版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
PAGEPAGE1(必會(huì))計(jì)算機(jī)三級(jí)《信息安全技術(shù)》考前沖刺知識(shí)點(diǎn)精練300題(含答案)一、單選題1.下列攻擊手段中,不屬于誘騙式攻擊的是()。A、網(wǎng)站掛馬B、ARP欺騙C、網(wǎng)站釣魚D、社會(huì)工程答案:B解析:誘騙式攻擊是指攻擊者通過(guò)各種手段欺騙用戶,使其在不知情的情況下泄露個(gè)人信息或執(zhí)行惡意操作。而ARP欺騙是一種網(wǎng)絡(luò)攻擊手段,攻擊者通過(guò)偽造ARP協(xié)議的數(shù)據(jù)包,欺騙目標(biāo)主機(jī)將攻擊者的MAC地址誤認(rèn)為是網(wǎng)關(guān)的MAC地址,從而實(shí)現(xiàn)中間人攻擊。因此,ARP欺騙不屬于誘騙式攻擊,選項(xiàng)B為正確答案。其他選項(xiàng)均屬于誘騙式攻擊的范疇,網(wǎng)站掛馬是指攻擊者通過(guò)在網(wǎng)站上植入惡意代碼,使用戶在訪問(wèn)該網(wǎng)站時(shí)被感染;網(wǎng)站釣魚是指攻擊者通過(guò)偽造網(wǎng)站,誘騙用戶輸入個(gè)人信息;社會(huì)工程是指攻擊者通過(guò)與目標(biāo)人員交流,獲取目標(biāo)人員的敏感信息。2.在信息資產(chǎn)管理中,標(biāo)準(zhǔn)信息系統(tǒng)的組成部分不包括()。A、硬件B、軟件C、解決方案D、數(shù)據(jù)和信息答案:C解析:本題考查信息資產(chǎn)管理中標(biāo)準(zhǔn)信息系統(tǒng)的組成部分。標(biāo)準(zhǔn)信息系統(tǒng)是指在信息系統(tǒng)中,由硬件、軟件、數(shù)據(jù)和信息四個(gè)部分組成的系統(tǒng)。其中,硬件是指計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等物理設(shè)備;軟件是指操作系統(tǒng)、應(yīng)用軟件等程序;數(shù)據(jù)和信息是指存儲(chǔ)在系統(tǒng)中的各種數(shù)據(jù)和信息。而解決方案是指為解決某個(gè)問(wèn)題或滿足某個(gè)需求而提出的方案,不屬于標(biāo)準(zhǔn)信息系統(tǒng)的組成部分。因此,本題的答案為C。3.系統(tǒng)維護(hù)的注意事項(xiàng),不包括()。A、刪除錯(cuò)誤報(bào)告及日志文件B、維護(hù)和更改記錄C、更改的清除D、老版本的備份和清理答案:A解析:本題考查對(duì)系統(tǒng)維護(hù)的注意事項(xiàng)的掌握程度。根據(jù)題干中的選項(xiàng),我們可以逐一排除。B選項(xiàng)中提到了“維護(hù)和更改記錄”,這是系統(tǒng)維護(hù)中的一個(gè)重要環(huán)節(jié),因此不是正確答案。C選項(xiàng)中提到了“更改的清除”,這也是系統(tǒng)維護(hù)中的一個(gè)重要環(huán)節(jié),因此不是正確答案。D選項(xiàng)中提到了“老版本的備份和清理”,這也是系統(tǒng)維護(hù)中的一個(gè)重要環(huán)節(jié),因此不是正確答案。因此,正確答案為A選項(xiàng),即“刪除錯(cuò)誤報(bào)告及日志文件”。在系統(tǒng)維護(hù)中,及時(shí)清理錯(cuò)誤報(bào)告和日志文件可以有效地釋放系統(tǒng)資源,提高系統(tǒng)運(yùn)行效率。4.下列對(duì)系統(tǒng)開發(fā)過(guò)程的描述中,說(shuō)法錯(cuò)誤的是A、系統(tǒng)的生命周期是無(wú)限長(zhǎng)的B、系統(tǒng)開發(fā)分為5個(gè)階段:規(guī)劃、分析、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行C、系統(tǒng)開發(fā)每個(gè)階段都會(huì)有相應(yīng)的期限D(zhuǎn)、系統(tǒng)開發(fā)過(guò)程的每一個(gè)階段都是一定的循環(huán)過(guò)程答案:A解析:A選項(xiàng)說(shuō)法錯(cuò)誤,因?yàn)橄到y(tǒng)的生命周期是有限的,包括規(guī)劃、開發(fā)、運(yùn)行、維護(hù)和廢棄等階段,每個(gè)階段都有相應(yīng)的期限和目標(biāo)。B選項(xiàng)說(shuō)法正確,系統(tǒng)開發(fā)一般分為5個(gè)階段,即規(guī)劃、分析、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行。C選項(xiàng)說(shuō)法正確,系統(tǒng)開發(fā)每個(gè)階段都會(huì)有相應(yīng)的期限,以確保項(xiàng)目按時(shí)完成。D選項(xiàng)說(shuō)法錯(cuò)誤,系統(tǒng)開發(fā)過(guò)程的每一個(gè)階段都有其獨(dú)特的特點(diǎn)和目標(biāo),不是一定的循環(huán)過(guò)程。綜上所述,選項(xiàng)A是錯(cuò)誤的,是本題的答案。5.對(duì)數(shù)據(jù)庫(kù)的開放端口進(jìn)行掃描,檢查其中的安全缺陷的安全檢測(cè)技術(shù)是A、服務(wù)發(fā)現(xiàn)B、漏洞挖掘C、滲透測(cè)試D、內(nèi)部安全檢測(cè)答案:A解析:本題考查的是對(duì)數(shù)據(jù)庫(kù)的開放端口進(jìn)行掃描,檢查其中的安全缺陷的安全檢測(cè)技術(shù)。根據(jù)選項(xiàng)可知,服務(wù)發(fā)現(xiàn)、漏洞挖掘、滲透測(cè)試和內(nèi)部安全檢測(cè)都是安全檢測(cè)技術(shù),但是只有服務(wù)發(fā)現(xiàn)能夠?qū)?shù)據(jù)庫(kù)的開放端口進(jìn)行掃描,因此答案為A。漏洞挖掘是指通過(guò)對(duì)軟件或系統(tǒng)進(jìn)行分析,發(fā)現(xiàn)其中的漏洞并進(jìn)行利用的過(guò)程;滲透測(cè)試是指模擬黑客攻擊的方式,對(duì)系統(tǒng)進(jìn)行全面的安全測(cè)試;內(nèi)部安全檢測(cè)是指對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全檢測(cè),發(fā)現(xiàn)其中的安全漏洞并進(jìn)行修復(fù)。6.沒(méi)有采用Feistel網(wǎng)絡(luò)的密碼算法是A、DESB、TwofishC、RC5D、AES答案:D解析:本題考查的是密碼算法中的Feistel網(wǎng)絡(luò),F(xiàn)eistel網(wǎng)絡(luò)是一種常見(jiàn)的對(duì)稱密碼算法結(jié)構(gòu),它將明文分成兩部分,每部分經(jīng)過(guò)多輪加密后再合并,最終得到密文。而沒(méi)有采用Feistel網(wǎng)絡(luò)的密碼算法,就是不采用這種結(jié)構(gòu)的密碼算法。A、B、C三個(gè)選項(xiàng)都采用了Feistel網(wǎng)絡(luò)結(jié)構(gòu),只有選項(xiàng)D沒(méi)有采用Feistel網(wǎng)絡(luò)結(jié)構(gòu),因此答案為D。其中,DES采用了16輪Feistel網(wǎng)絡(luò),Twofish采用了16輪Feistel網(wǎng)絡(luò),RC5采用了非固定輪數(shù)的Feistel網(wǎng)絡(luò)。而AES則采用了不同于Feistel網(wǎng)絡(luò)的結(jié)構(gòu),即Substitution-PermutationNetwork(SPN)結(jié)構(gòu)。綜上所述,本題的正確答案為D。7.在TCP三次握手中,第三次握手的數(shù)據(jù)包的SYN和ACK標(biāo)志位分別為A、0,1B、0,0C、1,1D、1,0答案:A解析:TCP三次握手是建立TCP連接的過(guò)程,其中第三次握手是確認(rèn)連接的過(guò)程。在第三次握手中,客戶端向服務(wù)器發(fā)送一個(gè)帶有SYN和ACK標(biāo)志位的數(shù)據(jù)包,表示客戶端已經(jīng)收到了服務(wù)器發(fā)送的確認(rèn)信息,并且請(qǐng)求服務(wù)器確認(rèn)連接。因此,答案為A,即第三次握手的數(shù)據(jù)包的SYN標(biāo)志位為0,ACK標(biāo)志位為1。8.下列協(xié)議中,不能防范網(wǎng)絡(luò)嗅探的是A、VPNB、SMTPC、SSHD、SSL答案:B解析:本題考查的是網(wǎng)絡(luò)安全協(xié)議的特點(diǎn)和功能。網(wǎng)絡(luò)嗅探是指黑客通過(guò)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包的方式獲取網(wǎng)絡(luò)通信內(nèi)容的行為,因此防范網(wǎng)絡(luò)嗅探的協(xié)議應(yīng)該具有加密傳輸、身份認(rèn)證等安全特性。A.VPN(虛擬私人網(wǎng)絡(luò))是一種通過(guò)公共網(wǎng)絡(luò)建立加密通道的安全通信方式,可以有效防范網(wǎng)絡(luò)嗅探,因此選項(xiàng)A是正確的。B.SMTP(簡(jiǎn)單郵件傳輸協(xié)議)是一種用于電子郵件傳輸?shù)膮f(xié)議,不具備加密傳輸和身份認(rèn)證等安全特性,容易被黑客監(jiān)聽和竊取郵件內(nèi)容,因此選項(xiàng)B是錯(cuò)誤的。C.SSH(安全外殼協(xié)議)是一種用于遠(yuǎn)程登錄和文件傳輸?shù)陌踩珔f(xié)議,具有加密傳輸和身份認(rèn)證等安全特性,可以有效防范網(wǎng)絡(luò)嗅探,因此選項(xiàng)C是正確的。D.SSL(安全套接層協(xié)議)是一種用于Web瀏覽器和服務(wù)器之間的安全通信協(xié)議,具有加密傳輸和身份認(rèn)證等安全特性,可以有效防范網(wǎng)絡(luò)嗅探,因此選項(xiàng)D是正確的。綜上所述,本題的正確答案是B。9.電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書應(yīng)當(dāng)載明的內(nèi)容,不包括A、證書涉及的私鑰B、證書持有人名稱C、證書序列號(hào)D、證書有效期答案:A解析:本題考查的是電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書應(yīng)當(dāng)載明的內(nèi)容。根據(jù)電子簽名法的相關(guān)規(guī)定,電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書應(yīng)當(dāng)包括證書持有人名稱、證書序列號(hào)、證書有效期等信息,但不應(yīng)包括證書涉及的私鑰。因此,選項(xiàng)A是不正確的,是本題的答案。10.同時(shí)具有強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制屬性的訪問(wèn)控制模型是()。A、BLPB、ibaC、hineseWallD、RBAC答案:C解析:答疑:[解析]BLP模型基于強(qiáng)制訪問(wèn)控制系統(tǒng),以敏感度來(lái)劃分資源的安全級(jí)別。Biba訪問(wèn)控制模型對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證,類似于BLP保密模型,也使用強(qiáng)制訪問(wèn)控制系統(tǒng)。ChineseWall安全策略的基礎(chǔ)是客戶訪問(wèn)的信息不會(huì)與目前他們可支配的信息產(chǎn)生沖突。用戶必須選擇一個(gè)他可以訪問(wèn)的區(qū)域,必須自動(dòng)拒絕來(lái)自其它與用戶的所選區(qū)域的利益沖突區(qū)域的訪問(wèn),同時(shí)包括了強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制的屬性。RBAC模型是20世紀(jì)90年代研究出來(lái)的一種新模型。這種模型的基本概念是把許可權(quán)與角色聯(lián)系在一起,用戶通過(guò)充當(dāng)合適角色的成員而獲得該角色的許可權(quán)。故選擇C選項(xiàng)。11.下列選項(xiàng)中,被稱為半連接掃描的端口掃描技術(shù)是A、TCP全連接掃描B、TCPSYN掃描C、TCPFIN掃描D、ICMP掃描答案:B解析:本題考查端口掃描技術(shù),選項(xiàng)中的TCP全連接掃描、TCPSYN掃描、TCPFIN掃描和ICMP掃描都是常見(jiàn)的端口掃描技術(shù)。TCP全連接掃描是指掃描器向目標(biāo)主機(jī)發(fā)送完整的TCP連接請(qǐng)求,等待目標(biāo)主機(jī)回復(fù),如果回復(fù)是TCP連接確認(rèn),則表示該端口是開放的。這種掃描方式比較慢,容易被目標(biāo)主機(jī)檢測(cè)到。TCPSYN掃描是指掃描器向目標(biāo)主機(jī)發(fā)送一個(gè)TCPSYN包,如果目標(biāo)主機(jī)回復(fù)一個(gè)TCPSYN/ACK包,則表示該端口是開放的。