S结构软件的安全保密性测试

AES算法加解密原理及安全性分析刘帅卿一、AES算法简介AES算法是高级加密标准算法的简称，其英文名称为Advanced Encryption Standard。

该加密标准的出现是因为随着对称密码的发展,以前使用的DES（Data Encryption Standard数据加密标准）算法由于密钥长度较小(56位),已经不适应当今数据加密安全性的要求，因此后来由Joan Daeman和Vincent Rijmen提交的Rijndael算法被提议为AES的最终算法。

AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥，并且用128位(16字节)分组加密和解密数据。

与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。

通过分组密码返回的加密数据的位数与输入数据相同。

迭代加密使用一个循环结构，在该循环中重复置换(permutations)和替换(substitutions)输入数据。

加之算法本身复杂的加密过程使得该算法成为数据加密领域的主流。

二、AES算法的基本概念1、有限域（GF）由于AES算法中的所有运算都是在有限域当中进行的，所以在理解和实现该算法之前先得打好有限域这一基石才行。

通常的数学运算都是在实数域中进行，而AES算法则是在有限域中进行，我们可以将有限域看成是有确定边界范围的正整数集合，在该集合当中，任意两个元素之间的运算结果都仍然落在该集合当中，也即满足运算封闭性。

那么如何才能保证这样的“有限性”（也即封闭性）呢？GF（2w）被称之为伽罗华域，是有限域的典型代表。

随着w（=4,8,16,…）的取值不同所形成的有限域范围也不同。

AES算法中引入了GF域当中对数学运算的基本定义：将两数的加减法定义为两者的异或运算；将两数的乘法定义为多项式间的相乘并求余运算，其中被用于求余运算的除数被称为不可约多项式（或者称为求余多项式），它是固定的一个多项式：m(x) =8431x x x x ++++（数值为十六进制的11B ，这里是假定w=8时的情形）。

CISP考试认证(习题卷23)第1部分：单项选择题，共92题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]()第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照()实行分级保护.()应当按照国家保密标准配备保密设施、设备.()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经()后,方可投入使用.A)《保密法》；涉密程度；涉密信息系统；保密设施；检查合格B)《安全保密法》；涉密程度；涉密信息系统；保密设施；检查合格C)《国家保密法》；涉密程度；涉密系统；保密设施；检查合格D)《网络保密法》；涉密程度；涉密系统；保密设施；检查合格答案:A解析:《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护.涉密信息系统应当按照国家保密标准配备保密设施、设备.保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经检查合格后,方可投入使用.2.[单选题]在 P DR 模型的基础上,发展成为了(Poli Cy-Prote Ction- Dete Ction-Response,PP DR)模型,即策略-保护- 检测-响应。

模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。

如图所示。

在 PP DR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。

策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护 能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。

检测这一环节,使安全防护从被动防护演进到主动防御,5是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的()调整到风险最低的状态,包括恢复系统功能和数据,启动 备份系统等。

华中师范大学网络教育学院《电子商务安全认证》练习测试题库参考答案一、填空1、保密性2、数据库安全3、补丁程序4、绝密级5、远程磁盘镜像技术6、单钥加密体制7、设计密钥8、验证算法9、信息流模型10、密钥11、证书数据12、证书发放13、根证实机构14、感染性15、引导扇区16、完整性17、密钥管理18、基本证书定义19、密钥的分配及管理20、多余度21、设计密文22、注解23、证件功能24、非对称密钥25、完整性控制26、文件共享27、处理28、代理服务型29、保密30、有损压缩31、可靠性32、确权33、锁定法34、可信赖性35、制度性36、传染37、同步38、私用密钥链39、流密码40、有效性控制二、单项选择1、B2、C3、A4、C5、D6、A7、A8、C9、D10、A11、D12、C13、B14、A15、B16、D17、D18、D19、A20、C21、D22、A23、D24、B25、D26、C27、A28、D29、A30、B31、B32、C三、名词解释1、通信流分析是一种特殊的被动型攻击。

