1.以下关于用户密码的说法是错误的( )。 A.密码不能设置为空 B.密码长度越长,安全性越高 C.复杂密码安全性足够高,无需定期修改 D.密码认证是最常见的认证机制 答案:C
2.木马病毒的以下特征是不正确的( )。 A.隐蔽性 B.主动传播性 C.自动运行性 D.破坏性 答案:B
3.在信息系统中,( )在最大限度地共享系统资源的基础上,管理用户的访问权。 A.身份认证 B.安全审计 C.访问控制 D.数字证书 答案:C
4.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:( )。 A.口令 B.令牌 C.知识 D.密码 答案:B
5.在账户锁定策略中锁定超过一定次数的错误登录账户,以对抗以下攻击?( ) A.分布式拒绝服务攻击(DDoS) B.病毒传染 C.口令暴力破解 D.溢出攻击的缓冲区 答案:C
6.以下不属于常用浏览器的安全措施是( )。 A.删除和管理Cookies B.不要点击网站广告 C.禁用ActiveX控件 D.删除浏览器历史记录 答案:B
7.以下不能设置密码加密的文件是( )。 A.ZIP B.PPT C.PDF D.TXT 答案:D
8.对异地备份中心最准确的理解如下:( )。 A.生产中心不在同一个城市 B.距离生产中心10公里以上 C.距离生产中心100公里以上 D.面临与生产中心相同区域风险的概率很小 答案:D
9.关于信息安全事件管理和应急响应,以下说法是错误的:( )。 A.应急响应是指组织应对突发/重大信息安全事件的准备和事件发生后采取的措施 B.应急响应方法将应急响应管理过程分为六个阶段:遏制、根除、处置、恢复、报告和跟踪 C.信息安全事件的分类主要是指信息系统的重要性、系统损失和社会影响 D.根据信息安全事件的分级参考要素,信息安全事件可分为四个层次:特别是重大事件(Ⅰ等级),重大事件(Ⅱ等级),大事件(Ⅲ等级)和一般事件(Ⅳ级) 答案:B
10.以下对信息安全事件的误解如下:( )。 A.信息安全事件是指由于自然或人为、软硬件本身的缺陷或故障而对信息系统造成危害或对社会产生负面影响的事件 B.有效管理和响应信息安全事件,减少损失和负面影响,是组织信息安全战略的一部分 C.应急响应是信息安全事件管理的重要组成部分 D.通过部署信息安全策略和配合部署保护措施,可以保护信息和信息系统,消除信息安全事件的发生 答案:D
11.危害国家秘密安全的法律责任是正确的:( )。 A.只要发生严重违反保密规定的行为,无论发生泄密的实际后果,都应依法追究责任 B.非法获取国家秘密不构成刑事犯罪,不承担刑事责任 C.泄露国家秘密不构成刑事犯罪,不承担刑事责任 D.无需承担行政责任和/或其他处罚 答案:A
12.金女士经常通过电脑在网上购物。从安全的角度来看,以下哪一个是不良的操作习惯( )。 A.使用专用网上购物计算机,安装软件后,不要升级计算机上的系统软件和应用软件 B.安装声誉良好的计算机安全防护软件,包括病毒检查、安全检查和安全加固软件 C.在IE在配置中,设置只能通过签名下载和安装,安全ActiveX控件 D.使用网络浏览器时,设置不保留计算机中的网络历史记录和表单数据 答案:A
13.在设计信息系统安全保障方案时,以下哪种做法是错误的:( )。 A.充分满足信息安全需求,实际可行 B.在满足合规性和风险处置要求的前提下,要充分考虑成本效益,尽量控制成本 C.在使用过程中,要充分采用新技术,不断完善和完善,实现技术投入的保值要求 D.充分考虑用户管理和文化的可接受性,减少系统方案障碍 答案:C
14.由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:复位账户锁定计数器5分钟账户锁定时间10分钟账户锁定阀值3次无效登陆以下关于以上策略设置后的说法哪个是正确的( )。 A.设置账户锁定策略后,攻击者不能再进行密码暴力破解,所有输入错误密码的支持都将被锁定 B.如果正常用户小心输入错误的密码三次,账户将被锁定10分钟。即使在10分钟内输入正确的密码,也无法登录系统 C.如果正常用户意外连续输入错误密码3次,则支持帐户锁定5分钟。即使在5分钟内交出正确的密码,也无法登录系统 D.当攻击者破解密码时,只要连续输入三次错误的密码,账户就会被锁定10分钟,正常的支持登录不会受到影响 答案:B
15.防止网络监控最常用的方法是( )。 A.采用物理传输(非网络) B.信息加密 C.无线网 D.使用专线传输 答案:B
16.在网络安全中,未经许可删除或修改信息,这是对的( )的攻击。 A.可用性 B.保密性 C.完整性 D.真实性 答案:C
17.使网络服务器充满大量需要回复的信息,消耗带宽,导致网络或系统停止正常服务,属于( )漏洞。 A.拒绝服务 B.文件共享 C.BIND漏洞 D.远程过程调用 答案:A
18.窃听攻击的安全服务是()。 A.鉴别服务 B.数据机密服务 C.数据完整性服务 D.抗抵赖服务 答案:B
19.通过截取之前的法律记录,稍后再添加一个连接,称为重放攻击。为了防止这种情况,可以采用的方法是( )。 A.加密 B.加入时间戳 C.认证 D.使用密钥 答案:B
