软件安全技术习题

信息安全基础(习题卷51)第1部分：单项选择题，共57题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在安装新的APP时，弹窗提示隐私政策后，最简易的做法是（ ）A)跳过阅读尽快完成安装B)粗略浏览，看过就行C)仔细逐条阅读后，再进行判断是否继续安装该APPD 以上说法都对答案:C解析:2.[单选题]数据库的故障是指从保护安全的角度出发，数据库系统中会发生的各种故障。

这些故障主要包括：_( ) 、系统故障、介质故障和计算机病毒与黑客。

A)丢失修改故障B)不能重复读故障C)事务内部的故障D)不正确数据读出故障答案:C解析:3.[单选题]韩同学收到一封邮件，说自己的QQ号码存在异常，需要紧急处理，点开网站后需要输入QQ号、密码，以下最合理的做法是？A)QQ号码存在异常，应立即按邮件要求处理B)QQ密码设置复杂，没有安全问题，不予理睬C)检查邮件标题是否为蓝色，如果不是蓝色标题，则可确定这封邮件为仿冒官方的盗号邮件，可直接举报D)冻结此QQ，不再使用答案:C解析:4.[单选题]配电安全类设备登录管理规定口令长度不得小于（ ）位，要求数字、字母和特殊字符的组合并不得与用户名相同，口令应定期更换，禁止明文存储A)4B)3C)8D)6答案:C解析:5.[单选题]在维护资产清单中资产的所属关系时,资产拥有者宜( )A)确保资产登记造册B)确保对资产进行了适当的分级和保护C)考虑适用的可用的访问控制策略,定义并定期评审对重要资产的访问限制和分级D)以上全部答案:D解析:B)DES-CBC和NULLC)仅DES-CBD)答案:C解析:7.[单选题]下列各项中哪一项不是文件型病毒的特点A)病毒以某种形式隐藏在主程序中，并不修改主程序B)以自身逻辑部分取代合法的引导程序模块，导致系统瘫痪C)文件型病毒可以通过检查主程序长度来判断其存在D)文件型病毒通常在运行主程序时进入内存答案:B解析:8.[单选题]（）是移位密码的一种，它是将字母顺序向后移3位。

网络安全1、网络安全的基本属性是机密性、机密性、完整性2、计算机病毒是计算机系统中一类隐藏在存储介质蓄意破坏的捣乱程序3、一般而言，Internet防火墙建立在一个网络的内部网络与外部网络的交叉点4、访问控制是指确定可给予那些主体访问权利以及实施访问权限的过程。

5、密码学的目的是研究数据保密6、网络安全是在分布网络环境中对信息载体、信息的处理传输、信息的存储、访问提供安全保护7、计算机网络是地理上分散的多台自主计算机遵循约定的通信协议，通过软硬件互连的系统。

8、威胁是一个可能破坏信息系统环境安全的动作或事件，威胁包括目标、代理、代理9、从安全属性对各种网络攻击进行分类，截取攻击是针对机密性的攻击。

10、对攻击可能性的分析在很大程度上带有主观性11、系统管理程序是确定安全和系统管理如何配合工作以使组织的系统安全12、在安全策略中一般包含目的、范围、责任等三个方面。

13、对访问控制影响不大的是主体与客体的类型14、基于通信双方共同拥有但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密的密钥的认证是共享密钥认证15、完整性服务提供信息的正确性，该服务必须和可审性服务配合工作才能对抗篡改攻击。

16、选择开发策略的次序，取决于评估阶段对风险的识别17、评估是通过风险管理计划来完成的。

18、安全培训是对员工提供必要的安全知识和信息的机制。

19、身份鉴别是用于确定所声明的身份的有效性。

20、据保密性安全服务的基础是加密机制21、加密机制提供OSI用户服务，例如事务处理程序、文件传送协议和网络管理协议。

22、可以被数据完整性机制防止的攻击方式是数据在途中被攻击者篡改或破坏23、在OSI安全体系结构中有交付证明的抗抵赖的配置位置在OSI七层中的第七层24、一个报文的端到端传递由OSI模型的传输层负责处理。

25、如果网络协议定义数据的传输率是100Mbps，这是定时26、网络协议的关键成分是语法、语义、定时27、当进行文本文件传输时，可能需要进行数据压缩，在OSI模型中，规定完成这一工作的是表示层28、用于实现身份鉴别的安全机制是加密机制和数字签名机制29、身份鉴别是安全服务中的重要一环，以下关于身份鉴别的叙述不正确的是身份鉴别一般不用提供双向的认证30、不属于网络协议中包含的关键成分的是层次结构31、SSL、S-HTTP属于WEB中使用的安全协议32、关于DMZ的通用结构的描述不正确的是路由器和防火墙是一种通用结构33、Internet接入的方案不包括NETBEUI接入34、服务中，Internet不提供的服务有远程控制协议35、为了降低风险，不建议使用的Internet服务是FTP服务36、服务中，Internet提供的服务有Web服务37、分组过滤型防火墙原理上是基于网络层进行分析的技术。

