<------------純手打內容並不能保證百分百沒錯字------------>
更新:考試過啦 雖然只是及格( 感覺單靠買的題庫的的話 良好應該沒什麼問題 但是優秀可能比較困難,感覺考試的題目也還是有挺多變動的 不過親測四五天保證每天有四個小時的學習時間及格還是可以的 當然學習的時候一定要好好學哇。計算機四級信息安全工程師部分更新啦 四級全是選擇題 直接看我的博客就可以了✌ 戳個人分類即可看見
PS:應用題題目太長所以當時沒有留存截圖 感覺應用題分數還挺重要的 所以還是建議大家自己淘寶買題 淘寶的題大概是30多吧 一般都可以兩個人用 一般是電腦端兩個驗證號+手機端一個驗證號 因爲幾乎也是一次性用品 所以覺得也沒必要一個人買 如果有意拼 在這篇博客下面評論一下 留個QQ小號? 無利益相關 單純隨便一想
1.信息技術的發展,大致分爲電訊技術的發明,19世紀30年代開始 , 計算機技術的發展,20世紀50年代開始 ,和互聯網的使用 20世紀60年代開始三個階段。
2.同時具有強制訪問控制和自主訪問控制屬性的訪問控制模型是Chinese wall
3.信息安全的五個基本屬性是可用性,可靠性,完整性,保密性,不可抵賴性
4.MD5算法首先將任意長度的消息填充爲512的倍數然後進行處理
5.數字簽名是非對稱密鑰加密技術與數字摘要技術的綜合應用
6.對稱加密最大的缺點在於其祕鑰管理困難
7.消息認證目的是爲了防止傳輸和存儲的消息被有意無意的篡改,包括消息內容認證(消息完整性認證),消息的源和宿認證(身份認證),及消息和序號和操作時間認證等,但是發送方否認將無法保證
8.
9.Kerberos是一種網絡認證協議,其認證過程的實現不依賴於主機操作系統的認證,其身份認證採用的是傳統的密碼技術(對稱加密機制)
10.IKL屬於一種混合型協議,由Internet安全關聯和密鑰管理協議(ISAKMP)和兩種密鑰交換協議OAKLEY與SKEME
11.一個簡單的PKI系統包括證書機構CA,註冊機構RA,和相應的PKI存儲庫。PKI存儲庫包括LDAP目錄服務器和普通數據庫
12.狀態檢測防火牆技術能夠對其動態連接狀態進行有效檢測和防護的是TCP
13.CCB(密碼塊鏈接)沒有分組工作模式
14.主體是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啓動的進程,服務和設備等。可以是另一個客體
15.進程與CPU的通信是通過共享存儲器系統,消息傳遞系統,管道通信來完成的。而不是通過系統調用來完成的。
16.守護進程是脫離於終端並且在後臺運行的進程。守護進程還能完成很多系統任務
17.在unix系統中,chmod 文件/目錄權限設置命令,chown 改變文件的擁有者,chgrp 變更文件與目錄的所屬羣組。who 顯示系統登錄者。改變文件分組的命令是chgrp
18.Windows有三個環境子系統,Win32,POSIX,OS/2。win32子系統必須始終處於運行狀態
19.視圖不存儲數據
20.COMMIT語句用於告訴DBMS,事務處理中的語句被成功執行完成了,ROLLBACK也是告訴DBMS事務處理中的語句不能被成功執行,不能回退SELECT語句,因此該語句在事務中必然成功執行
21.P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型,該模型的四個組成部分,policy策略,protection防護,detective檢測和response響應,核心是策略
22.ESP協議可以對應用層協議,傳輸層協議,網絡層協議進行封裝,但是不能對鏈路層協議進行封裝
23.HTTPS是以安全爲目標的HTTP通道,即HTTP下加入SSL層,SSL是HTTPS的安全基礎。用戶認證的請求通過加密信道進行傳輸的是HTTPS
24.AH協議用於保證數據包的完整性和真實性,考慮到計算效率,AH沒有采用數字簽名而是採用了安全哈希算法來對數據包進行保護。它具有的功能是數據完整性鑑別
25.
26.SMTP 簡單郵件傳輸協議,由他控制信件的中轉方式。SET 安全電子交易協議。POP3 郵局協議的第三個版本。S/MIME爲多用途網絡郵件擴充協議,可以把MIME實體,比如數字簽名和加密信息等封裝成安全對象,S/MIME可爲電子郵件提供數字簽名和數據加密功能
27.NIDS網絡入侵檢測系統,。在計算機網絡系統中,NIDS的探測器要連接的設備是交換機
28.
