第一篇:移动互联网时代的信息安全与防护
尔雅选修课 《移动互联网时代的信息安全与防护》答案
1.课程概述
1.1课程目标
《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。
C 6亿
《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()√
如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。()
×
1.2课程内容
()是信息赖以存在的一个前提,它是信息安全的基础。
D 设备与环境安全
下列关于计算机网络系统的说法中,正确的是()。
D、以上都对
网络的人肉搜索、隐私侵害属于()问题。C、信息内容安全
1.3课程要求
在移动互联网时代,我们应该做到()。
D、以上都对
2.信息安全威胁
2.1斯诺登事件
美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的()收集、分析信息。
C、服务器
谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。()
√
“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()√
2.2网络空间威胁
下列关于网络政治动员的说法中,不正确的是()
D、这项活动有弊无利 在对全球的网络监控中,美国控制着()。
D、以上都对
网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。()×
2.3四大威胁总结
信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为()。
A、中断威胁
网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。
B、可认证性
网络空间的安全威胁中,最常见的是()。
A、中断威胁 4
网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。()
×
3.信息安全的概念
3.1你的电脑安全吗
造成计算机系统不安全的因素包括()。
D、以上都对
以下哪一项不属于BYOD设备?()
C、电视
0 day漏洞就是指在系统商不知晓或是尚未发布相关补丁就被掌握或者公开的漏洞信息。()
√
埃博拉病毒是一种计算机系统病毒。()
×
3.2安全事件如何发生
计算机软件可以分类为()。
D、以上都对
信息系统中的脆弱点不包括()。
C、网络谣言
机房安排的设备数量超过了空调的承载能力,可能会导致()。
A、设备过热而损坏 TCP/IP协议在设计时,考虑了并能同时解决来自网络的安全问题。()
×
人是信息活动的主体。()
√
3.1什么是安全
CIA安全需求模型不包括()。
C、便捷性
()是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。
C、可认证性
以下哪一项安全措施不属于实现信息的可用性?()
D、文档加密
对打印设备不必实施严格的保密技术措施。()
×
信息安全审计的主要对象是用户、主机和节点。()
√
实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。()√
4.信息安全防护体系
4.1伊朗核设施瘫痪事件
美国“棱镜计划”的曝光者是谁?()
B、斯诺登
震网病毒攻击针对的对象系统是()。
D、SIMATIC WinCC 3
伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击?()
C、震网病毒
离心机是电脑主机的重要原件。()
×进入局域网的方式只能是通过物理连接。()
×
4.2信息安全防护手段的发展
《保密通讯的信息理论》的作者是信息论的创始人()。
C、香农 2
信息安全防护手段的第二个发展阶段的标志性成果包括()。
D、以上都对
信息安全防护手段的第三个发展阶段是()。
C、信息保障阶段
CNCI是一个涉及美国国家网络空间防御的综合计划。()
√
网络空间是指依靠各类电子设备所形成的互联网。()×
4.3网络空间信息安全防护体系
PDRR安全防护模型的要素不包括()。
C、预警
信息安全的底包括()。
D、以上都对
网络空间信息安全防护的原则是什么?()
A、整体性和分层性 4
木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。()√
没有一个安全系统能够做到百分之百的安全。()
√
美国海军计算机网络防御体系图体现了信息安全防护的整体性原则。()×
5.计算机设备与环境安全——原理及分析
5.1迪拜哈利法塔的机房
影响计算机设备安全的诸多因素中,影响较大的是()。
C、主机故障
计算机硬件设备及其运行环境是计算机网络信息系统运行的()。
D、基础
计算机设备除面临自身的缺陷,还可能会受到自然灾害因素的影响。()√
5.2设备面临什么安全问题
计算机设备面临各种安全问题,其中不正确的是()。
A、设备被盗、损坏 2
顾客在银行输入密码后立即使用数码红外摄像机,它读取键盘输入的密码成功率超过()。
C、80% 3
U盘具有易失性。()
√
5.3如何确保设备运行安全
机箱电磁锁安装在()。
D、机箱内部
PC机防盗方式简单,安全系数较高。()
我的答案:×
6.计算机设备与环境安全——扩展与应用
6.1移动存储设备安全威胁分析
影响移动存储设备安全的因素不包括()。
D、电源故障
被称为“刨地三尺”的取证软件是()。
D、ViewURL 3
恶意代码USBDumper运行在()上。
C、主机
通过软件可以随意调整U盘大小。()
√
密码注入允许攻击者提取密码并破解密码。()
×
6.2移动存储设备安全防护技术
关于U盘安全防护的说法,不正确的是()。
C、ChipGenius是USB主机的测试工具
专门用于PC机上的监测系统是()。
D、卡巴斯基PURE 3
如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()√
6.3移动存储设备综合安全防护终端接入安全管理四部曲中最后一步是()。
C、行为的审计与协助的维护
USSE和闪顿都是国内的终端安全管理系统。()
×
7.数据安全——密码基本概念
7.1艳照门事件
下面对数据安全需求的表述错误的是()。
C、可否认性
现代密码技术保护数据安全的方式是()。
D、以上都是
“艳照门”事件本质上来说是由于数据的不设防引成的。()
√
7.2如何确保数据安全
《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。
B、统计分析
柯克霍夫提出()是密码安全的依赖因素。
D、密钥 把明文信息变换成不能破解或很难破解的密文技术称为()。
C、密码编码学
非对称密码体制、单钥密码体制、私钥密码体制是一个概念。()
×
8.数据安全——数据保护的特性 8.1保护保密性
下面哪个不是常用的非对称密码算法?()
C、IDEA算法
两个密钥的3-DES密钥长度为()。
B、112位
WEP协议使用了CAST算法。
×
8.2完整性
SHA-2的哈希值长度不包括()。
B、312位
下面关于哈希函数的特点描述不正确的一项是()。
D、元数据的变化不影响产生的数据块 3
哈希值的抗碰撞性使得哈希值能用来检验数据的完整性。()√
8.3保护不可否认性和可认证性 1
下面关于数字签名的特征说法不正确的一项是()。
B、只能使用自己的私钥进行加密
特殊数字签名算法不包括()。
C、RSA算法
数字签名算法主要是采用基于私钥密码体制的数字签名。()
8.4保护存在性
信息隐藏在多媒体载体中的条件是()。
D、以上都是
LSB算法指把信息隐藏在图像的()。
C、最低层或最低几层的平面上
信息隐藏就是指信息加密的过程。()
×
8.5数据文件保护实例
×
下列哪种方法无法隐藏文档?()
C、修改文档属性为“只读”
关于常用文档安全防护的办法,下列选项错误的是()
D、粉碎文档
对文档进行完整性检测和数字签名也能起到安全防护的作用。()
√
9.数据安全——保护数据的可用性
9.1美国签证全球数据库崩溃事件
应对数据库崩溃的方法不包括()。
D、不依赖数据
美国签证全球数据库崩溃事件中,由于数据系统没有备份,直接导致了系统恢复缓慢,签证处理工作陷入停顿。()√
9.2保护可用性与容灾备份
容灾备份系统组成不包括()。
A、数据粉碎系统C、安全防护目标
建设容灾备份的目的不包括()。
D、粉碎黑客组织危害性
容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。
√
数据备份是容灾备份的核心,也是灾难恢复的基础。()
√
9.3可用性保护实例
WD 2go的作用是()。
A、共享存储
找回被误删除的文件时,第一步应该是()。
C、直接拔掉电源
数据恢复软件在使用时安装或预先安装的效果差别不大,可以根据个人情况而定。()
×
10.身份与访问安全——基于口令的认证案例与分析 10.1网站用户密码泄露事件 2014年12月25日曝光的12306数据泄漏事件中,有大约()数据被泄漏。
C、13万
国内最大的漏洞报告平台为()。
A、乌云网
10.2什么是身份认证
身份认证是证实实体对象的()是否一致的过程。
C、数字身份与物理身份
创建和发布身份信息不需要具备()。
C、资质可信
身份认证中认证的实体既可以是用户,也可以是主机系统。()√
10.3身份认证安全码
图片密码的优点不包括()。
D、便于PC用户使用
对于用户来说,提高口令质量的方法主要不包括()。
D、登陆时间限制
安全控件主要是通过监控用户的登录和退出来保证用户的信息安全。()×
10.4如何提高身份认证的安全性
目前广泛应用的验证码是()。
A、CAPTCHA 2
目前公认最安全、最有效的认证技术的是()。
D、生物认证
下列属于USB Key的是()。
C、支付盾
常用的3种凭证信息包括用户所知道的、用户所拥有的以及用户本身的特征。()√
11.身份与访问安全——基于数字证书的认证 11.1网站真假如何鉴别
日常所讲的用户密码,严格地讲应该被称为()。
B、用户口令
基于口令的认证实现了主机系统向用户证实自己的身份。()
×
11.2什么是数字证书 1
打开证书控制台需要运行()命令。
A、certmgr.msc 2
数字证书首先是由权威第三方机构()产生根证书。
A、CA 3
证书出问题以后,只有立刻通过CRL宣布证书失效才能切实解决证书认证的问题。()×
11.312306网站的问题
12306网站的证书颁发机构是()。
D、SRCA 2
12306网站证书的颁发机构签发的证书无法吊销,可能给系统带来危害。()√
11.4数字证书的作用
公钥基础设施简称为()。
C、PKI 2
在公钥基础设施环境中,通信的各方首先需要()。
D、申请数字证书 12.操作系统安全
12.1 Windows XP停止服务事件
WindowsXP的支持服务正式停止的时间是()。
C、2014年4月8日
关于新升级的Windows操作系统,说法错误的是()。
D、对硬件配置的要求较低
WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()√
12.2操作系用的安全威胁及安全机制 1
《信息技术安全评估通用标准》的简称是()C、CC 2
操作系统面临的安全威胁是()。
D、以上都是
实现操作系统安全目标需要建立的安全机制中属于最小权限原则的应用是()。
D、用户账户控制
CC被认为是任何一个安全操作系统的核心要求。()
× 5
隐通道会破坏系统的保密性和完整性。()
√
12.3 WindowsXP系统如何加固安全 1
确保系统的安全性采取的措施,不正确的是()。
D、启用Guest账户 2
可用于对NTFS分区上的文件和文件加密保存的系统是()。
C、EFS 3
设置陷阱账户对于系统的安全性防护作用不大。()×
13.1
1、之所以认为黑客是信息安全问题的源头,这是因为黑客是()。C、信息网络的攻击者
看待黑客的正确态度是()。
提倡 A、崇拜和羡慕黑客可以随意地侵入任何网络系统
B、他们不断革新技术、不断创新、追求完美的精神并不值得C、黑客的存在促使我们时刻警惕,在与之对抗的过程中不断发展和提高
D、黑客给世界带来了灾难,必须消灭和禁止一切黑客的活动
答案:C 3
第一次出现“Hacker”这一单词是在()。
A、Bell实验室 B、麻省理工AI实验室 C、AT&A实验室
D、美国国家安全局
答案:B 4
黑客群体大致可以划分成三类,其中黑帽是指()。
A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人
的人 B、主观上没有破坏企图的黑客,热衷于发现漏洞和分享漏洞C、非法侵入计算机网络或实施计算机犯罪的人
D、不为恶意或个人利益攻击计算机或网络,但是为了达到更高的安全性,可能会在发现漏洞的过程中打破法律界限的人
答案:C 5
黑客群体大致可以划分成三类,其中白帽是指()。
A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人
的人 B、主观上没有破坏企图的黑客,热衷于发现漏洞和分享漏洞C、非法侵入计算机网络或实施计算机犯罪的人
D、不为恶意或个人利益攻击计算机或网络,但是为了达到更高的安全性,可能会在发现漏洞的过程中打破法律界限的人 我的答案:B
13.2黑客攻击一般步骤已完成
一种自动检测远程或本地主机安全性弱点的程序是()。
A、入侵检测系统 B、防火墙 C、漏洞扫描软件
D、入侵防护软件
我的答案:C 2
黑客在攻击过程中通常进行端口扫描,这是为了()。
A、检测黑客自己计算机已开放哪些端口 B、口令破解 C、截获网络流量
D、获知目标主机开放了哪些端口服务
我的答案:D 3
如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于的攻击类型是()。
A、口令入侵 B、IP哄骗 C、拒绝服务
D、网络监听
我的答案:C 4
攻击者将自己伪装成合法用户,这种攻击方式属于()。
A、别名攻击 B、洪水攻击 C、重定向
D、欺骗攻击
我的答案:D 5
黑客在攻击过程中通常要入侵“肉鸡”作为跳板进行攻击,这是为了()。
A、显示实力 B、隐藏自己 C、破解口令
D、提升权限
我的答案:B 6
黑客在攻击过程中通常进行嗅探,这是为了()。
A、隐藏攻击痕迹 B、提升权限
C、截获敏感信息,如用户口令等
D、获知目标主机开放了哪些端口服务
我的答案:C 7
以下对于社会工程学攻击的叙述错误的是()。
