信息安全基础练习题


第1题(单选题)

根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。

A 风险评估

B 风险处理

C 批准监督

D 监控审查

第2题(单选题)

小赵是某大学计算机科学与技术专业的毕业生在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控制模型的设计思路,如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是( )

A 访问控制列表(ACL)

B 能力表(CL)

C BLP模型

D Biba模型

第3题(单选题)

某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间有过几次不小的破坏和干扰,虽然有防火墙,但系统管理人员也未找到真实事发原因。某网络集团部署基于网络的入侵监测系统(NIDS),将IDS部署在防火墙后,以进行二次防御。应在()区域部署。

A DMZ

B 内网主干

C 内网关键子网

D 外网入口

第4题(单选题)

某购物网站开发项目经过需求分析进入系统设计阶段。项目开发人员决定用户输入的信息,无论是用户名,口令还是查询内容,都需要进行校验或检查。请问以上安全设计者遵循的是哪项安全设计原则:( )

A 公开设计原则

B 不信任原则

C 隐私保护原则

D 心里可接受程度原则

第5题(单选题)

某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入产生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题再降更低,信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方选择对软件开发投入的准确说法?

A 信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用更低

B 软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在

C 双方说法都正确,需要根据具体情况分析开发阶段投入解决问题还是开发之后

D 双发说法都有错误,软件安全问题在任何时候投入解决都可以

第6题(单选题)

<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。</p>

A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容

B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容

C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容

第7题(单选题)

风险分析是风险评估工作中的一个重要内容,CIVT 20184-2007在资料性附录中给出了一种矩阵规定计算信息安全风险大小,其中风险计算矩阵如下图所示,请为图中括号空白处选择合适的内容 ( ) <p><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966549931037.jpg" style="width: 560px; height: 217px;" /></p>

A 安全资产价值大小等级

B 脆弱性严重程度等级

C 安全风险隐患严重等级

D 安全事件造成损失大小

第8题(单选题)

规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<span style="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 ( )

A 《风险评估方案》

B 《重要保护的资产清单》

C 《风险计算报告》

D 《风险程度等级列表》

第9题(单选题)

不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是 ( )

A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量

B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析

C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D 定性风险分析更具有主观性,而定量风险分析更具客观性

第10题(单选题)

某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 ( )

A 风险降低

B 风险规避

C 风险转移

D 风险接受

第11题(单选题)

残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是 ( )

A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险

B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件

C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果

D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标

第12题(单选题)

小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司可以放弃这个功能模块的方式来处理该风险,请问这种风险处置的方法是 ( )

A 降低风险

B 规避风险

C 转移风险

D 放弃风险

第13题(单选题)

<p>小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧,小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性,(2)自主访问控制可以抵御木马程序的攻击,小刘认为应该采用强制访问控制的方法,他的观点有:(3)强制访问控制中,用户不能通过运行程序来改变他自己及任何客体的安全属性,因此安全性较高,(4)强制访问控制能保护敏感信息,访问以上四个观点中,正确的观点是 ( )</p>

A 观点(1),因为自主访问控制的安全策略是固定的,主体的访问权限不能被改变

B 观点(2),因为在自主访问控制中,操作系统无法区分对文件的访问权限是由合法用户修改,还是由恶意攻击的程序修改的

C 观点(3),因为在强制访问控制中,安全级别最高的用户可以修改安全属性

D 观点(4),因为在强制访问控制中,用户可能无意中泄露机密信息

第14题(单选题)

鉴别是用户进入系统的第一道防线,用户登录系统时,输入用户名和密码就是对用户身份进行鉴别。鉴别过程,即可以实现两个实体之间的连续。例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问,鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的 ( )

A 保密性

B 可用性

C 真实性

D 完整性

第15题(单选题)

在某信息系统的设计中,用户登录过程是这样的;(1)用户通过HTTP协议访问信息系统,(2)用户在登录页面输入用户名和口令,(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成,可以看出,这个鉴别过程属于 ( )

A 单向鉴别

B 双向鉴别

C 三向鉴别

D 第三方鉴别

第16题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第17题(单选题)

Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端,从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()。

A:不选择Windows平台,应选择在Linux平台下安装使用

B:安装后,修改配置文件http.conf中的有关参数

C:安装后,删除Apache HTTP Server源码

D:从正确的官方网站下载Apache HTTP Server,并安装使用

第18题(单选题)

防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是()。

A:既能物理隔离,又能逻辑隔离

B:能物理隔离,但不能逻辑隔离

C:不能物理隔离,但是能逻辑隔离

D:不能物理隔离,也不能逻辑隔离

第19题(单选题)

一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。在一次访谈中,该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险?

