计算机三级（信息安全技术）考试试题及答案

计算机三级（信息安全技术）考试试题及答案1、Kerberos协议设计的核心是A、在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器B、用户必须向每个要访问的服务器或服务提供凭证C、结合单点登录技术以增加用户在不同服务器中的认证过程D、增加网络的验证过程答案：A2、在建立信息安全管理框架时,确定管制目标和选择管制措施所遵循的基本原则是A、费用不高于风险所造成的损失B、费用不低于风险所造成的损失C、费用与风险所造成的损失大致相同D、费用与风险所造成的损失必须相同答案：A3、首次给出关于IT安全的机密性、完整性、可用性、审计性、认证性和可靠性6个方面含义的标准是A、BS7799B、ISO15408C、ISO13335D、GB18336答案：C4、下列关于视图的描述中，错误的是A、视图也是关系，使用SQL访问的方式与表—样B、视图机制的安全保护功能比较精细，通常能达到应用系统的要求C、在实际应用中，通常将视图机制与授权机制结合起来使用D、在视图上可以再进一步定义存取权限答案：B5、根据《信息安全等级保护管理办法》，信息系统受到破坏后，对国家安全造成特别严重损害的，属于A、第三级B、第二级C、第四级D、第五级答案：D6、微软公司安全公告中定义为“重要”的漏洞,对应的漏洞危险等级是()。A、第一级B、第二级C、第三级D、第四级答案：B7、"使用Caesar密码，k取值为4,对明文"passwordisroot"加密得到的密文是()。"A、tewwasvhmwvssxB、tewwasvimwvssyC、tewwasvimwvsshD、tewwasyumwvssy答案：A8、风险控制的首选策略是A、避免B、转移C、缓解D、接受答案：A9、下列选项中，不可以将CPU模式从用户模式转到内核模式的是A、系统调用B、中断C、异常D、显式地执行自陷指令答案：A10、静态安全检测技术,不包括()A、词法分析B、数据流分析C、污点传播D、模糊测试答案：D11、下列选项中，不属于强制访问控制模型的是()A、BLPB、BibaC、ChineseWallD、RBAC答案：D12、有关SSL协议,说法错误的是()A、SSL协议在TCP协议之上B、SSL协议在FTP协议之下C、SSL协议在IP协议之上D、SSL协议在HTTP协议之上答案：D13、不可以通过事务处理回退的语句是()。A、INSERTB、UPDATEC、DROPD、DELETE答案：C14、建立完善的信息安全管理体系(ISMS)要求体现A、事先评估为主的思想B、预防控制为主的思想C、最小代价为主的思想D、处理及时为主的思想答案：B15、下列关于数据库安全特性检查的说法中，正确的是()。A、数据库安全特性检查是对数据库的动态安全防护B、渗透测试的对象主要是数据库的身份验证系统和服务监听系统C、内部安全检测是对数据库内部的安全相关对象，包括SQL注入缺陷和缓冲区溢出漏洞等,进行扫描和检测D、人工渗透测试和工具扫描不能同时使用答案：B16、PKlI的核心是A、数字证书B、CAC、RAD、CRL答案：A17、两个不同的消息具有相同的消息摘要的现象，称为()。A、攻击B、碰撞C、散列D、都不是答案：B18、下列关于系统维护注意事项的描述中，错误的是()。A、在系统维护过程中，要注意对维护过程进行记录B、维护人员接收到一个更改要求，必须纳入这个更改C、保存所有源文件的最近版本是极其重要的，应建立备份和清理档案D、一旦系统投入使用，维护人员就应及时修正收到的错误，并提供维护报告答案：B19、下列选项中，不属于缓冲区溢出漏洞的是()。A、堆溢出B、整数溢出C、单字节溢出D、栈溢出答案：B20、"使用ls命令查看UNIX文件权限显示的结果为"drw-rw-rw-"，其中第--一个"d"表示"A、任何人无法写入该文件B、该文件是一个正规文件C、该文件不属于任何分组D、该文件是一个目录答案：D21、当用户双击自己Web邮箱中邮件的主题时，触发了邮件正文页面中的XSS漏洞，这种XSS漏洞属于()。A、反射型XSSB、存储型XSSC、CSRF-basedXSSD、DOM-basedXSS答案：B22、有关电子认证服务，错误的是()。A、电子认证服务提供者可以暂停或者终止电子认证服务,但须在暂停或者终止服务后及时向国务院信息产业主管部门报告B、电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部责令限期改C、依照电子签名法负责电子认证服务业监督管理工作的部门]的工作人员，不依法履行行政许可、监督管理职责的,依法给予行政处分D、伪造、冒用、盗用他人的电子签名,构成犯罪的，依法追究刑事责任答案：A23、下列关于弱口令扫描技术的描述中，正确的是A、弱口令扫描主要包括:基于端口扫描的扫描技术和基于穷举攻击的扫描技术B、弱口令扫描主要包括:基于字典攻击的扫描技术和基于漏洞扫描的扫描技术C、弱口令扫描主要包括:基于端口扫描的扫描技术和基于漏洞扫描的扫描技术D、弱口令扫描主要包括:基于字典攻击的扫描技术和基于穷举攻击的扫描技术答案：D24、下列关于信息安全技术的分类中，密码技术属于A、核心基础安全技术B、安全基础设施技术C、应用安全技术D、支撑安全技术答案：A25、信息安全管理体系审核包括两方面审核，即技术和A、管理B、规范C、操作D、理论答案：A26、国家秘密的保密期限不能确定时，应当根据事项的性质和特点，确定下列选项中的()。A、解密对象B、最长保密期限C、解密条件D、限定保密领域答案：C27、下列选项中，不属于PKI信任模型的是()。A、网状信任模型B、链状信任模型C、层次信任模型D、桥证书认证机构信任模型答案：B28、系统维护的注意事项，不包括()。A、删除错误报告及日志文件B、维护和更改记录C、更改的清除D、老版本的备份和清理答案：A29、下列关于信息安全威胁类型与实例的对应关系中，错误的是()。A、人为过失或失败行为意外事故B、蓄意信息敲诈行为非法使用硬件设备或信息C、蓄意破坏行为破坏系统或信息D、蓄意软件攻击病毒、蠕虫、宏、拒绝服务答案：B30、《信息系统安全保护等级划分准则》提出的定级四要素不包括A、信息系统所属类型B、用户类型C、业务自动化处理程度D、信息系统服务范围答案：B31、不属于强制访问控制模型的是A、访问矩阵模型B、Bell-Lapudula模型C、Clark-Wilson模型D、ChineseWall模型答案：A32、信息安全问题产生的根源中，内因是A、人为的威胁B、环境的威胁C、敌对势力的威胁D、信息系统的复杂性答案：D33、RADIUS是指A、拨号用户远程认证服务B、终端访问控制器访问控制系统C、网络接入服务D、密码消息语法答案：A34、下列选项中，ESP协议不能对其进行封装的是()。A、应用层协议B、传输层协议C、网络层协议D、链路层协议答案：D35、下列关于信任属性的说法中，错误的是()。A、信任具有二重性，既具有主观性又具有客观性B、信任具有对称性，即若A信任B,则B信任AC、信任可度量，即信任的程度可划分等级D、信任可传递，但不绝对，而且在传播过程中有损失答案：B36、中国信息安全测评中心的英文缩写是A、CNITSECB、ITUC、ISO/IECJTC1D、IETF答案：A37、下列选项中，不属于恶意程序传播方法的是()。A、诱骗下载B、网站挂马C、加壳欺骗D、通过移动存储介质传播答案：C38、有关HeapSpray技术,说法错误的是A、HeapSpray技术通过使用类NOP指令来进行覆盖B、HeapSpray攻击会导致被攻击进程的内存占用非常小C、HeapSpray-般配合堆栈溢出攻击,不能保证成功D、在Windows系统中开启DEP功能，是一种防范HeapSpray的方法答案：B39、《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级。下列选项中，不包括的是()。A、访问验证保护级B、系统审计保护级C、安全标记保护级D、协议保护级答案：D40、为了风险管理的需要，一本方针手册还是必要的。手册一般包括的内容有A、信息安全方针的阐述B、控制目标与控制方式描述C、程序或其引用D、以上全包括答案：D41、信息安全管理基本技术要求从五个层面提出:物理安全、网络安全、应用安全、主机安全和A、数据安全B、路由安全C、交换安全D、通信安全答案：A42、下列选项中,不属于网站挂马的主要技术手段是()。A、框架挂马B、下载挂马C、js脚本挂马D、body挂马答案：B43、将攻击数据包的源地址和目的地址都设置成目标主机的IP地址，这种攻击是()。A、Land攻击B、ACK-Flood攻击C、SYN-Flood攻击D、PortConnectionFlood攻击答案：A44、网络端口所对应的网络服务中，错误的是A、21端口为FTP服务B、23端口为TELNET服务C、110端口为SMTP服务D、80端口为HTTP服务答案：C45、跨站点请求伪造攻击属于伪造客户端请求的一种攻击方式，它的简写为A、CSRFB、XSSC、OWASPD、MIMT答案：A46、下列关于自主访问控制的说法中,错误的是()。A、由于分布式系统中很难确定给定客体的潜在主体集,在现代操作系统中访问能力表也得到广泛应用B、基于矩阵的列的访问控制信息表示的是访问能力表，即每个客体附加一个它可以访问的主体的明细表C、自主访问控制模型的实现机制是通过访问控制矩阵实施的，而具体的实现办法则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作D、系统中的访问控制矩阵本身通常不被完整地存储，因为矩阵中的许多元素常常为空答案：B47、SHA所产生的消息摘要的长度，比MD5的长A、32位B、64位C、128位D、16位答案：A48、属于网络层协议的是()A、OSPFB、UDPC、TelnetD、POP3答案：A49、下列选项中，不属于缓冲区溢出的是()。A、栈溢出B、整数溢出C、堆溢出D、单字节溢出答案：B50、美国联邦政府颁布数字签名标准(DigitalSignatureStandard，DSS)的年份是A、1976B、1977C、1994D、2001答案：C51、由国内机构维护的漏洞数据库是A、BugTraqB、CNVDC、CVED、EDB答案：B52、下列属于信息系统的安全考核指标的是A、访问方法B、身份认证C、用户所在网络类型D、计算能力答案：B53、下列选项中，不属于防火墙体系结构的是()。