信息安全认证习题答案1-推荐下载

信息安全技术教程习题及答案第一章概述一、判断题1。

信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2. 计算机场地可以选择在公共区域人流量比较大的地方。

×3。

计算机场地可以选择在化工厂生产车间附近。

×4. 计算机场地在正常情况下温度保持在18~28 摄氏度。

√5. 机房供电线路和动力、照明用电可以用同一线路。

×6。

只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7。

备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8。

屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9。

屏蔽室的拼接、焊接工艺对电磁防护没有影响。

×10. 由于传输的内容不同，电力线可以与网络线同槽铺设。

×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12。

新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。

√13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的.√14。

机房内的环境对粉尘含量没有要求.×15. 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。

√16. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√17. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1。

以下不符合防静电要求的是A。

穿合适的防静电衣服和防静电鞋B. 在机房内直接更衣梳理C。

用表面光滑平整的办公家具D。

经常用湿拖布拖地2。

布置电子信息系统信号线缆的路由走向时，以下做法错误的是A。

1、可用性、机密性、完整性、非否认性、真实性和可控性。

这6个属性是信息安全的基本属性，其具体含义如下（1）可用性（Availability）。

即使在突发事件下，依然能够保障数据和服务的正常使用，如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。

（2）机密性（Confidentiality）。

能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

（3）完整性（Integrity）。

能够保障被传输、接收或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

（4）非否认性（non-repudiation）。

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

（5）真实性（Authenticity）。

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。

（6）可控性（Controllability）。

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、信息安全是一个古老而又年轻的科学技术领域。

纵观它的发展，可以划分为以下四个阶段：（1）通信安全发展时期：从古代至20世纪60年代中期，人们更关心信息在传输中的机密性。

（2）计算机安全发展时期：计算机安全发展时期跨越20世纪60年代中期至80年代中期。

（3）信息安全发展时期：随着信息技术应用越来越广泛和网络的普及，20世纪80年代中期至90年代中期，学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视，人们所关注的问题扩大到前面提到的信息安全的6个基本属性。

在这一时期，密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展，尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用，因此，这个时期也可以称为网络安全发展时期。

信息安全试题及答案解析1. 选择题(1) 密码学是信息安全的重要基础，以下哪个不属于密码学的基本概念？A. 对称加密算法B. 公钥加密算法C. 单向散列函数D. 常用密码破解技术答案：D解析：密码学主要包括对称加密算法、公钥加密算法和单向散列函数等基本概念，常用密码破解技术并非密码学的基本概念。

(2) 在网络安全中，以下哪项不是常见的安全攻击类型？A. 木马病毒B. 拒绝服务攻击C. SQL注入攻击D. 安全审核答案：D解析：木马病毒、拒绝服务攻击和SQL注入攻击都是常见的安全攻击类型，而安全审核并非安全攻击类型。

2. 填空题(1) 计算机病毒是一种______程序，可通过______感染其他计算机。

答案：恶意；复制解析：计算机病毒是一种恶意程序，可通过复制感染其他计算机。

(2) 密码强度的评估通常包括以下几个方面：密码长度、密码复杂度、______。

答案：密码字符的选择范围解析：密码强度的评估通常包括密码长度、密码复杂度和密码字符的选择范围等因素。

3. 简答题(1) 请简要解释以下术语：防火墙、反病毒软件、入侵检测系统。

答案：防火墙是一种网络安全设备，用于监控和控制网络流量，保护受保护网络免受未经授权的访问和恶意攻击。

反病毒软件是一种用于检测、阻止和清除计算机病毒的软件。

入侵检测系统是一种用于检测和防止网络入侵和攻击的系统，通过监测和分析网络流量以及识别异常行为来提高网络安全性。

(2) 请列举三种常见的身份认证方式。

答案：常见的身份认证方式包括密码认证、指纹识别和智能卡认证等。

4. 论述题信息安全在现代社会中起着至关重要的作用。

为了保护个人隐私和企业机密，我们需要采取一系列有效的措施来确保信息安全。

首先，建立完善的防火墙和入侵检测系统是非常重要的，这可以保护网络免受未经授权的访问和恶意攻击。

其次，正确使用和更新反病毒软件可以及时发现并清除计算机病毒。

此外，加强员工的信息安全意识教育也是非常必要的，通过培训和宣传，提高员工对信息安全的重视程度，减少内部操作失误带来的安全隐患。

1-1 计算机网络是地理上分散的多台（c）遵循约定的通信协议，通过软硬件互联的系统。

A. 计算机B. 主从计算机C. 自主计算机D. 数字设备1-2 网络安全是在分布网络环境中对（d）提供安全保护。

A. 信息载体B. 信息的处理、传输C. 信息的存储、访问D. 上面3项都是1-3 网络安全的基本属性是（d）。

A. 机密性B. 可用性C. 完整性D. 上面3项都是1-4 密码学的目的是（c）。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全1-5 假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f, b加密成g。