A: 测试环境可能没有充分的访问控制来确保数据机密性

B: 测试环境可能由于使用生产数据而产生不精确的结果

C: 测试环境的硬件可能与生产环境的不同

D: 测试环境可能没有充足的控制以确保数据精确性

第20题(单选题)

在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:

A:SSH

B:HTTP

C:FTP

D:SMTP

第21题(单选题)

以下哪一种判断信息系统是否安全的方式是最合理的?

A:是否已经通过部署安全控制措施消灭了风险

B:是否可以抵抗大部分风险

C:是否建立了具有自适应能力的信息安全模型

D:是否已经将风险控制在可接受的范围内

第22题(单选题)

某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?

A:部门经理

B:高级管理层

C:信息资产所有者

D:最终用户

第23题(单选题)

以下对信息安全风险管理理解最准确的说法是:

A:了解风险

B:转移风险

C:了解风险并控制风险

D:了解风险并转移风险

第24题(单选题)

<p>&ldquo;进不来&rdquo;&ldquo;拿不走&rdquo;&ldquo;看不懂&rdquo;&ldquo;改不了&rdquo;&ldquo;走不脱&rdquo;是网络信息安全建设的目的。其中,&ldquo;看不懂&rdquo;是指下面哪种安全服务:</p>

A:数据加密

B:身份认证

C:数据完整性

D:访问控制

第25题(单选题)

在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

第26题(单选题)

以下哪一项不是信息安全风险分析过程中所要完成的工作:

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

第27题(单选题)

信息系统安全保护等级为3级的系统,应当( )年进行一次等级测评。

A:0.5

B:1

C:2

D:3

第28题(单选题)

小王在某Web软件公司工作,她在工作中主要负责对互联网信息服务(Internet Information Services,IIS)软件进行安全配置,这是属于( )方面的安全工作。

A:Web服务支撑软件

B:Web应用程序

C:Web浏览器

D:通信协议

第29题(单选题)

关于信息安全等级保护政策,下列说法错误的是?

A:非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护

B:信息安全等级保护实行“自主定级,自主保护”的原则

C:信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督

D:对三级以上信息系统实行备案要求,由公安机关颁发本案证明

第30题(单选题)

对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为:

A:反馈错误控制

B:块求和校验

C:转发错误控制

D:循环冗余校验

第31题(单选题)

路由器的扩展访问控制列表能够检查流量的哪些基本信息?

A:协议,VLAN ID,源地址,目标地址

B:协议,VLAN ID,源端口,目标端口

C:源地址,目标地址,源端口,目标端口,协议

D:源地址,目标地址,源端口,目标端口,交换机端口号

第32题(单选题)

下列哪一些对信息安全漏洞的描述是错误的?

A:漏洞是存在于信息系统的某种缺陷

B:漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)

C:具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失

D:漏洞都是人为故意引入的一种信息系统的弱点

第33题(单选题)

信息系统不能满足用户需求的最常见的原因是:

A:用户需求频繁变动

B:对用户需求增长的预测不准确

C:硬件系统限制了并发用户的数目

D:定义系统时用户参与不够

第34题(单选题)

路由器进行数据转发,需要解析以下哪个数据包信息?

A:IP包头

B:以太网包头

C:TCP包头

D:DUP包头

第35题(单选题)

<p>一家B2C电子商务网站的信息安全程序要求能够监测和预防黑客的活动,一旦有可疑行为即警示系统管理员。下面的哪个系统组件可以实现这个目标?</p>

A:入侵监测系统(IDS)

B:防火墙

C:路由器

D:不对称加密

第36题(单选题)

信息安全等级保护分级要求,第一级适用正确的是:

A:适用于涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成较大损害

B:适用于一定程度上涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成一定损害

C:适用于一般的信息和信息系统,其受到破坏后,会对公民.法人和其他组织的权益有一定影响,但不危害国家安全.社会秩序.经济建设和公共利益

D:适用于涉及国家安全.社会秩序.经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成特别严重损害

第37题(单选题)

小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少:

A:24万

B:0.09万

C:37.5万

D:9万

第38题(单选题)

PKI/CA技术不能解决信息传输中的( )问题。

A:完整性

B:不可抵赖性

C:可用性

D:身份认证

第39题(单选题)

某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?

