CISP試題及答案-五套題
1. 人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是出于:A. 為了更好的完成組織機(jī)構(gòu)的使命B. 針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化C. 風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展D. 除了保
1. 人們對(duì)信息安全的認(rèn)識(shí)從信息技術(shù)安全發(fā)展到信息安全保障,主要是出于:
A. 為了更好的完成組織機(jī)構(gòu)的使命
B. 針對(duì)信息系統(tǒng)的攻擊方式發(fā)生重大變化
C. 風(fēng)險(xiǎn)控制技術(shù)得到革命性的發(fā)展
D. 除了保密性,信息的完整性和可用性也引起了人們的關(guān)注
2. 《GB/T 20274信息系統(tǒng)安全保障評(píng)估框架》中的信息系統(tǒng)安全保障級(jí)中的級(jí)別是指:
A. 對(duì)抗級(jí) B. 防護(hù)級(jí)
C. 能力級(jí)
D. 監(jiān)管級(jí)
3. 下面對(duì)信息安全特征和范疇的說(shuō)法錯(cuò)誤的是:
A. 信息安全是一個(gè)系統(tǒng)性的問(wèn)題,不僅要考慮信息系統(tǒng)本身的技術(shù)文件,還有考慮人員、管理、政策等眾多因素
B. 信息安全是一個(gè)動(dòng)態(tài)的問(wèn)題,他隨著信息技術(shù)的發(fā)展普及,以及產(chǎn)業(yè)基礎(chǔ),用戶(hù)認(rèn)識(shí)、投入產(chǎn)出而發(fā)展
C. 信息安全是無(wú)邊界的安全,互聯(lián)網(wǎng)使得網(wǎng)絡(luò)邊界越來(lái)越模糊,因此確定一個(gè)組織的信息安全責(zé)任是沒(méi)有意義的
D. 信息安全是非傳統(tǒng)的安全,各種信息網(wǎng)絡(luò)的互聯(lián)互通和資源共享,決定了信息安全具有不同于傳統(tǒng)安全的特點(diǎn)
4. 美國(guó)國(guó)防部提出的《信息保障技術(shù)框架》(IATF )在描述信息系統(tǒng)的安全需求時(shí),將信息技術(shù)系統(tǒng)分為:
A. 內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分
B. 本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施四個(gè)部分
C. 用戶(hù)終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件五個(gè)部分
D. 信用戶(hù)終端、服務(wù)器、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備和通信線路、應(yīng)用軟件,安全防護(hù)措施六個(gè)部分
5. 關(guān)于信息安全策略的說(shuō)法中,下面說(shuō)法正確的是:
A. 信息安全策略的制定是以信息系統(tǒng)的規(guī)模為基礎(chǔ)
B. 信息安全策略的制定是以信息系統(tǒng)的網(wǎng)絡(luò)???
C. 信息安全策略是以信息系統(tǒng)風(fēng)險(xiǎn)管理為基礎(chǔ)
D. 在信息系統(tǒng)尚未建設(shè)完成之前,無(wú)法確定信息安全策略
6. 下列對(duì)于信息安全保障深度防御模型的說(shuō)法錯(cuò)誤的是:
A. 信息安全外部環(huán)境:信息安全保障是組織機(jī)構(gòu)安全、國(guó)家安全的一個(gè)重要組成部分,因此對(duì)信息安全的討論必須放在國(guó)家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。
B. 信息安全管理和工程:信息安全保障需要在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系,將信息安全管理綜合至信息系統(tǒng)的整個(gè)生命周期,在這個(gè)過(guò)程中,我們需要采用信息系統(tǒng)工程的方法來(lái)建設(shè)信息系統(tǒng)。
C. 信息安全人才體系:在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識(shí),培訓(xùn)體系無(wú)關(guān)緊要
D. 信息安全技術(shù)方案:“從外而內(nèi)、自下而上、形成端到端的防護(hù)能力”
,7. 全面構(gòu)建我國(guó)信息安全人才體系是國(guó)家政策、組織機(jī)構(gòu)信息安全保障建設(shè)和信息安全有關(guān)人員自身職業(yè)發(fā)展三方面的共同要求?!凹涌煨畔踩瞬排嘤?xùn),增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神,是以下哪一個(gè)國(guó)家政策文件提出的?
