信息安全前3套答案解析

1、 第一套一、 單選題1) A 【解析】信息技術(shù)的發(fā)展，大致分為電訊技術(shù)的發(fā)明 （19世紀(jì)30年代開(kāi)始）、計(jì)算機(jī)技術(shù)的發(fā)展 （20世紀(jì)50年代開(kāi)始）和互聯(lián)網(wǎng)的使用 （20世紀(jì)60年代開(kāi)始）三個(gè)階段。 故選擇A選項(xiàng)。2) A 【解析】P2DR模型包括四個(gè)主要部分：Policy(安全策略按照教育部2015版教程此處應(yīng)改為“策略”。我建議在此處添加一幅P2DR模型圖比較直觀(guān)。)、Protection(防護(hù))、Detection(檢測(cè))和 Response(響應(yīng))，在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、操作系統(tǒng)身份認(rèn)證、加密等)的同時(shí)，利用檢測(cè)工具(如漏洞評(píng)估、入侵檢測(cè)等)了解和

2、評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。故選擇A選項(xiàng)。3) C【解析】對(duì)稱(chēng)加密系統(tǒng)通常非常快速，卻易受攻擊，因?yàn)橛糜诩用艿拿荑€必須與需要對(duì)消息進(jìn)行解密的所有人一起共享，同一個(gè)密鑰既用于加密也用于解密所涉及的文本，A、B正確；數(shù)字簽名是非對(duì)稱(chēng)密鑰加密技術(shù)與數(shù)字摘要技術(shù)的綜合應(yīng)用，在操作上會(huì)有一定的難度，故D正確。 可以加一句：對(duì)稱(chēng)加密最大的缺點(diǎn)在于其密鑰管理困難。故選擇C選項(xiàng)。4) C【解析】哈希函數(shù)將輸入資料輸出成較短的固定長(zhǎng)度的輸出，這個(gè)過(guò)程是單向的，逆向操作難以完成

3、，故A、B選項(xiàng)錯(cuò)誤；MD5以512位分組來(lái)處理輸入的信息，且每一分組又被劃分為16個(gè)32位子分組，經(jīng)過(guò)了一系列的處理后，算法的輸出由四個(gè)32位分組組成，將這四個(gè)32位分組級(jí)聯(lián)后將生成一個(gè)128位散列值；SHA-1和MD5最大區(qū)別在于其摘要比MD5摘要長(zhǎng)32bit，故耗時(shí)要更長(zhǎng)，故D選項(xiàng)錯(cuò)誤。故選擇C選項(xiàng)。5) D【解析】消息認(rèn)證是指通過(guò)對(duì)消息或者消息有關(guān)的信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為了防止傳輸和存儲(chǔ)的消息被有意無(wú)意的篡改，包括消息內(nèi)容認(rèn)證（即消息完整性認(rèn)證）、消息的源和宿認(rèn)證（即身份認(rèn)證)、及消息的序號(hào)和操作時(shí)間認(rèn)證等，但是發(fā)送方否認(rèn)將無(wú)法保證。故選擇D選項(xiàng)。6)D【解析】主體是

4、指提出訪(fǎng)問(wèn)資源具體請(qǐng)求，是某一操作動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者，可能是某一用戶(hù)，也可以是用戶(hù)啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備等。客體是指被訪(fǎng)問(wèn)資源的實(shí)體。所有可以被操作的信息、資源、對(duì)象都可以是客體，客體可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上硬件設(shè)施、無(wú)限通信中的終端，甚至可以包含另外一個(gè)客體。因此，可以主體可以是另外一個(gè)客體。故選擇D選項(xiàng)。7)C【解析】BLP模型基于強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)，以敏感度來(lái)劃分資源的安全級(jí)別。Biba訪(fǎng)問(wèn)控制模型對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證，類(lèi)似于BLP保密模型，也使用強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)。ChineseWall安全策略的基礎(chǔ)是客戶(hù)訪(fǎng)問(wèn)的信息不會(huì)與目前他們可支配的信

5、息產(chǎn)生沖突。用戶(hù)必須選擇一個(gè)他可以訪(fǎng)問(wèn)的區(qū)域，必須自動(dòng)拒絕來(lái)自其它與用戶(hù)的所選區(qū)域的利益沖突區(qū)域的訪(fǎng)問(wèn)，同時(shí)包括了強(qiáng)制訪(fǎng)問(wèn)控制和自主訪(fǎng)問(wèn)控制的屬性。RBAC模型是20世紀(jì)90年代研究出來(lái)的一種新模型。這種模型的基本概念是把許可權(quán)與角色聯(lián)系在一起，用戶(hù)通過(guò)充當(dāng)合適角色的成員而獲得該角色的許可權(quán)。故選擇C選項(xiàng)。8) B【解析】RADIUS運(yùn)行在UDP協(xié)議上，并且沒(méi)有定義重傳機(jī)制，而Diameter運(yùn)行在可靠的傳輸協(xié)議TCP、SCTP之上。Diameter 還支持窗口機(jī)制，每個(gè)會(huì)話(huà)方可以動(dòng)態(tài)調(diào)整自己的接收窗口，以免發(fā)送超出對(duì)方處理能力的請(qǐng)求。RADIUS協(xié)議不支持失敗恢復(fù)機(jī)制，而Diame

6、ter支持應(yīng)用層確認(rèn)，并且定義了失敗恢復(fù)算法和相關(guān)的狀態(tài)機(jī)，能夠立即檢測(cè)出傳輸錯(cuò)誤。RADIUS固有的C/S模式限制了它的進(jìn)一步發(fā)展。Diameter采用了peer-to-peer模式，peer的任何一端都可以發(fā)送消息以發(fā)起計(jì)費(fèi)等功能或中斷連接。Diameter還支持認(rèn)證和授權(quán)分離，重授權(quán)可以隨時(shí)根據(jù)需求進(jìn)行。而RADIUS中認(rèn)證與授權(quán)必須是成對(duì)出現(xiàn)的。故選擇B選項(xiàng)。9) D【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為客戶(hù)機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴(lài)于主機(jī)操作系統(tǒng)的認(rèn)證，故D選項(xiàng)說(shuō)法錯(cuò)誤，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主

7、機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。故選擇D選項(xiàng)。10) C【解析】進(jìn)程與CPU的通信是通過(guò)共享存儲(chǔ)器系統(tǒng)、消息傳遞系統(tǒng)、管道通信來(lái)完成的。 而不是通過(guò)系統(tǒng)調(diào)用來(lái)完成的。故選擇C選項(xiàng)。11) C【解析】在linux或者unix操作系統(tǒng)中在系統(tǒng)的引導(dǎo)的時(shí)候會(huì)開(kāi)啟很多服務(wù)，這些服務(wù)就叫做守護(hù)進(jìn)程。為了增加靈活性，root可以選擇系統(tǒng)開(kāi)啟的模式，這些模式叫做運(yùn)行級(jí)別，每一種運(yùn)行級(jí)別以一定的方式配置系統(tǒng)。守護(hù)進(jìn)程是脫離于終端并且在后臺(tái)運(yùn)行的進(jìn)程。守護(hù)進(jìn)程脫離于終端是為了避免進(jìn)程在執(zhí)行過(guò)程中的信息在任何終端上顯示并且進(jìn)程也不會(huì)被任何終端所產(chǎn)生的終端信息所打斷。守護(hù)進(jìn)程

