« 返回题库列表2026年CISP认证考试历年真题及答案下载|最新CISP题库PDF+考试重点解析
问题 #1
有关危害国家秘密安全的行为的法律责任,正确的是:
A. 严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B. 非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
问题 #2
以下对于信息安全事件理解错误的是:
A. 信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B. 对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
问题 #3
假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备:
A. 是多余的,因为它们完成了同样的功能,但要求更多的开销
B. 是必须的,可以为预防控制的功效提供检测
问题 #4
关于我国加强信息安全保障工作的主要原则,以下说法错误的是:
A. 立足国情,以我为主,坚持技术与管理并重
B. 正确处理安全和发展的关系,以安全保发展,在发展中求安全
问题 #5
以下哪一项不是信息安全管理工作必须遵循的原则?
A. 风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B. 风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
问题 #6
《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)中关于信息系统生命周期各阶段的风险评估描述不正确的是:
A. 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B. 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求
问题 #7
对信息安全风险评估要素理解正确的是:
A. 资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
B. 应针对构成信息系统的每个资产做风险评价
问题 #8
以下哪些是需要在信息安全策略中进行描述的:
A. 组织信息系统安全架构
B. 信息安全工作的基本原则
问题 #9
根据《关于开展信息安全风险评估工作的意见》的规定,错误的是:
A. 信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充
B. 信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展
问题 #10
下面的角色对应的信息安全职责不合理的是:
A. 高级管理层——最终责任
B. 信息安全部门主管——提供各种信息安全工作必须的资源
问题 #11
自2004 年1 月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
A. 全国通信标准化技术委员会(TC485)
B. 全国信息安全标准化技术委员会(TC260)
问题 #12
风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))以下关于上式各项说明错误的是:
A. R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B. L 表示威胁利资产脆弱性导致安全事件的可能性
问题 #13
以下哪一项在防止数据介质被滥用时是不推荐使用的方法:
A. 禁用主机的CD 驱动、USB 接口等I/O 设备
B. 对不再使用的硬盘进行严格的数据清除
问题 #14
在进行应用系统的测试时,应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的:
A. 测试系统应使用不低于生产系统的访问控制措施
B. 为测试系统中的数据部署完善的备份与恢复措施
问题 #15
为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。
问题 #16
关于信息安全事件管理和应急响应,以下说法错误的是:
A. 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段
问题 #17
以下哪一项不属于信息安全工程监理模型的组成部分:
问题 #18
以下关于灾难恢复和数据备份的理解,说法正确的是:
A. 增量备份是备份从上次完全备份后更新的全部数据文件
B. 依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7 个等级
问题 #19
某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M 公司为承建单位,并选择了H 监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M 公司已经提交了验收申请,监理公司需要对A 公司提交的软件配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:
问题 #20
在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
问题 #21
以下关于直接附加存储(Direct Attached Storage,DAS)说法错误的是:
A. DAS 能够在服务器物理位置比较分散的情况下实现大容量存储.是一种常用的数据存储方法
B. DAS 实现了操作系统与数据的分离,存取性能较高并且实施简单
问题 #22
某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为了找到根本愿因,他应该首先检查:
A. 灾难恢复站点的错误事件报告
B. 灾难恢复测试计划
问题 #23
以下对异地备份中心的理解最准确的是:
A. 与生产中心不在同一城市
B. 与生产中心距离100 公里以上
问题 #24
作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是:1.标识关键的业务过程; 2.开发恢复优先级; 3.标识关键的IT 资源; 4.表示中断影响和允许的中断时间
问题 #25
有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是:
A. SSE-CMM 要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B. SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目
问题 #26
下面关于信息系统安全保障的说法不正确的是:
A. 信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B. 信息系统安全保障要素包括信息的完整性、可用性和保密性
问题 #27
在使用系统安全工程-能力成熟度模型(SSECMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
A. 测量单位是基本实施(Base Practices,BP)
B. 测量单位是通用实践(Generic Practices,GP)
问题 #28
下面关于信息系统安全保障模型的说法不正确的是:
A. 国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B. 模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
问题 #29
信息系统安全工程(ISSE)的一个重要目标就是在IT 项目的各个阶段充分考虑安全因素,在IT 项目的立项阶段,以下哪一项不是必须进行的工作:
A. 明确业务对信息安全的要求
B. 识别来自法律法规的安全要求
问题 #30
关于信息安全保障技术框架(IATF),以下说法不正确的是:
A. 分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
B. IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
问题 #31
某单位开发一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析,模糊测试等软件测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试,模糊测试的优势给领导做决策,以下哪条是渗透性的优势?