這種掃描方式比較快,而且不容易被目標(biāo)主機(jī)檢測(cè)到,因此被稱為半連接掃描。TCPFIN掃描是指掃描器向目標(biāo)主機(jī)發(fā)送一個(gè)TCPFIN包,如果目標(biāo)主機(jī)回復(fù)一個(gè)TCPRST包,則表示該端口是關(guān)閉的。這種掃描方式比較慢,而且容易被目標(biāo)主機(jī)檢測(cè)到。ICMP掃描是指掃描器向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest包,如果目標(biāo)主機(jī)回復(fù)一個(gè)ICMPEchoReply包,則表示該主機(jī)是存活的。這種掃描方式不能直接確定端口是否開放,需要結(jié)合其他掃描技術(shù)使用。綜上所述,本題的正確答案是B,即TCPSYN掃描。12.為了保證整個(gè)組織機(jī)構(gòu)的信息系統(tǒng)安全,下列措施中錯(cuò)誤的是()A、應(yīng)當(dāng)增加系統(tǒng)的輸入輸出操作、減少信息的共享B、必須保證系統(tǒng)開發(fā)過(guò)程的安全C、必須保證所開發(fā)系統(tǒng)的安全D、應(yīng)當(dāng)確保安全開發(fā)人員的安全保密意識(shí)答案:A解析:本題考查信息系統(tǒng)安全的保障措施。選項(xiàng)A中提到“增加系統(tǒng)的輸入輸出操作、減少信息的共享”,這是錯(cuò)誤的。因?yàn)樵黾酉到y(tǒng)的輸入輸出操作會(huì)增加系統(tǒng)的漏洞,而減少信息的共享會(huì)影響組織機(jī)構(gòu)內(nèi)部的信息流通和協(xié)作。正確的做法是要加強(qiáng)系統(tǒng)的安全性設(shè)計(jì),保證系統(tǒng)開發(fā)過(guò)程的安全,確保所開發(fā)系統(tǒng)的安全,同時(shí)提高安全開發(fā)人員的安全保密意識(shí)。因此,選項(xiàng)A是錯(cuò)誤的,是本題的正確答案。13.根據(jù)數(shù)據(jù)采集方式的不同,IDS可以分為A、NIDS和FIDSB、NIDS和HIDSC、RIDS和BIDSD、RIDS和HIDS答案:B解析:IDS是入侵檢測(cè)系統(tǒng)的縮寫,根據(jù)數(shù)據(jù)采集方式的不同,IDS可以分為NIDS、HIDS、RIDS和FIDS四種類型。NIDS(Network-basedIntrusionDetectionSystem)是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),它通過(guò)監(jiān)聽網(wǎng)絡(luò)流量來(lái)檢測(cè)入侵行為。HIDS(Host-basedIntrusionDetectionSystem)是基于主機(jī)的入侵檢測(cè)系統(tǒng),它通過(guò)監(jiān)控主機(jī)上的系統(tǒng)日志、文件系統(tǒng)、進(jìn)程等來(lái)檢測(cè)入侵行為。RIDS(Router-basedIntrusionDetectionSystem)是基于路由器的入侵檢測(cè)系統(tǒng),它通過(guò)監(jiān)控路由器上的流量來(lái)檢測(cè)入侵行為。FIDS(FileIntegrityDetectionSystem)是基于文件完整性的入侵檢測(cè)系統(tǒng),它通過(guò)監(jiān)控文件系統(tǒng)的變化來(lái)檢測(cè)入侵行為。根據(jù)題目所述,IDS可以分為NIDS、HIDS、RIDS和FIDS四種類型中的哪些類型,選項(xiàng)A中的FIDS和RIDS不符合題意,選項(xiàng)C中的BIDS并不存在,因此正確答案為B,即NIDS和HIDS。14.下列選項(xiàng)中,不屬于信息系統(tǒng)的安全風(fēng)險(xiǎn)隱患來(lái)源的是A、在系統(tǒng)設(shè)計(jì)和開發(fā)過(guò)程中產(chǎn)生的錯(cuò)誤和遺漏B、互聯(lián)網(wǎng)絡(luò)中的漏洞會(huì)被熟悉協(xié)議的人利用C、系統(tǒng)內(nèi)部和外部的攻擊者非法入侵和破壞系統(tǒng)D、用戶頻繁進(jìn)行網(wǎng)絡(luò)瀏覽答案:D解析:本題考查信息系統(tǒng)的安全風(fēng)險(xiǎn)隱患來(lái)源。選項(xiàng)A、B、C都是信息系統(tǒng)安全風(fēng)險(xiǎn)的常見(jiàn)來(lái)源,而選項(xiàng)D“用戶頻繁進(jìn)行網(wǎng)絡(luò)瀏覽”與信息系統(tǒng)安全風(fēng)險(xiǎn)無(wú)關(guān),因此選D。15.基于對(duì)電子簽名認(rèn)證證書或者電子簽名的信賴,從事有關(guān)活動(dòng)的人或機(jī)構(gòu)被稱為()。A、電子簽名依賴方B、電子簽名人C、電子簽名制作方D、電子簽名主管機(jī)構(gòu)答案:A解析:本題考查的是電子簽名認(rèn)證證書或者電子簽名的信賴相關(guān)的知識(shí)點(diǎn)。根據(jù)題干中的描述,從事有關(guān)活動(dòng)的人或機(jī)構(gòu)被稱為什么,可以得出答案為電子簽名依賴方。因此,本題的正確答案為A。其他選項(xiàng)的解釋如下:B.電子簽名人:指使用電子簽名的個(gè)人或機(jī)構(gòu)。C.電子簽名制作方:指制作電子簽名的個(gè)人或機(jī)構(gòu)。D.電子簽名主管機(jī)構(gòu):指負(fù)責(zé)管理電子簽名的機(jī)構(gòu)或部門。16.在lnternet上,Whois服務(wù)能查找的信息中,不包括A、相關(guān)域名B、IP地址C、E-mail地址D、登錄用戶答案:D解析:Whois服務(wù)是一種用于查詢域名注冊(cè)信息的服務(wù),可以查詢相關(guān)域名、IP地址、E-mail地址等信息。但是,登錄用戶并不是Whois服務(wù)能夠查詢的信息之一,因此選項(xiàng)D是正確答案。17.美國(guó)制定數(shù)據(jù)加密標(biāo)準(zhǔn)DES(DataEncryptionStandard)的年份是A、1949B、1969C、1976D、1977答案:D解析:本題考查的是數(shù)據(jù)加密標(biāo)準(zhǔn)DES的制定年份。選項(xiàng)A、B、C都不是正確答案。而選項(xiàng)D的年份是1977年,正是美國(guó)制定數(shù)據(jù)加密標(biāo)準(zhǔn)DES的年份,因此選D為正確答案。18.下列關(guān)于信息與消息的說(shuō)法中,錯(cuò)誤的是A、消息是信息的外殼B、信息是消息的內(nèi)核C、消息是信息的籠統(tǒng)概念D、消息是信息的精確概念答案:D解析:本題考查對(duì)信息與消息的理解。信息是指?jìng)鬟f給人們的有用的、有意義的內(nèi)容,而消息則是傳遞信息的具體形式,可以是口頭、書面、圖像等。因此,選項(xiàng)A和B都是正確的,消息確實(shí)是信息的外殼,信息也是消息的內(nèi)核。選項(xiàng)C是錯(cuò)誤的,因?yàn)橄⒉⒉皇切畔⒌幕\統(tǒng)概念,而是信息的具體表現(xiàn)形式。選項(xiàng)D也是錯(cuò)誤的,因?yàn)橄⒉⒉皇切畔⒌木_概念,而是信息的具體表現(xiàn)形式。因此,本題的正確答案是D。19.PKlI的核心是A、數(shù)字證書B、CAC、RAD、CRL答案:A解析:本題考查PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)的核心內(nèi)容。PKI是一種基于公鑰密碼學(xué)的安全體系結(jié)構(gòu),用于保護(hù)網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸?shù)陌踩?。PKI的核心包括數(shù)字證書、CA(CertificateAuthority,證書頒發(fā)機(jī)構(gòu))、RA(RegistrationAuthority,注冊(cè)機(jī)構(gòu))和CRL(CertificateRevocationList,證書吊銷列表)等。選項(xiàng)A中的數(shù)字證書是PKI中的重要組成部分,用于驗(yàn)證通信雙方的身份和保護(hù)通信內(nèi)容的機(jī)密性。因此,選項(xiàng)A是本題的正確答案。選項(xiàng)B中的CA是PKI中的權(quán)威機(jī)構(gòu),負(fù)責(zé)頒發(fā)數(shù)字證書和驗(yàn)證證書的有效性。選項(xiàng)C中的RA是CA的輔助機(jī)構(gòu),負(fù)責(zé)驗(yàn)證證書申請(qǐng)者的身份和審核證書申請(qǐng)。選項(xiàng)D中的CRL是用于吊銷數(shù)字證書的列表,包含已經(jīng)失效或被撤銷的數(shù)字證書信息。綜上所述,本題的正確答案為A,即數(shù)字證書是PKI的核心。20.能提供源主機(jī)應(yīng)用程序和目標(biāo)主機(jī)應(yīng)用程序之間數(shù)據(jù)端到端傳輸服務(wù)的TCP/IP層次是A、物理和鏈路層B、網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層答案:C解析:本題考查的是TCP/IP協(xié)議層次中提供端到端傳輸服務(wù)的層次。根據(jù)TCP/IP協(xié)議的分層結(jié)構(gòu),可以將其分為四層,分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸層。應(yīng)用層不屬于TCP/IP協(xié)議的四層,而是在傳輸層之上的一個(gè)獨(dú)立的層次。物理層和數(shù)據(jù)鏈路層主要負(fù)責(zé)物理傳輸和數(shù)據(jù)幀的傳輸,不涉及端到端的數(shù)據(jù)傳輸服務(wù)。應(yīng)用層提供的是面向應(yīng)用的服務(wù),不涉及端到端的數(shù)據(jù)傳輸服務(wù)。因此,答案排除了A和D兩個(gè)選項(xiàng)。網(wǎng)絡(luò)層主要負(fù)責(zé)數(shù)據(jù)包的傳輸和路由選擇,雖然可以提供端到端的數(shù)據(jù)傳輸服務(wù),但是其服務(wù)范圍不僅限于應(yīng)用層,因此也不是本題的正確答案。傳輸層是TCP/IP協(xié)議中提供端到端數(shù)據(jù)傳輸服務(wù)的層次,主要負(fù)責(zé)數(shù)據(jù)的可靠傳輸和流量控制。因此,本題的正確答案是C,即傳輸層。21.主要在操作系統(tǒng)的內(nèi)核層實(shí)現(xiàn)的木馬隱藏技術(shù)是()。A、線程插入技術(shù)B、DLL動(dòng)態(tài)劫持技術(shù)C、端口反彈技術(shù)D、Rootkit技術(shù)答案:D解析:本題考查的是木馬隱藏技術(shù),而根據(jù)常見(jiàn)的木馬隱藏技術(shù),可以發(fā)現(xiàn)只有Rootkit技術(shù)是主要在操作系統(tǒng)的內(nèi)核層實(shí)現(xiàn)的。因此,本題的正確答案是D。A選項(xiàng)的線程插入技術(shù)是指將惡意代碼插入到系統(tǒng)進(jìn)程的線程中,從而實(shí)現(xiàn)隱藏的技術(shù),但并不是主要在操作系統(tǒng)的內(nèi)核層實(shí)現(xiàn)的。B選項(xiàng)的DLL動(dòng)態(tài)劫持技術(shù)是指通過(guò)劫持系統(tǒng)中的DLL文件,從而實(shí)現(xiàn)惡意代碼的執(zhí)行,但并不是主要在操作系統(tǒng)的內(nèi)核層實(shí)現(xiàn)的。C選項(xiàng)的端口反彈技術(shù)是指通過(guò)反彈端口的方式,從而實(shí)現(xiàn)惡意代碼的隱藏,但并不是主要在操作系統(tǒng)的內(nèi)核層實(shí)現(xiàn)的。因此,本題的正確答案是D。22.有關(guān)SQL命令,下列說(shuō)法正確的是A、刪除表的命令是DROPTABLEB、刪除記錄的命令是DESTROYRECORDC、建立視圖的命令是CREATETABLED、更新記錄的命令是UPGRADERECORD答案:A解析:A.正確。刪除表的命令是DROPTABLE,可以刪除整個(gè)表及其數(shù)據(jù)。B.錯(cuò)誤。刪除記錄的命令是DELETE,而不是DESTROYRECORD。C.錯(cuò)誤。建立視圖的命令是CREATEVIEW,而不是CREATETABLE。D.錯(cuò)誤。更新記錄的命令是UPDATE,而不是UPGRADERECORD。綜上所述,選項(xiàng)A正確,是刪除表的命令。23.定義ISMS的范圍,就是在___內(nèi)選定架構(gòu)ISMS的范圍A、組織機(jī)構(gòu)B、行政機(jī)構(gòu)C、安全機(jī)構(gòu)D、評(píng)估機(jī)構(gòu)答案:A解析:本題考查的是ISMS(信息安全管理體系)的范圍定義。ISMS的范圍定義是指在組織內(nèi)選定架構(gòu)ISMS的范圍,即確定哪些信息資產(chǎn)需要保護(hù),哪些業(yè)務(wù)流程需要納入ISMS的管理范圍。因此,選項(xiàng)A“組織機(jī)構(gòu)”是正確答案。選項(xiàng)B“行政機(jī)構(gòu)”、“安全機(jī)構(gòu)”、“評(píng)估機(jī)構(gòu)”都與ISMS的范圍定義無(wú)關(guān),是干擾項(xiàng)。