【ACCESS精品源码栏目提醒】:文章导读:在新的一年中,各位网友都进入紧张的学习或是工作阶段。
网学会员整理了ACCESS精品源码-CISP课后练习题-3 - 讲义教程的相关内容供大家参考,祝大家在新的一年里工作和学习顺利!
1. 下面关于信息安全保障的说法正确的是 A. 信息安全保障的概念是与信息安全的概念同时产生的 B. 信息系统安全保障要素包括信息的完整性、可用性和保密性 C. 信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D. 信息安全保障是以业务目标的实现为最终目的从风险和策略出发实施 在系统的生命周期内确保信息的安全属性 答案D 2. 根据《 GB / T20274 信息安全保障评估框架》 对信息系统安全保障能力进行评估应 A. 信息安全管理和信息安全技术2 个方面进行 B. 信息安全管理、信息安全技术和信息安全工程3 个方面进行 C. 信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D. 信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行 答案C 3. 对于信息安全发展历史描述正确的是 A. 信息安全的概念是随着计算机技术的广泛应用而诞生的 B. 目前信息安全己经发展到计算机安全的阶段 C. 目前信息安全不仅仅关注信息技术人们意识到组织、管理、工程过程和人员同样是促进 系统安全性的重要因素 D. 我们可以将信息安全的发展阶段概括为由“计算机安全”到“通信安全”再到“信息 安全”直至现在的“信息安全保障” 答案C 4. ISO的OSI安全体系结构中以下哪一个安全机制可以提供抗抵赖安全服务 A. 加密 B. 数字签名 C. 访问控制 D. 路由控制 答案B 5. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性 A. ITSEC B. TCSEC C. GB/T9387.2 D. 彩虹系列的橙皮书 答案A 6. 下面对于CC 的“保护轮廓” PP 的说法最准确的是 A. 对系统防护强度的描述 B. 对评估对象系统进行规范化的描述 C. 对一类TOE 的安全需求进行与技术实现无关的描述 D. 由一系列保证组件构成的包可以代表预先定义的保证尺度 答案C 7. 下面对于强制访问控制的说法错误的是 A 它可以用来实现完整性保护也可以用来实现机密性保护 B 在强制访问控制的系统中用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低 答案B 8. 以下哪两个安全模型分别是多级完整性模型和多边保密模型 A. Biba 模型和Bell一Lapadula 模型 B. Bell 一Lapaduia 模型和Biba 模型 C. Chinese Wall 模型和Bell 一Lapadula 模型 D. Biba 模型和Chinese Wall 模型 答案D 9. 在一个使用Chinese Wall 模型建立访问控制的信息系统中数据W和数据X在一个兴趣冲突域中数据Y和数据Z在另一个兴趣冲突域中那么可以确定一个新注册的用户 A. 只有访问了W之后才可以访问X B. 只有访问了W之后才可以访问Y和Z中的一个 C. 无论是否访问W都只能访问Y和Z中的一个 D. 无论是否访问W都不能访问Y或Z 答案C 10. BMA访问控制模型是基于 A. 健康服务网络 B. ARPANET C. ISP D. INTERNET 答案A 11. 下面关于密码算法的说法错误的是 A. 分组密码又称作块加密 B. 流密码又称作序列密码 C. DES算法采用的是流密码 D. 序列密码每次加密一位或一个字节的明文 答案C 12. 下面对于SSH的说法错误的是 A. SSH是Secure Shell的简称 B. 客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证 C. 通常Linux操作系统会在/usr/local目录下默认安装OpenSSH D. SSH2比SSH1更安全 答案B 13. 下面对于标识和鉴别的解释最准确的是 A. 标识用于区别不同的用户而鉴别用于验证用户身份的真实性 B. 标识用于区别不同的用户而鉴别用于赋予用户权限 C. 标识用于保证用户信息的完整性而鉴别用于验证用户身份的真实性 D. 标识用于保证用户信息的完整性而鉴别用于赋予用户权限 答案A 14. 指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例 A. 