安全測試模擬題中級卷附有答案

WEB安全測試模擬題-中級-A卷[復制]一、單選題[填空題]_________________________________1.以下哪一種DataBackup方式在時間上最快?[單選題]*A.增量DataBackup(正確答案)B.差異DataBackupC.完全DataBackupD.磁盤鏡像2.下面哪項不是Electromagneticradiationleakage防護手段?[單選題]*A.紅黑電源B.屏蔽機房C.視頻干擾器D.防靜電服(正確答案)3.下面哪類惡意程序可以不接觸任何介質(zhì)，自主傳播?[單選題]*A.木馬B.病毒C.蠕蟲(正確答案)D.釣魚程序4.下面那類設備常用于風險分析?[單選題]*A.FirewallB.IDSC.漏洞掃描器(正確答案)D.UTM5.Windows操作系統(tǒng)的注冊表運行命令是:[單選題]*A.Regsvr32B.Regegit(正確答案)C.Regedit.mscD.Regedit.mmc6.安裝活動目錄時會同時創(chuàng)建DNS的主要區(qū)域，區(qū)域記錄不全會導致目錄服務異常，可通過重啟Windows的（）來重寫DNS區(qū)域?[單選題]*A.Server服務B.NetLogon服務(正確答案)C.Messenger服務D.NetworkDDE服務7.關閉Windows網(wǎng)絡共享功能需要關閉（）服務?[單選題]*A.Server(正確答案)B.WorkstationC.ServiceLayerD.TerminalServices8.AD中的組策略不可以應用到[單選題]*A.域B.OUC.站點D.組(正確答案)9.EFSencryption文件系統(tǒng)使用的encryption技術是（）。[單選題]*A.DESB.3DESC.IDEAD.RSA(正確答案)10.下列哪種IDS將最有可能對正常網(wǎng)絡活動產(chǎn)生錯誤警報?[單選題]*A.基于統(tǒng)計(正確答案)B.基于數(shù)字SignatureC.神經(jīng)網(wǎng)絡D.基于主機11.一個長期的雇員具有很強的技術背景和管理經(jīng)驗，申請審計部門的一個職位。是否聘用他，應基于個人的經(jīng)驗和____?[單選題]*A.服務年限的長短，因為這將有助于確保技術能力。B.年齡，（年紀太大的話）在審計技術培訓時可能不切實際。C.信息系統(tǒng)知識，因為這將加強審計的可信度D.能力，作為信息系統(tǒng)審計師，將獨立于現(xiàn)有的信息系統(tǒng)(正確答案)12.一個組織使用ERP，下列哪個是有效的訪問控制?[單選題]*A.用戶級權限B.基于角色(正確答案)C.細粒度D.自主訪問控制13.下列哪一項是預防CC攻擊的有效手段?[單選題]*A、刪除可能存在CC攻擊的頁面B、提高服務器性能C、限制單個IP地址每秒訪問服務器的次數(shù)(正確答案)D、使用IDS設備14.18.下列針對Windows主機安全說法最準確的是[單選題]*A、系統(tǒng)重新安裝后最安全B、系統(tǒng)安裝了防病毒和Firewall就安全了C、把管理員密碼長度修改的比較復雜安全D、經(jīng)過專業(yè)的安全服務人員根據(jù)業(yè)務系統(tǒng)的需要進行評估，然后根據(jù)評估結果進行安全加固后比較安全(正確答案)15.下列哪一項安全機制是一個抽象機，不但確保主體擁有必要的訪問權限，而且確保對客體不會有未經(jīng)授權的訪問以及破壞性的修改行為?[單選題]*A．安全核心B．可信計算基C．引用監(jiān)視器(正確答案)D．安全域16.下列對安全審計涉及的基本要素說法正確的是[單選題]*A、安全審計可分為實時入侵安全審計和事后審計檢測兩種B、安全審的基本要素是控制目標、安全漏洞、控制措施和控制測試(正確答案)C、安全審的基本要素是控制目標、安全漏洞、控制措施和檢測D、安全審計可分為控制措施和檢測控制17.下列對安全審計描述最完整的是[單選題]*A、安全審計系統(tǒng)可以對所有明文數(shù)據(jù)進行審計(正確答案)B、安全審計只能審計網(wǎng)站系統(tǒng)C、安全審計可以審計數(shù)據(jù)庫D、安全審計可以審計網(wǎng)站論壇18.某公司在執(zhí)行災難恢復測試時，Informationsecurityprofessionals注意到災難恢復站點的服務器的運行速度緩慢，為了找到根本原因，他應該首先檢查:[單選題]*A．災難恢復站點的錯誤事件報告B．災難恢復測試計劃C．災難恢復計劃(DRP)D．主站點和災難恢復站點的配置文件(正確答案)19.為了達到組織災難恢復的要求，備份時間間隔不能超過:[單選題]*A．服務水平目標(SLO)B．恢復時間目標(RTO)C．恢復點目標(RPO)(正確答案)D．停用的最大可接受程度(MAO)20.某公司正在進行IT系統(tǒng)災難恢復測試，下列問題中的哪個最應該引起關注:[單選題]*A．