全国计算机等级考试三级信息安全技术考试大纲

1.计算机系统安全评估的第一个正式标准是COMPUSECCC:ISO 15408CTCPECTCSECTE将信息系统的信息保障技术层面划分成四个技术框焦点域。

下列选项中，不包含在该四个焦点域中的是本地计算环境支撑性基础设施区域边界技术3.下列关于对称密码的描述中，错误的是数字签名困难密钥管理和分发简单加解密使用的密钥相同加解密处理速度快4.下列关于哈希函数的说法中，正确的是MD5算法首先将任意长度的消息填充为512的倍数，然后进行处理哈希函数将任意长度的输入经过变换后得到相同长度的输出哈希函数式一种双向密码体制SHA算法要比MD5算法更快5.下列攻击中，消息认证不能预防的是发送方否认内容修改伪装计时修改6.下列关于访问控制主体和客观的说法中，错误的是客观是含有被访问信息的被动实体主体是一个主体的实体，它提供对客体中的对象或数据的访问要求主体可以是能够访问信息的用户、程序、进程一个对象或数据如果是主体，则其不可能是客体7.同时具有强制访问控制和自主访问控制属性的模型是BibaRBACChinese WailBLP8.下列关于diameter和RADIUS区别的描述中，错误的是RADIUS固有的客户端/服务端模式限制了它的进一步进展；diameter采用了端到端模式，任何一端都可以发送消息以发起审计等功能或中断连接RADIUS运行在UDP协议上，并且没有定义重传机制；而diameter运行在可靠地传输协议TCP、SCTP 之上RADIUS协议不支持失败恢复；而diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即监测出传输错误RADIUS支持认证和授权分离，重授权可以随时根据需求进行；diameter中认证与授权必须成对出现9.下列关于非集中式访问控制的说法中，错误的是在许多应用中，Kerberos协议需要结合额外的单点登陆技术以减少用户在不同服务端中的认证过程Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即kerberos验证服务端，它通常也称为密钥分发服务器，负责执行用户和服务的安全验证分发式的异构网络环境中，用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos 协议能够有效地简化网络的验证过程Hotmail、yahoo、163等知名网站上使用的通行证技术应用了单点登录10.下列关于进程管理的说法中，错误的是线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位程序是在计算机上运行的一组指令参数的集合，指令按照既定的逻辑控制计算机运行线程是用于组织资源的最小单位，线程将相关的资源组织在一起，这些资源包括：内存地址空间，程序，数据等进程是程序运行的一个实例，是运行着的程序11.Unix系统最重要的网络服务进程是netdinetinetdsysnet12.下列选项中，不属于windows系统进程管理的方法是DOS命令行Msinfo32任务管理器服务13.下列关于GRANT语句的说法，错误的是发出该FRANT语句的只能是DBA或者数据库对象创建者，不能是其他用户如果指定了WITE GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其他的用户如果没有指定WITE GRANT OPTION子句，则获得某种权限的用户只能使用该权限，不能传播该权限接受权限的用户可以是一个或多个具体用户，也可以是PAUBLIC，即全体用户14.下列选项中，不属于数据库软件执行的完整性服务的是实体完整性语义完整性参照完整性关系完整性15.模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入地探测，发现系统最脆弱的环节的技术是服务发现SQL注入端口扫描渗透测试16.下列选项中，不属于分发式访问控制方法的是SESAMEKerberosSSORADIUS17.下列关于IPSec的描述中，正确的是IPSec支持IPv4，不支持IPv6协议IPSec不支持IPv4和IPv6协议IPSec不支持IPv4，支持IPv6协议IPSec支持IPv4和IPv6协议18.下列关于SSL协议的描述中，正确的是为传输层提供了加密、身份认证和完整性验证的保护为链路层提供了加密、身份认证和完整性验证的保护为网络层提供了加密、身份认证和完整性验证的保护为应用层提供了加密、身份认证和完整性验证的保护19.下列选项中，不属于PKI信任模型的是链状信任模型网状信任模型层次信任模型桥证书认证机构信任模型20.下列选项中，误用监测技术不包括的是状态转换分析模型推理统计分析专家系统21.下列选项中，不属于木马自身属性特点的是隐藏性窃密性伪装性感染性22.攻击者向目标主机发起ACK-Flood时，目标主机收到攻击数据包后回应的是RST标志位设为1的数据包ACK和RST标志位设为1的数据包ACK标志位设为1的数据包SYN和ACK标志位设为1的数据包23.下列选项中，不属于网站挂马的主要技术手段是框架挂马Body挂马下载挂马Js脚本挂马24.下列选项中，不属于实现和实施注入攻击所具备的的关键条件是用户能够自主编写输入的数据掌握被注入的后台数据库系统的组织结构特性用户浏览页面中被插入的恶意脚本，无需提交即可自动加载并执行Web程序原有执行代码，被拼接了用户输入的数据后符合Web程序规范25.下列选项中，不能有效监测采用加壳技术的恶意程序的是主动防御技术启发式查杀技术虚拟机查杀技术特征码查杀技术26.下列漏洞库中，由国内机构维护的漏洞库是CVENVDEBDCNNVD27.下列关于堆（heap）的描述中，正确的是堆是一个后进先出的数据结构，在内存中的增长方向是从高地址向低地址增长堆是一个后进后出的数据结构，在内存中的增长方向是从高地址向低地址增长堆是一个先进后出的数据结构，在内存中的增长方向是从低地址向高地址增长堆是一个先进先出的数据结构，在内存中的增长方向是从低地址向高地址增长41.信息安全的五个属性是机密性，完整性，41__可用性_,可控性，不可否认性42.上世纪90年代中期，六国七方（加拿大，法国，德国，荷兰，英国，美国国家标准与技术研究院（NTST）及美国国家安全局（NSA）提出的信息技术安全性估计通用准则，英文简写为-CC基础准则）。

