計算機三級信息安全歷年試卷一

時間 2020-06-14

標籤計算機三級信息安全歷年試卷欄目系統安全简体版

原文原文鏈接

1.信息技術的產生與發展，大體經歷的三個階段是（）。

A) 電訊技術的發明、計算機技術的發展和互聯網的使用linux

B) 電訊技術的發明、計算機技術的發展和雲計算的使用算法

C) 電訊技術的發明、計算機技術的發展和我的計算機的使用數據庫

D) 電訊技術的發明、計算機技術的發展和半導體技術的使用安全

A、服務器

信息技術的發展，大體分爲電訊技術的發明（19世紀30年代開始）、計算機技術的發展（20世紀50年代開始）和互聯網的使用（20世紀60年代開始）三個階段。故選擇A選項。網絡

2.P2DR模型是美國ISS公司提出的動態網絡安全體系的表明模型。在該模型的四個組成部分中，核心是（）。app

A) 策略框架

B) 防禦分佈式

C) 檢測函數

D) 響應

A、

P2DR模型包括四個主要部分：Policy(策略)、Protection(防禦)、Detection(檢測)和 Response(響應)，在總體的安全策略的控制和指導下，在綜合運用防禦工具(如防火牆、操做系統身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)瞭解和評估系統的安全狀態，經過適當的反應將系統調整到「最安全」和「風險最低」的狀態。防禦、檢測和響應組成了一個完整的、動態的安全循環，在安全策略的指導下保證信息系統的安全。故選擇A選項。

3.下列關於對稱密碼的描述中，錯誤的是（）。

A) 加解密處理速度快

B) 加解密使用的密鑰相同

C) 密鑰管理和分發簡單

D) 數字簽名困難

C、

對稱加密系統一般很是快速，卻易受攻擊，由於用於加密的密鑰必須與須要對消息進行解密的全部人一塊兒共享，同一個密鑰既用於加密也用於解密所涉及的文本，A、B正確；數字簽名是非對稱密鑰加密技術與數字摘要技術的綜合應用，在操做上會有必定的難度，故D正確。對稱加密最大的缺點在於其密鑰管理困難。故選擇C選項。

4.下列關於哈希函數的說法中，正確的是（）。

A) 哈希函數是一種雙向密碼體制

B) 哈希函數將任意長度的輸入通過變換後獲得相同長度的輸出

C) MD5算法首先將任意長度的消息填充爲512的倍數，而後進行處理

D) SHA算法要比MD5算法更快

C、

哈希函數將輸入資料輸出成較短的固定長度的輸出，這個過程是單向的，逆向操做難以完成，故A、B選項錯誤；MD5以512位分組來處理輸入的信息，且每一分組又被劃分爲16個32位子分組，通過了一系列的處理後，算法的輸出由四個32位分組組成，將這四個32位分組級聯後將生成一個128位散列值；SHA-1和MD5最大區別在於其摘要比MD5摘要長32bit，故耗時要更長，故D選項錯誤。故選擇C選項。

5.下列攻擊中，消息認證不能預防的是（）。

A) 假裝

B) 內容修改

C) 計時修改

D) 發送方否定

D、

消息認證是指經過對消息或者消息有關的信息進行加密或簽名變換進行的認證，目的是爲了防止傳輸和存儲的消息被有意無心的篡改，包括消息內容認證（即消息完整性認證）、消息的源和宿認證（即身份認證)、及消息的序號和操做時間認證等，可是發送方否定將沒法保證。故選擇D選項。

6.下列關於訪問控制主體和客體的說法中，錯誤的是（）。

A) 主體是一個主動的實體，它提供對客體中的對象或數據的訪問要求

B) 主體能夠是可以訪問信息的用戶、程序和進程

C) 客體是含有被訪問信息的被動實體

D) 一個對象或數據若是是主體，則其不多是客體

D、

主體是指提出訪問資源具體請求，是某一操做動做的發起者，但不必定是動做的執行者，多是某一用戶，也能夠是用戶啓動的進程、服務和設備等。客體是指被訪問資源的實體。全部能夠被操做的信息、資源、對象均可以是客體，客體能夠是信息、文件、記錄等集合體，也能夠是網絡上硬件設施、無限通訊中的終端，甚至能夠包含另一個客體。所以，能夠主體能夠是另一個客體。故選擇D選項。

7.同時具備強制訪問控制和自主訪問控制屬性的訪問控制模型是（）。

A) BLP

B) Biba

C) Chinese Wall

D) RBAC

C、

BLP模型基於強制訪問控制系統，以敏感度來劃分資源的安全級別。Biba訪問控制模型對數據提供了分級別的完整性保證，相似於BLP保密模型，也使用強制訪問控制系統。ChineseWall安全策略的基礎是客戶訪問的信息不會與目前他們可支配的信息產生衝突。用戶必須選擇一個他能夠訪問的區域，必須自動拒絕來自其它與用戶的所選區域的利益衝突區域的訪問，同時包括了強制訪問控制和自主訪問控制的屬性。RBAC模型是20世紀90年代研究出來的一種新模型。這種模型的基本概念是把許可權與角色聯繫在一塊兒，用戶經過充當合適角色的成員而得到該角色的許可權。故選擇C選項。

8.下列關於Diameter和RADIUS區別的描述中，錯誤的是（）。

A) RADIUS運行在UDP協議上，而且沒有定義重傳機制；而Diameter運行在可靠的傳輸協議TCP、SCTP之上

B) RADIUS支持認證和受權分離，重受權能夠隨時根據需求進行；Diameter中認證與受權必須成對出現

C) RADIUS固有的客戶端/服務器模式限制了它的進一步發展；Diameter採用了端到端模式，任何一端均可以發送消息以發起審計等功能或中斷鏈接

D) RADIUS協議不支持失敗恢復機制；而Diameter支持應用層確認，而且定義了失敗恢復算法和相關的狀態機，可以當即檢測出傳輸錯誤

B、

RADIUS運行在UDP協議上，而且沒有定義重傳機制，而Diameter運行在可靠的傳輸協議TCP、SCTP之上。Diameter 還支持窗口機制，每一個會話方能夠動態調整本身的接收窗口，以避免發送超出對方處理能力的請求。RADIUS協議不支持失敗恢復機制，而Diameter支持應用層確認，而且定義了失敗恢復算法和相關的狀態機，可以當即檢測出傳輸錯誤。RADIUS固有的C/S模式限制了它的進一步發展。Diameter採用了peer-to-peer模式，peer的任何一端均可以發送消息以發起計費等功能或中斷鏈接。Diameter還支持認證和受權分離，重受權能夠隨時根據需求進行。而RADIUS中認證與受權必須是成對出現的。故選擇B選項。