由于有限的測試時間窗，僅僅測試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時間里陸續(xù)單獨測試B．在測試過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導致這些系統(tǒng)的測試失敗C．在開啟備份站點之前關閉和保護原生產(chǎn)站點的過程比計劃需要多得多的時間D．每年都是由相同的員工執(zhí)行此測試，由于所有的參與者都很熟悉每一個恢復步驟，因而沒有使用災難恢復計劃（DRP）文檔(正確答案)二、多選題[填空題]_________________________________1.Computerinformationsystemsecurity的目標包括（）*A.信息機密性(正確答案)B.信息完整性(正確答案)C.服務可用性(正確答案)D.可審查性(正確答案)2.Computerinformationsystemsecurity保護的目標是要保護計算機信息系統(tǒng)的（）*A.實體安全(正確答案)B.運行安全(正確答案)C.Informationsecurity(正確答案)D.人員安全(正確答案)3.Computerinformationsystemsecurity包括（）*A.系統(tǒng)風險管理(正確答案)B.審計跟蹤(正確答案)C.備份與恢復(正確答案)D.電磁信息泄漏4.Computerinformationsystemsecurityprotection的措施包括（）*A.安全法規(guī)(正確答案)B.安全管理(正確答案)C.組織建設D.制度建設5.Computerinformationsystemsecuritymanagement包括（）*A.組織建設(正確答案)B.事前檢查C.制度建設(正確答案)D.人員意識(正確答案)6.Publicinformationnetworksecuritysupervision工作的性質(zhì)（）*A.是公安工作的一個重要組成部分(正確答案)B.是預防各種危害的重要手段(正確答案)C.是行政管理的重要手段(正確答案)D.是打擊犯罪的重要手段(正確答案)7.Publicinformationnetworksecuritysupervision工作的一般原則（）*A.預防與打擊相結合的原則(正確答案)B.專門機關監(jiān)管與社會力量相結合的原則(正確答案)C.糾正與制裁相結合的原則(正確答案)D.教育和處罰相結合的原則(正確答案)8.Informationsecurityofficer應具備的條件:（）*A.具有一定的計算機網(wǎng)絡專業(yè)技術知識(正確答案)B.經(jīng)過計算機安全員培訓，并考試合格(正確答案)C.具有大本以上學歷D.無違法犯罪記錄(正確答案)9.OS應當提供哪些安全保障（）*A.驗證(Authentication)(正確答案)B.授權(Authorization)(正確答案)C.數(shù)據(jù)保密性(DataConfidentiality)(正確答案)D.數(shù)據(jù)一致性(DataIntegrity)(正確答案)E.數(shù)據(jù)的不可否認性(DataNonrepudiation)(正確答案)10.WindowsOS的"域"控制機制具備哪些安全特性（）*A.用戶身份驗證(正確答案)B.訪問控制(正確答案)C.審計(Log)(正確答案)D.數(shù)據(jù)通訊的加密11.從系統(tǒng)整體看，Securityvulnerabilities包括哪些方面（）*A.技術因素(正確答案)B.人的因素(正確答案)C.規(guī)劃，策略和執(zhí)行過程(正確答案)12.從系統(tǒng)整體看，下述那些問題屬于系統(tǒng)Securityvulnerabilities（）*A.產(chǎn)品缺少安全功能(正確答案)B.產(chǎn)品有Bugs(正確答案)C.缺少足夠的安全知識(正確答案)D.人為錯誤(正確答案)E.缺少針對安全的系統(tǒng)設計(正確答案)13.應對操作系統(tǒng)Securityvulnerabilities的基本方法是什么（）*A.對默認安裝進行必要的調(diào)整(正確答案)B.給所有用戶設置嚴格的口令(正確答案)C.及時安裝最新的安全補丁(正確答案)D.更換到另一種操作系統(tǒng)14.造成操作系統(tǒng)Securityvulnerabilities的原因（）*A.不安全的編程語言(正確答案)B.不安全的編程習慣(正確答案)C.考慮不周的架構設計(正確答案)15.嚴格的Passwordpolicy應當包含哪些要素（）*A.滿足一定的長度，比如4位以上B.同時包含數(shù)字，字母和特殊字符(正確答案)C.系統(tǒng)強制要求定期更改口令(正確答案)D.