CISP强化练习卷D【含答案及解释】.doc

资源描述

注册信息安全专业人员考试模拟考试试卷强化练习卷（D）【加强版】 (时间：120分钟数量：120题题型：单选题） 2 / 23 1/23 注册信息安全专业人员考试模拟考试试卷 1. 我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是： A. 2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动 B. 2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》 (中办发27号文），明确了“积极防御、综合防范“的国家信息安全保障方针 C. 2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段 D. 在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展。答案：C 解释：2006年进入到深化落实阶段。 2. 金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的习惯： A使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件，应用软件进行升级 B为计算机安装具有良好声誉的安全防护软件，包括病毒查杀，安全检查和安全加固方面的软件 C在IE的配置中，设置只能下载和安装经过签名的，安全的ActiveX控件 D在使用网络浏览器时，设置不在计算机中保留网络历史纪录和表单数据答案：A 解释：A为正确答案。 3. 我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于安全保障建设主要工作内容说法不正确的是： A. 建全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 B. 建设信息安全基础设施，提供国家信息安全保障能力支撑 C. 建立信息安全技术体系，实现国家信息化发展的自主创新 D. 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养答案：C 解释：实现自主创新在过去的的保障中为自主可控。 4. 某银行信息系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素 A. 信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准 B. 信息系统所承载该银行业务正常运行的安全需求 C. 消除或降低该银行信息系统面临的所有安全风险 D. 该银行整体安全策略答案：C 解释：无法消除或降低该银行信息系统面临的所有安全风险。 5. 信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是： A. 信息产品安全评估是测评机构的产品的安全性做出的独立评价，增强用户对已评估产品安全的信任 B. 目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型 C. 信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。 D. 信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，提出游针对性的安全防护策略和整改措施答案：B 解释：测评包括风险评估、保障测评和等级保护测评。 6. 美国的关键信息基础设施（Critical Information Infrastructure，Cn)包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括： A. 这些行业都关系到国计民生，对经济运行和国家安全影响深远 B. 这些行业都是信息化应用广泛的领域 C. 这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出 D. 这些行业发生信息安全事件，会造成广泛而严重的损失。答案:C 解释：从题目中不能反映C的结论。 7. 在设计信息系统安全保障方案时，以下哪个做法是错误的： A. 要充分切合信息安全需求并且实际可行 B. 要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本 C. 要充分采取新技术，使用过程中不断完善成熟，精益求精，实现技术投入保值要求 D. 要充分考虑用户管理和文化的可接受性，减少系统方案障碍答案:c 解释：设计信息系统安全保障方案应采用合适的技术。 8. 分组密码算法是一类十分重要的密码算法，下面描述中，错误的是（） A. 分组密码算法要求输入明文按组分成固定长度的块 B. 分组密码的算法每次计算得到固定长度的密文输出块 C. 分组密码算法也称作序列密码算法 D. 常见的DES、IDEA算法都属于分组密码算法答案：C 解释：分组密码算法和序列算法是两种算法。 9. 密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是（） A. 在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住的执行步骤，有些复杂的步骤可以不明确处理方式。 B. 密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行。 C. 根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信息的人，也可能是敌人和互相完全不信任的人。 D. 密码协议(Crypto graphic protocol)，有时也称安全协议(security protocol),是使用密码学完成某项特定的任务并满足安全需求的协议，其末的是提供安全服务。答案：A 解释：密码协议应限制和框住的执行步骤，有些复杂的步骤必须要明确处理方式。 10. 部署互联网协议安全虚拟专用网（Internet protocol Security Virtual Private Network，IPsec VPN)时，以下说法正确的是： A. 配置MD5安全算法可以提供可靠的数据加密 B. 配置AES算法可以提供可靠的数据完整性验证 C. 部署IPsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的 IP地址段，来减少IPsec安全关联（Security Authentication，SA )资源的消耗 D. 报文验证头协议（Authentication Header，AH)可以提供数据机密性答案：C 解释：A错误，MD5提供完整性；B错误，AES提供的保密性；D错误，AH协议提供完整性、验证及抗重放攻击。 11. 虚拟专用网络（VPN)通常是指在公共网路中利用隧道技术，建立一个临时的，安全的网络。这里的宇母P的正确解释是（） A. Special-purpose.特定、专用用途的 B. Proprietary专有的、专卖的 C. Private私有的、专有的 D. Specific特种的、具体的答案：C 12. 以下Windows系统的账号存储管理机制SAM ( Security Accoumts Manager)的说法哪个是正确的： A. 