第一章
1.信息安全研究的主要内容有( 信息安全基础理论研究,信息安全应用技术研究,信息安全管理研究 )。
2.信息安全最基本的3个属性是( 机密性,完整性,可用性)。
3.信息安全的威胁有哪些?( 信息泄露,破坏信息的完整性,假冒,拒绝服务,非授权访问)。
4.我国颁布实施的有关信息安全的法律法规有哪些?( 《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》 )。
5.网络威胁发展的特点趋势( 趋利性,隐蔽性,受害对象重心由原来的服务器转向个人电脑,网络犯罪与传统犯罪相结合,由单兵作战转向合作式带有“商业”性质的“产业链”模式网络犯罪)。
第二章
1.关于双钥密码体制的正确描述是( 双钥密码体制中加解密密钥不相同,从一个很难计算出另一个)。
2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(对称加密技术)。
3.根据科克霍夫(Kerchoffs)假设,密码体制的安全性仅依赖于对(密钥 )的保密,而不应依赖于对密码算法的保密。
4.使用有效资源对一个密码系统进行分析而未能破译 ,则该密码是( 计算上安全)的。
5.密码学的两个分支是( 密码编码学)和密码分析学。其中前者是对信息进行编码以保护信息的一门学问,后者是研究分析破译密码的学问。
6.1976年,Diffie和Hellman在论文“密码学新方向(New Direction in Cryptography)”中首次提出了公开密钥密码体制的思想;“公开密钥密码体制”的意思是(将公钥公开,将私钥保密 )。
7.下列关于RSA加密算法正确的说法是( RSA是非对称加密算法 )
8.在RSA算法中,Alice选择了素数p=11,q=13,公钥e=7,则Alice的私钥是( 103 )
9.如果A要和B进行安全通信,则B不需要知道(A的私钥 )
10.( DH )算法只能用于实现密钥交换,算法的安全性依赖于有限域上的离散对数问题。
11.以下关于公钥密码体制说法不正确的是(公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的,公钥密码体制中的私钥不可以用来进行数字签名)。
12.《保密系统的通信理论》作者香农 15.公钥加密算法也称非对称加密算法
13.维吉尼亚密码属于多表代换密码 17.把明文中的字母重新排列。。代换密码√
14.一个密码体制应该至少包含明文、密文、加密和解密算法、密钥
16.一个加密体制有以下五个要素组成《M、C、K、E、D》C明文空间×
18.现代密码体制设计的两个概念指导是混淆、扩散
19.根据加密使用的密钥是否相同,可以将密码体制分为对称密码体制、公钥密码体制
20凯撒密码明文zhongguo密钥3,ckrqjjxr. 21.香浓提出扩散混淆√
21.DES分组长度64比特有效密钥长度56比特加密轮数16
22.DES第1个S盒S(101001)=0100(2进制)
第三章
消息认证的主要目的是(消息内容是否曾受到偶然或有意的篡改以及消息的序号和时间) 。
消息认证的内容不包括(消息语义的正确性)。
消息认证技术不包括验证(消息传送中是否被窃听)。
单向散列函数的单向性是指已知x时,要想从x=h(M)中计算出M是很困难的。
两个不同的消息摘要具有相同的值时,称为(碰撞)
要找到两个不同的报文x,y,使H(y)=H(x),在计算上是不可行的。则哈希函数H具有(抗强碰撞性)。
不属于哈希函数的特性(可逆性)。
第四章
1.数字签名要预先使用单向Hash函数进行处理的原因是(缩小签名密文的长度,加快数字签名和验证签名的运算速度)。
2.数字签名是为了应对网络通信中的哪些问题而提出的?(伪造,冒充,篡改,否认)
3.数字签名应该具有的特性包括(不可篡改,不可抵赖,不可伪造)。
4.在进行验证签名时涉及的运算包括?(比较,Hash,解密)
5.在数字签名阶段(未进行验证签名)涉及的运算包括? (加密,Hash)。
6.关于签名密钥对和加密密钥对说法正确的是?(加密密钥对应该备份,PKI要求签名密钥和加密密钥必须分开使用,签名密钥对由签名私人密钥和验证签名公开密钥组成)。
第五章 身份认证
1.信息系统的安全风险常常用身份认证的方法进行防范,以下不属于身份认证防范手段的是(启动防火墙 )。
2.实现身份认证的技术手段有许多种,下面属于USB Key认证技术的是(网上银行“U盾”)
3.口令撒盐机制从根本上解决了口令猜测攻击。(错误)
4.以下说法不正确的是(动态口令可以完全避免重放攻击 )
5.( 质询/应答 )是构造更复杂的交互式认证协议的基本组件。
6.(TGS)解决了Kerberos协议中的授权问题。
7.( 密钥分发和认证)是由Needham-Schroeder协议解决的最主要问题?
