计算机系统安全复习()
2020-03-03 06:56:26 来源:范文大全收藏下载本文
计算机系统安全复习
一、判断题
1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2.计算机场地可以选择在公共区域人流量比较大的地方。× 3.计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 4.机房供电线路和动力、照明用电可以用同一线路。×
5.只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 6.备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√
7.屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。√
8.屏蔽室的拼接、焊接工艺对电磁防护没有影响。×
9.由于传输的内容不同,电力线可以与网络线同槽铺设。×
10.接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√
11.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器 件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√
12.机房内的环境对粉尘含量没有要求。×
13.防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√
14.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 15.纸介质资料废弃应用碎纸机粉碎或焚毁。√
16.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 17.容灾就是数据备份。×
18.数据越重要,容灾等级越高。√
19.容灾项目的实施过程是周而复始的。√
20.如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。×
21.廉价磁盘冗余阵列 (RAID), 基本思想就是将多只容量较小的、相对廉价的硬盘进行有机组合,使其性能超过一只昂贵的大硬盘。√
22.Windows 系统中,系统中的用户帐号可以由任意系统用户建立。用户帐号中包含着用户的名称与密码、用户所属的组、用户的权利和用户的权限等相关数据。×
23.Windows 系统的用户帐号有两种基本类型 : 全局帐号 (Global Accounts) 和本地帐号(local Accounts) √
24.本地用户组中的 Guests-( 来宾用户 ) 组成员可以登录和运行应用程序,也可以关闭操作系统,但是其功能比 Users 有更多的限制。√
25.域帐号的名称在域中必须是唯一的,而且也不能和本地帐号名称相同,否则会引起混乱。×
26.全局组是由本域的域用户组成的,不能包含任何组,也不能包含其他域的用户,全局组能在域中任何一台机器上创建。×
27.对于注册表的访问许可是将访问权限赋予计算机系统的用户组,如 Administrator、Users、Creator/Owner 组等。√
1 28.每个 UNIX/Linux 系统中都只有一个特权用户,就是 root 帐号。×
29.标准的 UNIX/Linux 系统以属主、属组、其他人三个粒度进行控制。特权用户不受这种访问控制的限制。√ 30.UNIX/Linux 系统中,设置文件许可位以使得文件的所有者比其他用户拥有更少的权限是不可能的。×
31.UNIX/Linux 系统和 Windows 系统类似,每一个系统用户都有一个主目录。√
32.数据库系统是一种封闭的系统,其中的数据无法由多个用户共享。× 33.数据库安全只依靠技术即可保障。×
34.数据库的强身份认证与强制访问控制是同一概念。×
35.用户对他自己拥有的数据,不需要有指定的授权动作就拥有全权管理和操作的权限。√
37.数据库加密适宜采用公开密钥密码系统。√
38.数据库加密的时候,可以将关系运算的比较字段加密。× 39.数据库管理员拥有数据库的一切权限。√
40.不需要对数据库应用程序的开发者制定安全策略。× 41.SQL 注入攻击不会威胁到操作系统的安全。× 42.完全备份就是对全部数据库数据进行备份。√
二、单选题
1.网络安全是在分布网络环境中对(D)提供安全保护。
A.信息载体
B.信息的处理、传输
C.信息的存储、访问
D.上面3项都是 2.ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B)。
A.身份鉴别
B.数据报过滤
C.授权控制
D.数据完整性 3.ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A)。
A.安全标记机制
B.加密机制
C.数字签名机制
D.访问控制机制 4.用于实现身份鉴别的安全机制是(A)。
A.加密机制和数字签名机制
B.加密机制和访问控制机制
C.数字签名机制和路由控制机制
D.访问控制机制和路由控制机制
5.在ISO/OSI定义的安全体系结构中,没有规定(E)。
A.对象认证服务
B.数据保密性安全服务
C.访问控制安全服务
D.数据完整性安全服务
E.数据可用性安全服务
6.ISO定义的安全体系结构中包含(B)种安全服务。
A.4
B.5
C.6
D.7 7.(D)不属于ISO/OSI安全体系结构的安全机制。
A.通信业务填充机制
B.访问控制机制
C.数字签名机制
D.审计机制
8.ISO安全体系结构中的对象认证服务,使用(B)完成。
A.加密机制
B.数字签名机制
C.访问控制机制
D.数据完整性机制 9.CA属于ISO安全体系结构中定义的(D)。
A.认证交换机制
B.通信业务填充机制
