2024年全国软件水平考试之中级信息安全工程师考试重点试题附答案

姓名:_________________编号:_________________地区:_________________省市:_________________ 密封线 姓名:_________________编号:_________________地区:_________________省市:_________________ 密封线 密封线 全国软件水平考试考试重点试题精编注意事项:1.全卷采用机器阅卷，请考生注意书写规范；考试时间为120分钟。2.在作答前，考生请将自己的学校、姓名、班级、准考证号涂写在试卷和答题卡规定位置。

3.部分必须使用2B铅笔填涂;非选择题部分必须使用黑色签字笔书写，字体工整，笔迹清楚。

4.请按照题号在答题卡上与题目对应的答题区域内规范作答，超出答题区域书写的答案无效:在草稿纸、试卷上答题无效。一、选择题

1、面向身份信息的认证应用中，最常用的认证方式是()。A.基于数据库认证B.基于摘要算法认证C.基于PKI认证D.基于账户名口令

2、对于C2及以上安全级别的计算机系统来讲，（）是其必备的安全机制。A.审计功能B.过滤功能C.记录功能D.安全功能

3、（）是一种基于协议特征分析的DoS/DDoS检测技术A.弱口令检查B.TCPSYNCookieC.TCP状态检测D.HTTP重定向

4、TherearedifferentwaystoperformIPbasedDoSAttacks.ThemostcommonIPbasedDoSattackisthatanattackersendsanextensiveamountofconnectionestablishment（71）（e.g.TCPSYNrequests）toestablishhangingconnectionswiththecontrolleroraDPS.Suchaway,theattackercanconsumethenetworkresourceswhichshouldbeavailableforlegitimateusers.Inother（72）,theattackerinsertsalargeamountof（本题）packetstothedataplanebyspoofingallorpartoftheheaderfieldswithrandomvalues.Theseincomingpacketswilltriggertable-missesandsendlotsofpacket-inflowrequestmessagestothenetworkcontrollertosaturatethecontrollerresources.Insomecases,an（74）whogainsaccesstoDPScanartificiallygeneratelotsofrandompacket-inflowrequestmessagestosaturatethecontrolchannelandthecontrollerresources.Moreover,thelackofdiversityamongDPSsfuelsfuelsthefastpropagationofsuchattacks.Legacymobilebackhauldevicesareinherentlyprotectedagainstthepropagationofattacksduetocomplexandvendorspecificequipment.Moreover,legacybackhauldevicesdonotrequirefrequentcommunicationwithcorecontroldevicesinamannersimilartoDPSscommunicatingwiththecentralizedcontroller.ThesefeaturesminimizeboththeimpactandpropagationofDoSattacks.Moreover,thelegacybackhauldevicesarecontrolledasajointeffortofmultiplenetworkelement.Forinstance,asingleLongTermEvilution（LTE）eNodeBisconnectedupto32MMEs.Therefore,DoS/DDoSattackonasinglecoreelementwillnotterminatetheentireoperationofabackhauldevice（75）thenetwork.A.badB.casesC.fakeD.new

5、在《重要信息系统灾难恢复指南》中，最高级的灾难恢复能力是（）A.备用场地支持B.电子传输及完整设备支持C.数据零丢失和远程集群支持D.实时数据传输及完整设备支持

6、a=17，b=2，则满足a与b取模同余的是（）。A.4B.5C.6D.7

7、信息系统安全管理强调按照"三同步"原则进行，即（）、同步建设、同步运行。A.同步实施B.同步发布C.同步设计D.同步部署

8、防止用户被冒名欺骗的方法是：（）。A.对信息源发方进行身份验证B.进行数据加密C.对访问网络的流量进行过滤和保护D.用防火墙

9、Digitalcertificateisanidentitycardcounterpartinthe()society.Whenapersonwantstogetadigitalcertificate,hegenerateshisownkeypair,givesthe()keyaswellassomeproofofhisidentificationtotheCertificateAuthority(CA).CAwillchecktheperson'sidentificationtoassuretheidentityoftheapplicant.Iftheapplicantisreallytheone“whoclaimstobe”,CAwillissueadigitalcertificate,withtheapplicant'sname,e-mailaddressandtheapplicant'spublickey,whichisalsosigneddigitallywiththeCA's()key.WhenAwantstosendBamessage,insteadofgettingB'spublickey,AnowhastogetB'sdigitalcertificate.Afirstchecksthecertificateauthority's()withtheCA'spublickeytomakesureit'satrustworthycertificate.ThenAobtainB'spublickeyfromthecertificate,andusesitto(请作答此空)messageandsendstoB.A.encryptB.decryptC.encodeD.decode

10、《中华人民共和国网络安全法》规定，（请作答此空）负责统筹协调网络安全工作和相关监督管理工作。国务院（）依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。A.国务院电信主管部门B.工业和信息化部主管部门C.公安部门D.国家网信部门

11、TraditionalIPpacketforwardinganalyzesthe（）IPaddresscontainedinthenetworklayerheaderofeachpacketasthepackettravelsfromitssourcetoitsfinaldestination.ArouteranalyzesthedestinationIPaddressindependentlyateachhopinthenetwork.Dynamic（）protocolsorstaticconfigurationbuildsthedatabaseneededtoanalyzethedestinationIPaddress（theroutingtable）.TheprocessofimplementingtraditionalIProutingalsoiscalledhop-by-hopdestination-based（）routing.Althoughsuccessful，andobviouslywidelydeployed，certainrestrictions，whichhavebeenrealizedforsometime，existforthismethodofpacketforwardingthatdiminishis（请作答此空）.NewtechniquesarethereforerequiredtoaddressandexpandthefunctionalityofanIP-basednetworkinfrastructure.Thisfirstchapterconcentratesonidentifyingtheserestrictionsandpresentsanewarchiecture，knownasmultiprotocol（）switching，thatprovidessolutionssomeoftheserestrictions.A.reliabilityB.flexibilityC.stabilityD.capability