A. 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》 B. 《信息安全等級(jí)保護(hù)管理辦法》
C. 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》
D. 《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》
8. 一家商業(yè)公司的網(wǎng)站發(fā)生黑客非法入侵和攻擊事件后,應(yīng)及時(shí)向哪一個(gè)部門(mén)報(bào)案? A. 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其各地相應(yīng)部門(mén)
B. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心
C. 互聯(lián)網(wǎng)安全協(xié)會(huì)
D. 信息安全產(chǎn)業(yè)商會(huì)
9. 下列哪個(gè)不是《商用密碼管理?xiàng)l例》規(guī)定的內(nèi)容:
A. 國(guó)家密碼管理委員會(huì)及其辦公室(簡(jiǎn)稱(chēng)密碼管理機(jī)構(gòu))主管全國(guó)的商用密碼管理工作
B. 商用密碼技術(shù)屬于國(guó)家秘密,國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理 C. 商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷(xiāo)售
D. 個(gè)人可以使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可之外的商用密碼產(chǎn)品
10. 對(duì)涉密系統(tǒng)進(jìn)行安全保密測(cè)評(píng)應(yīng)當(dāng)依據(jù)以下哪個(gè)標(biāo)準(zhǔn)? A. BMB20-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》
B. BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》
C. GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
D. GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》
11. 下面對(duì)于CC 的“保護(hù)輪廓”(PP )的說(shuō)法最準(zhǔn)確的是:
A. 對(duì)系統(tǒng)防護(hù)強(qiáng)度的描述 B. 對(duì)評(píng)估對(duì)象系統(tǒng)進(jìn)行規(guī)范化的描述
C. 對(duì)一類(lèi)TOE 的安全需求,進(jìn)行與技術(shù)實(shí)現(xiàn)無(wú)關(guān)的描述
D. 由一系列保證組件構(gòu)成的包,可以代表預(yù)先定義的保證尺度
12. 關(guān)于ISO/IEC21827:2002(SSE-CMM)描述不正確的是:
A. SSE-CMM是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)
B. SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過(guò)程 C. SSE-CMM模型定義了一個(gè)安全工程應(yīng)有的特征,這些特征是完善的安全工程的根本保證
D. SSE-CMM是用于對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)估的標(biāo)準(zhǔn)
13. 下面哪個(gè)不是ISO 27000系列包含的標(biāo)準(zhǔn) A. 《信息安全管理體系要求》
B. 《信息安全風(fēng)險(xiǎn)管理》
C. 《信息安全度量》
,D. 《信息安全評(píng)估規(guī)范》
14. 以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特征?
A. ITSEC
B. TCSEC
C. GB/T9387.2
D. 彩虹系列的橙皮書(shū)
15. 下面哪項(xiàng)不是《信息安全等級(jí)保護(hù)管理辦法》(公通字【2007】43號(hào))規(guī)定的內(nèi)容
A. 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則
B. 國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)的監(jiān)督和檢查 C. 跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)
D. 第二級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每???少進(jìn)行一次等級(jí)測(cè)評(píng)
16. 觸犯新刑法285條規(guī)定的非法侵入計(jì)算機(jī)系統(tǒng)罪可判處_____。 A. 三年以下有期徒刑或拘役
B. 1000元罰款
C. 三年以上五年以下有期徒刑
D. 10000元罰款
17. 常見(jiàn)密碼系統(tǒng)包含的元素是: A. 明文,密文,信道,加密算法,解密算法
B. 明文,摘要,信道,加密算法,解密算法
C. 明文,密文,密鑰,加密算法,解密算法
D. 消息,密文,信道,加密算法,解密算法
18. 公鑰密碼算法和對(duì)稱(chēng)密碼算法相比,在應(yīng)用上的優(yōu)勢(shì)是:
A. 密鑰長(zhǎng)度更長(zhǎng) B. 加密速度更快
C. 安全性更高
D. 密鑰管理更方便
19. 以下哪一個(gè)密碼學(xué)手段不需要共享密鑰?
