[计算机类试卷]软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）模拟试卷1及答案与解析.doc

资源描述

1、软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）模拟试卷 1及答案与解析 1 应用系统运行安全与保密的层次按照粒度从粗到细排序为 ( )。（ A）系统级安全、资源访问安全、数据域安全、功能性安全（ B）系统级安全、资源访问安全、功能性安全、数据域安全（ C）资源访问安全、系统级安全、数据域安全、功能性安全（ D）资源访问安全、系统级安全、功能性安全、数据域安全 2 ( )属于保证数据的完整性。（ A）保证传送的数据信息不被第三方监视和窃取（ B）保证数据信息在传输过程中不被篡改（ C）保证电子商务交易各方身份的真实性（ D）保证发送方不能抵赖曾经发送过某数据信息

2、 3 WindowsNT和 Windows2000系统能设置为在若干次无效登录后锁定账号，此技术可以防止 ( )。（ A）暴力攻击（ B）木马病毒（ C）缓存溢出攻击（ D） IP欺骗 4 数据安全的目的是实现数据的 ( )。（ A）唯一性、不可替代性、机密性（ B）机密性、完整性、不可否认性（ C）完整性、确定性、约束性（ D）不可否认性、备份、效率 5 小张的 U盘中存储有企业的核心数据。针对该 U盘，以下有关信息安全风险评估的描述中，不正确的是 ( )。（ A）风险评估首先要确定资产的重要性，由于 U盘中存储有核心数据，安全性要求高，因此该 U盘重要性赋值就高（ B

3、）如果公司制定了 U盘的安全使用制度，小张的 U盘就不具有脆弱性（ C）如果小张的计算机在接入 U盘时没断网线，木马病毒就构成对该 U盘的威胁（ D）风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度 6 系统运行安全的关键是管理，下列关于日常安全管理的做法，不正确的是( )。（ A）信息化部门领导安全管理组织，一定是每年进行一次安全检查（ B）系统开发人员和系统操作人员应职责分离（ C）用户权限设定应遵循 “最小特权 ”原则（ D）在数据转储、维护时要有专职安全人员进行监督 7 某单位在制定信息安全策略时采用的下述做法中，正确的是 ( )。（ A）该单位将安全目标定位为

4、“系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密 ” （ B）该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级（ C）该单位的安全策略由单位授权完成制定，并经过单位的全员讨论修订（ D）该单位为减小未经授权的修改、滥用信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并 8 在 Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用 ( )作为信息安全系统架构。（ A） S2-MIS （ B） MIS+S （ C） S-MIS （ D） PMIS 9 某商业银行在 A地新增一家机构，根据计算机信息安全保护

5、等级划分准则，其新成立机构的信息安全保护等级应属于 ( )。（ A）用户自主保护级（ B）系统审计保护级（ C）结构化保护级（ D）安全标记保护级 10 以下关于防火墙优点的叙述，不恰当的是 ( )。（ A）防火墙能有效记录 Intemet上的活动（ B）防火墙能强化安全策略（ C）防火墙能防止从 LAN内部攻击（ D）防火墙能限制暴露用户点 11 RSA是一种公开密钥算法，所谓公开密钥是指 ( )。（ A）加密密钥是公开的（ B）解密密钥是公开的（ C）加密密钥和解密密钥都是公开的（ D）加密密钥和解密密钥都是相同的 12 很多银行网站在用户输入密码时要求使用软键盘，

6、这是为了 ( )。（ A）防止密码在传输过程中被窃取（ B）保证密码能够加密输入（ C）验证用户密码的输入过程（ D）防止木马记录通过键盘输入的密码 13 在密码学中，单向 Hash函数具有 ( )所描述的特性。（ A）对输入的长度不固定的字符串，返回一串不同长度的字符串（ B）不仅可以用于产生信息摘要，还可以用于加密短信息（ C）在某一特定时间内，无法查找经 Hash操作后生成特定 Hash值的原报文（ D）不能运用 Hash解决验证签名、用户身份认证和不可抵赖性问题 14 x 509数字证书格式中包含的元素有：证书版本；证书序列号；签名算法标识；证书有效期；证书发