A. 渗透测试使用人工进行测试,不依赖软件,因此测试更准确
B. 渗透测试是用软件代替人工的一种测试方法。因此测试效率更高
问题 #32
以下关于软件安全测试说法正确的是()
A. 软件安全测试就是黑盒测试
B. FUZZ 测试是经常采用的安全测试方法之一
问题 #33
信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:
A. 信息系统的技术架构安全问题
B. 信息系统组成部门的组件安全问题
问题 #34
有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Practice)正确的理解是:
A. BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B. BP 不是根据广泛的现有资料,实施和专家意见综合得出的
问题 #35
层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系,也ISMS建设的成果之一,通常将ISMS 的文档结构规划为4 层金字塔结构,那么,以下选项( )应放入到一级文件中.
A. 《风险评估报告》
B. 《人力资源安全管理规定》
问题 #36
信息安全管理体系(information Security Management System.简称ISMS)的实施和运行ISMS 阶段,是ISMS过程模型的实施阶段(Do),下面给出了一些备①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS 的运行⑥管理ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估选的活动,选项( )描述了在此阶段组织应进行的活动。
问题 #37
在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是()
A. 资产的价值指采购费用
B. 资产的价值指维护费用
问题 #38
某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A. 软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决90%以上的安全问题。
B. 应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
问题 #39
某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WEB 目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,一下那种测试方式是最佳的测试方法。
问题 #40
下面哪项属于软件开发安全方面的问题()
A. 软件部署时所需选用服务性能不高,导致软件执行效率低。
B. 应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
问题 #41
为增强Web 应用程序的安全性,某软件开发经理决定加强Web 软件安全开发培训,下面哪项不在考虑范围内()
A. 关于网站身份签别技术方面安全知识的培训
B. 针对OpenSSL 心脏出血漏洞方面安全知识的培训
问题 #42
以下关于https 协议http 协议相比的优势说明,那个是正确的:
A. Https 协议对传输的数据进行加密,可以避免嗅探等攻击行为
B. Https 使用的端口http 不同,让攻击者不容易找到端口,具有较高的安全性
问题 #43
不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()。
A. 定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B. 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
问题 #44
小李去参加单位组织的信息安全管理体系(Information Security Management System.ISMS)的理解画了一下一张图(图中包括了规划建立、实施运行、保持和改进),但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。
问题 #45
为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,( )规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
A. GB/T 20271-2006《信息系统通用安全技术要求》
B. GB/T 22240-2008《信息系统安全保护等级定级指南》
问题 #46
某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是:
A. 所选择的特征(指纹)便于收集、测量和比较
B. 每个人所拥有的指纹都是独一无二的
问题 #47
下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则?
A. 《关于加强政府信息系统安全和保密管理工作的通知》
B. 《中华人民共和国计算机信息系统安全保护条例》
问题 #48
在以下标准中,属于推荐性国家标准的是?