A. 消息認(rèn)證
B. 消息摘要
C. 加密解密
D. 數(shù)字簽名
20. 下列哪種算法通常不被用戶(hù)保證保密性?
A. AES
B. RC4
C. RSA
,D. MD5
21. 數(shù)字簽名應(yīng)具有的性質(zhì)不包括:
A. 能夠驗(yàn)證簽名者
B. 能夠認(rèn)證被簽名消息
C. 能夠保護(hù)被簽名的數(shù)據(jù)機(jī)密性
D. 簽名必須能夠由第三方驗(yàn)證
22. 認(rèn)證中心(CA )的核心職責(zé)是_____。
A. 簽發(fā)和管理數(shù)字證書(shū)
B. 驗(yàn)證信息
C. 公布黑名單
D. 撤銷(xiāo)用戶(hù)的證書(shū)
23. 以下對(duì)于安全套接層(SSL )的說(shuō)法正確的是:
A. 主要是使用對(duì)稱(chēng)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性
B. 可以在網(wǎng)絡(luò)層建立VPN
C. 主要使用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用Web server方式
D. 包含三個(gè)主要協(xié)議:AH,ESP ,IKE
24. 下面對(duì)訪問(wèn)控制技術(shù)描述最準(zhǔn)確的是:
A. 保證系統(tǒng)資源的可靠性
B. 實(shí)現(xiàn)系統(tǒng)資源的可追查性
C. 防止對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)
D. 保證系統(tǒng)資源的可信性
25. 以下關(guān)于訪問(wèn)控制表和訪問(wèn)能力表的說(shuō)法正確的是:
A. 訪問(wèn)能力表表示每個(gè)客體可以被訪問(wèn)的主體及其權(quán)限
B. 訪問(wèn)控制表說(shuō)明了每個(gè)主體可以訪問(wèn)的客體及權(quán)限
C. 訪問(wèn)控制表一般隨主體一起保存
D. 訪問(wèn)能力表更容易實(shí)現(xiàn)訪問(wèn)權(quán)限的傳遞,但回收訪問(wèn)權(quán)限較困難
26. 下面哪一項(xiàng)訪問(wèn)控制模型使用安全標(biāo)簽(security labels)?
A. 自主訪問(wèn)控制
B. 非自主訪問(wèn)控制
C. 強(qiáng)制訪問(wèn)控制
D. 基于角色的訪問(wèn)控制
27. 某個(gè)客戶(hù)的網(wǎng)絡(luò)限制可以正常訪問(wèn)internet 互聯(lián)網(wǎng),共有200臺(tái)終端PC 但此客戶(hù)從ISP (互聯(lián)網(wǎng)絡(luò)服務(wù)提供商)里只獲得了16個(gè)公有的IPv4地址,最多也只有16臺(tái)PC 可以訪問(wèn)互聯(lián)網(wǎng),要想讓全部200臺(tái)終端PC 訪問(wèn)internet 互聯(lián)網(wǎng)最好采取什么辦法或技術(shù):
A. 花更多的錢(qián)向ISP 申請(qǐng)更多的IP 地址
B. 在網(wǎng)絡(luò)的出口路由器上做源NAT
C. 在網(wǎng)絡(luò)的出口路由器上做目的NAT
D. 在網(wǎng)絡(luò)出口處增加一定數(shù)量的路由器
,28. WAPI采用的是什么加密算法?
