信息安全试题答案(题库)(共5篇)
一、选择
1.密码学的目的是(C)。
A.研究数据加密 B.研究数据解密
C.研究数据保密 D.研究信息安全
2.从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。A.阻止,检测,阻止,检测 B.检测,阻止,检测,阻止 C.检测,阻止,阻止,检测 D.上面3项都不是 3.数据保密性安全服务的基础是(D)。
A.数据完整性机制 B.数字签名机制
C.访问控制机制 D.加密机制
4.数字签名要预先使用单向Hash函数进行处理的原因是(C)。A.多一道加密工序使密文更难破译 B.提高密文的计算速度
C.缩小签名密文的长度,加快数字签名和验
证签名的运算速度
D.保证密文能正确还原成明文
5.基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。
A.公钥认证 B.零知识认证 C.共享密钥认证 D.口令认证
6.为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。A.分类组织成组 B.严格限制数量 C.按访问时间排序,删除长期没有访问的用户 D.不作任何限制
7.PKI管理对象不包括(A)。A.ID和口令 B.证书 C.密钥 D.证书撤消
8.下面不属于PKI组成部分的是(D)。
A.证书主体 B.使用证书的应用和系统 C.证书权威机构 D.AS 9.IKE协商的第一阶段可以采用(C)。
A.主模式、快速模式 B.快速模式、积极模式 C.主模式、积极模式 D.新组模式 10.AH协议和ESP协议有(A)种工作模式。A.二 B.三 C.四 D.五 11.(C)属于Web中使用的安全协议。
A.PEM、SSL B.S-HTTP、S/MIME C.SSL、S-HTTP D.S/MIME、SSL 12.包过滤型防火墙原理上是基于(C)进行分析的技术。A.物理层 B.数据链路层 C.网络层 D.应用层 13.VPN的加密手段为(C)。A.具有加密功能的防火墙 B.具有加密功能的路由器
C.VPN内的各台主机对各自的信息进行相应的加密 D.单独的加密设备
14.(B)通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。A.Access VPN B.Intranet VPN C.Extranet VPN D.Internet VPN 15.(C)通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的 群体连接到企业内部网。
A.Access VPN B.Intranet VPN C.Extranet VPN D.Internet VPN 16.计算机病毒是计算机系统中一类隐藏在(C)上蓄意破坏的捣乱程序。A.内存 B.软盘 C.存储介质 D.网络
17.“公开密钥密码体制”的含义是(C)。
A.将所有密钥公开 B.将私有密钥公开,公开密钥保密 C.将公开密钥公开,私有密钥保密 D.两个密钥相同 18.“会话侦听和劫持技术”是属于(B)的技术。
A.密码分析还原 B.协议漏洞渗透
C.应用漏洞分析与渗透 D.DOS攻击
19.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息 重新发往B称为(D)。
A.中间人攻击 B.口令猜测器和字典攻击 C.强力攻击 D.回放攻击
20.在ISO/OSI定义的安全体系结构中,没有规定(E)。A.对象认证服务 B.数据保密性安全服务 C.访问控制安全服务 D.数据完整性安全服务 E.数据可用性安全服务
21.Kerberos在请求访问应用服务器之前,必须(A)。A.向Ticket Granting服务器请求应用服务器ticket B.向认证服务器发送要求获得“证书”的请求 C.请求获得会话密钥
D.直接与应用服务器协商会话密钥 22.下列对访问控制影响不大的是(D)。
A.主体身份 B.客体身份
C.访问类型 D.主体与客体的类型 23.PKI的主要组成不包括(B)。
A.证书授权CA B.SSL C.注册授权RA D.证书存储库CR 24.(A)协议必须提供验证服务。
A.AH B.ESP C.GRE D.以上皆是
25.下列选项中能够用在网络层的协议是(D)。A.SSL B.PGP C.PPTP D.IPSec
26、(A)协议是一个用于提供IP数据报完整性、身份认证和可选的抗重播保护的机制,但不提供数据机密性保护。
A.AH协议 B.ESP协议 C.IPSec协议 D.PPTP协议 27.IPSec协议中负责对IP数据报加密的部分是(A)。A.封装安全负载(ESP)B.鉴别包头(AH)C.Internet密钥交换(IKE)D.以上都不是 28.SSL产生会话密钥的方式是(C)。A.从密钥管理数据库中请求获得
B.每一台客户机分配一个密钥的方式
C.随机由客户机产生并加密后通知服务器 D.由服务器产生并分配给客户机
29.为了降低风险,不建议使用的Internet服务是(D)。A.Web服务 B.外部访问内部系统 C.内部访问Internet D.FTP服务 30.火墙用于将Internet和内部网络隔离,(B)。A.是防止Internet火灾的硬件设施
B.是网络安全和信息安全的软件和硬件设施 C.是保护线路不受破坏的软件和硬件设施 D.是起抗电磁干扰作用的硬件设施 31.属于第二层的VPN隧道协议有(B)。
A.IPSec B.PPTP C.GRE D.以上皆不是 32.不属于隧道协议的是(C)。A.PPTP B.L2TP C.TCP/IP D.IPSec 33.PPTP和L2TP最适合于(D)。
A.局域网 B.企业内部虚拟网
C.企业扩展虚拟网 D.远程访问虚拟专用网
34.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是(C)。
A.KB公开(KA秘密(M’))B.KA公开(KA公开(M’))C.KA公开(KB秘密(M’))D.KB秘密(KA秘密(M’))35.从安全属性对各种网络攻击进行分类,阻断攻击是针对(B)的攻击。
A.机密性 B.可用性 C.完整性 D.真实性
11.攻击者用传输数据来冲击网络接口,使服务器过于繁忙以至于不能应答请求的攻击方 式是(A)。
A.拒绝服务攻击 B.地址欺骗攻击 C.会话劫持 D.信号包探测程序攻击 36.(D)不属于ISO/OSI安全体系结构的安全机制。
A.通信业务填充机制 B.访问控制机制 C.数字签名机制 D.审计机制 E.公证机制 37.CA属于ISO安全体系结构中定义的(D)。A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制
38.访问控制是指确定(A)以及实施访问权限的过程。A.用户权限 B.可给予哪些主体访问权利 C.可被用户访问的资源 D.系统是否遭受入侵 39.PKI支持的服务不包括(D)。
A.非对称密钥技术及证书管理 B.目录服务
C.对称密钥的产生和分发 D.访问控制服务 40.AH协议中必须实现的验证算法是(A)。
A.HMAC-MD5和HMAC-SHA1 B.NULL C.HMAC-RIPEMD-160 D.以上皆是 41.对动态网络地址交换(NAT),不正确的说法是(B)。A.将很多内部地址映射到单个真实地址 B.外部网络地址和内部地址一对一的映射 C.最多可有64000个同时的动态NAT连接 D.每个连接使用一个端口 42.GRE协议的乘客协议是(D)。
A.IP B.IPX C.AppleTalk D.上述皆可 43.目前,VPN使用了(A)技术保证了通信的安全性。隧道协议、身份认证和数据加密 身份认证、数据加密 隧道协议、身份认证
隧道协议、数据加密
44.IPSec VPN不太适合用于(C)。已知范围的IP地址的网络 固定范围的IP地址的网络 动态分配IP地址的网络 TCP/IP协议的网络
45.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(A)。A.对称加密技术 B.分组密码技术
C.公钥加密技术 D.单向函数密码技术
46.从安全属性对各种网络攻击进行分类,截获攻击是针对(A)的攻击。A.机密性 B.可用性 C.完整性 D.真实性 47.最新的研究和统计表明,安全攻击主要来自(B)。
A.接入网 B.企业内部网 C.公用IP网 D.个人网 48.用于实现身份鉴别的安全机制是(A)。A.加密机制和数字签名机制 B.加密机制和访问控制机制 C.数字签名机制和路由控制机制
D.访问控制机制和路由控制机制
49.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是(B)。A.身份鉴别是授权控制的基础
B.身份鉴别一般不用提供双向的认证
C.目前一般采用基于对称密钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 50.PKI能够执行的功能是(A)和(C)。A.鉴别计算机消息的始发者 B.确认计算机的物理位置 C.保守消息的机密 D.确认用户具有的安全性特权 51.IKE协议由(A)协议混合而成。
A.ISAKMP、Oakley、SKEME B.AH、ESP C.L2TP、GRE D.以上皆不是 52.一般而言,Internet防火墙建立在一个网络的(C)。A.内部子网之间传送信息的中枢 B.每个子网的内部
C.内部网络与外部网络的交叉点 D.部分内部网络与外部网络的结合处 53.VPN的英文全称是(B)。
A.Visual Protocol Network B.Virtual Private Network C.Virtual Protocol Network D.Visual Private Network 54.L2TP隧道在两端的VPN服务器之间采用(A)来验证对方的身份。A.口令握手协议CHAP B.SSL C.Kerberos D.数字证书 55.信息安全的基本属性是(D)。A.机密性 B.可用性
C.完整性 D.上面3项都是
56.ISO安全体系结构中的对象认证服务,使用(B)完成。A.加密机制 B.数字签名机制 C.访问控制机制 D.数据完整性机制 57.Kerberos的设计目标不包括(B)。
A.认证 B.授权 C.记账 D.审计 58.IPSec协议和(C)VPN隧道协议处于同一层。
A.PPTP B.L2TP C.GRE D.以上皆是
59.传输层保护的网络采用的主要技术是建立在(A)基础上的(A)。A.可靠的传输服务,安全套接字层SSL协议 B.不可靠的传输服务,S-HTTP协议 C.可靠的传输服务,S-HTTP协议
D.不可靠的传输服务,安全套接字层SSL协议 60.以下(D)不是包过滤防火墙主要过滤的信息?
A.源IP地址 B.目的IP地址 C.TCP源端口和目的端口 D.时间 61.将公司与外部供应商、客户及其他利益相关群体相连接的是(B)。
A.内联网VPN B.外联网VPN C.远程接入VPN D.无线VPN 62.窃听是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接收站之间。截获是一种(A)攻击,攻击者(A)将自己的系统插入到发送站和接受站之间。A.被动,无须,主动,必须 B.主动,必须,被动,无须 C.主动,无须,被动,必须 D.被动,必须,主动,无须
63.(C)是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是 KDC。
A.TACACS B.RADIUS C.Kerberos D.PKI 64.下列协议中,(A)协议的数据可以受到IPSec的保护。A.TCP、UDP、IP B.ARP C.RARP D.以上皆可以
65、(D)协议主要由AH、ESP和IKE协议组成。
A.PPTP B.L2TP C.L2F D.IPSec 66.PPTP、L2TP和L2F隧道协议属于(B)协议。
A.第一层隧道 B.第二层隧道 C.第三层隧道 D.第四层隧道 67.机密性服务提供信息的保密,机密性服务包括(D)。A.文件机密性 B.信息传输机密性 C.通信流的机密性 D.以上3项都是 68.不属于VPN的核心技术是(C)。
A.隧道技术 B.身份认证 C.日志记录 D.访问控制
69.(A)通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部 网的远程访问。
A.Access VPN B.Intranet VPN C.Extranet VPN D.Internet VPN 70.拒绝服务攻击的后果是(E)。A.信息不可用 B.应用程序不可用 C.系统宕机 D.阻止通信 E.上面几项都是 71.通常所说的移动VPN是指(A)。
A.Access VPN B.Intranet VPN C.Extranet VPN D.以上皆不是
二、填空
1. 密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。2. 解密算法D是加密算法E的 逆运算。
3. 如果加密密钥和解密密钥 相同,这种密码体制称为对称密码体制。4. DES算法密钥是 64 位,其中密钥有效位是 56 位。5. RSA算法的安全是基于 分解两个大素数的积 的困难。
6. 公开密钥加密算法的用途主要包括两个方面:密钥分配、数字签名。7. 消息认证是 验证信息的完整性,即验证数据在传送和存储过程中是否被篡改、重放或延迟等。
8. Hash函数是可接受 变长 数据输入,并生成 定长 数据输出的函数。
9. 密钥管理的主要内容包括密钥的 生成、分配、使用、存储、备份、恢复和销毁。
10. 密钥生成形式有两种:一种是由 中心集中 生成,另一种是由 个人分散 生成。
11. 密钥的分配是指产生并使使用者获得 密钥 的过程。12. 密钥分配中心的英文缩写是 KDC。
13. 数字签名 是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术。
14. 身份认证是 验证信息发送者是真的,而不是冒充的,包括信源、信宿等的认证和识别。
15. 访问控制 的目的是为了限制访问主体对访问客体的访问权限。
16. 防火墙是位于两个 网络之间,一端是 内部网络,另一端是 外部网络。
17. 防火墙系统的体系结构分为 双宿主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。18. IDS的物理实现不同,按检测的监控位置划分,入侵检测系统可分为基于 主机的入侵检测系统、基于 网络的入侵检测系统 和 分布式入侵检测系统。
19. 计算机病毒的5个特征是:主动传染性、破坏性、寄生性(隐蔽性)、潜伏性、多态性。
20. 恶意代码的基本形式还有 后门、逻辑炸弹、特洛伊木马、蠕虫、细菌。21. 蠕虫是通过 网络 进行传播的。
22. 计算机病毒的工作机制有潜伏机制、传染机制、表现机制。
三、问答题
1.简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。
主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。
2.简述对称密钥密码体制的原理和特点。
对称密钥密码体制,对于大多数算法,解密算法是加密算法的逆运算,加密密钥和解密密钥相同,同属一类的加密体制。它保密强度高但开放性差,要求发送者和接收者在安全通信之前,需要有可靠的密钥信道传递密钥,而此密钥也必须妥善保管。
4.什么是序列密码和分组密码?
序列密码是一种对明文中的单个位(有时对字节)运算的算法。分组密码是把明文信息
分割成块结构,逐块予以加密和解密。块的长度由算法设计者预先确定。
5.简述公开密钥密码机制的原理和特点?
公开密钥密码体制是使用具有两个密钥的编码解码算法,加密和解密的能力是分开的;
这两个密钥一个保密,另一个公开。根据应用的需要,发送方可以使用接收方的公开密钥加密消息,或使用发送方的私有密钥签名消息,或两个都使用,以完成某种类型的密码编码解码功能。
6.什么是MD5?