7、行商名称；证书主体名；主体公钥信息； ( )。（ A）主体的解密密钥（ B）报文摘要（ C）密钥交换协议（ D）发布者的数字签名 15 下列关于 PGP(PrettyGoodPrivacy)的说法中不正确的是 ( )。（ A） PGP可用于电子邮件和文件存储（ B） PGP可选用 MD5和 SHA两种算法（ C） PGP不可使用 IDEA加密算法（ D） PGP采用了 ZIP数据压缩算法 16 网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是 ( )。（ A）网络安全的 “木桶原则 ”强调对信息均衡、全面地进

8、行保护（ B）良好的等级划分，是实现网络安全的保障（ C）网络安全系统设计应独立进行，不需要考虑网络结构（ D）网络安全系统应该以不影响系统正常运行为前提 16 ISO7498-2标准涉及的五种安全服务是 (1)。可信赖计算机系统评价准则 (TCSEC)把计算机系统的安全性分为四大类七个等级，其中的 C2级是指 (2)。 17 (1) （ A）身份认证、访问控制、数据加密、数据完整、安全审计（ B）身份认证、访问控制、数据加密、数据完整、防止否认（ C）身份认证、安全管理、数据加密是、数据完整、防止否认（ D）身份认证、访问控制、数据加密、安全标记、防止否认 18 (2) （ A）

9、安全标记保护（ B）自主式安全保护（ C）结构化安全策略模型（ D）受控的访问保护 19 关于网络安全，以下说法中正确的是 ( )。（ A）使用无线传输可以防御网络监听（ B）木马是一种蠕虫病毒（ C）使用防火墙可以有效地防御病毒（ D）冲击波病毒利用 Windows的 RPC漏洞进行传播 20 数字信封 ( )。（ A）使用非对称密钥密码算法加密邮件正文（ B）使用 RSA算法对邮件正文生成摘要（ C）使用收件人的公钥加密会话密钥（ D）使用发件人的私钥加密会话密钥 21 PKI CA的应用范围不包括 ( )。（ A）电子商务（ B）电子政务（ C）现实银行交易

10、（ D）网上证券 22 数字时间戳技术是 ( )技术一种变种的应用。（ A）数字签名（ B）数字信封（ C）电子商务（ D）私钥加密 23 我国实行密码分级管理制度，其中 ( )适用范围为国内企业和事业单位。（ A）商用密码（ B）普用密码（ C）绝密密码（ D）军用密码 24 安全策略的核心内容是：定方案、定岗、定位、定员、定目标、定制度和定工作流程。系统安全策略首先要 ( )。（ A）定岗（ B）定制度（ C）定方案（ D）定工作流程 25 入侵检测系统如何对所收集的信息进行分析是该系统的一个重要特征。目前主要有两类入侵检测技术： ( )。（ A）误用检测和代

11、理检测（ B）异常检测和特征检测（ C）线路检测和 IP检测（ D）物理检测和应用检测 26 PMI是指特权管理基础设施 (PrivilegeManageInfrastrcture)。对于 PMI，认证的作用不是对实体身份进行鉴别，而是描述可以做什么，也就是一个实体为了完成某些任务需要具有的权限。 PMI中提供了 ( )来实现对实体的授权。（ A） CA （ B） AC （ C） OA （ D） BA 27 甲向乙发送其数字签名，要验证该签名，乙可使用 ( )对该签名进行解密。（ A）甲的私钥（ B）甲的公钥（ C）乙的私钥（ D）乙的公钥 28 关于入侵检测系统 (IDS)，