网络与信息安全管理员（4级）习题一、单选题（共60题，每题1分，共60分）1、关于三层交换机三层转发是说法错误的是()。

A、三层交换机每一个三层转发的数据都要经过CPU处理B、三层交换机采用了和路由器的最长地址掩码匹配不同的方法，使用精确地址匹配的方式处理，有利于硬件实现快速查找C、三层交换机采用了Cache的方法，把最近经常使用的主机路由放到了硬件的查找表中，只有在这个Cache中无法匹配到的项目才D、绝大多数的报文处理都在硬件中实现了，只有极少数报文才需要使用软件转发正确答案：A2、NTFS以()为单位来存储数据文件。

A、簇B、元C、帧D、集正确答案：A3、以下哪种情形中，个人信息控制者共享、转让、公开披露个人信息需事先征得个人信息主体的授权同意()。

A、与公共安全、公共卫生、重大公共利益直接相关的B、与国家安全、国防安全直接相关的C、与犯罪侦查、起诉、审判和判决执行等直接相关的；D、与科学研究相关的正确答案：D4、关于OSPF路由协议以下说法不正确的是()。

A、OSPF是一种距离矢量路由协B、OSPF协议的默认管理距离是C、OSPF是一种内部网关协议D、OSPF是一种链路状态路由协正确答案：A5、当个人信息控制者停止运营其产品或服务时，下列做法不正确的是()。

A、在暗网出售个人信息B、及时停止继续收集个人信息的活动C、将停止运营的通知以逐一送达或公告的形式通知个人信息主体D、对其所持有的个人信息进行删除或匿名化处理正确答案：A6、根据《治安管理处罚法》的规定，阻碍国家机关工作人员依法执行职务属于妨害社会管理的行为，其中阻碍()依法执行职务的，从重处罚。

A、国家安全部门的工作人员B、人民警察C、消防人员D、急救人员正确答案：B7、根据我国有关规定，下列属于违禁品、管制物品的是()。

A、不具有杀伤性的仿真枪B、打火机、火柴C、化学品D、窃听窃照专用器材正确答案：D8、在Windows系统中，创建软件限制策略时，会增加一个()和“其他策略”项。

软件测试技术(习题卷2)第1部分：单项选择题，共56题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]( )。

在两种模型的基础上，螺旋模型加入两者所忽略的风险分析，这两者是（ ）A)瀑布模型和增量模型B)瀑布模型和快速原型模型C)喷泉模型和增量模型D)喷泉模型和快速原型模型答案:B解析:2.[单选题]下列关于软件测试策略的叙述中不正确的是（ ）。

A)增量测试的主要问题在于需要额外编写很多特殊的测试程序B)静态测试与动态测试都要执行程序C)Myers认为自底向上测试的方法要优于自顶向下测试的方法D)软件性能测试的目标之一是提高性能答案:B解析:3.[单选题]在( )阶段开始进行系统性能测试。

A)验收测试B)单元测试C)系统测试D)集成测试答案:C解析:4.[单选题]下列关于软件缺陷处理说法错误的是（ ）。

（选择一项）A)只要是发现的缺陷都要提交缺陷报告，不论是否可重现B)一个缺陷的编号在整个生命周期中可能变化C)已经关闭的缺陷可能会由于某种原因而重新打开D)如果发现的缺陷全部属于一个开发人员，则这些缺陷可以写在一个缺陷报告中答案:D解析:5.[单选题]采用瀑布模型进行系统开发的过程中，每个阶段都会产生不同的文档。

以下关于产生这些文档的描述中，正确的是()A)外部设计评审报告在概要设计阶段产生B)集成测试计划在程序设计阶段产生C)系统计划和需求说明在详细设计阶段产生D)在进行编码的同时，独立地设计单元测试计划答案:D解析:C)路径测试D)用户界面测试答案:A解析:7.[单选题]在测试计划审核通过后,需要通过以下几个阶段来完成该测试,除了( )。

A)测试设计B)测试评估C)测试预测D)测试执行答案:C解析:8.[单选题]Excel软件可用于（）A)文字处理B)电子表格处理C)设计程序D)幻灯片制作答案:B解析:9.[单选题]在重大活动期间，我很少会紧张A)强烈同意B)同意C)不同意D)最不同意答案:A解析:10.[单选题]我倾向于快速决策A)强烈同意B)同意C)不同意D)最不同意答案:D解析:11.[单选题]下列说法中错误的是（ ）。

