第一篇:2011年下半年軟考真題及答案
上學吧在線考試中心已發布2011年下半年軟考真題及答案,速度估分!!2011年下半年軟考《程序員》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《程序員》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《網絡管理員》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《網絡管理員》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《信息處理技術員》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《軟件設計師》上午試題(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《軟件設計師》下午試題(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《網絡工程師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《網絡工程師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《軟件評測師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《軟件評測師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《信息系統監理師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《信息系統監理師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《電子商務設計師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《電子商務設計師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《嵌入式系統設計師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《嵌入式系統設計師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《系統集成項目管理工程師》上午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年軟考《系統集成項目管理工程師》下午試卷(參考答案版)http://u.ixueyi.com/tatran/4004.html
第二篇:2015年5月軟考高級真題和答案
2015年5月—信息系統項目管理師—上午試卷(真題解析)
2015-06-03
試題01
1、以下關于大數據的敘述中,()是不正確的。
A、大數據不僅是技術,更是思維方式、發展戰略和商業模式 B、缺少數據資源和數據思維,對產業的未來發展會有嚴重影響
C、企業的價值與其數據資產的規模、活性、解釋并運用數據的能力密切相關 D、大數據中,各數據價值之和遠遠大于數據之和的價值
尚大教育解析: 選項D說反了。
“數據之和的價值遠大于數據的價值之和”,2012年。http://
尚大教育參考答案:D
試題02
2、自從第一臺電子計算機問世以來,信息系統經歷了由低級到高級,由單機到網絡,由數據處理到智能處理,由集中式計算到云計算的發展歷程。以下關于云計算的敘述中,()是不正確的。
A、云計算憑借數量龐大的云服務器為用戶提供遠超單臺服務器的處理能力 B、云計算支持用戶在任意位置獲取應用服務,用戶不必考慮應用的具體位置 C、云計算的擴展性低,一旦需要擴展,需要重新構件全部數據模型 D、云計算可以構造不同的應用,同一個“云”可以同時支撐不同的應用運行
尚大教育解析: 送分題。排除法即可。
尚大教育參考答案:C
試題03
3、以下關于移動互聯網發展趨勢的敘述中,()是不正確的。A、移動互聯網與PC互聯網協調發展,共同服務經濟社會 B、移動互聯網與傳統行業融合,衍生新的應用模式 C、隨著移動設備的普及,移動互聯網將逐步替代PC互聯網 D、移動互聯網對用戶的服務將更泛在,更智能,更便捷
尚大教育解析: 送分題。排除法即可。
尚大教育參考答案:C
試題04
4、許多企業在信息化建設過程中出現了諸多問題,如:信息孤島多,信息不一致,難以整合共享,各應用系統之間,企業上下級之間,企業與上下游伙伴之間業務難以協同,信息系統難以適應快捷的業務變化等。為解決這些問題,企業信息化建設采用()架構已是流行趨勢。A、面向過程 B、面向對象 C、面向服務 D、面向組件
尚大教育解析:
面向服務的體系結構是一個組件模型,它將應用程序的不同功能單元(稱為服務)通過這些服務之間定義良好的接口和契約聯系起來。接口是采用中立的方式進行定義的,它應該獨立于實現服務的硬件平臺、操作系統和編程語言。這使得構建在各種各樣的系統中的服務可以使用一種統一和通用的方式進行交互。
尚大教育參考答案:C
試題05
5、職業道德是所有從業人員在職業活動中應該遵循的行為準則,涵蓋了從業人員與服務對象,職業與職工,職業與職業之間的關系。以下違背信息系統項目管理師職業道德規范要求的是()。A、遵守項目管理規程
B、建立信息安全保護制度,并嚴格執行 C、不泄漏未公開的業務和技術工藝 D、提高工時和費用估算
尚大教育解析: 送分題。排除法即可。
尚大教育參考答案:D
試題06
6、軟件需求包括三個不同的層次:業務需求、用戶需求和功能需求。其中業務需求()。A、反映了組織結構或客戶對系統、產品高層次的目標要求。在項目視圖與范圍文檔中予以說明
B、描述了用戶使用產品必須實現的軟件功能 C、定義了開發人員必須實現的軟件功能 D、描述了系統展現給用戶的行為和執行的操作等
尚大教育解析:
業務需求(Business requirement)表示組織或客戶高層次的目標。業務需求通常來自項目投資人、購買產品的客戶、實際用戶的管理者、市場營銷部門或產品策劃部門。業務需求描述了組織為什么要開發一個系統,即組織希望達到的目標。使用前景和范圍文檔來記錄業務需求,這份文檔有時也被稱作項目輪廓圖或市場需求文檔。
用戶需求(user requirement)描述的是用戶的目標,或用戶要求系統必須能完成的任務。用例、場景描述和事件――響應表都是表達用戶需求的有效途徑。也就是說用戶需求描述了用戶能使用系統來做些什么。
功能需求(functional requirement)規定開發人員必須在產品中實現的軟件功能,用戶利用這些功能來完成任務,滿足業務需求。功能需求有時也被稱作行為需求,因為習慣上總是用“應該”對其進行描述:“系統應該發送電子郵件來通知用戶已接受其預定”。功能需求描述是開發人員需要實現什么。
尚大教育參考答案:A
試題07
7、MVC是模型(model)-視圖(view)-控制器(controller)架構模式的縮寫,以下關于MVC的敘述中,()是不正確的。A、視圖是用戶看到并與之交互的界面 B、模型表示企業數據和業務規則
C、使用MVC的目的是將M和V的代碼分離,從而使同一個程序可以使用不同的表現形式 D、MVC強制性地使應用程序的輸入、處理和輸出緊密結合
尚大教育解析: 略。
尚大教育參考答案:D
試題08
8、在軟件系統的生命周期中,軟件度量包括3個維度,即項目度量、產品度量和()。A、用戶度量 B、過程度量 C、應用度量 D、績效度量
尚大教育解析:
軟件度量能夠為項目管理者提供有關項目的各種重要信息,其實質是根據一定規則,將數字或符號賦予系統、構件、過程或者質量等實體的特定屬性,即對實體屬性的量化表示,從而能夠清楚地理解該實體。軟件度量貫穿整個軟件開發生命周期,是軟件開發過程中進行理解、預測、評估、控制和改善的重要載體。軟件質量度量建立在度量數學理論基礎之上。軟件度量包括3個維度,即項目度量、產品度量和過程度量。
尚大教育參考答案:B
試題09
9、根據GB/T 12504-90《計算機軟件質量保證計劃規范》,為了確保軟件的實現滿足要求,至少需要下列基本文檔()
①項目實施計劃②軟件需求規格說明書③軟件驗證與確認計劃④項目進展報表⑤軟件驗證與確認報告⑥用戶文檔 A、①②③④⑤ B、②③④⑤ C、②③④⑤⑥ D、②③⑤⑥
尚大教育解析:
尚大教育參考答案:D
試題10
10、軟件測試是為評價和改進產品質量、識別產品的缺陷和問題而進行的活動,以下關于軟件測試的敘述中,()是不正確的。A、軟件測試是軟件開發中一個重要的環節
B、軟件測試被認為是一種應該包括在整個開發和維護過程中的活動 C、軟件測試是在有限測試用例集合上,靜態驗證軟件是否達到預期的行為
D、軟件測試是檢查預防措施是否有效的主要手段,也是識別由于某種原因預防措施無效而產生錯誤的主要手段
尚大教育解析: 中級教程p87原文
軟件測試是針對一個程序的行為,在有限測試用例集合上,動態驗證軟件是否達到預期的行為,需要選取適當的測試用例。尚大教育參考答案:C
試題11
11、除了測試程序之外,黑盒測試還適用于測試()階段的軟件文檔。A、編碼 B、總體設計 C、軟件需求分析 D、數據庫設計
尚大教育解析:
黑盒測試:已知產品的功能設計規格,可以進行測試證明每個實現了的功能是否符合要求。白盒測試:已知產品的內部工作過程,可以通過測試證明每種內部操作是否符合設計規格要求,所有內部成分是否以經過檢查。
尚大教育參考答案:C
試題12
12、()是軟件系統結構中各個模塊之間相互聯系緊密程度的一種度量。A、內聚性
B、耦合性
C、層次性
D、并聯性
尚大教育解析: 標準原文。
尚大教育參考答案:B
試題13
13、配置管理是軟件生命周期中的重要控制過程,在軟件開發過程中扮演著重要的角色,根據GB/T11457-2006《軟件工程術語》的描述,以下關于配置管理基線的敘述中,()是不正確的。
A、配置管理基線包括功能基線,即最初通過的功能的配置 B、配置管理基線包括分配基線,即最初通過的分配的配置
C、配置管理基線包括產品基線,即最初通過的或有條件通過的產品的配置 D、配置管理基線包括時間基線,即最初通過的時間安排
尚大教育解析: 2.125 基線 baseline
a)業已經過正式審核與同意,可用作下一步開發的基礎,并且只有通過正式的修改管理過程方能
加以修改的規格說明或產品; b)在配置項目生存周期的某一特定時間內,正式指定或固定下來的配置標識文件和一組這樣的文
件。基線加上根據這些基線批準同意的改動構成了當前配置標識;
參見:分配的基線 allocated baseline(2.57)、開發配置 developmental configuration(2.470)、功能基線 functional baseline(2.659)和產品基線 product baseline(2.1213)。c)任何協議或在一給定時間賦予或固定的結果,如要變更,要求證明和批準。對于配置管理,有以下三種基線: 功能基線——最初通過的功能配置; 分配基線——最初通過的分配的配置;
產品基線——最初通過的或有條件地通過的產品配置。
尚大教育參考答案:D
試題14
14、軟件可靠性和可維護性測試評審時,不用考慮的是()。A、針對可靠性和可維護性的測試目標
B、測試方法及測試用例
C、測試工具、通過標準
D、功能測試報告
尚大教育解析:
GB/T 14394《計算機軟件可靠性和可維護性管理》 5.2.6.4 測試評審
a)針對可靠性和可維護性的測試目標 b)測試方法 c)測試用例 d)測試工具 e)測試通過標準 f)測試報告
尚大教育參考答案:D
試題15
15、信息系統安全風險評估是通過數字化的資產評估準則完成的,它通常會覆蓋人員安全、人員信息、公共秩序等方面的各個要素,以下不會被覆蓋的要素是()。A、立法及規章未確定的定義
B、金融損失或對業務活動的干擾
C、信譽的損害
D、商業及經濟的利益 尚大教育解析:
高級教程p565--25.3.2 風險評估
評估是通過數字的資產評估準則完成的,它覆蓋了以下幾點: ①人員安全; ②人員信息;
③立法及規章所確定的義務; ④法律的強制性; ⑤商業及經濟的利益;
⑥金融損失或對業務活動的干擾; ⑦公共秩序; ⑧業務政策及操作; ⑨信譽的損害。
尚大教育參考答案:A
試題16
16、信息系統安全可以分為5個層面的安全要求,包括:物理、網絡、主機、應用、數據及備份恢復,“當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警”屬于()層面的要求。A、物理 B、網絡 C、主機 D、應用
尚大教育解析:
GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》 7.1.2 網絡安全 7.1.2.5 入侵防范
尚大教育參考答案:B
試題17
17、訪問控制是為了限制訪問主體對訪問客體的訪問權限,從而使計算機系統在合法范圍內使用的安全措施,以下關于訪問控制的敘述中,()是不正確的。A、訪問控制包括2個重要的過程:鑒別和授權
B、訪問控制機制分為2種:強制訪問控制(MAC)和自主訪問控制(DAC)C、RBAC基于角色的訪問控制對比DAC的先進之處在于用戶可以自主的將訪問的權限授給其它用戶
D、RBAC不是基于多級安全需求的,因為基于RBAC的系統中主要關心的是保護信息的完整性,即“誰可以對什么信息執行何種動作”
尚大教育解析:
高級教程p615—29.1.4 基于角色的訪問控制
用戶不能自主地將訪問權限授給別的用戶,這是RBAC與DAC的根本區別所在。
尚大教育參考答案:C
試題18
18、以下關于信息系統運維的敘述中,()是不正確的。
A、一般而言,在信息系統運維過程中,會有較大比例的成本或資源投入 B、高效運維離不開管理平臺,需要依靠管理與工具及其合理的配合 C、運維管理平臺使運維自動化、操作化,降低了對運維人員的技術要求 D、運維的目的是保障系統正常運行,要重視效率與客戶滿意度的平衡
尚大教育解析:
操作運維平臺對技術同樣有要求。
尚大教育參考答案:C
試題19
19、按照網絡分級設計模型,通常把網絡設計分為3層,即核心層、匯聚層和接入層。以下敘述中,()是不正確的。A、核心層承擔訪問控制列表檢查功能 B、匯聚層實現網絡的訪問策略控制 C、工具組服務器放置在接入層 D、在接入層可以使用集線器代替交換機
尚大教育解析:
網絡分級設計把一個大的、復雜的網絡分解為多個小的、容易管理的網絡。分級網絡結構中的每一級解決一組不同的問題。在3層網絡設計模型中,網絡設備被劃分為核心層、匯聚層和接入層。各層的功能如下。核心層:盡快地轉發分組,提供優化的、可靠的數據傳輸功能。匯聚層:通過訪問控制列表或其他的過濾機制進入核心層的流量,定義了網絡的邊界和訪問策略。接入層:負責用戶設備的接入,防止非法用戶進入網絡。