攻击指通过分析网络中某一路径的信息流量和流向，就可以判断某种事件的发生。

一般采用报文填充和改变传输路径来对抗这种攻击。

2、计算机病毒指编制或者在计算机程序种插入的破坏计算机功能或破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

3、证书政策证书政策由一组规则组成，用以指明证书用于特定社团或具有相同安全要求的应用类型。

证书政策由发证机构和证书用户共同认可，并以对象标识符形式注册和公开发布，对象标识符在通信协议中传递，作为使用该证书政策的表示。

4、堡垒主机指一个计算机系统，作为防火墙的一个组成部分，它是内部网络用户的主要连接点，同时又向外部网络公开的计算机。

5、盲签名签名人对所签的文件不知道其内容，只是以公正人的资格证实了文件。

6、数字签名在现代电子商务中，代替传统的手写签名，用0和1的字符串来表示消息。

1.OS1安全框架是对OS安全体系结构的扩展。

(对)2.OS安全框架目标是解决开放系统”的安全服务。

(对)3.OS1安全框架中的安全审计框架目的在于测试系统控制是否充分(对4.S安全框架中的安全审计框架描述了如何通过访问控制等方法来保护敏感数据,提出了机密性机制的分类方法,并阐述了与其他安全服务和机制的相互关系。

(错)5.访问控制的一个作用是保护敏感信息不经过有风险的环境传送(对)6.数据机密性就是保护信息不被泄漏或者不暴露给那些未经授权的实体(对)7.数据机密性服务可分为两种:数据的机密性服务和业务流机密性服务。

前者使得攻击者无法通过观察网络中的业务流获得有用的敏感信息后者使得攻击者无法从获得的数据中获知有用的敏感信息。

(错)8.密码技术是信息安全的核心技术和支撑性基础技术,是保护信息安全的主要手段之一(对)9.密码技术是信息安全的核心技术和支撑性基础技术,是保护信息安全的唯一手段(错)10.在实践中,访问控制功能只能由某一特定模块完成(错)11.访问控制机制介于用户(或者用户的某个进程与系统资源(包括应用程序、操作系统、防火墙、路由器、文件以及数据库等)之间。

(对)12.访问控制的作用只能防止部分实体以任何形式对任何资源进行非授权的访问(错)13.侧信道技术指利用密码设备在密码算法执行过程中产生的其他信息,如能量消耗变化、电磁辐射变化等非通信信道物理信息分析的硬件安全技术,主要分为能量分析、计时分析、错误注入和电磁泄漏等几大类攻击技术(对)14.物理与硬件安全是相对于物理破坏而言的(对)15.网络安全技术主要包括网络攻击技术和网络防御技术(对)16.网络安全技术只包括网络防御技术(错)17.网络安全技术为网络提供了安全,同时实现了对网络中操作的监管。

(对)18.任何信息网络存在的目的都是为某些对象提供服务,我们常常把这些服务称为应用。

(对)19.应用安全技术是指以保护特定应用为目的的安全技术(对)20.鉴别提供了关于某个实体(如人、机器、程序、进程等)身份的保证,为通信中的对等实体和数据来源提供证明(对)21.数据完整性,是指保证数据在传输过程中没有被修改、插入或者删除。

信息安全基础(习题卷10)第1部分：单项选择题，共61题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在安全区域划分中DMZ 区通常用做A)数据区B)对外服务区C)重要业务区答案:B解析:2.[单选题]用户登录一些网站时，会要求输入图形认证码，以下关于图形认证码，说法错误的是：A)图形认证码是随机产生的B)图形认证码具有时间限制，在一定时间段内可以多次使用C)一些图形认证码包含一些噪音干扰信息D)图形认证码通常由数字和字母组成答案:B解析:了解图形认证码3.[单选题]列哪一项不属于《中华人民共和国全国青少年网络文明公约》？( )A)要增强自护意识，不随意约会网友B)要有益身心健康，不沉溺虚拟时空C)要鉴别网络资源，不盗用知识产权D)要善于网上学习，不浏览不良信息答案:C解析:4.[单选题]网页恶意代码通常利用（ ）来实现植入并进行攻击。

