第一篇:信息安全管理考試真題
一、判斷題(本題共15道題,每題1分,共15分。請認真閱讀題目,然后在對的題目后面打√,在錯誤的題目后面打×)
1.口令認證機制的安全性弱點,可以使得攻擊者破解合法用戶帳戶信:息,進而非法獲得系統和資源訪問權限。(√)
2.PKI系統所有的安全操作都是通過數字證書來實現的。(√)
3.PKI系統使用了非對稱算法.對稱算法和散列算法。(√)
4.一個完整的信息安全保障體系,應當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)、恢復(Restoration)五個主要環節。(√)
5.信息安全的層次化特點決定了應用系統的安全不僅取決于應用層安全機制,同樣依賴于底層的物理、網絡和系統等層面的安全狀況。(√)
6.實現信息安全的途徑要借助兩方面的控制措施、技術措施和管理措施,從這里就能看出技術和管理并重的基本思想,重技術輕管理,或者重管理輕技術,都是不科學,并且有局限性的錯誤觀點。(√)
7.按照BS 7799標準,信息安全管理應當是一個持續改進的周期性過程。(√)
8.雖然在安全評估過程中采取定量評估能獲得準確的分析結果,但是由于參數確定較為困難,往往實際評估多采取定性評估,或者定性和定量評估相結合的方法。(√)
9.一旦發現計算機違法犯罪案件,信息系統所有者應當在2天內迅速向當地公安機關報案,并配合公安機關的取證和調查。(×)
10.定性安全風險評估結果中,級別較高的安全風險應當優先采取控制措施予以應對。(√)
11.網絡邊界保護中主要采用防火墻系統,為了保證其有效發揮作用,應當避免在內網和外網之間存在不經過防火墻控制的其他通信連接。(√)
12.網絡邊界保護中主要采用防火墻系統,在內網和外網之間存在不經過防火墻控制的其他通信連接,不會影響到防火墻的有效保護作用。(×)
13.防火墻雖然是網絡層重要的安全機制,但是它對于計算機病毒缺乏保護能力。(√)
14.我國刑法中有關計算機犯罪的規定,定義了3種新的犯罪類型。(×)
15.信息技術基礎設施庫(ITIL),是由英國發布的關于IT服務管理最佳實踐的建議和指導方針,旨在解決IT服務質量不佳的情況。(√)
二、選擇題(本題共25道題,每題1分,共25分。請認真閱讀題目,且每個題目只有一個正確答案,并將答案填寫在題目相應位置。)
1.防止靜態信息被非授權訪問和防止動態信息被截取解密是__D____。
A.數據完整性 B.數據可用性 C.數據可靠性 D.數據保密性
2.用戶身份鑒別是通過___A___完成的。
A.口令驗證 B.審計策略 C.存取控制 D.查詢功能
3.故意輸入計算機病毒以及其他有害數據,危害計算機信息系統安全的個人,由公安機關處以___B___。
A.3年以下有期徒刑或拘役 B.警告或者處以5000元以下的罰款
C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罰款
4.網絡數據備份的實現主要需要考慮的問題不包括__A____。
A.架設高速局域網 B.分析應用環境 C.選擇備份硬件設備 D.選擇
備份管理軟件
5.《計算機信息系統安全保護條例》規定,對計算機信息系統中發生的案件,有關使用單位應當在___C___向當地縣級以上人民政府公安機關報告。
A.8小時內 B.12小時內 C.24小時內 D.48小時內
6.公安部網絡違法案件舉報網站的網址是__C____。
A.B.C.http:// D.7.對于違反信息安全法律、法規行為的行政處罰中,__A____是較輕的處罰方式。
A.警告 B.罰款C.沒收違法所得 D.吊銷許可證
8.對于違法行為的罰款處罰,屬于行政處罰中的___C___。
A.人身自由罰 B.聲譽罰 C.財產罰 D.資格罰
9.對于違法行為的通報批評處罰,屬于行政處罰中的___B___。
A.人身自由罰 B.聲譽罰 C.財產罰 D.資格罰1994年2月國務院發布的《計算機信息系統安全保護條例》賦予__C____對計算機信息系統的安全保護工作行使監督管理職權。
A.信息產業部 B.全國人大 C.公安機關 D.國家工商總局
11.《計算機信息網絡國際聯網安全保護管理辦法》規定,互聯單位、接入單位、使用計算機信息網絡國際聯網的法人和其他組織(包括跨省、自治區、直轄市聯網的單位和所屬的分支機構),應當自網絡正式聯通之日起__D____日內,到所在地的省、自治區、直轄市人民政府公安機關指定的受理機關辦理備案手續。
A.7B.10C.15D.30
12.互聯網服務提供者和聯網使用單位落實的記錄留存技術措施,應當具有至少保存__C__天記錄備份的功能。
A.10B.30C.60 D.90
13.對網絡層數據包進行過濾和控制的信息安全技術機制是_A_____。
A.防火墻 B.IDSC.Sniffer D.IPSec
14.針對操作系統安全漏洞的蠕蟲病毒根治的技術措施是____B__。
A.防火墻隔離B.安裝安全補丁程序
C.專用病毒查殺工具D.部署網絡入侵檢測系統
15.下列能夠有效地防御未知的新病毒對信息系統造成破壞的安全措施是__A____。
A.防火墻隔離B.安裝安全補丁程序
C.專用病毒查殺工具D.部署網絡入侵檢測系統
16.下列不屬于網絡蠕蟲病毒的是__C____。
A.沖擊波 B.SQL SLAMMERC.CIH D.振蕩波
17.傳統的文件型病毒以計算機操作系統作為攻擊對象,而現在越來越多的網絡蠕蟲病毒將攻擊范圍擴大到了__A____等重要網絡資源。
A.網絡帶寬 B.數據包 C.防火墻 D.LINUX
18.對于遠程訪問型VPN來說,__A____產品經常與防火墻及NAT機制存在兼容性問題,導致安全隧道建立失敗。
A.IPSee VPN B.SSL VPNC.MPLS VPN
D.L2TP VPN
19.1999年,我國發布的第一個信息安全等級保護的國家標準GB 17859—1999,提出將信息系統的安全等級劃分為___D___個等級,并提出每個級別的安全功能要求。
A.7B.8C.6D.5
20.等級保護標準GB l7859主要是參考了__B____而提出。
A.歐洲ITSECB.美國TCSEC C.CCD.BS 7799
21.我國在1999年發布的國家標準___C___為信息安全等級保護奠定了基礎。
A.GB l77998B.GB l5408C.GB l7859 D.GB l4430
22.信息安全登記保護的5個級別中,___B___是最高級別,屬于關系到國計民生的最關鍵信息系統的保護。
A.強制保護級 B.專控保護級 C.監督保護級 D.指導保護級E.自主保護級
23.《信息系統安全等級保護實施指南》將___A___作為實施等級保護的第一項重要內容。
A.安全定級 B.安全評估 C.安全規劃 D.安全實施
24.___C___是進行等級確定和等級保護管理的最終對象。
A.業務系統 B.功能模塊 C.信息系統 D.網絡系統
25.當信息系統中包含多個業務子系統時,對每個業務子系統進行安全等級確定,最終信息系統的安全等級應當由__B____所確定。
A.業務子系統的安全等級平均值 B.業務子系統的最高安全等級
C.業務子系統的最低安全等級 D.以上說法都錯誤
三、多選題(本題共15道題,每題2分,共30分。請認真閱讀題目,且每個題目至少有兩個答案,并將答案填寫在題目相應位置。)
1.在局域網中計算機病毒的防范策略有______。(ADE)
A.僅保護工作站 B.保護通信系統 C.保護打印機
D.僅保護服務器E.完全保護工作站和服務器
2.在互聯網上的計算機病毒呈現出的特點是______。(ABCD)
A.與互聯網更加緊密地結合,利用一切可以利用的方式進行傳播
B.具有多種特征,破壞性大大增強
C.擴散性極強,也更注重隱蔽性和欺騙性
D.針對系統漏洞進行傳播和破壞
3.一個安全的網絡系統具有的特點是______。(ABCE)
A.保持各種數據的機密
B.保持所有信息、數據及系統中各種程序的完整性和準確性
C.保證合法訪問者的訪問和接受正常的服務
D.保證網絡在任何時刻都有很高的傳輸速度
E.保證各方面的工作符合法律、規則、許可證、合同等標準
4.任何信息安全系統中都存在脆弱點,它可以存在于______。(ABCDE)
A.使用過程中 B.網絡中 C.管理過程中
D.計算機系統中E.計算機操作系統中
5.______是建立有效的計算機病毒防御體系所需要的技術措施。(ABCDE)
A.殺毒軟件 B.補丁管理系統 C.防火墻
D.網絡入侵檢測E.漏洞掃描
6.信息系統安全保護法律規范的作用主要有______。(ABCDE)
A.教育作用 B.指引作用 C.評價作用
D.預測作用E.強制作用
7.根據采用的技術,入侵檢測系統有以下分類:______。(BC)
A.正常檢測 B.異常檢測 C.特征檢測
D.固定檢測E.重點檢測
8.在安全評估過程中,安全威脅的來源包括______。(ABCDE)
A.外部黑客 B.內部人員 C.信息技術本身
D.物理環境E.自然界
9.安全評估過程中,經常采用的評估方法包括______。(ABCDE)
A.調查問卷 B.人員訪談 C.工具檢測
D.手工審核E.滲透性測試
10.根據ISO定義,信息安全的保護對象是信息資產,典型的信息資產包括______。(BC)
A.硬件 B.軟件 C.人員
D.數據 E.環境
11.根據ISO定義,信息安全的目標就是保證信息資產的三個基本安全屬性,包括__。(BCD)
A.不可否認性 B.保密性 C.完整性
D.可用性E.可靠性
12.治安管理處罰法規定,______行為,處5日以下拘留;情節較重的,處5日以上10日以下拘留。(ABCD)
A.違反國家規定,侵入計算機信息系統,造成危害的B.違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行的C.違反國家規定,對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的D.故意制作、傳播計算機病毒等破壞性程序,影響計算機信息系統正常運行的13.網絡蠕蟲病毒越來越多地借助網絡作為傳播途徑,包括______。(ABCDE)
A.互聯網瀏覽 B.文件下載 C.電子郵件
D.實時聊天工具E.局域網文件共享
14.在信息安全管理中進行安全教育與培訓,應當區分培訓對象的層次和培訓內容,主要包括__(ABE)
A.高級管理層 B.關鍵技術崗位人員 C.第三方人員
D.外部人員E.普通計算機用戶
15.網絡入侵檢測系統,既可以對外部黑客的攻擊行為進行檢測,也可以發現內部攻擊者的操作行為,通常部署在______。(BC)
A.關鍵服務器主機 B.網絡交換機的監聽端口
C.內網和外網的邊界 D.桌面系統 E.以上都正確
四、簡答題(本題共5道題,1~4題,每題5分,第5小題10分,共30分。)
1.簡述安全策略體系所包含的內容。
答:一個合理的信息安全策略體系可以包括三個不同層次的策略文檔:
(1)總體安全策略,闡述了指導性的戰略綱領性文件,闡明了企業對于信息安全的看法和立場、信息安全的目標和戰略、信息安全所涉及的范圍、管理組織構架和責任認定以及對于信息資產的管理辦法等內容;
(2)針對特定問題的具體策略,闡述了企業對于特定安全問題的聲明、立場、使用辦法、強制要求、角色、責任認定等內容,例如,針對Internet訪問操作、計算機和網絡病毒
防治、口令的使用和管理等特定問題,制定有針對性的安全策略;
(3)針對特定系統的具體策略,更為具體和細化,闡明了特定系統與信息安全有關的使用和維護規則等內容,如防火墻配置策略、電子郵件安全策略等。
2.簡述我國信息安全等級保護的級別劃分。
答:(1)第一級為自我保護級。其主要對象為一般的信息系統,其業務信息安全性或業務服務保證性受到破壞后,會對公民、法人和其它組織的合法權益產生損害,但不損害國家安全、社會秩序和公共利益;本級系統依照國家管理規范和技術標準進行自主保護。
(2)第二級為指導保護級。其主要對象為一般的信息系統,其業務信息安全性或業務服務保證性受到破壞后,會對社會秩序和公共利益造成輕微損害,但不損害國家安全;本級系統依照國家管理規范和技術標準進行自主保護,必要時,信息安全監管職能部門對其進行指導。
(3)第三級為監管保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統,器業務信息安全性或業務服務保證性受到破壞后,會對國家安全、社會秩序和公共利益造成較大損害;本機系統依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查。
(4)第四級為強制保護級。其主要對象為涉及國家安全、社會秩序和公共利益的主要信息系統,其業務信息安全性或業務服務保證性受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害;本級系統依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查。
(5)第五級為專控保護級。其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統的核心子系統,其業務信息安全性或業務服務保證性受到破壞后,會對國家安全社會秩序和公共利益造成特別嚴重損害;本級系統依照國家管理規范和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督、檢查。
3.簡述信息安全脆弱性的分類及其內容。
答:信息安全脆弱性的分類及其內容如下所示;
脆弱性分類:
一、技術脆弱性
1、物理安全:物理設備的訪問控制、電力供應等
2、網絡安全:基礎網絡構架、網絡傳輸加密、訪問控制、網絡設備安全漏洞、設備配置安全等
3、系統安全:應用軟件安全漏洞、軟件安全功能、數據防護等
4、應用安全:應用軟件安全漏洞、軟件安全功能、數據防護等
二、管理脆弱性
安全管理:安全策略、組織安全、資產分類與控制、人員安全、物理與環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性、符合性
4.簡述至少4種信息系統所面臨的安全威脅。
答:信息系統所面臨的常見安全威脅如下所示:
軟硬件故障:由于設備硬件故障、通信鏈接中斷、信息系統或軟件Bug導致對業務、高效穩定運行的影響。
物理環境威脅:斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環境條件和自然災害。
無作為或操作失誤:由于應該執行而沒有執行相應的操作,或無意的執行了錯誤的操作,對系統造成影響。
管理不到位:安全管理無法落實,不到位,造成安全管理不規范,或者管理混亂,從而破壞信息系統正常有序運行。
惡意代碼和病毒:具有自我復制、自我傳播能力,對信息系統構成破壞的程序代碼。越權或濫用:通過采用一些,超越自己的權限訪問了本來無權訪問的資源;或者濫用自己的職權,做出破壞信息系統的行為。
黑客攻擊技術:利用黑客工具和技術,例如,偵察、密碼猜測攻擊、緩沖區溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統進行攻擊和入侵。
物理攻擊:物理接觸、物理破壞、盜竊。
泄密:機密信息泄露給他人。
篡改:非法修改信息,破壞信息的完整性。
抵賴:不承認收到的信息和所作的操作和交易。
5.請談談參加本次培訓的體會與提高。
(發揮題目,請各抒己見)
第二篇:CNKI信息檢索考試真題
CNKI 檢索練習題
文獻出版報表功能,查看您所學專業,有多少電子期刊、1.通過 CNKI 文獻出版報表功能,查看您所學專業,有多少電子期刊、博士論文和碩士論文。博士論文和碩士論文。2.在 CNKI“中國期刊全文數據庫”中分別用題名、關鍵詞、主題詞、摘要、全文字段查找本專業某一課題的論文,比較檢索結果的數 量有什么不同,哪個字段最多,哪個字段最少,你認為使用哪個 字段檢索查準率最高? 3.利用“學術期刊全文數據庫(CNKI)”查找 2000 年以來長安大學本 學院教師在核心期刊發表的論文數。4.利用優秀碩博士學位論文數據庫查找近五年東南大學本專業的 博碩士學位論文三篇,請記錄論文篇名、作者姓名,學位授予單位和 導師姓名;并據此分別查找論文指導導師的其他學術研究論文情況,并各列舉其中三篇論文的題目。
5、查找有關本專業的會議文獻三篇,并分別寫出會議名稱、作者、舉辦者、舉辦時間、舉辦地點。
6、利用CNKI引文數據庫查找本專業某教師論文被引用情況,記錄總 被引頻次和其中兩條引證文獻的簡要信息。
7、在CNKI“工具書全文數據庫”中查找有關本專業的工具書,請列 舉五種工具書的名稱。
8、請查出兩種本專業核心期刊的簡要信息及聯系方式(如主辦單位、出版地、電話、郵編、Email 地址)。
第三篇:信息安全管理體系審核員 真題
ISMS 201409/11
一、簡答
1、內審不符合項完成了30/35,審核員給開了不符合,是否正確?你怎么審核?
[參考]不正確。應作如下審核:
(1)詢問相關人員或查閱相關資料(不符合項整改計劃或驗證記錄),了解內審不符合項的糾正措施實施情況,分析對不符合的原因確定是否充分,所實施的糾正措施是否有效;
(2)所采取的糾正措施是否與相關影響相適宜,如對業務的風險影響,風險控制策略和時間點目標要求,與組織的資源能力相適應。
(3)評估所采取的糾正措施帶來的風險,如果該風險可接受,則采取糾正措施,反之可采取適當的控制措施即可。
綜上,如果所有糾正措施符合風險要求,與相關影響相適宜,則糾正措施適宜。
2、在人力資源部查看網管培訓記錄,負責人說證書在本人手里,培訓是外包的,成績從那里要,要來后一看都合格,就結束了審核,對嗎?
[參考]不對。
應按照標準GB/T 22080-2008條款5.2.2 培訓、意識和能力的要求進行如下審核:(1)詢問相關人員,了解是否有網管崗位說明書或相關職責、角色的文件?(2)查閱網管職責相關文件,文件中如何規定網管的崗位要求,這些要求基于教育、培訓、經驗、技術和應用能力方面的評價要求,以及相關的培訓規程及評價方法;
(3)查閱網管培訓記錄,是否符合崗位能力要求和培訓規程的規定要求?(4)了解相關部門和人員對網管培訓后的工作能力確認和培訓效果的評價,是否保持記錄?
