信息安全概论试卷附答案

一、单选题1、PDRR模型中的D代表的含义是( )。

A.检测B.响应C.关系D.安全正确答案：A2、信息的可用性指（）。

A.信息系统能够及时和正确地提供服务B.信息系统有电C.信息系统本身没有病毒D.信息系统可以对抗自然灾害正确答案：A3、信息系统的完整性指（）。

A.信息没有被非法修改B.信息系统不缺少零件C.信息是机密的内容D.信息的生产者不能否认信息的生产正确答案：A4、下列关于DES算法描述错误的是（）。

A. DES算法的密钥是64bitB.DES算法的密钥是56bitC.DES算法的加密的明文是64bitD.DES算法的生产的密文是64bit正确答案：A5、关于网络蠕虫，下列说法错误的是（）。

A. 网络蠕虫可以感染任何设备B.网络蠕虫的传播通常需要依赖计算机漏洞C. 网络蠕虫可能堵塞网络D.网络蠕虫可以感染很多联网计算机，并能把它们作为新的感染源正确答案：A6、关于信息的机密性的描述，错误的是( )。

A.信息的机密性只能通过加密算法实现B. 信息的机密性可以通过使用加密算法实现C.信息的机密性可以通过访问控制实现D.信息的机密性可以通过信息隐藏实现正确答案：A7、PDRR模型中的P代表的含义是( )。

A.检测B.响应C.保护D.安全正确答案：C8、下列选项中，关于AES描述错误的是( )A.AES是加密算法B.AES主要用途是做数字签名C..AES的密钥长度通常是128bit，明文数据通常是128bitD.AES是美国政府的加密标准正确答案：B9、数字签名的描述，错误的是( )A.数字签名可以用作信息的非否认性保护B.数字签名中通常应用散列函数C.数字签名中通常需要非对称密码学D.数字签名主要用于信息保密正确答案：D10、互联网电子邮件服务提供者对用户的（）没有保密的义务。

A.个人注册信息B.用户的电子邮件地址C.用户的来往电子邮件的内容D.用户通讯录中的联系人正确答案：B11、计算机病毒是一种破坏计算机功能或者毁坏计算机中所存储数据的（）A.程序代码B.微生物病菌C.计算机专家D.黑客正确答案：A12、通常意义上的网络黑客是指通过互联网利用非正常手段A.上网的人B.入侵他人计算机系统的人C.在网络上行骗的人。

一、单项选择题二、填空题1. 机密性2. 鉴别3. 访问控制策略4. 现代密码5. 真实性6. 签名算法7. 保密性8. 认证9. 序列密码 10. 公开密钥体制二、判断改错题1. （√）2.（√）3. （√）4.（√）5. （×）改正：计算机病毒也可能通过网络传染。

三、简答题1.答：1）将56位密钥插入第8，16，24，32，40，48，56，64位奇偶校验位，然后根据压缩置换表压缩至56位；2）将压缩后的56位密钥分成左右两部分，每部分28位；根据i的值这两部分分别循环左移1位或2位；3）左右两部分合并，根据压缩置换表选出48位子密钥Ki。

2.答：1）将上一轮的右32位按照扩展置换表进行置换，产生48位输出；2）将上一步的48位输出与48位子密钥进行异或，产生48位输出；3）将上一步的48位输出分成8组，每组6位，分别输入8个S盒，每个S盒产生4位输出，共输出32位；4）进行P盒置换得到结果。

3.答：针对主机的ARP欺骗的解决方法：主机中静态ARP缓存表中的记录是永久性的，用户可以使用TCP/IP工具来创建和修改，如Windows操作系统自带的ARP工具，利用“arp -s 网关IP地址网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态（static）。

（2分）针对交换机的ARP欺骗的解决方法：在交换机上防范ARP欺骗的方法与在计算机上防范ARP 欺骗的方法基本相同，还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。

（4分）4.答：防火墙的应用特点：1.所有的通信，无论是从内部到外部，还是从外部到内部，都必须经过防火墙（3分）。

2.只有被授权的通信才能通过防火墙，这些授权将在本地安全策略中规定。

防火墙本身对于渗透必须是免疫的（3分）。

四、1. 答案：解：维吉尼亚表的前4行：ABCDEFGHIJKLMNOPQRSTUVWXYZBCDEFGHIJKLMNOPQRSTUVWXYZACDEFGHIJKLMNOPQRSTUVWXYZABDEFGHIJKLMNOPQRSTUVWXYZABCEFGHIJKLMNOPQRSTUVWXYZABCDFGHIJKLMNOPQRSTUVWXYZABCDEGHIJKLMNOPQRSTUVWXYZABCDEFHIJKLMNOPQRSTUVWXYZABCDEFGIJKLMNOPQRSTUVWXYZABCDEFGHJKLMNOPQRSTUVWXYZABCDEFGHIKLMNOPQRSTUVWXYZABCDEFGHIJLMNOPQRSTUVWXYZABCDEFGHIJKMNOPQRSTUVWXYZABCDEFGHIJKLNOPQRSTUVWXYZABCDEFGHIJKLMOPQRSTUVWXYZABCDEFGHIJKLMNPQRSTUVWXYZABCDEFGHIJKLMNOQRSTUVWXYZABCDEFGHIJKLMNOPRSTUVWXYZABCDEFGHIJKLMNOPQSTUVWXYZABCDEFGHIJKLMNOPQRTUVWXYZABCDEFGHIJKLMNOPQRSUVWXYZABCDEFGHIJKLMNOPQRSTVWXYZABCDEFGHIJKLMNOPQRSTUWXYZABCDEFGHIJKLMNOPQRSTUVXYZABCDEFGHIJKLMNOPQRSTUVWYZABCDEFGHIJKLMNOPQRSTUVWXZABCDEFGHIJKLMNOPQRSTUVWXYABCDEFGHIJKLMNOPQRSTUVWXYZ解：根据表中明文字母对应列，密钥字母对应行，通过查表计算于是有如下结果：P= F I R E W A L LK= K E Y W O R D KC=PMPAKROT2. 答案：答：ABCDEFGHIJKLMNOPQRSTUVWXYZKLMNOPQRSTUVWXYZABCDEFGHIJ。

