计算机三级信息安全历年试卷一

时间 2020-06-14

标签计算机三级信息安全历年试卷栏目系统安全繁體版

原文原文链接

1.信息技术的产生与发展，大体经历的三个阶段是（）。

A) 电讯技术的发明、计算机技术的发展和互联网的使用linux

B) 电讯技术的发明、计算机技术的发展和云计算的使用算法

C) 电讯技术的发明、计算机技术的发展和我的计算机的使用数据库

D) 电讯技术的发明、计算机技术的发展和半导体技术的使用安全

A、服务器

信息技术的发展，大体分为电讯技术的发明（19世纪30年代开始）、计算机技术的发展（20世纪50年代开始）和互联网的使用（20世纪60年代开始）三个阶段。故选择A选项。网络

2.P2DR模型是美国ISS公司提出的动态网络安全体系的表明模型。在该模型的四个组成部分中，核心是（）。app

A) 策略框架

B) 防御分布式

C) 检测函数

D) 响应

A、

P2DR模型包括四个主要部分：Policy(策略)、Protection(防御)、Detection(检测)和 Response(响应)，在总体的安全策略的控制和指导下，在综合运用防御工具(如防火墙、操做系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，经过适当的反应将系统调整到“最安全”和“风险最低”的状态。防御、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。故选择A选项。

3.下列关于对称密码的描述中，错误的是（）。

A) 加解密处理速度快

B) 加解密使用的密钥相同

C) 密钥管理和分发简单

D) 数字签名困难

C、

对称加密系统一般很是快速，却易受攻击，由于用于加密的密钥必须与须要对消息进行解密的全部人一块儿共享，同一个密钥既用于加密也用于解密所涉及的文本，A、B正确；数字签名是非对称密钥加密技术与数字摘要技术的综合应用，在操做上会有必定的难度，故D正确。对称加密最大的缺点在于其密钥管理困难。故选择C选项。

4.下列关于哈希函数的说法中，正确的是（）。

A) 哈希函数是一种双向密码体制

B) 哈希函数将任意长度的输入通过变换后获得相同长度的输出

C) MD5算法首先将任意长度的消息填充为512的倍数，而后进行处理

D) SHA算法要比MD5算法更快

C、

哈希函数将输入资料输出成较短的固定长度的输出，这个过程是单向的，逆向操做难以完成，故A、B选项错误；MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，通过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值；SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit，故耗时要更长，故D选项错误。故选择C选项。

5.下列攻击中，消息认证不能预防的是（）。

A) 假装

B) 内容修改

C) 计时修改

D) 发送方否定

D、

消息认证是指经过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无心的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证)、及消息的序号和操做时间认证等，可是发送方否定将没法保证。故选择D选项。

6.下列关于访问控制主体和客体的说法中，错误的是（）。

A) 主体是一个主动的实体，它提供对客体中的对象或数据的访问要求

B) 主体能够是可以访问信息的用户、程序和进程

C) 客体是含有被访问信息的被动实体

D) 一个对象或数据若是是主体，则其不多是客体

D、

主体是指提出访问资源具体请求，是某一操做动做的发起者，但不必定是动做的执行者，多是某一用户，也能够是用户启动的进程、服务和设备等。客体是指被访问资源的实体。全部能够被操做的信息、资源、对象均可以是客体，客体能够是信息、文件、记录等集合体，也能够是网络上硬件设施、无限通讯中的终端，甚至能够包含另一个客体。所以，能够主体能够是另一个客体。故选择D选项。

7.同时具备强制访问控制和自主访问控制属性的访问控制模型是（）。

A) BLP

B) Biba

C) Chinese Wall

D) RBAC

C、

BLP模型基于强制访问控制系统，以敏感度来划分资源的安全级别。Biba访问控制模型对数据提供了分级别的完整性保证，相似于BLP保密模型，也使用强制访问控制系统。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他能够访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性。RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一块儿，用户经过充当合适角色的成员而得到该角色的许可权。故选择C选项。

8.下列关于Diameter和RADIUS区别的描述中，错误的是（）。

A) RADIUS运行在UDP协议上，而且没有定义重传机制；而Diameter运行在可靠的传输协议TCP、SCTP之上

B) RADIUS支持认证和受权分离，重受权能够随时根据需求进行；Diameter中认证与受权必须成对出现

C) RADIUS固有的客户端/服务器模式限制了它的进一步发展；Diameter采用了端到端模式，任何一端均可以发送消息以发起审计等功能或中断链接

D) RADIUS协议不支持失败恢复机制；而Diameter支持应用层确认，而且定义了失败恢复算法和相关的状态机，可以当即检测出传输错误

B、

RADIUS运行在UDP协议上，而且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制，每一个会话方能够动态调整本身的接收窗口，以避免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，而且定义了失败恢复算法和相关的状态机，可以当即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端均可以发送消息以发起计费等功能或中断链接。Diameter还支持认证和受权分离，重受权能够随时根据需求进行。而RADIUS中认证与受权必须是成对出现的。故选择B选项。