29.軟件漏洞網絡攻擊框架性工具是Metasploit
30.OWASP的十大安全威脅排名,第一位是注入式風險,第二位跨站腳本攻擊,第三位無限的認證及會話管理功能,第十位是未經驗證的重新指向及轉發
31.提出軟件安全開發生命週期SDL模型的公司是微軟
32.代碼混淆技術包括詞法轉換,控制流轉換,數據轉換。不屬於代碼混淆技術的是語法轉換
33.漏洞轉換三要素,漏洞是計算機系統本身存在的缺陷,漏洞的存在和利用都有一定的環境要求,漏洞存在的本身是沒有危害的。漏洞在計算機系統中不可避免不屬於漏洞定位三要素
34.堆的生長方向是向上,也就是向內存增加的方向。棧相反
35.操作系統所使用的緩衝區又被稱爲 堆棧 。不屬於緩衝區溢出的是整數溢出
36.在信息安全事故響應中,必須採取的措施中包括 建立清晰的優先次序。清晰的指派工作和責任,對災難進行歸檔。不包括保護物理資產。
37.系統開發分爲五個階段 ,規劃,分析,設計,實現和運行。
38.任何系統都會經歷一個發生,發展和消亡的過程
39.在信息安全管理中的控制策略實現後就應該對控制效果進行監控和衡量,從而來確定安全控制的有效性,並估計殘留風險的準確性,整個安全控制是一個循環過程不會終止,並不能減少這方面的預算
40.並不是所有的組織都需要進行認證。認證可以建立信任度而已
41.涉密信息系統建設使用單位將保密級別分爲三級,祕密,機密和絕密
42.基本安全要求中基本技術要求從五個方面提出,物理安全,網絡安全,主機安全,應用安全,數據安全及備份恢復。沒有路由安全
43.應急三要素是事件響應,災難恢復,業務持續性計劃。基本風險評估預防風險,而應急計劃是當風險發生時採取的措施
44.
45.
46.
47.電子簽名是一種電子代碼,利用他收件人可以在網上輕鬆驗證發件人的身份和簽名,它還能驗證出文件的原文在傳輸過程中有無變動。公用事業服務信息無需進行驗證
48.簽署電子簽名時電子簽名製作數據僅有電子簽名人控制
49.TCSEC將計算機系統的安全劃分爲四個等級七個級別
50.除了縱深防禦這個核心思想外,IATF還提出了其他一些信息安全原則。LATF將信息系統和信息保障技術層面劃分爲四個技術框架焦點域,分別爲保護網絡和基礎設施、保護區域邊界、保護計算環境以及支撐性基礎設施
51.計算機系統安全評估的第一個正式標準是TCSEC
52.數據加密又稱密碼學,指通過加密算法和加密密鑰將明文轉變爲密文,而解密則是通過解密算法和解密密鑰將密文恢復爲明文。
53.消息認證,數字簽名和口令保護均屬於哈希函數的應用
54.目前的認證技術有用對用戶的認證和對消息的認證兩種方式。數字簽名,又稱公鑰數字簽名,電子簽章,是一種類似寫在紙上的普通的物理簽名,但是使用了公鑰加密領悟的技術實現,用於鑑別數字信息的方法,數字簽名不能用於產生認證碼
55.
56.
57.RADIUS是一個客戶端/服務器端協議,它運行在應用層,使用UDP協議,它的審計獨立於身份驗證和授權服務,審計服務使用一個獨立的UDP端口進行通訊,不能很好的提供完備的丟包處理及數據重傳機制。
58.EBC模式是分組密碼的基本工作模式。CBC模式的初始密碼不需要保密,可以明文形式與密文一起傳送
59.非對稱加密算法又名爲公開密鑰加密算法,對稱加密算法名爲非公開密鑰加密算法。非對稱密鑰加密算法複雜,在實際應用中不適合數據加密
60.SHA所產生的摘要比MD5長32位,耗時要更長,更加安全
61.TCP,ICMP,UDP均會被DoS攻擊,IPSec無法被DoS攻擊
62.文件系統是一種數據鏈表,用來描述磁盤上的信息結構,並支持磁盤文件的取出和寫回,在安裝系統之前總是會先將存儲盤格式化成某種文件系統格式
63.Linux系統啓動後運行的第一個進程是init,初始化進程,boot是在Linux啓動之前運行的進程,sysini進程和login進程是後續部分的進程
64.可執行文件(exe)不屬於Unix/Linux文件類型
65.在Windows系統中,查看當前已經啓動的服務列表的命令是net start
66.SQL命令中,刪除表的命令是DROP,刪除記錄的命令是delete,建立視圖的命令是CREATE view,更新記錄的命令是update
67.
68.ARP欺騙分爲兩種,一種是對路由器ARP表的欺騙,另一種是對內網PC的網關欺騙。路由器ARP欺騙的原理是截獲網關數據,第二種ARP欺騙的原理是僞造網關。網站掛馬,網站釣魚,社會工程都屬於誘騙式攻擊
69.SSO,Kerberos,SESAME都屬於分佈式訪問控制方法,RADIUS屬於集中式
70.Internet安全協議(IPsec)是由互聯網工程任務組提供的用於保障Internet安全通信的一系列規範。支持IPv4協議和IPv6協議
71.SSL協議爲應用層提供了加密,身份認證和完整性驗證的保護
72.網狀信任模型,層次信任模型,橋證書認證機構信任模型都屬於PKI信任模型。鏈狀信任模型不屬於PKI信任模型
73.特徵檢測又稱誤用檢測,主要有五種方法,基於專家系統,模型推薦,狀態轉換,條件概率,鍵盤監控
74.木馬不會刻意的去感染其他文件,不具備感染性
75.
76.動態污點分析,模糊測試,智能模糊測試都屬於軟件動態安全檢測技術。對源代碼的檢測,模型檢驗屬於軟件靜態安全檢測技術。詞法分析是計算機科學中將字符序列轉換爲單詞序列的過程
77.BitBlaze採用軟件動靜結合安全檢測技術
78.加殼欺騙不屬於惡意程序傳播方法
79.微軟公司漏洞分爲,第一級:緊急,第二級:重要,第三級:警告,第四級:注意
80.UAF(Use After Free)類漏洞,即引用了已經釋放的內存,例如,內存地址對象破壞性調用的漏洞