CISE官方模拟题一.docx
《CISE官方模拟题一.docx》由会员分享,可在线阅读,更多相关《CISE官方模拟题一.docx(32页珍藏版)》请在冰豆网上搜索。
CISE官方模拟题一
CISE模拟题一
一、单选题。
(共100题,共100分,每题1分)
1.信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)由美国国家安全局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南,其中,提出需要防护的三类“焦点区域”是:
a、网络和基础设施区域边界重要服务器
b、网络和基础设施区域边界计算环境
c、网络机房环境网络接口计算环境
d、网络机房环境网络接口重要服务器
最佳答案是:
b
2.某公司开发了一个游戏,但是由于软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5个字节不能传送到对方,关于此案例,可以推断的是()
a、该软件存在性方面安全问题
b、该软件存在完整性方面安全问题
c、该软件存在可用性方面安全问题
d、该软件存在不可否认性方面安全问题
最佳答案是:
b
3.关于信息安全保障技术框架(IATF),以下说法不正确的是:
a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
b、IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
c、允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
最佳答案是:
d
4.信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。
a、中国b、俄罗斯c、美国d、英国
最佳答案是:
c
5.以下哪一项不是我国信息安全保障的原则:
a、立足国情,以我为主,坚持以技术为主
b、正确处理安全与发展的关系,以安全保发展,在发展中求安全
c、统筹规划,突出重点,强化基础性工作
d、明确国家.企业.个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
最佳答案是:
a
6.进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的容也各不相同,以下说法不正确的是:
a、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
b、美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
c、各国普遍重视信息安全事件的应急响应和处理
d、在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系
最佳答案是:
b
7.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
a、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
b、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。
c、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性。
d、实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍。
最佳答案是:
b
8.为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()
a、信息安全需安全方案设计和安全措施实施的依据
b、信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规化,结构化的语言来描述信息系统安全保障需求
c、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
d、信息安全需求来自于该公众服务信息系统的功能设计方案
最佳答案是:
d
9.我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面,以下关于信息安全保障建设主要工作容说法不正确的是:
a、健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
b、建设信息安全基础设施,提供国家信息安全保障能力支撑
c、建立信息安全技术体系,实现国家信息化发展的自主创新
d、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
最佳答案是:
c
10.公司甲做了很多政府安全项目,在为网游公司乙的设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了性能,使用户访问量受限,双方引起争议。
下面说法哪个是错误的:
a、乙对信息安全不重视,低估了黑客能力,不舍得花钱
b、甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
c、甲未充分考虑网游的业务与政府业务的区别
d、乙要综合考虑业务.合规性和风险,与甲共同确定安全需求
最佳答案是:
a
11.关于秘钥管理,下列说法错误的是:
a、科克霍夫原则指出算法的安全性不应基于算法的,而应基于秘钥的安全性
b、通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
c、秘钥管理需要考虑秘钥产生.存储.备份.分配.更新.撤销等生命周期过程的每一个环节
d、在网络通信中。
通信双方可利用Diffie-He11man协议协商出会话密钥
最佳答案是:
b
12.以下属于哪一种认证实现方式:
用户登录时,认证服务器(AuthenticationServer,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令.种子秘钥和随机数混合计算后作为一次性口令,并发送给AS,AS用同样的防腐计算后,验证比较两个口令即可验证用户身份。
a、口令序列b、时间同步c、挑战/应答d、静态口令
最佳答案是:
c
13.以下关于安全套接层协议(SecureSocketsLayer,SSL)说法错误的是:
a、SSL协议位于TCP/IP协议层和应用协议之间
b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输
c、SSL是一种可靠的端到端的安全服务协议
d、SSL是设计用来保护操作系统的
最佳答案是:
d
14.部署互联网协议安全虚拟专用网(InternetProtocolSecurityVirtualPrivateNetwork,IPsecVPN)时,以下说确的是:
a、配置MD5安全算法可以提供可靠地数据加密
b、配置AES算法可以提供可靠的数据完整性验证
c、部署IpsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(SecurityAuthentication,SA)资源的消耗
