CISO官方模拟题一.docx

1、CISO官方模拟题一CISO模拟题一一、单选题。(共100题,共100分,每题1分)1. 以下关于安全套接层协议（Secure Sockets Layer,SSL）说法错误的是： a、SSL协议位于TCP/IP协议层和应用协议之间 b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输 c、SSL是一种可靠的端到端的安全服务协议 d、SSL是设计用来保护操作系统的 最佳答案是:d2. 部署互联网协议安全虚拟专用网（Internet Protocol Security Virtual Private Network, IPsec VPN)时,以下说法正确的是： a、配置MD5安

2、全算法可以提供可靠地数据加密 b、配置AES算法可以提供可靠的数据完整性验证 c、部署Ipsec VPN 网络时，需要考虑 IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPsec安全关联（Security Authentication，SA)资源的消耗 d、报文验证头协议（Authentication Header，AH)可以提供数据机密性 最佳答案是:c3. 某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种： a、强制访问控制 b、基于角色的访问控制 c、自主访问控制 d

3、、基于任务的访问控制 最佳答案是:c4. 某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是： a、所选择的特征（指纹）便于收集、测量和比较 b、每个人所拥有的指纹都是独一无二的 c、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题 d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成 最佳答案是:c5. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法? a、实体“所知”以及实体“所有”的鉴别方法 b、实体“所有”以及实体“特征”的

4、鉴别方法 c、实体“所知”以及实体“特征”的鉴别方法 d、实体“所有”以及实体“行为”的鉴别方法 最佳答案是:a6. 以下场景描述了基于角色的访问控制模型(Role-based Access ControlRBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是： a、当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝 b、业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色 c、通过角色，可实现对信息资源访问的控制 d、R

5、BAC模型不能实现多级安全中的访问控制 最佳答案是:d7. 关于Kerberos认证协议，以下说法错误的是： a、只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就可以使用该TGT通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码 b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全 c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证 d、该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较

6、复杂 最佳答案是:c8. 传输控制协议(TCP)是传输层协议，以下关于TCP协议的说法，哪个是正确的? a、相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途 b、TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机 c、TCP协议具有流量控制.数据校验.超时重发.接收确认等机制，因此TCP协议能完全替代IP协议 d、TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低 最佳答案是:d9. S公司在全国有20个分支机构，总部有10台服务器.200个用户终端，每个分支机构都有一台服务器.100

7、个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的IP地址规划和分配的方法，作为评标专家，请给S公司选出设计最合理的一个： a、总部使用服务器.用户终端统一作用10.0.1.X.各分支机构服务器和用户终端使用192.168.2.X192.168.20.X b、总部使用服务器使用10.0.1.111.用户终端使用10.0.1.12212，分支机构IP地址随意确定即可 c、总部服务器使用10.0.1.X. 用户终端根据部门划分使用10.0.2.X.每个分支机构分配两个A类地址段，一个用做服务器地址段.另外一个做用户终端地址段 d、因为通过互联网连接，访问的是互联

8、网地址，内部地址经NAT映射，因此IP地址无需特别规划，各机构自行决定即可 最佳答案是:c10. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager）的说法哪个是正确的： a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性 b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性 c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便 d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性 最佳答案是:d11. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对

9、设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁定计数器5分钟，账户锁定时间10分钟，账户锁定阀值3次无效登录，以下关于以上策略设置后的说法哪个是正确的： a、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错了密码的用户就会被锁住 b、如果正常用户不小心输错了3次密码，那么该用户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统 c、如果正常用户不小心连续输入错误密码3次，那么该用户账号就被锁定5分钟，5分钟内即使提交了正确的密码也无法登录系统 d、攻击者在进行口令破解时，只要连续输错3次密码，该用户就被锁定10分钟，而正常用户登录不受影响

10、最佳答案是:b12. 关于数据库恢复技术，下列说法不正确的是： a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复 b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术 c、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复 d、计算机系统发生故障导致数据未储存到固定存储器上，利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交 最佳答案是:d13. 安全的运行环境是

11、软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件，以对抗病毒的威胁 d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能 最佳答案是:b14. 应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据

12、库防护策略的是? a、安装最新的数据库软件安全补丁 b、对存储的敏感数据进行安全加密 c、不使用管理员权限直接连接数据库系统 d、定期对数据库服务器进行重启以确保数据库运行良好 最佳答案是:d15. 数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全，以下关于数据库常用的安全策略理解不正确的是： a、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作 b、最大共享策略，在保证数据库的完整性.保密性和可用性的前提下，最大程度地共享数据库中的信息 c、粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，

