2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）试卷号51

住在富人区的她2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

在信息系统安全设计中，保证“信息及时且可靠地被访问和使用”是为了达到保障信息系统（

）的目标。

问题1选项

A.可用性

B.保密性

C.可控性

D.完整性

【答案】A

【解析】本题考查信息安全设计目标方面的基础知识。

机密性是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

完整性是指网络信息或系统未经授权不能进行更改的特性。

可用性是指合法许可的用户能够及时获取网络信息或服务的特性。

抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。

答案选A。

2.单选题

涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行（

）检测认证制度。

问题1选项

A.备案式

B.自愿式

C.鼓励式

D.强制性

【答案】D

【解析】本题考查网络安全法律法规方面的基础知识。

密码法按照“放管服”改革要求，取消了商用密码管理条例设定的“商用密码产品品种和型号审批”，改为对特定商用密码产品实行强制性检测认证制度。

答案选D。

3.单选题

一个密码系统至少由明文、密文、加密算法、解密算法和密钥五个部分组成，而其安全性是由（

）决定的。

问题1选项

A.加密算法

B.解密算法

C.加解密算法

D.密钥

【答案】D

【解析】本题考查密码系统组成原则的基础知识。

一个密码系统至少由明文、密文、加密算法、解密算法和密钥五个部分组成，而在密码系统的设计中，有一条很重要的原则就是Kerckhoff原则，也就是密码系统的安全性只依赖于密钥。

答案选D。

4.单选题

雪崩效应指明文或密钥的少量变化会引起密文的很大变化。下列密码算法中不具有雪崩效应的是（

）。

问题1选项

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本题考查密码设计雪崩效应方面的基础知识。

雪崩效应是指当输入发生最微小的改变（例如，反转一个二进制位）时，也会导致输出的不可区分性改变（输出中每个二进制位有50%的概率发生反转）；雪崩效应通常发生在块密码和加密散列函数中，RSA为公钥密码。

答案选D。

5.单选题

等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是（

）。

问题1选项

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息系统中发生的信息安全事件按照等级进行响应和处置

D.对信息安全从业人员实行按等级管理，对信息安全违法行为实行按等级惩处

【答案】D

【解析】本题考查等级保护制度的基础知识。

国家通过制定统一的信息安全等级保护管理规范和技术指标，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。因此等级保护制度是对信息进行分级管理，并没有对人员进行按等级管理，包括违法行为也是一样的。故本题选D。

点播：信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

6.单选题

（

）能有效防止重放攻击。

问题1选项

A.签名机制

B.时间戳机制

C.加密机制

D.压缩机制

【答案】B

【解析】本题考查重放攻击相关知识。

签名机制：作为保障信息安全的手段之一，主要用于解决伪造、抵赖、冒充和篡改问题。

加密机制：保密通信、计算机密钥、防复制软盘等都属于加密技术，加密主要是防止重要信息被一些怀有不良用心的人窃听或者破坏。

压缩机制：压缩机制一般理解为压缩技术。变形器检测病毒体反汇编后的全部指令，可对进行压缩的一段指令进行同义压缩。一般用于使病毒体代码长度发生改变。提高恶意代码的伪装能力和防破译能力。

时间戳：主要目的在于通过一定的技术手段，对数据产生的时间进行认证，从而验证这段数据在产生后是否经过篡改。故时间戳机制可以有效防止重放攻击。

故本题选B。

点播：重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者或拦截并重发该数据的地方进行。攻击者利用网络监听或其他方式盗取认证凭据，之后再将它重新发送给认证服务器。

7.单选题

BS7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现（

）。

问题1选项

A.强化员工的信息安全意识，规范组织信息安全行为

B.对组织内关键信息资产的安全态势进行动态监测

C.促使管理层坚持贯彻信息安全保障体系

D.通过体系认证就表明体系符合标准，证明组织有能力保障重要信息

【答案】B

【解析】本题考查重要的信息安全管理体系和标准方面的基础知识。

BS7799标准是英国标准协会（BSI）制定的信息安全管理体系标准。它涵盖了几乎所有的安全议题，非常适合作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。但没有对组织内关键信息资产的安全态势进行动态监测。故本题选B。

点播：BS7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理手段，该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。

8.单选题

2018年10月，含有我国SM3杂凑算法的ISO/IEC10118-3:2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织（ISO）发布，SM3算法正式成为国际标准。SM3的杂凑值长度为（

）。

问题1选项

A.8字节

B.16字节

C.32字节

D.64字节

【答案】C

【解析】本题考查国产密码算法中的SM3算法。

SM3为杂凑算法，杂凑长度为256比特，也就是32字节，故本题选C。

点播：SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等，其算法公开。据国家密码管理局表示，其安全性及效率与SHA-256相当，其输出为256bit的杂凑值。

9.单选题

为了保护用户的隐私，需要了解用户所关注的隐私数据。当前，个人隐私信息分为一般属性、标识属性和敏感属性，以下属于敏感属性的是（

）。

问题1选项

A.姓名

B.年龄

C.肖像

D.财物收入

【答案】D

【解析】本题考查用户隐私方面的基础的知识。

敏感属性包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等。

答案选D。

10.单选题

防火墙的体系结构中，屏蔽子网体系结构主要由四个部分构成：周边网络、外部路由器、内部路由器和堡垒主机。其中被称为屏蔽子网体系结构第一道屏障的是（

）。

问题1选项

A.周边网络

B.外部路由器

C.内部路由器

D.堡垒主机

【答案】B

【解析】本题考查防火墙的屏蔽子网体系结构方面的基础知识。

外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。

答案选B。

11.案例题

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

密码学的基本目标是在有攻击者存在的环境下，保证通信双方（A和B）之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。

