第一章信息安全技術概述ー、判斷題.只有深入理解計算機技術的專業黑客才能夠發動網絡攻擊。1.錯.系統漏洞被發現后,不一定同時存在利用此漏洞的攻擊。2.對.網絡安全考慮的是來自外部的威脅,而非內部的。3.錯.網絡攻擊只針對計算機,而非針對手機或PDA。4.錯.通過聘請專家來設計網絡安全防護方案,可以徹底避免任何網絡攻擊。5.錯.信息安全是純粹的技術問題。6.錯.信息安全是動態概念,需要根據安全形式不斷更新防護措施。7.對.對數據進行數字簽名,可以確保數據的機密性。8.錯.訪問控制的目的是防止非授權的用戶獲得敏感資源。9.對.深入開展信息網絡安全人員的培訓工作,是確保信息安全的重要措施之一。10.對二、單選題.下面哪種不屬于信息安全技術的范疇?1.DA.密碼學B.數字簽名技術C.訪問控制技術D.分布式計算技術.下面哪種安全產品的使用是目前最為普及的?2.AA.防病毒軟件B.入侵檢測系統C.文件加密產品D.指紋識別產品.使用數字簽名技術,無法保護信息安全的哪種特性?3.BA.完整性B.機密性C.抗抵賴D.數據起源鑒別.下列關于信息安全的說法,哪種是正確的?4.AA.信息安全是技術人員的工作,與管理無關B.信息安全一般只關注機密性C.信息安全關注的是適度風險下的安全,而非絕對安全D.信息安全管理只涉及規章制度的確定，而不涉及技術設備的操作規程。.下面哪個不是信息安全工程的過程之一? 5.BA.發掘信息保護需要B.維護信息安全設備C.設計系統安全D.工程質量保證.下列關于當前網絡攻擊的說法,哪些是正確的?1.ABCA.攻擊工具易于從網絡下載B.網絡蠕蟲具有隱蔽性、傳染性、破壞性、自主攻擊能力C.新一代網絡蠕蟲和黑客攻擊、計算機病毒之間的界限越來越模糊D.網絡攻擊多由敵對的政府勢カ發起.下列哪些屬于信息安全關注的范疇?2.ABCDA.網絡上傳輸的機密信息被竊聽者竊取B.網絡上傳輸的機密信息被攻擊者篡改C.冒用他人身份登錄服務器D.垃圾郵件.下列對信息安全的認識哪些是不對的?3.BCA.建設信息安全保障體系,需要采用系統工程的方法全面考慮和實施B.信息安全是絕對安全，ー經實施可以徹底解決所有安全問題C.信息安全就是產品堆砌D.管理也是信息安全中的重:要考慮因素.下列哪些是ISO7498-2中提到的安全機制?4.ABCDA.路由控制B.公正C.數據完整性D.數字簽名.下列哪些是目前存在的訪問控制模型?5.ABDA.自主訪問控制B.強制訪問控制C.基于指紋識別的訪問控制D.基于角色的訪問控制ATF將信息系統的信息保障技術層面分為哪幾個部分?6.ABCDA.本地計算環境B.區域邊界C.網絡與基礎設施D.支持性基礎設施.下列哪些是物理安全技術?7.BCA.數字簽名.不間斷電源保障C.電磁屏蔽D.入侵檢測.數據機密性包括那兒個方面? 8.ABCDA.有連接機密性B.無連接機密性C.選擇字段機密性D.業務流機密性.在應用層上能提供哪些安全服務?9.ABCDA.鑒別B.訪問控制C.數據機密性D.非否認(抗抵賴).關于IPv6與IPv4的對比,哪些說法正確? 10.ABA.地址空間擴大了B.協議安全性增強C.網絡帶寬增大D.能夠傳輸的數據不同四、問答題1.OSI安全體系結構認為ー個安全的信息系統結構應該包括哪些內容?答:OSI安全體系結構認為一個安全的信息系統結構應該包括:(1)五種安全服務;(2)八類安全技術和支持上述的安全服務的普遍安全技術:(3)三種安全管理方法。2.0SI安全體系結構和框架標準作為“標準的標準”有兩個實際用途,分別是什么?答：OSI安全體現結構和框架標準作為“標準的標準”有兩個實際用途，分別是：(1)指導可實現的安全標準的設計;(2)提供ー個通用的術語平臺。.美國信息保障技術框架(InformationAssuranceTechnicalFramework,簡稱IATF)給出了一個保護信息系統的通用框架,將信息系統的信息保障技術分成了哪四個層面?答:美國信息保隙技術框架(InformationAssuranceTechnicalFramework,簡稱IATF)給出了?個保護信息系統的通用框架，將信息系統的信息保障技術分成了四個層面:(1)本地計算機環境;(2)區域邊界(本地計算機區域的外緣!(3)網絡與基礎設施:(4)支持性基礎設施。.ー個完整的信息安全技術體系結構應該包括哪些層面的安全技術?答：ー個完整的信息安全技術體系結構應該包括五個層面的安全技術:物理安全技術、基礎安全技術、系統安全技術、網絡安全技術和應用安全技術。第二章物理安全一、判斷題.信息網絡的物理安全要從環境安全和設備安全兩個角度來考慮。1.對.計算機場地可以選擇在公共區域人流量比較大的地方。2.錯.機房供電線路和動カ、照明用電可以用同一線路。3.錯.只要手干凈就可以直接觸摸或者擦拔電路組件,不必有進ー步的措施。4.錯.屏蔽室的拼接、焊接エ藝対電磁防護沒有影響。5.錯.由于傳輸的內容不同,電カ線可以與網絡線同槽鋪設。6.錯.接地線在穿越墻壁、樓板和地坪時應套鋼管或其他非金屬的保護套管,鋼管應與接地線做電氣連通。7.對.機房內的環境對粉塵含量沒有要求。8.錯.有很高使用價值或很高機密程度的重要數據應采用加密等方法進行保護。9.對.紙介質資料廢棄應用碎紙機粉碎或焚毀。10.對二、單選題.以下不符合防靜電要求的是 LB.A.穿合適的防靜電衣服和防靜電鞋B.在機房內直接更衣梳理C.用表面光滑平整的辦公家具D.經常用濕拖布拖地.布置電子信息系統信號線纜的路由走向時,以下做法錯誤的是 2.A。A.可以隨意彎折B.轉彎時,彎曲半徑應大于導線直徑的10倍C.盡量直線、平整D,盡量減小由線纜自身形成的感應環路面積.對電磁兼容性(ElectromagneticCompatibility,簡稱EMC)標準的描述正確的是3.C〇A.同一個國家的是恒定不變的B.不是強制的C.各個國家不相同D.以上均錯誤.物理安全的管理應做到 4.D 。A.所有相關人員都必須進行相應的培訓,明確個人工作職責B.制定嚴格的值班和考勤制度,安排人員定期檢查各種設備的運行情況C.在重要場所的進出口安裝監視器,并對進出情況進行錄像D.以上均正確.下面哪項不是場地防火應注意的事項?5.BA.機房的耐火等級應不低于二級;B.建筑的承重結構;C.防火隔離;D.報警系統:.信息網絡所使用的電子設備往往都對水、潮氣比較敏感,合適狀態是將場地濕度控制在:6.CA.10%以下B.20%左右C.4〇%?65%D.90%以上.下列哪個不是靜電可能導致的危害?7.BA.磁盤讀寫錯誤.加密信息泄漏C.損壞磁頭D.引起計算機誤動作.下面哪個不是電子信息的可用存儲介質?8.BA.磁帶B.普通紙C.磁盤D.光盤.對于紙質介質的存放,下面哪種情況無須考慮?9.DA.防止發潮B.防止發霉C.防范字跡消褪D.防范復印.下面哪個說法是錯誤的10.AA.為節省成本,對所有員エ的信息安全培訓可以集中一次性進行,未來入職的員エ則由老員エ言傳身教。B.所有相關人員必須進行相應的培訓，明確個人工作職責，可以進行的操作和禁止進行的行為,各項操作的正確流程和規范，對于各種物理安全都要有相應的培訓。C.應定期對各個崗位的人員進行安全技能及安全認知的考核，所有人員都必須清楚緊急情況發生時的處理辦法和滅火設施的正確使用方法。D.制定嚴格的值班和考勤制度，安排人員定期檢查各種設備的運行情況。.場地安全要考慮的因素有 I.ABCDE.A.場地選址B.場地防火C.場地防水防潮D.場地溫度控制E.場地電源供應.等級保護中對防火的基本要求有:2.ABDA.機房應設置火災自動消防系統,能夠自動檢測火情、自動報警，并自動滅火;B.機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料;C.機房應配備專門的消防小組;D.機房應采取區域隔離防火措施,將重要設備與其他設備隔離開。E.機房及相關的工作房間可以不配備專門的滅火器械，在火災時可以臨時調撥。.