2009年9月全国计算机等级考试三级笔试试卷
数据库技术
(考试时间120分钟,满分100分)
一、选择题(每题1分,共60分)
(1)数字信号处理器由于在其内部设计了能够高速处理多路数字信号的电路,可以用在需要快速处理大量复杂信息的领域。下列哪一个设备不需要数字信号处理器?
A) 雷达
B) 彩色电视机
C) 数字音视频设备
D) 数字图像处理设备
(2)八进制数1507转换成十进制数是多少?
A) 838
B) 839
C) 840
D) 841
(3)数据包要求从源主机出发,最终到目的主机。下列哪一个设备可为数据包选择输出路径,将它从一个网络传送到另一个网络?
A) 通信线路
B) 路由器
C) WWW服务器
D) 调制解调器
(4)当电子邮件软件从邮件服务器读取邮件时,可以使用下列哪一个(些)协议?
Ⅰ简单邮件传输协议SMTP
Ⅱ邮局协议POP3
Ⅲ交互式邮件存取协议IMAP
A) 仅Ⅰ
B) 仅Ⅱ
C) 仅Ⅱ和Ⅲ
C) 仅Ⅰ和Ⅲ
(5)在下载的普通程序中隐含了一些非法功能的代码,用于窃取用户私密信息或执行其他恶意程序,这种恶意软件的攻击方式称为
A) 特洛伊木马
B) 后门陷阱
C) 逻辑炸d
D) 僵尸网络
(6)下列关于ADSL技术的叙述中,哪些是正确的?
Ⅰ它是在普通电话线上的一种心得高速宽带技术
Ⅱ它为用户提供上、下行对称的传输速率
ⅢADSL宽带接入方式可用于网络互联业务
A) 仅Ⅰ和Ⅱ
B) 仅Ⅱ和Ⅲ
C) 仅Ⅰ和Ⅲ
D) 全部
(7)数据结构概念一般包括三个方面的内容,它们是
A) 数据的逻辑结构、数据的传输结构、数据的分析挖掘
B) 数据的逻辑结构、数据的存储结构、数据的运算
C) 数据的存储结构、数据的展示方式、数据的运算
D) 数据的传输结构、护具的展示方式、数据的分析挖掘
(8)下列关于链式存储结构的叙述中,哪些是不正确的?
Ⅰ逻辑上相邻的结点物理上不比邻接
Ⅱ每个结点都包含好一个指针域
Ⅲ用指针来提现数据元素之间逻辑上的联系
Ⅳ结点中的指针都不能为空
Ⅴ可以通过计算直接确定第i个结点的存储地址
A) 仅Ⅰ、Ⅱ和Ⅲ
B) 仅Ⅰ、Ⅲ和Ⅳ
C) 仅Ⅱ、Ⅲ和Ⅴ
D) 仅Ⅱ、Ⅳ和Ⅴ
(9)栈结构不适用与下列哪一种应用?
A) 表达式求值
B) 树的层次次序周游算法的实现
C) 二叉树对称序周游算法的实现
D) 快速排序算法的实现
(10)下列哪一个不是从列的基本运算?
A) 从队尾插入一个新元素
B) 判断一个队列是否为空
C) 从队列中删除第1个元素
D) 读取队头元素的值
(11)俺行有限顺序存储下上角矩阵
(12)在包含1000个元素的线性表中实现如下各运算,哪一个所需的执行时间最短?
A) 线性表按顺序方式存储,查找关键码值为900的结点
B) 线性表按链接方式存储,查找关键码值为900的结点
C) 线性表按顺序方式存储,查找线性表中第900个结点
D) 线性表按链接方式存储,查找线性表中第900个结点
(13)下列关于二叉树的叙述中,哪一条是正确的?
A) 二叉树的结点的有限集合,这个集合不能为空集
B) 二叉树是树的特殊情况,即每个结点的子树个数都不超过2
C) 二叉树的每个非叶结点都恰有两颗非空子树
D) 每一棵二叉树都能唯一地转换到它所对应的树(林)
(14)设有字符序列(Q、H、C、Y、P、A、M、S、R、D、F、X),则新序列(H、C、Q、P、A、M、S、R、D、F、X、Y)是下列哪一种排序算法一趟扫描的结果?
A) 起泡排序
B) 初始步长为4的希尔排序
C) 二路归并排序
D) 堆排序
(15)对n个记录的文件进行快速排序,平均执行时间为
A) O(log2n)
B) O(n)
C) O(olog2n)
D) O(n2)
(16)下列哪一个不是网络 *** 作系统应该支持的功能?
