2019年上半年信息安全工程师真题+答案解析上午选择+下午案例完整版
全国软考真题(中级) 信息安全工程师 2019年上半年下午 考试真题及答案解析(案例分析)
全国软考真题(中级)信息安全工程师2019年上半年下午考试真题及答案解析(案例分析)【试题一】(14分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】访问控制是保障信息系统安全的主要策略之一,其主要任务是保证系统资源不被非法使用和非常规访问。
访问控制规定了主体对客体访向的限制,并在身份认证的碁础上,对用户提出的资源访问请求加以控制。
当前,主要的访问控制模型包括:自主访问控制(DAC)模型和强制访问控制(MAC)模型。
【问题1】(6分)针对信息系统的访问控制包含哪三个基本要素?【参考答案】1、主体2、客体3、授权访问【问题2】(4分)BLP模型是一种强制访问控制模型,请问:(1)BLP模型保证了信息的机密性还是完整性?(2)BLP模型采用的访问控制策略是上读下写还是下读上写?【参考答案】1、机密性2、上读下写【问题3】(4分)Linux系统中可以通过Is•命令查看文件的权限,例如:文件net.txt的权限属性如下所示:-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt请问:(1)文件net.txt属于系统的哪个用户?(2)文件net.txt权限的数字表示是什么?【参考答案】(1)root(2)700【试题二】(13分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。
.密码学中,根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。
此外,密码技术还用于信息鉴别、数据完整性检验、数字签名等。
【问题1】(6分)信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。
密码学的三大安全百标C.I.A分别表示什么?【参考答案】C:保密性I:完整性A:可用性【问题2】(5分)仿射密码是一种典型的对称密码算法。
全国软考真题(高级) 信息系统项目管理师 2019年上半年上午 考试真题及答案解析(选择题)
全国软考真题(高级)信息系统项目管理师2019年上半年上午考试真题及答案解析(选择题)一、单项选择题(共75分,每题1分。
每题备选项中,只有1个最符合题意)●第1题.RFID射频技术多应用于物联网的()。
A、网络层B、感知层C、应用层D、传输层【参考答案】B【答案解析】●第2题.智慧城市建设参考模型的()利用SOA(面向服务的体系架构)、云计算、大数据等技术,承载智慧应用层中的相关应用,提供应用所需的各种服务和共享资源。
A、通信网网络层B、计算与存储层C、物联感知层D.数据及服务支撑层【参考答案】D【答案解析】●第3题.在信息系统的生命周期中,开发阶段不包括()。
A、系统规划B、系统设计C、系统分析D、系统实施【参考答案】A【答案解析】开发阶段保函:系统开发、系统设计、系统实施、系统验收●第4题. ()的目的是缩小数据的取值范围,使其更适合于数据挖掘算法的需要,并且能够得到和原始数据相同的分析结果。
A、数据清洗B、数据集成.C、数据变换D、数据归纳【参考答案】D【答案解析】数据归约是指在尽可能保持数据原貌的前提下,最大限度地精简数据量。
数据归约技术可以用来得到数据集的归约表示,它虽然小,但仍大致保持原数据的完整性。
这样,在归约后的数据集上挖掘将更有效,并产生相同(或几乎相同)的分析结果。
●第5题. ()向用户提供办公软件、工作流等服务,使软件提供商从软件产品的生产者转变成服务的运营者。
A、lansB、PaasC、SaasD、Daas.【参考答案】C【答案解析】●第6题.区块链的特征不包括()。
A、中心化B、开放性C、信息不可篡改D、匿名性【参考答案】A【答案解析】区块链主要有以下六个特征:1.去中心化2.去信任3.开放性4.自治性5.信息不可篡改6.匿名性●第7题.软件架构中,()模式包括主程序子程序数据抽象和面向对象,以及层次结构。
A、数据流B、调用/返回C.虚拟机D、独立构件【参考答案】B【答案解析】Garlan和Shaw对通用软件架构风格进行了分类,他们将软件架构分为数据流风格、调用/返M风浴、独、y.构件风格、虛拟机风格和仓厍风格。
2019年上半年5月下午 信息安全工程师 试题及答案与解析-软考考试真题-基础知识