A. 我國(guó)自主研發(fā)的公開(kāi)密鑰體制的橢圓曲線密碼算法
B. 國(guó)際上通行的商用加密標(biāo)準(zhǔn)
C. 國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的流加密標(biāo)準(zhǔn)
D. 國(guó)際通行的哈希算法
29. 以下哪種無(wú)線加密標(biāo)準(zhǔn)的安全性最弱?
A. wep
B. wpa
C. wpa2
D. wapi
30. 以下哪個(gè)不是防火墻具備的功能?
A. 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域(公共網(wǎng)和企業(yè)內(nèi)部網(wǎng))之間的一系列部件的組合
B. 它是不同網(wǎng)絡(luò)(安全域)之間的唯一出入口
C. 能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流
D. 防止來(lái)源于內(nèi)部的威脅和攻擊
31. 橋接或透明模式是目前比較流行的防火墻部署方式,這種方式的優(yōu)點(diǎn)不包括:
A. 不需要對(duì)原有的網(wǎng)絡(luò)配置進(jìn)行修改
B. 性能比較高
C. 防火墻本身不容易受到攻擊
D. 易于在防火墻上實(shí)現(xiàn)NAT
32. 有一類(lèi)IDS 系統(tǒng)將所觀察到的活動(dòng)同認(rèn)為正常的活動(dòng)進(jìn)行比較并識(shí)別重要的偏差來(lái)發(fā)現(xiàn)入侵事件,這種機(jī)制稱(chēng)作:
A. 異常檢測(cè)
B. 特征檢測(cè)
C. 差距分析
D. 對(duì)比分析
33. 在Unix 系統(tǒng)中,/etc/service文件記錄了什么內(nèi)容?
A. 記錄一些常用的接口及其所提供的服務(wù)的對(duì)應(yīng)關(guān)系
B. 決定inetd 啟動(dòng)網(wǎng)絡(luò)服務(wù)時(shí),啟動(dòng)哪些服務(wù)
C. 定義了系統(tǒng)缺省運(yùn)行級(jí)別,系統(tǒng)進(jìn)入新運(yùn)行級(jí)別需要做什么
D. 包含了系統(tǒng)的一些啟動(dòng)腳本
34. 以下哪個(gè)對(duì)windows 系統(tǒng)日志的描述是錯(cuò)誤的?
A. windows系統(tǒng)默認(rèn)有三個(gè)日志,系統(tǒng)日志、應(yīng)用程序日志、安全日志
B. 系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件,例如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障
C. 應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件,例如應(yīng)用程序產(chǎn)生的裝載DLL (動(dòng)態(tài)鏈接庫(kù))失敗的
,信息
D. 安全日志跟蹤各類(lèi)網(wǎng)絡(luò)入侵事件,例如拒絕服務(wù)攻擊、口令暴力破解等
35. 在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過(guò)“視圖(view )”技術(shù),可以實(shí)現(xiàn)以下哪一種安全原則?
A. 縱深防御原則
B. 最小權(quán)限原則
C. 職責(zé)分離原則
D. 安全性與便利性平衡原則
36. 數(shù)據(jù)庫(kù)事務(wù)日志的用途是什么?
A. 事務(wù)處理
B. 數(shù)據(jù)恢復(fù)
C. 完整性約束
D. 保密性控制
37. 下面對(duì)于cookie 的說(shuō)法錯(cuò)誤的是:
A. cookie是一小段存儲(chǔ)在瀏覽器端文本信息,web 應(yīng)用程序可以讀取cookie 包含的信息
B. cookie可以存儲(chǔ)一些敏感的用戶(hù)信息,從而造成一定的安全風(fēng)險(xiǎn)
C. 通過(guò)cookie 提交精妙構(gòu)造的移動(dòng)代碼,繞過(guò)身份驗(yàn)證的攻擊叫做 cookie 欺騙
D. 防范cookie 欺騙的一個(gè)有效方法是不使用cookie 驗(yàn)證方法,而使用session 驗(yàn)證方法
38. 攻擊者在遠(yuǎn)程WEB 頁(yè)面的HTML 代碼中插入具有惡意目的的數(shù)據(jù),用戶(hù)認(rèn)為該頁(yè)面是可信賴(lài)的,但是當(dāng)瀏覽器下載該頁(yè)面,嵌入其中的腳本將被解釋執(zhí)行,這是哪種類(lèi)型的漏洞?