12、假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（）。A.对称加密技术B.分组密码技术C.公钥加密技术D.单向函数密码技术

13、《计算机信息系统安全保护等级划分准则》（GB17859——1999）中规定了计算机系统安全保护能力的五个等级，其中要求对所有主体和客体就行自助和强制访问控制的是（）。A.用户自助保护级B.系统审计保护级C.安全标记保护级D.结构化保护级

14、以下关于S/Key的说法不正确的是（）。A.S/Key不合适用于身份认证B.S/key口令是一种一次性口令生成方案C.S/key口令可解决重放攻击D.S/Key协议的操作时基于客户端/服务器端模式

15、下列IP地址中，属于私有地址的是（）。A.B.C.5D.44

16、依据《计算机信息系统安全保护等级划分标准》（GB17859）规定，从（请作答此空）开始要求系统具有安全审计机制。依据《可信计算机系统评估准则》TCSEC要求，（）及以上安全级别的计算机系统，必须具有审计功能。A.用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级

17、如果该S盒的输入110011，则其二进制输出为（）。A.0110B.1001C.0100D.0101

18、Withoutpropersafeguards,everypartofanetworkisvulnerabletoasecuritybreachorunauthorizedactivityfrom（请作答此空），competitors,orevenemployees.Manyoftheorganizationsthatmanagetheirown（）networksecurityandusetheInternetformorethanjustsending/receivinge-mailsexperienceanetwork（）andmorethanhalfofthesecompaniesdonotevenknowtheywereattacked.Smaller（）areoftencomplacent,havinggainedafalsesenseofsecurity.Theyusuallyreacttothelastvirusorthemostrecentdefacingoftheirwebsite.Buttheyaretrappedinasituationwheretheydonothavethenecessarytimeand（）tospendonsecurity.A.intrudersB.terminalsC.hostsD.users

19、在Linux系统中可用ls-al命令列出文件列表，（）列出的是一个符号连接文件。A.drwxr-xr-x2rootroot2202009-04-1417:30docB.-rw-r--r--1rootroot10502009-04-1417:30doc1C.lrwxrwxrwx1rootroot40962009-04-1417:30profileD.drwxrwxrwx4rootroot40962009-04-1417:30protocols

20、下列关于访问控制模型说法不准确的是（）。A.访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制B.自主访问控制模型允许主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问C.基于角色的访问控制RBAC中“角色”通常是根据行政级别来定义的D.强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策

21、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码，应该用（）方式阅读电子邮局件。A.网页B.纯文本C.程序D.会话

22、如果在某大型公司本地与异地分公司之间建立一个VPN连接，应该建立的VPN类型是（）。A.内部VPNB.外部VPNC.外联网VPND.远程VPN

23、以下关于审计的说法，不正确的是（请作答此空）。对于（）及以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。A.审计一种必要的安全手段。B.审计系统包含三大功能模块：审计事件的收集及过滤功能模块，审计事件的记录及查询功能模块，审计事件分析及响应报警功能模块。C.审计是指产生、记录并检查按时间顺序排列的系统事件记录的过程。D.安全操作系统一般将要审计的事件分成注册事件、使用系统的事件及利用隐蔽通道的事件三类。

24、如果发送方使用的加密密钥和接收方使用的解密秘钥不相同，从其中一个秘钥难以推出别一个秘钥，这样的系统称为（）。A.公钥加密系统B.单秘钥加密系统C.对称加密系统D.常规加密系统

25、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）。A.DHB.ECDSAC.ECDHD.CPK

26、对任何给定的hash函数值h，找到满足H(x)＝h的x在计算上是不可行的。这是hash函数的（）特性。A.单向性B.抗弱碰撞性C.可逆性D.抗强碰撞性

27、甲收到一份来自乙的电子订单后，将订单中的货物送达到乙时，乙否认自己曾经发送过这份订单，为了解除这种纷争，采用的安全技术是（）。A.数字签名技术B.数字证书C.消息认证码D.身份认证技术

28、数据容灾中最关键的技术是（）。A.远程数据复制B.应用容灾C.应用切换D.传输时延控制

29、（）原则是让每个特权用户只拥有能进行他工作的权力。A.木桶原则B.保密原则C.等级化原则D.最小特权原则

30、《计算机信息系统安全保护等级划分准则》（GB17859－1999）中规定了计算机系统安全保护能力的五个等级，其中，（）的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，还要考虑隐蔽通道。A.用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级

31、按照密码系统对明文的处理方法，密码系统可以分为（）。A.置换密码系统和易位密码系统B.密码学系统和密码分析学系统C.对称密码系统和非对称密码系统D.分组密码系统和序列密码系统

32、近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应用也得到了快速发展,我国国密标准中的标识密码算法是（）。A.SM2B.SM3C.SM4D.SM9

33、人为的安全威胁包括主动攻击和被动攻击，以下属于主动攻击的是（）。A.后门B.流量分析C.信息窃取D.数据窥探

34、设在RSA的公钥密码体制中，公钥为（e，n）=（13，35），则私钥d=（）。A.11B.13C.15D.17

35、安全电子交易协议SET是由VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中，正确的是（）。A.SET是一种基于流密码的协议B.SET不需要可信的第三方认证中心的参与C.SET要实现的主要目标包括保障付款安全、确定应用的互通性和达到全球市场的可接受性D.SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性

