【文章內(nèi)容簡介】 目標。訪問控制模型有下列幾種（ ）A. 自主訪問控制 B. 強制訪問控制 C. 角色型訪問控制 D. 規(guī)則型訪問控制4. 在數(shù)據(jù)存儲備份的描述中，正確的（ ）A. 數(shù)據(jù)存儲備份的最終目的是拷貝 B. 數(shù)據(jù)存儲備份解決的是系統(tǒng)的可靠性問題C. 數(shù)據(jù)存儲備份是系統(tǒng)容災的基礎(chǔ) D. 數(shù)據(jù)存儲備份不包含對備份數(shù)據(jù)的管理5. 對數(shù)據(jù)安全性保障程度更高的RAID技術(shù)是（ ）A. RAID 0 B. RAID 1 C. RAID 5 D. RAID 106. 下列關(guān)于PKI的描述中，正確的是（ ）A. PKI是基于對稱密鑰系統(tǒng) B. PKI中只有認證授權(quán)機構(gòu)CA和普通用戶發(fā)生聯(lián)系C. 通過認證授權(quán)機構(gòu)CA，PKI可以實現(xiàn)信息的不可抵賴性D. 不同的PKI之間允許“交叉認證”7. 數(shù)據(jù)備份策略是數(shù)據(jù)備份工作的重要部分。數(shù)據(jù)備份策略包括（ ）A. 完全備份 B. 差分備份 C. 增量備份 D. 異地備份8. TCSEC是計算機系統(tǒng)安全評估的第一個正式標準，它將計算機系統(tǒng)的安全劃分為4個等級、7個級別，下面屬于C2級的操作系統(tǒng)是（ ）A. Solaris B. DOS C. AIX D. OSF/19. 下面對于蠕蟲病毒的描述正確的是（ ）A. 主要通過網(wǎng)絡(luò)進行復制和傳播 B. 也可能通過U盤感染C. 不會破壞硬件 D. 計算機不聯(lián)網(wǎng)就不會被感染10. 實際上，加密可以在操作系統(tǒng)和網(wǎng)絡(luò)棧的不同層中發(fā)生。下面描述中正確的是？（ ）A. 端到端的加密發(fā)生在數(shù)據(jù)鏈路層 B. SSL加密發(fā)生在傳輸層C. PPTP加密發(fā)生在數(shù)據(jù)鏈路層 D. IPSec (Internt Protocol Security) 發(fā)生在網(wǎng)絡(luò)層11. Kerberos是一個身份認證協(xié)議，下面關(guān)于它的描述中正確的是？（ ）A. 基于對稱密鑰加密 B. 用戶、服務與密鑰分發(fā)中心KDC共享同一個秘密密鑰C. Kerberos要求所有客戶端與服務器的時鐘同步 D. Kerberos不會存儲用戶密碼12. 下面關(guān)于數(shù)字簽名的描述中，正確的是？（ ）A. 數(shù)字簽名是基于非對稱密鑰加密技術(shù)B. 發(fā)送方用公鑰進行加密，接受方用私鑰進行解密C. 可以實現(xiàn)發(fā)送方的身份認證和不可抵賴性D. RSA和3DES算法都可以支持數(shù)字簽名13. BellLaPadula模型是多級安全策略的第一個算數(shù)模型用于定義安全狀態(tài)機的概念、訪問的模式以及概述訪問的規(guī)則。下面關(guān)于它的描述中正確的是？（ ）A. BellLaPadula模型是一種主體客體模式B. 主體不能讀取較高安全級別的客體的數(shù)據(jù)（不能向上讀）C. 主體不能將數(shù)據(jù)寫入安全級別較高的客體（不能向上寫）D. 一個主體要讀寫一個客體，其許可與客體的分類必須同等14. 可信計算機系統(tǒng)評估標準TCSEC中規(guī)定下面哪個級別中必須有明確的形式化的安全策略? （ ）A. B1 B. B2 C. B3 D. C115. 操作系統(tǒng)的安全性可以從如下幾個方面加以考慮：（ ）A. 物理上分離 B. 時間上分離 C. 邏輯上分離 D. 應用上分離16. Unix基于權(quán)限的訪問控制中，用戶可以劃分為？（ ）A. 屬主(Owner) B. 屬組(Group) C. 其它(Other) D. 系統(tǒng)(System)17. Cookie是指某些網(wǎng)站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密）。下列關(guān)于Cookie的描述中正確的是？