第1章计算机信息安全概述习题参考答案1. 对计算机信息安全造成威胁的主要因素有哪些？答：影响计算机信息安全的因素有很多，主要有自然威胁和人为威胁两种。

自然威胁包括：自然灾害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁干扰等。

人为威胁包括：无意威胁、有意威胁。

自然威胁的共同特点是突发性、自然性、非针对性。

这类不安全因素不仅对计算机信息安全造成威胁，而且严重威胁着整个计算机系统的安全，因为物理上的破坏很容易毁灭整个计算机信息管理系统以及网络系统。

人为恶意攻击有明显的企图，其危害性相当大，给信息安全、系统安全带来了巨大的威胁。

人为恶意攻击能得逞的原因是计算机系统本身有安全缺陷，如通信链路的缺陷、电磁辐射的缺陷、引进技术的缺陷、软件漏洞、网络服务的漏洞等。

2. 计算机信息安全的特性有哪些？答：信息安全的特性有：⑴完整性完整性是指信息在存储或传输的过程中保持未经授权不能改变的特性，即对抗主动攻击，保证数据的一致性，防止数据被非法用户修改和破坏。

⑵可用性可用性是指信息可被授权者访问并按需求使用的特性，即保证合法用户对信息和资源的使用不会被不合理地拒绝。

对可用性的攻击就是阻断信息的合理使用。

⑶保密性保密性是指信息不被泄露给未经授权者的特性，即对抗被动攻击，以保证机密信息不会泄露给非法用户或供其使用。

⑷可控性可控性是指对信息的传播及内容具有控制能力的特性。

授权机构可以随时控制信息的机密性，能够对信息实施安全监控。

⑸不可否认性不可否认性也称为不可抵赖性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

发送方不能否认已发送的信息，接收方也不能否认已收到的信息。

3. 计算机信息安全的对策有哪些？答：要全面地应对计算机信息安全问题，建立一个立体的计算机信息安全保障体系，一般主要从三个层面来做工作，那就是技术、管理、人员。

（1）技术保障指运用一系列技术层面的措施来保障信息系统的安全运营，检测、预防、应对信息安全问题。

计算机安全与风险管理练习题在当今数字化的时代，计算机已经成为我们生活和工作中不可或缺的一部分。

然而，伴随着计算机技术的广泛应用，计算机安全问题也日益凸显。

从个人隐私泄露到企业关键数据被盗取，从网络病毒的肆虐到黑客的恶意攻击，计算机安全威胁无处不在。

因此，了解计算机安全与风险管理的知识，掌握相关的应对策略和措施，对于我们每个人来说都至关重要。

以下是一些关于计算机安全与风险管理的练习题，希望能够帮助大家加深对这一重要领域的理解。

一、选择题1、以下哪种措施不属于计算机安全的物理防护？（）A 安装监控摄像头B 设置防火墙C 锁好机房门窗D 控制人员进出机房2、以下哪种密码设置方式最不安全？（）A 使用包含字母、数字和特殊字符的组合B 使用生日作为密码C 定期更换密码D 密码长度不少于 8 位3、计算机病毒的主要传播途径不包括（）A 电子邮件B 移动存储设备C 空气传播D 网络下载4、以下哪种行为可能导致计算机系统遭受攻击？（）A 及时更新操作系统补丁B 随意点击来路不明的链接C 安装正版软件D 定期进行数据备份5、数据备份的主要目的是（）A 防止数据丢失B 提高数据访问速度C 节省存储空间D 方便数据管理二、填空题1、计算机安全的三个基本要素是_____、＿____、＿____。

2、常见的网络攻击手段包括_____、＿____、＿____等。

3、数据加密的主要作用是_____。

4、风险管理的流程包括_____、＿____、＿____、＿____、＿____。

三、简答题1、请简述计算机安全的定义以及其重要性。

2、请说明防火墙的工作原理和主要作用。

3、如何预防计算机病毒的感染？4、数据泄露可能会给个人和企业带来哪些严重后果？5、请解释风险管理中风险评估的步骤。

四、案例分析题某公司的网络系统近期频繁遭受攻击，导致部分业务中断，数据丢失。

经过调查，发现是由于公司员工在使用公共无线网络时，不慎登录了含有恶意软件的网站，从而使得黑客入侵了公司内部网络。

软件测试技术(习题卷8)第1部分：单项选择题，共56题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]黑盒测试用例设计方法包括（ ）等A)等价类划分法、因果图法、正交试验设计法、功能图法、路径覆盖法、语句覆盖法B)等价类划分法、边界值分析法、判定表驱动法、场景法、错误推测法、因果图法、正交试验设计法、功能图法C)因果图法、边界值分析法、判定表驱动法、场景法、Z路径覆盖法D)场景法、错误推测法、因果图法、正交试验设计法、功能图法、域测试法答案:B解析:2.[单选题]软件测试是软件质量保证的重要手段，下列（ ）是软件测试的任务。

