住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據實際調整大?。╊}型12345總分得分一.綜合題(共50題)1.單選題

《計算機信息系統(tǒng)安全保護等級劃分準則》中規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，其中要求計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求的是（

）。

問題1選項

A.系統(tǒng)審計保護級

B.安全標記保護級

C.結構化保護級

D.訪問驗證保護級

【答案】D

【解析】本題考查信息安全保護等級劃分方面的基礎知識。

訪問驗證保護級的計算機信息系統(tǒng)可信計算基需滿足訪問監(jiān)控器需求。

答案選D。

2.單選題

操作系統(tǒng)的安全機制是指在操作系統(tǒng)中利用某種技術、某些軟件來實施一個或多個安全服務的過程。操作系統(tǒng)的安全機制不包括（

）。

問題1選項

A.標識與鑒別機制

B.訪問控制機制

C.密鑰管理機制

D.安全審計機制

【答案】C

【解析】本題考查操作系統(tǒng)安全機制方面的基礎知識。

操作系統(tǒng)的安全機制包括安全審計機制、可信路徑機制、標識與鑒別機制、客體重用機制、訪問控制機制。

答案選C。

3.單選題

在Windows操作系統(tǒng)下，要獲取某個網絡開放端口所對應的應用程序信息，可以使用命令（

）。

問題1選項

A.ipconfig

B.traceroute

C.netstat

D.nslookup

【答案】C

【解析】本題考查Windows操作系統(tǒng)命令的基礎知識。

netstat命令是一一個監(jiān)控TCP/IP網絡的非常有用的工具，它叮以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態(tài)信息。netstat命令的-p選項可以顯示正在使用Socket的程序識別碼和程序名稱。

答案選C。

4.案例題

閱讀下列說明，回答問題1至問題6，將解答填入答題紙的對應欄內。

【說明】

Linux系統(tǒng)通常將用戶名相關信息存放在/etc/passwd文件中，假如有/etc/passwd文件的部分內容如下，請回答相關問題。

【問題1】(2分)

口令字文件/etc/passwd是否允許任何用戶訪問?

【問題2】(2分)

根據上述/etc/passwd顯示的內容，給出系統(tǒng)權限最低的用戶名字。

【問題3】(2分)

在Linux中，/etc/passwd文件中每一行代表一個用戶，每行記錄又用冒號（：）分隔為7個字段，請問Linux操作系統(tǒng)是根據哪個字段來判斷用戶的?

【問題4】(3分)

根據上述/et/passwd顯示的內容，請指出該系統(tǒng)中允許遠程登錄的用戶名。

【問題5】(2分)

Linux系統(tǒng)把用戶密碼保存在影子文件中，請給出影子文件的完整路徑及其名字。

【問題6】(3分)

如果使用1s-a1命令查看影子文件的詳細信息，請給出數字形式表示的影子文件訪問權限。

【答案】【問題1】

允許

【問題2】

user2

【問題3】

第三個字段或者UID字段

【問題4】

user1，user2，sync

【問題5】

/etc/shadow

【問題6】

640或者600或者400或者000

【解析】本題考查Linux系統(tǒng)身份認證和權限控制相關的知識點。

此類題目要求考生對常用的操作系統(tǒng)安全機制有清晰的理解，并對安全機制在操作系統(tǒng)中的具體實現及其使用能熟練掌握。題目圍繞Linux系統(tǒng)的口令字文件/etc/passwd設置相關的考查點。

【問題1】

因為操作系統(tǒng)通常都允許每個用戶修改自己的身份信息包括口令，如果用戶無法訪問/etc/passwd文件,則無法滿足上述要求，因此任何用戶都可以訪問該文件。

【問題2】

Linux系統(tǒng)用戶是根據用戶ID來識別的，用戶ID與用戶名是一一對應的。用戶ID取值范圍是0~65535。0表示超級用戶root,1~499表示系統(tǒng)用戶，普通用戶從500開始。用戶ID由/etc/passwd文件每一行用冒號隔開的第三列表示，由此得知本題的user2的用戶ID值為1000，屬于普通用戶，其權限最低。

【問題3】

Linux系統(tǒng)用戶是根據用戶ID(UserID，簡稱UID)來識別的。

【問題4】

在/etc/passwd的最后一列，可以看到有/usr/sbin/nologin或者為空，通常意味著該用戶無法登錄系統(tǒng)。因此，user1/user2/sync用戶可以登錄。

【問題5】

為了安全起見，用戶口令通常保存在另外-一個文件中，文件路徑和名字為：/etc/shadow。

【問題6】

上述影子文件不像etc/passwd文件，不是每個用戶都可以訪問的，否則每個人都能看到其他用戶加密存儲的口令字。該文件通常只能由root查看和修改，其他用戶是沒有任何訪問權的。具體到不同的Linux類系統(tǒng)稍微有些不同，主要的訪問權限有640或者600或者400或者000。

5.單選題

在需要保護的信息資產中，（

）是最重要的。

問題1選項

A.環(huán)境

B.硬件

C.數據

D.軟件

【答案】C

【解析】本題考查信息資產方面的基礎知識。

在需要保護的信息資產中，未備份的數據若丟失或損壞是難以恢復的，因此數據是最重要的。

答案選C。

6.單選題

為了保護用戶的隱私，需要了解用戶所關注的隱私數據。當前，個人隱私信息分為一般屬性、標識屬性和敏感屬性，以下屬于敏感屬性的是（

）。

問題1選項

A.姓名

B.年齡

C.肖像

D.財物收入

【答案】D

【解析】本題考查用戶隱私方面的基礎的知識。

敏感屬性包括個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息、網絡身份標識信息等。

答案選D。

7.單選題

等級保護2.0對于應用和數據安全，特別增加了個人信息保護的要求。以下關于個人信息保護的描述中，錯誤的是（

）。

問題1選項

A.應僅采集和保存業(yè)務必需的用戶個人信息

B.應禁止未授權訪問和使用用戶個人信息

C.應允許對用戶個人信息的訪問和使用

D.應制定有關用戶個人信息保護的管理制度和流程

【答案】C

【解析】本題考查個人信息保護方面的基礎知識。

應禁止對個人信息的未授權訪問和使用；其他選項描述都是正確的。

答案選C。

8.單選題

身份認證是證實客戶的真實身份與其所聲稱的身份是否相符的驗證過程。目前，計算機及網絡系統(tǒng)中常用的身份認證技術主要有：用戶名/密碼方式、智能卡認證、動態(tài)口令、生物特征認證等。其中能用于身份認證的生物特征必須具有（

）。

問題1選項

A.唯一性和穩(wěn)定性

B.唯一性和保密性

C.保密性和完整性

D.穩(wěn)定性和完整性

【答案】A

【解析】本題考查身份認證的生物特征。

身份認證是證實客戶的真實身份與其所稱的身份是否相符的驗證過程。原則上用于身份認證的生物特征必須具有：普遍性、唯一性、穩(wěn)定性、可采集性。故本題選A。

點播：目前常見的認證依據主要有四類：所知道的秘密信息、所擁有的實物憑證、所具有的生物特征、所表現的行為特征。認證技術方法主要有口令認證技術、智能卡技術、基于生物特征認證技術、Kerberos認證技術等多種實現方式。

9.單選題

計算機取證分析工作中常用到包括密碼破譯、文件特征分析技術、數據恢復與殘留數據分析、日志記錄文件分析、相關性分析等技術，其中文件特征包括文件系統(tǒng)特征、文件操作特征、文件格式特征、代碼或數據特征等。某單位網站被黑客非法入侵并上傳了Webshell，作為安全運維人員應首先從（

）入手。

問題1選項

A.Web服務日志

B.系統(tǒng)日志

C.防火墻日志

D.交換機日志

【答案】A

【解析】本題考查取證分析方面的基礎知識。

注意題目中有提到網站被入侵且上傳了Webshell，針對網站上傳Webshell問題，應首先查看Web服務日志。

答案選A。

10.單選題

強制訪問控制（MAC）可通過使用敏感標簽對所有用戶和資源強制執(zhí)行安全策略。MAC中用戶訪問信息的讀寫關系包括下讀、上寫、下寫和上讀四種，其中用戶級別高于文件級別的讀操作是（

）。

問題1選項

A.下讀

B.上寫

C.下寫

D.上讀

【答案】A

【解析】本題考查強制訪問控制相關知識。

強制訪問控制（MAC）是指系統(tǒng)根據主體和客體的安全屬性，以強制的方式控制主體對客體的訪問，是一種不允許主體干涉的訪問控制類型。根據MAC的安全級別，用戶與訪問的信息的讀寫關系有四種：即：下讀（readdown）：用戶級別高于文件級別的讀操作。上寫（writeup）：用戶級別低于文件級別的寫操作。下寫（writedown）：用戶級別高于文件級別的寫操作。上讀（readup）：用戶級別低于文件級別的讀操作。其中用戶級別高于文件級別的讀寫操作是下讀。故本題選A。

點播：

訪問控制的目標有兩個：防止非法用戶進入系統(tǒng)；阻止合法用戶對系統(tǒng)資源的非法使用，即禁止合法用戶的越權訪問。

訪問控制類型可分為：自主訪問控制、強制訪問控制、基于角色的訪問控制和基于屬性的訪問控制。

11.單選題

在PKI體系中，注冊機構RA的功能不包括（

）。

問題1選項

A.簽發(fā)證書

B.認證注冊信息的合法性

C.批準證書的申請

D.批準撤銷證書的申請

【答案】A

【解析】本題考查PKI的注冊機構方面的基礎知識。

簽發(fā)證書是證書機構CA的功能，不屬于注冊機構RA的功能。像認證注冊信息的合法性、批準證書的申請和批準撤銷證書的申請都屬于RA的功能。答案選A。

12.單選題

報文內容認證使接收方能夠確認報文內容的真實性，產生認證碼的方式不包括（

）。

問題1選項

A.報文加密

B.數字水印

C.MAC

D.HMAC

【答案】B

【解析】本題考查消息認證碼方面的基礎知識。

產生認證碼的方法有以下三種：

①報文加密;

②消息認證碼(MAC);

③基于hash函數的消息認證碼(HMAC)。

答案選B。

13.單選題

惡意代碼是指為達到惡意目的而專門設計的程序或代碼。惡意代碼的一般命名格式為：..。以下惡意代碼中，屬于腳本病毒的是（

）。

問題1選項

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本題考查惡意代碼相關知識。

惡意代碼的英文是MaliciousCode，它是一種違背目標系統(tǒng)安全策略的程序代碼，會造成目標系統(tǒng)信息泄露、資源濫用，破壞系統(tǒng)的完整性及可用性。根據惡意代碼的命名規(guī)則，腳本病毒的共有特性是腳本病毒的前綴是：Script，則屬于腳本病毒的是Script.Redlof。