8、常常在系統(tǒng)引導(dǎo)裝入時(shí)啟動(dòng)，在系統(tǒng)關(guān)閉時(shí)終止。Linux系統(tǒng)有很多守護(hù)進(jìn)程，大多數(shù)服務(wù)都是通過(guò)守護(hù)進(jìn)程實(shí)現(xiàn)的，同時(shí)，守護(hù)進(jìn)程還能完成許多系統(tǒng)任務(wù)，例如，作業(yè)規(guī)劃進(jìn)程crond、打印進(jìn)程lqd等，故選擇C選項(xiàng)。12)C【解析】chmod：文件/目錄權(quán)限設(shè)置命令；chown：改變文件的擁有者；chgrp：變更文件與目錄的所屬群組，設(shè)置方式采用群組名稱(chēng)或群組識(shí)別碼皆可；who：顯示系統(tǒng)登陸者。故選擇C選項(xiàng)。13) D【解析】Windows有3個(gè)環(huán)境子系統(tǒng)：Win32、POSIX和OS/2；POSIX子系統(tǒng)，可以在Windows下編譯運(yùn)行使用了POSIX庫(kù)的程序，有了這個(gè)子系統(tǒng)，就可以向Windows移

9、植一些重要的UNIX/Linux應(yīng)用 。OS/2子系統(tǒng)的意義跟POSIX子系統(tǒng)類(lèi)似。Win32子系統(tǒng)比較特殊，如果沒(méi)有它，整個(gè)Windows系統(tǒng)就不能運(yùn)行，其他兩個(gè)子系統(tǒng)只是在需要時(shí)才被啟動(dòng)，而Wind32子系統(tǒng)必須始終處于運(yùn)行狀態(tài)。故選擇D選項(xiàng)。14) B【解析】視圖是原始數(shù)據(jù)庫(kù)數(shù)據(jù)的一種變換，是查看表中數(shù)據(jù)的另外一種方式?？梢詫⒁晥D看成是一個(gè)移動(dòng)的窗口，通過(guò)它可以看到感興趣的數(shù)據(jù)。 視圖是從一個(gè)或多個(gè)實(shí)際表中獲得的，這些表的數(shù)據(jù)存放在數(shù)據(jù)庫(kù)中。那些用于產(chǎn)生視圖的表叫做該視圖的基表。一個(gè)視圖也可以從另一個(gè)視圖中產(chǎn)生。視圖的定義存在數(shù)據(jù)庫(kù)中，與此定義相關(guān)的數(shù)據(jù)并沒(méi)有再存一份于數(shù)據(jù)庫(kù)中，通過(guò)視圖

10、看到的數(shù)據(jù)存放在基表中，而不是存放在視圖中，視圖不存儲(chǔ)數(shù)據(jù)，故B選項(xiàng)說(shuō)法不正確。數(shù)據(jù)庫(kù)授權(quán)命令可以使每個(gè)用戶(hù)對(duì)數(shù)據(jù)庫(kù)的檢索限制到特定的數(shù)據(jù)庫(kù)對(duì)象上，但不能授權(quán)到數(shù)據(jù)庫(kù)特定行和特定的列上。故選擇B選項(xiàng)。15) A【解析】視圖為機(jī)密數(shù)據(jù)提供了安全保護(hù)。在設(shè)計(jì)用戶(hù)應(yīng)用系統(tǒng)時(shí)，可以為不同的用戶(hù)定義不同的視圖，使機(jī)密數(shù)據(jù)不出現(xiàn)在不應(yīng)該看到的用戶(hù)的視圖上，這樣視圖就自動(dòng)提供了對(duì)機(jī)密數(shù)據(jù)的安全保護(hù)措施。視圖可以作為一種安全機(jī)制。通過(guò)視圖用戶(hù)只能查看和修改他們所能看到的數(shù)據(jù)。其它數(shù)據(jù)庫(kù)或表既不可見(jiàn)也不可以訪(fǎng)問(wèn)。如果某一用戶(hù)想要訪(fǎng)問(wèn)視圖的結(jié)果集，必須授予其訪(fǎng)問(wèn)權(quán)限。視圖所引用表的訪(fǎng)問(wèn)權(quán)限與視圖權(quán)限的設(shè)置互不影響

11、，但視圖機(jī)制的安全保護(hù)功能太不精細(xì)，往往不能達(dá)到應(yīng)用系統(tǒng)的要求，其主要功能在于提供了數(shù)據(jù)庫(kù)的邏輯獨(dú)立性。因此A選項(xiàng)是不正確的。故選擇A選項(xiàng)。16) C【解析】由于事務(wù)是由幾個(gè)任務(wù)組成的，因此如果一個(gè)事務(wù)作為一個(gè)整體是成功的，則事務(wù)中的每個(gè)任務(wù)都必須成功。如果事務(wù)中有一部分失敗，則整個(gè)事務(wù)失敗。一個(gè)事務(wù)的任何更新要在系統(tǒng)上完全完成，如果由于某種原因出錯(cuò)，事務(wù)不能完成它的全部任務(wù)，系統(tǒng)將返回到事務(wù)開(kāi)始前的狀態(tài)。COMMIT語(yǔ)句用于告訴DBMS，事務(wù)處理中的語(yǔ)句被成功執(zhí)行完成了。被成功執(zhí)行完成后，數(shù)據(jù)庫(kù)內(nèi)容將是完整的。而ROLLBACK語(yǔ)句則是用于告訴DBMS，事務(wù)處理中的語(yǔ)句不能被成功執(zhí)行。不能回

12、退SELECT語(yǔ)句，因此該語(yǔ)句在事務(wù)中必然成功執(zhí)行。故選擇C選項(xiàng)。17) D【解析】ESP協(xié)議主要設(shè)計(jì)在 IPv4 和 IPv6 中提供安全服務(wù)的混合應(yīng)用。IESP 通過(guò)加密需要保護(hù)的數(shù)據(jù)以及在 ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來(lái)提供機(jī)密性和完整性。且ESP加密采用的是對(duì)稱(chēng)密鑰加密算法，能夠提供無(wú)連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)來(lái)源驗(yàn)證和抗重放攻擊服務(wù)。根據(jù)用戶(hù)安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整個(gè)的 IP 數(shù)據(jù)報(bào)。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性，但是，ESP協(xié)議無(wú)法封裝鏈路層協(xié)議。故選擇D

13、選項(xiàng)。18) B【解析】IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和兩種密鑰交換協(xié)議OAKLEY與SKEME組成。Kerberos不屬于IKE協(xié)議，B選項(xiàng)錯(cuò)誤。故選擇B選項(xiàng)。19) A【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議， 而不是加密協(xié)議或完整性檢驗(yàn)協(xié)議。其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為客戶(hù)機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。故選擇A選項(xiàng)。20) C【解析】一個(gè)簡(jiǎn)單的PKI系統(tǒng)包括證書(shū)機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA和相應(yīng)的PKI存儲(chǔ)庫(kù)。CA用于簽發(fā)并管理證書(shū)；RA可作為CA的一部分，也可以獨(dú)立，其功能包括個(gè)人身份審核、CRL管理、密鑰產(chǎn)生和密鑰對(duì)備份等；

14、PKI存儲(chǔ)庫(kù)包括LDAP目錄服務(wù)器和普通數(shù)據(jù)庫(kù)，用于對(duì)用戶(hù)申請(qǐng)、證書(shū)、密鑰、CRL和日志等信息進(jìn)行存儲(chǔ)和管理，并提供一定的查詢(xún)功能。故選擇C選項(xiàng)。21) A【解析】狀態(tài)檢測(cè)防火墻在處理無(wú)連接狀態(tài)的UDP、ICMP等協(xié)議時(shí)，無(wú)法提供動(dòng)態(tài)的鏈接狀態(tài)檢查，而且當(dāng)處理FTP存在建立兩個(gè)TCP連接的協(xié)議時(shí)，針對(duì)FTP協(xié)議的被動(dòng)模式，要在連接狀態(tài)表中允許相關(guān)聯(lián)的兩個(gè)連接。而在FTP的標(biāo)準(zhǔn)模式下，F(xiàn)TP客戶(hù)端在內(nèi)網(wǎng)，服務(wù)器端在外網(wǎng)，由于FTP的數(shù)據(jù)連接是從外網(wǎng)服務(wù)器到內(nèi)網(wǎng)客戶(hù)端的一個(gè)變化的端口，因此狀態(tài)防火墻需要打開(kāi)整個(gè)端口范圍才能允許第二個(gè)連接通過(guò)，在連接量非常大的網(wǎng)絡(luò)，這樣會(huì)造成網(wǎng)絡(luò)的遲滯現(xiàn)象。狀態(tài)防火

