计算机三级（信息安全技术）试题库与参考答案

计算机三级（信息安全技术）试题库与参考答案一、单选题（共100题，每题1分，共100分）1、下列有关信息安全管理体系的说法中，错误的是A、对于一个规模较小的组织机构，可以只制定一个信息安全政策B、信息安全管理工作的基础是风险处置C、在ISMS建设、实施的同时，必须相应地建立起各种相关文档、文件D、信息安全策略是组织机构的信息安全的最高方针，必须形成书面文件正确答案：B2、Nmap支持的扫描功能是A、Web漏洞扫描B、网络漏洞扫描C、端口扫描D、软件漏洞扫描正确答案：C3、访问控制依赖的原则，包括身份标识、责任衡量、授权和A、评估B、过滤C、验证D、跟踪正确答案：C4、机关、单位应当根据工作需要，确定国家秘密的具体的解密时间(或者解密条件)和A、保密机关B、保密期限C、保密人D、保密条件正确答案：B5、下列攻击手段中，不属于诱骗式攻击的是()。A、网站挂马B、ARP欺骗C、网站钓鱼D、社会工程正确答案：B6、GB/T22239标准(《信息系统安全等级保护基本要求》)提出和规定了对不同安全保护等级信息系统的最低保护要求，称为A、基本安全要求B、基本保护要求C、最高安全要求D、最高保护要求正确答案：A7、SSL协议中握手协议的作用是A、完成会话密钥的协商B、完成加密算法的协商C、完成通信双方身份验证D、完成传输格式的定义正确答案：D8、下列关于数字签名的描述中，正确的是()。A、数字签名是在所传输的数据后附加，上一段和传输数据毫无关系的数字信息B、数字签名能够解决篡改、伪造等安全性问题C、数字签名能够解决数据的加密传输D、数字签名一般采用对称加密机制正确答案：B9、定义ISMS的范围，就是在___内选定架构ISMS的范围A、评估机构B、安全机构C、行政机构D、组织机构正确答案：D10、信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴，体系的建立基于系统、全面和科学的安全A、风险评估B、风险识别C、风险控制D、风险处置正确答案：A11、计算机系统安全评估的第一个正式标准是()。A、TCSECB、COMPUSECC、CTCPECD、CC:ISO15408正确答案：A12、应急计划过程开发的第一阶段是A、业务影响分析B、从属计划分类C、业务单元分析D、潜在损坏的评估正确答案：A13、信息安全中的风险控制目标是A、将残留风险降低为0B、通过权威安全机构的评测C、无明显的风险存在D、将残留风险保护在机构可以随时控制的范围内正确答案：D14、跨站点请求伪造攻击属于伪造客户端请求的一种攻击方式，它的简写为A、CSRFB、XSSC、OWASPD、MIMT正确答案：A15、下列数据包内容选项中，ESP协议在传输模式下不进行加密的是()。A、ESP报尾B、源IP和目标IPC、源端口和目标端口D、应用层协议数据正确答案：B16、TCSEC将计算机系统安全划分为()。A、三个等级七个级别B、四个等级七个级别C、五个等级七个级别D、六个等级七个级别正确答案：B17、Kerberos协议设计的核心是A、结合单点登录技术以增加用户在不同服务器中的认证过程B、在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器C、增加网络的验证过程D、用户必须向每个要访问的服务器或服务提供凭证正确答案：B18、下列关于消息认证的说法中，错误的是()。A、公钥密码既可提供认证又可提供签名B、消息认证码是一种认证技术，它利用密钥来生成一个固定长度的数据块，并将该数据块附加在消息之后C、对称密码既可提供保密性又可提供认证D、消息认证码既可提供认证又可提供保密性正确答案：D19、信息技术的产生与发展经历了三个阶段,不包括A、电讯技术的发明B、大规模集成电路的应用C、计算机技术的发展D、互联网的使用正确答案：B20、最早的代换密码是A、Caesar密码B、DES密码C、AES密码D、Rijndael密码正确答案：A21、绝密级国家秘密是最重要的国家秘密，对其描述最为准确的是A、泄露会使国家安全和利益遭受特别严重的损害B、泄露会使国家安全和利益遭受严重的损害C、泄露后及时补救即可，不会追求有关人的责任D、泄露会使国家安全和利益遭受损害正确答案：A22、信息保障的指导性文件《信息保障技术框架》(InformationAssuranceTechnicalFramework,IATF)，是由A、美国国家安全局(NSA)制定的B、英国国家安全局(NSA)制定的C、德国国家安全局(NSA)制定的ODD、俄罗斯国家安全局(NSA)制定的正确答案：A23、微软公司安全公告中定义为“重要”的漏洞,对应的漏洞危险等级是()。