12、下面说法不正确的是 ( )。（ A） IDS的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应（ B） IDS需要配合安全审计系统才能应用，后者为前者提供审计分析资料（ C） IDS主要用于检测来自外部的入侵行为（ D） IDS 用于发现合法用户是否滥用特权 29 我国强制性国家标准计算机信息安全保护等级划分准则将计算机信息系统分为 5个安全保护等级，其中适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门的信息系统适用 ( )。（ A）安全标记保护级（ B）结构化保护级（ C）访问验证保护级（ D）系统审计保护级 30 在安全审计系统中，审计 Agent

13、(代理 )是直接与被审计网络和系统连接的部件。审计 Agent主要可以分为网络监听型 Agent、 ( )、主动信息获取型 Agent等。（ A）流量检测型 Agent （ B）文件共享型 Agent （ C）入侵检测型 Agent （ D）系统嵌入型 Agent 软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）模拟试卷 1答案与解析 1 【正确答案】 B 【试题解析】应用系统运行中涉及的安全与保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。这四个层次的安全，按粒度从粗到细的排序是：系统级安全、资源访问安全、功能性安全、数据域安全。【知识模块】信息安全 2

14、【正确答案】 B 【试题解析】完整性是指 “保护信息的正确和完整的特性。 ”简单地说，就是确保接收到的数据就是发送的数据，数据不应该被改变。选项 A采用数据加密的方式来实现数据的保密性；选项 C是通过身份认证来确保交易各方的身份是真实的；选项 D可采用数据签名的方式来实现数据的不可抵赖性；只有选项 B描述的是完整性的概念。【知识模块】信息安全 3 【正确答案】 A 【试题解析】暴力攻击法即穷举法，或称为暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出正确的密码为止。例如一个已知是 4位并且全部由数字组成的密码，其可能共有 10000种组合，因此最多尝试 1000

15、0次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码，问题只在于如何缩短破译时间。而把系统设置为在若干次无效登录后锁定账号，就让暴力攻击者无法在较短时间内把所有可能的密码全部尝试一遍。【知识模块】信息安全 4 【正确答案】 B 【试题解析】数据安全的目的是实现数据的机密性、完整性、不可否认性。机密性，是指个人或团体的信息不为其他不应获得者获得。在计算机中，许多软件 (包括邮件软件、网络浏览器等 )都有保密性相关的设定，用以维护用户资讯的保密性，另外间谍档案或黑客有可能会造成保密性的问题。完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被

16、迅速发现。不可否认性是指在由收发双方所组成的系统中，确保任何一方无法抵赖自己曾经做过的操作，从而防止中途欺骗。【知识模块】信息安全 5 【正确答案】 B 【试题解析】脆弱性是指系统内部的薄弱点，脆弱性是客观存在的。例如小张的U盘可能会出现电路故障导致重要数据丢失，所以即使公司制定了 U盘的安全使用制度，小张的 U盘仍然具有脆弱性。【知识模块】信息安全 6 【正确答案】 A 【试题解析】本题考察安全管理相关知识。选项 A的描述不正确，应根据实际情况来制定安全检查的频度。【知识模块】信息安全 7 【正确答案】 C 【试题解析】计算机信息应用系统的 “安全策略 ”就是指：人们为保护

17、因为使用计算机信息应用系统可能导致的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。一个单位的安全策略决不能照搬别人的，一定是对本单位的计算机信息应用系统的安全风险 (安全威胁 )进行有效的识别、评估后，为如何避免单位的资产的损失，所采取的一切包括各种措施、手段，以及建立的各种管理制度、法规等。单位的安全策略由谁来定，由谁来监督执行，对违反规定的人和事，由谁来负责处理。由于信息系统安全的事情涉及单位 (企业、党政机关 )能否正常运营的大事，所以必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定，并经过单位的全员讨论修订。现代信息系统是一个非线性的

18、智能化人机结合的复杂大系统。由于人的能力的局限性，即便有再好的愿望、出于多美好的出发点，信息系统总会存在漏洞，使用和管理系统的人也要犯错误。如果把信息安全目标定位于： “系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密 ”，那是永远不可能实现的 !因此，安全是相对的，是一个风险大小的问题。它是一个动态的过程。我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围内。这就是风险度的观点。职责分离是降低意外或故意滥用系统风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会，对特定职责或责任领域的管理和执行功能实施分离。有条件的组织或机构，应执行专职专责。如职责