A)口令攻击B)U盘工具C)IE浏览器的漏洞D)拒绝服务攻击答案:C解析:5.[单选题]下列IN类资源记录类型中，不属于DNS但属于DNSSEC的是( )。

A)AAAB)C)AD)SSRIG答案:D解析:6.[单选题]开发一个风险管理程序时进行的第一项活动是:( )A)威胁评估B)数据分类C)资产盘点D)并行模拟答案:C解析:7.[单选题]当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（）A)访问控制列表B)系统服务配置情况C)审计记录D)用户账户和权限的设置答案:C解析:8.[单选题]一个域由 ADMINISTRATION SERVER 和一个集群构成，该集群包括两个 SERVERA 和 SERVERB 两个 MANAGED SERVER，ADMINISTRATION SERVER 和 SERVERA 在 MACHINEA，SERVERB 在 MACHINEB。

用户抱怨性能迟缓。

WEBLOGIC 系统管理员发现日志系统无报错，并且系统 不存在 CPU 的瓶颈，下面（ ）是可能的原因A)SERVER 没有足够的 RAMB)SERVER 需要更大的执行队列C)SERVER 的 ACCEPTBACKLOG 参数设置太低D)系统应该使用硬件的 SSL 加速器答案:C解析:9.[单选题]某业务系统具有上传功能，页面上传的文件只能上传到UPLOAD目录，由于上传页面没有过滤特殊文件后缀，存在上传漏洞，而短时间厂家无法修改上传页面源码，现采取如下措施，哪种措施可以暂时防止上传漏洞危害又不影响业务系统正常功能。

注：下文中蓝色部分为范例，请用户依实际情况填写，红色部分请在正式文档中删除
X X设备管理系统V1.0
软件测试大纲
1、测试目的：通过测试验证该系统已经达到设计指标。

2、测试环境（对于C/S、B/S结构的软件请分别说明客户端和服务器端的软硬件环境）
硬件环境：CPU：PII 166以上，RAM：32MB，硬盘：2GB以上，CD-ROM 和 1.44软驱
软件环境：Windows NT 4.0/98/95操作系统
3、测试方法：使用以用户文档为基础构造的测试用例来测试程序和数据。

4、测试项目：
a) 系统安装与卸载（对于说明书中注明由开发方提供系统安装和配置服务的软件，该部分可免测，请在测试方法中注明）
b）软件功能测试（根据软件说明书中提及的功能模块填写本部分，下表中内容仅为示范，行数可自由增删，如需提供测试用例，请附在文档后或另附文件）。

高级系统架构师-系统架构设计论文1、论文：论软件三层结构的设计目前，三层结构或多层结构已经成为软件开发的主流，采用三层结构有很多好处，例如，能有效降低建设和维护成本，简化管理，适应大规模和复杂的应用需求，可适应不断的变化和新的业务需求等。

在三层结构的开发中，中间件的设计占重要地位。

请围绕“软件三层结构的设计”论题，依次对以下3个方面进行论述。

（1）概要叙述你参与分析和开发的软件项目以及你所担任的主要工作。

（2）具体讨论你是如何设计三层结构的，详细描述其设计过程，遇到过的问题以及解决的办法。

（3）分析你采用三层结构所带来的效果如何，以及有哪些还需要进一步改进的地方，如何改进？2、论文：论信息系统的安全性与保密性设计在企业信息化推进的过程中，需要建设许多的信息系统，这些系统能够实现高效率、低成本的运行，为企业提升竞争力。

