安全督查练习题


第1题(单选题)

关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是()。

A:指数据表中列的完整性,主要用于保证操作的数据(记录)完整、不丢项

B:指数据表中行的完整性,主要用于保证操作的数据(记录)非空、唯一且不重复

C:指数据表中列必须满足某种特定的数据类型或约束,比如数据范围、数据精度等内容

D:指数据表中行必须满足某种特定的数据类型或约束,比如在更新、插入或删除记录时,要将关联有关的记录一并处理才可以

第2题(单选题)

实体身份鉴别一般依据以下三种基本情况或这三种情况的组合,实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法,下面选项中属于使用基于实体特征的鉴别方法是()。

A:将登录口令设置为出生日期

B:通过询问和核对用户的个人隐私信息来鉴别

C:使用系统定制的,在本系统专用的IC卡进行鉴别

D:通过扫描和识别用户的脸部信息来鉴别

第3题()

第4题()

第5题()

第6题()

第7题(单选题)

以下哪种风险被认为是合理的风险()。

A:最小的风险

B:残余风险

C:未识别的风险

D:可接受的风险

第8题()

第9题(单选题)

Gary McGraw博士及其合作者提出软件安全应由三根支柱来支撑,这三个支柱是()。

A:源代码审核、风险分析和渗透测试

B:应用风险管理、软件安全接触点和安全知识

C:威胁建模、渗透测试和软件安全接触点

D:威胁建模、源代码审核和模糊测试

第10题(单选题)

下图是安全测试人员连接某远程主机时的操作界面,请仔细分析该图,下面选项中推断正确的是()。<img src="app/core/styles/exam_title/501_20160908150901_UVElODAlODAlODAlODAyMDE2MDkwODE1MzQzNQ==.png" >

A:安全测试人员连接了远程服务器的220端口

B:安全测试人员的本地操作系统是Linux

C:远程服务器开启了FTP服务,使用的服务器软件名为FTP Server

D:远程服务器的操作系统是Windows系统

第11题()

第12题()

第13题(单选题)

软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是()。

A:0.00049

B:0.049

C:0.49

D:49

第14题(单选题)

下面四款安全测试软件中,主要用于WEB安全扫描的是()。

A:Cisco Auditing Tools

B:Acunetix Web Vulnerability Scanner

C:NMAP

D:ISS Database Scanner

第15题()

第16题(单选题)

为达到预期的攻击目的,恶意代码通常会采用各种方法将自己隐藏起来,关于隐藏方法,下面理解错误的是()。

A:隐藏恶意代码进程,即将恶意代码进程隐藏起来,或者改名和使用系统进程名,以更好的躲避检测,迷惑用户和安全检测人员

B: 隐藏恶意代码的网络行为,复用通用的网络端口或者不使用网络端口,以躲避网络行为检测和网络监控

C: 隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码,以躲避用户和安全检测人员

D: 隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术,以躲避系统文件检查和清除

第17题()

第18题(单选题)

下面对“零日(zero-day)漏洞”的理解中,正确的是()。

A:指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限

B:指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施

C:指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标

D:指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞是零日漏洞

第19题()

第20题()

第21题(单选题)

Internet Explorer,简称IE,是微软公司推出的一款Web浏览器。IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据,以下哪项不是IE中的安全配置项目()。

A:设置Cookie安全,允许用户根据自己的安全策略要求设置Cookie策略,包括从阻止所有Cookie到接受所有Cookie,用户也可以选择删除已经保存过的Cookie

B:禁用自动完成和密码记忆功能,通过设置禁止IE自动记忆用户输入过的Web地址和表单,也禁止IE自动记忆表单中的用户名和口令信息

C:设置每个连接的最大请求数,修改MaxKeepAliveRequests,如果同时请求数达到阀值就不再响应新的请求,从而保证了系统资源不会被某个连接大量占用

D:为网站设置适当的浏览器安全级别,用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中,以采取不同的安全访问策略