火災自動報警、自動滅火系統部署應注意3.ABCD。A.避開可能招致電磁干擾的區域或設備B,具有不間斷的專用消防電源C.留備用電源D.具有自動和手動兩種觸發裝置.為了減小雷電損失,可以采取的措施有4.ACD。A.機房內應設等電位連接網絡B.部署UPSC.設置安全防護地與屏蔽地D.根據宙擊在不同區域的電磁脈沖強度劃分,不同的區域界面進行等電位連接E.信號處理電路.會導致電磁泄露的有 5.ABCDEA.顯示器B.開關電路及接地系統C.計算機系統的電源線D.機房內的電話線E.信號處理電路.磁介質的報廢處理，應采用6.CD.A.直接丟棄KWB3B.砸碎丟棄C.反復多次擦寫D.專用強磁工具清除.靜電的危害有7.ABCD,A.導致磁盤讀寫錯誤，損壞磁頭，引起計算機誤動作.造成電路擊穿或者毀壞C.電擊，影響工作人員身心健康D.吸附灰塵.防止設備電磁輻射可以采用的措施有8.ABCD?A.屏蔽B.濾波C.盡量采用低輻射材料和設備D.內置電磁輻射干擾器.抑制信息泄漏的技術途徑有:9.ABCDA.干擾技術:用強噪聲來掩護有用的信號。B.跳頻技術：經常改變信號傳輸頻率、調制方式或其它傳輸參數。C.包容法：對元器件、設備甚至整個系統進行屏蔽，成本高。D.抑源法:從線路、元器件入手，消除輻射源。E.人工防護：由專門人員負責看管機房。10.等級保護對于防盜竊和防破壞的基本要求有：10.ABCDEA.應將主要設備放置在機房內;B.應將設備或主要部件進行固定，并設置明顯的不易除去的標記;c.應將通信線纜鋪設在隱蔽處,可鋪設在地卜.或管道中:D.應對介質分類標識,存儲在介質庫或檔案室中;E.應利用光、電等技術設置機房防盜報警系統;四、問答題.物理安全包含哪些內容?答:物理安全,是指在物理介質層次上對存儲和傳輸的網絡信息的安全保護,也就是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等事故以及人為行為導致的破壞的過程。物理安全可以分成兩大類:環境安全和設備安全。其中,環境安全包括場地安全、防火、防水、防靜電、防宙擊、電磁防護、線路安全等:設備安全包括設備的防盜、防電磁泄露、防電磁干擾、存儲介質管理等。物理安全也必須配合一定的安全管理措施，如嚴格人員的管理、采用相應的監視設備等。.解釋環境安全與設備安全的聯系與不同。答:從物理角度來看,在一個完整的信息系統中,除了系統所處的環境以外,就是?臺臺具體的設備了。設備安全與環境安全的關系是密不可分的。設備安全是建立在環境安全的基礎上的，極端的情況是，如果設備都是放在地震活躍帶的火山口h,那么就不能預期這個設備能長時間持續穩定地運行下去,因為環境是不安全的。但是，設備安全與環境安全還是有所區別的，如對于環境的電磁防護,指的是機房、通信線路的防電磁泄露、電磁干擾:而設備的電磁防護,則指的是設備本身的防止電磁泄露、電磁干擾的特性。設備安全就是要確保設備運行的時候是安全的。這就要求設備不容易被損壞而中斷工作，不容易被竊聽，存放信息的介質也是妥善保管、不容易竊取的。第三章容災與數據備份ー、判斷題.數據備份按數據類型劃分可以分成系統數據備份和用戶數據備份。1.対.對目前大量的數據備份來說,磁帶是應用得最廣的介質。2.對.增量備份是備份從上次進行完全備份后更改的全部數據文件。3.錯.容災等級通用的國際標準SHARE78將容災分成了六級。4.錯.容災就是數據備份。5.錯.數據越重要,容災等級越高。6.對.容災項目的實施過程是周而復始的。7.對.如果系統在?段時間內沒有出現問題,就可以不用再進行容災了。8.錯9.SAN針對海量、面向數據塊的數據傳輸,而NAS則提供文件級的數據訪問功能。9.對10.廉價磁盤冗余陣列(RAID),基本思想就是將多只容量較小的、相對廉價的硬盤進行有機組合,使其性能超過ー只昂貴的大硬盤。10.對二、單選題1.容災的正確含義是:I.BA.在災難事件發生之前就偵測到并采取措施避免B.減少災難事件發生的可能性以及限制災難對關鍵業務流程所造成的影響的一整套行為。C.采取ー系列的措施降低信息系統的風險水平;D.在災難發生后，應如何追究相關人員的責任。2.SHARE78將容災等級劃分為幾個等級:2.CA.5B.6C.7D.83.我國《重要信息系統災難恢復指南》將災難恢復分成了3.B級。A.五B.六C.七D.八.下圖是4.B 存儲類型的結構圖。fftutaA.NASB.SANC.以上都不是.容災的目的和實質是 5.CA.數據備份B.心理安慰C.保持信息系統的業務持續性D.系統的有益補充.容災項目實施過程的分析階段,需要進行 6.D?A.災難分析B.業務環境分析C.當前業務狀況分析D.以上均正確.目前對于大量數據存儲來說,容量大、成本低、技術成熟、廣泛使用的介質是7.BA.磁盤.磁帶C.光盤D.軟盤8.下列敘述不屬于完全備份機制特點描述的是8.DA.每次備份的數據量較大.每次備份所需的時間也就較長C.不能進行得太頻繁D.需要存儲空間小.下面不屬于容災內容的是9.A ?A.災難預測B.災難演習C.風險分析D.業務影響分析.關于容災的說法正確的是:10.AA.容災是ー項工程,涉及管理、技術等各個方面B.容災是純技術的行為C.備份不屬于容災技術D.容災只能依靠人的主觀能動性.信息系統的容災方案通常要考慮的要點有1.ABCDEA.災難的類型B.恢復時間C.恢復程度D.實用技術E.成本

.系統數據備份包括的對象有2.ABD 。A.配置文件B.日志文件C用戶文檔D.系統設備文件3.容災等級越高,則3.ACD。A.業務恢復時間越短B.所需人員越多C.所需要成本越高D.保護的數據越看要.下列哪些計劃應該是容災計劃的一部分4.ABCDA.業務連續性計劃B.業務恢復計劃C.操作連續性計劃D.支持連續性計劃/1T應急計劃.后備站點/后備場所的種類有:5.ABCDA.熱后備B.溫后備C.冷后備D.鏡像后備6.IT應急計劃的實施包含哪幾個階段6.BCDA.預測階段B.通告激活階段C.恢復階段D.重構階段.以下后備場所中,恢復時間由長到短排列的是:7.CDA.冷后備、鏡像后備、熱后備.鏡像后備、熱后備、冷后備C.冷后備、溫后備、熱后備D.溫后備、熱后備、鏡像后備.數據備份可采用的技術機制有:8.ABCDA.基于主機備份B.基于存儲局域網備份C.無服務器備份D.基于廣域網備份9.數據備份可采用的介質9.數據備份可采用的介質有:9.ABCDA.軟盤B.光盤C.磁帶D.硬盤10.常用的數據備份方式有:10.ABCA.完全備份B.增量備份C.差分備份D.一次性備份四、問答題.容災的含義是什么?容災過程包括哪些內容?答:容災,就是減少災難事件發生的可能性以及限制災難對關鍵業務流程所造成的影響的一整套行為。當企業的核心計算機系統遭受如火災、洪澇、地震、戰爭、人為破壞等不可抗拒的災難和意外時,能夠及時恢復系統的正常運行。因此,容災的目的和實質就是保持信息系統的業務持續性。為了在面對災難時仍然能保持業務的持續性,容災有很多方面的工作要做:風險分析，確定造成業務中斷災難發生的可能性和災難發生會帶來的損失;業務影響分析，分析預期的災難可能對企業造成的影響，確定關鍵功能和恢復優先順序:災難演習，模擬災難發生時的狀況:制訂應急響應計劃,制定和實施在災難發生后的對應措施等。.容災與數據備份之間是什么關系?答：容災與數據備份之間是密切聯系、不可分割的。沒有了數據備份，容災也就無從下手;而僅僅備份了數據,沒有考慮周密的容災方案，也難以發揮數據備份的作用，無法保證系統的業務持續性。首先，數據備份是容災的基礎。數據備份,是指將數據保存下來,目的是為了系統數據在崩潰時能夠快速地恢復數據。沒有數據可以利用恢復,災難恢復也就無從談起。所以,容災的前提是做好相應的數據備份工作。其次，容災是ー個系統工程，而不僅僅是技術。ー個完整的容災系統包括容災規劃機構的設立、容災需求分析、容災策略制定、容災系統實施、容災系統維護等多個階段。