信息安全概论期末测试题及答案一、选择题（每题5分，共25分）1. 以下哪个不属于计算机病毒的典型特征？A. 自我复制B. 破坏性C. 传播速度快D. 需要依附于宿主程序2. 防火墙的主要功能不包括以下哪项？A. 防止外部攻击B. 控制内部网络访问C. 监控网络流量D. 加密通信数据3. 以下哪种加密算法是非对称加密算法？A. DESB. RSAC. AESD. 3DES4. 以下哪个不是信息加密的基本原理？A. 密钥交换B. 加密和解密C. 信息摘要D. 信息伪装5. 以下哪个不属于社会工程学攻击手段？A. 钓鱼攻击B. 邮件欺诈C. 恶意软件D. 身份盗窃二、填空题（每题5分，共25分）6. 信息安全主要包括____、____、____和____四个方面。

7. 数字签名技术可以实现____、____和____等功能。

8. 身份认证技术主要包括____、____和____等方式。

9. 云计算环境下的信息安全问题主要包括____、____、____和____等。

10. 防范网络钓鱼攻击的措施包括____、____、____和____等。

三、简答题（每题10分，共30分）11. 请简要介绍什么是SQL注入攻击，以及如何防范SQL注入攻击？12. 请简要说明什么是DDoS攻击，以及如何应对DDoS攻击？13. 请简要介绍什么是信息加密，以及信息加密的基本原理是什么？四、案例分析题（共25分）14. 某企业网络系统遭受了严重的黑客攻击，导致企业内部数据泄露。

请分析可能导致此次攻击的原因，并提出相应的防范措施。

15. 某政府官方网站被黑客篡改，造成不良社会影响。

请分析可能导致此次篡改的原因，并提出相应的防范措施。

五、论述题（共25分）16. 请结合我国信息安全法律法规，论述企业在信息安全方面应承担的责任和义务。

17. 请论述大数据时代信息安全面临的主要挑战，并提出相应的应对策略。

答案：一、选择题1. D2. D3. B4. D5. C二、填空题6. 保密性完整性可用性不可否认性7. 数据完整性数据保密性身份认证8. 密码技术生物识别技术 token技术9. 数据泄露数据篡改服务中断否认服务10. 安装杀毒软件更新操作系统和软件定期备份数据提高员工安全意识三、简答题11. SQL注入攻击是一种利用应用程序对SQL语言执行的漏洞，将恶意SQL代码注入到应用程序中，从而实现非法操作数据库的目的。

信息安全概论考试试题（三）一、选择题(每小题2分，共30分)1．要安全浏览网页，不应该（）。

A. 定期清理浏览器缓存和上网历史记录B. 禁止使用ActiveX控件和Java 脚本C. 定期清理浏览器CookiesD. 在他人计算机上使用“自动登录”和“记住密码”功能2. 系统攻击不能实现（）。

A. 盗走硬盘B. 口令攻击C. 进入他人计算机系统D. IP欺骗3. 我国卫星导航系统的名字叫（）。

A. 天宫B. 玉兔C. 神州D. 北斗4. 计算机网络硬件设备中的无交换能力的交换机（集线器）属于哪一层共享设备（）A. 物理层B. 数据链路层C. 传输层D. 网络层5. 网页恶意代码通常利用（）来实现植入并进行攻击。

A. 口令攻击B. U盘工具C. IE浏览器的漏洞D. 拒绝服务攻击6. 下列说法不正确的是（）。

A. 后门程序是绕过安全性控制而获取对程序或系统访问权的程序B. 后门程序都是黑客留下来的C. 后门程序能绕过防火墙D. Windows Update实际上就是一个后门软件7. 在无线网络的攻击中（）是指攻击节点在某一工作频段上不断发送无用信号，使该频段的其他节点无法进行正常工作。

A. 拥塞攻击B. 信号干扰C. 网络窃听D. 篡改攻击8. 证书授权中心（CA）的主要职责是（）。

A. 以上答案都不对B. 进行用户身份认证C. 颁发和管理数字证书D. 颁发和管理数字证书以及进行用户身份认证9. GSM是第几代移动通信技术?（）A. 第一代B. 第四代C. 第二代D. 第三代10. 已定级信息系统保护监管责任要求第一级信息系统由（）依据国家有关管理规范和技术标准进行保护。