用戶可以設置空口令(正確答案)16.Computersecuritycases包括以下幾個方面（）*A.重要安全技術的采用(正確答案)B.安全標準的貫徹(正確答案)C.安全制度措施的建設與實施(正確答案)D.重大安全隱患、違法違規(guī)的發(fā)現(xiàn)，事故的發(fā)生(正確答案)17.Computersecuritycases包括以下幾個內(nèi)容（）*A.違反國家法律的行為(正確答案)B.違反國家法規(guī)的行為(正確答案)C.危及、危害計算機信息系統(tǒng)安全的事件(正確答案)D.計算機硬件常見機械故障18.重大Computersecurityaccident可由_____受理（）*A.案發(fā)地市級公安機關公共信息網(wǎng)絡安全監(jiān)察部門(正確答案)B.案發(fā)地當?shù)乜h級（區(qū)、市）公安機關治安部門C.案發(fā)地當?shù)乜h級（區(qū)、市）公安機關公共信息網(wǎng)絡安全監(jiān)察部門(正確答案)D.案發(fā)地當?shù)毓才沙鏊?9.Siteinvestigation主要包括以下幾個環(huán)節(jié)_____（）*A.對遭受破壞的計算機信息系統(tǒng)的軟硬件的描述及被破壞程度(正確答案)B.現(xiàn)場現(xiàn)有電子數(shù)據(jù)的復制和修復(正確答案)C.電子痕跡的發(fā)現(xiàn)和提取，證據(jù)的固定與保全(正確答案)D.現(xiàn)場采集和扣押與事故或案件有關的物品(正確答案)20.Computersecurityaccident原因的認定和計算機案件的數(shù)據(jù)鑒定,____（）*A.是一項專業(yè)性較強的技術工作(正確答案)B.必要時可進行相關的驗證或偵查實驗(正確答案)C.可聘請有關方面的專家，組成專家鑒定組進行分析鑒定(正確答案)D.可以由發(fā)生事故或計算機案件的單位出具鑒定報告三、判斷題[填空題]_________________________________1.一個用戶忘記了自己的rootpassword，正常情況下，那就只有重裝系統(tǒng)后重設password的方法了[單選題]*答案:錯誤(正確答案)2.BufferOverflow只會引起棧錯誤，不會造成太嚴重的后果。[單選題]*答案:錯誤(正確答案)3.堆溢出和棧溢出在本質(zhì)上是一樣的，都是由于執(zhí)行拷貝操作時沒有對拷貝長度做限制[單選題]*答案:正確(正確答案)4.BufferOverflow只會出現(xiàn)在Windows平臺，Linux平臺不會出現(xiàn)[單選題]*答案:錯誤(正確答案)5.Formatstringvulnerability是一種可以寫內(nèi)存的loophole[單選題]*答案:正確(正確答案)6.Singlebyteoverflow，由于僅溢出了一個字節(jié)，所以不算是安全loophole[單選題]*答案:錯誤(正確答案)7.禁止使用Activityscript可以防范IE執(zhí)行本地任意程序。[單選題]*答案:正確(正確答案)8.WindowsOS中用戶登錄域的口令是以明文方式傳輸?shù)?。[單選題]*答案:錯誤(正確答案)9.計算機信息系統(tǒng)的安全威脅同時來自內(nèi)、外兩個方面。[單選題]*答案:正確(正確答案)10.只要將strcpy函數(shù)替換為strncpy函數(shù)，就不會引起緩沖區(qū)溢出loophole了[單選題]*答案:錯誤(正確答案)11.置換PasswordEncryption方法重新對字母進行排序，但是并不偽裝明文。[單選題]*答案:錯誤(正確答案)12.MS01-033是一種遠程溢出型Attackloophole[單選題]*答案:正確(正確答案)13.TCPFIN掃描可以掃描WindowOS、UNIXOS等操作系統(tǒng)[單選題]*答案:錯誤(正確答案)14.TCPSYN是半連接掃描，優(yōu)點是不需要超級用戶進行系統(tǒng)調(diào)用，缺點是掃描中留下的日志比較多[單選題]*答案:錯誤(正確答案)15.可以通過Banner獲得服務版本信息或操作系統(tǒng)類型[單選題]*答案:正確(正確答案)16.轉置PasswordEncryption方法保留了明文符號的順序，但是將明文偽裝起來。[單選題]*答案:錯誤(正確答案)17.現(xiàn)代Password體制把Algorithm和Key分開，只需要保證密鑰的保密性就行了，Algorithm是可以公開的。[單選題]*答案:正確(正確答案)18.Securityaudit與Safetyassessment的兩大重要課題，也是計算機網(wǎng)絡安全的核心內(nèi)容，securityaudit側重于場景再現(xiàn)、取證分析，Safetyassessment側重于位于綢繆、防患未然。[單選題]*答案:正確(正確答案)19.Loophole是指任何可以造成破壞系統(tǒng)或信息的弱點。