安全保障练习题


第1题(单选题)

由于Internet的安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于依附于传输层的安全协议是( )

A PP2P

BL2TP

C SSL

D TPSec

第2题(单选题)

<p>为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是 ( )</p>

A 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,一旦出现问题及时恢复系统和数据

B 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况

C 渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤

D 为了深入发掘该系统存在的安全威胁应该在系统正常业务运行高峰期进行渗透测试

第3题(单选题)

应用安全,一般是指保障应用程序使用过程和结果的安全,以下内容中不属于应用安全防护考虑的是()。

A:身份鉴别,应用系统对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源

B:安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问

C:剩余信息保护,应用系统加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问

D:机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等

第4题(单选题)

软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:

A:在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实

B:在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足

C:确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码

D:在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行

第5题(单选题)

保障 UNIX/Linux 系统帐号安全最为关键的措施是

A:文件 /etc/passwd 和 /etc/group 必须有写保护

B:删除〈 etc/passwd 、 /etc/gmp

C:设置足够强度的帐号密码

D:使用 shadow 密码

第6题(单选题)

保障信息安全最基本、最核心的技术是()。

A:信息加密技术

B:信息确认技术

C:网络控制技术

D:反病毒技术

第7题(单选题)

SSL是保障WEB数据传输安全性的主要技术,它工作在()

A:链路层

B:网络层

C:传输层

D:应用层

第8题(单选题)

依据信息系统安全保障模型,以下那个不是安全保证对象

A:机密性

B:管理

C:过程

D:人员

第9题(单选题)

计算机信息系统的安全保护,应当保障( ),运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。

A:计算机及其相关的和配套的设备、设施(含网络)的安全

B:计算机的安全

C:计算机硬件的系统安全

D:计算机操作人员的安全

第10题(单选题)

在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:

A:治理,主要是管理软件开发的过程和活动

B:构造,主要是在开发项目中确定目标并开发软件的过程与活动

C:验证,主要是测试和验证软件的过程与活动

D:购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动

第11题(单选题)

为了保障网络交易安全,网银系统通常采用数字证书技术来验证用户身份信息。下列关于数字证书的说法中,正确的是()

A:数字证书是经过证书权威机构(Certification ,Authority,CA)签名,包含拥有者身份信息的数据

B:数字证书具有永久有效性,用户只需要申请一次即可长期使用

C:数字证书必须保持与安全存储载体中,不能保存在操作系统中

D:数字证书只可用于认证人员身份,不可用于设备认证

第12题(单选题)

近几年,频频发生企业用户数据泄露事件,信息系统安全保障除了提供网络边界安全、应用安全等安全屏障之外,还需要有效的数据安全防护措施。以下说法不正确的是()

A:用户可使用硬盘分区加密和文件加密来保护敏感数据的安全

B:文件安全存储可用Windows自带的文件加密工具实现,也可用压缩软件的安全保护功能或用专用的加密工具实现

C:在要交换重要文件时,如果没有专用U盘,可以临时借用别人的U盘来拷贝,但一定要记得使用完毕后将该U盘格式化后再换回去

D:数据防泄漏相关技术可防止内部人员通过打印、拷贝、发邮件甚至截屏等手段泄露公司信息

第13题(单选题)

<p>信息安全等级保护是我国信息安全保障工作的基本制度和方法,按照等级保护相关政策和标准,信息系统的安全保护等应由哪两个要素决定()</p>

A:等级保护对象的用户重要程度和风险评估时的评估等级

B:等级保护对象的用户重要程度和受到侵害时的损失程度

C:等级保护对象受到破坏时所侵害的客体和对客体造成侵害程度

D:等级保护对象受到破坏时所侵害的客体和客体价值大小

第14题(单选题)

在应用PDCA模型进行信息安全保障时,分析并控制风险的工作,应在()阶段进行。

A:P(计划)

B:D(实施)

C:C(检查)

D:A(改进)

第15题(单选题)