19、分离比较困难，应附加其他的控制措施，如行为监视、审计跟踪和管理监督。综合以上信息安全策略的基本概念可知，应选择 C选项。【知识模块】信息安全 8 【正确答案】 C 【试题解析】在实施信息系统的安全保障系统时，应严格区分信息安全保障系统的三种不同架构： MIS+S、 S-MIS和 S2-MIS。通常称 MIS+S(Management Information System+Security)系统为 “初级信息安全保障系统 ”或 “基本信息安全保障系统 ”。顾名思义，这样的系统是初等的、简单的信息安全保障系统。这种系统的特点有：应用基本不变、硬件和系统软件通用、安全设备基本不带密码。

20、通常称 S-MIS(Security-Management Information System)系统为 “标准信息安全保障系统 ”。顾名思义，这样的系统是建立在全世界都公认的 PKI CA标准的信息安全保障系统。这种系统的特点有：硬件和系统软件通用、 PKI CA安全保障系统必须带密码、对应用系统必须进行根本改变。通常称 S2-MIS(Super Security-Management Information System)系统为 “超安全的信息安全保障系统 ”。顾名思义，这样的系统是建立在 “绝对的 ”安全的信息上的安全保障系统。它不仅使用全世界都公认的 PKI CA标准，同时硬件和

21、系统软件都使用 “专用的安全 ”产品。可以说，这样的系统是集当今所有安全、密码产品之大成。这种系统的特点有：硬件和系统软件都专用、 PKI CA安全保障系统必须带密码、必须对应用系统进行根本改变、主要的硬件和系统软件需要。 PKICA。 Windows操作系统支持世界公认的 PKI CA标准的信息安全保障体系，电子商务系统属于安全保密系统。根据上述信息安全保障系统的 3种不同架构的定义，在 Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统属于 SMIS架构的范畴，因此应选 C选项。【知识模块】信息安全 9 【正确答案】 D 【试题解析】根据计算机信息系统

22、安全保护等级划分准则 (GBl7859 1999)的规定，信息系统安全保护等级分为以下 5个级别。 (1)用户自主保护级：适用于普通内联网用户。 (2)系统审计保护级：适用于通过内联网或国际网进行商务活动、需要保密的非重要单位。 (3)安全标记保护级：适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。 (4)结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。 (5)访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的

23、单位。【知识模块】信息安全 10 【正确答案】 C 【试题解析】防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Intemet与 Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，但对于从 LAN内部发起的攻击是基本无能为力的。【知识模块】信息安全 11 【正确答案】 A 【试题解析】 RSA算法是非对称密钥算法。非对称密钥算法中 “公开密钥 (公钥 )”是公开的，任何人都可以使用；而 “私有密钥 (私钥 )”是绝对不能公开的。

24、非对称加密既可以是发送方用接收方的 “公钥 ”加密信息，接收方使用自己的 “私钥 ”来解密。也可以是发送方用自己的 “私钥 “加密信息，接收方使用发送方的 “公钥 ”来解密。但多数场合是用前一种模式，所以选择 A选项。 (提醒：后一种模式主要用在数字签名的场合。 ) 【知识模块】信息安全 12 【正确答案】 D 【试题解析】本题考察软键盘的基本知识。所谓的软件盘并不是指我们常见的键盘，而是通过软件模拟键盘通过鼠标点击输入字符，这么做是为了防止木马记录通过键盘输入的密码。【知识模块】信息安全 13 【正确答案】 C 【试题解析】单向 Hash函数提供了这样一种计算过程：输入一个长度不

25、固定的字符串，输出一串固定长度的字符串，又称 Hash值。单向 Hash函数用于产生信息摘要。 Hash函数主要可以解决以下两个问题：在某一特定的时间内，无法查找经 Hash操作后生成特定 Hash值的原报文；也无法查找两个经 Hash操作后生成相同 Hash值的不同报文。这样在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。【知识模块】信息安全 14 【正确答案】 D 【试题解析】一份 X 509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。 X 509标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的 (即数据格式 )。所有的 X

