前言:
国家信息安全水平考试(NISP)二级,被称为校园版”CISP”,由中国信息安全测评中心发证,NISP运营管理中心(www.nisp.org.cn)负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白,持证学员毕业满足条件可免试换取CISP证书,为持证学员赢得就业先机。
1.在 Windows 系统中,管理权限最高的组是:
A.everyone
B.administrator
C.powerusers
D.users
答案;B
解析:超级管理员组 administrator
2.下列关于 kerckhof 准则的说法正确的是:
A.保持算法的秘密性比保持密钥的秘密性要困难的多
B.密钥一旦泄漏,也可以方便的更换
C.在一个密码系统中,密码算法是可以公开的,密钥应保证安全
D.公开的算法能够经过更严格的安全性分析
答案;C
解析:柯克霍夫原则:密码系统的安全性依赖于密钥而不依赖于算法。
3.在 Windows XP 中用事件查看器查看日志文件,可看到的日志包括?
A.用户访问日志、安全性日志、系统日志和 IE 日志
B.应用程序日志、安全性日志、系统日志和 IE 日志
C.网络攻击日志、安全性日志、记账日志和 IE 日志
D.网络链接日志、安全性日志、服务日志和 IE 日志
答案;B
解析:
4.操作系统安全的基础是建立在:
A.安全安装
B.安全配置
C.安全管理
D.以上都对
答案;D
解析:
5.信息发送者使用__________进行数字签名。
A.己方的私钥
B.己方的公钥
C.对方的私钥
D.对方的公钥
答案;A
解析:私钥加密,公钥解密,公钥私钥成
对出现。
6.以下列出了 mac 和散列函数的相似性,哪一项说法是错误的?
A.MAC 和散列函数都是用于提供消息认证
B.MAC 的输出值不是固定长度的,而散列函数的输出值是固定长度的
C.MAC 和散列函数都不需要密钥
D.MAC 和散列函数都不属于非对称加密算法
答案;C
解析:(1)MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC 需密钥;不是非对称。(2)哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。
7.下面哪种方法产生的密码是最难记忆的?
A.将用户的生日倒转或是重排
B.将用户的年薪倒转或是重排
C.将用户配偶的名字倒转或是重排
D.用户随机给出的字母
答案;D
解析:随机的最难记
8.以下关于 https 协议 http 协议相比的优势说明,那个是正确的
A.Https 协议对传输的数据进行加密,可以避免嗅探等攻击行为
B.Https 使用的端口和 http 不同,让攻击者不容易找到端口,具有较高的安全性
C.Https 协议是 http 协议的补充,不能独立运行,因此需要更高的系统性能
D.Https 协议使用了挑战机制,在会话过程中不传输用户名和密码,因此具有较高的
答案:A
解析:HTTPS 具有数据加密机制,HTTPS 使用 443 端口,HTTP 使用 80 端口,HTTPS 协议完全可以独立运行,传输加密后的用户名和密码。
9.设计信息系统安全保障方案时,以下哪个做法是错误的:
A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
答案;C
解析:安全领域一般选择经过检验的、成熟、安全的技术方案,一般不选最新的。
10.Windows 文件系统权限管理访问控制列表(Access Control List,ACL)机制,以下哪个说法是错误的:
A.安装 Windows 系统时要确保文件格式使用的是 NTFS,因为 Windows 的 ACL 机制需要 NTFS文件格式的支持
B.由于 Windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C.Windows 的 ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D.由于 ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限答案;C
解析:C 项,与客体进行关联,用户的权限写在文件夹和文件的数据库中。
11.关于我国信息安全保障的基本原则,下列说法中不正确的是:
A.要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B.信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方C.在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点
D.在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用。
答案;A
解析:我国信息安全保障首先要遵循国家标准。
12.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()
A.检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B.检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C.检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D.检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
答案;B
解析:自评估由本级单位发起,检查评估由被评估组织的上级管理机关或业务主管机关发起,P247 页。
13.关于信息安全管理,下面理解片面的是()
A.信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B.信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C.信息安全建设中,技术是基础,管理是拔高,即有效的管理依赖于良好的技术基础
D.坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
答案;C
解析:C 是片面的,应为技管并重,P83 页。
14.为了进一步提供信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作哟的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是()
A.该文件是一个由部委发布的政策性文件,不属于法律文件
B.该文件适用于 2004 年的等级保护工作,其内容不能约束到 2005 年及之后的工作
C.该文件是一个总体性指导文件,规定所有信息系统都要纳入等级保护定级范围
D.该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位
答案;A
解析:
15.下面有关软件安全问题的描述中,哪项应是由于软件设计缺陷引起的()
A.设计了三层 WEB 架构,但是软件存在 SQL 注入漏洞,导致被黑客攻击后直接访问数据库
B.使用 C 语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文数据
答案;C
解析:
16.通过对称密码算法进行安全消息传输的必要条件是:
A.在安全的传输信道上进行通信
B.通讯双方通过某种方式,安全且秘密地共享密钥
C.通讯双方使用不公开的加密算法
D.通讯双方将传输的信息夹杂在无用信息中传输并提取
答案;B
解析:
17.Windows 系统下,哪项不是有效进行共享安全的防护措施?
A.使用 netshare\127.0.0.1\c / d e l e t e 命令,删除系统中的 c /delete 命令,删除系统中的 c /delete命令,删除系统中的c等管理共享,并重启系统
B.确保所有的共享都有高强度的密码防护
C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D.安装软件防火墙阻止外面对共享目录的连接
答案;A
解析:
18.以下对 Windows 账号的描述,正确的是:
A.Windows 系统是采用 SID(安全标识符)来标识用户对文件或文件夹的权限
B.Windows 系统是采用用户名来标识用户对文件或文件夹的权限
C.Windows 系统默认会生成 administrator 和 guest 两个账号,两个账号都不允许改名和删除
D.Windows 系统默认生成 administrator 和 guest 两个账号,两个账号都可以改名和删除
答案;A
解析:guest 可以改名和删除,administrator 不可以。
19.以下关于代替密码的说法正确的是:
A.明文根据密钥被不同的密文字母代替
B.明文字母不变,仅仅是位置根据密钥发生改变
C.明文和密钥的每个 bit 异或
D.明文根据密钥作移位
答案;A
解析:
20.AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效,已经替代 DES 成为新的据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?
A.64bit
B.128bit
C.192bit
D.256bit
答案;A
解析:AES 密钥长度由 128 位、192 位、256 位三种。
21.以下对 Windows 系统的服务描述,正确的是:
A.Windows 服务必须是一个独立的可执行程序B.Windows 服务的运行不需要用户的交互登陆
C.Windows 服务都是随系统启动而启动,无需用户进行干预
D.Windows 服务都需要用户进行登陆后,以登录用户的权限进行启动
答案;B
解析:
22.Alice 有一个消息 M 通过密钥 K2 生成一个密文 E(K2,M)然后用 K1 生成一个 MAC为 C(K1,E(K2,M)),Alice 将密文和 MAC 发送给 Bob,Bob 用密钥 K1 和密文生成一个MAC 并和 Alice 的 MAC 比较,假如相同再用 K2 解密 Alice 发送的密文,这个过程可以提供什么安全服务?
