2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）试卷号75

住在富人区的她2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

无线Wi-Fi网络加密方式中，安全性最好的是WPA-PSK/WPA2-PSK，其加密过程采用了TKIP和（

）。

问题1选项

A.AES

B.DES

C.IDEA

D.RSA

【答案】A

【解析】本题考查无线局域网的安全知识。

WPA-PSK和WPA2-PSK既可以使用TKIP加密算法也可以使用AES加密算法。

答案选A。

2.单选题

在PKI体系中，注册机构RA的功能不包括（

）。

问题1选项

A.签发证书

B.认证注册信息的合法性

C.批准证书的申请

D.批准撤销证书的申请

【答案】A

【解析】本题考查PKI的注册机构方面的基础知识。

签发证书是证书机构CA的功能，不属于注册机构RA的功能。像认证注册信息的合法性、批准证书的申请和批准撤销证书的申请都属于RA的功能。答案选A。

3.单选题

SM3密码杂凑算法的消息分组长度为（

）比特。

问题1选项

A.64

B.128

C.512

D.1024

【答案】C

【解析】本题考查SM3算法相关知识。4.单选题

移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。设key=3，则对应明文MATH的密文为（

）。

问题1选项

A.OCVJ

B.QEXL

C.PDWK

D.RFYM

【答案】C

【解析】本题考查位移密码体制的应用。

将明文MATH依次往后移3步，即可得到PDWK。

点播：著名的加法密码是古罗马的凯撒大帝使用过的密码。Caesar密码取key=3，因此其密文字母表就是把明文字母表循环右移3位后得到的字母表。

5.案例题

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

密码学的基本目标是在有攻击者存在的环境下，保证通信双方（A和B）之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。

在以下描述中，M表示消息，H表示Hash函数，E表示加密算法，D表示解密算法，K表示密钥，SKA表示A的私钥，PKA表示A的公钥，SKB表示B的私钥，PKB表示B的公钥，||表示连接操作。

【问题1】（6分）

用户AB双方采用的保密通信的基本过程如图2-1所示。

请问图2-1所设计的保密通信模型能实现信息的哪些安全目标？图2-1中的用户A侧的H和E能否互换计算顺序？如果不能互换请说明原因：如果能互换请说明对安全目标的影响。

【问题2】（4分）

图2-2给出了另一种保密通信的基本过程：

请问图2-2设计的保密通信模型能实现信息安全的哪些特性？

【问题3】（5分）

为了在传输过程中能够保障信息的保密性、完整性和不可否认性，设计了一个安全通信模型结构如图2-3所示：

请问图2-3中（1），（2）分别应该填什么内容？

【答案】【问题1】

实现完整性。【解析】【问题1】解析

通过以上保密通信方式，接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道密钥K，所以他不知道如何对Ek[H（M）]作相应修改。这将使接收方计算出的H（M）将不等于接收到的H（M）。6.单选题

资产管理是信息安全管理的重要内容，而清楚地识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤。以下关于资产清单的说法中，错误的是（

）。

问题1选项

A.资产清单的编制是风险管理的一个重要的先决条件

B.信息安全管理中所涉及的信息资产，即业务数据、合同协议、培训材料等

C.在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别

D.资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等

【答案】B

【解析】本题考查资产管理方面的基础知识。

信息资产包括数据库和数据文件、合同协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息，不包括业务数据。

答案选B。

7.单选题

恶意代码是指为达到恶意目的而专门设计的程序或者代码。常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。以下恶意代码中，属于宏病毒的是（

）。

问题1选项

A.Trojan.Bank

B.Macro.Melissa

C.Worm.Blaster.g

D.Trojan.huigezi.a

【答案】B

【解析】本题考查恶意代码方面的基础知识。

常见恶意代码前缀类型如下所示：

系统病毒Win32、Win95

网络蠕虫Worm

特洛伊木马程序Trojan

脚本病毒Script

宏病毒Macro

后门程序Backdoor

答案选B。

8.单选题

报文内容认证使接收方能够确认报文内容的真实性，产生认证码的方式不包括（

）。

问题1选项

A.报文加密

B.数字水印

C.MAC

D.HMAC

【答案】B

【解析】本题考查消息认证码方面的基础知识。

产生认证码的方法有以下三种：

①报文加密;

②消息认证码(MAC);

③基于hash函数的消息认证码(HMAC)。

答案选B。

9.单选题

IPSec属于（

）的安全解决方案。

问题1选项

A.网络层

B.传输层

C.应用层

D.物理层

【答案】A

【解析】本题考查IPSec协议。

IPSec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查、保证数据机密性和防止重放攻击等。IPSec属于网络层的安全解决方案。故本题选A。

点播：IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。

10.单选题

如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是（

）的。

问题1选项

A.计算安全

B.可证明安全

C.无条件安全

D.绝对安全

【答案】B

【解析】本题考查密码体制安全性分类。

衡量密码体制安全性的基本准则有以下三种：

（1）计算安全的：如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的，那么就认为相应的密码体制是满足计算安全性的。这意味着强力破解证明是安全的，即实际安全。

（2）可证明安全的：如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是满足可证明安全性的。这意味着理论保证是安全的。