全国计算机等级考试三级信息系统知识点关键信息项1、考试大纲信息系统概述信息系统开发基础信息系统管理信息系统安全技术数据库技术网络技术2、考试形式笔试机试3、考试时间每年 X 月、X 月4、合格标准总分不低于 XX 分各部分得分不低于 XX 分11 信息系统概述111 信息系统的概念信息的定义和属性系统的概念和特性信息系统的定义和功能112 信息系统的类型作业信息系统管理信息系统决策支持系统专家系统办公自动化系统113 信息系统的发展电子数据处理系统管理信息系统决策支持系统企业资源规划系统客户关系管理系统供应链管理系统电子商务系统12 信息系统开发基础121 信息系统开发方法结构化方法原型法面向对象方法敏捷开发方法122 信息系统开发过程可行性研究与计划需求分析概要设计详细设计编码与测试运行与维护123 信息系统设计系统架构设计数据库设计输入输出设计模块设计124 信息系统测试测试的目的和类型测试用例设计测试的执行和评估13 信息系统管理131 信息系统项目管理项目的定义和特点项目管理的知识体系项目的生命周期项目计划与控制132 信息系统运维管理运维管理的目标和内容运维管理的流程运维管理的工具和技术133 信息系统资源管理人力资源管理硬件资源管理软件资源管理数据资源管理14 信息系统安全技术141 信息安全概述信息安全的概念和目标信息安全的威胁和风险142 加密技术对称加密算法非对称加密算法数字签名143 认证技术身份认证消息认证144 访问控制技术访问控制模型访问控制策略145 网络安全技术防火墙技术入侵检测技术虚拟专用网络技术15 数据库技术151 数据库系统概述数据库的基本概念数据模型数据库系统的结构152 关系数据库关系模型的基本概念关系代数关系数据库的规范化153 数据库设计需求分析概念结构设计逻辑结构设计物理结构设计154 数据库管理系统数据库管理系统的功能常见的数据库管理系统16 网络技术161 网络体系结构OSI 参考模型TCP/IP 模型162 网络互联技术局域网技术广域网技术网络互联设备163 Internet 技术IP 地址和子网掩码域名系统万维网技术电子邮件技术文件传输技术以上内容涵盖了全国计算机等级考试三级信息系统的主要知识点，考生应根据这些知识点进行系统的学习和准备，以提高通过考试的几率。