9.下列关于Diameter和RADIUS区别的描述中，错误的是（）。

A) RADIUS运行在UDP协议上，而且没有定义重传机制；而Diameter运行在可靠的传输协议TCP、SCTP之上

B) RADIUS支持认证和受权分离，重受权能够随时根据需求进行；Diameter中认证与受权必须成对出现

C) RADIUS固有的客户端/服务器模式限制了它的进一步发展；Diameter采用了端到端模式，任何一端均可以发送消息以发起审计等功能或中断链接

D) RADIUS协议不支持失败恢复机制；而Diameter支持应用层确认，而且定义了失败恢复算法和相关的状态机，可以当即检测出传输错误

B、

10.下列关于进程管理的说法中，错误的是（）。

A) 用于进程管理的定时器产生中断，则系统暂停当前代码执行，进入进程管理程序

B) 操做系统负责创建新进程，为其分配资源，同步其通讯并确保安全

C) 进程与CPU的通讯是经过系统调用来完成的

D) 操做系统维护一个进程表，表中每一项表明一个进程

C、

进程与CPU的通讯是经过共享存储器系统、消息传递系统、管道通讯来完成的。而不是经过系统调用来完成的。故选择C选项。

11.下列关于守护进程的说法中，错误的是（）。

A) Unix/Linux系统大多数服务都是经过守护进程实现的

B) 守护进程经常在系统引导装入时启动，在系统关闭时终止

C) 守护进程不能完成系统任务

D) 若是想让某个进程不由于用户或终端或其它变化而受到影响，就必须把这个进程变成一个守护进程

C、

在linux或者unix操做系统中在系统的引导的时候会开启不少服务，这些服务就叫作守护进程。为了增长灵活性，root能够选择系统开启的模式，这些模式叫作运行级别，每一种运行级别以必定的方式配置系统。守护进程是脱离于终端而且在后台运行的进程。守护进程脱离于终端是为了不进程在执行过程当中的信息在任何终端上显示而且进程也不会被任何终端所产生的终端信息所打断。守护进程经常在系统引导装入时启动，在系统关闭时终止。Linux系统有不少守护进程，大多数服务都是经过守护进程实现的，同时，守护进程还能完成许多系统任务，例如，做业规划进程crond、打印进程lqd等，故选择C选项。

12.在Unix系统中，改变文件分组的命令是（）。

A) chmod

B) chown

C) chgrp

D) who

C、

chmod：文件/目录权限设置命令；chown：改变文件的拥有者；chgrp：变动文件与目录的所属群组，设置方式采用群组名称或群组识别码皆可；who：显示系统登录者。故选择C选项。

13.下列选项中，不属于Windows环境子系统的是（）。

A) POSIX

B) OS/2

C) Win32

D) Win8

D、

Windows有3个环境子系统：Win3二、POSIX和OS/2；POSIX子系统，能够在Windows下编译运行使用了POSIX库的程序，有了这个子系统，就能够向Windows移植一些重要的UNIX/Linux应用。OS/2子系统的意义跟POSIX子系统相似。Win32子系统比较特殊，若是没有它，整个Windows系统就不能运行，其余两个子系统只是在须要时才被启动，而Wind32子系统必须始终处于运行状态。故选择D选项。

14.下列有关视图的说法中，错误的是（）。

A) 视图是从一个或几个基本表或几个视图导出来的表

B) 视图和表都是关系，都存储数据

C) 视图和表都是关系，使用SQL访问它们的方式同样

D) 视图机制与受权机制结合起来，能够增长数据的保密性

B、

视图是原始数据库数据的一种变换，是查看表中数据的另一种方式。能够将视图当作是一个移动的窗口，经过它能够看到感兴趣的数据。视图是从一个或多个实际表中得到的，这些表的数据存放在数据库中。那些用于产生视图的表叫作该视图的基表。一个视图也能够从另外一个视图中产生。视图的定义存在数据库中，与此定义相关的数据并无再存一份于数据库中，经过视图看到的数据存放在基表中，而不是存放在视图中，视图不存储数据，故B选项说法不正确。数据库受权命令可使每一个用户对数据库的检索限制到特定的数据库对象上，但不能受权到数据库特定行和特定的列上。故选择B选项。

15.下列关于视图机制的说法中，错误的是（）。

A) 视图机制的安全保护功能比较精细，一般能达到应用系统的要求

B) 为不一样的用户定义不一样的视图，能够限制各个用户的访问范围

C) 经过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供必定程度的安全保护

D) 在实际应用中，一般将视图机制与受权机制结合起来使用，首先用视图机制屏蔽一部分保密数据，而后在视图上再进一步定义存取权限

A、

视图为机密数据提供了安全保护。在设计用户应用系统时，能够为不一样的用户定义不一样的视图，使机密数据不出如今不该该看到的用户的视图上，这样视图就自动提供了对机密数据的安全保护措施。视图能够做为一种安全机制。经过视图用户只能查看和修改他们所能看到的数据。其它数据库或表既不可见也不能够访问。若是某一用户想要访问视图的结果集，必须授予其访问权限。视图所引用表的访问权限与视图权限的设置互不影响，但视图机制的安全保护功能太不精细，每每不能达到应用系统的要求，其主要功能在于提供了数据库的逻辑独立性。所以A选项是不正确的。故选择A选项。

16.下列关于事务处理的说法中，错误的是（）。

A) 事务处理是一种机制，用来管理必须成批执行的SQL操做，以保证数据库不包含不完整的操做结果

B) 利用事务处理，能够保证一组操做不会中途中止，它们或者做为总体执行或者彻底不执行

C) 不能回退SELECT语句，所以事务处理中不能使用该语句

D) 在发出COMMIT或ROLLBACK语句以前，该事务将一直保持有效

C、

因为事务是由几个任务组成的，所以若是一个事务做为一个总体是成功的，则事务中的每一个任务都必须成功。若是事务中有一部分失败，则整个事务失败。一个事务的任何更新要在系统上彻底完成，若是因为某种缘由出错，事务不能完成它的所有任务，系统将返回到事务开始前的状态。COMMIT语句用于告诉DBMS，事务处理中的语句被成功执行完成了。被成功执行完成后，数据库内容将是完整的。而ROLLBACK语句则是用于告诉DBMS，事务处理中的语句不能被成功执行。不能回退SELECT语句，所以该语句在事务中必然成功执行。故选择C选项。

