防御技能练习题


第1题(单选题)

关于密钥管理,下列说法错误的是:

A 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性

B 保密通信过程中,通信方使用之前用过的会话密钥建立会话,不影响通信安全

C 密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节

D 在网络通信中,通信双方可利用Diffie-Hellman协议协商出会话密钥

第2题(单选题)

某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能()。

A 检测并分析用户和系统活动

B 核查系统的配置漏洞,评估系统关键资源和数据文件的完整性

C 防止IP地址欺骗

D 识别违反安全策略的用户活动

第3题(单选题)

<p>访问控制是对用户或用户组访问本地或网络上的域资源进行授权的一种机制。在Windows 2000以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用ACL访问令牌和授权管理器来实现访问控制功能。以下选项中,对Windows操作系统访问控制实现方法的理解错误的是()。</p>

A ACL只能由管理员进行管理

B ACL是对象安全描述符的基本组成部分,它包括有权访问对象的用户和组的SID

C 访问令牌存储着用户的SID、组信息和分配给用户的权限

D 通过权限管理器,可以实现基于角色的访问控制

第4题(单选题)

根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。

A 风险评估

B 风险处理

C 批准监督

D 监控审查

第5题(单选题)

小赵是某大学计算机科学与技术专业的毕业生在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控制模型的设计思路,如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是( )

A 访问控制列表(ACL)

B 能力表(CL)

C BLP模型

D Biba模型

第6题(单选题)

<p>模糊测试,也称Fuzz测试,是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是()。</p>

A 模糊测试本质上属于黑盒测试

B 模糊测试本质上属于白盒测试

C 模糊测试有时属于黑盒测试,有时属于白盒测试,取决于其使用的测试方法

D 模糊测试既不属于黑盒测试,也不属于白盒测试

第7题(单选题)

某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间有过几次不小的破坏和干扰,虽然有防火墙,但系统管理人员也未找到真实事发原因。某网络集团部署基于网络的入侵监测系统(NIDS),将IDS部署在防火墙后,以进行二次防御。应在()区域部署。

A DMZ

B 内网主干

C 内网关键子网

D 外网入口

第8题(单选题)

为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用&ldquo;智能卡+短信认证&rdquo;模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法?

A 实体“所知”以及实体“所有”的鉴别方法

B 实体“所有”以及实体“特征”的鉴别方法

C 实体“所知”以及实体“特征”的鉴别方法

D 实体“所有”以及实体“行为”的鉴别方法

第9题(单选题)

数字签名不能实现的安全特性为( )

A 防抵赖

B防伪造

C 防冒充

D 保密通信

第10题(单选题)

由于Internet的安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于依附于传输层的安全协议是( )

A PP2P

BL2TP

C SSL

D TPSec

第11题(单选题)

某购物网站开发项目经过需求分析进入系统设计阶段。项目开发人员决定用户输入的信息,无论是用户名,口令还是查询内容,都需要进行校验或检查。请问以上安全设计者遵循的是哪项安全设计原则:( )

A 公开设计原则

B 不信任原则

C 隐私保护原则

D 心里可接受程度原则

第12题(单选题)

某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入产生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题再降更低,信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方选择对软件开发投入的准确说法?

A 信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用更低

B 软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在

C 双方说法都正确,需要根据具体情况分析开发阶段投入解决问题还是开发之后

D 双发说法都有错误,软件安全问题在任何时候投入解决都可以

第13题(单选题)

<p>小张新购入一台安装了Windows操作系统的笔记本电脑。为了提高操作系统的安全性,小张在Windows中的&ldquo;本地安全策略&rdquo;中,配置了四类安全策略,账号策略,本地策略,公钥策略和IP安全策略,那么该操作属于操作系统安全配置内容中的()。</p>

A 关闭不必要的服务

B 制定操作系统安全策略

C 关闭不必要的端口

D 开启审核策略

第14题(单选题)

<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。</p>

A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容

B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容

C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容

第15题(单选题)

以下关于模糊测试过程的说法正确的是:

A 模糊测试的效果与覆盖能力,与输入样本选择不相关

B 为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统状态进入后续的测试

C 通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是进一步分析其危害性、影响范围和修复建议

D 对于可能产生的大量异常报告,需要人工全部分析异常报告

第16题(单选题)

