計算機三級（信息安全技術）試題庫與參考答案

計算機三級（信息安全技術）試題庫與參考答案一、單選題（共100題，每題1分，共100分）1、下列有關信息安全管理體系的說法中，錯誤的是A、對于一個規(guī)模較小的組織機構，可以只制定一個信息安全政策B、信息安全管理工作的基礎是風險處置C、在ISMS建設、實施的同時，必須相應地建立起各種相關文檔、文件D、信息安全策略是組織機構的信息安全的最高方針，必須形成書面文件正確答案：B2、Nmap支持的掃描功能是A、Web漏洞掃描B、網(wǎng)絡漏洞掃描C、端口掃描D、軟件漏洞掃描正確答案：C3、訪問控制依賴的原則，包括身份標識、責任衡量、授權和A、評估B、過濾C、驗證D、跟蹤正確答案：C4、機關、單位應當根據(jù)工作需要，確定國家秘密的具體的解密時間(或者解密條件)和A、保密機關B、保密期限C、保密人D、保密條件正確答案：B5、下列攻擊手段中，不屬于誘騙式攻擊的是()。A、網(wǎng)站掛馬B、ARP欺騙C、網(wǎng)站釣魚D、社會工程正確答案：B6、GB/T22239標準(《信息系統(tǒng)安全等級保護基本要求》)提出和規(guī)定了對不同安全保護等級信息系統(tǒng)的最低保護要求，稱為A、基本安全要求B、基本保護要求C、最高安全要求D、最高保護要求正確答案：A7、SSL協(xié)議中握手協(xié)議的作用是A、完成會話密鑰的協(xié)商B、完成加密算法的協(xié)商C、完成通信雙方身份驗證D、完成傳輸格式的定義正確答案：D8、下列關于數(shù)字簽名的描述中，正確的是()。A、數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加，上一段和傳輸數(shù)據(jù)毫無關系的數(shù)字信息B、數(shù)字簽名能夠解決篡改、偽造等安全性問題C、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸D、數(shù)字簽名一般采用對稱加密機制正確答案：B9、定義ISMS的范圍，就是在___內(nèi)選定架構ISMS的范圍A、評估機構B、安全機構C、行政機構D、組織機構正確答案：D10、信息安全管理體系(ISMS)是一個系統(tǒng)化、程序化和文件化的管理體系,屬于風險管理的范疇，體系的建立基于系統(tǒng)、全面和科學的安全A、風險評估B、風險識別C、風險控制D、風險處置正確答案：A11、計算機系統(tǒng)安全評估的第一個正式標準是()。A、TCSECB、COMPUSECC、CTCPECD、CC:ISO15408正確答案：A12、應急計劃過程開發(fā)的第一階段是A、業(yè)務影響分析B、從屬計劃分類C、業(yè)務單元分析D、潛在損壞的評估正確答案：A13、信息安全中的風險控制目標是A、將殘留風險降低為0B、通過權威安全機構的評測C、無明顯的風險存在D、將殘留風險保護在機構可以隨時控制的范圍內(nèi)正確答案：D14、跨站點請求偽造攻擊屬于偽造客戶端請求的一種攻擊方式，它的簡寫為A、CSRFB、XSSC、OWASPD、MIMT正確答案：A15、下列數(shù)據(jù)包內(nèi)容選項中，ESP協(xié)議在傳輸模式下不進行加密的是()。A、ESP報尾B、源IP和目標IPC、源端口和目標端口D、應用層協(xié)議數(shù)據(jù)正確答案：B16、TCSEC將計算機系統(tǒng)安全劃分為()。