信息安全技术题库及答案.docx

1、信息安全技术题库及答案信息安全技术题库及答案一、判断题1.OSI 安全框架是对 OSI 安全体系结构的扩展。（对）2.OSI 安全框架目标是解决“开放系统”中的安全服务。 （对）3.OSI 安全框架中的安全审计框架目的在于测试系统控制是否充分（对）4.OSI 安全框架中的安全审计框架描述了如何通过访问控制等方法来保护敏感数据，提出了机密性机制的分类方法，并阐述了与其他安全服务和机制的相互关系（错）5.访问控制的一个作用是保护敏感信息不经过有风险的环境传送 （对）6.数据机密性就是保护信息不被泄漏或者不暴露给那些XX的实体（对）7.数据机密性服务可分为两种：数据的机密性服务和业务流机密性服务。前

2、者使 得攻击者无法通过观察网络中的业务流获得有用的敏感信息；后者使得攻击者无法从 获得的数据中获知有用的敏感信息。 （错）8.密码技术是信息安全的核心技术和支撑性基础技术，是保护信息安全的主要手 段之一（对）9.密码技术是信息安全的核心技术和支撑性基础技术，是保护信息安全的唯一手 段（错）10.在实践中，访问控制功能只能由某一特定模块完成 （错）11.访问控制机制介于用户 （ 或者用户的某个进程 ）与系统资源 （包括应用程序、操作 系统、防火墙、路由器、文件以及数据库等 ） 之间。 （对）12.访问控制的作用只能防止部分实体以任何形式对任何资源进行非授权的访（错）13.侧信道技术指利用密码设备

3、在密码算法执行过程中产生的其他信息，如能量消 耗变化、电磁辐射变化等非通信信道物理信息分析的硬件安全技术，主要分为能量分 析、计时分析、错误注入和电磁泄漏等几大类攻击技术 （对）14.物理与硬件安全是相对于物理破坏而言的 （对）15.网络安全技术主要包括网络攻击技术和网络防御技术对）16.网络安全技术只包括网络防御技术 （错）17.网络安全技术为网络提供了安全，同时实现了对网络中操作的监管。（对）18.任何信息网络存在的目的都是为某些对象提供服务，我们常常把这些服务称为 应用。（对）19.应用安全技术是指以保护特定应用为目的的安全技术 （对）20.鉴别提供了关于某个实体 （ 如人、机器、程序、

4、进程等 ） 身份的保证，为通信中 的对等实体和数据来源提供证明。 （对）21.数据完整性，是指保证数据在传输过程中没有被修改、插入或者删除。数据完 整性服务就是通过技术手段保证数据的完整性可验证、可发现。 （对）22.数据完整性是指保证数据在传输过程中没有被修改、插入或者删除。（对）23.安全服务必须依赖安全机制来实现， OSI 安全体系结构中提出的安全机制中， 数字签名和非否认服务无关 （错）24.OSI 安全体系结构中提出的安全服务中，非否认服务的目的是在一定程度上杜 绝通信各方之间存在相互欺骗行为，通过提供证据来防止这样的行为 （对）25.OSI 安全体系结构中提出的安全机制中，加密能够

5、实现数据机密性服务，同时 也能提供对业务流的保密，并且还能作为其他安全机制的补充。 （对）26.OSI 安全体系结构中提出的八大安全机制之一的认证交换没有利用密码技（错）27.数据机密性就是保护信息不被泄漏或者不暴露给那些XX的实体。（对）28.OSI 安全体系结构中提出的安全机制中，认证服务的核心不是密码技术（错）29.除了 OSI 安全体系结构中提出的安全机制之外，还有五种普遍采用的安全机制， 它们是可信功能模块 （ 可信软硬件系统部件 ）、安全标记、事件检测、安全审计跟踪以 及安全恢复。（对）30.不可以使用数字签名机制来实现对等实体认证安全服务 （错）31.OSI 安全体系结构的一个非

