信息安全前3套答案解析

1、 第一套一、 單選題1) A 【解析】信息技術(shù)的發(fā)展，大致分為電訊技術(shù)的發(fā)明 （19世紀(jì)30年代開始）、計算機(jī)技術(shù)的發(fā)展 （20世紀(jì)50年代開始）和互聯(lián)網(wǎng)的使用 （20世紀(jì)60年代開始）三個階段。 故選擇A選項。2) A 【解析】P2DR模型包括四個主要部分：Policy(安全策略按照教育部2015版教程此處應(yīng)改為“策略”。我建議在此處添加一幅P2DR模型圖比較直觀。)、Protection(防護(hù))、Detection(檢測)和 Response(響應(yīng))，在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、操作系統(tǒng)身份認(rèn)證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和

2、評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。故選擇A選項。3) C【解析】對稱加密系統(tǒng)通常非?？焖?，卻易受攻擊，因為用于加密的密鑰必須與需要對消息進(jìn)行解密的所有人一起共享，同一個密鑰既用于加密也用于解密所涉及的文本，A、B正確；數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的綜合應(yīng)用，在操作上會有一定的難度，故D正確。 可以加一句：對稱加密最大的缺點在于其密鑰管理困難。故選擇C選項。4) C【解析】哈希函數(shù)將輸入資料輸出成較短的固定長度的輸出，這個過程是單向的，逆向操作難以完成

3、，故A、B選項錯誤；MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個32位分組組成，將這四個32位分組級聯(lián)后將生成一個128位散列值；SHA-1和MD5最大區(qū)別在于其摘要比MD5摘要長32bit，故耗時要更長，故D選項錯誤。故選擇C選項。5) D【解析】消息認(rèn)證是指通過對消息或者消息有關(guān)的信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為了防止傳輸和存儲的消息被有意無意的篡改，包括消息內(nèi)容認(rèn)證（即消息完整性認(rèn)證）、消息的源和宿認(rèn)證（即身份認(rèn)證)、及消息的序號和操作時間認(rèn)證等，但是發(fā)送方否認(rèn)將無法保證。故選擇D選項。6)D【解析】主體是

4、指提出訪問資源具體請求，是某一操作動作的發(fā)起者，但不一定是動作的執(zhí)行者，可能是某一用戶，也可以是用戶啟動的進(jìn)程、服務(wù)和設(shè)備等?？腕w是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體，客體可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上硬件設(shè)施、無限通信中的終端，甚至可以包含另外一個客體。因此，可以主體可以是另外一個客體。故選擇D選項。7)C【解析】BLP模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別。Biba訪問控制模型對數(shù)據(jù)提供了分級別的完整性保證，類似于BLP保密模型，也使用強(qiáng)制訪問控制系統(tǒng)。ChineseWall安全策略的基礎(chǔ)是客戶訪問的信息不會與目前他們可支配的信

5、息產(chǎn)生沖突。用戶必須選擇一個他可以訪問的區(qū)域，必須自動拒絕來自其它與用戶的所選區(qū)域的利益沖突區(qū)域的訪問，同時包括了強(qiáng)制訪問控制和自主訪問控制的屬性。RBAC模型是20世紀(jì)90年代研究出來的一種新模型。這種模型的基本概念是把許可權(quán)與角色聯(lián)系在一起，用戶通過充當(dāng)合適角色的成員而獲得該角色的許可權(quán)。故選擇C選項。8) B【解析】RADIUS運(yùn)行在UDP協(xié)議上，并且沒有定義重傳機(jī)制，而Diameter運(yùn)行在可靠的傳輸協(xié)議TCP、SCTP之上。Diameter還支持窗口機(jī)制，每個會話方可以動態(tài)調(diào)整自己的接收窗口，以免發(fā)送超出對方處理能力的請求。RADIUS協(xié)議不支持失敗恢復(fù)機(jī)制，而Diameter支持應(yīng)

6、用層確認(rèn)，并且定義了失敗恢復(fù)算法和相關(guān)的狀態(tài)機(jī)，能夠立即檢測出傳輸錯誤。RADIUS固有的C/S模式限制了它的進(jìn)一步發(fā)展。Diameter采用了peer-to-peer模式，peer的任何一端都可以發(fā)送消息以發(fā)起計費等功能或中斷連接。Diameter還支持認(rèn)證和授權(quán)分離，重授權(quán)可以隨時根據(jù)需求進(jìn)行。而RADIUS中認(rèn)證與授權(quán)必須是成對出現(xiàn)的。故選擇B選項。9) D【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過程的實現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，故D選項說法錯誤，無需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全

7、，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。故選擇D選項。10) C【解析】進(jìn)程與CPU的通信是通過共享存儲器系統(tǒng)、消息傳遞系統(tǒng)、管道通信來完成的。 而不是通過系統(tǒng)調(diào)用來完成的。故選擇C選項。11) C【解析】在linux或者unix操作系統(tǒng)中在系統(tǒng)的引導(dǎo)的時候會開啟很多服務(wù)，這些服務(wù)就叫做守護(hù)進(jìn)程。為了增加靈活性，root可以選擇系統(tǒng)開啟的模式，這些模式叫做運(yùn)行級別，每一種運(yùn)行級別以一定的方式配置系統(tǒng)。守護(hù)進(jìn)程是脫離于終端并且在后臺運(yùn)行的進(jìn)程。守護(hù)進(jìn)程脫離于終端是為了避免進(jìn)程在執(zhí)行過程中的信息在任何終端上顯示并且進(jìn)程也不會被任何終端所產(chǎn)生的終端信息所打斷。守護(hù)進(jìn)程常常在系統(tǒng)引

8、導(dǎo)裝入時啟動，在系統(tǒng)關(guān)閉時終止。Linux系統(tǒng)有很多守護(hù)進(jìn)程，大多數(shù)服務(wù)都是通過守護(hù)進(jìn)程實現(xiàn)的，同時，守護(hù)進(jìn)程還能完成許多系統(tǒng)任務(wù)，例如，作業(yè)規(guī)劃進(jìn)程crond、打印進(jìn)程lqd等，故選擇C選項。12)C【解析】chmod：文件/目錄權(quán)限設(shè)置命令；chown：改變文件的擁有者；chgrp：變更文件與目錄的所屬群組，設(shè)置方式采用群組名稱或群組識別碼皆可；who：顯示系統(tǒng)登陸者。故選擇C選項。13) D【解析】Windows有3個環(huán)境子系統(tǒng)：Win32、POSIX和OS/2；POSIX子系統(tǒng)，可以在Windows下編譯運(yùn)行使用了POSIX庫的程序，有了這個子系統(tǒng)，就可以向Windows移植一些重要的

