安全考题.docx
《安全考题.docx》由会员分享,可在线阅读,更多相关《安全考题.docx(24页珍藏版)》请在冰豆网上搜索。
安全考题
信息安全题库(2009)
1.下述攻击手段中不属于DOS攻击的是:
()
A.Smurf攻击
B.Land攻击
C.Teardrop攻击
D.CGI溢出攻击
答案:
D。
2.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:
()
A.“普密”、“商密”两个级别
B.“低级”和“高级”两个级别
C.“绝密”、“机密”、“秘密”三个级别
D.“一密”、“二密”、“三密”、“四密”四个级别
答案:
C。
3.多层的楼房中,最适合做数据中心的位置是:
A.一楼
B.地下室
C.顶楼
D.除以上外的任何楼层
答案:
D。
4.下面的哪种组合都属于多边安全模型?
A.TCSEC和Bell-LaPadula
B.ChineseWall和BMA
C.TCSEC和Clark-Wilson
D.ChineseWall和Biba
答案:
B。
5.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?
A.虹膜检测技术
B.语音标识技术
C.笔迹标识技术
D.指纹标识技术
答案:
A。
备注:
[安全技术][访问控制(标识和鉴别)]
6.拒绝服务攻击损害了信息系统的哪一项性能?
A.完整性
B.可用性
C.保密性
D.可靠性
答案:
B。
备注:
[安全技术][安全攻防实践]
7.“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?
A.星型
B.树型
C.环型
D.复合型
答案:
A。
备注:
[安全技术][ICT信息和通信技术]
8.在一个局域网的环境中,其内在的安全威胁包括主动威胁和被动威胁。
以下哪一项属于被动威胁?
A.报文服务拒绝
B.假冒
C.数据流分析
D.报文服务更改
答案:
C。
备注:
[安全技术][安全攻防实践]
9.ChineseWall模型的设计宗旨是:
A.用户只能访问那些与已经拥有的信息不冲突的信息
B.用户可以访问所有信息
C.用户可以访问所有已经选择的信息
D.用户不可以访问那些没有选择的信息
答案:
A。
备注:
[(PT)信息安全架构和模型]-[(BD)安全模型]-[(KA)强制访问控制(MAC)模型]-[(SA)ChineseWall模型],基本概念理解
10.ITSEC中的F1-F5对应TCSEC中哪几个级别?
A.D到B2
B.C2到B3
C.C1到B3
D.C2到A1
答案:
C。
备注:
[(PT)信息安全标准和法律法规]-[(BD)信息安全标准]-[(KA)信息安全技术测评标准],概念记忆。
11.下面哪一个是国家推荐性标准?
A.GB/T18020-1999应用级防火墙安全技术要求
B.SJ/T30003-93电子计算机机房施工及验收规范
C.GA243-2000计算机病毒防治产品评级准则
D.ISO/IEC15408-1999信息技术安全性评估准则
答案:
A。
备注:
[(PT)信息安全标准和法律法规]-[(BD)信息安全法律法规]。
12.密码处理依靠使用密钥,密钥是密码系统里的最重要因素。
以下哪一个密钥算法在加密数据与解密时使用相同的密钥?
A.对称的公钥算法
B.非对称私钥算法
C.对称密钥算法
D.非对称密钥算法
答案:
C。
备注:
[(PT)安全技术]-[(BD)信息安全机制]-[(KA)密码技术和应用],基本概念理解。
13.在执行风险分析的时候,预期年度损失(ALE)的计算是:
A.全部损失乘以发生频率
B.全部损失费用+实际替代费用
C.单次预期损失乘以发生频率
D.资产价值乘以发生频率
答案:
C。
备注:
[(PT)安全管理]-[(BD)关键安全管理过程]-[(KA)风险评估],基本概念。
14.作为业务持续性计划的一部分,在进行风险评价的时候的步骤是:
1.考虑可能的威胁
2.建立恢复优先级
3.评价潜在的影响
4.评价紧急性需求
A.1-3-4-2
B.1-3-2-4
C.1-2-3-4
D.1-4-3-2
答案:
A。
备注:
[安全管理][业务持续性计划]
15.CC中安全功能/保证要求的三层结构是(按照由大到小的顺序):
A.类、子类、组件
B.组件、子类、元素
C.类、子类、元素
D.子类、组件、元素
答案:
A。
备注:
[(PT)信息安全标准和法律法规]-[(BD)信息安全标准]-[(KA)信息安全技术测评标准]-[(SA)CC],概念。
16.有三种基本的鉴别的方式:
你知道什么,你有什么,以及:
A.你需要什么
B.你看到什么
C.你是什么
D.你做什么
答案:
C。
备注:
[(PT)安全技术]-[(BD)信息安全机制]-[(KA)访问控制系统]
17.为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?