A、三個等級七個級別B、四個等級七個級別C、五個等級七個級別D、六個等級七個級別正確答案：B17、Kerberos協(xié)議設計的核心是A、結合單點登錄技術以增加用戶在不同服務器中的認證過程B、在用戶的驗證過程中引入一個可信的第三方，即Kerberos驗證服務器C、增加網(wǎng)絡的驗證過程D、用戶必須向每個要訪問的服務器或服務提供憑證正確答案：B18、下列關于消息認證的說法中，錯誤的是()。A、公鑰密碼既可提供認證又可提供簽名B、消息認證碼是一種認證技術，它利用密鑰來生成一個固定長度的數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后C、對稱密碼既可提供保密性又可提供認證D、消息認證碼既可提供認證又可提供保密性正確答案：D19、信息技術的產(chǎn)生與發(fā)展經(jīng)歷了三個階段,不包括A、電訊技術的發(fā)明B、大規(guī)模集成電路的應用C、計算機技術的發(fā)展D、互聯(lián)網(wǎng)的使用正確答案：B20、最早的代換密碼是A、Caesar密碼B、DES密碼C、AES密碼D、Rijndael密碼正確答案：A21、絕密級國家秘密是最重要的國家秘密，對其描述最為準確的是A、泄露會使國家安全和利益遭受特別嚴重的損害B、泄露會使國家安全和利益遭受嚴重的損害C、泄露后及時補救即可，不會追求有關人的責任D、泄露會使國家安全和利益遭受損害正確答案：A22、信息保障的指導性文件《信息保障技術框架》(InformationAssuranceTechnicalFramework,IATF)，是由A、美國國家安全局(NSA)制定的B、英國國家安全局(NSA)制定的C、德國國家安全局(NSA)制定的ODD、俄羅斯國家安全局(NSA)制定的正確答案：A23、微軟公司安全公告中定義為“重要”的漏洞,對應的漏洞危險等級是()。A、第二級B、第四級C、第三級D、第一級正確答案：A24、P2DR模型是美國ISS公司提出的動態(tài)網(wǎng)絡安全體系的代表模型，可用數(shù)學公式表達為Pt>Dt+Rt，其中Pt表示A、系統(tǒng)恢復時間B、系統(tǒng)響應時間C、系統(tǒng)防護時間D、系統(tǒng)調整時間正確答案：C25、下列選項中，進行簡單的用戶名/密碼認證，且用戶只需要一個接受或拒絕即可進行訪問(如在互聯(lián)網(wǎng)服務提供商ISP中)的是()。A、RADIUSB、TACACSC、DiameterD、RBAC正確答案：A26、信息系統(tǒng)的安全保護等級分為()。A、五級B、六級C、四級D、三級正確答案：A27、《信息系統(tǒng)安全保護等級劃分準則》提出的定級四要素不包括A、信息系統(tǒng)所屬類型B、信息系統(tǒng)服務范圍C、用戶類型D、業(yè)務自動化處理程度正確答案：C28、為了風險管理的需要，一本方針手冊還是必要的。手冊一般包括的內(nèi)容有A、信息安全方針的闡述B、控制目標與控制方式描述C、程序或其引用D、以上全包括正確答案：D29、安全編程時需要考慮的原則，不包括()。A、數(shù)據(jù)的機密性B、數(shù)據(jù)的開放性C、數(shù)據(jù)的完整性D、數(shù)據(jù)的有效性正確答案：B30、不屬于哈希函數(shù)特點的是A、可逆性B、單向性C、抗碰撞性D、高靈敏性正確答案：A31、采用rootkit技術的木馬屬于A、第五代木馬B、第二代木馬C、第三代木馬D、第四代木馬正確答案：A32、有關ISMS文件控制的描述，說法錯誤的是A、當文件廢止時，迅速撤銷B、定期評審,必要時予以修改以適應組織機構的安全方針C、文件發(fā)布前無須履行審批手續(xù)D、按規(guī)定時間保存正確答案：C33、組織機構進行信息安全管理體系認證的目的，一般包括A、獲得最佳的信息安全運行方式B、保證商業(yè)安全C、降低風險，避免損失D、以上都是正確答案：D34、微軟的SDL模型中，通過教育培訓培養(yǎng)開發(fā)團隊員工的安全意識，屬于A、第0階段:準備階段B、第1階段:項目啟動階段C、第2階段:定義需要遵守的安全設計原則D、第3階段:產(chǎn)品風險評估正確答案：A35、下列協(xié)議中，可為電子郵件提供數(shù)字簽名和數(shù)據(jù)加密功能的是()。A、SMTPB、S/MIMEC、POP3D、SET正確答案：B36、下列選項中，被稱為半連接掃描的端口掃描技術是A、TCP全連接掃描B、TCPSYN掃描C、TCPFIN掃描D、ICMP掃描正確答案：B37、有關訪問控制中主體和客體概念的說法中，錯誤的是FA、主體只能是訪問信息的程序、進程B、客體是含有被訪問信息的被動實體C、一個對象或數(shù)據(jù)可能是主體，也可能是客體D、主體是一個主動的實體，它提供對客體中的對象或數(shù)據(jù)的訪問要求正確答案：A38、不屬于身份認證手段的是A、用戶名和密碼認證B、消息認證C、動態(tài)短信密碼認證D、指紋認證正確答案：B39、下列關于進程管理的描述中，錯誤的是A、進程是為了實現(xiàn)多任務而提出的概念B、線程是比進程更細的管理單位C、進程管理是通過系統(tǒng)調用來完成的D、操作系統(tǒng)維護一個進程表，其中每一項代表一個進程正確答案：C40、下列有關智能卡存儲用戶私鑰的說法中，錯誤的是A、卡片體積小，便于攜帶B、提供了抗修改能力C、易于全面推廣D、比使用口令方式有更高的安全性正確答案：C41、Linux系統(tǒng)啟動后運行的第一個進程是()。A、loginB、initC、bootD、sysini正確答案：B42、《信息系統(tǒng)安全等級保護基本要求》中的基本管理要求所涉及的層面，不包括A、安全管理機構B、安全管理制度C、業(yè)務范圍管理D、系統(tǒng)運維管理正確答案：C43、下列選項中，不屬于惡意程序檢測查殺技術的是A、啟發(fā)式查殺B、特征碼查殺C、虛擬機查殺D、移動介質查殺正確答案：D44、信息安全的五個基本屬性包括:機密性、______、可用性、可控性和不可否認性A、隱蔽性B、完整性C、不可見性D、安全性正確答案：B45、Windows7操作系統(tǒng)中，配置IPSec時支持的身份驗證方法不包括A、會話密鑰B、預共享密鑰C、數(shù)字證書D、Kerberos協(xié)議正確答案：A46、信息系統(tǒng)安全保障的幾個方面，不包括().A、生命周期B、保障要素C、安全特征D、安全技術正確答案：D47、密碼分析者(攻擊者)已知加密算法和要解密的密文時，所能發(fā)起的攻擊類型是A、窮舉攻擊B、唯密文攻擊C、選擇明文攻擊D、選擇密文攻擊正確答案：B48、不屬于網(wǎng)絡中不良信息監(jiān)控方法的是A、網(wǎng)頁內(nèi)容過濾技術B、圖像內(nèi)容過濾技術C、幀過濾技術D、網(wǎng)址過濾技術正確答案：C49、不能對ARP欺騙攻擊起到防范和檢測作用的是A、IDSB、IP和MAC雙向靜態(tài)綁定C、PKID、ARP防火墻正確答案：C50、ping命令可以檢測目標計算機和本機之間的網(wǎng)絡鏈路是否連通，利用的協(xié)議是()。A、TCPB、UDPC、SNMPD、ICMP正確答案：D51、下列關于Diameter和RADIUS區(qū)別的描述中，錯誤的是()。