第一篇:信息安全管理考试真题
一、判断题(本题共15道题,每题1分,共15分。请认真阅读题目,然后在对的题目后面打√,在错误的题目后面打×)
1.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息,进而非法获得系统和资源访问权限。(√)
2.PKI系统所有的安全操作都是通过数字证书来实现的。(√)
3.PKI系统使用了非对称算法.对称算法和散列算法。(√)
4.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)
5.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)
6.实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√)
7.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√)
8.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√)
9.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)
10.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√)
11.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)
12.网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×)
13.防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√)
14.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。(×)
15.信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√)
二、选择题(本题共25道题,每题1分,共25分。请认真阅读题目,且每个题目只有一个正确答案,并将答案填写在题目相应位置。)
1.防止静态信息被非授权访问和防止动态信息被截取解密是__D____。
A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性
2.用户身份鉴别是通过___A___完成的。
A.口令验证 B.审计策略 C.存取控制 D.查询功能
3.故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以___B___。
A.3年以下有期徒刑或拘役 B.警告或者处以5000元以下的罚款
C.5年以上7年以下有期徒刑 D.警告或者15000元以下的罚款
4.网络数据备份的实现主要需要考虑的问题不包括__A____。
A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择
备份管理软件
5.《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在___C___向当地县级以上人民政府公安机关报告。
A.8小时内 B.12小时内 C.24小时内 D.48小时内
6.公安部网络违法案件举报网站的网址是__C____。
A.B.C.http:// D.7.对于违反信息安全法律、法规行为的行政处罚中,__A____是较轻的处罚方式。
A.警告 B.罚款C.没收违法所得 D.吊销许可证
8.对于违法行为的罚款处罚,属于行政处罚中的___C___。
A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚
9.对于违法行为的通报批评处罚,属于行政处罚中的___B___。
A.人身自由罚 B.声誉罚 C.财产罚 D.资格罚1994年2月国务院发布的《计算机信息系统安全保护条例》赋予__C____对计算机信息系统的安全保护工作行使监督管理职权。
A.信息产业部 B.全国人大 C.公安机关 D.国家工商总局
11.《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起__D____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A.7B.10C.15D.30
12.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存__C__天记录备份的功能。
A.10B.30C.60 D.90
13.对网络层数据包进行过滤和控制的信息安全技术机制是_A_____。
A.防火墙 B.IDSC.Sniffer D.IPSec
14.针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____B__。
A.防火墙隔离B.安装安全补丁程序
C.专用病毒查杀工具D.部署网络入侵检测系统
15.下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是__A____。
A.防火墙隔离B.安装安全补丁程序
C.专用病毒查杀工具D.部署网络入侵检测系统
16.下列不属于网络蠕虫病毒的是__C____。
A.冲击波 B.SQL SLAMMERC.CIH D.振荡波
17.传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A____等重要网络资源。
A.网络带宽 B.数据包 C.防火墙 D.LINUX
18.对于远程访问型VPN来说,__A____产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A.IPSee VPN B.SSL VPNC.MPLS VPN
D.L2TP VPN
19.1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为___D___个等级,并提出每个级别的安全功能要求。
A.7B.8C.6D.5
20.等级保护标准GB l7859主要是参考了__B____而提出。
A.欧洲ITSECB.美国TCSEC C.CCD.BS 7799
21.我国在1999年发布的国家标准___C___为信息安全等级保护奠定了基础。
A.GB l77998B.GB l5408C.GB l7859 D.GB l4430
22.信息安全登记保护的5个级别中,___B___是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级 B.专控保护级 C.监督保护级 D.指导保护级E.自主保护级
23.《信息系统安全等级保护实施指南》将___A___作为实施等级保护的第一项重要内容。
A.安全定级 B.安全评估 C.安全规划 D.安全实施
24.___C___是进行等级确定和等级保护管理的最终对象。
A.业务系统 B.功能模块 C.信息系统 D.网络系统
25.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__B____所确定。
A.业务子系统的安全等级平均值 B.业务子系统的最高安全等级
C.业务子系统的最低安全等级 D.以上说法都错误
三、多选题(本题共15道题,每题2分,共30分。请认真阅读题目,且每个题目至少有两个答案,并将答案填写在题目相应位置。)
1.在局域网中计算机病毒的防范策略有______。(ADE)
A.仅保护工作站 B.保护通信系统 C.保护打印机
D.仅保护服务器E.完全保护工作站和服务器
2.在互联网上的计算机病毒呈现出的特点是______。(ABCD)
A.与互联网更加紧密地结合,利用一切可以利用的方式进行传播
B.具有多种特征,破坏性大大增强
C.扩散性极强,也更注重隐蔽性和欺骗性
D.针对系统漏洞进行传播和破坏
3.一个安全的网络系统具有的特点是______。(ABCE)
A.保持各种数据的机密
B.保持所有信息、数据及系统中各种程序的完整性和准确性
C.保证合法访问者的访问和接受正常的服务
D.保证网络在任何时刻都有很高的传输速度
E.保证各方面的工作符合法律、规则、许可证、合同等标准
4.任何信息安全系统中都存在脆弱点,它可以存在于______。(ABCDE)
A.使用过程中 B.网络中 C.管理过程中
D.计算机系统中E.计算机操作系统中
5.______是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)
A.杀毒软件 B.补丁管理系统 C.防火墙
D.网络入侵检测E.漏洞扫描
6.信息系统安全保护法律规范的作用主要有______。(ABCDE)
A.教育作用 B.指引作用 C.评价作用
D.预测作用E.强制作用
7.根据采用的技术,入侵检测系统有以下分类:______。(BC)
A.正常检测 B.异常检测 C.特征检测
D.固定检测E.重点检测
8.在安全评估过程中,安全威胁的来源包括______。(ABCDE)
A.外部黑客 B.内部人员 C.信息技术本身
D.物理环境E.自然界
9.安全评估过程中,经常采用的评估方法包括______。(ABCDE)
A.调查问卷 B.人员访谈 C.工具检测
D.手工审核E.渗透性测试
10.根据ISO定义,信息安全的保护对象是信息资产,典型的信息资产包括______。(BC)
A.硬件 B.软件 C.人员
D.数据 E.环境
11.根据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括__。(BCD)
A.不可否认性 B.保密性 C.完整性
D.可用性E.可靠性
12.治安管理处罚法规定,______行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。(ABCD)