15、墻可以通過(guò)檢查T(mén)CP的標(biāo)識(shí)位獲得斷開(kāi)連接的信息，從而動(dòng)態(tài)的將改連接從狀態(tài)表中刪除。故選擇A選項(xiàng)。22) D【解析】DoS是Denial of Service的簡(jiǎn)稱(chēng)，即拒絕服務(wù)，造成DoS的攻擊行為被稱(chēng)為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。ICMP在Internet上用于錯(cuò)誤處理和傳遞控制信息。"PingofDeath"就是故意產(chǎn)生畸形的測(cè)試Ping包，聲稱(chēng)自己的尺寸超過(guò)ICMP上限，也就是加載的尺寸超過(guò)64KB上限，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終接收方宕機(jī)。UDPflood攻擊：如今在Internet上UDP（

16、用戶(hù)數(shù)據(jù)包協(xié)議）的應(yīng)用比較廣泛，很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開(kāi)一些被黑客惡意利用的UDP服務(wù)。所以，TCP、ICMP和UDP均會(huì)被DoS攻擊，IPSec無(wú)法被DoS攻擊。故選擇D選項(xiàng)。23) C【解析】BitBlaze平臺(tái)由三個(gè)部分組成：Vine，靜態(tài)分析組件，TEMU，動(dòng)態(tài)分析組件，Rudder，結(jié)合動(dòng)態(tài)和靜態(tài)分析進(jìn)行具體和符號(hào)化分析的組件。Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。Metasploit是一個(gè)免費(fèi)的、可下載的框架，通過(guò)它可以很容易地獲取、開(kāi)發(fā)并對(duì)計(jì)算機(jī)軟件漏洞實(shí)施攻擊。NMap，也就是Network M

17、apper，是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包。故選擇C選項(xiàng)。24) C【解析】OWASP的十大安全威脅排名：第一位: 注入式風(fēng)險(xiǎn)；第二位: 跨站點(diǎn)腳本 (簡(jiǎn)稱(chēng)XSS)；第三位: 無(wú)效的認(rèn)證及會(huì)話(huà)管理功能；第四位: 對(duì)不安全對(duì)象的直接引用；第五位: 偽造的跨站點(diǎn)請(qǐng)求(簡(jiǎn)稱(chēng)CSRF)；第六位: 安全配置錯(cuò)誤；第七位: 加密存儲(chǔ)方面的不安全因素；第八位: 不限制訪(fǎng)問(wèn)者的URL；第九位: 傳輸層面的保護(hù)力度不足；第十位: 未經(jīng)驗(yàn)證的重新指向及轉(zhuǎn)發(fā)。故選擇C選項(xiàng)。25)D【解析】HTTPS是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，

18、因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme，句法類(lèi)同http體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，因此用戶(hù)認(rèn)證的請(qǐng)求通過(guò)加密信道進(jìn)行傳輸，現(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊。故選擇D選項(xiàng)。26) A【解析】安全開(kāi)發(fā)周期，即Security Development Lifecycle (SDL)，是微軟提出的從安全角度指導(dǎo)軟件開(kāi)發(fā)過(guò)程的管理模式。微軟于2004年將SDL引入其內(nèi)部軟件開(kāi)

19、發(fā)流程中，目的是減少其軟件中的漏洞的數(shù)量和降低其嚴(yán)重級(jí)別。故選擇A選項(xiàng)。27) A【解析】代碼混淆技術(shù)在保持原有代碼功能的基礎(chǔ)上，通過(guò)代碼變換等混淆手段實(shí)現(xiàn)降低代碼的人工可讀性、隱藏代碼原始邏輯的技術(shù)。代碼混淆技術(shù)可通過(guò)多種技術(shù)手段實(shí)現(xiàn)，包括詞法轉(zhuǎn)換、控制流轉(zhuǎn)換、數(shù)據(jù)轉(zhuǎn)換。故選擇A選項(xiàng)。28) C【解析】漏洞的定義包含以下三個(gè)要素：首先，漏洞是計(jì)算機(jī)系統(tǒng)本身存在的缺陷；其次，漏洞的存在和利用都有一定的環(huán)境要求；最后，漏洞存在的本身是沒(méi)有危害的，只有被攻擊者惡意利用，才能給計(jì)算機(jī)系統(tǒng)帶來(lái)威脅和損失。故選擇C選項(xiàng)。29) B【解析】堆生長(zhǎng)方向是向上的，也就是向著內(nèi)存增加的方向；棧相反。故選擇B選項(xiàng)

20、。30) B【解析】緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，使得溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，理想的情況是程序檢查數(shù)據(jù)長(zhǎng)度并不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符，但是絕大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的儲(chǔ)存空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱(chēng)為"堆棧"。在各個(gè)操作進(jìn)程之間，指令會(huì)被臨時(shí)儲(chǔ)存在"堆棧"當(dāng)中，"堆棧"也會(huì)出現(xiàn)緩沖區(qū)溢出，單字節(jié)溢出是指程序中的緩沖區(qū)僅能溢出一個(gè)字節(jié)。故選擇B選項(xiàng)。31) C【解析】信息安全應(yīng)急響應(yīng)的核心是為了保障業(yè)務(wù)，在具體實(shí)施應(yīng)急響應(yīng)的過(guò)程中就需要

21、通過(guò)不斷的總結(jié)和回顧來(lái)完善應(yīng)急響應(yīng)管理體系。編寫(xiě)安全指南：針對(duì)可能發(fā)生的安全事件安全問(wèn)題，對(duì)判斷過(guò)程進(jìn)行詳細(xì)描述。同時(shí)，安全指南也是管理層支持組織IT的一個(gè)證明。明確職責(zé)規(guī)范：明確IT用戶(hù)、IT管理員、IT審計(jì)員、IT應(yīng)用人員、IT安全員、IT安全管理層和管理層的職責(zé)，在發(fā)生安全事件時(shí)可以很快定位相應(yīng)人員。信息披露：明確處理安全事件的過(guò)程規(guī)則和報(bào)告渠道。制定安全事件的報(bào)告提交策略：安全事件越重大，需要的授權(quán)也越大。設(shè)置優(yōu)先級(jí)：制定優(yōu)先級(jí)表，根據(jù)安全事件導(dǎo)致的后果順序采用相應(yīng)的應(yīng)急措施。判斷采用調(diào)查和評(píng)估安全事件的方法：通過(guò)判斷潛在和持續(xù)的損失程度、原因等采用不同的方法。通知受影響各方：對(duì)所有受