容災除了前期的實施,更重要的是后期的運營和管理,必要的時候還需要第三方審計或者監理機構的介入。.容災等級通用的國際標準SHARE78將容災劃分成幾個層次?簡單概述各層次的特點。答:容災等級通用的國際標準SHARE78將容災劃分為七個層次。第。級——本地冗余備份,也叫無異地備份數據。數據僅在本地進行備份和恢復，沒有任何數據信息和資料存放在異地,沒有意外事故處理計劃，未制定災難恢復計劃。第1級——數據介質轉移。第1級容災方案的關鍵是有數據備份,但無備用系統，其特點是異地存放、安全保管、定期更新。通常將關鍵數據備份到本地存儲介質上,然后送往其他比較安全的地方保存。第2級——應用系統冷備。第2級容災方案的實質是有數據備份、有備用系統，其特點是異地介質存放、系統硬件冷備份。第3級——數據電子傳送。第3級容災方案是電子鏈接，其特點是網絡傳送、自動備份、磁盤鏡像復制。通過網絡將關鍵數據進行備份并存放至異地,制定相應的災難恢復計劃,建立備份中心,并配備部分數據處理系統及網絡通信系統。第4級——應用系統溫備。第4級容災方案是讓備份中心處于活動狀態,其特點是網絡傳送、流水日志、系統準工作狀態。一旦災難發生,可利用備份中心已有資源及異地備份數據恢復關鍵業務系統運行。第5級——應用系統熱備。第5級容災方案的關鍵在于交易的完整性,其特點是在線實時傳送、系統鏡像狀態、人機切換。第5級容災方案可以同時實現業務中心與備份中心的數據更新。第6級——數據零丟失。第6級容災方案的目標是達到數據零丟失和自動系統故障切換，其特點是在線實時鏡像、作業動態分配、自動切換。這ー級別的容災方案是災難恢復中最昂貴的方式，也是速度最快的恢復方式，它是災難恢復的最高級別。利用專用的存儲網絡將關鍵數據同步鏡像至備份中心，數據不僅在本地進行確認，而且需要在備份中心進行確認,才能算有效數據。因為數據是由鏡像地寫到兩個站點，所以災難發生時異地容災系統保留了全部的數據,從而實現零數據丟失。.設計ー個以星期為周期的備份策略,并舉例描述在其中某一天發生災難如何恢復。答:一個以星期為周期的備份策略可以做如下安排:星期ー:完全備份（備份文件為A）星期二:增量備份（備份文件為B）星期三:增量備份（備份文件為C）星期四：增量備份（備份文件為D）星期五:累計備份（備份文件為E）星期六:增量備份（備份文件為F）星期日：增量備份（備份文件為G）如果在星期六,系統遭到意外破壞，系統管理員可以按以下步驟來恢復系統：首先用最近的ー份完全備份（星期一的A文件）來進行完全恢復,然后用最近的ー份累計備份（星期五的E文件）進行累計恢復，最后使用累計備份后的最近增量備份（星期六的F文件和星期天的G文件）進行增量恢復,則可以恢復到接近系統被意外破壞時的數據。第四章基礎安全技術ー、判斷題.對稱密碼體制的特征是:加密密鑰和解密密鑰完全相同，或者ー個密鑰很容易從另ー個密鑰中導出。L對.對稱密碼學以數學上的難題為基本原理進行構造。.錯.公鑰密碼體制算法用ー個密鑰進行加密,而用另一個不同但是有關的密鑰進行解密。.對.公鑰密碼體制有兩種基本的模型:ー種是加密模型,另ー種是認證模型。.對.窮舉破解是密碼分析學的重要技術手段。.錯.對信息的這種防篡改、防刪除、防插入的特性稱為數據完整性保護。.對.使用數字簽名技術可以保證信息的完整性。.對.散列算法是可逆的,即一直散列值和密鑰,可以還原出明文信息。8.錯9.PKI是利用公開密鑰技術所構建的、解決網絡安全問題的、普遍適用的ー種基礎設施。.對.電子簽名與手寫簽名具有同等法律效カ。10.對二、單選題.下列密碼算法中，哪個屬于對稱密碼算法:LDRSAECCMD5AES.下列密碼算法中，哪個屬于公鑰密碼算法：2.CDESRC5RSAD.AES.下列密碼算法中,哪個屬于散列算法:3.AA.SHA-1DESRSAECC.關于對稱密碼算法,說法正確的是:4.BA.以數學上的難解問題為基礎設計B.加密和解密的密鑰相同或可以容易的互相推導出C.加、解密速度比公鑰密碼算法要慢D.明文發生1字節改變時,對應的密文也在相應位置發生1字節改變.關于公鑰密碼算法,說法正確的是:5.AA,以數學上的難解問題為基礎設計B.加密和解密的密鑰相同或可以容易的互相推導出C.兩個密鑰必須都保密,不能為外界所知。D.明文發生1字節改變時,對應的密文也在相應位置發生1字節改變.關于散列算法,說法正確的是:6.CA.可用于對信息加密傳輸。B.由散列值可以還原明文。C.可用于提供完整性服務D.可用丁?提供訪問控制服務.數字簽名不能為信息提供哪種安全服務?7.DA.完整性.數據起源鑒別C.抗抵賴D.機密性.以下哪個不是冃前信息系統中常用的身份鑒別技術:8.AA.基于身份證的身份鑒別.基于口令的身份鑒別C.基于生物特征的身份鑒別D.基于公鑰密碼技術的身份鑒別下列哪個不是PKI系統的組件之一9.BA.依賴方B.CA管理員C.注冊機構(RA)D.認證機構(CA)10.關于PKI技術,說法錯誤的是:10.CA,可提供身份鑒別服務B.RA負責接受用戶的證書申請,并核對用戶身份的真實性C.CRL發布者負責對依賴方提供查詢信息,包括查詢某實體證書,獲得該證書有效狀態等信息D.CA負責簽發證書三、多選題5.ABCE6.BD 7.ABCDE8.ABCE9ABCDE10.ABCD.基礎安全技術包括：1.ABCDEA.密碼技術B.身份鑒別技術C.數字簽名技術D.完整性技術E.PKI技術即”公鑰基礎設施",是ー種遵循既定標準的蜜望管理平臺,它能夠為所有網絡應用提供加密和數。簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。2.PKI系統的基本組件包括2.ABCDE〇A.認證機構B.注冊機構C.證書撤銷列表發布者D.證書資料庫E.密鑰管理中心3.數字證書可以存儲的信息包括ー3.ABCDE〇A.身份證號碼、社會保險號、駕駛證號碼B.組織工商注冊號、組織組織機構代碼、組織稅號IP地址Email地址E?郵政地址.PK!提供的核心服務包括4.ABCDE〇A.認證B,完整性C.密鑰管理D1簡單機密性E.非否認.對于對稱密碼算法,以下說法正確的是:5.ABCEA.加密、解密密鑰相同或可以互相推出B.算法公開,密碼體制的安全強度僅在于密鑰強度C.明文改變1個位，密文會徹底發生變化D.可以不使用密鑰就能完成加密解密過程E,包含分組密碼和序列密碼兩個大類.對稱密碼算法有哪些不足:6.BDA.計算過于復雜B.密鑰需要通信雙方知道,但在公開的計算機網絡上,安全地傳送和存儲密鑰成為ー個難點;C.計算速度過慢,消耗資源大D.群體通信需要使用的密鑰太多,導致管理困難,密鑰泄密可能性大大增加E.密鑰長度太短.對于公鑰密碼算法,說法正確的是:7.ABCDEA.僅知道公鑰，無法推導出私鑰（計算上不可行）.私鑰由用戶個人妥善保存，公鑰則公開讓公眾知道。C用戶A使用用戶B的公鑰進行加密,只有用戶B使用自己的私鑰才能解密,從而達到保密通信目的。D.1976年，Diffie及HeiIman發表其論文“密碼學新方向”，是公鑰密碼技術誕生的標志。E.用戶A使用私鑰對信息做變換,那么其他用戶只有使用用戶A的公鑰才能正確還原，因此可以證明這條信息是用戶A,也就是私鑰擁有者所發出的。這是使用公鑰算法的數字簽名技術的核心思想.哪些常用途徑可用來獲得某個實體的PKI公鑰證書?8.ABCEA.通過LDAP查詢資料庫;.通過電子郵件索取;C.通過Web網站下載;D.通過電視廣告;E.通信時直接向對方要:基于生物特征的身份鑒別技術有哪些局限?9ABCDEA.計算復雜,準確度有限B,不適用與網絡遠程鑒別C.與口令識別的安全強度是等同的。D.用戶基數大,被誤判的絕對數量增多E.人身危險增加.PKI的信任模型有哪些?10.ABCDA.嚴格層次模型B,信任列表模型C.橋模型D.網狀模型E.三維模型第五章系統安全ー、判斷題25.對26.錯27.錯28.