这种算法的密钥就是5，那么它属于（a）。

A. 对称密码技术B. 分组密码技术C. 公钥密码技术D. 单向函数密码技术1-6 访问控制是指确定（a）以及实施访问权限的过程。

A. 用户权限B. 可给予那些主体访问权利C. 可被用户访问的资源D. 系统是否遭受入侵1-7 一般而言，Internet防火墙建立在一个网络的（c）。

A. 内部子网之间传送信息的中枢B. 每个子网的内部C. 内部网络与外部网络的交叉点D. 部分内部网络与外部网络的接合处1-8 可信计算机系统评估准则（Trusted Computer System Evaluation Criteria, TCSEC）共分为（a）大类（）级。

A. 4 7B. 3 7C. 4 5D. 4 61-9 桔皮书定义了4个安全层次，从D层（最低保护层）到A层（验证性保护层），其中D 级的安全保护是最低的，属于D级的系统是不安全的，以下操作系统中属于D级安全的是（a）。

A. 运行非UNIX的Macintosh机B. 运行Linux的PC机C. UNIX系统D. XENIX1-10 计算机病毒是计算机系统中一类隐藏在（c）上蓄意破坏的捣乱程序。

A. 内存B. 软盘C. 存储介质D. 网络二：2-1 对攻击可能性的分析在很大程度上带有（b）。

信息安全基础(习题卷1)第1部分：单项选择题，共61题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]IP地址欺骗通常是( )A)黑客的攻击手段B)防火墙的专门技术C)IP通讯的一种模式答案:A解析:2.[单选题]管理信息系统核心设备的供电必须由在线式UPS 提供，UPS 的容量不得小于机房设备实际有功负荷的（）倍。

A)1B)2C)3D)4答案:B解析:3.[单选题]在合作协议中要求外委服务商采取关键岗位的外协驻场人员备用机制，明确需要后备人员的关键岗位并要求提供（）外协驻场人员名单，保证服务连续性。

A)一名或以上B)两名或以上C)三名或以上D)四名或以上答案:B解析:4.[单选题]下列哪一些不属于系统数据备份包括的对象（ ）。

A)配置文件B)日志文件C)用户文档D)系统设备文件答案:C解析:5.[单选题]提高数据完整性的办法是 ( ) 。

A)备份B)镜像技术C)分级存储管理D)采用预防性技术和采取有效的恢复手段答案:D解析:C)cat -100 logD)tail -100 log答案:D解析:7.[单选题]在OSI参考模型中，同一结点内相邻层之间通过( )来进行通信。

A)接口B)进程C)协议D)应用程序答案:A解析:8.[单选题]哪个不是webshel|查杀工具？A)D盾B)WebShell DetectorC)AWVSD)河马答案:C解析:9.[单选题]下列哪些操作可以延缓攻击者的攻击速度( )。

[]*A)逻辑篡改B)代码混淆C)应用签名D)路径穿越答案:B解析:10.[单选题]漏洞形成的原因是( )。

A)因为程序的逻辑设计不合理或者错误而造成B)程序员在编写程序时由于技术上的疏忽而造成C)TCP/IP的最初设计者在设计通信协议时只考虑到了协议的实用性，而没有考虑到协议的安全性D)以上都是答案:D解析:11.[单选题]以下哪个是信息安全管理标准?( )A)ISO15408B)ISO14000C)ISO9000D)ISO27001答案:D解析:12.[单选题]客户端A和服务器B之间建立TCP连接，A和B发送报文的序列号分别为a,b，则它们回应的报文序号应该是下列哪项？A)a+1：a答案:D解析:13.[单选题]业务系统上线前，应在（ ）的测试机构进行安全测试，并取得检测合格报告。

信息安全考试题库(附答案)要素。

身份信息认证系统主要由以下要素构成：身份识别、身份验证、身份授权和身份管理。

身份识别是指确定用户的身份信息，如用户名、密码等；身份验证是指通过验证用户提供的身份信息来确认用户身份的真实性；身份授权是指授予用户访问特定资源的权限；身份管理是指管理用户的身份信息和权限，包括添加、修改和删除用户信息等操作。