20.可以完成不同的VLAN数据传输之间的设备是( )。 A.中继器 B.二层交换器 C.网桥 D.路由器 答案:D
21.在ISO的OSI在安全系统结构中,哪种安全机制可以提供抵抗安全服务? A.加密 B.数字签名 C.访问控制 D.路由控制 答案:B 分析:数字签名可以提供抵抗、识别和完整性。
22.某公司有漏洞扫描和入侵检测系统(Intrusion Detection System,IDS)产品,需要购买防火墙,应优先考虑以下做法: A.购买当前技术最先进的防火墙 B.购买任何品牌的防火墙 C.任意购买价格合适的防火墙产品 D.购买与现有安全产品联动的防火墙 答案:D 分析:可在技术条件允许的情况下实现IDS和FW的联动。
23.在OSI参考模型有7个层次,提供相应的安全服务,以加强信息系统的安全。以下哪一层提供保密、身份识别和数据完整性服务? A.网络层 B.表示层 C.会话层 D.物理层 答案:A 分析:网络层和应用层可提供保密性、身份识别、完整性、抵抗力和访问控制服务。
24.单位人员管理系统在离职时删除账户,需要离职部门主管经理和人事部门人员同时确认才能在系统上实施。该设计遵循软件安全的原则 A.最小权限 B.权限分离 C.不信任 D.纵深防御 答案:B 分析:权限分离是将较大的权限分离为多个子权限组合。
25.以下关于互联网协议的安全(InternetProtocolSecurity,IPSec)协议错误: A.在传输模式中,保护IP负载。 B.验证头协议(AuthenticationHeader,AH)和IP包装安全载荷协议(EncapsulatingSecurityPayload,ESP)可采用传输模式和隧道模式工作。 C.在隧道模式下,整个互联网协议受到保护IP包,包括IP头。 D.IPSec只能保证传输数据的认证和保密性。 答案:D 解析:IPSEC可提供身份识别、保密、完整性、抵抗、访问控制服务。
26.某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE哪一种威胁可以归类为欺骗威胁? A.网站竞争对手可能会雇佣攻击者DDoS攻击,降低网站访问速度 B.网站使用http协议浏览和其他操作,未加密数据,可能导致用户传输信息泄露,如购买的商品金额 C.网站使用http协议浏览和其他操作,无法确认数据是否与用户发送的一致,数据可能被篡改 D.该网站使用用户名和密码进行登录验证。攻击者可以通过弱密码或其他方式获取用户密码,登录并修改用户订单 答案:D 解析:A可用性;B保密性;C属于完整性。
27.以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是: A.PGP加密、签名和认证邮件 B.PGP可实现数据压缩 C.PGP邮件可以分段和重组 D.PGP采用SHA算法加密邮件 答案:D 解析:SHA不提供加密,SHA提供数据完整性验证的摘要算法。
28.入侵防御系统(IPS)是继入侵检测系统(IDS)一种新的安全技术出现在后发展期,它与IDS有许多不同之处,请指出以下哪些描述不符合要求IPS的特点?br> A.串接到网络线路中 B.对异常的进出流量可以直接进行阻断 C.有可能造成单点故障 D.不会影响网络性能 答案:D 解析:IPS在串联情况下,会影响网络性能。
29.相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势? A.NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题,而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作 B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限 C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率 D.相比FAT文件系统,NTFS文件系统能有效的兼容linux下EXT2文件格式 答案:D 解析:NTFS不能兼容EXT文件系统。
30.某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是: A.网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中 B.严格设置Web日志权限,只有系统权限才能进行读和写等操作 C.对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等 D.使用独立的分区用于存储日志,并且保留足够大的日志空间 答案:A 解析:在多重备份存储情况下,可以防护日志被篡改的攻击(前提非实时同步)。
31.关于linux下的用户和组,以下描述不正确的是( )。 A.在linux中,每一个文件和程序都归属于一个特定的“用户” B.系统中的每一个用户都必须至少属于一个用户组 C.用户和组的关系可是多对一,一个组可以有多个用户,一个用户不能属于多个组 D.root是系统的超级用户,无论是否文件和程序的所有者都具有访问权限 答案:C 解析:一个用户可以属于多个组。
