三级计算机信息安全技术第三套

合集下载

计算机等级考试三级信息安全技术教材目录

计算机等级考试三级信息教程--信息安全技术(2018年版)
作者：教育部考试中心
出版社：高等教育出版社
出版时间：2017年11月1日
ISBN：9787040488630
定价：62.00元
目录
第1章信息安全保障概述
1.1信息安全保障背景
1.1.1信息技术及其发展阶段
1.4.1国内外信息安全保障工作概况
1.4.2信息安全保障工作的内容
小结
习题
第2章信息安全基础技术与原理
2.1密码技术
2.1.1对称密码与非对称密码
2.1.2哈希函数
2.1.3数字签名
2.1.4密钥管理
2.2认证技术
2.2.1消息认证
2.2.2身份认证
2.3访问控制技术
2.3.1访问控制模型
2.3.2访问控制技术
5.5.3恶意程序检测查杀技术
5.5.4恶意程序的防范
5.6Web应用系统安全
5.6.1Web安全威胁
5.6.2Web安全防护
5.6.3Web安全检测
小结
习题
第6章信息安全管理
6.1信息安全管理体系
6.1.1建立信息安全管理框架
6.1.2ISMS构架的具体实施
6.1.3信息安全管理体系审核
6.1.4信息安全管理体系评审
4.3.5网络安全协议
小结
习题
第5章应用安全
5.1软件漏洞
5.1.1软件漏洞的概念和特点
5.1.2软件漏洞的分类
5.1.3漏洞库
5.1.4常见的软件漏洞
5.1.5软件漏洞利用及其防护技术
5.1.6软件漏洞的发展趋势
5.2软件安全开发
5.2.1软件开发生命周期

计算机三级(信息安全技术)考试题库与答案

计算机三级(信息安全技术)考试题库与答案计算机三级(信息安全技术)考试题库与答案近年来，随着计算机技术的迅猛发展，信息安全问题日益突出。

为了提高信息安全技术人员的能力，培养优秀的计算机专业人才，计算机三级(信息安全技术)考试应运而生。

本文将介绍计算机三级(信息安全技术)考试题库与答案，以便考生更好地备考和了解考试内容。

第一部分：选择题（共40题，每题2分，共80分）1. 以下哪项不是计算机信息安全的三要素？A. 机密性B. 可用性C. 完整性D. 隐私性答案：D2. 常用的数据加密算法中，对称加密算法包括下列哪些？A. DESB. RSAC. AESD. MD5答案：A、C3. 对称加密算法和非对称加密算法的主要区别是什么？A. 加密速度B. 加密强度C. 密钥管理复杂度D. 加密数据的长度答案：C4. 以下哪项不是计算机病毒的传播方式？A. 邮件附件B. 可执行文件感染C. 网络下载D. 杀毒软件更新答案：D5. JWT（JSON Web Token）是一种用于认证的开放标准，一般由三部分组成，分别是什么？A. Header、Payload、SignatureB. Body、Payload、SignatureC. Header、Data、SignatureD. Header、Body、Signature答案：A......第二部分：填空题（共10题，每题4分，共40分）1. 数据库中常用的一种安全措施是__________。

答案：权限控制2. 信息系统安全性的保障主要包括__________和__________两个方面。

答案：技术措施、管理措施3. WAF（Web Application Firewall）是一种应用层的__________。

答案：防护设备4. 网络钓鱼（Phishing）是一种通过__________获取用户敏感信息的攻击方式。

答案：伪装电子邮件5. 黑客常用的一种网络攻击手段是__________，旨在让网络服务不可用。

计算机三级《信息安全技术》考试试题及答案

计算机三级《信息安全技术》考试试题及答案2016计算机三级《信息安全技术》考试试题及答案信息安全技术是信息管理与信息系统专业本科学生的一门专业课，是计算机三级考试科目之一。

下面是店铺为大家搜索整理的关于《信息安全技术》考试试题及答案，欢迎参考练习，希望对大家有所帮助!想了解更多相关信息请持续关注我们店铺!1. 信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

BA 通信保密阶段B 加密机阶段C 信息安全阶段D 安全保障阶段2.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。

CA 不可否认性B 可用性C 保密性D 完整性3.信息安全在通信保密阶段中主要应用于____领域。

AA 军事B 商业C 科研D 教育4.信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。

CA 保密性B 完整性C 不可否认性D 可用性5.安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。

DA 策略、保护、响应、恢复B 加密、认证、保护、检测C 策略、网络攻防、密码学、备份D 保护、检测、响应、恢复6. 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。