9.下列關於Diameter和RADIUS區別的描述中，錯誤的是（）。

A) RADIUS運行在UDP協議上，而且沒有定義重傳機制；而Diameter運行在可靠的傳輸協議TCP、SCTP之上

B) RADIUS支持認證和受權分離，重受權能夠隨時根據需求進行；Diameter中認證與受權必須成對出現

C) RADIUS固有的客戶端/服務器模式限制了它的進一步發展；Diameter採用了端到端模式，任何一端均可以發送消息以發起審計等功能或中斷鏈接

D) RADIUS協議不支持失敗恢復機制；而Diameter支持應用層確認，而且定義了失敗恢復算法和相關的狀態機，可以當即檢測出傳輸錯誤

B、

10.下列關於進程管理的說法中，錯誤的是（）。

A) 用於進程管理的定時器產生中斷，則系統暫停當前代碼執行，進入進程管理程序

B) 操做系統負責創建新進程，爲其分配資源，同步其通訊並確保安全

C) 進程與CPU的通訊是經過系統調用來完成的

D) 操做系統維護一個進程表，表中每一項表明一個進程

C、

進程與CPU的通訊是經過共享存儲器系統、消息傳遞系統、管道通訊來完成的。而不是經過系統調用來完成的。故選擇C選項。

11.下列關於守護進程的說法中，錯誤的是（）。

A) Unix/Linux系統大多數服務都是經過守護進程實現的

B) 守護進程經常在系統引導裝入時啓動，在系統關閉時終止

C) 守護進程不能完成系統任務

D) 若是想讓某個進程不由於用戶或終端或其它變化而受到影響，就必須把這個進程變成一個守護進程

C、

在linux或者unix操做系統中在系統的引導的時候會開啓不少服務，這些服務就叫作守護進程。爲了增長靈活性，root能夠選擇系統開啓的模式，這些模式叫作運行級別，每一種運行級別以必定的方式配置系統。守護進程是脫離於終端而且在後臺運行的進程。守護進程脫離於終端是爲了不進程在執行過程當中的信息在任何終端上顯示而且進程也不會被任何終端所產生的終端信息所打斷。守護進程經常在系統引導裝入時啓動，在系統關閉時終止。Linux系統有不少守護進程，大多數服務都是經過守護進程實現的，同時，守護進程還能完成許多系統任務，例如，做業規劃進程crond、打印進程lqd等，故選擇C選項。

12.在Unix系統中，改變文件分組的命令是（）。

A) chmod

B) chown

C) chgrp

D) who

C、

chmod：文件/目錄權限設置命令；chown：改變文件的擁有者；chgrp：變動文件與目錄的所屬羣組，設置方式採用羣組名稱或羣組識別碼皆可；who：顯示系統登錄者。故選擇C選項。

13.下列選項中，不屬於Windows環境子系統的是（）。

A) POSIX

B) OS/2

C) Win32

D) Win8

D、

Windows有3個環境子系統：Win3二、POSIX和OS/2；POSIX子系統，能夠在Windows下編譯運行使用了POSIX庫的程序，有了這個子系統，就能夠向Windows移植一些重要的UNIX/Linux應用。OS/2子系統的意義跟POSIX子系統相似。Win32子系統比較特殊，若是沒有它，整個Windows系統就不能運行，其餘兩個子系統只是在須要時才被啓動，而Wind32子系統必須始終處於運行狀態。故選擇D選項。

14.下列有關視圖的說法中，錯誤的是（）。

A) 視圖是從一個或幾個基本表或幾個視圖導出來的表

B) 視圖和表都是關係，都存儲數據

C) 視圖和表都是關係，使用SQL訪問它們的方式同樣

D) 視圖機制與受權機制結合起來，能夠增長數據的保密性

B、

視圖是原始數據庫數據的一種變換，是查看錶中數據的另一種方式。能夠將視圖當作是一個移動的窗口，經過它能夠看到感興趣的數據。視圖是從一個或多個實際表中得到的，這些表的數據存放在數據庫中。那些用於產生視圖的表叫作該視圖的基表。一個視圖也能夠從另外一個視圖中產生。視圖的定義存在數據庫中，與此定義相關的數據並無再存一份於數據庫中，經過視圖看到的數據存放在基表中，而不是存放在視圖中，視圖不存儲數據，故B選項說法不正確。數據庫受權命令可使每一個用戶對數據庫的檢索限制到特定的數據庫對象上，但不能受權到數據庫特定行和特定的列上。故選擇B選項。

15.下列關於視圖機制的說法中，錯誤的是（）。

A) 視圖機制的安全保護功能比較精細，一般能達到應用系統的要求

B) 爲不一樣的用戶定義不一樣的視圖，能夠限制各個用戶的訪問範圍

C) 經過視圖機制把要保密的數據對無權存取這些數據的用戶隱藏起來，從而自動地對數據提供必定程度的安全保護

D) 在實際應用中，一般將視圖機制與受權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，而後在視圖上再進一步定義存取權限

A、

視圖爲機密數據提供了安全保護。在設計用戶應用系統時，能夠爲不一樣的用戶定義不一樣的視圖，使機密數據不出如今不該該看到的用戶的視圖上，這樣視圖就自動提供了對機密數據的安全保護措施。視圖能夠做爲一種安全機制。經過視圖用戶只能查看和修改他們所能看到的數據。其它數據庫或表既不可見也不能夠訪問。若是某一用戶想要訪問視圖的結果集，必須授予其訪問權限。視圖所引用表的訪問權限與視圖權限的設置互不影響，但視圖機制的安全保護功能太不精細，每每不能達到應用系統的要求，其主要功能在於提供了數據庫的邏輯獨立性。所以A選項是不正確的。故選擇A選項。

16.下列關於事務處理的說法中，錯誤的是（）。

A) 事務處理是一種機制，用來管理必須成批執行的SQL操做，以保證數據庫不包含不完整的操做結果

B) 利用事務處理，能夠保證一組操做不會中途中止，它們或者做爲總體執行或者徹底不執行

C) 不能回退SELECT語句，所以事務處理中不能使用該語句

D) 在發出COMMIT或ROLLBACK語句以前，該事務將一直保持有效

C、

因爲事務是由幾個任務組成的，所以若是一個事務做爲一個總體是成功的，則事務中的每一個任務都必須成功。若是事務中有一部分失敗，則整個事務失敗。一個事務的任何更新要在系統上徹底完成，若是因爲某種緣由出錯，事務不能完成它的所有任務，系統將返回到事務開始前的狀態。COMMIT語句用於告訴DBMS，事務處理中的語句被成功執行完成了。被成功執行完成後，數據庫內容將是完整的。而ROLLBACK語句則是用於告訴DBMS，事務處理中的語句不能被成功執行。不能回退SELECT語句，所以該語句在事務中必然成功執行。故選擇C選項。