在以下描述中，M表示消息，H表示Hash函数，E表示加密算法，D表示解密算法，K表示密钥，SKA表示A的私钥，PKA表示A的公钥，SKB表示B的私钥，PKB表示B的公钥，||表示连接操作。

【问题1】（6分）

用户AB双方采用的保密通信的基本过程如图2-1所示。

请问图2-1所设计的保密通信模型能实现信息的哪些安全目标？图2-1中的用户A侧的H和E能否互换计算顺序？如果不能互换请说明原因：如果能互换请说明对安全目标的影响。

【问题2】（4分）

图2-2给出了另一种保密通信的基本过程：

请问图2-2设计的保密通信模型能实现信息安全的哪些特性？

【问题3】（5分）

为了在传输过程中能够保障信息的保密性、完整性和不可否认性，设计了一个安全通信模型结构如图2-3所示：

请问图2-3中（1），（2）分别应该填什么内容？

【答案】【问题1】

实现完整性。【解析】【问题1】解析

通过以上保密通信方式，接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道密钥K，所以他不知道如何对Ek[H（M）]作相应修改。这将使接收方计算出的H（M）将不等于接收到的H（M）。12.单选题

在PKI体系中，注册机构RA的功能不包括（

）。

问题1选项

A.签发证书

B.认证注册信息的合法性

C.批准证书的申请

D.批准撤销证书的申请

【答案】A

【解析】本题考查PKI的注册机构方面的基础知识。

签发证书是证书机构CA的功能，不属于注册机构RA的功能。像认证注册信息的合法性、批准证书的申请和批准撤销证书的申请都属于RA的功能。答案选A。

13.单选题

网络系统中针对海量数据的加密，通常不采用（

）方式。

问题1选项

A.会话加密

B.公钥加密

C.链路加密

D.端对端加密

【答案】B

【解析】本题考查公钥体制相关知识。

公钥加密加密算法复杂且加解密效率低，需要较大的计算量，一般只适用于少量数据的加密。故本题选B。

14.单选题

Bell-LaPadual模型（简称BLP模型）是最早的一种安全模型，也是最著名的多级安全策略模型，BLP模型的简单安全特性是指（

）。

问题1选项

A.不可上读

B.不可上写

C.不可下读

D.不可下写

【答案】A

【解析】本题考查BLP模型相关知识。

Bell-LaPadula模型（简称BLP模型）是D.ElliottBell和LeonardJ.LaPadula于1973年提出的对应于军事类型安全密级分类的计算机操作系统模型。BLP模型是最早的一种计算机多级安全模型，也是受到公认最著名的状态机模型。

BLP保密模型基于两种规则来保障数据的保密性与敏感度：

①简单安全特性：不可上读（主体不可读安全级别高于它的数据）。

②*特性：不可下写（主体不可写安全级别低于它的数据）。

故本题选A。

15.单选题

在PKI中，关于RA的功能，描述正确的是（

）。

问题1选项

A.RA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构

B.RA负责产生，分配并管理PKI结构下的所有用户的数字证书，把用户的公钥和用户的其他信息绑在一起，在网上验证用户的身份

C.RA负责证书废止列表CRL的登记和发布

D.RA负责证书申请者的信息录入，审核以及证书的发放等任务，同时，对发放的证书完成相应的管理功能

【答案】D

【解析】本题考查CA机构相关知识。

CA（CertificationAuthority）是一个可信赖的第三方认证机构，也是证书授权机构。主要负责证书的颁发、废止和更新。证书中含有实体名、公钥以及实体的其他身份信息。

RA（RegistrationAuthority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作（安全审计）。同时，对发放的证书完成相应的管理功能（安全管理）。

故本题选D。

16.单选题

分组密码常用的工作模式包括：电码本模式（ECB模式）、密码反馈模式（CFB模式），密码分组链接模式（CBC模式），输出反馈模式（OFB模式）。下图描述的是（

）模式（图中Pi表示明文分组，Ci表示密文分组）

问题1选项

A.ECB模式

B.CFB模式

C.CBC模式

D.OFB模式

【答案】B

【解析】本题考查分组密码操作模式相关知识。

分组加密算法中，有ECB，CBC，CFB，OFB这几种算法模式。

ECB（电子密本方式）其实非常简单，就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文，最后一段不足8个字节，按照需求补足8个字节进行计算，之后按照顺序将计算所得的数据连在一起即可，各段数据之间互不影响。

CBC（密文分组链接方式）有点麻烦，它的实现机制使加密的各段数据之间有了联系。不容易主动攻击，安全性好于ECB。

CFB（密文反馈模式）类似于CBC，可以将块密码变为自同步的流密码；工作过程亦非常相似，CFB的解密过程几乎就是颠倒的CBC的加密过程。

OFB（输出反馈模式）可以将块密码变成同步的流密码。它产生密钥流的块，然后将其与平文块进行异或，得到密文。与其他流密码一样，密文中一个位的翻转会使平文中同样位置的位也产生翻转。这种特性使得许多错误校正码，例如奇偶校验位，即使在加密前计算而在加密后进行校验也可以得出正确结果。（详见《信息安全工程师教程》第一版P108）

故本题选B。

17.案例题

阅读下列说明，回答问题1至问题6，将解答填入答题纸的对应栏内。

【说明】

Linux系统通常将用户名相关信息存放在/etc/passwd文件中，假如有/etc/passwd文件的部分内容如下，请回答相关问题。

【问题1】(2分)

口令字文件/etc/passwd是否允许任何用户访问?

