CISP官方信息安全技術(shù)章節(jié)練習(xí)一

1、CISP信息安全技術(shù)章節(jié)練習(xí)一一、單選題。(共100題,共100分,每題1分)1. 安全的運(yùn)行環(huán)境是軟件安全的基礎(chǔ)，操作系統(tǒng)安全配置是確保運(yùn)行環(huán)境安全必不可少的工作，某管理員對(duì)即將上線的Windows操作系統(tǒng)進(jìn)行了以下四項(xiàng)安全部署工作，其中哪項(xiàng)設(shè)置不利于提高運(yùn)行環(huán)境安全? a、操作系統(tǒng)安裝完成后安裝最新的安全補(bǔ)丁，確保操作系統(tǒng)不存在可被利用的安全漏洞 b、為了方便進(jìn)行數(shù)據(jù)備份，安裝Windows操作系統(tǒng)時(shí)只使用一個(gè)分區(qū)所有數(shù)據(jù)和操作系統(tǒng)都存放在C盤(pán) c、操作系統(tǒng)上部署防病毒軟件，以對(duì)抗病毒的威脅 d、將默認(rèn)的管理員賬號(hào)Administrator改名，降低口令暴力破解攻擊的發(fā)生可能 最佳答案是:

2、b2. 對(duì)于抽樣而言,以下哪項(xiàng)是正確的? a、抽樣一般運(yùn)用于與不成文或無(wú)形的控制相關(guān)聯(lián)的總體 b、如果內(nèi)部控制健全,置信系統(tǒng)可以取的較低 c、通過(guò)盡早停止審計(jì)測(cè)試,屬性抽樣有助于減少對(duì)某個(gè)屬性的過(guò)量抽樣 d、變量抽樣是估計(jì)給定控制或相關(guān)控制集合發(fā)生率的技術(shù) 最佳答案是:b3. 以下關(guān)于賬戶策略中密碼策略中各項(xiàng)作用說(shuō)明，哪個(gè)是錯(cuò)誤的： a、“密碼必須符合復(fù)雜性要求”是用于避免用戶產(chǎn)生諸如1234,1111這樣的弱口令 b、“密碼長(zhǎng)度最小值”是強(qiáng)制用戶使用一定長(zhǎng)度以上的密碼 c、“強(qiáng)制密碼歷史”是強(qiáng)制用戶不能再使用曾經(jīng)使用過(guò)的任何密碼 d、“密碼最長(zhǎng)存留期”是為了避免用戶使用密碼時(shí)間過(guò)長(zhǎng)而不更換

3、最佳答案是:c4.如圖所示，主體S對(duì)客體01有讀（R）權(quán)限，對(duì)客體O2有讀（R）、寫(xiě)（W）、擁有（Own）權(quán)限。該圖所表示的訪問(wèn)控制實(shí)現(xiàn)方法是： a、訪問(wèn)控制表（ACL) b、訪問(wèn)控制矩陣 c、能力表（CL） d、前綴表（Profiles） 最佳答案是:c5. 關(guān)于數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，下列說(shuō)法不正確的是： a、數(shù)據(jù)庫(kù)恢復(fù)技術(shù)的實(shí)現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機(jī)制技術(shù)來(lái)解決，當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)被破壞時(shí)，可以利用冗余數(shù)據(jù)來(lái)進(jìn)行修復(fù) b、數(shù)據(jù)庫(kù)管理員定期地將整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)文件備份到磁帶或另一個(gè)磁盤(pán)上保存起來(lái)，是數(shù)據(jù)庫(kù)恢復(fù)中采用的基本技術(shù) c、日志文件在數(shù)據(jù)庫(kù)恢復(fù)中起著非常重要的作用，可以用來(lái)進(jìn)行事務(wù)

4、故障恢復(fù)和系統(tǒng)故障恢復(fù)，并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù) d、計(jì)算機(jī)系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未儲(chǔ)存到固定存儲(chǔ)器上，利用日志文件中故障發(fā)生的數(shù)據(jù)值，將數(shù)據(jù)庫(kù)恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對(duì)事務(wù)的操作稱為提交 最佳答案是:d6. 以下關(guān)于WIndows系統(tǒng)賬號(hào)存儲(chǔ)管理機(jī)制SAM(Security Accounts Manager）的說(shuō)法哪個(gè)是正確的： a、存儲(chǔ)在注冊(cè)中的賬號(hào)數(shù)據(jù)是管理員組用戶都可以訪問(wèn)，具有較高的安全性 b、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)只有administrator賬戶才有權(quán)訪問(wèn)，具有較高的安全性 c、存續(xù)在冊(cè)表中的賬號(hào)數(shù)據(jù)任何用戶都可以直接訪問(wèn)，靈活方便 d、存儲(chǔ)在注冊(cè)表中的賬號(hào)數(shù)據(jù)有只

5、有System賬戶才能訪問(wèn)，具有較高的安全性 最佳答案是:d7. 以下關(guān)于安全套接層（Security Sockets Layer，SSL)說(shuō)法錯(cuò)誤的是： a、受到SSL防護(hù)的web服務(wù)器比沒(méi)有SSL的web服務(wù)器要安全 b、當(dāng)瀏覽器上的統(tǒng)一資源定位符（Uniform Resource Locator,URL)出現(xiàn)https時(shí)，說(shuō)明用戶正使用配置了SSL協(xié)議的Web服務(wù)器 c、SSL可以看到瀏覽器與服務(wù)器之間的安全通道 d、SSL提供了一種可靠地端到端的安全服務(wù) 最佳答案是:a8. 以下哪一項(xiàng)不是常見(jiàn)威脅對(duì)應(yīng)的消減措施： a、假冒攻擊可以采用身份認(rèn)證機(jī)制來(lái)防范 b、為了防止傳輸?shù)男畔⒈淮鄹?，?/p>

6、發(fā)雙方可以使用單向Hash函數(shù)來(lái)驗(yàn)證數(shù)據(jù)的完整性 c、為了防止發(fā)送方否認(rèn)曾經(jīng)發(fā)送過(guò)的消息，收發(fā)雙方可以使用消息驗(yàn)證碼來(lái)防止抵賴 d、為了防止用戶提升權(quán)限，可以采用訪問(wèn)控制表的方式來(lái)管理權(quán)限 最佳答案是:c9. 某購(gòu)物網(wǎng)站開(kāi)發(fā)項(xiàng)目經(jīng)過(guò)需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開(kāi)發(fā)人員決定用戶登陸時(shí)如果用戶名或口令輸入錯(cuò)誤，給用戶返回“用戶名或口令輸入錯(cuò)誤”信息，輸入錯(cuò)誤達(dá)到三次，將暫時(shí)禁止登錄該賬戶，請(qǐng)問(wèn)以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則： a、最少共享機(jī)制原則 b、經(jīng)濟(jì)機(jī)制原則 c、不信任原則 d、默認(rèn)故障處理保護(hù)原則 最佳答案是:c10. 某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)