A) 网络管理
B) 网络通信
C) 资源共享
D) 负载均衡
(17)下列指令中,哪一个不是特权指令?
A) 访管指令
B) 启动设备指令
C) 设置时钟指令
D) 停机指令
(18)一个进程从运行态转换为就绪态的原因是
A) 该进程执行时出错
B) 该进程等待某个资源
C) 该进程用完分配的时间片
D) 该进程等待的资源变为可用
(19)读者写者问题的解决方案如下所示:
(20)下列哪一项不是存储管理的任务?
A) 内存共享
B) 存储保护
C) 地址映射
D) 指针定位
(21)下列关于工作集模型的叙述中,哪一条是不正确的?
A) 每个进程有一个工作集
B) 工作集大小与缺页率无关
C) 工作集大小是可以调整的
D) 工作集模型可以解决系统的颠簸(抖动)问题
(22)下列关于文件结构的叙述中,哪一(些)条是正确的?
Ⅰ源程序、目标代码等文件属于流式文件
Ⅱ每个记录包含一个记录键和其他属性
Ⅲ记录式文件中的记录都是定长的
A) 仅Ⅰ
B) 仅Ⅰ和Ⅱ
C) 仅Ⅱ和Ⅲ
D) 仅Ⅰ和Ⅲ
(23)如果某一个文件的物理结构采用的是UNIX的三级索引结构,如图所示。假设一个物理块可以存放128个块号,要查找块号为15000的物理块,需要用到哪一级索引表?
A) 主索引表
B) 一级索引表
C) 二级索引表
D) 三级索引表
(24)磁盘驱动调度中的移臂调度的目标是减少
A) 磁头寻到时间
B) 旋转延迟时间
C) 数据传输时间
D) 中断处理时间
(25)以树形结构表示实体之间联系的数据模型是
A) 层次模型
B) 网状模型
C) 关系模型
D) 面向对象模型
(26)在一个数据库中,模式与内模式的映像个数是
A) 1个
B) 与用户个数相同
C) 有设置的系统参数决定
D) 任意多个
(27)在嵌入式SQL中,与游标相关的有四个语句,它们中哪一个执行游标定义中的SELECT语句?
A) DECLARE
B) OPEN
C) FETCH
D) CLOSE
(28)信息是有价值的,信息的价值主要与下列哪些因素有关?
Ⅰ准确性
Ⅱ及时性
Ⅲ完整性
Ⅳ可靠性
Ⅴ可移植性
A) 仅Ⅰ、Ⅱ和Ⅲ
B) 仅Ⅰ、Ⅱ、Ⅲ和Ⅳ
C) 仅Ⅱ、Ⅲ、Ⅳ和Ⅴ
D) 都相关
(29)设有关系SC(SNO,CNO,GRADE),其主码是(SNO,CNO)。遵照实体完整性规则
A) 只有SNO不能取空值
B) 只有CNO不能取空值
C) 只有GRADE不能空值
D) SNO与CNO都不能取空值
(30)如果对关系emp(eno,ename,salray)成功执行下面的SQL语句:
CREATE CLUSTER INDEX name_index ON emp (salary)
对此结果的正确描述是
A) 在emp表上按salary升序创建了一个唯一索引
B) 在emp表上按salary降序创建了一个唯一索引
C) 在emp表上按salary升序创建了一个聚簇索引
D) 在emp表上按salary降序创建了一个聚簇索引
(31)设关系R和S的元数分别是r和s,且R有n个元组,S有m个元祖。执行关系R和S的笛卡尔积,记为T=R×S,则
A) T的元数是(r×s),且有(n+m)个元祖
B) T的元数是(r×s),且有(n×m)个元祖
C) T的元数是(r+s),且有(n+m)个元祖
D) T的元数是(r+s),且有(n×m)个元祖
(32)设课程和教师是两个实体型,如果每一门课程可以由若干位教师讲授,每一位教师可以讲授若干门课程,则课程与教师这两个实体型之间的联系是
A) 一对一
B) 一对多
C) 多对多
D) 不确定
(33)在关系代数中,下列哪一个等式是不确定的?
(34)在SQL语言中,一个基本表的定义一旦被删除,则与此表相关的下列内容中哪一个(些)也自动被删除或失效?