17.下列选项中，ESP协议不能对其进行封装的是（）。

A) 应用层协议

B) 传输层协议

C) 网络层协议

D) 链路层协议

D、

ESP协议主要设计在 IPv4 和 IPv6 中提供安全服务的混合应用。IESP 经过加密须要保护的数据以及在 ESP 的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法，可以提供无链接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求，这个机制既能够用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也能够用于加密一整个的 IP 数据报。封装受保护数据是很是必要的，这样就能够为整个原始数据报提供机密性，可是，ESP协议没法封装链路层协议。故选择D选项。

18.IKE协议属于混合型协议，由三个协议组成。下列协议中，不属于IKE协议的是（）。

A) Oakley

B) Kerberos

C) SKEME

D) ISAKMP

B、

IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议，B选项错误。故选择B选项。

19.Kerberos协议是分布式网络环境的一种（）。

A) 认证协议

B) 加密协议

C) 完整性检验协议

D) 访问控制协议

A、

Kerberos 是一种网络认证协议，而不是加密协议或完整性检验协议。其设计目标是经过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。故选择A选项。

20.下列组件中，典型的PKI系统不包括（）。

A) CA

B) RA

C) CDS

D) LDAP

C、

一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书；RA可做为CA的一部分，也能够独立，其功能包括我的身份审核、CRL管理、密钥产生和密钥对备份等；PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供必定的查询功能。故选择C选项。

21.下列协议中，状态检测防火墙技术可以对其动态链接状态进行有效检测和防御的是（）。

A) TCP

B) UDP

C) ICMP

D) FTP

A、

状态检测防火墙在处理无链接状态的UDP、ICMP等协议时，没法提供动态的连接状态检查，并且当处理FTP存在创建两个TCP链接的协议时，针对FTP协议的被动模式，要在链接状态表中容许相关联的两个链接。而在FTP的标准模式下，FTP客户端在内网，服务器端在外网，因为FTP的数据链接是从外网服务器到内网客户端的一个变化的端口，所以状态防火墙须要打开整个端口范围才能容许第二个链接经过，在链接量很是大的网络，这样会形成网络的迟滞现象。状态防火墙能够经过检查TCP的标识位得到断开链接的信息，从而动态的将改链接从状态表中删除。故选择A选项。

22.下列协议中，不能被攻击者用来进行DoS攻击的是（）。

A) TCP

B) ICMP

C) UDP

D) IPSec

D、

DoS是Denial of Service的简称，即拒绝服务，形成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络没法提供正常的服务。ICMP在Internet上用于错误处理和传递控制信息。"PingofDeath"就是故意产生畸形的测试Ping包，声称本身的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采起保护措施的网络系统出现内存分配错误，致使TCP/IP协议栈崩溃，最终接收方宕机。UDPflood攻击：现在在Internet上UDP（用户数据包协议）的应用比较普遍，不少提供WWW和Mail等服务设备一般是使用Unix的服务器，它们默认打开一些被黑客恶意利用的UDP服务。因此，TCP、ICMP和UDP均会被DoS攻击，IPSec没法被DoS攻击。故选择D选项。

23.下列选项中，软件漏洞网络攻击框架性工具是（）。

A) BitBlaze

B) Nessus

C) Metasploit

D) Nmap

C、

BitBlaze平台由三个部分组成：Vine，静态分析组件，TEMU，动态分析组件，Rudder，结合动态和静态分析进行具体和符号化分析的组件。Nessus?是目前全世界最多人使用的系统漏洞扫描与分析软件。Metasploit是一个免费的、可下载的框架，经过它能够很容易地获取、开发并对计算机软件漏洞实施攻击。NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工具包。故选择C选项。

24.OWASP的十大安全威胁排名中，位列第一的是（）。

A) 遭破坏的认证和会话管理

B) 跨站脚本

C) 注入攻击

D) 伪造跨站请求

C、

OWASP的十大安全威胁排名：第一位: 注入式风险；第二位: 跨站点脚本 (简称XSS)；第三位: 无效的认证及会话管理功能；第四位: 对不安全对象的直接引用；第五位: 伪造的跨站点请求(简称CSRF)；第六位: 安全配置错误；第七位: 加密存储方面的不安全因素；第八位: 不限制访问者的URL；第九位: 传输层面的保护力度不足；第十位: 未经验证的从新指向及转发。故选择C选项。

25.下列选项中，用户认证的请求经过加密信道进行传输的是（）。

A) POST

B) HTTP

C) GET

D) HTTPS

D、

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，所以加密的详细内容就须要SSL。它是一个URI scheme，句法类同http体系。用于安全的HTTP数据传输。https:URL代表它使用了HTTP，但HTTPS存在不一样于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通信方法，所以用户认证的请求经过加密信道进行传输，如今它被普遍用于万维网上安全敏感的通信。故选择D选项。

26.提出软件安全开发生命周期SDL模型的公司是（）。

A) 微软

B) 惠普

C) IBM

D) 思科

A、

安全开发周期，即Security Development Lifecycle (SDL)，是微软提出的从安全角度指导软件开发过程的管理模式。微软于2004年将SDL引入其内部软件开发流程中，目的是减小其软件中的漏洞的数量和下降其严重级别。故选择A选项。

27.下列选项中，不属于代码混淆技术的是（）。

A) 语法转换

B) 控制流转换

C) 数据转换

D) 词法转换

A、

代码混淆技术在保持原有代码功能的基础上，经过代码变换等混淆手段实现下降代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可经过多种技术手段实现，包括词法转换、控制流转换、数据转换。故选择A选项。

