计算机等级考试信息安全技术三级题目集合
第一章 信息安全保障概述
1.什么是信息?试比较分析书中有关信息的各种定义。
2.简单描述信息技术发展的各个阶段。
3.信息技术对社会和个人有哪些影响?
4.试说明信息安全发展的各个阶段。
5.信息安全保障的含义是什么?
6.信息安全的基本属性有哪此?
7.信息安全问题产生的根源是什么?
8.简述信息安全的地位和作用。
9.试着阐述信息安全保障框架体系。
10. 简述P2DR模型并用公式表示之。
11. IATF的核心思想是什么?试描述纵深防御战略的主要内容。
12. IATF的4个技术框架的焦点域分别是什么?
13. 信息安全保障工作基本内容有哪些?
14.简述信息安全测评的流程。
15.简述信息监控的流程。
16.我国信息安全方面的主要法律法规有哪些?
17.简述常用的信息安全技术。
第二章 信息安全基础技术与管理
1.简述密码体制的构成
2. 简述分组密码与序列密码的区别。
3.简述对称密码和非对称密码体制的区别。
4. 简述分组密码的工作模式。
5.什么是乘积密码。它的主要作用是什么?简述DES和AES所使用的两类乘积密码。
6.简述AES 、IDEA两种典型对称加密算法的工作原理,简述RSA算法的原理以及参数选择,简述ECC所依赖的数学难题。
7.设通信双方使用RSA加密体制,接收方的公开钥是(e,n)=(5.35) ,接收到的密文是c=10.求明文m。
8.什么是哈希函数?对哈希函数的基本要求和安全性要求分别是什么?
9.简述SHA3的工作原理。
10.简述数字签名的作用及数字签名体制的两个过程。数字签名要预先使用单向哈希函数进行处理的原因是什么?
11.简述在公钥体制下利用Diffie Hellman方法产生共享密钥的方法。
12.简述密钥分配的分类及各自的工作原理。
13. 什么是消息认证?为什么要进行消息认证?
14. 消息认证的方法有哪些?为什么人们一 直用哈希函数而不是用对称密码来构造消息认证呢?
15. 简述基于DES的清息认证码的生成算法。
16. 简述身份认证的协议。
17.描述使用DES算法实现一次性口令的算法。
18. 描述基于公钥密码的单向和双向身份认证的过程。
19.简述数字签名的产生和验证过程。
20.举例说明访问控制中主体和客体,简述访问控制模型的分类及其优缺点。
21. 举例说明访问能力表和访问控制表的应用。
22.简述Bl-LaPadaa模型和0 Biba模型的工作原理和区别。
23简述RADLIS协议,TACACS协议以及Damne协议的区别。
24.简述单点登录机制及其实现原理。
23. 简达审计和监控的作用及审计系统的组成。
26.简述恶意行为审计与监控的实现方法及网络信息内容审计的方法。
第三章 系统安全
1. CPU的两种模式是什么?如何切换模式?操作系统如何利用CPU模式和保护环来实现安全防护?
2.简述系统调用的实现。
3.进程管理如何实现的?
4.简述UNIX系统的守护进程。
5.UNIX系统基于访问权限的文件保护是如何工作的?为了实现该策略共需要多少个访同权限位?为什么
6.UNIX系统Passwd文件的作用是什么?如何删除一个用户?如何更改一个用户的口令?
7. UNIX/Linux 系统中,服务的启动方式和禁用方式是什么?
8.简述UNIX系统的审计工具及其机制。
9.简述Windows操作系统的系统架构和关键系统组件。
10.筒述Windows操作系统进程安全管理的方法。
11.简述Windows操作系统的启动过程。
12.某公司的一个部门需要设置一个Windows操作系统的共享文件夹.要求全公司都能读取该文件夹中的文件,但是不能对文件夹的内容进行任何修改或向这个共享文件夹中添加新的文件或文件夹。只有本部门的成员才能具有对该文件夹内容进行修改的访问权限。为Everyone Group组设置该文件夹权限以实现这个目标的最好策略是什么?
13.什么是可信计算?其基本思想是什么?