7、站的入站ICMP流量上升了250%，盡管網(wǎng)站沒(méi)有發(fā)現(xiàn)任何的性能下降或其他問(wèn)題，但為了安全起見(jiàn)，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問(wèn)題的應(yīng)對(duì)措施： a、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入（關(guān)掉ping） b、刪除服務(wù)器上的ping.exe程序 c、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊 d、增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來(lái)臨的拒絕服務(wù)攻擊 最佳答案是:a11. 由于發(fā)生了一起針對(duì)服務(wù)器的口令暴力破解攻擊，管理員決定對(duì)設(shè)置賬戶鎖定策略以對(duì)抗口令暴力破解。他設(shè)置了以下賬戶鎖定策略如下：復(fù)位賬戶鎖定計(jì)數(shù)器5分鐘，賬戶鎖定時(shí)間10分鐘，賬戶鎖定閥值3次無(wú)效登錄，以下關(guān)于以

8、上策略設(shè)置后的說(shuō)法哪個(gè)是正確的： a、設(shè)置賬戶鎖定策略后，攻擊者無(wú)法再進(jìn)行口令暴力破解，所有輸錯(cuò)了密碼的用戶就會(huì)被鎖住 b、如果正常用戶不小心輸錯(cuò)了3次密碼，那么該用戶就會(huì)被鎖定10分鐘，10分鐘內(nèi)即使輸入正確的密碼，也無(wú)法登錄系統(tǒng) c、如果正常用戶不小心連續(xù)輸入錯(cuò)誤密碼3次，那么該用戶賬號(hào)就被鎖定5分鐘，5分鐘內(nèi)即使提交了正確的密碼也無(wú)法登錄系統(tǒng) d、攻擊者在進(jìn)行口令破解時(shí)，只要連續(xù)輸錯(cuò)3次密碼，該用戶就被鎖定10分鐘，而正常用戶登錄不受影響 最佳答案是:b12. 某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問(wèn)制定訪問(wèn)策略，針對(duì)每個(gè)用戶指明能夠訪問(wèn)的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問(wèn)，該訪

9、問(wèn)控制策略屬于以下哪一種： a、強(qiáng)制訪問(wèn)控制 b、基于角色的訪問(wèn)控制 c、自主訪問(wèn)控制 d、基于任務(wù)的訪問(wèn)控制 最佳答案是:c13. 關(guān)于源代碼審核，描述錯(cuò)誤的是（） a、源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問(wèn)題 b、源代碼審核工程遵循PDCA 模型 c、源代碼審核方式包括人工審核工具審核 d、源代碼審核工具包括商業(yè)工具和開(kāi)源工具 最佳答案是:b14. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（） a、要求開(kāi)發(fā)人員采用敏捷開(kāi)發(fā)模型進(jìn)行開(kāi)發(fā) b、要求所有的開(kāi)發(fā)人員參加軟件安全意識(shí)培訓(xùn) c、要求規(guī)范軟件編

10、碼，并制定公司的安全編碼準(zhǔn)則 d、要求增加軟件安全測(cè)試環(huán)節(jié)，盡早發(fā)現(xiàn)軟件安全問(wèn)題 最佳答案是:a15. 關(guān)于軟件安全的問(wèn)題，下面描述錯(cuò)誤的是（） a、軟件的安全問(wèn)題可能造成軟件運(yùn)行不穩(wěn)定，得不到正確結(jié)果甚至崩潰 b、軟件問(wèn)題安全問(wèn)題應(yīng)依賴于軟件開(kāi)發(fā)的設(shè)、編程、測(cè)試以及部署等各個(gè)階段措施來(lái)解決 c、軟件的安全問(wèn)題可能被攻擊者利用后影響人身體健康安全 d、軟件的安全問(wèn)題是由程序開(kāi)發(fā)者遺留的，和軟件的部署運(yùn)行環(huán)境無(wú)關(guān) 最佳答案是:c16. 以下可能存在sql注入攻擊的部分是： a、get請(qǐng)求參數(shù) b、post請(qǐng)求參數(shù) c、cookie值 d、以上均有可能 最佳答案是:d17. 在2014年巴西世界杯

11、舉行期間，一些黑客組織攻擊了世界杯贊助商及政府網(wǎng)站，制造了大量網(wǎng)絡(luò)流量，阻塞正常用戶訪問(wèn)網(wǎng)站。這種攻擊類型屬于下面什么攻擊（） a、跨站腳本（ cross site scripting,XSS)攻擊 b、TCP 會(huì)話劫持（ TCP HIJACK)攻擊 c、ip欺騙攻擊 d、拒絕服務(wù)（denialservice.dos）攻擊 最佳答案是:d18. 小陳在某電器城購(gòu)買了一臺(tái)冰箱，并留下了個(gè)人姓名、電話在和電子郵件地址等信，第二天他收到了一封來(lái)自電器城提示他中獎(jiǎng)的郵件上，查看該后他按照提示操作，納中獎(jiǎng)稅款后并沒(méi)有得到中獎(jiǎng)獎(jiǎng)金，再打電話詢問(wèn)電器城才得知電器城并沒(méi)有開(kāi)的活動(dòng)，根據(jù)上面的描述，由此可以推斷

12、的是（） a、小陳在電器城登記個(gè)人信息時(shí)，應(yīng)當(dāng)使用加密手段 b、小陳遭受了釣魚(yú)攻擊，錢被騙走了 c、小陳的計(jì)算機(jī)中了木馬，被遠(yuǎn)程控制 d、小陳購(gòu)買的凌波微步是智能凌波微步 ，能夠自己上網(wǎng) 最佳答案是:b19. 某公司在互聯(lián)網(wǎng)區(qū)域新建了一個(gè)WEB網(wǎng)站，為了保護(hù)該網(wǎng)站主頁(yè)安全性，尤其是不能讓攻擊者修改主頁(yè)內(nèi)容，該公司應(yīng)當(dāng)購(gòu)買并部署下面哪個(gè)設(shè)備（） a、負(fù)載均衡設(shè)備 b、網(wǎng)頁(yè)防篡改系統(tǒng) c、網(wǎng)絡(luò)防病毒系統(tǒng) d、網(wǎng)絡(luò)審計(jì)系統(tǒng) 最佳答案是:b20. 某政府機(jī)構(gòu)委托開(kāi)發(fā)商開(kāi)發(fā)了一個(gè)OA系統(tǒng)，其中有一個(gè)公文分發(fā)，公文通知等為WORD文檔，廠商在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)使用了 FTP來(lái)對(duì)公文進(jìn)行分發(fā)，以下說(shuō)法不正確的是

13、 a、FTP協(xié)議明文傳輸數(shù)據(jù)，包括用戶名和密碼，攻擊者可能通過(guò)會(huì)話過(guò)程嗅探獲得FTP密碼，從而威脅 OA系統(tǒng) b、FTP協(xié)議需要進(jìn)行驗(yàn)證才能訪問(wèn)在，攻擊者可以利用FTP進(jìn)行口令的暴力破解 c、FTP協(xié)議已經(jīng)是不太使用的協(xié)議，可能與新版本的瀏覽器存在兼容性問(wèn)題 d、FTP應(yīng)用需要安裝服務(wù)器端軟件，軟件存在漏洞可能會(huì)影響到OA系統(tǒng)的安全 最佳答案是:c21. 以下SQL語(yǔ)句建立的數(shù)據(jù)庫(kù)對(duì)象是：CREATE VIEW PatientsForDoctors ASSWLWCT PatientFROM Patient*WHERE doctorlD=123 a、表 b、視圖 c、存儲(chǔ)過(guò)程 d、觸發(fā)器 最佳答

14、案是:b22. 以下關(guān)于賬戶密碼策略中各項(xiàng)策略的作用說(shuō)明，哪個(gè)是錯(cuò)誤的： a、“密碼必須符合復(fù)雜性要求”是用于避免用戶產(chǎn)生諸如1234、1111這樣的弱口令 b、“密碼長(zhǎng)度最小值”是強(qiáng)制用戶使用一定長(zhǎng)度以上的密碼 c、“強(qiáng)制密碼歷史”是強(qiáng)制用戶不能再使用曾經(jīng)使用過(guò)的任何密碼 d、“密碼最長(zhǎng)存留期”是為了避免用戶使用密碼時(shí)間過(guò)長(zhǎng)而不更改 最佳答案是:c23. 口令破解是針對(duì)系統(tǒng)進(jìn)行攻擊的常用方法，Windows系統(tǒng)安全策略應(yīng)對(duì)口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于兩個(gè)策略說(shuō)明錯(cuò)誤的是 a、密碼策略的主要作用是通過(guò)策略避免用戶生成弱口令及對(duì)用戶的口令使用進(jìn)行管控 b、密碼策略

15、對(duì)系統(tǒng)中所有的用戶都有效 c、賬戶鎖定策略的主要作用是應(yīng)對(duì)口令暴力破解攻擊，能有效的保護(hù)所有系統(tǒng)用戶應(yīng)對(duì)口令暴力破解攻擊 d、賬戶鎖定策略只適用于普通用戶，無(wú)法保護(hù)管理員administrator賬戶應(yīng)對(duì)口令暴力破解攻擊 最佳答案是:d24. IS審計(jì)師參與應(yīng)用系統(tǒng)開(kāi)發(fā),他們從事以下哪項(xiàng)可以導(dǎo)致獨(dú)立性的減弱. a、對(duì)系統(tǒng)開(kāi)發(fā)進(jìn)行了復(fù)核 b、對(duì)控制和系統(tǒng)的其他改進(jìn)提出了建議 c、對(duì)完成后的系統(tǒng)進(jìn)行了獨(dú)立評(píng)價(jià) d、積極參與了系統(tǒng)的設(shè)計(jì)和完成 最佳答案是:d25. Linux/Unix關(guān)鍵的日志文件設(shè)置的權(quán)限應(yīng)該為： a、-rw-r-r- b、-rw- c、-rw-rw-rw- d、-r- 最佳答案

16、是:d26. 關(guān)于Kerberos認(rèn)證協(xié)議，以下說(shuō)法錯(cuò)誤的是： a、只要用戶拿到了認(rèn)證服務(wù)器（AS）發(fā)送的票據(jù)許可票據(jù)（TGT）并且該TGT沒(méi)有過(guò)期，就可以使用該TGT通過(guò)票據(jù)授權(quán)服務(wù)器（TGS）完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼 b、認(rèn)證服務(wù)器(AS)和票據(jù)授權(quán)服務(wù)器(TGS)是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全 c、該協(xié)議通過(guò)用戶獲得票據(jù)許可票據(jù)、用戶獲得服務(wù)許可票據(jù)、用戶獲得服務(wù)三個(gè)階段，僅支持服務(wù)器對(duì)用戶的單向認(rèn)證 d、該協(xié)議是一種基于對(duì)稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，隨用戶數(shù)量增加，密鑰管理較復(fù)雜 最佳答案是:c27. 以下關(guān)于安全套接層

17、協(xié)議（Secure Sockets Layer,SSL）說(shuō)法錯(cuò)誤的是： a、SSL協(xié)議位于TCP/IP協(xié)議層和應(yīng)用協(xié)議之間 b、SSL協(xié)議廣泛應(yīng)用于web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸 c、SSL是一種可靠的端到端的安全服務(wù)協(xié)議 d、SSL是設(shè)計(jì)用來(lái)保護(hù)操作系統(tǒng)的 最佳答案是:d28. 以下哪個(gè)選項(xiàng)不是防火墻技術(shù)？ a、IP地址欺騙防護(hù) b、NAT c、訪問(wèn)控制 d、SQL注入攻擊防護(hù) 最佳答案是:d29. 某移動(dòng)智能終端支持通過(guò)指紋識(shí)別解鎖系統(tǒng)的功能，與傳統(tǒng)的基于口令的鑒別技術(shù)相比，關(guān)于此種鑒別技術(shù)說(shuō)法不正確的是： a、所選擇的特征（指紋）便于收集、測(cè)量和比較 b、每個(gè)人所擁有的

18、指紋都是獨(dú)一無(wú)二的 c、指紋信息是每個(gè)人獨(dú)有的，指紋識(shí)別系統(tǒng)不存在安全威脅問(wèn)題 d、此類系統(tǒng)一般由用戶指紋信息采集和指紋信息識(shí)別兩部分組成 最佳答案是:c30. 消息在發(fā)送前，用發(fā)送者的私鑰加密消息內(nèi)容和它的哈希（hash,或譯作：雜選、摘要）值，能夠保證： a、消息的真實(shí)性和完整性 b、消息的真實(shí)性和保密性 c、消息的完整性和保密性 d、保密性和防抵賴性 最佳答案是:a31. 為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開(kāi)發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開(kāi)發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容要在他的考慮范圍內(nèi)? a、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識(shí)的培訓(xùn) b、針對(duì)OpenSSL心臟出血漏洞方面安全知識(shí)的培訓(xùn) c、針對(duì)S