2019年上半年5月下午信息安全工程师考试试题-案例分析-答案与解析【试题一】(14分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】访问控制是保障信息系统安全的主要策略之一,其主要任务是保证系统资源不被非法使用和非常规访问。
访问控制规定了主体对客体访向的限制,并在身份认证的碁础上,对用户提出的资源访问请求加以控制。
当前,主要的访问控制模型包括:自主访问控制(DAC)模型和强制访问控制(MAC)模型。
【问题1】(6分)针对信息系统的访问控制包含哪三个基本要素?【参考答案】1、主体2、客体3、授权访问【问题2】(4分)BLP模型是一种强制访问控制模型,请问:(1)BLP模型保证了信息的机密性还是完整性?(2)BLP模型采用的访问控制策略是上读下写还是下读上写?【参考答案】1、机密性2、上读下写【问题3】(4分)Linux系统中可以通过Is•命令查看文件的权限,例如:文件net.txt的权限属性如下所示:-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt请问:(1)文件net.txt属于系统的哪个用户?(2)文件net.txt权限的数字表示是什么?【参考答案】(1)root(2)700【试题二】(13分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。
.密码学中,根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。
此外,密码技术还用于信息鉴别、数据完整性检验、数字签名等。
【问题1】(6分)信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。
密码学的三大安全百标C.I.A分别表示什么?【参考答案】C:保密性I:完整性A:可用性【问题2】(5分)仿射密码是一种典型的对称密码算法。
2019年上半年信息系统管理工程师(中级)真题+答案解析
壱2019 年上半年信息系统管理工程师(中级)真题+答案解析上午选择+下午案例上午选择2019 年 5 月25 日考试1、作为核心部件协调整个计算机系统进行正常工作的部件是()。
A.运算器B.控制器C.存储器D.I/O 设备答案:BCPU 主要由运算器、控制器、寄存器和内部总线等部件组成。
运算器由算术逻辑单元、累加寄存器、数据缓冲寄存器和状态条件寄存器组成,是数据加工处理部件,用于完成计算机的各种算术和逻辑运算。
控制器用于控制整个CPU 的工作,决定了计算机运行过程的自动化,不仅要保证程序的正确执行,而且要能够处理异常事件。
控制器一般包括指令控制逻辑、时序控制逻辑、总线控制逻辑和中断控制逻辑等几个部分。
2、在CPU 执行程序的过程中,由于发生了某事件而需要CPU 暂时中弐止正在执行的程序,转去处理该事件,处理完之后再回到被中止的程序继续执行,这个过程称为()。
A.中断处理B.同步处理C.异步处理D.并发处理答案:A中断是指计算机在执行期间,系统内发生任何非寻常的或非预期的急需处理事件,使得CPU 暂时中断当前正在执行的程序而转去执行相应的事件处理程序,待处理完毕后又返回原来被中断处继续执行的过程。
3、存储容量按照从小到大排列的顺序为()。
A.寄存器、高速缓存(Cache)、主存、辅存B.高速缓存(Cache)、主存、寄存器、辅存C.主存、高速缓存(Cache)、辅存、寄存器D.辅存、主存、高速缓存(Cache)、寄存器答案:A4、以下关于固态硬盘的叙述中,错误的是()。
A.固态硬盘采用电子芯片存储阵列存储信息B.固态硬盘比传统机械硬盘的读写速度快参C.固态硬盘的接口规范与传统机械硬盘相同D.固态硬盘中的控制单元采用机械部件构造答案:DSSD 用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH 芯片、DRAM 芯片两种类型)组成。
5、某计算机系统中设置一个控制单元、多个处理单元和多个存储模块进行数据处理,它是通过()实现计算任务处理的并行性。
2019年上半年信息系统管理工程师下午试卷考试真题(答案与解析)
2019年上半年信息系统管理工程师下午试卷考试真题(答案与解析)2019年上半年信息系统管理工程师下午试卷考试真题(案例分析)一、阅读以下说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】某电子商务公司拟构建一个高效、低成本、符合公司实际业务发展需求的OA(Office Automation)系统。
张工主要承担了该系统的文档管理和通知管理模块的研发工作。
文档管理模块的主要功能包括添加、修改、删除和查看文档。
通知管理模块的主要功能是通知群发。
