1、强化练习卷A一、单选题(共100分)1. 信息安全风险管理是基于()的信息安全管理,也就是,始终以()为主线进行信息安全的管理,应根据实际()的不同来理解信息安全风险管理的侧重点,及()选择的范围和对象重点应有所不同。【A】A. 风险;风险;信息系统;风险管理B. 风险:风险;风险管理;信息系统C. 风险管理;信息系统;风险;风险D. 风险管理;风险;风险;信息系统2. 下面对国家秘密定级和范围的描述中,哪项不符合保守国家秘密法要求:CA. 国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B. 各级国家机关、单位对所产生的国家秘密事项,应当按照国
2、家秘密及其密级具体范围的规定确定密级C. 对是否属于国家机密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部门确定D. 对是否属于国家秘密和属于何种密级不明确的事项。由国家保密工作部门,省、自治区、直辖市的保密工作部门。省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。3. 信息安全标准化工作是我国信息安全保障工作的重要组成部分,是保护国家利益,促进产业发展的重要手段之一。关于我国信息安全标准化工作,下面选项中正确的是( A)A.我国是在国家质量监督检验总局管理下,由国家标准化管理委员会统一管理全国标准化工作
3、,下设有专业技术委员会。B.因事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护国家利益和安全。C.我国归口信息安全方面标准的是“全国信息安全标准化技术委员会”,为加强有关工作,2016年在其下设立“大数据安全特别工作组”D.信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作用突出地体现在能够确保有关产品、设施技术选进性、可靠性和一致性。4. 为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布关于信息安全等级保护工作的实施意见(公通字200466号),对等级保护工作的开展提供宏观指导和约束
4、。明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是(A)A. 该文件是一个由部委发布的政策性文件,不属于法律文件B. 该文件适用于2004年的等级保护工作。其内容不能约束到2005年及之后的工作C. 该文件是一个总体性指导文件,规定了所有信息系统都要纳入等级保护定级范围D. 该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位5. 一个信息管理系统通常会对用户进行分组并实施控制。例如,在一个学校的教务系统中,教师能够录入学生的成绩,学生只能查看自己的分数,而教务管理人员能够对选课信息等内容进行修改,下列选项中,对访问控制的作用理
5、解错误的是(C)A.对经过身份鉴别后的合法用户提供所有服务B.拒绝非法用户的非授权访问请求C.在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理D.防止对信息的非授权篡改和滥用6. 安全管理体系,国际上有标准(Information technology Security techniques Information systems )(ISO/IEC 27001:2013),而我国发布了信息技术信息安全管理体系要求(GB/T 22080-2008).请问,这两个标准的关系是(A)A. IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改B. EQV(等效采用),
6、此国家标准等效于该国家标准,技术上只有很小差异C. AEQ(等效采用),此国家标准不等效于该国家标准D. 没有采用与否的关系,两者之间版本不同,不应直接比较7. “CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被测评对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案(C)A.评估对象(TOE) B.保护轮廊(PP)C.安全目标(ST) D.评估保证级(EAL)8. 分组密码算法是一类十分重要的密码算法,下面描述中,错误的是(C)A. 分组密码算法要求输入明文按组分成固定长度的块B. 分组密码算法每次计算得到固定长度的
7、密文输出块C. 分组密码算法也称为序列密码算法D. 常见的DES、IDEA算法都属于分组密码算法9. 密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是(A)A. 在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式B. 密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行C. 根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人D. 密码协议(cr
8、yptographic protocol),有时也称安全协议(security protocol),是使用密码学完成某项特定的任务并满足安全需求,其目的是提供安全服务10. 美国计算机协会(ACM)宣布将2015年的ACM奖授予给Whitfield Diffie和Wartfield下面哪项工作是他们的贡献(C)。A. 发明并第一个使用C语言B. 第一个发表了对称密码算法思想C. 第一个发表了非对称密码算法思想D. 第一个研制出防火墙11. 公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威