8.身份认证协议最大的威胁是(重放攻击)。
9.身份认证系统中常用的验证码主要有图片验证码。。。√
随堂测试——访问控制
1.在GB/T9387.2中定义了两种安全策略:基于身份的安全策略、基于规则的安全策略,这两种策略分别对应于_DAC__和_MAC__。
2.BLP模型的策略可以总结为_下__读_上__写,主要保护系统的__保密___性。
3.将访问控制矩阵按主体排序,可得到___访问控制能力表___,按客体排序,可得到_访问控制表_____。
4.Biba模型的策略可以总结为__上_读_下__写,主要保护系统的__完整___性。
5.访问控制基本功能组件有(主体,客体,访问控制执行功能AEF,访问控制决策功能ADF)。
随堂练习-恶意程序
1.下面对病毒描述正确的是 (病毒是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序和指令的集合)。
2.防病毒软件(是有时间性的,不能消除)所有病毒。
3.下面关于计算机病毒描述正确的有(软磁盘写保护后,使用时一.般不会被感染上病毒)。
4.宏病毒是随着Office 软件的广泛使用,有人利用宏语言编制的一种寄生于(文档或模板)的宏中的计算机病毒。
5.以下关于计算机病毒的表达中,正确的选项是(反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能)。
6.计算机每次启动时被运行的计算机病毒称为(引导型)病毒
7.以下属于计算机感染病毒迹象的是(设备有异常现象,如显示怪字符,磁盘读不出,在没有操作的情况下,磁盘自动读写,装入程序的时间比平时长,运行异常 )。
8.以下表达中,正确的选项是( 计算机病毒具有自我复制的能力,能迅速扩散到其他程序上)。
9.(断绝一切与外界交换信息渠道)不是预防计算机病毒的可行方法。
10.计算机病毒除通过读写或复制移动存储器上带病毒的文件传染外,另一条主要传染途径为(网络)。
随堂测试——网络安全
1.防止他人对传输的文件进行破坏需要(数字签名及验证 )
2.网络安全是在分布网络环境中对(信息载体提供安全保护,信息的处理、传输提供安全保护,信息的存储、访问提供安全保护)
3.对攻击可能性的分析在很大程度上带有(主观性 )
4.可以被数据完整性机制防止的攻击方式是(数据在途中被攻击者篡改或破坏)
5.网络安全的基础属性是( 机密性,可用性,完整性)
6.包过滤防火墙的局限性不包括( 对用户透明)
7.一般而言,Intermet防火墙建立在一个网络在(内部网络与外部网络的交叉点 )
8.从安全属性对各种网络攻击进行分类,截获攻击是针对(机密性的攻击 )
9.不属于服务器的安全措施的是(所有用户使用一次性密码)
信息安全概论随堂测试
选择题
软件安全管理中的授权和认证是指( 验证用户身份和授权用户对软件的访问权限 )
( APT )是利用先进攻击手段,对特定目标进行长期持续性网络攻击\n在信息系统中,(访问控制)是在为系统资源提供最大限度共享的基础上对用户的访问权进行管理和限制
防止网络钓鱼攻击的最佳方法是(培训用户如何识别和避免网络钓鱼行为)
XSS攻击通常指的是通过利用网页开发时留下的(漏洞),通过巧妙的方法注入恶意代码到网页,使用户加载并执行攻击者恶意制造的网页程序
软件安全测试的主要目的是(发现软件漏洞)
《信息系统安全等级保护基本要求》(简称等保2.0)中对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为(5)级
感觉到系统运行速度明显减慢,打开任务管理器后发现CPU使用率达到了100%,可能受到了(DDos)攻击
(清理磁盘碎片)不是计算机病毒预防的方法
采用( C/C++)语言编写的代码最容易发生缓冲区溢出漏洞\n\n(安全测试)类型的软件测试可以帮助发现软件漏洞
软件系统设置为在几次无效登录后锁定帐号的方法是预防(暴力破解)
强口令和弱口令是指密码的(复杂度和安全性)等级的不同
( 实施强密码策略)是最有效的软件安全保护措施
“红客”是一类擅长程序设计和网络技术水平高超的电脑人才,他们积极维护国家利益,热爱自己的祖国、民族,积极维护(国家安全)与尊严
风险管理包括为风险识别、(风险分析)、风险评价、风险处置
在Windows系统中,具有完全访问控制权限的用户属于(Administrators)用户组\n\n向一台远程主机发送特定的数据包,却不想远程主机响应发来的数据包。最适当的进攻手段应采用(地址欺骗)
错误的软件安全防护措施是(使用弱密码)
OS命令注入攻击时,主要针对(操作系统)
未经审批向境外提供组织数据的,由有关主管部门给予警告,可以并处罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对(负责人)给予5500万元罚款
网络数据是指通过网络(收集)、存储、传输、处理和产生的各种电子数据
在TCP中,连接的建立采用(3)次握手的方法
对攻击可能性的分析在很大程度上带有(主观性)
可以使Web服务器崩溃的攻击类型是(验证绕过攻击)
(哈希函数)技术常用于数字签名
网络攻击常用的方法包括中断、截获、修改和(伪造)
HTTPS采用的加密技术为(SSL)。