[單選題]*答案:正確(正確答案)20.解決Sharedfolder的安全隱患應該卸載Microsoft網(wǎng)絡的文件和打印機共享。[單選題]*答案:正確(正確答案)WEB安全測試模擬題-中級-B卷[填空題]_________________________________一、單選題[填空題]_________________________________21.為了優(yōu)化組織的業(yè)務持續(xù)計劃（BCP），信息安全專業(yè)人員應該建議執(zhí)行業(yè)務影響分析（）來確定:*A．能為組織產(chǎn)生最大財務價值，因而需要最先恢復的業(yè)務流程(正確答案)B.為保證與組織業(yè)務戰(zhàn)略相一致，業(yè)務流程恢復的優(yōu)先級和順序(正確答案)C.在災難中能保證組織生存而必須恢復的業(yè)務流程D.能夠在最短的時間內(nèi)恢復最多系統(tǒng)的業(yè)務流程恢復順序答案:C22.當一個關鍵文件服務器的存儲增長沒有被合理管理時，以下哪一項是最大的風險?[單選題]*A．備份時間會穩(wěn)定增長B．備份成本會快速增長C．存儲成本會快速增長D．服務器恢復工作不能滿足恢復時間目標（RTO）的要求(正確答案)23.在CMM標準中，哪一個等級表明組織在軟件開發(fā)過程中已經(jīng)建立了定量的質(zhì)量指標?[單選題]*A．可重復級B．已定義級C．已管理級(正確答案)D．優(yōu)化級24.在軟件開發(fā)過程中，為了讓程序內(nèi)部接口錯誤能夠被盡早發(fā)現(xiàn)，下列哪一種測試方法是最有效的?[單選題]*A．自底向上測試B．白盒測試C．自頂向下測試(正確答案)D．黑盒測試25.在ISO27001:2013中，制定風險處置計劃應該在PDCA的哪個階段進行?[單選題]*A．PlanB．Do(正確答案)C．CheckD．Act26.在通用準則（）中，是按照下列哪一類評測等級對產(chǎn)品進行評測的?*A．PPB．EPLC．EAL(正確答案)D．TCB答案:C27.在可信計算機系統(tǒng)評估準則（TCSEC）中，下列哪一項是滿足強制保護要求的最低級別?[單選題]*A．C2B．C1C．B2D．B1(正確答案)28.Clark-Wilson模型可以滿足所有三個完整性安全目標，哪一個是錯誤的:[單選題]*A．防止授權用戶不適當?shù)男薷腂．防止非授權用戶進行篡改C．維持內(nèi)部和外部的一致性D．保障數(shù)據(jù)和程序安全(正確答案)29.下列信息系統(tǒng)安全說法正確的是:[單選題]*A．加固所有的服務器和網(wǎng)絡設備就可以保證網(wǎng)絡的安全B．只要資金允許就可以實現(xiàn)絕對的安全C．斷開所有的服務可以保證信息系統(tǒng)的安全D．信息系統(tǒng)安全狀態(tài)會隨著業(yè)務系統(tǒng)的變化而變化，因此網(wǎng)絡安全狀態(tài)需要根據(jù)不同的業(yè)務而調(diào)整相應的網(wǎng)絡安全策略(正確答案)30.在linux系統(tǒng)中用哪個命令可以查看文件和目錄，顯示文件的屬性:[單選題]*A.catB.mkdirC.lsD.ls–l(正確答案)31.在linux系統(tǒng)中磁盤分區(qū)用哪個命令:[單選題]*A.fdisk(正確答案)B.mvC.mountD.df32.Linux系統(tǒng)的/etc目錄從功能上看相當于windows系統(tǒng)的哪個文件夾:[單選題]*A.ProgramFilesB.Windows(正確答案)C.SystemvolumeinformationD.TEMP33.在linux系統(tǒng)中擁有最高級別權限的用戶是:[單選題]*A.root(正確答案)B.administratorC.mailD.nobody34.如果想用windows的網(wǎng)上鄰居方式和linux系統(tǒng)進行文件共享，那么在linux系統(tǒng)中要開啟哪個服務:[單選題]*A.DHCPB.NFSC.SAMBA(正確答案)D.SSH35.下面關于IIS錯誤的描述正確的是?[單選題]*A.401—找不到文件B.403—禁止訪問(正確答案)C.404—權限問題D.500—系統(tǒng)錯誤36.以下哪一種入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡中流量和事件的整體模式，并建立一個數(shù)據(jù)庫?[單選題]*A.基于特征庫的B.基于神經(jīng)網(wǎng)絡的(正確答案)C.基于統(tǒng)計(信息)的D.基于主機的37.當實施IT治理時，決定實施對象的優(yōu)先級時,下列哪一項是最重要的考慮因素?[單選題]*A.過程成熟度B.性能指標C.商業(yè)風險(正確答案)D.保證報告38.