你是什么 B. 你有什么 C. 你知道什么 D. 你做了什么 答案A 15. 安全审计是对系统活动和记录的独立检查和验证以下哪一项不是审计系统的 A. 辅助辨识和分析未经授权的活动或攻击 B. 对与己建立的安全策略的一致性进行核查 C. 及时阻断违反安全策略的访问 D. 帮助发现需要改进的安全控制措施 答案C 16. 以下哪一项属于物理安全方面的管理控制措施 A. 照明 B. 护柱 C. 培训 D. 建筑设施的材料 答案C 17. 以下哪种不是火灾探测器类型 A. 电离型烟传感器 B. 光电传感器 C. 声学震动探测系统 D. 温度传感器 答案C 18. 以下关于事故的征兆和预兆说法不正确的是 A. 预兆是事故可能在将来出现的标志 B. 征兆是事故可能己经发生或正在发生的标志 C. 预兆和征兆的来源包括网络和主机IDS 、防病毒软件、系统和网络日志 D. 所有事故的预兆和征兆都是可以发现的 答案D 27.组织机构应根据事故类型建立揭制策略需要考虑以下几个因素除了 A、实施策略需要的时间和资源 B、攻击者的动机 C、服务可用性 D、证据保留的时间 答案D 28、下面安全套接字层协议SSL的说法错误的是 A、它是一种基于Web应用的安全协议 B、由于SSL是内嵌的浏览器中的无需安全客户端软件所以相对于IPSEC 更简 C、SSL与IPSec一样都工作在网络层 D、SSL可以提供身份认证、加密和完整性校验的功能 答案C 29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网 A、ARP B、IGMP C、ICMP D、DHCP 答案D 301 下面哪一项不是VPN协议标准 A、L2TP B、ipsec C、TACACS D、PPTP 答案C 30、IPSEC的两种使用模式分别是_______和_____ A 传输模式、安全壳模式 B 传输模式、隧道模式 C 隧道模式 、ESP模式 D 安全壳模式、AH模式 答案B 31、组成IPSEC的主要安全协议不包括以下哪一项 A 、 ESP B、 DSS C 、 IKE D、 AH 答案B 32、在UNIX系统中输入命令“LS-al test”显示如下 -rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对他的含义解释错误的是 A、这是一个文件而不是目录 B、文件的拥有者可以对这个文件读、写和执行的操作 C、文件所属组的成员有可以读它也可以执行它 D、其他所有用户只可以执行它 答案D 33、计算机具有的IP地址是有限的但通常计算机会开启多项服务或运行多个应用程序那么如何在网络通信中对这些程序或服务进行单独标识 A 分配网络端口号 B 利用MAC地址 C 使用子网掩码 D 利用PKI/CA 答案A 34、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录其中用来控制用户访问Apache 目录的配置文件是 A httpd.conf B srm.conf C inetd.conf D
access.conf 答案A 35、下面哪一项是操作系统中可信通路trust path机制的实例 A Window系统中ALTCTRLDEL B root在Linux系统上具有绝对的权限 C 以root身份作任何事情都要谨慎 D 控制root用户的登录可以在/etc/security目录下的
access.conf文件中进行设置 答案A 36、以下对Windows服务的说法错误的是 A 为了提升系统的安全性管理员应尽量关闭不需要的服务 B Windows服务只有在用户成功登录系统后才能运行 C 可以作为独立的进程运行或以DLL的形式依附在Svchost.exe D windows服务通常是以管理员的身份运行的 答案B 37、以下哪一项不是IIS服务器支持的访问控制过滤类型 A 网络地址访问控制 B web服务器许可 C NTFS许可 D 异常行为过滤 答案D 38、下列哪一项与数据库的安全有直接关系 A 访问控制的粒度 B 数据库的大小 C 关系表中属性的数量 D 关系表中元组的数量 答案A 39、下列哪一组Oracle数据库的默认用户名和默认口令 A 用户名 “Scott”口令“tiger” B 用户名 “Sa”口令“nullr” C 用户名 “root”口令“null” D 用户名 “admin”口令“null” 答案A 40、关于数据库安全的说法错误的是 A 数据库系统的安全性很大程度上依赖于DBMS的安全机制 B 许多数据库系统在操作系统一下文件形式进行管理因此利用操作系统漏洞可以窃取数据库文件 