36、Computernetworksmaybedividedaccordingtothenetworktopologyuponwhichthenetworkisbased,suchas(请作答此空)network,starnetwork,ringnetwork,meshnetwork,star-busnetwork,treeorhierarchicaltopologynetwork.Networktopologysignifiesthewayinwhichdevicesinthenetworkseetheirphysical()tooneanother.Theuseoftheterm“logical”hereissignificant.Thatis,networktopologyisindependentofthe“(（）)”hierarchyofthenetwork.Evenifnetworkedcomputersarephysicallyplacedinalineararrangement,iftheyareconnectedviaahub,thenetworkhasa()topology,ratherthanabustopology.Inthisregard,thevisualandoperationalcharacteristicsofanetworkaredistinct;thelogicalnetworktopologyisnotnecessarilythesameasthephysicallayout.Networksmaybeclassifiedbasedonthemethodofdatausedtoconveythedata,theseincludedigitaland()networks.A.mainlineB.busC.trunkD.hybrid

37、（）扫描是向目标端口发送FIN+URG+PUSH分组。按照RFC793的规定，目标系统应该给所有关闭着的端口发送回一个RST分组。（请作答此空）扫描是向目标端口发送一个FIN分组。按照RFC793的规定，目标端口应该给所有关闭着的端口发回一个RST分组，而打开着的端口则往往忽略这些请求。此方法利用了TCP/IP实现上的一个漏洞来完成扫描，通常只在基于UNIX的TCP/IP协议栈上才有效。A.TCPconnectB.TCPSYNC.TCPFIND.TCPXmas树

38、一个密码系统如果用E表示加密运算，D表小解密运算，M表示明文,C表示密文,则下面描述必然成立的是（）。A.E（E（M））=CB.D（E（M））=MC.D（E（M））=CD.D（D（M））=M

39、分级保护针对的是涉密信息系统，划分等级不包括？（）A.秘密B.机密C.绝密D.公开

40、安全备份的策略不包括（）。A.所有网络基础设施设备的配置和软件B.所有提供网络服务的服务器配置C.网络服务D.定期验证备份文件的正确性和完整性

41、2017年6月1日，（）开始施行。A.中华人民共和国计算机信息系统安全保护条例B.计算机信息系统国际联网保密管理规定C.中华人民共和国网络安全法D.中华人民共和国电子签名法

42、两个密钥三重DES加密：c=EK1[DK2[EK1[p]]，K1≠K2其有效的密钥长度为（）。A.56B.128C.168D.112

43、关于数据库中需要满足一些常见的安全策略原则，以下四个选项中，关于安全策略原则说法不正确的是（）。A.最小特权原则是指将用户对信息的访问权限进行有效约束，使得该用户仅被允许访问他应该访问的信息范围内，只让访问用户得到相当有限的权利B.最大共享原则是指让用户尽可能地能够访问那些他被允许访问的信息，使得不可访问的信息只局限在不允许访问这些信息的用户范围内，从而保证数据库中的信息得到最大限度的利用C.在开放系统中，存取规则规定的是哪些访问操作是不被允许的D.在封闭系统中，如果某条访问规则丢失，就会导致未经许可的访问发生

44、以下说法不正确的是（）A.扫描器是反病毒软件的核心，决定着反病毒软件的杀毒效果。大多数反病毒软件同时包含多个扫描器。B.恶意行为分析是通过对恶意样本的行为特征进行分析和建模，从中抽取恶意代码的行为特征，在应用执行过程中，判断应用的行为序列是否符合某些已知的恶意行为。C.基于特征码的扫描技术和基于行为的检测技术都需要执行潜在的恶意代码并分析它们的特征或行为，但是这可能会给系统带来安全问题。D.在恶意代码检测技术中，沙箱技术会破坏主机上或其他程序数据。

45、杂凑函数SHAl的输入分组长度为（）比特。A.128B.256C.512D.1024

46、以下选项中，不属于生物识别中的表明行为特征方法的是（）。A.签名B.行走步态C.脸型D.语音

47、信息安全事件，是指由于自然或者（）以及软硬件本身缺陷或故障的原因，对信息系统造成危害或对社会造成负面影响的事件。A.故意B.无意C.人为D.过失

48、计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程，叫计算机的（）。A.无线泄露B.电离泄露C.电磁泄漏D.信息泄露

49、关于SQL注入说法正确的是（）。A.SQL注入攻击是攻击者直接对web数据库的攻击B.SQL注入攻击除了可以让攻击者绕过认证之外，危害不大C.加固服务器可能会造成SQL注入漏洞D.SQL注入攻击，可以造成整个数据库全部泄露

