1、除了测试程序之外,黑盒测试还适用于测试( )阶段的软件文档。
A.编码
B.总体设计
D.数据库设计
C.软件需求分析
答案:C
解析:黑盒测试又叫功能测试,它不涉及程序的内部逻辑。除了测试程序外,它还适用于对需要分析阶段的软件文档进行测试。
2、( )指在软件维护阶段,为了检测由于代码修改而可能引入的错误所进行的测试活动。
A.回归测试
B.修复测试
C.集成测测试
D.冒烟测试
答案:A
解析:回归测试是指修改了旧代码后,重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。回归测试作为软件生命周期的一个组成部分,在整个软件测试过程中占有很大的工作量比重,软件开发的各个阶段都会进行多次回归测试。
3、某软件系统交付后,开发人员发现系统的性能可以进一步优化和提升,由此产生的软件维护属( )
A.更正性维护
B.适应性维护
C.完善性维护
D.预防性维护
答案:C
解析:进一步优化性能,所以是完善性维护。系统是没问题的,只能进一步优化性能,所以不能选成A
4、软件维护工作包括多种类型。其中( )的目的是检测并更正软件产品中的潜在错误,防止它们成为实际错误。
A.更正性维护
B.适应性维护
C.完善性维护
D.预防性维护
答案:D
解析:检测潜在错误、防止成为实际错误是预防性维护。
5、以下关于软件测试的描述,不正确的是( )。
A.为评价和改进产品质量进行的活动
B.必须在编码阶段完成后才开始的活动
C.是为识别产品的缺陷而进行的活动
D.一般分为单元测试、集成测试、系统测试等阶段
答案:B
解析:ACD是软件测试的常规功能或说法。B是错误的,软件测试在需求分析阶段就可以开始,如编写测试用例等。
6、( )是软件系统结构中各个模块之间相互联系紧密程度的一种度量。
A.内聚性
B.耦合性
C.层次性
D.关联性
答案:B
解析:内聚性,又称块内联系,指模块的功能强度的度量,即一个模块内部各个元素彼此结合的紧密程度的度量。耦合性也叫块间联系,指软件系统结构中各模块间相互联系紧密程度的一种度量。我们要做到高内聚、低耦合!
7、信息的( )要求采用的安全技术保证信息接收者能够验证在传送过程中信息没有被修改,并能防范入侵者用假信息代替合法信息。
A.隐性
B.机密性
C.完整性
D.可靠性
答案:C
解析:完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。
8、绘制数据流图是软件设计过程的一部分,用以表明信息在系统中的流向,数据流图的基本组成部分包括( )。
A.数据流、加工、数据存储和外部实体
B.数据流的源点和终点,数据存储、数据文件和外部实体
C.数据的源点和终点、加工、数据和数据流文件
D.数据、加工和数据存储
答案:A
解析:数据流图的基本组成部分包括:数据流、加工、数据存储和外部实体。见下图:
9、GB/T 11457-2006《信息技术软件工程术语》规定了配置管理的三种基线,它们是 ( )。
A.趋势基线、测试基线和原始基线
B.功能基线、分配基线和产品基线
C.产品基线、分配基线和测试基线
D.产品基线、原始基线和测试基线
答案:B
解析:GB/T 11457-2006《信息技术软件工程术语》
2.125对于配置管理,有以下三种基线:
1.功能基线,最初通过的功能配置;
2.分配基线,最初通过的分配的配置;
3.产品基线,最初通过的或有条件的通过的产品配置。
10、依据GB/T 11457-2006《信息技术软件工程术语》,( )是一种静态分析技术或评审过程,在此过程中,设计者或程序员引导开发组的成员通读已书写的设计或者代码,其他成员负责提出问题,并对有关技术风格、风格、可能的错误、是否违背开发标准等方面进行评论。
A.走查
B.审计
C.认证
D.鉴定
答案:A
解析:依据GB/T 11457-2006《信息技术软工程术语》2.1843 走查(walk-through):一种静态分析技术或评审过程,在此过程中,设计者或程序员引导开发组的成员通读已书写的设计或者代码,其他成员负责提出问题,并对有关技术风格、风格、可能的错误、是否违背开发标准等方面进行评论。
11、配置管理是软件生命周期中的重要控制过程,在软件开发过程中扮演着重要的角色,根据GB/T 11457-2006《软件工程术语》的描述,以下关于配置管理基线的叙述中,( )是不正确的。
A.配置管理基线包括功能基线,即最初通过的功能的配置
B.配置管理基线包括分配基线,即最初通过的分配的配置
C.配置管理基线包括产品基线,即最初通过的或有条件通过的产品的配置
D.配置管理基线包括时间基线,即最初通过的时间安排
答案:D
解析:配置管理,有以下三种基线:功能基线(最初通过的功能配置)、分配基线(最初通过的分配的配置)、产品基线(最初通过的或有条件地通过的产品配置)。、