国家数据安全法要求,必须建立健全(全流程数据安全)管理制度,落实数据安全保护责任
HTTPS和HTTP相比,增加的最主要的功能是(信息加密)
在计算机安全领域中,(XSS)攻击方式被称为“跨站脚本攻击”
ping localhost 和ping(127.0.0.1)是等价的,localhost是系统的网络保留名
软件安全管理中的应急响应是指( 对软件发生的安全事件进行紧急处理)
软件的安全性不应该依赖于设计的保密,这是符合(最少共用机制) 原则
在软件开发中,(代码审查、测试和修复)步骤可以帮助减少漏洞的产生
为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,(关闭)电子邮件服务器匿名转发功能
在软件安全管理中,最常见的用户身份认证的方法是(用户名和密码)
为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是(数字签名)
(访问控制列表)技术常用于保护计算机系统的访问权限
恶意代码分析可以协助(分析攻击方法)工作
根据《网络安全法》的规定,(网络运营者)应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助
(对于输入数据进行过滤和验证)措施可以有效防止XSS攻击
摆渡攻击通常利用( 移动载体作为渡船)来窃取资料.
我国网络安全法的宗旨是( 维护网络安全和秩序,保障国家安全和人民利益 )
《中华人民共和国网络安全法》中规定:任何个人和组织不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的(程序和工具 );明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助
The Cybersecurity Law of the People's Republic of China对应的中文名称是(中华人民共和国网络安全法 )
国家数据安全法规定,国家必须建立数据( 分类分级)制度,对数据实行保护,并确定重要数据目录,加强对重要数据的保护
黑客攻击包括网络监听、拒绝服务攻击、欺骗攻击、(缓冲区溢出)、病毒攻击和应用层攻击等
网络钓鱼是黑客使用(虚假网站)来诱骗浏览者提供信用卡账号、用户名、密码、详细的个人信息等
VPN采用的(隧道技术)是通过对数据进行封装,在公共网络上建立一条数据通道,让数据包通过这条隧道传输
访问控制是指确定(用户权限)以及实施访问权限的过程
DDoS攻击破坏了服务器的(可用性)
个人信息保护可以通过数据库安全的技术手段实现,核心数据加密存储,通过(数据脱敏)实现批量个人数据的匿名化
(DNS)解析的过程就是寻找网址对应的IP地址的过程
软件漏洞主要由(编码错误和设计缺陷)因素引起
安全责任分配的基本原则是(谁主管,谁负责)
(输入验证)安全措施可以有效地防止SQL注入攻击
通过(服务器端限制文件扩展名)手段能够有效防御文件上传漏洞
开放式Web应用程序安全项目简称(OWASP),是一个致力于 Web 应用程序安全的国际非营利组织
计算机端口号的范围是( 0~65535 )
判断题(只对错误的进行标记)
公钥密码体制有两种基本的模型,一种是加密模型另一种是解密模型(错误)
在安全事件响应过程中,追踪攻击者的身份是最重要的(错)
代码审计是一种主动式安全检测方法,可以找到程序中的安全漏洞
计算机病毒只会破坏计算机的操作系统,而对其他网络设备不起作用(错误)
IP欺骗的动机是隐藏自己的IP地址,防止被跟踪,以IP地址作为授权依据,穿越防火墙
从理论上说,几乎没有破解不了的软件
针对DoS攻击,主要可以采取过滤以及添加更多系统资源等措施来进行应对
VPN 的主要特点是通过加密使信息能安全的通过 Internet 传递
防火墙不能防止数据驱动式的攻击
涉及国家安全的基础设施数据有时也可以不报备临时转移到国外使用(错误)
为提高软件安全性,软件应采用防御性编程技术,包括输入验证、错误处理、安全存储等
只要截获当前发送的TCP包,就能伪造下一个包的序列号
信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等
如果采用正确的用户名和口令成功登录网站,则证明这个网站不是仿冒的(错误)
网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是一些脚本语言编写的恶意代码,利用浏览器漏洞来实现病毒的植入
信息泄露与篡改包括截获信息、窃听信息、篡改信息和伪造信息
网络安全事件的应急响应分为四个等级,分别是特大、重大、比较大和普通网络安全事件
找出的软件缺陷越多,说明剩下的软件缺陷越少(错误)
电子邮箱攻击方式通常表现为邮件炸弹、邮件欺骗、网络钓鱼
入侵检测的3个基本步骤包括信息收集、数据分析和响应
多选题
明知他人从事危害网络安全的活动的,不得为其提供(技术支持,广告推广,支付结算 )帮助
一般来说,蜜罐的作用是 (收集数据、获得资源)
密码学分为(密码编码学,密码分析学)
SQL注入防御的方式(清晰的编码规范、限制输入长度、限制数据库权限、对输入进行过滤)
《网络安全法》要求维护网络数据的(完整、可用、保密)属性