两个企业之间经常交换大量的商业数据,为保障数据安全,防止他人在网络传输时盗取数据,这两个企业在通过网络传输数据时使用了混合加密技术。下面说法中错误的是()

A:网络数据传输时,选用AES算法来加密数据,选用RSA算法来保护AES算法的密钥,因为相比RSA算法,AES算法加密效率更高

B:网络数据传输时,选用ECC算法来加密数据,选用AES算法来保护ECC算法的密钥,因为相比AES算法,ECC算法加密效率更高

C:网络数据传输时,选用3DES算法来加密数据,选用ECC算法来保护3DES算法的密钥,因为相比ECC算法,3DES算法加密效率更高

D:网络数据传输时,选用3DES算法来加密数据,选用RSA算法来保护3DES算法的密钥,因为相比RSA算法,3DES算法加密效率更高

第16题(单选题)

以下哪一项冗余措施能够提高网络的可用性,并保障信息系统能够在部分网络线路出现故障时能够及时访问互联网()

A:数据冗余

B:链路冗余

C:软件冗余

D:电源冗余

第17题(单选题)

小军是一个办公室文秘人员,为了保障自己计算机的安全,他通过学习养成了很多个人习惯。以下对于防范恶意代码没有效果的是()

A:不随意打开来历不明的电子邮件

B:使用系统超级账号登录系统

C:安装杀毒软件,并及时升级病毒库

D:及时安装操作系统和应用软件的补丁

第18题(单选题)

<p>为了更好地保障自身的安全,企业应能安全处理员工离职的后续事情。以下做法不恰当的是()</p>

A:员工离职时,企业应当要求其离开前及时归还企业的软件、电脑、存储设备和文件

B:员工离职时,企业应要求其离开前及时归还企业的门禁卡和密钥卡等具有物理访问权限的设备和卡片

C:员工离职后,要及时删除其在信息系统中的各种账号,收回用户访问信息系统的权限

D:以上都不正确

第19题(单选题)

<p>多年来,我国党和政府一直重视信息安全工作,2014年,为推进相关工作,和提高我国信息网络安全保障能力,我国成立了()</p>

A:中国信息安全和信息化领导小组

B:中央网络安全和信息化领导小组

C:中央信息化和信息安全领导小组

D:中央信息化和网络安全领导小组

第20题(单选题)

美国提出的《信息保障技术框架》(IATF)中,信息安全深度防御战略的三个核心要素是()。

A:人员、技术和管理

B:技术、管理和操作

C:人员、技术和操作

D:人员、管理和操作

第21题(单选题)

某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能()。

A 检测并分析用户和系统活动

B 核查系统的配置漏洞,评估系统关键资源和数据文件的完整性

C 防止IP地址欺骗

D 识别违反安全策略的用户活动

第22题(单选题)

根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。

A 风险评估

B 风险处理

C 批准监督

D 监控审查

第23题(单选题)

为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用&ldquo;智能卡+短信认证&rdquo;模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法?

A 实体“所知”以及实体“所有”的鉴别方法

B 实体“所有”以及实体“特征”的鉴别方法

C 实体“所知”以及实体“特征”的鉴别方法

D 实体“所有”以及实体“行为”的鉴别方法

第24题(单选题)

数字签名不能实现的安全特性为( )

A 防抵赖

B防伪造

C 防冒充

D 保密通信

第25题(单选题)

某购物网站开发项目经过需求分析进入系统设计阶段。项目开发人员决定用户输入的信息,无论是用户名,口令还是查询内容,都需要进行校验或检查。请问以上安全设计者遵循的是哪项安全设计原则:( )

A 公开设计原则

B 不信任原则

C 隐私保护原则

D 心里可接受程度原则

第26题(单选题)

某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入产生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题再降更低,信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方选择对软件开发投入的准确说法?

