下载文档原格式
第一章信息安全概述1、以下哪一项不是信息安全问题()A.支付宝账号被盗B.QQ号密码被盗C.Windows系统软件更新D.个邮箱收到大量垃圾邮件2、信息安全地目地不包括以下哪一项()A.机密B.完整C.可用D.合法3、下列属于信息安全当前特点地是()A.地高级与信息安全地对称B.危害地倍增与威胁地多元C.信息安全地对称与危害地倍增D.威胁地多元与地可预见4、下列关于信息安全说法正确地是()A.信息安全是指保证信息不受来自外部地各种形式地危险,威胁,侵害与误导。
B.随着科学技术得到步,信息安全能够带来地危害将越来越小。
C.信息安全包括技术层面与管理层面地安全防护措施。
D.信息安全主要是防止信息地破坏与泄露,对于散播地虚假信息则不属于信息安全地范围。
5、下列关于信息安全未来发展趋势说法错误地是()。
A.万物互联,智慧互通B.防护与管控分布到不同设备上。
C.信息泄露爆发几率增加D.攻防技术矛盾加剧答案:CDBCB第二章操作系统安全1、关于操作系统地叙述不正确地是()。
A."管理资源地程序" B."管理用户程序执行地程序" C."能使系统资源提高效率地程序" D."能方便用户编程地程序"2、从用户地观点看,操作系统是( )。
A.用户与计算机硬件之间地接口 B.控制与管理计算机资源地软件C.合理组织计算机工作流程地软件 D.计算机资源地地管理者3、以下关于漏洞地说法,错误地是()。
A.从操作系统软件编写完成开始运行那刻起,系统漏洞就随之产生了;B.所有可能导致系统安全问题地因素都可以称之为系统安全漏洞;C.通过RDP漏洞,黑客可以取得PC地完全控制权,或者发动DDos;……D.通过帮助"帮助与支持心"漏洞,黑客可以删除用户系统地文件;4、恶意代码地过程正确地是()。
A.侵入系统→维持或提升权限→隐蔽→潜伏→破坏→再次新地B.侵入系统→隐蔽→潜伏→维持或提升权限→破坏→再次新地C.侵入系统→潜伏→维持或提升权限→破坏→隐蔽→再次新地D.侵入系统→维持或提升权限→潜伏→隐蔽→破坏→再次新地5、为了保证系统安全,下面做法不恰当地是()。
信息安全试题及答案解析一、单项选择题(每题2分,共10题)1. 信息安全的核心目标是保护信息的()。
A. 可用性B. 完整性C. 机密性D. 所有选项答案:D。
解析:信息安全的核心目标是保护信息的机密性、完整性和可用性,这三个属性合称为CIA三元组。
2. 以下哪项不是信息安全的基本属性?A. 机密性B. 完整性C. 可用性D. 可靠性答案:D。
解析:信息安全的基本属性包括机密性、完整性和可用性,而可靠性是系统性能的一个方面,不属于信息安全的基本属性。
3. 以下哪个协议不是用于传输层的安全协议?A. SSLB. TLSC. IPsecD. HTTP答案:D。
解析:SSL(Secure Sockets Layer)和TLS (Transport Layer Security)是用于传输层的安全协议,而IPsec (Internet Protocol Security)是网络层的安全协议。
HTTP (Hypertext Transfer Protocol)是超文本传输协议,不涉及传输层的安全。
4. 以下哪种攻击方式不属于网络攻击?A. 拒绝服务攻击(DoS)B. 社交工程攻击C. 病毒攻击D. 物理攻击答案:D。
解析:拒绝服务攻击、社交工程攻击和病毒攻击都属于网络攻击的范畴,而物理攻击是指对物理设备的攻击,如破坏服务器等,不属于网络攻击。
5. 以下哪种加密算法属于对称加密算法?A. RSAB. DESC. ECCD. AES答案:B。
解析:DES(Data Encryption Standard)是一种对称加密算法,而RSA、ECC(Elliptic Curve Cryptography)和AES (Advanced Encryption Standard)都是非对称加密算法。
6. 以下哪项不是防火墙的功能?A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案:B。
解析:防火墙的主要功能包括访问控制、数据包过滤和网络地址转换,而入侵检测是入侵检测系统(IDS)的功能,不是防火墙的功能。