9、UNIX/Linux應(yīng)用 。OS/2子系統(tǒng)的意義跟POSIX子系統(tǒng)類似。Win32子系統(tǒng)比較特殊，如果沒有它，整個Windows系統(tǒng)就不能運(yùn)行，其他兩個子系統(tǒng)只是在需要時才被啟動，而Wind32子系統(tǒng)必須始終處于運(yùn)行狀態(tài)。故選擇D選項。14) B【解析】視圖是原始數(shù)據(jù)庫數(shù)據(jù)的一種變換，是查看表中數(shù)據(jù)的另外一種方式。可以將視圖看成是一個移動的窗口，通過它可以看到感興趣的數(shù)據(jù)。 視圖是從一個或多個實際表中獲得的，這些表的數(shù)據(jù)存放在數(shù)據(jù)庫中。那些用于產(chǎn)生視圖的表叫做該視圖的基表。一個視圖也可以從另一個視圖中產(chǎn)生。視圖的定義存在數(shù)據(jù)庫中，與此定義相關(guān)的數(shù)據(jù)并沒有再存一份于數(shù)據(jù)庫中，通過視圖看到的數(shù)據(jù)存

10、放在基表中，而不是存放在視圖中，視圖不存儲數(shù)據(jù)，故B選項說法不正確。數(shù)據(jù)庫授權(quán)命令可以使每個用戶對數(shù)據(jù)庫的檢索限制到特定的數(shù)據(jù)庫對象上，但不能授權(quán)到數(shù)據(jù)庫特定行和特定的列上。故選擇B選項。15) A【解析】視圖為機(jī)密數(shù)據(jù)提供了安全保護(hù)。在設(shè)計用戶應(yīng)用系統(tǒng)時，可以為不同的用戶定義不同的視圖，使機(jī)密數(shù)據(jù)不出現(xiàn)在不應(yīng)該看到的用戶的視圖上，這樣視圖就自動提供了對機(jī)密數(shù)據(jù)的安全保護(hù)措施。視圖可以作為一種安全機(jī)制。通過視圖用戶只能查看和修改他們所能看到的數(shù)據(jù)。其它數(shù)據(jù)庫或表既不可見也不可以訪問。如果某一用戶想要訪問視圖的結(jié)果集，必須授予其訪問權(quán)限。視圖所引用表的訪問權(quán)限與視圖權(quán)限的設(shè)置互不影響，但視圖機(jī)制

11、的安全保護(hù)功能太不精細(xì)，往往不能達(dá)到應(yīng)用系統(tǒng)的要求，其主要功能在于提供了數(shù)據(jù)庫的邏輯獨立性。因此A選項是不正確的。故選擇A選項。16) C【解析】由于事務(wù)是由幾個任務(wù)組成的，因此如果一個事務(wù)作為一個整體是成功的，則事務(wù)中的每個任務(wù)都必須成功。如果事務(wù)中有一部分失敗，則整個事務(wù)失敗。一個事務(wù)的任何更新要在系統(tǒng)上完全完成，如果由于某種原因出錯，事務(wù)不能完成它的全部任務(wù)，系統(tǒng)將返回到事務(wù)開始前的狀態(tài)。COMMIT語句用于告訴DBMS，事務(wù)處理中的語句被成功執(zhí)行完成了。被成功執(zhí)行完成后，數(shù)據(jù)庫內(nèi)容將是完整的。而ROLLBACK語句則是用于告訴DBMS，事務(wù)處理中的語句不能被成功執(zhí)行。不能回退SELEC

12、T語句，因此該語句在事務(wù)中必然成功執(zhí)行。故選擇C選項。17) D【解析】ESP協(xié)議主要設(shè)計在 IPv4 和 IPv6 中提供安全服務(wù)的混合應(yīng)用。IESP 通過加密需要保護(hù)的數(shù)據(jù)以及在 ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。且ESP加密采用的是對稱密鑰加密算法，能夠提供無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)來源驗證和抗重放攻擊服務(wù)。根據(jù)用戶安全要求，這個機(jī)制既可以用于加密一個傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整個的 IP 數(shù)據(jù)報。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個原始數(shù)據(jù)報提供機(jī)密性，但是，ESP協(xié)議無法封裝鏈路層協(xié)議。故選擇D選項。18)

13、 B【解析】IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和兩種密鑰交換協(xié)議OAKLEY與SKEME組成。Kerberos不屬于IKE協(xié)議，B選項錯誤。故選擇B選項。19) A【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議， 而不是加密協(xié)議或完整性檢驗協(xié)議。其設(shè)計目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。故選擇A選項。20) C【解析】一個簡單的PKI系統(tǒng)包括證書機(jī)構(gòu)CA、注冊機(jī)構(gòu)RA和相應(yīng)的PKI存儲庫。CA用于簽發(fā)并管理證書；RA可作為CA的一部分，也可以獨立，其功能包括個人身份審核、CRL管理、密鑰產(chǎn)生和密鑰對備份等；PKI存儲庫

14、包括LDAP目錄服務(wù)器和普通數(shù)據(jù)庫，用于對用戶申請、證書、密鑰、CRL和日志等信息進(jìn)行存儲和管理，并提供一定的查詢功能。故選擇C選項。21) A【解析】狀態(tài)檢測防火墻在處理無連接狀態(tài)的UDP、ICMP等協(xié)議時，無法提供動態(tài)的鏈接狀態(tài)檢查，而且當(dāng)處理FTP存在建立兩個TCP連接的協(xié)議時，針對FTP協(xié)議的被動模式，要在連接狀態(tài)表中允許相關(guān)聯(lián)的兩個連接。而在FTP的標(biāo)準(zhǔn)模式下，F(xiàn)TP客戶端在內(nèi)網(wǎng)，服務(wù)器端在外網(wǎng)，由于FTP的數(shù)據(jù)連接是從外網(wǎng)服務(wù)器到內(nèi)網(wǎng)客戶端的一個變化的端口，因此狀態(tài)防火墻需要打開整個端口范圍才能允許第二個連接通過，在連接量非常大的網(wǎng)絡(luò)，這樣會造成網(wǎng)絡(luò)的遲滯現(xiàn)象。狀態(tài)防火墻可以通過檢