6、常重要的贡献是实现了安全服务与网络层次之间的 对应关系，传输层可提供认证、访问控制和部分数据机密性及完整性安全服务。（对）32.在各个网络层次中，应用层不可以提供安全服务 （错）33.错）物理层之上能提供完整的业务流机密性安全服务34.系统安全是对于各种软件系统而言的，一个只有硬件的计算机是不能直接使用 的，它需要各种软件系统来支持。 （对）35.信息网络还有一个共有的特性数据，数据可以是信息处理的对象、信息处 理的结果，也可以是信息处理产生的命令。 （对）36.系统安全技术是信息安全技术体系结构之一，系统安全技术就是数据库系统安 全技术（错）37.密码体制是密码技术中最为核心的一个概念 （对

7、）38.密码体制被定义为两对数据变换 （错）39.公钥密码体制有两种基本的模型：一种是加密模型；另一种是认证模型 （对）40.现有的加密体制分成对称密码体制是和非对称密码体制 （对）41.对称密码体制的特征是加密密钥和解密密钥完全相同 （对）42.为了安全，对称密码体制完全依赖于以下事实：在信息传送之前，信息的发送 者和授权接受者共享一些秘密信息 （密钥 ） 。 （对）43.密码学新方向一文中首次提出了非对称密码体制的假想 （对）44.RSA 系统是当前最著名、应用最广泛的公钥系统，大多数使用公钥密码进行加密和数字签名的产品及标准使用的都是 RSA 算法 （对）45.公钥密码体制算法用一个密钥

8、进行加密，而用另一个不同但是有关的密钥进行 解密（对）46.加密模型中，通过一个包含各通信方的公钥的公开目录，任何一方都可以使用 这些密钥向另一方发送机密信息。 （对）47.对称密码的优势包括未知实体间通信容易和保密服务较强。 （错）48.公钥密码体制的密钥管理方便，密钥分发没有安全信道的限制，可以实现数字 签名和认证 （对）49.密码算法是用于加密和解密的数学函数，是密码协议安全的基础 （对）50.主流的对称密码算法主要有 DES（Data Encryption Standard） 算法， 3DES（Triple DES） 算法和 AES（Advanced Encryption Standa

9、rd） 算法 （对）51.非对称密码算法有 RSA 算法， DSA 算法和 ECC 算法 （对）52.密钥封装 （Key Wrap） 是一种密钥存储技术 （错）53.1975 年发布的 Diffie Hellman 密钥交换协议，可以在不安全的通信信道中进 行密钥交换 （对）54.如果密钥进行了更新，旧的密钥可以保留 （错）55.56.实现数据完整性必须满足两个要求：一是数据完整性应该能被消息的接收者所 验证；二是数据完整性应该与消息相关，即消息不同，所产生的附件数据也应该不同。 （对）基于 Hash 函数的 HMAC 方法可以用于数据完整性校验（对）57.利用带密钥的 Hash 函数实现数据

10、完整性保护的方法称为MD5 算法错）58.基于 Hash 的数字签名方法是目前常用的数字签名方法对）59.对称密码体制和公钥密码体制都可以用来实现数字签名。对）60.密码模块是硬件、软件、固件或其组合，它们实现了经过验证的安全功能，对）括密码算法和密钥生成等过程，并且在一定的密码系统边界之内实现。61.我国密码行业标准 GM/T 0028 2014 标准规定了三个要求递增的安全等（错）62.我国密码行业标准 GM/T 0028 2014 标准规定的安全要求涵盖了有关密码模 块的安全设计、实现、运行与废弃的安全元素 （域 ）。 （对）63.密码模块包括密码算法和密钥生成等过程 （对）64.量子密