對29.錯30.錯31.錯32.錯33.錯34.錯35.對36.錯37.對38.錯39.對40.錯41.錯42.對43.錯44.對45.對46.錯47.對48.對.常見的操作系統包括DOS、OS/2、UNIX、XENIX,Linux,Windows,Netware,OracleL錯.操作系統在概念上一般分為兩部分:內核(Kernel)以及殼(Shell),有些操作系統的內核與殼完全分開(如MicrosoftWindows,UNIX,Linux等);另ー些的內核與殼關系緊密(如UNIX、Linux等),內核及殼只是操作層次上不同而已。2.錯Windows系統中,系統中的用戶帳號可以由任意系統用戶建立。用戶帳號中包含著用戶的名稱與密碼、用戶所屬的組、用戶的權利和用戶的權限等相關數據。3.錯Windows系統的用戶帳號有兩種基本類型:全局帳號(GlobalAccounts)和本地帳號(LocalAccounts)。.對.本地用戶組中的Users(用戶)組成員可以創建用戶帳號和本地組,也可以運行應用程序,但是不能安裝應用程序,也可以關閉和鎖定操作系統。.錯.本地用戶組中的Guests(來賓用戶)組成員可以登錄和運行應用程序，也可以關閉操作系統,但是其功能比Users有更多的限制。.對.域帳號的名稱在域中必須是唯一的，而且也不能和本地帳號名稱相同，否則會引起混亂。.錯.全局組是由本域的域用戶組成的，不能包含任何組,也不能包含其他域的用戶,全局組能在域中任何一臺機器上創建。.錯.在默認情況下，內置DomainAdmins全局組是域的Administrators本地組的,個成員，也是域中每臺機器Administrator本地組的成員。對.WindowsXP帳號使用密碼對訪問者進行身份驗證，密碼是區分大小寫的字符串，最多可包含16個字符。密碼的有效字符是字母、數字、中文和符號。.如果向某個組分配了權限,則作為該組成員的用戶也具有這?權限。例如,如果BackupOperators組有此權限，而Lois又是該組成員,則Lois也有此權限。11.對.Windows文件系統中，只有Administrator組和ServerOperation組可以設置和去除共享目錄，并且可以設置共享ロ錄的訪問權限。12.錯.遠程訪問共享目錄中的冃錄和文件,必須能夠同時滿足共享的權限設置和文件目錄自身的權限設置。用戶對共享所獲得的最終訪問權限將取決于共享的權限設置和口錄的本地權限設置中寬松一些的條件。13.錯.對于注冊表的訪問許可是將訪問權限賦予計算機系統的用戶組,如Administrator,Users-.Creator/Owner組等。.對.系統日志提供了一個顏色符號來表示問題的嚴重程度,其中一個中間有字母“！”的黃色圓圈（或三角形）表示信息性問題,ー個中間有字母“i”的藍色圓圈表示一次警告,而中間有“stop”字樣（或符號叉）的紅色八角形表示嚴重問題。.錯.光盤作為數據備份的媒介優勢在于價格便宜、速度快、容量大。16.錯Windows防火墻能幫助阻止計算機病毒和蠕蟲進入用戶的計算機,但該防火墻不能檢測或清除已經感染計算機的病毒和蠕蟲。17.對Web站點訪問者實際登錄的是該Web服務器的安全系統，“匿名”Web訪問者都是以IUSR帳號身份登錄的。18.對UNIX的開發工作是自由、獨立的，完全開放源碼,由很多個人和組織協同開發的。UNIX只定義了一個操作系統內核。所有的UNIX發行版本共享相同的內核源,但是，和內核一起的輔助材料則隨版本不同有很大不同。每個UNIX/Linux系統中都只有一個特權用戶,就是root帳號。.錯.與Windows系統不ー樣的是UNIX/Linux操作系統中不存在預置帳號。.錯.UNIX/Linux系統中一個用戶可以同時屬于多個用戶組。.對.標準的UNIX/Linux系統以屬主(Owner),屬組(Group),其他人(World)三個粒度進行控制。特權用戶不受這種訪問控制的限制。23.對UNIX/Linux系統中,設置文件許可位以使得文件的所有者比其他用戶擁有更少的權限是不可能的。24.錯UNIX/Linux系統和Windows系統類似,每ー個系統用戶都有一個主口錄。25.對UNIX/Linux系統加載文件系統的命令是mount,所有用戶都能使用這條命令。26.錯UNIX/Linux系統中查看進程信息的who命令用于顯示登錄到系統的用戶情況,與w命令不同的是,who命令功能更加強大，who命令是w命令的一個增強版。27.錯Httpd.conf是Web服務器的主配置文件，由管理員進行配置，Srm.conf是Web服務器的資源配置文件,Access,conf是設置訪問權限文件。.對.ー個設置了粘住位的目錄中的文件只有在用戶擁有目錄的寫許可，并且用戶是文件和目錄的所有者的情況下才能被刪除。.錯30.UNIX/Linux系統中的/etc/shadow文件含有全部系統需要知道的關于每個用戶的信息(加密后的密碼也可能存于/etc/passwd文件中)。.錯.數據庫系統是--種封閉的系統，其中的數據無法由多個用戶共享。.數據庫安全只依靠技術即可保障。.錯.通過采用各種技術和管理手段,可以獲得絕對安全的數據庫系統。.錯.數據庫的強身份認證與強制訪問控制是同?概念。.錯.用戶對他自日擁有的數據,不需要有指定的授權動作就擁有全權管理和操作的權限。.對.數據庫視圖可以通過INSERT或UPDATE語句生成。.錯.數據庫加密適宜采用公開密鑰密碼系統。.對.數據庫加密的時候,可以將關系運算的比較字段加密。.錯.數據庫管理員擁有數據庫的一切權限。.對.不需要對數據庫應用程序的開發者制定安全策略。.錯.使用登錄ID登錄SQLServer后,即獲得了訪問數據庫的權限。錯MSSQLServer與SybaseSQLServer的身份認證機制基本相同。42.對SQLServer不提供字段粒度的訪問控制。43.錯MySQL不提供字段粒度的訪問控制。44.對SQLServer+?權限可以直接授予用戶ID。45.對SQL注入攻擊不會威脅到操作系統的安全。.錯.事務具有原子性,其中包括的諸多操作要么全做,要么全不做。.對.完全備份就是對全部數據庫數據進行備份。.對二、單選題3.C4.B5.D6.B7.C8.D9.C10.A11.B12.D13.B14.A15.C16.D17.B18.A19.D20.B21.C22.D23.B24.A25.B26.C27.A28.D29.B30.A31.B1.美國國防部發布的可信計算機系統評估標準（TCSEC）定義了1.C_個等級。A.五B.六C,七D.ハ.Windows系統的用戶帳號有兩種基本類型,分別是全局帳號和一2.Aー。A.本地帳號B.域帳號C.來賓帳號D.局部帳號.Windows系統安裝完后,默認情況下系統將產生兩個帳號,分別是管理員帳號和_3.C。A.本地帳號B.域帳號C.來賓帳號D,局部帳號.計算機網絡組織結構中有兩種基本結構,分別是域和4.B_oA.用戶組B,工作組C.本地組D,全局組.一般常見的Windows操作系統與Linux系統的管理員密碼最大長度分別為和5.D_〇128141012101486,符合復雜性要求的WindowsXP帳號密碼的最短長度為6.B〇A.4B.6C.8D.107.設置了強制密碼歷史后,某用戶設置密碼kedawu失敗,該用戶可能的原密碼是7.C_okedakedaliuC.kedawujD.dawu.某公司的工作時間是上午8點半至12點,下午1點至5點半,每次系統備份需要一個半小時,下列適合作為系統數據備份的時間是ー8.D 〇A.上午8點B.中午12點C.下午3點D.凌晨1點.Window系統中對所有事件進行審核是不現實的,下面不建議審核的事件是9.C〇A.用戶登錄及注銷B.用戶及用戶組管理C.用戶打開關閉應用程序D,系統重新啟動和關機.