操作系统安全防护不包括哪些:
A.安全防护策略
B.驱动程序升级
C.系统补丁升级
D.终端防护软件
E.个人防火墙
如下对称加密算法描述正确的是:
A.对称加密算法加密速度相对较慢
B.对称加密算法适合加密大块数据
C.对称加密算法可以实现源认证
D.对称加密算法可以实现信息完整性确认
按照应用领域对操作系统进行划分,不包含以下哪一种()。
A.桌面操作系统
B.批处理操作系统
C.服务器操作系统
D.嵌入式操作系统
针对窃听攻击采取的安全服务是()。
A.鉴别服务
B.数据机密性服务
C.数据完整性服务
D.抗抵赖服务
如下关于IPv4包头中描述正确的是:
A.数据包切片的判定标准是超过最大帧长
B.数据包切片之后,重组时是基于切片标识避免数据混淆
C.数据包切片标记位第一位被没有被保留
D.数据包切片标记位第二位是用来确定该数据是否为最后一片
E.数据包切片标记位第三位是用来确定该数据是否允许被切片
“www.itsec.gov.cn”是Internet中主机的()。
A.硬件编码
B.密码
C.软件编码
D.域名
操作系统中不属于设备管理的是:
A.命令接口和程序接口
B.I/O接口
C.USB接口
D.HDMI接口
用户在设置口令时,以下原则哪个是错误的()。
A.严禁使用与账号相同或相似的口令
B.不要使用与个人有关的信息作为口令内容
C.不要设置短于6个字符或仅包含字母或数字的口令
D.可以使用空口令
下列措施不能防止账户口令暴力破解的是()。
A.修改默认的管理员账户名
B.限制口令输入次数
C.更换密码时新密码不能与之前密码相同或相似
D.设置多位由数字和字母组成的超长密码
如下表述错误的是:
A.内因主要来源于信息系统自身存在的脆弱性。
B.外因来源于人为因素和环境因素。
C.利用信息系统脆弱性漏洞进行攻击导致的问题,属于内因。
D.由于打雷等自然现象导致停电的现象,属于外因。
如下关于恶意代码描述正确的是:
A.破坏操作系统的处理器管理功能
B.破坏操作系统的文件管理功能
C.破坏操作系统的存储管理功能
D.直接破坏计算机系统的硬件资源
E.以上全部正确
IPv4地址共分为()个主类。
A.2
B.3
C.4
D.5
以下关于互联网协议安全(InternetProtocolSecurity,IPSec)协议说法错误的是:
A.在传送模式中,保护的是IP负载。
B.验证头协议(AuthenticationHeader,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作。
C.在隧道模式中,保护的是整个互联网协议IP包,包括IP头。
D.IPSec仅能保证传输数据的可认证性和保密性。
下列哪一种方法属于基于实体“所有”鉴别方法:()。
A.用户通过自己设置的口令登录系统,完成身份鉴别
B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全哪项原则
A.最小权限
B.权限分离
C.不信任
D.纵深防御
社会工程学攻击成功的主要原因是人们的信息安全意识淡薄,而产生认知偏差。下列选项都属于社会工程学攻击方式的是()。
A.假托、等价交换、敲诈者病毒
B.信息收集、网络钓鱼攻击、身份盗用
C.身份盗用威胁、信息收集、AV终结者
D.信息收集、敲诈者病毒、暴力破解攻击
某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?
A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
在设计信息系统安全保障方案时,以下哪个做法是错误的:()。
A.要充分切合信息安全需求并且实际可行
B.要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C.要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D.要充分考虑用户管理和文化的可接受性,减少系统方案障碍
在Windows系统中可以察看开放端口情况的是:()。
A.Nbtstat
B.Net
C.Netshow
D.Netstat
下列关于端口说法错误的是()。
A.IP地址的端口都是以端口号来标记的,端口号范围是0~65535
B.端口按协议类型可以分为TCP端口、UDP端口
C.使用netshow命令可以查看那些计算机正在与本机连接
D.在网络环境中可以使用防火墙或者本地策略的方式关闭一些端口
如下不属于蠕虫病毒的是:
A.Wannacry
B.红色代码
C.尼姆达
D.爱虫病毒
在数据库安全性控制中,授权的数据对象,授权子系统就越灵活?
A.粒度越小
B.约束越细致
C.范围越大
D.约束范围大
为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?()。
A.实体“所知”以及实体“所有”的鉴别方法
B.实体“所有”以及实体“特征”的鉴别方法
C.实体“所知”以及实体“特征”的鉴别方法
D.实体“所有”以及实体“行为”的鉴别方法
下列关于用户口令说法错误的是()。
A.口令不能设置为空
B.口令长度越长,安全性越高
C.复杂口令安全性足够高,不需要定期修改
D.口令认证是最常见的认证机制
Alice用Bob的密钥加密明文,将密文发送给Bob。Bob再用自己的私钥解密,恢复出明文。以下说法正确的是()。
A.此密码体制为对称密码体制
B.此密码体制为私钥密码体制
C.此密码体制为单钥密码体制
D.此密码体制为公钥密码体制
下列关于防火墙的说法正确的是()。
A.入栈规则即你的电脑连接其他主机的规则
B.出站规则即其他主机连入你的电脑的规则
C.默认情况下防火墙允许所有传出连接
D.默认情况下防火墙允许所有传入连接
在计算机系统中,操作系统是()。
A.一般应用软件
B.核心系统软件
C.用户应用软件
D.系统支撑软件
降低风险(或减低风险)指通过对面的风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险的措施()
A.减少威胁源,采用法律的手段制裁计算机的犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机
B.签订外包服务合同,将有计算难点,存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合同责任条款来应对风险
C.减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力
D.减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性
在同一个信道上的同一时刻,能够同时进行双向数据传送的通信方式是().
