166.业务系统运行中异常错误处理合理的方法是: A. 让系统自己处理异常
B. 调试方便,应该让更多的错误更详细的显示出来 c. 捕获错误,并抛出前台显示
D. 捕获错误,只显示简单的提示信息,或不显示任何信息
167.对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对系统进行划分,不属于正确划分级别的是:
A.特别重要信息系统 B.重要信息系统 C.一般信息系统 D. 关键信息系统
168.以下哪项不是应急响应准备阶段应该做的? A.确定重要资产和风险,实施针对风险的防护措施 B.编制和管理应急响应计划
C.建立和训练应急响应组织和准备相关的资源
D.评估时间的影响范围,增强审计功能、备份完整系统 169.关于秘钥管理,下列说法错误的是:
A. 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性
B. 保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
c.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D.在网络通信中。通信双方可利用Diffie-He11man 协议协商出会话秘钥
170.以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server,
AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令,并发送给AS,AS 用同样的防腐计算后,验证比较两个口令即可验证用户身份。 A. 口令序列 B. 时间同步 C.挑战/应答 D.静态口令
171.部署互联网协议安全虚拟专用网(Internet protocolSecurityvirtualPrivate
NetworkIPsecVPN) 时。以下说法正确的是: A. 配置MD5 安全算法可以提供可靠地数据加密 B. 配置AES 算法可以提供可靠的数据完整性验证
c. 部署IPsecVIPN 网络时,需要考虑 IP 地址的规划,尽量在分支节点使用可以聚合的
IP 地址段,来减少IPsec 安全关联(Security Authentication,SA)资源的消耗
D. 报文验证头协议(Authentication Header,AH)可以提供数据机密性 46
172:在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以 下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,
你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题: A.SSH B.HTTP C.FTP D.SMTP
173:某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是
科技处李强,我的邮箱密码忘记了,现在打不开邮件,我着急收个邮件,麻烦你先帮我把密
码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电考的要求。后来,李
强发现邮箱系统登录异常。请问以下说法哪个是正确的?
A,小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题
B,事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器。 C,单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作
D,事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件服务软件 174,以下哪个属性不会出现在防火墙的访问控制策略配置中? A.本局域网内地址 B.百度服务器地址 C.HTTP 协议 D.病毒类型
175,S 公司在全国有20 个分支机构,总部有10 台服务器、200 个用户终端,每个分支机构都有一台服务器、100 个左右用户终端,通过专网进行互联互通。公司招标的网络设计方案中,四家集成商给出了各自的IP 地址规划和分配的方法,作为评标专家,请给S 公司选出设计最合理的一个:
A.总部使用服务器、用户终端统一作用10.0.1.X、各分支机构服务器和用户终端使用192.168.2.X~192.168.20.X
B.总部使用服务器使用10.0.1.1~11、用户终端使用10.0.1.12~212,分支机构IP 地址随意确定即可
C.总部服务器使用10.0.1.X、 用户终端根据部门划分使用10.0.2.X、 每个分支机构分配两个A 类地址段,一个用做服务器地址段、另外一个做用户终端地址段 D.因为通过互联网连接,访问的是互联网地址,内部地址经NAT 映射,因此IP 地址无
需特别规划,各机构自行决定即可 176.windows 文件系统权限管理作用访问控制列表(Access Control List.ACL)机制,
以下哪个说法是错误的:
A.安装Windows 系统时要确保文件格式使用的是NTFS ,因为Windows 的ACL 机制需要NTFS 文件格式的支持
B.由于windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限 ,为了作用上的便利,Windows 上的ACL 存在默认设置安全性不高的问题
C.windows 的ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D.由于ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限 177:某linux 系统由于root 口令过于简单,被攻击者猜解后获得了root 口令,发现被攻击后,管理员更改了root 口令,并请安全专家对系统进行检测,在系统中发现有一个文件
的权限如下 -r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh 请问以下描述哪 个是正确 的:
A.该文件是一个正常文件,test 用户使用的 shell,test 不能读该文件,只能执行
B.该文件是一个正常文件,是test 用户使用的shell,但test 用户无权执行该文件
C.该文件是一个后门程序 ,该文件被执行时,运行身份是root ,test 用户间接获得了root 权限
D.该文件是一个后门程序 ,由于所有者是test ,因此运行这个文件时文件执行权限为test
178.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE 是微软SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施DDos 攻击,降低网站访问速度
B.网站使用http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄漏,例如购买的商品金额等
C.网站使用http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改 D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
179.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP 地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:
A.网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面
增大,产生此安全问题
B.网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
C.网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D.网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
180.微软提出了STRIDE 模型,其中R 是Repudiation(抵赖)的缩写,关于此项安全要求下面描述错误的是
A.某用户在登录系统并下载数据后,却声称“我没有下载过数据”软件系统中的这种威胁就属于R 威胁
B.解决R 威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C.R 威胁是STRIDE 六种威胁中第三严重的威胁,比D 威胁和E 威胁的严重程度更高
D.解决R 威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
181.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1 算法加密后存放在后台数据库中,请问以上安全设计遵循的 是哪项安全设计原则: A.最小特权原则 B.职责分离原则 C.纵深防御原则
D.最少共享机制原则
182.以下关于威胁建模流程步骤说法不正确的是
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁 B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受
损后果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁。 D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞。
183.为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是 A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行
系统和数据备份,以便出现问题时可以及时恢复系统和数据
B.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
C.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤 D.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
184.某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年底前实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理,招标文件经管理层审批后发布。就此工程项目而言,以下正确的是
A.此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和 50 可行性
B.在工程安全监理的参与下,确保了此招标文件的合理性 C.工程规划不符合信息安全工程的基本原则
D.招标文件经管理层审批,表明工程目标符合业务发展规划
185.有关系统工程的特点,以下错误的是
A.系统工程研究问题一般采用先决定整体框架,后进入详细设计的程序
B.系统工程的基本特点,是需要把研究对象解构为多个组成部分分别独立研究 C.系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知
识结构合理的专家体系
D.系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的
理论和方法
186.有关能力成熟度模型(CMM)错误的理解是 A.CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率 B.CMM 的思想来源于项目管理和质量管理
C.CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
D.CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”
187.在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全 配置内容()?
A.不在Windows 下安装Apache,只在Linux 和Unix 下安装 B.安装Apache 时,只安装需要的组件模块
C.不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运