（3）无条件安全的：如果假设攻击者在用于无限计算能力和计算时间的前提下，也无法破译加密算法，就认为相应的密码体制是无条件安全性的。这意味着在极限状态上是安全的。

故本题选B。

点播：密码体制是完成加密和解密的算法。通常，数据的加密和解密过程是通过密码体制、密钥来控制的。密码体制必须易于使用，特别是应当可以在微型计算机使用。密码体制的安全性依赖于密钥的安全性，现代密码学不追求加密算法的保密性，而是追求加密算法的完备。世界上不存在绝对安全的密码。

11.单选题

一个密码系统至少由明文、密文、加密算法、解密算法和密钥五个部分组成，而其安全性是由（

）决定的。

问题1选项

A.加密算法

B.解密算法

C.加解密算法

D.密钥

【答案】D

【解析】本题考查密码系统组成原则的基础知识。

一个密码系统至少由明文、密文、加密算法、解密算法和密钥五个部分组成，而在密码系统的设计中，有一条很重要的原则就是Kerckhoff原则，也就是密码系统的安全性只依赖于密钥。

答案选D。

12.单选题

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成，工业控制系统安全面临的主要威胁不包括（

）。

问题1选项

A.系统漏洞

B.网络攻击

C.设备故障

D.病毒破坏

【答案】C

【解析】本题考查工业控制系统安全方面的基础知识。

工业控制系统安全面临的主要威胁包括系统漏洞、网络攻击、病毒破坏。

答案选C。

13.单选题

APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（

）。

问题1选项

A.情报收集

B.防线突破

C.横向渗透

D.通道建立

【答案】C

【解析】本题考查APT攻击相关知识。

一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

1.情报收集：在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息（如公司通讯录等）。

2.防线突破：攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：

①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员（如领导、同事、朋友等）电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开邮件，员工电脑便感染了恶意软件。

②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3.通道建立：攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4.横向渗透：入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5.信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。

故本题选C。

点播：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档，或单机某个指向恶意站点的连接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。

14.单选题

对于定义在GF(p)上的椭圆曲线，取素数P=11，椭圆曲线y2=x3+x+6mod11，则以下是椭圆曲线11平方剩余的是（

）。

问题1选项

A.x=1

B.x=3

C.x=6

D.x=9

【答案】B

【解析】本题考查椭圆曲线密码。

首先应了解平方剩余；假设p是素数，a是整数。如果存在一个整数y使得y²≡a(modp)（即y²-a可以被p整除），那么就称a在p的剩余类中是平方剩余的。

根据这个定义，将选项值进行代入运算可知，当x=3，y²≡36（mod11），此时y的值可为5或6；其余选项都是不满足平方剩余条件的。故本题选B。

15.单选题

利用公开密钥算法进行数据加密时，采用的方式是（

）。

问题1选项

A.发送方用公开密钥加密，接收方用公开密钥解密

B.发送方用私有密钥加密，接收方用私有密钥解密

C.发送方用公开密钥加密，接收方用私有密钥解密

D.发送方用私有密钥加密，接收方用公开密钥解密

【答案】C

【解析】本题考查公钥密码体制相关知识。

公钥密码体制又称为非对称密码体制，其基本原理是在加密和解密过程中使用不同的密钥处理方式，其中加密密钥可以公开，而只需要把解密密钥安全存放即可。在进行加解密时，发送方用对方的公钥加密，接收方用自己的私钥解密。故本题选C。

16.单选题

等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是（

）。

问题1选项

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息系统中发生的信息安全事件按照等级进行响应和处置

D.对信息安全从业人员实行按等级管理，对信息安全违法行为实行按等级惩处

【答案】D

【解析】本题考查等级保护制度的基础知识。

国家通过制定统一的信息安全等级保护管理规范和技术指标，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。因此等级保护制度是对信息进行分级管理，并没有对人员进行按等级管理，包括违法行为也是一样的。故本题选D。

点播：信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

17.单选题

无论是哪一种Web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于（

）。

问题1选项

A.开发型漏洞

B.运行型漏洞

C.设计型漏洞

D.验证型漏洞

【答案】C

【解析】本题考查安全漏洞方面的知识。

信息安全漏洞主要分为以下三种：

设计型漏洞：这种漏洞不以存在的形式为限制，只要是实现了某种协议、算法、模型或设计，这种安全问题就会存在，而不因其他因素而变化，例如无论是哪种Web服务器，肯定存在HTTP协议中的安全问题。

开发型漏洞：这种安全漏洞是广泛被传播和利用的，是由于产品的开发人员在实现过程中的有意或者无意引入的缺陷，这种缺陷会在一定的条件下被攻击者所利用，从而绕过系统的安全机制，造成安全事件的发生，这种漏洞包含在国际上广泛发布的漏洞库中。

运行型漏洞：这种类型漏洞的出现是因为信息系统的组件、部件、产品或者终端由于存在的相互关联性和配置、结构等原因，在特定的环境运行时，可以导致违背安全策略的情况发生。这种安全问题一般涉及到不同的部分，是一种系统性的安全问题。