A、第二级B、第四级C、第三级D、第一级正确答案：A24、P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，可用数学公式表达为Pt>Dt+Rt，其中Pt表示A、系统恢复时间B、系统响应时间C、系统防护时间D、系统调整时间正确答案：C25、下列选项中，进行简单的用户名/密码认证，且用户只需要一个接受或拒绝即可进行访问(如在互联网服务提供商ISP中)的是()。A、RADIUSB、TACACSC、DiameterD、RBAC正确答案：A26、信息系统的安全保护等级分为()。A、五级B、六级C、四级D、三级正确答案：A27、《信息系统安全保护等级划分准则》提出的定级四要素不包括A、信息系统所属类型B、信息系统服务范围C、用户类型D、业务自动化处理程度正确答案：C28、为了风险管理的需要，一本方针手册还是必要的。手册一般包括的内容有A、信息安全方针的阐述B、控制目标与控制方式描述C、程序或其引用D、以上全包括正确答案：D29、安全编程时需要考虑的原则，不包括()。A、数据的机密性B、数据的开放性C、数据的完整性D、数据的有效性正确答案：B30、不属于哈希函数特点的是A、可逆性B、单向性C、抗碰撞性D、高灵敏性正确答案：A31、采用rootkit技术的木马属于A、第五代木马B、第二代木马C、第三代木马D、第四代木马正确答案：A32、有关ISMS文件控制的描述，说法错误的是A、当文件废止时，迅速撤销B、定期评审,必要时予以修改以适应组织机构的安全方针C、文件发布前无须履行审批手续D、按规定时间保存正确答案：C33、组织机构进行信息安全管理体系认证的目的，一般包括A、获得最佳的信息安全运行方式B、保证商业安全C、降低风险，避免损失D、以上都是正确答案：D34、微软的SDL模型中，通过教育培训培养开发团队员工的安全意识，属于A、第0阶段:准备阶段B、第1阶段:项目启动阶段C、第2阶段:定义需要遵守的安全设计原则D、第3阶段:产品风险评估正确答案：A35、下列协议中，可为电子邮件提供数字签名和数据加密功能的是()。A、SMTPB、S/MIMEC、POP3D、SET正确答案：B36、下列选项中，被称为半连接扫描的端口扫描技术是A、TCP全连接扫描B、TCPSYN扫描C、TCPFIN扫描D、ICMP扫描正确答案：B37、有关访问控制中主体和客体概念的说法中，错误的是FA、主体只能是访问信息的程序、进程B、客体是含有被访问信息的被动实体C、一个对象或数据可能是主体，也可能是客体D、主体是一个主动的实体，它提供对客体中的对象或数据的访问要求正确答案：A38、不属于身份认证手段的是A、用户名和密码认证B、消息认证C、动态短信密码认证D、指纹认证正确答案：B39、下列关于进程管理的描述中，错误的是A、进程是为了实现多任务而提出的概念B、线程是比进程更细的管理单位C、进程管理是通过系统调用来完成的D、操作系统维护一个进程表，其中每一项代表一个进程正确答案：C40、下列有关智能卡存储用户私钥的说法中，错误的是A、卡片体积小，便于携带B、提供了抗修改能力C、易于全面推广D、比使用口令方式有更高的安全性正确答案：C41、Linux系统启动后运行的第一个进程是()。A、loginB、initC、bootD、sysini正确答案：B42、《信息系统安全等级保护基本要求》中的基本管理要求所涉及的层面，不包括A、安全管理机构B、安全管理制度C、业务范围管理D、系统运维管理正确答案：C43、下列选项中，不属于恶意程序检测查杀技术的是A、启发式查杀B、特征码查杀C、虚拟机查杀D、移动介质查杀正确答案：D44、信息安全的五个基本属性包括:机密性、______、可用性、可控性和不可否认性A、隐蔽性B、完整性C、不可见性D、安全性正确答案：B45、Windows7操作系统中，配置IPSec时支持的身份验证方法不包括A、会话密钥B、预共享密钥C、数字证书D、Kerberos协议正确答案：A46、信息系统安全保障的几个方面，不包括().A、生命周期B、保障要素C、安全特征D、安全技术正确答案：D47、密码分析者(攻击者)已知加密算法和要解密的密文时，所能发起的攻击类型是A、穷举攻击B、唯密文攻击C、选择明文攻击D、选择密文攻击正确答案：B48、不属于网络中不良信息监控方法的是A、网页内容过滤技术B、图像内容过滤技术C、帧过滤技术D、网址过滤技术正确答案：C49、不能对ARP欺骗攻击起到防范和检测作用的是A、IDSB、IP和MAC双向静态绑定C、PKID、ARP防火墙正确答案：C50、ping命令可以检测目标计算机和本机之间的网络链路是否连通，利用的协议是()。