存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性 B. 存储在注册表中的账号数据administrator账户才有权访问，具有较高的安全性 C. 存储在注册表中的账号数据任何用户都可以直接访问，灵活方便 D. 存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性解释：D为正确答案。 13. 某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备（） A. 安全路由器 B. 网络审计系统 C. 网页防篡改系统 D. 虚拟专用网（Virtual Private Network， VPN )系统答案：C 解释：网页防篡改系统用来防范WEB篡改。 14. 关于恶意代码，以下说法错误的是： A. 从传播范围来看，恶意代码呈现多平台传播的特征。 B. 按照运行平台，恶意代码可以分为网络传播型病毒、文件传播型病毒。 C. 不感染的依附性恶意代码无法单独执行 D. 为了对目标系统实施攻击和破坏，传播途径是恶意代码赖以生存和繁殖的基本条件答案：B 解释：按照运行平台，恶意代码可以分为Windows平台、Linux平台、工业控制系统等。 15．某公司为加强员工的信息安全意识，对公司员工进行相关的培训，在介绍相关第三方人员通过社会工程学入侵公司信息系统时，提到连以下几点要求，其中在日常工作中错误的是（） A.不轻易泄露敏感信息 B.再相信任何人之前先校验其真实的身份 C.不违背公司的安全策略 D.积极配合来自电话、有点的任何业务要求，即使是马上提供本人的口令信息 16. 当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关： A. 传统的软件开发工程未能充分考虑安全因素 B. 开发人员对信息安全知识掌握不足 C. 相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞 D. 应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞答案：C 解释：无论高级和低级语言都存在漏洞。 17. 下面哪个模型和软件安全开发无关（）？ A. 微软提出的“安全开发生命周期（Security Development Lifecycle，SDL) ” B. Gray McGraw等提出的“使安全成为软件开发必须的部分（Building Security IN， BSI) ” C. OWASP 维护的“软件保证成熟度模型（Software Assurance Maturity Mode，SAMM) ” D. “信息安全保障技术框架（Information Assurance Technical Framework，IATF) ” 答案:d 解释：D与软件安全开发无关，ABC均是软件安全开发模型。 18. 某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是： A. 模拟正常用户输入行为，生成大量数据包作为测试用例 B. 数据处理点、数据通道的入口点和可信边界点往往不是测试对象 C. 监测和记录输入数据后程序正常运行的情况 D. 深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析答案：D 解释：A错误，模糊测试是模拟异常输入；B错误，入口与边界点是测试对象；C模糊测试记录和检测异常运行情况。 19. 以下关于模糊测试过程的说法正确的是： A. 模糊测试的效果与覆盖能力，与输入样本选择不相关 B. 为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统可能无法恢复异常状态进行后续的测试 C. 通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需要进一步分析其危害性、影响范围和修复建议对于可能产生的大量异常报告，需要人工全部分析异常报告答案：C 解释：C为模糊测试的涵义解释。 20. 关于WI-FI联盟提出的安全协议WPA和WPA2的区别。下面描述正确的是（） A. WPA是有线局域安全协议，而WPA2是无线局域网协议 B. WPA是适用于中国的无线局域安全协议，WPA2是使用于全世界的无线局域网协议 C. WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证 D. WPA是依照802.11i标准草案制定的，而WPA2是按照802.11i正式标准制定的答案：D 解释：答案为D。 21. 防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是 A. 既能物理隔离，又能逻辑隔离 B. 能物理隔离，但不能逻辑隔离 C. 不能物理隔离，但是能逻辑隔离 D. 不能物理隔离，也不能逻辑隔离答案：C 解释：答案为C。 22. 异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是 A. 在异常入侵检测中，观察的不是已知的入侵行为，而是系统运行过程中的异常现象 B. 实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生 C. 异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警 D. 异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为答案：B 解释：实施误用入侵检测（或特征检测），是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生。 23. S公司在全国有20个分支机构，总部由10台服务器、200个用户终端，每个分支机构都有一台服务器、100个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给5 公司选出设计最合理的一个： A. 总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用 192.168.2.x---192.168.20.x B. 总部服务器使用10.0.1.1—11、用户终端使用10.0.1.12—212，分支机构IP地址随意确定即可 C. 总部服务器使用10.0.1.x、用户端根据部门划分使用10.0.2.x，每个分支机构分配两个A类地址段，一个用做服务器地址段、另外一个做用户终端地址段 D. 因为通过互联网连接，访问的是互联网地址，内部地址经NAT映射，因此IP地址无需特别规划，各机构自行决定即可。答案：C 解释：答案为C，考核的是IP地址规划的体系化。 24. 安全评估技术采用（）这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。 A. 安全扫描器 B. 安全扫描仪 C. 自动扫描器 D. 自动扫描仪 25. 私有IP地址是一段保留的IP地址。只适用在局域网中，无法在Internet上使用。关于私有地址，下面描述正确的是（）。 A. A类和B类地址中没有私有地址，C类地址中可以设置私有地址 B. A类地址中没有私有地址，B类和C类地址中可以设置私有地址 C. A类、B类和C类地址中都可以设置私有地址 D. A类、B类和C类地址中都没有私有地址答案：C 26. 口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明错误的是 A. 密码策略主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控 B. 密码策略对系统中所有的用户都有效 C. 账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统用户应对口令暴力破解攻击 D. 账户锁定策略只适用于普通用户，无法保护管理员administrator账户应对口令暴力破解攻击答案：D 解释：.账户锁定策略也适用于administrator账户。 27. windows文件系统权限管理使用访问控制列表（Access Control List.ACL)机制，以下哪个说法是错误的： A. 安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持 B. 由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利，Windows上的ACL存在默认设置安全性不高的问题 C. Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的 D. 由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限答案：C 解释：Windows的ACL机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。 28. 小张在一不知名的网站上下载了鲁大师并进行了安装，电脑安全软件提示该软件有恶意捆绑，小张惊出一身冷汗，因为他知道恶意代码将随之进入系统后悔对他的系统信息安全造成极大的威胁，那么恶意代码的软件部署常见的实现方式不包括（） A. 攻击者在获得系统的上传权限后，将恶意代码部署到目标系统 B. 恶意代码自身就是软件的一部分，随软件部署传播 C. 内嵌在软件中，当文件被执行时进入目标系统 D. 恶意代码通过网上激活 29. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下： ^账户锁定阀值3次无效登陆； ^账户锁定时间10分钟； ^复位账户锁定计数器5分钟；以下关于以上策略设置后的说法哪个是正确的() A. 设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的拥护就会被锁住 B. 如果正常用户不小心输错了3次密码，那么该账户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统 C. 如果正常用户不小心连续输入错误密码3次，那么该拥护帐号被锁定5分钟，5分钟内即使交了正确的密码，也无法登录系统 D. 攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常拥护登陆不受影响答案:B 解释：答案为B，全部解释为5分钟计数器时间内错误3次则锁定10分钟。 30. 加密文件系统（Encrypting File System，EFS)是Windows操作系统的一个组件，以下说法错误的是（） A. EFS采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能解密数据 B. EFS以公钥加密为基础，并利用了 widows系统中的CryptoAPI体系结构 C. EFS加密系统适用于NTFS文件系统合FAT32文件系统（Windows环境下） D. EFS加密过程对用户透明，EFS加密的用户验证过程是在登陆windows时进行的答案：C 解释：答案为C，FAT32不支持EFS加密。 31. 操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境，操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统的自身的不安全性，系统开发设计的不同而留下的破绽，都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标，按书中所学建立了相应的安全机制，这些机制不包括（） A. 标识与鉴别 B. 访问控制 C. 权限管理 D. 网络云盘存取保护 32. 关于数据库恢复技术，下列说法不正确的是： A. 数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复 B. 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术 C. 日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复 D. 计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交答案:d 解释：利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为回滚。 33. 数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是： A. 最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作 B. 最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息 C. 粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度 D. 按内容存取控制策略，不同权限的用户访问数据库的不同部分答案：B 解释：数据库安全策略应为最小共享。 34. 数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中，数据封装的顺序是： A. 传输层、网络接口层、互联网络层 B. 传输层、互联网络层、网络接口层 C. 互联网络层、传输层、网络接口层 D. 互联网络层、网络接口层、传输层答案：B 解释：答案为B。 35. 以下关于SMTP和POP3协议的说法哪个是错误的 A. SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议 B. SMTP和POP3协议铭文传输数据，因此存在数据泄露的可能 C. SMTP和POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题 D. SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件答案：D 解释：基于HTTP协议或C/S客户端实现邮件的远程管理。 36. 以下哪些因素属于信息安全特征？（） A. 系统和网络的安全 B. 系统和动态的安全 C. 技术、管理、工程的安全 D. 系统的安全；动态的安全；无边界的安全；非传统的安全 37. 