Web服务器受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于设计型漏洞。故本题选C。

点播：安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

18.单选题

密码学根据研究内容可以分为密码编制学和密码分析学。研究密码编制的科学称为密码编制学，研究密码破译的科学称为密码分析学。密码分析学中，根据密码分析者可利用的数据资源，可将攻击密码的类型分为四类，其中适于攻击计算机文件系统和数据库系统的是（

）。

问题1选项

A.仅知密文攻击

B.已知明文攻击

C.选择明文攻击

D.选择密文攻击

【答案】C

【解析】本题考查密码学方面的基础知识。

选择明文攻击指攻击者知道加密算法，并可通过选择对攻击有利的特定明文及其对应的密文，求解密钥或从截获的密文求解相应明文的密码分析方法。文件系统和数据库系统均存储大量密文信息，所以攻击者可指定明文来碰撞对应的密文，从而达到攻击目的。

答案选C。

19.单选题

SMTP是一种提供可靠有效的电子邮件传输的协议，采用客户服务器的工作方式，在传输层使用TCP协议进行传输。SMTP发送协议中，传送报文文本的指令是（

）。

问题1选项

A.HELO

B.HELP

C.SEND

D.DATA

【答案】D

【解析】本题考查邮件传输协议SMTP的基础知识。

HELO：客户端为标识自己的身份而发送的命令（通常带域名）

EHLO：使服务器可以表明自己支持扩展简单邮件传输协议(ESMTP)命令

DATA：客户端发送的、用于启动邮件内容传输的命令

SEND：使接收主机知道消息必须送到另一个终端，当前传输被取消。

客户端用“DATA”命令对报文的传送进行初始化，若服务器回应“354”，表示可以进行邮件输入。答案选D。

20.单选题

如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的，那么就认为相应的密码体制是（

）。

问题1选项

A.实际安全

B.可证明安全

C.无条件安全

D.绝对安全

【答案】A

【解析】本题考查密码安全相关知识。21.单选题

以下关于BLP安全模型的表述中，错误的是（

）。

问题1选项

A.BLP模型既有自主访问控制，又有强制访问控制

B.BLP模型是-一个严格形式化的模型，并给出了形式化的证明

C.BLP模型控制信息只能由高向低流动

D.BLP是一种多级安全策略模型

【答案】C

【解析】本题考查BLP安全模型方面的基础知识。

BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现的。它是一种严格的形式化描述，控制信息只能由低向高流动。它反映了多级安全策略的安全特性。

22.单选题

确保信息仅被合法实体访问，而不被泄露给非授权的实体或供其利用的特性是指信息的（

）。

问题1选项

A.完整性

B.可用性

C.保密性

D.不可抵赖性

【答案】C

【解析】本题考查信息安全的基本属性。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

保密性：保密性是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

完整性：完整性是指网络信息或系统未经授权不能进行更改的特性。

可用性：可用性是指合法许可的用户能够及时获取网络信息或服务的特性。

抗抵赖性：抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。

故本题选C。

点播：常见的网络信息安全基本属性主要有机密性、完整性、可用性、抗抵赖性和可控性等，此外还有真实性、时效性、合规性、隐私性等。

23.单选题

Trustistypicallyinterpretedasasubjectivebeliefinthereliability，honestyand

security

ofanentityonwhichwedepend（

）ourwelfare.Inonlineenvironmentswedependonawidespectrunofthings,rangingfromcomputerhardware,softwareanddatatopeopleandorganizations.Asecuritysolutionalwaysassumescertainentitiesfunctionaccordingtospecificpolicies.Totrustispreciselytomakethissortofassumptions,hence,atrustedentityisthesameasanentitythatisassumedtofunctionaccordingto

policy.Aconsequenceofthisisthatatrustcomponentofasystemmustworkcorrectlyinorder

forthesecurityofthatsystemtohold,meaningthatwhenatrusted（

）fails,thenthesystems

andapplicationsthatdependon

itcan（

）beconsideredsecure.Anoftencitedarticulationofthisprincipleis:＂atrustedsystemorcomponentisonethatcanbreakyoursecuritypolicy”(whichhappenswhenthetrustsystemfails).Thesameappliestoatrustedpartysuchasaserviceprovider(SPforshort)thatis,itmustoperateaccordingtotheagreedorassumed

policyinordertoensuretheexpectedlevelofsecurtyandqualityofservices.Aparadoxical

conclusiontobedrawnfromthisanalysisisthatsecurityassurancemaydecreasewhenincreasingthenumberoftrustedcomponentsandpartiesthataserviceinfrastructuredependson.ThisisbecausethesecurityofaninfrastructureconsistingofmanyTrustedcomponentstypicallyfollowstheprincipleoftheweakestlink,thatis,inmanysituationsthetheoverallsecuritycanonlybeasstrongastheleast

reliableorleastsecureofallthetrustedcomponents.Wecannotavoidusingtrustedsecurity

components,butthefewerthebetter.Thisisimportanttounderstandwhendesigningthe

identitymanagementarchitectures,thatis,fewerthetrustedpartiesinanidentitymanagement

model,strongerthesecuritythatcanbeachievedbyit.