9、机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适当选项(B )A. 证书库 B.RAC.0CSP D.CRL库12. 随着计算机在商业和民用领域的应用,安全需要变得越发重要,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点,RBAC模型可以分为RBAC0,RBAC1,RBAC2和RBAC3四种,它们之间存在着相互包含的关系,下列选项中对这四种类型之间的关系描述错误的是(C)。A. RBAC0是基本模型,其它三个模型均包含RBAC0B. RBAC1在RBAC0的基础上加入了角色等级的概念C. RBAC2在RBAC1的基础上加入了约束的概念D. RBAC3结合了RBAC
10、1和RBAC2,同时具备角色等级和约束13. 为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法?(A)A. 实体“所知”以及实体“所有”的鉴别方法B. 实体“所有”以及实体“特征”的鉴别方法C. 实体“所知”以及实体“特征”的鉴别方法D. 实体“所有”以及实体“行为”的鉴别方法14. 信息可以以各种形式存在。他可以打印成写在纸上,以()、用邮寄或者电子手段传输、是现在胶片上成用()。无论信息以什么形式存在,用哪种方式存储成共享,都宜对它进行适当地保护,()是保护信息免受各种威胁的损害,以确保业务(),业
11、务风险最小化,投资回报和()【A】A.语言表达;电子方式存储;信息安全;连续性;商业机遇最大化B.电子方式存储;语言表达;连续性;信息安全;商业机遇最大化C.电子方式存储;联系性;语言表达;信息安全;商业机遇最大化D.电子方式存储;语言表达;信息安全;连续性;商业机遇最大化15. 防火墙作为一种重要的网络安全防护设备,广泛的应用于各种商业和民用网络中,以下哪个选项是防火墙不具备的功能(C)A. 对出入网络的访问行为进行管理和控制B. 过滤出入网络的数据,强化安全策略C. 评估系统关键资源和数据文件完整性,识别已知的攻击行为D. 隐藏内部网络细节16. 强制访问控制是指主体和客体有一个固定的安全
12、属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统,强制访问控制模型有多种类型,如,BLP、Biba、Clark-Willson和ChineseWall等。小李自学了BLP模型,并对该模型的特点进行了总结,以下四种对BLP模型的描述中,正确的是(B)A.BLP模型用于保证系统信息的完整性B.BLP模型的规矩是“向下读,向上写”C.BLP的自主要求策略中,系统通过比较主体与客体的访问类属性控制主体和客体的访问D.BLP的强制安全策略使用一个访问控制矩阵表示17. 根据Bell-LaPedula模型安全策略,下图中写和读操作正确的是(B
13、)A. 可读可写B. 可读不可写C. 可写不可读D. 不可读不可写18. 在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是( D)A. 对文件进行操作的用户是一种主体B. 主体可以接受客体的信息和数据,也可能改变客体相关的信息C. 访问权限是指主体对客体所允许的操作D. 对目录的访问权可分为读、写和拒绝访问19. 小赵是某大学计算机科学与技术专业的毕业生,在
14、前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是(A )A. 访问控制列表(ACL)B. 能力表(CL)C. BLP模型D. Biba模型20. 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性。适用于专用或对安全性要求较高的系统,强制访问控制模型有多种模型,如BLP、Biba、Clark-Willson和Chines-Wall等。小李自学了BLP模型,并对该
15、模型的特点进行了总结。以下4种对BLP模型的描述中,正确的是(B )A. BLP模型用于保证系统信息的机密性,规则是“向上读,向下写”B. BLP模型用于保证系统信息的机密性,规则是“向下读,向上写”C. BLP模型用于保证系统信息的完整性,规则是“向上读,向下写”D. BLP模型用于保证系统信息的完整性,规则是“向下读,向上写”21. 访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制,他们具有不同的特点和应用场景。如果需要选择一个访问控制方法,要求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在下列选项中,能够满足以上要求的选项是(C)
16、。A. 自主访问控制B. 强制访问控制C. 基于角色的访问控制D. 以上选项都可以22. 协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器和负担。的运行环境由密钥分发中心()、应用服务器和客户端三个部分组成。其中,分为认证服务器和票据授权服务器两部分。下图展示了协议的三个阶段,分别为()获得服务许可票据,()获得服务,()获得票据许可票据。下列选项中对这三个阶段的排序正确的是(D)A. ()()()B. ()()()C. ()()()D. ()()()23. 关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是(D)A. WPA是有线局域安全协议,而W