可用性和IT服務的可持續(xù)性的最佳實踐應該是:[單選題]*A.使費用減到最小與災難恢復相結合B.提供足夠的能力滿足業(yè)務需求C.提供合理的擔保滿足對客戶的責任(正確答案)D.及時地生成性能報告39.下列措施中哪項不是登錄訪問控制措施?[單選題]*A.審計登錄者信息(正確答案)B.密碼失效時間C.密碼長度D.登錄失敗次數(shù)限制40.下列項目中，哪個是專門用于用戶身份識別的?[單選題]*A.PIN.(正確答案)B.電話號碼C.IP地址D.MAC地址二、多選題[填空題]_________________________________21.在Emergencyresponse方面,政府有關部門的職責是（）。*A.網(wǎng)絡安全事件發(fā)生的風險增大時,采取信息報送、網(wǎng)絡安全風險信息評估、向社會預警等措施(正確答案)B.按照規(guī)定程序及權限對網(wǎng)絡運營者法定代表人進行約談(正確答案)C.建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度D.制定網(wǎng)絡安全事件應急預案,定期組織演練22.Password破解Securitydefensemeasures包括（）。*A.設置“好”的Password(正確答案)B.系統(tǒng)及應用安全策略(正確答案)C.隨機驗證碼(正確答案)D.Password管理策略(正確答案)23.socialengineering利用的人性弱點包括（）。*A.信任權威(正確答案)B.信任共同愛好(正確答案)C.期望守信(正確答案)D.期望社會認可(正確答案)24.socialengineering直接用于攻擊的表現(xiàn)有（）。*A.利用同情、內(nèi)疚和脅迫(正確答案)B.口令破解中的socialengineering利用C.正面攻擊(直接索取)(正確答案)D.網(wǎng)絡攻擊中的socialengineering利用25.下列選項中,屬于socialengineering在安全意識培訓方面進行防御的措施是（）。*A.構建完善的技術防御體系B.知道什么是socialengineering攻擊(正確答案)C.知道socialengineering攻擊利用什么(正確答案)D.有效的安全管理體系和操作26.關于Stack,下列表述正確的是（）。*A.一段連續(xù)分配的內(nèi)存空間(正確答案)B.特點是FIFOC.Stack生長方向與內(nèi)存地址方向相反(正確答案)D.Stack生長方向與內(nèi)存地址方向相同27.OS安全配置對抗DNSSpoofing的措施包括（）。*A.關閉DNS服務遞歸功能(正確答案)B.限制域名服務器作出響應的地址(正確答案)C.限制發(fā)出請求的地址(正確答案)D.限制域名服務器作出響應的遞歸請求地址(正確答案)28.BackDoor的作用包括（）。*A.方便下次直接進入(正確答案)B.監(jiān)視用戶所有隱私(正確答案)C.監(jiān)視用戶所有行為(正確答案)D.完全控制用戶主機(正確答案)29.BackDoorTrojanhorse種類包括（）。*A.特洛伊Trojanhorse(正確答案)B.RootKit(正確答案)C.腳本BackDoor(正確答案)D.隱藏賬號(正確答案)30.Logging分析重點包括（）。*A.源IP(正確答案)B.請求方法(正確答案)C.請求鏈接(正確答案)D.狀態(tài)代碼(正確答案)31.目標系統(tǒng)的信息系統(tǒng)相關資料包括（）。*A.域名(正確答案)B.網(wǎng)絡拓撲(正確答案)C.操作系統(tǒng)(正確答案)D.應用軟件(正確答案)32.Whois可以查詢到的信息包括（）。*A.域名所有者(正確答案)B.域名及IP地址對應信息(正確答案)C.域名注冊、到期日期D(正確答案).域名所使用的DNSServers33.PortScanning的掃描方式主要包括（）。*A.全掃描(正確答案)B.半打開掃描(正確答案)C.隱秘掃描(正確答案)D.NESSUS34.Securityvulnerabilities信息及攻擊工具獲取的途徑包括（）。*A.NESSUSB.Securityvulnerabilities庫(正確答案)C.QQ群(正確答案)D.論壇等交互應用(正確答案)35.informationgathering與分析工具包括（）。*A.網(wǎng)絡設備Securityvulnerabilities掃描器(正確答案)B.集成化的Securityvulnerabilities掃描器(正確答案)C.專業(yè)web掃描軟件(正確答案)D.DBSecurityvulnerabilities掃描器(正確答案)36.informationgathering與分析的過程包括（）。*A.informationgathering(正確答案)B.目標分析(正確答案)C.實施攻擊(正確答案)D.