15、查TCP的標(biāo)識位獲得斷開連接的信息，從而動態(tài)的將改連接從狀態(tài)表中刪除。故選擇A選項。22) D【解析】DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。ICMP在Internet上用于錯誤處理和傳遞控制信息。PingofDeath就是故意產(chǎn)生畸形的測試Ping包，聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終接收方宕機(jī)。UDPflood攻擊：如今在Internet上UDP（用戶數(shù)據(jù)包協(xié)議）的應(yīng)用比較廣泛，很多

16、提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開一些被黑客惡意利用的UDP服務(wù)。所以，TCP、ICMP和UDP均會被DoS攻擊，IPSec無法被DoS攻擊。故選擇D選項。23) C【解析】BitBlaze平臺由三個部分組成：Vine，靜態(tài)分析組件，TEMU，動態(tài)分析組件，Rudder，結(jié)合動態(tài)和靜態(tài)分析進(jìn)行具體和符號化分析的組件。Nessus是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。Metasploit是一個免費的、可下載的框架，通過它可以很容易地獲取、開發(fā)并對計算機(jī)軟件漏洞實施攻擊。NMap，也就是Network Mapper，是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包

17、。故選擇C選項。24) C【解析】OWASP的十大安全威脅排名：第一位: 注入式風(fēng)險；第二位: 跨站點腳本 (簡稱XSS)；第三位: 無效的認(rèn)證及會話管理功能；第四位: 對不安全對象的直接引用；第五位: 偽造的跨站點請求(簡稱CSRF)；第六位: 安全配置錯誤；第七位: 加密存儲方面的不安全因素；第八位: 不限制訪問者的URL；第九位: 傳輸層面的保護(hù)力度不足；第十位: 未經(jīng)驗證的重新指向及轉(zhuǎn)發(fā)。故選擇C選項。25)D【解析】HTTPS是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI

18、 scheme，句法類同http體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗證與加密通訊方法，因此用戶認(rèn)證的請求通過加密信道進(jìn)行傳輸，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊。故選擇D選項。26) A【解析】安全開發(fā)周期，即Security Development Lifecycle (SDL)，是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的管理模式。微軟于2004年將SDL引入其內(nèi)部軟件開發(fā)流程中，目的是減少其軟件中的漏洞的數(shù)量和降低其

19、嚴(yán)重級別。故選擇A選項。27) A【解析】代碼混淆技術(shù)在保持原有代碼功能的基礎(chǔ)上，通過代碼變換等混淆手段實現(xiàn)降低代碼的人工可讀性、隱藏代碼原始邏輯的技術(shù)。代碼混淆技術(shù)可通過多種技術(shù)手段實現(xiàn)，包括詞法轉(zhuǎn)換、控制流轉(zhuǎn)換、數(shù)據(jù)轉(zhuǎn)換。故選擇A選項。28) C【解析】漏洞的定義包含以下三個要素：首先，漏洞是計算機(jī)系統(tǒng)本身存在的缺陷；其次，漏洞的存在和利用都有一定的環(huán)境要求；最后，漏洞存在的本身是沒有危害的，只有被攻擊者惡意利用，才能給計算機(jī)系統(tǒng)帶來威脅和損失。故選擇C選項。29) B【解析】堆生長方向是向上的，也就是向著內(nèi)存增加的方向；棧相反。故選擇B選項。30) B【解析】緩沖區(qū)溢出是指當(dāng)計算機(jī)向緩沖

20、區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量，使得溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，理想的情況是程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符，但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的儲存空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧。在各個操作進(jìn)程之間，指令會被臨時儲存在堆棧當(dāng)中，堆棧也會出現(xiàn)緩沖區(qū)溢出，單字節(jié)溢出是指程序中的緩沖區(qū)僅能溢出一個字節(jié)。故選擇B選項。31) C【解析】信息安全應(yīng)急響應(yīng)的核心是為了保障業(yè)務(wù)，在具體實施應(yīng)急響應(yīng)的過程中就需要通過不斷的總結(jié)和回顧來完善應(yīng)急響應(yīng)管理體系。編寫安全指南：針對可能發(fā)生的安全事件安全問題，對判斷過程進(jìn)行詳細(xì)描述。同時，

21、安全指南也是管理層支持組織IT的一個證明。明確職責(zé)規(guī)范：明確IT用戶、IT管理員、IT審計員、IT應(yīng)用人員、IT安全員、IT安全管理層和管理層的職責(zé)，在發(fā)生安全事件時可以很快定位相應(yīng)人員。信息披露：明確處理安全事件的過程規(guī)則和報告渠道。制定安全事件的報告提交策略：安全事件越重大，需要的授權(quán)也越大。設(shè)置優(yōu)先級：制定優(yōu)先級表，根據(jù)安全事件導(dǎo)致的后果順序采用相應(yīng)的應(yīng)急措施。判斷采用調(diào)查和評估安全事件的方法：通過判斷潛在和持續(xù)的損失程度、原因等采用不同的方法。通知受影響各方：對所有受影響的組織內(nèi)部各部門和外部機(jī)構(gòu)都進(jìn)行通報，并建立溝通渠道。安全事件的評估：對安全事件做評估，包括損失、響應(yīng)時間、提交策略

22、的有效性、調(diào)查的有效性等，并對評估結(jié)果進(jìn)行歸檔。故選擇C選項。32)C【解析】 系統(tǒng)開發(fā)分為五個階段，即規(guī)劃、分析、設(shè)計、實現(xiàn)和運(yùn)行。故A正確。系統(tǒng)開發(fā)每個階段都會有相應(yīng)的期限。故B正確。系統(tǒng)生命周期就是系統(tǒng)從產(chǎn)生構(gòu)思到不再使用的整個生命歷程。任何系統(tǒng)都會經(jīng)歷一個發(fā)生、發(fā)展和消亡的過程。 而不是系統(tǒng)的生命周期是無限長的。故選擇C選項。33)D【解析】一旦實現(xiàn)了控制策略，就應(yīng)該對控制效果進(jìn)行監(jiān)控和衡量，從而來確定安全控制的有效性，并估計殘留風(fēng)險的準(zhǔn)確性。整個安全控制是一個循環(huán)過程，不會終止，只要機(jī)構(gòu)繼續(xù)運(yùn)轉(zhuǎn)，這個過程就會繼續(xù)，并不是說這方面的預(yù)算就可以減少。故選擇D選項。34)B【解析】引入信息

