上半年信息安全工程师(中级)上午选择+下午案例真题+答案解析(全国计算机软考).docx

    最新上半年信息安全工程师(中级)上午选择+下午案例真题+答案解析(全国计算机软考)    2018年上半年信息安全工程师真题+答案解析上午选择1、2016年11月7日,十二届全国人大常委会第二十四次会议以154票赞成,1票弃权,表决通过了《网络安全法》该法律由全国人民代表大会常务员会于2016年11月7日发布,自（）起施行A.2017年1月1日B.2017年6月1日C.2017年7月1日D.2017年10月1日答案：B《网络安全法》于2016年11月7日发布，自2017年6月1日起实施2、近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应用也得到了快速发展,我国国密标准中的标识密码算法是（）A.SM2B.SM3C.SM4D.SM9答案：DSM9标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等；SM9密码算法的密钥长度为256位，SM9密码算法的应用与管理不需要数字证书、证书库或密钥库.该算法于2015年发布为国家密码行业标准(GM/T0044-2016)3、《计算机信息系统安全保护等级划分准则》(GB17859-1999)中规定了计算机系统安全保护能力的五个等级，其中要求对所有主体和客体进行自主和强制访问控制的是（）。

A.用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级答案：C安全标记保护级主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制4、密码分析者针对加解密算法的数学基础和某些密码学特性,根据数学方法破译密码的攻击方式称为（）A.数学分析攻击B.差分分析攻击C.基于物理的攻击D.穷举攻击答案：A数学分析攻击是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码5、《网络安全法》明确了国家落实网络安全工作的职能部门和职责，其中明确规定由（）负责统筹协调网络安全工作和相关监督管理工作A.中央网络安全与信息化小组B.国务院C.国家网信部门D.国家公安部门答案：C国家网信部门负责统筹协调网络安全工作和相关监督管理工作国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定6、一个密码系统如果用E表示加密运算，D表小解密运算，M表示明文,C表示密文,则下面描述必然成立的是（）。

A.E(E(M))=CB.D(E(M))=MC.D(E(M))=CD.D(D(M))=M答案：B先对M进行E加密变换为密文，再进行D解密还原为明文M7、S/key口令是一种一次性口令生成方案，它可以对抗（）A.恶意代码攻击B.暴力分析攻击C.重放攻击D.协议分析攻击答案：C一次一密指在流密码当中使用与消息长度等长的随机密钥,密钥本身只使用一次重放攻击又称重播攻击或回放攻击，是指攻击者发送一个目的主机已接收过的包，特别是在认证的过程中，用于认证用户身份所接收的包，来达到欺骗系统的目的一次一密这样的密钥形式可以对抗重放攻击8、面向数据挖掘的隐私保护技术主要解高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护，从数据挖的角度,不属于隐私保护技术的是（）A.基于数据分析的隐私保护技术B.基于微据失真的隐私保护技术C.基于数据匿名化的隐私保护技术D.基于数据加密的隐私保护技术答案：A从数据挖掘的角度，目前的隐私保护技术主要可以分为三类：（1）基于数据失真的隐私保护技术；（2）基于数据加密的隐私保护技术；（3）基于数据匿名化的隐私保护技术9、从网络安全的角度看，以下原则中不属于网络安全防护体系在设计和实现时需要遵循的基本原则的是（）。

A.最小权限原则B.纵深防御原则C.安全性与代价平衡原则D.Kerckhoffs原则答案：D从网络安全角度看，网络安全防护系统的设计与实现应按照以下原则:最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则10、恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全成胁类型数据显示，目前安卓平台恶意软件主要有（）四种类型A.远程控制木马、话费吸取类、隐私窃取类和系统破坏类B.远程控制木马、话费吸取类、系统破坏类和硬件资源消耗类C.远程控制木马、话费吸取类、隐私窃取类和恶意推广D.远程控制木马、话费吸取类、系统破坏类和恶意推广答案：A恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全威胁类型智能终端操作系统的多任务特性，为恶意软件在后台运行提供了条件，而用户对恶意软件的运行毫不知情数据显示目前Android平台恶意软件主要有四种类型:远程控制木马、话费吸取类、隐私窃取类和系统破坏类11、以下关于认证技术的描述中，错误的是（）A.身份认证是用来对信息系统中实体的合法性进行验证的方法B.消息认证能够验证消息的完整性C.数字签名是十六进制的字符串D.指纹识别技术包括验证和识别两个部分答案：C数字签名与手写签名类似，只不过手写签名是模拟的，因人而异。

数字签名是0和1的数字串，因消息而异12、对信息进行均衡、全面的防护，提高整个系统“安全最低点”的全性能，这种安全原则被称为（）A.最小特权原则B.木桶原则C.等级化原则D.最小泄露原则答案：B“木桶原则”，即，对信息均衡、全面地进行保护木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件安全机制和安全服务设计的首要目的是防止最常用的攻击手段；根本目标是提高整个系统的“安全最低点”的安全性能整体性原则”，即，安全防护、监测和应急恢复没有百分之百的网络系统信息安全，因此要求在网络被攻击、破坏事件的情况下，必须尽可能快地恢复网络的服务，减少损失所以信息安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复机制安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度。

等级性”，即，安全层次和安全级别良好的信息安全系统必然是分为不同级别的，包括：对信息保密程度分级（绝密、机密、秘密、普密）；对用户操作权限分级（面向个人及面向群组），对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面的、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求动态化”原则，即，整个系统内尽可能引入更多的可变因素，并具有良好的扩展性被保护的信息的生存期越短、可变因素越多，系统的安全性能就越高安全系统要针对网络升级保留一定的冗余度，整个系统内尽可能引入更多的可变因素13、网络安全技术可以分为主动防御技术和被动防御技术两大类，以下属于主动防技术的是（）A.蜜罐技术B.入侵检测技术C.防火墙技术D.恶意代码扫描技术答案：A蜜罐(Honeypot)技术是一种主动防御技术，是入侵检测技术的一个重要发展方向蜜罐是一种在互联网上运行的计算机系统，是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的蜜罐系统是一个包含漏洞的诱骗系统，它通过摸拟一个或多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标。

14、如果未经授权的实体得到了数据的访问权，这属于破坏了信息的（）A.可用性B.完整性C.机密性D.可控性答案：C保密性是指网络信息不被泄露给非授权的用户、实体或过程，即信息只为授权用户使用15、按照密码系统对明文的处理方法,密码系统可以分为（）A.对称密码系统和公钥密码系统B.对称密码系统和非对称密码系统C.数据加密系统和数字签名系统D.分组密码系统和序列密码系统答案：D16、数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程,实现数字签名最常见的方法是（）A.数字证书和PKI系统相结合B.对称密码体制和MD5算法相结合C.公钥密码体制和单向安全Hash函数算法相结合D.公钥密码体制和对称密码体制相结合答案：C数字签名可以利用公钥密码体制、对称密码体制或者公证系统来实现最常见的的实现方法是建立在公钥密码体制和单向安全散列函数算法的组合基础之上17、以下选项中,不属于生物识别方法的是（）A.掌纹识别B.个人标记号识别C.人脸识别D.指纹识别答案：B对一个人进行识别时，主要个人特征认证技术有：指纹识别、声音识别、笔记识别、虹膜识别和手形等18、计算机取证是将计算机调查和分析技术应用于对潜在的,有法律效力的证据的确定与提取.以下关于计算机取证的描述中,错误的是（）。

A.计算机取证包括保护目标计算机系统、确定收集和保存电子证据,必须在开机的状态下进行B.计算机取证围绕电子证据进行,电子证据具有高科技性、无形性和易破坏性等特点C.计算机取证包括对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档D.计算机取证是一门在犯罪进行过程中或之后收集证据的技术答案：A计算机取证包括保护目标计算机系统、确定电子证据、收集电子证据和保存电子证据对现场计算机的部分通用处理原则有：已经开机的计算机不要关机，关机的计算机不要开机19、在缺省安装数据库管理系统MySQL后，root用户拥有所有权限且是空口令，为了安全起见，必须为root用户设置口令，以下口令设置方法中，不正确的是（）A.使用MySQL自带的命令mysqladmin设置root口令B.使用setpassword设置口令C.登录数据库,修改数据库mysql下user表的字段内容设置口令D.登录数据库,修改数据库mysql下的访问控制列表内容设置口令答案：D有3种方式为root账户指定密码：使用SET PASSWORD语句；使用mysqladmin命令行客户端程序；使用UPDATE语句，使用UPDATE直  -全文完-。