张工通过前期调研和需求分析进行了概念模型设计,具体情况分述如下。
【需求分析结果】(1) 该公司设有财务部、销售部、广告部等多个部门,每个部门只有一名部门经理,有多名员工,每名员工只属于一个部门。
部门信息包括:部门号、名称、部门经理和电话,其中部门号唯一确定部门关系的每一个元组。
(2) 员工信息包括:员工号、姓名、岗位号、部门号、电话、家庭住址。
员工号唯一确定员工关系的每一个元组;岗位主要有经理、部门经理、管理员等,不同岗位具有不同的权限。
一名员工只对应一个岗位,但一个岗位可对应多名员工。
(3) 通知信息包括:编号、内容、通知类型、接收人、接收时间、发送时间和发送人。
其中(编号,接收人)唯一标识通知关系中的每一个元组。
一条通知可以发送给多个接收人,一个接收人可以接收多条通知。
(4) 文档信息包括:编号、文档名、标题、内容、发布部门、发布时间。
其中编号唯一确定文档关系的每一个元组。
一份文档对应一个发布部门,但一个部门可以发布多份文档;一份文档可以被多名员工阅读,一名员工可以阅读多份文档。
另外,公司为了掌握员工对文档的阅读及执行情况,还要求记录每个员工对同一篇文档分别在哪些时间阅读过。
【概念模型设计】根据需求分析阶段收集的信息,设计的实体联系图(不完整)如图1-1所示:【逻辑结构设计】根据概念模型设计阶段完成的实体联系图,得出如下关系模式(不完整):部门(部门号,名称,部门经理,电话)员工(员工号,姓名,岗位号,(a),电话)岗位(岗位号,岗位名称,权限)通知(编号,(b),通知类型,接收时间,(c),发送时间,发送人)文档(编号,文档名,标题,内容,发布部门,发布时间)阅读文档(文档编号,(d),阅读时间)问题:1.1 (4分)根据题意,将关系模式中的空(a)—(d)的属性补充完整,并填入答题纸对应的位置上。
2019年上半年信息安全工程师真题+答案解析上午选择+下午案例完整版
6、研究密码破译的科学称为密码分析学。密码分析学中,根据密码 分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于 攻击公开密钥密码体制,特别是攻击其数字签名的是 ( )。
A. 仅知密文攻击 B. 已知明文攻击 C. 选择密文攻击 D. 选择明文攻击 答案: C 在密码分析中,选择密文攻击指的是一种攻击方式。攻击者掌握对 解密机的访问权限,可构造任意密文所对应的明文。在此种攻击模型 中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻 击的加密算法解密,透过未知的密钥获得解密后的明文。
2019年上半年信息系统监理师上午选择答案完整版(大部分含解析)全国计算机软件考试(中级)
1、使计算机系统各个部件、相关的软件和数据协调、高效工作的是(A)。
AA、系统软件B、管理软件C、应用软件D、中间件解析:系统软件是与计算机硬件紧密配合以使计算机的各个部件与相关软件及数据进行协调高效工作的软件。
2、在信息系统开发项目中,(2)不属于需求分析阶段监理工作的质量控制要点。
DA、需求分析报告B、初步用户手册C、系统接口说明D、调研提纲解析:调研提纲是需求分析阶段之前的阶段工作3、GB/T 28827.1-2012 《信息技术服务运行维护第 1 部分:通用要求》中,运行维护服务能力模型包括人员、资源、技术、过程 4 个关键要素,其中( 3)属于过程要素的内容。
CA、岗位结构B、知识库C、信息安全管理D、运行维护工具解析:岗位结构属于人员,知识库,运行维护工具属于资源,信息安全管理是一个过程,属于模型中的过程要素。
4、人工智能的典型应用不包括(4)。
AA、3D 打印B、人脸识别C、无人驾驶D、语音识别解析: 3D 打是一种快速成型、通过逐层打印的方式来构造物体的技术,而非人工智能。
5、( 5)是物联网感知层中的信息采集技术。
BA、通信技术B、射频技术C、数据挖掘D、解析技术解析:射频技术( RF )物联网感知层中的信息采集技术。
6、基于买方的购买历史及行为分析,进行针对性的信息推送,属于(6)的典型应用。
DA、智慧城市B、云计算C、物联网D、大数据解析:对买家购买时积累的大量数据进行分析,提取有价值的信息,属于大数据的应用。
7、FTP 是 TCP/IP 协议中的( 7)。
DA、简单邮件传输协议B、简单网络管理协议C、网络控制报文协议D、文件传输协议解析:文件传输协议(英文:File Transfer Protocol ,缩写: FTP )是用于在网络上进行文件传输的一套标准协议8、数字证书系统是计算机网络系统集成体系框架中(8)平台的内容。