Ⅰ此表中的数据
Ⅱ此表上建立的索引
Ⅲ此表上简历的视图
A) 仅Ⅰ
B) 仅Ⅱ
C) 仅Ⅲ
D) 全部
第(35)-(36)题基于“学生-选课-课程”数据库中的三个关系:
S(S#,SNAME,SEX,AGE),SC(S#,C#,GRADE),C(C#,CNAME,TEACHER)它们的主键用下划线标出。
(35)定义一个反映学生姓名及他的平均成绩的视图将使用关系
A) S和C
B) SC和C
C) S和SC
D) S、SC和C
(36)“查询选修了3门以上课程的学生的学生号”,正确的SQL语句是
A) SELECT S# FROM SC GEOUPBY S# WHERE COUN()〉3
B) SELECT S# FROM SC GEOUPBY S# HAVING COUN()〉3
C) SELECT S# FROM SC ORDER S# HAVING COUN()〉3
D) SELECT S# FROM SC ORDER S# WHERE COUN()〉3
(37)下列哪一类视图上可以进行插入、删除和更新 *** 作
A) 带表达式的视图
B) 连接视图
C) 行列子集视图
D) 分组视图
(38)下列关于E-R图的叙述中,哪一条是不正确的?
A) 实体型用矩形表示,属性用椭圆形表示,联系型用菱形表示
B) 实体型之间的联系可以分为1:1、1:n和m:n三类
C) 1:1联系是1:n联系的特例,1:n联系是m:n联系的特例
D) 实体型之间的联系只存在与两个实体型之间
(39)下列叙述中,哪些是SQL的功能特点?
Ⅰ集DDL、DML和DCL功能于一体
Ⅱ是高度非过程化语言
Ⅲ采用面向集合的 *** 作方式
Ⅳ具有自含式嵌入式两种灵活的使用方式
Ⅴ语言简介、易学易用、功能强
A) 仅Ⅰ、Ⅱ和Ⅲ
B) 仅Ⅱ、Ⅲ、Ⅳ和Ⅴ
C) 仅Ⅰ、Ⅳ和Ⅴ
D) 都是
(40)下面是SQL主要数据定义语句列表,其中哪一(些)行是正确的?
A) 仅“模式”行
B) 仅“基本表”行
C) 仅“视图”行和“索引”行
D) 所有行
(41)设关系R、S和T如下。关系T是关系R和S执行哪种 *** 作的结果?
A) 自然连接
B) 外部并
C) 半连接
D) 外连接
(42)在物理存储器层次结构中,下列哪一个存储设备是联机存储?
A) 高速缓存
B) 主存储器
C) 第二级存储器
D) 第三级存储器
(43)数据库中为了将大小不同的记录组织在同一个磁盘块中,常采用分槽的页结构。结构的块头中不包括
A) 块中记录的数目
B) 读取时需要的缓存大小
C) 块中空闲的末尾指针
D) 由包含记录位置和大小的条目组成的数组
(44)下列关于索引的叙述中,哪一条是不正确的?
A) 顺序索引能有效地支持点查询
B) 顺序索引能有效地支持范围查询
C) 散列索引能有效地支持点查询
D) 散列索引能有效地支持范围查询
(45)下列关于基于日志的故障恢复的叙述中,哪一条是不正确的?
A) 日志是日志记录的序列,它记录了数据库izhong的所有更新活动
B) 日志记录中包括事务提交日志记录<Ti commit>
C) 利用更新日志记录中的改前值可以进行UNDO
D) 事务故障恢复只需要正向扫描日志文件
(46)下列哪一个不属于SQL2000服务器端提供的服务?
A) SQL服务器服务
B) SQL服务器代理
C) 查询分析器服务
D) 分布式事务协调服务
(47)下列哪些属于SQL Sercer 2000中常用的数据库对象
Ⅰ表
Ⅱ约束
Ⅲ规则
Ⅳ索引
Ⅴ数据类型
Ⅵ用户自定义函数
A) 仅Ⅰ、Ⅱ、Ⅲ和Ⅳ
B) 仅Ⅰ、Ⅳ、Ⅴ和Ⅵ
C) 仅Ⅰ、Ⅱ、Ⅳ和Ⅵ
D) 都是
(48)下列哪一个不属于Oracle实例?
A) 存储数据的集合
B) 系统全局区
C) 用户进程
D) Oracle
(49)Oracle引入了新的数据类型可以存储极大的对象。其中,BLOB的中文解释为
A) 二进制数据型大对象
B) 字符数据型大对象
C) 存储的数据库之外的只读型二进制数据文件
D) 固定宽度的多字节字符数据型大对象
(50)下列哪些条不属于数据库设计的任务?