A:信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准

B:信息系统所承载该银行业务正常运行的安全需求

C:消除或降低该银行信息系统面临的所有安全风险

D:该银行整体安全策略

第40题(单选题)

ISO7498-2开放系统安全互联体系架构模型描述了信息系统安全架构的层面、实现机制和安全服务,以下哪一项不是该模型涉及的安全机制?

A:鉴别

B:数字签名

C:访问控制

D:路由控制

第41题(单选题)

某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是( )。

A:检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估

B:检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测

C:检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施

D:检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点

第42题(单选题)

在一个使用ChineseWall模型建立访问控制的信息系统中,数据W和数据X在一个兴趣冲突域中,数据Y和数据Z在另一个信息兴趣冲突域中,那么可以确定一个新注册的用户:

A:只有访问了W之后,才可以访问X

B:只有访问了W之后,才可以访问Y和Z中的一个

C:无论是否访问W,都只能访问Y和Z中的一个

D:无论是否访问W,都不能访问Y或Z

第43题(单选题)

在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层次提供保密性、身份鉴别、数据完整性服务?

A:网络层

B:表示层

C:会话层

D:物理层

第44题(单选题)

下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令:

A:Nmap

B:Nslookup

C:LC

D:Xscan

第45题(单选题)

有一些信息安全事件是由于信息系统中多个部分共同作用造成的,人们称这类事件为“多组件事故”,应对这类安全事件最有效的方法是:

A:配置网络入侵检测系统以检测某些类型的违法或误用行为

B:使用防病毒软件,并且保持更新为最新的病毒特征码

C:将所有公共访问的服务放在网络非军事区(DMZ)

D:使用集中的日志审计工具和事件关联分析软件

第46题(单选题)

域名注册信息可在哪里找到?

A:路由表

B:DNS记录

C:whois数据库

D:MIBs库

第47题(单选题)

AES在抵抗差分密码分析及线性密码分析的能力比DES更有效,已经替代DES成为新的数据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?

A:64bit

B:128bit

C:192bit

D:256bit

第48题(单选题)

《信息安全技术 信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:

A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。

B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。

C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。

D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。

第49题(单选题)

根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:

A:涉密信息系统的风险评估应按照《信息安全等级保护管理办法》的国家有关保密规定和标准进行

B:非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等有关要求进行

C:可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告

D:此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容

第50题(单选题)

为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,( )规定了等级保护定级阶段的依据.对象.流程.方法及等级变更等内容。

A:GB/T 20271-2006《信息系统通用安全技术要求》

B:GB/T 22240-2008《信息系统安全保护等级定级指南》

C:GB/T 25070-2010《信息系统等级保护安全设计技术要求》

D:GB/T 20269-2006《信息系统安全管理要求》

第51题(单选题)

信息安全策略,声称"密码的显示必须以掩码的形式"的目的是防范下面哪种攻击风险?

A:尾随

B:垃圾搜索

C:肩窥

D:冒充

第52题(单选题)

当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?

A:满足并超过行业安全标准

B:同意可以接受外部安全审查

C:其服务和经验有很好的市场声誉

D:符合组织的安全策略

第53题(单选题)

当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?

A:个人防火墙

B:防病毒软件

C:入侵检测系统

D:虚拟局域网设置

第54题(单选题)

系统所有日志信息要求与帐号信息相关联,能够审计回溯到人,系统日志分为( )。

A:操作日志、系统日志

B:操作日志、系统日志和异常日志

C:系统日志和异常日志

D:以上都不是

第55题(单选题)

包过滤防火墙对信息流不检测的信息是

A:数据包头信息

B:到达接口

C:传输层头部选项和标志位

D:连接状态信息

第56题(单选题)

对网络层数据包进行过滤和控制的信息安全技术机制是

A:防火墙

B:IDS

C:Sniffer

D:IPSec

第57题(单选题)

通过Internet信息服务(IIS)管理器,管理单元可以配置FTP服务,若控制端口设置为2222,则数据端口自动设置为()

A:20

B:80

C:543

D:2221

第58题(单选题)

软件设计时需要遵循抽象、模块化、信息屏蔽和模块独立原则。在划分软件系统模块时,应尽量做到()

A:高内聚高耦合

B:高内聚低耦合

C:低内聚高耦合

D:低内聚低耦合

第59题(单选题)

以下不是包过滤防火墙主要过滤的信息的是

A:源IP地址

B:目的IP地址

C:TCP源端口和目的端口

D:时间

第60题(单选题)

电子认证是以什么为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证?

