CISP官方信息安全技术章节练习一

CISP信息安全技术章节练习一

一、单选题。(共100题,共100分,每题1分)

1. 安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?

a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘

c、操作系统上部署防病毒软件，以对抗病毒的威胁

d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能 最佳答案是:b

2. 对于抽样而言,以下哪项是正确的?

a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低

c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b

3. 以下关于账户策略中密码策略中各项作用说明，哪个是错误的： a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c 4.

如图所示，主体S对客体01有读（R）权限，对客体O2有读（R）、写（W）、拥有（Own）权限。该图所表示的访问控制实现方法是：

a、访问控制表（ACL) b、访问控制矩阵 c、能力表（CL） d、前缀表（Profiles） 最佳答案是:c

5. 关于数据库恢复技术，下列说法不正确的是： a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数

据被破坏时，可以利用冗余数据来进行修复 b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术

c、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复 d、计算机系统发生故障导致数据未储存到固定存储器上，利用日志文件中故障发生的数据值，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交 最佳答案是:d

6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager）的说法哪个是正确的：

a、存储在注册中的账号数据是管理员组用户都可以访问，具有较高的安全性

b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性 c、存续在册表中的账号数据任何用户都可以直接访问，灵活方便

d、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性 最佳答案是:d

7. 以下关于安全套接层（Security Sockets Layer，SSL)说法错误的是： a、受到SSL防护的web服务器比没有SSL的web服务器要安全

b、当浏览器上的统一资源定位符（Uniform Resource Locator,URL)出现https时，说明用户正使用配置了SSL协议的Web服务器

c、SSL可以看到浏览器与服务器之间的安全通道 d、SSL提供了一种可靠地端到端的安全服务 最佳答案是:a

8. 以下哪一项不是常见威胁对应的消减措施： a、假冒攻击可以采用身份认证机制来防范

b、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性 c、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖 d、为了防止用户提升权限，可以采用访问控制表的方式来管理权限 最佳答案是:c

9. 某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如果用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将暂时禁止登录该账户，请问以上安全设计遵循的是哪项安全设计原则：

a、最少共享机制原则 b、经济机制原则 c、不信任原则 d、默认故障处理保护原则

最佳答案是:c

10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题，但为了安全起见，他仍然向主管领导提出了应对措施，作为主管负责人，请选择有效的针对此问题的应对措施：

a、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping） b、删除服务器上的ping.exe程序

c、增加带宽以应对可能的拒绝服务攻击

d、增加网站服务器以应对即将来临的拒绝服务攻击 最佳答案是:a

11. 由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置账户锁定策略以对

抗口令暴力破解。他设置了以下账户锁定策略如下： 复位账户锁定计数器5分钟， 账户锁定时间10分钟，

账户锁定阀值3次无效登录，

以下关于以上策略设置后的说法哪个是正确的：

a、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错了密码的用户就会被锁住

b、如果正常用户不小心输错了3次密码，那么该用户就会被锁定10分钟，10分钟内即使输入正确的密码，也无法登录系统

c、如果正常用户不小心连续输入错误密码3次，那么该用户账号就被锁定5分钟，5分钟内即使提交了正确的密码也无法登录系统

d、攻击者在进行口令破解时，只要连续输错3次密码，该用户就被锁定10分钟，而正常用户登录不受影响 最佳答案是:b

12. 某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问，该访问控制策略属于以下哪一种： a、强制访问控制 b、基于角色的访问控制 c、自主访问控制 d、基于任务的访问控制 最佳答案是:c

13. 关于源代码审核，描述错误的是（）

a、源代码审核有利于发现软件编码中存在的安全问题 b、源代码审核工程遵循PDCA 模型

c、源代码审核方式包括人工审核工具审核 d、源代码审核工具包括商业工具和开源工具 最佳答案是:b

14. 由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（） a、要求开发人员采用敏捷开发模型进行开发 b、要求所有的开发人员参加软件安全意识培训 c、要求规范软件编码，并制定公司的安全编码准则

d、要求增加软件安全测试环节，尽早发现软件安全问题 最佳答案是:a

15. 关于软件安全的问题，下面描述错误的是（）

a、软件的安全问题可能造成软件运行不稳定，得不到正确结果甚至崩溃

b、软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决 c、软件的安全问题可能被攻击者利用后影响人身体健康安全

d、软件的安全问题是由程序开发者遗留的，和软件的部署运行环境无关 最佳答案是:c

16. 以下可能存在sql注入攻击的部分是：

a、get请求参数 b、post请求参数 c、cookie值 d、以上均有可能 最佳答案是:d

17. 在2014年巴西世界杯举行期间，，一些黑客组织攻击了世界杯赞助商及政府网站，制造了大量网络流量，阻塞正常用户访问网站。这种攻击类型属于下面什么攻击（） a、跨站脚本（ cross site scripting,XSS)攻击