17.下列選項中，ESP協議不能對其進行封裝的是（）。

A) 應用層協議

B) 傳輸層協議

C) 網絡層協議

D) 鏈路層協議

D、

ESP協議主要設計在 IPv4 和 IPv6 中提供安全服務的混合應用。IESP 經過加密須要保護的數據以及在 ESP 的數據部分放置這些加密的數據來提供機密性和完整性。且ESP加密採用的是對稱密鑰加密算法，可以提供無鏈接的數據完整性驗證、數據來源驗證和抗重放攻擊服務。根據用戶安全要求，這個機制既能夠用於加密一個傳輸層的段（如：TCP、UDP、ICMP、IGMP），也能夠用於加密一整個的 IP 數據報。封裝受保護數據是很是必要的，這樣就能夠爲整個原始數據報提供機密性，可是，ESP協議沒法封裝鏈路層協議。故選擇D選項。

18.IKE協議屬於混合型協議，由三個協議組成。下列協議中，不屬於IKE協議的是（）。

A) Oakley

B) Kerberos

C) SKEME

D) ISAKMP

B、

IKE屬於一種混合型協議，由Internet安全關聯和密鑰管理協議（ISAKMP）和兩種密鑰交換協議OAKLEY與SKEME組成。Kerberos不屬於IKE協議，B選項錯誤。故選擇B選項。

19.Kerberos協議是分佈式網絡環境的一種（）。

A) 認證協議

B) 加密協議

C) 完整性檢驗協議

D) 訪問控制協議

A、

Kerberos 是一種網絡認證協議，而不是加密協議或完整性檢驗協議。其設計目標是經過密鑰系統爲客戶機 / 服務器應用程序提供強大的認證服務。故選擇A選項。

20.下列組件中，典型的PKI系統不包括（）。

A) CA

B) RA

C) CDS

D) LDAP

C、

一個簡單的PKI系統包括證書機構CA、註冊機構RA和相應的PKI存儲庫。CA用於簽發並管理證書；RA可做爲CA的一部分，也能夠獨立，其功能包括我的身份審覈、CRL管理、密鑰產生和密鑰對備份等；PKI存儲庫包括LDAP目錄服務器和普通數據庫，用於對用戶申請、證書、密鑰、CRL和日誌等信息進行存儲和管理，並提供必定的查詢功能。故選擇C選項。

21.下列協議中，狀態檢測防火牆技術可以對其動態鏈接狀態進行有效檢測和防禦的是（）。

A) TCP

B) UDP

C) ICMP

D) FTP

A、

狀態檢測防火牆在處理無鏈接狀態的UDP、ICMP等協議時，沒法提供動態的連接狀態檢查，並且當處理FTP存在創建兩個TCP鏈接的協議時，針對FTP協議的被動模式，要在鏈接狀態表中容許相關聯的兩個鏈接。而在FTP的標準模式下，FTP客戶端在內網，服務器端在外網，因爲FTP的數據鏈接是從外網服務器到內網客戶端的一個變化的端口，所以狀態防火牆須要打開整個端口範圍才能容許第二個鏈接經過，在鏈接量很是大的網絡，這樣會形成網絡的遲滯現象。狀態防火牆能夠經過檢查TCP的標識位得到斷開鏈接的信息，從而動態的將改鏈接從狀態表中刪除。故選擇A選項。

22.下列協議中，不能被攻擊者用來進行DoS攻擊的是（）。

A) TCP

B) ICMP

C) UDP

D) IPSec

D、

DoS是Denial of Service的簡稱，即拒絕服務，形成DoS的攻擊行爲被稱爲DoS攻擊，其目的是使計算機或網絡沒法提供正常的服務。ICMP在Internet上用於錯誤處理和傳遞控制信息。"PingofDeath"就是故意產生畸形的測試Ping包，聲稱本身的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未採起保護措施的網絡系統出現內存分配錯誤，致使TCP/IP協議棧崩潰，最終接收方宕機。UDPflood攻擊：現在在Internet上UDP（用戶數據包協議）的應用比較普遍，不少提供WWW和Mail等服務設備一般是使用Unix的服務器，它們默認打開一些被黑客惡意利用的UDP服務。因此，TCP、ICMP和UDP均會被DoS攻擊，IPSec沒法被DoS攻擊。故選擇D選項。

23.下列選項中，軟件漏洞網絡攻擊框架性工具是（）。

A) BitBlaze

B) Nessus

C) Metasploit

D) Nmap

C、

BitBlaze平臺由三個部分組成：Vine，靜態分析組件，TEMU，動態分析組件，Rudder，結合動態和靜態分析進行具體和符號化分析的組件。Nessus?是目前全世界最多人使用的系統漏洞掃描與分析軟件。Metasploit是一個免費的、可下載的框架，經過它能夠很容易地獲取、開發並對計算機軟件漏洞實施攻擊。NMap，也就是Network Mapper，是Linux下的網絡掃描和嗅探工具包。故選擇C選項。

24.OWASP的十大安全威脅排名中，位列第一的是（）。

A) 遭破壞的認證和會話管理

B) 跨站腳本

C) 注入攻擊

D) 僞造跨站請求

C、

OWASP的十大安全威脅排名：第一位: 注入式風險；第二位: 跨站點腳本 (簡稱XSS)；第三位: 無效的認證及會話管理功能；第四位: 對不安全對象的直接引用；第五位: 僞造的跨站點請求(簡稱CSRF)；第六位: 安全配置錯誤；第七位: 加密存儲方面的不安全因素；第八位: 不限制訪問者的URL；第九位: 傳輸層面的保護力度不足；第十位: 未經驗證的從新指向及轉發。故選擇C選項。

25.下列選項中，用戶認證的請求經過加密信道進行傳輸的是（）。

A) POST

B) HTTP

C) GET

D) HTTPS

D、

HTTPS是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。它是一個URI scheme，句法類同http體系。用於安全的HTTP數據傳輸。https:URL代表它使用了HTTP，但HTTPS存在不一樣於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通信方法，所以用戶認證的請求經過加密信道進行傳輸，如今它被普遍用於萬維網上安全敏感的通信。故選擇D選項。

26.提出軟件安全開發生命週期SDL模型的公司是（）。

A) 微軟

B) 惠普

C) IBM

D) 思科

A、

安全開發週期，即Security Development Lifecycle (SDL)，是微軟提出的從安全角度指導軟件開發過程的管理模式。微軟於2004年將SDL引入其內部軟件開發流程中，目的是減小其軟件中的漏洞的數量和下降其嚴重級別。故選擇A選項。