(5)如果崗位能力經評價不能滿足要求時,組織是否按規定要求采取適當的措施,以保證崗位人員的能力要求。
二、案例分析
1、查某公司設備資產,負責人說臺式機放在辦公室,辦公室做了來自環境的威脅的預防;筆記本經常帶入帶出,有時在家工作,領導同意了,在家也沒什么不安全的。A 9.2.5 組織場所外的設備安全
應對組織場所的設備采取安全措施,要考慮工作在組織場所以外的不同風險
2、某公司操作系統升級都直接設置為系統自動升級,沒出過什么事,因為買的都是正版。A 12.5.2 操作系統變更后應用的技術評審
當操作系統發生變更時,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響。
3、創新公司委托專業互聯網運營商提供網絡運營,供應商為了提升服務級別,采用了新技術,也通知了創新公司,但創新認為新技術肯定更好,就沒采取任何措施,后來因為軟件不兼容造成斷網了。
A 10.2.3 第三方服務的變更管理 應管理服務提供的變更,包括保持和改進現有的信息安全策略、規程和控制措施,并考慮到業務系統和涉及過程的關鍵程度及風險的評估。
4、查某公司信息安全事件處理時,有好幾份處理報告的原因都是感染計算機病毒,負責人說我們嚴格的殺毒軟件下載應用規程,不知道為什么沒有效,估計其它方法更沒用了。8.2糾正措施
5、查看 web服務器日志發現,最近幾次經常重啟,負責人說剛買來還好用,最近總死機,都聯系不上供應商負責人了。
A 10.2.1 應確保第三方實施、運行和保持包含在第三方服務交付服務交付協議中的安全控制措施、服務定義和交付水準。
單選糾錯(選擇一個最佳可行的答案)
1、一個組織或安全域內所有信息處理設施與已設精確時鐘源同步是為了:便于探測未經授權的信息處理活動的發生。A.10.10
2、網絡路由控制應遵從:確保計算機連接和信息流不違反業務應用的訪問控制策略。A.11.4.7
3、針對信息系統的軟件包,應盡量勸阻對軟件包實施變更,以規避變更的風險。A.12.5.3
4、國家信息安全等級保護采取:自主定級、自主保護的原則。
5、對于用戶訪問信息系統使用的口令,如果使用生物識別技術,可替代口令。A.11.3.1
6、信息安全災備管理中,“恢復點目標”指:災難發生后,系統和數據必須恢復到的時間點要求。
7、關于IT系統審核,以下說法正確的是:組織經評估認為IT系統審計風險不可接受時,可以刪減。A.15.3
8、依據GB/T 22080,組織與員工的保密性協議的內容應:反映組織信息保護需要的保密性或不泄露協議要求。A.6.1.5
9、為了防止對應用系統中信息的未授權訪問,正確的做法是:按照訪問控制策略限制用戶訪問應用系統功能和隔離敏感系統。A.11.1.1 A.11.6.2
10、對于所有擬定的糾正和預防措施,在實施前應先通過(風險分析)過程進行評審。
11、不屬于WEB服務器的安全措施是(保證注冊帳戶的時效性)。
12、文件初審是評價受審核方ISMS文件的描述與審核準則的(符合性)。
13、國家對于經營性互聯網信息服務實施:許可制度。
14、針對獲證組織擴大范圍的審核,以下說法正確的是:一種特殊審核,可以和監督審核一起進行。
15、信息安全管理體系初次認證審核時,第一階段審核應:對受審核方信息安全管理體系文件進行審核和符合性評價。
16、文件在信息安全管理體系中是一個必須的要素,文件有助于:確保可追溯性。
17、對一段時間內發生的信息安全事件類型、頻次、處理成本的統計分析屬于事件管理。
18、哪一種安全技術是鑒別用戶身份的最好方法:生物測量技術。
19、最佳的提供本地服務器上的處理工資數據的訪問控制是:使用軟件來約束授權用戶的訪問。20、當計劃對組織的遠程辦公系統進行加密時,應該首先回答下面哪一個問題:系統和數據具有什么樣的敏感程度。
簡述題
1、審核員在某公司審核時,發現該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說,因保安負責公司的物理區域安全,他們夜里以及節假日要值班和巡查所有區域,所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員,你將如何做?
答:應根據標準GB/T 22080-2008條款A.11.1.1審核以下內容:(1)是否有形成文件的訪問控制策略,并且包含針對公司每一部分物理區域的訪問控制策略的內容?
(2)訪問控制策略是否基于業務和訪問的安全要素進行過評審?(3)核實保安角色是否在訪問控制策略中有明確規定?
(4)核實訪問控制策略的制定是否與各物理區域風險評價的結果一致?(5)核實發生過的信息安全事件,是否與物理區域非授權進入有關?(6)核實如何對保安進行背景調查,是否明確了其安全角色和職責?
2、請闡述對GB/T 22080中A.13.2.2的審核思路。答:(1)詢問相關責任人,查閱文件3-5份,了解如何規定對信息安全事件進行總結的機制?該機制中是否明確定義了信息安全事件的類型?該機制是否規定了量化和監視信息安全事件類型、數量和代價的方法和要求,并包括成功的和未遂事件?
(2)查閱監視或記錄3-15條,查閱總結報告文件3-5份,了解是否針對信息安全事件進行測量,是否就類型、數量和代價進行了量化的總結,并包括成功的和未遂事件。(3)查閱文件和記錄以及訪問相關責任人,核實根據監視和量化總結的結果采取后續措施有效防止同類事件的再發生。
案例分析題
1、不符合標準GB/T 22080-2008條款 A.11.4.6 網絡連接控制“對于共享的網絡,特別是越過組織邊界的網絡,用戶的聯網能力應按照訪問控制策略和業務應用要求加以限制(見A.11.1)。”的要求。
不符合事實:某知名網站總部陳列室中5臺演示用的電腦可以連接外網和內網。
2、不符合標準GB/T 22080-2008條款 A9.1.2 物理入口控制“安全區域應由適合的入口控制所保護,以確保只有授權的人員才允許訪問。”的要求。
不符合事實:現場發現未經授權的人員張X進出機器和網絡操作機房,卻沒有任何登記記錄,而程序文件(GX28)規定除授權工作人員可憑磁卡進出外,其余人員進出均須辦理準入和登記手續。
3、不符合標準GB/T 22080-2008條款4.2.1 d)識別風險“3)識別可能被威脅利用的脆弱性;”的要求。
不符合事實:現場管理人員認為下載的軟件都是從知名網站上下載的,不會有問題。
4、不符合標準GB/T 22080-2008條款8.2 糾正措施“組織應采取措施,以消除與ISMS要求不符合的原因,以防止再發生。”的要求。
不符合事實:XX銀行在2008年一季度發生了10起網銀客戶資金損失事故,4-5月又發生7起類似事故。
5、不符合標準GB/T 22080-2008條款A.11.6.1信息訪問控制“用戶和支持人員對信息和應用系統功能的訪問應依照已確定的訪問控制策略加以限制”的要求。不符合事實:開發人員可以修改測試問題記錄。
6、不符合標準GB/T 22080-2008條款A.7.1.3資產的可接受使用“與信息處理設施有關的信息和資產可接受使用規則應被確定、形成文件并加以實施”的要求。
不符合事實:非常敏感的系統設計文件,公司要求開發人員只可讀,不可以修改,且不可以在公司其他部門傳閱,但未對開發人員是否可以打印進行規定。
7、不符合標準GB/T 22080-2008條款A.11.3.3清空桌面和屏幕策略“應采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略”的要求。
不符合事實:敏感票據印刷企業的制版工藝工藝師辦公桌上散放著三份含水量有票據制版工藝要求的生產通知單。
第四篇:2016年《合同管理》考試真題
2016年監理《合同管理》考試題
1、市場經濟主要是依據()規范當事人的交易行為。
A、行政手段
B、合同
C、誠信
D、道德
2、根據《民法通則》,自然人作為合同法律關系主體必須具備的條件是()。
A、取得相應的執業資格證書
B、有依法成立的公司
C、具有中華人民共和國國籍
D、具備相應的民事權利能力和民事行為能力
3、下列合同中,合同法律關系客體屬于物的是()。
A、借款合同
B、勘察合同
C、施工合同
D、技術轉讓合同
4、下列引起合同法律關系產生、變更與消滅的法律事實仲裁,屬于“行為”的是()。
A、因國際禁運解除進口設備運輸合同
B、因戰爭導致在建工程合同工期延長
C、因建設意圖改變,建設單位和施工單位協商變更工程承包范圍
D、因工程所在地山體滑坡,建設單位和施工單位協商解除合同
5、施工企業法定代表人授權項目經理進行工程項目t投標,中標后***的合同義務由()c承擔。
A、施工企業法定代表人
B、擬派項目經理
C、施工項目部
D、施工企業
6、公司甲以其自有辦公樓作為抵押物為公司乙向銀行申請貸款***,并在登記機關辦理了抵押登記,該擔保法律關系中,抵押人為()。
A、公司甲
B、公司乙
C、銀行
D、登記機關
7、某施工招標項目投標截止日為4月30日,評標時間為5個工作日,招標人發出中標通知書的時間為5月15日,招標人與中標人簽訂的合同時間為6月14日,則該項目施工投標保證的有效期截止時間為()。