22、影響的組織內(nèi)部各部門(mén)和外部機(jī)構(gòu)都進(jìn)行通報(bào)，并建立溝通渠道。安全事件的評(píng)估：對(duì)安全事件做評(píng)估，包括損失、響應(yīng)時(shí)間、提交策略的有效性、調(diào)查的有效性等，并對(duì)評(píng)估結(jié)果進(jìn)行歸檔。故選擇C選項(xiàng)。32)C【解析】 系統(tǒng)開(kāi)發(fā)分為五個(gè)階段，即規(guī)劃、分析、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行。故A正確。系統(tǒng)開(kāi)發(fā)每個(gè)階段都會(huì)有相應(yīng)的期限。故B正確。系統(tǒng)生命周期就是系統(tǒng)從產(chǎn)生構(gòu)思到不再使用的整個(gè)生命歷程。任何系統(tǒng)都會(huì)經(jīng)歷一個(gè)發(fā)生、發(fā)展和消亡的過(guò)程。 而不是系統(tǒng)的生命周期是無(wú)限長(zhǎng)的。故選擇C選項(xiàng)。33)D【解析】一旦實(shí)現(xiàn)了控制策略，就應(yīng)該對(duì)控制效果進(jìn)行監(jiān)控和衡量，從而來(lái)確定安全控制的有效性，并估計(jì)殘留風(fēng)險(xiǎn)的準(zhǔn)確性。整個(gè)安全控制是一個(gè)循環(huán)過(guò)

23、程，不會(huì)終止，只要機(jī)構(gòu)繼續(xù)運(yùn)轉(zhuǎn)，這個(gè)過(guò)程就會(huì)繼續(xù)，并不是說(shuō)這方面的預(yù)算就可以減少。故選擇D選項(xiàng)。34)B【解析】引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。通過(guò)進(jìn)行信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，但不是所以的組織都必須進(jìn)行認(rèn)證，故B選項(xiàng)說(shuō)法錯(cuò)誤。通過(guò)認(rèn)證能保證和證明組織所有的部門(mén)對(duì)信息安全的承諾。獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書(shū)，可得到國(guó)際上的承認(rèn)，拓展您的業(yè)務(wù)。建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。企業(yè)通過(guò)認(rèn)證將可以向其客戶(hù)、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和

24、投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶(hù)及利益相關(guān)方感受到組織對(duì)信息安全的承諾。故選擇B選項(xiàng)。35) B【解析】審核是指為獲得審核證據(jù)并對(duì)其進(jìn)行客觀(guān)的評(píng)價(jià)，以確定滿(mǎn)足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的獨(dú)立的并形成文件的過(guò)程。加強(qiáng)安全教育與審核對(duì)象沒(méi)有關(guān)系。故選擇B選項(xiàng)。36) C【解析】涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。故選擇C選項(xiàng)。37) C【解析】電子簽名法規(guī)定，可靠的電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力。根據(jù)電子簽名法的規(guī)定，同時(shí)符合下列四個(gè)條

25、件的電子簽名視為可靠的電子簽名：（1）電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專(zhuān)有；（2）簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（3）簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；（4）簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。故選擇C選項(xiàng)。38) D【解析】根據(jù)商用密碼產(chǎn)品銷(xiāo)售管理規(guī)定 ，申請(qǐng)商用密碼產(chǎn)品銷(xiāo)售許可證的單位應(yīng)當(dāng)具備下列條件：（1）有獨(dú)立的法人資格；（2）有熟悉商用密碼產(chǎn)品知識(shí)和承擔(dān)售后服務(wù)的人員以及相應(yīng)的資金保障；（3）有完善的銷(xiāo)售服務(wù)和安全保密管理制度；（4）法律、行政法規(guī)規(guī)定的其它條件。故選擇D選項(xiàng)。39) B【解析】基本安全要求中基本技術(shù)要求從五個(gè)方面提出：物理安

26、全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)； 路由安全不是基本安全要求中基本技術(shù)。故選擇B選項(xiàng)。40)B【解析】中華人民共和國(guó)電子簽名法 第三十一條電子認(rèn)證服務(wù)提供者不遵守認(rèn)證業(yè)務(wù)規(guī)則、未妥善保存與認(rèn)證相關(guān)的信息，或者有其他違法行為的，由國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)責(zé)令限期改正；逾期未改正的，吊銷(xiāo)電子認(rèn)證許可證書(shū)，其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員十年內(nèi)不得從事電子認(rèn)證服務(wù)。吊銷(xiāo)電子認(rèn)證許可證書(shū)的，應(yīng)當(dāng)予以公告并通知工商行政管理部門(mén)。故選擇B選項(xiàng)。二、填空題1)【解析】TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)

27、提出，并于1985年12月由美國(guó)國(guó)防部公布。因此1）應(yīng)該填入：可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)/TCSEC標(biāo)準(zhǔn)。2)【解析】信息安全的發(fā)展大致經(jīng)歷了3個(gè)主要階段：通信保密階段、計(jì)算機(jī)安全階段和信息安全保障階段。通信保密階段：當(dāng)代信息安全學(xué)起源于20世紀(jì)40年代的通信保密；計(jì)算機(jī)安全階段：20世紀(jì)60年代和70年代，計(jì)算機(jī)安全的概念開(kāi)始逐步得到推行；信息安全保障階段：20世紀(jì)90年代以后，開(kāi)始倡導(dǎo)信息保障。因此2）應(yīng)該填入：通信保密3)【解析】對(duì)于網(wǎng)絡(luò)輿情的特點(diǎn)，社會(huì)管理者應(yīng)當(dāng)了然于心。對(duì)現(xiàn)實(shí)中出現(xiàn)的各種網(wǎng)絡(luò)輿論，社會(huì)管理者應(yīng)能做出及時(shí)反饋，防微杜漸，防患于未然。因此，必須利用現(xiàn)代信息技術(shù)對(duì)網(wǎng)絡(luò)輿情予以分析，

28、從而進(jìn)行控制和引導(dǎo)。由于網(wǎng)上的信息量十分巨大，僅依靠人工的方法難以應(yīng)對(duì)網(wǎng)上海量信息的收集和處理，需要加強(qiáng)相關(guān)信息技術(shù)的研究，形成一套自動(dòng)化的網(wǎng)絡(luò)輿情分析系統(tǒng)，及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)輿情，由被動(dòng)防堵，化為主動(dòng)梳理、引導(dǎo)。因此3）應(yīng)該填入：輿情分析4)【解析】MD5算法簡(jiǎn)要敘述：MD5以512位分組來(lái)處理輸入的信息，且每一分組又被劃分為16個(gè)32位子分組，經(jīng)過(guò)了一系列的處理后，算法的輸出由四個(gè)32位分組組成，將這四個(gè)32位分組級(jí)聯(lián)后將生成一個(gè)128位散列值。因此4）應(yīng)該填入：1285)【解析】消息認(rèn)證是指通過(guò)對(duì)消息或者消息有關(guān)的信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為了防止傳輸和存儲(chǔ)的消息被有意無(wú)意的篡改

29、，包括消息內(nèi)容認(rèn)證（即消息完整性認(rèn)證）、消息的源和宿認(rèn)證（即身份認(rèn)證0)、及消息的序號(hào)和操作時(shí)間認(rèn)證等。因此5）應(yīng)該填入：認(rèn)證6)【解析】訪(fǎng)問(wèn)控制矩陣：任何訪(fǎng)問(wèn)控制策略最終均可被模型化為訪(fǎng)問(wèn)矩陣形式：行對(duì)應(yīng)于用戶(hù)，列對(duì)應(yīng)于目標(biāo)，每個(gè)矩陣元素規(guī)定了相應(yīng)的用戶(hù)對(duì)應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪(fǎng)問(wèn)許可。訪(fǎng)問(wèn)控制列表：這種方法對(duì)應(yīng)于訪(fǎng)問(wèn)控制矩陣的列。訪(fǎng)問(wèn)能力表：這種方法對(duì)應(yīng)于訪(fǎng)問(wèn)控制矩陣的行。每個(gè)主體都附加一個(gè)該主體可訪(fǎng)問(wèn)的客體的明細(xì)表。因此6）應(yīng)該填入：能力7)【解析】強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)通過(guò)比較主體和客體的 安全標(biāo)簽來(lái)決定一個(gè)主體是否能夠訪(fǎng)問(wèn)某個(gè)客體。強(qiáng)制訪(fǎng)問(wèn)控制是系統(tǒng)獨(dú)立于用戶(hù)行為強(qiáng)制執(zhí)行訪(fǎng)問(wèn)控制

