NISP一级模拟考试
1. 您的姓名:
2. 下列关于用户口令说法错误的是( )。
口令不能设置为空
口令长度越长,安全性越高
复杂口令安全性足够高,不需要定期修改
口令认证是最常见的认证机制
3. 鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:()。
口令
令牌
知识
密码
4. 下面不属于常用的浏览器的安全措施的是()。
删除和管理Cookies
不点击网站的广告
禁用ActiveX控件
删除浏览器历史纪录
5. 关于信息安全事件管理和应急响应,以下说法错误的是:()。
应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段
对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较 大事件(Ⅲ级)和一般事件(Ⅳ级)
6. 有关危害国家秘密安全的行为的法律责任,正确的是:()。
严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
承担了刑事责任,无需再承担行政责任和/或其他处分
7. 在设计信息系统安全保障方案时,以下哪个做法是错误的:()。
要充分切合信息安全需求并且实际可行
要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
要充分考虑用户管理和文化的可接受性,减少系统方案障碍
8. 通过截取以前的合法记录稍后重新加入一个连接,叫做重放攻击,为防止这种情况,可以采用的方法是()。
加密
加入时间戳
认证
使用密钥
9. 能完成不同的VLAN之间数据传递的设备是()。
中继器
二层交换器
网桥
路由器
10. 某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全哪项原则
最小权限
权限分离
不信任
纵深防御
11. 以下关于 PGP(Pretty Good Privacy)软件叙述错误的是:
PGP 可以实现对邮件的加密、签名和认证
PGP 可以实现数据压缩
PGP 可以对邮件进行分段和重组
PGP 采用 SHA 算法加密邮件
12. 入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS 有着许多不同点,请指出下列哪一项描述不符合 IPS 的特点?
串接到网络线路中
对异常的进出流量可以直接进行阻断
有可能造成单点故障
不会影响网络性能
13. 相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势?
NTFS 使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题,而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作
NTFS 的分区上,可以为每个文件或文件夹设置单独的许可权限
对于大磁盘,NTFS 文件系统比 FAT 有更高的磁盘利用率
相比 FAT 文件系统,NTFS 文件系统能有效的兼容 linux 下 EXT2 文件格式
14. 某公司系统管理员最近正在部署一台 Web 服务器,使用的操作系统是 windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
网络中单独部署 syslog 服务器,将 Web 服务器的日志自动发送并存储到该 syslog日志服务器中
严格设置 Web 日志权限,只有系统权限才能进行读和写等操作
对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
使用独立的分区用于存储日志,并且保留足够大的日志空间
15. 关于 linux 下的用户和组,以下描述不正确的是 。
在 linux 中,每一个文件和程序都归属于一个特定的“用户”
系统中的每一个用户都必须至少属于一个用户组
用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组
root 是系统的超级用户,无论是否文件和程序的所有者都具有访问权限
16. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows 操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
为了方便进行数据备份,安装 Windows 操作系统时只使用一个分区C,所有数据和操作系统都存放在 C 盘
操作系统上部署防病毒软件,以对抗病毒的威胁
将默认的管理员账号 Administrator 改名,降低口令暴力破解攻击的发生可能
17. 在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?
粒度越小
约束越细致
范围越大
约束范围大
18. 以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?
ARP 协议是一个无状态的协议
为提高效率,ARP 信息在系统中会缓存
ARP 缓存是动态的,可被改写
ARP 协议是用于寻址的一个重要协议
19. 张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?