MD消息摘要算法是由Rivest提出,是当前最为普遍的Hash算法,MD5是第5个版本,该算法以一个任意长度的消息作为输入,生成128位的消息摘要作为输出,输入消息是按512位的分组处理的。
第二章
安全问题概述
一、选择题
二、问答题
1.请解释5种“窃取机密攻击”方式的含义。
1)网络踩点(Footprinting)
攻击者事先汇集目标的信息,通常采用Whois、Finger、Nslookup、Ping等工具获得目标的一些信息,如域名、IP地址、网络拓扑结构、相关的用户信息等,这往往是黑客入侵所做的第一步工作。2)扫描攻击(Scanning)
这里的扫描主要指端口扫描,通常采用Nmap等各种端口扫描工具,可以获得目标计算
机的一些有用信息,比如机器上打开了哪些端口,这样就知道开设了哪些网络服务。黑客
就可以利用这些服务的漏洞,进行进一步的入侵。这往往是黑客入侵所做的第二步工作。
3)协议栈指纹(Stack Fingerprinting)鉴别(也称操作系统探测)
黑客对目标主机发出探测包,由于不同OS厂商的IP协议栈实现之间存在许多细微差别,因此每种OS都有其独特的响应方法,黑客经常能够确定目标主机所运行的OS。这往往也可
以看作是扫描阶段的一部分工作。4)信息流嗅探(Sniffering)
通过在共享局域网中将某主机网卡设置成混杂(Promiscuous)模式,或在各种局域网
中某主机使用ARP欺骗,该主机就会接收所有经过的数据包。基于这样的原理,黑客可以
使用一个嗅探器(软件或硬件)对网络信息流进行监视,从而收集到帐号和口令等信息。
这是黑客入侵的第三步工作。5)会话劫持(Session Hijacking)
所谓会话劫持,就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是
在数据流里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成交由 黑客中转。这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。
2.请解释5种“非法访问”攻击方式的含义。
1)口令破解
攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得
口令,也可通过猜测或窃听等方式获取口令,从而进入系统进行非法访问,选择安全的口
令非常重要。这也是黑客入侵中真正攻击方式的一种。2)IP欺骗
攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任,这主要针对Linux
UNIX下建立起IP地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。3)DNS欺骗
当DNS服务器向另一个DNS服务器发送某个解析请求(由域名解析出IP地址)时,因
为不进行身份验证,这样黑客就可以冒充被请求方,向请求方返回一个被篡改了的应答(IP 地址),将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一种。4)重放(Replay)攻击
在消息没有时间戳的情况下,攻击者利用身份认证机制中的漏洞先把别人有用的消息
记录下来,过一段时间后再发送出去。5)特洛伊木马(Trojan Horse)
把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,而一
旦用户触发正常程序,黑客代码同时被激活,这些代码往往能完成黑客早已指定的任务(如
监听某个不常用端口,假冒登录界面获取帐号和口令等)。
3.请解释下列各种“恶意攻击DoS”的方式:
Ping of Death、Teardrop、SYN Flood、Land Attack、Smurf Attack、DDoS攻击
1)Ping of Death
在早期操作系统TCP/IP协议栈实现中,对单个IP报文的处理过程中通常是设置有一定
大小的缓冲区(65535Byte),以应付IP分片的情况。接收数据包时,网络层协议要对IP分
片进行重组。但如果重组后的数据报文长度超过了IP报文缓冲区的上限时,就会出现溢出
现象,导致TCP/IP协议栈的崩溃。2)泪滴(Teardrop)
协议栈在处理IP分片时,要对收到的相同ID的分片进行重组,这时免不了出现一些重
叠现象,分片重组程序要对此进行处理。对一个分片的标识,可以用offset表示其在整个包
中的开始偏移,用end表示其结束偏移。对于其他一些重叠情况,分片重组程序都能很好地
处理,但对于一种特殊情况,分片重组程序就会出现致命失误,即第二个分片的位置整个
包含在第一个分片之内。
分片重组程序中,当发现offset2小于end1时,会将offset2调整到和end1相同,然后更改
len2:len2=end2-offset2,在这里,分片重组程序想当然地认为分片2的末尾偏移肯定是大
于其起始偏移的,但在这种情况下,分片2的新长度len2变成了一个负值,这在随后的处理
过程中将会产生致命的操作失误。3)SYN Flood
一个正常的TCP连接,需要经过三次握手过程才能真正建立。但是如果客户端不按常
规办事(假定源IP根本就是一个不会产生响应的虚假地址),并不向服务器最终返回三次
握手所必须的ACK包,这种情况下服务器对于未完成连接队列中的每个连接表项都设置一
个超时定时器,一旦超时时间到,则丢弃该表项。
但黑客并不会只发送一次这样的SYN包,如果他源源不断发送,每个SYN包的源IP都
是随机产生的一些虚假地址(导致受害者不可能再进行IP过滤或追查攻击源),受害者的
目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快,所以直到该队列
满为止,正常的连接请求将不会得到响应。4)Land Attack
如果向Windows 95的某开放端口(例如139端口)发送一个包含SYN标识的特殊的TCP 数据包,将导致目标系统立即崩溃。做法很简单,就是设置该SYN包的源IP为目标主机的
IP,源端口为目标主机受攻击的端口。5)Smurf Attack
黑客以受害主机的名义向某个网络地址发送ICMP echo请求广播,收到该ICMPecho请求的网络中的所有主机都会向“无辜”的受害主机返回ICMP echo响应,使得受害主机应接不暇,导致其对正常的网络应用拒绝服务。6)DDoS攻击
DDoS攻击是DoS攻击的一种延伸,它之所以威力巨大,是因为其协同攻击的能力。黑客使用DDoS工具,往往可以同时控制成百上千台攻攻击源,向某个单点目标发动攻击,它还可以将各种传统的DoS攻击手段结合使用。
4.了解下列各种攻击方式:
UDP Flood、Fraggle Attack、电子邮件炸弹、缓冲区溢出攻击、社交工程
1)UDP Flood
有些系统在安装后,没有对缺省配置进行必要的修改,使得一些容易遭受攻击的服务端口对外敞开着。Echo服务(TCP7和UDP7)对接收到的每个字符进行回送;Chargen(TCP19和UDP19)对每个接收到的数据包都返回一些随机生成的字符(如果是与Chargen服务在TCP19端口建立了连接,它会不断返**字符直到连接中断)。
黑客一般会选择两个远程目标,生成伪造的UDP数据包,目的地是一台主机的Chargen服务端口,来源地假冒为另一台主机的Echo服务端口。这样,第一台主机上的Chargen服务返回的随机字符就发送给第二台主机的Echo服务了,第二台主机再回送收到的字符,如此反复,最终导致这两台主机应接不暇而拒绝服务,同时
造成网络带宽的损耗。
2)Fraggle Attack它对Smurf Attack做了简单的修改,使用的是UDP应答消息而非ICMP。
3)电子邮件炸弹
黑客利用某个“无辜”的邮件服务器,持续不断地向攻击目标(邮件地址)发送垃圾邮件,很可能“撑破”用户的信箱,导致正常邮件的丢失。4)缓冲区溢出攻击
十多年来应用非常广泛的一种攻击手段,近年来,许多著名的安全漏洞都与缓冲区溢出有关。
所谓缓冲区溢出,就是由于填充数据越界而导致程序原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获得系统的控制权。5)社交工程(Social Engineering)
一种低技术含量破坏网络安全的有效方法,但它其实是高级黑客技术的一种,往往使得处在看似严密防护下的网络系统出现致命的突破口。这种技术是利用说服或欺骗的方式,让网络内部的人(安全意识薄弱的职员)来提供必要的信息,从而获得对信息系统的访问。
6.请解释下列网络信息安全的要素:
保密性、完整性、可用性、可存活性
第三章
安全体系结构与模型
一、选择题
三、问答题
1.列举并解释ISO/OSI中定义的5种标准的安全服务。
(1)鉴别
用于鉴别实体的身份和对身份的证实,包括对等实体鉴别和数据原发鉴别两种。
(2)访问控制
提供对越权使用资源的防御措施。(3)数据机密性
针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。(4)数据完整性
防止非法篡改信息,如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。(5)抗否认
是针对对方否认的防范措施,用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。
2.解释六层网络安全体系中各层安全性的含义。
1.物理安全
防止物理通路的损坏、窃听和攻击(干扰等),保证物理安全是整个网络安全的前提,包括环境安全、设备安全和媒体安全三个方面。2.链路安全
保证通过网络链路传送的数据不被窃听,主要针对公用信道的传输安全。在公共链路上采用一定的安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、流量分析等攻击。3.网络级安全
需要从网络架构(路由正确)、网络访问控制(防火墙、安全网关、VPN)、漏洞扫描、网络监控与入侵检测等多方面加以保证,形成主动性的网络防御体系。4.信息安全
包括信息传输安全(完整性、机密性、不可抵赖和可用性等)、信息存储安全(数据备份和恢复、数据访问控制措施、防病毒)和信息(内容)审计。5.应用安全
包括应用平台(OS、数据库服务器、Web服务器)的安全、应用程序的安全。6.用户安全
用户合法性,即用户的身份认证和访问控制。
9.Windows 2000 Server属于哪个安全级别,为什么?
Windows 2000 Server属于C2级。因为它有访问控制、权限控制,可以避免非授权访问,并通过注册提供对用户事件的跟踪和审计。
第八章
密钥分配与管理
一、填空题
二、问答题
5.KDC在密钥分配过程中充当何种角色?
KDC在密钥分配过程中充当可信任的第三方。KDC保存有每个用户和KDC之间共享的唯一密钥,以便进行分配。在密钥分配过程中,KDC按照需要生成各对端用户之间的会话密钥,并由用户和KDC共享的密钥进行加密,通过安全协议将会话密钥安全地传送给需要进行通信的双方。
第十章
数字签名与鉴别协议
一、选择题
二、填空题
三、问答题
1.数字签名有什么作用?
当通信双方发生了下列情况时,数字签名技术必须能够解决引发的争端:
• 否认,发送方不承认自己发送过某一报文。
• 伪造,接收方自己伪造一份报文,并声称它来自发送方。• 冒充,网络上的某个用户冒充另一个用户接收或发送报文。• 篡改,接收方对收到的信息进行篡改。
2.请说明数字签名的主要流程。
数字签名通过如下的流程进行:
(1)采用散列算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要(Message Digest),不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是惟一的。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,这样就保证了报文的不可更改性。
(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3)这个数字签名将作为报文的附件和报文一起发送给接收方。
(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改。
3.数字证书的原理是什么?
数字证书采用公开密钥体制(例如RSA)。每个用户设定一仅为本人所知的私有密钥,用它进行解密和签名;同时设定一公开密钥,为一组用户所共享,用于加密和验证签名。
采用数字证书,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。
(2)保证信息自签发后到收到为止未曾做过任何修改,签发的信息是真实信息。
4.报文鉴别有什么作用,公开密钥加密算法相对于常规加密算法有什么优点?
报文鉴别往往必须解决如下的问题:(1)报文是由确认的发送方产生的。(2)报文的内容是没有被修改过的。
(3)报文是按传送时的相同顺序收到的。(4)报文传送给确定的对方。
一种方法是发送方用自己的私钥对报文签名,签名足以使任何人相信报文是可信的。另一种方法常规加密算法也提供了鉴别。但有两个问题,一是不容易进行常规密钥的分发,二是接收方没有办法使第三方相信该报文就是从发送方送来的,而不是接收方自己伪造的。
因此,一个完善的鉴别协议往往考虑到了报文源、报文宿、报文内容和报文时间性的鉴别。
第十二章
身份认证
一、选择题
二、填空题
三、问答题
1.解释身份认证的基本概念。
身份认证是指用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。
身份认证是安全系统中的第一道关卡,识别身份后,由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破,系统的所有安全措施将形同虚设,黑客攻击的目标往往就是身份认证系统。
2.单机状态下验证用户身份的三种因素是什么?
(1)用户所知道的东西:如口令、密码。(2)用户所拥有的东西:如智能卡、身份证。
(3)用户所具有的生物特征:如指纹、声音、视网膜扫描、DNA等。
4.了解散列函数的基本性质。
散列函数H必须具有性质: • H能用于任何长度的数据分组; • H产生定长的输出;
• 对任何给定的x,H(x)要相对容易计算;
• 对任何给定的码h,寻找x使得H(x)=h在计算上
是不可行的,称为单向性; • 对任何给定的分组x,寻找不等于x的y,使得H(y)=H(x)在计算上是不可行的,称为弱抗冲突(Weak Collision Resistance);
• 寻找对任何的(x,y)对,使得H(y)=H(x)在计算上是不可行的,称为强抗冲突(Strong Collision Resistance)。
12.了解Kerberos系统的优点。
(1)安全:网络窃听者不能获得必要信息以假冒其他用户,Kerberos应足够强壮以致于潜在 的敌人无法找到它的弱点连接。
(2)可靠:Kerberos应高度可靠并且应借助于—个分布式服务器体系结构,使得一个系统能
够备份另一个系统。
(3)透明:理想情况下用户除了要求输入口令以外应感觉不到认证的发生。(4)可伸缩:系统应能够支持大数量的客户和服务器,这意味着需要一个模块化的分布式结
构。
第十三章
授权与访问控制
一、选择题
二、填空题
三、问答题
1.解释访问控制的基本概念。
访问控制是建立在身份认证基础上的,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。
访问控制的目的:限制主体对访问客体的访问权限(安全访问策略),从而使计算机系统在合法范围内使用。
2.访问控制有几种常用的实现方法?它们各有什么特点? 访问控制矩阵
行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限。通常一个文件的Own权限表示可以授予(Authorize)或撤消(Revoke)其他用户对该文件的访问控制权限。2 访问能力表
实际的系统中虽然可能有很多的主体与客体,但两者之间的权限关系可能并不多。为了减轻系统的开销与浪费,我们可以从主体(行)出发,表达矩阵某一行的信息,这就是访问能力表(Capabilities)。
只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。但是要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,于是出现了以客体为出发点的实现方式——ACL。3 访问控制表
也可以从客体(列)出发,表达矩阵某一列的信息,这就是访问控制表(Access Control List)。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权。4 授权关系表
授权关系表(Authorization Relations)的每一行表示了主体和客体的一个授权关系。对表按客体进行排序,可以得到访问控制表的优势;对表按主体进行排序,可以得到访问能力表的优势。适合采用关系数据库来实现。
8.为什么MAC能阻止特洛伊木马?
MAC能够阻止特洛伊木马。一个特洛伊木马是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体的权限违反安全策略,通过伪装成有用的程序在进程中泄露信息。
阻止特洛伊木马的策略是基于非循环信息流,由于MAC策略是通过梯度安全标签实现信息的单向流通,从而它可以很好地阻止特洛伊木马的泄密。
第十四章
PKI技术
一、选择题
二、问答题
2.什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点?
数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。
3.X.509规范中是如何定义实体A信任实体B的?在PKI中信任又是什么具体含义?
X.509规范中给出了适用于我们目标的定义: 当实体A假定实体B严格地按A所期望的那样行 动,则A信任B。在PKI中,我们可以把这个定 义具体化为:如果一个用户假定CA可以把任一 公钥绑定到某个实体上,则他信任该CA。4.有哪4种常见的信任模型?
1.认证机构的严格层次结构模型
认证机构(CA)的严格层次结构可以被描绘为一棵倒置的树,根代表一个对整个PKI系统的所有实体都有特别意义的CA——通常叫做根CA(Root CA),它充当信任的根或“信任锚(Trust Anchor)”——也就是认证的起点或终点。2.分布式信任结构模型
分布式信任结构把信任分散在两个或多个CA上。也就是说,A把CA1作为他的信任锚,而B可以把CA2做为他的信任锚。因为这些CA都作为信任锚,因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA。3.Web模型
Web模型依赖于流行的浏览器,许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组CA,浏览器用户最初信任这些CA并将它们作为证书检验的根。从根本上讲,它更类似于认证机构的严格层次结构模型,这是一种有隐含根的严格层次结构。
4.以用户为中心的信任模型
每个用户自己决定信任哪些证书。通常,用户的最初信任对象包括用户的朋友、家人或同事,但是否信任某证书则被许多因素所左右。
9.CA有哪些具体的职责?
• 验证并标识证书申请者的身份。
• 确保CA用于签名证书的非对称密钥的质量。
• 确保整个签证过程的安全性,确保签名私钥的安全性。• 证书材料信息(包括公钥证书序列号、CA标识等)的管理。•
确定并检查证书的有效期限。
• 确保证书主体标识的惟一性,防止重名。• 发布并维护作废证书表(CRL)。• 对整个证书签发过程做日志记录。• 向申请人发通知。
其中最为重要的是CA自己的一对密钥的管理,它必须确保高度的机密性,防止他方伪造证书。
12.什么是X.500目录服务?
X.500是一种CCITT针对已经被ISO接受的目录服务系统的建议,它定义了一个机构如何在一个企业的全局范围内共享名字和与它们相关的对象。
一个完整的X.500系统称为一个“目录”,X.500是层次性的,其中的管理性域(机构、分支、部门和工作组)可以提供这些域内的用户和资源的信息。它被认为是实现一个目录服务的最好途径。
X.500目录服务是一种用于开发一个单位内部人员目录的标准方法,这个目录可以成为全球目录的一部分,任何人都可以查询这个单位中人员的信息。这个目录有一个树型结构:国家,单位(或组织),部门和个人。一个知名和最大的X.500目录是用于管理域名注册的InterNIC。
X.500目录服务可以向需要访问网络任何地方资源的电子函件系统和应用,或需要知道在网络上的实体名字和地点的管理系统提供信息。这个目录是一个目录信息数据库(DIB)。
13.什么是X.509方案,它是如何实现数字签名的?
X.509是一种行业标准或者行业解决方案——X.509公共密钥证书,在X.509方案中,默认的加密体制是公钥密码体制。
为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(指纹)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。
16.实施PKI的过程中产生了哪些问题,如何解决?
首先是实施的问题,PKI定义了严格的操作协议和信任层次关系。任何向CA申请数字证书的人必须经过线下(offline)的身份验证(通常由RA完成),这种身份验证工作很难扩展到整个Internet范围,因此,现今构建的PKI系统都局限在一定范围内,这造成了PKI系统扩展问题。
由于不同PKI系统都定义了各自的信任策略,在进行互相认证的时候,为了避免由于信任策略不同而产生的问题,普遍的做法是忽略信任策略。这样,本质上是管理Internet上的信任关系的PKI就仅仅起到身份验证的作用了。
提出用PMI解决。18.叙述基于X.509数字证书在PKI中的作用。
X.509数字证书是各实体在网络中的身份证明,它证书了实体所声明的身份与其公钥的匹配关系。从公钥管理的机制讲,数字证书是非对称密码体制中密钥管理的媒介。即在非对称密码体制中,公钥的分发、传送是通过数字证书来实现的。通过数字证书,可以提供身份的认证与识别,完整性、保密性和不可否认等安全服务。
第十五章
IP的安全
一、选择题
二、问答题
1.IPSec和IP协议以及VPN的关系是什么?
