【计算机类职业资格】软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）-试卷1及答案解析.doc

1、软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）-试卷 1 及答案解析(总分：60.00，做题时间：90 分钟)一、选择题(总题数：30，分数：60.00)1.选择题（）下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。_2.应用系统运行安全与保密的层次按照粒度从粗到细排序为( )。（分数：2.00）A.系统级安全、资源访问安全、数据域安全、功能性安全B.系统级安全、资源访问安全、功能性安全、数据域安全C.资源访问安全、系统级安全、数据域安全、功能性安全D.资源访问安全、系统级安全、功能性安全、数据域安全3.( )属于

2、保证数据的完整性。（分数：2.00）A.保证传送的数据信息不被第三方监视和窃取B.保证数据信息在传输过程中不被篡改C.保证电子商务交易各方身份的真实性D.保证发送方不能抵赖曾经发送过某数据信息4.WindowsNT 和 Windows2000 系统能设置为在若干次无效登录后锁定账号，此技术可以防止( )。（分数：2.00）A.暴力攻击B.木马病毒C.缓存溢出攻击D.IP 欺骗5.数据安全的目的是实现数据的( )。（分数：2.00）A.唯一性、不可替代性、机密性B.机密性、完整性、不可否认性C.完整性、确定性、约束性D.不可否认性、备份、效率6.小张的 U 盘中存储有企业的核心数据。针对该 U

3、盘，以下有关信息安全风险评估的描述中，不正确的是( )。（分数：2.00）A.风险评估首先要确定资产的重要性，由于 U 盘中存储有核心数据，安全性要求高，因此该 U 盘重要性赋值就高B.如果公司制定了 U 盘的安全使用制度，小张的 U 盘就不具有脆弱性C.如果小张的计算机在接入 U 盘时没断网线，木马病毒就构成对该 U 盘的威胁D.风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度7.系统运行安全的关键是管理，下列关于日常安全管理的做法，不正确的是( )。（分数：2.00）A.信息化部门领导安全管理组织，一定是每年进行一次安全检查B.系统开发人员和系统操作人员应职责分离C.用户权限设定应

4、遵循“最小特权”原则D.在数据转储、维护时要有专职安全人员进行监督8.某单位在制定信息安全策略时采用的下述做法中，正确的是( )。（分数：2.00）A.该单位将安全目标定位为“系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密”B.该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级C.该单位的安全策略由单位授权完成制定，并经过单位的全员讨论修订D.该单位为减小未经授权的修改、滥用信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并9.在 Windows 操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用( )作为信息安全系统架构

5、。（分数：2.00）A.S 2 -MISB.MIS+SC.S-MISD.PMIS10.某商业银行在 A 地新增一家机构，根据计算机信息安全保护等级划分准则，其新成立机构的信息安全保护等级应属于( )。（分数：2.00）A.用户自主保护级B.系统审计保护级C.结构化保护级D.安全标记保护级11.以下关于防火墙优点的叙述，不恰当的是( )。（分数：2.00）A.防火墙能有效记录 Intemet 上的活动B.防火墙能强化安全策略C.防火墙能防止从 LAN 内部攻击D.防火墙能限制暴露用户点12.RSA 是一种公开密钥算法，所谓公开密钥是指( )。（分数：2.00）A.加密密钥是公开的B.解密密钥是公

6、开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的13.很多银行网站在用户输入密码时要求使用软键盘，这是为了( )。（分数：2.00）A.防止密码在传输过程中被窃取B.保证密码能够加密输入C.验证用户密码的输入过程D.防止木马记录通过键盘输入的密码14.在密码学中，单向 Hash 函数具有( )所描述的特性。（分数：2.00）A.对输入的长度不固定的字符串，返回一串不同长度的字符串B.不仅可以用于产生信息摘要，还可以用于加密短信息C.在某一特定时间内，无法查找经 Hash 操作后生成特定 Hash 值的原报文D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题1