28.下列选项中，不属于漏洞定义三要素的是（）。

A) 漏洞是计算机系统自己存在的缺陷

B) 漏洞的存在和利用都有必定的环境要求

C) 漏洞在计算机系统中不可避免

D) 漏洞的存在自己是没有危害的，只有被攻击者恶意利用，才能带来威胁和损失

C、

漏洞的定义包含如下三个要素：首先，漏洞是计算机系统自己存在的缺陷；其次，漏洞的存在和利用都有必定的环境要求；最后，漏洞存在的自己是没有危害的，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失。故选择C选项。

29.下列关于堆（heap）和栈（stack）在内存中增加方向的描述中，正确的是（）。

A) 堆由低地址向高地址增加，栈由低地址向高地址增加

B) 堆由低地址向高地址增加，栈由高地址向低地址增加

C) 堆由高地址向低地址增加，栈由高地址向低地址增加

D) 堆由高地址向低地址增加，栈由低地址向高地址增加

B、

堆生长方向是向上的，也就是向着内存增长的方向；栈相反。故选择B选项。

30.下列选项中，不属于缓冲区溢出的是（）。

A) 栈溢出

B) 整数溢出

C) 堆溢出

D) 单字节溢出

B、

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区自己的容量，使得溢出的数据覆盖在合法数据上，理想的状况是程序检查数据长度并不容许输入超过缓冲区长度的字符，可是绝大多数程序都会假设数据长度老是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操做系统所使用的缓冲区又被称为"堆栈"。在各个操做进程之间，指令会被临时储存在"堆栈"当中，"堆栈"也会出现缓冲区溢出，单字节溢出是指程序中的缓冲区仅能溢出一个字节。故选择B选项。

31.在信息安全事故响应中，必须采起的措施中不包括（）。

A) 创建清晰的优先次序

B) 清晰地指派工做和责任

C) 保护物理资产

D) 对灾难进行归档

C、

信息安全应急响应的核心是为了保障业务，在具体实施应急响应的过程当中就须要经过不断的总结和回顾来完善应急响应管理体系。编写安全指南：针对可能发生的安全事件安全问题，对判断过程进行详细描述。同时，安全指南也是管理层支持组织IT的一个证实。明确职责规范：明确IT用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责，在发生安全事件时能够很快定位相应人员。信息披露：明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略：安全事件越重大，须要的受权也越大。设置优先级：制定优先级表，根据安全事件致使的后果顺序采用相应的应急措施。判断采用调查和评估安全事件的方法：经过判断潜在和持续的损失程度、缘由等采用不一样的方法。通知受影响各方：对全部受影响的组织内部各部门和外部机构都进行通报，并创建沟通渠道。安全事件的评估：对安全事件作评估，包括损失、响应时间、提交策略的有效性、调查的有效性等，并对评估结果进行归档。故选择C选项。

32.下列关于系统整个开发过程的描述中，错误的是（）。

A) 系统开发分为五个阶段，即规划、分析、设计、实现和运行

B) 系统开发每一个阶段都会有相应的期限

C) 系统的生命周期是无限长的

D) 系统开发过程的每个阶段都是一个循环过程

C、

系统开发分为五个阶段，即规划、分析、设计、实现和运行。故A正确。系统开发每一个阶段都会有相应的期限。故B正确。系统生命周期就是系统从产生构思到再也不使用的整个生命历程。任何系统都会经历一个发生、发展和消亡的过程。而不是系统的生命周期是无限长的。故选择C选项。

33.在信息安全管理中的控制策略实现后，接下来要采起的措施不包括（）。

A) 肯定安全控制的有效性

B) 估计残留风险的准确性

C) 对控制效果进行监控和衡量

D) 逐步消减安全控制方面的开支

D、

一旦实现了控制策略，就应该对控制效果进行监控和衡量，从而来肯定安全控制的有效性，并估计残留风险的准确性。整个安全控制是一个循环过程，不会终止，只要机构继续运转，这个过程就会继续，并非说这方面的预算就能够减小。故选择D选项。

34.下列关于信息安全管理体系认证的描述中，错误的是（）。

A) 信息安全管理体系第三方认证，为组织机构的信息安全体系提供客观评价

B) 每一个组织都必须进行认证

C) 认证能够树立组织机构的信息安全形象

D) 知足某些行业开展服务的法律要求

B、

引入信息安全管理体系就能够协调各个方面信息管理，从而使管理更为有效。经过进行信息安全管理体系认证，能够增进组织间电子电子商务往来的信用度，可以创建起网站和贸易伙伴之间的互相信任，但不是因此的组织都必须进行认证，故B选项说法错误。经过认证能保证和证实组织全部的部门对信息安全的承诺。得到国际承认的机构的认证证书，可获得国际上的认可，拓展您的业务。创建信息安全管理体系能下降这种风险，经过第三方的认证能加强投资者及其余利益相关方的投资信心。企业经过认证将能够向其客户、竞争对手、供应商、员工和投资方展现其在同行内的领导地位;按期的监督审核将确保组织的信息系统不断地被监督和改善，并以此做为加强信息安全性的依据,信任、信用及信心,使客户及利益相关方感觉到组织对信息安全的承诺。故选择B选项。

35.下列选项中，不属于审核准备工做内容的是（）。

A) 编制审核计划

B) 增强安全意识教育

C) 收集并审核有关文件

D) 准备审核工做文件--编写检查表

B、

审核是指为得到审核证据并对其进行客观的评价，以肯定知足审核准则的程度所进行的系统的独立的并造成文件的过程。增强安全教育与审核对象没有关系。故选择B选项。

36.依据涉密信息系统分级保护管理规范和技术标准，涉密信息系统建设使用单位将保密级别分为三级。下列分级正确的是（）。

A) 秘密、机密和要密

B) 机密、要密和绝密

C) 秘密、机密和绝密

D) 秘密、要密和绝密

C、

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。故选择C选项。

37.下列关于可靠电子签名的描述中，正确的是（）。

A) 做为电子签名的加密密钥不能够更换

B) 签署时电子签名制做数据可由交易双方控制

C) 电子签名制做数据用于电子签名时，属于电子签名人专有

D) 签署后对电子签名的任何改动不可以被发现

C、

《电子签名法》规定，可靠的电子签名与手写签名或者盖章具备同等的法律效力。根据《电子签名法》的规定，同时符合下列四个条件的电子签名视为可靠的电子签名：（1）电子签名制做数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制做数据仅由电子签名人控制；（3）签署后对电子签名的任何改动可以被发现；（4）签署后对数据电文内容和形式的任何改动可以被发现。故选择C选项。