尚大教育參考答案:A
試題20
20、域名服務器上存儲有Internet主機的()。A、MAC地址與主機名 B、IP地址與域名 C、IP地址與訪問路徑 D、IP地址、域名與MAC地址
尚大教育解析:
DNS的全稱是Domain Name Server,一種程序,它保存了一張域名(domain name)和與之相對應的IP地址(IP address)的表,以解析消息的域名。域名是Internet上某一臺計算機或計算機組的名稱,用于在數據傳輸時標識計算機的電子方位(有時也指地理位置)。域名是由一串用點分隔的名字組成的,通常包含組織名,而且始終包括兩到三個字母的后綴,以指明組織的類型或該域所在的國家或地區。
尚大教育參考答案:B
試題21
21、一般而言,大型軟件系統中實現數據壓縮功能的模塊,工作在OSI參考模型的()。A、應用層 B、表示層 C、會話層 D、網絡層
尚大教育解析:
表示層處理流經結點的數據編碼的表示方式問題,以保證一個系統應用層發出的信息可被另一系統的應用層讀出。如果必要,該層可提供一種標準表示形式,用于將計算機內部的多種數據表示格式轉換成網絡通信中采用的標準表示形式。數據壓縮和加密也是表示層可提供的轉換功能之一。
尚大教育參考答案:B
試題22
22、()是與IP協議同層的協議,可用于互聯網上的路由器報告差錯或提供有關意外情況的信息。A、IGMP B、ICMP C、RARP D、ARP
尚大教育解析:
ICMP是(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用于在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然并不傳輸用戶數據,但是對于用戶數據的傳遞起著重要的作用。
尚大教育參考答案:B
試題23
23、在以太網中,雙絞線使用()接口與其他網絡設備連接。A、RJ-11 B、RJ-45 C、LC D、MAC
尚大教育解析: 略。
尚大教育參考答案:B
試題24
24、綜合布線系統中用于連接兩幢建筑物的子系統是()。A、網絡管理子系統 B、設備間子系統 C、建筑群子系統 D、主干線子系統
尚大教育解析:
送分題!中級教程p131圖3-13
尚大教育參考答案:C
試題25
25、以下關于面向對象的敘述中,()是不正確的。A、通過消息傳遞,各個對象之間實現通信
B、每個對象都屬于特定的類
C、面向對象軟件開發可以實現代碼的重用
D、一個對象可以是兩個以上類的實例
尚大教育解析:略。
尚大教育參考答案:D
試題26
26、組件是軟件系統中可替換的、物理的組成部件,它封裝了實現體。并提供了一組()的實現方法。A、所有的屬性和操作 B、接口 C、實現體
D、一些協作的類的集
尚大教育解析: 中級教程p95原文。
尚大教育參考答案:B
試題27
27、以下關于UML的敘述中,()是正確的。A、UML是一種標準的圖形化建模語言
B、UML是一種可視化的程序設計語言
C、UML是一種開發工具的規格說明
D、UML是程序設計方法的描述
尚大教育解析:
中級教程p96—3.4.2 可視化建模與統一建模語言
統一建模語言(Unified Modeling Language,UML。)是一個通用的可視化建模語言,它是面向對象分析和設計的一種標準化表示,用于對軟件進行描述、可視化處理、構造和建立軟件系統的文檔。
尚大教育參考答案:A
試題28 試題29 28、29、乙公司中標承接了甲機構的網絡工程集成項目,在合同中約定了因不可抗力因素導致工期延誤免責的條款,其中不會被甲機構認可的不可抗力因素是(28),合同約定,甲乙雙方一旦出現分歧,在協商不成時,可提交到相關機構裁定,一般優先選擇的裁定機構是(29)。(28)
A、施工現場遭遇長時間雷雨天氣 B、物流公司車輛遭遇車禍 C、乙方施工隊領導遭遇意外情況 D、施工現場長時間停電(29)
A、甲機構所在地的仲裁委員會 B、乙公司所在地的仲裁委員會 C、甲機構所在地的人民法院 D、乙公司所在地的人民法院
尚大教育解析: 略。
尚大教育參考答案:(28)C、(試題30
30、()屬于評標依據。A、招標文件
B、企業法人營業執照復印件 C、公司業績 D、施工組織設計
尚大教育解析:送分題。尚大教育參考答案:A
29)A
試題31
31、項目整體管理要綜合考慮項目各個相關過程,圍繞整體管理特點,以下說法中,()是不正確的。
A、項目的各個目標和方案可能是沖突的,項目經理要進行統一權衡 B、項目經理要解決好過程之間的重疊部分的職責問題 C、對項目中可能不需要的過程,項目經理就不用考慮 D、項目經理要把項目的可交付物與公司的運營結合起來
尚大教育解析: 高級教程p81原文。
大多數有經驗的項目管理人員知道并不存在一個惟一的管理項目的方法。為了取得期望的項目績效,他們在不同的順序和程度上應用項目管理知識、技術和需要的過程,然而,不需要一個特定的過程并不意味不去確定過程。項目經理和項目團隊必須針對每個特定項目確定其中的每一個過程及其實施程度。
尚大教育參考答案:C
試題32
32、()不是影響制定項目章程過程的環境和組織因素。A、政府或行業標準 B、組織的基礎設施 C、市場條件
D、合同
尚大教育解析: 高級教程p86: 3.環境的和組織的因素
在制定項目章程時,必須考慮和項目成功息息相關的環境和組織因素。如下所述: ??組織或公司文化和結構。
??政府或行業標準(如規章制度、產品標準、質量標準、勞務關系標準)。??基礎設施,如:已存在的設施和固定資產。
??現有的人力資源,如:技能、專業和知識(設計,開發,法律,合同和采購)。??人力資源管理,如:招聘和解聘的指導方針,員工績效評估和培訓記錄等 ??公司的工作授權系統。??市場條件。
??項目干系人對風險的容忍度。
??商業數據庫,如業界的風險研究信息和風險數據庫、成本預算數據等。??項目管理信息系統,例如一個自動工具集(如,一個與配置管理系統相結合的進度制定工具)。尚大教育參考答案:D
試題33
33、項目管理過程可以劃分為項目啟動、制定項目計劃、指導和管理項目執行、監督和控制項目工作、項目收尾五個過程組。()屬于指導和管理項目執行過程組。A、建立WBS和WBS字典 B、活動排序 C、項目質量保證 D、管理項目團隊
尚大教育解析:
中級教程p180—4.5.3 項目管理過程圖示,表4-4
尚大教育參考答案:C
試題34
34、當()時,要正式通過變更審批。A、0.7版的項目管理計劃調整
B、某活動在自由時差內的進度調整 C、某活動負責人要求進度提前
D、項目經理安排一次臨時加班
尚大教育解析: 排除法。送分題。
尚大教育參考答案:C
試題35
35、某項目由ABCDE五個活動構成,完成各活動工作所需要的最可能時間(Tm)、最樂觀時間(To)、最悲觀時間(Tp)見下表:
各活動之間的依賴關系如下:
則該項目工期的估算結果約為()天。A、22 B、23 C、24 D、25
尚大教育解析:
用三點估算法分別計算每個活動的期望工期,填入圖中,如下。
三點估計法: 所謂三點估計法就是把施工時間劃分為樂觀時間、最可能時間、悲觀時間,也就是工作順利情況下的時間為a,最可能時間,就是完成某道工序的最可能完成時間m,最悲觀的時間就是工作進行不利所用時間b。
活動歷時均值(或估計值)=(樂觀估計+4×最可能估計+悲觀估計)/6 活動歷時方差=(悲觀估計值-樂觀估計值)/6
可知,關鍵路徑為B→D→E,總工期為:(32+46+66)/6=24天
尚大教育參考答案:C
試題36
36、以下關于項目范圍管理的敘述中,()是不正確的。A、一般項目目標的設定標準可用一個單詞SMART來表達
B、項目目標開始是出現在初步項目范圍說明書里,后來被定義并最終歸結到項目范圍說明書里
C、范圍定義過程給出了項目和產品的詳細描述,并把結果寫進詳細的項目范圍說明書 D、范圍確認也被稱為范圍核實,它的目的是核實工作結果的正確與否,應該貫穿項目始終
尚大教育解析:
中級教程p242—7.5 范圍確認
項目范圍確認應該貫穿項目的始終。范圍確認與質量控制不同,范圍確認是有關工作結果的接受問題,而質量控制是有關工作結果正確與否,質量控制一般在范圍確認之前完成,當然也可并行進行。
中級教程p136—4.1.2 項目目標
項目的目標要求遵守SMART原則,即項目的目標要求Specific(具體)、Measurable(可測量)、Agree to(需相關方的一致同意)、Realistic(現實)、Time-oriented(有一定的時限)。
尚大教育參考答案:D
試題37
37、項目經理和項目團隊成員需要掌握專門的知識和技能才能較好地管理信息系統項目,以下敘述不正確的是()。
A、為便于溝通和管理,項目經理和項目組成員都要精通項目管理相關知識 B、項目經理要整合項目團隊成員知識,使團隊知識結構滿足項目要求
C、項目經理不僅要掌握項目管理9個知識領域的綱要,還要具備相當水平的信息系統知識 D、項目經理無需掌握項目所有的技術細節 尚大教育解析: 送分題,排除法即可。尚大教育參考答案:A
試題38
38、某待開發的信息系統工作分解結構圖如下圖,其中標有“(38)”的方框應該填入的內容是()。
A、同行評審B、計劃評審C、項目計劃制定D、集成方案制定
尚大教育解析:
參考中級教程p237—7.4.3 創建WBS的工具和技術。尚大教育參考答案:C
試題39
39、制定合理的實施進度計劃、設計合理的組織結構、選擇經驗豐富的管理人員、建立良好的協作關系、制定合適的培訓計劃等內容屬于信息系統集成項目的可行性研究中()研究的內容。
A、經濟及風險可行性
B、社會可行性 C、組織可行性
D、財務可行性
尚大教育解析:
中級教程p185—5.1.3 項目可靠性研究報告 4.組織可行性
制定合理的項目實施進度計劃、設計合理的組織機構、選擇經驗豐富的管理人員、建立良好的協作關系、制定合適的培訓計劃等,保證項目順利執行。
尚大教育參考答案:C 試題40
40、確定信息系統集成項目的需求是項目成功實施的保證,項目需求確定屬于()的內容。A、初步可行性研究
B、范圍說明書 C、項目范圍基準
D、詳細可行性研究
尚大教育解析:
中級教程p189—5.2.2 項目的可行性研究 2.詳細可行性研究(2)詳細可行性研究的內容。①概述。②需求確定。
③現有資源、設施情況分析。④設計(初步)技術方法。⑤項目實施進度計剞建設。⑥投資估算和資金籌措計劃。
⑦項目組織、人力資源、技術培訓計劃。⑧經濟和社會效益分析(效果評價)。⑨合作,協作方式。
尚大教育參考答案:D
試題41
41、()一般不屬于項目績效報告的內容。A、團隊成員考核
B、項目預測
C、項目主要效益
D、變更請求
尚大教育解析:
中級教程p359—12.5.1 績效報告的內容
一般來講,績效報告需要包括以下內容。(1)項目的進展和調整情況。(2)項目的完成情況。
(3)項目總投入、資金到位情況。(4)項目資金實際支出情況。(5)項目主要效益情況。(6)財務制度執行情況。(7)項目團隊各職能團隊的績效。(8)項目執行中存在的問題及改進措施。
(9)預測——隨著項目的進展,根據獲得的工作績效信息對以前的預測進行更新并重新簽發。
(10)變更請求——對項目績效進行分析后,通常需要對項目的某些方面進行變更。這些變更請求應按整體變更控制過程所描述的辦法進行處理。
(11)其他需要說明的問題。尚大教育參考答案:A
試題42
42、某企業有一投資方案,每天生產某種設備1500臺,生產成本每臺700元,預計售價每臺1800元,估算投資額為800萬元,該投資方案壽命為7年,假設年產量,每臺售價和投資額均有可能在+-20%的范圍內變動,就這三個不確定因素對投資回收期的敏感性分析得到了下表中的部分投資回收期數據(空缺部分尚未計算),根據投資回收期的計算結果可知,這三個不確定性因素中,()是高風險因素(可能導致投資風險)。
A、年產量
B、每臺售價
C、投資額 D、全部
尚大教育解析:
三個因素中,“每臺售價”的變化導致的投資回收期變化最大。
尚大教育參考答案:B
試題43
43、在軟件項目開發過程中,評估軟件項目風險時,一般不考慮()。A、高級管理人員是否正式承諾支持該項目 B、開發人員和用戶是否充分理解系統的需求 C、最終用戶是否同意部署已開發的系統 D、開發需要的資金是否能按時到位
尚大教育解析:
問題的“在軟件項目開發過程中”,也就是特指“開發”的風險。此題來源于2006年上半年高項真題,只做了些文字修改。原文如下
尚大教育參考答案:C
試題44-
44、()提供了一種結構化方法以便使風險識別的過程系統化、全面化,保證組織能夠在一個統一的框架下進行風險識別,目的是提高風險識別的質量和有效性。A、風險影響力評估 B、風險類別 C、風險概率分析 D、風險管理的角色界定
尚大教育解析: 排除法即可。
高級教程p223—12.2.3 風險管理計劃編制的輸出
風險類別。它提供了一種結構化方法以便使風險識別的過程系統化、全面化,這樣,組織就能夠在統一的框架下進行風險識別,目的是提高風險識別的工作質量和有效性。組織可以使用事先準備的常用風險類別。
尚大教育參考答案:B
試題45
45、按優先級或相對等級排列項目風險,屬于()的輸出。A、定性風險分析 B、定量風險分析 C、風險管理計劃 D、風險監視表 尚大教育解析:
中級教程p468—18.4.2 定性風險分析的輸入、輸出 2.定性風險分析的輸出
(1)項目風險的相對排序或優先度清單。可使用風險概率和影響矩陣,根據風險的重要程度進行分類。項目經理可參考風險優先度清單,集中精力處理高重要性的風險,以獲得更好的項目成果。如果組織更關注其中一項目標,則可分別為成本、進度、范圍和質量目標單獨列出風險優先度。對于被評定為對項目十分重要的風險而言,應對其風險概率和影響的評定基礎和依據進行描述。
尚大教育參考答案:A
試題46
46、以下內容中,()是采購計劃編制的工具與技術。
①專家判斷 ②項目范圍說明書 ③自制/外購分析 ④項目章程 ⑤合同類型 A、①②③ B、①③⑤ C、①②③④ D、②③④⑤
尚大教育解析:
中級教程p388—14.2.2 用于編制采購計劃過程的技術、方法
尚大教育參考答案:B
試題47
47、某公司按總價合同方式約定訂購3000米高規格的銅纜,由于建設單位原因,工期暫停了半個月,待恢復施工后,承建單位以近期銅價上漲為理由,要求建設單位賠償購買電纜增加的費用,并要求適當延長工期,以下說法中,()是正確的。A、建設單位應該賠償承建單位采購電纜增加的費用
B、監理單位應該保護承建單位的合法利益,因此應該支持承建單位的索賠要求 C、索賠是合同雙方利益的體現,可以使項目造價更趨于合理 D、銅價上漲是承建單位應承擔的項目風險,不應該要求賠償費用
尚大教育解析:!
