23.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的: A.口令 B.令牌& C.知识 D.密码 24.在ISO 的OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密 B.数字签名& C.访问控制 D.路由控制
25.某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是: A.选购当前技术最先进的防火墙即可 B.选购任意一款品牌防火墙
C.任意选购一款价格合适的防火墙产品 D.选购一款同已有安全产品联动的防火墙& 26.在OSI 参考模型中有7 个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务? A.网络层& B.表示层 C.会话层 D.物理层 27.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则? A.最小权限 B.权限分离& C.不信任 D.纵深防御
28.以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是:
A.在传送模式中,保护的是IP 负载
B.验证头协议(Authentication Head,AH)和IP 封装安全载荷协议
(EncapsulatingSecurity Payload,ESP)都能以传输模式和隧道模式工作 c.在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP 头
D.IPsec 仅能保证传输数据的可认证性和保密性& 29.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE 是微软SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施DDoS 攻击,降低网站访问速度
B.网站使用http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
C.网站使用http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息& 30.以下关于PGP(Pretty Good Privacy)软件叙述错误的是: A.PGP 可以实现对邮件的加密、签名和认证 B.PGP 可以实现数据压缩
C.PGP 可以对邮件进行分段和重组 D.PGP 采用SHA 算法加密邮件& 31.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS 有着许多不同点,请指出下列哪一项描述不符合IPS 的特点? A.串接到网络线路中
B.对异常的进出流量可以直接进行阻断 C.有可能造成单点故障 D.不会影响网络性能&
32.相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势? A.NTFS 使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作 B.NTFS 的分区上,可以为每个文件或文件夹设置单独的许可权限 C.对于大磁盘,NTFS 文件系统比FAT 有更高的磁盘利用率
D.相比FAT 文件系统,NTFS 文件系统能有效的兼容linux 下EXT2 文件格式& 33.某公司系统管理员最近正在部署一台Web 服务器,使用的操作系统是
windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是: A.在网络中单独部署syslog 服务器,将Web 服务器的日志自动发送并存储到该syslog 日志服务器中&
B.严格设置Web 日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小、延长日志覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间 34.关于linux 下的用户和组,以下描述不正确的是 。
A.在linux 中,每一个文件和程序都归属于一个特定的“用户” B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可以是多对一,一个组可以有多个用户,一个用户不能属于多个组*
D.root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限 35.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的
安全漏洞
B.为了方便进行数据备份,安装Windows 操作系统时只使用一个分区C,所有数据和操作系统都存放在C 盘&
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator 改名,降低口令暴力破解攻击的发生可能
36.在数据库安全性控制中,授权的数据对象 ,授权子系统就越灵活? A.粒度越小& B.约束越细致 C.范围越大 D.约束范围大
37.下列哪一些对信息安全漏洞的描述是错误的? A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE 中、过程中等)。 C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。 D.漏洞都是人为故意引入的一种信息系统的弱点& 38.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS) B.病毒传染 C.口令暴力破解& D.缓冲区溢出攻击
39.数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP 协议中,数据封装的顺序是:
A.传输层、网络接口层、互联网络层 B.传输层、互联网络层、网络接口层& C.互联网络层、传输层、网络接口层 D.互联网络层、网络接口层、传输层
40.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A.ARP 协议是一个无状态的协议
B.为提高效率,ARP 信息在系统中会缓存 C.ARP 缓存是动态的,可被改写
D.ARP 协议是用于寻址的一个重要协议 41.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击&
42.关于软件安全开发生命周期(SDL),下面说法错误的是: A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞
都将增大软件开发成本&
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本 43.在软件保障成熟度模型(Software Assurance Maturity ldode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能: A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动&部署
44.从系统工程的角度来处理信息安全问题,以下说法错误的是:
A.系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。 C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。&
D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
45.小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全 风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果; (3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、
信息系统的安全要求报告。请问小王的所述论点中错误的是哪项:
A.第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象 B.第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C.第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字&
D.第四个观点,背景建立的阶段性成果中不包括有风险管理计划书 46.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
A.BP 是基于最新技术而制定的安全参数基本配置 B.大部分BP 是没有经过测试的
C.一项BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段& D.一项BP 可以和其他BP 有重叠
47.以下哪一种判断信息系统是否安全的方式是最合理的? A.是否己经通过部署安全控制措施消灭了风险
B.是否可以抵抗大部分风险
C.是否建立了具有自适应能力的信息安全模型 D.是否已经将风险控制在可接受的范围内&
48.以下关于信息安全法治建设的意义,说法错误的是: A.信息安全法律环境是信息安全保障体系中的必要环节
B.明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C.信息安全主要是技术问题,技术漏洞是信息犯罪的根源&
D.信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系 49.小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预 期损失为多少: A.24 万 B.0.09 万 C.37.5 万 D.9 万&
50.2005 年4 月1 日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:
A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
B.电子签名适用于民事活动中的合同或者其他文件、单证等文书
C.电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
51.风险管理的监控与审查不包含: A.过程质量管理 B.成本效益管理&
C.跟踪系统自身或所处环境的变化 D.协调内外部组织机构风险管理活动
52.信息安全等级保护分级要求,第三级适用正确的是:
A.适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益 B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害&
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害 D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
53.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的: A.设置网络连接时限&