打掃戰(zhàn)場(正確答案)37.計算機時代的Securitythreats包括（）。*A.非法訪問(正確答案)B.惡意代碼(正確答案)C.脆弱口令(正確答案)D.破解38.VonNeumann模式的計算機包括（）。*A.顯示器(正確答案)B.輸入與輸出設備(正確答案)C.FPUD.存儲器(正確答案)39.Informationsecurity的安全措施包括（）。*A.Firewall(正確答案)B.防Networkvirus(正確答案)C.NESSUSD.入侵檢測(正確答案)40.Informationsecurity包括（）。*A.技術保障(正確答案)B.管理保障(正確答案)C.人員培訓保障(正確答案)D.法律法規(guī)保障(正確答案)三、判斷題[填空題]_________________________________21.只要選擇一種最安全的操作系統(tǒng)，整個系統(tǒng)就可以保障安全。[單選題]*答案:錯誤(正確答案)22.Screensaver的Password是需要分大小寫的。[單選題]*答案:正確(正確答案)23.Password學的基本規(guī)則是，你必須讓Password分析者知道Encryption和解密所使用的方法。[單選題]*答案:正確(正確答案)24.Socialengineering，冒充合法用戶發(fā)送郵件或打電話給管理人員，以騙取用戶口令和其他信息;垃圾搜索:Attacker通過搜索被攻擊者的廢棄物，得到與系統(tǒng)有關的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的Attack對象。[單選題]*答案:正確(正確答案)25.安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息Encryption策略和Networksecuritymanagement策略。[單選題]*答案:正確(正確答案)26.Securityaudit就是日志的記錄。[單選題]*答案:錯誤(正確答案)27.Windows域(Domain)中的用戶帳號和口令信息存儲在"域控制器"中[單選題]*答案:正確(正確答案)28.在設計系統(tǒng)安全策略時要首先評估可能受到的安全威脅[單選題]*答案:正確(正確答案)29.為提高工作效率，外單位人員可以隨意接入公司內(nèi)網(wǎng)。[單選題]*答案:錯誤(正確答案)30.指令和數(shù)據(jù)均以八進制形式存儲于同一個安全存儲器中。[單選題]*答案:錯誤(正確答案)31.安全數(shù)據(jù)庫是一種將數(shù)據(jù)庫看作是一張二維表的形式存入數(shù)據(jù)庫。[單選題]*答案:錯誤(正確答案)32.數(shù)據(jù)安全管理是指對數(shù)據(jù)的分類、組織、編碼、存儲、檢索和維護。[單選題]*答案:錯誤(正確答案)33.用于網(wǎng)管的安全OS是一個與各專業(yè)網(wǎng)管垂直（平行）的OS。[單選題]*答案:錯誤(正確答案)34.Securitydomain是具有相同或接近的安全需求，相互信任的區(qū)域或網(wǎng)絡實體的結合，一個Securitydomain可以被劃分為安全子域。[單選題]*答案:正確(正確答案)35.根據(jù)信息系統(tǒng)等級保護的要求，信息系統(tǒng)的保護等級分為6級。[單選題]*答案:錯誤(正確答案)36.Informationsafety研究所涉及的領域相當廣泛。從信息的層次來看，包括信息的來源、去向，內(nèi)容的真實無誤及保證信息的完整性，信息不會被非法泄漏擴算保證新的保密性，信息的發(fā)送和接收者無法否認自己所做過的操作行為而保證信息的不可否認性。[單選題]*答案:正確(正確答案)37.安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息Encryption策略和網(wǎng)絡安全管理策略。[單選題]*答案:正確(正確答案)38.系統(tǒng)安全的責任在于IT技術人員，最終用戶不需要了解安全問題[單選題]*答案:錯誤(正確答案)39.路由協(xié)議如果沒有Authentication功能，就可以偽造路由信息，導致路由表混亂，從而使網(wǎng)絡癱瘓。[單選題]*答案:正確(正確答案)40.主動Attack包括分析通信流，監(jiān)視未被保護的通信，解密弱Encryption通道，獲取鑒別信息（如口令）。[單選題]*答案:錯誤(正確答案)WEB安全測試模擬題-中級-C卷[填空題]_________________________________一、單選題[填空題]_________________________________41.Bell-LaPadula安全模型主要關注安全的哪個方面?[單選題]*A.可審計B.完整性C.機密性(正確答案)D.可用性42.