【文章內(nèi)容簡(jiǎn)介】 不屬于漏洞定義三要素的是A)漏洞是計(jì)算機(jī)系統(tǒng)本身存在的缺陷B)漏洞的存在和利用都有一定的環(huán)境要求C)漏洞在計(jì)算機(jī)系統(tǒng)中不可避免D)漏洞的存在本身是沒有危害的，只有被攻擊者惡意利用，才能帶來威脅和損失答案：C29) 下列關(guān)于堆（heap）和棧（stack）在內(nèi)存中增長方向的描述中，正確的是A)堆由低地址向高地址增長，棧由低地址向高地址增長B)堆由低地址向高地址增長，棧由高地址向低地址增長C)堆由高地址向低地址增長，棧由高地址向低地址增長D)堆由高地址向低地址增長，棧由低地址向高地址增長答案：B30) 下列選項(xiàng)中，不屬于緩沖區(qū)溢出的是A)棧溢出B)整數(shù)溢出C)堆溢出D)單字節(jié)溢出答案：B31) 在信息安全事故響應(yīng)中，必須采取的措施中不包括A)建立清晰的優(yōu)先次序 B)清晰地指派工作和責(zé)任C)保護(hù)物理資產(chǎn)D)對(duì)災(zāi)難進(jìn)行歸檔答案：C32) 下列關(guān)于系統(tǒng)整個(gè)開發(fā)過程的描述中，錯(cuò)誤的是A)系統(tǒng)開發(fā)分為五個(gè)階段，即規(guī)劃、分析、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行B)系統(tǒng)開發(fā)每個(gè)階段都會(huì)有相應(yīng)的期限C)系統(tǒng)的生命周期是無限長的D)系統(tǒng)開發(fā)過程的每一個(gè)階段都是一個(gè)循環(huán)過程答案：C33) 在信息安全管理中的控制策略實(shí)現(xiàn)后，接下來要采取的措施不包括A)確定安全控制的有效性B)估計(jì)殘留風(fēng)險(xiǎn)的準(zhǔn)確性C)對(duì)控制效果進(jìn)行監(jiān)控和衡量D)逐步消減安全控制方面的開支答案：D34) 下列關(guān)于信息安全管理體系認(rèn)證的描述中，錯(cuò)誤的是A)信息安全管理體系第三方認(rèn)證，為組織機(jī)構(gòu)的信息安全體系提供客觀評(píng)價(jià)B)每個(gè)組織都必須進(jìn)行認(rèn)證C)認(rèn)證可以樹立組織機(jī)構(gòu)的信息安全形象D)滿足某些行業(yè)開展服務(wù)的法律要求答案：B35) 下列選項(xiàng)中，不屬于審核準(zhǔn)備工作內(nèi)容的是A)編制審核計(jì)劃B)加強(qiáng)安全意識(shí)教育C)收集并審核有關(guān)文件D)準(zhǔn)備審核工作文件——編寫檢查表答案：B36) 依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，涉密信息系統(tǒng)建設(shè)使用單位將保密級(jí)別分為三級(jí)。下列分級(jí)正確的是A)秘密、機(jī)密和要密B)機(jī)密、要密和絕密C)秘密、機(jī)密和絕密D)秘密、要密和絕密答案：C37) 下列關(guān)于可靠電子簽名的描述中，正確的是A)作為電子簽名的加密密鑰不可以更換B)簽署時(shí)電子簽名制作數(shù)據(jù)可由交易雙方控制C)電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有D)簽署后對(duì)電子簽名的任何改動(dòng)不能夠被發(fā)現(xiàn)答案：C38) 企業(yè)銷售商用密碼產(chǎn)品時(shí)，應(yīng)向國家密碼管理機(jī)構(gòu)申請(qǐng)，其必需具備的條件是A)要求注冊(cè)資金超過100萬B)有上市的資格C)有基礎(chǔ)的銷售服務(wù)制度D)有獨(dú)立的法人資格答案：D39) 基本安全要求中基本技術(shù)要求從五個(gè)方面提出。下列選項(xiàng)中，不包含在這五個(gè)方面的是A)物理安全B)路由安全C)數(shù)據(jù)安全D)網(wǎng)絡(luò)安全答案：B40) 電子認(rèn)證服務(wù)提供者由于違法行為被吊銷電子認(rèn)證許可證書后，其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員多長時(shí)間內(nèi)不得從事電子認(rèn)證服務(wù)A) 7年B) 10年C) 17年D) 20年答案：B二、填空題1)計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)是_________，它具有劃時(shí)代的意義，為計(jì)算機(jī)安全評(píng)估奠定了基礎(chǔ)。