域名空间网站建设,自己动手的网站,宁波网站设计建站服务公司,宽屏绿色新闻资讯网站织梦模板国家信息安全水平等级考试NISP二级题目卷#xff08;五#xff09; 国家信息安全水平等级考试NISP二级题目卷#xff08;五#xff09;需要报考咨询可以私信博主#xff01; 前言#xff1a;
国家信息安全水平考试(NISP)二级#xff0c;被称为校园版”CISP”,由中国信息… 国家信息安全水平等级考试NISP二级题目卷五 国家信息安全水平等级考试NISP二级题目卷五需要报考咨询可以私信博主 前言
国家信息安全水平考试(NISP)二级被称为校园版”CISP”,由中国信息安全测评中心发证NISP运营管理中心www.nisp.org.cn负责安排报名、培训及考试。NISP二级证书填补了在校大学生无法考取CISP证书的空白持证学员毕业满足条件可免试换取CISP证书为持证学员赢得就业先机。
国家信息安全水平等级考试NISP二级题目卷五
需要报考咨询可以私信博主
1.信息安全保障是网络时代各国维护国家安全和利益的首要任务以下哪个国家最早 将网络安全上长升为国家安全战略并制定相关战略计划。 A.中国 B.俄罗斯 C.美国 D.英国 答案C
2.信息安全标准化工作是我国信息安全保障工作的重要组成部分之一也是政府进行 宏观管理的重要依据同时也是保护国家利益促进产业发展的重要手段之一关于我国标 准化工作下面选项中描述错误的是 A.我国是在国家质量监督检验疫总局管理下由国家标准化管理委员会统一管理全国标准化 工作下设有专业技术委员会 B.事关国家安全利益信息安全因此不能和国际标准相同而是要通过本国组织和专家制定 标准切实有效地保护国家利益和安全 C.我国归口信息安全方面标准是“全国信息安全标准化技术委员会”为加强有关工作2016 在其下设立“大数据安全特别工作组” D.信息安全标准化工作是解决信息安全问题的重要技术支撑其主要作业突出体现在能够确 保有关产品、设施的技术先进性、可靠性和一致性 答案B 解析信息安全的标准可以和国际标准相同也可以不相同。包括同等采用方式和等效采用 方式等。
3.最小特权是软件安全设计的基本原则某应用程序在设计时设计人员给出了以下 四种策略其中有一个违反了最小特权的原则作为评审专家请指出是哪一个? A.软件在 Linux 下按照时设定运行时使用 nobody 用户运行实例 B.软件的日志备份模块由于需要备份所有数据库数据在备份模块运行时以数据库备份操 作员账号连接数据库 C.软件的日志模块由于要向数据库中的日志表中写入日志信息使用了一个日志用户账号连 接数据库该账号仅对日志表拥有权限 D.为了保证软件在 Windows 下能稳定的运行设定运行权限为 system确保系统运行正常 不会因为权限不足产生运行错误 答案D 解析SYSTEM 权限是最大权限违反了最小特权的原则。
4.某电子商务网站最近发生了一起安全事件出现了一个价值 1000 元的商品用 1 元被买走的情况经分析是由于设计时出于性能考虑在浏览时使用 Http 协议攻击者通过伪造数据包使得向购物车添加商品的价格被修改利用此漏洞攻击者将价值 1000 元的商 品以 1 元添加到购物车中而付款时又没有验证的环节导致以上问题对于网站的这个问题原因分析及解决措施。最正确的说法应该是? A.该问题的产生是由于使用了不安全的协议导致的为了避免再发生类似的闯题应对全网 站进行安全改造所有的访问都强制要求使用 https B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位没有找到 该威胁并采取相应的消减措施 C.该问题产生是由于编码缺陷通过对网站进行修改在进行订单付款时进行商品价格验证 就可以解决 D.该问题的产生不是网站的问题应报警要求寻求警察介入严惩攻击者即可 答案A 解析根据题干是采用 HTTP 的协议明文传输导致的则答案为 A。
5.以下哪个选项不是防火墙提供的安全功能? A.IP 地址欺骗防护 B.NAT C.访问控制 D.SQL 注入攻击防护 答案D 解析题干中针对的是传统防火墙或者说网络防火墙ABC 都是传统防火墙能提供的服务 而 SQL 注入防护是 WAF 的主要功能。
6.以下关于可信计算说法错误的是 A.可信的主要目的是要建立起主动防御的信息安全保障体系 B.可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念 C.可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交 易等应用系统可信 D.可信计算平台出现后会取代传统的安全防护体系和方法 答案D 解析可信计算平台出现后不会取代传统的安全防护体系和方法。
7.Linux 系统对文件的权限是以模式位的形式来表示对于文件名为 test 的一个文件 属于 admin 组中 user 用户以下哪个是该文件正确的模式表示? A.- rwx r-x r-x 3 user admin 1024 Sep 13 1158 test B.d rwx r-x r-x 3 user admin 1024 Sep 13 1158 test C.- rwx r-x r-x 3 admin user 1024 Sep 13 1158 test D.d rwx r-x r-x 3 admin user1024 Sep 13 1158 test 答案A 解析题目考核的是 linux 系统的权限表达格式。
8.Apache Web 服务器的配置文件一般位于/usrlocalapacheconf 目录其中用来控制用户访问 Apache 目录的配置文件是 A.httpd.conf B.srl conf C.accessconf D.Inet.conf 答案A 解析根据题干本题选择 A。
9.应用软件的数据存储在数据库中为了保证数据安全应设置良好的数据库防护策 略以下不属于数据库防护策略的是? A.安装最新的数据库软件安全补丁 B.对存储的敏感数据进行安全加密 C.不使用管理员权限直接连接数据库系统 D.定期对数据库服务器进行重启以确保数据库运行良好 答案D 解析D 项属于运维但不属于防护策略。