7、5.x509 数字证书格式中包含的元素有：证书版本；证书序列号；签名算法标识；证书有效期；证书发行商名称；证书主体名；主体公钥信息；( )。（分数：2.00）A.主体的解密密钥B.报文摘要C.密钥交换协议D.发布者的数字签名16.下列关于 PGP(PrettyGoodPrivacy)的说法中不正确的是( )。（分数：2.00）A.PGP 可用于电子邮件和文件存储B.PGP 可选用 MD5 和 SHA 两种算法C.PGP 不可使用 IDEA 加密算法D.PGP 采用了 ZIP 数据压缩算法17.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，

8、错误的是( )。（分数：2.00）A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构D.网络安全系统应该以不影响系统正常运行为前提ISO7498-2 标准涉及的五种安全服务是(1)。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为四大类七个等级，其中的 C2 级是指(2)。（分数：4.00）(1).(1)（分数：2.00）A.身份认证、访问控制、数据加密、数据完整、安全审计B.身份认证、访问控制、数据加密、数据完整、防止否认C.身份认证、安全管理、数据加密是、数据完整、防止否认D.身份

9、认证、访问控制、数据加密、安全标记、防止否认(2).(2)（分数：2.00）A.安全标记保护B.自主式安全保护C.结构化安全策略模型D.受控的访问保护18.关于网络安全，以下说法中正确的是( )。（分数：2.00）A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播19.数字信封( )。（分数：2.00）A.使用非对称密钥密码算法加密邮件正文B.使用 RSA 算法对邮件正文生成摘要C.使用收件人的公钥加密会话密钥D.使用发件人的私钥加密会话密钥20.PKICA 的应用范围不包括( )。（分数：2.00

10、）A.电子商务B.电子政务C.现实银行交易D.网上证券21.数字时间戳技术是( )技术一种变种的应用。（分数：2.00）A.数字签名B.数字信封C.电子商务D.私钥加密22.我国实行密码分级管理制度，其中( )适用范围为国内企业和事业单位。（分数：2.00）A.商用密码B.普用密码C.绝密密码D.军用密码23.安全策略的核心内容是：定方案、定岗、定位、定员、定目标、定制度和定工作流程。系统安全策略首先要( )。（分数：2.00）A.定岗B.定制度C.定方案D.定工作流程24.入侵检测系统如何对所收集的信息进行分析是该系统的一个重要特征。目前主要有两类入侵检测技术：( )。（分数：2.00）A.

11、误用检测和代理检测B.异常检测和特征检测C.线路检测和 IP 检测D.物理检测和应用检测25.PMI 是指特权管理基础设施(PrivilegeManageInfrastrcture)。对于 PMI，认证的作用不是对实体身份进行鉴别，而是描述可以做什么，也就是一个实体为了完成某些任务需要具有的权限。PMI 中提供了( )来实现对实体的授权。（分数：2.00）A.CAB.ACC.OAD.BA26.甲向乙发送其数字签名，要验证该签名，乙可使用( )对该签名进行解密。（分数：2.00）A.甲的私钥B.甲的公钥C.乙的私钥D.乙的公钥27.关于入侵检测系统(IDS)，下面说法不正确的是( )。（分数：2

12、.00）A.IDS 的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应B.IDS 需要配合安全审计系统才能应用，后者为前者提供审计分析资料C.IDS 主要用于检测来自外部的入侵行为D.IDS 用于发现合法用户是否滥用特权28.我国强制性国家标准计算机信息安全保护等级划分准则将计算机信息系统分为 5 个安全保护等级，其中适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门的信息系统适用( )。（分数：2.00）A.安全标记保护级B.结构化保护级C.访问验证保护级D.系统审计保护级29.在安全审计系统中，审计 Agent(代理)是直接与被审计网络和系统连接的部件。审计 Agen

13、t 主要可以分为网络监听型 Agent、( )、主动信息获取型 Agent 等。（分数：2.00）A.流量检测型 AgentB.文件共享型 AgentC.入侵检测型 AgentD.系统嵌入型 Agent软件水平考试（高级）信息系统项目管理师上午综合知识（信息安全）-试卷 1 答案解析(总分：60.00，做题时间：90 分钟)一、选择题(总题数：30，分数：60.00)1.选择题（）下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。_解析：2.应用系统运行安全与保密的层次按照粒度从粗到细排序为( )。（分数：2.00）A.系统级安全、