17、PA2是无线局域网协议B. WPA是适用于中国的无线局域安全协议,而WPA2适用于全世界的无线局域网协议C. WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证D. WPA是依照802.11i标准草案制定的,而WPA2是依照802.11i正式标准制定的24. 随着高校业务资源逐渐向数据中心高度集中,Web成为一种普适平台,上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时,也使机构的重要信息暴露在越来越多的威胁中。去年,某个本科生院网站遭遇SQL群注入(Mass SQL Injection)攻击,网站发布的重要信息被篡改成为大量签名,所
18、以该校在某信息安全公司的建议下配置了状态检测防火墙,其原因不包括(C )A. 状态检测防火墙可以应用会话信息决定过滤规则B. 状态检测防火墙具有记录通过每个包的详细信息能力C. 状态检测防火墙过滤规则与应用层无关,相比于包过滤防火墙更易安装和使用D. 状态检测防火墙结合网络配置和安全规定做出接纳、拒绝、身份认证或报警等处理动作25. 下列哪个选项不属于反向安全隔离装置的安全功能:(D)A.签名验证 B.内容过滤C.有效性检查 D.木马检测26. 异常入侵检测是入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为。下面说法错误的是(B )A
19、. 在异常入侵检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象B. 实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生C. 异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警D. 异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为27. 某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰,虽然有防火墙,但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统(NIDS),将IDS部署在防火墙后
20、,以进行二次防御。那么NIDS不会在()区域部署。(D)A. DMZB. 内网主干C. 内网关键子网D. 外网入口28. 入侵检测系统有其技术优越性,但也有其局限性,下列说法错误的是(A)。A. 对用户知识要求高、配置、操作和管理使用过于简单,容易遭到攻击B. 入侵检测系统会产生大量的警告消息和可疑的入侵行为记录,用户处理负担很重C. 入侵检测系统在应对自身攻击时,对其他数据的检测可能会被抑制或者受到影响D. 警告消息记录如果不完整,可能无法与入侵行为关联29. 物理安全是一个非常关键的领域,包括环境安全。设施安全与传输安全。其中,信息系统的设施作为直接存储、处理数据的载体,其安全性对信息系统
21、至关重要。下列选项中,对设置安全的保障措施的描述正确的是(B)A.安全区域不仅包含物理区域,还包含信息系统等软件区域B.建立安全区域需要建立安全屏蔽及访问控制机制C.由于传统门锁容易被破解,因此禁止采用门锁的方式进行边界保护D.闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备,后端设备包括中央控制设备,监视器等。30. 小王是某通信运营商公司的网络按武安架构师,为该公司推出的一项新型通信系统项目做安全架构规划,项目客户要求对他们的大型电子商务网络进行安全域的划分,化解为小区域的安全保护,每个逻辑区域有各自的安全访问控制和边界控制策略,以实现大规模电子商务系统的信息保护。小王对信息系统安
22、全域(保护对象)的划分不需要考虑的是(D)A. 业务系统逻辑和应用关联性,业务系统是否需要对外连接B. 安全要求的相似性,可用性、保密性和完整性的要求是否类似C. 现有网络结构的状况,包括现有网路、地域和机房等D. 数据库的安全维护31. 某银行有5台交换机连接了大量交易机构的网路(如图所示),在基于以太网的通信中,计算机A需要与计算机B通信,A必须先广播“ARP请求信息”,获取计算机B的物理地址。没到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中一台交换机收到ARP请求后,会转发给接收端口以外的其他所有端口,ARP请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗
23、,将广播流限制在固定区域内,可以采用的技术是(A)A. VLAN划分B. 动态分配地址C. 为路由交换设备修改默认口令D. 设立入侵防御系统32. 在Windos7中,通过控制面板(管理工具本地安全策略安全设置账户策略)可以进入操作系统的密码策略设置界面,下面哪项内容不能在该界面进行设置(D)A. 密码必须符合复杂性要求B. 密码长度最小值C. 强制密码历史D. 账号锁定时间33. Linux系统中常用数字来表示文件的访问权限,假设某文件的访问限制使用了755来表示,则下面哪项是正确的(B)A. 这个文件可以被任何用户读和写B. 这个可以被任何用户读和执行C. 这个文件可以被任何用户写和执行D
24、. 这个文件不可以被所有用户写和执行34. 操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的Windows操作系统进行配置。他的主要操作有:(1)关闭不必要的服务和端口;(2)在“在本地安全策略”重配置账号策略、本地策略、公钥策略和IP安全策略;(3)备份敏感文件,禁止建立空连接,下载最新补丁;(4)关闭审核策略,开启口令策略,开启账号策略。这些操作中错误的是(D)A. 操作(1),应该关闭不必要的服务和所有端口B. 操作(2),在“本地安全策略”中不