13、在实际中需要选择最小粒度 d、按内容存取控制策略，不同权限的用户访问数据库的不同部分 最佳答案是:b16. 安全专家在对某网站进行安全部署时，调整了Apache的运行权限，从root权限降低为nobody用户，以下操作的主要目的是： a、为了提高Apache软件运行效率 b、为了提高Apache软件的可靠性 c、为了避免攻击者通过Apache获得root权限 d、为了减少Apache上存在的漏洞 最佳答案是:c17. 数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCPIP协议中，数据封装的顺序是： a、传输层、网络接口层、互联网络层 b、传输层、互联网络层、网络接口层 c、互联网络层

14、、传输层、网络接口层 d、互联网络层、网络接口层、传输层 最佳答案是:b18. 某政府机构委托开发商开发了一个OA系统，其中有一个公文分发，公文通知等为WORD文档，厂商在进行系统设计时使用了 FTP来对公文进行分发，以下说法不正确的是 a、FTP协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得FTP密码，从而威胁 OA系统 b、FTP协议需要进行验证才能访问在，攻击者可以利用FTP进行口令的暴力破解 c、FTP协议已经是不太使用的协议，可能与新版本的浏览器存在兼容性问题 d、FTP应用需要安装服务器端软件，软件存在漏洞可能会影响到OA系统的安全 最佳答案是:c19. 以下关

15、于SMTP和POP3协议的说法哪个是错误的： a、SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议 b、SMTP和POP3协议明文传输数据，因此存在数据泄漏的可能 c、SMTP和POP3协议缺乏严格的用户认证，因此导致了垃圾邮件问题 d、SMTP和POP3协议由于协议简单，易用性更高，更容易实现远程管理邮件 最佳答案是:a20. 某公司在互联网区域新建了一个WEB网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（） a、负载均衡设备 b、网页防篡改系统 c、网络防病毒系统 d、网络审计系统 最佳答案是:b21. 小陈在某电器城

16、购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第二天他收到了一封来自电器城提示他中奖的邮件上，查看该后他按照提示操作，纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有开的活动，根据上面的描述，由此可以推断的是（） a、小陈在电器城登记个人信息时，应当使用加密手段 b、小陈遭受了钓鱼攻击，钱被骗走了 c、小陈的计算机中了木马，被远程控制 d、小陈购买的凌波微步是智能凌波微步 ，能够自己上网 最佳答案是:b22. 安全多用途互联网邮件扩展（Secure Multipurpose Internet Mail Extension，SMIME）是指一种保障邮件安全的技术

17、，下面描述错误的是（ ）。 a、SMIME采用了非对称密码学机制 b、SMIME支持数字证书 c、SMIME采用了邮件防火墙技术 d、SMIME支持用户身份认证和邮件加密 最佳答案是:c23. 小王在某Web软件公司工作，她在工作中主要负责对互联网信息服务（Internet Information Services，IIS）软件进行安全配置，这是属于（ ）方面的安全工作。 a、Web服务支撑软件 b、Web应用程序 c、Web浏览器 d、通信协议 最佳答案是:a24. 为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，下面哪项内容要在他的考虑范围内? a、关于网站身份

18、签别技术方面安全知识的培训 b、针对OpenSSL心脏出血漏洞方面安全知识的培训 c、针对SQL注入漏洞的安全编程培训 d、关于ARM系统漏洞挖掘方面安全知识的培训 最佳答案是:c25. 关于恶意代码，以下说法错误的是： a、从传播范围来看，恶意代码呈现多平台传播的特征。 b、按照运行平台，恶意代码可以分为网络传播型病毒.文件传播型病毒。 c、不感染的依附性恶意代码无法单独执行 d、为了对目标系统实施攻击和破坏活动，传播途径是恶意代码赖以生存和繁殖的基本条件 最佳答案是:d26. 以下可能存在sql注入攻击的部分是： a、get请求参数 b、post请求参数 c、cookie值 d、以上均有可

19、能 最佳答案是:d27. 某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是： a、选购当前技术最先进的防火墙即可 b、选购任意一款品牌防火墙 c、任意选购一款价格合适的防火墙产品 d、选购一款同已有安全产品联动的防火墙 最佳答案是:d28. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施： a、在防火墙上设置策略，阻止所有的ICMP流量进

20、入（关掉ping） b、删除服务器上的ping.exe程序 c、增加带宽以应对可能的拒绝服务攻击 d、增加网站服务器以应对即将来临的拒绝服务攻击 最佳答案是:a29. 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是： a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实 b、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足 c、确保对软编

21、码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码 d、在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行 最佳答案是:d30. 在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能： a、治理，主要是管理软件开发的过程和活动 b、构造，主要是在开发项目中确定目标并开发软件的过程与活动 c、验证，主要是测试和验证软件的过程与活动 d、购置，主要是购买第三方商业软件或者采用开源组件的相关管理

22、过程与活动 最佳答案是:d31. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（ ） a、要求所有的开发人员参加软件安全开发知识培训 b、要求增加软件源代码审核环节，加强对软件代码的安全性审查 c、要求统一采用Windows8系统进行开发，不能采用之前的Windows版本 d、要求邀请专业队伍进行第三方安全性测试，尽量从多角度发现软件安全问题 最佳答案是:c32. 微软提出了STRIDE模型，其中R是Repudiation(抵赖)的缩写，关于此项错误的是: a、某用户在登录系统并下载数据后，却声称“我没有下载

