《cisp官方信息安全专业技术章节练习一》由会员分享,可在线阅读,更多相关《cisp官方信息安全专业技术章节练习一(19页珍藏版)》请在金锄头文库上搜索。
1、CISP官方信息安全技术章节练习一 作者: 日期:19 个人收集整理,勿做商业用途CISP信息安全技术章节练习一一、单选题。(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件,以对抗病毒的威胁 d、将默认的管理
2、员账号Administrator改名,降低口令暴力破解攻击的发生可能 最佳答案是:b2. 对于抽样而言,以下哪项是正确的? a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低 c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的: a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾
3、经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c4.如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是: a、访问控制表(ACL) b、访问控制矩阵 c、能力表(CL) d、前缀表(Profiles) 最佳答案是:c5. 关于数据库恢复技术,下列说法不正确的是: a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复 b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢
4、复中采用的基本技术 c、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复 d、计算机系统发生故障导致数据未储存到固定存储器上,利用日志文件中故障发生的数据值,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交 最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的: a、存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性 b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性 c、存续在
5、册表中的账号数据任何用户都可以直接访问,灵活方便 d、存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性 最佳答案是:d7. 以下关于安全套接层(Security Sockets Layer,SSL)说法错误的是: a、受到SSL防护的web服务器比没有SSL的web服务器要安全 b、当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器 c、SSL可以看到浏览器与服务器之间的安全通道 d、SSL提供了一种可靠地端到端的安全服务 最佳答案是:a8. 以下哪一项不是常见威胁对应的消
6、减措施: a、假冒攻击可以采用身份认证机制来防范 b、为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性 c、为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖 d、为了防止用户提升权限,可以采用访问控制表的方式来管理权限 最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时如果用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则: a、最少共享机制原则 b、经济机制原则 c、不信任原则 d、
7、默认故障处理保护原则 最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施: a、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping) b、删除服务器上的ping.exe程序 c、增加带宽以应对可能的拒绝服务攻击 d、增加网站服务器以应对即将来临的拒绝服务攻击 最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:复
8、位账户锁定计数器5分钟,账户锁定时间10分钟,账户锁定阀值3次无效登录,以下关于以上策略设置后的说法哪个是正确的: a、设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错了密码的用户就会被锁住 b、如果正常用户不小心输错了3次密码,那么该用户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统 c、如果正常用户不小心连续输入错误密码3次,那么该用户账号就被锁定5分钟,5分钟内即使提交了正确的密码也无法登录系统 d、攻击者在进行口令破解时,只要连续输错3次密码,该用户就被锁定10分钟,而正常用户登录不受影响 最佳答案是:b12. 某单位系统管理员对组织内核心资源的访问制定访问
9、策略,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问,该访问控制策略属于以下哪一种: a、强制访问控制 b、基于角色的访问控制 c、自主访问控制 d、基于任务的访问控制 最佳答案是:c13. 关于源代码审核,描述错误的是() a、源代码审核有利于发现软件编码中存在的安全问题 b、源代码审核工程遵循PDCA 模型 c、源代码审核方式包括人工审核工具审核 d、源代码审核工具包括商业工具和开源工具 最佳答案是:b14. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是() a、要求开发人员采用敏
10、捷开发模型进行开发 b、要求所有的开发人员参加软件安全意识培训 c、要求规范软件编码,并制定公司的安全编码准则 d、要求增加软件安全测试环节,尽早发现软件安全问题 最佳答案是:a15. 关于软件安全的问题,下面描述错误的是() a、软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃 b、软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决 c、软件的安全问题可能被攻击者利用后影响人身体健康安全 d、软件的安全问题是由程序开发者遗留的,和软件的部署运行环境无关 最佳答案是:c16. 以下可能存在sql注入攻击的部分是: a、get请求参数 b、post请求参数
11、c、cookie值 d、以上均有可能 最佳答案是:d17. 在2014年巴西世界杯举行期间,一些黑客组织攻击了世界杯赞助商及政府网站,制造了大量网络流量,阻塞正常用户访问网站。这种攻击类型属于下面什么攻击() a、跨站脚本( cross site scripting,XSS)攻击 b、TCP 会话劫持( TCP HIJACK)攻击 c、ip欺骗攻击 d、拒绝服务(denialservice.dos)攻击 最佳答案是:d18. 小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该后他按照提示操作,纳中奖税款后并没有得到中
12、奖奖金,再打电话询问电器城才得知电器城并没有开的活动,根据上面的描述,由此可以推断的是() a、小陈在电器城登记个人信息时,应当使用加密手段 b、小陈遭受了钓鱼攻击,钱被骗走了 c、小陈的计算机中了木马,被远程控制 d、小陈购买的凌波微步是智能凌波微步 ,能够自己上网 最佳答案是:b19. 某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备() a、负载均衡设备 b、网页防篡改系统 c、网络防病毒系统 d、网络审计系统 最佳答案是:b20. 某政府机构委托开发商开发了一个OA系统,其中有一个公文分发,公文通知等为W
13、ORD文档,厂商在进行系统设计时使用了 FTP来对公文进行分发,以下说法不正确的是 a、FTP协议明文传输数据,包括用户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从而威胁 OA系统 b、FTP协议需要进行验证才能访问在,攻击者可以利用FTP进行口令的暴力破解 c、FTP协议已经是不太使用的协议,可能与新版本的浏览器存在兼容性问题 d、FTP应用需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全 最佳答案是:c21. 以下SQL语句建立的数据库对象是:CREATE VIEW PatientsForDoctors ASSWLWCT PatientFROM Patient*WHE
14、RE doctorlD=123 a、表 b、视图 c、存储过程 d、触发器 最佳答案是:b22. 以下关于账户密码策略中各项策略的作用说明,哪个是错误的: a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更改 最佳答案是:c23. 口令破解是针对系统进行攻击的常用方法,Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于两个策略说明错误的是 a、密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控 b、密码策略对系统中所有的用户都有效 c、账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户应对口令暴力破解攻击 d、账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解