尚大教育參考答案:D
試題48
48、以下關于合同收尾的敘述中,()是不正確的。
A、在合同收尾前的任何時候,只要在合同變更控制條款下經雙方同意都可以對合同進行修訂 B、合同收尾包括項目驗收和管理收尾 C、提前終止合同是合同收尾的一種特例
D、合同收尾的工具包括合同收尾過程、過程審計、記錄管理系統
尚大教育解析: 中級教程p226-6.8 項目收尾 6.8.1 管理收尾和合同收尾
尚大教育參考答案:B
試題49
49、以下關于外包及外包管理的敘述中。()是不正確的。
A、外包是企業利用外部的專業資源為已服務,從而達到降低成本、提高效率、充分發揮自身核心競爭力的一種商業模式
B、軟件外包管理的總目標是用強有力的手段來管理同時進行的眾多外包項目,滿足進度、質量、成本的要求。
C、承包商是軟件外包部分的第一責任人,故質量保證活動應由承包商獨立完成 D、委托方要根據合同的承諾跟蹤承包商實際完成情況和成果
尚大教育解析: 送分題,排除法即可!
尚大教育參考答案:C
試題50
50、項目選擇和項目優先級排序是項目組合管理的重要內容,其中()不屬于結構化的項目選擇和優先級排序的方法。A、DIPP分析 B、期望貨幣值 C、財務分析 D、決策表技術
尚大教育解析:
高級教程p401—19.3 項目選擇和優先級排列
結構化的項目選擇和優先級排列方法包括:決策表技術、財務分析和DIPP分析。
尚大教育參考答案:B
試題51
51、某企業成立項目管理辦公室用于運維項目群的統一管理協調和監控,項目管理辦公室()做法是不可行的。A、建立項目人員的儲備機制為各項目提供人員應急服務 B、建立項目管理的知識庫,為各項目提供知識支持 C、成立一個監理公司負責對各項目進行監督管理 D、建立運維運行管理工具平臺對運維項目統一管理
尚大教育解析: 送分題。
尚大教育參考答案:C
試題52
52、在大型復雜項目計劃過程中,建立統一的項目過程將提高項目之間的協作效率,有力地保證項目質量。這就要求在項目團隊內部建立一個體系。一般來說,統一的項目過程不包括()。A、制定過程 B、監督過程 C、優化過程 D、執行過程
尚大教育解析:
高級教程p415—19.6.1 大型及復雜項目的計劃過程
尚大教育參考答案:C
試題53
53、項目經理有責任處理項目過程中發生的沖突,以下解決方法中,()會使沖突的雙方最滿意,也是沖突管理最有效的一種方法。
A、雙方溝通,積極分析,選擇合適的方案來解決問題 B、雙方各作出一些讓步,尋求一種折中的方案來解決問題 C、將眼前的問題擱置,等待合適的時機再進行處理
D、沖突的雙方各提出自己的方案,最終聽從項目經理的決策
尚大教育解析: 送分題!
尚大教育參考答案:A 試題54
54、流程管理是企業管理的一個重要內容,一般來說流程管理不包括()。A、管理流程 B、操作流程 C、支持流程 D、改進流程
尚大教育解析: 高級教程p482
一般來說,業務流程可分為管理流程、操作流程和支持流程三類。操作流程直接與滿足外部顧客的需求相關;支持流程指為保證操作流程的順利執行,在資金、人力、設備管理和信息系統支撐方面的各種活動;管理流程指企業整體目標和經營戰略產生的流程,這些流程指導了企業整體運作方向,確定了企業的價值取向,所以是一類比較重要的流程。
尚大教育參考答案:D
試題55
55、對項目進行審計是項目績效評估的重要內容,以下關于項目績效評估和審計的敘述中,()是不正確的。
A、績效審計是經濟審計、效率審計、效果審計的合稱 B、按審計時間分為事前審計、事中審計和事后審計
C、項目績效評估主要通過定性對比分析,對項目運營效益進行綜合評判 D、績效評估以授權或委托的形式讓獨立的機構或個人來進行就是績效審計
尚大教育解析:
高級教程p524原文—23.1.3什么是項目整體績效評估
所謂項目績效評估,是指運用數理統計、運籌學原理和特定指標體系,對照統一的標準,按照一定的程序,通過定量定性對比分析,對項目一定經營期間的經營效益和經營業績做出客觀、公正和準確的綜合評判。
績效審計(三E審計)是經濟審計、效率審計和效果審計的合稱因為三者的第一個英文字母均為E故稱三E審計它是指由獨立的審計機構或人員依據有關法規和標準運用審計程序和方法對被審單位或項目的經濟活動的合理性經濟性有效性進行監督評價和鑒證提出改進建議促進其管理提高效益的一種獨立性的監督活動
尚大教育參考答案:C
試題56
56、某項目計劃投資1000萬元,經過估算,投產后每年的凈收益為200萬元,則該項目的靜態投資回收期為5年,如果考慮到資金的時間價值,假設貼現率為10%,那么該項目的動態投資回收期()。A、小于5年
B、大于5年,小于6年 C、大于6年,小于7年 D、大于7年
尚大教育解析:
先分別計算每年收益的現值,然后計算凈值。如下表,可知,動態投資回收期大于7年小于8年。
尚大教育參考答案:D
試題57
57、成本基準是用來度量與檢測項目成本績效的按時間分段預算,下圖中給出了某項目期望現金流、成本基準、資金需求情況,圖中區間A應為()。
A、管理儲備B、成本偏差C、進度偏差D、超出的成本
尚大教育解析:
中級教程p287—9.4.3 項目成本預算的輸入、輸出
試題58
58、假設某項目任務已進行了充分細化分解,任務安排及完成情況如下圖,已獲價值適用50/50規則(活動開始執行即獲得一半價值),則下圖中項目監控點的PV、EV、BAC分別為()。
A、PV=4200、EV=3000、BAC=5200 B、PV=4200、EV=3300、BAC=4600 C、PV=3600、EV=3300、BAC=5200 D、PV=3600、EV=3300、BAC=5200
尚大教育解析:
PV=監控點時間之前(監控點左邊)所有工作預算之和=400+1000+1200+400+600=3600 EV=所有已完成工作的預算之和=400+1000+1200+400+300=3300 BAC=總預算=400+1000+1200+400+600+600+1000=5200
尚大教育參考答案:C
試題59
59、以下關于項目成本控制的敘述中,()是不正確的。
A、成本控制可提前識別可能引起項目成本基準變化的因素,并對其進行影響 B、成本控制的關鍵是經常并及時分析項目成本績效 C、成本控制的單位一般為項目的具體活動
D、進行成本控制是要防范因成本失控產生的各種可能風險
尚大教育解析:
高級教程p162—8.4 成本控制 項目成本控制工作的主要內容包括:
1)識別可能引起項目成本基準計劃發生變動的因素,并對這些因素施加影響,以保證該變化朝著有利的方向發展。2)以工作包為單位,監督成本的實施情況,發現實際成本與預算成本之間的偏差,查找出產生偏差的原因,做好實際成本的分析評估工作。
3)對發生成本偏差的工作包實施管理,有針對性地采取糾正措施,必要時可以根據實際情況對項目成本基準計劃進行適當地調整和修改,同時要確保所有的相關變更都準確地記錄在成本基準計劃中。
4)將核準的成本變更和調整后的成本基準計劃通知項目的相關人員。
5)防止不正確的、不合適的或未授權的項目變更所發生的費用被列入項目成本預算。6)在進行成本控制的同時,應該與項目范圍變更、進度計劃變更、質量控制等緊密結合,防止因單純控制成本而引起項目范圍、進度和質量方面的問題,甚至出現無法接受的風險。有效成本控制的關鍵是經常及時地分析成本績效,盡早發現成本差異和成本執行的效率,以便在情況變壞之前能夠及時采取糾正措施。一旦項目成本失控,要在預算內完成項目是非常困難的,如果項目沒有額外的資金支持,那么成本超支的后果就是要么推遲項目工期,要么降低項目的質量標準,要么縮小項目的工作范圍,這三種情況都是我們不愿意看到的。
尚大教育參考答案:C
試題60
60、對質量管理活動進行結構性審查,決定一個項目質量活動是否符合組織政策、過程和程序的獨立的評估活動稱為()。A、過程分析 B、基準分析 C、整體審計 D、質量審計
尚大教育解析: 送分題,排除法即可。
中級教程p315—10.3.2 項目質量保證的技術、方法 3.項目質量審計
質量審計是對其他質量管理活動的結構化和獨立的評審方法,用于判斷項目活動的執行是否遵從于組織及項目定義的方針、過程和規程。
尚大教育參考答案:D
試題61 61、()不是項目質量計劃編制的依據。A、項目的范圍說明書 B、產品說明書 C、標準和規定 D、產品的市場評價
尚大教育解析:
排除法。編制質量計劃的時候,市場評價還不知道呢。中級教程p311—10.2.3 制定質量計劃工作的輸入、輸出 通常,制定項目質量計劃的輸入包括以下內容。
(1)質量方針。(2)項目范圍說明書。(3)產品描述。(4)標準與規則。(5)其他過程的輸出。尚大教育參考答案:D
試題62
62、創建基線是項目配置管理的一項重要內容,創建基線或發現基線的主要步驟是()。A、獲取CCB的授權、創建構造基線或發現基線、形成文件、使基線可用 B、形成文件、獲取CCB的授權、創建構造基線或發行基線、使基線可用 C、使基線可用、獲取CCB的授權、形成文件、創建構造基線或發行基線 D、獲取CCB的授權、創建構造基線或發行基線、使基線可用、形式文件
尚大教育解析:
高級教程p326--15.3.3創建基線或發行基線 創建基線或發行基線的主要步驟如下: [步驟1]獲得CCB的授權 [步驟2]創建構造基線或發行基線 [步驟3]形成文件 [步驟4]使基線可用
尚大教育參考答案:A
試題63
63、軟件系統的版本號由3部分構成,即主版本號+次版本號+修改號。某個配置項的版本號是1.0,按照配置版本號規則表明()A、目前配置項處于“不可變更”狀態 B、目前配置項處于“正式發布”狀態 C、目前配置項處于“草稿”狀態 D、目前配置項處于“正在修改”狀態
尚大教育解析:
中級教程p414——15.2.5 版本管理
1)處于“草稿”狀態的配置項的版本號格式為0.YZ,YZ的數字范圍為01~99。隨著草稿的修正,YZ的取值應遞增。YZ的初值和增幅由用戶自己把握。
2)處于“正式”狀態的配置項的版本號格式為X.Y,X為主版本號,取值范圍為1~9。Y為次版本號,取值范圍為0~9。配置項第一次成為“正式”文件時,版本號為1.0。如果配置項升級幅度比較小,可以將變動部分制作成配置項的附件,附件版本依次為1.0,1.1,??。當附件的變動積累到一定程度時,配置項豹Y值可適量增加,Y值增加一定程度時,X值將適量增加。當配置項升級幅度比較大時,才允許直接增大X值。
3)處于“修改”狀態的配置項的版本號格式為X.YZ。配置項正在修改時,一般只增大Z值,X.Y值保持不變。當配置項修改完畢,狀態成為“正式”時,將Z值設置為0,增加X.Y值。參見上述規則(2)。
尚大教育參考答案:B
試題64
64、在需求分析中,面向團隊的需求收集方法能夠鼓勵合作。以下關于面向團隊的需求收集方法的敘述中,()是不恰當的。
A、舉行需求收集會議,會議由軟件工程師、客戶和其他利益相關者舉辦和參加 B、擬定會議議程,與會者圍繞需求要點,暢所欲言 C、會議提倡自由發言,不需要特意控制會議的進度
D、會議目的是識別問題,提出解決方案的要點,初步描述解決方案中的需求問題
尚大教育解析: C、D都有問題。。尚大教育參考答案:C
試題65
65、以下關于需求跟蹤的敘述中,()是不正確的。
A、逆向需求跟蹤檢查設計文檔、代碼、測試用例等工作產品是否都能在《需求規格說明書》中找到出處
B、需求跟蹤矩陣可以把每個需求與業務目標或項目目標聯系起來 C、需求跟蹤矩陣為管理產品范圍變更提供框架
D、如果按照“需求開發-系統設計-編碼-測試”這樣的順序開發產品,由于每一步的輸出就是下一步的輸入,所以不必擔心設計、編程、測試會與需求不一致,可以省略需求跟蹤。
尚大教育解析: 送分題。
尚大教育參考答案:D
試題66
66、某信息系統集成項目包括7個作業(A-G),各作業所需的時間、人數以及各作業之間的銜接關系如圖所示(其中虛線表示不消耗資源的虛作業)
如果各作業都按最早時間開始,那么正確描述該工程每一天所需人數的圖為()
尚大教育解析:
此題的關鍵為“各作業都按最早時間開始”,所以,該項目各作業時間和人數的安排為: 1、0-20天,5人做A,共需5人。2、21-40天,3人做B,4人做D,2人做C,共需9人。3、41-50天,2人做F,2人做E,共需4人。4、51-60天,2人繼續做E,共需2人。5、61-70天,3人做G,共需3人。
尚大教育參考答案:D
試題67
67、某水庫現在的水位已超過安全線,上游河水還在勻速流入。為了防洪,可以利用其10個泄洪閘(每個閘的泄洪速度相同)來調節泄洪速度。經測算。若打開1個泄洪閘,再過10個小時就能將水位降到安全線;若同時打開2個泄洪閘,再過4個小時就能將水位降到安全線。現在抗洪指揮部要求再過1小時必須將水位降到安全線,為此,應立即同時打開()個泄洪閘。A、6 B、7 C、8 D、9
尚大教育解析:
設上游流量x立方米/小時,每個泄洪閘泄洪量y立方米/小時,目前已超安全線A立方米,根據題意可知: 10x+A=10y4x+A=8y
聯立方程,可得:y=3x,A=20x
若1小時達到安全,則:x+A=n*y,即x+20x=n*3x,所以,n=7
尚大教育參考答案:B
試題68 68、某工程的進度計劃網絡圖如下,其中包含了①~⑩10個結點,節點之間的剪線表示作業及其進度方向,剪線旁標注了作業所需的時間(單位:周)。設起始結點①的時間為0,則結點⑤的最早時間和最遲時間分別為()周。
A、9,19 B、9,18 C、15,17 D、15,16
尚大教育解析:
首先,這是雙代號網絡圖,箭頭表示工作。所以,題中的問題“結點⑤的最早時間和最遲時間”就描述錯誤!我們只能理解為結點⑤出發的工作(有三個)的最早開始時間和最遲開始時間。
結點⑤出發的工作的最早開始時間為15(①→③→④→⑤)關鍵路徑為:①→③→④→⑥→⑦→⑨→⑩,總工期為28,所以,結點⑤出發的工作的最遲開始時間為28-5-2-5=16(⑩→⑨→⑦→⑤)