这些要素共同构成了一个完整的身份信息认证系统。

Q7:密钥类型有哪些？密钥可以分为数据加密密钥和密钥加密密钥。

而密钥加密密钥则分为主密钥、初级密钥和二级密钥。

Q8:密钥保护的基本原则是什么？密钥保护的基本原则有两个。

首先，密钥永远不可以以明文的形式出现在密码装置之外。

其次，密码装置是一种保密工具，可以是硬件或软件。

Q9:什么是访问控制？它包括哪几个要素？访问控制是指基于身份认证，根据身份对资源访问请求进行控制的一种防御措施。

它可以限制对关键资源的访问，防止非法用户或合法用户的不慎操作所造成的破坏。

访问控制包括三个要素：主体、客体和访问策略。

Q10:自主访问控制和强制访问控制有什么区别？自主访问控制是基于用户身份和授权进行访问控制的一种方式。

每个用户对资源的访问请求都要经过授权检验，只有授权允许用户以这种方式访问资源，访问才会被允许。

而强制访问控制则是通过敏感标签来确定用户对特定信息的访问权限。

用户的敏感标签指定了该用户的敏感等级或信任等级，而文件的敏感标签则说明了访问该文件的用户必须具备的信任等级。

自主访问控制较为灵活，但存在安全隐患，而强制访问控制则提高了安全性但牺牲了灵活性。

其他知识点：1、信息的定义信息是指认识主体所感受的或所表达的事物的运动状态和变化方式。

信息是普遍存在的，与物质和能量有关，人类认识事物、改变事物必须依赖于信息。

2、信息的性质信息具有普遍性、无限性、相对性、转换性、变换性、有序性、动态性、转化性、共享性和可量度性等性质。

3、信息技术信息技术的产生源于人们对世界认识和改造的需要。

综合习题一、选择题1. 计算机网络是地理上分散的多台（C ）遵循约定的通信协议，通过软硬件互联的系统。

A. 计算机B. 主从计算机C. 自主计算机D. 数字设备2. 密码学的目的是（C ）。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全3. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a 加密成f 。

这种算法的密钥就是5，那么它属于（A ）。

A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术4. 网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增加安全设施投资外，还应考虑（D ）。

A. 用户的方便性B. 管理的复杂性C. 对现有系统的影响及对不同平台的支持D. 上面3项都是5．A 方有一对密钥（K A 公开，K A 秘密），B 方有一对密钥（K B 公开，K B 秘密），A 方向B 方发送 数字签名M ，对信息M 加密为：M’= K B 公开（K A 秘密（M ））。

B 方收到密文的解密方案是（C ）。

A. K B 公开（K A 秘密（M’））B. K A 公开（K A 公开（M’））C. K A 公开（K B 秘密（M’））D. K B 秘密（K A 秘密（M’））6. “公开密钥密码体制”的含义是（C ）。

A. 将所有密钥公开B. 将私有密钥公开，公开密钥保密C. 将公开密钥公开，私有密钥保密D. 两个密钥相同二、填空题1． 密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。

2． 解密算法D 是加密算法E 的 逆运算 。

3． 常规密钥密码体制又称为 对称密钥密码体制 ，是在公开密钥密码体制以前使用的密码体制。

4． 如果加密密钥和解密密钥 相同 ，这种密码体制称为对称密码体制。

5． DES 算法密钥是 64 位，其中密钥有效位是 56 位。

6． RSA 算法的安全是基于 分解两个大素数的积 的困难。

《信息安全原理与技术》（第3版）习题答案（可编辑修改word版）《信息安全》习题参考答案第1 章1.1主动攻击和被动攻击是区别是什么？答：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可⽤性和真实性。

1.2列出⼀些主动攻击和被动攻击的例⼦。

答：常见的主动攻击：重放、拒绝服务、篡改、伪装等等。

常见的被动攻击：消息内容的泄漏、流量分析等等。

1.3列出并简单定义安全机制的种类。

答：安全机制是阻⽌安全攻击及恢复系统的机制，常见的安全机制包括：加密机制：加密是提供数据保护最常⽤的⽅法，加密能够提供数据的保密性，并能对其他安全机制起作⽤或对它们进⾏补充。

数字签名机制：数字签名主要⽤来解决通信双⽅发⽣否认、伪造、篡改和冒充等问题。

访问控制机制：访问控制机制是按照事先制定的规则确定主体对客体的访问是否合法，防⽌未经授权的⽤户⾮法访问系统资源。

数据完整性机制：⽤于保证数据单元完整性的各种机制。

认证交换机制：以交换信息的⽅式来确认对⽅⾝份的机制。

流量填充机制：指在数据流中填充⼀些额外数据，⽤于防⽌流量分析的机制。

路由控制机制：发送信息者可以选择特殊安全的线路发送信息。

公证机制：在两个或多个实体间进⾏通信时，数据的完整性、来源、时间和⽬的地等内容都由公证机制来保证。

1.4安全服务模型主要由⼏个部分组成，它们之间存在什么关系。

答：安全服务是加强数据处理系统和信息传输的安全性的⼀种服务，是指信息系统为其应⽤提供的某些功能或者辅助业务。

安全服务模型主要由三个部分组成：⽀撑服务，预防服务和恢复相关的服务。

⽀撑服务是其他服务的基础，预防服务能够阻⽌安全漏洞的发⽣，检测与恢复服务主要是关于安全漏洞的检测，以及采取⾏动恢复或者降低这些安全漏洞产⽣的影响。

1.5说明安全⽬标、安全要求、安全服务以及安全机制之间的关系。