50、Trustistypicallyinterpretedasasubjectivebeliefinthereliability，honestyandsecurityofanentityonwhichwedepend（）ourwelfare.Inonlineenvironmentswedependonawidespectrunofthings,rangingfromcomputerhardware,softwareanddatatopeopleandorganizations.Asecuritysolutionalwaysassumescertainentitiesfunctionaccordingtospecificpolicies.Totrustispreciselytomakethissortofassumptions,hence,atrustedentityisthesameasanentitythatisassumedtofunctionaccordingtopolicy.Aconsequenceofthisisthatatrustcomponentofasystemmustworkcorrectlyinorderforthesecurityofthatsystemtohold,meaningthatwhenatrusted（本题）fails,thenthesytemsandapplicationsthatdependonitcan（）beconsideredsecure.Anoftencitedarticulationofthisprincipleis:＂atrustedsystemorcomponentisonethatcanbreakyoursecuritypolicy”(whichhappenswhenthetrustsystemfails).Thesameappliestoatrustedpartysuchasaserviceprovider(SPforshort)thatis,itmustoperateaccordingtotheagreedorassumedpolicyinordertoensuretheexpectedlevelofsecurtyandqualityofservices.Aparadoxicalconclusiontobedrawnfromthisanalysisisthatsecurityassurancemaydecreasewhenincreasingthenumberoftrustedcomponentsandpartiesthataserviceinfrastructuredependson.Thisisbecausethesecurityofaninfrastructureconsistingofmany.Trustedcomponentstypicallyfollowstheprincipleoftheweakestlink,thatis,inmanysituationsthetheoverallsecuritycanonlybeasstrongastheleastreliableorleastsecureofallthetrustedcomponents.Wecannotavoidusingtrustedsecuritycomponents,butthefewerthebetter.Thisisimportanttounderstandwhendesigningtheidentitymanagementarchitectures,thatis,fewerthetrustedpartiesinanidentitymanagementmodel,strongerthesecuritythatcanbeachievedbyit.Thetransferofthesocialconstructsofidentityandtrustintodigitalandcomputationalconceptshelpsindesigningandimplementinglargescaleonlinemarketsandcommunities,andalsoplaysanimportantroleintheconvergingmobileandInternetenvironments.Identitymanagement(denotedIdmhereafter)isaboutrecognizingandverifyingthecorrectnessofidentitiedinonlineenvironment.Trustmanagementbecomesacomponentof（）wheneverdifferentpartiesrelyoneachotherforidentityprovisionandauthentication.IdMandTrustmanagementthereforedependoneachotherincomplexwaysbecausethecorrectnessoftheidentityitselfmustbetrustedforthequalityandreliabilityofthecorrespondingentitytobetrusted.IdMisalsoanessentialconceptwhendefiningauthorisationpoliciesinpersonalisedservices.Establishingtrustalwayshasacost,sothathavingcomplextrustrequirementtypicallyleadstohighoverheadinestablishingtherequiredtrust.Toreducecoststherewillbeincentivesforstakeholdersto“cutcorners”regardingtrustrequirements,whichcouldleadtoinadequatesecurity.ThechallengeistodesignIdMsystemswithrelativelysimpletrustrequirements.CryptographicmechanismsareoftenacorecomponentofIdMsolutions,forexample,forentityanddataauthentication.Withcryptography,itisoftenpossibletopropagatetrustfromwhereitinitiallyexiststowhereitisneeded.Theestablishmentofinitial（）usuallytakesplaceinthephysicalworld,andthesubsequentpropagationoftrusthappensonline,ofteninanautomatedmanner.A.entityB.personC.componentD.thing二、多选题

51、针对网络信息系统的容灾恢复问题，国家制定和颁布了《信息安全技术信息系统灾难恢复规范（GB/T20988-2007）》该规范定义了六个灾难恢复等级和技术要求。（请作答此空）中备用场地也提出了支持7×24小时运作的更高的要求。（）要求每天多次利用通信网络将关键数据定时批量传送至备用场地，并在灾难备份中心配置专职的运行管理人员。A.第1级B.第2级C.第3级D.第4级

52、所谓个人位置隐私，是指由于服务或系统需要用户提供自身的"身份，位置，时间"三元组信息而导致的用户隐私泄露问题。（）是指在移动用户和位置服务提供商之间设置一个可信第三方匿名服务器，因此也被称为可信第三方体系结构。A.集中式体系结构B.客户/服务器体系结构C.B/S体系结构D.分布式体系结构

53、应急响应计划中的（）是标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性A.风险评估B.业务影响分析C.制订应急响应策略D.制定网络安全预警流程

54、以下选项中,不属于生物识别方法的是（）。A.掌纹识别B.个人标记号识别C.人脸识别D.指纹识别

55、以下漏洞扫描工具中，（）提供基于Windows的安全基准分析。A.COPSB.TigerC.MBSAD.Nmap

56、网络系统中针对海量数据的加密,通常不采用（）方式。A.会话加密B.公钥加密C.链路加密D.端对端加密

57、以下关于认证技术的叙述中，错误的是（）。A.指纹识别技术的利用可以分为验证和识别B.数字签名是十六进制的字符串C.身份认证是用来对信息系统中实体的合法性进行验证的方法D.消息认证能够确定接收方收到的消息是否被篡改过

58、《中华人民共和国密码法》于（）生效。A.2019年12月31日B.2020年1月1日C.2020年12月31日D.2020年1月31日

59、TCP协议使用（）次握手机制建立连接，当请求方发出SYN连接请求后，等待对方回答（请作答此空），这样可以防止建立错误的连接。A.SYN，ACKB.FIN，ACKC.PSH，ACKD.RST，ACK

60、在我国，对于不具有合法性的证据是否予以排除，客观上存在着一个利益衡量的问题。以下说法不正确的是（）。A.通过窃录方式获得的电子证据不予采纳B.通过非法搜查、扣押等方式获得的电子证据，情节严重的一般不予采纳C.通过核证程序得来的电子证据，在电子商务纠纷案件中不予采纳D.通过非法软件得来的电子证据，在民事诉讼中一般不予采纳