私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。关于这方面描述正确的是()。

A A类和B类地址中没有私有地址

B A类地址中没有私有地址,B类和C类地址中可以设置私有地址

C A类、B类和C类地址中都可以设置私有地址

D A类、B类和C类地址中都没有私有地址

第17题(单选题)

以下关于SMTP和POP3协议的说法哪个是错误的:

A SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议

B SMTP和POP3协议明文传输数据,因此存在数据泄露的可能

C SMTP和POP3协议缺乏严格的用户认证,因此导致了垃圾邮件问题

D SMTP和POP3协议由于协议简单,易用性更高,更容易实现远程管理邮件

第18题(单选题)

某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:

A 在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)

B 删除服务器上的ping.exe程序

C 增加带宽以应对可能的拒绝服务攻击

D 增加网站服务器以应对即将来临的拒绝服务攻击

第19题(单选题)

异常入侵检测是入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为。下面说法错误的是 ( )

A 在异常入侵检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象

B 实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生

C 异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警

D 异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为

第20题(单选题)

数据在运行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中,数据封装的顺序是 ( )

A 传输层、网络接口层、互联网络层

B 传输层、互联网络层、网络接口层

C 互联网络层、传输层、网络接口层

D 互联网络层、网络接口层、传输层

第21题(单选题)

以下SQL语句建立的数据库对象是 ( ) CREATE VIEW Patients For Doctors AS SELECT Patient.* FROM Patient,Doctor WHERE doctor ID=123

A 表

B 视图

C 存储过程

D 触发器

第22题(单选题)

关于数据库恢复技术,下列说法不正确的是 ( )

A 数据可恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行恢复

B 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术

C 日志文件在数据库恢复中起着非常重要的作用,可以用来进行事物故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复

D 计算机系统发生故障导致数据为存储到固定存储器上,利用日志文件中故障发生前数据的值,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交

第23题(单选题)

<p>为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是 ( )</p>

A 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,一旦出现问题及时恢复系统和数据

B 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况

C 渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤

D 为了深入发掘该系统存在的安全威胁应该在系统正常业务运行高峰期进行渗透测试

第24题(单选题)

下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的 ( )

A 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息

B 设计了采用不加盐(SALT)的SHA-1算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录

C 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据

D 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文

第25题(单选题)

某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登陆功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是 ( )

A 网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码导致共计面增大,产生此安全问题

B 网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站共计面增大,产生此安全问题

C 网站问题是由于使用便利性提高带来网站用户数量增加,导致网站攻击面增大,产生安全问题

D 网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此安全问题

第26题()

第27题(单选题)

王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值 ( )

A 2

B 3

C 5

D 6

第28题(单选题)

风险分析是风险评估工作中的一个重要内容,CIVT 20184-2007在资料性附录中给出了一种矩阵规定计算信息安全风险大小,其中风险计算矩阵如下图所示,请为图中括号空白处选择合适的内容 ( ) <p><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966549931037.jpg" style="width: 560px; height: 217px;" /></p>

A 安全资产价值大小等级

B 脆弱性严重程度等级

C 安全风险隐患严重等级

D 安全事件造成损失大小

第29题(单选题)

规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<span style="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 ( )

A 《风险评估方案》

B 《重要保护的资产清单》

C 《风险计算报告》

D 《风险程度等级列表》

第30题(单选题)

定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是 ( )

A 2.5%

B 25%

C 5%

D 50%

第31题(单选题)

不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是 ( )

A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量

B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析

C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D 定性风险分析更具有主观性,而定量风险分析更具客观性

第32题(单选题)

某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 ( )

A 风险降低

B 风险规避

C 风险转移

D 风险接受

第33题(单选题)

降低风险(以减低风险)是指通过对面临风险的资产采取保护措施的方式来降低风险,下面哪个措施不属于降低风险的措施 ( )

A 减少威胁源,采用法律的手段制裁计算机犯罪,发挥法律的威信作用,从而有效遏制威胁源的动机

B 签订外包服务合同,将有技术难点、存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合同责任条款来应对风险

C 减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力

D 减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性

第34题(单选题)

残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是 ( )

A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险

B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件

C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果

D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标

第35题(单选题)

小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司可以放弃这个功能模块的方式来处理该风险,请问这种风险处置的方法是 ( )

