INSACE 练习题


第1题(单选题)

以下哪个选项不是信息安全需求较为常见的来源?

A:法律法规与合同条约的要求

B:组织的原则、目标和规定

C:风险评估的结果

D:安全架构和安全厂商发布的漏洞、病毒预警

第2题(单选题)

以下哪项不是风险评估阶段应该做的?

A:对ISMS范围内的信息资产进行鉴定和估价

B:对信息资产面对的各种威胁和脆弱性进行评估

C:对已存在的成规划的安全控制措施进行界定。

D:根据评估结果实施相应的安全控制措施

第3题(单选题)

<p>&nbsp;&nbsp;&nbsp; 以下哪项不是信息安全策略变更的原因?</p>

A:每年至少一次管理评审

B:业务发生重大变更

C:管理机构发生变更

D:设备发生变更

第4题(单选题)

“通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?

A:规划和建立

B:实施和运行

C:监视和评审

D:保持和改进

第5题()

第6题(单选题)

信息安全应急响应计划的制定是一个周而复始的.持续改进的过程,以下哪个阶段不在其中?

A:应急响应需求分析和应急响应策略的制定

B:编制应急响应计划文档

C:应急响应计划的测试、培训、演练和维护

D:应急响应计划的废弃与存档

第7题(单选题)

以下哪一个不是我国信息安全事件分级的分级要素?

A:信息系统的重要程度

B:系统损失

C:系统保密级别

D:社会影响

第8题(单选题)

某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?

A: 建立一个与供应商相联的内部客户机用及服务器网络以提升效率

B: 将其外包给一家专业的自动化支付和账务收发处理公司

C: 与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统

D: 重组现有流程并重新设计现有系统

第9题(单选题)

以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是:

A:当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝

B:业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色

C:通过角色,可实现对信息资源访问的控制

D:RBAC模型不能实现多级安全中的访问控制

第10题(单选题)

某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?

A:渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞

B:渗透测试是用软件代替人工的一种测试方法,因此测试效率更高

C:渗透测试使用人工进行测试,不依赖软件,因此测试更准确

D:渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多

第11题(单选题)

下列哪一种方法属于基于实体“所有”鉴别方法:

A:用户通过自己设置的口令登录系统,完成身份鉴别

B:用户使用个人指纹,通过指纹识别系统的身份鉴别

C:用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别

D:用户使用集成电路卡(如智能卡)完成身份鉴别

第12题(单选题)

2008年1月2日,美国发布第54号总统令,建立国家网络安全综合计划(Comprehensive National Cybersecurity Initiative,CNCI)。CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境,从以上内容,我们可以看出以下哪种分析是正确的:

A:CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险

B:从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的

C:CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补

D:CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障

第13题(单选题)

进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:

A:与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

B:美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担

C:各国普遍重视信息安全事件的应急响应和处理

D:在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系

第14题(单选题)

公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的:

A:乙对信息安全不重视,低估了黑客能力,不舍得花钱

B:甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费

C:甲未充分考虑网游网站的业务与政府网站业务的区别

D:乙要综合考虑业务.合规性和风险,与甲共同确定网站安全需求

第15题(单选题)

某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,不正确的是()

A:软件安全开发应当涉及软件开发整个生命周期,即要在软件开发生命周期的各个阶段都要采取一些措施来确保软件的安全性

B:应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多

C:和传统的软件开发阶段相比,应当增加一个专门的安全编码阶段

D:安全测试阶段非常重要,有必要采取一些安全测试方法学和测试手段来确保软件的安全性

第16题(单选题)

下面哪一项是防止缓冲区溢出的有效方法?

A:拔掉网线

B:检查缓冲区是否足够大

C:关闭操作系统特殊程序

D:在往缓冲区填充数据时必须进行边界检查

第17题(单选题)

shellcode是什么?

A:是用C语言编写的一段完成特殊功能代码

B:是用汇编语言编写的一段完成特殊功能代码

C:是用机器码组成的一段完成特殊功能代码

D:命令行下的代码编写

第18题(单选题)

张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?