61、在PKI中,关于RA的功能,描述正确的是（）。A.RA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构B.RA负责产生,分配并管理PKI结构下的所有用户的数字证书,把用户的公钥和用户的其他信息绑在一起,在网上验证用户的身份C.RA负责证书废止列表CRL的登记和发布D.RA负责证书申请者的信息录入,审核以及证书的发放等任务,同时,对发放的证书完成相应的管理功能

62、面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。从数据挖掘的角度看，不属于隐私保护技术的是（69）。A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术

63、Withoutpropersafeguards,everypartofanetworkisvulnerabletoasecuritybreachorunauthorizedactivityfrom（作答此空），competitors,orevenemployees.Manyoftheorganizationsthatmanagetheirown（）networksecurityandusetheInternetformorethanjustsending/receivinge-mailsexperienceanetwork（）andmorethanhalfofthesecompaniesdonotevenknowtheywereattacked.Smaller（）areoftencomplacent,havinggainedafalsesenseofsecurity.Theyusuallyreacttothelastvirusorthemostrecentdefacingoftheirwebsite.Buttheyaretrappedinasituationwheretheydonothavethenecessarytimeand（）tospendonsecurity.A.intrudersB.terminalsC.hostsD.users

64、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码，应该用（）方式阅读电子邮局件。A.网页B.纯文本C.程序D.会话

65、下列IP地址中，属于私网地址的是（）。A.B.C.5D.44

66、SSH协议由多个协议组成，其中，（）负责进行服务器认证、数据机密性、信息完整性等方面的保护。A.应用层协议B.传输层协议C.用户认证协议D.连接协议

67、Nonce是一个只被使用一次的任意或非重复的随机数值，可以防止（）攻击。A.重放B.抵赖C.DDOSD.时间戳

68、下列报告中，不属于信息安全风险评估识别阶段输出报告的是（）。A.资产价值分析报告B.风险评估报告C.威胁分析报告D.已有安全措施分析报告

69、TraditionalIPpacketforwardinganalyzesthe（）IPaddresscontainedinthenetworklayerheaderofeachpacketasthepackettravelsfromitssourcetoitsfinaldestination.ArouteranalyzesthedestinationIPaddressindependentlyateachhopinthenetwork.Dynamic（）protocolsorstaticconfigurationbuildsthedatabaseneededtoanalyzethedestinationIPaddress（theroutingtable）.TheprocessofimplementingtraditionalIProutingalsoiscalledhop-by-hopdestination-based（）routing.Althoughsuccessful，andobviouslywidelydeployed，certainrestrictions，whichhavebeenrealizedforsometime，existforthismethodofpacketforwardingthatdiminishis（请作答此空）.NewtechniquesarethereforerequiredtoaddressandexpandthefunctionalityofanIP-basednetworkinfrastructure.Thisfirstchapterconcentratesonidentifyingtheserestrictionsandpresentsanewarchiecture，knownasmultiprotocol（）switching，thatprovidessolutionssomeoftheserestrictions.A.reliabilityB.flexibilityC.stabilityD.capability

70、《全国人民代表大会常务委员会关于维护互联网安全的决定》明确了可依照刑法有关规定追究刑事责任的行为。其中（）不属于威胁互联网运行安全的行为；（请作答此空）不属于威胁国家安全和社会稳定的行为。A.通过互联网窃取、泄露国家秘密、情报或者军事秘密B.利用互联网煽动民族仇恨、民族歧视，破坏民族团结C.利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施D.利用互联网侮辱他人或者捏造事实诽谤他人

71、计算机犯罪是指利用信息科学技术且以计算机为犯罪对象的犯罪行为。具体可以从犯罪工具角度、犯罪关系角度、资产对象角度、信息对象角度等方面定义。从（请作答此空）角度，计算机犯罪是指以计算机资产作为犯罪对象的行为。从（）角度，计算机犯罪是以计算机和网络系统内的信息作为对象进行的犯罪，即计算机犯罪的本质特征是信息犯罪。A.犯罪工具角度B.犯罪关系角度C.资产对象角度D.信息对象角度

72、以下不属于信息安全风险评估中需要识别的对象是（）。A.资产识别B.威胁识别C.风险识别D.脆弱性识别

73、下列攻击中，不能导致网络瘫痪的是（）。A.溢出攻击B.钓鱼攻击C.邮件炸弹攻击D.拒绝服务攻击

74、AES结构由以下4个不同的模块组成，其中（）是非线性模块。A.字节代换B.行移位C.列混淆D.轮密钥加

75、关于BLP模型基本规则，以下四个选项中，说法不正确的是（）。A.BLP模型有两条基本的规则分别是简单安全特性规则和*特性规则B.简单安全特性规则要求主体只能向下读，不能向上读C.简单安全特性规则要求客体的保密级别不小于主体的保密级别D.特性规则要求主体只能向上写，不能向下写

76、下列报告中，不属于信息安全风险评估识别阶段输出报告的是（43）。A.资产价值分析报告B.风险评估报告C.威胁分析报告D.已有安全措施分析报告

77、刑法第二百八十六条（破坏计算机信息系统罪）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果特别严重的，处（）有期徒刑。A.三年以上B.十年以下C.五年以上D.五年以下

78、网闸采用了“代理+摆渡”的方式。代理的思想就是（）。A.内/外网之间传递应用协议的包头和数据B.可看成数据“拆卸”，拆除应用协议的“包头和包尾”C.内网和外网物理隔离D.应用协议代理

79、以下对跨站脚本攻击（XSS）的解释最准确的一项是（）。A.引诱用户点击虚假网络链接的一种攻击方法B.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C.一种很强大的木马攻击手段D.将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的