27.下列選項中，不屬於代碼混淆技術的是（）。

A) 語法轉換

B) 控制流轉換

C) 數據轉換

D) 詞法轉換

A、

代碼混淆技術在保持原有代碼功能的基礎上，經過代碼變換等混淆手段實現下降代碼的人工可讀性、隱藏代碼原始邏輯的技術。代碼混淆技術可經過多種技術手段實現，包括詞法轉換、控制流轉換、數據轉換。故選擇A選項。

28.下列選項中，不屬於漏洞定義三要素的是（）。

A) 漏洞是計算機系統自己存在的缺陷

B) 漏洞的存在和利用都有必定的環境要求

C) 漏洞在計算機系統中不可避免

D) 漏洞的存在自己是沒有危害的，只有被攻擊者惡意利用，才能帶來威脅和損失

C、

漏洞的定義包含如下三個要素：首先，漏洞是計算機系統自己存在的缺陷；其次，漏洞的存在和利用都有必定的環境要求；最後，漏洞存在的自己是沒有危害的，只有被攻擊者惡意利用，才能給計算機系統帶來威脅和損失。故選擇C選項。

29.下列關於堆（heap）和棧（stack）在內存中增加方向的描述中，正確的是（）。

A) 堆由低地址向高地址增加，棧由低地址向高地址增加

B) 堆由低地址向高地址增加，棧由高地址向低地址增加

C) 堆由高地址向低地址增加，棧由高地址向低地址增加

D) 堆由高地址向低地址增加，棧由低地址向高地址增加

B、

堆生長方向是向上的，也就是向着內存增長的方向；棧相反。故選擇B選項。

30.下列選項中，不屬於緩衝區溢出的是（）。

A) 棧溢出

B) 整數溢出

C) 堆溢出

D) 單字節溢出

B、

緩衝區溢出是指當計算機向緩衝區內填充數據位數時超過了緩衝區自己的容量，使得溢出的數據覆蓋在合法數據上，理想的狀況是程序檢查數據長度並不容許輸入超過緩衝區長度的字符，可是絕大多數程序都會假設數據長度老是與所分配的儲存空間相匹配，這就爲緩衝區溢出埋下隱患。操做系統所使用的緩衝區又被稱爲"堆棧"。在各個操做進程之間，指令會被臨時儲存在"堆棧"當中，"堆棧"也會出現緩衝區溢出，單字節溢出是指程序中的緩衝區僅能溢出一個字節。故選擇B選項。

31.在信息安全事故響應中，必須採起的措施中不包括（）。

A) 創建清晰的優先次序

B) 清晰地指派工做和責任

C) 保護物理資產

D) 對災難進行歸檔

C、

信息安全應急響應的核心是爲了保障業務，在具體實施應急響應的過程當中就須要經過不斷的總結和回顧來完善應急響應管理體系。編寫安全指南：針對可能發生的安全事件安全問題，對判斷過程進行詳細描述。同時，安全指南也是管理層支持組織IT的一個證實。明確職責規範：明確IT用戶、IT管理員、IT審計員、IT應用人員、IT安全員、IT安全管理層和管理層的職責，在發生安全事件時能夠很快定位相應人員。信息披露：明確處理安全事件的過程規則和報告渠道。制定安全事件的報告提交策略：安全事件越重大，須要的受權也越大。設置優先級：制定優先級表，根據安全事件致使的後果順序採用相應的應急措施。判斷採用調查和評估安全事件的方法：經過判斷潛在和持續的損失程度、緣由等採用不一樣的方法。通知受影響各方：對全部受影響的組織內部各部門和外部機構都進行通報，並創建溝通渠道。安全事件的評估：對安全事件作評估，包括損失、響應時間、提交策略的有效性、調查的有效性等，並對評估結果進行歸檔。故選擇C選項。

32.下列關於系統整個開發過程的描述中，錯誤的是（）。

A) 系統開發分爲五個階段，即規劃、分析、設計、實現和運行

B) 系統開發每一個階段都會有相應的期限

C) 系統的生命週期是無限長的

D) 系統開發過程的每個階段都是一個循環過程

C、

系統開發分爲五個階段，即規劃、分析、設計、實現和運行。故A正確。系統開發每一個階段都會有相應的期限。故B正確。系統生命週期就是系統從產生構思到再也不使用的整個生命歷程。任何系統都會經歷一個發生、發展和消亡的過程。而不是系統的生命週期是無限長的。故選擇C選項。

33.在信息安全管理中的控制策略實現後，接下來要採起的措施不包括（）。

A) 肯定安全控制的有效性

B) 估計殘留風險的準確性

C) 對控制效果進行監控和衡量

D) 逐步消減安全控制方面的開支

D、

一旦實現了控制策略，就應該對控制效果進行監控和衡量，從而來肯定安全控制的有效性，並估計殘留風險的準確性。整個安全控制是一個循環過程，不會終止，只要機構繼續運轉，這個過程就會繼續，並非說這方面的預算就能夠減小。故選擇D選項。

34.下列關於信息安全管理體系認證的描述中，錯誤的是（）。

A) 信息安全管理體系第三方認證，爲組織機構的信息安全體系提供客觀評價

B) 每一個組織都必須進行認證

C) 認證能夠樹立組織機構的信息安全形象

D) 知足某些行業開展服務的法律要求

B、

引入信息安全管理體系就能夠協調各個方面信息管理，從而使管理更爲有效。經過進行信息安全管理體系認證，能夠增進組織間電子電子商務往來的信用度，可以創建起網站和貿易伙伴之間的互相信任，但不是因此的組織都必須進行認證，故B選項說法錯誤。經過認證能保證和證實組織全部的部門對信息安全的承諾。得到國際承認的機構的認證證書，可獲得國際上的認可，拓展您的業務。創建信息安全管理體系能下降這種風險，經過第三方的認證能加強投資者及其餘利益相關方的投資信心。企業經過認證將能夠向其客戶、競爭對手、供應商、員工和投資方展現其在同行內的領導地位;按期的監督審覈將確保組織的信息系統不斷地被監督和改善，並以此做爲加強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感覺到組織對信息安全的承諾。故選擇B選項。