A.人际关系技能
B.项目管理技能
C.技术技能
D.沟通技能
答案:
D。
备注:
[(PT)安全管理]-[(BD)组织机构和人员保障],概念。
18.以下哪一种人给公司带来了最大的安全风险?
A.临时工
B.咨询人员
C.以前的员工
D.当前的员工
答案:
D。
备注:
[(PT)安全管理]-[(BD)组织机构和人员保障],概念。
19.SSL提供哪些协议上的数据安全:
A.HTTP,FTP和TCP/IP
B.SKIP,SNMP和IP
C.UDP,VPN和SONET
D.PPTP,DMI和RC4
答案:
A。
20.在Windows2000中可以察看开放端口情况的是:
A.nbtstat
B.net
C.netshow
D.netstat
答案:
D。
21.SMTP连接服务器使用端口
A.21
B.25
C.80
D.110
答案:
选项B。
备注:
[PT-安全技术]-[BD-信息和通信技术(ICT)安全]-[KA-电信和网络安全],基本概念。
22.在计算机中心,下列哪一项是磁介质上信息擦除的最彻底形式?
A.清除
B.净化
C.删除
D.破坏
答案:
D。
备注:
[(PT)安全管理]-[(BD)生命周期安全管理]-[(KA)废弃管理]
23.以下哪一种算法产生最长的密钥?
A.Diffe-Hellman
B.DES
C.IDEA
D.RSA
答案:
D。
24.下面哪一种风险对电子商务系统来说是特殊的?
A.服务中断
B.应用程序系统欺骗
C.未授权的信息泄漏
D.确认信息发送错误
答案:
D。
25.以下哪一项不属于恶意代码?
A.病毒
B.蠕虫
C.宏
D.特洛伊木马
答案:
C。
26.下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:
A.风险过程
B.保证过程
C.工程过程
D.评估过程
答案:
D
27.目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?
A.公安部
B.国家保密局
C.信息产业部
D.国家密码管理委员会办公室
答案:
B。
28.为了保护DNS的区域传送(zonetransfer),你应该配置防火墙以阻止
1.UDP
2.TCP
3.53
4.52
A.1,3
B.2,3
C.1,4
D.2,4
答案:
B。
备注:
[(PT)信息安全技术]-[(BD)安全实践],安全技术实践综合,网络安全和DNS应用安全。
29.在选择外部供货生产商时,评价标准按照重要性的排列顺序是:
1.供货商与信息系统部门的接近程度
2.供货商雇员的态度
3.供货商的信誉、专业知识、技术
4.供货商的财政状况和管理情况
A.4,3,1,2
B.3,4,2,1
C.3,2,4,1
D.1,2,3,4
答案:
B。
30.机构应该把信息系统安全看作:
A.业务中心
B.风险中心
C.业务促进因素
D.业务抑制因素
答案:
C。
31.输入控制的目的是确保:
A.对数据文件访问的授权
B.对程序文件访问的授权
C.完全性、准确性、以及更新的有效性
D.完全性、准确性、以及输入的有效性
答案:
选项D。
32.以下哪个针对访问控制的安全措施是最容易使用和管理的?
A.密码
B.加密标志
C.硬件加密
D.加密数据文件
答案:
C。
33.下面哪种通信协议可以利用IPSEC的安全功能?