在正常情況下,Windows2000中建議關閉的服務是_10.A〇A.TCP/IPNetBIOSHelperServiceB.LogicalDiskManagerC.RemoteProcedureCallD.SecurityAccountsManager.FTP（文件傳輸協議,FileTransferProtocol,簡稱FTP）服務、SMTP（簡單郵件傳輸協議,SimpleMaiITransferProtocol,簡稱SMTP）服務、HTTP（超文本傳輸協議，HyperTextTransportProtocol,簡稱HTTP）、HTTPS（加密并通過安全端口傳輸的另ー?種HTTP）服務分別對應的端口是11.B?A.252180554B.212580443C.2111080554D.2125443554.下面不是UNIX/Linux操作系統的密碼設置原則的是ー12.1）0A.密碼最好是英文字母、數字、標點符號、控制字符等的結合B.不要使用英文單詞，容易遭到字典攻擊C.不要使用自己、家人、寵物的名字D,一定要選擇字符長度為8的字符串作為密碼13.UNTX/Linux操作系統的文件系統是_13.B結構。A.星型B.樹型C.網狀D.環型.下面說法正確的是14.A。UNIX系統中有兩種NFS服務器,分別是基于內核的NFSDaemon和用戶空間Daemon,其中安全性能較強的是基于內核的NFSDaemonUNIX系統中有兩種NFS服務器,分別是基于內核的Daemon和用戶空間NFSDaemon,其中安全性能較強的是基于內核的NFSDaemonUNIX系統屮現只有一種NFS服務器,就是基于內核的NFSDaemon,原有的用戶空間Daemon已經被淘汰，因為NFSDaemon安全性能較好UNIX系統中現只有一種NFS服務器,就是基于內核的Daemon,原有的用戶空間NFSDaemon已經被淘汰，因為Daemon安全性能較好.下面不是UNIX/Linux系統中用來進行文件系統備份和恢復的命令是15.C〇tarcpioumaskD.backupBackup命令的功能是用于完成UNIX/Linux文件的備份,下面說法不正確的是16.D〇Backup-c命令用于進行完整備份Backup-p命令用于進行增量備份Backup-f命令備份由file指定的文件Backup-d命令當備份設備為磁帶時使用此選項UNIX工具（實用程序,utilities）在新建文件的時候,通常使用ー17.B作為缺省許可位,而在新建程序的時候,通常使用作為缺省許可位。A.555666B.666777C.777888D.888999保障UNIX/Linux系統帳號安全最為關鍵的措施是18.A〇A,文件/etc/passwd和/etc/group必須有寫保護B.刪除/etc/passwd、/etc/groupC.設置足夠強度的帳號密碼D.使用shadow密碼.UNIX/Linux系統中,下列命令可以將普通帳號變為root帳號的疋 19.D〇chmod命令/bin/passwd命令chgrp命令/bin/su命令.有編輯/etc/passwd文件能力的攻擊者可以通過把UID變為20.B就可以成為特權用戶。A.-l012.下面不是保護數據庫安全涉及到的任務是_2LC〇A.確保數據不能被未經過授權的用戶執行存取操作B.防止未經過授權的人員刪除和修改數據C.向數據庫系統開發商索要源代碼,做代碼級檢查D,監視對數據的訪問和更改等使用情況.下面不是數據庫的基本安全機制的是22.D〇A.用戶認證B.用戶授權C.審計功能D.電磁屏蔽23.關于用戶角色,下面說法正確的是ー23.B。A.SQLServer中,數據訪問權限只能賦予角色,而不能直接賦予用戶B.角色與身份認證無關C.角色與訪問控制無關D.角色與用戶之間是ー對ー的映射關系24.下面原則是DBMS對于用戶的訪問存取控制的基本原則的是ー24.AA.隔離原則B,多層控制原則C.唯一性原則D.自主原則25.下面對于數據庫視圖的描述正確的是 25.B。A.數據庫視圖也是物理存儲的表B.可通過視圖訪問的數據不作為獨特的對象存儲,數據庫內實際存儲的是SELECT語句C.數據庫視圖也可以使用UPDATE或DELETE語句生成D.對數據庫視圖只能査詢數據,不能修改數據26.有關數據庫加密,下面說法不正確的是ー26.C〇A.索引字段不能加密B.關系運算的比較字段不能加密C.字符串字段不能加密D.表間的連接碼字段不能加密27.下面不是Oracle數據庫提供的審計形式的是ー27.Aー。A.備份審計B.語句審計C.特權審計D.模式對象設計.下面不是SQLServer支持的身份認證方式的是28.D〇WindowsNT集成認證SQLServer認證SQLServer混合認證D.生物認證.下面不包含在MySQL數據庫系統中。29.BA.數據庫管理系統，即DBMS密鑰管理系統C.關系型數據庫管理系統,即RDBMSD.開放源碼數據庫30.下面不是事務的特性的是ー30.A〇A.完整性B.原子性C.一致性D,隔離性31.下面不是Oracle數據庫支持的備份形式的是ー31.B.A,冷備份B.溫備份C.熱備份D.邏輯備份三、多選題.操作系統的基本功能有 ABCD。A.處理器管理B.存儲管理C.文件管理D.設備管理.通用操作系統必需的安全性功能有 ABCD。A.用戶認證.文件和1/0設備的訪問控制C.內部進程間通信的同步D.作業管理根據SaltzerJ.H、SchroederM.D的要求，設計安全操作系統應遵循的原則有ABCD。A.最小特權B.操作系統中保護機制的經濟性C,開放設計D.特權分離Windows系統中的用戶組包括ABC〇A.全局組B.本地組C.特殊組D.標準組Windows系統登錄流程中使用的系統安全模塊有_ABCー。A?安全帳號管理(SecurityAccountManager,簡稱SAM)模塊B.Windows系統的注冊(WinLogon)模塊C本地安全認證(LocalSecurityAuthority,簡稱LSA)模塊D.安全引用監控器模塊6.域內置全局組安全控制非常重要,這些組只出現在域控制器中,包括ABD.A.DomainAdmins組B.DomainUsers組C.DomainReplicators組D.DomainGuests組Windows系統屮的審計日志包括—ABC〇A.系統日志(SystemLog)安全日志(SecurityLog)C.應用程序日志(App1icationsLog)D.用戶日志(UserLog)8?組成UNIX系統結構的層次有一8.ACD_〇A.用戶層B.驅動層C.硬件層D.內核層UNIX/Linux系統中的密碼控制信息保存在/etc/passwd或/ect/shadow文件中,信息包含的內容有一9,BCD〇A.最近使用過的密碼B,用戶可以再次改變其密碼必須經過的最小周期C,密碼最近的改變時間D,密碼有效的最大天數UNIX/Linux系統中的Apcache服務器的主要安全缺陷表現在攻擊者可以10.ABC_〇A.利用HTTP協議進行的拒絕服務攻擊B,發動緩沖區溢出攻擊C.獲得root權限D,利用MDAC組件存在ー個漏洞,可以導致攻擊者遠程執行目標系統的命令數據庫訪問控制的粒度可能有11.ABCD_。A,數據庫級B.表級C.記錄級（行級）D.屬性級（字段級）E,字符級下面標準可用于評估數據庫的安全級別的有一12.ABCDE〇A.TCSECB.ITSECC.CCDBMS.PPD.GB17859—1999E.TDIOracle數據庫的審計類型有一13.ACD。A.語句審計B.系統進程審計C.特權審計D.模式對象設計E.外部對象審計SQLServer中的預定義服務器角色有一14.ABCDEsysadminB.serveradminC.setupadminD.securityadminE.processadmin.可以有效限制SQL注入攻擊的措施有一広BCDEー。A.限制DBMS中sysadmin用戶的數量B.