考試信息安全CISP-模擬C-第3部分-STEVEN測試題

1、考試信息安全CISP-模擬C-第3部分-STEVEN復(fù)制51. 下系統(tǒng)工程說法錯誤的是： 單選題 *A. 系統(tǒng)工程是基本理論的技術(shù)實現(xiàn)(正確答案)B. 系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C. 系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法D. 系統(tǒng)工程是一種方法論答案解析：解釋：系統(tǒng)工程是方法論，不是技術(shù)實現(xiàn)。52. 組織建立業(yè)務(wù)連續(xù)性計劃（BCP)的作用包括： 單選題 *A. 在遭遇災(zāi)難事件時，能夠最大限度地保護(hù)組織數(shù)據(jù)的實時性，完整性和一致性；B. 提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C. 保證發(fā)生各種不可預(yù)料的故障、

2、破壞性事故或災(zāi)難情況時，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運行，降低損失；D. 以上都是。(正確答案)答案解析：解釋：正確答案為D。53. 業(yè)務(wù)系統(tǒng)運行中異常錯誤處理合理的方法是： 單選題 *A. 讓系統(tǒng)自己處理異常B. 調(diào)試方便，應(yīng)該讓更多的錯誤更詳細(xì)的顯示出來C. 捕獲錯誤，并拋出前臺顯示D. 捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息(正確答案)答案解析：解釋：D為正確的處理方法。54. 以下哪項不是應(yīng)急響應(yīng)準(zhǔn)備階段應(yīng)該做的？ 單選題 *A. 確定重要資產(chǎn)和風(fēng)險，實施針對風(fēng)險的防護(hù)措施B. 編制和管理應(yīng)急響應(yīng)計劃C. 建立和訓(xùn)練應(yīng)急響應(yīng)組織和準(zhǔn)備相關(guān)的資源D. 評估事件的影響范圍，

3、增強(qiáng)審計功能、備份完整系統(tǒng)(正確答案)答案解析：解釋：D描述的是安全事件發(fā)生以后，不是應(yīng)急響應(yīng)的準(zhǔn)備。55. 關(guān)于秘鑰管理，下列說法錯誤的是： 單選題 *A. 科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性B. 保密通信過程中，通信方使用之前用過的會話秘鑰建立會話，不影響通信安全(正確答案)C. 秘鑰管理需要考慮秘鑰產(chǎn)生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D. 在網(wǎng)絡(luò)通信中。通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會話秘鑰答案解析：解釋：通信方使用之前用過的會話秘鑰建立會話，會影響通信安全。56. 以下屬于哪一種認(rèn)證實現(xiàn)方式：用戶登錄時，認(rèn)

4、證服務(wù)器（AuthenticationServer， AS)產(chǎn)生一個隨機(jī)數(shù)發(fā)送給用戶，用 戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計算后作為一次性口令，并發(fā)送給AS， AS用同樣的方法計算后， 驗證比較兩個口令即可驗證用戶身份。 單選題 *A. 口令序列B.時間同步C.挑戰(zhàn)/應(yīng)答(正確答案)D.靜態(tài)口令答案解析：解釋：題干描述的是C的解釋。57. 在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個應(yīng)用，除了一個應(yīng)用外其他應(yīng)用 都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題， 以下哪個應(yīng)用已經(jīng)解決了

5、明文傳輸數(shù)據(jù)問題： 單選題 *A. SSH(正確答案)B. HTTPC. FTPD. SMTP答案解析：解釋：SSH具備數(shù)據(jù)加密保護(hù)的功能。58. 以下哪個屬性不會出現(xiàn)在防火墻的訪問控制策略配置中？ 單選題 *A. 本局域網(wǎng)內(nèi)地址B.百度服務(wù)器地址C.HTTP協(xié)議D病毒類型(正確答案)答案解析：解釋：病毒類型不會出現(xiàn)在防火墻的訪問控制策略中。59. 某lirmx系統(tǒng)由于root 口令過于簡單，被攻擊者猜解后獲得了 root 口令，發(fā)現(xiàn)被攻擊后，管理員更改了 root 口令，并 請安全專家對系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-sxx 1 test tdst 10704 apr 1

6、5 2002/home/test/sh請問以下描述哪個是正確的： 單選題 *A. 該文件是一個正常文件，test用戶使用的shell，test不能讀該文件，只能執(zhí)行B. 該文件是一個正常文件，是test用戶使用的shell，但test用戶無權(quán)執(zhí)行該文件C. 該文件是一個后門程序，該文件被執(zhí)行時，運行身份是root ， test用戶間接獲得了 root權(quán)限(正確答案)D. 該文件是一個后門程序，由于所有者是test，因此運行這個文件時文件執(zhí)行權(quán)限為test答案解析：解釋：根據(jù)題干則答案為C。60. 某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計時提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行

