CISP课后练习题-3

1.下面关于信息安全保障的说法正确的是：A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性、可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施在系统的生命周期内确保信息的安全属性答案：D2.根据《GB/T20274信息安全保障评估框架》，对信息系统安全保障能力进行评估应A.信息安全管理和信息安全技术2个方面进行B.信息安全管理、信息安全技术和信息安全工程3个方面进行C.信息安全管理、信息安全技术、信息安全工程和人员4个方面进行D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进行答案：C3.对于信息安全发展历史描述正确的是：A.信息安全的概念是随着计算机技术的广泛应用而诞生的B.目前信息安全己经发展到计算机安全的阶段C.目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素D.我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”，再到“信息安全”，直至现在的“信息安全保障”答案：C4.ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务A.加密B.数字签名C.访问控制D.路由控制答案：B5.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性A.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书答案：A6.下面对于CC的“保护轮廓”(PP）的说法最准确的是：A.对系统防护强度的描述B.对评估对象系统进行规范化的描述C.对一类TOE的安全需求，进行与技术实现无关的描述D.由一系列保证组件构成的包，可以代表预先定义的保证尺度答案：C7.下面对于强制访问控制的说法错误的是？A它可以用来实现完整性保护，也可以用来实现机密性保护B在强制访问控制的系统中，用户只能定义客体的安全属性C它在军方和政府等安全要求很高的地方应用较多D它的缺点是使用中的便利性比较低答案：B8.以下哪两个安全模型分别是多级完整性模型和多边保密模型？A.Biba模型和Bell一Lapadula模型B.Bell一Lapaduia模型和Biba模型C.ChineseWall模型和Bell一Lapadula模型D.Biba模型和ChineseWall模型答案：D9.在一个使用ChineseWall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个兴趣冲突域中，那么可以确定一个新注册的用户：A.只有访问了W之后，才可以访问XB.只有访问了W之后，才可以访问Y和Z中的一个C.无论是否访问W，都只能访问Y和Z中的一个D.无论是否访问W，都不能访问Y或Z答案：C10.BMA访问控制模型是基于A.健康服务网络B.ARPANETC.ISPD.INTERNET答案：A11.下面关于密码算法的说法错误的是？A.分组密码又称作块加密B.流密码又称作序列密码C.DES算法采用的是流密码D.序列密码每次加密一位或一个字节的明文答案：C12.下面对于SSH的说法错误的是？A.SSH是SecureShell的简称B.客户端使用ssh连接远程登录SSH服务器必须经过基于公钥的身份验证C.通常Linux操作系统会在/usr/local目录下默认安装OpenSSHD.SSH2比SSH1更安全答案：B13.下面对于标识和鉴别的解释最准确的是：A.标识用于区别不同的用户，而鉴别用于验证用户身份的真实性B.标识用于区别不同的用户，而鉴别用于赋予用户权限C.标识用于保证用户信息的完整性，而鉴别用于验证用户身份的真实性D.标识用于保证用户信息的完整性，而鉴别用于赋予用户权限答案：A14.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例：A.你是什么B.你有什么C.你知道什么D.你做了什么答案：A15.安全审计是对系统活动和记录的独立检查和验证，以下哪一项不是审计系统的A.辅助辨识和分析未经授权的活动或攻击B.对与己建立的安全策略的一致性进行核查C.及时阻断违反安全策略的访问D.帮助发现需要改进的安全控制措施答案：C16.以下哪一项属于物理安全方面的管理控制措施？A.照明B.护柱C.培训D.建筑设施的材料答案：C17.以下哪种不是火灾探测器类型：A.电离型烟传感器B.光电传感器C.声学震动探测系统D.温度传感器答案：C18.以下关于事故的征兆和预兆说法不正确的是：A.预兆是事故可能在将来出现的标志B.征兆是事故可能己经发生或正在发生的标志C.预兆和征兆的来源包括网络和主机IDS、防病毒软件、系统和网络日志D.所有事故的预兆和征兆都是可以发现的答案：D27.组织机构应根据事故类型建立揭制策略，需要考虑以下几个因素，除了：A、实施策略需要的时间和资源B、攻击者的动机C、服务可用性D、证据保留的时间答案：D28、下面安全套接字层协议（SSL）的说法错误的是？A、它是一种基于Web应用的安全协议B、由于SSL是内嵌的浏览器中的，无需安全客户端软件，所以相对于IPSEC更简C、SSL与IPSec一样都工作在网络层D、SSL可以提供身份认证、加密和完整性校验的功能答案：C29、用来为网络中的主机自动分配IP地址、子网掩码、默认网关、wins服务器地址的网？