知识点:信息安全技术知识点
365、张三将微信个人头像换成微信群中某好友头像,并将昵称改为该好友昵称,然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击? A.口令攻击 B.暴力破解 C.拒绝服务攻击 D.社会工程学攻击 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
369、公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的: A.乙对信息安全不重视,低估了黑客能力,不舍得花钱
B.甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费 C.甲未充分考虑网游网站的业务与政府网站业务的区别
D.乙要综合考虑业务.合规性和风险,与甲共同确定网站安全需求 正确答案:A
所在章:信息安全技术
知识点:信息安全技术知识点
370、进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史.国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是:
A.与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B.美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
C.各国普遍重视信息安全事件的应急响应和处理
D.在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
373、下列哪一种方法属于基于实体“所有”鉴别方法: A.用户通过自己设置的口令登录系统,完成身份鉴别 B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别 D.用户使用集成电路卡(如智能卡)完成身份鉴别 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
374、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法? A.实体“所知”以及实体“所有”的鉴别方法 B.实体“所有”以及实体“特征”的鉴别方法 C.实体“所知”以及实体“特征”的鉴别方法 D.实体“所有”以及实体“行为”的鉴别方法 正确答案:A
所在章:信息安全技术
知识点:信息安全技术知识点
375、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞 B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 正确答案:A
所在章:信息安全技术
知识点:信息安全技术知识点
376、软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?
A.告诉用户需要收集什么数据及搜集到的数据会如何被使用 B.当用户的数据由于某种原因要被使用时,给用户选择是否允许 C.用户提交的用户名和密码属于稳私数据,其它都不是 D.确保数据的使用符合国家.地方.行业的相关法律法规 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
377、以下场景描述了基于角色的访问控制模型(Role-basedAccessControl.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位.职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型,下列说法错误的是: A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B.业务系统中的岗位.职位或者分工,可对应RBAC模型中的角色 C.通过角色,可实现对信息资源访问的控制 D.RBAC模型不能实现多级安全中的访问控制 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
378、下面哪一项不是虚拟专用网络(VPN)协议标准: A.第二层隧道协议(L2TP) B.Internet安全性(IPSEC)
C.终端访问控制器访问控制系统(TACACS+) D.点对点隧道协议(PPTP) 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
379、鉴别的基本途径有三种:所知.所有和个人特征,以下哪一项不是基于你所知道的: A.口令 B.令牌 C.知识 D.密码 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
380、某公司已有漏洞扫描和入侵检测系统(IntrusienDetectionSystem,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是: A.选购当前技术最先进的防火墙即可 B.选购任意一款品牌防火墙
C.任意选购一款价格合适的防火墙产品 D.选购一款同已有安全产品联动的防火墙 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
381、某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?
A.最小权限 B.权限分离 C.不信任 D.纵深防御 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
382、以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是: A.在传送模式中,保护的是IP负载 B.验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作
C.在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头 D.IPsec仅能保证传输数据的可认证性和保密性 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
383、某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁? A.网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改 D.网站使用用户名.密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
384、以下关于PGP(PrettyGoodPrivacy)软件叙述错误的是: A.PGP可以实现对邮件的加密.签名和认证 B.PGP可以实现数据压缩
C.PGP可以对邮件进行分段和重组 D.PGP采用SHA算法加密邮件 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
385、相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势? A.NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等闯题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作 B.NTFS的分区上,可以为每个文件或文件夹设置单独的许可权限 C.对于大磁盘,NTFS文件系统比FAT有更高的磁盘利用率
D.相比FAT文件系统,NTFS文件系统能有效的兼容Linux下EXT2文件格式 正确答案:D
所在章:信息安全技术
知识点:信息安全技术知识点
386、某公司系统管理员最近正在部署一台Web服务器,使用的操作系统是Windows,在进行日志安全管理设置时,系统管理员拟定四条日志安全策略给领导进行参考,其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:
A.在网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B.严格设置Web日志权限,只有系统权限才能进行读和写等操作
C.对日志属性进行调整,加大日志文件大小,延长日志覆盖时间,设置记录更多信息等 D.使用独立的分区用于存储日志,并且保留足够大的日志空间 正确答案:A
所在章:信息安全技术
知识点:信息安全技术知识点
387、安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?
A.操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 B.为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘
C.操作系统上部署防病毒软件,以对抗病毒的威胁
D.将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
388、账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击? A.分布式拒绝服务攻击(DDoS) B.病毒传染 C.口令暴力破解 D.缓冲区溢出攻击 正确答案:C
所在章:信息安全技术
知识点:信息安全技术知识点
389、数据在进行传输前,需要由协议栈自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是:
A.传输层、网络接口层、互联网络层 B.传输层、互联网络层、网络接口层 C.互联网络层、传输层、网络接口层 D.互联网络层、网络接口层、传输层 正确答案:B
所在章:信息安全技术
知识点:信息安全技术知识点
390、关于软件安全开发生命周期(SDL),下面说法错误的是: A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术.管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