①预防软件发生错误；②发现改正程序错误；③提供诊断错误信息。

A)①B)②C)③D)以上都对答案:D解析:3.[单选题]在软件测试前,需要确定软件测试的优先级,优先级越高的测试项,应优先得到测试,如下哪个因素是与测试优先级最不相关的( )。

A)测试的难易程度B)开发修正缺陷的容易程度C)容易出错的测试项D)客户最常使用的产品特性答案:A解析:4.[单选题]（ ）是选择若干个测试用例，运行被测程序，使得程序中的每个可执行语句至少执行一次。

A)条件覆盖B)组合覆盖C)判定覆盖D)语句覆盖答案:D解析:5.[单选题]我做事不喜欢半途而废A)强烈同意B)同意C)不同意D)最不同意答案:A解析:6.[单选题]走查主要包括以下哪些内容( ) ①检查代码和设计的一致性 ②标准的遵循和可读性 ③评审对象主要是软件A)②③B)②③④C)①②③④D)①②③答案:C解析:7.[单选题]不属于单元测试内容的是( )。

A)模块接口测试B)局部数据结构测试C)独立路径测试D)用户界面测试答案:D解析:8.[单选题]下面四种说法中正确的是A)因果图法是建立在决策表法基础上的一种白盒测试方法；B)等价类划分法是边界值分析法的基础；C)健壮性等价类测试的测试用例要求在有效等价类中取值；D)在任何情况下做黑盒测试皆应首先考虑使用错误推断法。

信息安全技术单选模拟习题（附参考答案）1、将电子邮件发送到邮件服务器的简单邮件传输协议是A、POP3B、SMTPC、DNSD、V答案：B本题考查的是电子邮件发送的协议，根据常识和网络知识，我们知道电子邮件发送的协议是SMTP（Simple Mail Transfer Protocol），因此答案为B。

A选项POP3（Post Office Protocol 3）是接收邮件的协议，C选项DNS （Domain Name System）是域名解析系统，D选项V无法确定其含义，因此都不是正确答案。

2、信息安全的目标是( )。

A、通过权威安全机构的评测B、无明显风险存在C、将残留风险保护在机构可以随时控制的范围内D、将残留风险降低为0答案：C信息安全的目标是保护信息系统的机密性、完整性和可用性，同时确保信息系统的合规性和可靠性。

在实际应用中，完全消除风险是不可能的，因此信息安全的目标是将残留风险保护在机构可以随时控制的范围内，以最大程度地保护信息系统的安全。

因此，选项C是正确答案。

选项A和B都没有涉及到信息安全的目标，选项D则过于理想化，不符合实际情况。

3、使用Caesar密码，k取值为3,则对明文"meet me after the toga party" 加密得到的密文是A、phhw ph diwhu wkh wrjd sduwbB、phhp hd iwhuw khw rjds ouwbwC、phop hd iwhuw khw rjds ouwwbD、phow ph diwhu wkh wrjd souwb答案：A4、在Windows系统中，查看当前已经启动的服务列表的命令是( )。

A、netB、net startC、net start serviceD、net stop本题考查的是Windows系统中查看已启动服务列表的命令。

根据常识和经验，我们可以知道，Windows系统中查看已启动服务列表的命令应该是“net start”，因此选项B为正确答案。

软件测试技术(习题卷21)第1部分：单项选择题，共55题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下列选项中叙述错误的是( )。

A)对每个测试级别,需要在相应的开发活动过程中进行相应的测试分析和设计B)软件测试的工作重点应该集中在系统测试上C)每个开发活动都有相对应的测试行为D)每个测试级别都有其特有的测试目标答案:B解析:2.[单选题]我觉得完全了解事物的底层原理很有趣A)强烈同意B)同意C)不同意D)最不同意答案:B解析:3.[单选题]下列关于逻辑覆盖测试的说法中正确的是（ ）。

（选择一项）A)语句覆盖就是设计若干个测试用例，运行被测程序，使得每一条可执行语句至少执行一次。

B)条件覆盖是设计足够多的测试用例，运行所测程序，使程序中每个判断的取真分支和取假分支至少各执行一次。

C)分支覆盖是设计若干个测试用例，运行所测程序，使程序中每个判断内的每个条件的各个可能取值至少执行一次。

D)判定-条件覆盖要求各个判断的所有可能的条件取值组合至少执行一次。

答案:A解析:4.[单选题]我对变化秉持积极的态度A)强烈同意B)同意C)不同意D)最不同意答案:B解析:5.[单选题]( )。

下面有关测试原则的说法正确的是（ ）。

A)测试用例应由测试的输入数据和预期的输出结果组成B)测试用例只需选取合理的输入数据C)程序最好由编写该程序的程序员自己来测试D)使用测试用例进行测试是为了检查程序是否做了它该做的事答案:A解析:6.[单选题]软件可靠性的（ ）特性是指在软件发生故障的情况下，软件产品维持规定的性能级别的能力。