信息安全概论试题一、选择题(每题2分,共20分)1. 信息安全的主要目标不包括以下哪一项?A. 保密性B. 完整性C. 可用性D. 可追溯性2. 下列哪个攻击方法是通过利用程序的输入验证漏洞来实现的?A. SQL注入B. DDoS攻击C. 社会工程学D. 电子邮件钓鱼3. 以下哪种加密算法是一种对称加密算法?A. RSAB. ECCC. AESD. DH4. 在网络安全中,防火墙的作用是什么?A. 阻止未授权用户访问网络资源B. 加速网络数据传输C. 提供网络存储服务D. 管理网络流量5. 以下哪一项是密码学中的基础概念?A. 散列函数B. 网络协议C. 数据库管理系统D. 操作系统6. 信息安全管理的核心是什么?A. 技术防护B. 人员培训C. 政策法规D. 风险评估7. 以下哪种攻击是针对无线网络的?A. ARP欺骗B. 拒绝服务攻击C. 蓝牙欺骗D. 跨站脚本攻击8. 以下哪项是有效的电子邮件安全措施?A. 使用强密码B. 定期更换密码C. 不打开未知来源的附件D. 所有选项都是9. 网络钓鱼攻击通常利用哪种方式来欺骗用户?A. 假冒官方网站B. 提供异常优惠C. 发送大量垃圾邮件D. 所有选项都是10. 在网络安全中,VPN的作用是什么?A. 提供网络虚拟化B. 加密网络通信C. 提高网络速度D. 管理网络设备二、填空题(每题2分,共20分)1. 信息安全的核心目标包括______、______和______。
2. 在网络通信中,______协议可以为数据传输提供加密和身份验证。
3. 为了防止网络攻击,个人用户应该定期______和______自己的操作系统及应用软件。
4. ______是一种通过伪装成合法用户来获取敏感信息的攻击手段。
5. 在网络安全中,______是指网络中的一个节点被攻击者控制,进而对其他节点发起攻击。
6. 为了保护电子邮件安全,应该避免点击______链接和下载不明来源的______。
第一章1.以下哪项不是计算机病毒检测技术答案:虚拟专用网技术2.以下关于Wanna Cry勒索病毒说法错误的是答案:具有跨平台特性,可以感染Linux操作系统主机3.计算机病毒命名规范中,前缀Trojan代表此病毒数据哪一类型答案:木马4.一下那个选项不是计算机病毒产生的原因答案:升级计算机系统5.关于计算机病毒的变异,以下说法正确的是答案:都是人为所致第二章1.关于哈希函数说法错误的是答案:彩虹表是一种安全的哈希函数2.关于柯克霍夫原则说法正确的是答案:大多数民用加密系统都使用公开的算法3.密码体制的分类说法错误的是答案:对称密码体制也称做双钥密码体制4.关于密码学的发展阶段以下说法错误的是答案:古典密码技术在现代计算机技术条件下都是安全的5.关于密码学学术流派说法错误的是答案:编码密码学是由密码分析学发展而来第三章1.以下哪项不是PKI标准答案:ISO200072.以下哪项不是PKI的应用答案:入侵检测系统(IDS)3.PKI的组成中不包含哪项答案:证书仲裁机构(JA)4.PKI的全称是答案:公钥基础设施5.以下哪项不是数字证书中包含的内容答案:对称加密算法第四章1.关于防火墙的主要作用说法不正确的是答案:可以有效阻止被病毒感染的程序或文件的传递。
2.以下哪一项不是防火墙一般包含的接口答案:音频接口3.以下哪一项不是网络监听防护手段答案:安装反病毒软件4.以下关于漏洞说法不正确的是答案:漏洞是无法修补的5.以下哪项不是利用TCP协议进行的网络扫描答案:ping扫描第五章1.以下哪项不是入侵检测技术的主要作用答案:实现用户访问控制2.关于应用层代理防火墙的主要作用说法不正确的是答案:速度快,性能高,对用户透明,用户不用管它是怎么设置的3.关于防火墙的局限性以下说法正确的是答案:不能防止数据驱动式攻击4.关于防火墙的主要作用说法不正确的是答案:防火墙是审计和记录 Internet使用量的一个最佳地方。
信息安全导论试卷(总分108')(答案仅供参考)一名词解释;(18'每个3')信息安全:是指对信息的保密性、完整性和可用性的,可控性和不可否认性的保持,保护信息系统的硬件,软件,及相关数据,使之不应为偶然或者恶意侵犯而遭受破坏更改及泄漏,保证信息系统能够连续可靠正常的运行。
VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。
通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。
数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明应急响应:是指安全技术人员在遇到突发事件后所采取的措施和行动。
而突发事件是指影响一个系统正常工作的情况风险评估:风险评估有时也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁,影响和薄弱点及其可能发生的风险的可能行评估,也就是确定安全风险及其大小的过程。
入侵检测:对入侵行为的发觉。
他通过对计算机网络和计算机系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
二选择题(36'每个2')1.按密钥类型,加密算法可以分为(D)A.序列算法和分组算法B.序列算法和公钥密码算法C公钥密码算法分组算法 D公钥密码算法和对称密码算法2.口令破解的最好攻击方法(C);A.暴力破解B.社会工程C.字典攻击D.生日攻击3.杂凑码(长度<=128bit)的最好攻击方法(D);A.穷举攻击B.中途相遇C.字典攻击D.生日攻击4..可以被数据完整性机制防止的攻击方式是(D);A.假冒源地址或用户地址欺骗攻击B.抵赖信息的递交行为C.数据中途被攻击者窃听获取D.数据在途中被攻击者篡改5.会话侦听与劫持技术”是属于(B)技术;A.密码分析还原B.协议漏洞渗透C.应用漏洞渗透与分析D.DOS攻击6.PKI(公钥基础设施)的主要组成不包括(B);A.证书授权CAB.SSL(安全套接层)C.证书授权RAD.证书存储库CR7.恶意代码是(D);A.病毒蠕虫,木马和后门B.****和****C.广告插件D.以上都是8.社会工程学常被黑客用于(A);A.口令获取B.AKP欺骗C.TCP会话劫持D.DDOS9.windows中强制终止进程使用如下(C)指令;A.tasklistsatC.taskkillshare?10.现代病毒融入了(D)新技术;A.进程注入B.注册表隐藏C.漏洞扫描D.都是11.网络密罐技术是用于(引诱攻击);A.****B.****C.****D.**** (引诱攻击)12.利用TCP/IP三次握手的协议漏洞的攻击是(A);(DOS,DDOS,DROS)A.ARP(地址解析协议)欺骗B.DNS(域名系统)欺骗C.URL(统一资源定位符也被称为网页地址)攻击D.源路由攻击13.攻击溢出攻击的核心是:(C )A.修改堆栈记录中进程的返回地址B.利用shellcodeC.提升用户进程权限D.捕捉程序漏洞14.在被屏蔽主机体系结构中堡垒主机位于(A),所有的外部临界都有过滤路由器路由到它上面去;A.内部网络B.周边网络C.外部网络D.自由连接15.外部数据包过滤路由器只能阻止一种IP欺骗,即(D),而不能阻止DNS欺骗;A.内部主机伪装成外部主机的IPB.内部主机伪装成内部主机的IPC.外部主机伪装成外部主机的IPD.外部主机伪装成内部主机的IP16.关于防火墙的描述不正确的是(D)A.防火墙不能防止内部攻击B.如果一个公司的信息安全制度不明确,拥有再好的防火墙也没有用C.防火墙可以防止伪装成外部信任主机的IP地址欺骗D.防火墙可以防止伪装成内部信任主机的IP地址欺骗17.ICMP数据包的过滤主要基于(C);A.目标端口B.源端口C.消息类代码D.ACK位18.网络安全的特征应具有:保密性,完整性,可用性和可控性,四个方面。
题干A1WINDOWS日志的特点包括:包括应用程序、安全、2网络安全策略包括:物理安全策略3计算机病毒的传播有如下几种方式:通过不可移动的计算机4WINDOWS-XP系统中用户账户分为哪两种类型?计算机管理员5用户高级管理设置中包含什么功能?禁止用户修改密码6信息安全的三要素是访问控制7信息安全主要涉及到信息的可用性是指资源只能由授权实体修改。
正确8一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的,有通用的安全解决正确9信息安全关心的是保护信息资源免受威胁。