口令攻击
暴力破解
拒绝服务攻击
社会工程学攻击
20. 关于软件安全开发生命周期(SDL),下面说法错误的是:
在软件开发的各个周期都要考虑安全因素
软件安全开发生命周期要综合采用技术、管理和工程等手段
测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
21. 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:
治理,主要是管理软件开发的过程和活动
构造,主要是在开发项目中确定目标并开发软件的过程与活动
验证,主要是测试和验证软件的过程与活动
购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
22. 以下网络地址中属于B类的可用IP地址的是()。
192.12.31.2
191.12.255.255
55.32.255.0
128.34.255.9
23. 用IE浏览上网时,要进入某一网页,可在IE的URL栏中输入该网页的()。
只能是IP地址
只能是域名
实际的文件名称
IP地址或域名
24. TCP/IP协议是Internet中计算机之间通信所必须共同遵循的一种()。
信息资源
通信规定
软件
硬件
25. 下列域名中,表示教育机构的是()。
ftp.xxxt
ftp.xxx.cn
www.xxx.cn
www.xxx.edu.cn
26. IP地址是由4段十进制数字组成的,它们代表了()位二进制数字。
8
16
32
64
27. Internet实现了分布在世界各地的各类网络的互联,其中最基础和核心的协议是()。
TCP/IP
FTP
HTML
HTTP
28. 有关共享式与交换式以太网拓扑结构的论述,正确的是()。
共享式的逻辑拓扑为星型,物理拓扑为星型。
交换式的逻辑拓扑为总线型,物理拓扑为星型。
共享式的逻辑拓扑为星型,物理拓扑为总线型。
交换式的逻辑拓扑为星型,物理拓扑为星型。
29. IPv4地址共分为( )个主类。
2
3
4
5
30. 192.168.1.0/24 使用掩码255.255.255.240 划分子网,其可用子网数为(),每个子网内可用主机地址数为()。
14 14
16 14
254 6
14 62
31. B类地址子网掩码为 255.255.255.248 ,则每个子网内可用主机地址数为()。
10
8
6
4
32. IP 地址219.25.23.56 的主类子网掩码有几位()。
8
16
24
32
33. 一台IP地址为10.110.9.113/21主机在启动时发出的广播IP 是()。
10.110.9.255
10.110.15.255
10.110.255.255
10.255.255.255
34. 在网络互连中,在网络层实现互连的设备是()。
中继器
路由器
网桥
网关
35. 身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是( )。
身份鉴别是授权控制的基础和
身份鉴别一般不提供双向的认证
目前一般采用基于对称秘钥加密或公开密钥加密的方法
数字签名机制是实现身份鉴别的重要机制
36. 与计算机硬件关系最密切的软件是( )。
编译程序
数据库管理程序
游戏程序
OS
37. 按照应用领域对操作系统进行划分,不包含以下哪一种( )。
桌面操作系统
批处理操作系统
服务器操作系统
嵌入式操作系统
38. 用户在设置口令时,以下原则哪个是错误的( )。
严禁使用与账号相同或相似的口令
不要使用与个人有关的信息作为口令内容
不要设置短于6个字符或仅包含字母或数字的口令
可以使用空口令
39. 下列关于CA的说法错误的是( )。
CA是负责发布证书的一组机构
CA负责为用户分配公共密钥和私人密钥
CA可分为企业CA和独立CA
根CA可以没有证书
40. 下列关于操作系统的说法,不正确的是:( )。
操作系统为用户提供两种接口:命令接口和程序接口
常见的个人操作系统有Windows系列和Linux系列
Linux系统是一款闭源操作系统
操作系统在计算机系统中位于硬件和应用软件之间,所以,操作系统既面向系统资源又面向用户
41. 以下哪一项不属于恶意代码( )。
病毒
蠕虫
宏
特洛伊木马
42. 下列关于计算机病毒说法错误的是( )。
有些病毒仅能攻击某一种操作系统,如winD. Ows
病毒一般附着在其他应用程序之后
每种病毒都会给用户造成严重后果
有些病毒能损坏计算机硬件
43. 以下哪一项是伪装成有用程序的恶意软件?( )
计算机病毒
特洛伊木马
逻辑炸弹
蠕虫程序
44. 下列安全防护配置措施不正确的是( )。
关闭系统审核策略
开启操作系统口令策略
关闭系统不必要的端口
开启防火墙和杀毒软件
45. Windows 系统下的用于存储用户名的文件是( )。
SECRET
PASSWD
USERNAMES
SAM
46. 下列关于防火墙的说法正确的是()。
入栈规则即你的电脑连接其他主机的规则
出站规则即其他主机连入你的电脑的规则
默认情况下防火墙允许所有传出连接
默认情况下防火墙允许所有传入连接
47. 某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题
应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少的多。
和传统的软件开发阶段相比,微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段
软件的安全测试也很重要,考虑到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
48. 下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的()
设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库
使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文
49. 某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?