A 信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用更低

B 软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在

C 双方说法都正确,需要根据具体情况分析开发阶段投入解决问题还是开发之后

D 双发说法都有错误,软件安全问题在任何时候投入解决都可以

第27题(单选题)

<p>小张新购入一台安装了Windows操作系统的笔记本电脑。为了提高操作系统的安全性,小张在Windows中的&ldquo;本地安全策略&rdquo;中,配置了四类安全策略,账号策略,本地策略,公钥策略和IP安全策略,那么该操作属于操作系统安全配置内容中的()。</p>

A 关闭不必要的服务

B 制定操作系统安全策略

C 关闭不必要的端口

D 开启审核策略

第28题(单选题)

<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。</p>

A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容

B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容

C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容

第29题(单选题)

某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:

A 在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)

B 删除服务器上的ping.exe程序

C 增加带宽以应对可能的拒绝服务攻击

D 增加网站服务器以应对即将来临的拒绝服务攻击

第30题(单选题)

下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的 ( )

A 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息

B 设计了采用不加盐(SALT)的SHA-1算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录

C 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据

D 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文

第31题(单选题)

风险分析是风险评估工作中的一个重要内容,CIVT 20184-2007在资料性附录中给出了一种矩阵规定计算信息安全风险大小,其中风险计算矩阵如下图所示,请为图中括号空白处选择合适的内容 ( ) <p><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966549931037.jpg" style="width: 560px; height: 217px;" /></p>

A 安全资产价值大小等级

B 脆弱性严重程度等级

C 安全风险隐患严重等级

D 安全事件造成损失大小

第32题(单选题)

规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<span style="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 ( )

A 《风险评估方案》

B 《重要保护的资产清单》

C 《风险计算报告》

D 《风险程度等级列表》

第33题(单选题)

定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是 ( )

A 2.5%

B 25%

C 5%

D 50%

第34题(单选题)

不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是 ( )

A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量

B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析

C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D 定性风险分析更具有主观性,而定量风险分析更具客观性

第35题(单选题)

某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 ( )

A 风险降低

B 风险规避

C 风险转移

D 风险接受

第36题(单选题)

残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是 ( )

A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险

B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件

C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果

D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标

第37题(单选题)

某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用Http下载代替FTP功能以解决以上问题,该安全问题的产生主要是哪个阶段产生的 ( )

A 程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求

B 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能

C 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码

D 程序员进行软件测试时,没有针对软件安全需求进行安全测试

第38题(单选题)

微软提出了STRIDE模型,其中R是Repadiation(抵赖)的缩写,关于此项安全要求,下面描述错误的是 ( )

A 某用户在登录系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁属于R威胁

B 某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”,软件系统中的这种威胁也属于R威胁

C 对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术措施来解决

D 对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术措施来解决

第39题(单选题)

<p>从内存角度看,修复漏洞的安全补丁可以分为文件补丁和内存补丁,关于文件补丁理解错误的是 ( )</p>

A 文件补丁又称为热补丁

B 安装文件补丁时,应该停止运行原有软件

C 文件补丁的优点是直接对待修补的文件进行修改,一步到位

D 安装文件补丁前应该经过测试,确保能够正常运行

第40题(单选题)

<p>数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全,以下关于数据库常用的安全策略理解不正确的是 ( )</p>

A 最小特权原则,是让用户可以合法的存取或修改数据库的前提下,最大程度地分配最小的特权,使得这些信息恰好能够完成用户的工作

B 最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息

C 粒度最小策略,将数据库中的数据项进行划分、粒度越小,安全级别越高,在实际中需要选择最小粒度

D 内容存取控制策略,不同权限的用户访问数据库的不同部分

第41题(单选题)

<p>访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制,它们具有不同的特点和应用场景,如果需要选择一个访问控制方法,需求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在下列选项中,能够满足以上要求的选项是 ( )</p>

A 自主访问控制

B 强制访问控制

C 基于角色的访问控制

D 以上选项都可以

第42题(单选题)

<p>随着计算机在商业和民用领域的应用,安全需求变得越来越多样化,自主访问控制和强制访问控制难以适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点,RBAC模型可以分为RBAC0、RBAC1、RBAC2和RBAC3四种类型,它们之间存在相互包含关系,下列选项中,对这四种类型之间的关系描述错误的是 ( )</p>