12、根据GB/T 12504-2008《计算机软件质量保证计划规范》的相关规定,以下评审和检查工作中( )不是必须进行的。
A.执行进度评审
B.软件需求评审
C.详细设计评审
D.管理评审
答案:A
解析:参见GB/T 12504-90《计算机软件质量保证计划规范》。A执行进度评审没有,BCD都有,见下:
4.5评审和检查
4.5.1 软件需求评审,在软件需求分析阶段结束后必须进行软件需求评审,以确保在软件需求规格说明书中所规定的各项需求的合适性。
4.5.2 概要设计评审,在软件概要设计结束后必须进行概要设计评审,与评价软件设计说明书中所描述的软件概要设计在总体结构、外部接口、主要部件功能分配、全局数据结构以及各主要部件之间的接口等方面的合适性。
4.5.3 详细设计评审,在软件详细设计阶段结束后必须进行详细设计评审,以确定软件设计说明书中所描述的详细设计在功能、算法、和过程描述等方面的合适性。
4.5.4 软件验证与确认评审,在制定软件验证与确认计划之后要对他进行评审,以评价软件验证以确认计划中所规定的验证与确认方法的合适性与完整性。
4.5.5 功能检查,在软件是释放前,要对软件进行功能检查,以确认已经满足在软件需求规格说明书中规定的所有需求。
4.5.6 物理检查,在验收软件前,要对软件进行物理检查,已验证程序和文档已经一致并已做好了交付的准备。
4.5.7 综合检查,在软件验收时要允许用户或用户所委托的专家对所要验收的软件进行设计抽样的综合检查,以验证代码和设计文档的一致性、接口规格说明之间的一致性(硬件和软件)设计实现和功能需求的一致性、功能需求和测试描述的一致性。
4.5.8 管理评审,要对计划的执行情况定期(或按阶段)进行管理评审,这些评审必须由独立于被评审单位的机构或授权的第三方主持进行。
13、根据GB/T 16260.2-2006《软件工程产品质量第2部分:外部度量》,评估软件的帮助系统和文档的有效性是对软件进行( )。
A.易理解性度量
B.易操作性度量
C.吸引性度量
D.易学性度量
答案:D
解析:GB/T 16260.2-2006《软件工程产品质量第 2 部分:外部度量》:8.3.2 易学性度量外部易学性度量(见表 8.3.2)宜能够评估用户要用多长时间才能学会如何使用某一特殊的功能,及评估它的帮助系统和文档的有效性。易学性与易理解性有很密切的关系,易理解性的测量可作为软件易学性的潜在指标。比如:功能学习的难易性、在使用中学习一项任务的难易性、用户文档和帮助机制的有效性、帮助的获得性、帮助的频率。
14、以下叙述中,不符合GB/T 16680《软件文档管理指南》规定的是( )。
A.质量保证计划属于管理文档
B.详细设计评审需要评审程序单元测试计划
C.文档的质量可以按文档的形式和列出的要求划分为四级
D.软件产品的所有文档都应该按规定进行签署,必要时进行会签
答案:A
解析:根据GB/T 16680《软件文档管理指南》,软件文档归入如下三种类。
7.2.1 开发文档:描述开发过程本身。
①可行性研究和项目任务书;②需求规格说明;③功能规格说明;④计规格说明,包括程序和数据规格说明;⑤开发计划;⑥软件集成和测试计划;⑦质量保证计划、标准、进度;⑧安全和测试信息。
7.2.2 产品文档:描述开发过程的产物。
①培训手册;②参考手册和用户指南;③软件支持手册;④产品手册和信息广告。
7.2.3 管理文档:记录项目管理的信息。
①开发过程的每个阶段的进度和进度变更的记录;②软件变更情况的记录;③相对于开发的判定记录;④职责定义。
所以 A 是错误答案,质量保证计划属于开发文档。
15、过程质量是指过程满足明确和隐含需要的能力的特性之综合。根据GB/T 16260-2006中的观点,在软件工程项目中,评估和改进一个过程是提高( )的一种手段,并据此称为提高使用质量的一种方法。
A.产品质量
B.使用质量
C.内部质量
D.外部质量
答案:A
解析:根据 GBT 16260.1-2006《软件工程产品质量》
5.1质量途径:过程质量(即在GB/T 8566-2001中定义的任一生存周期过程的质量)有助于提高产品质量,而产品质量又有助于提高使用质量。因此,评估和改进一个过程是提高产品质量的一种手段,而评价和改进产品质量则是提高使用质量的方法之一。同样,评价使用质量可以为改进产品提供反馈,而评价产品则可以为改进过程提供反馈。
16、信息系统安全风险评估是通过数字化的资产评估准则完成的,它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素,以下不会被覆盖的要素是( )。
A.立法及规章未确定的义务
B.金融损失或对业务活动的干扰
C.信誉的损失
D.商业及经济的利益
答案:A