A、ARPB、IGMPC、ICMPD、DHCP答案：D301下面哪一项不是VPN协议标准：A、L2TPB、ipsecC、TACACS+D、PPTP答案：C30、IPSEC的两种使用模式分别是_______和_____A传输模式、安全壳模式B传输模式、隧道模式C隧道模式、ESP模式D安全壳模式、AH模式答案：B31、组成IPSEC的主要安全协议不包括以下哪一项：A、ESPB、DSSC、IKED、AH答案：B32、在UNIX系统中输入命令“LS-altest”显示如下;-rwxr-xr-x3rootroot1024Sep1311:58test”对他的含义解释错误的是：A、这是一个文件，而不是目录B、文件的拥有者可以对这个文件读、写和执行的操作C、文件所属组的成员有可以读它，也可以执行它D、其他所有用户只可以执行它答案：D33、计算机具有的IP地址是有限的，但通常计算机会开启多项服务或运行多个应用程序，那么如何在网络通信中对这些程序或服务进行单独标识？A分配网络端口号B利用MAC地址C使用子网掩码D利用PKI/CA答案：A34、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：Ahttpd.confBsrm.confCinetd.confDaccess.conf答案：A35、下面哪一项是操作系统中可信通路（trustpath）机制的实例？AWindow系统中ALT+CTRL+DELBroot在Linux系统上具有绝对的权限C以root身份作任何事情都要谨慎D控制root用户的登录可以在/etc/security目录下的access.conf文件中进行设置答案：A36、以下对Windows服务的说法错误的是（）A为了提升系统的安全性管理员应尽量关闭不需要的服务BWindows服务只有在用户成功登录系统后才能运行C可以作为独立的进程运行或以DLL的形式依附在Svchost.exeDwindows服务通常是以管理员的身份运行的答案：B37、以下哪一项不是IIS服务器支持的访问控制过滤类型？A网络地址访问控制Bweb服务器许可CNTFS许可D异常行为过滤答案：D38、下列哪一项与数据库的安全有直接关系？A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量答案：A39、下列哪一组Oracle数据库的默认用户名和默认口令？A用户名：“Scott”；口令：“tiger”B用户名：“Sa”；口令：“nullr”C用户名：“root”；口令：“null”D用户名：“admin”；口令：“null”答案：A40、关于数据库安全的说法错误的是？A数据库系统的安全性很大程度上依赖于DBMS的安全机制B许多数据库系统在操作系统一下文件形式进行管理，因此利用操作系统漏洞可以窃取数据库文件C为了防止数据库中的信息被盗取，在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护答案：C41、关于木马技术说法错误的是：A“木马”这一名词来源于《荷马史诗》中记载的特洛伊战争B木马的一个主要特点是它的隐蔽性C木马技术与ROOTKIT技术的结合某种意义上代表了当代木马技术的发展D如果发现了一个木马进程，清除它的第一步是清除木马启动答案：D42、下面关于计算机恶意代码发展趋势的说法错误的是：A木马和病毒盗窃日益猖獗B利用病毒犯罪的组织性和趋利性增加C综合利用多种编程新技术、对抗性不断增加D复合型病毒减少，而自我保护功能增加答案：D43、关于网页中的恶意代码，下列说法错误的是：A网页中的恶意代码只能通过IE浏览器发挥作用B网页中恶意代码可以修改系统注册表C网页中的恶意代码可以修改系统文件D网页中的恶意代码可以窃取用户的机密性文件答案：A44、下面对于“电子邮件炸弹”的解释最准确的是：A邮件正文中包含的恶意网站链接B邮件附件中具有强破坏性的病毒C社会工程的一种方式，具有恐吓内容的邮件D在短时间内发送大量邮件软件，可以造成目标邮箱爆满答案：D45、以下哪一项是常见Web站点脆弱性扫描工具：ASnifferBNmapCAppscanDLC答案：C46、下面哪一项不是安全编程的原则A尽可能使用高级语言进行编程B尽可能让程序只实现需要的功能C不要信任用户输入的数据D尽可能考虑到意外的情况，并设计妥善的处理方法答案：A47、黑客进行攻击的最后一个步骤是：A侦查与信息收集B漏洞分析与目标选定C获取系统权限D打扫战场、清楚证据答案：D48、下面哪一项是缓冲溢出的危害？A可能导致shellcode的执行而非法获取权限，破坏系统的保密性B执行shellcode后可能进行非法控制，破坏系统的完整性C可能导致拒绝服务攻击，破坏系统的可用性D以上都是答案：D49、以下哪一项是DOS攻击的一个实例ASQL注入BIPSpoofCSmurf攻击D字典破解答案：C50、以下对于蠕虫病毒的错误说法是（）A通常蠕虫的传播无需用户的操作B蠕虫病毒的主要危害体现在对数据保密的破坏C蠕虫的工作原理与病毒相似，除了没有感染文件D是一段能不以其他程序为媒介，从一个电脑系统复制到另一个电脑系统答案：B51、以下哪一项不是跨站脚本攻击？A给网站挂马B盗取COOKIEC伪造页面信息D暴力破解密码答案：D52.对能力成熟度模型解释最准确的是？A．它认为组织的能力依赖与严格定义，管理完善，可测可控的有效业务过程。B.它通过严格考察工程成果来判断工程能力。C．它与统计过程控制的理论出发点不同，所以应用于不同领域。D．它是随着信息安全的发展而诞生的重要概念。答案：A53.一个单位在处理一台储存过高密级信息的计算机是首先应该做什么？A.将硬盘的每一个比特写成“O”B.将硬盘彻底毁坏C．选择秘密信息进行删除D．进行低级格式化答案：C60.变更控制是信息系统运行管理的重要的内容，在变更控制的过程中：A．应该尽量追求效率，而没有任何的程序和核查的阻碍。B．应该将重点放在风险发生后的纠正措施上。C．应该很好的定义和实施风险规避的措施。D．如果是公司领导要求的，对变更过程不需要追踪和审查答案：C61.在信息系统的开发和维护过程中，以下哪一种做法是不应该被赞成的A．在购买软件包后，依靠本单位的技术力量对软件包进行修改，加强代码的安全性。B．当操作系统变更后，对业务应用系统进行测试和评审。C．在需要是对操作文档和用户守则进行适当的修改。D．在安装委外开发的软件前进行恶意代码检测。答案：B62.对于信息系统访问控制说法错误的是？A．应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审