1、1. 下面关于信息安全保障的说法正确的是:A. 信息安全保障的概念是与信息安全的概念同时产生的B. 信息系统安全保障要素包括信息的完整性、可用性和保密性C. 信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D. 信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性2. 根据 GB / T20274 信息安全保障评估框架 ,对信息系统安全保障能力进行评估应A. 信息安全管理和信息安全技术 2 个方面进行B. 信息安全管理、信息安全技术和信息安全工程 3 个方面进行C. 信息安全管理、信息安全技术、信息安全工程和人员 4 个方面进行D.
2、 信息安全管理、信息安全技术、信息安全工程、法律法规和人员 5 个方面进行3. 哪一项不是 GB / T20274 信息安全保障评估框架 给出的信息安全保障模通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征4. 对于信息安全发展历史描述正确的是:A. 信息安全的概念是随着计算机技术的广泛应用而诞生的B. 目前信息安全己经发展到计算机安全的阶段C. 目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人员同样是促进 系统安全性的重要因素D. 我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安
3、全”,再到“信息 安全”,直至现在的“信息安全保障”5. ISO 的 OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务A. 加密B. 数字签名C. 访问控制D. 路由控制6. 表示层7. 以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特性A. ITSEC B. TCSEC C. GB/T9387.2 D. 彩虹系列的橙皮书8. 下面对于 CC 的“保护轮廓”( PP )的说法最准确的是:A. 对系统防护强度的描述B. 对评估对象系统进行规范化的描述C. 对一类 TOE 的安全需求,进行与技术实现无关的描述D. 由一系列保证组件构成的包,可以代表
4、预先定义的保证尺度9. 以下哪一项属于动态的强制访问控制模型?A. Bell 一 Lapudufa 模型B.10.C. Strong star property 处于D. Bell 一 Lapadula 模型的访问规则主要是出于对保密性的保护而制定的11. 下面对于强制访问控制的说法错误的是?A 它可以用来实现完整性保护,也可以用来实现机密性保护B 在强制访问控制的系统中,用户只能定义客体的安全属性C 它在军方和政府等安全要求很高的地方应用较多D 它的缺点是使用中的便利性比较低12. 以下哪两个安全模型分别是多级完整性模型和多边保密模型?A. Biba 模型和 Bell 一 Lapadula
5、模型B. Bell 一 Lapaduia 模型和 Biba 模型C. Chinese Wall 模型和 Bell 一 Lapadula 模型D. Biba 模型和 Chinese Wall 模型13. 在一个使用 Chinese Wall 模型建立访问控制的信息系统中,数据 W 和数据X 在一个兴趣冲突域中,数据 Y 和数据 Z 在另一个兴趣冲突域中,那么可以确定一个新注册的用户:A. 只有访问了 W 之后,才可以访问 XB. 只有访问了 W 之后,才可以访问 Y 和 Z 中的一个C. 无论是否访问 W,都只能访问 Y 和 Z 中的一个D. 无论是否访问 W,都不能访问 Y 或 Z14.BMA
6、 访问控制模型是基于A. 健康服务网络B. ARPANETC. ISPD. INTERNET15.16.证书持有者的公钥证书颁发机构的签名证书有效期17. 下面关于密码算法的说法错误的是?A. 分组密码又称作块加密B. 流密码又称作序列密码C. DES 算法采用的是流密码D. 序列密码每次加密一位或一个字节的明文18. 下面对于 SSH 的说法错误的是?A. SSH 是 Secure Shell 的简称B. 客户端使用 ssh 连接远程登录 SSH 服务器必须经过基于公钥的身份验证C. 通常 Linux 操作系统会在/usr/local 目录下默认安装 OpenSSHD. SSH2 比 SSH