但在设计和实现这些信息系统时，除了针对具体业务需求进行详细的分析，保证满足具体的业务需求之外，还要加强信息系统安全方面的考虑。

因为如果一个系统的安全措施没有做好，那么系统功能越强大，系统出安全事故时的危害与损失也就越大。

请围绕“信息系统的安全性与保密性”论题，依次从以下3个方面进行论述：（1）概要叙述你参与分析设计的信息系统及你所担任的主要工作。

（2）深入讨论作者参与建设的信息系统中，面临的安全及保密性问题，以及解决该问题采用的技术方案（3）经过系统运行实践，客观的评价你的技术方案，并指出不足，提出解决方案。

3、论文：论信息系统的架构设计架构是信息系统的基石，对于信息系统项目的开发来说，一个清晰的架构是首要的。

传统的开发过程可以划分为从概念直到实现的若干个阶段，包括问题定义、需求分析、软件设计、软件实现及软件测试等。

架构的建立应位于需求分析之后，软件设计之前。

请围绕“信息系统的架构设计”论题，分别从以下3个方面进行论述：（1）简要叙述你参与分析和设计的信息系统（项目的背景、发起单位、目的、项目周期、交付的产品等），以及你在该项目中的工作。

信息安全技术考试题与答案一、单选题（共59题，每题1分，共59分）1.管理数字证书的权威机构CA是（）。

A、加密方B、解密方C、双方D、可信任的第三方正确答案：D2.在移位密码中，密钥k=6，明文字母为U，对应的密文字母为（）。

A、AB、BC、CD、D正确答案：A3.DES算法的迭代次数是（）。

A、16B、3C、5D、7正确答案：A4.Telnet指的是（）。

A、电子邮件B、文件传输C、远程登录D、万维网正确答案：C5.（）包括两个分支：密码编码学和密码分析学。

A、信息隐藏B、硬件C、数字签名D、密码学正确答案：D6.节点加密对（）采取保护措施A、互联设备B、整个链路C、计算机D、整个网络正确答案：B7.（）是指用于加密或解密的参数，用K表示。

A、明文B、密钥C、密文D、密码正确答案：B8.节点加密方式是网络中进行数据加密的一种重要方式，其加密、解密在何处进行A、中间结点、目的结点B、源结点、中间结点、目的结点C、中间结点、中间结点D、源结点、目的结点正确答案：B9.（）是针对可用性的攻击。

A、假冒B、拒绝服务C、重放D、窃听正确答案：B10.计算机安全就是确保计算机( ）的物理位置远离外部威胁，同时确保计算机软件正常可靠的运行。

A、软件B、路由器C、硬件D、传输介质正确答案：C11.OSI参考模型的网络层对应于TCP/IP参考模型的A、互联层B、主机-网络层C、传输层D、应用层正确答案：A12.（）是指用某种方法伪装消息以隐藏它的内容的过程A、密钥B、明文C、加密D、密文正确答案：C13.保证数据的保密性就是A、保证因特网上传送的数据信息不被第三方监视和窃取B、保证电子商务交易各方的真实身份C、保证因特网上传送的数据信息不被篡改D、保证发送方不能抵赖曾经发送过某数据信息正确答案：A14.信息安全五要素中完整性的验证可通过（）实现。

A、消息认证B、解密C、加密D、身份识别正确答案：A15.保证数据的合法性就是A、保证因特网上传送的数据信息不被篡改B、保证因特网上传送的数据信息不被第三方监视和窃取C、保证电子商务交易各方的真实身份D、保证发送方不能抵赖曾经发送过某数据信息正确答案：C16.在移位密码中，密钥k=9，明文字母为R，对应的密文字母为（）。

第一章：1.3.2：1、GB17859-1999标准规定了计算机系统安全保护能力的五个等级，即：用户资助保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

2、目前正在执行的两个分级保护的国家保密标准是BMB17《涉与国家秘密的信息系统分级保护技术要求》和BMB20《涉与国家秘密的信息系统分析保护管理规范》。

3、涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级；4、秘密级，信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术的要求。