A. 信息系统运营、使用单位B. 信息系统使用单位C. 国家信息安全监管部门D. 信息系统运营单位11. 要安全浏览网页，不应该（）。

A. 在他人计算机上使用“自动登录”和“记住密码”功能B. 禁止使用ActiveX控件和Java 脚本C. 定期清理浏览器CookiesD. 定期清理浏览器缓存和上网历史记录12. 恶意代码传播速度最快、最广的途径是（）。

1、虚拟机技术是检测病毒的基本方法之一，虚拟机技术的产生是为了检测下列哪种病毒（ A ）。

A、蠕虫B、多态性病毒C、特洛伊木马D、宏病毒2、下列病毒种类中，不是按感染系统进行分类的是（ B ）。

A、DOS病毒B、宏病毒C、Windows病毒D、引导型病毒3、能够真正实现内外网隔离的技术手段是（ B ）。

A、防火墙B、物理隔离C、安全网关D、安全路由器4、各国电信主管部门之间协调电信事物的国际组织是（ B ）。

A、国际电子技术协议（IEC）B、国际电信联盟（ITU）C、电子工业协会（EIA）D、通信工业协会（TIA）5、用于解决IP地址短缺问题的技术是（B ）。

A、VPN技术B、状态检测技术C、NA T技术D、包过滤技术6、安全问题的技术根源是（B）A、黑客的攻击B、软件和系统的漏洞C、安全产品的缺陷D、操作员的失误7、对于同一个事物，不同的观察者所能获得的信息量可能不同，这反映了信息的（ B ）。

A、普遍性B、相对性C、传递性D、变换性8、从应用和企业层角度来解决安全问题，以面向任务的观点，从任务的角度来建立安全模型和实现安全机制的访问控制模型是（ D ）。

A、强制访问控制模型B、基于角色的访问控制模型C、基于对象的访问控制模型D、基于任务的访问控制模型9、攻击者发送大量声称来自银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的攻击手段是（ B ）。

A、社会工程学B、网络钓鱼C、旁路攻击D、授权侵犯1、信息系统的安全是三分靠技术、七分靠管理。

2、入侵检测系统的两种基本检测方法是异常检测和误用检测。

3、访问控制技术包括三个要素：主体、客体和控制策略。

分析题（本大题共15分。

）下面是一段C语言代码。

#include<stdio.h>#include<string.h>char name[] = “abcdefghijklmnopqrstuvwxyz ”；int main(){char output[8]；strcpy(output, name)；for(int i=0;i<8;i++)printf("\\0x%x",output[i])；return 0；}1、上面这段代码隐含了一种程序漏洞，该漏洞可导致攻击。

信息安全概论考试试题（四）一、选择题(每小题2分，共30分)1．特别适用于实时和多任务的应用领域的计算机是（）。

A. 巨型机B. 大型机C. 微型机D. 嵌入式计算机2. 负责对计算机系统的资源进行管理的核心是（）。

A. 中央处理器B. 存储设备C. 操作系统D. 终端设备3. 以下关于盗版软件的说法，错误的是（）。

A. 若出现问题可以找开发商负责赔偿损失B. 使用盗版软件是违法的C. 成为计算机病毒的重要来源和传播途径之一D. 可能会包含不健康的内容4. 涉密信息系统工程监理工作应由（）的单位或组织自身力量承担。

A. 具有信息系统工程监理资质的单位B. 具有涉密工程监理资质的单位C. 保密行政管理部门D. 涉密信息系统工程建设不需要监理5. 以下关于智能建筑的描述，错误的是（）。

A. 智能建筑强调用户体验，具有内生发展动力。

B. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。

C. 建筑智能化已成为发展趋势。

D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。

6. 网页恶意代码通常利用（）来实现植入并进行攻击。

A. 口令攻击B. U盘工具C. IE浏览器的漏洞D. 拒绝服务攻击7. 信息系统在什么阶段要评估风险？（）A. 只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。

B. 只在规划设计阶段进行风险评估，以确定信息系统的安全目标。

C. 只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否。

D. 信息系统在其生命周期的各阶段都要进行风险评估。

8. 下面不能防范电子邮件攻击的是（）。

A. 采用FoxMailB. 采用电子邮件安全加密软件C. 采用Outlook ExpressD. 安装入侵检测工具9. 给Excel文件设置保护密码，可以设置的密码种类有（）。

A. 删除权限密码B. 修改权限密码C. 创建权限密码D. 添加权限密码10. 覆盖地理范围最大的网络是（）。

信息安全概论考试试题（二）一、选择题(每小题2分，共30分)1．在我国，互联网内容提供商(ICP)（）。

A. 不需要批准B. 要经过资格审查C. 要经过国家主管部门批准D. 必须是电信运营商2. 以下关于无线网络相对于有线网络的优势不正确的是（）。

A. 可扩展性好B. 灵活度高C. 维护费用低D. 安全性更高3. 广义的电子商务是指（）。

A. 通过互联网在全球范围内进行的商务贸易活动B. 通过电子手段进行的商业事务活动C. 通过电子手段进行的支付活动D. 通过互联网进行的商品订购活动4. 计算机病毒是（）。

A. 一种芯片B. 具有远程控制计算机功能的一段程序C. 一种生物病毒D. 具有破坏计算机功能或毁坏数据的一组程序代码5. 绿色和平组织的调查报告显示，用Linux系统的企业仅需（）年更换一次硬件设备。

A. 5~7B. 4~6C. 7~9D. 6~86. 黑客主要用社会工程学来（）。

A. 进行TCP连接B. 进行DDoS攻击C. 进行ARP攻击D. 获取口令7. Windows 操作系统中受限用户在默认的情况下可以访问和操作自己的文件，使用部分被允许的程序，一般不能对系统配置进行设置和安装程序，这种限制策略被称为“( )”。

