技术技能附有答案

技术技能[复制]1.以下对信息安全描述不正确的是[单选题]*A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件(正确答案)D.信息安全不仅仅只考虑防止信息泄密就可以了2.以下对信息安全管理的描述错误的是[单选题]*A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人(正确答案)3.构成风险的关键因素有哪些？[单选题]*A.人，财，物B.技术，管理和操作C.资产，威胁和弱点(正确答案)D.资产，可能性和严重性4.以下有关访问控制的描述不正确的是[单选题]*A.口令是最常见的验证身份的措施，也是重要的信息资产，应妥善保护和管理B.系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，即分配给员工的访问权限只需满足其工作需要的权限，工作之外的权限一律不能分配C.单点登录系统（一次登录/验证，即可访问多个系统）最大的优势是提升了便利性，但是又面临着“把所有鸡蛋放在一个篮子”的风险；D.双因子认证（又称强认证）就是一个系统需要两道密码才能进入；(正确答案)5.有关信息系统的设计、开发、实施、运行和维护过程中的安全问题，以下描述错误的是[单选题]*A.信息系统的开发设计，应该越早考虑系统的安全需求越好B.信息系统的设计、开发、实施、运行和维护过程中的安全问题，不仅仅要考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统C.信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理(正确答案)D.运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险6.一个组织将制定一项策略以定义了禁止用户访问的WEB站点类型。

为强制执行这一策略，最有效的技术是什么？[单选题]*A.状态检测防火墙B.WEB内容过滤器(正确答案)C.WEB缓存服务器D.应该代理服务器7.以下哪项行为可能使用嗅探泄露系统的管理员密码？[单选题]*A.使用root用户访问FTP程序(正确答案)B.使用root用户连接SSH服务C.使用root进行SCP文件传输D.在本地使用root用户登录8.如果恶意开发人员想在代码中隐藏逻辑炸弹，什么预防方式最有

效？[单选题]*A.源代码周期性安全扫描B.源代码人工审计(正确答案)C.渗透测试D.对系统的运行情况进行不间断监测记录9.安全开发制度中，QA最关注的的制度是[单选题]*A.系统后评价规定B.可行性分析与需求分析规定C.安全开发流程的定义、交付物和交付物衡量标准(正确答案)D.需求变更规定10.输入参数过滤可以预防以下哪些攻击[单选题]*A.SQL注入、跨站脚本、缓冲区溢出(正确答案)B.SQL注入、跨站脚本、DNS毒药C.SQL注入、跨站请求伪造、网络窃听D.跨站请求伪造、跨站脚本、DNS毒药安全测试主要关注系统的哪方面？[单选题]*A)响应速度B)数据库完整性C)加密性和访问控制(正确答案)D)用户界面友好度安全测试的典型指标包括哪些？[单选题]*A)测试用例覆盖率和缺陷密度B)漏洞扫描结果和安全防护成果评估(正确答案)C)吞吐量和响应时间D)网络延迟和数据丢失率13.安全测试的典型测试场景包括什么？[单选题]*A)模拟网络攻击和漏洞扫描(正确答案)B)模拟高并发和负载情况C)模拟不同平台和浏览器环境D)模拟断网和网络异常情况14."Q0ITUC1QVEU="此段密文采用了那种加密方式（）[单选题]*A、MD5B、AESC、Base64(正确答案)D、DES（）是最常用的公钥密码算法[单选题]*A、量子密码B、RSA(正确答案)C、椭圆曲线D、DSA以下关于数字签名说法正确的是()[单选题]*A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B.数字签名能够解决数据的加密传输，即安全传输问题C.数字签名一般采用对称加密机制D.数字签名能够解决篡改.伪造等安全性问题(正确答案)为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并将编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是()[单选题]*A.信息安全需求报告应依据该公众服务信息系统的功能设计方案为主要内容来撰写(正确答案)B.信息安全需求描述报告是设计和撰写信息安全保障方案的前提和依据C.信息安全需求描述报告应当基于信息安全风险评估结果和有关政策法规和标准的合规性要求得到D.信息安全需求描述报告的主题内容可以按照技术，管理和工程等方面需求展开编写企业安全架构（SherwoodAppliedBusinessSecurityArchitecture,SABSA）是企业架构的一个子集，它定义了(),包括各层级的（）.流程和规程，以及它们与整个企业的战略.战术和运营链接的方式，用全面的.严格的方法描述了组成完整的信息安全管理体系（ISMS）所有组件的（）。开发企业安全架构的很主要原因是确保安全工作以一个标准化的节省成本的方式与业务实践相结合。架构在抽象层面工作，它提供了一个()。除了安全性之外，这种类型的架构让组织更好的实现（）.集成性.易用性.标准化和便于治理性。[单选题]*A.信息安全战略；解决方案；结构和行为；可供参考的框架；互操作性；B.