标签:信息安全 安全 答案 软件 题库 NISP 解析 100 日志
1.下列关于用户口令说法错误的是( )。
A.口令不能设置为空
B.口令长度越长,安全性越高
C.复杂口令安全性足够高,不需要定期修改
D.口令认证是最常见的认证机制
答案:C
2.下列关于木马病毒的特性,不正确的是( )。
A.隐蔽性
B.主动传播性
C.自动运行性
D.破坏性
答案:B
3.在信息系统中,( )是在为系统资源提供最大限度共享的基础上对用户的访问权进行管理。
A.身份认证
B.安全审计
C.访问控制
D.数字证书
答案:C
4.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:( )。
A.口令
B.令牌
C.知识
D.密码
答案:B
5.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?( )
A.分布式拒绝服务攻击(DDoS)
B.病毒传染
C.口令暴力破解
D.缓冲区溢出攻击
答案:C
6.下面不属于常用的浏览器的安全措施的是( )。
A.删除和管理Cookies
B.不点击网站的广告
C.禁用ActiveX控件
D.删除浏览器历史纪录
答案:B
7.以下不能设置口令加密的文件是( )。
A.ZIP
B.PPT
C.PDF
D.TXT
答案:D
8.以下对异地备份中心的理解最准确的是:( )。
A.与生产中心不在同一城市
B.与生产中心距离10公里以上
C.与生产中心距离100公里以上
D.与生产中心面临相同区域性风险的机率很小
答案:D
9.关于信息安全事件管理和应急响应,以下说法错误的是:( )。
A.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段
C.对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)
答案:B
10.以下对于信息安全事件理解错误的是:( )。
A.信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
答案:D
11.有关危害国家秘密安全的行为的法律责任,正确的是:( )。
A.严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.承担了刑事责任,无需再承担行政责任和/或其他处分
答案:A
12.金女士经常通过计算机在互联网上购物从安全角度看下面哪项是不好的操作习惯( )。
A.使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级
B.为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
C.在IE的配置中,设置只能下载和安装经过签名的,安全的ActiveX控件
D.在使用网络浏览器时,设置不在计算机中保留网络历史纪录和表单数据
答案:A
13.在设计信息系统安全保障方案时,以下哪个做法是错误的:( )。
A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案障碍
答案:C
14.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:复位账户锁定计数器5分钟账户锁定时间10分钟账户锁定阀值3次无效登陆以下关于以上策略设置后的说法哪个是正确的( )。
A.设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B.如果正常用户部小心输错了3次密码,那么该账户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统
C.如果正常用户不小心连续输入错误密码3次,那么该拥护帐号被锁定5分钟,5分钟内即使交了正确的密码,也无法登录系统
D.攻击者在进行口令破解时,只要连续输错3次密码,该账户就被锁定10分钟,而正常拥护登陆不受影响
答案:B
15.为了防御网络监听,最常用的方法是( )。
A.采用物理传输(非网络)
B.信息加密
C.无线网
D.使用专线传输
答案:B
16.在网络安全中,在未经许可的情况下,对信息进行删除或修改,这是对( )的攻击。
A.可用性
B.保密性
C.完整性
D.真实性
答案:C
17.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于( )漏洞。
A.拒绝服务
B.文件共享
C.BIND漏洞
D.远程过程调用
答案:A
18.针对窃听攻击采取的安全服务是()。
A.鉴别服务
B.数据机密性服务
C.数据完整性服务
D.抗抵赖服务
答案:B
19.通过截取以前的合法记录稍后重新加入一个连接,叫做重放攻击,为防止这种情况,可以采用的方法是( )。
A.加密
B.加入时间戳
C.认证
D.使用密钥
答案:B
20.能完成不同的VLAN之间数据传递的设备是( )。
A.中继器
B.二层交换器
C.网桥
D.路由器
答案:D
21.在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密
B.数字签名
C.访问控制
D.路由控制
答案:B
解析:数字签名可以提供抗抵赖、鉴别和完整性。
22.某公司已有漏洞扫描和入侵检测系统(Intrusion Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
A.选购当前技术最先进的防火墙即可
B.选购任意一款品牌防火墙
C.任意选购一款价格合适的防火墙产品
D.选购一款同已有安全产品联动的防火墙
答案:D
解析:在技术条件允许情况下,可以实现IDS和FW的联动。
23.在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?