26、 509证书包含以下数据。 (1)证书版本：指出该证书使用了哪种版本的 X 509标准，版本号会影响证书中的一些特定信息。 (2)证书序列号：创建证书的实体 (组织或个人 )有责任为该证书指定一个独一无二的序列号，以区别于该实体发布的其他证书。序列号信息有许多用途；例如当一份证书被回收以后，它的序列号就被放入证书回收列表 (CRL)之中。 (3)签名算法标识：指明 CA签署证书所使用的算法。 (4)证书有效期：证书起始日期和时间以及终止日期和时间，指明证书何时失效。 (5)证书发行商名称：这是签发该证书的实体的唯一名称，通常是 CA。使用该证书意味着信任签发证书的实体。 (注意：在某些情况下，

27、例如根或顶级 CA证书，发布者将自己签发证书。 ) (6)证书主体名：证书持有人唯一的标示符，也称为 DN(Distinguished Name)，这个名称在 Internet上应该是唯一的。 (7)主体公钥信息：包括证书持有人的公钥、算法 (指明密钥属于哪种密码系统 )的标示符和其他相关的密钥参数。 (8)发布者的数字签名：这是使用发布者私钥生成的签名。【知识模块】信息安全 15 【正确答案】 C 【试题解析】 PGP是一个基于 RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件发送者。 PGP采用了审慎的密匙管理，一

28、种 RSA和传统加密的复合算法：一个对称加密算法 (IDEA)、一个非对称加密算法 (RSA)、一个单向散列算法 (MD5)以及一个随机数产生器 (通过用户击键频率产生伪随机数序列的种子 )，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。 PGP还可用于文件存储的加密。 PGP承认两种不同的证书格式： PGP证书和 X 509证书。一份 PGP证书包括(但不仅限于 )以下信息。 PGP版本号：指出创建与证书相关联的密钥使用了哪个 PGP版本。证书持有者的公钥：这是密钥对的公开部分，并且还有密钥的算法。证书持有者的信

29、息：包括用户的身份信息，例如姓名、用户 ID、照片等。证书拥有者的数字签名：也称为自签名，这是用与证书中的公钥相关的私钥生成的签名。证书的有效期：证书的起始日期时间和终止日期时间，指明证书何时失效。密钥首选的对称加密算法：指明证书拥有者首选的信息加密算法。【知识模块】信息安全 16 【正确答案】 C 【试题解析】根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照 SSE-CMM(系统安全工程能力成熟模型 )和 ISO 17799(信息安全管理标准 )等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体

30、系在整体设计过程中应遵循以下九项原则。 (1)网络信息安全的木桶原则。网络信息安全的木桶原则是指对信息进行均衡地、全面地保护。 “木桶的最大容积取决于最短的一块木板 ”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的 “最易渗透原则 ”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测 (包括模拟攻击 )是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是

31、提高整个系统的 “安全最低点 ”的安全性能。 (2)网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，以减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的实施。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的被破坏程度。 (3)安全性评价与平衡原则。对任何网络，绝对安全是难以达到的，也不一定是必要的，所以需要建立合理的实用

32、安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围、系统的性质和信息的重要程度。 (4)标准化与一致性原则。系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 (5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与

33、技术培训、安全规章制度建设相结合。 (6)统筹规划、分步实施原则。由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 (7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级、对用户操作权限分级、对网络安全程度分级 (安全子网和安全区域 )、对系统实现

34、结构的分级 (应用层、网络层、链路层等 )，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 (8)动态发展原则。要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 (9)易操作性原则。首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。【知识模块】信息安全【知识模块】信息安全 17 【正确答案】 B 【知识模块】信息安全 18 【正确答案】 D 【试题解析】在 ISO 7498-2中描述了开放系统互联安全的体系结构，提出设计安全