A為蠕蟲病毒、B為木馬病毒、C為破壞性病毒。

故本題選D。

點播：惡意代碼是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件，也包括故意編制或設置的、對網絡或系統(tǒng)會產生威脅或潛在威脅的計算機代碼。在訪問因特網時，可以采取將要訪問的Web站點按其可信度分配到瀏覽器不同安全區(qū)域的方式防止Web頁面中惡意代碼對自己計算機的損害。

14.單選題

FTP是一個交互會話的系統(tǒng)，在進行文件傳輸時，FTP的客戶和服務器之間需要建立兩個TCP連接，分別是（

）。

問題1選項

A.認證連接和數據連接

B.控制連接和數據連接

C.認證連接和控制連接

D.控制連接和登錄連接

【答案】B

【解析】本題考查FTP文件傳輸協(xié)議相關基礎知識。

FTP的客戶和服務器之間使用兩個TCP連接：一個是控制連接，它一直持續(xù)到客戶進程與服務器進程之間的會話完成為止；另一個是數據連接，按需隨時創(chuàng)建和撤銷。每當一個文件傳輸時，就創(chuàng)建一個數據連接。其中，控制連接被稱為主連接，而數據連接被稱為子連接。

15.單選題

基于MD4和MD5設計的S/Key口令是一種一次性口令生成方案，它可以對訪問者的身份與設備進行綜合驗證，該方案可以對抗（

）。

問題1選項

A.網絡釣魚

B.數學分析攻擊

C.重放攻擊

D.窮舉攻擊

【答案】C

【解析】本題考查Hash算法中的MD4、MD5算法。

網絡釣魚：是一種通過假冒可信方（知名銀行、信用卡公司等）提供網上服務，以欺騙手段獲取敏感個人信息（如口令、銀行卡信息等）的攻擊方式。

數學分析攻擊：是指密碼分析者針對加解密算法的數學基礎和某些密碼學特性，通過數學求解的方法來破譯密碼。數學分析攻擊是對基于數學難題的各種密碼的主要威脅。為了對抗這種數學分析攻擊，應當選用具有堅實數學基礎和足夠復雜的加解密算法。

重放攻擊：也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊，具體是指攻擊者發(fā)送一個目的主機已經接收過的包來達到欺騙系統(tǒng)的目的。重放攻擊主要是在身份認證的過程時使用，它可以把認證的正確性破壞掉。

窮舉攻擊：亦稱“暴力破解”。對密碼進行逐個推算，直到找出真正的密碼為止的一種攻擊方式。理論上可破解任何一種密碼，問題在于如何縮短破解時間。

S/key口令是一種一次性口令生成方案，可以有效對抗重放攻擊。故本題選C。

點播：此類題目不需要完全了解MD4、MD5等算法原理，只需抓住題干中關鍵字——“一次性口令”，再結合選項的理解分析，即可快速找到答案。

16.單選題

SSL協(xié)議（安全套接層協(xié)議）是Netscape公司推出的一種安全通信協(xié)議，以下服務中，SSL協(xié)議

IPSec屬于（）的安全解決方案。

問題1選項

A.用戶和服務器的合法性認證服務

B.加密數據服務以隱藏被傳輸的數據

C.維護數據的完整性

D.基于UDP應用的安全保護

【答案】A

【解析】IPsec屬于第三層網絡層的安全解決方案。

17.單選題

數據備份通常可分為完全備份、增量備份、差分備份和漸進式備份幾種方式。其中將系統(tǒng)中所有選擇的數據對象進行一次全面的備份，而不管數據對象自上次備份之后是否修改過的備份方式是（

）。

問題1選項

A.完全備份

B.增量備份

C.差分備份

D.漸進式備份

【答案】A

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

本題考查數據備份方式。

完全備份：指將系統(tǒng)中所有選擇的數據對象進行一次全面的備份。是最基本也是最簡單的備份方式；

增量備份：指只把最近新生成的或者新修改的文件拷貝到備份設備上；

差異備份：對上次備份后所有發(fā)生改變的文件都進行備份（包括刪除文件的信息）；

漸進式備份：也稱為“只有增量備份”或“連續(xù)增量備份”；它是指系統(tǒng)排除完全備份，數據對象只有當發(fā)生改變時才被寫入到存儲介質上；漸進式備份只在初始時做所有數據文件的全部備份，以后只備份新建或改動過的文件，比上述三種備份方式有更少的數據移動；減少了備份時間和所需的存儲容量，減輕了網絡負擔；降低潛在的人為錯誤。

故本題選A。

點播：數據備份是容災的基礎，是指為防止系統(tǒng)出現操作失誤或系統(tǒng)故障導致數據丟失，而將全部或部分數據集合從應用主機的硬盤或陣列復制到其他的存儲介質的過程。數據備份通?？梢苑譃橥耆珎浞荩隽總浞?，差異備份和漸進式備份。

18.單選題

為了達到信息安全的目標，各種信息安全技術的使用必須遵守一些基本原則，其中在信息系統(tǒng)中，應該對所有權限進行適當地劃分，使每個授權主體只能擁有其中的一部分權限，使它們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)安全的是（

）。

問題1選項

A.最小化原則

B.安全隔離原則

C.縱深防御原則

D.分權制衡原則

【答案】D

【解析】本題考查網絡權限管理相關知識。

最小化原則：受保護的敏感信息只能在一定范圍內被共享，履行工作職責和職能的安全主體，在法律和相關安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的適當權限，稱為最小化原則。敏感信息的知情權一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細分為知所必須和用所必須的原則。