由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险
日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机不记录日志
只允许特定IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
50. 针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需求考虑的攻击方式
攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
攻击者买通IDC人员,将某软件运行服务器的网线拔掉导致无法访问
51. 某网站为了开发的便利,使用 SA 链接数据库,由于网站脚本中被发现存在 SQL 注入漏洞,导致攻击者利用内置存储过程XP.cmctstell 删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:
权限分离原则
最小特权原则
保护最薄弱环节的原则
纵深防御的原则
52. 小明是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的背景建立的几本概念与认识,小明的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析(4.)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告、请问小明的论点中错误的是哪项:
第一个观点
第二个观点
第三个观点
第四个观点
53. 关于风险要素识别阶段工作内容叙述错误的是:
资产识别是指对需求保护的资产和系统等进行识别和分类
威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
54. 规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()
《风险评估方案》
《需要保护的资产清单》
《风险计算报告》
《风险程度等级列表》
55. 信息安全管理体系(Information Security Management System ,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是
内部审核和管理评审都很重要,都是促进 ISMS 持续改进的重要动力,也都应当按照一定的周期实施
内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行
内部审核的实施主体组织内部的 ISMS 内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构
组织的信息安全方针、信息安全目标和有关 ISMS 文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件时被审对象
56. 在风险管理中,残余风险是指实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是()
风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果。
57. 下列措施不能防止账户口令暴力破解的是()。
修改默认的管理员账户名
限制口令输入次数
更换密码时新密码不能与之前密码相同或相似
设置多位由数字和字母组成的超长密码
58. 下列关于端口说法错误的是()。
IP地址的端口都是以端口号来标记的,端口号范围是0~65535
端口按协议类型可以分为TCP端口、UDP端口
使用net show命令可以查看那些计算机正在与本机连接
在网络环境中可以使用防火墙或者本地策略的方式关闭一些端口
59. 关于C/S 、B/S 架构说法错误的是( )。
C/S 架构是指客户端/服务器架构
B/S 架构是指浏览器/服务器架构
C/S架构是建立在广域网之上, 对安全的控制能力相对弱, 面向是不可知的用户群
B/S架构中终端用户不需要安装专门的软件,只需要安装浏览器即可
60. 在计算机系统中,操作系统是( )。
一般应用软件
核心系统软件
用户应用软件
系统支撑软件
61. 信息安全的发展经过了四个历史发展阶段,从信息安全的发展过程中可以看出,随着信息技术本身的发展和信息技术应用的发展,信息安全的内涵和外延都在不断地加深和扩大,包含的内容已从初期的数据加密演化到后来的数据恢复、信息纵深防御等。历史发展阶段顺序正确的是( )。
通信安全阶段、信息安全阶段、计算机安全阶段、信息安全保障阶段
计算机安全阶段、信息安全阶段、通信安全阶段、信息安全保障阶段
通信安全阶段、计算机安全阶段、信息安全阶段、信息安全保障阶段
计算机安全阶段、通信安全阶段、信息安全阶段、信息安全保障阶段
62. 社会工程学攻击成功的主要原因是人们的信息安全意识淡薄,而产生认知偏差。下列选项都属于社会工程学攻击方式的是( )。
假托、等价交换、敲诈者病毒
信息收集、网络钓鱼攻击、身份盗用
