第二套试卷:
1.TCSEC将计算机系统的安全划分为:四个等级七个级别
2.IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域:本地计算环境、区域边界、支撑性基础设施、网络和基础设施(IATF 提出的信息的信息保障的核心思想是 纵深防御 战略)
3.计算机系统安全评估的第一个正式标准是TCSEC
4.哈希函数的应用:消息认证、数字签名、口令保护(数据加密不是)
5.可用于验证码的是:消息加密、消息认证码、哈希函数
6.Chinese Wall 模型是在强制访问控制模型中,属于混合策略模型
7.关于自主访问控制:
由于分布式系统中很难确定给客体的 潜在主体集,在现代操作系统中访问能力表也得到广泛应用
自主访问控制模型的实现机制是通过访问控制矩阵实施的,而具体的实现办法则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作
系统中的访问控制矩阵本身通常不被完整地存储,因为矩阵中的许多元素常常为空
每个主体都附加一个该主体可访问的客体的明细表
8.关于RADIUS协议的说法:
RADIS是一个客户端/服务器协议,它运行在应用层,使用UDP协议
RADIUS的审计独立于身份验证和授权服务
RADIUS协议没有提供完备的丢包处理及数据重传机制(不足点)
9.文件系统管理的说法:
文件是存储在外存上,具有标识名的一组相关字符流或记录的集合
文件系统是操作系统负责存取和管理文件的一组软件及所需数据结构,是用户与外存之间的接口
文件系统是一种数据链表,用来描述磁盘上的信息结构,并支持磁盘文件的取出和写回
10.linux启动后运行的第一个进程是 : init
11.不属于unix/linux文件类型的是: 可执行文件(exe)  :属于的是:目录、sockets、正规文件
12.关于root账户: 超级用户账号并不是只有一个(只要将用户的UID和GID设置为0,就可以将其变成超级用户)。 不要随意将root shell留在终端上
13.在win系统中,查看当前已经启动的服务列表的命令是:net start
14.木马反弹端口技术:
反弹端口技术中,由木马服务端程序主动连接木马客户端程序
反弹端口技术中,木马客户端的IP地址必须是公网IP地址
反弹端口技术中,木马的服务端程序可穿透所在内网的包过滤防火墙
15.诱骗式攻击:网站挂马、网站钓鱼、社会工程(ARP欺骗不是)
16.分布式访问控制方法:SSO、Kerberos、SESAME  (RADIUS是集中式访问控制)
17.IPSec支持IPv4和IPv6协议  (为网络层提供加密)
18.SSL协议的描述: 为应用层提供了加密、身份认证和完整性验证的保护
19.属于PKI信任模型的是: 网状信任模型、层次信任模型、桥证书认证机构信任模型 (链状信任模型不属于)
20.误用检测技术(特征检测技术)有:状态转换分析、模型推理、专家系统 (不包括:统计分析)
21.木马自身属性特点有: 伪装性、隐藏性、窃密性 (没有感染性)
22.攻击者向目标主机发起ACK-Flood时,目标主机收到攻击数据包后回应的是: ACK和RST标记位设为1的数据包
23.软件动态安全检测技术有:动态污点分析、模糊测试、智能模糊测试 (词法分析属于静态)。BitBlaze 采用软件动静结合安全检测技术
24.属于恶意程序传播方法的是: 诱骗下载、网站挂马(网页隐藏式恶意链接)、通过移动存储介质传播
25.软件测试的描述:
软件静态安全检测技术可用于对软件源代码的检测
软件动态安全检测技术可用于对软件可执行代码的检测
模型检测是一种软件动态安全检测技术
模糊测试是一种软件动态安全检测技术
26.微软公司的漏洞定义分为:
第一级:紧急
第二级:重要
第三级:警告
第四级:注意
27.属于UAF(use-after-free)漏洞的是: 内存地址对象破坏性调用的漏洞
28.safeSEH、SEHOP、ASLR都属于软件漏洞利用防范技术,而NOP属于漏洞利用技术
29.信息资产管理中,标准信息系统的因特网组件包括: 网络设备(路由器、集线器等)、服务器、保护设备(防火墙、代理服务器) (电源这些不属于)
30.信息资产管理中,标准信息系统的组成部分包括: 硬件、软件、数据和信息(解决方案不包括)
31.体系审核描述:
体系审核应对体系范围内的所有安全领域进行全面系统地审核
应由与审核对象无直接责任的人员来实施
组织机构要对审核过程本身进行安全控制
32.访问控制的实现方法有: 行政性访问控制、逻辑/技术性访问控制、物理性访问控制 (虚拟性访问控制不属于)
33.信息系统的安全保护等级分为5级
34.应急计划过程的第一阶段是:业务影响分析
35.信息安全的目标: 将残留风险保护在机构可以随时控制的范围内
36.机关、单位对所产生的国家秘密事件,应当按照国家秘密及其密级的具体范围的规定确定密级(有秘密、机密、绝密),同时确定 保密期限(10,20,30)知悉范围
37.电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名证书失效后 5年 (国家秘密的保密期限不能确定时,应当根据事项的性质和特点,确定 解密条件)
38.电子认证服务提供者暂停或者终止电子认证服务时,应当提前就业务承接及其他相关事项通知有关各方,该事件应提前 60 日
39.被称为中国首部真正意义上的信息化法律的是 : 电子签名法
40.违法国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的处以 5年以下有期徒刑或者拘留
41.1949年, 香农(shannon)发表 《保密系统的通信理论》,是现代通信安全的代表作,是信息安全发展里程碑,标志着密码学形成一门学科
42.分布数据的管理包括这些数据的 存储、分布移植和销毁