10.下列哪项内容描述的是缓冲区溢出漏洞? A.通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串最终达到欺骗服务器执行恶意的 SQL 命令 B.攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据用户认为该页面是可信赖的但是当浏览器下载该页面嵌入其中的脚本将被解释执行。 C.当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数 据上 D.信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中有意或无意产生的 缺陷 答案C 解析C 为缓冲区溢出的正确解释。
11.某学员在学习国家标准《信息系统安全保障评估框架第一部分简介和一般模型》 GB/T 20274.1-2006后绘制了一张简化的信息系统安全保障模型图如下所示。请为图中括号空白处选择合适的选项 A.安全保障方针和组织 B.安全防护技术和管理 C.深度防御策略、防护、检测、响应 D.保障要素管理、工程、技术、人员 答案D 解析
12.安全专家在对某网站进行安全部署时调整了 Apache 的运行权限从 root 权限降低为 nobody 用户以下操作的主要目的是 A.为了提高 Apache 软件运行效率 B.为了提高 Apache 软件的可靠性 C.为了避免攻击者通过 Apache 获得 root 权限 D.为了减少 Apache 上存在的漏洞 答案C 解析避免攻击者通过 Apache 获得 root 权限。
13.下列关于计算机病毒感染能力的说法不正确的是 A.能将自身代码注入到引导区 B.能将自身代码注入到扇区中的文件镜像 C.能将自身代码注入文本文件中并执行 D.能将自身代码注入到文档或模板的宏中代码 答案C 解析代码注入文本文件中不能执行。
14.以下哪个是恶意代码采用的隐藏技术 A.文件隐藏 B.进程隐藏 C.网络连接隐藏 D.以上都是 答案D 解析恶意代码采用的隐藏技术包括文件隐藏、进程隐藏、网络连接隐藏等。
15.通过向被攻击者发送大量的 ICMP 回应请求消耗被攻击者的资源来进行响应直至被攻击者再也无法处理有效的网络信息流时这种攻击称之为 A.Land 攻击 B.Smurf 攻击 C.Ping of Death 攻击 D.ICMP Flood 答案D 解析发送大量的 ICMP 回应请求为 ICMP Flood。
16.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击 A.Land B.UDP Flood C.Smurf D.Teardrop 答案D 解析Teardrop 属于碎片攻击不属于流量型拒绝服务攻击。
17.传输控制协议(TCP)是传输层协议以下关于 TCP 协议的说法哪个是正确的? A.相比传输层的另外一个协议 UDPTCP 既提供传输可靠性还同时具有更高的效率因此具有广泛的用途 B.TCP 协议包头中包含了源 IP 地址和目的 IP 地址因此 TCP 协议负责将数据传送到正确的主机 C.TCP 协议具有流量控制、数据校验、超时重发、接收确认等机制因此 TCP 协议能完全替代 IP 协议 D.TCP 协议虽然高可靠但是相比 UDP 协议机制过于复杂传输效率要比 UDP 低 答案D 解析TCP 协议高可靠相比 UDP 协议机制过于复杂传输效率要比 UDP 低。
18.以下关于 UDP 协议的说法哪个是错误的? A.UDP 具有简单高效的特点常被攻击者用来实施流量型拒绝服务攻击 B.UDP 协议包头中包含了源端口号和目的端口号因此 UDP 可通过端口号将数据包送达正确的程序 C.相比TCP 协议UDP 协议的系统开销更小因此常用来传送如视频这一类高流量需求的应用数据 D.UDP 协议不仅具有流量控制超时重发等机制还能提供加密等服务因此常用来传输如视频会话这类需要隐私保护的数据 答案D 解析UDP 协议无流量控制超时重发等机制。
19.如图所示主体 S 对客体 01 有读R权限对客体 02 有读R 、写W 权限。该图所示的访问控制实现方法是 A.访问控制表ACL B.访问控制矩阵 C.能力表CL D.前缀表Profiles 答案C 解析P307
20.有关项目管理错误的理解是 A.项目管理是一门关于项目资金、时间、人力等资源控制的管理科学 B.项目管理是运用系统的观点、方法和理论对项目涉及的全部工作进行有效地管理不受 项目资源的约束 C.项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管 理 D.项目管理是系统工程思想针对具体项目的实践应用 答案B 解析项目管理受项目资源的约束。
21.近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生防范这种攻击比较有效的方法是? A.加强网站源代码的安全性 B.对网络客户端进行安全评估 C.协调运营商对域名解析服务器进行加固 D.在网站的网络出口部署应用级防火墙 答案C 解析协调运营商对域名解析服务器进行加固是 DNS 防护的主要手段。
22.关于源代码审核下列说法正确的是 A.人工审核源代码审校的效率低但采用多人并行分析可以完全弥补这个缺点 B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障从而定位可能导致安 全弱点的薄弱之处 C.使用工具进行源代码审核速度快准确率高已经取代了传统的人工审核 D.源代码审核是对源代码检查分析检测并报告源代码中可能导致安全弱点的薄弱之处 答案D 解析D 为源代码审核工作内容描述。
23.在戴明环(PDCA)模型中处置(ACT)环节的信息安全管理活动是 A.建立环境 B.实施风险处理计划 C.持续的监视与评审风险 D.持续改进信息安全管理过程 答案D 解析持续改进信息安全管理过程属于处置(ACT)阶段。
24.信息系统的业务特性应该从哪里获取? A.机构的使命 B.机构的战略背景和战略目标 C.机构的业务内容和业务流程 D.机构的组织结构和管理制度 答案C 解析业务特性从机构的业务内容和业务流程获取。