【问题2】(2分)

根据上述/etc/passwd显示的内容，给出系统权限最低的用户名字。

【问题3】(2分)

在Linux中，/etc/passwd文件中每一行代表一个用户，每行记录又用冒号（：）分隔为7个字段，请问Linux操作系统是根据哪个字段来判断用户的?

【问题4】(3分)

根据上述/et/passwd显示的内容，请指出该系统中允许远程登录的用户名。

【问题5】(2分)

Linux系统把用户密码保存在影子文件中，请给出影子文件的完整路径及其名字。

【问题6】(3分)

如果使用1s-a1命令查看影子文件的详细信息，请给出数字形式表示的影子文件访问权限。

【答案】【问题1】

允许

【问题2】

user2

【问题3】

第三个字段或者UID字段

【问题4】

user1，user2，sync

【问题5】

/etc/shadow

【问题6】

640或者600或者400或者000

【解析】本题考查Linux系统身份认证和权限控制相关的知识点。

此类题目要求考生对常用的操作系统安全机制有清晰的理解，并对安全机制在操作系统中的具体实现及其使用能熟练掌握。题目围绕Linux系统的口令字文件/etc/passwd设置相关的考查点。

【问题1】

因为操作系统通常都允许每个用户修改自己的身份信息包括口令，如果用户无法访问/etc/passwd文件,则无法满足上述要求，因此任何用户都可以访问该文件。

【问题2】

Linux系统用户是根据用户ID来识别的，用户ID与用户名是一一对应的。用户ID取值范围是0~65535。0表示超级用户root,1~499表示系统用户，普通用户从500开始。用户ID由/etc/passwd文件每一行用冒号隔开的第三列表示，由此得知本题的user2的用户ID值为1000，属于普通用户，其权限最低。

【问题3】

Linux系统用户是根据用户ID(UserID，简称UID)来识别的。

【问题4】

在/etc/passwd的最后一列，可以看到有/usr/sbin/nologin或者为空，通常意味着该用户无法登录系统。因此，user1/user2/sync用户可以登录。

【问题5】

为了安全起见，用户口令通常保存在另外-一个文件中，文件路径和名字为：/etc/shadow。

【问题6】

上述影子文件不像etc/passwd文件，不是每个用户都可以访问的，否则每个人都能看到其他用户加密存储的口令字。该文件通常只能由root查看和修改，其他用户是没有任何访问权的。具体到不同的Linux类系统稍微有些不同，主要的访问权限有640或者600或者400或者000。

18.单选题

Symmetric-keycryptosystemsusethe（1）keyforencryptionanddecryptionofamessage,thoughamessageorgroupofmessagesmayhaveadifentkeythanothers.Asignificantdisadvantageofsymmetricciphersisthekeymanagementnecessarytousethemsecurely.Eachditinctpairofcommunicatingpartiesmust,ideally,shareadiferentkey,andperhapseachciphertextexchangedaswell.Thenumberofkeysrequiredincreasesasthesquareofthenumberofnetworkmembers,whichveryquicklyrequirescomplexkeymanagementschemestokeepthemallstraightandsecret.Thedificultyofsecurelyestablishingasecret（2）betweentwocommunicatingparties,whenasecurechanneldoesn'talreadyexistbetweenthem,alsopresentsachicken-and-eggproblemwhichisaconsiderablepracticalobstacleforcryptographyusersintherealworld.

WhitfieldDiffeandMartinHellman,authorsofthefrstpaperonpublic-keycryptography.

Inagroundbreaking1976paper,WhitfieldDifleandMartinHellmanproposedthenotionofpublic-key(also,moregenerally,calledasymmetrickey)cryptographyinwhichtwodifferentbutmathematicallyrelatedkeysareused-apublickeyandaprivatekey.Apublickeysystemissoconstructedthatcalculationofonekey(heprivatekey)iscomputationallyinfeasible（3）theother(thepubickey),eventhoughtheyarenecessarilyrelated.Instead,bothkeysaregeneratedsecretly,asaninterrelatedpair.ThehistorianDavidKahndescribedpublic-keycryptographyas"themostrevolutionarynewconceptinthefieldsincepoly-alphabeticsubstitutionemergedintheRenaissance".

Inpublic-keycryptosystems,the（4）keymaybefeelydistributed,whileitspairedprivatekeymustremainsecret.Thepublickeyistypicallyusedforencryption,whiletheprivateorsecretkeyisusedfordecryption.DifeandHllmanshowedthatpublic-keycryptographywaspossiblebypresentingtheDifit-Hellmankeyexchangeprotocol.

In1978,RonaldRivest,AdiShamir,andLenAdlemaninvented（5）,anotherpublic-keysystem.

In1997,itfinallybecamepubliclyknownthatasymmetrickeycryptographyhadbeeninventedbyJamesH.EllisatGCHQ,aBritishitelligenceorganization,andthat,intheearly1970s,boththeDiffie-HellmanandRSAalgorithmshadbeenpreviouslydeveloped(byMalcolmJ.WilliamsonandCliffordCocks,respectively).