A RBAC0是基于模型, RBAC1、RBAC2和RBAC3都包含RBAC0

B RBAC1在RBAC0的基础上,加入了角色等级的概念

C RBAC2在RBAC1的基础上,加入了约束的概念

D RBAC3结合了RBAC1和RBAC2,同时具备角色等级和约束

第43题(单选题)

<p>小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧,小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性,(2)自主访问控制可以抵御木马程序的攻击,小刘认为应该采用强制访问控制的方法,他的观点有:(3)强制访问控制中,用户不能通过运行程序来改变他自己及任何客体的安全属性,因此安全性较高,(4)强制访问控制能保护敏感信息,访问以上四个观点中,正确的观点是 ( )</p>

A 观点(1),因为自主访问控制的安全策略是固定的,主体的访问权限不能被改变

B 观点(2),因为在自主访问控制中,操作系统无法区分对文件的访问权限是由合法用户修改,还是由恶意攻击的程序修改的

C 观点(3),因为在强制访问控制中,安全级别最高的用户可以修改安全属性

D 观点(4),因为在强制访问控制中,用户可能无意中泄露机密信息

第44题(单选题)

<p>根据Bcll-Lapadula模型安全策略,下图中写和读操作正确的是 ( )</p> <p><span style="font-size:8px;"><img alt="" src="http://www.powerun.org.cn/cepoexam/files/attach/files/content/20170605/14966548978423.jpg" style="width: 500px; height: 65px;" /></span></p>

A 可读可写

B 可读不可写

C 可写不可读

D 不可读不可写

第45题(单选题)

鉴别是用户进入系统的第一道防线,用户登录系统时,输入用户名和密码就是对用户身份进行鉴别。鉴别过程,即可以实现两个实体之间的连续。例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问,鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的 ( )

A 保密性

B 可用性

C 真实性

D 完整性

第46题(单选题)

<p>IPSec(IP Security)协议标准的设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性。下面选项中哪项描述是错误的 ( )</p>

A IPSec协议不支持使用数字证书

B IPSec协议对于IPv4和IPv6网络都是适用的

C IPSec有两种工作模式:传输模式和隧道模式

D IPSec协议包括封装安全载荷(ESP)和鉴别头(AH)两种通信保护机制

第47题(单选题)

<p>部署互联网协议安全虚拟专用网(Internet protocol Sccurity Virtual Prlvate Nctwork,IPsec VPN)时,以下说法正确的是 ( )</p>

A 配置MD5安全算法可以提供可靠地数据加密

B 配置AES算法可以提供可靠的数据完整性验证

C 部署IPsecc VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication.SA)资源的消耗

D 报文验证头协议(Authenticaticm Header.AH)可以提供数据机密性

第48题(单选题)

根据信息安全风险要素之间的关系,下图中空白处应该填写()。<img src="app/core/styles/exam_title/1_20161123141104_JTgwJTgwJTgwJTgwMQ==.png">

A:资产

B:安全事件

C:脆弱性

D:安全措施

第49题(单选题)

小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”,请问,这种处理方法的主要目的是()。

A:避免缓冲区溢出

B:安全处理系统异常

C:安全使用临时文件

D:最小化反馈信息

第50题(单选题)

Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端,从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()。

A:不选择Windows平台,应选择在Linux平台下安装使用

B:安装后,修改配置文件http.conf中的有关参数

C:安装后,删除Apache HTTP Server源码

D:从正确的官方网站下载Apache HTTP Server,并安装使用

第51题(单选题)

关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是()。

A:WPA是有线局域安全协议,而WPA2是无线局域网协议

B:WPA是适用于中国的无线局域安全协议,而WPA2是适用于全世界的无线局域网协议

C:WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证

D:WPA是依照802.11标准草案制定的,而WPA2是依照802.11i正式标准制定的

第52题(单选题)

<p>密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是()。</p>

A:在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式

B:密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行

C:根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人

D:密码协议 (cryptographic protocol),有时也称安全协议(security protocols),是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务

第53题()

第54题(单选题)

Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。

A:源代码审核、风险分析和渗透测试

B:应用风险管理、软件安全接触点和安全知识

C:威胁建模、渗透测试和软件安全接触点

D:威胁建模、源代码审核和模糊测试

第55题(单选题)

下图是安全测试人员连接某远程主机时的操作界面,请仔细分析该图,下面选项中推断正确的是()。<img src="app/core/styles/exam_title/501_20160908150901_UVElODAlODAlODAlODAyMDE2MDkwODE1MzQzNQ==.png" >

A:安全测试人员连接了远程服务器的220端口

B:安全测试人员的本地操作系统是Linux

C:远程服务器开启了FTP服务,使用的服务器软件名为FTP Server

D:远程服务器的操作系统是Windows系统

第56题(单选题)

软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是()。

A:0.00049

B:0.049

C:0.49

D:49

第57题(单选题)

下面四款安全测试软件中,主要用于WEB安全扫描的是()。

A:Cisco Auditing Tools

B:Acunetix Web Vulnerability Scanner

C:NMAP

D:ISS Database Scanner

第58题(单选题)

Internet Explorer,简称IE,是微软公司推出的一款Web浏览器。IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据,以下哪项不是IE中的安全配置项目()。

A:设置Cookie安全,允许用户根据自己的安全策略要求设置Cookie策略,包括从阻止所有Cookie到接受所有Cookie,用户也可以选择删除已经保存过的Cookie

B:禁用自动完成和密码记忆功能,通过设置禁止IE自动记忆用户输入过的Web地址和表单,也禁止IE自动记忆表单中的用户名和口令信息

C:设置每个连接的最大请求数,修改MaxKeepAliveRequests,如果同时请求数达到阀值就不再响应新的请求,从而保证了系统资源不会被某个连接大量占用

D:为网站设置适当的浏览器安全级别,用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中,以采取不同的安全访问策略

第59题(单选题)

以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:

A:采用最新的集成编译环境和支持工具

B:充分使用编译环境提供的安全编译选项来保护软件代码的安全性

C:源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,报告源代码中可能隐藏的错误和缺陷。

D:严格遵守代码编写的安全规范就能保障软件的安全性

第60题(单选题)

<p>软件安全设计和开发中应考虑用户稳私保护,以下关于用户隐私保护的说法哪个是错误的?</p>

A:告诉用户需要收集什么数据及收集到的数据会如何被使用

B:当用户的数据由于某种原因要被使用时,给用户选择是否允许

C:用户提交的用户名和密码属于稳私数据,其它都不是

D:确保数据的使用符合国家.地方.行业的相关法律法规

第61题(单选题)

安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?

A:操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞

B:为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘

C:操作系统上部署防病毒软件,以对抗病毒的威胁

D:将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能

第62题(单选题)

<p>以下关于安全套接层协议(Security Sockets Layer,SSL)说法错误的是:</p>

A:受到SSL防护的web服务器比没有SSL的web服务器要安全

B:当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器

C:SSL可以看到浏览器与服务器之间的安全通道

D:SSL提供了一种可靠地端到端的安全服务

第63题(单选题)

由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()

A:要求开发人员采用敏捷开发模型进行开发

B:要求所有的开发人员参加软件安全意识培训

C:要求规范软件编码,并制定公司的安全编码准则

D:要求增加软件安全测试环节,尽早发现软件安全问题

第64题(单选题)

<p>关于软件安全的问题,下面描述错误的是()</p>

A:软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃

B:软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决

C:软件的安全问题可能被攻击者利用后影响人身体健康安全

D:软件的安全问题是由程序开发者遗留的,和软件的部署运行环境无关

第65题(单选题)

某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()

A:负载均衡设备

B:网页防篡改系统

C:网络防病毒系统

D:网络审计系统

第66题(单选题)

口令破解是针对系统进行攻击的常用方法,Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是

A:密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控

B:密码策略对系统中所有的用户都有效

C:账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户应对口令暴力破解攻击

D:账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击

第67题(单选题)

<p>下面哪项属于软件开发安全方面的问题?</p>

A:软件部署时所需选用服务性能不高,导致软件执行效率低

B:应用软件来考虑多线程技术,在对用户服务时按序排队提供服务

C:应用软件存在sql注入漏洞,若被黑客利用能窃取数据库所用数据

D:软件受许可证(license)限制,不能在多台电脑上安装

第68题(单选题)

某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?