A)成熟性B)易恢复性C)容错性D)可靠性答案:C解析:7.[单选题]( )。

在软件维护的内容中，占维护活动工作量比例最高的是（）。

A)纠错性维护B)适应性维护C)预防性维护D)完善性维护答案:B解析:8.[单选题]测试ATM取款功能，已知取款数只能输入正整数，每次取款数要求是100的倍数且不能大于500，下面哪个是正确的无效等价类（）A)<li>（0，100）、（100，200）、（200，300）、（300，400）、（400，500）、（500，+∞）</pre></li>B)<li>（500，+∞）</pre></li>C)<li>（500，+∞）、任意大于0小于500的非100倍数的整数</pre></li>D)<li>（-∞，100）、（100，200）、（200，300）、（300，400）、（400，500）、（500，+∞）</pre></li>答案:C解析:9.[单选题]缺陷产生的原因包括（ ）。

软考信息安全工程师考试练习题与答案1、会客单实行“一单一访”，禁止（）。

被访人员必须在会客单上签字，否则不予退换有效证件。

A、“一单多访”B、“一单N访”C、“多单一访”D、“多单多访”答案：A2、以下关于Smurf攻击的描述，那句话是错误的？A、它是一种拒绝服务形式的攻击B、它依靠大量有安全漏洞的网络作为放大器C、它使用ICMP的包进行攻击D、攻击者最终的目标是在目标计算机上获得一个帐号答案：D3、以下不属于人工检测被入侵的前兆的有（）A、用管理员的帐号登录B、在非工作时间活动出现了不是由系统维护人员创建的帐号（如test帐号）C、出现了不熟悉的文件或程序D、WWW主页被篡改答案：A4、在UTM校验未知数据流时，其CPU指数低于20%以下，此现象表明？A、正常现象B、错误现象C、警示现象D、危机现象答案：A5、允许防火墙和某些路由器通过将地址引向不可信网络的方法来隐藏网络地址被称为A、地址过滤B、NATC、反转D、IP地址欺骗答案：B6、微软系统更新补丁服务器的简称是？A、WSUSB、LUAC、VBSD、WSSU答案：A7、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案：A8、使用Finger命令无法得到信息是A、用户当前是否在线B、服务器IPC、服务器名D、服务器MAC答案：B9、原始数据从第七层至第五层封装时，历经变化时增加的头文件数是？A、1B、2C、3D、4答案：B10、下述攻击手段中不属于DOS攻击的是:（）A、Smurf攻击B、pingofdeath攻击C、Teardrop攻击D、CGI溢出攻击答案：D11、安全审计应遵循的原则是：（）。

A、“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。

B、交叉审计的原则C、独立审计的原则D、任何形式的审计答案：A12、题目：WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止：A、木马B、暴力攻击C、IP欺骗D、缓存溢出攻击答案：B13、下列哪些不是病毒的传播方式A、利用电子邮件B、利用网络共享C、利用P2P共享D、共享网线答案：D14、如果系统提供了文件上传功能，要防止用户上传（）。

计算机安全单选题：1、下面无法预防计算机病毒的做法是__________。

A.给计算机安装卡巴斯基软件B.经常升级防病毒软件C.给计算机加上口令D.不要轻易打开陌生人的邮件答案：C2、下面关于系统更新说法正确的是______。

A.其所以系统需要更新是因为操作系统存在着漏洞B.系统更新后，可以不再受病毒的攻击C.即使计算机无法上网，系统更新也会自动进行D.所有的更新应及时下载安装，否则系统会很快崩溃答案：A3、下面，关于计算机安全属性说法不正确的是______。

A.计算机的安全属性包括：保密性、完整性、不可抵赖性、可靠性等B.计算机的安全属性包括：保密性、完整性、不可抵赖性、可用性等C.计算机的安全属性包括：可靠性、完整性、保密性、正确性等D.计算机的安全属性包括：保密性、完整性、可用性、可靠性等答案：C4、访问控制中的“授权”是用来______。