问题1选项

A.different

B.same

C.public

D.private

问题2选项

A.plaintext

B.stream

C.ciphertext

D.key

问题3选项

A.from

B.in

C.to

D.of

问题4选项

A.public

B.private

C.symmetric

D.asymmetric

问题5选项

A.DES

B.AES

C.RSA

D.IDEA

【答案】第1题:B

第2题:D

第3题:A

第4题:A

第5题:C

【解析】第1题:

第2题:

第3题:

第4题:

第5题:对称密钥密码系统使用相同(same)的密钥对消息进行加密和解密，尽管一条消息或一组消息可能使用与其他消息不同的密钥。对称密码的一个显著缺点是为了安全使用必须进行密钥管理。理想情况下，每对不同的通信双方必须共享不同的密钥，或许每个密文也需要交换。随着网络成员的增加，需要的密钥数量以网络成员的平方倍增加，这很快就需要复杂的密钥管理方案来保持密钥的透明性和保密性。当通信双方之间不存在安全信道时，很难在它们之间安全地建立密钥(key)，这是一个先有鸡还是先有蛋的问题，对于现实世界中的密码学用户来说是一个相当大的实际困难。

WhitfieldDiffie和MartinHellman是公钥密码学方面第一篇论文的作者，在1976年的一篇开创性论文中，WhitfieldDifie和MartinHellman提出了公钥(也更普遍地称为非对称密钥)密码学的概念，其中使用了两个不同但数学上相关的密钥一公钥和私钥。在公钥系统中，虽然两个密钥是必须相关的，但从(from)公钥却无法计算出私钥。相反，这两个密钥都是秘密生成的，它们是相互关联的一对。历史学家DavidKahn将公钥密码学描述为“自文艺复兴时期多表代换出现以来，该领域最具有革命性的新概念”。

在公钥密码系统中，公钥(public)可自由分发，但与其对应的私钥必须保密。公钥常用于加密，而私钥或秘密密钥用于解密。Diffie和Hellman通过提出Difie-Hellman密钥交换协议证明了公钥密码学的可能性。

1978年，RonaldRivest、AdiShamir和LenAdleman创建了另一种公钥系统(RSA)。英国情报机构GCHQ的JamesH.Ellis早已发明非对称密钥密码学，并且在20世纪70年代初，Diffe-Hellman和RSA算法也已被发明(分别由MalcolmJ.Williamson和CliffordCocks发明)，但这些事件直到1997年才被大众所知。

19.单选题

网页木马是一种通过攻击浏览器或浏览器外挂程序的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段，为了要安全浏览网页，不应该（

）。

问题1选项

A.定期清理浏览器缓存和上网历史记录

B.禁止使用ActiveX控件和Java脚本

C.在他人计算机上使用“自动登录”和“记住密码”功能

D.定期清理浏览器Cookies

【答案】C

【解析】本题考查网页木马的防范。

网页木马是一种通过攻击浏览器或浏览器外挂程序的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。为了安全浏览网页，需要定期清理浏览器缓存和上网历史记录，禁止使用ActiveX控件和Java脚本，并定期清理浏览器Cookies。在非本人的计算机上可能有用户不知道的病毒或木马，当用户将账户的密码保存在本地后，很可能就会被不法分子盗取，造成严重损失。故本题选C。

点播：要实现安全浏览网页，最重要的是养成良好的上网习惯，这需要系统地学习信息安全相关知识，了解并学习病毒的原理、养成良好的防范意识。

20.单选题

以下关于网络流量监控的叙述中，不正确的是（

）。

问题1选项

A.网络流量监控分析的基础是协议行为解析技术

B.数据采集探针是专门用于获取网络链路流量数据的硬件设备

C.流量监控能够有效实现对敏感数据的过滤

D.流量监测中所监测的流量通常采集自主机节点、服务器、路由器接口、链路和路径等

【答案】C

【解析】本题考查网络流量监控相关知识。

流量监控指的是对数据流进行的监控。流量监控的内容：流量大小；吞吐量；带宽情况；时间计数；延迟情况；流量故障。不能过滤敏感数据。故本题选C。

21.单选题

以下关于虚拟专用网VPN描述错误的是（

）。

问题1选项

A.VPN不能在防火墙上实现

B.链路加密可以用来实现VPN

C.IP层加密可以用来实现VPN

D.VPN提供机密性保护

【答案】A

【解析】本题考查VPN相关知识。

VPN中文翻译为虚拟专用网，其基本技术原理是把需要经过公共网传递的报文加密处理后，再由公共网络发送到目的地。利用VPN技术能够在不信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性。VPN和防火墙有3方面的关系：VPN和防火墙都是属于网络安全设备；VPN设备可集成在防火墙设备内；VPN和防火墙的功能不同。故本题选A。

点播：VPN的安全服务有三种：保密性服务、完整性服务、认证服务。VPN多种实现技术可分为三种：链路层VPN、网络层VPN、传输层VPN。

22.案例题

阅读下列说明和表，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类：对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】（6分）

信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表示什么？

【问题2】（5分）

仿射密码是一种典型的对称密码算法。仿射密码体制的定义如下：

【答案】【问题1】

保密性、完整性和可用性。

【问题2】

（1）19

（2）TVZ

【问题3】

K1=21；K2=22

【解析】【问题1】

密码学的三大安全目标CIA分别表示：

（1）保密性：保密性是确保信息仅被合法用户访问，而不被泄漏给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