A. 特权受限原则B. 最大特权原则C. 最小特权原则D. 最高特权原则8. 给Excel文件设置保护密码，可以设置的密码种类有（）。

A. 删除权限密码B. 修改权限密码C. 添加权限密码D. 创建权限密码9. 要安全浏览网页，不应该（）。

A. 定期清理浏览器缓存和上网历史记录B. 定期清理浏览器CookiesC. 在他人计算机上使用“自动登录”和“记住密码”功能D. 禁止使用ActiveX控件和Java 脚本10. 信息隐藏是（）。

A. 加密存储B. 把秘密信息隐藏在大量信息中不让对手发觉的一种技术C. 以上答案都不对D. 对信息加密11. 政府系统信息安全检查由（）牵头组织对政府信息系统开展的联合检查。

电子科技大学二零一零至二零——学年第二学期期末考试答案及评分细则信息女全概论课程考试题A卷（120分钟）考试形式：闭卷考试口期20 _年_刀_口课程成绩构成：平时15 分,期中10 分,实验0 分,期末75 分一、填空题（本大题共20空，每空1.5分，共30分）。

1、完整性，可用性2、保护（Protection）,检测（Detection）,响应（Response）3、环境安全，设备安全，媒体安全4、密码编码学，密码分析学5、硬件兀余，软件兀余6、B主访问控制，强制访问控制，基于角色的访问控制7、128, 160128, 192, 256二、单项选择题（本大题共10小题，每小题2分，共20分）。

1、C；2、A；3、B；4、C；5、B；6、A；7、C；8、C；9、D； 10、B三、简答题（本大题共5小题，每小题6分，共30分）。

1.零知识身份认证指在交互证明系统中，设P知道某一个秘密x,并向V证明自己掌握这一秘密，但又不向V 泄露这一秘密，在此过程中V除了知道P能证明某一事实外，不能得到关于秘密x的任何信息, 则称P实现了零知识身份认证。

（3分）给出如下的例子：如图：冇一个洞，设P知道咒语，可打开C和DZ间的秘密门，不知道者都将走入死胡同中，那么P如何向V出示证明使其和信他知道这个秘密，但乂不告诉V有关咒语。

P采用如下的协议使V相信自己掌握了洞穴的秘密：1）V站在A点。

2）P进入洞中任意一点C或D。

3）当P进洞Z后，V走到B点。

4）V叫P:“从左边出来，或“从右边出来”。

5）P按要求实现（以咒语，即解数学难题）。

6）P和V重复执行⑴〜（5）共n次。

被认证方P掌握的秘密信息一般是长期没有解决的猜想问题的证明，但能通过貝体的步骤來验证它的正确性。

（3分）2.防火墙是在一个可信任的内部网络和一个不可信任的外部网络Z间，为控制信息流通所设立的安全防护措施，是在两个网络之间执行控制策略的系统。

它使网络内部的使用者从外界获取最人的资源和效益，而不牺牲内部数据的安全。

信息安全概论考研试题及答案一、单项选择题（每题2分，共20分）1. 信息安全的核心目标是什么？A. 数据保密性B. 数据完整性C. 数据可用性D. 数据保密性、完整性和可用性答案：D2. 在网络安全中，防火墙的主要作用是什么？A. 阻止所有网络攻击B. 监控网络流量C. 控制进出网络的数据流D. 加密网络通信答案：C3. 以下哪项不是密码学的基本组成元素？A. 明文B. 密钥C. 算法D. 用户权限答案：D4. 什么是VPN？A. 虚拟私人网络B. 虚拟公共网络C. 虚拟专用线路D. 虚拟打印网络答案：A5. 计算机病毒的主要传播途径不包括以下哪项？A. 电子邮件附件B. 软件下载C. 手机短信D. 风力传播答案：D二、多项选择题（每题3分，共15分）6. 以下哪些措施可以提高信息系统的安全性？A. 安装防病毒软件B. 定期进行系统备份C. 使用盗版软件D. 定期更新系统补丁答案：A, B, D7. 信息安全中的“三元素”包括哪些？A. 机密性B. 完整性C. 可用性D. 可控性答案：A, B, C8. 以下哪些属于常见的网络攻击手段？A. 钓鱼攻击B. 拒绝服务攻击（DoS）C. 社交工程D. 物理入侵答案：A, B, C, D三、简答题（每题10分，共20分）9. 请简述信息安全的重要性。

答案：信息安全的重要性体现在保护个人和组织的敏感数据免受未授权访问、破坏、泄露或修改。

它有助于维护数据的完整性、保密性和可用性，防止数据丢失和业务中断，同时遵守法律法规和保护组织声誉。

10. 什么是社会工程学攻击？它是如何进行的？答案：社会工程学攻击是一种利用人性的弱点来进行欺骗的行为，目的是获取敏感信息或访问权限。

攻击者通常通过电话、电子邮件或社交媒体等渠道，假冒可信的个人或组织，诱使目标泄露密码、财务信息或其他机密数据。

四、论述题（每题25分，共50分）11. 论述信息安全中的“五要素”及其在实际应用中的重要性。

一、单项选择题二、填空题1. 灾难恢复2. PDRR模型3. 40%～60%4. 文件加密和解密使用相同的密钥5. DoS6. 可用性7. 法律与规范8. 软件9. 湿度10. 密钥的安全性三、判断改错题1. （√）2.（√）3. （×）改正：计算机安装杀毒软件后对未知的病毒不能防止。