b、TCP 会话劫持（ TCP HIJACK)攻击

c、ip欺骗攻击 d、拒绝服务（denialservice.dos）攻击 最佳答案是:d

18. 小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第二天他收到了一封来自电器城提示他中奖的邮件上，查看该后他按照提示操作，纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有开的活动，根据上面的描述，由此可以推断的是（）

a、小陈在电器城登记个人信息时，应当使用加密手段 b、小陈遭受了钓鱼攻击，钱被骗走了 c、小陈的计算机中了木马，被远程控制

d、小陈购买的凌波微步是智能凌波微步，能够自己上网 最佳答案是:b

19. 某公司在互联网区域新建了一个WEB网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）

a、负载均衡设备 b、网页防篡改系统 c、网络防病毒系统 d、网络审计系统 最佳答案是:b

20. 某政府机构委托开发商开发了一个OA系统，其中有一个公文分发，公文通知等为WORD文档，厂商在进行系统设计时使用了 FTP来对公文进行分发，以下说法不正确的是

a、FTP协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得FTP密码，从而威胁 OA系统

b、FTP协议需要进行验证才能访问在，攻击者可以利用FTP进行口令的暴力破解 c、FTP协议已经是不太使用的协议，可能与新版本的浏览器存在兼容性问题 d、FTP应用需要安装服务器端软件，软件存在漏洞可能会影响到OA系统的安全 最佳答案是:c

21. 以下SQL语句建立的数据库对象是： CREATE VIEW PatientsForDoctors AS SWLWCT Patient FROM Patient*

WHERE doctorlD=123

a、表 b、视图 c、存储过程 d、触发器 最佳答案是:b

22. 以下关于账户密码策略中各项策略的作用说明，哪个是错误的： a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更改 最佳答案是:c

23. 口令破解是针对系统进行攻击的常用方法，Windows系统安全策略应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略，关于两个策略说明错误的是

a、密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控 b、密码策略对系统中所有的用户都有效

c、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效的保护所有系统用户应对口令暴力破解攻击 d、账户锁定策略只适用于普通用户，无法保护管理员administrator账户应对口令暴力破解

攻击

最佳答案是:d

24. IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱. a、对系统开发进行了复核 b、对控制和系统的其他改进提出了建议 c、对完成后的系统进行了独立评价 d、积极参与了系统的设计和完成 最佳答案是:d

25. Linux/Unix关键的日志文件设置的权限应该为：

a、-rw-r--r- b、-rw---- c、-rw-rw-rw- d、-r---- 最佳答案是:d

26. 关于Kerberos认证协议，以下说法错误的是：

a、只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该TGT没有过期，就可以使用该TGT通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码

b、认证服务器(AS)和票据授权服务器(TGS)是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全

c、该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证

d、该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂 最佳答案是:c

27. 以下关于安全套接层协议（Secure Sockets Layer,SSL）说法错误的是： a、SSL协议位于TCP/IP协议层和应用协议之间

b、SSL协议广泛应用于web浏览器与服务器之间的身份认证和加密数据传输 c、SSL是一种可靠的端到端的安全服务协议 d、SSL是设计用来保护操作系统的 最佳答案是:d

28. 以下哪个选项不是防火墙技术？

a、IP地址欺骗防护 b、NAT c、访问控制 d、SQL注入攻击防护 最佳答案是:d

29. 某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是：

a、所选择的特征（指纹）便于收集、测量和比较 b、每个人所拥有的指纹都是独一无二的

c、指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题 d、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成 最佳答案是:c

30. 消息在发送前，用发送者的私钥加密消息内容和它的哈希（hash,或译作：杂选、摘要）值，能够保证：

a、消息的真实性和完整性 b、消息的真实性和保密性 c、消息的完整性和保密性 d、保密性和防抵赖性 最佳答案是:a

31. 为增强Web应用程序的安全性，某软件开发经理决定加强Web软件安全开发培训，下面哪项内容要在他的考虑范围内?

a、关于网站身份签别技术方面安全知识的培训

c、不使用管理员权限直接连接数据库系统

d、定期对数据库服务器进行重启以确保数据库运行良好 最佳答案是:d

61. 以下关于可信计算说法错误的是：

a、可信的主要目的是要建立起主动防御的信息安全保障体系

b、可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念 c、可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

d、可信计算平台出现后会取代传统的安全防护体系和方法 最佳答案是:d

62. 以下哪个选项不是防火墙提供的安全功能?

a、IP地址欺骗防护 b、NAT c、访问控制 d、SQL注入攻击防护 最佳答案是:d

63. 针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式：

a、攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100％

b、攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢

c、攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问

d、攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问 最佳答案是:d

64. 某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是_______?