A:口令攻击

B:暴力破解

C:拒绝服务攻击

D:社会工程学攻击

第19题(单选题)

系统工程霍尔三维结构模型从时间维、逻辑维、( )三个坐标对系统工程进行程序化。

A:阶段维

B:进程维

C:知识维

D:工作步骤维

第20题(单选题)

以下哪个是恶意代码采用的隐藏技术:

A:文件隐藏

B:进程隐藏

C:网络链接隐藏

D:以上都是

第21题(单选题)

以下不属于跨站脚本危害的是:

A:盗取用户Cookie信息,并进行Cookie欺骗

B:使用户访问钓鱼网站,导致敏感信息泄露

C:上传Webshell,控制服务器

D:传播XSS蠕虫影响用户正常功能

第22题(单选题)

某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施,其后发现实施后出现诸多安全隐患并影响业务运行效率,其根本的原因是

A:设计方技术能力不够

B:没有参照国家相关要求建立规划设计

C:没有和用户共同确立安全需求

D:没有成熟实施团队和实施计划

第23题(单选题)

小王在某Web软件公司工作,她在工作中主要负责对互联网信息服务(Internet Information Services,IIS)软件进行安全配置,这是属于( )方面的安全工作。

A:Web服务支撑软件

B:Web应用程序

C:Web浏览器

D:通信协议

第24题(单选题)

关于Linux下的用户和组,以下描述不正确的是_________。

A:在Linux中,每一个文件和程序都归属于一个特定的“用户”

B:系统中的每一个用户都必须至少属于一个用户组

C:用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组

D:root是系统的超级用户,无论是否是文件和程序的所有者都具有访问权限

第25题(单选题)

以下关于Windows系统的账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:

A:存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性

B:存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性

C:存储在注册表中的账号数据任何用户都可以直接访问,灵活方便

D:存储在注册表中的账号数据只有System账户才能访问,具有较高的安全性

第26题(单选题)

<p>入侵防御系统(IPS)是继入侵检测系统(IDS)后发展出来的一项新的安全技术,它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点?</p>

A:串接到网络线路中

B:对异常的进出流量可以直接进行阻断

C:有可能造成单点故障

D:不会影响网络性能

第27题(单选题)

<p>关于信息安全等级保护政策,下列说法错误的是?</p>

A:非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护

B:信息安全等级保护实行“自主定级,自主保护”的原则

C:信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督

D:对三级以上信息系统实行备案要求,由公安机关颁发备案证明

第28题(单选题)

<p>某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是:</p>

A:模拟正常用户输入行为,生成大量数据包作为测试用例

B:数据处理点.数据通道的入口点和可信边界点往往不是测试对象

C:监测和记录输入数据后程序正常运行的情况

D:深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析

第29题(单选题)

对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为:

A:反馈错误控制

B:块求和校验

C:转发错误控制

D:循环冗余校验

第30题(单选题)

某网站为了开发的便利,SA连接数据库,由于网站脚本中被发现存在SQL注入漏洞,导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:

A:权限分离原则

B:最小特权原则

C:保护最薄弱环节的原则

D:纵深防御的原则

第31题(单选题)

业务影响分析(BIA)的主要目的是:

A: 识别影响组织运行持续性的事件

B: 提供灾难后恢复运营的计划

C: 公开对机构物理和逻辑安全的评鉴

D: 提供一个有效的灾难恢复计划的框架

第32题(单选题)

下面哪个模型和软件安全开发无关( )?

A:微软提出的“安全开发生命周期(Security Development Lifecycle,SDL)”

B:Gray McGraw等提出的“使安全成为软件开发必须的部分(Building Security IN,BSI)”

C:OWASP维护的“软件保证成熟度模型(Software Assurance Maturity Mode,SAMM)”

D:美国提出的“信息安全保障技术框架(Information Assurance Technical Framework,IATF)”

第33题(单选题)

<p>如下哪一种情况下,网络数据管理协议(NDMP)可用于备份?</p>

A:需要使用网络附加存储设备(NAS)时

B:不能使用TCP/IP的环境中

C:需要备份旧的备份系统不能处理的文件许可时

D:要保证跨多个数据卷的备份连续、一致时

第34题(单选题)

<p>信息系统生命周期阶段正确的划分是:</p>

A:设计、实施、运维、废弃

B:规划、实施、运维、废弃

C:规划、设计、实施、运维、废弃

D:设计、实施、运行

第35题(单选题)

以下哪个不是计算机取证工作的作用?