在Web應用程序屮,不以管理員帳號連接數據庫C.去掉數據庫不需要的函數、存儲過程D.對于輸入的字符串型參數,使用轉義E,將數據庫服務器與互聯網物理隔斷.事務的特性有16.ABCE。A.原子性(Atomicity)一致性(Consistency)C.隔離性(Isolation)D.可生存性(Survivability)E.持續性(Durability)17,數據庫故障可能有一17.ABCDE。A.磁盤故障B,事務內部的故障C.系統故障D.介質故障E.計算機病毒或惡意攻擊四、問答題.簡要敘述Windows系統的用戶登錄流程。答:Windows系統的用戶登錄流程就是由若干安全功能子模塊默契配合的過程。登錄開始時,Windows系統的注冊(winlogon)模塊產生winlogon進程,顯示安全性交互對話框，要求用戶輸入用戶名、密碼、服務器/域名。如果用戶信息有效,系統便開始確認用戶身份。Windows系統將用戶信息通過安全系統傳輸到SAM,并對用戶身份進行確認。安全帳號管理器把用戶的登錄信息與服務器里的安全帳號管理數據庫進行比較,如果兩者匹配，服務器將通知工作站允許用戶進行訪問。winlogon進程將調用Win32子系統,Win32子系統為用戶產生一個新的進程。緊接著，LSA開始構建訪問令牌(AccessTokens),與用戶進行的所有操作相連,用戶進行的操作與訪問令牌ー起構成一個主體。當用戶要求訪問ー個對象時,主體的訪問令牌的內容將與對象的存取控制列表通過ー個有效性訪問程序進行比較，這個程序將決定接受或拒絕用戶的訪問要求。.什么是本地用戶組?什么是域用戶組?它們之間是什么關系?答:簡單地說，本地用戶組是具有相同權限的本地用戶帳號的集合,域用戶組是具有相同權限的域用戶帳號的集合,它們都是Windows系統中用戶組概念的具體延伸，但它們之間沒有交叉關系。Windows系統的用戶組分為全局組、本地組和特殊組。其中除去本地組中的一部分被認為是本地用戶組外,其他主要是在域環境下使用的，都是域用戶組。KLM3KKG23.保障HS安全的主要方式有哪幾種?分別簡要說明。答：保障IIS安全的主要方式有以下幾種：(1)利用NTFS與IIS相結合的權限管理方式限制“匿名中eb訪問者的權限。 由于口S與Windows系統完全集成在ー起,因此,可以利用NTFS文件系統取得權限管理,同時,HS本身還有一類組權限,可以與NTFS權限協同工作。(2)禁用所有不必要的服務(Web開放服務以外),并關閉相應端口。 針對IIS的安全特性,只需要根據所需要開放的Web服務，開放一定數目的端口,關閉不必要的服務。(3)保護Web站點主目錄wwwroot。 在默認設置下,IIS將其wwwroot目錄放在操作系統冃錄下的、Inetpub冃錄中。如果Web站點不在Inetpub中，ー些簡單的病毒軟件可能無法發現。因此,移動文檔目錄的根目錄能夠提供少量的保護。(4)刪除IIS安裝中的額外目錄。IIS自帶了一系列示例文件和額外目錄，很多是有用的，但也帶來了安全漏洞。例如,打開控制面板ー添加/刪除程序ー“Windows組件”一Internet信息服務(IIS)—詳細信息，其中的FrontPage2000服務器擴展，如果不使用基于FrontPage的Web開放,建議刪除此擴展。另外可以刪除的IIS文件還有:HS管理單元中名為Printers和!lSSample的文件夾。假如不需要連接數據庫連接器,還可以刪除MSADC文件夾。 如果用戶不需要提供Web服務,建議干脆刪除涉及IIS的服務(如HS,InternetlnformationService等)〇Linux系統的安全性與Windows系統的安全性相比較是否有優勢?如果有，為什么會有這種優勢?答:一般認為，Linux系統與Windows系統相比，安全方面具有優勢，造成這種優勢的主要原因有以下幾個方面：(1)Linux的開源軟件開發方式更容易暴露錯誤,這是Windows不具備的優勢。Windows的許多應用程序依靠遠程程序調用，面Linux則限制使用遠程程序調用。(3)某些第三方Windows應用軟件中經常需要管理員的權限才能正確運行軟件。因此,這些軟件發起的病毒攻擊的破壞性極大。而Linux應用軟件通常都要遵守這個安全要求,因此,很少被攻擊者利用。Windows具有易學易用性，同時需要兼容不安全的老版本的軟件。這些對于系統安全也是一個不利的因素，這個缺點是Linux所沒有的。一般UNIX/Linux系統的密碼文件存放在/etc/passwd文件中,文件中的條目格式 為username:encryptedpassword:userID:groupID:IDstring:homedirectory:loginshell,其中各字段分別代表了什么含義?答:字段username指的是用戶名;字段encryptedpassword指的是加密后的密碼:字段userID(UID)指的是用戶的ID;字段groupID(GID)指的是組的ID;字段IDstring指的是用戶的全名;最后兩個字段指的是用戶的主目錄和成功登錄后可用的Shell。Linux系統提供了哪些査看進程信息的系統調用?分別簡單說明它們命令的功能。答;Linux系統提供了who、w、ps和top等查看進程信息的系統調用，結合使用這些系統調用,用戶可以清晰地了解進程的運行狀態以及存活情況,從而采取相應的措施來確保Linux系統的安全。下面逐一說明以上幾種命令的功能:who命令:該命令主要用于查看當前在線上的用戶情況,系統管理員可以使用who命令監視每個登錄的用戶此時此刻的所作所為。(2)w命令;該命令也用于顯示登錄到系統的用戶情況,但是與who命令不同的是，w命令功能更加強大,它不但可以顯示有誰登錄到系統，還可以顯示出這些用戶當前正在進行的工作，w命令是who命令的ー個增強版。(3)ps命令;該命令是最基本的同時也是非常強大的進程查看命令,利用它可以確定有哪些進程正在運行及運行的狀態、進程是否結束、進程有沒有僵死、哪些進程占用了過多的資源等。top命令;top命令和ps命令的基本作用是相同的，即顯示系統當前的進程及其狀態。.試解釋SQL注入攻擊的原理，以及對數據庫可能產生的不利影響。答;SQL注入攻擊的原理是從客戶端提交特殊的代碼，Web應用程序如果沒做嚴格檢查就將其形成SQL命令發送給數據庫，從數據庫的返回信息中,攻擊者可以獲得程序及服務器的信息,從而進ー步獲得其他資料。SQL注入攻擊可以獲取Web應用程序和數據庫系統的信息,還可以通過SQL注入攻擊竊取敏感數據、篡改數據、破壞數據,甚至以數據庫系統為橋梁進ー步入侵服務器操作系統,從而帶來更為巨大的破壞。.對比Oracle數據庫和MSSQLServer數據庫的身份認證機制的異同。答:Oracle的身份認證有兩種方式:外部身份認證和DBMS認證。外部身份認證指的是使用OracleDBMS以外的系統對用戶身份/以認證,OracleDBMS信任這種認證的結果。這里的外部系統通常指的是操作系統。這種認證方式的好處在于：無需輸入帳號、口令,從而避免了口令信息因傳輸、存儲不當而引發泄露。DBMS認證則是傳統的帳號、口令方式的認證。OracleDBMS在系統表空間中保存已有用戶的帳號、ロ令等信息,并以此為依據認證用戶的身份。SQLServer的身份認證機制與Oracle有顯著區別。它引入了“登錄ID”的概念,將登錄身份和具體的用戶身份剝離開來，從而使從登錄到訪問數據,要經過兩次身份認證。第一次身份認證是在登錄時，在DBMS身份認證模式下，訪問者必須提供ー個有效的登錄ID和口令才能繼續向前:第二次身份認證是當訪問者通過上述驗證后,登錄ID必須與冃標數據庫里的某個用戶ID相聯系,オ可以相應地擁有對數據庫的操作權限。.試解釋數據庫恢復的兩種實現技術,并分別說明它們的用途。答:恢復機制涉及兩個關鍵問題:如何建立冗余數據和如何利用這些冗余數據實施數據庫恢復。