25.在信息系统设计阶段“安全产品选择”处于风险管理过程的哪个阶段? A.背景建立 B.风险评估 C.风险处理 D.批准监督 答案C 解析“安全产品选择”是为了进行风险处理。
26.以下关于“最小特权”安全管理原则理解正确的是 A.组织机构内的敏感岗位不能由一个人长期负责 B.对重要的工作进行分解分配给不同人员完成 C.一个人有且仅有其执行岗位所足够的许可和权限 D.防止员工由一个岗位变动到另一个岗位累积越来越多的权限 答案C 解析C 是“最小特权”的解释A 描述的是轮岗B 描述的是权限分离D 描述的是防止权限蔓延。
27.风险要素识别是风险评估实施过程中的一个重要步骤小李将风险要素识别的主要 过程使用图形来表示如下图所示请为图中空白框处选择一个最合适的选项()。 A.识别面临的风险并赋值 B.识别存在的脆弱性并赋值 C.制定安全措施实施计划 D.检查安全措施有效性 答案B 解析
28.以下哪一项不属于常见的风险评估与管理工具 A.基于信息安全标准的风险评估与管理工具 B.基于知识的风险评估与管理工具 C.基于模型的风险评估与管理工具 D.基于经验的风险评估与管理工具 答案D 解析D 基于经验的风险评估工具不存在。
29.信息系统安全保护等级为 3 级的系统应当年进行一次等级测评? A.0.5 B.1 C.2 D.3 答案B 解析等级保护三级系统一年测评一次四级系统每半年测评一次。
30.关于我国加强信息安全保障工作的总体要求以下说法错误的是 A.坚持积极防御、综合防范的方针 B.重点保障基础信息网络和重要信息系统安全 C.创建安全健康的网络环境 D.提高个人隐私保护意识 答案D 解析提高个人隐私保护意识不属于2003 年我国加强信息安全保障工作的总体要求。
31.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定 以下正确的是 A.涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标 准进行 B.非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要 求进行 C.可委托同一专业测评机构完成等级测评和风险评估工作并形成等级测评报告和风险评估 报告 D.此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容 答案C 解析根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定 可委托同一专业测评机构完成等级测评和风险评估工作并形成等级测评报告和风险评估报告。
32.小李去参加单位组织的信息安全培训后他把自己对管理信息管理体系 ISMS 的理解画了一张图但是他还存在一个空白处未填写请帮他选择一个合适的选项 A.监控和反馈 ISMS B.批准和监督 ISMS C.监视和评审 ISMS D.沟通和咨询 ISMS 答案C 解析
33.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想在有限资源前 提下实现软件安全最优防护避免防范不足带来的直接损失也需要关注过度防范造成的间 接损失。在以下软件安全开发策略中不符合软件安全保障思想的是 A.在软件立项时考虑到软件安全相关费用经费中预留了安全测试、安全评审相关费用确 保安全经费得到落实 B.在软件安全设计时邀请软件安全开发专家对软件架构设计进行评审及时发现架构设计 中存在的安全不足 C.确保对软编码人员进行安全培训使开发人员了解安全编码基本原则和方法确保开发人 员编写出安全的代码 D.在软件上线前对软件进行全面安全性测试包括源代码分析、模糊测试、渗透测试未经 以上测试的软件不允许上线运行 答案D 解析软件的安全测试根据实际情况进行测试措施的选择和组合。
34.某单位人员管理系统在人员离职时进行账号删除需要离职员工所在部门主管经理 和人事部门人员同时进行确认才能在系统上执行该设计是遵循了软件安全哪项原则 A.最小权限 B.权限分离 C.不信任 D.纵深防御 答案B 解析权限分离是将一个较大的权限分离为多个子权限组合操作来实现。
35.为防范网络欺诈确保交易安全网银系统首先要求用户安全登录然后使用“智能 卡短信认证”模式进行网上转账等交易在此场景中用到下列哪些鉴别方法? A.实体“所知”以及实体“所有”的鉴别方法 B.实体“所有”以及实体“特征”的鉴别方法 C.实体“所知”以及实体“特征”的鉴别方法 D.实体“所有”以及实体“行为”的鉴别方法 答案A 解析题目中安全登录会涉及到账号密码为实体所知智能卡和短信是实体所有。
36.某单位开发了一个面向互联网提供服务的应用网站该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试在应用上线前项目经理提出了还需要对应用网站进行一次渗透性测试作为安全主管你需要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策以下哪条是渗透性测试的优势? A.渗透测试以攻击者的思维模拟真实攻击能发现如配置错误等运行维护期产生的漏洞 B.渗透测试是用软件代替人工的一种测试方法因此测试效率更高 C.渗透测试使用人工进行测试不依赖软件因此测试更准确 D.渗透测试中必须要查看软件源代码因此测试中发现的漏洞更多 答案A 解析a 是渗透测试的优点渗透测试是模拟攻击的黑盒测试有利于发现系统明显的问题。
37.信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素在 IT 项目的立项阶段以下哪一项不是必须进行的工作 A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整 D.通过测试证明系统的功能和性能可以满足安全要求 答案D 解析D 属于项目的验收阶段不属于 IT 项目的立项阶段题干属于立项阶段。