4.（√）5. （√）四、简答题1. 答：系统访问控制是对进入系统的控制。

其主要作用是对需要访问系统及其数据的人进行识别，并检验其身份的合法性。

2. 答：计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播和感染到其它系统。

它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入到其它的程序中，执行恶意的行动。

3. 答：1）刻意编写人为破坏：计算机病毒是人为编写的有意破坏、严禁精巧的程序段。

2）具有自我复制能力：具有再生和传染能力。

3）夺取系统控制权：计算机病毒能够夺取系统控制权，执行自己设计的操作。

4）隐蔽性：病毒程序与正常程序不易区别，代码短小。

5）潜伏性：可长期潜藏在系统中，传染而不破坏，一旦触发将呈现破坏性。

6）不可预见性：病毒代码钱差万别，执行方式也不尽相同。

4. 答：数据保密性是网络信息不被泄漏给非授权的用户和实体，信息只能以允许的方式供授权用户使用的特性。

也就是说，保证只有授权用户才可以访问数据，限制非授权用户对数据的访问。

五、计算题1. 答案：答：ABCDEFGHIJKLMNOPQRSTUVWXYZHIJKLMNOPQRSTUVWXYZABCDEFG2. 答案：解：补充S盒：计算110110的输出：行号：(11)2 =3列号：(1011)2=11 对应的数：12二进制表示：1100。

信息安全概论一、单选题1．在以下人为的恶意攻击行为中，属于主动攻击的是（A）。

A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问2．数据完整性指的是(C)。

A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B.提供连接实体身份的鉴别C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D.确保数据数据是由合法实体发出的3．以下算法中属于非对称算法的是（B)。

A.DESB.RSA算法C.IDEAD.三重DES4．在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（B)。

A.非对称算法的公钥B.对称算法的密钥C.非对称算法的私钥D.CA中心的公钥5．以下不属于代理服务技术优点的是（D)。

A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据泄密6．包过滤技术与代理服务技术相比较（B)。

A.包过滤技术安全性较弱、但会对网络性能产生明显影响B.包过滤技术对应用和用户是绝对透明的C.代理服务技术安全性较高、但不会对网络性能产生明显影响D.代理服务技术安全性高，对应用和用户透明度也很高7．＂DES是一种数据分组的加密算法，DES它将数据分成长度为多少位的数据块，其中一部分用作奇偶校验，剩余部分作为密码的长度？”（B)。

A．56位B．64位C．112位D．128位8．黑客利用IP地址进行攻击的方法有：（A)。

A.IP欺骗B.解密C.窃取口令D.发送病毒9．防止用户被冒名所欺骗的方法是：（A)。

A.对信息源发方进行身份验证B.进行数据加密C.对访问网络的流量进行过滤和保护D.采用防火墙10．屏蔽路由器型防火墙采用的技术是基于：（B)。

A.数据包过滤技术B.应用网关技术C.代理服务技术D.三种技术的结合11．SSL指的是：（B)。

A.加密认证协议B.安全套接层协议C.授权认证协议D.安全通道协议12．CA指的是：（A)Certificate AuthorityA.证书授权B.加密认证C.虚拟专用网D.安全套接层13．以下关于计算机病毒的特征说法正确的是：（C)。

电子科技大学2023年9月《信息安全概论》作业考核试题及答案参考1.在需要保护的信息资产中，( )是最重要的。

A.环境B.硬件C.数据D.软件参考答案：C2.对称密码算法加密效率低、密钥相比照较长。

( )T.对F.错参考答案：F3.网络攻击一般有三个阶段：( )。

A.猎取信息，广泛传播B.获得初始的访问权，进而设法获得目标的特权C.留下后门，攻击其他系统目标，甚至攻击整个网络D.收集信息，查找目标参考答案：BCD4.防火墙是在网络环境中的( )应用。

A、字符串匹配B、访问掌握技术C、入侵检测技术D、防病毒技术参考答案：B5.只要做好客户端的文件检查就可以避开文件上传漏洞。

( )A.正确B.错误参考答案：B6.运输、携带、邮寄计算机信息媒体进出境的，应当照实向( )申报。

A.海关B.工商C.税务D.边防参考答案：A7.下面算法中，不属于Hash 算法的是( )。

A、MD-4 算法B、MD-5 算法C、DSA 算法D、SHA 算法参考答案：C8.RARP 协议是一种将 MAC 地址转化成 IP 地址的一种协议。

( )T.对F.错参考答案：T9.窗函数的外形和长度对语音信号分析无明显影响，常用Rectangle Window 以减小截断信号的功率泄漏。

( )A.正确B.错误参考答案：B10.安装了合格防雷保安器的计算机信息系统，还必需在( )雷雨季节前对防雷保安器：保护接地装置进展一次年度检查，觉察不合格时，应准时修复或更换。

A.第三年B.其次年C.每年D.当年参考答案：C11.IPSEC 能供给对数据包的加密，与它联合运用的技术是( )A.SSLB.PPTPC.L2TPD.VPN参考答案：D12.从系统构造上来看，入侵检测系统可以不包括( )A、数据源B、分析引擎C、审计D、响应参考答案：C13.依据 BS7799 的规定，访问掌握机制在信息安全保证体系中属于()环节。