Ⅰ数据库物理结构设计
Ⅱ数据库逻辑结构设计
Ⅲ数据库概念结构设计
Ⅳ数据库应用结构设计
Ⅴ数据库管理系统设计
A) 仅Ⅰ和Ⅱ
B) 仅Ⅱ和Ⅲ
C) 仅Ⅲ和Ⅳ
D) 仅Ⅳ和Ⅴ
(51)下列哪一条不是概念模型应具备的性质?
A) 有丰富的语义表达能力
B) 在计算机中实现的效率高
C) 易于向各种数据模型转换
D) 易于交流和理解
(52)下列关于函数依赖的叙述中,哪一条是不正确的?
(53)设有关系模式R(X、Y、Z),其中X、Y、Z均为属性或属性组。下列关于多值依赖的叙述中,哪一(些)条是正确的?
A) 仅Ⅱ
B) 仅Ⅲ
C) 仅Ⅰ和Ⅲ
D) 仅Ⅱ和Ⅳ
(54)若关系模式R中没有非主属性,则
A) R肯定属于2NF,但R不一定属于3NF
B) R肯定属于3NF,但R不一定属于BCNF
C) R肯定属于BCNF,但R不一定属于4NF
D) R肯定属于4NF
第(55)-(56)题基于一下描述:有关系模式P(A,B,C,D,E,F,G,,H,I,J),根据语义有如下函数依赖集:F={ABD→E,AB→G,B→F,→CJ,C→I,G→H}。
(55)关系模式P的码为
A) (A,B,C,G)
B) (A,B,D,I)
C) (A,C,D,G)
D) (A,B,C,D)
(56)现将关系模式P分解为两个关系模式P1(A,B,D,E,F,G,H)和P2(C,I,J)。这个分解
A) 不具有无损连接性,不保持函数依赖
B) 具有无损连接性,不保持函数依赖
C) 不具有无损连接性,保持函数依赖
D) 具有无损连接性且保持函数依赖
(57)下列关于以Web服务器为中心的浏览器/服务器模式的叙述中,哪一条是不正确的?
A) 与传统的客户机/服务器结构相比较,Web服务器负载过重
B) 与传统的客户机/服务器结构相比较,HTTP协议的效率低
C) 服务器扩展程序主要使用CGI和Web API两种编程接口编写
D) CGI在执行时动态加载到Web服务器进程内
(58)下列关于 Visual Studio 2008 的叙述中,哪一条是不正确的?
A) Visual Studio 2008 彻底解决了需要绑定一个特定版本的CLR(通用语言架构机制)的问题
B) Visual Studio 2008 实现了Dreamwaver 网页编辑的功能
C) Visual Studio 2008 对AJAX 和java script提供了更丰富的支持
D) Visual Studio 2008 允许编写使用LINQ的代码
(59)下列关于分布式数据库系统的叙述中,哪一条是不正确的?
A) 每一个节点是一个独立的数据库系统
B) 具有位置透明性、复制透明性和分片透明性等
C) 有关数据分片、分配和副本的信息存储在局部目录中
D) 对于并发控制和恢复,分布式DBMS环境中会出现大量的在集中式DBMS环境中碰不到的问题
(60)下列关于面向对象数据库和关系数据库系统的叙述中,哪一条是不正确的?