A. 緩沖區(qū)溢出
B. SQL注入
C. 設(shè)計(jì)錯(cuò)誤
D. 跨站腳本
39. 通常在網(wǎng)站數(shù)據(jù)庫(kù)中,用戶(hù)信息中的密碼一項(xiàng),是以哪種形式存在?
A. 明文形式存在
B. 服務(wù)器加密后的密文形式存在
C. hash運(yùn)算后的消息摘要值存在
D. 用戶(hù)自己加密后的密文形式存在
40. 下列屬于DDOS 攻擊的是:
A. Men-in-Middle攻擊
B. SYN洪水攻擊
C. TCP連接攻擊
D. SQL注入攻擊
41. 如果一名攻擊者截獲了一個(gè)公鑰,然后他將這個(gè)公鑰替換為自己的公鑰并發(fā)送給接收者,這種情況屬于哪一種攻擊?
A. 重放攻擊
B. Smurf攻擊
C. 字典攻擊
,D. 中間人攻擊
42. 滲透性測(cè)試的第一步是:
A. 信息收集
B. 漏洞分析與目標(biāo)選定
C. 拒絕服務(wù)攻擊
D. 嘗試漏洞利用
43. 通過(guò)網(wǎng)頁(yè)上的釣魚(yú)攻擊來(lái)獲取密碼的方式,實(shí)質(zhì)上是一種:
A. 社會(huì)工程學(xué)攻擊
B. 密碼分析學(xué)
C. 旁路攻擊
D. 暴力破解攻擊
44. 以下哪個(gè)不是減少軟件自身的安全漏洞和緩解軟件自身安全漏洞的危害的方法?
A. 加強(qiáng)軟件的安全需求分析,準(zhǔn)確定義安全需求
B. 設(shè)計(jì)符合安全準(zhǔn)則的功能、安全功能與安全策略
C. 規(guī)范開(kāi)發(fā)的代碼,符合安全編碼規(guī)范
D. 編制詳細(xì)軟件安全使用手冊(cè),幫助設(shè)置良好的安全使用習(xí)慣
45. 根據(jù)SSE-CMM 信息安全工程過(guò)程可以劃分為三個(gè)階段,其中____確立安全解決方案的置信度并且把這樣的置信度傳遞給客戶(hù)。
A. 保證過(guò)程
B. 風(fēng)險(xiǎn)過(guò)程
C. 工程和保證過(guò)程
D. 安全工程過(guò)程
46. 下列哪項(xiàng)不是SSE-CMM 模型中工程過(guò)程的過(guò)程區(qū)?
A. 明確安全需求
B. 評(píng)估影響
C. 提供安全輸入
D. 協(xié)調(diào)安全
47. SSE-CMM工程過(guò)程區(qū)域中的風(fēng)險(xiǎn)過(guò)程包含哪些過(guò)程區(qū)域?
A. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響
B. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估安全風(fēng)險(xiǎn)
C. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、評(píng)估安全風(fēng)險(xiǎn)
D. 評(píng)估威脅、評(píng)估脆弱性、評(píng)估影響、驗(yàn)證和證實(shí)安全
48. 在IT 項(xiàng)目管理中為了保證系統(tǒng)的安全性,應(yīng)當(dāng)充分考慮對(duì)數(shù)據(jù)的正確處理,以下哪一項(xiàng)不是對(duì)數(shù)據(jù)輸入進(jìn)行校驗(yàn)可以實(shí)現(xiàn)的安全目標(biāo):
A. 防止出現(xiàn)數(shù)據(jù)范圍以外的值
B. 防止出現(xiàn)錯(cuò)誤的數(shù)據(jù)處理順序
C. 防止緩沖區(qū)溢出攻擊
,D. 防止代碼注入攻擊
49. 信息安全工程監(jiān)理工程師不需要做的工作是:
A. 編寫(xiě)驗(yàn)收測(cè)試方案
B. 審核驗(yàn)收測(cè)試方案
C. 監(jiān)督驗(yàn)收測(cè)試過(guò)程
D. 審核驗(yàn)收測(cè)試報(bào)告
50. 下面哪一項(xiàng)是監(jiān)理單位在招標(biāo)階段質(zhì)量控制的內(nèi)容?