d、报文验证头协议(AuthenticationHeader,AH)可以提供数据性
最佳答案是:
c
15.某单位系统管理员对组织核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种:
a、强制访问控制b、基于角色的访问控制c、自主访问控制d、基于任务的访问控制
最佳答案是:
c
16.某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:
a、所选择的特征(指纹)便于收集、测量和比较
b、每个人所拥有的指纹都是独一无二的
c、指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成
最佳答案是:
c
17.网络安全产品根据其主要功能,常常可以分为网络边界安全产品、网络连接安全产品、网络应用安全产品等类别。
下面网络安全产品,和其他三个不属同一类网络安全产品的是()
a、入侵检测系统b、安全管理平台c、安装隔离与信息交换系统
d、防火墙
最佳答案是:
b
18.下列哪一种方法属于基于实体“所有”鉴别方法:
a、用户通过自己设置的口令登录系统,完成身份鉴别
b、用户使用个人指纹,通过指纹识别系统的身份鉴别
c、用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别
d、用户使用集成电路卡(如智能卡)完成身份鉴别
最佳答案是:
d
19.关于Kerberos认证协议,以下说法错误的是:
a、只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码
b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全
c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证
d、该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂
最佳答案是:
c
20.以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):
根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。
关于RBAC模型,下列说法错误的是:
a、当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权围,访问请求将被拒绝
b、业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色
c、通过角色,可实现对信息资源访问的控制
d、RBAC模型不能实现多级安全中的访问控制
最佳答案是:
d
21.以下哪个属性不会出现在防火墙的访问控制策略配置中?
a、本局域网地址b、XX服务器地址c、HTTP协议d、病毒类型
最佳答案是:
d
22.IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.
a、对系统开发进行了复核b、对控制和系统的其他改进提出了建议
c、对完成后的系统进行了独立评价
d、积极参与了系统的设计和完成
最佳答案是:
d
23.以下哪个选项不是防火墙技术?
a、IP地址欺骗防护b、NATc、访问控制d、SQL注入攻击防护
最佳答案是:
d
24.某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
a、在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
b、严格设置Web日志权限,只有系统权限才能进行读和写等操作
c、对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等
d、使用独立的分区用于存储日志,并且保留足够大的日志空间
最佳答案是:
a
25.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
c、操作系统上部署防病毒软件,以对抗病毒的威胁
d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
最佳答案是:
b
26.以下关于Windows系统的账号存储管理机制SAM(SecurityAccountsManager)的说法哪个是正确的:
a、存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性
c、存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
d、存储在注册表中的账号数据只有System账户才能访问,具有较高的安全性
最佳答案是:
d
27.某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
a、在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
b、严格设置Web日志权限,只有系统权限才能进行读和写等操作
c、对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等
d、使用独立的分区用于存储日志,并且保留足够大的日志空间
最佳答案是:
a
28.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。
他设置了以下账户锁定策略如下:
复位账户锁定计数器5分钟,
账户锁定时间10分钟,
账户锁定阀值3次无效登录,
以下关于以上策略设置后的说法哪个是正确的:
a、设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住
b、如果正常用户不小心输错了3次密码,那么该用户就会被锁定10分钟,10分钟即使输入正确的密码,也无法登录系统
c、如果正常用户不小心连续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟即使提交了正确的密码也无法登录系统
d、攻击者在进行口令破解时,只要连续输错3次密码,该用户就被锁定10分钟,而正常用户登录不受影响
最佳答案是:
b
29.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘
c、操作系统上部署防病毒软件,以对抗病毒的威胁
d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能
最佳答案是:
b
30.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?
a、安装最新的数据库软件安全补丁
b、对存储的敏感数据进行安全加密
c、不使用管理员权限直接连接数据库系统
d、定期对数据库服务器进行重启以确保数据库运行良好
最佳答案是:
d
31.为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项容要在他的考虑围?