A、4月30日
B、5月5日
C、5月15日
D、6月14日
8、某工程投標了建設工程一切險,在施工期間現場發生下列事件造成損失,保險人負責賠償的事件是()。
A、大雨造成現場檔案資料損毀
B、雷電擊毀現場施工用配電柜
C、設計錯誤導致部分工程拆除重建
D、施工機械過度磨損需要停工檢修
9、編制施工招標項目的資格預審文件和招標文件時,必須不加修改地引用《標準施工招標資格預審文件》和《標準施工招標文件》中的()。
A、申請人須知前附表
B、資格審查辦法
C、投標人須知前附表
D、資格預審公告
10、根據《招標投標法實施條例》招標人可以采用兩階段招標的項目是()。
A、建設規模100萬m2以上,建設周期3年以上的項目
B、項目初步設計已完成且施工圖設計尚未完成的項目
C、技術復雜或者無法精確擬定技術規范的項目
D、構成內容多且專業性強的大型項目
11、招標項目設有標底的,標底應當在()時公布。
A、公布招標公告
B、發售招標文件
C、開標
D、評標
12、某招標項目,招標人在原定投標截止之日前10天發出最后一份書面答疑文件,則此時投標截止時間至少延長()天。
A、5
B、10
C、15
D、20
13、關于延長投標有效期的說法,錯誤的是()。
A、需要延長投標有效期時,招標人應以書面形式t通知所有投標人
B、投標人統一延長投標有效期,其投標保證金的有效期相應延長
C、投標人可以拒絕y延長投標有效期,但會失去參與投標競爭的資格
D、投標人j拒絕延長投標有效期的,無權收回投標保證金
14、根據《招標投標法》,投標人可以在()期間撤回標書并收回投標保證金。
A、收到中標通知書至簽訂合同
B、評標結束至確定中標人
C、開標至評標結束
D、提交標書至投標截止時間
15、根據《標準施工招標資格預審文件》,應在資格預審初步審查階段對投標申請人審查的內容是()。
A、提供資料的有效性和完整性
B、企業資質條件
C、擬派項目經理資格
D、企業類似工程業績
16、施工評標中,審查投標人名稱與資質證書的名稱是否一致,屬于()評審的內容。
A、資格
B、程序
C、響應性
D、形式
17、根據《標準施工招標文件》,對于大型復雜工程,有特殊專業施工技術和經驗要求的施工招標,宜采用的評標方法是()。
A.最低投標價法
B.經評審的最低投標價法
C.最合理報價評審法
D.綜合評估法
18、施工評標過程中,發現投標報價大寫金額與小寫金額不一致時,評標委員會正確的處理辦法是()。
A.以小寫金額為準修正投標報價并經投標人書面確認
B.以大寫金額為準修正投標報價并經投標人書面確認
C.由投標人書面澄清,按大寫或按小寫來計算投標報價
D.將該投標文件直接作廢標處理
19、某采用經評審的最低投標價法評標的項目,其評標價比較 如下: 投標人 甲 乙 丙 投標報價(萬元)3200 3500 3400 ****(萬元)0-100-50 ****(萬元)160-50 20
則第一中標候選人的評標價格和投標報價分別為()萬元。
A.3200和3200
B.3360和3200
C.3350和3500
D.3370和3400
20、對復雜而又缺乏經驗的工程設計,可采用三階段設計,一般不單獨進行()招標。
A.概念設計
B.初步設計
C.技術設計
D.施工圖設計
21、設計評標時,設計進度計劃評審的主要**進度計劃()。A、滿足邊設計邊施工的要求
B、有利于加快施工進度
C、與工程勘察實際進度同步
D、滿足招標人指定的項目建設進度計劃要求
22、制定工程材料設備采購招標工作方案時,分階段招標的計劃應以()為關鍵約束條件。
A、最大限度減少資金時間價值
B、到貨時間滿足施工進度計劃
C、采購資金落實到位情況
D、保證庫存周期最短
23、根據勘察設計管理的規定,不得承接某專業工程設計業務的是取得()的企業。
A、工程設計綜合資質
B、本專業所屬行業相應等級設計資質
C、本專業所屬行業更高等級設計資質
D、工程設計專項資質
24、根據《建設工程勘察合同(示范文本)》,若有毒、有害等危險勘察現場作業需要看守時,應由()**人員負責安全保衛工作。
A、發包人
B、勘察人
C、監理人
D、項目施工單位
25、根據《建設工程設計合同(示范文本)》,關于違約責任的說法,正確的是()。A、發包人要求**合同,設計人未開始工作的,不退還定金
B、合同生效后,設計人要求終止合同的,應全額返還定金
C、發包人上級部門對設計文件不審批導致項目停建,設計人應減收設計費
D、因設計**工程質量事故的,設計人應免收工程全部設計費
26、根據《標準施工合同》,合同附件格式包括()。
A、項目經理任命書
B、合同協議書
C、工程設備表
D、建筑材料表
27、根據《標準施工合同》,關于預付款擔保方式及生效的說法,正確的是()。
A、采用無條件擔保方式,并自預付款支付給承包人起生效
B、采用有條件擔保方式,并自預付款支付給承包人起生效
C、采用無條件擔保方式,并自合同協議書簽訂之日起生效
D、采用有條件擔保方式,并自合同協議書簽訂之日起生效
28、根據《標準施工合同》,當中標通知書、圖紙和專用合同條款出現含義或內容矛盾時,合同文件的優先解釋的順序是()。
A、圖紙→專用合同條款→中標通知書
B、圖紙→中標通知書→專用合同條款
C、中標通知書→圖紙→專用合同條款
D、中標通知書→專用合同條款→圖紙
29、為了明確劃分由于政策法規變化或市場物價浮動對合同價格影響的責任,《標準施工合同》中的通用條款規定的基準日期是指()。
A、投標截止日前第14天
B、投標截止日前第28天
C、招標公告發布之日前第14天
D、招標公告發布之日前第28天
30、根據《標準施工合同》,投保“建筑工程一切險”的正確做法是()。
A、承包人負責投保,并承擔辦理保險的費用
B、發包人負責投保,并承擔辦理保險的費用
C、承包人負責投保,發包人承擔辦理保險的費用
D、發包人負責投保,承包人承擔辦理保險的費用
31、根據《標準施工合同》,發包人在工程施工準備階段的義務是()。
A、組織施工單位測設施工控制網
B、組織監理單位編制施工組織設計
C、組織設計單位進行設計交底
D、組織監察單位進行現場勘查
32、根據《標準施工合同》,合同工期應自()載明了開工日起計算。
A、發包人發出的中標通知書
B、監理人發出的開工通知
C、合同雙方簽訂的合同協議書
D、監理人批準的施工進度計劃
33、根據《標準施工合同》,因承包人原因逾期竣工時,承包人應支付逾期竣工違約金,最高賠償限額為()。
A.公尺結算價的2%
B.簽約合同價的2%
C.工程結算加的3%
D.簽約合同價的3%
34、根據《標準施工合同》,對于發包人提供的材料和工程設備,承包人應在約定時間內()共同進行驗收。
A.會同監理人在交貨地點
B.會同發包人代表、監理人在交貨地點
C.會同監理人在施工現場
D.會同發包人代表、監理人在施工現場
35、根據《標準施工合同》,因承包人原因未在約定的工期內竣工時,原約定j竣工日的價格指數和實際支付日的價格指數會有所不同,后續支付時應將()作為支付計算的價格指數。
A、兩個價格指數中的較高者
B、兩個價格指數中的均值
C、兩個價格指數中的較低者
D、兩個價格指數按約定**的均值
36、工程施工過程中,對于變更工作的單價在已標價工程量清單中無法適用或類似子目時,應由監理人按照()的原則商定或確定。
A、成本加酬金
B、成本加利潤
C、成本加規費
D、直接成本加間接成本
37、根據《標準施工合同》,發包人在收到承包人竣工驗收申請報告()天后未進行驗收,視為驗收h合格。A、14
B、28
C、42
D、56
38、建設工程采用設計施工總承包模式的優點有()。
A、減少設計變更
B、易獲得最優設計方案
C、加強發包人對承包人的監督
D、減少承包人的風險
39、根據《標準施工總承包招標文件》中的《合同條款及格式》,下列文件中,屬于設計施工總承包合同組成文件的是()。
A、工程量清單
B、發包人要求
C、單位分析表
D、發包人建議
40、建設工程設計施工總承包合同中“承包人文件”最重要的組成內容是()。
A、價格清單
B、分析軟件
C、設計文件
D、計算書
41、根據《標準施工總承包招標文件》中的《合同條款及格式》,承包人應保證其投保需第三者責任險在()前一直有效。
A、簽發工程驗收證書
B、出具最終結清證書
C、提交竣工驗收報告
D、頒發缺陷責任期終止證書
42、根據《標準施工總承包招標文件》中的《合同條款及格式》,承包人應根據價格清單中的價格構成、費用性質、計劃發生時間和相應工作量等因素編制()。
A、工程進度款z支付分解表
B、投資計劃使用分配表
C、工程進度款使用計劃表
D、建設資金平衡表
43、根據《標準施工總承包招標文件》中的《合同條款及格式》,竣工試驗分三階段進行,其中第一階段j進行的是()。
A、聯動試車
B、保證工程滿足合同要求的試驗
C、功能性試驗
D、產能及環保指標測試
44、建設工程材料設備采購合同屬于買賣合同,除法律有特殊規定外,作為合同成立的條件是()。
A、標的物交付
B、當事人之間意思表示一致
C、貨款交付
D、材料設備所有權轉移
45、對于需要進行抽樣檢查的工程材料,應在材料采購合同中約定的內容有()。
A、抽檢比例和取樣方法
B、抽檢數量和檢測方法
C、檢測方法和抽檢比例
D、取樣方法和抽檢數量
46、材料采購合同履行中,可采用判定現場交貨材料質量是否符合要求的f方法是()。
A、類比衡量法
B、理論換算法
C、尾差分析法
D、經驗鑒別法
47、設備采購合同履行中,賣方根據合同規定承擔的與供貨有關的輔助服務稱為()。
A、附加服務
B、額外服務
C、伴隨服務
D、增至服務
48、FIDIC《施工h合同條件》中的“助手”相當于我國工程項目管理中的()。
A、專業監理工程師
B、建設單位代表
C、監理員
D、施工項目技術負責人
49、根據FIDIC《施工合同文件》,關于指定分包商的說法,正確的是()。
A、承包商部分拒絕與雇主選定的分包單位簽訂指定分包合同
B、承包商對指定分包商的施工協調收取相應管理費
C、在施工合同履行過程中雇主可根據需要指定分包內容
D、承包商對指定分包商的違約承擔連帶責任
50、根據NEC《工程施工合同》,對于簽訂合同時價格已經確的合同屬于()。
A、目標合同
B、標價合同
C、管理合同
D、成本補償合同
二、多項選擇題。(共30題,每題2分。每題的備選項中,有2個或2個以上符合題意,至少有1個錯項。錯選,本題不得分;少選,所選的每個選項得0.5分)
51、下列施工合同條款中,屬于合同法律關系內容的有()。
A、發包人名稱
B、承包人名稱
C、發承包項目名稱
D、提供施工場地的約定
E、工程價款結算的約定
52、關于無權代理的說法,正確的有()。
A、超越代理權限而為的“代理”行為屬于無權代理
B、代理權終止后的“代理”行為的后果直接歸屬“被代理人”
C、對無權代理行為,“被代理人”可以行使“追認權”
D、無權代理行為按一定程序可以轉化為h合法代理行為
E、無權代理行為由行為人承擔民事責任
53、根據《擔保法》,保證合同對擔保范圍設有約定時,保證擔保的范圍包括()。
A、主債權及利息
B、違約金
C、行政罰款
D、損害賠償金
E、實現債權的費用
54、項目實施過程中發生下列情況時,發包人可以憑施工履約保證索取保證金的有()。
A、中標人在簽訂合同時向招標人提出附加條件
B、承包人在施工過程中毀約
C、發生不可抗力導致合同無法履行
D、承包人破產、倒閉使合同不能履行
E、因宏觀經濟形勢變化,發包人要求推遲完工時間
55、關于施工招標資格預審和資格后審的說法,正確的有()。
A、兩者均是考察投標人是否具備圓滿完成招標工程地施工能力
B、通過資格預審的,在評標過程中不需要對投標人資格進行復查
C、資格后審在評標后定標前進行
D、資格后審和資格預審的時間不同
E、資格后審的內容比資格預審少
56、采用兩階段招標的項目,關于第二階段的說法,正確的有()。
A、第二階段開標會上只宣讀修改后的技術標
B、第二階段評標不再召開投標書問題澄清會
C、未按第一階段提出的要求進行修改的標書將被淘汰
D、第二階段評標的重點是各投標人的投標報價
E、第二階段要對各投標人的投標報價進行評審
57、下列文件中,屬于招標文件組成內容的有()。
A、投標人針對招標文件提出的質疑
B、投標預備會的會議紀要
C、對投標人質疑的書面解答
D、招標人發布的資格預審公告
E、招標人對投標文件的修改
58、關于投標預備會的說法,正確的有()。
A、投標預備會是法定的招標程序
B、投標預備會上應進行招標工程交底
C、投標預備會由工程監理單位組織召開
D、投標預備會應澄清投標人提出的質疑
E、投標預備會后投標人不得再提出質疑的問題
59、根據《標準施工招標資格預審文件》,下列單位中,將被拒絕作為資格預審申請人的有()
A、承擔本標段設計任務的設計施工總承包單位。
B、本標段的監理人
C、與本標段招標代理機構同為一個法定代表人的單位
D、與招標人同屬一個行政主管部門的單位
E、招標人不具備獨立法人資格的附屬機構
60、根據《招標投標法實施條例》,下列情形中,視為投標人相互串通的有()。
A、投標人d的投標報價與招標標底一致
B、不同投標人的投標文件由同一單位編制
C、不同投標人委托同一單位辦理投標事宜
D、不同投標人的投標函格式相同
E、不同投標人的投標文件異常一致
61.關于經評審的最低投標價法的說法,正確的有()。
A、該方法適用于具有通用技術、性能標準沒有特殊要求的項目評標
B、該方法一般將投標人施工組成設計審查放在初步評審階段
C、中標人應按其經評審的最低投標價與招標人簽訂合同
D、投標人不得在標書中以若中標可以優惠降低的方式提出兩個報價
E、投標人可以低于成本的價格報價
62、國有資金控股必須依法招標的項目,招標人可以選擇排名第二的中標候選人為中標人的情形有()。
A、排名第一的中標候選人放棄中標
B、排名第一的中標候選人因不可抗力提出不能履行合同
C、招標人認為排名第一的中標候選人價格提高
D、第一中標候選人未按招標文件要求提交合約保證金
E、第一中標候選人為接受招標人提出縮短工期要求
63、機電設備采購招標范圍的伴隨服務內容包括()。
A、負責所供貨的設備監造
B、提供貨物組裝和維修所需的專用工具
C、提供詳細的操作和維護手冊
D、監管施工承包商的設備安裝并對安裝質量負責
E、對買方的維修、運行和管理人員進行培訓
64、建設工程勘察合同委托的工作內容有()。
A、工程放線測量
B、大地測量
C、結算工程量測量
D、水文地質勘察
E、工程地質勘察
65、根據《建設工程設計合同(示范文本)》,設計方的合同責任有()。
A、保護設計方案、圖紙、數據等知識產權
B、保證設計質量滿足規定的標準和合同要求
C、施工圖設計完成后報送建設行政主管部門審批
D、負責向發包人和施工單位進行設計交底
E、解決施工過程出現的設計問題
66、根據《標準施工合同》,合同協議書中需要明確填寫的內容有()。
A、施工工程或標段
B、工程結算方式
C、質量標準
D、合同組成文件
E、變更處理程序
67、根據《標準施工合同》,如果承包人有專利技術且有相應設計資質,雙方約定由承包人完成部分工程施工圖設計時,需要在d訂立合同時明確的內容有()。
A、發包人提交施工圖審查的時間
B、承包人的設計范圍
C、承包人提交設計文件的期限
D、承包人提交設計文件的數量
E、監理人簽發圖紙修改的期限
68、如果投保工程一切險的保險金額少于工程實際價值,工程因保險事件的損害師,正確做法有()。
A、保險公司按投保的保險金額所占b百分比賠償實際損失
B、損失賠償的不足部分由保險事件的風險責任方負責賠償
C、永久工程損失賠償的不足部分由發包人承擔
D、已完成工程損失由承包人承擔
E、施工設備和進場材料損失由保險公司承擔
69、根據《標準施工合同》,關于簽約合同價的說法,正確的有()。
A、簽約合同價不包括承包人利潤
B、簽約合同價即為中標價
C、簽約合同價包含暫列金額、暫估價
D、簽約合同價是承包方履行合同義務后應得的全部工程價款
E、簽約合同價應在合同協議書中寫明
70、根據《標準施工合同》,關于工程計量的說法,正確的有()。
A、單價子目已完工程量按月計算
B、總價子目的計量支付不考慮市場價格浮動
C、總價子目已完工程量按月計算
D、總價子目表中標明的工程量通常不進行現場計量
E、總價子目表中標明的工程量通常不進行圖紙計量
71、根據《標準施工合同》,工程施工中承包人有權獲得費用補償和工期延期,并獲得合理利潤的情形有()。
A、發現文物、石化等的處理
B、發包人改變合同中任何一項工作的質量要求
C、發包人未按合同約定及時支付工程進度款導致暫停施工
D、隱蔽工程重新檢驗質量合格
E、不可抗力事件發生后的清理工作
72、工程施工專業分包人與勞務分包人的區別有()。
A、保險責任不同
B、安全生產管理職責不同
C、勞務人員管理方式不同
D、施工組織不同
E、施工質量責任期限不同
73、根據《標準設計施工總承包招標文件》中的《合同條款及格式》,關于聯合體承包的說法,正確的有()。
A、聯合體協議經監理人確認后作為合同附件
B、聯合體牽頭人負責組織合協調聯合體成員全面履行合同
C、承包人可根據需要自行修改聯合體協議
D、聯合體的組織合內容分工是重要的評標內容
E、承包人可根據需要自選調整聯合體組成
74、根據《標準設計施工總承包招標文件》中的《合同條款及格式》,通常有兩種約定形式,需要合同雙方在專用條款中約定的內容有()。
A、施工場地臨時道路通行權的取得
B、材料和工程設備的提供方
C、計日工和暫估價的補償方式
D、施工圖設計文件的提供方
E、竣工后試驗的責任方
75、根據《標準設計施工總承包招標文件》中的《合同條款及格式》,發包人應投保的保險有()。
A、職業責任險
B、現場人員工傷保險
C、第三者責任險
D、設計和工程保險
E、現場人員意外傷害保險
76、根據《標準設計施工總承包招標文件》中的《合同條款及格式》,關于竣工驗收及竣工后試驗的說法,正確的有()。
A、承包人應在竣工試驗通過后按合同約定進行工程設備試運行
B、承包人應提前21天將申請竣工試驗的通知送達監理人
C、工程驗收合格后,發包人直接向承包人簽發工程接收證書
D、竣工后試驗通常在缺陷責任期內工程安全穩定運行一段時間后進行
E、工程接收證書中注明的實際竣工日期以驗收合格的日期為準