网络不安全的内部因素主要有(操作系统漏洞,人为的因素,病毒感染,防火墙缺陷)
Web网站常见受攻击方式(XSS、DDOS、CSRF、XXE)
软件安全管理的目标是(预防和恢复软件威胁、尽量消除软件漏洞、帮助开发人员更好地理解和应对软件安全问题)
《网络安全法》所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行(存储,传输、交换,处理 ,收集)的系统
病毒是一种(人为制造的,能够进行自我复制的,对计算机资源具有破环作用的 )一组程序和指令的集合
负责统筹协调个人信息保护工作和相关监督管理工作。(国家网信部门)
在(我国境内)开展数据处理活动及其平安监管,适用《中华人民共和国数据安全法》。
依据《中华人民共和国数据安全法》的相关规定,开展数据处理活动应当依照法律、法规的规定,建立健全(全流程数据平安)管理制度。
根据《中华人民共和国数据安全法》规定,本法所称数据,是指任何以电子或者其他方式对(信息)的记录。
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送(风险评估报告)
网络运营者应当对其收集的用户信息严格保密,并建立健全(用户信息保护制度)。
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经(本人)同意,不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。
国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、(侵入)、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,(不得危害网络安全),不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统-一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
国家支持研究开发有利于未成年人健康成长的网络产品和(服务),依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
国家坚持网络安全与信息化发展并重遵循(积极利用、科学发展、依法管理、确保安全)的方针,推进网络基础设施建设和互联互通鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的(个人信息、隐私、商业秘密)严格保密,不得泄露、出售或者非法向他人提供。
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险(每年)至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
(网络运营者)应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
《个人信息保护法》立法宗旨是(为了保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用)。
根据《个人信息保护法》的规定,个人信息的处理包括个人信息的收集、(存储、使用、加工、传输)、 提供、公开、删除等。
根据《个人信息保护法》其他有关规定,下列哪些规定情形不需取得个人同意。(为履行法定职责或者法定义务所必需、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需.)
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项(个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序、法律、行政法规规定应当告知的其他事项)
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括(生物识别)、宗教信仰、(特定身份)、 医疗健康、(金融账户) 等信息,以及不满十四周岁未成年人的个人信息。(行踪轨迹)
下列哪些情形发生时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (处理目的已实现、无法实现或者为实现处理目的不再必要;、个人信息处理者停止提供产品或者服务,或者保存期限即将届满;)
根据《个人信息保护法》的规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。√
根据《个人信息保护法》的规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。√
开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。√
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 √
公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,可以没有批准手续,个人仍应当予以配合×
(来源于作业,答案仅供参考)