信息安全练习题(C).docx-淘文阁

资源描述

《信息安全练习题(C).docx》由会员分享，可在线阅读，更多相关《信息安全练习题(C).docx（18页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、华为.HCST9-369. V200Number: 13-369Passing Score: 600Time Li mi t: 90 minFile Version: 200HCIT-R&S-IESN 1119-369(Huawei Certified nerjdksnfkwsnl).最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？A.软件在Linux下按照时，设定运行时使用nobody用户运行实例B.软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据

2、库C.软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D.为了保证软件在Windows下能稳定的运行，设定运行权限为system,确保系统运行正常，不会因为权限不足产生运行错误Answer: D解释：SYSTEM权限是最大权限，Answer为D。1 .主机A向主机B发出的数据采用AH或ESP的传输模式对经过互联网的数据流量进行保护时，主机A和主机B的IP地址在应该在下列哪个范围？A. 10. 0. 0.010. 255. 255. 255172. 16. 0.0172. 31.255. 255B. 192. 168.

3、0. 0192. 168. 255. 255D.不在上述范围内Answer: D解释：采用传输模式则没有地址转换，那么A.B主机应为公有地址。3.某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用 I元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是？A.该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进

4、行安全改造，所有的访问都强制要求使用httpsB.该问题产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C.该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决D.自评估和检查评估是相互排斥的，无特殊理由单位均应选择检查评估，以保证安全效果Answer: A解释：A为正确Answer。43.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小, 假设单位机房的总价值为200万元人民币，暴露系数(Exposure Factor, EF)是 25%,年度发生率(Annualized Rate

5、 ofOccurrence, ARO)为0. 1,那么小王计算的年度预期损失(Annualized Loss Expectancy, ALE)应该是0。A. 5万元人民币50万元人民币B. 2. 5万元人民币25万元人民币Answer: A解释：计算方法为200万*25%*0. 1=5万。44 .规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，形成了风险评估方案并得到了管理决策层的认可，在风险评估实施的各个阶段中，该风险评估方案应是如下()中的输出结果。A.风险评估准备阶段B.风险要素识别阶段C.风险分析阶段D.风险结果判定阶段Answer:

6、A解释：风险评估方案属于风险评估准备阶段的结果。45 .规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单41位在实施风险评估时，形成了待评估信息系统相关设备及资产清单。在风险评估实施的各个阶段中，该待评估信息系统相关设备及资产清单应是如下0A.风险评估准备B.风险要素识别C.风险分析D.风险结果判定Answer: B解释：风险要素包括资产.威胁.脆弱性.安全措施。46 .风险要素识别是风险评估实施过程中的一个重要步骤，有关安全要素，请选择一个最合适的选项0。A.识别面临的风险并赋值B.识别存在的脆弱性并赋值C.制定安全措施实施计划D.检查安全措施有效性Answer

7、: B解释：风险要素包括资产.威胁.脆弱性.安全措施。47 .某单位在实施信息安全风险评估后，形成了若干文挡，下面（）中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。A.风险评估工作计划，主要包括本次风险评估的目的.意义.范围.目标.组织结构.角色及职责.经费预算和进度安排等内容B.风险评估方法和T具列表。主要包括拟用的风险评估方法和测试评估T具等内容C.已有安全措施列表，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D.风险评估准则要求，主要包括风险评估参考标准.采用的风险分析方法.风险计算方法.资产分类标准.资产分类准则等内容Answer: C解释：风险

8、要素包括资产.威胁.脆弱性.安全措施。48 .文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A.组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B.组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C.组织在每份文件的首页，加上文件修订跟踪表，显示每一版本的版本号.发布口期.编写人.审批人.主要修订等内容D.层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立Answer: B解释：信息安全管理体系运行记录需要保护

9、和控制。49 .某项H的主要内容为建造A类机房，监理单位需要根据电子信息系统机房设计规范（GB 50174-2008）的相关要求,对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是：A.在异地建立备份机房时，设计时应与主用机房等级相同B.由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式C.因机房属于A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴油发电机应能承担全部负荷的需要D.A级主机房应设置洁净气体灭火系统Answer: B解释：散热为下送风.上回风；侧送风.侧回风。50.在工程实施阶段，监理机构依据承建合同.安全设计方案