第1空答案：可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)2)信息安全的發(fā)展大致經(jīng)歷了三個(gè)主要階段：_________階段、計(jì)算機(jī)安全階段和信息安全保障階段。第1空答案：通信保密3)由于網(wǎng)絡(luò)信息量十分巨大，僅依靠人工的方法難以應(yīng)對(duì)網(wǎng)絡(luò)海量信息的收集和處理，需要加強(qiáng)相關(guān)信息技術(shù)的研究，即網(wǎng)絡(luò)____________技術(shù)。第1空答案：輿情分析4)消息摘要算法MD5可以對(duì)任意長度的明文，產(chǎn)生____________位的消息摘要。第1空答案：1285)驗(yàn)證所收到的消息確實(shí)來自真正的發(fā)送方且未被篡改的過程是消息____________。第1空答案：認(rèn)證6)基于矩陣的行的訪問控制信息表示的是訪問____________表，即每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)表。第1空答案：能力7)強(qiáng)制訪問控制系統(tǒng)通過比較主體和客體的____________來決定一個(gè)主體是否能夠訪問某個(gè)客體。第1空答案：安全標(biāo)簽8)在標(biāo)準(zhǔn)的模型中，將CPU模式從用戶模式轉(zhuǎn)到內(nèi)核模式的唯一方法是觸發(fā)一個(gè)特殊的硬件____________，如中斷、異常等。第1空答案：自陷9)在Unix/Linux中，每一個(gè)系統(tǒng)與用戶進(jìn)行交流的界面，稱為____________。第1空答案：終端10)在Unix\Linux系統(tǒng)中，____________賬號(hào)是一個(gè)超級(jí)用戶賬戶，可以對(duì)系統(tǒng)進(jìn)行任何操作。第1空答案：root11)TCG使用了可信平臺(tái)模塊，而中國的可信平臺(tái)以可信_(tái)___________模塊為核心。第1空答案：密碼12)每個(gè)事務(wù)均以____________語句顯式開始，以COMMIT或ROLLBACK語句顯式結(jié)束。第1空答案：BEGIN TRANSACTION13)根據(jù)ESP封裝內(nèi)容的不同，可將ESP分為傳輸模式和____________模式。第1空答案：隧道14)PKI是創(chuàng)建、管理、存儲(chǔ)、分布和作廢____________的一系列軟件、硬件、人員、策略和過程的集合。第1空答案：數(shù)字證書15)主要適用于有嚴(yán)格的級(jí)別劃分的大型組織機(jī)構(gòu)和行業(yè)領(lǐng)域的信任模型是____________信任模型。第1空答案：層次16)NIDS包括____________和控制臺(tái)兩部分。第1空答案：探測(cè)器17)木馬程序由兩部分程序組成，黑客通過____________端程序控制遠(yuǎn)端用戶的計(jì)算機(jī)。第1空答案：客戶18)通過分析代碼中輸入數(shù)據(jù)對(duì)程序執(zhí)行路徑的影響，以發(fā)現(xiàn)不可信的輸入數(shù)據(jù)導(dǎo)致的程序執(zhí)行異常，是____________傳播分析技術(shù)。第1空答案：污點(diǎn)19)惡意影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的完整性、可用性、可控性和保密性的計(jì)算機(jī)程序是____________。第1空答案：惡意程序 malware20)根據(jù)加殼原理的不同，軟件加殼技術(shù)包括____________保護(hù)殼和加密保護(hù)殼。第1空答案：壓縮21)處于未公開狀態(tài)的漏洞是____________漏洞。第1空答案：0day 零day 0天 零天 0日 零日22)指令寄存器eip始終存放著____________地址。