BA、网络B、安全C、通信D、应用解析:数字证书提供了一种在Internet 上验证通信实体身份的方式,属于安全平台的内容。
2019年上半年系统分析师真题+答案解析上午选择+下午案例+论文完整版
2019年上半年系统分析师真题+答案解析上午选择+下午案例+论文完整版2019年上半年系统分析师真题+答案解析上午选择+下午案例+论文完整版上午选择2019年5月25日考试1、面向对象分析中,一个事物发生变化会影响另一个事物,两个事物之间属于()。
A.关联关系B.依赖关系C.实现关系D.泛化关系答案:B依赖关系:一个事物发生变化影响另一个事物。
泛化关系:特殊/一般关系关联关系:描述了一组链,链是对象之间的连接。
聚合关系:整体与部分生命周期不同。
组合关系:整体与部分生命周期相同。
实现关系:接口与类之间的关系2、关于用例图中的参与者,说法正确的是()。
A.参与者是与系统交互的事物,都是由人来承担B.当系统需要定时触发时,时钟就是一个参与者C.参与者可以在系统外部,也可能在系统内部D.系统某项特定功能只能有一个参与者答案:B参与者是指存在于系统外部并与系统进行交互的任何事物,既可以是使用系统的用户,也可以是其他外部系统和设备等外部实体。
系统某项特定功能可以是对应一个参与者,也可能对应不同种类的多个参与者。
时钟可以充当参与者。
3、在线学习系统中,课程学习和课程考试都需要先检查学员的权限,“课程学习”与“检查权限”两个用例之间属于(3);课程学习过程中,如果所缴纳学费不够,就需要补缴学费,“课程学习”与“缴纳学费”两个用例之间属于(4);课程学习前需要课程注册,可以采用电话注册或者网络注册,“课程注册”与“网络注册”两个用例之间属于(5)。
A.包含关系B.扩展关系C.泛化关系D.关联关系答案:A4、A.包含关系B.扩展关系C.泛化关系D.关联关系答案:B5、 A.包含关系B.扩展关系C.泛化关系D.关联关系答案:C本题考查UML图中用例之关的关系。
课程学习和课程考试都需要先检查学员的权限,说明学员权限是从前两者中抽取的公共部分,他们之间的关系应是包含关系。
课程学习时,学费充足,则直接学习,学费不够则缴纳学费,这是典型的扩展关系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A. 仅知密文攻击 B. 已知明文攻击 C. 选择密文攻击 D. 选择明文攻击 答案: C 在密码分析中,选择密文攻击指的是一种攻击方式。攻击者掌握对 解密机的访问权限,可构造任意密文所对应的明文。在此种攻击模型 中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻 击的加密算法解密,透过未知的密钥获得解密后的明文。
5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的 意见》之中。以下关于我国信息安全等级保护内容描述不正确的是 ( )。
A. 对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B. 对信息系统中使用的信息安全产品实行按等级管理 C. 对信息系统中发生的信息安全事件按照等级进行响应和处置
A. 强化员工的信息安全意识,规范组织信息安全行为 B. 对组织内关键信息资产的安全态势进行动态监测 C. 促使管理层坚持贯彻信息安全保障体系 D. 通过体系认证就表明体系符合标准,证明组织有能力保障重要 信息 答案: B BS7799 标准是英国标准协会 (BSI)制定的信息安全管理体系标准。 它包括两部分,其第一部分《信息安全管理实施指南》于 2001 年 2 月被国 际标准化组织(1S0) 采纳为国际标准 ISOIIEC17799,并于 2005 年 6 月 15 日发布了最新版本。我国也于 2004 年完成该标准 的转化工作。这一部分主要提供了信息安全管理的 一些通常做法, 用于指导企业信息安全管理体系的建设。第二部分 BS7799-2 《信息 安全管理体系规范和应用指南》是一个认证标准,描述了信息安全管 理体系各个方面需要达到的一些要求,可以以此为标准对机构的信息 安全管理体系进行考核和认证。 ISOIIEC 17799 的目的是"为信息安全 管理提供建议,旨在为一个机构提供用来制定安全标准、实施有效的 安全管理时的通用要素,并得以使跨机构的交易得到互信"。 机构实 施 BS7799 的目的是按照先进的信息安全管理标准建立完整的信息
伍