38.企业销售商用密码产品时，应向国家密码管理机构申请，其必需具有的条件是（）。

A) 要求注册资金超过100万

B) 有上市的资格

C) 有基础的销售服务制度

D) 有独立的法人资格

D、

根据商用密码产品销售管理规定，申请《商用密码产品销售许可证》的单位应当具有下列条件：
（1）有独立的法人资格；
（2）有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障；
（3）有完善的销售服务和安全保密管理制度；
（4）法律、行政法规规定的其它条件。
故选择D选项。

39.基本安全要求中基本技术要求从五个方面提出。下列选项中，不包含在这五个方面的是（）。

A) 物理安全

B) 路由安全

C) 数据安全

D) 网络安全

B、

基本安全要求中基本技术要求从五个方面提出：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复；路由安全不是基本安全要求中基本技术。故选择B选项。

40.电子认证服务提供者因为违法行为被吊销电子认证许可证书后，其直接负责的主管人员和其余直接责任人员多长时间内不得从事电子认证服务（）。

A) 7年

B) 10年

C) 17年

D) 20年

B、《中华人民共和国电子签名法》第三十一条电子认证服务提供者不遵照认证业务规则、未妥善保存与认证相关的信息，或者有其余违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其余直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。故选择B选项。

41.计算机系统安全评估的第一个正式标准是【41】，它具备划时代的意义，为计算机安全评估奠基了基础。

答案：可信计算机评估标准
答案解析：TCSEC标准是计算机系统安全评估的第一个正式标准，具备划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。所以1）应该填入：可信计算机评估标准/TCSEC标准。

42.信息安全的发展大体经历了三个主要阶段：【42】阶段、计算机安全阶段和信息安全保障阶段。

答案：通讯保密
答案解析：信息安全的发展大体经历了3个主要阶段：通讯保密阶段、计算机安全阶段和信息安全保障阶段。通讯保密阶段：当代信息安全学起源于20世纪40年代的通讯保密；计算机安全阶段：20世纪60年代和70年代，计算机安全的概念开始逐步获得推行；信息安全保障阶段：20世纪90年代之后，开始倡导信息保障。所以2）应该填入：通讯保密

43.因为网络信息量十分巨大，仅依靠人工的方法难以应对网络海量信息的收集和处理，须要增强相关信息技术的研究，即网络【43】技术。

答案：舆情分析
答案解析：对于网络舆情的特色，社会管理者应当了然于心。对现实中出现的各类网络舆论，社会管理者应能作出及时反馈，防微杜渐，防患于未然。所以，必须利用现代信息技术对网络舆情予以分析，从而进行控制和引导。因为网上的信息量十分巨大，仅依靠人工的方法难以应对网上海量信息的收集和处理，须要增强相关信息技术的研究，造成一套自动化的网络舆情分析系统，及时应对网络舆情，由被动防堵，化为主动梳理、引导。所以3）应该填入：舆情分析

44.消息摘要算法MD5能够对任意长度的明文，产生【44】位的消息摘要。

答案：128
答案解析：MD5算法简要叙述：MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，通过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。所以4）应该填入：128

45.验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息【45】。

答案：认证
答案解析：消息认证是指经过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无心的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证0)、及消息的序号和操做时间认证等。所以5）应该填入：认证

46.基于矩阵的行的访问控制信息表示的是访问【46】表，即每一个主体都附加一个该主体可访问的客体的明细表。

答案：能力
答案解析：访问控制矩阵：任何访问控制策略最终都可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每一个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可。访问控制列表：这种方法对应于访问控制矩阵的列。访问能力表：这种方法对应于访问控制矩阵的行。每一个主体都附加一个该主体可访问的客体的明细表。所以6）应该填入：能力

47.强制访问控制系统经过比较主体和客体的【47】来决定一个主体是否可以访问某个客体。

答案：安全标签
答案解析：强制访问控制系统经过比较主体和客体的安全标签来决定一个主体是否可以访问某个客体。强制访问控制是系统独立于用户行为强制执行访问控制，它也提供了客体在主体之间共享的控制，但强制访问控制机制是经过对主体和客体的安全级别进行比较来肯定授予仍是拒绝用户对资源的访问，从而防止对信息的非法和越权访问，保证信息的保密性。所以7）应该填入：安全标签

48.在标准的模型中，将CPU模式从用户模式转到内核模式的惟一方法是触发一个特殊的硬件【48】，如中断、异常等。

答案：自陷
答案解析：操做系统经过一些基本元素，在硬件支持的基础上来达到目标。用户模式和内核模式现代CPU一般运行在两种模式下：
(1) 内核模式，也称为特权模式，在Intel x86系列中，称为核心层(Ring 0)。 (2) 用户模式，也称为非特权模式，或者用户层(Ring 3)。若是CPU处于特权模式，那么硬件将容许执行一些仅在特权模式下许可的特殊指令和操做。通常看来，操做系统应当运行在特权模式下，或者称为内核模式下：其余应用应当运行在普通模式，或者用户模式下。然而，事实与此有所不一样。显然，要使特权模式所提供的保护真正有效，那么普通指令就不能自由修改CPU的模式。在标准的模型中，将CPU模式从用户模式转到内核模式的惟一方法是触发一个特殊的硬件自陷，如
● 中断：一些外部硬件引起的，如I/O或者时钟
● 异常：如除数为零，访问非法的或者不属于该进程的内存
● 显式地执行自陷指令
与上述行为的处理过程基本相同：CPU挂起用户程序，将CPU模式改变为内核模式，查表(如中断向量表)以定位处理过程，而后开始运行由表定义的操做系统代码。