32.安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?( ) A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘 C.操作系统上部署防病毒软件,以对抗病毒的威胁 D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 答案:B 解析:操作系统和应用安全装应分开不同磁盘部署。
33.在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?( ) A.粒度越小 B.约束越细致 C.范围越大 D.约束范围大 答案:A 解析:数据粒度越细则授权策略越灵活便利。
34.下列哪一些对信息安全漏洞的描述是错误的? A.漏洞是存在于信息系统的某种缺陷。 B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。 C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。 D.漏洞都是人为故意引入的一种信息系统的弱点 答案:D 解析:漏洞是人为故意或非故意引入的弱点。
35.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击? A.分布式拒绝服务攻击(DDoS) B.病毒传染 C.口令暴力破解 D.缓冲区溢出攻击 答案:C 解析:账号锁定是为了解决暴力破解攻击的。 36.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一? A.ARP协议是一个无状态的协议 B.为提高效率,ARP信息在系统中会缓存 C.ARP缓存是动态的,可被改写 D.ARP协议是用于寻址的一个重要协议 答案:D 解析:D不是导致欺骗的根源。
37.张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友的昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击 答案:D 解析:D属于社会工程学攻击。
38.关于软件安全开发生命周期(SDL),下面说法错误的是: A.在软件开发的各个周期都要考虑安全因素 B.软件安全开发生命周期要综合采用技术、管理和工程等手段 C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本 D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本 答案:C 解析:设计阶段是发现和改正问题的最佳阶段。
39.在软件保障成熟度模型(SoftwareAssuranceMaturityMode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能: A.治理,主要是管理软件开发的过程和活动 B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程与活动 D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 答案:D 解析:SAMM模型四个部分是治理、构造、验证和部署。
40.从系统工程的角度来处理信息安全问题,以下说法错误的是:系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。 A.系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。 B.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。 C.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。 答案:C 解析:SSE-CMM是面向工程过程质量控制的一套方法。
41.以下网络地址中属于B类的可用IP地址的是( )。 A.192.12.31.2 B.191.12.255.255 C.55.32.255.0 D.128.34.255.9 答案:D
42.关于虚拟局域网VLAN的论述中,错误的是( )。 A.每个VLAN组成一个逻辑上的广播域 B.VLAN不能控制广播风暴 C.能够提高网络的整体安全性 D.VLAN是被创建的逻辑网络 答案:B
43.在多媒体计算机系统中,不能存储多媒体信息的是( )。 A.光盘 B.光缆 C.磁带 D.磁盘 答案:B
44.用IE浏览上网时,要进入某一网页,可在IE的URL栏中输入该网页的( )。 A.只能是IP地址 B.只能是域名 C.实际的文件名称 D.IP地址或域名 答案:D
45.“www.itsec.gov.cn”是Internet中主机的( )。 A.硬件编码 B.密码 C.软件编码 D.域名 答案:D
46.IP地址能唯一地确定Internet上每台计算机与每个用户的( )。 A.距离 B.费用 C.位置 D.时间 答案:C