23、安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。通過進(jìn)行信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，但不是所以的組織都必須進(jìn)行認(rèn)證，故B選項說法錯誤。通過認(rèn)證能保證和證明組織所有的部門對信息安全的承諾。獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。建立信息安全管理體系能降低這種風(fēng)險，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。企業(yè)通過認(rèn)證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信

24、任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。故選擇B選項。35) B【解析】審核是指為獲得審核證據(jù)并對其進(jìn)行客觀的評價，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的獨立的并形成文件的過程。加強(qiáng)安全教育與審核對象沒有關(guān)系。故選擇B選項。36) C【解析】涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機(jī)密、絕密三個等級。故選擇C選項。37) C【解析】電子簽名法規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。根據(jù)電子簽名法的規(guī)定，同時符合下列四個條件的電子簽名視為可靠的電子簽名：（1）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；（2）簽署時電子簽名制作數(shù)據(jù)僅

25、由電子簽名人控制；（3）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；（4）簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。故選擇C選項。38) D【解析】根據(jù)商用密碼產(chǎn)品銷售管理規(guī)定 ，申請商用密碼產(chǎn)品銷售許可證的單位應(yīng)當(dāng)具備下列條件：（1）有獨立的法人資格；（2）有熟悉商用密碼產(chǎn)品知識和承擔(dān)售后服務(wù)的人員以及相應(yīng)的資金保障；（3）有完善的銷售服務(wù)和安全保密管理制度；（4）法律、行政法規(guī)規(guī)定的其它條件。故選擇D選項。39) B【解析】基本安全要求中基本技術(shù)要求從五個方面提出：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)； 路由安全不是基本安全要求中基本技術(shù)。故選擇B選項。40)B【解析

26、】中華人民共和國電子簽名法第三十一條電子認(rèn)證服務(wù)提供者不遵守認(rèn)證業(yè)務(wù)規(guī)則、未妥善保存與認(rèn)證相關(guān)的信息，或者有其他違法行為的，由國務(wù)院信息產(chǎn)業(yè)主管部門責(zé)令限期改正；逾期未改正的，吊銷電子認(rèn)證許可證書，其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員十年內(nèi)不得從事電子認(rèn)證服務(wù)。吊銷電子認(rèn)證許可證書的，應(yīng)當(dāng)予以公告并通知工商行政管理部門。故選擇B選項。二、填空題1)【解析】TCSEC標(biāo)準(zhǔn)是計算機(jī)系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。因此1）應(yīng)該填入：可信計算機(jī)評估標(biāo)準(zhǔn)/TCSEC標(biāo)準(zhǔn)。2)【解析】信息安全的發(fā)展大致經(jīng)歷

27、了3個主要階段：通信保密階段、計算機(jī)安全階段和信息安全保障階段。通信保密階段：當(dāng)代信息安全學(xué)起源于20世紀(jì)40年代的通信保密；計算機(jī)安全階段：20世紀(jì)60年代和70年代，計算機(jī)安全的概念開始逐步得到推行；信息安全保障階段：20世紀(jì)90年代以后，開始倡導(dǎo)信息保障。因此2）應(yīng)該填入：通信保密3)【解析】對于網(wǎng)絡(luò)輿情的特點，社會管理者應(yīng)當(dāng)了然于心。對現(xiàn)實中出現(xiàn)的各種網(wǎng)絡(luò)輿論，社會管理者應(yīng)能做出及時反饋，防微杜漸，防患于未然。因此，必須利用現(xiàn)代信息技術(shù)對網(wǎng)絡(luò)輿情予以分析，從而進(jìn)行控制和引導(dǎo)。由于網(wǎng)上的信息量十分巨大，僅依靠人工的方法難以應(yīng)對網(wǎng)上海量信息的收集和處理，需要加強(qiáng)相關(guān)信息技術(shù)的研究，形成一套

28、自動化的網(wǎng)絡(luò)輿情分析系統(tǒng)，及時應(yīng)對網(wǎng)絡(luò)輿情，由被動防堵，化為主動梳理、引導(dǎo)。因此3）應(yīng)該填入：輿情分析4)【解析】MD5算法簡要敘述：MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個32位分組組成，將這四個32位分組級聯(lián)后將生成一個128位散列值。因此4）應(yīng)該填入：1285)【解析】消息認(rèn)證是指通過對消息或者消息有關(guān)的信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為了防止傳輸和存儲的消息被有意無意的篡改，包括消息內(nèi)容認(rèn)證（即消息完整性認(rèn)證）、消息的源和宿認(rèn)證（即身份認(rèn)證0)、及消息的序號和操作時間認(rèn)證等。因此5）應(yīng)該填入：認(rèn)證6)【

29、解析】訪問控制矩陣：任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可。訪問控制列表：這種方法對應(yīng)于訪問控制矩陣的列。訪問能力表：這種方法對應(yīng)于訪問控制矩陣的行。每個主體都附加一個該主體可訪問的客體的明細(xì)表。因此6）應(yīng)該填入：能力7)【解析】強(qiáng)制訪問控制系統(tǒng)通過比較主體和客體的安全標(biāo)簽來決定一個主體是否能夠訪問某個客體。強(qiáng)制訪問控制是系統(tǒng)獨立于用戶行為強(qiáng)制執(zhí)行訪問控制，它也提供了客體在主體之間共享的控制，但強(qiáng)制訪問控制機(jī)制是通過對主體和客體的安全級別進(jìn)行比較來確定授予還是拒絕用戶對資源的訪問，從而防止對信息的