19、QL注入漏洞的安全編程培訓(xùn) d、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識(shí)的培訓(xùn) 最佳答案是:c32. 下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題? a、軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低 b、應(yīng)用軟件來(lái)考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù) c、應(yīng)用軟件存在sol注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù) d、軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝 最佳答案是:c33. 某網(wǎng)站在設(shè)計(jì)時(shí)經(jīng)過(guò)了威脅建模和攻擊面分析，在開(kāi)發(fā)時(shí)要求程序員編寫(xiě)安全的代碼，但是在部署時(shí)由于管理員將備份存放在WED目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問(wèn)題，以下哪種測(cè)試

20、方式是最佳的測(cè)試方法? a、模糊測(cè)試 b、源代碼測(cè)試 c、滲透測(cè)試 d、軟件功能測(cè)試 最佳答案是:c34. 微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫(xiě)，關(guān)于此項(xiàng)錯(cuò)誤的是: a、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒(méi)有下載過(guò)數(shù)據(jù)"軟件R威脅 b、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。 c、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù) d、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過(guò)濾、流量控制等技術(shù) 最佳答案是:d35. 關(guān)于源代碼審核，描述正確的是（ ） a、源代碼審核過(guò)程遵循信息安全保障技術(shù)框架模型

21、，在執(zhí)行時(shí)應(yīng)一步一步嚴(yán)格執(zhí)行 b、源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問(wèn)題，相關(guān)的審核工具既有商業(yè)開(kāi)源工具 c、源代碼審核如果想要有效率高，則主要要依賴人工審核而不是工具審核，因?yàn)槿斯ぶ悄艿模枰说哪X袋來(lái)判斷 d、源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測(cè)試 最佳答案是:b36. 金女士經(jīng)常通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)購(gòu)物，從安全角度看，下面哪項(xiàng)是不好的操作習(xí)慣（ ）？ a、使用專用上網(wǎng)購(gòu)物用計(jì)算機(jī)，安裝好軟件后不要對(duì)該計(jì)算機(jī)上的系統(tǒng)軟件.應(yīng)用軟件進(jìn)行升級(jí) b、為計(jì)算機(jī)安裝具有良好聲譽(yù)的安全防范軟件，包括病毒查殺.安安全檢查和安全加固方面的軟件 c、在IE的配置中，設(shè)置只

22、能下載和安裝經(jīng)過(guò)簽名的.安全的ActiveX控件 d、在使用網(wǎng)絡(luò)瀏覽器時(shí)，設(shè)置不在計(jì)算機(jī)中保留網(wǎng)絡(luò)歷史記錄和表單數(shù)據(jù) 最佳答案是:a37. 由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開(kāi)發(fā)管理，在下面做法中，對(duì)于解決問(wèn)題沒(méi)有直接幫助的是（ ） a、要求所有的開(kāi)發(fā)人員參加軟件安全開(kāi)發(fā)知識(shí)培訓(xùn) b、要求增加軟件源代碼審核環(huán)節(jié)，加強(qiáng)對(duì)軟件代碼的安全性審查 c、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開(kāi)發(fā)，不能采用之前的Windows版本 d、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問(wèn)題 最佳答案是:c38. 微軟SDL將軟件開(kāi)發(fā)生命周期制分為七個(gè)階

23、段，并列出了十七項(xiàng)重要的安全活動(dòng)。其中“棄用不安全的函數(shù)”屬于（ ）的安全活動(dòng) a、要求（Rapuiroments）階段 b、設(shè)計(jì)（Design）階段 c、實(shí)施（Implenpentation）階段 d、驗(yàn)證（Verifcation）階段 最佳答案是:c39. 某公司開(kāi)發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不能傳送到對(duì)方，關(guān)于此案例，可以推斷的是（ ） a、該網(wǎng)站軟件存在保密性方面安全問(wèn)題 b、該網(wǎng)站軟件存在完整性方面安全問(wèn)題 c、該網(wǎng)站軟件存在可用性方面安全問(wèn)題 d、該網(wǎng)站軟件存在不可否

24、認(rèn)性方面安全問(wèn)題 最佳答案是:b40. 在提高阿帕奇系統(tǒng)(Apache HTTP Server)系統(tǒng)安全性時(shí)，下面哪項(xiàng)措施不屬于安全配置內(nèi)容( )? a、不在Windows下安裝Apache，只在Linux和Unix下安裝 b、安裝Apache時(shí)，只安裝需要的組件模塊 c、不使用操作系統(tǒng)管理員用戶身份運(yùn)行Apache，而是采用權(quán)限受限的專用用戶賬號(hào)來(lái)運(yùn)行 d、積極了解Apache的安全通告，并及時(shí)下載和更新 最佳答案是:a41. 為了保障系統(tǒng)安全，某單位需要對(duì)其跨地區(qū)大型網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以下關(guān)于滲透測(cè)試過(guò)程的說(shuō)法不正確的是 a、由于在實(shí)際滲透測(cè)試過(guò)程中存在不可預(yù)知的風(fēng)險(xiǎn)，所以測(cè)試

25、前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問(wèn)題時(shí)可以及時(shí)恢復(fù)系統(tǒng)和數(shù)據(jù) b、滲透測(cè)試從“逆向”的角度出發(fā)，測(cè)試軟件系統(tǒng)的安全性，其價(jià)值在于可以測(cè)試軟件在實(shí)際系統(tǒng)中運(yùn)行時(shí)的安全狀況 c、滲透測(cè)試應(yīng)當(dāng)經(jīng)過(guò)方案制定.信息收集.漏洞利用.完成滲透測(cè)試報(bào)告等步驟 d、為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運(yùn)行高峰期進(jìn)行滲透測(cè)試 最佳答案是:d42. 能涵蓋損失的最好的保險(xiǎn)單類型是： a、基本保險(xiǎn)單 b、擴(kuò)展保險(xiǎn)單 c、特殊的涵蓋所有風(fēng)險(xiǎn)的保險(xiǎn)單 d、與風(fēng)險(xiǎn)類型相稱的保險(xiǎn) 最佳答案是:d43. 下面哪一種關(guān)于安全的說(shuō)法是不對(duì)的？ a、加密技術(shù)的安全性不應(yīng)大于使用該技術(shù)的人的安全性 b、任何電子

26、郵件程序的安全性不應(yīng)大于實(shí)施加密的計(jì)算機(jī)的安全性 c、加密算法的安全性與密鑰的安全性一致 d、每個(gè)電子郵件消息的安全性是通過(guò)用標(biāo)準(zhǔn)的非隨機(jī)的密鑰加密來(lái)實(shí)現(xiàn) 最佳答案是:d44. 微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫(xiě)，關(guān)于此項(xiàng)安全要求，下面描述錯(cuò)誤的是（）？ a、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒(méi)有下載過(guò)數(shù)據(jù)”軟件系統(tǒng)中的這種威脅就屬于R威脅 b、解決R威脅，可以選擇使用抗抵賴性服務(wù)技術(shù)來(lái)解決，如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)措施 c、R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅，比D威脅和E威脅的嚴(yán)重程度更高 d、解決R威脅，也應(yīng)按照確定建模對(duì)象、