第1空答案：返回23)信息安全管理的主要內(nèi)容，包括信息安全____________、信息安全風(fēng)險(xiǎn)評(píng)估和信息安全管理措施三個(gè)部分。第1空答案：管理體系24)風(fēng)險(xiǎn)評(píng)估分為____________和檢查評(píng)估。第1空答案：自評(píng)估25)分類數(shù)據(jù)的管理包括這些數(shù)據(jù)的存儲(chǔ)、分布移植和____________第1空答案：銷毀26)信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度，取決于受保護(hù)的____________對(duì)安全的敏感程度和所面臨風(fēng)險(xiǎn)的復(fù)雜程度。第1空答案：資產(chǎn)27)CC評(píng)估等級(jí)每一級(jí)均需評(píng)估七個(gè)功能類，分別是配置管理、分發(fā)和操作、開發(fā)過程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測(cè)試和____________評(píng)估。第1空答案：脆弱性28)國家秘密的保密期限，絕密級(jí)不超過____________年，除另有規(guī)定。第1空答案：3029)《信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中提出了定級(jí)的四個(gè)要素：信息系統(tǒng)所屬類型、____________類型、信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)自動(dòng)化處理程度。第1空答案：業(yè)務(wù)數(shù)據(jù)30)關(guān)于國家秘密，機(jī)關(guān)、單位應(yīng)當(dāng)根據(jù)工作需要，確定具體的保密期限、解密時(shí)間，或者_(dá)___________。第1空答案：解密條件 三、應(yīng)用題1)為了構(gòu)建一個(gè)簡(jiǎn)單、安全的“客戶機(jī)/服務(wù)器”模式的應(yīng)用系統(tǒng)，要求：①能安全存儲(chǔ)用戶的口令（無須解密）；②用戶口令在網(wǎng)絡(luò)傳輸中需要被保護(hù)；③用戶與服務(wù)器需要進(jìn)行密鑰協(xié)商，以便在非保護(hù)信道中實(shí)現(xiàn)安全通信；④在通信過程中能對(duì)消息進(jìn)行認(rèn)證，以確保消息未被篡改。（共10分） 假設(shè)要構(gòu)建的應(yīng)用系統(tǒng)允許使用MDAES、DiffieHellman算法，給定消息m，定義MD5(m)和AES(m)分別表示對(duì)m的相應(yīng)處理。為了準(zhǔn)確地描述算法，另外定義如下：給定數(shù)x、y和z，x*y表示乘法運(yùn)算，x/y表示除法運(yùn)算，x^y表示指數(shù)運(yùn)算，而x^(y/z)表示指數(shù)為y/z。請(qǐng)回答下述問題：（1）為了安全存儲(chǔ)用戶的口令，服務(wù)器需要將每個(gè)用戶的口令采用_____【1】______算法運(yùn)算后存儲(chǔ)。（1分）（2）在建立安全通信前，用戶需要首先提交用戶名和口令到服務(wù)器進(jìn)行認(rèn)證，為了防止口令在網(wǎng)絡(luò)傳輸中被竊聽，客戶機(jī)程序?qū)⒉捎胈____【2】______算法對(duì)口令運(yùn)算后再發(fā)送。（1分）（3）為了在服務(wù)器和認(rèn)證通過的用戶之間建立安全通信，即在非保護(hù)的信道上創(chuàng)建一個(gè)會(huì)話密鑰，最有效的密鑰交換協(xié)議是_____【3】_______算法。（2分）（4）假定有兩個(gè)全局公開的參數(shù)，分別為一個(gè)素?cái)?shù)p和一個(gè)整數(shù)g，g是p的一個(gè)原根，為了協(xié)商共享的會(huì)話密鑰：首先，服務(wù)器隨機(jī)選取a，計(jì)算出A=____【4】________mod p，并將A發(fā)送給用戶；（1分）然后，用戶隨機(jī)選取b，計(jì)算出B=_______【5】_____mod p，并將B發(fā)送給服務(wù)器；（1分）最后，服務(wù)器和用戶就可以計(jì)算得到共享的會(huì)話密鑰key=_______【6】_____mod p。