24.信息安全管理基本技術(shù)要求從五個(gè)層面提出:物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、主機(jī)安全和A、數(shù)據(jù)安全B、路由安全C、交換安全D、通信安全答案:A解析:本題考查的是信息安全管理基本技術(shù)要求的五個(gè)層面,分別是物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、主機(jī)安全和數(shù)據(jù)安全。選項(xiàng)A“數(shù)據(jù)安全”符合題目要求,因此為正確答案。選項(xiàng)B“路由安全”和選項(xiàng)C“交換安全”屬于網(wǎng)絡(luò)安全的范疇,不是本題所要求的五個(gè)層面。選項(xiàng)D“通信安全”也屬于網(wǎng)絡(luò)安全的范疇,不是本題所要求的五個(gè)層面。因此,答案為A。25.信息安全管理的基本技術(shù)要求設(shè)計(jì)的五個(gè)方面是:A、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全B、路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全C、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全D、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全答案:C解析:本題考查信息安全管理的基本技術(shù)要求設(shè)計(jì)的五個(gè)方面。根據(jù)常識(shí)和相關(guān)知識(shí)可知,信息安全管理的基本技術(shù)要求設(shè)計(jì)的五個(gè)方面應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全。因此,選項(xiàng)C“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全”是正確答案。選項(xiàng)A“路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全”和選項(xiàng)B“路由安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全”都將協(xié)議安全作為了基本技術(shù)要求設(shè)計(jì)的方面,不符合常識(shí)和相關(guān)知識(shí)。選項(xiàng)D“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、協(xié)議安全和數(shù)據(jù)安全”將協(xié)議安全作為了基本技術(shù)要求設(shè)計(jì)的方面,也不符合常識(shí)和相關(guān)知識(shí)。因此,本題答案為C。26.SYN-Flood屬于A、IP協(xié)議層攻擊B、TCP協(xié)議層攻擊C、UDP協(xié)議層攻擊D、應(yīng)用層協(xié)議攻擊答案:B解析:SYN-Flood是一種針對(duì)TCP協(xié)議的攻擊方式,攻擊者向目標(biāo)主機(jī)發(fā)送大量的TCP連接請(qǐng)求(SYN包),但不完成三次握手,從而使目標(biāo)主機(jī)的TCP連接資源被耗盡,無(wú)法響應(yīng)正常的連接請(qǐng)求。因此,答案為B,TCP協(xié)議層攻擊。27.有關(guān)盲攻擊,說(shuō)法錯(cuò)誤的是A、使用網(wǎng)絡(luò)嗅探工具可捕獲目標(biāo)主機(jī)的TCP數(shù)據(jù)包B、無(wú)法獲得目標(biāo)主機(jī)的初始序列號(hào)C、攻擊者和目標(biāo)主機(jī)不在同一個(gè)網(wǎng)絡(luò)D、盲攻擊相對(duì)非盲攻擊難度較大答案:A解析:盲攻擊是指攻擊者在沒(méi)有事先獲取目標(biāo)系統(tǒng)信息的情況下進(jìn)行攻擊,因此選項(xiàng)A中的說(shuō)法是錯(cuò)誤的。使用網(wǎng)絡(luò)嗅探工具可以捕獲目標(biāo)主機(jī)的TCP數(shù)據(jù)包,但是這并不意味著攻擊者可以輕易地進(jìn)行盲攻擊。選項(xiàng)B中的說(shuō)法是正確的,因?yàn)楣粽邿o(wú)法獲得目標(biāo)主機(jī)的初始序列號(hào),這會(huì)增加攻擊的難度。選項(xiàng)C中的說(shuō)法是可能的,因?yàn)楣粽吆湍繕?biāo)主機(jī)不一定在同一個(gè)網(wǎng)絡(luò)中。選項(xiàng)D中的說(shuō)法是正確的,因?yàn)槊す粝鄬?duì)于非盲攻擊來(lái)說(shuō),攻擊者需要更多的時(shí)間和精力來(lái)進(jìn)行攻擊。因此,本題的正確答案是A。28.針對(duì)XSS的防范措施不包括A、按照最小權(quán)限原則設(shè)置數(shù)據(jù)庫(kù)的連接權(quán)限B、進(jìn)行輸出檢查C、進(jìn)行輸入檢查D、給關(guān)鍵Cookie設(shè)置Httponly標(biāo)識(shí)答案:A解析:本題考查的是針對(duì)XSS攻擊的防范措施,選項(xiàng)A提到的是按照最小權(quán)限原則設(shè)置數(shù)據(jù)庫(kù)的連接權(quán)限,雖然這是一種安全措施,但并不是針對(duì)XSS攻擊的防范措施,因此選項(xiàng)A不包括在針對(duì)XSS的防范措施中。選項(xiàng)B和C提到的是輸出檢查和輸入檢查,這是常見(jiàn)的防范XSS攻擊的措施,通過(guò)對(duì)用戶輸入和輸出進(jìn)行檢查,可以有效地防止XSS攻擊。選項(xiàng)D提到的是給關(guān)鍵Cookie設(shè)置Httponly標(biāo)識(shí),這也是一種防范XSS攻擊的措施,通過(guò)設(shè)置Httponly標(biāo)識(shí),可以防止攻擊者通過(guò)腳本獲取到Cookie信息,從而保護(hù)用戶的隱私和安全。因此,本題的正確答案是A。29.信息安全管理體系(ISMS)是一個(gè)系統(tǒng)化、程序化和文件化的管理體系,屬于風(fēng)險(xiǎn)管理的范疇,體系的建立基于系統(tǒng)、全面和科學(xué)的安全A、風(fēng)險(xiǎn)識(shí)別B、風(fēng)險(xiǎn)評(píng)估C、風(fēng)險(xiǎn)控制D、風(fēng)險(xiǎn)處置答案:B解析:本題考查的是信息安全管理體系(ISMS)的建立基礎(chǔ)。根據(jù)題干中的描述,ISMS的建立基于系統(tǒng)、全面和科學(xué)的安全,屬于風(fēng)險(xiǎn)管理的范疇。因此,ISMS的建立需要進(jìn)行風(fēng)險(xiǎn)評(píng)估,即答案為B。風(fēng)險(xiǎn)識(shí)別是指確定可能對(duì)信息系統(tǒng)安全造成威脅的各種因素和事件;風(fēng)險(xiǎn)控制是指采取措施降低風(fēng)險(xiǎn)的可能性和影響;風(fēng)險(xiǎn)處置是指在風(fēng)險(xiǎn)發(fā)生后采取的應(yīng)對(duì)措施。30.Internet上提供的一種查找相關(guān)域名、IP地址、E-mail信箱、聯(lián)系電話等信息的服務(wù)是A、whoisB、telnetC、routeD、NS答案:A解析:本題考查的是Internet上提供的一種查找相關(guān)域名、IP地址、E-mail信箱、聯(lián)系電話等信息的服務(wù)是什么。根據(jù)常識(shí)和網(wǎng)絡(luò)知識(shí)可知,這種服務(wù)就是whois服務(wù)。因此,本題的答案是A。選項(xiàng)B的telnet是一種遠(yuǎn)程登錄協(xié)議,用于遠(yuǎn)程登錄到其他計(jì)算機(jī)上進(jìn)行操作;選項(xiàng)C的route是路由協(xié)議,用于在網(wǎng)絡(luò)中尋找最佳路徑;選項(xiàng)D的DNS是域名系統(tǒng),用于將域名轉(zhuǎn)換為IP地址。這些選項(xiàng)與本題所考查的服務(wù)不符,因此都不是本題的答案。31.制定業(yè)務(wù)持續(xù)性計(jì)劃時(shí),策略選擇的決定性因素是A、成本B、人員C、技術(shù)D、政策答案:A解析:制定業(yè)務(wù)持續(xù)性計(jì)劃時(shí),策略選擇的決定性因素是成本。因?yàn)闃I(yè)務(wù)持續(xù)性計(jì)劃是為了保障企業(yè)在遭受災(zāi)難或其他不可預(yù)見(jiàn)事件時(shí)能夠繼續(xù)運(yùn)營(yíng),因此需要制定相應(yīng)的策略來(lái)應(yīng)對(duì)。在制定策略時(shí),成本是一個(gè)非常重要的考慮因素,因?yàn)樾枰诒U蠘I(yè)務(wù)持續(xù)性的前提下,盡可能地降低成本。因此,策略選擇的決定性因素是成本。人員、技術(shù)和政策等因素也是需要考慮的,但不是決定性因素。32.信息安全管理體系認(rèn)證基于A、自愿原則B、強(qiáng)制原則C、國(guó)家利益原則D、企業(yè)利益原則答案:A解析:本題考查信息安全管理體系認(rèn)證的基礎(chǔ)原則。根據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:2013,信息安全管理體系認(rèn)證應(yīng)基于自愿原則,即企業(yè)自愿申請(qǐng)認(rèn)證,自愿接受認(rèn)證機(jī)構(gòu)的審核和評(píng)估。因此,選項(xiàng)A為正確答案。選項(xiàng)B“強(qiáng)制原則”不符合實(shí)際情況,因?yàn)樾畔踩芾眢w系認(rèn)證是企業(yè)自愿申請(qǐng)的,不存在強(qiáng)制要求。選項(xiàng)C“國(guó)家利益原則”和信息安全管理體系認(rèn)證無(wú)關(guān),不是正確答案。選項(xiàng)D“企業(yè)利益原則”雖然與企業(yè)自愿申請(qǐng)認(rèn)證有關(guān),但不是信息安全管理體系認(rèn)證的基礎(chǔ)原則,因此不是正確答案。綜上所述,本題正確答案為A。33.屬于分組密碼算法的是A、SM4B、SM3C、SM2D、SM5答案:A解析:本題考查的是分組密碼算法的概念,分組密碼算法是將明文分成固定長(zhǎng)度的塊,每個(gè)塊分別進(jìn)行加密,最后合并成密文的一種加密方式。而選項(xiàng)中只有A選項(xiàng)SM4是分組密碼算法,因此答案為A。B選項(xiàng)SM3是哈希算法,C選項(xiàng)SM2是非對(duì)稱加密算法,D選項(xiàng)SM5并不存在。34.不屬于訪問(wèn)控制實(shí)現(xiàn)方法的是A、虛擬性訪問(wèn)控制B、行政性訪問(wèn)控制C、邏輯/技術(shù)性訪問(wèn)控制D、物理性訪問(wèn)控制答案:A解析:本題考查的是訪問(wèn)控制實(shí)現(xiàn)方法,選項(xiàng)中的三個(gè)都是訪問(wèn)控制的實(shí)現(xiàn)方法,只有選項(xiàng)A不屬于訪問(wèn)控制實(shí)現(xiàn)方法,因此答案為A。行政性訪問(wèn)控制是通過(guò)組織機(jī)構(gòu)、管理制度等手段來(lái)控制訪問(wèn)權(quán)限的方法;邏輯/技術(shù)性訪問(wèn)控制是通過(guò)軟件、硬件等技術(shù)手段來(lái)控制訪問(wèn)權(quán)限的方法;物理性訪問(wèn)控制是通過(guò)門禁、鎖等物理手段來(lái)控制訪問(wèn)權(quán)限的方法。而虛擬性訪問(wèn)控制并不是一種實(shí)際的訪問(wèn)控制方法,因此不屬于訪問(wèn)控制實(shí)現(xiàn)方法。35.下列關(guān)于木馬反彈端口技術(shù)的描述中,錯(cuò)誤的是()。A、反彈端口技術(shù)中,由木馬服務(wù)端程序主動(dòng)連接木馬客戶端程序B、反彈端口技術(shù)中,木馬客戶端的IP地址必須是公網(wǎng)IP地址C、反彈端口技術(shù)中,由跳板計(jì)算機(jī)將變動(dòng)后的IP地址主動(dòng)通知木馬服務(wù)端程序D、反彈端口技術(shù)中,木馬的服務(wù)端程序可穿透所在內(nèi)網(wǎng)的包過(guò)濾防火墻答案:C解析:本題考查木馬反彈端口技術(shù)的相關(guān)知識(shí)點(diǎn)。反彈端口技術(shù)是指木馬服務(wù)端程序主動(dòng)連接木馬客戶端程序,以達(dá)到穿透防火墻的目的。在反彈端口技術(shù)中,木馬客戶端的IP地址可以是公網(wǎng)IP地址,也可以是內(nèi)網(wǎng)IP地址,但需要進(jìn)行端口映射。而選項(xiàng)C中描述的由跳板計(jì)算機(jī)將變動(dòng)后的IP地址主動(dòng)通知木馬服務(wù)端程序是錯(cuò)誤的,因?yàn)榉磸椂丝诩夹g(shù)中并沒(méi)有跳板計(jì)算機(jī)的概念,木馬服務(wù)端程序是通過(guò)主動(dòng)連接木馬客戶端程序來(lái)實(shí)現(xiàn)穿透防火墻的。因此,選項(xiàng)C是錯(cuò)誤的,是本題的答案。36.