1、計算機系統安全評估的第一個正式標準是COMPUSEC CC:ISO 15408 CTCPEC TCSECLATE 將信息系統的信息保障技術層面劃分成四個技術框焦點域。下列選項中，不包含在該 四個焦點域中的是 本地計算環境 支撐性基礎設施 區域邊界 技術 下列關于對稱密碼的描述中，錯誤的是 數字簽名困難 密鑰管理和分發簡單 加解密使用的密鑰相同 加解密處理速度快 下列關于哈希函數的說法中，正確的是MD5 算法首先將任意長度的消息填充為 512 的倍數，然后進行處理 哈希函數將任意長度的輸入經過變換后得到相同長度的輸出哈希函數式一種雙向密碼體制SHA算法要比MD5算法更快下列攻擊中，消息認證不能預

2、防的是發送方否認 內容修改 偽裝 計時修改 下列關于訪問控制主體和客觀的說法中，錯誤的是 客觀是含有被訪問信息的被動實體 主體是一個主體的實體，它提供對客體中的對象或數據的訪問要求 主體可以是能夠訪問信息的用戶、程序、進程 一個對象或數據如果是主體，則其不可能是客體 同時具有強制訪問控制和自主訪問控制屬性的模型是 Biba RBACChinese WailBLP下列關于diameter和RADIUS區別的描述中，錯誤的是RADIUS固有的客戶端/服務端模式限制了它的進一步進展；diameter采用了端到端模式，任何一端都可以發送消息以發起審計等功能或中斷連接RADIUS運行在UDP協議上，并且

3、沒有定義重傳機制； 而diameter運行在可靠地傳輸協議 TCP SCTP之上RADIUS協議不支持失敗恢復；而diameter支持應用層確認，并且定義了失敗恢復算法和相關的狀態機，能夠立即監測出傳輸錯誤RADIUS支持認證和授權分離，重授權可以隨時根據需求進行；diameter中認證與授權必須成對出現 下列關于非集中式訪問控制的說法中，錯誤的是 在許多應用中， Kerberos 協議需要結合額外的單點登陸技術以減少用戶在不同服務端中的認 證過程Kerberos 協議設計的核心是， 在用戶的驗證過程中引入一個可信的第三方， 即 kerberos 驗證 服務端，它通常也稱為密鑰分發服務器，負責

4、執行用戶和服務的安全驗證 分發式的異構網絡環境中， 用戶必須向每個要訪問的服務器或服務提供憑證的情況下，使用Kerberos 協議能夠有效地簡化網絡的驗證過程Hotmail、yahoo、163 等知名網站上使用的通行證技術應用了單點登錄 下列關于進程管理的說法中，錯誤的是 線程是為了節省資源而可以在同一個進程中共享資源的一個執行單位 程序是在計算機上運行的一組指令參數的集合，指令按照既定的邏輯控制計算機運行 線程是用于組織資源的最小單位， 線程將相關的資源組織在一起， 這些資源包括： 內存地址 空間，程序，數據等 進程是程序運行的一個實例，是運行著的程序Unix 系統最重要的網絡服務進程是Ne

5、td inetinetdsysnet下列選項中，不屬于 windows 系統進程管理的方法是DOS 命令行Msinfo32任務管理器服務下列關于 GRANT 語句的說法，錯誤的是發出該FRANT語句的只能是 DBA或者數據庫對象創建者，不能是其他用戶 如果指定了 WITE GRANT OPTION子句，則獲得某種權限的用戶還可以把這種權限再授予其 他的用戶如果沒有指定 WITE GRANT OPTION子句，則獲得某種權限的用戶只能使用該權限，不能傳 播該權限接受權限的用戶可以是一個或多個具體用戶，也可以是PAUBLIC即全體用戶下列選項中，不屬于數據庫軟件執行的完整性服務的是 實體完整性語義

6、完整性 參照完整性 關系完整性模擬黑客可能使用的攻擊技術和漏洞發現技術， 對目標系統的安全做深入地探測， 發現系統 最脆弱的環節的技術是服務發現SQL注入端口掃描滲透測試下列選項中，不屬于分發式訪問控制方法的是SESAME Kerberos SSO RADIUS下列關于IPSec的描述中，正確的是IPSec支持IPv4，不支持IPv6協議IPSec不支持IPv4和IPv6協議IPSec不支持IPv4，支持IPv6協議IPSec支持 IPv4 和 IPv6 協議下列關于SSL協議的描述中，正確的是 為傳輸層提供了加密、身份認證和完整性驗證的保護 為鏈路層提供了加密、身份認證和完整性驗證的保護 為

7、網絡層提供了加密、身份認證和完整性驗證的保護 為應用層提供了加密、身份認證和完整性驗證的保護 下列選項中，不屬于 PKI信任模型的是 鏈狀信任模型 網狀信任模型 層次信任模型 橋證書認證機構信任模型 下列選項中，誤用監測技術不包括的是狀態轉換分析 模型推理 統計分析 專家系統 下列選項中，不屬于木馬自身屬性特點的是 隱藏性 竊密性 偽裝性 感染性攻擊者向目標主機發起 ACK-Flood時，目標主機收到攻擊數據包后回應的是RST標志位設為1的數據包ACK和RST標志位設為1的數據包ACK標志位設為1的數據包SYN和ACK標志位設為1的數據包 下列選項中，不屬于網站掛馬的主要技術手段是 框架掛馬B

8、ody掛馬下載掛馬Js腳本掛馬下列選項中，不屬于實現和實施注入攻擊所具備的的關鍵條件是用戶能夠自主編寫輸入的數據 掌握被注入的后臺數據庫系統的組織結構特性 用戶瀏覽頁面中被插入的惡意腳本，無需提交即可自動加載并執行Web 程序原有執行代碼，被拼接了用戶輸入的數據后符合 Web 程序規范 下列選項中，不能有效監測采用加殼技術的惡意程序的是 主動防御技術 啟發式查殺技術 虛擬機查殺技術 特征碼查殺技術 下列漏洞庫中，由國內機構維護的漏洞庫是CVE NVD EBD CNNVD 下列關于堆（ heap ）的描述中，正確的是 堆是一個后進先出的數據結構，在內存中的增長方向是從高地址向低地址增長 堆是一個

9、后進后出的數據結構，在內存中的增長方向是從高地址向低地址增長 堆是一個先進后出的數據結構，在內存中的增長方向是從低地址向高地址增長 堆是一個先進先出的數據結構，在內存中的增長方向是從低地址向高地址增長41. 信息安全的五個屬性是機密性，完整性，41_ 可用性 _,可控性，不可否認性42. 上世紀 90 年代中期，六國七方（加拿大，法國，德國，荷蘭，英國，美國國家標準與技 術研究院（NTST及美國國家安全局（NSA提出的信息技術安全性估計通用準則，英文簡 寫為-CC基礎準則）。43. 傳統對稱密碼加密時使用的兩個技巧是：代換和置換44. 當用戶身份給確認合法后，賦予該用戶進行文件和數據等操作權限

10、的過程稱為授權70 信息系統安全保護等級劃分準則中提出了定級的四個要素： 信息系統所屬類型， 業 務數據類型，信息系統 服務 范圍和業務自動化處理程度。ISO 13335標準首次給出了關于IT安全的保密性，完整性 69 ，可用性，審計性，認證性。 可靠性六個方面含義。68 CC將評估過程劃分為功能和規范兩部分67 信息系統安全保護等級劃分準則 主要的安全考核指標有身份認證， 自主訪問控制， 數據 完整 性，審計 。66 給了管理的需要，一本方針手冊還是必要的。手冊一般包括如下內容：（ 1）信息安全 方針 的闡述； （2）控制目標與控制方式描述： （ 3）程序或其引用65信息安全管理體系（ISM

