CISP官⽅信息安全技术章节练习⼀
CISP信息安全技术章节练习⼀
⼀、单选题。(共100题,共100分,每题1分)
1. 安全的运⾏环境是软件安全的基础,操作系统安全配置是确保运⾏环境安全必不可少的⼯作,某管理员对即将上线的Windows操作系统进⾏了以下四项安全部署⼯作,其中哪项设置不利于提⾼运⾏环境安全?
a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利⽤的安全漏洞
b、为了⽅便进⾏数据备份,安装Windows操作系统时只使⽤⼀个分区所有数据和操作系统都存放在C盘
c、操作系统上部署防病毒软件,以对抗病毒的威胁
d、将默认的管理员账号Administrator改名,降低⼝令暴⼒破解攻击的发⽣可能
最佳答案是:b
2. 对于抽样⽽⾔,以下哪项是正确的?
a、抽样⼀般运⽤于与不成⽂或⽆形的控制相关联的总体
数学数字b、如果内部控制健全,置信系统可以取的较低
雷锋之歌c、通过尽早停⽌审计测试,属性抽样有助于减少对某个属性的过量抽样
d、变量抽样是估计给定控制或相关控制集合发⽣率的技术
最佳答案是:b
3. 以下关于账户策略中密码策略中各项作⽤说明,哪个是错误的:
a、“密码必须符合复杂性要求”是⽤于避免⽤户产⽣诸如1234,1111这样的弱⼝令
b、“密码长度最⼩值”是强制⽤户使⽤⼀定长度以上的密码
c、“强制密码历史”是强制⽤户不能再使⽤曾经使⽤过的任何密码
d、“密码最长存留期”是为了避免⽤户使⽤密码时间过长⽽不更换
最佳答案是:c
4.
如图所⽰,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表⽰的访问控制实现⽅法是:
a、访问控制表(ACL)
b、访问控制矩阵
c、能⼒表(CL)
d、前缀表(Profiles)最佳答案是:c
5. 关于数据库恢复技术,下列说法不正确的是:
a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数
据被破坏时,可以利⽤冗余数据来进⾏修复
b、数据库管理员定期地将整个数据库或部分数据库⽂件备份到磁带或另⼀个磁盘上保存起来,是数据库恢复中采⽤的基本技术
c、⽇志⽂件在数据库恢复中起着⾮常重要的作⽤,可以⽤来进⾏事务故障恢复和系统故障恢复,并协助后备副本进⾏介质故
障恢复
d、计算机系统发⽣故障导致数据未储存到固定存储器上,利⽤⽇志⽂件中故障发⽣的数据值,将数据库恢复到故障发⽣前的完整状态,这⼀对事务的操作称为提交
最佳答案是:d
6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:
a、存储在注册中的账号数据是管理员组⽤户都可以访问,具有较⾼的安全性
b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较⾼的安全性
c、存续在册表中的账号数据任何⽤户都可以直接访问,灵活⽅便
d、存储在注册表中的账号数据有只有System账户才能访问,具有较⾼的安全性
最佳答案是:d
7. 以下关于安全套接层(Security Sockets Layer,SSL)说法错误的是:
a、受到SSL防护的web服务器⽐没有SSL的web服务器要安全
b、当浏览器上的统⼀资源定位符(Uniform Resource Locator,URL)出现https时,说明⽤户正使⽤配置了SSL协议的Web服务器
c、SSL可以看到浏览器与服务器之间的安全通道
d、SSL提供了⼀种可靠地端到端的安全服务
最佳答案是:a
读书会的意义
8. 以下哪⼀项不是常见威胁对应的消减措施:
a、假冒攻击可以采⽤⾝份认证机制来防范
威武快播
b、为了防⽌传输的信息被篡改,收发双⽅可以使⽤单向Hash函数来验证数据的完整性
c、为了防⽌发送⽅否认曾经发送过的消息,收发双⽅可以使⽤消息验证码来防⽌抵赖