在WindowsNT里,口令字密文保存在A、SAM文件B、PWD文件C、SYSKEY文件D、OS文件答案:A解析:本題考查的是WindowsNT系統(tǒng)中口令字密文的保存位置??诹钭置芪氖侵赣脩粼诘卿浵到y(tǒng)時(shí)輸入的密碼經(jīng)過(guò)加密后的結(jié)果,用于驗(yàn)證用戶身份。在WindowsNT系統(tǒng)中,這些密文是保存在SAM(SecurityAccountsManager)文件中的。因此,本題的正確答案是A。其他選項(xiàng)中,PWD文件、SYSKEY文件和DOS文件都不是WindowsNT系統(tǒng)中保存口令字密文的文件。37.在強(qiáng)制訪問(wèn)控制模型中,屬于混合策略模型的是()。A、Bell-Lapudula模型B、iba模型C、lark-Wilson模型D、ChineseWall模型答案:D解析:在強(qiáng)制訪問(wèn)控制模型中,ChineseWall模型屬于混合策略模型,因?yàn)樗Y(jié)合了自主訪問(wèn)控制模型中的自由裁量權(quán)和強(qiáng)制訪問(wèn)控制模型中的訪問(wèn)控制規(guī)則,以實(shí)現(xiàn)不同部門的隔離和保護(hù)敏感信息。其他選項(xiàng)中,Bell-Lapadula模型和Biba模型屬于自主訪問(wèn)控制模型,而Clark-Wilson模型屬于強(qiáng)制訪問(wèn)控制模型。38.證書的驗(yàn)證需要對(duì)證書的三個(gè)信息進(jìn)行確認(rèn)。下列選項(xiàng)不包括在其中的是()。A、驗(yàn)證有效性,即證書是否在證書的有效使用期之內(nèi)B、驗(yàn)證可用性,即證書是否已廢除C、驗(yàn)證真實(shí)性,即證書是否為可信任的CA認(rèn)證中心簽發(fā)D、驗(yàn)證保密性,即證書是否由CA進(jìn)行了數(shù)字簽名答案:D解析:本題考查證書驗(yàn)證的基本知識(shí)。證書的驗(yàn)證需要對(duì)證書的三個(gè)信息進(jìn)行確認(rèn),即有效性、可用性和真實(shí)性。其中,有效性指證書是否在證書的有效使用期之內(nèi);可用性指證書是否已廢除;真實(shí)性指證書是否為可信任的CA認(rèn)證中心簽發(fā)。而驗(yàn)證保密性并不是證書驗(yàn)證的內(nèi)容,因此選項(xiàng)D不包括在其中。因此,本題答案為D。39.信息安全管理體系審核包括A、內(nèi)部審核和外部審核B、主動(dòng)審核和被動(dòng)審核C、持續(xù)審核和間歇審核D、客觀審核和主觀審核答案:A解析:本題考查信息安全管理體系審核的分類。根據(jù)ISO/IEC27001信息安全管理體系標(biāo)準(zhǔn),信息安全管理體系審核分為內(nèi)部審核和外部審核兩種類型。內(nèi)部審核是由組織內(nèi)部的審核員對(duì)信息安全管理體系進(jìn)行審核,外部審核是由第三方審核機(jī)構(gòu)對(duì)信息安全管理體系進(jìn)行審核。因此,選項(xiàng)A正確,其他選項(xiàng)均不符合實(shí)際情況。綜上所述,本題答案為A。40.在軟件設(shè)計(jì)初期,就需要按照安全設(shè)計(jì)的原則對(duì)軟件進(jìn)行全面考慮。下列不屬于安全設(shè)計(jì)原則的是A、開放設(shè)計(jì)原則B、全面防御原則C、避免代碼重用D、選擇安全的加密算法答案:C解析:本題考查的是軟件設(shè)計(jì)中的安全設(shè)計(jì)原則。安全設(shè)計(jì)原則是指在軟件設(shè)計(jì)初期,就需要按照安全設(shè)計(jì)的原則對(duì)軟件進(jìn)行全面考慮,以保證軟件的安全性。選項(xiàng)A、B、D都是安全設(shè)計(jì)原則中的內(nèi)容,而選項(xiàng)C“避免代碼重用”并不是安全設(shè)計(jì)原則中的內(nèi)容,因此選C。41.攻擊者利用棧溢出發(fā)起攻擊時(shí),向存在漏洞的軟件程序輸入的數(shù)據(jù)不包括A、NOP填充字段B、隨機(jī)填充數(shù)據(jù)C、原返回地址D、Shellcode答案:C解析:本題考查的是棧溢出攻擊的基本知識(shí)。棧溢出攻擊是指攻擊者通過(guò)向存在漏洞的軟件程序輸入超出預(yù)設(shè)緩沖區(qū)大小的數(shù)據(jù),從而覆蓋了程序的返回地址,使得程序執(zhí)行到攻擊者預(yù)設(shè)的惡意代碼上,從而達(dá)到攻擊的目的。選項(xiàng)A和B都是攻擊者為了填充緩沖區(qū)而使用的數(shù)據(jù),而選項(xiàng)D則是攻擊者為了執(zhí)行惡意代碼而輸入的數(shù)據(jù)。因此,正確答案為C,即原返回地址不是攻擊者輸入的數(shù)據(jù),而是程序自己的數(shù)據(jù)。攻擊者通過(guò)覆蓋原返回地址,使得程序執(zhí)行到攻擊者預(yù)設(shè)的惡意代碼上。42.基本安全要求中基本技術(shù)要求從五個(gè)方面提出。下列選項(xiàng)中,不包含在這五個(gè)方面的是()。A、物理安全B、路由安全C、數(shù)據(jù)安全D、網(wǎng)絡(luò)安全答案:B解析:[解析]基本安全要求中基本技術(shù)要求從五個(gè)方面提出:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù);路由安全不是基本安全要求中基本技術(shù)。故選擇B選項(xiàng)。43.在Linux/UNIX系統(tǒng)中,用戶命令的可執(zhí)行文件通常存放在A、/binB、/devC、/etcD、/lib答案:A解析:本題考查L(zhǎng)inux/UNIX系統(tǒng)中用戶命令的可執(zhí)行文件存放位置。根據(jù)慣例,Linux/UNIX系統(tǒng)中用戶命令的可執(zhí)行文件通常存放在/bin目錄下,因此選項(xiàng)A為正確答案。選項(xiàng)B的/dev目錄是用于存放設(shè)備文件的,選項(xiàng)C的/etc目錄是用于存放系統(tǒng)配置文件的,選項(xiàng)D的/lib目錄是用于存放共享庫(kù)文件的。這些目錄都不是存放用戶命令的可執(zhí)行文件的標(biāo)準(zhǔn)位置。因此,本題的正確答案為A。44.當(dāng)代信息安全學(xué)起源于二十世紀(jì)四十年代的通訊保密,其中確保通信過(guò)程安全的核心技術(shù)是A、訪問(wèn)控制B、消息認(rèn)證C、數(shù)字簽名D、密碼學(xué)答案:D解析:本題考查的是當(dāng)代信息安全學(xué)的起源和核心技術(shù)。根據(jù)題干中的提示,可以知道當(dāng)代信息安全學(xué)的起源是二十世紀(jì)四十年代的通訊保密。而確保通信過(guò)程安全的核心技術(shù)是什么呢?根據(jù)常識(shí)和專業(yè)知識(shí),我們可以知道,通訊保密的核心技術(shù)就是密碼學(xué)。因此,本題的正確答案是D。選項(xiàng)A的訪問(wèn)控制是信息安全中的一種技術(shù)手段,但不是通訊保密的核心技術(shù);選項(xiàng)B的消息認(rèn)證是信息安全中的一種技術(shù)手段,但不是通訊保密的核心技術(shù);選項(xiàng)C的數(shù)字簽名是信息安全中的一種技術(shù)手段,但不是通訊保密的核心技術(shù)。因此,這三個(gè)選項(xiàng)都不是本題的正確答案。45.下列選項(xiàng)中,不屬于網(wǎng)站掛馬的主要技術(shù)手段是()。A、框架掛馬B、下載掛馬C、js腳本掛馬D、body掛馬答案:B解析:本題考查的是網(wǎng)站掛馬的技術(shù)手段。網(wǎng)站掛馬是指黑客通過(guò)各種手段將惡意代碼植入網(wǎng)站中,使得用戶在訪問(wèn)該網(wǎng)站時(shí)受到攻擊。常見(jiàn)的網(wǎng)站掛馬技術(shù)手段包括框架掛馬、js腳本掛馬、body掛馬等。選項(xiàng)A、C、D都是網(wǎng)站掛馬的主要技術(shù)手段,而選項(xiàng)B是下載掛馬,不屬于網(wǎng)站掛馬的主要技術(shù)手段。因此,本題的正確答案是B。46.關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的所有數(shù)據(jù)以表格的方式來(lái)描述,每一個(gè)數(shù)據(jù)表又可以稱為A、關(guān)系B、視圖C、模型D、角色答案:A解析:本題考查的是關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的基本概念。關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的所有數(shù)據(jù)都以表格的方式來(lái)描述,每一個(gè)數(shù)據(jù)表也可以稱為關(guān)系。因此,本題的正確答案為A。選項(xiàng)B視圖是指從一個(gè)或多個(gè)表中選擇部分?jǐn)?shù)據(jù)列所形成的虛擬表,選項(xiàng)C模型是指對(duì)現(xiàn)實(shí)世界中某個(gè)領(lǐng)域的事物或概念進(jìn)行抽象和概括的結(jié)果,選項(xiàng)D角色是指在數(shù)據(jù)庫(kù)中具有特定權(quán)限和功能的用戶身份。因此,這些選項(xiàng)都與本題的考點(diǎn)不符,不是正確答案。47.有關(guān)數(shù)據(jù)庫(kù)安全,下列說(shuō)法錯(cuò)誤的是A、CREATEUSER命令中如果沒(méi)有指定創(chuàng)建的新用戶的權(quán)限,默認(rèn)該用戶擁有CONNECT權(quán)限B、為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色,使用角色來(lái)管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過(guò)程C、視圖機(jī)制的安全保護(hù)功能太不精細(xì),往往不能達(dá)到應(yīng)用系統(tǒng)的要求,其主要功能在于提供了數(shù)據(jù)庫(kù)的邏輯獨(dú)立性D、防火墻能對(duì)SQL注入漏洞進(jìn)行有效防范答案:D解析:A選項(xiàng):CREATEUSER命令用于創(chuàng)建新用戶,如果沒(méi)有指定創(chuàng)建的新用戶的權(quán)限,默認(rèn)該用戶沒(méi)有任何權(quán)限,包括CONNECT權(quán)限。B選項(xiàng):為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色,使用角色來(lái)管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過(guò)程,這是數(shù)據(jù)庫(kù)安全的一種常見(jiàn)做法。C選項(xiàng):視圖機(jī)制的安全保護(hù)功能主要在于提供了數(shù)據(jù)庫(kù)的邏輯獨(dú)立性,但是視圖也可以用于限制用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限,因此該說(shuō)法錯(cuò)誤。D選項(xiàng):防火墻主要用于保護(hù)網(wǎng)絡(luò)安全,對(duì)SQL注入漏洞進(jìn)行有效防范的是數(shù)據(jù)庫(kù)安全軟件,因此該說(shuō)法錯(cuò)誤。綜上所述,選項(xiàng)D是錯(cuò)誤的,是本題的答案。48.下列選項(xiàng)中,進(jìn)行簡(jiǎn)單的用戶名/密碼認(rèn)證,且用戶只需要一個(gè)接受或拒絕即可進(jìn)行訪問(wèn)(如在互聯(lián)網(wǎng)服務(wù)提供商ISP中)的是()。A、RADIUSB、TACACSC、DiameterD、RBAC答案:A解析:本題考查的是簡(jiǎn)單的用戶名/密碼認(rèn)證,且用戶只需要一個(gè)接受或拒絕即可進(jìn)行訪問(wèn)的認(rèn)證協(xié)議。根據(jù)選項(xiàng)可知,RADIUS、TACACS、Diameter都是認(rèn)證協(xié)議,而RBAC是一種訪問(wèn)控制模型,不是認(rèn)證協(xié)議。因此,答案為A,即RADIUS。RADIUS是一種廣泛應(yīng)用于互聯(lián)網(wǎng)服務(wù)提供商ISP中的認(rèn)證協(xié)議,它使用用戶名和密碼進(jìn)行認(rèn)證,并且只需要一次接受或拒絕即可進(jìn)行訪問(wèn)。49.下列關(guān)于體系審核的描述中,錯(cuò)誤的是()。A、體系審核應(yīng)對(duì)體系范圍內(nèi)所有安全領(lǐng)域進(jìn)行全面系統(tǒng)地審核B、應(yīng)由與被審核對(duì)象無(wú)直接責(zé)任的人員來(lái)實(shí)施C、組織機(jī)構(gòu)要對(duì)審核過(guò)程本身進(jìn)行安全控制D、對(duì)不符合項(xiàng)的糾正措施無(wú)須跟蹤審查答案:D解析:本題考查體系審核的相關(guān)知識(shí)點(diǎn)。體系審核是指對(duì)組織的安全管理體系進(jìn)行全面、系統(tǒng)的審核,以確定其是否符合相關(guān)標(biāo)準(zhǔn)、法規(guī)和組織的要求。下列關(guān)于體系審核的描述中,錯(cuò)誤的是D選項(xiàng),因?yàn)閷?duì)不符合項(xiàng)的糾正措施需要跟蹤審查,以確保其有效性和持續(xù)性。