AA 杀毒软件B 数字证书认证C 防火墙D 数据库加密7. 根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之一。

BA 真实性B 可用性C 可审计性D 可靠性8. 为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的____属性。

AA 保密性B 完整性C 可靠性D 可用性9. 定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的____属性。

DA 真实性B 完整性C 不可否认性D 可用性10. 数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。

AA 保密性B 完整性C 不可否认性D 可用11. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。

计算机三级考试《信息安全技术》练习题及答案

计算机三级考试《信息安全技术》练习题及答案计算机三级考试《信息安全技术》练习题及答案1一、判断题1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2.计算机场地可以选择在公共区域人流量比较大的地方。

×3.计算机场地可以选择在化工厂生产车间附近。

×4.计算机场地在正常情况下温度保持在18~28摄氏度。

√5.机房供电线路和动力、照明用电可以用同一线路。

×6.只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7.备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8.屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9.屏蔽室的拼接、焊接工艺对电磁防护没有影响。

×10.由于传输的内容不同，电力线可以与网络线同槽铺设。

×11.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12.新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。

√13.TEMPEST技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。

√14.机房内的环境对粉尘含量没有要求。

×15.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√16.纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1.以下不符合防静电要求的是(B)A.穿合适的防静电衣服和防静电鞋B.在机房内直接更衣梳理C.用表面光滑平整的办公家具D.经常用湿拖布拖地2.布置电子信息系统信号线缆的路由走向时，以下做法错误的是(A)A.可以随意弯折B.转弯时，弯曲半径应大于导线直径的10倍C.尽量直线、平整D.尽量减小由线缆自身形成的感应环路面积3.对电磁兼容性(ElectromagneticCompatibility,简称EMC)标准的描述正确的是(C)A.同一个国家的是恒定不变的B.不是强制的C.各个国家不相同D.以上均错误4.物理安全的管理应做到(D)A.所有相关人员都必须进行相应的培训，明确个人工作职责B.制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况C.在重要场所的迸出口安装监视器，并对进出情况进行录像D.以上均正确三、多选题1.场地安全要考虑的因素有(ABCDE)A.场地选址B.场地防火C.场地防水防潮D.场地温度控制E.场地电源供应2.火灾自动报警、自动灭火系统部署应注意(ABCD)A.避开可能招致电磁干扰的区域或设备B.具有不间断的专用消防电源C.留备用电源D.具有自动和子动两种触发装置3.为了减小雷电损失，可以采取的措施有(ACD)A.机房内应设等电位连接网络B.部署UPSC.设置安全防护地与屏蔽地D.根据雷击在不同区域的电磁脉冲强度划分，不同的区域界面进行等电位连接E.信号处理电路4.会导致电磁泄露的有(ABCDE)A.显示器B.开关电路及接地系统C.计算机系统的电源线D.机房内的电话线E.信号处理电路5.静电的危害有(ABCD)A.导致磁盘读写错误，损坏磁头，引起计算机误动作B.造成电路击穿或者毁坏C.电击，影响工作人员身心健康D.吸附灰尘计算机三级考试《信息安全技术》练习题及答案2三级计算机考试网络技术填空题练习(1)第二代计算机采用的电子器件是_____。

计算机三级信息安全技术练习题第三套

计算机三级信息安全技术练习题第三套一、选择题1. 下列哪项是密钥交换协议？A. RSAB. DESC. SHA-1D. TLS/SSL2. DES加密算法中，密钥长度为多少位？A. 64B. 56C. 128D. 1923. 下列哪项不属于网络攻击类型？A. 木马B. 社交工程C. 钓鱼D. CSRF4. 数字签名是为了保证哪项安全性？A. 数据完整性B. 数据机密性C. 数据可用性D. 数据访问控制5. 下列哪项不是常见的访问控制策略？A. 强制访问控制（MAC）B. 自主访问控制（DAC）C. 相对访问控制（RAC）D. 主体访问控制（SAC）6. 在密码学中，是用于保护对称密码的密钥的协议是？A. Diffie-Hellman协议B. RSA协议C. SHA-1协议D. SSL协议7. 对称密码算法是指加密和解密使用的是同一个密钥，下列不属于对称密码算法的是？A. AESB. RSAC. DESD. Blowfish8. 下列哪项不是威胁情报的来源？A. 政府部门B. 安全厂商C. 恶意软件D. 威胁漏洞数据库9. 下列哪项不属于常见的网络安全攻防技术？A. 防火墙B. IDS/IPSC. VPND. DHCP10. 下列哪项不属于常见的安全漏洞？A. XSS漏洞B. SQL注入C. CSRF漏洞D. DDoS攻击二、填空题1. 恶意软件传播方式有（1）和（2）两种。

2. 公钥密码学中，RSA算法是基于两个大素数的（1）和（2）进行加密和解密的。

3. 访问控制的主要目标是保证（1）、（2）和（3）。

4. 常见的拒绝服务攻击包括（1）、（2）、（3）和（4）。

5. 数据库中常见的安全漏洞有（1）和（2）。

三、问答题1. 请简要解释什么是加密算法与解密算法的密钥长度。

加密算法的密钥长度指的是加密过程中所使用的密钥的位数。

密钥长度越长，破解所需的时间和资源成本就越高，加密强度就越高。

解密算法的密钥长度与加密算法的密钥长度相同，用于解密过程。

计算机三级《信息安全技术》

计算机三级《信息安全技术》信息安全技术在计算机三级考试中的重要性信息安全技术在当今社会的发展中扮演着重要的角色。

随着计算机技术的迅速发展，信息的传输和存储变得越来越容易，然而，同时也伴随着信息安全问题的日益严重。

为了保护我们的个人和机密信息免受黑客和其他潜在威胁的侵害，信息安全技术成为一项迫切需要掌握的技能。

因此，在计算机三级考试中，信息安全技术作为一个重要科目始终受到重视。

首先，信息安全技术有助于保护个人隐私和机密信息的安全。

在这个数字化时代，我们的很多个人信息都被存储在计算机系统或互联网上。

这些信息可能包括我们的身份证号码、银行账户信息等敏感数据。

如果这些信息被不法分子获取，我们的个人财产和隐私将面临巨大的威胁。

通过学习信息安全技术，我们可以学会如何设置强密码、使用加密技术以及识别和应对网络攻击，从而增强我们个人的信息安全意识和保护能力。

其次，信息安全技术对保护国家安全具有重要作用。

现代国家社会的运行离不开信息的传输和交流，例如政府、军事和金融机构等。

这些敏感信息的泄露将对国家安全产生严重影响。

学习信息安全技术可以帮助我们了解各种网络攻击的类型和方法，并学会如何应对这些威胁，从而提高我们对国家安全的保护能力。

此外，信息安全技术对商业和企业来说也是至关重要的。

随着电子商务和在线支付的普及，商业交易越来越依赖于网络和计算机系统。

然而，商业机密的泄露和网络攻击可能会导致公司的重大损失。

通过学习信息安全技术，企业和商家能够了解如何保护客户的敏感数据，预防网络攻击，并通过建立安全的网络基础设施来保护自己的商业利益。

最后，学习信息安全技术还有助于培养学生的创新能力和解决问题的能力。

信息安全技术是一个不断发展和变化的领域，需要我们保持学习和关注最新的技术、威胁和解决方案。

通过学习信息安全技术，我们可以培养自己的创新思维和问题解决能力，使我们能够在信息安全领域中具备竞争力。

综上所述，信息安全技术在计算机三级考试中的重要性不容忽视。

计算机三级考试《信息安全技术》练习题和答案

计算机三级考试《信息安全技术》练习题和答案信息安全技术是计算机科学与技术中非常重要的一个领域，它关乎着计算机数据的保密性、完整性和可用性。

信息安全技术的学习和掌握对于计算机三级考试而言至关重要。

下面是一些《信息安全技术》练习题和答案，供考生进行复习和练习。

1. 什么是信息安全？信息安全是指保护计算机系统、网络和数据不受未经授权的访问、使用、泄露、破坏和干扰的一些措施和技术手段。

信息安全包括机密性、完整性和可用性三个基本要素。

2. 简要说明机密性、完整性和可用性的含义。

- 机密性：确保信息只能被授权的人员访问，并防止未经授权的泄露。

- 完整性：确保信息在传输或存储过程中没有被篡改或损坏，保持数据的一致性和完整性。

- 可用性：确保信息在需要时能够及时可靠地使用，可以正常地对信息进行处理和操作。

3. 在信息安全中，什么是身份验证？身份验证是确认用户身份和真实性的过程，确保用户只能访问他们被授权的信息和系统资源。

常见的身份验证方法包括密码、指纹、证书等。

4. 请列举一些常见的攻击类型。

- 黑客攻击：黑客通过掌握系统漏洞或使用病毒、蠕虫等恶意程序，来入侵他人的计算机系统。