14、资源访问安全、数据域安全、功能性安全B.系统级安全、资源访问安全、功能性安全、数据域安全 C.资源访问安全、系统级安全、数据域安全、功能性安全D.资源访问安全、系统级安全、功能性安全、数据域安全解析：解析：应用系统运行中涉及的安全与保密层次包括系统级安全、资源访问安全、功能性安全和数据域安全。这四个层次的安全，按粒度从粗到细的排序是：系统级安全、资源访问安全、功能性安全、数据域安全。3.( )属于保证数据的完整性。（分数：2.00）A.保证传送的数据信息不被第三方监视和窃取B.保证数据信息在传输过程中不被篡改 C.保证电子商务交易各方身份的真实性D.保证发送方不能抵赖曾经发送过某数据信息解析：

15、解析：完整性是指“保护信息的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据，数据不应该被改变。 选项 A 采用数据加密的方式来实现数据的保密性；选项 C 是通过身份认证来确保交易各方的身份是真实的；选项 D 可采用数据签名的方式来实现数据的不可抵赖性；只有选项 B 描述的是完整性的概念。4.WindowsNT 和 Windows2000 系统能设置为在若干次无效登录后锁定账号，此技术可以防止( )。（分数：2.00）A.暴力攻击 B.木马病毒C.缓存溢出攻击D.IP 欺骗解析：解析：暴力攻击法即穷举法，或称为暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出

16、正确的密码为止。例如一个已知是 4 位并且全部由数字组成的密码，其可能共有 10000 种组合，因此最多尝试 10000 次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码，问题只在于如何缩短破译时间。 而把系统设置为在若干次无效登录后锁定账号，就让暴力攻击者无法在较短时间内把所有可能的密码全部尝试一遍。5.数据安全的目的是实现数据的( )。（分数：2.00）A.唯一性、不可替代性、机密性B.机密性、完整性、不可否认性 C.完整性、确定性、约束性D.不可否认性、备份、效率解析：解析：数据安全的目的是实现数据的机密性、完整性、不可否认性。机密性，是指个人或团体的信息不为其他不应获得者获

17、得。在计算机中，许多软件(包括邮件软件、网络浏览器等)都有保密性相关的设定，用以维护用户资讯的保密性，另外间谍档案或黑客有可能会造成保密性的问题。完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。不可否认性是指在由收发双方所组成的系统中，确保任何一方无法抵赖自己曾经做过的操作，从而防止中途欺骗。6.小张的 U 盘中存储有企业的核心数据。针对该 U 盘，以下有关信息安全风险评估的描述中，不正确的是( )。（分数：2.00）A.风险评估首先要确定资产的重要性，由于 U 盘中存储有核心数据，安全性要求高，因此该 U 盘重要性赋值就高B.如果公司制定了

18、U 盘的安全使用制度，小张的 U 盘就不具有脆弱性 C.如果小张的计算机在接入 U 盘时没断网线，木马病毒就构成对该 U 盘的威胁D.风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度解析：解析：脆弱性是指系统内部的薄弱点，脆弱性是客观存在的。例如小张的 U 盘可能会出现电路故障导致重要数据丢失，所以即使公司制定了 U 盘的安全使用制度，小张的 U 盘仍然具有脆弱性。7.系统运行安全的关键是管理，下列关于日常安全管理的做法，不正确的是( )。（分数：2.00）A.信息化部门领导安全管理组织，一定是每年进行一次安全检查 B.系统开发人员和系统操作人员应职责分离C.用户权限设定应遵循“最小特