建立冗余數據最常用的技術有兩種：第一種是數據備份，即將數據庫中的各種數據備份到其他物理或邏輯設備上，當發生故障時,將備份的數據恢復到數據庫中;第二種是日志文件,即記錄事務對數據庫的更新操作。第六章網絡安全ー、判斷題.防火墻是設置在內部網絡與外部網絡(如互聯網)之間，實施訪問控制策略的ー個或ー組系統。(獣.組成自適應代理網關防火墻的基本要素有兩個:自適應代理服務器(AdaptiveProxyServer)與動態包過濾器(DynamicPacketFilter)。近.軟件防火墻就是指個人防火墻。錯.網絡地址端口轉換（NAPT）把內部地址映射到外部網絡的一個IP地址的不同端口上。近.防火墻提供的透明工作模式,是指防火墻工作在數據鏈路層,類似于ー個網橋。因此,不需要用戶對網絡的拓撲做出任何調整就可以把防火墻接入網絡。度.防火墻安全策略一旦設定，就不能在再做任何改變。空.對于防火墻的管理可直接通過Telnet進行。錯.防火墻規則集的內容決定了防火墻的真正功能。友.防火墻必須要提供VPN、NAT等功能。錯.防火墻對用戶只能通過用戶名和口令進行認證。錯.即使在企業環境中，個人防火墻作為企業縱深防御的一部分也是十分必要的。置.只要使用了防火墻，企業的網絡安全就有了絕對的保障。費.防火墻規則集應該盡可能的簡單，規則集越簡單,錯誤配置的可能性就越小,系統就越安全。史iptables可配置具有狀態包過濾機制的防火墻。皮.可以將外部可訪問的服務器放置在內部保護網絡中。筐.在一個有多個防火墻存在的環境中，每個連接兩個防火墻的計算機或網絡都是DMZ。對.入侵檢測技術是用于檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的ー種網絡安全技術。立.主動響應和被動響應是相互對立的，不能同時采用。量.異常入侵檢測的前提條件是入侵性活動集作為異常活動集的子集,而理想狀況是異常活動集與入侵性活動集相等。發.針對入侵者采取措施是主動響應中最好的響應措施。鐐.Snort是遵循GNU通用公共許可證GPL的基于網絡的入侵檢測系統。咫.在早期大多數的入侵檢測系統中，入侵響應都屬于被動響應。對.性能“瓶頸”是當前入侵防御系統面臨的ー個挑戰。咫.漏報率,是指系統把正常行為作為入侵攻擊而進行報警的概率。錯.與入侵檢測系統不同,入侵防御系統采用在線（inline）方式運行。壁.蜜罐技術是ー種被動響應措施。鐐.企業應考慮綜合使用基于網絡的入侵檢測系統和基于主機的入侵檢測系統來保護企業網絡。在進行分階段部署時,首先部署基于網絡的入侵檢測系統,因為它通常最容易安裝和維護,接下來部署基于主機的入侵檢測系統來保護至關重要的服務器。型.入侵檢測系統可以彌補企業安全防御系統中的安全缺陷和漏洞。錯.使用誤用檢測技術的入侵檢測系統很難檢測到新的攻擊行為和原有攻擊行為的變種。皮.在早期用集線器（hub）作為連接設備的網絡中使用的基于網絡的入侵檢測系統，在交換網絡中不做任何改變，-ー樣可以用來監聽整個子網。錯.可以通過技術手段，一次性彌補所有的安全漏洞。錯.漏洞只可能存在于操作系統中,數據庫等其他軟件系統不會存在漏洞。發.防火墻中不可能存在漏洞。鑽.基于主機的漏洞扌［描不需要有主機的管理員權限。錯.半連接掃描也需要完成TCP協議的三次握手過程。錯.使用漏洞庫匹配的方法進行掃描，可以發現所有的漏洞。錯.所有的漏洞都是可以通過打補丁來彌補的。錯.通過網絡掃描，可以判斷目標主機的操作系統類型。置.x-scan能夠進行端口掃描。龍.隔離網閘采用的是物理隔離技術。近.“安全通道隔離”是一種邏輯隔離。錯.隔離網閘兩端的網絡之間不存在物理連接。對.QQ是與朋友聯機聊天的好工具,不必擔心病毒。錯.在計算機上安裝防病毒軟件之后,就不必擔心計算機受到病毒攻擊。鐐.計算機病毒可能在用戶打開“txビ文件時被啟動。史.在安全模式下木馬程序不能啟動。錯.特征代碼技術是檢測已知計算機病毒的最簡單、代價最小的技術。對.家里的計算機沒有聯網,所以不會感染病毒。變.計算機病毒的傳播離不開人的參與,遵循一定的準則就可以避免感染病毒。筐.校驗和技術只能檢測已知的計算機病毒。錯.采用Rootkit技術的病毒可以運行在內核模式中。龍.企業內部只需在網關和各服務器上安裝防病毒軟件，客戶端不需要安裝。錯.大部分惡意網站所攜帶的病毒就是腳本病毒。置.利用互聯網傳播已經成為了計算機病毒傳播的ー個發展趨勢。友二、單選題1.防火墻是1.B在網絡環境中的應用。A.字符串匹配B.訪問控制技術C.入侵檢測技術D.防病毒技術2.iptables中默認的表名是2.A。A.filterB.firewallC.natD.mangle3.包過濾防火墻工作在OSI網絡參考模型的 3.C。A.物理層B.數據鏈路層C.網絡層D.應用層.通過添加規則,允許通往的SSH連接通過防火蠟的iptables指令是 4.CA.iptables-FINPUT-dl-ptcp-dport22-jACCEPTB.iptables-AINPUT-d-ptcp-dport23-jACCEPTC.iptables-AFORWARD-dl-ptcp-dport22-jACCEPTD.iptables-AFORWARD-dl-ptcp-dport23-jACCEPT.防火墻提供的接入模式不包括5.D 。A.網關模式B.透明模式C.混合模式D.旁路接入模式.關于包過濾防火堵說法錯誤的是 6.C〇A.包過濾防火墻通常根據數據包源地址、目的地址、端口號和協議類型等標志設置訪問控制列表實施對數據包的過濾B.包過濾防火墻不檢查OSI網絡參考模型中網絡層以上的數據,因此可以很快地執行C.包過濾防火墻可以有效防止利用應用程序漏洞進行的攻擊D.由于要求邏輯的?致性、封堵端口的有效性和規則集的正確性,給過濾規則的制定和配置帶來了復雜性,--般操作人員難以勝任管理，容易出現錯誤.關于應用代理網關防火墻說法正確的是7.B〇A.基于軟件的應用代理網關工作在OSI網絡參考模型的網絡層上,它采用應用協議代理服務的エ作方式實施安全策略.ー種服務需要一種代理模塊，擴展服務較難C.和包過濾防火墻相比，應用代理網關防火墻的處理速度更快D.不支持對用戶身份進行高級認證機制。一般只能依據包頭信息，因此很容易受到“地址欺騙型”攻擊.關于NAT說法錯誤的是8.D〇A.NAT允許一個機構專用Intranet中的主機透明地連接到公共域中的キ:機，無需內部主機擁有注冊的（已經越來越缺乏的）全局互聯網地址B.靜態NAT是設置起來最簡單和最容易實現的一種地址轉換方式,內部網絡中的毎個主機都被永久映射成外部網絡中的某個合法的地址C.動態NAT主要應用于撥號和頻繁的遠程連接，當遠程用戶連接上之后，動態NAT就會分配給用戶ー個IP地址,當用戶斷開時，這個IP地址就會被釋放而留待以后使用D.動態NAT又叫做網絡地址端口轉換NAPT下面關于防火墻策略說法正確的是9.CA.在創建防火墻策略以前,不需要對企業那些必不可少的應用軟件執行風險分析B.防火墻安全策略一旦設定,就不能在再作任何改變C.防火墻處理入站通信的缺省策略應該是阻止所有的包和連接,除了被指出的允許通過的通信類型和連接D.防火墻規則集與防火墻平臺體系結構無關.下面關于DMZ區的說法錯誤的是10.C.A.通常DMZ包含允許來自互聯網的通信可進入的設備，如Web服務器、FTP服務器、SMTP服務器和DNS服務器等B.內部網絡可以無限制地訪問外部網絡以及DMZC.DMZ可以訪問內部網絡D.有兩個DMZ的防火墻環境的典型策略是主防火墻采用NAT方式工作,而內部防火墻采用透明模式工作以減少內部網絡結構的復雜程度.在PDRR模型中，11.B 是靜態防護轉化為動態的關鍵,是動態響應的依據。A.防護B.檢測C.響應D.恢復.從系統結構上來看，入侵檢測系統可以不包括12.CA.數據源B.分析引擎C.審計D.響應13.