Thetransferofthesocialconstructsofidentityandtrustintodigital

andcomputationalconceptshelpsindesigningandimplementinglargescaleonlinemarketsandcommunities,andalsoplaysanimportantroleintheconvergingmobileandInternetenvironments.

Identitymanagement(denotedIdmhereafter)isaboutrecognizingandverifyingthe

correctnessofidentitiedinonlineenvironment.Trustmanagementbecomesacomponentof（

）wheneverdifferentpartiesrelyoneachotherforidentityprovisionandauthentication.IdMandTrustmanagementthereforedependoneachotherincomplexwaysbecausethecorrectnessoftheidentityitselfmustbetrustedforthequalityandreliabilityofthecorrespondingentitytobe

trusted.IdMisalsoanessentialconceptwhendefining

authorisationpoliciesinpersonalisedservices.

Establishingtrustalwayshasacost,sothathaving

complextrustrequirementtypicallyleadstohighoverheadinestablishingtherequiredtrust.Toreducecoststherewillbe

incentivesforstakeholdersto“cutcorners”regardingtrustrequirements,whichcouldleadtoinadequatesecurity.ThechallengeistodesignIdMsystemswithrelativelysimpletrustrequirements.CryptographicmechanismsareoftenacorecomponentofIdMsolutions,forexample,forentityanddataauthentication.Withcryptography,itisoftenpossibletopropagatetrustfromwhereitinitiallyexiststowhereitisneeded.Theestablishmentofinitial（

）usuallytakesplaceinthephysicalworld,andthesubsequentpropagationoftrusthappensonline,ofteninanautomatedmanner.

问题1选项

A.with

B.on

C.of

D.for

问题2选项

A.entity

B.person

C.component

D.thing

问题3选项

A.Nolonger

B.never

C.always

D.often

问题4选项

A.SP

B.IdM

C.Internet

D.entity

问题5选项

A.trust

B.cost

C.IdM

D.solution

【答案】第1题:D

第2题:C

第3题:A

第4题:B

第5题:A

【解析】本题考查专业英语相关知识。

信任通常被解释为是对我们赖以生存的实体的可靠性、诚实性和安全性的一种主观信念。在在线环境中，我们依赖于各种各样的东西，从计算机硬件、软件和数据到人员和组织。安全解决方案总是根据特定的策略假定某些实体的功能。信任就是做出这种假设，因此，受信任的实体与根据策略假定起作用的实体是相同的。这样做的结果，就是系统的受信任组件必须正确工作，以保持该系统的安全性，这意味着当受信任组件发生故障时，依赖它的系统和应用程序将不再被视为安全的。该原则的一个经常被引用的表述是：“可信系统或组件是可以破坏您的安全策略的系统或组件”（当可信系统失败时会发生这种情况）。这同样适用于受信任方，如服务提供商（简称SP）。也就是说，为了确保预期的安全性和服务质量，它必须按照商定或假定的政策进行操作。从该分析中得出的一个矛盾结论是，当增加服务基础设施所依赖的受信任组件和参与方的数量时，安全保证可能会减少。这是因为由许多受信任组件组成的基础结构的安全性通常遵循最弱链接的原则，也就是说，在许多情况下，整体安全性只能与所有受信任组件中最不可靠或最不安全的部分一样强。我们不能避免使用可信的安全组件，但越少越好。在设计身份管理架构时，这一点很重要，也就是说，在身份管理模型中，受信任方越少，所能实现的安全性就越强。

将身份和信任的社会结构转化为数字和计算概念有助于设计和实施大规模在线市场和社区，并在融合移动和互联网环境中发挥重要作用。身份管理（以下简称IDM）是关于识别和验证在线环境中身份的正确性。当不同的当事方在身份提供和认证方面相互依赖时，信任管理就成为IDM的一个组成部分。因此，IDM和信任管理以复杂的方式相互依赖，因为要信任相应实体的质量和可靠性，必须信任标识本身的正确性。在定义个性化服务中的授权策略时，IDM也是一个基本概念。建立信任总是有成本的，因此拥有复杂的信任需求通常会导致建立所需信任的高开销。为了降低成本，将鼓励利益相关者在信任要求方面“抄近路”，这可能导致安全性不足。挑战在于设计具有相对简单信任要求的IDM系统。加密机制通常是IDM解决方案的核心组件，例如，用于实体和数据身份验证。使用密码学，通常可以将信任从最初存在的地方传播到需要信任的地方。初始信任的建立通常发生在物理世界中，随后的信任传播通常以自动化的方式在线进行。

24.单选题

安全电子交易协议SET是由VISA和Mastercard两大信用卡组织联合开发的电子商务安全协议，以下关于SET的叙述中，正确的是（

）。

问题1选项

A.SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性

B.SET不需要可信第三方认证中心的参与

C.SET要实现的主要目标包括保障付款安全、确定应用的互通性和达到全球市场的可接受性

D.SET协议主要使用的技术包括：流密码、公钥密码和数字签名等

【答案】C

【解析】本题考查SET协议相关知识。

SET协议是应用层的协议，是一种基于消息流的协议，一个基于可信的第三方认证中心的方案。B错误。SET改变了支付系统中各个参与者之间交互的方式，电子支付始于持卡人。通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，保证了在因特网上使用信用卡进行在线购物的安全。在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。A、D错误。

