计算机三级信息安全技术综合题试题库

-.z.第一套1、为了构建一个简单、平安的"客户机/效劳器"模式的应用系统，要求：①能平安存储用户的口令〔无须解密〕；②用户口令在网络传输中需要被保护；③用户与效劳器需要进展密钥协商，以便在非保护信道中实现平安通信；④在通信过程中能对消息进展认证，以确保消息未被篡改。〔共10分〕假设要构建的应用系统允许使用MD5、AES、Diffie-Hellman算法，给定消息m，定义MD5(m)和AES(m)分别表示对m的相应处理。为了准确地描述算法，另外定义如下：给定数*、y和z，**y表示乘法运算，*/y表示除法运算，*^y表示指数运算，而*^(y/z)表示指数为y/z。请答复下述问题：〔1〕为了平安存储用户的口令，效劳器需要将每个用户的口令采用_____【1】______算法运算后存储。〔1分〕〔2〕在建立平安通信前，用户需要首先提交用户名和口令到效劳器进展认证，为了防止口令在网络传输中被窃听，客户机程序将采用_____【2】______算法对口令运算后再发送。〔1分〕〔3〕为了在效劳器和认证通过的用户之间建立平安通信，即在非保护的信道上创立一个会话密钥，最有效的密钥交换协议是_____【3】_______算法。〔2分〕〔4〕假定有两个全局公开的参数，分别为一个素数p和一个整数g，g是p的一个原根，为了协商共享的会话密钥：首先，效劳器随机选取a，计算出A=____【4】________modp，并将A发送给用户；〔1分〕然后，用户随机选取b，计算出B=_______【5】_____modp，并将B发送给效劳器；〔1分〕最后，效劳器和用户就可以计算得到共享的会话密钥key=_______【6】_____modp。〔2分〕〔5〕为了同时确保数据的性和完整性，用户采用AES对消息m加密，并利用MD5产生消息密文的认证码，发送给效劳器；假设效劳器收到的消息密文为c，认证码为z。效劳器只需要验证z是否等于______【7】______即可验证消息是否在传输过程中被篡改。〔2分〕2、为了增强数据库的平安性，请按操作要求补全SQL语句：〔每空1分，共5分〕〔1〕创立一个角色R1：_____【8】_______R1;〔2〕为角色R1分配Student表的INSERT、UPDATE、SELECT权限：_____【9】_______INSERT,UPDATE,SELECTONTABLEStudentTOR1;〔3〕减少角色R1的SELECT权限：_____【10】_______ONTABLEStudentFROMR1;〔4〕将角色R1授予王平，使其具有角色R1所包含的全部权限：_____【11】_______TO王平;〔5〕对修改Student表数据的操作进展审计：_____【12】_______UPDATEONStudent;3)以下图是TCP半连接扫描的原理图。其中，图1为目标主机端口处于监听状态时，TCP半连接扫描的原理图；图2为目标主机端口未翻开时，TCP半连接扫描的原理图。请根据TCP半连接扫描的原理，补全扫描过程中各数据包的标志位和状态值信息。〔每空1分，共10分〕请在下表中输入A-J代表的容A：_____【13】_______B：_____【14】_______C：____【15】________D：_____【16】_______E：_____【17】______F：_____【18】______G：_____【19】______H：_____【20】_______I：_____【21】_______J：_____【22】______4、一个程序运行中进展函数调用时，对应存中栈的操作如下：〔每空1分，共5分〕第一步，____【23】________入栈；第二步，____【24】________入栈；第三步，_____【25】_______跳转；第四步，ebp中母函数栈帧____【26】________入栈；第五步，_____【27】_______值装入ebp，ebp更新为新栈帧基地址；第六步，给新栈帧分配空间。第二套1、为了构建一个简单、平安的"客户机/效劳器"模式的应用系统，要求：①能平安存储用户的口令〔无须解密〕，且对网络传输中的口令进展保护；②使用第三方权威证书管理机构CA来对每个用户的公钥进展分配。〔共10分〕假设要构建的应用系统只允许使用MD5、AES、RSA算法。请答复下述问题：〔1〕为了平安存储用户的口令，效劳器需要将每个用户的口令采用_____【1】_______算法运算后存储。为了能通过用户名和口令实现身份认证，用户将采用一样的算法对口令运算后发送给效劳器。〔1分〕〔2〕SHA算法的消息摘要长度为_____【2】_______位。〔1分〕〔3〕用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的_____【3】_______对证书加以验证。