35.下列選項中，不屬於審覈準備工做內容的是（）。

A) 編制審覈計劃

B) 增強安全意識教育

C) 收集並審覈有關文件

D) 準備審覈工做文件--編寫檢查表

B、

審覈是指爲得到審覈證據並對其進行客觀的評價，以肯定知足審覈準則的程度所進行的系統的獨立的並造成文件的過程。增強安全教育與審覈對象沒有關係。故選擇B選項。

36.依據涉密信息系統分級保護管理規範和技術標準，涉密信息系統建設使用單位將保密級別分爲三級。下列分級正確的是（）。

A) 祕密、機密和要密

B) 機密、要密和絕密

C) 祕密、機密和絕密

D) 祕密、要密和絕密

C、

涉密信息系統按照所處理信息的最高密級，由低到高分爲祕密、機密、絕密三個等級。故選擇C選項。

37.下列關於可靠電子簽名的描述中，正確的是（）。

A) 做爲電子簽名的加密密鑰不能夠更換

B) 簽署時電子簽名製做數據可由交易雙方控制

C) 電子簽名製做數據用於電子簽名時，屬於電子簽名人專有

D) 簽署後對電子簽名的任何改動不可以被發現

C、

《電子簽名法》規定，可靠的電子簽名與手寫簽名或者蓋章具備同等的法律效力。根據《電子簽名法》的規定，同時符合下列四個條件的電子簽名視爲可靠的電子簽名：（1）電子簽名製做數據用於電子簽名時，屬於電子簽名人專有；（2）簽署時電子簽名製做數據僅由電子簽名人控制；（3）簽署後對電子簽名的任何改動可以被發現；（4）簽署後對數據電文內容和形式的任何改動可以被發現。故選擇C選項。

38.企業銷售商用密碼產品時，應向國家密碼管理機構申請，其必需具有的條件是（）。

A) 要求註冊資金超過100萬

B) 有上市的資格

C) 有基礎的銷售服務制度

D) 有獨立的法人資格

D、

根據商用密碼產品銷售管理規定，申請《商用密碼產品銷售許可證》的單位應當具有下列條件：
（1）有獨立的法人資格；
（2）有熟悉商用密碼產品知識和承擔售後服務的人員以及相應的資金保障；
（3）有完善的銷售服務和安全保密管理制度；
（4）法律、行政法規規定的其它條件。
故選擇D選項。

39.基本安全要求中基本技術要求從五個方面提出。下列選項中，不包含在這五個方面的是（）。

A) 物理安全

B) 路由安全

C) 數據安全

D) 網絡安全

B、

基本安全要求中基本技術要求從五個方面提出：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復；路由安全不是基本安全要求中基本技術。故選擇B選項。

40.電子認證服務提供者因爲違法行爲被吊銷電子認證許可證書後，其直接負責的主管人員和其餘直接責任人員多長時間內不得從事電子認證服務（）。

A) 7年

B) 10年

C) 17年

D) 20年

B、《中華人民共和國電子簽名法》第三十一條電子認證服務提供者不遵照認證業務規則、未妥善保存與認證相關的信息，或者有其餘違法行爲的，由國務院信息產業主管部門責令限期改正；逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其餘直接責任人員十年內不得從事電子認證服務。吊銷電子認證許可證書的，應當予以公告並通知工商行政管理部門。故選擇B選項。

41.計算機系統安全評估的第一個正式標準是【41】，它具備劃時代的意義，爲計算機安全評估奠基了基礎。

答案：可信計算機評估標準
答案解析：TCSEC標準是計算機系統安全評估的第一個正式標準，具備劃時代的意義。該準則於1970年由美國國防科學委員會提出，並於1985年12月由美國國防部公佈。所以1）應該填入：可信計算機評估標準/TCSEC標準。

42.信息安全的發展大體經歷了三個主要階段：【42】階段、計算機安全階段和信息安全保障階段。

答案：通訊保密
答案解析：信息安全的發展大體經歷了3個主要階段：通訊保密階段、計算機安全階段和信息安全保障階段。通訊保密階段：當代信息安全學起源於20世紀40年代的通訊保密；計算機安全階段：20世紀60年代和70年代，計算機安全的概念開始逐步獲得推行；信息安全保障階段：20世紀90年代之後，開始倡導信息保障。所以2）應該填入：通訊保密

43.因爲網絡信息量十分巨大，僅依靠人工的方法難以應對網絡海量信息的收集和處理，須要增強相關信息技術的研究，即網絡【43】技術。

答案：輿情分析
答案解析：對於網絡輿情的特色，社會管理者應當瞭然於心。對現實中出現的各類網絡輿論，社會管理者應能作出及時反饋，防微杜漸，防患於未然。所以，必須利用現代信息技術對網絡輿情予以分析，從而進行控制和引導。因爲網上的信息量十分巨大，僅依靠人工的方法難以應對網上海量信息的收集和處理，須要增強相關信息技術的研究，造成一套自動化的網絡輿情分析系統，及時應對網絡輿情，由被動防堵，化爲主動梳理、引導。所以3）應該填入：輿情分析

44.消息摘要算法MD5能夠對任意長度的明文，產生【44】位的消息摘要。

答案：128
答案解析：MD5算法簡要敘述：MD5以512位分組來處理輸入的信息，且每一分組又被劃分爲16個32位子分組，通過了一系列的處理後，算法的輸出由四個32位分組組成，將這四個32位分組級聯後將生成一個128位散列值。所以4）應該填入：128

45.驗證所收到的消息確實來自真正的發送方且未被篡改的過程是消息【45】。

答案：認證
答案解析：消息認證是指經過對消息或者消息有關的信息進行加密或簽名變換進行的認證，目的是爲了防止傳輸和存儲的消息被有意無心的篡改，包括消息內容認證（即消息完整性認證）、消息的源和宿認證（即身份認證0)、及消息的序號和操做時間認證等。所以5）應該填入：認證

46.基於矩陣的行的訪問控制信息表示的是訪問【46】表，即每一個主體都附加一個該主體可訪問的客體的明細表。

答案：能力
答案解析：訪問控制矩陣：任何訪問控制策略最終都可被模型化爲訪問矩陣形式：行對應於用戶，列對應於目標，每一個矩陣元素規定了相應的用戶對應於相應的目標被准予的訪問許可。訪問控制列表：這種方法對應於訪問控制矩陣的列。訪問能力表：這種方法對應於訪問控制矩陣的行。每一個主體都附加一個該主體可訪問的客體的明細表。所以6）應該填入：能力

47.強制訪問控制系統經過比較主體和客體的【47】來決定一個主體是否可以訪問某個客體。

答案：安全標籤
答案解析：強制訪問控制系統經過比較主體和客體的安全標籤來決定一個主體是否可以訪問某個客體。強制訪問控制是系統獨立於用戶行爲強制執行訪問控制，它也提供了客體在主體之間共享的控制，但強制訪問控制機制是經過對主體和客體的安全級別進行比較來肯定授予仍是拒絕用戶對資源的訪問，從而防止對信息的非法和越權訪問，保證信息的保密性。所以7）應該填入：安全標籤

48.在標準的模型中，將CPU模式從用戶模式轉到內核模式的惟一方法是觸發一個特殊的硬件【48】，如中斷、異常等。

答案：自陷
答案解析：操做系統經過一些基本元素，在硬件支持的基礎上來達到目標。用戶模式和內核模式現代CPU一般運行在兩種模式下：
(1) 內核模式，也稱爲特權模式，在Intel x86系列中，稱爲核心層(Ring 0)。 (2) 用戶模式，也稱爲非特權模式，或者用戶層(Ring 3)。若是CPU處於特權模式，那麼硬件將容許執行一些僅在特權模式下許可的特殊指令和操做。通常看來，操做系統應當運行在特權模式下，或者稱爲內核模式下：其餘應用應當運行在普通模式，或者用戶模式下。然而，事實與此有所不一樣。顯然，要使特權模式所提供的保護真正有效，那麼普通指令就不能自由修改CPU的模式。在標準的模型中，將CPU模式從用戶模式轉到內核模式的惟一方法是觸發一個特殊的硬件自陷，如
● 中斷：一些外部硬件引起的，如I/O或者時鐘
● 異常：如除數爲零，訪問非法的或者不屬於該進程的內存
● 顯式地執行自陷指令
與上述行爲的處理過程基本相同：CPU掛起用戶程序，將CPU模式改變爲內核模式，查表(如中斷向量表)以定位處理過程，而後開始運行由表定義的操做系統代碼。

所以8）應該填入：自陷。

49.在Unix/Linux中，每個系統與用戶進行交流的界面，稱爲【49】。

答案：終端
答案解析：在Unix/Linux中，每個系統與用戶進行交流的界面都被命名爲終端；。所以應該填入終端。

50.在Unix\Linux系統中，【50】帳號是一個超級用戶帳戶，能夠對系統進行任何操做。

答案：root
答案解析：在Unix\Linux系統中，root帳號就是一個超級用戶帳戶。以超級用戶能夠對系統進行任何操做。
•1．超級用戶
•而Unix\Linux超級用戶帳戶能夠不止一個。
•在Unix系統中，只要將用戶的UID和GID設置爲0就能夠將其變成超級用戶，但並非全部的超級用戶都能很容易的登陸到Unix系統中，這是由於，Unix系統使用了可插入認證模塊（PAM）進行認證登陸，PAM要求超級用戶只能在指定的終端上進行訪問，這種指定的終端是能夠保證安全的。
•2．root帳戶的安全
•root用戶帳戶也是有密碼的，這個密碼能夠對那些經過控制檯訪問系統的用戶進行控制，即便是使用su命令的用戶也不例外。
所以10）應該填入：root

51.TCG使用了可信平臺模塊，而中國的可信平臺以可信【51】模塊爲核心。

答案：密碼
答案解析：可信平臺模塊是一種使微控制器能控存儲安全數據的規格，也是這種規格的應用。該規格由可信計算組來制定。國內目前研究的TCM（trusted cryptography module,可信密碼模塊），與之對應。所以應該填入：密碼。

52.每一個事務均以【52】語句顯式開始，以 COMMIT 或 ROLLBACK 語句顯式結束

答案：BEGIN TRANSACTION
答案解析：由於事務按照要麼所有，要麼全不方式被執行，事務的邊界（開始點和結束點）必須清晰。邊界使DBMS做爲一個原子單元來執行這些語句。事務隱式開始於第一個可執行的SQL語句或顯式使用 BEGIN TRANSACTION語句。事務顯式結束於COMMIT或ROLLBACK語句（沒法隱式結束），且沒法在提交以後回滾事務。所以12）應該填入：BEGIN TRANSACTION。

53.根據ESP封裝內容的不一樣，可將ESP分爲傳輸模式和【53】模式。

答案：隧道
答案解析：ESP（Encapsulating Security Payloads），封裝安全載荷協議，IPsec 所支持的兩類協議中的一種。該協議可以在數據的傳輸過程當中對數據進行完整性度量，來源認證以及加密，也可防止回放攻擊。傳輸模式，與隧道模式同爲IPsec工做的兩種方式。所以13）應該填入：隧道。

54.PKI是建立、管理、存儲、分佈和做廢【54】的一系列軟件、硬件、人員、策略和過程的集合。

答案：數字證書
答案解析：PKI（Public Key Infrastructure ）?即"公鑰基礎設施"，是一種遵循既定標準的密鑰管理平臺,它可以爲全部網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。
PKI是一系列基於公鑰密碼學之上，用來建立、管理、存儲、分佈和做廢數字證書的一系列軟件、硬件、人員、策略和過程的集合。所以14）應該填入：數字證書。

55.主要適用於有嚴格的級別劃分的大型組織機構和行業領域的信任模型是【55】信任模型。

答案：層次
答案解析：層次信任模型：層次信任模型是實現最簡單的模型，使用也最爲普遍。創建層次信任模型的基礎是全部的信任用戶都有一個可信任根。全部的信任關係都基於根來產生。層次信任模型是一種雙向信任的模型。層次信任模型適用於孤立的、層狀的企業，對於有組織邊界交叉的企業，要應用這種模型是很困難的。另外，在層次信任模型的內部必須保持相同的管理策略。層次信任模型主要使用在如下三種環境：
（1）嚴格的層次結構；
（2）分層管理的PKI商務環境；
（3）PEM（Privacy-Enhanced Mail，保密性加強郵件）環境。
所以15）應該填入：層次

56.NIDS包括【56】和控制檯兩部分。

答案：探測器
答案解析：NIDS是Network Intrusion Detection System的縮寫，即網絡入侵檢測系統，主要用於檢測Hacker或Cracker經過網絡進行的入侵行爲。NIDS的功能：網管人員對網絡運行狀態進行實時監控，以便隨時發現可能的入侵行爲，並進行具體分析，及時、主動地進行干預，從而取得防患於未然的效果。其主要包括時間探測器和控制檯兩部分。所以應該填入：探測器

57.木馬程序由兩部分程序組成，黑客經過【57】端程序控制遠端用戶的計算機。

答案：客戶
答案解析：木馬一般有兩個可執行程序：一個是客戶端，即控制端，另外一個是服務端，即被控制端。植入被種者電腦的是「服務器」部分。所以17）應該填入：客戶。

58.經過分析代碼中輸入數據對程序執行路徑的影響，以發現不可信的輸入數據致使的程序執行異常，是【58】傳播分析技術。

答案：污點
答案解析：污點傳播分析技術：經過分析代碼中輸入數據對程序執行路徑的影響，以發現不可信的輸入數據致使的程序執行異常。所以18）應該填入：污點。

59.惡意影響計算機操做系統、應用程序和數據的完整性、可用性、可控性和保密性的計算機程序

答案：惡意程序
答案解析：惡意程序一般是指帶有攻擊意圖所編寫的一段程序，經過破壞軟件進程來實施控制。這些威脅能夠分紅兩個類別：須要宿主程序的威脅和彼此獨立的威脅。所以19）應該填入：惡意程序