23、过数据软件R威胁 b、某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于R威胁。 c、对于R威胁，可以选择使用如强认证、数字签名、安全审计等技术 d、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术 最佳答案是:d33. 某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将暂时禁止登录该账户，请问以上安全设计遵循的是哪项安全设计原则： a、最少共享机制原则 b、经济机制原则 c、不信任原则 d、默认故障处理保护原则 最佳答案是:c34

24、. 以下哪一项不是常见威胁对应的消减措施： a、假冒攻击可以采用身份认证机制来防范 b、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性 c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖 d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限 最佳答案是:c35. 为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是 a、由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据 b、渗透测试从“逆向”的角度出发，测

25、试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况 c、渗透测试应当经过方案制定.信息收集.漏洞利用.完成渗透测试报告等步骤 d、为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试 最佳答案是:d36. 信息安全工程作为信息安全保障的重要组成部门，主要是为了解决: a、信息系统的技术架构安全问题 b、信息系统组成部门的组件安全问题 c、信息系统生命周期的过程安全问题 d、信息系统运行维护的安全管理问题 最佳答案是:c37. 系统工程的模型之一霍尔三维结构模型由时间维，逻辑维和知识维组成，有关此模型，错误的是： a、霍尔三维结构体系形象地描述了系统工程

26、研究的框架 b、时间维表示系统工程活动从开始到结束按时间顺序排列的全过程 c、逻辑维的七个步骤与时间维的七个阶段严格对应，即时间维第一阶段应执行逻辑维步骤的活动，时间维第二阶段应执行逻辑维第二步骤的活动 d、知识维利率可能需要运用的工程，医学，建筑，商业，法律，管理，社会科学和艺术等多种知识和技能 最佳答案是:c38. 有关质量管理，错误的理解是： a、质量管理是与指挥和控制组织质量相关的一系列相互协调的活动，是为了实现质量目标而进行的所有管理性质的活动 b、规范质量管理体系相关活动的标准是 ISO 9000系列标准 c、质量管理体系将资源与结果结合，以结果管理方法进行系统的管理 d、质量管理

27、体系从机构，程序，过程和总结四个方面进行规范来提升质量 最佳答案是:c39. 以下关于项目的含义，理解错误的是： a、项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。 b、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。 c、项目资源指完成项目所需要的人、财、物等。 d、项目目标要遵守SMART原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。 最佳答案是:b40. 以

28、下哪一项不是信息系统集成项目的特点： a、信息系统集成项目要以满足客户和用户的需求为根本出发点。 b、系统集成就是选择最好的产品和技术，开发相应的软件和硬件，将其集成到信息系统的过程。 c、信息系统集成项目的指导方法是“总体规划，分步实施”。 d、信息系统集成包含技术，管理和商务等方面，是一项综合性的系统工程。 最佳答案是:b41. 某项目的主要内容为建造A类机房，监理单位需要根据电子信息系统机房设计规范(GB50174-2008)的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是： a、在异地建立备份机房时，设计时应与主用机房等级相同 b、由于高端小型机发热

29、量大，因此采用活动地板上送风，下回风的方式 c、因机房属于A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴油发电机应能承担全部负荷的需要 d、A级主机房应设置洁净气体灭火系统 最佳答案是:b42. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择M公司为承建单位，并选择了H监理公司承担该项目的全程监理工作，目前，各个应用系统均已完成开发，M公司已经提交了验收申请，监理公司需要对A公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档： a、项目计划书 b、质量控制计划 c、评审报告 d、需求说明书 最佳答案是:d

30、43. 系统安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model，SSE-CMM)定义的包含评估威胁.评估脆弱牲.评估影响和评估安全风险的基本过程领域是： a、风险过程 b、工程过程 c、保证过程 d、评估过程 最佳答案是:a44. 在使用系统安全工程-能力成熟度模型（SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误理解的是： a、如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时，则这个组织过程的能力成熟度未达到此级别 b、如果该组织某个过程区域（Process A

31、reas PA)具备了定义标准过程、执行已定义的过程，两个公共特征，则此工程区域的能力成熟度级别达到3级充分定义级 c、如果某个过程区域（Prpcess Areas，PA ）包含的4个基本措施（Base Practices，BP)执行此BP时执行了3个BP 此过程区域的能力成熟度级别为0 d、组织在不同的过程区域能力成熟度可能处于不同的级别上 最佳答案是:b45. 以下关于信息安全工程说法正确的是： a、信息化建设中系统功能的实现是最重要的 b、信息化建设可以先实施系统，然后对系统进行安全加固 c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设 d、信息化建设没有必要涉及信息安全建设 最佳答案是:c46. 某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次