〔2分〕〔4〕要实现消息认证，产生认证码的函数类型有三类：消息加密、消息认证码和______【4】______。〔1分〕〔5〕为了确保RSA密码的平安，必须认真选择公钥参数(n,e)：模数n至少_____【5】_______位；为了使加密速度快，根据"反复平方乘"算法，e的二进制表示中应当含有尽量少的_____【6】_______。〔每空1分〕〔6〕假设Alice的RSA公钥为(n=15,e=3)。Bob发送消息m=3给Alice，则Bob对消息加密后得到的密文是______【7】______。素数p=3，q=5，则Alice的私钥d=_____【8】_______。〔第1空1分，第2空2分〕2、请答复有关数据库自主存取控制的有关问题。〔每空1分，共5分〕〔1〕自主存取控制可以定义各个用户对不同数据对象的存取权限，向用户授予权限的SQL命令是___【9】_______，如果指定了_____【10】_______子句，则获得*种权限的用户还可以把这种权限再授予其它的用户；向用户收回所授予权限的SQL命令是_____【11】_______。〔2〕对数据库模式的授权则由DBA在创立用户时实现，如果在CREATEUSER命令中没有指定创立的新用户的权限，默认该用户拥有_____【12】_______权限。〔3〕可以为一组具有一样权限的用户创立一个____【13】________，用其来管理数据库权限可以简化授权的过程。3、在以下图中，网有两台计算机A和B，通过交换机连接到网关设备最后连入互联网，其中计算机A的IP地址为，MAC地址为MACA；计算机B的IP地址为，MAC地址为MACB；网关设备的IP地址为，MAC地址为MACG。〔每空1分，共10分〕图网络拓扑图其中，计算机B感染了ARP病毒，此ARP病毒向其它网计算机发起伪装网关ARP欺骗攻击，它发送的ARP欺骗数据包中，IP地址为_____【14】_______，MAC地址为_____【15】_______。为了防止ARP欺骗，需要在网计算机和网关设备上进展IP地址与MAC地址的双向静态绑定。首先，在网中的计算机A设置防止伪装网关欺骗攻击的静态绑定：arp_____【16】_______//清空ARP缓存表arp_____【17】____________【18】_____________【19】______//将IP地址与MAC地址静态绑定然后，在网关设备中对计算机A设置IP地址与MAC地址的绑定：arp______【20】______//清空ARP缓存表arp______【21】____________【22】___________【23】_______//将IP地址与MAC地址静态绑定4、有些软件的漏洞存在于动态库中，这些动态库在存中的栈帧地址是动态变化的，因而进展漏洞利用的Shellcode地址也是动态变化的。以下图是以jmpesp指令做为跳板，针对动态变化Shellcode地址的漏洞利用技术原理图，左右两局部说明了缓冲区溢出前后存中栈帧的变化情况。〔每空1分，共5分〕图漏洞利用技术原理图请补全图中右半局部的相应容，并填入下面【24】-【28】中。【24】:____________【25】:____________【26】:____________【27】:____________【28】:____________第三套1、在一个基于公钥密码机制的平安应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请答复下述问题：〔每空1分，共10分〕〔1〕在选择公钥密码RSA、ECC和ElGamal时，为了在一样平安性的根底上采用较短的密钥，应该选择其中的______【1】______，且应确保选取的参数规模大于_____【2】_______位。〔2〕为了获得两方平安通信时所需的密钥，应用系统采用了基于中心的密钥分发，利用可信第三方KDC来实施。图1所示的密钥分发模型是_____【3】_______模型，图2所示的密钥分发模型是_____【4】_______模型。在客户端与效劳器进展平安通信时，在Kerberos实现认证管理的本地网络环境中，把获得密钥的任务交给大量的客户端，可以减轻效劳器的负担，即采用_____【5】_______模型；而在使用*9.17设计的广域网环境中，采用由效劳器去获得密钥的方案会好一些，因为效劳器一般和KDC放在一起，即采用_____【6】_______模型。〔3〕为了预防Alice抵赖，Bob要求Alice对其发送的消息进展签名。Alice将使用自己的___【7】_____对消息签名；而Bob可以使用Alice的____【8】________对签名进展验证。〔4〕实际应用中为了缩短签名的长度、提高签名的速度，而且为了更平安，常对信息的____【9】____进展签名。〔5〕实际应用中，通常需要进展身份认证。