A 降低风险

B 规避风险

C 转移风险

D 放弃风险

第36题(单选题)

某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用Http下载代替FTP功能以解决以上问题,该安全问题的产生主要是哪个阶段产生的 ( )

A 程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求

B 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能

C 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码

D 程序员进行软件测试时,没有针对软件安全需求进行安全测试

第37题(单选题)

微软提出了STRIDE模型,其中R是Repadiation(抵赖)的缩写,关于此项安全要求,下面描述错误的是 ( )

A 某用户在登录系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁属于R威胁

B 某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”,软件系统中的这种威胁也属于R威胁

C 对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术措施来解决

D 对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术措施来解决

第38题(单选题)

<p>关于ARP欺骗原理和防范措施,下面理解错误的是 ( )</p>

A ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中,从而起到冒充主机的目的

B 单纯利用ARP欺骗攻击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击

C 解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存,如果发生硬件地址的更改,则需要人工更新缓存

D 彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存,直接采用IP地址和其他主机进行连接

第39题(单选题)

<p>从内存角度看,修复漏洞的安全补丁可以分为文件补丁和内存补丁,关于文件补丁理解错误的是 ( )</p>

A 文件补丁又称为热补丁

B 安装文件补丁时,应该停止运行原有软件

C 文件补丁的优点是直接对待修补的文件进行修改,一步到位

D 安装文件补丁前应该经过测试,确保能够正常运行

第40题(单选题)

<p>数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全,以下关于数据库常用的安全策略理解不正确的是 ( )</p>

A 最小特权原则,是让用户可以合法的存取或修改数据库的前提下,最大程度地分配最小的特权,使得这些信息恰好能够完成用户的工作

B 最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息

C 粒度最小策略,将数据库中的数据项进行划分、粒度越小,安全级别越高,在实际中需要选择最小粒度

D 内容存取控制策略,不同权限的用户访问数据库的不同部分

第41题(单选题)

<p>访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制,它们具有不同的特点和应用场景,如果需要选择一个访问控制方法,需求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在下列选项中,能够满足以上要求的选项是 ( )</p>

A 自主访问控制

B 强制访问控制

C 基于角色的访问控制

D 以上选项都可以

第42题(单选题)

<p>随着计算机在商业和民用领域的应用,安全需求变得越来越多样化,自主访问控制和强制访问控制难以适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点,RBAC模型可以分为RBAC0、RBAC1、RBAC2和RBAC3四种类型,它们之间存在相互包含关系,下列选项中,对这四种类型之间的关系描述错误的是 ( )</p>

A RBAC0是基于模型, RBAC1、RBAC2和RBAC3都包含RBAC0

B RBAC1在RBAC0的基础上,加入了角色等级的概念

C RBAC2在RBAC1的基础上,加入了约束的概念

D RBAC3结合了RBAC1和RBAC2,同时具备角色等级和约束

第43题(单选题)

<p>小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧,小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性,(2)自主访问控制可以抵御木马程序的攻击,小刘认为应该采用强制访问控制的方法,他的观点有:(3)强制访问控制中,用户不能通过运行程序来改变他自己及任何客体的安全属性,因此安全性较高,(4)强制访问控制能保护敏感信息,访问以上四个观点中,正确的观点是 ( )</p>

A 观点(1),因为自主访问控制的安全策略是固定的,主体的访问权限不能被改变

B 观点(2),因为在自主访问控制中,操作系统无法区分对文件的访问权限是由合法用户修改,还是由恶意攻击的程序修改的

C 观点(3),因为在强制访问控制中,安全级别最高的用户可以修改安全属性

D 观点(4),因为在强制访问控制中,用户可能无意中泄露机密信息

第44题(单选题)

<p>根据Bcll-Lapadula模型安全策略,下图中写和读操作正确的是 ( )</p> <p><span style="font-size:8px;"><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966548978423.jpg" style="width: 500px; height: 65px;" /></span></p>

A 可读可写

B 可读不可写

C 可写不可读

D 不可读不可写

第45题(单选题)

<p>自主访问控制模型(DAC)的访问控制关系可以用访问控制表(ACL)来表示,该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存蓄相关数据,下面选项中说法正确的是 ( )</p>

