网络安全考试卷

网络安全考试卷4某单位网管人员发现域名服务器正受到DNS欺骗，由于业务需要必须访问应用服务器，以下哪一种方法最简单可（）.配置路由器，防止ip欺骗；配置交换机，防止dhcp欺骗；使用ip地址访问应用服务器；（正确答案）静态绑定网关ip和mac地址关于信息安全策略的说法中，下面哪种说法是正确的（）.信息安全策略的制定是以信息系统的规模为基础；信息安全策略的制定是以信息系统的网络拓扑结构为基础；信息安全策略是以信息系统风险管理为基础；（正确答案）在信息系统尚未建设完成之前，无法确定信息安全策略我国信息安全标准化技术、委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是（）.TOC\o"1-5"\h\zWG1；WG7；（正确答案）WG3；WG5以下对异地备份中心的理解最准确的是（）.与生产中心不在同一城市；与生产中心距离以上；与生产中心距离以上；与生产中心面临相同区域性风险的机率很小（正确答案）信息安全等级保护分级要求，第一级适用正确的是（）.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系

统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害;适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害；适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益；（正确答案）适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害下列哪一项准确地描述了可信计算基（TCB）?（）.TCB只作用于固件（Firmware）;TCB描述了一个系统提供的安全级别；TCB描述了一个系统内部的保护机制;（正确答案）TCB通过安全标签来表示数据的敏感性以下哪一项不是应用层防火墙的特点（）.更有效的阻止应用层攻击；工作在OSI模型的第七层；速度快且对用户透明；（正确答案）比较容易进行审计事务日志用于保存什么信息（）.程序运行过程；数据的查询操作；程序的执行过程；对数据的更新（正确答案）以下关于P2DR模型的说法正确的是（）.一个信息系统的安全保障体系应当以人为核心、防护、检测和恢复组成一个完整的、动态的循环;判断一个系统的安全保障能力，主要是安全策略的科学性与合理性，以及安全策略的落实情况；如果安全防护时间小于检测时间加响应时间，则该系统一定是不安全的；如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间（正确答案）10、对于信息安全发展历史描述正确的是（）.信息安全的概念是随着计算机技术的广泛应用而诞生的；目前信息安全己经发展到计算机安全的阶段；目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人员同样是促进系统安全性的重要因素；（正确答案）我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”，再到“信息安全”，直至现在的“信息安全保障11、我国规定商用密码产品的研发、制造、销售和使用采取专控管理，必须经过审批，所依据的是（）.商用密码管理条例；（正确答案）中华人民共和国计算机信息系统安全保护条例；计算机信息系统国际联网保密管理规定；中华人民共和国保密法12、下面对于CC的“评估保证级”（）的说法最准确的是（D）.代表着不同的访问控制强度；（正确答案）描述了对抗安全威胁的能力级别；是信息技术产品或信息技术系统对安全行为和安全功能的不同要求；由一系列保证组件构成的包，可以代表预先定义的保证尺度13、以下关于信息安全应急响应的说法错误的是（）.明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的一项内容；信息安全应急响应计划的制定是一个周而复始、持续改进的过程;应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任；信息安全应急响应保障措施包括人力保障、财力保障、物质保障三个方面（正确答案）14、对攻击面（Attacksurface）的正确定义是（）.一个软件系统可被攻击的漏洞的集合，软件存在的攻击面越多，软件的安全性就越低；对一个软件系统可以采取的攻击方法集合，一个软件的攻击面越大安全风险就越大；（正确答案）一个软件系统的功能块的集合，软件的功能模块越多，可被攻击的点也越多，安全风险也越大；一个软件系统的用户数量的集合，用户的数量越多，受到攻击的可能性就越大，安全风险也越大15、无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于（）.设计型漏洞；（正确答案）开发型漏洞；运行型漏洞；以上都不是16、信息系统安全保障要求包括哪些内容（）.信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程能力成熟度级要求；信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统工程安全保障要求；（正确答案）系统技术保障控制要求、信息系统管理保障控制要求、信息系统工程保障控制要求；系统安全保障目的、环境安全保障目的17、下面关于CISP的知识体系大纲说法错误的是（）.