A、运用社会上的一些犯罪手段进行的攻击
B、利用人的弱点,如人的本能反应、好奇心、信任、贪便宜等进行的欺骗等攻击
C、免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用
D、传统的安全防御技术很难防范社会工程学攻击
我的答案:A 13.3 1
以下哪一项不是APT攻击产生的原因()。
A、APT攻击已成为国家层面信息对抗的需求 B、社交网络的广泛应用为APT攻击提供了可能 C、复杂脆弱的IT环境还没有做好应对的准备
D、越来越多的人关注信息安全问题
我的答案:D 2
以下对于APT攻击的叙述错误的是()。
A、是一种新型威胁攻击的统称
B、通常是有背景的黑客组织,能够综合多种先进的攻击技术实施攻击
C、通常不具有明确的攻击目标和攻击目的,长期不断地进行信息搜集、信息监控、渗透入侵 D、传统的安全防御技术很难防范
我的答案:C 3
APT攻击中攻击方常购买或挖掘0 day漏洞,这是因为()。
A、这种漏洞利用人性的弱点,成功率高 B、这种漏洞尚没有补丁或应对措施 C、这种漏洞普遍存在
D、利用这种漏洞进行攻击的成本低
我的答案:B 4
APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。
A、这种攻击利用人性的弱点,成功率高 B、这种漏洞尚没有补丁或应对措施 C、这种漏洞普遍存在
D、利用这种漏洞进行攻击的成本低 我的答案:c 5
APT攻击中的字母“A”是指()。
A、技术高级 B、持续时间长 C、威胁
D、攻击
我的答案:A 14.1防火墙已完成 以下设备可以部署在DMZ中的是()。
A、客户的账户数据库 B、员工使用的工作站 C、Web服务器
D、SQL数据库服务器
我的答案:C 2
包过滤型防火墙检查的是数据包的()。
A、包头部分 B、负载数据 C、包头和负载数据
D、包标志位
我的答案:A 3
运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于()。
A、包过滤型 B、应用级网关型 C、复合型防火墙
D、代理服务型
我的答案:D 4
通过检查访问者的有关信息来限制或禁止访问者使用资源的技术属于()。
A、数据加密 B、物理防护 C、防病毒技术
D、访问控制
我的答案:D 5
一个数据包过滤系统被设计成只允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于的基本原则是()。
A、失效保护状态 B、阻塞点 C、最小特权
D、防御多样化
我的答案:C 6
系统管理员放置Web服务器并能对其进行隔离的网络区域称为()。
A、蜜罐 B、非军事区DMZ C、混合子网
D、虚拟局域网VLAN
我的答案:B 7
Windows系统中自带的防火墙属于()。
A、企业防火墙 B、软件防火墙 C、硬件防火墙 D、下一代防火墙
我的答案:B 8
按实现原理不同可以将防火墙总体上分为()。
A、包过滤型防火墙和应用代理型防火墙 B、包过滤防火墙和状态包过滤防火墙 C、包过滤防火墙、代理防火墙和软件防火墙
D、硬件防火墙和软件防火墙
我的答案:C 9
利用防火墙可以实现对网络内部和外部的安全防护。()我的答案:×
防火墙可以检查进出内部网的通信量。()我的答案:√
即使计算机在网络防火墙之内,也不能保证其他用户不对该计算机造成威胁。()我的答案:√
14.2入侵检测已完成 1
以下哪一项不是IDS的组件()。
A、事件产生器和事件数据库 B、事件分析器 C、响应单元
D、攻击防护单元
我的答案:D 2
通过对已知攻击模型进行匹配来发现攻击的IDS是()。
A、基于误用检测的 IDS B、基于关键字的IDS C、基于异常检测的IDS
D、基于网络的IDS
我的答案:A 3
按照技术分类可将入侵检测分为()。
A、基于误用和基于异常情况 B、基于主机和基于域控制器 C、服务器和基于域控制器
D、基于浏览器和基于网络
我的答案:A 4
IDS中,能够监控整个网络的是基于网络的IDS。()我的答案:对
14.3网络安全新设备已完成 1
IDS和IPS的主要区别在于()。
A、IDS偏重于检测,IPS偏重于防御
B、IPS不仅要具有IDS的入侵发现能力还要具有一定的防御能力 C、IPS具有与防火墙的联动能力 D、IDS防护系统内部,IPS防御系统边界
正确答案:C 2
不同安全级别的网络相连接,就产生了网络边界,以下哪一项不属于网络边界安全访问策略()。
A、允许高级别的安全域访问低级别的安全域 B、限制低级别的安全域访问高级别的安全域 C、全部采用最高安全级别的边界防护机制 D、不同安全域内部分区进行安全防护
我的答案:C
以下不属于防护技术与检测技术融合的新产品是()。
A、下一代防火墙 B、统一威胁管理 C、入侵防御系统 D、入侵检测系统
我的答案:D
IPS是指入侵检测系统。()
我的答案:×
14.4Wifi安全已完成 1
以下哪一项不属于VPN能够提供的安全功能()。
A、翻墙 B、数据加密 C、身份认证 D、访问控制
我的答案:A 2
防火墙设置中,若设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。这属于“宽”规则还是“严”规则?()
A、宽 B、严 C、严宽皆有 D、都不是
我的答案:A
以下不属于家用无线路由器安全设置措施的是()。
A、设置IP限制、MAC限制等防火墙功能 B、登录口令采用WPA/WPA2-PSK加密 C、设置自己的SSID(网络名称)D、启用初始的路由器管理用户名和密码
我的答案:C 4
通常路由器设备中包含了防火墙功能。()
我的答案:√ 通过设置手机上的VPN功能,我们可以远程安全访问公司内网。()
我的答案:√ 15.11
为了确保手机安全,我们在下载手机APP的时候应该避免()。
A、用百度搜索后下载 B、从官方商城下载
C、在手机上安装杀毒等安全软件 D、及时关注安全信息
我的答案:A
Web攻击事件频繁发生的原因不包括()。
A、Web应用程序存在漏洞,被黑客发现后利用来实施攻击 B、Web站点安全管理不善
C、Web站点的安全防护措施不到位
D、Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现
我的答案:D
专业黑客组织Hacking Team被黑事件说明了()。
A、Hacking Team黑客组织的技术水平差 B、安全漏洞普遍存在,安全漏洞防护任重道远 C、黑客组织越来越多 D、要以黑治黑
我的答案:B
许多用户对苹果手机进行越狱,关于这种行为说法错误的是()。 A、这是一种犯罪行为
B、破坏了苹果手机iOS操作系统原先封闭的生态环境 C、无法享受苹果公司对其保修的承诺
D、越狱后手机安装被破解的应用程序涉及盗版行为
我的答案:A
当前,应用软件面临的安全问题不包括()。
A、应用软件被嵌入恶意代码
B、恶意代码伪装成合法有用的应用软件 C、应用软件中存在售价高但功能弱的应用 D、应用软件被盗版、被破解
我的答案:C 15.2 1
不属于计算机病毒特点的是()。
A、传染性 B、可移植性 C、破坏性 D、可触发性
我的答案:B
计算机病毒与蠕虫的区别是()。
A、病毒具有传染性和再生性,而蠕虫没有
B、病毒具有寄生机制,而蠕虫则借助于网络的运行 C、蠕虫能自我复制而病毒不能 D、以上都不对 我的答案:B 3
以下对于木马叙述不正确的是()。
A、木马是一个有用的、或者表面上有用的程序或者命令过程,但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码
B、木马能够使得非法用户进入系统、控制系统和破坏系统 C、木马程序通常由控制端和受控端两个部分组成 D、木马程序能够自我繁殖、自我推进
我的答案:D
下面哪种不属于恶意代码()。
A、病毒 B、蠕虫 C、脚本 D、间谍软件
我的答案:C
蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。()
我的答案:√
15.3恶意代码防范已完成
不能防止计算机感染恶意代码的措施是()。
A、定时备份重要文件 B、经常更新操作系统
C、除非确切知道附件内容,否则不要打开电子邮件附件 D、重要部门的计算机尽量专机专用与外界隔绝
我的答案:A
防范恶意代码可以从以下哪些方面进行()。
A、检查软件中是否有病毒特征码 B、检查软件中是否有厂商数字签名 C、监测软件运行过程中的行为是否正常 D、以上都正确
我的答案:D
代码签名是为了()。
A、表明软件开发商的信息 B、实现对软件来源真实性的验证 C、说明软件的功能 D、说明软件的版本
我的答案:B
安装运囱底下架上一口装满开水的锅,相当于发现了自身漏洞后要及新。()
我的答案:√
在计算机或手机上安装了防病毒软件之后,就不必担心计算机或手机受到病毒攻击了。()
我的答案:× 16.1伦敦骚乱与社交媒体已完成
伦敦骚乱事件反映出的问题不包括()。
A、社交网络成为这些国家青年宣泄不满情绪,进行政治动员的重要平台
B、对事件的发展起着推波助澜的作用 C、社交网络直接导致了骚乱事件的发生
D、社交媒体在此次事件中也发挥了正面的、积极的作用
我的答案:C
以下关于网络欺凌的概念理解不正确的是()。
A、通过网络雇佣打手欺凌他人
B、通过网络谩骂、嘲讽、侮辱、威胁他人 C、通过网络披露他人隐私 D、通过网络骚扰他人
以下哪一项不属于信息内容安全问题()。
A、网上各类谣言、煽动性言论 B、网络炫富
C、色情网站提供的视频、裸聊 D、计算机蠕虫
我的答案:D
网络环境下信息衍生出来的问题,尤其是语义层面的安全问题,称之为信息内容安全问题。()我的答案:√
网络虚假信息、欺骗信息、垃圾信息、侵害隐私的信息、网络欺凌信息、侵犯知识产权的信息等都属于信息内容安全威胁。()
我的答案:√
16.2信息内容安全问题1
已完成
信息内容安全事关()。
A、国家安全 B、公共安全 C、文化安全 D、以上都正确
我的答案:D
信息内容安全的一种定义是,对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象是
A、通过内容可以判断出来的可对系统造成威胁的脚本病毒 B、因无限制扩散而导致消耗用户资源的垃圾类邮件 C、危害儿童成长的色情信息 D、以上都正确
我的答案:D
以下哪一项不属于信息安全面临的挑战()。
A、下一代网络中的内容安全呈现出多元化、隐蔽化的特点。 B、越来越多的安全意识参差不齐的用户让内容安全威胁变得更加难以防范。
C、现在的大多数移动终端缺乏内容安全设备的防护。D、越来越多的人使用移动互联网。
我的答案:D
信息内容安全与传统的基于密码学的信息安全的主要区别不包括()。
A、前者关注信息的内容,后者关注信息的形式
B、密码学所解决的信息安全问题是要为信息制作安全的信封,使没有得到授权的人不能打开这个信封
C、内容安全则是要“直接理解”信息的内容,需要判断哪些是“敏感”信息,哪些是正常信息
D、前者不属于网络空间安全,后者属于网络空间安全
我的答案:D
信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等。()
我的答案:√
16.3信息内容安全防护已完成
信息内容安全防护的基本技术不包括()。
A、信息获取技术 B、身份认证 C、内容分级技术 D、内容审计技术 我的答案:B
下面关于内容安全网关叙述错误的是()。
A、是一种能提供端到端宽带连接的网络接入设备,通常位于骨干网的边缘
B、能够通过对于网络传输内容的全面提取与协议恢复 C、在内容理解的基础上进行必要的过滤、封堵等访问控制 D、能够发现入侵并阻止入侵
我的答案:D
移动互联网为我们提供了广泛交流的平台,我们可以想说什么就说什么,充分展示自我,充分表达自我。()
我的答案:×
网络舆情监测与预警系统通过对海量非结构化信息的挖掘与分析,实现对网络舆情的热点、焦点、演变等信息的掌握。()
我的答案:√
信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。()
我的答案:√
17.1橘子哥与隐私泄露已完成
以下哪些不是iCloud云服务提供的功能()。
A、新照片将自动上传或下载到你所有的设备上 B、你手机、平板等设备上的内容,可随处储存与备份 C、提供个人语音助理服务 D、帮助我们遗失设备时找到它们
我的答案:C
2015年上半年网络上盛传的橘子哥事件说明了()。
A、橘子哥注重隐私防护
B、iCloud云服务同步手机中的数据会造成隐私信息泄露 C、网民喜欢橘子哥
D、非正规渠道购买手机没有关系
我的答案:B
一张快递单上不是隐私信息的是()。
A、快递公司名称 B、收件人姓名、地址 C、收件人电话 D、快递货品内容
我的答案:A
以下说法错误的是()。
A、信息泄露的基础是因为有了大数据,尽管我们不能否认大数据带来的变革。
B、当前的个性化服务模式无形中将个人信息泄露从概率到规模都无数倍放大。
C、移动互联网时代大数据环境下的隐私保护已经成为一个重要的课题。
D、要保护隐私就要牺牲安全和便利。我的答案:D
当前社交网站往往是泄露我们隐私信息的重要途径,这是因为()。
A、有些社交网站要求或是鼓励用户实名,以便与我们真实世界中的身份联系起来
B、用户缺乏防护意识,乐于晒自己的各种信息 C、网站的功能设置存在问题 D、以上都正确
我的答案:D
17.2隐私泄露问题已完成
信息隐私权保护的客体包括()。
A、个人属性的隐私权,以及个人属性被抽象成文字的描述或记录。B、通信内容的隐私权。C、匿名的隐私权。D、以上都正确
我的答案:D
以下哪一项不属于隐私泄露的途径。()
A、通过微信等社交网络平台 B、通过手机应用软件 C、恶意代码窃取
D、谨慎处置手机、硬盘等存有个人信息的设备
我的答案:D
以下对隐私的错误理解是()。 A、隐私包括不愿告人的或不愿公开的个人的事
B、个人的购买习惯、浏览网页、交往好友、活动位置等行为信息属于隐私信息
C、个人姓名、性别不属于隐私
D、个人能够决定何时、以何种方式和在何等程度上将隐私公开给他人
我的答案:C
隐私就是个人见不得人的事情或信息。()
我的答案:×
扫二维码送礼物虽然大多是以营销为目的的,没有恶意,但是被商家获取的个人信息存在被滥用甚至被盗取的风险。
我的答案:√
17.3个人信息的法律保护已完成
以下哪一项不属于保护个人信息的法律法规()。
A、《刑法》及刑法修正案 B、《消费者权益保护法》 C、《侵权责任法》
D、《信息安全技术——公共及商用服务信息系统个人信息保护指南》
我的答案:D
我国刑法中有“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。