38.以下关于软件安全测试说法正确的是 A.软件安全测试就是黑盒测试 B.FUZZ 测试是经常采用的安全测试方法之一 C.软件安全测试关注的是软件的功能 D.软件安全测试可以发现软件中产生的所有安全问题 答案B 解析FUZZ 测试是经常采用的安全测试方法之一软件安全测试包括模糊测试、渗透测试、静态代码安全测试只关注安全问题。
39.信息安全工程作为信息安全保障的重要组成部门主要是为了解决: A.信息系统的技术架构安全问题 B.信息系统组成部门的组件安全问题 C.信息系统生命周期的过程安全问题 D.信息系统运行维护的安全管理问题 答案C 解析信息安全工程作为信息安全保障的重要组成部门主要是为了解决信息系统生命周期 的过程安全问题。
40.实体身份鉴别的方法多种多样且随着技术的进步鉴别方法的强度不断提高常 见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图小王作为合法用户使用自己的账户进 行支付、转账等操作。这说法属于下列选项中的 A.实体所知的鉴别方法 B.实体所有的鉴别方法 C.实体特征的鉴别方法 D.实体所见的鉴别方法 答案C 解析
41.有关系统安全工程-能力成熟度模型SSE-CMM)中基本实施Base Practice正确的理解是 A.BP 不限定于特定的方法工具不同业务背景中可以使用不同的方法 B.BP 不是根据广泛的现有资料实施和专家意见综合得出的 C.BP 不代表信息安全工程领域的最佳实践 D.BP 不是过程区域Process AreasPA )的强制项 答案A 解析BP 属于安全工程的最小单元其不限定于特定的方法工具不同业务背景中可以使用不同的方法是根据广泛的现有资料实施和专家意见综合得出的代表着信息安全工程 领域的最佳实践并且是过程区域Process AreasPA )的强制项。
42.层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系也 ISMS 建设的成果之一通常将 ISMS 的文档结构规划为 4 层金字塔结 构那么以下选项应放入到一级文件中. A.《风险评估报告》 B.《人力资源安全管理规定》 C.《ISMS 内部审核计划》 D.《单位信息安全方针》 答案D 解析一级文件中一般为安全方针、策略文件二级文件中一般为管理规范制度三级文件 一般为操作手册和流程四级文件一般表单和管理记录。
43.信息安全管理体系information Security Management System.简称 ISMS的实施和运行 ISMS 阶段是 ISMS 过程模型的实施阶段Do下面给出了一些活动①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理 ISMS 的运行⑥管理 ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估选的活动选项描述了在此阶段组织应进行的活动。 A.①②③④⑤⑥ B.①②③④⑤⑥⑦ C.①②③④⑤⑥⑦⑧ D.①②③④⑤⑥⑦⑧⑨ 答案B 解析管理体系包括 PDCAPlan-Do-Check-Act四个阶段题干中 1-7 的工作都属于管理体 系的实施阶段D-Do而 8 和 9 属于检查阶段C-Check。
44.在实施信息安全风险评估时需要对资产的价值进行识别、分类和赋值关于资产 价值的评估以下选项中正确的是 A.资产的价值指采购费用 B.资产的价值指维护费用 C.资产的价值与其重要性密切相关 D.资产的价值无法估计 答案C 解析
45.某网站在设计对经过了威胁建模和攻击面分析在开发时要求程序员编写安全的代 码但是在部署时由于管理员将备份存放在 WEB 目录下导致了攻击者可直接下载备份为了发现系统中是否存在其他类似问题以下哪种测试方式是最佳的测试方法。 A.模糊测试 B.源代码测试 C.渗透测试 D.软件功能测试 答案C 解析渗透测试是通过攻击者的角度进行安全测试对系统进行安全评估的一种测试方法。
46.下面哪项属于软件开发安全方面的问题 A.软件部署时所需选用服务性能不高导致软件执行效率低。 B.应用软件来考虑多线程技术在对用户服务时按序排队提供服务 C.应用软件存在 SQL 注入漏洞若被黑客利用能窃取数据库所用数据 D.软件受许可证license限制不能在多台电脑上安装。 答案C 解析ABD 与安全无关。
47.Linux 系统的安全设置中对文件的权限操作是一项关键操作。通过对文件权限的设置能够保障不同用户的个人隐私和系统安全。文件 fib.c 的文件属性信息如下图所示 小张想要修改其文件权限为文件主增加执行权限并删除组外其他用户的写权限那么以下操作中正确的是 A.#chmod ux, a-w fib.c B.#chmod ugx, o-w fib.c C.#chmod 764 fib.c D.#chmod 467 fib.c 答案C 解析读权限 r4,写权限 w2执行 x1,7421;
48.关于软件安全开发生命周期(SDL)下面说法错误的是 A.在软件开发的各个周期都要考虑安全因素 B.软件安全开发生命周期要综合采用技术、管理和工程等手段 C.测试阶段是发现并改正软件安全漏洞的最佳环节过早或过晚检测修改漏洞都将增大软件 开发成本 D.在设计阶段就尽可能发现并改正安全隐患将极大减少整个软件开发成本 答案C 解析设计阶段是发现和改正问题的最佳阶段。
49.从系统工程的角度来处理信息安全问题以下说法错误的是 A.系统安全工程旨在了解企业存在的安全风险建立一组平衡的安全需求融合各种工程学 科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。 B.系统安全工程需对安全机制的正确性和有效性做出诠释证明安全系统的信任度能够达到 企业的要求或系统遗留的安全薄弱性在可容许范围之内。 C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法是一种使 用面向开发的方法。 D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上通过 对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量 的先进学科。 答案C 解析SSE-CMM 是面向工程过程质量控制的一套方法。