信息安全保障（IA）是贯穿这个CISP知识体系大纲的主线；CISP知识体系分为体系模型、技术、管理、工程和法律法规五大类；使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构；CISP培训的内容应当与大纲的要求相符合，而考试的范围是以推荐教材和培训讲师授课内容为依据的（正确答案）18、攻击者使用伪造的SYN包，包的源地址和目标地址都被设置成被攻击方的地址，这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息，创建一个空连接，每一个这样的连接都将保持到超时为止，这样过多的空连接会耗尽被攻击方的资源，导致拒绝服务。这种攻击称之为（）.Land攻击;（正确答案）Smut攻击；PingofDeath攻击；ICMPFloo（D）.19、以下哪一项不是SQL语言的功能（）.数据定义；数据查询；数据操纵；数据加密（正确答案）20、以下哪个不是计算机取证工作的作业（）.通过证据查找肇事者；通过证据推断犯罪过程；通过证据判断受害者损失程度；恢复数据降低损失（正确答案）21、下面对SSE-CMM说法错误的是（）.它通过域维和能力维共同形成对安全工程能力的评价;域维定义了实施安全工程的所有实施活动；能力维定义了工程能力的判断标准；“公共特征”是域维中对获得过程区目标的必要步骤的定义（正确答案）22、PKI在验证数字证书时，需要查看一一来确认（）.ARL;CSS;KMS;CRL（正确答案）23、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行（）.非法侵入计算机信息系统罪；破坏计算机信息系统罪；利用计算机实施犯罪；国家重要信息系统管理者玩忽职守罪（正确答案）24、下列哪项不是SSE-CMM中规定的系统安全工程过程类（）.工程；组织；项目；资产（正确答案）25、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由三部分组成，以下哪一个不是完整性规则的内容（）.完整性约束条件；完整性检查机制；完整性修复机制；（正确答案）违约处理机制26、负责信息安全技术标准化的组织是（）.ISO/IEC;ISO/IEC_JTC1;ISO/IEC_JTC1/SC27;（正确答案）ISO/IEC_JTC1/SC3727、：《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是（）.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等；设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求；实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证；运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面（正确答案）28、信息安全保障工程生命周期一般分为立项，开发采购，工程实施，运行维护等阶段，下面对每个过程对应的成果文件描述不正确的是（）.立项一《信息安排保障方案》；开发采购一《安全保障工程实施方案》；（正确答案）工程实施一《终验报告》；运维阶段一《系统认证证书》29、IPSEC的两种使用模式分别是和（）.传输模式、安全壳模式；传输模式、隧道模式；（正确答案）隧道模式、ESP模式；安全壳模式、AH模式30、关于cookie欺骗，下列说法中哪个是错误（）.cookie是在WEB端可看到的一个文本文件；（正确答案）cookie中存有用户的敏感信息；修改cookie中的内容会使用户访问的网站变为假冒站点；为了防止cookie欺骗，方法之一是清空cookie存储的内容不使用缓存信31、一个HTTP请求由哪些部分组成（）.方法、请求包头和实体包；（正确答案）方法和请求包头；协议状态代码描述、方法和请求包头；协议状态代码描述和请求包头32、在信息安全管理工作中“符合性”的含义不包括哪一项（）.对法律法规的符合；对安全策略和标准的符合；对用户预期服务效果的符合；（正确答案）通过审计措施来验证符合情况33、下列哪种设备可以隔离ARP广播帧（）.路由器；（正确答案）网桥；以太网交换机；集线器34、下列哪一项不是信息安全漏洞的载体（）.网络协议；操作系统；应用系统；业务数据（正确答案）35、时间戳的引入主要是为了防止（）.消息伪造；消息篡改；消息重放；（正确答案）未认证消息36、对能力成熟度模型解释最准确的是（）.它认为组织的能力依赖于严格定义，管理完善，可测可控的有效业务过程。；（正确答案）它通过严格考察工程成果来判断工程能力。；它与统计过程控制的理论出发点不同，所以应用于不同领域。；它是随着信息安全的发展而诞生的重要概念37、DNS欺骗属于OSI的哪个层的攻击（）.网络层；应用层；（正确答案）传输层；会话层38、信息化建设和信息安全建设的关系应当是（）.信息化建设的结束就是信息安全建设的开始；信息化建设和信息安全建设应同步规划、同步实施；（正确答案）信息化建设和信息安全建设是交替进行的，无法区分谁先谁后；以上说法都正确39、近代密码学比古典密码学本质上的进步是什么（）.保密是基于密钥而不是密码算法；（正确答案）采用了非对称密钥算法；加密的效率大幅提高；VPN技术的应用40、下列哪种方法最能够满足双因子认证的需求（）.智能卡和用户PIN;（正确答案）用户ID与密码；虹膜扫描和指纹扫描；磁卡和用户PIN41、ChineseWall模型的设计宗旨是（）.用户只能访问那些与已经拥有的信息不冲突的信息；（正确答案）用户可以访问所有的信息；用户可以访问所有已经选择的信息；用户不可以访问那些没有选择的信息42、TCSEC（橘皮书）中划分的7个安全等级中，是安全程度最高的安全等级（）.A1;（正确答案）TOC\o"1-5"\h\zA2;C1;C243、2008年某单位对信息系统进行了全面的风险评估，并投入充分的资源进行了有效的风险处置，但是2010年仍然发生了一起影响恶劣的信息安全事件，这主要是由于（）.