尚大教育參考答案:D
試題69
69、在一個單CPU的計算機系統中,采用按優先級搶占的進程調度方案,且所有任務可以并行使用I/O設備。現在有三個任務T1、T2和T3,其優先級分別為高、中、低,每個任務需要縣占用CPU 10ms,然后再使用I/O設備13ms,最后還需要再占用CPU 5ms。如果操作系統的開銷忽略不計,這三個任務從開始到全部結束所用的總時間為()ms。A、61 B、84 C、58 D、48
尚大教育解析: 畫時標網絡圖即可,如下。
尚大教育參考答案:C
試題70
70、某公司擬將5百萬元資金投放下屬A、B、C三個子公司(以百萬元的倍數分配投資),各子公司獲得部分投資后的收益如下表所示(以百萬元為單位)。該公司投資的總收益至多為()百萬元。
A、4.8 B、5.3 C、5.4 D、5.5
尚大教育解析: A-1,B-1,C-3
尚大教育參考答案:D
試題71 71、Wireless LAN, also widely known as WLAN or WIFI, is probably the most well-known member of the IEEE802 protocol family for home users today.It is standardized by()and shares many properties with wired Ethernet。A、IEEE 802.1 B、IEEE 802.3 C、IEEE 802.5 D、IEEE 802.11
尚大教育解析:
無線局域網(被廣泛稱之為WLAN或WIFI)是人們最為熟悉的IEEE802協議族。它由()協議定義標準并具備許多有限局域網的特性。A、IEEE 802.1 B、IEEE 802.3 C、IEEE 802.5 D、IEEE 802.11
尚大教育參考答案:D
試題72
72、When multiple routers are used in interconnected networks, the routers exchange information about()using a dynamic routing protocol。A、destination addresses B、IP addresses C、work addresses D、router addresses
尚大教育解析:
當接入網絡存在多個路由器時,路由器利用動態路由協議交換()信息。A、目的地址 B、IP地址 C、工作地址 D、路由地址
尚大教育參考答案:A
試題73
73、Before a project schedule can be created, the schedule maker should have a(), an effort estimate for each task, and a resource list with availability for each resource。A、work breakdown structure B、baseline
C、software requirements specification D、plan
尚大教育解析:
制定項目進度計劃之前,制定計劃者需要()、各任務的工作量估計以及可得到的資源列表 A、工作分解結構B、基線C、軟件需求描述D、計劃
尚大教育參考答案:A
試題74
74、Establishing a project management timetable involves listing milestones, activities, and()with intended start and finish dates, of which the scheduling of employees may be an element。A、relationships B、resources C、stakeholders D、deliverables
尚大教育解析:
建立項目管理時間表需要里程碑列表、各活動、以及含有估計開始和結束時間的(),其中員工的調度被看作為元素。A、關系 B、資源 C、干系人 D、可交付物 尚大教育參考答案:D
試題75
75、The following diagram denotes dependency between two activities A and B, It says()。
A、B can’t start before A is finished B、B can’t finish before A is finished C、B can’t start before A starts D、B can’t finish before A starts
尚大教育解析:
下圖表示的活動A與B的依賴關系可以描述為()A、A結束前B不能開始 B、A結束前B不能結束 C、A開始前B不能開始 D、A開始前B不能結束 尚大教育參考答案:A
2015年5月-信息系統項目管理師-下午試卷-解析
2015-06-03試題一(25分)
閱讀下列說明,回答問題1至問題4,將解答填入答題紙的對應欄內。
[說明] 某信息系統工程項目由ABCDEFG七個任務構成,項目組根據不同任務的特點,人員情況等,對各項任務進行了歷時估算并排序,并給出了進度計劃,如下圖:
項目中各項任務的預算(方框中,單位是萬元)、從財務部獲取的監控點處各項目任務的實際費用(括號中,單位為萬元),及各項任務在監控點時的完成情況如下圖:
[問題1](10分)
(1)請指出該項目的關鍵路徑、工期。
(2)本例給出的進度計劃圖叫什么圖?還有哪幾種圖可以表示進度計劃?(3)請計算任務A、D和F的總時差和自由時差
(4)若任務C拖延1周,對項目的進度有無影響?為什么?
[問題2](7分)
請計算監控點時刻對應的PV、EV、AC、CV、SV、CPI和SPI.[問題3](4分)
請分析監控點時刻對應的項目績效,并指出績效改進的措施。
[問題4](4分)
(1)請計算該項目的總預算。
(2)若在監控點時對項目進行了績效評估后,找到了影響績效的原因并予以糾正,請預測此種情況下項目的ETC、EAC.[問題1] 參考答案:
(1)關鍵路徑為B→D→E→G,工期為24周。
(2)本例的進度圖為雙代號時標網絡圖,表示進度的圖還有單代號網絡圖、甘特圖、前導圖等。
(3)A的自由時差=ESC-EFA=5-3=2(周),A的總時差=LFA-EFA=6-3=3(周)。
D為關鍵工作,其自由時差為 0 和 總時差均為0。
F的自由時差=ESG-EFF=22-15=7(周),F的總時差=LFF-EFF=22-15=7(周)。(4)因為任務C在非關鍵路徑上,且有1周自由時差,所以推遲1周對項目進度沒有影響。因為C的有6周的自由時差、1周的總時差。
[問題2]參考答案: 在監控點時,AC=3+8+16+5+4=36(萬)PV=4+10+12+4+8/2=34(萬)EV=4+10+12*0.75+4+6*0.5=30(萬)
CV=EV-AC=30-36=-6(萬)SV=EV-PV=30-34=-4(萬)CPI=EV/AC=30/36=5/6=0.833SPI=EV/PV=30/34=15/17=0.882
[問題3] 參考答案:
項目在監控點時因CPI<1,SPI<1,所以當前進度落后,成本超支。可以采取的措施:
(1)用高效人員代替低效人員;
(2)加班或趕工在預防風險的情況下并行施工;(3)提高資源利用率;
(4)加強、改進溝通,提高效率;(5)盡可能一次性把事情做對,減少返工。
[問題4] 參考答案:
(1)總預算BAC=4+10+12+4+8+6+10=54(萬)
(2)找到了影響績效的原因并加以糾正,因此按非典型偏差來進行項目預測。所以:
ETC=BAC-EV=54-30=24元
EAC=AC+ETC=36+24=60萬元
試題二(25分)
閱讀下列說明,回答問題1至問題3,將解答填入答題紙的對應欄內。
[說明] 某石化行業的信息化項目是一個大型項目,前期投標競爭非常激烈,甲公司最終中標。合同談判過程也比較緊張,客戶提出的一些要求,如工期和某些增加的功能,雖然在公司內部討論時,認為并沒有把握能按要求完成,但是為了贏得這個項目,甲公司在談合同時未提出異議。由于項目工期緊張,甲公司選擇了項目經理老李負責該項目。原因是老李在甲公司多年一直從事石化行業的項目咨詢、設計、開發,對行業非常熟悉,技術水平高。而且近一年來,他正努力轉型做項目經理,管理并負責完成了2個較小規模的項目。
老李帶領項目組根據客戶要求的工期制定了項目計劃,但項目執行到第一階段,就未按計劃進度完成。由于項目剛開始,老李怕客戶有意見終止合同,因此決定不把實際情況告知客戶,打算在后面的工作中加班加點把進度追回來。
接下來,項目組在解決客戶談判過程中增加的功能需求的時候,遇到了一個技術問題,老李帶領項目組加班進行技術攻關,耗費了幾周的時間,終于解決了技術問題。但此時項目進度延誤得更多了。
甲公司已建立項目管理體系,該項目的QA本應該按照甲公司要求對項目過程進行檢查,但老李認為過程中的檢查會影響到項目組的工期,要求QA在項目階段末再進行檢查。時間已經超過了工期的一半,客戶到甲公司檢查項目工作,發現項目的進度嚴重滯后,并且已經完成的部分也未能達到質量要求。
[問題1](15分)
你認為該項目的實施過程中存在哪些問題?請逐條說明并給出正確的做法。
[問題2](4分)
除了行業知識和專業技術知識外,你認為該項目的項目經理還應該具備哪些知識與能力?
[問題3](6分)
結合案例,判斷下列選項的正誤(填寫在答題紙的對應欄內,正確的選項填寫“√”,錯誤的選項填寫“×”)
(1)對于比較小的項目來說,可以選擇技術能力較強的項目經理。()(2)大型項目的項目經理的管理工作應該以間接管理為主。()
(3)公司中的項目必須按照公司定義的完整項目管理流程執行,不能進行裁剪。()
[問題1] 參考答案: 存在的問題及正確做法為:
1、合同管理:甲公司合同談判期間不應該全盤盲目接受客戶方所有要求,應對客戶方就項目進度、技術等方面的可行性提出異議,并且對項目中可能存在的問題進行充分溝通、最好能在合同中明確。
2、人力資源管理:項目經理人選不合適。1)老李缺乏負責大型項目的經驗及管理技能。應任命更有項目管理能力、具備相關大型項目管理經驗的人員。項目經理更重要是看項目管理能力,而不是技術水平。
2)老李的項目團隊在一定程度上缺乏技術實力,應該前期根據項目難度情況,選派實力較高的技術人員加入項目團隊。
3、溝通管理:項目經理老李對于進度落后的情況未與客戶進行及時有效溝通,不應該隱瞞實際情況,應及時與客戶就相關進度落后的情況進行溝通,共同分析問題、尋找解決方案,更新進度計劃。
4、進度管理:老李對項目的進度管理工作沒有做好,計劃未經評審就付諸實施。進度計劃必須經過評審才能付諸實施,加強進度管理工作。
5、質量管理:缺乏質量規劃,質量保證工作沒有做到位。項目經理老李不重視質量管理工作。應利用公司的質量管理體系,對該項目的全過程進行質量規劃、質量保證、質量控制等工作,而非只在項目末端進行檢查。
6、風險管理:老李未識別出項目的技術風險,缺少風險應對措施,應該做好項目風險管理工作,識別風險,制定應對措施并持續監控。
7、公司方面:公司缺乏對項目經理的考核、指導,缺乏對項目的跟蹤、檢查。項目缺乏階段溝通與階段評審,應對項目進行階段評審。對于大型信息化項目,不能由項目經理承擔全部責任,中標的集成公司應該對項目的實施進行有計劃的跟蹤、管控,及時發現問題、處理問題。并要跟項目經理保持溝通,了解其遇到的問題。
[問題2]:參考答案
一個合格的項目經理,至少應當具備如下的素質。
1、具備豐富的項目經驗與管理能力;
2、擁有完整的項目管理知識體系與領導能力;
3、具備對社會及項目環境的認識、理解、洞察能力;
4、具備較強的組織協調能力、創新能力、人際交往能力;
5、理解并遵守國家和項目所在地政府的有關法律、法規和政策。
[問題3] 參考答案:(1)√(2)√(3)×
試題三(25分)
閱讀以下說明,回答問題1至問題3,將解答填入答題紙的對應欄內。
[說明] A公司是一家大型信息系統集成公司,具有多年的系統集成項目實施經歷,成功地在多個行業進行了系統集成項目建設,取得了較多的成果,在業內具有較好的口碑。2013年年初,A公司通過競標獲得某市人口管理信息系統工程項目。A公司高層認為,盡管該項目的許多需求還沒有完全確定下來,但是總體感覺上同以往曾經開發過的項目比較,還是比較簡單,對完成這樣的項目充滿信心。
項目前期,A公司請王副總經理負責此項目的啟動工作。王副總經理簡單了解項目的概要情況后制定并發布了項目章程,任命小丁為項目經理。項目團隊根據分工制定了相應的項目管理子計劃。據此,項目經理小丁把各個子計劃歸并為項目管理計劃。
為了保證項目按客戶要求盡快完成,小丁基于自身的行業經驗和對客戶需求的初步了解,即安排項目團隊開始進行項目實施,在系統開發過程中,建設方提出的建設需求不斷變化,小丁本著客戶至上的原則,總是安排項目組進行修改,從而導致開發工作多次反復。而因為項目計劃的多次變化,導致項目團隊的成員也經歷過多次調整,實際進度與里程碑計劃存在嚴重偏離,并且項目的質量指標也經常暴露出問題。
A公司項目管理辦公室在對項目階段審查時,感到很吃驚,并對發生這種情況覺得很不理解,認為即使是需求不完善也不至于導致項目存在這么多問題,覺得該項目在管理方面肯定存在很多問題。
[問題1](12分)
結合案例,除了項目經理能力因素之外,請簡要分析造成項目目前狀況的可能原因。
[問題2](9分)
作為項目經理,應統一考慮項目進度、成本與質量之間的平衡。任何一個要素的變動,都會引起其他要素的變動。
(1)請簡要敘述項目進度、成本與質量之間的關系。
(2)請結合本案例說明,為了保證項目按照最初的設想按時完工,項目經理還可以采取哪些措施?