A.检测B.响应C.保护D.复原参考答案：C14.典型的数据备份策略包括( )。

南开大学20春《信息安全概论》期末考核答卷附标准答案南开大学20春《信息安全概论》期末考核附标准答案试卷总分:100 得分:100一、单选题 (共 20 道试题,共 40 分)1.Bell-LaPaDula访问控制模型的读写原则是哪项?A.向下读，向下写B.向下读，向上写C.向上读，向下写D.向上读，向上写答案:B2.以下哪一项标准是信息安全管理体系标准?A.SSE-CMMB.ISO/IEC 13355/doc/bf3311886.html,D.BS 17799答案:D3.Snort系统可用作什么?A.防火墙B.虚拟局域网C.杀毒软件D.入侵检测系统答案:D4.以下哪项不是AES算法的可能密钥长度A.64B.256C.192答案:A5.在面向变换域的数字水印算法中,DWT算法是一种A.离散小波变换算法B.离散傅里叶变换算法C.离散余弦变换算法D.最低有效位变换算法答案:A6.以下哪项不是VLAN划分的方法?A.基于终端操作系统类型的VLAN划分B.基于端口的VLAN划分C.基于MAC地址的VLAN划分D.基于IP子网的VLAN划分答案:A7.《计算机信息系统安全保护等级划分准则》划分的安全等级中,哪一级可以满足访问监视器的要求?A.访问验证级B.结构化保护级C.系统审计级保护级D.用户自主保护级E.安全标记保护级答案:A8.AES算法的分组长度为多少位?A.64B.256C.192答案:D9.攻击者通过伪造以假乱真的网站和发送诱惑受害者按攻击者意图执行某些操作的电子邮件等方法,使得受害者“自愿”交出重要信息(例如银行账户和密码)的手段称为什么?A.网络钓鱼B.缓冲区溢出C.僵尸网络D.DNS欺骗答案:A10.以下哪项不是访问控制模型?A.RBACB.MACC.HASHD.DAC答案:C11.IDS是指哪种网络防御技术?A.防火墙B.虚拟局域网C.杀毒软件D.入侵检测系统答案:D12.实现逻辑隔离的主要技术是A.防火墙B.杀毒软件C.IPS答案:A13.以下属于认证协议的是哪项?A.NeedHam-SchroederB.ElGamalC.DESD.AES答案:A14.《计算机信息系统安全保护等级划分准则》将信息系统划分为几个等级?A.7B.5C.3D.1答案:B15.以下不是信息安全发展的一个阶段的是A.通信安全B.物理安全C.信息安全D.信息保障答案:B16.以下哪项不属于拒绝服务攻击?A.Tear DropB.Syn FloodC.Ping of DeathD.CIH17.Windows系统安全架构的核心是什么?A.访问控制B.管理与审计C.用户认证D.安全策略答案:D18.在CC标准中,要求在设计阶段实施积极的安全工程思想,提供中级的独立安全保证的安全可信度级别为A.EAL7B.EAL5C.EAL3D.EAL1答案:C19.以下哪项是散列函数?A.RSAB.MD5#DES#DSA答案:B20.在面向空域的数字水印算法中,LSB算法是一种A.离散小波变换算法B.离散傅里叶变换算法C.离散余弦变换算法D.最低有效位变换算法。

信息安全概论考试题一、选择题1.信息安全的目标是什么？– A. 保护隐私– B. 防止数据泄露– C. 确保数据完整性和可用性– D. 所有选项都正确2.下列哪种不属于常见的恶意软件类型？– A. 病毒– B. 木马– C. 防火墙– D. 蠕虫3.什么是密码学？– A. 研究密码学算法的科学– B. 保护和确保数据的机密性、完整性和可用性的技术– C. 以密码为基础的通信和信息处理技术– D. 所有选项都正确4.下列哪种是常见的网络攻击类型？– A. 拒绝服务攻击（DoS）– B. 中间人攻击（Man-in-the-middle）– C. 垃圾邮件攻击（Spam）– D. 所有选项都正确5.在信息安全中，哪种认证方法最常用？– A. 双因素认证（2FA）– B. 单因素认证（1FA）– C. 多因素认证（MFA）– D. 没有标准的认证方法二、填空题1.社会工程学是指利用人性弱点获取机密信息的攻击方式。

2.数据备份是保护数据完整性和可用性的重要措施之一。

3.防火墙是一种用于保护网络免受非法访问的安全设备。

4.加密是通过使用密码或密钥将数据转换为不可读格式的过程。

5.漏洞扫描是通过自动化工具检测系统和应用程序中存在的安全漏洞。

三、简答题1.请解释什么是网络钓鱼攻击（Phishing）？网络钓鱼攻击是一种通过伪装为合法实体，如银行、电子商务网站或社交媒体平台等，向用户发送欺骗性电子邮件或信息的攻击方式。

攻击者通常会引导受害者访问伪造的网站，并试图获取他们的敏感信息，例如用户名、密码、信用卡号码等。

网络钓鱼攻击通常采用社会工程学手段，利用人们的信任心理，使其误以为他们正在与合法的实体进行交互。

2.请简要描述防火墙的工作原理。

防火墙是一种网络安全设备，用于监控和控制进出网络的流量。

它可以通过策略规则来过滤和阻止不信任或潜在危险的流量。

防火墙工作原理如下：•接收数据包：防火墙接收传入或传出网络的数据包。

信息安全概论考试试题（十）一、选择题每小题2分，共30分）1.要安全浏览网页，不应该0。

A.定期清理浏览器缓存和上网历史记录B.定期清理浏览器CookiesC.在他人计算机上使用自动登录和“记住密码功能D.禁止使用ActiveX控件和Java脚本2.信息隐藏是（）。

A.加密存储B.把秘密信息隐藏在大量信息中不让对手发觉的一种技术C.其它答案都不对D.对信息加密3.政府系统信息安全检查由。

牵头组织对政府信息系统开展的联合检查。

A.公安部门B.安全部门C.保密部门D.信息化主管部门4. IP地址是（）。

A.计算机设备在网络上的地址B.计算机设备在网络上的物理地址C.其它答案都不对D.计算机设备在网络上的共享地址5.涉密信息系统工程监理工作应由0的单位或组织自身力量承担。