7、訪問，就 可以無需驗證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號被盜用，關(guān)于以上問題的說法正確的是： 單選題 *A. 網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致攻擊面增大，產(chǎn)生此安全問題B. 網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題C. 網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D. 網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素，設(shè)計了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此問題(正確答案)答案解析：解釋：設(shè)計時提供了用戶快捷登錄功能，導(dǎo)致大量用戶賬號被盜用。則答案為D。61. 某購物網(wǎng)站開發(fā)

8、項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段，為了保證用戶賬戶的安全，項目開發(fā)人員決定用戶登陸時除了用戶 名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請 問以上安全設(shè)計遵循的是哪項安全設(shè)計原則： 單選題 *A. 最小特權(quán)原則B. 職責(zé)分離原則C. 縱深防御原則(正確答案)D. 最少共享機(jī)制原則答案解析：解釋：題目描述的是軟件開發(fā)的深度防御思想應(yīng)用。62. 以下關(guān)于威脅建模流程步驟說法不正確的是 單選題 *A. 威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B. 評估威脅是對威脅進(jìn)行分析，評估被利用和攻擊發(fā)生的概率，了解被

9、攻擊后資產(chǎn)的受損后果，并計算風(fēng)險C. 消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施，可以通過重新設(shè)計直接消除威脅，或設(shè) 計采用技術(shù)手段來消減威脅。D. 識別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。(正確答案)答案解析：解釋：威脅就是漏洞是錯誤的。63. 為了保障系統(tǒng)安全，某單位需要對其跨地區(qū)大型網(wǎng)絡(luò)實時應(yīng)用系統(tǒng)進(jìn)行滲透測試，以下關(guān)于滲透測試過程的說法不正確的 是 單選題 *A. 由于在實際滲透測試過程中存在不可預(yù)知的風(fēng)險，所以測試前要提醒用戶進(jìn)行系統(tǒng)和數(shù)據(jù)備份，以便出現(xiàn)問題時可以及 時恢復(fù)系統(tǒng)和數(shù)據(jù)B. 滲透測試從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的

10、安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況C. 滲透測試應(yīng)當(dāng)經(jīng)過方案制定、信息收集、漏洞利用、完成滲透測試報告等步驟D. 為了深入發(fā)掘該系統(tǒng)存在的安全威脅，應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進(jìn)行滲透測試(正確答案)答案解析：解釋：工作中不應(yīng)該在系統(tǒng)正常業(yè)務(wù)運行高峰期進(jìn)行滲透測試。64. 有關(guān)能力成熟度模型（CMM)錯誤的理解是 單選題 *A. CMM的基本思想是，因為問題是由技術(shù)落后引起的，所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率(正確答案)B. CMM的思想來源于項目管理和質(zhì)量管理C. CMM是一種衡量工程實施能力的方法，是一種面向工程過程的方法D. CMM是建立在統(tǒng)

11、計過程控制理論基礎(chǔ)上的，它基于這樣一個假設(shè)，即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性 可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”答案解析：解釋：CMM的產(chǎn)生是因為過程控制和管理落后引起的。65. 提高阿帕奇系統(tǒng)(Apache HTTP Server)系統(tǒng)安全性時，下面哪項措施不屬于安全配置()？ 單選題 *A. 不在Windows下安裝Apache，只在Linux和Unix下安裝(正確答案)B. 安裝Apache時，只安裝需要的組件模塊C. 不使用操作系統(tǒng)管理員用戶身份運行Apache，而是采用權(quán)限受限的專用用戶賬號來運行D. 積極了解Apache的安全通告，并及時下載和更新答案解析：解釋：A不屬于

12、安全配置，而屬于部署環(huán)境選擇。66. 某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時總是會丟失一些數(shù)據(jù)，如一次性傳輸 大于2000個字節(jié)數(shù)據(jù)時，總是會有3到5個字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是（） 單選題 *A該網(wǎng)站軟件存在保密性方面安全問題B該網(wǎng)站軟件存在完整性方面安全問題(正確答案)C該網(wǎng)站軟件存在可用性方面安全問題D該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題答案解析：解釋：題干描述的是完整性。67. 信息安全保障是網(wǎng)絡(luò)時代各國維護(hù)國家安全和利益的首要任務(wù)，以下哪個國家最早將網(wǎng)絡(luò)安全上長升為國家安全戰(zhàn)略，并 制定相關(guān)戰(zhàn)略計劃。 單選題 *A中國B俄羅斯C美