19、权”原则D.在数据转储、维护时要有专职安全人员进行监督解析：解析：本题考察安全管理相关知识。选项 A 的描述不正确，应根据实际情况来制定安全检查的频度。8.某单位在制定信息安全策略时采用的下述做法中，正确的是( )。（分数：2.00）A.该单位将安全目标定位为“系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密”B.该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级C.该单位的安全策略由单位授权完成制定，并经过单位的全员讨论修订 D.该单位为减小未经授权的修改、滥用信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并解析：解析：计算机信息应用系统的“

20、安全策略”就是指：人们为保护因为使用计算机信息应用系统可能导致的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。一个单位的安全策略决不能照搬别人的，一定是对本单位的计算机信息应用系统的安全风险(安全威胁)进行有效的识别、评估后，为如何避免单位的资产的损失，所采取的一切包括各种措施、手段，以及建立的各种管理制度、法规等。 单位的安全策略由谁来定，由谁来监督执行，对违反规定的人和事，由谁来负责处理。由于信息系统安全的事情涉及单位(企业、党政机关)能否正常运营的大事，所以必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定，并经过单位的全员讨论修订。 现代信息

21、系统是一个非线性的智能化人机结合的复杂大系统。由于人的能力的局限性，即便有再好的愿望、出于多美好的出发点，信息系统总会存在漏洞，使用和管理系统的人也要犯错误。如果把信息安全目标定位于：“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”，那是永远不可能实现的!因此，安全是相对的，是一个风险大小的问题。它是一个动态的过程。我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围内。这就是风险度的观点。 职责分离是降低意外或故意滥用系统风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会，对特定职责或责任领域的管理和执行功能实施分离。有条件的组织或机构，应执行专职

22、专责。如职责分离比较困难，应附加其他的控制措施，如行为监视、审计跟踪和管理监督。 综合以上信息安全策略的基本概念可知，应选择 C 选项。9.在 Windows 操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用( )作为信息安全系统架构。（分数：2.00）A.S 2 -MISB.MIS+SC.S-MIS D.PMIS解析：解析：在实施信息系统的安全保障系统时，应严格区分信息安全保障系统的三种不同架构：MIS+S、S-MIS 和 S2-MIS。 通常称 MIS+S(Management Information System+Security)系统为“初级信息安全保障系统”或

23、“基本信息安全保障系统”。顾名思义，这样的系统是初等的、简单的信息安全保障系统。这种系统的特点有：应用基本不变、硬件和系统软件通用、安全设备基本不带密码。 通常称 S-MIS(Security-Management Information System)系统为“标准信息安全保障系统”。顾名思义，这样的系统是建立在全世界都公认的 PKICA 标准的信息安全保障系统。这种系统的特点有：硬件和系统软件通用、PKICA 安全保障系统必须带密码、对应用系统必须进行根本改变。 通常称 S2-MIS(Super Security-Management Information System)系统为“超安全的信

24、息安全保障系统”。顾名思义，这样的系统是建立在“绝对的”安全的信息上的安全保障系统。它不仅使用全世界都公认的 PKICA 标准，同时硬件和系统软件都使用“专用的安全”产品。可以说，这样的系统是集当今所有安全、密码产品之大成。这种系统的特点有：硬件和系统软件都专用、PKICA 安全保障系统必须带密码、必须对应用系统进行根本改变、主要的硬件和系统软件需要。PKICA。 Windows 操作系统支持世界公认的 PKICA 标准的信息安全保障体系，电子商务系统属于安全保密系统。根据上述信息安全保障系统的 3 种不同架构的定义，在Windows 操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务

25、信息系统属于 SMIS 架构的范畴，因此应选 C 选项。10.某商业银行在 A 地新增一家机构，根据计算机信息安全保护等级划分准则，其新成立机构的信息安全保护等级应属于( )。（分数：2.00）A.用户自主保护级B.系统审计保护级C.结构化保护级D.安全标记保护级 解析：解析：根据计算机信息系统安全保护等级划分准则(GBl78591999)的规定，信息系统安全保护等级分为以下 5 个级别。 (1)用户自主保护级：适用于普通内联网用户。 (2)系统审计保护级：适用于通过内联网或国际网进行商务活动、需要保密的非重要单位。 (3)安全标记保护级：适用于地方各级国家机关、金融机构、邮电通信、能源与水源