故本题选C。

25.单选题

重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。下列技术中，不能抵御重放攻击的是（

）。

问题1选项

A.序号

B.明文填充

C.时间戳

D.Nonce

【答案】B

【解析】本题考查网络协议重放攻击方面的基础知识。

Nonce是Numberusedonce的缩写，Nonce是一个只被使用一次的任意或非重复的随机数值，它与时间戳、序号都是能够预防重放攻击的。明文填充方式不能抵御重放攻击。

答案选B。

26.单选题

防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（

）。

问题1选项

A.Accept

B.Reject

C.Refuse

D.Drop

【答案】B

【解析】本题考查防火墙相关知识。

防火墙的规则处理方式如下：

Accept：允许数据包或信息通过；

Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止；

Drop：直接将数据包或信息丢弃，并且不通知信息源。

故本题选B。

点播：防火墙是一种控制隔离技术，在某机构的网络和不安全的网络之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。

27.单选题

恶意代码是指为达到恶意目的而专门设计的程序或代码。恶意代码的一般命名格式为：..。以下恶意代码中，属于脚本病毒的是（

）。

问题1选项

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本题考查恶意代码相关知识。

恶意代码的英文是MaliciousCode，它是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。根据恶意代码的命名规则，脚本病毒的共有特性是脚本病毒的前缀是：Script，则属于脚本病毒的是Script.Redlof。

A为蠕虫病毒、B为木马病毒、C为破坏性病毒。

故本题选D。

点播：恶意代码是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，也包括故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。在访问因特网时，可以采取将要访问的Web站点按其可信度分配到浏览器不同安全区域的方式防止Web页面中恶意代码对自己计算机的损害。

28.单选题

数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效实现对数字多媒体数据的版权保护等功能。数字水印的解释攻击是以阻止版权所有者对所有权的断言为攻击目的。以下不能有效解决解释攻击的方案是（

）。

问题1选项

A.引入时间戳机制

B.引入验证码机制

C.作者在注册水印序列的同时对原作品加以注册

D.利用单向水印方案消除水印嵌入过程中的可逆性

【答案】B

【解析】本题考查数字水印的攻击方面的基础知识。

目前，由解释攻击所引起的无法仲裁的版权纠纷的解决方案主要有三种：第一-种方法是引入时戳机制，从而确定两个水印被嵌入的先后顺序;第二种方法是作者在注册水印序列的同时对原始作品加以注册，以便于增加对原始图像的检测;第三种方法是利用单向水印方案消除水印嵌入过程中的可逆性。其中前两种都是对水印的使用环境加以限制，最后一种则是对解释攻击的条件加以破坏。

答案选B。

29.单选题

在安全评估过程中，采取（

）手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

问题1选项

A.问卷调查

B.人员访谈

C.渗透测试

D.手工检查

【答案】C

【解析】本题考查安全评估方面的基础知识。

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。在安全评估过程中，一般采取渗透测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

答案选C。

30.单选题

2001年11月26日，美国政府正式颁布AES为美国国家标准。AES算法的分组长度为128位，其可选的密钥长度不包括（

）。

问题1选项

A.256位

B.192位

C.128位

D.64位

【答案】D

【解析】本题考查分组加密AES密码算法方面的基础知识。

AES的密钥长度可以为16、24或者32字节，也就是128、192、256位。

31.单选题

在Windows操作系统下，要获取某个网络开放端口所对应的应用程序信息，可以使用命令（

）。

问题1选项

A.ipconfig

B.traceroute

C.netstat

D.nslookup

【答案】C

【解析】本题考查Windows操作系统命令的基础知识。

netstat命令是一一个监控TCP/IP网络的非常有用的工具，它叮以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat命令的-p选项可以显示正在使用Socket的程序识别码和程序名称。

答案选C。

32.单选题

数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。数字签名标准DSS中使用的签名算法DSA是基于ElGamal和Schnorr两个方案而设计的。当DSA对消息m的签名验证结果为True，也不能说明（

）。

问题1选项

A.接收的消息m无伪造

B.接收的消息m无篡改

C.接收的消息m无错误

D.接收的消息m无泄密

【答案】D

【解析】本题考查数字签名相关知识。

数字签名技术可以保证报文的完整性，不可否认性，以及提供身份认证信息，但不能保证信息的机密性。故本题选D。

点播：数字签名是指签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果。该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。数字签名具有手写签名一样的特点，是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。

33.单选题

网络系统中针对海量数据的加密，通常不采用（

）方式。

问题1选项

A.会话加密

B.公钥加密

C.链路加密

D.端对端加密

【答案】B

【解析】本题考查公钥体制相关知识。

公钥加密加密算法复杂且加解密效率低，需要较大的计算量，一般只适用于少量数据的加密。故本题选B。

34.单选题

在PKI中，关于RA的功能，描述正确的是（

）。

问题1选项

A.RA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构

B.RA负责产生，分配并管理PKI结构下的所有用户的数字证书，把用户的公钥和用户的其他信息绑在一起，在网上验证用户的身份

C.RA负责证书废止列表CRL的登记和发布

D.RA负责证书申请者的信息录入，审核以及证书的发放等任务，同时，对发放的证书完成相应的管理功能

【答案】D

【解析】本题考查CA机构相关知识。

CA（CertificationAuthority）是一个可信赖的第三方认证机构，也是证书授权机构。主要负责证书的颁发、废止和更新。证书中含有实体名、公钥以及实体的其他身份信息。

