国家信息安全水平等级考试NISP二级题目卷(一)
国家信息安全水平等级考试NISP二级题目卷(一)
1.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()
A.定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B.定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C.定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D.定性风险分析更具主观性,而定量风险分析更具客观性
答案:B
解析:定性分析也是风险评估方法的一种,大部分情况下选择定性分析和定量分析相结合的方式,而不是不选择定性风险分析。
2.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是( )
A.信息安全风险评估分自评估、检查评估两形式,应以检查评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效‘的原则开展
C.信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
答案:A
解析:自评为主,检查为辅
3.某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是
A.所选择的特征(指纹)便于收集、测量和比较
B.每个人所拥有的指纹都是独一无二的
C.指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
D.此类系统一般由用户指纹信息采集和指纹信息识别两部分组成答案:C
解析:指纹识别系统存在安全威胁问题,同时存在着错误拒绝率和错误接受率的问题。
4.在密码学的 Kerchhof 假设中,密码系统的安全性仅依赖于_______。
A.明文
B.密文
C.密钥
D.信道
答案;C
解析:柯克霍夫原则:密码系统的安全性依赖于密钥而不依赖于算法。
5.关于 linux 下的用户和组,以下描述不正确的是
A.在 linux 中,每一个文件和程序都归属于一个特定的“用户”
B.系统中的每一个用户都必须至少属于一个用户组
C.用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
D.root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
答案:C
解析:一个用户可以属于多个组。
6.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?
A.口令攻击B.暴力破解
C.拒绝服务攻击
D.社会工程学攻击
答案:D
解析:D 属于社会工程学攻击。
7.SARSA 模型包括(),它是一个(),它在第一层从安全的角度定义了()。模型的每一层在抽象方面逐层减少,细节逐层增加,因此,它的层级都是建在其他层之上的,从策略逐渐到技术和解决方案的()。其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的( )
A.五层;业务需求;分层模型;实施实践;安全链条
B.六层;分层模型;业务需求;实施实践;安全链条
C.五层;分层模型;业务需求;实施实践;安全链条
D.六层;分层模型;实施实践;业务需求;安全链条
答案;B
解析:SABSA 舍伍德模型六层模型,从安全角度定义了业务需求
8.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害都的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动,这防范此类木马后门的攻击,以下做法无用的是()
A.不下载,不执行、不接收不来历明的软件
B.不随意打开来历不明的邮件,不浏览不健康不正规的网站
C.使用共享文件夹
D.安装反病毒软件和防火墙,安装专门的木马防治软件
答案:C
解析:使用共享文件夹不是一种防范措施
9.GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出,建立信息安全管理体系应参照 PDCA 模型进行,即信息安全管理体系应包括建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程,并在这些过程中应实施若干活动,请选出以下描述错误的选项()
A.“制定 ISMS 方针”是建产 ISMS 阶段工作内容
B.“实施培训和意识教育计划“是实施和运行 ISMS 阶段工作内容
C.“进行有效性测量”是监视和评审 ISMS 阶段工作内容
D.“实施内部审核”是保护和改进 ISMS 阶段工作内容
答案:D
解析:“实施内部审核”是监视和评审阶段的工作内容。P98 页
10.终端访问控制器访问控制系统(Terminal Access Controller
Access-Control System,TACACS)由 RFC1492 定义,标准的 TACACS 协议只认证用户是否可以登录系统,目前已经很少使用,TACACS+协议由 Cisco 公司提出,主要应用于 Ciso 公司的产品中,运行与 TCP 协议之上。TACACS+协议分为()两个不同的过程
A.认证和授权
B.加密和认证
C.数字签名和认证
D.访问控制和加密
答案:A
解析:P304 页
11.从 Linux 内核 2.1 版开始,实现了基于权能的特权管理机制,实现了对超级用户的特权分割,打破了 UNIX/LINUX 操作系统中超级用户/普通用户的概
念,提高了操作系统的安全性。下列选项中,对特权管理机制的理解错误的是()。
A.进程可以放弃自己的某些权能
B.普通用户及其 shell 没有任何权能,而超级用户及其 shell 在系统启动之初拥有全部权能
C.当普通用户的某些操作设计特权操作时,仍然通过 setuid 实现
D.系统管理员可以剥夺和恢复超级用户的某些权能
答案:D
解析:在 Linux 操作系统中,root 用户是最高权限用户,系统管理员不可以剥夺和恢复超级用户的某些权能
12.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是()。
A.粒度最小策略,将数据库中的数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度
B.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
C.按内容存取控制策略,不同权限的用户访问数据库的不同部分
D.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息
答案:D
解析:数据库安全一般遵循最小化原则。
13.《信息安全保障技术框架》(Information Assurance Technical Framework,IATF)是由()发布的。
A.中国
B.美国
C.欧盟
D.俄罗斯
答案:B。
解释:信息安全保障技术框架由美国国家安全局发布,一般由英文翻译过来的大多数都是美国人弄出来的。P28 页。
14.小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()。
A.BLP 模型
B.Biba 模型
C.能力表(CL)
D.访问控制列表(ACL)
答案:D
解析:目前 Wiondows 和 linux 操作系统使用的都是 ACL,访问控制表(ACL)是在每个文件下面附着一个客户权限表,正常情况下一个系统客户数再多也不会有文件的数量多,所以选 D;而 BLP 模型、Biba 模型属于强制访问控制模型,与题干不符。P307 页。