7、1 更安全19. 下面对于标识和鉴别的解释最准确的是:A. 标识用于区别不同的用户,而鉴别用于验证用户身份的真实性B. 标识用于区别不同的用户,而鉴别用于赋予用户权限C. 标识用于保证用户信息的完整性,而鉴别用于验证用户身份的真实性D. 标识用于保证用户信息的完整性,而鉴别用于赋予用户权限20. 指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:A. 你是什么B. 你有什么C. 你知道什么D. 你做了什么21. 安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的A. 辅助辨识和分析未经授权的活动或攻击B. 对与己建立的安全策略的一致性进行核查C. 及时阻断违反安全策略的访问
8、D. 帮助发现需要改进的安全控制措施22. 下面哪一项不是通用 IDS 模型的组成部分:A. 传感器B. 过滤器23.24. 以下哪一项属于物理安全方面的管理控制措施?A. 照明B. 护柱C. 培训D. 建筑设施的材料25. 以下哪种不是火灾探测器类型:A. 电离型烟传感器B. 光电传感器C. 声学震动探测系统D. 温度传感器26. 以下关于事故的征兆和预兆说法不正确的是:A. 预兆是事故可能在将来出现的标志B. 征兆是事故可能己经发生或正在发生的标志C. 预兆和征兆的来源包括网络和主机 IDS 、防病毒软件、系统和网络日志D. 所有事故的预兆和征兆都是可以发现的27.组织机构应根据事故类型建
9、立揭制策略,需要考虑以下几个因素,除了:A、实施策略需要的时间和资源 B、攻击者的动机 C、服务可用性 D、证据保留的时间28、下面安全套接字层协议(SSL)的说法错误的是?A、它是一种基于 Web 应用的安全协议 B、由于 SSL 是内嵌的浏览器中的,无需安全客户端软件,所以相对于 IPSEC 更简 C、SSL 与 IPSec 一样都工作在网络层 D、SSL 可以提供身份认证、加密和完整性校验的功能29、用来为网络中的主机自动分配 IP 地址、子网掩码、默认网关、wins 服务器地址的网?A、ARP B、IGMP C、ICMP D、DHCP301 下面哪一项不是 VPN 协议标准:A、L2T
10、P B、ipsec C、TACACS+ D、PPTP30、IPSEC 的两种使用模式分别是_和_A 传输模式、安全壳模式 B 传输模式、隧道模式 C 隧道模式 、ESP模式 D 安全壳模式、AH 模式31、组成 IPSEC 的主要安全协议不包括以下哪一项:A 、 ESP B、 DSS C 、 IKE D、 AH32、在 UNIX 系统中输入命令“LS-al test”显示如下;-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对他的含义解释错误的是:A、这是一个文件,而不是目录 B、文件的拥有者可以对这个文件读、写和执行的操作 C、文件所属组的成员有可
11、以读它,也可以执行它D、其他所有用户只可以执行它33、计算机具有的 IP 地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,那么如何在网络通信中对这些程序或服务进行单独标识?A 分配网络端口号(如 ftp 服务对应 21 端口) B 利用 MAC 地址 C 使用子网掩码 D 利用 PKI/CA34、Apache Web 服务器的配置文件一般位于 /usr/local/apache/conf 目录,其中用来控制用户访问 Apache 目录的配置文件是:A httpd.conf B srm.conf C inetd.conf D access.conf35、下面哪一项是操作系统中可信通路
12、(trust path)机制的实例?A Window 系统中 ALT+CTRL+DELB root 在 Linux 系统上具有绝对的权限C 以 root 身份作任何事情都要谨慎D 控制 root 用户的登录可以在/etc/security 目录下的 access.conf 文件中进行设置36、以下对 Windows 服务的说法错误的是( )A 为了提升系统的安全性管理员应尽量关闭不需要的服务B Windows 服务只有在用户成功登录系统后才能运行C 可以作为独立的进程运行或以 DLL 的形式依附在 Svchost.exeD windows 服务通常是以管理员的身份运行的37、以下哪一项不是 I
13、IS 服务器支持的访问控制过滤类型?A 网络地址访问控制 B web 服务器许可 C NTFS 许可 D 异常行为过滤 38、下列哪一项与数据库的安全有直接关系?A 访问控制的粒度 B 数据库的大小 C 关系表中属性的数量 D 关系表中元组的数量39、下列哪一组 Oracle 数据库的默认用户名和默认口令?A 用户名: “Scott”;口令:“tiger” B 用户名: “Sa”;口令:“nullr”C 用户名: “root”;口令:“null” D 用户名: “admin”;口令:“null”40、关于数据库安全的说法错误的是?A 数据库系统的安全性很大程度上依赖于 DBMS 的安全机制B
