计算机三级信息安全技术综合题题库.docx

《计算机三级信息安全技术综合题题库.docx》由会员分享，可在线阅读，更多相关《计算机三级信息安全技术综合题题库.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一套1、为了构建一个简洁、平安的客户机/效劳器形式的应用系统，要求：能平安存储用户的口令（无须解密）；用户口令在网络传输中须要被疼惜；用户与效劳器须要进展密钥协商，以便在非疼惜信道中实现平安通信；在通信过程中能对消息进展认证，以确保消息未被篡改。（共10分） 假设要构建的应用系统允许运用MD5、AES、Diffie-Hellman算法，给定消息m，定义MD5(m)与AES(m)分别表示对m的相应处理。为了准确地描绘算法，另外定义如下：给定数x、y与z，x*y表示乘法运算，x/y表示除法运算，xy表示指数运算，而x(y/z)表示指数为y/z。请答复下述问题： （1）为了平安存储用户的口令，效劳

2、器须要将每个用户的口令承受 _【1】_算法运算后存储。（1分） （2）在建立平安通信前，用户须要首先提交用户名与口令到效劳器进展认证，为了防止口令在网络传输中被窃听，客户机程序将承受 _【2】_算法对口令运算后再发送。（1分） （3）为了在效劳器与认证通过的用户之间建立平安通信，即在非疼惜的信道上创立一个会话密钥，最有效的密钥交换协议是 _【3】_算法。（2分） （4）假定有两个全局公开的参数，分别为一个素数p与一个整数g，g是p的一个原根，为了协商共享的会话密钥： 首先，效劳器随机选取a，计算出A= _【4】_ mod p，并将A发送给用户；（1分）然后，用户随机选取b，计算出B= _【5】

3、_ mod p，并将B发送给效劳器；（1分）最终，效劳器与用户就可以计算得到共享的会话密钥key= _【6】_ mod p。（2分） （5）为了同时确保数据的保密性与完好性，用户承受AES对消息m加密，并利用MD5产生消息密文的认证码，发送给效劳器；假设效劳器收到的消息密文为c，认证码为z。效劳器只须要验证z是否等于 _【7】_即可验证消息是否在传输过程中被篡改。（2分）2、为了增加数据库的平安性，请按操作要求补全SQL语句：（每空1分，共5分）（1）创立一个角色R1： _【8】_ R1;（2）为角色R1支配Student表的INSERT、UPDATE、SELECT权限： _【9】_ INSE

4、RT,UPDATE,SELECT ON TABLE Student TO R1;（3）削减角色R1的SELECT权限： _【10】_ ON TABLE Student FROM R1;（4）将角色R1授予王平，使其具有角色R1所包含的全部权限： _【11】_ TO 王平;（5）对修改Student表数据的操作进展审计：_【12】_ UPDATE ON Student;3)下图是TCP半连接扫描的原理图。其中，图1为目的主机端口处于监听状态时，TCP半连接扫描的原理图；图2为目的主机端口未翻开时，TCP半连接扫描的原理图。请根据TCP半连接扫描的原理，补全扫描过程中各数据包的标记位与状态值信息。

5、（每空1分，共10分） 请在下表中输入A-J代表的内容 A：_【13】_ B：_【14】_ C：_ 【15】_ D：_【16】_ E：_【17】_ F：_【18】_ G：_【19】_ H：_【20】_ I：_【21】_ J：_【22】_4、 一个程序运行中进展函数调用时，对应内存中栈的操作如下：（每空1分，共5分）第一步， _【23】_入栈；第二步， _【24】_入栈；第三步， _【25】_跳转；第四步，ebp中母函数栈帧 _【26】_ 入栈； 第五步， _【27】_值装入ebp，ebp更新为新栈帧基地址；第六步，给新栈帧支配空间。第二套1、为了构建一个简洁、平安的客户机/效劳器形式的应用系统