27、識(shí)別威脅、評(píng)估威脅以及消減威脅等四個(gè)步驟來(lái)進(jìn)行 最佳答案是:c45. 某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問(wèn)，就可以無(wú)需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問(wèn)題的說(shuō)法正確的是: a、網(wǎng)站問(wèn)題是由于開(kāi)發(fā)人員不熟悉安全編碼，編寫(xiě)了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問(wèn)題 b、網(wǎng)站問(wèn)題是由于用戶缺乏安全意識(shí)導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題 c、網(wǎng)站問(wèn)題是由于使用便利性提高，帶來(lái)網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問(wèn)題 d、網(wǎng)站問(wèn)題是設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全

28、的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問(wèn)題 最佳答案是:d46. 某linux系統(tǒng)由于root口令過(guò)于簡(jiǎn)單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請(qǐng)安全專家對(duì)系統(tǒng)進(jìn)行檢測(cè)，在系統(tǒng)中發(fā)現(xiàn)有一個(gè)文件的權(quán)限如下-r-s-x-x 1 test tdst 10704 apr 15 2002/home/test/sh請(qǐng)問(wèn)以下描述哪個(gè)是正確的： a、該文件是一個(gè)正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行 b、該文件是一個(gè)正常文件，是test用戶使用的shell,但test用戶無(wú)權(quán)執(zhí)行該文件 c、該文件是一個(gè)后門(mén)程序，該文件被執(zhí)行時(shí)，運(yùn)行身份是ro

29、ot,test用戶間接獲得了root權(quán)限 d、該文件是一個(gè)后門(mén)程序，由于所有者是test，因此運(yùn)行這個(gè)文件時(shí)文件執(zhí)行權(quán)限為test 最佳答案是:c47. windows文件系統(tǒng)權(quán)限管理作用訪問(wèn)控制列表（Access Control List.ACL）機(jī)制，以下哪個(gè)說(shuō)法是錯(cuò)誤的： a、安裝Windows 系統(tǒng)時(shí)要確保文件格式使用的是NTFS ,因?yàn)閃indows 的ACL機(jī)制需要 NTFS 文件格式的支持 b、由于windows 操作系統(tǒng)自身有大量的文件和目錄，因此很難對(duì)每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問(wèn)權(quán)限 ，為了作用上的便利，Windows 上的ACL存在默認(rèn)設(shè)置安全性不高的問(wèn)題 c、window

30、s 的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問(wèn)權(quán)限信息是寫(xiě)在用戶數(shù)據(jù)庫(kù)中 d、由于ACL 具有很好的靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立的用戶的權(quán)限 最佳答案是:c48. S公司在全國(guó)有20個(gè)分支機(jī)構(gòu)，總部有10臺(tái)服務(wù)器.200個(gè)用戶終端，每個(gè)分支機(jī)構(gòu)都有一臺(tái)服務(wù)器.100個(gè)左右用戶終端，通過(guò)專網(wǎng)進(jìn)行互聯(lián)互通。公司招標(biāo)的網(wǎng)絡(luò)設(shè)計(jì)方案中，四家集成商給出了各自的IP地址規(guī)劃和分配的方法，作為評(píng)標(biāo)專家，請(qǐng)給S公司選出設(shè)計(jì)最合理的一個(gè)： a、總部使用服務(wù)器.用戶終端統(tǒng)一作用10.0.1.X.各分支機(jī)構(gòu)服務(wù)器和用戶終端使用192.168.2.X192.168.20

31、.X b、總部使用服務(wù)器使用11.用戶終端使用2212，分支機(jī)構(gòu)IP地址隨意確定即可 c、總部服務(wù)器使用10.0.1.X. 用戶終端根據(jù)部門(mén)劃分使用10.0.2.X.每個(gè)分支機(jī)構(gòu)分配兩個(gè)A類地址段，一個(gè)用做服務(wù)器地址段.另外一個(gè)做用戶終端地址段 d、因?yàn)橥ㄟ^(guò)互聯(lián)網(wǎng)連接，訪問(wèn)的是互聯(lián)網(wǎng)地址，內(nèi)部地址經(jīng)NAT映射，因此IP地址無(wú)需特別規(guī)劃，各機(jī)構(gòu)自行決定即可 最佳答案是:c49. 某單位發(fā)生的管理員小張?jiān)诜泵Φ墓ぷ髦薪拥搅艘粋€(gè)電話，來(lái)電者：小張嗎？我是科技處李強(qiáng)，我的郵箱密碼忘記了，現(xiàn)在打不開(kāi)郵件，我著急收個(gè)郵件，麻煩你先幫我把密碼改成123，我收完郵件自己修改掉密

32、碼。熱心的小張很快的滿足了來(lái)電考的要求。后來(lái)，李強(qiáng)發(fā)現(xiàn)郵箱系統(tǒng)登錄異常。請(qǐng)問(wèn)以下說(shuō)法哪個(gè)是正確的？ a、小張服務(wù)態(tài)度不好，如果把李強(qiáng)的郵件收下來(lái)親自交給李強(qiáng)就不會(huì)發(fā)生這個(gè)問(wèn)題 b、事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)購(gòu)買新的服務(wù)器。 c、單位缺乏良好的密碼修改操作流程或者小張沒(méi)有按操作流程工作 d、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請(qǐng)升級(jí)郵件服務(wù)軟件 最佳答案是:c50. 在對(duì)某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測(cè)中發(fā)現(xiàn)，服務(wù)器上開(kāi)放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問(wèn)題，作為一名檢測(cè)人員，你需要告訴用戶對(duì)應(yīng)用進(jìn)行安全整改以外解決明文

33、傳輸數(shù)據(jù)的問(wèn)題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問(wèn)題： a、SSH b、HTTP c、FTP d、SMTP 最佳答案是:a51. 部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（Internet Protocol Security Virtual Private Network, IPsec VPN)時(shí),以下說(shuō)法正確的是： a、配置MD5安全算法可以提供可靠地?cái)?shù)據(jù)加密 b、配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證 c、部署Ipsec VPN 網(wǎng)絡(luò)時(shí)，需要考慮 IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來(lái)減少IPsec安全關(guān)聯(lián)（Security Authentication，SA)資源的消耗 d