机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。

属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：●信息系统的使用单位为副省级以上的党政首脑机关，以与国防、外交、国家安全、军工等要害部门。

●信息系统中的机密级信息含量较高或数量较多；●信息系统使用单位对信息系统的依赖程度较高；绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求。

5、安全监控可以分为网络安全监控和主机安全监控1.3.3信息安全风险评估与管理1、一般可通过以下途径达到降低风险的目的：避免风险、转移风险、减少威胁、减少脆弱性、减少威胁可能的影响、检测以外事件，并做出响应和恢复。

1.4 信息安全标准化知识1、国家标准化指导性技术文件，其代号为“GB/Z”；推荐性国家标准代号为“GB/T”2、目前国际上两个重要的标准化组织，即国际标准化组织ISO和国际电工委员会IEC。

ISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准；SC27是JTC1中专门从事信息安全通用方法与技术标准化工作的分技术委员会。

3、信息安全标准体系与协调工作组（WG1），主要负责研究信息安全标准体系、跟踪国际信息安全标准发展态势，研究、分析国内信息安全标准的应用需求，研究并提出了新工作项目与设立新工作组的建议、协调各工作组项目。

软件水平考试(中级)软件评测师综合(习题卷5)第1部分：单项选择题，共73题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]用面向对象方法设计了一个父类File和两个子类DiskFile和TapeFile，这两个子类继承了其父类的open方法，并给出不同的实现。

不同的子类执行open方法时，有不同的行为，这种机制称为（ ）。

A)继承B)消息传递C)多态D)关联答案:C解析:本题考查面向对象方法中多态性的基础知识。

多态：一个基类的引用符，可以指向多种派生类对象，具有多种不同的形态，这种现象叫多态性。

题干里的描述是面向对象的“多态”机制。

故正确答案为C2.[单选题]（ ）是功能测试工具。

A)LoadRunnerB)WinRunnerC)QALoadD)WAS答案:B解析:本题考查测试工具的概念。

WinRunner是功能测试工具，其他各项都是负载压力性能测试工具。

3.[单选题]面向对象软件单元测试中，模态类测试基于（）生成测试用例A)状态图B)用例图C)协作图D)对象图答案:A解析:4.[单选题]黑盒测试用例设计方法包括（ ）等A)等价类划分法、因果图法、正交试验设计法、功能图法、路径覆盖法、语句覆盖法B)等价类划分法、边界值分析法、判定表驱动法、场景法、错误推测法、因果图法、正交试验设计法、功能图法C)因果图法、边界值分析法、判定表驱动法、场景法、Z 路径覆盖法D)场景法、错误推测法、因果图法、正交试验设计法、功能图法、域测试法答案:B解析:5.[单选题]POP3协议采用（ ）模式，客户端代理与POP3服务器通过建立（请作答此空）连接来传送数据。

A)TCPB)UDPC)P2PD)IP答案:A解析:概念：全名为“Post Office Protocol-Version 3”，即“邮局协议版本3”。

POP适用于C/S结构的脱机模型的电邮件客户端程序，下载所有未阅读的电子邮件，当邮件从邮件服务器发送到个人计算机上，同时邮件服务器会删除该邮件。

《软件质量保证与测试》期末考试A卷班级：姓名：学号：得分：____________________一、选择题（共20题，每小题2分，共40分。

答案填于后面答题表格中）1.HTTP是一种（b）。

A. 域名B. 协议C. 网址D. 一种高级语言名称2.在计算机网络中,通常把提供并管理共享资源的计算机称为（c）。

A. 网关B. 工作站C. 服务器D. 路由器3.在Internet上浏览网页，（b）是目前常用的Web浏览器之一。

A. HTMLB. Internet ExplorerC. YahooD. Outlook Express4.文件传输和远程登录都是互联网上的主要功能之一,它们都需要双方计算机之间建立起通信联系,二者的区别是（d）。

cA. 文件传输只能传输字符文件,不能传输图像、声音文件,而远程登录则可以B. 文件传输不必经过对方计算机的验证许可,远程登录则必须经过许可C. 文件传输只能传递文件,远程登录则不能传递文件D. 文件传输只能传输计算机上已存有的文件,远程登录则还可以直接在登录主机上进行建目录、建文件、删文件等其他操作5.如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。