10、.实施方案.实施记录. 国家或地方相关标准和技术指导文件，对信息化工程进行安全检查，以验证项目是否实现了项目设计目标和安全等级要求。A.功能性B,可用性C.保障性I).符合Answer: D解释：题干描述为符合性检查。51.下系统工程说法错误的是：A.系统工程是基本理论的技术实现B.系统工程是一种对所有系统都具有普遍意义的科学方法C.系统工程是组织管理系统规划.研究.制造.试验.使用的科学方法I).系统工程是一种方法论Answer: A解释：系统工程是方法论，不是技术实现。52 .组织建立业务连续性计划(BCP)的作用包括：A.在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一

11、致性；B.提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统.应用和数据；C.保证发生各种不可预料的故障.破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；D.以上都是。Answer: D解释：正确Answer为D。53 .业务系统运行中异常错误处理合理的方法是：A.让系统自己处理异常B.调试方便，应该让更多的错误更详细的显示出来C.捕获错误，并抛出前台显示D.捕获错误，只显示简单的提示信息，或不显示任何信息Answer: D解释：D为正确的处理方法。54 .以下哪项不是应急响应准备阶段应该做的？A.确定重要资产和风险，实施针对风险的防护措施B.编制

12、和管理应急响应计划C.建立和训练应急响应组织和准备相关的资源.评估事件的影响范围，增强审计功能.备份完整系统Answer: D解释：D描述的是安全事件发生以后，不是应急响应的准备。55 .关于秘钥管理，下列说法错误的是：A.科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于秘钥的安全性 B.保密通信过程中，通信方使用之前用过的会话秘钊建立会话，不影响通信安全 C.秘钥管理需要考虑秘钥产生.存储.备份.分配.更新.撤销等生命周期过程的每一个环节D.在网络通信中。通信双方可利用Diffie-Hellman协议协商出会话秘钥 Answer: B解释：通信方使用之前用过的会话秘钥建立会话，会影

13、响通信安全。56 .以下属于哪一种认证实现方式：用户登录时，认证服务器(AuthenticationServer, AS)产生一个随机数发送给用户，用户用某种单向算法将自己的口令.种子秘钥和随机数混合计算后作为一次性口令, 并发送给AS, AS用同样的方法计算后，验证比较两个口令即可验证用户身份。A. 口令序列B.时间同步C.挑战/应答D.静态口令Answer: C解释：题干描述的是C的解释。57 .在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以外解

14、决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题：A. SSHHTTPB. FTPSMTPAnswer: A解释：SSH具备数据加密保护的功能。58.以下哪个属性不会出现在防火墙的访问控制策略配置中？A.本局域网内地址B.百度服务器地址C. HTTP协议D.病毒类型Answer: D解释：病毒类型不会出现在防火墙的访问控制策略中。59 .某linux系统由于root 口令过于简单，被攻击者猜解后获得了 root 口令，发现被攻击后，管理员更改了 root 口令，并请安全专家对系统进行检测，在系统中发现有一个文件的权限如下-r-sxx 1 test tdst 10704 apr 1

15、52002/home/test/sh请问以下描述哪个是正确的：A.该文件是一个正常文件，test用户使用的shell, test不能读该文件，只能执行B.该文件是一个正常文件，是test用户使用的shell,但test用户无权执行该文件C.该文件是一个后门程序，该文件被执行时，运行身份是root , test用户间接获得了 root权限D.该文件是一个后门程序，由于所有者是test,因此运行这个文件时文件执行权限为testAnswer: C解群：根据题干则Answer为C。60 .某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能, 用户如果使用上次的IP地址进行访问，

16、就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是：A.网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B.网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C.网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D.网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题Answer: D解糕：设计时提供了用户快捷登录功能，导致大量用户账号被盗用。则Answer为Do.某购物网站开发项目经过需求分析进入系