A. 協(xié)助建設(shè)單位提出工程需求,確定工程的整體質(zhì)量目標(biāo)
B. 根據(jù)監(jiān)理單位的信息安全保障知識(shí)和項(xiàng)目經(jīng)驗(yàn)完成招標(biāo)文件中的技術(shù)需求部分
C. 進(jìn)行風(fēng)險(xiǎn)評(píng)估和需求分析完成招標(biāo)文件中的技術(shù)需求部分
D. 對(duì)標(biāo)書(shū)應(yīng)答的技術(shù)部分進(jìn)行審核,修改其中不滿(mǎn)足安全需求的內(nèi)容
52. 信息安全保障強(qiáng)調(diào)安全是動(dòng)態(tài)的安全,意味著:
A. 信息安全是一個(gè)不確定性的概念
B. 信息安全是一個(gè)主觀的概念
C. 信息安全必須覆蓋信息系統(tǒng)整個(gè)生命周期,隨著安全風(fēng)險(xiǎn)的變化有針對(duì)性的進(jìn)行調(diào)整
D. 信息安全只能是保證信息系統(tǒng)在有限物理范圍內(nèi)的安全,無(wú)法保證整個(gè)信息系統(tǒng)的安全
53. 關(guān)于信息保障技術(shù)框架(IATF ),下列說(shuō)法錯(cuò)誤的是:
A. IATF強(qiáng)調(diào)深度防御,關(guān)注本地計(jì)算環(huán)境,區(qū)域邊界,網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,支撐性基礎(chǔ)設(shè)施等多個(gè)領(lǐng)域的安全保障;
B .IATF 強(qiáng)調(diào)深度防御,即對(duì)信息系統(tǒng)采用多層防護(hù),實(shí)現(xiàn)組織的業(yè)務(wù)安全運(yùn)作
C. IATF強(qiáng)調(diào)從技術(shù)、管理和人等多個(gè)角度來(lái)保障信息系統(tǒng)的安全
D. IATF強(qiáng)調(diào)的是以安全監(jiān)測(cè)、漏洞監(jiān)測(cè)和自適用填充“安全間隙”為循環(huán)來(lái)提高網(wǎng)絡(luò)安全
54. 下面哪一項(xiàng)表示了信息不被非法篡改的屬性?
A. 可生存性
B. 完整性
C. 準(zhǔn)確性
D. 參考完整性
55. 以下關(guān)于信息系統(tǒng)安全保障是主觀和客觀的結(jié)合說(shuō)法最準(zhǔn)確的是:
A .信息系統(tǒng)安全保障不僅涉及安全技術(shù),還應(yīng)綜合考慮安全管理,安全工程和人員安全等,以全面保障信息系統(tǒng)安全
B. 通過(guò)在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施,向信息系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿(mǎn)足其安全保障目標(biāo)的信心。
C. 是一種通過(guò)客觀證據(jù)向信息系統(tǒng)評(píng)估者提供主觀信心的活動(dòng)
D. 是主觀和客觀綜合評(píng)估的結(jié)果
56 公鑰密碼算法和對(duì)稱(chēng)密碼算法相比,在應(yīng)用上的優(yōu)勢(shì)是:
A. 密鑰長(zhǎng)度更長(zhǎng)
B. 加密速度更快
C. 安全性更高
D. 密鑰管理更方便
57. 以下哪種公鑰密碼算法既可以用于數(shù)據(jù)加密又可以用于密鑰交換?
