●《中华人民共和国网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
(1)A.国务院 B.国家网信部门C.省级以上人民政府 D.网络服务提供商
参考答案:A
试题解析:《中华人民共和国网络安全法》第五十八条因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
(2)A,8字节B.16字节C.32字节D.64字节
参考答案:C
试题解析:SM3杂凑算法经过填充和迭代压缩,生成杂凑值,与sha-256安全性相当。杂凑度为256比特,即32字节。
(3)A,强化员工的信息安全意识,规范组织信息安全行为
B.对组织内关键信息资产的安全态势进行动态监测
C,促使管理层坚持贯彻信息安全保障体系
D、通过体系认正就表明体系符合标准,证明组织有能力保障重要信息
参考答案:B
试题解析:如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,能提
织的知名度与信任度。
组织建立、实施与保持信息安全管理体系将会产生如下作用:
1)强化员工的信息安全意识,规范组织信息安全行为
2)对组织的关键信息资产进行全面系统的保护,维持竞争优势。
3)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
4)使组织的生意伙伴和客户对组织充满信心。
5)如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名信任度。
6)促使管理层贯彻信息安全保障体系。
组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息管理体系,并实施与保持该管理体系,形成动态的、系统的、全员参与、制度化的、以预防为主的安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
●为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则,其
中在信息系统中,应该对所有权限进行适当地划分,使每个授权主体只能拥有其中的一部
分权限,使它们之间相互制约、相互监督,共同保证信息系统安全的是・( )。
A.最小化原则B.安全隔离原则C.纵深防御原则D.分权制衡原则
参考答案:D
试题解析:常考的信息安全原则如下:
1)最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主在法律和相关安全策略允许的前提下,为满足工作需要,仅被授予其访问信息的适当权限,称为原则。敏感信息的知情权一定要加以限制,是在“满足工作需要”的前提下的一种限制性开放。最小化原则细分为知所必须和用所必须的原则。
2)分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果一个授权主的权限过大,无人监督和制约,就隐含了“滥用权力”“一言九鼎”的安全隐患。
3)安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实对客体的访问。
●等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是( )。
A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理
这些信息的信息系统分等级实行安全保护
B.对信息系统中使用的信息安全产品实行按等级管理
C.对信息系统中发生的信息安全事件按照等级进行响应和处置
D.对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处
参考答案:D
试题解析:国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护施监督管理。
●研究密码破译的科学称为密码分析学。密码分析学中,根据密码分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于攻击公开密钥密码体制,特别是攻击其数字签名的是( )。
A.仅知密文攻击B.已知明文攻击C.选择密文攻击D.选择明文攻击
参考答案:C
试题解析:所谓选择密文攻击是指密码分析者能够选择密文并获得相应的明文。这也是分析者十分有利的情况。这种攻击主要攻击公开密钥密码体制,特别是攻击数字签名。
●基于MD4 和MD5 设计的S/Key 口令是一种一次性口令生成方案,它可以对访问者
的身份与设备进行综合验证,该方案可以对抗( )。
A.网络钓鱼B.数学分析攻击C.重放攻击D.穷举攻击
参考答案:C
试题解析:一次一密指在流密码当中使用与消息长度等长的随机密钥,密钥本身只使用一次。
重放攻击是指攻击着发送一个口的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,达到欺骗系统的目的。一次一密这样的密们形式可以对抗重放攻击。
●对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是( )。
A.安全检查B.安全教育和安全培训C.安全责任追究D.安全制度约束
参考答案:B
试题解析:对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是安全教育和安全培训。
●访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经
授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括( )。
A.主体B.客体C.授权访问D.身份认证
参考答案:D
试题解析:访问控制涉及三个基本概念,即主体、客体和授权访问。
●下面对国家秘密定级和范围的描述中,不符合《中华人民共和国保守国家秘密法》要求的是( )。
A.对是否属于国家和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定
级,然后报国家保密工作部门备案
B.各级国家机关、单位对所产生的秘密事项,应当按照国家秘密及其密级的具体范围的规
定确定密级,同时确定保密期限和知悉范围
C.国家秘密及其密级的具体范围,由国家行政管理部门分别会同外交、公安、国家安全和
其他中央有关机关规定
D.对是否属于国家和属于何种密级不明确的事项,由国家保密行政管理部门,或省、自治
区、直辖市的保密行政管理部门确定
参考答案:A
试题解析:对是否属于国家秘密和属于何种密级不明确的事项,产生该事项的机关、单位应及时拟定密级和保密期限,并在十日内依照下列规定中请确定:
(一)属于主管业务方面的事项,应报有权确定该事项密级的上级主管业务部门确定。
(二)属于其他方面的事项,经同级政府保密工作部门审核后,拟定为绝密级的,须报国家保密工作部门确定,拟定为机密极的,由省、自治区、直辖市的或者其上级的保密工作部门确定:拟定为秘密级的,由省、自治区政府所在地的市和国务院批准的较大的市或者其上级的保密工作部门确定。
●数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手
书签名功效的信息处理过程。数字签名标准DSS 中使用的签名算法DSA 是基于ElGamal 和Schnorr 两个方案而设计的。当DSA 对消息m 的签名验证结果为True ,也不能说明( )。
A.接收的消息m无伪造B.接收的消息m无篡改C.接收的消息m无错误D.
接收的消息m无泄密
参考答案:C
试题解析:数字签名只能保证消息不被伪造、无篡改、无泄密。但不能保证传输的消息的正确性。
●IP 地址分为全球地址(公有地址)和专用地址(私有地址),在文档RFC1918 中,不属于专用地址的是( )。
A. 10. 0. 0. 0 到10. 255. 255. 255
B. 255. 0. 0. 0 到255. 255. 255. 255
C. 172. 16. 0. 0 到172. 31. 255. 255
D. 192. 168. 0. 0 到192. 168. 255. 255
参考答案:B
试题解析:A、C、D选项中的三个地址范围是RFC1918规定的地址范围。
●人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。被动攻击不会导致系统信息的篡改,系统操作与状态不会改变。以下属于被动攻击的是( )。
A.嗅探B.越权访问C.重放攻击D.伪装
参考答案:D
试题解析:被动攻击只是窥探、窃取、分析重要信息,但不影响网络、服务器的正常工作
●确保信息仅被合法实体访问,而不被泄露给非授权的实体或供其利用的特性是指信息的( )。
A.完整性B.可用性C.保密性D.不可抵赖性
参考答案:C
试题解析:保密性(Confidentiality):信息仅被合法用户访问(浏览、阅读、打印等),不被泄露给非授权的用户、实体或过程。
●安全模型是一种对安全需求与安全策略的抽象概念模型,安全策略模型一般分为自主访问控制模型和强制访问控制模型。以下属于自主访问控制模型的是( )。
A. BLP 模型B.基于角色的存取控制模型C. BN 模型D.访问控制矩阵模型
参考答案:D
试题解析:目前在操作系统中实现的自主访问控制机制是基于矩阵的行或列表达访问控制信息。
1)基于行的自主访问控制机制,在每个主体上都附加一个该主体可访问的客体的明细表。
2)基于列的自主访问控制机制,在每个客体都附加一个可访问它的主体的明细表。
自主访问控制模型的典型代表有HRU模型(Harrison、Ruzzo、Uman访问控制矩阵模型)、Jones取予模型(Takc-Grant模型)、动作一实体模型等。
强制访问控制的典型代表有BLP模型(Bel-La Padula模型)基于角色的存取控制模型、Clark-Wilson模型、BN模型(Brewer Nash Chinese Wall模型)等。在数据库安全领域,还有Wood模型、Smith Winslett模型等。
●认证是证实某事是否名副其实或者是否有效的一个过程。以下关于认证的叙述中,不正确的是( )。
A.认证能够有效阻止主动攻击