15.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是()。
A.放弃风险
B.规避风险
C.降低风险
D.转移风险
答案:B
解析:风险规避:在某些情形下,变更、延缓或停止某种服务或业务功能,可能是合适的方法。根据题干“建议放弃这个功能模块”判断为风险规避。P143 页。
16.小张新购入了一台安装了 Windows 操作系统的笔记本电脑。为了提升操作系统的安全性,小张在 Windows 系统中的“本地安全策略”中,配置了四类安全策略:账号策略、本地策略、公钥策略和 IP 安全策略。那么该操作属于操作系统安全配置内容中的()。
A.关闭不必要的端口
B.关闭不必要的服务
C.查看日志记录
D.制定安全策略
答案:D
解析:该操作是指:配置了四类安全策略:账号策略、本地策略、公钥策略和IP 安全策略
17.某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该网络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人计算机开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给这个人的计算机。他关机时,管理中心将该地址收回,并重新设置为未分配。可见,只要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机可以获取一个 IP 地址,并实现与互联网的连接。该公司使用的 IP 地址规划方式是()。
A.静态 NAT 分配地址
B.端口 NAT 分配地址
C.静态分配地址
D.动态分配地址
答案:D
解析:动态 IP 地址(Dynamic IP)指的是在需要的时候才进行 IP 地址分配的方式,“只要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机可以获取一个 IP 地址”显然属于动态分配地址。
18.Kerberos 协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担。Kerberos 的运行环境由密钥分发中心(KDC)、应用服务器和客户端三个部分组成。其中,KDC 分为认证服务器 AS 和票据授权服务器 TGS 两部分。下图展示了 Kerberos 协议的三个阶段,分别为(1)Kerberos获得服务许可票据,(2)Kerberos 获得服务,(3)Kerberos 获得票据许可票据。下列选项中,对这三个阶段的排序正确的是()。
A.(1)→(2)→(3)
B.(2)→(1)→(3)
C.(3)→(2)→(1)
D.(3)→(1)→(2)
答案:D
解析:Kerberos 基本认证过程分为三个阶段:第一阶段:获得票据许可票据;第二阶段:获得服务许可票据;第三阶段:获得服务。P301 页。
19.PKI 的主要理论基础是()。
A.摘要算法
B.对称密码算法
C.量子密码
D.公钥密码算法
答案:D
解析:PKI(公钥基础设施),也称公开密钥基础设施。P286 页。
20. 信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的(客观证据),向信息系统的所有相关方提供信息系统的(安全保障工作)能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是(信息系统),信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程,涉及信息系统整个(生命周期),因此信息系统安全保障的评估也应该提供一种(动态持续)的信心。
A.客观证据;安全保障工作;动态持续;信息系统;生命周期
B.安全保障工作;客观证据;信息系统;生命周期;动态持续
C.客观证据;安全保障工作;信息系统;生命周期;动态持续
D.客观证据;安全保障工作;生命周期;信息系统;动态持续
答案:C
解析:P33 页。
21.老王是某政府信息中心主任。以下哪项项目是符合《保守国家秘密法》要求的()
A.老王要求下属小张把中心所有计算机贴上密级标志
B.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用
C.老王安排下属小李将损害的涉密计算机的某国外品牌硬盘送到该品牌中国区维修中心修理
D.老王每天晚上 12 点将涉密计算机连接上互联网更新杀毒软件病毒库
答案:B
解析:保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行(三同步)。P57 页,A 项非涉密计算机不应贴涉密标识,C 涉密计算机应送往有涉密资质的维修中心,D 项目涉密计算机不上网。
22.以下关于 Web 传输协议、服务端和客户端软件的安全问题说法不正确的是()。
A.HTTP 协议主要存在明文传输数据、弱验证和缺乏状态跟踪等方面的安全问题
B.Cookie 是为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据,用户可以随意查看存储在 Cookie 中的数据,但其中的内容不能被修改
C.HTTP 协议缺乏有效的安全机制,易导致拒绝服务、电子欺骗、嗅探等攻击
D.针对 HTTP 协议存在的安全问题,使用 HTTPS 具有较高的安全性,可以通过证书来验证服务器的身份,并为浏览器和服务器之间的通信加密
答案:B
解析:Cookie 是为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据,用户不可以随意查看存储在 Cookie 中的数据,查看 cookie 必须安装专用的插件也行。P376 页。
23.随机进程名称是恶意代码迷惑管理员和系统安全检查人员的技术手段之一,以下对于随机进程名技术,描述正确的是()。
A.随机进程名技术每次启动时随机生成恶意代码进程名称,通过不固定的进程名称使自己不容易被发现真实的恶意代码程序名称
B.恶意代码生成随机进程名称的目的是使进程名称不固定,因为杀毒软件是按照进程名称进行病毒进程查杀
C.恶意代码使用随机进程名是通过生成特定格式的进程名称,使进程管理器中看不到恶意代码的进程
D.随机进程名技术虽然每次进程名都是随机的,但是只要找到了进程名称,就找到了恶意代码程序本身
答案:A
解析:B 恶意代码生成随机进程名称的目的是使进程名称不固定,杀毒软件是按照特征码扫描和行为检测进行病毒进程查杀;C 恶意代码使用随机进程名是通过生成特定格式的进程名称,进程管理器中可以所有的进程;D 找到恶意代码进程名称不意味能找到程序本身以及存储路径。P370。
24.()第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照()实行分级保护。()应当按照国家保密标准配备保密设施、设备。()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)。涉密信息系统应当按照规定,经()后,方可投入使用。
A.《保密法》;涉密程度;涉密信息系统;保密设施;检查合格
B.《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格
C.《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
D.《网络保密法》;涉密程度;涉密系统;保密设施;检查合格
答案:A
解析:《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)。涉密信息系统应当按照规定,经检查合格后,方可投入使用。P57 页。
25.有关能力成熟度模型(CMM),错误的理解是()。
A.CMM 的思想来源于项目管理、质量管理和过程管理
B.CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
C.CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”
D.CMM 的思想不关注结果,而是强调了过程的控制,过程如果是高质量的,结果通常会是高质量的
答案:A
解析:CMM 的思想来源于已有多年历史的项目管理、质量管理,自产生以来几经修订,成为具有广泛影响的模型。P178 页。
26.以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全。()
A.信息安全管理体系(ISMS)
B.信息安全等级保护
C.ISO 270000 系列
D.NIST SP800
答案:B
解析:信息安全等级保护制度(等保)是一项强制性基础制度。P75 页。
27.一个信息管理系统通常会对用户进行分组并实施访问控制。例如,在一个学校的教务系统中,教师能够录入学生的考试成绩,学生只能查看自己的分数,而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中,对访问控制的作用的理解错误的是()。
A.对经过身份鉴别后的合法用户提供所有服务
B.在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理
C.拒绝非法用户的非授权访问请求
D.防止对信息的非授权篡改和滥用
答案:A
解析:访问控制的核心:允许合法用户的授权访问,防止非法用户的访问和合法用户的越权访问。。P304 页。
28.由于 Internet 的安全问题日益突出,基于 TCP/IP 协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于或依附于传输层的安全协议是()。
A.IPSec
B.PP2P
C.L2TP
D.SSL
答案:D
解析:IPSec 工作在网络层,PP2P 和 L2TP 工作在数据链路层,SSL 工作在传输层。P338 页。
29.关于信息安全管理体系(Information Security Management Systems,ISMS),下面描述错误的是( )。
A.概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照 ISO27001 标准定义的管理体系,它是一个组织整体管理体系的组成部分
B.信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实践要素
C.同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容
D.管理体系(Management Systems)是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用
答案:C
解析:虽然信息安全管理体系建设回提出一些技术要求,但是并没有完整的要求构建技术防护体系。
30.公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述了终端实体(用户)从认证权威机构CA 申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项()
A.OCSP
B.证书库
C.CRL 库
D.RA
答案:D
解析:PKI 由:CA、RA、证书库和终端实体等部分。P286 页
31.私有 IP 地址是一段保留的 IP 地址。只使用在局域网中,无法在Internet 上使用。关于私有地址,下面描述正确的是()。
A.A 类地址中没有私有地址,B 类和 C 类地址中可以设置私有地址
B.A 类、B 类和 C 类地址中都可以设置私有地址
C.A 类和 B 类地址中没有私有地址,C 类地址中可以设置私有地址
D.A 类、B 类和 C 类地址中都没有私有地址
答案:B
解析:私有地址就是在互联网上不使用,而被用在局域网络中的地址。A、B、C类地址中均可设置是由地址,其中:A类私有地址是10.0.0.0到10.255.255.255;B 类私有地址 172.16.0.0 到 172.31.255.255;C 类私有地址是 192.168.0.0 到192.168.255.255。
32.2016 年 10 月 21 日,美国东部地区发生大规模断网事件,此次事件是由于美国主要 DNS 服务商 Dyn 遭遇大规模 DDos 攻击所致,影响规模惊人,对人们生产生活 造成严重影响。DDoS 攻击的主要目的是破坏系统的()。
A.抗抵赖性
B.保密性
C.可用性
D.不可否认性
答案:C
解析:DDOS(分布式拒绝服务攻击)主要攻击目标所提供的服务,以破坏可用性为主要目的。P350 页。
33.关于计算机取证描述不正确的是()。
A.取证的目的包括:通过证据查找肇事者、通过证据推断犯罪过程、通过证据判断受害者损失程度及收集证据提供法律支持
B.计算机取证的过程可以分为准备、保护、提取、分析和提交 5 个步骤
C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品。对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的保护
D.计算机取证是使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动
答案:C
解析:对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的分析。P151 页。
34.为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并将编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告。关于此项工作,下面说法错误的是()。
A.信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据
B.信息安全需求描述报告的主体内容可以按照技术、管理和工程等方面需求展开编写
C.信息安全需求描述报告应当基于信息安全风险评估结果和有关政策法规和标准的合规性要求得到
D.信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写
答案:D
解析:信息安全需求报告不应依据该公众服务信息系统的功能设计方案为主要内容来撰写,而应该依据现有安全现状,痛点以及客户需求来写。
35.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理,应该实施常规的控制措施,不包括哪些选项()
A.与特定利益集团的联系、信息安全的独立评审
B.信息处理设施的授权过程、保密性协议、与政府部门的联系
C.与外部各方相关风险的识别、处理外部各方协议中的安全问题D.信息安全的管理承诺、信息安全协调、信息安全职责的分配
答案:C
解析:C 选项针对组织外部,与题干不符。
36.由于密码技术都依赖于密钥,因此密钥的安全管理是密码技术应用中非常重要的环节,下列关于密钥管理说法错误的是()。
A.在保密通信过程中,通信双方也可利用 Diffie-Hellman 协议协商出会话密钥进行保密通信
B.科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥
C.密钥管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等
D.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性
答案:D
解析:通信双方可以一直使用之前用过的会话密钥,会影响安全性
37.关于信息安全应急响应管理过程描述不正确的是()。
A.应急响应方法和过程并不是唯一的
B.一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结 6 个阶段,这 6 个阶段的响应方法一定能确保事件处理的成功
C.一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结 6 个阶段
D.基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低
答案:B
解析:一定能确保事件处理成功,过于绝对。P152 页。
38.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标()
A.符合安全策略和标准以及技术符合性
B.访问控制的业务要求、用户访问管理
C.符合法律要求
D.信息系统审核考虑答案:B
解析:访问控制的业务要求,用户访问管理不属于符合性常规控制。P127 页。
39.在信息系统中,访问控制是重要的安全功能之一。它的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()。
A.对目录的访问权限可分为读、写和拒绝访问
B.对文件进行操作的用户是一种主体
C.主体可以接收客体的信息和数据,也可以改变客体相关的信息
D.访问权限是指主体对客体所允许的操作
答案:A
解析:对目录的访问模式只有读和写。P305.
40.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号)、关于推动信息安全等级保护()建设和开展()工作的通知(公信安[2010]303 号)等文件,由公安部()对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则()。
A.测评体系;等级测评;等级保护评估中心;能力验证;取消授权
B.等级测评;测评体系;等级保护评估中心;能力验证;取消授权
C.测评体系;等级保护评估中心;能力验证;等级测评;取消授权
D.测评体系;等级保护评估中心;等级测评;能力验证;取消授权
答案:A
41.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()
A.编制应急预案是国家网络安全法对所有单位的强制要求,因此必须建设
B.应急预案是保障单位业务系统信息安全的重要措施
C.应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的手段
D.应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式
答案:A
解析:编制应急响应预案并非对所有单位的强制要求。P150。
42.自主访问控制模型(DAC)的访问控制关系可以用访问控制表(ACL)来表示,该 ACL 利用在客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是()。
A.ACL 在删除用户时,去除该用户所有的访问权限比较方便
B.ACL 在增加客体时,增加相关的访问控制权限较为简单
C.ACL 对于统计某个主体能访问哪些客体比较方便
D.ACL 是 Bell-LaPadula 模型的一种具体实现
答案:B
43.风险,在 GB/T 22081 中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IEC 13335-1 中揭示了风险各要素关系模型,如图所示。请结合此图,怎么才能降低风险对组织产生的影响?()
A.组织应该根据风险建立相应的保护要求,通过构架防护措施降低风险对组织产生的影响
B.加强防护措施,降低风险
C.减少资产降低风险
D.减少威胁和脆弱点,降低风险
答案:A
解析:通过题干,是针对组织产生的影响,B 项不是所有的加强防护措施都可以降低风险,有时候接受风险,转移风险,规避风险都有可能使用;C 项不现实,D 项威胁来自外部,不可控,很难减少,但可以通过减少脆弱性来减少风险,所以选 A。
44.Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护 root 账户、使用网络防火墙和文件权限操作共 10 个方面来完成。小张在学习了 Linux 系统安全的相关知识后,尝试为自己计算机上的 Linux 系统进行安全配置。下列选项是他的部分操作,其中不合理的是()。
A.编辑文件/etc/pam.d/system-auth,设置 auth required pam_tally.so onerr=fail deny=6 unlock_time=300
B.编辑文件/etc/profile,设置 TMOUT=600
C.编辑文件/etc/passwd,检查文件中用户 ID,禁用所有 ID=0 的用户
D.编辑文件/etc/ssh/sshd_config,将 PermitRootLogin 设置为 no
答案:C
解析:ID 为 0 的用户为 root 用户,通常不使用 root 用户远程运维,但也不应本地禁用。
45.金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的操作习惯()
A.使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件、应用软件进行升级
B.为计算机安装具有良好声誉的安全防护软件,包括病毒查杀、安全检查和安全加固方面的软件
C.在 IE 的配置中,设置只能下载和安装经过签名的、安全的 ActiveX 控件
D.在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据
答案:A
解析:安装好软件后应及时对该计算机上的系统软件、应用软件进行升级,以增加操作系统的安全性。
46.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息
(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了。这种向 Web 页面插入恶意 html 代码的攻击方式称为()
A.SQL 注入攻击
B.缓冲区溢出攻击
C.分布式拒绝服务攻击
D.跨站脚本攻击
答案:D
解析:跨站脚本是由于网页支持脚本的执行,而程序员又没有对用户输入的数据进行严格控制,使得攻击者可以向 Web 页面插入恶意 HTML 代码,当用户浏览网页时,嵌入其中的 HTML 代码会被执行,从而实现攻击者的特殊目的。
47.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作( )
A.确认已有的安全措施并赋值
B.脆弱性识别并赋值
C.威胁识别并赋值
D.资产识别并赋值
答案:C
解析:依据资产列表逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值,属于 C 威胁识别并赋值。