第22题(单选题)

<p>加密文件系统(Encrypting File System,EFS)是Windows操作系统的一个组件,以下说法错误的是()。</p>

A:EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据

B:EFS以公钥加密为基础,并利用了Windows系统中的CryptoAPI体系结构

C:EFS加密系统适用于NTFS文件系统和FAT32文件系统(Windows 7环境下)

D:EFS加密过程对用户透明,EFS加密的用户验证过程是在登录Windows时进行的

第23题()

第24题(单选题)

TCP/IP协议是Internet最基本的协议,也是Internet构成的基础。TCP/IP通常被认为是一个N层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里N应等于()。

A:4

B:5

C:6

D:7

第25题(单选题)

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。一般来说,DDoS攻击的主要目的是破坏目标系统的()。

A:保密性

B:完整性

C:可用性

D:真实性

第26题()

第27题(单选题)

关于风险评估准备阶段工作内容叙述错误的是:

A:制订风险评估方案,确定风险评估的实施方案,包括风险评估的工作过程、活动、子活动、每项活动的输入数据和输出结果

B:选择风险评估方法和工具,从现有风险评估方法和工具库汇总选择合适的风险评估方法和工具

C:制订组织机构自己的风险评估准则,相关准则可以不需要得到被评估方的认可

D:风险评估方案应获得管理决策层的认可、批准和支持

第28题(单选题)

以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:

A:采用最新的集成编译环境和支持工具

B:充分使用编译环境提供的安全编译选项来保护软件代码的安全性

C:源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,报告源代码中可能隐藏的错误和缺陷。

D:严格遵守代码编写的安全规范就能保障软件的安全性

第29题(单选题)

某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下哪一项工作不能降低该系统的受攻击面:

A:分析系统功能的重要性

B:分析从哪里可以访问这些功能

C:采取合理措施降低特权

D:分析系统应满足的性能要求

第30题(单选题)

评估数据库应用的便捷性时,IS审计师应该验证:

A: 能够使用结构化查询语言(SQL)

B: 与其他系统之间存在信息的导入、导出程序

C: 系统中采用了索引(Index)

D: 所有实体(entities)都有关键名、主键和外键

第31题(单选题)

常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是()。

A:从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型

B:自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性

C:强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统

D:基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略

第32题(单选题)

<p>公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项()。 <img height="146" src="app/core/styles/exam_title/501_20160908150957_UVElODAlODAlODAlODAyMDE2MDkwODE1MTYyOQ==.png" style="width: 387px; height: 75px;" width="1020" /></p>

A:证书库

B:RA

C:OCSP

D:CRL库

第33题(单选题)

<p>如图,某用户通过账号、密码和验证码成功登录某银行的个人网银系统,此过程属于以下哪一类:<img src="app/core/styles/exam_title/29_20150923160924_Mg==.jpg" /></p>

A:个人网银系统和用户之间的双向鉴别

B:由可信第三方完成的用户身份鉴别

C:个人网银系统对用户身份的单向鉴别

D:用户对个人网银系统合法性的单向鉴别

第34题()

第35题()

第36题()

第37题()

第38题()

第39题(单选题)

<p>如图所示,主机A主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址应该在下列哪个范围?<img src="app/core/styles/exam_title/29_20150923140944_MQ==.jpg" /></p>

A:10.0.0.0~10.255.255.255

B:172.16.0.0~172.31.255.255

C:192.168.0.0~192.168.255.255

D:不在上述范围内

第40题(单选题)

风险分析的关键要素是:

A:审计计划

B:控制

C:脆弱点

D:责任

第41题(单选题)

<p>软件安全设计和开发中应考虑用户稳私保护,以下关于用户隐私保护的说法哪个是错误的?</p>

A:告诉用户需要收集什么数据及收集到的数据会如何被使用

B:当用户的数据由于某种原因要被使用时,给用户选择是否允许

C:用户提交的用户名和密码属于稳私数据,其它都不是

D:确保数据的使用符合国家.地方.行业的相关法律法规

第42题(单选题)