35、的信息系统的基础架构中应该包含的 5类安全服务是：身份认证 (即鉴别服务 )、访问控制、数据加密 (即数据保密 )、数据完整和防止否认 (即抗抵赖 )。 TCSEC将安全分为四个方面 (分别是安全政策、可说明性、安全保障和文档 )和七个安全级别 (从低到高依次为 D、 C1、 C2、 B1、 B2、 B3、 A级 )。 A类：验证设计。形式化证明的安全，用于绝密级。 B类： B3：安全域保护。提供可信设备的管理和恢复。即使计算机系统崩溃，也不会泄密。 B2：结构化安全策略模型。满足 B1类要求外，提供强制性控制。 B1：安全标记保护。满足 C类要求，并提供数据标记。 C类： C2：受控的访问

36、保护。在 Cl之上，增加了访问保护和审计跟踪功能。 C1：自主安全保护。无条件的访问控制，具有识别和控制的责任。 D类：最低保护。例如未加任何实际的安全措施。【知识模块】信息安全 19 【正确答案】 D 【试题解析】冲击波病毒是一种蠕虫病毒，病毒在运行时会不停地利用 IP扫描技术寻找网络上系统为 Windows 2000或 Windows XP的计算机，找到后就利用RPC缓冲区漏洞攻击该系统。一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。木马是一种基于远程控制的黑客工具，分为控制端和服务端 (被控制端 )，具有隐蔽性和非授权性的特点

37、。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望 “马 ”兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。使用无线传输，如果要防御网络监听，还需要使用专业设备。使用防火墙可以有效地防御网络攻击，但不能有效地防御病毒。【知识模块】信息安全 20 【正确答案】 C 【试题解析】数据加密即是对明文 (未经加密的数据 )按照某种加密算法 (数据的变换算法 )进行处理，而形

38、成难以理解的密文 (经加密后的数据 )。即使是密文被截获，截获方也无法或难以解码，从而防止泄露信息。按照加密密钥 K1和解密密钥 K2的异同，有两种密钥体制。私钥密码体制 (K1=K2)：又叫对称密码体制，加密和解密采用相同的密钥。因为其加密速度快，通常用来加密大批量的数据。典型的方法有日本 NTT公司的快速数据加密标准 (FEAL)、瑞士的国际数据加密算法 (IDEA)和美国的数据加密标准(DES)。公钥密码体制 (K1K2)：又称非对称密码体制，其加密和解密使用不同的密钥；其中一个密钥是公开的，另一个密钥是保密的。典型的公开密钥加密方法有 RSA和 NTT的 ESIGN。公钥密码体

39、制在实际应用中包含数字签名和数字信封两种方式。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了私钥密码体制和公钥密码体制。基本原理是将原文用对称密钥加密传输，而将对称密钥用收方公钥加密 (即使用收件人的公钥加密会话密

40、钥 )发送给对方。收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。【知识模块】信息安全 21 【正确答案】 C 【试题解析】以数字证书为核心的 PKI CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，从而保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 PKI CA解决方案已经普遍地应用于全球范围的电子商务、电子政务、网上证券等。但 PKI CA的应用范围不包括现实银行交易，只包括网上银行的业务。【知识模块】信息安全 22 【正确答案】 A 【试题解析】数

41、字时间戳服务 (Digital Time Stamp Service， DTS)是网上电子商务安全服务项目之一，能够对电子文件的日期和时间信息进行安全保护。数字时间戳技术是数字签名技术一种变种的应用。时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要。 DTS收到文件的日期和时间。 DTS的数字签名。一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用 Hash编码加密形成摘要，然后将该摘要发送到 DTS， DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密 (数字签名 )，然后送回用户。书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，