A.网络层
B.表示层
C.会话层
D.物理层
答案:A
解析:网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。
24.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全哪项原则
A.最小权限
B.权限分离
C.不信任
D.纵深防御
答案:B
解析:权限分离是将一个较大的权限分离为多个子权限组合操作来实现。
25.以下关于互联网协议安全(InternetProtocolSecurity,IPSec)协议说法错误的是:
A.在传送模式中,保护的是IP负载。
B.验证头协议(AuthenticationHeader,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作。
C.在隧道模式中,保护的是整个互联网协议IP包,包括IP头。
D.IPSec仅能保证传输数据的可认证性和保密性。
答案:D
解析:IPSEC可以提供身份鉴别、保密性、完整性、抗抵赖、访问控制服务。
26.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
答案:D
解析:A属于可用性;B保密性;C属于完整性。
27.以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是:
A.PGP可以实现对邮件的加密、签名和认证
B.PGP可以实现数据压缩
C.PGP可以对邮件进行分段和重组
D.PGP采用SHA算法加密邮件
答案:D
解析:SHA不提供加密,SHA是摘要算法提供数据完整性校验。
28.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特点?
A.串接到网络线路中
B.对异常的进出流量可以直接进行阻断
C.有可能造成单点故障
D.不会影响网络性能
答案:D
解析:IPS在串联情况下,会影响网络性能。
29.相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?
A.NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题,而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作
B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限
C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率
D.相比FAT文件系统,NTFS文件系统能有效的兼容linux下EXT2文件格式
答案:D
解析:NTFS不能兼容EXT文件系统。
30.某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
A.网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B.严格设置Web日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间
答案:A
解析:在多重备份存储情况下,可以防护日志被篡改的攻击(前提非实时同步)。
31.关于linux下的用户和组,以下描述不正确的是( )。
A.在linux中,每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
答案:C
解析:一个用户可以属于多个组。
32.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?( )
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
答案:B
解析:操作系统和应用安全装应分开不同磁盘部署。
33.在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?( )
A.粒度越小
B.约束越细致
C.范围越大
D.约束范围大
答案:A
解析:数据粒度越细则授权策略越灵活便利。
34.下列哪一些对信息安全漏洞的描述是错误的?
A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点
答案:D
解析:漏洞是人为故意或非故意引入的弱点。
35.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS)
B.病毒传染
C.口令暴力破解
D.缓冲区溢出攻击
答案:C
解析:账号锁定是为了解决暴力破解攻击的。
36.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP协议是一个无状态的协议
B.为提高效率,ARP信息在系统中会缓存
C.ARP缓存是动态的,可被改写
D.ARP协议是用于寻址的一个重要协议
答案:D
解析:D不是导致欺骗的根源。
37.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?
A.口令攻击
B.暴力破解
C.拒绝服务攻击
D.社会工程学攻击
答案:D
解析:D属于社会工程学攻击。
38.关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
答案:C
解析:设计阶段是发现和改正问题的最佳阶段。
39.在软件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:
A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程与活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
答案:D
解析:SAMM模型四个部分是治理、构造、验证和部署。
40.从系统工程的角度来处理信息安全问题,以下说法错误的是:系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
A.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
B.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
C.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
答案:C
解析:SSE-CMM是面向工程过程质量控制的一套方法。
41.以下网络地址中属于B类的可用IP地址的是( )。
A.192.12.31.2
B.191.12.255.255
C.55.32.255.0
D.128.34.255.9
答案:D
42.关于虚拟局域网VLAN的论述中,错误的是( )。
A.每个VLAN组成一个逻辑上的广播域
B.VLAN不能控制广播风暴
C.能够提高网络的整体安全性
D.VLAN是被创建的逻辑网络
答案:B
43.在多媒体计算机系统中,不能存储多媒体信息的是( )。
A.光盘
B.光缆
C.磁带
D.磁盘
答案:B
44.用IE浏览上网时,要进入某一网页,可在IE的URL栏中输入该网页的( )。
A.只能是IP地址
B.只能是域名
C.实际的文件名称
D.IP地址或域名
答案:D
45.“www.itsec.gov.cn”是Internet中主机的( )。
A.硬件编码
B.密码
C.软件编码
D.域名
答案:D
46.IP地址能唯一地确定Internet上每台计算机与每个用户的( )。
A.距离
B.费用
C.位置
D.时间
答案:C
47.TCP/IP协议是Internet中计算机之间通信所必须共同遵循的一种( )。
A.信息资源
B.通信规定
C.软件
D.硬件
答案:B
48.如果一个单位的两个部门各有一个局域网,那么将它们互连的最简单的方法是使用( )
A.网关
B.中继器
C.交换机
D.路由器
答案:C
49.100BASE-T规定,Hub通过RJ45接口与计算机连线距离不超过( )米。
A.50米
B.100米
C.150米
D.185米
答案:B
50.在运行Windows的计算机中配置网关,类似于在路由器中配置( )。
A.直接路由
B.默认路由
C.静态路由
D.动态路由
答案:C
51.下列域名中,表示教育机构的是( )。
A.ftp.xxxt
B.ftp.xxx.cn
C.www.xxx.cn
D.www.xxx.edu.cn
答案:D
52.IP地址是由4段十进制数字组成的,它们代表了( )位二进制数字。
A.8
B.16
C.32
D.64
答案:C
53.Internet实现了分布在世界各地的各类网络的互联,其中最基础和核心的协议是( )。
A.TCP/IP
B.FTP
C.HTML
D.HTTP
答案:A
54.有关共享式与交换式以太网拓扑结构的论述,正确的是( )。
A.共享式的逻辑拓扑为星型,物理拓扑为星型。
B.交换式的逻辑拓扑为总线型,物理拓扑为星型。
C.共享式的逻辑拓扑为星型,物理拓扑为总线型。
D.交换式的逻辑拓扑为星型,物理拓扑为星型。
答案:D
55.在( )网络模式中,客户机通过浏览器的HTTP协议提出服务请求,并将返回的信息通过浏览器提供给网络客户。
A.C/S
B.B/S
C.Peer-to-peer
D.主机-终端机
答案:B
56.域名系统DNS的作用是( )。
A.存放主机域名
B.将域名转换成IP地址
C.存放IP地址
D.存放邮件的地址表
答案:B
57.在TCP/IP模型中与OSI模型网络层对应的是( )。
A.网络接口层
B.网际层
C.传输层
D.应用层
答案:B
58.IPv4地址共分为( )个主类。
A.2
B.3
C.4
D.5
答案:D
59.192.168.1.0/24使用掩码255.255.255.240划分子网,其可用子网数为( ),每个子网内可用主机地址数为( )。
A.14 14
B.16 14
C.254 6
D.14 62
答案:B
60.子网掩码为255.255.0.0,下列哪个IP地址不在同一网段中( )。
A.172.25.15.201
B.172.25.16.15
C.172.16.25.16
D.172.25.201.15
答案:C
61.B类地址子网掩码为255.255.255.248,则每个子网内可用主机地址数为( )。
A.10
B.8
C.6
D.4
答案:C
62.对于C类IP地址,子网掩码为255.255.255.248,则能提供子网数为( )。
A.16
B.32
C.30
D.128
答案:B
63.三个网段如下所示:192.168.1.0/24,192.168.2.0/24,192.168.3.0/24能够汇聚成下面哪个网段( )。
A.192.168.1.0/22
B.192.168.2.0/22
C.192.168.3.0/22
D.192.168.0.0/22
答案:D
64.IP地址219.25.23.56的主类子网掩码有几位( )。
A.8
B.16
C.24
D.32
答案:C
65.某公司申请到一个C类IP地址,但要连接6个子公司,最大的一个子公司有26台计算机,每个子公司在一个网段中,则子网掩码应设为( )。
A.255.255.255.0
B.255.255.255.128
C.255.255.255.192
D.255.255.255.224
答案:D
66.一台IP地址为10.110.9.113/21主机在启动时发出的广播IP是( )。
A.10.110.9.255
B.10.110.15.255
C.10.110.255.255
D.10.255.255.255
答案:B
67.系统的主要功能有( )。
A.进程管理、存储器管理、设备管理、处理机管理
B.虚拟存储管理、处理机管理、进程调度、文件系统
C.处理机管理、存储器管理、设备管理、文件系统
D.进程管理、中断管理、设备管理、文件系统
答案:C
68.在同一个信道上的同一时刻,能够同时进行双向数据传送的通信方式是( ).