<p>如下图所示,Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是:<img height="688" src="app/core/styles/exam_title/30_20150923140932_Mg==.jpg" style="width: 1155px; height: 361px;" width="1678" /></p>

A:此密码体制为对称密码体制

B:此密码体制为私钥密码体制

C:此密码体制为单钥密码体制

D:此密码体制为公钥密码体制

第43题(单选题)

IS审计师复核IT功能外包合同时,应当期望它定义:

A: 硬件设置

B: 访问控制软件

C: 知识产权

D: 应用开发方法论

第44题(单选题)

安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?

A:操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞

B:为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘

C:操作系统上部署防病毒软件,以对抗病毒的威胁

D:将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能

第45题(单选题)

对于抽样而言,以下哪项是正确的?

A:抽样一般运用于与不成文或无形的控制相关联的总体

B:如果内部控制健全,置信系统可以取的较低

C:通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样

D:变量抽样是估计给定控制或相关控制集合发生率的技术

第46题(单选题)

以下关于账户策略中密码策略中各项作用说明,哪个是错误的:

A:“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令

B:“密码长度最小值”是强制用户使用一定长度以上的密码

C:“强制密码历史”是强制用户不能再使用曾经使用过的任何密码

D:“密码最长存留期”是为了避免用户使用密码时间过长而不更换

第47题(单选题)

<p>如图所示,主体S对客体O1有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是:<img src="app/core/styles/exam_title/6_20150910170901_UVElQkQlRDglQ0QlQkMyMDE1MDkxMDE3NTIwNA==.png" /></p>

A:访问控制表(ACL)

B:访问控制矩阵

C:能力表(CL)

D:前缀表(Profiles)

第48题(单选题)

对信息安全风险评估要素理解正确的是:

A:资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构

B:应针对构成信息系统的每个资产做风险评价

C:脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项

D:信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

第49题(单选题)

以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:

A:出入的原因

B:出入的时间

C:出入口的位置

D:是否成功进入

第50题(单选题)

通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:

A:可靠的产品是有保证的

B:程序员的效率得到了提高

C:安全需求得到了规划、设计

D:预期的软件程序(或流程)得到了遵循

第51题()

第52题()

第53题(单选题)

以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:

A:存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性

B:存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性

C:存续在册表中的账号数据任何用户都可以直接访问,灵活方便

D:存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性

第54题(单选题)

<p>以下关于安全套接层协议(Security Sockets Layer,SSL)说法错误的是:</p>

A:受到SSL防护的web服务器比没有SSL的web服务器要安全

B:当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器

C:SSL可以看到浏览器与服务器之间的安全通道

D:SSL提供了一种可靠地端到端的安全服务

第55题(单选题)

以下哪一项不是常见威胁对应的消减措施:

A:假冒攻击可以采用身份认证机制来防范

B:为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性

C:为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖

D:为了防止用户提升权限,可以采用访问控制表的方式来管理权限

第56题()

第57题()

第58题(单选题)

某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种:

A:强制访问控制

B:基于角色的访问控制

C:自主访问控制

D:基于任务的访问控制

第59题(单选题)

关于源代码审核,描述错误的是()

A:源代码审核有利于发现软件编码中存在的安全问题

B:源代码审核工程遵循PDCA 模型

C:源代码审核方式包括人工审核工具审核

D:源代码审核工具包括商业工具和开源工具

第60题(单选题)

由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()

A:要求开发人员采用敏捷开发模型进行开发

B:要求所有的开发人员参加软件安全意识培训

C:要求规范软件编码,并制定公司的安全编码准则

D:要求增加软件安全测试环节,尽早发现软件安全问题

第61题(单选题)