A.限制用户对资源的使用权限B.控制用户可否上网C.控制操作系统是否可以启动D.控制是否有收发邮件的权限答案：A5、计算机安全的属性不包括______。

A.信息的可靠性B.信息的完整性C.信息的可审性D.信息语义的正确性答案：D6、保证信息不暴露给未经授权的实体是指信息的_______。

A.可靠性B.可用性C.完整性D.保密性答案：D7、下列不属于可用性服务的技术是__________。

A.备份B.身份鉴别C.在线恢复D.灾难恢复答案：B8、甲明明发了邮件给乙，但矢口否认，这破坏了信息安全中的______。

A.保密性B.不可抵赖性C.可用性D.可靠性答案：B9、计算机安全中的系统安全是指__________。

A.系统操作员的人身安全B.计算机系统中的每个软件实体能安全使用C.操作系统本身的安全D.物理安全，即物理设备不被破坏以及对电磁辐射、搭线窃听等破坏行为的预防答案：C10、从技术上讲，计算机安全不包括______。

A.实体安全B.系统安全C.信息安全D.计算机制造安全答案：D11、系统安全主要是指______。

网络安全技术与实践习题与答案第一章引言一、填空题1.信息安全的3个基本目标是：保密性、完整性和可用性。

此外，还有一个不可忽视的目标是：合法使用。

2.网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和非法使用。

3.访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略。

4.安全性攻击可以划分为：被动攻击和主动攻击。

5.X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性、不可否认性。

6.X.800定义的8种特定的安全机制是：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。

7.X.800定义的5种普遍的安全机制是：可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。

二、思考题1.基本的安全威胁有哪些？主要的渗入类型威胁是什么？主要的植入类型威胁时什么？请列出几种最主要的威胁。

答：基本的安全威胁有：信息泄露、完整性破坏、拒绝服务、非法使用。

主要的渗入类型威胁有：假冒、旁路、授权侵犯。

主要的植入威胁有：特洛伊木马、陷门最主要安全威胁：（1）授权侵犯（2）假冒攻击（3）旁路控制（4）特洛伊木马或陷阱（5）媒体废弃物（出现的频率有高到低）2.什么是安全策略？安全策略有几个不同的等级？答：安全策略：是指在某个安全区域内，施加给所有与安全相关活动的一套规则。

安全策略的等级：1安全策略目标；2机构安全策略；3系统安全策略。

3.主动攻击和被动攻击的区别是什么？请举例说明。

答：区别：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。

主动攻击的例子：伪装攻击、重放攻击、消息篡改、拒绝服务。

被动攻击的例子：消息泄漏、流量分析。

4.请画出一个通用的网络安全模式，并说明每个功能实体的作用。

网络安全模式如下：网络安全模型由六个功能实体组成：消息的发送方（信源）、消息的接收方（信宿）、安全变换、信息通道、可信的第三方和攻击者。

信息安全技术模拟练习题及答案一、单选题（共59题，每题1分，共59分）1.在移位密码中，密钥k=9，密文字母为J，对应的明文字母为（）。

A、AB、BC、CD、D正确答案：A2.下面关于数字签名哪种说法是错误的？A、数字签名技术能够保证信息传输过程中的机密性B、能够防止交易中抵赖的发生C、能够保证信息传输过程中的完整性D、能够对发送者的身份进行认证正确答案：A3.使用Telnet的主要目的是A、下载文件B、登录远程主机C、引入网络虚拟终端D、发送邮件正确答案：B4.（）研究如何对密文进行破译。

A、数字签名B、信息隐藏C、密码分析学D、密码编码学正确答案：C5.以下哪种方法属于个人特征认证（）A、虹膜识别B、账号认证C、磁卡认证D、口令认证正确答案：A6.在移位密码中，密钥k=8，密文字母为I，对应的明文字母为（）。

A、AB、BC、CD、D正确答案：A7.IPSec协议是开放的VPN协议。

对它的描述有误的是：A、适应于向IPv6迁移B、支持动态的IP地址分配C、提供在网络层上的数据加密保护D、不支持除TCP/IP外的其它协议正确答案：B8.Telnet指的是（）。

A、文件传输B、万维网C、电子邮件D、远程登录正确答案：D9.实现互联网层主要功能的协议是（）。

A、FTPB、IPC、SMTPD、POP3正确答案：B10.DES的分组长度是（）。

A、64B、3C、5D、7正确答案：A11.下面哪个（些）攻击属于服务攻击Ⅰ.邮件炸弹攻击Ⅱ.源路由攻击Ⅲ.地址欺骗攻击A、Ⅰ和ⅡB、Ⅰ和ⅢC、仅ⅠD、Ⅱ和Ⅲ正确答案：C12.在移位密码中，密钥k=10，密文字母为K，对应的明文字母为（）。