A.仅提供数字签名
B.仅提供保密性
C.仅提供不可否认性
D.保密性和消息完整性
答案;D
解析:密文 E(K2,M)保障保密性,消息验证码 MAC 为 C(K1,E(K2,M))保障完整性。
23.以下关于 windowsSAM(安全账号管理器)的说法错误的是:
A.安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam
B.安全账号管理器(SAM)存储的账号信息是存储在注册表中
C.安全账号管理器(SAM)存储的账号信息 administrator 和 system 是可读和可写的
D.安全账号管理器(SAM)是 windows 的用户数据库系统进程通过 Security Accounts Manager服务进行访问和操作
答案;C
解析:SAM 文件只有 system 可读和可写的
24.常见密码系统包含的元素是:
A.明文,密文,信道,加密算法,解密算法
B.明文,摘要,信道,加密算法,解密算法
C.明文,密文,密钥,加密算法,解密算法
D.消息,密文,信道,加密算法,解密算法
答案;C
解析:
25.社会工程学定位在计算机信息安全工作链的一个最脆弱的环节,即“人”这个环节上。这些社会工程黑客在某黑客大会上成功攻入世界五百强公司,其中一名自称是 CSO 杂志做安全调查,半小时内,攻击者选择了在公司工作两个月安全工程部门的合约雇员,在询问关于工作满意度以及食堂食物质量问题后,雇员开始透露其他信息,包括:操作系统、服务包、杀毒软件、电子邮件及浏览器。为对抗此类信息收集和分析,公司需要做的是()
A.通过信息安全培训,使相关信息发布人员了解信息收集风险,发布信息最小化原则
B.减少系统对外服务的端口数量,修改服务旗标
C.关闭不必要的服务,部署防火墙、IDS 等措施
D.系统安全管理员使用漏洞扫描软件对系统进行安全审计
答案;A
解析:
26.基于 TCP 的主机在进行一次 TCP 连接时简要进行三次握手,请求通信的主机 A 要与另一台主机 B 建立连接时,A 需要先发一个 SYN 数据包向 B 主机提出连接请示,B 收到后,回复一个 ACK/SYN 确认请示给 A 主机,然后 A 再次回应 ACK 数据包,确认连接请求。攻击通过伪造带有虚假源地址的 SYN 包给目标主机,使目标主机发送的 ACK/SYN 包得不到确认。一般情况下,目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假 SYN 包同时发送到目标主机时,目标主机上就会有大量的连接请示等待确认,当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受,这种 SYN Flood 攻击属于()
A.拒绝服务攻击
B.分布式拒绝服务攻击
C.缓冲区溢出攻击
D.SQL 注入攻击
答案;A
解析:SYN Flood 属于拒绝服务攻击的一种,并未体现出来分布式。
27.信息安全是国家安全的重要组成部分,综合研究当前世界各国信息安全保障工作,总结错误的是()
A.各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点
B.各国普遍重视战略规划工作,逐步发布网络安全战略、政策评估报告、推进计划等文件
C.各国普遍加强国际交流与对话,均同意建立一致的安全保障系统,强化各国安全系统互通
D.各国普遍积极推动信息安全立法和标准规范建设,重视应急响应、安全监管和安全测评
答案;C
解析:“均同意建立一致的安全保障系统”错误
28.公钥密码的应用不包括:
A.数字签名
B.非安全信道的密钥交换
C.消息认证码
D.身份认证
答案;C
解析:ABD 都是是公钥密码应用的范畴。
29.Hash 算法的碰撞是指:
A.两个不同的消息,得到相同的消息摘要
B.两个相同的消息,得到不同的消息摘要
C.消息摘要和消息的长度相同
D.消息摘要比消息长度更长
答案;A
解析:P282 页
30.实施灾难恢复计划之后,组织的灾难前和灾难后运营成本将:
A.降低
B.不变(保持相同)
C.提高
D.提高或降低(取决于业务的性质)
答案;C
解析:
31.自主访问控制模型(DAC)的访问控制关系可以用访问控制表(ACL)来表示,该ACL 利用在客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是( )。
A.ACL 是 Bell-LaPadula 模型的一种具体实现
B.ACL 在删除用户时,去除该用户所有的访问权限比较方便
C.ACL 对于统计某个主体能访问哪些客体比较方便
D.ACL 管理或增加客体比较方便
答案;D
解析:P307 页
32.在入侵检测(IDS)的运行中,最常见的问题是:()
A.误报检测
B.接收陷阱消息
C.误拒绝率
D.拒绝服务攻击
答案;A
解析:P354
33.什么是系统变更控制中最重要的内容?