80、从安全属性对各种网络攻击进行分类，拒绝服务攻击是针对（）的攻击。A.机密性B.可用性C.可靠性D.真实性

81、Android使用（）作为操作系统A.WindowsB.ChromeOSC.LinuxD.Mac

82、如果在某大型公司本地与异地分公司之间建立一个VPN连接，应该建立的VPN类型是（）。A.内部VPNB.外部VPNC.外联网VPND.远程VPN

83、在DES加密算法中，密钥长度和被加密的分组长度分别是（）。A.56位和64位B.56位和56位C.64位和64位D.64位和56位

84、信息系统安全测评方法中模糊测试是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测程序中可能存在的安全漏洞、关于模糊测试，以下说法错误的是（）A.与白盒测试相比，具有更好的适用性B.模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作C.模糊测试不需要程序的源代码就可以发现问题D.模糊测试受限于被测系统的内容实现细节和复杂度

85、防火墙技术是一种（）安全模型。A.被动式B.主动式C.混合式D.以上都不是

86、WI-FI网络安全接入是一种保护无线网络安全的系统，WPA加密的认证方式不包括（）。A.WPA和WPA2B.WPA-PSKC.WEPD.WPA2-PSK

87、以下关于网络流量监控的叙述中，不正确的是（）。A.流量监测中所监测的流量通常采集自主机节点、服务器、路由器接口、链路和路径等B.数据采集探针是专门用于获取网络链路流量数据的硬件设备C.流量监控能够有效实现对敏感数据的过滤D.网络流量监控分析的基础是协议行为解析技术

88、分组密码可以按不同的模式工作，实际应用的环境不同应采用不同的工作模式。以下关于电码本模式（ECB），说法不正确的是（）。A.ECB要求数据的长度是密码分组长度的整数倍，否则最后一个数据块将是短块，这时需要特殊处理B.ECB方式是容易暴露明文的数据模式C.ECB间接利用分组密码对明文的各分组进行加密D.电码本方式是分组密码的基本工作模式

89、密码分析学是研究密码破译的科学，在密码分析过程中，破译密文的关键是（）。A.截获密文B.截获密文并获得秘钥C.截获密文，了解加密算法和解密算法D.截获密文，获得秘钥并了解解密算法

90、计算机系统的安全级别分为四级：D、C（C1、C2）、B（B1、B2、B3）和A。其中被称为选择保护级的是（）。A.C1B.C2C.B1D.B2

91、网络安全预警的分级主要考虑两个要素：（）与网络安全保护对象可能受到损害的程度。A.网络安全保护对象的重要程度B.网络安全保护对象的复杂程度C.网络安全保护对象的采购成本D.网络安全保护对象的承载用户数量

92、数字信封技术能够（）。A.隐藏发送者的真实身份B.保证数据在传输过程中的安全性C.对发送者和接收者的身份进行认证D.防止交易中的抵赖发生

93、安全电子邮件使用（）协议。A.PGPB.HTTPSC.MIMED.DES

94、《信息安全产品测评认证管理办法》根据信息产品安全测评认证对象和要素的不同，将信息安全产品认证分为四种类型，其中不包括（）。A.产品功能认证B.产品认证C.信息系统安全认证D.信息安全服务认证

95、下列选项中不符合一个完善的签名必须要求的是（）。A.签名是可信和可验证的，何人都可以验证签名的有效性B.签名是不可伪造的，除了合法签名者之外，任何人伪造签名是十分困难的C.签名是不可复制的D.签名是不唯一的

96、依据《信息安全等级保护管理办法》要求，某政府信息化办公室按照密级为机密的标准，对单位涉密信息系统实施分级保护，其保护水平总体上不低于国家信息安全等级保护()的水平。A.第二级B.第三级C.第四级D.第五级

97、以下关于IPSec协议的叙述中，正确的是（）。A.IPSec协议是解决IP协议安全问题的一种方案B.IPSec协议不能提供完整性C.IPSec协议不能提供机密性保护D.IPSec协议不能提供认证功能

98、以下哪一种方式是入侵检测系统所通常采用的：（）A.基于网络的入侵检测B.基于IP的入侵检测C.基于服务的入侵检测D.基于域名的入侵检测

99、如果发送方使用的加密密钥和接收方使用的解密秘钥不相同，从其中一个秘钥难以推出别一个秘钥，这样的系统称为（）。A.公钥加密系统B.单秘钥加密系统C.对称加密系统D.常规加密系统

100、在我国IPSecVPN技术规范中，定义IPSecVPN网关各类性能要求的前提是以太网帧长为（）字节（IPv6为1408字节）；（请作答此空）表示IPSecVPN网关在丢包率为0的条件下内网口达到的双向数据最大流量。A.每秒新建连接数B.加解密丢包率C.加解密时延D.加解密吞吐率

参考答案与解析

1、答案：D本题解析：暂无解析

2、答案：A本题解析：对于C2及以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。

3、答案：B本题解析：SYNCookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYNFlood攻击的一种手段。

4、答案：C本题解析：暂无解析

5、答案：C本题解析：《重要信息系统灾难恢复指南》将灾难恢复能力划分为6级。等级1：最低级，基本支持。等级2：备用场地支持。等级3：电子传输和设备支持。等级4：电子传输及完整设备支持。等级5：实时数据传输及完整设备支持。等级6：最高级，数据零丢失和远程集群支持。

