指令就不能自由修改CPU的模式。在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷，如中断：一些外部硬件引发的，如I/O或者时钟异常：如除数为零，访问非法的或者不属于该进程的内存显式地执行自陷指令与上述行为的处理过程基本相同：CPU挂起用户程序，将CPU模式改变为内核模式，查表(如中断向量表)以定位处理过程，然后开始运行由表定义的操作系统代码。因此应该填入：自陷。9. 在Unix/Linux中，每一个系统与用户进行交流的界面，称为 _。【解析】在Unix/Linux中，每一个系统与用户进行交流的界面都被命名为终端；因此应该填入终端。10. 在UnixLinux系统中， _账号是一个超级用户账户，可以对系统进行任何操作。【解析】在UnixLinux系统中，root账号就是一个超级用户账户。以超级用户可以对系统进行任何操作。1超级用户而UnixLinux超级用户账户可以不止一个。在Unix系统中，只要将用户的UID和GID设置为0就可以将其变成超级用户，但并不是所有的超级用户都能很容易的登录到Unix系统中，这是因为，Unix系统使用了可插入认证模块（PAM）进行认证登录，PAM要求超级用户只能在指定的终端上进行访问，这种指定的终端是可以保证安全的。2root账户的安全root用户账户也是有密码的，这个密码可以对那些通过控制台访问系统的用户进行控制，即使是使用su命令的用户也不例外。因此应该填入：root11. TCG使用了可信平台模块，而中国的可信平台以可信 _模块为核心。【解析】可信平台模块是一种使微控制器能控存储安全数据的规格，也是这种规格的应用。该规格由可信计算组来制定。国内目前研究的TCM（trustedcryptographymodule,可信密码模块），与之对应。因此应该填入：密码。12. 根据ESP封装内容的不同，可将ESP分为传输模式和 _模式。【解析】ESP（EncapsulatingSecurityPayloads），封装安全载荷协议，IPsec所支持的两类协议中的一种。该协议能够在数据的传输过程中对数据进行完整性度量，来源认证以及加密，也可防止回放攻击。传输模式，与隧道模式同为IPsec工作的两种方式。因此应该填入：隧道。13. PKI是创建、管理、存储、分布和作废 _的一系列软件、硬件、人员、策略和过程的集合。【解析】PKI（PublicKeyInfrastructure）?即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。因此应该填入：数字证书。14. 木马程序由两部分程序组成，黑客通过 _端程序控制远端用户的计算机。【解析】木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分。因此应该填入：客户。15. 通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，是 _传播分析技术。【解析】污点传播分析技术：通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。因此应该填入：污点。16. 恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是 _。【解析】恶意程序通常是指带有攻击意图所编写的一段程序，通过破坏软件进程来实施控制。这些威胁可以分成两个类别：需要宿主程序的威胁和彼此独立的威胁。因此应该填入：恶意程序17. 根据加壳原理的不同，软件加壳技术包括 _保护壳和加密保护壳。【解析】加壳的全称应该是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码.要经过脱壳才可以查看源代码。加壳工具通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小，加密保护不是重点。因此应该填入：压缩。18. 处于未公开状态的漏洞是 _漏洞。【解析】0day漏洞，是已经被发现(有可能未被公开),只有黑客或者某些组织内部使用，而官方还没有相关补丁的漏洞（因为官方还不知道该漏洞）。因此应该填入：0day。19.国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞信息共享知识库，它的英文缩写是_【解析】国家信息安全漏洞共享平台CNVD（ChinaNationalVulnerabilityDatabase）是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。本题答案为：CNVD20.电子签名需要第blank方认证，是由依法设立的电子认证服务提供方提供认证服务的。【解析】电子签