C 为了防止数据库中的信息被盗取在操作系统层次对文件进行加密是唯一从根本上解决问题的手段 D 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 答案C 41、关于木马技术说法错误的是 A “木马”这一名词来源于《荷马史诗》中记载的特洛伊战争 B 木马的一个主要特点是它的隐蔽性 C 木马技术与ROOTKIT技术的结合某种意义上代表了当代木马技术的发展 D 如果发现了一个木马进程清除它的第一步是清除木马启动 答案D 42、下面关于计算机恶意代码发展趋势的说法错误的是 A 木马和病毒盗窃日益猖獗 B 利用病毒犯罪的组织性和趋利性增加 C综合利用多种编程新技术、对抗性不断增加 D 复合型病毒减少而自我保护功能增加 答案D 43、关于网页中的恶意代码下列说法错误的是 A 网页中的恶意代码只能通过IE浏览器发挥作用 B 网页中恶意代码可以修改系统注册表 C 网页中的恶意代码可以修改系统文件 D 网页中的恶意代码可以窃取用户的机密性文件 答案A 44、下面对于“电子邮件炸弹”的解释最准确的是 A 邮件正文中包含的恶意网站链接 B 邮件附件中具有强破坏性的病毒 C 社会工程的一种方式具有恐吓内容的邮件 D 在短时间内发送大量邮件软件可以造成目标邮箱爆满 答案D 45、以下哪一项是常见Web站点脆弱性扫描工具 A Sniffer B Nmap C Appscan D LC 答案C 46、下面哪一项不是安全编程的原则 A 尽可能使用高级语言进行编程 B 尽可能让程序只实现需要的功能 C 不要信任用户输入的数据 D 尽可能考虑到意外的情况并设计妥善的处理方法 答案A 47、黑客进行攻击的最后一个步骤是 A 侦查与信息收集 B 漏洞分析与目标选定 C 获取系统权限 D 打扫战场、清楚证据 答案D 48、下面哪一项是缓冲溢出的危害 A 可能导致shellcode的执行而非法获取权限破坏系统的保密性 B 执行shellcode后可能进行非法控制破坏系统的完整性 C 可能导致拒绝服务攻击破坏系统的可用性 D 以上都是 答案D 49、以下哪一项是DOS攻击的一个实例 A SQL注入 B IP Spoof C Smurf攻击 D 字典破解 答案C 50、以下对于蠕虫病毒的错误说法是 A 通常蠕虫的传播无需用户的操作 B 蠕虫病毒的主要危害体现在对数据保密的破坏 C 蠕虫的工作原理与病毒相似除了没有感染文件 D 是一段能不以其他程序为媒介从一个电脑系统复制到另一个电脑系统 答案B 51、以下哪一项不是跨站脚本攻击 A 给网站挂马 B 盗取COOKIE C 伪造页面信息 D 暴力破解密码 答案D 52.对能力成熟度模型解释最准确的是 A它认为组织的能力依赖与严格定义管理完善可测可控的有效业务过程。
B. 它通过严格考察工程成果来判断工程能力。
C它与统计过程控制的理论出发点不同所以应用于不同领域。
D它是随着信息安全的发展而诞生的重要概念。
答案A 53.一个单位在处理一台储存过高密级信息的计算机是首先应该做什么 A.将硬盘的每一个比特写成“O” B.将硬盘彻底毁坏 C选择秘密信息进行删除 D进行低级格式化 答案C 60.变更控制是信息系统运行管理的重要的内容在变更控制的过程中 A应该尽量追求效率而没有任何的程序和核查的阻碍。
B应该将重点放在风险发生后的纠正措施上。
C应该很好的定义和实施风险规避的措施。
D如果是公司领导要求的对变更过程不需要追踪和审查 答案C 61.在信息系统的开发和维护过程中以下哪一种做法是不应该被赞成的 A在购买软件包后依靠本单位的技术力量对软件包进行修改加强代码的安全性。
B当操作系统变更后对业务应用系统进行测试和评审。
C在需要是对操作文档和用户守则进行适当的修改。
D在安装委外开发的软件前进行恶意代码检测。
答案B 62.对于信息系统访问控制说法错误的是 A应该根据业务需求和安全要求制定清晰的访问控制策略并根据需要进行评审和改进。
B网络访问控制是访问控制的重中之重网络访问控制做好了操作系统和应用层次的访问控制就会解决 C做好访问控制工作不仅要对用户的访问活动进行严格管理还要明确用户在访问控制中的有关责任 D移动计算和远程工作技术的广泛应用给访问控制带来新的问题因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施 答案B 63.对程序源代码进行访问控制管理时以下那种做法是错误的 若有可能在实际生产系统中不保留源程序库。