26、供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。(4)结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。 (5)访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。11.以下关于防火墙优点的叙述，不恰当的是( )。（分数：2.00）A.防火墙能有效记录 Intemet 上的活动B.防火墙能强化安全策略C.防火墙能防止从 LAN 内部攻击 D.防火墙能限制暴露用户点解析：解析：防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上

27、构造的保护屏障。防火墙是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Intemet 与 Intranet 之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，但对于从LAN 内部发起的攻击是基本无能为力的。12.RSA 是一种公开密钥算法，所谓公开密钥是指( )。（分数：2.00）A.加密密钥是公开的 B.解密密钥是公开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的解析：解析：RSA 算法是非对称密钥算法。非对称密钥算法中“公开密钥(公钥)”是公开的，任何人都可以使用；而“私有密钥(私钥)”是绝对不能公开的。非对称加密既可以是发送方用接收方的“公

28、钥”加密信息，接收方使用自己的“私钥”来解密。也可以是发送方用自己的“私钥“加密信息，接收方使用发送方的“公钥”来解密。但多数场合是用前一种模式，所以选择 A 选项。(提醒：后一种模式主要用在数字签名的场合。)13.很多银行网站在用户输入密码时要求使用软键盘，这是为了( )。（分数：2.00）A.防止密码在传输过程中被窃取B.保证密码能够加密输入C.验证用户密码的输入过程D.防止木马记录通过键盘输入的密码 解析：解析：本题考察软键盘的基本知识。所谓的软件盘并不是指我们常见的键盘，而是通过软件模拟键盘通过鼠标点击输入字符，这么做是为了防止木马记录通过键盘输入的密码。14.在密码学中，单向 Has

29、h 函数具有( )所描述的特性。（分数：2.00）A.对输入的长度不固定的字符串，返回一串不同长度的字符串B.不仅可以用于产生信息摘要，还可以用于加密短信息C.在某一特定时间内，无法查找经 Hash 操作后生成特定 Hash 值的原报文 D.不能运用 Hash 解决验证签名、用户身份认证和不可抵赖性问题解析：解析：单向 Hash 函数提供了这样一种计算过程：输入一个长度不固定的字符串，输出一串固定长度的字符串，又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题：在某一特定的时间内，无法查找经 Hash 操作后生成特定 Hash 值的原报文；也无法查

30、找两个经 Hash 操作后生成相同 Hash 值的不同报文。这样在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。15.x509 数字证书格式中包含的元素有：证书版本；证书序列号；签名算法标识；证书有效期；证书发行商名称；证书主体名；主体公钥信息；( )。（分数：2.00）A.主体的解密密钥B.报文摘要C.密钥交换协议D.发布者的数字签名 解析：解析：一份 X509 证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。X509 标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的(即数据格式)。所有的 X509 证书包含以下数据。 (1)证书版本：指

31、出该证书使用了哪种版本的 X509 标准，版本号会影响证书中的一些特定信息。 (2)证书序列号：创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号，以区别于该实体发布的其他证书。序列号信息有许多用途；例如当一份证书被回收以后，它的序列号就被放入证书回收列表(CRL)之中。 (3)签名算法标识：指明 CA 签署证书所使用的算法。 (4)证书有效期：证书起始日期和时间以及终止日期和时间，指明证书何时失效。 (5)证书发行商名称：这是签发该证书的实体的唯一名称，通常是 CA。使用该证书意味着信任签发证书的实体。(注意：在某些情况下，例如根或顶级 CA 证书，发布者将自己签发证书。)

32、(6)证书主体名：证书持有人唯一的标示符，也称为DN(Distinguished Name)，这个名称在 Internet 上应该是唯一的。 (7)主体公钥信息：包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标示符和其他相关的密钥参数。 (8)发布者的数字签名：这是使用发布者私钥生成的签名。16.下列关于 PGP(PrettyGoodPrivacy)的说法中不正确的是( )。（分数：2.00）A.PGP 可用于电子邮件和文件存储B.PGP 可选用 MD5 和 SHA 两种算法C.PGP 不可使用 IDEA 加密算法 D.PGP 采用了 ZIP 数据压缩算法解析：解析：PGP 是一个基