A、双重宿主主机体系结构B、屏蔽主机体系结构C、屏蔽子网体系结构D、屏蔽中间网络体系结构答案：D54、下列选项中，被称为秘密扫描的端口扫描技术是A、TCP全连接扫描B、TCPSYN扫描C、TCPFIN扫描D、ICMP扫描答案：C55、下列关于信息与消息的说法中，错误的是A、消息是信息的外壳B、信息是消息的内核C、消息是信息的笼统概念D、消息是信息的精确概念答案：D56、哈希函数属于A、单向函数B、对称密码C、非对称密码D、双向函数答案：A57、微软的软件安全开发生命周期模型中最早的阶段是A、第0阶段:准备阶段B、第0阶段:项目启动阶段C、第1阶段:定义需要遵守的安全设计原则D、第1阶段:产品风险评估答案：A58、为客体分配访问权限是实施组织机构安全性策略的重要部分，分配权限时依据的重要原则是A、最少特权B、最大特权C、无特权D、特权等同答案：A59、下列选项中，不属于软件动态安全检测技术的是()。A、动态污点分析B、模糊测试C、智能模糊测试D、词法分析答案：D60、Web安全防护技术，不包括A、客户端安全防护B、通信信道安全防护C、服务器端安全防护D、UPS安全防护答案：D61、下列选项中，不属于数据库软件执行的完整性服务的是()。A、语义完整性B、参照完整性C、实体完整性D、关系完整性答案：D62、能对操作系统的服务进行请求的是A、嵌入内存管理B、进程管理C、系统调用D、用户接口答案：C63、机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定A、保密期限和知悉范围B、保密单位和知悉范围C、保密期限和保密单位D、保密期限和保密条件答案：A64、在访问控制管理时，由访问控制依赖的四个原则转换成的三个职责，不包含()。A、用户账户管理B、操作跟踪C、访问权利和许可权的管理D、责任衡量答案：D65、下列选项中，基于硬件介质的软件安全保护技术不包括()。A、专用接口卡B、加密狗C、数字证书D、加密光盘答案：C66、在信息安全管理中，不属于访问控制的是A、预留性访问控制B、探查性访问控制C、纠正性访问控制D、预防性访问控制答案：A67、在进行栈溢出漏洞利用时，不属于漏洞利用数据项的是()。A、NOPB、随机填充数据C、新返回地址D、exploit答案：D68、下列不属于访问控制类型的是()。A、检验性的访问控制B、预防性的访问控制C、纠正性的访问控制D、探查性的访问控制答案：A69、下列文件中，与等级保护工作不相关的是A、《国家信息化领导小组关于加强信息安全保障工作的意见》B、《关于信息安全等级保护工作的实施意见》C、《信息安全等级保护管理办法》D、《电子签名法》答案：D70、最早的代换密码是A、Caesar密码B、DES密码C、AES密码D、Rijndael密码答案：A71、两个通信终端用户在一次交换数据时所采用的密钥是A、人工密钥B、根密钥C、会话密钥D、主密钥答案：C72、在软件设计初期，就需要按照安全设计的原则对软件进行全面考虑下列不属于安全设计原则的是A、开放设计原则B、最多公用原则C、权限分开原则D、全面防御原则答案：B73、有关UNIX/Linux系统安全,说法错误的是()。A、last命令用于显示上一个执行过的命令B、UNIX系统使用了可插入认证模块PAM进行认证登录C、文件系统安全是UNIX/Linux系统安全的核心D、不要随意把rootshell留在终端上答案：A74、CC将评估过程分为两个部分，即A、功能和保证B、功能和实现C、实现和保证D、实现和运行答案：A75、下列情景属于身份认证(Authentication)过程的是A、用户依照系统提示输入用户名和口令B、用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C、用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D、某个人尝试登录到你的计算机中，但是输入的口令不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中答案：A76、除去奇偶校验位,DES算法密钥的有效位数是()。A、64B、128C、56D、168答案：C77、《信息安全等级保护管理办法》的五个安全保护等级中，描述为”对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”的是A、二级B、三级C、五级D、四级答案：B78、UDPFlood攻击是A、利用拒绝服务型漏洞发起的攻击B、在应用层发起的攻击C、耗尽目标主机网络带宽的攻击D、在传输层保持长时间连接的攻击答案：C79、数字签名的签名过程使用的是签名者的A、公钥B、私钥C、对称密钥D、初始向量答案：B80、计算机可以在多项式时间复杂度内解决的问题称为A、P问题B、NP问题C、NPC问题D、Q问题答案：A81、注入攻击的防范措施，不包括()。A、使用预编译语句B、按照最大权限原则设置数据库的连接权限C、使用存储过程来验证用户的输入D、在数据类型、长度、格式和范围等方面对用户输入