A. DSS
B. Diffse-Hellman
,C. RSA&
D AES
58. 目前對(duì)MD5,SHA1算法的攻擊是指:
A. 能夠構(gòu)造出兩個(gè)不同的消息,這兩個(gè)消息產(chǎn)生了相同的消息摘要
B. 對(duì)于一個(gè)已知的消息摘要,能夠構(gòu)造出一個(gè)不同的消息,這兩個(gè)消息產(chǎn)生了相同的消息摘要。
C .對(duì)于一個(gè)已知的消息摘要,能夠恢復(fù)其原始消息
D. 對(duì)于一個(gè)已知的消息,能夠構(gòu)造一個(gè)不同的消息摘要,也能通過(guò)驗(yàn)證。
59 DSA算法不提供以下哪種服務(wù)?
A. 數(shù)據(jù)完整性
B. 加密&
C. 數(shù)字簽名
D. 認(rèn)證
60. 關(guān)于PKI/CA證書(shū),下面哪一種說(shuō)法是錯(cuò)誤的:
A. 證書(shū)上具有證書(shū)授權(quán)中心的數(shù)字簽名
B. 證書(shū)上列有證書(shū)擁有者的基本信息
C. 證書(shū)上列有證書(shū)擁有者的公開(kāi)密鑰
D. 證書(shū)上列有證書(shū)擁有者的秘密密鑰&
61 認(rèn)證中心(CA )的核心職責(zé)是_________?
A. 簽發(fā)和管理數(shù)字證書(shū)
B. 驗(yàn)證信息
C. 公布黑名單
D. 撤銷(xiāo)用戶(hù)的證書(shū)
62 下列哪一項(xiàng)是虛擬專(zhuān)用網(wǎng)絡(luò)(VPN )的安全功能?
A. 驗(yàn)證,訪問(wèn)控制和密碼
B. 隧道,防火墻和撥號(hào)
C. 加密,鑒別和密鑰管理
D. 壓縮,解密和密碼
63 以下對(duì)Kerberos 協(xié)議過(guò)程說(shuō)法正確的是:
A. 協(xié)議可以分為兩個(gè)步驟:一是用戶(hù)身份鑒別:二是獲取請(qǐng)求服務(wù)
B. 協(xié)議可以分為兩個(gè)步驟:一是獲得票據(jù)許可票據(jù);二是獲取請(qǐng)求服務(wù)
C. 協(xié)議可以分為三個(gè)步驟:一是用戶(hù)身份鑒別;二是獲得票據(jù)許可票據(jù);三是獲得服務(wù)許可票據(jù)
D. 協(xié)議可以分為三個(gè)步驟:一是獲得票據(jù)許可票據(jù);二是獲得服務(wù)許可票據(jù);三是獲得服務(wù)
64 在OSI 參考模型中有7個(gè)層次,提供了相應(yīng)的安全服務(wù)來(lái)加強(qiáng)信息系統(tǒng)的安全性。以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務(wù)?
A. 網(wǎng)絡(luò)層
B. 表示層
C. 會(huì)話(huà)層
D. 物理層
65 以下哪種無(wú)線加密標(biāo)準(zhǔn)的安全性最弱?
