2015新版CISP重要试题216

2015新版CISP重要试题2161．美国的关键信息基础设施(criticalInformationInfrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A．这些行业都关系到国计民生，对经济运行和国家安全影响深远B．这些行业都是信息化应用广泛的领域C.这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D．这些行业发生信息安全事件，会造成广泛而严重的损失2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．XXXX年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B．XXXX年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C．XXXX年1月2日，美目发布第54号总统令，建立国家网络安全综合计划（ComprehensiveNationalCybersecurityInitiative，CNCI)。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的：A．CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险B.从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的C．CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补D．CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障&10．下列对于信息安全保障深度防御模型的说法错误的是：A．信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B．信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C．信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D．信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。11．如图，某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：A．个人网银系统和用户之间的双向鉴别B．由可信第三方完成的用户身份鉴别C.个人网银系统对用户身份的单向鉴别D．用户对个人网银系统合法性的单向鉴别12．如下图所示，Alice用Bob的密钥加密明文，将密文发送给Bob。Bob再用自己的私钥解密，恢复出明文。以下说法正确的是：A．此密码体制为对称密码体制B．此密码体制为私钥密码体制C．此密码体制为单钥密码体制D．此密码体制为公钥密码体制13．下列哪一种方法属于基于实体“所有”鉴别方法：A．用户通过自己设置的口令登录系统，完成身份鉴别B．用户使用个人指纹，通过指纹识别系统的身份鉴别C．用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别D.用户使用集成电路卡(如智能卡)完成身份鉴别14．为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?A.实体“所知”以及实体“所有”的鉴别方法B．实体“所有”以及实体“特征”的鉴别方法C．实体“所知”以及实体“特征”的鉴别方法D．实体“所有”以及实体“行为”的鉴别方法15．某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A.渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞B．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C．渗透测试使用人工进行测试，不依赖软件，因此测试更准确D．渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多16．软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?A．告诉用户需要收集什么数据及搜集到的数据会如何披使用B．当用户的数据由于某种原因要被使用时，给用户选择是否允许C．用户提交的用户名和密码属于稳私数据，其它都不是D．确保数据的使用符合国家、地方、行业的相关法律法规17．软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C．确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D．在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不允许上线运行18．以下哪一项不是工作在网络第二层的隧道协议：A.VTPB．L2FC．PPTPD．L2TP19．如圈所示，主体S对客体01有读(R)权限，对客体02有读(R)、写(W)、拥有(Own)权限，该图所示的访问控制实现方法是：A．访问控制表(ACL)B．访问控制矩阵C.能力表(CL)D．前缀表(Profiles)20．以下场景描述了基于角色的访问控制模型(Role-basedAccessControl．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：A．当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝B．业务系统中的岗位、职位或者分工，可对应RBAC模型中的角色C．通过角色，可实现对信息资源访问的控制D.RBAC模型不能实现多级安全中的访问控制21．下面哪一项不是虚拟专用网络(VPN)协议标准：A．第二层隧道协议(L2TP)B．Internet安全性(IPSEC)C.终端访问控制器访问控制系统(TACACS+)D．点对点隧道协议(PPTP)22．下列对网络认证协议(Kerberos)描述正确的是：A．该协议使用非对称密钥加密机制B．密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成C．该协议完成身份鉴别后将获取用户票据许可票据D．使用该协议不需要时钟基本同步的环境23．鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知道的：A．口令B．令牌C．知识D．密码24．在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?A．加密B.数字签名C．访问控制D．路由控制25．某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：A．选购当前技术最先进的防火墙即可B．选购任意一款品牌防火墙C．任意选购一款价格合适的防火墙产品D．选购一款同已有安全产品联动的防火墙26．在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务?A.网络层B．表示层C．会话层D．物理层27．某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则?A.最小权限B.权限分离C．不信任D．纵深防御28．以下关于互联网协议安全(InternetProtocolSecurity，IPsec)协议说法错误的是：A．在传送模式中，保护的是IP负载B．验证头协议(AuthenticationHead，AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload，ESP)都能以传输模式和隧道模式工作c．在隧道模式中，保护的是整个互联网协议(InternetProtocol，IP)包，包括IP头D.IPsec仅能保证传输数据的可认证性和保密性29．某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A．网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度B．网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C．网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D．网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息30.以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是：A．PGP可以实现对邮件的加密、签名和认证B．PGP可以实现数据压缩C．PGP可以对邮件进行分段和重组D．PGP采用SHA算法加密邮件31．入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与IDS有着许多不同点，请指出下列哪一项描述不符合IPS的特点?A．串接到网络线路中B．对异常的进出流量可以直接进行阻断C．有可能造成单点故障D.不会影响网络性能32．相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?A．NTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作B．NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限C．对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率D.相比FAT文件系统，NTFS文件系统能有效的兼容linux下EXT2文件格式33．某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：A．在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中B.严格设置Web日志权限，只有系统权限才能进行读和写等操作C．对日志属性进行调整，加大日志文件大小、延长日志覆盖时间、设置记录更多信息等D．使用独立的分区用于存储日志，并且保留足够大的日志空间34．关于linux下的用户和组，以下描述不正确的是。A．在linux中，每一个文件和程序都归属于一个特定的“用户”B．系统中的每一个用户都必须至少属于一个用户组C.用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组D．root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限35．安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?A．操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞B.为了方便进行数据备份，安装Windows操作系统时只使用一个分区C，所有数据和操作系统