这时你使用哪一种类型的进攻手段( b )?A.缓冲区溢出B.地址欺骗C.拒绝服务D.暴力攻击6.影响计算机信息安全的因素主要有（ a ）。

A.自然环境、人为失误、人为恶意破坏、软件设计不完善B.硬件故障、软件故障、系统故障、人为破坏C.局域网故障、广域网故障、国际互联网故障、Internet故障D.防火墙故障、入侵检测系统故障、病毒攻击、木马入侵7.防火墙(Firewall)是____c__。

A. 用于预防计算机被火灾烧毁B. 对计算机房采取的防火设施C. 是Internet(因特网)与Intranet(内部网)之间所采取的一种安全措施D. 用于解决计算机的使用者的安全问题8. 数据完整性指的是（ c ）。

软件测试大纲三篇篇一：软件测试大纲1、测试目的：通过测试验证该系统已经达到设计指标。

2、测试环境（对于C/S、B/S结构的软件请分别说明客户端和服务器端的软硬件环境）硬件环境：CPU：PII166以上，RAM：32MB，硬盘：2GB以上，CD-ROM和1.44软驱软件环境：WindowsNT4.0/98/95操作系统3、测试方法：使用以用户文档为基础构造的测试用例来测试程序和数据。

4、测试项目：a)系统安装与卸载（对于说明书中注明由开发方提供系统安装和配置服务的软件，该部分可免测，请在测试方法中注明）仅为示范，行数可自由增删，如需提供测试用例，请附在文档后或另附文件）明）e)中文符合性（对于非简体中文版软件，本部分免测，请注明）g)病毒检查（对于Unix、Linux平台的软件，该部分可免测）篇二：软件测试大纲目录1. 测试目的 32. 主要技术指标要求 32. 1 主要战术技术指标 32. 2 使用要求 33. 测试要求 44. 测试仪器及辅助设备 44.1 测试设备 44.2 测试连接 45. 测试方法和步骤 45.1 测试方法和步骤 45.2 测试用例说明 55.3 中远程无人侦察机突防生存力评估系统测试用例 71. 测试目的为了确保中远程无人侦察机突防生存力评估系统的产品质量，使产品能够顺利交付验收，需要测试中远程无人侦察机突防生存力评估系统是否满足任务书规定的主要技术指标和使用要求。

2. 主要技术指标要求2. 1 主要战术技术指标该系统具有如下功能：✧可进行航路设定；✧可进行突防过程中威胁环境的设定；✧可显示突防过程中的地理环境；✧可动态显示无人机飞行航迹；✧具备无人机三维动态视景仿真功能；✧具备无人机突防生存力评估功能。

2. 2 使用要求1. 本系统独立运行 , 能为无人机生存力评估提供一个三维动态仿真平台，能形象、直观、逼真地演示无人机对防空系统雷达网突防的过程；在确定的飞机性能、自然地理环境下选择合理的飞行航路，使无人机受到敌方防空系统的探测降低到最低限度，提高无人机的突防概率；方便地评估无人机的生存能力，还可用于任务规划人员的日常训练；2 .硬件环境：计算机CPU采用Inter酷睿i7 2.0GHz以上，内存不小于2GB，硬盘容量不小于256GB，具有标准网络接口，包含鼠标、键盘等通用外设；3 . 软件环境：操作系统Windows 7/Windows XP。