A.单工
B.半双工
C.全双工
D.广播
在TCP/IP模型中与OSI模型网络层对应的是()。
A.网络接口层
B.网际层
C.传输层
D.应用层
下面选项中关于对称密码体制和非对称密码体质描述错误的是()。
A.对称密码体制通信双方拥有同样的密钥,使用的密钥相对较短,密文的长度往往与明文长度相同。
B.非对称密码体制中使用的密钥有两个,一个是对外公开的公钥,可以象电话号码一样进行注册公布;另一个是必须保密的私钥,只有拥有者才知道。
C.与非对称密码体制相比,对称密码体制加解密速度较慢。同等安全强度下,非对称密码体制要求的密钥位数要多一些。
D.非对称密码体制主要是为了解决对称密码体制的缺陷而提出的,即为了解决对称密码体制中密钥分发和管理的问题,以及不可否认的问题。
鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的:()。
A.口令
B.令牌
C.知识
D.密码
如下对哈希函数描述正确的是:
A.使用哈希函数计算出的结果是可以逆运算出原始数据的
B.使用哈希函数计算出的结果长度是可变的
C.差异极小的原始数据,被相同的哈希函数计算,所得结果差异也极小
D.几乎找不到两个不同的原始数据,经过相同的哈希函数计算之后,所得结果相同
以下哪一项不属于恶意代码()。
A.病毒
B.蠕虫
C.宏
D.特洛伊木马
SMTP连接服务器使用端口()。
A.21
B.25
C.80
D.110
IPv4地址是由4段十进制数字组成的,它们代表了()位二进制数字。
A.8
B.16
C.32
D.64
Windows系统下的用于存储用户名的文件是()。
A.SECRET
B.PASSWD
C.USERNAMES
D.SAM
有关危害国家秘密安全的行为的法律责任,正确的是:()。
A.严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B.非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.承担了刑事责任,无需再承担行政责任和/或其他处分
以下不能设置口令加密的文件是()。
A.ZIP
B.PPT
C.PDF
D.TXT
微软提出了STRIDE模型,其中Repudation(抵赖)的缩写,关于此项安全要求,下面描述错误的是()
A.某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R威胁
B.解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C.R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D.解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
系统的主要功能有()。
A.进程管理、存储器管理、设备管理、处理机管理
B.虚拟存储管理、处理机管理、进程调度、文件系统
C.处理机管理、存储器管理、设备管理、文件系统
D.进程管理、中断管理、设备管理、文件系统
IPv4地址有多少二进制位:
A.128
B.64
C.32
D.16
软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是
A.0.00049
B.0.049
C.0.49
D.49
下面哪一项情景属于身份鉴别(Authentication)过程?()
A.用户依照系统提示输入用户名和口令
B.用户在网络上共享了自己编写的一份Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
C.用户使用加密软件对自己家编写的Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
D.某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登陆过程记录在系统日志中
针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需求考虑的攻击方式
A.攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B.攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C.攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D.攻击者买通IDC人员,将某软件运行服务器的网线拔掉导致无法访问
能完成不同的VLAN之间数据传递的设备是()。
A.中继器
B.二层交换器
C.网桥
D.路由器
某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
A.网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B.严格设置Web日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D.使用独立的分区用于存储日志,并且保留足够大的日志空间
如下不属于安全审计的是:
A.提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
B.威慑和警告潜在的攻击者和滥用授权的合法用户。
C.由于安全审计可以被绕过,因此部署安全审计的功能并不理想。
D.在发现故障后,可以帮助评估故障损失,重建事件和数据恢复。
E.对系统控制、安全策略与规程中特定的改变做出评价和反馈便于修订决策和部署。
关于软件安全问题,下面描述错误的是()
A.软件的安全问题可以造成软件运行不稳定,得不到正确结果甚至崩溃
B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决
C.软件的安全问题可能被攻击者利用后影响人身健康安全
D.软件的安全问题是由程序开发者遗留的,和软件部署运行环境无关
在NTFS文件系统中,如果一个共享文件夹的共享权限和NTFS权限发生了冲突,那么以下说法正确的是:()。
A.共享权限优先NTFS权限
B.系统会认定最少的权限
C.系统会认定最多的权限
D.以上都不是
域名系统DNS的作用是()。
A.存放主机域名
B.将域名转换成IP地址
C.存放IP地址
D.存放邮件的地址表
如下关于万维网描述不正确的是:
A.万维网只提供服务器资源下行至用户,不支持用户资源上行至服务器。
B.万维网是因特网上使用最广泛的一种信息服务
C.用户可以通过网页浏览器访问万维网服务器所提供的网页
D.万维网使用超文本标记语言制作网页

9823

被折叠的 条评论
为什么被折叠?