安全隔離原則：隔離和控制是實現信息安全的基本方法，而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。

縱深防御原則：縱深防御是指不能只依賴單一安全機制，應該建立多種機制，互相支撐以達到比較滿意的目的。

分權制衡原則：在信息系統(tǒng)中，對所有權限應該進行適當地劃分，使每個授權主體只能擁有其中的一部分權限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。如果一個授權主體分配的權限過大，無人監(jiān)督和制約，就隱含了“濫用權力”、“一言九鼎”的安全隱患。

點播：網絡安全體系在建立過程中主要遵循以下原則：系統(tǒng)性和動態(tài)性原則、縱深防護與協(xié)作性原則、網絡安全風險和分級保護原則、標準化與一致性原則、技術與管理相結合原則、安全第一，預防為主原則、安全與發(fā)展同步，業(yè)務與安全等同、人機物融合和產業(yè)發(fā)展原則。

19.單選題

移位密碼的加密對象為英文字母，移位密碼采用對明文消息的每一個英文字母向前推移固定key位的方式實現加密。設key=3，則對應明文MATH的密文為（

）。

問題1選項

A.OCVJ

B.QEXL

C.PDWK

D.RFYM

【答案】C

【解析】本題考查位移密碼體制的應用。

將明文MATH依次往后移3步，即可得到PDWK。

點播：著名的加法密碼是古羅馬的凱撒大帝使用過的密碼。Caesar密碼取key=3，因此其密文字母表就是把明文字母表循環(huán)右移3位后得到的字母表。

20.單選題

利用公開密鑰算法進行數據加密時，采用的方式是（

）。

問題1選項

A.發(fā)送方用公開密鑰加密，接收方用公開密鑰解密

B.發(fā)送方用私有密鑰加密，接收方用私有密鑰解密

C.發(fā)送方用公開密鑰加密，接收方用私有密鑰解密

D.發(fā)送方用私有密鑰加密，接收方用公開密鑰解密

【答案】C

【解析】本題考查公鑰密碼體制相關知識。

公鑰密碼體制又稱為非對稱密碼體制，其基本原理是在加密和解密過程中使用不同的密鑰處理方式，其中加密密鑰可以公開，而只需要把解密密鑰安全存放即可。在進行加解密時，發(fā)送方用對方的公鑰加密，接收方用自己的私鑰解密。故本題選C。

21.單選題

含有兩個密鑰的3重DES加密：，其中K1≠K2，則其有效的密鑰長度為（

）。

問題1選項

A.56位

B.112位

C.128位

D.168位

【答案】B

【解析】本題考查DES算法。

DES算法是使用最為廣泛的一種分組密碼算法，能夠支持64比特的明文塊加密，其密鑰長度為56比特。題中三重DES含有兩個相同密鑰，則其有效的密鑰長度為112比特。故本題選B。

點播：三重DES算法也叫TDEA算法，TDEA算法的工作機制是使用DES對明文進行“加密→解密→加密”操作，即對DES加密后的密文進行解密再加密，解密則相反。一般認為其中加密為Ek，解密為Dk。

22.單選題

已知DES算法S盒如下：

如果該S盒輸入110011，則其二進制輸出為（

）。

問題1選項

A.1110

B.1001

C.0100

D.0101

【答案】A

【解析】本題考查DES算法中S盒的運用。

根據輸入數據110011，第一位和最后一位組成行，及11→3；中間數據為列，即1001→9。則查找表第3行和第9列交叉的數字為14，其二進制為1110。故本題選A。

點播：DES算法是最為廣泛使用的一種分組密碼算法。DES是一個包含16個階段的“替換-置換”的分組加密算法，它以64位為分組對數據加密。64位的分組明文序列作為加密算法的輸入，經過16輪加密得到64位的密文序列。每一個S盒對應6位的輸入序列，得到相應的4位輸出序列，輸入序列以一種非常特殊的方式對應S盒中的某一項，通過S盒的6個位輸入確定了其對應的輸出序列所在的行和列的值。

23.單選題

域名系統(tǒng)DNS的功能是把Internet中的主機域名解析為對應的IP地址，目前頂級域名（TLD

）有國家頂級域名、國際頂級域名、通用頂級域名三大類。最早的頂級域名中，表示非營利組織域名的是（

）。

問題1選項

A.net

B.org

C.mil

D.biz

【答案】B

【解析】本題考查域名系統(tǒng)方面的基礎知識。

COM：商業(yè)性的機構或公司

ORG：非盈利的組織、團體

GOV：政府部門

MIL：軍事部門

EDU：教育機構

NET：從事Internet相關的的機構或公司

BIZ：網絡商務向導，適用于商業(yè)公司

答案選B。

24.單選題

網絡安全控制技術指致力于解決諸多如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段。以下不屬于網絡安全控制技術的是（

）。

問題1選項

A.VPN技術

B.容災與備份技術

C.入侵檢測技術

D.信息認證技術

【答案】B

【解析】本題考查網絡安全控制技術方面的基礎知識。

容災備份實際上是兩個概念。容災是為了在遭遇災害時能保證信息系統(tǒng)正常運行，幫助企業(yè)實現業(yè)務連續(xù)性的目標;備份是為了應對災難來臨時造成的數據丟失問題，其最終目標是幫助企業(yè)應對人為誤操作、軟件錯誤、病毒入侵等“軟”性災害以及硬件故障、自然災害等“硬”性災害。顯然，容災與備份技術不屬于網絡安全控制技術。