A.所有的变更都必须文字化,并被批准
B.变更应通过自动化工具来实施
C.应维护系统的备份
D.通过测试和批准来确保质量
答案;A
解析:
34.IPv4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依靠 IP 头部的校验和字段来保证 IP 包的安全,因此 IP 包很容易被篡改,并重新计算校验和。IETF 于 1994 年开始制定 IPSec 协议标准,其设计目标是在 IPv4 和 IPv6环境中为网络层流量提供灵活、透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。下列选项中说法错误的是( )
A.对于 IPv4, IPSec 是可选的,对于 IPv6,IPSec 是强制实施的。
B.IPSec 协议提供对 IP 及其上层协议的保护。
C.IPSec 是一个单独的协议
D.IPSec 安全协议给出了封装安全载荷和鉴别头两种通信保护机制。
答案;C
解析:IPSec 不是一个单独的协议,它还包括 AH(网络认证协议)、ESP(载荷封装协议)、IKE(密钥管理协议)等。
35.小陈学习了有关信息安全管理体系的内容后,认为组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用,他总结了四个方面的作用,其中总结错误的是( )
A.可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B.可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C.可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D.可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的 ISO9001 认证
答案;D
解析:ISO9001 是质量认证不是安全管理认证,应通过 ISO27001 认证。
36.随着“互联网”概念的普及,越来越多的新兴住宅小区引入了“智能楼宇”的理
念,某物业为提供高档次的服务,防止网络主线路出现故障,保证小区内网络服务的可用,稳定、高效,计划通过网络冗余配置的是()。
A.接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。
B.核心层、汇聚层的设备和重要的接入层设备均应双机设备。
C.规划网络 IP 地址,制定网络 IP 地址分配策略
D.保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需求
答案;A
解析:“防止网络主线路出现故障”,所以应做线路备份。
37.在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机,下列选项中部署位置正确的是()
A.内网主机——交换机——防火墙——外网
B.防火墙——内网主机——交换机——外网
C.内网主机——防火墙——交换机——外网
D.防火墙——交换机——内网主机——外网
答案;A
解析:防火墙一般部署在内网和外网边界。
38.访问控制是对用户或用户访问本地或网络上的域资源进行法令一种机制。在Windows2000 以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对 windows操作系统访问控制实现方法的理解错误的是()
A.ACL 只能由管理员进行管理
B.ACL 是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的 SID
C.访问令牌存储着用户的 SID,组信息和分配给用户的权限
D.通过授权管理器,可以实现基于角色的访问控制
答案;A
解析:
39.某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从而控制了小张的电脑,并以她的电脑为攻击的端口,使报社的局域网全部感染木马病毒,为防范此类社会工程学攻击,报社不需要做的是()
A.加强信息安全意识培训,提高安全防范能力,了解各种社会工程学攻击方法,防止受到此类攻击
B.建立相应的安全相应应对措施,当员工受到社会工程学的攻击,应当及时报告
C.教育员工注重个人隐私保护
D.减少系统对外服务的端口数量,修改服务旗标
答案;D
解析:D 和社工无关。
40.2016 年 9 月,一位安全研究人员在 Google Cloud IP 上通过扫描,发现了完整的美国路易斯安邦州 290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码,以防止攻击者利用以上信息进行()攻击。
A.默认口令
B.字典
C.暴力
D.XSS
答案;B
解析:
41.模糊测试,也称 Fuzz 测试,是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是()
A.模糊测试本质上属于黑盒测试B.模糊测试本质上属于白盒测试
C.模糊测试有时属于黑盒测试,有时属于白盒测试,取决于其使用的测试方法D.模糊测试既不属于黑盒测试,也不属于白盒测试
答案;A
解析:
42.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为 3 个控制阶段,不包括哪一项()
A.任用之前
B.任用中
C.任用终止或变化
D.任用后
答案;D
解析:P106
43.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项
A.物理安全边界、物理入口控制
B.办公室、房间和设施的安全保护。外部和环境威胁的安全防护
C. 在安全区域工作。公共访问、交接区安全
D.人力资源安全
答案;D
解析:D 和物理环境安全无关。
44.关于补丁安装时应注意的问题,以下说法正确的是
A.在补丁安装部署之前不需要进行测试,因为补丁发布之前厂商已经经过了测试
B.补丁的获取有严格的标准,必须在厂商的官网上获取
C.信息系统打补丁时需要做好备份和相应的应急措施
D.补丁安装部署时关闭和重启系统不会产生影响
答案;C
解析:
45.某电子商务网站架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后该删除操作才能生效,这种设计是遵循了发下哪个原则
A.权限分离原则
B.最小的特权原则
C.保护最薄弱环节的原则
D.纵深防御的原则
答案;A
解析:
46.关于 Kerberos 认证协议,以下说法错误的是:
A.只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该 TGT 没有过期,就可以使用该 TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码
B.认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全
C.该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证
D.该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂
答案;C
解析:Kerberos 由 MIT 于 1988 年开发,用于分布式环境中,完成服务器与用户之间的相互认证。
47.某单位系统管理员对组织内核心资源的访问制定访问策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:
A.强制访问控制
B.基于角色的访问控制
C.自主访问控制
D.基于任务的访问控制
答案;C
解析:“针对每个用户指明”
48.防火墙是网络信息系统建设中常采用的一类产品,它在内外网隔离方面的作用是()
A.既能物理隔离,又能逻辑隔离
B.能物理隔离,但不能逻辑隔离
C.不能物理隔离,但是能逻辑隔离
D.不能物理隔离,也不能逻辑隔离
答案;C
解析:
49.以下关于 Windows 系统的账号存储管理机制(Security Accounts Manager)的说法哪个是正确的:
A.存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B.存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C.存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D.存储在注册表中的账号数据有只有 System 账户才能访问,具有较高的安全性
答案;D
解析:Security Accounts Manager 只有 system 账号才能访问。
50.强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性较高的系统。强制访问控制模型有多种类型,如 BLP、Biba、Clark-Willson 和 ChineseWall 等。小李自学了 BLP 模型,并对该模型的特点进行了总结。以下 4 钟对 BLP 模型的描述中,正确的是( ):
A.BLP 模型用于保证系统信息的机密性,规则是“向上读,向下写”
B.BLP 模型用于保证系统信息的机密性,规则是“向下读,向上写”
C.BLP 模型用于保证系统信息的完整性,规则是“向上读,向下写”
D.BLP 模型用于保证系统信息的完整性,规则是“向下读,向上写”
答案;B
解析:BLP 模型保证机密性,向下读,向上写;Biba 保障完整性,向上读向下写。
51.信息安全风险等级的最终因素是:
A.威胁和脆弱性
B.影响和可能性
C.资产重要性
D.以上都不对
答案;D
解析:影响风险等级的要素包括:威胁、资产、脆弱性。
52.对系统工程(Systems Engineering,SE)的理解,以下错误的是:
A.系统工程偏重于对工程的组织与经营管理进行研究
B.系统工程不属于技术实现,而是一种方法论
C.系统工程不是一种对所有系统都具有普遍意义的科学方法
D.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
答案:C
解析:系统工程是一种对所有系统都具有普遍意义的科学方法。
53.2005 年,RFC4301(Request for Comments 4301:Security Architecture for the Internet Protocol)发布,用以取代原先的 RFC2401,该标准建议规定了 IPsec 系统基础架构,描述如何在 IP 层(IPv4/IPv6)位流量提供安全业务。请问此类 RFC 系列标准建议是由下面哪个组织发布的()。
A.国际标准化组织(International Organization for Standardization,ISO)
B.国际电工委员会(International Electrotechnical Commission,IEC)
C.国际电信联盟远程通信标准化组织(ITU Telecommunication Standardization Secctor,ITU-T)
D.Internet 工程任务组(Internet Engineering Task Force,IETF)
答案:D
解析:
54.GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护轮廊(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出了评估保证级(Evaluation Assurance Level,EAL),其评估保证级共分为()个递增的评估保证等级。
A.4
B.5
C.6
D.7
答案:D
解析:
55.在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面描述中错误的是( )
A.所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B.使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
C.动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
D.通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型
答案:C
解析:动态口令方案要求其口令不能被收集和预测。
56.“统一威胁管理”是将防病毒,入侵检测和防火墙等安全需求统一管理,目前市场上已经出现了多种此类安全设备,这里“统一威胁管理”常常被简称为( )
A.UTM
B.FW
C. IDS
D.SOC
答案:A
解析:
57.以下哪一项不是常见威胁对应的消减措施:
A.假冒攻击可以采用身份认证机制来防范
B.为了防止传输的信息被篡改,收发双方可以使用单向 Hash 函数来验证数据的完整性
C.为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D.为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
答案:C
解析:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