所以8）应该填入：自陷。

49.在Unix/Linux中，每个系统与用户进行交流的界面，称为【49】。

答案：终端
答案解析：在Unix/Linux中，每个系统与用户进行交流的界面都被命名为终端；。所以应该填入终端。

50.在Unix\Linux系统中，【50】帐号是一个超级用户帐户，能够对系统进行任何操做。

答案：root
答案解析：在Unix\Linux系统中，root帐号就是一个超级用户帐户。以超级用户能够对系统进行任何操做。
•1．超级用户
•而Unix\Linux超级用户帐户能够不止一个。
•在Unix系统中，只要将用户的UID和GID设置为0就能够将其变成超级用户，但并非全部的超级用户都能很容易的登陆到Unix系统中，这是由于，Unix系统使用了可插入认证模块（PAM）进行认证登陆，PAM要求超级用户只能在指定的终端上进行访问，这种指定的终端是能够保证安全的。
•2．root帐户的安全
•root用户帐户也是有密码的，这个密码能够对那些经过控制台访问系统的用户进行控制，即便是使用su命令的用户也不例外。
所以10）应该填入：root

51.TCG使用了可信平台模块，而中国的可信平台以可信【51】模块为核心。

答案：密码
答案解析：可信平台模块是一种使微控制器能控存储安全数据的规格，也是这种规格的应用。该规格由可信计算组来制定。国内目前研究的TCM（trusted cryptography module,可信密码模块），与之对应。所以应该填入：密码。

52.每一个事务均以【52】语句显式开始，以 COMMIT 或 ROLLBACK 语句显式结束

答案：BEGIN TRANSACTION
答案解析：由于事务按照要么所有，要么全不方式被执行，事务的边界（开始点和结束点）必须清晰。边界使DBMS做为一个原子单元来执行这些语句。事务隐式开始于第一个可执行的SQL语句或显式使用 BEGIN TRANSACTION语句。事务显式结束于COMMIT或ROLLBACK语句（没法隐式结束），且没法在提交以后回滚事务。所以12）应该填入：BEGIN TRANSACTION。

53.根据ESP封装内容的不一样，可将ESP分为传输模式和【53】模式。

答案：隧道
答案解析：ESP（Encapsulating Security Payloads），封装安全载荷协议，IPsec 所支持的两类协议中的一种。该协议可以在数据的传输过程当中对数据进行完整性度量，来源认证以及加密，也可防止回放攻击。传输模式，与隧道模式同为IPsec工做的两种方式。所以13）应该填入：隧道。

54.PKI是建立、管理、存储、分布和做废【54】的一系列软件、硬件、人员、策略和过程的集合。

答案：数字证书
答案解析：PKI（Public Key Infrastructure ）?即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它可以为全部网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
PKI是一系列基于公钥密码学之上，用来建立、管理、存储、分布和做废数字证书的一系列软件、硬件、人员、策略和过程的集合。所以14）应该填入：数字证书。

55.主要适用于有严格的级别划分的大型组织机构和行业领域的信任模型是【55】信任模型。

答案：层次
答案解析：层次信任模型：层次信任模型是实现最简单的模型，使用也最为普遍。创建层次信任模型的基础是全部的信任用户都有一个可信任根。全部的信任关系都基于根来产生。层次信任模型是一种双向信任的模型。层次信任模型适用于孤立的、层状的企业，对于有组织边界交叉的企业，要应用这种模型是很困难的。另外，在层次信任模型的内部必须保持相同的管理策略。层次信任模型主要使用在如下三种环境：
（1）严格的层次结构；
（2）分层管理的PKI商务环境；
（3）PEM（Privacy-Enhanced Mail，保密性加强邮件）环境。
所以15）应该填入：层次

56.NIDS包括【56】和控制台两部分。

答案：探测器
答案解析：NIDS是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker经过网络进行的入侵行为。NIDS的功能：网管人员对网络运行状态进行实时监控，以便随时发现可能的入侵行为，并进行具体分析，及时、主动地进行干预，从而取得防患于未然的效果。其主要包括时间探测器和控制台两部分。所以应该填入：探测器

57.木马程序由两部分程序组成，黑客经过【57】端程序控制远端用户的计算机。

答案：客户
答案解析：木马一般有两个可执行程序：一个是客户端，即控制端，另外一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分。所以17）应该填入：客户。

58.经过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据致使的程序执行异常，是【58】传播分析技术。

答案：污点
答案解析：污点传播分析技术：经过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据致使的程序执行异常。所以18）应该填入：污点。

59.恶意影响计算机操做系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序

答案：恶意程序
答案解析：恶意程序一般是指带有攻击意图所编写的一段程序，经过破坏软件进程来实施控制。这些威胁能够分红两个类别：须要宿主程序的威胁和彼此独立的威胁。所以19）应该填入：恶意程序

是【59】。

60.根据加壳原理的不一样，软件加壳技术包括【60】保护壳和加密保护壳。

答案：压缩
答案解析：加壳的全称应该是可执行程序资源压缩，是保护文件的经常使用手段。加壳过的程序能够直接运行，可是不能查看源代码.要通过脱壳才能够查看源代码。加壳工具一般分为压缩壳和加密壳两类。
压缩壳的特色是减少软件体积大小，加密保护不是重点。所以20）应该填入：压缩。