答案選B。

25.單選題

從對信息的破壞性上看，網絡攻擊可以分為被動攻擊和主動攻擊，以下屬于被動攻擊的是（

）。

問題1選項

A.偽造

B.流量分析

C.拒絕服務

D.中間人攻擊

【答案】B

【解析】本題考查網絡攻擊方面的基礎知識。

主動攻擊會導致某些數據流的篡改和虛假數據流的產生,這類攻擊包括篡改、偽造消息數據和拒絕服務等。被動攻擊中攻擊者不對數據信息做任何修改，通常包括竊聽、流量分析、破解弱加密的數據流等。

答案選B。

26.單選題

在信息系統(tǒng)安全設計中，保證“信息及時且可靠地被訪問和使用”是為了達到保障信息系統(tǒng)（

）的目標。

問題1選項

A.可用性

B.保密性

C.可控性

D.完整性

【答案】A

【解析】本題考查信息安全設計目標方面的基礎知識。

機密性是指網絡信息不泄露給非授權的用戶、實體或程序，能夠防止非授權者獲取信息。

完整性是指網絡信息或系統(tǒng)未經授權不能進行更改的特性。

可用性是指合法許可的用戶能夠及時獲取網絡信息或服務的特性。

抗抵賴性是指防止網絡信息系統(tǒng)相關用戶否認其活動行為的特性。

答案選A。

27.單選題

下面對國家秘密定級和范圍的描述中，不符合《中華人民共和國保守國家秘密法》要求的是（

）。

問題1選項

A.對是否屬于國家和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門備案

B.各級國家機關、單位對所產生的秘密事項，應當按照國家秘密及其密級的具體范圍的規(guī)定確定密級，同時確定保密期限和知悉范圍

C.國家秘密及其密級的具體范圍，由國家行政管理部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定

D.對是否屬于國家和屬于何種密級不明確的事項，由國家保密行政管理部門，或省、自治區(qū)、直轄市的保密行政管理部門確定

【答案】A

【解析】本題考查《中華人民共和國保守國家秘密法》相關知識。

國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定。各級國家機關、單位對所產生的國家秘密事項，應當按照國家秘密及其密級具體范圍的規(guī)定確定密級。對是否屬于國家秘密和屬于何種密級不明確的事項，產生該事項的機關、單位無相應確定密級權的，應當及時擬定密級，并在擬定密級后的十日內依照下列規(guī)定申請確定密級：（一）屬于主管業(yè)務方面的事項，逐級報至國家保密工作部門審定的有權確定該事項密級的上級機關；（二）其他方面的事項，逐級報至有權確定該事項密級的保密工作部門。故本題選A。

點播：《中華人民共和國保守國家秘密法》于1988年9月5日第七屆全國人民代表大會常務委員會第三次會議通過，2010年4月29日第十一屆全國人民代表大會常務委員會第十四次會議修訂通過，現將修訂后的《中華人民共和國保守國家秘密法》公布，自2010年10月1日起施行。旨在保守國家秘密，維護國家安全和利益，保障改革開放和社會主義建設事業(yè)的順利進行。

28.單選題

密碼學的基本安全目標主要包括：保密性、完整性、可用性和不可抵賴性。其中確保信息僅被合法用戶訪問，而不被泄露給非授權的用戶、實體或過程，或供其利用的特性是指（

）。

問題1選項

A.保密性

B.完整性

C.可用性

D.不可抵賴性

【答案】A

【解析】本題主要考查網絡信息安全基本屬性相關內容。

保密性，即機密性是指網絡信息不泄露給非授權的用戶、實體或程序，能夠防止非授權者獲取信息。

完整性是指網絡信息或系統(tǒng)未經授權不能進行更改的特性。

可用性是指合法許可的用戶能夠及時獲取網絡信息或服務的特性。

抗抵賴性是指防止網絡信息系統(tǒng)相關用戶否認其活動行為的特性。

答案選A。

29.單選題

信息安全風險評估是指確定在計算機系統(tǒng)和網絡中每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預計損失數量，是對威脅、脆弱點以及由此帶來的風險大小的評估。在信息安全風險評估中，以下說法正確的是（

）。

問題1選項

A.安全需求可通過安全措施得以滿足，不需要結合資產價值考慮實施成本

B.風險評估要識別資產相關要素的關系，從而判斷資產面臨的風險大小。在對這些要素的評估過程中，不需要充分考慮與這些基本要素相關的各類屬性

C.風險評估要識別資產相關要素的關系，從而判斷資產面臨的風險大小。在對這些要素的評估過程中，需要充分考慮與這些基本要素相關的各類屬性

D.信息系統(tǒng)的風險在實施了安全措施后可以降為零

【答案】C

【解析】本題考查信息安全風險評估相關知識。

信息安全風險評估是依照科學的風險管理程序和方法，充分的對組成系統(tǒng)的各部分所面臨的危險因素進行分析評價，針對系統(tǒng)存在的安全問題，根據系統(tǒng)對其自身的安全需求，提出有效的安全措施，達到最大限度減少風險、降低危害和確保系統(tǒng)安全運行的目的。風險評估要識別資產相關要素的關系，從而判斷資產面臨的風險大小。在對這些要素的評估過程中，需要充分考慮與這些基本要素相關的各類屬性。官方教材（第一版）P313。故本題選C。

點播：此類題型看到B、C選項互為矛盾后，即可直接排除A、D項（本身A、D項的說法就過于絕對），再根據題干要求進行分析，即可快速解答。此類題型需注意題目要求選擇的是正確選項還是錯誤選項。