A.违反国家规定,侵入计算机信息系统,造成危害的B.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的C.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的D.故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的13.网络蠕虫病毒越来越多地借助网络作为传播途径,包括______。(ABCDE)
A.互联网浏览 B.文件下载 C.电子邮件
D.实时聊天工具E.局域网文件共享
14.在信息安全管理中进行安全教育与培训,应当区分培训对象的层次和培训内容,主要包括__(ABE)
A.高级管理层 B.关键技术岗位人员 C.第三方人员
D.外部人员E.普通计算机用户
15.网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在______。(BC)
A.关键服务器主机 B.网络交换机的监听端口
C.内网和外网的边界 D.桌面系统 E.以上都正确
四、简答题(本题共5道题,1~4题,每题5分,第5小题10分,共30分。)
1.简述安全策略体系所包含的内容。
答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档:
(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;
(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒
防治、口令的使用和管理等特定问题,制定有针对性的安全策略;
(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。
2.简述我国信息安全等级保护的级别划分。
答:(1)第一级为自我保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其它组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。
(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。
3.简述信息安全脆弱性的分类及其内容。
答:信息安全脆弱性的分类及其内容如下所示;
脆弱性分类:
一、技术脆弱性
1、物理安全:物理设备的访问控制、电力供应等
2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等
3、系统安全:应用软件安全漏洞、软件安全功能、数据防护等
4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等
二、管理脆弱性
安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性
4.简述至少4种信息系统所面临的安全威胁。
答:信息系统所面临的常见安全威胁如下所示:
软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。
管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
物理攻击:物理接触、物理破坏、盗窃。
泄密:机密信息泄露给他人。
篡改:非法修改信息,破坏信息的完整性。
抵赖:不承认收到的信息和所作的操作和交易。
5.请谈谈参加本次培训的体会与提高。
(发挥题目,请各抒己见)
第二篇:CNKI信息检索考试真题
CNKI 检索练习题
文献出版报表功能,查看您所学专业,有多少电子期刊、1.通过 CNKI 文献出版报表功能,查看您所学专业,有多少电子期刊、博士论文和硕士论文。博士论文和硕士论文。2.在 CNKI“中国期刊全文数据库”中分别用题名、关键词、主题词、摘要、全文字段查找本专业某一课题的论文,比较检索结果的数 量有什么不同,哪个字段最多,哪个字段最少,你认为使用哪个 字段检索查准率最高? 3.利用“学术期刊全文数据库(CNKI)”查找 2000 年以来长安大学本 学院教师在核心期刊发表的论文数。4.利用优秀硕博士学位论文数据库查找近五年东南大学本专业的 博硕士学位论文三篇,请记录论文篇名、作者姓名,学位授予单位和 导师姓名;并据此分别查找论文指导导师的其他学术研究论文情况,并各列举其中三篇论文的题目。
5、查找有关本专业的会议文献三篇,并分别写出会议名称、作者、举办者、举办时间、举办地点。
6、利用CNKI引文数据库查找本专业某教师论文被引用情况,记录总 被引频次和其中两条引证文献的简要信息。
7、在CNKI“工具书全文数据库”中查找有关本专业的工具书,请列 举五种工具书的名称。
8、请查出两种本专业核心期刊的简要信息及联系方式(如主办单位、出版地、电话、邮编、Email 地址)。
第三篇:信息安全管理体系审核员 真题
ISMS 201409/11
一、简答
1、内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核?
[参考]不正确。应作如下审核:
(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?
[参考]不对。
应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核:(1)询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?(2)查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;
(3)查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
(5)如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。A 9.2.5 组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险
2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。A 12.5.2 操作系统变更后应用的技术评审
当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
3、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
A 10.2.3 第三方服务的变更管理 应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
4、查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。8.2纠正措施
5、查看 web服务器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供应商负责人了。
A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。
单选纠错(选择一个最佳可行的答案)
1、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:便于探测未经授权的信息处理活动的发生。A.10.10
2、网络路由控制应遵从:确保计算机连接和信息流不违反业务应用的访问控制策略。A.11.4.7
3、针对信息系统的软件包,应尽量劝阻对软件包实施变更,以规避变更的风险。A.12.5.3
4、国家信息安全等级保护采取:自主定级、自主保护的原则。
5、对于用户访问信息系统使用的口令,如果使用生物识别技术,可替代口令。A.11.3.1
6、信息安全灾备管理中,“恢复点目标”指:灾难发生后,系统和数据必须恢复到的时间点要求。
7、关于IT系统审核,以下说法正确的是:组织经评估认为IT系统审计风险不可接受时,可以删减。A.15.3
8、依据GB/T 22080,组织与员工的保密性协议的内容应:反映组织信息保护需要的保密性或不泄露协议要求。A.6.1.5
9、为了防止对应用系统中信息的未授权访问,正确的做法是:按照访问控制策略限制用户访问应用系统功能和隔离敏感系统。A.11.1.1 A.11.6.2
10、对于所有拟定的纠正和预防措施,在实施前应先通过(风险分析)过程进行评审。
11、不属于WEB服务器的安全措施是(保证注册帐户的时效性)。
12、文件初审是评价受审核方ISMS文件的描述与审核准则的(符合性)。
13、国家对于经营性互联网信息服务实施:许可制度。
14、针对获证组织扩大范围的审核,以下说法正确的是:一种特殊审核,可以和监督审核一起进行。
15、信息安全管理体系初次认证审核时,第一阶段审核应:对受审核方信息安全管理体系文件进行审核和符合性评价。
16、文件在信息安全管理体系中是一个必须的要素,文件有助于:确保可追溯性。
17、对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析属于事件管理。
18、哪一种安全技术是鉴别用户身份的最好方法:生物测量技术。
19、最佳的提供本地服务器上的处理工资数据的访问控制是:使用软件来约束授权用户的访问。20、当计划对组织的远程办公系统进行加密时,应该首先回答下面哪一个问题:系统和数据具有什么样的敏感程度。
简述题
1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容:(1)是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2)访问控制策略是否基于业务和访问的安全要素进行过评审?(3)核实保安角色是否在访问控制策略中有明确规定?