（2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

（3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。

【问题2】

（1）由K*K-1

≡1mod（26），将11代入式中，计算11*K^-1-1mod（26）=0；K^-1为19。（2）将SEC所对应的数字代入加密表达式可得：

（11*18+3）mod（26）=19=T；

（11*4+3）mod（26）=21=V；

（11*2+3）mod（26）=25=Z。

【问题3】

根据表中，明文E、T所对应的数字为4、19；密文C、F所对应的数字为2、5，代入加密表达式组成二元一次方程组：

（K1*4+K2）mod（26）=2；

（K1*19+K2）mod（26）=5；

求解方程组可得，K1=21；K2=22。

23.单选题

下面对国家秘密定级和范围的描述中，不符合《中华人民共和国保守国家秘密法》要求的是（

）。

问题1选项

A.对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案

B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围

C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定

D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定

【答案】A

【解析】本题考查《中华人民共和国保守国家秘密法》相关知识。

国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申请确定密级：（一）属于主管业务方面的事项，逐级报至国家保密工作部门审定的有权确定该事项密级的上级机关；（二）其他方面的事项，逐级报至有权确定该事项密级的保密工作部门。故本题选A。

点播：《中华人民共和国保守国家秘密法》于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过，2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订通过，现将修订后的《中华人民共和国保守国家秘密法》公布，自2010年10月1日起施行。旨在保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行。

24.单选题

Windows系统的用户管理配置中，有多项安全设置，其中密码和账户锁定安全选项设置属于（）。

问题1选项

A.本地策略

B.公钥策略

C.软件限制策略

D.账户策略

【答案】D

【解析】点播：在Windows操作系统中，账户策略包含三个子集：

（1）密码策略：对于域或本地用户账户，决定密码的设置，如强制性和期限。

（2）账户锁定策略：对于域或本地用户账户，决定系统锁定账户的时间，以及锁定谁的账户。

（3）Kerberos策略：对于域用户账户，决定与Kerberos有关的设置，如账户有效期和强制性。

25.单选题

域名系统DNS的功能是把Internet中的主机域名解析为对应的IP地址，目前顶级域名（TLD

）有国家顶级域名、国际顶级域名、通用顶级域名三大类。最早的顶级域名中，表示非营利组织域名的是（

）。

问题1选项

A.net

B.org

C.mil

D.biz

【答案】B

【解析】本题考查域名系统方面的基础知识。

COM：商业性的机构或公司

ORG：非盈利的组织、团体

GOV：政府部门

MIL：军事部门

EDU：教育机构

NET：从事Internet相关的的机构或公司

BIZ：网络商务向导，适用于商业公司

答案选B。

26.单选题

对于提高人员安全意识和安全操作技能来说，以下所列的安全管理方法最有效的是（

）。

问题1选项

A.安全检查

B.安全教育和安全培训

C.安全责任追究

D.安全制度约束

【答案】B

【解析】本题考查网络安全能力提升和安全意识的相关知识。

由于题目要求的是提高人员安全意识和安全操作技能，从安全管理角度来说，最有效的方法是进行安全教育和安全培训，其余三项皆是通过外力对人员进行相关约束。只有通过安全教育和安全培训，提高了人员自身的信息安全素养，才能实现最高效的“管理”。故本题选B。

点播：此类题型主要从提高自身信息安全素养方面进行考查。

27.单选题

恶意代码是指为达到恶意目的而专门设计的程序或者代码。常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。以下恶意代码中，属于宏病毒的是（

）。

问题1选项

A.Trojan.Bank

B.Macro.Melissa

C.Worm.Blaster.g

D.Trojan.huigezi.a

【答案】B

【解析】本题考查恶意代码方面的基础知识。

常见恶意代码前缀类型如下所示：

系统病毒Win32、Win95

网络蠕虫Worm

特洛伊木马程序Trojan

脚本病毒Script

宏病毒Macro

后门程序Backdoor

答案选B。

28.单选题

恶意代码是指为达到恶意目的而专门设计的程序或代码。恶意代码的一般命名格式为：..。以下恶意代码中，属于脚本病毒的是（

）。

问题1选项

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本题考查恶意代码相关知识。

恶意代码的英文是MaliciousCode，它是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。根据恶意代码的命名规则，脚本病毒的共有特性是脚本病毒的前缀是：Script，则属于脚本病毒的是Script.Redlof。

A为蠕虫病毒、B为木马病毒、C为破坏性病毒。

故本题选D。

点播：恶意代码是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，也包括故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。在访问因特网时，可以采取将要访问的Web站点按其可信度分配到浏览器不同安全区域的方式防止Web页面中恶意代码对自己计算机的损害。

29.单选题

无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。以下针对WSN安全问题的描述中，错误的是（

）。

问题1选项

A.通过频率切换可以有效抵御WSN物理层的电子干扰攻击

B.WSN链路层容易受到拒绝服务攻击

C.分组密码算法不适合在WSN中使用

D.虫洞攻击是针对WSN路由层的一种网络攻击形式

【答案】C

【解析】本题考查无线传感器网络WSN的相关知识。

WSN是一种节点资源受限的无线网络，其链路层安全策略的轻量化研究适合于各种应用环境的WSN系统，且效果显著。结合序列密码和分组密码各自的优势，提出了一种新型轻量的WSN链路层加密算法——TinySBSec，该协议采用的是对称分组密码。加密算法可以是RC5或是Skipjack算法。其加密算法的工作模式为CBC模式，是一种拥有反馈机制的工作模式。故本题选C。