A:信息加密技术

B:PKI技术

C:非对称密码技术

D:对称密码技术

第61题(单选题)

对网络系统中的信息进行更改、插入、删除属于?

A:系统缺陷

B:主动攻击

C:漏洞威胁

D:被动攻击

第62题(单选题)

A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是?

A:KB公开(KA秘密(M’))

B:KA公开(KA公开(M’))

C:KA公开(KB秘密(M’))

D:KB秘密(KA秘密(M’))

第63题(单选题)

sql注入时,根据数据库报错信息"Microsoft JET Database….",通常可以判断出数据库的类型

A:Microsoft SQL server

B:MySQL

C:Oracle

D:Access

第64题(单选题)

触摸屏通过哪种方式与PLC交流信息?

A:通讯

B:I/O信号控制

C:继电连接

D:电气连接

第65题(单选题)

基于网络的入侵检测系统的信息源是

A:系统的审计日志

B:系统的行为数据

C:应用程序的事务日志文件

D:网络中的数据包

第66题(单选题)

以下哪种入侵检测系统是通过监控网段中的通讯信息来检测入侵行为的?

A:网络入侵检测

B:主机入侵检测

C:文件完整性检验

D:蜜罐与信元填充

第67题(单选题)

Unix系统中存放每个用户的信息的文件是以下选项哪个

A:/sys/passwd

B:/etc/password

C:/etc/passwd

D:/sys/password

第68题(单选题)

Linux中,向系统中某个特定用户发送信息,用什么命令?以下选项哪个

A:wall

B:mesg

C:write

D:netsend

第69题(单选题)

在Linux系统中有个叫做____________系统服务,它能接受访问系统的日志信息并且根据配置文件中的指令处理这些信息,主要的日志信息为:帐号登录、内核、以及其他守护进程的信息,可以将这些日志信息,保存到本地日志文件或者发送到远程日志服务器。

A:SYSLOG

B:logd

C:xinetd

D:service

第70题(单选题)

下面哪个命令可以显示本机的路由信息?()

A:ping

B:ipconfig

C:tracert

D:netstat

第71题(单选题)

保障信息安全最基本、最核心的技术是()。

A:信息加密技术

B:信息确认技术

C:网络控制技术

D:反病毒技术

第72题(单选题)

以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法?()

A:利用生物识别设备

B:激活引导口令(硬件设置口令)

C:用所有者的公钥对硬盘进行加密处理

D:利用双因子识别技术将登陆信息写入记事本

第73题(单选题)

信息内网桌面管理系统不能监测到的违规外联方式有()。

A:注册终端拔出内网网线使用3G上网卡连接互联网

B:注册终端在家中使用wifi连接互联网

C:未注册终端连接信息内网并使用3G上网卡连接互联网

D:以上皆不能

第74题(单选题)

Unix系统中存放每个用户的信息的文件是()

A:/sys/passwd

B:/etc/password

C:/etc/passwd/etc/passwd

D:/sys/password

第75题(单选题)

Linux中,向系统中某个特定用户发送信息,用什么命令?()

A:wall

B:mesg

C:write

D:netsend

第76题(单选题)

信息安全的基本属性是()。

A:机密性

B:可用性

C:完整性

D:上面3项都是

第77题(单选题)

所谓加密是指将一个信息经过( )及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数、( )还原成明文。

A:加密钥匙、解密钥匙

B:解密钥匙、解密钥匙

C:加密钥匙、加密钥匙

D:解密钥匙、加密钥匙

第78题(单选题)

机密性服务提供信息的保密,机密性服务包括( )。

A:文件机密性

B:信息传输机密性

C:通信流的机密性

D:以上3项都是

第79题(单选题)

防止计算机中信息被窃取的手段不包括( )。

A:用户识别

B:权限控制

C:数据加密

D:病毒控制

第80题(单选题)

A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB秘密),A方向B方发送 数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是 ( )。

A:KB公开(KA秘密(M’))

B:KA公开(KA公开(M’))

C:KA公开(KB秘密(M’))

D:KB秘密(KA秘密(M’))

第81题(单选题)

()是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台

A:公开密钥体制

B:PKI(公开密钥基础设施)

C:对称加密体制

D:数字签名

第82题(单选题)

信息系统要开启操作审计功能,确保每一步操作内容可( ).