6、，要求：能平安存储用户的口令（无须解密），且对网络传输中的口令进展疼惜；运用第三方权威证书管理机构CA来对每个用户的公钥进展支配。（共10分）假设要构建的应用系统只允许运用MD5、AES、RSA算法。请答复下述问题：（1）为了平安存储用户的口令，效劳器须要将每个用户的口令承受 _【1】_算法运算后存储。为了能通过用户名与口令实现身份认证，用户将承受一样的算法对口令运算后发送给效劳器。（1分）（2）SHA算法的消息摘要长度为 _【2】_位。（1分）（3）用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的 _【3】_对证书加以验证。（2分）（4）要实现消息认证，产生认证码的函数类型有

7、三类：消息加密、消息认证码与 _【4】_。（1分）（5）为了确保RSA密码的平安，必需细致选择公钥参数(n,e)：模数n至少 _【5】_位；为了使加密速度快，根据反复平方乘算法，e的二进制表示中应当含有尽量少的 _【6】_。（每空1分）（6）假设Alice的RSA公钥为(n=15,e=3)。Bob发送消息m=3给Alice，则Bob对消息加密后得到的密文是 _【7】_。已知素数p=3，q=5，则Alice的私钥d= _【8】_。（第1空1分，第2空2分）2、请答复有关数据库自主存取限制的有关问题。（每空1分，共5分） （1）自主存取限制可以定义各个用户对不同数据对象的存取权限，向用户授予权限的

8、SQL嘱咐是_【9】_，假设指定了 _【10】_子句，则获得某种权限的用户还可以把这种权限再授予其它的用户；向用户收回所授予权限的SQL嘱咐是 _【11】_。 （2）对数据库形式的受权则由DBA在创立用户时实现，假设在CREATE USER嘱咐中没有指定创立的新用户的权限，默认该用户拥有 _【12】_权限。 （3）可以为一组具有一样权限的用户创立一个 _【13】_，用其来管理数据库权限可以简化受权的过程。3、在下图中，内网有两台计算机A与B，通过交换机连接到网关设备最终连入互联网，其中计算机A的IP地址为192.168.1.10，MAC地址为MACA；计算机B的IP地址为192.168.1.2

9、0，MAC地址为MACB；网关设备的IP地址为59.60.1.1，MAC地址为MACG。（每空1分，共10分） 图 网络拓扑图 其中，计算机B感染了ARP病毒，此ARP病毒向其它内网计算机发起假装网关ARP欺瞒攻击，它发送的ARP欺瞒数据包中，IP地址为 _【14】_，MAC地址为 _【15】_。为了防止ARP欺瞒，须要在内网计算机与网关设备上进展IP地址与MAC地址的双向静态绑定。首先，在内网中的计算机A设置防止假装网关欺瞒攻击的静态绑定：arp _【16】_/清空ARP缓存表arp _【17】_ _【18】_ _【19】_/将IP地址与MAC地址静态绑定然后，在网关设备中对计算机A设置IP

10、地址与MAC地址的绑定： arp _【20】_/清空ARP缓存表arp _【21】_ _【22】_ _【23】_/将IP地址与MAC地址静态绑定4、有些软件的马脚存在于动态链接库中，这些动态链接库在内存中的栈帧地址是动态变更的，因此进展马脚利用的Shellcode地址也是动态变更的。下图是以jmp esp指令做为跳板，针对动态变更Shellcode地址的马脚利用技术原理图，左右两局部说明了缓冲区溢出前后内存中栈帧的变更状况。（每空1分，共5分） 图 马脚利用技术原理图请补全图中右半局部的相应内容，并填入下面【24】-【28】中。 【24】: _ 【25】: _ 【26】: _ 【27】: _

11、【28】: _第三套1、在一个基于公钥密码机制的平安应用系统中，假设用户Alice与Bob分别拥有自己的公钥与私钥。请答复下述问题：（每空1分，共10分） （1）在选择公钥密码RSA、ECC与ElGamal时，为了在一样平安性的根底上承受较短的密钥，应中选择其中的 _【1】_，且应确保选取的参数规模大于 _【2】_位。（2）为了获得两方平安通信时所需的密钥，应用系统承受了基于中心的密钥分发，利用可信第三方KDC来施行。图1所示的密钥分发模型是 _【3】_模型，图2所示的密钥分发模型是 _【4】_模型。在客户端与效劳器进展平安通信时，在Kerberos实现认证管理的本地网络环境中，把获得密钥的任