<p>关于软件安全的问题,下面描述错误的是()</p>

A:软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃

B:软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决

C:软件的安全问题可能被攻击者利用后影响人身体健康安全

D:软件的安全问题是由程序开发者遗留的,和软件的部署运行环境无关

第62题(单选题)

<p>在2014年巴西世界杯举行期间,一些黑客组织攻击了世界杯赞助商及政府网站,制造了大量网络流量,阻塞正常用户访问网站。这种攻击类型属于下面什么攻击()</p>

A:跨站脚本( cross site scripting,XSS)攻击

B:TCP 会话劫持( TCP HIJACK)攻击

C:ip欺骗攻击

D:拒绝服务(denialservice.dos)攻击

第63题(单选题)

小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该后他按照提示操作,纳中奖税款后并没有得到中奖奖金,再打电话询问电器城才得知电器城并没有开的活动,根据上面的描述,由此可以推断的是()

A:小陈在电器城登记个人信息时,应当使用加密手段

B:小陈遭受了钓鱼攻击,钱被骗走了

C:小陈的计算机中了木马,被远程控制

D:小陈购买的凌波微步是智能凌波微步 ,能够自己上网

第64题(单选题)

某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()

A:负载均衡设备

B:网页防篡改系统

C:网络防病毒系统

D:网络审计系统

第65题()

第66题()

第67题(单选题)

以下关于账户密码策略中各项策略的作用说明,哪个是错误的:

A:“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令

B:“密码长度最小值”是强制用户使用一定长度以上的密码

C:“强制密码历史”是强制用户不能再使用曾经使用过的任何密码

D:“密码最长存留期”是为了避免用户使用密码时间过长而不更改

第68题(单选题)

口令破解是针对系统进行攻击的常用方法,Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是

A:密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控

B:密码策略对系统中所有的用户都有效

C:账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户应对口令暴力破解攻击

D:账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击

第69题(单选题)

IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.

A:对系统开发进行了复核

B:对控制和系统的其他改进提出了建议

C:对完成后的系统进行了独立评价

D:积极参与了系统的设计和完成

第70题(单选题)

Linux/Unix关键的日志文件设置的权限应该为:

A:-rw-r--r-

B:-rw----

C:-rw-rw-rw-

D:-r----

第71题(单选题)

关于Kerberos认证协议,以下说法错误的是:

A:只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B:认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全

C:该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证

D:该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂

第72题(单选题)

一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。在一次访谈中,该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险?

A: 测试环境可能没有充分的访问控制来确保数据机密性

B: 测试环境可能由于使用生产数据而产生不精确的结果

C: 测试环境的硬件可能与生产环境的不同

D: 测试环境可能没有充足的控制以确保数据精确性

第73题()

第74题(单选题)

以下哪个选项不是防火墙技术?

A:IP地址欺骗防护

B:NAT

C:访问控制

D:SQL注入攻击防护

第75题(单选题)

风险评估方法的选定在PDCA循环中的哪个阶段完成?

A:实施和运行

B:保持和改进

C:建立

D:监视和评审

第76题(单选题)

某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:

A:所选择的特征(指纹)便于收集、测量和比较

B:每个人所拥有的指纹都是独一无二的

C:指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题

D:此类系统一般由用户指纹信息采集和指纹信息识别两部分组成

第77题(单选题)

消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证:

A:消息的真实性和完整性

B:消息的真实性和保密性

C:消息的完整性和保密性

D:保密性和防抵赖性

第78题()

第79题(单选题)

<p>下面哪项属于软件开发安全方面的问题?</p>

A:软件部署时所需选用服务性能不高,导致软件执行效率低

B:应用软件来考虑多线程技术,在对用户服务时按序排队提供服务

C:应用软件存在sql注入漏洞,若被黑客利用能窃取数据库所用数据

D:软件受许可证(license)限制,不能在多台电脑上安装

第80题(单选题)

某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法?