基于____【10】________的身份认证方式是近几年开展起来的一种方便、平安的身份认证技术，它可以存储用户的密钥或数字证书，利用置的密码算法实现对用户身份的认证。2、以root用户身份登录进入Linu*系统后，请补全如下操作所需的命令：〔每空1分，共5分〕〔1〕查看当前文件夹下的文件权限。命令：$____【11】________〔2〕给foo文件的分组以读权限。命令：$_____【12】_______g+rfoo〔3〕查看当前登录到系统中的用户。命令：$_____【13】_______〔4〕查看用户wang的近期活动。命令：$_____【14】_______〔5〕用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。命令：$_____【15】_______3、请完成以下有关SSL协议连接过程的题目。〔每空1分，共10分〕SSL协议在连接过程中使用数字证书进展身份认证，SSL效劳器在进展SSL连接之前，需要事先向CA申请数字证书，再进展SSL效劳器和客户端之间的连接。SSL协议的连接过程，即建立SSL效劳器和客户端之间平安通信的过程，共分六个阶段，具体连接过程如下。〔1〕SSL客户端发送ClientHello请求，将它所支持的加密算法列表和一个用作产生密钥的随机数发送给效劳器。〔2〕SSL效劳器发送ServerHello消息，从算法列表中选择一种加密算法，将它发给客户端，同时发送Certificate消息，将SSL效劳器的_____【16】_______发送给SSL客户端；SSL效劳器同时还提供了一个用作产生密钥的随机数。〔3〕效劳器可请求客户端提供证书。这个步骤是可选择的。〔4〕SSL客户端首先对SSL效劳器的数字证书进展验证。数字证书的验证包括对以下三局部信息进展确认：验证____【17】________性，通过比拟当前时间与数字证书截止时间来实现；验证____【18】_____性，查看数字证书是否已废除，即查看数字证书是否已经在___【19】___中发布来判断是否已经废除；验证____【20】____性，即数字证书是否被篡改，SSL客户端需要下载_____【21】_____的数字证书，利用其数字证书中的____【22】________验证SSL效劳器数字证书中CA的_____【23】____。接着，客户端再产生一个pre_master_secret随码串，并使用SSL效劳器数字证书中的___【24】____对其进展加密，并将加密后的信息发送给SSL效劳器。〔5〕SSL效劳器利用自己的______【25】______解密pre_master_secret随码串，然后SSL客户端与SSL效劳器端根据pre_master_secret以及客户端与效劳器的随机数值，各自独立计算出会话密钥和MAC密钥。〔6〕最后客户端和效劳器彼此之间交换各自的握手完成信息。4、根据提示，补全以下有关Windows操作系统中软件漏洞利用的防技术。〔每空1分，共5分〕〔1〕____【26】________技术是一项缓冲区溢出的检测防护技术，它的原理是在函数被调用时，在缓冲区和函数返回地址增加一个随机数，在函数返回时，检查此随机数的值是否有变化。〔2〕_____【27】______技术是一项设置存堆栈区的代码为不可执行的状态，从而防溢出后代码执行的技术。〔3〕_____【28】_______技术是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的准确地址的技术。〔4〕_____【29】_______技术和____【30】________技术是微软公司保护SEH函数不被非法利用，防针对SEH攻击的两种技术。第四套1、在一个基于公钥密码机制的平安应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请答复下述问题。〔共10分〕〔1〕在产生Alice和Bob的密钥时，如果采用RSA算法，选取的模数n至少要有____【1】______位，如果采用椭圆曲线密码，选取的参数p的规模应大于_____【2】______位。〔每空1分〕〔2〕基于公钥证书的密钥分发方法是目前广泛流行的密钥分发机制，用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的_____【3】______对证书加以验证。〔1分〕〔3〕为了预防Alice抵赖，Bob要求Alice对其发送的消息进展签名。Alice将使用自己的_____【4】______对消息签名；如果要求对消息传输，Alice将使用Bob的____【5】_______对消息加密。〔每空1分〕〔4〕实际应用中为了缩短签名的长度、提高签名的速度，而且为了更平安，常对信息的_____【6】______进展签名。