C.路由控制机制
D.公证机制 10.数据保密性安全服务的基础是(D)。
A.数据完整性机制
B.数字签名机制
C.访问控制机制
D.加密机制 11.可以被数据完整性机制防止的攻击方式是(D)。
A.假冒源地址或用户的地址欺骗攻击
B.抵赖做过信息的递交行为
C.数据中途被攻击者窃听获取
D.数据在途中被攻击者篡改或破坏 12.SSL产生会话密钥的方式是(C)。
A.从密钥管理数据库中请求获得
B.每一台客户机分配一个密钥的方式
C.随机由客户机产生并加密后通知服务器
D.由服务器产生并分配给客户机 13 (C)属于Web中使用的安全协议。
A.PEM、SSL
B.S-HTTP、S/MIME
C.SSL、S-HTTP
D.S/MIME、SSL 15.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是 (B) A.身份鉴别是授权控制的基础
B.身份鉴别一般不用提供双向的认证
C.目前一般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 16.PKI支持的服务不包括(D)。
A.非对称密钥技术及证书管理
B.目录服务 C.对称密钥的产生和分发
D.访问控制服务 19.会话侦听与劫持技术属于(B)技术
A密码分析还原
B协议漏洞渗透
C应用漏洞分析与渗透
D DOS攻击
20.PKI的主要组成不包括(B)
A CA
B SSL
C RA
D CR 22.社会工程学常被黑客用于(踩点阶段信息收集A)
A 口令获取
B ARP
C TCP
D DDOS 23,windows中强制终止进程的命令是(C)
A Tasklist
B Netsat C Taskkill
D Netshare 24.现代病毒木马融合了(D)新技术
A 进程注入
B注册表隐藏
C漏洞扫描
D都是 25.溢出攻击的核心是(A)
A 修改堆栈记录中进程的返回地址
B利用Shellcode
C 提升用户进程
3 权限
D 捕捉程序漏洞
26.在被屏蔽的主机体系中,堡垒主机位于(A)中,所有的外部连接都经过滤路由器到它上面去。
A 内部网络
B周边网络 C外部网络
D自由连接 27.外部数据包经过过滤路由只能阻止(D)唯一的IP欺骗
A 内部主机伪装成外部主机IP
B内部主机伪装成内部主机IP C外部主机伪装成外部主机IP
D外部主机伪装成内部主机IP 28.ICMP数据包的过滤主要基于(D)
A目标端口
B 源端口
C消息源代码
D协议prot
31.数字签名要预先使用单向Hash函数进行处理的原因是(C)。
A.多一道加密工序使密文更难破译
B.提高密文的计算速度
C.缩小签名密文的长度,加快数字签名和验证签名的运算速度
D.保证密文能正确还原成明文
34.PKI管理对象不包括(A)。
A.ID和口令
B.证书
C.密钥
D.证书撤消 35.下面不属于PKI组成部分的是(D)。
A.证书主体
B.使用证书的应用和系统
C.证书权威机构
D.AS 37.以下关于等级保护的地位和作用的说法中不正确的是(C) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。
D.是促进信息化、维护国家信息安全的根本保障。
38.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。
D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 39.安全建设整改的目的是(D)
(1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部
40.物理安全的管理应做到(D)
A.所有相关人员都必须进行相应的培训,明确个人工作职责
B.制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C.在重要场所的迸出口安装监视器,并对进出情况进行录像 D.以上均正确
4 41.信息安全的基本属性是(D)。
A.机密性
B.可用性
C.完整性
D.上面3项都是
42.“会话侦听和劫持技术”是属于(B)的技术。
A.密码分析还原
B.协议漏洞渗透
C.应用漏洞分析与渗透
D.DOS攻击 43.对攻击可能性的分析在很大程度上带有(B)。
A.客观性
B.主观性
C.盲目性
D.上面3项都不是
44.从安全属性对各种网络攻击进行分类,阻断攻击是针对(B)的攻击。
A.机密性
B.可用性
C.完整性
D.真实性
45.从安全属性对各种网络攻击进行分类,截获攻击是针对(A)的攻击。
A.机密性
B.可用性
C.完整性
D.真实性 46.从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。
A.阻止,检测,阻止,检测
B.检测,阻止,检测,阻止
C.检测,阻止,阻止,检测
D.上面3项都不是
47.窃听是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接收站之间。截获是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接受站之间。
A.被动,无须,主动,必须
B.主动,必须,被动,无须
C.主动,无须,被动,必须
D.被动,必须,主动,无须
48.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(D)。
A. 中间人攻击
B. 口令猜测器和字典攻击 C. 强力攻击
D. 回放攻击
49.机密性服务提供信息的保密,机密性服务包括(D)。
A.文件机密性
B.信息传输机密性
C.通信流的机密性
D.以上3项都是 50.最新的研究和统计表明,安全攻击主要来自(B)。
A. 接入网
B. 企业内部网
C. 公用IP网
D. 个人网 简答题:
1.Windows 操作系统的安全特点是什么?