I.TCP
II.UDP
III.FTP
A.只有I
B.I和II
C.II和III
D.IIIIII
答案:
D。
34.以下哪一种模型用来对分级信息的保密性提供保护?
A.Biba模型和Bell-LaPadula模型
B.Bell-LaPadula模型和信息流模型
C.Bell-LaPadula模型和Clark-Wilson模型
D.Clark-Wilson模型和信息流模型
答案:
B。
备注:
[(PT)信息安全架构和模型]-[(BD)安全模型]-[(KA)强制访问控制(MAC)模型],基本概念理解
35.下列哪一项能够提高网络的可用性?
A.数据冗余
B.链路冗余
C.软件冗余
D.电源冗余
答案:
选项B。
备注:
[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)电信和网络安全],基本概念。
36.为了阻止网络假冒,最好的方法是通过使用以下哪一种技术?
A.回拨技术
B.呼叫转移技术
C.只采用文件加密
D.回拨技术加上数据加密
答案:
D。
37.一下那一项是基于一个大的整数很难分解成两个素数因数?
A.ECC
B.RSA
C.DES
D.Diffie-Hellman
答案:
B。
38.下面哪一项是对IDS的正确描述?
A.基于特征(Signature-based)的系统可以检测新的攻击类型
B.基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报
C.基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配
D.基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报
答案:
D。
39.ISO9000标准系列着重于以下哪一个方面?
A.产品
B.加工处理过程
C.原材料
D.生产厂家
答案:
B
40.下列哪项是私有IP地址?
A.10.5.42.5
B.172.76.42.5
C.172.90.42.5
D.241.16.42.5
答案:
A
41.以下哪一项是和电子邮件系统无关的?
A.PEM(Privacyenhancedmail)
B.PGP(Prettygoodprivacy)
C.X.500
D.X.400
答案:
C。
42.系统管理员属于
A.决策层
B.管理层
C.执行层
D.既可以划为管理层,又可以划为执行层
答案:
C。
43.为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?
A.进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码
B.进行离职谈话,禁止员工账号,更改密码
C.让员工签署跨边界协议
D.列出员工在解聘前需要注意的所有责任
答案:
A。
44.职责分离是信息安全管理的一个基本概念。
其关键是权力不能过分集中在某一个人手中。
职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。
当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?
A.数据安全管理员
B.数据安全分析员
C.系统审核员
D.系统程序员
答案:
D。
45.下面哪一种攻击方式最常用于破解口令?
A.哄骗(spoofing)
B.字典攻击(dictionaryattack)
C.拒绝服务(DoS)
D.WinNuk
答案:
B。
46.下面哪一项组成了CIA三元组?
A.保密性,完整性,保障
B.保密性,完整性,可用性
C.保密性,综合性,保障
D.保密性,综合性,可用性
答案:
B。
47.Intranet没有使用以下哪一项?
A.Java编程语言
B.TCP/IP协议
C.公众网络
D.电子邮件
答案:
C。
48.TCP三次握手协议的第一步是发送一个:
A.SYN包
B.ACK包
C.UDP包
D.null包
答案:
A。
49.在企业内部互联网中,一个有效的安全控制机制是:
A.复查
B.静态密码
C.防火墙
D.动态密码
答案:
C。
50.从安全的角度来看,运行哪一项起到第一道防线的作用:
A.远端服务器
B.Web服务器
C.防火墙
D.使用安全shell程序
答案:
C。
51.对于一个机构的高级管理人员来说,关于信息系统安全操作的最普遍的观点是:
A.费用中心
B.收入中心
C.利润中心
D.投资中心
答案:
A。
备注:
[安全管理][概述]
52.一个数据仓库中发生了安全性破坏。
以下哪一项有助于安全调查的进行?
A.访问路径
B.时戳
C.数据定义
D.数据分类
答案:
B。
53.在客户/服务器系统中,安全方面的改进应首先集中在:
A.应用软件级
B.数据库服务器级
C.数据库级
D.应用服务器级
答案:
选项C。
54.下面哪种方法产生的密码是最难记忆的?
A.将用户的生日倒转或是重排
B.将用户的年薪倒转或是重排
C.将用户配偶的名字倒转或是重排
D.用户随机给出的字母
答案:
D。
55.从风险分析的观点来看,计算机系统的最主要弱点是:
A.内部计算机处理
B.系统输入输出
C.通讯和网络
D.外部计算机处理
答案:
B。
56.下列哪一个说法是正确的?
A.风险越大,越不需要保护
B.风险越小,越需要保护
C.风险越大,越需要保护
D.越是中等风险,越需要保护
答案:
C。
57.在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。
以下哪一层提供了抗抵赖性?
A.表示层
B.应用层
C.传输层
D.数据链路层
答案:
B
备注:
[信息安全架构和模型]
58.保护轮廓(PP)是下面哪一方提出的安全要求?
A.评估方
B.开发方
C.用户方
D.制定标准方
答案:
C。
59.在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?
A.标准(Standard)
B.安全策略(Securitypolicy)
C.方针(Guideline)
D.流程(Procedure)
答案:
A。
60.软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。
以下哪一项是这种情况面临的最主要风险?
A.软件中止和黑客入侵
B.远程监控和远程维护
C.软件中止和远程监控
D.远程维护和黑客入侵
答案:
A。
61.从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:
A.内部实现
B.外部采购实现
C.合作实现
D.多来源合作实现
答案:
选项A。
62.操作应用系统由于错误发生故障。
下列哪个控制是最没有用的?
A.错误总计
B.日志
C.检查点控制
D.恢复记录
答案:
选项A。
63.在许多组织机构中,产生总体安全性问题的主要原因是:
A.缺少安全性管理
B.缺少故障管理
C.缺少风险分析
D.缺少技术控制机制
答案:
A。
备注:
[PT-安全管理]-[BD-组织机构和人员保障],概念。
64.如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?
A.自动软件管理
B.书面化制度
C.书面化方案
D.书面化标准
答案:
A。
65.以下人员中,谁负有决定信息分类级别的责任?
A.用户
B.数据所有者
C.审计员
D.安全官
答案:
B。
66.当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?
A.已买的软件
B.定做的软件
C.硬件
D.数据
答案:
D。
67.以下哪一项安全目标在当前计算机系统安全建设中是最重要的?
A.目标应该具体
B.目标应该清晰
C.目标应该是可实现的
D.目标应该进行良好的定义
答案:
C。
68.哪一项描述了使用信息鉴权码(MAC)和数字签名之间的区别?
A.数字签名通过使用对称密钥提供系统身份鉴别。
B.数据来源通过在MAC中使用私钥来提供。
C.因为未使用私钥,MAC只能提供系统鉴别而非用户身份鉴别。
D.数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别。
答案:
C。
69.在桔皮书(theOrangeBook)中,下面级别中哪一项是第一个要求使用安全标签(securitylabel)的?
A.B3
B.B2
C.C2
D.D
答案:
B。
70.数据库视图用于?
A.确保相关完整性
B.方便访问数据
C.限制用户对数据的访问.
D.提供审计跟踪
答案:
C。
71.下面哪一项最好地描述了风险分析的目的?
A.识别用于保护资产的责任义务和规章制度
B.识别资产以及保护资产所使用的技术控制措施
C.识别资产、脆弱性并计算潜在的风险
D.识别同责任义务有直接关系的威胁
答案:
C。
72.KerBeros算法是一个
A.面向访问的保护系统
B.面向票据的保护系统
C.面向列表的保护系统
D.面向门与锁的保护系统
答案:
B。
73.下面哪一项不是主机型入侵检测系统的优点?
A.性能价格比高
B.视野集中
C.敏感细腻
D.占资源少
答案:
D。
备注:
[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)电信和网络安全],基本概念。
74.以下哪一项是伪装成有用程序的恶意软件?