A、TCPB、UDPC、SNMPD、ICMP正确答案：D51、下列关于Diameter和RADIUS区别的描述中，错误的是()。A、RADIUS运行在UDP协议上，并且没有定义重传机制;而Diameter运行在可靠的传输协议TCP、SCTP之上B、RADIUS支持认证和授权分离，重授权可以随时根据需求进行;Diameter中认证与授权必须成对出现C、RADIUS固有的客户端/服务器模式限制了它的进一步发展;Diameter采用了端到端模式,任何一端都可以发送消息以发起审计等功能或中断连接D、RADIUS协议不支持失败恢复机制;而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误正确答案：B52、为使审核效果最大化，并使体系审核过程的影响最小，下列必须的选项是A、体系审核应对体系范围内部分安全领域进行全面系统的审核B、应由与被审核对象有直接责任的人员来实施C、组织机构要对审核过程本身进行安全控制D、对不符合项的纠正措施酌情跟踪审查，并确定其有效性正确答案：C53、CC将评估过程分为两个部分，即A、功能和保证B、功能和实现C、实现和保证D、实现和运行正确答案：A54、数字签名的签名过程使用的是签名者的A、公钥B、对称密钥C、私钥D、初始向量正确答案：C55、哈希函数不能应用于A、数据完整性B、消息加密C、消息认证D、口令安全正确答案：B56、强制访问控制模型中，属于保密性模型的是A、Bell-LapudulaB、BibaC、Clark-WilsonD、ChineseWall正确答案：A57、在一个管理制度完善、工作机制有效的安全组织机构中，不允许出现的现象是A、信息安全组织应当由隶属于单位的计算机运行或计算机应用部门来负责B、信息安全组织是本单位的常设工作职能机构，其具体工作应当由专门的安全负责人负责C、信息安全组织一般有着双重的组织联系，即接受当地公安机关计算机安全监察部门的管理、指导，以及与本业务系统上下级安全管理工作相联系D、组织机构可以根据商务运作的需求，在签订安全责任合同的前提下，将部分业务外包正确答案：A58、能够抵抗内容修改、顺序修改等攻击的技术是A、消息摘要B、消息加密C、数字签名D、消息认证正确答案：D59、()年，美国制定的数据加密标准(DES)，为加密算法的标准化奠定了基础A、1972B、1976C、1977D、1985正确答案：C60、SYN-Flood属于A、IP协议层攻击B、TCP协议层攻击C、UDP协议层攻击D、应用层协议攻击正确答案：B61、下列选项中，被称为秘密扫描的端口扫描技术是A、TCP全连接扫描B、TCPSYN扫描C、TCPFIN扫描D、ICMP扫描正确答案：C62、下列关于信息安全的地位和作用的描述中，错误的是()。A、信息安全是网络时代国家生存和民族振兴的根本保障B、信息安全是信息社会健康发展和信息革命成功的关键因素C、信息安全无法影响人们的工作和生活D、信息安全是网络时代人类生存和文明发展的基本条件正确答案：C63、（）年完成的著名的Anderson报告，是计算机安全发展的重要里程碑A、1972B、1976C、1977D、1985正确答案：A64、在活动网络中被动监听网络流量，利用检测算法识别网络入侵行为的恶意行为监控方式是A、主机监测B、网络监测C、节点监测D、数据监测正确答案：B65、有关商用密码管理政策的说法,正确的是A、商用密码产品可由个人公司任意生产使用B、商用密码的科研任务由国家密码管理机构指定的单位承担C、外国驻华外交代表机构，在中国使用含有密码技术的设备时，必须报经国家密码机构批准D、商用密码产品的用户可以转让其使用的商用密码产品正确答案：B66、“震荡波”病毒进行扩散和传播所利用的漏洞是()。A、操作系统服务程序漏洞B、文件处理软件漏洞C、浏览器软件漏洞D、ActiveX控件漏洞正确答案：A67、下列关于网络漏洞扫描工具的描述中，错误的是()。A、网络漏洞扫描工具可以扫描Linux操作系统的漏洞B、网络漏洞扫描工具可以扫描Web服务器的漏洞C、网络漏洞扫描工具可以扫描Cisco网络设备的漏洞D、网络漏洞扫描工具可以扫描微软Word软件的漏洞正确答案：D68、下列关于密码技术的描述中，错误的是()。A、数字签名系统-定具有数据加密功能B、传统密钥系统的加密密钥和解密密钥相同C、公开密钥系统的加密密钥和解密密钥不同D、消息摘要适合数字签名但不适合数据加密正确答案：A69、对数据库的开放端口进行扫描，检查其中的安全缺陷，比如开放了多余的服务端口等,这种数据库安全检测是A、漏洞检测B、内部安全检测C、服务发现D、渗透测试正确答案：C70、下列关于残留风险的描述中，错误的是A、信息安全的目标是把残留风险降低为零B、信息安全的目标是把残留风险降低在可以判定的范围内C、可能降低了通过安全措施保护资产价值的效果D、即使各种机构尽可能地控制漏洞，依然有风险未能排除和缓解正确答案：A71、下列关于系统整个开发过程的描述中，错误的是()。