身份盗用威胁、信息收集、AV终结者
信息收集、敲诈者病毒、暴力破解攻击
63. 完整的数字签名过程(包括从发送方发送消息到接收方安全的接收到消息)包括()和验证过程。
加密
解密
签名
保密传输
64. 数字签名是在签名者和签名接收者之间进行的,这种数字签名方式主要依赖公钥密码体制来实现,以下对数字签名描述正确的是( )。
签名值的长度与被签名消息的长度有关
数字签名是被签名消息的一部分
数字签名算法中,通常对消息的Hash值签名,而不对消息本身签名
同一人利用同一签名算法对同一消息进行多次签名所得的签名值应值相同的
65. 网络地址转换是在IP地址日益缺乏的情况下产生的一种网络技术,主要目的是重用IP地址,以下关于网络地址转换技术的说法,错误的是( )。
只能进行一对一的网络地址翻译
解决IP地址空间不足问题
向外界隐藏内部网结构
有多种地址翻译模式
66. 信息安全的三个基本安全属性不包括( )。
机密性
完整性
可用性
真实性
67. 密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。下面描述中错误的是( )。
在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步骤可以不明确处理方式。
密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行。
根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可能是敌人和互相完全不信任的人。
密码协议(cryptographic protocol) ,有时也称安全协议(security protocol), 是使用密码学完成某项特定的任务并满足安全需求的协议,其末的是提供安全服务。
68. PKI的主要理论基础是()。
对称密码算法
公钥密码算法
量子密码
摘要算法
69. 数字签名为保证其不可更改性,双方约定使用( )。
HASH 算法
RSA 算法
CAP 算法
ACR 算法
70. 下列不属于PKI的是
认证权威机构
注册权威机构
数字证书库
证书撤销列表库
主端实体
终端实体
71. 如下对称加密算法描述正确的是:
对称加密算法加密速度相对较慢
对称加密算法适合加密大块数据
对称加密算法可以实现源认证
对称加密算法可以实现信息完整性确认
72. 信息系统安全保障模型中,安全特征不包括:
可用性
一致性
完整性
保密性
73. 在如下哪个不属于信息安全模型:
IATF
PDR C
P2DR
P2DR2
74. 与 PDR 模型相比, P2DR 模型多了哪一个环节?( )
防护
检测
反应
策略
75. 如下关于端口号描述正确的是:
端口号存在于主机到主机层封装头部中
端口号存在于网际层封装头部中
端口号存在于网络接口层封装头部中
端口号是固定不可更改的
76. 如下关于网络嗅探描述不正确的是:
网络嗅探是通过截获、分析网络中传输的数据而获取有用信息的行为。
嗅探工具是一种监视网络数据运行的软件设备。
嗅探工具工作在网络环境上层,这样才可以结果更多的信息和数据
嗅探工具不可以破解加密信息
77. 如下关于虚拟专用网络(VPN)描述错误的是:
IPSec分别有传输模式(Transport Mode)和隧道模式(Tunnel Mode)两种
IPSec只可以实现两个网络孤岛互通,并不可以实现多网络孤岛互通
SSL是一种四层安全机制
SSL是以TCP连接为基础的可靠地端到端安全服务
78. 操作系统安全防护不包括哪些:
安全防护策略
驱动程序升级
系统补丁升级
终端防护软件
个人防火墙
79. IT技术发展可以大致分为几个阶段?
3
4
5
6
80. 如下表述错误的是:
内因主要来源于信息系统自身存在的脆弱性。
外因来源于人为因素和环境因素。
利用信息系统脆弱性漏洞进行攻击导致的问题,属于内因。
由于打雷等自然现象导致停电的现象,属于外因。
81. 下列属于信息保障阶段的是:
主要是密码算法即应用和信息系统安全模型及评价两个方面取得较大进展
香农首次将密码学研究纳入了科学的轨道。
主要是保护信息在存储处理或传输过程中免受非授权访问,防止授权用户遭受拒绝服务供给,同时检测、记录和对抗此类威胁。
信息安全转化为从整体角度考虑其体系建设的信息保障阶段,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统乃至业务使命的全面保障。
82. 信息系统安全保障不包括哪个核心概念
风险
保障
使命
措施
83. 小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是( )。
访问控制列表(ACL)
能力表(CL)
BLP 模型
Biba 模型
84. 社会工程学本质上是一种(),()通过种种方式来引导受攻击者的()向攻击者期望的方向发展。罗伯特·B·西奥迪尼(Robert B Cialdini)在科学美国人(2001年 2 月)杂志中总结对()的研究,介绍了 6 种“人类天性基本倾向”,这些基本倾向都是()工程师在攻击中所依赖的(有意思或者无意识的)。