因此,本題的正確答案為D。其他選項(xiàng)的描述都是正確的,即體系審核應(yīng)對(duì)體系范圍內(nèi)所有安全領(lǐng)域進(jìn)行全面系統(tǒng)地審核,應(yīng)由與被審核對(duì)象無(wú)直接責(zé)任的人員來(lái)實(shí)施,組織機(jī)構(gòu)要對(duì)審核過(guò)程本身進(jìn)行安全控制。50.下列關(guān)于加密算法應(yīng)用范圍的描述中,正確的是A、DSS用于數(shù)字簽名,RSA用于加密和簽名B、DSS用于密鑰交換,IDEA用于加密和簽名C、DSS用于數(shù)字簽名,MD5用于加密和簽名D、SS用于加密和簽名,MD5用于完整性校驗(yàn)答案:A解析:本題考查加密算法的應(yīng)用范圍。選項(xiàng)A中,DSS是數(shù)字簽名算法,RSA既可以用于加密也可以用于簽名,符合實(shí)際應(yīng)用。選項(xiàng)B中,DSS用于數(shù)字簽名而非密鑰交換,IDEA用于加密而非簽名,不符合實(shí)際應(yīng)用。選項(xiàng)C中,MD5是哈希算法,用于完整性校驗(yàn)而非加密和簽名,不符合實(shí)際應(yīng)用。選項(xiàng)D中,DSS用于加密和簽名,MD5用于完整性校驗(yàn),不符合實(shí)際應(yīng)用。因此,正確答案為A。51.除去奇偶校驗(yàn)位,DES算法密鑰的有效位數(shù)是()。A、64B、128C、56D、168答案:C解析:DES算法中,密鑰長(zhǎng)度為64位,其中包括8位奇偶校驗(yàn)位,實(shí)際有效的密鑰位數(shù)為56位。因此,本題的正確答案為C。52.信息技術(shù)的產(chǎn)生與發(fā)展,大致經(jīng)歷的三個(gè)階段是()。A、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的使用B、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展和云計(jì)算的使用C、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展和個(gè)人計(jì)算機(jī)的使用D、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展和半導(dǎo)體技術(shù)的使用答案:A解析:[解析]信息技術(shù)的發(fā)展,大致分為電訊技術(shù)的發(fā)明(19世紀(jì)30年代開始)、計(jì)算機(jī)技術(shù)的發(fā)展(20世紀(jì)50年代開始)和互聯(lián)網(wǎng)的使用(20世紀(jì)60年代開始)三個(gè)階段。故選擇A選項(xiàng)53.使用ls命令查看UNIX文件權(quán)限顯示的結(jié)果為"drw-rw-rw-",其中第--一個(gè)"d"表示A、任何人無(wú)法寫入該文件B、該文件是一個(gè)正規(guī)文件C、該文件不屬于任何分組D、該文件是一個(gè)目錄答案:D解析:根據(jù)UNIX文件權(quán)限的表示方法,第一個(gè)字符表示文件類型,其中"d"表示該文件是一個(gè)目錄。因此,選項(xiàng)D是正確的。選項(xiàng)A、B、C都與題目中的信息不符。54.《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求所涉及的層面,不包括A、業(yè)務(wù)范圍管理B、安全管理機(jī)構(gòu)C、安全管理制度D、系統(tǒng)運(yùn)維管理答案:A解析:本題考查的是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求所涉及的層面。根據(jù)題干中的選項(xiàng),可以逐一排除。B選項(xiàng)“安全管理機(jī)構(gòu)”是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求之一,因此不是本題的答案。C選項(xiàng)“安全管理制度”也是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求之一,因此也不是本題的答案。D選項(xiàng)“系統(tǒng)運(yùn)維管理”也是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求之一,因此也不是本題的答案。因此,本題的答案是A選項(xiàng)“業(yè)務(wù)范圍管理”,它不是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的基本管理要求之一。55.下列選項(xiàng)中,不屬于非對(duì)稱密鑰體制優(yōu)點(diǎn)的是A、可支持?jǐn)?shù)字簽名服務(wù)B、加解密速度快,不需占用較多的資源C、通信方事先不需要通過(guò)保密信道交換密鑰D、可支持身份鑒別答案:B解析:非對(duì)稱密鑰體制是指加密和解密使用不同的密鑰,常見(jiàn)的非對(duì)稱密鑰體制有RSA、ECC等。非對(duì)稱密鑰體制相對(duì)于對(duì)稱密鑰體制具有以下優(yōu)點(diǎn):A.可支持?jǐn)?shù)字簽名服務(wù):非對(duì)稱密鑰體制可以用于數(shù)字簽名,保證數(shù)據(jù)的完整性和真實(shí)性。C.通信方事先不需要通過(guò)保密信道交換密鑰:非對(duì)稱密鑰體制中,加密和解密使用不同的密鑰,通信雙方不需要事先通過(guò)保密信道交換密鑰。D.可支持身份鑒別:非對(duì)稱密鑰體制可以用于身份鑒別,保證通信雙方的身份真實(shí)性。B.加解密速度快,不需占用較多的資源:這個(gè)選項(xiàng)是錯(cuò)誤的,非對(duì)稱密鑰體制的加解密速度相對(duì)較慢,需要占用較多的資源。綜上所述,選項(xiàng)B不屬于非對(duì)稱密鑰體制的優(yōu)點(diǎn)。56.UDPFlood攻擊是A、利用拒絕服務(wù)型漏洞發(fā)起的攻擊B、在應(yīng)用層發(fā)起的攻擊C、耗盡目標(biāo)主機(jī)網(wǎng)絡(luò)帶寬的攻擊D、在傳輸層保持長(zhǎng)時(shí)間連接的攻擊答案:C解析:UDPFlood攻擊是一種網(wǎng)絡(luò)攻擊方式,它利用UDP協(xié)議的特點(diǎn),向目標(biāo)主機(jī)發(fā)送大量的UDP數(shù)據(jù)包,從而耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬,導(dǎo)致目標(biāo)主機(jī)無(wú)法正常工作。因此,選項(xiàng)C“耗盡目標(biāo)主機(jī)網(wǎng)絡(luò)帶寬的攻擊”是正確的答案。選項(xiàng)A“利用拒絕服務(wù)型漏洞發(fā)起的攻擊”不準(zhǔn)確,因?yàn)閁DPFlood攻擊并不一定需要利用漏洞,只需要向目標(biāo)主機(jī)發(fā)送大量的UDP數(shù)據(jù)包即可。選項(xiàng)B“在應(yīng)用層發(fā)起的攻擊”不正確,因?yàn)閁DPFlood攻擊是在傳輸層進(jìn)行的,而不是在應(yīng)用層。選項(xiàng)D“在傳輸層保持長(zhǎng)時(shí)間連接的攻擊”也不正確,因?yàn)閁DP協(xié)議是無(wú)連接的,不需要保持長(zhǎng)時(shí)間連接。綜上所述,選項(xiàng)C是正確的答案。57.下列選項(xiàng)中,不屬于軟件動(dòng)態(tài)安全檢測(cè)技術(shù)的是()。A、動(dòng)態(tài)污點(diǎn)分析B、模糊測(cè)試C、智能模糊測(cè)試D、詞法分析答案:D解析:本題考查的是軟件動(dòng)態(tài)安全檢測(cè)技術(shù)。選項(xiàng)A、B、C都是軟件動(dòng)態(tài)安全檢測(cè)技術(shù)的常見(jiàn)方法,而選項(xiàng)D的詞法分析并不屬于軟件動(dòng)態(tài)安全檢測(cè)技術(shù)。因此,本題的正確答案為D。動(dòng)態(tài)污點(diǎn)分析是一種基于程序執(zhí)行的安全分析技術(shù),通過(guò)跟蹤程序執(zhí)行過(guò)程中的數(shù)據(jù)流,識(shí)別出哪些數(shù)據(jù)是可疑的,從而發(fā)現(xiàn)潛在的安全漏洞。模糊測(cè)試是一種基于隨機(jī)輸入的安全測(cè)試技術(shù),通過(guò)向程序輸入隨機(jī)、異常的數(shù)據(jù),觀察程序的反應(yīng),從而發(fā)現(xiàn)潛在的安全漏洞。智能模糊測(cè)試是模糊測(cè)試的一種改進(jìn)版,它利用機(jī)器學(xué)習(xí)等技術(shù),自動(dòng)化生成更加有效的測(cè)試用例,提高測(cè)試效率和準(zhǔn)確性。詞法分析是編譯原理中的一個(gè)概念,用于將源代碼轉(zhuǎn)換為詞法單元序列。它并不屬于軟件動(dòng)態(tài)安全檢測(cè)技術(shù)。58.AH協(xié)議具有的功能是()。A、加密B、數(shù)字簽名C、數(shù)據(jù)完整性鑒別D、協(xié)商相關(guān)安全參數(shù)答案:C解析:[解析]AH協(xié)議用以保證數(shù)據(jù)包的完整性和真實(shí)性,防止黑客階段數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包??紤]到計(jì)算效率,AH沒(méi)有采用數(shù)字簽名而是采用了安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)。故選擇C選項(xiàng)。59.關(guān)于SEHOP,說(shuō)法錯(cuò)誤的是A、SEHOP是微軟針對(duì)SEH攻擊提出的一種安全防護(hù)方案B、SEHOP通過(guò)對(duì)程序中使用的SEH結(jié)構(gòu)進(jìn)行安全檢測(cè),判斷應(yīng)用程序是否遭受SEH攻擊C、SEHOP是Windows異常處理機(jī)制中所采用的重要數(shù)據(jù)結(jié)構(gòu)鏈表D、SEHOP的核心是檢測(cè)程序棧中的所有SEH結(jié)構(gòu)鏈表的完整性答案:C解析:SEHOP是一種針對(duì)SEH攻擊的安全防護(hù)方案,其核心是檢測(cè)程序棧中的所有SEH結(jié)構(gòu)鏈表的完整性,判斷應(yīng)用程序是否遭受SEH攻擊。SEHOP并不是Windows異常處理機(jī)制中所采用的重要數(shù)據(jù)結(jié)構(gòu)鏈表,因此選項(xiàng)C說(shuō)法錯(cuò)誤,是本題的答案。60.關(guān)于Kerberost協(xié)議,說(shuō)法錯(cuò)誤的是A、支持雙向的身份認(rèn)證B、通過(guò)交換跨域密鑰實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證C、身份認(rèn)證采用的是非對(duì)稱加密機(jī)制D、AS和TGS是集中式管理,容易形成瓶頸答案:C解析:Kerberos協(xié)議是一種基于對(duì)稱密鑰的身份認(rèn)證協(xié)議,因此選項(xiàng)C中的說(shuō)法是錯(cuò)誤的。Kerberos協(xié)議支持雙向的身份認(rèn)證,通過(guò)交換跨域密鑰實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證,AS和TGS是集中式管理,容易形成瓶頸。因此,選項(xiàng)A、B、D的說(shuō)法是正確的。61.SSL加密的協(xié)議層是A、鏈路層B、網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層答案:D解析:SSL(SecureSocketsLayer)是一種安全協(xié)議,用于在互聯(lián)網(wǎng)上保護(hù)數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議屬于應(yīng)用層,它在傳輸層協(xié)議(如TCP)之上提供了一層安全性保障。因此,本題的答案為D,即應(yīng)用層。62.不屬于軟件安全開發(fā)技術(shù)范疇的是A、建立安全威脅模型B、安全設(shè)計(jì)C、安全測(cè)試D、風(fēng)險(xiǎn)評(píng)估答案:D解析:本題考查的是軟件安全開發(fā)技術(shù)范疇,選項(xiàng)中只有D不屬于該范疇,因此答案為D。A選項(xiàng)中的建立安全威脅模型是軟件安全開發(fā)的重要環(huán)節(jié),通過(guò)對(duì)系統(tǒng)進(jìn)行威脅建模,可以識(shí)別出系統(tǒng)中存在的安全威脅,為后續(xù)的安全設(shè)計(jì)和測(cè)試提供依據(jù)。B選項(xiàng)中的安全設(shè)計(jì)是軟件安全開發(fā)的核心環(huán)節(jié),通過(guò)對(duì)系統(tǒng)進(jìn)行安全設(shè)計(jì),可以在系統(tǒng)設(shè)計(jì)階段就考慮到安全問(wèn)題,從而減少后續(xù)的安全漏洞和風(fēng)險(xiǎn)。