绝对安全是不可能的,只能通过一定的措施把安全风险降低到一个可接正确10物理层的安全机制主要采用数据流加密正确11数据链路层保护是借助一个操作透明的加密设备来提供的。
正确12物理层保护的目标是保护整个物理服务数据比特流,以及提供通信业务流机密性。
正确13应用层可以提供基本的安全服务,只能单独提供,不能联合提供:正确14完整性是指,确保内容不会被破坏或篡改。
只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
正确15可控性是指个体在网络中签署的文件或进行的交易不容抵赖,保证网上业务的正常开展。
正确16不可抵赖性是指反映的是信息系统不会被非授权使用,信息的流动可以被选择性阻断。
正确17对于可能发现的漏洞、风险,规定相应的补救方法,而不能取消一些相应的服务。
正确18存在绝对安全的安全防护体系。
正确19物理层的安全机制主要采用数据流加密。
正确20物理层保护是借助一个操作透明的加密设备来提供的。
正确21银行登录系统的验证码是为了防止口令联机攻击。
正确22为了保证网上交易的安全性,银行系统普遍采用的是https 协议正确23不可抵赖性是指个体在网络中签署的文件或进行的交易不容抵赖,保证网上业务的正常开展。
正确24所谓漏洞就是系统软件或硬件存在着某种形式的脆弱性,这种脆弱性存在的直接后果就是不允许非法用户在没经过正确25如果该文件中的口令比较简单,攻击者可以获得准确的口令并用这个口令进入服务器获取资源。
信息安全导论期末试题及答案第一部分:选择题1. 以下哪个属于信息安全的三要素?A. 机密性B. 健康性C. 美观性D. 公正性答案:A. 机密性2. 哪种类型的攻击是通过发送过多的请求来耗尽系统资源?A. 木马攻击B. 拒绝服务攻击C. 密码破解攻击D. 物理攻击答案:B. 拒绝服务攻击3. 哪个密码算法是对称加密算法?A. RSAB. AESC. SHA-1D. Diffie-Hellman答案:B. AES4. 数据备份的主要目的是什么?A. 恢复已丢失的数据B. 提供额外的存储空间C. 加密数据以保护隐私D. 提高网络性能答案:A. 恢复已丢失的数据5. 以下哪个是一种常见的网络钓鱼攻击方式?A. 电子邮件滥用B. 操作系统漏洞利用C. 社交工程D. IP欺骗答案:C. 社交工程第二部分:描述题1. 请简要解释什么是加密算法,并举例说明。
答:加密算法是一种确保信息安全性的数学方法。
它将原始数据(称为明文)通过一定的运算转换成加密后的数据(称为密文),从而防止未经授权的人员访问明文内容。
举例来说,AES(高级加密标准)是一种对称加密算法,被广泛应用于数据传输和存储过程。
它使用相同的密钥对明文进行加密和解密操作,确保只有掌握正确密钥的人才能解密并获取原始数据。
2. 简要描述访问控制的概念,并说明它在信息安全中的重要性。
答:访问控制是指通过确定用户、程序或系统组件是否具备执行特定操作或访问特定资源的权限来保护信息系统和数据的安全性。
它通过限制未经授权的访问,确保只有授权人员可以获取和修改数据。
访问控制在信息安全中起到至关重要的作用。
它可以防止未经授权的用户或攻击者对敏感数据进行访问、篡改或窃取。
通过有效的访问控制,可以限制用户的权限,确保他们只能访问和操作他们需要的数据,同时保护系统免受恶意软件和未知漏洞的攻击。
第三部分:应用题1. 请列举并详细介绍至少三种网络安全威胁和对应的应对措施。
答:1)恶意软件:恶意软件(如病毒、木马、蠕虫等)可以被用来窃取用户的敏感信息、破坏系统或网络。
第一章信息安全概述1、以下哪一项不是信息安全问题()A.支付宝账号被盗B.QQ号密码被盗C.Windows系统软件更新D.个人邮箱收到大量垃圾邮件2、信息安全的目标不包括以下哪一项()A.机密性B.完整性C.可用性D.合法性3、下列属于信息安全当前特点的是()A.攻击的高级性和信息安全的对称性B.危害的倍增性和威胁的多元性C.信息安全的对称性和危害的倍增性D.威胁的多元性和攻击的可预见性4、下列关于信息安全说法正确的是()A.信息安全是指保证信息不受来自外部的各种形式的危险、威胁、侵害和误导。
B.随着科学技术得到进步,信息安全能够带来的危害将越来越小。
C.信息安全包括技术层面和管理层面的安全防护措施。
