CISAW 练习题


第1题(单选题)

<p>在某网络机房建设项目中,在施工前,以下哪一些不属于监理需要审核的内容 ( )</p>

A 审核实施投资计划

B 审核实施进度计划

C 审核工程实施人员

D 企业资质

第2题(单选题)

<p>以下关于项目的含义,理解错误的是 ( )</p>

A 项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供特定的产品,服务或成果而进行的一次性努力

B 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定

C 项目资源指完成项目所需要的人、财、物等

D 项目目标要遵守SWART原则,即项目的目标要求具体(Specific)、可测量(Measurehle),需相关方的一致同意(Agree.to)、现实(Rcalistic)、有一定的时限(Time-oriented)

第3题(单选题)

<p>有关系统工程的特点,以下错误的是 ( )</p>

A 系统工程研究问题一般采用先决定具体政策,后进入详细设计的程序

B 系统工程的基本特点,是需要把研究对象结构为多个组成部分分别提交研究

C 系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系

D 系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法

第4题(单选题)

应用安全,一般是指保障应用程序使用过程和结果的安全,以下内容中不属于应用安全防护考虑的是()。

A:身份鉴别,应用系统对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源

B:安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问

C:剩余信息保护,应用系统加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问

D:机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等

第5题(单选题)

<p>以下哪一项是数据完整性得到保护的例子?</p>

A:某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作

B:在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余额进行了充正操作

C:某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作

D:李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看

第6题(单选题)

<p>由于发生了一起针对服务器的口令暴力破解攻击,管理员决定设置账户锁定策略以对抗口令暴力破解。他设置了账户锁定策略如下:复位账户锁定计数器5分钟,账户锁定时间10分钟,账户锁定阀值3次无效登录,以下关于以上策略设置后的说法哪个是正确的:</p>

A:设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住

B:如果正常用户不小心输错了3次密码,那么该用户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统

C:如果正常用户不小心连续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟内即使提交了正确的密码也无法登录系统

D:攻击者在进行口令破解时,只要连续输错3次密码,该用户就被锁定10分钟,而正常用户登录不受影响

第7题(单选题)

以下可能存在sql注入攻击的部分是:

A:get请求参数

B:post请求参数

C:cookie值

D:以上均有可能

第8题(单选题)

<p>关于恶意代码,以下说法错误的是:</p>

A:从传播范围来看,恶意代码呈现多平台传播的特征。

B:按照运行平台,恶意代码可以分为网络传播型病毒.文件传播型病毒。

C:不感染的依附性恶意代码无法单独执行

D:为了对目标系统实施攻击和破坏活动,传播途径是恶意代码赖以生存和繁殖的基本条件

第9题(单选题)

GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廓(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出了评估保证级(eva luation Assurance Level,EAL),其评估保证级共分为()个递增的评估保证等级。

A:4

B:5

C:6

D:7

第10题(单选题)

“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。

A:评估对象(TOE)

B:保护轮廓(PP)

C:安全目标(ST)

D:评估保证级(EAL)

第11题(单选题)

<p>关于信息安全管理体系,国际上有标准《Information technology Security techniques Information security management systems Requirements》(ISO/IEC 27001:2013),而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008),请问,这两个标准的关系是()。</p>

A:IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改

B:EQV(等效采用),此国家标准等效于该国际标准,技术上只有很小差异

C:NEQ(非等效采用)此国家标准不等效于该国际标准

D:没有采用与否的关系,两者之间版本不同,不应直接比较

第12题(单选题)

<p>2005年,RFC 4301(Request for Comments 4301:Security Architecture fot the Internet Protocol)发布,用以取代原先的RPC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RPC系列标准建议是由哪个组织发布的()。</p>

A:国际标准化组织(International Organization for Standardization,ISO)

B:国际电工委员会(International Electrotechnical Commission ,IEC)

C:国际电信联盟远程通信标准化组织(ITU Telecommunication Standardiza-tion Sector,ITU-T)

D:Internet工程任务组(InternetEngineering Task Force,IETF)

第13题(单选题)

关于标准,下面哪项理解是错误的()。

A:标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果

B:国际标准是由国际标准化组织通过并公开发布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准

C:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准

D:地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止

第14题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第15题(单选题)

关于信息安全管理体系的作用,下面理解错误的是()。

A:对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查

B:对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入

C:对外而言,有助于使各利益相关方对组织充满信心

D:对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任

第16题(单选题)