C選項(xiàng)中的安全測(cè)試是軟件安全開發(fā)的重要環(huán)節(jié),通過(guò)對(duì)系統(tǒng)進(jìn)行安全測(cè)試,可以發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞和風(fēng)險(xiǎn),為后續(xù)的修復(fù)和改進(jìn)提供依據(jù)。綜上所述,選項(xiàng)A、B、C都屬于軟件安全開發(fā)技術(shù)范疇,而D選項(xiàng)不屬于該范疇,因此答案為D。63.下列關(guān)于拒絕服務(wù)攻擊的選項(xiàng)中,不屬于在傳輸層發(fā)起的是A、ScriptFloodB、ACKFloodC、PortConncetionFloodD、SYNFlood答案:A解析:拒絕服務(wù)攻擊(DenialofService,DoS)是指攻擊者通過(guò)各種手段,使得被攻擊的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)資源無(wú)法提供正常的服務(wù),從而使得合法用戶無(wú)法正常訪問(wèn)或使用這些資源。其中,SYNFlood、ACKFlood、PortConnectionFlood都是在傳輸層發(fā)起的攻擊,而ScriptFlood不屬于在傳輸層發(fā)起的攻擊。因此,本題的答案為A。64.風(fēng)險(xiǎn)分析主要分為A、定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析B、客觀風(fēng)險(xiǎn)分析和主觀風(fēng)險(xiǎn)分析C、內(nèi)部風(fēng)險(xiǎn)分析和外部風(fēng)險(xiǎn)分析D、技術(shù)的風(fēng)險(xiǎn)分析和管理的風(fēng)險(xiǎn)分析答案:A解析:本題考察風(fēng)險(xiǎn)分析的分類。風(fēng)險(xiǎn)分析是指對(duì)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估和控制的過(guò)程。根據(jù)分析方法的不同,風(fēng)險(xiǎn)分析主要分為定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析兩種。定量風(fēng)險(xiǎn)分析是指通過(guò)數(shù)學(xué)模型和統(tǒng)計(jì)方法對(duì)風(fēng)險(xiǎn)進(jìn)行量化分析,得出風(fēng)險(xiǎn)的概率和影響程度等指標(biāo),以便進(jìn)行決策。定性風(fēng)險(xiǎn)分析是指根據(jù)專家經(jīng)驗(yàn)和判斷,對(duì)風(fēng)險(xiǎn)進(jìn)行主觀評(píng)估和描述,以便確定風(fēng)險(xiǎn)的性質(zhì)和影響程度。因此,選項(xiàng)A正確,其他選項(xiàng)均不符合風(fēng)險(xiǎn)分析的分類。65.下列協(xié)議層發(fā)生的攻擊行為,IPS可以檢測(cè)攔截而硬件包過(guò)濾防火墻不能檢測(cè)攔截的是A、應(yīng)用層B、傳輸層C、網(wǎng)絡(luò)層D、鏈路層答案:A解析:本題考查的是網(wǎng)絡(luò)安全中的攻擊檢測(cè)技術(shù)。根據(jù)題目所述,需要找出一種攻擊行為,該行為發(fā)生在應(yīng)用層,可以被IPS檢測(cè)攔截,但是硬件包過(guò)濾防火墻不能檢測(cè)攔截。應(yīng)用層協(xié)議是網(wǎng)絡(luò)通信中最高層的協(xié)議,包括HTTP、FTP、SMTP等。在應(yīng)用層中,常見(jiàn)的攻擊行為有SQL注入、跨站腳本攻擊、DDoS攻擊等。IPS可以通過(guò)對(duì)應(yīng)用層協(xié)議的深度分析,檢測(cè)到這些攻擊行為并進(jìn)行攔截。而硬件包過(guò)濾防火墻只能根據(jù)網(wǎng)絡(luò)層和傳輸層的信息進(jìn)行過(guò)濾,無(wú)法對(duì)應(yīng)用層的攻擊行為進(jìn)行檢測(cè)。因此,本題的答案為A,即應(yīng)用層。66.如果要給文件foo的分組以讀權(quán)限,所使用的命令是()。A、chmodg+rfooB、chowng+rfooC、hmodfoog+rD、chownfoog+r答案:A解析:本題考查L(zhǎng)inux系統(tǒng)中修改文件權(quán)限的命令。其中,chmod命令用于修改文件或目錄的權(quán)限,而chown命令用于修改文件或目錄的所有者和所屬組。根據(jù)題目要求,需要給文件foo的分組以讀權(quán)限,因此應(yīng)該使用chmod命令,并且需要指定分組的讀權(quán)限,即g+r。因此,正確答案為A選項(xiàng)。B、C、D選項(xiàng)都存在錯(cuò)誤。B選項(xiàng)中的chown命令不能修改文件的權(quán)限,而只能修改文件的所有者和所屬組;C選項(xiàng)中的命令格式錯(cuò)誤,應(yīng)該先指定權(quán)限再指定文件名;D選項(xiàng)中的chown命令同樣不能修改文件的權(quán)限。因此,這些選項(xiàng)都不是正確答案。67.下列選項(xiàng)中,不屬于信息安全風(fēng)險(xiǎn)評(píng)估基本方法的是()。A、基本風(fēng)險(xiǎn)評(píng)估B、詳細(xì)風(fēng)險(xiǎn)評(píng)估C、基本風(fēng)險(xiǎn)評(píng)估和詳細(xì)風(fēng)險(xiǎn)評(píng)估相結(jié)合D、長(zhǎng)遠(yuǎn)風(fēng)險(xiǎn)評(píng)估答案:D解析:本題考查信息安全風(fēng)險(xiǎn)評(píng)估的基本方法。信息安全風(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)中存在的各種威脅和漏洞進(jìn)行評(píng)估,以確定信息系統(tǒng)的安全性和可靠性。常用的風(fēng)險(xiǎn)評(píng)估方法包括基本風(fēng)險(xiǎn)評(píng)估和詳細(xì)風(fēng)險(xiǎn)評(píng)估?;撅L(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)進(jìn)行初步評(píng)估,確定信息系統(tǒng)的安全性和可靠性的整體情況。詳細(xì)風(fēng)險(xiǎn)評(píng)估是在基本風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,對(duì)信息系統(tǒng)中存在的各種威脅和漏洞進(jìn)行詳細(xì)評(píng)估,以確定具體的風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)控制措施。因此,選項(xiàng)A、B、C都是信息安全風(fēng)險(xiǎn)評(píng)估的基本方法。選項(xiàng)D中的“長(zhǎng)遠(yuǎn)風(fēng)險(xiǎn)評(píng)估”并不是信息安全風(fēng)險(xiǎn)評(píng)估的基本方法,因此,答案為D。68.下列選項(xiàng)中,不屬于惡意程序檢測(cè)查殺技術(shù)的是A、特征碼查殺B、啟發(fā)式查殺C、移動(dòng)介質(zhì)查殺D、虛擬機(jī)查殺答案:C解析:本題考查的是惡意程序檢測(cè)查殺技術(shù)。惡意程序是指具有惡意目的的計(jì)算機(jī)程序,如病毒、木馬、蠕蟲等。為了保護(hù)計(jì)算機(jī)系統(tǒng)的安全,需要采取相應(yīng)的檢測(cè)查殺技術(shù)。下列選項(xiàng)中,不屬于惡意程序檢測(cè)查殺技術(shù)的是C選項(xiàng)“移動(dòng)介質(zhì)查殺”。A選項(xiàng)“特征碼查殺”是指通過(guò)查找惡意程序的特征碼來(lái)進(jìn)行檢測(cè)和查殺。B選項(xiàng)“啟發(fā)式查殺”是指通過(guò)分析程序的行為和特征來(lái)判斷是否為惡意程序,并進(jìn)行查殺。D選項(xiàng)“虛擬機(jī)查殺”是指在虛擬機(jī)環(huán)境中運(yùn)行惡意程序,以便進(jìn)行檢測(cè)和查殺。因此,本題的正確答案是C選項(xiàng)。69.有關(guān)密碼分組鏈模式,說(shuō)法錯(cuò)誤的是A、在一些非加密場(chǎng)景下是不能應(yīng)用的,比如報(bào)文鑒別與認(rèn)證B、IV不需要保密,它可以明文形式與密文一起傳送C、每一分組的加密都依賴于所有前面的分組D、明文要與前面的密文進(jìn)行異或運(yùn)算然后被加密,從而形成密文鏈答案:A解析:密碼分組鏈模式(CipherBlockChaining,CBC)是一種常見(jiàn)的分組密碼加密模式,其基本思想是將明文分組與前一個(gè)密文分組進(jìn)行異或運(yùn)算后再進(jìn)行加密。因此,選項(xiàng)B、C、D都是正確的說(shuō)法。選項(xiàng)A說(shuō)法錯(cuò)誤,因?yàn)槊艽a分組鏈模式可以應(yīng)用于報(bào)文鑒別與認(rèn)證等場(chǎng)景。在使用CBC模式時(shí),需要在每個(gè)分組中添加一個(gè)隨機(jī)的初始化向量(IV),以保證每次加密的結(jié)果都不同。同時(shí),接收方也需要知道IV的值,才能正確地解密密文。因此,IV需要保密,不能明文形式與密文一起傳送。但是,這并不影響CBC模式在報(bào)文鑒別與認(rèn)證等場(chǎng)景下的應(yīng)用。70.不屬于哈希函數(shù)特點(diǎn)的是A、可逆性B、單向性C、高靈敏性D、抗碰撞性答案:A解析:哈希函數(shù)是一種將任意長(zhǎng)度的消息壓縮到固定長(zhǎng)度的輸出的函數(shù)。它具有以下特點(diǎn):A.不可逆性:哈希函數(shù)是單向的,即從哈希值無(wú)法推導(dǎo)出原始消息。B.單向性:哈希函數(shù)是單向的,即從原始消息無(wú)法推導(dǎo)出哈希值。C.高靈敏性:哈希函數(shù)對(duì)輸入數(shù)據(jù)的任何細(xì)微變化都會(huì)產(chǎn)生不同的哈希值。D.抗碰撞性:哈希函數(shù)應(yīng)該具有抗碰撞性,即對(duì)于不同的輸入數(shù)據(jù),哈希值相同的概率非常小。因此,不屬于哈希函數(shù)特點(diǎn)的是可逆性,即選項(xiàng)A。71.在Unix系統(tǒng)中,查看最后一次登錄文件的命令是()。A、syslogdB、LastmC、lastD、lastlog答案:D解析:本題考查的是Unix系統(tǒng)中查看最后一次登錄文件的命令。選項(xiàng)A的syslogd是系統(tǒng)日志守護(hù)進(jìn)程,不是查看最后一次登錄文件的命令;選項(xiàng)B的Lastm是查看進(jìn)程歷史記錄的命令,也不是查看最后一次登錄文件的命令;選項(xiàng)C的last是查看用戶登錄歷史記錄的命令,雖然與本題有關(guān),但不是查看最后一次登錄文件的命令;選項(xiàng)D的lastlog是查看系統(tǒng)用戶最后一次登錄信息的命令,符合題意,故選D。綜上所述,答案為D。72.在微軟的SDL模型中,第O階段是A、項(xiàng)目啟動(dòng)階段B、定義需要遵守的安全設(shè)計(jì)原則C、準(zhǔn)備階段D、產(chǎn)品風(fēng)險(xiǎn)評(píng)估答案:C解析:微軟的SDL模型是一種軟件開發(fā)過(guò)程模型,包括七個(gè)階段,分別是:準(zhǔn)備、定義、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、發(fā)布和響應(yīng)。第0階段是準(zhǔn)備階段,主要包括以下工作:1.確定項(xiàng)目的范圍和目標(biāo),明確開發(fā)的軟件產(chǎn)品的用途和功能。2.確定項(xiàng)目的約束條件,包括時(shí)間、預(yù)算、人力資源等。3.確定項(xiàng)目的開發(fā)流程和開發(fā)方法,包括開發(fā)工具、開發(fā)環(huán)境等。4.確定項(xiàng)目的安全需求和安全目標(biāo),為后續(xù)的安全設(shè)計(jì)和開發(fā)提供指導(dǎo)。因此,本題的正確答案是C,即準(zhǔn)備階段。其他選項(xiàng)中,A選項(xiàng)的項(xiàng)目啟動(dòng)階段是軟件開發(fā)過(guò)程中的一個(gè)常見(jiàn)階段,但不是微軟SDL模型中的第0階段;B選項(xiàng)的定義需要遵守的安全設(shè)計(jì)原則是SDL模型中的第1階段;D選項(xiàng)的產(chǎn)品風(fēng)險(xiǎn)評(píng)估是SDL模型中的第2階段。73.端口掃描時(shí),隱蔽性最高的掃描方法是()。A、TCP全連接B、TCPSYN掃描C、TCPFIN掃描D、TCP半連接掃描答案:C解析:端口掃描是指通過(guò)網(wǎng)絡(luò)對(duì)目標(biāo)主機(jī)的端口進(jìn)行探測(cè),以獲取目標(biāo)主機(jī)的開放端口信息。常見(jiàn)的端口掃描方法有TCP全連接掃描、TCPSYN掃描、TCPFIN掃描和TCP半連接掃描等。TCP全連接掃描是指通過(guò)建立完整的TCP連接來(lái)探測(cè)目標(biāo)主機(jī)的端口狀態(tài),這種方法的優(yōu)點(diǎn)是準(zhǔn)確性高,但缺點(diǎn)是易被目標(biāo)主機(jī)檢測(cè)到。