A:重做

B:追溯

C:备份

D:恢复

第83题(单选题)

信息系统投入运行后,应对访问策略和操作权限进行全面清理,(),核实安全设备开放的端口和策略.

A:分配账号权限

B:清理账号权限

C:重启账号权限

D:复查账号权限

第84题(单选题)

对信息系统运行、应用及安全防护情况进行监控,对( )进行预警.

A:安全风险

B:安全事件

C:安全故障

D:安全事故

第85题(单选题)

严禁在信息内网计算机存储、处理(),严禁在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密信息

A:公司敏感信息

B:国家秘密信息

C:国家政策文件

D:公司商业信息

第86题(单选题)

严禁任何()在信息内网设立与工作无关的娱乐、论坛、视频等网站.

A:单位、个人

B:单位

C:个人

D:用户

第87题(单选题)

在信息安全加固工作中应遵循的原则不包括( ).

A:可用性原则

B:规范性原则

C:可控性原则

D:最小影响和保密原则

第88题(单选题)

信息机房各种记录至少应保存( ).

A:半年

B:一年

C:两年

D:长期

第89题(单选题)

()是采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破坏性的侵入,它是不同网络或网络安全域之间信息的唯一出入口。

A:防火墙技术

B:密码技术

C:访问控制技术

D:VPN

第90题(单选题)

用一个特别打造的SYN数据包,它的原地址和目标地址都被设置成某一个服务器地址。这样将导致接收服务器向他自己的地址发送SYN-ACK信息,结果这个地址又发回ACK信息并创建一个空连接,被攻击的服务器每接收到一个这样的连接就将其保存,直到超时,这种拒绝服务攻击是下列中的()。

A:SYNFlooding攻击

B:Teardrop攻击

C:UDPStorm攻击

D:Land攻击

第91题(单选题)

下面关于IIS报错信息含义的描述正确的是()

A:401-找不到文件

B:403-禁止访问

C:404-权限问题

D:500-系统错误

第92题(单选题)

使网络服务器中充斥着大量要求回复的信息,消耗带宽导致网络异常或系统停止正常服务,这属于什么攻击类型?

A:拒绝服务

B:文件共享

C:BIND漏洞

D:远程过程调用

第93题(单选题)

入侵检测系统的三个基本步骤:信息收集、( )和响应。

A:数据分析

B:身份识别

C:系统运行

D:安全检测

第94题(单选题)

某黑客组织通过拷贝中国银行官方网站的登陆页面,然后发送欺骗性电子邮件,诱使用户访问此页面以窃取用户的账户信息,这种攻击方式属于()

A:SQL注入

B:钓鱼攻击

C:网页挂马

D:域名劫持

第95题(单选题)

<p>漏洞扫描(Scanner)和信息安全风险评估之间是怎样的关系。</p>

A:漏洞扫描就是信息安全风险评估

B:漏洞扫描是信息安全风险评估中的一部分,是技术脆弱性评估

C:信息安全风险评估就是漏洞扫描

D:信息安全风险评估是漏洞扫描的一个部分

第96题(单选题)

黑客扫描某台服务器,发现服务器开放了4489、80、22等端口,telnet连接22端口,返回Servu信息,猜测此台服务器安装了哪种类型操作系统。

A:Windows操作系统

B:Linux操作系统

C:UNIX操作系统

D:MacOSX操作系统

第97题(单选题)

管理信息大区中的内外网间使用的是( )隔离装置。

A:正向隔离装置

B:反向隔离装置

C:逻辑强隔离装置

D:防火墙

第98题(单选题)

HTTPS是一种安全的HTTP协议,它使用( )来保证信息安全。

A:IPSec

B:SSL

C:SET

D:SSH

第99题(单选题)

AIX 系统管理员要为用户设置一条登录前的欢迎信息,要修改( )。

A:/etc/motd

B:/etc/profile

C:/etc/evironment

D:/etc/security/login.cfg

第100题(单选题)

下面是对信息系统安全保护( )级的描述.“适用于一般的信息系统,若系统所存储、传输和处理的信息遭到非授权修改、泄露或无法使用,或者系统中断、损坏,导致系统承载的业务无法正常进行,会对公民、法人和其他组织的合法权益产生严重损害或对社会秩序和公共利益造成损害,但不损害国家安全.”

A:自主保护

B:指导保护

C:监督保护

D:强制保护