我的答案:√ 3
我国已经颁布执行了《个人信息保护法》。()
我的答案:×
《信息安全技术——公共及商用服务信息系统个人信息保护指南》这个国家标准不是强制性标准,只是属于技术指导文件”。()
我的答案:√
在当前法律法规缺失,惩罚力度不够等问题存在的情况下,为了有效保护个人信息的安全,依靠安全技术和个人信息安全意识成为首选。()
我的答案:√
17.4常用应用软件隐私保护设置已完成
几乎所有的手机应用软件会收集用户的位置、通信录等个人信息。如果用户不想别人了解自己的位置信息,可以关闭手机的GPS功能。()
我的答案:√
QQ空间由于设置了密码保护因此不存在隐私泄露的风险。()
我的答案:×
手机QQ、微信App可以设置隐私保护,而PC客户端没有这类功能。()
我的答案:×
可以设置QQ隐身让我们免受打扰。()我的答案:√
安装手机安全软件可以让我们不用再担心自己的隐私泄露问题。()
我的答案:×
18.1三只小猪的故事已完成
看了童话《三只小猪的故事》,不正确的理解是()。
A、安全防护意识很重要 B、要注重消除安全漏洞 C、安全防护具有动态性 D、盖了砖头房子就高枕无忧了
我的答案:D
在烟囱底下架上一口装满开水的锅,相当于发现了自身漏洞后要及时弥补。
我的答案:√
三只小猪为了防止被大灰狼吃掉,各自盖了三种房子。这相当于安全防护措施的建设,做得越好,抗攻击能力越强。
我的答案:√
18.2信息安全管理已完成
信息安全管理的重要性不包括()。
A、三分技术、七分管理 B、仅通过技术手段实现的安全能力是有限的,只有有效的安全管理,才能确保技术发挥其应有的安全作用
C、信息安全技术是保障,信息安全管理是手段 D、信息安全管理是信息安全不可分割的重要内容
我的答案:C
安全管理是一个不断改进的持续发展过程。()
我的答案:√
信息安全管理是指为了完成信息安全保障的核心任务,实现既定的信息与信息系统安全目标,针对特定的信息安全相关工作对象,遵循确定的原则,按照规定的程序(规程),运用恰当的方法,所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。()
我的答案:√
信息安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。()
我的答案:√
18.3信息安全意识已完成
信息安全等级保护制度的基本内容不包括()。
A、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护
B、对信息系统中使用的信息安全产品实行按等级管理 C、对信息系统中发生的信息安全事件分等级响应、处置 D、对信息系统中存储和传输的数据进行加密等处理
我的答案:D
国家层面的信息安全意识的体现不包括()。
A、建立相应的组织机构 B、制定相应的法律法规、标准 C、制定信息安全人才培养计划 D、开设信息安全相关专业和课程
我的答案:D
个人应当加强信息安全意识的原因不包括()。
A、人的信息安全意识薄弱具有普遍性且容易被渗透,攻击者更喜欢选择这条路径发起攻击
B、基于技术的防御手段已经无法成为安全防护体系的重要组成部分 C、研究实验已表明,增强个人信息安全意识能有效减少由人为因素造成安全威胁发生的概率
D、认识信息安全防护体系中最薄弱的一个环节
我的答案:B
以下对信息安全风险评估描述不正确的是()。
A、风险评估是等级保护的出发点
B、风险评估是信息安全动态管理、持续改进的手段和依据 C、评估安全事件一旦发生,给组织和个人各个方面造成的影响和损失程度
D、通常人们也将潜在风险事件发生前进行的评估称为安全测评
我的答案:D 提高个人信息安全意识的途径中,能够及时给听众反馈,并调整课程内容的是()。
A、以纸质材料和电子资料为媒介来教育并影响用户,主要包括海报、传单和简讯
B、专家面向大众授课的方式
C、培训资料以Web页面的方式呈现给用户 D、宣传视频、动画或游戏的方式
我的答案:B
实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()
我的答案:√
《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。()
我的答案:×
黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。()对
第二篇:《移动互联网时代的信息安全与防护》答案
尔雅通识课
《移动互联网时代的信息安全与防护》答案
1.课程概述
1.1课程目标
1.《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。C 6亿
2.《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()√
3.如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。()
×
1.2课程内容
1.()是信息赖以存在的一个前提,它是信息安全的基础。
A、数据安全
2.下列关于计算机网络系统的说法中,正确的是()。
D、以上都对
3.网络的人肉搜索、隐私侵害属于()问题。
C、信息内容安全
1.3课程要求
1.在移动互联网时代,我们应该做到()。
D、以上都对
2.信息安全威胁
2.1斯诺登事件
1.美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的()收集、分析信息。
C、服务器
2.谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。()
√
3.“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()√
2.2网络空间威胁
1.下列关于网络政治动员的说法中,不正确的是()
D、这项活动有弊无利
2.在对全球的网络监控中,美国控制着()。
D、以上都对
3.网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。()×
2.3四大威胁总结
1.信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为()。
A、中断威胁
2.网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。
B、可认证性
3.网络空间的安全威胁中,最常见的是()。
A、中断威胁
4.网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。()
× 3.信息安全的概念
3.1你的电脑安全吗
1.造成计算机系统不安全的因素包括()。
D、以上都对
2.以下哪一项不属于BYOD设备?()
C、电视
3.0 day漏洞就是指在系统商不知晓或是尚未发布相关补丁就被掌握或者公开的漏洞信息。()
√
4.埃博拉病毒是一种计算机系统病毒。()
×
3.2安全事件如何发生
1.计算机软件可以分类为()。
D、以上都对
2.信息系统中的脆弱点不包括()。
C、网络谣言
3.机房安排的设备数量超过了空调的承载能力,可能会导致()。
A、设备过热而损坏
4.TCP/IP协议在设计时,考虑了并能同时解决来自网络的安全问题。()
×
5.人是信息活动的主体。()
√
3.3什么是安全
1.CIA安全需求模型不包括()。
C、便捷性
2.()是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。
C、可认证性
3.以下哪一项安全措施不属于实现信息的可用性?()
D、文档加密
4.对打印设备不必实施严格的保密技术措施。()
×
5.信息安全审计的主要对象是用户、主机和节点。()
√
6.实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。()√
4.信息安全防护体系
4.1伊朗核设施瘫痪事件
1.美国“棱镜计划”的曝光者是谁?()
B、斯诺登
2.震网病毒攻击针对的对象系统是()。
D、SIMATIC WinCC
3.伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击?()
C、震网病毒
4.离心机是电脑主机的重要原件。()
×
5.进入局域网的方式只能是通过物理连接。()
×
4.2信息安全防护手段的发展
1.《保密通讯的信息理论》的作者是信息论的创始人()。
C、香农
2.信息安全防护手段的第二个发展阶段的标志性成果包括()。
D、以上都对
3.信息安全防护手段的第三个发展阶段是()。
C、信息保障阶段
4.CNCI是一个涉及美国国家网络空间防御的综合计划。()
√
5.网络空间是指依靠各类电子设备所形成的互联网。()×
4.3网络空间信息安全防护体系
1.PDRR安全防护模型的要素不包括()。
C、预警
2.信息安全的底包括()。
D、以上都对
3.网络空间信息安全防护的原则是什么?()
A、整体性和分层性
4.木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。√
5.没有一个安全系统能够做到百分之百的安全。()
√
()
6.美国海军计算机网络防御体系图体现了信息安全防护的整体性原则。()×
5.计算机设备与环境安全——原理及分析
5.1迪拜哈利法塔的机房
1.影响计算机设备安全的诸多因素中,影响较大的是()。
C、主机故障
2.计算机硬件设备及其运行环境是计算机网络信息系统运行的()。
D、基础
3.计算机设备除面临自身的缺陷,还可能会受到自然灾害因素的影响。()√
5.2设备面临什么安全问题
1.计算机设备面临各种安全问题,其中不正确的是()。A、设备被盗、损坏
2.顾客在银行输入密码后立即使用数码红外摄像机,它读取键盘输入的密码成功率超过()。
C、80%
3.U盘具有易失性。()
√
5.3如何确保设备运行安全
1.机箱电磁锁安装在()。
D、机箱内部
2.PC机防盗方式简单,安全系数较高。()
我的答案:×
6.计算机设备与环境安全——扩展与应用
6.1移动存储设备安全威胁分析
1.影响移动存储设备安全的因素不包括()。
D、电源故障
2.被称为“刨地三尺”的取证软件是()。
D、ViewURL
3.恶意代码USBDumper运行在()上。
C、主机
4.通过软件可以随意调整U盘大小。()
√
5.密码注入允许攻击者提取密码并破解密码。×
6.2移动存储设备安全防护技术
()
1.关于U盘安全防护的说法,不正确的是()。
C、ChipGenius是USB主机的测试工具
2.专门用于PC机上的监测系统是()。
D、卡巴斯基PURE
3.如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()√
6.3移动存储设备综合安全防护
1.终端接入安全管理四部曲中最后一步是()。
C、行为的审计与协助的维护
2.USSE和闪顿都是国内的终端安全管理系统。()
× 7.数据安全——密码基本概念
7.1艳照门事件
1.下面对数据安全需求的表述错误的是()。
C、可否认性
2.现代密码技术保护数据安全的方式是()。
D、以上都是
3.“艳照门”事件本质上来说是由于数据的不设防引成的。()
√
7.2如何确保数据安全
1.《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。
B、统计分析
2.柯克霍夫提出()是密码安全的依赖因素。
D、密钥
3.把明文信息变换成不能破解或很难破解的密文技术称为()。
C、密码编码学
4.非对称密码体制、单钥密码体制、私钥密码体制是一个概念。×
8.数据安全——数据保护的特性
8.1保护保密性
1.下面哪个不是常用的非对称密码算法?()
C、IDEA算法
2.两个密钥的3-DES密钥长度为()。
()B、112位
3.WEP协议使用了CAST算法。
×
8.2完整性
1.SHA-2的哈希值长度不包括()。
B、312位
2.下面关于哈希函数的特点描述不正确的一项是()。
D、元数据的变化不影响产生的数据块
3.哈希值的抗碰撞性使得哈希值能用来检验数据的完整性。
8.3保护不可否认性和可认证性
1.下面关于数字签名的特征说法不正确的一项是()。
B、只能使用自己的私钥进行加密
()√
2.特殊数字签名算法不包括()。
C、RSA算法
3.数字签名算法主要是采用基于私钥密码体制的数字签名。
8.4保护存在性
1.信息隐藏在多媒体载体中的条件是()。
D、以上都是
2.LSB算法指把信息隐藏在图像的()。
C、最低层或最低几层的平面上
3.信息隐藏就是指信息加密的过程。()
×
8.5数据文件保护实例
()×
1.下列哪种方法无法隐藏文档?()
C、修改文档属性为“只读”
2.关于常用文档安全防护的办法,下列选项错误的是()
D、粉碎文档
3.对文档进行完整性检测和数字签名也能起到安全防护的作用。()
√
9.数据安全——保护数据的可用性
9.1美国签证全球数据库崩溃事件
1.应对数据库崩溃的方法不包括()。
D、不依赖数据
2.美国签证全球数据库崩溃事件中,由于数据系统没有备份,直接导致了系统恢复缓慢,签证处理工作陷入停顿。()√
9.2保护可用性与容灾备份
1.容灾备份系统组成不包括()。
A、数据粉碎系统
2.C、安全防护目标
3.建设容灾备份的目的不包括()。
D、粉碎黑客组织危害性
4.容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。
√
5.数据备份是容灾备份的核心,也是灾难恢复的基础。()
√
9.3可用性保护实例
1.WD 2go的作用是()。
A、共享存储
2.找回被误删除的文件时,第一步应该是()。
C、直接拔掉电源
3.数据恢复软件在使用时安装或预先安装的效果差别不大,可以根据个人情况而定。()
×
10.身份与访问安全——基于口令的认证案例与分析
10.1网站用户密码泄露事件
1.2014年12月25日曝光的12306数据泄漏事件中,有大约()数据被泄漏。C、13万
2.国内最大的漏洞报告平台为()。
A、乌云网
10.2什么是身份认证
身份认证是证实实体对象的()是否一致的过程。
C、数字身份与物理身份
2.创建和发布身份信息不需要具备()。
C、资质可信
3.身份认证中认证的实体既可以是用户,也可以是主机系统。√
10.3身份认证安全码
()1.图片密码的优点不包括()。
D、便于PC用户使用
2.对于用户来说,提高口令质量的方法主要不包括()。
D、登陆时间限制
3.安全控件主要是通过监控用户的登录和退出来保证用户的信息安全。()×
10.4如何提高身份认证的安全性
1.目前广泛应用的验证码是()。