A) 面向对象数据库设计与关系数据库设计之间一个最主要的区别是如何处理联系
B) 面向对象数据库设计与关系数据库设计中,处理继承的方法是相同的
C) 在面向对象数据库中,通过使用继承构造来获得映射
D) 在面向对象数据库中,联系是通过使用联系特性或者包括相关对象的对象标识符的参照属性来处理的
二、填空题(每空2分,共40分)
(1)为了改变指令系统计算机指令过多的状态而设计的一种计算机系统结构称为精简指令系统计算机,其英文缩写为 1 。
(2)标准的URL由三部分组成:协议类型、 2 和路径/文件名。
(3)对线性表进行二分发检索,其前提条件是线性表以 3 方式存储,并且按关键码值排好序。
(4)霍夫曼算法是求具有最 4 带权外部路径长度的扩充二叉树的算法。
(5)m阶B树的根节点至多有 5 棵子数。
(6) 6 是 *** 作系统向系统用户提供的程序级服务,用户程序借助它可以向 *** 作系统提出各种服务请求。
(7)最著名的死锁避免算法是 7 算法。
(8)可以采用虚拟设备技术来提高独占设备的利用率,说采用的具体技术称为 8 技术。
(9)根据抽象的层面不同,数据模型可分为:概念模型、 9 层模型和物理层模型。
(10)关系数据模型的完整性约束主要包括:域完整性约束、实体完整性约束和 10 完整性约束三类。
(11)动态SQL语句是指在SQL程序编译时其中有些部分尚未确定,需要在程序的 11 过程中临时生成的SQL语句。
(12)在关系代数中,从两个关系的笛卡尔积中选取它们的属性或属性组间满足一定条件的元组得到新的关系 *** 作称为 12 。
(13)选择逻辑查询计划和选择物理查询计划的步骤称为查询 13 。
(14)多个事务在某个调度下的执行是正确的,是能保证数据库一致性的,当且仅当该调度是 14 的。
(15)Oracle针对Intrnet/Intranet的产品是Oracle 15 。
(16)抽象数据类型是一种用户定义的对象数据类型,它由对象的 16 及其相应的方法组成。
(17)若X→Y,且则称X→Y为 17 的函数依赖。
(18)如果关系模式R的规范化程度达到了4NF,则R的属性之间不存在非平凡且非 18 的多值依赖。
(19)一个多媒体数据库必须采用一些模型使其可以基于 19 来组织多媒体数据源,并为它们简历相应的索引。
(20)数据集市是一种更小、更集中的 20 ,他为公司提供了分析商业数据的一条廉价途径。
2009年9月全国计算机等级考试三级数据库笔试参考答案
一、选择题
(1)
B
(2)
B
(3)
B
(4)
C
(5)
A
(6)
C
(7)
B
(8)
D
(9)
B
(10)
C
(11)
D
(12)
C
(13)
D
(14)
A
(15)
C
(16)
D
(17)
A
(18)
C
(19)
B
(20)
D
(21)
B
(22)
B
(23)
C
(24)
A
(25)
A
(26)
A
(27)
B
(28)
B
(29)
D
(30)
C
(31)
D
(32)
C
(33)
A
(34)
D
(35)
C
(36)
B
(37)
C
(38)
D
(39)
D
(40)
B
(41)
D
(42)
C
(43)
B
(44)
D
(45)
D
(46)
C
(47)
D
(48)
A
(49)
A
(50)
D
(51)
B
(52)
C
(53)
D
(54)
B
(55)
D
(56)
C
(57)
D
(58)
A
(59)
C
(60)
B
二、填空题
(1)RISC
(2)主机名
(3)顺序
(4)小
(5)m
(6)系统调用
(7)银行家
(8)SPOOLing
(9)逻辑
(10)参照
(11)执行
(12)连接
(13)查询优化
(14)可串行化
(15)WebServer
(16)属性
(17)非平凡函数依赖
(18)函数依赖
(19)内容
(20)数据仓库
1、聊天陷阱
2006年2月24日晚上,上海“网虫”钱某终于见到了网上聊天认识的女网友“仇某”。然而,两人散步至一处花店附近时,突然冒出4名手持剪刀的青年男子。毫无准备的钱某不仅遭到一阵殴打,身上仅有的1部手机和300元人民币也被抢走。
3天以后,案情大白,犯罪嫌疑人裘某正是那位自称“仇某”的女网友。原来,两人在网上搭识以后,钱某经常出言不逊,裘某萌发报复念头,找到以前的男友抢劫钱某财物。
2、低价陷阱
2018年1月,徐某无意中进入一个买卖二手车的网址,发现其中一辆本田CRV车只要13000元。徐某心动不已,随即联系网站客服,按照对方要求填写信息并通过网银转账500元订金。2天后,对方告知押车员已将车子运送至天台县,要求徐某支付余款12500元。
徐某打款后兴冲冲等着去提车,结果对方又找各种理由要求他再付16870元,徐某这才恍然大悟自己是被骗了。
3、“支付宝”发邮件称需升级
小美在淘宝开了一家汽车用品店。一个“买家”来店里拍了一套汽车坐垫后发了一张截图,显示“本次支付失败”,并提示“由于卖家账号异常,已发邮件给卖家”。小美打开邮箱,果然有一封主题为“来自支付宝的安全提醒”的未读邮件。
小美没有多想就点击邮件里的链接,按提示一步步进行了“升级”,期间几次输入支付宝账号和密码。隔天,小美发现账户里的8000多元余额被人以支付红包的形式盗空。
4、代“刷信誉”先交“服务费”
阿珍在淘宝网上开了一家卖袜子的小店。去年5月,她在网上看到可以帮忙“刷信誉”的广告,便心动了。加QQ后,对方要求先付钱才能帮其代刷,阿珍就向对方账户汇了1500元“服务费”。没过多久对方又称,需要阿珍再付3000元“保证金”。
这下阿珍起了疑心,要求对方先刷一部分信誉再谈,对方却坚持要阿珍再汇款。阿珍越想越觉得可疑,要求对方退回1500元,对方却怎么都不理她了。阿珍这才明白,自己是被骗了。
5、“大客户”下单后要“回扣”
去年7月,小罗的汽车用品淘宝店来了一个“大客户”。这买家自称是公司的采购,想要长期合作,但希望小罗给“回扣”。一番沟通后,买家很快用另一个旺旺号拍下1万多元的宝贝并付款,随后要求小罗将说好的近2000元“回扣”转给他。
小罗转了回扣后,对方却申请了退款,因为“回扣”是通过支付宝直接转账的,无法申请退款,小罗因此损失近2000元。
1、首先第一步就是要进行登录用户的视图代码编写,然后就是进行设置name属性即可。
2、接着就是进行测试用户登录功能,这时候注意的是如果该数据库中没有该用户就提示到注册页面,让用户注册,注册后就可以登录了,如下图所示。
3、然后急速进行注册视图代码编写,设置name属性即可。
4、接着就是进行测试用户注册,然后这时候注意的是注册完后自动跳转到登录页面,如下图所示。
5、最后一步就是测试用户注册,然后这时候就可以进行注册完后自动跳转到登录页面,接着进行登入即可,如下图所示。