〔1分〕〔5〕实际应用中，通常需要进展身份认证。基于口令的认证协议非常简单，但是很不平安，两种改良的口令验证机制是：利用_____【7】______加密口令和一次性口令。〔1分〕〔6〕基于公钥密码也可以实现身份认证，假定Alice和Bob已经知道对方的公钥，Alice为了认证Bob的身份：首先，Alice发送给Bob一个随机数a，即Alice→Bob：a；然后，Bob产生一个随机数b，并将b及通过其私钥所产生的签名信息发送给Alice,假设用SignB表示用Bob的私钥产生数字签名的算法，即Bob→Alice：b||SignB(a||b)；最后，为了认证Bob的身份，Alice得到随机数b和签名信息之后，只需要使用Bob的_____【8】______对签名信息进展解密，验证解密的结果是否等于____【9】______即可。〔空1分，空2分〕2、请补全以下有关Windows的平安实践：〔每空1分，共5分〕〔1〕Winlogon调用____【10】_______DLL，并监视平安认证序列，所调用的DLL将提供一个交互式的界面为用户登陆提供认证请求。〔2〕为了防止网络黑客在网络上猜出用户的密码，可以在连续屡次无效登录之后对用户账号实行___【11】___策略。〔3〕在Windows系统中，任何涉及平安对象的活动都应该受到审核，审核报告将被写入平安日志中，可以使用"____【12】_______查看器"来查看。〔4〕为了增强对日志的保护，可以编辑注册表来改变日志的存储目录。点击"开场"→"运行"，在对话框中输入命令"____【13】_______"，回车后将弹出注册表编辑器。〔5〕通过修改日志文件的访问权限，可以防止日志文件被清空，前提是Windows系统要采用____【14】_______文件系统格式。3、以下图为一个单位的网络拓扑图。根据防火墙不同网络接口连接的网络区域，将防火墙控制的区域分为网、外网和DMZ三个网络区域。为了实现不同区域间计算机的平安访问，根据此单位的访问需求和防火墙的默认平安策略，为防火墙配置了下面三条访问控制规则。请根据访问控制规则表的要求，填写防火墙的访问控制规则〔表1〕。其中，"访问控制"中Y代表允许访问，N代表制止访问。〔每空1分，共10分〕表1防火墙访问控制规则表访问规则源区域目的区域目的IP协议名称访问控制网可访问Web效劳器____【15】_____【16】____【17】_____【18】__Y外网可访问Mail效劳器__【19】_______【20】______【21】______【22】__或___【23】____Y任意地址访问任意地址任意任意任意任意___【24】___4、根据要求，请完成以下题目。〔每空1分，共5分〕〔1〕根据软件漏洞在破坏性、危害性和严重性方面造成的潜在威胁程度，以及漏洞被利用的可能性，可对各种软件漏洞进展分级，所分为的四个危险等级是：第一级：____【25】______；第二级：____【26】_____；第三级：____【27】______；第四级：____【28】______。〔2〕为了对软件漏洞进展统一的命名和管理，多个机构和国家建立了漏洞数据库。其中，极少的漏洞库提供了检测、测试漏洞的样本验证代码。我们往往用漏洞样本验证代码的英文缩写____【29】______来称呼漏洞样本验证代码。第五套1、顾客Alice方案通过*电子商务购置商家Bob的商品，为了认定顾客的购置信息并防止顾客事后抵赖，要求顾客对订单信息进展签名；为了防止信息传输过程中泄密，要求顾客将信息加密后再发送给商家。假设Alice的公钥为PKA、私钥为SKA，Bob的公钥为PKB、私钥为SKB；公钥密码的加密算法为E，加密密钥为K1，待加密的数据为M，加密结果为C，则有C=E(K1,M)；公钥密码的解密算法为D，解密密钥为K2，待解密的数据为C，解密结果为M，则有M=D(K2,C)。〔共10分〕〔1〕请基于公钥密码的数字签名体制，补全签名和验证签名过程所执行的根本操作。①假设顾客Alice需要签名的信息为MSG，签名的结果为S_MSG，签名过程所执行的操作为：S_MSG=______【1】_______。〔2分〕②验证签名的过程就是恢复明文的过程。商家Bob收到签名S_MSG后，恢复签名的信息所执行的操作为：MSG=_____【2】________。〔2分〕〔2〕请基于公钥密码的加密体制，补全通信所执行的根本操作。①假设顾客Alice需要将明文消息MSG1加密后发送给商家Bob，加密的结果为C_MSG，加密过程所执行的操作为：C_MSG=______【3】_______。〔2分〕②商家Bob收到密文C_MSG后，通过解密得到传输的明文，解密过程所执行的操作为：MSG1=_____【4】________。