12、务交给大量的客户端，可以减轻效劳器的负担，即承受 _【5】_模型；而在运用X9.17设计的广域网环境中，承受由效劳器去获得密钥的方案会好一些，因为效劳器一般与KDC放在一起，即承受 _【6】_模型。（3）为了预防Alice抵赖，Bob要求Alice对其发送的消息进展签名。Alice将运用自己的 _【7】_对消息签名；而Bob可以运用Alice的 _【8】_对签名进展验证。（4）实际应用中为了缩短签名的长度、进步签名的速度，而且为了更平安，常对信息的 _【9】_进展签名。（5）实际应用中，通常须要进展身份认证。基于 _【10】_的身份认证方式是近几年开展起来的一种便利、平安的身份认证技术，它可以

13、存储用户的密钥或数字证书，利用内置的密码算法实现对用户身份的认证。2、以root用户身份登录进入Linux系统后，请补全如下操作所需的嘱咐：（每空1分，共5分） （1）查看当前文件夹下的文件权限。 嘱咐： $_【11】_ （2）给foo文件的分组以读权限。 嘱咐： $_【12】_ g+r foo（3）查看当前登录到系统中的用户。 嘱咐： $_【13】_（4）查看用户wang的近期活动。 嘱咐： $_【14】_（5）用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 嘱咐： $_【15】_3、请完成下列有关SSL协议连接过程的题目。（每空1分，共10分） SSL协议在连接过程中

14、运用数字证书进展身份认证，SSL效劳器在进展SSL连接之前，须要事先向CA申请数字证书，再进展SSL效劳器与客户端之间的连接。 SSL协议的连接过程，即建立SSL效劳器与客户端之间平安通信的过程，共分六个阶段，详细连接过程如下。（1）SSL客户端发送ClientHello恳求，将它所支持的加密算法列表与一个用作产生密钥的随机数发送给效劳器。（2）SSL效劳器发送ServerHello消息，从算法列表中选择一种加密算法，将它发给客户端，同时发送Certificate消息，将SSL效劳器的_【16】_发送给SSL客户端；SSL效劳器同时还供应了一个用作产生密钥的随机数。（3）效劳器可恳求客户端供应

15、证书。这个步骤是可选择的。 （4）SSL客户端首先对SSL效劳器的数字证书进展验证。数字证书的验证包括对下列三局部信息进展确认：验证 _【17】_性，通过比拟当前时间与数字证书截止时间来实现；验证 _【18】_性，查看数字证书是否已废除，即查看数字证书是否已经在 _【19】_中发布来推断是否已经废除；验证 _【20】_性，即数字证书是否被篡改，SSL客户端须要下载 _【21】_的数字证书，利用其数字证书中的 _【22】_验证SSL效劳器数字证书中CA的 _【23】_。 接着，客户端再产生一个pre_master_secret随机密码串，并运用SSL效劳器数字证书中的_【24】_ 对其进展加密，

16、并将加密后的信息发送给SSL效劳器。 （5）SSL效劳器利用自己的_【25】_解密pre_master_secret随机密码串，然后SSL客户端与SSL效劳器端根据pre_master_secret以及客户端与效劳器的随机数值，各自独立计算出会话密钥与MAC密钥。（6）最终客户端与效劳器彼此之间交换各自的握手完成信息。4、根据提示，补全下列有关Windows操作系统中软件马脚利用的防范技术。（每空1分，共5分） （1） _【26】_技术是一项缓冲区溢出的检测防护技术，它的原理是在函数被调用时，在缓冲区与函数返回地址增加一个随机数，在函数返回时，检查此随机数的值是否有变更。（2） _【27】_技

17、术是一项设置内存堆栈区的代码为不行执行的状态，从而防范溢出后代码执行的技术。（3） _【28】_技术是一项通过将系统关键地址随机化，从而使攻击者无法获得须要跳转的准确地址的技术。（4） _【29】_技术与 _【30】_技术是微软公司疼惜SEH函数不被非法利用，防范针对SEH攻击的两种技术。 第四套1、在一个基于公钥密码机制的平安应用系统中，假设用户Alice与Bob分别拥有自己的公钥与私钥。请答复下述问题。（共10分）（1）在产生Alice与Bob的密钥时，假设承受RSA算法，选取的模数n至少要有_【1】_位，假设承受椭圆曲线密码，选取的参数p的规模应大于_【2】_位。（每空1分）（2）基于公

18、钥证书的密钥分发方法是目前广泛流行的密钥分发机制，用户可将自己的公钥通过证书发给另一用户，接收方可用证书管理机构的_【3】_对证书加以验证。（1分）（3）为了预防Alice抵赖，Bob要求Alice对其发送的消息进展签名。Alice将运用自己的_【4】_对消息签名；假设要求对消息保密传输，Alice将运用Bob的_【5】_对消息加密。（每空1分）（4）实际应用中为了缩短签名的长度、进步签名的速度，而且为了更平安，常对信息的_【6】_进展签名。（1分）（5）实际应用中，通常须要进展身份认证。基于口令的认证协议特别简洁，但是很担忧全，两种改良的口令验证机制是：利用_【7】_加密口令与一次性口令。（

19、1分）（6）基于公钥密码也可以实现身份认证，假定Alice与Bob已经知道对方的公钥，Alice为了认证Bob的身份： 首先，Alice发送给Bob一个随机数a，即 Alice Bob：a； 然后，Bob产生一个随机数b，并将b及通过其私钥所产生的签名信息发送给Alice, 假设用SignB表示用Bob的私钥产生数字签名的算法，即 Bob Alice ：b | SignB( a|b )； 最终，为了认证Bob的身份，Alice得到随机数b与签名信息之后，只须要运用Bob的_【8】_对签名信息进展解密，验证解密的结果是否等于_【9】_即可。 （空 1分，空 2分）2、请补全下列有关Windows

20、的平安理论： （每空1分，共5分）（1）Winlogon调用_【10】_DLL，并监视平安认证序列，所调用的DLL将供应一个交互式的界面为用户登陆供应认证恳求。（2）为了防止网络黑客在网络上猜出用户的密码，可以在连续屡次无效登录之后对用户账号实行_【11】_策略。（3）在Windows系统中，任何涉及平安对象的活动都应当受到审核，审核报告将被写入平安日志中，可以运用 _【12】_查看器来查看。（4）为了增加对日志的疼惜，可以编辑注册表来变更日志的存储书目。点击开场运行，在对话框中输入嘱咐 _【13】_，回车后将弹出注册表编辑器。（5）通过修改日志文件的访问权限，可以防止日志文件被清空，前提是W

21、indows系统要承受 _【14】_文件系统格式。3、下图为一个单位的网络拓扑图。根据防火墙不同网络接口连接的网络区域，将防火墙限制的区域分为内网、外网与DMZ三个网络区域。为了实现不同区域间计算机的平安访问，根据此单位的访问需求与防火墙的默认平安策略，为防火墙配置了下面三条访问限制规则。请根据访问限制规则表的要求，填写防火墙的访问限制规则（表1）。其中，访问限制中Y代表允许访问，N代表制止访问。（每空1分，共10分） 表1 防火墙访问限制规则表访问规则源区域目的区域目的IP协议名称访问限制内网可访问Web效劳器_【15】_【16】_【17】_【18】_Y外网可访问Mail效劳器_【19】_【

22、20】_【21】_【22】_或 _【23】_Y随意地址访问随意地址随意随意随意随意_【24】_ 4、 根据要求，请完成下列题目。（每空1分，共5分） （1）根据软件马脚在破坏性、危害性与严峻性方面造成的潜在威逼程度，以及马脚被利用的可能性，可对各种软件马脚进展分级，所分为的四个紧急等级是： 第一级： _【25】_ ； 第二级： _【26】_ ； 第三级： _【27】_ ； 第四级： _【28】_ 。 （2）为了对软件马脚进展统一的命名与管理，多个机构与国家建立了马脚数据库。其中，极少的马脚库供应了检测、测试马脚的样本验证代码。我们往往用马脚样本验证代码的英文缩写 _【29】_ 来称呼马脚样本验