信息安全是系统的安全；信息安全是无边界的安全；信息安全是动态的安全；（正确答案）信息安全是非传统的安全44、下面哪一个情景属于身份鉴别（Authentication）过程（）.用户依照系统提示输入用户名和口令；（正确答案）用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改；用户使用加密软件对自己编写的office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容；某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中45、TCP/UDP工作在OSI哪个层（）.应用层；传输层；（正确答案）数据链路层；表示层46、以下哪一个是对“职责分离”这一人员安全管理原则的正确理解（）.组织机构内的敏感岗位不能由一个人长期负责；对重要的工作进行分解，分配给不同人员完成；（正确答案）一个人有且仅有其执行岗位所必须的许可和权限；防止员工由一个岗位变动到另一个岗位，累积越来越多的权限47、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理；其中灾难恢复策略实现不包括以下哪一项（）.分析业务功能；（正确答案）选择和建设灾难备份中心；实现灾备系统技术方案；实现灾备系统技术支持和维护能力48、机构应该把信息系统安全看作（）.业务中心；风险中心；业务促进因素；（正确答案）业务抑制因素49、在典型的web应用站点的层次结构中，“中间件”是在哪里运行的（）.浏览器客户端；web服务器；应用服务器；（正确答案）数据库服务器50、目前我国信息技术安全产品评估依据的标准和配套的评估方法是（）.TCSEC和CEM;CC和CEM;（正确答案）CC和TCSEC;TCSEC和IPSE（C）.51、SSE-CMM，即系统安全工程一能力成熟度模型，它包含0-5共六个级别，其中计划和跟踪级着重于（）.项目层面的定义、规划和执行问题；（正确答案）规范化地制定和裁剪组织范围内的标准过程；通过度量来促进组织目标的实现；根据已定义的过程执行情况的反馈和先进创意与技术的追踪，改进执行过程，提升工作绩效，以更好地满足业务目标52、在UNIX系统中，etc/services接口主要提供什么服务（）.etc/services文件记录一些常用的接口及其所提供的服务的对应关系；（正确答案）etc/services文件记录inetd超级守护进程允许提供那些服务；etc/services文件记录哪些用户可以使用inetd守护进程管理的服务；etc/services文件记录哪些IP或网段可以使用inetd守护进程管理的服务53、黑客进行攻击的最后一个步骤是（）.侦查与信息收集；漏洞分析与目标选定；获取系统权限；打扫战场、清除证据（正确答案）54、桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的有点不包括（）.不需要对原有的网络配置进行修改；性能比较高；防火墙本身不容易受到攻击；易于在防火墙上实现NAT（正确答案）55、关于ICMP协议的数据传输，请选择正确的描述（）.使用udp通信；使用tcp通信；使用IP通信；（正确答案）使用ftp通信56、下列哪项不是安全管理方面的标准（）.ISO27001;ISO13335;GB/T22080;GB/T18336（正确答案）57、风险管理四个步骤的正确顺序是（）.背景建立、风险评估、风险处理、批准监督；（正确答案）背景建立、风险评估、审核批准、风险控制；风险评估、对象确立、审核批准、风险控制；风险评估、风险控制、对象确立、审核批准58、置换密码的特点是（）.明文根据密钥被不同的密文字母代替；明文字母不变，仅仅是位置根据密钥发送改变；（正确答案）明文和密钥的每个bit异或；明文根据密钥作了移位59、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案（）.公安部公共信息网络安全监察局及其各地相应部门；（正确答案）国家计算机网络与信息安全管理中心；互联网安全协会；信息安全产业商会60、中国的王小云教授对MD5,SHA1算法进行了成功攻击，这类攻击是指（）.能够构造出两个不同的消息，这两个消息产生了相同的消息摘要；对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要；（正确答案）

对于一个已知的消息摘要，能够恢复其原始消息；对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证61、下面哪一项不是安全编程的原则（）.尽可能使用高级语言进行编程；（正确答案）尽可能让程序只实现需要的功能；不要信任用户输入的数据；尽可能考虑到意外的情况，并设计妥善的处理方法62、哪一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问链接的能力（）.包过滤防火墙；状态检测防火墙；应用网关防火墙；（正确答案）以上都不能63、等级保护定级阶段主要包括哪两个步骤（）.系统识别与描述、等级确定；（正确答案）系统描述、等级确定；系统识别、系统描述；系统识别与描述、等级分级64、以下哪一项是用于CC的评估级别（）.EAL1，EAL2，EAL3，EAL4，EAL5，EAL6，EAL7;（正确答案）A1，B1，B2，B3，C2，C1，D；E0，E1，E2，E3，E4，E5，E6;AD0，AD1，AD2，AD3，AD5，AD665、以下哪一项不是工作在网络第二层的隧道协议（）.VTP;（正确答案）L；C.PPTP；C.PPTP；L2TP66、根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中确立安全解决方案的置信度并且把这样的置信度传递给顾客（）.