A:通过证据查找肇事者

B:通过证据推断犯罪过程

C:通过证据判断受害者损失程度

D:恢复数据降低损失

第36题(单选题)

某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()?

A:安全路由器

B:网络审计系统

C:网页防篡改系统

D:虚拟专用网(Virtual Private Network,VPN)系统

第37题(单选题)

在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?

A:背景建立

B:风险评估

C:风险处理

D:批准监督

第38题(单选题)

对入侵检测系统的测试评估包括功能测试和性能测试。请指出下列哪项属于性能测试指标。

A:攻击识别能力

B:自身抵抗攻击能力

C:报警机制

D:IDS引擎的吞吐量

第39题(单选题)

无线局域网鉴别和保密基础结构(WAPI)中的WAI部分不提供以下哪个功能?

A:通信数据的保密性

B:安全策略协商

C:用户身份鉴别

D:接入控制

第40题(单选题)

路由器的扩展访问控制列表能够检查流量的哪些基本信息?

A:协议,VLAN ID,源地址,目标地址

B:协议,VLAN ID,源端口,目标端口

C:源地址,目标地址,源端口,目标端口,协议

D:源地址,目标地址,源端口,目标端口,交换机端口号

第41题(单选题)

下述选项中对于"风险管理"的描述正确的是:

A:安全必须是完美无缺、面面俱到的

B:最完备的信息安全策略就是最优的风险管理对策

C:在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍

D:防范不足就会造成损失:防范过多就可以避免损失

第42题(单选题)

下面ISO/OSI参考模型的说法正确的是?

A:它是目前应用最广泛的互联网通信协议

B:它的一个主要竞争对手是TCP/IP协议,由于ISO/OSI更加全面细致,所以更受欢迎

C:它的基本思想之一是在网络上发送数据时,由物理层开始对数据进行封装,至应用层时数据已经配套上了多层“外衣”

D:以上都不对

第43题(单选题)

以下哪一项措施不是用来支持“最小权限原则”的:

A:严格限制系统管理员的数量

B:管理员应使用普通用户身份进行常规操作,如阅读邮件

C:将系统用户的角色分为管理员、审计员和普通用户

D:只允许系统软件和应用系统需要使用的数据通过防火墙

第44题(单选题)

应对信息安全风险的主要目标是什么?

A:消除可能会影响公司的每一种威胁

B:管理风险,以使由风险产生的问题降至最低限度

C:尽量多实施安全措施以消除资产暴露在其下的每一种风险

D:尽量忽略风险,不使成本过高

第45题(单选题)

可以降低社交工程攻击的潜在影响的是:

A: 遵从法规的要求

B: 提高道德水准

C: 安全意识计划(如:促进安全意识的教育)

D: 有效的绩效激励政策

第46题(单选题)

以下哪个属性不会出现在防火墙的访问控制策略配置中?

A:本局域网内地址

B:百度服务器地址

C:HTTP协议

D:病毒类型

第47题(单选题)

以下对于单向函数的说法正确的是:

A:从输入到输出,数据总是按照某一种趋势变化的函数

B:输入的信息量总是大于输出的信息量的函数

C:输入的信息量总是小于输出的信息量的函数

D:给定输入求输出在计算上可行,但是给定输出在计算上难以求出输入的函数

第48题(单选题)

随着( )的增加,信息系统的安全风险降低。

A:威胁

B:脆弱性

C:资产的重要度

D:控制措施

第49题(单选题)

在ISO的OSI模型中,为应用层送来的命令和数据进行解释说明的是哪个层次?