a、关于身份签别技术方面安全知识的培训
b、针对OpenSSL心脏出血漏洞方面安全知识的培训
c、针对SQL注入漏洞的安全编程培训
d、关于ARM系统漏洞挖掘方面安全知识的培训
最佳答案是:
c
32.消息在发送前,用发送者的私钥加密消息容和它的哈希(hash,或译作:
杂选、摘要)值,能够保证:
a、消息的真实性和完整性b、消息的真实性和性c、消息的完整性和性d、性和防抵赖性
最佳答案是:
a
33.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
a、SSHb、HTTPc、FTPd、SMTP
最佳答案是:
a
34.某公司在互联网区域新建了一个WEB,为了保护该主页安全性,尤其是不能让攻击者修改主页容,该公司应当购买并部署下面哪个设备()
a、负载均衡设备b、网页防篡改系统c、网络防病毒系统d、网络审计系统
最佳答案是:
b
35.小在某电器城购买了一台冰箱,并留下了个人、在和电子地址等信,第二天他收到了一封来自电器城提示他中奖的上,查看该后他按照提示操作,纳中奖税款后并没有得到中奖奖金,再打询问电器城才得知电器城并没有开的活动,根据上面的描述,由此可以推断的是()
a、小在电器城登记个人信息时,应当使用加密手段
b、小遭受了钓鱼攻击,钱被骗走了
c、小的计算机中了木马,被远程控制
d、小购买的凌波微步是智能凌波微步,能够自己上网
最佳答案是:
b
36.金女士经常通过计算机网络购物,从安全角度看,下面哪项是不好的操作习惯()?
a、使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件.应用软件进行升级
b、为计算机安装具有良好声誉的安全防软件,包括病毒查杀.安安全检查和安全加固方面的软件
c、在IE的配置中,设置只能下载和安装经过签名的.安全的ActiveX控件
d、在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据
最佳答案是:
a
37.三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友昵称,然后向该好友的其他好友发送一些欺骗消息。
该攻击行为属于以下哪类攻击?
a、口令攻击b、暴力破解c、拒绝服务攻击d、社会工程学攻击
最佳答案是:
d
38.对恶意代码的预防,需要采取增强安全防策略与意识等措施,关于以下预防措施或意识,说法错误的是:
a、在使用来自外部的移动介质前,需要进行安全扫描
b、限制用户对管理员权限的使用
c、开放所有端口和服务,充分使用系统资源
d、不要从不可信来源下载或执行应用程序
最佳答案是:
c
39.关于恶意代码,以下说法错误的是:
a、从传播围来看,恶意代码呈现多平台传播的特征。
b、按照运行平台,恶意代码可以分为网络传播型病毒.文件传播型病毒。
c、不感染的依附性恶意代码无法单独执行
d、为了对目标系统实施攻击和破坏活动,传播途径是恶意代码赖以生存和繁殖的基本条件
最佳答案是:
d
40.对于抽样而言,以下哪项是正确的?
a、抽样一般运用于与不成文或无形的控制相关联的总体
b、如果部控制健全,置信系统可以取的较低
c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样
d、变量抽样是估计给定控制或相关控制集合发生率的技术
最佳答案是:
b
41.某单位发生的管理员小在繁忙的工作中接到了一个,来电者:
小吗?
我是科技处强,我的密码忘记了,现在打不开,我着急收个,麻烦你先帮我把密码改成123,我收完自己修改掉密码。
热心的小很快的满足了来电考的要求。
后来,强发现系统登录异常。
请问以下说法哪个是正确的?
a、小服务态度不好,如果把强的收下来亲自交给强就不会发生这个问题
b、事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器。
c、单位缺乏良好的密码修改操作流程或者小没有按操作流程工作
d、事件属于系统故障,是偶然事件,应向单位领导申请升级服务软件
最佳答案是:
c
42.某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
a、选购当前技术最先进的防火墙即可
b、选购任意一款品牌防火墙
c、任意选购一款价格合适的防火墙产品
d、选购一款同已有安全产品联动的防火墙
最佳答案是:
d
43.关于源代码审核,描述正确的是()
a、源代码审核过程遵循信息安全保障技术框架模型,在执行时应一步一步严格执行
b、源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
c、源代码审核如果想要有效率高,则主要要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
d、源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
最佳答案是:
b
44.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防不足带来的直接损失,也需要关注过度防造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:
a、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实
b、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
c、确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
d、在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行
最佳答案是:
d
45.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法?
a、信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低
b、软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
c、双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
d、双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
最佳答案是:
a
46.微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的是:
a、某用户在登录系统并下载数据后,却声称“我没有下载过数据"软件R威胁
b、某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。
c、对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术
d、对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术
最佳答案是:
d
47.某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?
a、最小权限b、权限分离c、不信任d、纵深防御
最佳答案是:
b
48.某电子商务在开发设计时,使用了威胁建模方法来分折电子商务所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
a、竞争对手可能雇佣攻击者实施DDoS攻击,降低访问速度
b、使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
c、使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
d、使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录
升级会员 