50.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base PracticesBP) 正确的理解是 A.BP 是基于最新技术而制定的安全参数基本配置 B.大部分 BP 是没有经过测试的 C.一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段 D.一项 BP 可以和其他 BP 有重叠答案C 解析A 错误BP 是基于最佳的工程过程实践B 错误BP 是经过测试的D 错误一项 BP 和其他的 BP 是不重复。
51.下图是某单位对其主网站一天流量的监测图如果该网站当天 1700 到 2000 之间受到攻击则从图中数据分析这种攻击可能属于下面什么攻击。 A.跨站脚本攻击 B.TCP 会话劫持 C.IP 欺骗攻击 D.拒绝服务攻击 答案D 解析流量突增 5 倍以上说明是流量性的攻击最后可能的就是拒绝服务攻击。
52.以下哪一种判断信息系统是否安全的方式是最合理的? A.是否己经通过部署安全控制措施消灭了风险 B.是否可以抵抗大部分风险 C.是否建立了具有自适应能力的信息安全模型 D.是否已经将风险控制在可接受的范围内 答案D 解析判断风险控制的标准是风险是否控制在接受范围内。
53.以下关于信息安全法治建设的意义说法错误的是 A.信息安全法律环境是信息安全保障体系中的必要环节 B.明确违反信息安全的行为并对行为进行相应的处罚以打击信息安全犯罪活动 C.信息安全主要是技术问题技术漏洞是信息犯罪的根源 D.信息安全产业的逐渐形成需要成熟的技术标准和完善的技术体系 答案C 解析信息安全问题是多方面存在的不能认为主要为技术问题同时技术漏洞不是犯罪的 根源所在。
54.小张是信息安全风险管理方面的专家被某单位邀请过去对其核心机房经受某种灾 害的风险进行评估已知核心机房的总价价值一百万灾害将导致资产总价值损失二成四(24%)历史数据统计告知该灾害发生的可能性为八年发生三次请问小张最后得到的年度 预期损失为多少 A.24 万 B.009 万 C.375 万 D.9 万 答案D 解析计算公式为 100 万24%3/89 万
552005 年 4 月 1 日正式施行的《电子签名法》被称为“中国首部真正意义上的信息化法律”自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说 法错误的是 A.电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认 可其中内容的数据 B.电子签名适用于民事活动中的合同或者其他文件、单证等文书 C.电子签名需要第三方认证的由依法设立的电子认证服务提供者提供认证服务 D.电子签名制作数据用于电子签名时属于电子签名人和电子认证服务提供者共有 答案D 解析电子签名不可以与认证服务提供者共有。
56.风险管理的监控与审查不包含 A.过程质量管理 B.成本效益管理 C.跟踪系统自身或所处环境的变化 D.沟通咨询各层面的相关人员提高风险意识、知识和技能配合实现安全目标。 答案D 解析D 答案属于沟通咨询工作ABC 属于风险管理的监控审查工作。风险管理过程包括背景建立、风险评估、风险处理、批准监督以及沟通咨询和监控审查。
57.信息安全等级保护要求中第三级适用的正确的是 A.适用于一般的信息和信息系统其受到破坏后会对公民、法人和其他组织的权益有一定 影响但不危害国家安全、社会秩序、经济建设和公共利益 B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统 其受到破坏后会对国家安全、社会秩序、经济建设和公共利益造成一般损害 C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统其受到破坏后 会对国家安全、社会秩序、经济建设和公共利益造成严重损害 D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系 统。其受到破坏后会对国家安全、社会秩序经济建设和公共利益造成特别严重损害 答案B 解析题目中 B 为等级保护三级该考点为等级保护定级指南。
58.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的 A.设置网络连接时限 B.记录并分析系统错误日志 C.记录并分析用户和管理员操作日志 D.启用时钟同步 答案A 解析A 属于防护措施BCD 属于检测措施可以用来检测未经授权的信息处理活动。
59.有关危害国家秘密安全的行为的法律责任正确的是 A.严重违反保密规定行为只要发生无论产生泄密实际后果都要依法追究责任 B.非法获取国家秘密不会构成刑事犯罪不需承担刑事责任 C.过失泄露国家秘密不会构成刑事犯罪不需承担刑事责任 D.承担了刑事责任无需再承担行政责任和或其他处分 答案A 解析
60.如下图所示Alice 用 Bob 的密钥加密明文将密文发送给 BobBob 再用自己的私钥解密恢复出明文以下说法正确的是 A.此密码体制为对称密码体制 B.此密码体制为私钥密码体制 C.此密码体制为单钥密码体制 D.此密码体制为公钥密码体制 答案D 解析公钥密码地址公钥加密私钥解密私钥加密公钥解密公私钥成对出现。
61.某用户通过账号密码和验证码成功登陆某银行的个人网银系统此过程属于以下 哪一类 A.个人网银和用户之间的双向鉴别 B.由可信第三方完成的用户身份鉴别 C.个人网银系统对用户身份的单向鉴别 D.用户对个人网银系统 合法性 单向鉴别 答案C 解析
62.以下对于信息安全事件理解错误的是 A.信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因对信息系统造 成危害或在信息系统内发生对社会造成负面影响的事件 B.对信息安全事件进行有效管理和响应最小化事件所造成的损失和负面影响是组织信息安全战略的一部分 C.应急响应是信息安全事件管理的重要内容 D.通过部署信息安全策略并配合部署防护措施能够对信息及信息系统提供保护杜绝信息 安全事件的发生 答案D 解析安全事件无法杜绝。
