注册信息安全专业人员(综合练习)真题精选文档格式.docx
- 文档编号:8377913
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:28
- 大小:18.52KB
注册信息安全专业人员(综合练习)真题精选文档格式.docx
《注册信息安全专业人员(综合练习)真题精选文档格式.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员(综合练习)真题精选文档格式.docx(28页珍藏版)》请在冰点文库上搜索。
A.ITSEC
B.TCSEC
C.GB/T9387.2
D.彩虹系列的橙皮书
4、公钥密码算法和对称密码算法相比,在应用上的优势是()。
A.密钥长度更长
B.加密速度更快
C.安全性更高
D.密钥管理更方便
D
5、WhichofthefollowingisnotneededforSystemAccountability?
下列哪一项是系统可问责性不需要的?
A.Auditing审计
B.Identification识别
C.Authorization授权
D.Authentication鉴别
6、根据相关标准,信息安全风险管理可分为背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询等阶段,按照该框架,文档《风险分析告)应属于哪个阶段的输出成果()。
A.风险评估
B.风险处理
C.批准监督
D.篮控审查
7、以下哪一个密码学手段不需要共享密钥?
A.消息认证
B.消息摘要
C.加密解密
D.数字签名
B
8、白盒法是在测试过程中,由详细设计提供的文档,从软件的具体的逻辑结构和执行路径出发,设计测试用例,完成测试的目的,在软件测试中,白盒法是通过分析程序的()来设计测试用例的。
A.应用范围
B.功能
C.内部逻辑
D.输入数据
9、InMandatoryAccessControl,sensitivitylabelscontainwhatinformation?
在强制访问控制中,敏感标记包含什么信息?
A.theitem’sclassification,categorysetandcompartmentset对象的分级、分类设置以及区间设置
B.theitem’sclassificationanditscompartment对象的分级和区间设置
C.theitem’sclassificationandcategoryset对象的分级、分类设置
D.theitem’sclassification对象的分级设置
10、下列哪种算法通常不被用户保证保密性?
A.AES
B.RC4
C.RSA
D.MD5
11、认证中心(CA)的核心职责是()。
A.签发和管理数字证书
B.验证信息
C.公布黑名单
D.撤销用户的证书
12、软件工程方法学的目的是:
使软件生产规范化和工程化,而软件工程方法得以实施的主要保证是()。
A.硬件环境
B.软件开发的环境
C.软件开发工具和软件开发的环境D.开发人员的素质
13、WhichofthefollowingarenecessarycomponentsofaMulti-LevelSecurityPolicy?
下面哪项是多级安全策略的必要组成部分吗?
A.SensitivityLabelsforonlyobjectsandMandatoryAccess
Control.适合于唯一客体的敏感标记和强制访问控制。
B.SensitivityLabelsforsubjects&
objectsanda"
systemhigh"
evaluation.适合于主体与客体的敏感标记以及“高级别系统”评价。
C.SecurityClearancesforsubjects&
SecurityLabelsforobjectsandMandatoryAccess
Control.主体安全声明&
适合于唯一客体的敏感标记和强制访问控制。
D.SensitivityLabelsforsubjects&
objectsandDiscretionaryAccess
Control.适合于主体与客体的敏感标记和自主访问控制。
14、以下对于安全套接层(SSL)的说法正确的是()。
A.主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性
B.可以在网络层建立VPN
C.主要使用于点对点之间的信息传输,常用Webserver方式
D.包含三个主要协议:
AH,ESP,IKE
15、以下关于访问控制表和访问能力表的说法正确的是()。
A.访问能力表表示每个客体可以被访问的主体及其权限
B.访问控制表说明了每个主体可以访问的客体及权限
C.访问控制表一般随主体一起保存
D.访问能力表更容易实现访问权限的传递,但回收访问权限较困难
16、王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。
请问,他这个工作属于下面哪一个阶段的工作()。
A.资产识别并赋值B.脆弱性识别并赋值
C.威胁识别并赋值
D.确认已有的安全措施并赋值
17、WhichofthefollowingisneededforSystemAccountability?
以下哪个是系统问责所需要的?