30、非法和越權(quán)訪問，保證信息的保密性。因此7）應(yīng)該填入：安全標(biāo)簽8)【解析】操作系統(tǒng)通過一些基本元素，在硬件支持的基礎(chǔ)上來達(dá)到目標(biāo)。用戶模式和內(nèi)核模式現(xiàn)代CPU通常運(yùn)行在兩種模式下：(1)內(nèi)核模式，也稱為特權(quán)模式，在Intelx86系列中，稱為核心層(Ring0)。(2)用戶模式，也稱為非特權(quán)模式，或者用戶層(Ring3)。如果CPU處于特權(quán)模式，那么硬件將允許執(zhí)行一些僅在特權(quán)模式下許可的特殊指令和操作。一般看來，操作系統(tǒng)應(yīng)當(dāng)運(yùn)行在特權(quán)模式下，或者稱為內(nèi)核模式下：其他應(yīng)用應(yīng)當(dāng)運(yùn)行在普通模式，或者用戶模式下。然而，事實與此有所不同。顯然，要使特權(quán)模式所提供的保護(hù)真正有效，那么普通指令就不能自由修改C

31、PU的模式。在標(biāo)準(zhǔn)的模型中，將CPU模式從用戶模式轉(zhuǎn)到內(nèi)核模式的唯一方法是觸發(fā)一個特殊的硬件自陷，如中斷：一些外部硬件引發(fā)的，如I/O或者時鐘異常：如除數(shù)為零，訪問非法的或者不屬于該進(jìn)程的內(nèi)存顯式地執(zhí)行自陷指令與上述行為的處理過程基本相同：CPU掛起用戶程序，將CPU模式改變?yōu)閮?nèi)核模式，查表(如中斷向量表)以定位處理過程，然后開始運(yùn)行由表定義的操作系統(tǒng)代碼。因此8）應(yīng)該填入：自陷。9)【解析】在Unix/Linux中，每一個系統(tǒng)與用戶進(jìn)行交流的界面都被命名為終端；。因此9）應(yīng)該填入終端。10)【解析】在UnixLinux系統(tǒng)中，root賬號就是一個超級用戶賬戶。以超級用戶可以對系統(tǒng)進(jìn)行任何操作

32、。1超級用戶而UnixLinux超級用戶賬戶可以不止一個。在Unix系統(tǒng)中，只要將用戶的UID和GID設(shè)置為0就可以將其變成超級用戶，但并不是所有的超級用戶都能很容易的登錄到Unix系統(tǒng)中，這是因為，Unix系統(tǒng)使用了可插入認(rèn)證模塊（PAM）進(jìn)行認(rèn)證登錄，PAM要求超級用戶只能在指定的終端上進(jìn)行訪問，這種指定的終端是可以保證安全的。2root賬戶的安全root用戶賬戶也是有密碼的，這個密碼可以對那些通過控制臺訪問系統(tǒng)的用戶進(jìn)行控制，即使是使用su命令的用戶也不例外。因此10）應(yīng)該填入：root11)【解析】可信平臺模塊是一種使微控制器能控存儲安全數(shù)據(jù)的規(guī)格，也是這種規(guī)格的應(yīng)用。該規(guī)格由可信計算

33、組來制定。 國內(nèi)目前研究的TCM（trusted cryptography module,可信密碼模塊），與之對應(yīng)。因此應(yīng)該填入：密碼。12)【解析】因為事務(wù)按照要么全部，要么全不方式被執(zhí)行，事務(wù)的邊界（開始點和結(jié)束點）必須清晰。邊界使DBMS作為一個原子單元來執(zhí)行這些語句。事務(wù)隱式開始于第一個可執(zhí)行的SQL語句或顯式使用 BEGIN TRANSACTION語句。事務(wù)顯式結(jié)束于COMMIT或ROLLBACK語句（無法隱式結(jié)束），且無法在提交之后回滾事務(wù)。因此12）應(yīng)該填入：BEGIN TRANSACTION。13)【解析】ESP（EncapsulatingSecurityPayloads），封

34、裝安全載荷協(xié)議，IPsec所支持的兩類協(xié)議中的一種。該協(xié)議能夠在數(shù)據(jù)的傳輸過程中對數(shù)據(jù)進(jìn)行完整性度量，來源認(rèn)證以及加密，也可防止回放攻擊。傳輸模式，與隧道模式同為IPsec工作的兩種方式。因此13）應(yīng)該填入：隧道。14)【解析】PKI（Public Key Infrastructure ）即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。PKI是一系列基于公鑰密碼學(xué)之上，用來創(chuàng)建、管理、存儲、分布和作廢數(shù)字證書的一系列軟件、硬件、人員、策略和過程的集合。因此14）應(yīng)該填入：數(shù)字證書。15)【解析】層次信任模型：層次信

35、任模型是實現(xiàn)最簡單的模型，使用也最為廣泛。建立層次信任模型的基礎(chǔ)是所有的信任用戶都有一個可信任根。所有的信任關(guān)系都基于根來產(chǎn)生。層次信任模型是一種雙向信任的模型。層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應(yīng)用這種模型是很困難的。另外，在層次信任模型的內(nèi)部必須保持相同的管理策略。層次信任模型主要使用在以下三種環(huán)境：（1）嚴(yán)格的層次結(jié)構(gòu)；（2）分層管理的PKI商務(wù)環(huán)境；（3）PEM（Privacy-Enhanced Mail，保密性增強(qiáng)郵件）環(huán)境。因此15）應(yīng)該填入：層次16)【解析】NIDS是Network Intrusion Detection System的縮寫，即網(wǎng)

36、絡(luò)入侵檢測系統(tǒng)，主要用于檢測Hacker或Cracker通過網(wǎng)絡(luò)進(jìn)行的入侵行為。NIDS的功能：網(wǎng)管人員對網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實時監(jiān)控，以便隨時發(fā)現(xiàn)可能的入侵行為，并進(jìn)行具體分析，及時、主動地進(jìn)行干預(yù)，從而取得防患于未然的效果。其主要包括時間探測器和控制臺兩部分。因此16）應(yīng)該填入：探測器17)【解析】木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分。因此17）應(yīng)該填入：客戶。18)【解析】污點傳播分析技術(shù)：通過分析代碼中輸入數(shù)據(jù)對程序執(zhí)行路徑的影響，以發(fā)現(xiàn)不可信的輸入數(shù)據(jù)導(dǎo)致的程序執(zhí)行異常。因此18）應(yīng)該填入：污點。19)【解析】惡意

