CISP模拟一

1、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A．提高信息技术产品的国产化率B．保证信息安全资金投入C．加快信息安全人才培养D．重视信息安全应急处理工作正确答案：A所在章：信息安全保障知识点：信息安全保障知识点4、与PDR模型相比，P2DR模型多了哪一个环节？A．防护B．检测C．反应D．策略正确答案：D所在章：信息安全保障知识点：信息安全保障知识点24、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：A．在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D．在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行正确答案：D所在章：信息安全保障知识点：信息安全保障知识点26、下面关于信息系统安全保障的说法不正确的是：A．信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关B．信息系统安全保障要素包括信息的完整性.可用性和保密性C．信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障D．信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命正确答案：B所在章：信息安全保障知识点：信息安全保障知识点28、下面关于信息系统安全保障模型的说法不正确的是：A．国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》(GB／T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B．模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化C．信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全D．信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入正确答案：D所在章：信息安全保障知识点：信息安全保障知识点29、关于信息安全保障技术框架(IATF)，以下说法不正确的是：A．分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本B．IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施C．允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性D．IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制正确答案：D所在章：信息安全保障知识点：信息安全保障知识点30、关于信息安全保障的概念，下面说法错误的是：A．信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念B．信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段C．在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全D．信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障正确答案：C所在章：信息安全保障知识点：信息安全保障知识点67、Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？A．rwxr-xr-x3useradmin1024Sep1311:58testB．drwxr-xr-x3useradmin1024Sep1311:58testC．rwxr-xr-x3adminuser1024Sep1311:58testD．drwxr-xr-x3adminuser1024Sep1311:58test正确答案：A所在章：信息安全技术知识点：信息安全技术知识点73、在数据库安全性控制中，授权的数据对象_______，授权子系统就越灵活？A．粒度越小B．约束越细致C．范围越大D．约束范围大正确答案：A所在章：信息安全技术知识点：信息安全技术知识点77、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A．httpd.confB．srm.confC．access.confD．inetd.conf正确答案：A所在章：信息安全技术知识点：信息安全技术知识点81、下列关于计算机病毒感染能力的说法不正确的是：A．能将自身代码注入到引导区B．能将自身代码注入到扇区中的文件镜像C．能将自身代码注入文本文件中并执行D．能将自身代码注入到文档或模板的宏中代码正确答案：C所在章：信息安全技术知识点：信息安全技术知识点90、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击？A．LandB．UDPFloodC．SmurfD．Teardrop正确答案：D所在章：信息安全技术知识点：信息安全技术知识点97、通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效地网络信息流时，这种攻击称之为：A．Land攻击B．Smurf攻击C．PingofDeath攻击D．ICMPFlood正确答案：D所在章：信息安全技术知识点：信息安全技术知识点100、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：A．设置网络连接时限B．记录并分析系统错误日志C．记录并分析用户和管理员操作日志D．启用时钟同步正确答案：A所在章：信息安全技术知识点：信息安全技术知识点107、以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证己登录的用户可以完成操作B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余额进行了冲正操作C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看正确答案：B所在章：信息安全技术知识点：信息安全技术知识点276、下列哪项内容描述的是缓冲区溢出漏洞？A．通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B．攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C．当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据会覆盖在合法数据上D．信息技术.信息产品.信息系统在设计.实现.配置.运行等过程中，有意或无意产生的缺陷正确答案：C所在章：信息安全技术知识点：信息安全技术知识点321、以下哪一项不是工作在网络第二层的隧道协议？A．VTPB．L2FC．PPTPD．L2TP正确答案：A所在章：信息安全技术知识点：信息安全技术知识点324、下列对于网络认证协议（Kerberos）描述正确的是：A．该协议使用非对称密钥加密机制B．密钥分发中心由认证服务器.票据授权服务器和客户机三个部分组成C．该协议完成身份鉴别后将获取用户票据许可票据D．使用该协议不需要时钟基本同步的环境正确答案：C所在章：信息安全技术知识点：信息安全技术知识点330、下列哪一些对信息安全漏洞的描述是错误的？A．漏洞是存在于信息系统的某种缺陷B．漏洞存在于一定的环境中，寄生在一定的客体上（如TOE中、过程中等）C．具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失D．漏洞都是人为故意引入的一种信息系统的弱点正确答案：D所在章：信息安全技术知识点：信息安全技术知识点333、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?A．ARP协议是一个无状态的协议B．为提高效率，ARP信息在系统中会缓存C．ARP缓存是动态的，可被改写D．ARP协议是用于寻址的一个重要协议正确答案：D所在章：信息安全技术知识点：信息安全技术知识点358、入侵防御系统（IPS）是继入侵检测系统（IDS）后发展期出来的一项新的安全技术，它与IDS有着许多不同点。请指出下列哪一项描述不符合IPS的特点？A．串接到网络线路中B．对异常的进出流量可以直接进行阻断C．有可能造成单点故障D．不会影响网络性能正确答案：D所在章：信息安全技术知识点：信息安全技术知识点364、以下哪个是恶意代码采用的隐藏技术：A．文件隐藏B．进程隐藏C．网络链接隐藏D．以上都是正确答案：D所在章：信息安全技术知识点：信息安全技术知识点365、张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？A．口令攻击B．暴力破解C．拒绝服务攻击D．社会工程学攻击正确答案：D所在章：信息安全技术知识点：信息安全技术知识点369、公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：A．乙对信息安全不重视，低估了黑客能力，不舍得花钱B．甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费C．甲未充分考虑网游网站的业务与政府网站业务的区别D．乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求正确答案：A所在章：信息安全技术知识点：信息安全技术知识点370、进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：A．与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点B．美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担C．各国普遍重视信息安全事件的应急响应和处理D．在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系正确答案：B所在章：信息安全技术知识点：信息安全技术知识点373、下列哪一种方法属于基于实体“所有”鉴别方法：A．用户通过自己设置的口令登录系统，完成身份鉴别B．用户使用个人指纹，通过指纹识别系统的身份鉴别C．用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别D．用户使用集成电路卡(如智能卡)完成身份鉴别正确答案：D所在章：信息安全技术知识点：信息安全技术知识点374、为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?A．实体“所知”以及实体“所有”的鉴别方法B．实体“所有”以及实体“特征”的鉴别方法C．实体“所知”以及实体“特征”的鉴别方法D．实体“所有”以及实体“行为”的鉴别方法正确答案：A所在章：信息安全技术知识点：信息安全技术知识点375、某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A．渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞B．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C．渗透测试使用人工进行测试，不依赖软件，因此测试更准确D．渗透测试中必须要查看软件源代码，因此测试中发