TCPSYN掃描是指發(fā)送一個(gè)SYN包到目標(biāo)主機(jī)的某個(gè)端口,如果目標(biāo)主機(jī)返回一個(gè)SYN/ACK包,則說(shuō)明該端口是開放的,如果返回一個(gè)RST包,則說(shuō)明該端口是關(guān)閉的。這種方法的優(yōu)點(diǎn)是速度快,但缺點(diǎn)是易被目標(biāo)主機(jī)檢測(cè)到。TCPFIN掃描是指發(fā)送一個(gè)FIN包到目標(biāo)主機(jī)的某個(gè)端口,如果目標(biāo)主機(jī)返回一個(gè)RST包,則說(shuō)明該端口是關(guān)閉的,如果沒(méi)有返回任何響應(yīng),則說(shuō)明該端口是開放的。這種方法的優(yōu)點(diǎn)是隱蔽性高,但缺點(diǎn)是準(zhǔn)確性不高。TCP半連接掃描是指發(fā)送一個(gè)SYN包到目標(biāo)主機(jī)的某個(gè)端口,如果目標(biāo)主機(jī)返回一個(gè)SYN/ACK包,則立即發(fā)送一個(gè)RST包關(guān)閉連接,這種方法的優(yōu)點(diǎn)是速度快,但缺點(diǎn)是易被目標(biāo)主機(jī)檢測(cè)到。綜上所述,隱蔽性最高的掃描方法是TCPFIN掃描,因?yàn)樗粫?huì)建立完整的TCP連接,也不會(huì)發(fā)送SYN包,而是發(fā)送一個(gè)FIN包,這種方法的行為類似于正常的連接關(guān)閉過(guò)程,難以被目標(biāo)主機(jī)檢測(cè)到。因此,本題的答案為C。74.信息技術(shù)的產(chǎn)生與發(fā)展大致經(jīng)歷的三個(gè)階段是A、電訊技術(shù)的發(fā)明、半導(dǎo)體技術(shù)的使用、計(jì)算機(jī)技術(shù)的發(fā)展B、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展、個(gè)人計(jì)算機(jī)的使用C、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展、互聯(lián)網(wǎng)的使用D、電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展、云計(jì)算的使用答案:C解析:本題考查信息技術(shù)的發(fā)展歷程。根據(jù)選項(xiàng),A選項(xiàng)中半導(dǎo)體技術(shù)的使用不是信息技術(shù)的發(fā)展階段,排除;B選項(xiàng)中個(gè)人計(jì)算機(jī)的使用不是信息技術(shù)的發(fā)展階段,排除;D選項(xiàng)中云計(jì)算的使用是信息技術(shù)的新興領(lǐng)域,不是信息技術(shù)的發(fā)展階段,排除。因此,正確答案為C選項(xiàng),即電訊技術(shù)的發(fā)明、計(jì)算機(jī)技術(shù)的發(fā)展、互聯(lián)網(wǎng)的使用是信息技術(shù)的三個(gè)發(fā)展階段。75.產(chǎn)生認(rèn)證碼的方法不包括A、消息加密B、消息認(rèn)證碼C、哈希函數(shù)D、消息摘要答案:D解析:本題考查的是認(rèn)證碼的生成方法,選項(xiàng)中包括了消息加密、消息認(rèn)證碼、哈希函數(shù)和消息摘要。其中,消息加密和消息認(rèn)證碼都是認(rèn)證碼的生成方法,哈希函數(shù)也可以用于生成認(rèn)證碼。而消息摘要雖然也是一種加密方法,但不屬于認(rèn)證碼的生成方法,因此選項(xiàng)D“消息摘要”是不包括在產(chǎn)生認(rèn)證碼的方法中的,是本題的正確答案。76.常用的軟件測(cè)試方法不包括A、黑盒測(cè)試B、藍(lán)盒測(cè)試C、灰盒測(cè)試D、白盒測(cè)試答案:B解析:本題考查的是軟件測(cè)試方法的分類,選項(xiàng)中的黑盒測(cè)試、灰盒測(cè)試和白盒測(cè)試都是常用的軟件測(cè)試方法,而藍(lán)盒測(cè)試并不是常用的軟件測(cè)試方法,因此答案為B。黑盒測(cè)試是指在不考慮程序內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)的情況下,通過(guò)輸入輸出來(lái)測(cè)試軟件的功能和性能;灰盒測(cè)試是指在一定程度上了解程序內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)的情況下,通過(guò)輸入輸出來(lái)測(cè)試軟件的功能和性能;白盒測(cè)試是指在完全了解程序內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)的情況下,通過(guò)對(duì)程序代碼的覆蓋率、路徑覆蓋等指標(biāo)來(lái)測(cè)試軟件的功能和性能。77.下列關(guān)于分組密碼工作模式的說(shuō)法中,錯(cuò)誤的是()。A、ECB模式是分組密碼的基本工作模式B、CBC模式的初始向量需要保密,它必須以密文形式與消息一起傳送C、與ECB模式-樣,CBC模式也要求數(shù)據(jù)的長(zhǎng)度是密碼分組長(zhǎng)度的整數(shù)倍D、OFB模式將一個(gè)分組密碼轉(zhuǎn)換為一個(gè)序列密碼,具有普通序列密碼的優(yōu)缺點(diǎn)答案:B解析:A.ECB模式是分組密碼的基本工作模式,是正確的說(shuō)法。B.CBC模式的初始向量需要保密,但它不必以密文形式與消息一起傳送,而是可以公開傳送。因此,B選項(xiàng)是錯(cuò)誤的。C.與ECB模式一樣,CBC模式也要求數(shù)據(jù)的長(zhǎng)度是密碼分組長(zhǎng)度的整數(shù)倍,是正確的說(shuō)法。D.OFB模式將一個(gè)分組密碼轉(zhuǎn)換為一個(gè)序列密碼,具有普通序列密碼的優(yōu)缺點(diǎn),是正確的說(shuō)法。綜上所述,選項(xiàng)B是錯(cuò)誤的。78.下列選項(xiàng)中,不屬于惡意程序傳播方法的是()。A、通過(guò)局域網(wǎng)傳播B、修改瀏覽器配置C、通過(guò)電子郵件和即時(shí)通信軟件傳播D、誘騙下載答案:B解析:惡意程序傳播的方式有很多種,包括通過(guò)局域網(wǎng)傳播、通過(guò)電子郵件和即時(shí)通信軟件傳播、誘騙下載等。而選項(xiàng)B中的修改瀏覽器配置并不是一種惡意程序傳播的方法,因此不屬于惡意程序傳播方法。因此,本題的正確答案為B。79.不屬于對(duì)稱密碼的是A、DESB、AESC、IDEAD、MD5答案:D解析:對(duì)稱密碼是指加密和解密使用相同的密鑰的密碼算法。常見(jiàn)的對(duì)稱密碼算法有DES、AES、IDEA等。而MD5是一種哈希算法,不屬于對(duì)稱密碼算法。因此,選項(xiàng)D是本題的正確答案。80.通過(guò)分析代碼中輸入數(shù)據(jù)對(duì)程序執(zhí)行路徑的影響,以發(fā)現(xiàn)不可信的輸入數(shù)據(jù)導(dǎo)致的程序執(zhí)行異常,被稱為A、符號(hào)執(zhí)行B、數(shù)據(jù)流分析C、模型檢驗(yàn)D、污點(diǎn)傳播分析技術(shù)答案:D解析:本題考察的是軟件安全領(lǐng)域中的一種技術(shù),即通過(guò)分析輸入數(shù)據(jù)對(duì)程序執(zhí)行路徑的影響,以發(fā)現(xiàn)不可信的輸入數(shù)據(jù)導(dǎo)致的程序執(zhí)行異常。根據(jù)題干中的描述,可以確定答案為D,即污點(diǎn)傳播分析技術(shù)。符號(hào)執(zhí)行、數(shù)據(jù)流分析和模型檢驗(yàn)也是軟件安全領(lǐng)域中常用的技術(shù),但與本題描述的技術(shù)不完全相符。因此,本題的正確答案為D。81.TCM是指A、可信計(jì)算機(jī)B、可信計(jì)算基C、可信平臺(tái)模塊D、可信密碼模塊答案:D解析:本題考查的是TCM的含義,選項(xiàng)中給出了四個(gè)可能的解釋,需要考生選擇正確的答案。A選項(xiàng)中的“可信計(jì)算機(jī)”是一種安全計(jì)算機(jī)系統(tǒng),但不是TCM的含義,因此排除;B選項(xiàng)中的“可信計(jì)算基”是一種安全計(jì)算機(jī)系統(tǒng)的基礎(chǔ),但不是TCM的含義,因此排除;C選項(xiàng)中的“可信平臺(tái)模塊”是一種安全計(jì)算機(jī)系統(tǒng)的組成部分,但不是TCM的含義,因此排除;D選項(xiàng)中的“可信密碼模塊”是TCM的含義,因此是本題的正確答案。綜上所述,本題的正確答案是D。82.等級(jí)保護(hù)的重要標(biāo)準(zhǔn),不包括A、信息系統(tǒng)安全等級(jí)保護(hù)戰(zhàn)略方針B、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南C、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則D、信息系統(tǒng)安全等級(jí)保護(hù)基本要求答案:A解析:本題考查的是等級(jí)保護(hù)的重要標(biāo)準(zhǔn),不包括哪一項(xiàng)。根據(jù)選項(xiàng)內(nèi)容,可以知道A選項(xiàng)是關(guān)于“戰(zhàn)略方針”的,而其他選項(xiàng)都是關(guān)于具體實(shí)施、測(cè)評(píng)、要求等方面的。因此,A選項(xiàng)不屬于等級(jí)保護(hù)的重要標(biāo)準(zhǔn),是本題的正確答案。其他選項(xiàng)都是等級(jí)保護(hù)的重要標(biāo)準(zhǔn),需要在實(shí)施等級(jí)保護(hù)時(shí)進(jìn)行考慮和遵守。83.嚴(yán)格按照各階段進(jìn)行開發(fā),只有在前一個(gè)階段的評(píng)審?fù)ㄟ^(guò)后才能夠進(jìn)入到下一一個(gè)階段,這種軟件開發(fā)生命周期模型是()。A、瀑布模型B、螺旋模型C、迭代模型D、快速原型模型答案:A解析:本題考查的是軟件開發(fā)生命周期模型的分類和特點(diǎn)。根據(jù)題干中的“嚴(yán)格按照各階段進(jìn)行開發(fā),只有在前一個(gè)階段的評(píng)審?fù)ㄟ^(guò)后才能夠進(jìn)入到下一一個(gè)階段”可以確定答案為瀑布模型。瀑布模型是一種線性的軟件開發(fā)生命周期模型,各個(gè)階段之間是嚴(yán)格順序的,每個(gè)階段的輸出是下一個(gè)階段的輸入,前一個(gè)階段的評(píng)審?fù)ㄟ^(guò)后才能進(jìn)入下一個(gè)階段。因此,本題的答案為A。其他選項(xiàng)的特點(diǎn)分別為:螺旋模型是一種風(fēng)險(xiǎn)驅(qū)動(dòng)的迭代模型,迭代模型是一種循序漸進(jìn)的模型,快速原型模型是一種快速構(gòu)建原型的模型。84.下列選項(xiàng)中,不屬于木馬自身屬性特點(diǎn)的是()。A、偽裝性B、隱藏性C、竊密性D、感染性答案:D解析:本題考查的是木馬自身屬性特點(diǎn)。根據(jù)常識(shí)和網(wǎng)絡(luò)安全知識(shí),木馬病毒的自身屬性特點(diǎn)包括偽裝性、隱藏性、竊密性等,而感染性不屬于木馬病毒的自身屬性特點(diǎn)。因此,本題的正確答案為D。85.在一個(gè)管理制度完善、工作機(jī)制有效的安全組織機(jī)構(gòu)中,不允許出現(xiàn)的現(xiàn)象是A、信息安全組織應(yīng)當(dāng)由隸屬于單位的計(jì)算機(jī)運(yùn)行或計(jì)算機(jī)應(yīng)用部門來(lái)負(fù)責(zé)B、信息安全組織是本單位的常設(shè)工作職能機(jī)構(gòu),其具體工作應(yīng)當(dāng)由專門的安全負(fù)責(zé)人負(fù)責(zé)C、信息安全組織一般有著雙重的組織聯(lián)系,即接受當(dāng)?shù)毓矙C(jī)關(guān)計(jì)算機(jī)安全監(jiān)察部門的管理、指導(dǎo),以及與本業(yè)務(wù)系統(tǒng)上下級(jí)安全管理工作相聯(lián)系D、組織機(jī)構(gòu)可以根據(jù)商務(wù)運(yùn)作的需求,在簽訂安全責(zé)任合同的前提下,將部分業(yè)務(wù)外包答案:D86.下列關(guān)于RADIUS協(xié)議的說(shuō)法中,錯(cuò)誤的是()。A、RADIUS是一個(gè)客戶端/服務(wù)器協(xié)議,它運(yùn)行在應(yīng)用層,使用UDP協(xié)議B、RADIUS的審計(jì)獨(dú)立于身份驗(yàn)證和授權(quán)服務(wù)C、RADIUS的審計(jì)服務(wù)使用一個(gè)獨(dú)立的UDP端口進(jìn)行通訊D、RADIUS協(xié)議提供了完備的丟包處理及數(shù)據(jù)重傳機(jī)制答案:D解析:本題考查對(duì)RADIUS協(xié)議的理解。RADIUS是一種客戶端/服務(wù)器協(xié)議,用于遠(yuǎn)程身份驗(yàn)證、授權(quán)和帳戶信息管理。它運(yùn)行在應(yīng)用層,使用UDP協(xié)議。RADIUS的審計(jì)獨(dú)立于身份驗(yàn)證和授權(quán)服務(wù),但是審計(jì)服務(wù)使用的是與身份驗(yàn)證和授權(quán)服務(wù)相同的UDP端口。