37、程序通常是指帶有攻擊意圖所編寫的一段程序，通過破壞軟件進(jìn)程來實施控制 。這些威脅可以分成兩個類別：需要宿主程序的威脅和彼此獨立的威脅。因此19）應(yīng)該填入：惡意程序20)【解析】加殼的全稱應(yīng)該是可執(zhí)行程序資源壓縮，是保護(hù)文件的常用手段。 加殼過的程序可以直接運(yùn)行，但是不能查看源代碼.要經(jīng)過脫殼才可以查看源代碼。加殼工具通常分為壓縮殼和加密殼兩類。壓縮殼的特點是減小軟件體積大小，加密保護(hù)不是重點。因此20）應(yīng)該填入：壓縮。21)【解析】0day漏洞，是已經(jīng)被發(fā)現(xiàn)(有可能未被公開), 只有黑客或者某些組織內(nèi)部使用，而官方還沒有相關(guān)補(bǔ)丁的漏洞 （因為官方還不知道該漏洞）。因此應(yīng)該填入：0day。22)

38、【解析】EIP寄存器里存儲的是CPU下次要執(zhí)行的指令的地址，也就是函數(shù)調(diào)用完返回的地址；EBP寄存器里存儲的是是棧的棧底指針，通常叫棧基址；ESP寄存器里存儲的是在調(diào)用函數(shù)fun()之后，棧的棧頂。因此22）應(yīng)該填入：返回23)【解析】信息安全管理的主要內(nèi)容，包括信息安全管理體系、信息安全風(fēng)險評估和信息安全管理措施三個部分。因此23）應(yīng)該填入：管理體系。24)【解析】風(fēng)險評估（Risk Assessment） 是指，在風(fēng)險事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進(jìn)行量化評估的工作。分為自評估和檢查評估。因此24）應(yīng)該填入：自評估。25

39、)【解析】對信息資產(chǎn)進(jìn)行分類的目的是便于在處理信息時指明保護(hù)的需求、優(yōu)先級和期望程度。分類數(shù)據(jù)的管理包括這些數(shù)據(jù)的存儲、分布移植及銷毀。因此25）應(yīng)該填入：銷毀26)【解析】信息安全風(fēng)險評估是從風(fēng)險管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)的分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可以接受的水平，制定有針對性的抵御威脅的防護(hù)對策和整改措施以最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。風(fēng)險評估的對象是資產(chǎn)。因此26）應(yīng)該填入：資產(chǎn)。27)【解析】CC將評估過程劃分為功能和保證兩部分，評估等級分為EAL1、EAL2、EA

40、L3、EAL4、EAL5、EAL6和EAL7共七個等級。每一級均需評估7個功能類，分別是配置管理、分發(fā)和操作、開發(fā)過程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測試和脆弱性評估。因此27）應(yīng)該填入：脆弱性28)【解析】國家秘密的保密期限，除有特殊規(guī)定外，絕密級事項不超過三十年，機(jī)密級事項不超過二十年，秘密級事項不超過十年。保密期限在一年及一年以上的，以年計；保密期限在一年以內(nèi)的，以月計。因此28）應(yīng)該填入：3029)【解析】信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則初稿于2005年5月完成，其中提出了定級的四個要素：信息系統(tǒng)所屬類型、業(yè)務(wù)數(shù)據(jù)類型、信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)自動化處理程度，通過信息系統(tǒng)所屬類型和業(yè)務(wù)數(shù)據(jù)類型

41、可以確定業(yè)務(wù)數(shù)據(jù)安全性等級，通過信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)自動化處理程度及調(diào)節(jié)因子，可以確定業(yè)務(wù)服務(wù)連續(xù)性等級。因此29）應(yīng)該填入：業(yè)務(wù)數(shù)據(jù)。30)【解析】中華人民共和國保守國家秘密法第十五條 國家秘密的保密期限，應(yīng)當(dāng)根據(jù)事項的性質(zhì)和特點，按照維護(hù)國家安全和利益的需要，限定在必要的期限內(nèi)；不能確定期限的，應(yīng)當(dāng)確定解密的條件。國家秘密的保密期限，除另有規(guī)定外，絕密級不超過三十年，機(jī)密級不超過二十年，秘密級不超過十年。機(jī)關(guān)、單位應(yīng)當(dāng)根據(jù)工作需要，確定具體的保密期限、解密時間或者解密條件。機(jī)關(guān)、單位對在決定和處理有關(guān)事項工作過程中確定需要保密的事項，根據(jù)工作需要決定公開的，正式公布時即視為解密。因此30

42、）應(yīng)該填入：解密條件 三、應(yīng)用題1)【解題思路】本題考點為MD5、AES、Diffie-Hellman算法的特性以及算法的具體實現(xiàn)過程。MD5的典型應(yīng)用是對一段信息產(chǎn)生信息摘要，以防止被篡改。AES 算法基于排列和置換運(yùn)算。排列是對數(shù)據(jù)重新進(jìn)行安排，置換是將一個數(shù)據(jù)單元替換為另一個。AES的基本要求是，采用對稱分組密碼體制，密鑰長度的最少支持為128、192、256，分組長度128位，算法應(yīng)易于各種硬件和軟件實現(xiàn)。 Diffie-Hellman:一種確保共享KEY安全穿越不安全網(wǎng)絡(luò)的方法，它是OAKLEY的一個組成部分?！緟⒖即鸢浮浚?） 為了安全存儲用戶的口令，需要對用戶口令進(jìn)行加密，采用M

43、D5算法。因此【1】處應(yīng)該填入：MD5（2） MD5算法對信息進(jìn)行摘要，防止被篡改。因此【2】處應(yīng)該填入：MD5（3） Diffie-Hellman:一種確保共享KEY安全穿越不安全網(wǎng)絡(luò)的方法。因此【3】處應(yīng)該填入：Diffie-Hellman。（4） Diffie-Hellman密鑰交換算法1、有兩個全局公開的參數(shù)，一個素數(shù)P和一個整數(shù)g，g是P的一個原根。2、假設(shè)用戶A和B希望交換一個密鑰，用戶A選擇一個作為私有密鑰的隨機(jī)數(shù)aP，并計算公開密鑰Ya=gamodp。A對XA的值保密存放而使YA能被B公開獲得。類似地，用戶B選擇一個私有的隨機(jī)數(shù)bP，并計算公開密鑰Yb=gb modp。B對XB