[問題3](4分)
結合案例,從候選答案中選擇4個正確選項(每選對一個得1分,選項超過4個該題得0分),將選項編號填入答題紙對應欄內。項目章程一般要包括的內容有()
A、項目概述B、項目成功評價標準C、項目進度計劃
D、項目預算E、委派項目經理,并授予其職責和職權F、質量保證 G、項目風險控制策略H、組織的假設與約束
[問題1] 參考答案: 造成目前情況的原因包括:
1、項目啟動工作不充分,項目需求還沒有完全確定的情況下,就對項目規模進行了初步定論;
2、沒有詳細了解項目情況就制定了項目章程;
3、項目章程的制定和發布過程沒有相關的干系人參與;
4、項目經理小丁的能力沒有經過詳細評估與考核就被任命為項目經理;
5、制定項目計劃出現問題:應該先制定總計劃,再制定子計劃。實際情況是項目子計劃和總計劃的制定順序相反了;
6、項目實施前沒有進行充分的需求調研,需求未經評審;
7、變更流程不正確,導致質量出現嚴重誤差。客戶提出的需求變更沒有遵循標準的項目變更控制流程就被采納并實施;
8、公司的項目管理辦公室沒有及時了解項目情況,缺乏對項目團隊的指導、監督;
9、項目經理未及時的與相關干系人進行溝通;
10、進度控制不力,導致實際進度與里程碑嚴重偏離;
11、公司對項目的監管不力,并缺乏與項目經理的溝通;
12、未做好項目的整體管理工作,導致人力資源、進度管理、質量管理等嚴重失衡。
[問題2]:參考答案
(1)進度、費用與質量是項目實施的三項關鍵要素,三者為相互影響、相互協調、相互制約的關系。質量標準過高可能導致進行落后、成本增加。同理,進度落后往往會使成本超支。所以如何在項目的實施過程中有效地使項目的進度、費用與質量三個目標協同并進,折中平衡,是滿足項目各方利益的關鍵,是項目管理者始終關心的核心問題。(2)可以采取的措施包括:
1、加強與客戶方溝通,并深入了解項目需求, 形成詳細的項目范圍說明書; 2.、請各方干系人共同參與需求評審,形成需求基準;
3、建立嚴格的項目變更控制流程并嚴格執行,不能一味滿足客戶的需求變更;
4、請求項目管理辦公室對項目工作提供指導;
5、項目經理應及時提交績效報告,加強階段溝通,分析預測盡早變更;
6、站在全局看問題,做好整體管理工作,統一協調好項目的進度、質量和人力等方面的工作。
[問題3] 參考答案: A、D、E、H
解析:信息系統項目管理師教程上說明項目章程的編制過程主要關注于記錄建設方的商業需求、項目立項的理由與背景、對客戶需求的現有理解和滿足這些需求的新產品、服務或結果。項目章程應當包括以下直接列入的內容或援引自其他文件的內容。(1)基于項目干系人的需求和期望提出的要求。(2)項目必須滿足的業務要求或產品需求。(3)項目的目的或項目立項的理由。(4)委派的項目經理及項目經理的權限級別。(5)概要的里程碑進度計劃。(6)項目干系人的影響。(7)職能組織及其參與。
(8)組織的、環境的和外部的假設。(9)組織的、環境的和外部的約束。(10)論證項目的業務方案,包括投資回報率。(11)概要預算。
分析:有些人可能會選擇一下C,(5)概要的里程碑進度計劃,不等于就是項目進度計劃。
第三篇:歷年軟考系統分析師真題練習題及答案(一)
系統分析師
http://
歷年軟考系統分析師真題練習題及答案(一)
2、兩個公司希望通過Internet進行安全通信保證從信息源到目的地之間的數據傳輸以密文形式出現,而且公司不希望由于在傳輸節點使用特殊的安全單元而增加開支,最合適的加密方式是(1),使用的會話密鑰算法應該是(2)
1、A.鏈路加密 B.節點加密 C.端—端加密 D.混合加密
2、A.RSA B.RC—5 C.MD5 D.ECC
3、如果對一個關系實施了一種關系運算后得到了一個新的關系,而且新的關系中的屬性由該運算決定,這說明所實施的運算關系是:()
A.選擇 B.投影 C.連接 D.笛卡兒積
4、影響軟件開發成本估算的因素不包括以上哪項()A.軟件人員業務水平
B.軟件開始規模及復雜度
C.開發所需時間
D.開發所需硬件資源模型
5、Java Bean組件模型特點不包括()A.Java Bean組件模型是面向應用的組件模型
B.它支持可移植和可重用的Java組件的開發
C.Java Bean組件可以工作于任何Java程序應用開發工具中
D.Java Bean組件總是在程序運行時被實例化
系統分析師
http://
10、在形式語言中,方法G是一個四元組G=(VN,Vr,P,Z),其中VN為(6)。若方法G的產生式集P為:
(1)Z→Bc(2)Z→Zc(3)B→Ab(4)B→Bb(5)A→Aa(6)A→a 則文法G是(7)文法,識別G的自動機為(8)。對于G來說,(9)為文法G可接受的字符串,(10)為文法G不可接受的字符串。
6、A.狀態標志符 B.開始符 C.語句集 D.非終結符集合7、A.短語 B.上下文有關 C.上下文無關 D.正則
8、A.圖靈機 B.下推自動機 C.有窮狀態自動機 D.線性界限自動機
9、A.aaabc B.acbb C.acbcab D.acbbca
10、A.abbcc B.acbc C.aaabc D.aabbccc
11、自底向上的估計法的特點是()
A.簡單、工作量小、誤差大
B.精度高,但缺少子任務(模塊)間的聯系
C.估算較精確,但區分類比較困難
D.復雜、不可行,一般不采用此種方法,但這種副作用可以通過詳細的設計文檔加以控制
12、以下屬于選擇類排序法的是()
A.堆棧排序法 B.插入排序法 C.冒泡排序法 D.快速排序法
13、下列對關系的敘述中()不正確的
系統分析師
http://
A.關系中的每個屬性是不可分解的 B.在關系中元組的順序是無關緊要的 C.任意的一個二維表都是一個關系
D.在關系中任意兩個元組不能完全相同
14、對于“指針”和“鏈”,下面的說法正確的是()
A.它們是數據物理組織的兩種形式
B.它們是數據邏輯組織的兩種形式
C.它們是數據物理組織的兩種基本工具
D.它們是數據邏輯組織的兩種基本工具
15、甲、乙同為生產鋰電池的廠家。甲得知乙研制出改進鋰電池質量的技術戾竅后,遂以不正當方式獲取了該技術,并加以利用。甲廠侵害了乙廠的()A.技術秘密權 B.專利權 C.專利申請權 D.經營信息權
參考答案:
1、C 端-端加密適用于點對點的傳輸在傳輸過程中無需解密。
2、A RSA算法解決了大量網絡用戶密鑰管理的難題,能同時用于加密和數字簽名的算法,也易于理解和操作
3、B 選擇又稱為限制,它是在關系中選擇滿足給定條件的若干行(元組)。投影則是從在系中選擇若干屬性列組成新的關系,是從列的角度進行的運算也就是從屬性的角度進行運算,連接是從兩個關系的笛卡兒積中選取屬性間滿足一定條件的元組,由題目要求,所以
系統分析師
http://
應該選擇B
4、D 影響軟件開發成本估算的因素包括:軟件人員業務水平,軟件開發規模及復雜度,開發所需時間。
5、A JavaBean組件模型特點有:可以工作于任何Java程序應用工發工具中,總是在程序運行時被實例化,它支持可移植和可重用的,Java組件的開發,JavaBean組件模型是面向客戶端的組件模型。
6—10 D,D,C,A,B 形式語言首先于1956年由Chomsky進行描述。該理論討論了語言與文法的數學理論,按照對文法規則的不同定義形式,對語言和文法進行了分類。一般來說,Chomsky文法是一個四元組G=(VN,Vr,P,Z),其中VN為非終結符集合,Vr為由終結符組成的字母表集合,P是窮非空的重寫規則集合,Z是識別符號。文法G對應的語言是能從該文法的識別符號產生的那些終結符號串(句子)組成的集合。
簡單來說,對于文法的分類分為4類:
1、型文法也稱短語結構文法可以由圖靈機識別。
2、型文法也樂上下文有關文法,可以由線性界限自動機識別。
3、型文法也稱上下文無關文法,可以由下誰自動機識別。
4、型文法也稱正則文法可以由有窮狀態自動機識別。
具體的文法定義可以參照編譯原理中的相關概念。
某種文法可以接受的句子經過簡單推理即可。
11、B 自底向上的估計法:這種方法的主要思想是把待開發的軟件細分,直到每一個子任務都已經明確所需要的開發工作量,然后把它們加起來,得到軟件開發的總工作量。這是一種常見的估算方法。它的優點是估算各個部分的準確性高。缺點是缺少各項子任務之間相互間的聯系。
系統分析師
http://
12、A 排序是數據處理中經常使用的一種重要運算。包括插入排序,交換排序,選擇排序,分配排序等。選擇排序的基本方法是:每步從待排序的記錄中選出排序碼最小的記錄,順序入在已排序的記錄序列的最后,直到全部排完。通常包括,直接選擇排序,樹形選擇排序和堆棧選擇排序。
13、C 本題考查關系的基本概念。通常來說,一組域的笛卡兒積可以表示為一個二維表。表中的行對應一個元組,表中的每列對應一個域。而關系則是笛卡兒積的子集,換而言之,關系必須是滿足一定意義的二維表。關系通常來說要滿足幾條基本性質,其中,列也就是屬性順序無所謂,但是必須是不可以分解的,元組也就是行的順序無所謂但不能完全相同,分是必須取原子值等等。
14、D “指針”和“鏈”是數據邏輯組織的兩種基本工具。
15、A 由題可知甲廠侵害了乙雨季的技術秘密權。
更多系統分析師考試資訊,請到希賽軟考學院。
第四篇:2016下半年軟考信息安全工程師考試真題及答案
2016下半年信息安全工程師考試真題
一、單項選擇
1、以下有關信息安全管理員職責的敘述,不正確的是()A、信息安全管理員應該對網絡的總體安全布局進行規劃 B、信息安全管理員應該對信息系統安全事件進行處理 C、信息安全管理員應該負責為用戶編寫安全應用程序 D、信息安全管理員應該對安全設備進行優化配置 參考答案:C
2、國家密碼管理局于2006年發布了“無線局域網產品須使用的系列密碼算法”,其中規定密鑰協商算法應使用的是()A、DH B、ECDSA C、ECDH D、CPK 參考答案:C
3、以下網絡攻擊中,()屬于被動攻擊 A、拒絕服務攻擊 B、重放 C、假冒 D、流量分析 參考答案:D
4、()不屬于對稱加密算法 A、IDEA B、DES C、RCS D、RSA 參考答案:D
5、面向身份信息的認證應用中,最常用的認證方法是()A、基于數據庫的認證 B、基于摘要算法認證 C、基于PKI認證 D、基于賬戶名/口令認證 參考答案:D
6、如果發送方使用的加密密鑰和接收方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統稱為()A、公鑰加密系統 B、單密鑰加密系統 C、對稱加密系統 D、常規加密系統 參考答案:A
7、S/Key口令是一種一次性口令生產方案,它可以對抗()A、惡意代碼木馬攻擊 B、拒絕服務攻擊 C、協議分析攻擊 D、重放攻擊 參考答案:D
8、防火墻作為一種被廣泛使用的網絡安全防御技術,其自身有一些限制,它不能阻止()
A、內部威脅和病毒威脅 B、外部攻擊
C、外部攻擊、外部威脅和病毒威脅 D、外部攻擊和外部威脅 參考答案:A
9、以下行為中,不屬于威脅計算機網絡安全的因素是()A、操作員安全配置不當而造成的安全漏洞
B、在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息
C、安裝非正版軟件 D、安裝蜜罐系統 參考答案:D
10、電子商務系統除了面臨一般的信息系統所涉及的安全威脅之外,更容易成為黑客分子的攻擊目標,其安全性需求普遍高于一般的信息系統,電子商務系統中的信息安全需求不包括()A、交易的真實性
B、交易的保密性和完整性 C、交易的可撤銷性 D、交易的不可抵賴性 參考答案:C
11、以下關于認證技術的敘述中,錯誤的是()A、指紋識別技術的利用可以分為驗證和識別 B、數字簽名是十六進制的字符串
C、身份認證是用來對信息系統中實體的合法性進行驗證的方法 D、消息認證能夠確定接收方收到的消息是否被篡改過 參考答案:B
12、有一種原則是對信息進行均衡、全面的防護,提高整個系統的安全性能,該原則稱為()A、動態化原則 B、木桶原則 C、等級性原則 D、整體原則 參考答案:D
13、在以下網絡威脅中,()不屬于信息泄露 A、數據竊聽 B、流量分析 C、偷竊用戶賬戶 D、暴力破解 參考答案:D
14、未授權的實體得到了數據的訪問權,這屬于對安全的()A、機密性 B、完整性 C、合法性 D、可用性 參考答案:A
15、按照密碼系統對明文的處理方法,密碼系統可以分為()A、置換密碼系統和易位密碼 B、密碼學系統和密碼分析學系統 C、對稱密碼系統和非對稱密碼系統 D、分級密碼系統和序列密碼系統 參考答案:A
16、數字簽名最常見的實現方法是建立在()的組合基礎之上 A、公鑰密碼體制和對稱密碼體制 B、對稱密碼體制和MD5摘要算法 C、公鑰密碼體制和單向安全散列函數算法 D、公證系統和MD4摘要算法 參考答案:C
17、以下選項中,不屬于生物識別方法的是()A、指紋識別 B、聲音識別 C、虹膜識別 D、個人標記號識別 參考答案:D
18、計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效應的確定和提取。以下關于計算機取證的描述中,錯誤的是()
A、計算機取證包括對以磁介質編碼信息方式存儲的計算機證據的提取和歸檔 B、計算機取證圍繞電子證據進行,電子證據具有高科技性等特點
C、計算機取證包括保護目標計算機系統,確定收集和保存電子證據,必須在開計算機的狀態下進行
D、計算機取證是一門在犯罪進行過程中或之后手機證據 參考答案:C
19、注入語句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不僅可以判斷服務器的后臺數據庫是否為SQL-SERVER,還可以得到()A、當前連接數據庫的用戶數據 B、當前連接數據庫的用戶名 C、當前連接數據庫的用戶口令 D、當前連接的數據庫名 參考答案:B
20、數字水印技術通過在數字化的多媒體數據中嵌入隱蔽的水印標記,可以有效地對數字多媒體數據的版權保護等功能。以下各項工,不屬于數字水印在數字版權保護必須滿足的基本應用需求的是()A、安全性 B、隱蔽性 C、魯棒性 D、可見性 參考答案:D
21、有一種攻擊是不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓。這種攻擊叫做()A、重放攻擊 B、拒絕服務攻擊 C、反射攻擊 D、服務攻擊 參考答案:B
22、在訪問因特網時,為了防止Web頁面中惡意代碼對自己計算機的損害,可以采取的防范措施是()
A、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區域 B、在瀏覽器中安裝數字證書 C、利用IP安全協議訪問Web站點 D、利用SSL訪問Web站點 參考答案:A
23、下列說法中,錯誤的是()
A、服務攻擊是針對某種特定攻擊的網絡應用的攻擊 B、主要的滲入威脅有特洛伊木馬和陷阱 C、非服務攻擊是針對網絡層協議而進行的
D、對于在線業務系統的安全風險評估,應采用最小影響原則 參考答案:B
24、依據國家信息安全等級保護相關標準,軍用不對外公開的信息系統至少應該屬于()
A、二級及二級以上 B、三級及三級以上 C、四級及四級以上 D、無極 參考答案:B
25、電子郵件是傳播惡意代碼的重要途徑,為了防止電子郵件中的惡意代碼的攻擊,用()方式閱讀電子郵件 A、網頁 B、純文本 C、程序 D、會話 參考答案:B