小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”,请问,这种处理方法的主要目的是()。

A:避免缓冲区溢出

B:安全处理系统异常

C:安全使用临时文件

D:最小化反馈信息

第17题(单选题)

Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端,从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()。

A:不选择Windows平台,应选择在Linux平台下安装使用

B:安装后,修改配置文件http.conf中的有关参数

C:安装后,删除Apache HTTP Server源码

D:从正确的官方网站下载Apache HTTP Server,并安装使用

第18题(单选题)

在Linux系统中,下列哪项内容不包含在/etc/passwd文件中()。

A:用户名

B:用户口令明文

C:用户主目录

D:用户登录后使用的SHELL

第19题(单选题)

防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是()。

A:既能物理隔离,又能逻辑隔离

B:能物理隔离,但不能逻辑隔离

C:不能物理隔离,但是能逻辑隔离

D:不能物理隔离,也不能逻辑隔离

第20题(单选题)

关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是()。

A:WPA是有线局域安全协议,而WPA2是无线局域网协议

B:WPA是适用于中国的无线局域安全协议,而WPA2是适用于全世界的无线局域网协议

C:WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证

D:WPA是依照802.11标准草案制定的,而WPA2是依照802.11i正式标准制定的

第21题(单选题)

<p>密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是()。</p>

A:在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式

B:密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行

C:根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人

D:密码协议 (cryptographic protocol),有时也称安全协议(security protocols),是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务

第22题(单选题)

<p>信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,下面总结错误的是()。</p>

A:各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点

B:各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件

C:各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通

D:各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全管理和安全测评

第23题(单选题)

《信息安全保障技术框架》(Information Assurance Technical Framework,IATF)是由下面哪个国家发布的()。

A:中国

B:美国

C:俄罗斯

D:欧盟

第24题(单选题)

从历史演进来看,信息安全的发展经历了多个阶段,其中,有一个阶段的特点是:网络信息系统逐步形成,信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问,开始使用防火墙、防病毒、PKI和VPN等安全产品,这个阶段是()。

A:通信安全阶段 主要是防窃密

B:计算机安全阶段 主要是针对计算机本身的安全

C:信息系统安全阶段 网络安全

D:信息安全保障阶段 综合保障

第25题(单选题)

超文本传输协议(HyperText Transfer Protocol,HTTP)是互联网上广泛使用的一种网络协议。下面哪种协议基于HTTP并结合SSL协议,具备用户鉴别和通信数据加密等功能()。

A:HTTP1.0协议

B:HTTP1.1协议

C:HTTPS协议

D:HTTPD协议

第26题(单选题)

关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()。

A:指数据表中列的完整性,主要用于保证操作的数据(记录)完整、不丢项

B:指数据表中行的完整性,主要用于保证操作的数据(记录)非空、唯一且不重复

C:指数据表中列必须满足某种特定的数据类型或约束,比如数据范围、数据精度等内容

D:指数据表中行必须满足某种特定的数据类型或约束,比如在更新、插入或删除记录时,要将关联有关的记录一并处理才可以

第27题(单选题)

实体身份鉴别一般依据以下三种基本情况或这三种情况的组合,实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法,下面选项中属于使用基于实体特征的鉴别方法是()。

A:将登录口令设置为出生日期

B:通过询问和核对用户的个人隐私信息来鉴别

C:使用系统定制的,在本系统专用的IC卡进行鉴别

D:通过扫描和识别用户的脸部信息来鉴别

第28题()

第29题(单选题)

目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:

A:有助于建立和实施信息安全产品的市场准入制度

B:对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导

C:对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督

D:打破市场垄断,为信息安全产业发展创造一个良好的竞争环境

第30题(单选题)

在某次信息安全应急响应过程中,小王正在实施如下措施:消除世界形势阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问,按照PDCERF应急响应方法,这些工作应处于以下哪个阶段()。

A:准备阶段

B:检测阶段

C:遏制阶段

D:根除阶段

第31题(单选题)

以下哪种风险被认为是合理的风险()。

A:最小的风险

B:残余风险

C:未识别的风险

D:可接受的风险

第32题(单选题)

以下哪项制度或标准被作为我国的一项基础制度加以执行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全,()。

A:信息安全管理体系(ISMS)

B:信息安全等级保护

C:NIST SP800

D:ISO 270000系列

第33题(单选题)

Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。

A:源代码审核、风险分析和渗透测试

B:应用风险管理、软件安全接触点和安全知识

C:威胁建模、渗透测试和软件安全接触点

D:威胁建模、源代码审核和模糊测试

第34题(单选题)

下图是安全测试人员连接某远程主机时的操作界面,请仔细分析该图,下面选项中推断正确的是()。<img src="app/core/styles/exam_title/501_20160908150901_UVElODAlODAlODAlODAyMDE2MDkwODE1MzQzNQ==.png" >

A:安全测试人员连接了远程服务器的220端口

B:安全测试人员的本地操作系统是Linux

C:远程服务器开启了FTP服务,使用的服务器软件名为FTP Server

D:远程服务器的操作系统是Windows系统

第35题(单选题)

我国标准《信息系统灾难恢复规范》(GB/T20988-2007)指出,依据具备的灾难恢复资源程度的不同,灾难恢复能力又分为6个等级,其中,要求&ldquo;数据零丢失和远程集群支持&rdquo;的能力等级是()。

A:第0级

B:第1级

C:第3级

D:第6级

第36题(单选题)

软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是()。

A:0.00049

B:0.049

C:0.49

D:49

第37题(单选题)

下面四款安全测试软件中,主要用于WEB安全扫描的是()。

A:Cisco Auditing Tools

B:Acunetix Web Vulnerability Scanner

C:NMAP

D:ISS Database Scanner

第38题(单选题)

为达到预期的攻击目的,恶意代码通常会采用各种方法将自己隐藏起来,关于隐藏方法,下面理解错误的是()。

A:隐藏恶意代码进程,即将恶意代码进程隐藏起来,或者改名和使用系统进程名,以更好的躲避检测,迷惑用户和安全检测人员

B: 隐藏恶意代码的网络行为,复用通用的网络端口或者不使用网络端口,以躲避网络行为检测和网络监控

C: 隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码,以躲避用户和安全检测人员

D: 隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术,以躲避系统文件检查和清除

第39题(单选题)

下面对“零日(zero-day)漏洞”的理解中,正确的是()。

A:指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限

B:指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施

C:指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标

D:指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞是零日漏洞

第40题(单选题)

Internet Explorer,简称IE,是微软公司推出的一款Web浏览器。IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据,以下哪项不是IE中的安全配置项目()。

A:设置Cookie安全,允许用户根据自己的安全策略要求设置Cookie策略,包括从阻止所有Cookie到接受所有Cookie,用户也可以选择删除已经保存过的Cookie

B:禁用自动完成和密码记忆功能,通过设置禁止IE自动记忆用户输入过的Web地址和表单,也禁止IE自动记忆表单中的用户名和口令信息

C:设置每个连接的最大请求数,修改MaxKeepAliveRequests,如果同时请求数达到阀值就不再响应新的请求,从而保证了系统资源不会被某个连接大量占用

D:为网站设置适当的浏览器安全级别,用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中,以采取不同的安全访问策略

第41题(单选题)

<p>加密文件系统(Encrypting File System,EFS)是Windows操作系统的一个组件,以下说法错误的是()。</p>

A:EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据

B:EFS以公钥加密为基础,并利用了Windows系统中的CryptoAPI体系结构

C:EFS加密系统适用于NTFS文件系统和FAT32文件系统(Windows 7环境下)

D:EFS加密过程对用户透明,EFS加密的用户验证过程是在登录Windows时进行的

第42题(单选题)

TCP/IP协议是Internet最基本的协议,也是Internet构成的基础。TCP/IP通常被认为是一个N层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里N应等于()。

A:4

B:5

C:6

D:7

第43题(单选题)

在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中描述了信息系统安全保障模型,下面对这个模型理解错误的是()。

A:该模型强调保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏,从而达到实现组织机构使命的目的

B:该模型是一个强调持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程

C:该模型强调综合保障的观念,即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标

D:模型将风险和策略作为信息系统安全保障的基础和核心,基于IATF模型改进,在其基础上增加了人员要素,强调信息安全的自主性

第44题(单选题)

P2DR模型是一个用于描述网络动态安全的模型,这个模型经常使用图形的形式所示,请问图中空白处应填写是()<img src="app/core/styles/exam_title/501_20160825100828_MTExMTEx.jpg">

A:执行(do)

B:检测(detection)

C:数据(data)

D:持续(duration)