25、应该配置公钥策略,而应该配置私钥策略C. 操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加D. 操作(4),应该开启审核策略35. 在Windows系统中,存在默认共享功能,方便了局域网用户使用,但对个人用户来说存安全风险。如果电脑联网,网络上的任何人都可以通过共享使用或修改文件。小刘在装有Windows XP系统的计算机上进行安全设置时,需要关闭默认共享。下列选项中,不能关闭默认共享的操作是(A)A. 将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserverparaneters”项中的“Autodisconnect
26、”项键值改为0B. 将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserverparaneters”项中的“AutoShareServer”项键值改为0C. 将“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslenmanserverparaneters”项中的“AutoShareWks”项键值改为0D. 在命令窗口中输入命令,删除C盘默认共享:net share C$ /del36. 从Linux内核2.1版开始,实现了基于权能的特权管理机制,实现了超级用户的特权分割,打破了
27、UNIX/LINUX操作系统中超级用户/普通用户的概念,提高了操作系统的安全性。下列选项中,对特权管理机制的理解错误的是(D)A. 普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有全部权能B. 系统管理员可以剥夺和恢复超级用户的某些权能C. 进程可以放弃自己的某些权能D. 当普通用户的某些操作涉及特权操作时,仍然通过setuid实现37. Linux系统的安全设置中,对文件的权限操作是一项关键操作。通过对文件权限的设置,能够保障不同用户的个人隐私和系统安全。文件fib.c的文件属性信息如下图所示,小张想要修改其文件权限,为文件主增加执行权限,并删除组外其他用户的写
28、权限,那么以下操作中正确的是(C)-rw-rw-rw- 1 zhang users 315 Jul 20 11:55 fib.cA. #chmod u+x, a-w fib.cB. #chmod ug+x, o-w fib.cC. #chmod 764 fib.cD. #chmod 467 fib.c38. 随着时代的发展,有很多伟人都为通信事业的发展贡献出自己力量,根据常识可知以下哪项是正确的?(时间紧,本题老师暂忽略!)A. 19世纪中期以后,随着电磁技术的发展,诞生了笔记本电脑,信领域产生了根本性的飞跃,开始了为类通信新时代B. 1837年,美国人费曼发明了电报机,可将信息转换成电脉冲传
29、向目的地,再转换为原来的信息,从而实现了长途电报通信C. 1875年,贝尔(Bell)发明了电话机。1878年在相距300公里的波士顿和纽约之间进行了首次长途电话实验,获得了成功D. 1906年美国物理学家摩斯发明出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路,推动了无线电技术的进一步发展39. 关于我国信息安全保障的基本原则,下列说法中不正确的是:(A)A.要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重B.信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方C.在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点D.在国家信
30、息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用40. 软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的是?(C)A.告诉用户需要收集什么数据及搜集到的数据会如何被使用B.当用户的数据由于某种原因要被使用时,给客户选择是否允许C.用户提交的用户名和密码属于隐私数据,其他都不是D.确保数据的使用符合国家、地方、行业的相关法律法规41. 关系数据库的完整性规则是数据库设计的重要内容,下面关于“实体完整性”的描述正确的是(B)A. 指数据表中列的完整性,主要用于保证操作的数据(记录)完整、不丢项B. 指数据表中行的完整性,主要用于保证操作的数据(记
31、录)非空、唯一且不重复C. 指数据表中列必须满足某种特定的数据类型或约束,比如取值范围、数值精度等约束D. 指数据表中行必须满足某种特定的数据姓雷或约束,比如在更新、插入或删除记录时,更将关联有关的记录一并处理才可以42. 数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中,数据封装的顺序是:(B)A. 传输层、网络接口层、互联网络层B. 传输层、互联网络层、网路接口层C. 互联网络层、传输层、网络接口层D. 互联网络层、网络接口层、传输层43. 安全多用途互联网邮件扩展(Secure Nultipurpose Internet Mail Pxtension,S/MIME)