48.小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为 400 万元人民币,暴露系数(Exposure Factor,EF)是 25%,年度发生率(Annualized Rate of Occurrence,ARO)为 0.2,那么小王计算的年度预期损失(Annualized Loss Expectancy,ALE)应该是()。
A.100 万元人民币
B.180 万元人民币
C.400 万元人民币
D.20 万元人民币
答案:D
解析:年度预期损失=总价值暴露系数年度发生率即 400*25%*0.2=20 万元
49.为了能够合理、有序地处理安全事件,应事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERF 方法论是一种广泛使用的方法,其将应急响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容( )。
A.检测阶段
B.培训阶段
C.文档阶段
D.报告阶段
答案:A
解析:一种被广为接受的应急响应方法是将应急响应管理过程分为 6 个阶段,为准备->检测->遏制->根除->恢复->跟踪总结。P152 页。
50.以下关于灾难恢复和数据备份的理解,说法正确的是()。
A.依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 7 个等级
B.使用差分备份,数据恢复时只需最后一次的标准备份与差分备份,如果每天都有大量数据变化,差分备份工作非常费时
C.数据备份按数据类型划分可以划分为操作系统备份和数据库备份
D.增量备份是备份从上次完全备份后更新的全部数据文件
答案:B
解析:A 依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 6 个等级;C:数据备份按数据类型划分可以划分为系统数据备份和业务数据备份;D 差分备份是备份从上次完全备份后更新的全部数据文件。
51.与 PDR 模型相比,P2DR 模型则更强调(),即强调系统安全的(),并且以安全检测、()和自适应填充“安全间隙”为循环来提高
A.漏洞监测:控制和对抗:动态性:网络安全
B.动态性:控制和对抗:漏洞监测:网络安全
C.控制和对抗:漏洞监测:动态性:网络安全
D.控制和对抗:动态性:漏洞监测:网络安全
答案:D
解析:P27 页
52.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T 22080 标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标,信息分类控制的目标是为了确保信息受到适当级别的保护,通常采取以上哪项控制措施()
A.资产清单
B.资产责任人
C.资产的可接受使用
D.分类指南,信息的标记和处理
答案:D
解析:P109 页。
53.若一个组织声称自己的 ISMS 符合 ISO/IBC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项()
A.信息安全方针、信息安全组织、资产管理
B.人力资源安全、物理和环境安全、通信和操作管理
C.访问控制、信息系统获取、开发和维护、符合性
D.规划与建立 ISMS
答案:D
解析:P103-128 页。
54.面对过国家秘密定级和范围的描述,哪项不符合《保密法》要求()
A.国家秘密及其密级的具体范围,由国家保密工作部分分别会问外交、公安、国家安全和其他中央有关机关规定
B.各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级
C.对是否属于国家秘密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部分确定
D.对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部分,省,自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的时的保密工作部分或者国家保密工作部门审定的机关确定
答案:C
解析:“可由各单位自行参考国家要求确定和定级”,应由由相应部门认定。
55.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?
A.分布式拒绝服务攻击(DDoS)
B.病毒传染
C.口令暴力破解
D.缓冲区溢出攻击
答案:C
解析:账号锁定是为了解决暴力破解攻击的。
56.在 ISO 的 OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A.加密
B.数字签名
C.访问控制
D.路由控制
答案:B
解析:数字签名可以提供抗抵赖、鉴别和完整性。
57.关于密钥管理,下列说法错误的是()
A.科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性
B.保密通信过程,通信使用之前用过的会话密钥建立会话,不影响通信安全
C.密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D.在网络通信中,通信双方可利用 Diffie-Hellman 协议协商出会话密钥
答案:B
解析:会话密钥不应重复使用,如果使用用过的会影响通信安全。
58.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A 的FTP 服务存在高风险漏洞,随后该单位在风险处理时选择了关闭 FTP 服务的处理措施,请问该措施属于哪种风险处理方式()
A.风险降低
B.风险规避
C.风险转移
D.风险接受
答案:B
解析:关闭 FTP 服务属于风险规避
59.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
A.ARP 协议是一个无状态的协议
B.为提高效率,ARP 信息在系统中会缓存
C.ARP 缓存是动态的,可被改写
D.ARP 协议是用于寻址的一个重要协议
答案:D
解析:D 不是导致欺骗的根源。
60.有关系统工程的特点,以下错误的是()
A.系统工程研究问题一般采用先决定整体框架,后进入详细设计的程序
B.系统工程的基本特点,是需要把研究对象结构为多个组织部分分别独立研究
C.系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系
D.系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、领域的理论和方法
答案:B
解析:“分别独立研究”错误,系统工程的目的是实现总体效果最优,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化。
61.Apache HIIP Server(简称Apache)是一个开放源代码Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施()
A.不选择 Windows 平台下安装使用
B.安装后,修改配置文件 http.cenf 中的有关参数
C.安装后,删除 Apache HTTP Server 源码
D.从正确的官方网站下载 Apache HTTP Server,并安装使用答案:B
解析:修改配置参数是可行的。
62.按照我国信息安全等级保护的有关政策和标准,有些信息系统只需自主定级、自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于()。
A.零级系统
B.一级系统
C.二级系统
D.三级系统
答案:B
解析:一级系统只需要自主定级备案,不需要测评。
63.在数据库安全性控制中,授权的数据对象( ),授权子系统就越灵活?