43. 传统对称密码加密是所使用的两个技巧是: 代换、置换
44. 恶意行为审计与监控,主要检测网络中针对服务器的恶意行为,包括恶意的 攻击行为和入侵行为
45.每个事务均以BEGIN TRANSACTION语句显示开始,以COMMIT 或 ROLLBACK语句显示结束
46. 控制其它程序运行,管理系统资源并为用户提供操作界面的系统软件的集合是 操作系统
47.进程与CPU通信是通过 中断 信号来完成的
48.在Unix/linux系统中,服务是通过 inetd 进程或启动脚本来启动(可以通过etc/inetd.conf文件中注释来禁用)
49.层次信任模型 主要适用于有严格的级别划分的大型组织机构和行业领域的信任模型
50. NIDS(network intrsion datection system)包括 探测器和控制台 两部分
51.指令寄存器eip始终存放着 返回地址。   栈指针寄存器esp始终存放 栈顶指针
52. 污点传播分析技术: 通过分析代码中输入数据对程序执行路径的影响,以发现不可信的输入数据导致异常
53.信息安全管理的主要内容: 信息安全管理体系、信息安全风险评估、信息安全管理措施
54. MD5的消息摘要为128位,SHA算法的消息摘要为 160位 (比MD5多32位)

55.用户可以将自己的公钥通过 公钥证书发送给另一用户,接收方可用 证书管理机构 的证书加以验证
56.为了确保RSA密码的安全,必须认真选择公钥参数(n,e): 模数n至少 1024位; 为了使加密速度快,根据“反复平方乘”二进制表示中应当含有尽量少的1
57.数据库渗透测试的对象主要是 数据库的 身份验证系统 和 服务监听系统
58.通称情况下,SQL注入攻击所针对的数据信道包括 存储过程 和 web应用程序输入参数
59.ARP欺骗是和网关同一 IP 不同mac
60. arp -d // 清空ARP缓存表
61. arp -s ip mac //将IP地址与MAC地址静态绑定

注意:转载请附上本链接

三级信息安全技术真题知识点总结-第二套相关推荐

  1. 三级信息安全技术真题知识点总结-第三套

    第三套试卷: 1.信息安全的地位和作用: 信息安全是网络时代国家生存和民族振兴的根本保障 信息安全是信息社会健康发展和信息革命成功的关键因素 信息安全是网络时代人类生存和文明发展的基本条件 信息安全影 ...

  2. 计算机三级信息安全技术常考知识点总结

    之前考三级,发现网上基本上没有信息安全技术的相关知识,于是在这里总结一些.我看完了官网的对应教材,刷了题库.故总结了以下常考的知识点,供大家参考 (分类不是严格按照教材目录分的,我为了方便联想记忆做了 ...

  3. 计算机三级信息安全技术 | 填空题 17 重点标注版

    整理不易,恳请三连.如有错误,希望轻喷,接受指正,积极完善. CC标准是指<信息技术安全性评估准则>,其对应的国标编号为GB/T 18336 ISMS强调遵守国家有关信息安全的法律法规及其 ...