点播：无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。WSN通过频率切换可以有效抵御WSN物理层的电子干扰攻击，链路层容易受到拒绝服务攻击，虫洞是针对WSN路由层的一种网络攻击形式。

30.单选题

以下关于BLP安全模型的表述中，错误的是（

）。

问题1选项

A.BLP模型既有自主访问控制，又有强制访问控制

B.BLP模型是-一个严格形式化的模型，并给出了形式化的证明

C.BLP模型控制信息只能由高向低流动

D.BLP是一种多级安全策略模型

【答案】C

【解析】本题考查BLP安全模型方面的基础知识。

BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现的。它是一种严格的形式化描述，控制信息只能由低向高流动。它反映了多级安全策略的安全特性。

31.单选题

安全电子交易协议SET是由VISA和Mastercard两大信用卡组织联合开发的电子商务安全协议，以下关于SET的叙述中，正确的是（

）。

问题1选项

A.SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性

B.SET不需要可信第三方认证中心的参与

C.SET要实现的主要目标包括保障付款安全、确定应用的互通性和达到全球市场的可接受性

D.SET协议主要使用的技术包括：流密码、公钥密码和数字签名等

【答案】C

【解析】本题考查SET协议相关知识。

SET协议是应用层的协议，是一种基于消息流的协议，一个基于可信的第三方认证中心的方案。B错误。SET改变了支付系统中各个参与者之间交互的方式，电子支付始于持卡人。通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，保证了在因特网上使用信用卡进行在线购物的安全。在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。A、D错误。

故本题选C。

32.单选题

数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程，一个数字签名体制包括:施加签名和验证签名。其中SM2数字签名算法的设计是基于（

）。

问题1选项

A.背包问题

B.椭圆曲线问题

C.大整数因子分解问题

D.离散对数问题

【答案】B

【解析】本题考查SM2数字签名方面的基础知识。

SM2是基于椭圆曲线的数字签名算法。

答案选B。

33.单选题

由于Internet规模太大，常把它划分成许多小的自治系统，通常把自治系统内部的路由协议称为内部网关协议，自治系统之间的协议称为外部网关协议。以下属于外部网关协议的是（

）。

问题1选项

A.RIP

B.OSPF

C.BGP

D.UDP

【答案】C

【解析】本题考查路由协议方面的基础知识。

内部网关协议(IGP)是在AS(自治系统)内部使用的协议，常用的有OSPF、ISIS、RIP、EIGRP。外部网关协议(EGP)是在AS(自治系统)外部使用的协议，常用的有BGP。

答案选C。

34.单选题

有线等效保密协议WEP是IEEE802.11标准的一部分，其为了实现机密性采用的加密算法是（

）。

问题1选项

A.DES

B.AES

C.RC4

D.RSA

【答案】C

【解析】本题考查无线局域网的安全加密技术。

IEEE802.11标准的WEP协议采用的流密码算法即序列密码算法，其对应的加密算法是RC4。选项A、B给出的是分组密码算法，选项D给出的是公钥密码算法。答案选C。

35.单选题

无线局域网鉴别和保密体系WAPI是一种安全协议，也是我国无线局域网安全强制性标准，以下关于WAPI的描述中，正确的是（

）。

问题1选项

A.WAPI系统中，鉴权服务器AS负责证书的颁发、验证和撤销

B.WAPI与WiFi认证方式类似，均采用单向加密的认证技术

C.WAPI中，WPI采用RSA算法进行加解密操作

D.WAPI从应用模式上分为单点式、分布式和集中式

【答案】A

【解析】本题考查WAPI安全协议。

与WIFI的单向加密认证不同，WAPI双向均认证，从而保证传输的安全性。WAPI安全系统采用公钥密码技术，鉴权服务器AS负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。WAPI包括两部分：WAI和WPI。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密，其中WAI采用公开密钥密码体制，WPI则采用对称密码算法进行加、解密操作。WAPI从应用模式上分为单点式和集中式两种，可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。官方教材（第一版）P370。故本题选A。

点播：WAPI鉴别及密钥管理的方式有两种，即基于证书和基于预共享密钥PSK。

36.单选题

网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量状况是网络中的重要信息，利用流量监测获得的数据，不能实现的目标是（

）。

问题1选项

A.负载监测

B.网络纠错

C.日志监测

D.入侵检测

【答案】C

【解析】本题考查流量监测的相关知识。

网络流量状况是网络中的重要信息，利用流量监测获得的数据，可以实现以下目标：

（1）负载监测：将流量监测获得的网络流量数据作为输入参数，利用统计方法和先验知识，通过负载特性分析过程，可以得到网络的当前负载状态。

（2）性能分析：利用流量信息，可以分析得到网络的性能状况，例如链路利用率等，以定位和防止网络中的性能瓶颈，提高网络性能。

（3）网络纠错：复杂的网络环境和丰富多样的应用类型，往往会导致网络故障的发生。通过分析流量信息，可以判定故障发生的位置和导致的原因，例如广播风暴、非法操作等，并采取措施解决故障并避免再次发生。