A .Wep
B Wpa
,C Wpa2
D Wapi
66.Linux 系統(tǒng)的用戶(hù)信息保存在passwd 中,某用戶(hù)條目
backup:*:34:34:backup:/var/backups:/bin/sh,以下關(guān)于該賬號(hào)的描述不正確的是:
A. backup 賬號(hào)沒(méi)有設(shè)置登錄密碼&
B. backup 賬號(hào)的默認(rèn)主目錄是/var/backups
C. Backup 賬號(hào)登錄后使用的shell 是、bin/sh
D. Backup 賬號(hào)是無(wú)法進(jìn)行登錄
67 以下關(guān)于lixun 超級(jí)權(quán)限的說(shuō)明,不正確的是:
A. 一般情況下,為了系統(tǒng)安全,對(duì)于一般常規(guī)級(jí)別的應(yīng)用,不需要root 用戶(hù)來(lái)操作完成
B. 普通用戶(hù)可以通過(guò)su 和sudo 來(lái)獲得系統(tǒng)的超級(jí)權(quán)限
C. 對(duì)系統(tǒng)日志的管理,添加和刪除用戶(hù)等管理工作,必須以root 用戶(hù)登錄才能進(jìn)行
D. Root 是系統(tǒng)的超級(jí)用戶(hù),無(wú)論是否為文件和程序的所有者都具有訪問(wèn)權(quán)限
68 在WINDOWS 操作系統(tǒng)中,欲限制用戶(hù)無(wú)效登錄的次數(shù),應(yīng)當(dāng)怎么做?
A. 在“本地安全設(shè)置”中對(duì)“密碼策略”進(jìn)行設(shè)置
B. 在“本地安全設(shè)置”中對(duì)“賬戶(hù)鎖定策略”進(jìn)行設(shè)置
C. 在“本地安全設(shè)置”中對(duì)“審核策略”進(jìn)行設(shè)置
D. 在“本地安全設(shè)置”中對(duì)“用戶(hù)權(quán)利指派”進(jìn)行設(shè)置
69. 以下對(duì)WINDOWS 系統(tǒng)日志的描述錯(cuò)誤的是:
A. windows系統(tǒng)默認(rèn)的由三個(gè)日志,系統(tǒng)日志,應(yīng)用程序日志,安全日志
B .系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件,例如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。
C .應(yīng)用日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件,例如應(yīng)用程序產(chǎn)生的裝載DLL (動(dòng)態(tài)鏈接庫(kù))失敗的信息
D. 安全日志跟蹤各類(lèi)網(wǎng)絡(luò)入侵事件,例如拒絕服務(wù)攻擊、口令暴力破解等
70 以下關(guān)于windows SAM(安全賬戶(hù)管理器)的說(shuō)法錯(cuò)誤的是:
A. 安全賬戶(hù)管理器(SAM )具體表現(xiàn)就
是SystemRootsystem32configsam
B. 安全賬戶(hù)管理器(SAM )存儲(chǔ)的賬號(hào)信息是存儲(chǔ)在注冊(cè)表中
C. 安全賬戶(hù)管理器(SAM )存儲(chǔ)的賬號(hào)信息對(duì)administrator 和system 是可讀和可寫(xiě)的
D. 安全賬戶(hù)管理器(SAM )是windows 的用戶(hù)數(shù)據(jù)庫(kù),系統(tǒng)進(jìn)程通過(guò)Security Accounts Manager 服務(wù)進(jìn)行訪問(wèn)和操作
71 在關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中通過(guò)“視圖(view )”技術(shù),可以實(shí)現(xiàn)以下哪一種安全原則?
A. 縱深防御原則 B. 最小權(quán)限原則 C. 職責(zé)分離原則 D. 安全性與便利性平衡原則
78. 數(shù)據(jù)庫(kù)事務(wù)日志的用途是:
A. 事務(wù)處理
B. 數(shù)據(jù)恢復(fù)
C. 完整性約束
D .保密性控制
79. 下面對(duì)于cookie 的說(shuō)法錯(cuò)誤的是:
A. cookie 是一小段存儲(chǔ)在瀏覽器端文本信息,web 應(yīng)用程序可以讀取cookie 包含的信息。
B. cookie可以存儲(chǔ)一些敏感的用戶(hù)信息,從而造成一定的安全風(fēng)險(xiǎn)
C. 通過(guò)cookie 提交精妙構(gòu)造的移動(dòng)代碼,繞過(guò)身份驗(yàn)證的攻擊叫做cookie 欺騙
D. 防范cookie 欺騙的一個(gè)有效方法是不使用cookie 驗(yàn)證方法,而使用session 驗(yàn)證方法。