26、已知DES算法的S盒如下: 如果該S盒的輸入110011,則其二進制輸出為()A、0110 B、1001 C、0100 D、0101 參考答案:C
27、在IPv4的數據報格式中,字段()最適合于攜帶隱藏信息 A、生存時間 B、源IP地址 C、版本 D、標識 參考答案:D
28、Kerberos是一種常用的身份認證協議,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA 參考答案:B
29、以下關于加密技術的敘述中,錯誤的是()A、對稱密碼體制的加密密鑰和解密密鑰是相同的 B、密碼分析的目的就是千方百計地尋找密鑰或明文 C、對稱密碼體制中加密算法和解密算法是保密的 D、所有的密鑰都有生存周期 參考答案:C
30、移動用戶有些屬性信息需要受到保護,這些信息一旦泄露,會對公眾用戶的生命財產安全構成威脅。以下各項中,不需要被保護的屬性是()A、用戶身份(ID)B、用戶位置信息 C、終端設備信息 D、公眾運營商信息 參考答案:D
31、以下關于數字證書的敘述中,錯誤的是()A、證書通常有CA安全認證中心發放 B、證書攜帶持有者的公開密鑰
C、證書的有效性可以通過驗證持有者的簽名 D、證書通常攜帶CA的公開密鑰 參考答案:D
32、密碼分析學是研究密碼破譯的科學,在密碼分析過程中,破譯密文的關鍵是()A、截獲密文
B、截獲密文并獲得密鑰
C、截獲密文,了解加密算法和解密算法 D、截獲密文,獲得密鑰并了解解密算法 參考答案:D
33、利用公開密鑰算法進行數據加密時,采用的方法是()A、發送方用公開密鑰加密,接收方用公開密鑰解密 B、發送方用私有密鑰加密,接收方用私有密鑰解密 C、發送方用公開密鑰加密,接收方用私有密鑰解密 D、發送方用私有密鑰加密,接收方用公開密鑰解密 參考答案:C
34、數字信封技術能夠()
A、對發送者和接收者的身份進行認證 B、保證數據在傳輸過程中的安全性 C、防止交易中的抵賴發送 D、隱藏發送者的身份 參考答案:B
35、在DES加密算法中,密鑰長度和被加密的分組長度分別是()A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位 參考答案:A
36、甲不但懷疑乙發給他的被造人篡改,而且懷疑乙的公鑰也是被人冒充的,為了消除甲的疑慮,甲和乙決定找一個雙方都信任的第三方來簽發數字證書,這個第三方為()
A、國際電信聯盟電信標準分部(ITU-T)B、國家安全局(NSA)C、認證中心(CA)D、國家標準化組織(ISO)參考答案:C
37、WI-FI網絡安全接入是一種保護無線網絡安全的系統,WPA加密模式不包括()
A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK 參考答案:C
38、特洛伊木馬攻擊的威脅類型屬于()A、授權侵犯威脅 B、滲入威脅 C、植入威脅 D、旁路控制威脅 參考答案:C
39、信息通過網絡進行傳輸的過程中,存在著被篡改的風險,為了解決這一安全問題,通常采用的安全防護技術是()A、加密技術 B、匿名技術 C、消息認證技術 D、數據備份技術 參考答案:C
40、甲收到一份來自乙的電子訂單后,將訂單中的貨物送達到乙時,乙否認自己曾經發送過這份訂單,為了解除這種紛爭,采用的安全技術是()A、數字簽名技術 B、數字證書 C、消息認證碼 D、身份認證技術 參考答案:A
41、目前使用的防殺病毒軟件的作用是()
A、檢查計算機是否感染病毒,清除已感染的任何病毒 B、杜絕病毒對計算機的侵害
C、查出已感染的任何病毒,清除部分已感染病毒 D、檢查計算機是否感染病毒,清除部分已感染病毒 參考答案:D
42、IP地址分為全球地址和專用地址,以下屬于專用地址的是()A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 參考答案:B
43、下列報告中,不屬于信息安全風險評估識別階段的是()A、資產價值分析報告 B、風險評估報告 C、威脅分析報告
D、已有安全威脅分析報告 參考答案:B
44、計算機犯罪是指利用信息科學技術且以計算機跟蹤對象的犯罪行為,與其他類型的犯罪相比,具有明顯的特征,下列說法中錯誤的是()A、計算機犯罪具有隱蔽性
B、計算機犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、計算機犯罪具有很強的破壞性 D、計算機犯罪沒有犯罪現場 參考答案:D
45、以下對OSI(開放系統互聯)參考模型中數據鏈路層的功能敘述中,描述最貼切是()
A、保證數據正確的順序、無差錯和完整 B、控制報文通過網絡的路由選擇 C、提供用戶與網絡的接口 D、處理信號通過介質的傳輸 參考答案:A
46、深度流檢測技術就是以流為基本研究對象,判斷網絡流是否異常的一種網絡安全技術,其主要組成部分通常不包括()A、流特征選擇 B、流特征提供 C、分類器 D、響應 參考答案:D
47、一個全局的安全框架必須包含的安全結構因素是()A、審計、完整性、保密性、可用性
B、審計、完整性、身份認證、保密性、可用性 C、審計、完整性、身份認證、可用性 D、審計、完整性、身份認證、保密性 參考答案:B
48、以下不屬于網絡安全控制技術的是()A、防火墻技術 B、訪問控制 C、入侵檢測技術 D、差錯控制 參考答案:D
49、病毒的引導過程不包含()A、保證計算機或網絡系統的原有功能 B、竊取系統部分內存
C、使自身有關代碼取代或擴充原有系統功能 D、刪除引導扇區 參考答案:D
50、網絡系統中針對海量數據的加密,通常不采用()A、鏈路加密 B、會話加密 C、公鑰加密 D、端對端加密 參考答案:C
51、安全備份的策略不包括()A、所有網絡基礎設施設備的配置和軟件 B、所有提供網絡服務的服務器配置 C、網絡服務
D、定期驗證備份文件的正確性和完整性 參考答案:C
52、以下關于安全套接層協議(SSL)的敘述中,錯誤的是()A、是一種應用層安全協議 B、為TCP/IP連接提供數據加密 C、為TCP/IP連接提供服務器認證 D、提供數據安全機制 參考答案:A
53、入侵檢測系統放置在防火墻內部所帶來的好處是()A、減少對防火墻的攻擊 B、降低入侵檢測
C、增加對低層次攻擊的檢測 D、增加檢測能力和檢測范圍 參考答案:B
54、智能卡是指粘貼或嵌有集成電路芯片的一種便攜式卡片塑膠,智能卡的片內操作系統(COS)是智能卡芯片內的一個監控軟件,以下不屬于COS組成部分的是()
A、通訊管理模塊 B、數據管理模塊 C、安全管理模塊 D、文件管理模塊 參考答案:B
55、以下關于IPSec協議的敘述中,正確的是()A、IPSec協議是解決IP協議安全問題的一 B、IPSec協議不能提供完整性 C、IPSec協議不能提供機密性保護 D、IPSec協議不能提供認證功能 參考答案:A
56、不屬于物理安全威脅的是()A、自然災害 B、物理攻擊 C、硬件故障
D、系統安全管理人員培訓不夠 參考答案:D
57、以下關于網絡釣魚的說法中,不正確的是()A、網絡釣魚融合了偽裝、欺騙等多種攻擊方式 B、網絡釣魚與Web服務沒有關系
C、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上 D、網絡釣魚是“社會工程攻擊”是一種形式 參考答案:B
58、以下關于隧道技術說法不正確的是()
A、隧道技術可以用來解決TCP/IP協議的某種安全威脅問題 B、隧道技術的本質是用一種協議來傳輸另外一種協議 C、IPSec協議中不會使用隧道技術 D、虛擬專用網中可以采用隧道技術 參考答案:C
59、安全電子交易協議SET是有VISA和MasterCard兩大信用卡組織聯合開發的電子商務安全協議。以下關于SET的敘述中,正確的是()A、SET是一種基于流密碼的協議
B、SET不需要可信的第三方認證中心的參與
C、SET要實現的主要目標包括保障付款安全,確定應用的互通性和達到全球市場的可接受性
D、SET通過向電子商務各參與方發放驗證碼來確認各方的身份,保證網上支付的安全性 參考答案:C
60、在PKI中,不屬于CA的任務是()A、證書的辦法 B、證書的審改 C、證書的備份 D、證書的加密 參考答案:D
61、以下關于VPN的敘述中,正確的是()
A、VPN指的是用戶通過公用網絡建立的臨時的、安全的連接
B、VPN指的是用戶自己租用線路,和公共網絡物理上完全隔離的、安全的線路 C、VPN不能做到信息認證和身份認證
D、VPN只能提供身份認證,不能提供數據加密的功能 參考答案:A 62、掃描技術()A、只能作為攻擊工具 B、只能作為防御工具
C、只能作為檢查系統漏洞的工具 D、既可以作為工具,也可以作為防御工具 參考答案:D
63、包過濾技術防火墻在過濾數據包時,一般不關心()A、數據包的源地址 B、數據包的協議類型 C、數據包的目的地址 D、數據包的內容 參考答案:D
64、以下關于網絡流量監控的敘述中,不正確的是()
A、流量檢測中所檢測的流量通常采集自主機節點、服務器、路由器接口和路徑等
B、數據采集探針是專門用于獲取網絡鏈路流量的硬件設備 C、流量監控能夠有效實現對敏感數據的過濾 D、網絡流量監控分析的基礎是協議行為解析技術 參考答案:C
65、兩個密鑰三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密鑰為()A、56 B、128 C、168 D、112 參考答案:D
66、設在RSA的公鑰密碼體制中,公鑰為(c,n)=(13,35),則私鑰為()A、11 B、13 C、15 D、17 參考答案:B
67、雜湊函數SHAI的輸入分組長度為()比特 A、128 B、258 C、512 D、1024 參考答案:C
68、AES結構由以下4個不同的模塊組成,其中()是非線性模塊 A、字節代換 B、行移位 C、列混淆 D、輪密鑰加 參考答案:A 69、67mod119的逆元是()A、52 B、67 C、16 D、19 參考答案:C 70、在DES算法中,需要進行16輪加密,每一輪的子密鑰長度為()A、16 B、32 C、48 D、64 參考答案:C 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas: Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography B、Geography C、Stenography D、Steganography(2)A、methods B、software C、tools D、services(3)A、Member B、Management C、Message D、Mail(4)A、powerful B、sophistication C、advanced D、easy(5)A、least B、most C、much D、less 參考答案:A、A、C、B、A
二、案例分析
試題一(共20分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
研究密碼編碼的科學稱為密碼編碼學,研究密碼破譯的科學稱為密碼分析學,密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術,在信息安全領域有著廣泛的應用。【問題1】(9分)
密碼學的安全目標至少包括哪三個方面?具體內涵是什么? 【問題2】(3分)
對下列違規安全事件,指出各個事件分別違反了安全目標中的哪些項?(1)小明抄襲了小麗的家庭作業。(2)小明私自修改了自己的成績。
(3)小李竊取了小劉的學位證號碼、登錄口令信息、并通過學位信息系統更改了小劉的學位信息記錄和登陸口令,將系統中小劉的學位信息用一份偽造的信息替代,造成小劉無法訪問學位信息系統。【問題3】(3分)
現代密碼體制的安全性通常取決于密鑰的安全,文了保證密鑰的安全,密鑰管理包括哪些技術問題? 【問題4】(5分)
在圖1-1給出的加密過程中,Mi,i=1,2,?,n表示明文分組,Ci,i=1,2,?,n表示密文分組,Z表示初始序列,K表示密鑰,E表示分組加密過程。該分組加密過程屬于哪種工作模式?這種分組密碼的工作模式有什么缺點?
信管網參考答案: 【問題一】
(1)保密性:保密性是確保信息僅被合法用戶訪問,而不被地露給非授權的用戶、實體或過程,或供其利用的特性。即防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。
(2)完整性:完整性是指所有資源只能由授權方或以授權的方式進行修改,即信息未經授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
(3)可用性:可用性是指所有資源在適當的時候可以由授權方訪問,即信息可被授權實體訪問并按需求使用的特性。信息服務在需要時,允許授權用戶或實體使用的特性,或者是網絡部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。【問題二】(1)保密性(2)完整性(3)可用性 【問題三】
答:密鑰管理包括密鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。【問題四】 明密文鏈接模式。缺點:當Mi或Ci中發生一位錯誤時,自此以后的密文全都發生錯誤,即具有錯誤傳播無界的特性,不利于磁盤文件加密。并且要求數據的長度是密碼分組長度的整數倍,否則最后一個數據塊將是短塊,這時需要特殊處理。試題二(共10分)
閱讀下列說明和圖,回答問題1至問題2,將解答填入答題紙的對應欄內。【說明】
訪問控制是對信息系統資源進行保護的重要措施,適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下,按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。
【問題1】(3分)
針對信息系統的訪問控制包含哪些基本要素? 【問題2】(7分)
分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法,即能力表、訪問控制表、訪問控制矩陣下的訪問控制規則。信管網參考答案: 【問題1】
主體、客體、授權訪問 【問題二】 能力表:
(主體)Administrator<(客體)traceroute.mpg:讀取,運行> 訪問控制表:
(客體)traceroute.mpg<(主體)Administrator:讀取,運行> 訪問控制矩陣:
試題三(共19分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
防火墻是一種廣泛應用的網絡安全防御技術,它阻擋對網絡的非法訪問和不安全的數據傳遞,保護本地系統和網絡免于受到安全威脅。圖3-1改出了一種防火墻的體系結構。
【問題1】(6分)防火墻的體系結構主要有:(1)雙重宿主主機體系結構;(2)(被)屏蔽主機體系結構;(3)(被)屏蔽子網體系結構; 請簡要說明這三種體系結構的特點。【問題2】(5分)
(1)圖3-1描述的是哪一種防火墻的體系結構?