下面哪類控制模型是基于安全標簽實現(xiàn)的?[單選題]*A.自主訪問控制B.強制訪問控制(正確答案)C.基于規(guī)則的訪問控制D.基于身份的訪問控制43.下面哪個角色對數(shù)據(jù)的安全負責?[單選題]*A.數(shù)據(jù)擁有者B.數(shù)據(jù)監(jiān)管人員(正確答案)C.用戶D.安全管理員44.系統(tǒng)本身的，可以被黑客利用的安全弱點，被稱為[單選題]*A.脆弱性(正確答案)B.風險C.威脅D.弱點45.系統(tǒng)的弱點被黑客利用的可能性，被稱為[單選題]*A.風險(正確答案)B.殘留風險C.暴露D.幾率46.下列哪一項準確地描述了可信計算基（TCB）?[單選題]*A．TCB只作用于固件（Firmware）B．TCB描述了一個系統(tǒng)提供的安全級別C．TCB描述了一個系統(tǒng)內(nèi)部的保護機制(正確答案)D．TCB通過安全標簽來表示數(shù)據(jù)的敏感性47.安全模型明確了安全策略所需的數(shù)據(jù)結構和技術，下列哪一項最好地描述了安全模型中的“簡單安全規(guī)則”?[單選題]*A．Biba模型中的不允許向上寫B(tài)．Biba模型中的不允許向下讀C．Bell-LaPadula模型中的不允許向下寫D．Bell-LaPadula模型中的不允許向上讀(正確答案)48.為了防止授權用戶不會對數(shù)據(jù)進行未經(jīng)授權的修改，需要實施對數(shù)據(jù)的完整性保護，下列哪一項最好地描述了星或（*-）完整性原則?[單選題]*A．Bell-LaPadula模型中的不允許向下寫B(tài)．Bell-LaPadula模型中的不允許向上讀C．Biba模型中的不允許向上寫(正確答案)D．Biba模型中的不允許向下讀49.某公司的業(yè)務部門用戶需要訪問業(yè)務數(shù)據(jù)，這些用戶不能直接訪問業(yè)務數(shù)據(jù)，而只能通過外部程序來操作業(yè)務數(shù)據(jù)，這種情況屬于下列哪種安全模型的一部分?[單選題]*A．Bell-LaPadula模型B．Biba模型C．信息流模型D．Clark-Wilson模型(正確答案)50.作為一名信息安全專業(yè)人員，你正在為某公司設計信息資源的訪問控制策略。由于該公司的人員流動性較大，你準備根據(jù)用戶所屬的組以及在公司中的職責來確定對信息資源的訪問權限，最應該采用下列哪一種訪問控制模型?[單選題]*A．自主訪問控制（DAC）B．強制訪問控制（MAC）C．基于角色訪問控制（RBAC）(正確答案)D．最小特權（LeastPrivilege）51.下列哪一種訪問控制模型是通過訪問控制矩陣來控制主體與客體之間的交互?[單選題]*A．強制訪問控制（MAC）B．集中式訪問控制（DecentralizedAccessControl）C．分布式訪問控制（DistributedAccessControl）D．自主訪問控制（DAC）(正確答案)52.下列哪種類型的IDS能夠監(jiān)控網(wǎng)絡流量中的行為特征，并能夠創(chuàng)建新的數(shù)據(jù)庫?[單選題]*A．基于特征的IDSB．基于神經(jīng)網(wǎng)絡的IDS(正確答案)C．基于統(tǒng)計的IDSD．基于主機的IDS53.訪問控制模型應遵循下列哪一項邏輯流程?[單選題]*A．識別，授權，認證B．授權，識別，認證C．識別，認證，授權(正確答案)D．認證，識別，授權54.在對生物識別技術中的錯誤拒絕率（FRR）和錯誤接收率（FAR）的定義中，下列哪一項的描述是最準確的?[單選題]*A．FAR屬于類型I錯誤，F(xiàn)RR屬于類型II錯誤B．FAR是指授權用戶被錯誤拒絕的比率，F(xiàn)RR屬于類型I錯誤C．FRR屬于類型I錯誤，F(xiàn)AR是指冒充者被拒絕的次數(shù)D．FRR是指授權用戶被錯誤拒絕的比率，F(xiàn)AR屬于類型II錯誤(正確答案)55.某單位在評估生物識別系統(tǒng)時，對安全性提出了非常高的要求。據(jù)此判斷，下列哪一項技術指標對于該單位來說是最重要的?[單選題]*A．錯誤接收率（FAR）(正確答案)B．平均錯誤率（EER）C．錯誤拒絕率（FRR）D．錯誤識別率（FIR）56.下列哪種方法最能夠滿足雙因子認證的需求?[單選題]*A．智能卡和用戶PIN(正確答案)B．用戶ID與密碼C．虹膜掃描和指紋掃描D．磁卡和用戶PIN57.在Kerberos結構中，下列哪一項會引起單點故障?[單選題]*A．E-Mail服務器B．客戶工作站C．應用服務器D．密鑰分發(fā)中心（KDC）(正確答案)58.在下列哪一項訪問控制技術中，數(shù)據(jù)庫是基于數(shù)據(jù)的敏感性來決定誰能夠訪問數(shù)據(jù)?[單選題]*A．基于角色訪問控制B．基于內(nèi)容訪問控制(正確答案)C．基于上下文訪問控制D．自主訪問控制59.