  4. 计算机三级信息安全技术 | 填空题 16 重点标注版

    整理不易,恳请三连.如有错误,希望轻喷,接受指正,积极完善. 有关国家秘密的相关事项中,应当根据事项的具体性质和特点,按照维护国家安全和利益的需要,限定在必要的期限内,不能确定期限的,应当确定解密条件 ...

  5. 计算机三级信息安全技术 | 填空题 10 重点标注版

    整理不易,恳请三连.如有错误,希望轻喷,接受指正,积极完善. CC评估等级每一级均需评估7个功能类,分别是管理配置.分发和操作.开发过程.指导文献.生命期的技术支持.测试和脆弱性评估 <计算机信 ...

  6. 计算机三级信息安全技术 | 填空题 3 重点标注版

    整理不易,恳请三连.如有错误,希望轻喷,接受指正,积极完善. 信息安全的五个属性:机密性.完整性.可用性.可控性.不可否认性 上世纪90年代中期,六国七方提出的信息技术安全性评估通用准则英文缩写为CC ...

  7. 计算机三级 信息安全技术 题库 前言

    本文为本人三级题库总纲: 计算机三级 信息安全技术 题纲:点这里. 计算机三级 信息安全技术 选择题: 选择题1 选择题2 选择题3 选择题4 选择题5 计算机三级 信息安全技术 填空题: 填空题1 ...

  8. 计算机三级信息安全技术知识点总结

    文章目录 前言 一.信息安全保障概述 二.信息安全基础技术与原理 对称密码与非对称密码 哈希函数 数字签名 密钥管理 消息认证(**消息认证不能预防发送方否认和接收方否认**) 身份认证 访问控制模型 ...

  9. 计算机三级信息安全技术易错、不好记的选择、填空内容

    马上要参加三级信息安全技术的考试了,记录了在刷题中一些容易错.不好记的知识点. 密码学: 1949年Shannon发表了注明的<保密系统的通信理论>把密码学至于坚实的数学基础之上,标志着密 ...

最新文章

  1. LightOJ 1364 Expected Cards(概率+DP)
  2. firefly 编译opencv3.3.1, CMake报错
  3. RDKit | 从ChEMBL数据库提取大分子HELM单体(XML转换为DataFrame并搜索部分结构)
  4. AJAX初探,XMLHttpRequest介绍
  5. 产品管理|产品设计流程[完整版]
  6. 11、修改和删除索引(DROP INDEX)
  7. 【趣话编程】一个整数+1引发的灾难
  8. 【学习笔记】第二章——线程与多线程模型
  9. android个人微信支付,Android之微信支付
  10. android cygwin离线安装包,Cygwin配合NDK开发Android程序
  11. (转)软件商在做券商的事,券商在做搬运工的事,第三方正变成第三者
  12. [f]class获取元素函数
  13. 红外传感器型号和参数_深度解析红外传感器原理、分类、性能参数、应用及前景...
  14. linux可上网limbo镜像,limbo模拟器win10镜像
  15. ASCII码16进制对照表
  16. LeetCode 热题 HOT 100 -------160. 相交链表(链表)206. 反转链表(递归、回溯)
  17. 苹果充电线android头断了,【黑科技数据线!断了都能用!】 苹果安卓数据线 快速修复永不断线...
  18. 12 年前我刷了 500 道,谈谈我的学习感受
  19. 如何写一个魔方二维动态还原MATLAB仿真程序
  20. python describe函数_Python pandas.DataFrame.describe函数方法的使用

热门文章

  1. D-CAP模式和DCS-control模式
  2. 屏:全贴合工艺之GFF、OGS、Oncell、Incell
  3. 药品信息化追溯系统扫码采集操作方案
  4. AutoView自动为旧设计稿更新新设计稿尺寸
  5. golang学习之旅
  6. android 使用应用市场进行版本更新
  7. sharepoint 2016 学习系列篇(14)-自定义列表应用篇-(3)列表数据的新增,修改,删除操作
  8. 古典中国风下载PPT模板
  9. 基于arduino单片机智能避障小车
  10. 元宇宙十问十答 || 第二问:元宇宙是否唯一?