网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。
安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。
安全培训
人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训 *** 作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。
然而,即便是有强大的网络安全控制措施,所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节,但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”,很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地,企业也有责任执行维护网络安全的基本要求,例如保持强大的身份验证实践,以及不将敏感数据存储在可以公开访问的地方。
然而,一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言,攻击者入侵系统的方式或“向量”数正在不断扩张。例如,随着信息和现实世界的日益融合,犯罪分子和国家间谍组织正在威胁物理网络系统的ICA,如汽车、发电厂、医疗设备,甚至你的物联网冰箱。同样地,云计算的普及应用趋势,自带设备办公(BYOD)以及物联网(IoT)的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。
网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》(GDPR)这样严格的监管框架还要求赋予新的角色,以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。
如此一来,对于网络安全专业人才的需求开始进一步增长,招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是,对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。
网络安全类型
网络安全的范围非常广,但其核心领域主要如下所述,对于这些核心领域任何企业都需要予以高度的重视,将其考虑到自身的网络安全战略之中:
1关键基础设施
关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。
2网络安全(狭义)
网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如,访问控制(如额外登录)对于安全而言可能是必要的,但它同时也会降低生产力。
用于监控网络安全的工具会生成大量的数据,但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量,并实时生成威胁警告。
3云安全
越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如,2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具,以帮助企业用户能够更好地保护他们的数据,但是需要提醒大家的是:对于网络安全而言,迁移到云端并不是执行尽职调查的灵丹妙药。
4应用安全
应用程序安全(AppSec),尤其是Web应用程序安全已经成为最薄弱的攻击技术点,但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始,并通过模糊和渗透测试来增强。
应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上,考虑到威胁的扩散,这个关注点可能会发生变化。
5物联网(IoT)安全
物联网指的是各种关键和非关键的物理网络系统,例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态,且几乎不提供安全补丁,这样一来不仅会威胁到用户,还会威胁到互联网上的其他人,因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。
网络威胁类型
常见的网络威胁主要包括以下三类:
保密性攻击
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如xyk欺诈、身份盗窃、或**比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取政治、军事或经济利益方面的机密信息。
完整性攻击
一般来说,完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏,也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。
可用性攻击
阻止目标访问数据是如今勒索软件和拒绝服务(DoS)攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务(DoS)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
这些攻击的实现方式:
1社会工程学
如果攻击者能够直接从人类身上找到入口,就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件,是排名第一的攻击手段(而不是缓冲区溢出、配置错误或高级漏洞利用)。通过社会工程手段能够诱骗最终用户运行木马程序,这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。
2网络钓鱼攻击
有时候**别人密码最好的方法就是诱骗他们自己提供,这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证(2FA)成为最佳防护措施的原因——如果没有第二个因素(如硬件安全令牌或用户手机上的软件令牌认证程序),那么**到的密码对攻击者而言将毫无意义。
3未修复的软件
如果攻击者对你发起零日漏洞攻击,你可能很难去责怪企业,但是,如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间,而企业仍旧没有安装安全补丁程序,那么就难免会被指控疏忽。所以,记得补丁、补丁、补丁,重要的事说三遍!