30、，它也提供了客體在主體之間共享的控制，但強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制是通過(guò)對(duì)主體和客體的安全級(jí)別進(jìn)行比較來(lái)確定授予還是拒絕用戶(hù)對(duì)資源的訪(fǎng)問(wèn)，從而防止對(duì)信息的非法和越權(quán)訪(fǎng)問(wèn)，保證信息的保密性。因此7）應(yīng)該填入：安全標(biāo)簽8)【解析】操作系統(tǒng)通過(guò)一些基本元素，在硬件支持的基礎(chǔ)上來(lái)達(dá)到目標(biāo)。 用戶(hù)模式和內(nèi)核模式  現(xiàn)代CPU通常運(yùn)行在兩種模式下： (1) 內(nèi)核模式，也稱(chēng)為特權(quán)模式，在Intel x86系列中，稱(chēng)為核心層(Ring 0)。 (2) 用戶(hù)模式，也稱(chēng)為非特權(quán)模式，或者用戶(hù)層(Ring 3)。 如

31、果CPU處于特權(quán)模式，那么硬件將允許執(zhí)行一些僅在特權(quán)模式下許可的特殊指令和操作。一般看來(lái)，操作系統(tǒng)應(yīng)當(dāng)運(yùn)行在特權(quán)模式下，或者稱(chēng)為內(nèi)核模式下：其他應(yīng)用應(yīng)當(dāng)運(yùn)行在普通模式，或者用戶(hù)模式下。然而，事實(shí)與此有所不同。 顯然，要使特權(quán)模式所提供的保護(hù)真正有效，那么普通指令就不能自由修改CPU的模式。在標(biāo)準(zhǔn)的模型中，將CPU模式從用戶(hù)模式轉(zhuǎn)到內(nèi)核模式的唯一方法是觸發(fā)一個(gè)特殊的硬件自陷，如  中斷：一些外部硬件引發(fā)的，如I/O或者時(shí)鐘  異常：如除數(shù)為零，訪(fǎng)問(wèn)非法的或者不屬于該進(jìn)程的內(nèi)存 顯式地執(zhí)行自陷指令 與上述行為的處理過(guò)程基本相同：

32、CPU掛起用戶(hù)程序，將CPU模式改變?yōu)閮?nèi)核模式，查表(如中斷向量表)以定位處理過(guò)程，然后開(kāi)始運(yùn)行由表定義的操作系統(tǒng)代碼。因此8）應(yīng)該填入：自陷。9)【解析】在Unix/Linux中，每一個(gè)系統(tǒng)與用戶(hù)進(jìn)行交流的界面都被命名為終端；。因此9）應(yīng)該填入終端。10)【解析】在UnixLinux系統(tǒng)中，root賬號(hào)就是一個(gè)超級(jí)用戶(hù)賬戶(hù)。以超級(jí)用戶(hù)可以對(duì)系統(tǒng)進(jìn)行任何操作。1超級(jí)用戶(hù)而UnixLinux超級(jí)用戶(hù)賬戶(hù)可以不止一個(gè)。在Unix系統(tǒng)中，只要將用戶(hù)的UID和GID設(shè)置為0就可以將其變成超級(jí)用戶(hù)，但并不是所有的超級(jí)用戶(hù)都能很容易的登錄到Unix系統(tǒng)中，這是因?yàn)?，Unix系統(tǒng)使用了可插入認(rèn)證模塊（PAM

33、）進(jìn)行認(rèn)證登錄，PAM要求超級(jí)用戶(hù)只能在指定的終端上進(jìn)行訪(fǎng)問(wèn)，這種指定的終端是可以保證安全的。2root賬戶(hù)的安全root用戶(hù)賬戶(hù)也是有密碼的，這個(gè)密碼可以對(duì)那些通過(guò)控制臺(tái)訪(fǎng)問(wèn)系統(tǒng)的用戶(hù)進(jìn)行控制，即使是使用su命令的用戶(hù)也不例外。因此10）應(yīng)該填入：root11)【解析】可信平臺(tái)模塊是一種使微控制器能控存儲(chǔ)安全數(shù)據(jù)的規(guī)格，也是這種規(guī)格的應(yīng)用。該規(guī)格由可信計(jì)算組來(lái)制定。 國(guó)內(nèi)目前研究的TCM（trusted cryptography module,可信密碼模塊），與之對(duì)應(yīng)。因此應(yīng)該填入：密碼。12)【解析】因?yàn)槭聞?wù)按照要么全部，要么全不方式被執(zhí)行，事務(wù)的邊界（開(kāi)始點(diǎn)和結(jié)束點(diǎn)）必須清晰。邊界使DB

34、MS作為一個(gè)原子單元來(lái)執(zhí)行這些語(yǔ)句。事務(wù)隱式開(kāi)始于第一個(gè)可執(zhí)行的SQL語(yǔ)句或顯式使用 BEGIN TRANSACTION語(yǔ)句。事務(wù)顯式結(jié)束于COMMIT或ROLLBACK語(yǔ)句（無(wú)法隱式結(jié)束），且無(wú)法在提交之后回滾事務(wù)。因此12）應(yīng)該填入：BEGIN TRANSACTION。13)【解析】ESP（Encapsulating Security Payloads），封裝安全載荷協(xié)議，IPsec 所支持的兩類(lèi)協(xié)議中的一種。該協(xié)議能夠在數(shù)據(jù)的傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行完整性度量，來(lái)源認(rèn)證以及加密，也可防止回放攻擊。  傳輸模式，與隧道模式同為IPsec工作的兩

35、種方式。因此13）應(yīng)該填入：隧道。14)【解析】PKI（Public Key Infrastructure ） 即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。PKI是一系列基于公鑰密碼學(xué)之上，用來(lái)創(chuàng)建、管理、存儲(chǔ)、分布和作廢數(shù)字證書(shū)的一系列軟件、硬件、人員、策略和過(guò)程的集合。因此14）應(yīng)該填入：數(shù)字證書(shū)。15)【解析】層次信任模型：層次信任模型是實(shí)現(xiàn)最簡(jiǎn)單的模型，使用也最為廣泛。建立層次信任模型的基礎(chǔ)是所有的信任用戶(hù)都有一個(gè)可信任根。所有的信任關(guān)系都基于根來(lái)產(chǎn)生。層次信任模型是一

36、種雙向信任的模型。層次信任模型適用于孤立的、層狀的企業(yè)，對(duì)于有組織邊界交叉的企業(yè)，要應(yīng)用這種模型是很困難的。另外，在層次信任模型的內(nèi)部必須保持相同的管理策略。層次信任模型主要使用在以下三種環(huán)境： （1）嚴(yán)格的層次結(jié)構(gòu)； （2）分層管理的PKI商務(wù)環(huán)境； （3）PEM（Privacy-Enhanced Mail，保密性增強(qiáng)郵件）環(huán)境。 因此15）應(yīng)該填入：層次16)【解析】NIDS是Network Intrusion Detection System的縮寫(xiě)，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要用于檢測(cè)Hacker或Cracker通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為。NIDS的功能：

37、網(wǎng)管人員對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，以便隨時(shí)發(fā)現(xiàn)可能的入侵行為，并進(jìn)行具體分析，及時(shí)、主動(dòng)地進(jìn)行干預(yù)，從而取得防患于未然的效果。其主要包括時(shí)間探測(cè)器和控制臺(tái)兩部分。因此16）應(yīng)該填入：探測(cè)器17)【解析】木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶(hù)端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分。因此17）應(yīng)該填入：客戶(hù)。18)【解析】污點(diǎn)傳播分析技術(shù)：通過(guò)分析代碼中輸入數(shù)據(jù)對(duì)程序執(zhí)行路徑的影響，以發(fā)現(xiàn)不可信的輸入數(shù)據(jù)導(dǎo)致的程序執(zhí)行異常。因此18）應(yīng)該填入：污點(diǎn)。19)【解析】惡意程序通常是指帶有攻擊意圖所編寫(xiě)的一段程序，通過(guò)破壞軟件進(jìn)程來(lái)實(shí)施控制 。這些威脅可以分成兩個(gè)類(lèi)別