17、统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA- 1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则：A.最小特权原则B.职责分离原则C.纵深防御原则D.最少共享机制原则Answer: C解释：题H描述的是软件开发的深度防御思想应用。61 .以下关于威胁建模流程步骤说法不正确的是A.威胁建模主:要流程包括四步：确定建模对象.识别威胁.评估威胁和消减威胁B.评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险C.消减威胁是根据威胁的

18、评估结果，确定是否要消除该威胁以及消减的技术措施, 可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁。D.识别威胁是发现组件或进程存在的威胁，它可能是恶意的，威胁就是漏洞。Answer: I)解释：威胁就是漏洞是错误的。62 .为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是A.由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据B.渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况C.渗透测试应

19、当经过方案制定.信息收集.漏洞利用.完成渗透测试报告等步骤D.为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试Answer: D解释：工作中不应该在系统正常业务运行高峰期进行渗透测试。63 .有关能力成熟度模型(CMM)错误的理解是CMM的基本思想是，因为问题是由技术落后引起的，所以新技术的运用会在一定程度上提高质量.生产率和利润率保密注册信息安全专业人员考试模拟考试试卷11 / 16A. CMM的思想来源于项目管理和质量管理CMM是一种衡量工程实施能力的方法，是一种面向工程过程的方法B. CMM是建立在统计过程控制理论基础上的，它基于这样一个假设，即“生产过程

20、的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”Answer: A解释：CMM的产生是因为过程控制和管理落后引起的。64 .提高阿帕奇系统(Apache HTTP Server)系统安全性时，下面哪项措施不属于安全配置()？A.不在Windows下安装Apache,只在Linux和Unix下安装B.安装Apache时，只安装需要的组件模块C.不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行D.积极了解Apache的安全通告，并及时下载和更新Answer: A解释：A不属于安全配置，而属于部署环境选择。65 .某公司开发了一个游戏网站，但是

21、由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于2000个字节数据时，总是会有3到5个字节不能传送到对方,关于此案例，可以推断的是OA.该网站软件存在保密性方面安全问题B.该网站软件存在完整性方面安全问题C.该网站软件存在可用性方面安全问题D.该网站软件存在不可否认性方面安全问题Answer: B解释：题干描述的是完整性。66 .信息安全保障是网络时代各国维护国家安全和利益的苜要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。A .中国B.俄罗斯C.美国D.英国Answer: C解释：Answer为C。67 .我国党和政府一直重视

22、信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是()A.加强信息安全标准化建设，成立了 “全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。B.重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展C.推进信息安全等级保护T.作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性I)实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼

23、了人才队伍Answer: B解释：工业和信息化部牵头成立“国家网络应急中心”。68 .为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是OA.信息安全需求是安全方案设计和安全措施实施的依据B.信息安全需求应当是从信息系统所有者(用户)的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求C.信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到D.信息安全需求来自于该公众服务信息系统的功能设计方案Ans

24、wer: D解释：信息安全需求来自于法律法规标准符合性要求.业务发展要求.风险评估结果。69 .对系统工程(Systems Engineering, SE)的理解，以下错误的是：A.系统工程偏重于对工程的组织与经营管理进行研究B.系统工程不属于技术实现，而是一种方法论C.系统工程不是一种对所有系统都具有普遍意义的科学方法I).系统工程是组织管理系统规划.研究.制造.试验.使用的科学方法Answer: C保密注册信息安全专业人员考试模拟考试试卷 12 / 16解释：系统工程是一种对所有系统都具有普遍意义的科学方法。71.关于我国信息安全保障的基本原则，下列说法中不正确的是：A.要与国际接轨，积

25、极吸收国外先进经验并加强合作，遵循国际标准和通行做法, 坚持管理与技术并重B.信息化发展和信息安全不是矛盾的关系，不能牺牲方以保证另一方C.在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点D.在国家信息安全保障工作中，要充分发挥国家.企业和个人的积极性，不能忽视任何一方的作用。Answer: A解释：我国信息安全保障首先要遵循国家标准。72. 2005 年，RFC4301 (Request for Comments 4301:Security Architecture for the Internet Protocol)发布，用以取代原先的RFC2401,该标准建议规定了 IPse

