A.A级 B.B级 C.C级 D.D级 E.E级
19. Web服务的实现包括哪些部分( ABE )。 A.服务器端 B.客户端 C.程序员端 D.管理员端 E.通信协议
20. PKI系统的实现包括( ABCD )。 A.证书签发 B.证书撤销 C.证书查询
D.证书使用 E.证书审核
三、判断题(共15题,对的在括号内打“√”,错的打“╳”)
1. 为确保信息保护被纳入整个系统中,必须在进行系统工程设计的过程中考虑
ISSE。(F )
2. ISSE过程是系统工程的子过程,其重点是通过实施系统工程过程来满足用户
信息目标的分析。( F)
3. SSE-CMM模型设置了5个能力成熟级别。( F )
4. 系统灾难响应分为快速响应和灾难恢复两个步骤。( T )
5. 现在的网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端
的基本威胁。( F )
6. 未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安
全威胁。( T )
7. 从CGI编程角度考虑安全,采用解释语言比编译语言会更安全些。( F ) 8. SSE-CMM模型本身是一个安全技术模型,在保证上强调对安全工程过程结果
质量可重复性的保证。( F )
9. SSE-CMM模型体系结构的横坐标为过程区,纵坐标为能力级别。( T ) 10. 在信息技术中,为了使组织保持竞争力,所有通信系统都必须保持24h持续
工作。(T )
11. 所有文件访问都是通过用户身份和组关系来管理的,Unix使用基于身份的访
问控制用于基本的资源保护。( T )
12. 数据库中的数据是语义相关的,用户不可以直接访问数据项而简介获取数据
内容。( F )
13. 标识和认证是数据库的第二道防线,也是授权和审计的前提。 ( F ) 14. 在PKI提供的认证服务中,身份识别可以检验用户身份的真伪,鉴别就是确
认实体即自己所声明的实体。( F )
15. 非对称密钥容易管理,没有复杂的密钥分发问题且支持签名和不可否认性。
(T )
四、简答题(共7题,紧扣题意,简明扼要)
1.请简述SSE-CMM的适应范围。
2.请简述全备份策略的优缺点。
3.根据违反数据库安全性所导致的后果,请简述数据库系统的几类安全威胁。
4.散列函数是密码的的基础,请简述散列函数的特点。
5.请简述数字签名的实现过程。
6.信息泄密的途径很多, 请简述计算机及其外部设备内的信息通常通过两种途径被泄露,请简述这两种造成信息泄密的途径。
五、论述(共3题,清晰明确)
1. 请论述ISSE的活动主要包括什么?
2. 请论述SSE-CMM的几个能力级别。
3. 请论述制定灾难恢复计划的步骤。 第二章 参考答案: 一、单项选择题
1-10 D B C C B B D A C A 11-20 A C A B A C C B C A 二、多项选择题
1-5 ACE ACD ABD BCDE ACD 6-10 BCE BDE ACD ABCD ACDE
11-15 ABDE ABCDE ABD ABCDE ABCDE 16-20 ABC ABD ABC ABE ABCD 三、判断题
1-10 X X X √ X √ X X √ √ 11-15 √ X X X √ 四、简答题。
1. ①覆盖了涉及可信产品或安全系统的整个生命周期内的安全工程活动, 包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 ②应用于安全产品开发商、安全系统开发商和集成商,以及提供安全服 务和安全工程的机构。
③应用于所有类型和大小的安全工程机构,如商业机构、政府机构和学 术机构等。
2. 全备份的优点是:①完整的数据副本,全备份意味着如果需要恢复系统,可以方便地获得完整的数据副本;②快速访问备份数据,不需要搜索多盘磁带查找需要恢复的文件,因为全备份包含硬盘上特定时间点的所有数据。
全备份的缺点有:①重复数据,全备份保存有重复数据,因为每次执行完整备份时,都将更改和未更改的数据复制到磁带中;②消耗时间,由于需要备份的数据量相当大,全备份需要更长的执行时间,非常耗时。
3. 根据违反数据库安全性所导致的后果,安全威胁可以分为以下几类: ①非授权的信息泄露:未获授权的用户有意或无意得到信息。通过对授权访问的数据进行推导分析获取非授权的信息。
②非授权的数据修改:包括所有通过数据处理和修改而违反信息完整性的行为。但是非授权修改不一定会涉及非授权的信息泄露,因为对于入侵者而言即使不读出数据库中的数据亦可以进行破坏。
③拒绝服务:包括会影响用户访问数据或使用资源的行为。 4. 散列函数的主要功能是实现信息的完整性,具有以下特点: ①输入可以为任意长度。
②输出数据长度固定(即Hash值的长度由算法的类型决定,与输入的消息大小无关)。
③单向性,即给出一个Hash值,很难反向计算出原始输入。
④唯一性,即难以找到两个不同的输入会得到相同的Hash输出值。 5. 数字签名实现过程描述如下:
①发送方A用单向散列函数对消息散列,得到一个固定长度的数据项,即消息摘要。
相关推荐: