CISP强化练习卷D含答案及解释.docx
《CISP强化练习卷D含答案及解释.docx》由会员分享,可在线阅读,更多相关《CISP强化练习卷D含答案及解释.docx(39页珍藏版)》请在冰豆网上搜索。
CISP强化练习卷D含答案及解释
强化练习卷(D)【加强版】
(时间:
120分钟数量:
120题题型:
单选题)
1/23
1.我国信息安全保障工作先后经历启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各阶段说法不正确的是:
A.2001国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动
B.2003年7月,国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发27号文),明确了“积极防御、综合防范“的国家信息安全保障方针
C.2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段
D.在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息安全等级保护和风险评估取得了新进展。
答案:
C
解释:
2006年进入到深化落实阶段。
2.金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的习惯:
A使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级
B为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
C在IE的配置中,设置只能下载和安装经过签名的,安全的ActiveX控件
D在使用网络浏览器时,设置不在计算机中保留网络历史纪录和表单数据
答案:
A
解释:
A为正确答案。
3.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于安全保障建设主要工作内容说法不正确的是:
A.建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B.建设信息安全基础设施,提供国家信息安全保障能力支撑
C.建立信息安全技术体系,实现国家信息化发展的自主创新
D.建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
答案:
C
解释:
实现自主创新在过去的的保障中为自主可控。
4.某银行信息系统为了满足业务的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素
A.信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准
B.信息系统所承载该银行业务正常运行的安全需求
C.消除或降低该银行信息系统面临的所有安全风险
D.该银行整体安全策略
答案:
C
解释:
无法消除或降低该银行信息系统面临的所有安全风险。
5.信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是:
A.信息产品安全评估是测评机构的产品的安全性做出的独立评价,增强用户对已评估产品安全的信任
B.目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
C.信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。
D.信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出游针对性的安全防护策略和整改措施
答案:
B
解释:
测评包括风险评估、保障测评和等级保护测评。
6.美国的关键信息基础设施(CriticalInformationInfrastructure,Cn)包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:
A.这些行业都关系到国计民生,对经济运行和国家安全影响深远
B.这些行业都是信息化应用广泛的领域
C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出
D.这些行业发生信息安全事件,会造成广泛而严重的损失。
答案:
C
解释:
从题目中不能反映C的结论。
7.在设计信息系统安全保障方案时,以下哪个做法是错误的:
A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案障碍
答案:
c
解释:
设计信息系统安全保障方案应采用合适的技术。
8.分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()
A.分组密码算法要求输入明文按组分成固定长度的块
B.分组密码的算法每次计算得到固定长度的密文输出块
C.分组密码算法也称作序列密码算法
D.常见的DES、IDEA算法都属于分组密码算法
答案:
C
解释:
分组密码算法和序列算法是两种算法。
9.密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。
下面描述中,错误的是()
A.在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步骤可以不明确处理方式。
B.密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行。
C.根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可能是敌人和互相完全不信任的人。
D.密码协议(Cryptographicprotocol),有时也称安全协议(securityprotocol),是使用密码学完成某项特定的任务并满足安全需求的协议,其末的是提供安全服务。
答案:
A
解释:
密码协议应限制和框住的执行步骤,有些复杂的步骤必须要明确处理方式。
10.部署互联网协议安全虚拟专用网(InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN)时,以下说法正确的是:
A.配置MD5安全算法可以提供可靠的数据加密
B.配置AES算法可以提供可靠的数据完整性验证
C.部署IPsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(SecurityAuthentication,SA)资源的消耗
D.报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性
答案:
C
解释:
A错误,MD5提供完整性;B错误,AES提供的保密性;D错误,AH协议提供完整性、验证及抗重放攻击。
11.虚拟专用网络(VPN)通常是指在公共网路中利用隧道技术,建立一个临时的,安全的网络。
这里的宇母P的正确解释是()
A.Special-purpose.特定、专用用途的
B.Proprietary专有的、专卖的
C.Private私有的、专有的
D.Specific特种的、具体的
答案:
C
12.以下Windows系统的账号存储管理机制SAM(SecurityAccoumtsManager)的说法哪个是正确的:
A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据administrator账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据只有System账号才能访问,具有较高的安全性
解释:
D为正确答案。
13.某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()
A.安全路由器
B.网络审计系统
C.网页防篡改系统
D.虚拟专用网(VirtualPrivateNetwork,VPN)系统
答案:
C
解释:
网页防篡改系统用来防范WEB篡改。
14.关于恶意代码,以下说法错误的是:
A.从传播范围来看,恶意代码呈现多平台传播的特征。
B.按照运行平台,恶意代码可以分为网络传播型病毒、文件传播型病毒。
C.不感染的依附性恶意代码无法单独执行
D.为了对目标系统实施攻击和破坏,传播途径是恶意代码赖以生存和繁殖的基本条件
答案:
B
解释:
按照运行平台,恶意代码可以分为Windows平台、Linux平台、工业控制系统等。
15.某公司为加强员工的信息安全意识,对公司员工进行相关的培训,在介绍相关第三方人员通过社会工程学入侵公司信息系统时,提到连以下几点要求,其中在日常工作中错误的是()
A.不轻易泄露敏感信息
B.再相信任何人之前先校验其真实的身份
C.不违背公司的安全策略
D.积极配合来自电话、有点的任何业务要求,即使是马上提供本人的口令信息
16.当前,应用软件安全已经日益引起人们的重视,每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。
下列选项中,哪个与应用软件漏洞成因无关:
A.传统的软件开发工程未能充分考虑安全因素
B.开发人员对信息安全知识掌握不足
C.相比操作系统而言,应用软件编码所采用的高级语言更容易出现漏洞
D.应用软件的功能越来越多,软件越来越复杂,更容易出现漏洞
答案:
C
解释:
无论高级和低级语言都存在漏洞。
17.下面哪个模型和软件安全开发无关()?
A.微软提出的“安全开发生命周期(SecurityDevelopmentLifecycle,SDL)”
B.GrayMcGraw等提出的“使安全成为软件开发必须的部分(BuildingSecurityIN,BSI)”
C.OWASP维护的“软件保证成熟度模型(SoftwareAssuranceMaturityMode,SAMM)”
D.“信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)”
答案:
d
解释:
D与软件安全开发无关,ABC均是软件安全开发模型。
18.某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是:
A.模拟正常用户输入行为,生成大量数据包作为测试用例
B.数据处理点、数据通道的入口点和可信边界点往往不是测试对象
C.监测和记录输入数据后程序正常运行的情况
D.深入分析测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
答案:
D
解释:
A错误,模糊测试是模拟异常输入;B错误,入口与边界点是测试对象;C模糊测试记录和检测异常运行情况。
19.以下关于模糊测试过程的说法正确的是:
A.模糊测试的效果与覆盖能力,与输入样本选择不相关
B.为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
C.通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议对于可能产生的大量异常报告,需要人工全部分析异常报告
答案:
C
解释:
C为模糊测试的涵义解释。
20.关于WI-FI联盟提出的安全协议WPA和WPA2的区别。
下面描述正确的是()
A.WPA是有线局域安全协议,而WPA2是无线局域网协议
B.WPA是适用于中国的无线局域安全协议,WPA2是使用于全世界的无线局域网协议
C.WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
D.WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制定的
答案:
D
解释:
答案为D。
21.防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是
A.既能物理隔离,又能逻辑隔离
B.能物理隔离,但不能逻辑隔离
C.不能物理隔离,但是能逻辑隔离
D.不能物理隔离,也不能逻辑隔离
答案:
C
解释:
答案为C。
22.异常入侵检测是入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为。
下面说法错误的是
A.在异常入侵检测中,观察的不是已知的入侵行为,而是系统运行过程中的异常现象
B.实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生
C.异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警
D.异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为
答案:
B
解释:
实施误用入侵检测(或特征检测),是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生。
23.S公司在全国有20个分支机构,总部由10台服务器、200个用户终端,每个分支机构都有一台服务器、100个左右用户终端,通过专网进行互联互通。
公司招标的网络设计方案中,四家集成商给出了各自的IP地址规划和分配的方法,作为评标专家,请给5公司选出设计最合理的一个:
A.总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x---192.168.20.x
B.总部服务器使用10.0.1.1—11、用户终端使用10.0.1.12—212,分支机构IP地址随意
确定即可
C.总部服务器使用10.0.1.x、用户端根据部门划分使用10.0.2.x,每个分支机构分配两个A类地址段,一个用做服务器地址段、另外一个做用户终端地址段
D.因为通过互联网连接,访问的是互联网地址,内部地址经NAT映射,因此IP地址无需特别规划,各机构自行决定即可。
答案:
C
解释:
答案为C,考核的是IP地址规划的体系化。
24.安全评估技术采用()这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
A.安全扫描器
B.安全扫描仪
C.自动扫描器
D.自动扫描仪
25.私有IP地址是一段保留的IP地址。
只适用在局域网中,无法在Internet上使用。
关于私有地址,下面描述正确的是()。
A.A类和B类地址中没有私有地址,C类地址中可以设置私有地址
B.A类地址中没有私有地址,B类和C类地址中可以设置私有地址
C.A类、B类和C类地址中都可以设置私有地址
D.A类、B类和C类地址中都没有私有地址
答案:
C
26.口令破解是针对系统进行攻击的常用方法,windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略,关于这两个策略说明错误的是
A.密码策略主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控
B.密码策略对系统中所有的用户都有效
C.账户锁定策略的主要作用是应对口令暴力破解攻击,能有效地保护所有系统用户应对口令暴力破解攻击
D.账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击
答案:
D
解释:
.账户锁定策略也适用于administrator账户。
27.windows文件系统权限管理使用访问控制列表(AccessControlList.ACL)机制,以下哪
个说法是错误的:
A.安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需
要NTFS文件格式的支持
B.由于Windows操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题
C.Windows的ACL机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中的
D.由于ACL具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限
答案:
C
解释:
Windows的ACL机制中,文件和文件夹的权限是客体关联的,即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。
28.小张在一不知名的网站上下载了鲁大师并进行了安装,电脑安全软件提示该软件有恶意捆绑,小张惊出一身冷汗,因为他知道恶意代码将随之进入系统后悔对他的系统信息安全造成极大的威胁,那么恶意代码的软件部署常见的实现方式不包括()
A.攻击者在获得系统的上传权限后,将恶意代码部署到目标系统
B.恶意代码自身就是软件的一部分,随软件部署传播
C.内嵌在软件中,当文件被执行时进入目标系统
D.恶意代码通过网上激活
29.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。
他设置了以下账户锁定策略如下:
^账户锁定阀值3次无效登陆;
^账户锁定时间10分钟;
^复位账户锁定计数器5分钟;
以下关于以上策略设置后的说法哪个是正确的()
A.设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B.如果正常用户不小心输错了3次密码,那么该账户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统
C.如果正常用户不小心连续输入错误密码3次,那么该拥护帐号被锁定5分钟,5分钟内即使交了正确的密码,也无法登录系统
D.攻击者在进行口令破解时,只要连续输错3次密码,该账户就被锁定10分钟,而正常拥护登陆不受影响
答案:
B
解释:
答案为B,全部解释为5分钟计数器时间内错误3次则锁定10分钟。
30.加密文件系统(EncryptingFileSystem,EFS)是Windows操作系统的一个组件,以下说法错误的是()
A.EFS采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B.EFS以公钥加密为基础,并利用了widows系统中的CryptoAPI体系结构
C.EFS加密系统适用于NTFS文件系统合FAT32文件系统(Windows环境下)
D.EFS加密过程对用户透明,EFS加密的用户验证过程是在登陆windows时进行的
答案:
C
解释:
答案为C,FAT32不支持EFS加密。
31.操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境,操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。
操作系统的自身的不安全性,系统开发设计的不同而留下的破绽,都给网络安全留下隐患。
某公司的网络维护师为实现该公司操作系统的安全目标,按书中所学建立了相应的安全机制,这些机制不包括()
A.标识与鉴别
B.访问控制
C.权限管理
D.网络云盘存取保护
32.关于数据库恢复技术,下列说法不正确的是:
A.数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复
B.数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术
C.日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复
D.计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交
答案:
d
解释:
利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为回滚。
33.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。
以下关于数据库常用的安全策略理解不正确的是:
A.最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
B.最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息
C.粒度最小的策略,将数据库中数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度
D.按内容存取控制策略,不同权限的用户访问数据库的不同部分
答案:
B
解释:
数据库安全策略应为最小共享。
34.数据在进行传输前,需要由协议自上而下对数据进行封装。
TCP/IP协议中,数据封装的顺序是:
A.传输层、网络接口层、互联网络层
B.传输层、互联网络层、网络接口层
C.互联网络层、传输层、网络接口层
D.互联网络层、网络接口层、传输层
答案:
B
解释:
答案为B。
35.以下关于SMTP和POP3协议的说法哪个是错误的
A.SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议
B.SMTP和POP3协议铭文传输数据,因此存在数据泄露的可能
C.SMTP和POP3协议缺乏严格的用户认证,因此导致了垃圾邮件问题
D.SMTP和POP3协议由于协议简单,易用性更高,更容易实现远程管理邮件
答案:
D
解释:
基于HTTP协议或C/S客户端实现邮件的远程管理。
36.以下哪些因素属于信息安全特征?
()
A.系统和网络的安全
B.系统和动态的安全
C.技术、管理、工程的安全
D.系统的安全;动态的安全;无边界的安全;非传统的安全
37.安全多用途互联网邮件扩展(SecureMultipurposeInternetMailExtension,S/MIME)是指
一种保障邮件安全的技术,下面描述错误的是()
A.S/MIME采用了非对称密码学机制
B.S/MIME支持数宇证书
C.S/MIME采用了邮件防火墙技术
D.S/MIME支持用户身份认证和邮件加密
答案:
C
解释:
S/MIME是邮件安全协议,不是防火墙技术。
38.应用安全,一般是指保障应用程序使用过程和结果的安全。
以下内容中不属于应用安全防护考虑的是()
A.身份鉴别,应用系统应对登陆的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问
C.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区的信息被非授权的访问
D.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
答案:
D
解释:
机房与设施安全属于物理安全,不属于应用安全。
39.ApacheHttpServer(简称Apache)是一个开放源码的WEB服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。
从安全角度出发,为隐藏这些信息,应当采取以下那种措施()
A.安装后,修改访问控制配置文件
B.安装后,修改配置文件Httpd.Conf中的有关参数
C.安装后,删除ApacheHttpServer源码
D.从正确的官方网站下载ApacheHttpServer,并安装使用
答案:
B
40.下面信息安全漏洞理解错误的是:
A.讨论漏洞应该从生命周期的角度出发,信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞
B.信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段,由于设计、开发等相关人员无意中产生的缺陷所造成的
C.信息安全漏洞如果被恶意攻击者成功利用,可能会给信息产品和信息系统带来安全损害,甚至带来很大的经济损失
D.由于人类思维能力、计算机计算能力的局限性等因素,所以在信息产品和信息系统中产生新的漏洞是不可避免的
答案:
B
解释:
安全漏洞可以有意产生,也会无意产生。
41.下面对“零日(zero—day)漏洞”的理解中,正确的是()
A.指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限
B.指一个特定的漏洞,特指在2010年被
升级会员 