A、CAPTCHA
2.目前公认最安全、最有效的认证技术的是()。
D、生物认证
3.下列属于USB Key的是()。
C、支付盾
4.常用的3种凭证信息包括用户所知道的、用户所拥有的以及用户本身的特征。()√
11.身份与访问安全——基于数字证书的认证
11.1网站真假如何鉴别
1.日常所讲的用户密码,严格地讲应该被称为()。
B、用户口令
2.基于口令的认证实现了主机系统向用户证实自己的身份。()
×
11.2什么是数字证书
1.打开证书控制台需要运行()命令。A、certmgr.msc
2.数字证书首先是由权威第三方机构()产生根证书。
A、CA
3.证书出问题以后,只有立刻通过CRL宣布证书失效才能切实解决证书认证的问题。()×
11.312306网站的问题
1.12306网站的证书颁发机构是()。
D、SRCA
2.12306网站证书的颁发机构签发的证书无法吊销,可能给系统带来危害。()√
11.4数字证书的作用
1.公钥基础设施简称为()。C、PKI
2.在公钥基础设施环境中,通信的各方首先需要()。
D、申请数字证书
12.操作系统安全
12.1 Windows XP停止服务事件
1.WindowsXP的支持服务正式停止的时间是()。
C、2014年4月8日
2.关于新升级的Windows操作系统,说法错误的是()。
D、对硬件配置的要求较低
3.WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()√
12.2操作系用的安全威胁及安全机制 1.《信息技术安全评估通用标准》的简称是()C、CC
2.操作系统面临的安全威胁是()。
D、以上都是
3.实现操作系统安全目标需要建立的安全机制中属于最小权限原则的应用是()。
D、用户账户控制
4.CC被认为是任何一个安全操作系统的核心要求。()
×
5.隐通道会破坏系统的保密性和完整性。()
√
12.3 WindowsXP系统如何加固安全
1.确保系统的安全性采取的措施,不正确的是()。D、启用Guest账户
2.可用于对NTFS分区上的文件和文件加密保存的系统是()。
C、EFS
3.设置陷阱账户对于系统的安全性防护作用不大。()×
认识黑客已完成 1 之所以认为黑客是信息安全问题的源头,这是因为黑客是()。窗体顶端 · A、计算机编程高手 · B、攻防技术的研究者 · C、信息网络的攻击者 · D、信息垃圾的制造者 我的答案:C 窗体底端 2 看待黑客的正确态度是()。窗体顶端 · A、崇拜和羡慕黑客可以随意地侵入任何网络系统 · B、他们不断革新技术、不断创新、追求完美的精神并不值得提倡 · C、黑客的存在促使我们时刻警惕,在与之对抗的过程中不断发展和提高 · D、黑客给世界带来了灾难,必须消灭和禁止一切黑客的活动 我的答案:C 窗体底端 3 第一次出现“Hacker”这一单词是在()。窗体顶端 · A、Bell实验室 · B、麻省理工AI实验室 · C、AT&A实验室 · D、美国国家安全局 我的答案:B 窗体底端 4 黑客群体大致可以划分成三类,其中黑帽是指()。窗体顶端 · A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人 · B、主观上没有破坏企图的黑客,热衷于发现漏洞和分享漏洞的人 · C、非法侵入计算机网络或实施计算机犯罪的人 · D、不为恶意或个人利益攻击计算机或网络,但是为了达到更高的安全性,可能会在发现漏洞的过程中打破法律界限的人 我的答案:C 窗体底端 5 黑客群体大致可以划分成三类,其中白帽是指()。窗体顶端 · A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人 · B、主观上没有破坏企图的黑客,热衷于发现漏洞和分享漏洞的人 · C、非法侵入计算机网络或实施计算机犯罪的人 · D、不为恶意或个人利益攻击计算机或网络,但是为了达到更高的安全性,可能会在发现漏洞的过程中打破法律界限的人 我的答案:B 窗体底端
黑客攻击一般步骤已完成 1 一种自动检测远程或本地主机安全性弱点的程序是()。窗体顶端 · A、入侵检测系统 · B、防火墙 · C、漏洞扫描软件 · D、入侵防护软件 我的答案:C 窗体底端 2 黑客在攻击过程中通常进行端口扫描,这是为了()。窗体顶端 · A、检测黑客自己计算机已开放哪些端口 · B、口令破解 · C、截获网络流量 · D、获知目标主机开放了哪些端口服务 我的答案:D 窗体底端 3 如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于的攻击类型是()。窗体顶端 · A、口令入侵 · B、IP哄骗 · C、拒绝服务 · D、网络监听 我的答案:C 窗体底端 4 攻击者将自己伪装成合法用户,这种攻击方式属于()。窗体顶端 · A、别名攻击 X · B、洪水攻击 · C、重定向 · D、欺骗攻击 窗体底端 5 黑客在攻击过程中通常要入侵“肉鸡”作为跳板进行攻击,这是为了()。窗体顶端 · A、显示实力 · B、隐藏自己 · C、破解口令 · D、提升权限 我的答案:B 窗体底端 6 黑客在攻击过程中通常进行嗅探,这是为了()。窗体顶端 · A、隐藏攻击痕迹 · B、提升权限 · C、截获敏感信息,如用户口令等 · D、获知目标主机开放了哪些端口服务 我的答案:C 窗体底端 7 以下对于社会工程学攻击的叙述错误的是()。窗体顶端 · A、运用社会上的一些犯罪手段进行的攻击 · B、利用人的弱点,如人的本能反应、好奇心、信任、贪便宜等进行的欺骗等攻击 · C、免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用 · D、传统的安全防御技术很难防范社会工程学攻击 我的答案:A 窗体底端
APT攻击分析已完成 1 以下哪一项不是APT攻击产生的原因()。窗体顶端 · A、APT攻击已成为国家层面信息对抗的需求 · B、社交网络的广泛应用为APT攻击提供了可能 · C、复杂脆弱的IT环境还没有做好应对的准备 · D、越来越多的人关注信息安全问题 我的答案:D 窗体底端 2 以下对于APT攻击的叙述错误的是()。窗体顶端 · A、是一种新型威胁攻击的统称 · B、通常是有背景的黑客组织,能够综合多种先进的攻击技术实施攻击 · C、通常不具有明确的攻击目标和攻击目的,长期不断地进行信息搜集、信息监控、渗透入侵 · D、传统的安全防御技术很难防范 我的答案:C 窗体底端 3 APT攻击中攻击方常购买或挖掘0 day漏洞,这是因为()。窗体顶端 · A、这种漏洞利用人性的弱点,成功率高 · B、这种漏洞尚没有补丁或应对措施 · C、这种漏洞普遍存在 X · D、利用这种漏洞进行攻击的成本低 窗体底端 4 APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。窗体顶端 · A、这种攻击利用人性的弱点,成功率高 · B、这种漏洞尚没有补丁或应对措施 · C、这种漏洞普遍存在 · D、利用这种漏洞进行攻击的成本低 我的答案:B 窗体底端 5 APT攻击中的字母“A”是指()。窗体顶端 · A、技术高级 · B、持续时间长 · C、威胁 · D、攻击 我的答案:A 窗体底端
防火墙已完成 1 以下设备可以部署在DMZ中的是(C)。窗体顶端 · A、客户的账户数据库 · B、员工使用的工作站 · C、Web服务器 · D、SQL数据库服务器 我的答案:C 窗体底端 2 包过滤型防火墙检查的是数据包的(A)。窗体顶端 · A、包头部分 · B、负载数据 · C、包头和负载数据 · D、包标志位 我的答案:A 窗体底端
3运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于(D)。窗体顶端 · A、包过滤型 X · B、应用级网关型 X · C、复合型防火墙 X · D、代理服务型
窗体底端 4 通过检查访问者的有关信息来限制或禁止访问者使用资源的技术属于(D)。窗体顶端 · A、数据加密 · B、物理防护 · C、防病毒技术 · D、访问控制 我的答案:D 窗体底端 5 一个数据包过滤系统被设计成只允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于的基本原则是(C)。窗体顶端 · A、失效保护状态 · B、阻塞点 · C、最小特权 · D、防御多样化 我的答案:C 窗体底端 6 系统管理员放置Web服务器并能对其进行隔离的网络区域称为(B)。窗体顶端 · A、蜜罐 · B、非军事区DMZ · C、混合子网 · D、虚拟局域网VLAN X
窗体底端 7 Windows系统中自带的防火墙属于(B)。窗体顶端 · A、企业防火墙 · B、软件防火墙 · C、硬件防火墙 · D、下一代防火墙 我的答案:B 窗体底端 8 按实现原理不同可以将防火墙总体上分为(A)。窗体顶端 · A、包过滤型防火墙和应用代理型防火墙 · B、包过滤防火墙和状态包过滤防火墙 X · C、包过滤防火墙、代理防火墙和软件防火墙 X · D、硬件防火墙和软件防火墙 窗体底端
9利用防火墙可以实现对网络内部和外部的安全防护。(X)10防火墙可以检查进出内部网的通信量。(√)
11即使计算机在网络防火墙之内,也不能保证其他用户不对该计算机造成威胁。(√)
入侵检测已完成
1以下哪一项不是IDS的组件(D)。窗体顶端 · A、事件产生器和事件数据库 · B、事件分析器 · C、响应单元 X · D、攻击防护单元 我的答案 窗体底端 2 通过对已知攻击模型进行匹配来发现攻击的IDS是(A)。窗体顶端 · A、基于误用检测的 IDS · B、基于关键字的IDS X · C、基于异常检测的IDS · D、基于网络的IDS 窗体底端 3 按照技术分类可将入侵检测分为(A)。窗体顶端 · A、基于误用和基于异常情况 · B、基于主机和基于域控制器 X · C、服务器和基于域控制器 X · D、基于浏览器和基于网络 X 我的答案: 窗体底端
4IDS中,能够监控整个网络的是基于网络的IDS。(√)
网络安全新设备已完成
1IDS和IPS的主要区别在于(B)。窗体顶端 · A、IDS偏重于检测,IPS偏重于防御 · B、IPS不仅要具有IDS的入侵发现能力还要具有一定的防御能力 · C、IPS具有与防火墙的联动能力 X · D、IDS防护系统内部,IPS防御系统边界 窗体底端
2不同安全级别的网络相连接,就产生了网络边界,以下哪一项不属于网络边界安全访问策略(C)。窗体顶端 · A、允许高级别的安全域访问低级别的安全域 · B、限制低级别的安全域访问高级别的安全域 · C、全部采用最高安全级别的边界防护机制 · D、不同安全域内部分区进行安全防护 我的答案:C 窗体底端 3 以下不属于防护技术与检测技术融合的新产品是(D)。窗体顶端 · A、下一代防火墙 · B、统一威胁管理 X · C、入侵防御系统 · D、入侵检测系统 窗体底端
4IPS是指入侵检测系统。(×)
Wifi安全已完成
1以下哪一项不属于VPN能够提供的安全功能(A)。窗体顶端 · A、翻墙 · B、数据加密 · C、身份认证 · D、访问控制 我的答案:A 窗体底端 2 防火墙设置中,若设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。这属于“宽”规则还是“严”规则?(A)窗体顶端 · A、宽 · B、严 · C、严宽皆有 X · D、都不是 窗体底端 3 以下不属于家用无线路由器安全设置措施的是()。窗体顶端 · A、设置IP限制、MAC限制等防火墙功能 X · B、登录口令采用WPA/WPA2-PSK加密 X · C、设置自己的SSID(网络名称)X · D、启用初始的路由器管理用户名和密码 X 窗体底端
4通常路由器设备中包含了防火墙功能。(√)
5通过设置手机上的VPN功能,我们可以远程安全访问公司内网。(√)
手机恶意软件已完成
1为了确保手机安全,我们在下载手机APP的时候应该避免(A)。窗体顶端 · A、用百度搜索后下载 · B、从官方商城下载f · C、在手机上安装杀毒等安全软件 · D、及时关注安全信息 我的答案:A 窗体底端
2Web攻击事件频繁发生的原因不包括(D)。窗体顶端 · A、Web应用程序存在漏洞,被黑客发现后利用来实施攻击 X · B、Web站点安全管理不善 · C、Web站点的安全防护措施不到位 · D、Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现 窗体底端
3专业黑客组织Hacking Team被黑事件说明了(B)。窗体顶端 · A、Hacking Team黑客组织的技术水平差 · B、安全漏洞普遍存在,安全漏洞防护任重道远 · C、黑客组织越来越多 · D、要以黑治黑 我的答案:B 窗体底端 4 许多用户对苹果手机进行越狱,关于这种行为说法错误的是(A)。窗体顶端 · A、这是一种犯罪行为 · B、破坏了苹果手机iOS操作系统原先封闭的生态环境 · C、无法享受苹果公司对其保修的承诺 · D、越狱后手机安装被破解的应用程序涉及盗版行为 我的答案:A 窗体底端 5 当前,应用软件面临的安全问题不包括(C)。窗体顶端 · A、应用软件被嵌入恶意代码 · B、恶意代码伪装成合法有用的应用软件 · C、应用软件中存在售价高但功能弱的应用 · D、应用软件被盗版、被破解 我的答案:C 窗体底端
什么是恶意代码已完成
1不属于计算机病毒特点的是()。窗体顶端 · A、传染性 X · B、可移植性 · C、破坏性 · D、可触发性 X 窗体底端 2 计算机病毒与蠕虫的区别是(B)。窗体顶端 · A、病毒具有传染性和再生性,而蠕虫没有 · B、病毒具有寄生机制,而蠕虫则借助于网络的运行 · C、蠕虫能自我复制而病毒不能 · D、以上都不对 我的答案:B 窗体底端
3以下对于木马叙述不正确的是()。窗体顶端 · A、木马是一个有用的、或者表面上有用的程序或者命令过程,但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码 X · B、木马能够使得非法用户进入系统、控制系统和破坏系统 · C、木马程序通常由控制端和受控端两个部分组成 X · D、木马程序能够自我繁殖、自我推进 窗体底端 4 下面哪种不属于恶意代码(C)。窗体顶端 · A、病毒 · B、蠕虫 · C、脚本 · D、间谍软件 我的答案:C 窗体底端 5 蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。(√)