三级《网络及安全技术》考试大纲（2019版）考试目标学生通过计算机网络及安全技术的学习和实践，掌握计算机网络的基本知识、基本原理、常用协议、基本的管理配置及实践操作方法，掌握网络及安全的基本原理和应用技术，具备分析和解决网络工程问题的能力，具有基本的网络信息安全管理与实践应用能力。

基本要求1、掌握计算机网络基础知识。

2、掌握局域网的基本工作原理及组网技术。

3、熟练掌握互联网TCP/IP体系及各层典型网络协议。

4、基本掌握常见的互联网应用协议与服务。

5、掌握常用网络服务的应用与配置，掌握网络安全、系统安全和应用安全的基本知识和实践技能。

6、掌握计算机网络信息安全的基本理论与方法及常用的安全防护技术。

7、理解物联网、云计算、5G网络、区块链等网络新技术。

考试内容一、计算机网络体系结构1、计算机网络的产生和发展2、计算机网络基本概念计算机网络的定义，分类，计算机网络的主要功能及应用。

3、计算机网络的组成网络边缘部分和网络核心部分，网络的传输介质，分组交换技术。

4、网络体系结构与网络协议网络体系结构，网络协议，ISO/OSI参考模型，TCP/IP网络模型。

二、网络信息安全概况1、信息安全基础（1）信息安全基本属性机密性、完整性、可用性、可控性、不可抵赖性（不可否认性）（2）信息安全基本模型信息保障模型PDR与P2DR，信息安全保障技术框架IATF，信息技术安全评估CC准则，信息系统安全等级保护模型。

（3）信息安全基本法规国外法规，国内的网络安全法、密码法、网络安全等级保护制度。

2、密码应用基础（1）密码算法古典密码、现代密码；加密模式、分组密码、流加密；公钥密码、哈希函数、数字信封。

（2）密码分析古典密码破译，中间相遇攻击，中间人攻击，唯密文攻击，已知明文攻击，已知密文攻击，选择明文攻击，选择密文攻击。

（3）密码应用数字签名，访问控制与授权，身份认证。

（4）密钥管理对称密钥管理，非对称密钥管理（PKI）。

2023年全国计算机等级考试三级《信息平安技术》考试大纲2023年全国计算机等级考试三级《信息平安技术》考试大纲根本要求1. 理解信息平安保障工作的总体思路和根本理论方法2. 掌握信息平安技术的根本概念、原理、方法和技术3. 纯熟掌握计算机网络平安、系统软件平安和应用软件平安的.根本知识和理论技能4. 掌握信息平安设备的安装、配置和使用的根本方法5. 理解信息系统平安设施部署与管理根本技术6. 理解信息平安风险评估和等级保护原理与方法7. 理解信息平安相关的标准、法律法规和道德标准考试方式上机考试,考试时长120分钟,总分值100分。

包含:选择题(40分)、填空题(30分)、综合应用题(30分)。

考试内容：一、信息平安保障概述1. 信息平安保障的内涵和意义2. 信息平安保障的总体思路和根本理论方法二、信息平安根底技术与原理1. 密码技术(1)对称密码与非对称密码(2)哈希函数(3)数字签名(4)密钥管理2. 认证技术(1)消息认证(2)身份认证3. 访问控制技术(1)访问控制模型(2)访问控制技术4. 审计和监控技术(1)审计和监控根底(2)审计和监控技术三、系统平安1. 操作系统平安(1)操作系统平安根底(2)操作系统平安理论2. 数据库平安(1)数据库平安根底(2)数据库平安理论四、网络平安1. 网络平安根底2. 网络平安威胁技术3. 网络平安防护技术(1)防火墙(2)入侵检测系统与入侵防御系统(3)PKI(4)(5)网络平安协议五、应用平安1. 软件破绽概念与原理2. 软件平安开发3. 软件平安检测4. 软件平安保护5. 恶意程序6. Web应用系统平安六、信息平安管理1. 信息平安管理体系2. 信息平安风险评估3. 信息平安管理措施七、信息平安标准与法规1. 信息平安标准2. 信息平安法律法规与国家政策3. 信息平安从业人员道德标准。