A:模糊测试

B:源代码测试

C:渗透测试

D:软件功能测试

第69题(单选题)

微软SDL将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于( )的安全活动

A:要求(Rapuiroments)阶段

B:设计(Design)阶段

C:实施(Implenpentation)阶段

D:验证(Verifcation)阶段

第70题(单选题)

在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置内容( )?

A:不在Windows下安装Apache,只在Linux和Unix下安装

B:安装Apache时,只安装需要的组件模块

C:不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行

D:积极了解Apache的安全通告,并及时下载和更新

第71题()

第72题(单选题)

某linux系统由于root口令过于简单,被攻击者猜解后获得了root口令,发现被攻击后,管理员更改了root口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下-r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh请问以下描述哪个是正确的:

A:该文件是一个正常文件,test用户使用的shell,test不能读该文件,只能执行

B:该文件是一个正常文件,是test用户使用的shell,但test用户无权执行该文件

C:该文件是一个后门程序,该文件被执行时,运行身份是root,test用户间接获得了root权限

D:该文件是一个后门程序,由于所有者是test,因此运行这个文件时文件执行权限为test

第73题(单选题)

在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:

A:SSH

B:HTTP

C:FTP

D:SMTP

第74题(单选题)

下面哪一种安全技术是鉴别用户身份的最好的方法?

A:智能卡

B:生物测量技术

C:挑战--响应令牌

D:用户身份识别码和口令

第75题(单选题)

安全专家在对某网站进行安全部署时,调整了Apache的运行权限,从root权限降低为nobody用户,以下操作的主要目的是:

A:为了提高Apache软件运行效率

B:为了提高Apache软件的可靠性

C:为了避免攻击者通过Apache获得root权限

D:为了减少Apache上存在的漏洞

第76题(单选题)

对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:

A:在使用来自外部的移动介质前,需要进行安全扫描

B:限制用户对管理员权限的使用

C:开放所有端口和服务,充分使用系统资源

D:不要从不可信来源下载或执行应用程序

第77题(单选题)

应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?

A:安装最新的数据库软件安全补丁

B:对存储的敏感数据进行安全加密

C:不使用管理员权限直接连接数据库系统

D:定期对数据库服务器进行重启以确保数据库运行良好

第78题(单选题)

以下哪个选项不是防火墙提供的安全功能?

A:IP地址欺骗防护

B:NAT

C:访问控制

D:SQL注入攻击防护

第79题(单选题)

<p>某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是_______?</p>

A:该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的问题,应对全网站进行安全改造,所有的访问都强制要求使用https

B:该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施

C:该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决

D:该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可

第80题(单选题)

以下哪一种判断信息系统是否安全的方式是最合理的?

A:是否已经通过部署安全控制措施消灭了风险

B:是否可以抵抗大部分风险

C:是否建立了具有自适应能力的信息安全模型

D:是否已经将风险控制在可接受的范围内

第81题(单选题)

某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?

A:部门经理

B:高级管理层

C:信息资产所有者

D:最终用户

第82题(单选题)

关于软件安全开发生命周期(SDL),下面说法错误的是:

A:在软件开发的各个周期都要考虑安全因素

B:软件安全开发生命周期要综合采用技术.管理和工程等手段

C:测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本

D:在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本

第83题(单选题)

以下对信息安全风险管理理解最准确的说法是:

A:了解风险

B:转移风险

C:了解风险并控制风险

D:了解风险并转移风险

第84题(单选题)

<p>&ldquo;进不来&rdquo;&ldquo;拿不走&rdquo;&ldquo;看不懂&rdquo;&ldquo;改不了&rdquo;&ldquo;走不脱&rdquo;是网络信息安全建设的目的。其中,&ldquo;看不懂&rdquo;是指下面哪种安全服务:</p>

A:数据加密

B:身份认证

C:数据完整性

D:访问控制

第85题(单选题)

以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是:

A:在传送模式中,保护的是IP负载

B:验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsulating Security Payload,ESP)都能以传输模式和隧道模式工作

C:在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头

D:IPsec仅能保证传输数据的可认证性和保密性

第86题(单选题)

某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?