恶意代码防范已完成 1 不能防止计算机感染恶意代码的措施是(A)。窗体顶端 · A、定时备份重要文件 · B、经常更新操作系统 · C、除非确切知道附件内容,否则不要打开电子邮件附件 · D、重要部门的计算机尽量专机专用与外界隔绝 我的答案:A 窗体底端 2 防范恶意代码可以从以下哪些方面进行(D)。窗体顶端 · A、检查软件中是否有病毒特征码 · B、检查软件中是否有厂商数字签名 · C、监测软件运行过程中的行为是否正常 · D、以上都正确 我的答案:D 窗体底端
3代码签名是为了(B)。窗体顶端 · A、表明软件开发商的信息 · B、实现对软件来源真实性的验证 · C、说明软件的功能 · D、说明软件的版本 我的答案:B 窗体底端
4安装运行了防病毒软件后要确保病毒特征库及时更新。(√)5在计算机或手机上安装了防病毒软件之后,就不必担心计算机或手机受到病毒攻击了。(×)
伦敦骚乱与社交媒体已完成
1伦敦骚乱事件反映出的问题不包括(C)。窗体顶端 · A、社交网络成为这些国家青年宣泄不满情绪,进行政治动员的重要平台 · B、对事件的发展起着推波助澜的作用 · C、社交网络直接导致了骚乱事件的发生 · D、社交媒体在此次事件中也发挥了正面的、积极的作用 窗体底端 2 以下关于网络欺凌的概念理解不正确的是(A)。窗体顶端 · A、通过网络雇佣打手欺凌他人 · B、通过网络谩骂、嘲讽、侮辱、威胁他人 · C、通过网络披露他人隐私 · D、通过网络骚扰他人 我的答案:A 窗体底端 3 以下哪一项不属于信息内容安全问题()。窗体顶端 · A、网上各类谣言、煽动性言论 · B、网络炫富 X · C、色情网站提供的视频、裸聊 X · D、计算机蠕虫 窗体底端
4网络环境下信息衍生出来的问题,尤其是语义层面的安全问题,称之为信息内容安全问题。(√)
5网络虚假信息、欺骗信息、垃圾信息、侵害隐私的信息、网络欺凌信息、侵犯知识产权的信息等都属于信息内容安全威胁。(√)
信息内容安全问题已完成 1 信息内容安全事关()。窗体顶端 · A、国家安全 · B、公共安全 · C、文化安全 · D、以上都正确 我的答案:D 窗体底端 2 信息内容安全的一种定义是,对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象是 窗体顶端 · A、通过内容可以判断出来的可对系统造成威胁的脚本病毒 · B、因无限制扩散而导致消耗用户资源的垃圾类邮件 · C、危害儿童成长的色情信息 · D、以上都正确 我的答案:D 窗体底端 3 以下哪一项不属于信息安全面临的挑战()。窗体顶端 · A、下一代网络中的内容安全呈现出多元化、隐蔽化的特点。· B、越来越多的安全意识参差不齐的用户让内容安全威胁变得更加难以防范。· C、现在的大多数移动终端缺乏内容安全设备的防护。· D、越来越多的人使用移动互联网。我的答案:D 窗体底端
4信息内容安全与传统的基于密码学的信息安全的主要区别不包括()。窗体顶端 · A、前者关注信息的内容,后者关注信息的形式 · B、密码学所解决的信息安全问题是要为信息制作安全的信封,使没有得到授权的人不能打开这个信封 · C、内容安全则是要“直接理解”信息的内容,需要判断哪些是“敏感”信息,哪些是正常信息 · D、前者不属于网络空间安全,后者属于网络空间安全 我的答案:D 窗体底端 5 信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等。()我的答案:√
信息内容安全防护已完成 1 信息内容安全防护的基本技术不包括(B)。窗体顶端 · A、信息获取技术 X · B、身份认证 · C、内容分级技术 X · D、内容审计技术 X 窗体底端 2 下面关于内容安全网关叙述错误的是(D)。窗体顶端 · A、是一种能提供端到端宽带连接的网络接入设备,通常位于骨干网的边缘 X · B、能够通过对于网络传输内容的全面提取与协议恢复 X · C、在内容理解的基础上进行必要的过滤、封堵等访问控制 X · D、能够发现入侵并阻止入侵 窗体底端 3 移动互联网为我们提供了广泛交流的平台,我们可以想说什么就说什么,充分展示自我,充分表达自我。(×)我的答案:
4网络舆情监测与预警系统通过对海量非结构化信息的挖掘与分析,实现对网络舆情的热点、焦点、演变等信息的掌握。(√)
5信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。(√)
橘子哥与隐私泄露已完成 1 以下哪些不是iCloud云服务提供的功能(C)。窗体顶端 · A、新照片将自动上传或下载到你所有的设备上 · B、你手机、平板等设备上的内容,可随处储存与备份 · C、提供个人语音助理服务 · D、帮助我们遗失设备时找到它们 我的答案:C 窗体底端 2 2015年上半年网络上盛传的橘子哥事件说明了(B)。窗体顶端 · A、橘子哥注重隐私防护 · B、iCloud云服务同步手机中的数据会造成隐私信息泄露 · C、网民喜欢橘子哥 · D、非正规渠道购买手机没有关系 我的答案:B 窗体底端 3 一张快递单上不是隐私信息的是(A)。窗体顶端 · A、快递公司名称 · B、收件人姓名、地址 · C、收件人电话 · D、快递货品内容 我的答案:A 窗体底端 4 以下说法错误的是(D)。窗体顶端 · A、信息泄露的基础是因为有了大数据,尽管我们不能否认大数据带来的变革。· B、当前的个性化服务模式无形中将个人信息泄露从概率到规模都无数倍放大。· C、移动互联网时代大数据环境下的隐私保护已经成为一个重要的课题。· D、要保护隐私就要牺牲安全和便利。我的答案:D 窗体底端 5 当前社交网站往往是泄露我们隐私信息的重要途径,这是因为(D)。窗体顶端 · A、有些社交网站要求或是鼓励用户实名,以便与我们真实世界中的身份联系起来 · B、用户缺乏防护意识,乐于晒自己的各种信息 · C、网站的功能设置存在问题 · D、以上都正确 我的答案:D 窗体底端
隐私泄露问题已完成 1 信息隐私权保护的客体包括(D)。窗体顶端 · A、个人属性的隐私权,以及个人属性被抽象成文字的描述或记录。· B、通信内容的隐私权。· C、匿名的隐私权。· D、以上都正确 我的答案:D 窗体底端 2 以下哪一项不属于隐私泄露的途径。(D)窗体顶端 · A、通过微信等社交网络平台 · B、通过手机应用软件 · C、恶意代码窃取 X · D、谨慎处置手机、硬盘等存有个人信息的设备 窗体底端 3 以下对隐私的错误理解是(C)。窗体顶端 · A、隐私包括不愿告人的或不愿公开的个人的事 · B、个人的购买习惯、浏览网页、交往好友、活动位置等行为信息属于隐私信息 X · C、个人姓名、性别不属于隐私 · D、个人能够决定何时、以何种方式和在何等程度上将隐私公开给他人 窗体底端 4隐私就是个人见不得人的事情或信息。(×)
5扫二维码送礼物虽然大多是以营销为目的的,没有恶意,但是被商家获取的个人信息存在被滥用甚至被盗取的风险。√ 个人信息的法律保护已完成 1 以下哪一项不属于保护个人信息的法律法规()。窗体顶端 · A、《刑法》及刑法修正案 · B、《消费者权益保护法》 · C、《侵权责任法》 · D、《信息安全技术——公共及商用服务信息系统个人信息保护指南》 我的答案:D 窗体底端 2 我国刑法中有“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。我的答案:√
3我国已经颁布执行了《个人信息保护法》。(×)
4《信息安全技术——公共及商用服务信息系统个人信息保护指南》这个国家标准不是强制性标准,只是属于技术指导文件”。()我的答案:√ 5 在当前法律法规缺失,惩罚力度不够等问题存在的情况下,为了有效保护个人信息的安全,依靠安全技术和个人信息安全意识成为首选。()我的答案:√
常用应用软件隐私保护设置已完成
1几乎所有的手机应用软件会收集用户的位置、通信录等个人信息。如果用户不想别人了解自己的位置信息,可以关闭手机的GPS功能。()我的答案:√
2QQ空间由于设置了密码保护因此不存在隐私泄露的风险。()我的答案:×
3手机QQ、微信App可以设置隐私保护,而PC客户端没有这类功能。()我的答案:×
4可以设置QQ隐身让我们免受打扰。()我的答案:√
5安装手机安全软件可以让我们不用再担心自己的隐私泄露问题。()我的答案:×
三只小猪的故事已完成
1看了童话《三只小猪的故事》,不正确的理解是()。窗体顶端 · A、安全防护意识很重要 · B、要注重消除安全漏洞 · C、安全防护具有动态性 · D、盖了砖头房子就高枕无忧了 我的答案:D 窗体底端
2在烟囱底下架上一口装满开水的锅,相当于发现了自身漏洞后要及时弥补。我的答案:√
3三只小猪为了防止被大灰狼吃掉,各自盖了三种房子。这相当于安全防护措施的建设,做得越好,抗攻击能力越强。我的答案:√
信息安全管理已完成 1 信息安全管理的重要性不包括()。窗体顶端 · A、三分技术、七分管理 · B、仅通过技术手段实现的安全能力是有限的,只有有效的安全管理,才能确保技术发挥其应有的安全作用 · C、信息安全技术是保障,信息安全管理是手段 · D、信息安全管理是信息安全不可分割的重要内容 我的答案:C 窗体底端 2 安全管理是一个不断改进的持续发展过程。()我的答案:√ 3 信息安全管理是指为了完成信息安全保障的核心任务,实现既定的信息与信息系统安全目标,针对特定的信息安全相关工作对象,遵循确定的原则,按照规定的程序(规程),运用恰当的方法,所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。()我的答案:√ 4 信息安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。()我的答案:√
信息安全意识已完成
1信息安全等级保护制度的基本内容不包括(D)。窗体顶端 · A、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护 X · B、对信息系统中使用的信息安全产品实行按等级管理 X · C、对信息系统中发生的信息安全事件分等级响应、处置 · D、对信息系统中存储和传输的数据进行加密等处理 窗体底端
2国家层面的信息安全意识的体现不包括()。窗体顶端 · A、建立相应的组织机构 · B、制定相应的法律法规、标准 · C、制定信息安全人才培养计划 · D、开设信息安全相关专业和课程 我的答案:D 窗体底端 3 个人应当加强信息安全意识的原因不包括(B)。窗体顶端 · A、人的信息安全意识薄弱具有普遍性且容易被渗透,攻击者更喜欢选择这条路径发起攻击 · B、基于技术的防御手段已经无法成为安全防护体系的重要组成部分 · C、研究实验已表明,增强个人信息安全意识能有效减少由人为因素造成安全威胁发生的概率 · D、认识信息安全防护体系中最薄弱的一个环节 X 窗体底端
4以下对信息安全风险评估描述不正确的是(D)。窗体顶端 · A、风险评估是等级保护的出发点 X · B、风险评估是信息安全动态管理、持续改进的手段和依据 X · C、评估安全事件一旦发生,给组织和个人各个方面造成的影响和损失程度 X · D、通常人们也将潜在风险事件发生前进行的评估称为安全测评 窗体底端
5提高个人信息安全意识的途径中,能够及时给听众反馈,并调整课程内容的是(B)。窗体顶端 · A、以纸质材料和电子资料为媒介来教育并影响用户,主要包括海报、传单和简讯 · B、专家面向大众授课的方式 · C、培训资料以Web页面的方式呈现给用户 · D、宣传视频、动画或游戏的方式 窗体底端
6实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()我的答案:√ 7 《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。(X)
第三篇:移动互联网时代的信息安全与防护 笔记
移动互联网时代的信息安全与防护
一、课程概述
1.1课程目标
通过本章的学习,需掌握:
1、信息安全技术包括哪些方面;
2.存在于身边的主要安全问题有哪些
移动互联网是指互联网技术、平台、商业模式和应用于移动通信技术结合并实践的一个活动的总称
1.2课程内容
移动互联网时代的安全问题:设备与环境安全、数据安全、身份与访问安全、系统软件安全、网络安全、应用软件安全、信息内容安全。
1、设备与环境的安全:信息存在前提,信息安全的基础,影响信息的可用性和完整性物理设备的不安全会导致敏感信息的泄露和客体被重用。将介绍计算机设备与环境的安全问题和环境安全防护措施及针对设备的电磁安全防护和针对PC机的物理安全防护
2、要保证数据的保密性、完整性、不可否认行、可认证性和存在性,为避免数据灾难要重视数据的备份和恢复,将介绍用加密来保护数据的保密性、哈希函数保护信息的完整性、数字签名保护信息的不可否认性和可认证性、隐藏保护信息的存在性、容灾备份与恢复确保数据的可用性(以Windows系统中的常用文档为例)
3、用户访问计算机资源时会用到身份标识,以此来鉴别用户身份,届时将介绍身份认证和访问控制的概念,访问控制模型和访问控制方案
4、系统软件安全将介绍操作系统重用安全机制的原理,如,身份鉴别、访问控制、文件系统安全、安全审计等等,将以Windows XP系统为例给出安全加固的一些基本方法
5、网络安全将以最新的APT攻击为例来介绍攻击产生的背景、技术特点和基本流程,将给出防火墙、入侵检测、网络隔离、入侵防御的一些措施,在实例中给出APT攻击防范的基本思路
6、应用软件安全:
1、防止应用软件对支持其运行的计算机系统(手机系统)的安全产生怕破坏,如恶意代码的防范
2、防止对应用软件漏洞的利用,如代码安全漏洞的防范 其他:防止对应用软件本身的非法访问
7、信息内容安全:是信息安全的一个重要内容,信息的传播影响人们的思想和事件的走向、同时人肉搜索侵害隐私,将介绍信息内容安全问题、信息内容安全的保护对象及得到普遍认可和应用的信息安全网关和舆情监控以及预警系统
与同学密切相关的安全问题:个人隐私安全、网络交友安全、网络交易安全
相关的影视作品:《虎胆龙威4》黑客组织的攻击造成了整个城市的交通瘫痪、股市瘫痪、安全机关陷入混乱《鹰眼》信息监控 《网络危机》《夺命手机》《速度与激情7》 央视《每周质量报告》免费WiFi陷阱
1.3课程要求
1、黑客的行为是犯罪的2、严格遵守国家法律、法规
3、移动互联网技术是把双刃剑
二、信息安全威胁
1、简述网络空间威胁的主要内容、2、四大威胁包括哪些方面
2.1斯诺登事件
斯诺登事件和棱镜门
a.美国棱镜计划被曝光
棱镜计划(PRISM)是一项由美国国安局(NSA)自2007年开始实施的绝密电子监听计划。
2013年6月,该计划因美国防务承包商波斯艾伦咨询公司的雇员爱德华 斯诺登向英国《卫报》提供绝密文件而曝光。
根服务器管理权的争论?