对源程序库的访问进行严格的审计 技术支持人员应可以不受限制的访问源程序 对源程序库的拷贝应受到严格的控制规程的制约 答案C 64. 目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势数据大集中就是将数据集中存储和管理为业务信息系统的运行搭建了统一的数据平台对这种做法的认识正确的是 数据库系统庞大会提高管理成本 B数据库系统庞大会降低管理效率 C数据的集中会降低风险的可控性 . 数据的集中会造成风险的集中 答案D 65.管理者何时可以根据风险分析结果对已识别风险不采取措施 A当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时 B当风险减轻方法提高业务生产力时 C当引起风险发生的情况不在部门控制范围之内时 D不可接受 答案A 66.在风险评估中进行定量的后果分析时如果采用年度风险损失值的方法进行计算应当使用一下哪个公式 ASLE单次损失预期值x ARO年度发生率 BARO年度发生率x EF暴露因子 CSLE单次损失预期值x EF暴露因子 x ARO年度发生率 DSLE单次损失预期值x ARO年度发生率—EF暴露因子 答案A 67风险管理的重点 A将风险降低到可以接受的程度 B不计代价的降低风险 C将风险转移给第三方 D惩罚违反安全策略规定的雇员 答案A 68.风险评估按照评估者的不同可以分为自评估和第三方评估这两种评估方式最本质的差别是什么 A评估结果的客观性 B评估工具的专业程度 C评估人员的技术能力 D评估报告的形式 答案A 69.以下关于风险管理的描述不正确的是 A风险的四种控制方法有减低风险/转嫁风险/规避风险/接受风险 B信息安全风险管理是否成功在于发现是否切实被消除了 C组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全 D信息安全风险管理是基于可接受的成本对影响信息系统的安全风险进行识别多少或消除的过程。
答案B 70.从风险分析的观点来看计算机系统的最主要安全脆弱性存在于—— A计算机内部处理 B系统输入输出 C网络和通讯 D数据存储介质 答案B 71.以下选项中那一项是对信息安全风险采取的纠正机制 A访问控制 B入侵检测 C灾难恢复 D防病毒系统 答案C 72.下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别 A审计措施不能自动执行而检测措施可以自动执行 B检测措施不能自动执行而审计措施可以自动执行 C审计措施是一次性的或周期性的进行而检测措施是实时的进行 D检测措施是一次性的或周期性的进行而审计措施是实时的进行 答案C 73.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的 A设置网络连接时限 B记录并分析系统错误日志 C记录并分析用户和管理员日志 D时钟同步 答案D 74.信息分类是信息安全管理工作的重要环节下面哪一项不是对信息进行分类时需要重点考虑的 A信息的价值 B信息的时效性 C信息的存储 D法律法规的规定 答案C 75.下面关于ISO27002说法错误的是 AISO27002前身是ISO17799—1 BISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用但不是全部 CISO27002对于每个控制措施的表述分“控制措施、实施指南和其他信息”三个部分来进行描述 DISO27002提出了十一大类安全管理措施其中风险评估和处置是处于核心地位的一类安全措施 答案D 76.进行信息安全管理体系的建设是一个涉及企业文化信息系统特点、法律法规限制等多方面因素的复杂过程人们在这样的过程中总结了许多经验下面哪一项是最不值得被赞同的。
A成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持。
B制定的信息安全管理措施应当与组织的文化环境相匹配 C应该对ISO27002国际标准批判的参考不能完全照搬 D借助有经验的大型国际咨询公司往往可以提高公司管理体系的执行效果 答案D 77.那一类防火墙具有根据传输信息的内容如关键字、文件类型来控制访问链接的能力 A包过滤防火墙 B状态检测防火墙 C应用网关防火墙 D以上都不能 答案C 78下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。
ANMAP BNLSOOKUP CICESWord DX scan 答案C 53信安标委中哪个小组负责信息安全管理工作 A、WG1 B、WG5 C、WG7 答案C
上一篇:
中高口新闻分类词汇汇总
下一篇:
政治视域中的行政