38、：需要宿主程序的威脅和彼此獨(dú)立的威脅。因此19）應(yīng)該填入：惡意程序20)【解析】加殼的全稱(chēng)應(yīng)該是可執(zhí)行程序資源壓縮，是保護(hù)文件的常用手段。 加殼過(guò)的程序可以直接運(yùn)行，但是不能查看源代碼.要經(jīng)過(guò)脫殼才可以查看源代碼。加殼工具通常分為壓縮殼和加密殼兩類(lèi)。壓縮殼的特點(diǎn)是減小軟件體積大小，加密保護(hù)不是重點(diǎn)。因此20）應(yīng)該填入：壓縮。21)【解析】0day漏洞，是已經(jīng)被發(fā)現(xiàn)(有可能未被公開(kāi)), 只有黑客或者某些組織內(nèi)部使用，而官方還沒(méi)有相關(guān)補(bǔ)丁的漏洞 （因?yàn)楣俜竭€不知道該漏洞）。因此應(yīng)該填入：0day。22)【解析】EIP寄存器里存儲(chǔ)的是CPU下次要執(zhí)行的指令的地址，也就是函數(shù)調(diào)用完返回的地址；EBP寄

39、存器里存儲(chǔ)的是是棧的棧底指針，通常叫棧基址；ESP寄存器里存儲(chǔ)的是在調(diào)用函數(shù)fun()之后，棧的棧頂。因此22）應(yīng)該填入：返回23)【解析】信息安全管理的主要內(nèi)容，包括信息安全管理體系、信息安全風(fēng)險(xiǎn)評(píng)估和信息安全管理措施三個(gè)部分。因此23）應(yīng)該填入：管理體系。24)【解析】風(fēng)險(xiǎn)評(píng)估（Risk Assessment） 是指，在風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒(méi)有結(jié)束），該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。分為自評(píng)估和檢查評(píng)估。因此24）應(yīng)該填入：自評(píng)估。25)【解析】對(duì)信息資產(chǎn)進(jìn)行分類(lèi)的目的是便于在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度。分類(lèi)數(shù)據(jù)的

40、管理包括這些數(shù)據(jù)的存儲(chǔ)、分布移植及銷(xiāo)毀。因此25）應(yīng)該填入：銷(xiāo)毀26)【解析】信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)的分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制定有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施以最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。風(fēng)險(xiǎn)評(píng)估的對(duì)象是資產(chǎn)。因此26）應(yīng)該填入：資產(chǎn)。27)【解析】CC將評(píng)估過(guò)程劃分為功能和保證兩部分，評(píng)估等級(jí)分為EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七個(gè)等級(jí)。每一級(jí)均需評(píng)估7個(gè)功能類(lèi)，分別是配置管理

41、、分發(fā)和操作、開(kāi)發(fā)過(guò)程、指導(dǎo)文獻(xiàn)、生命期的技術(shù)支持、測(cè)試和脆弱性評(píng)估。因此27）應(yīng)該填入：脆弱性28)【解析】國(guó)家秘密的保密期限，除有特殊規(guī)定外，絕密級(jí)事項(xiàng)不超過(guò)三十年，機(jī)密級(jí)事項(xiàng)不超過(guò)二十年，秘密級(jí)事項(xiàng)不超過(guò)十年。保密期限在一年及一年以上的，以年計(jì)；保密期限在一年以?xún)?nèi)的，以月計(jì)。因此28）應(yīng)該填入：3029)【解析】信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則初稿于2005年5月完成，其中提出了定級(jí)的四個(gè)要素：信息系統(tǒng)所屬類(lèi)型、業(yè)務(wù)數(shù)據(jù)類(lèi)型、信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)自動(dòng)化處理程度，通過(guò)信息系統(tǒng)所屬類(lèi)型和業(yè)務(wù)數(shù)據(jù)類(lèi)型可以確定業(yè)務(wù)數(shù)據(jù)安全性等級(jí)，通過(guò)信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)自動(dòng)化處理程度及調(diào)節(jié)因子，可以確定業(yè)務(wù)服務(wù)

42、連續(xù)性等級(jí)。因此29）應(yīng)該填入：業(yè)務(wù)數(shù)據(jù)。30)【解析】中華人民共和國(guó)保守國(guó)家秘密法第十五條 國(guó)家秘密的保密期限，應(yīng)當(dāng)根據(jù)事項(xiàng)的性質(zhì)和特點(diǎn)，按照維護(hù)國(guó)家安全和利益的需要，限定在必要的期限內(nèi)；不能確定期限的，應(yīng)當(dāng)確定解密的條件。國(guó)家秘密的保密期限，除另有規(guī)定外，絕密級(jí)不超過(guò)三十年，機(jī)密級(jí)不超過(guò)二十年，秘密級(jí)不超過(guò)十年。機(jī)關(guān)、單位應(yīng)當(dāng)根據(jù)工作需要，確定具體的保密期限、解密時(shí)間或者解密條件。機(jī)關(guān)、單位對(duì)在決定和處理有關(guān)事項(xiàng)工作過(guò)程中確定需要保密的事項(xiàng)，根據(jù)工作需要決定公開(kāi)的，正式公布時(shí)即視為解密。因此30）應(yīng)該填入：解密條件 三、應(yīng)用題1)【解題思路】本題考點(diǎn)為MD5、AES、Diffie-Hell

43、man算法的特性以及算法的具體實(shí)現(xiàn)過(guò)程。MD5的典型應(yīng)用是對(duì)一段信息產(chǎn)生信息摘要，以防止被篡改。AES 算法基于排列和置換運(yùn)算。排列是對(duì)數(shù)據(jù)重新進(jìn)行安排，置換是將一個(gè)數(shù)據(jù)單元替換為另一個(gè)。AES的基本要求是，采用對(duì)稱(chēng)分組密碼體制，密鑰長(zhǎng)度的最少支持為128、192、256，分組長(zhǎng)度128位，算法應(yīng)易于各種硬件和軟件實(shí)現(xiàn)。 Diffie-Hellman:一種確保共享KEY安全穿越不安全網(wǎng)絡(luò)的方法，它是OAKLEY的一個(gè)組成部分?！緟⒖即鸢浮浚?） 為了安全存儲(chǔ)用戶(hù)的口令，需要對(duì)用戶(hù)口令進(jìn)行加密，采用MD5算法。因此【1】處應(yīng)該填入：MD5（2） MD5算法對(duì)信息進(jìn)行摘要，防止被篡改。因此【2】處

44、應(yīng)該填入：MD5（3） Diffie-Hellman:一種確保共享KEY安全穿越不安全網(wǎng)絡(luò)的方法。因此【3】處應(yīng)該填入：Diffie-Hellman。（4） Diffie-Hellman密鑰交換算法1、有兩個(gè)全局公開(kāi)的參數(shù)，一個(gè)素?cái)?shù)P和一個(gè)整數(shù)g，g是P的一個(gè)原根。 2、假設(shè)用戶(hù)A和B希望交換一個(gè)密鑰，用戶(hù)A選擇一個(gè)作為私有密鑰的隨機(jī)數(shù)a<P，并計(jì)算公開(kāi)密鑰Ya=ga mod p。A對(duì)XA的值保密存放而使YA能被B公開(kāi)獲得。類(lèi)似地，用戶(hù)B選擇一個(gè)私有的隨機(jī)數(shù)b<P，并計(jì)算公開(kāi)密鑰Yb=gb mod p 。B對(duì)XB的值保密存放而使YB