（4）网络优化：流量工程的目的是为了优化网络性能，其前提是获取网络中的流量信息，在此基础上通过网络控制，例如资源分配、流量均衡等操作，实现网络优化的目标。

（5）业务质量监视：现代网络面临的紧迫任务是为用户提供可靠的业务质量保障。而用户获得的服务质量以及网络供应商可提供的服务能力都必须通过流量数据分析获得。

（6）用户流量计费：如何在高速宽带网络中实现基于流量的用户计费是目前网络管理领域的热点问题，实现高效的流量计费解决方案必须依靠流量监测技术的进步。

（7）入侵检测：安全问题是网络应用中的一个重要方面，入侵检测系统是目前保障网络安全的重要手段。入侵检测的一个重要内容就是通过分析网络流量，判定攻击行为，以采取必要的防御措施。

（8）协议调测：在进行协议设计和应用开发时，必须经过实际网络环境检验的过程。当新的协议或应用加入到网络中，必须观测它们产生的数据流量，以判定协议或应用的操作是否正常，是否会对网络性能造成损伤。

故本题选C。

点播：网络流量就是网络上传输的数据量。网络流量的大小对网络架构设计具有重要意义，就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式类似，根据网络流量进行网络的设计是十分必要的。

37.单选题

基于公开密钥的数字签名算法对消息进行签名和验证时，正确的签名和验证方式是（

）。

问题1选项

A.发送方用自己的公开密钥签名，接收方用发送方的公开密钥验证

B.发送方用自己的私有密钥签名，接收方用自己的私有密钥验证

C.发送方用接收方的公开密钥签名，接收方用自己的私有密钥验证

D.发送方用自己的私有密钥签名，接收方用发送方的公开密钥验证

【答案】D

【解析】本题考查数字签名相关知识。

根据数字签名工作的基本流程，假设Alice需要签名发送一份电子合同文件给Bob。Alice的签名步骤如下：

第一步，Alice使用Hash函数将电子合同文件生成一个消息摘要；

第二步，Alice使用自己的私钥，把消息摘要加密处理，形成一个数字签名；

第三步，Alice把电子文件合同和数字签名一同发送给Bob。

Bob收到Alice发送的电子合同文件及数字签名后，为确信电子合同文件是Alice所认可的，验证步骤如下：

第一步，Bob使用与Alice相同的Hash算法，计算所收到的电子合同文件的消息摘要；

第二步，Bob使用Alice的公钥，解密来自Alice的加密消息摘要，恢复Alice原来的消息摘要；

第三步，Bob比较自己产生的消息摘要和恢复出来的消息摘要之间的异同。若两个消息摘要相同，则表明电子合同文件来自Alice。如果两个消息摘要的比较结果不一致，则表明电子合同文件已被篡改。

故本题选D。

点播：数字签名的目的是通过网络信息安全技术手段实现传统的纸面签字或者盖章的功能，以确定交易当事人的真实身份，保证交易的安全性、真实性和不可抵赖性。数字签名具有手写签名一样的特点，是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。

38.单选题

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。以下不属于僵尸网络传播过程常见方式的是（

）。

问题1选项

A.主动攻击漏洞

B.恶意网站脚本

C.字典攻击

D.邮件病毒

【答案】C

【解析】本题考查僵尸网络方面的基础知识。

僵尸网络在传播过程中有如下几种手段：主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马。

答案选C。

39.单选题

确保信息仅被合法实体访问，而不被泄露给非授权的实体或供其利用的特性是指信息的（

）。

问题1选项

A.完整性

B.可用性

C.保密性

D.不可抵赖性

【答案】C

【解析】本题考查信息安全的基本属性。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

保密性：保密性是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

完整性：完整性是指网络信息或系统未经授权不能进行更改的特性。

可用性：可用性是指合法许可的用户能够及时获取网络信息或服务的特性。

抗抵赖性：抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。

故本题选C。

点播：常见的网络信息安全基本属性主要有机密性、完整性、可用性、抗抵赖性和可控性等，此外还有真实性、时效性、合规性、隐私性等。

40.单选题

为确保关键信息基础设施供应链安全，维护国家安全，依据（

），2020年4月27日，国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》，该办法自2020年6月1日实施，将重点评估采购网络产品和服务可能带来的国家安全风险。

问题1选项

A.《中华人民共和国国家安全法》和《中华人民共和国网络安全法》

B.《中华人民共和国国家保密法》和《中华人民共和国网络安全法》

C.《中华人民共和国国家安全法》和《网络安全等级保护条例》

D.《中华人民共和国国家安全法》和《中华人民共和国国家保密法》

【答案】A

【解析】本题考查网络安全相关法律法规的知识。

在《中华人民共和国国家安全法》和《中华人民共和国网络安全法》中，有相关条款对网络产品和服务的采购有相应要求。

答案选A。

41.单选题

以下关于网络钓鱼的说法中，不正确的是（

）。

问题1选项

A.网络钓鱼属于社会工程攻击

B.网络钓鱼与Web服务没有关系

C.典型的网络钓鱼攻击是将被攻击者引诱到一个钓鱼网站

D.网络钓鱼融合了伪装、欺骗等多种攻击方式

【答案】B

【解析】本题考查网络钓鱼相关知识。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、密码或信用卡详细信息等）的一种攻击方式，最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个过程不会让受害者警觉，它是“社会工程攻击”的一种形式。故本题选B。

