CISE官方模拟题一

CISE模拟题一一、单选题。(共100题,共100分,每题1分)1.信息安全保障技术框架(InformationAssuranceTechnicalFramework，IATF)由美国国家安全局(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：a、网络和基础设施区域边界重要服务器b、网络和基础设施区域边界计算环境c、网络机房环境网络接口计算环境d、网络机房环境网络接口重要服务器最佳答案是:b2.某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于2000个字节数据时，总是会有3到5个字节不能传送到对方，关于此案例，可以推断的是（）a、该网站软件存在保密性方面安全问题b、该网站软件存在完整性方面安全问题c、该网站软件存在可用性方面安全问题d、该网站软件存在不可否认性方面安全问题最佳答案是:b3.关于信息安全保障技术框架(IATF)，以下说法不正确的是：a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本b、IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施c、允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制最佳答案是:d4.信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。a、中国b、俄罗斯c、美国d、英国最佳答案是:c5.以下哪一项不是我国信息安全保障的原则：a、立足国情，以我为主，坚持以技术为主b、正确处理安全与发展的关系，以安全保发展，在发展中求安全c、统筹规划，突出重点，强化基础性工作d、明确国家.企业.个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系最佳答案是:a6.进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：a、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点b、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担c、各国普遍重视信息安全事件的应急响应和处理d、在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系最佳答案是:b7.我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是（）a、加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。b、重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。c、推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。d、实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍。最佳答案是:b8.为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求c、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案最佳答案是:d9.我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是：a、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障b、建设信息安全基础设施，提供国家信息安全保障能力支撑c、建立信息安全技术体系，实现国家信息化发展的自主创新d、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养最佳答案是:c10.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：a、乙对信息安全不重视，低估了黑客能力，不舍得花钱b、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费c、甲未充分考虑网游网站的业务与政府网站业务的区别d、乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求最佳答案是:a11.关于秘钥管理，下列说法错误的是：a、科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于秘钥的安全性b、保密通信过程中，通信方使用之前用过的会话秘钥建立会话，不影响通信安全c、秘钥管理需要考虑秘钥产生.存储.备份.分配.更新.撤销等生命周期过程的每一个环节d、在网络通信中。通信双方可利用Diffie-He11man协议协商出会话密钥最佳答案是:b12.以下属于哪一种认证实现方式：用户登录时，认证服务器（AuthenticationServer，AS)产生一个随机数发送给用户，用户用某种单向算法将自己的口令.种子秘钥和随机数混合计算后作为一次性口令，并发送给AS,AS用同样的防腐计算后，验证比较两个口令即可验证用户身份。a、口令序列b、时间同步c、挑战/应答d、静态口令最佳答案是:c13.以下关于安全套接层协议（SecureSocketsLayer,SSL）说法错误的是：a、SSL协议位于TCP/IP协议层和应用协议之间b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输c、SSL是一种可靠的端到端的安全服务协议d、SSL是设计用来保护操作系统的最佳答案是:d14.部署互联网协议安全虚拟专用网（InternetProtocolSecurityVirtualPrivateNetwork,IPsecVPN)时,以下说法正确的是：a、配置MD5安全算法可以提供可靠地数据加密b、配置AES算法可以提供可靠的数据完整性验证c、部署IpsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPsec安全关联（SecurityAuthentication，SA)资源的消耗d、报文验证头协议（AuthenticationHeader，AH)可以提供数据机密性最佳答案是:c15.某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种：a、强制访问控制b、基于角色的访问控制c、自主访问控制d、基于任务的访问控制最佳答案是:c16.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是：a、所选择的特征（指纹）便于收集、测量和比较b、每个人所拥有的指纹都是独一无二的c、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成最佳答案是:c17.网络安全产品根据其主要功能，常常可以分为网络边界安全产品、网络连接安全产品、网络应用安全产品等类别。下面网络安全产品，和其他三个不属同一类网络安全产品的是（）a、入侵检测系统b、安全管理平台c、安装隔离与信息交换系统d、防火墙最佳答案是:b18.下列哪一种方法属于基于实体“所有”鉴别方法：a、用户通过自己设置的口令登录系统，完成身份鉴别b、用户使用个人指纹，通过指纹识别系统的身份鉴别c、用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别d、用户使用集成电路卡(如智能卡)完成身份鉴别最佳答案是:d19.关于Kerberos认证协议，以下说法错误的是：a、只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就可以使用该TGT通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证d、该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂最佳答案是:c20.以下场景描述了基于角色的访问控制模型(Role-basedAccessControl．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：a、当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝b、业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色c、通过角色，可实现对信息资源访问的控制d、RBAC模型不能实现多级安全中的访问控制最佳答案是:d21.以下哪个属性不会出现在防火墙的访问控制策略配置中？a、本局域网内地址b、百度服务器地址c、HTTP协议d、病毒类型最佳答案是:d22.IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.a、对系统开发进行了复核b、对控制和系统的其他改进提出了建议c、对完成后的系统进行了独立评价d、积极参与了系统的设计和完成最佳答案是:d23.以下哪个选项不是防火墙技术？a、IP地址欺骗防护b、NATc、访问控制d、SQL注入攻击防护最佳答案是:d24.某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是Windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：a、在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中b、严格设置Web日志权限，只有系统权限才能进行读和写等操作c、对日志属性进行调整，加大日志文件大小，延长日志覆盖时间，设置记录更多信息等d、使用独立的分区用于存储日志，并且保留足够大的日志空间最佳答案是:a25.安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区C，所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件，以对抗病毒的威胁d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能最佳答案是:b26.以下关于Windows系统的账号存储管理机制SAM（SecurityAccountsManager）的说法哪个是正确的：a、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性c、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便d、存储在注册表中的账号数据只有System账户才能访问，具有较高的安全性最佳答案是:d27.某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是Windows，在进行日志安全管理设置时，系统管理