CISE官方模拟题一.docx
《CISE官方模拟题一.docx》由会员分享,可在线阅读,更多相关《CISE官方模拟题一.docx(25页珍藏版)》请在冰豆网上搜索。
CISE官方模拟题一
CISE模拟题一
一、单项选择题。
(共100题,共100分,每题1分)
1.信息平安保障技术框架(InformationAssuranceTechnicalFramework,IATF)由美国国家平安局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施平安提供技术指南,其中,提出需要防护的三类“核心区域”是:
a、网络和基础设施区域边界重要效劳器
b、网络和基础设施区域边界计算环境
c、网络机房环境网络接口计算环境
d、网络机房环境网络接口重要效劳器
最正确答案是:
b
2.某公司开发了一个游戏网站,可是由于网站软件存在漏洞,在网络中传输大数据包时老是会丢失一些数据,如一次性传输大于2000个字节数据时,老是会有3到5个字节不能传送到对方,关于此案例,能够推断的是()
a、该网站软件存在保密性方面平安问题
b、该网站软件存在完整性方面平安问题
c、该网站软件存在可用性方面平安问题
d、该网站软件存在不可否定性方面平安问题
最正确答案是:
b
3.关于信息平安保障技术框架(IATF),以下说法不正确的选项是:
a、分层策略许诺在适当的时候采纳低平安级保障解决方案以便降低信息平安保障的本钱
b、IATF从人.技术和操作三个层面提供一个框架实施多层爱惜,使解决者即便攻破一层也无法破坏整个信息基础设施
c、许诺在关键区域(例如区域边界)利用高平安级保障解决方案,确保系统平安性
d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息平安保障机制
最正确答案是:
d
4.信息平安保障是网络时期各国保护国家平安和利益的首要任务,以下哪个国家最先将网络平安上长升为国家平安战略,并制定相关战略打算。
a、中国b、俄罗斯c、美国d、英国
最正确答案是:
c
5.以下哪一项不是我国信息平安保障的原那么:
a、立足国情,以我为主,坚持以技术为主
b、正确处置平安与进展的关系,以平安保进展,在进展中求平安
c、统筹计划,突出重点,强化基础性工作
d、明确国家.企业.个人的责任和义务,充分发挥各方面的踊跃性,一起构筑国家信息平安保障体系
最正确答案是:
a
6.进入21世纪以来,信息平安成为世界各国平安战略关注的重点,纷纷制定并公布网络空间平安战略,但各国历史.国情和文化不同,网络空间平安战略的内容也各不相同,以下说法不正确的选项是:
a、与国家平安、社会稳固和民生紧密相关的关键基础设施是各国平安保障的重点
b、美国尚未设立中央政府级的专门机构处置网络信息平安问题,信息平安治理职能由不同政府部门的多个机构一起承担
c、各国普遍重视信息平安事件的应急响应和处置
d、在网络平安战略中,各国均强调增强政府治理力度,充分利用社会资源,发挥政府与企业之间的合作关系
最正确答案是:
b
7.我国党和政府一直重视信息平安工作,我国信息平安保障工作也取得了明显成效,关于我国信息平安实践工作,下面说法错误的选项是()
a、增强信息平安标准化建设,成立了“全国信息平安标准化技术委员会”制订和发布了大量信息平安技术,治理等方面的标准。
b、重视信息平安应急处置工作,确信由国家密码治理局牵头成立“国家网络应急中心”推动了应急处置和信息通报技术合作工作进展。
c、推动信息平安品级爱惜工作,研究制定了多个有关信息平安品级爱惜的标准和标准,重点保障了关系国定平安,经济命脉和社会稳固等方面重要信息系统的平安性。
d、实施了信息平安风险评估工作,探讨了风险评估工作的大体规律和方式,查验并修改完善了有关标准,培育和锻炼了人材队伍。
最正确答案是:
b
8.为保障信息系统的平安,某经营公众效劳系统的公司预备并编制一份针对性的信息平安保障方案,并严格编制任务交给了小王,为此,小王决定第一编制出一份信息平安需求描述报告,关于此项工作,下面说法错误的选项是()
a、信息平安需求是平安方案设计和平安方法实施的依据
b、信息平安需求应当是从信息系统所有者(用户)的角度动身,利用标准化,结构化的语言来描述信息系统平安保障需求
c、信息平安需求应当基于信息平安风险评估结果,业务需求和有关政策法规和标准的合规性要求取得
d、信息平安需求来自于该公众效劳信息系统的功能设计方案
最正确答案是:
d
9.我国信息平安保障建设包括信息平安组织与治理体制.基础设施.技术体系等方面,以下关于信息平安保障建设要紧工作内容说法不正确的选项是:
a、健全国家信息平安组织与治理体制机制,增强信息平安工作的组织保障
b、建设信息平安基础设施,提供国家信息平安保障能力支撑
c、成立信息平安技术体系,实现国家信息化进展的自主创新
d、成立信息平安人材培育体系,加速信息平安学科建设和信息平安人材培育
最正确答案是:
c
10.公司甲做了很多政府网站平安项目,在为网游公司乙的网站设计平安保障方案时,借鉴以前项目体会,为乙设计了多重数据加密平安方法,但用户提出不需要这些加密方法,理由是阻碍了网站性能,利用户访问量受限,两边引发争议。
下面说法哪个是错误的:
a、乙对信息平安不重视,低估了黑客能力,不舍得花钱
b、甲在需求分析时期没有进行风险评估,所部署的加密针对性不足,造成浪费
c、甲未充分考虑网游网站的业务与政府网站业务的区别
d、乙要综合考虑业务.合规性和风险,与甲一起确信网站平安需求
最正确答案是:
a
11.关于秘钥治理,以下说法错误的选项是:
a、科克霍夫原那么指出算法的平安性不该基于算法的保密,而应基于秘钥的平安性
b、保密通信进程中,通信方利用之前用过的会话秘钥成立会话,不阻碍通信平安
c、秘钥治理需要考虑秘钥产生.存储.备份.分派.更新.撤销等生命周期进程的每一个环节
d、在网络通信中。
通信两边可利用Diffie-He11man协议协商出会话密钥
最正确答案是:
b
12.以下属于哪一种认证明现方式:
用户登录时,认证效劳器(AuthenticationServer,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令.种子秘钥和随机数混合计算后作为一次性口令,并发送给AS,AS用一样的防腐计算后,验证比较两个口令即可验证用户身份。
a、口令序列b、时刻同步c、挑战/应答d、静态口令
最正确答案是:
c
13.以下关于平安套接层协议(SecureSocketsLayer,SSL)说法错误的选项是:
a、SSL协议位于TCP/IP协议层和应用协议之间
b、SSL协议普遍应用于web阅读器与效劳器之间的身份认证和加密数据传输
c、SSL是一种靠得住的端到端的平安效劳协议
d、SSL是设计用来爱惜操作系统的
最正确答案是:
d
14.部署互联网协议平安虚拟专用网(InternetProtocolSecurityVirtualPrivateNetwork,IPsecVPN)时,以下说法正确的选项是:
a、配置MD5平安算法能够提供靠得住地数据加密
b、配置AES算法能够提供靠得住的数据完整性验证
c、部署IpsecVPN网络时,需要考虑IP地址的计划,尽可能在分支节点利用能够聚合的IP地址段,来减少IPsec平安关联(SecurityAuthentication,SA)资源的消耗
d、报文验证头协议(AuthenticationHeader,AH)能够提供数据机密性
最正确答案是:
c
15.某单位系统治理员对组织内核心资源的访问制定访问策略,针对每一个用户指明能够访问的资源,关于不在指定资源列表中的对象不许诺访问,该访问操纵策略属于以下哪一种:
a、强制访问操纵b、基于角色的访问操纵c、自主访问操纵d
、基于任务的访问操纵
最正确答案是:
c
16.某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的辨别技术相较,关于此种辨别技术说法不正确的选项是:
a、所选择的特点(指纹)便于搜集、测量和比较
b、每一个人所拥有的指纹都是并世无双的
c、指纹信息是每一个人特有的,指纹识别系统不存在平安要挟问题
d、此类系统一样由用户指纹信息搜集和指纹信息识别两部份组成
最正确答案是:
c
17.网络平安产品依照其要紧功能,常常能够分为网络边界平安产品、网络连接平安产品、网络应用平安产品等类别。
下面网络平安产品,和其他三个不属同一类网络平安产品的是()
a、入侵检测系统b、平安治理平台c、安装隔离与信息互换系统
d、防火墙
最正确答案是:
b
18.以下哪一种方式属于基于实体“所有”辨别方式:
a、用户通过自己设置的口令登录系统,完成身份辨别
b、用户利用个人指纹,通过指纹识别系统的身份辨别
c、用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份辨别
d、用户利用集成电路卡(如智能卡)完成身份辨别
最正确答案是:
d
19.关于Kerberos认证协议,以下说法错误的选项是:
a、只要用户拿到了认证效劳器(AS)发送的单据许可单据(TGT)而且该TGT没有过时,就能够够利用该TGT通过单据授权效劳器(TGS)完成到任一个效劳器的认证而没必要从头输入密码
b、认证效劳器(AS)和单据授权效劳器(TGS)是集中式治理,容易形成瓶颈,系统的性能和平安也严峻依托于AS和TGS的性能和平安
c、该协议通过用户取得单据许可单据、用户取得效劳许可单据、用户取得效劳三个时期,仅支持效劳器对用户的单向认证
d、该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥治理较复杂
最正确答案是:
c
20.以下场景描述了基于角色的访问操纵模型(Role-basedAccessControl.RBAC):
依照组织的业务要求或治理要求,在业务系统中设置假设干职位.职位或分工,治理员负责将权限(不同类别和级别的)别离给予承担不同工作职责的用户。
关于RBAC模型,以下说法错误的选项是:
a、当用户请求访问某资源时,若是其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
b、业务系统中的职位.职位或分工,可对应RBAC模型中的角色
c、通过角色,可实现对信息资源访问的操纵
d、RBAC模型不能实现多级平安中的访问操纵
最正确答案是:
d
21.以下哪个属性可不能出此刻防火墙的访问操纵策略配置中?
a、本局域网内地址b、XX效劳器地址c、HTTP协议d、病毒类型
最正确答案是:
d
22.IS审计师参与应用系统开发,他们从事以下哪项能够致使独立性的减弱.
a、对系统开发进行了复核b、对操纵和系统的其他改良提出了建议
c、对完成后的系统进行了独立评判
d、踊跃参与了系统的设计和完成
最正确答案是:
d
23.以下哪个选项不是防火墙技术?
a、IP地址欺骗防护b、NATc、访问操纵d、SQL注入解决防护
最正确答案是:
d
24.某公司系统治理员最近正在部署一台Web效劳器,利用的操作系统是Windows,在进行日记平安治理设置时,系统治理员拟定四条日记平安策略给领导进行参考,其中能有效应付解决者取得系统权限后对日记进行修改的策略是:
a、在网络中单独部署syslog效劳器,将Web效劳器的日记自动发送并存储到该syslog日记效劳器中
b、严格设置Web日记权限,只有系统权限才能进行读和写等操作
c、对日记属性进行调整,加大日记文件大小,延长日记覆盖时刻,设置记录更多信息等
d、利用独立的分区用于存储日记,而且保留足够大的日记空间
最正确答案是:
a
25.平安的运行环境是软件平安的基础,操作系统平安配置是确保运行环境平安必不可少的工作,某治理员对即将上线的Windows操作系统进行了以下四项平安数署工作,其中哪项设置无益于提高运行环境平安?
a、操作系统安装完成后安装最新的平安补丁,确保操作系统不存在可被利用的平安漏洞
b、为了方便进行数据备份,安装Windows操作系统时只利用一个分区C,所有数据和操作系统都寄存在C盘
c、操作系统上部署防病毒软件,以对抗病毒的要挟
d、将默许的治理员账号Administrator更名,降低口令暴力破解解决的发生可能
最正确答案是:
b
26.以下关于Windows系统的账号存储治理机制SAM(SecurityAccountsManager)的说法哪个是正确的:
a、存储在注册表中的账号数据是治理员组用户都能够访问,具有较高的平安性
b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的平安性
c、存储在注册表中的账号数据任何用户都能够直接访问,灵活方便
d、存储在注册表中的账号数据只有System账户才能访问,具有较高的平安性
最正确答案是:
d
27.某公司系统治理员最近正在部署一台Web效劳器,利用的操作系统是Windows,在进行日记平安治理设置时,系统治理员拟定四条日记平安策略给领导进行参考,其中能有效应付解决者取得系统权限后对日记进行修改的策略是:
a、在网络中单独部署syslog效劳器,将Web效劳器的日记自动发送并存储到该syslog日记效劳器中
b、严格设置Web日记权限,只有系统权限才能进行读和写等操作
c、对日记属性进行调整,加大日记文件大小,延长日记覆盖时刻,设置记录更多信息等
d、利用独立的分区用于存储日记,而且保留足够大的日记空间
最正确答案是:
a
28.由于发生了一路针对效劳器的口令暴力破解解决,治理员决定对设置账户锁定策略以对抗口令暴力破解。
他设置了以下账户锁定策略如下:
复位账户锁定计数器5分钟,
账户锁按时刻10分钟,
账户锁定阀值3次无效登录,
以下关于以上策略设置后的说法哪个是正确的:
a、设置账户锁定策略后,解决者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住
b、若是正经常使用户不警惕输错了3次密码,那么该用户就会被锁定10分钟,10分钟内即便输入正确的密码,也无法登录系统
c、若是正经常使用户不警惕持续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟内即便提交了正确的密码也无法登录系统
d、解决者在进行口令破解时,只要持续输错3次密码,该用户就被锁定10分钟,而正经常使用户登录不受阻碍
最正确答案是:
b
29.平安的运行环境是软件平安的基础,操作系统平安配置是确保运行环境平安必不可少的工作,某治理员对即将上线的Windows操作系统进行了以下四项平安数署工作,其中哪项设置无益于提高运行环境平安?
a、操作系统安装完成后安装最新的平安补丁,确保操作系统不存在可被利用的平安漏洞
b、为了方便进行数据备份,安装Windows操作系统时只利用一个分区所有数据和操作系统都寄存在C盘
c、操作系统上部署防病毒软件,以对抗病毒的要挟
d、将默许的治理员账号Administrator更名,降低口令暴力破解解决的发生可能
最正确答案是:
b
30.应用软件的数据存储在数据库中,为了保证数据平安,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?
a、安装最新的数据库软件平安补丁
b、对存储的灵敏数据进行平安加密
c、不利用治理员权限直接连接数据库系统
d、按期对数据库效劳器进行重启以确保数据库运行良好
最正确答案是:
d
31.为增强Web应用程序的平安性,某软件开发领导决定增强Web软件平安开发培训,下面哪项内容要在他的考虑范围内?
a、关于网站身份签别技术方面平安知识的培训
b、针对OpenSSL心脏出血漏洞方面平安知识的培训
c、针对SQL注入漏洞的平安编程培训
d、关于ARM系统漏洞挖掘方面平安知识的培训
最正确答案是:
c
32.消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:
杂选、摘要)值,能够保证:
a、消息的真实性和完整性b、消息的真实性和保密性c、消息的完整性和保密性d、保密性和防抵赖性
最正确答案是:
a
33.在对某面向互联网提供效劳的某应用效劳器的平安检测中发觉,效劳器上开放了以下几个应用,除一个应用外其他应用都存在明文传输信息的平安问题,作为一名检测人员,你需要告知用户对应用进行平安整改之外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
a、SSHb、HTTPc、FTPd、SMTP
最正确答案是:
a
34.某公司在互联网区域新建了一个WEB网站,为了爱惜该网站主页平安性,尤其是不能让解决者修改主页内容,该公司应当购买并部署下面哪个设备()
a、负载均衡设备b、网页防窜改系统c、网络防病毒系统d、网络审计系统
最正确答案是:
b
35.小陈在某电器城购买了一台冰箱,并留下了个人姓名、在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该后他依照提示操作,纳中奖税款后并无取得中奖奖金,再打询问电器城才得知电器城并无开的活动,依照上面的描述,由此能够推断的是()
a、小陈在电器城记录个人信息时,应当利用加密手腕
b、小陈蒙受了钓鱼解决,钱被骗走了
c、小陈的运算机中了木马,被远程操纵
d、小陈购买的凌波微步是智能凌波微步,能够自己上网
最正确答案是:
b
36.金女士常常通过运算机网络购物,从平安角度看,下面哪项是不行的操作适应()?
a、利用专用上网购物用运算机,安装好软件后不要对该运算机上的系统软件.应用软件进行升级
b、为运算机安装具有良好声誉的平安防范软件,包括病毒查杀.安平安检查和平安加固方面的软件
c、在IE的配置中,设置只能下载和安装通过签名的.平安的ActiveX控件
d、在利用网络阅读器时,设置不在运算机中保留网络历史记录和表单数据
最正确答案是:
a
37.张三将微信个人头像换成微信群中某老友头像,并将昵称改成该老友昵称,然后向该老友的其他老友发送一些欺骗消息。
该解决行为属于以下哪类解决?