解析:评估是通过数字的资产评估准则完成的,它覆盖了以下几点:①人员安全;②人员信息;③立法及规章所确定的义务;④法律的强制性;⑤商业及经济的利益;⑥金融损失对业务活动的干扰;⑦公共秩序;⑧业务政策及操作;⑨信誉的损害。
17、根据GB/T 12504-2008《计算机软件质量保证计划规范》中的规定,在软件验收时,验证代码与设计文档的一致性、接口规格说明的一致性、设计实现和功能需求的一致性等检查属于( )
A.综合检查
B.功能检查
C.性能检查
D.配置检查
答案:A
解析:GB/T 12504-199《计算机软件质量保证计划规范》
4.5.5 功能检查:在软件释放前,要对软件进行功能检查,以确认已满足在软件需求规格说明书中规定的所有需求。
4.5.6 物理检查,在验收文件前,要对软件进行物理检查,验证程序和文档已经一致,并已做好了交付的准备。
4.5.7 综合检查:在软件验收时,要允许用户或用户所委托的专家就要验收的软件进行设计抽样的综合检查,以验证代码和设计文档的一致性、接口规格说明之间的一致性(硬件和软件)、设计事先和功能需求的一致性、功能需求和测试描述的一致性。
18、根据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》的相关规定“机房出入应安排专人负责、控制、鉴别和记录进入的人员”应属于( )安全的技术要求。
A.物理
B.设备
C.存储
D.网络
答案:A
解析:GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》6.1.1.2物理访问控制本项要求包括:
A.机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
B.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
19、评估信息系统安全时,需要对风险项进行量化来综合评估安全等级。如果对于需求变化频繁这一事件,其发生概率为0.5,产生的风险影响值为5,则该风险项的风险值为( )。
A.10
B.5.5
C.4.5
D.2.5
答案:D
解析:概率和影响值的乘积为风险值 0.5*5=2.5。
20、依据GB/T 16680-2015《系统与软件工程用户文档的管理者需求》,管理者应制定和维护用户文档编制计划。( )不属于用户文档编制计划内容。
A.文档开发过程中实施的质量控制
B.用户文档的可用性要求
C.确定用户文档需要覆盖的软件产品
D.每个文档的媒体和输出格式的控制模板和标准设计
答案:A
解析:根据GB/T 16680-2015《系统与软件工程用户文档的管理者需求》7.3 文档编制计划内容:确定用户文档需要覆盖的软件产品;
每个文档;
每个文档的预期受众(用户属性),例如以教育水平、技能和经验为特征进行描述;
要获取、重用或开发的文档和信息以及他们的预期来源;
用户文档的可用性要求;
每个文档的媒体和输出格式的控制模版和标准设计;
根据文档主题、插图、单词、页、错误信息、命令或者其他参数的个数估计用户文档理者需求,管理者应制定和维护用户文档集的理论依据或目的(指导性的或者供参考的)以及范围的大小。
用户文档的大纲,目录或者主题列表;
文档开发和生产过程中的方法和工具,包括在软件开发过程中将软件变更信息及时传递到文档编写者的方法;
角色和职责;需要的技能水平,团队成员选拔计划可以作为可选内容;文档开发、评审、批准通过和发布的进度表,包括对软件产品开发进度表或其他文档项目的依赖;
翻译和本地化用户文档的相关计划;
确定具体交付物,例如打印版的份数(如果适用),磁盘和文件格式(包括软件版本),提交物发布的位置。
21、系统安全可以分为5个层面的安全要求,包括:物理、网络、主机、应用、数据及备份恢复,“当检测到攻击行为时,记录攻击源 IP,攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”属于( )层面的要求。
A.物理
B.网络
C.主机
D.应用
答案:B
解析:网络安全-入侵防范:应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等,当检测到攻击行为时,记录攻击源 IP、攻击类型、目的、时间,发生严重入侵事件时应提供报警。信息系统安全 5个层面的安全要求:物理、网络、主机、应用、数据及备份恢复。
22、根据《信息安全等级保护管理办法》中的规定,信息系统的安全保护等级应当根据信息系统的国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后,对国家安全、社会秩序公共利益以及公民、法人和其他组织的合法权益的危险程度等因素确定。其中安全标记保护级处于( )
A.第二级
B.第三级
C.第四级
D.第五级
答案:B