是【59】。

60.根據加殼原理的不一樣，軟件加殼技術包括【60】保護殼和加密保護殼。

答案：壓縮
答案解析：加殼的全稱應該是可執行程序資源壓縮，是保護文件的經常使用手段。加殼過的程序能夠直接運行，可是不能查看源代碼.要通過脫殼才能夠查看源代碼。加殼工具一般分爲壓縮殼和加密殼兩類。
壓縮殼的特色是減少軟件體積大小，加密保護不是重點。所以20）應該填入：壓縮。

61.處於未公開狀態的漏洞是【61】漏洞。

答案：0day
答案解析：0day漏洞，是已經被發現(有可能未被公開), 只有黑客或者某些組織內部使用，而官方尚未相關補丁的漏洞（由於官方還不知道該漏洞）。所以應該填入：0day。

62.指令寄存器eip始終存放着【62】地址。

答案：返回
答案解析：EIP寄存器裏存儲的是CPU下次要執行的指令的地址，也就是函數調用完返回的地址；EBP寄存器裏存儲的是是棧的棧底指針，一般叫棧基址；ESP寄存器裏存儲的是在調用函數fun()以後，棧的棧頂。
所以應該填入：返回

63.信息安全管理的主要內容，包括信息安全【63】、信息安全風險評估和信息安全管理措施三個部分。

答案：管理體系
答案解析：信息安全管理的主要內容，包括信息安全管理體系、信息安全風險評估和信息安全管理措施三個部分。所以應該填入：管理體系。

64.風險評估分爲【64】和檢查評估。

答案：自評估
答案解析：風險評估（Risk Assessment）是指，在風險事件發生以前或以後（但尚未結束），該事件給人們的生活、生命、財產等各個方面形成的影響和損失的可能性進行量化評估的工做。分爲自評估和檢查評估。所以應該填入：自評估。

65.分類數據的管理包括這些數據的存儲、分佈移植和【65】。

答案：銷燬
答案解析：對信息資產進行分類的目的是便於在處理信息時指明保護的需求、優先級和指望程度。分類數據的管理包括這些數據的存儲、分佈移植及銷燬。所以應該填入：銷燬

66.信息安全風險評估的複雜程度，取決於受保護的【66】對安全的敏感程度和所面臨風險的複雜程度。

答案：資產
答案解析：信息安全風險評估是從風險管理的角度，運用科學的手段，系統的分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能形成的危害程度，爲防範和化解信息安全風險，或者將風險控制在能夠接受的水平，制定有針對性的抵禦威脅的防禦對策和整改措施以最大限度的保障網絡和信息安全提供科學依據。風險評估的對象是資產。所以應該填入：資產。

67.CC評估等級每一級均需評估七個功能類，分別是配置管理、分發和操做、開發過程、指導文獻、生命期的技術支持、測試和【67】評估。

答案：脆弱性
答案解析：CC將評估過程劃分爲功能和保證兩部分，評估等級分爲EAL一、EAL二、EAL三、EAL四、EAL五、EAL6和EAL7共七個等級。每一級均需評估7個功能類，分別是配置管理、分發和操做、開發過程、指導文獻、生命期的技術支持、測試和脆弱性評估。所以應該填入：脆弱性

68.國家祕密的保密期限，絕密級不超過【68】年，除另有規定。

答案：30
答案解析：國家祕密的保密期限，除有特殊規定外，絕密級事項不超過三十年，機密級事項不超過二十年，祕密級事項不超過十年。保密期限在一年及一年以上的，以年計；保密期限在一年之內的，以月計。所以應該填入：30

69.《信息系統安全保護等級劃分準則》中提出了定級的四個要素：信息系統所屬類型、【69】類型、信息系統服務範圍和業務自動化處理程度。

答案：業務數據
答案解析：《信息系統安全保護等級劃分準則》初稿於2005年5月完成，其中提出了定級的四個要素：信息系統所屬類型、業務數據類型、信息系統服務範圍和業務自動化處理程度，經過信息系統所屬類型和業務數據類型能夠肯定業務數據安全性等級，經過信息系統服務範圍和業務自動化處理程度及調節因子，能夠肯定業務服務連續性等級。所以應該填入：業務數據。

70.關於國家祕密，機關、單位應當根據工做須要，肯定具體的保密期限、解密時間，或者【70】。

答案：解密條件
答案解析：《中華人民共和國保守國家祕密法》第十五條國家祕密的保密期限，應當根據事項的性質和特色，按照維護國家安全和利益的須要，限定在必要的期限內；不能肯定期限的，應當肯定解密的條件。
國家祕密的保密期限，除另有規定外，絕密級不超過三十年，機密級不超過二十年，祕密級不超過十年。
機關、單位應當根據工做須要，肯定具體的保密期限、解密時間或者解密條件。
機關、單位對在決定和處理有關事項工做過程當中肯定須要保密的事項，根據工做須要決定公開的，正式公佈時即視爲解密。
所以應該填入：解密條件

1)爲了構建一個簡單、安全的「客戶機/服務器」模式的應用系統，要求：①能安全存儲用戶的口令（無須解密）；②用戶口令在網絡傳輸中須要被保護；③用戶與服務器須要進行密鑰協商，以便在非保護信道中實現安全通訊；④在通訊過程當中能對消息進行認證，以確保消息未被篡改。（共10分）
假設要構建的應用系統容許使用MD五、AES、Diffie-Hellman算法，給定消息m，定義MD5(m)和AES(m)分別表示對m的相應處理。爲了準確地描述算法，另外定義以下：給定數x、y和z，x*y表示乘法運算，x/y表示除法運算，x^y表示指數運算，而x^(y/z)表示指數爲y/z。請回答下述問題：
（1）爲了安全存儲用戶的口令，服務器須要將每一個用戶的口令採用【71】算法運算後存儲。（1分）
（2）在創建安全通訊前，用戶須要首先提交用戶名和口令到服務器進行認證，爲了防止口令在網絡傳輸中被竊聽，客戶機程序將採用【72】算法對口令運算後再發送。（1分）
（3）爲了在服務器和認證經過的用戶之間創建安全通訊，即在非保護的信道上建立一個會話密鑰，最有效的密鑰交換協議是【73】算法。（2分）
（4）假定有兩個全局公開的參數，分別爲一個素數p和一個整數g，g是p的一個原根，爲了協商共享的會話密鑰：
首先，服務器隨機選取a，計算出A=【74】 mod p，並將A發送給用戶；（1分）
而後，用戶隨機選取b，計算出B=【75】 mod p，並將B發送給服務器；（1分）
最後，服務器和用戶就能夠計算獲得共享的會話密鑰key=【76】 mod p。（2分）
（5）爲了同時確保數據的保密性和完整性，用戶採用AES對消息m加密，並利用MD5產生消息密文的認證碼，發送給服務器；假設服務器收到的消息密文爲c，認證碼爲z。服務器只須要驗證z是否等於【77】便可驗證消息是否在傳輸過程當中被篡改。（2分）