30.單選題

目前網絡安全形勢日趨復雜，攻擊手段和攻擊工具層出不窮，攻擊工具日益先進,攻擊者需要的技能日趨下降。以下關于網絡攻防的描述中，不正確的是（）。

問題1選項

A.嗅探器Sniffer工作的前提是網絡必須是共享以太網

B.加密技術可以有效抵御各類系統(tǒng)攻擊

C.APT的全稱是高級持續(xù)性威脅

D.同步包風暴（SYNFlooding）的攻擊來源無法定位

【答案】B

【解析】本題考查網絡攻防相關知識。

加密用以確保數據的保密性，阻止對手的被動攻擊，如截取，竊聽等，而對于各類主動攻擊，如篡改、冒充、重播等卻是無能為力的。故本題選B。

點播：加密技術是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數據變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用。世界上沒有絕對安全的密碼體制，自然也不存在某種加密技術能抵擋所有攻擊。

31.單選題

下列關于公鑰密碼體制說法不正確的是（

）。

問題1選項

A.在一個公鑰密碼體制中，一般存在公鑰和私鑰兩個密鑰

B.公鑰密碼體制中僅根據密碼算法和加密密鑰來確定解密密鑰在計算上是可行的

C.公鑰密碼體制中僅根據密碼算法和加密密鑰來確定解密密鑰在計算上是不可行的

D.公鑰密碼體制中的私鑰可以用來進行數字簽名

【答案】B

【解析】本題考查公鑰密碼體制相關知識

公鑰密碼體制中，一般存在公鑰和私鑰兩種密鑰；

公鑰密碼體制中僅根據密碼算法和加密密鑰去確定解密密鑰在計算上是不可行的，因為計算量過于龐大；

公鑰密碼體制中的公鑰可以以明文方式發(fā)送；

公鑰密碼體制中的私鑰可以用來進行數字簽名。

故本題選B。

32.單選題

Web服務器也稱為網站服務器，可以向瀏覽器等Web客戶端提供文檔，也可以放置網站文件和數據文件。目前最主流的三個Web服務器是Apache.Nginx.IIS。Web服務器都會受到HTTP協(xié)議本身安全問題的困擾，這種類型的信息系統(tǒng)安全漏洞屬于（

）。

問題1選項

A.設計型漏洞

B.開發(fā)型漏洞

C.運行型漏洞

D.代碼型漏洞

【答案】A

【解析】本題考查信息系統(tǒng)安全漏洞方面的基礎知識。

一般設計人員制定協(xié)議時，通常首先強調功能性，而安全性問題則是到最后一刻、甚至不列入考慮范圍。上述漏洞是由HTTP協(xié)議本身設計上所存在的安全問題，所以它是設計型漏洞。

答案選A。

33.單選題

PKI是一種標準的公鑰密碼的密鑰管理平臺，數字證書是PKI的基本組成部分。在PKI中，X.509數字證書的內容不包括（

）。

問題1選項

A.加密算法標識

B.簽名算法標識

C.版本號

D.主體的公開密鑰信息

【答案】A

【解析】本題考查PKI方面的基礎知識。

X.509數字證書內容包括：版本號、序列號、簽名算法標識、發(fā)行者名稱、有效期、主體名稱、主體公鑰信息、發(fā)行者唯一標識符、主體唯一識別符、擴充域、CA的簽名等，不包括加密算法標識。

34.單選題

入侵檢測技術包括異常入侵檢測和誤用入侵檢測。以下關于誤用檢測技術的描述中，正確的是（

）。

問題1選項

A.誤用檢測根據對用戶正常行為的了解和掌握來識別入侵行為

B.誤用檢測根據掌握的關于入侵或攻擊的知識來識別入侵行為

C.誤用檢測不需要建立入侵或攻擊的行為特征庫

D.誤用檢測需要建立用戶的正常行為特征輪廓

【答案】B

【解析】本題考查入侵檢測技術相關知識。

誤用入侵檢測通常稱為基于特征的入侵檢測方法，是指根據已知的入侵模式檢測入侵行為。優(yōu)點：依據具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。缺點：與具體系統(tǒng)依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。并且檢測范圍受已知知識的局限，尤其是難以檢測出內部人員的入侵行為，如合法用戶的泄露。故本題選B。

點播：

基于條件概率的誤用檢測方法：基于條件概率的誤用檢測方法，是將入侵方式對應一個事件序列，然后觀測事件發(fā)生序列，應用貝葉斯定理進行推理，推測入侵行為。

基于狀態(tài)遷移的誤用檢測方法：狀態(tài)遷移方法利用狀態(tài)圖表示攻擊特征，不同狀態(tài)刻畫了系統(tǒng)某一時刻的特征。

基于鍵盤監(jiān)控的誤用檢測方法：基于鍵盤監(jiān)控的誤用檢測方法，是假設入侵行為對應特定的擊鍵序列模式，然后監(jiān)測用戶的擊鍵模式，并將這一模式與入侵模式匹配，從而發(fā)現入侵行為。

基于規(guī)則的誤用檢測方法：基于規(guī)則的誤用檢測方法是將攻擊行為或入侵模式表示成一種規(guī)則，只要符合規(guī)則就認定它是一種入侵行為。

35.單選題

重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的。下列技術中，不能抵御重放攻擊的是（

）。

問題1選項

A.序號

B.明文填充

C.時間戳

D.Nonce

【答案】B

【解析】本題考查網絡協(xié)議重放攻擊方面的基礎知識。

Nonce是Numberusedonce的縮寫，Nonce是一個只被使用一次的任意或非重復的隨機數值，它與時間戳、序號都是能夠預防重放攻擊的。明文填充方式不能抵御重放攻擊。