第45题(单选题)

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。一般来说,DDoS攻击的主要目的是破坏目标系统的()。

A:保密性

B:完整性

C:可用性

D:真实性

第46题(单选题)

以下行为不属于违反国家保密规定的行为:

A:将涉密计算机、涉密存储设备接入互联网及其他公共信息网络

B:通过普通邮政等无保密措施的渠道传递国家秘密载体

C:在私人交往中涉及国家秘密

D:以不正当手段获取商业秘密

第47题(单选题)

信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选项最合适的是:

A:通用布缆系统工程

B:电子设备机房系统工程

C:计算机网络系统工程

D:以上都适用

第48题(单选题)

关于风险评估准备阶段工作内容叙述错误的是:

A:制订风险评估方案,确定风险评估的实施方案,包括风险评估的工作过程、活动、子活动、每项活动的输入数据和输出结果

B:选择风险评估方法和工具,从现有风险评估方法和工具库汇总选择合适的风险评估方法和工具

C:制订组织机构自己的风险评估准则,相关准则可以不需要得到被评估方的认可

D:风险评估方案应获得管理决策层的认可、批准和支持

第49题(单选题)

以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:

A:采用最新的集成编译环境和支持工具

B:充分使用编译环境提供的安全编译选项来保护软件代码的安全性

C:源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,报告源代码中可能隐藏的错误和缺陷。

D:严格遵守代码编写的安全规范就能保障软件的安全性

第50题(单选题)

某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下哪一项工作不能降低该系统的受攻击面:

A:分析系统功能的重要性

B:分析从哪里可以访问这些功能

C:采取合理措施降低特权

D:分析系统应满足的性能要求

第51题(单选题)

在设计信息系统安全保障方案时,以下哪个做法是错误的:

A:要充分切合信息安全需求并且实际可行

B:要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C:要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D:要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

第52题(单选题)

常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是()。

A:从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型

B:自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性

C:强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统

D:基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略

第53题(单选题)

<p>公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项()。 <img height="146" src="app/core/styles/exam_title/501_20160908150957_UVElODAlODAlODAlODAyMDE2MDkwODE1MTYyOQ==.png" style="width: 387px; height: 75px;" width="1020" /></p>

A:证书库

B:RA

C:OCSP

D:CRL库

第54题(单选题)

<p>如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:<img src="app/core/styles/exam_title/29_20150923160924_Mg==.jpg" /></p>

A:个人网银系统和用户之间的双向鉴别

B:由可信第三方完成的用户身份鉴别

C:个人网银系统对用户身份的单向鉴别

D:用户对个人网银系统合法性的单向鉴别

第55题(单选题)

业务连续性计划使用下列哪种测试方法是合适的?

A: 试运行

B: 纸面

C: 单元

D: 系统

第56题()

第57题(单选题)

信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:

A:明确业务对信息安全的要求

B:识别来自法律法规的安全要求

C:论证安全要求是否正确完整

D:通过测试证明系统的功能和性能可以满足安全要求

第58题(单选题)

RFC系列标准是由( )发布的:

A:国际标准化组织(ISO)

B:国际电工委员会(IEC)

C:国际贸易中心(ITC)

D:互联网工程任务组IETF

第59题(单选题)

以下哪些是需要在信息安全策略中进行描述的:

A:组织信息系统安全架构

B:信息安全工作的基本原则

C:组织信息安全技术参数

D:组织信息安全实施手段

第60题(单选题)

假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备

A:是多余的,因为它们完成了同样的功能,但要求更多的开销

B:是必须的,可以为预防控制的功效提供检测

C:是可选的,可以实现深度防御

D:在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够

第61题(单选题)

<p>如图所示,主机A主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址应该在下列哪个范围?<img src="app/core/styles/exam_title/29_20150923140944_MQ==.jpg" /></p>

A:10.0.0.0~10.255.255.255

B:172.16.0.0~172.31.255.255

C:192.168.0.0~192.168.255.255

D:不在上述范围内

第62题(单选题)

风险分析的关键要素是:

A:审计计划

B:控制

C:脆弱点

D:责任

第63题(单选题)

<p>软件安全设计和开发中应考虑用户稳私保护,以下关于用户隐私保护的说法哪个是错误的?</p>

A:告诉用户需要收集什么数据及收集到的数据会如何被使用

B:当用户的数据由于某种原因要被使用时,给用户选择是否允许

C:用户提交的用户名和密码属于稳私数据,其它都不是

D:确保数据的使用符合国家.地方.行业的相关法律法规

第64题(单选题)