63.假设一个系统已经包含了充分的预防控制措施那么安装监测控制设备 A.是多余的因为它们完成了同样的功能但要求更多的开销 B.是必须的可以为预防控制的功效提供检测 C.是可选的可以实现深度防御 D.在一个人工系统中是需要的但在一个计算机系统中则是不需要的因为预防控制功能已 经足够 答案C 解析
64.以下哪一项不是信息安全管理工作必须遵循的原则? A.风险管理在系统开发之初就应该予以充分考虑并要贯穿于整个系统开发过程之中 B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 C.由于在系统投入使用后部署和应用风险控制措施针对性会更强实施成本会相对较低 D.在系统正式运行后应注重残余风险的管理以提高快速反应能力 答案C 解析安全措施投入应越早则成本越低C 答案则成本会上升。
65.《信息安全技术 信息安全风险评估规范》GBT 20984-2007中关于信息系统生命周期各阶段的风险评估描述不正确的是 A.规划阶段风险评估的目的是识别系统的业务战略以支撑系统安全需求及安全战略等 B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性提出安全功 能需求 C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险 识别并对系统建成后的安全功能进行验证 D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险是一种全面的风险评 估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面 答案D 解析该题目来源于《信息安全技术 信息安全风险评估规范》GBT 20984-2007评估内容包括威胁、脆弱性和影响。
66.对信息安全风险评估要素理解正确的是 A.资产识别的粒度随着评估范围、评估目的的不同而不同既可以是硬件设备也可以是业 务系统也可以是组织机构 B.应针对构成信息系统的每个资产做风险评价 C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距 项 D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 答案A 解析B 错误应该是抽样评估C 错误应该其描述的是差距分析D 错误应该是威胁包括人为威胁和环境威胁。
67.以下哪些是需要在信息安全策略中进行描述的 A.组织信息系统安全架构 B.信息安全工作的基本原则 C.组织信息安全技术参数 D.组织信息安全实施手段 答案B 解析安全策略是宏观的原则性要求不包括具体的架构、参数和实施手段。
68.攻击者通过向网络或目标主机发送伪造的 ARP 应答报文修改目标计算机上 ARP 缓存形成一个错误的 IP 地址-MAC 地址映射这个错误的映射在目标主机在需要发送数据时封装错误的 MAC 地址。欺骗攻击过程如下图所示其属于欺骗攻击中的哪一种欺骗攻击的过程 A.ARP; B.IP; C.DNS; D.SN; 答案A 解析P347
69.下面的角色对应的信息安全职责不合理的是 A.高级管理层——最终责任 B.信息安全部门主管——提供各种信息安全工作必须的资源 C.系统的普通使用者——遵守日常操作规范 D.审计人员——检查安全策略是否被遵从 答案B 解析通常由管理层提供各种信息安全工作必须的资源。
70.自 2004 年 1 月起国内各有关部门在申报信息安全国家标准计划项目时必须经由以下哪个组织提出工作意见协调一致后由该组织申报。 A.全国通信标准化技术委员会(TC485) B.全国信息安全标准化技术委员会(TC260) C.中国通信标准化协会(CCSA) D.网络与信息安全技术工作委员会 答案B 解析
71.风险计算原理可以用下面的范式形式化地加以说明风险值RATV)R(L(T V)F(IaVa))以下关于上式各项说明错误的是 A.R 表示安全风险计算函数A 表示资产T 表示威胁V 表示脆弱性 B.L 表示威胁利资产脆弱性导致安全事件的可能性 C.F 表示安全事件发生后造成的损失 D.IaVa 分别表示安全事件作用全部资产的价值与其对应资产的严重程度 答案D 解析Ia 资产 A 的价值Va 资产 A 的脆弱性。
72.OSI 模型把网络通信工作分为七层,其中 IP 协议对应 OSI 模型中的那一层( ) A.应用层 B.传输层 C.应用层 D.网络层 答案D 解析
73.根据 Bell-LaPedula 模型安全策略下图中写和读操作正确的是 A.可读可写 B.可读不可写 C.可写不可读 D.不可读不可写 答案B 解析BLP 模型严禁横向流通
74.以下哪一项在防止数据介质被滥用时是不推荐使用的方法 A.禁用主机的 CD 驱动、USB 接口等 IO 设备 B.对不再使用的硬盘进行严格的数据清除 C.将不再使用的纸质文件用碎纸机粉碎 D. 用快速格式化删除存储介质中的保密文件 答案D 解析快速格式化删除存储介质中的保密文件不能防止信息泄露。快速格式化只是删除了文 件索引并没有真正的删除文件可以通过工具进行恢复。
75.小李是某公司系统规划师某天他针对公司信息系统的现状绘制了一张系统安全 建设规划图如下图所示。请问这个图形是依据下面哪个模型来绘制的 A.PDR B.PPDR C.PDCA D.IATF 答案 B 解析
76.信息安全风险管理过程的模型如图所示。按照流程请问信息安全风险管理包括 六个方面的内容 。 是信息安全风险管理的四个基本步骤则贯穿于这四个基本步骤中. A.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询背景建立、风险评估、 风险处理和批准监督监控审查和沟通咨询 B.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询背景建立、风险评估、 风险处理和监控审查批准监督和沟通咨询 C.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询背景建立、风险评估、 风险处理和沟通咨询监控审查和批准监督 D.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询背景建立、风险评 估、监控审查和批准监督风险处理和沟通咨询。 答案A 解析背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询。