A、RADIUS運行在UDP協(xié)議上，并且沒有定義重傳機制;而Diameter運行在可靠的傳輸協(xié)議TCP、SCTP之上B、RADIUS支持認證和授權分離，重授權可以隨時根據(jù)需求進行;Diameter中認證與授權必須成對出現(xiàn)C、RADIUS固有的客戶端/服務器模式限制了它的進一步發(fā)展;Diameter采用了端到端模式,任何一端都可以發(fā)送消息以發(fā)起審計等功能或中斷連接D、RADIUS協(xié)議不支持失敗恢復機制;而Diameter支持應用層確認,并且定義了失敗恢復算法和相關的狀態(tài)機,能夠立即檢測出傳輸錯誤正確答案：B52、為使審核效果最大化，并使體系審核過程的影響最小，下列必須的選項是A、體系審核應對體系范圍內(nèi)部分安全領域進行全面系統(tǒng)的審核B、應由與被審核對象有直接責任的人員來實施C、組織機構要對審核過程本身進行安全控制D、對不符合項的糾正措施酌情跟蹤審查，并確定其有效性正確答案：C53、CC將評估過程分為兩個部分，即A、功能和保證B、功能和實現(xiàn)C、實現(xiàn)和保證D、實現(xiàn)和運行正確答案：A54、數(shù)字簽名的簽名過程使用的是簽名者的A、公鑰B、對稱密鑰C、私鑰D、初始向量正確答案：C55、哈希函數(shù)不能應用于A、數(shù)據(jù)完整性B、消息加密C、消息認證D、口令安全正確答案：B56、強制訪問控制模型中，屬于保密性模型的是A、Bell-LapudulaB、BibaC、Clark-WilsonD、ChineseWall正確答案：A57、在一個管理制度完善、工作機制有效的安全組織機構中，不允許出現(xiàn)的現(xiàn)象是A、信息安全組織應當由隸屬于單位的計算機運行或計算機應用部門來負責B、信息安全組織是本單位的常設工作職能機構，其具體工作應當由專門的安全負責人負責C、信息安全組織一般有著雙重的組織聯(lián)系，即接受當?shù)毓矙C關計算機安全監(jiān)察部門的管理、指導，以及與本業(yè)務系統(tǒng)上下級安全管理工作相聯(lián)系D、組織機構可以根據(jù)商務運作的需求，在簽訂安全責任合同的前提下，將部分業(yè)務外包正確答案：A58、能夠抵抗內(nèi)容修改、順序修改等攻擊的技術是A、消息摘要B、消息加密C、數(shù)字簽名D、消息認證正確答案：D59、()年，美國制定的數(shù)據(jù)加密標準(DES)，為加密算法的標準化奠定了基礎A、1972B、1976C、1977D、1985正確答案：C60、SYN-Flood屬于A、IP協(xié)議層攻擊B、TCP協(xié)議層攻擊C、UDP協(xié)議層攻擊D、應用層協(xié)議攻擊正確答案：B61、下列選項中，被稱為秘密掃描的端口掃描技術是A、TCP全連接掃描B、TCPSYN掃描C、TCPFIN掃描D、ICMP掃描正確答案：C62、下列關于信息安全的地位和作用的描述中，錯誤的是()。A、信息安全是網(wǎng)絡時代國家生存和民族振興的根本保障B、信息安全是信息社會健康發(fā)展和信息革命成功的關鍵因素C、信息安全無法影響人們的工作和生活D、信息安全是網(wǎng)絡時代人類生存和文明發(fā)展的基本條件正確答案：C63、（）年完成的著名的Anderson報告，是計算機安全發(fā)展的重要里程碑A、1972B、1976C、1977D、1985正確答案：A64、在活動網(wǎng)絡中被動監(jiān)聽網(wǎng)絡流量，利用檢測算法識別網(wǎng)絡入