A:表示层

B:会话层

C:传输层

D:网络层

第50题(单选题)

以下关于CSIRT的说法错误的是:

A:CSIRT是“计算机安全应急响应小组”的英文缩写

B:CSIRT应当包括法律、技术和其他专家,以及刑侦管理人员

C:CSIRT应当是一个常设机构,其成员应当专职从事应急响应,以便最快速地做出反应

D:应急响应工作本质上是被动的,因此CSIRT应当在事件发生前做好充分准备,尽可能争取主动

第51题(单选题)

以下哪一项在防止数据介质被滥用时是不推荐使用的方法:

A:禁用主机的CD驱动、USB接口等I/O设备

B:对不再使用的硬盘进行严格的数据清除

C:将不再使用的纸质文件用碎纸机粉碎

D:用快速格式化删除存储介质中的保密文件

第52题(单选题)

下列属于分布式拒绝服务(DDOS)攻击的是:

A:Men-in-Middle攻击

B:SYN洪水攻击

C:TCP连接攻击

D:SQL注入攻击

第53题(单选题)

以下哪个不是UDP Flood攻击的方式

A:发送大量的UDP小包冲击应用服务器

B:利用Echo等服务形成UDP数据流导致网络拥塞

C:利用UDP服务形成UDP数据流导致网络拥塞

D:发送错误的UDP数据报文导致系统崩溃

第54题(单选题)

以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?

A:ARP协议是一个无状态的协议

B:为提高效率,ARP信息在系统中会缓存

C:ARP缓存是动态的,可被改写

D:ARP协议是用于寻址的一个重要协议

第55题(单选题)

关于网页中的恶意代码,下列说法错误的是:

A:网页中的恶意代码只能通过IE浏览器发挥作用

B:网页中的恶意代码可以修改系统注册表

C:网页中的恶意代码可以修改系统文件

D:可以修改系统可以窃取用户的机密文件

第56题(单选题)

以下对于蠕虫病毒的说法错误的是:

A:通常蠕虫的传播无需用户的操作

B:蠕虫病毒的主要危害体现在对数据保密性的破坏

C:蠕虫的工作原理与病毒相似,除了没有感染文件阶段

D:是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序

第57题(单选题)

下列哪一些对信息安全漏洞的描述是错误的?

A:漏洞是存在于信息系统的某种缺陷

B:漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)

C:具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失

D:漏洞都是人为故意引入的一种信息系统的弱点

第58题(单选题)

<p>能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是:</p>

A:将每次访问记入个人信息(即:作日志)

B:对敏感的交易事务使用单独的密码/口令

C:使用软件来约束授权用户的访问

D:限制只有营业时间内才允许系统访问

第59题(单选题)

Chomd 744 test命令执行的结果是:

A:test文件的所有者具有执行读写权限,文件所属的组和其他用户有读的权限

B:test文件的所有者具有执行读写和执行权限,文件所属的组和其他用户有读的权限

C:test文件的所有者具有执行读和执行权限,文件所属的组和其他用户有读的权限

D:test文件的所有者具有执行读写和执行权限,文件所属的组和其他用户有读和写的权限

第60题(单选题)

<p>Windows NT提供的分布式安全环境又被称为:</p>

A:域(Domain)

B:工作组

C:对等网

D:安全网

第61题(单选题)

注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点?

A:通信安全

B:计算机安全

C:信息安全

D:信息安全保障

第62题(单选题)

以下哪一项不应被看做防火墙的主要功能?

A:协议过滤

B:包交换

C:访问控制规则的实现

D:审计能力的扩展

第63题(单选题)

用来为网络中的主机自动分配IP地址、子网掩码、默认网关、WINS服务器地址的网络协议是?

A:ARP

B:IGMP

C:ICMP

D:DHCP

第64题(单选题)

下列对于网络认证协议(Kerberos)描述正确的是:

A:该协议使用非对称密钥加密机制

B:密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成

C:该协议完成身份鉴别后将获取用户票据许可票据

D:使用该协议不需要时钟基本同步的环境

第65题(单选题)

下面哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互?

A:强制访问控制(MAC)

B:集中式访问控制(Decentralized Access control)

C:分布式访问控制(Distributed Access control)

D:自主访问控制(DAC)

第66题(单选题)

下面对于访问控制模型分类的说法正确的是:

A:BLP模型和Biba模型都是强制访问控制模型

B:Biba模型和Chinese Wall模型都是完整性模型

C:访问控制矩阵不属于自主访问控制模型

D:基于角色的访问控制属于强制访问控制

第67题(单选题)

信息系统的业务特性应该从哪里获取?