(4)核实访问控制策略的制定是否与各物理区域风险评价的结果一致?(5)核实发生过的信息安全事件,是否与物理区域非授权进入有关?(6)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、请阐述对GB/T 22080中A.13.2.2的审核思路。答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
案例分析题
1、不符合标准GB/T 22080-2008条款 A.11.4.6 网络连接控制“对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见A.11.1)。”的要求。
不符合事实:某知名网站总部陈列室中5台演示用的电脑可以连接外网和内网。
2、不符合标准GB/T 22080-2008条款 A9.1.2 物理入口控制“安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。”的要求。
不符合事实:现场发现未经授权的人员张X进出机器和网络操作机房,却没有任何登记记录,而程序文件(GX28)规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。
3、不符合标准GB/T 22080-2008条款4.2.1 d)识别风险“3)识别可能被威胁利用的脆弱性;”的要求。
不符合事实:现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
4、不符合标准GB/T 22080-2008条款8.2 纠正措施“组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。”的要求。
不符合事实:XX银行在2008年一季度发生了10起网银客户资金损失事故,4-5月又发生7起类似事故。
5、不符合标准GB/T 22080-2008条款A.11.6.1信息访问控制“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制”的要求。不符合事实:开发人员可以修改测试问题记录。
6、不符合标准GB/T 22080-2008条款A.7.1.3资产的可接受使用“与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施”的要求。
不符合事实:非常敏感的系统设计文件,公司要求开发人员只可读,不可以修改,且不可以在公司其他部门传阅,但未对开发人员是否可以打印进行规定。
7、不符合标准GB/T 22080-2008条款A.11.3.3清空桌面和屏幕策略“应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。
不符合事实:敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量有票据制版工艺要求的生产通知单。
第四篇:2016年《合同管理》考试真题
2016年监理《合同管理》考试题
1、市场经济主要是依据()规范当事人的交易行为。
A、行政手段
B、合同
C、诚信
D、道德
2、根据《民法通则》,自然人作为合同法律关系主体必须具备的条件是()。
A、取得相应的执业资格证书
B、有依法成立的公司
C、具有中华人民共和国国籍
D、具备相应的民事权利能力和民事行为能力
3、下列合同中,合同法律关系客体属于物的是()。
A、借款合同
B、勘察合同
C、施工合同
D、技术转让合同
4、下列引起合同法律关系产生、变更与消灭的法律事实仲裁,属于“行为”的是()。
A、因国际禁运解除进口设备运输合同
B、因战争导致在建工程合同工期延长
C、因建设意图改变,建设单位和施工单位协商变更工程承包范围
D、因工程所在地山体滑坡,建设单位和施工单位协商解除合同
5、施工企业法定代表人授权项目经理进行工程项目t投标,中标后***的合同义务由()c承担。
A、施工企业法定代表人
B、拟派项目经理
C、施工项目部
D、施工企业
6、公司甲以其自有办公楼作为抵押物为公司乙向银行申请贷款***,并在登记机关办理了抵押登记,该担保法律关系中,抵押人为()。
A、公司甲
B、公司乙
C、银行
D、登记机关
7、某施工招标项目投标截止日为4月30日,评标时间为5个工作日,招标人发出中标通知书的时间为5月15日,招标人与中标人签订的合同时间为6月14日,则该项目施工投标保证的有效期截止时间为()。
A、4月30日
B、5月5日
C、5月15日
D、6月14日
8、某工程投标了建设工程一切险,在施工期间现场发生下列事件造成损失,保险人负责赔偿的事件是()。
A、大雨造成现场档案资料损毁
B、雷电击毁现场施工用配电柜
C、设计错误导致部分工程拆除重建
D、施工机械过度磨损需要停工检修
9、编制施工招标项目的资格预审文件和招标文件时,必须不加修改地引用《标准施工招标资格预审文件》和《标准施工招标文件》中的()。
A、申请人须知前附表
B、资格审查办法
C、投标人须知前附表
D、资格预审公告
10、根据《招标投标法实施条例》招标人可以采用两阶段招标的项目是()。
A、建设规模100万m2以上,建设周期3年以上的项目
B、项目初步设计已完成且施工图设计尚未完成的项目
C、技术复杂或者无法精确拟定技术规范的项目
D、构成内容多且专业性强的大型项目
11、招标项目设有标底的,标底应当在()时公布。
A、公布招标公告
B、发售招标文件
C、开标
D、评标
12、某招标项目,招标人在原定投标截止之日前10天发出最后一份书面答疑文件,则此时投标截止时间至少延长()天。
A、5
B、10
C、15
D、20
13、关于延长投标有效期的说法,错误的是()。
A、需要延长投标有效期时,招标人应以书面形式t通知所有投标人
B、投标人统一延长投标有效期,其投标保证金的有效期相应延长
C、投标人可以拒绝y延长投标有效期,但会失去参与投标竞争的资格
D、投标人j拒绝延长投标有效期的,无权收回投标保证金
14、根据《招标投标法》,投标人可以在()期间撤回标书并收回投标保证金。
A、收到中标通知书至签订合同
B、评标结束至确定中标人
C、开标至评标结束
D、提交标书至投标截止时间
15、根据《标准施工招标资格预审文件》,应在资格预审初步审查阶段对投标申请人审查的内容是()。
A、提供资料的有效性和完整性
B、企业资质条件
C、拟派项目经理资格
D、企业类似工程业绩
16、施工评标中,审查投标人名称与资质证书的名称是否一致,属于()评审的内容。
A、资格
B、程序
C、响应性
D、形式
17、根据《标准施工招标文件》,对于大型复杂工程,有特殊专业施工技术和经验要求的施工招标,宜采用的评标方法是()。
A.最低投标价法
B.经评审的最低投标价法
C.最合理报价评审法
D.综合评估法
18、施工评标过程中,发现投标报价大写金额与小写金额不一致时,评标委员会正确的处理办法是()。
A.以小写金额为准修正投标报价并经投标人书面确认
B.以大写金额为准修正投标报价并经投标人书面确认
C.由投标人书面澄清,按大写或按小写来计算投标报价
D.将该投标文件直接作废标处理
19、某采用经评审的最低投标价法评标的项目,其评标价比较 如下: 投标人 甲 乙 丙 投标报价(万元)3200 3500 3400 ****(万元)0-100-50 ****(万元)160-50 20
则第一中标候选人的评标价格和投标报价分别为()万元。
A.3200和3200
B.3360和3200
C.3350和3500
D.3370和3400
20、对复杂而又缺乏经验的工程设计,可采用三阶段设计,一般不单独进行()招标。
A.概念设计
B.初步设计
C.技术设计
D.施工图设计
21、设计评标时,设计进度计划评审的主要**进度计划()。A、满足边设计边施工的要求
B、有利于加快施工进度
C、与工程勘察实际进度同步
D、满足招标人指定的项目建设进度计划要求