<p>如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是:<img height="688" src="app/core/styles/exam_title/30_20150923140932_Mg==.jpg" style="width: 1155px; height: 361px;" width="1678" /></p>

A:此密码体制为对称密码体制

B:此密码体制为私钥密码体制

C:此密码体制为单钥密码体制

D:此密码体制为公钥密码体制

第65题(单选题)

<p>下列对于信息安全保障深度防御模型的说法错误的是:</p>

A:信息安全外部环境:信息安全保障是组织机构安全,国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下

B:信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统

C:信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分

D:信息安全技术方案:“从外而内,自下而上,形成边界到端的防护能力”

第66题(单选题)

安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?

A:操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞

B:为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘

C:操作系统上部署防病毒软件,以对抗病毒的威胁

D:将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能

第67题(单选题)

以下关于账户策略中密码策略中各项作用说明,哪个是错误的:

A:“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令

B:“密码长度最小值”是强制用户使用一定长度以上的密码

C:“强制密码历史”是强制用户不能再使用曾经使用过的任何密码

D:“密码最长存留期”是为了避免用户使用密码时间过长而不更换

第68题(单选题)

<p>如图所示,主体S对客体O1有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是:<img src="app/core/styles/exam_title/6_20150910170901_UVElQkQlRDglQ0QlQkMyMDE1MDkxMDE3NTIwNA==.png" /></p>

A:访问控制表(ACL)

B:访问控制矩阵

C:能力表(CL)

D:前缀表(Profiles)

第69题(单选题)

以下哪一项不是信息安全管理工作必须遵循的原则?

A:风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中

B:风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作

C:由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低

D:在系统正式运行后,应注重残余风险的管理,以提高快速反应能力

第70题(单选题)

以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A:出入的原因

B:出入的时间

C:出入口的位置

D:是否成功进入

第71题(单选题)

以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:

A:存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性

B:存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性

C:存续在册表中的账号数据任何用户都可以直接访问,灵活方便

D:存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性

第72题(单选题)

<p>以下关于安全套接层协议(Security Sockets Layer,SSL)说法错误的是:</p>

A:受到SSL防护的web服务器比没有SSL的web服务器要安全

B:当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器

C:SSL可以看到浏览器与服务器之间的安全通道

D:SSL提供了一种可靠地端到端的安全服务

第73题(单选题)

下列哪些内容应包含在信息系统战略计划中?

A:已规划的硬件采购的规范

B:将来业务目标的分析

C:开发项目的目标日期

D:信息系统不同的年度预算目标

第74题(单选题)

以下哪一项不是常见威胁对应的消减措施:

A:假冒攻击可以采用身份认证机制来防范

B:为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性

C:为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖

D:为了防止用户提升权限,可以采用访问控制表的方式来管理权限

第75题(单选题)

<p>ISO27002中描述的11个信息安全管理的控制领域不包括:</p>

A:信息安全组织

B:资产管理

C:内容安全

D:人力资源安全

第76题(单选题)

<p>SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是:</p>

A:保证是指安全需求得到满足的可信任程度

B:信任程度来自于对安全工程过程结果质量的判断

C:自验证与证实安全的主要手段包括观察、论证、分析和测试

D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

第77题(单选题)

某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种:

A:强制访问控制

B:基于角色的访问控制

C:自主访问控制

D:基于任务的访问控制

第78题(单选题)

关于源代码审核,描述错误的是()

A:源代码审核有利于发现软件编码中存在的安全问题

B:源代码审核工程遵循PDCA 模型

C:源代码审核方式包括人工审核工具审核

D:源代码审核工具包括商业工具和开源工具

第79题(单选题)

<p>根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。</p>

A:保证过程

B:风险过程

C:工程和保证过程

D:安全工程过程

第80题(单选题)

由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()

A:要求开发人员采用敏捷开发模型进行开发

B:要求所有的开发人员参加软件安全意识培训

C:要求规范软件编码,并制定公司的安全编码准则

D:要求增加软件安全测试环节,尽早发现软件安全问题

第81题(单选题)

<p>关于软件安全的问题,下面描述错误的是()</p>

A:软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃

B:软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决

C:软件的安全问题可能被攻击者利用后影响人身体健康安全

D:软件的安全问题是由程序开发者遗留的,和软件的部署运行环境无关

第82题(单选题)