1)【解題思路】
本題考點爲MD五、AES、Diffie-Hellman算法的特性以及算法的具體實現過程。MD5的典型應用是對一段信息產生信息摘要，以防止被篡改。AES 算法基於排列和置換運算。排列是對數據從新進行安排，置換是將一個數據單元替換爲另外一個。AES的基本要求是，採用對稱分組密碼體制，密鑰長度的最少支持爲12八、19二、256，分組長度128位，算法應易於各類硬件和軟件實現。 Diffie-Hellman:一種確保共享KEY安全穿越不安全網絡的方法，它是OAKLEY的一個組成部分。
【參考答案】
（1）爲了安全存儲用戶的口令，須要對用戶口令進行加密，採用MD5算法。
所以【1】處應該填入：MD5
（2） MD5算法對信息進行摘要，防止被篡改。所以【2】處應該填入：MD5
（3） Diffie-Hellman:一種確保共享KEY安全穿越不安全網絡的方法。所以【3】處應該填入：Diffie-Hellman。
（4） Diffie-Hellman密鑰交換算法一、有兩個全局公開的參數，一個素數P和一個整數g，g是P的一個原根。?二、假設用戶A和B但願交換一個密鑰，用戶A選擇一個做爲私有密鑰的隨機數a<p，並計算公開密鑰ya=g^a?mod?p。a對xa的值保密存放而使ya能被b公開得到。相似地，用戶b選擇一個私有的隨機數b<p，並計算公開密鑰yb=g^b mod?p?。b對xb的值保密存放而使yb能被a公開得到。?三、用戶產生共享祕密密鑰的計算方式是k=g^(a*b)?mod?p。
所以【4】應填入：g^a
【5】應填入：g^b
【6】應填入：g^(a*b)
（5）用MD5算法對得到消息的摘要，而後和原摘要比較。所以【7】應填入：MD5(c)。

2)爲了加強數據庫的安全性，請按操做要求補全SQL語句：（每空1分，共5分）
（1）建立一個角色R1：【78】 R1;
（2）爲角色R1分配Student表的INSERT、UPDATE、SELECT權限：【79】 INSERT,UPDATE,SELECT ON TABLE Student TO R1;
（3）減小角色R1的SELECT權限：【80】 ON TABLE Student FROM R1;
（4）將角色R1授予王平，使其具備角色R1所包含的所有權限：【81】 TO 王平;
（5）對修改Student表數據的操做進行審計：【82】 UPDATE ON Student;

2)【解題思路】本題主要考察隊SQL語句的熟悉瞭解程度。
【參考答案】
（1）【解析】建立角色語句CREATE ROLE，所以【8】應填入：CREATE ROLE
（2）【解析】爲用戶分配角色權限指令GRANT +權限 to 某用戶；所以【9】應填入：GRANT
（3）【解析】減小權限指令REVOKE+權限名；所以【10】應填入：REVOKE SELECT
（4）【解析】和（2）同；【11】應填入：GRANT R1
（5）【解析】審計指令AUDIT；所以【12】應填入AUDIT

3)下圖是TCP半鏈接掃描的原理圖。其中，圖1爲目標主機端口處於監聽狀態時，TCP半鏈接掃描的原理圖；圖2爲目標主機端口未打開時，TCP半鏈接掃描的原理圖。請根據TCP半鏈接掃描的原理，補全掃描過程當中各數據包的標誌位和狀態值信息。（每空1分，共10分）

請在下表中輸入A-J表明的內容

   A：【83】
B：【84】
   C：【85】
   D：【86】
E：【87】
F：【88】
G：【89】
H：【90】
I：【91】
J：【92】

3）【解題思路】本題主要考察TCP半鏈接原理和三次握手協議。
【參考答案】
第一次握手：創建鏈接時，客戶端發送syn包(syn=j)到服務器，並進入SYN_SEND狀態，等待服務器確認；
第二次握手：服務器收到syn包，必須確認客戶的syn（ack=j+1），同時本身也發送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態；
第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK(ack=k+1)，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。
完成三次握手，客戶端與服務器開始傳送數據，
若是端口掃描沒有完成一個完整的TCP鏈接，在掃描主機和目標主機的一指定端口創建鏈接時候只完成了前兩次握手，在第三步時，掃描主機中斷了本次鏈接，使鏈接沒有徹底創建起來，這樣的端口掃描稱爲半鏈接掃描，也稱爲間接掃描。
所以各空填寫以下：【83】應填入：syn；【84】應填入：1；【85】應填入：syn；【86】應填入：ack
【87】應填入：rst；【88】應填入：ack；【89】應填入：syn；【90】應填入：1；【91】應填入：rst
【92】應填入：ack

4) 一個程序運行中進行函數調用時，對應內存中棧的操做以下：（每空1分，共5分）
第一步，【93】入棧；
第二步，【94】入棧；
第三步，【95】跳轉；
第四步，ebp中母函數棧幀【96】入棧；
第五步，【97】值裝入ebp，ebp更新爲新棧幀基地址；
第六步，給新棧幀分配空間。

4）【解題思路】本題主要考察程序運行過程當中函數調用及棧操做。【參考答案】首先，主調函數把EAX，ECX和EDX壓棧。這是一個可選的步驟，只在這三個寄存器內容須要保留的時候執行此步驟。接着把傳遞給被調函數的參數一一進棧，最後的參數最早進棧。最後，主調函數用call指令調用子函數；當call指令執行的時候，EIP指令指針寄存器的內容被壓入棧中。由於EIP寄存器是指向主調函數中的下一條指令，因此如今返回地址就在棧頂了。在call指令執行完以後，下一個執行週期將從被調函數的標記處開始。EBP寄存器如今正指向主調函數的棧幀中的某個位置，這個值必須被保留，所以，EBP進棧。而後ESP的內容賦值給了EBP。這使得函數的參數能夠經過對EBP附加一個偏移量獲得，而棧寄存器ESP即可以空出來作其餘事情。所以【23】應填入：參數；【24】應填入：返回地址；【25】應填入：代碼區；【26】應填入：基址指針；【27】應填入：esp