77.在进行应用系统的测试时应尽可能避免使用包含个人隐私和其它敏感信息的实际 生产系统中的数据如果需要使用时以下哪一项不是必须做的 A.测试系统应使用不低于生产系统的访问控制措施 B.为测试系统中的数据部署完善的备份与恢复措施 C.在测试完成后立即清除测试系统中的所有敏感数据 D.部署审计措施记录生产数据的拷贝和使用 答案B 解析A、C、D 为测试系统必须要执行的B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。
78.为了保证系统日志可靠有效以下哪一项不是日志必需具备的特征。 A.统一而精确地的时间 B.全面覆盖系统资产 C.包括访问源、访问目标和访问活动等重要信息 D.可以让系统的所有用户方便的读取 答案D 解析日志只有授权用户可以读取。
79.以下哪一项不属于信息安全工程监理模型的组成部分 A.监理咨询支撑要素 B.控制和管理手段 C.监理咨询阶段过程 D.监理组织安全实施 答案D 解析监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。
80.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统通过公 开招标选择 M 公司为承建单位并选择了 H 监理公司承担该项目的全程监理工作目前 各个应用系统均已完成开发M 公司已经提交了验收申请监理公司需要对 A 公司提交的软件配置文件进行审查在以下所提交的文档中哪一项属于开发类文档 A.项目计划书 B.质量控制计划 C.评审报告 D.需求说明书 答案D 解析ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。
81.在某网络机房建设项目中在施工前以下哪一项不属于监理需要审核的内容 A.审核实施投资计划 B.审核实施进度计划 C.审核工程实施人员 D.企业资质 答案A 解析监理从项目招标开始到项目的验收结束在投资计划阶段没有监理。
82.美国系统工程专家霍尔A.D.Hall在 1969 年利用机构分析法提出著名的霍尔三维结构使系统工程的工作阶段和步骤更为清晰明了如图所示霍尔三维结构是将系统工 程整个活动过程分为前后紧密衔接的阶段和步骤同时还考虑了为完全这些阶段和 步骤所需要的各种。这样就形成了由、、和知识维所组成的三维空间结构。 A.五个七个专业知识和技能时间维逻辑维 B.七个七个专业知识和技能时间维逻辑维 C.七个六个专业知识和技能时间维逻辑维 D.七个六个专业知识和技能时间维空间维 答案B 解析
83.某公司在执行灾难恢复测试时信息安全专业人员注意到灾难恢复站点的服务器的 运行速度缓慢为了找到根本愿因他应该首先检查 A.灾难恢复站点的错误事件报告 B.灾难恢复测试计划 C.灾难恢复计划(DRP) D.主站点和灾难恢复站点的配置文件 答案A 解析按照灾难恢复流程首先检查错误事件报告。
84.COBIT信息和相关技术的控制目标是国际专业协会 ISACA 为信息技术IT管理和 IT 治理创建的良好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕 IT 相关流程和推动因素的逻辑框架进行组织。COBIT 模型如图所示按照流程请问COBIT 组件包括、()、、、、等部分。 A.流程描述、框架、控制目标、管理指南、成熟度模型 B.框架、流程描述、管理目标、控制目标、成熟度模型 C.框架、流程描述、控制目标、管理指南、成熟度模型 D.框架、管理指南、流程描述、控制目标、成熟度模型 答案C 解析
85.以下对异地备份中心的理解最准确的是 A.与生产中心不在同一城市 B.与生产中心距离 100 公里以上 C.与生产中心距离 200 公里以上 D.与生产中心面临相同区域性风险的机率很小 答案D 解析答案为 D建立异地备份中心的核心思想是减少相同区域性风险。
86.作为业务持续性计划的一部分在进行业务影响分析(BIA)时的步骤是1标识关 键的业务过程;2开发恢复优先级;3标识关键的 IT 资源;4表示中断影响和允许的中断时间 A.1-3-4-2 B.1-3-2-4 C.1-2-3-4 D.1-4-3-2 答案A 解析根据 BCM 的分析过程顺序为 A。
87.依据国家 GB/T 20274《信息系统安全保障评估框架》信息系统安全目标(ISST)中 安全保障目的指的是 A.信息系统安全保障目的 B.环境安全保障目的 C.信息系统安全保障目的和环境安全保障目的 D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的 答案D 解析GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
88.以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制保证已登录的用户可以完成操作 B.在提款过程中 ATM 终端发生故障银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能可以确定哪个管理员在何时对核心交换机进行了什么操 作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中使伪装成清洁工的商业间谍无法 查看。 答案B 解析冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志但是发送到主机的账务交易包没有得到响应即终端交易超时所以不确定该笔交易是否在主机端也成功完成为了确保用户的利益终端重新向主机发送请求请求取消该笔交易的流水如果主机端已经交易成功则回滚交易否则不处理然后将处理结果返回给终端。本题中 A 为可用性B 为完整性C 是抗抵赖D 是保密性。冲正是完整性纠正措施 是 Clark-Wilson 模型的应用解决数据变化过程的完整性。