A:最小权限

B:权限分离

C:不信任

D:纵深防御

第87题(单选题)

在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

第88题(单选题)

以下哪一项不是信息安全风险分析过程中所要完成的工作:

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

第89题(单选题)

信息系统安全保护等级为3级的系统,应当( )年进行一次等级测评。

A:0.5

B:1

C:2

D:3

第90题(单选题)

某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?

A:渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞

B:渗透测试是用软件代替人工的一种测试方法,因此测试效率更高

C:渗透测试使用人工进行测试,不依赖软件,因此测试更准确

D:渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多

第91题(单选题)

某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,不正确的是()

A:软件安全开发应当涉及软件开发整个生命周期,即要在软件开发生命周期的各个阶段都要采取一些措施来确保软件的安全性

B:应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多

C:和传统的软件开发阶段相比,应当增加一个专门的安全编码阶段

D:安全测试阶段非常重要,有必要采取一些安全测试方法学和测试手段来确保软件的安全性

第92题(单选题)

小王在某Web软件公司工作,她在工作中主要负责对互联网信息服务(Internet Information Services,IIS)软件进行安全配置,这是属于( )方面的安全工作。

A:Web服务支撑软件

B:Web应用程序

C:Web浏览器

D:通信协议

第93题(单选题)

<p>入侵防御系统(IPS)是继入侵检测系统(IDS)后发展出来的一项新的安全技术,它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点?</p>

A:串接到网络线路中

B:对异常的进出流量可以直接进行阻断

C:有可能造成单点故障

D:不会影响网络性能

第94题(单选题)

<p>关于信息安全等级保护政策,下列说法错误的是?</p>

A:非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护

B:信息安全等级保护实行“自主定级,自主保护”的原则

C:信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督

D:对三级以上信息系统实行备案要求,由公安机关颁发备案证明

第95题(单选题)

<p>某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是:</p>

A:模拟正常用户输入行为,生成大量数据包作为测试用例

B:数据处理点.数据通道的入口点和可信边界点往往不是测试对象

C:监测和记录输入数据后程序正常运行的情况

D:深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析

第96题(单选题)

某网站为了开发的便利,SA连接数据库,由于网站脚本中被发现存在SQL注入漏洞,导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:

A:权限分离原则

B:最小特权原则

C:保护最薄弱环节的原则

D:纵深防御的原则

第97题(单选题)

下面哪个模型和软件安全开发无关( )?

A:微软提出的“安全开发生命周期(Security Development Lifecycle,SDL)”

B:Gray McGraw等提出的“使安全成为软件开发必须的部分(Building Security IN,BSI)”

C:OWASP维护的“软件保证成熟度模型(Software Assurance Maturity Mode,SAMM)”

D:美国提出的“信息安全保障技术框架(Information Assurance Technical Framework,IATF)”

第98题(单选题)

下列哪一些对信息安全漏洞的描述是错误的?

A:漏洞是存在于信息系统的某种缺陷

B:漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)

C:具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失

D:漏洞都是人为故意引入的一种信息系统的弱点

第99题(单选题)

<p>Windows NT提供的分布式安全环境又被称为:</p>

A:域(Domain)

B:工作组

C:对等网

D:安全网

第100题(单选题)

目前对消息摘要算法(MD5),安全哈希算法(SHA1)的攻击是指?

A:能够构造出两个不同的消息,这两个消息产生了相同的消息摘要

B:对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要

C:对于一个已知的消息摘要,能够恢复其原始消息

D:对于一个已知的消息,能够构造出一个不同的消息摘要,也能通过验证