A ACL是Bell-Lapadula模型的一种具体实现

B ACL在删除用户时,去除该用户所有的访问权比较方便

C ACL对于统计某个主体能访问哪些客体比较方便

D ACL在增加客体时,增加相关的访问控制权限为简单

第46题(单选题)

鉴别是用户进入系统的第一道防线,用户登录系统时,输入用户名和密码就是对用户身份进行鉴别。鉴别过程,即可以实现两个实体之间的连续。例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问,鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的 ( )

A 保密性

B 可用性

C 真实性

D 完整性

第47题(单选题)

在某信息系统的设计中,用户登录过程是这样的;(1)用户通过HTTP协议访问信息系统,(2)用户在登录页面输入用户名和口令,(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成,可以看出,这个鉴别过程属于 ( )

A 单向鉴别

B 双向鉴别

C 三向鉴别

D 第三方鉴别

第48题(单选题)

<p>主体和客体是访问控制模型中常用的概念,下面描述中错误的是 ( )</p>

A 主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据

B 客体也是一种实体,是操作的对象,是被规定需要保护的资源

C 主体是动作的实施者,比如人,过程和设备都是主体,这些对象不能被当做客体使用

D 一个主体为完成任务,可以创建另外的主体,这些主体可以独立运行

第49题(单选题)

<p>IPSec(IP Security)协议标准的设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性。下面选项中哪项描述是错误的 ( )</p>

A IPSec协议不支持使用数字证书

B IPSec协议对于IPv4和IPv6网络都是适用的

C IPSec有两种工作模式:传输模式和隧道模式

D IPSec协议包括封装安全载荷(ESP)和鉴别头(AH)两种通信保护机制

第50题(单选题)

<p>部署互联网协议安全虚拟专用网(Internet protocol Sccurity Virtual Prlvate Nctwork,IPsec VPN)时,以下说法正确的是 ( )</p>

A 配置MD5安全算法可以提供可靠地数据加密

B 配置AES算法可以提供可靠的数据完整性验证

C 部署IPsecc VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication.SA)资源的消耗

D 报文验证头协议(Authenticaticm Header.AH)可以提供数据机密性

第51题(单选题)

<p>美国计算机协会【ACM】宣布将2015年的ACM图灵奖授予给Whitfield Dlffia和Martin LLellman,下面哪项工作是他们的贡献 ( )</p>

A 发明并第一个使用C语言

B 第一个发表了对称密码算法思想

C 第一个发表了非对称密码算法思想

D 第一个研制出防火墙

第52题(单选题)

<p>二十世纪二十年代,德国发明家亚瑟﹒鲍尔比乌斯(Artharr Seherblua)发明了Pngmlm密码机,按照密码学发展历史阶段划分,这个阶段属于 ( )</p>

A 古典密码阶段,这一阶段的密码专家常常靠直觉和技巧来设计密码,而不是凭借推理和证明,常用的密码运算方法包括替代方法和置换方法

B 近代密码发展阶段,这一阶段开始使用机械代替手工计算,形成了机械式密码设备和更进一步的机电密码设备

C 现代密码学的早期发展阶段,这一阶段以“保密系统的通信理论”(“The Commicat ion Theory of Seccet Systeas”) 为理论基础。开始了对密码学的科学探索

D 现代密码学的早期发展阶段。这一阶段以公钥密码思想为标志,引发了密码学历史上的革命性的变革。同时,众多的密码算法开始应用于非机密单位和商业场合

第53题(单选题)

应用安全,一般是指保障应用程序使用过程和结果的安全,以下内容中不属于应用安全防护考虑的是()。

A:身份鉴别,应用系统对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源

B:安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问

C:剩余信息保护,应用系统加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问

D:机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等

第54题(单选题)

<p>由于发生了一起针对服务器的口令暴力破解攻击,管理员决定设置账户锁定策略以对抗口令暴力破解。他设置了账户锁定策略如下:复位账户锁定计数器5分钟,账户锁定时间10分钟,账户锁定阀值3次无效登录,以下关于以上策略设置后的说法哪个是正确的:</p>

A:设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住

B:如果正常用户不小心输错了3次密码,那么该用户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统

C:如果正常用户不小心连续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟内即使提交了正确的密码也无法登录系统