44、的值保密存放而使YB能被A公開獲得。3、用戶產(chǎn)生共享秘密密鑰的計算方式是K=g(a*b)modp。因此【4】應(yīng)填入：ga【5】應(yīng)填入：gb【6】應(yīng)填入：g(a*b)（5）用MD5算法對獲得消息的摘要，然后和原摘要比較。因此【7】應(yīng)填入：MD5(c)。2)【解題思路】本題主要考察隊SQL語句的熟悉了解程度?！緟⒖即鸢浮浚?） 【解析】創(chuàng)建角色語句CREATE ROLE，因此【8】應(yīng)填入：CREATE ROLE（2） 【解析】為用戶分配角色權(quán)限指令GRANT +權(quán)限 to 某用戶；因此【9】應(yīng)填入：GRANT（3） 【解析】減少權(quán)限指令REVOKE+權(quán)限名；因此【10】應(yīng)填入：REVOKE SEL

45、ECT（4） 【解析】和（2）同；【11】應(yīng)填入：GRANT R1（5） 【解析】審計指令A(yù)UDIT；因此【12】應(yīng)填入AUDIT3）【解題思路】本題主要考察TCP半連接原理和三次握手協(xié)議。【參考答案】第一次握手：建立連接時，客戶端發(fā)送syn包(syn=j)到服務(wù)器，并進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn)；第二次握手：服務(wù)器收到syn包，必須確認(rèn)客戶的syn（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即SYN+ACK包，此時服務(wù)器進(jìn)入SYN_RECV狀態(tài)；第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1)，此包發(fā)送完畢，客戶端和服務(wù)

46、器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)，如果端口掃描沒有完成一個完整的TCP連接，在掃描主機(jī)和目標(biāo)主機(jī)的一指定端口建立連接時候只完成了前兩次握手，在第三步時，掃描主機(jī)中斷了本次連接，使連接沒有完全建立起來，這樣的端口掃描稱為半連接掃描，也稱為間接掃描。因此各空填寫如下：【13】應(yīng)填入：syn；【14】應(yīng)填入：1；【15】應(yīng)填入：syn；【16】應(yīng)填入：ack【17】應(yīng)填入：rst；【18】應(yīng)填入：ack；【19】應(yīng)填入：syn；【20】應(yīng)填入：1；【21】應(yīng)填入：rst【22】應(yīng)填入：ack4）【解題思路】本題主要考察程序運(yùn)行過程中函數(shù)調(diào)用及棧

47、操作。【參考答案】首先，主調(diào)函數(shù)把EAX，ECX和EDX壓棧。這是一個可選的步驟，只在這三個寄存器內(nèi)容需要保留的時候執(zhí)行此步驟。接著把傳遞給被調(diào)函數(shù)的參數(shù)一一進(jìn)棧，最后的參數(shù)最先進(jìn)棧。最后，主調(diào)函數(shù)用call指令調(diào)用子函數(shù)；當(dāng)call指令執(zhí)行的時候，EIP指令指針寄存器的內(nèi)容被壓入棧中。因為EIP寄存器是指向主調(diào)函數(shù)中的下一條指令，所以現(xiàn)在返回地址就在棧頂了。在call指令執(zhí)行完之后，下一個執(zhí)行周期將從被調(diào)函數(shù)的標(biāo)記處開始。EBP寄存器現(xiàn)在正指向主調(diào)函數(shù)的棧幀中的某個位置，這個值必須被保留，因此，EBP進(jìn)棧。然后ESP的內(nèi)容賦值給了EBP。這使得函數(shù)的參數(shù)可以通過對EBP附加一個偏移量得到，而

48、棧寄存器ESP便可以空出來做其他事情。因此【23】應(yīng)填入：參數(shù)；【24】應(yīng)填入：返回地址；【25】應(yīng)填入：代碼區(qū)；【26】應(yīng)填入：基址指針；【27】應(yīng)填入：esp第二套1) B【解析】信息安全的五個基本屬性為：可用性（availability）、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可抵賴性(non-repudiation)。 而安全性，不可見性和隱蔽性不屬于信息安全的五個基本屬性。故選擇B選項。2) D【解析】信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露 （比如商業(yè)科研項目數(shù)據(jù)，對手企業(yè)發(fā)展規(guī)劃等）

49、、防范青少年對不良信息的瀏覽 （比如淫穢，色情，暴力等）、個人信息的泄露 （比如銀行卡號，身份證號等）等，因此D選項不正確。故選擇D選項。3) B【解析】CCB（密碼塊鏈接），每個平文塊先與前一個密文塊進(jìn)行異或后，再進(jìn)行加密，沒有分組工作模式。ECB（電碼本）模式是分組密碼的一種最基本的工作模式。在該模式下，待處理信息被分為大小合適的分組，然后分別對每一分組獨立進(jìn)行加密或解密處理。CFB（密文反饋），其需要初始化向量和密鑰兩個內(nèi)容，首先先對密鑰對初始向量進(jìn)行加密，得到結(jié)果(分組加密后)與明文進(jìn)行移位異或運(yùn)算后得到密文，然后前一次的密文充當(dāng)初始向量再對后續(xù)明文進(jìn)行加密。OFB（輸出反饋），需要初

50、始化向量和密鑰，首先運(yùn)用密鑰對初始化向量進(jìn)行加密，對下個明文塊的加密。故選擇B選項。4) B【解析】數(shù)據(jù)加密又稱密碼學(xué)，指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪模饷軇t是通過解密算法和解密密鑰將密文恢復(fù)為明文，因此不屬于哈希函數(shù)的應(yīng)用。消息認(rèn)證、數(shù)字簽名和口令保護(hù)均屬于哈希函數(shù)的應(yīng)用。故選擇B選項。5) A【解析】目前的認(rèn)證技術(shù)有對用戶的認(rèn)證和對消息的認(rèn)證兩種方式。用戶認(rèn)證用于鑒別用戶的身份是否是合法用戶；消息認(rèn)證就是驗證所收到的消息確實是來自真正的發(fā)送方且未被修改的消息，也可以驗證消息的順序和及時性。數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加