A.保密行政管理部门B.涉密信息系统工程建设不需要监理C.具有涉密工程监理资质的单位D.具有信息系统工程监理资质的单位6.不属于被动攻击的是。

A.欺骗攻击B.截获并修改正在传输的数据信息C.窃听攻击D.拒绝服务攻击7. WCDMA意思是（）。

A.全球移动通信系统B.时分多址C.宽频码分多址D.码分多址8.目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是（A.木马病毒B.蠕虫病毒C.系统漏洞D.僵尸网络9.以下哪个不是风险分析的主要内容？）A.根据威胁的属性判断安全事件发生的可能性。

B.对信息资产进行识别并对资产的价值进行赋值。

C.根据安全事件发生的可能性以及安全事件的损计算安全事件一旦发生对组织的影嘀即风险值。

D.对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。

10.广义的电子商务是指。

A.通过互联网在全球范围内进行的商务贸易活动B.通过电子手段进行的支付活动C.通过电子手段进行的商业事务活动D.通过互联网进行的商品订购活动11.以下关于无线网络相对于有线网络的优势不正确的是）。

（A.维护费用低 B,可扩展性好 C.灵活度高 D.安全性更高12.以下关于智能建筑的描述，错误的是）。

1、虚拟机技术是检测病毒的基本方法之一,虚拟机技术的产生是为了检测下列哪种病毒 A ;A、蠕虫B、多态性病毒C、特洛伊木马D、宏病毒2、下列病毒种类中,不是按感染系统进行分类的是 B ;A、DOS病毒B、宏病毒C、Windows病毒D、引导型病毒3、能够真正实现内外网隔离的技术手段是 B ;A、防火墙B、物理隔离C、安全网关D、安全路由器4、各国电信主管部门之间协调电信事物的国际组织是 B ;A、国际电子技术协议IECB、国际电信联盟ITUC、电子工业协会EIAD、通信工业协会TIA5、用于解决IP地址短缺问题的技术是B ;A、VPN技术B、状态检测技术C、NA T技术D、包过滤技术6、安全问题的技术根源是BA、黑客的攻击B、软件和系统的漏洞C、安全产品的缺陷D、操作员的失误7、对于同一个事物,不同的观察者所能获得的信息量可能不同,这反映了信息的 B ;A、普遍性B、相对性C、传递性D、变换性8、从应用和企业层角度来解决安全问题,以面向任务的观点,从任务的角度来建立安全模型和实现安全机制的访问控制模型是 D ;A、强制访问控制模型B、基于角色的访问控制模型C、基于对象的访问控制模型D、基于任务的访问控制模型9、攻击者发送大量声称来自银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的攻击手段是 B ;A、社会工程学B、网络钓鱼C、旁路攻击D、授权侵犯1、信息系统的安全是三分靠技术、七分靠管理;2、入侵检测系统的两种基本检测方法是异常检测和误用检测;3、访问控制技术包括三个要素：主体、客体和控制策略;分析题本大题共15分;下面是一段C语言代码;include<>include<>char name = “abcdefghijklmnopqrstuvwxyz ”；int main{char output8；strcpyoutput, name；forint i=0;i<8;i++printf"\\0x%x",outputi；return 0；}1、上面这段代码隐含了一种程序漏洞,该漏洞可导致攻击;2、指出该程序漏洞是由哪段代码或哪个函数引起的3、简述该攻击的原理;1该漏洞会导致缓冲区溢出攻击2该程序漏洞是由strcpyoutput, name；这段代码引起的3strcpy将直接把name中的内容copy到output中,output的容量仅仅为8字节,而name长度为27会造成buffer的溢出,使程序运行出错;缓冲区溢出攻击是通过往程序的写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的,使程序转而执行其它指令,以达到攻击的目的;论述题通用入侵检测框架CIDF模型的基本组件及各组件的作用;事件产生器Event generators：从入侵检测系统外的整个计算环境中获得事件,并以CIDF gidos格式向系统的其他部分提供此事件;事件产生器是所有IDS所需要的,同时也是可以重用的;事件分析器Event analyzers：从其他组件接收gidos,分析得到的数据,并产生新的gidos;如分析器可以是一个轮廓特征引擎;响应单元Response units ：是对分析结果作出作出反应的功能单元,它可以终止进程、重置连接、改变文件属性等,也可以只是简单的报警;事件数据库Event databases：是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件;。

XXX《信息安全概论》20春期末考试答案安全策略加密技术注：本试题为期末考试复资料，请认真复并完成课程考试。

本题参考答案：BXXX《信息安全概论》20春期末考试请认真核对以下题目，确定是您需要的科目在下载。

一、单选题(共20道试题,共40分)1.信息安全CIA三元组中的A指的是：A。

机密性B。

完整性C。

可用性D。

可控性参考答案：C2.在Windows安全子系统中，保存用户账号和口令等数据，为本地安全机构提供数据查询服务的是什么部件？A。

GINAB。

SRMC。

SAMD。

Winlogon参考答案：C3.以下哪种分组密码的工作模式可以并行实现？A。

ECBB。

CBCC。

CFBD。

OFB参考答案：A4.Bot病毒又称为什么？A。

木马病毒B。

僵尸病毒C。

网络欺骗D。

拒绝服务参考答案：B5.XXX是指分组密码的哪种工作模式？A。

电子编码本模式B。

密码分组模式C。

密码反馈模式D。

输出反馈模式参考答案：B6.攻击者通过伪造以假乱真的网站和发送诱惑受害者按攻击者意图执行某些操作的电子邮件等方法，使得受害者“自愿”交出重要信息(例如银行账户和密码)的手段称为什么？A。