解析:《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的五个等级。
第一级为用户自主保护级,该级适用于普通内联网用户;第二级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;第三级为安全标记保护级,该级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;第四级为结构化保护级,该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门;第五级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
助记:主审机构访问(自主、审计、标记、结构、访问)。
23、在信息系统安全保护中,信息安全策略控制用户对文件、数据库表等客体的访问属于( )安全管理。
A.安全审计
B.入侵检测
C.访问控制
D.人员行为
答案:C
解析:访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。
24、为了保护网络系统的硬件、软件及其系统中的数据,需要相应的网络安全工具,以下安全工具中( )被比喻为网络安全的大门,用来鉴别什么样的数据包可以进入企业内部网。A.杀毒软件
B.入侵检测系统
C.安全审计系统
D.防火墙
答案:D
解析:“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意"的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
入侵检测技术(IDS)注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。因此绝大多数IDS系统都是被动的。做个比喻:防火墙像是小区的保安,在门口拦截一切可疑人等;而入侵检测像是小区里的监控,监控在小区里发生的异常。
25、信息系统的安全威胁分成七类,其中不包括( )。
A.自然事件风险和人为事件风险
B.软件系统风险和软件过程风险
C.项目管理风险和应用风险
D.功能风险和效率风险
答案:D
解析:业务应用信息系统的安全威胁(风险)可以有多种分类方法。
1.从风险的性质划分,可以简单地分为静态风险和动态风险。静态风险是自然力的不规则作用和人们的错误判断和错误行为导致的风险;动态风险是由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。
2.从风险的结果划分,可以分为纯粹风险和投机风险。纯粹风险是当风险发生时,仅仅会造成损害的风险;而投机风险是当风险发生时,可能产生利润也可能造成损失的风险。
3.从风险源的角度划分,可以划分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等(七个)。
26、访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用的安全措施,以下关于访问控制的叙述中,( )是不正确的。
A.访问控制包括2个重要的过程:鉴别和授权
B.访问控制机制分为2种:强制访问控制(MAC)和自主访问控制(DAC)
C.RBAC基于角色的访问控制对比 DAC 的先进之处在于用户可以自主的将访问的权限授给其它用户
D.RBAC不是基于多级安全需求的,因为基于 RBAC的系统中主要关心的是保护信息的完整性即“谁可以对什么信息执行何种动作”
答案:C
解析:基于角色的访问控制(RBAC):角色由应用系统的管理员定义,角色成员的增减只能由应用系统的管理员来执行,授权规定是强加给用户的,用户只能被动接受,不能自主决定,也不能自主地将访问权限传给他人。RBAC与DAC的区别是用户不能自主地将访问权限授给别的用户。
27、以下关于WLAN安全机制的叙述中,( )是正确的。
A.WPA是为建立无线网络安全环境提供的第一个安全机制
B.WEP和IPSec协议一样,其目标都是通过加密无线电波来提供安全保护
C.WEP2的初始化向量(IV)空间64位
D.WPA 提供了比WEP 更为安全的无线局域网接入方案
答案:D
解析:答案A是错误的,WEP比WPA还早。答案B的IPSec不是加密无线电波的。答案C新版本的 WEP2将初始化向量IV的空间从24位增加到128位。答案D是正确的,WPA是用来替代WEP的,它比WEP更安全。
WLAN无线网络常用的认证与加密方式:
一、WEP(Wired Equivalent Privacy),有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。不过WEP密钥在传递过程中本身容易被截获和破解,因此已被 WPA 取代。