47.TCP/IP协议是Internet中计算机之间通信所必须共同遵循的一种( )。 A.信息资源 B.通信规定 C.软件 D.硬件 答案:B
48.如果一个单位的两个部门各有一个局域网,那么将它们互连的最简单的方法是使用( ) A.网关 B.中继器 C.交换机 D.路由器 答案:C
49.100BASE-T规定,Hub通过RJ45接口与计算机连线距离不超过( )米。 A.50米 B.100米 C.150米 D.185米 答案:B
50.在运行Windows的计算机中配置网关,类似于在路由器中配置( )。 A.直接路由 B.默认路由 C.静态路由 D.动态路由 答案:C
51.下列域名中,表示教育机构的是( )。 A.ftp.xxxt B.ftp.xxx.cn C.www.xxx.cn D.www.xxx.edu.cn 答案:D
52.IP地址是由4段十进制数字组成的,它们代表了( )位二进制数字。 A.8 B.16 C.32 D.64 答案:C
53.Internet实现了分布在世界各地的各类网络的互联,其中最基础和核心的协议是( )。 A.TCP/IP B.FTP C.HTML D.HTTP 答案:A 54.有关共享式与交换式以太网拓扑结构的论述,正确的是( )。 A.共享式的逻辑拓扑为星型,物理拓扑为星型。 B.交换式的逻辑拓扑为总线型,物理拓扑为星型。 C.共享式的逻辑拓扑为星型,物理拓扑为总线型。 D.交换式的逻辑拓扑为星型,物理拓扑为星型。 答案:D
55.在( )网络模式中,客户机通过浏览器的HTTP协议提出服务请求,并将返回的信息通过浏览器提供给网络客户。 A.C/S B.B/S C.Peer-to-peer D.主机-终端机 答案:B
56.域名系统DNS的作用是( )。 A.存放主机域名 B.将域名转换成IP地址 C.存放IP地址 D.存放邮件的地址表 答案:B
57.在TCP/IP模型中与OSI模型网络层对应的是( )。 A.网络接口层 B.网际层 C.传输层 D.应用层 答案:B
58.IPv4地址共分为( )个主类。 A.2 B.3 C.4 D.5 答案:D
59.192.168.1.0/24使用掩码255.255.255.240划分子网,其可用子网数为( ),每个子网内可用主机地址数为( )。 A.14 14 B.16 14 C.254 6 D.14 62 答案:B
60.子网掩码为255.255.0.0,下列哪个IP地址不在同一网段中( )。 A.172.25.15.201 B.172.25.16.15 C.172.16.25.16 D.172.25.201.15 答案:C
61.B类地址子网掩码为255.255.255.248,则每个子网内可用主机地址数为( )。 A.10 B.8 C.6 D.4 答案:C
62.对于C类IP地址,子网掩码为255.255.255.248,则能提供子网数为( )。 A.16 B.32 C.30 D.128 答案:B
63.三个网段如下所示:192.168.1.0/24,192.168.2.0/24,192.168.3.0/24能够汇聚成下面哪个网段( )。 A.192.168.1.0/22 B.192.168.2.0/22 C.192.168.3.0/22 D.192.168.0.0/22 答案:D
64.IP地址219.25.23.56的主类子网掩码有几位( )。 A.8 B.16 C.24 D.32 答案:C
65.某公司申请到一个C类IP地址,但要连接6个子公司,最大的一个子公司有26台计算机,每个子公司在一个网段中,则子网掩码应设为( )。 A.255.255.255.0 B.255.255.255.128 C.255.255.255.192 D.255.255.255.224 答案:D
66.一台IP地址为10.110.9.113/21主机在启动时发出的广播IP是( )。 A.10.110.9.255 B.10.110.15.255 C.10.110.255.255 D.10.255.255.255 答案:B
67.系统的主要功能有( )。 A.进程管理、存储器管理、设备管理、处理机管理 B.虚拟存储管理、处理机管理、进程调度、文件系统 C.处理机管理、存储器管理、设备管理、文件系统 D.进程管理、中断管理、设备管理、文件系统 答案:C
68.在同一个信道上的同一时刻,能够同时进行双向数据传送的通信方式是( ). A.单工 B.半双工 C.全双工 D.广播 答案:C
69.在网络互连中,在网络层实现互连的设备是( )。 A.中继器 B.路由器 C.网桥 D.网关 答案:B
70.一个VLAN可以看作是一个( )。 A.冲突域 B.广播域 C.管理域 D.阻塞域 答案:B
71.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是( )。 A.身份鉴别是授权控制的基础 B.身份鉴别一般不提供双向的认证 C.目前一般采用基于对称秘钥加密或公开密钥加密的方法 D.数字签名机制是实现身份鉴别的重要机制 答案:B