咖啡广告语
d、为了防⽌⽤户提升权限,可以采⽤访问控制表的⽅式来管理权限
最佳答案是:c
9. 某购物⽹站开发项⽬经过需求分析进⼊系统设计阶段,为了保证⽤户账户的安全,项⽬开发⼈员决定⽤户登陆时如果⽤户名或⼝令输⼊错误,给⽤户返回“⽤户名或⼝令输⼊错误”信息,输⼊错误达到三次,将暂时禁⽌登录该账户,请问以上安全设计遵循的是哪项安全设计原则:
a、最少共享机制原则
b、经济机制原则
c、不信任原则
d、默认故障处理保护原则
最佳答案是:c
10. 某⽹站管理员⼩邓在流量监测中发现近期⽹站的⼊站ICMP流量上升了250%,尽管⽹站没有发现
任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责⼈,请选择有效的针对此问题的应对措施:
a、在防⽕墙上设置策略,阻⽌所有的ICMP流量进⼊(关掉ping)
b、删除服务器上的程序
c、增加带宽以应对可能的拒绝服务攻击
d、增加⽹站服务器以应对即将来临的拒绝服务攻击
11. 由于发⽣了⼀起针对服务器的⼝令暴⼒破解攻击,管理员决定对设置账户锁定策略以对
抗⼝令暴⼒破解。他设置了以下账户锁定策略如下:
复位账户锁定计数器5分钟,
账户锁定时间10分钟,
账户锁定阀值3次⽆效登录,
以下关于以上策略设置后的说法哪个是正确的:
a、设置账户锁定策略后,攻击者⽆法再进⾏⼝令暴⼒破解,所有输错了密码的⽤户就会被锁住
b、如果正常⽤户不⼩⼼输错了3次密码,那么该⽤户就会被锁定10分钟,10分钟内即使输⼊正确的密码,也⽆法登录系统
c、如果正常⽤户不⼩⼼连续输⼊错误密码3次,那么该⽤户账号就被锁定5分钟,5分钟内即使提交了正确的密码也⽆法登录系统
d、攻击者在进⾏⼝令破解时,只要连续输错3次密码,该⽤户就被锁定10分钟,⽽正常⽤户登录不受影响
最佳答案是:b
12. 某单位系统管理员对组织内核⼼资源的访问制定访问策略,针对每个⽤户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪⼀种:a、强制访问控制b、基于⾓⾊的访问控制c、⾃主访问控制d、基于任务的访问控制
最佳答案是:c
13. 关于源代码审核,描述错误的是()
a、源代码审核有利于发现软件编码中存在的安全问题
b、源代码审核⼯程遵循PDCA 模型
c、源代码审核⽅式包括⼈⼯审核⼯具审核
d、源代码审核⼯具包括商业⼯具和开源⼯具
最佳答案是:b
14. 由于频繁出现软件运⾏时被⿊客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下⾯做法中,对于解决问题没有直接帮助的是()
a、要求开发⼈员采⽤敏捷开发模型进⾏开发
b、要求所有的开发⼈员参加软件安全意识培训
c、要求规范软件编码,并制定公司的安全编码准则
d、要求增加软件安全测试环节,尽早发现软件安全问题
最佳答案是:a
15. 关于软件安全的问题,下⾯描述错误的是()
a、软件的安全问题可能造成软件运⾏不稳定,得不到正确结果甚⾄崩溃
b、软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决
c、软件的安全问题可能被攻击者利⽤后影响⼈⾝体健康安全
d、软件的安全问题是由程序开发者遗留的,和软件的部署运⾏环境⽆关
最佳答案是:c
16. 以下可能存在sql注⼊攻击的部分是:
b、post请求参数
c、cookie值
d、以上均有可能
最佳答案是:d
17. 在2014年巴西世界杯举⾏期间,,⼀些⿊客组织攻击了世界杯赞助商及政府⽹站,制造了⼤量⽹络流量,阻塞正常⽤户访问⽹站。这种攻击类型属于下⾯什么攻击()
a、跨站脚本(cross site scripting,XSS)攻击
b、TCP 会话劫持(TCP HIJACK)攻击
c、ip欺骗攻击
d、拒绝服务(denialrvice.dos)攻击