a、该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https b、该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施

c、该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决

d、该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可 最佳答案是:b

65. 以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是：

a、DAS能够在服务器物理位置比较分散的情况下实现大容量存储，是一种常用的数据存储方法

b、DAS实现了操作系统与数据的分离，存取性能较高并且实施简单

c、DAS的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储设备中的数据不能被存取

d、较网络附加存储(Network Attached Storage，NAS)，DAS节省硬盘空间，数据非常集中，便于对数据进行管理和备份

最佳答案是:d

66. 数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全，以下关于数据库常用的安全策略理解不正确的是：

a、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作

b、最大共享策略，在保证数据库的完整性.保密性和可用性的前提下，最大程度地共享数据库中的信息

c、粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度

d、按内容存取控制策略，不同权限的用户访问数据库的不同部分 最佳答案是:b

67. 2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是：

a、电子签名——是指数据电文中以电子形式所含.所附用于识别签名人身份并表明签名人认可其中内容的数据

b、电子签名适用于民事活动中的合同或者其他文件.单证等文书

c、电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务 d、电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有 最佳答案是:d

68. 在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能： a、治理，主要是管理软件开发的过程和活动

b、构造，主要是在开发项目中确定目标并开发软件的过程与活动 c、验证，主要是测试和验证软件的过程与活动

d、购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 最佳答案是:d

69. 关于软件安全开发生命周期(SDL)，下面说法错误的是： a、在软件开发的各个周期都要考虑安全因素

b、软件安全开发生命周期要综合采用技术.管理和工程等手段

c、测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本

d、在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本 最佳答案是:c

70. 数据在进行传输前，需要由协议栈自上而下对数据进行封装，TCP／IP协议中，数据封装的顺序是：

a、传输层、网络接口层、互联网络层 b、传输层、互联网络层、网络接口层 c、互联网络层、传输层、网络接口层 d、互联网络层、网络接口层、传输层 最佳答案是:b

71. 账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击? a、分布式拒绝服务攻击(DDoS)

b、病毒传染 c、口令暴力破解 d、缓冲区溢出攻击

最佳答案是:c

72. 某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是Windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：

a、在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中

b、严格设置Web日志权限，只有系统权限才能进行读和写等操作

c、对日志属性进行调整，加大日志文件大小，延长日志覆盖时间，设置记录更多信息等 d、使用独立的分区用于存储日志，并且保留足够大的日志空间 最佳答案是:a

73. 相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势? a、NTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作 b、NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限 c、对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率

d、相比FAT文件系统，NTFS文件系统能有效的兼容Linux下EXT2文件格式 最佳答案是:d

74. 以下关于PGP(Pretty Good Privacy)软件叙述错误的是： a、PGP可以实现对邮件的加密.签名和认证

b、PGP可以实现数据压缩 c、PGP可以对邮件进行分段和重组 d、PGP采用SHA算法加密邮件 最佳答案是:d

75. 某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁? a、网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度 b、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等

c、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改

d、网站使用用户名.密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息 最佳答案是:d

76. 以下关于互联网协议安全(Internet Protocol Security，IPsec)协议说法错误的是： a、在传送模式中，保护的是IP负载

b、验证头协议(Authentication Head，AH)和IP封装安全载荷协议(Encapsulating Security Payload，ESP)都能以传输模式和隧道模式工作

c、在隧道模式中，保护的是整个互联网协议(Internet Protocol，IP)包，包括IP头 d、IPsec仅能保证传输数据的可认证性和保密性 最佳答案是:d

77. 某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则? a、最小权限 b、权限分离 c、不信任 d、纵深防御 最佳答案是:b

78. 某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是： a、选购当前技术最先进的防火墙即可 b、选购任意一款品牌防火墙

c、任意选购一款价格合适的防火墙产品 d、选购一款同已有安全产品联动的防火墙 最佳答案是:d

79. IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么，他/她该怎么做？

a、无需做什么。因为只有处理能力低于正常的25%，才会严重影响企业的生存和备份能力 b、找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以备不测 c、找出所有主要的应用，确保备用设施可以运行这些应用

d、建议相关部门增加备用设施投入，使其能够处理75%的正常业务 最佳答案是:c

80. 下面哪一项不是虚拟专用网络(VPN)协议标准：

a、第二层隧道协议(L2TP) b、Internet安全性(IPSEC) c、终端访问控制器访问控制系统(TACACS+) d、点对点隧道协议(PPTP) 最佳答案是:c

81. 以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是： a、当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝

b、业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色 c、通过角色，可实现对信息资源访问的控制 d、RBAC模型不能实现多级安全中的访问控制 最佳答案是:d