答案選B。

36.單選題

在安全評估過程中，采取（

）手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

問題1選項

A.問卷調查

B.人員訪談

C.滲透測試

D.手工檢查

【答案】C

【解析】本題考查安全評估方面的基礎知識。

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統(tǒng)安全的一種評估方法。在安全評估過程中，一般采取滲透測試手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

答案選C。

37.單選題

以下關于IPSec協(xié)議的敘述中，正確的是（

）。

問題1選項

A.IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案

B.IPSec協(xié)議不提供機密性保護機制

C.IPSec協(xié)議不提供認證功能

D.IPSec協(xié)議不提供完整性驗證機制

【答案】A

【解析】本題考查IPSec協(xié)議相關知識。

IPSec協(xié)議是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協(xié)議網絡上進行保密而安全的通訊，是解決IP協(xié)議安全問題的一種方案，它能提供完整性、保密性、反重播性、不可否認性、認證等功能。

IPSec工作組制定了IP安全系列規(guī)范：認證頭（AH）、封裝安全有效負荷（ESP）以及密鑰交換協(xié)議。

IPAH是一種安全協(xié)議，又稱為認證頭協(xié)議。其目的是保證IP包的完整性和提供數據源認證，為IP數據報文提供無連接的完整性、數據源鑒別和抗重放攻擊服務。

IPESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，而IPAH不能提供IP包的保密性服務。

故本題選A。

38.單選題

Snort是一款開源的網絡入侵檢測系統(tǒng)，它能夠執(zhí)行實時流量分析和IP協(xié)議網絡的數據包記錄。以下不屬于Snort配置模式的是（

）。

問題1選項

A.嗅探

B.包記錄

C.分布式入侵檢測

D.網絡入侵檢測

【答案】C

【解析】本題考查網絡入侵檢測系統(tǒng)Snort。

Snort是一款開源的網絡入侵檢測系統(tǒng)，它能夠執(zhí)行實時流量分析和IP協(xié)議網絡的數據包記錄。Snort可以執(zhí)行協(xié)議分析和內容查詢/匹配使你能夠探測各種攻擊和探查，比如緩沖區(qū)溢出，隱蔽端口掃描，通用網關接口（CGI）攻擊，服務器信息塊協(xié)議（SMB）探測，操作系統(tǒng)指紋攻擊等。

主要模式有：

嗅探（Sniffer）：主要是讀取網絡上的數據包并在控制臺上用數據流不斷地顯示出來。

包記錄（PacketLogger）：把數據包記錄在磁盤上。

網絡入侵檢測（NetworkIntrusionDetection）：是最復雜最難配置的；它可以分析網絡流量與用戶定義的規(guī)則設置進行匹配然后根據結果執(zhí)行相應的操作。

故本題選C。

點播：UNIX/Linux系統(tǒng)的安全是動態(tài)的，對運行的系統(tǒng)進行實時監(jiān)控有利于及時發(fā)現安全問題，做出安全應急響應。針對UNIX/Linux系統(tǒng)的安全監(jiān)測，常用的安全工具有Netstat、lsof、Snort等。

39.單選題

訪問控制是對信息系統(tǒng)資源進行保護的重要措施，適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。信息系統(tǒng)訪問控制的基本要素不包括（

）。

問題1選項

A.主體

B.客體

C.授權訪問

D.身份認證

【答案】D

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

本題考查信息系統(tǒng)訪問控制的基本要素。

訪問者稱為主體，可以是用戶、進程、應用程序等；

資源對象稱為客體，即被訪問的對象，可以是文件、應用服務、數據等；

授權是訪問者對資源對象進行訪問的方式，如文件的讀、寫、刪除、追加或電子郵件服務的接收、發(fā)送等。

信息系統(tǒng)訪問控制的三要素是主體、客體和授權訪問，因此不包括身份認證。故本題選D。

點播：訪問控制是指對資源對象的訪問者授權、控制的方法及運行機制。

40.單選題

網頁木馬是一種通過攻擊瀏覽器或瀏覽器外掛程序的漏洞，向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段，為了要安全瀏覽網頁，不應該（

）。

問題1選項

A.定期清理瀏覽器緩存和上網歷史記錄

B.禁止使用ActiveX控件和Java腳本

C.在他人計算機上使用“自動登錄”和“記住密碼”功能

D.定期清理瀏覽器Cookies

【答案】C

【解析】本題考查網頁木馬的防范。

網頁木馬是一種通過攻擊瀏覽器或瀏覽器外掛程序的漏洞，向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段。為了安全瀏覽網頁，需要定期清理瀏覽器緩存和上網歷史記錄，禁止使用ActiveX控件和Java腳本，并定期清理瀏覽器Cookies。在非本人的計算機上可能有用戶不知道的病毒或木馬，當用戶將賬戶的密碼保存在本地后，很可能就會被不法分子盜取，造成嚴重損失。故本題選C。

點播：要實現安全瀏覽網頁，最重要的是養(yǎng)成良好的上網習慣，這需要系統(tǒng)地學習信息安全相關知識，了解并學習病毒的原理、養(yǎng)成良好的防范意識。