58.国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则( )
A.统筹规划
B.分组建设
C.资源共享
D.平战结合
答案:B
解析:灾备工作原则包括统筹规划、资源共享、平战结合。
59.关于信息安全事件和应急响应的描述不正确的是()
A.信息安全事件,是指由于自然或人为以及软、硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响事件
B.至今已有一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护,这就使得信息安全事件的发生是不可能的
C.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
D.应急响应工作与其他信息安全管理工作将比有其鲜明的特点:具有高技术复杂性志专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作
答案:B
解析:目前不存在一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护。
60.信息安全事件和分类方法有多种,依据 GB/Z 20986-2007《信息安全技术自信安全事件分类分级指南》,信息安全事件分为 7 个基本类别,描述正确的是()
A.有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
B.网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
C.网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
D.网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
答案:A
解析:根据标准知识点,安全事件分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
61.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了 Nessus 工具来扫描和发现数据库服务器的漏洞,根据风险管理的相关理论,他这个是扫描活动属于下面哪一个阶段的工作()
A.风险分析
B.风险要素识别
C.风险结果判定
D.风险处理
答案:B
解析:漏洞扫描属于风险要素的脆弱性要素识别,风险要素包括资产、威胁、脆弱性、安全措施。
62.某市环卫局网络建设是当地政府投资的重点项目。总体目标就是用于交换式千兆以太网为主干,超五类双绞线作水平布线,由大型交换机和路由器连通几个主要的工作区域,在各区域建立一个闭路电视监控系统,再把信号通过网络传输到各监控中心,其中对交换机和路由器进行配置是网络安全中的一个不可缺少的步骤,下面对于交换机和路由器的安全配置,操作错误的是( )
A.保持当前版本的操作系统,不定期更新交换机操作系统补丁
B.控制交换机的物理访问端口,关闭空闲的物理端口
C.带外管理交换机,如果不能实现的话,可以利用单独的 VLAN 号进行带内管理
D.安全配置必要的网络服务,关闭不必要的网络服务
答案:A
解析:交换机和路由器的管理包括了版本更新,也包括了补丁管理。
63.组织第一次建立业务连续性计划时,最为重要的活动是:
A.制定业务连续性策略
B.进行业务影响分析
C.进行灾难恢复演练
D.构建灾备系统
答案:A
解析:
64.防止非法授权访问数据文件的控制措施,哪项是最佳的方式:
A.自动文件条目
B.磁带库管理程序
C.访问控制软件
D.锁定库
答案:C
解析:
65.白盒测试的具体优点是:
A.其检查程序是否可与系统的其他部分一起正常运行
B.在不知程序内部结构下确保程序的功能性操作有效
C.其确定程序准确性成某程序的特定逻辑路径的状态
D.其通过严格限制访问主机系统的受控或虚拟环境中执行对程序功能的检查
答案:C
解析:
66.为某航空公司的订票系统设计业务连续性计划时,最适用于异地数据转移/备份的方法是:
A.文件映像处理
B.电子链接
C.硬盘镜像
D.热备中心配置
答案:D
解析:
67.组织内人力资源部门开发了一套系统,用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有员工都可以登录系统完成相关需要员工配合的工作,以下哪项技术可以保证数据的保密性:
A.SSL 加密
B.双因子认证
C.加密会话 cookie
D.IP 地址校验
答案:A
解析:
68.以下哪一项不是我国信息安全保障的原则:
A.立足国情,以我为主,坚持以技术为主
B.正确处理安全与发展的关系,以安全保发展,在发展中求安全
C.统筹规划,突出重点,强化基础性工作
D.明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
答案:A
解析:A 的正确描述为立足国情,以我为主,坚持以技术和管理并重。
69.下列选项中,哪个不是我国信息安全保障工作的主要内容:
A.加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善我国信息安全标准体系
B.建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
C.建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
D.加快信息安全学科建设和信息安全人才培养
答案:B
解析:建立国家信息安全研究中心不是我国信息安全保障工作的主要内容。
70.关于信息安全管理,说法错误的是:
A.信息安全管理是管理者为实现信息安全目标(信息资产的 CIA 等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。
B.信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。
C.实现信息安全,技术和产品是基础,管理是关键。
D.信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程。
答案:D
解析:信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个动态过程。
71.根据信息安全风险要素之间的关系,下图中空白处应该填写()
A.资产
B.安全事件
C.脆弱性
D.安全措施答案:C
解析:风险的原理是威胁利用脆弱性,造成对资产的风险。
72.以下哪个选项不是信息安全需求的来源?