22、制定工程材料设备采购招标工作方案时,分阶段招标的计划应以()为关键约束条件。
A、最大限度减少资金时间价值
B、到货时间满足施工进度计划
C、采购资金落实到位情况
D、保证库存周期最短
23、根据勘察设计管理的规定,不得承接某专业工程设计业务的是取得()的企业。
A、工程设计综合资质
B、本专业所属行业相应等级设计资质
C、本专业所属行业更高等级设计资质
D、工程设计专项资质
24、根据《建设工程勘察合同(示范文本)》,若有毒、有害等危险勘察现场作业需要看守时,应由()**人员负责安全保卫工作。
A、发包人
B、勘察人
C、监理人
D、项目施工单位
25、根据《建设工程设计合同(示范文本)》,关于违约责任的说法,正确的是()。A、发包人要求**合同,设计人未开始工作的,不退还定金
B、合同生效后,设计人要求终止合同的,应全额返还定金
C、发包人上级部门对设计文件不审批导致项目停建,设计人应减收设计费
D、因设计**工程质量事故的,设计人应免收工程全部设计费
26、根据《标准施工合同》,合同附件格式包括()。
A、项目经理任命书
B、合同协议书
C、工程设备表
D、建筑材料表
27、根据《标准施工合同》,关于预付款担保方式及生效的说法,正确的是()。
A、采用无条件担保方式,并自预付款支付给承包人起生效
B、采用有条件担保方式,并自预付款支付给承包人起生效
C、采用无条件担保方式,并自合同协议书签订之日起生效
D、采用有条件担保方式,并自合同协议书签订之日起生效
28、根据《标准施工合同》,当中标通知书、图纸和专用合同条款出现含义或内容矛盾时,合同文件的优先解释的顺序是()。
A、图纸→专用合同条款→中标通知书
B、图纸→中标通知书→专用合同条款
C、中标通知书→图纸→专用合同条款
D、中标通知书→专用合同条款→图纸
29、为了明确划分由于政策法规变化或市场物价浮动对合同价格影响的责任,《标准施工合同》中的通用条款规定的基准日期是指()。
A、投标截止日前第14天
B、投标截止日前第28天
C、招标公告发布之日前第14天
D、招标公告发布之日前第28天
30、根据《标准施工合同》,投保“建筑工程一切险”的正确做法是()。
A、承包人负责投保,并承担办理保险的费用
B、发包人负责投保,并承担办理保险的费用
C、承包人负责投保,发包人承担办理保险的费用
D、发包人负责投保,承包人承担办理保险的费用
31、根据《标准施工合同》,发包人在工程施工准备阶段的义务是()。
A、组织施工单位测设施工控制网
B、组织监理单位编制施工组织设计
C、组织设计单位进行设计交底
D、组织监察单位进行现场勘查
32、根据《标准施工合同》,合同工期应自()载明了开工日起计算。
A、发包人发出的中标通知书
B、监理人发出的开工通知
C、合同双方签订的合同协议书
D、监理人批准的施工进度计划
33、根据《标准施工合同》,因承包人原因逾期竣工时,承包人应支付逾期竣工违约金,最高赔偿限额为()。
A.公尺结算价的2%
B.签约合同价的2%
C.工程结算加的3%
D.签约合同价的3%
34、根据《标准施工合同》,对于发包人提供的材料和工程设备,承包人应在约定时间内()共同进行验收。
A.会同监理人在交货地点
B.会同发包人代表、监理人在交货地点
C.会同监理人在施工现场
D.会同发包人代表、监理人在施工现场
35、根据《标准施工合同》,因承包人原因未在约定的工期内竣工时,原约定j竣工日的价格指数和实际支付日的价格指数会有所不同,后续支付时应将()作为支付计算的价格指数。
A、两个价格指数中的较高者
B、两个价格指数中的均值
C、两个价格指数中的较低者
D、两个价格指数按约定**的均值
36、工程施工过程中,对于变更工作的单价在已标价工程量清单中无法适用或类似子目时,应由监理人按照()的原则商定或确定。
A、成本加酬金
B、成本加利润
C、成本加规费
D、直接成本加间接成本
37、根据《标准施工合同》,发包人在收到承包人竣工验收申请报告()天后未进行验收,视为验收h合格。A、14
B、28
C、42
D、56
38、建设工程采用设计施工总承包模式的优点有()。
A、减少设计变更
B、易获得最优设计方案
C、加强发包人对承包人的监督
D、减少承包人的风险
39、根据《标准施工总承包招标文件》中的《合同条款及格式》,下列文件中,属于设计施工总承包合同组成文件的是()。
A、工程量清单
B、发包人要求
C、单位分析表
D、发包人建议
40、建设工程设计施工总承包合同中“承包人文件”最重要的组成内容是()。
A、价格清单
B、分析软件
C、设计文件
D、计算书
41、根据《标准施工总承包招标文件》中的《合同条款及格式》,承包人应保证其投保需第三者责任险在()前一直有效。
A、签发工程验收证书
B、出具最终结清证书
C、提交竣工验收报告
D、颁发缺陷责任期终止证书
42、根据《标准施工总承包招标文件》中的《合同条款及格式》,承包人应根据价格清单中的价格构成、费用性质、计划发生时间和相应工作量等因素编制()。
A、工程进度款z支付分解表
B、投资计划使用分配表
C、工程进度款使用计划表
D、建设资金平衡表
43、根据《标准施工总承包招标文件》中的《合同条款及格式》,竣工试验分三阶段进行,其中第一阶段j进行的是()。
A、联动试车
B、保证工程满足合同要求的试验
C、功能性试验
D、产能及环保指标测试
44、建设工程材料设备采购合同属于买卖合同,除法律有特殊规定外,作为合同成立的条件是()。
A、标的物交付
B、当事人之间意思表示一致
C、货款交付
D、材料设备所有权转移
45、对于需要进行抽样检查的工程材料,应在材料采购合同中约定的内容有()。
A、抽检比例和取样方法
B、抽检数量和检测方法
C、检测方法和抽检比例
D、取样方法和抽检数量
46、材料采购合同履行中,可采用判定现场交货材料质量是否符合要求的f方法是()。
A、类比衡量法
B、理论换算法
C、尾差分析法
D、经验鉴别法
47、设备采购合同履行中,卖方根据合同规定承担的与供货有关的辅助服务称为()。
A、附加服务
B、额外服务
C、伴随服务
D、增至服务
48、FIDIC《施工h合同条件》中的“助手”相当于我国工程项目管理中的()。
A、专业监理工程师
B、建设单位代表
C、监理员
D、施工项目技术负责人
49、根据FIDIC《施工合同文件》,关于指定分包商的说法,正确的是()。
A、承包商部分拒绝与雇主选定的分包单位签订指定分包合同
B、承包商对指定分包商的施工协调收取相应管理费
C、在施工合同履行过程中雇主可根据需要指定分包内容
D、承包商对指定分包商的违约承担连带责任
50、根据NEC《工程施工合同》,对于签订合同时价格已经确的合同属于()。
A、目标合同
B、标价合同
C、管理合同
D、成本补偿合同
二、多项选择题。(共30题,每题2分。每题的备选项中,有2个或2个以上符合题意,至少有1个错项。错选,本题不得分;少选,所选的每个选项得0.5分)
51、下列施工合同条款中,属于合同法律关系内容的有()。
A、发包人名称
B、承包人名称
C、发承包项目名称
D、提供施工场地的约定
E、工程价款结算的约定
52、关于无权代理的说法,正确的有()。
A、超越代理权限而为的“代理”行为属于无权代理
B、代理权终止后的“代理”行为的后果直接归属“被代理人”
C、对无权代理行为,“被代理人”可以行使“追认权”
D、无权代理行为按一定程序可以转化为h合法代理行为
E、无权代理行为由行为人承担民事责任
53、根据《担保法》,保证合同对担保范围设有约定时,保证担保的范围包括()。
A、主债权及利息
B、违约金
C、行政罚款
D、损害赔偿金
E、实现债权的费用
54、项目实施过程中发生下列情况时,发包人可以凭施工履约保证索取保证金的有()。
A、中标人在签订合同时向招标人提出附加条件
B、承包人在施工过程中毁约
C、发生不可抗力导致合同无法履行
D、承包人破产、倒闭使合同不能履行
E、因宏观经济形势变化,发包人要求推迟完工时间
55、关于施工招标资格预审和资格后审的说法,正确的有()。