51、密領(lǐng)域的技術(shù)實現(xiàn)，用于鑒別數(shù)字信息的方法。因此，數(shù)字簽名不能用于產(chǎn)生認(rèn)證碼。故選擇A選項。6) D【解析】Bell-Lapudula模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別。Biba訪問控制模型對數(shù)據(jù)提供了分級別的完整性保證，類似于BLP保密模型，也使用強(qiáng)制訪問控制系統(tǒng)。Clark-Wilson模型是一種廣泛應(yīng)用于商務(wù)領(lǐng)域的信息安全模型,能夠較好滿足企業(yè)信息系統(tǒng)所追求的完整性安全需求,它的完整性保證在早期是通過遵循一些靜態(tài)的授權(quán)約束來實現(xiàn)的。ChineseWall安全策略的基礎(chǔ)是客戶訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突。用戶必須選擇一個他可以訪問的區(qū)域，必須自動拒絕來自其

52、它與用戶的所選區(qū)域的利益沖突區(qū)域的訪問，同時包括了強(qiáng)制訪問控制和自主訪問控制的屬性，屬混合策略模型。故選擇D選項。7) B【解析】自主訪問控制是這樣的一種控制方式，由客體的屬主對自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的。訪問控制矩陣的行，每個主體都附加一個該主體可訪問的客體的明細(xì)表，所以B選項錯誤。故選擇B選項。8) D【解析】RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個RADIUS服務(wù)器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳的時候，可以采用輪詢的

53、方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。但是沒有很好的處理丟包問題。故選擇選項。9) C【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過程的實現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。Kerberos 作為一種可信任的第三方認(rèn)證服務(wù)，是通過傳統(tǒng)的密碼技術(shù)（傳統(tǒng)密碼技術(shù)術(shù)語對稱加密機(jī)制）執(zhí)行認(rèn)證服務(wù)的。故選擇選項。10) D【解析】文件系統(tǒng)在操作系統(tǒng)存在的時候就已經(jīng)

54、存在了，操作系統(tǒng)程序自身也是保存在文件系統(tǒng)中，因此在安裝系統(tǒng)之前總是會先將存儲盤格式化成某種文件系統(tǒng)格式。故選擇D選項。11) A【解析】Linux系統(tǒng)啟動后運(yùn)行的第一個進(jìn)程是初始化的進(jìn)程，即init進(jìn)程； 而boot是在Linux啟動之前運(yùn)行的進(jìn)程，sysini進(jìn)程和login進(jìn)程是后續(xù)部分的進(jìn)程。故選擇選項。12) A【解析】可執(zhí)行文件為windows系統(tǒng)的文件類型，其他均是Unix/Linux文件類型。故選擇A選項。13) A【解析】UnixLinux超級用戶賬戶可以有多個，在Unix系統(tǒng)中，只要將用戶的UID和GID設(shè)置為0就可以將其變成超級用戶，但并不是所有的超級用戶都能很容易的登錄

55、到Unix系統(tǒng)中，這是因為，Unix系統(tǒng)使用了可插入認(rèn)證模塊（PAM）進(jìn)行認(rèn)證登錄，PAM要求超級用戶只能在指定的終端上進(jìn)行訪問，這種指定的終端是可以保證安全的。故選擇A選項。14) B【解析】NET命令是功能強(qiáng)大的以命令行方式執(zhí)行的工具。它包含了管理網(wǎng)絡(luò)環(huán)境、服務(wù)、用戶、登陸等；net start ：啟動服務(wù)，或顯示已啟動服務(wù)的列表；格式net start service；NET STOP 作 用：停止 Windows NT 網(wǎng)絡(luò)服務(wù)。 故選擇B選項。15) A【解析】 刪除表的命令是DROP。刪除記錄的命令：delete；建立視圖的命令CREATE view;更新記錄的命令update；故

56、選擇A選項。16) D【解析】在數(shù)據(jù)庫中，約束、規(guī)則、默認(rèn)值都可以保證數(shù)據(jù)完整性；視圖是數(shù)據(jù)庫中數(shù)據(jù)的一個映射，根據(jù)用戶權(quán)限選擇性的給其觀看范圍，不能保證數(shù)據(jù)完整性。故選擇選項。17)C【解析】AH協(xié)議用以保證數(shù)據(jù)包的完整性和真實性，防止黑客階段數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計算效率，AH沒有采用數(shù)字簽名而是采用了安全哈希算法來對數(shù)據(jù)包進(jìn)行保護(hù)。故選擇C選項。18)C【解析】IPv4中TCP/IP協(xié)議棧，沒有口令保護(hù),遠(yuǎn)程用戶的登錄傳送的帳號和密碼都是明文,這是Telnet致命的弱點;認(rèn)證過程簡單,只是驗證連接者的帳戶和密碼;傳送的數(shù)據(jù)沒有加密等。IPv4中TCP/IP協(xié)議棧提供了端

57、到端可靠傳輸機(jī)制。故選擇C選項。19)B【解析】SMTP：簡單郵件傳輸協(xié)議,它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方式。SET：安全電子交易協(xié)議；POP3：郵局協(xié)議的第3個版本，它是規(guī)定個人計算機(jī)如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進(jìn)行收發(fā)郵件的協(xié)議。S/MIME為多用途網(wǎng)際郵件擴(kuò)充協(xié)議，在安全方面的功能又進(jìn)行了擴(kuò)展，它可以把MIME實體(比如數(shù)字簽名和加密信息等)封裝成安全對象。 故選擇B選項。20)D【解析】 NIDS是Network Intrusion Detection System的縮寫，即網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于檢測Hacker或Cracker通過網(wǎng)絡(luò)進(jìn)行的

58、入侵行為。NIDS提供的功能主要有數(shù)據(jù)的收集，如數(shù)據(jù)包嗅探；事件的響應(yīng)，如利用特征匹配或異常識別技術(shù)檢測攻擊，并產(chǎn)生響應(yīng)；事件的分析，事件數(shù)據(jù)存儲。所以其探測器要連接在交換機(jī)上。故選擇D選項。21)B【解析】私有IP地址范圍：A: 55 即/8B:55即/12C:55 即/16故選擇B選項。22)C【解析】當(dāng)客戶端想與服務(wù)端建立連接時，它首先登錄到FTP服務(wù)器，寫主頁空間上面的一個文件，并打開端口監(jiān)聽，等待服務(wù)端的連接，服務(wù)端定期用HTTP協(xié)議讀取這個文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時，就主動連接，如此就可