安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension，S/MIME )是指一种保障邮件安全的技术，下面描述错误的是（） A. S/MIME采用了非对称密码学机制 B. S/MIME支持数宇证书 C. S/MIME采用了邮件防火墙技术 D. S/MIME支持用户身份认证和邮件加密答案：C 解释：S/MIME是邮件安全协议，不是防火墙技术。 38. 应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是（） A. 身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源 B. 安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问 C. 剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问 D. 机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等答案：D 解释：机房与设施安全属于物理安全，不属于应用安全。 39. Apache Http Server (简称 Apache)是一个开放源码的W EB服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发，为隐藏这些信息，应当采取以下那种措施（） A. 安装后，修改访问控制配置文件 B. 安装后，修改配置文件Httpd. Conf中的有关参数 C. 安装后，删除A pache Http Serve r源码 D. 从正确的官方网站下载A pache Http Server，并安装使用答案：B 40. 下面信息安全漏洞理解错误的是： A. 讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞 B. 信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造成的 C. 信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很大的经济损失 D. 由于人类思维能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生新的漏洞是不可避免的答案：B 解释：安全漏洞可以有意产生，也会无意产生。 41. 下面对“零日（zero— day)漏洞”的理解中，正确的是（） A. 指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限 B. 指一个特定的漏洞，特指在2 0 1 0年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施 C. 指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在1天内文完成攻击，且成功达到攻击目标 D. 指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞都是零日漏洞答案：D 解释：D是零日漏洞的解释。 42. 某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处的李强，我的邮箱密码忘记了，现在打不开邮件，我着急收邮件，麻烦腻先帮我把密码改成1 2 3，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求，随后，李强发现邮箱系统登陆异常，请问下类说法哪个是正确的 A. 小张服务态度不好，如果把李强的邮件收下来亲自交给李强就不会发生这个问题 B. 事件属于服务器故障，是偶然事件，应向单位领导申请购买新的服务器 C. 单位缺乏良好的密码修改操作流程或小张没按照操作流程工作 D. 事件属于邮件系统故障，是偶然事件，应向单位领导申请邮件服务软件答案：C 解释：该题目考点为信息安全措施的操作安全，要求一切操作均有流程。 43. 以下对单点登录技术描述不正确的是：（） A. 单点登录技术实质是安全凭证在多个用户之间的传递或共享 B. 使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用 C. 单点登录不仅方便用户使用，而且也便于管理 D. 使用单点登录技术能简化应用系统的开发答案：A 解释：是多个系统 44. 某网站管理员小邓在流量监测中发现近期网站的入站I CMP流量上升了 2 5 0 %，尽管网站没有发现任何的性能下降或其他问题。但为了安全起见，他仍然向主管领导提出了应对策略，作为主管负责人，请选择有效的针对此问题的应对措施： A. 在防火墙上设置策略，阻止所有的I CMP流量进入（关掉p ing) B. 删除服务器上的ping. exe程序 C. 增加带宽以应对可能的拒绝服务攻击 D. 增加网站服务器以应对即将来临的拒绝服务攻击答案：A 解释：A是应对措施。 45. 某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划，提出了四大培训任务和目标，关于这四个培训任务和目标，作为主管领导，以下选项中正确的是（） A. 由于网络安全上升到国家安全的高度，因此网络安全必须得到足够的重视，因此安排了对集团公司下属公司的总经理（一把手）的网络安全法培训 B. 对下级单位的网络安全管理岗人员实施全面培训，计划全员通过CISP持证培训以确保人员能力得到保障 C. 对其他信息化相关人员（网络管理员、软件开发人员）也进行安全基础培训，使相关人员对网络安全有所了解 D. 对全体员工安全信息安全意识及基础安全知识培训，实现全员信息安全意识教育 46. 信息应按照其法律要求、价值、对泄露或篡改的（）和关键性予以分类。信息资产的所有者应对其分类负责，分类的结果表明了（），该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类，标记的规程需要涵盖物理和电子格式的（）。分类信息的标记和安全处理是信息共享的一个关键要求。（）和元数据标签是常见的形式。标记应易于辨认，规程应对标记附着的位置和方式给于指导，并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和（）。 A. 敏感性；物理标z签；资产的价值；信息资产；交换规程 B. 敏感性；信息资产；资产的价值；物理标签；交换规程 C. 资产的价值；敏感性；信息资产；物理标签；交换规程 D. 敏感性；资产的价值；信息资产；物理标签；交换规程 47. 下面四款安全测试软件中，主要用于WEB安全扫描的是（） A. Cisco Auditing Tools B. A cunetix Web Vulnerability Scanner C. NMAP D. ISS Database Scanner 答案：B 解释：B为WEB扫描工具。 48. 某单位计划在今年开发一套办公自动化（OA)系统，将集团公司各地的机构通过互联网进行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建设，作为安全专家，请指出大家提的建议中不太合适的一条： A. 对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题 B. 