二WPA(Wi-Fi Protected Access),其目前有四种认证方式:WPA、WPA-PSK、WPA2、WPA2-PSK。
1.WPA是用来替代WEP的。WPA继承了WEP的基本原理而又弥补了WEP的缺点:WPA加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥;WPA中还增加了防止数据中途被篡改的功能和认证功能。
2.WPA2(WPA第二版)是WPA的增强型版本,与WPA相比,WPA2新增了支持AES的加密方式。
3.WPA-PSK(预先共享密钥Wi-Fi保护访问):适用于个人或普通家庭网络,使用预先共享密钥,密钥设置的密码越长,安全性越高。WPA-PSK只能使用TKIP加密方式。
4.WPA2-PSK适用于个人或普通家庭网络,使用预先共享密钥,支持TKIP和AES两种加密方式。
28、IDS 发现网络接口收到来自特定IP地址的大量无效的非正常生成的数据包,使服务器过于繁忙以至于不能应答请求,IDS会将本次攻击方式定义为( )。
A.拒绝服务攻击
B.地址欺骗攻击
C.会话劫持
D.信号包探测程序攻击
答案:A
解析:IDS入侵检测
1.拒绝服务攻击是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。广义上讲,任何能够导致用户的服务器不能正常提供服务的攻击都属于拒绝服务攻击,比如:向对方的计算机和路由器等发送不正当的数据使其陷入不能使用。所以本题答案是 A。
2.IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
3.会话劫持(Session Hijack),就是结合了嗅探以及欺骗技术在内的攻击手段。例如,在-次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。信号包探测程序攻击应该是不存在的。
29、信息系统访问控制机制中,( )是指对所有主体和客体部分分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法。
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
答案:B
解析:各访问控制机制说明如下:
1.强制访问控制:系统独立于用户行为强制执行访问控制(MAC)用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据都被分配了安全标签,安全标签标识一个安全等级。
·主体(用户,进程) 被分配一个安全等级。
·客体(文件,数据)也被分配一个安全等级。
访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法。
2.自主访问控制:自主访问控制(DAC)机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体计对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。
自主访问控制中,用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有一个角色。每个客体都拥有一个限定主体对其访问权限的访问控制列表 (ACL)。每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。3角色的访问控制 RBAC(Role-Based Access Control)
基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色。而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定。用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。RBAC不是基于多级安全需求的,MAC是基于多级安全需求的。
30、( )不能保障公司内部网络边界的安全。
A.在公司网络与Internet或外界其他接口处设置防火墙
B.公司以外网络上用户要访问公司网时,使用认授权系统
C.禁止公司员工使用公司外部的电子邮件服务器
D.禁止公司内部网络的用户私自设置拨号上网
答案:C
解析:这是软件设计师的一道真题。
计算机网络安全主要是指计算机网络抵御来自外界侵袭等应采取的相应措施,它是网络信息安全的最外一层防线,主要通过采用安全防火墙系统、安全代理服务器、安全加密网关等来实现。计算机网络安全主要包括网络边界的安全和网络内部的安全控制和防范。