82. 在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通讯异常，流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是： a、实施分析，以确定该事件是否为暂时的服务实效所引起

b、由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理会 c、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%

d、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使WAN的流量保持相对稳定 最佳答案是:a

83. 某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?

a、渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞 b、渗透测试是用软件代替人工的一种测试方法，因此测试效率更高 c、渗透测试使用人工进行测试，不依赖软件，因此测试更准确

d、渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多

最佳答案是:a

84. 为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法? a、实体“所知”以及实体“所有”的鉴别方法 b、实体“所有”以及实体“特征”的鉴别方法 c、实体“所知”以及实体“特征”的鉴别方法 d、实体“所有”以及实体“行为”的鉴别方法 最佳答案是:a

85. 下列哪一种方法属于基于实体“所有”鉴别方法： a、用户通过自己设置的口令登录系统，完成身份鉴别 b、用户使用个人指纹，通过指纹识别系统的身份鉴别

c、用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别 d、用户使用集成电路卡(如智能卡)完成身份鉴别 最佳答案是:d

86. 2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（Comprehensive National Cybersecurity Initiative，CNCI)。CNCI计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境，从以上内容，我们可以看出以下哪种分析是正确的：

a、CNCI是以风险为核心，三道防线首要的任务是降低其网络所面临的风险

b、从CNCI可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的

c、CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补

d、CNCI彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障 最佳答案是:a

87. 以下关于项目的含义，理解错误的是：

a、项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。

b、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。 c、项目资源指完成项目所需要的人、财、物等。

d、项目目标要遵守SMART原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。 最佳答案是:b

88. 进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：

a、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点 b、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担

c、各国普遍重视信息安全事件的应急响应和处理

d、在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系 最佳答案是:b

89. 公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴

以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的： a、乙对信息安全不重视，低估了黑客能力，不舍得花钱

b、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费 c、甲未充分考虑网游网站的业务与政府网站业务的区别

d、乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求 最佳答案是:a

90. 某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，不正确的是（） a、软件安全开发应当涉及软件开发整个生命周期，即要在软件开发生命周期的各个阶段都要采取一些措施来确保软件的安全性 b、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多

c、和传统的软件开发阶段相比，应当增加一个专门的安全编码阶段 d、安全测试阶段非常重要，有必要采取一些安全测试方法学和测试手段来确保软件的安全性

最佳答案是:c

91. 下面哪一项是防止缓冲区溢出的有效方法？

a、拔掉网线 b、检查缓冲区是否足够大 c、关闭操作系统特殊程序 d、在往缓冲区填充数据时必须进行边界检查 最佳答案是:d

92. shellcode是什么？

a、是用C语言编写的一段完成特殊功能代码 b、是用汇编语言编写的一段完成特殊功能代码 c、是用机器码组成的一段完成特殊功能代码 d、命令行下的代码编写 最佳答案是:a

93. 张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？

a、口令攻击 b、暴力破解 c、拒绝服务攻击 d、社会工程学攻击 最佳答案是:d

94. 系统工程霍尔三维结构模型从时间维、逻辑维、（）三个坐标对系统工程进行程序化。 a、阶段维 b、进程维 c、知识维 d、工作步骤维 最佳答案是:c

95. 以下哪个是恶意代码采用的隐藏技术：

a、文件隐藏 b、进程隐藏 c、网络链接隐藏 d、以上都是 最佳答案是:d

96. 以下不属于跨站脚本危害的是：

a、盗取用户Cookie信息，并进行Cookie欺骗 b、使用户访问钓鱼网站，导致敏感信息泄露 c、上传Webshell，控制服务器

d、传播XSS蠕虫影响用户正常功能 最佳答案是:c

97. 小王在某Web软件公司工作，她在工作中主要负责对互联网信息服务（Internet

Information Services，IIS）软件进行安全配置，这是属于（）方面的安全工作。

a、Web服务支撑软件 b、Web应用程序 c、Web浏览器 d、通信协议 最佳答案是:a

98. 关于Linux下的用户和组，以下描述不正确的是_________。 a、在Linux中，每一个文件和程序都归属于一个特定的“用户” b、系统中的每一个用户都必须至少属于一个用户组

c、用户和组的关系可以是多对一，一个组可以有多个用户，一个用户不能属于多个组 d、root是系统的超级用户，无论是否是文件和程序的所有者都具有访问权限 最佳答案是:c

99. 以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？ a、磁墨字符识别（MICR）

b、智能语音识别（IVR） c、条形码识别（BCR） d、光学字符识别（OCR） 最佳答案是:d

100. 以下关于Windows系统的账号存储管理机制SAM（Security Accounts Manager）的说法哪个是正确的：

a、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性

b、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性 c、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便

d、存储在注册表中的账号数据只有System账户才能访问，具有较高的安全性 最佳答案是:d

本文来源：https://www.bwwdw.com/article/ghax.html