6、答案：B本题解析：整数a、b关于模n是同余的充分必要条件是n整除|b-a|，记为n|b-a。b-a=17-2=15，n能整除15的值，在四个选项中只有5。

7、答案：C本题解析：信息系统安全管理按照"三同步"原则进行,即同步设计、同步建设、同步运行。

8、答案：A本题解析：身份验证可以防止冒名欺骗。

9、答案：A本题解析：数字证书相当于电脑世界的身份证。当一个人想获取数字证书时，他生成自己的一对密钥，把公钥和其他的鉴定证据送达证书授权机构CA，CA将核实这个人的证明，来确定申请人的身份。如果申请人确如自己所声称的，CA将授予带有申请人姓名、电子邮件地址和申请人公钥的数字证书，并且该证书由CA用其私有密钥做了数字签名。当A要给B发送消息时，A必须得到B的数字证书，而非B的公钥。A首先核实带有CA公钥的签名，以确定是否为可信赖的证书。然后，A从证书上获得B的公钥，并利用公钥将消息加密后发送给B。

10、答案：D本题解析：《中华人民共和国网络安全法》第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

11、答案：B本题解析：传统的IP数据包转发分析目的IP地址,该地址包含在每个从源到最终目的地的网络层数据包的头部。一个路由器的分析目的IP地址，该地址独立在网络中的每跳。动态路由协议或静态配置构建数据库，该数据数据库需要分析目的IP地址(路由表)。实施传统的IP路由的过程也叫作基于目的地的逐条单播路由。虽然成功而且明显得广泛部署,并实现了一段时间，但是必然有某些限制,这种数据包转发方法的存在是减少了灵活性。新技术是因此需要地址和扩展一个基于ip的网络基础设施的功能。第一章集中在识别一种新的架构的限制条件和反馈,该架构众所周知是多协议标签交换,它为其中的一些限制条件提供解决方案。

12、答案：A本题解析：加密密钥和解密密钥相同的算法，称为对称加密算法。

13、答案：D本题解析：本题在书中第35-38页，五个保护等级分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级，随着级别的提高，计算机信息系统安全保护能力逐渐增强。结构化保护级要求对所有主体和客体进行自主和强制访问控制。本题同样知识点的题目在18年也进行了考查，需要引起重视。

14、答案：A本题解析：S/Key口令是一种一次性口令生成方案。S/Key可以对访问者的身份与设备进行综合验证。S/Key协议的操作时基于客户端/服务器端模式。客户端可以是任何设备，如普通的PC或者是有移动商务功能的手机。而服务器一般都是运行Unix系统。S/Key协议可以有效解决重放攻击。

15、答案：C本题解析：一共有三个私有地址段，地址范围分别是～55；～55；～55。

16、答案：B本题解析：依据《可信计算机系统评估准则》TCSEC要求，C2及以上安全级别的计算机系统，必须具有审计功能。依据《计算机信息系统安全保护等级划分标准》（GB17859）规定，从第二级（系统审计保护级）开始要求系统具有安全审计机制。

17、答案：C本题解析：已知S盒的输入为110011，取其输入第一位和第六位数字为S盒的行11，即第3行，中间四位为S盒的列1001，即第9列，在S盒中查到第3行和第9列交叉的数字为4，其二进制输出为0100。

18、答案：A本题解析：如果缺乏适当的安全措施，网络的每一部分对安全部门来说都是脆弱的，特别是遭受来自闯入者、竞争对手甚至内部雇员的未经授权的侵入活动时。很多管理自己内部网络的组织，大部分都使用互联网，而且不仅仅是发送/接收电子邮件，这些公司都经历过网络攻击，大部分甚至还不知道他们被攻击过。那些小公司还会因为虚假的安全感觉而洋洋自得。他们通常只能对最近发现的计算机病毒或者给他们网站造成的损害做出反应。但是他们已经陷入了没有必要的时间和资源来进行安全防护的困境。

19、答案：C本题解析：

20、答案：C本题解析：基于角色的访问控制（RBAC）下，由安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。

21、答案：B本题解析：文本文件通常不会受电子邮件中的恶意代码的感染或携带恶意代码。

22、答案：D本题解析：在某大型公司本地与异地分公司之间建立一个VPN连接，应该建立远程VPN。远程VPN主要解决企业员工或小分支机构等远程用户来安全访问企业内部网。

23、答案：A本题解析：审计是其它安全机制的有力补充，它贯穿计算机安全机制实现的整个过程。对于C2及以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。

24、答案：A本题解析：公钥加密系统又称之为非对称加密系统，其使用的加密密钥和解密密钥不同，从其中的一个密钥难以推出另一个密钥。

25、答案：C本题解析：国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，包括对称密码算法：SMS4；签名算法：ECDSA；密钥协商算法：ECDH；杂凑算法：SHA-256；随机数生成算法等。

26、答案：A本题解析：单向性：对任何给定的hash函数值h，找到满足H(x)＝h的x在计算上是不可行的。

27、答案：A本题解析：数字签名技术能使签名者事后不能抵赖自己的签名，任何其他人不能伪造签名以及能在公正的仲裁者面前通过验证签名来确认其真伪。

28、答案：A本题解析：容灾技术的主要目的是在灾难发生时保证计算机系统能继续对外提供服务。根据保护对象的不同，容灾可以分为数据容灾和应用容灾两类。应用容灾是完整的容灾解决方案，实现了应用级的远程容灾，真正实现了系统和数据的高可用性。数据容灾是应用容灾的基础，而数据容灾中最关键的技术是远程数据复制。

29、答案：D本题解析：最小特权原则，即每个特权用户只拥有能进行他工作的权力。

30、答案：D本题解析：依据《计算机信息系统安全保护等级划分准则》（GB17859－1999）。结构化保护级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。