A.单工
B.半双工
C.全双工
D.广播
答案:C
69.在网络互连中,在网络层实现互连的设备是( )。
A.中继器
B.路由器
C.网桥
D.网关
答案:B
70.一个VLAN可以看作是一个( )。
A.冲突域
B.广播域
C.管理域
D.阻塞域
答案:B
71.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是( )。
A.身份鉴别是授权控制的基础
B.身份鉴别一般不提供双向的认证
C.目前一般采用基于对称秘钥加密或公开密钥加密的方法
D.数字签名机制是实现身份鉴别的重要机制
答案:B
72.与计算机硬件关系最密切的软件是( )。
A.编译程序
B.数据库管理程序
C.游戏程序
D.OS
答案:D
73.按照应用领域对操作系统进行划分,不包含以下哪一种( )。
A.桌面操作系统
B.批处理操作系统
C.服务器操作系统
D.嵌入式操作系统
答案:B
74.用户在设置口令时,以下原则哪个是错误的( )。
A.严禁使用与账号相同或相似的口令
B.不要使用与个人有关的信息作为口令内容
C.不要设置短于6个字符或仅包含字母或数字的口令
D.可以使用空口令
答案:C
75.下列关于CA的说法错误的是( )。
A.CA是负责发布证书的一组机构
B.CA负责为用户分配公共密钥和私人密钥
C.CA可分为企业CA和独立CA
D.根CA可以没有证书
答案:D
76.在NTFS文件系统中,如果一个共享文件夹的共享权限和NTFS权限发生了冲突,那么以下说法正确的是:( )。
A.共享权限优先NTFS权限
B.系统会认定最少的权限
C.系统会认定最多的权限
D.以上都不是
答案:B
77.在NTFS的权限中,修改权限不包括以下下列哪个权限( )。
A.读取
B.列出文件及目录
C.拒绝访问
D.写入
答案:C
78.( )是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私有性。
A.SET
B.DDN
C.VPN
2D.PKIX
答案:C
79.下列关于操作系统的说法,不正确的是:( )。
A.操作系统为用户提供两种接口:命令接口和程序接口
B.常见的个人操作系统有Windows系列和Linux系列
C.Linux系统是一款闭源操作系统
D.操作系统在计算机系统中位于硬件和应用软件之间,所以,操作系统既面向系统资源又面向用户
答案:C
80.下列关于漏洞的说法,不正确的是( )。
A.漏洞是指计算机系统在硬件、软件、协议的设计、具体实现以及系统安全策略上存在的缺陷和不足
B.安全漏洞是信息安全的核心问题
C.漏洞狭义的概念是指软件程序漏洞或缺陷
D.为了防止计算机的漏洞被黑客利用,我们可以关掉计算机的“自动更新”功能
答案:D
81.以下哪一项不属于恶意代码( )。
A.病毒
B.蠕虫
C.宏
D.特洛伊木马
答案:C
82.下列关于计算机病毒说法错误的是( )。
A.有些病毒仅能攻击某一种操作系统,如Windows
B.病毒一般附着在其他应用程序之后
C.每种病毒都会给用户造成严重后果
D.有些病毒能损坏计算机硬件
答案:C
83.以下哪一项是伪装成有用程序的恶意软件?( )
A.计算机病毒
B.特洛伊木马
C.逻辑炸弹
D.蠕虫程序
答案:B
84.我国正式公布了电子签名法,数字签名机制用于实现( )需求。
A.抗否认
B.保密性
C.完整性
D.可用性
答案:A
85.在Windows系统中可以察看开放端口情况的是:( )。
A.Nbtstat
B.Net
C.Netshow
D.Netstat
答案:D
86.下列安全防护配置措施不正确的是( )。
A.关闭系统审核策略
B.开启操作系统口令策略
C.关闭系统不必要的端口
D.开启防火墙和杀毒软件
答案:A
87.Windows系统下的用于存储用户名的文件是()。
A.SECRET
B.PASSWD
C.USERNAMES
D.SAM
答案:D
88.下列不属于本地安全策略的是( )。
A.账户策略
B.组策略
C.本地策略
D.高级安全Windows防火墙
答案:B
89.打开命令行界面后,查看本机IP地址的命令是( )。
A.ipconfig
B.netstat
C.tracert
D.route
答案:A
90.下列关于防火墙的说法正确的是( )。
A.入栈规则即你的电脑连接其他主机的规则
B.出站规则即其他主机连入你的电脑的规则
C.默认情况下防火墙允许所有传出连接
D.默认情况下防火墙允许所有传入连接
答案:C
91.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建设,作为安全专家,请指出大家提的建议中不太合适的一条:
A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
C.要求软件开发商使用Java而不是ASh.llP作为开发语言,避免SQL注入漏洞
D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对数据进行校验
答案:C
解析:SQL注入与编码SQL语法应用和过滤有关,与开发语言不是必然关系。
92.在软件保障成熟度模型(SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能
