“岗位大练兵 业务大比武”中级练习题 - 信息技术

A.A级 B.B级 C.C级 D.D级 E.E级

19. Web服务的实现包括哪些部分（ ABE ）。 A.服务器端 B.客户端 C.程序员端 D.管理员端 E.通信协议

20. PKI系统的实现包括（ ABCD ）。 A.证书签发 B.证书撤销 C.证书查询

D.证书使用 E.证书审核

三、判断题（共15题，对的在括号内打“√”，错的打“╳”）

1. 为确保信息保护被纳入整个系统中，必须在进行系统工程设计的过程中考虑

ISSE。（F ）

2. ISSE过程是系统工程的子过程，其重点是通过实施系统工程过程来满足用户

信息目标的分析。（ F）

3. SSE-CMM模型设置了5个能力成熟级别。（ F ）

4. 系统灾难响应分为快速响应和灾难恢复两个步骤。（ T ）

5. 现在的网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端

的基本威胁。（ F ）

6. 未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安

全威胁。（ T ）

7. 从CGI编程角度考虑安全，采用解释语言比编译语言会更安全些。（ F ） 8. SSE-CMM模型本身是一个安全技术模型，在保证上强调对安全工程过程结果

质量可重复性的保证。（ F ）

9. SSE-CMM模型体系结构的横坐标为过程区，纵坐标为能力级别。（ T ） 10. 在信息技术中，为了使组织保持竞争力，所有通信系统都必须保持24h持续

工作。（T ）

11. 所有文件访问都是通过用户身份和组关系来管理的，Unix使用基于身份的访

问控制用于基本的资源保护。（ T ）

12. 数据库中的数据是语义相关的，用户不可以直接访问数据项而简介获取数据

内容。（ F ）

13. 标识和认证是数据库的第二道防线，也是授权和审计的前提。 ( F ) 14. 在PKI提供的认证服务中，身份识别可以检验用户身份的真伪，鉴别就是确

认实体即自己所声明的实体。（ F ）

15. 非对称密钥容易管理，没有复杂的密钥分发问题且支持签名和不可否认性。

（T ）

四、简答题(共7题，紧扣题意，简明扼要)

1.请简述SSE-CMM的适应范围。

2.请简述全备份策略的优缺点。

3.根据违反数据库安全性所导致的后果，请简述数据库系统的几类安全威胁。

4.散列函数是密码的的基础，请简述散列函数的特点。

5.请简述数字签名的实现过程。

6.信息泄密的途径很多, 请简述计算机及其外部设备内的信息通常通过两种途径被泄露,请简述这两种造成信息泄密的途径。

五、论述（共3题，清晰明确）

1. 请论述ISSE的活动主要包括什么？

2. 请论述SSE-CMM的几个能力级别。

3. 请论述制定灾难恢复计划的步骤。 第二章 参考答案: 一、单项选择题

1-10 D B C C B B D A C A 11-20 A C A B A C C B C A 二、多项选择题

1-5 ACE ACD ABD BCDE ACD 6-10 BCE BDE ACD ABCD ACDE

11-15 ABDE ABCDE ABD ABCDE ABCDE 16-20 ABC ABD ABC ABE ABCD 三、判断题

1-10 X X X √ X √ X X √ √ 11-15 √ X X X √ 四、简答题。

1. ①覆盖了涉及可信产品或安全系统的整个生命周期内的安全工程活动， 包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 ②应用于安全产品开发商、安全系统开发商和集成商，以及提供安全服 务和安全工程的机构。

③应用于所有类型和大小的安全工程机构，如商业机构、政府机构和学 术机构等。

2. 全备份的优点是：①完整的数据副本，全备份意味着如果需要恢复系统，可以方便地获得完整的数据副本；②快速访问备份数据，不需要搜索多盘磁带查找需要恢复的文件，因为全备份包含硬盘上特定时间点的所有数据。

全备份的缺点有：①重复数据，全备份保存有重复数据，因为每次执行完整备份时，都将更改和未更改的数据复制到磁带中；②消耗时间，由于需要备份的数据量相当大，全备份需要更长的执行时间，非常耗时。

3. 根据违反数据库安全性所导致的后果，安全威胁可以分为以下几类： ①非授权的信息泄露:未获授权的用户有意或无意得到信息。通过对授权访问的数据进行推导分析获取非授权的信息。

②非授权的数据修改:包括所有通过数据处理和修改而违反信息完整性的行为。但是非授权修改不一定会涉及非授权的信息泄露，因为对于入侵者而言即使不读出数据库中的数据亦可以进行破坏。

③拒绝服务：包括会影响用户访问数据或使用资源的行为。 4. 散列函数的主要功能是实现信息的完整性，具有以下特点： ①输入可以为任意长度。

②输出数据长度固定（即Hash值的长度由算法的类型决定，与输入的消息大小无关）。

③单向性，即给出一个Hash值，很难反向计算出原始输入。

④唯一性，即难以找到两个不同的输入会得到相同的Hash输出值。 5. 数字签名实现过程描述如下:

①发送方A用单向散列函数对消息散列，得到一个固定长度的数据项，即消息摘要。