- 木马攻击：木马程序通过隐藏在合法软件中或网络传播的方式，进入计算机系统，并窃取或破坏数据。

- 病毒攻击：病毒是一种能够自我复制并感染其他程序的恶意代码，它可以破坏文件系统、篡改数据，并传播到其他计算机和网络中。

- 钓鱼攻击：钓鱼攻击是通过伪造合法实体（如银行、电子商务网站等）的方式，诱使用户提供个人敏感信息，从而进行欺诈活动。

- 拒绝服务攻击：拒绝服务攻击是通过向目标系统发送大量的请求，使其无法正常提供服务。

5. 请简要介绍一下网络防火墙。

网络防火墙是一种位于内部网络和外部网络之间的安全设备，它通过过滤网络流量、检测病毒和攻击等手段，保护内部网络免受来自外部网络的威胁。

防火墙有助于控制网络访问、阻止未经授权的访问和保护内部网络的机密性。

第三套计算机三级信息安全技术第三套(精编+解析)

第三套1.信息安全属性中，含义是“保证数据的一致性，防止数据被非法用户篡改”的是（）。

A.机密性B.完整性C.不可否认性D.可用性【解析】机密性是保证机密信息不被泄露，不可否认性是保证信息行为人不能否认自己的行为，可用性是保证合法用户对信息和资源的使用不会被不正当地拒绝，故B选项为正确答案。

2.下列关于信息安全的地位和作用的阐述中，错误的是（）。

A.信息安全是网络时代国家生存和民族振兴的根本保障B.信息安全是信息社会健康发展和信息革命成功的关键因素C.信息安全是网络时代人类生存和文明发展的基本条件D.信息安全无法影响人们的工作和生活【解析】信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露（比如商业科研项目数据，对手企业发展规划等）、防范青少年对不良信息的浏览（比如淫秽，色情，暴力等）、个人信息的泄露（比如银行卡号，身份证号等）等，因此D选项不正确。

3.TCSEC将计算机系统安全划分为（）。

A.三个等级七个级别B.四个等级七个级别C.五个等级七个级别D.六个等级七个级别【解析】TCSEC标准主要分为一下几个级别：D级，最低安全性；C1级，主存取控制；C2级，较完善的自主存取控制(DAC)审计；B1级，强存取控制(MAC)；B2级，良好的结构化设计、形式化安全模式；B3级，全面的访问控制、可信恢复；A1级，形式化认证。

故B选项正确。

4.信息安全属性中，含义是“保证信息不被窃听，或窃听者不能了解信息的真实含义”的是（）。

A.机密性B.完整性C.不可否认性D.可用性【解析】信息安全的机密性是指保证信息为授权者享用而不泄露给未经授权者，即“保证信息不被窃听，或窃听者不能了解信息的真实含义”。

故选择A选项。

5.下列方法中，不能用于身份认证的是（）。

A.静态密码B.动态口令B KEY认证D.AC证书【解析】AC授权证书，表明拥有该证书的用户有相应的权利。

静态密码、动态口令和USB KEY认证可以作为身份认证，AC证书不可以。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第三套一、填空题1、《可信计算机评估准则》（TCSEC，也称为橘皮书）将计算机系统的安全划分为（）。

A) 三个等级五个级别B) 三个等级六个级别C) 四个等级六个级别D) 四个等级七个级别2、IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。

下列选项中，不包含在其中的是（）。

A) 本地计算环境B) 技术C) 区域边界D) 支撑性基础设施3、下列关于分组密码工作模式的说法中，错误的是（）。

A) ECB模式是分组密码的基本工作模式B) CBC模式的初始向量需要保密，它必须以密文形式与消息一起传送C) 与ECB模式一样，CBC模式也要求数据的长度是密码分组长度的整数倍D) OFB模式将一个分组密码转换为一个序列密码，具有普通序列密码的优缺点4、下列关于非对称密码的说法中，错误的是（）。