<p>SSE-CMM工程过程区域中的风险过程包含哪些过程区域:</p>

A:评估威胁、评估脆弱性、评估影响

B:评估威胁、评估脆弱性、评估安全风险

C:评估威胁、评估脆弱性、评估影响、评估安全风险

D:评估威胁、评估脆弱性、评估影响、验证和证实安全

第83题(单选题)

<p>在2014年巴西世界杯举行期间,一些黑客组织攻击了世界杯赞助商及政府网站,制造了大量网络流量,阻塞正常用户访问网站。这种攻击类型属于下面什么攻击()</p>

A:跨站脚本( cross site scripting,XSS)攻击

B:TCP 会话劫持( TCP HIJACK)攻击

C:ip欺骗攻击

D:拒绝服务(denialservice.dos)攻击

第84题(单选题)

一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?

A:2级——计划和跟踪

B:3级——充分定义

C:4级——量化控制

D:5级——持续改进

第85题(单选题)

小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该后他按照提示操作,纳中奖税款后并没有得到中奖奖金,再打电话询问电器城才得知电器城并没有开的活动,根据上面的描述,由此可以推断的是()

A:小陈在电器城登记个人信息时,应当使用加密手段

B:小陈遭受了钓鱼攻击,钱被骗走了

C:小陈的计算机中了木马,被远程控制

D:小陈购买的凌波微步是智能凌波微步 ,能够自己上网

第86题(单选题)

某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()

A:负载均衡设备

B:网页防篡改系统

C:网络防病毒系统

D:网络审计系统

第87题(单选题)

以下关于账户密码策略中各项策略的作用说明,哪个是错误的:

A:“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令

B:“密码长度最小值”是强制用户使用一定长度以上的密码

C:“强制密码历史”是强制用户不能再使用曾经使用过的任何密码

D:“密码最长存留期”是为了避免用户使用密码时间过长而不更改

第88题()

第89题(单选题)

口令破解是针对系统进行攻击的常用方法,Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是

A:密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控

B:密码策略对系统中所有的用户都有效

C:账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户应对口令暴力破解攻击

D:账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击

第90题(单选题)

Linux/Unix关键的日志文件设置的权限应该为:

A:-rw-r--r-

B:-rw----

C:-rw-rw-rw-

D:-r----

第91题(单选题)

关于Kerberos认证协议,以下说法错误的是:

A:只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B:认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全

C:该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证

D:该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂

第92题(单选题)

以下哪个选项不是防火墙技术?

A:IP地址欺骗防护

B:NAT

C:访问控制

D:SQL注入攻击防护

第93题(单选题)

风险评估方法的选定在PDCA循环中的哪个阶段完成?

A:实施和运行

B:保持和改进

C:建立

D:监视和评审

第94题(单选题)

某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:

A:所选择的特征(指纹)便于收集、测量和比较

B:每个人所拥有的指纹都是独一无二的

C:指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题

D:此类系统一般由用户指纹信息采集和指纹信息识别两部分组成

第95题(单选题)

消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证:

A:消息的真实性和完整性

B:消息的真实性和保密性

C:消息的完整性和保密性

D:保密性和防抵赖性

第96题(单选题)

在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:

A:分析系统的体系结构

B:分析系统的安全环境

C:制定风险管理计划

D:调查系统的技术特性

第97题(单选题)

<p>下面哪项属于软件开发安全方面的问题?</p>

A:软件部署时所需选用服务性能不高,导致软件执行效率低

B:应用软件来考虑多线程技术,在对用户服务时按序排队提供服务

C:应用软件存在sql注入漏洞,若被黑客利用能窃取数据库所用数据

D:软件受许可证(license)限制,不能在多台电脑上安装

第98题(单选题)

某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?

A:模糊测试

B:源代码测试

C:渗透测试

D:软件功能测试

第99题(单选题)

下面有关能力成熟度模型的说法错误的是:

A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类

B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域

C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域

D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型

第100题(单选题)

<p>金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作习惯( )?</p>

A:使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件.应用软件进行升级

B:为计算机安装具有良好声誉的安全防范软件,包括病毒查杀.安全检查和安全加固方面的软件

C:在IE的配置中,设置只能下载和安装经过签名的.安全的ActiveX控件

D:在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据