89.进入 21 世纪以来信息安全成为世界各国安全战略关注的重点纷纷制定并颁布网络空间安全战略但各国历史、国情和文化不同网络空间安全战略的内容也各不相同 以下说法不正确的是 A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点 B.美国尚未设立中央政府级的专门机构处理网络信息安全问题信息安全管理职能由不同政 府部门的多个机构共同承担 C.各国普遍重视信息安全事件的应急响应和处理 D.在网络安全战略中各国均强调加强政府管理力度充分利用社会资源发挥政府与企业 之间的合作关系 答案B 解析美国已经设立中央政府级的专门机构。
90.下列对于信息安全保障深度防御模型的说法错误的是 A.信息安全外部环境信息安全保障是组织机构安全、国家安全的一个重要组成部分因此 对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。 B.信息安全管理和工程信息安全保障需要在整个组织机构内建立和完善信息安全管理体 系将信息安全管理综合至信息系统的整个生命周期在这个过程中我们需要采用信息系 统工程的方法来建设信息系统。 C.信息安全人才体系在组织机构中应建立完善的安全意识培训体系也是信息安全保障的 重要组成部分。 D.信息安全技术方案“从外而内、自下而上、形成边界到端的防护能力”。 答案D 解析正确描述是从内而外自上而下从端到边界的防护能力。
91.为推动和规范我国信息安全等级保护工作我国制定和发布了信息安全等级保护工 作所需要的一系列标准这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标 准中规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。 A.GBT 20271-2006《信息系统通用安全技术要求》 B.GBT 22240-2008《信息系统安全保护等级定级指南》 C.GBT 25070-2010《信息系统等级保护安全设计技术要求》 D.GBT 20269-2006《信息系统安全管理要求》 答案B 解析
92.Alice 用 Bob 的密钥加密明文将密文发送给 Bob。Bob 再用自己的私钥解密恢复出明文。以下说法正确的是 A.此密码体制为对称密码体制 B.此密码体制为私钥密码体制 C.此密码体制为单钥密码体制 D.此密码体制为公钥密码体制 答案D 解析题干中使用到了私钥解密私钥是公钥密码体制中用户持有的密钥相对于公钥而言 则为非对称密码体制非对称密码体制又称为公钥密码体制。
93.下列哪一种方法属于基于实体“所有”鉴别方法 A.用户通过自己设置的口令登录系统完成身份鉴别 B.用户使用个人指纹通过指纹识别系统的身份鉴别 C.用户利用和系统协商的秘密函数对系统发送挑战进行正确应答通过身份鉴别 D.用户使用集成电路卡(如智能卡)完成身份鉴别 答案D 解析实体所有鉴别包括身份证、IC 卡、钥匙、USB-Key 等。
94.主体 S 对客体 01 有读®权限对客体 02 有读®、写(W)、拥有(Own)权限该访问控制实现方法是 A.访问控制表(ACL) B.访问控制矩阵 C.能力表(CL) D.前缀表(Profiles) 答案C 解析定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
95.以下场景描述了基于角色的访问控制模型(Role-based Access ControlRBAC)根据组织的业务要求或管理要求在业务系统中设置若干岗位、职位或分工管理员负责将权限 (不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型下列说法错误的是 A.当用户请求访问某资源时如果其操作权限不在用户当前被激活角色的授权范围内访问 请求将被拒绝 B.业务系统中的岗位、职位或者分工可对应 RBAC 模型中的角色 C.通过角色可实现对信息资源访问的控制 D.RBAC 模型不能实现多级安全中的访问控制 答案D 解析RBAC 模型能实现多级安全中的访问控制。
96.下面哪一项不是虚拟专用网络(VPN)协议标准 A.第二层隧道协议(L2TP) B.Internet 安全性(IPSEC) C.终端访问控制器访问控制系统(TACACS) D.点对点隧道协议(PPTP) 答案C 解析TACACS是 AAA 权限控制系统不属于 VPN。
97.下列对网络认证协议 Kerberos 描述正确的是 A.该协议使用非对称密钥加密机制 B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成 C.该协议完成身份鉴别后将获取用户票据许可票据 D.使用该协议不需要时钟基本同步的环境 答案C 解析A 错误因为使用对称密码B 错误因为密钥分发中心不包括客户机 D 错误因为协议需要时钟同步。三个步骤1身份认证后获得票据许可票据2获得服务许可票据 3获得服务。
98.鉴别的基本途径有三种所知、所有和个人特征以下哪一项不是基于你所知道的 A.口令 B.令牌 C.知识 D.密码 答案B 解析令牌是基于实体所有的鉴别方式。
99.某公司已有漏洞扫描和入侵检测系统(Intrusion Detection SystemIDS)产品需要购买防火墙以下做法应当优先考虑的是 A.选购当前技术最先进的防火墙即可 B.选购任意一款品牌防火墙 C.任意选购一款价格合适的防火墙产品 D.选购一款同已有安全产品联动的防火墙 答案D 解析在技术条件允许情况下可以实现 IDS 和 FW 的联动。
100.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术它 与 IDS 有着许多不同点请指出下列哪一项描述不符合 IPS 的特点? A.串接到网络线路中 B.对异常的进出流量可以直接进行阻断 C.有可能造成单点故障 D.不会影响网络性能 答案D
解析IPS 在串联情况下会影响网络性能。