A:机构的使命

B:机构的战略背景和战略目标

C:机构的业务内容和业务流程

D:机构的组织结构和管理制度

第68题(单选题)

以下哪一项不是工作在网络第二层的隧道协议?

A:VTP

B:L2F

C:PPTP

D:L2TP

第69题(单选题)

目前对消息摘要算法(MD5),安全哈希算法(SHA1)的攻击是指?

A:能够构造出两个不同的消息,这两个消息产生了相同的消息摘要

B:对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要

C:对于一个已知的消息摘要,能够恢复其原始消息

D:对于一个已知的消息,能够构造出一个不同的消息摘要,也能通过验证

第70题(单选题)

下列描述中,关于摘要算法描述错误的是

A:消息摘要算法的主要特征是运算过程不需要密钥,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要

B:消息摘要算法将一个随机长度的信息生成一个固定长度的信息摘要

C:为了保证消息摘要算法安全,必须保证其密钥不被攻击方获取,否则所加密的数据将被破解,造成信息泄密

D:消息摘要算法的一个特点是:输入任何微小的变动都将引起加密结果的很大改变

第71题(单选题)

如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容?

A:计算风险

B:选择控制措施

C:实现安全措施

D:接受残余风险

第72题(单选题)

在RSA算法中,公钥为PU={e,n},私钥为PR={d,n},下列关于e,d,n,的说法正确的是:

A:收发双方均已知n

B:收发双方均已知d

C:由e和n可以很容易地确定d

D:只有接收方已知e

第73题(单选题)

以下哪一种非对称加密算法的速度最快?

A:RSA

B:ECC

C:Blowfish

D:IDEA

第74题(单选题)

<p>近代密码学比古典密码学本质上的进步是什么?</p>

A:保密是基于密钥而不是密码算法

B:采用了非对称密钥算法

C:加密的效率大幅提升

D:虚拟专用网络(VPN)的应用

第75题(单选题)

<p>计算机取证的工作顺序是:</p>

A:1准备2提取3保护4分析5提交

B:1准备2保护3提取4分析5提交

C:1准备2保护3提取4提交5分析

D:1准备2提取3保护4提交5分析

第76题(单选题)

<p>灾难恢复策略中的内容来自于:</p>

A:灾难恢复需求分析

B:风险分析

C:业务影响分析

D:国家标准和上级部门的明确规定

第77题(单选题)

信息系统不能满足用户需求的最常见的原因是:

A:用户需求频繁变动

B:对用户需求增长的预测不准确

C:硬件系统限制了并发用户的数目

D:定义系统时用户参与不够

第78题(单选题)

以下对异地备份中心的理解最准确的是:

A:与生产中心不在同一城市

B:与生产中心距离100公里以上

C:与生产中心距离200公里以上

D:与生产中心面临相同区域性风险的机率很小

第79题(单选题)

UDP协议和TCP协议对应于ISO/OSI模型的哪一层?

A:链路层

B:传输层

C:会话层

D:表示层

第80题(单选题)

下列哪个不是软件缺陷(漏洞)的来源?

A:对软件需求分析中缺乏对安全需求.安全质量的定义,导致软件设计中缺乏与安全需求对应的安全功能与安全策略。

B:对软件设计中缺乏安全方面的考虑,设计了不安全或没有很好的权限与能力限制的功能,或者缺乏对应安全需求的安全功能.安全策略设计。

C:软件的代码编制过程中,由于开发人员对安全缺乏理解及相关知识,或者失误,导致了错误的逻辑或者为对数据进行过滤和检查,或者对自身权限的限制。

D:在软件的测试过程中,由于开发测试人员缺乏对安全使用软件的理解,使用了非常规的操作方法,导致了错误的逻辑或突破了权限的限制。

第81题(单选题)

关于监理过程中成本控制,下列说法中正确的是?