A.Authorization.授权
B.Formalverificationofsystem
design.系统设计的形式验证
C.DocumenteddesignaslaidoutintheCommon
Criteria.用通用标准陈列设计的文档
D.Audit
mechanisms.审计机制
18、下面哪一项访问控制模型使用安全标签(securitylabels)?
A.自主访问控制
B.非自主访问控制
C.强制访问控制
D.基于角色的访问控制
19、小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个动能模块的方式来处理该风险。
请问这种风险处置的方法是()。
A.降低风险
B.规避风险
C.转移风险
D.放弃风险
20、某个客户的网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问internet互联网最好采取什么办法或技术?
A.花更多的钱向ISP申请更多的IP地址
B.在网络的出口路由器上做源
NATC.在网络的出口路由器上做目的NAT
D.在网络出口处增加一定数量的路由器
21、Thethreeclassicwaysofauthenticatingyourselftothecomputersecuritysoftwarearebysomethingyouknow,bysomethingyouhave,andby
something:
向电脑安全软件验明身份的三种经典的认证方式是:
你所知道的,你所拥有的和什么?
A.youcan
get.你所获得的
B.non-trivial.有意义的
C.you
are.你是什么
D.you
need.你所需要的
C更多内容请访问《睦霖题库》微信公众号
22、以下哪个对windows系统日志的描述是错误的?
A.windows系统默认有三个日志,系统日志、应用程序日志、安全日志
B.系统日志跟踪各种各样的系统事件,例如跟踪系统启动过程中的事件或者硬件和控制器的故障
C.应用日志跟踪应用程序关联的事件,例如应用程序产生的装载DLL(动态链接库)失败的信息
D.安全日志跟踪各类网络入侵事件,例如拒绝服务攻击、口令暴力破解等
23、下列有关救件问题生命周期模型状态定义的说法中,错误的是()。
A."
新建"
表示测试中发现开报告了新的软件问题
B."
打开"
表示软件问题已经被确认并分配测试工程师处理
C."
关闭"
表示软件问题已被已被确认为无效的软件问题
D."
解决"
表示软件问题己被确认修复
24、Individualaccountabilitydoesnotincludewhichofthefollowing?
个人问责不包括下列哪一项?
A.audit
trails.审计跟踪
B.policies&
procedures.政策与程序
C.unique
identifiers.唯一识别符D.access
rules.访问规则
25、渗透性测试的第一步是()。
A.信息收集
B.漏洞分析与目标选定
C.拒绝服务攻击
D.尝试漏洞利用
26、某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为,当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。
但入侵检测技术不能实现以下哪种功能()。
A.检测并分析用户和系统的活动
B.核查系统的配置漏洞,评估系统关键资源和数据文件的完整性
C.防止IP地址欺骗
D.识别违反安全策略的用户活动
27、以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法?
A.加强软件的安全需求分析,准确定义安全需求
B.设计符合安全准则的功能、安全功能与安全策略
C.规范开发的代码,符合安全编码规范
D.编制详细软件安全使用手册,帮助设置良好的安全使用习惯
28、Atimelyreviewofsystemaccessauditrecordswouldbeanexampleofwhichofthebasicsecurityfunctions?
及时的复审系统访问审计记录是以下哪个安全功能的例子?
A.prevention.预防
B.avoidance.避免
C.detection.检测
D.deterrence.威慑
29、王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了Nessus工具来扫描和发现数据库服务器的漏洞。
根据风险管理的相关理论,他这个扫描活动属于下面哪一个阶段的工作()。
A.风险分析
B.风险要素识别
C.风险结果判定
D.风险处理
30、根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中()确立安全解决方案的置信度并且把这样的置信度传递给客户。
A.保证过程
B.风险过程
C.工程和保证过程
D.安全工程过程
31、ARPandRARPmapbetweenwhichofthefollowing?
ARP和RARP协议是下面哪两个之间的映射?
()A.32-bitaddressesinIPv4and48-bithardwareaddresses.32位IPv4地址和48位硬件地址B.32-bithardwareaddressesand48-bitIPv4addresses.32位硬件地址和48位IPv4地址
C.DNSaddressesand
IPaddresses.DNS地址和IP地址D.32-bithardwareaddressesand48-bitIPv6addresses.32位硬件地址和48位IPv6地址
32、DSA算法不提供以下哪种服务?