45、能被A公開(kāi)獲得。 3、用戶(hù)產(chǎn)生共享秘密密鑰的計(jì)算方式是K=g(a*b) mod p。因此【4】應(yīng)填入：ga【5】應(yīng)填入：gb【6】應(yīng)填入：g(a*b)（5）用MD5算法對(duì)獲得消息的摘要，然后和原摘要比較。因此【7】應(yīng)填入：MD5(c)。2)【解題思路】本題主要考察隊(duì)SQL語(yǔ)句的熟悉了解程度?！緟⒖即鸢浮浚?） 【解析】創(chuàng)建角色語(yǔ)句CREATE ROLE，因此【8】應(yīng)填入：CREATE ROLE（2） 【解析】為用戶(hù)分配角色權(quán)限指令GRANT +權(quán)限 to 某用戶(hù)；因此【9】應(yīng)填入：GRANT（3） 【解析】減少權(quán)限指令REVOKE+權(quán)限名；因此【10】應(yīng)填入：RE

46、VOKE SELECT（4） 【解析】和（2）同；【11】應(yīng)填入：GRANT R1（5） 【解析】審計(jì)指令A(yù)UDIT；因此【12】應(yīng)填入AUDIT3）【解題思路】本題主要考察TCP半連接原理和三次握手協(xié)議。【參考答案】第一次握手：建立連接時(shí)，客戶(hù)端發(fā)送syn包(syn=j)到服務(wù)器，并進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn)；第二次握手：服務(wù)器收到syn包，必須確認(rèn)客戶(hù)的syn（ack=j+1），同時(shí)自己也發(fā)送一個(gè)SYN包（syn=k），即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài)；第三次握手：客戶(hù)端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1)，此包發(fā)送完

47、畢，客戶(hù)端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。完成三次握手，客戶(hù)端與服務(wù)器開(kāi)始傳送數(shù)據(jù)，如果端口掃描沒(méi)有完成一個(gè)完整的TCP連接，在掃描主機(jī)和目標(biāo)主機(jī)的一指定端口建立連接時(shí)候只完成了前兩次握手，在第三步時(shí)，掃描主機(jī)中斷了本次連接，使連接沒(méi)有完全建立起來(lái)，這樣的端口掃描稱(chēng)為半連接掃描，也稱(chēng)為間接掃描。因此各空填寫(xiě)如下：【13】應(yīng)填入：syn；【14】應(yīng)填入：1；【15】應(yīng)填入：syn；【16】應(yīng)填入：ack【17】應(yīng)填入：rst；【18】應(yīng)填入：ack；【19】應(yīng)填入：syn；【20】應(yīng)填入：1；【21】應(yīng)填入：rst【22】應(yīng)填入：ack4）【解題思路】本題主要考察程序運(yùn)行過(guò)

48、程中函數(shù)調(diào)用及棧操作?！緟⒖即鸢浮渴紫?，主調(diào)函數(shù)把EAX，ECX和EDX壓棧。這是一個(gè)可選的步驟，只在這三個(gè)寄存器內(nèi)容需要保留的時(shí)候執(zhí)行此步驟。接著把傳遞給被調(diào)函數(shù)的參數(shù)一一進(jìn)棧，最后的參數(shù)最先進(jìn)棧。最后，主調(diào)函數(shù)用call指令調(diào)用子函數(shù)；當(dāng)call指令執(zhí)行的時(shí)候，EIP指令指針寄存器的內(nèi)容被壓入棧中。因?yàn)镋IP寄存器是指向主調(diào)函數(shù)中的下一條指令，所以現(xiàn)在返回地址就在棧頂了。在call指令執(zhí)行完之后，下一個(gè)執(zhí)行周期將從被調(diào)函數(shù)的標(biāo)記處開(kāi)始。EBP寄存器現(xiàn)在正指向主調(diào)函數(shù)的棧幀中的某個(gè)位置，這個(gè)值必須被保留，因此，EBP進(jìn)棧。然后ESP的內(nèi)容賦值給了EBP。這使得函數(shù)的參數(shù)可以通過(guò)對(duì)EBP附加一

49、個(gè)偏移量得到，而棧寄存器ESP便可以空出來(lái)做其他事情。因此【23】應(yīng)填入：參數(shù)；【24】應(yīng)填入：返回地址；【25】應(yīng)填入：代碼區(qū)；【26】應(yīng)填入：基址指針；【27】應(yīng)填入：esp第二套1) B【解析】信息安全的五個(gè)基本屬性為：可用性（availability）、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可抵賴(lài)性(non-repudiation)。 而安全性，不可見(jiàn)性和隱蔽性不屬于信息安全的五個(gè)基本屬性。故選擇B選項(xiàng)。2) D【解析】信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露 （比如商業(yè)科研項(xiàng)目數(shù)據(jù)，對(duì)手

50、企業(yè)發(fā)展規(guī)劃等）、防范青少年對(duì)不良信息的瀏覽 （比如淫穢，色情，暴力等）、個(gè)人信息的泄露 （比如銀行卡號(hào)，身份證號(hào)等）等，因此D選項(xiàng)不正確。故選擇D選項(xiàng)。3) B【解析】CCB（密碼塊鏈接），每個(gè)平文塊先與前一個(gè)密文塊進(jìn)行異或后，再進(jìn)行加密，沒(méi)有分組工作模式。ECB（電碼本）模式是分組密碼的一種最基本的工作模式。在該模式下，待處理信息被分為大小合適的分組，然后分別對(duì)每一分組獨(dú)立進(jìn)行加密或解密處理。CFB（密文反饋），其需要初始化向量和密鑰兩個(gè)內(nèi)容，首先先對(duì)密鑰對(duì)初始向量進(jìn)行加密，得到結(jié)果(分組加密后)與明文進(jìn)行移位異或運(yùn)算后得到密文，然后前一次的密文充當(dāng)初始向量再對(duì)后續(xù)明文進(jìn)行加密。OFB（輸

51、出反饋），需要初始化向量和密鑰，首先運(yùn)用密鑰對(duì)初始化向量進(jìn)行加密，對(duì)下個(gè)明文塊的加密。故選擇B選項(xiàng)。4) B【解析】數(shù)據(jù)加密又稱(chēng)密碼學(xué)，指通過(guò)加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪模饷軇t是通過(guò)解密算法和解密密鑰將密文恢復(fù)為明文，因此不屬于哈希函數(shù)的應(yīng)用。消息認(rèn)證、數(shù)字簽名和口令保護(hù)均屬于哈希函數(shù)的應(yīng)用。故選擇B選項(xiàng)。5) A【解析】目前的認(rèn)證技術(shù)有對(duì)用戶(hù)的認(rèn)證和對(duì)消息的認(rèn)證兩種方式。用戶(hù)認(rèn)證用于鑒別用戶(hù)的身份是否是合法用戶(hù)；消息認(rèn)證就是驗(yàn)證所收到的消息確實(shí)是來(lái)自真正的發(fā)送方且未被修改的消息，也可以驗(yàn)證消息的順序和及時(shí)性。數(shù)字簽名（又稱(chēng)公鑰數(shù)字簽名、電子簽章）是一種類(lèi)似寫(xiě)在紙上的普通的物理簽名，