A. GB/T XXXX.X-200X
B. GB XXXX-200X
问题 #49
微软SDL 将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于()的安全活动
问题 #50
由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
A. 要求所有的开发人员参加软件安全开发知识培训
B. 要求增加软件源代码审核环节,加强对软件代码的安全性审查
问题 #51
关于源代码审核,描述正确的是()
A. 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B. 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
问题 #52
微软提出了STRIDE 模型,其中R 是Repudiation(抵赖)的缩写,此项错误的是()
A. 某用户在登录系统并下载数据后,却声称“我没有下载过数据"软件R 威胁
B. 某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R 威胁。
问题 #53
我国信息安全保障工作先后经历启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各阶段说法不正确的是:
A. 2001 国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动
B. 2003 年7 月,国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发27 号文),明确了“积极防御、综合防范“的国家信息安全保障方针
问题 #54
金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的习惯:
A. 使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级
B. 为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
问题 #55
我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于安全保障建设主要工作内容说法不正确的是:
A. 建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B. 建设信息安全基础设施,提供国家信息安全保障能力支撑
问题 #56
某银行信息系统为了满足业务的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素
A. 信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准
B. 信息系统所承载该银行业务正常运行的安全需求
问题 #57
信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是:
A. 信息产品安全评估是测评机构的产品的安全性做出的独立评价,增强用户对已评估产品安全的信任
B. 目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
问题 #58
美国的关键信息基础设施(Critical Information Infrastructure,CII)包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:
A. 这些行业都关系到国计民生,对经济运行和国家安全影响深远
B. 这些行业都是信息化应用广泛的领域
问题 #59
在设计信息系统安全保障方案时,以下哪个做法是错误的:
A. 要充分切合信息安全需求并且实际可行
B. 要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
问题 #60
分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()
A. 分组密码算法要求输入明文按组分成固定长度的块
B. 分组密码的算法每次计算得到固定长度的密文输出块
问题 #61
密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。下面描述中,错误的是()
A. 在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步骤可以不明确处理方式。
B. 密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行。
问题 #62
部署互联网协议安全虚拟专用网(Internet protocol Security Virtual Private Network,IPsec VPN)时,以下说法正确的是:
A. 配置MD5 安全算法可以提供可靠的数据加密
B. 配置AES 算法可以提供可靠的数据完整性验证
问题 #63
虚拟专用网络(VPN)通常是指在公共网路中利用隧道技术,建立一个临时的,安全的网络。这里的字母P 的正确解释是()
A. Special-purpos
B. Proprietary 专有的、专卖的
问题 #64
以下Windows 系统的账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:
A. 存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B. 存储在注册表中的账号数据administrator 账户才有权访问,具有较高的安全性
问题 #65
某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()
问题 #66
关于恶意代码,以下说法错误的是:
A. 从传播范围来看,恶意代码呈现多平台传播的特征。
B. 按照运行平台,恶意代码可以分为网络传播型病毒、文件传播型病毒。
问题 #67
某单位对其主网站的一天访问流量监测图,图显示该网站在当天17:00 到20:00 间受到了攻击,则从数据分析,这种攻击类型最可能属于下面什么攻击()。
A. 跨站脚本(Cross Site Scripting,XSS)攻击
B. TCP 会话劫持(TCP Hijack)攻击
问题 #68
当前,应用软件安全已经日益引起人们的重视,每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中,哪个与应用软件漏洞成因无关:
A. 传统的软件开发工程未能充分考虑安全因素
B. 开发人员对信息安全知识掌握不足
问题 #69
下面哪个模型和软件安全开发无关()?
A. 微软提出的“安全开发生命周期(Security Development Lifecycle,SDL)”
B. Gray McGraw 等提出的“使安全成为软件开发必须的部分(Building Security IN,BSI)”
问题 #70
某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,以下关于模糊测试过程的说法正确的是:
A. 模拟正常用户输入行为,生成大量数据包作为测试用例
B. 数据处理点、数据通道的入口点和可信边界点往往不是测试对象
问题 #71
以下关于模糊测试过程的说法正确的是:
A. 模糊测试的效果与覆盖能力,与输入样本选择不相关
B. 为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
问题 #72
关于WI-FI 联盟提出的安全协议WPA 和WPA2 的区别。下面描述正确的是()
A. WPA 是有线局域安全协议,而WPA2 是无线局域网协议
B. WPA 是适用于中国的无线局域安全协议,WPA2 是使用于全世界的无线局域网协议
D.WPA 是依照802. 11i 标准草案制定的,而WPA2 是按照802.11i 正式标准制定的
问题 #73
防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
问题 #74
异常入侵检测是入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为。下面说法错误的是
A. 在异常入侵检测中,观察的不是已知的入侵行为,而是系统运行过程中的异常现象
B. 实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生
问题 #75
S 公司在全国有20 个分支机构,总部由10 台服务器、200 个用户终端,每个分支机构都有一台服务器、100 个左右用户终端,通过专网进行互联互通。公司招标的网络设计方案中,四家集成商给出了各自的IP 地址规划和分配的方法,作为评标专家,请给5 公司选出设计最合理的一个:
A. 总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x---192.168.20.x
B. 总部服务器使用10.0.1.1—11、用户终端使用10.0.1.12—212 ,分支机构IP 地址随意确定即可
C.总部服务器使用10. 0.1.x 、用户端根据部门划分使用10.0.2.x ,每个分支机构分配两个A 类地址段,一个用做服务器地址段、另外一个做用户终端地址段
问题 #76
私有IP 地址是一段保留的IP 地址。只适用在局域网中,无法在Internet 上使用。关于私有地址,下面描述正确的是()。