11、S）是一個系統化，程序化和文件化的管理體系，屬于風險管理 的范疇，體系的建立基于系統，全面和科學的安全 風險評估 65。64 信息安全技術通過采用包括建設安全的 主機 64 系統和安全的網絡系統，并配備適當 的安全產品的方法來實現。63 風險分析主要分為 定量 63 風險分析和定向風險分析。 62.通過分析軟件代碼中變量的取值變化的語句的執行情況，來分析數據處理邏輯和程序的 控制流關系， 從而分析軟件代碼的替在安全缺陷的技術是shellcode 代碼 62 分析技術。微軟SDL模型的中文稱為軟件安全開發生命周期 SDL61模型。60 軟件的安全開發技術主要包括建立 安全威脅 60 模型，安全設

12、計，安全編碼和安全測 試等幾個方面。在一個基于公鑰密碼機制的安全應用系統中，假設用戶Alice和Bob分別擁有自己的公鑰和私鑰。請回答下述問題：在產生Alice和Bob的密鑰時，如果采用 RSA的算法，選取的模數 N至少要有1024位，如 果采用橢圓曲線密碼，選取的參數P的規模應大于160基于公鑰證書的密鑰分發方法是目前廣泛流行的密鑰分發機制，用戶可將自己的公鑰通過證書發給另一用戶，接收方可用證書管理機制的公鑰對證書加以驗證為了預防Alice抵賴，Bob要求Alice對其發送的信息進行簽名。Alice將使用自己的私鑰對信息簽名；如果要求對信息保密傳輸， Alice將使用Bob的公鑰對消息加密

13、實際應用中為了縮短簽名長度，提高簽名的速度，而且為了更安全，常對信息的76 進行簽名實際應用中，通常需要進行身份證。 基于口令的認證協議非常簡單，但是很不安全，兩種改 進的口令驗證機制是：利用單向函數加密口令和一次口令。基于公鑰密碼也可以實現身份認證，假定 Alice 和 Bob 已經知道對方的公鑰， Alice 為了認證 Bob 的身份首先，Alice發送給Bob 一個隨機數a,即：Alice Bob:a然后，Bob產生一個隨機數 b，并將b及通過其私鑰所產生的簽名信息發給Alice，假設用SignB表示用Bob的私鑰產生數字簽名的算法，即：Bob_-Alice:b|SiagnB(a|b);

14、最后，為了認證Bob的身份，Alice的隨機數b和簽名信息之后，只需要使用Bob的 公鑰 對 簽名信息進行解密，認證解密的結果是否等于 79 請回答有關數據庫自主存取控制的有關問題：(1) 自主存取控制可以定義各個用戶對不同數據對象的存取權限，向用戶授予權限的SQL的語句是 GRANT，如果指定了 WITE GRANT OPTION?句，則獲得某種權限的用戶還可以把 這種權限再授予其它的用戶；向用戶收回授予權限的SQL語句是VEVOKE(2) 對數據庫模式的授權則由DBA在創建用戶時實現，如果在CREATE USE命令中沒有指定創建新的用戶的權限，默認該用戶擁有 CONNECT 權限。(3)

15、可以為一組具有相同權限的用戶創建一個角色，用其來管理數據庫權限可以簡化授權 的過程。有些軟件的漏洞存在于動態連接庫中，這些動態連接庫的內存中的棧幀地址是動態變化的， 因為進行漏洞利用的 shellcode 地址也是動態變化的。下圖是與 jmp esp 指令做為跳板，針 對動態變化 shellcode 地址的漏洞棧幀的變化情況。 303溢出前溢出后 0請補全圖中的相應內容1Shellcode2 返回地址3NOP4esp5jmp esp在下圖中，內網有二臺計算機A和B,通過交換機連接網關設備最后連人互聯網，其中計算機A的IP地址為192.168.1.10 ,MAC的地址為MACA; 計算機E的IP地址為192.168.1.20 ,MAC地址為MACB;網關設備其中，計算機B感了 ARP病毒，此ARP病毒向其它內網計算機發起偽裝網關ARP欺騙攻擊，它發送的ARP欺騙數據包中，IP地址為192.16