D:攻击者在进行口令破解时,只要连续输错3次密码,该用户就被锁定10分钟,而正常用户登录不受影响

第55题(单选题)

以下可能存在sql注入攻击的部分是:

A:get请求参数

B:post请求参数

C:cookie值

D:以上均有可能

第56题(单选题)

<p>关于恶意代码,以下说法错误的是:</p>

A:从传播范围来看,恶意代码呈现多平台传播的特征。

B:按照运行平台,恶意代码可以分为网络传播型病毒.文件传播型病毒。

C:不感染的依附性恶意代码无法单独执行

D:为了对目标系统实施攻击和破坏活动,传播途径是恶意代码赖以生存和繁殖的基本条件

第57题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第58题(单选题)

小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”,请问,这种处理方法的主要目的是()。

A:避免缓冲区溢出

B:安全处理系统异常

C:安全使用临时文件

D:最小化反馈信息

第59题(单选题)

Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端,从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()。

A:不选择Windows平台,应选择在Linux平台下安装使用

B:安装后,修改配置文件http.conf中的有关参数

C:安装后,删除Apache HTTP Server源码

D:从正确的官方网站下载Apache HTTP Server,并安装使用

第60题(单选题)

在Linux系统中,下列哪项内容不包含在/etc/passwd文件中()。

A:用户名

B:用户口令明文

C:用户主目录

D:用户登录后使用的SHELL

第61题(单选题)

防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是()。

A:既能物理隔离,又能逻辑隔离

B:能物理隔离,但不能逻辑隔离

C:不能物理隔离,但是能逻辑隔离

D:不能物理隔离,也不能逻辑隔离

第62题(单选题)

关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是()。

A:WPA是有线局域安全协议,而WPA2是无线局域网协议

B:WPA是适用于中国的无线局域安全协议,而WPA2是适用于全世界的无线局域网协议

C:WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证

D:WPA是依照802.11标准草案制定的,而WPA2是依照802.11i正式标准制定的

第63题(单选题)

<p>密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是()。</p>

A:在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式

B:密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行

C:根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人

D:密码协议 (cryptographic protocol),有时也称安全协议(security protocols),是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务

第64题(单选题)

超文本传输协议(HyperText Transfer Protocol,HTTP)是互联网上广泛使用的一种网络协议。下面哪种协议基于HTTP并结合SSL协议,具备用户鉴别和通信数据加密等功能()。

A:HTTP1.0协议

B:HTTP1.1协议

C:HTTPS协议

D:HTTPD协议

第65题(单选题)

关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()。

A:指数据表中列的完整性,主要用于保证操作的数据(记录)完整、不丢项

B:指数据表中行的完整性,主要用于保证操作的数据(记录)非空、唯一且不重复

C:指数据表中列必须满足某种特定的数据类型或约束,比如数据范围、数据精度等内容

D:指数据表中行必须满足某种特定的数据类型或约束,比如在更新、插入或删除记录时,要将关联有关的记录一并处理才可以

第66题(单选题)

实体身份鉴别一般依据以下三种基本情况或这三种情况的组合,实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法,下面选项中属于使用基于实体特征的鉴别方法是()。

A:将登录口令设置为出生日期

B:通过询问和核对用户的个人隐私信息来鉴别

C:使用系统定制的,在本系统专用的IC卡进行鉴别

D:通过扫描和识别用户的脸部信息来鉴别

第67题()

第68题(单选题)

以下哪种风险被认为是合理的风险()。

A:最小的风险

B:残余风险

C:未识别的风险

D:可接受的风险

第69题(单选题)

Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。

A:源代码审核、风险分析和渗透测试

B:应用风险管理、软件安全接触点和安全知识

C:威胁建模、渗透测试和软件安全接触点

D:威胁建模、源代码审核和模糊测试

第70题(单选题)

下图是安全测试人员连接某远程主机时的操作界面,请仔细分析该图,下面选项中推断正确的是()。<img src="app/core/styles/exam_title/501_20160908150901_UVElODAlODAlODAlODAyMDE2MDkwODE1MzQzNQ==.png" >

A:安全测试人员连接了远程服务器的220端口

B:安全测试人员的本地操作系统是Linux

C:远程服务器开启了FTP服务,使用的服务器软件名为FTP Server

D:远程服务器的操作系统是Windows系统

第71题(单选题)