攻击者;心理操纵;思维;心理操纵;思维;社会工程学
攻击者;心理操纵;心理操纵;社会工程学
心理操纵;攻击者;思维;心理操纵;社会工程学
心理操纵;思维;心理操纵;攻击者;社会工程学
85. ITIL 它包含 5 个生命周期,分别是()、()、()、()、().
战略阶段;设计阶段;转换阶段;运营阶段;改进阶段
设计阶段;战略阶段;转换阶段;运营阶段;改进阶段
战略阶段;设计阶段;运营阶段;转换阶段;改进阶段
转换阶段;战略阶段;设计阶段;运营阶段;改进阶段
86. COBIT(信息和相关技术的控制目标)是国际专业协会 ISACA 为信息技术(IT)管理和 IT 治理创建的良好实践框架。COBIT 提供了一套可实施的“信息技术控制”并围绕 IT 相关流程和推动因素的逻辑框架进行组织。COBIT 模型按照流程,请问,COBIT 组件包括()、()、()、()、()等部分。
流程描述、框架、控制目标、管理指南、成熟度模型
框架、流程描述、管理目标、控制目标、成熟度模型
框架、流程描述、控制目标、管理指南、成熟度模型
框架、管理指南、流程描述、控制目标、成熟度模型
87. 安全漏洞扫描技术是一类重要的网络安全技术。当前,网络安全漏洞扫描技术的两大核心技术是()。
PING 扫描技术和端口扫描技术
端口扫描技术和漏洞扫描技术
操作系统探测和漏洞扫描技术
PING 扫描技术和操作系统探测
88. 甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况,甲公司将这个任务委托了乙公司,那么乙公司的设计员应该了解 OSI 参考模型中的哪一层()
数据链路层
会话层
物理层
传输层
89. 信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性措施,也包括事件发生后的应对措施。应急响应方法和过程并不偶是唯一的,在下面的应急响应管理流程中,空白方框处填写正确的是选项是()
培训阶段
文档阶段
报告阶段
检测阶段
90. 下面哪一项情景属于身份鉴别(Authentication)过程?()
用户依照系统提示输入用户名和口令
用户在网络上共享了自己编写的一份 Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
用户使用加密软件对自己家编写的 Office 文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记录在系统日志中
91. 根据“用户所知道的”身份认证中,下面哪个不是
静态口令认证
动态口令认证
USB-Key认证
短信口令认证
92. 如下不属于安全审计的是:
提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
威慑和警告潜在的攻击者和滥用授权的合法用户。
由于安全审计可以被绕过,因此部署安全审计的功能并不理想。
在发现故障后,可以帮助评估故障损失,重建事件和数据恢复。
对系统控制、安全策略与规程中特定的改变做出评价和反馈便于修订决策和部署。
93. 如下关于IPv4包头中描述正确的是:
数据包切片的判定标准是超过最大帧长
数据包切片之后,重组时是基于切片标识避免数据混淆
数据包切片标记位第一位被没有被保留
数据包切片标记位第二位是用来确定该数据是否为最后一片
数据包切片标记位第三位是用来确定该数据是否允许被切片
94. 如下关于万维网描述不正确的是:
万维网只提供服务器资源下行至用户,不支持用户资源上行至服务器。
万维网是因特网上使用最广泛的一种信息服务
用户可以通过网页浏览器访问万维网服务器所提供的网页
万维网使用超文本标记语言制作网页
95. 如下不属于防火墙功能的是:
数据包过滤
审计和报警机制
远程管理
网络地址转换
虚拟机迁移
96. 如下关于操作系统描述正确的是:
操作系统可以实现对计算机硬件的管理和操作
操作系统是计算机软件体系的基础和核心
操作系统可以尽量合理有效的组织多个用户程序共享计算机的各种资源
哪怕没有操作系统的支持,其他软件也是可以正常运行的
97. 操作系统中不属于文件管理的是:
文件存储空间管理
分区管理
目录管理
文件操作管理
文件保护
98. 如下关于防范蠕虫病毒的安全建议中,没有作用的是:
安装正版杀毒软件、个人防火墙等。并及时升级,上网时打开杀毒软件实时监控功能
使用“安全漏洞扫描”软件,打好补丁,弥补操作系统和应用程序的漏洞
不浏览不良网站,不随意下载安装可疑插件
由于病毒多来自于网络,因此使用U盘或移动硬盘并不那么容易被感染
不接收QQ、MSN和E-mail等传来的可以文件或链接
99. 以下关于信息安全威胁描述错误的是( )。
从受威胁对象的角度,可以将我国面临的信息安全威胁分为3类:国家威胁、组织威胁和个人威胁。
信息系统都是在一定的自然环境下运行,自然灾害对信息系统的威胁时多方面的,地震、火灾、水灾等各种自然灾害都可能对信息系统造成灾难性破坏。
信息安全问题的根源主要来源于信息系统自身存在的脆弱性。www
信息安全问题的外因主要来源于人为和环境威胁。
100. 以下表达不正确的是:
信息安全具有:系统性、动态性、无边界性和非传统性
信息安全是系统的安全,信息安全不是鼓励单一维度或者单个安全因素。
信息安全是单纯的技术问题或者管理问题。
信息安全要系统地从技术、管理、工程和标准法规等各层面综合保障信息安全。
101. IPv4地址有多少二进制位:
128
64
32
16
关闭
更多问卷
复制此问卷