b.棱镜计划是如何实施监控的? US-984XN 所有的数据运用全球骨干网,要传回美国
c.主干网的计算机与路由器的关系:
所有计算机收发的数据、文件都要经过关键路由器。这样截取的信息完全不必要入侵计算机的终端,d.棱镜工作流程
情报分析师首先向棱镜项目发出新的搜索请求,寻求获得一个新的监视目标及其信息,这个请求会自动发送到审查请求的主管,获得批准后开始监视。
每一个被棱镜监视的目标都会被分配一个编号,编号可以实时的反映出存储信息的可用状态
2.2网络空间安全
网络空间安全威胁
1、网络空间霸权美国a.把持着全球互联网的域名解析权
b.控制着互联网的根服务器
c.掌握着全球IP抵制的分配权
e.拥有世界上最大的、最主要的软件、硬件及互联网服务商
f.积极研制网络空间武器,强化在网络空间领域的霸主地位
j.将互联网当作对他国进行意识形态渗透的重要工具
2、网络恐怖主义
恐怖组织(如,基地组织、ISIS)利用网络,通过散布激进言论、散布谣言、散布血腥视频、攻击和破坏网络系统等方式造成社会轰动效应,增加对方(通常是国家)民众的恐惧心理,以达到破坏其社会稳定,甚至颠覆国家政权的目的。
3、网络谣言和网络政治动员
(1)、网络谣言是指通过网络介质(例如邮箱、聊天软件、社交网站、网络论坛等)传播的没有事实依据的话语,主要涉及突发事件、公共领域、名人要员、颠覆传统、离经叛道等内容。
(2)政治动员是指在一定的社会环境与政治局势下,动员主体为实现特定的目的,利用互联网在网络虚拟空间有意图地传播针对性的信息,诱发意见倾向,获得人们的支持和认同,号召和鼓动网民在现实社会进行政治行动,从而扩大自身政治资源和政治行动能力的行为和过程。
4、网络欺凌
个人或群体利用网络的便捷性,通过计算机或手机等电子媒介,以电子邮件,文字,图片,视频等方式对他人进行的谩骂、嘲讽、侮辱、威胁、骚扰等人身攻击,从而造成受害者精神和心理创伤。
5、网络攻击和网络犯罪
NORES?攻击直播?
网络攻击示意图有(图中显示的攻击方有可能只是真正攻击者的跳板): a.数字攻击地图网站,(提供攻击来源、方式、频率)b.FireEye公司的网络威胁地图
c.挪威公司的ipvikinge黑客攻击地图(包含的相关数据特别的多,如攻击组织的名称和网络地址,攻击目标所在的城市、被攻击的服务器,还列举了最易被攻击的一些国家,和最易发起攻击的一些国家)
d.卡巴斯基的网络实时地图(交互性强,可以布局自定义的扫描来过滤某些恶意的威胁,如email的恶意软件,website攻击、漏洞扫描等等)
e.国内 中国互联网信息安全地下产业链调查
2、实例
要塞病毒软件
2.3四大威胁总结
总结:根据信息流动的过程来划分威胁的种类
一、中断威胁
中断威胁破坏信息系统的可用性,1、使合法用户不能正常访问网络资源
2、使有严格时间要求的服务不能及时得到响应
摧毁系统:物理破坏网络系统和设备组件使或者破坏网络结构使之瘫痪,比如硬盘等硬件的毁坏、通讯线路的切断和文件管理系统的瘫痪等等因此我们常见的中断威胁是造成系统的拒绝服务,也就是说信息或信息系统的资源他的被利用价值或服务的能力下降或丧失
二、截获(Interception)威胁
指一个非授权方介入系统,使得信息在传输中被丢失或泄露的攻击,他破坏了保密性,非授权可以是一个人、一个程序或一台计算机。
这类攻击主要包括:利用电磁泄露或搭线窃听等方式截获机密信息,通过对信息的流向、流量、通信频度和长度对参数的分析,推测出有用信息,如用户口令、账号等。
非法复制程序或数据文件、三、篡改(Modification)威胁
以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使信息的完整性受到破坏。攻击包括:
1、改变数据文件,如修改数据库中的某些值
2、替换一段程序使之执行另外的功能,设置修改硬件。
四、伪造(fabrication)威胁
一个非授权方将伪造的客体插入系统中,破坏信息的可认证性。
例如在网络通信系统当中插入伪造的事务处理或者向数据库中添加记录。
三、信息安全概念
需掌握和了解以下问题:
1、如果我们计算机的操作系统打过了补丁(patch)是不是就可以说这台机器就是安全的。
2、如果我们的计算机与互联网完全断开,是不是就可以确保我们的计算机安全。
了解信息安全的概念认识角度:
1、信息安全的感性认识
2、安全事件的发生机理
3、安全的几大需求 本讲内容:
1、您的电脑安全吗?这个主要是从信息安全的一个感性认识上来理解什么是安全的。
2、安全事件如何发生?这个主要是从安全事件的发生机理上来理解什么是安全的。
3、什么是安全?这个主要是从安全的几大需求来理解什么是安全的。
3.1你的电脑安全吗?
1、从对信息安全的感性认识理解信息安全
0 day漏洞:就是指在系统商不知晓或是尚未发布相关补丁前就被掌握或者公开的漏洞信息
强口令的破坏:
1、网上的破解器
2、不慎泄露
3、网站服务商用明文保存口令或者是泄露
2、计算机硬件的安全威胁:
1、计算机硬件被窃
2、机器硬件遭受自然灾害破坏
3、隐蔽窃取信息的设备 如:keysweeper(可以无线窃取附近无线键盘的信号,并记录每一次的输入,然后通过内置的GSM网络发送出去。一旦发现重要资料,比如银行账户和密码,会自动提醒黑客。)
3、另外,目前在移动互联网时代还存在着非常严重的BYOD问题
BYOD(bring your own device)指携带自己的设备办公,这些设备包括个人电脑,手机,平板灯(而更多的情况是指手机或平板这样的移动智能终端设备。)安全内网中计算机中的数据仍有通过移动智能终端等BYOD设备被传出的威胁。
4、什么是不安全:
1、不及时给系统打补丁
2、使用弱口令
3、打开陌生用户的电子邮件附件
4、链接不加密的无线网络
世界顶级黑客米特尼克 影像资料《无线网密码嗅探》
3.2安全事件如何发生
根据安全事件的发生机理来认识什么是安全安全事件的发生是由外在的威胁和内部的脆弱点所决定的。相对于表象具体的攻击,安全事件更具有一般性,比如棱镜计划是不是斯诺登发起的网络攻击,但是其信息泄露却是一次安全事件。
对信息系统的威胁:指潜在的、对信息系统造成危害的因素,对信息系统安全的威胁是多方面的,目前还没有统一的方法对各种威胁加以区别和进行标准的分类,因为不同威胁的存在及其重要性是随环境的变化而变化的。
(外部)网络中的信息安全威胁分为三个侧面:
1、针对国家层面的国家行为的网络版权威胁,非国家行为体的网络恐怖主义,网络谣言和网络社会动员。
2、针对组织和个人的网络攻击威胁
3、针对个人的网络欺凌等威胁(内部)信息系统中的脆弱点(有事又被称作脆弱性、弱点(weaknesses)、安全漏洞(holes):物理安全、操作系统、应用软件、TCP/IP网络协议和人的因素等各个方面都存在已知或未知的脆弱点,它们为女权事件的发生提供了条件。
1、脆弱点---物理:计算机系统物理方面的安全主要表现为物理可存取、电磁泄露等方面的问题。此外,物理安全问题还包括设备的环境安全、位置安全、限制物理访问、物理环境安全和地域因素等。比如机房安排的设备数量超过了机房空调的承载能力,你们设备就有可能由于过热而造成损坏;如,U盘
2、脆弱点---软件系统:计算机软件可分为操作系统软件、应用平台软件(如数据库管理系统)和应用业务软件三类,一层次结构构成软件体系。可以说,任何一个软件系统都会因为程序员的一个疏忽、开发中的一个不规范等原因而存在漏洞。
3、脆弱点---网络和通信协议:TCP/IP协议栈在设计时,指考虑了互联互通和资源共享的问题,并未考虑也无法同时解决来自网络的大量安全问题。比如电子邮件当初在设计时就没有认证和加密的功能。
4、脆弱点---人:(1)、人为的无意的失误,如误删某些文件(2)、人为的恶意攻击,如黑客制造的恶意代码(3)、管理上的因素,如管理不当造成的密码泄露,硬盘被盗等等。
3.3什么是安全
从安全的几大需求来理解什么是信息安全
CIA安全需求模型:C是confidentiality(保密性)、I是integrity(完整性)、A是availability(可用性)
1、保密性是指确保信息资源仅被合法的实体(如用户、进程)访问,使信息不泄露给未授权的实体。保密内容包括,国家秘密、各种社会团体、企业组织的工作及商业秘密、个人秘密和个人隐私,数据的存在性(有时候存在性比数据本身更能暴露信息)。计算机的进程、中央处理器、存储设备、打印设备等也必须实施严格的保密技术措施,同时要避免电磁泄露。实现保密性的方法:一般是通过对信息的加密,或是对信息划分密级并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问。
2、完整性是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不被偶然或蓄意地修改、伪造等破坏。
不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,要实现保护机制的引荐和软件的逻辑完备性、数据结构和存储的一致性。实现完整性的方法:
1、事先的预防,通过阻止任何未经授权的改写企图,或者通过阻止任何未经授权的方法来改写数据的企图、以确保数据的完整性。
2、事后的检测,并不试图阻止完整性的破坏,而是通过分析用户或系统的行为,或是数据本身来发现数据的完整性是否遭受破坏。
3、可用性 是指信息资源可被合法永福访问并按要求的恶性使用而不遭拒绝服务。可用的对象包括:信息、服务、IT资源等。例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。如,12306瘫痪
实现可用性的方法:
1、备份与灾难恢复
2、应急响应
3、系统容侵其他的安全需求:
4、其他
(1)不可抵赖性,通常又称为不可否认性,是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接受者无法否认已经接收的信息或信息的部分内容。实现不可抵赖性的措施主要有:数字签名、可信第三方认证技术等。
(2)可认证性是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。可认证性比鉴别(authentication)有更深刻的含义,他包含了对传输、消息和消息源的真实性进行核实。
(3)可控性是指对信息好信息系统的认证授权和监控管理,确保某个实体(用户、进程等)身份的真实性,确保信息内容的安全和合法,确保系统状态可被授权方所控制。管理机构可以通过信息监控、审计、过滤等手段对通信活动、信息的内容及传播进行监管和控制。(4)可审查性是指:使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)行为有证可查,并能够对网络出现的安全问题提供调查一句和手段。审计是通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,是对资源使用情况进行事后分析的有效手段,也是发现和追踪时间的常用措施。
审计的主要对象为用户、主机和节点,主要内容为访问的主体、客体、时间和成败情况等。(5)可存活性(在当前复杂的互联网环境下遭受攻击应该说是不可避免的)是指计算机系统的这样一种能力:他能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时地恢复全部的服务。信息安全的概念小结:
1、特定对象的安全:信息基础设施、计算环境、计算边界和连接、信息内容、信息的应用
2、特定过程的安全:主要保护信息生产、存储、传输、处理、使用、销毁这一全过程的安全因此,信息安全研究的内容应当围绕构建信息安全体系结构的人、技术、管理三个要素展开
信息安全技术七大方面:设备与环境安全、数据安全、身份与访问安全、系统软件安全、网络安全、应用软件安全、信息内容安全
信息安全管理:信息安全管理体系、信息安全工程
第六章
计算机设备与环境安全
需掌握
1、简述恶意代码检测和查杀工具、U盘检测工具及认证和加密工具的使用方法
2、什么是移动存储设备接入安全管理四部曲
内容
1、U盘之类的移动存储设备面临的安全威胁
2、移动存储设备安全防护措施 6.1移动存储设备安全威胁分析 安全问题:
1、设备质量低劣:U盘内部有主控和FLASH(U盘内存的大小),可以通过软件调整,来将128MB的U盘做到8G,16G甚至更大,主要是通过软件来欺骗Windows系统
2、感染和传播病毒等恶意代码
(1), iPod sharpinp恶意代码攻击,可以从一个系统到另外一个系统来回的搜索所有目标电脑的子目录,可以专注与去搜索目标系统里的word文档,PDF文档,HTML文档。Gartber Research建议所有注入iPods的移动存储设备都必须禁止逮到工作单位,Sansung已经采纳了这个建议并且禁止员工使用Samsung的最新款手机,因为该款手机拥有8GB甚至更大的存储
(2),密码插入和密码提取,密码插入可以通过执行一些程序来完成,如NT Password。
这个程序所需要的就是建立系统的物理访问,以及能够从软盘和其他设备上启动系统。当黑客启动了这个基于Linux的程序,那么他接下来就只需要简单地回答一系列关于他希望登录哪个账号以及他想修改的用户新密码的问题
3、设备易失造成敏感数据泄露、操作痕迹泄露
第四篇:《移动互联网时代的信息安全与防护》期末考试(最终版)
2016《移动互联网时代的信息安全与防护》期末考试(20)
成绩: 87.0分