A:成本只要不超过预计的收益即可

B:成本应控制得越低越好

C:成本控制由承建单位实现,监理单位只能记录实际开销

D:成本控制的主要目的是在批准的预算条件下确保项目保质按期完成

第82题(单选题)

黑客进行攻击的最后一个步骤是:

A:侦查与信息收集

B:漏洞分析与目标选定

C:获取系统权限

D:打扫战场.清除证据

第83题(单选题)

下面的角色对应的信息安全职责不合理的是:

A:高级管理层——最终责任

B:信息安全部门主管——提供各种信息安全工作必须的资源

C:系统的普通使用者——遵守日常操作规范

D:审计人员——检查安全策略是否被遵从

第84题(单选题)

相比FAT文件系统,以下哪个不是NTFS所具有的优势?

A:NTFS使用事务日志自动记录所有文件和文件夹更新,当出现系统损坏引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。

B:NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限

C:对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率。

D:相比FAT文件系统,NTFS文件系统能有效的兼容linux下的EXT32文件格式。

第85题(单选题)

下面哪一项不是VPN协议标准:

A:L2TP

B:IPSec

C:TACACS+

D:PPTP

第86题(单选题)

公钥基础设施中不包括以下哪一项?

A:CRL

B:RA

C:IKE

D:CA

第87题(单选题)

某机构在风险管理过程中,“批准”通常由谁来执行?

A:第三方的风险评估机构

B:信息安全主管

C:机构决策层

D:以上都不是

第88题(单选题)

<p>公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护,证书废止列表维护和证书发布这个要素是:</p>

A: 证书机构(CA)

B: 数字签名

C: 证书实践声明

D: 注册机构(RA)

第89题(单选题)

<p>&ldquo;在没有足够安全保障的信息系统中,不处理特别敏感的信息&rdquo;,属于什么风险处置策略?</p>

A:规避风险

B:转移风险

C:接受风险

D:减低风险

第90题(单选题)

<p>路由器进行数据转发,需要解析以下哪个数据包信息?</p>

A:IP包头

B:以太网包头

C:TCP包头

D:UDP包头

第91题(单选题)

下列哪一种密钥生命周期最短?

A:公钥

B:私钥

C:会话密钥

D:秘密密钥

第92题(单选题)

当开发一个业务连续性计划时,应该用下列哪种工具来获得对组织业务流程的理解?

A: 业务连续性自我审计

B: 资源恢复分析

C: 差距分析

D: 风险评估

第93题(单选题)

下列哪种技术不是恶意代码的生存技术?

A:反跟踪技术

B:加密技术

C:模糊变换技术

D:自动解压缩技术

第94题(单选题)

<p>在风险评估中进行定量的后果分析时,如果采用年度风险损失值(ALE,annualized loss expectancy)的方法进行计算,应当使用以下哪个公式?</p>

A:SLE(单次损失预期值)×ARO(年度发生率)

B:ARO(年度发生率)×EF(暴露因子)

C:SLE(单次损失预期值)×EF(暴露因子)×ARO(年度发生率)

D:ARO(年度发生率)×SLE(单次损失预期值)-EF(暴露因子)

第95题(单选题)

在关系型数据库系统中通过“视图(view)”技术,可以实现以下哪一种安全原则?

A:纵深防御原则

B:最小权限原则

C:职责分离原则

D:安全性与便利性平衡原则

第96题(单选题)

以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解?

A:往来人员在进行系统维护时没有受到足够的监控

B:一个人拥有了不是其完成工作所必要的权限

C:敏感岗位和重要操作长期有一个人独自负责

D:员工有一个岗位变动到另一个岗位,累积越来越多的权限

第97题(单选题)

WAPI采用的是什么加密算法?

A:我国自主研发的公开密钥体制的椭圆曲线密码算法

B:国际上通用的商用加密标准

C:国家密码管理委员会办公室批准的流加密标准

D:国际通行的哈希算法

第98题(单选题)

数字签名是使用__________。

A:己方的私钥

B:己方的公钥

C:对方的私钥

D:对方的公钥

第99题(单选题)

职责分离的主要目的是:

A:不允许任何一个人可以从头到尾控制某一工作的整个流程

B:不同部门的雇员不可以在一起工作

C:对于所有的资源都必须有保护措施

D:对于所有的设备都必须有操作控制措施

第100题(单选题)

下面哪一项不属于集中访问控制管理技术?

A:RADIUS

B:TEMPEST

C:TACACS

D:Diameter