26、c系统基础架构，描述如何在IP层 (IPv4/IPv6)位流量提供安全业务。请问此类RFC系列标准建议是由下面哪个组织发布的()。A 国际标准化组织(International Organization for Standardization, ISO)B.国际电工委员会(International Electrotechnical Commission, IEC)C.国际电信联盟远程通信标准化组织(ITU Telecommunication Standardization Secctor, ITU-T)D. Internet 工程任务组(Internet Engineering Task F

27、orce, IETF)Answer: D解释：D为正确Answer。73. GB/T 18336信息技术安全性评估准则是测评标准类中的重要标准，该标准定义了保护轮廊(Protection Profi 1 e, PP)和安全目标(Security Target, ST)的评估准则,提出了评估保证级(EvaluationAssurance Level, EAL),其评估保证级共分为()个递增的评估保证等级。A. 4 B. 5 C. 6 D. 7Answer: D解释：D为正确Answer。74. 应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是()。A.信息安全应

28、急响应，通常是指个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施，也包括事件发生后的应对措施B.应急响应工作有其鲜明的特点：具有高技术复杂性与专业性.强突发性.对知识经验的高依赖性，以及需要广泛的协调与合作C.应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时的正确指挥.事件发生后全面总结D.应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处置和整体协调的重要性Answer: C解糕：应急响应是安全事件发生前的充分准备和事件发生后的响应处理。75

29、. PDCERF方法是信息安全应急响应工作中常用的种方法，它将应急响应分成六个阶段。其中，主要执行如下工作应在哪个阶段：关闭信息系统.和/或修改防火墙和路由器的过滤规则，拒绝来自发起攻击的嫌疑主机流量.和/或封锁被攻破的登录账号等()A.准备阶段B.遏制阶段C.根除阶段1）.检测阶段Answer: B解释：拒绝来自发起攻击的嫌疑主机流量等做法属于遏制阶段的工作。76.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态I令和动态口令。下面找描述中错误的是（）A.所谓静态II令方案，是指用户登录验证身份的过程中，每次输入的口令都是周定.静止

30、不变的B.使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C.动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令I）.通常，动态口令实现方式分为口令序列.时间同步以及挑战/应答等几种类型Answer: C解释：动态口令方案要求其口令不能被收集和预测。保密注册信息安全专业人员考试模拟考试试卷13 / 1677. “统一威胁管理”是将防病毒，入侵检测和防火墙等安全需求统一管理，R 前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为（）

31、A. UTMFWB. IDSSOCAnswer: A解释：Answer为A。78.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能（）。A.检测并分析用户和系统的活动B.核查系统的配置漏洞，评估系统关键资源和数据文件的完整性C.防止IP地址欺骗I）.识别违反安全策略的用户活动Answer: C解释：入侵检测技术是发现安全攻击，不能防止IP欺骗.79.

32、 Gary McGraw博士及其合作者提出软件安全BSI模型应由三根支柱来支撑, 这三个支柱是（）。A.源代码审核.风险分析和渗透测试B.风险管理.安全接触点和安全知识C.威胁建模.渗透测试和软件安全接触点D.威胁建模.源代码审核和模糊测试Answer: B解释：BSI的模型包括风险管理.安全接触点和安全知识。80.以下哪一项不是常见威胁对应的消减措施：A.假冒攻击可以采用身份认证机制来防范B.为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C.为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D.为了防止用户提升权限，可以采用访问控制表的

33、方式来管理权限Answer: C解释：消息验证码不能防止抵赖，而是提供消息鉴别.完整性校验和抗重放攻击。 81.以下关于模糊测试过程的说法正确的是：A.模糊测试的效果与覆盖能力，与输入样本选择不相关B.为保障安全测试的效果和自动化过程，关键是将发现异常进行现场保护记录，系统可能无法恢复异常状态进行后续的测试C.通过异常样本重视异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需要进一步分析其危害性.影响范围和修堂建议D.对于可能产生的大量异常报告，需要人工全部分析异常报告Answer: C解释：C是模糊测试的正确解释。82.国务院信息化工作办公室于2004年7月份下发