61.处于未公开状态的漏洞是【61】漏洞。

答案：0day
答案解析：0day漏洞，是已经被发现(有可能未被公开), 只有黑客或者某些组织内部使用，而官方尚未相关补丁的漏洞（由于官方还不知道该漏洞）。所以应该填入：0day。

62.指令寄存器eip始终存放着【62】地址。

答案：返回
答案解析：EIP寄存器里存储的是CPU下次要执行的指令的地址，也就是函数调用完返回的地址；EBP寄存器里存储的是是栈的栈底指针，一般叫栈基址；ESP寄存器里存储的是在调用函数fun()以后，栈的栈顶。
所以应该填入：返回

63.信息安全管理的主要内容，包括信息安全【63】、信息安全风险评估和信息安全管理措施三个部分。

答案：管理体系
答案解析：信息安全管理的主要内容，包括信息安全管理体系、信息安全风险评估和信息安全管理措施三个部分。所以应该填入：管理体系。

64.风险评估分为【64】和检查评估。

答案：自评估
答案解析：风险评估（Risk Assessment）是指，在风险事件发生以前或以后（但尚未结束），该事件给人们的生活、生命、财产等各个方面形成的影响和损失的可能性进行量化评估的工做。分为自评估和检查评估。所以应该填入：自评估。

65.分类数据的管理包括这些数据的存储、分布移植和【65】。

答案：销毁
答案解析：对信息资产进行分类的目的是便于在处理信息时指明保护的需求、优先级和指望程度。分类数据的管理包括这些数据的存储、分布移植及销毁。所以应该填入：销毁

66.信息安全风险评估的复杂程度，取决于受保护的【66】对安全的敏感程度和所面临风险的复杂程度。

答案：资产
答案解析：信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能形成的危害程度，为防范和化解信息安全风险，或者将风险控制在能够接受的水平，制定有针对性的抵御威胁的防御对策和整改措施以最大限度的保障网络和信息安全提供科学依据。风险评估的对象是资产。所以应该填入：资产。

67.CC评估等级每一级均需评估七个功能类，分别是配置管理、分发和操做、开发过程、指导文献、生命期的技术支持、测试和【67】评估。

答案：脆弱性
答案解析：CC将评估过程划分为功能和保证两部分，评估等级分为EAL一、EAL二、EAL三、EAL四、EAL五、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操做、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。所以应该填入：脆弱性

68.国家秘密的保密期限，绝密级不超过【68】年，除另有规定。

答案：30
答案解析：国家秘密的保密期限，除有特殊规定外，绝密级事项不超过三十年，机密级事项不超过二十年，秘密级事项不超过十年。保密期限在一年及一年以上的，以年计；保密期限在一年之内的，以月计。所以应该填入：30

69.《信息系统安全保护等级划分准则》中提出了定级的四个要素：信息系统所属类型、【69】类型、信息系统服务范围和业务自动化处理程度。

答案：业务数据
答案解析：《信息系统安全保护等级划分准则》初稿于2005年5月完成，其中提出了定级的四个要素：信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度，经过信息系统所属类型和业务数据类型能够肯定业务数据安全性等级，经过信息系统服务范围和业务自动化处理程度及调节因子，能够肯定业务服务连续性等级。所以应该填入：业务数据。

70.关于国家秘密，机关、单位应当根据工做须要，肯定具体的保密期限、解密时间，或者【70】。

答案：解密条件
答案解析：《中华人民共和国保守国家秘密法》第十五条国家秘密的保密期限，应当根据事项的性质和特色，按照维护国家安全和利益的须要，限定在必要的期限内；不能肯定期限的，应当肯定解密的条件。
国家秘密的保密期限，除另有规定外，绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。
机关、单位应当根据工做须要，肯定具体的保密期限、解密时间或者解密条件。
机关、单位对在决定和处理有关事项工做过程当中肯定须要保密的事项，根据工做须要决定公开的，正式公布时即视为解密。
所以应该填入：解密条件

1)为了构建一个简单、安全的“客户机/服务器”模式的应用系统，要求：①能安全存储用户的口令（无须解密）；②用户口令在网络传输中须要被保护；③用户与服务器须要进行密钥协商，以便在非保护信道中实现安全通讯；④在通讯过程当中能对消息进行认证，以确保消息未被篡改。（共10分）
假设要构建的应用系统容许使用MD五、AES、Diffie-Hellman算法，给定消息m，定义MD5(m)和AES(m)分别表示对m的相应处理。为了准确地描述算法，另外定义以下：给定数x、y和z，x*y表示乘法运算，x/y表示除法运算，x^y表示指数运算，而x^(y/z)表示指数为y/z。请回答下述问题：
（1）为了安全存储用户的口令，服务器须要将每一个用户的口令采用【71】算法运算后存储。（1分）
（2）在创建安全通讯前，用户须要首先提交用户名和口令到服务器进行认证，为了防止口令在网络传输中被窃听，客户机程序将采用【72】算法对口令运算后再发送。（1分）
（3）为了在服务器和认证经过的用户之间创建安全通讯，即在非保护的信道上建立一个会话密钥，最有效的密钥交换协议是【73】算法。（2分）
（4）假定有两个全局公开的参数，分别为一个素数p和一个整数g，g是p的一个原根，为了协商共享的会话密钥：
首先，服务器随机选取a，计算出A=【74】 mod p，并将A发送给用户；（1分）
而后，用户随机选取b，计算出B=【75】 mod p，并将B发送给服务器；（1分）
最后，服务器和用户就能够计算获得共享的会话密钥key=【76】 mod p。（2分）
（5）为了同时确保数据的保密性和完整性，用户采用AES对消息m加密，并利用MD5产生消息密文的认证码，发送给服务器；假设服务器收到的消息密文为c，认证码为z。服务器只须要验证z是否等于【77】便可验证消息是否在传输过程当中被篡改。（2分）