RA（RegistrationAuthority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作（安全审计）。同时，对发放的证书完成相应的管理功能（安全管理）。

故本题选D。

35.案例题

阅读下列说明和C语言代码，回答问题1至问题4，将解答写在答题纸的对应栏内。

【说明】

在客户服务器通信模型中，客户端需要每隔一定时间向服务器发送数据包，以确定服务器是否掉线，服务器也能以此判断客户端是否存活，这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定，一般都是很小的包。

某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。

图4-1协议包格式

心跳包类型占1个字节，主要是请求和响应两种类型；

心跳包数据长度字段占2个字节，表示后续数据或者负载的长度。

接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据，s是对应客户端的socket网络通信套接字。

voidprocess_heartbeat(unsignedchar*p,SOCKETs)

{

unsignedshorthbtype;

unsignedintpayload;

hbtype=*p++;

//心跳包类型

n2s(p,payload);

//心跳包数据长度

pl=p;

//pl指向心跳包数据

if（hbtype=HB_REQUEST）{

unsignedchar*buffer,*bp;

buffer=malloc(1+2+payload);

*bp++=HB_RESPONSE;

//填充1byte的心跳包类型

s2n(payload,bp);

//填充2bytes的数据长度

memcpy(bp,pl,payload);

/*将构造好的心跳响应包通过sockets返回客户端*/

r=write_bytes(s,buffer,3+payload);

}

}

【问题1】（4分）

（1）心跳包数据长度字段的最大取值是多少？

（2）心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致？

【问题2】（5分）

（1）上述接收代码存在什么样的安全漏洞？

（2）该漏洞的危害是什么？

【问题3】（2分）

模糊测试（Fuzzing）是一种非常重要的信息系统安全测评方法，它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试？其测试结果是否存在误报？

【问题4】（4分）

模糊测试技术能否测试出上述代码存在的安全漏洞？为什么？

【答案】【问题1】

（1）心跳包数据长度的最大取值为65535。

（2）必须是一致的。

【问题2】

存在溢出安全漏洞。

接收端处理代码在组装响应包时，心跳包数据长度字段（payload）采用的是客户端。

发送的请求包中使用的长度字段，由于心跳包数据长度字段完全由客户端控制，当payload大于实际心跳包数据的长度时，将导致越界访问接收端内存，从而泄露内存信息。（2分）

造成的危害：在正常的情况下，response报文中的data就是request报文中的data数据，但是在异常情况下，payload的长度远大于实际数据的长度，这样就会发生内存的越界访问，但这种越界访问并不会直接导致程序异常，（因为这里直接memcpy后，服务器端并没有使用copy后的数据，而只是简单的进行了回复报文的填充，如果服务端使用了copy的数据也许就可能发现问题）这里使用了memcpy函数，该函数会直接根据长度把内存中数据复制给另一个变量。这样就给恶意的程序留下了后门，当恶意程序给data的长度变量赋值为65535时，就可以把内存中64KB的内存数据通过Response报文发送给客户端，这样客户端程序就可以获取到一些敏感数据泄露。

【问题3】

属于黑盒测试；不存在误报。

【问题4】

不能。

因为不会产生异常，模糊测试器就无法监视到异常，从而无法检测到该漏洞。

【解析】【问题1】

已知表示心跳包的数据长度值为2字节，则其最大长度为216-1=65535。

心跳包中的数据长度字段给出的长度值必须与后续的数据字段的实际长度一致；如果不一致会产生“心脏出血”漏洞，造成有用数据泄露。

【问题2】

心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包，主要是HeartbeatMessage的长度与payload的length进行匹配，若payload_lenght长度大于HeartbeatMessage的length，则会在服务器返回的response响应包中产生数据溢出，造成有用数据泄露。

题中每条心跳包记录中包含一个类型域（type）、一个长度域（length）和一个指向记录数据的指针（data）。心跳包的第一个字节标明了心跳包的类型。宏n2s从指针p指向的数组中取出前两个字节，并把它们存入变量payload中——这实际上是心跳包载荷的长度域（length）。注意程序并没有检查这条心跳包记录的实际长度。变量pl则指向由访问者提供的心跳包数据。

buffer=malloc（1+2+payload）；程序将分配一段由访问者指定大小的内存区域，这段内存区域最大为（65535+1+2）个字节。变量bp是用来访问这段内存区域的指针。

代码中宏s2n与宏n2s干的事情正好相反：s2n读入一个16bit长的值，然后将它存成双字节值，所以s2n会将与请求的心跳包载荷长度相同的长度值存入变量payload。然后程序从pl处开始复制payload个字节到新分配的bp数组中——pl指向了用户提供的心跳包数据。最后，程序将所有数据发回给用户。如果用户并没有在心跳包中提供足够多的数据，比如pl指向的数据实际上只有一个字节，那么memcpy会把这条心跳包记录之后的数据（无论那些数据是什么）都复制出来。