42.单选题

强制访问控制（MAC）可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读操作是（

）。

问题1选项

A.下读

B.上写

C.下写

D.上读

【答案】A

【解析】本题考查强制访问控制相关知识。

强制访问控制（MAC）是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问，是一种不允许主体干涉的访问控制类型。根据MAC的安全级别，用户与访问的信息的读写关系有四种：即：下读（readdown）：用户级别高于文件级别的读操作。上写（writeup）：用户级别低于文件级别的写操作。下写（writedown）：用户级别高于文件级别的写操作。上读（readup）：用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。

点播：

访问控制的目标有两个：防止非法用户进入系统；阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。

访问控制类型可分为：自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。

43.单选题

PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。以下不会导致证书被撤销的是（

）。

问题1选项

A.密钥泄漏

B.系统升级

C.证书到期

D.从属变更

【答案】B

【解析】本题考查PKI相关知识。

每个证书都有一个有效使用期限，有效使用期限的长短由CA的政策决定。有效使用期限到期的证书应当撤销。证书的公钥所对应的私钥泄露，或证书的持证人死亡，证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。故本题选B。

点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它提供了一种系统化的、可扩展的、统一的、可控制的公钥分发方法。和证书的签发一样，证书的撤销也是一个复杂的过程。证书的撤销要经过申请、批准、撤销三个过程。

44.单选题

SM4算法是国家密码管理局于2012年3月21日发布的一种分组密码算法，在我国商用密码体系中，SM4主要用于数据加密。SM4算法的分组长度和密钥长度分别为（

）。

问题1选项

A.128位和64位

B.128位和128位

C.256位和128位

D.256位和256位

【答案】B

【解析】本题考查我国国密算法方面的基础知识。

SM4算法的分组长度为128位，密钥长度为128位。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。

45.案例题

阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

信息系统安全开发生命周期（SecurityDevelopmentLifeCycle（SDLC））是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5.1所示。

【问题1】（4分）

在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最有效的攻击方式是什么？以下口令中，密码强度最高的是（

）。

A.security2019

B.2019Security

C.Security@2019

D.Security2019

【问题2】（6分）

在大数据时代，个人数据正被动地被企业搜集并利用。在需求分析阶段，需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度，隐私保护技术主要有：基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种？

（1）随机化过程修改敏感数据

（2）基于泛化的隐私保护技术

（3）安全多方计算隐私保护技术

【问题3】（4分）

有下述口令验证代码：

#definePASSWORD"1234567"

intverify_password(char*password)

{

intauthenticated;

charbuffer[8];

authenticated="strcmp(password,PASSWORD);

strcpy(buffer,password);

returnauthenticated;

}

іntmаіn(іntаrgс,сhаr*аrgv[])

{

intvalid_flag=0;

charpassword[1024];

while(1)

{

printf("pleaseinputpassword:");

scanf("%s",password);

valid_flag=verify_password(password);//验证口令

if(valid_flag)//口令无效

{

printf("incorrectpassword!\n\n");

}

else//口令有效

{

printf("Congratulation!Youhavepassedtheverification!\n");

break;

}

}

其中main函数在调用verify_password函数进行口令验证时，堆栈的布局如图5.2所示。

请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？

【问题4】（3分）

SDLC安全开发模型的实现阶段给出了3种可以采取的安全措施，请结合问题3的代码举例说明？

【答案】【问题1】

（1）穷举攻击

（2）C

【问题2】

（1）基于数据失真的隐私保护技术；

（2）基于数据匿名化的隐私保护技术；

（3）基于数据加密的隐私保护技术。

【问题3】

参数password的值满足：12个字符的字符串，前面8个字符为任意字符，后面4个字符为空字符；或者输入完整的8个任意字符。

【问题4】

使用批准的工具来编写安全正确的程序；禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出；通过静态分析进行程序指针完整性检查。

【解析】【问题1】

（1）弱口令可以通过穷举攻击方式来破解。

（2）密码必须符合复杂性要求：启用此策略，用户账户使用的密码必须符合复杂性的要求。

密码复杂性必须符合下列最低要求：

不能包含用户的账户名；

不能包含用户姓名中超过两个连续字符的部分；

至少有六个字符长；

密码总必须包含以下4类字符中的三类字符：

1、英文大写字母（A-Z）

2、英文小写字母（a-z）

3、10个基本数字（0-9）

4、特殊符号（！@#￥%等）

【问题2】

（1）基于数据失真的隐私保护技术：它是使敏感数据失真但同时保持某些关键数据或者属性不变的隐私保护技术，例如，采用交换（Swapping）、添加噪声等技术对原始数据集进行处理，并且保证经过扰动处理后的数据仍然保持统计方面的性质，以便进行数据挖掘等操作。

（2）基于数据加密的隐私保护技术：它是采用各种加密技术在分布式环境下隐藏敏感数据的方法，如安全多方计算（SMC）、分布式匿名化、分布式关联规则挖掘和分布式聚类等。

（3）基于数据匿名化的隐私保护技术：它是根据具体情况有条件地发布数据，例如，不发布原始数据的某些值、数据泛化等。

【问题3】

该代码按正常流程走下来，函数verify-password（）会返回变量authenticated的值，而只有当其值为0时，会绕过口令。

再来分析strcpy()函数这个函数，该用来复制字符串，其原型为：

char*strcpy(char*dest,constchar*src)；

【参数】dest为目标字符串指针，src为源字符串指针。

注意：src和dest所指的内存区域不能重叠，且dest必须有足够的空间放置src所包含的字符串（包含结束符NULL）。

【返回值】成功执行后返回目