软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是()。

A:0.00049

B:0.049

C:0.49

D:49

第72题(单选题)

下面四款安全测试软件中,主要用于WEB安全扫描的是()。

A:Cisco Auditing Tools

B:Acunetix Web Vulnerability Scanner

C:NMAP

D:ISS Database Scanner

第73题(单选题)

为达到预期的攻击目的,恶意代码通常会采用各种方法将自己隐藏起来,关于隐藏方法,下面理解错误的是()。

A:隐藏恶意代码进程,即将恶意代码进程隐藏起来,或者改名和使用系统进程名,以更好的躲避检测,迷惑用户和安全检测人员

B: 隐藏恶意代码的网络行为,复用通用的网络端口或者不使用网络端口,以躲避网络行为检测和网络监控

C: 隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码,以躲避用户和安全检测人员

D: 隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术,以躲避系统文件检查和清除

第74题(单选题)

下面对“零日(zero-day)漏洞”的理解中,正确的是()。

A:指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限

B:指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施

C:指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标

D:指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞是零日漏洞

第75题(单选题)

Internet Explorer,简称IE,是微软公司推出的一款Web浏览器。IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据,以下哪项不是IE中的安全配置项目()。

A:设置Cookie安全,允许用户根据自己的安全策略要求设置Cookie策略,包括从阻止所有Cookie到接受所有Cookie,用户也可以选择删除已经保存过的Cookie

B:禁用自动完成和密码记忆功能,通过设置禁止IE自动记忆用户输入过的Web地址和表单,也禁止IE自动记忆表单中的用户名和口令信息

C:设置每个连接的最大请求数,修改MaxKeepAliveRequests,如果同时请求数达到阀值就不再响应新的请求,从而保证了系统资源不会被某个连接大量占用

D:为网站设置适当的浏览器安全级别,用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中,以采取不同的安全访问策略

第76题(单选题)

<p>加密文件系统(Encrypting File System,EFS)是Windows操作系统的一个组件,以下说法错误的是()。</p>

A:EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据

B:EFS以公钥加密为基础,并利用了Windows系统中的CryptoAPI体系结构

C:EFS加密系统适用于NTFS文件系统和FAT32文件系统(Windows 7环境下)

D:EFS加密过程对用户透明,EFS加密的用户验证过程是在登录Windows时进行的

第77题(单选题)

TCP/IP协议是Internet最基本的协议,也是Internet构成的基础。TCP/IP通常被认为是一个N层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里N应等于()。

A:4

B:5

C:6

D:7

第78题(单选题)

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。一般来说,DDoS攻击的主要目的是破坏目标系统的()。

A:保密性

B:完整性

C:可用性

D:真实性

第79题(单选题)

关于风险评估准备阶段工作内容叙述错误的是:

A:制订风险评估方案,确定风险评估的实施方案,包括风险评估的工作过程、活动、子活动、每项活动的输入数据和输出结果

B:选择风险评估方法和工具,从现有风险评估方法和工具库汇总选择合适的风险评估方法和工具

C:制订组织机构自己的风险评估准则,相关准则可以不需要得到被评估方的认可

D:风险评估方案应获得管理决策层的认可、批准和支持

第80题(单选题)

以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:

A:采用最新的集成编译环境和支持工具

B:充分使用编译环境提供的安全编译选项来保护软件代码的安全性

C:源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,报告源代码中可能隐藏的错误和缺陷。

D:严格遵守代码编写的安全规范就能保障软件的安全性

第81题(单选题)

某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下哪一项工作不能降低该系统的受攻击面:

A:分析系统功能的重要性

B:分析从哪里可以访问这些功能

C:采取合理措施降低特权

D:分析系统应满足的性能要求

第82题(单选题)

评估数据库应用的便捷性时,IS审计师应该验证:

A: 能够使用结构化查询语言(SQL)

B: 与其他系统之间存在信息的导入、导出程序

C: 系统中采用了索引(Index)

D: 所有实体(entities)都有关键名、主键和外键

第83题(单选题)

常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是()。

A:从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型

B:自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性

C:强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统

D:基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略

第84题(单选题)

<p>公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项()。 <img height="146" src="app/core/styles/exam_title/501_20160908150957_UVElODAlODAlODAlODAyMDE2MDkwODE1MTYyOQ==.png" style="width: 387px; height: 75px;" width="1020" /></p>