23、证代码。第五套1、顾客Alice支配通过某电子商务网站购置商家Bob的商品，为了认定顾客的购置信息并防止顾客事后抵赖，要求顾客对订单信息进展签名；为了防止信息传输过程中泄密，要求顾客将信息加密后再发送给商家。假设Alice的公钥为PKA、私钥为SKA，Bob的公钥为PKB、私钥为SKB；公钥密码的加密算法为E，加密密钥为K1，待加密的数据为M，加密结果为C，则有C=E(K1, M)；公钥密码的解密算法为D，解密密钥为K2，待解密的数据为C，解密结果为M，则有M=D(K2, C)。（共10分） （1）请基于公钥密码的数字签名体制，补全签名与验证签名过程所执行的根本操作。 假设顾客Alice须要签

24、名的信息为MSG，签名的结果为S_MSG，签名过程所执行的操作为：S_MSG= _【1】_。（2分） 验证签名的过程就是复原明文的过程。商家Bob收到签名S_MSG后，复原签名的信息所执行的操作为：MSG= _【2】_。（2分）（2）请基于公钥密码的加密体制，补全保密通信所执行的根本操作。 假设顾客Alice须要将明文消息MSG1加密后发送给商家Bob，加密的结果为C_MSG，加密过程所执行的操作为：C_MSG= _【3】_。（2分） 商家Bob收到密文C_MSG后，通过解密得到保密传输的明文，解密过程所执行的操作为：MSG1= _【4】_。（2分）（3）实际应用中，为了能对复原出的签名信息进

25、展验证，并防止Alice用以前发送过的签名信息冒充本次签名，须要合理地组织明文的数据格式，一种可行的格式如下：发方标识符收方标识符报文序号时间数据正文纠错码形式上可将Alice发给Bob的第I份报文表示为：M = ，并定义附加包头数据为H = 。这样，Alice将以作为最终报文发送给Bob。Bob收到报文后，通过报文第二局部复原出M，并与报文第一局部信息进展比对，实现对签名信息的验证。（1分）（4）实际应用中，为了缩短签名的长度、进步签名的速度，常对信息的_【6】_进展签名，即运用M的哈希值代替M。（1分）2、已知关系形式：学生（学号，姓名，年龄，班级，性别）。请基于数据库的自主存取限制及视图

26、机制，根据操作要求补全SQL语句。（每空1分，共5分）（1）将学生表的SELECT权限授予王平、张明： _【7】_ ON TABLE 学生 TO 王平, 张明; （2）收回张明对学生表的SELECT权限： _【8】_ ON TABLE 学生 FROM 张明; （3）建立学生表中性别为男的全部学生的视图，视图名字为VIEW_学生： _【9】_ VIEW_学生 AS _【10】_ WHERE _【11】_3、如下图所示，A计算机与B计算机之间部署了防火墙进展平安防护，A计算机的IP地址为192.168.20.100，B计算机是Web效劳器，其IP地址为58.64.152.20，仅对外开放了443端

27、口的访问效劳。防火墙的平安配置要求为：（1）仅允许B计算机接收A计算机发来的对443端口的访问恳求，制止接收A计算机的其它访问恳求；（2）制止B计算机对A计算机的访问恳求。请根据上述平安配置要求，完成下面的防火墙包过滤规则表。（每空1分，共10分）要求：（1）操作的规则设置可选项为：通过、阻断；（2）标记位的规则设置格式为标记位=数值，比方RST=0，假设有多个标记位请以逗号隔开；假设不设置标记位，请填写无。表 包过滤规则表序号方向源IP目的IP协议源端口目的端口标记位操作1A到B192.168.20.10058.64.152.20_【12】_【13】_【14】_【15】_【16】_2B到A5

28、8.64.152.20192.168.20.100_【17】_【18】_【19】_【20】_【21】_3随意网址到随意网址随意随意随意随意随意随意阻断4 )根据题目要求，完成下列题目。（每空1分，共5分） （1）根据马脚生命周期的不同阶段，马脚可分为如下三类： _【22】_马脚，指处于未公开阶段的马脚； _【23】_马脚，通常指发布补丁时间不长的马脚。 已公开马脚，指厂商已经发布补丁的马脚。 （2）在整数溢出马脚中，造成整数溢出的三种缘由是： _【24】_溢出，运用另外的数据类型来保存整型数造成的； _【25】_溢出，对整型变量的操作没有考虑其边界范围； _【26】_问题。第六套1、根据要求，

29、完成下列题目。（共10分）（1）RSA算法基于数论事实：将两个大素数相乘特别简洁，但想要对其乘积进展因式分解却极其困难，因此可以将乘积公开作为加密密钥，详细算法描绘如下：随机选择两个大素数p与q，p与q都保密；计算n= _【1】_，将n公开； （1分） （要求：A与B的乘积表示为AB） 计算(n)= _【2】_，将(n)保密；（1分） 随机选取一个正整数e，1e(n)且e与(n)互素，将e公开； 这样，就确定了RSA密码的公开加密密钥Ke= （1分）根据ed1 mod (n)，计算出d，d保密； 这样，就确定了RSA密码的私有解密密钥Kd= 对消息M进展加密运算：C= _【4】_ mod n；

30、（2分） （要求：A的B次方表示为AB）对密文C进展解密运算：M= _【5】_ mod n。（2分）（2）RSA算法既可用于加密，又可用于数字签名，已成为目前应用最广泛的公开密钥密码之一。在应用中，为了确保RSA密码的平安，必需细致选择RSA密码的参数：应当承受足够大的整数n，普遍认为，n至少应取 _【6】_位；（1分）为了使加密速度快，根据反复平方乘算法，e的二进制表示中应当含有尽量少的1，有学者建议取e= _【7】_，其二进制表示中只有两个1，它比3更平安，而且加密速度也很快；（1分） 与e的选择类似，为了使解密（数字签名）速度快，渴望选用小的d，但是d太小也是不好的。当d小于n的 _【8

31、】_时，已有求出d的攻击方法。（1分）2、今有两个关系形式：职工（职工号，姓名，年龄，职务，工资，部门号）；部门（部门号，名称，经理名，地址， ）。请基于数据库的自主存取限制及视图机制，根据操作要求补全SQL语句。（每空1分，共5分）（1）将职工表的INSERT权限授予王平： _【9】_ ON TABLE 职工 TO 王平;（2）将职工表与部门表的全部权限授予王明，并授予其将权限授予其余用户的权利： _【10】_ ON TABLE 职工, 部门 TO 王明 _【11】_ ;（3）建立部门号为01的部门中年龄大于30的全部职工信息的视图VIEW_职工，以便为用户杨兰支配SELECT权限： _【1

32、2】_ VIEW_职工 AS SELECT X.*, Y.名称FROM 职工 X, 部门Y WHERE _【13】_ AND Y.部门号=01 AND X.部门号=Y.部门号3、如图1所示，A计算机与B计算机之间部署了防火墙进展NAT地址翻译，A计算机的IP地址为172.16.20.10，防火墙的IP地址为54.60.122.20，B计算机的IP地址为210.64.102.30。对于A计算机访问B计算机的网络恳求，防火墙进展NAT地址翻译，请根据NAT地址翻译的原理，将图1中（1）、（2）、（3）、（4）四个数据包的源IP、源端口、目的IP、目的端口信息填入NAT地址翻译表中的相应位置。（每空

33、1分，共10分） 表 NAT地址翻译表数据包序号源IP源端口目的IP目的端口（1）172.16.20.102025210.64.102.308080（2）54.60.122.203680_【14】_【15】_（3）_【16】_【17】_【18】_【19】_（4）_【20】_【21】_【22】_【23】_4、Web应用系统平安涉及到平安防护技术与平安检测技术，请完成下列题目。（每空1分，共5分） （1）根据Web平安防护的不同区域划分Web的平安防护技术，可分为如下三种： _【24】_端平安防护，指阅读器的平安防护； _【25】_平安防护，指疼惜明文数据在网络中传输的平安； _【26】_端平安防护，指对Web应用程序的各种平安威逼的防护。 （2）针对Web的应用程序进展平安检测时，根据是否有源代码，可分为如下两种平安检测技术： _【27】_检测技术，没有Web系统源代码的平安检测技术； _【28】_检测技术，针对Web系统源代码的平安检测技术。第 15 页