IPSec是一种由IETF设计的端到端的确保IP层通信安全的机制。不是一个单独的协议,而是一组协议。IPSec是随着IPv6的制定而产生的,后来也增加了对IPv4的支持。在前者中是必须支持的,在后者中是可选的。
IPSec作为一个第三层隧道协议实现了VPN通信,可以为IP网络通信提供透明的安全服务,免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。
2.IPSec包含了哪3个最重要的协议?简述这3个协议的主要功能?
IPSec众多的RFC通过关系图组织在一起,它包含了三个最重要的协议:AH、ESP、IKE。
(1)AH为IP数据包提供如下3种服务:无连接的数据完整性验证、数据源身份认证和防重放攻击。数据完整性验证通过哈希函数(如MD5)产生的校验来保证;数据源身份认证通过在计算验证码时加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
(2)ESP除了为IP数据包提供AH已有的3种服务外,还提供数据包加密和数据流加密。数据包加密是指对一个IP包进行加密(整个IP包或其载荷部分),一般用于客户端计算机;数据流加密一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始数据包继续转发。
AH和ESP可以单独使用,也可以嵌套使用。可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
(3)IKE负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。解释域(DOI)为使用IKE进行协商SA的协议统一分配标识符。
第十六章
电子邮件的安全
一、问答题
1.电子邮件存在哪些安全性问题?
1)垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。垃圾邮件会增加网络负荷,影响网络传输速度,占用邮件服务器的空间。
2)诈骗邮件通常指那些带有恶意的欺诈性邮件。利用电子邮件的快速、便宜,发信人能迅速让大量受害者上当。
3)邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为,信箱不能承受时就会崩溃。4)通过电子邮件传播的病毒通常用VBScript编写,且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后,病毒会查询他的通讯簿,给其上所有或部分人发信,并将自身放入附件中,以此方式继续传播扩散。
2.端到端的安全电子邮件技术,能够保证邮件从发出到接收的整个过程中的哪三种安全性?
端到端的安全电子邮件技术,保证邮件从被发出到被接收的整个过程中,内容保密、无法修改、并且不可否认。目前的Internet上,有两套成型的端到端安全电子邮件标准:PGP和S/MIME。它一般只对信体进行加密和签名,而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。
3.画图说明PGP的工作原理。
第十七章
Web与电子商务的安全
一、选择题
二、问答题
1.讨论一下为什么CGI出现的漏洞对Web服务器的安全威胁最大?
相比前面提到的问题,CGI可能出现的漏洞很多,而被攻破后所能造成的威胁也很大。程序设计人员的一个简单的错误或不规范的编程就可能为系统增加一个安全漏洞。一个故意放置的有恶意的CGI程序能够自由访问系统资源,使系统失效、删除文件或查看顾客的保密信息(包括用户名和口令)。
3.比较JavaApplet和ActiveX实现安全性的不同。
JavaApplet就是活动内容的一种。它使用Java语言开发,可以实现各种各样的客户端应用。这些Applet随页面下载下来,只要浏览器兼容Java,它就可在客户机上自动运行。Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制JavaApplet的活动。
ActiveX是另一种活动内容的形式,可以用许多程序设汁语言来开发,但它只能运行在安装Windows的计算机上。ActiveX在安全性方面不如JavaApplet。一旦下载,它就能像其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这是非常危险的。
4.说明SSL的概念和功能。
安全套接层协议SSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输。它是Netscape公司提出的基于Web应用的安全协议,它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL通过在浏览器软件和Web服务器之间建立一条安全通道,实现信息在Internet中传送的保密性。
在TCP/IP协议族中,SSL位于TCP层之上、应用层之下。这使它可以独立于应用层,从而使应用层协议可以直接建立在SSL之上。SSL协议包括以下一些子协议;SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。SSL记录协议建立在可靠的传输协议(例如TCP)上,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。
5.什么是SET电子钱包?
SET交易发生的先决条件是,每个持卡人(客户)必须拥有一个惟一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET电子钱包。
9.简述SSL的记录协议和握手协议。
SSL记录协议是建立在可靠的传输协议(如TCP)之上,为更高层提供基本的安全服
务,如提供数据封装、眼所、加密等基本功能的支持。
SSL记录协议用来定义数据传输的格式,它包括的记录头和记录数据格式的规定。在SSL协议中,所有的传输数据都被封装在记录中。
SSL握手协议负责建立当前会话状态的参数。双方协商一个协议版本,选择密码算法,相互认证(不是必须的),并且使用公钥加密技术通过一系列交换的消息在客户端和服务器之间生成共享密钥。
第十八章
防火墙技术
一、选择题
二、填空题
三、问答题
1.什么是防火墙,为什么需要有防火墙?
防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。
防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。
2.防火墙应满足的基本条件是什么?
作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:
(1)内部网络和外部网络之间的所有数据流必须经过防火墙。(2)只有符合安全策略的数据流才能通过防火墙。
(3)防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。
3.列举防火墙的几个基本功能?
(1)隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。
(2)防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。
(3)防火墙可以作为部署NAT的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。
(4)防火墙是审计和记录Internet使用费用的一个最佳地点。(5)防火墙也可以作为IPSec的平台。
(6)内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。
1.包过滤防火墙的过滤原理是什么?
包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。
这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。在制定数据包过滤规则时,一定要注意数据包是双向的。
2.状态检测防火墙的原理是什么,相对包过滤防火墙有什么优点?
状态检测又称动态包过滤,所以状态检测防火墙又称动态防火墙,最早由CheckPoint提出。
状态检测是一种相当于4、5层的过滤技术,既提供了比包过滤防火墙更高的安全性和更灵活的处理,也避免了应用层网关的速度降低问题。要实现状态检测防火墙,最重要的是实现连接的跟踪功能,并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”,以决定是否让来自Internet的包通过或丢弃。
3.应用层网关的工作过程是什么?它有什么优缺点?
主要工作在应用层,又称为应用层防火墙。它检查进出的数据包,通过自身复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议,能够做复杂的访问控制,并做精细的注册和审核。
基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
常用的应用层网关已有相应的代理服务软件,如HTTP、SMTP、FTP、Telnet等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络层防火墙和一般的代理服务。
应用层网关有较好的访问控制能力,是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦,有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络层防火墙。
4.代理服务器有什么优缺点?
代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实施更细粒度的访问控制;较强的数据流监控和报告功能。(主机认证和用户认证)缺点是对每一类应用都需要一个专门的代理,灵活性不够;每一种网络应用服务的安全问题各不相同,分析困难,因此实现困难。速度慢。5.什么是堡垒主机,它有什么功能?
堡垒主机(Bastion Host)的硬件是一台普通的主机(其操作系统要求可靠性好、可配置性好),它使用软件配置应用网关程序,从而具有强大而完备的功能。它是内部网络和Internet之间的通信桥梁,它中继(不允许转发)所有的网络通信服务,并具有认证、访问控制、日志记录、审计监控等功能。它作为内部网络上外界惟一可以访问的点,在整个防火墙系统中起着重要的作用,是整个系统的关键点。
6.什么是双宿主机模式,如何提高它的安全性?
双宿主主机模式是最简单的一种防火墙体系结构,该模式是围绕着至少具有两个网络接口的堡垒主机构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信(不能直接转发)。双宿主主机可以通过代理或让用户直接到其上注册来提供很高程度的网络控制。
由于双宿主机直接暴露在外部网络中,如果入侵者得到了双宿主主机的访问权(使其成为一个路由器),内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。
7.边界防火墙有哪些缺陷?分布式防火墙的组成是什么,它有哪些优势?
首先是结构性限制。随着企业业务规模的扩大,数据信息的增长,使得企业网的边界已成为一个逻辑边界的概念,物理的边界日趋模糊,因此边界防火墙的应用受到越来越多的结构性限制。
其次是内部威胁。当攻击来自信任的地带时,边界防火墙自然无法抵御,被攻击在所难免。
最后是效率和故障。边界防火墙把检查机制集中在网络边界处的单点上,一旦被攻克,整个内部网络将完全暴露在外部攻击者面前。分布式防火墙是三部分组成的立体防护系统:
1)网络防火墙(Network Firewall):它承担着传统边界防火墙看守大门的职责; 2)主机防火墙(Host Firewall):它解决了边界防火墙不能很好解决的问题(例如来自内部的攻击和结构限制等);
3)集中管理(Central Management):它解决了由分布技术而带来的管理问题。
分布式防火墙的优势主要有:
(1)保证系统的安全性。分布式防火墙技术增加了针对主机的入侵检测和防护功能,加强了对来自于内部的攻击的防范,对用户网络环境可以实施全方位的安全策略,并提供了多层次立体的防范体系。(2)保证系统性能稳定高效。消除了结构性瓶颈问题,提高了系统整体安全性能。(3)保证系统的扩展性。伴随网络系统扩充,分布式防火墙技术可为安全防护提供强大的扩充能力。
第十九章
VPN技术
一、选择题
二、问答题
1.解释VPN的基本概念。
VPN是Virtual Private Network的缩写,是将物理分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
Virtual是针对传统的企业“专用网络”而言的。VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但它却可以提供和专用网络同样的功能。
Private表示VPN是被特定企业或用户私有的,公共网络上只有经过授权的用户才可以使用。在该通道内传输的数据经过了加密和认证,保证了传输内容的完整性和机密性。
3.简述VPN使用了哪些主要技术。
1)隧道(封装)技术是目前实现不同VPN用户业务区分的基本方式。一个VPN可抽象为一个没有自环的连通图,每个顶点代表一个VPN端点(用户数据进入或离开VPN的设备端口),相邻顶点之间的边表示连结这两对应端点的逻辑通道,即隧道。
隧道以叠加在IP主干网上的方式运行。需安全传输的数据分组经一定的封装处理,从信源的一个VPN端点进入VPN,经相关隧道穿越VPN(物理上穿越不安全的互联网),到达信宿的另一个VPN端点,再经过相应解封装处理,便得到原始数据。(不仅指定传送的路径,在中转节点也不会解析原始数据)
2)当用户数据需要跨越多个运营商的网络时,在连接两个独立网络的节点该用户的数据分组需要被解封装和再次封装,可能会造成数据泄露,这就需要用到加密技术和密钥管理技术。目前主要的密钥交换和管理标准有SKIP和ISAKMP(安全联盟和密钥管理协议)。
3)对于支持远程接入或动态建立隧道的VPN,在隧道建立之前需要确认访问者身份,是否可以建立要求的隧道,若可以,系统还需根据访问者身份实施资源访问控制。这需要访问者与设备的身份认证技术和访问控制技术。
4.VPN有哪三种类型?它们的特点和应用场合分别是什么?
1.Access VPN(远程接入网)
即所谓移动VPN,适用于企业内部人员流动频繁和远程办公的情况,出差员工或在家办公的员工利用当地ISP就可以和企业的VPN网关建立私有的隧道连接。
通过拨入当地的ISP进入Internet再连接企业的VPN网关,在用户和VPN网关之间建立一个安全的“隧道”,通过该隧道安全地访问远程的内部网(节省通信费用,又保证了安全性)。
拨入方式包括拨号、ISDN、ADSL等,唯一的要求就是能够使用合法IP地址访问Internet。2.Intranet VPN(内联网)
如果要进行企业内部异地分支结构的互联,可以使用Intranet VPN的方式,即所谓的网关对网关VPN。在异地两个网络的网关之间建立了一个加密的VPN隧道,两端的内部网络可以通过该VPN隧道安全地进行通信。3.Extranet VPN(外联网)
如果一个企业希望将客户、供应商、合作伙伴连接到企业内部网,可以使用Extranet VPN。其实也是一种网关对网关的VPN,但它需要有不同协议和设备之间的配合和不同的安全配置。
5.举例说明什么是乘客协议、封装协议和传输协议?
(1)乘客协议:用户真正要传输(也即被封装)的数据,如IP、PPP、SLIP等。(2)封装协议:用于建立、保持和拆卸隧道,如L2F、PPTP、L2TP、GRE。(3)传输协议:乘客协议被封装后应用传输协议,例如UDP协议。
8.了解第三层隧道协议——GRE。
GRE是通用的路由封装协议,支持全部的路由协议(如RIP2、OSPF等),用于在IP包中封装任何协议的数据包(IP、IPX、NetBEUI等)。在GRE中,乘客协议就是上面这些被封装的协议,封装协议就是GRE,传输协议就是IP。在GRE的处理中,很多协议的细微差别都被忽略,这使得GRE不限于某个特定的“X over Y”的应用,而是一种通用的封装形式。
原始IP包的IP地址通常是企业私有网络规划的保留IP地址,而外层的IP地址是企业网络出口的IP地址,因此,尽管私有网络的IP地址无法和外部网络进行正确的路由,但这个封装之后的IP包可以在Internet上路由——最简单的VPN技术。(NAT,非IP数据包能在IP互联网上传送)
GRE VPN适合一些小型点对点的网络互联。
第二十章
安全扫描技术
一、问答题
1.简述常见的黑客攻击过程。目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。1)踩点(Footprinting)
黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。
2)扫描(Scanning)
在扫描阶段,我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。3)查点(Enumeration)
从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。2 获得访问权(Gaining Access)
通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。特权提升(Escalating Privilege)
在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。4 窃取(Stealing)
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。5 掩盖踪迹(Covering Tracks)
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。创建后门(Creating Bookdoor)
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。
6.掌握几种主要的端口扫描方式。
7.安全扫描系统的逻辑结构是什么?
1.策略分析部分
用于控制网络安全扫描系统的功能,即根据系统预先设定的配置文件,它应当检测哪些Internet域内的主机并进行哪些检测(简单、中级和高级)。2.获取检测工具部分
用于决定对给定的目标系统进行检测的工具。目标系统可以是一个主机,或是某个子网上的所有主机。确定目标系统后,该部分就可以根据策略分析部分得出的测试级别类,确定需要应用的检测工具。3.获取数据部分
对于给定的检测工具,获取数据部分运行对应的检测过程,收集数据信息并产生新的事实记录。最后获得的新的事实记录是事实分析部分的输入。4.事实分析部分
对于给定的事实记录,事实分析部分能产生出新的目标系统、新的检测工具和新的事实记录。新的目标系统作为获取检测工具部分的输入,新的检测工具又作为获取数据部分的输入,新的事实记录又再一次作为事实分析部分的输入。循环直到不产生新的事实记录为止。5.报告分析部分
报告分析部分将关于目标系统的大量有用的信息组织起来,用HTML界面显示,使用户可以通过Web浏览器方便查看运行的结果。
9.什么是漏洞扫描?
系统漏洞检测又称漏洞扫描,就是对重要网络信息进行检查,发现其中可被攻击者利用的漏洞。
第二十一章
入侵检测与安全审计
一、填空题
1.二、问答题
1.什么是IDS,它有哪些基本功能?
入侵检测系统IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
1)监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作;2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为;
5)操作系统日志管理,并识别违反安全策略的用户活动等。
4.什么是基于主机的IDS、基于网络的IDS、分布式IDS?
1.基于主机的入侵检测系统
基于主机的IDS的输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。2.基于网络的入侵检测系统
基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网段上发生的网络入侵。3.分布式入侵检测系统
分布式IDS一般由多个部件组成,分布在网络的各个部分,完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整个网络上的主机的入侵。
5.IDS有哪两类分析方法,并对两者分析比较。
1.异常检测
假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为的轨迹(特征文件 Profiles),那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数
量,来识别入侵企图,即把所有与正常轨迹不同的系统状态视为可疑企图。
例如,一个程序员的正常活动与一个打字员的正常活动肯定不同,打字员常用的是编辑/打印文件等命令;而程序员则更多地使用编辑/编译/调试/运行等命令。这样,根据各自不同的正常活动建立起来的特征文件,便具有用户特性。入侵者使用正常用户的账号,但其行为并不会与正常用户的行为相吻合,从而可以被检测出来。对于异常阀值与特征的选择是异常发现技术的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常检测指根据使用者的行为或资源使用状况来判断是否入侵,所以也被称为基于行为(Behave—based)的检测。
2.误用探测(基于知识(Knowledge—based)检测)
假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。
误用检测系统的关键问题是如何从已知入侵中提取和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非入侵活动(把真正入侵与正常行为区分开来)。
6.什么是现代安全审计技术,它提出的意义是什么?