4社交媒体威胁
“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒,通过精心编造一个优质的网络身份,目的是为了给他人留下深刻印象,尤其是为了吸引某人与其发展恋爱关系。不过,Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业****,并发起与你工作有关的谈话,您会觉得奇怪吗正所谓“口风不严战舰沉”,希望无论是企业还是国家都应该加强重视社会媒体间谍活动。
5高级持续性威胁(APT)
其实国家间谍可不只存在于国家以及政府组织之间,企业中也存在此类攻击者。所以,如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏,请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务,那么您就需要考虑自己公司的安全状况,以及如何应对复杂的APT攻击了。在科技领域,这种情况尤为显著,这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。
网络安全职业
执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过,包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升,安全部门***已经开始跻身C级管理层和董事会。现在,首席安全官(CSO)或首席信息安全官(CISO)已经成为任何正规组织都必须具备的核心管理职位。
此外,角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今,渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制(724小时)。以下是安全团队中的一些基本角色:
1首席信息安全官/首席安全官
首席信息安全官是C级管理人员,负责监督一个组织的IT安全部门和其他相关人员的 *** 作行为。此外,首席信息安全官还负责指导和管理战略、运营以及预算,以确保组织的信息资产安全。
2安全分析师
安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:
计划、实施和升级安全措施和控制措施;
保护数字文件和信息系统免受未经授权的访问、修改或破坏;
维护数据和监控安全访问;
执行内/外部安全审计;
管理网络、入侵检测和防护系统;分析安全违规行为以确定其实现原理及根本原因;
定义、实施和维护企业安全策略;
与外部厂商协调安全计划;
3安全架构师
一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同,但它也是一位高级职位,主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。
4安全工程师
安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位,其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。
网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。
安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。
安全培训
人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训 *** 作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。
然而,即便是有强大的网络安全控制措施,所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节,但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”,很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地,企业也有责任执行维护网络安全的基本要求,例如保持强大的身份验证实践,以及不将敏感数据存储在可以公开访问的地方。
然而,一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言,攻击者入侵系统的方式或“向量”数正在不断扩张。例如,随着信息和现实世界的日益融合,犯罪分子和国家间谍组织正在威胁物理网络系统的ICA,如汽车、发电厂、医疗设备,甚至你的物联网冰箱。同样地,云计算的普及应用趋势,自带设备办公(BYOD)以及物联网(IoT)的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。
网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》(GDPR)这样严格的监管框架还要求赋予新的角色,以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。
如此一来,对于网络安全专业人才的需求开始进一步增长,招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是,对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。
网络安全类型
网络安全的范围非常广,但其核心领域主要如下所述,对于这些核心领域任何企业都需要予以高度的重视,将其考虑到自身的网络安全战略之中:
1关键基础设施
关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。
2网络安全(狭义)
网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如,访问控制(如额外登录)对于安全而言可能是必要的,但它同时也会降低生产力。
用于监控网络安全的工具会生成大量的数据,但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量,并实时生成威胁警告。
3云安全
越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如,2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具,以帮助企业用户能够更好地保护他们的数据,但是需要提醒大家的是:对于网络安全而言,迁移到云端并不是执行尽职调查的灵丹妙药。
4应用安全
应用程序安全(AppSec),尤其是Web应用程序安全已经成为最薄弱的攻击技术点,但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始,并通过模糊和渗透测试来增强。
应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上,考虑到威胁的扩散,这个关注点可能会发生变化。
5物联网(IoT)安全
物联网指的是各种关键和非关键的物理网络系统,例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态,且几乎不提供安全补丁,这样一来不仅会威胁到用户,还会威胁到互联网上的其他人,因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。
网络威胁类型
常见的网络威胁主要包括以下三类:
保密性攻击
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如xyk欺诈、身份盗窃、或**比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取政治、军事或经济利益方面的机密信息。
完整性攻击
一般来说,完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏,也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。
可用性攻击
阻止目标访问数据是如今勒索软件和拒绝服务(DoS)攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务(DoS)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
这些攻击的实现方式:
1社会工程学
如果攻击者能够直接从人类身上找到入口,就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件,是排名第一的攻击手段(而不是缓冲区溢出、配置错误或高级漏洞利用)。通过社会工程手段能够诱骗最终用户运行木马程序,这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。
2网络钓鱼攻击
有时候**别人密码最好的方法就是诱骗他们自己提供,这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证(2FA)成为最佳防护措施的原因——如果没有第二个因素(如硬件安全令牌或用户手机上的软件令牌认证程序),那么**到的密码对攻击者而言将毫无意义。
3未修复的软件
如果攻击者对你发起零日漏洞攻击,你可能很难去责怪企业,但是,如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间,而企业仍旧没有安装安全补丁程序,那么就难免会被指控疏忽。所以,记得补丁、补丁、补丁,重要的事说三遍!