33、于 RSA 公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件发送者。PGP 采用了审慎的密匙管理，一种RSA 和传统加密的复合算法：一个对称加密算法(IDEA)、一个非对称加密算法(RSA)、一个单向散列算法(MD5)以及一个随机数产生器(通过用户击键频率产生伪随机数序列的种子)，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。 PGP 还可用于文件存储的加密。 PGP 承认两种不同的证书格式：PGP 证书和 X509 证书。一份PGP 证书包括(但不仅限

34、于)以下信息。 PGP 版本号：指出创建与证书相关联的密钥使用了哪个 PGP 版本。 证书持有者的公钥：这是密钥对的公开部分，并且还有密钥的算法。 证书持有者的信息：包括用户的身份信息，例如姓名、用户 ID、照片等。 证书拥有者的数字签名：也称为自签名，这是用与证书中的公钥相关的私钥生成的签名。 证书的有效期：证书的起始日期时间和终止日期时间，指明证书何时失效。密钥首选的对称加密算法：指明证书拥有者首选的信息加密算法。17.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是( )。（分数：2.00）A.网络安全的“木桶原则”强调对信息

35、均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构 D.网络安全系统应该以不影响系统正常运行为前提解析：解析：根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照 SSE-CMM(系统安全工程能力成熟模型)和 ISO 17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下九项原则。 (1)网络信息安全的木桶原则。网络信息安全的木桶原则是指对信息进行均衡地、全面地保护。“木桶的最大容积取决于最短的一块木板”

36、。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能。 (2)网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，以减少损失。因此，信息安

37、全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的实施。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的被破坏程度。 (3)安全性评价与平衡原则。对任何网络，绝对安全是难以达到的，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的

38、用户需求和具体的应用环境，具体取决于系统的规模和范围、系统的性质和信息的重要程度。 (4)标准化与一致性原则。系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 (5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 (6)统筹规划、分步实施原则。由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规

39、划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 (7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级、对用户操作权限分级、对网络安全程度分级(安全子网和安全区域)、对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 (8)动态发展原则。要根据网络安全的变化不断调整安

40、全措施，适应新的网络环境，满足新的网络安全需求。 (9)易操作性原则。首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。ISO7498-2 标准涉及的五种安全服务是(1)。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为四大类七个等级，其中的 C2 级是指(2)。（分数：4.00）(1).(1)（分数：2.00）A.身份认证、访问控制、数据加密、数据完整、安全审计B.身份认证、访问控制、数据加密、数据完整、防止否认 C.身份认证、安全管理、数据加密是、数据完整、防止否认D.身份认证、访问控制、数据加密、安全

41、标记、防止否认解析：(2).(2)（分数：2.00）A.安全标记保护B.自主式安全保护C.结构化安全策略模型D.受控的访问保护 解析：解析：在 ISO 7498-2 中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含的 5 类安全服务是：身份认证(即鉴别服务)、访问控制、数据加密(即数据保密)、数据完整和防止否认(即抗抵赖)。 TCSEC 将安全分为四个方面(分别是安全政策、可说明性、安全保障和文档)和七个安全级别(从低到高依次为 D、C1、C2、B1、B2、B3、A 级)。 A 类：验证设计。形式化证明的安全，用于绝密级。 B 类： B3：安全域保护。提供可信设备

42、的管理和恢复。即使计算机系统崩溃，也不会泄密。B2：结构化安全策略模型。满足 B1 类要求外，提供强制性控制。 B1：安全标记保护。满足 C 类要求，并提供数据标记。 C 类： C2：受控的访问保护。在 Cl 之上，增加了访问保护和审计跟踪功能。 C1：自主安全保护。无条件的访问控制，具有识别和控制的责任。 D 类：最低保护。例如未加任何实际的安全措施。18.关于网络安全，以下说法中正确的是( )。（分数：2.00）A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播 解析：解析：冲击波病毒是一种蠕虫