计算机三级（信息安全技术）试题库与参考答案一、单选题（共100题，每题1分，共100分）1、下列有关信息安全管理体系的说法中，错误的是A、对于一个规模较小的组织机构，可以只制定一个信息安全政策B、信息安全管理工作的基础是风险处置C、在ISMS建设、实施的同时，必须相应地建立起各种相关文档、文件D、信息安全策略是组织机构的信息安全的最高方针，必须形成书面文件正确答案：B2、Nmap支持的扫描功能是A、Web漏洞扫描B、网络漏洞扫描C、端口扫描D、软件漏洞扫描正确答案：C3、访问控制依赖的原则，包括身份标识、责任衡量、授权和A、评估B、过滤C、验证D、跟踪正确答案：C4、机关、单位应当根据工作需要，确定国家秘密的具体的解密时间(或者解密条件)和A、保密机关B、保密期限C、保密人D、保密条件正确答案：B5、下列攻击手段中，不属于诱骗式攻击的是( )。

A、网站挂马B、ARP欺骗C、网站钓鱼D、社会工程正确答案：B6、GB/T 22239标准(《信息系统安全等级保护基本要求》)提出和规定了对不同安全保护等级信息系统的最低保护要求，称为A、基本安全要求B、基本保护要求C、最高安全要求D、最高保护要求正确答案：A7、SSL协议中握手协议的作用是A、完成会话密钥的协商B、完成加密算法的协商C、完成通信双方身份验证D、完成传输格式的定义正确答案：D8、下列关于数字签名的描述中，正确的是( )。

A、数字签名是在所传输的数据后附加，上一段和传输数据毫无关系的数字信息B、数字签名能够解决篡改、伪造等安全性问题C、数字签名能够解决数据的加密传输D、数字签名一般采用对称加密机制正确答案：B9、定义ISMS的范围，就是在___ 内选定架构ISMS的范围A、评估机构B、安全机构C、行政机构D、组织机构正确答案：D10、信息安全管理体系(ISMS) 是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴，体系的建立基于系统、全面和科学的安全A、风险评估B、风险识别C、风险控制D、风险处置正确答案：A11、计算机系统安全评估的第一个正式标准是( )。