31、答案：D本题解析：按照密码系统对明文的处理方法，密码系统可以分为分组密码系统和序列密码系统。

32、答案：D本题解析：列明了无线局域网产品需要使用的系列密码算法。SM9标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等；SM9密码算法的密钥长度为256位，SM9密码算法的应用与管理不需要数字证书、证书库或密钥库，该算法于2015年发布为国家密码行业标准(GM/T0044-2016)。SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。SM3是中华人民共和国政府采用的一种密码散列函数标准。SMS4算法是在国内广泛使用的WAPI无线网络标准中使用的对称加密算法。

33、答案：A本题解析：主动攻击涉及修改数据流或创建数据流，它包括假冒、重放、修改消息与拒绝服务。被动攻击只是窥探、窃取、分析重要信息，但不影响网络、服务器的正常工作。

34、答案：B本题解析：已知n=35，则可推断ρ（n）=（5-1）*（7-1）=24，则d*e≡1mod24，算出d=13。

35、答案：C本题解析：SET协议是应用层的协议，是一种基于消息流的协议，一个基于可信的第三方认证中心的方案。SET改变了支付系统中各个参与者之间交互的方式，电子支付始于持卡人。

36、答案：B本题解析：计算机网络的划分是根据网络所基于的网络拓扑，如总线网络，星型网络，环形网络，网状网络，星型-总线网络，树/分层拓扑网络。网络拓扑表示网络中的设备看待相互之间物理关系的方式。“逻辑”这个术语的使用在这里是很重要的。因为网络拓扑和网络中的物理层是独立的，虽然联网的计算机从物理上展现出来的是线型排列，但是如果他们通过一个集线器连接，这个网络就是星型拓扑，而不是总线型拓扑。在这方面，肉眼看到的和网络的运行特点是不一样的。逻辑网络拓扑不一定非要和物理布局一样。网络或许可以基于传送数据的方法来划分，这就包括数字网络和模拟网络。

37、答案：C本题解析：TCPXmas树扫描。该方法向目标端口发送FIN、URG和PUSH分组。按照RFC793的规定，目标系统应该给所有关闭着的端口发送回一个RST分组。TCPFIN扫描是向目标端口发送一个FIN分组。按照RFC793的规定，目标端口应该给所有关闭着的端口发回一个RST分组，而打开着的端口则往往忽略这些请求。此方法利用了TCP/IP实现上的一个漏洞来完成扫描，通常只在基于UNIX的TCP/IP协议栈上才有效。

38、答案：B本题解析：先对M进行E加密变换为密文，再进行D解密还原为明文M。

39、答案：D本题解析：涉密信息系统，划分等级包括秘密、机密、绝密。

40、答案：C本题解析：网络服务是指一些在网络上运行的、面向服务的、基于分布式程序的软件模块，通常采用HTTP和XML等互联网通用标准，使人们可以在不同的地方通过不同的终端设备访问WEB上的数据，如网上订票，查看订座情况。

41、答案：C本题解析：《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。2018年再次考察了相同的知识点，希望大家注意。

42、答案：D本题解析：两个密钥三重DES的有效密钥长度为112位。涉及两个密钥K1，K2，实现三次加密，分别用K1加密，K2解密，K1再加密。有效密钥为2*56=112位。

43、答案：D本题解析：在开放系统中，存取规则规定的是哪些访问操作是不被允许的，如果某一条访问规则丢失，就会导致未经许可的访问发生。在封闭系统中，访问规则规定的仅仅是哪些访问是被许可的。如果某条访问规则丢失，只会使得访问限制更加严格。

44、答案：D本题解析：沙箱里的资源被虚拟化或被间接化，沙箱里的不可信程序的恶意行为往往会被限制在沙箱中。

45、答案：C本题解析：SHA-1算法对输入按512位进行分组，并以分组为单位进行处理。

46、答案：C本题解析：经验表明身体特征（指纹、掌纹、视网膜、虹膜、人体气味、脸型、手的血管和DNA等）和行为特征（签名、语音、行走步态等）可以对人进行唯一标示，可以用于身份识别。

47、答案：C本题解析：信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害或对社会造成负面影响的事件。

48、答案：C本题解析：计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程，叫计算机的电磁泄漏。

49、答案：D本题解析：SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。攻击者通过SQL注入攻击可以拿到数据库的访问权限，之后就可以拿到数据库中所有的数据。

50、答案：A本题解析：暂无解析

51、答案：D本题解析：信息安全技术信息系统灾难恢复规范（GB/T20988-2007）》中：第3级是电子传输和部分设备支持。第3级不同于第2级的调配数据处理设备和具备网络系统紧急供货协议，其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地，并在灾难备份中心配置专职的运行管理人员;对于运行维护来说，要求制定电子传输数据备份系统运行管理制度。第4级是电子传输及完整设备支持。第4级相对于第3级中的配备部分数据处理设备和网络设备而言，须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备，并处于就绪状态;备用场地也提出了支持7×24小时运作的更高的要求，同时对技术支持和运维管理的要求也有相应的提高。

52、答案：A本题解析：集中式体系结构是指在移动用户和位置服务提供商之间设置一个可信第三方匿名服务器，因此也被称为可信第三方体系结构。可信第三方匿名服务器主要负责收集当前移动用户的精确位置，并对精确的位置信息进行匿名处理以及对返回的查询结果求精等。

53、答案：A本题解析：应急响应计划中的风险评估是标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性。

54、答案：B本题解析：对一个人进行识别时，主要个人特征认证技术有：指纹识别、声音识别、笔迹识别、虹膜识别和手形等。

55、