（ ）A. Cookie是瀏覽器生成的，用戶可以改變?yōu)g覽器的設(shè)置，以使用或者禁用CookieB. Cookie中保存的用戶名、密碼等個人敏感信息通常經(jīng)過加密，很難將其反向破解C. Cookie不會暴露用戶隱私D. 跨站Cookie可能導致用戶隱私的泄露18. 下面哪些攻擊不屬于DoS(拒絕服務)攻擊？（ ）A. SYNflood B. Heartbleed C. Stuxnet D. TearDrop19. 下面哪些是用于電子郵件的加密標準？（ ）A. 多用途Internet郵件擴展(MIME)B. 高級加密標準(Advanced Encryption Standard,AES)C. 可靠加密(Pretty Good Privacy,PGP)D. 量子密碼學20. 關(guān)于NAS(Network Attached Storage)，下列說法中正確的是？（ ）A. 容易安裝，維護簡單 B. 跨平臺文件共享 C. 減輕服務期負擔 三、簡答題：（每題5分，共3題，合計15分）1. 什么是可信計算基(Trusted Computing Bas, TCB)？2. 訪問控制的功能？3. 目前在操作系統(tǒng)中主要采用的身份認證技術(shù)主要包括三種有？第四部分 應用安全部分一、單項選擇題（，共10題，合計5分）1. （ ）不是防火墻的功能。A．過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包 B．保護存儲數(shù)據(jù)安全C． 封堵某些禁止的訪問行為 D．記錄通過防火墻的信息內(nèi)容和活動，可以有效降低社交工程攻擊的潛在影響。（ ）A. 遵從法規(guī)的要求 B. 提高道德水準 C. 安全意識計劃 D. 有效的績效激勵政策標準答案：C，但這個錯誤被修改后，卻引起以前可以正確運行的代碼出錯，（ ）最可能發(fā)現(xiàn)這一問題 ，下面哪項不能進行傳輸（ ）A．憑證編號范圍 5. 為了保證生產(chǎn)系統(tǒng)運行穩(wěn)定及數(shù)據(jù)安全，集團屬性中“更改并傳輸特定集團對象”必須設(shè)置為以下哪項？ （ ）A．不帶自動記錄的更改 B. 自動記錄修改 C. 不允許更改 ，不允許傳輸6. 下面哪項會導致財務無法月結(jié)完成？（ ）A、當期物料帳期間未關(guān)閉 B、工廠存在物料負庫存C、生產(chǎn)訂單做了刪除標記 D、采購訂單未完成發(fā)票校驗7. 在ERP生產(chǎn)機中，使用事務代碼SU01維護某財務用戶ID：X01，在“SNC”選項頁里面找到“允許不安全登錄（特定用戶）”，取消該項的對勾并保存后，那么X01用戶（ ）。 C. 使用UKEY 登陸 。8. 當發(fā)現(xiàn)有用戶發(fā)布垃圾郵件或者帶病毒的郵件時，以下做法正確的是：( )A. 禁用該用戶 B. 刪除該用戶 C. 不予理會 D. 以上都不正確9. 在管理員查看安全審計庫時，在以下哪種情況下，值得懷疑？（ ）A. 審計足跡記錄了用戶ID B. 安全管理員對審計文件擁有只讀權(quán)限C. 日期時間戳記錄了動作發(fā)生的時間D. 同一用戶頻繁的在不同的IP地址登錄OA系統(tǒng) 10. 當用戶收到了一封可疑的電子郵件,要求用戶提供銀行賬戶及密碼,這是屬于何種攻擊手段?A．緩存溢出攻擊 B．釣魚攻擊。 C．暗門攻擊 D．DDOS攻擊二、不定項選擇題（，共10題，合計15分；，多選不得分）1. 以下哪些操作，對于OA系統(tǒng)服務器的安全管理，是正確的。（ ）A. 定期變更服務器的管理員密碼 B. 及時更新服務器操作系統(tǒng)漏洞補丁C. 安裝殺毒軟件和防火墻 D. 定期重啟服務器2. 安全軟件開發(fā)的體系需要考慮（ ）方面內(nèi)容。 3. 會計集中核算系統(tǒng)系統(tǒng)用戶不能登錄的可能原因有哪些？（ ） 4. 應用程序開發(fā)涉及到的安全包括（ ）A. 應用開發(fā)組織及過程安全 B. 應用開發(fā)安全規(guī)劃和實施安全要求C. 軟件開發(fā)質(zhì)量及安全保證 D. 應用開發(fā)的過程安全及控制5. OA系統(tǒng)中，為了系統(tǒng)數(shù)據(jù)安全，當文書變更時，需要調(diào)整以下哪些權(quán)限（ ） 6. 以下哪些操作，對于OA系統(tǒng)服務器的安全管理，是正確的。（ ）A. 定期變更服務器的管理員密碼 B. 及時更新服務器操作系統(tǒng)漏洞補丁C. 安裝殺毒軟件和防火