计算机三级考纲◆考试内容一、基本学问1、计算机零碎组成。

2、计算机软件的基础学问。

3、多媒体的基本观点。

4、计算机应用领域。

二、计算机网络基本观点。

1、计算机网络的界说与分类。

2、数据通讯技术基础。

3、网络体系结构与协议的基本观点。

4、广域网、局域网与城域网的分类、特与典型零碎。

5、网络互连技术与互连设备。

三、局域网应用技术1、局域网分类与基本劳动原理。

2、高速局域网。

3、局域网组网要领。

4、网络作零碎。

5、结构化布线技术。

四、网络作零碎1、作零碎的基本功能。

2、网络作零碎的基本功能。

3、了解卖前流行的网络作零碎的表面。

五、Internet基础1、Internet的基本结构与主要办事。

2、Internet通讯协议——TCP/IP。

3、Internet接进要领。

4、超文书、超媒体与Web涉猎器。

六、网络安定技术1、消息安定的基本观点。

2、网络治理的基本观点。

3、网络安定计谋。

4、加密与认证技术。

5、防火墙技术的基本观点。

七、网络应用：电子商务于电子政务1、电子商务基本观点与零碎结构。

2、电子政务的基本观点与零碎结构。

3、涉猎器、电子邮件及Web办事器的安定特。

4、Web站点内容的策划和应用。

5、使用Internet进行网上购物与访问政府网站。

八、网络技术发展1、网络应用技术的发展。

2、宽带网络技术。

3、网络新技术。

ncre信息安全工程师考试大纲以下是NCRE信息安全工程师考试大纲：
一、信息安全基础
1.信息与信息安全基本概念
2.信息安全体系与安全模型
3.信息系统安全管理的概念、内容与方法
4.信息安全法律法规与标准要求
5.信息安全科技应用与发展趋势
二、信息安全风险管理
1.信息安全风险管理的概念、流程和方法
2.信息安全风险评估的概念、流程和方法
3.信息安全风险处置的概念、流程和方法
4.信息安全风险管理的综合应用
三、网络安全防护技术
1.网络安全基础知识
2.防火墙技术与应用
3.入侵检测与安全审计技术
4.网络安全隔离与入侵防御技术
5.网络安全漏洞扫描与评估技术
6.网络安全加固与安全管理技术
7.网络应用安全技术与应用
8.网络安全设备与部署
四、应用安全保障技术
1.应用安全基础知识
2.软件安全性测试与漏洞分析技术
3.身份认证与访问控制技术
4.数据加密与解密技术
5.移动应用安全保障技术
6.应用安全测试与管理技术
7.应用安全设备与部署
五、信息安全管理与实践
1.信息安全管理基本概念、内容与方法
2.信息安全管理标准与框架体系
3.信息安全管理策略与制度建设
4.信息安全管理组织与职责分工
5.信息安全管理培训与意识提升
6.信息安全管理实践与应用案例分析
7.信息安全管理评估与改进方法
以上是NCRE信息安全工程师考试大纲的主要内容，具体考试内容和要求可能会根据考试时间和考试机构而有所不同。

考生可以参考当地考试机构或相关官方网站，以获取最准确的信息。

计算机等级考试三级网络技术考试大纲基本要求1、具有计算机软件及应用的基本知识2、掌握操作系统的基本知识3、掌握计算机网络的基本概念与基本工作原理4、掌握Internet的基本应用知识5、掌握组网，网络管理与网络安全等计算机网络应用的基础知识6、了解网络技术的发展7、掌握计算机操作并具有c语言编程（含上机调试）的能力考试内容一、基本知识1、计算机系统组成2、计算机软件的基础知识3、多媒体的基本概念4、计算机应用领域二、操作系统1、操作系统的基本概念，主要功能和分类2、进程、线程、进程间通信的基本概念3、存储管理、文件管理、设备管理的主要技术4、典型操作系统的使用三、计算机网络的基本概念1、数据通讯技术的定义与分类2、数据通讯技术基础3、网络体系结构与协议的基本概念4、广域网、局域网与城域网的分类、特点与典型系统5、网络互连技术与互连设备四、局域应用技术1、局域网分类与基本工作原理2、高速局域网3、局域网组网方法4、网络操作系统5、结构化布线技术五、Internet基础1、Internet的基本结构与主要服务2、Internet通讯协议——TCP/IP3、Internet接入方法4、超文书、超媒体与Web浏览器六、网络安全技术1、信息安全的基本概念2、网络管理的基本概念3、网络安全策略4、加密与认证技术5、防火墙技术的基本概念七、网络应用：电子商务1、电子商务基本概念与系统结构2、电子商务应用中的关键技术3、浏览器、电子邮件及Web服务器的安全特性4、Web站点内容的策划和推广5、使用Internet进行网上购物八、网络技术发展1、网络应用技术的发展2、宽带网络技术3、网络新技术九、上机操作1、掌握计算机基本操作2、熟练掌握c语言程序设计基本技术、编程和调试3、掌握与考试内容相关的上机应用考试方法一、笔试：120分钟二、上机考试：60分钟。