34、、報(bào)文驗(yàn)證頭協(xié)議（Authentication Header，AH)可以提供數(shù)據(jù)機(jī)密性 最佳答案是:c52. 以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶登錄時(shí)，認(rèn)證服務(wù)器（Authentication Server， AS)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令.種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS,AS用同樣的防腐計(jì)算后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。 a、口令序列 b、時(shí)間同步 c、挑戰(zhàn)/應(yīng)答 d、靜態(tài)口令 最佳答案是:c53. 關(guān)于秘鑰管理，下列說(shuō)法錯(cuò)誤的是： a、科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性 b、 保密通信過(guò)程中，通

35、信方使用之前用過(guò)的會(huì)話秘鑰建立會(huì)話，不影響通信安全 c、秘鑰管理需要考慮秘鑰產(chǎn)生.存儲(chǔ).備份.分配.更新.撤銷等生命周期過(guò)程的每一個(gè)環(huán)節(jié) d、在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-He11man協(xié)議協(xié)商出會(huì)話密鑰 最佳答案是:b54. 下面哪一種安全技術(shù)是鑒別用戶身份的最好的方法？ a、智能卡 b、生物測(cè)量技術(shù) c、挑戰(zhàn)-響應(yīng)令牌 d、用戶身份識(shí)別碼和口令 最佳答案是:b55. 近年來(lái)利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時(shí)有發(fā)生，防范這種攻擊比較有效的方法是? a、加強(qiáng)網(wǎng)站源代碼的安全性 b、對(duì)網(wǎng)絡(luò)客戶端進(jìn)行安全評(píng)估 c、協(xié)調(diào)運(yùn)營(yíng)商對(duì)域名解析服務(wù)器進(jìn)行加固 d、在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級(jí)

36、防火墻 最佳答案是:c56. 以下關(guān)于UDP協(xié)議的說(shuō)法，哪個(gè)是錯(cuò)誤的? a、UDP具有簡(jiǎn)單高效的特點(diǎn)，常被攻擊者用來(lái)實(shí)施流量型拒絕服務(wù)攻擊 b、UDP協(xié)議包頭中包含了源端口號(hào)和目的端口號(hào)，因此UDP可通過(guò)端口號(hào)將數(shù)據(jù)包送達(dá)正確的程序 c、相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開(kāi)銷更小，因此常用來(lái)傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù) d、UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來(lái)傳輸如視頻會(huì)話這類需要隱私保護(hù)的數(shù)據(jù) 最佳答案是:d57. 傳輸控制協(xié)議(TCP)是傳輸層協(xié)議，以下關(guān)于TCP協(xié)議的說(shuō)法，哪個(gè)是正確的? a、相比傳輸層的另外一個(gè)協(xié)議UDP，TCP既提供傳輸可靠

37、性，還同時(shí)具有更高的效率，因此具有廣泛的用途 b、TCP協(xié)議包頭中包含了源IP地址和目的IP地址，因此TCP協(xié)議負(fù)責(zé)將數(shù)據(jù)傳送到正確的主機(jī) c、TCP協(xié)議具有流量控制.數(shù)據(jù)校驗(yàn).超時(shí)重發(fā).接收確認(rèn)等機(jī)制，因此TCP協(xié)議能完全替代IP協(xié)議 d、TCP協(xié)議雖然高可靠，但是相比UDP協(xié)議機(jī)制過(guò)于復(fù)雜，傳輸效率要比UDP低 最佳答案是:d58. 安全專家在對(duì)某網(wǎng)站進(jìn)行安全部署時(shí)，調(diào)整了Apache的運(yùn)行權(quán)限，從root權(quán)限降低為nobody用戶，以下操作的主要目的是： a、為了提高Apache軟件運(yùn)行效率 b、為了提高Apache軟件的可靠性 c、為了避免攻擊者通過(guò)Apache獲得root權(quán)限 d、為

38、了減少Apache上存在的漏洞 最佳答案是:c59. 對(duì)惡意代碼的預(yù)防，需要采取增強(qiáng)安全防范策略與意識(shí)等措施，關(guān)于以下預(yù)防措施或意識(shí)，說(shuō)法錯(cuò)誤的是： a、在使用來(lái)自外部的移動(dòng)介質(zhì)前，需要進(jìn)行安全掃描 b、限制用戶對(duì)管理員權(quán)限的使用 c、開(kāi)放所有端口和服務(wù)，充分使用系統(tǒng)資源 d、不要從不可信來(lái)源下載或執(zhí)行應(yīng)用程序 最佳答案是:c60. 應(yīng)用軟件的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫(kù)防護(hù)策略，以下不屬于數(shù)據(jù)庫(kù)防護(hù)策略的是? a、安裝最新的數(shù)據(jù)庫(kù)軟件安全補(bǔ)丁 b、對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行安全加密 c、不使用管理員權(quán)限直接連接數(shù)據(jù)庫(kù)系統(tǒng) d、定期對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫(kù)運(yùn)行良

39、好 最佳答案是:d61. 以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是： a、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系 b、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算機(jī)的概念 c、可信的整體框架包含終端可信.終端應(yīng)用可信.操作系統(tǒng)可信.網(wǎng)絡(luò)互聯(lián)可信.互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信 d、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法 最佳答案是:d62. 以下哪個(gè)選項(xiàng)不是防火墻提供的安全功能? a、IP地址欺騙防護(hù) b、NAT c、訪問(wèn)控制 d、SQL注入攻擊防護(hù) 最佳答案是:d63. 針對(duì)軟件的拒絕服務(wù)攻擊是通過(guò)消耗系統(tǒng)資源使軟件無(wú)法響應(yīng)正常請(qǐng)求的一種攻擊方式，在軟件開(kāi)發(fā)時(shí)分

40、析拒絕服務(wù)攻擊的威脅，以下哪個(gè)不是需要考慮的攻擊方式： a、攻擊者利用軟件存在邏輯錯(cuò)誤，通過(guò)發(fā)送某種類型數(shù)據(jù)導(dǎo)致運(yùn)算進(jìn)入死循環(huán)，CPU資源占用始終100 b、攻擊者利用軟件腳本使用多重嵌套查詢，在數(shù)據(jù)量大時(shí)會(huì)導(dǎo)致查詢效率低，通過(guò)發(fā)送大量的查詢導(dǎo)致數(shù)據(jù)庫(kù)響應(yīng)緩慢 c、攻擊者利用軟件不自動(dòng)釋放連接的問(wèn)題，通過(guò)發(fā)送大量連接消耗軟件并發(fā)連接數(shù)，導(dǎo)致并發(fā)連接數(shù)耗盡而無(wú)法訪問(wèn) d、攻擊者買通了IDC人員，將某軟件運(yùn)行服務(wù)器的網(wǎng)線拔掉導(dǎo)致無(wú)法訪問(wèn) 最佳答案是:d64. 某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http