A.粒度越小
B.约束越细致
C.范围越大
D.约束范围大
答案:A
解析:数据粒度越细则授权策略越灵活便利。
64.TCP/IP 协议就 Internet 最基本的协议,也是 Internet 构成的基础,TCP/IP 通常被认为就是一个 N 层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能,这里 N 应等于()
A.4
B.5
C.6
D.7
答案:A
解析:OSI 7 层和 TCP/IP 四层
65.下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则()
A.《关于加强政府信息系统安全和保密管理工作的通知》
B.《中华人民共和国计算机信息系统安全保护条例》
C.《国家信息化领导小组关于加强信息安全保障工作的意见》
D.《关于开展信息安全风险评估工作的意见》
答案:C
解析:
66.信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是错误的()
A.背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性
B.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
C.前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告
D.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全需求报告
答案:B
解析:P89
67.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用 Windows8 系统进行开发,不能采用之前的 Windows 版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题答案:C
解析:统一采用 Windows8 系统对软件安全无帮助。
68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化,自主访问控制和强制访问控制难以适应需求,基于角色的访问控制(RBAC)逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是()。
A.RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0
B.RBAC1 在 RBAC0 的基础上,加入了角色等级的概念
C.RBAC2 在 RBAC1 的基础上,加入了约束的概念
D.RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束
答案:C
解析:RBAC2 在 RBAC0 的基础上,加入了约束的概念,P313 页
69.在软件保障成熟度模型(Software Assurnce Maturity Mode, SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能()
A.管理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程和活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
答案:D
解析:注意题干核心:软件开发过程中的核心业务功能
70./etc/peddwd 文件是 UNIX/Linux 安全的关键是文件之一,该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户 ID(UID)、默认的用户分组 ID(GID)、用户信息、用户登录目录以及登录后使用的 shell 程序。某黑客设法窃取了银行账户管理系统的 passwd 文件后,发现每个用户的加密口令数据项都是显示为“X”,下列选项中,对此现象的解释正确的是()
A.黑客窃取的 passwd 文件是假的
B.用户的登录口令经过不可逆转的加密算法加密结果为“X”
C.加密口令被转移到了另一个文件里
D.这些账户都被禁用了
答案:C
解析:加密口令被转移到了/etc/shadow 文件里
71.入侵检测系统有其技术优越性,但也有局限性,下列说法错误的是( )
A.对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击
B.高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重
C.入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响
D.警告消息记录如果不完整,可能无法与入侵行为关联
答案:A
解析:“配置、操作和管理使用过于简单,容易遭到攻击”错误。
72.以下关于数字签名说法正确的是( )
A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B.数字签名能够解决数据的加密传输,即安全传输问题
C.数字签名一般采用对称加密机制
D.数字签名能够解决篡改、伪造等安全性问题
答案:D
解析:数字签名的作用就是“解决篡改、伪造等安全性问题”,A 项毫无关系是错误的,B 项数字签名的作用不是用来加密传输的,C 项数字签名一般采用非对称加密机制。
73.下面关于信息系统安全保障模型的说法不正确的是:( )
A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
答案(d)
解析:“单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入”错误。
74.有关能力成熟度模型(CMM),错误的理解是( )。
A.CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率
B.CMM 是思想来源于项目管理和质量管理
C.CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
D.CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本的生产出高质量产品
答案:A
解析:P178
75.关于对信息安全事件进行分类分级管理的原因描述不正确的是()
A.信息安全事件的种类很多,严重程度不尽相同,其响应和处理方法也应各不相同
B.信息安全事件实行分类和分级管理,是有效防范和响应信息安全事件的基础
C.能够使事前准备,事中应对和事后处理的各项相关工作更具针对性和有效性
D.我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决,关于网络安全应急响应的起步最早。
答案:D
解析:D 项不是信息安全事件进行分类分级管理的原因,P146 页。
76.数字签名不能实现的安全特性为( )
A.防抵赖
B.防伪造
C.防冒充
D.保密通信
答案:D
解析:数字签名的作用不在于保密通信。
77.由于信息系统的复杂性,因此需要一个通用的框架对其进行解构和描述,然后再基于此框架讨论信息系统的()。在 IATF 中,将信息系统的信息安全保障技术层面分为以下四个焦点领域:( ):区域边界即本地计算环境的外
缘;( );支持性基础设施,在深度防御技术方案中推荐( )原则、( )原则。
A.网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御
B.安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御
C.安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御
D.本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御
答案:C
解析:参考 P29 页,IATF 4 个焦点领域。
78.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式( )
A.攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU 资源占用始终 100%
B.攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通 IDC 人员,将某软件运行服务器的网线拔掉导致无法访问
答案:D
解析:ABC 都是从软件领域考虑解决,D 项一般不是拒绝服务攻击采用的方式。
79.随着即时通讯软件的普及使用,即时通讯软件也被恶意代码利用进行传播,以下哪项功能不是恶意代码利用即时通讯进行传播的方式( )
A.利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件
B.利用即时通讯软件发送指向恶意网页的 URL
C.利用即时通讯软件发送指向恶意地址的二维码
D.利用即时通讯发送携带恶意代码的 txt 文档
答案:D
解析:D 项 txt 文档不可被执行,所以不是可被利用的传播方式。
80.某单位需要开发一个网站,为了确保开发出安全的软件。软件开发商进行了 OA 系统的威胁建模,根据威胁建模,SQL 注入是网站系统面临的攻击威胁之一, 根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法( )
A.在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B.对代码进行严格检查,避免存在 SQL 注入漏洞的脚本被发布
C.使用静态发布,所有面向用户发布的数据都使用静态页面
D.在网站中部署防 SQL 注入脚本,对所有用户提交数据进行过滤
答案:C
解析:A 项是加强安全培训,B 和 D 是进行安全加固,只有 C 是修改了设计。
81.某企业内网中感染了一种依靠移动存储进行传播的特洛伊木马病毒,由于企业部署的杀毒软件,为了解决该病毒在企业内部传播,作为信息化负责人,你应采取以下哪项策略()
A.更换企业内部杀毒软件,选择一个可以查杀到该病毒的软件进行重新部署
B.向企业内部的计算机下发策略,关闭系统默认开启的自动播放功能
C.禁止在企业内部使用如 U 盘、移动硬盘这类的移动存储介质
D.在互联网出口部署防病毒网关,防止来自互联网的病毒进入企业内部
答案:B
解析:“关闭系统默认开启的自动播放功能”可以防止移动存储介质插入电脑后自动打开,导致病毒被执行。
82.安全漏洞产生的原因不包括以下哪一点()
A.软件系统代码的复杂性
B.软件系统市场出现信息不对称现象
C.复杂异构的网络环境
D.攻击者的恶意利用
答案:D
解析:攻击者的恶意利用是安全漏洞产生导致的结果。
83.某 IT 公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业的 CSO,请你指出存在问题的是哪个总结?()
A.公司自身拥有优秀的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行
B.公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、应急响应时间后期运维、更新现在应急预案五个阶段,流程完善可用
C.公司应急预案包括了基本环境类、业务系统、安全事件类、安全事件类和其他类,基本覆盖了各类应急事件类型
D.公司应急预案对事件分类依据 GB/Z 20986 – 2007《信息安全技术信息安全事件分类分级指南》,分为 7 个基本类别,预案符合国家相关标准
答案:A
解析:“无需进行应急演练工作”错误
84.某软件在设计时,有三种用户访问模式,分别是仅管理员可访问、所有合法用户可访问和允许匿名访问)采用这三种访问模式时,攻击面最高的是()。
A.仅管理员可访问
B.所有合法用户可访问
C.允许匿名
D.三种方式一样
答案:C
解析:D 项是干扰项,D 项的意思是三种方式攻击面一样。
85.某政府机构委托开发商开发了一个 OA 系统。其中公交分发功能使用了FTP 协议,该系统运行过程中被攻击者通过 FTP 对 OA 系统中的脚本文件进行了篡改,安全专家提出使用 Http 下载代替 FTP 功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的()
A.程序员在进行安全需求分析时,没有分析出 OA 系统开发的安全需求
B.程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C.程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D.程序员在进行软件测试时,没有针对软件安全需求进行安全测试
答案:B
解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。
86.从 SABSA 的发展过程,可以看出整个 SABSA 在安全架构中的生命周期(如下图所示),在此 SABSA 生命周期中,前两个阶段的过程被归类为所谓的( ),其次是( ),它包含了建筑设计中的( )、物理设计、组件设计和服务管理设计,再者就是( ),紧随其后的则是( )
A.设计;战略与规划;逻辑设计;实施;管理与衡量
B.战略与规划;逻辑设计;设计;实施;管理与衡量
C.战略与规划;实施;设计;逻辑设计;管理与衡量
D.战略与规划;设计;逻辑设计;实施;管理与衡量
答案:D
解析:P42
87.在 Linux 系统中,下列哪项内容不包含在/etc/passwd 文件中()
A.用户名
B.用户口令明文
C.用户主目录
D.用户登录后使用的 SHELL
答案:B
解析:在 Linux,操作系统中,用户口令是通过哈希后保存在/etc/shadow 文件中的
88.某攻击者想通过远程控制软件潜伏在某监控方的 UNIX 系统的计算机中,如果攻击者打算长时间地远程监控某服务器上的存储的敏感数据,必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自己的系统日志的时
候,就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()。
A.窃取 root 权限修改 wtmp/wtmpx、utmp/utmpx 和 lastlog 三个主要日志文件
B.采用干扰手段影响系统防火墙的审计功能
C.保留攻击时产生的临时文件
D.修改登录日志,伪造成功的登录日志,增加审计难度
答案:C
解析:C 属于痕迹留存。
89.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A.软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决 90%以上的安全问题。
B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期(SDL)最大特点是增加了一个专门的安全编码阶段
D.软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。
答案:B
解析:A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。
90.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是()
A.降低风险
B.规避风险
C.放弃风险
D.转移风险
答案:B
解析:放弃高风险模块的功能,属于风险规避。
91.以下哪个组织所属的行业的信息系统不属于关键信息基础设施?
A.人民解放军战略支援部队
B.中国移动吉林公司
C.重庆市公安局消防总队
D.上海市卫生与计划生育委员会
答案:D
解析:关键信息基础:面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统;且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失 。
92.信息安全管理体系 ISMS 是建立和维持信息安全管理体系的(),标准要求组织通过确定信息安全管理系统范围、制定()、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的(),即组织应建立并保持一个文件化的信息安全(),其中应阐述被保护的资产、组织安全管理体系应形成一定的(),即组织应建立并保持一个文件化的信息安全(),其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的()
A.信息安全方针;标准;文件;管理体系;保证程度
B.标准;文件;信息安全方针;管理体系;保证程度
C.标准;信息安全方针;文件;管理体系;保证程度
D.标准;管理体系;信息安全方针;文件;保证程度
答案:C
93.目前应用面临的威胁越来越多,越来越难发现。对应用系统潜在的威胁目前还没有统一的分类,但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对,请问是下面哪一项()
A.数据访问权限
B.伪造身份
C.钓鱼攻击
D.远程渗透
答案:A
解析:BCD 都是常见的威胁方式,A 项至少一种数据访问控制方式。
94.某单位在进行内部安全评估时,安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞,然而此报告在内部审计时被质疑,原因在于小张使用的漏洞扫描软件采购于三年前,服务已经过期,漏洞库是半年前最后一次更新的。关于内部审计人员对这份报告的说法正确的是()
A.内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证
B.内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的
C.内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准确
D.内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的
答案:A
解析:漏洞库半年不更新又可能会漏报一些最新的漏洞。
95.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的
完整性保护,下列哪一项最好地描述了星或(•-)完整性原则?()
A.Bell-LaPadula 模型中的不允许向下写
B.Bell-LaPadula 模型中的不允许向上读
C.Biba 模型中的不允许向上写
D.Biba 模型中的不允许向下读
答案:C
解析:BLP 模型保障机密性,上写下度,Biba 模型保障完整性,上读下写,C 向上写会破坏完整性。
96.组织应定期监控、审查、审计()服务,确保协议中的信息安全条款和条件被遵守,信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或()团队。另外,组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是()要求的实现。当发现服务交付的不足时,宜采取().当供应商提供的服务,包括对()方针、规程和控制措施的维持和改进等发生变更时,应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。
A.供应商;服务管理;信息安全;合适的措施;信息安全
B.服务管理;供应商;信息安全;合适的措施;信息安全
C.供应商;信息安全;服务管理;合适的措施;信息安全
D.供应商;合适的措施;服务管理;信息安全;信息安全
答案:A
解析:P124
97.火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系统,保护信息化相关人员和信息系统,将火灾导致的影响降低到可接受的程度。下列选项中,对火灾的预防、检测和抑制的措施描述错误的选项是()。
A.将机房单独设置防火区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃烧材料,进出机房区域的门采用防火门或防火卷帘,机房通风管设防火栓
B.火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等
C.自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探测器报警,就立即启动灭火工作
D.前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等
答案:C
解析:自动相应一般多个探测器报警才会启动灭火工作,单个报警器报警容易误报。
98.信息安全管理体系也采用了() 模型,该模型可应用于所有的()。ISMS 把相关方的信息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期望的()。
A.ISMS;PDCA 过程;行动和过程;信息安全结果
B.PDCA;ISMS 过程;行动和过程;信息安全结果
C.ISMS;PDCA 过程;信息安全结果;行动和过程
D.PDCA;ISMS 过程;信息安全结果;行动和过程
答案:B
99.小王学习了灾备备份的有关知识,了解到常用的数据备份方式包括完全备份、增量备份、差量备份,为了巩固所学知识,小王对这三种备份方式进行对比,其中在数据恢复速度方面三种备份方式由快到慢的顺序是()
A.完全备份、增量备份、差量备份
B.完全备份、差量备份、增量备份
C.增量备份、差量备份、完全备份
D.差量备份、增量备份、完全备份
答案:B
解析:全部备份是对整个系统所有文件进行完全备份,包括所有系统和数据;增量备份是每次备份的数据相当于上一次备份后增加和修改过的数据;差分备份是每次备份的数据是相对于上一次全备份之后新增加和修改过的数据。所以单独就该题来说,如果采用的是完全备份方式,数据丢失后只需要恢复最近的一次完全备份的数据;如果采用的是差分备份方式,则需要恢复最近一次完全备份的数据和最近一次差分备份的数据;如果采用的是增量备份方式,则需要恢复最近一次完全备份的数据,以及后面一次次增量备份的数据。所以对比起来,完全备份方式恢复起来最快,增量最慢。
100.风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是()
A.《风险评估方案》
B.《风险评估程序》
C. 《资产识别清单》
D.《风险评估报告》
答案:B
解析:P260 页
国家信息安全水平考试(NISP)二级,被称为校园版”CISP”,由中国信息安全测评中心发证,NISP运营管理中心(www.nisp.org.cn)负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白,持证学员毕业满足条件可免试换取CISP证书,为持证学员赢得就业先机。
93
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