11、码学使用量子力学属性来执行加密任务。 （对）65.国内提出的被动式监控方法，是对信源安全性方面的研究 （ 信源安全性属于量子密钥分配安全性 ），采用真随机数技术和信源监控技术，已经使用初步原理实验进行了 实现。（对）66.量子密码学将数据编码到量子的状态中，复制数据编码的量子态和读取数据的 编码将会改变量子的状态，使得通信双方可以发现数据被窃听 （对）67.量子密钥分配使得通信双方生成一个其他方不可获取的共享随机密钥，该密钥 可用于双方通信加密。 （对）69.访问控制机制介于用户 （ 或者用户的某个进程 ）与系统资源 （包括应用程序、操作 系统、防火墙、路由器、文件以及数据库等 ） 之间。 （

12、对）70.（ 如一个用户或者一个进程 ）访问控制实现了一个安全策略，该策略规定某个实例 可以访问哪些特定的系统资源，以及每个实例的权限类型。 （对）71.所有操作系统都应至少有一个基本的访问控制组件 （对）72.访问控制的基本要素包括主体、客体和控制策略 （错）73.访问控制策略一般分为自主访问控制和强制访问控制 （对）74.在访问控制的基本要素中，主体是指能够访问对象的实体。 （对）75.在访问控制的基本要素中，主体是指被访问的资源 （错）76.在访问控制的基本要素中，客体是一类实体，即被访问的资源。 （对）77.在访问控制的基本要素中，客体是指能够访问对象的实体 （错）78.访问控制策略决

13、定在哪些情况下、由什么主体发起、什么类型的访问是被允许 的，一般可以用一个授权数据库来实现。 （对）79.访问控制策略一般无法用一个授权数据库来实现。 （错）80.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的。（对）81.强制访问控制是基于对客体安全级别 （ 该级别标明客体的敏感度和关键性 ）与主 体安全级别 （ 该级别标明主体有资格访问哪些客体 ） 的比较来进行访问控制的。（对）82.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的。自主访问 控制的安全性相对较低 （对）83.自主访问控制是基于请求者的身份以及访问规则来进行访问控制的。自主访问 控制的安全性相对较高

14、（错）84.在自主访问控制中，主体有权对自身创建的客体 （ 文件、数据表等访问对象 ） 进 行访问， 并可将对这些客体的访问权限授予其他用户， 还可收回授予其他用户的访问 权限。（对）85.在自主访问控制中，每个主体对自己拥有的对客体的访问权限可以使用一维矩 阵或者权限列表来表示。 （对）86.使用一维矩阵表示访问控制时，会产生比较大的空间浪费对）87.在自主访问控制中，使用权限列表表示访问控制时，会产生比较大的空间浪费 因此一维矩阵成为访问控制的另一种表示方式 （错）88.基于角色的访问控制是基于主体在系统中承担的角色进行的访问控制（对）89.基于角色的访问控制从控制主体的角度出发，根据管理

15、中相对稳定的职权和责 任划分来分配不同的角色 （对）90.在基于角色的访问控制中，大多数情况下一个系统里的角色集合是相对静态的 （对）91.TCSEC 中,类 D 中的级别 D1 是最高安全级别，类 A 中的级别 A1 是最低安全级别（错）92.TCSEC 定义了七个等级 （D1 、C1、C2、B1、B2、B3、A1） （对）93.TCSEC 主要针对的是分时多用户操作系统 （对）94.TCSEC定义的七个等级（D1、C1、C2、B1、B2、B3、A1）可分为四个类别 （对）95.物理与硬件安全是运行于物理设备之上的系统安全的基础，分为环境安全和设 备安全。前者强调构成系统本身的各种部件，后者强调一个系统所处的外界环境（错）96.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。 （对）97.保障物理运行环境中设备的安全称为信息网络安全的最后一道防线。（错）98.物理安全，是指在物理介质层次上对存储和传输的网络信息的安全保护，也就 是保护计算机网络设备、设施、其他媒体免遭地震、水灾、火灾等事故以及人为导致 的破坏的过程。（对）99.计算机场地可以选择在公共区域人流量比较大的地方。 （错）100.计算机场地可以选择在化工厂生产车间附近。 （错）101.计算机机