僵尸网络B。

缓冲区溢出C。

网络钓鱼D。

DNS欺骗参考答案：C7.在使用公钥密码算法的加密通信中，发信人使用什么来加密明文？A。

发信人的公钥B。

收信人的公钥C。

发信人的私钥D。

收信人的私钥参考答案：B8.Bell-LaPaDula访问控制模型的读写原则是哪项？A。

向下读，向上写B。

向上读，向上写C。

向下读，向下写D。

向上读，向下写参考答案：A9.在CC标准中，要求在设计阶段实施积极的安全工程思想，提供中级的独立安全保证的安全可信度级别为：A。

EAL1B。

EAL3C。

EAL5D。

EAL7参考答案：B10.Windows系统安全架构的核心是什么？A。

用户认证B。

访问控制C。

安全策略D。

加密技术参考答案：B11.以下哪种技术可用于内容监管中数据获取过程?A.网络爬虫B.信息加密C.数字签名D.身份论证答案：A12.IPS的含义是什么?A.入侵检测系统B.入侵防御系统C.入侵容忍系统D.入侵诈骗系统答案：B13.在CA中，证书库的构造一般采用什么协议来搭建分布式目录系统?A.LDAPB.FTPC.XXXD.HTTP答案：A14.以下哪种技术可以用于交换网络下的网络嗅探?A.缓冲区溢出B.拒绝服务攻击C.ARP欺骗D.电子邮件炸弹答案：C15.在面向空域的数字水印算法中，LSB算法是一种A.离散傅里叶变换算法B.离散余弦变换算法C.离散小波变换算法D.最低有效位变换算法答案：D。

信息安全概论考试试题（十）一、选择题(每小题2分，共30分)1．要安全浏览网页，不应该（）。

A. 定期清理浏览器缓存和上网历史记录B. 定期清理浏览器CookiesC. 在他人计算机上使用“自动登录”和“记住密码”功能D. 禁止使用ActiveX控件和Java 脚本2. 信息隐藏是（）。

A. 加密存储B. 把秘密信息隐藏在大量信息中不让对手发觉的一种技术C. 其它答案都不对D. 对信息加密3. 政府系统信息安全检查由（）牵头组织对政府信息系统开展的联合检查。

A. 公安部门B. 安全部门C. 保密部门D. 信息化主管部门4. IP地址是（）。

A. 计算机设备在网络上的地址B. 计算机设备在网络上的物理地址C. 其它答案都不对D. 计算机设备在网络上的共享地址5. 涉密信息系统工程监理工作应由（）的单位或组织自身力量承担。

A. 保密行政管理部门B. 涉密信息系统工程建设不需要监理C. 具有涉密工程监理资质的单位D. 具有信息系统工程监理资质的单位6. 不属于被动攻击的是（）。

A. 欺骗攻击B. 截获并修改正在传输的数据信息C. 窃听攻击D. 拒绝服务攻击7. WCDMA意思是（）。

A. 全球移动通信系统B. 时分多址C. 宽频码分多址D. 码分多址8. 目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是（）。

A. 木马病毒B. 蠕虫病毒C. 系统漏洞D. 僵尸网络9. 以下哪个不是风险分析的主要内容？（）A. 根据威胁的属性判断安全事件发生的可能性。

B. 对信息资产进行识别并对资产的价值进行赋值。

C. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

D. 对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。

10. 广义的电子商务是指（）。

A. 通过互联网在全球范围内进行的商务贸易活动B. 通过电子手段进行的支付活动C. 通过电子手段进行的商业事务活动D. 通过互联网进行的商品订购活动11. 以下关于无线网络相对于有线网络的优势不正确的是（）。

信息安全概述试题及答案一、选择题（每题4分，共20分）1. 以下哪项不是信息安全的核心要素？a. 机密性b. 完整性c. 可用性d. 可追溯性答案：d. 可追溯性2. 以下哪项不是信息安全威胁的类型？a. 病毒攻击b. 数据泄露c. 网络延迟d. 拒绝服务攻击答案：c. 网络延迟3. 以下哪项不属于常见的密码算法？a. DESb. RSAc. MD5d. HTTP答案：d. HTTP4. 下列哪项不是网站安全建设中的重点内容？a. 防火墙配置b. 安全审计c. 数据备份d. 营销策略答案：d. 营销策略5. 以下哪项措施不是防范社交工程攻击的重要手段？a. 加密通信b. 持续的安全培训c. 设立适当的访问控制d. 保持警惕，勿轻易相信陌生人答案：a. 加密通信二、填空题（每空4分，共20分）1. 信息安全中常用的三个字母缩写是___。

答案：CIA2. ___是保证信息安全的基础，用于确定信息不受未经授权的访问和使用。

答案：身份验证3. 信息安全三要素中，___表示确保信息在传输或存储过程中不被恶意篡改。

答案：完整性4. ___是指通过恶意代码传播，在系统中复制和传播自身，并对系统造成破坏的一种攻击手段。

答案：病毒5. 信息安全中常用的加密算法有___、___等。

答案：DES，RSA三、简答题（每题20分，共40分）1. 简述信息安全的三大要素及其作用。

答案：信息安全的三大要素是机密性、完整性和可用性。

机密性指的是保护信息不被未经授权的个体获取或披露，确保信息的保密性。

完整性表示在信息的传输和存储过程中，确保信息不被篡改或损坏，保持信息的完整性。

可用性指的是信息能够在需要的时候被授权的用户或系统正常地使用，保证信息的可用性。

这三个要素共同构成了信息安全的基础，通过综合应用各种技术和策略，保障信息的安全性。

2. 列举两种常见的网络攻击，并简要描述其特点。

答案：两种常见的网络攻击是拒绝服务攻击（DDoS）和钓鱼攻击。