41、協(xié)議，攻擊者通過(guò)偽造數(shù)據(jù)包使得向購(gòu)物車添加商品的價(jià)格被修改利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車中，而付款時(shí)又沒(méi)有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問(wèn)題，對(duì)于網(wǎng)站的這個(gè)問(wèn)題原因分析及解決措施。最正確的說(shuō)法應(yīng)該是_? a、該問(wèn)題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的闖題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問(wèn)都強(qiáng)制要求使用https b、該問(wèn)題的產(chǎn)生是由于網(wǎng)站開(kāi)發(fā)前沒(méi)有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒(méi)有找到該威脅并采取相應(yīng)的消減措施 c、該問(wèn)題的產(chǎn)生是由于編碼缺陷，通過(guò)對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決 d、該問(wèn)題的產(chǎn)生不是網(wǎng)站的問(wèn)題，應(yīng)報(bào)警

42、要求尋求警察介入，嚴(yán)懲攻擊者即可 最佳答案是:b65. 以下關(guān)于直接附加存儲(chǔ)(Direct Attached Storage，DAS)說(shuō)法錯(cuò)誤的是： a、DAS能夠在服務(wù)器物理位置比較分散的情況下實(shí)現(xiàn)大容量存儲(chǔ)，是一種常用的數(shù)據(jù)存儲(chǔ)方法 b、DAS實(shí)現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離，存取性能較高并且實(shí)施簡(jiǎn)單 c、DAS的缺點(diǎn)在于對(duì)服務(wù)器依賴性強(qiáng)，當(dāng)服務(wù)器發(fā)生故障時(shí)，連接在服務(wù)器上的存儲(chǔ)設(shè)備中的數(shù)據(jù)不能被存取 d、較網(wǎng)絡(luò)附加存儲(chǔ)(Network Attached Storage，NAS)，DAS節(jié)省硬盤(pán)空間，數(shù)據(jù)非常集中，便于對(duì)數(shù)據(jù)進(jìn)行管理和備份 最佳答案是:d66. 數(shù)據(jù)庫(kù)的安全很復(fù)雜，往往需要考慮多

43、種安全策略，才可以更好地保護(hù)數(shù)據(jù)庫(kù)的安全，以下關(guān)于數(shù)據(jù)庫(kù)常用的安全策略理解不正確的是： a、最小特權(quán)原則，是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作 b、最大共享策略，在保證數(shù)據(jù)庫(kù)的完整性.保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息 c、粒度最小策略，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)進(jìn)行劃分，粒度越小，安全級(jí)別越高，在實(shí)際中需要選擇最小粒度 d、按內(nèi)容存取控制策略，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同部分 最佳答案是:b67. 2005年4月1日正式施行的電子簽名法，被稱為“中國(guó)首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法

44、律效力。以下關(guān)于電子簽名說(shuō)法錯(cuò)誤的是： a、電子簽名是指數(shù)據(jù)電文中以電子形式所含.所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù) b、電子簽名適用于民事活動(dòng)中的合同或者其他文件.單證等文書(shū) c、電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù) d、電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人和電子認(rèn)證服務(wù)提供者共有 最佳答案是:d68. 在軟件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，規(guī)定了軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，下列哪個(gè)選項(xiàng)不屬于核心業(yè)務(wù)功能： a、治理，主要是管理軟件開(kāi)發(fā)的過(guò)程和活動(dòng) b、構(gòu)造，主要是在

45、開(kāi)發(fā)項(xiàng)目中確定目標(biāo)并開(kāi)發(fā)軟件的過(guò)程與活動(dòng) c、驗(yàn)證，主要是測(cè)試和驗(yàn)證軟件的過(guò)程與活動(dòng) d、購(gòu)置，主要是購(gòu)買第三方商業(yè)軟件或者采用開(kāi)源組件的相關(guān)管理過(guò)程與活動(dòng) 最佳答案是:d69. 關(guān)于軟件安全開(kāi)發(fā)生命周期(SDL)，下面說(shuō)法錯(cuò)誤的是： a、在軟件開(kāi)發(fā)的各個(gè)周期都要考慮安全因素 b、軟件安全開(kāi)發(fā)生命周期要綜合采用技術(shù).管理和工程等手段 c、測(cè)試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過(guò)早或過(guò)晚檢測(cè)修改漏洞都將增大軟件開(kāi)發(fā)成本 d、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開(kāi)發(fā)成本 最佳答案是:c70. 數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議棧自上而下對(duì)數(shù)據(jù)進(jìn)行封裝，TCPIP協(xié)議中，數(shù)據(jù)封裝

46、的順序是： a、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層 b、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層 c、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層 d、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層 最佳答案是:b71. 賬號(hào)鎖定策略中對(duì)超過(guò)一定次數(shù)的錯(cuò)誤登錄賬號(hào)進(jìn)行鎖定是為了對(duì)抗以下哪種攻擊? a、分布式拒絕服務(wù)攻擊(DDoS) b、病毒傳染 c、口令暴力破解 d、緩沖區(qū)溢出攻擊 最佳答案是:c72. 某公司系統(tǒng)管理員最近正在部署一臺(tái)Web服務(wù)器，使用的操作系統(tǒng)是Windows，在進(jìn)行日志安全管理設(shè)置時(shí)，系統(tǒng)管理員擬定四條日志安全策略給領(lǐng)導(dǎo)進(jìn)行參考，其中能有效應(yīng)對(duì)攻擊者獲得系統(tǒng)權(quán)限后對(duì)日志進(jìn)行修改的策略是： a、在網(wǎng)絡(luò)中單獨(dú)部署sys

47、log服務(wù)器，將Web服務(wù)器的日志自動(dòng)發(fā)送并存儲(chǔ)到該syslog日志服務(wù)器中 b、嚴(yán)格設(shè)置Web日志權(quán)限，只有系統(tǒng)權(quán)限才能進(jìn)行讀和寫(xiě)等操作 c、對(duì)日志屬性進(jìn)行調(diào)整，加大日志文件大小，延長(zhǎng)日志覆蓋時(shí)間，設(shè)置記錄更多信息等 d、使用獨(dú)立的分區(qū)用于存儲(chǔ)日志，并且保留足夠大的日志空間 最佳答案是:a73. 相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢(shì)? a、NTFS使用事務(wù)日志自動(dòng)記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等闖題而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作 b、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限 c、