14.简述可信计算组织的可信平台模块与中国可信密码模块的结构及优缺点。
15. 什么是数据库的安全性?实现数据库安全性控制的常用方法和技术有哪些?
16.什么是数据库角色?如何利用数据库角色对用户授权?
17.什么是数据库审计?如何设置和取消审计功能?
18.视图机制有尽些优点?
19.数据库完整性约束条件可以分为哪几类?
20.设有如下两个关系模式:
职工(职工号,名称、年龄、职务,工资部门号),其中职工号为主键。
部门(部门号,名称,经理名,电话),其中部门号为主键。
试用S0L语言定义这两个关系模式要求在模式中完成以下完整性约束条件的定义:
(1)定义每个模式的主键。
(2)定义参照完整性。
(3)定义职工年龄不得超过60岁。
21.今有两个关系模式:
职工(职工号,姓名,年龄,职务,工资,部门号),部门(部门号,名称,经理名,地址,电话)。
请用SQL的GRANT和REVOKE语句加上视图机制,完成以下投权定义或存取控制功能。
(1)用户王明对两个表有SELECT权力。
(2)用户李勇对两个表有INSERT和DELETE权力。
(3)用户刘星对职工表有SELECT权力,对工资字段具有更新权力。
(4)用户张新具有修改两个表的结构的权力。
(5)用户王明对两个表有的所有权力(读写、修改、删除数据) ,并具有给其他用户提权的权力。
(6)用户杨兰具有查找每个部门职工中的最高工资、最低工资、平均工资的权力,但她不能查看每个人的工资。
22.简述数据库安全防护的3个阶段。
23.试述数据库安全检测的3个层次及其内容。
24.说明事务处理中可以回退和不可以回退的语句各有哪些?
25.试述数据库中的访问控制机制。
第四章 网络安全
1.简述TCP/IP协议架构的层次结构和各层包含的主要协议。
2.简述ARP协议欺骗的原理。
3.简述ICMP协议的功能。
4.简述TCP协议的3次握手过程。
5.说明TCP全连接扫描.TCP SYN扫描和TCP FIN扫描的原理和不同之处
6.简述网络漏洞扫描和主机漏洞扫描的区别。
7.介绍基于DNS服务器的欺骗技术原理。
8.说明网站挂马的概念及原理。
9.说明DoS攻击的3种实现方式。
10.介绍SYN- Flood攻击的原理。
11.介绍ACK-Flood攻击的原理。
12.介绍应用层脚本洪水攻击的原理。
13. 举例说明SQL注人的原理。
14.举例说明跨站脚本攻击的原理。
15.解释说明跨站点请求伪造攻击的概念及原理。
16.解释说明木马的端口反弹技术。
17.说明防火墙的NAT原理。
18.说明防火墙的包过滤技术和动态检测技术的区别。
19.说明入侵检测系统和人侵防御系统功能的区别。
20.说明防火墙和人侵防御系统功能的区别。
21.介绍PKI中基于数字证书的信任链传递关系原理。
22.介绍SSL协议的连接过程。
第五章 应用安全
1.简述软件漏洞概念中包含的3个要素。
2.简述软件漏洞的四个特点。
3.按照软件漏洞被攻击者利用的地点进行分类,软件漏洞可以分为哪几类?
4.根据漏洞生命周期不同阶段进行划分,软件漏洞可以分为哪几类?
5.简述软件漏洞危险等级的划分。
6.简单说明国内外知名漏洞库及其包含洞洞信息的特点。
7.介绍缓冲区溢出的概念。
8.说明操作系统的内存管理机制。
9.介绍堆溢出和根溢出的原理。
10.介绍格式化字符串漏洞,整数溢出滑洞的原理。
11.介绍数组越界漏洞、写污点值到污点地址漏洞,以及内存地址对象破坏性调用漏洞的原理。
12.介绍漏洞利用的概念和shellcode的编写方法。
13. 针对静态的shellcode地址、动态变化的shellcode地址分别说明其漏洞利用技术的原理
14.说明针对堆漏洞的Heap Spray漏洞利用技术。
15.说明微软操作系统中几种常用的漏洞防护技术。
16. 说明软件开发生命周期的概念和阶段划分。
17.介绍软件开发生命周期的几种模型。
18.说明微软公司采用的软件安全开发生命周期模型12个阶段的内容。
19.说明主要的软件静态和动态安全检测技术。
20.详细介绍基于软件技术的软件安全保护技术。
21.说明恶意程序主要的传播技术。
22.说明恶意程序的4种检测技术。
23.介绍10种常见的Web安全威胁手段。
第六章 信息安全管理
一.填空题
1.信息安全的一个重要原则是
2.信息安全的3个基本属性是
3. 风险评估的结果可以用许多方式来提交,主要包括
4. 信息安全管理中的风险计算公式为
5. 进行信息安全风险评估的3种方法为
6. 在信息安全管理措施中,事故相应的4个阶段分别为
二、简答题
1.简述如何确定一个信息系统的安全保护等级。
2. 简述信息安全发展过程中所历经的3个主要阶段以及它们各自的特点。
3.在信息安全管理体系中.组织机构满足哪些基本条件之后可以向被认可的认证机构提出认证申请?
4.简述自评估和检查评估的区别及优缺点。
5. 信息安全风险包括哪些方面?
6. 如何理解信息安全管理中的业务持续性管理与灾难恢复?
7.访问控制有哪几类?
8.如何确定安全策略是否达到组织机构所需的安全目标?
9,在制定业务持续性计划时.要采取哪些策略?
10.简述信息系统开发和实施的安全原则。
11.我国信息安全事件分级分类方法有哪些?
12.应急计划小组的成员可由哪些人员组成?
13 组织机构需求信息安全管理体系认证的目的有哪些?
14.具有什么特征的攻击才能被界定为事故?
15.工作人员上岗前,在岗期间以及离职时人员安全的控制措施分别有哪些?
16.风险评估中,风险值由哪些因素决定?请写出计算公式
17.为保证网络通信线路的安全,应注意哪几个方面?
18.信息安全管理的管理认证的依据以及范围,申请认证的基本条件有哪些?
19. 系统运行阶段的维护活动通常有哪几类?
20简述影响维护代价的技术因素和非技术因素。
第七章 信息安全标准与法规
一、填空题
1信息技术安全评价的通用标准(CC)是由 6个国家于1996 年联合提出的。
2. CC将评估过程划分为 和 两个部分.
3. CC评估等级每级均需评估7 个功能类,分别是
4. 信息安全管理基本技术要求从 五个层面提出
5.信息安全管理基本管理要求从五个方面提出。
6.与信息安全标准化有关的主要国际化组织有_ 等。
7.与信息安全相关的法律条文有_ _等。
8. CNITSEC 是 的简称。
9. ISO50133标准首次给出了关于IT安全的_6个方面的含义。
10. 《计算机信息系统安全保护等级划分准则》将信息系统安全分为__ 5个等级。
11.《信息系统安全保护等级划分准则》中提出了定级的四个要素:
12. 国家秘密的保密期限,除另有规定外,绝密级不超过___ 机密级不超过_____ 秘密级不超过
13.称持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人为
14.信息系统的安全保护等级由_____ 和__ _ _两个定级要素决定。
15.商用密码技术属于国家秘密。国家对商用密码产品的 实行专控管理。
16.《计算机信息系统安全保护等级划分准则》主要的安全考核指标有 等。
17.涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照 三级的不同要求。
二、简答题
1.加强信息安全保障工作的主要原则包括那些?
2.信息系统的安全保护等级分为哪五级?
3.国家秘密的密级分为哪三级?各级简要描述是什么?
4.加强政府信息系统安全和保密管理工作应坚持的四项基本要求是什么?
5. 法律意义上电子签名视为可靠需同时符合哪些条件?
6.审查数据电文作为证据的真实性应当考虑什么因素
7.简述《信息技术安全性评估准则》(CC)所确定的标准的优点。
8.销售商用密码产品应当向国家密码管理机构提出申请,并应该具备什么条件?
9.我国网络空间安全战略的目标是什么?