一、单选题(题数:50,共 50.0 分)1目前广泛应用的验证码是()。1.0 分 A、CAPTCHA B、DISORDER C、DSLR D、REFER 我的答案:A 2一种自动检测远程或本地主机安全性弱点的程序是()。0.0 分 A、入侵检测系统 B、防火墙 C、漏洞扫描软件 D、入侵防护软件 我的答案:A 3计算机病毒与蠕虫的区别是()。1.0 分 A、病毒具有传染性和再生性,而蠕虫没有 B、病毒具有寄生机制,而蠕虫则借助于网络的运行 C、蠕虫能自我复制而病毒不能 D、以上都不对 我的答案:B 4Web攻击事件频繁发生的原因不包括()。1.0 分 A、Web应用程序存在漏洞,被黑客发现后利用来实施攻击 B、Web站点安全管理不善 C、Web站点的安全防护措施不到位 D、Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现 我的答案:D 5以下哪一项不属于隐私泄露的途径。()1.0 分 A、通过微信等社交网络平台 B、通过手机应用软件 C、恶意代码窃取 D、谨慎处置手机、硬盘等存有个人信息的设备 我的答案:D 6以下对于木马叙述不正确的是()。1.0 分 A、木马是一个有用的、或者表面上有用的程序或者命令过程,但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码 B、木马能够使得非法用户进入系统、控制系统和破坏系统 C、木马程序通常由控制端和受控端两个部分组成 D、木马程序能够自我繁殖、自我推进 我的答案:D 7看待黑客的正确态度是()。1.0 分 A、崇拜和羡慕黑客可以随意地侵入任何网络系统 B、他们不断革新技术、不断创新、追求完美的精神并不值得提倡 C、黑客的存在促使我们时刻警惕,在与之对抗的过程中不断发展和提高 D、黑客给世界带来了灾难,必须消灭和禁止一切黑客的活动 我的答案:C 8LSB算法指把信息隐藏在图像的()。1.0 分 A、高级层位的平面上 B、中级层位的平面上 C、最低层或最低几层的平面上 D、中高层位的平面上 我的答案:C 9为了确保手机安全,我们在下载手机APP的时候应该避免()。1.0 分 A、用百度搜索后下载 B、从官方商城下载 C、在手机上安装杀毒等安全软件 D、及时关注安全信息 我的答案:A 10打开证书控制台需要运行()命令。1.0 分 A、certmgr.msc B、wiaacmgr C、devmgmt.msc D、secpol.msc 我的答案:A 11下面哪种不属于恶意代码()。1.0 分 A、病毒 B、蠕虫 C、脚本 D、间谍软件 我的答案:C 12顾客在银行输入密码后立即使用数码红外摄像机,它读取键盘输入的密码成功率超过()。1.0 分 A、60% B、70% C、80% D、90% 我的答案:C 13以下哪一项不属于VPN能够提供的安全功能()。1.0 分 A、翻墙 B、数据加密 C、身份认证 D、访问控制 我的答案:A 14伦敦骚乱事件反映出的问题不包括()。0.0 分 A、社交网络成为这些国家青年宣泄不满情绪,进行政治动员的重要平台 B、对事件的发展起着推波助澜的作用 C、社交网络直接导致了骚乱事件的发生 D、社交媒体在此次事件中也发挥了正面的、积极的作用 我的答案:D 15()是信息赖以存在的一个前提,它是信息安全的基础。1.0 分 A、数据安全 B、应用软件安全 C、网络安全 D、设备与环境的安全 我的答案:D 16WD 2go的作用是()。0.0 分 A、共享存储 B、私人存储 C、恢复删除数据 D、彻底删除数据 我的答案:B 17网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。1.0 分 A、稳定性 B、可认证性 C、流畅性 D、以上都对 我的答案:B 18APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。1.0 分 A、这种攻击利用人性的弱点,成功率高 B、这种漏洞尚没有补丁或应对措施 C、这种漏洞普遍存在 D、利用这种漏洞进行攻击的成本低 我的答案:B 19可用于对NTFS分区上的文件和文件加密保存的系统是()。0.0 分 A、Bitlocker B、IIS C、EFS D、X—Scan 我的答案:A 20黑客在攻击过程中通常进行端口扫描,这是为了()。1.0 分 A、检测黑客自己计算机已开放哪些端口 B、口令破解 C、截获网络流量 D、获知目标主机开放了哪些端口服务 我的答案:D 2112306网站的证书颁发机构是()。1.0 分 A、DPCA B、ZTCA C、UECA D、SRCA 我的答案:D 22影响移动存储设备安全的因素不包括()。1.0 分 A、设备质量低 B、感染和传播病毒等恶意代码 C、设备易失 D、电源故障 我的答案:D 23网络空间信息安全防护的原则是什么?()1.0 分 A、整体性和分层性 B、整体性和安全性 C、分层性和安全性 D、分层性和可控性 我的答案:A 24美国“棱镜计划”的曝光者是谁?()1.0 分 A、斯诺德 B、斯诺登 C、奥巴马 D、阿桑奇
我的答案:B 25应对数据库崩溃的方法不包括()。1.0 分 A、高度重视,有效应对 B、确保数据的保密性 C、重视数据的可用性 D、不依赖数据 我的答案:D 26信息内容安全防护的基本技术不包括()。0.0 分 A、信息获取技术 B、身份认证 C、内容分级技术 D、内容审计技术 我的答案:A 27把明文信息变换成不能破解或很难破解的密文技术称为()。1.0 分 A、密码学 B、现代密码学 C、密码编码学 D、密码分析学 我的答案:C 28下面对数据安全需求的表述错误的是()。1.0 分 A、保密性 B、完整性 C、可否认性 D、可认证性 我的答案:C 29《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。1.0 分 A、穷举攻击 B、统计分析 C、数学分析攻击 D、社会工程学攻击 我的答案:B 30WindowsXP的支持服务正式停止的时间是()。1.0 分 A、2014年4月1日 B、2014年4月5日 C、2014年4月8日 D、2014年4月10日 我的答案:C 31在公钥基础设施环境中,通信的各方首先需要()。1.0 分 A、检查对方安全 B、验证自身资质 C、确认用户口令 D、申请数字证书 我的答案:D 32以下对信息安全风险评估描述不正确的是()。0.0 分 A、风险评估是等级保护的出发点 B、风险评估是信息安全动态管理、持续改进的手段和依据 C、评估安全事件一旦发生,给组织和个人各个方面造成的影响和损失程度 D、通常人们也将潜在风险事件发生前进行的评估称为安全测评 我的答案:A 33以下对于社会工程学攻击的叙述错误的是()。1.0 分 A、运用社会上的一些犯罪手段进行的攻击 B、利用人的弱点,如人的本能反应、好奇心、信任、贪便宜等进行的欺骗等攻击 C、免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用 D、传统的安全防御技术很难防范社会工程学攻击 我的答案:A 34以下不属于防护技术与检测技术融合的新产品是()。0.0 分 A、下一代防火墙 B、统一威胁管理 C、入侵防御系统 D、入侵检测系统 我的答案:C 35网络的人肉搜索、隐私侵害属于()问题。1.0 分 A、应用软件安全 B、设备与环境的安全 C、信息内容安全 D、计算机网络系统安全 我的答案:C 36信息安全防护手段的第三个发展阶段是()。1.0 分 A、信息保密阶段 B、网络信息安全阶段 C、信息保障阶段 D、空间信息防护阶段 我的答案:C 37()是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。1.0 分 A、不可抵赖性 B、可控性 C、可认证性 D、可审查性 我的答案:C 38计算机设备面临各种安全问题,其中不正确的是()。0.0 分 A、设备被盗、损坏 B、液晶显示屏的计算机可以防止偷窥者重建显示屏上的图像,但是阴极射线管显示屏不能 C、硬件设备中的恶意代码 D、旁路攻击 我的答案:A 39包过滤型防火墙检查的是数据包的()。1.0 分 A、包头部分 B、负载数据 C、包头和负载数据 D、包标志位 我的答案:A 40看了童话《三只小猪的故事》,不正确的理解是()。1.0 分 A、安全防护意识很重要 B、要注重消除安全漏洞 C、安全防护具有动态性 D、盖了砖头房子就高枕无忧了 我的答案:D 41以下设备可以部署在DMZ中的是()。1.0 分 A、客户的账户数据库 B、员工使用的工作站 C、Web服务器 D、SQL数据库服务器 我的答案:C 42SHA-2的哈希值长度不包括()。1.0 分 A、256位 B、312位 C、384位 D、512位
我的答案:B 43身份认证是证实实体对象的()是否一致的过程。1.0 分 A、数字身份与实际身份 B、数字身份与生物身份 C、数字身份与物理身份 D、数字身份与可信身份 我的答案:C 44运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于()。0.0 分 A、包过滤型 B、应用级网关型 C、复合型防火墙 D、代理服务型 我的答案:C 45信息内容安全事关()。1.0 分 A、国家安全 B、公共安全 C、文化安全 D、以上都正确 我的答案:D 46恶意代码USBDumper运行在()上。1.0 分 A、U盘 B、机箱 C、主机 D、以上均有 我的答案:C 47计算机软件可以分类为()。1.0 分 A、操作系统软件 B、应用平台软件 C、应用业务软件 D、以上都对 我的答案:D 48APT攻击中攻击方常购买或挖掘0 day漏洞,这是因为()。0.0 分 A、这种漏洞利用人性的弱点,成功率高 B、这种漏洞尚没有补丁或应对措施 C、这种漏洞普遍存在 D、利用这种漏洞进行攻击的成本低 我的答案:D 49一张快递单上不是隐私信息的是()。1.0 分 A、快递公司名称 B、收件人姓名、地址 C、收件人电话 D、快递货品内容 我的答案:A 50《保密通讯的信息理论》的作者是信息论的创始人()。1.0 分 A、迪菲 B、赫尔曼 C、香农 D、奥本海默 我的答案:C
二、判断题(题数:50,共 50.0 分)
1身份认证中认证的实体既可以是用户,也可以是主机系统。()1.0 分 我的答案: √
2设置陷阱账户对于系统的安全性防护作用不大。()1.0 分 我的答案: ×
3《信息安全技术——公共及商用服务信息系统个人信息保护指南》这个国家标准不是强制性标准,只是属于技术指导文件”。()0.0 分 我的答案: ×
4安全控件主要是通过监控用户的登录和退出来保证用户的信息安全。()1.0 分 我的答案: ×
5木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。()1.0 分 我的答案: √
6安装手机安全软件可以让我们不用再担心自己的隐私泄露问题。()1.0 分 我的答案: ×
7埃博拉病毒是一种计算机系统病毒。()1.0 分 我的答案: ×
8我国已经颁布执行了《个人信息保护法》。()1.0 分 我的答案: ×
9信息隐藏就是指信息加密的过程。()1.0 分 我的答案: ×
10“艳照门”事件本质上来说是由于数据的不设防引成的。()1.0 分 我的答案: √
11网络舆情监测与预警系统通过对海量非结构化信息的挖掘与分析,实现对网络舆情的热点、焦点、演变等信息的掌握。()1.0 分 我的答案: √
12进入局域网的方式只能是通过物理连接。()1.0 分 我的答案: ×
13如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()1.0 分 我的答案: √
14WEP协议使用了CAST算法。1.0 分 我的答案: ×
15通过软件可以随意调整U盘大小。()1.0 分 我的答案: √
16信息安全管理是指为了完成信息安全保障的核心任务,实现既定的信息与信息系统安全目标,针对特定的信息安全相关工作对象,遵循确定的原则,按照规定的程序(规程),运用恰当的方法,所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。()1.0 分
我的答案: √
17利用防火墙可以实现对网络内部和外部的安全防护。()1.0 分 我的答案: ×
18《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()1.0 分 我的答案: √
19没有一个安全系统能够做到百分之百的安全。()1.0 分 我的答案: √
20三只小猪为了防止被大灰狼吃掉,各自盖了三种房子。这相当于安全防护措施的建设,做得越好,抗攻击能力越强。1.0 分 我的答案: √
21移动互联网为我们提供了广泛交流的平台,我们可以想说什么就说什么,充分展示自我,充分表达自我。()1.0 分 我的答案: ×
22对打印设备不必实施严格的保密技术措施。()1.0 分 我的答案: ×
23可以设置QQ隐身让我们免受打扰。()1.0 分 我的答案: √
24IDS中,能够监控整个网络的是基于网络的IDS。()1.0 分 我的答案: √
25密码注入允许攻击者提取密码并破解密码。()1.0 分 我的答案: ×
26谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。()1.0 分 我的答案: √
27数据恢复软件在使用时安装或预先安装的效果差别不大,可以根据个人情况而定。()1.0 分 我的答案: ×
28通常路由器设备中包含了防火墙功能。()1.0 分 我的答案: √
29在烟囱底下架上一口装满开水的锅,相当于发现了自身漏洞后要及时弥补。1.0 分 我的答案: √
30《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。()1.0 分 我的答案: ×
31蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。()1.0 分 我的答案: √
32“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()1.0 分
我的答案: √
33几乎所有的手机应用软件会收集用户的位置、通信录等个人信息。如果用户不想别人了解自己的位置信息,可以关闭手机的GPS功能。()1.0 分 我的答案: √
34证书出问题以后,只有立刻通过CRL宣布证书失效才能切实解决证书认证的问题。()1.0 分
我的答案: ×
35网络环境下信息衍生出来的问题,尤其是语义层面的安全问题,称之为信息内容安全问题。()1.0 分 我的答案: √
36通过设置手机上的VPN功能,我们可以远程安全访问公司内网。()1.0 分 我的答案: √
3712306网站证书的颁发机构签发的证书无法吊销,可能给系统带来危害。()1.0 分 我的答案: √
38防火墙可以检查进出内部网的通信量。()0.0 分 我的答案: ×
39容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。1.0 分 我的答案: √
40哈希值的抗碰撞性使得哈希值能用来检验数据的完整性。()1.0 分 我的答案: √
41信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。()1.0 分 我的答案: √
42PC机防盗方式简单,安全系数较高。()1.0 分 我的答案: ×
43WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()1.0 分 我的答案: √
44信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等。()1.0 分 我的答案: √
45实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()1.0 分 我的答案: √
46IPS是指入侵检测系统。()0.0 分 我的答案: √
47如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。()1.0 分 我的答案: ×
48实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。()1.0 分 我的答案: √
49网络空间是指依靠各类电子设备所形成的互联网。()1.0 分 我的答案: ×
50离心机是电脑主机的重要原件。()1.0 分 我的答案: ×
第五篇:2016尔雅移动互联网时代信息安全及防护考试答案
造成计算机系统不安全的因素包括()D、以上都对
我的答案:D 找回被误删除的文件时,第一步应该是()。、C直接拔掉电源
我的答案:C 运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于()。A.包过滤型
我的答案:A 操作系统面临的安全威胁是()D.以上都是
我的答案:D 一种自动检测远程或本地主机安全性弱点的程序是()。C、漏洞扫描软件
我的答案:C 现代密码技术保护数据安全的方式是()。D.以上都是
我的答案:D 国家层面的信息安全意识的体现不包括()。D开设信息安全相关专业和课程
我的答案:D()是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。C、可认证性
我的答案:C 以下对隐私的错误理解是()。C个人姓名、性别不属于隐私
我的答案:C 公钥基础设施简称为()。C.PKI
我的答案:C 数字证书首先是由权威第三方机构()产生根证书.A.CA
我的答案:A 为了确保手机安全,我们在下载手机APP的时候应该避免()。A.用百度搜索后下载
我的答案:A 衡量容灾备份的技术指标不包括()。.C.安全防护目标
我的答案:C 信息内容安全防护的基本技术不包括()。B.身份认证
我的答案:B
15.黑客在攻击过程中通常进行端口扫描,这是为了()。D.获知目标主机开放了哪些端口服务
我的答案:D 终端接入安全管理四部曲中最后一步是()。、C.行为的审计与协助的维护
我的答案:C 一张快递单上不是隐私信息的是()。A、快递公司名称
我的答案:A 把明文信息变换成不能破解或很难破解的密文技术称为()。C 密码编码学
我的答案:C 确保系统的安全性采取的措施,不正确的是()。.、D.启用Guest账户
我的答案:D 恶意代码USBDumper运行在()上。、C..主机 我的答案:C 21 CIA安全需求模型不包括()。.、C.便捷性
我的答案:C.当前社交网站往往是泄露我们隐私信息的重要途径,这是因为()。D.以上都正确 我的答案:D 在公钥基础设施环境中,通信的各方首先需要()。D.申请数字证书
我的答案:D
第一次出现“Hacker”这一单词是在()。B.麻省理工AI实验室
我的答案:B 通过对已知攻击模型进行匹配来发现攻击的IDS是()。A.基于误用检测的 IDS
我的答案:A 下列关于计算机网络系统的说法中,正确的是()。D.以上都对
我的答案:D Web攻击事件频繁发生的原因不包括()。D.Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现
我的答案:D
机箱电磁锁安装在()。D、机箱内部
我的答案:D 防火墙设置中,若设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。这属于“宽”规则还是“严”规则?()A.宽
我的答案:A 计算机病毒与蠕虫的区别是()。B.病毒具有寄生机制,而蠕虫则借助于网络的运行
我的答案:B
包过滤型防火墙检查的是数据包的()。A.包头部分 我的答案:A
机房安排的设备数量超过了空调的承载能力,可能会导致()A.设备过热而损坏
我的答案:A
防范恶意代码可以从以下哪些方面进行()。D、以上都正确
我的答案:D
以下哪些不是iCloud云服务提供的功能()。.、C.提供个人语音助理服务
我的答案:C
《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。B.统计分析
我的答案:B
APT攻击中常采用钓鱼(Phishing),以下叙述不正确的是()。B.这种漏洞尚没有补丁或应对措施
我的答案:B
网络空间的安全威胁中,最常见的是()。A.中断威胁
我的答案:A
黑客群体大致可以划分成三类,其中黑帽是指()。C.非法侵入计算机网络或实施计算机犯罪的人
我的答案:C
通过检查访问者的有关信息来限制或禁止访问者使用资源的技术属于()。D、访问控制
我的答案:D
身份认证是证实实体对象的()是否一致的过程。C.数字身份与物理身份
我的答案:C 41 信息内容安全的一种定义是,对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象是D.以上都正确
我的答案:D
APT攻击中攻击方常购买或挖掘0 day漏洞,这是因为()B.这种漏洞尚没有补丁或应对措施
我的答案:B 43 以下对于APT攻击的叙述错误的是()C.通常不具有明确的攻击目标和攻击目的,长期不断地进行信息搜集、信息监控、渗透入侵
我的答案:C
下列属于USB Key的是()。C.支付盾
我的答案:C
下面哪种不属于恶意代码()C.脚本
我的答案:C
代码签名是为了()。B实现对软件来源真实性的验证
我的答案:B 47 提高个人信息安全意识的途径中,能够及时给听众反馈,并调整课程内容的是()。B.专家面向大众授课的方式
我的答案:B
《保密通讯的信息理论》的作者是信息论的创始人()C香农
我的答案:C
关于U盘安全防护的说法,不正确的是()C、ChipGenius是USB主机的测试工具
我的答案:C
伊朗核设施瘫痪事件是因为遭受了什么病毒的攻击?()C、震网病毒 我的答案:C
二、判断题(题数:50,共 50.0 分)在当前法律法规缺失,惩罚力度不够等问题存在的情况下,为了有效保护个人信息的安全,依靠安全技术和个人信息安全意识成为首选。()我的答案: √ 网络环境下信息衍生出来的问题,尤其是语义层面的安全问题,称之为信息内容安全问题。()我的答案: √ 网络虚假信息、欺骗信息、垃圾信息、侵害隐私的信息、网络欺凌信息、侵犯知识产权的信息等都属于信息内容安全威胁。()我的答案: √ CC被认为是任何一个安全操作系统的核心要求。()
我的答案: × 信息安全管理是指为了完成信息安全保障的核心任务,实现既定的信息与信息系统安全目标,针对特定的信息安全相关工作对象,遵循确定的原则,按照规定的程序(规程),运用恰当的方法,所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。()我的答案: √ 没有一个安全系统能够做到百分之百的安全。()
我的答案: √ 信息安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。()我的答案: √ 隐通道会破坏系统的保密性和完整性。()
我的答案: √ 9 设置陷阱账户对于系统的安全性防护作用不大。()
我的答案: × IDS中,能够监控整个网络的是基于网络的IDS。()
我的答案: √ 通常路由器设备中包含了防火墙功能。()
我的答案: √ 三只小猪为了防止被大灰狼吃掉,各自盖了三种房子。这相当于安全防护措施的建设,做得越好,抗攻击能力越强。我的答案: √ 实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。()
我的答案: √ 几乎所有的手机应用软件会收集用户的位置、通信录等个人信息。如果用户不想别人了解自己的位置信息,可以关闭手机的GPS功能。()我的答案: √ 数字签名算法主要是采用基于私钥密码体制的数字签名。()
我的答案: × 容灾备份与恢复的关键技术涉及到工作范围、备份点选择、需求衡量指标、恢复策略、恢复能力的实现等。我的答案: √ “棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()
我的答案: √ 18 扫二维码送礼物虽然大多是以营销为目的的,没有恶意,但是被商家获取的个人信息存在被滥用甚至被盗取的风险。我的答案: √ 通过软件可以随意调整U盘大小。()
我的答案: √ 信息内容安全主要在于确保信息的可控性、可追溯性、保密性以及可用性等。()
我的答案: √ 安全控件主要是通过监控用户的登录和退出来保证用户的信息安全。()
我的答案: × 信息隐藏就是指信息加密的过程。()
我的答案: × 密码注入允许攻击者提取密码并破解密码。()
我的答案: × IPS是指入侵检测系统。()
我的答案: × 《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()我的答案: √ 信息内容安全防护除了技术措施以外,网络用户个人也要加强修养、洁身自好、遵纪守法。()我的答案: √ 信息安全审计的主要对象是用户、主机和节点。()我的答案:
√ 28.WEP协议使用了CAST算法。我的答案: × CNCI是一个涉及美国国家网络空间防御的综合计划。()
我的答案: √ WindowsXP的支持服务正式停止,造成影响最大的是中国用户。()
我的答案: √
我国刑法中有“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。
我的答案: √
人是信息活动的主体。()
我的答案: √
在计算机或手机上安装了防病毒软件之后,就不必担心计算机或手机受到病毒攻击了。()我的答案: ×
美国海军计算机网络防御体系图体现了信息安全防护的整体性原则。()
我的答案: ×
数据备份是容灾备份的核心,也是灾难恢复的基础。()
我的答案: √
如果攻击者能取得一个设备的物理控制,那意味着他可以轻易控制这个设备。()
我的答案: √
美国签证全球数据库崩溃事件中,由于数据系统没有备份,直接导致了系统恢复缓慢,签证处理工作陷入停顿。()我的答案: √ 38 网络舆情监测与预警系统通过对海量非结构化信息的挖掘与分析,实现对网络舆情的热点、焦点、演变等信息的掌握。()我的答案: √
木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。()
我的答案: √
即使计算机在网络防火墙之内,也不能保证其他用户不对该计算机造成威胁。()
我的答案: √
《信息安全等级保护管理办法》中将信息和信息系统的安全保护等级划分为5级,第1级的安全级别最高。()我的答案: ×
12306网站证书的颁发机构签发的证书无法吊销,可能给系统带来危害。()
我的答案: √
蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。()我的答案: √
非对称密码体制、单钥密码体制、私钥密码体制是一个概念。()
我的答案: ×
USSE和闪顿都是国内的终端安全管理系统。()
我的答案: ×
实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统,是国家法律和政策的要求。()我的答案: √ 47 防火墙可以检查进出内部网的通信量。()
我的答案: √
谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。()
我的答案: √
对打印设备不必实施严格的保密技术措施。()
我的答案: ×
黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。()
我的答案: √