41.單選題

IP地址分為全球地址（公有地址）和專用地址（私有地址），在文檔RFC1918中，不屬于專用地址的是（

）。

問題1選項

A.到55

B.到55

C.到55

D.到55

【答案】B

【解析】本題考查IP地址分類的相關知識。

專用地址范圍：A類：-55；B類：-55；C類：-55。根據IP地址的分類來看，255開頭的IP地址不屬于私有專用地址。故本題選B。

點播：公有IP地址分為：

A：--55&--55；

B：--55&--55；

C：--55&--55。

42.單選題

（

）能有效防止重放攻擊。

問題1選項

A.簽名機制

B.時間戳機制

C.加密機制

D.壓縮機制

【答案】B

【解析】本題考查重放攻擊相關知識。

簽名機制：作為保障信息安全的手段之一，主要用于解決偽造、抵賴、冒充和篡改問題。

加密機制：保密通信、計算機密鑰、防復制軟盤等都屬于加密技術，加密主要是防止重要信息被一些懷有不良用心的人竊聽或者破壞。

壓縮機制：壓縮機制一般理解為壓縮技術。變形器檢測病毒體反匯編后的全部指令，可對進行壓縮的一段指令進行同義壓縮。一般用于使病毒體代碼長度發(fā)生改變。提高惡意代碼的偽裝能力和防破譯能力。

時間戳：主要目的在于通過一定的技術手段，對數據產生的時間進行認證，從而驗證這段數據在產生后是否經過篡改。故時間戳機制可以有效防止重放攻擊。

故本題選B。

點播：重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起者或攔截并重發(fā)該數據的地方進行。攻擊者利用網絡監(jiān)聽或其他方式盜取認證憑據，之后再將它重新發(fā)送給認證服務器。

43.單選題

數字簽名是對以數字形式存儲的消息進行某種處理，產生一種類似于傳統(tǒng)手書簽名功效的信息處理過程。數字簽名標準DSS中使用的簽名算法DSA是基于ElGamal和Schnorr兩個方案而設計的。當DSA對消息m的簽名驗證結果為True，也不能說明（

）。

問題1選項

A.接收的消息m無偽造

B.接收的消息m無篡改

C.接收的消息m無錯誤

D.接收的消息m無泄密

【答案】D

【解析】本題考查數字簽名相關知識。

數字簽名技術可以保證報文的完整性，不可否認性，以及提供身份認證信息，但不能保證信息的機密性。故本題選D。

點播：數字簽名是指簽名者使用私鑰對待簽名數據的雜湊值做密碼運算得到的結果。該結果只能用簽名者的公鑰進行驗證，用于確認待簽名數據的完整性、簽名者身份的真實性和簽名行為的抗抵賴性。數字簽名具有手寫簽名一樣的特點，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

44.單選題

身份認證是證實客戶的真實身份與其所聲稱的身份是否相符的驗證過程。目前，計算機及網絡系統(tǒng)中常用的身份認證技術主要有:用戶名/密碼方式、智能卡認證、動態(tài)口令、生物特征認證等。其中不屬于生物特征的是（

）。

問題1選項

A.指紋

B.手指靜脈

C.虹膜

D.擊鍵特征

【答案】D

【解析】本題考查身份認證方面的基礎知識。

擊鍵特征屬于行為特征。指紋、手指靜脈、虹膜屬于生物特征。

答案選D。

45.單選題

無線Wi-Fi網絡加密方式中，安全性最好的是WPA-PSK/WPA2-PSK，其加密過程采用了TKIP和（

）。

問題1選項

A.AES

B.DES

C.IDEA

D.RSA

【答案】A

【解析】本題考查無線局域網的安全知識。

WPA-PSK和WPA2-PSK既可以使用TKIP加密算法也可以使用AES加密算法。

答案選A。

46.單選題

密碼學根據研究內容可以分為密碼編制學和密碼分析學。研究密碼編制的科學稱為密碼編制學，研究密碼破譯的科學稱為密碼分析學。密碼分析學中，根據密碼分析者可利用的數據資源，可將攻擊密碼的類型分為四類，其中適于攻擊計算機文件系統(tǒng)和數據庫系統(tǒng)的是（

）。

問題1選項

A.僅知密文攻擊

B.已知明文攻擊

C.選擇明文攻擊

D.選擇密文攻擊

【答案】C

【解析】本題考查密碼學方面的基礎知識。

選擇明文攻擊指攻擊者知道加密算法，并可通過選擇對攻擊有利的特定明文及其對應的密文，求解密鑰或從截獲的密文求解相應明文的密碼分析方法。文件系統(tǒng)和數據庫系統(tǒng)均存儲大量密文信息，所以攻擊者可指定明文來碰撞對應的密文，從而達到攻擊目的。

答案選C。

47.單選題

數字水印技術通過在數字化的多媒體數據中嵌入隱蔽的水印標記，可以有效實現對數字多媒體數據的版權保護等功能。以下關于數字水印的描述中，不正確的是（

）。

問題1選項

A.隱形數字水印可應用于數據偵測與跟蹤

B.在數字水印技術中，隱藏水印的數據量和魯棒性是一對矛盾

C.秘密水印也稱盲化水印，其驗證過程不需要原始秘密信息

D.視頻水印算法必須滿足實時性的要求

【答案】C

【解析】本題考查數字水印知識。

在數字水印技術中，水印的數據量和魯棒性構成了一對基本矛盾；視頻水印算法必須滿足實時性的要求；隱形數字水印主要應用領域有原始數據的真?zhèn)舞b別、數據偵測與跟蹤、數字產品版權保護。數字水印根據輸入輸出的種類及其組合可分為三種：①秘密水?。ǚ敲せ。?、②半秘密水印（半盲化水?。?、③公開水?。せ蚪⊥。?。盲化水印的檢測不需要任何原始數據和輔助信息。故本題選C。

點播：數字水印原理：通過數字信號處理方法，在數字化的媒體文件中嵌入特定的標記。水印分為可感知的和不易感知的兩種。其安全需求包括安全性、隱蔽性、魯棒性，不要求可見性。

Normal07.8磅02falsefals