A.法律法规与合同条约的要求
B.组织的原则、目标和规定C.风险评估的结果
D.安全架构和安全厂商发布的病毒、漏洞预警
答案:D
解析:安全需求来源于内部驱动,D 是外部参考要素,不属于信息安全需求的主要来源。
73.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:
A.确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B.确保整个系统已按照领导要求进行了部署和配置
C.确保系统使用人员已具备使用系统安全功能和安全特性的能力
D.确保信息系统的使用已得到授权
答案:B
解析:B 是错误的,不是按照领导要求进行了部署和配置。
74.下列关于信息系统生命周期中安全需求说法不准确的是:
A.明确安全总体方针,确保安全总体方针源自业务期望
B.描述所涉及系统的安全现状,提交明确的安全需求文档
C.向相关组织和领导人宣贯风险评估准则
D.对系统规划中安全实现的可能性进行充分分析和论证
答案:C
解析:C 属于风险评估阶段,不属于题干中的安全需求阶段。
75.小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:
A.第一个观点
B.第二个观点
C.第三个观点
D.第四个观点
答案:D
解析:正确的做法为“自评估”和“检查评估”相互结合和互为补充。
76.在现实的异构网络环境中,越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos 协议不仅能在域内进行认证,也支持跨域认证,下图显示的是Kerberos 协议实现跨域认证的 7 个步骤,其中有几个步骤出现错误,图中错误的描述正确的是:()
A.步骤 1 和步骤 2 发生错误,应该向本地 AS 请求并获得远程 TGT
B.步骤 3 和步骤 4 发生错误,应该向本地 TGS 请求并获得远程 TGT
C.步骤 5 和步骤 6 发生错误,应该向远程 AS 请求并获得远程 TGT
D.步骤 5 和步骤 6 发生错误,应该向远程 TGS 请求并获得远程 SGT
答案:B
解析:
77.下图中描述网络动态安全的 P2DR 模型,这个模型经常使用图形的形式来表达,下图空白处应填()
A.策略
B.方针
C.人员
D.项目
答案:A
解析:
78.风险评估工具的使用在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用愿理,风险评估工具可以为以下几类,其中错误的是:
A.风险评估与管理工具
B.系统基础平台风险评估工具
C.风险评估辅助工具
D.环境风险评估工具
答案:D
解析:通常情况下信息安全风险评估工具不包括环境评估工具。
79.为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
A.自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B.自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
C.自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D.周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
答案:C
解析:自评估也可以委托社会风险评估服务机构来实施。
80.信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D.自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
答案:A
解析:信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
81.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
A.风险评估准备阶段
B.风险要素识别阶段
C.风险分析阶段
D.风险结果判定阶段
答案:A
解析:《风险评估方案》属于风险评估准备阶段的结果。
82.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()。
A.识别面临的风险并赋值
B.识别存在的脆弱性并赋值
C.制定安全措施实施计划
D.检查安全措施有效性
答案:B
解析:风险要素包括资产、威胁、脆弱性、安全措施。
83.文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是:A.组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是 ISMS 审核的依据
B.组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
C.组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容
D.层次化的文档是 ISMS 建设的直接体现,文档体系应当依据风险评估的结果建立
答案:B
解析:信息安全管理体系运行记录需要保护和控制。
84.以下系统工程说法错误的是:
A.系统工程是基本理论的技术实现
B.系统工程是一种对所有系统都具有普遍意义的科学方法
C.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
D.系统工程是一种方法论
答案:A
解析:系统工程是方法论,不是技术实现。
85.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,你认为那个是正确的:()
A. 1 是主体,2 是客体,3 是实施,4 是决策
B.1 是客体,2 是主体 3 是决策,4 是实施
C.1 实施,2 是客体 3 是主题,4 是决策
D.1 是主体,2 是实施 3 是客体,4 是决策
答案:D
解析:P306
86.组织建立业务连续性计划(BCP)的作用包括:
A.在遭遇灾难事件时,能够最大限度地保护组织数据的实时性,完整性和一致性;
B.提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用和数据;
C.保证发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,降低损失;
D.以上都是。
答案:D
解析:
87.业务系统运行中异常错误处理合理的方法是:
A.让系统自己处理异常
B.调试方便,应该让更多的错误更详细的显示出来
C.捕获错误,并抛出前台显示
D.捕获错误,只显示简单的提示信息,或不显示任何信息
答案:D
解析:D 为正确的处理方法,符合最小化反馈原则。
88.以下哪项不是应急响应准备阶段应该做的?