信息安全战略；结构和行为；解决方案；可供参考的框架；互操作性；(正确答案)C.信息安全战略；解决方案；可供参考的框架；结构和行为；互操作性；D.信息安全战略；可供参考的框架；解决方案；结构和行为；互操作性关于源代码审核，下列说法正确的是（）[单选题]*A.源代码审核往往需要大量的时间，采用人工审核费时费力，但可以通过多人并行审核来弥补这个缺点B.源代码审核工具应当以检查源代码的功能是否完整.是否执行正确为主要功能C.使用工具进行源代码审核自动化执行代码检查和分析，能够极大提高软件可靠性并节约软件开发和测试的成本己经取代了传统的人工审核源代码审核是指无需运行被测代码，仅对源代码检查分析，检测并报告源代码中可能隐藏的错误和缺陷(正确答案)TCP／IP协议族是为实现异构网互联推出的协议规范，具有较好的开放性，internet是在TCP／TP协议族的基础上构建的。但由于TCP／IP协议族在设计初期过于关注其开放性和便利性，对安全性考虑较少，因此其中很多协议存在安全隐患，例如，攻击者可以利用TCP协议的三次握手机制实现DS攻击，也可以通过猜测TCP会话中的序号来伪造数据包那么上述例子中的情况可能发生在（）[单选题]*A.应用层B.传输层(正确答案)C.网络层D.链路层以下哪一项是数据完整性得到保护的例子?[单选题]*A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作(正确答案)C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看下列对于信息安全保障深度防御模型的说法错误的是：[单选题]*A.信息安全外部环境：信息安全保障是组织机构安全.国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策.法律法规和标准的外部环境制约下。B.信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C.信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。D.信息安全技术方案：“从外而内.自下而上.形成边界到端的防护能力”。(正确答案)某用户通过账号.密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：[单选题]*A.个人网银系统和用户之间的双向鉴别B.由可信第三方完成的用户身份鉴别C.个人网银系统对用户身份的单向鉴别(正确答案)D.用户对个人网银系统合法性的单向鉴别Alice用Bob的密钥加密明文，将密文发送给Bob。Bob再用自己的私钥解密，恢复出明文。以下说法正确

的是：[单选题]*A.此密码体制为对称密码体制B.此密码体制为私钥密码体制C.此密码体制为单钥密码体制D.此密码体制为公钥密码体制(正确答案)某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?[单选题]*A.渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞(正确答案)B.渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C.渗透测试使用人工进行测试，不依赖软件，因此测试更准确D.渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是：[单选题]*A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实B.在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足C.确保对软编码人员进行安全培训，开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码D.在软件上线前对软件进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行(正确答案)某公司已有漏洞扫描和入侵检测系统(IntrusionDetectionSystem，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：[单选题]*A.选购当前技术最先进的防火墙即可B.选购任意一款品牌防火墙C.任意选购一款价格合适的防火墙产品D.选购一款同已有安全产品联动的防火墙(正确答案)某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：[单选题]*A.网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中(正确答案)B.严格设置Web日志权限，只有系统权限才能进行读和写等操作C.对日志属性进行调整，加大日志文件大小.延长覆盖时间.设置记录更多信息等D.使用独立的分区用于存储日志，并且保留足够大的日志空间安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?[单选题]*A.操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞B.为了方便进行数据备份，安装Windows操作系统时只使用一个分区C，所有数据和操作系统都存放在C盘(正确答案)C.操作系统上部署防病毒软件，以对抗病毒的威胁D.