(2)其中內部包過濾器和外部包過濾器的作用分別是什么? 【問題3】(8分)設圖3-1中外部包過濾器的外部IP地址為10.20.100.1,內部IP地址為10.20.100.2,內部包過濾器的外部IP地址為10.20.100.3,內部IP地址為192.168.0.1,DMZ中Web服務器IP為10.20.100.6,SMTP服務器IP為10.20.100.8.關于包過濾器,要求實現以下功能,不允許內部網絡用戶訪問外網和DMZ,外部網絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2,將對應空缺表項的答案填入答題紙對應欄內。
信管網參考答案: 【問題一】
雙重宿主主機體系結構:雙重宿主主機體系結構是指以一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡與內部網絡的任務。
被屏蔽主機體系結構:被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,主要通過數據包過濾實現內外網絡的隔離和對內網的保護。
被屏蔽子網體系結構:被屏蔽子網體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網絡,并且將容易受到攻擊的堡壘主機都置于這個周邊網絡中。其主要由四個部件構成,分別為:周邊網絡、外部路由器、內部路由器以及堡壘主機。【問題二】
(1)屏蔽子網體系結構。
(2)內部路由器:內部路由器用于隔離周邊網絡和內部網絡,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網絡和外部網絡進行限制。
外部路由器:外部路由器的主要作用在于保護周邊網絡和內部網絡,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則,該規則主要針對外網用戶。【問題三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 試題四(共18分)
閱讀下列說明,回答問題1至問題4,將解答寫在答題紙的對應欄內。【說明】
用戶的身份認證是許多應用系統的第一道防線、身份識別對確保系統和數據的安全保密及其重要,以下過程給出了實現用戶B對用戶A身份的認證過程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此處A和B是認證實體,Nb是一個隨機值,pk(A)表示實體A的公鑰、{B,Nb}pk(A)表示用A的公鑰對消息BNb進行加密處理,b(Nb)表示用哈希算法h對Nb計算哈希值。【問題1】(5分)認證和加密有哪些區別? 【問題2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的選擇應滿足什么條件? 【問題3】(3分)
為什么消息3中的Nb要計算哈希值? 【問題4】(4分)
上述協議存在什么安全缺陷?請給出相應的解決思路。信管網參考答案: 【問題一】
認證和加密的區別在于:加密用以確保數據的保密性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。【問題二】
(1)Nb是一個隨機值,只有發送方B和A知道,起到抗重放攻擊作用。(2)應具備隨機性,不易被猜測。【問題三】
哈希算法具有單向性,經過哈希值運算之后的隨機數,即使被攻擊者截獲也無法對該隨機數進行還原,獲取該隨機數Nb的產生信息。【問題四】
攻擊者可以通過截獲h(Nb)冒充用戶A的身份給用戶B發送h(Nb)。解決思路:用戶A通過將A的標識和隨機數Nb進行哈希運算,將其哈希值h(A,Nb)發送給用戶B,用戶B接收后,利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密,并與接收到的h(A,Nb)進行比較。若兩者相等,則用戶B確認用戶A的身份是真實的,否則認為用戶A的身份是不真實的。試題五(共8分)
閱讀下列說明和代碼,回答問題1和問題2,將解答卸載答題紙的對應欄內。【說明】
某一本地口令驗證函數(C語言環境,X86_32指令集)包含如下關鍵代碼:某用戶的口令保存在字符數組origPassword中,用戶輸入的口令保存在字符數組userPassword中,如果兩個數組中的內容相同則允許進入系統。
【問題1】(4分)
用戶在調用gets()函數時輸入什么樣式的字符串,可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制? 【問題2】(4分)
上述代碼存在什么類型的安全隱患?請給出消除該安全隱患的思路。信管網參考答案: 【問題一】
只要輸入長度為24的字符串,其前12個字符和后12個字符一樣即可。【問題二】
gets()函數必須保證輸入長度不會超過緩沖區,一旦輸入大于12個字符的口令就會造成緩沖區溢出。
解決思路:使用安全函數來代替gets()函數,或者對用戶輸入進行檢查和校對,可通過if條件語句判斷用戶輸入是否越界。
第五篇:2016下半年軟考信息安全工程師考試真題 及答案--打印
2016下半年信息安全工程師考試真題
一、單項選擇
1、以下有關信息安全管理員職責的敘述,不正確的是()A、信息安全管理員應該對網絡的總體安全布局進行規劃 B、信息安全管理員應該對信息系統安全事件進行處理 C、信息安全管理員應該負責為用戶編寫安全應用程序 D、信息安全管理員應該對安全設備進行優化配置
2、國家密碼管理局于2006年發布了“無線局域網產品須使用的系列密碼算法”,其中規定密鑰協商算法應使用的是()
A、DH B、ECDSA C、ECDH D、CPK
3、以下網絡攻擊中,()屬于被動攻擊
A、拒絕服務攻擊 B、重放 C、假冒 D、流量分析
4、()不屬于對稱加密算法
A、IDEA B、DES C、RCS D、RSA
5、面向身份信息的認證應用中,最常用的認證方法是()
A、基于數據庫的認證 B、基于摘要算法認證 C、基于PKI認證 D、基于賬戶名/口令認證
6、如果發送方使用的加密密鑰和接收方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統稱為()
A、公鑰加密系統 B、單密鑰加密系統 C、對稱加密系統 D、常規加密系統
7、S/Key口令是一種一次性口令生產方案,它可以對抗()
A、惡意代碼木馬攻擊 B、拒絕服務攻擊 C、協議分析攻擊 D、重放攻擊
8、防火墻作為一種被廣泛使用的網絡安全防御技術,其自身有一些限制,它不能阻止()A、內部威脅和病毒威脅 B、外部攻擊
C、外部攻擊、外部威脅和病毒威脅 D、外部攻擊和外部威脅
9、以下行為中,不屬于威脅計算機網絡安全的因素是()A、操作員安全配置不當而造成的安全漏洞
B、在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息 C、安裝非正版軟件 D、安裝蜜罐系統
10、電子商務系統除了面臨一般的信息系統所涉及的安全威脅之外,更容易成為黑客分子的攻擊目標,其安全性需求普遍高于一般的信息系統,電子商務系統中的信息安全需求不包括()
A、交易的真實性 B、交易的保密性和完整性 C、交易的可撤銷性 D、交易的不可抵賴性
11、以下關于認證技術的敘述中,錯誤的是()
A、指紋識別技術的利用可以分為驗證和識別 B、數字簽名是十六進制的字符串 C、身份認證是用來對信息系統中實體的合法性進行驗證的方法 D、消息認證能夠確定接收方收到的消息是否被篡改過
12、有一種原則是對信息進行均衡、全面的防護,提高整個系統的安全性能,該原則稱為()A、動態化原則 B、木桶原則 C、等級性原則 D、整體原則
13、在以下網絡威脅中,()不屬于信息泄露
A、數據竊聽 B、流量分析 C、偷竊用戶賬戶 D、暴力破解
14、未授權的實體得到了數據的訪問權,這屬于對安全的()A、機密性 B、完整性 C、合法性 D、可用性
15、按照密碼系統對明文的處理方法,密碼系統可以分為()
A、置換密碼系統和易位密碼 B、密碼學系統和密碼分析學系統 C、對稱密碼系統和非對稱密碼系統 D、分級密碼系統和序列密碼系統
16、數字簽名最常見的實現方法是建立在()的組合基礎之上
A、公鑰密碼體制和對稱密碼體制 B、對稱密碼體制和MD5摘要算法 C、公鑰密碼體制和單向安全散列函數算法 D、公證系統和MD4摘要算法 / 14
17、以下選項中,不屬于生物識別方法的是()
A、指紋識別 B、聲音識別 C、虹膜識別 D、個人標記號識別
18、計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效應的確定和提取。以下關于計算機取證的描述中,錯誤的是()
A、計算機取證包括對以磁介質編碼信息方式存儲的計算機證據的提取和歸檔 B、計算機取證圍繞電子證據進行,電子證據具有高科技性等特點
C、計算機取證包括保護目標計算機系統,確定收集和保存電子證據,必須在開計算機的狀態下進行 D、計算機取證是一門在犯罪進行過程中或之后手機證據
19、注入語句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不僅可以判斷服務器的后臺數據庫是否為SQL-SERVER,還可以得到()
A、當前連接數據庫的用戶數據 B、當前連接數據庫的用戶名 C、當前連接數據庫的用戶口令 D、當前連接的數據庫名
20、數字水印技術通過在數字化的多媒體數據中嵌入隱蔽的水印標記,可以有效地對數字多媒體數據的版權保護等功能。以下各項工,不屬于數字水印在數字版權保護必須滿足的基本應用需求的是()A、安全性 B、隱蔽性 C、魯棒性 D、可見性
21、有一種攻擊是不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓。這種攻擊叫做()
A、重放攻擊 B、拒絕服務攻擊 C、反射攻擊 D、服務攻擊
22、在訪問因特網時,為了防止Web頁面中惡意代碼對自己計算機的損害,可以采取的防范措施是()A、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區域
B、在瀏覽器中安裝數字證書 C、利用IP安全協議訪問Web站點 D、利用SSL訪問Web站點
23、下列說法中,錯誤的是()
A、服務攻擊是針對某種特定攻擊的網絡應用的攻擊 B、主要的滲入威脅有特洛伊木馬和陷阱 C、非服務攻擊是針對網絡層協議而進行的
D、對于在線業務系統的安全風險評估,應采用最小影響原則
24、依據國家信息安全等級保護相關標準,軍用不對外公開的信息系統至少應該屬于()A、二級及二級以上 B、三級及三級以上 C、四級及四級以上 D、無極
25、電子郵件是傳播惡意代碼的重要途徑,為了防止電子郵件中的惡意代碼的攻擊,用()方式閱讀電子郵件
A、網頁 B、純文本 C、程序 D、會話
26、已知DES算法的S盒如下:
如果該S盒的輸入110011,則其二進制輸出為()A、0110 B、1001 C、0100 D、0101 / 14
27、在IPv4的數據報格式中,字段()最適合于攜帶隱藏信息 A、生存時間 B、源IP地址 C、版本 D、標識
28、Kerberos是一種常用的身份認證協議,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA
29、以下關于加密技術的敘述中,錯誤的是()
A、對稱密碼體制的加密密鑰和解密密鑰是相同的 B、密碼分析的目的就是千方百計地尋找密鑰或明文 C、對稱密碼體制中加密算法和解密算法是保密的 D、所有的密鑰都有生存周期
30、移動用戶有些屬性信息需要受到保護,這些信息一旦泄露,會對公眾用戶的生命財產安全構成威脅。以下各項中,不需要被保護的屬性是()
A、用戶身份(ID)B、用戶位置信息 C、終端設備信息 D、公眾運營商信息
31、以下關于數字證書的敘述中,錯誤的是()
A、證書通常有CA安全認證中心發放 B、證書攜帶持有者的公開密鑰 C、證書的有效性可以通過驗證持有者的簽名 D、證書通常攜帶CA的公開密鑰
32、密碼分析學是研究密碼破譯的科學,在密碼分析過程中,破譯密文的關鍵是()A、截獲密文 B、截獲密文并獲得密鑰
C、截獲密文,了解加密算法和解密算法 D、截獲密文,獲得密鑰并了解解密算法
33、利用公開密鑰算法進行數據加密時,采用的方法是()A、發送方用公開密鑰加密,接收方用公開密鑰解密 B、發送方用私有密鑰加密,接收方用私有密鑰解密 C、發送方用公開密鑰加密,接收方用私有密鑰解密 D、發送方用私有密鑰加密,接收方用公開密鑰解密
34、數字信封技術能夠()
A、對發送者和接收者的身份進行認證 B、保證數據在傳輸過程中的安全性 C、防止交易中的抵賴發送 D、隱藏發送者的身份
35、在DES加密算法中,密鑰長度和被加密的分組長度分別是()
A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位
36、甲不但懷疑乙發給他的被造人篡改,而且懷疑乙的公鑰也是被人冒充的,為了消除甲的疑慮,甲和乙決定找一個雙方都信任的第三方來簽發數字證書,這個第三方為()
A、國際電信聯盟電信標準分部(ITU-T)B、國家安全局(NSA)C、認證中心(CA)D、國家標準化組織(ISO)
37、WI-FI網絡安全接入是一種保護無線網絡安全的系統,WPA加密模式不包括()A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK
38、特洛伊木馬攻擊的威脅類型屬于()
A、授權侵犯威脅 B、滲入威脅 C、植入威脅 D、旁路控制威脅
39、信息通過網絡進行傳輸的過程中,存在著被篡改的風險,為了解決這一安全問題,通常采用的安全防護技術是()
A、加密技術 B、匿名技術 C、消息認證技術 D、數據備份技術
40、甲收到一份來自乙的電子訂單后,將訂單中的貨物送達到乙時,乙否認自己曾經發送過這份訂單,為了解除這種紛爭,采用的安全技術是()
A、數字簽名技術 B、數字證書 C、消息認證碼 D、身份認證技術
41、目前使用的防殺病毒軟件的作用是()
A、檢查計算機是否感染病毒,清除已感染的任何病毒 B、杜絕病毒對計算機的侵害 C、查出已感染的任何病毒,清除部分已感染病毒 D、檢查計算機是否感染病毒,清除部分已感染病毒
42、IP地址分為全球地址和專用地址,以下屬于專用地址的是()
A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 / 14
43、下列報告中,不屬于信息安全風險評估識別階段的是()
A、資產價值分析報告 B、風險評估報告 C、威脅分析報告 D、已有安全威脅分析報告
44、計算機犯罪是指利用信息科學技術且以計算機跟蹤對象的犯罪行為,與其他類型的犯罪相比,具有明顯的特征,下列說法中錯誤的是()A、計算機犯罪具有隱蔽性 B、計算機犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、計算機犯罪具有很強的破壞性 D、計算機犯罪沒有犯罪現場
45、以下對OSI(開放系統互聯)參考模型中數據鏈路層的功能敘述中,描述最貼切是()A、保證數據正確的順序、無差錯和完整 B、控制報文通過網絡的路由選擇 C、提供用戶與網絡的接口 D、處理信號通過介質的傳輸
46、深度流檢測技術就是以流為基本研究對象,判斷網絡流是否異常的一種網絡安全技術,其主要組成部分通常不包括()
A、流特征選擇 B、流特征提供 C、分類器 D、響應
47、一個全局的安全框架必須包含的安全結構因素是()
A、審計、完整性、保密性、可用性 B、審計、完整性、身份認證、保密性、可用性 C、審計、完整性、身份認證、可用性 D、審計、完整性、身份認證、保密性