32、是指一种保障邮件安全的技术,下面描述错误的是(C)A. S/MIME采用了非对称密码学机制B. S/MIME支持数字证书C. S/MIME采用了邮件防火墙技术D. S/MIME支持用户身份认证和邮件加密44. Apache HTTP Server(简称Apache)是一个开放源码的Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施(B)A. 不选择Windows平台,应选择在Linux平台下安装使用B. 安装后,修改配置文件http.conf中的有关参数C. 安装后,删除Apsche HTTP Server源码
33、D. 从正确的官方网站下载Apeche HTTP Server,并安装使用45. Internet Explorer,简称IE,是微软公司推出的一款Web浏览器,IE中有很多安全设置选项,用来设置安全上网环境和保护用户隐私数据。以下哪项不是IE中的安全配置项目(C)A. 设置Cookie安全,允许用户根据自己安全策略要求者、设置Cookie策略,包括从阻止所有Cookie到接受所有Cookie,用户也可以选择删除已经保存过的CookieB. 禁用自动完成和密码记忆功能,通过设置禁止IE自动记忆用户输入过的Web地址和表单,也禁止IE自动记忆表单中的用户名和口令信息C. 设置每个连接的最大请求数
34、,修改MuKeepActivEcquests,如果同时请求数达到阈值就不再响应新的请求,从而保证了系统资源不会被某个链接大量占用D. 为网站设置适当的浏览器安全级别,用户可以将各个不同的网站划分到Internet、本地Internet、受信任的站点、受限制的站点等不同安全区域中,以采取不同的安全访问策略46. 下面对“零日(zero-day)漏洞”的理解中,正确的是(D)A. 指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B. 指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施C. 指一类漏
35、洞,即特别好被被利用,一旦成功利用该漏洞,可以在1天内完成攻击,且成功达到攻击目标D. 指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞。一般来说,那些已经被小部分人发现,但是还未公布、还不存在安全补丁的漏洞都是零日漏洞47. 为达到预期的攻击目的,恶意代码通常会被采用各种方法将自己隐藏起来。关于隐藏方法,下面理解错误的是(C)A. 隐藏恶意代码进程,即将恶意代码进程隐藏起来,或者改名和使用系统进程名,以更好的躲避检测,迷惑用户和安全检测人员B. 隐藏恶意代码的网络行为,复用通用的网络端口,以躲避网络行为检测和网络监控C. 隐藏恶意代码的源代码,删除或加密源代码,仅留下加密后的二进制代码,以躲
36、避用户和安全检测人员D. 隐藏恶意代码的文件,通过隐藏文件、采用流文件技术或HOOK技术、以躲避系统文件检查和清除48. 某网络管理员小邓在流量监测中发现近期网站的入站ICMP流量上升250%尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:(A)A. 在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)B. 删除服务器上的ping.exe程序C. 增加带宽以应对可能的拒绝服务攻击D. 增加网站服务以应对即将来临的拒绝服务攻击49. 对于信息安全风险评估,下列选项中正确的是(B)A.风险评估是需
37、要实施一次就可以B.风险评估应该根据变化了的情况定期或不定期的适时地进行C.风险评估不需要形成文件化评估结果报告D.风险评估仅对网络做定期的扫描就行50. 对于信息安全风险评估,下列选项中正确的是(B)A.风险评估是需要实施一次就可以B.风险评估应该根据变化了的情况定期或不定期的适时地进行C.风险评估不需要形成文件化评估结果报告D.风险评估仅对网络做定期的扫描就行51. 关于ARP欺骗原理和防范措施,下面理解错误的是(D)A. ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文,使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中,从而起到冒充主机的目的B. 单纯利用ARP欺骗攻
38、击时,ARP欺骗通常影响的是内部子网,不能跨越路由实施攻击C. 解决ARP欺骗的一个有效方法是采用“静态”的ARP缓存,如果发生硬件地址的更改,则需要人工更新缓存D. 彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存,直接采用IP地址和其他主机进行连接52. 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:(D)A. 治理,主要是管理软件开发的过程和活动B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动C. 验证,主要是测试和验证软件的过程与活动D. 购置,
39、主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动53. 软件存在漏洞和缺陷是不可避免的,实践中尝试用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是(C)A. 0.00049B. 0.049C. 0.49D. 4954. 某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方式是最佳的测试方式:(C)A. 模糊测试B. 源代码测试C.