〔2分〕〔3〕实际应用中，为了能对恢复出的签名信息进展验证，并防止Alice用以前发送过的签名信息冒充本次签名，需要合理地组织明文的数据格式，一种可行的格式如下：发方标识符收方标识符报文序号时间数据正文纠错码形式上可将Alice发给Bob的第I份报文表示为：M=<Alice,Bob,I,T,DATA,CRC>，并定义附加数据为H=<Alice,Bob,I>。这样，Alice将以<_____【5】________，对M的签名>作为最终报文发送给Bob。Bob收到报文后，通过报文第二局部恢复出M，并与报文第一局部信息进展比对，实现对签名信息的验证。〔1分〕〔4〕实际应用中，为了缩短签名的长度、提高签名的速度，常对信息的______【6】_______进展签名，即使用M的哈希值代替M。〔1分〕2、关系模式：学生〔**，，年龄，班级，性别〕。请基于数据库的自主存取控制及视图机制，依据操作要求补全SQL语句。〔每空1分，共5分〕〔1〕将学生表的SELECT权限授予王平、明：______【7】_______ONTABLE学生TO王平,明;〔2〕收回明对学生表的SELECT权限：______【8】_______ONTABLE学生FROM明;〔3〕建立学生表中性别为"男"的所有学生的视图，视图名字为VIEW_学生：______【9】_______VIEW_学生AS______【10】_______WHERE______【11】_______3、如以下图所示，A计算机和B计算机之间部署了防火墙进展平安防护，A计算机的IP地址为，B计算机是Web效劳器，其IP地址为，仅对外开放了443端口的访问效劳。防火墙的平安配置要求为：〔1〕仅允许B计算机接收A计算机发来的对443端口的访问请求，制止接收A计算机的其它访问请求；〔2〕制止B计算机对A计算机的访问请求。请按照上述平安配置要求，完成下面的防火墙包过滤规则表。〔每空1分，共10分〕要求：〔1〕"操作"的规则设置可选项为：通过、阻断；〔2〕"标志位"的规则设置格式为"标志位=数值"，比方RST=0，如果有多个标志位请以逗号隔开；如果不设置标志位，请填写"无"。表包过滤规则表序号方向源IP目标IP协议源端口目标端口标志位操作1A到B___【12】______【13】______【14】____【15】____【16】_2B到A___【17】______【18】_____【19】_______【20】______【21】___3任意网址到任意网址任意任意任意任意任意任意阻断4)根据题目要求，完成以下题目。〔每空1分，共5分〕〔1〕根据漏洞生命周期的不同阶段，漏洞可分为如下三类：______【22】_______漏洞，指处于未公开阶段的漏洞；______【23】_______漏洞，通常指发布补丁时间不长的漏洞。已公开漏洞，指厂商已经发布补丁的漏洞。〔2〕在整数溢出漏洞中，造成整数溢出的三种原因是：______【24】_______溢出，使用另外的数据类型来保存整型数造成的；______【25】_______溢出，对整型变量的操作没有考虑其边界围；______【26】_______问题。第六套1、根据要求，完成以下题目。〔共10分〕〔1〕RSA算法基于数论事实：将两个大素数相乘十分容易，但想要对其乘积进展因式分解却极其困难，因此可以将乘积公开作为加密密钥，具体算法描述如下：随机选择两个大素数p和q，p和q都；计算n=______【1】_______，将n公开；〔1分〕〔要求：A和B的乘积表示为AB〕计算φ(n)=_____【2】________，将φ(n)；〔1分〕随机选取一个正整数e，1<e<φ(n)且e与φ(n)互素，将e公开；这样，就确定了RSA密码的公开加密密钥Ke=<_____【3】________>〔1分〕根据ed≡1modφ(n)，计算出d，d；这样，就确定了RSA密码的私有解密密钥Kd=<p,q,d,φ(n)>对消息M进展加密运算：C=_____【4】________modn；〔2分〕〔要求：A的B次方表示为A^B〕对密文C进展解密运算：M=_____【5】________modn。〔2分〕〔2〕RSA算法既可用于加密，又可用于数字签名，已成为目前应用最广泛的公开密钥密码之一。在应用中，为了确保RSA密码的平安，必须认真选择RSA密码的参数：应当采用足够大的整数n，普遍认为，n至少应取______【6】_______位；〔1分〕为了使加密速度快，根据"反复平方乘"算法，e的二进制表示中应当含有尽量少的1，有学者建议取e=______【7】_______，其二进制表示中只有两个1，它比3更平安，而且加密速度也很快；〔1分〕与e的选择类似，为了使解密〔数字签名〕速度快，希望选用小的d，但是d太小也是不好的。当d小于n的______【8】_______时，已有求出d的攻击方法。〔1分〕2、今有两个关系模式：职工〔职工号，，年龄，职务，工资，部门号〕；部门〔部门号，名称，经理名，地址，〕。请