72.与计算机硬件关系最密切的软件是( )。 A.编译程序 B.数据库管理程序 C.游戏程序 D.OS 答案:D
73.按照应用领域对操作系统进行划分,不包含以下哪一种( )。 A.桌面操作系统 B.批处理操作系统 C.服务器操作系统 D.嵌入式操作系统 答案:B
74.用户在设置口令时,以下原则哪个是错误的( )。 A.严禁使用与账号相同或相似的口令 B.不要使用与个人有关的信息作为口令内容 C.不要设置短于6个字符或仅包含字母或数字的口令 D.可以使用空口令 答案:C
75.下列关于CA的说法错误的是( )。 A.CA是负责发布证书的一组机构 B.CA负责为用户分配公共密钥和私人密钥 C.CA可分为企业CA和独立CA D.根CA可以没有证书 答案:D
76.在NTFS文件系统中,如果一个共享文件夹的共享权限和NTFS权限发生了冲突,那么以下说法正确的是:( )。 A.共享权限优先NTFS权限 B.系统会认定最少的权限 C.系统会认定最多的权限 D.以上都不是 答案:B
77.在NTFS的权限中,修改权限不包括以下下列哪个权限( )。 A.读取 B.列出文件及目录 C.拒绝访问 D.写入 答案:C
78.( )是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私有性。 A.SET B.DDN C.VPN 2D.PKIX 答案:C
79.下列关于操作系统的说法,不正确的是:( )。 A.操作系统为用户提供两种接口:命令接口和程序接口 B.常见的个人操作系统有Windows系列和Linux系列 C.Linux系统是一款闭源操作系统 D.操作系统在计算机系统中位于硬件和应用软件之间,所以,操作系统既面向系统资源又面向用户 答案:C
80.下列关于漏洞的说法,不正确的是( )。 A.漏洞是指计算机系统在硬件、软件、协议的设计、具体实现以及系统安全策略上存在的缺陷和不足 B.安全漏洞是信息安全的核心问题 C.漏洞狭义的概念是指软件程序漏洞或缺陷 D.为了防止计算机的漏洞被黑客利用,我们可以关掉计算机的“自动更新”功能 答案:D
81.以下哪一项不属于恶意代码( )。 A.病毒 B.蠕虫 C.宏 D.特洛伊木马 答案:C
82.下列关于计算机病毒说法错误的是( )。 A.有些病毒仅能攻击某一种操作系统,如Windows B.病毒一般附着在其他应用程序之后 C.每种病毒都会给用户造成严重后果 D.有些病毒能损坏计算机硬件 答案:C
83.以下哪一项是伪装成有用程序的恶意软件?( ) A.计算机病毒 B.特洛伊木马 C.逻辑炸弹 D.蠕虫程序 答案:B
84.我国正式公布了电子签名法,数字签名机制用于实现( )需求。 A.抗否认 B.保密性 C.完整性 D.可用性 答案:A
85.在Windows系统中可以察看开放端口情况的是:( )。 A.Nbtstat B.Net C.Netshow D.Netstat 答案:D
86.下列安全防护配置措施不正确的是( )。 A.关闭系统审核策略 B.开启操作系统口令策略 C.关闭系统不必要的端口 D.开启防火墙和杀毒软件 答案:A
87.Windows系统下的用于存储用户名的文件是()。 A.SECRET B.PASSWD C.USERNAMES D.SAM 答案:D
88.下列不属于本地安全策略的是( )。 A.账户策略 B.组策略 C.本地策略 D.高级安全Windows防火墙 答案:B
89.打开命令行界面后,查看本机IP地址的命令是( )。 A.ipconfig B.netstat C.tracert D.route 答案:A
90.下列关于防火墙的说法正确的是( )。 A.入栈规则即你的电脑连接其他主机的规则 B.出站规则即其他主机连入你的电脑的规则 C.默认情况下防火墙允许所有传出连接 D.默认情况下防火墙允许所有传入连接 答案:C
91.某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建设,作为安全专家,请指出大家提的建议中不太合适的一条: A.对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题 B.要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识 C.要求软件开发商使用Java而不是ASh.llP作为开发语言,避免SQL注入漏洞 D.要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对数据进行校验 答案:C 解析:SQL注入与编码SQL语法应用和过滤有关,与开发语言不是必然关系。
92.在软件保障成熟度模型(SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能 A.治理,主要是管理软件开发的过程和活动 B.构造,主要是在开发项目中确定目标并开发软件的过程与活动 C.验证,主要是测试和验证软件的过程和活动 D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动 答案:D 解析:SAMM包括治理、构造、验证、部署。