43、病毒，病毒在运行时会不停地利用 IP 扫描技术寻找网络上系统为Windows 2000 或 Windows XP 的计算机，找到后就利用 RPC 缓冲区漏洞攻击该系统。一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。 木马是一种基于远程控制的黑客工具，分为控制端和服务端(被控制端)，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、

44、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 使用无线传输，如果要防御网络监听，还需要使用专业设备。 使用防火墙可以有效地防御网络攻击，但不能有效地防御病毒。19.数字信封( )。（分数：2.00）A.使用非对称密钥密码算法加密邮件正文B.使用 RSA 算法对邮件正文生成摘要C.使用收件人的公钥加密会话密钥 D.使用发件人的私钥加密会话密钥解析：解析：数据加密即是对明文(未经加密的数据)按照某种加密算法(数据的变换算法)进行处理，而形成难以理解的密文(经加密后的数据)。即使是密文被截获，截获方也无法或难以解码，从而防止泄露信息。按照加密密钥 K1 和解密

45、密钥 K2 的异同，有两种密钥体制。 私钥密码体制(K1=K2)：又叫对称密码体制，加密和解密采用相同的密钥。因为其加密速度快，通常用来加密大批量的数据。典型的方法有日本 NTT 公司的快速数据加密标准(FEAL)、瑞士的国际数据加密算法(IDEA)和美国的数据加密标准(DES)。 公钥密码体制(K1K2)：又称非对称密码体制，其加密和解密使用不同的密钥；其中一个密钥是公开的，另一个密钥是保密的。典型的公开密钥加密方法有 RSA 和 NTT 的 ESIGN。 公钥密码体制在实际应用中包含数字签名和数字信封两种方式。 数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者

46、使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。 数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。 数字信封中采用了私钥密码体制和公钥密码体制。基本原理是将原文用对称密钥加密传输，而将对称密钥用收方公钥加密(即使用收件人的公钥加密会话密钥)发送给对方。收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。20.PKICA 的应用范围不包括( )。（分数：2

47、.00）A.电子商务B.电子政务C.现实银行交易 D.网上证券解析：解析：以数字证书为核心的 PKICA 技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，从而保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。PKICA 解决方案已经普遍地应用于全球范围的电子商务、电子政务、网上证券等。但 PKICA 的应用范围不包括现实银行交易，只包括网上银行的业务。21.数字时间戳技术是( )技术一种变种的应用。（分数：2.00）A.数字签名 B.数字信封C.电子商务D.私钥加密解析：解析：数字时间戳服

48、务(Digital Time Stamp Service，DTS)是网上电子商务安全服务项目之一，能够对电子文件的日期和时间信息进行安全保护。数字时间戳技术是数字签名技术一种变种的应用。时间戳是一个经加密后形成的凭证文档，它包括三个部分： 需加时间戳的文件的摘要。 DTS 收到文件的日期和时间。 DTS 的数字签名。 一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用 Hash编码加密形成摘要，然后将该摘要发送到 DTS，DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。 书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位

49、 DTS 来加的，以 DTS 收到文件的时间为依据。22.我国实行密码分级管理制度，其中( )适用范围为国内企业和事业单位。（分数：2.00）A.商用密码 B.普用密码C.绝密密码D.军用密码解析：解析：商用密码适用范围为国内企业、事业单位；普用密码适用范围为政府、党政部门；绝密密码适用范围为中央和机要部门；军用密码适用范围为军队。23.安全策略的核心内容是：定方案、定岗、定位、定员、定目标、定制度和定工作流程。系统安全策略首先要( )。（分数：2.00）A.定岗B.定制度C.定方案 D.定工作流程解析：解析：系统安全策略首先要定方案，其次是定岗。24.入侵检测系统如何对所收集的信息进行分析是该系统的一个重要特征。目前主要有两类入侵检测技术：( )。（分数：2.00）A.误用检测和代理检测B.异常