A.治理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程和活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
答案:D
解析:SAMM包括治理、构造、验证、部署。
93.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是( )
A.软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题
B.应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少的多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段
D.软件的安全测试也很重要,考虑到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
答案:B
94.下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的( )
A.设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库
B.使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文
答案:C
95.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是
A.0.00049 B.0.049 C.0.49 D.49
答案:C
解析:千行代码缺陷率计算公式,145/(29.5*10)=0.49。
96.某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?
A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B.为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险
C.日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机不记录日志
D.只允许特定IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
答案:D
解析:D的特定IP地址从前置机提取降低了开放日志共享的攻击面。
97.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需求考虑的攻击方式
A.攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B.攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通IDC人员,将某软件运行服务器的网线拔掉导致无法访问
答案:D
解析:D为社会工程学攻击。
98.某网站为了开发的便利,使用SA链接数据库,由于网站脚本中被发现存在SQL注入漏洞,导致攻击者利用内置存储过程XP.cmctstell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:
A.权限分离原则
B.最小特权原则
C.保护最薄弱环节的原则
D.纵深防御的原则
答案:B
解析:SA是数据库最大用户权限,违反了最小特权原则。
99.微软提出了STRIDE模型,其中Repudation(抵赖)的缩写,关于此项安全要求,下面描述错误的是( )
A.某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R威胁
B.解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C.R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D.解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
答案:C
解析:STRIDE代表6种威胁的简称,无严重程度之分。S-欺骗,T-篡改,R-抵赖,I-信息泄露,D-拒绝服务,E-权限提升(攻击)。
100.关于信息安全管理,下面理解片面的是( )
A.信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B.信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C.信息安全建设中,技术是基础,管理是拔高,既有效的管理依赖于良好的技术基础
D.坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
答案:C
解析:C是片面的,应为技管并重。
标签:信息安全,安全,答案,软件,题库,NISP,解析,100,日志 来源: https://blog.csdn.net/Suprman88/article/details/120602379
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。