93.某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是( ) A.软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题 B.应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少的多。 C.和传统的软件开发阶段相比,微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段 D.软件的安全测试也很重要,考虑到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试 答案:B
94.下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的( ) A.设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库 B.使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞 C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据 D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文 答案:C
95.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是 A.0.00049 B.0.049 C.0.49 D.49 答案:C 解析:千行代码缺陷率计算公式,145/(29.5*10)=0.49。
96.某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施? A.由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析 B.为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险 C.日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机不记录日志 D.只允许特定IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间 答案:D 解析:D的特定IP地址从前置机提取降低了开放日志共享的攻击面。
97.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需求考虑的攻击方式 A.攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100% B.攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢 C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问 D.攻击者买通IDC人员,将某软件运行服务器的网线拔掉导致无法访问 答案:D 解析:D为社会工程学攻击。
98.某网站为了开发的便利,使用SA链接数据库,由于网站脚本中被发现存在SQL注入漏洞,导致攻击者利用内置存储过程XP.cmctstell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则: A.权限分离原则 B.最小特权原则 C.保护最薄弱环节的原则 D.纵深防御的原则 答案:B 解析:SA是数据库最大用户权限,违反了最小特权原则。
99.微软提出了STRIDE模型,其中Repudation(抵赖)的缩写,关于此项安全要求,下面描述错误的是( ) A.某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R威胁 B.解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施 C.R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高 D.解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行 答案:C 解析:STRIDE代表6种威胁的简称,无严重程度之分。S-欺骗,T-篡改,R-抵赖,I-信息泄露,D-拒绝服务,E-权限提升(攻击)。
100.关于信息安全管理,下面理解片面的是( ) A.信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障 B.信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的 C.信息安全建设中,技术是基础,管理是拔高,既有效的管理依赖于良好的技术基础 D.坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一 答案:C 解析:C是片面的,应为技管并重。