网络边界主要是指本单位(或部门)的网络与外界网络或Internet互联的出口边界,其安全主要是针对经边界进出访问和传输数据包要采取的控制和防范措施。内部网络应当采用统一的因特网出口,以便加强管理:计算机网络与Internet或外界其他网络接口处必须设置防火墙系统,该防火墙要具有加密功能或安全加密网关:要定期扫描网络的安全漏洞,及时消除网络安全的隐患;Internet 或外界其他网络上的授权用户要通过安全防火墙或安全加密网关远程进入时,必须配备电子印章认证系统,只有认证通过的授权用户才可进入。
计算机网络一般不用设置拨号访问服务器和提供modem接入,如确需设置,必须采取如下措施:设置访问控制服务器,对拨号上网的用户身份、电话号码等进行验证;要求拨号用户采用比较安全的口令,并确保不把用户名和口令外传给其他任何人;在拨号访问服务器和网络之间设置安全防火墙,对远程访问进程进行控制和监测;对拨号上网的电话号码严格保密。综上来看,ABD 都正确。C不正确,禁止使用外部电子邮件服务器与保障公司内部网络安全没有必然影响。
31、以下关于信息系统运维的叙述中,( )是不正确的。
A.一般而言,在信息系统运维过程中,会有较大比例的成本或资源投入
B.高效运维离不开管理平台,需要依靠管理与工具及其合理的配合
C.运维管理平台使运维自动化、操作化,降低了对运维人员的技术要求
D.运维的目的是保障系统正常运行,要重视效率与客户满意度的平衡
答案:C
解析:C选项运维管理平台使运维自动化、操作化,并没有降低了对运维人员的技术要求。
32、在信息系统安全建设中,( )确立全方位的防御体系,一般会告诉用户应有的责任,组织规定的网络访问、服务访问、本地和远地的用户认证拔入和拔出、磁盘数据加密、病毒防护措施,以及雇员培训等,并保证所有可能受到攻击的地方必须以同样安全级别加以保护。A.安全策略
B.防火墙
C.安全体系
D.系统安全
答案:A
解析:在信息系统安全建设中,安全策略确立全方位的防御体系,一般会告诉用户应有的责任,组织规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等,并保证所有可能受到攻击的地方都必须以同样安全级别加以保护。
33、通过收集和分析计算机系统或网络的关键节点信息,以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术被称为( )。
A.系统检测
B.系统分析
C.系统审计
D.入侵检测
答案:D
解析:入侵检测就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果及是否有违反安全策略的行为,以保证网络系统资源的机密性、完整性和可用性。
34、以下关于信息系统审计的叙述中。不正确的是 ( )。
A.信息系统审计是安全审计过程的核心部分
B.信息系统审计的目的是评估并提供反馈,保证及建议
C.信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统升级与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定
D.信息系统审计的目的可以是收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标
答案:A
解析:安全审计是信息系统审计基本业务中的一个,A 答案是不正确的。
35、安全审计(Security Audit)是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法,安全审计的主要作用不包括( )。
A.对潜在的攻击者起到震慑或警告作用
B.对已发生的系统破坏行为提供有效的追究证据
c.通过提供日志,帮助系统管理员发现入侵行为或潜在漏洞
D.通过性能测试,帮助系统管理员发现性能缺陷或不足答案:D
解析:一个安全审计系统,主要有以下的作用:
对潜在的攻击者起到震慑或警告作用。A正确。
对于已经发生的系统破坏行为提供有效的追究证据。B正确。
为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。C正确。
为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。不包括D。
36、按照网络分级设计模型,通常把网络设计分为3层,即核心层、汇聚层和接入层。以下叙述中( )是不正确的。
A.核心层承担访问控制列表检查功能
B.汇聚层实现网络的访问策略控制
C.工作组服务器放置在接入层
D.在接入层可以使用集线器代替交换机
答案:A
解析:网络设计分级模型:核心层、汇聚层、接入层。核心层:提供最优的区域传输,尽快的转发分组。提供优化的,可靠的数据传输功能。汇聚层:提供基于策略的连接,通过访问控制列表或其他的过滤机制进入核心层的流量,定义网络的边界和访问策略。接入层:为多业务应用和其他的网络应用提供用户到网络的介入,负责用户设备的接入,防止非法用户进入网络。
37、以下关于网络协议的叙述中,( )是正确的。
A.因特网最早使用的协议是OSI七层体系结构
B.NETBEUI是IBM开发的路由选择协议
C.在TCP/IP协议分层结构中,FTP是运行在TCP之上的应用层协议
D.TCP协议提供了无连接但可靠的数据报传送信道
答案:C
解析:美国国防部高级研究计划局(ARPA)主持研制的ARPAnet阿帕网于1969年正式启用。ARPAnet是因特网的起源。而OSI七层体系结构是ISO(国际标准化组织)在1985研究的网络互联模型。所以A是不对的。
NETBEUI是为IBM开发的非路由协议。B是错误的。
FTP是运行在TCP之上的应用层协议,C是对的。
TCP(传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。D也是错误的。
38、某楼层共有60个信息点,其中信息点的最远距离为65米,最近距离为35米,则该布线工程大约需要( )米的线缆。(布线到线缆的计划长度为实际使用量的1.1倍)
A.4290
B.2310
C.3300
D.6600
答案:C
解析:线缆平均长度计算公式,完整公式,计划用量:c=[0.55*(最大长度+最小长度)+6]*信息点数量=61*60=3660。则实际大约的用量=3660/1.1=3327,约等于3300,答案 C。
39、虽然不同的操作系统可能装有不同的浏览器。但是这些浏览器都符合( )协议。
A.SNMP
B.HTTP
C.HTML
D.SMTP
答案:B
解析:HTTP(Hypertext Transfer Protocol)是超文本传输协议,是用于从 www 服务器传输超文本到本地浏览器的传输协议。是客户端浏览器或其他程序与 Web 服条器之间的应用层通信协议。它是互联网上应用最为广泛的一种网络协议。所有的 WWW文件都必须遵守这个标准。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。注意HTTP和HTM区别开来,HTML是超文本标记语言(英文:Hyper Text Markup Language HTML)。是为“网页创建及其它可在网页浏览器中看到的信息”设计的一种标记语言。HTML被用来结构化信息,例如标题、段落和列表等等,也可用来在一定程度上描述文档的外观和语义。它不是协议。
40、局域网中,常采用广播消息的方法来获取访问目标IP地址对应的MAC地址,实现此功能的协议为( )。
A.RARP 协议
B.SMTP协议
C.SLIP 协议
D.ARP 协议
答案:D
解析:1.RARP反向地址转换协议(Reverse Address Resolution Protocol),通过MAC地址确定IP地址,允许局域网的物理机器从网关服务器的ARP表或者缓存上请求其IP地址。
2.SMTP(Simple Mail Transfer Protocol)是简单邮件传输协议,它是一组用于由源地址到目的地址传 送邮件的规则,由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。
3.SLIP(Serial Line Internet Protocol,串行线路网际协议),该协议是Windows远程访问的-种旧工业标准,主要在Unix远程访问服务器中使用,现今仍然用于连接某些ISP。因为SLIP协议是面向低速串行线路的,可以用于专用线路,也可以用于拨号线路。
4.ARP(Address Resolution Protocol)地址解析协议,是根据IP地址获取物理地址的一个TCP/IP 协议。所以本题答案为 D。
41、域名服务器上存储有Internet主机的( )。
A.MAC地址与主机名
B.IP地址与域名
C.IP地址与访问路径
D.IP地址、域名与MAC地址
答案:B
解析:把域名翻译成IP 地址的软件称为域名系统,即DNS,所以域名服务器 DNS 保存了一张域名(domain name)和与之相对应的IP 地址(IP address)的表,以解析消息的域名。
42、在1号楼办公的小李希望在本地计算机上通过远程登录的方式访问放置在2号楼的服务器,为此将会使用到TCP/IP协议族中的( )协议。
A.Telnet
B.FTP
C.HTTP
D.SMTP
答案:A
解析:Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。
43、TCP/IP参考模型分为四层:( )、网络层、传输层、应用层。
A.物理层
B.流量控制层
C.会话层
D.网络接口层
答案:D
解析:TCP/IP(又称TCP/IP 协议族)是一组用于实现网络互连的通信协议,其名称来源于该协议簇中两个重要的协议 (IP 协议和 TCP 协议)。基于TCP/IP 的参考模型将协议分成四个层次,它们分别是网络接口层、网际互连层(IP 层)、传输层(TCP 层)和应用层。
44、在机房工程的设计过程中,所设计的机房工程需具有支持多种网络传输,多种物理接口的能力,是考虑了( )原则。
A.实用性和先进性
B.安全可靠性
C.灵活性和可扩展性
D.标准化
答案:C
解析:设计支持多种网络传输,多种物理接口的能力,是重点考虑了灵活性、特别是可扩展性。机房工程设计原则:
1.实用性和先进性。采用先进成熟的技术和设备,满足当前业务需求,兼顾未来的业务需求。尽可能采用先进的技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。
2.安全可靠性。为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键没备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、
控制手段和事故监控与安全保密等技术措施以提高电脑机房的安全可靠性。
3.灵活性和可扩展性。机房必须具有良好的灵活性和可扩展性,能够根据业务不断深入发展的需要,扩大设备容量,提高可容纳的用户数量。具备支持多种网络传输、多种物理接口的
能力,提供技术升级、设备更新的灵活性。
4.标准化。在机房系统整体设计,基于国际标准和国家颁布的有关标准,包括各种建筑、机房设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范,从而为未来的业务发展和设各增容奠定基础。
5.经济性,投资保护。应以较高的性能价格比构建机房,使资金的产出,投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。犀可能保留并
延长已有系统的投资,充分利用以往在资金与技术方面的投入。
6.可管理性。机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。所以在电脑中心的设计中,必须建立一套全面、完善的机房管理和监控系统。所选用的设备应具有智能化,可管理的功能,同时采用先进的管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个电脑机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,提高的运行性能、可靠性,简化机房管理人员的维护工作,从而为机房安全、可靠的运行提供最有力的保障。
45、“采用先进成熟的技术和设备,满足当前业务需求,兼顾未来的业务需求”体现了“( )”的机房工程设计原则。
A.实用性和先进性
B.灵活性和可扩展性
C.经济性/投资保护
D.可管理性
答案:A
解析:机房工程设计原则:1.实用性和先进性。采用先进成熟的技术和设备,满足当前业务需求,兼顾未来的业务需求。尽可能采用先进的技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。2.安全可靠性。为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施以提高电脑机房的安全可靠性。3.灵活性和可扩展性。机房必须具有良好的灵活性和可扩展性,能够根据业务不断深入发展的需要,扩大设备容量,提高可容纳的用户数量。具备支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性:4.标准化。在机房系统整体设计,基于国际标准和国家颁布的有关标准,包括各种建筑、机房设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范,从而为未来的业务发展和设备增容奠定基础。
5.经济性,投资保护。应以较高的性能价格比构建机房,使资金的产出,投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。6.可管理性。机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重所以在电脑中心的设计中,必须建立一套全面、完善的机房管理和监控系统。所选用的设备应具有智能化,可管理的功能,同时采用先进的管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个电脑机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,提高的运行性能、可靠性,简化机房管理人员的维护工作,从而为机房安全、可靠的运行提供最有力的保障。