A、系统开发每个阶段都会有相应的期限B、系统开发过程的每一个阶段都是一个循环过程C、系统的生命周期是无限长的D、系统开发分为五个阶段，即规划、分析、设计、实现和运行正确答案：C72、硬件防火墙的平台架构不包括A、IAAS架构B、X86架构C、ASIC架构D、NP架构正确答案：A73、信息安全管理体系审核，是指组织机构为验证所有安全程序的正确实施和检查信息系统符合安全实施标准的情况所进行的系统的、独立的检查和评价。它是信息安全管理体系的A、一种内外结合的保证手段，但内部作用更大B、一种自我保证手段C、一种外部保证手段D、一种内外结合的保证手段，但外部作用更大正确答案：B74、下列选项中，应急计划过程开发的第一阶段是()。A、业务影响分析B、业务总结分析C、业务影响总结D、业务单元报告正确答案：A75、CC(《信息技术安全性评估准则》)将评估过程划分为___个部分，评估等级分为七个等级。A、两B、三C、四D、五正确答案：A76、访问控制管理的重要组成部分，不包括()。A、账户跟踪B、操作审计C、系统监控D、日志备份正确答案：D77、栈帧地址的分配动态变化时，下列技术中，可以使新的返回地址定位到shellcode起始地址的是()。A、NOPB、HeapSprayC、slidecodeD、jmpesp正确答案：D78、机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定()。A、保密单位和保密领域B、保密单位和保密期限C、保密期限和保密领域D、保密期限和知悉范围正确答案：D79、DoS攻击的实现方式,不包括A、利用目标主机自身存在的拒绝服务型漏洞进行DoS攻击B、通过耗尽目标主机CPU和内存等计算机资源，实施DoS攻击C、通过耗尽目标主机的网络带宽，实施DoS攻击D、通过耗尽目标主机的存储空间，实施DoS攻击正确答案：D80、Bell-LaPadula模型是一种A、强制访问控制模型B、自主访问控制模型C、基于角色的访问控制模型D、以上都不是正确答案：A81、商用密码技术属于国家秘密。国家对商用密码产品的科研、生产销售和使用实行A、专控管理B、分级管理C、宽松管理D、以上都不对正确答案：A82、不属于诱骗式攻击的是A、网站挂马B、拒绝服务攻击C、网站钓鱼D、社会工程正确答案：B83、关于SEHOP,说法错误的是A、SEHOP是微软针对SEH攻击提出的一种安全防护方案B、SEHOP通过对程序中使用的SEH结构进行安全检测，判断应用程序是否遭受SEH攻击C、SEHOP是Windows异常处理机制中所采用的重要数据结构链表D、SEHOP的核心是检测程序栈中的所有SEH结构链表的完整性正确答案：C84、不能通过消息认证技术解决的攻击是A、内容修改B、顺序修改C、泄密D、计时修改正确答案：C85、电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效A、十年B、一年C、十二年D、五年正确答案：D86、信息安全政策是--一个组织机构的信息安全的A、关键方针B、最高方针C、重要方针D、主要方针正确答案：B87、下列有关对称密码的说法中，错误的是A、分组密码每一次加密一个明文分组B、列密码每一次加密一位或者一个字符C、IDEA属于序列密码D、SEAL属于序列密码正确答案：C88、下列访问控制模型中，支持安全标签的是A、集中访问控制B、基于角色的访问控制C、自主访问控制D、强制访问控制正确答案：D89、下列关于防火墙的描述中，错误的是()。A、不能防范病毒和内部驱动的木马B、不能防备针对防火墙开放端口的攻击C、不能防范内网之间的恶意攻击D、不能防范针对面向连接协议的攻击正确答案：D90、下列关于数据库安全特性检查的说法中，正确的是()。A、渗透测试的对象主要是数据库的身份验证系统和服务监听系统B、人工渗透测试和工具扫描不能同时使用C、数据库安全特性检查是对数据库的动态安全防护D、内部安全检测是对数据库内部的安全相关对象，包括SQL注入缺陷和缓冲区溢出漏洞等,进行扫描和检测正确答案：A91、下列选项中，属于单点登录缺点的是A、需要将用户信息放置在不同的存储中B、需细致地分配用户权限，否则易于造成用户权限过大C、存在两个以上认证服务器时，需互相交换认证信息D、简化了管理员的账户管理流程正确答案：B92、下列关于信息安全威胁