40、渗透测试D. 软件功能测试55. 基于对()的信任,当一个请求成命令来自一个“权威”人士时,这个请求就可能被毫不怀疑的()。在()中,攻击者伪装成“公安部门”人员。要求受害者转到账所谓“安全账户”就是利用了受害者对权威的信任。在()中,攻击者可能伪装成监管部门、信息系统管理人员等身份,去要求受害者只能操作,例如伪装成系统管理员,告诉用户请求配合进行一次系统测试,要求()等。【A】A.权威;执行;电信诈骗;网络攻击;更改密码B.权威;执行;网络攻击;电信诈骗,更改密码C.执行;权威;电信诈骗;网络攻击;更改密码D.执行;权威;网络攻击;电信诈骗;更改密码56. 下面有关软件安全问题的描述中,哪项
41、不是由于软件设计缺陷引起的(A)A. 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息B. 设计了采用不加盐(SALT)的SHA-1算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录C. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据D. 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文57. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项
42、目开发人员决定用户登录时如用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则:(C)A. 最小共享机制原则B. 经济机制原则C. 不信任原则D. 默认故障处理保护原则58. 信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程,下列选项中不属于风险评估要素的是(D)A.资产 B.脆弱性 C.威胁 D.安全需求59. 小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是(B)A. 信息安全管理体系的建立应参
43、照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则B. 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想C. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变的,不可能建设永远安全的系统D. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理设计的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低60. ISO9001-2000标准跪在制定、实施质量管理体系以及改进
44、其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写(D)A.策略 B.管理者C.组织 D.活动61. ISO27002(Information technology-Security techniques0Codeofpratice for inforeation security managcacnt)是重要的信息安全管理标准之一,下图是关于其演进变化示意图,图中括号空白处应填写(B)A. BS 7799.1.3B. ISO 17799C. AS/NZS 4630D. NIST SP 800-3762. 王明买了一个新的蓝牙耳机,但王明听说
45、使用蓝牙设备有一定的安全威胁,于是王明找到了在蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取(C)A.再选择使用蓝牙设备时,应考虑设备的技术实现及设置是否举办防止上述安全威胁的能力B.选择使用功能合适的设备而不是功能尽可能多的设备,尽量关闭不使用的服务及功能C.如果蓝牙设备丢失,最好不要做任何操作、D.在配对时使用随机生成的密钥,不使用时设置不可被其他蓝牙设备发现63. 在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是(D)A. 制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提
46、供总体纲领,明确总体要求B. 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可实施C. 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性D. 建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确64. 风险处理是依据()。选择和实施合适的安全措施。风险处理的目的是为了将()始终控制在可接受的范围内。风险处理的方式主要有()、()、()和()四种方式【C】A.风险,风险评估的结果,降低,规避,转移,接受B.风险评估的结果,风险,
47、降低,规避,转移,接受C.风险评估,风险,降低,规避,转移,接受D.风险,风险评估,降低,规避,转移,接受65. 我国标准信息安全风险管理指南(GB/Z24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写(D)A. 风险计算B. 风险评价C. 风险预测D. 风险处理66. 在信息安全管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误的(B)。A. 背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性B. 背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单C.
浙ICP备2021020529号-1 | 浙B2-20240490 