在Windows中所有的对象都有一个安全标示符,安全性标识符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性,所有的命名对象、进程和线程都有与之关联的安全描述。Windows安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例。
2.计算机取证的需要遵循的主要原则是什么?
5 答:计算机取证的主要原则有:尽早搜集证据,并保证其没有受到任何破坏;必须保证“证据连续性”即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。
3.什么是网络隔离?其关键点是什么?
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如TCP/IP网络)的直接连接断开,通过不可路由的协议(如:IPX/SPX、NetBEUI等)和专用隔离硬件进行数据交换而达到隔离目的,保护内部网络的安全和信息不致外泄。
网络隔离的关键点在于任何时刻在保护网络和外部网络之间都不存在直接的物理连接,它是目前能够提供最高安全级别的安全技术。对于需要绝对安全的保密网、专网等网络与互联网连接时,几乎全部采用网络隔离技术 4.访问控制有几种常用的实现方法?它们各有什么特点?
(1)访问控制矩阵: 行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限。通常一个文件的Own权限表示可以授予(Authorize)或撤消(Revoke)其他用户对该文件的访问控制权限。 (2)访问能力表: 实际的系统中虽然可能有很多的主体与客体,但两者之间的权限关系可能并不多。为了减轻系统的开销与浪费,我们可以从主体(行)出发,表达矩阵某一行的信息,这就是访问能力表(Capabilities)。(3)只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。但是要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,于是出现了以客体为出发点的实现方式——ACL。
(3)访问控制表 也可以从客体(列)出发,表达矩阵某一列的信息,这就是访问控制表(Acce Control List)。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权。
(4) 授权关系表: 授权关系表(Authorization Relations)的每一行表示了主体和客体的一个授权关系。对表按客体进行排序,可以得到访问控制表的优势;对表按主体进行排序,可以得到访问能力表的优势。适合采用关系数据库来实现。 5.有哪几种访问控制策略?
三种不同的访问控制策略:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC),前两种属于传统的访问控制策略,而RBAC是90年代后期出现的,有很大的优势,所以发展很快。
每种策略并非是绝对互斥的,我们可以把几种策略综合起来应用从而获得更好、更安全的系统保护——多重的访问控制策略。 6.简述认证机构的严格层次结构模型的性质?
6 层次结构中的所有实体都信任惟一的根CA。在认证机构的严格层次结构中,每个实体(包括中介CA和终端实体)都必须拥有根CA的公钥,该公钥的安装是在这个模型中为随后进行的所有通信进行证书处理的基础,因此,它必须通过一种安全(带外)的方式来完成。
值得注意的是,在一个多层的严格层次结构中.终端实体直接被其上层的CA认证(也就是颁发证书),但是它们的信任锚是另一个不同的CA (根CA)。
7.可信计算平台的工作原理是什么?
答:可信计算平台的工作原理是将BIOS引导块作为完整性测量的信任的根,可信计算模块TPM作为完整性报告的信任的根,对BIOS、操作系统进行完整性测量,保证计算环境的可信性。信任链通过构建一个信任根,从信任根开始到硬件平台、到操作系统、再到应用,一级测量认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统。其中信任根的可信性由物理安全和管理安全确保。
8.利用智能卡进行的双因素的认证方式的原理是什么?