A.数据完整性
B.加密
C.数字签名
D.认证
D[单项选择题]
33、关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:
()。
A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》
(中办发27号文件)并颁布了国家信息安全战略C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐
34、BothTCPandUDPuseportnumbersofwhatlength?
TCP和UDP协议所使用到端口范围有多大()A.4bits.4比特B.16bits.16比特C.8bits8.比特D.32bits.32比特
35、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性。
以下哪一层提供了保密性、身份鉴别、数据完整性服务?
A.网络层
B.表示层
C.会话层
D.物理层
36、关于信息安全事件和应急响应的描述不正确的是()。
A.信息安全事件,是指由于自然或人为以及软、硬件本身缺陷或故障的原因,对信息系统造成危害,或者在信息系统内发生对社会造成负面影响的事件。
B.至今,已有一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护,这就使得信息安全事件的发生是不可能的。
C.应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。
D.应急响应工作与其他信息安全管理工作相比有其鲜明的特点:
具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作
37、Whenreferringtothedatastructuresofapacket,whatisthepropertermtorefertoasingleunitofTCPdataatthetransportlayer?
当提及一个数据包结构时,以下哪项可以表示一个TCP包在传输层的单个数据单元?
A.TCP
segment.TCP段
B.TCP
packet.TCP包
C.TCP
frame.TCP帧
D.TCP
datagram.TCP报文
38、Linux系统的用户信息保存在passwd中,某用户条目backup:
*:
34:
34:
backup:
/var/backups:
/bin/sh,以下关于该账号的描述不正确的是()。
A.backup账号没有设置登录密码
B.backup账号的默认主目录是/var/backups
C.Backup账号登录后使用的shell是、bin/sh
D.Backup账号是无法进行登录
39、以下关于lixun超级权限的说明,不正确的是()。
A.一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B.普通用户可以通过su和sudo来获得系统的超级权限
C.对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
D.Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
40、对信息安全事件的分级参考下列三个要素:
信息系统的重要程度、系统损失和社会影响。
依据信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是()。
A.特别重要信息系统
B.重要信息系统
C.一般信息系统
D.关键信息系统
41、ICMPandIGMPbelongtowhichlayeroftheOSImodel?
ICMP和IGMP协议在OSI模型中属于那层?
A.Datagram
Layer.数据报文层
B.Network
Layer.网络层
C.DataLink
Layer.数据链路层
D.Transport
Layer.传输层
42、以下关于windowsSAM(安全账户管理器)的说法错误的是()。
A.安全账户管理器(SAM)具体表现就是%SystemRoot%/system32/config/sam
B.安全账户管理器(SAM)存储的账号信息是存储在注册表中
C.安全账户管理器(SAM)存储的账号信息对administrator和system是可读和可写的
D.安全账户管理器(SAM)是windows的用户数据库,系统进程通过SecurityAccountsManager服务进行访问和操作
43、Kerberos协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务。
单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是消息M在多个应用系统之间的传递或共享。
其中,消息M是指以下选项中的()。
A.安全凭证
B.用户名
C.加密密钥
D.会话密钥
44、Whichtechniqueisspecificallyaweaknessofcallbacksystems?
哪项技术是回拨系统特有的弱点?
A.social
engineering.社会工程学
B.between-the-linesentry.之间的线路输入
C.call
forwarding.呼叫转移
D.spoofing.欺骗
45、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚步将被解释执行,这是哪种类型的漏洞?
A.缓冲区溢出
B.sql注入
C.设计错误
D.跨站脚本
46、某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估中“风险评估准备”阶段输出的文档。
A.
《风险评估工作计划》,主要包括本次风险评估的目的、意义、范图、目标、组织结构、角色及职责、经费预算
B.
《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容和进度安排等内容
C.
《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D.
《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容
47、下列哪种技术不是恶意代码的生产技术?
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 注册 信息 安全 专业人员 综合 练习 精选
![提示](https://static.bingdoc.com/images/bang_tan.gif)