34、了关于做好重要信息系统灾难备份工作的通知，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（）A.统筹规划B.分组建设C.资源共享I）.平战结合Answer: B解释：灾备工作原则包括统筹规划.资源共享.平战结合。83.关于信息安全管理体系（Information Security Management Systems, ISMS）, 下面描述错误的是（）oA.信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构.方针.活动.职责及相关实践要素B.管理体系（Management Systems）是为达到组织目标的策略.程序

35、.指南和相关资源的框架，信息安全管理体系是管保密注册信息安全专业人员考试模拟考试试卷D.该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可 Answer: A解释：根据题干是采用HTTP的协议导致的，则Answer为A。4.以下哪个选项不是防火墙提供的安全功能？A. IP地址欺骗防护NATC.访问控制D. SQL注入攻击防护Answer: D解释：题干中针对的是传统防火墙，而SQL注入防护是WAF的主要功能。5.以下关于可信计算说法错误的是：A.可信的主要目的是要建立起主动防御的信息安全保障体系B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的

36、概念C.可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信D.可信计算平台出现后会取代传统的安全防护体系和方法Answer: I)解释：可信计算平台出现后不会取代传统的安全防护体系和方法。6. Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？A. - rwx r-x r-x 3 user admin 1024 Sep 13 11： 58 testd rwx r-x r-x 3 user admin 1024 Sep 13 11： 58 testB.

37、- rwx r-x r-x 3 admin user 1024 Sep 13 11： 58 testd rwx r-x r-x 3 admin user1024 Sep 13 11： 58 testAnswer: A解释：根据题干本题选A。7. Apache Web服务器的配置文件一般位于/usr / local / apache / conf目录，其中用来控制用户访问Apache目录的配置文件是：A. httpd. confsrL confB. access, confInet. confAnswer: A解释：根据题干本题选择A。8.应用软件的数据存储在数据库中，为了保证数据安全，应设置

38、良好的数据库防护策略，以下不属于数据库防护策略的是？A.安装最新的数据库软件安全补丁B.对存储的敏感数据进行安全加密C.不使用管理员权限直接连接数据库系统D.定期对数据库服务器进行重启以确保数据库运行良好Answer: D14 / 16理体系思想和方法在信息安全领域的应用C.概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照IS027001标准定义的管理体系，它是一个组织整体管理体系的组成部分D.同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度.构建信息安全技术防护体系和加强人员的安全意识等内容Answer: A解释：完成安

39、全目标所用各类安全措施的体系。84 .二十世纪二十年代，德国发明家亚瑟谢尔比乌斯发明了 Engmia密码机，按照密码学发展历史阶段划分，这个阶段属于OA.古典密码阶段。这一阶段的密码专家常常靠直觉和技术来设计密码，而不是凭借推理和证明，常用的密码运算方法包括替代方法和转换方法()B.近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步的机电密码设备C.现代密码学早起发展阶段。这一阶段以香农的论文“保密系统的通信理论”为理论基础，开始了对密码学的科学探索D.现代密码学的近期发展阶段。这一阶段以公钥密码思想为标志，引发了密码学历Answer: B解释：根据

40、密码学发展阶段的知识点，Engmia密码机属于近代密码学发展阶段的产物。85 .小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小, 假设单位机房的总价值为400万元人民币，暴露系数是25%,年度发生率为0.2,那么小王计算的年度预期损失应该是()A. 100万元人民币B.400万元人民币C. 20万元人民币180万元人民币Answer: C解释：根据ALE=SLE*ARO=AV*EF*ARO的公式进行计算。86 .小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理风险，请问这种风险处置

41、的方法是()A.降低风险B.规避风险C.放弃风险D.转移风险Answer: B解释：风险处理方式包括降低.规避.接受和转移四种方式。87 .关于信息安全事件和应急响应的描述不正确的是()A.信息安全事件，是指由于自然或人为以及软.硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响事件B.至今已有一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，这就使得信息安全事件的发生是不可能的C.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施D.应急响应工作与其他信息安全管理工作将比有其鲜明的特点：具有高技术

42、复杂性志专业性.强突发性.对知识经验的高依赖性，以及需要广泛的协调与合作Answer: B解释：目前不存在种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护。88 .目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评，关于信息安全产品测评的意义，下列说法中不正确的是()A.有助于建立和实施信息安全产品的市场准入制度B.对用户采购信息安全产品.设计一.建设使用和管理安全的信息系统提供科学公正的专业指导C.对信息安全产品的研究.开发.生产以及信息安全服务的组织提供严格的规范引导和质量监督D.打破市场垄断，为信息安全产品发展创造一个良好的竞争环境Answer

43、: D解释：题干中信息安全产品测评的主要目的是安全作用，不是经济作用。89 .若一个组织声称自己的ISMS符合1S0/TEC27001或GB22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项()A.信息安全方针.信息安全组织.资产管理B.人力资源安全.物理和环境安全.通信和操作管理C.访问控制.信息系统获取.开发和维护.符合性D.规划与建立ISMSAnswer: I)解释：D属于ISMS的工作阶段，不属于措施。90 .信息安全事件和分类方法有多种，依据GB/Z 20986-2007信息安全技术自信安全事件分类分级指南，信息安全事件分保密注册信息安全专业人员考试

44、模拟考试试卷15 / 16为7个基本类别，描述正确的是()A.有害程序事件.网络攻击事件.信息破坏事件.信息内容安全事件.设备设施故隙. 灾害性事件和其他信息安全事件B.网络贡献事件.拒绝服务攻击事件.信息破坏事件.信息内容安全事件.设备设施故障.灾害性事件和其他信息安全事件C.网络攻击事件.网络钓鱼事件.信息破坏事件.信息内容安全事件.设备设施故障.灾害性事件和其他信息安全事件D.网络攻击事件.网络扫描窃听事件.信息破坏事件.信息内容安全事件.设备设施故障.灾害性事件和其他信息安全事件Answer: A解释：根据标准知识点，安全事件分为：有害程序事件.网络攻击事件.信息破坏事件.信

45、息内容安全事件.设备设施故障.灾害性事件和其他信息安全事件。91 .王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他使用了 Nessus工具来扫描和发现数据库服务器的漏洞，根据风险管理的相关理论，他这个是扫描活动属于下面哪一个阶段的工作（）A.风险分析B.风险要素识别C.风险结果判定D.风险处理Answer: B解样：漏洞扫描属于风险要素的脆弱性要素识别，风险要素包括资产.威胁.脆弱性.安全措施。92 .某集团公司信息安全管理员根据领导安排制定了一下年度的培训工作计划. 提出了四大培训任务目标，关于这四个培训任务和目标，作为主管领导，以下选项中正确的是（

46、）A.由于网络安全上升到国家安全的高度，因此网络安全必须得到足够的重视，因此安排了对集团公司下属公司的总经理（一把手）的网络安全法培训B.对下级单位的网络安全管理人员实施全面安全培训，计划全员通过CISP持证培训以确保人员能力得到保障C.对其他信息化相关人员（网络管理员.软件开发人员）也进行安全基础培训，使相关人员对网络安全有所了解D.对全体员工安排信息安全意识及基础安全知识培训，安全全员信息安全意识教育Answer: A解释：对主管领导来讲，主要是培训网络安全法。93 .应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性，事先创定出事件应急响应方法和过程，

47、有助于一个组织在事件发生时阻止混乱的发生成是在混乱状态中迅速恢复控制，将损失和负面影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段，为准备一检测一遏制-，根除一恢复一跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是（）：A.确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤B.在检测阶段，首先要进行监测.报告及信息收集C.遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统.拔掉网线等D.应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤，顺次恢复

48、相关的系统Answer: C解释：不能完全关闭系统的操作。94 .某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用于交换式 T兆以太网为主干，超五类双绞线作水平布线，由大型交换机和路由器连通几个主要的工作区域，在各区域建立一个闭路电视监控系统，再把信号通过网络传输到各监控中心，其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤，下面对于交换机和路由器的安全配置.，操作错误的是（）A.保持当前版本的操作系统，不定期更新交换机操作系统补丁B.控制交换机的物理访问端口，关闭空闲的物理端口C.带外管理交换机，如果不能实现的话，可以利用单独的VLAN号进行带内管理D.安全配置必要的网络服务，关闭不必要的网络服务Answer: A解

展开阅读全文