14、许多数据库系统在操作系统一下文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件C 为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段D 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护42、下面关于计算机恶意代码发展趋势的说法错误的是:A 木马和病毒盗窃日益猖獗 B 利用病毒犯罪的组织性和趋利性增加C 综合利用多种编程新技术、对抗性不断增加 D 复合型病毒减少,而自我保护功能增加43、关于网页中的恶意代码,下列说法错误的是:A 网页中的恶意代码只能通过 IE 浏览器发挥作用B 网页中恶意代码可以修改系统注册表C 网页中的恶意代码可以
15、修改系统文件D 网页中的恶意代码可以窃取用户的机密性文件44、下面对于“电子邮件炸弹”的解释最准确的是:A 邮件正文中包含的恶意网站链接B 邮件附件中具有强破坏性的病毒C 社会工程的一种方式,具有恐吓内容的邮件D 在短时间内发送大量邮件软件,可以造成目标邮箱爆满45、以下哪一项是常见 Web 站点脆弱性扫描工具:A Sniffer B Nmap C Appscan D LC46、下面哪一项不是安全编程的原则A 尽可能使用高级语言进行编程B 尽可能让程序只实现需要的功能 C 不要信任用户输入的数据D 尽可能考虑到意外的情况,并设计妥善的处理方法47、黑客进行攻击的最后一个步骤是:A 侦查与信息收
16、集 B 漏洞分析与目标选定 C 获取系统权限 D 打扫战场、清楚证据48、下面哪一项是缓冲溢出的危害?A 可能导致 shellcode 的执行而非法获取权限,破坏系统的保密性B 执行 shellcode 后可能进行非法控制,破坏系统的完整性C 可能导致拒绝服务攻击,破坏系统的可用性D 以上都是49、以下哪一项是 DOS 攻击的一个实例A SQL 注入 B IP Spoof C Smurf 攻击 D 字典破解50、以下对于蠕虫病毒的错误说法是()A 通常蠕虫的传播无需用户的操作B 蠕虫病毒的主要危害体现在对数据保密的破坏C 蠕虫的工作原理与病毒相似,除了没有感染文件D 是一段能不以其他程序为媒介
17、,从一个电脑系统复制到另一个电脑系统51、以下哪一项不是跨站脚本攻击?A 给网站挂马 B 盗取 COOKIE C 伪造页面信息 D 暴力破解密码52.对能力成熟度模型解释最准确的是?A它认为组织的能力依赖与严格定义,管理完善,可测可控的有效业务过程。B. 它通过严格考察工程成果来判断工程能力。C它与统计过程控制的理论出发点不同,所以应用于不同领域。D它是随着信息安全的发展而诞生的重要概念。53.一个单位在处理一台储存过高密级信息的计算机是首先应该做什么?A.将硬盘的每一个比特写成“O”B.将硬盘彻底毁坏C选择秘密信息进行删除D进行低级格式化60.变更控制是信息系统运行管理的重要的内容,在变更控
18、制的过程中:A应该尽量追求效率,而没有任何的程序和核查的阻碍。B应该将重点放在风险发生后的纠正措施上。C应该很好的定义和实施风险规避的措施。D如果是公司领导要求的,对变更过程不需要追踪和审查61.在信息系统的开发和维护过程中,以下哪一种做法是不应该被赞成的A在购买软件包后,依靠本单位的技术力量对软件包进行修改,加强代码的安全性。B当操作系统变更后,对业务应用系统进行测试和评审。C在需要是对操作文档和用户守则进行适当的修改。D在安装委外开发的软件前进行恶意代码检测。62.对于信息系统访问控制说法错误的是?A应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。B网络访问控制
19、是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决C做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任D移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施63.对程序源代码进行访问控制管理时,以下那种做法是错误的?若有可能,在实际生产系统中不保留源程序库。对源程序库的访问进行严格的审计技术支持人员应可以不受限制的访问源程序对源程序库的拷贝应受到严格的控制规程的制约64. 目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?数据库系统庞大会提高管理成本