52、但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。因此，數(shù)字簽名不能用于產(chǎn)生認(rèn)證碼。故選擇A選項(xiàng)。6) D【解析】Bell-Lapudula模型基于強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)，以敏感度來(lái)劃分資源的安全級(jí)別。Biba訪(fǎng)問(wèn)控制模型對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證，類(lèi)似于BLP保密模型，也使用強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)。Clark-Wilson模型是一種廣泛應(yīng)用于商務(wù)領(lǐng)域的信息安全模型,能夠較好滿(mǎn)足企業(yè)信息系統(tǒng)所追求的完整性安全需求,它的完整性保證在早期是通過(guò)遵循一些靜態(tài)的授權(quán)約束來(lái)實(shí)現(xiàn)的。ChineseWall安全策略的基礎(chǔ)是客戶(hù)訪(fǎng)問(wèn)的信息不會(huì)與目前他們可支配的信息產(chǎn)生沖突。用戶(hù)必須選擇一個(gè)他可以訪(fǎng)問(wèn)的區(qū)域，必

53、須自動(dòng)拒絕來(lái)自其它與用戶(hù)的所選區(qū)域的利益沖突區(qū)域的訪(fǎng)問(wèn)，同時(shí)包括了強(qiáng)制訪(fǎng)問(wèn)控制和自主訪(fǎng)問(wèn)控制的屬性，屬混合策略模型。故選擇D選項(xiàng)。7) B【解析】自主訪(fǎng)問(wèn)控制是這樣的一種控制方式，由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪(fǎng)問(wèn)權(quán)或部分訪(fǎng)問(wèn)權(quán)授予其他主體，這種控制方式是自主的。訪(fǎng)問(wèn)控制矩陣的行，每個(gè)主體都附加一個(gè)該主體可訪(fǎng)問(wèn)的客體的明細(xì)表，所以B選項(xiàng)錯(cuò)誤。故選擇B選項(xiàng)。8) D【解析】RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒(méi)有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個(gè)備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳的時(shí)候

54、，可以采用輪詢(xún)的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。但是沒(méi)有很好的處理丟包問(wèn)題。故選擇選項(xiàng)。9) C【解析】Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為客戶(hù)機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴(lài)于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。 Kerberos 作為一種可信任的第三方認(rèn)證服務(wù)，是通過(guò)傳統(tǒng)的密碼技術(shù)（傳統(tǒng)密碼技術(shù)術(shù)語(yǔ)對(duì)稱(chēng)加密機(jī)制）執(zhí)行認(rèn)證服務(wù)的。故選擇選項(xiàng)。10) D【解析】文件系

55、統(tǒng)在操作系統(tǒng)存在的時(shí)候就已經(jīng)存在了，操作系統(tǒng)程序自身也是保存在文件系統(tǒng)中，因此在安裝系統(tǒng)之前總是會(huì)先將存儲(chǔ)盤(pán)格式化成某種文件系統(tǒng)格式。故選擇D選項(xiàng)。11) A【解析】Linux系統(tǒng)啟動(dòng)后運(yùn)行的第一個(gè)進(jìn)程是初始化的進(jìn)程，即init進(jìn)程； 而boot是在Linux啟動(dòng)之前運(yùn)行的進(jìn)程，sysini進(jìn)程和login進(jìn)程是后續(xù)部分的進(jìn)程。故選擇選項(xiàng)。12) A【解析】可執(zhí)行文件為windows系統(tǒng)的文件類(lèi)型，其他均是Unix/Linux文件類(lèi)型。故選擇A選項(xiàng)。13) A【解析】UnixLinux超級(jí)用戶(hù)賬戶(hù)可以有多個(gè)，在Unix系統(tǒng)中，只要將用戶(hù)的UID和GID設(shè)置為0就可以將其變成超級(jí)用戶(hù)，但并不是所

56、有的超級(jí)用戶(hù)都能很容易的登錄到Unix系統(tǒng)中，這是因?yàn)?，Unix系統(tǒng)使用了可插入認(rèn)證模塊（PAM）進(jìn)行認(rèn)證登錄，PAM要求超級(jí)用戶(hù)只能在指定的終端上進(jìn)行訪(fǎng)問(wèn)，這種指定的終端是可以保證安全的。故選擇A選項(xiàng)。14) B【解析】NET命令是功能強(qiáng)大的以命令行方式執(zhí)行的工具。它包含了管理網(wǎng)絡(luò)環(huán)境、服務(wù)、用戶(hù)、登陸等；net start ：?jiǎn)?dòng)服務(wù)，或顯示已啟動(dòng)服務(wù)的列表；格式net start service；NET STOP 作 用：停止 Windows NT 網(wǎng)絡(luò)服務(wù)。 故選擇B選項(xiàng)。15) A【解析】 刪除表的命令是DROP。刪除記錄的命令：delete；建立視圖的命令CREATE view;更

57、新記錄的命令update；故選擇A選項(xiàng)。16) D【解析】在數(shù)據(jù)庫(kù)中，約束、規(guī)則、默認(rèn)值都可以保證數(shù)據(jù)完整性；視圖是數(shù)據(jù)庫(kù)中數(shù)據(jù)的一個(gè)映射，根據(jù)用戶(hù)權(quán)限選擇性的給其觀(guān)看范圍，不能保證數(shù)據(jù)完整性。故選擇選項(xiàng)。17) C【解析】AH協(xié)議用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客階段數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計(jì)算效率，AH沒(méi)有采用數(shù)字簽名而是采用了安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)。故選擇C選項(xiàng)。18) C【解析】IPv4中TCP/IP協(xié)議棧，沒(méi)有口令保護(hù),遠(yuǎn)程用戶(hù)的登錄傳送的帳號(hào)和密碼都是明文,這是Telnet致命的弱點(diǎn);認(rèn)證過(guò)程簡(jiǎn)單,只是驗(yàn)證連接者的帳戶(hù)和密碼;傳送的

58、數(shù)據(jù)沒(méi)有加密等。IPv4中TCP/IP協(xié)議棧提供了端到端可靠傳輸機(jī)制。故選擇C選項(xiàng)。19)B【解析】SMTP：簡(jiǎn)單郵件傳輸協(xié)議,它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來(lái)控制信件的中轉(zhuǎn)方式。SET：安全電子交易協(xié)議；POP3：郵局協(xié)議的第3個(gè)版本，它是規(guī)定個(gè)人計(jì)算機(jī)如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進(jìn)行收發(fā)郵件的協(xié)議。S/MIME為多用途網(wǎng)際郵件擴(kuò)充協(xié)議，在安全方面的功能又進(jìn)行了擴(kuò)展，它可以把MIME實(shí)體(比如數(shù)字簽名和加密信息等)封裝成安全對(duì)象。 故選擇B選項(xiàng)。20) D【解析】 NIDS是Network Intrusion Detection System的縮寫(xiě)，即網(wǎng)絡(luò)入侵

59、檢測(cè)系統(tǒng)，主要用于檢測(cè)Hacker或Cracker通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為。NIDS提供的功能主要有數(shù)據(jù)的收集，如數(shù)據(jù)包嗅探；事件的響應(yīng)，如利用特征匹配或異常識(shí)別技術(shù)檢測(cè)攻擊，并產(chǎn)生響應(yīng)；事件的分析，事件數(shù)據(jù)存儲(chǔ)。所以其探測(cè)器要連接在交換機(jī)上。故選擇D選項(xiàng)。21)B【解析】私有IP地址范圍：A: 55 即/8B:55即/12C:55 即/16故選擇B選項(xiàng)。22) C【解析】當(dāng)客戶(hù)端想與服務(wù)端建立連接時(shí)，它首先登錄到FTP服務(wù)器，寫(xiě)主頁(yè)空間上面的一個(gè)文件，并打開(kāi)端口監(jiān)聽(tīng)，等待服務(wù)端的連接，服務(wù)端定期用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶(hù)端讓自己開(kāi)始連接時(shí)，就主動(dòng)連接，如此就可完成連接工作，因此，客戶(hù)端必須有公網(wǎng)IP，且木馬的服務(wù)端程序可