A) 基于难解问题设计密码是非对称密码设计的主要思想B) 公开密钥密码易于实现数字签名C) 公开密钥密码的优点在于从根本上克服了对称密码密钥分配上的困难D) 公开密钥密码安全性高，与对称密码相比，更加适合于数据加密5、下列关于MD5和SHA的说法中，错误的是（）。

A) SHA所产生的摘要比MD5长32位B) SHA比MD5更安全C) SHA算法要比MD5算法更快D) 两种方法都很简单，在实现上不需要很复杂的程序或是大量的存储空间6、下列方法中，不能用于身份认证的是（）。

A) 静态密码B) 动态口令C) USB KEY认证D) AC证书7、下列关于自主访问控制的说法中，错误的是（）。

A) 任何访问控制策略最终均可以被模型化为访问矩阵形式B) 访问矩阵中的每列表示一个主体，每一行则表示一个受保护的客体C) 系统中访问控制矩阵本身通常不被完整地存储起来，因为矩阵中的许多元素常常为空D) 自主访问控制模型的实现机制就是通过访问控制矩阵实施，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作8、下列选项中，不属于强制访问控制模型的是（）。

A) BLPB) BibaC) Chinese WallD) RBAC9、下列关于非集中式访问控制的说法中，错误的是（）。

A) Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录B) Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证C) 分布式的异构网络环境中，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效地简化网络的验证过程D) 在许多应用中，Kerberos协议需要结合单点登录技术以减少用户在不同服务器中的认证过程10、下列关于进程管理的说法中，错误的是（）。

A) 进程是程序运行的一个实例，是运行着的程序B) 线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位C) 线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间、程序、数据等D) 程序是在计算机上运行的一组指令及指令参数的集合，指令按照既定的逻辑控制计算机运行11、Unix系统最重要的网络服务进程是（）。

A) inetdB) inetC) netdD) sysnet12、下列选项中，不属于Windows系统进程管理工具的是（）。

A) 任务管理器B) 本地安全策略C) Msinfo32D) DOS命令行13、下列关于GRANT语句的说法中，错误的是（）。

A) 发出该GRANT语句的只能是DBA或者数据库对象创建者，不能是其它任何用户B) 接受权限的用户可以是一个或多个具体用户，也可以是PUBLIC，即全体用户C) 如果指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其它的用户D) 如果没有指定WITH GRANT OPTION子句，则获得某种权限的用户只能使用该权限，不能传播该权限14、下列选项中，不属于数据库软件执行的完整性服务的是（）。

A) 语义完整性B) 参照完整性C) 实体完整性D) 关系完整性15、模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱环节的技术是（）。

A) 端口扫描B) 渗透测试C) SQL注入D) 服务发现16、下列选项中，不属于分布式访问控制方法的是（）。

A) SSOB) KerberosC) SESAMED) RADIUS17、下列关于IPSec的描述中，正确的是（）。

A) IPSec支持IPv4和IPv6协议B) IPSec支持IPv4协议，不支持IPv6协议C) IPSec不支持IPv4协议，支持IPv6协议D) IPSec不支持IPv4和IPv6协议18、下列关于SSL协议的描述中，正确的是（）。

A) 为链路层提供了加密、身份认证和完整性验证的保护B) 为网络层提供了加密、身份认证和完整性验证的保护C) 为传输层提供了加密、身份认证和完整性验证的保护D) 为应用层提供了加密、身份认证和完整性验证的保护19、下列选项中，不属于PKI信任模型的是（）。

A) 网状信任模型B) 链状信任模型C) 层次信任模型D) 桥证书认证机构信任模型20、下列选项中，误用检测技术不包括的是（）。

A) 状态转换分析B) 模型推理C) 统计分析D) 专家系统21、下列选项中，不属于木马自身属性特点的是（）。

A) 伪装性B) 隐藏性C) 窃密性D) 感染性22、攻击者向目标主机发起ACK-Flood时，目标主机收到攻击数据包后回应的是（）。

A) SYN和ACK标志位设为1的数据包B) ACK标志位设为1的数据包C) ACK和RST标志位设为1的数据包D) RST标志位设为1的数据包23、下列选项中，不属于网站挂马的主要技术手段是（）。

A) 框架挂马B) 下载挂马C) js脚本挂马D) body挂马24、下列选项中，不属于软件安全保护技术的是（）。

A) 注册信息验证技术B) 软件逆向分析技术C) 代码混淆技术D) 软件水印技术25、下列选项中，不能有效检测采用加壳技术的恶意程序的是（）。

A) 主动防御技术B) 特征码查杀技术C) 虚拟机查杀技术D) 启发式查杀技术26、下列漏洞库中，由国内机构维护的漏洞库是（）。

A) CVEB) NVDC) EBDD) CNNVD27、下列关于堆（heap）的描述中，正确的是（）。

A) 堆是一个先进先出的数据结构，在内存中的增长方向是从低地址向高地址增长B) 堆是一个后进后出的数据结构，在内存中的增长方向是从高地址向低地址增长C) 堆是一个先进后出的数据结构，在内存中的增长方向是从低地址向高地址增长D) 堆是一个后进先出的数据结构，在内存中的增长方向是从高地址向低地址增长28、当用户双击自己Web邮箱中邮件的主题时，触发了邮件正文页面中的XSS漏洞，这种XSS漏洞属于（）。

A) 反射型XSSB) 存储型XSSC) CSRF-based XSSD) DOM-based XSS29、下列选项中，不属于恶意程序传播方法的是（）。

A) 通过局域网传播B) 修改浏览器配置C) 通过电子邮件和即时通信软件传播D) 诱骗下载30、下列选项中，综合漏洞扫描不包含的功能是（）。

A) 弱口令扫描B) SQL注入扫描C) 病毒扫描D) 漏洞扫描31、下列选项中，应急计划过程开发的第一阶段是（）。

A) 业务单元报告B) 业务总结分析C) 业务影响分析D) 业务影响总结32、下列选项中，不属于访问控制实现方法的是（）。

A) 行政性访问控制B) 虚拟性访问控制C) 逻辑/技术性访问控制D) 物理性访问控制33、信息安全的目标是（）。

A) 通过权威安全机构的评测B) 无明显风险存在C) 将残留风险保护在机构可以随时控制的范围内D) 将残留风险降低为034、下列选项中，信息安全管理体系（ISMS）体现的思想是（）。

A) 预防控制为主B) 预防为主C) 控制为主D) 治理为主35、下列关于信息安全管理的描述中，错误的是（）。

A) 零风险是信息安全管理工作的目标B) 风险评估是信息安全管理工作的基础C) 风险处置是信息安全管理工作的核心D) 安全管理控制措施是风险管理的具体手段36、电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后（）。

A) 二年B) 三年C) 四年D) 五年37、国家秘密的保密期限不能确定时，应当根据事项的性质和特点，确定下列选项中的（）。

A) 解密对象B) 最长保密期限C) 解密条件D) 限定保密领域38、电子认证服务提供者拟暂停或者终止电子认证服务时，应当提前就业务承接及其他相关事项通知有关各方，该时间应提前（）。

A) 30日B) 60日C) 90日D) 120日39、被称为"中国首部真正意义上的信息化法律"的是（）。

A) 电子签名法B) 保守国家秘密法C) 全国人大常委会关于维护互联网安全的决定D) 全国人民代表大会常务委员会关于加强网络信息保护的决定40、违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处以（）。

A) 2年以下有期徒刑或者拘役B) 3年以下有期徒刑或者拘役C) 5年以下有期徒刑或者拘役D) 10年以下有期徒刑或者拘役二、填空题1、信息安全的五个属性是机密性、完整性、 ____________、可控性、不可否认性。

2、上世纪90年代中期，六国七方（加拿大、法国、德国、荷兰、英国、美国国家标准与技术研究院（NIST）及美国国家安全局（NSA））提出的信息技术安全性评估通用准则，英文简写为 ____________，是评估信息技术产品和系统安全性的基础准则。

3、密码设计应遵循一个公开设计的原则，即密钥体制的安全应依赖于对____________的保密，而不应依赖于对算法的保密。

4、AES的分组长度固定为 ____________位，密钥长度则可以是128、192或256位。

5、基于USB Key的身份认证系统主要有两种认证模式：挑战/应答模式和基于____________体系的认证模式。

6、任何访问控制策略最终可以被模型化为 ____________形式，行对应于用户，列对应于目标，矩阵中每一元素表示相应的用户对目标的访问许可。

7、根据具体需求和资源限制，可以将网络信息内容审计系统分为 ____________模型和分段模型两种过程模型。

8、当用户代码需要请求操作系统提供的服务时，通常采用 ____________的方法来完成这一过程。

9、当操作系统为0环和1环执行指令时，它在管理员模式或 ____________模式下运行。