智能卡具有硬件加密功能,有较高的安全性。每个用户持有一张智能卡,智能卡存储用户个性化的秘密信息,同时在验证服务器中也存放该秘密信息。进行认证时,用户输入PIN(个人身份识别码),智能卡认证PIN,成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机之间进行认证。双因素的认证方式(PIN+智能卡),即使PIN或智能卡被窃取,用户仍不会被冒充。智能卡提供硬件保护措施和加密算法,可以利用这些功能加强安全性能。 9.数字证书的原理是什么?
数字证书采用公开密钥体制(例如RSA)。每个用户设定一仅为本人所知的私有密钥,用它进行解密和签名;同时设定一公开密钥,为一组用户所共享,用于加密和验证签名。
采用数字证书,能够确认以下两点:
(1) 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。 (2) 保证信
四、综述题
1.根据所学知识,试述在以后的工作岗位上,在软件工程的各个阶段应采取哪些安全措施?
答:(1)需求分析阶段:详细说明安全与保密要求;把安全保密分配到处理流程中;确定用户数据的敏感等级;确定安全计划,建立安全模型。
(2)设计与验证阶段:验证安全模型的正确性;设计整体安全机制和安全方案;把安全要求分解到相关模块中;把对数据的安全要求体现在安全数据库的设计中。
7 (3)编程控制阶段:按要求实现各模块的安全功能;组织独立人员审查模块代码;(仔细阅读源程序)保护源代码不与无关人员接触。 (4) 测试控制阶段:测试各模块安全功能,最好通过第三方独立测试;根据安全要求综合测试程序与运行环境;组织安全专业人员进行攻击性测试。 (5)运行维护管理阶段:成立软件配置管理机构对提交运行的软件,对其任何修改必须得到批准;对修改后的源程序需要再审查;
由配置管理机构自己对源代码编译生成目标代码,防止引入不安全功能。 (6)行政管理控制阶段:首先指定程序开发标准,包括 设计标准、文件、语言和编码风格的标准、编程标准、测试标准、配置管理标准等,然后实施程序开发标准,遵循程序开发标准有利于项目的持续进行,即使项目中途换人,也不影响项目按标准完成。对开发安全软件的公司需要进行安全审计。由一个独立的安全评价小组以不声张的方式检查每一个项目。注意要责任分开:模块化编程和设计迫使程序员取得非法的程序结果必须合谋,由独立测试小组而不是由编写这段程序的程序员对模块进行测试,这些分离措施可以使程序具有更高的安全性。对职员的管理:招收雇员时需要调查其背景,在公司对他取得信任之前,应限制其访问权限。为了安全上的原因公司还应该要求其遵守一般的行为准则。
2.可信计算平台的可信机制通过哪三个方面来体现?简述这三方面的作用? (1)用户的身份认证,这是对使用者的信任。传统的方法是依赖操作系统提供的用户登录,这种方法具有两个致命的弱点,一是用户名称和密码容易仿冒,二是无法控制操作系统启动之前的软件装载操作,所以被认为是不够安全的。而可信计算平台对用户的鉴别则是与硬件中的BIOS相结合,通过BIOS提取用户的身份信息,如IC卡或USB KEY中的认证信息进行验证,从而让用户身份认证不再依赖操作系统,并且用户身份信息的假冒更加困难。
(2)可信计算平台内部各元素之间的互相认证,这体现了使用者对平台运行环境的信任。系统的启动从一个可信任源(通常是BIOS的部分或全部)开始,依次将验证BIOS、操作系统装载模块、操作系统等,从而保证可信计算平台启动链中的软件未被篡改。
(3)平台之间的可验证性,指网络环境下平台之间的相互信任。可信计算平台具备在网络上的唯一的身份标识。现有的计算机在网络上是依靠不固定的也不唯一的IP 地址进行活动,导致网络黑客泛滥和用户信用不足。而具备由权威机构颁发的唯一的身份证书的可信计算平台则可以准确地提供自己的身份证明,从而为电子商务之类的系统应用奠定信用基础。
人人范文网 m.inrrp.com.cn 手机版