保证过程；（正确答案）风险过程；工程和保证过程；安全工程过程67、下面对于强制访问控制的说法错误的是（）.它可以用来实现完整性保护，也可以用来实现机密性保护；在强制访问控制的系统中，用户只能定义客体的安全属性；（正确答案）它在军方和政府等安全要求很高的地方应用较多；它的缺点是使用中的便利性比较低68、有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的偏差来发现入侵事件，这种机制称作（）.异常检测；（正确答案）特征检测；常规检测；偏差检测69、关系数据库的标准语言是（）.关系代数；关系演算；结构化查询语言；（正确答案）以上都不对70、信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时需要重点考虑的（）.信息的价值；信息的时效性；信息的存储方式；（正确答案）法律法规的规定71、以下指标可用来决定在应用系统中采取何种控制措施，除了（）.系统中数据的重要性；采用网络监控软件的可行性；（正确答案）如果某具体行动或过程没有被有效控制，由此产生的风险等级；每个控制技术的效率，复杂性和花费72、数据库视图的概念描述正确的是（）.视图一旦建立，就可以像表一样被查询、修改、删除；视图是虚表；（正确答案）视图不会减少对系统的访问量；视图可以由用户自己随意定义73、下列哪项内容描述的是缓冲区溢出漏洞（）.通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令；攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行；当计算机向缓冲区内填充数据位数时超时了缓冲区本身的容量溢出的数据覆盖在合法数据上；（正确答案）信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷74、信息安全发展各阶段是与信息技术发展阶段息息相关的，其中，信息安全保障阶段对应下面哪个信息技术发展阶段（）.通信阶段；网络阶段；计算机阶段；网络化社会阶段（正确答案）75、下列哪个协议可以防止局域网的数据链路层的桥接环路（）.HSRP;STP;（正确答案）VRRP;OSPF76、对信息系统而言，信息系统安全目标是（）在信息系统安全特性和评估范围之间范围之间达成一致的基础（）.开发者和评估者；开发者、评估者和用户；开发者和用户；评估者和用户（正确答案）77、某公司进行了进行了风险评估并及时进行了整改，但后来还是发生了信息安全事件，对此的最解释正确的是（）.安全不是静态的，是会随时间的推移而动态变化的；（正确答案）安全是相对的，不安全是绝对的和必然的；仅有风险评估还不够，必须要采取其它安全手段来实现100%的安全；该公司在信息安全方面缺乏有效的管理78、以下那一项是基于一个大的整数很难分解成两个素数因数（）.ECC；RSA；（正确答案）DES；Diffie-Hellman79、下列对风险分析方法的描述正确的是（）.定量分析比定性分析方法使用的表格更多；定性分析的主观和经验判断因素较定量评估多；（正确答案）同一组织只用使用一种方法进行评估；符合组织要求的风险评估方法就是最优方法80、下面对于漏洞带来的风险，说法错误的是（）.不同的系统有不同的风险；漏洞带来的风险只和漏洞本身相关；（正确答案）漏洞带来的风险和漏洞的发现者处理漏洞的方式有关；漏洞带来的风险和受影响的厂商修复该漏洞所花的时间有关81、以下对于网络中欺骗攻击的描述哪个是不正确的（）.欺骗攻击是一种非常容易实现的攻击方式；（正确答案）欺骗攻击的主要实现方式是伪造源于可信任地址的数据包；欺骗攻击是一种非常复杂的攻击技术；欺骗攻击是一种间接攻击方式82、以下对windows账号的描述，正确的是（）.Windows系统是采用SID（安全标示符）来标识用户对文件或文件夹的权限;Windows系统是采用用户名来标识用户对文件或文件夹的权限；（正确答案）Windows系统默认会生成administrator和guest两个账号，两个账号都不允许改名和删除；Windows系统默认会生成administrator和guest两个账号，两个账号都可以改名和删除83、《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是（）.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等；设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求；实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证；运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面（正确答案）84、在某个攻击中，入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息，获得系统访问权限的行为被称作（）.社会工程；（正确答案）非法窃取；电子欺骗；电子窃听85、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行（）.非法侵入计算机信息系统罪；破坏计算机信息系统罪；利用计算机实施犯罪；国家重要信息系统管理者玩忽职守罪（正确答案）86、下面对ISO27001的说法最准确的是（）.该标准的题目是信息安全管理体系实施指南；该标准为度量信息安全管理体系的开发和实施过程提供的一套标准；该标准提供了一组信息安全管理相关的控制措施和最佳实践；（正确答案）该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型87、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