因此,選項(xiàng)A、B、C都是正確的。而RADIUS協(xié)議并沒(méi)有提供完備的丟包處理及數(shù)據(jù)重傳機(jī)制,因此選項(xiàng)D是錯(cuò)誤的。因此,本題的正確答案是D。87.在Windows系統(tǒng)中,查看當(dāng)前已經(jīng)啟動(dòng)的服務(wù)列表的命令是()。A、netB、netstartC、netstartserviceD、netstop答案:B解析:本題考查的是Windows系統(tǒng)中查看已啟動(dòng)服務(wù)列表的命令。根據(jù)常識(shí)和經(jīng)驗(yàn),我們可以知道,Windows系統(tǒng)中查看已啟動(dòng)服務(wù)列表的命令應(yīng)該是“netstart”,因此選項(xiàng)B為正確答案。選項(xiàng)A“net”是一個(gè)命令,但是它并不能直接查看已啟動(dòng)服務(wù)列表,需要加上其他參數(shù)才能實(shí)現(xiàn)。選項(xiàng)C“netstartservice”中的“service”應(yīng)該是指具體的服務(wù)名稱,而不是查看所有已啟動(dòng)服務(wù)的命令。選項(xiàng)D“netstop”是停止服務(wù)的命令,與查看已啟動(dòng)服務(wù)列表無(wú)關(guān)。綜上所述,選項(xiàng)B“netstart”是正確答案。88.香農(nóng)在年發(fā)表的論文《保密系統(tǒng)的通信理論》,用信息論的觀點(diǎn)對(duì)保密問(wèn)題進(jìn)行了全面的論述,它是信息安全發(fā)展的重要里程碑A、1949B、1965C、1969D、1976答案:A解析:根據(jù)題干中提到的論文名稱《保密系統(tǒng)的通信理論》,可以知道這是一篇關(guān)于保密問(wèn)題的論文。而根據(jù)題干中提到的“信息論的觀點(diǎn)”,可以知道這篇論文是從信息論的角度對(duì)保密問(wèn)題進(jìn)行的探討。因此,我們可以推斷出這篇論文的發(fā)表時(shí)間應(yīng)該是在信息論發(fā)展的早期階段。根據(jù)選項(xiàng)中的年份,可以發(fā)現(xiàn)只有1949年符合這個(gè)條件,因此答案為A。89.為了防止網(wǎng)絡(luò)攻擊者對(duì)目標(biāo)主機(jī)和網(wǎng)絡(luò)的掃描,可部署A、防火墻B、IDSC、PKID、交換機(jī)答案:A解析:本題考查的是網(wǎng)絡(luò)安全中的防御措施。網(wǎng)絡(luò)攻擊者常常會(huì)對(duì)目標(biāo)主機(jī)和網(wǎng)絡(luò)進(jìn)行掃描,以便發(fā)現(xiàn)漏洞和弱點(diǎn),從而進(jìn)行攻擊。為了防止這種情況的發(fā)生,可以部署防火墻。防火墻是一種網(wǎng)絡(luò)安全設(shè)備,可以監(jiān)控和控制網(wǎng)絡(luò)流量,阻止未經(jīng)授權(quán)的訪問(wèn)和攻擊。因此,選項(xiàng)A是本題的正確答案。選項(xiàng)B的IDS(入侵檢測(cè)系統(tǒng))是一種監(jiān)控網(wǎng)絡(luò)流量的安全設(shè)備,可以檢測(cè)和報(bào)告潛在的攻擊行為,但并不能防止攻擊者對(duì)目標(biāo)主機(jī)和網(wǎng)絡(luò)的掃描。選項(xiàng)C的PKI(公鑰基礎(chǔ)設(shè)施)是一種安全技術(shù),用于管理和分發(fā)數(shù)字證書,確保通信的機(jī)密性和完整性,但并不能防止網(wǎng)絡(luò)掃描。選項(xiàng)D的交換機(jī)是一種網(wǎng)絡(luò)設(shè)備,用于連接多個(gè)網(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)和交換,但并不能防止網(wǎng)絡(luò)掃描。綜上所述,選項(xiàng)A是本題的正確答案。90.能防御對(duì)Web服務(wù)器攻擊的設(shè)備,不包括A、Web防火墻B、入侵防御系統(tǒng)C、網(wǎng)站防篡改設(shè)備D、入侵檢測(cè)系統(tǒng)答案:D解析:本題考查的是能夠防御對(duì)Web服務(wù)器攻擊的設(shè)備,不包括哪一種。根據(jù)選項(xiàng),A、B、C、D都是與網(wǎng)絡(luò)安全相關(guān)的設(shè)備或系統(tǒng),但只有D是入侵檢測(cè)系統(tǒng),而不是防御系統(tǒng)。因此,D是本題的正確答案。A、B、C三個(gè)選項(xiàng)都是能夠防御對(duì)Web服務(wù)器攻擊的設(shè)備或系統(tǒng)。其中,Web防火墻是一種網(wǎng)絡(luò)安全設(shè)備,用于保護(hù)Web服務(wù)器免受各種網(wǎng)絡(luò)攻擊,如DDoS攻擊、SQL注入攻擊、XSS攻擊等。入侵防御系統(tǒng)是一種能夠檢測(cè)和防御網(wǎng)絡(luò)入侵的系統(tǒng),可以通過(guò)監(jiān)控網(wǎng)絡(luò)流量、檢測(cè)異常行為等方式來(lái)保護(hù)Web服務(wù)器的安全。網(wǎng)站防篡改設(shè)備是一種能夠檢測(cè)和防御網(wǎng)站篡改的設(shè)備,可以通過(guò)監(jiān)控網(wǎng)站內(nèi)容、檢測(cè)異常行為等方式來(lái)保護(hù)Web服務(wù)器的安全。91.下列關(guān)于SQL注入的說(shuō)法中,錯(cuò)誤的是()。A、防火墻能對(duì)SQL注入漏洞進(jìn)行有效防范B、SQL注入攻擊利用的是SQL語(yǔ)法C、未限制輸入的字符數(shù),未對(duì)輸入數(shù)據(jù)做潛在指令的檢查,都將增加SQL注入的風(fēng)險(xiǎn)D、SQL注入攻擊主要是通過(guò)構(gòu)建特殊的輸入,這些輸入往往是SQL語(yǔ)法中的一些組合答案:A解析:SQL注入是一種常見(jiàn)的Web應(yīng)用程序漏洞,攻擊者通過(guò)在輸入框中注入惡意的SQL語(yǔ)句,從而獲取或篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。本題要求判斷下列關(guān)于SQL注入的說(shuō)法中,錯(cuò)誤的是哪一個(gè)。A選項(xiàng)說(shuō)防火墻能對(duì)SQL注入漏洞進(jìn)行有效防范,這是錯(cuò)誤的。防火墻主要是用來(lái)過(guò)濾網(wǎng)絡(luò)流量,對(duì)于SQL注入攻擊,防火墻并不能有效地防范,因?yàn)镾QL注入攻擊的數(shù)據(jù)流量和正常的數(shù)據(jù)流量是一樣的,防火墻無(wú)法區(qū)分。B選項(xiàng)說(shuō)SQL注入攻擊利用的是SQL語(yǔ)法,這是正確的。SQL注入攻擊是通過(guò)在輸入框中注入惡意的SQL語(yǔ)句來(lái)實(shí)現(xiàn)的,攻擊者利用了SQL語(yǔ)法的漏洞,從而獲取或篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。C選項(xiàng)說(shuō)未限制輸入的字符數(shù),未對(duì)輸入數(shù)據(jù)做潛在指令的檢查,都將增加SQL注入的風(fēng)險(xiǎn),這是正確的。輸入的字符數(shù)越多,攻擊者就有更多的機(jī)會(huì)注入惡意的SQL語(yǔ)句;而未對(duì)輸入數(shù)據(jù)做潛在指令的檢查,就會(huì)讓攻擊者有更多的機(jī)會(huì)注入惡意的SQL語(yǔ)句。D選項(xiàng)說(shuō)SQL注入攻擊主要是通過(guò)構(gòu)建特殊的輸入,這些輸入往往是SQL語(yǔ)法中的一些組合,這是正確的。攻擊者通過(guò)構(gòu)建特殊的輸入,比如在輸入框中輸入一些SQL語(yǔ)法中的關(guān)鍵字或者特殊字符,從而實(shí)現(xiàn)注入惡意的SQL語(yǔ)句。綜上所述,本題的正確答案是A。92.下列關(guān)于訪問(wèn)控制中主體和客體概念的說(shuō)法中,正確的是A、主體是一個(gè)主動(dòng)的實(shí)體,它提供對(duì)客體中的對(duì)象或數(shù)據(jù)的訪問(wèn)要求B、主體只能是訪問(wèn)信息的程序、進(jìn)程C、客體是含有被訪問(wèn)信息的主動(dòng)實(shí)體D、一個(gè)對(duì)象或數(shù)據(jù)只能是主體,或者只能是客體答案:A解析:本題考查訪問(wèn)控制中主體和客體的概念。主體是指請(qǐng)求訪問(wèn)客體中的對(duì)象或數(shù)據(jù)的實(shí)體,客體是指被訪問(wèn)的對(duì)象或數(shù)據(jù)。因此,選項(xiàng)A正確,選項(xiàng)B、C、D都不正確。選項(xiàng)B錯(cuò)誤,主體不僅限于訪問(wèn)信息的程序、進(jìn)程,還可以是人、設(shè)備等實(shí)體。選項(xiàng)C錯(cuò)誤,客體是被動(dòng)的實(shí)體,不具備主動(dòng)性。選項(xiàng)D錯(cuò)誤,一個(gè)對(duì)象或數(shù)據(jù)既可以是主體,也可以是客體,取決于它是請(qǐng)求訪問(wèn)還是被訪問(wèn)。93.下列關(guān)于信息安全管理體系認(rèn)證的描述中,錯(cuò)誤的是()。A、信息安全管理體系第三方認(rèn)證,為組織機(jī)構(gòu)的信息安全體系提供客觀評(píng)價(jià)B、每個(gè)組織都必須進(jìn)行認(rèn)證C、認(rèn)證可以樹立組織機(jī)構(gòu)的信息安全形象D、滿足某些行業(yè)開展服務(wù)的法律要求答案:B解析:[解析]引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理,從而使管理更為有效。通過(guò)進(jìn)行信息安全管理體系認(rèn)證,可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任,但不是所以的組織都必須進(jìn)行認(rèn)證,故B選項(xiàng)說(shuō)法錯(cuò)誤。通過(guò)認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書,可得到國(guó)際上的承認(rèn),拓展您的業(yè)務(wù)。建立信息安全管理體系能降低這種風(fēng)險(xiǎn),通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善,并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。故選擇B選項(xiàng)。94.Linux進(jìn)程間通信時(shí)使用的特殊文件是A、SocketsB、正規(guī)文件C、鏈接D、目錄答案:A解析:本題考查L(zhǎng)inux進(jìn)程間通信的方式。
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 貴州城市職業(yè)學(xué)院《機(jī)械設(shè)計(jì)》2023-2024學(xué)年第一學(xué)期期末試卷
- 貴陽(yáng)職業(yè)技術(shù)學(xué)院《數(shù)據(jù)科學(xué)導(dǎo)論》2023-2024學(xué)年第一學(xué)期期末試卷
- 油橄欖示范基地建設(shè)項(xiàng)目可行性研究報(bào)告-油橄欖市場(chǎng)需求持續(xù)擴(kuò)大
- 貴陽(yáng)人文科技學(xué)院《樂(lè)理視唱一》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣州中醫(yī)藥大學(xué)《智慧城市信息系統(tǒng)建設(shè)與實(shí)踐》2023-2024學(xué)年第一學(xué)期期末試卷
- 2025山西省建筑安全員-A證考試題庫(kù)及答案
- 2025河南省建筑安全員B證(項(xiàng)目經(jīng)理)考試題庫(kù)
- 2025河南省安全員B證考試題庫(kù)附答案
- 2025福建建筑安全員B證考試題庫(kù)附答案
- 2025上海市安全員A證考試題庫(kù)
- 滯銷風(fēng)險(xiǎn)管理制度內(nèi)容
- 關(guān)于物業(yè)服務(wù)意識(shí)的培訓(xùn)
- JJF 2184-2025電子計(jì)價(jià)秤型式評(píng)價(jià)大綱(試行)
- 排污許可證辦理合同1(2025年)
- GB/T 44890-2024行政許可工作規(guī)范
- 上??颇恳豢荚囶}庫(kù)參考資料1500題-上海市地方題庫(kù)-0
- 軍工合作合同范例
- 【7地XJ期末】安徽省宣城市寧國(guó)市2023-2024學(xué)年七年級(jí)上學(xué)期期末考試地理試題(含解析)
- 2025年中國(guó)稀土集團(tuán)總部部分崗位社會(huì)公開招聘管理單位筆試遴選500模擬題附帶答案詳解
- 2024-2025學(xué)年深圳市初三適應(yīng)性考試模擬試卷歷史試卷
- 廣東省深圳市2023-2024學(xué)年高一上學(xué)期期末考試物理試題(含答案)3
評(píng)論
0/150
提交評(píng)論