A. A 类和B 类地址中没有私有地址,C 类地址中可以设置私有地址
B. A 类地址中没有私有地址,B 类和C 类地址中可以设置私有地址
问题 #77
口令破解是针对系统进行攻击的常用方法,windows 系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略,关于这两个策略说明错误的是
A. 密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控
B. 密码策略对系统中所有的用户都有效
问题 #78
windows 文件系统权限管理使用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的:
A. 安装Windows 系统时要确保文件格式适用的是NTFS. 因为Windows 的ACL 机制需要NTFS 文件格式的支持
B. 由于Windows 操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的ACL 存在默认设置安全性不高的问题
问题 #79
由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下:账户锁定阀值3 次无效登陆;账户锁定时间10 分钟;复位账户锁定计数器5 分钟;以下关于以上策略设置后的说法哪个是正确的
A. 设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B. 如果正常用户部小心输错了3 次密码,那么该账户就会被锁定10 分钟,10 分钟内即使输入正确的密码,也无法登录系统
问题 #80
加密文件系统(Encrypting File System, EFS)是Windows 操作系统的一个组件,以下说法错误的是()
A. EFS 采用加密算法实现透明的文件加密和解密,任何不拥有合适密钥的个人或者程序都不能解密数据
B. EFS 以公钥加密为基础,并利用了widows 系统中的CryptoAPI 体系结构
问题 #81
关于数据库恢复技术,下列说法不正确的是:
A. 数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复
B. 数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术
问题 #82
数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是:
A. 最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
B. 最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息
问题 #83
数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP 协议中,数据封装的顺序是:
A. 传输层、网络接口层、互联网络层
B. 传输层、互联网络层、网络接口层
问题 #84
以下关于SMTP 和POP3 协议的说法哪个是错误的
A. SMTP 和POP3 协议是一种基于ASCII 编码的请求/响应模式的协议
B. SMTP 和POP3 协议铭文传输数据,因此存在数据泄露的可能 C SMTP 和POP3 协议缺乏严格的用户认证,因此导致了垃圾邮件问题
问题 #85
安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension, S/MIME )是指一种保障邮件安全的技术,下面描述错误的是()
A. S/MIME 采用了非对称密码学机制
B. S/MIME 支持数字证书
问题 #86
应用安全,一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是()
A. 身份鉴别,应用系统应对登陆的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B. 安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问
问题 #87
Apache Http Server(简称 Apache)是一个开放源码的WEB服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下那种措施()
A. 安装后,修改访问控制配置文件
B. 安装后,修改配置文件Http
问题 #88
下面信息安全漏洞理解错误的是:
A. 讨论漏洞应该从生命周期的角度出发,信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段均有可能产生漏洞
B. 信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段,由于设计、开发等相关人员无意中产生的缺陷所造成的
问题 #89
下面对“零日(zero-day)漏洞”的理解中,正确的是()
A. 指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限
B. 指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施
问题 #90
某单位发生的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处的李强,我的邮箱密码忘记了,现在打不开邮件,我着急收割邮件,麻烦腻先帮我把密码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求,随后,李强发现邮箱系统登陆异常,请问下泪说法哪个是正确的
A. 小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题
B. 事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器
问题 #91
某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题。但为了安全起见,他仍然向主管领导提出了应对策略,作为主管负责人,请选择有效的针对此问题的应对措施:
A. 在防火墙上设置策略,阻止所有的ICMP流量进入
B. 删除服务器上的ping.exe程序
问题 #92
下面四款安全测试软件中,主要用于WEB安全扫描的是()
A. CIsco Auditing Tools
B. Acunetix Web Vulnerability Scanner
问题 #93
某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建设,作为安全专家,请指出大家提的建议中不太合适的一条:
A. 对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
B. 要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
问题 #94
在软件保障成熟度模型(SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能
A. 治理,主要是管理软件开发的过程和活动
B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动
问题 #95
某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A. 软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题
B. 应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少的多。
问题 #96
下面有关软件安全问题的描述中,哪项是由于软件设计缺陷引起的()
A. 设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库
B. 使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
问题 #97
软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是
问题 #98
某集团公司根据业务需求,在各地分支机构部属前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机种提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?
A. 由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B. 为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险
问题 #99
针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需求考虑的攻击方式
A. 攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B. 攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
闽公网安备 35012102500533号
|
闽ICP备18010967号-7