D. 对信息安全从业人员实行按等级管理,对信息安全违法行为实 行按等级惩处 答案: D 信息安全等级保护,是对信息和信息载体按照重要性等级分级别进 行保护的一种工作,信息系统的安全保护等级应当根据信息系统在国 家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对 国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权 益的危害程度等因素确定。
壱
2019 年上半年信息安全工程师真题+ 答案解析上午选择+下午案例完整版
上午选择 2019 年 5 月 25 日考试
1、《中华人民共和国网络安全法》第五十八条明确规定,因维护国 家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( ) 决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
A. 8 字节 B. 16 字节 C. 32 字节 D. 64 字节 答案: C
弐
3、BS7799 标准是英国标准协会制定的信息安全管理体系标准,它包 括两个部分:《信息安全管理实施指南》和《信息安全管理体系规范 和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理 体系,但不能实现( )。
4、为了达到信息安全的目标,各种信息安全技术的使用必须遵守一 些基本原则,其中在信息系统中,应该对所有权限进行适当地划分, 使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约、 相互监督,共同保证信息系统安全的是 ( )。
A. 最小化原则 B. 安全隔离原则 C. 纵深防御原则 D. 分权制衡原则 答案: D 1、最小化原则。 受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的 安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。 仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的知情 权一定要加以限制,是在“满足工作需要”前提下的一种限的、系统的、全员参与的、制度化的、以预 防为主的信息安全管理方式, 用最低的成本,获得较高的信息安全 水平,从根本上保证业务的连续性。 BS7799 作为信息安全管理领域 的一个权威标准,是全球业界一致公认的辅助信息 安全治理手段, 该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安 全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以 及保护信息资产的制度框架。
六
7、基于 MD4 和 MD5 设计的 S/Key 口令是一种一次性口令生成方案, 它可以对访问者的身份与设备进行综合验证,该方案可以对抗( )。
A. 国务院 B. 国家网信部门 C. 省级以上人民政府 D. 网络服务提供商 答案: A
2、2018 年 10 月,含有我国 SM3 杂凑算法的 IS0/IEC10118-3: 2018《信 息安全技术杂凑函数第 3 部分:专用杂凑函数》由国际标准化组织 (ISO)发布,SM3 算法正式成为国际标准。SM3 的杂凑值长度为( )。
四
可以将最小化原则细分为知所必须和用所必须的原则。 2、分权制衡原则。 在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只 能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保 证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和 制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。 3、安全隔离原则。 隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。 信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的 安全策略,在可控和安全的前提下实施主体对客体的访问。 在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实 施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、 谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保 护原则、多级保护原则、深度保护原则和信息流向原则等。