A、两者均是考察投标人是否具备圆满完成招标工程地施工能力
B、通过资格预审的,在评标过程中不需要对投标人资格进行复查
C、资格后审在评标后定标前进行
D、资格后审和资格预审的时间不同
E、资格后审的内容比资格预审少
56、采用两阶段招标的项目,关于第二阶段的说法,正确的有()。
A、第二阶段开标会上只宣读修改后的技术标
B、第二阶段评标不再召开投标书问题澄清会
C、未按第一阶段提出的要求进行修改的标书将被淘汰
D、第二阶段评标的重点是各投标人的投标报价
E、第二阶段要对各投标人的投标报价进行评审
57、下列文件中,属于招标文件组成内容的有()。
A、投标人针对招标文件提出的质疑
B、投标预备会的会议纪要
C、对投标人质疑的书面解答
D、招标人发布的资格预审公告
E、招标人对投标文件的修改
58、关于投标预备会的说法,正确的有()。
A、投标预备会是法定的招标程序
B、投标预备会上应进行招标工程交底
C、投标预备会由工程监理单位组织召开
D、投标预备会应澄清投标人提出的质疑
E、投标预备会后投标人不得再提出质疑的问题
59、根据《标准施工招标资格预审文件》,下列单位中,将被拒绝作为资格预审申请人的有()
A、承担本标段设计任务的设计施工总承包单位。
B、本标段的监理人
C、与本标段招标代理机构同为一个法定代表人的单位
D、与招标人同属一个行政主管部门的单位
E、招标人不具备独立法人资格的附属机构
60、根据《招标投标法实施条例》,下列情形中,视为投标人相互串通的有()。
A、投标人d的投标报价与招标标底一致
B、不同投标人的投标文件由同一单位编制
C、不同投标人委托同一单位办理投标事宜
D、不同投标人的投标函格式相同
E、不同投标人的投标文件异常一致
61.关于经评审的最低投标价法的说法,正确的有()。
A、该方法适用于具有通用技术、性能标准没有特殊要求的项目评标
B、该方法一般将投标人施工组成设计审查放在初步评审阶段
C、中标人应按其经评审的最低投标价与招标人签订合同
D、投标人不得在标书中以若中标可以优惠降低的方式提出两个报价
E、投标人可以低于成本的价格报价
62、国有资金控股必须依法招标的项目,招标人可以选择排名第二的中标候选人为中标人的情形有()。
A、排名第一的中标候选人放弃中标
B、排名第一的中标候选人因不可抗力提出不能履行合同
C、招标人认为排名第一的中标候选人价格提高
D、第一中标候选人未按招标文件要求提交合约保证金
E、第一中标候选人为接受招标人提出缩短工期要求
63、机电设备采购招标范围的伴随服务内容包括()。
A、负责所供货的设备监造
B、提供货物组装和维修所需的专用工具
C、提供详细的操作和维护手册
D、监管施工承包商的设备安装并对安装质量负责
E、对买方的维修、运行和管理人员进行培训
64、建设工程勘察合同委托的工作内容有()。
A、工程放线测量
B、大地测量
C、结算工程量测量
D、水文地质勘察
E、工程地质勘察
65、根据《建设工程设计合同(示范文本)》,设计方的合同责任有()。
A、保护设计方案、图纸、数据等知识产权
B、保证设计质量满足规定的标准和合同要求
C、施工图设计完成后报送建设行政主管部门审批
D、负责向发包人和施工单位进行设计交底
E、解决施工过程出现的设计问题
66、根据《标准施工合同》,合同协议书中需要明确填写的内容有()。
A、施工工程或标段
B、工程结算方式
C、质量标准
D、合同组成文件
E、变更处理程序
67、根据《标准施工合同》,如果承包人有专利技术且有相应设计资质,双方约定由承包人完成部分工程施工图设计时,需要在d订立合同时明确的内容有()。
A、发包人提交施工图审查的时间
B、承包人的设计范围
C、承包人提交设计文件的期限
D、承包人提交设计文件的数量
E、监理人签发图纸修改的期限
68、如果投保工程一切险的保险金额少于工程实际价值,工程因保险事件的损害师,正确做法有()。
A、保险公司按投保的保险金额所占b百分比赔偿实际损失
B、损失赔偿的不足部分由保险事件的风险责任方负责赔偿
C、永久工程损失赔偿的不足部分由发包人承担
D、已完成工程损失由承包人承担
E、施工设备和进场材料损失由保险公司承担
69、根据《标准施工合同》,关于签约合同价的说法,正确的有()。
A、签约合同价不包括承包人利润
B、签约合同价即为中标价
C、签约合同价包含暂列金额、暂估价
D、签约合同价是承包方履行合同义务后应得的全部工程价款
E、签约合同价应在合同协议书中写明
70、根据《标准施工合同》,关于工程计量的说法,正确的有()。
A、单价子目已完工程量按月计算
B、总价子目的计量支付不考虑市场价格浮动
C、总价子目已完工程量按月计算
D、总价子目表中标明的工程量通常不进行现场计量
E、总价子目表中标明的工程量通常不进行图纸计量
71、根据《标准施工合同》,工程施工中承包人有权获得费用补偿和工期延期,并获得合理利润的情形有()。
A、发现文物、石化等的处理
B、发包人改变合同中任何一项工作的质量要求
C、发包人未按合同约定及时支付工程进度款导致暂停施工
D、隐蔽工程重新检验质量合格
E、不可抗力事件发生后的清理工作
72、工程施工专业分包人与劳务分包人的区别有()。
A、保险责任不同
B、安全生产管理职责不同
C、劳务人员管理方式不同
D、施工组织不同
E、施工质量责任期限不同
73、根据《标准设计施工总承包招标文件》中的《合同条款及格式》,关于联合体承包的说法,正确的有()。
A、联合体协议经监理人确认后作为合同附件
B、联合体牵头人负责组织合协调联合体成员全面履行合同
C、承包人可根据需要自行修改联合体协议
D、联合体的组织合内容分工是重要的评标内容
E、承包人可根据需要自选调整联合体组成
74、根据《标准设计施工总承包招标文件》中的《合同条款及格式》,通常有两种约定形式,需要合同双方在专用条款中约定的内容有()。
A、施工场地临时道路通行权的取得
B、材料和工程设备的提供方
C、计日工和暂估价的补偿方式
D、施工图设计文件的提供方
E、竣工后试验的责任方
75、根据《标准设计施工总承包招标文件》中的《合同条款及格式》,发包人应投保的保险有()。
A、职业责任险
B、现场人员工伤保险
C、第三者责任险
D、设计和工程保险
E、现场人员意外伤害保险
76、根据《标准设计施工总承包招标文件》中的《合同条款及格式》,关于竣工验收及竣工后试验的说法,正确的有()。
A、承包人应在竣工试验通过后按合同约定进行工程设备试运行
B、承包人应提前21天将申请竣工试验的通知送达监理人
C、工程验收合格后,发包人直接向承包人签发工程接收证书
D、竣工后试验通常在缺陷责任期内工程安全稳定运行一段时间后进行
E、工程接收证书中注明的实际竣工日期以验收合格的日期为准
77、材料采购合同履行z中,可用于现场交货数量验收的方法有()。
A、磅差分析法
B、查点法
C、经验鉴别法
D、衡量法
E、理论换算法
78、根据《机电产品采购国际竞争性招标文件》,卖方应在设备包装箱相邻的四面不可擦除的油漆和明显的英语字样标出该设备的()。
A、合同号
B、目的港
C、出发港
D、收货人编号
E、提单号
79、根据FIDIC《施工合同文件》,保证金在工程款颁发(A、工程移交证书
B、工程接受证书
C、履约证书
D、缺陷责任期终止证书
E、工程保修书
80、关于风险CM模式的说法,正确的有()。
A、CM合同属于管理承包合同
B、CM合同采用成本加酬金的计价方式
C、CM承包商不赚取总包、分包合同的差价
D、CM承包商属于专业咨询机构
E、CM承包商在工程设计阶段参与合同管理)后分次返还。
第五篇:2016下半年软考信息安全工程师考试真题及答案
2016下半年信息安全工程师考试真题
一、单项选择
1、以下有关信息安全管理员职责的叙述,不正确的是()A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置 参考答案:C
2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”,其中规定密钥协商算法应使用的是()A、DH B、ECDSA C、ECDH D、CPK 参考答案:C