D.信息安全主要是防止信息的破坏和泄露,对于散播的虚假信息则不属于信息安全的范围。
5、下列关于信息安全未来发展趋势说法错误的是()。
A.万物互联,智慧互通B.防护和管控分布到不同设备上。
C.信息泄露事件爆发几率增加D.攻防技术矛盾加剧答案:CDBCB第二章操作系统安全1、关于操作系统的叙述不正确的是()。
A."管理资源的程序" B."管理用户程序执行的程序" C."能使系统资源提高效率的程序" D."能方便用户编程的程序"2、从用户的观点看,操作系统是( )。
A.用户与计算机硬件之间的接口 B.控制和管理计算机资源的软件C.合理组织计算机工作流程的软件 D.计算机资源的的管理者3、以下关于漏洞的说法,错误的是()。
A.从操作系统软件编写完成开始运行那刻起,系统漏洞就随之产生了;B.一切可能导致系统安全问题的因素都可以称之为系统安全漏洞;C.通过RDP漏洞,黑客可以取得PC的完全控制权,或者发动DDos攻击;……D.通过帮助“帮助和支持中心”漏洞,黑客可以删除用户系统的文件;4、恶意代码攻击的过程正确的是()。
A.侵入系统→维持或提升权限→隐蔽→潜伏→破坏→再次新的攻击B.侵入系统→隐蔽→潜伏→维持或提升权限→破坏→再次新的攻击C.侵入系统→潜伏→维持或提升权限→破坏→隐蔽→再次新的攻击D.侵入系统→维持或提升权限→潜伏→隐蔽→破坏→再次新的攻击5、为了保证系统安全,下面做法不恰当的是()。
信息安全导论李冬冬期末题目1。
密码学的目的是(C).A. 研究数据加密B. 研究数据解密C。
研究数据保密 D。
研究信息安全2。
从攻击方式区分攻击类型,可分为被动攻击和主动攻击。
被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。
A。
阻止,检测,阻止,检测 B。
检测,阻止,检测,阻止C. 检测,阻止,阻止,检测D. 上面3项都不是3. 数据保密性安全服务的基础是(D)。
A. 数据完整性机制 B。
数字签名机制C. 访问控制机制D. 加密机制4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。
A。
多一道加密工序使密文更难破译B。
提高密文的计算速度C。
缩小签名密文的长度,加快数字签名和验证签名的运算速度D。
保证密文能正确还原成明文5。
基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C).A. 公钥认证 B。
零知识认证C。
共享密钥认证 D. 口令认证6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。
A。
分类组织成组 B. 严格限制数量C。
按访问时间排序,删除长期没有访问的用户D. 不作任何限制7. PKI管理对象不包括(A)。
A。
ID和口令 B. 证书C. 密钥 D。
证书撤消8。
下面不属于PKI组成部分的是(D)。
A. 证书主体B. 使用证书的应用和系统C。
证书权威机构 D。
AS9。
IKE协商的第一阶段可以采用(C).A. 主模式、快速模式 B。
快速模式、积极模式C。
主模式、积极模式 D。
新组模式10.AH协议和ESP协议有(A)种工作模式.A。
二 B. 三 C. 四 D. 五11。
(C)属于Web中使用的安全协议。
A. PEM、SSL B。
S-HTTP、S/MIMEC。
SSL、S—HTTP D。
S/MIME、SSL12. 包过滤型防火墙原理上是基于(C)进行分析的技术。
《信息安全导论》练习题及参考答案一、选择题1、保密性表示对信息资源开放范围的控制,不让不应涉密的人涉及秘密信息,实现保密性的一般方法有( A B C D F )A)数据加密B)访问控制C)信息流控制D)推理控制MD5最后的输出散列值的长度为( C )bit。
A)512B)160C)128D)2566、进程p指定一个安全类SC(p),说明p可以读入的最高类和可写入的最低类。