侵行為的惡意行為監(jiān)控方式是A、主機監(jiān)測B、網(wǎng)絡監(jiān)測C、節(jié)點監(jiān)測D、數(shù)據(jù)監(jiān)測正確答案：B65、有關商用密碼管理政策的說法,正確的是A、商用密碼產(chǎn)品可由個人公司任意生產(chǎn)使用B、商用密碼的科研任務由國家密碼管理機構指定的單位承擔C、外國駐華外交代表機構，在中國使用含有密碼技術的設備時，必須報經(jīng)國家密碼機構批準D、商用密碼產(chǎn)品的用戶可以轉讓其使用的商用密碼產(chǎn)品正確答案：B66、“震蕩波”病毒進行擴散和傳播所利用的漏洞是()。A、操作系統(tǒng)服務程序漏洞B、文件處理軟件漏洞C、瀏覽器軟件漏洞D、ActiveX控件漏洞正確答案：A67、下列關于網(wǎng)絡漏洞掃描工具的描述中，錯誤的是()。A、網(wǎng)絡漏洞掃描工具可以掃描Linux操作系統(tǒng)的漏洞B、網(wǎng)絡漏洞掃描工具可以掃描Web服務器的漏洞C、網(wǎng)絡漏洞掃描工具可以掃描Cisco網(wǎng)絡設備的漏洞D、網(wǎng)絡漏洞掃描工具可以掃描微軟Word軟件的漏洞正確答案：D68、下列關于密碼技術的描述中，錯誤的是()。A、數(shù)字簽名系統(tǒng)-定具有數(shù)據(jù)加密功能B、傳統(tǒng)密鑰系統(tǒng)的加密密鑰和解密密鑰相同C、公開密鑰系統(tǒng)的加密密鑰和解密密鑰不同D、消息摘要適合數(shù)字簽名但不適合數(shù)據(jù)加密正確答案：A69、對數(shù)據(jù)庫的開放端口進行掃描，檢查其中的安全缺陷，比如開放了多余的服務端口等,這種數(shù)據(jù)庫安全檢測是A、漏洞檢測B、內(nèi)部安全檢測C、服務發(fā)現(xiàn)D、滲透測試正確答案：C70、下列關于殘留風險的描述中，錯誤的是A、信息安全的目標是把殘留風險降低為零B、信息安全的目標是把殘留風險降低在可以判定的范圍內(nèi)C、可能降低了通過安全措施保護資產(chǎn)價值的效果D、即使各種機構盡可能地控制漏洞，依然有風險未能排除和緩解正確答案：A71、下列關于系統(tǒng)整個開發(fā)過程的描述中，錯誤的是()。A、系統(tǒng)開發(fā)每個階段都會有相應的期限B、系統(tǒng)開發(fā)過程的每一個階段都是一個循環(huán)過程C、系統(tǒng)的生命周期是無限長的D、系統(tǒng)開發(fā)分為五個階段，即規(guī)劃、分析、設計、實現(xiàn)和運行正確答案：C72、硬件防火墻的平臺架構不包括A、IAAS架構B、X86架構C、ASIC架構D、NP架構正確答案：A73、信息安全管理體系審核，是指組織機構為驗證所有安全程序的正確實施和檢查信息系統(tǒng)符合安全實施標準的情況所進行的系統(tǒng)的、獨立的檢查和評價。它是信息安全管理體系的A、一種內(nèi)外結合的保證手段，但內(nèi)部作用更大B、一種自我保證手段C、一種外部保證手段D、一種內(nèi)外結合的保證手段，但外部作用更大正確答案：B74、下列選項中，應急計劃過程開發(fā)的第一階段是()。A、業(yè)務影響分析B、業(yè)務總結分析C、業(yè)務影響總結D、業(yè)務單元報告正確答案：A75、CC(《信息技術安全性評估準則》)將評估過程劃分為___個部分，評估等級分為七個等級。A、兩B、三C、四D、五正確答案：A76、訪問控制管理的重要組成部分，不包括()。