将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能关于linux下的用户和组，以下描述不正确的是。[单选题]*A.在linux中，每一个文件和程序都归属于一个特定的“用户”B.系统中的每一个用户都必须至少属于一个用户组C.用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于多个组(正确答案)D.root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限在数据库安全性控制中，授权的数据对象，（），授权子系统就越灵活?[单选题]*A.粒度越小(正确答案)B.约束越细致C.范围越大D.约束范围大下列哪一些对信息安全漏洞的描述是错误的?[单选题]*A.漏洞是存在于信息系统的某种缺陷。B.漏洞存在于一定的环境中，寄生在一定的客体上(如TOE中.过程中等)。C.具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。D.漏洞都是人为故意引入的一种信息系统的弱点(正确答案)账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?[单选题]*A.分布式拒绝服务攻击(DDoS)B.病毒传染C.口令暴力破解(正确答案)D.缓冲区溢出攻击关于软件安全开发生命周期(SDL)，下面说法错误的是：[单选题]*A.在软件开发的各个周期都要考虑安全因素B.软件安全开发生命周期要综合采用技术.管理和工程等手段C.测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本(正确答案)D.在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本35.以下哪一种判断信息系统是否安全的方式是最合理的?[单选题]*A.是否己经通过部署安全控制措施消灭了风险B.是否可以抵抗大部分风险C.是否建立了具有自适应能力的信息安全模型D.是否已经将风险控制在可接受的范围内(正确答案)36.以下关于软件安全测试说法正确的是（）[单选题]*A.软件安全测试就是黑盒测试B.FUZZ测试是经常采用的安全测试方法之一(正确答案)C.软件安全测试关注的是软件的功能D.软件安全测试可以发现软件中产生的所有安全问题以下关于https协议http协议相比的优势说明，那个是正确的：[单选题]*A.Https协议对传输的数据进行加密，可以避免嗅探等攻击行为(正确答案)B.Https使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性C.Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能D.Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性关于源代码审核，描述正确的是（）[单选题]*A.源代码审核过程遵循信息安全保障技术框架模型(IATF)，在执行时应一步一步严格执行B.源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具(正确答案)C.源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断D.源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：[单选题]*A.模拟正常用户输入行为，生成大量数据包作为测试用例B.数据处理点、数据通道的入口点和可信边界点往往不是测试对象C.监测和记录输入数据后程序正常运行的情况D.深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析(正确答案)下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的（）[单选题]*A.设计了三层Ｗｅｂ架构，但是软件存在ＳＱＬ注入漏洞，导致被黑客攻击后能直接访问数据库B.使用Ｃ语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞C.设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据(正确答案)D.使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据(1)网络安全工作的目标包括（）*A、信息机密性;(正确答案)B、信息完整性;(正确答案)C、服务可用性;(正确答案)D、可审查性(正确答案)(2)网络操作系统应当提供哪些安全保障（）*A)验证(Authentication)(正确答案)B)授权(Authorization)(正确答案)C)数据保密性(DataConfidentiality)(正确答案)D)数据一致性(DataIntegrity)(正确答案)E)数据的不可否认性(DataNonrepudiation)(正确答案)(3)WindowsNT的"域"控制机制具备哪些安全特性?（）*A)用户身份验证(正确答案)B)访问控制(正确答案)C)审计(日志)(正确答案)D)数据通讯的加密(4)从系统整体看，下述那些问题属于系统安全漏洞（）*A)产品缺少安全功能(正确答案)B)产品有Bugs(正确答案)C)缺少足够的安全知识(正确答案)