进程p需要从x1,x2,…x m读出而向y1,y2,…y n写入,那么下列那个关系式满足这个访问控制的要求(B)A)SC(y1)?SC(y2)?…?SC(y n)<=SC(P)<=SC(x1)⊙SC(x2)⊙…⊙SC(x m)B)SC(x1)?SC(x2)?…?SC(x m)<=SC(P)<=SC(y1)⊙SC(y2)⊙…⊙SC(y n)C )SC(y 1)⊙SC(y 2)⊙…⊙SC(y n )<=SC(P)<=SC(x 1)?SC(x 2)?…?SC(x m )D )SC(x 1)⊙SC(x 2)⊙…⊙SC(x m )<=SC(P)<=SC(y 1)?SC(y 2)?…?SC(y n )7、在各种访问控制技术中,ACL 方式是实现DAC 策略的最好方法。
下表是客体FILE1C D )A )组prog 中只有Joann 有REW 权,同组其他成员只有R 权。
B )任意组中,用户zbs 有RE 权。
C )无论那个组,任何用户都没有权限。
D )组prog 的所有用户都只有R 权。
8、为了保证数据的完整性、一致性,DBMS 通常提供相关的技术来保证数据库) A )用户进入系统前,需要鉴别与确证 B )每一个用户都要授与一定的权限C )用户或程序的访问权信息是受保护的,是不会被非法修改的D )每一用户的权限能相互转授13、访问控制矩阵模型中包括三个要素,那么他们是( A C D ) A )系统中的客体集 B )系统中的用户集 C )系统中的主体集D )系统中主体对客体的访问权限集合14、用数据库来实现对数据信息的管理,在许多方面都有强于文件系统,具体体现在如下几个方面( A B C D E )A)共享性B)最小的冗余度C)数据的一致性D)数据的完整性E)强有力的访问控制15、数据库主要的安全要求主要体现在如下几个方面( A B C D )A)数据库的完整性B)数据库的可靠性C)数据库的保密性D)数据库的可用性初始时不存在,通过执行赋值句“y := x”,则产生 5 比特的x-->y的信息流。
7、在大型的数据库系统中,DBMS提供触发器功能,用于监视正在输入或修改的值是否破坏数据库的完整性,触发器的可以完成的功能为:检查取值类型与范围,依据状态限制,依据业务限制。
8、信息安全的最根本属性是防御性的,主要目的是防止己方信息的完整性、保密性、与可用性遭到破坏。
四、名词解释1、公钥密码体制指一个加密系统的加密密钥和解密密钥时不一样的,或者说不能由一个推导出另一个,其中一个称为公钥用于加密,是公开的,另一个称为私钥用于解密,是保密的。
其中用公钥计算私钥是难解的,即所谓的不能由一个推出另一个。
2、数据保密服务用来保护网络中交换的数据,防止未经许可地暴露数据内容。
根据OSI标准协议中规定的数据交换方式,它提供连接方式和无连接方式的数据保密服务。
此外它还提供从观察信息流就能推导出信息的保护和允许用户选择协议数据单元中的某些字段进行保护。
3、访问控制矩阵是通过矩阵形式表示访问规则和授权用户权限的方法,也就是说,对每个主体而言,都拥有对哪些客体有哪些访问的权限;而对客体而言,又有哪些主体对他可以实施访问。
将这种关联关系加以阐,而采a) median(男,奖金)=?b)设特征公式为:C=女*(销售部+计划处)+安监部,则|C|=?,rfreq(c)=?avg(c,工资)=?c)在“1-响应,98%-支配”标准下,为何要限制Sum(销售部,工资)或Sum(男*销售部,工资) 这两个统计?答:a) median(男,奖金)=150(2分)b)|C|=4,rfreq(c)=4/11 avg(c,工资)=575(2分)c)Sum(销售部,工资)- Sum(男*销售部,工资)=500 根据外部知识,泄漏了销售部唯一女职工黄爱玲的工资情况(2分)六、简述题1、简述两阶段提交技术,及其在保证数据完整性和一致性方面的作用。
答:为了保证数据更新结果的正确性,必须防止在数据更新过程中发生处理程序中断或出现错误,4、采用分组与通配符的方法有助缩短ACL表的长度,提高系统效率。
根据客体File1的ACL的结构和内容,简述客体File1的访问控制。