要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识 C. 要求软件开发商使用J a v a而不是ASP作为开发语言，避免SQL注入漏洞 D. 要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对数据进行校验答案：C 解释：SQL注入与编码SQL语法应用和过滤有关，与开发语言不是必然关系。 49. 在软件保障成熟度模型（SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能 A. 治理，主要是管理软件开发的过程和活动 B. 构造，主要是在开发项目中确定目标并开发软件的过程与活动 C. 验证，主要是测试和验证软件的过程和活动 D. 购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动答案：D 解释：SAMM包括治理、构造、验证、部署。 50. 某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是（） A. 软件安全开发生命周期较长，阶段较多，而其中最重要的是要在软件的编码阶段做好安全措施，就可以解决9 0%以上的安全问题 B. 应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少的多。 C. 和传统的软件开发阶段相比，微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段 D. 软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要再组织第三方进行安全性测试答案：B 解释：正确答案为B。 51. 下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的（） A.设计了三层W e b架构，但是软件存在S Q L注入漏洞，导致被黑客攻击后能直接访 12/23 注册信息安全专业人员考试模拟考试试卷问数据库 B. 使用C语言开发时，采用了一些存在安全问题的宇符串处理函数，导致存在缓冲区溢出漏洞 C. 设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据 D. 使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据答案：C 解释：答案为C。 53. 杀毒软件一般是通过的代码与特征库中的特征码进行比对，判断这个文件是否是为恶意代码，如果是则进一步联系病毒库中对该病毒的描述。从而确认其行为，达到分析的目的。下列对恶意代码静态分析的说法中，错误的是（） A. 静态分析不需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制 B. 静太分析通过查找恶意代码二进制程序中嵌入的可疑字符串，如：文件名称、URL地址、域名、调用函数等，来进行分析判断 C. 静态分析检测系统函数的运行状态，数据流转换过程，能判别出恶意代码的行为和正常软件操作 D. 静态分析方法可以分析恶意代码的所有执行路径，但是随着程序复杂度的提高，冗余路径增多，会出现分析效率降低的情况 54. 某集团公司根据业务需求，在各地分支机构部属前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机种提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施？ A. 由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析 B. 为配合总部的安全策略，会带来一定安全问题，但不影响系统使用，因此接受此风险 C. 日志的存在就是安全风险，最好的办法就是取消日志，通过设置前置机不记录日志 D. 只允许特定I P地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间答案：D 解释：D的特定I P地址从前置机提取降低了开放日志共享的攻击面。 55. 针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需求考虑的攻击方式 A. 攻击者利用软件存在的逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100% B. 攻击者利用软件脚本使用多重嵌套咨询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢 C. 攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问 D. 攻击者买通I DC人员，将某软件运行服务器的网线拔掉导致无法访问答案：D 解释：D为社会工程学攻击。 56. 某网站为了开发的便利，使用SA链接数据库，由于网站脚本中被发现存在SQL注入漏洞，导致攻击者利用内置存储过程XP.cmctstell删除了系统中的一个重要文件，在进行 12/23 问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则： A. 权限分离原则 B. 最小特权原则 C. 保护最薄弱环节的原则 D. 纵深防御的原则答案:B 解释：SA是数据库最大用户权限，违反了最小特权原则。 57. 微软提出了STRIDE模型，其中Repudation (抵赖）的缩写，关于此项安全要求，下面描述错误的是（） A. 某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁就属于R威胁 B. 解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数宇签名、安全审计等技术措施 C. R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高 D. 解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行答案：C 解释：STRIDE代表6种威胁的简称，无严重程度之分。S-欺骗，T-篡改，R-抵赖，I- 信息泄露，D-拒绝服务，E-权限提升（攻击）。 58. 关于信息安全管理，下面理解片面的是（） A. 信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障 B. 信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的 C. 信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础 D. 坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一答案：C 解释：C是片面的，应为技管并重。 59. 下列选项中，对风险评估文档的描述中正确的是（） A. 评估结果文档包括描述资产识别和赋值的结果，形成重要资产列表 B. 描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、

展开阅读全文