A:模糊测试

B:源代码测试

C:渗透测试

D:软件功能测试

第81题()

第82题()

第83题()

第84题(单选题)

微软SDL将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于( )的安全活动

A:要求(Rapuiroments)阶段

B:设计(Design)阶段

C:实施(Implenpentation)阶段

D:验证(Verifcation)阶段

第85题(单选题)

某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5个字节不能传送到对方,关于此案例,可以推断的是( )

A:该网站软件存在保密性方面安全问题

B:该网站软件存在完整性方面安全问题

C:该网站软件存在可用性方面安全问题

D:该网站软件存在不可否认性方面安全问题

第86题(单选题)

在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置内容( )?

A:不在Windows下安装Apache,只在Linux和Unix下安装

B:安装Apache时,只安装需要的组件模块

C:不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行

D:积极了解Apache的安全通告,并及时下载和更新

第87题()

第88题(单选题)

能涵盖损失的最好的保险单类型是:

A:基本保险单

B:扩展保险单

C:特殊的涵盖所有风险的保险单

D:与风险类型相称的保险

第89题()

第90题()

第91题()

第92题(单选题)

某linux系统由于root口令过于简单,被攻击者猜解后获得了root口令,发现被攻击后,管理员更改了root口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下-r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh请问以下描述哪个是正确的:

A:该文件是一个正常文件,test用户使用的shell,test不能读该文件,只能执行

B:该文件是一个正常文件,是test用户使用的shell,但test用户无权执行该文件

C:该文件是一个后门程序,该文件被执行时,运行身份是root,test用户间接获得了root权限

D:该文件是一个后门程序,由于所有者是test,因此运行这个文件时文件执行权限为test

第93题(单选题)

windows文件系统权限管理作用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:

A:安装Windows 系统时要确保文件格式使用的是NTFS ,因为Windows 的ACL机制需要 NTFS 文件格式的支持

B:由于windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限 ,为了作用上的便利,Windows 上的ACL存在默认设置安全性不高的问题

C:windows 的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中

D:由于ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限

第94题(单选题)

S公司在全国有20个分支机构,总部有10台服务器.200个用户终端,每个分支机构都有一台服务器.100个左右用户终端,通过专网进行互联互通。公司招标的网络设计方案中,四家集成商给出了各自的IP地址规划和分配的方法,作为评标专家,请给S公司选出设计最合理的一个:

A:总部使用服务器.用户终端统一作用10.0.1.X.各分支机构服务器和用户终端使用192.168.2.X~192.168.20.X

B:总部使用服务器使用10.0.1.1~11.用户终端使用10.0.1.12~212,分支机构IP地址随意确定即可

C:总部服务器使用10.0.1.X. 用户终端根据部门划分使用10.0.2.X.每个分支机构分配两个A类地址段,一个用做服务器地址段.另外一个做用户终端地址段

D:因为通过互联网连接,访问的是互联网地址,内部地址经NAT映射,因此IP地址无需特别规划,各机构自行决定即可

第95题(单选题)

<p>某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处李强,我的邮箱密码忘记了,现在打不开邮件,我着急收个邮件,麻烦你先帮我把密码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电的要求。后来,李强发现邮箱系统登录异常。请问以下说法哪个是正确的?</p>

A:小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题

B:事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器。

C:单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作

D:事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件服务软件

第96题(单选题)

在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:

A:SSH

B:HTTP

C:FTP

D:SMTP

第97题()

第98题(单选题)

<p>以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server, AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令.种子密钥和随机数混合计算后作为一次性口令,并发送给AS,AS用同样的防腐计算后,验证比较两个口令即可验证用户身份。</p>

A:口令序列

B:时间同步

C:挑战/应答

D:静态口令

第99题()

第100题(单选题)

下面哪一种安全技术是鉴别用户身份的最好的方法?

A:智能卡

B:生物测量技术

C:挑战--响应令牌

D:用户身份识别码和口令