分配的buffer是根据数据包给出的长度字段来分配的，并在memcpy函数实现内存数据拷贝，因此有可能越界读取额外的内存数据，造成信息泄露。

【问题3】

模糊测试是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被崩程序中可能存在的安全漏洞。模糊测试是一种基于缺陷注入的自动化测试技术，没有具体的执行规则，旨在预测软件中可能存在的错误以及什么样的输入能够触发错误。其通过模糊器向目标应用发送大量的畸形数据并监视程序运行异常以发现软件故障，通过记录触发异常的输入数据来进一步定位异常位置。与基于源代码的白盒测试相比，模糊测试的测试对象是二进制目标文件，因而具有更好的适用性：模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作。

【问题4】

上述代码存在的信息泄露漏洞在模糊测试过程中，不管用什么样的数据包长度去测试，被测代码都是正常运行，没有出现异常情况，因此也就无法判断是否有漏洞，所以模糊测试无法测试出该代码存在的漏洞。

36.单选题

数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效实现对数字多媒体数据的版权保护等功能。以下关于数字水印的描述中，不正确的是（

）。

问题1选项

A.隐形数字水印可应用于数据侦测与跟踪

B.在数字水印技术中，隐藏水印的数据量和鲁棒性是一对矛盾

C.秘密水印也称盲化水印，其验证过程不需要原始秘密信息

D.视频水印算法必须满足实时性的要求

【答案】C

【解析】本题考查数字水印知识。

在数字水印技术中，水印的数据量和鲁棒性构成了一对基本矛盾；视频水印算法必须满足实时性的要求；隐形数字水印主要应用领域有原始数据的真伪鉴别、数据侦测与跟踪、数字产品版权保护。数字水印根据输入输出的种类及其组合可分为三种：①秘密水印（非盲化水印）、②半秘密水印（半盲化水印）、③公开水印（盲化或健忘水印）。盲化水印的检测不需要任何原始数据和辅助信息。故本题选C。

点播：数字水印原理：通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记。水印分为可感知的和不易感知的两种。其安全需求包括安全性、隐蔽性、鲁棒性，不要求可见性。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

37.单选题

电子邮件系统的邮件协议有发送协议SMTP和接收协议POP3/IMAP4。SMTP发送协议中，发送身份标识的指令是（

）。

问题1选项

A.SEND

B.HELP

C.HELO

D.SAML

【答案】C

【解析】本题考查电子邮件相关协议的知识。

SEND向终端发送邮件；HELP发送帮助文档；SAML向终端和信箱发送邮件；HELO发送身份标识。官方教材（第一版）P200。故本题选C。

点播：电子邮件系统的邮件协议有发送协议SMTP和接收协议POP3/IMAP4，其中SMTP即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。

38.单选题

IP地址分为全球地址（公有地址）和专用地址（私有地址），在文档RFC1918中，不属于专用地址的是（

）。

问题1选项

A.到55

B.到55

C.到55

D.到55

【答案】B

【解析】本题考查IP地址分类的相关知识。

专用地址范围：A类：-55；B类：-55；C类：-55。根据IP地址的分类来看，255开头的IP地址不属于私有专用地址。故本题选B。

点播：公有IP地址分为：

A：--55&--55；

B：--55&--55；

C：--55&--55。

39.单选题

以下关于IPSec协议的叙述中，正确的是（

）。

问题1选项

A.IPSec协议是IP协议安全问题的一种解决方案

B.IPSec协议不提供机密性保护机制

C.IPSec协议不提供认证功能

D.IPSec协议不提供完整性验证机制

【答案】A

【解析】本题考查IPSec协议相关知识。

IPSec协议是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议网络上进行保密而安全的通讯，是解决IP协议安全问题的一种方案，它能提供完整性、保密性、反重播性、不可否认性、认证等功能。