77、材料采購合同履行z中,可用于現場交貨數量驗收的方法有()。
A、磅差分析法
B、查點法
C、經驗鑒別法
D、衡量法
E、理論換算法
78、根據《機電產品采購國際競爭性招標文件》,賣方應在設備包裝箱相鄰的四面不可擦除的油漆和明顯的英語字樣標出該設備的()。
A、合同號
B、目的港
C、出發港
D、收貨人編號
E、提單號
79、根據FIDIC《施工合同文件》,保證金在工程款頒發(A、工程移交證書
B、工程接受證書
C、履約證書
D、缺陷責任期終止證書
E、工程保修書
80、關于風險CM模式的說法,正確的有()。
A、CM合同屬于管理承包合同
B、CM合同采用成本加酬金的計價方式
C、CM承包商不賺取總包、分包合同的差價
D、CM承包商屬于專業咨詢機構
E、CM承包商在工程設計階段參與合同管理)后分次返還。
第五篇:2016下半年軟考信息安全工程師考試真題及答案
2016下半年信息安全工程師考試真題
一、單項選擇
1、以下有關信息安全管理員職責的敘述,不正確的是()A、信息安全管理員應該對網絡的總體安全布局進行規劃 B、信息安全管理員應該對信息系統安全事件進行處理 C、信息安全管理員應該負責為用戶編寫安全應用程序 D、信息安全管理員應該對安全設備進行優化配置 參考答案:C
2、國家密碼管理局于2006年發布了“無線局域網產品須使用的系列密碼算法”,其中規定密鑰協商算法應使用的是()A、DH B、ECDSA C、ECDH D、CPK 參考答案:C
3、以下網絡攻擊中,()屬于被動攻擊 A、拒絕服務攻擊 B、重放 C、假冒 D、流量分析 參考答案:D
4、()不屬于對稱加密算法 A、IDEA B、DES C、RCS D、RSA 參考答案:D
5、面向身份信息的認證應用中,最常用的認證方法是()A、基于數據庫的認證 B、基于摘要算法認證 C、基于PKI認證 D、基于賬戶名/口令認證 參考答案:D
6、如果發送方使用的加密密鑰和接收方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統稱為()A、公鑰加密系統 B、單密鑰加密系統 C、對稱加密系統 D、常規加密系統 參考答案:A
7、S/Key口令是一種一次性口令生產方案,它可以對抗()A、惡意代碼木馬攻擊 B、拒絕服務攻擊 C、協議分析攻擊 D、重放攻擊 參考答案:D
8、防火墻作為一種被廣泛使用的網絡安全防御技術,其自身有一些限制,它不能阻止()
A、內部威脅和病毒威脅 B、外部攻擊
C、外部攻擊、外部威脅和病毒威脅 D、外部攻擊和外部威脅 參考答案:A
9、以下行為中,不屬于威脅計算機網絡安全的因素是()A、操作員安全配置不當而造成的安全漏洞
B、在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息
C、安裝非正版軟件 D、安裝蜜罐系統 參考答案:D
10、電子商務系統除了面臨一般的信息系統所涉及的安全威脅之外,更容易成為黑客分子的攻擊目標,其安全性需求普遍高于一般的信息系統,電子商務系統中的信息安全需求不包括()A、交易的真實性
B、交易的保密性和完整性 C、交易的可撤銷性 D、交易的不可抵賴性 參考答案:C
11、以下關于認證技術的敘述中,錯誤的是()A、指紋識別技術的利用可以分為驗證和識別 B、數字簽名是十六進制的字符串
C、身份認證是用來對信息系統中實體的合法性進行驗證的方法 D、消息認證能夠確定接收方收到的消息是否被篡改過 參考答案:B
12、有一種原則是對信息進行均衡、全面的防護,提高整個系統的安全性能,該原則稱為()A、動態化原則 B、木桶原則 C、等級性原則 D、整體原則 參考答案:D
13、在以下網絡威脅中,()不屬于信息泄露 A、數據竊聽 B、流量分析 C、偷竊用戶賬戶 D、暴力破解 參考答案:D
14、未授權的實體得到了數據的訪問權,這屬于對安全的()A、機密性 B、完整性 C、合法性 D、可用性 參考答案:A
15、按照密碼系統對明文的處理方法,密碼系統可以分為()A、置換密碼系統和易位密碼 B、密碼學系統和密碼分析學系統 C、對稱密碼系統和非對稱密碼系統 D、分級密碼系統和序列密碼系統 參考答案:A
16、數字簽名最常見的實現方法是建立在()的組合基礎之上 A、公鑰密碼體制和對稱密碼體制 B、對稱密碼體制和MD5摘要算法 C、公鑰密碼體制和單向安全散列函數算法 D、公證系統和MD4摘要算法 參考答案:C
17、以下選項中,不屬于生物識別方法的是()A、指紋識別 B、聲音識別 C、虹膜識別 D、個人標記號識別 參考答案:D
18、計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效應的確定和提取。以下關于計算機取證的描述中,錯誤的是()
A、計算機取證包括對以磁介質編碼信息方式存儲的計算機證據的提取和歸檔 B、計算機取證圍繞電子證據進行,電子證據具有高科技性等特點
C、計算機取證包括保護目標計算機系統,確定收集和保存電子證據,必須在開計算機的狀態下進行
D、計算機取證是一門在犯罪進行過程中或之后手機證據 參考答案:C
19、注入語句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不僅可以判斷服務器的后臺數據庫是否為SQL-SERVER,還可以得到()A、當前連接數據庫的用戶數據 B、當前連接數據庫的用戶名 C、當前連接數據庫的用戶口令 D、當前連接的數據庫名 參考答案:B
20、數字水印技術通過在數字化的多媒體數據中嵌入隱蔽的水印標記,可以有效地對數字多媒體數據的版權保護等功能。以下各項工,不屬于數字水印在數字版權保護必須滿足的基本應用需求的是()A、安全性 B、隱蔽性 C、魯棒性 D、可見性 參考答案:D
21、有一種攻擊是不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓。這種攻擊叫做()A、重放攻擊 B、拒絕服務攻擊 C、反射攻擊 D、服務攻擊 參考答案:B
22、在訪問因特網時,為了防止Web頁面中惡意代碼對自己計算機的損害,可以采取的防范措施是()
A、將要訪問的Web站點按其可信度分配到瀏覽器的不同安全區域 B、在瀏覽器中安裝數字證書 C、利用IP安全協議訪問Web站點 D、利用SSL訪問Web站點 參考答案:A
23、下列說法中,錯誤的是()
A、服務攻擊是針對某種特定攻擊的網絡應用的攻擊 B、主要的滲入威脅有特洛伊木馬和陷阱 C、非服務攻擊是針對網絡層協議而進行的
D、對于在線業務系統的安全風險評估,應采用最小影響原則 參考答案:B
24、依據國家信息安全等級保護相關標準,軍用不對外公開的信息系統至少應該屬于()
A、二級及二級以上 B、三級及三級以上 C、四級及四級以上 D、無極 參考答案:B
25、電子郵件是傳播惡意代碼的重要途徑,為了防止電子郵件中的惡意代碼的攻擊,用()方式閱讀電子郵件 A、網頁 B、純文本 C、程序 D、會話 參考答案:B
26、已知DES算法的S盒如下: 如果該S盒的輸入110011,則其二進制輸出為()A、0110 B、1001 C、0100 D、0101 參考答案:C
27、在IPv4的數據報格式中,字段()最適合于攜帶隱藏信息 A、生存時間 B、源IP地址 C、版本 D、標識 參考答案:D
28、Kerberos是一種常用的身份認證協議,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA 參考答案:B
29、以下關于加密技術的敘述中,錯誤的是()A、對稱密碼體制的加密密鑰和解密密鑰是相同的 B、密碼分析的目的就是千方百計地尋找密鑰或明文 C、對稱密碼體制中加密算法和解密算法是保密的 D、所有的密鑰都有生存周期 參考答案:C
30、移動用戶有些屬性信息需要受到保護,這些信息一旦泄露,會對公眾用戶的生命財產安全構成威脅。以下各項中,不需要被保護的屬性是()A、用戶身份(ID)B、用戶位置信息 C、終端設備信息 D、公眾運營商信息 參考答案:D
31、以下關于數字證書的敘述中,錯誤的是()A、證書通常有CA安全認證中心發放 B、證書攜帶持有者的公開密鑰
C、證書的有效性可以通過驗證持有者的簽名 D、證書通常攜帶CA的公開密鑰 參考答案:D
32、密碼分析學是研究密碼破譯的科學,在密碼分析過程中,破譯密文的關鍵是()A、截獲密文
B、截獲密文并獲得密鑰
C、截獲密文,了解加密算法和解密算法 D、截獲密文,獲得密鑰并了解解密算法 參考答案:D
33、利用公開密鑰算法進行數據加密時,采用的方法是()A、發送方用公開密鑰加密,接收方用公開密鑰解密 B、發送方用私有密鑰加密,接收方用私有密鑰解密 C、發送方用公開密鑰加密,接收方用私有密鑰解密 D、發送方用私有密鑰加密,接收方用公開密鑰解密 參考答案:C
34、數字信封技術能夠()
A、對發送者和接收者的身份進行認證 B、保證數據在傳輸過程中的安全性 C、防止交易中的抵賴發送 D、隱藏發送者的身份 參考答案:B
35、在DES加密算法中,密鑰長度和被加密的分組長度分別是()A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位 參考答案:A