1)【解题思路】
本题考点为MD五、AES、Diffie-Hellman算法的特性以及算法的具体实现过程。MD5的典型应用是对一段信息产生信息摘要，以防止被篡改。AES 算法基于排列和置换运算。排列是对数据从新进行安排，置换是将一个数据单元替换为另外一个。AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为12八、19二、256，分组长度128位，算法应易于各类硬件和软件实现。 Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法，它是OAKLEY的一个组成部分。
【参考答案】
（1）为了安全存储用户的口令，须要对用户口令进行加密，采用MD5算法。
所以【1】处应该填入：MD5
（2） MD5算法对信息进行摘要，防止被篡改。所以【2】处应该填入：MD5
（3） Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法。所以【3】处应该填入：Diffie-Hellman。
（4） Diffie-Hellman密钥交换算法一、有两个全局公开的参数，一个素数P和一个整数g，g是P的一个原根。?二、假设用户A和B但愿交换一个密钥，用户A选择一个做为私有密钥的随机数a<p，并计算公开密钥ya=g^a?mod?p。a对xa的值保密存放而使ya能被b公开得到。相似地，用户b选择一个私有的随机数b<p，并计算公开密钥yb=g^b mod?p?。b对xb的值保密存放而使yb能被a公开得到。?三、用户产生共享秘密密钥的计算方式是k=g^(a*b)?mod?p。
所以【4】应填入：g^a
【5】应填入：g^b
【6】应填入：g^(a*b)
（5）用MD5算法对得到消息的摘要，而后和原摘要比较。所以【7】应填入：MD5(c)。

2)为了加强数据库的安全性，请按操做要求补全SQL语句：（每空1分，共5分）
（1）建立一个角色R1：【78】 R1;
（2）为角色R1分配Student表的INSERT、UPDATE、SELECT权限：【79】 INSERT,UPDATE,SELECT ON TABLE Student TO R1;
（3）减小角色R1的SELECT权限：【80】 ON TABLE Student FROM R1;
（4）将角色R1授予王平，使其具备角色R1所包含的所有权限：【81】 TO 王平;
（5）对修改Student表数据的操做进行审计：【82】 UPDATE ON Student;

2)【解题思路】本题主要考察队SQL语句的熟悉了解程度。
【参考答案】
（1）【解析】建立角色语句CREATE ROLE，所以【8】应填入：CREATE ROLE
（2）【解析】为用户分配角色权限指令GRANT +权限 to 某用户；所以【9】应填入：GRANT
（3）【解析】减小权限指令REVOKE+权限名；所以【10】应填入：REVOKE SELECT
（4）【解析】和（2）同；【11】应填入：GRANT R1
（5）【解析】审计指令AUDIT；所以【12】应填入AUDIT

3)下图是TCP半链接扫描的原理图。其中，图1为目标主机端口处于监听状态时，TCP半链接扫描的原理图；图2为目标主机端口未打开时，TCP半链接扫描的原理图。请根据TCP半链接扫描的原理，补全扫描过程当中各数据包的标志位和状态值信息。（每空1分，共10分）

请在下表中输入A-J表明的内容

   A：【83】
B：【84】
   C：【85】
   D：【86】
E：【87】
F：【88】
G：【89】
H：【90】
I：【91】
J：【92】

3）【解题思路】本题主要考察TCP半链接原理和三次握手协议。
【参考答案】
第一次握手：创建链接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的syn（ack=j+1），同时本身也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。
完成三次握手，客户端与服务器开始传送数据，
若是端口扫描没有完成一个完整的TCP链接，在扫描主机和目标主机的一指定端口创建链接时候只完成了前两次握手，在第三步时，扫描主机中断了本次链接，使链接没有彻底创建起来，这样的端口扫描称为半链接扫描，也称为间接扫描。
所以各空填写以下：【83】应填入：syn；【84】应填入：1；【85】应填入：syn；【86】应填入：ack
【87】应填入：rst；【88】应填入：ack；【89】应填入：syn；【90】应填入：1；【91】应填入：rst
【92】应填入：ack

4) 一个程序运行中进行函数调用时，对应内存中栈的操做以下：（每空1分，共5分）
第一步，【93】入栈；
第二步，【94】入栈；
第三步，【95】跳转；
第四步，ebp中母函数栈帧【96】入栈；
第五步，【97】值装入ebp，ebp更新为新栈帧基地址；
第六步，给新栈帧分配空间。

4）【解题思路】本题主要考察程序运行过程当中函数调用及栈操做。【参考答案】首先，主调函数把EAX，ECX和EDX压栈。这是一个可选的步骤，只在这三个寄存器内容须要保留的时候执行此步骤。接着把传递给被调函数的参数一一进栈，最后的参数最早进栈。最后，主调函数用call指令调用子函数；当call指令执行的时候，EIP指令指针寄存器的内容被压入栈中。由于EIP寄存器是指向主调函数中的下一条指令，因此如今返回地址就在栈顶了。在call指令执行完以后，下一个执行周期将从被调函数的标记处开始。EBP寄存器如今正指向主调函数的栈帧中的某个位置，这个值必须被保留，所以，EBP进栈。而后ESP的内容赋值给了EBP。这使得函数的参数能够经过对EBP附加一个偏移量获得，而栈寄存器ESP即可以空出来作其余事情。所以【23】应填入：参数；【24】应填入：返回地址；【25】应填入：代码区；【26】应填入：基址指针；【27】应填入：esp