數(shù)據(jù)庫管理員在檢查數(shù)據(jù)庫時發(fā)現(xiàn)數(shù)據(jù)庫的性能不理想，他準備通過對部分數(shù)據(jù)表實施去除規(guī)范化（denormanization）操作來提高數(shù)據(jù)庫性能，這樣做將增加下列哪項風險?[單選題]*A．訪問的不一致B．死鎖C．對數(shù)據(jù)的非授權訪問D．數(shù)據(jù)完整性的損害(正確答案)60.下列哪一項不是一種預防性物理控制?[單選題]*A．安全警衛(wèi)B．警犬C．訪問登記表(正確答案)D．圍欄二、多選題[填空題]_________________________________41.對于Informationsecurity特征,下列說法正確的有（）。*A.Informationsecurity是一個系統(tǒng)的安全(正確答案)B.Informationsecurity是一個動態(tài)的安全(正確答案)C.Informationsecurity是一個無邊界的安全(正確答案)D.Informationsecurity是一個非傳統(tǒng)的安全(正確答案)42.Informationsecurity的對象包括有（）。*A.目標(正確答案)B.規(guī)則(正確答案)C.組織(正確答案)D.人員(正確答案)43.實施Informationsecurity,需要保證（）反映業(yè)務目標。*A.安全策略(正確答案)B.目標(正確答案)C.活動(正確答案)D.安全執(zhí)行44.實施Informationsecurity,需要有一種與組織文化保持一致的（）Informationsecurity的途徑。*A.實施(正確答案)B.維護(正確答案)C.監(jiān)督(正確答案)D.改進(正確答案)45.實施Informationsecurity的關鍵成功因素包括（）。*A.向所有管理者和員工有效地推廣安全意識(正確答案)B.向所有管理者、員工及其他伙伴方分發(fā)Informationsecurity策略、指南和標準(正確答案)C.為Informationsecurity管理活動提供資金支持(正確答案)D.提供適當?shù)呐嘤柡徒逃?正確答案)46.Nationalsecurity組成要素包括（）。*A.Informationsecurity(正確答案)B.政治安全(正確答案)C.經(jīng)濟安全(正確答案)D.文化安全(正確答案)47.下列屬于assets的有（）。*A.信息(正確答案)B.信息載體(正確答案)C.人員(正確答案)D.公司的形象與名譽(正確答案)48.Securitythreats的特征包括（）。*A.不確定性(正確答案)B.確定性C.客觀性(正確答案)D.主觀性49.Managerisk的方法,具體包括（）。*A.行政方法(正確答案)B.技術方法(正確答案)C.管理方法(正確答案)D.法律方法(正確答案)50.Managerisk的基本概念包括（）。*A.資產(chǎn)(正確答案)B.脆弱性(正確答案)C.Securitythreats(正確答案)D.控制措施(正確答案)51.PDCA循環(huán)的內(nèi)容包括（）。*A.計劃(正確答案)B.實施(正確答案)C.檢查(正確答案)D.行動(正確答案)52.Informationsecurity實施細則中,安全方針的具體內(nèi)容包括（）。*A.分派責任(正確答案)B.約定Informationsecurity管理的范圍(正確答案)C.對特定的原則、標準和遵守要求進行說明(正確答案)D.對報告可疑安全事件的過程進行說明(正確答案)53.Informationsecurity實施細則中,Informationsecurity內(nèi)部組織的具體工作包括（）。*A.Informationsecurity的管理承諾(正確答案)B.Informationsecurity協(xié)調(diào)(正確答案)C.Informationsecurity職責的分配(正確答案)D.信息處理設備的授權過程(正確答案)54.Informationsecurity事件分類包括（）。*A.一般事件(正確答案)B.較大事件(正確答案)C.重大事件(正確答案)D.特別重大事件(正確答案)55.Informationsecurity災難恢復建設流程包括（）。*A.目標及需求(正確答案)B.策略及方案(正確答案)C.演練與測評(正確答案)D.維護、審核、更新(正確答案)56.重要Informationsecurity管理過程中的技術管理要素包括（）。*A.災難恢復預案(正確答案)B.運行維護管理能力(正確答案)C.技術支持能力(正確答案)D.備用網(wǎng)絡系統(tǒng)(正確答案)57.Sitesafety要考慮的因素有（）*A.場地選址(正確答案)B.場地防火(正確答案)C.場地防水防潮(正確答案)D.場地溫度控制(正確答案)E.場地電源供應(正確答案)58.6