4社交媒体威胁
“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒,通过精心编造一个优质的网络身份,目的是为了给他人留下深刻印象,尤其是为了吸引某人与其发展恋爱关系。不过,Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业****,并发起与你工作有关的谈话,您会觉得奇怪吗正所谓“口风不严战舰沉”,希望无论是企业还是国家都应该加强重视社会媒体间谍活动。
5高级持续性威胁(APT)
其实国家间谍可不只存在于国家以及政府组织之间,企业中也存在此类攻击者。所以,如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏,请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务,那么您就需要考虑自己公司的安全状况,以及如何应对复杂的APT攻击了。在科技领域,这种情况尤为显著,这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。
网络安全职业
执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过,包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升,安全部门***已经开始跻身C级管理层和董事会。现在,首席安全官(CSO)或首席信息安全官(CISO)已经成为任何正规组织都必须具备的核心管理职位。
此外,角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今,渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制(724小时)。以下是安全团队中的一些基本角色:
1首席信息安全官/首席安全官
首席信息安全官是C级管理人员,负责监督一个组织的IT安全部门和其他相关人员的 *** 作行为。此外,首席信息安全官还负责指导和管理战略、运营以及预算,以确保组织的信息资产安全。
2安全分析师
安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:
计划、实施和升级安全措施和控制措施;
保护数字文件和信息系统免受未经授权的访问、修改或破坏;
维护数据和监控安全访问;
执行内/外部安全审计;
管理网络、入侵检测和防护系统;分析安全违规行为以确定其实现原理及根本原因;
定义、实施和维护企业安全策略;
与外部厂商协调安全计划;
3安全架构师
一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同,但它也是一位高级职位,主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。
4安全工程师
安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位,其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。
2013年国内外网络安全典型事例
案例1-1美国网络间谍活动公诸于世。2013年6月曾经参加美国安全局网络监控项目的斯诺登披露“棱镜事件”,美国秘密利用超级软件监控网络、电话或短信,包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司帮助提供漏洞参数、开放服务器等,使其轻而易举地监控有关国家机构或上百万网民的邮件、即时通话及相关数据。据称,思科参与了中国几乎所有大型网络项目的建设,涉及政府、军警、金融、海关、邮政、铁路、民航、医疗等要害部门,以及中国电信、联通等电信运营商的网络系统。
案例1-2我国网络遭受攻击近况。根据国家互联网应急中心CNCERT抽样监测结果和国家信息安全漏洞共享平台CNVD发布的数据,2013年8月19日至8月25日一周境内被篡改网站数量为5470个;境内被植入后门的网站数量为3203个;针对境内网站的仿冒页面数量为754个。被篡改政府网站数量为384个;境内被植入后门的政府网站数量为98个;针对境内网站的仿冒页面754个。感染网络病毒的主机数量约为694万个,其中包括境内被木马或被僵尸程序控制的主机约23万以及境内感染飞客(Conficker)蠕虫的主机约464万。新增信息安全漏洞150个,其中高危漏洞50个。更新信息:
案例1-3据国家互联网应急中心(CNCERT)的数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机;其中位于美国的2194台控制服务器控制了中国境内1287万台主机,无论是按照控制服务器数量还是按照控制中国主机数量排名,美国都名列第一。
案例1-4中国网络安全问题非常突出。随着互联网技术和应用的快速发展,中国大陆地区互联网用户数量急剧增加。据估计,到2020年,全球网络用户将上升至50亿户,移动用户将上升100亿户。我国2013年互联网用户数将达到648亿,移动互联网用户数达到461亿。网民规模、宽带网民数、国家顶级域名注册量三项指标仍居世界第一,互联网普及率稳步提升。然而各种 *** 作系统及应用程序的漏洞不断出现,相比西方发达国家,我国网络安全技术、互联网用户安全防范能力和意识较为薄弱,极易成为境内外黑客攻击利用的主要目标。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)