42、它是由认证单位 DTS来加的，以 DTS收到文件的时间为依据。【知识模块】信息安全 23 【正确答案】 A 【试题解析】商用密码适用范围为国内企业、事业单位；普用密码适用范围为政府、党政部门；绝密密码适用范围为中央和机要部门；军用密码适用范围为军队。【知识模块】信息安全 24 【正确答案】 C 【试题解析】系统安全策略首先要定方案，其次是定岗。【知识模块】信息安全 25 【正确答案】 B 【试题解析】入侵检测系统如何对所收集的信息进行分析是该系统的一个重要特征。目前主要有两类入侵检技术：异常检测和特征检测。异常检测的一个基本假设是入侵者行为异常于正常主体行为。比如，我们能

43、够比较准确地将一个人的日常活动进行模式化。假设某人通常在上午 10点登录，阅读邮件，处理数据库，然后在中午休息一会。并且其对文件进行访问时极少出错。如果某天系统检测到同一个人在下午 3点登录，使用了编译和调试工具，访问文件时出现了很多错误操作，那么这种行为就有可能值得怀疑。异常检测的主要优点是能够检测到以前所未知的攻击。通过定义正常的行为规则，可以检测出任何的异常行为，不管其是否是威胁模型的一部分。然而，在实际系统中，这种检测未知攻击的特点也往往伴有较高的失误率。异常检测系统在一个高度动态的环境中会受到很大的影响。特征检测系统从本质上定义了入侵行为模式，这一检测假设入侵者活动可以用一个模

44、式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法则无能为力，其难点在于如何设计模式既能够表达 “入侵 ”现象又不会将正常的生活包含进来。特征检测系统的主要优点在于它注重于分析审计数据，从而产生较小的失误率。其缺点在于只能检测已知的入侵方法，因为它具有此入侵方法的特征，当新的入侵方法出现时，管理员必须将其模式化并加入到特征数据库中。【知识模块】信息安全 26 【正确答案】 B 【试题解析】 PMI是指特权管理基础设施 (Privilege Manage Infrastrcuture)。认证是一个实体证明自己身份的过程，对于 PMI，认证的作

45、用不是对实体身份进行鉴别，而是描述可以做什么，也就是一个实体为了完成某些任务需要具有的权限。当然，授权也依赖认证的过程。 PMI中提供了属性证书 AC(Attribute Certificate)来实现对实体的授权。 PMI作为 PKI(Public Key Infrastructure公钥基础设施 )的重要补充，用于共同完成用户特权的管理。 OA(Office Automation)是办公自动化的意思。 BA(Building Automation)是楼宇自动化的意思。 CA(CertificateAuthority)是 PKI系统中数字证书的签发机关。【知识模块】信息安全 27 【正确

46、答案】 B 【试题解析】在数字签名过程中，采用非对称加密算法，密钥对 (公钥和私钥 )中，一个用来加密，则另一个用来解密。所以在发送方采用自己的私钥加密，则在接受方用发送方的公钥解密。此题甲为发送方，乙为接受方。故答案为 B选项。【知识模块】信息安全 28 【正确答案】 B 【试题解析】入侵检测是从信息安全审计派生出来的，随着网络和业务应用信息系统的推广普及而逐渐成为一个信息安全的独立分支，但彼此涉及的内容、要达到的目的，以及采用的方式、方法都非常接近。安全审计偏向业务应用系统范畴，入侵检测更偏向 “外部入侵 ”的、业务应用系统之外的范畴。 IDS也可用于发现内部合法用户滥用其特权或

47、权限。【知识模块】信息安全 29 【正确答案】 A 【试题解析】我国的强制性国家标准计算机信息安全保护等级划分准则将计算机信息系统分为 5个安全保护等级，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。其中安全标记保护级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位的信息系统。【知识模块】信息安全 30 【正确答案】 D 【试题解析】审计 Agent是直接与被审计网络和系统连接的部件，不同的审计Agent完成不同的功能。审计 Agent将报警数据和需要记录的数据自动报送到审计中心，并由审计中心进行统一调度管理。审计 Agent主要可以分为网络监听型Agent、系统嵌入型 Agent、主动信息获取型 Agent等。【知识模块】信息安全

展开阅读全文