A、AB、BC、CD、D正确答案：A13.在移位密码中，密钥k=2，密文字母为C，对应的明文字母为（）。

A、AB、BC、CD、D正确答案：A14.（）主要包括媒体数据的安全及媒体本身的安全，如预防删除文件、格式化硬盘、线路拆除、意外疏漏等操作失误导致的安全威胁。

计算机网络安全基础（第5版）习题参考答案第1章习题：1．举出使用分层协议的两条理由？1.通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机对等层通信；2.各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防止对某一层所作的改动影响到其他的层；3.通过网络组件的标准化，允许多个提供商进行开发。

2．有两个网络，它们都提供可靠的面向连接的服务。

一个提供可靠的字节流，另一个提供可靠的比特流。

请问二者是否相同？为什么？不相同。

在报文流中，网络保持对报文边界的跟踪；而在字节流中，网络不做这样的跟踪。

例如，一个进程向一条连接写了1024字节，稍后又写了另外1024字节。

那么接收方共读了2048字节。

对于报文流，接收方将得到两个报文，、每个报文1024字节。

而对于字节流，报文边界不被识别。

接收方把全部的2048字节当作一个整体，在此已经体现不出原先有两个不同的报文的事实。

3．举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。

OSI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

第一层到第三层属于低三层，负责创建网络通信链路；第四层到第七层为高四层，具体负责端到端的数据通信。

每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。

TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。

与OSI功能相比，应用层对应的是OSI的应用层、表示层、会话层；网络接口层对应着OSI的数据链路层和物理层。

两种模型的不同之处主要有：(1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了TCP层实现，这样保证了IP层实现的简练性。

OSI参考模型在各层次的实现上有所重复。

(2) TCP/IP结构经历了十多年的实践考验，而OSI参考模型只是人们作为一种标准设计的；再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没有。

《信息安全技术》习题及答案(最全)信息安全技术习题及答案(最全)一、选择题：1. 某公司采用的是对每位员工的工作进行访问权限管理的信息安全机制，下列说法正确的是：A. 访问权限是由员工自行设置和管理的B. 访问权限适用于所有员工不论其工作内容C. 访问权限由系统管理员根据员工工作需求而设置和管理D. 访问权限对所有员工都是相同的答案：C2. 下列哪个不属于信息安全的核心要素：A. 机密性B. 完整性C. 可用性D. 隐私性答案：D3. 在网络通信中，下列哪项不是保障数据机密性的措施：A. 加密B. 防火墙C. VPND. 数字签名答案：B4. 下列哪个不属于常见的网络攻击方式：A. 电子邮件欺骗B. SQL注入C. 伪造IP地址D. 数据加密答案：D5. 进行网络安全风险评估时，下列哪项内容不需要考虑：A. 网络系统安全配置B. 员工安全培训C. 网络设备供应商的信誉度D. 网络服务提供商的可靠性答案：C二、填空题：1. 按照信息安全等级保护要求，国家将信息系统分为___个等级。

答案：四2. 典型的网络攻击方式包括：___、___、___、___等。

答案：病毒攻击、DDoS攻击、钓鱼攻击、黑客入侵等。

3. 信息安全的目标包括：___、___、___、___。

答案：机密性、完整性、可用性、可追溯性。

4. 安全加固措施包括：___、___、___、___等。

答案：访问控制、身份认证、防火墙配置、数据加密等。

5. 网络安全体系结构包括：___、___、___三个层次。

答案：技术层、管理层、人员层。

三、问答题：1. 请简要介绍信息安全的基本概念。

答：信息安全是指保护信息系统中的信息不受未经授权的访问、使用、披露、修改、破坏等威胁的安全状态。

它包括保护信息的机密性、完整性、可用性和可追溯性等目标。

2. 请列举几种常见的网络攻击方式，并说明其特点。

答：常见的网络攻击方式包括病毒攻击、DDoS攻击、钓鱼攻击和黑客入侵等。

信息安全专业考试模拟练习题目（F）1.以下关于软件安全问题对应关系错误的是？A.缺点（Defect）-软件实现和设计上的弱点B.缺陷（Bug）-实现级上的软件问题C.瑕疵（Flaw）-一种更深层次、设计层面的问题D.故障（Failure）-由于软件存在缺点造成的一种外部表吸纳，是静态的、程序执行过程中出现的行为表现答案：D2.自主访问控制（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中，以下对DAC模型的理解中，存在错误的是（）A、在DAC模型中，资源的所有者可以确定谁有权访问它们的资源B、DAC是一种对单位单个用户执行访问控制的过程和措施C、DAC可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击D、在DAC中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体答案：C3.恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。

随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。

小李发现在自己的电脑查出病毒的过程中，防病毒软件通过对有毒软件的检测，将软件行为与恶意代码为模型进行匹配，判断出该软件存在恶意代码，这种方式属于（）A、简单运行B、行为检测C、特征数据匹配D、特征码扫描答案：B4.信息安全风险值应该是以下哪些因素的函数？（）A、信息资产的价值、面临的威胁以及自身存在的脆弱性B、病毒、黑客、漏洞等C、保密信息如国家秘密、商业秘密等D、网络、系统、应用的复杂程度答案：A5.管理层应该表现对（）、程序和控制措施的进行支持，并以身作则。