（2分）（5）為了同時(shí)確保數(shù)據(jù)的保密性和完整性，用戶采用AES對(duì)消息m加密，并利用MD5產(chǎn)生消息密文的認(rèn)證碼，發(fā)送給服務(wù)器；假設(shè)服務(wù)器收到的消息密文為c，認(rèn)證碼為z。服務(wù)器只需要驗(yàn)證z是否等于______【7】______即可驗(yàn)證消息是否在傳輸過程中被篡改。（2分）第1空答案：MD5第2空答案：MD5第3空答案：DiffieHellman DH第4空答案：g^a第5空答案：g^b第6空答案：g^(a*b)第7空答案：MD5(c)2)為了增強(qiáng)數(shù)據(jù)庫的安全性，請(qǐng)按操作要求補(bǔ)全SQL語句：（每空1分，共5分）（1）創(chuàng)建一個(gè)角色R1：_____【8】_______R1。（2）為角色R1分配Student表的INSERT、UPDATE、SELECT權(quán)限：_____【9】_______INSERT,UPDATE,SELECTON TABLE StudentTO R1。（3）減少角色R1的SELECT權(quán)限：_____【10】_______ON TABLE StudentFROM R1。（4）將角色R1授予王平，使其具有角色R1所包含的全部權(quán)限：_____【11】_______TO王平。（5）對(duì)修改Student表數(shù)據(jù)的操作進(jìn)行審計(jì)：_____【12】_______UPDATEON Student。第1空答案：CREATE ROLE第2空答案：GRANT第3空答案：REVOKE SELECT第4空答案：GRANT R1第5空答案：AUDIT3)下圖是TCP半連接掃描的原理圖。其中，圖1為目標(biāo)主機(jī)端口處于監(jiān)聽狀態(tài)時(shí)，TCP半連接掃描的原理圖；圖2為目標(biāo)主機(jī)端口未打開時(shí)，TCP半連接掃描的原理圖。請(qǐng)根據(jù)TCP半連接掃描的原理，補(bǔ)全掃描過程中各數(shù)據(jù)包的標(biāo)志位和狀態(tài)值信息。（每空1分，共10分）請(qǐng)?jiān)谙卤碇休斎階J代表的內(nèi)容A：_____【13】_______B：_____【14】_______C：____ 【15】________D：_____【16】_______E：_____【17】______F：_____【18】______G：_____【19】______H：_____【20】_______I：_____【21】_______J：_____【22】______第1空答案：syn第2空答案：1第3空答案：syn第4空答案：ack第5空答案：rst第6空答案：ack第7空答案：syn第8空答案：1第9空答案：rst第10空答案：ack4) 一個(gè)程序運(yùn)行中進(jìn)行函數(shù)調(diào)用時(shí)，對(duì)應(yīng)內(nèi)存中棧的操作如下：（每空1分，共5分）第一步，____【23】________入棧；第二步，____【24】________入棧；第三步，_____【25】_______跳轉(zhuǎn)；第四步，ebp中母函數(shù)棧幀____【26】________入棧；第五步，_____【27】_______值裝入ebp，ebp更新為新棧幀基地址；第六步，給新棧幀分配空間。第1空答案：參數(shù)第2空答案：返回地址第3空答案：代碼區(qū)第4空答案：基址指針第5空答案：esp第二套1) 信息安全的五個(gè)基本屬性是A)機(jī)密性、可用性、可控性、不可否認(rèn)性和安全性B)機(jī)密性、可用性、可控性、不可否認(rèn)性和完整性C)機(jī)密性、可用性、可控性、不可否認(rèn)性和不可見性D)機(jī)密性、可用性、可控性、不可否認(rèn)性和隱蔽性答案：B2) 下列關(guān)于信息安全的地位和作用的描述中，錯(cuò)誤的是A)信息安全是網(wǎng)絡(luò)時(shí)代國家生存和民族振興的根本保障B)信息安全是信息社會(huì)健康發(fā)展和信息革命成功的關(guān)鍵因素C)信息安全是網(wǎng)絡(luò)時(shí)代人類生存和文明發(fā)展的基本條件D)信息安全無法影響人們的工作和生活答案：D3) 下列選項(xiàng)中，不屬于分組密碼工作