答:组prog中只有Joann有REW权,同组其他成员只有R权任意组中,用户zbs有RE权其他情况没有任何权限5、系统状态的转换是依靠一套本原命令来实现的,这些命令是用一系列改变访问矩阵内容的本原操作来定义的,在访问矩阵模型中定义了6种本原操作,对文件f有所有权的进程p,可以把对f的任何权利(除所有权外)转授给其他进程,请完成下面的命令序列,以实现p把对文件f的read和write权限转授给进程qcommand confer_read_write(p,q,f)if own in A[p,f]then enter r into A[q,f]enter w into A[q,f]end6、简述产生缓冲区溢出的主要原因答:1)程序员缺少编程经验,程序中没有检查缓冲区边界的功能2)程序编制错误造成的。
3)程序员故意遗留下来的程序漏洞。
4)程序设计语言编译器本身的缺陷。
,设备通常了,但方法简单,密钥管理相对简单2)库内加密记录加密属性加密元素加密问题:密钥多,管理复杂。
11、分析密码体制的基本要求基本要求:(1)对所有密钥,加、解密算法迅速有效✍对加解密的软硬件要求低✍容易推广普及(2)体制的安全性不依赖于算法的保密✍筛选抗分析✍用户有关✍与开发者无关12、简述数字签名的基本要求基本要求:1、签名不能伪造:签名是签名者对文件内容合法性的认同、证明、和标记,其他人的签名无效;2、签名不可抵赖:这是对签名者的约束,签名者的认同、证明、标记是不可否认的;3、签名不可改变:文件签名后是不可改变的,这保证了签名的真实性、可靠性;4、签名不可重复使用:签名需要时间标记,这样可以保证签名不可重复使用。
5、签名容易验证:对于签名的文件,一旦发生纠纷,任何第三方都可以准确、有效地进行验证。
13、简述访问控制的基本任务和实现方法。
基本任务:是保证对客体的所有直接访问都是被认可的。
它通过对程序与数据的读、写、更改和删除的控制,保证系统的安全性和有效性,以免受偶然的和蓄意的侵犯。
实现:由支持安全策略的执行机制实现14、简述访问监控器的不知之处。
1)访问监控器主要还是作为单级安全模型使用的,受监视的目标要么允许被访问,要么不允许需要由DBMS、应用软件的开发者和用户共同完成。
七、论述题1、和操作系统相比,为什么说数据库的访问控制的难度要大的多?(6分)答:1)管理对象量的差别(2分)操作系统要管理的客体量比较小数据库系统要控制的对象如记录的量可能很大,2)管理对象之间关系的差别(2分)操作系统要管理的客体之间的关系简单数据库系统要控制的对象之间的关系复杂3)控制粒度上的差别(2分)操作系统要的控制粒度最多达到文件一级数据库系统要控制粒度可以是表,记录,属性4)推理攻击控制上的差别使数据库的访问控制机制不仅要防止直接的泄漏,而且还要防止推理泄漏的问题操作系统中一般不存在这种推理泄漏问题,它所管理的目标(文件)之间并没有逻辑关系2、举例说明:要构造一个即满足安全性又满足精确性的信息流控制机制是困难的。
(6分)答:考虑赋值语句“y := k*x”。
(3’)假定在一个策略中,SC(k)≤SC(y)成立,但SC(x)≤SC(y)不成立。
如果总是禁止其执行,是安全的,但不精确。
的任何,使用散列函数的不足:由于散列函数存在碰撞问题,这就给攻击者利用碰撞进行攻击提供了可能,例如,1)求原文的摘要2)按自己的意图修改原文,3)插入无意义的字符,构造其散列值,使其散列值与原文的摘要一致即可4)这样有最终的消息,替换原文。
5、对比分析对称与非对称密码体制、7、数据库的完整性体现在哪些方面,以及如何保证数据库的完整性。
1)在物理完整性方面,要求从硬件或环境方面保护数据库的安全,防止数据被破坏或不可读。
例如,应该有措施解决掉电时数据不丢失不破坏的问题,存储介质损坏时数据的可利用性问题,还应该有防止各种灾害(如火灾、地震等)对数据库造成不可弥补的损失,应该有灾后数据库快速恢复能力。
数据库的物理完整性和数据库留驻的计算机系统硬件可靠性与安全性有关,也与环境的安全保障措施有关。
2)在逻辑完整性方面,要求保持数据库逻辑结构的完整性,需要严格控制数据库的创立与删除、库表的建立、删除和更改的操作,这些操作只能允许具有数据库拥有者或系统管理员权限的人才能够进行。
逻辑完整性还包括数据库结构和库表结构设计的合理性,尽量减少字段与字段之间、库表与库表之间不必要的关联,减少不必要的冗余字段,防止发生修改一个字段的值影响其他字段的情况。
3)在元素完整性方面,元素完整性主要是指保持数据字段内容的正确性与准确性。
元素完整性需要由DBMS、应用软件的开发者和用户共同完成。