（ A 公开 秘密信息安全试题（1/共 3）一、 单项选择题（每小题 2 分，共 20 分） 1．信息安全的基本属性是＿＿＿。

A. 保密性B.完整性C. 可用性、可控性、可靠性D. A ，B ，C 都是2. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加 5，即a 加密成f 。

这种算法的密钥就是5，那么它属于＿＿＿。

A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术3. 密码学的目的是＿＿＿。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全4．A 方有一对密钥（K A 公开，K A 秘密），B 方有一对密钥（ K B 公开，K B 秘密），A 方向 B 方发送数字签名 M ，对信息 M 加密为：M’= K B K （M ）。

B 方收到密文的解密方案是＿＿＿。

A. K B 公开（K A 秘密（M’） B. K A 公开（K A 公开（M’）C. K A 公开（K B 秘密（M’）D. K B 秘密（K A 秘密（M’）5. 数字签名要预先使用单向Hash 函数进行处理的原因是＿＿＿。

A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文6. 身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述 不正确的是＿＿。

A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制7. 防火墙用于将 Internet 和内部网络隔离＿＿＿。

A. 是防止 Internet 火灾的硬件设施B. 是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施8. PKI 支持的服务不包括＿＿＿。

A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务9. 设哈希函数 H 有 128 个可能的输出(即输出长度为 128 位)，如果 H 的 k 个随机输入中至少有两个产生相同输出的概率大于 0.5，则 k 约等于＿＿。

测量中的S方面缺陷
一、S方面在测量中的缺陷
漏洞合脆弱性，是S方面系统在测量中的安全方面缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。

在《GB/T 25069-2010 信息安全技术术语》，将脆弱性定义为“资产中能被威胁所利用的弱点”。

许多安全漏洞是程序错误导致的，此时可叫做安全缺陷（英语：Security bug），但并不是所有的安全隐患都是程序安全缺陷导致的。

在S方面测量中，零日漏洞或零时差漏洞（英语：zero-day vulnerability、0-day vulnerability）通常是指还没有补丁的安全漏洞，而零日攻击或零时差攻击（英语：zero-day exploit、zero-day attack）则是指利用这种漏洞进行的攻击。

提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。

零日漏洞的利用程序对网络安全具有巨大威胁，因此零日漏洞不但是黑客的最爱，掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。

二、解决方法
一般而言，零日漏洞攻击唯一彻底解决方法便是由原软件发行公司提供修补程序，但此法通常较慢，因此软件公司通常会在最新
的病毒代码中提供回避已知零时差攻击的功能，但无法彻底解决漏洞本身。

根据赛门铁克第14期网络安全威胁研究在2008年分析的所有浏览器中，Safari平均要在漏洞出现9天后才会完成修补，需时最久。

Mozilla F irefox平均短于1天，需时最短。

中软信息安全考试题库及答案1. 密码学的目的是(C)。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全2. 从攻击方式区分攻击类型，可分为被动攻击和主动攻击。

被动攻击难以(C)，然而(C)这些攻击是可行的:主动攻击难以(C)，然而(C)这些攻击是可行的。

A. 阻止检测，阻止检测B.检测，阻止检测，阻止C.检测，阻止，阻止，检测D.上面3项都不是3. 数据保密性安全服务的基础是(D)A. 数据完整性机制B. 数字签名机制c.访问控制机制。

.加密机制4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。

A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度，加快数字签名和验。

.保证密文能正确还原成明文5. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是(C)。

A. 公钥认证B. 零知识认证C. 共享密钥认证6. 为了简化管理，通常对访问者(A),以避免访问控制表过于庞大。

A. 分类组织成组B. 严格限制数量C. 按访问时间排序，删除长期没有访问的用户D. 不作任何限制7. PK I管理对象不包括(A)A. ID和口令B证书C. 密钥D证书撤消8. 下面不属于PKI组成部分的是(D).A. 证书主体B. 使用证书的应用和系统C. 证书权威机构.D. AS9.IKE协商的第一阶段可以采用(C)A. 主模式、快速模式B.快速模式、积极模式c.主模式、积极模式D.新组模式10. AH协议和ESP协议有(A)种工作模式。