3、以下网络攻击中,()属于被动攻击 A、拒绝服务攻击 B、重放 C、假冒 D、流量分析 参考答案:D
4、()不属于对称加密算法 A、IDEA B、DES C、RCS D、RSA 参考答案:D
5、面向身份信息的认证应用中,最常用的认证方法是()A、基于数据库的认证 B、基于摘要算法认证 C、基于PKI认证 D、基于账户名/口令认证 参考答案:D
6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为()A、公钥加密系统 B、单密钥加密系统 C、对称加密系统 D、常规加密系统 参考答案:A
7、S/Key口令是一种一次性口令生产方案,它可以对抗()A、恶意代码木马攻击 B、拒绝服务攻击 C、协议分析攻击 D、重放攻击 参考答案:D
8、防火墙作为一种被广泛使用的网络安全防御技术,其自身有一些限制,它不能阻止()
A、内部威胁和病毒威胁 B、外部攻击
C、外部攻击、外部威胁和病毒威胁 D、外部攻击和外部威胁 参考答案:A
9、以下行为中,不属于威胁计算机网络安全的因素是()A、操作员安全配置不当而造成的安全漏洞
B、在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息
C、安装非正版软件 D、安装蜜罐系统 参考答案:D
10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外,更容易成为黑客分子的攻击目标,其安全性需求普遍高于一般的信息系统,电子商务系统中的信息安全需求不包括()A、交易的真实性
B、交易的保密性和完整性 C、交易的可撤销性 D、交易的不可抵赖性 参考答案:C
11、以下关于认证技术的叙述中,错误的是()A、指纹识别技术的利用可以分为验证和识别 B、数字签名是十六进制的字符串
C、身份认证是用来对信息系统中实体的合法性进行验证的方法 D、消息认证能够确定接收方收到的消息是否被篡改过 参考答案:B
12、有一种原则是对信息进行均衡、全面的防护,提高整个系统的安全性能,该原则称为()A、动态化原则 B、木桶原则 C、等级性原则 D、整体原则 参考答案:D
13、在以下网络威胁中,()不属于信息泄露 A、数据窃听 B、流量分析 C、偷窃用户账户 D、暴力破解 参考答案:D
14、未授权的实体得到了数据的访问权,这属于对安全的()A、机密性 B、完整性 C、合法性 D、可用性 参考答案:A
15、按照密码系统对明文的处理方法,密码系统可以分为()A、置换密码系统和易位密码 B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统 D、分级密码系统和序列密码系统 参考答案:A
16、数字签名最常见的实现方法是建立在()的组合基础之上 A、公钥密码体制和对称密码体制 B、对称密码体制和MD5摘要算法 C、公钥密码体制和单向安全散列函数算法 D、公证系统和MD4摘要算法 参考答案:C
17、以下选项中,不属于生物识别方法的是()A、指纹识别 B、声音识别 C、虹膜识别 D、个人标记号识别 参考答案:D
18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中,错误的是()
A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档 B、计算机取证围绕电子证据进行,电子证据具有高科技性等特点
C、计算机取证包括保护目标计算机系统,确定收集和保存电子证据,必须在开计算机的状态下进行
D、计算机取证是一门在犯罪进行过程中或之后手机证据 参考答案:C
19、注入语句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER,还可以得到()A、当前连接数据库的用户数据 B、当前连接数据库的用户名 C、当前连接数据库的用户口令 D、当前连接的数据库名 参考答案:B
20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记,可以有效地对数字多媒体数据的版权保护等功能。以下各项工,不属于数字水印在数字版权保护必须满足的基本应用需求的是()A、安全性 B、隐蔽性 C、鲁棒性 D、可见性 参考答案:D
21、有一种攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做()A、重放攻击 B、拒绝服务攻击 C、反射攻击 D、服务攻击 参考答案:B
22、在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,可以采取的防范措施是()
A、将要访问的Web站点按其可信度分配到浏览器的不同安全区域 B、在浏览器中安装数字证书 C、利用IP安全协议访问Web站点 D、利用SSL访问Web站点 参考答案:A
23、下列说法中,错误的是()
A、服务攻击是针对某种特定攻击的网络应用的攻击 B、主要的渗入威胁有特洛伊木马和陷阱 C、非服务攻击是针对网络层协议而进行的
D、对于在线业务系统的安全风险评估,应采用最小影响原则 参考答案:B
24、依据国家信息安全等级保护相关标准,军用不对外公开的信息系统至少应该属于()
A、二级及二级以上 B、三级及三级以上 C、四级及四级以上 D、无极 参考答案:B
25、电子邮件是传播恶意代码的重要途径,为了防止电子邮件中的恶意代码的攻击,用()方式阅读电子邮件 A、网页 B、纯文本 C、程序 D、会话 参考答案:B
26、已知DES算法的S盒如下: 如果该S盒的输入110011,则其二进制输出为()A、0110 B、1001 C、0100 D、0101 参考答案:C
27、在IPv4的数据报格式中,字段()最适合于携带隐藏信息 A、生存时间 B、源IP地址 C、版本 D、标识 参考答案:D
28、Kerberos是一种常用的身份认证协议,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA 参考答案:B
29、以下关于加密技术的叙述中,错误的是()A、对称密码体制的加密密钥和解密密钥是相同的 B、密码分析的目的就是千方百计地寻找密钥或明文 C、对称密码体制中加密算法和解密算法是保密的 D、所有的密钥都有生存周期 参考答案:C
30、移动用户有些属性信息需要受到保护,这些信息一旦泄露,会对公众用户的生命财产安全构成威胁。以下各项中,不需要被保护的属性是()A、用户身份(ID)B、用户位置信息 C、终端设备信息 D、公众运营商信息 参考答案:D
31、以下关于数字证书的叙述中,错误的是()A、证书通常有CA安全认证中心发放 B、证书携带持有者的公开密钥
C、证书的有效性可以通过验证持有者的签名 D、证书通常携带CA的公开密钥 参考答案:D
32、密码分析学是研究密码破译的科学,在密码分析过程中,破译密文的关键是()A、截获密文
B、截获密文并获得密钥
C、截获密文,了解加密算法和解密算法 D、截获密文,获得密钥并了解解密算法 参考答案:D
33、利用公开密钥算法进行数据加密时,采用的方法是()A、发送方用公开密钥加密,接收方用公开密钥解密 B、发送方用私有密钥加密,接收方用私有密钥解密 C、发送方用公开密钥加密,接收方用私有密钥解密 D、发送方用私有密钥加密,接收方用公开密钥解密 参考答案:C
34、数字信封技术能够()
A、对发送者和接收者的身份进行认证 B、保证数据在传输过程中的安全性 C、防止交易中的抵赖发送 D、隐藏发送者的身份 参考答案:B
35、在DES加密算法中,密钥长度和被加密的分组长度分别是()A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位 参考答案:A
36、甲不但怀疑乙发给他的被造人篡改,而且怀疑乙的公钥也是被人冒充的,为了消除甲的疑虑,甲和乙决定找一个双方都信任的第三方来签发数字证书,这个第三方为()
A、国际电信联盟电信标准分部(ITU-T)B、国家安全局(NSA)C、认证中心(CA)D、国家标准化组织(ISO)参考答案:C
37、WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密模式不包括()
A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK 参考答案:C
38、特洛伊木马攻击的威胁类型属于()A、授权侵犯威胁 B、渗入威胁 C、植入威胁 D、旁路控制威胁 参考答案:C
39、信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全问题,通常采用的安全防护技术是()A、加密技术 B、匿名技术 C、消息认证技术 D、数据备份技术 参考答案:C
40、甲收到一份来自乙的电子订单后,将订单中的货物送达到乙时,乙否认自己曾经发送过这份订单,为了解除这种纷争,采用的安全技术是()A、数字签名技术 B、数字证书 C、消息认证码 D、身份认证技术 参考答案:A
41、目前使用的防杀病毒软件的作用是()
A、检查计算机是否感染病毒,清除已感染的任何病毒 B、杜绝病毒对计算机的侵害
C、查出已感染的任何病毒,清除部分已感染病毒 D、检查计算机是否感染病毒,清除部分已感染病毒 参考答案:D
42、IP地址分为全球地址和专用地址,以下属于专用地址的是()A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 参考答案:B
43、下列报告中,不属于信息安全风险评估识别阶段的是()A、资产价值分析报告 B、风险评估报告 C、威胁分析报告
D、已有安全威胁分析报告 参考答案:B
44、计算机犯罪是指利用信息科学技术且以计算机跟踪对象的犯罪行为,与其他类型的犯罪相比,具有明显的特征,下列说法中错误的是()A、计算机犯罪具有隐蔽性
B、计算机犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、计算机犯罪具有很强的破坏性 D、计算机犯罪没有犯罪现场 参考答案:D
45、以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中,描述最贴切是()
A、保证数据正确的顺序、无差错和完整 B、控制报文通过网络的路由选择 C、提供用户与网络的接口 D、处理信号通过介质的传输 参考答案:A
46、深度流检测技术就是以流为基本研究对象,判断网络流是否异常的一种网络安全技术,其主要组成部分通常不包括()A、流特征选择 B、流特征提供 C、分类器 D、响应 参考答案:D
47、一个全局的安全框架必须包含的安全结构因素是()A、审计、完整性、保密性、可用性
B、审计、完整性、身份认证、保密性、可用性 C、审计、完整性、身份认证、可用性 D、审计、完整性、身份认证、保密性 参考答案:B
48、以下不属于网络安全控制技术的是()A、防火墙技术 B、访问控制 C、入侵检测技术 D、差错控制 参考答案:D
49、病毒的引导过程不包含()A、保证计算机或网络系统的原有功能 B、窃取系统部分内存
C、使自身有关代码取代或扩充原有系统功能 D、删除引导扇区 参考答案:D
50、网络系统中针对海量数据的加密,通常不采用()A、链路加密 B、会话加密 C、公钥加密 D、端对端加密 参考答案:C
51、安全备份的策略不包括()A、所有网络基础设施设备的配置和软件 B、所有提供网络服务的服务器配置 C、网络服务
D、定期验证备份文件的正确性和完整性 参考答案:C
52、以下关于安全套接层协议(SSL)的叙述中,错误的是()A、是一种应用层安全协议 B、为TCP/IP连接提供数据加密 C、为TCP/IP连接提供服务器认证 D、提供数据安全机制 参考答案:A
53、入侵检测系统放置在防火墙内部所带来的好处是()A、减少对防火墙的攻击 B、降低入侵检测
C、增加对低层次攻击的检测 D、增加检测能力和检测范围 参考答案:B
54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶,智能卡的片内操作系统(COS)是智能卡芯片内的一个监控软件,以下不属于COS组成部分的是()
A、通讯管理模块 B、数据管理模块 C、安全管理模块 D、文件管理模块 参考答案:B
55、以下关于IPSec协议的叙述中,正确的是()A、IPSec协议是解决IP协议安全问题的一 B、IPSec协议不能提供完整性 C、IPSec协议不能提供机密性保护 D、IPSec协议不能提供认证功能 参考答案:A
56、不属于物理安全威胁的是()A、自然灾害 B、物理攻击 C、硬件故障
D、系统安全管理人员培训不够 参考答案:D
57、以下关于网络钓鱼的说法中,不正确的是()A、网络钓鱼融合了伪装、欺骗等多种攻击方式 B、网络钓鱼与Web服务没有关系
C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D、网络钓鱼是“社会工程攻击”是一种形式 参考答案:B
58、以下关于隧道技术说法不正确的是()
A、隧道技术可以用来解决TCP/IP协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议 C、IPSec协议中不会使用隧道技术 D、虚拟专用网中可以采用隧道技术 参考答案:C
59、安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中,正确的是()A、SET是一种基于流密码的协议
B、SET不需要可信的第三方认证中心的参与
C、SET要实现的主要目标包括保障付款安全,确定应用的互通性和达到全球市场的可接受性
D、SET通过向电子商务各参与方发放验证码来确认各方的身份,保证网上支付的安全性 参考答案:C
60、在PKI中,不属于CA的任务是()A、证书的办法 B、证书的审改 C、证书的备份 D、证书的加密 参考答案:D
61、以下关于VPN的叙述中,正确的是()
A、VPN指的是用户通过公用网络建立的临时的、安全的连接
B、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路 C、VPN不能做到信息认证和身份认证
D、VPN只能提供身份认证,不能提供数据加密的功能 参考答案:A 62、扫描技术()A、只能作为攻击工具 B、只能作为防御工具
C、只能作为检查系统漏洞的工具 D、既可以作为工具,也可以作为防御工具 参考答案:D
63、包过滤技术防火墙在过滤数据包时,一般不关心()A、数据包的源地址 B、数据包的协议类型 C、数据包的目的地址 D、数据包的内容 参考答案:D
64、以下关于网络流量监控的叙述中,不正确的是()
A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等
B、数据采集探针是专门用于获取网络链路流量的硬件设备 C、流量监控能够有效实现对敏感数据的过滤 D、网络流量监控分析的基础是协议行为解析技术 参考答案:C
65、两个密钥三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密钥为()A、56 B、128 C、168 D、112 参考答案:D
66、设在RSA的公钥密码体制中,公钥为(c,n)=(13,35),则私钥为()A、11 B、13 C、15 D、17 参考答案:B
67、杂凑函数SHAI的输入分组长度为()比特 A、128 B、258 C、512 D、1024 参考答案:C