管理职责要确保雇员和承包方人员都了解（），其（）角色和职责，并遵守相应的条款和条件。

组织要建立信息安全意识计划，并定期组织信息安全（）组织要建（）。

答案：教材第113页，第一段和第二段，请背诵下来，最好要理解。

6.主要的信息安全服务分为（）、（）、（）、（）、访问控制A、访问控制、数据加密、B、访问控制、加密、密秘性C、访问控制、加密、数据完整性、序列D、机密性、完整性、可用性、访问控制答案：D教材第346页，包括：鉴别、访问控制、数据保密性、数据完整性、抗抵赖。

1.在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领导对客体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的自主访问控制机制的访问许可模式是（）。

A.自由型B.有主型C.树状型D.等级型答案：D3.以下关于开展软件安全开发必要性描错误的是？（）A．软件应用越来越广泛B.软件应用场景越来越不安全C．软件安全问题普遍存在D.以上都不是答案：D4.软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求，从而导致软件开发与维护过程中出现一系列严重问题的现象。

为了克服软件危机，人们提出了用（）的原理来设计软件，这就是软件工程诞生的基础A．数学 B.软件学 C.运筹学 D.工程学答案：D6.在设计信息系统安全保障方案时，以下哪个做法是错误的A．要充分企切合信息安全需求并且实际可行B．要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本C．要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保障要求D．要充分考虑用户管理和文化的可接受性，减少系统方案实验障碍答案：C7.灾备指标是指信息安全系统的容灾抗毁能力，主要包括四个具体指标：恢复时间目标（Recovery Time Oh jective,RTO）.恢复点目标（Recovery Point Objective,RPO）降级操作目标（Degraded Operations Ob jective-DOO）和网络恢复目标（NeLwork Recovery Ob jective-NRO）,小华准备为其工作的信息系统拟定恢复点目标RPO=0，以下描述中，正确的是（）。

A．RPO=0，相当于没有任何数据丢失，但需要进行业务恢复处理，覆盖原有信息B. RPO=0, 相当于所有数据全部丢失，需要进行业务恢复处理。

修复数据丢失C．RPO=0，相当于部分数据丢失，需要进行业务恢复处理，修复数据丢失D．RPO=0，相当于没有任何数据丢失，且不需要进行业务恢复处理答案：D8.下图显示了SSAM 的四个阶段和每个阶段工作内容。

《安全技术应用》综合练习题一．单项选择题(1) 计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．机密性B．抗攻击性C．网络服务管理性D．控制安全性(2) 网络安全的实质和关键是保护网络的安全。

A．系统B．软件C．信息D．网站(3) 在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

A．机密性B．完整性C．可用性D．可控性(4)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

A．破环数据完整性B．非授权访问C．信息泄漏D．拒绝服务攻击（5）能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是（）。

A.认证服务 B.数据保密性服务C.数据完整性服务D.访问控制服务（6）传输层由于可以提供真正的端到端的连接，最适宜提供（）安全服务。

A.数据保密性B.数据完整性C.访问控制服务D.认证服务（7）网络安全管理技术涉及网络安全技术和管理的很多方面，从广义的范围来看（）是安全网络管理的一种手段。

A.扫描和评估B. 防火墙和入侵检测系统安全设备C.监控和审计D. 防火墙及杀毒软件（8）与安全有关的事件，如企业猜测密码、使用未经授权的权限访问、修改应用软件以及系统软件等属于安全实施的（）。

A.信息和软件的安全存储B.安装入侵检测系统并监视C.对网络系统及时安装最新补丁软件D.启动系统事件日志（9）在黑客攻击技术中，（）是黑客发现获得主机信息的一种最佳途径。

A.网络监听B.缓冲区溢出C.端口扫描D.口令破解（10）一般情况下，大多数监听工具不能够分析的协议是（）。

A. 标准以太网B. TCP/IPC. SNMP和CMISD. IPX和DECNet（11）改变路由信息、修改WinDows NT注册表等行为属于拒绝服务攻击的（）方式。

A.资源消耗型 B.配置修改型C.服务利用型D. 物理破坏型（12）（）是建立完善的访问控制策略，及时发现网络遭受攻击情况并加以追踪和防范，避免对网络造成更大损失。

计算机信息安全技术课后习题答案(总25页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。

防护,检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何在信息安全系统中,人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1．下列（RSA算法）算法属于公开密钥算法。

2.下列（天书密码）算法属于置换密码。

加密过程中，需要进行（16）轮交换。