IPSec工作组制定了IP安全系列规范：认证头（AH）、封装安全有效负荷（ESP）以及密钥交换协议。

IPAH是一种安全协议，又称为认证头协议。其目的是保证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

IPESP也是一种安全协议，其用途在于保证IP包的保密性，而IPAH不能提供IP包的保密性服务。

故本题选A。

40.单选题

下列关于公钥密码体制说法不正确的是（

）。

问题1选项

A.在一个公钥密码体制中，一般存在公钥和私钥两个密钥

B.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的

C.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的

D.公钥密码体制中的私钥可以用来进行数字签名

【答案】B

【解析】本题考查公钥密码体制相关知识

公钥密码体制中，一般存在公钥和私钥两种密钥；

公钥密码体制中仅根据密码算法和加密密钥去确定解密密钥在计算上是不可行的，因为计算量过于庞大；

公钥密码体制中的公钥可以以明文方式发送；

公钥密码体制中的私钥可以用来进行数字签名。

故本题选B。

41.单选题

关于祖冲之算法的安全性分析不正确的是（

）。

问题1选项

A.祖冲之算法输出序列的随机性好，周期足够大

B.祖冲之算法的输出具有良好的线性、混淆特性和扩散特性

C.祖冲之算法可以抵抗已知的序列密码分析方法

D.祖冲之算法可以抵抗弱密分析

【答案】B

【解析】本题考查祖冲之密码相关知识。

祖冲之算法是我国学者自主设计的加密和完整性算法，是一种流密码。算法由三个基本部分组成，依次为比特重组、非线性函数F、线性反馈位移寄存器（LFSR）。

ZUC算法在逻辑上采用三层结构设计，具有非常高的安全强度，能够抵抗目前常见的各种流密码攻击方法。ZUC算法本质上是一种非线性序列产生器。由此，在种子密钥的作用下，可以产生足够长的安全密钥序列。把与密钥序列明文数据模2相加，便完成了数据加密。同样，把密钥序列与密文数据模2相加，便完成了数据解密。故本题选B。

42.单选题

Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort配置模式的是（

）。

问题1选项

A.嗅探

B.包记录

C.分布式入侵检测

D.网络入侵检测

【答案】C

【解析】本题考查网络入侵检测系统Snort。

Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。Snort可以执行协议分析和内容查询/匹配使你能够探测各种攻击和探查，比如缓冲区溢出，隐蔽端口扫描，通用网关接口（CGI）攻击，服务器信息块协议（SMB）探测，操作系统指纹攻击等。

主要模式有：

嗅探（Sniffer）：主要是读取网络上的数据包并在控制台上用数据流不断地显示出来。

包记录（PacketLogger）：把数据包记录在磁盘上。

网络入侵检测（NetworkIntrusionDetection）：是最复杂最难配置的；它可以分析网络流量与用户定义的规则设置进行匹配然后根据结果执行相应的操作。

故本题选C。

点播：UNIX/Linux系统的安全是动态的，对运行的系统进行实时监控有利于及时发现安全问题，做出安全应急响应。针对UNIX/Linux系统的安全监测，常用的安全工具有Netstat、lsof、Snort等。

43.单选题

以下关于网络流量监控的叙述中，不正确的是（

）。

问题1选项

A.网络流量监控分析的基础是协议行为解析技术

B.数据采集探针是专门用于获取网络链路流量数据的硬件设备

C.流量监控能够有效实现对敏感数据的过滤

D.流量监测中所监测的流量通常采集自主机节点、服务器、路由器接口、链路和路径等

【答案】C

【解析】本题考查网络流量监控相关知识。

流量监控指的是对数据流进行的监控。流量监控的内容：流量大小；吞吐量；带宽情况；时间计数；延迟情况；流量故障。不能过滤敏感数据。故本题选C。

44.单选题

网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量状况是网络中的重要信息，利用流量监测获得的数据，不能实现的目标是（

）。

问题1选项

A.负载监测

B.网络纠错

C.日志监测

D.入侵检测

【答案】C

【解析】本题考查流量监测的相关知识。

网络流量状况是网络中的重要信息，利用流量监测获得的数据，可以实现以下目标：

（1）负载监测：将流量监测获得的网络流量数据作为输入参数，利用统计方法和先验知识，通过负载特性分析过程，可以得到网络的当前负载状态。

（2）性能分析：利用流量信息，可以分析得到网络的性能状况，例如链路利用率等，以定位和防止网络中的性能瓶颈，提高网络性能。

（3）网络纠错：复杂的网络环境和丰富多样的应用类型，往往会导致网络故障的发生。通过分析流量信息，可以判定故障发生的位置和导致的原因，例如广播风暴、非法操作等，并采取措施解决故障并避免再次发生。

（4）网络优化：流量工程的目的是为了优化网络性能，其前提是获取网络中的流量信息，在此基础上通过网络控制，例如资源分配、流量均衡等操作，实现网络优化的目标。

（5）业务质量监视：现代网络面临的紧迫任务是为用户提供可靠的业务质量保障。而用户获得的服务质量以及网络供应商可提供的服务能力都必须通过流量数据分析获得。

（6）用户流量计费：如何在高速宽带网络中实现基于流量的用户计费是目前网络管理领域的热点问题，实现高效的流量计费解决方案必须依靠流量监测技术的进步。

（7）入侵检测：安全问题是网络应用中的一个重要方面，入侵检测系统是目前保障网络安全的重要手段。入侵检测的一个重要内容就是通过分析网络流量，判定攻击行为，以采取必要的防御措施。

（8）协议调测：在进行协议设计和应用开发时，必须经过实际网络环境检验的过程。当新的协议或应用加入到网络中，必须观测它们产生的数据流量，以判定协议或应用的操作是否正常，是否会对网络性能造成损伤。

故本题选C。

点播：网络流量就是网络上传输的数据量。网络流量的大小对网络架构设计具有重要意义，就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式类似，根据网络流量进行网络的设计是十分必要的。

45.单选题

下面对国家秘密定级和范围的描述中，不符合《中华人民共和国保守国家秘密法》要求的是（

）。

问题1选项

A.对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案

B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围

C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定

D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定

【答案】A

【解析】本题考查《中华人民共和国保守国家秘密法》相关知识。

国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申