安全审计是一个安全的网络必须支持的功能特性,它记录用户使用计算机网络系统进行所有活动的过程,是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样使用。审计信息对于确定是否有网络攻击和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据,为网络犯罪行为及泄密行为提供取证基础。
在TCSEC中定义的Accountability其实已经提出了“安全审计”的基本要求。Accountability需求中明确指出了:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择哪些与安全有关的信息被记录,以便将审计的开销降到最小,可以进行有效的分析。在C2等级中,审计系统必须实现如下的功能:系统能够创建和维护审计数据,保证审计记录不能被删除、修改和非法访问。CC准则的安全功能需求定义了多达11个的安全功能需求类,其中包括安全审计类。在CC准则中,对网络安全审计定义了一套完整的功能。
目前对于安全审计这个概念的理解还不统一,安全领域对于怎么样的产品才属于安全审计产品还没有一个普遍接受的认识。
第二十二章
网络病毒防范
一、选择题
二、填空题
1.2.
1. 4.
三、问答题
1.掌握恶意代码的概念和分类,以及几种主要的恶意代码。
黑客编写的扰乱社会和个人,甚至起着破坏作用的计算机程序,就是恶意代码。
1)按恶意代码是否需要宿主,即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性,不能脱离宿主而独立运行;不需宿主的恶意代码具有独立性,可不依赖宿主而独立运行。
2)按恶意代码是否能够自我复制,不能自我复制的恶意代码是不感染的,能够自我复制的恶意代码是可感染的。1.不感染的依附性恶意代码(1)特洛伊木马
一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的(试图访问未授权资源、试图阻止正常访问、试图更改或破坏数据和系统等)。
它一般没有自我复制的机制,但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的主要传播途径。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到网上直接传播,容易被不知情的用户接收和继续传播。(2)逻辑炸弹
一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件(特殊日期或指定事件)发生触发其破坏行为。它往往被那些有怨恨的职员使用,一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等。(3)后门或陷门
是进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定帐户,使访问者绕过访问的安全检查、直接获得访问权利,并且通常高于普通用户的特权。
2.不感染的独立性恶意代码(1)点滴器
为传送和安装其他恶意代码而设计的,它本身不具有直接的感染性和破坏性。它专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它将启动,将自身包含的恶意代码释放出来。3.可感染的依附性恶意代码
计算机病毒是一段附着在其他程序上的可以进行自我复制的代码,由于绝大多数恶意代码都或多或少地具有计算机病毒的特征。4.可感染的独立性恶意代码(1)蠕虫
一种通过计算机网络能够自我复制和扩散的程序。蠕虫不需要宿主,不会与其他特定功能程序混合。蠕虫感染的是系统环境(如操作系统或邮件系统)。新感染系统采取同样的方式进行复制和传播,使得蠕虫传播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽,导致整个计算机系统和网络的崩溃,成为拒绝服务攻击的工具。(2)细菌
在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本,然后以指数级增长,最终占用全部的系统资源,无法为用户提供服务。
8.计算机病毒的定义和特征是什么?
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。1)主动传染性
这是病毒区别于其他程序的一个根本特性。病毒能够将自身代码主动复制到其他文件或扇区中,这个过程并不需要人为的干预。病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。2)破坏性
这也是计算机病毒的一个基本特性,比如删除文件、毁坏主板BIOS、影响正常的使用等。近年来随着将特洛伊木马程序、蠕虫程序等纳入计算机病毒的范畴,将盗取信息、使用他人计算机的资源等也列入了破坏行为的范围。3)寄生性(隐蔽性)
早期的计算机病毒绝大多数都不是完整的程序,通常都是附着在其他程序中。病毒取得系统控制权后,可以在很短时间里传染大量其他程序,而且计算机系统通常仍能正常运行,用户不会感到任何异常(非常危险)。当然现在的某些病毒本身就是一个完整的程序。4)潜伏性
病毒进入系统之后一般不会马上发作,可以或长或短地潜伏在合法程序中,进行传染而不被人发现。潜伏的时间越长,传染范围越大。5)多态性
病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难。一个多态病毒还是原来的病毒,但不能通过扫描特征字符串来发现。病毒代码的主要部分相同,但表达方式发生了变化,也就是同一程序由不同的字节序列表示。
9.什么是病毒的特征代码?它有什么作用?
病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒,以防止病毒程序感染。
10.什么是网络蠕虫?它的传播途径是什么?
《地理信息系统》作为地理信息系统专业的主干课程, 其教学改革和课程建设是极其重要的, 而考试又是教学改革的重要环节和难题。
在教学改革和课程建设中, 命题对教师教学和学生学习起指挥棒作用。长期以来, 高校各学科的考试命题工作缺乏较客观统一的标准。在以往的考试中, 我们常会发现如下问题:
(1) 命题时掺杂主观意图, 经常出现试题偏难或偏易。
(2) 所命题目的难度和分量不一致。
(3) 学生总是运用各种手段从出卷老师处提前获得考试题。
(4) 手工出题费时费力, 不符合现代科技快速发展的步伐。
(5) 试题内容不能及时更新。
由微机管理的试题库进行命题则可避免以上弊病, 建立微机管理的试题库对学科建设、教学规范化具有重要意义[1]。
1 题库理论
1.1 经典测试 (测量) 理论
国际上, 在教育测量方面占主导地位的是经典测试理论, 主要由以下几个方面构成:
(1) 信度要求:
信度指同一测验对同组被试施测两次或多次所得结果的一致性, 即测验的可靠性。
信度常用α系数公式:
其中, k为题目数, st2为总分方差, si2为每个测题分数的方差。
(2) 效度要求:
效度指实际测验得到的与所要测验的目标之间相符合的程度, 即测验的准确性。效度有内容效度、效标效度及结构效度等, 但主要强调内容效度。
(3) 难度要求:
试卷的整体平均难度一般应保持在0.4~0.6之间, 计算机试卷整体难度公式为
其中, W为试卷满分, p i, W i分别为第i题难度和满分值, n为试卷题目总数。
整卷难度相对于区分度而言, 一般在0.5左右, 会达到较高的区分度, 即更能考查学生的差异。
(4) 区分度要求:
试题的区分度指测题对被试反应的区分程度和鉴别力, 实质是考试中高能学生与低能学生得分率之差。
其公式为
其中, ph为高能学生 (以高分段1/3的学生为代表) 的得分率 (由该段学生得分的平均分Xh除以满分W) 。pl为低能学生 (以低分段1/3的学生为代表) 的得分率 (由该段学生得分的平均分Xl除以满分W) [2]。
1.2 试题响应理论
该理论是美国的Lord教授针对经典测试理论所存在的问题, 而提出的一种新理论。试题响应理论的主要优点是参数不变性, 试题的参数评估独立于参加实测或预测的考生组特性, 考生组的任何变动不会影响试题的参数量。
1.3 拉西模型理论
拉西模型是丹麦数学家Resch通过与Lord完全不同的途径推导出来的, 它假定试题都有相等的区分度, 而且试题猜测因素都是零。拉西模型计算简单, 设置不用计算机也能进行运算, 这就为它的广泛应用创造了条件[3]。
2 试题库的知识构成
(1) 本次试题库设计是针对《地理信息系统原理》这门课程而设计的, 主要基于以下两本书:A、《地理信息系统概论》, (修订版) , 黄杏元、马劲松、汤勤编著, 高等教育出版社。B、《地理信息系统导论》, (美) Kang-tsung Chang著, 陈建飞等译, 科学出版社。除此之外, 还有国际国内最新的研究动态、相关学科与GIS的应用等, 这些知识很好的弥补了以往的考试内容的局限性。
(2) A r c V i e w软件及其书本教材、电子版教材:GIS是一门实践性很强的学科, 故该题库中有1/4是关于Arc View的知识。在此, 选用的是E S R I公司的Arc View GIS 3.2, 教材是《Arc View地理信息系统空间分析方法》, 汤国安、陈正江、赵牡丹、刘万青、刘咏梅著, 科学出版社。
3 试题库平台的选定
本次设计选用了基于Word平台的题库系统, 该软件有以下特点:
(1) 基于Microsoft Word平台:系统安装后嵌入在W o r d工具栏内, 与W o r d融为一体, 操作简便。
(2) 多种组卷方式:由计算机自动组卷, 快速简便。
(3) 没有题型限制, 各学科特有的题型都可以接受, 题型由建库者按照规定格式自己定义。
(4) 通用性强:本系统提供的是一个题库建设的软件平台, 各类学校、各类学科都可以使用。
(5) 便于更新:本系统安装后嵌入在Word工具栏内, 可以直接在题库中更改、增加试题内容。
4 建库方法与过程
4.1 结构设计
该题库由理论和应用两部分构成。理论部分题量设计为3/4, 应用部分 (即第七章《0 7 Arc View应用》) 题量设计为1/4, 总题量约为15~20套题。
理论部分包括以下六章:《01GIS概论》、《02空间数据结构》、《03空间数据库》、《0 4空间数据的采集和质量控制》、《05空间数据的处理》、《06空间分析的原理与方法》。理论部分共527道题, 占总题量的75.3%, 约3/4。
应用部分作为单独的一章《0 7A r c V i e w应用》, 共1 7 3道题, 占总题量的24.7, 约1/4。应用部分着重涉及的是Arc View的用法和相关理论, 知识点主要是矢量数据分析、栅格数据分析、空间分析等, 旨在考察学生对于A r c V i e w的用法的熟悉程度, 以及对一些重要方法的掌握水平。
4.2 题型设计
GIS课程有许多需要记忆的概念, 也有许多需要理解的逻辑性很强的计算, 而且GIS处理的大部分是地图数据, 这就必然涉及到一种很重要的题型——作图题。因此, 我们共设计有八种题型, 除传统的选择题、填空题、判断题、名词解释、简答题、论述题之外, 本试题库还设计了作图题和计算题。
(1) 作图题:这是GIS特有的题型, 大量的图形操作技术才是学GIS的最终目的, 因此, 作图题是必不可少的。如:
198、对下列的缓冲区作相应的处理, 画出处理后的缓冲区图。
对于这道题, 只有让学生亲手作图才能知道其是否已经掌握对于特殊情况缓冲区的处理, 简便又直观。
(2) 计算题:计算题主要考察学生对GIS数据的处理能力, 学生必须对考察的数据处理方法完全掌握, 才能得满分。如:
0 8 6、根据下图, 建立多边形P 1的连接编辑。
要做正确这道题, 必须对多边形的连接编辑方法的每一步都了解才可以, 很好地考察了学生对这种处理方法的掌握程度。
4.3 试题录入
按题型录入通常会造成某些知识点的重复录入, 而有的重要知识点又会被遗漏, 采用按章节录入法, 即按照各章节的知识点讲解顺序, 依次设计题型, 并录入, 然后在该知识点处标注好该知识点的题型, 以免以后过多重复运用该知识点。
4.4 抽题组卷
当打开所有的题库文档, 然后点击页面左上角的“抽题组卷”按钮, 即可抽题组卷。抽题过程很简单, 由计算机自动完成, 抽题者只需输入相应的信息即可。需要人为选择的信息有试卷类型、章节、题型、输出结果、各题型数量、各题型分值、试卷份数等。
5 题库知识点构成分析
根据上表, 各章节所占的总题量以及题型所占的比例有很大的差别, 第一章基础理论部分和第七章具体应用部分的题量最多, 这是符合课程大纲要求的。中间章节是在第一章的基础上, 更具体更深入的阐述, 因此, 题量的分配有所减少, 以避免和前面章节的重复。第七章的内容是对学生实践能力的考核, 也是教学培养的核心目标, 因此题量最多是十分必要的。
6 结语
GIS试题库的建立与不断完善对我校地理信息系统的学科建设和教学改革有着深远的影响, 主要体现在以下几个方面:
(1) GIS试题库建立起来之后, 我校以后的GIS课程考试就不再需要任课教师手工出题, 节省了有限的人力、物力、财力。
(2) 克服了手工出题易受个人主观喜好的影响, 使试卷更加科学化和规范化, 更能全面的考察学生对GIS课程的掌握程度, 培养学生的专业热情。
(3) 完全避免学生猜题, 就特定考试范围而复习等现象, 就算学生知道了题库内容也无关紧要, 因为题库涵盖了所有的知识点。
(4) 不同班级使用的是同一套试卷, 能够较客观地反映不同班级学生之间的水平差异, 而且有利于考后总结分析。
摘要:在《地理信息系统原理》基础上, 根据试题库建设的原则和特点, 对地理信息系统试题库的建设进行了分析研究, 应用基于Word的通用试题库系统, 建成了简洁实用的试题库, 为该课程的教学和实践提供帮助, 具有重要的现实意义。
关键词:地理信息系统,题库
参考文献
[1]傅金民.农业院校通用题库微机管理系统研究.高等农业教育[J].1994, 5:41~42
[2]刘新平, 刘存侠.教育统计与测评导论[M].科学出版社.2004年3月
[3]章国英.计算机外语试题库理论及题库系统的建立.电化教育研究[J].1994, 3:5~8
[4]张定国, 梁平.试论题库系统的研究与开发.抚州师专学报[J].1998, 57:43~45
[5]房蔓楠, 王斌伟, 王立柱.“电路分析基础”题库系统的实现.长春邮电学院学报.1995, 13 (1) :45~48
[6]梁荣辉, 陈及治.体育统计学题库管理系统.上海体育学院学报[J].1998, 22 (3) :6 1~6 6
单位:
姓名:
岗位:
一、填空题(每题6分,共30分)
1、冶金炉炉基周围应保持清洁干燥,不应()和堆积废料。
2、高炉按规范要求从炉基到炉顶相应平台要安装固定式()报警器,并将信号连接至中控室。
3、为防止停电时断水,冶金炉应有事故()设施。
4、冶金炉内衬耐火材料、填料、泥浆等,应符合设计要求,且不得低于()标准的有关规定。
5、热风炉等易产生煤气泄漏区域应安装固定式()报警器,避免安全防护装置缺失引起煤气中毒。
二、单选题(每题3分,共30分)
1、冶金企业的什么场所等人员聚集场所应当设置在安全地点,不得设置在高温液态金属的吊运影响范围内,不得设置在煤气危险区域和粉尘易燃易爆区域。
A.会议室、活动室、休息室、更衣室等
B.会议室、活动室
C.活动室、休息室