A:证书库

B:RA

C:OCSP

D:CRL库

第85题(单选题)

<p>如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:<img src="app/core/styles/exam_title/29_20150923160924_Mg==.jpg" /></p>

A:个人网银系统和用户之间的双向鉴别

B:由可信第三方完成的用户身份鉴别

C:个人网银系统对用户身份的单向鉴别

D:用户对个人网银系统合法性的单向鉴别

第86题(单选题)

<p>如图所示,主机A主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址应该在下列哪个范围?<img src="app/core/styles/exam_title/29_20150923140944_MQ==.jpg" /></p>

A:10.0.0.0~10.255.255.255

B:172.16.0.0~172.31.255.255

C:192.168.0.0~192.168.255.255

D:不在上述范围内

第87题(单选题)

风险分析的关键要素是:

A:审计计划

B:控制

C:脆弱点

D:责任

第88题(单选题)

<p>软件安全设计和开发中应考虑用户稳私保护,以下关于用户隐私保护的说法哪个是错误的?</p>

A:告诉用户需要收集什么数据及收集到的数据会如何被使用

B:当用户的数据由于某种原因要被使用时,给用户选择是否允许

C:用户提交的用户名和密码属于稳私数据,其它都不是

D:确保数据的使用符合国家.地方.行业的相关法律法规

第89题(单选题)

<p>如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是:<img height="688" src="app/core/styles/exam_title/30_20150923140932_Mg==.jpg" style="width: 1155px; height: 361px;" width="1678" /></p>

A:此密码体制为对称密码体制

B:此密码体制为私钥密码体制

C:此密码体制为单钥密码体制

D:此密码体制为公钥密码体制

第90题(单选题)

IS审计师复核IT功能外包合同时,应当期望它定义:

A: 硬件设置

B: 访问控制软件

C: 知识产权

D: 应用开发方法论

第91题(单选题)

安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?

A:操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞

B:为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘

C:操作系统上部署防病毒软件,以对抗病毒的威胁

D:将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能

第92题(单选题)

对于抽样而言,以下哪项是正确的?

A:抽样一般运用于与不成文或无形的控制相关联的总体

B:如果内部控制健全,置信系统可以取的较低

C:通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样

D:变量抽样是估计给定控制或相关控制集合发生率的技术

第93题(单选题)

以下关于账户策略中密码策略中各项作用说明,哪个是错误的:

A:“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令

B:“密码长度最小值”是强制用户使用一定长度以上的密码

C:“强制密码历史”是强制用户不能再使用曾经使用过的任何密码

D:“密码最长存留期”是为了避免用户使用密码时间过长而不更换

第94题(单选题)

<p>如图所示,主体S对客体O1有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是:<img src="app/core/styles/exam_title/6_20150910170901_UVElQkQlRDglQ0QlQkMyMDE1MDkxMDE3NTIwNA==.png" /></p>

A:访问控制表(ACL)

B:访问控制矩阵

C:能力表(CL)

D:前缀表(Profiles)

第95题(单选题)

以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A:出入的原因

B:出入的时间

C:出入口的位置

D:是否成功进入

第96题(单选题)

通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:

A:可靠的产品是有保证的

B:程序员的效率得到了提高

C:安全需求得到了规划、设计

D:预期的软件程序(或流程)得到了遵循

第97题(单选题)

以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:

A:存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性

B:存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性

C:存续在册表中的账号数据任何用户都可以直接访问,灵活方便

D:存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性

第98题(单选题)

<p>以下关于安全套接层协议(Security Sockets Layer,SSL)说法错误的是:</p>

A:受到SSL防护的web服务器比没有SSL的web服务器要安全

B:当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器

C:SSL可以看到浏览器与服务器之间的安全通道

D:SSL提供了一种可靠地端到端的安全服务

第99题(单选题)

以下哪一项不是常见威胁对应的消减措施:

A:假冒攻击可以采用身份认证机制来防范

B:为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性

C:为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖

D:为了防止用户提升权限,可以采用访问控制表的方式来管理权限

第100题(单选题)

某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种:

A:强制访问控制

B:基于角色的访问控制

C:自主访问控制

D:基于任务的访问控制