通用入侵檢測框架（CIDF）模型中，13.A 的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。A.事件產生器B.事件分析器C.事件數據庫D.響應單元14.基于網絡的入侵檢測系統的信息源是14.DA.系統的審計日志B.系統的行為數據C.應用程序的事務日志文件D.網絡中的數據包15.誤用入侵檢測技術的核心問題是15.C的建立以及后期的維護和更新。A.異常模型B.規則集處理引擎C.網絡攻擊特征庫D.審計日志.16.A 是在蜜罐技術上逐步發展起來的一個新的概念,在其中可以部署ー個或者多個蜜罐,來構成一個黑客誘捕網絡體系架構。A.蜜網B.鳥餌C.鳥巢D.玻璃魚缸.nort作為基于網絡的入侵檢測系統使用時,使用的選項是ー17.D_。a.-vb.-lc.-hd.-c.下列關于Snort的說法錯誤的是ー18.C_：a.安裝Snort前，用戶首先需要安裝相應的數據包捕獲庫。b.Snort支持以下三種工作模式:嗅探器、數據包記錄器和基于網絡的入侵檢測系統。c.Snort的有效性與用戶創建的入侵檢測規則無關。d.Snort中的規則都寫在ー個單行上，或者在多行之間的行尾用“/”分隔。.下面關于響應的說法正確的是 19.D?A.主動響應和被動響應是相互對立的，不能同時采用B.被動響應是入侵檢測系統中的唯一響應方式C入侵檢測系統提供的警報方式只能是顯示在屏幕上的警告信息或窗口D.主動響應的方式可以是自動發送郵件給入侵發起方的系統管理員請求協助以識別問題和處理問題.下面說法錯誤的是20.C。A.由于基于主機的入侵檢測系統可以監視ー個主機上發生的全部事件,它們能夠檢測基于網絡的入侵檢測系統不能檢測的攻擊B.基于主機的入侵檢測可以運行在交換網絡中C.基于主機的入侵檢測系統可以檢測針對網絡中所有主機的網絡扌I描D.基于應用的入侵檢測系統比起基于主機的入侵檢測系統更容易受到攻擊,因為應用程序日志并不像操作系統審計追蹤日志那樣被很好地保護.使用漏洞庫匹配的掃描方法,能發現21.B。A.未知的漏洞B.已知的漏洞C.自行設計的軟件中的漏洞D.所有漏洞.下面22.D 不可能存在于基于網絡的漏洞掃描器中。A.漏洞數據庫模塊B.掃描引擎模塊C.當前活動的掃描知識庫模塊D.阻斷規則設置模塊.網絡隔離技術,根據公認的說法,迄今已經發展了23.B 個階段。A.六B.五C?四D.三.下面關于隔離網閘的說法,正確的是24.C ?A.能夠發現已知的數據庫漏洞B.可以通過協議代理的方法,穿透網閘的安全控制C.任何時刻，網閘兩端的網絡之間不存在物理連接D.在OSI的二層以上發揮作用.關于網閘的工作原理，下面說法錯誤的是25.C〇A.切斷網絡之間的通用協議連接B.將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼扌I描等C.網閘工作在OSI模型的二層以上D.任何時刻,網閘兩端的網絡之間不存在物理連接.當您收到您認識的人發來的電子郵件并發現其中有意外附件，您應該26.C。A.打開附件,然后將它保存到硬盤B.打開附件,但是如果它有病毒,立即關閉它C.用防病毒軟件掃描以后再打開附件D.直接刪除該郵件.下面病毒出現的時間最晚的類型是27.B〇A.攜帶特洛伊木馬的病毒B.以網絡釣魚為目的的病毒C.通過網絡傳播的蠕蟲病毒0.Office文檔攜帶的宏病毒.某病毒利用RPCDCOM緩沖區溢出漏洞進行傳播,病毒運行后，在％System%文件夾下生成自身的拷貝nvchip4.exe,添加注冊表項，使得自身能夠在系統啟動時自動運行。通過以上描述可以判斷這種病毒的類型為28.C0A.文件型病毒B.宏病毒C.網絡蠕蟲病毒D.特洛伊木馬病毒.采用“進程注入”可以 29.C?A.隱藏進程B.隱藏網絡端口C.以其他程序的名義連接網絡D.以上都正確.下列關于啟發式病毒掃描技術的描述中錯誤的是 30.C〇A.啟發式病毒掃描技術是基于人工智能領域的啟發式搜索技術B.啟發式病毒掃描技術不依賴于特征代碼來識別計算機病毒C.啟發式病毒掃描技術不會產生誤報,但可能會產生漏報D.啟發式病毒掃描技術能夠發現ー些應用了已有機制或行為方式的病毒.不能防止計算機感染病毒的措施是31.A〇A.定時備份重要文件B.經常更新操作系統C.除非確切知道附件內容,否則不要打開電子郵件附件D.重要部門的計算機盡量專機專用與外界隔絕32.企業在選擇防病毒產品時不應該考慮的指標為 32.D。A.產品能夠從ー個中央位置進行遠程安裝、升級B.產品的誤報、漏報率較低C.產品提供詳細的病毒活動記錄D.產品能夠防止企業機密信息通過郵件被傳出.防火墻通常阻止的數據包包括1.ABDE〇A.來自未授權的源地址且目的地址為防火墻地址的所有入站數據包（除Emai!傳遞等特殊用處的端口外）B.源地址是內部網絡地址的所有入站數據包C.所有ICMP類型的入站數據包D.來自未授權的源地址,包含SNMP的所有入站數據包E.包含源路由的所有入站和出站數據包.目前市場上主流防火墻提供的功能包括2.ABCDE。A.數據包狀態檢測過濾B.應用代理C.NATD.VPNE.日志分析和流量統計分析.防火墻的局限性包括3.ACD。A.防火墻不能防御繞過了它的攻擊B.防火墻不能消除來自內部的威脅C.防火墻不能對用戶進行強身份認證D.防火墻不能阻止病毒感染過的程序和文件進出網絡.防火墻的性能的評價方面包括4.ABCD?A.并發會話數B.吞吐量C.延時D.平均無故障時間.下面關于防火墻的維護和策略制定說法正確的是5.ABCD.A.所有防火墻管理功能應該發生在使用了強認證和加密的安全鏈路上B.Web界面可以通過SSL加密用戶名和密碼。非Web的圖形界面如果既沒有內部加密,也沒有SSL,可以使用隧道解決方案，如SSHC.對防火墻策略進行驗證的最簡單的方法是,獲得防火墻配置的拷貝,然后把這些拷貝和根據已定義的策略產生的期望配置進行比較D.對防火墻策略進行驗證的另ー種方式通過使用軟件對防火墻配置進行實際測試E.滲透分析可以取代傳統的審計程序.蜜罐技術的主要優點有6.BCD 。A.蜜罐技術屬于被動響應,使用者沒有成為刑事訴訟或民事訴訟對象的危險B.收集數據的真實性,蜜罐不提供任何實際的業務服務,所以搜集到的信息很大可能性都是由于黑客攻擊造成的,漏報率和誤報率都比較低C.可以收集新的攻擊工具和攻擊方法,不像目前的大部分防火墻和入侵檢測系統只能根據特征匹配方法來檢測一知的攻擊D.不需要強大的資金投入,可以用ー些低成本的設備E.可以及時地阻斷網絡入侵行為.通用入侵檢測框架（CIDF）模型的組件包括7.ACDE〇A.事件產生器.活動輪廓C.事件分析器D.事件數據庫E.響應單元.主動響應，是指基于ー個檢測到的入侵所采取的措施。對于主動響應來說，其選擇的措施可以歸入的類別有8.ABC。A.針對入侵者采取措施B.修正系統C.收集更詳細的信息D.入侵追蹤.隨著交換機的大量使用，基于網絡的入侵檢測系統面臨著無法接收數據的問題。由于交換機不支持共享媒質的模式，傳統的采用一個嗅探器（sniffer）來監聽整個子網的辦法不再可行。可選擇解決的辦法有9.BCDE。A.不需要修改，交換網絡和以前共享媒質模式的網絡沒有任何區別B.使用交換機的核心芯片上的ー個調試的端口C.把入侵檢測系統放在交換機內部或防火墻等數據流的關鍵入口、出口處D.采用分接器（tap）E.使用以透明網橋模式接入的入侵檢測系統.入侵防御技術面臨的挑戰主要包括10.BCD〇A.不能對入侵活動和攻擊性網絡通信進行攔截B.單點故障C.性能“瓶頸D.誤報和漏報.網絡安全掃描能夠H.ABCDE.A.發現目標主機或網絡B.判斷操作系統類型C.確認開放的端口D.識別網絡的拓撲結構E.測試系統是否存在安全漏洞.主機型漏洞掃描器可能具備的功能有12.ABCDE〇A.重要資料鎖定:利用安全的校驗和機制來監控重要的主機資料或程序的完整性B.弱ロ令檢查:采用結合系統信息、字典和詞匯組合等的規則來檢查弱口令C.系統日志