A.计算机病毒
B.特洛伊木马
C.逻辑炸弹
D.蠕虫程序
答案:
B。
备注:
[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)应用安全]-[(SA)恶意代码]
75.计算机病毒会对下列计算机服务造成威胁,除了:
A.完整性
B.有效性
C.保密性
D.可用性
答案:
C。
备注:
[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)应用安全]-[(SA)恶意代码]
76.以下哪一种局域网传输媒介是最可靠的?
A.同轴电缆
B.光纤
C.双绞线(屏蔽)
D.双绞线(非屏蔽)
答案:
B。
77.以下哪一项计算机安全程序的组成部分是其它组成部分的基础?
A.制度和措施
B.漏洞分析
C.意外事故处理计划
D.采购计划
答案:
A。
78.描述系统可靠性的主要参数是:
A.平均修复时间和平均故障间隔时间
B.冗余的计算机硬件
C.备份设施
D.应急计划
答案:
A。
79.对不同的身份鉴别方法所提供的防止重用攻击的功效,按照从大到小的顺序,以下排列正确的是:
A.仅有密码,密码及个人标识号(PIN),口令响应,一次性密码
B.密码及个人标识号(PIN),口令响应,一次性密码,仅有密码
C.口令响应,一次性密码,密码及个人标识号(PIN),仅有密码
D.口令响应,密码及个人标识号(PIN),一次性密码,仅有密码
答案:
C。
备注:
[安全技术][访问控制系统]
80.密码分析的目的是什么?
A.确定加密算法的强度
B.增加加密算法的代替功能
C.减少加密算法的换位功能
D.确定所使用的换位
答案:
A。
81.RSA与DSA相比的优点是什么?
A.它可以提供数字签名和加密功能
B.由于使用对称密钥它使用的资源少加密速度快
C.前者是分组加密后者是流加密
D.它使用一次性密码本
答案:
A。
82.按照SSE-CMM,能力级别第三级是指:
A.定量控制
B.计划和跟踪
C.持续改进
D.充分定义
答案:
D。
83.下面选项中不属于数据库安全模型的是:
A.自主型安全模型
B.强制型安全模型
C.基于角色的模型
D.访问控制矩阵
答案:
C。
84.CC中的评估保证级(EAL)分为多少级?
A.6级
B.7级
C.5级
D.4级
答案:
B。
85.覆盖和消磁不用在对以下哪一种计算机存储器或存储媒介进行清空的过程?
A.随机访问存储器(RAM)
B.只读存储器(ROM)
C.磁性核心存储器
D.磁性硬盘
答案:
B。
备注:
[(PT)安全管理]-[(BD)生命周期安全管理]-[(KA)废弃管理]
86.信息系统安全主要从几个方面进行评估?
A.1个(技术)
B.2个(技术、管理)
C.3个(技术、管理、工程)
D.4个(技术、管理、工程、应用)
答案:
C。
87.“可信计算基(TCB)”不包括:
A.执行安全策略的所有硬件
B.执行安全策略的软件
C.执行安全策略的程序组件
D.执行安全策略的人
答案:
D。
88.数字证书在InternationalTelecommunicationsUnion(ITU)的哪个标准中定义的?
A.X.400
B.X.25
C.X.12
D.X.509
答案:
D。
备注:
[(PT)安全技术]-[(BD)信息安全机制]-[(KA)密码技术和应用],基本概念。
89.OSI的第五层是:
A.会话层
B.传输层
C.网络层
D.表示层
答案:
A。
备注:
[(PT)安全技术]-[(BD)信息和通信技术(ICT)安全]-[(KA)电信和网络安全],基本概念。
90.HTTP,FTP,SMTP建立在OSI模型的那一层?
A.2层–数据链路层
B.3层–网络层
C.4层–传输层
D.7层–应用层
答案:
D
91.下面哪种安全代码最难以用遍历的方法来破解?
A.密文
B.用户口令
C.锁定口令
D.口令代码
答案:
A。
备注:
[安全技术]-[访问控制系统];
密文有长度长的优点(大于80个字符),这使得它难于猜测,并且难于使用遍历的方法来获得。
92.可信计算机安全评估准则(TCSEC)与什么有关:
A.桔皮书
B.IS
升级会员 