68、AES结构由以下4个不同的模块组成,其中()是非线性模块 A、字节代换 B、行移位 C、列混淆 D、轮密钥加 参考答案:A 69、67mod119的逆元是()A、52 B、67 C、16 D、19 参考答案:C 70、在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()A、16 B、32 C、48 D、64 参考答案:C 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas: Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography B、Geography C、Stenography D、Steganography(2)A、methods B、software C、tools D、services(3)A、Member B、Management C、Message D、Mail(4)A、powerful B、sophistication C、advanced D、easy(5)A、least B、most C、much D、less 参考答案:A、A、C、B、A
二、案例分析
试题一(共20分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。【问题1】(9分)
密码学的安全目标至少包括哪三个方面?具体内涵是什么? 【问题2】(3分)
对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项?(1)小明抄袭了小丽的家庭作业。(2)小明私自修改了自己的成绩。
(3)小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。【问题3】(3分)
现代密码体制的安全性通常取决于密钥的安全,文了保证密钥的安全,密钥管理包括哪些技术问题? 【问题4】(5分)
在图1-1给出的加密过程中,Mi,i=1,2,„,n表示明文分组,Ci,i=1,2,„,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点?
信管网参考答案: 【问题一】
(1)保密性:保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
(2)完整性:完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(3)可用性:可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。【问题二】(1)保密性(2)完整性(3)可用性 【问题三】
答:密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】 明密文链接模式。缺点:当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。试题二(共10分)
阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。【说明】
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。
【问题1】(3分)
针对信息系统的访问控制包含哪些基本要素? 【问题2】(7分)
分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表、访问控制矩阵下的访问控制规则。信管网参考答案: 【问题1】
主体、客体、授权访问 【问题二】 能力表:
(主体)Administrator<(客体)traceroute.mpg:读取,运行> 访问控制表:
(客体)traceroute.mpg<(主体)Administrator:读取,运行> 访问控制矩阵:
试题三(共19分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。图3-1改出了一种防火墙的体系结构。
【问题1】(6分)防火墙的体系结构主要有:(1)双重宿主主机体系结构;(2)(被)屏蔽主机体系结构;(3)(被)屏蔽子网体系结构; 请简要说明这三种体系结构的特点。【问题2】(5分)
(1)图3-1描述的是哪一种防火墙的体系结构?
(2)其中内部包过滤器和外部包过滤器的作用分别是什么? 【问题3】(8分)设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8.关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。
信管网参考答案: 【问题一】
双重宿主主机体系结构:双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
被屏蔽主机体系结构:被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。
被屏蔽子网体系结构:被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】
(1)屏蔽子网体系结构。
(2)内部路由器:内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。
外部路由器:外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。【问题三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 试题四(共18分)
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】(5分)认证和加密有哪些区别? 【问题2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的选择应满足什么条件? 【问题3】(3分)
为什么消息3中的Nb要计算哈希值? 【问题4】(4分)
上述协议存在什么安全缺陷?请给出相应的解决思路。信管网参考答案: 【问题一】
认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。【问题二】
(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。(2)应具备随机性,不易被猜测。【问题三】
哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。【问题四】
攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。解决思路:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行加密,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份是不真实的。试题五(共8分)
阅读下列说明和代码,回答问题1和问题2,将解答卸载答题纸的对应栏内。【说明】
某一本地口令验证函数(C语言环境,X86_32指令集)包含如下关键代码:某用户的口令保存在字符数组origPassword中,用户输入的口令保存在字符数组userPassword中,如果两个数组中的内容相同则允许进入系统。
【问题1】(4分)
用户在调用gets()函数时输入什么样式的字符串,可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制? 【问题2】(4分)
上述代码存在什么类型的安全隐患?请给出消除该安全隐患的思路。信管网参考答案: 【问题一】
只要输入长度为24的字符串,其前12个字符和后12个字符一样即可。【问题二】
gets()函数必须保证输入长度不会超过缓冲区,一旦输入大于12个字符的口令就会造成缓冲区溢出。
解决思路:使用安全函数来代替gets()函数,或者对用户输入进行检查和校对,可通过if条件语句判断用户输入是否越界。
点击咨询 