36、甲不但懷疑乙發給他的被造人篡改,而且懷疑乙的公鑰也是被人冒充的,為了消除甲的疑慮,甲和乙決定找一個雙方都信任的第三方來簽發數字證書,這個第三方為()
A、國際電信聯盟電信標準分部(ITU-T)B、國家安全局(NSA)C、認證中心(CA)D、國家標準化組織(ISO)參考答案:C
37、WI-FI網絡安全接入是一種保護無線網絡安全的系統,WPA加密模式不包括()
A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK 參考答案:C
38、特洛伊木馬攻擊的威脅類型屬于()A、授權侵犯威脅 B、滲入威脅 C、植入威脅 D、旁路控制威脅 參考答案:C
39、信息通過網絡進行傳輸的過程中,存在著被篡改的風險,為了解決這一安全問題,通常采用的安全防護技術是()A、加密技術 B、匿名技術 C、消息認證技術 D、數據備份技術 參考答案:C
40、甲收到一份來自乙的電子訂單后,將訂單中的貨物送達到乙時,乙否認自己曾經發送過這份訂單,為了解除這種紛爭,采用的安全技術是()A、數字簽名技術 B、數字證書 C、消息認證碼 D、身份認證技術 參考答案:A
41、目前使用的防殺病毒軟件的作用是()
A、檢查計算機是否感染病毒,清除已感染的任何病毒 B、杜絕病毒對計算機的侵害
C、查出已感染的任何病毒,清除部分已感染病毒 D、檢查計算機是否感染病毒,清除部分已感染病毒 參考答案:D
42、IP地址分為全球地址和專用地址,以下屬于專用地址的是()A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 參考答案:B
43、下列報告中,不屬于信息安全風險評估識別階段的是()A、資產價值分析報告 B、風險評估報告 C、威脅分析報告
D、已有安全威脅分析報告 參考答案:B
44、計算機犯罪是指利用信息科學技術且以計算機跟蹤對象的犯罪行為,與其他類型的犯罪相比,具有明顯的特征,下列說法中錯誤的是()A、計算機犯罪具有隱蔽性
B、計算機犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、計算機犯罪具有很強的破壞性 D、計算機犯罪沒有犯罪現場 參考答案:D
45、以下對OSI(開放系統互聯)參考模型中數據鏈路層的功能敘述中,描述最貼切是()
A、保證數據正確的順序、無差錯和完整 B、控制報文通過網絡的路由選擇 C、提供用戶與網絡的接口 D、處理信號通過介質的傳輸 參考答案:A
46、深度流檢測技術就是以流為基本研究對象,判斷網絡流是否異常的一種網絡安全技術,其主要組成部分通常不包括()A、流特征選擇 B、流特征提供 C、分類器 D、響應 參考答案:D
47、一個全局的安全框架必須包含的安全結構因素是()A、審計、完整性、保密性、可用性
B、審計、完整性、身份認證、保密性、可用性 C、審計、完整性、身份認證、可用性 D、審計、完整性、身份認證、保密性 參考答案:B
48、以下不屬于網絡安全控制技術的是()A、防火墻技術 B、訪問控制 C、入侵檢測技術 D、差錯控制 參考答案:D
49、病毒的引導過程不包含()A、保證計算機或網絡系統的原有功能 B、竊取系統部分內存
C、使自身有關代碼取代或擴充原有系統功能 D、刪除引導扇區 參考答案:D
50、網絡系統中針對海量數據的加密,通常不采用()A、鏈路加密 B、會話加密 C、公鑰加密 D、端對端加密 參考答案:C
51、安全備份的策略不包括()A、所有網絡基礎設施設備的配置和軟件 B、所有提供網絡服務的服務器配置 C、網絡服務
D、定期驗證備份文件的正確性和完整性 參考答案:C
52、以下關于安全套接層協議(SSL)的敘述中,錯誤的是()A、是一種應用層安全協議 B、為TCP/IP連接提供數據加密 C、為TCP/IP連接提供服務器認證 D、提供數據安全機制 參考答案:A
53、入侵檢測系統放置在防火墻內部所帶來的好處是()A、減少對防火墻的攻擊 B、降低入侵檢測
C、增加對低層次攻擊的檢測 D、增加檢測能力和檢測范圍 參考答案:B
54、智能卡是指粘貼或嵌有集成電路芯片的一種便攜式卡片塑膠,智能卡的片內操作系統(COS)是智能卡芯片內的一個監控軟件,以下不屬于COS組成部分的是()
A、通訊管理模塊 B、數據管理模塊 C、安全管理模塊 D、文件管理模塊 參考答案:B
55、以下關于IPSec協議的敘述中,正確的是()A、IPSec協議是解決IP協議安全問題的一 B、IPSec協議不能提供完整性 C、IPSec協議不能提供機密性保護 D、IPSec協議不能提供認證功能 參考答案:A
56、不屬于物理安全威脅的是()A、自然災害 B、物理攻擊 C、硬件故障
D、系統安全管理人員培訓不夠 參考答案:D
57、以下關于網絡釣魚的說法中,不正確的是()A、網絡釣魚融合了偽裝、欺騙等多種攻擊方式 B、網絡釣魚與Web服務沒有關系
C、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上 D、網絡釣魚是“社會工程攻擊”是一種形式 參考答案:B
58、以下關于隧道技術說法不正確的是()
A、隧道技術可以用來解決TCP/IP協議的某種安全威脅問題 B、隧道技術的本質是用一種協議來傳輸另外一種協議 C、IPSec協議中不會使用隧道技術 D、虛擬專用網中可以采用隧道技術 參考答案:C
59、安全電子交易協議SET是有VISA和MasterCard兩大信用卡組織聯合開發的電子商務安全協議。以下關于SET的敘述中,正確的是()A、SET是一種基于流密碼的協議
B、SET不需要可信的第三方認證中心的參與
C、SET要實現的主要目標包括保障付款安全,確定應用的互通性和達到全球市場的可接受性
D、SET通過向電子商務各參與方發放驗證碼來確認各方的身份,保證網上支付的安全性 參考答案:C
60、在PKI中,不屬于CA的任務是()A、證書的辦法 B、證書的審改 C、證書的備份 D、證書的加密 參考答案:D
61、以下關于VPN的敘述中,正確的是()
A、VPN指的是用戶通過公用網絡建立的臨時的、安全的連接
B、VPN指的是用戶自己租用線路,和公共網絡物理上完全隔離的、安全的線路 C、VPN不能做到信息認證和身份認證
D、VPN只能提供身份認證,不能提供數據加密的功能 參考答案:A 62、掃描技術()A、只能作為攻擊工具 B、只能作為防御工具
C、只能作為檢查系統漏洞的工具 D、既可以作為工具,也可以作為防御工具 參考答案:D
63、包過濾技術防火墻在過濾數據包時,一般不關心()A、數據包的源地址 B、數據包的協議類型 C、數據包的目的地址 D、數據包的內容 參考答案:D
64、以下關于網絡流量監控的敘述中,不正確的是()
A、流量檢測中所檢測的流量通常采集自主機節點、服務器、路由器接口和路徑等
B、數據采集探針是專門用于獲取網絡鏈路流量的硬件設備 C、流量監控能夠有效實現對敏感數據的過濾 D、網絡流量監控分析的基礎是協議行為解析技術 參考答案:C
65、兩個密鑰三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密鑰為()A、56 B、128 C、168 D、112 參考答案:D
66、設在RSA的公鑰密碼體制中,公鑰為(c,n)=(13,35),則私鑰為()A、11 B、13 C、15 D、17 參考答案:B
67、雜湊函數SHAI的輸入分組長度為()比特 A、128 B、258 C、512 D、1024 參考答案:C
68、AES結構由以下4個不同的模塊組成,其中()是非線性模塊 A、字節代換 B、行移位 C、列混淆 D、輪密鑰加 參考答案:A 69、67mod119的逆元是()A、52 B、67 C、16 D、19 參考答案:C 70、在DES算法中,需要進行16輪加密,每一輪的子密鑰長度為()A、16 B、32 C、48 D、64 參考答案:C 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas: Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography B、Geography C、Stenography D、Steganography(2)A、methods B、software C、tools D、services(3)A、Member B、Management C、Message D、Mail(4)A、powerful B、sophistication C、advanced D、easy(5)A、least B、most C、much D、less 參考答案:A、A、C、B、A
二、案例分析
試題一(共20分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