48、對(duì)于大磁盤(pán)，NTFS文件系統(tǒng)比FAT有更高的磁盤(pán)利用率 d、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容Linux下EXT2文件格式 最佳答案是:d74. 以下關(guān)于PGP(Pretty Good Privacy)軟件敘述錯(cuò)誤的是： a、PGP可以實(shí)現(xiàn)對(duì)郵件的加密.簽名和認(rèn)證 b、PGP可以實(shí)現(xiàn)數(shù)據(jù)壓縮 c、PGP可以對(duì)郵件進(jìn)行分段和重組 d、PGP采用SHA算法加密郵件 最佳答案是:d75. 某電子商務(wù)網(wǎng)站在開(kāi)發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來(lái)分折電子商務(wù)網(wǎng)站所面臨的威脅，STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRI

49、DE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅? a、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDoS攻擊，降低網(wǎng)站訪問(wèn)速度 b、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄露，例如購(gòu)買的商品金額等 c、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無(wú)法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改 d、網(wǎng)站使用用戶名.密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息 最佳答案是:d76. 以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全(Internet Protocol Security，IPsec)協(xié)議說(shuō)法錯(cuò)誤的是： a、在傳送模式中，保護(hù)的是I

50、P負(fù)載 b、驗(yàn)證頭協(xié)議(Authentication Head，AH)和IP封裝安全載荷協(xié)議(Encapsulating Security Payload，ESP)都能以傳輸模式和隧道模式工作 c、在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)包，包括IP頭 d、IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性 最佳答案是:d77. 某單位人員管理系統(tǒng)在人員離職時(shí)進(jìn)行賬號(hào)刪除，需要離職員工所在部門(mén)主管經(jīng)理和人事部門(mén)人員同時(shí)進(jìn)行確認(rèn)才能在系統(tǒng)上執(zhí)行，該設(shè)計(jì)是遵循了軟件安全設(shè)計(jì)中的哪項(xiàng)原則? a、最小權(quán)限 b、權(quán)限分離 c、不信任 d、縱深防御 最佳答案是:b78.

51、某公司已有漏洞掃描和入侵檢測(cè)系統(tǒng)(Intrusien Detection System，IDS)產(chǎn)品，需要購(gòu)買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是： a、選購(gòu)當(dāng)前技術(shù)最先進(jìn)的防火墻即可 b、選購(gòu)任意一款品牌防火墻 c、任意選購(gòu)一款價(jià)格合適的防火墻產(chǎn)品 d、選購(gòu)一款同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻 最佳答案是:d79. IS審計(jì)師發(fā)現(xiàn)企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃中選定的備用處理設(shè)施的處理能力只能達(dá)到現(xiàn)有系統(tǒng)的一半。那么，他/她該怎么做？ a、無(wú)需做什么。因?yàn)橹挥刑幚砟芰Φ陀谡５?5%，才會(huì)嚴(yán)重影響企業(yè)的生存和備份能力 b、找出可以在備用設(shè)施使用的應(yīng)用，其它業(yè)務(wù)處理采用手工操作，制訂手工流程以備不測(cè) c、找出所有

52、主要的應(yīng)用，確保備用設(shè)施可以運(yùn)行這些應(yīng)用 d、建議相關(guān)部門(mén)增加備用設(shè)施投入，使其能夠處理75%的正常業(yè)務(wù) 最佳答案是:c80. 下面哪一項(xiàng)不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)： a、第二層隧道協(xié)議(L2TP) b、Internet安全性(IPSEC) c、終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(TACACS+) d、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP) 最佳答案是:c81. 以下場(chǎng)景描述了基于角色的訪問(wèn)控制模型(Role-based Access ControlRBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位.職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級(jí)別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBA

53、C模型，下列說(shuō)法錯(cuò)誤的是： a、當(dāng)用戶請(qǐng)求訪問(wèn)某資源時(shí)，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問(wèn)請(qǐng)求將被拒絕 b、業(yè)務(wù)系統(tǒng)中的崗位.職位或者分工，可對(duì)應(yīng)RBAC模型中的角色 c、通過(guò)角色，可實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制 d、RBAC模型不能實(shí)現(xiàn)多級(jí)安全中的訪問(wèn)控制 最佳答案是:d82. 在檢查廣域網(wǎng)（WAN）的使用情況時(shí)，發(fā)現(xiàn)連接主服務(wù)器和備用數(shù)據(jù)庫(kù)服務(wù)器之間線路通訊異常，流量峰值達(dá)到了這條線路容量的96%。IS審計(jì)師應(yīng)該決定后續(xù)的行動(dòng)是： a、 實(shí)施分析，以確定該事件是否為暫時(shí)的服務(wù)實(shí)效所引起 b、 由于廣域網(wǎng)（WAN）的通訊流量尚未飽和，96%的流量還在正常范圍內(nèi)，不必理會(huì) c、

54、 這條線路應(yīng)該立即更換以提升其通訊容量，使通訊峰值不超過(guò)總?cè)萘康?5% d、 通知相關(guān)員工降低其通訊流量，或把網(wǎng)絡(luò)流量大的任務(wù)安排到下班后或清晨執(zhí)行，使WAN的流量保持相對(duì)穩(wěn)定 最佳答案是:a83. 某單位開(kāi)發(fā)了一個(gè)面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用網(wǎng)站，該單位委托軟件測(cè)評(píng)機(jī)構(gòu)對(duì)軟件進(jìn)行了源代碼分析.模糊測(cè)試等軟件安全性測(cè)試，在應(yīng)用上線前，項(xiàng)目經(jīng)理提出了還需要對(duì)應(yīng)用網(wǎng)站進(jìn)行一次滲透性測(cè)試，作為安全主管，你需要提出滲透性測(cè)試相比源代碼測(cè)試.模糊測(cè)試的優(yōu)勢(shì)給領(lǐng)導(dǎo)做決策，以下哪條是滲透性測(cè)試的優(yōu)勢(shì)? a、滲透測(cè)試以攻擊者的思維模擬真實(shí)攻擊，能發(fā)現(xiàn)如配置錯(cuò)誤等運(yùn)行維護(hù)期產(chǎn)生的漏洞 b、滲透測(cè)試是用軟件代替人工的

55、一種測(cè)試方法，因此測(cè)試效率更高 c、滲透測(cè)試使用人工進(jìn)行測(cè)試，不依賴軟件，因此測(cè)試更準(zhǔn)確 d、滲透測(cè)試中必須要查看軟件源代碼，因此測(cè)試中發(fā)現(xiàn)的漏洞更多 最佳答案是:a84. 為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場(chǎng)景中用到下列哪些鑒別方法? a、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法 b、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法 c、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法 d、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法 最佳答案是:a85. 下列哪一種方法屬于基于實(shí)體“所有”鑒別方法： a、用戶通過(guò)自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別 b、用戶使用個(gè)人指紋，通過(guò)指紋識(shí)別系統(tǒng)的身份鑒別 c、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對(duì)系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通