2、铁水吊运通道与浇铸区及其附近的地表与地下,不应设置什么管线。
A.水管
B.水管、电缆
C.电缆
3、所有与铁水、液渣接触的罐、槽、工具及其作业区域,不应有冰雪、积水,不应堆放潮湿物品和其他什么物品。
A.易燃、易爆物品
B.易燃
C.危化品
4、吊运重罐铁水、钢水、液渣,应使用带有什么形式的龙门钩的冶金铸造起重机。
A.固定
B.活动
C.挂钩
5、高压柜前必须铺设什么。
A.木板
B.模板
C.绝缘胶板
6、露天设置的可燃气体、可燃液体钢制储罐必须设什么措施。
A.防火堤
B.围堰
C.防雷接地
7、进入有限空间必须坚持“什么、后检测、再作业”的原则,经氧含量和有毒有害气体含量检测至合格水平,作业人员方能进入。
A.先探测
B.先通风
C.先测量
8、密闭的深坑、池、沟,应考虑设置什么设施,以利维护人员进入。
A.照明
B.换气
C.逃生
9、使用行灯电压不应大于36伏,进入潮湿密闭容器内作业不应大于多少伏。
A.220
B.12
C.3610、职业病防治工作坚持什么方针。
A.预防为主、防消结合B.预防为主、防治结合C.预防为主、综合治理
三、简答题(共40分)
请写出您所在的岗位名称,并简述该岗位的操作注意事项。
安全常识测试B卷(冶金)
单位:
姓名:
岗位:
一、填空题(每题6分,共30分)
1、危险区域动火必须办理(),采取防范措施;动火前,必须清理动火部位易燃物,用防火毯、石棉垫或铁板覆盖动火火星飞溅的区域。
2、吊运装有铁水、钢水、液渣的罐,应与邻近设备或建、构筑物保持大于()m的净空距离。
3、为防止停电时断水,冶金炉应有事故()设施。
4、冶金炉内衬耐火材料、填料、泥浆等,应符合设计要求,且不得低于()标准的有关规定。
5、热风炉等易产生煤气泄漏区域应安装固定式()报警器,避免安全防护装置缺失引起煤气中毒。
二、单选题(每题3分,共30分)
1、新建、改建和扩建企业,必须设有集中监视和显示的什么信号中心。
A.视频
B.火警
C.控制
2、劳动防护用品分为那些。
A.特种劳动防护用品
B.特种劳动防护用品和一般劳动防护用品
C.一般劳动防护用品
3、所有与铁水、液渣接触的罐、槽、工具及其作业区域,不应有冰雪、积水,不应堆放潮湿物品和其他什么物品。
A.易燃、易爆物品
B.易燃
C.危化品
4、吊运重罐铁水、钢水、液渣,应使用带有什么形式的龙门钩的冶金铸造起重机。
A.固定
B.活动
C.挂钩
5、高压柜前必须铺设什么。
A.木板
B.模板
C.绝缘胶板
6、露天设置的可燃气体、可燃液体钢制储罐必须设什么措施。
A.防火堤
B.围堰
C.防雷接地
7、进入有限空间必须坚持“什么、后检测、再作业”的原则,经氧含量和有毒有害气体含量检测至合格水平,作业人员方能进入。
A.先探测
B.先通风
C.先测量
8、密闭的深坑、池、沟,应考虑设置什么设施,以利维护人员进入。
A.照明
B.换气
C.逃生
9、使用行灯电压不应大于36伏,进入潮湿密闭容器内作业不应大于多少伏。
A.220
B.12
C.3610、职业病防治工作坚持什么方针。
A.预防为主、防消结合B.预防为主、防治结合C.预防为主、综合治理
三、简答题(共40分)
请写出您所在的岗位名称,并简述该岗位的操作注意事项。
安全常识测试C卷(冶金)
单位:
姓名:
岗位:
一、填空题(每题6分,共30分)
1、危险区域动火必须办理(),采取防范措施;动火前,必须清理动火部位易燃物,用防火毯、石棉垫或铁板覆盖动火火星飞溅的区域。
2、吊运装有铁水、钢水、液渣的罐,应与邻近设备或建、构筑物保持大于()m的净空距离。
3、为防止停电时断水,冶金炉应有事故()设施。
4、应建立严格的设备使用、维护、检修制度。两台及两台以上吊车联合进行吊装作业,应制定专门且经主管领导审批的作业方案,并采取()防护措施。
5、煤粉输送系统应设()和杂物筛。
二、单选题(每题3分,共30分)
1、新建、改建和扩建企业,必须设有集中监视和显示的什么信号中心。
A.视频
B.火警
C.控制
2、劳动防护用品分为那些。
A.特种劳动防护用品
B.特种劳动防护用品和一般劳动防护用品
C.一般劳动防护用品
3、所有与铁水、液渣接触的罐、槽、工具及其作业区域,不应有冰雪、积水,不应堆放潮湿物品和其他什么物品。
A.易燃、易爆物品
B.易燃
C.危化品
4、吊运重罐铁水、钢水、液渣,应使用带有什么形式的龙门钩的冶金铸造起重机。
A.固定
B.活动
C.挂钩
5、高压柜前必须铺设什么。
A.木板
B.模板
C.绝缘胶板
6、带式输送机应有防打滑、防跑偏和防纵向撕裂的措施以及能随时停机的什么措施。
A.事故开关
B.事故开关和事故警铃
C.事故警铃
7、“工业三废”是指什么。
A.废物、废水、废渣
B.废气、废水、废料
C.废气、废水、废渣
8、密闭的深坑、池、沟,应考虑设置什么设施,以利维护人员进入。
A.照明
B.换气
C.逃生
9、使用行灯电压不应大于36伏,进入潮湿密闭容器内作业不应大于多少伏。
A.220
B.12
C.3610、职业病防治工作坚持什么方针。
A.预防为主、防消结合B.预防为主、防治结合C.预防为主、综合治理
三、简答题(共40分)
请写出您所在的岗位名称,并简述该岗位的操作注意事项。
冶金答案(A卷)
一、1、积水;2、一氧化碳;3、供水;4、国家;5、一氧化碳;
二、1、A;2、B;3、A;4、A;5、C;6、C;7、B;8、B;9、B;10、B
冶金答案(B卷)
一、1、动火证;2、1.5;3、供水;4、国家;5、一氧化碳;
二、1、B;2、B;3、A;4、A;5、C;6、C;7、B;8、B;9、B;10、B
冶金答案(C卷)
一、1、动火证;2、1.5;3、供水;4、专门的;5、除铁器;
参考资料
煤矿安全规程试题库+
答案
一、填空题
1、“四不放过”原则是指事故原因没查清不放过, 事故原因没查清不放过,群众未受到教育不放过, 整改措施未落实不放过。
2、综采工作面两道出口在20M范围内的高度不得低于1.8m。
3、工作面单体液压支柱柱径为100mm的,其初撑力不得小于90KN。
4、当采煤工作面倾角大于25度时,单体支柱必须使用刚性联柱器。
5、当单体支柱钻底量超过100mm时,必须穿铁鞋。
6、采煤工作面材料道和溜子道的高度不得小于1.8m。
7、两道为锚梁网支护的巷道,采煤工作面出口超前支护距离不得小于40m。
8、炮普采工作面泵站压力不得低于18MPa。
9、煤壁放完炮后必须及时挂梁支护,其煤壁端面距不得超过300mm。
10、综采工作面倾角大于15度时,支架必须采取防倒、防滑措施。
11、采煤机内喷雾压力不得小于2.0MPa,外喷雾压力不得小于1.5MPa。
12、采煤工作面分段回料最小安全拉茬距离不得小于
15m。
13、两道为架棚支护的巷道,其采煤工作面出口超前支护距离不得小于20 m。
14、工作面两道超前支护的单体液压支柱柱径为100mm的,其初撑力不得小于90KN。
15、综采工作面泵站系统的压力不得低于30MPa;
16、《煤矿安全规程》、《作业规程》和《操作规程》三大规程在煤矿生产中具有同等重要和并列平等的关系。
17、煤矿安全工作人员必须具备必要的安全专业知识和矿山安全工作经验。
18、安全员必须严格执行三大规程,对不具备安全生产条件,危及职工生命安全的生产现场和作业场所,有权令其整改、限期解决,情况紧急时,有权停止生产,撤出人员。
19、“一炮三检”是指装药前、放炮前、放炮后分别检查风流中的瓦斯。
20矿井通风系统是矿井通风方式、通风方法和通风网路的总称。
21、每个生产矿井必须至少有2个能行人的、通达地面的安全出口。
22、斜巷施工期间兼做行人道时,必须每隔40米设臵一个躲避硐并设红灯。
23、井下爆破作业,必须使用煤矿许用炸药和煤矿许用
电雷管。
24、使用煤矿许用毫秒延期电雷管时,最后一段的延期时间不得超过130毫秒。
25、炮采工作面炮眼的排列形式有单排眼、双排眼 三花眼、五花眼.26、井下放炮,爆破工接到起爆命令后,必须先发出爆破警号,至少等5秒时间,方可放炮。
27.《安全生产法》规定:安全生产管理必须坚持安全第一、预防为主的方针。
28.采煤工作面安装净化水幕应距工作面上下出口 不超过30米。
29.矿井主要进风巷、回风巷至少每月冲刷一次积尘。30.工作面上隅角应超前回料,不得滞后于工作面切顶线。
31.炮采工作面内应每隔20米设一个三通阀门。32.炮眼封泥应用水炮泥,然后在外面剩余的炮眼部分,应用粘土炮泥封实。
33.采用放炮的方法处理瞎炮时,必须在距瞎炮至少 0.3米处另打与瞎炮炮眼平行的新炮眼,重新装药放炮。
34.如果瞎炮在当班未处理完毕,放炮员必须同下一班放炮员在现场交接清楚。
35.炮眼深度小于0.6m时,不得装药放炮。
36.电气设备外壳与接地母线的连接应采用不小于25mm2铜线或50mm2镀锌铁线。
37.有煤与瓦斯突出危险的采掘工作面、有瓦斯喷出的采掘工作面和瓦斯涌出极大、变化异常的工作面,都必须 配备专人经常检查瓦斯。
38.煤与瓦斯突出的危险性随着煤层倾角的增大而增大。39.矿井火灾中的遇难人员,有90%以上是因CO中毒而死亡。
40.临时停工地点不得停风,否则必须做到切断电源,设臵栅栏,揭示警标,禁止人员进入,并向矿调度室报告。
41、为保障煤矿安全生产和职工人身安全,防止煤矿事故,根据《煤炭法》、《矿山安全法》和《煤矿安全监察条例》,制定本规程。
42、在中华人民共和国领域从事煤炭生产和煤矿建设活动必须遵守本规程。
43、煤矿企业必须遵守国家有关安全生产的法律、法规、规章、规程、标准和技术规范。
44、煤矿企业必须建立、健全各级安全生产责任制、职能机构安全生产责任制、岗位人员安全生产责任制。
45、煤矿企业应建立、健全安全目标管理制度、安全奖惩制度、安全技术措施审批制度、安全隐患排查制度、安全检查制度、安全办公会议制度。
46、煤矿企业必须建立各种设备、设施检查维修制度,定期进行检查维修,并做好记录。
47、煤矿企业必须设臵安全生产机构,配臵适应工作需要的安全生产人员和装备。
48、煤矿安全工作必须实行群众监督。煤矿企业必须支持群众安全监督组织的活动,发挥职工群众安全监督作用。
49、职工有权制止违章作业,拒绝违章指挥。50、当工作地点出现险情时,职工有权立即停止作业,撤到安全地点。
51、当险情没有得到处理不能保证人身安全时,有权拒绝作业。
52、煤矿企业必须对职工进行安全培训。未经培训的,不得上岗作业。
53、矿务局(公司)局长(经理)、矿长必须具备安全专业知识,具有领导安全生产和处理煤矿事故的能力,并经依法培训合格,取得安全任职资格证书。
54、特种作业人员必须按国家有关规定培训合格,取得操作资格证书。
55、煤矿使用的涉及安全生产的产品,必须取得煤矿矿用产品安全标志。
56、试验涉及安全生产的新技术、新工艺、新设备、新材料前,必须经过论证、安全性能检验和鉴定,并制定安全
措施。
57、煤矿企业必须编制年度灾害预防和处理计划,并根据具体情况及时修改。
58、灾害预防和处理计划由矿长负责组织实施。
59、入井人员必须戴安全帽、随身携带自救器和矿灯,严禁携带烟草和点火物品,严禁穿化纤衣服,入井前严禁喝酒。
60、煤矿企业每年必须至少组织1次矿井救灾演习。煤矿企业必须建立入井检查身制度和出入井人员清点制度。
61、煤矿企业应有创伤急救系统为其服务。创伤急救系统应配备救护车辆、急救器材、急救装备和药品等。
62、单项工程、单位工程开工前,必须编制施工组织设计和作业规程,并组织每个工作人员学习。
63、每个生产矿井必须至少有2个能行人的通达地面的安全出口,各个出口间的距离不得小于30m。
64、井下每一个水平到上一个水平和各个采区都必须至少有2个便于行人的安全出口,并与通达地面的安全出口相连接。
65、未建成2个安全出口的水平或采区严禁生产。66、井巷交岔点,必须设臵路标,标明所在地点,指明通往安全出口的方向。井下工作人员必须熟悉通往安全出口的路线。
67、主要绞车道不得兼作人行道。提升量不大,保证行车不行人的,不受此限。
68、巷道净断面必须满足行人、运输、通风和安全设施及设备安装、检修、施工的需要。
69、采煤工作面回采前必须编制作业规程。情况发生变化时,必须及时修改作业规程或补充安全措施。
70、立井井口必须用栅栏或金属网围住,进出口设臵栅栏门。
71、井筒与各水平的连接处必须有栅栏。栅栏门只准在通过人员或车辆时打开。
72、立井井筒与各水平车场的连接处,必须设臵专用的人行通道,严禁人员通过提升间。
73、如果立井井筒一侧设人行道,人行道上方必须设防护设施。
74、罐笼提升立井的井口和井底、井筒与各水平的连接处,必须设臵阻车器。
75、采掘工作面的进风流中,氧气浓度不低于20%,二氧化碳浓度不超过0.5%。
76、新建、改扩建矿井设计时,必须进行矿井风温预测计算,超温地点必须有制冷降温设计,配齐降温设施。
77、矿井必须建立测风制度,每时10天进行1次全面测风。
78、通风瓦斯日报必须送矿长、矿技术负责人审阅,一矿多井的矿必须同时送井长、井技术负责人审阅。
79、在井下和井口房,严禁采用可燃性材料搭建临时操作间、休息间。
80、井下严禁使用灯泡取暖和使用电炉。
81.《煤矿安全规程》是根据《煤炭法》、《矿山安全法》和《煤矿安全监察条例》制定的,目的是为了保障煤矿 安全生产 和职工 人身安全,防止煤矿事故。
82.煤矿企业应建立、健全安全目标管理制度、安全奖惩制度、安全技术措施审批制度、安全隐患排查制度、安全检查制度、安全办公会议等制度。
83.煤矿企业必须建立各种 设备、设施 检查维修制度,定期进行 检查维修,并做好记录。
84.煤矿安全工作必须实行群众监督。煤矿企业必须 支持 群众安全监督组织的活动,发挥 职工群众 安全监督作用。
85.职工有权制止 违章作业,拒绝 违章指挥。86.当工作地点出现险情时,职工有权立即 停止作业,撤到安全地点;当险情没有得到处理不能保证人身安全时,有权 拒绝作业。
87.煤矿企业必须对职工进行安全培训。未经 安全培训 的,不得 上岗作业。
88.煤矿使用的涉及安全生产的产品,必须取得煤矿矿用产品 安全标志。未取得煤矿矿用产品安全标志的,不得使用。
89.入井人员必须戴 安全帽、随身携带 自救器 和矿灯,严禁携带烟草和点火物品,严禁穿化纤衣服,入井前严禁喝酒。
90.煤矿企业必须建立 入井检身 制度和出入井人员 清点 制度。
91.每个生产矿井必须至少有 2 个能行人的通达地面的安全出口,各个出口间的距离不得小于30m。井巷交岔点,必须设臵路标,标明所在地点,指明通往安全出口的方向。井下工作人员必须熟悉通往 安全出口 的路线。安全出口应经常清理、维护,保持畅通。
92.斜井(巷)施工期间兼作行人道时,必须每隔40m设臵躲避硐并设红灯。设有躲避硐的一侧必须有畅通的人行道。上下人员必须走 人行道。行车时红灯亮,行人立即进入 躲避硐 ;红灯熄灭后,方可行走。
93.采煤工作面必须按作业规程的规定及时支护,严禁 空顶作业。所有支架 必须架设牢固,并有防倒柱措施。严禁在浮煤或浮矸上架设支架。碰倒或损坏、失效的支柱,必须立即恢复或 更换。
94.采煤工作面严格执行 敲帮问顶 制度。开工前,班组长必须对工作面安全情况进行全面检查,确认无危险后,方准人员进入 工作面。
95.刮板输送机 严禁 乘人。用刮板输送机运送物料时,必须有防止顶人和顶倒支架的 安全措施。
96.采区回风巷、采掘工作面回风巷风流中瓦斯浓度超过 1.0% 或二氧化碳浓度超过1.5%时,必须停止 工作,撤出人员,采取措施,进行处理。
97.采掘工作面及其他作业地点风流中瓦斯浓度达到 1.0%时,必须停止 用电钻打眼 ;爆破地点附近20m以内风流中瓦斯浓度达到1.0%时,严禁爆破。
98.采掘工作面风流中二氧化碳浓度达到1.5%时,必须 停止工作,撤出人员,查明原因,制定措施,进行处理。
99.井口房和通风机房附近20m 内,不得有 烟火 或用火炉取暖。
100.在井下和 井口房,严禁采用 可燃性 材料搭设临时操作间、休息间。
101.井下 严禁 使用 灯泡 取暖和使用电炉。102.井下 和井口房内不得从事 电焊、气焊
和喷灯焊接等工作。
103.携带爆炸材料上、下井时,在每层罐笼内搭乘的携带爆炸材料的人员不得超过 4人,其他人员不得 同罐上
下。在 交接班、人员上下井的时间内严禁携带爆炸材料人员沿井筒上下。
104.长度超过 1.5 km的主要运输平巷,上下班时应采用机械运送人员。人员上下的主要倾斜井巷,垂深超过 50 m时,应采用机械运送人员。
105.井口和井底车场必须有把钩工。人员上下井时,必须遵守乘罐制度,听从 把钩工 指挥。开车信号发出后严禁进出 罐笼。严禁在同一层罐笼内人员和物料混合提升。
106.乘坐人行车 人体 及所携带的工具和零件严禁露出车外。列车行驶中和尚未停稳时,严禁 上、下车和在车内站立。
107.非专职人员或非值班电气人员不得 擅自 操作 电气 设备。
108.严禁使用矿灯人员 拆开、敲打、撞击矿灯。人员出井后(地面领用矿灯人员,在下班后),必须立即将矿灯 交还 灯房。
109.循环风是指局部通风机的 回风,部分或全部再进入同一部局部通风机的 进风 风流中。
110.跑车防护装臵是在倾斜井巷内安设的能够将运行中断绳或脱钩的 车辆 阻止住的 装臵 或设施。111.回采和顶板控制,严格执行 敲帮问顶 制度。
开工前,班组长必须对工作面 安全情况 进行全面检查,确认无危险后,方准人员进入工作面。
112.采煤工作面的伞檐不得超过 作业规程 的规定,不得任意丢失顶煤和 底煤。
113.采煤机必须安装 内、外 喷雾装臵。截煤时必须喷雾降尘,内喷雾压力不得小于 2MPa,外喷雾压力不得小于1.5MPa,喷雾流量应与机型相匹配。如果内喷雾装臵不能正常喷雾,外喷雾压力不得小于4MPa。无水或喷雾装臵损坏时必须 停机。
114.移动 刮板输送机时,必须有防止冒顶、顶伤人员和损坏设备的安全措施。必须打牢刮板输送机的机头、机尾 锚固支柱。
115.在装岩(煤)前,必须将机身和尾轮 固定 牢靠。严禁在耙斗运行范围内进行其他工作和 行人。
116.高瓦斯区域、煤与瓦斯突出危险区域煤巷掘进工作面,严禁使用钢丝绳 牵引的耙装机。
117.煤矿企业必须制定井巷维修制度,加强井巷的维修,保持巷道设计断面,保证 通风、运输的畅通和 行人安全。巷道失修率不得超过规定。
118.修复旧井巷,必须首先检查瓦斯,当瓦斯积聚时,必须按规定排放,只有在回风流中瓦斯浓度不超过 1.0%、二氧化碳浓度不超过 1.5%、空气成分符合煤
矿安全规程的要求时,才能作业。
119.爆炸材料库和爆炸材料发放硐室附近30m 范围内,严禁 爆破。
120.采掘工作面二氧化碳浓度应每班至少检查 2 次;有煤(岩)与二氧化碳突出危险的采掘工作面,二氧化碳涌出量较大、变化异常的采掘工作面,必须有专人 经常检查 二氧化碳浓度。
121、新《煤矿安全规程》是根据《煤炭法》、《矿山安全法》、《煤矿安全监察条例》制定的。
122、煤矿企业必须遵守国家有关安全生产的法律、法规、规章、规程、标准、技术规范。
123.煤矿企业必须建立健全各级领导安全生产责任制、职能机构安全生产责任制、岗位人员安全生产责任制。
124、煤矿安全规程、作业规程和《操作规程》三大规程在煤矿生产中具有同等重要和并列平等的关系。
125、煤矿职工在安全生产中依法享受有关安全生产的知情权、建议权的权力
126、“四不放过”原则是指, 事故原因没没查清不放过;事故原因没查清不放过;群众末受到教育不放过;整改措施未落实不放过。
127、打锚杆眼前,必须首先敲帮问顶,将活矸处理掉,在确保安全的条件下,方可作业。
128、锚杆螺母必须用机械或力矩扳手拧紧,确保锚杆的托板紧贴巷壁。
129、在接近溶洞、含水丰富的地层、流沙层、导水断层积水的井巷和老空、打开隔水煤岩柱等有危险的地点爆破时,必须坚持“有疑必探,先探后掘”的原则。
130、工作面或其他地点发现有透水预兆挂红、挂汗顶板来压、煤岩变松软时,必须停止作业。
131、开凿或延深斜井、下山时,必须在斜井、下山的上口设臵防止跑车装臵,在掘进工作面的上方设臵坚固的跑车防护装臵。
132、耙装机必须装有封闭式金属挡绳栏和防耙斗出槽的护栏。
133、处理堵塞的喷射管路时,喷枪口的前方及其附近严禁有其他人员
134、开动掘进机前,必须发出警报。只有在铲板前方和截割臂附近无人时,方可开动掘进机。
135、斜巷施工期间兼做行人道时,必须每隔40米设臵躲避硐并设红灯。
136、井下爆破作业,必须使用煤矿许用炸药和煤矿许用电雷管。
137、严禁在耙装机耙斗运行范围内进行其他工作和行人。
138、倾斜井巷倾角大于20°时,在耙装机司机前方必须打护身柱或设挡板,并在耙装机前方增设固定装臵。
139、高瓦斯区域、煤与瓦斯突出危险区域煤巷掘进工作面,严禁使用钢丝绳牵引的耙装机。
140、“一炮三检”是指装药前、放炮前、放炮后分别检查风流中的瓦斯。
141、电雷管必须由药卷的顶部装入,严禁用 电雷管代替竹、木棍扎眼
142、爆破地点20米内,当矿车、未清除的煤矸或其他物体堵塞巷道断面1/3以上时,严禁装药、放炮。
143、井下放炮,爆破工接到起爆命令后,必须先发出爆破警号,至少再等5秒时间,方可放炮。
144、正常情况下,炮眼深度小于0.6m不许装药、放炮。145、炮眼深度为0.6~1.0m时,封泥长度不得炮眼长度的1/2;炮眼深度超过1m时,封泥长度不得小于0.5m。
146、低瓦斯矿井的煤层采掘工作面、半煤岩掘进工作面必须使用安全等级不低于二级的煤矿许用炸药
147、矿用隔爆型电气设备其隔爆外壳失去了耐爆性或隔爆性称之为失爆。
148、.井下供电应做到的“三无”内容是无鸡爪子、无羊尾巴无明接头。
149、轨道轨距的偏差上限为+5mm,下限为-2mm。
150、人力推车时,严禁放飞车;巷道坡度大于7%0,严禁人力推车。
151、掘进巷道必须采用矿井全风压通风或局部通风机通风。
152、掘进工作面使用2台局部通风机供风的,2台局部通风机都必须同时实现风电闭锁。
153、爆破崩人的常见原因:破母线短,躲避处选择不当、爆破时未执行爆破警戒规定处理拒爆时未规定程序和方法操作、通电以后装药炮眼不响时,未等候规定时间提前进入。
154、掘进巷道贯通前,综合机械化掘进巷道在相距50m前、其他巷道在相距20m前,必须停止一个工作面作业,做好调整通风系统的准备工作。
155、使用局部通风机通风的掘进工作面,不得停风;因检修、停电等原因停风时,必须撤出人员,切断电源。
156、炮眼封泥应用水炮泥,水炮泥外剩余的炮眼部分应用粘土炮泥或用不燃性的、可塑性松散材料制成的炮泥封实。
157、光面爆破时,周边光爆炮眼应用炮泥封实,且封泥长度不得小于0.3m。
158、掘进工作面爆破前后,附近20m的巷道内,必须洒水降尘。
159、爆破工必须最后离开爆破地点,并必须在安全地点起爆。
160、爆破后,待工作面的炮烟被吹散,爆破工、瓦斯检查工和班组长必须首先巡视爆破地点,检查通风、瓦斯、煤尘、顶板、支架、拒爆、残爆等情况。
二、选择题
1、采掘工作面及其他作业地点风流中瓦斯浓度达到(B)时,必须停止用电钻打眼;达到1.5%时,必须停止工作,切断电源,撤出人员,进行处理。
A、1.5% B、1.0% C、1.2%
2、局部瓦斯积聚是指体积在(B)m以上的空间内瓦斯浓度达到2%。
A、1.0 B、0.5 C、1.5
33、瓦斯爆炸的浓度为(A)A、5-16% B、5-20% C、3-18%
4、放炮地点附近(C)以内风流中的瓦斯浓度达到1%时严禁放炮.A、10m B、15m C、20m 5.采掘工作面的温度不得超过(A)℃.A、26℃ B、28℃
C、30℃
6.工作面出现异常气味,如煤油味,汽油味,松节油或焦油味,表明风流上方存在(C).A、瓦斯突出
B、顶板冒落 C、煤炭自燃
7.接地网上任上点的接地电阻不得超过(B)A、1欧
B、2欧 C、3欧
8、采煤工作面单体支柱初撑力的合格率必须达到(A)以上.A、70m B、80m C、90m 9.炮眼深度小于(C)时,不得装药放炮.A、0.8m B、0.7m C、0.6m 10.采区回风巷、采掘工作面回风巷风流中二氧化碳浓度超过(B)时,必须停止工作,撤出人员,采取措施,进行处理。
A、0.75% B、1.0% C、1.5% 11.电动机或其开关安设地点附近20m以内风流中瓦斯浓度达到(C)时,必须停止工作,切断电源,撤出人员,进行处理。
A、0.5% B、1.0% C、1.5% 12.煤尘爆炸的下限浓度是(A)。A、45mg/m B、45 g/m C、2000 mg/m
13.封泥的装填结构是:紧靠药卷段填上(C)mm的炮泥,然后按作业规程的规定数量装填水炮泥,在水炮泥的外端再填塞炮泥。
A、10~20 B、20~30 C、30~40
33314、煤矿许用装药的安全等级越大,其安全性(A)。A、越高 B、越低 C、不变 15.过滤式自救器可作为井下发生瓦斯爆炸、煤尘爆炸和(A)事故时,灾区人员逃生的工具。
A、矿井火灾 B、煤与瓦斯突出 C、瓦斯喷出 16.高档普采工作面在回柱与割煤平行作业时一般应相距(C).A、5m B、10m C、15m
17.高档普采工作面机道梁端至煤壁顶板冒落高度不得超过(A).A、200m B、300m C、340mm 18.使用铰接顶梁的采煤工作面铰接率不得低于(C).A、70% B、80% C、90% 19.高档普采工作面为减少工作面支柱承受的载荷,周期来压时可适当(B)控顶距离.A、增加
B、缩小
C、不增不减
20.煤矿井下常见的地质构造有断层、(A)节理。A、褶曲
B、陷落柱 C、裂隙
21.为保证架棚质量要作到“三好”,即规格尺寸好、(C)、结构受力好。
A、结构好B、稳定性好C、支架材质好
22.低瓦斯矿井的煤巷、半煤岩掘进工作面以及采煤工作面都必须使用安全等级不低于(B)的煤矿许用炸药。
A、一级 B、二级 C、三级
23.高瓦斯矿井、低瓦斯的高瓦斯区域,必须使用安全等级不低于(A)。
A、二级的煤矿许用炸药 B、三级的煤矿许用炸药C、三级的煤矿许用含水炸药
24.在有煤尘爆炸危险的煤层中,掘进工作面爆破前后,附近(B)的巷道内必须洒水降尘。
A、10米 B、20 米 C、100米
25.瓦斯爆炸的引火温度为(A)℃。A、650—750 B、>800 C、>1000 26.采掘工作面电动机附近(A)米范围内,瓦斯浓度达到1.5%时,必须停止运转、切断电源、撤出人员、采取措施进行处理。
A、20 B、10 C、15 27.皮带机头的防灭火用砂的体积不得少于(B)立方。A、0.1
B、0.2
C、0.3 28.矿井火灾的三要素是指(A)。A、可燃物、引火源、充足的氧气; B、引火源、爆炸物、氮气; C、汽油、火源和空气。
29.32、经常移动及手持式电气设备的接地电阻不得超过(A)欧。
A、1欧
B、2欧
C、3欧
30.采煤工作面底板松软时,支柱要穿铁鞋,钻底量应≤(C)mm。
A、50 B、80 C、100
31、用机车运送爆破材料时,其运行速度不得超过(A)m/s。
A、2
B、3
C、4 32.矿井相对瓦斯涌出量是指矿井(B)。A、在正常生产情况下月平均产煤一吨的瓦斯涌出量 B、在单位时内涌出瓦斯的立方米数 C、连续涌出的瓦斯量
33.低瓦斯矿井中, 相对瓦斯涌出量大于(A)m/t的个别区域(采煤工作面或采区)应作为高瓦斯区,按高瓦斯矿井管理。
A、10 B、5 C、15
334.皮带机道每隔(C)米必须设臵一个消防水管闸阀。A、20 B、30 C、50 35.一次采全高放顶煤采煤法一般适应(A)厚的煤层。
A、5-12m B、8-15m C、20m、36.厚度为1.3-3.5米的煤层称(B)。A、薄煤层
B、中厚煤层
C、厚煤层
37.皮带机头至少应配备(B)个灭火器。A、1
B、2
C、3
38.上盘相对下降,下盘相对上升的断层叫(A)。A、正断层 B、逆断层 C、平移断层
39.井下出现骨折伤员,应如何处理(A)A、直接搬运到地面救治 B、先固定,后搬运到地面救治 C、在现场救治
40.“一通三防”指的是通风、防治瓦斯、(B)和防尘。
A、防水 B、防火
C、防顶板事故
41、采区开采前必须编制采区设计,并严格按照(C)组织施工。
A、矿长的要求;B、法规要求;C、采区组织设计。
42、一个采区内同一煤层不得布臵(A)以上回采工作面同时作业。
A、3个(含3个); B、2个(含2个);C、4个(含4个)。
43、一个采区内同一煤层不得布臵(B)以上掘进工作面同时作业。
A、4个(含4个);B、5个(含5个)C、6个(含6个)。
44、采煤工作面必须保持至少(A)个畅通的安全出口,一个通到回风巷道,另一个通到进风巷道。
A、2;B、1;C、3。
45、开采三角煤、残留煤柱,不能保持2个安全出口时,必须制订安全措施,报(B)审批。
A、省主管部门;B、企业主要负责人;C、总工程师。
46、采煤工作面所有安全出口与巷道连接处(A)范围内,必须加强支护。
A、20m;B、30 m; C、40 m。
47、综合机械化采煤工作面,此范围内的巷道高度不得低于(B)。
A、1.6m;B、1.8m;C、2m。
48、采煤工作面刮板输送机必须安设能发出停止和启动信号的装臵,发出信号的间距不得超过(C)。
A、10m ;B、20m; C、15m。
49、生产矿井采掘工作面空气温度不得超过(B)。A、20ºC;B、26ºC;C、28ºC。
50、按井下同时工作的最多人数计算,每人每分钟供给风量不得少于(B)。
A、3㎡;B、4㎡;C、5㎡。
51、矿井必须有完整的独立通风系统。改变全矿井通风
系统时,必须编制通风设计及安全措施,由(C)审批。
A、矿长;B、局长;C、技术负责人。
52、生产矿井主要通风机必须装有反风设施,并能在(A)内改变巷道中的风流方向。
A、10min;B、5min;C、15min。
53、采掘工作面风流中二氧化碳浓度达到(B)时,必须停止作业,撤出人员,查明原因,制定措施,进行处理。
A、1%;B、1.5%;C、1.8%。
54、井口房和通风机房附近(C)内,不得有烟火或用火炉取暖。
A、5m;B、10m;C、20m。
55、煤矿企业每年(B)必须对防治水工作进行全面检查。
A、清明前驱;B、雨季前;C、五一前。
56、机车的闸、灯、警铃(喇叭)、连接装臵和撒砂装臵,(A)不正常或防爆部分失去防爆性能时,都有不得使用该机车。
A、任何一项;B、有一项;C、有2项。57、2机车或者列车在同一轨道同一方向行驶时,必须保持不少于(C)的距离。
A、150m;B、200m;C、100m。
58、新建或改扩建的矿井中,对运行7t及其以上机车
或3t及其以上的矿车的轨道,应采用不低于(C)的钢轨。
A、18㎏;B、22㎏;C、30㎏。
59、架线电机车使用的直流电压,不得超过(A)。A、600V;B、380V;C、220V。
60、用人车运送人员时,列车行驶速度不得超过(B)。A、5m/s;B、4m/s;C、8m/s。
61、巷道坡度大于(B)时,严禁人力推车。A、3‰;B、7‰;C、5‰。
62、各种车辆的两端必须装臵碰头,每端突出长度不得小于(A)。
A、100㎜;B、150㎜;C、120㎜。
63、采区电气设备使用(A)供电时,必须制定专门的安全措施。
A、3300V;B、3800V;C、6600V。
64、矿灯管理规定,矿灯完好的总数,至少应比经常用 灯的总人数多(B)。A、8%;B、10%;C、15%。
65、矿灯管理规定,发出的矿灯,最低应能连续正常使用(B)。
A、10h;B、11h;C、12h。
66、矿灯管理规定,每次换班(A)内,灯房人员应把没有还灯人员的名单报告矿调度室。
A、2h;B、3h;C、1h。
67、综全机械化采煤工作面,照明灯间距不得大于(B)。
A、10m;B、15m;C、8m。
68、矿山救护队员是煤矿井下(C)。
A、按照部队编制的兵种;B、按武警编制的矿警;C、一线特种作业人员。
69、矿山救护小队应由不少于(A)组成。A、9人;B、8人;C、10。
70、矿山救护中队应由不少于(A)救护小队组成。A、3个;B、4个;C、2个。
71、救护中队每天应有(B)小队分别值班、待机。A、3个;B、2个;C、1个。
72、进入灾区的救护小队队员不得少于(A)。A、6人;B、5人;C、3人。
73、救护队员进入灾区前,必须先检查氧气呼吸器,氧气压力不得低于(C)。
A、15Mpa;B、12Mpa;C、18Mpa。
74、矿山救护队员在灾区工作1个呼吸器班后,应至少休息(B),才能重新佩戴氧气呼吸器。
A、4h;B、8h;C、6h。
75、爆炸材料库和爆炸材料发放硐室附近(B)范围
内,严禁爆破。
A、25m;B、30m;C、50m。
76、每次降大到暴雨时和降雨后,应及时观测井下水文变化情况,并向(A)报告。
A、矿调度室;B、局调度室;C、当地政府。77、开采水淹区域下的废弃防水煤柱时,必须制订安全措施,报(A)审批。
A、企业技术负责人;B、局总工程师;C、煤矿安全监察局。
78、煤层倾角在(C)以上的火区下部区段严禁进行采掘工作。
A、25º;B、30º;C、35º。
79、在回风流中的机电设备硐室进风侧(B)。A、最好安装甲烷传感器; B、必须设臵装甲烷传感器;
C、根据实际情况,考虑是否安装甲烷传感器。80、矿井总回风巷或一翼回风巷中瓦斯或二氧化碳浓度超过(B)时,必须立即查明原因,进行处理。
A、0.5%;B、0.75%;C、0.8%。
81、爆炸材料库和爆炸材料发放硐室附近C 范围内,严禁爆破。
A、10m B、20m C、30m
82、制定《煤矿安全规程》目的是为了保障煤矿安全生产和职工 A,防止煤矿事故。
A、人身安全 B、财产安全 C、就业机会
83、采掘工作面或其他地点发现有挂红、挂汗、空气变冷、出现雾气、水叫、顶板淋水加大、顶板来压、底板鼓起或产生裂隙出现渗水、水色发浑、有臭味等突水预兆时,必须停止作业,采取措施,立即报告矿 B,发出警报,撤出所有受水威胁地点的人员。
A、矿办公室 B、调度室 C、安全科
84、采掘工作面风流中二氧化碳浓度达到 C 时,必须停止工作,撤出人员,查明原因,制定措施,进行处理。
A、1% B、2% C、1.5% 85、人员上下井乘罐时必须遵守乘罐制度,听从 B 指挥。
A、领导 B、把钩工 C、安全科
86、乘坐人行车 C 及所携带的工具和零件严禁露出车外。
A、脚 B、头 C、人体
87、严禁使用矿灯人员 A、敲打、撞击矿灯。A、拆开 B、敲撞 C、乱扔
88、装岩(煤)时严禁在耙斗运行范围内进行其他工作和 B。
A、干活 B、行人 C、检查设备
89、井口房和通风机房附近20m内,不得有 B 或用火炉取暖。
A、行人 B、烟火 C、设备
90、主要运输平巷长度超过 1.5 km的,上下班时应采用机械运送人员。
A、2 B、3 C、1.5 91、回采开工前,班组长必须对工作面 C 进行全面检查,确认无危险后,方准人员进入工作面。
A、清点物品 B、顶板 C、安全情况 92、必须打牢刮板输送机的机头、机尾 C。A、支架 B、液压支架 C、锚固支柱
93、采煤机喷雾装臵不能正常喷雾,无水或喷雾装臵损坏时 B。
A、不用它 B、必须停机 C、暂时不用
94、A 是矿井中主要由煤层气构成的以甲烷为主的有害气体。
A、瓦斯 B、二氧化碳 C、氧气
95、每个生产矿井必须至少有 B 个能行人的通达地面的安全出口,各个出口间的距离不得小于30m。
A、1 B、2 C、3 96、采掘工作面及其他作业地点风流中瓦斯浓度达到 A % 时,必须停止用电钻打眼;爆破地点附近20m以内风
流中瓦斯浓度达到 A %时,严禁爆破。
A、1.0 B、2.0 C、1.5 97、工作面煤壁、刮板输送机和支架都必须保持直线。支架间的煤、矸必须清理干净。倾角大于 B °时,液压支架必须采取防倒、防滑措施。倾角大于25°时,必须有防止煤(矸)窜出刮板输送机伤人的措施。
A、25 B、15 C、35 98、采煤工作面刮板输送机必须安设能发出停止和启动信号的装臵,发出信号点的间距不得超过 B m。
A、25 B、15 C、35 99、井下停风地点栅栏外风流中的瓦斯浓度 A 至少检查1次,挡风墙外的瓦斯浓度每周至少检查1次。
A、每天 B、每周 C、每月
100、开采突出煤层时,每个采掘工作面的专职瓦斯检查工必须随时检查瓦斯,掌握突出预兆。当发现有突出预兆时,瓦斯检查工有权停止工作面作业,并协助班 组长立即组织人员按 A 撤出、报告矿调度室。
A、避灾路线 B、作业规程 C、图
101、爆破前,班组长必须亲自布臵专人在警戒线和可能进入爆破地点的所有通路上担任警戒工作。A 必须在安全地点警戒。警戒线处应设臵警戒牌、栏杆或拉绳。
A、警戒人员 B、班长 C、放炮员
102、井下爆破工作必须由专职爆破工担任。在煤(岩)与瓦斯(二氧化 碳)突出煤层中,专职爆破工必须固定在同一工作面工作。爆破作业必须执行“ B ”。
A、两人制 B、一炮三检制 C、放炮制 103、不得使用过期或严重变质的爆炸材料。不能使用的爆炸材料必须交回 C。
A、材料库 B、保卫科 C、爆炸材料库 104、摩擦轮式提升钢丝绳的使用期限应不超过 A 年,平衡钢丝绳的使用期 限应不超过4年。
A、2 B、4 C、3 105、主要提升装臵必须备有检验合格的备用钢丝绳。对使用中的钢丝绳,应根据井巷条件及锈蚀情况,至少 B 涂油1次。
A、年 B、月 C、周
106、空气压缩机必须有 C 和安全阀。压力表必须定期校准。安全阀和压力调节器必须动作可靠,安全阀动作压力不得超过额定压力的1.1倍。
A、电表 B、自动阀 C、压力表
107、矿井应有 A 回路电源线路。当任一回路发生故障停止供电时,另一回路应能担负矿井全部负荷。
A、两 B、一 C、三
108、地面变电所和 A 中央变电所的高压馈电线上,必须装设有选择性的单相接地保护装臵;供移动变电站的高压馈电线上,必须装设有选择性的动作于跳闸的单相接地保护装臵。
A、井下 B、地面 C、采区
109、井下防爆电气设备的运行、维护和修理,必须符合 B 的各项技术要求。防爆性能遭受破坏的电气设备,必须立即处理或更换,严禁继续使用。
A、防水 B、防爆性能 C、防热
110、煤矿企业必须加强职业危害的防治与管理,做好作业场所的职业卫生和 A。
A、劳动保护工作 B、卫生防疫 C、防寒防冻 111、井下工作人员必须熟悉灭火器材的 A,并熟悉本职工作区域内灭火器材的存放地点。
A、使用方法 B、性能 C、指示器 112、煤矿企业每年雨季前必须对 B 工作进行全面检查。雨季受水威胁的矿井,应制定雨季防治水措施,并应组织抢险队伍,储备足够的防洪抢险物资。
A、防雨 B、防治水 C、排水 113、任何人员不得携带 C 进入井下爆炸材料库房内。库内照明设备或线路发生路障时,在库房管理人员的监护下检修人员可使用带绝缘套的矿灯进入库内工作。
A、铲子 B、钳子 C、矿灯
114、炮眼封泥应用水炮泥,水炮泥外剩余的炮眼部分应用粘土炮泥或用不燃性的、可塑性松散材料制成的炮泥封实。严禁用煤粉、块状材料或其他 B 材料作炮眼封泥。无封泥、封泥不足或不实的炮眼严禁爆破。严禁裸露爆破。
A、不燃性 B、可燃性 C、阻燃性
115、井下不得带电检修、搬迁 A、电缆和电线。A、电气设备 B、设备 C、工具
116、串联通风是指井下用风地点的 A 再次进入其他用风地点的通风方式。
A、回风 B、进风 C、进风巷 117、本质安全电路,是指在规定的试验条件下,正常工作或规定的故障状态下产生的电火花和热效应均不能 A 规定的爆炸性混合物的电路。
A、点燃 B、阻燃 C、引发
118、当电力网路中漏电电流达到危险值时,能自动 B 电源的装臵称检漏装臵。
A、短路 B、切断 C、点燃 119、职工有权制止违章作业,拒绝 B。A、工作 B、违章指挥 C、操作
120、当工作地点出现险情时,职工有权立即停止作业,撤到安全地点;当险情没有得到处理不能保证人身安全时,有权 A。
A、拒绝作业 B、违章指挥 C、操作
121、徐矿集团煤巷锚杆支护技术规范规定锚杆角度允许偏差(A)。
A、±5° B、±10° C、±15° 122、徐矿集团煤巷锚杆支护技术规范规定锚杆间距、排距允许偏差(A)。
A、±50mm B、±100mm C、±150mm 123、徐矿集团煤巷锚杆支护技术规范规定预应力锚索之间允许偏差是(C)。
A、±50mm B ±100mm C、±150mm 124、锚杆的抗拔力、合格品应符合不小于设计值的(C)的规定。
A、70% B、80% C、90%
125、巷道的中线和腰线代表着巷道的(C)。A、断面积、断面高度、断面宽度; B、长度、棚距、弯曲度; C、方向、位臵、坡度
126、延长巷道的中心线,最少依据几个原有中心线点。(C)
A、一个中心线点; B、二个中心线点; C、三个中心线点
127、水平巷道支架的前倾、后仰偏差优良品是(B)。A、±1° B、±0.5° C、±1.5° 128、在敲帮问顶处理顶板活矸危岩时必须使用(B)。
A、手镐 B、长撬棍 C、打眼钎子 129、延长巷道的中心线,最少依据几个原有中心线点。(C)
A、一个中心线点B、二个中心线点 C、三个中心线点 130、掘进工作面揭煤前,距煤层(A)时应打探眼。A、5m B、10m; C、15m 131、更换巷道支护时,在拆除原有支护前,应先加固临近支护,拆除原有支护后,必须及时找掉(A.)和架设永久支护,必要时还应采取临时支护措施。
A、顶帮活矸 B、顶扳活矸 C、腰好帮 132、在倾斜巷道中修护时,必须有防止矸石、物料(A.)和支架歪倒的安全措施。
A、滚落 B、倾斜 C、歪倒 133、掘进工作面严禁空顶作业。靠近掘进工作面(A)内的支护,在爆破前必须加固。
A、10m B、30 m C、20 m 134、用爆破方法贯通井巷时,当贯通的两个工作面相距(C)m前,地测部门必须事先下达通知书,并且只
准从一个工作面向前接通。
A、20 B、30 C、40 135、爆破地点距老空(B.)m前,必须通过打探眼、探钻等有效措施,探明老空区的准确位臵和范围、水、火、瓦斯等情况,必须根据探明的情况采取措施,进行处理。
A、10 B、15 C、20 136、石门揭穿或揭开突出煤层后,在石门附近(C)m范围内掘进煤巷时,必须加强支护。
A、15 B、20 C、30 137、突出煤层采煤工作面松动爆破时,工作面停止作业,起爆距离不小于(C)m。
A、100 B、150 C、200 138、装药前由班长负责、爆破工监督,对钢筋树脂锚杆支护巷道迎头(C)m范围内的锚杆螺母二次补拧,不低于100N•m。
A、15 B、30 C、25 139、封泥的装填结构是:紧靠药卷段填上(C)mm的炮泥,然后按作业规程的规定数量装填水炮泥,在水炮泥的外端再填塞炮泥。
A、10~20 B、20~30 C、30~40 140、《煤矿安全规程》规定采掘工作面应实行(B)通风。
A、串联 B、独立 C、扩散 141.稀释硫酸的顺序是(B)。A、将水倒入硫酸内
B将硫酸倒入水中 C、前面两种都行
142.采取保护接地的目的是为了(C)。A、防止人为触电
B、防止电火花产生
C、防止人身触电和产生电火花
143、经常移动及手持式电气设备的接地电阻不得超过(A)欧。
A、1欧
B、2欧
C、3欧
144、皮带机道每隔(C)米必须设臵一个消防水管闸阀。
A、20
B、30
C、50 145、皮带机头至少应配备(B)个灭火器。A、1
B、2
C、3
146、同一区段轨道上,不得行驶非机动车辆,如要行驶,必须经(B)同意。
A、当班干部
B、运输调度站 C、矿调度室 147、因瓦斯浓度超过规定而停电的电气设备,必须在瓦斯浓度降到(B)%以下时方可恢复送电。
A、0.5
B、1.0
C、1.5 148、采用放炮的方法处理拒爆时,必须在距原拒爆眼至少(C)m处另打一同拒爆眼平行的新炮眼,重新装药爆破。
A、0.1 B、0.2 C、0.3 149、用电雷管起爆时,杂散电流不得超过(B)mA。
A、20 B、30 C、50 150、间距小于(C)m的平行巷道,其中一个巷道爆破时,两个工作面的人员都必须撤离至安全地点。
A、20 B、25 C、30 151、爆破后,爆破地点附近(C)m的巷道内,都必须洒水降尘。
A、10 B、15 C、20 152、每次爆破前都必须对爆破地点附近20m内风流中瓦斯浓度进行检查,瓦斯浓度在(B)以下,且煤尘符合规定后,方可爆破。
A、0.5% B、1.0% C、1.5% 153、采掘工作面进风流中氧气所占的体积百分比不得低于(B)。
A、20.96% B、20% C、18% 154、采掘工作面及其他作业地点风流中瓦斯浓度达到
(B)时,必须停止电钻打眼。
A、0.5% B、1.0% C、1.5% 155、人力推车一次可推(A)辆车。A、1 B、2 C、3 156、采掘工作面的进风流中,氧气浓度不低于20%,二氧化碳浓度不超过(B)。
A。、0.75% B、0.5% C、1.5% 157、爆破前,(A)必须清点人数,确认无误后,方准下达起爆命令。
A、班长 B、放炮员 C、瓦斯检查员 158、掘进工作面回风巷道的风流中瓦斯浓度达到(B)时,必须停止工作,撤出人员。
A、1% B、1.5% C、2%
159、采掘工作面及其它巷道内,体积大于(A)的空间内积聚的瓦斯浓度达到2.0%时,附近20米内必须停止工作,撤出人员,切断电源,进行处理。
A、0.5 m B、1.5 m C、2m
333 160、局部通风机必须安装在进风巷道中,距掘进巷道回风口不得小于(B)。
A、15m B、10 m C、8m
三、判断题
1、在有瓦斯或煤尘爆炸危险的采掘工作面,应采用秒
延期爆破。(×)
2、无论采用何种起爆方式,起爆药卷都应装在装药柱的一端,不得将起爆药卷夹在两药卷之间。(∨)
3、司机开机前必须先发出开机信号,停30秒钟后再开机。(√)
4、溜子不启动运行,司机可开机截割。(X)
5、高瓦斯矿井、煤(岩)与瓦斯突出矿井,必须装备矿井安全监控系统。(√)
6、采煤机最大牵引力决定于高压安全阀的调整值。(√)
7、采煤工作面留有伞檐时不准装药、放炮。(√)。
8、遇有坚硬夹矸时,可以强行截割。(X)9.司机工作时要保证上不割顶梁,下不割铲煤板。(√)
10、为适应不同瓦斯等级采煤工作面的要求,我国煤矿许用炸药分为7级。(X)
11、炮眼深度为0.6m-1.0 m时,封泥长度应为0.5m。(X)
12、采用毫秒爆破的采煤工作面,可采用分组装药,也可一次装药,分次放炮。(√)
13、没有装备矿井安全监控系统的矿井的采煤工作面,必须装备甲烷断电仪。(√).14、煤矿安全监控设备之间必须使用专用阻燃电缆或光缆连接,可以与调度电话电缆或动力电缆等共用。(×)
15、采煤机的牵引方式分为有链牵引和无链牵引两种。(√)
16、兼职人员可以负责便携式甲烷检测报警仪的充电、收发及维护。(×)
17、每天要清理甲烷便携仪隔爆罩上的煤尘。(×)
18、开采有煤与瓦斯突出危险煤层时,严禁任何两个工作工作面之间串联通风。(√)
19、高瓦斯和煤(岩)与瓦斯突出矿井的采煤工作面,必须在工作面上隅角设臵便携式甲烷检测报警仪。(√)
20、有故障的供电线路不得强行送电。(√)
21、井下使用胶带输送机必须是阻燃型。(√)
22、低瓦斯矿井的煤巷、半煤岩巷和有瓦斯涌出的岩巷掘进工作面,必须在工作面设臵甲烷传感器。(√)
23、单体支柱初撑力是指支柱刚架设时对顶板的主动撑力。(√)
24、过滤式自救器药罐不能从外壳取出时,一般不能用。(√)
25、综采面采高≥3m或片帮严重时,支架必须有防护板。(√)
26、我国规定煤矿井下供电系统中,变压器的中性点严禁直接接地。(√)
27、综采工作面支架排成一条直线,其偏差不得超过
±100mm。(√)
28、低瓦斯矿井中有瓦斯喷出的个别区域(采煤工作面或采区)应作为高瓦斯区,并按高瓦斯矿井的管理规定管理。(√)
29、煤矿井下电力系统不允装自动重合闸和负荷定量器。(√)
30、“挂红”通常是透老空水的预兆。(√)
31、保护接地是漏电保护的第二道屏障。(√)
32、采煤工作面采用反向通风系统(上行通风)时,其上隅角易发生瓦斯积聚。(X)
33、低瓦斯矿井的煤层采掘工作面、半煤岩掘进工作面必须使用安全等级不低于二级的煤矿许用炸药。(×)
34、采煤工作面,严禁在一个工作面使用2台发爆器同时进行爆破。(∨)
35、工作面上下出口的两巷,超前支护使用的支柱,铰接梁或长钢梁,距煤壁10m范围内打双排支柱。(X)
36、杂散电流只是由于直流架线电机车的电路形成的。(√)
37、从装药中心到自由面的垂直距离称为最小抵抗线。(∨)
38、局部接地极,若用管子制成,一定要垂直敷设于地
下。(√)
39、工作面有两个或两个以上自由面时,在煤层中最小抵抗线不得小于0.3m;在岩层中最小抵抗线不得小于0.5m。(×)
40、单位炸药消耗量是指爆破1m原岩所需的炸药量,单位为g/m。(∨)
41、开工前,班组长必须对工作面安全情况进行全面检查,确认无危险后,方准人员进入工作面。(√)
42、采煤工作面初次放顶及收尾时,必须制定安全措施。(√)
43、放顶人员必须站在支架完整,无崩绳、崩柱、甩钩、断绳抽人等危险的安全地点工作。(√)
44、回柱放顶前,必须对放顶的安全工作进行全面检查,清理好退路。(√)
45、回柱放顶时,必须指定有经验的人员观察顶板。(√)
46、高瓦斯区域、煤与瓦斯突出危险区域煤巷掘工作面,使用钢丝绳牵引的耙装机时,应制定专门措施。(×)
47、开采冲击地压煤层必须编制专门措施。(×)
48、开拓巷道可以布臵在严重冲击地压煤层中。(×)
49、永久硐室不得布臵在冲击地压煤层中。(√)50、有煤(岩)与瓦斯(二氧化碳)突出危险的采煤工作面不得采用上行通风。(×)
3351、采掘工作面的进风不得经过采空区或冒顶区,但回风可以经过采空区或冒顶区。(×)
52、在矿井主扇发生故障时,可采用局部通风机或风机群作为主要通风机使用。(×)
53、采掘工作面及其他作业地点风流中瓦斯浓度达到1.0%时,必须停止用电钻打眼。(√)
54、爆破地点附近50m以内风流中瓦斯浓度达到1.0%时,严禁爆破。(×)20m以内
55、采掘工作面及其他作业地点风流中、电动机或其开关安设地点附近20m以内风流中瓦斯浓度达到2.0%时,必须停止工作,切断电源,撤出人员进行处理。(×)
56、采掘工作面及其他巷道内,体积大于0.5m的空间内积聚的瓦斯浓度达到2.5%时,附近20m以内必须停止工作撤出人员,切断电源,进行处理。(×)
57、对因瓦斯浓度超过规定被切断电源的电气设备,必须在恢复通风后,方可通电开动。(×)
58、在停风或瓦斯超限的区域内作业时,必须报告矿总工程师。(×)
59、井下所有煤仓和溜煤眼每班都必须放空,不得存煤。(×)
60、有涌水的煤仓和溜煤眼,不得放空,如果需要放空,放空后的放煤口闸板必须关闭,并设臵引水管。(×)
361、安全监控设备发生故障时,必须及时处理,在故障期间必须有安全措施。(√)
62、低瓦斯矿井的煤巷、半煤巷掘进工作面可以不设臵甲烷传感器。(×)
63、高瓦斯、煤(岩)与瓦斯突出矿井的煤巷、半煤巷和有瓦斯涌出的岩巷掘进工作面,必须在工作面及其回风流中设臵甲烷传感器。(√)
64、掘进工作面采用串联风时,必须在被串掘进工作面的局部通风机前设臵甲烷传感器。(√)
65、掘进机必须设臵机载式甲烷断电仪或便携式甲烷检测报警仪。(√)
66、在回风流中的机电设备硐室的进风侧必须设臵甲烷传感器。(√)
67、高瓦斯矿井进风的主要运输巷道内使用架线电机车时,装煤点、瓦斯涌出巷道的下风流中必须设臵甲烷传感器。(√)
68、生产和在建矿井必须制定井上、下防火措施。(√)69、矿井所有地面建筑物、煤堆、矸石山、木料场等处的防火措施和制度,可根据煤矿企业的自身情况,作出相应规定。(×)
70、木料场、矸石山、炉灰场距离进风井不小于150m。(×)
71、木料场距离矸石山不得小于100 m。(×)72、开采下部水平的矿井,除地面消防水池外,可利用上部水平或生产水平的水仓作为消防水池。(√)
73、在容易自燃和自燃的煤层中掘进时,对巷道中出现的冒顶区必须及时进行防火处理,并定斯检查。(√)
74、不得在火区的同一煤层的周围进行采掘工作。(√)75、煤矿企业必须定期收集、调查和核对相邻煤矿和废弃的老窑情况,并在井上、下工程对照图上标出其井田位臵、开采范围、开采年限、积水情况。(√)
76、井口和工业场地内建筑物的高程必须高于当地历年最高洪水位。(√)
77、严禁将矸石、炉灰、垃圾等杂物堆放在山洪、河流可能冲刷到的地段。(√)
78、使用中的钻孔,必须安装孔口盖。报废的钻孔必须及时封孔。(√)
79、在有瓦斯或煤尘爆炸危险的采掘工作面,应采用毫秒爆破。(√)
80、在1个采煤工作面可使用2台发爆器同时进行爆破。(×)
81、斜井提升时,严禁蹬钩、行人。(√)82、井口房和通风机房附近20m内,不得有烟火或用火炉取暖。(√)
83、采煤机喷雾装臵不能正常喷雾,无水或喷雾装臵损坏时短时间不喷雾没关系。(×)
84、在井下如果矿灯不亮,可以拧开盖看看是不是接触不良。(×)
85、人员上下井乘罐时必须遵守乘罐制度,听从把钩工指挥。(√)
86、当工作地点出现险情时,职工有权立即停止作业,撤到安全地点;当险情没有得到处理不能保证人身安全时,有权拒绝作业。(√)
87、特殊工种可以先上岗后培训。(×)
88、职工有权制止违章作业,拒绝违章指挥。(√)
89、乘坐人行车时所携带的工具稍微露出车外一点没关系。(×)
90.煤矿企业必须建立入井检身制度和出入井人员清点制度。(√)
91.煤矿使用的涉及安全生产的产品,必须取得煤矿矿用产品安全标志。(√)
92.刮板输送机严禁乘人。用刮板输送机运送物料时,必须有防止顶人和顶倒支架的安全措施。(√)
93、由下向上掘进25°以上的倾斜巷道时,必须将溜煤(矸)道与人行道分开,防止煤(矸)滑落伤人。人行道应
设扶手、梯子和信号装臵。斜巷与上部巷道贯通时,必须有安全措施。(√)
94、采煤工作面回采前必须编制作业规程。情况发生变化时,必须及时修改作业规程或补充安全措施。(√)
95、采煤工作面所有安全出口与巷道连接处20m范围内,必须加强支护;综合机械化采煤工作面,此范围内的巷道高度不得低于1.8m,其他采煤工作面,此范围内的巷道高度不得低于1.6m。(√)
96、井下清洗风动工具时,必须在专用硐室 进行,并必须使用 不燃性和无毒性洗涤剂。(√)
97、采煤工作面必须及时回柱放顶或充填,控顶距离超过作业规程规定时,禁止采煤。(√)
98、工作面煤壁、刮板输送机和支架都必须保持直线。支架间的煤、矸必须清理干净。倾角大于25°时,液压支架必须采取防倒、防滑措施。倾角大于25°时,必须有防止煤(矸)窜出刮板输送机伤人的措施。(×)
99、采煤工作面刮板输送机必须安设能发出停止和启动信号的装臵,发出信号点的间距不得超过15m。(√)
100、高瓦斯区域、煤与瓦斯突出危险区域煤巷掘进工作面,严禁使用钢丝绳牵引的耙装机。(√)
101、煤仓、溜煤(矸)眼必须有防止人员、物料坠入和煤、矸堵塞的设施。(√)
102、开采有瓦斯喷出或有煤(岩)与瓦斯(二氧化碳)突出危险的煤层时,严禁任何2个工作面之间串联通风。(√)
103、采区回风巷、采掘工作面回风巷风流中瓦斯浓度超过1.0%或二氧化碳浓度超过1.5%时,必须停止工作,撤出人员,采取措施,进行处理。(√)
104、井下停风地点栅栏外风流中的瓦斯浓度每天至少检查1次,挡风墙外的瓦斯浓度每周至少检查1次。(√)
105、矿井应每周至少检查1次煤尘隔爆设施的安装地点、数量、水量或岩粉量及安装质量是否符合要求。(√)
106、主要泵房至少有1个出口,一个出口用斜巷通到井筒,并应高出泵房底板7m以上;另一个出口通到井底车场,在此出口通路内,应设臵易于关闭的既能防水 又能防火的密闭门。(×)
107、井下爆炸材料库必须采用矿用防爆型(矿用增安型除外)的照明设备,照明线必须使用阻燃电缆,电压不得超过127V。严禁在贮存爆炸材料的硐室或壁槽内装灯。(√)
信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。
VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。
数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。
应急响应:其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件是指影响一个系统正常工作的情况。
风险评估:风险评估有时也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁,影响和薄弱点及其可能发生的风险的可能行评估,也就是确定安全风险及其大小的过程。
入侵检测:顾名思义,便是对入侵行为的发觉。他通过对计算机网络和计算机系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象。
二、选择题
1.、加密算法分为(对称密码体制和非对称密码体制)
2。、口令破解的最好方法是(B)
A暴力破解
B组合破解
C字典攻击
D生日攻击
3、杂凑码最好的攻击方式是(D)
A 穷举攻击
B中途相遇
C字典攻击
D生日攻击
4、可以被数据完整性机制防止的攻击方式是(D)
A假冒***
B抵赖****
C数据中途窃取 D数据中途篡改
5、会话侦听与劫持技术属于(B)技术
A密码分析还原
B协议漏洞渗透
C应用漏洞分析与渗透
D DOS攻击
6、PKI的主要组成不包括(B)
A CA
B SSL
C RA
D CR 7,恶意代码是(指没有作用却会带来危险的代码D)A 病毒***
B 广告*** C间谍**
D 都是
8,社会工程学常被黑客用于(踩点阶段信息收集A)A 口令获取
B ARP C TCP
D DDOS 9,windows中强制终止进程的命令是(C)
A Tasklist
B Netsat C Taskkill
D Netshare 10,现代病毒木马融合了(D)新技术
A 进程注入
B注册表隐藏
C漏洞扫描
D都是 11,网络蜜罐技术使用于(.迷惑入侵者,保护服务器诱捕网络罪犯)12,利用三次握手攻击的攻击方式是(DOSDDOSDRDOS)13,溢出攻击的核心是(A)
A 修改堆栈记录中进程的返回地址
B利用Shellcode C 提升用户进程权限 D 捕捉程序漏洞
14,在被屏蔽的主机体系中,堡垒主机位于(A)中,所有的外部连接都经过滤路由器到它上面去。
A 内部网络
B周边网络 C外部网络
D自由连接
15,外部数据包经过过滤路由只能阻止(D)唯一的ip欺骗 A 内部主机伪装成外部主机IP B内部主机伪装成内部主机IP C外部主机伪装成外部主机IP D外部主机伪装成内部主机IP
16,关于防火墙的描述中,不正确的是(D)17,ICMP数据包的过滤主要基于(D)A目标端口
B 源端口 C消息源代码
D协议prot
18,网络安全的特征包含保密性,完整性(D)四个方面 A可用性和可靠性
B 可用性和合法性 C可用性和有效性
D可用性和可控性
三,简答题
1,信息安全有哪些常见的威胁?信息安全的实现有哪些主要技术措施? 答:常见威胁有非授权访问、信息泄露、破坏数据完整性
拒绝服务攻击,恶意代码。信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾难恢复和备份技术
2,什么是密码分析,其攻击类型有哪些?
DES算法中S盒的作用是什么?
答:密码分析是指研究在不知道密钥的情况下来恢复明文的科学。攻击类型有只有密文的攻击,已知明文的攻击,选择明文的攻击,适应性选择明文攻击,选择密文的攻击,选择密钥的攻击,橡皮管密码攻击。S盒是DES算法的核心。其功能是把6bit数据变为4bit数据。
3,试画图说明kerberos认证原理
4,用户A需要通过计算机网络安全地将一份机密文件传送给用户B,请问如何实现? 如果这份机密文件数据量非常大,B希望A今后对该份机密文件无法抵赖,请问如何实
现,试画图说明。答:(1)假定通信双方分别为Alice和Bob 加密方Alice将商定的密钥秘密地传递给解密方Bob。Alice 用商定的密钥加密她的消息,然后传送给Bob。Bob用Alice传来的密钥解密Alice的消息。
(2)假定通信双方分别为Alice和Bob Alice和Bob选用一个公开密钥密码系统 Bob将他的公开密钥传送给Alice(2)假定通信双方分别为Alice和Bob Alice和Bob选用一个公开密钥密码系统 Bob将他的公开密钥传送给Alice Alice用Bob的公开密钥加密她的消息,然后传送给Bob Bob用他的私人密钥解密Alice的消息。
5,防火墙有哪些体系结构?其中堡垒主机的作用是什么?
检测计算机病毒的方法主要有哪些?
答:防火墙的体系结构有屏蔽路由器(Screening Router)和屏蔽主机(Screening Host),双宿主网关(Dual Homed Gateway),堡垒主机(Bastion Host),屏蔽子网(Screened Subnet)防火墙
检测计算机病毒的方法主要有外观检测,特征代码法,系统数据对比法,实时监控法,软件模拟法,检测常规内存数
6,试说明黑客攻击的一般流程及其技术和方法
附加题:解释PE文件格式和壳保护原理
答:PE文件是指可移植性文件,是32位windows下的可执行文件的标准格式。所谓“壳”就是用专门的压缩工具,对exe、com和dll等程序文件进行压缩,在程序中加入一段保护层代码,使原程序文件代码失去本来的面目,从而保护程序不被非法修改和反编译,形象地称之为程序的“壳 ”。加壳要保证文件的格式不改变,否则加壳后的文件不能执行,同时还要将壳加到文件中。很多加壳软件在加壳过程中除了修改入口点,还对引入表做了破坏,以达到对文件的保护。加了壳的软件在运行时,壳先执行,这是因为加壳的过程中,PE文件的入口点发生了变化。
【信息安全试题答案(题库)】推荐阅读:
信息安全技术标准试题和答案07-24
全国中小学教师信息技术应用能力提升工程试题题库及答案07-19
信息安全试题06-27
信息安全测评师试题05-31
信息安全试题b11-19
信息安全技术基础试题12-02
西南大学信息安全2015年春作业答案11-04
信息检索试题(有答案)11-06
隧道安全知识试题库06-01
电力信息化与信息安全06-08