13、國(正確答案)D英國答案解析：解釋：答案為C。68. 我國黨和政府一直重視信息安全工作，我國信息安全保障工作也取得了明顯成效，關(guān)于我國信息安全實踐工作，下面說法 錯誤的是（） 單選題 *A、 加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè)，成立了 “全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會”制訂和發(fā)布了大批信息安全技術(shù)，管理等方面 的標(biāo)準(zhǔn)。B、 重視信息安全應(yīng)急處理工作，確定由國家密碼管理局牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”推動了應(yīng)急處理和信息通報技術(shù) 合作工作進(jìn)展(正確答案)C、 推進(jìn)信息安全等級保護(hù)工作，研宄制定了多個有關(guān)信息安全等級保護(hù)的規(guī)范和標(biāo)準(zhǔn)，重點保障了關(guān)系國定安全，經(jīng)濟(jì) 命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的安全性D實施了信

14、息安全風(fēng)險評估工作，探索了風(fēng)險評估工作的基本規(guī)律和方法，檢驗并修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊伍答案解析：解釋：工業(yè)和信息化部牽頭成立“國家網(wǎng)絡(luò)應(yīng)急中心”。69. 為保障信息系統(tǒng)的安全，某經(jīng)營公眾服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對性的信息安全保障方案，并嚴(yán)格編制任務(wù)交給了 小王，為此，小王決定首先編制出一份信息安全需求描述報告，關(guān)于此項工作，下面說法錯誤的是（） 單選題 *A、 信息安全需求是安全方案設(shè)計和安全措施實施的依據(jù)B、 信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者（用戶）的角度出發(fā)，使用規(guī)范化，結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需 求C、 信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險評估結(jié)果，業(yè)務(wù)需求

15、和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、 信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計方案(正確答案)答案解析：解釋：信息安全需求來自于法律法規(guī)標(biāo)準(zhǔn)符合性要求、業(yè)務(wù)發(fā)展要求、風(fēng)險評估結(jié)果。70. 對系統(tǒng)工程(Systems Engineering， SE)的理解，以下錯誤的是： 單選題 *A. 系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究B. 系統(tǒng)工程不屬于技術(shù)實現(xiàn)，而是一種方法論C. 系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法(正確答案)D. 系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法答案解析：解釋：系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法。71. 關(guān)于我

16、國信息安全保障的基本原則，下列說法中不正確的是： 單選題 *A. 要與國際接軌，積極吸收國外先進(jìn)經(jīng)驗并加強(qiáng)合作，遵循國際標(biāo)準(zhǔn)和通行做法，堅持管理與技術(shù)并重(正確答案)B. 信息化發(fā)展和信息安全不是矛盾的關(guān)系，不能犧牲一方以保證另一方C. 在信息安全保障建設(shè)的各項工作中，既要統(tǒng)籌規(guī)劃，又要突出重點D. 在國家信息安全保障工作中，要充分發(fā)揮國家、企業(yè)和個人的積極性，不能忽視任何一方的作用。答案解析：解釋：我國信息安全保障首先要遵循國家標(biāo)準(zhǔn)。72. 2005年，RFC4301 (Request for Comments 4301:Security Architecture for the Inter

17、net Protocol)發(fā)布，用以取 代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了 IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6)位流量提供安全業(yè)務(wù)。請問 此類RF&系列標(biāo)準(zhǔn)建議是由下面哪個組織發(fā)布的（）。 單選題 *A. 國際標(biāo)準(zhǔn)化組織（International Organization for Standardization， ISO)B. 國際電工委員會(International Electrotechnical Commission， I EC)C. 國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITU Telecommunication Standardization Secct

18、or， ITU-T)D. Internet 工程任務(wù)組（Internet Engineering Task Force， IETF)(正確答案)答案解析：解釋：D為正確答案。73. GB/T 18336信息技術(shù)安全性評估準(zhǔn)則是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廊（ProtectionProfile， PP) 和安全目標(biāo)（Security Target， ST)的評估準(zhǔn)則，提出了評估保證級（Evaluation Assurance Level， EAL)，其評估保 證級共分為（）個遞增的評估保證等級。 單選題 *A. 4B. 5C. 6D. 7(正確答案)答案解析：解釋：D為正確答案。74. 應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容之一。關(guān)于應(yīng)急響應(yīng)工作，下面描述錯誤的是（）。 單選題 *A. 信息安全應(yīng)急響應(yīng)，通常是指一個組織為了應(yīng)對各種安全意外事件的發(fā)生所采取的防范措施。即包括預(yù)防性措施，也 包括事件發(fā)生后的應(yīng)對措施B. 應(yīng)急響應(yīng)工作有其鮮明的特點：具有高技術(shù)復(fù)雜性與專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗的高依賴性，以及需要廣泛的協(xié) 調(diào)與合作C. 應(yīng)急響應(yīng)是組織在處置應(yīng)對突發(fā)/重大信息安全事件時的工作，其主要包括兩部分工作：安全事件發(fā)生時的正確指揮、 事件發(fā)生后全面總結(jié)(正確答案)D. 應(yīng)急響應(yīng)工作的起源和相