最佳答案是:d
18. ⼩陈在某电器城购买了⼀台冰箱,并留下了个⼈姓名、电话在和电⼦邮件地址等信,第⼆天他收到了⼀封来⾃电器城提⽰他中奖的邮件上,查看该后他按照提⽰操作,纳中奖税款后并没有得到中奖奖⾦,再打电话询问电器城才得知电器城并没有开的活动,根据上⾯的描述,由此可以推断的是()
a、⼩陈在电器城登记个⼈信息时,应当使⽤加密⼿段
b、⼩陈遭受了钓鱼攻击,钱被骗⾛了
c、⼩陈的计算机中了⽊马,被远程控制
d、⼩陈购买的凌波微步是智能凌波微步,能够⾃⼰上⽹
最佳答案是:b
19. 某公司在互联⽹区域新建了⼀个WEB⽹站,为了保护该⽹站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下⾯哪个设备()
a、负载均衡设备
b、⽹页防篡改系统
c、⽹络防病毒系统
d、⽹络审计系统最佳答案是:b
20. 某政府机构委托开发商开发了⼀个OA系统,其中有⼀个公⽂分发,公⽂通知等为WORD ⽂档,⼚商在进⾏系统设计时使⽤了FTP来对公⽂进⾏分发,以下说法不正确的是
a、FTP协议明⽂传输数据,包括⽤户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从⽽威
胁OA系统
b、FTP协议需要进⾏验证才能访问在,攻击者可以利⽤FTP进⾏⼝令的暴⼒破解
c、FTP协议已经是不太使⽤的协议,可能与新版本的浏览器存在兼容性问题
d、FTP应⽤需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全
最佳答案是:c
21. 以下SQL语句建⽴的数据库对象是:
CREATE VIEW PatientsForDoctors AS
SWLWCT Patient
FROM Patient*
WHERE doctorlD=123
a、表
国歌响起
b、视图
c、存储过程
d、触发器
最佳答案是:b
22. 以下关于账户密码策略中各项策略的作⽤说明,哪个是错误的:
湿热吃什么药a、“密码必须符合复杂性要求”是⽤于避免⽤户产⽣诸如1234、1111这样的弱⼝令
b、“密码长度最⼩值”是强制⽤户使⽤⼀定长度以上的密码
c、“强制密码历史”是强制⽤户不能再使⽤曾经使⽤过的任何密码
d、“密码最长存留期”是为了避免⽤户使⽤密码时间过长⽽不更改
最佳答案是:c
23. ⼝令破解是针对系统进⾏攻击的常⽤⽅法,Windows系统安全策略应对⼝令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是
a、密码策略的主要作⽤是通过策略避免⽤户⽣成弱⼝令及对⽤户的⼝令使⽤进⾏管控
b、密码策略对系统中所有的⽤户都有效
c、账户锁定策略的主要作⽤是应对⼝令暴⼒破解攻击,能有效的保护所有系统⽤户应对⼝令暴⼒破解攻击
d、账户锁定策略只适⽤于普通⽤户,⽆法保护管理员administrator账户应对⼝令暴⼒破解
攻击
市场调查问卷样本最佳答案是:d
24. IS审计师参与应⽤系统开发,他们从事以下哪项可以导致独⽴性的减弱.
a、对系统开发进⾏了复核
b、对控制和系统的其他改进提出了建议
c、对完成后的系统进⾏了独⽴评价
d、积极参与了系统的设计和完成
最佳答案是:d
25. Linux/Unix关键的⽇志⽂件设置的权限应该为:
a、-rw-r--r-
b、-rw----
c、-rw-rw-rw-
d、-r----
最佳答案是:d
26. 关于Kerberos认证协议,以下说法错误的是:
a、只要⽤户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期,就可以使⽤该TGT通过票据授权服务器(TGS)完成到任⼀个服务器的认证⽽不必重新输⼊密码
b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全
