計算機三級 信息安全技術題庫——填空題3

1.信息系統安全保障涵蓋三個方面,分別爲生命週期,保障要素,安全特徵

 

2.網絡信息內容監控的主要方法爲網絡輿情分析

 

3.密碼系統通常由五部分組成,消息空間,密文空間,密鑰空間,加密算法和解密算法

 

4.密鑰分配可以分爲三類,人工密鑰分發,基於中心的密鑰分發和基於認證的密鑰分發

 

5.常用的認證協議包括基於口令的認證協議,基於對稱密碼的認證協議和基於公鑰密碼的認證協議

 

6.每個數據庫事物都以BEGIN TRANSACTION語句顯式開始,以COMMIT或ROLLBACK語句顯式結束

 

7.保護環支持多任務操作系統所要求的可用性,完整性和機密性要求,進程運行所在的環越小,進程的可信度越高,最常用的保護環機構提供4個保護環,0環:操作系統內核,1環:操作系統的其他部分,2環:I/O驅動程序和實用工具,3環:應用程序和用戶活動。現在的許多操作系統並不經常使用第二保護環,有的甚至不用

 

8.Windows有三種類型的事件日誌,系統日誌,應用程序日誌和安全日誌

 

9.IDS的異常檢測技術主要通過統計分析方法和神經網絡方法實現

 

10.爲了捕獲網絡接口收到的所有數據幀,網絡嗅探工具會將網絡接口設置爲混雜模式

 

11.惡意程序會修改被感染計算機的Hosts文件,利用虛假IP地址的映像劫持技術來屏蔽被感染計算機與安全站點之間的連接

 

12.根據軟件漏洞具體條件,構造相應輸入參數和shellcode代碼,最終實現獲得程序控制權的過程。被稱爲漏洞利用

 

13.通常情況下,軟件動態安全檢測技術漏洞的準確率高於軟件靜態安全檢測技術

 

14.針對運行中的軟件程序,通過構造非正常的輸入來檢測軟件運行時是否出現故障或崩潰,這種軟件檢測技術被稱爲軟件動態安全檢測技術

 

15.專門寄生在具有宏功能的文檔或模板中的計算機病毒被稱爲宏病毒

 

16.爲確保信息安全,機密不被泄露,信息安全工作人員在上崗前,在崗期間和離職時都要嚴格按照人員安全控制策略執行安全措施

 

17.關於國家祕密,機關,單位應當根據工作需要,確定具體的保密期限,解密時間,或者解密條件

 

18.信息安全管理工作的核心是風險處置,信息安全管理工作的基礎是風險評估

 

19.在信息安全發展的通信保密階段,人們主要關注信息在通信過程中的安全性問題,即"機密性"

 

20.網絡檢測技術中,將未使用地址空間僞裝成活動網絡空間,通過與入侵者的主動交互獲取入侵詳細信息,來達到對攻擊活動進行監視,檢測和分析的網絡監測技術是蜜罐技術

 

21.從密鑰信息的交換方式來看,可以將密鑰分配爲三類,人工密鑰分發,基於中心的密鑰分發,基於認證的密鑰分發

 

22.常見的認證協議包括,基於口令的認證協議,基於對稱密碼和認證協議和基於公鑰密碼的認證協議

 

23.基於角色的訪問控制模型的要素包括用戶,角色和許可等基本定義

 

24.在數據庫中,用戶權限是由兩個要素組成的,數據庫對象和操作類型。定義一個用戶的存取權限就是定義這個用戶可以在哪些數據庫對象上進行哪些類型的操作

 

25.操作系統爲0環和1環執行指令時,它在管理員模式或內核模式下運行

 

26.UNIX系統中,UID表示文件擁有者,GID表示文件所在分組在UNIX系統中,只要將用戶的UID和GID設置爲0,就可以將其變成超級用戶

 

27.Windows有三種類型的事件日誌,系統日誌,應用程序日誌和安全日誌

 

28.可以通過網絡等途徑,自動將自身的全部或部分代碼複製傳播給網絡中其他計算機的完全獨立可運行程序是蠕蟲病毒

 

29.SSL協議中,客戶端通過對服務器端發來的證書進行驗證,以完成對服務器端的身份認證

 

30.SessionID是用戶登錄所持有的認證憑證,因此黑客可以直接使用竊取的SessionID與服務器進行交互,會話劫持就是一種竊取用戶SessionID後,使用該SessionID登錄進入目標賬戶的攻擊方法,此時攻擊者實際上是利用了目標賬號的有效Session

 

31.限制內存堆棧區的代碼爲不可執行的狀態,從而防範溢出後代碼的執行,這種技術被稱爲數據執行保護

 

32.自主訪問控制模型的實現是通過訪問控制矩陣實施,具體的實施辦法則是通過訪問能力表或訪問控制表來限定哪些主體針對哪些客體可以執行什麼操作

 

33.惡意行爲審計與監控主要監測網絡中針對服務器的惡意行爲,包括惡意的攻擊行爲和入侵行爲

 

34.惡意行爲的監測方式有兩種,主機監測和網絡監測

 

35.信息安全管理體系(ISMS)是一個系統化,程序化和文件化的管理體系,屬於風險管理的範疇,體系的建立基於系統,全面和科學的安全風險評估

 

36.電子簽名認證證書應當載明下列內容,電子認證服務者名稱,證書持有人名稱,證書序列號和證書有效期

 

37.消息安全保障工作的內容包括,確定安全需求,設計和實施安全方案,進行信息安全評測和實施信息安全監控與維護

 

38.在計算機系統中,認證,訪問控制和審計共同建立了保護系統安全的基礎,其中的認證是用戶進入系統的第一道防線,審計是對認證和訪問控制的有效補充

 

39.蜜罐技術是一種網絡監測技術,它將未使用地址空間僞裝成活動網絡空間,通過與入侵者的主動交互獲取入侵詳細信息,以達到對攻擊活動進行監視,檢測和分析的目的

 

40.信任根和信任鏈是可信計算平臺的最主要的關鍵技術之一

 

41.國內外已經提出的信任模型有:單證書認證機構信任模型,層次信任模型等,其中層次信任模型主要適用於有嚴格的級別劃分的大型組織機構和行業領域

 

42.安全散列算法SHA所產生的摘要比消息摘要算法MD5長32位。SHA爲160位,MD5爲128位

 

43.在CREATE TABLE語句中使用字句,DEFAULT是定義默認值首選的方法

 

44.當用戶代碼需要請求操作系統提供的服務時,通常採用系統調用的方法來完成這一過程

 

45.支持多種不同類型的CA系統相互傳遞信任關係的是橋CA信任模型

 

46.根據軟件漏洞具體條件,構造相應輸入參數和shellcode代碼,最終實現獲得程序控制權的過程是漏洞利用(exploit)

 

47.軟件源代碼的靜態安全監測技術包括詞法分析,數據流分析,污點傳播分析等。污點傳播分析是通過分析代碼中輸入數據對程序執行路徑的影響,以發現不可信的輸入數據導致的程序執行異常

 

48.數組越界漏洞是目前的一種主要的軟件漏洞,它是由於不正確的數組訪問造成的。攻擊者通過精心構造超出數組範圍的索引值,就能夠對任意內存地址進行讀寫操作

 

49.信息安全風險評估的複雜程度,取決於受保護資產對安全的敏感程度和所面臨風險的複雜程度

 

50.《計算機信息系統安全保護等級劃分準則》將信息系統安全分爲自主保護級,系統審計保護級,安全標記保護級,結構化保護級和訪問驗證保護級

 

51.

52.

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章