a、口令解决b、暴力破解c、拒绝效劳解决d、社会工程学解决
最正确答案是:
d
38.对歹意代码的预防,需要采取增强平安防范策略与意识等方法,关于以下预防方法或意识,说法错误的选项是:
a、在利用来自外部的移动介质前,需要进行平安扫描
b、限制用户对治理员权限的利用
c、开放所有端口和效劳,充分利用系统资源
d、不要从不可信来源下载或执行应用程序
最正确答案是:
c
39.关于歹意代码,以下说法错误的选项是:
a、从传播范围来看,歹意代码呈现多平台传播的特点。
b、依照运行平台,歹意代码能够分为网络传播型病毒.文件传播型病毒。
c、不感染的依附性歹意代码无法单独执行
d、为了对目标系统实施解决和破坏活动,传播途径是歹意代码赖以生存和繁衍的大体条件
最正确答案是:
d
40.关于抽样而言,以下哪项是正确的?
a、抽样一样运用于与不成文或无形的操纵相关联的整体
b、若是内部操纵健全,置信系统能够取的较低
c、通过及早停止审计测试,属性抽样有助于减少对某个属性的过量抽样
d、变量抽样是估量给定操纵或相关操纵集合发生率的技术
最正确答案是:
b
41.某单位发生的治理员小张在忙碌的工作中接到了一个,来电者:
小张吗?
我是科技处李强,我的邮箱密码忘记了,此刻打不开邮件,我着急收个邮件,麻烦你先帮我把密码改成123,我收完邮件自己修改掉密码。
热心的小张专门快的知足了来电考的要求。
后来,李强发觉邮箱系统登录异样。
请问以下说法哪个是正确的?
a、小张效劳态度不行,若是把李强的邮件收下来亲自交给李强就可不能发生那个问题
b、事件属于效劳器故障,是偶然事件,应向单位领导申请购买新的效劳器。
c、单位缺乏良好的密码修改操作流程或小张没有按操作流程工作
d、事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件效劳软件
最正确答案是:
c
42.某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是:
a、选购当前技术最先进的防火墙即可
b、选购任意一款品牌防火墙
c、任意选购一款价钱适合的防火墙产品
d、选购一款同已有平安产品联动的防火墙
最正确答案是:
d
43.关于源代码审核,描述正确的选项是()
a、源代码审核进程遵循信息平安保障技术框架模型,在执行时应一步一步严格执行
b、源代码审核有利于发觉软件编码中存在的平安问题,相关的审核工具既有商业开源工具
c、源代码审核若是想要有效率高,那么要紧要依托人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判定
d、源代码审核能起到专门好的平安保证作用,若是执行了源代码审核,那么不需要平安测试
最正确答案是:
b
44.软件平安保障的思想是在软件的全生命周期中贯彻风险治理的思想,在有限资源前提下实现软件平安最优防护,幸免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件平安开发策略中,不符合软件平安保障思想的是:
a、在软件立项时考虑到软件平安相关费用,经费中预留了平安测试.平安评审相关费用,确保平安经费取得落实
b、在软件平安设计时,邀请软件平安开发专家对软件架构设计进行评审,及时发觉架构设计中存在的平安不足
c、确保对软编码人员进行平安培训,使开发人员了解平安编码大体原那么和方式,确保开发人员编写出平安的代码
d、在软件上线前对软件进行全面平安性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不许诺上线运行
最正确答案是:
d
45.某单位依照业务需要预备立项开发一个业务软件,关于软件开发平安投入经费研讨时开发部门和信息中心就发生了不合,开发部门以为开发时期无需投入,软件开发完成后发觉问题后再针对性的解决,比前期平安投入要本钱更低;信息中心那么以为应在软件平安开发时期投入,后期解决代价太大,两边争吵不下,作为信息平安专家,请选择对软件开发平安投入的准确说法?
a、信息中心的考虑是正确的,在软件立项投入解决软件平安问题,整体经费投入比软件运行后的费用要低
b、软件开发部门的说法是正确的,因为软件发觉问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
c、两边的说法都正确,需要依照具体情形分析是开发时期投入解决问题仍是在上线后再解决问题费用更低
d、两边的说法都错误,软件平安问题在任何时候投入解决都能够,只若是一样的问题,解决的代价相同
最正确答案是:
a
46.微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的选项是:
a、某用户在登录系统并下载数据后,却宣称“我没有下载过数据"软件R要挟
b、某用户在网络通信中传输完数据后,却宣称“这些数据不是我传输的”要挟也属于R要挟。
c、关于R要挟,能够选择利用如强认证、数字签名、平安审计等技术
d、关于R要挟,能够选择利用如隐私爱惜、过滤、流量操纵等技术
最正确答案是:
d
47.某单位人员治理系统在人员离职时进行账号删除,需要离职员工所在部门主管领导和人事部门人员同时进行确认才能