计算机三级信息安全技术练习题第三套

TCSEC将计算机系统的安全划分为4个等级、7个级别。D类安全等级：D类安全等级只包括D1一个级别。D1的安全等级最低。C类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。B类安全等级：B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。A类安全等级：A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。

《可信计算机评估准则》（TCSEC，也称为橘皮书）将计算机系统的安全划分为（）。（四个等级七个级别）除了纵深防御这个核心思想之外，IATF还提出了其他一些信息安全原则，这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。（1）保护多个位置。包括保护网络和基础设施、区域边界、计算环境等。（2）分层防御。如果说上一个原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。（3）安全强健性。不同的信息对于组织有不同的价值，该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每一个信息安全组件设置的安全强健性（即强度和保障），取决于被保护信息的价值以及所遭受的威胁程度。

IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。(本地计算环境、区域边界、网络及基础设施、支撑性基础设施)

下列关于分组密码工作模式的说法中，错误的是（）。

A) ECB模式是分组密码的基本工作模式

B) CBC模式的初始向量需要保密，它必须以密文形式与消息一起传送

C) 与ECB模式一样，CBC模式也要求数据的长度是密码分组长度的整数倍

D) OFB模式将一个分组密码转换为一个序列密码，具有普通序列密码的优缺点

在CBC模式中，每一分组的加密都依赖于所有前面的分组。在处理第一个明文分组时，与一个初始向量（IV）组进行异或运算。IV不需要保密，它可以明文形式与密文一起传送。

下列关于非对称密码的说法中，错误的是（）。

A) 基于难解问题设计密码是非对称密码设计的主要思想

B) 公开密钥密码易于实现数字签名

C) 公开密钥密码的优点在于从根本上克服了对称密码密钥分配上的困难

D) 公开密钥密码安全性高，与对称密码相比，更加适合于数据加密

在应用中，通常采用对称密码体制实现数据加密、公钥密码体制实现密钥管理的混合加密机制。

下列方法中，不能用于身份认证的是（）。

A) 静态密码B) 动态口令C) USB KEY认证D) AC证书

AC授权证书，表明拥有该证书的用户有相应的权利。静态密码、动态口令和USB KEY认证可以作为身份认证，AC证书不可以。

消息认证：消息加密、消息认证码、哈希函数

身份认证：静态密码方式、动态口令认证、USB Key认证、生物识别技术

下列关于自主访问控制的说法中，错误的是（）。

A) 任何访问控制策略最终均可以被模型化为访问矩阵形式

B) 访问矩阵中的每列表示一个主体，每一行则表示一个受保护的客体

C) 系统中访问控制矩阵本身通常不被完整地存储起来，因为矩阵中的许多元素常常为空

D) 自主访问控制模型的实现机制就是通过访问控制矩阵实施，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作

BLP模型基于强制访问控制系统，以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制盒自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起，用户通过充当合适角色的成员而获得该角色的许可权。

下列选项中，不属于强制访问控制模型的是（）。

A) BLP B) Biba C) Chinese Wall D) RBAC

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

下列关于进程管理的说法中，错误的是（）。

A) 进程是程序运行的一个实例，是运行着的程序

B) 线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位

C) 线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间、程序、数据等

D) 程序是在计算机上运行的一组指令及指令参数的集合，指令按照既定的逻辑控制计算机运行

进程是正在运行的程序实体，并且包括这个运行的程序中占据的所有系统资源。进程是具有一定独立功能的程序关于某个数据集合上的一次运行活动，是系统进行资源分配和调度的一个独立单位。线程，有时被称为轻量级进程(Lightweight Process，LWP），是程序执行流的最小单元。

下列选项中，不属于Windows系统进程管理工具的是（）。

A) 任务管理器B) 本地安全策略 C) Msinfo32 D) DOS命令行

本地安全策略-对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

Windows系统进程管理工具有:任务管理器、Msinfo32、DOS命令行。

下列选项中，不属于数据库软件执行的完整性服务的是（）。

A) 语义完整性B) 参照完整性C) 实体完整性D) 关系完整性

数据库的完整性是指数据库中数据的正确性和相容性，防止不合语义的数据进入数据库。而关系不在其考虑范围内。

模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱环节的技术是（）。

A) 端口扫描B) 渗透测试C) SQL注入D) 服务发现

渗透测试（Penetration Test），是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。

Intenet安全协议(IPsec)是由互联网工程任务组提供的用于保障Intenet安全通信的一系列规范，为私有信息通过公用网络提供安全保障。IPsec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，后续也增加了对IPv4的支持。下列关于SSL协议的描述中，正确的是（）。

A) 为链路层提供了加密、身份认证和完整性验证的保护

B) 为网络层提供了加密、身份认证和完整性验证的保护

C) 为传输层提供了加密、身份认证和完整性验证的保护

D) 为应用层提供了加密、身份认证和完整性验证的保护

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议：它建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。下列选项中，不属于PKI信任模型的是（）。

A) 网状信任模型

B) 链状信任模型

C) 层次信任模型

D) 桥证书认证机构信任模型

信任模型是PKI原理中的一个重要概念，指建立信任关系和验证证书时寻找和遍历信任路径的模型。信任模型的类型有1.单级CA信任模型 2.严格层次结构模型 3.分布式（网状）信任模型结构模型 5.桥CA信任模型，6.用户为中心的信任模型。

下列选项中，误用检测技术不包括的是（）。

A) 状态转换分析B) 模型推理C) 统计分析D) 专家系统

特征检测又称误用检测，主要有以下五种方法：(1)基于专家系统的误用入侵检测；(2)基于模型推理的误用入侵检测；(3)基于状态转换分析的误用入侵检测；(4)基于条件概率的误用入侵检测；(5)基于键盘监控的误用入侵检测。入侵检测系统（IDS）的分类：

1、基于数据采集方式:基于网络的入侵检测（NIDS）基于主机的入侵检测（HIDS）