48、以下不屬于網絡安全控制技術的是()
A、防火墻技術 B、訪問控制 C、入侵檢測技術 D、差錯控制
49、病毒的引導過程不包含()
A、保證計算機或網絡系統的原有功能 B、竊取系統部分內存 C、使自身有關代碼取代或擴充原有系統功能 D、刪除引導扇區 50、網絡系統中針對海量數據的加密,通常不采用()
A、鏈路加密 B、會話加密 C、公鑰加密 D、端對端加密
51、安全備份的策略不包括()
A、所有網絡基礎設施設備的配置和軟件 B、所有提供網絡服務的服務器配置 C、網絡服務 D、定期驗證備份文件的正確性和完整性
52、以下關于安全套接層協議(SSL)的敘述中,錯誤的是()
A、是一種應用層安全協議 B、為TCP/IP連接提供數據加密 C、為TCP/IP連接提供服務器認證 D、提供數據安全機制
53、入侵檢測系統放置在防火墻內部所帶來的好處是()A、減少對防火墻的攻擊 B、降低入侵檢測
C、增加對低層次攻擊的檢測 D、增加檢測能力和檢測范圍
54、智能卡是指粘貼或嵌有集成電路芯片的一種便攜式卡片塑膠,智能卡的片內操作系統(COS)是智能卡芯片內的一個監控軟件,以下不屬于COS組成部分的是()
A、通訊管理模塊 B、數據管理模塊 C、安全管理模塊 D、文件管理模塊
55、以下關于IPSec協議的敘述中,正確的是()
A、IPSec協議是解決IP協議安全問題的一 B、IPSec協議不能提供完整性 C、IPSec協議不能提供機密性保護 D、IPSec協議不能提供認證功能
56、不屬于物理安全威脅的是()
A、自然災害 B、物理攻擊 C、硬件故障 D、系統安全管理人員培訓不夠
57、以下關于網絡釣魚的說法中,不正確的是()
A、網絡釣魚融合了偽裝、欺騙等多種攻擊方式 B、網絡釣魚與Web服務沒有關系 C、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上 D、網絡釣魚是“社會工程攻擊”是一種形式
58、以下關于隧道技術說法不正確的是()
A、隧道技術可以用來解決TCP/IP協議的某種安全威脅問題 B、隧道技術的本質是用一種協議來傳輸另外一種協議 C、IPSec協議中不會使用隧道技術 D、虛擬專用網中可以采用隧道技術 / 14
59、安全電子交易協議SET是有VISA和MasterCard兩大信用卡組織聯合開發的電子商務安全協議。以下關于SET的敘述中,正確的是()
A、SET是一種基于流密碼的協議 B、SET不需要可信的第三方認證中心的參與
C、SET要實現的主要目標包括保障付款安全,確定應用的互通性和達到全球市場的可接受性 D、SET通過向電子商務各參與方發放驗證碼來確認各方的身份,保證網上支付的安全性 60、在PKI中,不屬于CA的任務是()
A、證書的辦法 B、證書的審改 C、證書的備份 D、證書的加密 61、以下關于VPN的敘述中,正確的是()
A、VPN指的是用戶通過公用網絡建立的臨時的、安全的連接
B、VPN指的是用戶自己租用線路,和公共網絡物理上完全隔離的、安全的線路 C、VPN不能做到信息認證和身份認證
D、VPN只能提供身份認證,不能提供數據加密的功能 62、掃描技術()
A、只能作為攻擊工具 B、只能作為防御工具
C、只能作為檢查系統漏洞的工具 D、既可以作為工具,也可以作為防御工具 63、包過濾技術防火墻在過濾數據包時,一般不關心()
A、數據包的源地址 B、數據包的協議類型 C、數據包的目的地址 D、數據包的內容 64、以下關于網絡流量監控的敘述中,不正確的是()
A、流量檢測中所檢測的流量通常采集自主機節點、服務器、路由器接口和路徑等 B、數據采集探針是專門用于獲取網絡鏈路流量的硬件設備 C、流量監控能夠有效實現對敏感數據的過濾 D、網絡流量監控分析的基礎是協議行為解析技術
65、兩個密鑰三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密鑰為()A、56 B、128 C、168 D、112 66、設在RSA的公鑰密碼體制中,公鑰為(c,n)=(13,35),則私鑰為()A、11 B、13 C、15 D、17 67、雜湊函數SHAI的輸入分組長度為()比特 A、128 B、258 C、512 D、1024 68、AES結構由以下4個不同的模塊組成,其中()是非線性模塊 A、字節代換 B、行移位 C、列混淆 D、輪密鑰加 69、67mod119的逆元是()
A、52 B、67 C、16 D、19 70、在DES算法中,需要進行16輪加密,每一輪的子密鑰長度為()A、16 B、32 C、48 D、64 / 14 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas:
Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography
B、Geography
C、Stenography
D、Steganography(2)A、methods
B、software
C、tools
D、services(3)A、Member
B、Management
C、Message
D、Mail(4)A、powerful
B、sophistication
C、advanced
D、easy(5)A、least
B、most
C、much
D、less / 14
二、案例分析
試題一(共20分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
研究密碼編碼的科學稱為密碼編碼學,研究密碼破譯的科學稱為密碼分析學,密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術,在信息安全領域有著廣泛的應用。【問題1】(9分)
密碼學的安全目標至少包括哪三個方面?具體內涵是什么? 【問題2】(3分)
對下列違規安全事件,指出各個事件分別違反了安全目標中的哪些項?(1)小明抄襲了小麗的家庭作業。(2)小明私自修改了自己的成績。
(3)小李竊取了小劉的學位證號碼、登錄口令信息、并通過學位信息系統更改了小劉的學位信息記錄和登陸口令,將系統中小劉的學位信息用一份偽造的信息替代,造成小劉無法訪問學位信息系統。【問題3】(3分)
現代密碼體制的安全性通常取決于密鑰的安全,文了保證密鑰的安全,密鑰管理包括哪些技術問題? 【問題4】(5分)
在圖1-1給出的加密過程中,Mi,i=1,2,?,n表示明文分組,Ci,i=1,2,?,n表示密文分組,Z表示初始序列,K表示密鑰,E表示分組加密過程。該分組加密過程屬于哪種工作模式?這種分組密碼的工作模式有什么缺點? / 14
試題二(共10分)
閱讀下列說明和圖,回答問題1至問題2,將解答填入答題紙的對應欄內。【說明】
訪問控制是對信息系統資源進行保護的重要措施,適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下,按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。
【問題1】(3分)
針對信息系統的訪問控制包含哪些基本要素? 【問題2】(7分)
分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法,即能力表、訪問控制表、訪問控制矩陣下的訪問控制規則。/ 14 試題三(共19分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
防火墻是一種廣泛應用的網絡安全防御技術,它阻擋對網絡的非法訪問和不安全的數據傳遞,保護本地系統和網絡免于受到安全威脅。
圖3-1改出了一種防火墻的體系結構。
【問題1】(6分)
防火墻的體系結構主要有:(1)雙重宿主主機體系結構;(2)(被)屏蔽主機體系結構;(3)(被)屏蔽子網體系結構; 請簡要說明這三種體系結構的特點。【問題2】(5分)
(1)圖3-1描述的是哪一種防火墻的體系結構?
(2)其中內部包過濾器和外部包過濾器的作用分別是什么? 【問題3】(8分)
設圖3-1中外部包過濾器的外部IP地址為10.20.100.1,內部IP地址為10.20.100.2,內部包過濾器的外部IP地址為10.20.100.3,內部IP地址為192.168.0.1,DMZ中Web服務器IP為10.20.100.6,SMTP服務器IP為10.20.100.8.關于包過濾器,要求實現以下功能,不允許內部網絡用戶訪問外網和DMZ,外部網絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2,將對應空缺表項的答案填入答題紙對應欄內。/ 14 / 14 試題四(共18分)
閱讀下列說明,回答問題1至問題4,將解答寫在答題紙的對應欄內。【說明】
用戶的身份認證是許多應用系統的第一道防線、身份識別對確保系統和數據的安全保密及其重要,以下過程給出了實現用戶B對用戶A身份的認證過程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此處A和B是認證實體,Nb是一個隨機值,pk(A)表示實體A的公鑰、{B,Nb}pk(A)表示用A的公鑰對消息BNb進行加密處理,b(Nb)表示用哈希算法h對Nb計算哈希值。【問題1】(5分)
認證和加密有哪些區別? 【問題2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的選擇應滿足什么條件? 【問題3】(3分)
為什么消息3中的Nb要計算哈希值? 【問題4】(4分)
上述協議存在什么安全缺陷?請給出相應的解決思路。/ 14 試題五(共8分)
閱讀下列說明和代碼,回答問題1和問題2,將解答卸載答題紙的對應欄內。【說明】
某一本地口令驗證函數(C語言環境,X86_32指令集)包含如下關鍵代碼:某用戶的口令保存在字符數組origPassword中,用戶輸入的口令保存在字符數組userPassword中,如果兩個數組中的內容相同則允許進入系統。
【問題1】(4分)
用戶在調用gets()函數時輸入什么樣式的字符串,可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制? 【問題2】(4分)
上述代碼存在什么類型的安全隱患?請給出消除該安全隱患的思路。/ 14 2016下半年信息安全工程師考試真題答案
一、單項選擇
1:C 2:C 3:D 4:D 5:D 6:A 7:D 8:A 9:D 10:C 11:B 12:D 13:D 14:A 15:A 16:C 17:D 18:C 19:B 20:D 21:B 22:A 23:B 24:B 25:B 26:C 27:D 28:C 30:D 31:D 32:D 33:C 34:B 35:A 36:C 37:C 38:C 39:C 40:A 41:D 42:B 43:B 44:D 45:A 46:D 47:B 48:D 49:D 50:C 51:C 52:A 53:B 54:B 55:A 56:D 57:B 58:C 59:C 60:D 61:A 62:D 63:D 64:C 65:D 66:B 67:C 68:A 69:C 70:C 71:A 72:A 73:C 74:B 75:A
二、案例分析
試題一(共20分)信管網參考答案: 【問題一】
(1)保密性:保密性是確保信息僅被合法用戶訪問,而不被地露給非授權的用戶、實體或過程,或供其利用的特性。即防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。
(2)完整性:完整性是指所有資源只能由授權方或以授權的方式進行修改,即信息未經授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
(3)可用性:可用性是指所有資源在適當的時候可以由授權方訪問,即信息可被授權實體訪問并按需求使用的特性。信息服務在需要時,允許授權用戶或實體使用的特性,或者是網絡部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。【問題二】(1)保密性(2)完整性(3)可用性 【問題三】
答:密鑰管理包括密鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。【問題四】
明密文鏈接模式。
缺點:當Mi或Ci中發生一位錯誤時,自此以后的密文全都發生錯誤,即具有錯誤傳播無界的特性,不利于磁盤文件加密。并且要求數據的長度是密碼分組長度的整數倍,否則最后一個數據塊將是短塊,這時需要特殊處理。
試題二(共10分)信管網參考答案: 【問題1】
主體、客體、授權訪問 【問題二】 能力表:
(主體)Administrator<(客體)traceroute.mpg:讀取,運行> 訪問控制表:
(客體)traceroute.mpg<(主體)Administrator:讀取,運行> 訪問控制矩陣: / 14 試題三(共19分)信管網參考答案: 【問題一】
雙重宿主主機體系結構:雙重宿主主機體系結構是指以一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡與內部網絡的任務。
被屏蔽主機體系結構:被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,主要通過數據包過濾實現內外網絡的隔離和對內網的保護。
被屏蔽子網體系結構:被屏蔽子網體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網絡,并且將容易受到攻擊的堡壘主機都置于這個周邊網絡中。其主要由四個部件構成,分別為:周邊網絡、外部路由器、內部路由器以及堡壘主機。【問題二】
(1)屏蔽子網體系結構。
(2)內部路由器:內部路由器用于隔離周邊網絡和內部網絡,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網絡和外部網絡進行限制。
外部路由器:外部路由器的主要作用在于保護周邊網絡和內部網絡,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則,該規則主要針對外網用戶。【問題三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 試題四(共18分)信管網參考答案: 【問題一】
認證和加密的區別在于:加密用以確保數據的保密性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。【問題二】
(1)Nb是一個隨機值,只有發送方B和A知道,起到抗重放攻擊作用。(2)應具備隨機性,不易被猜測。【問題三】
哈希算法具有單向性,經過哈希值運算之后的隨機數,即使被攻擊者截獲也無法對該隨機數進行還原,獲取該隨機數Nb的產生信息。【問題四】
攻擊者可以通過截獲h(Nb)冒充用戶A的身份給用戶B發送h(Nb)。
解決思路:用戶A通過將A的標識和隨機數Nb進行哈希運算,將其哈希值h(A,Nb)發送給用戶B,用戶B接收后,利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密,并與接收到的h(A,Nb)進行比較。若兩者相等,則用戶B確認用戶A的身份是真實的,否則認為用戶A的身份是不真實的。試題五(共8分)信管網參考答案: 【問題一】
只要輸入長度為24的字符串,其前12個字符和后12個字符一樣即可。【問題二】
gets()函數必須保證輸入長度不會超過緩沖區,一旦輸入大于12個字符的口令就會造成緩沖區溢出。解決思路:使用安全函數來代替gets()函數,或者對用戶輸入進行檢查和校對,可通過if條件語句判斷用戶輸入是否越界。/ 14
點擊咨詢 