虑安全因素,在IT 项目的立项阶段,以下哪一项不是必须进行的工作: A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求&
87.关于信息安全保障技术框架(IATF),以下说法不正确的是:
A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
B.IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性 D.IATF 深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制&
88.以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?
A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑&
B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D.应详细规定系统验收测试中有关系统安全性测试的内容 89.信息安全工程监理的职责包括:
A.质量控制、进度控制、成本控制、合同管理、信息管理和协调& B.质量控制、进度控制、成本控制、合同管理和协调
C.确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调 D.确定安全要求、认可设计方案、监视安全态势和协调 90.关于信息安全保障的概念,下面说法错误的是:
A.信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
B.信息安全保障已从单纯的保护和防御阶段发展为集保护、检测和响应为一体的综合阶段
C.在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全& D.信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统及业务使命的保障 91.关于监理过程中成本控制,下列说法中正确的是? A.成本只要不超过预计的收益即可 B.成本应控制得越低越好
C.成本控制由承建单位实现,监理单位只能记录实际开销
D.成本控制的主要目的是在批准的预算条件下确保项目保质按期完成& 92.有关危害国家秘密安全的行为,包括: A.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B.严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C.严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
93.下列关于ISO15408 信息技术安全评估准则(简称CC)通用性的特点,即给出通用的表达方式,描述不正确的是______。
A.如果用户、开发者、评估者和认可者都使用CC 语言,互相就容易理解沟通 B.通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C.通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
D.通用性的特点使得CC 也适用于对信息安全建设工程实施的成熟度进行评估 94.信息系统建设完成后, ( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。 A.二级以上 B.三级以上& C.四级以上 D.五级以上
95.有关国家秘密,错误的是:
A.国家秘密是关系国家安全和利益的事项 B.国家秘密的确定没有正式的法定程序&
C.除了明确规定需要长期保密的,其他的园家秘密都是有保密期限的 D.国家秘密只限一定范围的人知悉
96.在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别? A.C2 B.C1 C.B2 D.B1&
97.对涉密系统进行安全保密测评应当依据以下哪个标准?
A.BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B.BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》& C.GB17859-1999《计算机信息系统安全保护等级划分准则》
D.GB/T20271-2006《信息安全技术信息系统统用安全技术要求》
98.ISO/IBC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 。
A.BS7799-1《信息安全实施细则》 B.BS7799-2《信息安全管理体系规范》 C.信息技术安全评估准则(简称ITSEC) D.信息技术安全评估通用标准(简称CC) 99.在GB/T 18336《信息技术安全性评估准则》中,有关保护轮廓(Protection Profile,PP)和安全目标(Security Target,ST),错误的是: A.PP 是描述一类产品或系统的安全要求
B.PP 描述的安全要求与具体实现无关
C.两份不同的ST 不可能满足同一份PP 的要求 D.ST 与具体的实现有关
100.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
A.提高信息技术产品的国产化率& B.保证信息安全资金投入 C.加快信息安全人才培养 D.重视信息安全应急处理工作
101.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A.软件在Linux 下按照时,设定运行时使用nobody 用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账
号连接数据库,该账号仅对日志表拥有权限 D.为了保证软件在Windows 下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误&
102.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA 系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?
A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
C.要求软件开发商使用Java 而不是ASP 作为开发语言,避免产生SQL 注入漏洞& D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验
103.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发
阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法?
A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低&
B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
104.某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采 取以下哪项处理措施?
A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B.为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
C.日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志 D.只允许特定的IP 地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间& 105.如图1 所示,主机A 向主机B 发出的数据采用AH 或ESP 的传输模式对流量进行保护时,主机A 和主机B 的IP 地址在应该在下列哪个范围? A.10.0.0.0~10.255.255.255 B.172.16.0.0~172.31.255.255 C、192.168.0.0~192.168.255.255 D.不在上述范围内 106.某电子商务网站最近发生了一起安全事件,出现了一个价值1000 元的商品用1 元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http 协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000 元的商品以
1 元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是?
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用https
B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可 107.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式: A.攻击者利用软件存在逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU 资源占用始终100%
B.攻击者利用软件脚本使用多重嵌套查询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通了IDC 人员,将某软件运行服务器的网线拔掉导致无法访问 108.以下哪个选项不是防火墙提供的安全功能? A.IP 地址欺骗防护
B.NAT
C.访问控制
D.SQL 注入攻击防护
109.以下关于可信计算说法错误的是:
A.可信的主要目的是要建立起主动防御的信息安全保障体系 B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念
C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信
D.可信计算平台出现后会取代传统的安全防护体系和方法 110.Linux 系统对文件的权限是以模式位的形式来表示,对于文件名为test 的一个文件,
属于admin 组中user 用户,以下哪个是该文件正确的模式表示? A.rwxr-xr- 3 user admin 1024 Sep 13 11:58 test B.drwxr-xr-x 3 user admin 1024 Sep 13 11:58 test C.rwxr-xr-x 3 admin user 1024 Sep 13 11:58 test D.drwxr-xr-x 3 admin user1024 Sep 13 11:58 test
111.Apache Web 服务器的配置文件一般位于/usr/local/apache/conf 目录,其中用
来控制用户访问Apache 目录的配置文件是: A.httpd.conf B.srL conf C.access.conf D.inetd.conf
112.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是? A.安装最新的数据库软件安全补丁 B.对存储的敏感数据进行安全加密
C.不使用管理员权限直接连接数据库系统
D.定期对数据库服务器进行重启以确保数据库运行良好 113.下列哪项内容描述的是缓冲区溢出漏洞?
A.通过把SQL 命令插入到web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令 B.攻击者在远程WEB 页面的HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。 C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法 数据上
D.信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产 生的缺陷
114.对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是: