下列关于Diameter和RADIUS区别的描述中,错误的是( )。
A) RADIUS运行在UDP协议上,并且没有定义重传机制;而Diameter运行在可靠的传输协议TCP、SCTP之上
B) RADIUS支持认证和授权分离,重授权可以随时根据需求进行;Diameter中认证与授权必须成对出现
C) RADIUS固有的客户端/服务器模式限制了它的进一步发展;Diameter采用了端到端模式,任何一端都可以发送消息以发起审计等功能或中断连接
D) RADIUS协议不支持失败恢复机制;而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误
RADIUS运行在UDP协议上,并且没有定义重传机制,而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制,每个会话方可以动态调整自己的接收窗口,以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制,而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离,重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。故选择B选项。
下列关于非集中式访问控制的说法中,错误的是( )。
A) Hotmail、Yahoo、163等知名网站上使用的通行证技术应用了单点登录
B) Kerberos协议设计的核心是,在用户的验证过程中引入一个可信的第三方,即Kerberos验证服务器,它通常也称为密钥分发服务器,负责执行用户和服务的安全验证
C) 分布式的异构网络环境中,在用户必须向每个要访问的服务器或服务提供凭证的情况下,使用Kerberos协议能够有效地简化网络的验证过程
D) 在许多应用中,Kerberos协议需要结合额外的单点登录技术以减少用户在不同服务器中的认证过程
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,故D选项说法错误,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。故选择D选项。
下列有关视图的说法中,错误的是( )。
A) 视图是从一个或几个基本表或几个视图导出来的表
B) 视图和表都是关系,都存储数据
C) 视图和表都是关系,使用SQL访问它们的方式一样
D) 视图机制与授权机制结合起来,可以增加数据的保密性
视图是原始数据库数据的一种变换,是查看表中数据的另外一种方式。可以将视图看成是一个移动的窗口,通过它可以看到感兴趣的数据。 视图是从一个或多个实际表中获得的,这些表的数据存放在数据库中。那些用于产生视图的表叫做该视图的基表。一个视图也可以从另一个视图中产生。视图的定义存在数据库中,与此定义相关的数据并没有再存一份于数据库中,通过视图看到的数据存放在基表中,而不是存放在视图中,视图不存储数据,故B选项说法不正确。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上,但不能授权到数据库特定行和特定的列上。故选择B选项。
下列关于视图机制的说法中,错误的是( )。
A) 视图机制的安全保护功能比较精细,通常能达到应用系统的要求
B) 为不同的用户定义不同的视图,可以限制各个用户的访问范围
C) 通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护
D) 在实际应用中,通常将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上再进一步定义存取权限
视图为机密数据提供了安全保护。在设计用户应用系统时,可以为不同的用户定义不同的视图,使机密数据不出现在不应该看到的用户的视图上,这样视图就自动提供了对机密数据的安全保护措施。视图可以作为一种安全机制。通过视图用户只能查看和修改他们所能看到的数据。其它数据库或表既不可见也不可以访问。如果某一用户想要访问视图的结果集,必须授予其访问权限。视图所引用表的访问权限与视图权限的设置互不影响,但视图机制的安全保护功能太不精细,往往不能达到应用系统的要求,其主要功能在于提供了数据库的逻辑独立性。因此A选项是不正确的。故选择A选项。
IKE协议属于混合型协议,由三个协议组成。下列协议中,不属于IKE协议的是( )。
A) Oakley
B) Kerberos
C) SKEME
D) ISAKMP
IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。Kerberos不属于IKE协议,B选项错误。故选择B选项。
下列组件中,典型的PKI系统不包括( )。
A) CA
B) RA
C) CDS
D) LDAP
一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。故选择C选项。
下列协议中,不能被攻击者用来进行DoS攻击的是( )。
A) TCP
B) ICMP
C) UDP
D) IPSec
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。ICMP在Internet上用于错误处理和传递控制信息。"PingofDeath"就是故意产生畸形的测试Ping包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方宕机。UDPflood攻击:如今在Internet上UDP(用户数据包协议)的应用比较广泛,很多提供WWW和Mail等服务设备通常是使用Unix的服务器,它们默认打开一些被黑客恶意利用的UDP服务。所以,TCP、ICMP和UDP均会被DoS攻击,IPSec无法被DoS攻击。故选择D选项。
下列选项中,不属于代码混淆技术的是( )。
A) 语法转换
B) 控制流转换
C) 数据转换
D) 词法转换
代码混淆技术在保持原有代码功能的基础上,通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。代码混淆技术可通过多种技术手段实现,包括词法转换、控制流转换、数据转换。故选择A选项。
下列选项中,不属于漏洞定义三要素的是( )。
A) 漏洞是计算机系统本身存在的缺陷
B) 漏洞的存在和利用都有一定的环境要求
C) 漏洞在计算机系统中不可避免
D) 漏洞的存在本身是没有危害的,只有被攻击者恶意利用,才能带来威胁和损失
漏洞的定义包含以下三个要素:首先,漏洞是计算机系统本身存在的缺陷;其次,漏洞的存在和利用都有一定的环境要求;最后,漏洞存在的本身是没有危害的,只有被攻击者恶意利用,才能给计算机系统带来威胁和损失。故选择C选项。
在信息安全事故响应中,必须采取的措施中不包括( )。
A) 建立清晰的优先次序
B) 清晰地指派工作和责任
C) 保护物理资产
D) 对灾难进行归档
信息安全应急响应的核心是为了保障业务,在具体实施应急响应的过程中就需要通过不断的总结和回顾来完善应急响应管理体系。编写安全指南:针对可能发生的安全事件安全问题,对判断过程进行详细描述。同时,安全指南也是管理层支持组织IT的一个证明。明确职责规范:明确IT用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责,在发生安全事件时可以很快定位相应人员。信息披露:明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略:安全事件越重大,需要的授权也越大。设置优先级:制定优先级表,根据安全事件导致的后果顺序采用相应的应急措施。判断采用调查和评估安全事件的方法:通过判断潜在和持续的损失程度、原因等采用不同的方法。通知受影响各方:对所有受影响的组织内部各部门和外部机构都进行通报,并建立沟通渠道。安全事件的评估:对安全事件做评估,包括损失、响应时间、提交策略的有效性、调查的有效性等,并对评估结果进行归档。故选择C选项。
下列选项中,不属于审核准备工作内容的是( )。
A) 编制审核计划
B) 加强安全意识教育
C) 收集并审核有关文件
D) 准备审核工作文件–编写检查表
审核是指为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的独立的并形成文件的过程。加强安全教育与审核对象没有关系。故选择B选项。
3714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
