CISP官方信息安全技术章节练习一

CISP信息安全技术章节练习一一、单选题。(共100题,共100分,每题1分)1.安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件，以对抗病毒的威胁d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能最佳答案是:b2.对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3.以下关于账户策略中密码策略中各项作用说明，哪个是错误的：a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示，主体S对客体01有读（R）权限，对客体O2有读（R）、写（W）、拥有（Own）权限。该图所表示的访问控制实现方法是：a、访问控制表（ACL)b、访问控制矩阵c、能力表（CL）d、前缀表（Profiles）最佳答案是:c5.关于数据库恢复技术，下列说法不正确的是：a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上，利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交最佳答案是:d6.以下关于WIndows系统账号存储管理机制SAM(SecurityAccountsManager）的说法哪个是正确的：a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性最佳答案是:d7.以下关于安全套接层（SecuritySocketsLayer，SSL)说法错误的是：a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符（UniformResourceLocator,URL)出现https时，说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8.以下哪一项不是常见威胁对应的消减措施：a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限最佳答案是:c9.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将暂时禁止登录该账户，请问以上安全设计遵循的是哪项安全设计原则：a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10.某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施：a、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping）b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：复位账户锁定计数器5分钟，账户锁定时间10分钟，账户锁定阀值3次无效登录，以下关于以上策略设置后的说法哪个是正确的：a、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错了密码的用户就会被锁住b、如果正常用户不小心输错了3次密码，那么该用户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统c、如果正常用户不小心连续输入错误密码3次，那么该用户账号就被锁定5分钟，5分钟内即使提交了正确的密码也无法登录系统d、攻击者在进行口令破解时，只要连续输错3次密码，该用户就被锁定10分钟，而正常用户登录不受影响最佳答案是:b12.某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种：a、强制访问控制b、基于角色的访问控制c、自主访问控制d、基于任务的访问控制最佳答案是:c13.关于源代码审核，描述错误的是（）a、源代码审核有利于发现软件编码中存在的安全问题b、源代码审核工程遵循PDCA模型c、源代码审核方式包括人工审核工具审核d、源代码审核工具包括商业工具和开源工具最佳答案是:b14.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）a、要求开发人员采用敏捷开发模型进行开发b、要求所有的开发人员参加软件安全意识培训c、要求规范软件编码，并制定公司的安全编码准则d、要求增加软件安全测试环节，尽早发现软件安全问题最佳答案是:a15.关于软件安全的问题，下面描述错误的是（）a、软件的安全问题可能造成软件运行不稳定，得不到正确结果甚至崩溃b、软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决c、软件的安全问题可能被攻击者利用后影响人身体健康安全d、软件的安全问题是由程序开发者遗留的，和软件的部署运行环境无关最佳答案是:c16.以下可能存在sql注入攻击的部分是：a、get请求参数b、post请求参数c、cookie值d、以上均有可能最佳答案是:d17.在2014年巴西世界杯举行期间，，一些黑客组织攻击了世界杯赞助商及政府网站，制造了大量网络流量，阻塞正常用户访问网站。这种攻击类型属于下面什么攻击（）a、跨站脚本（crosssitescripting,XSS)攻击b、TCP会话劫持（TCPHIJACK)攻击c、ip欺骗攻击d、拒绝服务（denialservice.dos）攻击最佳答案是:d18.小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第二天他收到了一封来自电器城提示他中奖的邮件上，查看该后他按照提示操作，纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有开的活动，根据上面的描述，由此可以推断的是（）a、小陈在电器城登记个人信息时，应当使用加密手段b、小陈遭受了钓鱼攻击，钱被骗走了c、小陈的计算机中了木马，被远程控制d、小陈购买的凌波微步是智能凌波微步，能够自己上网最佳答案是:b19.某公司在互联网区域新建了一个WEB网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）a、负载均衡设备b、网页防篡改系统c、网络防病毒系统d、网络审计系统最佳答案是:b20.某政府机构委托开发商开发了一个OA系统，其中有一个公文分发，公文通知等为WORD文档，厂商在进行系统设计时使用了FTP来对公文进行分发，以下说法不正确的是a、FTP协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得FTP密码，从而威胁OA系统b、FTP协议需要进行验证才能访问在，攻击者可以利用FTP进行口令的暴力破解c、FTP协议已经是不太使用的协议，可能与新版本的浏览器存在兼容性问题d、FTP应用需要安装服务器端软件，软件存在漏洞可能会影响到OA系统的安全最佳答案是:c21.以下SQL语句建立的数据库对象是：CREATEVIEWPatientsForDoctorsASSWLWCTPatientFROMPatient*WHEREdoctorlD=123a、表b、视图c、存储过程d、触发器最佳答案是:b22.以下关于账户密码策略中各项策略的作用说明，哪个是错误的：a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更改最佳答案是:c23.口令破解是针对系统进行攻击的常用方法，Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略，关于两个策略说明错误的是a、密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控b、密码策略对系统中所有的用户都有效c、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效的保护所有系统用户应对口令暴力破解攻击d、账户锁定策略只适用于普通用户，无法保护管理员administrator账户应对口令暴力破解攻击最佳答案是:d24.IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.a、对系统开发进行了复核b、对控制和系统的其他改进提出了建议c、对完成后的系统进行了独立评价d、积极参与了系统的设计和完成最佳答案是:d25.Linux/Unix关键的日志文件设置的权限应该为：a、-rw-r--r-b、-rw----c、-rw-rw-rw-d、-r----最佳答案是:d26.关于Kerberos认证协议，以下说法错误的是：a、只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就可以使用该TGT通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证d、该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂最佳答案是:c27.以下关于安全套接层协议（SecureSocketsLayer,SSL）说法错误的是：a、SSL协议位于TCP/IP协议层和应用协议之间b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输c、SSL是一种可靠的端到端的安全服务协议d、SSL是设计用来保护操作系统的最佳答案是:d28.以下哪个选项不是防火墙技术？a、IP地址欺骗防护b、NATc、访问控制d、SQL注入攻击防护最佳答案是:d29.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是：a、所选择的特征（指纹）便于收集、测量和比较b、每个人所拥有的指纹都是独一无二的c、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成最佳答案是:c30.消息在发送前，用发