A二B.三C.四D.五11. (C)属于Web中使用的安全协议。

A. PEM、SSLB. S-HTTP、S/MIMEC. SSL、s HTTPD. S/MIME、SSL12. 包过滤型防火墙原理上是基于(C)进行分析的技术。

A物理层B. 数据链路层C. 网络层D. 应用层.13. VPN的加密手段为(C)。

原油分站计量实时监控系统软件
软件运行记录
（表格中显示此颜色部分是手工写入到表格）
1、测试目的：对其软件各个功能模块进行测试，以检测其数据采集、传输、入库的准确性、完整性，通讯的实时性，以及WEB发布的数据共享功能，判定其是否达到合同及技术附件所要求的技术指标。

2、测试环境（B/S结构的软件）
服务器端硬件环境：CPU Intel XEONTM2.8GHZ 内存：512MB 硬盘：40GB< 2CD-R0和1.44 软驱软件环境：Windows 2003 server操作系统
客户端硬件环境：CPU P4 2.4G内存：DDR256M硬盘80G集成显卡及网卡软件环境：操作系统Windows XP
3、测试方法：使用以用户文档为基础构造的测试用例来测试程序和数据。

4、测试项目：保证软件正常使用，满足技术要求。

a）系统安装与卸载
b）软件功能测试
c）安全可靠性
d）用户界面
e）中文符合性
f）用户文档
数据库测试运行
g）病毒检查
测试人员：审核：
年月日。

计算机四级软件测试工程师-109(总分：88.00，做题时间：90分钟)一、{{B}}选择题{{/B}}(总题数：25，分数：50.00)1.下列语句通常不是作为定义结点的是______。

∙ A. 输入语句∙ B. 过程调用语句∙ C. 赋值语句∙ D. 输出语句（分数：2.00）A.B.C.D. √解析：[解析] 结点n是变量v的定义结点，当且仅当变量v的值在结点n对应的语句中定义时，记做DEF(v，n)。

通常对应定义结点的语句有：输入语句、赋值语句、循环控制语句和过程调用语句等。

输出语句应对应使用结点。

2.下列不属于单元测试对象的是______。

∙ A. 软件构件∙ B. 计算机系统∙ C. 类∙ D. 可独立编译的程序模块（分数：2.00）A.B. √C.D.解析：[解析] 软件单元测试的对象是可独立编译或汇编的程序模块或软件构件或面向对象设计中的类。

而完整的、集成的计算机系统是系统测试和验收测试的测试对象。

3.为提高集成测试的效果，软件的集成工作最好由______来承担。

∙ A. 该软件的设计人员∙ B. 该软件的编程人员∙ C. 该软件开发组的负责人∙ D. 不属于该软件开发组的软件设计人员（分数：2.00）A.B.C.D. √解析：[解析] 为提高集成测试的效果，软件的集成工作最好由不属于该软件开发组的软件设计人员承担。

4.下列不属于接口分析必须关注的是∙ A. 服务器接口∙ B. 用户接口∙ C. 硬件接口∙ D. 软件接口（分数：2.00）A. √B.C.D.解析：[解析] 接口分析的目的是评估软件交付物(包括需求、设计、编码)是否正确、一致、完整和准确地说明了接口需求。

接口分析必须关注的有三种接口，分别是用户接口、硬件接口和软件接口。

5.关于Web应用软件的特点描述，错误的是______。

∙ A. 基于无连接协议∙ B. 由内容驱动∙ C. 开发周期较长，演变较慢∙ D. 完全性要求较高（分数：2.00）A.B.C. √D.解析：[解析] 所谓Web应用软件，就是Browser/Server(B/S)结构的软件，其特点是基于无连接协议，内容驱动，开发周期短，演化频繁，安全性要求高，美观性要求较高。