A、賬戶跟蹤B、操作審計C、系統(tǒng)監(jiān)控D、日志備份正確答案：D77、棧幀地址的分配動態(tài)變化時，下列技術中，可以使新的返回地址定位到shellcode起始地址的是()。A、NOPB、HeapSprayC、slidecodeD、jmpesp正確答案：D78、機關、單位對所產(chǎn)生的國家秘密事項，應當按照國家秘密及其密級的具體范圍的規(guī)定確定密級,同時確定()。A、保密單位和保密領域B、保密單位和保密期限C、保密期限和保密領域D、保密期限和知悉范圍正確答案：D79、DoS攻擊的實現(xiàn)方式,不包括A、利用目標主機自身存在的拒絕服務型漏洞進行DoS攻擊B、通過耗盡目標主機CPU和內(nèi)存等計算機資源，實施DoS攻擊C、通過耗盡目標主機的網(wǎng)絡帶寬，實施DoS攻擊D、通過耗盡目標主機的存儲空間，實施DoS攻擊正確答案：D80、Bell-LaPadula模型是一種A、強制訪問控制模型B、自主訪問控制模型C、基于角色的訪問控制模型D、以上都不是正確答案：A81、商用密碼技術屬于國家秘密。國家對商用密碼產(chǎn)品的科研、生產(chǎn)銷售和使用實行A、?？毓芾鞡、分級管理C、寬松管理D、以上都不對正確答案：A82、不屬于誘騙式攻擊的是A、網(wǎng)站掛馬B、拒絕服務攻擊C、網(wǎng)站釣魚D、社會工程正確答案：B83、關于SEHOP,說法錯誤的是A、SEHOP是微軟針對SEH攻擊提出的一種安全防護方案B、SEHOP通過對程序中使用的SEH結構進行安全檢測，判斷應用程序是否遭受SEH攻擊C、SEHOP是Windows異常處理機制中所采用的重要數(shù)據(jù)結構鏈表D、SEHOP的核心是檢測程序棧中的所有SEH結構鏈表的完整性正確答案：C84、不能通過消息認證技術解決的攻擊是A、內(nèi)容修改B、順序修改C、泄密D、計時修改正確答案：C85、電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效A、十年B、一年C、十二年D、五年正確答案：D86、信息安全政策是--一個組織機構的信息安全的A、關鍵方針B、最高方針C、重要方針D、主要方針正確答案：B87、下列有關對稱密碼的說法中，錯誤的是A、分組密碼每一次加密一個明文分組B、列密碼每一次加密一位或者一個字符C、IDEA屬于序列密碼D、SEAL屬于序列密碼正確答案：C88、下列訪問控制模型中，支持安全標簽的是A、集中訪問控制B、基于角色的訪問控制C、自主訪問控制D、強制訪問控制正確答案：D89、下列關于防火墻的描述中，錯誤的是()。A、不能防范病毒和內(nèi)部驅動的木馬B、不能防備針對防火墻開放端口的攻擊C、不能防范內(nèi)網(wǎng)之間的惡意攻擊D、不能防范針對面向連接協(xié)議的攻擊正確答案：D90、下列關于數(shù)據(jù)庫安全特性檢查的說法中，正確的是()。A、滲透測試的對象主要是數(shù)據(jù)庫的身份驗證系統(tǒng)和服務監(jiān)聽系統(tǒng)B、人工滲透測試和工具掃描不能同時使用C、數(shù)據(jù)庫安全特性檢查是對數(shù)據(jù)庫的動態(tài)安全防護D、內(nèi)部安全檢測是對數(shù)據(jù)庫內(nèi)部的安全相關對象，包括SQL注入缺陷和緩沖區(qū)溢出漏洞等,進行掃描和檢測正確答案：A91、下列選項中，屬于單點登錄缺點的是A、需要將用戶信息放置在不同的存儲中B、需細致地分配用戶權限，否則易于造成用戶權限過大C、存在兩個以上認證服務器時，需互相交換認證信息D、簡化了管理員的賬戶管理流程正確答案：B92、下列關于信息安全威脅