三级信息安全填空综述.docx

PAGE \* MERGEFORMAT8 1.1949年，______香农______发表的《保密系统的通信理论》，是现代通信安全的代表作，是信息安全发展的重要里程碑。 2. IATF提出的信息保障的核心思想是______纵深防御______战略。 3. 传统对称密码加密时所使用的两个技巧是：代换和 ______置换______。 4. 当用户身份被确认合法后，赋予该用户进行文件和数据等操作权限的过程称为 ______授权______。 5. 自主访问控制模型的实现机制是通过 _____访问控制矩阵_______实施的，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作。 6. 恶意行为审计与监控，主要监测网络中针对服务器的恶意行为，包括恶意的攻击行为和 ______入侵______行为。 7. 恶意行为的监测方式主要分为两类：主机监测和 _____网络_______监测。 8. 控制其它程序运行，管理系统资源并为用户提供操作界面的系统软件的集合是 _______操作系统_____。 9. 进程与CPU通信是通过 ____中断________信号来完成的。 10. 在Unix/Linux系统中，服务是通过 _____inetd_______进程或启动脚本来启动。 11. 信任根和 ____信任链________是可信计算平台的最主要的关键技术之一。 12. 在CREATE TABLE语句中使用 _____DEFAULT_______子句，是定义默认值首选的方法。 13. SSL协议包括两层协议：记录协议和 _____握手_______协议。 14. CA通过发布 ____证书黑名单________，公开发布已经废除的证书。 15. 入侵检测系统可以实现事中防护，是指入侵攻击发生时，入侵检测系统可以通过与 _____防火墙_______联动从而实现动态防护。 16. 不同于包过滤防火墙技术，代理服务器在 ____应用________层对数据进行基于安全规则的过滤。 17. ARP协议的主要作用是完成IP地址到 _____MAC_______地址之间的转换。 18. 根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程，是 ____漏洞利用exploit________。 19. 攻击者窃取Web用户SessionID后，使用该SessionID登录进入Web目标账户的攻击方法，被称为 ____会话劫持________。 20. 通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，这种技术被称为 ____污点传播________分析技术。 21. 栈指针寄存器esp始终存放 _____栈顶_______指针。 22. 攻击者通过精心构造超出数组范围的索引值，就能够对任意内存地址进行读写操作，这种漏洞被称为 ______数组越界______漏洞。 23. 信息安全管理体系的主要内容，包括信息安全管理 ______框架______及其实施、信息安全管理体系审核与评审和信息安全管理体系的认证。 24. 信息安全工作人员在上岗前、在岗期间和离职时都要严格按照人员安全控制 _______策略_____执行安全措施。 25. 信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于 _____风险管理_______的范畴，体系的建立基于系统、全面和科学的安全风险评估。 26. 信息安全风险评估的复杂程度，取决于受保护的资产对安全的敏感程度和所面临风险的 _______复杂_____程度。 27. CC评估等级每一级均需评估七个功能类，分别是配置管理、分发和操作、 _____开发过程_______、指导文献、生命期的技术支持、测试和脆弱性评估。 28. 中国信息安全测评中心的英文简称是 ____CNITSEC________。 29. 《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级、系统审计保护级、 _____安全标记_______保护级、结构化保护级和访问验证保护级五个等级 30. 关于国家秘密，机关、单位应当根据工作需要，确定具体的 ____保密期限________、解密时间，或者解密条件。 31. 信息安全的五个属性是机密性、完整性、 _____可用性_______、可控性、不可否认性。 32. 上世纪90年代中期，六国七方（加拿大、法国、德国、荷兰、英国、美国国家标准与技术研究院（NIST）及美国国家安全局（NSA））提出的信息技术安全性评估通用准则，英文简写为 ____cc________，是评估信息技术产品和系统安全性的基础准则。 33. 密码设计应遵循一个公开设计的原则，即