研究密碼編碼的科學稱為密碼編碼學,研究密碼破譯的科學稱為密碼分析學,密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術,在信息安全領域有著廣泛的應用。【問題1】(9分)
密碼學的安全目標至少包括哪三個方面?具體內涵是什么? 【問題2】(3分)
對下列違規安全事件,指出各個事件分別違反了安全目標中的哪些項?(1)小明抄襲了小麗的家庭作業。(2)小明私自修改了自己的成績。
(3)小李竊取了小劉的學位證號碼、登錄口令信息、并通過學位信息系統更改了小劉的學位信息記錄和登陸口令,將系統中小劉的學位信息用一份偽造的信息替代,造成小劉無法訪問學位信息系統。【問題3】(3分)
現代密碼體制的安全性通常取決于密鑰的安全,文了保證密鑰的安全,密鑰管理包括哪些技術問題? 【問題4】(5分)
在圖1-1給出的加密過程中,Mi,i=1,2,?,n表示明文分組,Ci,i=1,2,?,n表示密文分組,Z表示初始序列,K表示密鑰,E表示分組加密過程。該分組加密過程屬于哪種工作模式?這種分組密碼的工作模式有什么缺點?
信管網參考答案: 【問題一】
(1)保密性:保密性是確保信息僅被合法用戶訪問,而不被地露給非授權的用戶、實體或過程,或供其利用的特性。即防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。
(2)完整性:完整性是指所有資源只能由授權方或以授權的方式進行修改,即信息未經授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
(3)可用性:可用性是指所有資源在適當的時候可以由授權方訪問,即信息可被授權實體訪問并按需求使用的特性。信息服務在需要時,允許授權用戶或實體使用的特性,或者是網絡部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。【問題二】(1)保密性(2)完整性(3)可用性 【問題三】
答:密鑰管理包括密鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。【問題四】 明密文鏈接模式。缺點:當Mi或Ci中發生一位錯誤時,自此以后的密文全都發生錯誤,即具有錯誤傳播無界的特性,不利于磁盤文件加密。并且要求數據的長度是密碼分組長度的整數倍,否則最后一個數據塊將是短塊,這時需要特殊處理。試題二(共10分)
閱讀下列說明和圖,回答問題1至問題2,將解答填入答題紙的對應欄內。【說明】
訪問控制是對信息系統資源進行保護的重要措施,適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下,按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。
【問題1】(3分)
針對信息系統的訪問控制包含哪些基本要素? 【問題2】(7分)
分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法,即能力表、訪問控制表、訪問控制矩陣下的訪問控制規則。信管網參考答案: 【問題1】
主體、客體、授權訪問 【問題二】 能力表:
(主體)Administrator<(客體)traceroute.mpg:讀取,運行> 訪問控制表:
(客體)traceroute.mpg<(主體)Administrator:讀取,運行> 訪問控制矩陣:
試題三(共19分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。【說明】
防火墻是一種廣泛應用的網絡安全防御技術,它阻擋對網絡的非法訪問和不安全的數據傳遞,保護本地系統和網絡免于受到安全威脅。圖3-1改出了一種防火墻的體系結構。
【問題1】(6分)防火墻的體系結構主要有:(1)雙重宿主主機體系結構;(2)(被)屏蔽主機體系結構;(3)(被)屏蔽子網體系結構; 請簡要說明這三種體系結構的特點。【問題2】(5分)
(1)圖3-1描述的是哪一種防火墻的體系結構?
(2)其中內部包過濾器和外部包過濾器的作用分別是什么? 【問題3】(8分)設圖3-1中外部包過濾器的外部IP地址為10.20.100.1,內部IP地址為10.20.100.2,內部包過濾器的外部IP地址為10.20.100.3,內部IP地址為192.168.0.1,DMZ中Web服務器IP為10.20.100.6,SMTP服務器IP為10.20.100.8.關于包過濾器,要求實現以下功能,不允許內部網絡用戶訪問外網和DMZ,外部網絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2,將對應空缺表項的答案填入答題紙對應欄內。
信管網參考答案: 【問題一】
雙重宿主主機體系結構:雙重宿主主機體系結構是指以一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡與內部網絡的任務。
被屏蔽主機體系結構:被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,主要通過數據包過濾實現內外網絡的隔離和對內網的保護。
被屏蔽子網體系結構:被屏蔽子網體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網絡,并且將容易受到攻擊的堡壘主機都置于這個周邊網絡中。其主要由四個部件構成,分別為:周邊網絡、外部路由器、內部路由器以及堡壘主機。【問題二】
(1)屏蔽子網體系結構。
(2)內部路由器:內部路由器用于隔離周邊網絡和內部網絡,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網絡和外部網絡進行限制。
外部路由器:外部路由器的主要作用在于保護周邊網絡和內部網絡,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則,該規則主要針對外網用戶。【問題三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 試題四(共18分)
閱讀下列說明,回答問題1至問題4,將解答寫在答題紙的對應欄內。【說明】
用戶的身份認證是許多應用系統的第一道防線、身份識別對確保系統和數據的安全保密及其重要,以下過程給出了實現用戶B對用戶A身份的認證過程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此處A和B是認證實體,Nb是一個隨機值,pk(A)表示實體A的公鑰、{B,Nb}pk(A)表示用A的公鑰對消息BNb進行加密處理,b(Nb)表示用哈希算法h對Nb計算哈希值。【問題1】(5分)認證和加密有哪些區別? 【問題2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的選擇應滿足什么條件? 【問題3】(3分)
為什么消息3中的Nb要計算哈希值? 【問題4】(4分)
上述協議存在什么安全缺陷?請給出相應的解決思路。信管網參考答案: 【問題一】
認證和加密的區別在于:加密用以確保數據的保密性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。【問題二】
(1)Nb是一個隨機值,只有發送方B和A知道,起到抗重放攻擊作用。(2)應具備隨機性,不易被猜測。【問題三】
哈希算法具有單向性,經過哈希值運算之后的隨機數,即使被攻擊者截獲也無法對該隨機數進行還原,獲取該隨機數Nb的產生信息。【問題四】
攻擊者可以通過截獲h(Nb)冒充用戶A的身份給用戶B發送h(Nb)。解決思路:用戶A通過將A的標識和隨機數Nb進行哈希運算,將其哈希值h(A,Nb)發送給用戶B,用戶B接收后,利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密,并與接收到的h(A,Nb)進行比較。若兩者相等,則用戶B確認用戶A的身份是真實的,否則認為用戶A的身份是不真實的。試題五(共8分)
閱讀下列說明和代碼,回答問題1和問題2,將解答卸載答題紙的對應欄內。【說明】
某一本地口令驗證函數(C語言環境,X86_32指令集)包含如下關鍵代碼:某用戶的口令保存在字符數組origPassword中,用戶輸入的口令保存在字符數組userPassword中,如果兩個數組中的內容相同則允許進入系統。
【問題1】(4分)
用戶在調用gets()函數時輸入什么樣式的字符串,可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制? 【問題2】(4分)
上述代碼存在什么類型的安全隱患?請給出消除該安全隱患的思路。信管網參考答案: 【問題一】
只要輸入長度為24的字符串,其前12個字符和后12個字符一樣即可。【問題二】
gets()函數必須保證輸入長度不會超過緩沖區,一旦輸入大于12個字符的口令就會造成緩沖區溢出。
解決思路:使用安全函數來代替gets()函數,或者對用戶輸入進行檢查和校對,可通過if條件語句判斷用戶輸入是否越界。
點擊咨詢 