A.确定重要资产和风险,实施针对风险的防护措施
B.编制和管理应急响应计划
C.建立和训练应急响应组织和准备相关的资源
D.评估事件的影响范围,增强审计功能、备份完整系统
答案:D
解析:D 描述的是安全事件发生以后,不是应急响应的准备。
89.以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子密钥和随机数混合计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后,验证比较两个口令即可验证用户身份
A.口令序列
B.时间同步
C.挑战/应答
D.静态口令
答案:C
解析:题干描述的是 C 的解释。
90.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:
A.SSH
B.HTTP
C.FTP
D.SMTP
答案:A
解析:SSH 具备数据加密保护的功能。
91.陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,有五个方面:起源、方式、途径、受体和后果,他画了下面这张图来描述信息安全风险的构成过程,图中空白处应填写()
A.信息载体
B.措施
C.脆弱性
D.风险评估
答案:C
解析:
92.以下哪个属性不会出现在防火墙的访问控制策略配置中?
A.本局域网内地址
B.百度服务器地址
C.HTTP 协议
D.病毒类型
答案:D
解析:病毒类型不会出现在防火墙的访问控制策略中
93.某 linux 系统由于 root 口令过于简单,被攻击者猜解后获得了 root 口令,发现被攻击后,管理员更改了 root 口令,并请安全专家对系统进行检测,在系统中发现有一个文件的权限如下 -r-s–x–x 1 test tdst 10704 apr 15 2002/home/test/sh 请问以下描述哪个是正确的:
A.该文件是一个正常文件,test 用户使用的 shell,test 不能读该文件,只能执行
B.该文件是一个正常文件,是 test 用户使用的 shell,但 test 用户无权执行该文件
C.该文件是一个后门程序,该文件被执行时,运行身份是 root ,test 用户间接获得了 root权限
D.该文件是一个后门程序,由于所有者是 test,因此运行这个文件时文件执行权限为 test
答案:D
解析:
94.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的 IP 地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:
A.网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题
B.网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
C.网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D.网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
答案:D
解析:网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题。
95.风险分析师风险评估工作的一个重要内容,GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小,如下图所示,图中括号应填那个?()
A.安全资产价值大小等级
B.脆弱性严重程度等级
C.安全风险隐患严重等级
D.安全事件造成损失大小
答案:D
解析:
96.提高 Apache 系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置()?
A.不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装
B.安装 Apache 时,只安装需要的组件模块
C.不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行
D.积极了解 Apache 的安全通告,并及时下载和更新
答案:A
解析:A 不属于安全配置,而属于部署环境选择。
97.某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于 2000 个字节数据时,总是会有 3 到 5 个字节不能传送到对方,关于此案例,可以推断的是()
A.该网站软件存在保密性方面安全问题
B.该网站软件存在完整性方面安全问题
C.该网站软件存在可用性方面安全问题
D.该网站软件存在不可否认性方面安全问题
答案:B
解析:题干描述的是完整性。
98.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
A.加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
B.重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展
C.推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性
D.实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍
答案:B
解析:工业和信息化部牵头成立“国家网络应急中心”。
99.ISO9001-2000 标准在制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求增进顾客满意。下图是关于过程方法的示意图,图中括号空白处应填写()
A.策略
B.管理者
C.组织
D.活动
答案:D
解析:该题为 PDCA 的变形。
100.关于风险要素识别阶段工作内容叙述错误的是:A.资产识别是指对需求保护的资产和系统等进行识别和分类
B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C.脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D.确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
答案:D
解析:安全措施既包括技术层面,也包括管理层面。